| Oracle Fusion Middleware Oracle SOA Suiteエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B55899-01 |
|
 戻る |
 次へ |
| Oracle Fusion Middleware Oracle SOA Suiteエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B55899-01 |
|
戻る |
次へ |
この章の項目は次のとおりです。
Oracle Access Manager(OAM)は、Oracle Fusion Middleware 11g リリース1のシングル・サインオン・ソリューショントとして推奨されています。OAMのインストールおよび構成の詳細は、『Enterprise Deployment Guide for Oracle Identity Management』を参照してください。この章では、既存のOAMインストールおよび基礎となるディレクトリ・サービスでSOAインストールを構成する手順を説明します。Oracle Internet Directory(OID)またはOracle Virtual Directory(OVD)のいずれか、あるいはこの両方のディレクトリ・サービスの使用をお薦めします。
Oracle Access Manager(OAM)の設定では、Access Managerおよびポリシー・マネージャを保護するポリシーを完備した、OAMインストールが存在することを前提としています。OAMのインストールおよび構成の詳細は、『Enterprise Deployment Guide for Oracle Identity Management』を参照してください。この設定には、スタンドアロンのOracle Virtual Directory(OVD)構成またはその一部としてのOracle Internet Directory(OID)などのディレクトリ・サービスがあります。この章では、SOAをインストールした環境をOIDまたはOVDを使用して構成する際に必要な手順を説明します。
さらに、OAMのインストール環境にはWebGateで構成した専用のWebサーバーが必要です。またこの項では、OAM Webサーバーを委任認証サーバーとして使用する手順についても説明します。
OAM構成ツール(oamcfg)は、一連のスクリプトを起動して必要なポリシーを設定します。そのためには、入力情報として様々なパラメータが必要となります。具体的には次の項目が作成されます。
OAMのフォーム認証スキーム
WLSでの認証を可能にするポリシー
Web層にあるOHS WebGateで構成済アプリケーションを保護できるようにOAMで指定するWebGateエントリ
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
アプリケーション固有のURLを保護するポリシーおよび保護対象としないポリシー
この項の項目は次のとおりです。
OAM構成ツールを実行するために収集または事前に準備する情報は次のとおりです。
パスワード: セキュアなパスワードを作成します。このパスワードは、この後に作成するWebGateインストールのパスワードとして使用します。
LDAPホスト: HA/EDGを構成する場合のディレクトリ・サーバーのホスト名またはロード・バランサ・アドレス。
LDAPポート: ディレクトリ・サーバーのポート。
LDAPユーザーのDN: LDAP管理ユーザーのDN。これは「cn=orcladmin」などの値です。
LDAPパスワード: LDAP管理ユーザーのパスワード。
oam_aa_host: Oracle Access Managerのホスト名。
oam_aa_port: Oracle Access Managerのポート。
OAM構成ツールは、ORACLE_HOME/modules/oracle.oamprovider_11.1.1/ディレクトリ(ORACLE_HOMEはOAM構成ツールを実行するマシンにより異なる)にあります。このツールは、必要なインストール・ファイルがあればすべてのマシンから実行できます。ここではSOAHOST1から実行します。
次のようにOAM構成ツールを実行します(すべて1行のコマンド・ラインに記述します)。
ORACLE_BASE/product/fmw/jrockit_160_05_R27.6.2-20/bin java -jar oamcfgtool.jar mode=CREATE app_domain="SOA_EDG" protected_uris="$URI_LIST" app_agent_password=<Password_to_be_provisioned_for_App_Agent> ldap_host=OID.MYCOMPANY.COM ldap_port=389 ldap_userdn="cn=orcladmin" ldap_userpassword=<Password_of_LDAP_Admin_User> oam_aaa_host=OAMHOST1 oam_aaa_port=OAMPORT1
このコマンドの$URI_LIST変数はトポロジによって次のように異なります。
SOAのみを使用する場合:
$URI_LIST="/DefaultToDoTaskFlow,/integration/worklistapp, /b2b,/sdpmessaging/userprefs-ui,/em,/console"
