| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に、Oracle HTTP ServerへのOracle Access Manager 11gの初期デプロイメントについての説明が記載されています。ただし、Oracle HTTP Server以外のWebサーバー・タイプがある企業では、既存のOAM 10g Webgateを使用するか、新規にOAM 10g Webgateをインストールして、OAM 11gで使用できます。また、事前登録済のIAMSuiteAgentから、10g Webgateの使用に切り替えて、Oracle Identity Managementコンソールを保護することもできます。
次の項では、OAM 10g Webgateの新規インスタンスをインストールしてOAM 11gで使用する方法を説明します。
|
注意: OSSO 10gをご使用のお客様: 既存のOracleデプロイメントで、エンタープライズ・ソリューションとしてOSSOを使用されている場合は、Oracle Fusion Middlewareがこれをソリューションとしてサポートし続けます。さらに、第9章で説明されているとおり、既存のOSSO 10g mod_ossoモジュールをOAM 11gのエージェントとしてプロビジョニングすることもできます。 |
Oracle Technology Networkの最新の証明書マトリックスを確認して、ご自身のデプロイメント用の最新のWebgateを検索してください。
http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
Oracle Access Managerコンソールが稼動していること、および次の項目を理解していることを確認してください。
この項の内容は次のとおりです。
第9章で説明されているとおり、IAMSuiteAgentはOAM 11gに事前登録済のJavaエージェント・フィルタです。このエージェントはOracle Identity Managementコンソールと、アイデンティティ管理ドメイン内のリソースにSSO保護を提供します。
次の概要はIAMSuiteAgentをOAM 10g Webgateに移動し、Oracle Identity Managementコンソールや、「アイデンティティ管理」ドメイン内のリソースを保護する際に実行する必要があるタスクをまとめたものです。
次の概要に示す各タスクの詳細は、「IAMSuiteAgentのOAM 10g Webgateへの置換」に記載されています。
Oracle Access Manager 11gサーバーは、次を含むOAM 10g Webgateをサポートしています。
『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』に記載された、現在OAM 10gで稼動しているレガシー10g Webgate。
(『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』に記載された、OAM 10gでIAP WebLogicのコンテナベースのセキュリティを使用するアプリケーション用に)SSOのアイデンティティ・アサーション・プロバイダ(IAP)として構成されたレガシー10g Webgate。
Oracle ADFセキュリティとOPSS SSOフレームワーク用にコードが記述されたWebアプリケーションと現在ともに動作しているレガシー10g Webgate。詳細は付録Cに記載されています。
Oracle Access Managerコンソールまたはリモート登録ツールを使用して、Oracle Access Manager 11g SSOを使用するように、これらのエージェントを登録できます。登録後は、OAM 10g Webgateはブリッジとして機能するJAVAベースのOAMプロキシを使用して、Oracle Access Manager 11gサービスと直接通信できます。
次の概要では、既存のOAM 10g WebgateをOAM 11gで使用するための設定に必要なタスクをまとめています。
この章で説明しているように、OAM 11gで使用する新規OAM 10g Webgateをインストールできます。OAM 10g Webgateは、いくつかのWebサーバー・プラットフォーム用に提供されています。
インストールおよび登録の後、OAM 10g Webgateはブリッジとして機能するJavaベースのOAMプロキシを通じてOracle Access Manager 11gサービスと直接通信します。
|
注意: OAM 11g用に新規OAM 10g Webgateをインストールする場合、最新のWebgateを使用することをお薦めします。また、フェイルオーバーやロード・バランシング用に、複数のWebgateをインストールすることをお薦めしています。 |
OAM 11gデプロイメントへのOAM 10g Webgateのインストールと、OAM 10gデプロイメントへの10g Webgateのインストールにはいくつかの違いがあります。表27-1に違いをまとめます。
表27-1 OAM 10g Webgateのインストールの比較
| OAM 11gデプロイメントへの10g Webgate | OAM 10gデプロイメントへの10g Webgate |
|---|---|
|
|
次の概要では、この章でOAM 11g用のOAM 10g Webgateのインストールおよび登録タスクについて詳細に説明したトピックを挙げています。OAM 11gを正しく操作するために、すべての手順を完了する必要があります。
レガシーOAM 10g Webgateがある場合、またはOracle Access Manager 11gで使用する新規10g Webgateインスタンスをインストールする場合、OAM 11gの認証および認可サービスを使用するように、Webgateのプロビジョニングを行う必要があります。
Oracle Access Managerコンソールまたはリモート登録ツールを使用して、このタスクを実行できます。リモート登録ツールでは、テンプレートを使用して、登録前にすべてのWebgateパラメータを指定できます。
次の手順によって、リモート登録ツールを使用してインバンド・モードでのプロビジョニングのウォーク・スルーが行えます。この例では、OAMRequest_short.xmlをテンプレートとして使用してmy-10g-agent1という名前のエージェントを作成し、/.../*の保護と、パブリック・リソース、/public/index.htmlの宣言を行います。実際の値はこれとは異なります。完全な登録テンプレートを使用して、パブリック・リソース、プライベート・リソースおよび除外されたリソースを指定できます。
OAM 11g用の10g Webgateのプロビジョニング手順
リモート登録ツールを入手して、環境に合ったスクリプトを設定します。次に例を示します。
次のパスにあるRREG.tar.gzファイルを探します。
ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz
RREG.tar.gzファイルを別な場所に解凍します。例: rreg/bin/oamregなど。
oamregスクリプト(oamreg.batまたはoamreg.sh)に、状況(クライアント側またはサーバー側)と 表10-7の情報に応じた次の環境変数を設定します。
登録リクエストを作成します。
OAMRequest_short.xmlを探して、新しいファイルにコピーします。次に例を示します。
$OAM_REG_HOME/input/OAMRequest_short.xml/
コピー元: OAMRequest_short.xml
コピー先: my-10g-agent1.xml
環境の詳細情報を含むように、my-10g-agent1.xmlを編集します。次に例を示します。
<OAMRegRequest>
<serverAddress>http://sample.us.oracle.com:7001</serverAddress>
<hostIdentifier>my-10g</hostIdentifier>
<agentName>my-10g-agent1</agentName>
<autoCreatePolicy>true</autoCreatePolicy>
<primaryCookieDomain>.us.example.com</primaryCookieDomain>
<logOutUrls>
<url>/oamsso/logout.html</url>
</logOutUrls>
</OAMRegRequest>
エージェントのプロビジョニングを行います。次に例を示します。
リモート登録スクリプトを探します。
Windowsの場合: rreg\bin\oamreg.bat
スクリプトが含まれているディレクトリから、インバンド・モードを使用してスクリプトを実行します。次に例を示します。
$ ./bin/oamreg.sh inband input/my-10g-agent1.xml
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: ...
