Oracle9iAS Single Sign-On管理者ガイド, リリース9.0.2

(1)

Oracle9iAS Single Sign-On

管理者ガイド

リリース 9.0.2

2002 年 7 月

(2)

Oracle9iAS Single Sign-On 管理者ガイド , リリース 9.0.2 部品番号：J05996-01

原本名：Oracle9iAS Single Sign-On Administrator’s Guide, Release 2 (9.0.2) 原本部品番号：A96115-01

原本著者：Henry Abrecht

原本協力者：Gaurav Bhatia, Kamalendu Biswas, Margaret Chou, John Heimann, Mike Hwa, Pei-fung Lam, Harish Singh Rawat, Saurabh Shrivastava, Arun Swaminathan

グラフィック・デザイナ：Valarie Moore

Copyright © 2002, Oracle Corporation. All rights reserved. Printed in Japan. 制限付権利の説明プログラム（ソフトウェアおよびドキュメントを含む）の使用、複製または開示は、オラクル社との契約に記された制約条件に従うものとします。著作権、特許権およびその他の知的財産権に関する法律により保護されています。当プログラムのリバース・エンジニアリング等は禁止されております。このドキュメントの情報は、予告なしに変更されることがあります。オラクル社は本ドキュメントの無謬性を保証しません。 * オラクル社とは、Oracle Corporation（米国オラクル）または日本オラクル株式会社（日本オラクル）を指します。危険な用途への使用についてオラクル社製品は、原子力、航空産業、大量輸送、医療あるいはその他の危険が伴うアプリケーションを用途として開発されておりません。オラクル社製品を上述のようなアプリケーションに使用することについての安全確保は、顧客各位の責任と費用により行ってください。万一かかる用途での使用によりクレームや損害が発生いたしましても、日本オラクル株式会社と開発元である Oracle Corporation（米国オラクル）およびその関連会社は一切責任を負いかねます。当プログラムを米国国防総省の米国政府

機関に提供する際には、『Restricted Rights』と共に提供してください。この場合次の Notice が適用されます。

Restricted Rights Notice

Programs delivered subject to the DOD FAR Supplement are "commercial computer software" and use, duplication, and disclosure of the Programs, including documentation, shall be subject to the licensing restrictions set forth in the applicable Oracle license agreement. Otherwise, Programs delivered subject to the Federal Acquisition Regulations are "restricted computer software" and use, duplication, and disclosure of the Programs shall be subject to the restrictions in FAR 52.227-19, Commercial Computer Software - Restricted Rights (June, 1987). Oracle Corporation, 500 Oracle Parkway, Redwood City, CA 94065.

このドキュメントに記載されているその他の会社名および製品名は、あくまでその製品および会社を識別する目的にのみ使用されており、それぞれの所有者の商標または登録商標です。

(3)

はじめに

... vii 対象読者 ... viii このマニュアルの構成 ... viii 関連文書 ... ix 表記規則 ... x

1 Single Sign-On の基本

の基本

Oracle9iAS Single Sign-On コンポーネントコンポーネントコンポーネントコンポーネント ... 1-2 Single Sign-On Server ... 1-2 パートナ・アプリケーション ... 1-2 外部アプリケーション ... 1-3 mod_osso ... 1-3 Single Sign-On Software Development Kit ... 1-4 Oracle9iAS Single Sign-On プロセスプロセスプロセスプロセス ... 1-4 Single Sign-On Server へのアクセス ... 1-4 Oracle Single Sign-On での認証の流れ ... 1-5 外部アプリケーションへのアクセス ... 1-6 Oracle9iAS Portal の外部アプリケーション・ポートレットへのアクセス ... 1-6 外部アプリケーションに対する初めての認証 ... 1-6 外部アプリケーションに対する 2 回目以降の認証 ... 1-7 シングル・サインオフ ... 1-8 Single Sign-On パスワードの変更 ... 1-8

(4)

2 Oracle Single Sign-On の管理

の管理

デフォルトのデフォルトのデフォルトの デフォルトの Single Sign-On スキーマスキーマスキーマ ... 2-2スキーマ Single Sign-On 管理者ロール管理者ロール管理者ロール管理者ロール ... 2-2 Single Sign-On 管理者への権限の付与管理者への権限の付与管理者への権限の付与管理者への権限の付与 ... 2-3 「「「

「Single Sign-On Administration」ページへのアクセス」ページへのアクセス」ページへのアクセス」ページへのアクセス ... 2-4 「「「 「SSO サーバーの編集」ページサーバーの編集」ページサーバーの編集」ページサーバーの編集」ページ ... 2-6 パートナ・アプリケーション管理パートナ・アプリケーション管理パートナ・アプリケーション管理パートナ・アプリケーション管理 ... 2-7 パートナ・アプリケーションの追加 ... 2-7 パートナ・アプリケーションの編集 ... 2-9 外部アプリケーションの管理外部アプリケーションの管理外部アプリケーションの管理外部アプリケーションの管理 ... 2-10 外部アプリケーションの追加 ... 2-10 外部アプリケーションの編集 ... 2-13 Single Sign-On データベースへの外部アプリケーション証明書の格納 ... 2-14 パスワードの変更パスワードの変更パスワードの変更パスワードの変更 ... 2-15 National Language Support の設定の設定の設定の設定 ... 2-15 グローバル・ユーザーの非アクティビティ・タイムアウトの設定

グローバル・ユーザーの非アクティビティ・タイムアウトの設定グローバル・ユーザーの非アクティビティ・タイムアウトの設定

グローバル・ユーザーの非アクティビティ・タイムアウトの設定 ... 2-16 Single Sign-On Server におけるにおけるにおけるにおける SSL の有効化の有効化の有効化 ... 2-17の有効化 Oracle9iAS Portal およびおよびおよびおよび mod_osso によってアクセスされるによってアクセスされるによってアクセスされる URL の保護によってアクセスされるの保護の保護 ... 2-18の保護

3 ディレクトリ対応

ディレクトリ対応

ディレクトリ対応 Single Sign-On

ディレクトリ対応ディレクトリ対応ディレクトリ対応

ディレクトリ対応 Single Sign-On の認証の流れの認証の流れの認証の流れ ... 3-2の認証の流れ Oracle Internet Directory におけるユーザー管理におけるユーザー管理におけるユーザー管理 ... 3-4におけるユーザー管理 Single Sign-On ユーザー・アカウントユーザー・アカウントユーザー・アカウントユーザー・アカウント ... 3-5 パスワード・ポリシーパスワード・ポリシーパスワード・ポリシーパスワード・ポリシー ... 3-6 パスワード・ルール ... 3-6 パスワードの有効期限 ... 3-6 アカウント・ロックアウト ... 3-6 パスワード・ポリシーの設定 ... 3-7 Oracle Single Sign-On のディレクトリ・ツリーのディレクトリ・ツリーのディレクトリ・ツリーのディレクトリ・ツリー ... 3-7 ディレクトリ内の

