| Oracle Access Managerアクセス管理ガイド 10g(10.1.4.0.1) B31469-01 |
|
 戻る |
 次へ |
この章では、アクセス・システム・コンソールで使用できるアクセス・システムの追加の構成および管理機能について説明します。内容は次のとおりです。
アクセス・システムの管理の詳細は、次を参照してください。
Oracle Access Managerを、『Oracle Access Managerインストレーション・ガイド』の手順に従ってインストールおよび設定しておく必要があります。『Oracle Access Manager概要』を一読し、その他のマニュアルに記載されていないOracle Access Managerの概要を確認してください。また、『Oracle Access Manager IDおよび共通管理ガイド』をよく理解しておいてください。このマニュアルには、アクセス・システムのアプリケーションおよびインストールの簡単な説明、アクセス・システムの構成および管理、ならびに共通の機能、構成および管理が説明されています。
アクセス・システム・コンソールの「システム構成」機能を使用したサーバー設定の表示および管理者の構成については、このマニュアルの前半の章で説明しています。ここでは、その説明は繰り返しません。
この項の残りの内容は次のとおりです。
アクセス・システム・コンソールの「アクセス・システム構成」タブでは、次に示すような様々な機能を使用できます。参照先が明記されていないアクセス・システム構成の機能は、このマニュアルの他の章で説明しています。
Access Serverクラスタ: 既存のAccess Serverクラスタの表示、新規Access Serverクラスタの追加と既存のAccess Serverクラスタの変更、ならびにAccess Serverクラスタの構成と削除を行います。
AccessGate構成: 既存のAccessGateの表示、新規AccessGateの追加と既存のAccessGateの変更、ならびにAccessGateの構成と削除を行います。
Access Server構成: 既存のAccess Serverの表示、新規Access Serverの追加と既存のAccess Serverの変更、キャッシュおよび監査設定の構成を行います。
認証管理: 認証ルールを構成します。
認可管理: 認可ルールを構成します。
ユーザー・アクセス構成: この章の「ユーザー・アクセスの構成」の手順に従って、失効したユーザーをリストし、ユーザー・キャッシュをフラッシュします。
共通情報の構成: 暗号鍵を生成してCookieを暗号化し(この章で説明)、マスター監査ルールを構成し、リソース・タイプ定義を管理し、パスワード・ポリシー・キャッシュをフラッシュし(この章で説明)、重複アクション・ヘッダーを処理します。この章で説明する項目の詳細は、次を参照してください。
ホスト識別子: ホスト識別子を構成します。
アクセス・システム・コンソールには、システム管理操作を実行するためのオプションが複数用意されています。この章では、これらのオプションについて説明します。
診断: 接続情報を含むAccess Serverの詳細を表示します(「診断の実行」を参照)。
レポートの管理: ユーザー・アクセス権限レポートを作成、表示、変更および実行できます(「ユーザー・アクセス権限レポートの管理」を参照)。
同期レコードの管理: 同期レコードをアーカイブまたはパージできます(「同期レコードの管理」を参照)。
診断、監査、レポートおよびロギングの詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
アクセス・システム・コンソールの「アクセス・システム構成」タブで使用可能な「ユーザー・アクセス構成」機能を使用すると、失効したユーザーを管理し、キャッシュからユーザー・データをフラッシュできます。この項では、次の項目について説明します。
|
注意: ユーザー・アクセスを構成するには、マスター・アクセス管理者または適切な権限を持つ委任アクセス管理者である必要があります。 |
キャッシュの詳細は、「アクセス・システムのキャッシュの自動フラッシュ」を参照してください。『Oracle Access Managerデプロイメント・ガイド』も参照してください。
いずれのリソースへのアクセスも禁止されているユーザーのリストを作成および変更できます。このリストは、リソースへのユーザー・アクセスを制御する他の任意のポリシーより優先されます。いったん失効したユーザーがブラウザをリフレッシュしようとした場合や、保護されている別のリソースに移動しようとした場合、このユーザーのアクセスは拒否されます。失効したユーザーがログインしようとすると、次のエラーが表示されます。
ログインで使用される資格証明(credentials)に対応するユーザーは、アクセス・システム管理者によって取り消されました。
アクセス・システム・コンソール、「アクセス・システム構成」をクリックし、「ユーザー・アクセス構成」をクリックします。
「ユーザー・アクセス構成」画面が表示されます。
