| Oracle Fusion Middleware Oracle WebCenterエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B55900-01 |
|
 戻る |
 次へ |
| Oracle Fusion Middleware Oracle WebCenterエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B55900-01 |
|
戻る |
次へ |
この章の項目は次のとおりです。
Oracle Access Manager(OAM)は、Oracle Fusion Middleware 11g リリース1のシングル・サインオン・コンポーネントとして推奨されています。OAMのインストールおよび構成の詳細は、『Enterprise Deployment Guide for Oracle Identity Management』を参照してください。この章では、既存のOAMインストールおよび基礎となるディレクトリ・サービスでWebCenterインストールを構成する手順を説明します。Oracle Internet Directory(OID)またはOracle Virtual Directory(OVD)のいずれか、あるいはこの両方のディレクトリ・サービスの使用をお薦めします。
Oracle Access Manager(OAM)の設定では、Access Managerおよびポリシー・マネージャを保護するポリシーを完備した、OAMインストールが存在することを前提としています。OAMのインストールおよび構成の詳細は、『Enterprise Deployment Guide for Oracle Identity Management』を参照してください。この設定には、スタンドアロンのOracle Virtual Directory(OVD)構成またはその一部としてのOracle Internet Directory(OID)などのディレクトリ・サービスがあります。この章では、WebCenterをインストールした環境をOIDまたはOVDを使用して構成する際に必要な手順を説明します。
さらに、OAMのインストール環境にはWebGateで構成した専用のWebサーバーが必要です。またこの項では、OAM Webサーバーを委任認証サーバーとして使用する手順についても説明します。
OAM構成ツール(oamcfg)は、一連のスクリプトを起動して必要なポリシーを設定します。そのためには、入力情報として様々なパラメータが必要となります。具体的には次の項目が作成されます。
OAMのフォーム認証スキーム
WLSでの認証を可能にするポリシー
Web層にあるOHS WebGateで構成済アプリケーションを保護できるようにOAMで指定するWebGateエントリ
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
アプリケーション固有のURLを保護するポリシーおよび保護対象としないポリシー
この項の項目は次のとおりです。
OAM構成ツールを実行するために収集または事前に準備する情報は次のとおりです。
パスワード: セキュアなパスワードを作成します。このパスワードは、この後に作成するWebGateインストールのパスワードとして使用します。
LDAPホスト: HA/EDGを構成する場合のディレクトリ・サーバーのホスト名またはロード・バランサ・アドレス。
LDAPポート: ディレクトリ・サーバーのポート。
LDAPユーザーのDN: LDAP管理ユーザーのDN。これは「cn=orcladmin」などの値です。
LDAPパスワード: LDAP管理ユーザーのパスワード。
oam_aa_host: Oracle Access Managerのホスト名。
oam_aa_port: Oracle Access Managerのポート。
OAM構成ツールは、ORACLE_HOME/modules/oracle.oamprovider_11.1.1/ディレクトリ(ORACLE_HOMEはOAM構成ツールを実行するマシンにより異なる)にあります。このツールは、必要なインストール・ファイルがあればすべてのマシンから実行できます。ここではSOAHOST1から実行します。
次のようにOAM構成ツールを実行します(すべて1行のコマンド・ラインに記述します)。
ORACLE_BASE/product/fmw/jrockit_160_05_R27.6.2-20/bin java -jar oamcfgtool.jar mode=CREATE app_domain="WebCenter_EDG" protected_uris="$URI_LIST" public_uris="$PUBLIC_URI_LIST" app_agent_password=<Password_to_be_provisioned_for_App_Agent> ldap_host=OID.MYCOMPANY.COM ldap_port=389 ldap_userdn="cn=orcladmin" ldap_userpassword=<Password_of_LDAP_Admin_User> oam_aaa_host=OAMHOST1 oam_aaa_port=OAMPORT1
このコマンドの$URI_LIST変数と$PUBLIC_URI_LIST変数は、トポロジによって次のように異なります。
WebCenterのみを使用する場合:
$URI_LIST="/webcenter/adfAuthentication,/owc_wiki/user/login.jz,/owc_wiki/adfAuthentication,/integration/worklistapp,/workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow,/workflow/WebCenterWorklistDetail/faces/adf.task-flow,/workflow/sdpmessagingsca-ui-worklist,/rss/rssservlet,/owc_discussions/login!withRedirect.jspa,/owc_discussions/login!default.jspa,/owc_discussions/login.jspa,/owc_discussions/admin,/em,/console"
$PUBLIC_URI_LIST="/webcenter,/owc_wiki,/owc_discussions,/rss,/workflow"
WebCenterおよびSOAを使用する場合:
$URI_LIST="/webcenter/adfAuthentication,/owc_wiki/user/login.jz,/owc_wiki/adfAuthentication,/integration/worklistapp,/workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow,/workflow/WebCenterWorklistDetail/faces/adf.task-flow,/workflow/sdpmessagingsca-ui-worklist,/rss/rssservlet,/owc_discussions/login!withRedirect.jspa,/owc_discussions/login!default.jspa,/owc_discussions/login.jspa,/owc_discussions/admin,/em,/console, /DefaultToDoTaskFlow,/b2b,/sdpmessaging/userprefs-ui"
$PUBLIC_URI_LIST="/webcenter,/owc_wiki,/owc_discussions,/rss,/workflow"
|
注意: SOAを後でインストールする場合または別のURLの保護が必要になった場合は、同じapp_domainを使用し、新しいURLのみではなく、保護するURLをすべて指定して、再度OAM構成ツールを実行してください。 |
コマンドが正常に実行された場合、次のような出力が得られます。
Successfully connected to LDAP Processed input parameters Intialized Global Configuration
ポリシー・ドメインの確認
ポリシー・ドメインを確認する手順は次のとおりです。
http://OAMADMINHOST:<port>/access/oblix/のOracle Access Managerにログオンします。
「ポリシー・マネージャ」をクリックします。
左のパネルにある「ポリシー・ドメイン」リンクをクリックすると、すべてのポリシー・ドメインのリストが表示されます。このリストには作成直後のドメインも表示されます。このドメインの接尾辞は_PDなので、ドメイン名はWebCenter_EDG_PDのようになります(3番目の列「URL接頭辞」には、このドメインの作成時に指定したURIも表示されます)。
作成したポリシー・ドメインへのリンクをクリックすると、このドメインの「一般」領域が表示されます。
「リソース」タブをクリックすると、指定したURIが表示されます。他のタブをクリックし、他の設定を表示することもできます。
アクセス・ゲート構成を確認する手順は次のとおりです。
右上にある「アクセス・システム・コンソール」リンクをクリックします(このリンクはトグル方式なので、クリックした後は「ポリシー・マネージャ」リンクになります)。
「アクセス・システム構成」タブをクリックします。
左のパネルにある「アクセス・ゲート構成」リンクをクリックします。
検索条件にSOA_EDGと入力し(または第10.3.2項「OAM構成ツールの実行」でapp_domain名として使用した他のサブストリングなどを入力)、「実行」をクリックします。
作成したドメインのアクセス・ゲートが表示されたら(アクセス・ゲートの接尾辞は_AGなので、その名前はWebCenter_EDG_AGのようになる)、それをクリックするとアクセス・ゲートの詳細が表示されます。
OAM構成ツールは、app_domainパラメータの値を使用してポリシー・ドメインのホスト識別子を作成します。構成が正常に機能するためには、ホストに対するすべてのホスト名バリエーションを反映してホスト識別子を更新する必要があります。OAM構成ツールで作成したホスト識別子を更新する手順は次のとおりです。
Webブラウザで次のURLを指定し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているWebPassのホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力を求められたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、OAM構成ツールで作成したホスト識別子をクリックします。たとえば、「WebCenter_EDG」を選択します。
「ホスト識別子詳細」ページで「変更」をクリックします。
「ホスト識別子の変更」ページで、ホストに対して考えられるホスト名バリエーションをすべて追加します。プラス記号およびマイナス記号をクリックし、必要に応じてフィールドを追加または削除します。「アクセス・システム構成」で使用する「優先HTTPホスト」の値は、ホスト名バリエーションの1つとして追加する必要があります。たとえば、wcedg_wd、webhost1.mycompany.com:7777、admin.mycompany.com:7777があります。
