OracleAS Single Sign-Onのインストールと構成
Oracle HTTP Serverを使用したOracleAS Single Sign-OnとOracle Delegated Administration Serviceの再構成
OC4J_SECURITYインスタンスのセッション状態レプリケーションの構成
Identity Management層でのOracle HTTP Serverの無効化
Identity Managementのコンポーネントをインストールする前に、ポート443(https)でsso.mycompany.comへのリクエストをリスニングし、Oracle HTTP Serverのリスニング・ポート7777(http)に対してこれらのリクエストをバランシングするように、ロード・バランシング・ルーターを設定する必要があります。ロード・バランシング・ルーターはプロトコル変換を行う必要があります。また、HTTPセッションを永続させるために構成する必要があります。
データ層が完成したら、次の手順に従ってIdentity Managementのコンポーネント(IDMHOST1およびIDMHOST2)をインストールし、IDMHOST1およびIDMHOST2にOracleAS Single Sign-Onを構成します。
IDMHOST1にIdentity Managementをインストールする手順は次のとおりです。
システム、パッチ、カーネルの要件、およびその他の要件が満たされていることを確認します。これらは、ご使用のプラットフォームおよびリリースのOracle Application Serverドキュメント・ライブラリで参照できるOracle Application Serverのクイック・インストレーション・ガイドに示されています。
Disk1/stage/Response
ディレクトリのstaticports.ini
ファイルを、Oracleホームのディレクトリにコピーします。
staticports.ini
ファイルを編集し、次のエントリのコメントを外します。
Oracle HTTP Server port = 7777 Oracle HTTP Server Listen port = 7777 Application Server Control port = 1810
次のように、Oracle Universal Installerを起動します。
UNIXでは、runInstaller
コマンドを発行します。
Windowsでは、setup.exe
をダブルクリックします。
「ようこそ」画面が表示されます。
「次へ」をクリックします。
UNIXシステムの場合、「インベントリ・ディレクトリと資格証明の指定」画面が表示されます。
orainventory
ディレクトリと、そのディレクトリへの書込み権限を持つオペレーティング・システム・グループを指定します。
「次へ」をクリックします。
UNIXシステムの場合、oraInstRoot.sh
スクリプトの実行を求めるダイアログが表示されます。
ウィンドウを開いてから、そのウィンドウのプロンプトに従ってスクリプトを実行します。
Oracle Universal Installerの画面に戻り、「次へ」をクリックします。
「ファイルの場所の指定」画面が表示され、次のもののデフォルトの場所が示されます。
インストールの製品ファイル(インストール元)
Oracleホームの名前とパス(インストール先)
注意: IDMHOST1とIDMHOST2のOracleホーム・ディレクトリのパスが同じであることを確認してください。たとえば、IDMHOST1のOracleホームへのパスが次のように設定されている場合、
IDMHOST2のOracleホームへのパスも次のように設定する必要があります。
|
デフォルトとは異なるインストール先を選択する場合は、インストール先名と「パス」を指定し、「次へ」をクリックします。
「インストールする製品の選択」画面が表示されます。
「OracleAS Infrastructure 10g」を選択し、「次へ」をクリックします。
「インストール・タイプの選択」画面が表示されます。
「Identity Management」を選択し、「次へ」をクリックします。
「インストール前の要件の確認」画面が表示されます。
要件が満たされていることを確認してから、「次へ」をクリックします。
「構成オプションの選択」画面が表示されます。
「OracleAS Single Sign-On」、「OracleAS Delegated Administration Services」および「高可用性およびレプリケーション」を選択します。
「ポート構成オプションの指定」画面が表示されます。
「手動」を選択してstaticports.ini
ファイルの場所を指定してから、「次へ」をクリックします。
「高可用性オプションの選択」画面が表示されます。
「OracleASクラスタ(ID管理)」を選択し、「次へ」をクリックします。
「OracleASクラスタ(ID管理)の作成または追加」画面が表示されます。
新規OracleASクラスタの作成を選択し、「次へ」をクリックします。