プロンプトが表示されたら、環境に応じた値を使用して次の情報を入力します。
Enter your agent username: userame Username: userame Enter agent password: ******** Do you want to enter a Webgate password?(y/n) n iv. Do you want to import an URIs file?(y/n) n
最後のメッセージを確認して、登録が成功したことを確かめます。
Inband registration process completed successfully! Output artifacts are created in the output folder"
Oracle Access Managerコンソールにログインして、新規登録を確認します。
「システム構成」タブの「Access Managerの設定」セクションで、次のノードを展開します。
エージェント名をダブルクリックして、登録ページを表示し、詳細を確認します。
この登録用に新規Webgateをインストールする場合は、インストール中に次の詳細を入力する必要があります。次に例を示します。
エージェント名—Webgateのインストール中にWebgate IDとして入力します。
アクセス・クライアント・パスワード—Webgateのインストール中に、Webgateのパスワードとして入力します。パスワードを入力しない場合は、このフィールドを空白にしておきます。
アクセス・サーバー・ホスト名—このWebgateを登録するプライマリOAM 11gサーバーのDNSホスト名を入力します。
OAMプロキシ・ポート: 「システム構成」タブの「共通構成」セクションで、「サーバー・インスタンス」をダブルクリックしてOAMプロキシが実行中のポートを検索します。
プロビジョニングの結果として作成されるObaccessclient.xmlファイルはこの時点では無視してください。
アプリケーション・ドメインにリソースを追加します。
それぞれの環境で必要に応じて次に進んでください。
OAM 11gで使用する新規OAM 10g Webgateをインストールする場合は、この項の手順を使用します。それ以外の場合は、この項はスキップして「OAM 11gでの10g Webgateの集中ログアウトの構成」に進みます。
表27-2にOAM 10g Webgateのインストール開始前に必要な要件を示します。
表27-2 OAM 11gで使用する新しい10g Webgateのインストールの準備
| 情報 | 説明 |
|---|---|
|
サポートされている最新のWebgate |
OAM 11gでは、サポートされている最新の10g (10.1.4.3) Webgateを必ず使用してください。ただし、該当する10g (10.1.4.3) Webgateが提供されていない場合は、その次に新しいWebgate(10g (10.1.4.2.0)を使用してください。 |
|
インストール場所 |
次の場所を検討してください。
|
|
ユーザー・アカウント |
Webgateのインストールに使用するアカウントは、Webgateを実行するアカウントとは異なります。
|
|
rootレベルとサイト・レベル |
|
|
トランスポート・セキュリティ・モード |
インストールするエージェントと同じモードを使用するように、1つ以上のOAMサーバーを構成していることを確認します。 付録Eも参照してください |
|
コンピュータ・レベルと仮想Webサーバー・レベル |
Webgateは、コンピュータ・レベルまたは仮想Webサーバー・レベルで実行するように構成できます。コンピュータ・レベルと仮想Webサーバー・レベルの両方にインストールしないでください。 |
|
Oracle HTTP Server Webサーバー: |
Oracle HTTP Server用の10g Webgateは、オープン・ソースApacheに基づいています。Webgateパッケージ名には次が含まれています。
|
|
Oracle Access Manager 11gは、SSLが有効または無効なApacheをサポートするコンポーネント用に単一パッケージを提供しています。
注意: SSL対応の通信用に、Oracle Access ManagerはApache-SSLではなく、mod_sslのApacheのみをサポートしています。mod_sslはApache-SSLから派生した、代替品です。 |
|
|
IHS2_WebgateはIBM-AIX上でApache v2により稼動しています。Oracle Access Managerは、SSLが有効または無効なIHS v2およびIHS v2リバース・プロキシ・サーバーをサポートしています。 詳細は、第28章を参照してください。 |
|
|
OAM 10g WebgateをDomino Webサーバーにインストールする前に、Domino Enterprise Server R5を正しくインストールし、設定しておく必要があります。 |
|
|
Webgateのインストール前に、IIS Webサーバーがロック・ダウン・モードになっていないことを確認します。これを行わなかった場合、サーバーが再起動され、メタベースが再度初期化され、IISがロック・ダウン後に発生したアクティビティを無視するまで、問題なく稼動しているように見えます。 クライアント証明書認証を使用している場合は、Webgateに対してクライアント証明書を有効にする前に、WebgateをホストするIIS WebサーバーでSSLを有効にする必要があります。 NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS Webgate用に/accessディレクトリの各種許可を設定する必要があります。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータで、簡易または証明書モードでISAPI Webgateをインストールすると仮定します。最後のインストール・パネルには、FAT32ファイル・システムに設定できない各種の許可を手動設定するための指示が表示されます。この場合、これらの指示を無視できます。 各IIS仮想Webサーバーには、独自のWebgate.dllファイルを仮想レベルでインストールするか、全サイトに影響を与える1つのWebgateをサイト・レベルでインストールできます。Webgate.dllをサイト・レベルでインストールしてすべての仮想ホストを制御するか、Webgate.dllを1つまたはすべての仮想ホストに対してインストールします。 コンピュータ・レベルでpostgate.dllファイルをインストールする必要もあります。postgate.dllは、「ポステージISAPIフィルタのインストール」で説明しているように、\Webgate_install_dir内にあります。複数インストールすると、このファイルの複数のバージョンが作成され、Oracle Access Managerの動作が異常になることがあります。この場合は、webgate.dllとpostgate.dllが1つずつ存在していることを検証する必要があります。 関連項目: 第29章「10g Webgate用のIIS Webサーバーの構成」 削除: Webgateおよび関連するファイルをIISから完全に削除するには、IIS内のリストからフィルタを削除するだけでは不十分です。IISにはすべての設定がメタベース・ファイルに含まれています。Windows 2000以降では、これは手動で変更できるXMLファイルです。メタベースを編集するためのツールとして、MetaEditも提供されています。MetaEditはRegeditに似ており、一貫性チェッカーとブラウザ/エディタが含まれています。WebgateをIISから完全に削除するには、MetaEditを使用してメタベースを編集します。 |
