| Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド 11g リリース1(11.1.1) B63036-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド 11g リリース1(11.1.1) B63036-03 |
|
前 |
次 |
この章では、Oracle Business IntelligenceをOracle Identity Managementと統合する方法について説明します。
この章の手順を実行する前に、次の両方で説明されているインストールと構成の手順が正常に完了している必要があります。
Oracle Fusion Middleware Oracle Identity Managementのエンタープライズ・デプロイメント・ガイド
このガイドの前章までの各章
|
重要: セットアップのプロセスを開始する前に、『Oracle Fusion Middlewareリリース・ノート』に目を通してインストールとデプロイメントに関する補足の考慮事項を確認しておくことを強くお薦めします。 |
この章には次のトピックが含まれます:
この項の内容は次のとおりです。
Oracle Fusion Middlewareでは、WebLogicドメインで様々なタイプの資格証明ストアとポリシー・ストアを使用できます。ドメインでは、XMLファイルに基づくストアまたは様々なタイプのLDAPプロバイダに基づくストアを使用できます。ドメインでLDAPストアを使用する場合は、すべてのポリシー・データと資格証明データが、一元化されたストアで保持および管理されます。ただし、XMLポリシー・ストアを使用すると、管理対象サーバー上で行われる変更は、両方のサーバーが同じドメイン・ホームを使用している場合を除いて、管理サーバーには伝播されません。Oracle Business IntelligenceのEDGトポロジでは、管理サーバーと管理対象サーバーに異なるドメイン・ホームを使用します。したがって、整合性および一貫性を保持するため、LDAPストアをポリシー・ストアおよび資格証明ストアとして使用する必要があります。
デフォルトでは、Oracle WebLogic Serverドメインは、ポリシー・ストアにXMLファイルを使用します。次の項では、資格証明またはポリシー用に、デフォルト・ストアをOracle Internet Directory LDAPに変更するために必要な手順について説明します。
|
注意: ポリシー・ストアおよび資格証明ストアのバックエンド・リポジトリは、同じ種類のLDAPサーバーを使用する必要があります。こうした一貫性を保持するために、一方のストアを再関連付けすると、他方のストアも再関連付けされることに注意してください。すなわち、Oracle Enterprise ManagerのFusion Middleware ControlまたはWLSTコマンドの |
この項では、資格証明ストアを構成する方法について説明します。項目は次のとおりです。
Oracle Internet Directoryで、必要なユーザーとグループがまだ作成されていない場合、それらを作成します。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
まず、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/
jps-config.xml
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/
system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
LDAPを使用する資格証明ストアを構成するには、Oracle WebLogic Server管理コンソールを使用して、次のように適切な認証プロバイダを設定します。
管理コンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
レルム内で「プロバイダ」タブを開きます。レルムにはDefaultAuthenticatorプロバイダが構成されていることに注意してください。
「チェンジ・センター」で、「ロックして編集」をクリックします。
「新規」をクリックして、新しいプロバイダを追加します。
OIDAuthenticatorなどのプロバイダ名を入力します。
認証プロバイダのリストから「OracleInternetDirectoryAuthenticator」タイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成した認証プロバイダをクリックします。
制御フラグをSUFFICIENTに設定します。これは、この認証プロバイダによってユーザーを正常に認証できる場合、その認証を受け入れる必要があり、他の認証プロバイダを呼び出す必要がないことを示します。認証が失敗した場合、チェーン内の次の認証プロバイダに渡されます。
後続の認証プロバイダもすべて制御フラグをSUFFICIENTに設定してください。特に、DefaultAuthenticatorをチェックして、必要であればSUFFICIENTに設定します。
「保存」をクリックします。
「プロバイダ固有」タブを開き、表12-1に示すように、LDAPサーバーに固有の詳細を入力します。
表12-1 LDAPサーバーの詳細
| パラメータ | 値 | 説明 |
|---|---|---|
|
ホスト |
例: oid.mycompany.com |
LDAPサーバーのホスト名。 |
|
ポート |
例: 636 |
LDAPサーバーのポート番号。 |
|
プリンシパル |
例: cn=orcladmin |
LDAPサーバーに接続するために使用されるLDAPユーザーDN。 |
|
資格証明 |
your_password |
LDAPサーバーへの接続に使用されるパスワード。 |
|
SSLの有効化 |
選択 |
LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 |
|
ユーザー・ベースDN |
例: cn=Users、dc=mycompany、 |
ユーザーが開始時に使用するDNを指定します。 |
|
グループ・ベースDN |
例: cn=Groups、dc=mycompany、 |
グループ・ノードを指すDNを指定します。 |
|
ユーザー名属性 |
cn |
ユーザー名属性。 |
|
取得したユーザー名をプリンシパルとして使用する |
選択 |
このオプションは有効にする必要があります。 |
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーおよび管理対象サーバーを再起動します。
OID認証プロバイダおよびデフォルト認証プロバイダを並べ替えて、各認証プロバイダの制御フラグが次のように設定されていることを確認します。
OID LDAP認証プロバイダ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
管理サーバー、管理対象サーバーおよびOracle Business Intelligenceシステム・コンポーネントを再起動します。
LDAPの構成後は、すべてのユーザー(管理ユーザーも含む)がLDAPユーザーである必要があります。この構成は、LDAP管理者が実行する必要があります。管理グループを必要なユーザーで作成する必要があります。必要な手順の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のOracle Identity Managerのユーザーおよびグループの作成に関する項を参照してください。グループ名には、BIAdministratorsを使用します。
このグループを作成した後、次のようにしてWebLogic ServerでWLS Global Adminロールのロール定義を更新する必要があります。
管理コンソールにログインします。
Adminロールを定義するには、「セキュリティ・レルム」を選択してレルム名を選択し、「ロールとポリシー」→「グローバル・ロール」→「ロール」→「管理」を選択します。「ロール条件の表示」リンクをクリックします。
デフォルトでは、Oracle Internet DirectoryのAdministratorsグループのどのユーザーがWebLogic ServerのAdminロールを付与されているかという定義が表示されます。
「条件の追加」をクリックして、別のグループ名(BIAdministrators)を追加します。Administratorsグループを削除して、新しく追加したグループは残します。
「保存」をクリックします。
この変更を行った後は、指定された新しいグループのメンバーに、WebLogic Serverを管理する権限が付与されます。
管理サーバーのboot.propertiesファイルは、Oracle Internet Directoryで作成されたWebLogic管理ユーザーで更新する必要があります。次の手順に従って、boot.propertiesファイルを更新します。
APPHOST1で、次のディレクトリに移動します。
APPHOST1> cd ORACLE_BASE/admin/domain_name/aserver/ domain_name/servers/AdminServer/security
既存のboot.propertiesファイルの名前を変更します。
APPHOST1> mv boot.properties boot.properties.backup
テキスト・エディタを使用して、securityディレクトリの下にboot.propertiesというファイルを作成します。次の行をファイルに入力します。
username=admin_user password=admin_user_password