ディレクトリ内のディレクトリ内の

(5)

4 デジタル証明書を使用したシングル・サインオン

デジタル証明書を使用したシングル・サインオン

証明書を使用したシングル・サインオンの利点証明書を使用したシングル・サインオンの利点証明書を使用したシングル・サインオンの利点証明書を使用したシングル・サインオンの利点 ... 4-2 認証に関するオプション認証に関するオプション認証に関するオプション認証に関するオプション ... 4-2 証明書を使用したシングル・サインオンでの認証の流れ証明書を使用したシングル・サインオンでの認証の流れ証明書を使用したシングル・サインオンでの認証の流れ証明書を使用したシングル・サインオンでの認証の流れ ... 4-3 システム要件システム要件システム要件システム要件 ... 4-4 証明書を使用できるようにするための証明書を使用できるようにするための証明書を使用できるようにするための 証明書を使用できるようにするための Single Sign-On の設定の設定の設定の設定 ... 4-5 Oracle HTTP Server（SSL） ... 4-5 mod_plsql ... 4-7 ユーザー名マッピング・モジュール ... 4-8 Oracle Internet Directory ... 4-14 Single Sign-On Server ... 4-15 証明書を使用したシングル・サインオンに関するトラブルシューティング証明書を使用したシングル・サインオンに関するトラブルシューティング証明書を使用したシングル・サインオンに関するトラブルシューティング証明書を使用したシングル・サインオンに関するトラブルシューティング ... 4-16 証明書失効リストのメンテナンス証明書失効リストのメンテナンス証明書失効リストのメンテナンス証明書失効リストのメンテナンス ... 4-17

5 サード・パーティのシングル・サインオン

サード・パーティのシングル・サインオン

サード・パーティのシングル・サインオンの仕組みサード・パーティのシングル・サインオンの仕組みサード・パーティのシングル・サインオンの仕組みサード・パーティのシングル・サインオンの仕組み ... 5-2 サード・パーティ・リポジトリとサード・パーティ・リポジトリとサード・パーティ・リポジトリと

サード・パーティ・リポジトリと Oracle Internet Directory の同期化の同期化の同期化 ... 5-4の同期化サード・パーティ統合モジュールサード・パーティ統合モジュールサード・パーティ統合モジュールサード・パーティ統合モジュール ... 5-5 トークンを使用した認証 ... 5-5 外部 Cookie の設定 ... 5-5 統合事例統合事例統合事例 統合事例 : Netegrity 社の社の社の社の SiteMinder ... 5-6 SiteMinder ソリューションでの認証の流れ ... 5-6 統合システムからのログアウト ... 5-8 サンプル統合パッケージ ... 5-9 SiteMinder ソリューションのインストールと配置 ... 5-11

6 携帯情報端末向けのシングル・サインオン

携帯情報端末向けのシングル・サインオン

Oracle9iAS Wireless の概念とアーキテクチャの概念とアーキテクチャの概念とアーキテクチャ ... 6-2の概念とアーキテクチャ携帯情報端末によるシングル・サインオン携帯情報端末によるシングル・サインオン携帯情報端末によるシングル・サインオン携帯情報端末によるシングル・サインオン ... 6-3 Wireless を介した認証 ... 6-3 パートナ・アプリケーションの要求による認証 ... 6-5 携帯情報端末によるシングル・サインオフ携帯情報端末によるシングル・サインオフ携帯情報端末によるシングル・サインオフ携帯情報端末によるシングル・サインオフ ... 6-6 Oracle9iAS Wireless の「パスワードの変更」ページの「パスワードの変更」ページの「パスワードの変更」ページ ... 6-7の「パスワードの変更」ページ

(6)

7 Single Sign-On Server の監視

の監視

Single Sign-On の監視用ページへのアクセスの監視用ページへのアクセスの監視用ページへのアクセスの監視用ページへのアクセス ... 7-2 ホームページの表示内容と使用方法ホームページの表示内容と使用方法ホームページの表示内容と使用方法ホームページの表示内容と使用方法 ... 7-2 「失敗ログインの詳細」ページの表示内容と使用方法「失敗ログインの詳細」ページの表示内容と使用方法「失敗ログインの詳細」ページの表示内容と使用方法「失敗ログインの詳細」ページの表示内容と使用方法 ... 7-4

8 Single Sign-On インタフェースのカスタマイズ

インタフェースのカスタマイズ

カスタマイズした「ログイン」、「パスワードの変更」および「シングル・サインオフ」ページのカスタマイズした「ログイン」、「パスワードの変更」および「シングル・サインオフ」ページのカスタマイズした「ログイン」、「パスワードの変更」および「シングル・サインオフ」ページのカスタマイズした「ログイン」、「パスワードの変更」および「シングル・サインオフ」ページのインストールインストールインストールインストール ... 8-2 Single Sign-On のカスタマイズしたページを有効にする方法のカスタマイズしたページを有効にする方法のカスタマイズしたページを有効にする方法のカスタマイズしたページを有効にする方法 ... 8-3 カスタマイズした「ログイン」ページを有効にする ... 8-3 カスタマイズした「パスワードの変更」ページを有効にする ... 8-4 カスタマイズした「シングル・サインオフ」ページを有効にする ... 8-6 「ログイン」、「パスワードの変更」および「シングル・サインオフ」ページのパラメータ「ログイン」、「ログイン」、「パスワードの変更」および「シングル・サインオフ」ページのパラメータ「パスワードの変更」および「シングル・サインオフ」ページのパラメータ「ログイン」、「パスワードの変更」および「シングル・サインオフ」ページのパラメータ ... 8-7 「ログイン」ページのパラメータ ... 8-7 「パスワードの変更」ページのパラメータ ... 8-8 「シングル・サインオフ」ページのパラメータ ... 8-10 「ログイン」および「パスワードの変更」ページのエラー・コード「ログイン」および「パスワードの変更」ページのエラー・コード「ログイン」および「パスワードの変更」ページのエラー・コード「ログイン」および「パスワードの変更」ページのエラー・コード ... 8-11 「ログイン」ページのエラー・コード ... 8-11 「パスワードの変更」ページのエラー・コード ... 8-12 カスタマイズしたページのサンプルカスタマイズしたページのサンプルカスタマイズしたページのサンプルカスタマイズしたページのサンプル ... 8-13 「ログイン」ページのサンプル ... 8-13 「パスワードの変更」ページのサンプル ... 8-15 「シングル・サインオフ」ページのサンプル ... 8-18

索引

(7)

