| Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド 11g リリース1 (11.1.1) B66703-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド 11g リリース1 (11.1.1) B66703-02 |
|
前 |
次 |
この章では、Oracle WebCenter ContentをOracle Identity Managementと統合する方法について説明します。この章には次の項目があります。
Oracle Fusion Middlewareエンタープライズ・デプロイメントをOracle Identity Manager 10gまたは11gと統合できます。次の項では、資格証明ストアとポリシー・ストアの初回時の構成方法およびその資格証明ストアとポリシー・ストアを再関連付けしてOracle Identity Manager 10gまたは11gと統合する方法について説明します。
表15-1は、Oracle Identity Manager 10gをOracle WebCenter Contentエンタープライズ・デプロイメントに統合するための大まかな手順を示しています。
表15-2は、Oracle Identity Manager 11gをOracle WebCenter Contentエンタープライズ・デプロイメントに統合するための大まかな手順を示しています。
|
注意: Oracle Identity Managementとの統合時には、Oracle Identity Managementサーバーで現在使用されているトランスポート・モードを使用します。たとえば、オープン、簡易、証明書などです。 |
表15-1 Oracle Identity Manager 10gとの統合手順
| 手順 | 説明 | 詳細 |
|---|---|---|
|
資格証明ストアの構成 |
Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジの資格証明ストアとしてOracle Internet Directory LDAPを構成します。 |
|
|
ポリシー・ストアの構成 |
Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジのポリシー・ストアとしてOracle Internet Directory LDAPを構成します。 |
|
|
OAM構成ツールの実行 |
OAM構成ツール(oamcfg)は、一連のスクリプトを起動して必要なポリシーを設定します。 |
|
|
Webゲートのインストールと構成 |
各WEBHOSTnマシンにWebゲートをインストールし、Web層を保護します。 |
|
|
WebGateのIP検証の構成 |
アクセス・システム・コンソールを使用して、WebGateのIP検証を構成します。 |
|
|
WebLogic認証プロバイダの設定 |
構成ファイルのバックアップ、Oracle Access Manager IDアサータの設定およびプロバイダの順序設定によって、WebLogic認証プロバイダを設定します。 |
|
表15-2 Oracle Identity Manager 11gとの統合手順
| 手順 | 説明 | 詳細 |
|---|---|---|
|
資格証明ストアの構成 |
Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジの資格証明ストアとしてOracle Internet Directory LDAPを構成します。 |
|
|
ポリシー・ストアの構成 |
Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジのポリシー・ストアとしてOracle Internet Directory LDAPを構成します。 |
|
|
WebGateのインストール |
HTTPサーバーがすでにインストールされている各WEBHOSTマシンにWebGateをインストールします。 |
|
|
WebGateエージェントの登録 |
RREGツールを使用したWebGateエージェントの登録 |
|
|
WebLogic認証プロバイダの設定 |
構成ファイルのバックアップ、Oracle Access Manager IDアサータの設定およびプロバイダの順序設定によって、WebLogic認証プロバイダを設定します。 |
|
次の各項では、資格証明ストアおよびポリシー・ストアの構成について詳細に説明します。
Oracle Fusion Middlewareでは、WebLogicドメインで異なるタイプの資格証明ストアおよびポリシー・ストアを使用できます。ドメインでは、XMLファイルに基づくストアまたは様々なタイプのLDAPプロバイダに基づくストアを使用できます。ドメインでLDAPストアを使用する場合は、すべてのポリシー・データと資格証明データが、一元化されたストアで保持および管理されます。ただし、XMLポリシー・ストアを使用している場合、管理対象サーバーへの変更は、同じドメイン・ホームを使用していなければ管理サーバーには伝播されません。Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジでは、管理サーバーと管理対象サーバーに異なるドメイン・ホームを使用するため、整合性と一貫性を保持する目的で、LDAPストアをポリシー・ストアおよび資格証明ストアとして使用する必要があります。デフォルトでは、Oracle WebLogic Serverドメインは、ポリシー・ストアにXMLファイルを使用します。次の項では、資格証明またはポリシー用に、デフォルト・ストアをOracle Internet Directory LDAPに変更するために必要な手順について説明します。
|
注意: ポリシー・ストアと資格証明ストアのバックエンド・リポジトリは、同じ種類のLDAPサーバーを使用する必要があります。こうした一貫性を保持するために、一方のストアを再関連付けすると、他方のストアも再関連付けされることに注意してください。すなわち、Fusion Middleware ControlまたはWLSTコマンドの |
資格証明ストアは、セキュリティ・データ(資格証明)のリポジトリです。資格証明には、ユーザー名とパスワードの組合せ、チケットまたは公開鍵証明書を保持できます。資格証明は、プリンシパルをサブジェクトに移入する際の認証時、さらにはサブジェクトが実行できるアクションを決定する際の認可時に使用されます。この項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジの資格証明ストアとしてOracle Internet Directory LDAPを構成する手順について説明します。資格証明ストアの構成の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』の「資格証明ストアの構成」を参照してください。
次の各項では、資格証明ストアの構成について説明します。
安全のため、LDAP認証プロバイダを作成する前に、次の関連する構成ファイルをバックアップしておく必要があります。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/servers/AdminServer/security/boot.properties
次の手順に従って、適切な認証プロバイダを設定します。
WebLogicサーバーの管理コンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
このレルムにある「プロバイダ」タブを開きます。
このレルム用に構成したDefaultAuthenticatorプロバイダがあることを確認します。
「ロックして編集」をクリックします。
「新規」ボタンをクリックし、新しいプロバイダを追加します。
Oracle Internet Directoryを使用する場合はOIDAuthenticator、Oracle Virtual Directoryを使用する場合はOVDAuthenticatorのように、プロバイダの名前を入力します。
Oracle Internet Directoryを使用する場合は「OracleInternetDirectoryAuthenticator」タイプ、Oracle Virtual Directoryを使用する場合は「OracleVirtualDirectoryAuthenticator」タイプを、認証プロバイダのリストから選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成した認証プロバイダをクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。このフラグは、この認証プロバイダによって正常に認証されたユーザーは、その認証を受け入れたうえで、他の認証プロバイダを呼び出さないようにすることを示しています。認証に失敗した場合、そのユーザーは、チェーンにある次の順番の認証プロバイダに引き継がれます。移行のすべての認証プロバイダの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特に「DefaultAuthenticator」を確認し、その制御フラグを「SUFFICIENT」に設定します。
「保存」をクリックしてこの設定を保存します。
「プロバイダ固有」タブを開き、LDAPサーバーの詳細情報を入力します。
次の表に示すように、使用しているLDAPサーバーに固有の詳細情報を入力します。
| パラメータ | 値 | 値の説明 |
|---|---|---|
|
ホスト |
例: |
LDAPサーバーのサーバーID。 |
|
ポート |
例: |
LDAPサーバーのポート番号。 |
|
プリンシパル |
例: |
LDAPサーバーへの接続に使用されるLDAPユーザーのDN。 |
|
資格証明 |
なし |
LDAPサーバーへの接続に使用されるパスワード。 |
|
SSL有効 |
チェック済 |
LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 |
|
ユーザー・ベースDN |
例: |
ユーザーが開始時に使用するDNを指定します。 |
|
グループ・ベースDN |
例: |
グループ・ノードを指すDNを指定します。 |
|
取得したユーザー名をプリンシパルとして使用する |
チェック済 |
オンにする必要があります。 |
「保存」をクリックします。
「変更のアクティブ化」をクリックして、変更を伝播します。
OID/OVD認証プロバイダおよびデフォルト認証プロバイダを並べ替えて、それぞれの認証プロバイダの制御フラグが次のように設定されていることを確認します。
OID LDAP認証プロバイダ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
プロバイダの順序を設定する手順は次のとおりです。
WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
OID/OVD認証プロバイダおよびデフォルト認証プロバイダの制御フラグが次のように設定されていることを確認し、これらの認証プロバイダを並べ替えます。
OID LDAP認証プロバイダ(またはOVD LDAP認証プロバイダ): SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
「OK」をクリックします。
「変更のアクティブ化」をクリックして、変更を伝播します。
管理サーバーとすべての管理対象サーバーを再起動します。
