26 デプロイメントの保護
この章では、Oracle Identity Managerのデプロイメントの保護およびセキュアなcookieの構成方法について説明します。内容は次のとおりです。
26.1 認可および強化
Oracle Identity Managerデプロイメントの保護は、認可と強化を利用して行います。認可は、様々なコンポーネントへのアクセスを制御します。強化は、潜在的なセキュリティ上の脅威からコンポーネントを保護します。
表26-1に、Oracle Identity Managerデプロイメントの保護に関する情報を参照できる様々なトピックを示します。
表26-1 デプロイメントの保護
| トピック | トピックのタイプ | 記載されている情報 |
|---|---|---|
|
強化 |
スケジュール済タスクとスケジュール済ジョブ。必要なスケジュール済タスクのみが有効化されていることを確認してください。 |
|
|
強化 |
システム動作に関連するシステム・プロパティ。パスワード・ポリシーおよびチャレンジ質問と回答が定義されていることを確認してください。 |
|
|
強化 |
Oracle Identity ManagerのSSL経由での動作の有効化。 |
|
|
『Oracle Identity Management Suite統合ガイド』のLDAP同期が有効化されている場合のLDAP認証の構成に関する説明 |
強化 |
LDAP認証の有効化。 |
|
強化 |
統合された依存アプリケーションでの変更に対応して、Oracle Identity ManagerおよびOracle WebLogicで構成変更を行うステップ。 |
|
|
強化 |
依存製品または統合された製品でパスワードが変更された場合に、Oracle Identity MangerおよびOracle WebLogic構成のパスワードを変更するステップ。 |
|
|
強化 |
SSLの構成によるOracle Identity Managerの保護。 |
|
|
Oracle Identity Governanceでのセルフ・サービス・タスクの実行のパスワード・ポリシーの管理に関する項。 |
強化 |
パスワード・ポリシーの構成。 |
関連項目:
Oracle Identity Managementソフトウェアの統合および関連セキュリティの詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』および『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください
26.2 セキュアなCookieの構成
セキュアなcookieの構成はデフォルトのシナリオで行うことができます。アプリケーションのデプロイメント・プランがないとき、またはデプロイメント・プランを明示的に構成した場合に現在のデプロイメント・プランを更新するときです。
この項では、これらのアプリケーションのデプロイメント・プランがない場合に、デフォルトのシナリオでセキュアなCookieを構成する方法を説明します。また、デプロイメント・プランが明示的に構成されている場合、現在のデプロイメント・プランを更新する場合の構成についても説明します。この項では、次の項目について説明します。
26.2.1 セキュアなCookieについて
cookie-secureタグをtrueに設定してcookieを保護できます。このタグにより、ブラウザがHTTPS接続のみを介してCookieを返すことができます。これにより、Cookie IDが保護され、Oracle Identity ManagerのHTTPSアクセスでのみ使用されるようになります。
Oracle Identity Managerアプリケーションは、デフォルトでSSLアクセス用に構成されていません。したがって、Oracle Identity Manager Webアプリケーションで使用されるoimjsessionid Cookieは、HTTPSアクセスには安全ではありません。つまり、cookie-secureタグがtrueに設定されていません。しかし、Oracle Identity ManagerへのSSLアクセスが有効な場合は、cookie-secureタグをtrueに設定して、oimjsessionidをセキュアなCookieとして構成することをお薦めします。このタグにより、ブラウザがHTTPS接続のみを介してCookieを返すことができます。これにより、Cookie IDが保護され、Oracle Identity ManagerのHTTPSアクセスでのみ使用されるようになります。これは、この機能が有効な場合は、Oracle Identity ManagerへのHTTPアクセスができないことを意味します。また、url-rewriting-enabled要素を無効にする必要があります。
次のOracle Identity Manager UIページでは、セキュアなCookieを構成する必要があります。
-
/identity (OIM_HOME/apps/oracle.iam.console.identity.self-service.ear/ oracle.iam.console.identity.self-service.war)
-
/sysadmin (OIM_HOME/apps/oracle.iam.console.identity.sysadmin.ear/ oracle.iam.console.identity.sysadmin.war)
-
/oim (OIM_HOME/apps/oim.ear/iam-consoles-faces.war)
-
/xlWebApp (OIM_HOME/apps/oim.ear/xlWebApp.war)
セキュアなCookieは、iam.console.identity.self-service.ear、oracle.iam.console.identity.sysadmin.earおよびoim.earの各アプリケーションのデプロイメント・プランを更新することにより構成できます。
26.2.2 新規デプロイメント・プランの構成
cookieを保護する新しいデプロイメント・プランを構成するには、デプロイメント・プランを作成し、プランを使用してデプロイメントを構成します。
この項では、デプロイメント・プランの構成方法を説明します。内容は次のとおりです。
26.2.2.1 サンプル・デプロイメント・プラン
アプリケーションに固有のデプロイメント・プランを構成するには、WebLogic管理コンソールにログインします。各アプリケーションのセキュアなCookieが有効になったデプロイメント・プランのサンプルを次に示します。
-
次は、
oracle.iam.console.identity.self-service.earアプリケーションのサンプル・デプロイメント・プランのXMLです。このデプロイメント・プランでは、cookie-secureがtrueに設定され、oracle.iam.console.identity.self-service.warWebアプリケーションではurl-rewriting-enabledがfalseに設定されています。<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"> <application-name>oracle.iam.console.identity.self-service.ear#V2.0</application-name> <variable-definition> <variable> <name>SessionDescriptor_CookieSecure_identity_13909448828172</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_identity_139095392691833</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>oracle.iam.console.identity.self-service.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>SessionDescriptor_CookieSecure_identity_13909448828172</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_identity_139095392691833</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan> -
