| Oracle WebCenter Discussionsインストレーションおよび構成ガイド 10gリリース3(10.1.3.4.0) B54057-01 |
|
 戻る |
 次へ |
この章では、Oracle WebCenter Discussionsアプリケーションでのシングル・サインオンの構成方法を説明します。この章の内容は次のとおりです。
インストールおよび構成の詳細は、付録B「よくある質問」を参照してください。
この項では、Oracle Access Managerのシングル・サインオンの構成手順を示します。手順の概要は次のとおりです。
Oracle Access Managerのインストール
Oracle HTTP Serverのインストール
アクセス・サーバーのインストール
アクセス・ゲート(Webゲート)のインストール
Oracle Access Managerの構成
認証の構成
Oracle Access Managerのカスタム・ログイン・ページの構成
WebLogic SSPIのセキュリティ・プロバイダのインストール
Oracle WebCenter Discussionsに対するOracle Access Managerの認証では、次のコンポーネントが必要です。
Oracle Access Managerとの統合用に構成された各Oracle HTTP Serverに、アクセス・ゲートのインストールが必要
Oracle Access Manager Identity Server 10.1.4.0.1
Oracle Access Manager WebPass 10.1.4.0.1
Oracle Access Manager 10.1.4.2.0
Oracle Internet Directory 10.1.4.0.1(Oracle Virtual Internet Directory 10.1.4.0.1はオプション)
これらのコンポーネントは、セントラル・サーバーに対して1度だけインストールする必要があります。
Oracle Access Managerリリース10g(10.1.4.2.0)は、パッチ・セットです。10g(10.1.4.0.1)をインストールした後、インストール済のコンポーネントにリリース10.1.4パッチ・セット1(10.1.4.2.0)を適用できます。10g(10.1.4.2.0)を直接インストールすることはできません。
このドキュメントでは、基本パッチ5957301および最新のバンドル・パッチ7408035を追加する方法も説明します。
Oracle Access Managerの詳細は、次のWebサイトにあるOracle Access Managerドキュメントを参照してください。
Oracle Access Managerと統合するように構成された各Oracle HTTP Serverに、アクセス・ゲートがインストールされている必要があります。
Apache 2.0のOracle HTTP Server 10.1.3.3をインストールします。これは、次のOracle10gリリース3 Companion CD(10.1.3.x)からダウンロードできます。
http://www.oracle.com/technology/software/products/ias/htdocs/101310.html
Oracle HTTP Serverをインストールした後、Apache HTTP Serverプラグイン(mod_wl_20)をインストールします。これは、次のURLからダウンロードできます。
http://download.oracle.com/otn/bea/weblogic/server103/WLSWebServerPlugins1.0.1150354-Apache.zip
詳細なインストール手順は、次のURLで入手できます:
http://e-docs.bea.com/wls/docs103/plugins/apache.html#wp131399
次の手順に従ってmod_weblogic(mod_wl.conf)を構成します。
mod_wlをOracle HTTP Server 10.1.3.3にインストールします。
この手順を省略すると、Oracle HTTP Serverの起動時に次のエラーが表示されます。
-------- 09/02/12 01:35:25 Start process -------- /scratch/ohsoam/install/ohs/ohs/bin/apachectl startssl: execing httpd Syntax error on line 247 of /scratch/ohsoam/install/ohs/ohs/conf/httpd.conf: Cannot load /scratch/ohsoam/install/ohs/ohs/modules/mod_wl_20.so into server: /scratch/ohsoam/install/ohs/ohs/modules/mod_wl_20.so: cannot open shared object file: No such file or directory
httpd.confの末尾に、次のエントリがあることを確認してください(Webゲート・インストーラによるhttpd.confの自動更新の後)。
Linuxの場合:
# Include the SSL definitions and Virtual Host container include "/scratch/ohsoam/install/ohs/ohs/conf/ssl.conf" LoadFile "/scratch/ohsoam/install/webgate/access/oblix/lib/libgcc_s.so.1" LoadFile "/scratch/ohsoam/install/webgate/access/oblix/lib/libstdc++.so.5" LoadModule obWebgateModule "/scratch/ohsoam/install/webgate/access/oblix/apps/webgate/bin/webgate.so" WebGateInstalldir "/scratch/ohsoam/install/webgate/access" LoadModule weblogic_module modules/mod_wl_20.so <IfModule mod_weblogic.c> MatchExpression /owc_discussions WebLogicHost=<host>|WebLogicPort=<port> </IfModule> WebGateMode PEER <Location /access/oblix/apps/webgate/bin/webgate.cgi> SetHandler obwebgateerr </Location> <Location "/oberr.cgi"> SetHandler obwebgateerr </Location> <LocationMatch "/*"> AuthType Oblix require valid-user </LocationMatch>
Windowsの場合:
#*** BEGIN WebGate Specific **** LoadModule obWebgateModule "C:\OHSOAM\webgate\access/oblix/apps/webgate/bin/webgate.dll" WebGateInstalldir "C:\OHSOAM\webgate\access" LoadModule weblogic_module modules/mod_wl_20.so <IfModule mod_weblogic.c> MatchExpression /owc_discussions WebLogicHost=<host>|WebLogicPort=<port> </IfModule> WebGateMode PEER <Location /access/oblix/apps/webgate/bin/webgate.cgi> SetHandler obwebgateerr </Location> <Location "/oberr.cgi"> SetHandler obwebgateerr </Location> <LocationMatch "/*"> AuthType Oblix require valid-user </LocationMatch> #*** END WebGate Specific ****
Oracle HTTP Serverで、モジュールmod_wlがリクエストをOracle HTTP Serverに転送するように構成します。クラスタ化していない複数のサーバーと連携するようにOracle HTTP Serverを構成するには、httpd.confで次の例を使用します。
LoadModule weblogic_module modules/mod_wl_20.so
<IfModule mod_weblogic.c>
MatchExpression /owc_discussions WebLogicHost=jive.wls.example.com|WebLogicPort=8888
</IfModule>
|
注意: WebLogicポートは、Discussionsがデプロイされた管理対象サーバーのポートです。 |
Oracle WebCenter Discussions用のアクセス・サーバーをインストールする必要があります。
アクセス・サーバーのインストールの詳細は、『Oracle Access Managerインストレーション・ガイド』の第8章「アクセス・サーバーのインストール」を参照してください。次のURLで入手できます:
http://download.oracle.com/docs/cd/E10761_01/doc/oam.1014/b32412/toc.htm
アクセス・システム・コンソールでアクセス・サーバー・インスタンスを作成するように要求されます。次の固有のエントリを除き、すべてのデフォルトをそのまま使用します。
Nameは、wls-jive-access-serverに設定します。
Hostnameは、Oracle HTTP Serverが存在するホストに設定します。
Portは、6021または他の使用可能なポートに設定します。
Access Management Serviceは、Onに設定します。
保存された値は、次のようになります。
Name wls-jive-access-server Hostname host.domain.com Port 6021 Debug Off Debug File Name Transport Security Open Maximum Client Session Time (hours) 24 Number of Threads 60 Access Management Service On Audit to Database (on/off) Off Audit to File (on/off) Off Audit File Name Audit File Size (bytes) 0 Buffer Size (bytes) 512000 File Rotation Interval (seconds) 0 Engine Configuration Refresh Period 14400 (seconds) URL Prefix Reload Period (seconds) 7200 Password Policy Reload Period (seconds)7200 Maximum Elements in User Cache 100000 User Cache Timeout (seconds) 1800 Maximum Elements in Policy Cache 10000 Policy Cache Timeout (seconds) 7200 SNMP State Off SNMP Agent Registration Port Session Token Cache Enabled Maximum Elements in Session Token Cache 10000
このインスタンスをアクセス・システム・コンソールで作成した後、使用するプラットフォームに該当するOracle Access Managerコマンドを使用して、実際のアクセス・サーバーをインストールします。
詳細は、次のURLにアクセスしてインストレーション・ガイドを参照してください。
http://download.oracle.com/docs/cd/E10761_01/doc/oam.1014/b32412/toc.htm
再度、アクセス・システム・コンソールでアクセス・ゲート・インスタンスを作成するように要求されます。インスタンスを作成する際、次のプロパティを設定します。