「新規OracleASクラスタ名の指定」画面が表示されます。
新規OracleASクラスタ名フィールドにクラスタ名を指定し、「次へ」をクリックします。
注意: クラスタ名を書き留めておいてください。この名前は、クラスタに追加するインスタンスを後でインストールするときに必要になります。 |
「LDAP仮想ホストおよびポートの指定」画面が表示されます。
ロード・バランシング・ルーターの名前、SSLポートおよび非SSLポートを入力します
「次へ」をクリックします。
「OIDログインの指定」画面が表示されます。
フィールドに入力したら、「次へ」をクリックします。
「HTTPロード・バランサのホストおよびリスニング・ポートの指定」画面が表示されます。
HTTP Serverのリスニング・ポートとHTTPロード・バランサのホスト名およびポートを入力し、ロード・バランサのSSLオプションを有効にします。
「次へ」をクリックします。
「インスタンス名とias_adminパスワードの指定」画面が表示されます。
インスタンス名とパスワードを指定し、「次へ」をクリックします。
「サマリー」画面が表示されます。
選択内容が正しいことを確認し(そうでない場合は、「戻る」をクリックして、それまでの画面の選択内容を変更する)、「インストール」をクリックします。
「インストール」画面がプログレス・バー付きで表示されます。UNIXシステムの場合、root.sh
スクリプトの実行を求めるダイアログが表示されます。
ウィンドウを開いてから、このスクリプトを実行します。
「コンフィギュレーション・アシスタント」画面が表示されます。複数のConfiguration Assistantが連続して起動されるため、時間がかかることがあります。このプロセスの完了後、「インストールの終了」画面が表示されます。
「終了」をクリックしてから、その選択を確認します。
Oracle Internet Directoryを使用する最初のIdentity Managementインストールをテストする手順は次のとおりです。
次のコマンドを使用して、OIDHOST1上のすべてのコンポーネントを停止します。
ORACLE_HOME
/opmn/bin/opmnctl stopall
次のコマンドを使用して、OIDHOST2上のすべてのコンポーネントが稼動していることを確認します。
ORACLE_HOME
/opmn/bin/opmnctl status
次のURLにアクセスします。
https://IDMHOST1.mycompany.com/pls/orasso
次のコマンドを使用して、OIDHOST2上のすべてのコンポーネントを停止します。
ORACLE_HOME
/opmn/bin/opmnctl stopall
次のコマンドを使用して、OIDHOST1上のすべてのコンポーネントが稼動していることを確認します。
ORACLE_HOME
/opmn/bin/opmnctl status
次のURLにアクセスします。
https://IDMHOST2.mycompany.com/pls/orasso
IDMHOST2にIdentity Managementをインストールする手順は次のとおりです。
システム、パッチ、カーネルの要件、およびその他の要件が満たされていることを確認します。これらは、ご使用のプラットフォームおよびリリースのOracle Application Serverドキュメント・ライブラリで参照できるOracle Application Serverのクイック・インストレーション・ガイドに示されています。
Disk1/stage/Response
ディレクトリのstaticports.ini
ファイルを、Oracleホームのディレクトリにコピーします。
staticports.ini
ファイルを編集し、次のエントリのコメントを外します。
Oracle HTTP Server port = 7777 Oracle HTTP Server Listen port = 7777 Application Server Control port = 1810
次のように、Oracle Universal Installerを起動します。
UNIXでは、runInstaller
コマンドを発行します。
Windowsでは、setup.exe
をダブルクリックします。
「ようこそ」画面が表示されます。
「次へ」をクリックします。
UNIXシステムの場合、「インベントリ・ディレクトリと資格証明の指定」画面が表示されます。
orainventory
ディレクトリと、そのディレクトリへの書込み権限を持つオペレーティング・システム・グループを指定します。
「次へ」をクリックします。
UNIXシステムの場合、oraInstRoot.sh
スクリプトの実行を求めるダイアログが表示されます。
ウィンドウを開いてから、そのウィンドウのプロンプトに従ってスクリプトを実行します。
Oracle Universal Installerの画面に戻り、「次へ」をクリックします。
「ファイルの場所の指定」画面が表示され、次のもののデフォルトの場所が示されます。
インストールの製品ファイル(インストール元)
Oracleホームの名前とパス(インストール先)