この項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジでOracle WebCenter ContentのWebLogicドメインを管理するための、新規の管理ユーザーおよび管理グループのプロビジョニングの詳細について説明します。この項で説明するタスクは次のとおりです。
この項の冒頭で述べたように、複数のWebLogic Serverドメインのユーザーおよびグループは、中央のLDAPユーザー・ストアにプロビジョニングできます。そのような場合、あるWebLogic Server管理ユーザーがエンタープライズ内のすべてのドメインにアクセスできてしまうことにもなります。このような状況は好ましくありません。このような状況にならないようにするために、プロビジョニングされるユーザーおよびグループには、ディレクトリ・ツリー内で一意の識別名を付与しておく必要があります。このガイドでは、WebCenter Content WebLogic Serverドメインの管理ユーザーおよび管理グループを、次のDNでプロビジョニングします。
管理ユーザーDN:
cn=weblogic_ecm,cn=Users,dc=us,dc=mycompany,dc=com
管理グループDN:
cn=ECM Administrators,cn=Groups,dc=us,dc=mycompany,dc=com
次の手順に従って、Oracle Internet Directoryに管理ユーザーおよび管理グループをプロビジョニングします。
使用しているOracle Access Managerのバージョンに従い、次に示すコンテンツを使用してadmin_user.ldifという名前のLDIFファイルを作成し、そのファイルを保存します。
Oracle Access Manager 10g:
dn: cn=weblogic_ecm, cn=Users, dc=us, dc=mycompany, dc=com orclsamaccountname: weblogic_ecm givenname: weblogic_ecm sn: weblogic_ecm userpassword: Welcome1 obver: 10.1.4.0 mail: weblogic_ecm objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetorgperson objectclass: orcluser objectclass: orcluserV2 objectclass: oblixorgperson uid: weblogic_ecm cn: weblogic_ecm description: Admin User for the Oracle WebCenter Content Domain
Oracle Access Manager 11g:
dn: cn=weblogic_ecm, cn=Users, dc=us, dc=mycompany, dc=com orclsamaccountname: weblogic_ecm givenname: weblogic_ecm sn: weblogic_ecm userpassword: Welcome1 obver: 10.1.4.0 mail: weblogic_ecm objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetorgperson objectclass: orcluser objectclass: orcluserV2 uid: weblogic_ecm cn: weblogic_ecm description: Admin User for the Oracle WebCenter Content Domain
ORACLE_HOME/binディレクトリにあるOracle Internet Directoryホストのldapaddコマンドを実行して、Oracle Internet Directory内のユーザーをプロビジョニングします。
|
注意: ここで使用するORACLE_HOMEは、Oracle Internet DirectoryがあるIdentity ManagementインストールのORACLE_HOMEです。 |
次に例を示します。
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D cn="orcladmin" -w welcome1 -c -v -f admin_user.ldif
次に示す内容を指定してadmin_group.ldifという名前のldifファイルを作成し、保存します。
dn: cn=ECM Administrators, cn=Groups, dc=us, dc=mycompany, dc=com displayname: ECM Administrators objectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup uniquemember: cn=weblogic_ecm, cn=users, dc=us, dc=mycompany, dc=com cn: ECM Administrators description: Administrators Group for the Oracle WebCenter Content Domain
ORACLE_HOME/binディレクトリにあるOracle Internet Directoryホストのldapaddコマンドを実行して、Oracle Internet Directory内のグループをプロビジョニングします。
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D cn="orcladmin" -w welcome1 -c -v -f admin_group.ldif
Oracle Internet Directoryにユーザーおよびグループを追加したら、WebLogicドメインのセキュリティ・レルム内で、グループに管理ロールを割り当てる必要があります。これにより、そのグループに属するすべてのユーザーをそのドメインの管理者にできます。次の手順に従って、管理グループに管理ロールを割り当てます。
WebLogic管理サーバー・コンソールにログインします。
コンソールの左ペインで「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表の下の「myrealm」をクリックします。
myrealmの「設定」ページで、「ロールとポリシー」タブを開きます。
「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。「ロール」リンクをクリックすると、「グローバル・ロール」ページが開きます。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページを開きます。
「グローバル・ロールの編集」ページで、「ロール条件」表の下の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、述部のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
「引数の編集」ページで、グループ引数フィールドのECM管理者を指定し、「追加」をクリックします。
「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
この時点で、「ロール条件」表には、ECM Administrators Groupというエントリが表示されます。
「保存」をクリックして、Admin RoleをECM Administrators Groupに追加します。
Webブラウザを使用してWebLogic Server管理コンソールを開き、変更が正しく行われたことを確認します。weblogic_ecmユーザーの資格証明を使用してログインします。
|
注意: Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジの各Oracleアプリケーションには、あらかじめ定義されたロールや管理目的および監視目的で定義されたグループが存在する可能性があります。デフォルトでは、 |
管理サーバーのboot.propertiesファイルは、Oracle Internet Directoryで作成されたWebLogic管理ユーザーで更新する必要があります。次の手順に従って、boot.propertiesファイルを更新します。
SOAHOST1で、次のディレクトリに移動します。
cd ORACLE_BASE/admin/domain_name/aserver/domain_name/servers/AdminServer/security
既存の boot.properties ファイルの名前を変更します。
mv boot.properties boot.properties.backup
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。
username=weblogic_ecm password=welcome1
ファイルを保存します。
次のコマンドを使用して、管理サーバーを停止します。
wls:/nm/domain_name>nmKill("AdminServer")
管理サーバーは、第8.4.4項「SOAHOST1での管理サーバーの起動」の手順で起動します。
資格証明ストアとポリシー・ストアの再関連付けは、Fusion Middleware ControlまたはWLSTのコマンドreassociateSecurityStoreを使用し、1つの単位として実行されます。詳細な手順は、第15.2.4項「資格証明およびポリシーの再関連付け」を参照してください。
ドメイン・ポリシー・ストアは、システム固有のポリシーおよびアプリケーション固有のポリシーのリポジトリです。あるドメインには、そのドメインにデプロイされたすべてのアプリケーションで使用できるポリシーがすべて格納されたストアが1つあります。この項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジのポリシー・ストアとしてOracle Internet Directory LDAPを構成する手順について説明します。ポリシー・ストアの構成の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』の「OPSSの認可とポリシー・ストア」を参照してください。
ポリシー・ストアとして使用されるLDAPサーバー・ディレクトリ(Oracle Internet Directory)に正しくアクセスできるようにするには、サーバー・ディレクトリにノードを設定する必要があります。
Oracle Internet Directoryの管理者は、次の手順に従って、Oracle Internet Directory Serverに適切なノードを作成する必要があります。
次のDNエントリおよびCNエントリを指定して、LDIFファイル(この例ではjpstestnode.ldifと想定)を作成します。
dn: cn=jpsroot_ecm cn: jpsroot_ecm objectclass: top objectclass: OrclContainer
ルート・ノードの識別名(前述の文字列jpsroot_ecm)は、他の識別名と異なっている必要があります。1つのルート・ノードを複数のWebLogic Serverドメインで共有できます。サブツリーに対する読取りアクセス権および書込みアクセス権がOracle Internet Directory管理者に付与されていれば、このノードを最上位レベルに作成する必要はありません。