Nameは、wls-jive-access-gateまたは他の任意の名前に設定します。
Hostnameは、Oracle HTTP Serverをインストールするホストに設定します(形式はhost:port、ポートはOracle HTTP Serverポート)。
Preferred HTTP Hostは、Oracle HTTP Serverのホスト名に設定します。
ASDK Client、Access Management Serviceは、Onに設定します。
Primary HTTP Cookie Domainは、インストールに応じて適切な値に設定します。通常は、ドメイン・ベースのCookie(.yourcompany.comなど)です。
Portは、Oracle HTTP Serverのポートに設定します。
「保存」をクリックして設定を保存します。
Oracle WebCenter DiscussionsをOracle Access Managerシングル・サインオンで保護するには、最初に、Apache 2.0のOracle HTTP Server 10.1.3.3をインストールします。次に、Oracle HTTP Serverのインストール先と同じマシンにアクセス・ゲート・モジュールをインストールします。このOracle HTTP Serverとアクセス・ゲートのインストールを使用して、Oracle WebCenter Discussions URLを保護します。
OHS2のWebGate 10.1.4.0.1をインストールします(Oracle_Access_Manager10_1_4_0_1_linux_OHS2_WebGate)。インストーラは、Oracle Access Manager CDに含まれています。WebGate 10.1.4.0.1のインストールが成功したら、基本パッチ5957301(Oracle_Access_Manager10_1_4_2_0_Patch_linux_OHS2_WebGate.zip)を適用する必要があります。これは、My Oracle Support(旧称MetaLink)からダウンロードできます。
Linux専用: 基本パッチ5957301を適用した後、バンドル・パッチ7408035(Oracle_Access_Manager10_1_4_2_0_BP06_Patch_linux_OHS2_WebGate.zip)を適用する必要があります。これは、My Oracle Support(旧称MetaLink)からダウンロードできます。
使用プラットフォーム用のWebゲートがインストールされ、Apache 2.0でのOracle HTTP Serverに対応していることを確認します。
このOracle HTTP Serverインスタンスに対するアクセス・ゲートのインストールの詳細は、『Oracle Access Managerインストレーション・ガイド』の第9章「WebGateのインストール」を参照してください。次のURLで入手できます:
http://download.oracle.com/docs/cd/E10761_01/doc/oam.1014/b32412/webgate.htm#CHDBHAAG
|
注意: Webゲートとアクセス・ゲートは、同じ意味で使用されることがあります。 |
次のOracle HTTP Serverの構成を確認します。Oracle Access Manager用のopmn.xmlのエントリは、次のようになります。
…
<ias-component id="HTTP_Server">
<process-type id="HTTP_Server" module-id="OHS2">
<environment>
<variable id="TMP" value="/tmp"/>
<variable id="LD_ASSUME_KERNEL" value="2.4.19"/>
</environment>
<module-data>
<category id="start-parameters">
<data id="start-mode" value="ssl-enabled"/>
</category>
</module-data>
<process-set id="HTTP_Server" numprocs="1"/>
</process-type>
</ias-component>
</ias-instance>…
Oracle Access Managerの設定の詳細は、Oracle Access Manager 10.1.4.2.0のドキュメントを参照してください。
この項の残りの部分では、Jive Forumsの統合に関する構成サンプルが具体的に示されています。
Oracle Access Managerで次の構成を行う必要があります。
アクセス・ゲートの構成
wls-jive-access-gate(図2-1)
アクセス・サーバーの構成(図2-2)
詳細は、『Oracle Access Managerインストレーション・ガイド』の第9章「WebGateのインストール」を参照してください。次のURLで入手できます:
http://download.oracle.com/docs/cd/E10761_01/doc/oam.1014/b32412/webgate.htm#CHDBHAAG
Oracle Access Managerアクセス・システム・コンソールで、認証メカニズムを構成できます。認証スキームを有効にするには、フォームベース認証スキームのすべてのタブで詳細を確認する必要があります。フォームベース認証では、Oracle WebCenter DiscussionsがデプロイされたOracle HTTP Serverに対するチャレンジ・リダイレクトの指定が必要です。
フォームベース認証スキーム(図2-3)
表2-1 拡張機能
| プラグイン名 | プラグイン・パラメータ |
|---|---|
|
|
|
|
|
|
credential_mappingプラグインのuidに入力する値は、login.htmlのユーザー名フィールドと一致する必要があります(これは、2.1.7項「Oracle Access Managerのカスタム・ログイン・ページの構成」で作成します)。この例では、login.htmlのユーザー名フィールドがuserid、パスワード・フィールドがpasswordとして定義される場合を想定しています。
ポリシーの概要
詳細は、『Oracle Access Managerアクセス管理ガイド』の第4章を参照してください。次のURLで入手できます。