「キャッシュの更新」の横にあるチェック・ボックスを選択し、「保存」をクリックします。
「現時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」という内容のメッセージ・ボックスが表示されます。
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで変更内容を確認します。
OAM構成ツールでは、app_domainパラメータの値で作成したWebGateプロファイルのPreferred_HTTP_Hostおよびホスト名属性に値が移入されます。正しく機能する構成とするには、この2つの属性の両方を適切な値で更新する必要があります。OAM CFGツールで作成したWebGateプロファイルを更新する手順は次のとおりです。
Webブラウザで次のURLを指定し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているWebPassのホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」リンクをクリックし、「アクセス・ゲート検索」ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
OAM構成ツールで作成したアクセス・ゲートを選択します。たとえば、WebCenter_EDG_AGを選択します。
「アクセス・ゲート詳細」ページで、「変更」を選択し、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次のように更新します。
ホスト名: WebGateを実行しているコンピュータの名前にホスト名を更新します(webhost1.mycompany.comなど)。
優先HTTPホスト: 前述の項で指定したホスト名バリエーションの1つにPreferred_HTTP_Hostを更新します(admin.mycompany.com:7777など)。
「保存」をクリックします。「これらの変更をコミットしますか。」という内容のメッセージ・ボックスが表示されます。
「OK」をクリックして、構成の更新を終了します。
「アクセス・ゲートの詳細」ページに表示される値を確認し、正常に更新されたことを確認します。
OAMインストールとともにインストールしたWebGateにリダイレクトするようにフォーム認証を構成する手順は次のとおりです。
「アクセス・システム・コンソール」を開きます。
「アクセス・システム構成」画面で、左側のバーから「認証管理」を選択します。
「OraDefaultFormAuthNScheme」を選択します。
「変更」をクリックします。
「チャレンジ・リダイレクト」フィールドで、IDMインストールのホストとポートを入力します(http://sso.mycompany.comなど)。
WebGateは、IDMインストールにインストールしておく必要があります。詳細は、IDMのEDGを参照してください。
Web層を保護するために、次の手順を実行して各WEBHOSTnマシンにWebGateをインストールする必要があります。
次のコマンドを使用して、WebGateインストーラを起動します(インストーラの場所は、第1.5.5項「インストールするコンポーネント」を参照)。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate –gui
「ようこそ」画面が表示されます。「次へ」をクリックします。
「顧客情報」画面(図10-1)で、Webサーバーを実行しているユーザー名とユーザー・グループを入力します。「次へ」をクリックして続行します。
インストール先画面(図10-2)で、WebGateをインストールするディレクトリを指定します。「次へ」をクリックして続行します。
インストールの概要の画面で「次へ」をクリックします。
WebGate構成画面(図10-3)の説明に従って、WebGateに必要なGCCランタイム・ライブラリをダウンロードし、「参照」を使用して、このGCCランタイム・ライブラリのローカル・コンピュータ上の場所を指定します。「次へ」をクリックして続行します。
この段階で、インストーラにより必要なアーティファクトが作成されます。作成が完了したら、「次へ」をクリックして続行します。
「トランスポート・セキュリティ・モード」画面(図10-4)で、「オープン・モード: 暗号化なし」を選択し、「次へ」をクリックして続行します。
WebGate構成画面で、使用するアクセス・サーバーの詳細を入力します。入力する情報は次のとおりです。
WebGate ID: OAM構成ツールを実行したときの指定のID
WebGateのパスワード
アクセス・サーバーID: OAMアクセス・サーバー構成から報告されたID
アクセス・サーバーのホスト名: OAMアクセス・サーバー構成から報告された名前
アクセス・サーバーのポート番号: OAMアクセス・サーバー構成から報告された番号
|
注意: アクセス・サーバーのID、ホスト名およびポートは、すべて入力が必須の項目です。 |
これらの詳細は、Oracle Access Manager管理者から取得できます。「次へ」をクリックして続行します。
「Webサーバーの構成」画面で「はい」をクリックすると、自動的にWebサーバーが更新されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。このファイルは、次のディレクトリにあります。
ORACLE_BASE/admin/<OHS_Instance>/config/OHS/<OHS_ComponentName>
次に例を示します。
/u01/app/oracle/admin/ohs_instance2/config/OHS/ohs2/httpd.conf