図一覧

1-1 mod_osso によるシングル・サインオン ... 1-5 2-1 「SSO サーバー管理」ページ ... 2-5 2-2 「外部アプリケーション・ログイン」ページ ... 2-14 3-1 ディレクトリ対応 Single Sign-On ... 3-2 3-2 Oracle Single Sign-On のディレクトリ情報ツリー ... 3-8 4-1 証明書を使用したシングル・サインオン ... 4-3 5-1 サード・パーティのシングル・サインオンでの認証の流れ ... 5-3 5-2 SiteMinder ソリューションでの認証の流れ ... 5-7 6-1 携帯情報端末のシングル・サインオン・ページのユーザー名フィールド ... 6-4 6-2 パートナ・アプリケーションの要求による認証 ... 6-5

(8)

表一覧

2-1 デフォルトで作成される Single Sign-On スキーマ ... 2-2 2-2 SSO セッション・ポリシー ... 2-6 2-3 地域の選択 ... 2-6 2-4 パートナ・アプリケーションへのログイン ... 2-7 2-5 ログイン可能期間 ... 2-8 2-6 アプリケーション管理者 ... 2-8 2-7 「パートナ・アプリケーションの編集」ページのフィールド ... 2-9 2-8 外部アプリケーション・ログイン ... 2-10 2-9 認証方式 ... 2-11 2-10 追加フィールド ... 2-12 3-1 パートナ・アプリケーションに渡されるユーザー属性 ... 3-5 3-2 HTTP ヘッダーからの属性取得に使用するファンクション ... 3-5 4-1 証明書を使用したシングル・サインオンの設定時に使用する HTTP パラメータ ... 4-5 4-2 dads.conf の環境変数 ... 4-7 4-3 トラブルシューティング・チェックリスト ... 4-16 7-1 Single Sign-On Server の場所とステータス ... 7-3 7-2 「過去 24 時間の失敗ログイン」表 ... 7-3 8-1 「ログイン」ページのパラメータ ... 8-7 8-2 カスタマイズした「ログイン」ページのパラメータ ... 8-8 8-3 「パスワードの変更」ページのパラメータ ... 8-8 8-4 カスタマイズした「パスワードの変更」ページのパラメータ ... 8-9 8-5 「シングル・サインオフ」ページのパラメータ ... 8-10 8-6 カスタマイズした「ログイン」ページのエラー・コード ... 8-11 8-7 「パスワードの変更」ページのエラー・コード ... 8-12

(9)

はじめに

『Oracle9iAS Single Sign-On 管理者ガイド』では、管理者を対象に、Oracle9i Application

Server（Oracle9iAS）のユーザー認証を管理するための概要と手順について説明します。 「はじめに」の項目は次のとおりです。 ■ 対象読者 ■ このマニュアルの構成 ■ 関連文書 ■ 表記規則

(10)

対象読者

『Oracle9iAS Single Sign-On 管理者ガイド』は、次のユーザーを対象にしています。

■ Oracle9iAS の認証の構成および管理を担当する管理者

■ Oracle Single Sign-On 対応製品の開発者、特にそれらの製品を mod_osso と統合する開

発者

■ Oracle Single Sign-On を使用して Web アプリケーション・サーバーへのアクセスを保護

する方法に興味のあるユーザー このマニュアルの読者は、Oracle9iAS に精通し、Oracle9iAS リリース 2（9.0.2）を正常にイ ンストールしている、またはインストールできることを想定しています。

このマニュアルの構成

このマニュアルは、次の章から構成されています。第第第 第 1 章「章「章「章「Single Sign-On の基本」の基本」の基本」の基本」

この章では、Oracle9iAS Single Sign-On の概要について説明します。 Single Sign-On のコン ポーネントおよびプロセスについて説明します。

第第第

第 2 章「章「章「章「Oracle Single Sign-On の管理」の管理」の管理」の管理」

この章では、アプリケーションを Oracle Single Sign-On に対応させる、管理権限を割り当てる、セッション・タイムアウトを設定するなど、基本的な管理タスクについて説明します。

第第第

第 3 章「ディレクトリ対応章「ディレクトリ対応章「ディレクトリ対応章「ディレクトリ対応 Single Sign-On」」」」

この章では、Oracle Internet Directory が Single Sign-On で果たす役割について説明します。このディレクトリは、Single Sign-On ユーザー名およびパスワードのリポジトリです。これ自体が、ユーザー管理において主要な役割を果たします。第第第 第 4 章「デジタル証明書を使用したシングル・章「デジタル証明書を使用したシングル・章「デジタル証明書を使用したシングル・章「デジタル証明書を使用したシングル・サインオン」サインオン」サインオン」サインオン」

この章では、Secure Sockets Layer を介して X.509 証明を使用することで、Oracle Single Sign-On をさらに安全にする方法について説明します。

第第第

第 5 章「サード・パーティのシングル・サインオン」章「サード・パーティのシングル・サインオン」章「サード・パーティのシングル・サインオン」章「サード・パーティのシングル・サインオン」

この章では、Oracle Single Sign-On をサードパーティのシングル・サインオン・システムと統合する方法について説明します。サードパーティ・システムは、Oracle Single Sign-On と の連携動作によって、Oracle9iAS の補完製品へのアクセスが得られます。 第第第 第 6 章「携帯情報端末向けのシングル・サインオン」章「携帯情報端末向けのシングル・サインオン」章「携帯情報端末向けのシングル・サインオン」章「携帯情報端末向けのシングル・サインオン」この章では、携帯情報端末によるシングル・サインオンの概要について説明します。このオ プションは、Oracle9iAS をインストールするときに選択できます。

(11)

第第第

第 7 章「章「章「章「Single Sign-On Server の監視」の監視」の監視」の監視」

この章では、GUI ツールである Oracle Enterprise Manager を使用して、サーバー・ロードおよびユーザー動作を監視する方法について説明します。第第第 第 8 章「章「章「章「Single Sign-On インタフェースのカスタマイズ」インタフェースのカスタマイズ」インタフェースのカスタマイズ」インタフェースのカスタマイズ」この章では、Single Sign-On ページの起動方法と、それらのページを企業ニーズに適合させるための改訂方法について説明します。

表記規則

この項では、このマニュアルの本文およびコード例に使用されている表記規則について説明します。_{ここで説明する内容は、次のとおりです。} ■ 本文の表記規則 ■ コード例の表記規則 ■ Windows オペレーティング・システムの表記規則