http://download.oracle.com/docs/cd/E10761_01/doc/oam.1014/b32420/v2policy.htm#CJAIGHAG
(図2-5)
Oracle Access Managerを使用してシングル・サインオンを有効にするには、Oracle Access Managerの新しいポリシー・ドメインを作成します。ドメインの例を次に示します。
ポリシー・マネージャにアクセスするには、http://<host>:<port>/access/oblix/appsに移動し、「ポリシー・マネージャ」をクリックします。
Jive-domain: Jiveアプリケーション・リソースのポリシーを定義します。ほとんどのディスカッション・ページはパブリックです。ただし、/adminパスへのアクセスは保護され、/login!withRedirect.jspaを使用して認証をトリガーします。これはアプリケーションのログイン・リンクで使用されます。
Jive 10.1.3.4.0のドメインを新規に作成します。ドメインに一意の名前を付けます。(図2-6)
ホスト識別子を構成します。ホスト識別子は、Oracle HTTP Server用に登録したものである必要があります。
図2-7に示すように、Jiveのログインおよび管理のURLを保護します。保護の必要なURLは次のとおりです。
/owc_discussions/login!withRedirect.jspa。URLエンコーディングで/owc_discussions/login%21withRedirect.jspaに変換されます。
/owc_discussions/login!default.jspa。/owc_discussions/login%21default.jspaに変換されます。
/owc_discussions/login.jspa
/owc_discussions/admin
新しい認可ルールを定義し、有効にします。(図2-8)
「認可ルール」の「アクション」タブで、認可の成功時にカスタム・ヘッダー変数を返すSSO_USERを定義します。uidは、値フィールドではなく、「戻り属性」フィールドに設定してください。(図2-9)
「認可ルール」の「アクセスの許可」タブで、ロールAny oneを指定します。(図2-10)
「デフォルト・ルール」の「認証ルール」タブで、前に定義したフォーム認可スキームを選択します。(図2-11)
「デフォルト・ルール」の「認可条件式」タブで、「認可ルール」タブで前に定義したauthorization ruleを選択します。(図2-12)
「デフォルト・ルール」の「アクション」タブで、uidおよびobmygroups属性の認可成功のリターン・アクションを定義します(図2-13)。
図2-13 「ポリシー・ドメインの作成」 - 「デフォルト・ルール」 - 「認可条件式」-「アクション」
ポリシー・ドメインを作成したら、既存のドメインを変更してポリシー・ドメインを有効にします。
フォームベース認証では、Oracle HTTP Serverにカスタム・ログイン・ページを作成する必要があります。このカスタム・ログイン・ページは、ユーザーに資格証明を要求する必要があるときに表示されます。ページ名は、Oracle Access Serverの認証スキームの構成で、認証スキームに指定した名前と一致する必要があります。この例では、login.htmlと指定されています。このファイルは、Oracle HTTP Serverのドキュメント・ルート($OHS_HOME/ohs/htdocs)に置く必要があります。
login.htmlファイルのサンプルを次に示します。
<html>
<head>
<title>Test Login Form</title>
<script language="JavaScript">
function submitForm() {
document.forms[0].submit();
}
</script>
</head>
<body bgcolor="#ffffff" onLoad="self.focus();document.loginform.login.focus()">
<center>
<h2>Test Login Form</h2>
<form name="loginform" action="/access/oblix/apps/webgate/bin/webgate.so"method="post">
<table cellspacing="0" cellpadding="0" border="0">
<tr><td valign="center" align="left"><b>Username</b></td>
<td> </td><td valign="center" align="left">
<input type="username" name="userid" size="20" value=""></td>
</tr>
<tr>
<td valign="center" align="left"><b>Password</b></td>
<td> </td><td valign="center" align="left">
<input type="password" name="password" size="20" value=""></td>
</tr>
</table>
<input type=submit id=submit name=submit value=submit />
</form>
</body>
</html>
ログイン・ユーザーのIDアサーションを行うには、WebLogic SSPI(Security Service Provider Interface)のセキュリティ・プロバイダをWebLogicマシンにインストールする必要があります。セキュリティ・プロバイダにより、適切なユーザーおよびグループのみがOracle Access Managerで保護されたWebLogicリソースにアクセスして特定の操作を実行できるようになります。また、セキュリティ・プロバイダでは、Oracle Access ManagerとWebLogicリソースのシングル・サインオンも構成できます。
WebLogic SSPIのセキュリティ・プロバイダは、次のURLで入手できます。
http://download.oracle.com/otn/linux/ias/101401/oam_int_linux_v7_cd3.zip
