概要
Oracle Enterprise Performance Management System製品は、EPM System製品をホストするアプリケーション・サーバーがKerberos認証用に設定されている場合は、Kerberos SSOをサポートします。
Kerberosは信頼できる認証サービスで、各Kerberosクライアントは他のKerberosクライアント(ユーザー、ネットワーク・サービスなど)のアイデンティティを有効なものとして信頼します。
EPM System製品にユーザーがアクセスする場合に行われる処理は、次のとおりです:
サポート制約事項
Kerberos SSOは、すべてのEPM System製品に対してサポートされていますが、次の例外があります:
前提条件
このドキュメントにはアプリケーション・レベルのKerberos構成ステップが記載されていますが、システム・レベルでのKerberos構成に関する知識があることを前提としています。これらの手順を開始する前に、次のタスクの前提条件が満たされていることを確認してください。
このドキュメントでは、Windowsクライアント・マシンがKerberos認証用に構成されているフル機能のKerberos対応ネットワーク環境で作業していることを前提としています。
WebLogic Serverを使用したKerberos SSO
Oracle WebLogic Server Kerberos SSOでは、ネゴシエート・アイデンティティ・アサーション・プロバイダを使用してSPNEGOトークンのネゴシエーションとデコードを行うことによって、MicrosoftクライアントでのSSOを実現します。WebLogic Serverは、Kerberosチケットを取得するためにSPNEGOトークンをデコードし、そのチケットを検証してWebLogic Serverユーザーにマップします。WebLogic ServerのActive Directory認証プロバイダをネゴシエート・アイデンティティ・アサーション・プロバイダとともに使用することで、Active DirectoryをWebLogic Serverユーザーのユーザー・ディレクトリとして構成できます。
ブラウザがEPM System製品へのアクセスを要求すると、KDCはそのブラウザにKerberosチケットを発行し、それによって、サポートされるGSSトークン・タイプを含むSPNEGOトークンが作成されます。ネゴシエート・アイデンティティ・アサーション・プロバイダはSPNEGOトークンをデコードし、GSSAPIを使用して、セキュリティ・コンテキストを受け入れます。要求を開始したユーザーのアイデンティティはユーザー名にマップされ、WebLogic Serverに渡されます。また、WebLogic Serveは、ユーザーが属するグループを決定します。この段階で、要求されたEPM System製品はユーザーに使用できるようになります。
注:
ユーザーはSPNEGOをサポートするブラウザ(たとえば、Internet ExplorerやFirefoxなど)を使用して、WebLogic Serverで実行しているEPM System製品にアクセスする必要があります。
認証プロセスから取得されたユーザーIDを使用して、EPM System製品認証プロセスはプロビジョニング・データをチェックします。EPM System製品へのアクセスは、プロビジョニング・データに基づいて制限されます。
Kerberos認証をサポートするためのWebLogic Serverでの手順
Kerberos認証をサポートするには、管理者は次のタスクを完了する必要があります:
EPM SystemのWebLogicドメインの作成
通常、EPM Systemコンポーネントは、EPMSystem
WebLogicドメイン(デフォルトの場所はMIDDLEWARE_HOME/user_projects/domains/EPMSystem
)にデプロイされます。
Kerberos認証用にEPM System WebLogicドメインを構成するには:
Foundation Servicesのデプロイメントにより、デフォルトのEPM System WebLogicドメインが作成されます。
WebLogic ServerでのLDAP認証プロバイダの作成
WebLogic Server管理者は、LDAP認証プロバイダを作成して、ユーザー情報およびグループ情報を外部LDAPサーバーに格納します。LDAP v2-またはv3-に準拠したLDAPサーバーは、WebLogic Serverと連携して機能します。次のリファレンスを参照してください:
ネゴシエート・アイデンティティ・アサーション・プロバイダの作成
ネゴシエート・アイデンティティ・アサーション・プロバイダは、MicrosoftクライアントによるSSOの使用を可能にします。SPNEGOトークンをデコードしてKerberosトークンを取得し、そのKerberosトークンを検証してWebLogicユーザーにマップします。ネゴシエート・アイデンティティ・アサーション・プロバイダは、WebLogic Securityフレームワークで定義されているようにSecurity Service Provider Interface (SSPI)の実装で、クライアントのSPNEGOトークンに基づいたクライアントの認証に必要なロジックを提供します。
ネゴシエート・アイデンティティ・アサーション・プロバイダの作成時、すべての認証プロバイダに対してJAAS制御フラグ・オプションをSUFFICIENT
に設定します。Oracle Fusion Middleware Oracle WebLogic Server Administration Consoleオンライン・ヘルプのJAAS制御フラグの設定を参照してください。
WebLogic Server用のKerberos識別の作成
Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerおよびEPM System Webサーバーを表すユーザー・オブジェクトを作成し、KerberosレルムのWebLogic ServerおよびWebサーバーを表すサービス・プリンシパル名(SPN)にマップします。クライアントでは、SPNがないサービスを検索できません。SPNは、ログイン・プロセスで使用するWebLogic Serverドメインにコピーするkeytabファイルに格納します。
手順の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverの保護ガイドのWebLogic Server用の識別の作成を参照してください。
WebLogic Server用のKerberos識別を作成するには:
epmHost
を作成するなど、Active Directoryドメイン・コントローラ・マシンでユーザー・アカウントを作成します。
注:
マシンではなく、ユーザー・オブジェクトとして識別を作成します。コンピュータの簡易名を使用します。たとえば、ホスト名がepmHost.example.com
の場合、epmHost
を使用します。
ユーザー・オブジェクトの作成時に使用したパスワードを書き留めます。これは、SPNの作成に必要です。
パスワード・オプション、特に「ユーザーは次回ログオン時にパスワードの変更が必要」
オプションを選択しないでください。
「Kerberos事前認証を必要としない」
)が選択されていないことを確認します。epmHost
)にSPNが関連付けられていることを確認します。
setspn -L epmHost
ktpass -princ HTTP/epmHost.example.com@EXAMPLE.COM -pass password -mapuser epmHost -out c:\epmHost.keytab
MIDDLEWARE_HOME/jdk/bin
に移動します。ktab -k keytab_filename -a epmHost@example.com
C:\Oracle\Middleware\user_projects\domains\EPMSystem
など)にkeytabファイルをコピーします。kinit -k -t keytab-file account-name
このコマンドで、account-name
はKerberosプリンシパルを示します(例: HTTP/epmHost.example.com@EXAMPLE.COM
)。このコマンドからの出力は次のようになります:
New ticket is stored in cache file C:\Documents and Settings\Username\krb5cc_MachineB
Kerberos用のJVMオプションの更新
Oracle Fusion Middleware Oracle WebLogic Serverの保護 11g リリース1 (10.3.1)のWebLogic ServerによるKerberos認証での起動引数の使用およびJAASログイン・ファイルの作成を参照してください。
EPM System管理対象サーバーがWindowsのサービスとして稼働している場合、Windowsレジストリを更新して、JVM起動オプションを設定します。
WindowsレジストリでJVM起動オプションを更新するには:
注:
次の表にリストされた名前は例です。
表3-3 Kerberos認証用のJVM起動オプション
名前 | タイプ | データ |
---|---|---|
JVMOption44 | REG_SZ | -Djava.security.krb5.realm=Active Directory Realm Name |
JVMOption45 | REG_SZ | -Djava.security.krb5.kdc=Active Directory host name or IP address |
JVMOption46 | REG_SZ | -Djava.security.auth.login.config=location of Kerberos login configuration file |
JVMOption47 | REG_SZ | -Djavax.security.auth.useSubjectCredsOnly=false |
追加したJVMOptionを反映するようにJVMOptionCount DWordの値を更新します(現在の10進数値に4を加えます)。
認可ポリシーの構成
EPM SystemにアクセスするActive Directoryユーザー用の認可ポリシーの構成の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverロールおよびポリシーによるリソースの保護ガイドのWebアプリケーションおよびEJBリソースの保護のオプションを参照してください。
サンプル・ポリシーの構成ステップは、SSODiag用のポリシーの作成を参照してください。
SSODiagを使用したKerberos環境のテスト
SSODiagは、Kerberos環境でWebLogic ServerがEPM Systemをサポートできる状態にあるかどうかをテストする診断Webアプリケーションです。
SSODiagのデプロイ
Foundation Servicesのデプロイ時に指定したWebLogic Server管理者の資格証明(デフォルトのユーザー名はepm_admin
)を使用して、SSODiagをデプロイします。
SSODiagをデプロイして構成するには:
チェンジ・センターで、「ロックして編集」をクリックします。
/products/Foundation/AppServer/InstallableApps/common/SSODiag.war
を選択します。SSODiag用のOracle HTTP Serverの構成
mod_wl_ohs.conf