ファイルを保存します。
管理サーバーを停止し、再起動します。
ドメイン・ポリシー・ストアは、システム固有のポリシーおよびアプリケーション固有のポリシーのリポジトリです。特定のドメインには、そのドメインにデプロイされるすべてのアプリケーションが使用可能なすべてのポリシーを格納する1つのストアが存在します。この項では、Oracle Internet Directory LDAPをOracle Business Intelligence EDGトポロジのポリシー・ストアとして構成する手順について説明します。
ポリシー・ストアとして使用されるOracle Internet DirectoryのLDAPサーバー・ディレクトリへの適切なアクセスを保証するために、このサーバー・ディレクトリにノードを設定する必要があります。
Oracle Internet Directory管理者は、次の手順に従って、Oracle Internet Directoryサーバーに適切なノードを作成する必要があります。
次のDNエントリおよびCNエントリを指定して、LDIFファイル(この例ではjpstestnode.ldif)を作成します。
dn: cn=jpsroot_bi,dc=mycompany,dc=com cn: jpsroot_bi objectclass: top objectclass: OrclContainer
ルート・ノードのDN(前の手順のjpsroot_bi)は、他のDNと異なっている必要があります。1つのルート・ノードを複数のWebLogicドメインが共有できます。サブツリーへの読取り権限および書込み権限がOracle Internet Directory管理者に付与されているかぎり、このノードを最上位レベルに作成する必要はありません。
次の例に示すように、コマンドldapaddを使用してこのデータをOracle Internet Directoryサーバーにインポートします。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h ldap_host -p ldap_port -D cn=orcladmin
-w password -c -v -f jpstestnode.ldif
次の例に示すように、コマンドldapsearchを使用してノードが正常に挿入されたことを確認します。
OIDHOST1> ORACLE_HOME/bin/ldapsearch -h ldap_host -p ldap_port -D cn=orcladmin
-w password -b "cn=jpsroot_bi,dc=mycompany,dc=com" objectclass="orclContainer"
Oracle Internet DirectoryをLDAPベースのポリシー・ストアとして使用する場合は、ユーティリティoidstats.sqlをINFRADBHOSTで実行し、最適なデータベース・パフォーマンスを実現するためにデータベース統計を生成します。
OIDHOST1> connect ods/welcome1
OIDHOST1> @ORACLE_HOME/ldap/admin/oidstats.sql
注意: oidstats.sqlユーティリティを実行する必要があるのは、初期プロビジョニング後の1回のみです。
ポリシー・ストアおよび資格証明ストアをOracle Internet Directoryに再関連付けするには、WLSTのreassociateSecurityStoreコマンドを次のように使用します。
APPHOST1から、wlstシェルを起動します。
APPHOST1> cd ORACLE_COMMON_HOME/common/bin
APPHOST1> ./wlst.sh
wlstのconnectコマンドを次のように使用して、WebLogic管理サーバーに接続します。
connect ("AdminUser", "AdminPassword", "t3://hostname:port")
例:
connect ("weblogic", "welcome1", "t3://ADMINVHN:7001")
reassociateSecurityStoreコマンドを次のように実行します。
reassociateSecurityStore(domain="domainName", admin="cn=admin_user_name", password="orclPassword", ldapurl="ldap://LDAPHOST:LDAPPORT", servertype="OID", jpsroot="cn=jpsroot_bi")
例:
wls:/bifoundation_domain/serverConfig> reassociateSecurityStore(domain="bifoundation_domain", admin="cn=orcladmin", password="welcome1", ldapurl="ldap://oid.mycompany.com:389", servertype="OID", jpsroot="cn=jpsroot_bi,dc=mycompany,dc=com")
コマンドが正常に完了した後に、管理サーバーを再起動します。
|
注意: 資格証明とポリシーの変更を有効にするには、ドメイン内のサーバーを再起動する必要があります。 |
この項の内容は次のとおりです。
Oracle Business Intelligence 11g リリース1(11.1.1)では、ユーザーは、その名前ではなく、グローバル一意識別子(GUID)によって認識されます。GUIDは、特定のユーザーに対する完全に一意な識別子です。GUIDを使用してユーザーを識別することにより、特定のユーザーのデータとメタデータが、ユーザー名に関係なく一意に保護されるので、セキュリティ・レベルが向上します。
次の2つのベスト・プラクティスを実践して、開発から本番までのライフサイクルの各フェーズでGUIDが一貫して適用されることを保証することをお薦めします。
開発システム、テスト・システムおよび本番システムの間でアイデンティティ・ストアのファンアウト・レプリカを使用するようにして、開発から本番までのライフサイクル全体を通じてユーザーGUIDを一貫して同一にします。ファンアウト・レプリカの作成の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のレプリケーションの設定に関する項を参照してください。
可能なかぎり、個々のユーザーではなくアプリケーション・ロールを使用して、データとメタデータへのアクセスを保護します。
GUIDのリフレッシュ(GUIDの同期またはGUIDの再生成とも呼ばれる)とは、Oracle BIリポジトリおよびOracle BIプレゼンテーション・カタログ内のユーザーGUIDに対するメタデータ参照を更新するプロセスです。GUIDリフレッシュ・プロセスにおいて、各ユーザー名がアイデンティティ・ストアで検索されます。次に、そのユーザー名に関連付けられているGUIDに対するすべてのメタデータ参照が、アイデンティティ・ストア内のGUIDで置き換えられます。
GUIDのリフレッシュは、Oracle Business Intelligenceが同一ユーザーに対して異なるGUIDを持つアイデンティティ・ストアに再度関連付けられる場合に必要となります。この状況は、Oracle Business Intelligenceを別のタイプのアイデンティティ・ストアに再関連付けする場合に発生する可能性がありますが、ほとんど発生することはありません。
Oracleのベスト・プラクティスが実施されず、Oracle Business Intelligenceリポジトリ・データが、同一ユーザーに対して異なるGUIDを持つシステム間で移行される場合、システムを機能させるには、GUIDのリフレッシュが必要です。この実践は、特定のユーザー(たとえば2週間前に退職したJohn Smith)のみがアクセスできるように保護されているデータとメタデータに、別のユーザー(たとえば先週入社したJohn Smith)がアクセスできるようになるというリスクが生じるので、お薦めできません。可能なかぎりアプリケーション・ロールを使用して、開発から本番までのライフサイクル全体を通じて一貫してGUIDを使用することにより、この問題の発生を防ぐことができます。
ユーザーGUIDをリフレッシュするには、APPHOST1およびAPPHOST2上で次の手順を実行します。GUIDのリフレッシュは、一度に1つのノードのみが動作している状態で行う必要があることに注意してください。
ユーザーGUIDをリフレッシュしているノード以外のすべてのノード上でOracle BIサーバーおよびプレゼンテーション・サービスを停止します。例:
cd ORACLE_BASE/admin/instancen/bin ./opmnctl stopproc ias-component=coreapplication_obips1 ./opmnctl stopproc ias-component=coreapplication_obis1
NQSConfig.INIのFMW_UPDATE_ROLE_AND_USER_REF_GUIDSパラメータを更新します。
次の場所にあるNQSConfig.INIを編集のために開きます。
ORACLE_INSTANCE/config/OracleBIServerComponent/coreapplication_obisn
FMW_UPDATE_ROLE_AND_USER_REF_GUIDSパラメータを探して、次のようにYESに設定します。
FMW_UPDATE_ROLE_AND_USER_REF_GUIDS = YES;
ファイルを保存して閉じます。
instanceconfig.xmlファイルにあるカタログ要素を更新します。
GUIDをリフレッシュしているノードで、opmnctlを使用してOracle BI ServerおよびPresentation Servicesを起動します。