本文の表記規則

本文中には、特別な用語が一目でわかるように、様々な表記規則が使用されています。次の表に、本文の表記規則と使用例を示します。表記規則表記規則表記規則表記規則意味意味意味意味例例例例太字太字太字太字太字は、テキスト内で定義されている用語、用語集に記載されている用語、またはその両方に該当する用語を示します。この句を指定することにより、索引構成表索引構成表索引構成表索引構成表が作成されます。固定幅フォントの大文字固定幅フォントの大文字は、システムによって指定される要素を示します。この要素には、パラメータ、権限、データ型、 Recovery Manager キーワード、SQL キーワード、SQL*Plus またはユーティリティ・コマンド、パッケージとメソッド、システム指定の列名、データベース・オブジェクトおよび構造体、ユーザー名およびロールが含まれます。この句は、NUMBER 列にのみ指定可能です。データベースをバックアップするには、BACKUP コマンドを使用します。 USER_TABLES データのディクショナリ・ビューの TABLE_NAME 列を問い合せます。 DBMS_STATS.GENERATE_STATS プロシージャを使用します。固定幅フォントの小文字固定幅フォントの小文字は、実行可能ファイル、ファイル名、ディレクトリ名およびユーザー指定要素のサンプルを示します。これらの要素には、コンピュータ名、データベース名、ネット・サービス名および接続識別子、さらにユーザー指定のデータベース・オブジェクトおよび構造体、列名、パッケージおよびクラス、ユーザー名およびロール、プログラム・ユニットおよびパラメータ値が含まれます。注意注意注意 注意 : プログラム要素の中には、大文字と 小文字が混在して使用されているものもあります。これらの要素については、表示されているとおりに入力してください。 sqlplus と入力し、SQL*Plus を開きます。パスワードは、orapwd ファイルに指定されています。データファイルおよび制御ファイルを /disk1/oracle/dbs ディレクトリにバックアップします。 department_id、department_name および location_id 列は、hr.departments 表内に存在します。 QUERY_REWRITE_ENABLED 初期化パラメータを true に設定します。 oe ユーザーで接続します。 JRepUtil クラスによってこれらのメソッドが実装されます。

(13)

コード例の表記規則

コード例では、SQL、PL/SQL、SQL*Plus またはその他のコマンドライン構文が示されます。_{この中では、次の例のように、固定幅フォントが使用され、通常の本文とは区別して表} 示されます。

SELECT username FROM dba_users WHERE username = 'MIGRATE';

次の表に、コード例に使用される表記規則と使用例を示します。固定幅フォントの小文字のイタリック固定幅フォントの小文字のイタリックは、プレースホルダまたは変数を示します。 parallel_clause を指定できます。 Uold_release.SQL を実行します。old_ release は、アップグレード前にインストール済 のリリースを示します。表記規則表記規則表記規則表記規則意味意味意味意味例例例例 [ ] 大カッコはオプションの項目を示します。大カッコ自体は入力しないでください。

DECIMAL (digits [ , precision ])

{ } 中カッコは、カッコ内の項目のうちの 1 つを指定する必要があることを示します。中カッコ自体は入力しないでください。 {ENABLE | DISABLE} | 縦線は、大カッコまたは中カッコ内の選択肢を示します。これらのオプションのうちの 1 つを入力します。縦線自体は入力しないでください。 {ENABLE | DISABLE} [COMPRESS | NOCOMPRESS] ... 水平の省略記号は、次のどちらかを示します。 ■ コード中で、例に直接関係のない部分が省略されていること。 ■ コードの一部が繰返し可能であること。

CREATE TABLE ... AS subquery;

SELECT col1, col2, ... , coln FROM employees; . . . 縦方向の省略記号は、コード中で、例に直接関係のない行が何行か省略されていることを示します。その他の表記大カッコ、中カッコ、縦線および省略記号以外の記号は、表示されているとおりに入力してください。 acctbal NUMBER(11,2);

acct CONSTANT NUMBER(4) := 3; 表記規則

表記規則表記規則

(14)

イタリック体イタリック体のテキストは、特定の値を指定する必要のあるプレースホルダまたは変数を示します。 CONNECT SYSTEM/system_password DB_NAME = database_name 大文字大文字で表記されている部分は、システムによって指定される要素を示します。ユーザーが定義する用語と区別するために、これらの用語は大文字で表記されます。用語が大カッコで囲まれている場合を除いて、表示されている順序およびスペルのとおりに入力します。ただし、これらの用語には大文字・小文字の区別がないため、小文字で入力しても構いません。

SELECT last_name, employee_id FROM employees;

SELECT * FROM USER_TABLES; DROP TABLE hr.employees;

小文字小文字で表記されている部分は、ユーザーが指定するプログラム要素を示します。たとえば、表、列またはファイルの名前を示します。注意注意注意 注意 : プログラム要素の中には、大文字と 小文字が混在して使用されているものもあります。これらの要素については、表示されているとおりに入力してください。

SELECT last_name, employee_id FROM employees;

sqlplus hr/hr

CREATE USER mjones IDENTIFIED BY ty3MU9;

表記規則表記規則表記規則

(15)

Windows オペレーティング・システムの表記規則

オペレーティング・システムの表記規則

次の表に、Windows オペレーティング・システムに関する表記規則と使用例を示します。表記規則表記規則表記規則表記規則意味意味意味意味例例例例

「スタート」> プログラムの起動方法を示します。 Oracle Database Configuration Assistant を起動するには、「スタート」>「プログラム」> 「Oracle - HOME_NAME >Configuration and

Migration Tools」>「Database Configuration Assistant」の順に選択します。ファイル名およびディレクトリ名ファイル名およびディレクトリ名では、大文字と小文字を区別しません。また、特殊文字のうち、左山カッコ（<）、右山カッコ（>）、コロン（:）、二重引用符（"）、スラッシュ（/）、パイプ（|）およびダッシュ（-）は使用できません。円記号（¥）は、引用符に囲まれている場合でも、要素の区切り文字として扱われます。ファイル名が ¥¥ で始まる場合、Windows では汎用命名規則に従った名前であると見なされます。 c:¥winnt"¥"system32 と C:¥WINNT¥SYSTEM32 は、同じように解釈されます。 C:¥> 現在のハード・ディスク・ドライブを表す Windows コマンド・プロンプトを示します。コマンド・プロンプトのエスケープ文字はカレット（^）です。表示されるプロンプトは、作業中のサブディレクトリを表します。このマニュアルでは、コマンド・プロンプトと呼びます。 C:¥oracle¥oradata> Windows コマンド・プロンプトで二重引用符（"）を使用するときには、円記号（¥）をエスケープ文字として付けなければならない場合があります。カッコおよび一重引用符（'）の場合には、エスケープ文字を付ける必要はありません。エスケープ文字および特殊文字の詳細は、ご使用の Windows オペレーティング・システムのドキュメントを参照してください。

C:¥>exp scott/tiger TABLES=emp QUERY=¥"WHERE job='SALESMAN' and sal<1600¥"

C:¥>imp SYSTEM/password

FROMUSER=scott TABLES=(emp, dept)

HOME_NAME _{Oracle ホーム名を示します。ホーム名は、}

最大 16 文字の英数字で指定できます。ホーム名に使用できる特殊文字はアンダースコアのみです。

C:¥> net start OracleHOME_

(16)