Oracle Access Managerサード・パーティ統合パッケージのCD7に、WebLogic SSPIプロバイダ・インストーラ、Oracle_Access_Manager10_1_4_2_2_linux_BEA_WL_SSPI.zipがあります。
手順の詳細は、『Oracle Access Manager統合ガイド』の第10章「WebLogic SSPI用セキュリティ・プロバイダの統合」を参照してください。次のURLで入手できます:
http://download.oracle.com/docs/cd/E10761_01/doc/oam.1014/e10356/weblogic.htm#WeblogicSSPI
また、これらの手順に加えて、xerces.jarをCLASSPATHから削除する必要があります。具体的には、startWebLogic.sh(Linux)またはstartWebLogic.cmd(Windows)を編集して、変更を加えます。変更前は次のとおりです。
CLASSPATH="${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_
CLASSPATH}:/scratch/ohsoam/install/SSPI_
wiki/NetPointSecuProvForWeblogic/oblix/lib/wlNetPoint.jar:/scratch/ohsoam/install/
SSPI_
wiki/NetPointSecuProvForWeblogic/oblix/lib/bcprov-jdk14-125.jar:/scratch/ohsoam/in
stall/SSPI_
wiki/NetPointSecuProvForWeblogic/oblix/lib/xerces.jar:/scratch/ohsoam/install/SSPI_
wiki/NetPointSecuProvForWeblogic/oblix/lib/jobaccess.jar"
次のように変更します。
CLASSPATH="${CLASSPATH}${CLASSPATHSEP}${MEDREC_WEBLOGIC_
CLASSPATH}:/scratch/ohsoam/install/SSPI_
wiki/NetPointSecuProvForWeblogic/oblix/lib/wlNetPoint.jar:/scratch/ohsoam/install/
SSPI_
wiki/NetPointSecuProvForWeblogic/oblix/lib/bcprov-jdk14-125.jar:/scratch/ohsoam/in
stall/SSPI_wiki/NetPointSecuProvForWeblogic/oblix/lib/jobaccess.jar"
必要なタスク
次のタスクを完了する必要があります。
セキュリティ・プロバイダのインストール(標準インストール)
Oracle Access ManagerでのWebLogicポリシーの設定
NetPointポリシー・デプロイヤの実行
WebLogicの環境の準備
詳細は、http://download.oracle.com/docs/cd/E10761_01/doc/oam.1014/e10356/weblogic.htmを参照してください。
これらのタスクを完了した後、WebLogicコンソールでOracle Access Manager IDアサーション・プロバイダを構成します。
まず、WebLogic Server管理コンソールにログインします。
ドメイン構造パネルの「セキュリティ・レルム」をクリックします。(図2-14)
右側のパネルで、レルムのリストからmyrealmリンクをクリックします。
myrealmの設定で、プロバイダ・タブをクリックします。(図2-15)
「新規作成」をクリックして新しい認証プロバイダを作成します。
一意の認証プロバイダ名を入力し、タイプで「OblixAuthenticator」を選択します。(図2-16)
「OK」をクリックします。
「並替え」をクリックして認証の順序を変更します。(図2-17)
右側の矢印ボタンを使用してoblixAuthenticatorをリストの先頭に移動して、新規に作成した認証プロバイダの順序を並べ替えます。(図2-18)
「OK」をクリックします。
名前列で、新規作成したoblixAuthenticatorのハイパーリンクをクリックしてプロパティを表示します。
制御フラグ・ドロップダウン・リストで、「SUFFICIENT」を選択します。
「保存」をクリックします。
|
注意: OblixAuthenticator認証プロバイダを作成した後、プロバイダのOB_UserSearchAttrプロパティが、NetPointProvdersConfig.propertiesファイルでcnに設定されていることを確認してください。 |
「新規作成」をクリックして、IDアサーション・プロバイダを作成します。
一意のIDアサーション・プロバイダを入力し、タイプで「OblixIdentityAsserter」を選択します。(図2-20)
「OK」をクリックしてIDアサーション・プロバイダを作成します。
新規に作成したIDアサーション・プロバイダを2番目の位置に並べ替えます。
IDアサーション・プロバイダの制御フラグをSUFFICIENTに設定します。
管理サーバーおよびすべての管理対象サーバーを再起動して構成の変更を取り込みます。
SSPIを構成した後、次のURLでOracle WebCenter Discussionsにアクセスできます: http://<host>:<port>/owc_discussions/index.jspa(<host>および<port>は、Oracle HTTP Serverのホストおよびポートです)。
この項では、Oracle WebCenter Discussionsアプリケーションのユーザー・アイデンティティ管理およびシングル・サインオン(SSO)のLDAPを構成する方法を説明します。Oracle WebCenter Discussionsアプリケーションのデプロイおよび構成に成功した後に、この項の手順を実行してください。
Oracle WebCenter DiscussionsではLDAPをユーザー・アイデンティティで使用することをお薦めします。2.2.1項で、LDAPの設定について説明します。