「次へ」をクリックして続行します。
表示された「Webサーバーの構成」ページに、Webサーバー構成がWebGate向けに変更されたことを示すメッセージが示されます。「はい」をクリックして確認します。
Webサーバーをいったん停止してから再起動し、構成の更新を有効にします。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、「WebサーバーをSSLモードで設定する場合、SSL関連パラメータを使用してhttpd.confファイルを構成する必要があります。SSL構成を手動で調整するには、表示される指示に従ってください。」というメッセージが示されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、製品設定とWebサーバーの構成の残りの部分に関する情報が記載されているドキュメントの場所を示すメッセージが表示されます。「いいえ」を選択し、「次へ」をクリックして続行します。
最後の「Webサーバーの構成」画面が表示されます。Webサーバーの構成に関する詳細情報を得るには、手動でブラウザを起動し、該当のHTMLドキュメントを開くように指示するメッセージが表示されます。「次へ」をクリックして続行します。
「Oracle COREid Readme」画面が表示されます。画面の情報を確認し、「次へ」をクリックして続行します。
正常にインストールが完了したことを示すメッセージが、インストールの詳細とともに表示されます。
この項の項目は次のとおりです。
この項の項目は次のとおりです。
まず、次の関連する構成ファイルをバックアップします。
/u01/app/oracle/fmw_webcenter/user_projects/domains/wcedg/config/config.xml /u01/app/oracle/fmw_webcenter/user_projects/domains/wcedg/config/fmwconfig/jps-config.xml /u01/app/oracle/fmw_webcenter/user_projects/domains/wcedg/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
WebLogic Serverコンソールを使用して、LDAPを使用するアイデンティティ・ストアを構成し、適切な認証プロバイダを設定する手順は次のとおりです。
WebLogic Serverコンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
このレルム内の「プロバイダ」タブを開きます。
このレルム用に構成したDefaultAuthenticatorプロバイダがあることを確認します。
「新規」ボタンをクリックし、新しいプロバイダを追加します。
Oracle Internet Directoryに対してユーザーを認証するプロバイダの名前(OIDAuthenticatorなど)を入力します。
認証プロバイダのリストから「OracleInternetDirectoryAuthenticator」タイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成した「OIDAuthenticator」をクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。このフラグは、この認証プロバイダによって正常に認証されたユーザーは、その認証を受け入れたうえで、他の認証プロバイダを呼び出さないようにすることを示しています。認証に失敗した場合、そのユーザーは、チェーンにある次の順番の認証プロバイダに引き継がれます。以降のすべての認証プロバイダの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特に「DefaultAuthenticator」を確認し、その制御フラグを「SUFFICIENT」に設定します。
「保存」をクリックしてこの設定を保存します。
「プロバイダ固有」タブを開き、LDAPサーバーの詳細情報を入力します。
使用しているLDAPサーバーに固有の詳細情報を入力します。入力が終了したら「保存」をクリックします。
OAM IDアサータを設定する手順は次のとおりです。
WebLogicコンソールにログインしていない場合は、ログインします。
SecurityRealms\<Default Realm Name>\Providersに移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAM Identity Asserter」を選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「保存」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「プロバイダ固有」タブを開き、必要な設定を次のように構成します。
プライマリ・アクセス・サーバー: OAMサーバーのエンドポイント情報をHOST:PORT形式で指定します。
アクセス・ゲート名: アクセス・ゲートの名前(WebCenter_EDG_AGなど)。
アクセス・ゲートのパスワード: アクセス・ゲートのパスワード(オプション)。
設定を保存します。
「/」で記述したURLにコンソール・アプリケーションが直接ログインできるように、そのアプリケーションのweb.xmlファイルを変更します。これを行うための手順は次のとおりです。
次のようにORACLE_BASE/fmw/wlserver_10.3/server/lib/consoleapp/webapp/WEB-INF/web.xmlファイルをバックアップします。