を更新して、SSODiag URL要求をWebLogic Serverに転送するようOracle HTTP Serverを構成します。
Oracle HTTP ServerでURL転送を構成するには:
/httpConfig/ohs/config/fmwconfig/components/OHS/ohs_component/mod_wl_ohs.conf
を開きます。LocationMatch
定義を追加します:
<LocationMatch /SSODiag/> SetHandler weblogic-handler WeblogicCluster myServer:28080 </LocationMatch>
前述の例で、myServer
はFoundation Servicesホスト・マシンを表し、28080
はOracle Hyperion Shared Servicesが要求をリスニングするポートを表します。
mod_wl_ohs.conf
を保存して閉じます。SSODiag用のポリシーの作成
WebLogic Server管理コンソールでポリシーを作成し、次のSSODiag URLを保護します。
http://OHS_HOST_NAME:PORT/SSODiag/krbssodiag
この例では、OHS_HOST_NAME
はOracle HTTP Serverをホストするサーバーの名前を表し、PORT
はOracle HTTP Serverが要求をリスニングするポートを表します。
SSODiagを保護するポリシーを作成するには:
/
/index.jsp
krbuser1
など)を入力し、「追加」を選択します。krbuser1
はActive DirectoryまたはWindowsデスクトップ・ユーザーです。「保存」を選択します。
SSODiagを使用したKerberos認証用のWebLogic Server構成のテスト
Kerberos認証用のWebLogic Server構成が正しく機能する場合、Oracle Hyperion Kerberos SSO診断ユーティリティV 1.0ページに次のメッセージが表示されます:
Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... SOME_USER_NAME
注意:
SSODiagがKerberosプリンシパル名を取得できない場合、Kerberos認証用にEPM Systemコンポーネントを構成しないでください。
Kerberos認証用のWebLogic Server構成をテストするには:
http://OHS_HOST_NAME:PORT/SSODiag/krbssodiag
この例では、OHS_HOST_NAME
はOracle HTTP Serverをホストするサーバーの名前を表し、PORT
はOracle HTTP Serverが要求をリスニングするポートを表します。
Kerberos認証が適切に機能する場合、SSODiagは次の情報を表示します:
Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved... SOME_USER_NAME
Kerberos認証が適切に機能しない場合、SSODiagは次の情報を表示します:
Retrieving Kerberos User principal name... failed.
セキュリティ・モデルの変更
セキュリティ・レルムによって保護されているWebアプリケーションのデフォルト・セキュリティ・モデルはDDonly
です。セキュリティ・モデルをCustomRolesAndPolicies
に変更する必要があります。
セキュリティ・モデルを変更するには:
MIDDLEWARE_HOME/user_projects/domains/EPMSystem/config/config.xml
を開きます。<security-dd-model>DDOnly</security-dd-model>
<security-dd-model>CustomRolesAndPolicies</security-dd-model>
config.xml
を保存して閉じます。EPM Systemセキュリティ構成の更新
EPM Systemセキュリティ構成を変更し、Kerberos SSOを使用可能にします。
Kerberos認証用にEPM Systemを構成するには:
「セキュリティ・オプション」で、次の表の設定を選択し、Kerberos SSOを使用可能にします。
表3-4 Kerberos SSOを使用可能にする設定
フィールド | 必要な設定 |
---|---|
SSOの使用可能 | 選択 |
SSOプロバイダ/エージェント | その他 |
SSOメカニズム | HTTP要求からリモート・ユーザーを取得 |
Kerberos SSOのテスト
Foundation Servicesにログインし、Kerberos SSOが適切に機能することを確認します。
Kerberos SSOをテストするには:
EPM Systemコンポーネントの構成
EPM Systemコンフィグレータを使用して、Foundation ServicesがデプロイされているWebLogicドメインに他のEPM Systemコンポーネントを構成およびデプロイします。
Kerberos認証用のEPM System管理対象サーバーの構成
Microsoft Windows環境では、EPM System管理対象サーバーはWindowsサービスとして実行されます。WebLogic管理対象サーバーごとにJVM起動オプションを変更する必要があります。非コンパクト・デプロイメント・モードの管理対象サーバーの包括的なリストは次のとおりです:
EPM SystemのWebアプリケーションがコンパクト・デプロイメント・モードでデプロイメントされている場合は、EPMSystem0
管理対象サーバーのJVM起動オプションのみを更新する必要があります。複数のコンパクト管理対象サーバーがある場合、すべての管理対象サーバーについてJVM起動オプションを更新する必要があります。
