保護対象のアプリケーションが稼働するサーバーにPolicy Agentをインストールして、OpenAMと連携できるようにするためには、以下の作業が必要です。
- インストール要件の確認
- 事前準備
- エージェントプロファイルの作成
- エージェントのインストール
- 認可ポリシーの作成
まずは、Policy Agentがインストール可能なサーバーであるかを確認します(1)。Policy Agentがインストール可能なサーバーはApache HTTP Server、IIS、Tomcat、JBossなどで、バージョンもインストール要件を満たしている必要があります。インストール要件を満たしていることを確認したら、サーバーの設定等を必要に応じて変更します(2)。次に、OpenAMの管理コンソールでPolicy Agentのプロファイルを作成します(3)。プロファイルは、OpenAMと連携するためには必要なPolicy Agentの情報です。プロファイルを作成したら、エージェントをインストールします(4)。最後に、認可ポリシーを作成します(5)。保護するアプリケーションへのアクセスを一部のユーザーや特定のURLにのみ許可、拒否するためにはこの設定が必要です。
Java EEエージェントには、Tomcatエージェント、JBossエージェント、WebSphereエージェントなどがありますが、インストールとセットアップの基本的な作業はほぼ同じです。ここでは、Tomcatエージェントのインストールとセットアップについてのみ解説します。
手順. TomcatサーバーにTomcatエージェントをインストールする
まずは、保護対象のアプリケーションが稼働するサーバーに、Tomcatエージェントがインストールが可能な環境であるかを確認する必要があります。「OpenAM Java EE Policy Agent Release Notes」の「Before You Install」のセクションを確認します。
次に、「OpenAM Java EE Policy Agent User's Guide」の「Installing Java EE Agents in Apache Tomcat」の「Before You Install」のセクションを確認します。
https://backstage.forgerock.com/docs/openam-jee-policy-agents/3.5/jee-users-guide/chap-apache-tomcat
新しいJava EEエージェントのプロファイルを作成する前に、エージェントの名前とパスワードを決めておく必要があります。また、OpenAMと保護するアプリケーションへのURLが必要です:
- 管理者としてOpenAMコンソールにログインします。
- OpenAMコンソールの「レルム」メニューで、エージェントプロファイルを管理するレルムを選択します。
- 「エージェント」のリンクをクリックし、作成するエージェントプロファイルの種類のタブページをクリックし、「エージェント」テーブルの「新規作成」ボタンをクリックします。
- 「名前」フィールドに、エージェントプロファイルの名前を入力します。
- 「パスワード」フィールドと「パスワードの再入力」フィールドに、新しいエージェントプロファイルのパスワードを入力します。
- ローカルまたは集中(デフォルト)をクリックして、どこにエージェントのプロパティを保存するかを決定します。「ローカル」を選択すると、エージェントが実行されているサーバーにプロパティが保存されます。集中管理を選択すると、プロパティはOpenAMサーバーに保存されます。
- 「Server URL」フィールドに、OpenAMのURLを入力します。たとえば、http://openam.example.com:8080/openam
- 「エージェントURL」フィールドに、ポリシーエージェントによって保護されているアプリケーションサーバーのプライマリURLを入力します。Java EEポリシーエージェントの場合、URLには、agentappコンテキストが含まれている必要があります。たとえば、http://shop.example.com:28080/agentapp
- 「作成」をクリックします。エージェントプロファイルを作成したら、新しいプロファイルへのリンクをクリックして設定を調整したり、エクスポートすることができます。
Webエージェントには、Apaheエージェント、IISエージェントがあります。以前は。ここでは、Apaheエージェント、IISエージェントの両方について説明します。
手順. Apache HTTPサーバーにApacheエージェントをインストールする
まずはインストールが可能な環境であるかを確認する必要があります。「OpenAM Web Policy Agent Release Notes Search」の「Before You Install」のセクションを確認します。
新しいWebエージェントのプロファイルを作成する前に、エージェントの名前とパスワードを決めておく必要があります。また、OpenAMと保護するアプリケーションへのURLが必要です:
- 管理者としてOpenAMコンソールにログインします。
- OpenAMコンソールの「レルム」メニューで、エージェントプロファイルを管理するレルムを選択します。
- 「エージェント」のリンクをクリックし、作成するエージェントプロファイルの種類のタブページをクリックし、「エージェント」テーブルの「新規作成」ボタンをクリックします。
- 「名前」フィールドに、エージェントプロファイルの名前を入力します。
- 「パスワード」フィールドと「パスワードの再入力」フィールドに、新しいエージェントプロファイルのパスワードを入力します。
- ローカルまたは集中(デフォルト)をクリックして、どこにエージェントのプロパティを保存するかを決定します。「ローカル」を選択すると、エージェントが実行されているサーバーにプロパティが保存されます。集中管理を選択すると、プロパティはOpenAMサーバーに保存されます。
- 「Server URL」フィールドに、OpenAMのURLを入力します。たとえば、http://openam.example.com:8080/openam
- 「エージェントURL」フィールドに、ポリシーエージェントによって保護されているWebサーバーサーバーのプライマリURLを入力します。
- 「作成」をクリックします。エージェントプロファイルを作成したら、新しいプロファイルへのリンクをクリックして設定を調整したり、エクスポートすることができます。
手順. IISサーバーにIISエージェントをインストールする
まずはインストールが可能な環境であるかを確認する必要があります。