ORACLE_HOME および ORACLE_BASE Oracle8リリース 8.0 以下の製品では、 Oracle のコンポーネントをインストールす ると、最上位の ORACLE_HOME ディレクト リの下に、すべてのサブディレクトリが配置されます。このディレクトリには、デフォルトで次のいずれかの名前が使用されます。 ■ C:¥orant（Windows NT の場合） ■ C:¥orawin98（Windows 98 の場合）このリリースは、Optimal Flexible Architecture（OFA）のガイドラインに準拠しています。すべてのサブディレクトリが最 上位の ORACLE_HOME ディレクトリの下に あるとは限りません。 ORACLE_BASE と呼ば れる最上位ディレクトリがあり、デフォルトでは C:¥oracle になります。 Oracle ソフトウェアが 1 つもインストールされてい ないコンピュータに Oracle9i リリース 1 （9.0.1）をインストールすると、初めて作成される Oracle ホーム・ディレクトリのデフォルト設定は C:¥oracle¥ora90 になります。 Oracle ホーム・ディレクトリは、 ORACLE_BASE の直下にあります。 このマニュアルの中で例として使用されているディレクトリ・パスは、OFA の規則に準拠しています。 また、Oracle9iAS のインストールされてい る Oracle ホーム・ディレクトリを IAS_ HOME と表記している箇所もあります。 %ORACLE_HOME%¥rdbms¥admin ディレクトリ に移動します。表記規則表記規則表記規則表記規則意味意味意味意味例例例例

(17)

1

Single Sign-On の基本

の基本

Oracle9iAS Single Sign-On は、Oracle9i Application Server（Oracle9iAS）のコンポーネント の 1 つです。これによって、ユーザーは、単一のユーザー名とパスワードを使用して、Web アプリケーションだけでなく、Oracle9iAS 補完製品のすべての機能にログインできます。 Oracle9iAS Single Sign-On には、次の利点があります。

■ 管理コストの削減

Single Sign-On Server によって、複数のアカウントおよびパスワードをサポートする必要がなくなります。 ■ ログインの簡素化ユーザーは、アクセスするアプリケーションごとに異なるユーザー名とパスワードを使用する必要がなくなります。 ■ セキュリティの向上パスワードの入力が 1 度だけなので、ユーザーは、パスワードを簡単で覚えやすいものにしたり、書き留めておく必要がなくなります。この章の項目は次のとおりです。

■ Oracle9iAS Single Sign-On コンポーネント ■ Oracle9iAS Single Sign-On プロセス

(18)

Oracle9iAS Single Sign-On コンポーネント

コンポーネント

Oracle9iAS Single Sign-On は、次のコンポーネントで構成されています。

■ Single Sign-On Server ■ パートナ・アプリケーション ■ 外部アプリケーション ■ mod_osso

■ Single Sign-On Software Development Kit

Single Sign-On Server

Single Sign-On Server は、Oracle9iAS データベースのプログラム・ロジックで構成されてい ます。これによって、ユーザーは、経費報告、電子メール、福利厚生情報など、Single Sign-On アプリケーションに安全にログインできます。これらのアプリケーションには、すなわちパートナ・アプリケーションと外部アプリケーションの 2 つのフォームがあります。いずれの場合も、ユーザーは 1 度の認証だけで、複数のアプリケーションにアクセスできます。

パートナ・アプリケーション

Oracle9iAS アプリケーションでは、認証機能が Single Sign-On Server に委譲されます。この ことから、パートナ・アプリケーションと呼ばれます。ユーザーが一度 Single Sign-On Server にログインすると、パートナ・アプリケーションでは、mod_osso と呼ばれる HTTP 認証モジュールまたは Single Sign-On Software Development Kit（SDK）によって、ユーザー名とパスワードのかわりに HTTP ヘッダーが受け入れられます。

パートナ・アプリケーションでは、Oracle9iAS Single Sign-On で認証されたユーザーにパー トナ・アプリケーションの使用権限を付与するかどうかを決定します。また、アプリケーション内のユーザー・アクセスも管理します。

パートナ・アプリケーションには、Oracle9iAS Portal、Oracle9iAS Discoverer および Single Sign-On Server 自体も含まれます。

(19)

Oracle9iAS Single Sign-On コンポーネント

外部アプリケーション

外部アプリケーションでは、認証は Single Sign-On Server に委譲されません。そのかわり、 HTML ログイン・フォームが表示され、アプリケーションのユーザー名とパスワードが要求されます。

HTML ログイン・フォームを使用する外部アプリケーションには、Oracle Mobile や Yahoo! Mail などがあります。外部アプリケーションにアクセスするには、一意のユーザー名とパスワードが必要な場合があります。

ユーザーが一度 Single Sign-On Server にログインすると、そのユーザーにかわりに Single Sign-On Server によってユーザー名とパスワードが外部アプリケーションに提供されるように構成できます。_{ユーザーは、外部アプリケーション用の資格証明書を Single Sign-On デー} タベースに格納しておくオプションを選択できます。 Single Sign-On Server は、Single Sign-On のユーザー名を使用して、アプリケーション名とパスワードを透過的に検索および取得し、アプリケーションへのユーザー・ログインを実行します。アプリケーションのユーザー名とパスワードを保存するには、その外部アプリケーションに最初にログインするときに、「このアプリケーション用のログイン情報を記憶させる」チェック・ボックスを選択します。

mod_osso

mod_osso は、Oracle9iAS アプリケーションに認証を提供する HTTP モジュールです。これ は、Oracle Single Sign-On の以前のリリースでパートナ・アプリケーションを統合するために使用されていた Single Sign-On SDK の代替として使用されます。 mod_osso が Single Sign-On Server に対して完全なパートナ・アプリケーションとしての役割を果たし、 Oracle9iAS アプリケーションに対する透過的な認証をレンダリングすることによって、認証 プロセスが単純化されます。_{したがって、これらのアプリケーションの管理者は、アプリ} ケーションを SDK と統合する負担から解放されます。 ユーザーの認証後、Oracle9iAS アプリケーションでユーザーを検証するために必要な単純な ヘッダー値が、mod_osso によって送信されます。ヘッダー値には次のものが含まれます。 ■ ユーザー名 ■ ユーザー DN ■ ユーザー GUID ■ 言語および地域

Single Sign-On Server から URLC トークンの mod_osso に渡される属性の詳細は、第 3 章「ディレクトリ対応 Single Sign-On」、表 3-1「パートナ・アプリケーションに渡されるユー

ザー属性」を参照してください。 mod_osso を使用してアプリケーションを開発する方法については、『Oracle9iAS Single Sign-On アプリケーション開発者ガイド』の第 2 章を参照し てください。

(20)

