2.3 登録されているOAMエージェント構成パラメータ
Oracle Access Managementコンソールを使用してエージェントを登録した後、コンソールでSSOエージェントをダブルクリックし、登録されているOAMエージェントを検索し、結果表のエージェント名をクリックすると、コンソールでエージェント構成ページを表示および編集できます。次の表では、登録されているエージェントを表示したときの要素について説明します。
要素 | 説明 |
---|---|
バージョン |
OAM Webゲートが表示されます |
名前 |
エージェントの名前が表示されます。 |
説明 |
エージェントの説明が表示されます。 |
アクセス・クライアント・パスワード |
エージェントに登録されているパスワードが表示されます。 |
セキュリティ |
エージェントとOAMサーバーの間の通信トランスポート・セキュリティの選択したレベルが表示されます |
状態 |
この登録が有効か無効かを指定します。 デフォルト = 有効 |
最大キャッシュ要素 |
キャッシュに保持される要素の数。キャッシュは次のとおりです。
この設定の値は、これらのキャッシュの要素の最大合計カウントを参照します。 デフォルト = 100000 |
キャッシュ・タイムアウト(分) |
キャッシュされた情報が使用および参照されないとき、Webゲートのキャッシュ(認証スキームに対するリソース、認証スキーム、および認可ポリシーに対するリソース)にその情報が残る時間。 デフォルト = 1800 (秒) |
トークンの有効期間(秒) |
エージェント・トークンの最大有効期間(OAMAuthnCookieの内容)。この値は、obsso Cookieの有効期間です。この期間中は、認可napコールのみがOAMサーバーに渡されます。この期間の経過後は、obsso Cookieは無効とみなされ、'obrareq.cgi'リダイレクトが行われます。OAMサーバーはOAM_ID Cookieを検証し、新しいobsso Cookieを再発行します。または、サーバー側のセッションが期限切れになったか、削除されたか、タイムアウトになったかをユーザーに要求します。 デフォルト = 3600 (秒) |
最大接続数 |
このWebゲートとOAMサーバーで確立できる接続の最大数。この数は、このエージェントに実際に関連付けられている接続の数と同じか、それを超える数である必要があります。 デフォルト = 1 |
最大セッション時間(時間) |
OAMサーバー・ネットワークへのWebゲート接続を有効にする最大時間。この時間が経過すると、WebゲートからOAMサーバーへのすべてのネットワーク接続が停止し、新しい接続に置き換わります。単位は、maxSessionTimeUnitsユーザー定義パラメータ(minutesまたはhoursに設定できる)に基づきます。maxSessionTimeUnitsが定義されていない場合、単位はhoursにデフォルト設定されます。 |
フェイルオーバーしきい値 |
このWebゲートがセカンダリOAMサーバーの接続を開くポイントを表す数値。 デフォルト = 1 たとえば、このフィールドに30と入力して、プライマリOAMサーバーへの接続数が29の場合、このエージェントはセカンダリOAMサーバーへの接続を開きます。 |
AAAタイムアウトしきい値 |
OAMサーバーからのレスポンスを待機する数値(秒単位)。このパラメータが設定された場合、アプリケーションのTCP/IPタイムアウトとして、デフォルトのTCP/IPタイムアウトではなくこの値が使用されます。 デフォルト = -1(デフォルトのネットワークTCP/IPタイムアウトが使用されます) 簡易モードのWebゲートを使用している場合、Webゲート・プロファイルのaaaTimeoutThreshold時間パラメータを-1から10に変更することによって、OAMログイン・ページのレスポンス時間を向上させることができます。 このパラメータの一般的な値は、30から60秒です。非常に小さい値に設定すると、OAMサーバーからレスポンスを受信する前にソケット接続がクローズし、エラーが生じる可能性があります。 |
優先ホスト |
ユーザーが保護されたWebサーバーにアクセスしようとしたときに、すべてのHTTPリクエストでホスト名がどう表示されるかを指定します。HTTPリクエスト内のホスト名は、ユーザーのHTTPリクエストでどのように定義されたかに関係なく、このフィールドに入力された値に変換されます。 優先ホストの機能によって、ホストの識別子がホスト識別子リストに含まれていない場合に間違って作成される可能性があるセキュリティ・ホールを防止します。ただし、仮想Webホスティングでは使用できません。仮想ホスティングでは、ホスト識別子機能を使用する必要があります。 デフォルトは(Webゲート登録の)名前です。 |
ログアウトURL |
ログアウトURLによってログアウト・ハンドラがトリガーされ、これによってCookie (ObSSOCookie、OAMAuthnCookie)が削除されるため、Access Managerによって保護されたリソースにユーザーが次回アクセスすると、再認証が要求されます。 デフォルト = [] (設定なし) |
