16 Oracle Access Managementの構成
Oracle Access Managementを使用してエンタープライズ・デプロイメント・ドメインを拡張するには、特定のタスクを実行する必要があります。これには、Oracle Identity and Access Managementのインストール、Oracle Access Management用のドメインの拡張、構成後のタスクと検証タスクの完了が含まれます。
この章では、Oracle Identity and Access Managementのインストール、Oracle Access Management用ドメインの拡張、および構成後タスクと検証タスクの完了に関する情報を提供します。
- この章で使用される変数
このトピックでは、この章で使用される変数を示します。 - LDAPを使用した構成および統合
- Webゲート・エージェントの更新
- ホスト識別子の更新
- OAMへの不足ポリシーの追加
ポリシーがない場合、Oracle Access Managerが正しく機能するように追加する必要があります。 - フェデレーション・サービス更新の詳細
Oracle Access Management (OAM)を構成したため、フェデレーション・サービスを更新して、ロード・バランサURL経由でフェデレーションにアクセスする必要があります。 - アイドル・タイムアウト値の更新
- 認証プロバイダの検証
- Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。 - ドメイン内の管理対象サーバーの起動
次の順序で管理対象サーバーを起動します。 - Access Managerの検証
- パスワードを忘れた場合の有効化
- 構成のバックアップ
ベスト・プラクティスとして、ドメインの拡張が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。ここまでのインストールが正常に行われたことを確認したら、バックアップを作成します。これは、後のステップで問題が発生した場合に即座にリストアするための迅速なバックアップになります。
上位トピック: 「エンタープライズ・ドメインの構成」
この章で使用される変数
このトピックでは、この章で使用される変数を示します。
変数
-
PRIMARY_OAM_SERVERS
-
WEBGATE_TYPE
-
ACCESS_GATE_ID
-
OAM11G_OIM_WEBGATE_PASSWD
-
COOKIE_DOMAIN
-
COOKIE_EXPIRY_INTERVAL
-
OAM11G_WG_DENY_ON_NOT_PROTECTED
-
OAM11G_IDM_DOMAIN_OHS_HOST
-
OAM11G_IDM_DOMAIN_OHS_PORT
-
OAM11G_IDM_DOMAIN_OHS_PROTOCOL
-
OAM11G_SERVER_LBR_HOST
-
OAM11G_SERVER_LBR_PORT
-
OAM11G_SERVER_LBR_PROTOCOL
-
OAM11G_OAM_SERVER_TRANSPORT_MODE
-
OAM_TRANSFER_MODE
-
OAM11G_SSO_ONLY_FLAG
-
OAM11G_IMPERSONATION_FLAG
-
OAM11G_IDM_DOMAIN_LOGOUT_URLS
-
OAM11G_OIM_INTEGRATION_REQ
-
OAM11G_OIM_OHS_URL
-
IDSTORE_PWD_OAMSOFTWAREUSER
-
IDSTORE_PWD_OAMADMINUSER
-
OAM11G_WLS_ADMIN_PASSWD
-
IAD_MSERVER_HOME
-
IAD_ASERVER_HOME
-
WLS_AMA
-
WebGate_IDM
-
COMMON_IDM_PASSWORD
-
WLS_OAM1
-
WLS_AMA1
-
WLS_OAM2
-
WLS_AMA2
-
JAVA_HOME
-
OAM_PROXY_PORT
-
IAD_HTTP_PORT
-
IAD_ORACLE_HOME
親トピック: Oracle Access Managementの構成
LDAPを使用した構成および統合
この項では、LDAPを使用してOracle Access Managerを構成および統合する方法について説明します。
この項には次のトピックが含まれます:
- グローバル・パスフレーズの設定
- デフォルト・グローバル・パスフレーズの取得
- LDAPディレクトリを使用するためのAccess Managerの構成
- WebGateロード・バランサ詳細の追加
- WebLogic管理者へのLDAPグループの追加
親トピック: Oracle Access Managementの構成
グローバル・パスフレーズの設定
デフォルトでは、Oracle Access Managerはオープン・セキュリティ・モデルを使用するように構成されています。idmConfigTool