Oracle9iAS Single Sign-On プロセス

Single Sign-On Software Development Kit

Single Sign-On SDK は、パートナ・アプリケーションの作成に使用できます。 SDK 自体が、 mod_osso の代替となります。ただし、mod_osso を使用した方が、開発者は Single Sign-On Application Programming Interfaces（API）をアプリケーションに取り込む必要がないため、Single Sign-On Server との統合が容易になることに注意してください。 SDK は、 PL/SQL API および Java API、さらにこれらの API を実装する方法を実証するサンプル・コードで構成されています。

Oracle9iAS Single Sign-On プロセス

プロセス

この項では、次の Oracle9iAS Single Sign-On プロセスについて説明します。

■ Single Sign-On Server へのアクセス ■ Oracle Single Sign-On での認証の流れ ■ 外部アプリケーションへのアクセス ■ シングル・サインオフ

■ グローバル・ユーザーの非アクティビティ・タイムアウト

Single Sign-On Server へのアクセス

へのアクセス

管理者でないユーザーは、まず最初に、Oracle9iAS Portal、Oracle9iAS Discoverer など、 パートナ・アプリケーションの URL を入力して、Single Sign-On Server へのアクセスを得る必要があります。_{URL を入力すると、Single Sign-On ログイン画面が起動します。正しい} ユーザー名とパスワードを 1 度入力すると、再び資格証明書を提供せずに、他のパートナ・アプリケーションおよび外部アプリケーションへのアクセスが得られます。

管理ユーザーは、次のフォームの URL を入力すると、Single Sign-On の管理ホームページにアクセスできます。

http://host:port/pls/Single_Sign-On_DAD

host は、Single Sign-On Server が配置されているコンピュータの名前を示し、port は、 サーバーのポート番号を示します。Single_Sign-On_DAD は、Single Sign-On スキーマ用 のデータベース・アクセス記述子（DAD）を示します。

デフォルトの DAD は、orasso です。関連項目

Oracle Single Sign-On での認証の流れ

での認証の流れ

図 1-1に、ユーザーが Oracle HTTP 認証モジュールである mod_osso を使用してパートナ・アプリケーションの URL を要求したときの動作を示します。図図図 図 1-1 mod_osso によるシングル・サインオンによるシングル・サインオンによるシングル・サインオンによるシングル・サインオン 1. ユーザーは、Web ブラウザを介して URL を要求します。

2. Web サーバーは、ユーザーの mod_osso Cookie を検索します。 Cookie がある場合、 Web サーバーは、ユーザー ID と資格証明書を抽出し、その情報を使用して、要求されたアプリケーションへのユーザーのログインを実行します。

3. セッション Cookie がない場合、Web サーバーは、ユーザーを Single Sign-On Server にリダイレクトします。ブラウザ Oracle9iAS Single Sign-On Server 5 4 1 HTTP Apache Server 6 mod_osso 3 2

(22)

4. Single Sign-On Server は、独自の Cookie をブラウザで検索します。 Cookie が見つからなかった場合、ユーザー認証を試行します。認証が正常に完了すると、Single Sign-On Server は、そのユーザーがすでに認証されたことを示すキーワードとして、ブラウザで Cookie を作成します。

5. Single Sign-On Server は、暗号化されたユーザー ID と資格証明書を Web サーバーに戻します。 6. Web サーバーは、そのユーザーに対する独自の Cookie をブラウザで作成し、要求された URL をユーザーにリダイレクトします。 7. mod_osso への 2 番目の認証コールが承認されます。同一セッション中に、ユーザーが同じまたは別のパートナ・アプリケーションへ再度アクセスした場合、ユーザー名とパスワードは要求されません。アプリケーションでは、その情報を mod_osso セッション Cookie から取得するからです。

mod_osso がユーザーを Single Sign-On Server にリダイレクトするのは、要求された URL が保護されている場合のみです。保護されているアプリケーションには、公開 URL が含まれている場合があります。_{これらのアプリケーションは、Single Sign-On Server へのリダイレ} クトを要求しません。

外部アプリケーションへのアクセス

外部アプリケーションへのアクセスは、Single Sign-On パートナ・アプリケーションである Oracle9iAS Portal を介してのみ可能です。 この項の項目は次のとおりです。 ■ Oracle9iAS Portal の外部アプリケーション・ポートレットへのアクセス ■ 外部アプリケーションに対する初めての認証 ■ 外部アプリケーションに対する 2 回目以降の認証

Oracle9iAS Portal の外部アプリケーション・ポートレットへのアクセス

の外部アプリケーション・ポートレットへのアクセス

Portal ホームページの左下の「外部アプリケーション」ポートレットを選択し、表示される外部アプリケーションのリストからアプリケーションを選択します。

外部アプリケーションに対する初めての認証

「外部アプリケーション」ポートレットから外部アプリケーションを選択すると、外部アプリケーション・ログイン・プロシージャが開始されます。ユーザーが初めて外部アプリケーションにアクセスする場合、Oracle Single Sign-On では、次のプロセスが実行されます。

1. 外部アプリケーション・ログイン・プロシージャは、Single Sign-On Server のパスワー

ド・ストアで、要求された外部アプリケーションに対するユーザーの資格証明書をチェックします。_{資格証明書が見つからない場合は、Single Sign-On Server はパスワー} ドを要求するプロンプトを表示します。

(23)

2. ユーザーが、ユーザー名とパスワードを入力します。ユーザーは、アプリケーションのログイン画面で「このアプリケーション用のログイン情報を記憶させる」チェック・ボックスを選択することで、これらの資格証明書を Single Sign-On Server のパスワード・ストアに保存できます。

3. 資格証明書を Single Sign-On Server のパスワード・ストアに保存する場合、Single Sign-On Server はそれらの資格証明書を使用してログイン・フォームを作成し、外部アプリケーションのログイン処理ルーチンに送信します。このルーチンは、Single Sign-On Server 管理者によってあらかじめ設定されており、要求されたアプリケーションに関連付けられています。

4. Single Sign-On Server は、クライアント・ブラウザに対して、フォームと、そのフォームを外部アプリケーションにただちに送信する命令を送信します。 5. クライアントは、外部アプリケーションにフォームを送信し、ユーザーのログインを実行します。ユーザーが資格証明書を Single Sign-On のパスワード・ストアに保存しない場合は、アプリケーションにログインするたびに、ユーザー名とパスワードを入力する必要があります。

外部アプリケーションに対する

外部アプリケーションに対する 2 回目以降の認証

回目以降の認証

外部アプリケーションに初めてアクセスしたときに資格証明書を保存した場合、Single Sign-On Server は 2 回目以降のログインにおいて、その資格証明書を取得します。プロセスは次のとおりです。 1. ユーザーは、Oracle9iAS Portal の「外部アプリケーション」ポートレットからリンクの 1 つを選択します。 2. 要求された外部アプリケーションのログイン・プロシージャは、パスワード・ストアでユーザーの資格証明書をチェックします。