注意: IDMHOST1とIDMHOST2のOracleホーム・ディレクトリのパスが同じであることを確認してください。たとえば、IDMHOST1のOracleホームへのパスが次のように設定されている場合、
IDMHOST2のOracleホームへのパスも次のように設定する必要があります。
|
デフォルトとは異なるインストール先を選択する場合は、インストール先名と「パス」を指定し、「次へ」をクリックします。
「インストールする製品の選択」画面が表示されます。
「OracleAS Infrastructure 10g」を選択し、「次へ」をクリックします。
「インストール・タイプの選択」画面が表示されます。
「Identity Management」を選択し、「次へ」をクリックします。
「インストール前の要件の確認」画面が表示されます。
要件が満たされていることを確認してから、「次へ」をクリックします。
「構成オプションの選択」画面が表示されます。
「OracleAS Single Sign-On」、「OracleAS Delegated Administration Services」および「高可用性およびレプリケーション」を選択します。
「次へ」をクリックします。
「高可用性オプションの選択」画面が表示されます。
「OracleASクラスタ(ID管理)」を選択し、「次へ」をクリックします。
「OracleASクラスタ(ID管理)の作成または追加」画面が表示されます。
既存のOracleASクラスタに追加を選択し、「次へ」をクリックします。
「既存のOracleASクラスタ名の指定」画面が表示されます。
最初のインスタンスのインストール時に入力したクラスタ名を既存のOracleASクラスタ名フィールドに指定し、「次へ」をクリックします。
「LDAP仮想ホストおよびポートの指定」画面が表示されます。
ロード・バランシング・ルーターの名前、SSLポートおよび非SSLポートを入力します
「次へ」をクリックします。
「OIDログインの指定」画面が表示されます。
フィールドに入力したら、「次へ」をクリックします。
「HTTPロード・バランサのホストおよびリスニング・ポートの指定」画面が表示されます。
HTTP Serverのリスニング・ポートとHTTPロード・バランサのホスト名およびポートを入力し、ロード・バランサのSSLオプションを有効にします。
「次へ」をクリックします。
「インスタンス名とias_adminパスワードの指定」画面が表示されます。
インスタンス名とパスワードを指定し、「次へ」をクリックします。
「サマリー」画面が表示されます。
選択内容が正しいことを確認し(そうでない場合は、「戻る」をクリックして、それまでの画面の選択内容を変更する)、「インストール」をクリックします。
「インストール」画面がプログレス・バー付きで表示されます。UNIXシステムの場合、root.sh
スクリプトの実行を求めるダイアログが表示されます。
ウィンドウを開いてから、このスクリプトを実行します。
「コンフィギュレーション・アシスタント」画面が表示されます。複数のConfiguration Assistantが連続して起動されるため、時間がかかることがあります。このプロセスの完了後、「インストールの終了」画面が表示されます。
「終了」をクリックしてから、その選択を確認します。
この項の手順に従って、OracleAS Single Sign-OnとOracle Delegated Administration Serviceを再構成します。
次のことを確認します。
Oracle Identity Managementインスタンスが起動している(ステータスが「稼働中」になっている)こと。
Oracle Internet Directoryのホスト番号とポート番号がわかっていること。
cn=orcladmin、またはiASAdminsグループの別のユーザーのパスワードがわかっていること。
IDMHOST1_ORACLE_HOME
/sso/bin
およびIDMHOST2_ORACLE_HOME
/sso/bin
で、次のように、コマンドssocfg.sh
を発行します。
ssocfg.sh https
sso.mycompany.com
443
このコマンドで、sso.mycompany.comはロード・バランシング・ルーターのVIPホスト名です。
IDMHOST1_ORACLE_HOME
/sso/bin
で、次のように、コマンドssoreg.sh
(UNIXの場合)またはssoreg.bat
(Windowsの場合)を発行します。
ssoreg.sh -oracle_home_path $ORACLE_HOME
-config_mod_osso TRUE
-site_name
sso.mycompany.com
:443
-remote_midtier
-config_file $ORACLE_HOME/Apache/Apache/conf/osso/
myosso.conf
-mod_osso_url https://
sso.mycompany.com
:443
この例では、myosso.confが、不明瞭な形で作成されるosso構成ファイルの名前になります。