cd ORACLE_BASE/admin/instancen/bin ./opmnctl startproc ias-component=coreapplication_obis1
Oracle BI Serverが実行されていることを確認したら、Presentation Servicesを起動します。
./opmnctl startproc ias-component=coreapplication_obips1
NQSConfig.INIのFMW_UPDATE_ROLE_AND_USER_REF_GUIDSパラメータをNOに設定します。
重要: システムを確実に保護するために、この手順を実行する必要があります。
instanceconfig.xmlのカタログ要素を更新し、UpdateAccountのGUIDエントリを削除します。
opmnctlを使用して、Oracle Business Intelligenceシステム・コンポーネントを再起動します。
cd ORACLE_BASE/admin/instancen/bin ./opmnctl stopall ./opmnctl startall
この項では、Oracle Access Manager 10gをOracle Business Intelligenceトポロジのシングル・サインオン・ソリューションとして設定する方法について説明します。
この項の内容は次のとおりです。
Oracle Access Manager 10gの場合の手順では、Access Managerおよびポリシー・マネージャを保護するポリシーを備えたOracle Access Managerインストールが存在することを前提としています。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
この章で説明する構成には、Oracle Internet Directoryなどのディレクトリ・サービスがスタンドアロン・コンポーネントとして、またはOracle Virtual Directory構成の一部として、含まれています。この項では、Oracle Internet Directoryを使用するようにOracle Business Intelligenceインストールを構成するために必要な手順について説明します。
また、Oracle Access Managerインストールには、Webゲートを使用するように構成された独自のWebサーバーが必要です。この項では、Oracle Access Manager Webサーバーを委任認証サーバーとして使用するための手順も説明します。
この項では、Oracle Access Manager構成ツールを使用する方法について説明します。項目は次のとおりです。
Oracle Access Manager構成ツール(oamcfgtool)は、一連のスクリプトを起動して必要なポリシーを設定します。そのためには、入力情報として様々なパラメータが必要となります。具体的には次の項目が作成されます。
Oracle Access Managerのフォーム認証スキーム
Oracle WebLogic Serverでの認証を可能にするポリシー
Oracle HTTP ServerのWebゲートが(Web層から)構成済アプリケーションを保護できるようにするOracle Access ManagerのWebゲート・エントリ
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
アプリケーション固有のURLを保護するポリシーおよび保護対象としないポリシー
Oracle Access Manager構成ツールを実行する前に、次の情報を収集または準備します。
パスワード: セキュアなパスワードを作成します。このパスワードは、後で実行するWebゲート・インストールのパスワードとして使用します。
LDAPホスト: HA/EDG構成の場合のディレクトリ・サーバーのホスト名またはロード・バランサ・アドレス。
LDAPポート: ディレクトリ・サーバーのポート番号。
LDAPユーザーDN: LDAP管理者ユーザーのDN(例: cn=orcladmin)。
LDAPパスワード: LDAP管理者ユーザーのパスワード。
OAM_AA_HOST: Oracle Access Managerインスタンスのホスト名。
OAM_AA_PORT: Oracle Access Managerのポート番号。
Oracle Access Manager構成ツールは、次のディレクトリにあります。
MW_HOME/oracle_common/modules/oracle.oamprovider_11.1.1
このツールは、必要なインストール・ファイルが存在する任意のコンピュータから実行できます。ここでは、APPHOST1から実行します。
|
注意: Oracle Identity Managementと統合する場合は、Oracle Identity Managementサーバーで現在使用中のトランスポート・モードを使用します。たとえば、オープン、簡易または証明書モードなどです。 |
Oracle Access Manager構成ツールを次のように実行します(すべてを1行で入力します)。
MW_HOME/jrockit_version/bin/java -jar oamcfgtool.jar mode=CREATE app_domain="bifoundation_domain" protected_uris="$PROTECTED_URI_LIST" public_uris="$PUBLIC_URI_LIST" ldap_host="oid.mycompany.com" ldap_port=389 ldap_userdn="cn=LDAP_admin_user_name" ldap_userpassword=LDAP_admin_user_password oam_aaa_host=OAMHOST1 oam_aaa_port=OAMPORT1 oam_aaa_mode=simple
$PROTECTED_URI_LISTには、次の値を使用します。
"/analytics/saw.dll,/xmlpserver,/ui,/bioffice,/em,/console,/ui/adfAuthentication"
$PUBLIC_URI_LISTには、次の値を使用します。
"/analytics,/analytics/saw.dll/wsdl,/analytics-ws/saw.dll,/xmlpserver/services, /xmlpserver/report_service,/xmlpserver/ReportTemplateService.xls, /xmlpserver/Guest,/ui/do/logout,/ui/images,/bioffice/services/saw?WSDL"
app_agent_passwordを入力するように求められます。
|
注意: 後で別のURLの保護が必要になった場合は、同じapp_domainを使用して、再度Oracle Access Manager構成ツールを実行します。新しいURLのみではなく、保護する必要があるすべてのURLを指定してください。 |
この項では、ポリシー・ドメインとアクセス・ゲートが正常に作成されたことを確認する方法について説明します。
ポリシー・ドメインの確認
次の手順に従って、ポリシー・ドメインを確認します。
次の場所でOracle Access Managerにログオンします:
http://OAMADMINHOST:port/access/oblix
「ポリシー・マネージャ」をクリックします。
左側のパネルで「ポリシー・ドメイン」リンクをクリックします。作成したドメインを含む、すべてのポリシー・ドメインのリストが表示されます。
作成したポリシー・ドメインへのリンクをクリックします。このドメインの「一般」領域が表示されます。
「リソース」タブをクリックします。指定したURIが表示されます。他のタブをクリックし、他の設定を表示することもできます。
次の手順に従って、アクセス・ゲートの構成を確認します。
右上にある「アクセス・システム・コンソール」リンクをクリックします。このリンクは、クリックするたびに「アクセス・システム・コンソール」と「ポリシー・マネージャ」が切り替わります。
「アクセス・システム構成」タブをクリックします。
左側のペインで、「アクセス・ゲート構成」リンクをクリックします。
検索条件としてbifoundation_domain (またはapp_domain内の別のサブストリング)と入力し、「実行」をクリックします。
作成したドメインのアクセス・ゲートが表示されます。この結果には、接尾辞_AG (例: bifoundation_domain_AG)が付加されています。
ドメインのアクセス・ゲートをクリックして、詳細を表示します。
Oracle Access Manager構成ツールは、app_domainパラメータの値を使用してポリシー・ドメインのホスト識別子を作成します。構成が正常に機能するためには、ホストに対するすべてのホスト名バリエーションを反映してホスト識別子を更新する必要があります。
次の手順に従って、Oracle Access Manager構成ツールで作成したホスト識別子を更新します。
Webブラウザで次のURLを入力し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力を求められたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、Oracle Access Manager構成ツールで作成したホスト識別子をクリックします。たとえば、bifoundation_domainを選択します。
「ホスト識別子詳細」ページで「変更」をクリックします。
