| Oracle Access Managerアクセス管理ガイド 10g(10.1.4.3) B55477-01 |
|
 戻る |
 次へ |
この付録には、インターネット・プロトコル・バージョン6のクライアントでのOracle Access Managerの使用方法に関する次の情報が記載されています。
Oracle Access Managerは、インターネット・プロトコル・バージョン4(IPv4)をサポートしています。Oracle Fusion Middlewareは、インターネット・プロトコル・バージョン4(IPv4)とインターネット・プロトコル・バージョン6(IPv6)をサポートしています。
特徴的な機能として、IPv6はIPv4(32ビット)よりも広いアドレス空間(128ビット)をサポートしています。これにより、Web上でアドレス可能なコンピュータの数は格段に増加します。IPv6は、mod_wl_ohsプラグインを含むOracle HTTP Serverで有効です。
リバース・プロキシ・サーバーを設定すると、IPv6をサポートするクライアントに対応したOracle Access Managerを構成できます。これには複数のシナリオが用意されています。使用環境に合せて適切な構成を選択してください。
次のトポロジは、IPv6単独の使用、またはIPv4と様々なOracleアプリケーションを組み合せた使用でサポートされています。
|
注意: シングル・サインオン(SSO)ソリューションの1つとしてOracle Access Managerに関連するのは、項目6のみです。 |
IPv4(Oracle Database)-- デュアル・スタック(WebLogic Server)-- IPv4クライント、IPv6クライアント
IPv4(Oracle Database)-- デュアル・スタック(WebLogic Server、SOA Suite、BAM、WebCenter、Enterprise Manager)-- IPv6(mod_wl_ohsを含むOracle HTTP Server)-- IPv6クライアント
IPv6(MySQLなどのデータベース)-- IPv6(WLS)-- IPv6クライアント
IPv4(データベース)-- デュアル・スタック(SOA Suite、BAM、WebCenter、Identity Management、Enterprise Manager)-- IPv4クライアント、IPv6クライアント
IPv4 Classic(Forms、Reports、Discoverer、Portal + 10.1.4.3 SSO)-- デュアル・スタック(mod_proxyを含むOracle HTTP Server)-- IPv6クライアント
IPv4(SOA Suiteなどのアプリケーションを含むOracle Access Manager 10.1.4.3)-- デュアル・スタック(mod_proxyを含むOracle HTTP Server)-- IPv6クライアント
IPv4(WebLogic Server、SOA Suite、BAM、WebCenter、Enterprise Manager)-- デュアル・スタック(mod_wl_ohsを含むOracle HTTP Server)-- IPv6クライアント
|
関連項目: IPv6の詳細は、Oracle Fusion Middlewareの管理者ガイドを参照してください。 |
この付録の残りの部分では、Oracle Access ManagerでIPv6を使用する方法を中心に説明します。
図D-1は、IPv6/IPv4プロキシを使用するように構成したOracle Access Managerでの単純な認証を示しています。
|
注意: WebGateプロファイルにはIPv6アドレスは指定できません。WebGateプロファイルには、仮想ホスト名はIPアドレスではなく、たとえばmyapphost.foo.comのようにホスト名として指定する必要があります。 |
図D-1に示すように、IPv6ネットワークはIPv6/IPv4プロキシと通信し、続いてIPv4プロキシを使用してOracle HTTP ServerおよびWebGateと通信します。WebGate、Oracle Access Managerサーバーおよび認証プロバイダを使用するOracle WebLogic Serverはすべて、IPV4を使用して相互通信します。
図D-2は、IPv6からIPv4への単一プロキシを使用した構成(ただし、myssohostとmyapphostはそれぞれ個別のプロキシを使用できます)を示しています。
|
注意: WebGateプロファイルには、仮想ホスト名はIPアドレスではなく、たとえばmyapphost.foo.comのようにホスト名として指定する必要があります。リダイレクト・ホスト名(例: myssohost.foo.com)も、IPアドレスではなく、ホスト名として指定する必要があります。WebGateプロファイルにはIPv6アドレスは指定できません。 |
図D-2に示すように、IPv6ネットワークはIPv6/IPv4プロキシと通信し、続いてIPv4を使用してOracle HTTP Serverと通信します。WebGate、Oracle Access ManagerサーバーおよびIDアサーション・プロバイダを使用するOracle WebLogic Serverはすべて、IPV4を使用して相互通信します。