|
|
ISAプロキシ・サーバー上では、すべてのISAPIフィルタをISAインストール・ディレクトリ内にインストールする必要があります。ISAインストール・ディレクトリ構造内の任意の場所でかまいません。
|
必要に応じて、次の手順を使用してOAM 10g Webgateを取得します。ご使用のWebサーバーに適したインストール・パッケージを選択してください。
OAM 10g Webgateを検索およびダウンロードする手順
次のOracle Technology Networkで、最新のOracle Access Manager 10g証明書を確認します。
http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
次のOracle Fusion Middleware 11gR1ソフトウェア・ダウンロードに移動します。
http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html
ページの最も上のライセンス契約に同意をクリックします。
Access Manager Webgates (10.1.4.3.0)の行から、該当するプラットフォームのダウンロード・リンクをクリックし、画面の指示に従います。
インストールする10gアクセス・システムの言語パックに、Webgateインストーラを格納します。
「Webgate 10gのインストールの開始」に進みます。
次の手順によって、Webサーバー・タイプに関係なく共通のウォーク・スルーを行います。
インストール・オプションを識別し、自分の環境に合わない場合はスキップできます。Webgateのインストール中は、特定の時点で情報が保存されます。Webgateのインストール処理は必要に応じて取り消すことができます。ただし、Webgateのインストールを知らせるメッセージを受領後にWebgateのインストールを取り消す場合は、コンポーネントのアンインストールが必要です。
|
注意: HP-UXおよびAIXシステムでは、-is:tempdirパス・パラメータを使用して、十分な領域があるディレクトリにインストールを指示できます。パスは、十分な領域があるファイル・システムへの絶対パスでなければなりません。 |
Webgate 10gをホスティングするコンピュータ上で、Webサーバーの管理者権限のあるユーザーとしてログインします。
Webサーバー・インスタンスを停止します。
該当するプラットフォーム、インストール・モード、Webサーバー用のWebgateインストーラを起動します。次に例を示します。
Windows— Oracle_Access_Manager10_1_4_3_0_Win32_API_Webgate.exe
Solaris—./ Oracle_Access_Manager10_1_4_3_0_sparc-s2_API_Webgate
Linux—./ Oracle_Access_Manager10_1_4_3_0_linux_API_Webgate
ここでAPIはWebサーバーで使用するAPI(IIS Webサーバーの場合はISAPIなど)を示します。
次へをクリックして、ようこそ画面を閉じます。
尋ねられたら、管理者の権限を使用して回答します。
Webgateのインストール・ディレクトリを指定します。次に例を示します。
\OracleAccessManager\WebComponent\
LinuxまたはSolaris: このコンピュータ上のGCCランタイム・ライブラリの場所を指定します。
言語パック—デフォルトのロケールとインストールするその他のロケールを選択して、次へをクリックします。
プレゼンテーション・ワークシートにインストール・ディレクトリをまだ記録していない場合は記録し、次へをクリックして続行します。
Webgateのインストールが開始し、数秒間かかることがあります。Windowsシステムでは、Microsoft管理インタフェースの構成を知らせる画面が表示されます。
インストール・プロセスはまだ完了していません。トランスポート・セキュリティ・モードの指定を求められます。この時点では、情報のリストアに戻れません。
必要に応じて、ダウンロード済のGCCライブラリを解凍した場所を指定します。
少なくとも1つのOAM Server間のトランスポート・セキュリティは一致する必要があります。
Webgate用に、「オープン」、「簡易」または「証明書」を選択します。
次へをクリックします。
ここでWebgate構成の指定を求められます。
指定したトランスポート・セキュリティ・モードに従って進みます。
簡易または証明書モード—「セキュアな通信のための証明書のリクエストまたはインストール」に進みます。
オープン・モード—「Webgate Webサーバー構成の更新」までスキップします。
OAM 11g環境でオープン・モード・トランスポート・セキュリティを使用する場合は、「Webgate Webサーバー構成の更新」までスキップできます。
Webgate証明リクエスト: OAM 11gサーバーに信頼されているルートCAに送信する必要があるリクエスト・ファイル(aaa_req.pem)を生成します。ルートCAは、Webgate用にインストール可能な署名付きの証明書を返します。
リクエストした証明書を\Webgate_install_dir\access\oblix\configディレクトリにコピーし、Webgate Webサーバーを再起動する必要があります。
Webgate 10g用の証明書をリクエストまたはインストールする手順
証明書をリクエストするのか、インストールするのかを指定し、次へをクリックして続行します。次に例を示します。
証明書をリクエストする場合は、手順2に進みます。
証明書をインストールする場合は、手順3に進みます。
リクエストされた情報を入力し、次に次へをクリックして、証明書のリクエストをCAに発行します。
証明書のファイルの場所が表示された場合は、それを記録します。
証明書がある場合ははいをクリックして、手順3から続行します。それ以外の場合は、「Webgate Webサーバー構成の更新」までスキップします。
インストール中に証明書をインストールする場合: 次のファイルへの絶対パスを指定して、次へをクリックします。