次の例で示すとおり、OIDサーバー上のldapaddコマンドを使用してOracle Internet Directoryサーバーにこのデータをインポートします。
ORACLE_HOME/bin/ldapadd -h ldap_host -p ldap_port -D cn=orcladmin -w password -c -v -f jpstestnode.ldif
次の例に示すとおり、Oracle Internet Directoryサーバー上でldapsearchコマンドを使用してノードが正常に挿入されたことを確認します。
ORACLE_HOME/bin/ldapsearch -h ldap_host -p ldap_port -D cn=orcladmin -w password -b "cn=jpsroot_ecm" objectclass="orclContainer"
Oracle Internet DirectoryをLDAPベースのポリシー・ストアとして使用する場合は、ユーティリティoidstats.sqlをINFRADBHOSTサーバーで実行し、最適なデータベース・パフォーマンスを実現するためのデータベース統計を生成します。
ORACLE_HOME/bin/sqlplus
ユーザー名にODSを入力します。ODSユーザーの資格証明を入力するよう求められます。SQL*Plus内では次のコマンドを入力して、統計情報を収集します。
@ORACLE_HOME/ldap/admin/oidstats.sql
oidstats.sqlユーティリティは、初回のプロビジョニングの後で1回のみ実行する必要があります。このユーティリティの詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』を参照してください。
ポリシー・ストアを再関連付けするには、ファイルベースまたはLDAPベースのリポジトリからLDAPベースのリポジトリにポリシー・データを移行します。つまり、再関連付けでは、格納されているデータの整合性を保持した状態でリポジトリを変更します。再関連付けでは、ソース・ポリシー・ストア内の各ポリシーに対するターゲットLDAPディレクトリが検索され、ディレクトリが検出されると、対応するポリシーが適宜更新されます。何も見つからない場合は、ポリシーがそのまま移行されるだけです。
ドメイン・ポリシー・ストアをインスタンス化した後はいつでも、ファイルベースまたはLDAPベースのポリシー・ストアを、同じデータを格納しているLDAPベースのポリシー・ストアに再関連付けできます。これをサポートするには、必要に応じてLDAPポリシー・ストアを使用するようにドメインを構成する必要があります。
資格証明ストアとポリシー・ストアの両方の再関連付けは、Oracle Enterprise Manager Fusion Middleware ControlまたはWLSTのコマンドreassociateSecurityStoreを使用して、1つの単位として実行されます。詳細な手順は、第15.2.4項「資格証明およびポリシーの再関連付け」を参照してください。
ポリシー・ストアおよび資格証明ストアをOracle Internet Directoryに再関連付けするには、WLSTのreassociateSecurityStoreコマンドを使用します。実行する手順は次のとおりです。
SOAHOST1からwlstシェルを起動します。
cd ORACLE_COMMON_HOME/common/bin
./wlst.sh
次のようにwlst connectコマンドを使用して、WebLogic管理サーバーに接続します。
構文:
connect("Admin_User","Admin_User_Password","t3://hostname:port")
次に例を示します。
connect("weblogic","welcome1","t3://ADMINVHN:7001")
次のようにreassociateSecurityStoreコマンドを実行します。
構文:
reassociateSecurityStore(domain="domain_name",admin="cn=orcladmin", password="orclPassword",ldapurl="ldap://LDAP_HOST:LDAP_PORT",servertype="OID", jpsroot="cn=jpsroot_ecm")
例:
wls:/domain_name/serverConfig>reassociateSecurityStore(domain="domain_name", admin="cn=orcladmin",password="welcome1",ldapurl="ldap://oid.mycompany.com:389",servertype="OID",jpsroot="cn=jpsroot_ecm")
このコマンドの出力は次のようになります。
{servertype=OID,jpsroot_ecm=cn=jpsroot_ecm_idm_idmhost1,admin=cn=orcladmin,
domain=IDMDomain,ldapurl=ldap://oid.mycompany.com:389,password=welcome1}
Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root.
For more help, use help(domainRuntime)
Starting Policy Store reassociation.
LDAP server and ServiceConfigurator setup done.
Schema is seeded into LDAP server
Data is migrated to LDAP server
Service in the server after migration has been tested to be available
Update of jps configuration is done
Policy Store reassociation done.
Starting credential Store reassociation
LDAP server and ServiceConfigurator setup done.
Schema is seeded into LDAP server
Data is migrated to LDAP server
Service in LDAP server after migration has been tested to be available
Update of jps configuration is done
Credential Store reassociation done
Starting keystore reassociation
The server and ServiceConfigurator setup done.
Schema is seeded into the server
Data is migrated to the server
Service in the server after migration has been tested to be available
Update of jps configuration is done
keystore reassociation done
Jps Configuration has been changed. Please restart the server.
コマンドが正しく実行されたら、管理サーバーを再起動します。
管理サーバーを再起動するには、第8.4.4項「SOAHOST1での管理サーバーの起動」の手順を使用します。
|
注意: 資格証明およびポリシーの変更を有効にするには、ドメインのサーバーを再起動する必要があります。 |
検索フィルタで使用するOracle Internet Directoryの属性には、索引を付ける必要があります。索引付けは、パフォーマンス向上のために使用するオプションの手順です。このOIDでまだ実行していない場合は、catalogツールを使用して属性に索引を付けます。
catalog connect="orcl" add=true attribute="orclrolescope" verbose="true"
オプションで、属性名を次のようにファイルに入力して、バッチで処理することもできます。
orclrolescope orclassignedroles orclApplicationCommonName orclAppFullName orclCSFAlias orclCSFKey orclCSFName orclCSFDBUrl orclCSFDBPort orclCSFCredentialType orclCSFExpiryTime modifytimestamp createtimestamp orcljpsassignee
OID属性の索引付けの詳細は、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』を参照してください。
この項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジのシングル・サインオン・ソリューションとしてOracle Access Manager 10gを設定する方法について説明します。この章には次の項目があります。
Oracle Access Managerは、Oracle Fusion Middleware 11gリリース1で推奨されるシングル・サインオン(SSO)ソリューションです。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この項では、既存のOracle Access Manager 10gインストールおよびその基礎となるディレクトリ・サービスを使用してOracle WebCenter Contentのインストールを構成する手順について説明します。Oracle Internet DirectoryまたはOracle Virtual Directoryのいずれか、あるいは両方のディレクトリ・サービスを使用することをお薦めします。
|
注意: このガイドに記載されているOracle WebCenter Contentエンタープライズ・デプロイメント・トポロジでは、Oracle WebCenter Contentシステムおよびシングル・サインオン・システムの両方が同じネットワーク・ドメイン(mycompany.com)に存在する状態で、シングル・サインオン構成を使用します。マルチ・ドメイン構成については、『Oracle Access Managerアクセス管理ガイド』のシングル・サインオン構成に関する項に記載されている、必須の構成手順を参照してください。 |
Oracle Access Managerの設定では、既存のOracle Access Manager 10gインストールにAccess Managerおよびポリシー・マネージャを保護するポリシーが完備されていることを前提とします。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この設定には、スタンドアロンのOracle Internet DirectoryまたはOracle Virtual Directory構成の一部としてのOracle Internet Directoryのいずれかのディレクトリ・サービスが含まれています。この項では、Oracle Internet DirectoryとOracle Virtual Directoryのいずれかでエンタープライズ・デプロイメントを構成するために必要な手順について説明します。