SSOの統合では、Oracle Access Managerで認証をルーティングするように、標準の認証スキームを上書きするカスタム・クラスのデプロイが必要です。2.2.2項で、SSO構成について説明します。
デフォルトでは、ユーザー・アイデンティティ管理には、ディスカッション・サーバー独自のデータベース表が使用されますが、統合されたLDAPをユーザー・アイデンティティ管理に使用することもできます。これにより、ユーザーの管理をSSOサーバーとディスカッション・サーバーで行うことを回避できます。SSOでユーザー認証を行う場合は、LDAPをユーザー・アイデンティティ管理に使用することをお薦めします。
LDAPを使用する場合は、SSOのすべてのユーザー管理タスクをLDAP-Oracle Internet Directoryサーバーで行う必要があります。Jiveデプロイでは、ユーザー・アイデンティティに同じLDAP-Oracle Internet Directoryサーバーを使用できますが、ユーザー管理(ユーザー・プロファイルの作成、更新または削除など)はLDAP-Oracle Internet Directoryサーバーで実行する必要があります。
LDAPをユーザー・アイデンティティ・ストアとして使用するには、『Jive Administration Guide』の手順に従います。また、Jiveがすでに設定済の場合は、『Jive Administration Guide』の該当する項に従ってセットアップ・ツールを再実行する必要があります。
LDAPの設定および使用の詳細は、$unzipped_dir\jive_forums_silver_5_5_20_oracle\documentation\ldap.htmlを参照してください。
Jive構成からLDAP-Oracle Internet Directoryを使用する例を次に示します。
Jive Forumsの設定
「Setup Progress」→「Install Checklist」→「Datasource Settings」→「User System」ページで、「LDAP」を選択します。(図2-21)
|
注意: 「Jive Forums Setup」の「Setup Progress」→「Install Checklist」→「Datasource Settings」ページでは、Internet Explorer 7およびFirefox 3でのみフィールドが事前移入されるという既知の問題があります。 |
次に、LDAP固有の情報を指定します。(図2-22)
電子メールの構成画面の後に、「LDAP User Data Storage Mode」を選択するオプションが表示されます。LDAPスキーマを変更しない場合は、最初のオプションの「LDAP and User Database」を選択します。図2-23に示すように、管理ユーザーIDを入力します。
前の手順で指定した管理ユーザーは、Jiveのシステム管理者(orcladmin)として作成されます。(セットアップ・ツールを再実行してユーザー・アイデンティティ・ストアをLDAPに変更する場合は、LDAPの設定が完了した後にディスカッション・サーバーを再起動する必要があります。)このユーザーとしてログオンするには、次の項で説明するように、最初に、Oracle WebCenter Discussionsでシングル・サインオンを構成します。
|
注意: 電子メールの設定では、次の既知の問題があります。
|
この手順では、デフォルトのAuthFactoryクラスをOracleSSOAuthFactoryに置換する必要があります。このAuthFactoryの実装は、2つのリクエスト・ヘッダーに基づいてSSO認証を行います。
これは最初に、HttpServletRequest.getRemoteUserをチェックしてログイン・ユーザー名を取得しようとします。NULLの場合は、有効なユーザー名を取得するためにHttpServletRequest.getHeader("SSO_USER")にフォールバックします。
また、ローカル・データベース認証のかわりにSSOリダイレクトを行うには、一部のシード・アクションを置換する必要があります。これには、xworks-community.xmlファイルを更新して、ユーザーのログインとログアウトに関するアクション・クラスの変更、プレゼンスおよび管理に関するフィルタ・クラスの変更を行います。
また、統合するには、web.xmlを編集する必要があります。
手順の詳細を次に示します。
Jive Admin UIにアクセスします。
次のURLを使用して、Oracle WebCenter Discussions管理インタフェースを開きます。
http://host:port/owc_discussions/admin/
LDAPをユーザー・アイデンティティに使用する場合は、指定したLDAPユーザーの資格証明を使用してJive管理者としてログオンします。
Oracle WebCenter Discussions管理コンソールが表示されます(図2-24)。
必要なシステム・プロパティを設定します。
「Forums System」のリストで、「System Properties」をクリックし(図2-25)、ページの一番下にスクロールして「Add new property」セクションを表示します。
プロパティ名AuthFactory.classNameおよびプロパティ値oracle.jive.sso.OracleSSOAuthFactoryを追加してプロパティを更新します。「Save Property」をクリックします(図2-26)。
SSOスクリプトを実行します。SSOの設定プロセスを完了するには、一部の構成ファイルを変更する必要があります。この変更を行うには、このリリースに含まれるdeploy-discussions-sso.jarを実行する方法をお薦めします。スクリプトを実行しない場合は、次の項で説明する手動構成を使用できます。
deploy-discussions-sso.jarファイルは、web.xml、xwork-community.xml(jiveforums-<version>.jar内)およびjive_startup.xmlを構成し、oracle-jive-sso.zipを解凍します。
手動操作による構成ファイルでのエラーのリスクを減らすため、デプロイ・ツールdeploy-discussions-sso.jarの使用をお薦めします。構成ファイルの旧バージョンも自動的にバックアップされ、後でSSO構成をアンデプロイして以前の構成に戻す場合に役立ちます。