Webgate_install_dir\access\oblix\config
cacert.pemはOracleが提供したopenSSL認証局の署名を受けた証明書リクエストです。
password.xmlには、インストール中に指定されたランダムなグローバル・パスフレーズが不明瞭化された形式で含まれています。これを使用して、他の顧客が同一CAを使用しないようにします。Oracle Access Managerは、OAM AgentとOAM Server間の初期ハンドシェイク中に追加のパスワード・チェックを行います。
aaa_key.pemには秘密鍵(openSSLによって生成)が含まれています。
aaa_cert.pemはPEM形式の署名済証明書です。
「Webgate Webサーバー構成の更新」に進みます。
OAM 11gでのWebgateのプロビジョニングと登録の間に指定した情報を使用して次のタスクを実行します。
アクセス・システム・コンソールで指定した、Webgateに必要な情報を提供します。
次へをクリックして続行します。
WebサーバーがWebgateと連動するように構成する必要があります。Oracleはインストール中にWebサーバー構成を自動的に構成することをお薦めします。ただし、自動および手動の両方の更新手順が含まれています。
|
注意: Webサーバーの手動構成手順
|
はいをクリックしてWebサーバーの自動更新を行い、次へをクリックします(またはいいえをクリックして「Webサーバーの手動構成」を参照します)。
ほとんどのWebサーバー—Webサーバー構成ファイルを含むディレクトリの絶対パスを指定します。
IIS Webサーバー—プロセスがすぐに開始し、1分以内に終了します。詳細は、第29章「10g Webgate用のIIS Webサーバーの構成」を参照してください。
続行する前に特殊な指示がある場合があります。NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS Webgate用に/accessディレクトリの各種許可を設定する必要があります。最後のインストール・パネルには、FAT32ファイル・システムに設定できない各種の許可を手動設定するための指示が表示されます。この場合、これらの指示を無視できます。
Webサーバーの構成が更新されたことを知らせる画面が表示されます。
「次へ」をクリックして「Webgateのインストール終了」に進みます。
Webgateのインストール中にWebサーバーの自動更新を取り消した場合は、手動でタスクを実行する必要があります。
|
注意: Webgateのインストール中に手動構成プロセスを起動した場合は、次のステップ1をスキップできます。 |
Webブラウザを起動し、必要に応じて次のファイルを開きます。次に例を示します。
\Webgate_install_dir\access\oblix\lang\langTag\docs\config.htm
ここで、\Webgate_install_dirはWebgateがインストールされているディレクトリです。
|
注意: 64ビットのWebgateインストール中にIISの手動構成を選択した場合は、次のパスで詳細を入手できます。Webgate_install_dir\access\oblix\lang\en-us\docs\dotnet_isapi.htm |
サポートされているWebサーバーから選択し、各Webサーバー・タイプに固有のすべての指示に従います。
Webgateの設定中に修正が必要なファイルのバックアップ・コピーを作成し、やり直しが必要になる場合に備えます。
Webサーバーが該当するOracle Access Managerファイルを認識できるように、元の設定指示に戻って、すべての指示内容を完了したことを確認します。
|
注意: 間違ってウィンドウを閉じてしまった場合は、手順1に戻って、該当するリンクを再度クリックします。一部の設定では新しいブラウザ・ウィンドウが開いたり、コマンドウィンドウへの入力が求められることがあります。 |
「Webgateのインストール終了」に進みます。
ReadMe情報に、マニュアルとOracleに関する詳細が記載されています。
ReadMeの情報を確認し、次に次へをクリックして閉じます。
終了をクリックして、インストールを終了します。
Webサーバーを再起動して構成の更新を反映します。
必要に応じて次のトピックに進み、次に「アーティファクトと証明書のインストール」に戻ります。
ネイティブPOSIXスレッド・ライブラリ: NPTLを使用する場合は、Oracle Access ManagerのWebコンポーネントのインストール時に、環境変数LD_ASSUME_KERNELを2.4.19に設定する必要はありません。
Apache2、OHS2、IHS2 Webサーバー: 第28章「Apache、OHS、IHSの10g Webgate用の構成」
IIS Webサーバー: Webgateのインストール後に、net stop iisadminおよびnet start w3svcを使用してメタベースが破損していないことを確認します。第29章「10g Webgate用のIIS Webサーバーの構成」も参照してください。
ISA Webサーバー: 第30章「10g Webgate用のISAサーバーの構成」
Lotus Domino Webサーバー: 第31章「10g Webgate用のLotus Domino Webサーバーの構成」
ObAccessClient.xmlファイルはプロビジョニングで生成されるものの1つです。Webgateのインストール後、このファイルをWebgateインストール・ディレクトリ・パスにコピーする必要があります。Webgateのインストール後に署名済のWebgate 10g証明書を受領した場合、次の手順に従ってインストールできます。
Webgate 10g用のアーティファクト(および証明書)をインストールする手順
Webgate 10gのプロビジョニング・アーティファクト(および必要に応じて証明書ファイル)を入手します。次に例を示します。
ObAccessClient.xml
password.xml(必要に応じて)
aaa_key.pem(openSSLによって生成された秘密鍵)。
aaa_cert.pem(PEM形式の署名済証明書)
Webgateホストにファイルをコピー: Webgate_install_dir\access\oblix\config
Webgate Webサーバーを再起動します。
WebgateのインストールとWebサーバーの更新後、Webgateの診断を有効にしてWebgateが正しく実行されていることを確認できます。
Webgateの診断確認手順
OAM 11gコンポーネントが稼動していること確認します。
Webgate診断用に次のURLを指定します。次に例を示します。
ほとんどのWebサーバー—http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.cgi?progid=1