IPv4ネットワーク上のブラウザからIPv4サーバーのホスト名を直接指定し、IPv6のmyssohost.foo.comにリダイレクトされてログインし、アプリケーションにアクセスできます。
対象となる使用シナリオごとに、次の点を考慮する必要があります。
IP検証はデフォルトでは機能しません。IP検証を有効にするには、アクセス・システム・コンソールで、プロキシ・サーバーのIPアドレスをWebGateのIPValidationExceptionパラメータの値として追加する必要があります。
IPアドレスベースの認証は機能しません。これは、すべてのリクエストが1つのIP(プロキシIP)を通過するため、認証の目的を果さないためです。
開始する前には、Oracle Access ManagerをIPv6クライアントともに使用する方法に関係なく、次のタスクを完了しておく必要があります。
Oracle HTTP Serverインスタンスを、Webサーバーに対するリバース・プロキシとして動作するようにインストールする必要があります(WebGateに必要)。
このマニュアルの他の章の説明に従って、Oracle Access Managerをインストールして初期設定(アイデンティティ・サーバー、Webパス、ポリシー・マネージャ、アクセス・サーバー、WebGate)を行う必要があります。
|
関連項目:
|
次に、IPv6/IPv4プロキシを使用したOracle Access Managerで単純な認証を行うために、使用環境を構成する手順について説明します。
この手順に含まれる構成は単なる例にすぎません。例の中のOHS_hostとOHS_portは、実際のWebGateを含むOracle HTTP Serverのホスト名とポートです。使用環境に合せた値を使用してください。
|
注意: この構成では、WebGateプロファイルで優先HTTPホストとしてWebGateがデプロイされているWebサーバーを使用してください。IPv6のプロキシ名は使用できません。 |
リバース・プロキシが有効になるように、Oracle HTTP Server 11gリリース1(11.1.1)またはその他のサーバーを構成します。
次のコマンドを使用してOracle HTTP Serverを停止します。
opmnctl stopproc ias-component=HTTP_Server
次のファイルを編集します。
UNIX: ORACLE_INSTANCE/config/OHS/ohs_name/httpd.conf Windows: ORACLE_INSTANCE\config\OHS\ohs_name\httpd.conf
httpd.confファイルに次を追加します。
#---Added for Mod Proxy <IfModule mod_proxy.c> ProxyRequests Off ProxyPreserveHost On ProxyPass /http://OHS_host:OHS_port/ ProxyPassReverse /http://OHS_host:OHS_port/ </IfModule>
次のコマンドを使用して、Oracle HTTP Serverを再起動します。
opmnctl startproc ias-component=HTTP_Server
アクセス・システム・コンソールにログインします。次に例を示します。
http://hostname:port/access/oblix
ここで、hostnameはWebPass Webサーバーをホストするコンピュータであり、ポートはWebPass Webサーバー・インスタンスのHTTPポート番号です。/access/oblixにより、アクセス・システム・コンソールに接続します。
「アクセス・システム(Access System)」メイン・ページが表示されます。
「アクセス・システム構成」→「アクセス・ゲート構成」の順にクリックします。
「アクセス・ゲートの検索」ページが表示されます。検索リストに、検索可能な属性が一覧表示されます。その他のフィールドでは、選択した属性に対応する検索基準を指定できます。
各リストから検索属性と条件を選択(または、すべてのアクセス・ゲートを検索する場合は「すべて」ボタンをクリック)し、「実行」をクリックします。
詳細を表示するアクセス・ゲートの名前をクリックします。
「変更」ボタンをクリックします。
優先HTTPホスト: WebGateをデプロイするWebサーバー名を指定し、これがすべてのHTTPリクエストに表示されるようにします。HTTPリクエスト内のホスト名は、ユーザーのHTTPリクエストでの定義に関係なく、このフィールドに入力した値に変換されます。
IP検証を有効にするには、プロキシ・サーバーのIPアドレスをIPValidationExceptionパラメータの値として追加します。
「保存」をクリックします。
IPv6/IPv4プロキシを含むOracle Access Manager、認証WebGateおよびチャレンジ・リダイレクトを使用する環境を構成するには、次の手順に従ってください。
次の手順では、フォーム・ベース認証とリソースWebGateの両方に共通のプロキシを使用することを前提としています。たとえば、次のような構成であると仮定します。