SOAHOST1>cp ORACLE_BASE/fmw/wlserver_10.3/server/lib/consoleapp/webapp/WEB-INF/web.xml ORACLE_BASE/fmw/wlserver_10.3/server/lib/consoleapp/webapp/WEB-INF/web.xml.backup
web.xmlファイルを編集して、form-login-pageのURLを「/」に変更します。
具体的な変更箇所は次のとおりです。
login-config>
<auth-method>CLIENT-CERT,FORM</auth-method>
<form-login-config>
<form-login-page>/login/LoginForm.jsp</form-login-page>
<form-error-page>/login/LoginError.jsp</form-error-page>
</form-login-config>
</login-config>
これを次のように変更します。
<login-config>
<auth-method>CLIENT-CERT,FORM</auth-method>
<form-login-config>
<form-login-page>/</form-login-page>
<form-error-page>/login/LoginError.jsp</form-error-page>
</form-login-config>
</login-config>
同じSSOの動作で管理サーバーがフェイルオーバーできるようにするには、SOAHOST2のインストールで前述の手順を繰り返します。
管理サーバーを再起動します。
LDAPを構成した場合は、管理ユーザーも含め、すべてのユーザーをLDAPユーザーとする必要があります。これはLDAP管理者が構成します。適切なユーザーで構成した管理グループを作成することが必要です。必要な手順の詳細は、『Enterprise Deployment Guide for Oracle Identity Management』の第8.5項を参照してください。グループ名としてWC Administrators、管理ユーザー名としてweblogic_wcを使用します。
このグループを作成した場合、WebLogicサーバーのWLSグローバル管理ロールのロール定義を次のように更新する必要があります。
WLS管理コンソールにアクセスします。
「セキュリティ・レルム」→「<myrealm>」→「ロールとポリシー」→「グローバル・ロール」→「ロール」→「管理ビュー・ロール条件」を選択して、管理ロールを定義する場所に移動します。
デフォルトでは、WebLogicサーバーで管理ロールを持つユーザーがOIDの管理者グループに定義されています。
これを変更するには、「条件の追加」の追加をクリックし、別のグループ名を追加します。さらに、管理者グループを削除して、選択した新しいグループを残します。
この変更を行った後は、新しいグループに指定されたすべてのメンバーにWLSを管理する権限が与えられます。
この項の項目は次のとおりです。
アプリケーションがSSOモードで構成されているために特殊な処理が必要であることをWebCenterとADFに通知するシステム・プロパティがあります。このモードでは、次のシステム・プロパティが必要です。
表10-1 システム・プロパティ
| プロパティ | 値 | コメント |
|---|---|---|
|
oracle.webcenter.spaces.osso |
true |
このフラグは、SSOが使用されているためにデフォルトのランディング・ページにログイン・フォームが表示されないことをWebCenterに通知します。かわりに、ユーザーがクリックするとSSO認証が起動するログイン・リンクが表示されます。 |
このプロパティを設定するには、<adminserver_domain_home>/binディレクトリにあるsetDomainEnv.shスクリプトを編集します。次のように、このプロパティをEXTRA_JAVA_PROPERTIES変数に追加します。
EXTRA_JAVA_PROPERTIES="-Dweblogic.security.SSL.ignoreHostnameVerification=true -Doracle.mds.bypassCustRestrict=true -Djps.update.subject.dynamic=true -Doracle.webcenter.spaces.osso=true -noverify ${EXTRA_JAVA_PROPERTIES}"
この変更の後で、次のサーバーを再起動します。
WebCenterの管理サーバー
ドメインのすべての管理対象サーバー
Web層のOHS
WebCenterのプライマリ認証プロバイダとしてOracle Internet Directoryを構成した後は、weblogicユーザーをWebCenter管理者として使用しないでください。Oracle Internet Directoryにユーザーを作成し、WLSTまたはFusion Middleware Controlを使用して、そのユーザーをWebCenter管理者にします。
WLSTを使用してWebCenter管理者ロールを付与する手順は、次のとおりです。
WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインのWebCenter Spaces管理サーバーに接続します。
connect('<user_name>','<password>, '<host_id:port>')
各値の説明は次のとおりです。
<user_name>は、管理サーバーへのアクセスに使用するユーザー・アカウントの名前(weblogicなど)です。