また、Oracle Access Managerインストールには、Webゲートを使用するように構成された独自のWebサーバーが必要です。この項では、Oracle Access Manager Webサーバーを委任認証サーバーとして使用するための手順も説明します。
この項の項目は次のとおりです。
OAM構成ツール(oamcfg)は、一連のスクリプトを起動してOracle Access Managerに必要なポリシーを設定します。そのためには、入力情報として様々なパラメータが必要となります。具体的には次の項目が作成されます。
Oracle Access Managerのフォーム認証スキーム
Oracle WebLogic Serverでの認証を可能にするポリシー
Oracle HTTP ServerのWebゲートが(Web層から)構成済アプリケーションを保護できるようにするOracle Access ManagerのWebゲート・エントリ
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
アプリケーション固有のURLを保護するポリシーおよび保護対象としないポリシー
OAM構成ツールを実行するために収集または事前に準備する情報は次のとおりです。
パスワード: セキュアなパスワードを作成します。このパスワードは、この後に作成するWebGateインストールのパスワードとして使用します。
LDAPホスト名: ディレクトリ・サーバーのホスト名またはロード・バランサのアドレス(高可用性またはエンタープライズ・デプロイメントの構成の場合)。
LDAPポート: ディレクトリ・サーバーのポート。
LDAPユーザーのDN: LDAP管理ユーザーのDN。これは、cn=orcladminなどの値になります。
LDAPパスワード: LDAP管理ユーザーのパスワード。
oam_aaa_host: Oracle Access Managerのホスト名。
oam_aaa_port: Oracle Access Managerのポート。
OAM構成ツールを実行する前に、Oracle WebCenter ContentコンポーネントのOracle Access Manager 10gに必要なリソースを追加する必要があります。次のコンテンツを使用して保護が必要なURIのリストを含むファイルを作成します。
######################################### #Product Name: Oracle WebCenter Content ######################################### ######################################### protected_uris ######################################### /adfAuthentication /imaging/faces /em /console /DefaultToDoTaskFlow /sdpmessaging/userprefs-ui /integration/worklistapp /workflow/sdpmessagingsca-ui-worklist /soa/composer /soa-infra/deployer /soa-infra/events/edn-db-log /soa-infra/cluster/info #"Policy using Basic Authn Scheme" is the name of the policy #"Basic Over LDAP" is the authentication scheme configured for this #policy # Note that the name of the policy and the scheme name in the URIs file # is tab-separated. In other words, there must be a tab between # "Basic Authn Scheme" and "OraDefaultBasicAuthNScheme" below. Policy using Basic Authn Scheme OraDefaultBasicAuthNScheme /inspection.wsil ######################################### public_uris ######################################### /soa-infra/services /soa-infra/directWSDL
|
注意: Oracle Access Manager 10gでは、URL接頭辞に含まれるすべてのリソースは、ポリシーを使用したより個別性の高いルールが適用されている場合を除いて、ポリシー・ドメインのデフォルト・ルールによって保護されます。より専門的な保護パターンを使用する必要がある場合に使用できる別パターンの詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。 |
OAM構成ツールは、ORACLE_COMMON_HOME/modules/oracle.oamprovider_11.1.1ディレクトリ(ORACLE_COMMON_HOMEはOAM構成ツールを実行するマシンにより異なる)にあります。このツールは、必要なインストール・ファイルがあればすべてのマシンから実行できます。ここではWCCHOST1から実行します。次のとおりに(すべて1行のコマンド・ラインで)、Oracle Access Manager 10g登録用のOAM構成ツールを実行してください。
MW_HOME/jrockit_160_version/bin/java -jar oamcfgtool.jar mode=CREATE app_domain="ECM_EDG" uris_file="full_path_to_file_containing_uri_definitions" app_agent_password=password_to_be_provisioned_for_App_Agent ldap_host=OID.MYCOMPANY.COM ldap_port=389 ldap_userdn="cn=orcladmin" ldap_userpassword=Password_of_LDAP_admin_user oam_aaa_host=OAMHOST1 oam_aaa_port=OAMPORT1
コマンドが正常に実行された場合、次のような出力が得られます。
Date,Time oracle.security.oam.oamcfg.OAMCfgGlobalConfigHandler constructGlobalConfig INFO: Processed input parameters May 9, 2011 5:09:40 AM oracle.security.oam.oamcfg.OAMCfgGlobalConfigHandler constructGlobalConfig INFO: Initialized Global Configuration Date,Time oracle.security.oam.oamcfg.create.impl.OAMCfgConfigCreator doCreate INFO: Successfully completed the Create operation. Date,Time oracle.security.oam.oamcfg.create.impl.OAMCfgConfigCreator doCreate INFO: Operation Summary: Date,Time oracle.security.oam.oamcfg.create.impl.OAMCfgConfigCreator doCreate INFO: Policy Domain : ECM_EDG Date,Time oracle.security.oam.oamcfg.create.impl.OAMCfgConfigCreator doCreate INFO: Host Identifier: ECM_EDG Date,Time oracle.security.oam.oamcfg.create.impl.OAMCfgConfigCreator doCreate INFO: Access Gate ID : ECM_EDG_AG
Oracle Access Managerのログアウトのガイドラインに準拠するために、Oracle WebCenter ContentおよびOracle WebCenter Content: Imagingによって実行されるアプリケーション(特に、/adfAuthentication?logout=true&end_url=some_URIを使用してログアウトを実行するアプリケーション)では、Oracle Access Manager 10g環境との統合に、Webゲート上でend_urlを処理する追加構成が必要になります。この構成を追加しない場合、ログアウトしても、Oracle Access Manager 10gのWebゲートでend_urlが処理されないので、終了URLへのリダイレクトが行われません。構成手順の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』を参照してください。
Oracle WebCenter ContentとOracle Access Manager 10gを統合する際には、URL /oamsso/logout.htmlをアクセス・ゲートのログアウトURL設定に追加して、シングル・サインオン・ログアウトが適切に動作するようにします。詳細は、『Oracle Access Managerアクセス管理ガイド』のシングル・サインオン・ログアウトURLの構成に関する項およびアクセス・ゲート構成のパラメータに関する項を参照してください。
ポリシー・ドメインの確認
ポリシー・ドメインを検証する手順は次のとおりです。
Oracle Access Managerにログインします。
http://OAMADMINHOST:port/access/oblix/
「ポリシー・マネージャ」をクリックします。
左側のパネルで「ポリシー・ドメイン」リンクをクリックします。先ほど作成したドメインを含むすべてのポリシー・ドメインのリストが表示されます。その接尾辞は_PD(たとえば、ECM_EDG_PD)となります。3番目の列(「URL接頭辞」)には、このドメインの作成時に指定したURIも表示されます。
作成したポリシー・ドメインへのリンクをクリックすると、このドメインの「一般」領域が表示されます。
「リソース」タブを開くと、指定したURIが表示されます。他のタブをクリックし、他の設定を表示することもできます。
AccessGate構成を検証する手順は次のとおりです。
右上にある「アクセス・システム・コンソール」リンクをクリックします(これはトグルのように動作するので、クリックした後は「ポリシー・マネージャ」リンクになります)。
「アクセス・システム構成」タブを開きます。
左のパネルにある「アクセス・ゲート構成」リンクをクリックします。
検索条件にECM_EDGと入力(または、第15.3.3.2項「OAM構成ツールの実行」でapp_domain名として使用したその他のサブストリングを入力)し、「実行」をクリックします。
作成したドメインのアクセス・ゲート(ECM_EDG_AGなど、接尾辞に_AGが付されています)が表示された場合は、それをクリックすることで、作成したアクセス・ゲートの詳細を参照できます。
