| Oracle Access Manager統合ガイド 10g(10.1.4.0.1) B31473-01 |
|
 戻る |
 次へ |
この章では、Microsoft SharePoint Portal Server(SPPS)2003との統合方法について説明します。この章のトピックは次のとおりです。
Oracle Access Managerは、Webベース・シングル・サインオン(SSO)、ユーザーのセルフサービスと自己登録、ユーザー・プロビジョニング、レポートと監査、ポリシー管理、動的グループ、委任管理など、様々なID管理機能とセキュリティ機能を備えています。Oracle Access Manageは、すべての先進的なディレクトリ・サーバー、アプリケーション・サーバー、Webサーバー、エンタープライズ・アプリケーションとの統合が可能です。
SharePoint Portal Server(SPPS)は、セキュアかつスケーラブルなエンタープライズ・ポータル・サーバーであり、Windows Server 2003 Microsoft Internet Information Services(IIS)とWindows SharePoint Services(WSS)上で構築されます。SPPSにより、SharePointのサイト、情報、アプリケーションを、1つの使用しやすいポータルに集約することができます。SPPSには、WSSの機能に加えて、ニュースやトピックなどの追加機能や、個人用サイトのパーソナル・ビューとパブリック・ビューなども組み込まれています。
Oracle Access ManagerをSPPSと統合すると、IIS用ISAPIフィルタとISAPIワイルドカード拡張機能を使用してAccess Systemによってユーザー認証が処理されます。これにより、Oracle Access ManagerとSPPS間のシングル・サインオンが有効になります。WSSは、すべてのSPPSリソースに対するリソース・リクエスト認可を処理します。
このような統合を行うと、SPPSリソースだけではなく、Oracle Access Managerで保護されたリソースに対しても、認証されたユーザーによるSSOアクセスが可能になります。リソースは、Oracle Access Managerでサポートされるすべてのプラットフォーム(Windows、Solaris、Linuxなど)やアプリケーション・サーバー(WebLogicやWebSphereなど)に格納できます。
Oracle Access ManagerとSPPSの統合では、Windowsの偽装機能が使用されます。これにより、Windowsサーバー・ドメインの信頼できるユーザーを、SPPSターゲット・リソースをリクエストする任意のユーザーのIDとみなすことができます。この信頼できるユーザーは、任意のユーザーに代わってリソースにアクセスする際に、このユーザーのIDコンテキストを保持します。
偽装は、ユーザーに対して透過的に行われます。つまりユーザーから見た場合、SPPSリソースがAccess Systemドメイン内のリソースであるかのように、リソースに対して直接アクセスが行われるように見えます。
SPPSと正常に統合するには、Oracle Access ManagerコンポーネントとMicrosoftコンポーネントが両方とも必要です。これらのコンポーネントのインストールと構成を行う場合、統合の他に偽装もサポートするように設定する必要があります。
この項のトピックは次のとおりです。
この章に記載されているバージョンとプラットフォームの参照情報は、説明用に記載されたものです。
この統合用にサポートされているバージョンとプラットフォームを確認するには、次に示すMetalinkを参照してください。
Metalinkの情報を表示する手順
次のURLに移動します。
「Certify」タブをクリックします。
「View Certifications by Product」をクリックします。
「Application Server」オプションを選択して「Submit」をクリックします。
「Oracle Application Server」を選択して「Submit」をクリックします。
この章に記載されているバージョンとプラットフォームの参照情報は、説明用に記載されたものです。最新のサポート情報は、https://metalink.oracle.comの「Certify」タブを参照してください。
表15-1は、SPPSとの統合に必要なMicrosoftのコンポーネントを示したものです。
表15-1 Microsoft要件
| コンポーネント/機能 | 要件/コメント |
|---|---|
|
オペレーティング・システム |
SPPSホスト用Windows Server 注意: 5種類のエディションのいずれも使用できます。 注意: Active Directoryドメイン・コントローラはWindows Server 2003のマシン上に配置する必要がありますが、このマシンはSPPSをホストするマシンである必要はありません。 |
|
拡張サービス |
|
|
ディレクトリ・サービス |
Active Directoryです。これは、Windows Server 2003のインストール後にインストールします。SPPSは、Active Directoryドメイン・コントローラまたはActive Directoryの異なるインスタンスと直接接続することができます。
注意: ここに記載されたすべてのシナリオのSPPSにおいて、Active Directoryドメイン内のマシンにインストールされたDesktop SQLまたはSQL Serverのインスタンスのいずれかが使用されます。 |
|
ポータル・サーバー |
SharePoint Portal Server (SPPS)。Active Directoryのインストール後、Windows Server 2003とIISがすでにインストールされているマシンにSPPSをインストールします。 |
|
セキュリティ・サービス |
Kerberos Key Distribution Center(KDC)が、Windows Server 2003の一部として自動的にインストールされます。 |
