5 OracleAS Single Sign-OnとOracle Delegated Administration Serviceのインストールと構成

Oracle HTTP Serverを使用したOracleAS Single Sign-OnとOracle Delegated Administration Serviceの再構成

Identity Management層でのOracle HTTP Serverの無効化

ロード・バランシング・ルーターの設定

Identity Managementのコンポーネントをインストールする前に、ポート443（https）でsso.mycompany.comへのリクエストをリスニングし、Oracle HTTP Serverのリスニング・ポート7777（http）に対してこれらのリクエストをバランシングするように、ロード・バランシング・ルーターを設定する必要があります。ロード・バランシング・ルーターはプロトコル変換を行う必要があります。また、HTTPセッションを永続させるために構成する必要があります。

OracleAS Single Sign-Onのインストールと構成

データ層が完成したら、次の手順に従ってIdentity Managementのコンポーネント（IDMHOST1およびIDMHOST2）をインストールし、IDMHOST1およびIDMHOST2にOracleAS Single Sign-Onを構成します。

最初のIdentity Management構成のインストール

IDMHOST1にIdentity Managementをインストールする手順は次のとおりです。

システム、パッチ、カーネルの要件、およびその他の要件が満たされていることを確認します。これらは、ご使用のプラットフォームおよびリリースのOracle Application Serverドキュメント・ライブラリで参照できるOracle Application Serverのクイック・インストレーション・ガイドに示されています。
Disk1/stage/Responseディレクトリのstaticports.iniファイルを、Oracleホームのディレクトリにコピーします。

staticports.iniファイルを編集し、次のエントリのコメントを外します。

Oracle HTTP Server port = 7777
Oracle HTTP Server Listen port = 7777
Application Server Control port = 1810

次のように、Oracle Universal Installerを起動します。

UNIXでは、runInstallerコマンドを発行します。

Windowsでは、setup.exeをダブルクリックします。

「ようこそ」画面が表示されます。
「次へ」をクリックします。

UNIXシステムの場合、「インベントリ・ディレクトリと資格証明の指定」画面が表示されます。
orainventoryディレクトリと、そのディレクトリへの書込み権限を持つオペレーティング・システム・グループを指定します。
「次へ」をクリックします。

UNIXシステムの場合、oraInstRoot.shスクリプトの実行を求めるダイアログが表示されます。
ウィンドウを開いてから、そのウィンドウのプロンプトに従ってスクリプトを実行します。

Oracle Universal Installerの画面に戻り、「次へ」をクリックします。

「ファイルの場所の指定」画面が表示され、次のもののデフォルトの場所が示されます。

インストールの製品ファイル（インストール元）

Oracleホームの名前とパス（インストール先）

注意:

IDMHOST1とIDMHOST2のOracleホーム・ディレクトリのパスが同じであることを確認してください。たとえば、IDMHOST1のOracleホームへのパスが次のように設定されている場合、

/u01/app/oracle/product/AS10gSSO

IDMHOST2のOracleホームへのパスも次のように設定する必要があります。

/u01/app/oracle/product/AS10gSSO

デフォルトとは異なるインストール先を選択する場合は、インストール先名と「パス」を指定し、「次へ」をクリックします。

「インストールする製品の選択」画面が表示されます。
「OracleAS Infrastructure 10g」を選択し、「次へ」をクリックします。

「インストール・タイプの選択」画面が表示されます。
「Identity Management」を選択し、「次へ」をクリックします。

「インストール前の要件の確認」画面が表示されます。
要件が満たされていることを確認してから、「次へ」をクリックします。

「構成オプションの選択」画面が表示されます。
「OracleAS Single Sign-On」、「OracleAS Delegated Administration Services」および「高可用性およびレプリケーション」を選択します。

「ポート構成オプションの指定」画面が表示されます。
「手動」を選択してstaticports.iniファイルの場所を指定してから、「次へ」をクリックします。

「高可用性オプションの選択」画面が表示されます。
「OracleASクラスタ(ID管理)」を選択し、「次へ」をクリックします。

「OracleASクラスタ(ID管理)の作成または追加」画面が表示されます。
新規OracleASクラスタの作成を選択し、「次へ」をクリックします。

「新規OracleASクラスタ名の指定」画面が表示されます。

新規OracleASクラスタ名フィールドにクラスタ名を指定し、「次へ」をクリックします。

注意:

クラスタ名を書き留めておいてください。この名前は、クラスタに追加するインスタンスを後でインストールするときに必要になります。

「LDAP仮想ホストおよびポートの指定」画面が表示されます。

ロード・バランシング・ルーターの名前、SSLポートおよび非SSLポートを入力します
「次へ」をクリックします。

「OIDログインの指定」画面が表示されます。
フィールドに入力したら、「次へ」をクリックします。

「HTTPロード・バランサのホストおよびリスニング・ポートの指定」画面が表示されます。
HTTP Serverのリスニング・ポートとHTTPロード・バランサのホスト名およびポートを入力し、ロード・バランサのSSLオプションを有効にします。
「次へ」をクリックします。

「インスタンス名とias_adminパスワードの指定」画面が表示されます。
インスタンス名とパスワードを指定し、「次へ」をクリックします。

「サマリー」画面が表示されます。
選択内容が正しいことを確認し（そうでない場合は、「戻る」をクリックして、それまでの画面の選択内容を変更する）、「インストール」をクリックします。

「インストール」画面がプログレス・バー付きで表示されます。UNIXシステムの場合、root.shスクリプトの実行を求めるダイアログが表示されます。
ウィンドウを開いてから、このスクリプトを実行します。

「コンフィギュレーション・アシスタント」画面が表示されます。複数のConfiguration Assistantが連続して起動されるため、時間がかかることがあります。このプロセスの完了後、「インストールの終了」画面が表示されます。
「終了」をクリックしてから、その選択を確認します。

Oracle Internet Directoryを使用するIdentity Managementコンポーネントのテスト

Oracle Internet Directoryを使用する最初のIdentity Managementインストールをテストする手順は次のとおりです。

次のコマンドを使用して、OIDHOST1上のすべてのコンポーネントを停止します。

ORACLE_HOME/opmn/bin/opmnctl stopall
次のコマンドを使用して、OIDHOST2上のすべてのコンポーネントが稼動していることを確認します。

ORACLE_HOME/opmn/bin/opmnctl status
次のURLにアクセスします。

https://IDMHOST1.mycompany.com/pls/orasso
次のコマンドを使用して、OIDHOST2上のすべてのコンポーネントを停止します。

ORACLE_HOME/opmn/bin/opmnctl stopall
次のコマンドを使用して、OIDHOST1上のすべてのコンポーネントが稼動していることを確認します。

ORACLE_HOME/opmn/bin/opmnctl status
次のURLにアクセスします。

https://IDMHOST2.mycompany.com/pls/orasso

2番目のIdentity Management構成のインストール

IDMHOST2にIdentity Managementをインストールする手順は次のとおりです。

システム、パッチ、カーネルの要件、およびその他の要件が満たされていることを確認します。これらは、ご使用のプラットフォームおよびリリースのOracle Application Serverドキュメント・ライブラリで参照できるOracle Application Serverのクイック・インストレーション・ガイドに示されています。
Disk1/stage/Responseディレクトリのstaticports.iniファイルを、Oracleホームのディレクトリにコピーします。

staticports.iniファイルを編集し、次のエントリのコメントを外します。

Oracle HTTP Server port = 7777
Oracle HTTP Server Listen port = 7777
Application Server Control port = 1810

次のように、Oracle Universal Installerを起動します。

UNIXでは、runInstallerコマンドを発行します。

Windowsでは、setup.exeをダブルクリックします。

「ようこそ」画面が表示されます。
「次へ」をクリックします。

UNIXシステムの場合、「インベントリ・ディレクトリと資格証明の指定」画面が表示されます。
orainventoryディレクトリと、そのディレクトリへの書込み権限を持つオペレーティング・システム・グループを指定します。
「次へ」をクリックします。

UNIXシステムの場合、oraInstRoot.shスクリプトの実行を求めるダイアログが表示されます。
ウィンドウを開いてから、そのウィンドウのプロンプトに従ってスクリプトを実行します。

Oracle Universal Installerの画面に戻り、「次へ」をクリックします。

「ファイルの場所の指定」画面が表示され、次のもののデフォルトの場所が示されます。

インストールの製品ファイル（インストール元）

Oracleホームの名前とパス（インストール先）

注意:

/u01/app/oracle/product/AS10gSSO

IDMHOST2のOracleホームへのパスも次のように設定する必要があります。

/u01/app/oracle/product/AS10gSSO

デフォルトとは異なるインストール先を選択する場合は、インストール先名と「パス」を指定し、「次へ」をクリックします。

「インストールする製品の選択」画面が表示されます。
「OracleAS Infrastructure 10g」を選択し、「次へ」をクリックします。

「インストール・タイプの選択」画面が表示されます。
「Identity Management」を選択し、「次へ」をクリックします。

「インストール前の要件の確認」画面が表示されます。
要件が満たされていることを確認してから、「次へ」をクリックします。

「構成オプションの選択」画面が表示されます。
「OracleAS Single Sign-On」、「OracleAS Delegated Administration Services」および「高可用性およびレプリケーション」を選択します。
「次へ」をクリックします。