「ホスト識別子の変更」ページで、ホストに対するすべてのホスト名バリエーションを追加します。必要に応じてプラス記号またはマイナス記号をクリックして、フィールドを追加または削除してください。
「アクセス・システム構成」で使用する「優先HTTPホスト」の値を、ホスト名バリエーションの1つとして追加する必要があります。例:
bifoundation_domain, webhost1.mycompany.com:7777, webhost2.mycompany.com:7777, APPHOST1VHN1.mycompany.com:9704, APPHOST2VHN1.mycompany.com:9704, ADMIN.mycompany.com:80, ADMINVHN.mycompany.com:7001, APPHOST1VHN1:9704, APPHOST2VHN1:9704, ADMINVHN:7001
「キャッシュの更新」を選択し、「保存」をクリックします。
次のメッセージが表示されます: 「現時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで変更内容を確認します。
Oracle Access Manager構成ツールは、app_domainパラメータの値で作成したWebゲート・プロファイルのPreferred_HTTP_Host属性とhostname属性に値を設定します。構成が正しく機能するようにするには、この2つの属性の両方を適切な値で更新する必要があります。
次の手順に従って、Oracle Access Manager構成ツールで作成したWebゲート・プロファイルを更新します。
Webブラウザで次のURLを入力し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力を求められたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックし、「アクセス・ゲート検索」ページを表示します。
適切な検索条件を入力し、「実行」をクリックして、アクセス・ゲートのリストを表示します。
Oracle Access Manager構成ツールによって作成されたアクセス・ゲートを選択します。例: bifoundation_domain_AG
「アクセス・ゲート詳細」ページで、「変更」を選択し、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次を更新します。
ホスト名: Webゲートを実行しているコンピュータの名前でホスト名を更新します。例: webhost1.mycompany.com
優先HTTPホスト: 前の項で指定したホスト名バリエーションの1つでPreferred_HTTP_Hostを更新します。例: webhost1.mycompany.com:7777
プライマリHTTP Cookieドメイン: ドメインの接尾辞またはホスト識別子でプライマリHTTP Cookieドメインを更新します。例: mycompany.com
ポート: Webゲートを実行しているポートでポートを更新します。例: 7777*
最大接続数: 4に設定します。
「保存」をクリックし、「OK」をクリックして確認します。
「アクセス・ゲートの詳細」ページに表示される値を確認し、正常に更新されたことを確認します。
Webゲートを各WEBHOSTnコンピュータにインストールして、Web層を保護する必要があります。これを行うには、次の手順に従います:
次のコマンドを使用してWebゲート・インストーラを起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate -gui
「ようこそ」画面が表示されます。「次へ」をクリックします。
「顧客情報」画面で、Webサーバーを実行しているユーザー名とユーザー・グループを入力します。「次へ」をクリックして続行します。
インストール先画面で、Webゲートをインストールするディレクトリを指定します。「次へ」をクリックして続行します。
「インストールの概要」画面で「次へ」をクリックします。
Webゲート構成画面の説明に従って、Webゲートに必要なGCCランタイム・ライブラリをダウンロードし、「参照」を使用して、このGCCランタイム・ライブラリのローカル・コンピュータ上の場所を指定します。「次へ」をクリックして続行します。
この段階で、インストーラにより必要なアーティファクトが作成されます。このプロセスが完了したら、「次へ」をクリックして続行します。
「トランスポート・セキュリティ・モード」画面で、BIアクセス・ゲートに構成されているモードと同じモード(例: 「簡易」)を選択し、「次へ」をクリックして続行します。
|
注意: Oracle Identity Managementと統合する場合は、Oracle Identity Managementサーバーで現在使用中のトランスポート・モードを使用します。たとえば、オープン、簡易または証明書モードなどです。 |
Webゲート構成画面で、使用するアクセス・サーバーの詳細を入力します。入力する情報は次のとおりです。
WebゲートID: Oracle Access Manager構成ツールの実行時に指定されたもの
Webゲートのパスワード
アクセス・サーバーID: Oracle Access Managerアクセス・サーバー構成から報告されたもの
アクセス・サーバー・ホスト名: Oracle Access Managerアクセス・サーバー構成から報告されたもの
アクセス・サーバー・ポート番号: Oracle Access Managerアクセス・サーバー構成から報告されたもの
グローバル・アクセス・プロトコル・パスフレーズ
これらの詳細は、Oracle Access Manager管理者から取得できます。「次へ」をクリックして続行します。
「Webサーバーの構成」画面で「はい」をクリックすると、自動的にWebサーバーが更新されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」ページに、Webサーバー構成がWebゲート向けに変更されたことを示すメッセージが示されます。「はい」をクリックして確認します。
Webサーバーをいったん停止してから再起動し、構成の更新を有効にします。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、SSLに関するメッセージが表示されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、製品設定とWebサーバーの構成の残りの部分に関する情報が記載されているドキュメントの場所を示すメッセージが表示されます。「いいえ」を選択し、「次へ」をクリックして続行します。
最後の「Webサーバーの構成」画面が表示されます。Webサーバーの構成に関する詳細情報を得るには、手動でブラウザを起動し、該当のHTMLドキュメントを開くように指示するメッセージが表示されます。「次へ」をクリックして続行します。
「Oracle COREid Readme」画面が表示されます。画面の情報を確認し、「次へ」をクリックして続行します。
インストールの詳細およびインストールの正常終了を示すメッセージが表示されます。
IP検証では、クライアントのIPアドレスが、シングル・サインオンで生成される ObSSOCookie に格納されているIPアドレスと同じであるかどうかを確認します。IPターミネーションを実行するように構成されたロード・バランサ・デバイスを使用しているシステムにおいては、また認証するWebGateのフロントエンドのロード・バランサがエンタープライズ・デプロイメントのフロントエンドのロード・バランサと異なる場合は、IP検証で問題が発生することがあります。このような場合にそれが検証されないようにロード・バランサを構成する手順は次のとおりです。
次のURLを使用してアクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
アクセス・システムのメイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックしてから「アクセス・ゲート構成」リンクを左ペインでクリックし、「アクセス・ゲートの検索」ページを表示します。
適切な検索条件を入力し、「実行」をクリックして、アクセス・ゲートのリストを表示します。
Oracle Access Manager構成ツールによって作成されたアクセス・ゲートを選択します。
「変更」をページの下部でクリックします。
デプロイメントをフロントエンドするために使用されるロード・バランサのアドレスを「IPValidationException」フィールドで入力します。
ページの下部にある「保存」をクリックします。
この項の手順では、LDAP認証プロバイダが設定済であると想定しています。
この項の内容は次のとおりです。
Oracle Access Manager IDアサータを設定する手順は、次のとおりです。
管理コンソールにログインします。
「チェンジ・センター」で、「ロックして編集」をクリックします。
SecurityRealms\myrealm\Providersに移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAM Identity Asserter」を選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「OK」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「 プロバイダ固有 」タブを開き、必要な設定を次のように構成します。
プライマリ・アクセス・サーバー: Oracle Access Managerサーバーのエンドポイント情報をHOST:PORT形式で指定します。
AccessGate名: アクセス・ゲートの名前を入力します(例: bifoundation_domain_AG)。