表15-2のコンポーネントは、SPPSとの統合に必要なコンポーネントです。
表15-2 コンポーネントの要件
| 項目 | 要件/説明 |
|---|---|
|
WebGate |
Oracle Access Managerに同梱されているISAPIバージョンのWebGateが、SPPSと同じマシン上に配置されている必要があります。 SPPS統合のコンテキスト内において、このWebGateはWebリソースのHTTPリクエストを捕捉するISAPIフィルタとして機能し、Access Serverと連携してこのリクエストを作成したユーザーの認証を行います。認証が正常に完了すると、WebGateはObSSOCookieを作成してユーザーのブラウザに送信し、シングル・サインオンを可能にします。WebGateは、このユーザー・セッション用のHeaderVarアクションとして、偽装の設定も行います。 |
|
IISImpersonationExtension. dll |
このdllは、Authorization Success Action HeaderVarの偽装が設定されているかどうかをチェックするIISワイルドカード拡張機能です。設定されている場合、dllによってKerberos U4S2Selfチケットが作成され、SPPS Active Directory内の特別な信頼できるユーザーは最初にリクエストを作成したユーザーになれます。 ISAPI WebGateインストール・ウィザードを実行すると、WebGateディレクトリ構造内にIISImpersonationExtension.dllが自動的にインストールされます。ただし、偽装とSPPS統合を有効にするには、dllを手動で構成する必要があります。 |
|
Oracle Access ManagerDirectory |
Oracle Access Managerは、LDAPとActive Directoryなど、サポートされるディレクトリ・サービスに接続できます。SPPSによって使用されるActive Directoryの同じインスタンスとも接続できます。 いずれの場合も、SPPSやSPPSを保護するWebGateと同じマシン上にディレクトリを配置する必要はありません。 |
|
その他のコンポーネント |
SPPSを統合する場合、他の標準的なOracle Access Managerのシステム・コンポーネント(SPPSのインストールを保護するWebGateと相互運用するように構成されたAccess Serverなど)もインストールする必要があります。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。 SPPSを保護するWebGateを除き、SPPSをホストするマシン上にコンポーネントを配置する必要はありません。 注意: Policy ManagerまたはWebPass、あるいはその両方をSPPSと同じIIS仮想サーバーにインストールする場合、SharePoint管理対象パスを使用してこれらのコンポーネントへのURLパスを除外する必要があります。詳細は、「SharePointで管理対象パスを定義する手順」を参照してください。Policy ManagerとWebPassは、SPPSとは異なるマシンにインストールするか、少なくともSPPSをインストールしたマシンとは異なるIIS仮想サーバーにインストールするほうが簡単です。 |
Oracle Access Managerは、Windowsの偽装機能を使用してSPPSリソースへのユーザー・アクセスを容易にします。
ユーザーがSPPSリソースへのアクセスをリクエストします。
SPPSを保護するWebGate ISAPIフィルタがこのリクエストを捕捉し、ターゲット・リソースが保護されているかどうかを確認します。保護されている場合、認証資格証明に対してユーザーのチャレンジ認証を行います。
ユーザーが資格証明を入力し、Access Serverによってこの資格証明が検証されると、WebGateによってユーザーのブラウザにObSSOCookieが設定され、シングル・サインオンが有効になります。
WebGateにより、impersonateというHTTPヘッダー変数も設定されます。この変数の値は、認証されるユーザーのLDAP uidに設定されます(ユーザー・アカウントがActive Directoryに存在する場合はsamaccountname、ユーザー・アカウントがマルチドメインActive Directoryフォレストに存在する場合はuserPrincipalNameになります)。
|
注意: この時点では偽装はまだ設定されていないため、IISはユーザーを匿名ユーザーとして認識します。 |
Oracle Access Manager ISAPIワイルドカード拡張機能IISImpersonationExtension.dllは、impersonateという名前の認可成功アクション・ヘッダー変数があるかどうかを確認します。
このヘッダー変数が存在する場合、ワイルドカード拡張機能によってユーザーのKerberosチケットが取得されます。このService for User to Self(S4U2Self)偽装トークンにより、指定された信頼できるユーザーがリクエスト・ユーザーのIDを使用し、IISとSPPSによるターゲット・リソースへのアクセス権限を取得します。
この章に記載されているバージョンとプラットフォームの参照情報は、説明用に記載されたものです。完全なサポート情報は、https://metalink.oracle.comの「Certify」タブを参照してください。
SharePoint Portal Serverとの統合には、いくつかのフェーズがあります。
「Microsoftのコンポーネントのインストール」の説明に従って、Microsoftのコンポーネントをインストールします。
「Oracle Access Managerのコンポーネントのインストール」の説明に従って、Oracle Access Managerをインストールします。
「偽装の設定」の説明に従って、偽装を設定します。
「SPPSとの統合の完了」の説明に従って、統合を完了します。
特に記載がないかぎり、次のソフトウェアを含むMicrosoft SPPS関連のすべてのコンポーネントを、同じホスト・マシンにインストールする必要があります。