IIS Webサーバー—http(s)://hostname:port/access/oblix/apps/ webgate/bin/webgate.dll?progid=1
ここで、hostnameはWebgateをホストするコンピュータ名、portはWebサーバー・インスタンスのポート番号です。
Webgateの診断ページが表示されます。
成功した場合: Webgateの診断ページが表示される場合、Webgateが正常に機能しています。ページを閉じてください。「OAM 11gでの10g Webgateの集中ログアウトの構成」に進みます。
失敗した場合: 「OAM 11gデプロイメントからの10g Webgateの削除」で説明されているとおり、Webgateをアンインストールして再インストールする必要があります。
OAM 10gエージェントは、単一のDNSドメインでのログアウトのサポートを内蔵しています。複数のDNSドメインでのログアウトをサポートするためには、10gエージェントのカスタマイズが必要が必要です。
OAM 11gでは、セッション管理はOAMサーバーで集中的に行われており、異なるDNSドメインのログアウトは標準的にサポートされています。OAM 11g:
エージェントのObSSOCookieをクリアします
サーバー内のセッションをクリアします
OAM 11gサーバーおよびOAM 10g Webgateでは、アプリケーションは次のことを行う/oamsso/logout.htmlを常に起動する必要があります。
ObSSOCookieをログアウト済に設定(Webgate上でのログアウトの起動により)すること、およびend_urlを構成し(URLとして)、サーバー・ログアウトURL(/oam/server/logout)にリダイレクトすること。
ログアウトの詳細は、「OAM 11gでの10g Webgateの集中ログアウトの構成」を参照してください。
Oracle Access ManagerおよびOracle Identity Managerは、Oracle Fusion Middleware 11gコンポーネントの一部です。WebLogicサーバー構成ウィザードの初期構成中に、IAMSuiteAgentがIDMドメイン・ホスト識別子およびそのエージェントに指定されたアプリケーション・ドメインとともにOAM 11gに登録されます。
Oracle Fusion MiddlewareはIAMSuiteAgentを使用して、保護されたOracle Identity ManagementコンソールにOAM 11gをそのまま使用します。
コンテナ外のアプリケーションを保護するため、IAMSuiteAgentを10g Webgateに入れ替えることができます(事前登録済のIAMSuiteAgentと同じアプリケーション・ドメインとポリシーを使用して、同じアプリケーション・セットを保護)。
タスクの概要: IAMSuiteAgentのOAM 10g Webgateへの置換
オプション: WebLogic用のOAMセキュリティ・プロバイダの構成
オプション: IAMSuiteAgentの無効化
プロビジョニングとは、Oracle Access ManagerコンソールにWebgateの登録を作成するプロセスです。次の手順によって、リモート登録ツールを使用してインバンド・モードでのプロビジョニングのウォーク・スルーが行えます。
この例では、OAMRequest_short.xmlをテンプレートとして使用して10g4IDMという名前のエージェントを作成し、/.../*の保護と、パブリック・リソース、/public/index.htmlの宣言を行います。実際の値はこれとは異なります。
|
注意: 入替え用のWebgateでIAM Suiteポリシーを使用するには、IAMSuiteAgentホスト識別子と優先ホストを使用するようにWebgateの登録が構成されていることを確認します。 |
既存のIAM Suiteポリシーを再利用するために、OAMReqRequest.xml内でIAMSuiteAgentをWebgate登録用のホスト識別子として指定し、IAMSuiteAgentをHostIdentifierとpreferredHostとして設定できます。または、Oracle Access Managerコンソールを使用してエージェントの登録を編集できます。
IAMSuiteAgentを10g Webgateに入れ替えるためのプロビジョニング手順
リモート登録ツールを入手して、環境に合ったスクリプトを設定します。次に例を示します。
次のパスにあるRREG.tar.gzファイルを探します。
ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz
RREG.tar.gzファイルを別な場所に解凍します。例: rreg/bin/oamregなど。
oamregスクリプトに、状況(クライアント側またはサーバー側)と 表10-7の情報に応じた次の環境変数を設定します。
登録リクエストを作成し、autoCreatePolicyパラメータがFalseに設定されていることを確認します。
OAMRequest_short.xmlを探して、新しいファイルにコピーします。次に例を示します。
WLS_home/Middleware/domain_home/oam/server/rreg/bin/oamreg/
コピー元: OAMRequest.xml
コピー先: 10g4IAM.xml
環境の詳細を含むように、10g4IAM.xmlを編集します。たとえば、IAMSuiteAgentから10g Webgateエージェントに変更する場合は、次のようなリクエストになります。
<OAMRegRequest>
<serverAddress>http://sample.us.oracle.com:7001</serverAddress>
<hostIdentifier>10g4IAM</hostIdentifier>
<agentName>10g4IAM</agentName>
<autoCreatePolicy>false</autoCreatePolicy>
<primaryCookieDomain>.us.example.com</primaryCookieDomain>
<logOutUrls><url>/oamsso/logout.html</url></logOutUrls>
...retain defaults for remaining elements...
...
...
</OAMRegRequest>
エージェントのプロビジョニングを行います。次に例を示します。
リモート登録スクリプトを探します。
Windowsの場合: rreg\bin\oamreg.bat
スクリプトが含まれているディレクトリから、インバンド・モードを使用してスクリプトを実行します。次に例を示します。
$ ./bin/oamreg.sh inband input/10g4IAM.xml
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: ...