BAMのみを使用する場合:
$URI_LIST="/OracleBAM"
SOAおよびBAMを使用する場合:
$URI_LIST="/DefaultToDoTaskFlow,/integration/worklistapp, /b2b,/sdpmessaging/userprefs-ui,/em,/console,/OracleBAM"
|
注意: BAMを後でインストールする場合または別のURLの保護が必要になった場合は、同じapp_domainを使用し、新しいURLのみではなく、保護するURLをすべて指定して、再度OAM構成ツールを実行してください。 |
コマンドが正常に実行された場合、次のような出力が得られます。
Successfully connected to LDAP Processed input parameters Intialized Global Configuration
ポリシー・ドメインの確認
ポリシー・ドメインを確認する手順は次のとおりです。
http://OAMADMINHOST:<port>/access/oblix/のOracle Access Managerにログオンします。
「ポリシー・マネージャ」をクリックします。
左のパネルにある「ポリシー・ドメイン」リンクをクリックすると、すべてのポリシー・ドメインのリストが表示されます。このリストには作成直後のドメインも表示されます。このドメインの接尾辞は_PDなので、ドメイン名はSOA_EDG_PDのようになります(3番目の列「URL接頭辞」には、このドメインの作成時に指定したURIも表示されます)。
作成したポリシー・ドメインへのリンクをクリックすると、このドメインの「一般」領域が表示されます。
「リソース」タブをクリックすると、指定したURIが表示されます。他のタブをクリックし、他の設定を表示することもできます。
アクセス・ゲート構成を確認する手順は次のとおりです。
右上にある「アクセス・システム・コンソール」リンクをクリックします(このリンクはトグル方式なので、クリックした後は「ポリシー・マネージャ」リンクになります)。
「アクセス・システム構成」タブをクリックします。
左のパネルにある「アクセス・ゲート構成」リンクをクリックします。
検索条件にSOA_EDGと入力し(または第9.3.2項「OAM構成ツールの実行」でapp_domain名として使用した他のサブストリングなどを入力)、「実行」をクリックします。
作成したドメインのアクセス・ゲートが表示されたら(アクセス・ゲートの接尾辞は_AGなので、その名前はSOA_EDG_AGのようになる)、それをクリックするとアクセス・ゲートの詳細が表示されます。
OAM構成ツールは、app_domainパラメータの値を使用してポリシー・ドメインのホスト識別子を作成します。構成が正常に機能するためには、ホストに対するすべてのホスト名バリエーションを反映してホスト識別子を更新する必要があります。OAM構成ツールで作成したホスト識別子を更新する手順は次のとおりです。
Webブラウザで次のURLを指定し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているWebPassのホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力を求められたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、OAM構成ツールで作成したホスト識別子をクリックします。たとえば、「SOA_EDG」を選択します。
「ホスト識別子詳細」ページで「変更」をクリックします。
「ホスト識別子の変更」ページで、ホストに対して考えられるホスト名バリエーションをすべて追加します。プラス記号およびマイナス記号をクリックし、必要に応じてフィールドを追加または削除します。「アクセス・システム構成」で使用する「優先HTTPホスト」の値は、ホスト名バリエーションの1つとして追加する必要があります。たとえば、soedg_wd、webhost1.mycompany.com:7777、admin.mycompany.com:7777があります。
「キャッシュの更新」の横にあるチェック・ボックスを選択し、「保存」をクリックします。
「現時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」という内容のメッセージ・ボックスが表示されます。
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで変更内容を確認します。
OAM構成ツールでは、app_domainパラメータの値で作成したWebGateプロファイルのPreferred_HTTP_Hostおよびホスト名属性に値が移入されます。正しく機能する構成とするには、この2つの属性の両方を適切な値で更新する必要があります。OAM CFGツールで作成したWebGateプロファイルを更新する手順は次のとおりです。
Webブラウザで次のURLを指定し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているWebPassのホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」リンクをクリックし、「アクセス・ゲート検索」ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