Windows Server 2003
Microsoft IIS v6 Web Server
SPPS(および基礎となるWSS)
次のMicrosoftコンポーネントは、メインのSPPSのインストールをホストするマシン以外のマシンにインストールできます。
Active Directory(インストールの場所の詳細は、表15-1を参照)。
SQL Serverは、Active Directoryドメイン・コントローラがSPPSと同じマシンにインストールされている場合にかぎり、Active Directoryドメイン内のマシンにインストールする必要があります。インストールの場所の詳細は、表15-1を参照してください。
追加SPPSフロント・エンド・サーバー。
Webページ、ドキュメント、アプリケーションなどのSPPSリソースを格納する1台以上のバック・エンド・サーバー。
|
注意: 前述のSPPS関連コンポーネントをホストするすべてのマシンは、インストールするSPPSサーバーと同じActive Serverドメイン内に存在する必要があります。 |
次に示すタスクの概要には、この統合用にMicrosoftのコンポーネントをインストールする場合に行う必要がある手順を説明するドキュメントへの参照情報が含まれています。
タスクの概要: Microsoftのコンポーネントのインストール
該当するMicrosoftのドキュメントに従い、SPPSのインストールをホストするマシンにWindows Server 2003をインストールします。
該当するMicrosoftのドキュメントに従い、SPPSのインストールをホストするマシンにIISをインストールします。
該当するMicrosoftドキュメントと『Oracle Access Managerインストレーション・ガイド』の説明に従い、Active Directoryをインストールします。また、インストール場所の考慮事項は、表15-1を参照してください。
SPPSとActive Directoryドメイン・コントローラが同じマシンにある場合は、表15-1に記載されているように、Microsoft SQL Serverもそのマシンにインストールする必要があります。
SharePoint ServicesとSharePoint Portal Serverは、IISインストールのルート仮想サーバー(デフォルトでポート80を使用する)または他のIIS仮想サーバーにインストールします。
ポータルを作成して設定します。
SPPSのインストール後、Oracle Access Managerと統合する前に、インストール操作を停止してSPPSが適切に機能するかどうかをテストします。
ポータルを作成します。
テストのドキュメントをアップロードします。
対象ユーザーを作成します。
必要に応じて、対象ユーザーを編集します。
対象ユーザーをコンパイルします。
ポータルを作成するサーバーの「SharePoint Portal Server Central Administration」ページの「Portal Site and Virtual Server Configuration」セクションで、「Create a portal site」をクリックします。
「Portal Creation Options」セクションで、「Create a portal」をクリックします。
「Site Name」セクションの「Name」ボックスに、ポータル・サイトの名前を入力します。この名前は、ポータル・サイトのほとんどのページで最上部に表示されます。
「Site URL」セクションの「Virtual server」リストで、ポータル・サイトをホストするサーバーの既存の仮想サーバーをクリックします。
「URL」ボックスに、ユーザーがポータル・サイトへの接続に使用するURLを入力します。デフォルトでは、このURLはhttp://server_name/になります。ポート番号が80以外の仮想サーバーを選択する場合は、http://server_name:port_number/のように、ポート番号がURLの一部として表示されます。
|
注意: ローカル・サーバーのURLではなく、ロード・バランスされたURLを指定してください。 |
「Owner」セクションの「Account name」ボックスに、Domain\user_nameの形式でポータル・サイト所有者のアカウント名を入力します。ポータル・サイト所有者は、コンテンツとユーザー・アクセスを管理します。
「E-mail address」ボックスにポータル・サイト所有者の電子メール・アドレスを入力し、「OK」をクリックします。
server_nameのポータル作成確認ページで「OK」をクリックし、ポータル・サイトの作成を開始します。
ポータルが作成されると、「Operation Status」のページが表示されます。ポータル・サイトが正常に作成されると、「Operation Successful」ページが表示されます。これで、ポータル・サイトの詳細な構成を開始できます。
Webブラウザを使用して、ポータルのホーム・ページに移動します。
「Actions」リストから「Upload Document」を選択します。
「Upload Document」のページで「Browse」をクリックして追加するドキュメントに移動し、「Open」をクリックします。
複数のドキュメントを同時に追加するには、「Upload Multiple Files」をクリックします。
ライブラリ内の同じ名前のファイルを置き換えるには、「Overwrite existing file(s)?」チェック・ボックスを選択します。
「Save」をクリックして「Close」をクリックします。
対象ユーザーは、組織内のジョブやタスクに基づいています。対象ユーザーは、指定されたユーザーをターゲット・コンテンツと一致させ、他のすべてのユーザーに対してターゲット・コンテンツの表示を禁止します。構成するサイトの「Managing Audiences」ページで、「Create audience」をクリックします。
「Create audience」ページで、対象ユーザーの名前と説明を入力します。
「Satisfy all rules」または「Satisfy any of the rules」をクリックして「OK」をクリックします。