AccessGateパスワード: アクセス・ゲートのパスワードを入力します。
完了したら「保存」をクリックします。「変更のアクティブ化」をクリックして変更を伝播します。管理サーバーおよび管理対象サーバーを再起動します。
各認証プロバイダの制御フラグが次のように設定されていることを確認することによって、Oracle Access Managerアイデンティティ・アサータ、Oracle Internet Directory認証プロバイダおよびデフォルト認証プロバイダを並べ替えます。
OAMアイデンティティ・アサータ: REQUIRED
OID LDAP認証プロバイダ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
次に、管理サーバー、管理対象サーバーおよびOracle Business Intelligenceシステム・コンポーネントを再起動します。
この項では、アプリケーションを構成する方法について説明します。項目は次のとおりです。
第12.2.8.1項「Oracle BI Enterprise EditionでのSSO/Oracle Access Managerの有効化」
第12.2.8.2項「Oracle BI PublisherでのSSO/Oracle Access Managerの有効化」
第12.2.8.3項「Oracle BI for Microsoft OfficeでのSSO/Oracle Access Managerの有効化」
第12.2.8.5項「Oracle Real-Time DecisionsでのSSO/Oracle Access Managerの有効化」
Oracle BI Enterprise EditionでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
Fusion Middleware Controlにログインします。
「Business Intelligence」→「coreapplication」→「セキュリティ」に移動します。
「構成をロックして編集」をクリックします。
「SSOの有効化」を選択し、「SSOプロバイダ」で「Oracle Access Manager」を選択します。
次の各フィールドにログオンURLとログオフURLを入力し、Oracle BI Presentation Servicesのログイン/ログアウト情報を構成します。
SSOプロバイダのログオンURL: http://OAM_host:OAM_port/oamsso/login.html
SSOプロバイダのログオフURL: http://OAM_host:OAM_port/access/oblix/lang/en-us/logout.html
「適用」をクリックします。
「変更のアクティブ化」をクリックします。
opmnctlまたはFusion Middleware Controlを使用して、すべてのOracle Business Intelligenceシステム・コンポーネントを再起動します。
Oracle BI PublisherでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
Oracle BI Publisherで、「管理」→「セキュリティ構成」ページに移動し、SSOを有効にします。
「セキュリティ構成」ページの「シングル・サインオン」セクションで次の情報を入力します。
「シングル・サインオンの使用」を選択します。
「シングル・サインオン・タイプ」で「Oracle Access Manager」を選択します。
「シングル・サインオフURL」で、次の形式でURLを入力します。
http://OAM_host:OAM_port/access/oblix/lang/en-us/logout.html
「適用」をクリックします。
管理コンソールからbipublisherアプリケーションを再起動します。
Oracle BI for Microsoft OfficeのSSO構成の詳細は、第9.5.4.1項「Oracle BI for Microsoft Officeのプロパティの構成」を参照します。Oracle BI for Microsoft OfficeのSSOをまだ有効化していない場合は、第9.5.4.1項の手順を実行し、作業を完了させます。
Oracle BI SearchでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
BISearchConfig.propertiesファイルを編集のために開きます。このファイルは、次の場所にあります。
DOMAIN_HOME/config/fmwconfig/biinstances/coreapplication/
BIServerSSOUrlを次の値に設定します。
https://bi.mycompany.com/analytics
ファイルを保存して閉じます。
この項では、Oracle Real-Time DecisionsでOracle Access Managerを使用する構成について説明します。
この項の内容は次のとおりです。
Oracle RTDでOracle Access Managerのログアウトのガイドラインに準拠するには(特に/adfAuthentication?logout=true&end_url=/ui/do/logoutからログアウトを起動する場合)、Oracle Access Manager 10gとの統合で、end_urlを処理するようにWebゲートを構成する必要があります。この構成を追加しない場合、ログアウトしても、Oracle Access Manager 10gのWebゲートでend_urlが処理されないので、終了URLへのリダイレクトが行われません。
構成手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Webゲート10gがOracle Access Manager (OAM) 11gでOracle RTD Decision CenterへのアクセスのSSOプロバイダとして構成されている場合、ログアウトしてからDecision Centerに戻って再ログインするユーザーに対して、ユーザー名とパスワードの資格証明の入力を要求する必要があります。この動作が正常に行われるようにするには、OAM/Webゲートで次のOracle RTD Decision Centerリソースをパブリック(保護対象外または匿名のアクセス)として構成する必要があります。
Decision CenterのログアウトURI /ui/do/logout
Decision Centerの画像 /ui/images/*
この項では、Oracle Business Intelligenceエンタープライズ・デプロイメントのトポロジのシングル・サインオン・ソリューションとしてOracle Access Manager 11gを設定する方法について説明します。
この項の内容は、次のとおりです。
Oracle Fusion Middleware 11g リリース1の推奨シングル・サインオン・ソリューションはOracle Access Managerです。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この項では、既存のOracle Access Manager 11gインストレールと基礎となるディレクトリ・サービスを使用して、Oracle Business Intelligenceインストールを構成する手順について説明します。Oracle Internet Directory、Oracle Virtual Directory、またはその両方のディレクトリ・サービスを使用することをお薦めします。
|
注意: このガイドで説明されているOracle Business Intelligenceトポロジではシングル・サインオン構成を使用します。この構成では、Oracle Business Intelligenceシステムとシングル・サインオン・システムの両方が同じネットワーク・ドメイン(mycompany.com)に存在します。マルチドメイン構成については、『Oracle Fusion Middleware Oracle Access ManagerおよびOracle Security Token Service管理者ガイド』の第11章「Oracle Access Manager 11gを使用したシングル・サインオンの概要」で必要な構成手順を参照してください。 |
Oracle Access Managerの設定では、Access Managerおよびポリシー・マネージャを保護するポリシーを完備した、Oracle Access Managerインストールが存在することを前提としています。Oracle Access Managerのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この設定には、スタンドアロンまたはOracle Virtual Directory構成の一部としてのOracle Internet Directoryなどのディレクトリ・サービスがあります。この章では、Oracle Internet DirectoryまたはOracle Virtual Directoryのいずれかを使用してOracle Business Intelligenceインストールを構成するために必要な手順について説明します。
また、Oracle Access Managerインストールには、Webゲートで構成した独自のWebサーバーが必要です。この項では、Oracle Access Manager Webサーバーを委任認証サーバーとして使用するための手順も説明します。
HTTPサーバーがすでにインストールされている各WEBHOSTコンピュータにWebゲートをインストールする必要があります。デプロイメント環境の各WEBHOSTに対して、第12.3.3項および第12.3.4項を繰り返す必要があります。