を使用してこのモードを変更する場合は、グローバル・パスフレーズを知っている必要があります。デフォルトでは、Oracleによってグローバル・パスフレーズが作成されます。この値は、必要に応じてオーバーライドできます。
ノート:
OAP over RESTコールを使用して最新の12c WebGate機能を使用している場合は、RESTコールでOAP転送モードが使用されないため、セキュリティ・モードを変更することは重要ではありません。グローバル・パスフレーズを設定するには:
親トピック: LDAPを使用した構成および統合
デフォルト・グローバル・パスフレーズの取得
親トピック: LDAPを使用した構成および統合
LDAPディレクトリを使用するためのAccess Managerの構成
初期インストールを完了してセキュリティ・モデルを設定したら、Oracle Access ManagerをLDAPディレクトリに関連付ける必要があります。Oracle Unified Directory (OUD)をLDAPディレクトリとして使用できます。
Access ManagerとLDAPディレクトリを関連付けるには、次のタスクを実行します:
構成ファイルの作成
Oracle Access ManagementでLDAPを使用するように構成するには、idmConfigTool
ユーティリティを実行する必要があります。このため、oam.props
と呼ばれる構成ファイルを作成して、構成で使用する必要があります。このファイルの内容は、次の追加内容とともに、「構成ファイルの作成」で作成した構成ファイルの内容と同じになります。
#IDSTORE PROPERTIES IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389 IDSTORE_BINDDN: cn=oudadmin IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_NEW_SETUP: true IDSTORE_DIRECTORYTYPE: OUD IDSTORE_WLSADMINUSER: weblogic_iam IDSTORE_WLSADMINGROUP: WLSAdministrators IDSTORE_OAMADMINUSER: oamadmin IDSTORE_OAMSOFTWAREUSER: oamLDAP # OAM Properties OAM11G_IDSTORE_NAME: OAMIDSTORE PRIMARY_OAM_SERVERS: OAMHOST1.example.com:5575,OAMHOST2.example.com:5575 WEBGATE_TYPE: ohsWebgate12c ACCESS_GATE_ID: Webgate_IDM OAM11G_OIM_WEBGATE_PASSWD: Password COOKIE_DOMAIN: .example.com COOKIE_EXPIRY_INTERVAL: 120 OAM11G_WG_DENY_ON_NOT_PROTECTED: true OAM11G_IDM_DOMAIN_OHS_HOST: login.example.com OAM11G_IDM_DOMAIN_OHS_PORT: 443 OAM11G_IDM_DOMAIN_OHS_PROTOCOL: https OAM11G_SERVER_LBR_HOST: login.example.com OAM11G_SERVER_LBR_PORT: 443 OAM11G_SERVER_LBR_PROTOCOL: https OAM11G_OAM_SERVER_TRANSFER_MODE: open OAM_TRANSFER_MODE: open OAM11G_SSO_ONLY_FLAG: false OAM11G_IMPERSONATION_FLAG: false OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp OAM11G_OIM_INTEGRATION_REQ: false OAM11G_OIM_OHS_URL: https://prov.example.com:443/ # WebLogic Properties WLSHOST: IADADMINVHN.example.com WLSPORT: 7001 WLSADMIN: weblogic
OAMプロパティの説明:
-
OAM11G_IDSTORE_NAMEは、OAMのIDストアに割り当てる名前です。これはオプションのパラメータです。
-
PRIMARY_OAM_SERVERS: デプロイメントするすべてのOAM管理対象サーバーのカンマ区切りリスト。形式は「OAM管理対象サーバーを実行するサーバー: OAMプロキシ・ポート」です。使用するプロキシ・ポートは、OAM管理対象サーバーのリスニング・ポートではないことに注意してください。OAMプロキシ・ポートはワークシートに記載されています(OAM_PROXY_PORT)。