「Add Audience Rule」ページが表示されたら、サイトのコンテンツへのアクセスを制御するルールを追加します。「View Audience Properties」ページからもルールを追加できます。詳細は、対象ユーザー・ルールの追加と編集に関するMicrosoft SPPSドキュメントを参照してください。
コンテンツが対象ユーザーのターゲットとなるように対象ユーザーをコンパイルします。「対象ユーザーをコンパイルする手順」を参照してください。
構成するサイトの「View Audience Properties」ページで「View Audience Properties」をクリックし、「Edit audience」をクリックします。
「Edit audience」ページで、必要に応じて対象ユーザーの名前や説明を変更します。
「Satisfy all rules」または「Satisfy any of the rules」をクリックして「OK」をクリックします。
「View Audience Properties」ページが再度表示された場合は、必要に応じて対象ユーザー・ルールの追加、削除、編集を行います。
対象ユーザーの統計を確認し、現在のメンバー数と直近のコンパイル日時を確認します。対象ユーザーおよび対象ユーザーに関連するルールの設定がすべて終了したら、対象ユーザーをコンパイルして変更を有効にします。「対象ユーザーをコンパイルする手順」を参照してください。
対象ユーザーまたは対象ユーザーに関連するルールに対して行った変更は、対象ユーザーをコンパイルするまでは有効になりません。「Manage Audiences」ページに移動し、コンパイルのステータスとコンパイルする対象ユーザーの直近のコンパイル日時を確認します。このページで、不完全な対象ユーザーの数を表示することもできます。
コンパイルを開始するか、コンパイル・スケジュールを設定します。
SPPS用ISAPI WebGateは、SPPSと同じマシンにインストールする必要があります。その他のインストールは、同じマシンでも、異なるマシンでも実行できます。
異なるマシン(Solaris、Linux、Windowsマシン)にインストールする場合、Active Directory用に設定することができます(ホスト・マシンでWindows Server 2003が実行されている場合)。または、NetScape Directory Serverなど他のディレクトリ・サービス用に設定することもできます(マシンでSolarisやLinuxなどが実行されている場合)。
Oracle Access ManagerとSPPSの両方をActive Directoryの異なるインスタンスに対して設定する場合、両方のインスタンスが同じActive Directoryドメインに属している必要があります。
SPPSとの統合用にOracle Access Managerコンポーネントをインストールする手順
SPPSをホストするマシンと同じマシン(または異なるマシン)に、Identity ServerとWebPassをインストールします。次に、『Oracle Access Managerインストレーション・ガイド』の説明に従ってIDシステムを設定します。WebPassをインストール場合の考慮事項は、表15-2を参照してください。
『Oracle Access Managerインストレーション・ガイド』と表15-2の説明に従い、SPPSをホストするマシンと同じマシン(または異なるマシン)に、Policy ManagerおよびAccess Serverのインスタンスを1つ以上インストールします。
統合するSPPSインスタンスをホストするマシンに、ISAPI WebGateをインストールします。
パッケージの一部として、IISImpersonationExtension.dllが次のディレクトリにインストールされます。
WebGate_install_dir\access\Oblix\apps\webgate\bin\
このWebGate_install_dirは、WebGateをインストールしたディレクトリです。
Policy ManagerまたはWebPassをSPPSと同じIIS仮想サーバーにインストールした場合、「SharePointの管理対象パスの定義」の操作を実行してください。
Policy ManagerまたはWebPassがSPPSと同じIIS仮想サーバーにあり、IIS仮想サーバーと同じポートをリスニングする場合にかぎり、次の手順を実行します。たとえば、デフォルトの仮想IISサーバーは、多くのPolicy ManagerとWebPassのインストールと同じようにポート80を使用するため、アプリケーションが使用するポートを変更するか、SharePointの管理対象パスの定義機能を使用してOracle Access Managerコンポーネントが使用するパスを除外する必要があります。
「スタート」、「管理ツール」、「SharePoint Central Administration」の順に選択します。
「Virtual Server Configuration」セクションで、「Configure virtual server settings」をクリックします。
「Virtual Server」のリストで、「Default Web Site」をクリックするか、またはSPPSとOracle Access Manager両方のコンポーネントがインストールされている仮想サーバーの名前をクリックします。
「Virtual Server Management」セクションで、「Define Managed Paths」を選択します。
「Add a Path」セクションでPolicy ManagerまたはWebPassへのパスを入力し、「Excluded path」のボタンをクリックします。
「OK」をクリックし、除外されたパスのリストにパスを追加します。
偽装の設定は、次の項で説明します。SPPSとの統合用に設定する場合と、他のアプリケーションで使用するために設定する場合があります。
「信頼できるユーザー・アカウントの作成」の説明に従い、SPPSに接続するActive Directoryでの偽装専用に、信頼できるユーザー・アカウントを作成します。