OAM構成ツールで作成したアクセス・ゲートを選択します。たとえば、SOA_EDG_AGを選択します。
「アクセス・ゲート詳細」ページで、「変更」を選択し、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次のように更新します。
ホスト名: WebGateを実行しているコンピュータの名前にホスト名を更新します(webhost1.mycompany.comなど)。
優先HTTPホスト: 前述の項で指定したホスト名バリエーションの1つにPreferred_HTTP_Hostを更新します(admin.mycompany.com:7777など)。
「保存」をクリックします。「これらの変更をコミットしますか。」という内容のメッセージ・ボックスが表示されます。
「OK」をクリックして、構成の更新を終了します。
「アクセス・ゲートの詳細」ページに表示される値を確認し、正常に更新されたことを確認します。
OAMインストールとともにインストールしたWebGateにリダイレクトするようにフォーム認証を構成する手順は次のとおりです。
「アクセス・システム・コンソール」を開きます。
「アクセス・システム構成」画面で、左側のバーから「認証管理」を選択します。
「OraDefaultFormAuthNScheme」を選択します。
「変更」をクリックします。
「チャレンジ・リダイレクト」フィールドで、IDMインストールのホストとポートを入力します(http://sso.mycompany.comなど)。
WebGateは、IDMインストールにインストールしておく必要があります。詳細は、IDMのEDGを参照してください。
Web層を保護するために、次の手順を実行して各WEBHOSTnマシンにWebGateをインストールする必要があります。
次のコマンドを使用して、WebGateインストーラを起動します(インストーラの場所は、第1.5.5項「インストールするコンポーネント」を参照)。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate –gui
「ようこそ」画面が表示されます。「次へ」をクリックします。
「顧客情報」画面(図9-1)で、Webサーバーを実行しているユーザー名とユーザー・グループを入力します。「次へ」をクリックして続行します。
インストール先画面(図9-2)で、WebGateをインストールするディレクトリを指定します。「次へ」をクリックして続行します。
インストールの概要の画面で「次へ」をクリックします。
WebGate構成画面(図9-3)の説明に従って、WebGateに必要なGCCランタイム・ライブラリをダウンロードし、「参照」を使用して、このGCCランタイム・ライブラリのローカル・コンピュータ上の場所を指定します。「次へ」をクリックして続行します。
この段階で、インストーラにより必要なアーティファクトが作成されます。作成が完了したら、「次へ」をクリックして続行します。
「トランスポート・セキュリティ・モード」画面(図9-4)で、「オープン・モード: 暗号化なし」を選択し、「次へ」をクリックして続行します。
WebGate構成画面で、使用するアクセス・サーバーの詳細を入力します。入力する情報は次のとおりです。
WebGate ID: OAM構成ツールを実行したときの指定のID
WebGateのパスワード
アクセス・サーバーID: OAMアクセス・サーバー構成から報告されたID
アクセス・サーバーのホスト名: OAMアクセス・サーバー構成から報告された名前
アクセス・サーバーのポート番号: OAMアクセス・サーバー構成から報告された番号
|
注意: アクセス・サーバーのID、ホスト名およびポートは、すべて入力が必須の項目です。 |
これらの詳細は、Oracle Access Manager管理者から取得できます。「次へ」をクリックして続行します。
「Webサーバーの構成」画面で「はい」をクリックすると、自動的にWebサーバーが更新されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。このファイルは、次のディレクトリにあります。
ORACLE_BASE/admin/<OHS_Instance>/config/OHS/<OHS_ComponentName>
次に例を示します。
/u01/app/oracle/admin/ohs_instance2/config/OHS/ohs2/httpd.conf
「次へ」をクリックして続行します。
表示された「Webサーバーの構成」ページに、Webサーバー構成がWebGate向けに変更されたことを示すメッセージが示されます。「はい」をクリックして確認します。
Webサーバーをいったん停止してから再起動し、構成の更新を有効にします。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、「WebサーバーをSSLモードで設定する場合、SSL関連パラメータを使用してhttpd.confファイルを構成する必要があります。SSL構成を手動で調整するには、表示される指示に従ってください。」というメッセージが示されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、製品設定とWebサーバーの構成の残りの部分に関する情報が記載されているドキュメントの場所を示すメッセージが表示されます。「いいえ」を選択し、「次へ」をクリックして続行します。