Cookieを使用しない基本認証スキームが適切に割り当てられていることを確認する手順は次のとおりです。
Oracle Access Managerにログインします。
http://OAMADMINHOST:port/access/oblix/
「ポリシー・マネージャ」をクリックします。
左側のパネルで「ポリシー・ドメイン」リンクをクリックします。作成したポリシー・ドメインのリストが表示されます。
「ECM_EDG」をクリックします。
ポリシータブを開いて、Policy using Basic Authn Schemeをクリックします。
一般セクションを開きます。
inspection.wsilリソースがリストされる必要があります。
認証ルールセクションを開きます。
OraDefaultBasicAuthNScheme認証スキームがリストされる必要があります。
OAM構成ツールは、app_domainパラメータの値を使用してポリシー・ドメインのホスト識別子を作成します。構成が正常に機能するためには、ホストに対するすべてのホスト名バリエーションを反映してホスト識別子を更新する必要があります。
OAM構成ツールで作成したホスト識別子を更新する手順は次のとおりです。
Webブラウザで次のURLを指定し、アクセス・システム・コンソールに移動します。
http://host_name:port/access/oblix
host_nameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力が要求されたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブを開きます。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、OAM構成ツールで作成したホスト識別子(ECM_EDGなど)をクリックします。
「ホスト識別子詳細」ページで「変更」をクリックします。
アクセス・システム構成で使用される「優先HTTPホスト」値を追加します。次のリストは、SSO/WebGateを使用した場合にホスト名として考えられるバリエーションのすべてを示しています。
webhost1.mydomain.com:7777 webhost2.mydomain.com:7777 soahost1vhn1.mycompany.com:8001 soahost2vhn1.mycompany.com:8001 soainternal.mycompany.com:80 wcchost1vhn1.mycompany.com:16000 wcchost2vhn1.mycompany.com:16000 wcchost1.mycompany.com:16200 wcchost2.mycompany.com:16200 wcc.mycompany.com:443 wccinternal.mycompany.com:80 admin.mycompany.com:80 adminvhn.mycompany.com:7001 sso.mycompany.com:7779 [WebGate access with Oracle IDM port]
「キャッシュの更新」チェック・ボックスを選択し、「保存」をクリックします。
メッセージ・ボックスが表示され、「現時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」というメッセージが伝えられます。
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで変更内容を確認します。
OAM構成ツールでは、app_domainパラメータの値で作成したWebGateプロファイルのPreferred_HTTP_Hostおよびホスト名属性に値が移入されます。正しく機能する構成とするには、この2つの属性の両方を適切な値で更新する必要があります。
OAM構成ツールで作成したWebGateプロファイルを更新する手順は次のとおりです。
Webブラウザで次のURLを指定し、アクセス・システム・コンソールに移動します。
http://host_name:port/access/oblix
host_nameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで「アクセス・システム構成」をクリックし、左側のペインで「アクセス・ゲート構成」リンクをクリックし、アクセス・ゲート検索ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
OAM構成ツールで作成したアクセス・ゲート(ECM_EDG_AGなど)を選択します。
「アクセス・ゲート詳細」ページで、「変更」を選択し、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次を更新します。
ホスト名: WebGateを実行しているコンピュータの名前にホスト名を更新します(webhost1.mycompany.comなど)。
優先HTTPホスト: Preferred_HTTP_Hostを、前述の項で指定したホスト名バリエーションの1つに更新します(admin.mycompany.com:80など)。
プライマリHTTP Cookieドメイン: ホスト識別子のドメイン接尾辞(mycompany.comなど)でプライマリHTTP Cookieドメインを更新します。
「保存」をクリックします。
メッセージ・ボックスが表示され、「これらの変更をコミットしますか。」というメッセージが伝えられます。
「OK」をクリックして、構成の更新を終了します。
「アクセス・ゲートの詳細」ページに表示される値を確認し、正常に更新されたことを確認します。
WebGateにアクセス・サーバーを割り当てる手順は次のとおりです。
管理者としてアクセス・システム・コンソールにログインします。
必要に応じて、「アクセス・ゲート」ページの「詳細」に移動します。アクセス・システム・コンソールから、「アクセス・システム構成」を選択して「アクセス・ゲート構成」を選択し、WebGateのリンク(ECM_EDG_AG)を選択します。
「アクセス・ゲート」ページの「詳細」で、「アクセス・サーバーをリスト」をクリックします。
ページが開き、このWebGateに現在構成されているプライマリ・アクセス・サーバーまたはセカンダリ・アクセス・サーバーが表示されます。
「追加」をクリックします。
「新規アクセス・サーバーの追加」ページで、「サーバーの選択」リストから「アクセス・サーバー」を選択して、「プライマリ・サーバー」を指定し、WebGateの2つの接続を定義します。
「追加」ボタンをクリックすると、関連付けが完了します。
ページが開き、アクセス・サーバーとWebGateが関連付けられていることが示されます。リンクをクリックすると概要が表示されます。後で使用する場合に備えてこのページを印刷しておきます。
手順3~6を繰り返して、さらに多くのアクセス・サーバーをWebGateに関連付けます。
Oracle Access ManagerインストールとともにインストールしたWebGateにリダイレクトするようにフォーム認証を構成する手順は次のとおりです。
「アクセス・システム・コンソール」を開きます。
「アクセス・システム構成」画面で、左側のバーから「認証管理」を選択します。
「OraDefaultFormAuthNScheme」を選択します。
「変更」をクリックします。
「チャレンジ・リダイレクト」フィールドで、IDMインストールのホストとポートを入力します(http://sso.mycompany.comなど)。作業が終了したら、「保存」をクリックします。
IDMインストールにすでにWebGateがインストールされている必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
Web層を保護するために、次の手順を実行して、WEBHOST1とWEBHOST2の両方にWebゲートをインストールする必要があります。
|
注意: Oracle Access Managerのインストーラには既知の不具合があり、Linuxではインストール中にハングすることがあります。これはInstallShieldにより発生するサードパーティ問題です。この問題を回避する手順は次のとおりです。
|
WEBHOSTn上で次のコマンドを使用して、WebGateインストーラ(取得場所の詳細は、第2.4項「インストールするソフトウェア・コンポーネントの特定」を参照)を起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate –gui
「ようこそ」画面で、「次へ」をクリックします。
「顧客情報」画面(図15-1)で、Webサーバーを実行しているユーザー名とユーザー・グループを入力します。「次へ」をクリックして続行します。
インストール先画面(図15-2)で、WebGateをインストールするディレクトリを指定します。「次へ」をクリックして続行します。
インストールの概要の画面で「次へ」をクリックします。
WebGate構成画面(図15-3)の説明に従って、WebGateに必要なGCCランタイム・ライブラリをダウンロードし、「参照」を使用して、このGCCランタイム・ライブラリのローカル・コンピュータ上の場所を指定します。「次へ」をクリックして続行します。
この段階で、インストーラにより必要なアーティファクトが作成されます。作成が完了したら、「次へ」をクリックして続行します。
「トランスポート・セキュリティ・モード」画面(図15-4)で、「オープン・モード: 暗号化なし」を選択し、「次へ」をクリックして続行します。
WebGate構成画面で、使用するアクセス・サーバーの詳細を入力します。入力する情報は次のとおりです。
WebGate ID: OAM構成ツールを実行したときの指定のID
WebGateのパスワード
アクセス・サーバーID: Oracle Access Manager Access Server構成から報告されたもの
アクセス・サーバー・ホスト名: Oracle Access Manager Access Server構成から報告されたもの
アクセス・サーバー・ポート番号: Oracle Access Manager Access Server構成から報告されたもの
|
注意: アクセス・サーバーのID、ホスト名およびポートは、すべて入力が必須の項目です。 |
これらの詳細は、Oracle Access Manager管理者から取得できます。「次へ」をクリックして続行します。
「Webサーバーの構成」画面で「はい」をクリックすると、自動的にWebサーバーが更新されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。このファイルは、次のディレクトリに格納されています。
ORACLE_BASE/admin/OHS_Instance/config/OHS/OHS_Component_Name
例:
/u01/app/oracle/admin/ohs_instance2/config/OHS/ohs2/httpd.conf
「次へ」をクリックして続行します。
表示された「Webサーバーの構成」ページに、Webサーバー構成がWebGate向けに変更されたことを示すメッセージが示されます。「はい」をクリックして確認します。
Webサーバーをいったん停止してから再起動し、構成の更新を有効にします。「次へ」をクリックして続行します。
次の「Webサーバーの構成」画面で、次のメッセージが表示されます。: WebサーバーがSSLモードで設定されている場合は、SSL関連のパラメータでhttpd.confファイルを構成する必要があります。SSLの構成を手動で調整するには、表示される説明に従ってください。.