「信頼できるユーザーへの権限の割当て」の説明に従い、オペレーティング・システムの一部として機能する特別な権限を、信頼できるユーザーに付与します。
「WebGateへの信頼できるユーザーのバインド」の説明に従い、信頼できるユーザーの認証資格証明を指定して、信頼できるユーザーをWebGateにバインドします。
「ポリシー・ドメインへの偽装アクションの追加」の説明に従い、偽装用ポリシー・ドメインの認可成功アクションにimpersonateという名前のヘッダー変数を追加します。
「IISへの偽装dllの追加」の説明に従い、IISImpersonationExtension.dllをIIS構成に追加してIISを構成します。
「偽装のテスト」の説明に従い、偽装をテストします。
この特別なユーザーは、偽装以外には使用しないでください。
SPPSのインストールをホストするWindows 2003マシンで、「スタート」、「プログラム」、「Manage Your Server」、「Domain Controller (Active Directory)」、「Manage Users and Computers in Active Directory」の順に選択します。
Active Directory Users and Computersウィンドウで、左側のペインのツリーにある「Users」を右クリックし、「New」、「User」の順にクリックします。
「New Object - User」ペインの「First name」フィールドに、覚えやすい名前(「SPPSImpersonator」など)を入力します。
これと同じ文字列を「User logon name」フィールドにコピーし、「Next」をクリックします。
以降のパネルで、パスワードの選択と、確認用としてパスワードの再入力を求める画面が表示されます。
|
注意: 信頼できるユーザーには強力な権限が付与されるため、複雑なパスワードを選択することをお薦めします。また、「Password Never Expires」ボックスを必ずチェックしてください。これは、信頼できるユーザー・アカウントを表示できるエンティティは偽装の拡張だけであるため、外部機関がパスワードの有効期限切れを検出することは困難だからです。 |
信頼できるユーザーに対して、オペレーティング・システムの一部として行動する権限を付与する必要があります。
「コントロール パネル」、「管理ツール」、「Domain Controller Security Policy」の順に選択します。
左側のペインのツリーで、「Local Policies」の隣にあるプラス・アイコン(+)をクリックします。
左側のペインのツリーで、「User Rights Assignment」をクリックします。
右側のペインの「Act as part of the operating system」をダブルクリックします。
「Add User or Group」をクリックします。
「Add User or Group」パネルで、「User and group names」テキスト・エントリ・ボックスに信頼できるユーザーのユーザー・ログイン名(この例ではSPPSImpersonator)を入力し、「OK」をクリックして変更を登録します。
信頼できるユーザーの認証資格証明を次のように指定して、信頼できるユーザーをWebGateにバインドする必要があります。
ブラウザでアクセス・システム・コンソールをポイントします。次に例を示します。
http://hostname.domain.com:port/access/oblix
この場合、hostnameはPolicy ManagerをホストするマシンのDNS名、domainはマシンが属するサーバー・ドメインの名前、portはPolicy Managerがリスニングするポートの番号です。
「アクセス・システム・コンソール」、「アクセス・システム構成」、「AccessGate構成」の順に移動します。
変更するWebgateの名前を選択します。
「AccessGateの詳細」ページに、このWebGateの構成情報の概要が表示されます。このWebページの一番下に、「暗号化ユーザー名」フィールドと「暗号化パスワード」フィールドがあります。
「AccessGateの詳細」ページの一番下にある「変更」ボタンをクリックします。
「AccessGateの変更」ページが表示されたら一番下までスクロールし、このタスクで作成した信頼できるユーザーのユーザー名とパスワードを入力します。
次に例を示します。
「保存」ボタンをクリックして変更をコミットし、「詳細」ページに戻ります。
これで、WebGateと信頼できるユーザーのバインドが作成されました。WebGateによる偽装を要求に応じて提供する準備ができました。要求は、偽装用に作成されたポリシー・ドメイン内の認可成功アクションによって作成されます。
SharePointリソースを保護するには、ポリシー・ドメインの作成または構成を行う必要があります。このためには、認可成功アクションを追加する際にheaderVarの戻り型を指定してnameパラメータをImpersonateに設定し、シングル・ドメインActive Directoryインストールの場合はreturn attributeパラメータをsamaccountnameに、複数ドメインActive Directoryフォレストの場合はuserPrincipalNameに設定します。
また、ドメインには、Impersonation Policy Domainなどの覚えやすい名前を選択する必要があります。
ポリシー・ドメイン作成の詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
アクセス・システム・コンソールに移動し、次のようにログインします。
http://hostname.domain.com:port/access/oblix
この場合、hostnameはWebPassとPolicy ManagerをホストするマシンのDNS名、domainはマシンが属するサーバー・ドメインの名前、portはPolicy Managerがリスニングするポートの番号です。
変更するポリシー・ドメインの認可定義のページに移動します。