-
WEBGATE_TYPE: 作成するWebゲート・プロファイルのタイプ。これは常に
ohsWebgate12c
にする必要があります -
ACCESS_GATE_IDは、作成するWebゲート・エージェントの名前です。
-
OAM11G_OIM_WEBGATE_PASSWDは、作成するWebゲート・エージェントに割り当てるパスワードです。
-
COOKIE_DOMAINは、OAM Cookieを関連付けるドメインで、通常は、IDSTORE_SEARCH_BASE(ドメイン形式)と同じです。検索ベースはワークシートに記載されています(REALM_DN)。
-
COOKIE_EXPIRY_INTERVAL: Cookieが期限切れになるまでの期間。
-
OAM11G_WG_DENY_ON_NOT_PROTECTED: これは常にtrueに設定する必要があります。これによって、OAMリソース・リストに明示的に記載されていないリソースへのアクセスが拒否されます。
-
OAM11G_IDM_DOMAIN_OHS_HOST: IAMAccessDomainの前面に位置するOracle HTTP Server (OHS)サーバーの名前です。エンタープライズ・デプロイメントの場合は、ロード・バランサの名前となります。
-
OAM11G_IDM_DOMAIN_OHS_PORT: IAMAccessDomainの前面に位置するOHSサーバーがリスニングするポートです。エンタープライズ・デプロイメントの場合は、ロード・バランサのポートとなります。これは、ワークシートのIAD_HTTPS_PORTです。
-
OAM11G_IDM_DOMAIN_OHS_PROTOCOL: IAMAccessDomainの前面に位置するOHSサーバーへのアクセス時に使用するプロセスを決定します。エンタープライズ・デプロイメントの場合は、ロード・バランサのプロトコルとなります。エンタープライズ・デプロイメントのブルー・プリントでは、SSLはロード・バランサで終了します。ただし、URLには常に接頭辞HTTPSが指定されるため、この値は
https
に設定する必要があります。 -
OAM11G_SERVER_LBR_HOST: ログインの際にロード・バランサ上で構成される仮想ホストの名前です。通常はOAM11G_IDM_DOMAIN_OHS_HOSTと同じです。
-
OAM11G_SERVER_LBR_PORT: ログインの際にロード・バランサ上で構成される仮想ホストのポートです。通常はOAM11G_IDM_DOMAIN_OHS_PORTと同じです。
-
OAM11G_SERVER_LBR_PROTOCOL: ログインの際にロード・バランサ上で構成される仮想ホストのプロトコルです。通常はOAM11G_IDM_DOMAIN_OHS_PROTOCOLと同じです。
-
OAM11G_OAM_SERVER_TRANSPORT_MODE: 使用するOAMセキュリティ・トランスポートのタイプです。AIX以外のすべてのプラットフォームでは
Simple
を指定する必要があります(AIXの場合はOpen
)。追加セキュリティが必要な場合は、cert
を指定できます。cert
を使用する場合は、Oracle Access Managerのドキュメントでその構成方法を参照してください。 -
OAM_TRANSFER_MODE: 使用するOAMセキュリティ・トランスポートのタイプです。これは、OAM11G_OAM_SERVER_TRANSPORT_MODEと同じにする必要があります。
-
OAM11G_SSO_ONLY_FLAG: 認証モードを使用するかどうかを決定するために使用します。エンタープライズ・デプロイメントの場合は
false
に設定する必要があります。 -
OAM11G_IMPERSONATION_FLAGは、OAMの偽装を構成するかどうかを決定します。偽装は通常、サポート・ユーザーがサポート提供の目的で実際のユーザーを偽装する、ヘルプ・デスク・タイプのアプリケーションで使用されます。
-
OAM11G_IDM_DOMAIN_LOGOUT_URLSは、ログアウトの目的で様々な製品を呼び出すURLのリストです。
-
OAM11G_OIM_INTEGRATION_REQ: Oracle Identity Governanceでパスワードを忘れた場合の機能に対応する場合は、このパラメータを
true
に設定してください。パスワードを忘れた場合のOAMの新機能を使用する場合は、この値をfalse
に設定してください。 -
OAM11G_OIM_OHS_URL: パスワードを忘れた場合の機能にOIMを使用する予定の場合、OIGの外部エントリ・ポイントを指定する必要があります。これは、OAMがリクエストを送信するOIGのURLです。このURLは、ワークシートの次の値で構成されます。
https://prov.example.com:
IAG_HTTPS_PORT
/
-
WLSHOST: 管理サーバーのリスニング・アドレスです。OAM構成の場合、これは
IADADMINVHN.example.com
になります。 -
WLSPORT: 管理サーバーのリスニング・ポートです。これは、ワークシートのIAD_WLS_PORTです。
-
WLSADMIN: 管理サーバーへの接続に使用するユーザーです
WebGateロード・バランサ詳細の追加
Oracle 12cでは、Oracle Webgateは、従来のOAPコールではなくREST APIコールを使用してOracle Access Manager 12cと通信します。idmConfigTool
の実行後、WebGateトラフィック・ロード・バランサの詳細を手動で更新する必要があります:
詳細を更新するには:
親トピック: LDAPを使用した構成および統合
WebLogic管理者へのLDAPグループの追加
Oracle Access Managerでは、管理サーバー内に格納されているMBeanへのアクセスが必要です。LDAPユーザーがWebLogicコンソールとFusion Middleware Controlにログインできるようにするには、ユーザーにWebLogic管理権限を割り当てる必要があります。Oracle Access ManagerでこれらのMBeanを呼び出すには、OAMAdministratorsグループのユーザーにWebLogic管理権限が必要です。
シングル・サインオンを実装する場合は、ログインしてWebLogic管理アクションを実行できるように、LDAPグループのIDM管理者にWebLogic管理権限を付与する必要があります。
親トピック: LDAPを使用した構成および統合
WebLogicコンソールの使用
LDAPグループOAMAdministrators
およびWLSAdministrators
をWebLogic管理者に追加するには:
- WebLogic管理サーバー・コンソールにデフォルト管理ユーザーとしてログインします。たとえば、
weblogic
です。 - コンソールの左ペインで「セキュリティ・レルム」をクリックします。
- 「セキュリティ・レルムのサマリー」ページで、「レルム」表のmyrealmをクリックします。
- 「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
- 「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。
- 「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
- 「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
- 「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
- 「述部の選択」ページで、条件のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
- 「引数の編集」ページのグループ引数フィールドにOAMAdministratorsを指定し、「追加」をクリックします。
- グループWLSAdministratorsについても同様に繰り返します。
- 「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
- 「ロール条件」表には、グループOAMAdministratorsまたはWLSAdministratorsがロール条件として表示されます。
- 「保存」をクリックして、OAMAdministratorsおよびIDM Administratorsグループへの管理ロールの追加を終了します。
親トピック: WebLogic管理者へのLDAPグループの追加
Webゲート・エージェントの更新
idmConfigTool
を実行すると、デフォルトのOAMセキュリティ・モデルが変更されて、新しいWebゲートSSOエージェントが作成されます。ただし、既存のWebゲートSSOエージェントが新しいセキュリティ・モデルに変更されることはありません。idmConfigTool
の実行後に、既存のWebゲート・エージェントを更新する必要があります。これを行うには次のステップが必要になります。
-
セキュリティ・モードを、OAMサーバーのモードと一致するように変更します。このようにしないと、セキュリティ不一致エラーになります。
-
最初のインストールで作成されたWebゲートは、高可用性(HA)インストールが実施されていることを認識しません。HAを有効化した後で、すべてのOAMサーバーがエージェント構成に含まれていることを確認して、システム継続性を確保する必要があります。
-
ログアウトURLが、ローカルのOAMサーバーの1つではなく、ハードウェア・ロード・バランサにリダイレクトされることを確認する必要があります。