「失効したユーザー」をクリックします。
失効したユーザーの名前が表示された「ユーザー失効リストの変更」画面が表示されます。失効したユーザーが存在しない場合、「ユーザー失効リストの構成」画面が表示されます。失効したユーザーが存在する場合、「失効したユーザー」リンクの下にその名前が表示されます。
「ユーザーの選択」をクリックし、セレクタ機能(「ユーザーの選択」ボタン)を使用し、失効したユーザーを追加または削除します。
セレクタの使用方法の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
変更内容を保存する場合は、「保存」をクリックします。または、保存しないで終了する場合は、「取消」をクリックします。
この機能を使用すると、AccessGateおよびAccess Serverのキャッシュから特定のユーザーに関する情報を削除できます。たとえば、属性を表示または変更するためのユーザー権限を変更した後、このユーザーの情報をフラッシュする場合があります。
「ユーザー・アクセス構成」機能内の任意の画面が表示された状態で、「ユーザー・キャッシュのフラッシュ」タブをクリックします。
たとえば、次のようにします。
アクセス・システム・コンソールで、「アクセス・システム構成」→「ユーザー・アクセス構成」→「ユーザー・キャッシュのフラッシュ」の順に選択します。
「指定されたユーザーのキャッシュされた全情報のフラッシュ」画面が表示されます。
セレクタ機能(「ユーザーの選択」ボタン)を使用し、すべてのキャッシュから情報がフラッシュされたユーザーのリストを作成します。
セレクタの使用方法の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
選択したユーザーの名前が表示されます。
「キャッシュのフラッシュ」をクリックします。
削除を確定してよいか確認を求められます。「OK」をクリックすると、画面から名前が消去され、これらのユーザーに関する情報がAccessGateおよびAccess Serverのキャッシュからフラッシュされます。
「アクセス・システム構成」の「共通情報の構成」タブで使用可能な「共有シークレット」機能を使用して、AccessGateからブラウザに送信されるシングル・サインオンCookieを暗号化するための鍵を生成します。
|
注意: 共有シークレット鍵を作成するには、マスター・アクセス管理者である必要があります。Oracle Access Managerのインストール後はできるだけ早く暗号鍵を生成する必要があります。生成しない場合、セキュリティの低いデフォルトの鍵が使用されます。 |
AESは、Oracle Access Manager 7.0に導入された新しい暗号スキームです。Oracle Access Manager 10.1.4の新規インストールを使用している場合、AESがデフォルトの暗号スキームです。Oracle Access Manager 10.1.4ではRC6暗号スキームの使用は推奨されておらず、将来のリリースではサポートされなくなる予定です。
旧バージョンからOracle Access Manager 10.1.4にアップグレードした場合、この旧式の暗号化スキームは保持されます。次のように、古いWebGateは新しいWebGateと共存できます。
バージョン5.xとバージョン7.xのWebGateが共存している場合、RC4を暗号化スキームとして使用します。
バージョン6.xとバージョン7.xのWebGateが共存している場合、RC6を暗号化スキームとして使用します。
AES暗号化スキームを使用するのは、すべてのWebGateおよびAccess ServerがOracle Access Managerバージョン7.0以上にアップグレードされている場合のみにしてください。
|
注意: セッション・タイムアウトより頻繁に共有シークレットが生成される場合、ユーザーのCookieは、3世代以上旧式の共有シークレットを使用して暗号化されている可能性があります。この場合、Cookieは拒否され、ユーザーは再認証するよう強制されます。 |
アクセス・システム・コンソールで、「アクセス・システム構成」→「共通情報の構成」の順にクリックします。
「共通情報の構成」画面が表示されます。
画面上部にある「共有シークレット」タブをクリックします。
「共有シークレットの生成」画面が表示されます。
「変更」をクリックします。
これにより、「共有シークレットの生成」ページで様々な暗号を選択できるようになります。
共有シークレットに適した暗号オプションを選択します(AES暗号を使用することをお薦めします)。
「シークレットの生成」を1回だけクリックします。
新しい暗号鍵が生成され、システム上のAccess Serverごとに配布されます。エンドユーザーに対するサービスを妨げることなく、新しい鍵が既存の鍵に取ってかわります。再認証が行われるのは、セッションがタイムアウトした場合のみです。このプロセスは、グランドファザリング方式と呼ばれます。「シークレットの生成」を複数回クリックすると、IDの共有暗号鍵がPolicy Managerの鍵と同期しなくなります。