「Policy Manager」、「ポリシー・ドメイン」、PolicyName、「認可ルール」
このPolicyNameは、偽装用に特別に作成したポリシー・ドメインです(この例ではImpersonationPolicyDomain)。
現在定義されている認可ルールがリストされます。何もリストされない場合は、「追加」ボタンをクリックして認可ルールを作成するフォームに入力します。
偽装アクションを追加するルールへのリンクをクリックして説明を開きます。
「認可ルール」タブのすぐ下にある「アクション」タブをクリックします。
「認可成功」ページが表示され、「認可成功」と「認可失敗」のセクションが別々に表示されます。アクションが指定されていない場合は、アクションを追加する必要があります。アクションが指定されている場合、アクションを変更できます。
impersonateという名前のヘッダー変数を、偽装用ポリシー・ドメインの認可成功アクションに追加する必要があります。
「認可成功」ページで、「追加」ボタンまたは「変更」ボタンをクリックします。
「認可成功」領域で、戻りの詳細を入力します。
例:
Type: HeaderVarName: IMPERSONATEReturn attribute: uid or samaccountname (Active Directory username, the Windows domain user for the desired folder)
この場合、HeaderVarは戻り型、IMPERSONATEは偽装用ヘッダー変数の名前です。戻り値のuidまたはsamaccountnameは、使用されているディレクトリに基づいています。
ルールを保存します。このルールは、2番目のWebGateリクエスト(認可用)で使用されます。
サンプルの画面ショットを示します。
これで、IISImpersonationExtension.dllをIIS構成に追加してIISを構成する準備が整いました。詳細は、「IIS構成に偽装dllを追加する手順」を参照してください。
複数のWebサイトがあり、SPPSと統合されているサイトと統合されていないサイトがあるときに、SPPSと統合されていないWebサイトに対して偽装を有効にする場合があります。このためには、Webサイト・ツリーの任意のレベルにImpersonation.dllをインストールし、Webサイトにワイルドカード拡張機能を追加する必要があります。詳細は、「Webサイトのワイルドカード拡張機能を追加する手順」を参照してください。
「スタート」、「管理ツール」、「インターネット インフォメーション サービス (IIS) マネージャ」の順に選択します。
左側のペインのツリーで、ローカル・コンピュータのアイコンの左にあるプラス・アイコン(+)をクリックします。
左側のペインのツリーで「Webサービス拡張」をクリックします。
右側のパネルの「Oblix WebGate」をダブルクリックし、プロパティ・パネルを開きます。
「必要なファイル」タブをクリックします。
「追加」をクリックします。
「ファイルのパス」テキスト・ボックスに、IISImpersonationExtension.dllへのフルパスを入力します。
デフォルトのパスは次のとおりです。
WebGate_install_dir\access\oblix\apps\webgate\bin\ IISImpersonationExtension.dll
このWebGate_install_dirは、WebGateをインストールしたディレクトリです。
|
注意: C:\Program Files\Oracle\...などのようにパス内に空白が存在する場合は、文字列全体を二重引用符(" ")で囲んでください。 |
「OK」をクリックします。
「Webサービス拡張のプロパティ」パネルの「全般」タブをクリックし、「ファイルの場所を確認しない」ボックスが選択されていないことを確認します。
「Oblix WebGate」アイコンの左の「許可」ボタンが、次の画面ショットのように入力不可の状態になっていることを確認します。これは、dllがWebサービス拡張機能として実可能な状態になっていることを示しています。
|
注意: 「許可」ボタンが入力可能な状態になっている場合は、このボタンをクリックして入力不可の状態にしてください。「許可」ボタンが入力不可になっている場合は、ハイライト表示されたファイルがIIS仮想サーバー上で実行可能な状態になっていることを示しています。 |
Webサイトのワイルドカード拡張機能を追加する手順
Oracle Access ManagerがSharePoint Portal Serverと統合されていない場合は、次のようにWebサイトのワイルドカード拡張機能を構成します。
「スタート」、「管理ツール」、「インターネット インフォメーション サービス (IIS) マネージャ」の順にクリックします。
左側のペインのツリーで、ローカル・コンピュータのアイコンの左にあるプラス・アイコン(+)をクリックします。
左側のペインのツリーで「Webサイト」をクリックします。
該当するWebサイトを表すアイコンを右クリックし、メニューの「プロパティ」をクリックします。
「ホーム ディレクトリ」タブをクリックします。
「構成」ボタンをクリックします。
ワイルドカード・アプリケーション・マップのリスト・ボックスで、IISImpersonationExtension.dllのエントリをクリックしてハイライト表示し、「編集」をクリックします。
ボックスが選択されていないことを確認します。
偽装は、次の方法でテストできます。
「SPPSで保護されないIIS仮想サイトの作成」の説明に従い、SPPSコンテキスト外でテストを行うか、またはSSOのテストを行います。
「イベント ビューアを使用した偽装のテスト」の説明に従い、イベント ビューアを使用します。
「Webページを使用した偽装のテスト」の説明に従い、Webページを使用します。
「偽装のネガティブ・テスト」の説明に従い、ネガティブ・テストを使用します。
SPPSコンテキスト外で偽装機能をテストするか、SSOをテストするには、SPPSによって保護されないIIS仮想Webサイト上のターゲットWebページが必要です。このような仮想Webサイトを作成するには、次のタスクを行います。