「高可用性オプションの選択」画面が表示されます。
「OracleASクラスタ(ID管理)」を選択し、「次へ」をクリックします。

「OracleASクラスタ(ID管理)の作成または追加」画面が表示されます。
既存のOracleASクラスタに追加を選択し、「次へ」をクリックします。

「既存のOracleASクラスタ名の指定」画面が表示されます。
最初のインスタンスのインストール時に入力したクラスタ名を既存のOracleASクラスタ名フィールドに指定し、「次へ」をクリックします。

「LDAP仮想ホストおよびポートの指定」画面が表示されます。
ロード・バランシング・ルーターの名前、SSLポートおよび非SSLポートを入力します
「次へ」をクリックします。

「OIDログインの指定」画面が表示されます。
フィールドに入力したら、「次へ」をクリックします。

「HTTPロード・バランサのホストおよびリスニング・ポートの指定」画面が表示されます。
HTTP Serverのリスニング・ポートとHTTPロード・バランサのホスト名およびポートを入力し、ロード・バランサのSSLオプションを有効にします。
「次へ」をクリックします。

「インスタンス名とias_adminパスワードの指定」画面が表示されます。
インスタンス名とパスワードを指定し、「次へ」をクリックします。

「サマリー」画面が表示されます。
選択内容が正しいことを確認し（そうでない場合は、「戻る」をクリックして、それまでの画面の選択内容を変更する）、「インストール」をクリックします。

「インストール」画面がプログレス・バー付きで表示されます。UNIXシステムの場合、root.shスクリプトの実行を求めるダイアログが表示されます。
ウィンドウを開いてから、このスクリプトを実行します。

「コンフィギュレーション・アシスタント」画面が表示されます。複数のConfiguration Assistantが連続して起動されるため、時間がかかることがあります。このプロセスの完了後、「インストールの終了」画面が表示されます。
「終了」をクリックしてから、その選択を確認します。

Oracle HTTP Serverを使用したOracleAS Single Sign-OnとOracle Delegated Administration Serviceの再構成

この項の手順に従って、OracleAS Single Sign-OnとOracle Delegated Administration Serviceを再構成します。

次のことを確認します。
- Oracle Identity Managementインスタンスが起動している（ステータスが「稼働中」になっている）こと。
- Oracle Internet Directoryのホスト番号とポート番号がわかっていること。
- cn=orcladmin、またはiASAdminsグループの別のユーザーのパスワードがわかっていること。
IDMHOST1_ORACLE_HOME/sso/binおよびIDMHOST2_ORACLE_HOME/sso/binで、次のように、コマンドssocfg.shを発行します。

ssocfg.sh https sso.mycompany.com 443

このコマンドで、sso.mycompany.comはロード・バランシング・ルーターのVIPホスト名です。
IDMHOST1およびIDMHOST2で、環境変数ORACLE_HOMEおよびORACLE_SIDを設定します。
IDMHOST1_ORACLE_HOME/sso/binで、次のように、コマンドssoreg.sh（UNIXの場合）またはssoreg.bat（Windowsの場合）を発行します。

ssoreg.sh -oracle_home_path $ORACLE_HOME

-config_mod_osso TRUE

-site_name sso.mycompany.com:443

-remote_midtier

-config_file $ORACLE_HOME/Apache/Apache/conf/osso/myosso.conf

-mod_osso_url https://sso.mycompany.com:443

この例では、myosso.confが、不明瞭な形で作成されるosso構成ファイルの名前になります。
myosso.confファイルを、WEBHOST1_ORACLE_HOME/Apache/Apache/conf/ossoおよびWEBHOST2_ORACLE_HOME/Apache/Apache/conf/ossoにコピーします。
使用しているOracle HTTP Serverのバージョンに応じて、次のいずれかの手順に従い、mod_ossoを構成します。