プロンプトが表示されたら、環境に応じた値を使用して次の情報を入力します。
Enter your agent username: userame Username: userame Enter agent password: ******** Do you want to enter a Webgate password?(y/n) n iv. Do you want to import an URIs file?(y/n) n
最後のメッセージを確認して、登録が成功したことを確かめます。
Inband registration process completed successfully! Output artifacts are created in the output folder"
Oracle Access Managerコンソールにログインして、新規登録を確認します。
「システム構成」タブの「Access Managerの設定」セクションで、次のノードを展開します。
エージェント名をダブルクリックして、登録ページを表示し、詳細を確認します(新規Webgateをインストールする場合は、インストール中に次の詳細を入力する必要があります)。次に例を示します。
エージェント名—Webgateのインストール中にWebgate IDとして入力します。
アクセス・クライアント・パスワード—Webgateのインストール中に、Webgateのパスワードとして入力します。パスワードを入力しない場合は、このフィールドを空白にしておきます。
アクセス・サーバー・ホスト名—このWebgateを登録するプライマリOAMサーバーのDNSホスト名を入力します。
OAMプロキシ・ポート: 「システム構成」タブの「共通構成」セクションで、「サーバー・インスタンス」をダブルクリックしてOAMプロキシが実行中のポートを検索します。
プロビジョニングの結果作成されるObAccessClient.xmlファイルは無視してください。
「WebLogicサーバー・プラグインの更新」に進みます。
プロビジョニング後、IAMSuiteAgentと入れ替えるために10g Webgateをインストールする必要があります。インストール中は、プロビジョニング時と同じWebgateの情報を提供する必要があります。
前提条件
IAMSuiteAgentを10g Webgateに入れ替えるためのプロビジョニング
IAMSuiteAgentの入替え: 「WebLogicサーバー・プラグインの更新」に進みます。
10g Webgateのプロビジョニングとインストールを行い、IAMSuiteAgentと入れ替えたら、mod_wl_ohs.confファイルに特定の入力をして、Webgate WebサーバーがWebLogicサーバー上のアプリケーションにリクエストを転送するように指示する必要があります。
|
注意: WebLogicサーバーのApache用プラグインの汎用名はmod_weblogicです。Oracle HTTP Server 11gの場合は、このプラグインの名前はmod_wl_ohsです(実際のバイナリ名はmod_wl_ohs.soです)。例では実装のための正確な構文を示します。 |
例27-1は入力サンプルを使用して変更が必要な部分を示します。使用する環境によって入力内容は異なります。
例27-1 mod_wl_ohs.confでの10g Webgate用の更新
<IfModule weblogic_module> <Location /oamconsole> SetHandler weblogic-handler WebLogicHost hostname.us.sample.com WebLogicPort 6162 </Location> <Location apmmconsole> SetHandler weblogic-handler WebLogicHost hostname.us.sample.com WebLogicPort 6162 </Location> ... </IfModule>
|
注意: WebLogicサーバーで直接アクセスしたことがあるすべてのアプリケーションの各URIに対して、類似の場所エントリが必要です。 |
前提条件
IAMSuiteAgentを置換する10g Webgateのインストール
環境に合ったmod WebLogic構成の更新手順
次のパスにあるmod_wl_ohs.confファイルを探します。
<OHS-INSTANCE_HOME>/config/OHS/<INSTANCE_NAME>/mod_wl_ohs.conf
WebLogicサーバーで直接アクセスしたことがあるすべてのアプリケーションの各URIに対して、Locationエレメントを含むようにファイルを編集します(例27-1を参照)。
ファイルを保存します。
Webサーバーを再起動します。
必要に応じて次のタスクに進みます。
このトピックではOracle Access ManagerがOIMと統合されている場合に、Oracle Identity Manager(OIM)の自動ログイン機能を確認(または構成)する方法を説明します。
|
注意: Oracle Access Manager 11gをOracle Identity Managerに統合していない場合、この手順は省略します。11g。 |
Oracle Identity ManagerがOAM 11gに統合されている場合、AutoLogin機能では、IAMSuiteAgentのホスト識別子リスト内に10g Webgate Webサーバーのホスト名とポートが含まれている必要があります。
|
注意: 10g Webgate Webサーバーの前にロード・バランサがある場合、ステップ3でロード・バランサのホスト名とポートを含む必要があります。 |
agentBaseUrlパラメータを使用して特定のホスト識別子を更新します。ただし、自動ポリシーの作成がFalseに設定されている場合、リモート登録ユーティリティはアプリケーション・ドメインを作成せず、agentBaseUrlパラメータを参照しません。
次の手順では、Oracle Access Manager/Oracle Identity Manager統合のためにAutoLoginホスト識別子を確認(または構成)する方法を示します。実際の値は異なります。
前提条件
OAM/OIM統合用のAutoLoginホスト識別子の構成手順
「ポリシー構成」タブのナビゲーション・ツリーから、「共有コンポーネント」と「ホスト識別子」ノードを必要に応じて展開し、「IAMSuiteAgent」を選択します。
操作パネルで、このホスト識別子のすべてのホスト名とポートの組み合わせがリストされていることを確認します。
「操作」パネルで、10g Webgateが構成されている(または構成が予定されている)Webサーバーのホストとポートがリストされていることを確認します。ない場合は、エントリを追加します。
操作パネルの+ボタンをクリックします。
ホスト名: 「操作」パネルの「ホスト名」列に、10g Webgate Webサーバーのホスト名を入力します。
ポート: 「操作」パネルの「ポート」列に、10g Webgate Webサーバーのポート番号を入力します。
ロード・バランサ: 10g Webgate Webサーバーの前にロード・バランサがある場合、「操作」パネルにロード・バランサのホスト名とポートを追加します。
ホスト識別子ページの適用をクリックします。
この項では、OAM 11gと10g Webgateを使用してシングル・サイン・オンが行えるように、WebLogicセキュリティ・プロバイダを構成する方法を説明します。
|
注意: Oracle Access Manager 11gをOracle Identity Manager 11gに統合していない場合、この手順は省略します。 |
OAM 10g Webgate用のセキュリティ・プロバイダの設定の詳細は、次のトピックを参照してください。
IAMSuiteAgentを10g Webgateに入れ替える場合に、Oracle Access Manager 11g SSOの構成を完了するには、WebLogicサーバー・ドメイン内で次のセキュリティ・プロバイダを構成する必要があります。
OAM Identity Asserter: トークンベースの認証を使用し、OAM SSOヘッダーとトークンをアサートします。