最後の「Webサーバーの構成」画面が表示されます。Webサーバーの構成に関する詳細情報を得るには、手動でブラウザを起動し、該当のHTMLドキュメントを開くように指示するメッセージが表示されます。「次へ」をクリックして続行します。
「Oracle COREid Readme」画面が表示されます。画面の情報を確認し、「次へ」をクリックして続行します。
正常にインストールが完了したことを示すメッセージが、インストールの詳細とともに表示されます。
この項の項目は次のとおりです。
この項の項目は次のとおりです。
まず、次の関連する構成ファイルをバックアップします。
/u01/app/oracle/fmw_webcenter/user_projects/domains/wcedg/config/config.xml /u01/app/oracle/fmw_webcenter/user_projects/domains/wcedg/config/fmwconfig/jps-config.xml /u01/app/oracle/fmw_webcenter/user_projects/domains/wcedg/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
WebLogic Serverコンソールを使用して、LDAPを使用するアイデンティティ・ストアを構成し、適切な認証プロバイダを設定する手順は次のとおりです。
WebLogic Serverコンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
このレルムにある「プロバイダ」タブを開きます。
このレルム用に構成したDefaultAuthenticatorプロバイダがあることを確認します。
「新規」ボタンをクリックし、新しいプロバイダを追加します。
Oracle Internet Directoryに対してユーザーを認証するプロバイダの名前(OIDAuthenticatorなど)を入力します。
認証プロバイダのリストから「OracleInternetDirectoryAuthenticator」タイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成した「OIDAuthenticator」をクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。このフラグは、この認証プロバイダによって正常に認証されたユーザーは、その認証を受け入れたうえで、他の認証プロバイダを呼び出さないようにすることを示しています。認証に失敗した場合、そのユーザーは、チェーンにある次の順番の認証プロバイダに引き継がれます。移行のすべての認証プロバイダの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特に「DefaultAuthenticator」を確認し、その制御フラグを「SUFFICIENT」に設定します。
「保存」をクリックしてこの設定を保存します。
「プロバイダ固有」タブを開き、LDAPサーバーの詳細情報を入力します。
使用しているLDAPサーバーに固有の詳細情報を入力します。入力が終了したら「保存」をクリックします。
OAM IDアサータを設定する手順は次のとおりです。
WebLogicコンソールにログインしていない場合は、ログインします。
SecurityRealms\<Default Realm Name>\Providersに移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAM Identity Asserter」を選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「保存」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「プロバイダ固有」タブを開き、必要な設定を次のように構成します。
プライマリ・アクセス・サーバー: OAMサーバーのエンドポイント情報をHOST:PORT形式で指定します。
アクセス・ゲート名: アクセス・ゲートの名前(SOA_EDG_AGなど)。
アクセス・ゲートのパスワード: アクセス・ゲートのパスワード(オプション)。
設定を保存します。
「/」で記述したURLにコンソール・アプリケーションが直接ログインできるように、そのアプリケーションのweb.xmlファイルを変更します。これを行うための手順は次のとおりです。
次のようにORACLE_BASE/fmw/wlserver_10.3/server/lib/consoleapp/webapp/WEB-INF/web.xmlファイルをバックアップします。
SOAHOST1>cp ORACLE_BASE/fmw/wlserver_10.3/server/lib/consoleapp/webapp/WEB-INF/web.xml ORACLE_BASE/fmw/wlserver_10.3/server/lib/consoleapp/webapp/WEB-INF/web.xml.backup
web.xmlファイルを編集して、form-login-pageのURLを「/」に変更します。