次は、
oracle.iam.console.identity.sysadmin.earアプリケーションのサンプル・デプロイメント・プランのXMLです。このデプロイメント・プランでは、cookie-secureがtrueに設定され、oracle.iam.console.identity.sysadmin.warWebアプリケーションではurl-rewriting-enabledがfalseに設定されています。<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"> <application-name>oracle.iam.console.identity.sysadmin.ear#V2.0</application-name> <variable-definition> <variable> <name>SessionDescriptor_CookieSecure_sysadmin_13909448828173</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_sysadmin_139095392691834</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>oracle.iam.console.identity.sysadmin.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>SessionDescriptor_CookieSecure_sysadmin_13909448828173</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_sysadmin_139095392691834</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan> -
次は、
oim.earアプリケーションのサンプル・デプロイメント・プランのXMLです。このデプロイメント・プランでは、cookie-secureがtrueに設定され、iam-consoles-faces.warおよびxlWebApp.warWebアプリケーションではurl-rewriting-enabledがfalseに設定されています。<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"> <application-name>oim#11.1.2.0.0</application-name> <variable-definition> <variable> <name>SessionDescriptor_CookieSecure_oim_13909448828170</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_oim_139095392691831</name> <value>false</value> </variable> <variable> <name>SessionDescriptor_CookieSecure_xlWebApp_13909448828171</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_xlWebApp_139095392691832</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>iam-consoles-faces.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>SessionDescriptor_CookieSecure_oim_13909448828170</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_oim_139095392691831</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> </module-descriptor> </module-override> <module-override> <module-name>xlWebApp.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>SessionDescriptor_CookieSecure_xlWebApp_13909448828171</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_xlWebApp_139095392691832</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan>
26.2.3 既存デプロイメント・プランの更新
いずれかのアプリケーション(iam.console.identity.self-service.ear、oracle.iam.console.identity.sysadmin.earおよびoim.ear)に既存デプロイメント・プランがある場合は、cookie-secureおよびurl-rewriting-enabledを設定するために更新する必要があります。
これを行うには、対応するデプロイメント・プランのXMLファイルを探し、「新規デプロイメント・プランの構成」のサンプル・デプロイメント・プランで示しているように、それを編集して強調表示されたコンテンツ(太字)を追加します。
たとえば、oracle.iam.console.identity.self-service.war Webアプリケーションのcookie-secureを設定するには、次のように強調表示されたコンテンツを追加します。
<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"> <application-name>oracle.iam.console.identity.self-service.ear#V2.0</application-name> ………… ………… <variable-definition> ………… <variable> <name>SessionDescriptor_CookieSecure_identity_13909448828172</name> <value>true</value> </variable> <variable> <name>SessionDescriptor_UrlRewritingEnabled_identity_139095392691833</name> <value>false</value> </variable> ………… </variable-definition> ………… ………… <module-override> <module-name>oracle.iam.console.identity.self-service.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> ……….. <variable-assignment> <name>SessionDescriptor_CookieSecure_identity_13909448828172</name> <xpath>/weblogic-web-app/session-descriptor/cookie-secure</xpath> </variable-assignment> <variable-assignment> <name>SessionDescriptor_UrlRewritingEnabled_identity_139095392691833</name> <xpath>/weblogic-web-app/session-descriptor/url-rewriting-enabled</xpath> </variable-assignment> ……… </module-descriptor> </module-override> </deployment-plan>
更新されたデプロイメント・プランのXMLファイルを保存し、Oracle Identity Manager管理対象サーバーを再起動して変更を有効にします。