| Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド 11gリリース1 (11.1.1) B66703-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド 11gリリース1 (11.1.1) B66703-08 |
|
前 |
次 |
この章では、Oracle WebCenter ContentをOracle Identity Managementと統合する方法について説明します。
この章には次の項が含まれます:
Oracle Fusion Middleware 11g リリース1の推奨シングル・サインオン・ソリューションはOracle Access Managerです。Oracle Fusion Middlewareエンタープライズ・デプロイメントをOracle Identity Management 11gと統合できます。次の項では、Oracle WebCenter Contentドメインのポリシー・ストアとアイデンティティ・ストアをOracle Identity Managementと統合する方法について説明します。
|
注意: Oracle Identity Managementとの統合時には、Oracle Access Managementサーバーで現在使用されているトランスポート・モードを使用します(例:Open、Simple、Cert)。 |
表18-1は、Oracle Identity Management 11gをOracle WebCenter Contentエンタープライズ・デプロイメントに統合するための大まかな手順を示しています。
表18-1 Oracle Identity Management 11gとの統合手順
| 手順 | 説明 | 詳細 |
|---|---|---|
|
Webゲート・エージェントの登録 |
RREGツールを使用したWebゲート・エージェントの登録 |
|
|
Webゲートのインストールと構成 |
Oracle HTTPサーバーがすでにインストールされている各WEBHOSTマシンにWebゲートをインストールします。 |
|
|
WebLogic Server認証プロバイダの設定 |
構成ファイルのバックアップ、Oracle Access Manager IDアサーション・プロバイダの設定およびプロバイダの順序設定によって、WebLogic Server認証プロバイダを設定します。 |
第18.3.6項「WebLogic Server認証プロバイダの設定」 |
|
アイデンティティ・ストアとOracle Internet Directoryまたは他の外部LDAP認証プロバイダと再関連付けします。 |
Oracle Internet Directory、Oracle Virtual Directoryまたはサード・パーティのLDAP認証プロバイダをドメインのアイデンティティ・ストアとして構成します。 |
第18.2項「アイデンティティ・ストアと外部LDAP認証プロバイダの再関連付け」 |
次の項では、Oracle WebLogic Serverにデフォルトで組み込まれているLDAPストアのアイデンティティ・ストアをOracle Internet Directory、Oracle Virtual Directoryまたはサード・パーティの外部LDAP認証プロバイダに再関連付けする方法について説明します。
念のため、LDAP認証プロバイダを作成する前に、まず関連する構成ファイルをバックアップしておきます。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
参照トポロジで、ASERVER_HOMEは/u01/oracle/config/domains/WCCDomainディレクトリです。
Oracle WebLogic Server管理コンソールを使用して、適切なオーセンティケータを設定します。
LDAP認証プロバイダを作成する手順は次のとおりです。
管理コンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
このレルムにある「プロバイダ」タブを開きます。
このレルム用に構成したDefaultAuthenticatorプロバイダがあることを確認します。
「ロックして編集」をクリックします。
「新規」ボタンをクリックし、新しいプロバイダを追加します。
Oracle Internet Directory用のプロバイダの名前を入力します(OIDAuthenticatorなど)。
オーセンティケータのリストから「OracleInternetDirectoryAuthenticator」タイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成したオーセンティケータをクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。
このフラグは、この認証プロバイダによって正常に認証されたユーザーは、その認証を受け入れたうえで、他の認証プロバイダを呼び出さないようにすることを示しています。認証に失敗した場合、そのユーザーは、チェーンにある次の順番の認証プロバイダに引き継がれます。以降のすべてのオーセンティケータの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特にDefaultAuthenticatorを確認し、その制御フラグを「SUFFICIENT」に設定します。
「保存」をクリックしてこの設定を保存します。
「プロバイダ固有」タブを開き、LDAPサーバーの詳細情報を入力します。
次の表に示すように、使用しているLDAPサーバーに固有の詳細情報を入力します。
| パラメータ | 値 | 値の説明 |
|---|---|---|
| ホスト | 例: oid.example.com |
LDAPサーバーのサーバーID。 |
| ポート | 例: 636 |
LDAPサーバーのポート番号。 |
| プリンシパル | 例: cn=orcladmin |
LDAPサーバーへの接続に使用されるLDAPユーザーのDN。 |
| 資格証明 | なし | LDAPサーバーへの接続に使用されるパスワード。 |
| SSL有効 | チェック済 | LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 |
| ユーザー・ベースDN | 例: cn=Users,dc=us, dc=example,dc=com |
ユーザーが開始時に使用するDNを指定します。 |
| グループ・ベースDN | 例: cn=Groups,dc=us, dc=example,dc=com |
ご使用のGroupsノードを指すDNを指定します。 |
| 取得したユーザー名をプリンシパルとして使用する | チェック済 | オンにする必要があります。 |
「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
Oracle Internet Directoryオーセンティケータおよびデフォルト・オーセンティケータを並べ替えて、それぞれのオーセンティケータの制御フラグが次のように設定されていることを確認します。
Oracle Internet Directory LDAPオーセンティケータ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
プロバイダの順序を設定する手順は次のとおりです。
WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
「並替え」をクリックし、Oracle Internet Directoryオーセンティケータおよびデフォルト・オーセンティケータの制御フラグが次のように設定されていることを確認します。
Oracle Internet Directory LDAPオーセンティケータ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