操作が成功したことを示すメッセージが表示されます。
「アクセス・システム構成」で「共通情報の構成」タブを選択し、「パスワード・ポリシー・キャッシュのフラッシュ」機能を使用して、Access Serverのキャッシュからすべてのパスワード・ポリシーをフラッシュできます。パスワード・ポリシー・キャッシュをフラッシュすると、既存のパスワード・ポリシーが削除され、新しく構成されたポリシーが追加されます。
|
注意: パスワード・ポリシー・キャッシュをフラッシュするには、マスター・アクセス管理者である必要があります。また、このキャッシュを自動的に更新することもできます。Access Serverのキャッシュの更新の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。 |
「アクセス・システム・コンソール」をクリックし、「アクセス・システム構成」→「共通情報の構成」の順に選択し、「パスワード・ポリシー・キャッシュのフラッシュ」をクリックします。
次の画面で、キャッシュからフラッシュするポリシーの名前を選択します。
「キャッシュのフラッシュ」をクリックし、「OK」をクリックして決定内容を確定します。
リダイレクトURLを構成した場合、「リダイレクトURLのフラッシュ」をクリックしてから、「OK」をクリックします。
アクセス・システム・コンソールの「システム管理」ページの診断機能を使用して、Oracle Access ManagerシステムのすべてのAccess Serverまたは選択したAccess Serverに対して診断を実行します。
アクセス・システム・コンソールで、「システム管理」を選択し、「診断」をクリックします。
診断を実行するAccess Serverを選択するよう求められます。
目的のオプションを選択します。
すべてのAccess Server: 「すべてのAccess Server」を選択し、「実行」ボタンをクリックします。
特定のAccess Server: [Ctrl]キーを押したまま、詳細を表示するサーバーの名前をクリックし、「実行」ボタンをクリックします。
アクセス・システム・コンソールの「システム管理」ページにある「レポートの管理」機能を使用して、ユーザー・アクセス権限レポートを管理します。
各Access Serverは、処理対象のリソース・リクエストに関する監査情報を収集できます。既存のレポートのリストは、「レポートの管理」ページに表示できます。また、次の操作を実行できます。
監査およびレポートの詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
特定のユーザーが特定の時間に特定のリソースにアクセスできるかどうかを検証するためのユーザー・アクセス権限レポートを作成できます。次の手順で、これらのフィールドへの入力について説明します。
アクセス・システム・コンソールで、「システム管理」を選択し、「レポートの管理」をクリックします。
「ユーザー・アクセス権限レポートの管理」ページで、「追加」ボタンをクリックします。
次のように情報を入力します。
レポート名: 監査レポートを示すわかりやすい名前を選択します。
説明: 必要に応じて、レポートの説明を入力できます。
Access Server: レポートの情報を収集するAccess Serverの名前。
結果ストレージ: 監査データをディスク・ファイルとデータベースのどちらに保存するかを示します。
ファイルに保存: このオプションの横にあるボックスを選択し、完全修飾されたパスおよびファイル名を「ファイル名」フィールドで指定します。
データベースに保存: 特定のOracle Access Manager構成の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。データベースのサポートの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
リソースのリスト: このオプションの横にある「追加」ボタンをクリックし、次のスクリーン・ショットに示すように、「リソース・ルールの追加」ページを表示します。
|
注意: レポートには複数のリソースを追加できます。各リソースに関するアクセス情報は、レポートで返されます。 |
「リソース・ルールの追加」ページで、次の項目を指定してルールを作成し、「保存」をクリックして「新規レポートの追加」ページに戻ります。
URL: レポートに追加するターゲット・リソースのURL。
リソース・タイプ: サポートされている選択肢はHTTPとEJBです。
リソース操作: レポートに含めることができる操作の横にチェック・ボックスが表示されます。特定のリソースに対して特定のユーザーが特定の時間に使用可能な操作は、Oracle Access Managerによって決定されます。
「新規レポートの追加」ページで、続けて次の情報を指定します。
開始IPアドレス: オプション。アクセスをテストするクライアント・ブラウザをホストしているマシンのIPアドレス。このパラメータはオプションです。