3. Single Sign-On Server はユーザーの資格証明書を見つけます。この資格証明書を使用してログイン・フォームを作成し、外部アプリケーションのログイン処理ルーチンに送信します。_{このルーチンは、Single Sign-On Server 管理者によってあらかじめ設定されて} おり、要求されたアプリケーションに関連付けられています。

4. Single Sign-On Server は、クライアント・ブラウザに対して、フォームと、そのフォームを外部アプリケーションにただちに送信する命令を送信します。

(24)

シングル・サインオフ

Single Sign-On のユーザーは、実行しているアプリケーションからのログアウトによって、 Single Sign-On セッションを終了し、すべてのアクティブなパートナ・アプリケーションからログアウトできます。パートナ・アプリケーションで「ログアウト」を選択すると、「シングル・サインオフ」ページが表示され、そこでログアウトを実行できます。シングル・サインオフが正常に完了すると、「シングル・サインオフ」ページにリストされる個々のアプリケーション名の横にチェック・マークが表示されます。アプリケーション名の横に壊れたイメージが表示された場合、ログアウトに失敗したことを示しています。 1 つのセッションでアクティブ化されていたすべてのアプリケーション名にチェック・マークが表示されると、ユーザーは、「戻る」を選択して、ログアウトを開始したアプリケーションに戻ることができます。

Single Sign-On パスワードの変更

パスワードの変更

「Single Sign-On パスワード」画面は、パスワードの有効期限が切れている場合または期限切れが近い場合に、ユーザーがログインを試行すると表示されます。パスワードがまだ有効な場合は、同じ画面の「取消」ボタンをクリックしてログインを続行するオプションを選択できます。その他の状況においてパスワードを変更またはリセットするには、管理者でないユーザーの場合、Delegated Administration Service（DAS）へ移動する必要があります。これは、 Oracle Internet Directory のサービスの 1 つで、ユーザーとグループの管理機能を果たします。_{Single Sign-On 管理者の場合、Single Sign-On ホームページの「パスワードの変更」リ} ンクを選択すると、いつでもパスワードを変更できます。

DAS ホームページは、次のフォームの URL によってアクセスできます。

http://host:port/oiddas/

host は、DAS サーバーが配置されているコンピュータの名前を示します。port は、サー バーのポート番号を示します。_{DAS ホスト・コンピュータと Single Sign-On ホスト・コン} ピュータは、一般的に同一です。

注意注意注意

注意 : Single Sign-On ユーザー名とは異なり、Single Sign-On パスワード は、大 / 小文字を区別します。また、Oracle Internet Directory のルールに準拠します。

(25)

グローバル・ユーザーの非アクティビティ・タイムアウト

Oracle Single Sign-On Server では、Web Cookie SSO_TIMEOUT_ID を使用して、保護されている mod_osso アプリケーションにわたってユーザーが何も操作を行っていないのを追跡し、あらかじめ設定されたアイドル時間を経過した場合に、それらのアプリケーションからユーザーに再認証を要求するように設定できます。グローバル・ユーザーの非アクティビティ・タイムアウトは、Single Sign-On セッションのタイムアウトよりもかなり短期の非アクティビティ・タイムアウトを要求するセキュリティに敏感なアプリケーションにおいて、便利な機能です。

Single Sign-On Server がグローバル・ユーザーの非アクティビティ・タイムアウトに対応している場合、ユーザーの認証後に、そのドメインの Cookie およびユーザー認証時間が設定されます。_{Cookie は単一の共有キーによって暗号化され、そのキーの値は Single Sign-On} Server と mod_osso において既知の状態となります。 Cookie のタイムスタンプは mod_osso によって更新されるため、アプリケーションでは、ユーザーが非アクティビティによってタイムアウトしたかどうかを判断できます。

グローバル・ユーザーの非アクティビティ・タイムアウトの制限時間を超過した後にアプリケーションへのアクセスを試行すると、アプリケーションから Single Sign-On Server に対して、通常の認証要求が送信されます。 Single Sign-On Server では、ユーザーがグローバル・ユーザーの非アクティビティ・タイムアウトの制限時間を超過していることが確認されると、そのユーザーに対してログインを要求するプロンプトが表示されます。制限時間を超過していない場合は、ユーザーは既存のセッション Cookie によって認証されます。注意注意注意 注意 : ユーザーが有効な Single Sign-On セッションを所有していても、 グローバル・タイムアウト制限を超過している場合は、資格証明書が要求されます。関連項目関連項目関連項目

関連項目 : 第 2 章「Oracle Single Sign-On の管理」の「グローバル・ユーザーの非アクティビティ・タイムアウトの設定」

(26)

シングル・サインオン認証リポジトリ

Oracle9iAS リリース 2（9.0.2）では、シングル・サインオン認証はディレクトリ・ベースで 行われます。ユーザー名とパスワードは Single Sign-On データベース・スキーマではなく、 Oracle Internet Directory で管理されます。

ローカル認証とは、以前は Single Sign-On スキーマの参照表を使用して、Oracle9iAS Portal に関連付けられたデータベースで検索することを意味していました。 Oracle9iAS リリース 2 （9.0.2）では、ローカル認証とは、Oracle Internet Directory を使用して認証を行うことと同

義です。

Single Sign-On と Oracle Internet Directory のいずれも、Oracle9iAS Infrastructure のインス トールに含まれています。 Oracle9iAS Infrastructure のインストール方法については、 『Oracle9i Application Server インストレーション・ガイド』の第 4 章の「Oracle9iAS

(27)

2

Oracle Single Sign-On の管理

の管理

この章では、GUI ベース方式とコマンドライン方式を使用して Single Sign-On Server とそれに対応するアプリケーションを管理および設定する方法について説明します。また、管理権限を付与する方法についても説明します。この章の項目は次のとおりです。 ■ デフォルトの Single Sign-On スキーマ ■ Single Sign-On 管理者ロール ■ Single Sign-On 管理者への権限の付与

■ 「Single Sign-On Administration」ページへのアクセス ■ 「SSO サーバーの編集」ページ

■ パートナ・アプリケーション管理 ■ 外部アプリケーションの管理 ■ National Language Support の設定

■ グローバル・ユーザーの非アクティビティ・タイムアウトの設定 ■ Single Sign-On Server における SSL の有効化

(28)

デフォルトの Single Sign-On スキーマ

デフォルトの

デフォルトの Single Sign-On スキーマ

スキーマ

Oracle9iAS のインストール時に、デフォルトで 5 つの Single Sign-On スキーマが作成され ます。表 2-1で、これらのスキーマをリストして説明します。

Single Sign-On 管理者ロール

管理者ロール

Single Sign-On Server に最初にアクセスしたときには、orcladmin という名前の Single Sign-On 管理者すなわち Oracle9iAS スーパー・ユーザーのみが存在します。 Oracle9iAS を インストールするユーザーが、インストール時に、このユーザー用のパスワードを選択します。 orcladmin アカウントは、他のアカウントを作成するために使用されます。iASAdmins すなわち Single Sign-On を管理するグループ用のアカウントも含まれます。