「次へ」をクリックして続行します。
次の「Webサーバーの構成」画面に、製品設定とWebサーバーの構成の残りの部分に関する情報が記載されているドキュメントの場所を示すメッセージが表示されます。「いいえ」を選択し、「次へ」をクリックして続行します。
最後の「Webサーバーの構成」画面が表示されます。Webサーバーの構成に関する詳細情報を得るには、手動でブラウザを起動し、該当のHTMLドキュメントを開くように指示するメッセージが表示されます。「次へ」をクリックして続行します。
「Oracle COREid Readme」画面が表示されます。画面の情報を確認し、「次へ」をクリックして続行します。
正常にインストールが完了したことを示すメッセージが、インストールの詳細とともに表示されます。
IP検証では、クライアントのIPアドレスとシングル・サインオンで生成されるObSSOCookieというCookieに格納されているIPアドレスが同じであるかどうかを確認します。IP検証では、IPターミネーションの実行用に構成されたロード・バランサ・デバイスを使用するシステムで問題が発生するか、あるいはエンタープライズ・デプロイメントのフロントエンドとは異なるロード・バランシング・ルーター(LBR)またはプロキシがフロントエンドとなるWebGateを認証する際に問題が発生する可能性があります。
次の場合には、エンタープライズ・デプロイメントのLBRまたはプロキシは検証されません。
「アクセス・システム・コンソール」を開いて、次のURLに管理者としてログインします。
http://host_name:port/access/oblix
host_nameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックし、左側のペインで「アクセス・ゲート構成」リンクをクリックし、アクセス・ゲート検索ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
OAM構成ツールによって作成されたアクセス・ゲートを選択します。
ページの一番下にある「変更」をクリックします。
「IPValidationException」フィールドで、エンタープライズ・デプロイメントのフロントエンドになるロード・バランサまたはプロキシのIPアドレスを入力します。
ページの一番下にある「保存」をクリックします。
この項では、第15.2.2.1項「LDAP認証プロバイダの作成」の手順に従ってLDAP認証プロバイダをすでに設定していることを想定しています。まだLDAP認証を作成していない場合は、それを作成してからこの項の続きを実行してください。
この項の項目は次のとおりです。
まず、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/
system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
OAM IDアサータを設定するには:
WebLogicコンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAMIdentityAsserter」を選択します。
アサータに名前(OAM ID Asserterなど)を付け、「OK」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「プロバイダ固有」タブを開き、必要な設定を次のように構成します。
プライマリ・アクセス・サーバー: Oracle Access Managerサーバーのエンドポイント情報を「host:port」という形式で指定します。
アクセス・ゲート名: アクセス・ゲートの名前(ECM_EDG_AGなど)。
アクセス・ゲートのパスワード: アクセス・ゲートのパスワード(オプション)。
設定を保存します。
OAMアイデンティティ・アサータ、OID/OVD認証プロバイダおよびデフォルト認証プロバイダの制御フラグが次のように設定されていることを確認し、これらの認証プロバイダを並べ替えます。
OAMアイデンティティ・アサータ: REQUIRED
OID LDAP認証プロバイダ(またはOVD LDAP認証プロバイダ): SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
DefaultIdentityAsserter
並替えの実行後、設定を保存し、変更を有効化してからすべてのサーバーを再起動します。
|
注意: 新規のユーザーに対しては、必ず新規の資格証明を作成してください。詳細は、第11.17項「BPEL CSF資格証明の構成」を参照してください。(このマニュアルでは、SSOの例として |
この項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジのシングル・サインオン・ソリューションとしてOracle Access Manager 11gを設定する方法について説明します。この章には次の項目があります。
Oracle Fusion Middleware 11g リリース1の推奨シングル・サインオン・ソリューションはOracle Access Managerです。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この項では、既存のOracle Access Manager 11gインストールおよびその基礎となるディレクトリ・サービスで、Oracle WebCenter Contentのインストールを構成する手順について説明します。Oracle Internet Directory(OID)またはOracle Virtual Directory(OVD)のいずれか、あるいはこの両方のディレクトリ・サービスの使用をお薦めします。
|
注意: このガイドに記載されているOracle WebCenter Contentエンタープライズ・デプロイメント・トポロジでは、Oracle WebCenter Contentシステムおよびシングル・サインオン・システムの両方が同じネットワーク・ドメイン(mycompany.com)に存在する状態で、シングル・サインオン構成を使用します。マルチ・ドメイン構成については、『Oracle Access Managerアクセス管理ガイド』のシングル・サインオン構成に関する項に記載されている、必須の構成手順を参照してください。 |
Oracle Access Managerの設定では、既存のOracle Access Manager 11gインストールにAccess Managerおよびポリシー・マネージャを保護するポリシーが完備されていることを前提とします。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この設定には、スタンドアロンのOracle Internet DirectoryまたはOracle Virtual Directory構成の一部としてのOracle Internet Directoryのいずれかのディレクトリ・サービスが含まれています。この項では、Oracle Internet DirectoryとOracle Virtual Directoryのいずれかでエンタープライズ・デプロイメントを構成するために必要な手順について説明します。
また、Oracle Access Managerインストールには、Webゲートを使用するように構成された独自のWebサーバーが必要です。この項では、Oracle Access Manager Webサーバーを委任認証サーバーとして使用するための手順も説明します。
Oracle HTTPサーバーがすでにインストールされている各WEBHOSTマシン上でWebGateを設定する必要があります。デプロイメント環境の各WEBHOSTnに対して、(UNKNOWN STEP NUMBER)および(UNKNOWN STEP NUMBER)を繰り返す必要があります。
この項の項目は次のとおりです。
WebGateをインストールする前に、マシンにサード・パーティGCCライブラリをダウンロードおよびインストールする必要があります。次のサード・パーティのWebサイトから適切なGCCライブラリをダウンロードできます。
http://gcc.gnu.org
32ビットのLinuxの場合、必要なライブラリはバージョン番号3.3.2のlibgcc_s.so.1およびlibstdc++.so.5になります。表15-3は、サード・パーティのGCCライブラリでLinuxおよびSolarisに対応するバージョンを示しています。
この項では、WebGateをインストールする手順を説明します。
インストーラの起動
Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストーラ・プログラムはwebgate.zipファイルに含まれています。
インストール・ウィザードを開始するには:
webgate.zipファイルのコンテンツを、ディレクトリに解凍します。デフォルトでは、このディレクトリにはwebgateという名前が付けられています。
webgateディレクトリの下のDisk1ディレクトリに移動します。
MW_HOME環境変数をWeb層のミドルウェア・ホームに設定します。
export MW_HOME=ORACLE_BASE/product/fmw/web
次のコマンドを使用し、インストーラを開始します。
$ ./runInstaller -jreLoc MW_HOME/jdk
|
注意: Oracle HTTP Serverをインストールすると、ミドルウェア・ホーム・ディレクトリの下に |
インストーラが起動すると、「ようこそ」画面が開きます。
インストール・フローおよび手順
インストール画面の詳細なヘルプが必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプにアクセスします。
Oracle HTTP Server 11g Webgate for Oracle Access Managerをインストールするには:
「ようこそ」画面で、「次へ」をクリックします。
「前提条件のチェック」画面で、「次へ」をクリックします。
「インストール場所の指定」画面で、Oracleミドルウェア・ホームとOracleホーム・ディレクトリの場所を指定します。
ORACLE_BASE/product/fmw
Oracle_OAMWebGate1 (デフォルト名のまま)
|
注意: ミドルウェア・ホームには、Oracle Web層のOracleホームが含まれます。このOracleホーム・ディレクトリのデフォルト名はOracle_OAMWebGate1で、これはミドルウェア・ホームの下に作成されます。 |
「次へ」をクリックします。
GCCライブラリの指定画面で、GCCライブラリが含まれるディレクトリを指定し、「参照」をクリックして、使用しているローカル・コンピュータ上のライブラリの場所に移動し(第15.4.3.1項「GCCライブラリのインストール」を参照)、「次へ」をクリックします。
「インストール・サマリー」画面で情報を確認し、「インストール」をクリックしインストールを開始します。
「インストールの進行状況」画面で、ファイルおよびディレクトリに対して正しい権限を設定するために、ORACLE_HOME/oracleRoot.shスクリプトの実行を求められる場合があります。
「次へ」をクリックして続行します。
「インストール 完了」画面で、「終了」をクリックしてインストーラを終了します。
Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストール後、次の手順を完了します。
Oracleホーム下のWebgateの次のディレクトリの下に移動します。
$ cd Webgate_Oracle_Home/webgate/ohs/tools/deployWebGate
Webgate_Oracle_Homeは、Oracle HTTP Server Webgateをインストールし、WebgateのOracleホームとして作成したディレクトリです。次の例を参照してください。
MW_HOME/Oracle_OAMWebGate1
|
注意: デフォルトでは、Oracle_OAMWebGate1になります。 |
コマンド・ラインで次のコマンドを実行し(1行で)、Webgate_Oracle_HomeディレクトリからWebgateインスタンスの場所にエージェントの必要な部分をコピーします。
$ ./deployWebGateInstance.sh -w ORACLE_BASE/admin/webN/config/OHS/ohsN
-oh Webgate_Oracle_Home