リリース3（10.1.3）:
1. WEBHOST1およびWEBHOST2で次のコマンドを発行します。
  
  （UNIX）ORACLE_HOME/Apache/Apache/bin/osso1013 config_file
  
  （Windows）perl ORACLE_HOME/Apache/Apache/bin/osso1013 config_file
リリース3（10.1.2）:
1. 手順4で不明瞭な形で作成されたosso構成ファイルを、WEBHOST1およびWEBHOST2のORACLE_HOME/Apache/Apache/conf/ossoディレクトリにコピーします。
2. ORACLE_HOME/Apache/Apache/conf/httpd.confファイルで、Include mod_osso.confディレクティブを非コメント化します。
3. ORACLE_HOME/Apache/Apache/conf/mod_osso.confファイルに次のディレクティブを追加します。
```
OssoConfigFile $ORACLE_HOME/Apache/Apache/conf/osso/osso.conf
```
IDMHOST1_ORACLE_HOME/sso/conf/sso_apache.confファイルをWEBHOST1にコピーします。
WEBHOST1_ORACLE_HOME/Apache/Apache/conf/httpd.confファイルに次のディレクティブを追加します。
```
Include sso_apache.conf
```
WEBHOST1のsso_apache.confファイルを変更して、SSLセクションを有効にし、リライト・セクションをコメントアウトします（例に示すセクションのみが有効になります）。
```
<IfDefine SSL>
   Oc4jExtractSSL on
   <Location /sso>
       SSLOptions +ExportCertData +StdEnvVars
   </Location>
</IfDefine>
```
WEBHOST1からWEBHOST2にsso_apache.confファイルをコピーします。
WEBHOST2_ORACLE_HOME/Apache/Apache/conf/httpd.confファイルに次のディレクティブを追加します。
```
Include sso_apache.conf
```
次のコマンドを使用して、IDMHOST1およびIDMHOST2のAJPポートを特定します。

IDMHOST1_ORACLE_HOME/opmn/bin/opmnctl status -l

IDMHOST2_ORACLE_HOME/opmn/bin/opmnctl status -l

WEBHOST1_ORACLE_HOME/Apache/Apache/conf/mod_oc4j.confファイルおよびWEBHOST2_ORACLE_HOME/Apache/Apache/conf/mod_oc4j.confファイルで、Oc4jMountディレクティブのAJP port 1およびAJP port 2に、手順12で取得したポート値を代入します。この構成によって、OracleAS Single Sign-OnおよびOracle Delegated Administration Serviceのリクエストは、AJPプロトコルを使用してID管理サーバーに送られるようになります。

<IfModule mod_oc4j.c>
...
Oc4jMount /oiddas ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2
Oc4jMount /oiddas/* ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2
Oc4jMount /sso ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2
Oc4jMount /sso/* ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2
Oc4jMount /ssohelp ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2
Oc4jMount /ssohelp/* ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2
Oc4jMount /pls ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2
Oc4jMount /pls/* ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2
...
</IfModule>

次のエントリをWEBHOST1_ORACLE_HOME/Apache/Apache/conf/mod_osso.confに追加して、Oracle Delegated Administration Serviceを構成します。

<IfModule mod_osso.c>
# for oiddas protected region
  <Location /oiddas/ui/oracle/ldap/das>
   require valid-user
   AuthType Basic
  </Location>
</IfModule>
<IfModule mod_alias.c>
# Define the alias which maps the "/uixi/" URI to
# the current version of the UIX installables
  Alias /uixi/ "ORACLE_HOME/uix/cabo/"
# Turn on browser caching for the UIX installables
  <Location /uixi>
# Use mod_headers to set the cache-control header
   Header set cache-control "Public"
# Use mod_expires to set the expires header to some
# date in the distant future
    ExpiresActive on
    ExpiresDefault "access plus 364 days"
  </Location>
</IfModule>

WEBHOST1_ORACLE_HOME/Apache/Apache/conf/mod_osso.confをWEBHOST2_ORACLE_HOME/Apache/Apache/conf/にコピーし、Alias /uixi/ "ORACLE_HOME/uix/cabo/"のORACLE_HOME値を、WEBHOST2_ORACLE_HOMEを指定するように変更します。
次のエントリをWEBHOST1_ORACLE_HOME/Apache/Apache/conf/httpd.confに追加して、ロード・バランシング・ルーターを使用したOracle HTTP Serverを構成します。

使用するプラットフォームに対して、適切な>LoadModule certheaders_moduleディレクティブを追加します。

UNIX Apache 1.3:

LoadModule certheaders_module libexec/mod_certheaders.so

UNIX Apache 2.0: UNIXでApache 2.0を使用する場合は、次のディレクティブを使用します。

LoadModule certheaders_module modules/mod_certheaders.so

Windows:

LoadModule certheaders_module modules/ApacheModuleCertHeaders.dll

次の行を追加して、NameVirtualHostディレクティブ、およびsso.mycompany.comとポート443用のVirtualHostコンテナを作成します。