<password>は、管理サーバーへのアクセスに使用するパスワードです。
<host_id>は、管理サーバーのホストIDです。
<port>は、管理サーバーのポート番号(7001など)です。
次のように、grantAppRoleコマンドを使用して、Oracle Internet DirectoryのユーザーにWebCenter Spacesの管理者アプリケーション・ロールを付与します。
grantAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator",
principalClass="weblogic.security.principal.WLSUserImpl", principalName="<wc_admin>")
<wc_admin>は、作成する管理者アカウントの名前です。
新しいアカウントをテストするには、新しいアカウント名を使用してWebCenter Spacesにログインします。
「管理」リンクが表示され、すべての管理操作を実行できるようになります。
ここでは、デフォルトのweblogicアカウント以外のユーザー・アカウントにWebCenter Spaces管理者ロールを付与する方法を説明します。
Fusion Middleware Controlを使用してWebCenter Spaces管理者ロールを付与する手順は、次のとおりです。
Fusion Middleware Controlにログインし、WebCenter Spaces用のWebLogicドメインを選択します。
「WebLogicドメイン」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます。
WebCenter Spacesの「アプリケーション」名(WLS_Spaces/webcenter)を選択し、WebCenter Spacesで「ロール名」として使用される次の内部識別子を指定して、管理アプリケーション・ロールを検索します。
s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
この検索では、s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administratorが返されます。これが管理者ロール識別子になります。
「ロール名」列で管理者ロール名(s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator)をクリックします。
「アプリケーション・ロールの編集」ページが表示されます。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます。
検索機能を使用して、管理者ロールを割り当てるユーザーを検索します。
矢印キーを使用して、「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
WLS_Spaces管理対象サーバーを再起動します。
WebCenter Spacesにログインすると、「管理」リンクが表示され、すべての管理操作を実行できます。
OIDにWebCenter用のjpsrootが構成されていることを確認してください。この構成はマシン固有である必要があります。詳細は、『Enterprise Deployment Guide for Oracle Identity Management』を参照してください。
cd MW_HOME/wc/common/bin
./wlst.sh
connect('weblogic',-password-, 'SOAHOST1.mycompany.com:7001')
reassociateSecurityStore(domain="wcedg_Domain",admin="cn=orcladmin", password="-provide orcladmin passwd-",
ldapurl="ldap://LDAPHOST:LDAPPORT",servertype="OID",jpsroot="cn=jpsroot_webcenter_Configuring Discussion Server and Wiki for OAMwchost1")
この項の項目は次のとおりです。
ディスカッション・サーバーで、IDストアとしてLDAPを使用するように設定する手順は次のとおりです。
最初に、WebCenterインストールからjive_startup.xmlファイルを見つけます(このファイルは$MW_HOME/user_projects/domains/wcedg_domain/config/fmwconfig/servers/WLS_Services/owc_discussions_11.1.1.1.0にある)。
このファイルのバックアップを作成し、次の行を変更します。
<setup>true</setup>
変更後:
<setup>false</setup>
ファイルを保存して、ディスカッション・サーバーのURL(http://SOAHOST1:9003/owc_discussions)に接続します。
「データベース設定」で「JNDIデータソース」を選択し、「続行」をクリックします。
「データソース設定」で、「jdbc/OWC_DiscussionsDS」を指定し、「続行」をクリックします。
「ユーザー、グループおよび認証システム」で「LDAP」を選択し、「続行」をクリックします。
「LDAPユーザー・システム」で、フォームを使用して適切なLDAP値を設定し、「続行」をクリックします。通常は、「LDAPホスト」、「ポート」、「BaseDN」および「管理 DN」を設定する必要があります。これら以外はすべて、デフォルトのままにしても、設定に応じて変更してもかまいません。