ORACLE_BASE/admin/webN/config/OHS/ohsNディレクトリは、Oracle HTTP Serverのインスタンス・ホームになります(Nはインストールごとに付される連番で、1番目はWEBHOST1、2番目はWEBHOST2などとなります)。
|
注意: Oracle HTTP Serverのインスタンス・ホームはOracle HTTP Serverの構成後に作成されます。 |
次のコマンドを実行し、LD_LIBRARY_PATH変数にOracle_Home_for_Oracle_HTTP_Server/libが含まれることを確認します。
$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:ORACLE_BASE/product/fmw/webN/lib
現在の作業ディレクトリから1レベル上位のディレクトリに移動します。
$ cd Webgate_Oracle_Home/webgate/ohs/tools/setup/InstallTools
コマンドラインで次のコマンドを実行し(1行で)、Webgate_Oracle_HomeディレクトリからWebgateインスタンスの場所(webgate.confに名前が変更されている)にapache_webgate.templateをコピーし、httpd.confファイルにwebgate.confの名前を追加する1行を追加して更新をかけます。
$ ./EditHttpConf -w ORACLE_BASE/admin/webN/config/OHS/ohsN [-oh Webgate_Oracle_Home]
[-o output_file]
|
注意:
|
コマンド内のWebGate_Oracle_Homeは、Oracle Access Manager用のOracle HTTP Server Webgateをインストールし、WebgateのOracleホームとして作成したディレクトリです。次の例を参照してください。
MW_HOME/Oracle_OAMWebGate1
ORACLE_BASE/admin/webN/config/OHS/ohsNディレクトリは、Oracle HTTP Serverのインスタンス・ホームになります(Nはインストールごとに付される連番で、1番目はWEBHOST1、2番目はWEBHOST2などとなります)。
output_fileの値は、ツールによって使用された一時出力ファイルの名前です。次の例を参照してください。
Edithttpconf.log
この項では、WebGateエージェントを登録する手順を説明します。
RREGツールは、Oracle Access Manager 11gインストールに付属しています。見つからない場合は、次の手順を使用して抽出します。
Oracle Access Managerのインストールおよび構成後、次の場所に移動します。
IDM_Home/oam/server/rreg/client
コマンドラインから、次の例のとおり、gunzipを使用してRREG.tar.gzファイルを解凍します。
gunzip RREG.tar.gz tar -xzvf RREG.tar
RREG_HOME/binディレクトリにあるoamreg.shスクリプトを編集し、設定に応じてOAM_REG_HOMEパラメータを変更します。
OAM_REG_HOME=RREG_Home
(RREG_Homeは、RREG.tar.gzおよびrregの内容を展開したディレクトリです。)
スクリプト・ファイルを保存します。
RREG構成ツールは、保護されているリソースやパブリック・リソースをOracle Access Managerシステムに登録する手段を提供します。保護されているリソースのうちOracle Access Managerシステムに追加されるものを次にリストします。
/adfAuthentication /adfAuthentication/…/* /imaging/faces /imaging/faces/…/* /em /em/…/* /console /console/…/* /DefaultToDoTaskFlow /DefaultToDoTaskFlow/…/* /sdpmessaging/userprefs-ui /sdpmessaging/userprefs-ui/…/* /integration/worklistapp /integration/worklistapp/…/* /workflow/sdpmessagingsca-ui-worklist /workflow/sdpmessagingsca-ui-worklist/…/* /soa/composer /soa/composer/…/* /soa-infra /soa-infra/.../* /soa-infra/deployer /soa-infra/deployer/…/* /soa-infra/events/edn-db-log /soa-infra/events/edn-db-log/…/* /soa-infra/cluster/info /soa-infra/cluster/info/…/* /inspection.wsil /inspection.wsil/…/*
パブリック・リソースのリストは次のとおりです。
/cs /cs/…/* /_ocsh /_ocsh/…/* /imaging /imaging/…/* /soa-infra/services/.../* /soa-infra/directWSDL /soa-infra/directWSDL/…/* /ucs/messaging/webservice /ucs/messaging/webservice/…/*
リストの「/…/*」は、URLの基本的なコンテキストの下にあるすべてのリソースを表します。
oamregツールを実行する前に、Oracle WebCenter ContentコンポーネントのOracle Access Manager 11gに必要なリソースを追加する必要があります。必要なリソースは、第15.4.4.1項「RREGツールの解凍および使用」にリストされています。
RREG_Home/inputディレクトリには、OAM11gRequest.xmlという名前の一時ファイルが含まれています。このファイルをWCCOAM11gRequest.xmlにコピーし、コピーしたファイルを編集してOracle WebCenter Contentインストールのポリシーを作成します。
|
注意: OAM_HOST、OAM_ADMINSERVER_PORT、WCC_EDG_AGENTおよびWCC_EDG_DOMAINを、インストールにおけるそれぞれの値に置換します。 |
編集後のファイルは次のようになります。
<?xml version="1.0" encoding="UTF-8"?>
<OAM11GRegRequest>
<serverAddress>http://OAM_HOST:OAM_ADMINSERVER_PORT</serverAddress>
<agentName>WCC_EDG_AGENT</agentName>
<applicationDomain>WCC_EDG_DOMAIN</applicationDomain>
<cachePragmaHeader>private</cachePragmaHeader>
<cacheControlHeader>private</cacheControlHeader>
<ipValidation>1</ipValidation>
<ValList ListName="ipValidationExceptions">
<ValListMember Value="10.1.1.1"/>
</ValList>
<logOutUrls>
<url>/oamsso/logout.html</url>
</logOutUrls>
<protectedResourcesList>
<resource>/adfAuthentication</resource>
<resource>/imaging/faces</resource>
<resource>/em</resource>
<resource>/console</resource>
<resource>/DefaultToDoTaskFlow</resource>
<resource>/sdpmessaging/userprefs-ui</resource>
<resource>/integration/worklistapp</resource>
<resource>/workflow/sdpmessagingsca-ui-worklist</resource>
<resource>/soa/composer</resource>
<resource>/soa-infra/deployer</resource>
<resource>/soa-infra/events/edn-db-log</resource>
<resource>/soa-infra/cluster/info</resource>
<resource>/inspection.wsil</resource>
<resource>/soa-infra</resource>
</protectedResourcesList>
<publicResourcesList>
<resource>/cs</resource>
<resource>/_ocsh</resource>
<resource>/imaging</resource>
<resource>/soa-infra/directWSDL</resource>
<resource>/ucs/messaging/webservice</resource>
</publicResourcesList>
<userDefinedParameters>
<userDefinedParam>
<name>filterOAMAuthnCookie</name>
<value>false</value>
</userDefinedParam>
</userDefinedParameters>
</OAM11GRegRequest>
|
注意:
|
次のコマンドを使用し、oamregツールを実行します。
$ ./RREG_Home/bin/oamreg.sh inband input/WCCOAM11gRequest.xml
実行すると次のように表示されます。
------------------------------------------------ Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/app/oracle/product/fmw/iam/oam/server/rreg/client/rreg/input/WCCOAM11GRequest.xml Enter admin username:oamadmin Username: your_oamadmin_user Enter admin password: your_oamadmin_password Do you want to enter a Webgate password?(y/n): y Enter webgate password: your_webgate_password Enter webgate password again: your_webgate_password Password accepted. Proceeding to register.. Apr 18, 2011 12:22:36 PM oracle.security.am.engines.rreg.client.handlers.request.OAM11GRequestHandler getWebgatePassword INFO: Passwords matched and accepted. Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WCC_EDG_AGENT URL String:WCC_EDG_AGENT Registering in Mode:inband Your registration request is being sent to the Admin server at: http://oamserver.mycompany.com:7001 ---------------------------------------- Inband registration process completed successfully! Output artifacts are created in the output folder.