OID (またはOVD) Authenticator: サブジェクトを作成し、正しいプリンシパルを移入します。
ユーザーが保存されているストアに応じて、Oracle Internet Directory AuthenticatorまたはOracle Virtual Directory Authenticatorのいずれかをプライマリ資格証明オーセンティケータとして構成します。
デフォルト・オーセンティケータ: このデフォルトWebLogic認証プロバイダによって、ユーザーとグループを、組み込まれたWebLogicサーバーLDAPサーバーという1つの場所で管理できます。Oracle WebLogicサーバーはこのオーセンティケータを使用して、管理ユーザーのログインを行います。
複数の認証プロバイダを構成する場合、各プロバイダにJAAS制御フラグを使用して、ログイン順序での認証プロバイダの使用方法を制御します。たとえば次のJAAS制御フラグ設定を使用できます。
REQUIRED—認証プロバイダは常に呼び出され、ユーザーは必ずその認証テストに合格する必要があります。認証の成否にかかわらず、プロバイダ・リストの残りの認証が続行されます。OAM Identity Asserterが必要です。
SUFFICIENT—ユーザーは認証プロバイダの認証テストに合格する必要はありません。認証に合格した場合は、以降の認証プロバイダは実行されません。認証が失敗下場合は、プロバイダ・リストの残りの認証が続行されます。Oracle Internet Directory (またはOracle仮想ディレクトリ)およびデフォルト・オーセンティケータの両方がSUFFICIENTです。
OPTIONAL—追加の認証プロバイダが既存のセキュリティ・レルムに加わると、デフォルト設定で制御フラグがOPTIONALに設定されます。各認証プロバイダが認証順序で正しく機能するように、制御フラグの設定とプロバイダの順序を変更することが必要な場合があります。
ユーザーは認証プロバイダの認証テストを合格しても、不合格になってもかまいません。ただし、JAAS制御フラグがOPTIONALに設定されたセキュリティ・レルムですべての認証プロバイダが構成されている場合は、ユーザーは構成されたいずれかのプロバイダの認証テストに合格する必要があります。
|
関連項目: 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の認証プロバイダの構成に関する項に、すべての認証プロバイダのリストと、ユーザーおよびグループ属性のLDAPスキーマに見合ったOracle Internet Directoryプロバイダの構成詳細が記載されています。 |
Oracle Access Manager JARは、Oracle Fusion Middleware製品(Oracle Identity Management、Oracle SOA Suite、またはOracle WebCenter)のインストール時に使用可能な認証プロバイダのWARファイルです。Fusion Middlewareアプリケーションをご使用の場合は、必要なファイルをすでに持っています。
oamAuthnProvider.jar: シングル・サインオン用のOracle Access Manager IDアサーション・プロバイダのファイルとOracle WebLogic Server 10.3.1以降の認証プロバイダのファイルが含まれています。ユーザーやアプリケーションからのWebリソースおよび非Web(非HTTP)リソースに対するリクエストを処理するために、カスタムのOracle Access Managerアクセス・ゲートも用意されています。
oamauthenticationprovider.war: Oracle WebLogicサーバー・コンソールに表示されるプロバイダ・リストを、Oracle Access Managerで使用する必要があるもののみに限定します。
拡張をデプロイする際に、管理コンソールでは、そのWARファイルに記述されたファイルおよびディレクトリと、拡張のWARファイルに記述されたファイルおよびディレクトリとのメモリー内結合が作成されます。デプロイした拡張機能は、管理コンソールの完全なメンバーになります。この拡張機能は、WebLogic Serverのセキュリティ・レルムで保護され、管理コンソールの他のセクションに移動できます。また、拡張機能からWebLogic Serverリソースを変更する場合、拡張機能は変更管理プロセスに関与します。詳細は、『Oracle Fusion Middleware Oracle WebLogic Server管理コンソールの拡張』を参照してください。
次の手順にはWebLogicサーバー管理コンソールが必要です。この例では、Oracle Internet DirectoryプロバイダをOAM Identity Asserterおよびデフォルト・オーセンティケータで設定する方法を示します。OVDの場合も必要な手順は同じです。
|
注意: Fusion Middlewareアプリケーションをご使用の場合は、必要なファイルをすでに持っているので、次の手順1をスキップできます。ただしFusion Middlewareアプリケーションがない場合は、スタンドアロンOracle WebLogicサーバーなので、手順1で説明したようにOracle Technology NetworkからJARおよびWARファイルを入手する必要があります。 |
前提条件
OAM 11gでのOAM 10g WebgateのためにWebLogicサーバー・ドメインにプロバイダを設定する手順
Oracle Fusion Middlewareアプリケーションなし: Obtain the Oracle Access Managerプロバイダを入手します。
次のOracle Technology Networkにログインします。
http://www.oracle.com/technology/software/products/middleware/htdocs/111110_fmw.html
Access Manager Webgates (10.1.4.3.0)で、oamAuthnProvider ZIPファイルを検索します。
oamAuthnProvider<version number>.zip
oamAuthnProvider.jarを、Oracle WebLogicサーバーをホスティングしているコンピュータの次のパスに解凍し、コピーします。
BEA_HOME/wlserver_10.x/server/lib/mbeantypes/oamAuthnProvider.jar
Oracle Fusion Middlewareアプリケーションがインストールされている場合:
次のパスでoamauthenticationprovider.warを探します。
ORACLE_INSTANCE/modules/oracle.oamprovider_11.1.1/oamauthenticationprovi der.war
次の場所にoamauthenticationprovider.warをコピーします。
BEA_HOME/wlserver_10.x/server/lib/console-ext/autodeploy/oamauthentication provider.war
WebLogicサーバー管理コンソールにログインして、セキュリティ・レルム、デフォルト・レルム名をクリックし、プロバイダをクリックします。
OAM Identity Asserter: 次の手順を実行してこのプロバイダを追加します。
認証をクリックして新規をクリックし、次に名前を入力して、タイプを選択します。
名前: OAM ID Asserter
タイプ: OAMIdentityAsserter
OK
認証プロバイダテーブル内で、新しく追加されたオーセンティケータをクリックします。
共通タブで、制御フラグをREQUIREDに設定して、保存をクリックします。
OIDオーセンティケータ: 次の手順を実行してこのプロバイダを追加します。
セキュリティ・レルム、デフォルト・レルム名をクリックし、プロバイダをクリックします。
新規をクリックし、次に名前を入力して、タイプを選択します。
名前: OID Authenticator
タイプ: OracleInternetDirectoryAuthenticator
OK