ログアウト・コールバックURL |
oam_logout_successへのURL。oam_logout_successは、コールバック中にCookieをクリアします。これには、host:portのないURI形式を指定できます(推奨)。これにより、OAMサーバーは元のリソース・リクエストのhost:portでコールバックします。次に例を示します。 デフォルト = /oam_logout_success これはhost:portのある完全なURLフォーマットとすることもでき、この場合OAMサーバーは、コールバックURLを作り直すことなく直接コールバックします。 |
ログアウト・リダイレクトURL |
このパラメータはエージェントの登録完了後に自動的に格納されます。デフォルトでは、これはデフォルト・ポートが14200のOAMサーバー・ホスト名に基づいて決定されます。次に例を示します。 デフォルト = http://OAMServer_host:14200/oam/server/logout |
ログアウト・ターゲットURL |
この値は、ログアウト中にOPSSアプリケーションがWebGateに渡す問合せパラメータの名称です。問合せパラメータは、ログアウト完了後に移動するページのターゲットURLを指定します。 デフォルト: end_url |
ユーザー定義パラメータ |
特定のWebゲートの動作を有効にするために入力できるパラメータ。 |
スリープ時間(秒) |
OAMサーバーでディレクトリ・サーバーとの接続を確認する頻度(秒)。たとえば、この値を60秒に設定した場合、OAMサーバーは起動した時点から60秒ごとにその接続をチェックします。 デフォルト: 60 (秒) |
キャッシュ・プラグマ・ヘッダー キャッシュ制御ヘッダー Webゲートのみ(アクセス・クライアントは対象外) |
これらの設定はWebGateにのみ適用され、ブラウザのキャッシュを制御します。 デフォルトでは、どちらのパラメータも「キャッシュなし」に設定されます。これにより、WebGateによるWebサーバー・アプリケーションおよびユーザー・ブラウザのデータのキャッシュが防止されます。 ただし、サイトがWebGateで保護されている場合、PDFファイルのダウンロードやレポート・ファイルの保存などの特定の操作が実行できないことがあります。 WebGateが異なるレベルで使用するAccess Manager SDKキャッシュを設定できます。詳細は、http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.htmlの14.9項を参照してください。 すべてのcache-response-directiveが許可されます。たとえば、両方のキャッシュ値をパブリックに設定してPDFファイルのダウンロードを許可する必要がある場合があります。 デフォルト: キャッシュなし |
デバッグ |
デバッグは有効または無効にすることができます。 |
IPの検証 |
クライアントのIPアドレスがシングル・サインオン用に生成されたObSSOCookieに格納されたIPアドレスと同じであることを確認する場合は、このボックスを選択します。このオプションを選択すると、IPの検証例外を入力できるフィールドが表示されます。 |
管理操作の許可 |
このエージェント権限機能で、次のようなエージェントごとのセッション操作のプロビジョニングを有効にできます。
デフォルト: 無効 |
トークン・スコープ操作の許可 |
ASDKコードがOAM_ID Cookieのスコープをホスト・レベルではなくドメイン・レベルに指定できるようにします。 |
マスター・トークン取得の許可 |
ASDKコードがOAM_ID Cookieを取得できるようにします。 |
資格証明コレクタ操作の許可 |
シンプル・フォーム認証または動的な複数要因による認証のために、Webゲートの外部資格証明コレクタ機能を有効にします。 デフォルト: 無効 |
IIS偽装ユーザー |
Active Directoryでの、偽装用の信頼できるユーザー。このユーザーは偽装以外の目的では使用できません。制約は、Active Directory内の他のユーザーと同じです。 |
IIS偽装パスワード |
偽装用の信頼できるユーザー・パスワード。制約は、Active Directory内の他のユーザー・パスワードと同じです。 |
プライマリ・サーバー・リスト |
このエージェントのプライマリ・サーバー・リストを識別します。デフォルトは、OAMサーバーに基づきます。
|
セカンダリ・サーバー・リスト |
このエージェントのセカンダリOAMサーバーの詳細を識別します。手動で指定する必要があります。
|
適用 |
必要に応じて変更を加えることができ、「適用」をクリックすると、この登録が送信されます。 |
ダウンロード |
「ダウンロード」をクリックすると、生成されたアーティファクトがダウンロードされます。 |
関連項目
Oracle Access Management管理者ガイドのエージェントおよび登録の概要