|
注意: 認証プロバイダがSUFFICIENTとして設定されていないと、Enterprise Captureの認証は正しく機能しません。 |
「保存」をクリックします。
「変更のアクティブ化」をクリックして、変更を伝播します。
第10.3項「管理サーバーの再起動」の説明に従って管理サーバーを再起動し、ドメインのすべての管理対象サーバーも再起動します。
管理対象サーバーを再起動するには、管理対象サーバーをすべて停止してから管理サーバーを再起動し、その後、管理対象サーバーを起動します。
この項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジでOracle WebCenter ContentのWebLogic Serverドメインを管理するための、新規の管理ユーザーおよび管理グループのプロビジョニングの詳細について説明します。この項で説明するタスクは次のとおりです。
この項の冒頭で述べたように、複数のWebLogic Serverドメインのユーザーおよびグループは、中央のLDAPユーザー・ストアにプロビジョニングできます。そのような場合、あるWebLogic Server管理ユーザーがエンタープライズ内のすべてのドメインにアクセスできてしまうことにもなります。このような状況は好ましくありません。このような状況にならないようにするために、プロビジョニングされるユーザーおよびグループには、ディレクトリ・ツリー内で一意の識別名を付与しておく必要があります。エンタープライズ・デプロイメント・トポロジ全体の設定とテストが終了したら、各アプリケーション用の適切なロールを使用して別のシステム管理者を設定してもかまいません。
Oracle WebCenter Content WebLogic Serverドメインの設定時に、次のDNを使用してweblogic_ecmという新しいシステム管理者をLDAPアイデンティティ・ストアにプロビジョニングします。
管理ユーザーDN:
cn=weblogic_ecm,cn=Users,dc=us,dc=example,dc=com
管理グループDN:
cn=ECM Administrators,cn=Groups,dc=us,dc=example,dc=com
管理ユーザーおよび管理グループをOracle Internet Directoryにプロビジョニングする手順は次のとおりです。
次に示す内容を指定してadmin_user.ldifという名前のLDIFファイルを作成し、保存します。
dn: cn=weblogic_ecm, cn=Users, dc=us, dc=example, dc=com
orclsamaccountname: weblogic_ecm
givenname: weblogic_ecm
sn: weblogic_ecm
userpassword: password
mail: weblogic_ecm
objectclass: top
objectclass: person
objectclass: organizationalPerson
objectclass: inetorgperson
objectclass: orcluser
objectclass: orcluserV2
uid: weblogic_ecm
cn: weblogic_ecm
description: Admin User for the Oracle WebCenter Content Domain
ORACLE_HOME/binディレクトリにあるOracle Internet Directoryホストのldapaddコマンドを実行して、Oracle Internet Directory内のユーザーをプロビジョニングします。
|
注意: ここで使用するOracleホームは、Oracle Internet Directoryが存在するOracle Identity ManagementインストールのOracleホームです。 |
例(1行ですべて指定):
ORACLE_HOME/bin/ldapadd -h oid.example.com -p 389 -D "cn=orcladmin" -w password -c -v -f PATH/admin_user.ldif
次に示す内容を指定してadmin_group.ldifという名前のLDIFファイルを作成し、保存します。
dn: cn=ECM Administrators, cn=Groups, dc=us, dc=example, dc=com displayname: ECM Administrators objectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup uniquemember: cn=weblogic_ecm, cn=Users, dc=us, dc=example, dc=com cn: ECM Administrators description: Administrators Group for the Oracle WebCenter Content Domain
ORACLE_HOME/binディレクトリにあるOracle Internet Directoryホストのldapaddコマンドを実行して、Oracle Internet Directory内のグループをプロビジョニングします(1行ですべて指定)。
ORACLE_HOME/bin/ldapadd -h oid.example.com -p 389 -D "cn=orcladmin" -w password -c -v -f PATH/admin_group.ldif_file
次に示す内容を指定してadministrators_group.ldifという名前のLDIFファイルを作成し、保存します。
dn: cn=Administrators, cn=Groups, dc=us, dc=example, dc=com displayname: Default WLS Administrators objectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup cn: Administrators description: WL Administrators Group
|
注意: 管理グループは、Oracle Internet Directoryに存在しない場合にのみ作成してください。 |
ORACLE_HOME/binディレクトリにあるOracle Internet Directoryホストのldapaddコマンドを実行して、Oracle Internet Directoryに管理グループをプロビジョニングします。
ORACLE_HOME/bin/ldapadd -h oid.example.com -p 389 -D "cn=orcladmin" -w password -c -v -f PATH/administrators_group.ldif
次に示す内容を指定してmodify_administrators_group.ldifという名前のLDIFファイルを作成し、保存します。
dn: cn=Administrators, cn=Groups, dc=us, dc=example, dc=com changetype: modify add: uniqueMember uniqueMember: cn=ECM Administrators, cn=Groups, dc=us, dc=example, dc=com
ORACLE_HOME/binディレクトリにあるOracle Internet Directoryホストのldapmodifyコマンドを実行して、Oracle Internet Directoryの管理グループを変更します。
ORACLE_HOME/bin/ldapmodify -h oid.example.com -p 389 -D "cn=orcladmin" -w password -c -v -f PATH/modify_administrators_group.ldif