「その他の設定」で詳細を確認し、必要に応じて修正します。完了したら、「b」をクリックします。
「LDAPユーザー・データ保存モード」で、ディスカッション・サーバー管理者となるLDAPユーザー名(通常はorcladmin)を指定します。
ディスカッション・サーバーでSSOプロバイダとしてOAMを使用するための設定
ディスカッション・サーバーで、SSOプロバイダとしてOAMを使用するように設定する手順は次のとおりです。
AuthFactoryクラスを設定します。
http://<host>:<port>/owc_discussions/adminで、管理UIにログインします(これは、WLS_Services管理対象サーバーのポート)。
「システム・プロパティ」ページに移動します。
次のシステム・プロパティを追加または変更します。
名前: AuthFactory.className
値: oracle.jive.sso.OracleSSOAuthFactory
|
注意: AuthFactory.classNameプロパティに対して正しい値を入力しないと、アプリケーションのSSOバージョンの再デプロイ後にowc_discussionsが起動せず、ログ・ファイルにクラスが見つからないことを示すエラーが書き込まれます。プロパティ値の誤りを修正するには、次のコマンドを使用してデータベース・スキーマ内のjiveproperty表を更新する必要があります。SQL>update jiveproperty set propvalue='oracle.jive.sso.OracleSSOAuthFactory' where name='AuthFactory.className'; |
SSO対応のowc_discussionsアプリケーションをデプロイします。
WebLogicサーバーの管理コンソールに移動します。
管理者のユーザー名およびパスワード(weblogic/weblogicなど)を使用してログインします。
「デプロイメント」に移動します。
owc_discussionsを選択して停止し、削除します。
インストール・ページに移動して、SSO対応のowc_discussionsアプリケーションのターゲット・ディレクトリを指定します。通常、このディレクトリはMW_HOME/wc/discussionserverになります。
アプリケーション「owc_discussions_sso.ear」を選択し、アプリケーション名以外はすべてデフォルト・オプションを使用してデプロイします。アプリケーション名はowc_discussionsに設定します。
WLS_Services管理対象サーバーを再起動します。
ディスカッション・サーバーの管理コンソールにOHSポート(http://WEBHOSTn:7777/owc_discussions/admin/)でアクセスする際に、WebGateのログイン・フォームが表示されるようになりました。
クラスタ内のすべてのディスカッション・インストールに対して、この手順を繰り返します。
EMからのWebCenter用ディスカッション・サーバー接続の作成
追加の手順として、EMからWebCenter用のディスカッション・サーバー接続を作成します。
EMインスタンスにログオンし、目的のWebCenterドメインを登録します。
このWebCenterドメインにログオンします。
WebCenter Spacesの「WebCenter」ドロップダウン・メニューから、「設定」→「サービス構成」を選択します。
「ディスカッションおよびお知らせ」をクリックし、「追加」をクリックします。
「ディスカッションおよびお知らせ接続の追加」画面で、名前(DFConnection)、サービスURL(http://<host>:<port>/owc_discussions)および管理者ユーザー名を入力します。
「OK」をクリックして設定を保存します。
WLS_Spaces管理対象サーバーを再起動します。
これで、WebCenterへのログイン時に、ディスカッション・サーバーへもSSOでアクセスできるようになります。
Wikiページ機能は、Webページ内に組込み可能なポートレットとしてサポートされます(SSO機能も有効)。この機能はアイデンティティ・ストアを必要とせず、サポートの必要がないため、OIDを設定する必要はありません。
スクリプト・ファイルの更新
OAM用にWikiを構成する場合は、各ノードで次のファイルを更新する必要があります。
ORACLE_BASE/admin/wcedg/WLS_ServicesN/wcedg/stage/owc_wiki/11.1.1.1.0/owc_wiki/WEB-INF/classes/application_config.script
このファイル内に、デフォルトで次のようになっている行があります。
logout_url: /adfAuthentication?logout=true&end_url=/user/login.jz
この行を次のように変更する必要があります。
logout_url: /user/login.jz
このファイルの更新後は、WLS_Services管理対象サーバーを再起動する必要があります。これにより、OAM SSO用に構成された場合のowc_wikiからの適切なログアウト動作が保証されます。
WebCenterへのWikiページの追加
WebCenterのグループ・スペースにWikiページを追加する手順は次のとおりです。
WebCenter Spacesにログインし、グループ・スペースに移動します。
ページを追加し、スタイルとして「Webページ」を選択します。
ページが作成されたら、右上隅にある「編集」アイコン(鉛筆)をクリックします。「コンポーネント・プロパティ」ダイアログで、「ソース」フィールドに次のURLを入力します。