デフォルトでは、inspection.wsilリソースは、フォーム認証スキームを使用するように設定されています。このワークフローとOracle WebCenter Content: Imagingの間の接続が機能するようにするには、次に示すように、このリソースが基本認証スキームを使用するように更新する必要があります。
http://OAM_HOST:OAM_ADMINSERVER_PORT/oamconsoleにあるOracle Access Managerコンソールにログインします。
左側のアプリケーション・ツリーを使用して、「アプリケーション・ドメイン」を選択し、アプリケーション・ドメイン名を選択して、作成したアプリケーション・ドメイン(WCC_EDG_DOMAIN)に移動します。
使用しているアプリケーション・ドメイン名を開きます。
「認証ポリシー」を開きます。
保護されているリソース・ポリシーをダブルクリックします。
inspection.wsilおよびinspection.wsil/.../*のリソースを選択し、「リソース」ペインにある「削除」アイコンをクリックしてそれらを削除します。
「適用」をクリックして、求められたら動作を確定します。
ナビゲーション・ツリーで「認証ポリシー」を再度クリックし、ナビゲーション・ツリー上部のツール・バーにある「作成」ボタンをクリックします。
ポリシーの名前(New Basic Policyなど)を入力します。
認証スキームとして「BasicSessionlessScheme」を選択します。
「適用」をクリックします。
ナビゲーション・ツリーの「認証ポリシー」の下に新しく作成されたポリシーが表示されます。
新規に作成したポリシーを開きます。
「リソース」ペインで、右側にある「追加」アイコン(+印付き)をクリックして、inspection.wsilおよびinspection.wsil/.../*のリソースを追加します。
「適用」をクリックします。
ナビゲーション・ツリー上の「リフレッシュ」アイコンをクリックし、新しい認証ポリシーを確認します(認証ポリシーをクリックしてinspection.wsilおよびinspection.wsil/.../*のリソースが追加されたことを確認します)。
|
注意: 新規のユーザーに対しては、必ず新規の資格証明を作成してください。詳細は、第11.17項「BPEL CSF資格証明の構成」を参照してください。(このマニュアルでは、SSOの例として |
Oracle Access Manager 11g構成のNoUniqueSessionsFor10gAgentsパラメータをtrueに設定する必要があります。これを行うには、IDM_Home/oam/server/configディレクトリにあるoam-config.xmlファイルを編集して、次の行を変更します。
<Setting Name="NoUniqueSessionsFor10gAgents" Type="xsd:string">false</Setting>
ファイルのコピー先
<Setting Name="NoUniqueSessionsFor10gAgents" Type="xsd:string">true</Setting>
ファイルを保存し、アイデンティティ管理システムのOracle Access Managerサーバーを再起動して、変更を有効にします。
RREG_Home/output/WCC_EDG_AGENTに次の2つのファイルが生成されます。
ObAccessClient.xml
cwallet.sso
これらのファイルを、WEBHOSTマシン上のWebGateインスタンスの場所にコピーします。
scp ObAccessClient.xml oracle@WEBHOSTN:ORACLE_BASE/admin/webN/config/OHS/ohsN/
webgate/config/ scp cwallet.sso oracle@WEBHOSTN:ORACLE_BASE/admin/webN/config/OHS/ohsN/
webgate/config/
scpコマンドの、Nはインストールの連番で、たとえば、WEBHOST1は1、WEBHOST2は2です。
この項では、第15.2.2.1項「LDAP認証プロバイダの作成」の手順に従ってLDAP認証プロバイダをすでに設定していることを想定しています。まだLDAP認証を作成していない場合は、それを作成してからこの項の続きを実行してください。
この項の項目は次のとおりです。
まず、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fwmconfig/system-jazn-data.xml
また、管理サーバーのboot.propertiesファイルもバックアップします。
OAM IDアサータを設定するには:
WebLogicコンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAMIdentityAsserter」を選択します。
アサータに名前(OAM ID Asserterなど)を付け、「OK」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
制御フラグを「必須」に設定します。
「選択済み」タイプで「ObSSOCookie」および「OAM_REMOTE_USER」の2つのオプションを選択します。
設定を保存します。
最後に、WLSTコンソールに管理者としてログインし、次のコマンドを実行します。
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="oamsso/logout.html")
プロバイダの順序を設定する手順は次のとおりです。
WebLogicコンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
OAMアイデンティティ・アサータ、OID/OVD認証プロバイダおよびデフォルト認証プロバイダの制御フラグが次のように設定されていることを確認し、これらの認証プロバイダを並べ替えます。
OAMアイデンティティ・アサータ: REQUIRED
OID LDAP認証プロバイダ(またはOVD LDAP認証プロバイダ): SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
「OK」をクリックします。
「変更のアクティブ化」をクリックして、変更を伝播します。
管理サーバーとすべての管理対象サーバーを再起動します。
次のURLを使用して、両方のOracle HTTP Serverインスタンスによるシングル・サインオンを検証します。
http://WEBHOST1:7777/console
http://WEBHOST1:7777/em
http://WEBHOST1:7777/cs
http://WEBHOST1:7777/imaging
http://WEBHOST2:7777/console
http://WEBHOST2:7777/em
http://WEBHOST2:7777/cs
http://WEBHOST2:7777/imaging
次に、(SSOのユーザー名およびパスワードを使用した)フロンドエンドでのシングル・サインオンを検証します。
http://admin.mycompany.com/console
http://admin.mycompany.com/em
http://wcc.mycompany.com/cs
http://wcc.mycompany.com/imaging
拡張したドメインが正常に動作していることを確認した後、そのインストール内容をバックアップします。これは、以降の手順で問題が発生した場合に短時間でリストアできることを考慮した迅速なバックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了すれば、このバックアップは破棄してかまいません。その時点では、デプロイメント固有の定期的なバックアップ手順とリカバリ手順を実行できるようになっています。詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。バックアップおよびリストアを必要とするOracle HTTP Serverのデータの詳細は、このガイドでOracle HTTP Serverのバックアップとリカバリの推奨事項に関する項を参照してください。コンポーネントのリカバリ方法の詳細は、このガイドでコンポーネントのリカバリに関する項およびコンポーネントが失われた後のリカバリに関する項を参照してください。ホストが失われた場合のリカバリに固有の推奨事項は、このガイドで別のホストへのOracle HTTP Serverのリカバリに関する項を参照してください。データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』も参照してください。
この時点でインストールをバックアップする手順は次のとおりです。
Web層をバックアップする手順は次のとおりです。
opmnctlを使用してインスタンスを停止します。
ORACLE_BASE/admin/instance_name/bin/opmnctl stopall
次のコマンドをroot権限で実行して、Web層のミドルウェア・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web.tar $MW_HOME
次のコマンドをroot権限で実行して、Web層のインスタンス・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web_instance.tar $ORACLE_INSTANCE
opmnctlを使用してインスタンスを起動します。
ORACLE_BASE/admin/instance_name/bin/opmnctl startall
SOAHOST1上の管理サーバーのドメイン・ディレクトリをバックアップします。バックアップを実行してドメイン構成を保存します。構成ファイルはすべて、ORACLE_BASE/admin/domain_nameディレクトリの下にあります。
tar -cvpf edgdomainback.tar ORACLE_BASE/admin/domain_name