Oracle Internet Directoryにユーザーおよびグループを追加したら、WebLogicドメインのセキュリティ・レルム内で、グループに管理ロールを割り当てる必要があります。これにより、そのグループに属するすべてのユーザーをそのドメインの管理者にできます。
管理ロールを管理グループに割り当てる手順は次のとおりです。
WebLogic Serverの管理サーバー・コンソールにログインします。
左側のナビゲーション・ツリーで「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表の下の「myrealm」をクリックします。
myrealmの「設定」ページで、「ロールとポリシー」タブを開きます。
「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。「ロール」リンクをクリックすると、「グローバル・ロール」ページが開きます。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページを開きます。
「グローバル・ロールの編集」ページで、「ロール条件」表の下の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、述部のドロップダウン・リストから「グループ」を選択して、「次へ」をクリックします。
「引数の編集」ページで、グループ引数フィールドのECM管理者を指定し、「追加」をクリックします。
「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
この時点で、「ロール条件」表には、ECM Administrators Groupというエントリが表示されます。
「保存」をクリックして、Admin RoleをECM Administrators Groupに追加します。
Webブラウザを使用して管理コンソールを開き、変更が正しく行われたことを確認します。weblogic_ecmユーザーの資格証明を使用してログインします。
|
注意: Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジの各Oracleアプリケーションには、あらかじめ定義されたロールや管理目的および監視目的で定義されたグループが存在する可能性があります。デフォルトでは、Administratorsグループでこれらの作業ができるようになっています。ただし、このグループは広範になりすぎている可能性もあります。たとえば、Oracle WebCenter Contentが稼動しているWebLogic Serverドメインの管理者がOracle SOA Suiteの管理者を兼務するのは、望ましくないとも考えられます。そのため、この項で提案しているとおり、ECM Administratorsなどのより詳細なグループを作成することが望ましいと思われます。様々なアプリケーションでECM Administratorsグループが各種のシステムを管理できるようにするには、そのグループに必要なロールを追加する必要があります。たとえば、SOA Worklistappの管理のためには、SOAAdminロールを追加します。それぞれのケースで必要なロールについては、各コンポーネントの固有のロールを参照してください。 |
管理サーバーのboot.propertiesファイルをweblogic_ecm (Oracle Internet Directoryで作成したWebLogic Server管理ユーザー)で更新する必要があります。
boot.propertiesファイルを更新する手順は次のとおりです。
WCCHOST1で、次のディレクトリに移動します。
cd ASERVER_HOME/servers/AdminServer/security
参照トポロジで、ASERVER_HOMEは/u01/oracle/config/domains/WCCDomainディレクトリです。
既存のboot.propertiesファイルの名前を変更します。
mv boot.properties boot.properties.backup
テキスト・エディタを使用して、セキュリティ・ディレクトリにboot.propertiesというファイルを作成します。次の行をファイルに入力します。
username=weblogic_ecm
password=password
ファイルを保存します。
第10.3項「管理サーバーの再起動」の説明に従って管理サーバーを再起動します。
Imaging管理対象サーバーを構成した後でLDAPプロバイダを変更した場合は、Imagingセキュリティ表のグローバル・ユーザーID (GUID)は無効になります。Imagingは、外部LDAPプロバイダからGUIDをキャッシュしてローカルのセキュリティ表に格納し、そのIDを認証に使用します。WLSTコマンドまたはOracle Enterprise Manager Fusion Middleware Controlを使用して、Imagingセキュリティ表のGUID値をリフレッシュできます。
両方のLDAPプロバイダに存在するユーザーおよびグループに対してのみ、GUIDがリフレッシュされます。以前のLDAPからユーザーおよびグループに割り当てられたImaging権限は、新しいLDAPに一致するユーザーおよびグループにリフレッシュされます。ユーザーやグループが新しいLDAPプロバイダのユーザーやグループに一致しない場合、refreshIPMSecurityはそのユーザーやグループを無視します。
|
注意: リフレッシュ中、対応する識別情報が見つからないユーザーまたはグループは無視されます。セキュリティに変更を加えると、無効なユーザーまたはグループがImagingデータベースから削除されます。 |
コマンド・ラインからGUID値をリフレッシュする場合は、Oracle WebLogic Scripting Tool (WLST)を使用できます。
WLSTを使用してImagingセキュリティ表のGUID値をリフレッシュするには、次の手順を実行します。
第8.4.3項「WCCHOST1での管理サーバーの起動」の説明に従って、Oracle WebLogic Serverドメインの管理サーバーを起動します。
管理サーバーが実行されているWCCHOST1にログインします。
Oracle WebCenter Contentのホーム・ディレクトリMW_HOME/WCC_ORACLE_HOMEに移動します。
WLSTを呼び出します。
cd common/bin ./wlst.sh
Imaging管理対象サーバーに接続します。
wls:/offline> connect() Please enter your username :weblogic_ecm Please enter your password : XXXXXXXXXXXXX Please enter your server URL [t3://localhost:7001] : t3://WCCHOST1VHN2:16000 Connecting to t3://WCCHOST1VHN2:16000 with userid weblogic_ecm ... Successfully connected to Managed Server 'WLS_IMG1' that belongs to domain 'domainName'. Warning: An insecure protocol was used to connect to the server. To ensure on-the-wire security, the SSL port or Admin port should be used instead. wls:/domainName/serverConfig> listIPMConfig() <This is just to check that the connection is to the right Imaging server> wls:/domainName/serverConfig> refreshIPMSecurity() <This is the command that will refresh the GUIDs in the Security tables.> wls:/domainName/serverConfig> exit()