Single Sign-On 管理者には、Single Sign-On Server に対する完全な権限が与えられます。「Single Sign-On administration」ページを使用すると、次のことを実行できます。

■ Single Sign-On Server の設定。

■ パートナ・アプリケーションの管理。認証を Single Sign-On Server に委譲する Web

アプリケーションです。 ■ 外部アプリケーションの管理。 HTML フォームを使用して独自の認証を実行する Web アプリケーションです。表表表 表 2-1 デフォルトで作成されるデフォルトで作成されるデフォルトで作成される Single Sign-On スキーマデフォルトで作成されるスキーマスキーマスキーマスキーマスキーマスキーマスキーマ説明説明説明説明

ORASSO _{Single Sign-On Server がインストールされているスキーマ。} ORASSO_PUBLIC _{Single Sign-On Server の各種ページを表示するプロシージャの実}

行に使用するスキーマ。

ORASSO_DS _{Oracle9iAS Discoverer のパスワード・ストア用のスキーマ。この} 製品では、様々なデータベースにアクセスするため、独自のストアが用意されています。

ORASSO_PA パートナ・アプリケーションを登録するときに、構成表の生成に使用するスキーマ。

(29)

Single Sign-On 管理者への権限の付与

管理者への権限の付与

Single Sign-On 管理者が権限を行使するには、管理グループ iASAdmins のメンバーになる 必要があります。すなわち、このグループの既存メンバーが、グループに新しい管理者を追加する必要があります。_{Single Sign-On Server をインストールすると、そのサーバーはグ} ループ iASAdmins のメンバーになります。管理権限を付与するには、GUI ツールである Oracle Directory Manager（ODM）を使用します。

既存ユーザーに管理権限を付与するには、次の手順を実行します。

1. Oracle Directory Manager を起動します。このツールの起動方法については、『Oracle Internet Directory 管理者ガイド』の第 4 章「ディレクトリ管理ツール」の「Oracle Directory Manager の使用方法」を参照してください。

2. ODM に、orcladmin すなわちディレクトリ・スーパー・ユーザーとしてログインします。_{Oracle Internet Directory のインストール時は、このユーザーに割り当てたパスワー} ドを使用してください。

3. ODM の「「「「System Objects」」」」フレームで、次のエントリを続けて選択します。

■ Entry Management ■ cn=OracleContext ■ cn=Groups ■ cn=iASAdmins 4. 「「iASAdmins」「「」」タブの「」「「uniquemembers」「」」」テキスト・ボックスに、そのユーザーのエントリを追加します。_{次のフォーマットを使用します。} cn=user,cn=users,dc=domain,dc=domain....（例： dc=jp,dc=oracle,dc=com） uniquemember は、エントリ iASAdmins の属性の 1 つです。それ自体で、グループ iASAdmins のメンバーが定義されます。 5. 「適用」を選択します。

新規ユーザーを作成するには、Delegated Administration Service（DAS）と呼ばれる Web ツールを使用します。_{このツールへは、次のフォームの URL によってアクセスできます。} http://host:port/oiddas/ 注意注意注意 注意 : ディレクトリ・スーパー・ユーザー orcladmin は、Oracle9iAS スーパー・ユーザー orcladmin と同一ではありません。これらは、階層的に等しくない個別アカウントです。

(30)

「Single Sign-On Administration」ページへのアクセス

「

「Single Sign-On Administration」ページへのアクセス

」ページへのアクセス

Single Sign-On の管理機能は、Single Sign-On ホームページから実行します。 Single Sign-On ホームページにアクセスするには、次の手順を実行します。

1. 次のフォームの URL を入力します。

http://host:port/pls/Single_Sign_On_DAD

host にはSingle Sign-On Server が配置されているコンピュータ名を代入し、port に はサーバーのポート番号を代入し、Single_Sign_On_DAD には Single Sign-On スキー マ用のデータベース・アクセス記述子を代入します。デフォルトの DAD は、orasso です。「パートナ・アプリケーションへのアクセス」「パートナ・アプリケーションへのアクセス」「パートナ・アプリケーションへのアクセス」「パートナ・アプリケーションへのアクセス」ページが表示されます。 2. 「パートナ・アプリケーションへのアクセス」「パートナ・アプリケーションへのアクセス」ページの右上にある「ログイン」を選択「パートナ・アプリケーションへのアクセス」「パートナ・アプリケーションへのアクセス」します。 Single Sign-On の「ログイン」「ログイン」「ログイン」ページが表示されます。「ログイン」 3. ユーザー名とパスワードを入力して、「ログイン」「ログイン」「ログイン」「ログイン」ボタンを選択します。

4. Single Sign-On ホームページが表示されます。管理機能を実行するには、「「「「SSO サーサーサーサーバー管理」

バー管理」バー管理」

バー管理」リンクを選択します。

(31)

「Single Sign-On Administration」ページへのアクセス

図図図

(32)

「SSO サーバーの編集」ページ

「

「SSO サーバーの編集」ページ

サーバーの編集」ページ

「SSO サーバーの編集」ページは、Single Sign-On セッションの長さの修正、IP アドレスの検証、地域と言語のユーザー選択の許可、および認証リポジトリ情報の取得に使用します。「SSO サーバーの編集」ページにアクセスするには、「SSO サーバー管理」ページの「SSO

サーバー構成の編集」リンクを選択します。「SSO サーバーの編集」ページには、次のフィールドが含まれています。表表表 表 2-2 SSO セッション・ポリシーセッション・ポリシーセッション・ポリシーセッション・ポリシーフィールドフィールドフィールドフィールド説明説明説明説明シングル・サインオン・

セッションの持続期間 Single Sign-On Server にログインできる期間（時間）を入力します。この期間内は、タイムアウトが発生せず、再度ログインする必要がありません。

SSO サーバーに対して行なわれた要求の IP アドレスを検証する

ブラウザの IP アドレスと Single Sign-On Server への認証要求に使用される IP アドレスが一致することを検証するときに選択します。注意注意注意 注意 : 「認証メカニズム」ヘッダーの下にあるフィールドは、ユーザー・ インタフェースによって変更することはできません。その代替方法については、第 3 章「ディレクトリ対応 Single Sign-On」の「ディレクトリ内の Single Sign-On Server 設定の変更」を参照してください。

表表表 表 2-3 地域の選択地域の選択地域の選択地域の選択フィールドフィールドフィールドフィールド説明説明説明説明ユーザーに地域の選択を許可するログイン時に、ユーザーが地理上の位置および言語を選択できるように設定する場合に選択します。地域の設定によって、日付、通貨、小数の書式などのローカライゼーション設定が決まります。

Oracle9iAS Single Sign-On管理者ガイド, リリース9.0.2