この処理を手動で実行するには、2.2.3項「シングル・サインオンの手動構成」の手順に従ってください。
deploy-discussions-sso.jarを実行する手順を次に示します。
deploy-discussions-sso.jarおよびoracle-discussions-sso.zipを$WLS_HOME/user_projects/domains/owc_discussions/にコピーします。
PATH変数にJDK 1.6が含まれていることを確認してください。含まれていない場合は、$MWHOME/jdk160_05/binにあるJDK 1.6を指すようにPATHを設定します。
WebLogic Serverコンソールで、Oracle WebCenter Discussionsアプリケーションを停止します。
$WLS_HOME/user_projects/domains/owc_discussionsから、次のコマンドを実行します。
java -client -Dhttp.proxyHost=www-proxy.us.oracle.com -Dhttp.proxyPort=80 -jar deploy-discussions-sso.jar jive_version=5.5.20-oracle
アンデプロイするには、(Admin UIから)AuthFactory.classNameをcom.jivesoftware.base.ldap.LdapAuthFactoryに再設定し、Oracle WebCenter Discussionsがデプロイされた管理対象サーバーを停止し、$WLS_HOME/user_projects/domains/owc_discussionsから次のコマンドを実行する必要があります。
java -client -Dhttp.proxyHost=www-proxy.us.oracle.com -Dhttp.proxyPort=80 -jar deploy-discussions-sso.jar jive_version=<jive version e.g. 5.5.20-oracle> undeploy=true
Oracle WebCenter Discussionsがデプロイされた管理対象サーバーを再起動してから、WebLogic Serverを起動します。
コマンドを実行してデプロイする際、jiveHomeディレクトリのフルパスの入力を求められます。owc_discussions\jive_forums_silver_5_5_20_oracle\documentation\install-guide.htmlの手順に従って、jiveHomeディレクトリを設定する際に使用したパスを入力します。
また、管理コンソールを使用して、カテゴリ、フォーラム、ユーザーおよびグループを作成および管理することもできます(Jiveデータベースをユーザー・アイデンティティに使用する場合)。詳細は、Companion CDにある『Jive Forums管理者ガイド』(forums-admin-guide.pdf)を参照してください。
deploy-jive-sso.jarを実行するかわりに、次の手順を手動で実行できます。
SSO関連のファイルは、Companion CDのoracle-discussions-sso.zipファイルにあります。このファイルを$WLS_HOME/user_projects/domains/owc_discussionsに解凍します。
WebLogic Serverを停止します。
xwork-community.xmlを$WLS_HOME/user_projects/domains/owc_discussions /WEB-INF/lib/jiveforums-5.5.20-oracle.jarから抽出します。ファイルを抽出するには、次のコマンドを実行します。
jar xvf jiveforums-5.5.20-oracle.jar xwork-community.xml
|
注意: これらの手順のjarコマンドでは、$MWHOME/jdk160_05/bin/javaにあるjar実行可能ファイルの使用をお薦めします。 |
xwork-community.xmlをテキスト・エディタで開き、<!-- Base actions -->タグと<!--Default skin -->タグの間のすべてのログオン/ログオフ・アクションを変更します。WEB-INF/sso-action-classes.xmlファイルに、これらのアクション・クラスを置換するXML Snippetがあります。
ファイルのエントリを次に示します。
<action name="login" class="oracle.jive.sso.actions.SSOLoginAction">
<result name="input">loginform.jsp</result>
<result name="success" type="redirect">${#attr['jive.login.successURL']}</result>
<result name="cancel" type="redirect">${#attr['jive.login.cancelURL']}</result>
<result name="error">loginform.jsp</result>
<result name="newaccount" type="redirect">account!input.jspa?username=${username}</result>
<result name="fatal" type="redirect">index.jsp</result>
<result name="success-no-redirect" type="chain">index</result>
<result name="create-account" type="chain">create-account</result>
<result name="cancel-no-redirect" type="chain">index</result>
</action>
<action name="login-default" class="oracle.jive.sso.actions.SSOLoginAction" method="default">
<result name="input">loginform.jsp</result>