Imagingにログインして、ユーザーおよびグループのセキュリティを確認します。
MBeanを介してGUID値をリフレッシュする場合は、Fusion Middleware ControlのシステムMBeanブラウザを使用できます。
Fusion Middleware Controlを使用してImagingセキュリティ表のGUID値をリフレッシュするには、次の手順を実行します。
WCCdomainのOracle Enterprise Manager Fusion Middleware Controlにログインします。
http://ADMINVHN:7001/em
左側のナビゲーション・ツリーでWebLogicドメイン、Oracle WebCenter Contentドメイン・フォルダ、IMG_Clusterの順に展開し、WLS_IMG1などImagingサーバーの名前を展開します。
右側で、「WebLogic Server」ドロップダウン・メニューをクリックし、「システムMBeanブラウザ」を選択します。
「システムMBeanブラウザ」ナビゲーション・ツリーで、「アプリケーション定義のMBean」、oracle.imaging、「サーバー: WLS_IMG1」、「cmd」の順に展開し、「cmd」をクリックします。
「操作」タブの右側で「refreshIPMSecurity」をクリックします。
「起動」ボタンをクリックします。
Imagingにログインして、ユーザーおよびグループのセキュリティを確認します。
LDAPと統合したシステムでは、Enterprise Capture管理者ロールを実行できるように、Oracle Enterprise Captureロールを新しいシステム管理者ユーザー(weblogic_ecm)に割り当てる必要があります。
Enterprise Captureロールを持つシステム管理者をLDAPに追加する手順は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
左側で、「WebLogicドメイン」を開きます。
ドメイン名を右クリックして、「セキュリティ」→「アプリケーション・ロール」の順に選択します。
「アプリケーション・ロール」ページが開きます。
「アプリケーション・ストライプ」フィールドで、ドロップダウン・リストから「capture」を選択し、検索アイコンをクリックします。
検索を実行すると、「キャプチャ・ユーザー」、「キャプチャ・ワークスペース・マネージャ」および「キャプチャ・ワークスペース参照者」のロールが表に移入されます。
CaptureWorkspaceManagerロールを編集し、weblogic_ecmをこのロールに追加します。
CaptureUserロールを編集し、weblogic_ecmをこのロールに追加すると、CaptureWorkspaceManagerおよびCaptureUserロールの両方が含まれるようになります。
この項では、Oracle WebCenter Contentエンタープライズ・デプロイメント・トポロジのシングル・サインオン・ソリューションとしてOracle Access Manager 11gを設定する方法について説明します。この章には次の項目があります。
この項では、既存のOracle Access Manager 11gインストールおよび基礎となるディレクトリ・サービスとしてOracle Internet Directoryを使用して、Oracle WebCenter Contentのインストールを構成する手順について説明します。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
|
注意: このガイドに記載されているOracle WebCenter Contentエンタープライズ・デプロイメント・トポロジでは、Oracle WebCenter Contentシステムおよびシングル・サインオン・システムの両方が同じネットワーク・ドメイン(example.com)に存在する状態で、シングル・サインオン構成を使用します。マルチドメイン構成については、『Oracle Fusion Middleware Oracle Access ManagerおよびOracle Security Token Service管理者ガイド』のOAMポリシー・モデル、シングル・サインオンの概要に関する項で必要な構成手順を参照してください。 |
Oracle Access Managerの設定では、Oracle Access Manager 11gがインストールされていることを前提とします。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この設定には、ディレクトリ・サービスとしてOracle Internet Directoryが含まれます。
また、Oracle Access Managerインストールには、Webゲートを使用するように構成された独自のWebサーバーが必要です。
この項では、Oracle Access ManagerにWebゲート・エージェントを登録する手順および各WEBHOSTマシンでのWebゲート・エージェント・インスタンスの使用について説明します。
RREGツールは、Oracle Access Manager 11gインストールに付属しています。見つからない場合は、各Oracle Identity Managementマシンで解凍します。
RREGツールを解凍する手順は次のとおりです。
Oracle Access Managerのインストールおよび構成後、次の場所に移動します。
IDM_Home/oam/server/rreg/client
コマンド・ラインから、次の例のとおり、gunzipを使用してRREG.tar.gzファイルを解凍します。
gunzip RREG.tar.gz tar -xzvf RREG.tar
必要に応じて、RREG_HOME/bin/oamreg.shスクリプトを開き、設定に合せてOAM_REG_HOMEパラメータを変更します。
RREG構成ツールは、WebCenter ContentリソースをOracle Access Managerシステムに登録する手段を提供します。
これらのリソースをOracle Access Managerシステムに追加する必要があります。
/adfAuthentication /imaging/faces /ibr/adfAuthentication /em /console /DefaultToDoTaskFlow /sdpmessaging/userprefs-ui /integration/worklistapp /workflow/sdpmessagingsca-ui-worklist /soa/composer /soa-infra /soa-infra/deployer /soa-infra/events/edn-db-log /soa-infra/cluster/info /dc-console/adfAuthentication /dc-client/adfAuthentication /wcc/adfAuthentication
パブリック・リソースのリストは次のとおりです。
/cs /_ocsh /imaging /_dav /soa-infra/directWSDL /dc-console /dc-client /wcc
除外されるリソースのリストは次のとおりです。
/idcnativews /imaging/ws /imaging/lib /cs/common/idcapplet.jar /cs/images /wsm-pm /soa-infra/services /ucs/messaging/webservice /axf-ws
|