|
注意: この構成では、優先HTTPホストは、このWebGate用に構成されているOracle HTTP Server Webサーバー名にする必要があります。たとえば、WebGateがmyapphost4.foo.comにデプロイされている場合、優先HTTPホストにはmyapphost4.foo.comを使用する必要があります。IPv6のプロキシ名は使用できません。 |
この例で使用するプロキシ構成については、次の手順で説明します。Oracle HTTP Serverを構成し、対応するOracle HTTP Serverを優先HTTPホストとして使用するようにWebGateプロファイルを構成し、フォーム・ベース認証スキームをリバース・プロキシ・サーバーURL(この例ではhttp://myapphost.foo.com/)のチャレンジ・リダイレクト値を使用して構成する必要があります。
必ず使用環境に合せた値を使用してください。
認証WebGateとチャレンジ・リダイレクトを使用してIPv6を構成する手順
次の手順に従って、Oracle HTTP Server 11gリリース1(11.1.1)またはその他の任意のサーバーを構成します。
次のコマンドを使用してOracle HTTP Serverを停止します。
opmnctl stopproc ias-component=ias-component=HTTP_Server
次のファイルを編集します。
UNIX: ORACLE_INSTANCE/config/OHS/ohs_name/httpd.conf Windows: ORACLE_INSTANCE\config\OHS\ohs_name\httpd.conf
次の情報を、使用環境に合せてhttpd.confファイルに追加します。次に例を示します。
<IfModule mod_proxy.c> ProxyRequests On ProxyPreserveHost On #Redirect login form requests and redirection requests to Authentication WebGate ProxyPass /obrareq.cgi http://myssohostv4.foo.com/obrareq.cgi ProxyPassReverse /obrareq.cgi http://myssohostv4.foo.com/obrareq.cgi ProxyPass /oamsso/login.html http://myssohostv4.foo.com/oamsso/login.html ProxyPassReverse /oamsso/login.html http://myssohostv4.foo.com/oamsso/login .html ProxyPass /access/sso http://myssohostv4.foo.com/ /access/sso ProxyPassReverse /access/sso http://myssohostv4.foo.com/access/sso # Redirect resource requests to Resource WG ProxyPass /http://myapphostv4.foo.com / ProxyPassReverse /http://myapphostv4.foo.com / </IfModule>
次のコマンドを使用して、Oracle HTTP Serverを再起動します。
opmnctl startproc ias-component=ias-component=HTTP_Server
次の手順に従って、アクセス・システム・コンソールで、各WebGateの優先HTTPホストを設定します。
アクセス・システム・コンソールにログインします。次に例を示します。
http://hostname:port/access/oblix
ここで、hostnameはWebPass Webサーバーをホストするコンピュータであり、ポートはWebPass Webサーバー・インスタンスのHTTPポート番号です。/access/oblixにより、アクセス・システム・コンソールに接続します。
「アクセス・システム(Access System)」メイン・ページが表示されます。
「アクセス・システム構成」→「アクセス・ゲート構成」の順にクリックします。
「アクセス・ゲートの検索」ページが表示されます。検索リストに、検索可能な属性が一覧表示されます。その他のフィールドでは、選択した属性に対応する検索基準を指定できます。
各リストから検索属性と条件を選択(または、すべてのアクセス・ゲートを検索する場合は「すべて」ボタンをクリック)し、「実行」をクリックします。
詳細を表示するアクセス・ゲートの名前をクリックします。
「変更」ボタンをクリックします。
優先HTTPホスト: このWebGate用に構成されているOracle HTTP Server Webサーバーの名前です。たとえば、WebGateがmyapphost4.foo.comにデプロイされている場合、myapphost4.foo.comを優先HTTPホストとして使用する必要があります。
IP検証を有効にするには、プロキシ・サーバーのIPアドレスをIPValidationExceptionパラメータの値として追加します。