-
Oracle 12c WebGate HTTP OAM APIのRESTポイントを更新します。
-
IAMSuiteAgentと呼ばれるWebゲートが出荷時に作成されています。これは、パスワード保護を使用せずに作成されているため、パスワード保護を追加する必要があります。
これらのアクションを実行するには、次のステップを実行します。
親トピック: Oracle Access Managementの構成
ホスト識別子の更新
ドメインにアクセスするときは、様々なロード・バランサ・エントリ・ポイントを使用して入ります。これらのエントリ・ポイント(仮想ホスト)をそれぞれポリシー・リストに追加する必要があります。これによって、login.example.com
またはprov.example.com
を使用したリソースへのアクセスをリクエストする場合に、同じポリシー・ルール・セットにアクセスできます。
親トピック: Oracle Access Managementの構成
OAMへの不足ポリシーの追加
ポリシーがない場合、Oracle Access Managerが正しく機能するように追加する必要があります。
次のポリシーを追加する必要があります:
表16-2 OAMポリシー情報
製品 | リソース・タイプ | ホスト識別子 | リソースURL | 保護レベル | 認証ポリシー | 認可ポリシー |
---|---|---|---|---|---|---|
すべて |
HTTP |
IAMSuiteAgent |
|
除外 |
||
すべて |
HTTP |
IAMSuiteAgent |
|
除外 |
||
OIG |
HTTP |
IAMSuiteAgent |
|
保護 |
保護対象上位レベル・ポリシー |
保護対象リソース・ポリシー |
OAM |
HTTP |
IAMSuiteAgent |
|
除外 |
||
OAM |
HTTP |
IAMSuiteAgent |
|
除外 |
||
OAM |
HTTP |
IAMSuiteAgent |
|
除外 |
||
OIG |
HTTP |
IAMSuiteAgent |
|
保護 |
保護対象上位レベル・ポリシー |
保護対象リソース・ポリシー |
OIG |
HTTP |
IAMSuiteAgent |
|
除外 |
|
|
OIG |
HTTP |
IAMSuiteAgent |
|
保護 |
保護対象上位レベル・ポリシー |
保護対象リソース・ポリシー |
OIG |
HTTP |
IAMSuiteAgent |
|
除外 |
|
|
OIG |
HTTP |
IAMSuiteAgent |
|
保護 |
保護対象上位レベル・ポリシー |
保護対象リソース・ポリシー |
OIG |
HTTP |
IAMSuiteAgent |
|
保護 |
保護対象上位レベル・ポリシー |
保護対象リソース・ポリシー |
OIG |
HTTP |
IAMSuiteAgent |
/integration/** |
保護 |
保護対象上位レベル・ポリシー |
保護対象リソース・ポリシー |
OUDSM |
HTTP |
IAMSuiteAgent |
/oudsm |
除外 |
ノート:
/otpfp
が必要なのは、パスワードを忘れた場合のOAM機能を実装してある場合のみです。
これらのポリシーを追加するには:
親トピック: Oracle Access Managementの構成
フェデレーション・サービス更新の詳細
Oracle Access Management (OAM)が構成されたので、ロード・バランサURL経由でフェデレーションにアクセスするために、フェデレーション・サービスを更新する必要があります。
- http://iadadmin.example.com/oamconsoleのOAMコンソールにログインします。
- 「構成」をクリックします。
- 設定ペインで「表示」をクリックして、ドロップダウンから「フェデレーション」を選択します。
- 「フェデレーション設定」ペインで、「プロバイダID」を
https://login.example.com/oam/fed
に更新します。 - 「適用」をクリックします。
親トピック: Oracle Access Managementの構成
アイドル・タイムアウト値の更新
通常、Access Managerに設定されているデフォルトのタイムアウト値は長すぎ、セッションのタイムアウト後はセッションをログアウトできないなどの問題が発生する場合があります。したがって、この値を15分に減らすことをお薦めします。
アイドル・タイムアウト値を更新するには:
- http://iadadmin.example.com/oamconsoleのOAMコンソールにログインします。
- レスポンス・ファイルの作成時に作成したAccess Manager管理者ユーザーとしてログインします。
- 「構成」をクリックします。
- 「設定」の下にある「共通設定」を選択します。