注意: これらのリソース・リストは、Oracle Access Manager 11.1.2.1.0に適用されます。Oracle Access Manager 11.1.2.2.0を使用している場合は、除外されたリソース・リストに/dc-clientを移動する必要があります。 |
RREG_Home/inputディレクトリには、OAM11gRequest.xmlという名前のテンプレート・ファイルがあります。このファイルをWCCOAM11gRequest.xmlにコピーし、コピーしたファイルを編集してOracle WebCenter Contentインストールのポリシーを作成します。
|
注意: OAM_HOST、OAM_ADMINSERVER_PORT、WCC_EDG_AGENTおよびWCC_EDG_DOMAINを、インストールにおけるそれぞれの値に置換します。 |
編集後のファイルは次のようになります。
<?xml version="1.0" encoding="UTF-8"?>
<OAM11GRegRequest>
<serverAddress>http://OAM_HOST:OAM_ADMINSERVER_PORT</serverAddress>
<agentName>WCC_EDG_AGENT</agentName>
<applicationDomain>WCC_EDG_DOMAIN</applicationDomain>
<cachePragmaHeader>private</cachePragmaHeader>
<cacheControlHeader>private</cacheControlHeader>
<ipValidation>1</ipValidation>
<ValList ListName="ipValidationExceptions">
<ValListMember Value="10.1.1.1"/>
</ValList>
<logOutUrls>
<url>/oamsso/logout.html</url>
</logOutUrls>
<protectedResourcesList>
<resource>/adfAuthentication</resource>
<resource>/ibr/adfAuthentication</resource>
<resource>/imaging/faces</resource>
<resource>/em</resource>
<resource>/console</resource>
<resource>/DefaultToDoTaskFlow</resource>
<resource>/sdpmessaging/userprefs-ui</resource>
<resource>/integration/worklistapp</resource>
<resource>/workflow/sdpmessagingsca-ui-worklist</resource>
<resource>/soa/composer</resource>
<resource>/soa-infra/deployer</resource>
<resource>/soa-infra/events/edn-db-log</resource>
<resource>/soa-infra/cluster/info</resource>
<resource>/soa-infra</resource>
<resource>/dc-console/adfAuthentication</resource>
<resource>/dc-client/adfAuthentication</resource>
<resource>/wcc/adfAuthentication</resource>
</protectedResourcesList>
<publicResourcesList>
<resource>/cs</resource>
<resource>/_ocsh</resource>
<resource>/_dav</resource>
<resource>/imaging</resource>
<resource>/soa-infra/directWSDL</resource>
<resource>/dc-console</resource>
<resource>/dc-client</resource>
<resource>/wcc</resource>
</publicResourcesList>
<excludedResourcesList>
<resource>/wsm-pm</resource>
<resource>/soa-infra/services</resource>
<resource>/ucs/messaging/webservice</resource>
<resource>/imaging/ws</resource>
<resource>/idcnativews</resource>
<resource>/imaging/lib</resource>
<resource>/cs/common/idcapplet.jar</resource>
<resource>/cs/images</resource>
<resource>/axf-ws</resource>
</excludedResourcesList>
<userDefinedParameters>
<userDefinedParam>
<name>filterOAMAuthnCookie</name>
<value>false</value>
</userDefinedParam>
</userDefinedParameters>
</OAM11GRegRequest>
|
注意:
|
次のコマンドを使用し、oamregツールを実行します。
$ ./RREG_Home/bin/oamreg.sh inband input/WCCOAM11gRequest.xml
実行すると次のように表示されます。
------------------------------------------------ Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: MW_HOME/iam/oam/server/rreg/client/rreg/input/WCCOAM11GRequest.xml Enter admin username:oamadmin Username: your_oamadmin_user Enter admin password: your_oamadmin_password Do you want to enter a Webgate password?(y/n): y Enter webgate password: your_webgate_password Enter webgate password again: your_webgate_password Password accepted. Proceeding to register.. Apr 18, 2011 12:22:36 PM oracle.security.am.engines.rreg.client.handlers.request.OAM11GRequestHandler getWebgatePassword INFO: Passwords matched and accepted. Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WCC_EDG_AGENT URL String:WCC_EDG_AGENT Registering in Mode:inband Your registration request is being sent to the Admin server at: http://oamserver.example.com:7001 ---------------------------------------- Inband registration process completed successfully! Output artifacts are created in the output folder.