「スタート」、「管理ツール」、「インターネット インフォメーション サービス (IIS) マネージャ」の順に選択します。
左側のペインのツリーで、ローカル・コンピュータのアイコンの左にあるプラス・アイコン(+)をクリックします。
左側のペインのツリーで「Webサイト」を右クリックし、メニューの「新規作成」、「Webサイト」の順に移動します。
Webサイト作成ウィザードのプロンプトに従います。
仮想サイトの作成後、『Oracle Access Managerアクセス管理ガイド』の説明に従い、ポリシー・ドメインを使用してサイトを保護する必要があります。
Windows 2003のイベント ビューアを使用して偽装のテストを行う場合は、実際のテストを行う前にイベント ビューアを構成する必要があります。
「スタート」メニュー、「イベント ビューア」の順に選択します。
左側のペインで「セキュリティ」を右クリックし、「プロパティ」をクリックします。
「セキュリティのプロパティ」シートの「フィルタ」タブをクリックします。
すべてのイベント・タイプがチェックされ、「イベント ソース」と「分類」のリストが「すべて」に設定されていることを確認した後、「OK」をクリックしてプロパティ・シートを閉じます。
これで、リソース・リクエストに関連するHeaderVarに関する情報を表示するようにイベント ビューアが構成されました。
新しいIIS仮想サーバー(仮想サイト)を作成します。
目的のWebページを、仮想サイト上のツリーの任意の場所に配置します。
ブラウザでこのWebページをポイントします。
偽装が適切に機能している場合、イベント ビューアによってアクセスの成功がレポートされます。
.aspページやperlスクリプトなどの動的テスト・ページを使用して偽装をテストすることもできます。これらのページやスクリプトにより、リクエストに関する情報を取得して表示できます。
サーバー変数を表示するWebページを使用して偽装をテストする手順
AUTH_USERパラメータとIMPERSONATEパラメータを表示する.aspページまたはperlスクリプトを作成します。次のリストに示すサンプル・ページのようになります。
IIS仮想サイトを作成するか、前述のタスクで作成したサイトを使用します。
前述に示したリストのサンプルのような.aspページやperlスクリプトを、新しい仮想サイトのツリーの任意の場所に配置します。
そのページをブラウザでポイントすると、AUTH_USERパラメータとIMPERSONATEパラメータが表示されます。どちらのパラメータも、リクエストを作成するユーザーの名前に設定されています。
偽装のネガティブ・テストを行うには、次の手順の説明に従い、信頼できるユーザーをWebGateからアンバインドする必要があります。
信頼できるユーザーをWebGateからアンバインドする手順
次のようなURLでアクセス・システム・コンソールにログインします。
http://hostname.domain.com:port/access/oblix
この場合、hostnameはAccess ManagerをホストするコンピュータのDNS名、domainはマシンが属するサーバー・ドメインの名前、portはAccess Managerがリスニングするポートの番号です。
「アクセス・システム・コンソール」を選択し、「アクセス・システム構成」、「AccessGate構成」の順にクリックします。
変更するWebgateの名前を選択します。
「AccessGateの詳細」ページに、このWebGateの構成情報の概要が表示されます。このWebページの一番下に、「暗号化ユーザー名」フィールドと「暗号化パスワード」フィールドがあります。
「AccessGateの詳細」ページの一番下にある「変更」ボタンをクリックします。
「AccessGateの変更」ページが表示されます。
信頼できるユーザーの資格証明を削除します。
「保存」をクリックします。
「AccessGateの詳細」ページに戻ります。
IISサーバーを再起動します。
「サーバー変数を表示するWebページを使用して偽装をテストする手順」で作成した.aspコード・ページを、ブラウザでポイントします。
エラー・メッセージのページが表示されます。AUTH_USERとIMPERSONATEの値は、偽装資格証明をWebGateにバウンドする際に必要です。
Oracle Access ManagerとSPPSとの統合を設定するには、いくつかの手順を実行する必要があります。
「IISセキュリティの構成」の説明に従って、セキュリティを設定します。
「ワイルドカード拡張機能の構成」の説明に従って、統合を有効にする各SPPS仮想サーバーに対してワイルドカード拡張機能を構成します。
「web.configの編集」の説明に従って、web.configファイルを編集します。
「統合のテスト」の説明に従って、統合をテストします。
手順を続行する前に、IISセキュリティを構成する必要があります。
「スタート」、「管理ツール」、「インターネット インフォメーション サービス (IIS) マネージャ」の順に選択します。
左側のペインのツリーで、ローカル・コンピュータのアイコンの左にあるプラス・アイコン(+)をクリックします。
左側のペインのツリーで「Webサイト」をクリックします。
左側のペインのツリーで、WebGateを使用して保護するSPPSサーバーを表すアイコンを右クリックし、メニューから「プロパティ」を選択します。
SPPSサーバーのプロパティ・シートで、「ディレクトリ セキュリティ」タブをクリックします。
「ディレクトリ セキュリティ」タブの「認証とアクセス制御」セクションで、「編集」をクリックします。
「認証方法」パネルで、「匿名アクセスを有効にする」ボックスをクリックします。確認画面が表示されたら、「OK」をクリックしてタスクを完了します。
|
注意: 匿名アクセスを有効にしても、匿名ユーザーがSharePoint Portalにアクセスできるようにはなりません。匿名アクセスを有効にすることにより、IISからアクセス・システムへのアクセス制御が切断されます。 |
統合を有効にする各SPPS仮想サーバーに対して、ワイルドカード拡張機能を構成する準備が整いました。