- 「アイドル・タイムアウト(分)」を
15
に変更します。 - 「適用」をクリックします。
親トピック: Oracle Access Managementの構成
認証プロバイダの検証
WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。
親トピック: Oracle Access Managementの構成
Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。
ドメインレベルのjps-config.xml
ファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。
ASERVER_HOME/config/fmwconfig/jps-config.xml
ノート:
ドメインレベルのjps-config.xml
をカスタム・アプリケーションでデプロイされたjps-config.xml
と混同しないでください。
親トピック: Oracle Access Managementの構成
Access Managerの検証
oamtest
ツールを使用してAccess Managerを検証できます。これを行うには、次のステップを実行します:
親トピック: Oracle Access Managementの構成
パスワードを忘れた場合の有効化
この項では、Oracle Access Managerで提供される、パスワードを忘れた場合のワンタイムPIN機能の設定方法について説明します。Oracle Identity Governanceで提供されている、パスワードを忘れた場合のチャレンジ質問機能を構成する場合は、「LDAPを使用した構成および統合」と「LDAPコネクタを使用したOracle Identity GovernanceとOracle Access Managerの統合」を参照してください。
この項には次のトピックが含まれます:
- パスワードを忘れた場合の有効化の前提条件
- oamLDAPユーザーへの権限の追加
- LDAPでのOTP管理グループの作成
- アダプティブ認証サービスの有効化
- アダプティブ認証プラグインの構成
- ディレクトリ内のパスワード管理の有効化
- CSFへのユーザー・メッセージング資格証明の格納
- ログイン・ページ上のパスワードを忘れた場合のリンクの設定
- ドメインの再起動
- パスワードを忘れた場合の機能の検証
OIMへのオフロードではなく、パスワードを忘れた場合のOAMの機能を設定した場合、curl
コマンドを使用して有効なパスワード・ポリシーを表示し、パスワードを忘れた場合の機能を検証できます。
親トピック: Oracle Access Managementの構成
パスワードを忘れた場合の有効化の前提条件
Oracle Access Managerでは、パスワードを忘れた場合の管理は、パスワードをリセットするためのリンクを電子メールまたはSMSメッセージで送信するという形で行われます。
電子メールまたはSMSは、Oracle User Messaging Serviceを使用して送信されます。Oracleのパスワードを忘れた場合の機能を有効化する前に、まずOracle User Messagingのデプロイメントが必要です。多くの場合はOracle Governance Domain内に存在しますが、インストールされているのがAccess Domainのみの場合は、Access Domain内に存在することもあります。または、完全に独立したドメインの可能性もあります。
パスワードを忘れた場合の機能が動作するのは、「エンタープライズ・デプロイメント用のシングル・サインオンの構成」で説明したとおり、シングル・サインオンを構成してある場合のみです。
ユーザー・メッセージング・サービスをAccess Domainに追加することや、ユーザー・メッセージング・サービス・ドメインを作成することは、このEDGの範囲外です。Oracle User Messaging Serviceのインストールと構成の詳細は、『Oracle User Messaging Serviceの管理』のユーザー・メッセージング・サービスのインストールに関する項および「Oracle User Messaging Serviceの構成」を参照してください。
親トピック: パスワードを忘れた場合の有効化
oamLDAPユーザーへの権限の追加
最初から作成した場合、oamLDAPユーザー(OAMをLDAPにリンクするのに使用したユーザー)はLDAPディレクトリを読み取る権限を付与されます。しかし、これらのユーザーを更新する権限は付与されません。パスワードを忘れた場合のOAMの機能が動作するには、これらの権限を追加する必要があります。
これを行うには、任意のテキスト・エディタを使用して、ldifファイルを作成する必要があります。このファイルの内容は次のとおりです。
add_aci.ldif