「保存」をクリックします。
各WebGateに対して手順を繰り返し、このWebGate用に構成されているOracle HTTP Server Webサーバーの名前を指定します。
アクセス・システム・コンソールから、次の手順に従ってフォーム認証スキームを変更し、チャレンジ・リダイレクトをプロキシ・サーバーに含めます。
「アクセス・システム構成」→「認証管理」の順にクリックします。
変更するスキームの名前をクリックし、「変更」をクリックします。
チャレンジ・リダイレクト値をプロキシ・サーバーURLに構成します。この例では、プロキシ・サーバーURLはhttp://myapphost.foo.com/です。
「保存」をクリックします。
この構成には、複数のプロキシを含みます(たとえば、認証WebGate用のプロキシとリソースWebGate用のプロキシなど)。IPv4ネットワーク上のブラウザから、IPv6ホストへのログイン・リダイレクトを含むIPv4サーバーのホスト名を直接指定して、アプリケーションにアクセスできます。たとえば、次のようにします。
|
注意: WebGateプロファイルでは、IPv6のプロキシ名を優先HTTPホストとして使用できません。 |
例の中のOHS_hostとOHS_portは、実際のWebGateが構成されているOracle HTTP Serverのホスト名とポートです。必ず使用環境に合せた値を使用してください。
認証用とリソースWebGate用に個別のプロキシを使用したIPv6を構成する手順
次の手順に従って、Oracle HTTP Server 11gリリース1(11.1.1)またはその他の複数プロキシを含むサーバーを構成します。
次のコマンドを使用してOracle HTTP Serverを停止します。
opmnctl stopproc ias-component=ias-component=HTTP_Server
次のファイルを編集します。
UNIX: ORACLE_INSTANCE/config/OHS/ohs_name/httpd.conf Windows: ORACLE_INSTANCE\config\OHS\ohs_name\httpd.conf
次の情報を、使用環境に合せてhttpd.confファイルに追加します。次に例を示します。
<IfModule mod_proxy.c> ProxyRequests Off ProxyPreserveHost On ProxyPass /http://OHS_host:OHS_port ProxyPassReverse /http://OHS_host:OHS_port </IfModule>
次のコマンドを使用して、Oracle HTTP Serverを再起動します。
opmnctl startproc ias-component=ias-component=HTTP_Server
次の手順に従って、アクセス・システム・コンソールで、各WebGateの優先HTTPホストを設定します。
アクセス・システム・コンソールにログインします。次に例を示します。
http://hostname:port/access/oblix
ここで、hostnameはWebPass Webサーバーをホストするコンピュータであり、ポートはWebPass Webサーバー・インスタンスのHTTPポート番号です。/access/oblixにより、アクセス・システム・コンソールに接続します。
「アクセス・システム(Access System)」メイン・ページが表示されます。
「アクセス・システム構成」→「アクセス・ゲート構成」の順にクリックします。
「アクセス・ゲートの検索」ページが表示されます。検索リストに、検索可能な属性が一覧表示されます。その他のフィールドでは、選択した属性に対応する検索基準を指定できます。
各リストから検索属性と条件を選択(または、すべてのアクセス・ゲートを検索する場合は「すべて」ボタンをクリック)し、「実行」をクリックします。
詳細を表示するアクセス・ゲートの名前をクリックします。
「変更」ボタンをクリックします。
優先HTTPホスト: このWebGate用に構成されているOracle HTTP Server Webサーバーの名前です。たとえば、WebGateがmyapphost4.foo.comにデプロイされている場合、myapphost4.foo.comを優先HTTPホストとして使用する必要があります。
IP検証を有効にするには、プロキシ・サーバーのIPアドレスをIPValidationExceptionパラメータの値として追加します。
「保存」をクリックします。
各WebGateに対して手順を繰り返し、このWebGate用に構成されているOracle HTTP Server Webサーバーの名前を指定します。
アクセス・システム・コンソールから、次の手順に従ってフォーム認証スキームを変更し、チャレンジ・リダイレクトをプロキシ・サーバーに含めます。
「アクセス・システム構成」→「認証管理」の順にクリックします。
変更するスキームの名前をクリックし、「変更」をクリックします。
チャレンジ・リダイレクト値を、認証WebGateのリバース・プロキシとして動作するプロキシ・サーバーURLに構成します。この例では、プロキシ・サーバーURLはです。
「保存」をクリックします。