デフォルトでは、inspection.wsilリソースは、フォーム認証スキームを使用するように設定されています。このワークフローとOracle WebCenter Content: Imagingの間の接続が機能するようにするには、次に示すように、このリソースが基本認証スキームを使用するように各WEBHOSTマシンで更新する必要があります。
基本認証スキームを使用するようにinspection.wsilリソースを変更する手順は次のとおりです。
http://OAM_HOST:OAM_ADMINSERVER_PORT/oamconsoleにあるOracle Access Managerコンソールにログインします。
左側のナビゲーション・ツリーを使用して、「アプリケーション・ドメイン」をクリックし、アプリケーション・ドメイン名をクリックして、作成したアプリケーション・ドメイン(WCC_EDG_DOMAIN)に移動します。
使用しているアプリケーション・ドメイン名を開きます。
「認証ポリシー」を開きます。
ナビゲーション・ツリーの上にあるツール・バーの「作成」ボタンをクリックします。
ポリシーの名前(New Basic Policyなど)を入力します。
認証スキームとして「BasicSessionlessScheme」を選択します。
「適用」をクリックします。
ナビゲーション・ツリーの「認証ポリシー」の下に新しく作成されたポリシーが表示されます。
新規に作成したポリシーを開きます。
「リソース」ペインで、右側にある「追加」アイコン(+印付き)をクリックして、inspection.wsilおよびinspection.wsil/.../*のリソースを追加します。
「適用」をクリックします。
ナビゲーション・ツリー上の「リフレッシュ」アイコンをクリックし、新しい認証ポリシーを確認します(認証ポリシーをクリックしてinspection.wsilおよびinspection.wsil/.../*のリソースが追加されたことを確認します)。
|
注意: 新規のユーザーに対しては、必ず新規の資格証明を作成してください。詳細は、第13.5.13項「BPEL CSF資格証明の構成」を参照してください。(このマニュアルでは、SSOの例としてweblogic_ecmユーザーを使用しています。) |
各OAMHOSTマシンで、Oracle Access Manager 11g構成のNoUniqueSessionsFor10gAgentsパラメータをtrueに設定する必要があります。これを行うには、IDM_Home/oam/server/config/ディレクトリにあるoam-config.xmlファイルを編集して、次の行を変更します。
<Setting Name="NoUniqueSessionsFor10gAgents" Type="xsd:string">false</Setting>
ファイルのコピー先
<Setting Name="NoUniqueSessionsFor10gAgents" Type="xsd:string">true</Setting>
ファイルを保存し、Oracle Identity ManagementシステムのOracle Access Managerサーバーを再起動して、変更を有効にします。
Oracle HTTP Serverがすでにインストールされている各WEBHOSTマシン上でWebゲートを設定する必要があります。
この項の項目は次のとおりです。
Webゲートをインストールする前に、各WEBHOSTマシンにサード・パーティGCCライブラリをダウンロードおよびインストールする必要があります。適切なGCCライブラリを次のサードパーティWebサイトからダウンロードできます。
http://gcc.gnu.org
|
注意: このガイドの設定では、Oracle Identity and Access Management 11g (11.1.1.6.0)を使用します。バージョン11.1.1.7.0以降を使用する場合、サード・パーティのGCCライブラリは必要ありません。 |
32ビットのLinuxの場合、必要なライブラリはバージョン番号3.3.2のlibgcc_s.so.1およびlibstdc++.so.5になります。表18-2は、サード・パーティのGCCライブラリでLinuxおよびSolarisオペレーティング・システムに対応するバージョンを示しています。
この項では、Webゲートをインストールする手順を説明します。Webゲートを各WEBHOSTマシンにインストールする必要があります。
Oracle HTTP Server 11g WebGate for Oracle Access Managerのインストーラ・プログラムはwebgate.zipファイルに含まれています。
インストール・ウィザードを起動する手順は次のとおりです。
webgate.zipファイルの内容をディレクトリに展開します。デフォルトでは、このディレクトリはwebgateと名前が付けられています。
webgateディレクトリの下のDisk1サブディレクトリに移動します。
MW_HOME環境変数をOracle Web層のMiddlewareホームに設定します。
export MW_HOME=/u02/oracle/products/fmw_home
次のコマンドを使用し、インストーラを開始します。
$ ./runInstaller -jreLoc WT_ORACLE_HOME/jdk
コマンドで、WT_ORACLE_HOME=/u02/oracle/products/fmw_home/web_homeと入力します。
|
注意: Oracle HTTP Serverをインストールすると、ミドルウェア・ホーム・ディレクトリの下にjdkディレクトリが作成されます。インストーラを起動するときに、このJDKの中にあるJREフォルダの絶対パスを入力する必要があります。 |
インストーラが起動すると、「ようこそ」画面が開きます。
インストール画面の詳細なヘルプが必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプにアクセスします。
Oracle HTTP Server 11g WebGate for Oracle Access Managerをインストールする手順:
「ようこそ」画面で、「次へ」をクリックします。
「前提条件のチェック」画面で、「次へ」をクリックします。
「インストール場所の指定」画面で、次のように、「Oracleミドルウェア・ホーム」および「Oracleホーム・ディレクトリ」の場所を指定します。
MW_HOME
webgate_home
|
注意: MiddleWareホームには、Oracle Web層のOracleホームがあります。 |
「次へ」をクリックします。
GCCライブラリの指定画面で、GCCライブラリが含まれるディレクトリを指定し、「参照」をクリックして、使用しているローカル・コンピュータ上のライブラリの場所に移動し(第18.3.4.1項「GCCライブラリのインストール」を参照)、「次へ」をクリックします。
|
注意: この手順にWebゲート・バージョン11.1.1.7.0以降は不要です。 |
「インストール・サマリー」画面で、画面に表示される情報を確認し、「インストール」をクリックしてインストールを開始します。
「インストールの進行状況」画面で、ファイルおよびディレクトリに対して正しい権限を設定するために、ORACLE_HOME/oracleRoot.shスクリプトの実行を求められる場合があります。