dn: cn=oamLDAP,cn=systemids,dc=example,dc=com changetype: modify add: ds-privilege-name ds-privilege-name: password-reset
dn: cn=Users,dc=example,dc=com changetype: modify add: aci aci: (targetattr = "*")(targetfilter= "(objectclass=inetorgperson)")(targetscope = "subtree") (version 3.0; acl "iam admin changepwd"; allow (compare,search,read,selfwrite,add,write,delete) userdn = "ldap:///cn=oamLDAP,cn=systemids,dc=example,dc=com";)
ファイルを保存します。
LDAPHOST1で次のコマンドを使用して、ファイルに対してアクションを行います。
OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -D cn=oudadmin -h LDAPHOST1 -p 1389 -f ./add_aci.ldif
親トピック: パスワードを忘れた場合の有効化
LDAPでのOTP管理グループの作成
oamadminグループがパスワードを忘れた場合のシステム・コールを呼び出せるようにするには、グループOTPRestUserGroupのメンバーであることが必要です。このグループはidmConfigToolでは作成されないため、手動で作成する必要があります。
これを行うには、次のステップを実行します。
親トピック: パスワードを忘れた場合の有効化
アダプティブ認証サービスの有効化
パスワードを忘れた場合には、次のサービスを有効化する必要があります。
アダプティブ認証サービスを有効化するには、次のステップを実行します。
親トピック: パスワードを忘れた場合の有効化
アダプティブ認証プラグインの構成
認証サービスを有効化したので、ユーザー・メッセージング・サービスについて認証サービスに通知する必要があります。
アダプティブ認証プラグインを構成するには、次のステップを実行します。
親トピック: パスワードを忘れた場合の有効化
ディレクトリ内のパスワード管理の有効化
デフォルトでは、OAMはパスワード管理を許可するようには設定されません。これはOAMコンソール経由で有効化される必要があります。
ディレクトリ内でパスワード管理を有効化するには、次のステップを実行します。
親トピック: パスワードを忘れた場合の有効化
CSFへのユーザー・メッセージング資格証明の格納
ユーザー・メッセージング・サービスにアクセスするには、その前にWebLogic資格証明ストアに資格証明を格納する必要があります。
これを行うには、次のWLSTコマンドのセットを実行します。
IAD_ORACLE_HOME/oracle_common/common/bin/wlst.sh
connect()
Please Enter your username: weblogic
Please Enter your password: COMMON_IDM_PASSWORD
Please enter your server URL [t3://localhost:7001] :t3://IADADMINVHN.example.com:7001
You will now be connected to the domain. Execute the following commands:
createCred(map="OAM_CONFIG", key="umsKey", user="weblogic", password="password")
createCred(map="OAM_CONFIG", key="oam_rest_cred", user="oamadmin", password="password")
exit ()
umsKeyは、電子メールまたはSMS通知を送信する統合メッセージング・サーバーに資格証明を提供するために使用されます。
oam_rest_credは、RestサービスをOAMサーバーで起動するのを許可されたユーザーです。
上のコマンドでは、weblogic
はドメイン管理ユーザーであり、password
は関連付けられたパスワードです。
親トピック: パスワードを忘れた場合の有効化
ログイン・ページ上のパスワードを忘れた場合のリンクの設定
次のREST APIコマンドを実行すると、OAMのデフォルト・ログイン・ページ上のパスワードを忘れた場合のOTPリンクが有効になります。
curl -X PUT \
https://login.example.com/oam/services/rest/access/api/v1/config/otpforgotpassword/ \