http://<host>:<OHS port>/owc_wiki/page/show.jz?inline=1&scope=#{communityContext.communityName}
これは、使用中のOHSポートのURLであることに注意してください。これにより、WebGateを介して容易にSSO機能を利用できます。
コンポーネント・プロパティの指定が完了すると、Wikiページのコンテンツが表示されます。
変更を保存します。
コンソール・アプリケーション用のweb.xmlファイルで、auth-methodを更新する必要があります。このweb.xmlファイルは、MW_HOME/wlserver_10.3/server/lib/consoleapp/webapp/WEB-INFディレクトリにあります。
エディタで、web.xmlファイルを開きます。
次のauth-methodを変更します。
<login-config>
<auth-method>CLIENT-CERT,FORM</auth-method>
<form-login-config>
<form-login-page>/login/LoginForm.jsp</form-login-page>
<form-error-page>/login/LoginError.jsp</form-error-page>
</form-login-config>
</login-config>
変更後:
<login-config>
<auth-method>CLIENT-CERT</auth-method>
</login-config>
管理サーバーを停止してから起動します。
この項の項目は次のとおりです。
ユーザーweblogicを持たないアイデンティティ・ストアにドメインを関連付ける場合は、アプリケーション・ロールBPMWorkflowAdminに別の有効なユーザーを割り当てる必要があります。このロールを有効なユーザーに割り当てる手順は次のとおりです。
OIDに、このロールを割り当てるユーザー(この場合の名前はWCAdmin)を作成します。
ロールを割り当てます。この作業は、SOAのOracleホームからWLSTを使用して実行できます。
次に例を示します。
cd $ORACLE_HOME/common/bin/
wlst.sh
connect('weblogic','weblogic', 'SOAADMINHOST:7001')
revokeAppRole(appStripe="soa-infra", appRoleName="BPMWorkflowAdmin", principalClass="oracle.security.jps.service.policystore.ApplicationRole", principalName="SOAAdmin")
grantAppRole(appStripe="soa-infra", appRoleName="BPMWorkflowAdmin", principalClass="weblogic.security.principal.WLSUserImpl", principalName="WCAdmin")
拡張したドメインが正常に動作していることを確認した後、そのインストール内容をバックアップします。これは、以降の手順で問題が発生した場合に短時間でリストアできることを考慮した迅速なバックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了すれば、このバックアップは破棄してかまいません。その時点では、デプロイメント固有の定期的なバックアップ手順とリカバリ手順を実行できるようになっています。詳細は、Oracle Fusion Middlewareの管理者ガイドを参照してください。バックアップおよびリストアを必要とするOracle HTTP Serverのデータの詳細は、このガイドでOracle HTTP Serverのバックアップとリカバリの推奨事項に関する項を参照してください。コンポーネントのリカバリ方法に関する詳細は、このガイドでコンポーネントのリカバリに関する項およびコンポーネントが失われた後のリカバリに関する項を参照してください。ホストが失われた場合のリカバリに固有の推奨事項は、このガイドで別のホストへのOracle HTTP Serverのリカバリに関する項を参照してください。データベースのバックアップに関する詳細は、『Oracle Database Backup and Recovery Guide』も参照してください。
この時点でインストールをバックアップする手順は次のとおりです。
Web層をバックアップする手順は次のとおりです。
opmnctlを使用してインスタンスを停止します。
ORACLE_BASE/admin/<instance_name>/bin/opmnctl stopall
次のコマンドをroot権限で実行して、Web層のミドルウェア・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web.tar $MW_HOME
次のコマンドをroot権限で実行して、Web層のインスタンス・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web_instance.tar $ORACLE_INSTANCE
opmnctlを使用してインスタンスを起動します。
ORACLE_BASE/admin/<instance_name>/bin/opmnctl startall
管理サーバーのドメイン・ディレクトリをバックアップします。バックアップを実行してドメイン構成を保存します。構成ファイルは、すべてORACLE_BASE/admin/<domain_name>ディレクトリの下にあります。
SOAHOST1> tar -cvpf edgdomainback.tar ORACLE_BASE/admin/<domain_name>