Webゲートをインストールする前に、サードパーティのGCCライブラリをダウンロードし、使用しているコンピュータにインストールする必要があります。
次のサードパーティWebサイトから該当するGCCライブラリをダウンロードできます。
32ビットのLinuxの場合、必要なライブラリはバージョン番号3.3.2のlibgcc_s.so.1およびlibstdc++.so.5です。表12-2は、LinuxおよびSolarisのGCCサード・パーティ・ライブラリのバージョンを示しています。
この項では、WebGateのインストール手順について説明します。
インストーラの起動
Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストーラ・プログラムはwebgate.zipファイルに含まれています。
インストール・ウィザードを開始するには:
webgate.zipファイルの内容をディレクトリに展開します。このディレクトリのデフォルト名はwebgateです。
webgateフォルダの下のDisk1ディレクトリに移動します。
次のコマンドを使用してインストーラを起動します。
$ ./runInstaller -jreLoc WebTier_Home/jdk
インストーラが起動すると、「ようこそ」画面が表示されます。
インストールの流れと手順
インストール画面に関して詳細な情報が必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプを参照してください。
Oracle HTTP Server 11g Webgate for Oracle Access Managerをインストールするには:
「ようこそ」画面で、「次へ」をクリックします。
「前提条件のチェック」画面で、「次へ」をクリックします。
「インストール場所の指定」画面で、ミドルウェア・ホームおよびOracleホームの場所を指定します。デフォルトの場所を使用するか、別の場所を選択できます。
|
注意: MiddleWareホームには、Oracle Web層のOracleホームがあります。 |
「次へ」をクリックします。
GCCライブラリの指定画面で、GCCライブラリが含まれているディレクトリを指定し、「次へ」をクリックします。
「インストール・サマリー」画面で、画面に表示される情報を確認し、「インストール」をクリックしてインストールを開始します。
「インストールの進行状況」画面で、ファイルおよびディレクトリに適切な権限を設定するために、ORACLE_HOME/oracleRoot.shスクリプトの実行を求められる場合があります。
「次へ」をクリックして続行します。
「インストール完了」画面で、「終了」をクリックし、インストーラを終了します。
Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストール後、次の手順を完了します。
WebゲートのOracleホーム内の次のディレクトリに移動します。
$ cd Webgate_Home/webgate/ohs/tools/deployWebGate
コマンドラインで次のコマンドを実行し、エージェントの必要な部分をWebgate_HomeディレクトリからWebgateインスタンスの場所にコピーします。
$ ./deployWebGateInstance.sh -w Webgate_Instance_Directory -oh Webgate_Oracle_Home
ここでWebgate_Oracle_Homeは、次の例で示すように、Oracle HTTP Server Webgateをインストールし、WebgateのOracleホームとして作成したディレクトリです。
MW_HOME/Oracle_OAMWebGate1
Webgate_Instance_DirectoryはWebgateのインスタンス・ホームの場所です。これは、Oracle HTTP Serverのインスタンス・ホームと同じです。次に例を示します。
MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1
|
注意: Oracle HTTP Serverのインスタンス・ホームはOracle HTTP Serverの構成後に作成されます。 |
次のコマンドを実行し、LD_LIBRARY_PATH変数にOracle_Home_for_Oracle_HTTP_Server/libが含まれるようにします。
$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:Oracle_Home_for_Oracle_HTTP_Server/lib
現在の作業ディレクトリから1つ上のディレクトリに移動します。
$ cd Webgate_Home/webgate/ohs/tools/setup/InstallTools
コマンドラインで次のコマンドを実行し、apache_webgate.templateをWebgate_HomeディレクトリからWebgateのインスタンスの場所(webgate.confに名前が変更されている)にコピーし、httpd.confファイルを更新してwebgate.confの名前を含めるよう1行追加します。
$ ./EditHttpConf -w Webgate_Instance_Directory [-oh Webgate_Oracle_Home] [-o output_file]
|
注意: -oh WebGate_Oracle_Homeおよび-o output_fileパラメータはオプションです。 |
ここでWebGate_Oracle_Homeは、Oracle HTTP Server Webgate for Oracle Access Managerをインストールし、WebgateのOracleホームを作成したディレクトリです。次に例を示します。
MW_HOME/Oracle_OAMWebGate1
Webgate_Instance_DirectoryはWebgateのインスタンス・ホームの場所です。これは、Oracle HTTP Serverのインスタンス・ホームと同じです。次に例を示します。
MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1
output_fileはツールによって使用される一時出力ファイルの名前です。次に例を示します。
Edithttpconf.log
この項では、WebGateエージェントの登録手順について説明します。
RREGツールは、Oracle Access Manager 11gインストールに付属しています。見つからない場合は、次の手順を使用して抽出します。
Oracle Access Managerのインストールおよび構成が終わった後、次の場所に移動します。
IDM_Home/oam/server/rreg/client
コマンドラインから、次の例のとおり、gunzipを使用してRREG.tar.gzファイルを解凍します。
gunzip RREG.tar.gz tar -xvf RREG.tar
エージェントを登録するためのツールは次の場所にあります。
RREG_Home/bin/oamreg.sh
RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。
RREG構成ツールは、保護されているリソースやパブリック・リソースをOAMシステムに登録する手段を提供します。OAMシステムに追加される、保護されているリソースのリストは次のとおりです。
/analytics/saw.dll /bicontent /bioffice /biofficeclient /xmlpserver /ui /mapviewer /bicomposer /bisearch /em /em/…/* /console /console/…/*
「/…/*」は、urlコンテキストの下のすべてのリソースを表します。
BIコンポーザの構成が完了している場合は、/bicomposerの追加のみが必要な点に注意してください。
パブリック・リソースのリストは次のとおりです。
/analytics /analytics/saw.dll/wsdl /bioffice/services/saw /ui/do/logout /xmlpserver/services /xmlpserver/report_service /xmlpserver/ReportTemplateService.xls /xmlpserver/Guest /biservices /ui/images/*
除外されるリソースのリストは次のとおりです。
/rtis /rtis/.../* /schema /schema/.../* /ws /ws/.../* /wsm-pm /wsm-pm/.../*
RREG_Home/inputディレクトリには、OAM11GRequest.xmlという名前のテンプレート・ファイルがあります。そのテンプレートをBIOAM11GRequest.xmlという新しいファイルにコピーして編集を行い、Oracle Business Intelligenceインストールのポリシーを作成します。編集後のファイルは次のようになります。BIコンポーザの構成が完了している場合は、/bicomposerの追加のみが必要な点に注意してください。
|
注意: $$webtierhost$$、$$oamadminserverport$$、$$oamhost$$およびload_balancer_source_IPをインストールのそれぞれの値に置換します。 |
<?xml version="1.0" encoding="UTF-8"?>
<!-- Copyright (c) 2009, 2010, Oracle and/or its affiliates. All rights reserved.