アクセスの日付/時間: ボタンを選択し、現在のレポートによって指定されたユーザーが特定のリソースを使用できる日付/時間を決定します。
任意: 少なくともいずれかの時点でリソースを使用可能にするかどうかがOracle Access Managerによって決定されます。
特定の日時: 特定の時間を指定することにより、この時間にアクセスを許可するかどうかをOracle Access Managerが決定できるようにします。
次のユーザーのアクセス権をチェック: ディレクトリ内のすべてのユーザーまたは指定するユーザーのみのアクセス権をチェックするかどうかを指定します。
選択されたユーザー: 「セレクタ」ページを使用して、特定のユーザーを検索および追加できます。「選択されたユーザー」を選択し、「ユーザーの選択」ボタンをクリックし、検索基準を指定して、特定のユーザーを追加します。
すべてのユーザー: ディレクトリ内のすべてのユーザーのアクセス権をチェックします。
「レポートの追加」ページで「保存」をクリックしてレポートの仕様を保存し、「ユーザー・アクセス権限レポートの管理」ページでリンクとして指定した名前を表示させます。
「ユーザー・アクセス権限レポートの管理」ページ(アクセス・システム・コンソールで、「システム管理」を選択し、「レポートの管理」をクリック)では、次のような様々な操作を実行できます。
追加: 新しいレポートを作成します(「レポートの追加」参照)。
削除: 「ユーザー・アクセス権限レポートの管理」ページのレポート名の横にあるボックスを選択し、「削除」ボタンをクリックしてレポートを削除します。レポートを削除するかどうかを尋ねられた場合は確定します。
|
注意: 複数のレポートを同時に削除または実行する場合、操作対象のすべてのボックスを選択し、適切なボタンをクリックします。 |
実行: 「ユーザー・アクセス権限レポートの管理」ページのレポート名の横にあるボックスを選択し、「実行」ボタンをクリックします。レポートを実行するかどうかを尋ねられた場合は確定します。
リフレッシュ: 「リフレッシュ」ボタンをクリックし、「ユーザー・アクセス権限レポートの管理」ページのレポートのリストを更新します。
変更: 「ユーザー・アクセス権限レポートの管理」ページのリンクをクリックして既存のレポートの管理ページを表示させ、既存の静的監査レポートのパラメータを変更します。各オプションの詳細は、「レポートの追加」を参照してください。
同期レコードはPolicy Managerによって作成され、ディレクトリ・サーバーに格納されます。これらのレコードは時間が経つにつれて蓄積されていきます。特定の日付より前のすべてのレコードを定期的にアーカイブまたはパージすることにより、ディレクトリ・サーバー上でこれらのレコードが占めるスペースを管理できます。
通常、アーカイブ・ファイルにはnnn.ldifという名前が付いています。nnnは、ファイルの作成時間と、レコードのアーカイブまたはパージによるカットオフ時間の両方を示す一連の数値です。カットオフ時間より前に作成されたすべてのレコードがアーカイブまたはパージされます。
デフォルトでは、アーカイブされたファイルは次の場所に格納されます。
PolicyManager_install_dir\access\oblix\data\common
PolicyManager_install_dirは、Policy Managerをインストールしたディレクトリを表します。
アクセス・システム・コンソールで、「システム管理」→「同期レコードの管理」の順にクリックします。
「同期レコードの管理」ページで、ドロップダウン・リストを使用して「同期レコードが生成された日付」を指定します。
「同期レコードのアーカイブ」ボタンをクリックします。
レコードをアーカイブするかどうか確認する質問に対し、「OK」をクリックしてアクションを実行します。または「取消」をクリックして操作を取り消します。
次のようなメッセージが表示された場合、アーカイブの場所を記録します。
Successfully archived 210 sync records generated before the selected date to file /export/home/COREid1014/webcomponent/access/oblix/data/common/syncrecords109099 8000.20040729.040844.ldif.
アクセス・システム・コンソールで、「システム管理」→「同期レコードの管理」の順にクリックします。
「同期レコードの管理」ページで、ドロップダウン・リストを使用して「同期レコードが生成された日付」を指定します。
「同期レコードのパージ」ボタンをクリックします。
本当にレコードをパージするかどうかの質問に対し、「OK」をクリックしてアクションを実行します。または「取消」をクリックして操作を取り消します。
レポートの詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