認証プロバイダテーブル内で、新しく追加されたオーセンティケータをクリックします。
設定ページの共通タブで、制御フラグをSUFFICIENTに設定して、保存をクリックします。
プロバイダ固有タブをクリックして、環境に合った値を使用して、次のような必要な設定を行います。
ホスト: ご使用のLDAPホスト。例: localhost
ポート: ご使用のLDAPホスト・リスナー・ポート。例: 6050
プリンシパル: LDAP管理ユーザー。例: cn=orcladmin
資格証明: LDAP管理ユーザー・パスワード。
ユーザー・ベースDN: Oracle Access Managerと同じ検索ベース。
すべてのユーザーのフィルタ: 例: (&(uid=*)(objectclass=person))
ユーザー名属性: LDAPディレクトリ内のユーザー名のデフォルト属性として設定。例: uid
グループ・ベースDN: グループ検索ベース(ユーザー・ベースDNと同じ)
すべてのグループフィルタをデフォルト作業として設定しないでください。
保存します。
デフォルト・オーセンティケータ: 次の手順を実行して、Identity Asserterで使用するデフォルト・オーセンティケータを設定します。
セキュリティ・レルム、デフォルト・レルム名に移動して、プロバイダをクリックします。
認証をクリックして、DefaultAuthenticatorをクリックし、確認ページを表示します。
共通タブをクリックして制御フラグをSUFFICIENTに設定します。
保存します。
プロバイダの並替え:
セキュリティ・レルム、デフォルト・レルム名、プロバイダをクリックします。
プロバイダがリストされたサマリーページで、並替えボタンをクリックします
認証プロバイダの並替えページで、プロバイダ名を選択し、リストの横にある矢印を使用してプロバイダの並替えを行います。
OAM IDアサーション・プロバイダ: (REQUIRED)
OIDオーセンティケータ(SUFFICIENT)
デフォルト・オーセンティケータ(SUFFICIENT)
OKをクリックして変更を保存します
変更のアクティブ化: チェンジ・センターで変更のアクティブ化をクリックします。
Oracle WebLogicサーバーを再起動します。
次の作業を実行します。
成功した場合: 「IAMSuiteAgentの無効化」に進みます。
失敗した場合: すべてのプロバイダが環境に合った仕様になっており、正しい順序で、oamAuthnProvider.jarが「セキュリティ・プロバイダについて」に記載された正しい場所にあることを確認します。
この手順はオプションで、必須ではありません。IDMDomainエージェントは、Webgateが認証を行い、サイレント状態になると検知します。ただし、エージェントを無効にする必要がある場合、エージェントを無効にする必要がある各サーバーに対して、WLSAGENT_DISABLEDシステム・プロパティまたは環境変数をtrueに設定する必要があります。これはAdminServerとOAMサーバーの両方に適用されます。
エージェントの無効化は次の2つの方法のいずれかで行えます。
WLSAGENT_DISABLEDをtrueに設定するか、
WLSAGENT_DISABLEDをシステム・プロパティとして渡します
前提条件
必要に応じて WebLogic用のOAMセキュリティ・プロバイダの構成を行います。
IAMSuiteAgentの無効化手順
IAMSuiteAgentをホスティングしているコンピュータ上で、次のタスクのいずれかを実行します。
WLSAGENT_DISABLEDをtrueに設定するか、
setenv WLSAGENT_DISABLED true
DWLSAGENT_DISABLED=trueをシステム・プロパティとして渡します。
-DWLSAGENT_DISABLED=true
Webサーバーを再起動します。
10g Webgateを使用してそれぞれの環境をテストし、IAMSuiteAgentで保護されていたすべてのアプリケーションが、10g Webgateの構成後も保護されていることを確認するようお薦めします。
このトピックの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
この項では、WebLogicコンテナにアプリケーションがある(または将来的に入る)デプロイメントの情報を記載します。
必要に応じて、次の手順を使用してOAM 11gデプロイメントから10g Webgateを削除します。
|
注意: エージェントの登録を削除しても、関連付けられたホスト識別子、アプリケーション・ドメイン、リソース、またはエージェント・インスタンスは削除されません。 |
考慮事項
Webサーバーの構成変更: Webサーバーの構成変更は、Webgateのアンインストール後に手動で元に戻す必要があります。追加内容の詳細は、ご使用のWebサーバーに該当する章を参照してください。
Webgate IISフィルタ: Webgateおよび関連するフィルタをIISから完全に削除するには、IIS内のリストからフィルタを削除するだけでは不十分です。IISにはすべての設定がメタベース・ファイルに含まれています。Windows 2000以降では、これは手動で変更できるXMLファイルです。詳細は、「OAM 11gデプロイメントからの10g Webgateの削除」を参照してください。
前提条件
このエージェントに関連付けられたアプリケーション・ドメイン、リソース、およびポリシーを評価し、別なエージェントを使用するように構成されているのか、削除できるのかを確認してください。
削除するWebgateのWebサーバーを無効にします。
|
注意: Webサーバーを無効にしなかった場合、アンインストールは失敗し、バックアップ・フォルダは削除されません。この場合、バックアップ・フォルダを手動で削除する必要があります。 |
Oracle Access ManagerコンソールのWebgate登録ページで、「状態」オプションの横の「無効」ボックスをクリックしてWebgateを無効化します。
言語パック: インストールされている言語パック(デフォルトの管理者言語(ロケール)として選択されているものを除く)を次のように削除します。
コンポーネントのアンインストール・ディレクトリ内にある、該当する言語パックを検索します。次に例を示します。
言語パック・アンインストーラ・プログラムを実行して、ファイルを削除します。
このプロセスを繰り返し実行して、関連するコンポーネントから同じ言語パックを削除します。
Webgate Webサーバーを停止して再起動し、適切な言語サポートを再初期化します。
このプロセスを繰り返し実行して、各言語パックを削除します(デフォルトの管理者言語(ロケール)として選択されているものを除く)。
次の手順を実行して10g Webgateの構成データを削除します。
Oracle Access Managerコンポーネントのインスタンスが1つしかない場合は、手順4を完了して削除します。
コンポーネントのインスタンスが複数ある場合は、手順5も参照してください。
特定のプログラムのアンインストール・プログラムを検索して実行し、Oracle Access Managerファイルを削除します。次に例を示します。
Webgate_install_dir\access\_uninstWebgate\uninstaller.exe
|
注意: UNIXシステムではuninstaller.binを使用します |
複数のインスタンス: 複数のWebgateインスタンスがあり、そのうちの1つ、またはすべてを削除する場合は、プラットフォーム固有のメソッドを使用する必要があります。
Windows: 最後のコンポーネントは、プログラムの追加/削除でアンインストールできます。それ以外は、\access \uninstComponentディレクトリからアンインストール・プログラムを実行してアンインストールできます。
UNIX: 常にuninstaller.binを実行する必要があります。
Webサーバー構成に対するOracle Access Manager関連の更新を削除します。特定のWebサーバーに関する詳細は、第28章、第29章、第30章、および第31章を参照してください。
Webサーバーを再起動します。
特に再インストールを予定している場合、Webgate_install_dirディレクトリが残っていれば削除します。