NAME: OAM11GRequest_short.xml - Template for OAM 11G Agent Registration request
file (Shorter version - Only mandatory values - Default values will be used for
all other fields)
DESCRIPTION: Modify with specific values and pass file as input to the tool.
-->
<OAM11GRegRequest>
<serverAddress>http://$$oamhost$$:$$oamadminserverport$$</serverAddress>
<hostIdentifier>$$webtierhost$$_bi</hostIdentifier>
<agentName>$$webtierhost$$_bi</agentName>
<applicationDomain>$$webtierhost$$_bi</applicationDomain>
<cachePragmaHeader>private</cachePragmaHeader>
<cacheControlHeader>private</cacheControlHeader>
<ipValidation>1</ipValidation>
<logOutUrls>
<url>/oamsso/logout.html</url>
</logOutUrls>
<protectedResourcesList>
<resource>/analytics/saw.dll</resource>
<resource>/bicontent</resource>
<resource>/bioffice</resource>
<resource>/biofficeclient</resource>
<resource>/xmlpserver</resource>
<resource>/ui</resource>
<resource>/mapviewer</resource>
<resource>/bicomposer</resource>
<resource>/bisearch</resource>
<resource>/em</resource>
<resource>/em/…/*</resource>
<resource>/console</resource>
<resource>/console/…/*</resource>
</protectedResourcesList>
<publicResourcesList>
<resource>/analytics</resource>
<resource>/analytics/saw.dll/wsdl</resource>
<resource>/bioffice/services/saw</resource>
<resource>/ui/do/logout</resource>
<resource>/xmlpserver/services</resource>
<resource>/xmlpserver/report_service</resource>
<resource>/xmlpserver/ReportTemplateService.xls</resource>
<resource>/xmlpserver/Guest</resource>
<resource>/biservices</resource>
<resource>/ui/images/*</resource>
</publicResourcesList>
<excludedResourcesList>
<resource>/rtis</resource>
<resource>/rtis/.../*</resource>
<resource>/schema</resource>
<resource>/schema/.../*</resource>
<resource>/ws</resource>
<resource>/ws/.../*</resource>
<resource>/wsm-pm</resource>
<resource>/wsm-pm/.../*</resource>
</excludedResourcesList>
</OAM11GRegRequest>
次のコマンドを使用してoamregツールを実行します。
$ RREG_Home/bin/oamreg.sh inband RREG_Home/input/BIOAM11gRequest.xml
JAVA_HOMEオペレーティング・システムの環境変数は、このコマンドが機能するためにjdk6に設定する必要があります。
実行すると次のようになります。
------------------------------------------------ Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oim/oim_home/oam/server/rreg/client/rreg/input/BIOAM11GRequest.xml Enter admin username: oamadmin_user Username: oamadmin_user Enter admin password: my_password Do you want to enter a Webgate password?(y/n): y Enter webgate password: my_password Enter webgate password again: my_password Password accepted. Proceeding to register.. Nov 9, 2011 6:48:44 PM oracle.security.am.engines.rreg.client.handlers.request.OAM11GRequestHandler getWebgatePassword INFO: Passwords matched and accepted. Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WEBHOST_bi URL String:WEBHOST_bi Registering in Mode:inband Your registration request is being been sent to the Admin server at: http://oamserver.mycompany.com:OAM_ADMINSERVER_PORT ---------------------------------------- Inband registration process completed successfully! Output artifacts are created in the output folder.
オープン・モードでは、次の2つのファイルがOAM_REG_HOME/output/$$webtierhost$$_biに生成されます。
ObAccessClient.xml
cwallet.sso
これらのファイルをWEBHOST1およびWEBHOST2のwebgateインスタンス(Webgate_Instance_Home/config/OHS/ohsN/webgate/config/)の場所にコピーします。
簡易モードでは、次のファイルをOAM_REG_HOME/output/$$webtierhost$$_biディレクトリから、WEBHOST1およびWEBHOST2のWebgate_Instance_Home/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
さらに、次のファイルを OAM_REG_HOME/output/$$webtierhost$$_biディレクトリから、WEBHOST1およびWEBHOST2のWebgate_Instance_Home/config/OHS/ohsN/webgate/config/simpleディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
|
注意: Oracle Identity Managementと統合する場合は、Oracle Identity Managementサーバーで現在使用中のトランスポート・モードを使用します。たとえば、オープン、簡易または証明書モードなどです。 |
IP検証では、クライアントのIPアドレスが、シングル・サインオンで生成される ObSSOCookie に格納されているIPアドレスと同じであるかどうかを確認します。IPターミネーションを実行するように構成されたロード・バランサ・デバイスを使用しているシステムにおいては、また認証するWebGateのフロントエンドのロード・バランサがエンタープライズ・デプロイメントのフロントエンドのロード・バランサと異なる場合は、IP検証で問題が発生することがあります。このような場合にそれが検証されないようにロード・バランサを構成する手順は次のとおりです。
次のURLを使用して、Oracle Access Manager 11gコンソールにアクセスします。
http://hostname:port/oamconsole
Oracle Access Manager 11gの管理者としてログインします。
「ようこそ」ページで、「システム構成」タブをクリックします。
「Access Managerの設定」セクションで、「SSOエージェント」ノードを開きます。「OAMエージェント」をダブルクリックし、「OAMエージェント検索」ページを表示します。
適切な検索条件を入力し、「検索」をクリックして、OAMエージェントのリストを表示します。
Oracle Access Manager構成ツールで作成されたOAMエージェントを選択します。
「IPの検証例外」フィールドで、デプロイメントのフロントエンド化に使用するロード・バランサのアドレスを入力します。
ページの上部の「適用」をクリックします。
この項では、第12.1.2.3項「LDAPを使用するアイデンティティ・ストアの構成」の手順に従ってLDAP認証をすでに設定していることを想定しています。LDAP認証をまだ作成していない場合は、それを作成してからこの項の続きを実行します。
この項には次のトピックが含まれます:
まず、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fwmconfig/system-jazn- data.xml
また、管理サーバーのboot.propertiesファイルもバックアップします。
OAM IDアサータを設定するには:
WebLogicコンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→「<デフォルト・レルム名>」→「Providers」に移動します。
「新規」をクリックし、ドロップダウン・メニューからOAMアイデンティティ・アサータを選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「保存」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
制御フラグを「必須」に設定します。
ObSSOCookieおよびOAM_REMOTE_USERの両方のオプションがアクティブ・タイプで選択されていることを確認します。
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーおよび管理対象サーバーを再起動します。
最後に、次の場所にあるWLSTコンソールに管理者としてログインします。
ORACLE_COMMON_HOME/common/bin/wlst.sh
続けて、次のコマンドを実行します。
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="oamsso/
logout.html")
例:
wls:/offline> connect('weblogic','my_password','t3://ADMINVHN:7001')
Connecting to t3:ADMINVHN:7001 with userid weblogic ...