「次へ」をクリックして続行します。
「インストール完了」画面で、「終了」をクリックしてインストーラを終了します。
Oracle HTTP Server 11g WebGate for Oracle Access Managerのインストール後、各WEBHOSTマシンで次の手順を完了します。
インストール後の手順は次のとおりです。
WebGateのOracleホームの下にある次のディレクトリに移動します。
$ cd WEBGATE_ORACLE_HOME/webgate/ohs/tools/deploy
参照トポロジで、WEBGATE_ORACLE_HOMEは/u02/oracle/products/fmw_home/webgate_homeディレクトリです。このディレクトリは、Oracle HTTP Server Webゲートをインストールし、WebゲートのOracleホームを作成した場所です。
コマンド・ラインで次のコマンドを実行し(1行で)、WEBGATE_ORACLE_HOMEディレクトリからWebゲート・インスタンスの場所にエージェントの必要な部分をコピーします。
$ ./deployWebGateInstance.sh -w /u02/oracle/config/webN/config/OHS/ohsN/
-oh WEBGATE_ORACLE_HOME
/u02/oracle/config/webN/config/OHS/ohsNディレクトリは、Oracle HTTP Serverのインスタンス・ホームになります(Nはインストールごとに付される連番で、1番目はWEBHOST1、2番目はWEBHOST2などとなります)。
|
注意: Oracle HTTP Serverのインスタンス・ホームはOracle HTTP Serverの構成後に作成されます。 |
次のコマンドを実行し、LD_LIBRARY_PATH変数にWT_ORACLE_HOME/libが含まれるようにします。
$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/u02/oracle/products/fmw_home/web_home/lib
現在の作業ディレクトリから1レベル上位のディレクトリに移動します。
$ cd WEBGATE_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
コマンド・ラインで次のコマンドを実行し(1行で)、WEBGATE_RACLE_HOMEディレクトリからWebゲート・インスタンスの場所(webgate.confに名前が変更されている)にapache_webgate.templateをコピーし、httpd.confファイルにwebgate.confの名前を追加する1行を追加して更新をかけます。
$ ./EditHttpConf -w /u02/oracle/config/webN/config/OHS/ohsN/ [-oh WEBGATE_ORACLE_HOME]
[-o output_file]
|
注意: -oh WEBGATE_ORACLE_HOMEおよび-o output_fileパラメータはオプションです。 |
コマンド内のWEBGATE_ORACLE_HOMEは、Oracle Access Manager用のOracle HTTP Server Webゲートをインストールしたディレクトリです。このディレクトリはWebゲートのOracleホームです。例:
/u02/oracle/products/fmw_home/webgate_home
/u02/oracle/config/webN/config/OHS/ohsN/ディレクトリは、Oracle HTTP Serverのインスタンス・ホームになります(Nはインストールごとに付される連番で、1番目はWEBHOST1、2番目はWEBHOST2などとなります)。
output_fileの値は、ツールによって使用された一時出力ファイルの名前です。次の例を参照してください。
Edithttpconf.log
RREG_Home/output/WCC_EDG_AGENTに次の2つのファイルが生成されます。
ObAccessClient.xml
cwallet.sso
これらのファイルを、各WEBHOSTマシンのWebゲート・インスタンスの場所にコピーします。
scp ObAccessClient.xml oracle@WEBHOSTN:ORACLE_INSTANCE/config/OHS/ohsN/webgate/config/ scp cwallet.sso oracle@WEBHOSTN:ORACLE_INSTANCE/config/OHS/ohsN/webgate/config/
scpコマンドの、Nはインストールの連番で、たとえば、WEBHOST1は1、WEBHOST2は2です。
参照トポロジで、ORACLE_INSTANCEは/u02/oracle/config/web1または/u02/oracle/config/web2ディレクトリです。
この項では、第18.2.2項「LDAP認証プロバイダの作成」の手順に従ってLDAP認証プロバイダをすでに設定していることを前提としています。まだLDAP認証プロバイダを作成していない場合は、作成してからこの項の続きを実行してください。
この項の項目は次のとおりです。
まず、次の関連する構成ファイルをバックアップします。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fwmconfig/system-jazn-data.xml
参照トポロジで、ASERVER_HOMEは/u01/oracle/config/domains/WCCDomainディレクトリです。
さらに、管理サーバー用にboot.propertiesファイルをバックアップします。
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
Oracle Access Manager IDアサーション・プロバイダを設定する手順は次のとおりです。
WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
アサータに名前(OAM ID Asserterなど)を付け、「OK」をクリックします。
新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
制御フラグを「必須」に設定します。
「選択済み」タイプで「ObSSOCookie」および「OAM_REMOTE_USER」の2つのオプションを選択します。
設定を保存し、「変更のアクティブ化」をクリックして、変更を伝播します。
管理者としてOracle WebLogic Scripting Tool (WLST)にログインし、addOAMSSOProviderコマンドを実行します。
WLSTを起動します。
cd ORACLE_COMMON_HOME/common/bin
./wlst.sh
WCCDomain管理サーバーに接続して、addOAMSSOProviderコマンドを発行します。
wls:/offline> connect('weblogic_ecm', password,'ADMINVHN:7001')
Connecting to t3://ADMINVHN:7001 with userid weblogic_ecm ..