具体的な変更箇所は次のとおりです。
login-config>
<auth-method>CLIENT-CERT,FORM</auth-method>
<form-login-config>
<form-login-page>/login/LoginForm.jsp</form-login-page>
<form-error-page>/login/LoginError.jsp</form-error-page>
</form-login-config>
</login-config>
これを次のように変更します。
<login-config>
<auth-method>CLIENT-CERT,FORM</auth-method>
<form-login-config>
<form-login-page>/</form-login-page>
<form-error-page>/login/LoginError.jsp</form-error-page>
</form-login-config>
</login-config>
同じSSOの動作で管理サーバーがフェイルオーバーできるようにするには、SOAHOST2のインストールで上記の手順を繰り返します。
管理サーバーを再起動します。
LDAPを構成した場合は、管理ユーザーも含め、すべてのユーザーをLDAPユーザーとする必要があります。これはLDAP管理者が構成します。適切なユーザーで構成した管理グループを作成することが必要です。必要な手順の詳細は、『Enterprise Deployment Guide for Oracle Identity Management』の第8.5項を参照してください。グループ名としてSOA Administrators、管理ユーザー名としてweblogic_soaを使用します。
このグループを作成した場合、WebLogicサーバーのWLSグローバル管理ロールのロール定義を次のように更新する必要があります。
WLS管理コンソールにアクセスします。
「セキュリティ・レルム」→「<myrealm>」→「ロールとポリシー」→「グローバル・ロール」→「ロール」→「管理ビュー・ロール条件」を選択して、管理ロールを定義する場所に移動します。
デフォルトでは、WebLogicサーバーで管理ロールを持つユーザーがOIDの管理者グループに定義されています。
これを変更するには、「条件の追加」をクリックし、別のグループ名を追加します。さらに、管理者グループを削除して、選択した新しいグループを残します。
この変更を行った後は、新しいグループに指定されたすべてのメンバーにWLSを管理する権限が与えられます。
拡張したドメインが正常に動作していることを確認した後、そのインストール内容をバックアップします。これは、以降の手順で問題が発生した場合に短時間でリストアできることを考慮した迅速なバックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了すれば、このバックアップは破棄してかまいません。その時点では、デプロイメント固有の定期的なバックアップ手順とリカバリ手順を実行できるようになっています。詳細は、Oracle Fusion Middlewareの管理者ガイドを参照してください。バックアップおよびリストアを必要とするOracle HTTP Serverのデータの詳細は、このガイドでOracle HTTP Serverのバックアップとリカバリの推奨事項に関する項を参照してください。コンポーネントのリカバリ方法に関する詳細は、このガイドでコンポーネントのリカバリに関する項およびコンポーネントが失われた後のリカバリに関する項を参照してください。ホストが失われた場合のリカバリに固有の推奨事項は、このガイドで別のホストへのOracle HTTP Serverのリカバリに関する項を参照してください。データベースのバックアップに関する詳細は、『Oracle Database Backup and Recovery Guide』も参照してください。
この時点でインストールをバックアップする手順は次のとおりです。
Web層をバックアップする手順は次のとおりです。
opmnctlを使用してインスタンスを停止します。
ORACLE_BASE/admin/<instance_name>/bin/opmnctl stopall
次のコマンドをroot権限で実行して、Web層のミドルウェア・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web.tar $MW_HOME
次のコマンドをroot権限で実行して、Web層のインスタンス・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web_instance.tar $ORACLE_INSTANCE
opmnctlを使用してインスタンスを起動します。
ORACLE_BASE/admin/<instance_name>/bin/opmnctl startall
管理サーバーのドメイン・ディレクトリをバックアップします。バックアップを実行してドメイン構成を保存します。構成ファイルはすべてORACLE_BASE/admin/<domain_name>ディレクトリ以下にあります。
SOAHOST1> tar -cvpf edgdomainback.tar ORACLE_BASE/admin/<domain_name>
