SiteMinder SSO
SiteMinderはWeb専用のソリューションです。デスクトップ・アプリケーションおよびそのアドイン(たとえば、Microsoft ExcelやReport Designer)は、SiteMinderからの認証を使用できません。ただし、Oracle Smart View for Officeでは、SiteMinder認証を使用できます。
プロセス・フロー
SiteMinder使用可能なSSOの概要を図で示します:
SiteMinderのSSOプロセス:
- ユーザーは、SiteMinderによって保護されたOracle Enterprise Performance Management Systemリソースにアクセスしようとします。SiteMinderポリシー・サーバーをフロントエンドするWebサーバーに接続するURL(
http://WebAgent_Web_Server_Name:WebAgent_Web_ServerPort/interop/index.jspなど)を使用します。 - Webサーバーは、資格証明を要求するポリシー・サーバーにユーザーをリダイレクトします。構成済ユーザー・ディレクトリに対する資格証明の検証後、ポリシー・サーバーは、SiteMinder WebエージェントのホストとなるWebサーバーに資格証明を渡します。
- SiteMinder WebエージェントのホストとなるWebサーバーは、EPM SystemをフロントエンドするOracle HTTP Serverに要求をリダイレクトします。Oracle HTTP Serverは、Oracle WebLogic Server上にデプロイされている、要求されたアプリケーションにユーザーをリダイレクトします。
- EPM Systemコンポーネントは、プロビジョニング情報を確認し、コンテンツを提供します。このプロセスが機能するには、SiteMinderでユーザーの認証に使用するユーザー・ディレクトリを、EPM Systemの外部ユーザー・ディレクトリとして構成する必要があります。これらのディレクトリは信頼済として構成する必要があります。
注意事項
SiteMinderはWeb専用のソリューションです。デスクトップ・アプリケーションおよびそのアドイン(たとえば、Microsoft ExcelやReport Designer)は、SiteMinderからの認証を使用できません。ただし、Smart Viewでは、SiteMinder認証を使用できます。
前提条件
- 完全な機能のSiteMinderインストールは、次のコンポーネントで構成されています:
- ポリシーおよびエージェント・オブジェクトが定義されたSiteMinderポリシー・サーバー
- SiteMinderポリシー・サーバーをフロントエンドするWebサーバーにインストールされたSiteMinder Webエージェント
- 完全な機能のEPM Systemデプロイメント。
EPM SystemコンポーネントにWebサーバーを構成する場合、EPM Systemコンフィグレータは、WebLogic Serverに要求をプロキシするように
mod_wl_ohs.confを構成します。
SiteMinder Webエージェントの使用可能化
Webエージェントは、EPM Systemリソースに対する要求をインターセプトするWebサーバー上にインストールされます。認証されていないユーザーが保護されたEPM Systemリソースにアクセスしようとすると、Webエージェントではユーザーに対してSSO資格証明を要求します。ユーザーが認証されると、ポリシー・サーバーは認証されたユーザーのログイン名を追加し、そのログイン名はヘッダーで渡されます。その後、HTTP要求がEPM System Webサーバーに渡され、要求をリダイレクトします。EPM Systemコンポーネントはヘッダーから認証済ユーザー資格証明を抽出します。
SiteMinderは、異種のWebサーバー・プラットフォーム上で実行されているEPM System製品全体のSSOをサポートしています。EPM System製品が異なるWebサーバーを使用する場合、SiteMinder Cookieを同じドメイン内のWebサーバーに確実に渡せるようにする必要があります。各WebサーバーのWebAgent.confファイルのCookiedomainプロパティの値として適切なEPM Systemアプリケーション・ドメインを指定して、これを行います。
Netegrity SiteMinderエージェント・ガイドのWebエージェントの構成に関する項を参照してください。
注:
Oracle Hyperion Shared Servicesはそのコンテンツを保護するために基本認証を使用するため、Shared Servicesへの要求をインターセプトするWebサーバーは、SiteMinderを使用したSSOをサポートできるように基本認証を使用可能にする必要があります。SiteMinder Webエージェント構成ウィザードを実行して、Webエージェントを構成します(これを行うには、WEBAGENT_HOME/install_config_info/nete-wa-configを実行します。たとえば、Windowsの場合、C:\netegrity\webagent\install_config_info\nete-wa-config.exeになります)。構成プロセスでは、SiteMinder WebサーバーのWebAgent.confが作成されます。
SiteMinder Webエージェントを使用可能にするには:
例3-1 SiteMinderポリシー・サーバーの構成
SiteMinder管理者は、EPM System製品にSSOが使用可能になるようにポリシー・サーバーを構成する必要があります。
構成プロセスは次のとおりです:
- SiteMinder Webエージェントの作成、およびSiteMinder Webサーバーに適した構成オブジェクトの追加
- 保護する必要がある各EPM Systemリソースのレルムの作成、およびWebエージェントのレルムへの追加。保護するリソースを参照してください
- 保護するEPM Systemリソース用に作成されたレルム内で、保護しないリソース用のレルムを作成します。保護しないリソースを参照してください
- HTTPヘッダー参照の作成。ヘッダーは、EPM Systemアプリケーションに
ログイン属性の値を提供する必要があります。ログイン属性の簡単な説明は、Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドのOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成を参照してください。 - Webエージェント・アクションとして、取得、ポストおよび配置を使用したレルム内のルールの作成
- 値が
hyplogin=<%userattr="SM_USERLOGINNAME"%>のレスポンス属性の作成 - ポリシーの作成、ユーザー・ディレクトリ・アクセスの割当て、およびEPM System用に作成したルールの現在のメンバー・リストへの追加
- EPM Systemコンポーネント用に作成したルールに対する応答の設定
例3-2 EPM System Webサーバーに要求を転送するためのSiteMinder Webサーバーの構成
SiteMinder WebエージェントのホストとなるWebサーバーを構成して、認証済ユーザー(ユーザーを識別するヘッダーを含む)からEPM System Webサーバーに要求を転送します。
ApacheベースのWebサーバー用に、次の記述に類似したディレクティブを使用して、認証済要求を転送します:
ProxyPass / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/ ProxyPassReverse / http://EPM_WEB_SERVER:EPM_WEB_SERVER_PORT/ ProxyPreserveHost On #If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP RequestHeader set WL-Proxy-SSL true
このディレクティブで、EPM_WEB_SERVERおよびEPM_WEB_SERVER_PORTを、各自の環境の実際の値に置き換えます。
例3-3 EPM SystemでSiteMinderを使用可能にする
SiteMinderとの統合により、EPM System製品のSiteMinder認証を使用可能にする必要があります。SSO用のEPM Systemの構成を参照してください。