Successfully connected to Admin Server 'AdminServer' that belongs to domain 'WCCDomain'.
Warning: An insecure protocol was used to connect to the server. To ensure on-the-wire security, the SSL port or Admin port should be used instead.
wls:/WCCDomain/serverConfig> addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="/oamsso/logout.html",autologinuri="/obrar.cgi")
Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root.For more help, use help(domainRuntime)
wls:/WCCDomain/serverConfig> exit()
Exiting WebLogic Scripting Tool
WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。
プロバイダの順序を設定する手順は次のとおりです。
WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
各認証プロバイダの制御フラグが次のように設定されていることを確認することによって、Oracle Access Manager IDアサーション・プロバイダ、Oracle Internet Directory認証プロバイダおよびデフォルト認証プロバイダを並べ替えます。
Oracle Access Manager IDアサーション・プロバイダ: REQUIRED
Oracle Internet Directory認証プロバイダ: SUFFICIENT
DefaultAuthenticator: SUFFICIENT
「OK」をクリックします。
「変更のアクティブ化」をクリックして、変更を伝播します。
管理サーバーとすべての管理対象サーバーを再起動します。
nmKillコマンドまたは管理コンソールで管理サーバーを停止し、nmStartコマンドで起動します(第10.3項「管理サーバーの再起動」を参照)。
再起動の前に、管理コンソールを使用してドメイン内のすべての管理対象サーバーを停止します。続いて再起動後に、それらの管理対象サーバーを起動します。weblogic_ecmユーザーの資格証明を使用して管理コンソールにログインします。
(SSOのユーザー名およびパスワードを使用した)フロンドエンドでのシングル・サインオンを検証します。
http://admin.example.com/console
http://admin.example.com/em
http://wcc.example.com/cs
http://wcc.example.com/imaging
https://wcc.example.com/dc-console
拡張したドメインが正常に動作していることを確認した後、そのインストール内容をバックアップします。これは、以降の手順で問題が発生した場合に短時間でリストアできることを考慮した迅速なバックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了すれば、このバックアップは破棄してかまいません。その時点では、デプロイメント固有の定期的なバックアップ手順とリカバリ手順を実行できるようになっています。詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。バックアップおよびリストアを必要とするOracle HTTP Serverのデータの詳細は、このガイドでOracle HTTP Serverのバックアップとリカバリの推奨事項に関する項を参照してください。コンポーネントのリカバリ方法に関する詳細は、そのガイドでコンポーネントのリカバリに関する項およびコンポーネントが失われた後のリカバリに関する項を参照してください。ホストが失われた場合のリカバリに固有の推奨事項は、そのガイドで別のホストへのOracle HTTP Serverのリカバリに関する項を参照してください。データベースのバックアップに関する詳細は、Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイドを参照してください。
この時点でインストールをバックアップする手順は次のとおりです。
Oracle Web層をバックアップします。
opmnctlを使用してインスタンスを停止します。
/u02/oracle/config/webN/bin/opmnctl stopall
次のコマンドをrootとして実行して、Oracle Web層のMiddlewareホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web_home.tar $MW_HOME
次のコマンドをrootとして実行して、Oracle Web層のインスタンス・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web_instance.tar $ORACLE_INSTANCE
次のように、opmnctlを使用してインスタンスを起動します。
/u02/oracle/config/webN/bin/opmnctl startall
参照トポロジで、ORACLE_INSTANCEは/u02/oracle/config/web1または/u02/oracle/config/web2ディレクトリです。
WCCHOST1上の管理サーバーのドメイン・ディレクトリをバックアップします。バックアップを実行してドメイン構成を保存します。構成ファイルはすべて/u01/oracle/config/domains/WCCDomainディレクトリに存在しています。
tar -cvpf edgdomainback.tar /u01/oracle/config/domains/WCCDomain