Oracle Fusion Middleware Oracle WebLogic Serverの保護ガイドのWebLogic ServerによるKerberos認証での起動引数の使用を参照してください。
注:
次の手順は、FoundationServices管理対象サーバーのJVM起動オプションを設定する方法を示しています。このタスクは、デプロイメント内のWebLogic管理対象サーバーごとに実行する必要があります。WebLogic Server起動スクリプトでJVMオプションを構成する手順の詳細は、Kerberos用のJVMオプションの更新を参照してください。
WebLogic Server起動スクリプトでJVMオプションを構成する手順
認可ポリシーの構成
Foundation Services以外のEPM SystemコンポーネントにアクセスするActive Directoryユーザー用の認可ポリシーを構成します。WebLogic管理コンソールからのセキュリティ・ポリシーの構成の詳細は、認可ポリシーの構成を参照してください。
EPM Systemコンポーネントのデフォルトのセキュリティ・モデルの変更
EPM System構成ファイルを編集して、デフォルトのセキュリティ・モデルを変更します。非コンパクトEPM Systemデプロイメントの場合、config.xml
に記録されている各EPM System Webアプリケーションのデフォルトのセキュリティ・モデルを変更する必要があります。EPM System Webアプリケーションのリストは次のとおりです:
セキュリティ・モデルを変更するには:
MIDDLEWARE_HOME/user_projects/domains/EPMSystem/config/config.xml
を開きます<security-dd-model>
の値をCustomRolesAndPolicies
に設定します:
<app-deployment> <name>SHAREDSERVICES#11.1.2.0</name> <target>EPMServer</target> <module-type>ear</module-type> <source-path>C:\Oracle\Middleware\EPMSystem11R1/products/Foundation/AppServer/InstallableApps/common/interop.ear</source-path> <security-dd-model>CustomRolesAndPolicies</security-dd-model> <staging-mode>nostage</staging-mode> </app-deployment>
config.xml
を保存して閉じます。EPM SystemコンポーネントのURL保護ポリシーの作成
各EPM SystemコンポーネントのURLを保護するには、WebLogic Server管理コンソールでURL保護ポリシーを作成します。詳細は、Oracle Fusion Middleware Oracle WebLogic Serverロールおよびポリシーによるリソースの保護ガイドのWebアプリケーションおよびEJBリソースの保護のオプションを参照してください。
URL保護ポリシーを作成するには:
PLANNING
など)を展開し、そのWebアプリケーション(HyperionPlanning
など)をクリックします。EPM Systemコンポーネントのリストは、EPM Systemコンポーネントのデフォルトのセキュリティ・モデルの変更を参照してください。
注:
一部のエンタープライズ・アプリケーション(Oracle Essbase Administration Servicesなど)は、URLパターンの定義が必要な複数のWebアプリケーションから構成されます。指定したグループのすべてのメンバーにこのセキュリティ・ポリシーを付与する「グループ」
条件を使用することをお薦めします。
「グループ」
を選択した場合、次のステップを実行する必要があります:Active Directoryでグループが見つからない場合は、WebLogic Serverにエラー・メッセージが表示されます。続行する前に、このエラーを解決する必要があります。
Webアプリケーションでのクライアント証明書ベースの認証の使用可能化
EPM_ORACLE_HOME/products/
内にある次のアプリケーション・アーカイブの構成ファイルにlogin-config
定義を挿入します。
Essbase/eas/server/AppServer/InstallableApps/Common/eas.ear
FinancialDataQuality/AppServer/InstallableApps/aif.ear
financialreporting/InstallableApps/HReports.ear
Profitability/AppServer/InstallableApps/common/profitability.ear
クライアント証明書ベースの認証を使用可能にするには:
EPM_ORACLE_HOME/products/Essbase/eas/server/AppServer/InstallableApps/Common/eas.ear/eas.war
)を展開します。WEB-INF
に移動します。web.xml
を変更します。具体的には、</webapp>
要素の直前に次のlogin_config
定義を追加します:
<login-config> <auth-method>CLIENT-CERT</auth-method> </login-config>
web.xml
を保存します。EPM Systemセキュリティ構成の更新
SSOを順守するようにEPM Systemセキュリティを構成します。SSO用のEPM Systemの構成を参照してください。