「スタート」、「管理ツール」、「インターネット インフォメーション サービス (IIS) マネージャ」の順に選択します。
左側のペインのツリーで、ローカル・コンピュータのアイコンの左にあるプラス・アイコン(+)をクリックします。
左側のペインのツリーで「Webサイト」をクリックします。
SPPSサーバーを表すアイコンを右クリックし、メニューの「プロパティ」をクリックします。
「ホーム ディレクトリ」タブをクリックします。
「構成」ボタンをクリックします。
ワイルドカード・アプリケーション・マップのリスト・ボックスで、IISImpersonationExtension.dllのエントリをクリックしてハイライト表示し、「編集」をクリックします。
ボックスが選択されていないことを確認します。
ファイルが存在することを確認し、「OK」を3回クリックして追加/編集パネル、「アプリケーションの構成」パネル、ポータル・サーバーのプロパティ・シートを閉じます。
次の行をweb.configファイルに追加します。
<add key = "SPS-EnforceIISAnonymousSetting" value="false" />
Windowsエクスプローラを開き、IIS Webサイトのドキュメント・ルートに移動します。
任意のテキスト・エディタを使用してXMLファイルweb.configを開きます。
ファイルの最後にあるappSettingsマーカーを検索します。マーカーが存在しない場合は、次のようにマーカーを作成します。
<Configuration> // [Various configuration settings] <appSettings> // [Insert "<add key . . .>" here.] </appSettings > </Configuration>
|
重要: appSettingsマーカーは大文字と小文字を区別し、正確に「appSettings」となるように設定する必要があります。 |
前述のコードで示した場所に次の行を追加します。
<add key = "SPS-EnforceIISAnonymousSetting" value="false" />
web.configを保存します。
IISを再起動し、次の手順を実行して新しい設定を有効にします。
「スタート」メニュー、「インターネット インフォメーション サービス (IIS) マネージャ」の順に選択します。
左側のペインのツリーで、SPPSのインストールをホストするローカル・コンピュータの名前を探してメモします。このコンピュータの名前は、IISを再起動する場合に必要になります。
ローカル・コンピュータのアイコンを右クリックし、メニューから「切断」を選択します。
接続解除を確認する警告が表示されたら、「はい」をクリックしてアクションを確認します。
ローカル・コンピュータのアイコンが左側のペインのツリーから消え、そのマシンのIISが停止したことを示します。
左側のペインのツリーで「Internet Information Services」アイコンを右クリックし、メニューの「接続」をクリックします。
「コンピュータへの接続」パネルで、SPPSのインストールをホストするコンピュータの名前を入力し、「OK」をクリックしてIISを再起動します。
SharePoint Portal ServerディレクトリとOracle Access Managerディレクトリ間で、ユーザー・プロファイルを次のように同期化する必要があります。
ユーザー・データのアップロード: SharePoint Active Directory以外のディレクトリ・サーバーに対してOracle Access Managerのインストールが構成されている場合、他のディレクトリ・サーバーにあるユーザー・プロファイルをSharePoint Active Directoryにロードする必要があります。
SharePoint Portal Serverへのユーザー・プロファイルのインポート: ユーザー・プロファイルのアップロード後、Active DirectoryからSharePoint Portal Serverにプロファイルをインポートする必要があります。
SharePoint Portal Serverにユーザー・プロファイルのインポートを構成する手順
「Site Settings」に移動します。
「User Profile」、「Audiences」、「Personal Sites」の下にある「Manage Profile Database」をクリックします。
Active Directoryからのユーザー・プロファイルのインポートを構成するには、「Configure Profile Import」をクリックします。
統合を有効にする操作が完了したら、統合が機能していることを検証するテストを行います。
この項のトピックは次のとおりです。
Oracle Access Manager認証とSPPS認可を使用してSPPSリソースにアクセスできるかどうかを検証します。
ブラウザを使用して任意のSPPS Webページに移動します。
アクセス・システムにより、資格証明のチャレンジ認証が実行されます。
必要な資格証明を指定してログインし、リクエストしたページが表示されることを確認します。
オプション: アクセス・リクエストが正常に終了したことをイベント ビューアで確認します。
シングル・サインオンもテストする必要があります。シングル・サインオンをテストするには、資格証明を入力してSPPSリソースにアクセスしたユーザーが、ObSSOCookieの有効期限が切れる前に、もう一度資格証明を入力することなくSPPS以外のリソースにアクセスできるかどうかを確認します。たとえば、Policy Managerに定義されているリソースを使用します。
シングル・サインオンが機能している場合、もう一度資格証明を入力することなくページへのアクセスが許可されます。
ポリシー・ドメインを使用して新しい仮想サイトを作成し、保護します(または、すでに作成されているサイトを使用します)。
Webページを、仮想サイト上のツリーの任意の場所に配置します。
ブラウザを使用して、新しい仮想サイトのページに移動します。
すでに認証に合格している場合、もう一度資格証明を指定することなくページへのアクセスが許可されます。