-u oamadmin:Password \
-H 'content-type: application/json' \
-d '{"displayOTPForgotPassworLink":"true","defaultOTPForgotPasswordLink":"false","localToOAMServer":"true","forgotPasswordURL":"https://login.example.com/otpfp/pages/fp.jsp", "mode":"userselectchallenge"}'
必要な属性と値を入力します。
表16-7 ログイン・ページ上のパスワードを忘れた場合のリンク
属性 | 値 |
---|---|
base_url |
OAMのメイン・エントリ・ポイント。たとえば、https://login.example.com |
mode |
distribution_mode 配布モードによって、パスワード・リセットurlをエンド・ユーザーに送信する方法が決定されます。有効な値はemail、sms、userchoose、userselectchallengeです。最後のエントリを指定すると、ユーザーはマスクされた値から選択できるようになります。
|
ノート:
ロード・バランサで自己署名証明書を使用している場合、curlコマンドを実行すると、次のようなメッセージが表示される場合があります。デフォルトでは、curlは認証局(CA)公開キー(CA cert)のバンドルを使用して、SSL証明書検証を実行します。デフォルトのバンドル・ファイルが適切でない場合、--cacertオプションを使用して代替ファイルを指定できます。バンドルで表されるCAが署名した証明書がこのHTTPSサーバーで使用される場合、証明書の問題が原因で証明書検証が失敗した可能性があります(期限が切れたか、名前がURLのドメイン名と一致しない可能性があります)。curlによる証明書の検証をオフにするには、-k (または--insecure)オプションを使用します。
このメッセージが表示され、問題がないことがわかっている場合は、-u oamadmin:Passwordの後に-kを追加します。
ブラウザで次のURLにアクセスして、成功したことを検証します。
https://login.example.com/oam/services/rest/access/api/v1/config/otpforgotpassword
要求された場合は、oamadmin
アカウントとパスワードを入力します。
ノート:
このコマンドが成功するには、OAM管理対象サーバーのいずれかが実行されている必要があります。
親トピック: パスワードを忘れた場合の有効化
ドメインの再起動
管理サーバーとすべての管理対象サーバー(WLS_AMA1、WLS_AMA2、WLS_OAM1、WLS_OAM2)を停止し、再起動します。
親トピック: パスワードを忘れた場合の有効化
パスワードを忘れた場合の機能の検証
OIMへのオフロードではなく、パスワードを忘れた場合のOAMの機能を設定した場合、curl
コマンドを使用して有効なパスワード・ポリシーを表示し、パスワードを忘れた場合の機能を検証できます。
curl
コマンドを実行します:
curl -X GET https://login.example.com/oam/services/rest/access/api/v1/pswdmanagement/UserPasswordPolicyRetriever/oamadmin?description=true -u oamadmin:<password> -k
このコマンドによってパスワード・ポリシーが表示されます。
このコマンドが動作する場合は、次に示す保護されたURLにアクセスします。シングル・サインオンを有効にすると、ログイン・ページにパスワードを忘れた場合のリンクが表示されます。このリンクをクリックして、パスワードをリセットするユーザー名を入力します。「PINの生成」をクリックして電子メールを受信することで、パスワードを変更できます。
http://iadadmin.example.com/console
親トピック: パスワードを忘れた場合の有効化
構成のバックアップ
ベスト・プラクティスとして、ドメインの拡張が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。ここまでのインストールが正常に行われたことを確認したら、バックアップを作成します。これは、後のステップで問題が発生した場合に即座にリストアするための迅速なバックアップになります。
バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。
構成をバックアップする方法の詳細は、「エンタープライズ・デプロイメントのバックアップとリカバリの実行」を参照してください。
親トピック: Oracle Access Managementの構成