Successfully connected to Admin Server 'AdminServer' that belongs to domain
'bifoundation_domain'.
wls:/bifoundation_domain/serverConfig>
wls:/bifoundation_domain/serverConfig>
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="oamsso/
logout.html")
この項では、アプリケーションを構成する方法について説明します。項目は次のとおりです。
第12.3.7.1項「Oracle BI Enterprise EditionでのSSO/Oracle Access Managerの有効化」
第12.3.7.2項「Oracle BI PublisherでのSSO/Oracle Access Managerの有効化」
第12.3.7.3項「Oracle BI for Microsoft OfficeでのSSO/Oracle Access Managerの有効化」
第12.3.7.5項「Oracle Real-Time DecisionsでのSSO/Oracle Access Managerの有効化」
Oracle BI Enterprise EditionでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
Fusion Middleware Controlにログインします。
「Business Intelligence」→「coreapplication」→「セキュリティ」→「シングル・サインオン」に移動します。
「構成をロックして編集」をクリックします。
「SSOの有効化」を選択し、「SSOプロバイダ」で「Oracle Access Manager」を選択します。
次の各フィールドにログオンURLとログオフURLを入力し、Oracle BI Presentation Servicesのログイン/ログアウト情報を構成します。
SSOプロバイダのログオンURL: http://OAM_host:OAM_port/oamsso/login.html
SSOプロバイダのログオフURL: http://OAM_host:OAM_port/oamsso/logout.html
「適用」をクリックします。
「変更のアクティブ化」をクリックします。
opmnctlまたはFusion Middleware Controlを使用して、すべてのOracle Business Intelligenceシステム・コンポーネントを再起動します。
Oracle BI PublisherでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
Oracle BI Publisherで、「管理」→「セキュリティ構成」ページに移動し、SSOを有効にします。
「セキュリティ構成」ページの「シングル・サインオン」セクションで次の情報を入力します。
「シングル・サインオンの使用」を選択します。
「シングル・サインオン・タイプ」で「Oracle Access Manager」を選択します。
「シングル・サインオフURL」で、次の形式でURLを入力します。
http://OAM_host:OAM_port/oamsso/logout.html
「適用」をクリックします。
管理コンソールからbipublisherアプリケーションを再起動します。
Oracle BI for Microsoft OfficeのSSO構成の詳細は、第9.5.4.1項「Oracle BI for Microsoft Officeのプロパティの構成」を参照します。Oracle BI for Microsoft OfficeのSSOをまだ有効化していない場合は、第9.5.4.1項の手順を実行し、作業を完了させます。
Oracle BI SearchでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
BISearchConfig.propertiesファイルを編集のために開きます。このファイルは、次の場所にあります。
DOMAIN_HOME/config/fmwconfig/biinstances/coreapplication/
BIServerSSOUrlを次の値に設定します。
https://bi.mycompany.com/analytics
ファイルを保存して閉じます。
この項では、Oracle Real-Time DecisionsでOracle Access Managerを使用する構成について説明します。
この項の内容は次のとおりです。
Oracle RTDでOracle Access Managerのログアウトのガイドラインに準拠するには(特に/adfAuthentication?logout=true&end_url=/ui/do/logoutからログアウトを起動する場合)、Oracle Access Manager 10gとの統合で、end_urlを処理するようにWebゲートを構成する必要があります。この構成を追加しない場合、ログアウトしても、Oracle Access Manager 10gのWebゲートでend_urlが処理されないので、終了URLへのリダイレクトが行われません。
構成手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Webゲート10gがOracle Access Manager (OAM) 11gでOracle RTD Decision CenterへのアクセスのSSOプロバイダとして構成されている場合、ログアウトしてからDecision Centerに戻って再ログインするユーザーに対して、ユーザー名とパスワードの資格証明の入力を要求する必要があります。この動作が正常に行われるようにするには、OAM/Webゲートで次のOracle RTD Decision Centerリソースをパブリック(保護対象外または匿名のアクセス)として構成する必要があります。
Decision CenterのログアウトURI /ui/do/logout
Decision Centerの画像 /ui/images/*
拡張したドメインが正常に動作していることを確認した後、その構成内容をバックアップします。これは、以降の手順で問題が発生した場合に短時間でリストアできることを考慮した迅速なバックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了すれば、このバックアップは破棄してかまいません。その時点では、デプロイメント固有の定期的なバックアップ手順とリカバリ手順を実行できるようになっています。詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。バックアップおよびリストアを必要とするOracle HTTP Serverのデータの詳細は、このガイドのOracle HTTP Serverのバックアップとリカバリの推奨事項に関する項を参照してください。コンポーネントのリカバリ方法の詳細は、このガイドのコンポーネントのリカバリおよびコンポーネント・ホストが失われた後のリカバリに関する項を参照してください。ホストが失われた場合のリカバリに固有の推奨事項は、このガイドの別のホストへのOracle HTTP Serverのリカバリに関する項を参照してください。データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』も参照してください。
この時点で構成をバックアップするには:
Web層をバックアップする手順は次のとおりです。
opmnctlを使用してインスタンスを停止します。
WEBHOSTn> ORACLE_BASE/admin/instance_name/bin/opmnctl stopall
次のコマンドをroot権限で実行して、Web層のミドルウェア・ホームをバックアップします。
WEBHOSTn> tar -cvpf BACKUP_LOCATION/web.tar $MW_HOME
次のコマンドをroot権限で実行して、Web層のインスタンス・ホームをバックアップします。
WEBHOSTn> tar -cvpf BACKUP_LOCATION/web_instance.tar $ORACLE_INSTANCE
opmnctlを使用してインスタンスを起動します。
WEBHOSTn> ORACLE_BASE/admin/instance_name/bin/opmnctl startall
管理サーバー・ドメイン・ディレクトリをバックアップします。バックアップを実行してドメイン構成を保存します。構成ファイルは、すべてORACLE_BASE/admin/domain_nameディレクトリの下にあります。次のコマンドを実行してバックアップを作成します。
APPHOSTn> tar -cvpf edgdomainback.tar ORACLE_BASE/admin/domain_name