<result name="success" type="redirect">${#attr['jive.login.successURL']}</result>
<result name="cancel" type="redirect">${#attr['jive.login.cancelURL']}</result>
<result name="error">loginform.jsp</result>
<result name="newaccount" type="redirect">account!input.jspa?username=${username}</result>
<result name="fatal" type="redirect">index.jsp</result>
<result name="success-no-redirect" type="chain">index</result>
<result name="create-account" type="chain">create-account</result>
<result name="cancel-no-redirect" type="chain">index</result>
</action>
<action name="login-withRedirect" class="oracle.jive.sso.actions.SSOLoginAction" method="withRedirect">
<result name="input">loginform.jsp</result>
<result name="success" type="redirect">${#attr['jive.login.successURL']}</result>
<result name="cancel" type="redirect">${#attr['jive.login.cancelURL']}</result>
<result name="error">loginform.jsp</result>
<result name="newaccount" type="redirect">account!input.jspa?username=${username}</result>
<result name="fatal" type="redirect">index.jsp</result>
<result name="success-no-redirect" type="chain">index</result>
<result name="create-account" type="chain">create-account</result>
<result name="cancel-no-redirect" type="chain">index</result>
</action>
<action name="logout" class="oracle.jive.sso.actions.SSOLogoutAction">
<result name="success" type="redirect">logout-success.jspa</result>
<result name="error">error.jsp</result>
</action>
<action name="logout-success" class="oracle.jive.sso.actions.SSOLogoutAction" method="input">
<result name="success">logout-success.jsp</result>
</action>
ファイルを保存し、次のコマンドを実行してjarファイルにコピーします。
jar uvf jiveforums-5.5.20-oracle.jar xwork-community.xml
$WLS_HOME/user_projects/domains/owc_discussions/WEB_INFにweb.xmlのバックアップを作成します。
Oracle WebCenter DiscussionsアプリケーションでSSOを構成するには、web.xmlファイルを変更します。
次の例に示すように、web.xmlファイルのAdminActionFilterおよびPresenceFilterを変更して、Java SSO統合を上書きします。これらのフィルタが存在しない場合は、作成する必要があります。
<filter> <filter-name>AdminActionFilter</filter-name> <filter-class> oracle.jive.sso.actions.SSOAdminActionFilter </filter-class> </filter> <filter> <filter-name>PresenceFilter</filter-name> <filter-class> oracle.jive.sso.actions.SSOPresenceFilter </filter-class> </filter>
web.xmlファイルの先頭で、<web-app>タグの後に、次の行を挿入します。
<security-constraint>
<web-resource-collection>
<web-resource-name>sample</web-resource-name>
<url-pattern>/owc_discussions</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>valid-users</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>CLIENT-CERT</auth-method>
<realm-name>myrealm</realm-name>
</login-config>
jiveHome/jive_startup.xmlで、次の行を</jive>タグの前に追加して、admin.tryAlternativeLoginを設定します。
<admin> <tryAlternativeLogin>true</tryAlternativeLogin> </admin>
構成を完了するには、Oracle WebLogic ServerおよびOracle WebCenter Discussionsがデプロイされた管理対象サーバーを起動します。