Apache 1.3:

NameVirtualHost *:7777
<VirtualHost *:7777>
  ServerName sso.mycompany.com
  Port 443
  ServerAdmin you@your.address
  RewriteEngine On
  RewriteOptions inherit
  SimulateHttps On
</VirtualHost>

Apache 2.0:

NameVirtualHost *:7777
<VirtualHost *:7777>
  ServerName sso.mycompany.com:443
  ServerAdmin you@your.address
  RewriteEngine On
  RewriteOptions inherit
  SimulateHttps On
</VirtualHost>

注意:

LoadModuleディレクティブ（特にLoadModule rewrite_moduleディレクティブ）は、httpd.confファイル内のVirtualHostディレクティブの前に配置する必要があります。サーバーでは、VirtualHostコンテナ内のディレクティブが実行される前に、すべてのモジュールがロードされている必要があります。

VirtualHostディレクティブは、httpd.confファイルの最後に作成することをお薦めします。

WEBHOST1_ORACLE_HOME/Apache/Apache/conf/httpd.confをWEBHOST2_ORACLE_HOME/Apache/Apache/conf/にコピーします。
Oracle HTTP Serverを再起動します。

Identity Management層コンポーネントのテスト

両方のIdentity Managementの構成が完了したら、次のように構成をテストします。

次のコマンドを使用して、IDMHOST1上のすべてのコンポーネントを停止します。

ORACLE_HOME/opmn/bin/opmnctl stopall
次のコマンドを使用して、IDMHOST2上のすべてのコンポーネントが稼動していることを確認します。

ORACLE_HOME/opmn/bin/opmnctl status
2つのブラウザから次のURLにアクセスします。

https://sso.mycompany.com/pls/orasso

https://sso.mycompany.com/oiddas
次のコマンドを使用して、IDMHOST1上のすべてのコンポーネントを起動します。

ORACLE_HOME/opmn/bin/opmnctl startall
次のコマンドを使用して、IDMHOST2上のすべてのコンポーネントを停止します。

ORACLE_HOME/opmn/bin/opmnctl stopall
orassoログインとoiddasログインのセッションがまだ有効であることを確認します。

OC4J_SECURITYインスタンスのセッション状態レプリケーションの構成

Application Server Controlコンソールにアクセスし（URLはhttp://hostname:port/em/）、インストール時に設定したoc4jadminパスワードでログインします。

「クラスタ・トポロジ」ページが表示されます。
OC4J_SECURITYインスタンスを選択します。

「OC4J_SECURITY」ページが表示されます。
「アプリケーション」をクリックします。

インスタンスのアプリケーションが表示されます。
defaultアプリケーションを選択します。

「アプリケーション: default」ページが表示されます。
「管理」をクリックします。

管理タスクが一覧表示されます。
「クラスタリング・プロパティ」の「タスクに移動」アイコンをクリックします。

「クラスタリング・プロパティ」ページが表示されます。
「クラスタリング」ドロップダウン・リストから「有効化」を選択します。

「レプリケーション・プロトコル」の選択肢が表示されます。
ピアツーピアを選択します。
下にスクロールし、「レプリケーション・プロパティ」の前にある「+」をクリックします。

レプリケーションプロパティが一覧表示されます。
必要に応じて、アプリケーション・プロパティを選択および指定します。
「OK」をクリックします。

「アプリケーション: default」ページに、変更が適用されたことを示す確認メッセージが表示されます。
「クラスタ・トポロジ」リンクをクリックします。

「クラスタ・トポロジ」ページが表示されます。
OC4J_SECURITYインスタンスの横にあるチェック・ボックスを選択し、「再起動」をクリックします。

確認メッセージが表示されます。
「はい」をクリックします。

進行状況メッセージが表示され、インスタンスが再起動したことを示すメッセージが「クラスタ・トポロジ」ページに表示されます。

Identity Management層でのOracle HTTP Serverの無効化

IDMHOST1およびIDMHOST2で、次の手順に従って、Identity Management層のOracle HTTP Serverを無効にします。

ORACLE_HOME/opmn/bin/opmn.xmlファイルを編集し、次に太字で示すように、Oracle HTTP Serverのステータスをdisabledに変更します。
```
<ias-component id="HTTP_Server" status="disabled" >     <process-type id="HTTP_Server" module-id="OHS">         <module-data>...</ias-component>
```
ORACLE_HOME/opmn/binにある次のコマンドを発行します。

opmnctl stopall
ORACLE_HOME/opmn/binにある次のコマンドを発行します。

opmnctl startall