myosso.confファイルを、WEBHOST1_ORACLE_HOME
/Apache/Apache/conf/osso
およびWEBHOST2_ORACLE_HOME
/Apache/Apache/conf/osso
にコピーします。
使用しているOracle HTTP Serverのバージョンに応じて、次のいずれかの手順に従い、mod_ossoを構成します。
リリース3(10.1.3):
WEBHOST1およびWEBHOST2で次のコマンドを発行します。
(UNIX)ORACLE_HOME
/Apache/Apache/bin/osso1013 config_file
(Windows)perl
ORACLE_HOME
/Apache/Apache/bin/osso1013 config_file
リリース3(10.1.2):
手順4で不明瞭な形で作成されたosso構成ファイルを、WEBHOST1およびWEBHOST2のORACLE_HOME
/Apache/Apache/conf/osso
ディレクトリにコピーします。
ORACLE_HOME
/Apache/Apache/conf/httpd.conf
ファイルで、Include mod_osso.conf
ディレクティブを非コメント化します。
ORACLE_HOME
/Apache/Apache/conf/mod_osso.conf
ファイルに次のディレクティブを追加します。
OssoConfigFile $ORACLE_HOME/Apache/Apache/conf/osso/osso.conf
IDMHOST1_ORACLE_HOME
/sso/conf/sso_apache.conf
ファイルをWEBHOST1にコピーします。
WEBHOST1_ORACLE_HOME
/Apache/Apache/conf/httpd.conf
ファイルに次のディレクティブを追加します。
Include sso_apache.conf
WEBHOST1のsso_apache.conf
ファイルを変更して、SSLセクションを有効にし、リライト・セクションをコメントアウトします(例に示すセクションのみが有効になります)。
<IfDefine SSL> Oc4jExtractSSL on <Location /sso> SSLOptions +ExportCertData +StdEnvVars </Location> </IfDefine>
WEBHOST1からWEBHOST2にsso_apache.conf
ファイルをコピーします。
WEBHOST2_ORACLE_HOME
/Apache/Apache/conf/httpd.conf
ファイルに次のディレクティブを追加します。
Include sso_apache.conf
次のコマンドを使用して、IDMHOST1およびIDMHOST2のAJPポートを特定します。
IDMHOST1_ORACLE_HOME
/opmn/bin/opmnctl status -l
IDMHOST2_ORACLE_HOME
/opmn/bin/opmnctl status -l
WEBHOST1_ORACLE_HOME
/Apache/Apache/conf/mod_oc4j.conf
ファイルおよびWEBHOST2_ORACLE_HOME
/Apache/Apache/conf/mod_oc4j.conf
ファイルで、Oc4jMountディレクティブのAJP port 1およびAJP port 2に、手順12で取得したポート値を代入します。この構成によって、OracleAS Single Sign-OnおよびOracle Delegated Administration Serviceのリクエストは、AJPプロトコルを使用してID管理サーバーに送られるようになります。
<IfModule mod_oc4j.c> ... Oc4jMount /oiddas ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2 Oc4jMount /oiddas/* ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2 Oc4jMount /sso ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2 Oc4jMount /sso/* ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2 Oc4jMount /ssohelp ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2 Oc4jMount /ssohelp/* ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2 Oc4jMount /pls ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2 Oc4jMount /pls/* ajp13://IDMHOST1:AJP port1,IDMHOST2:AJP port2 ... </IfModule>
次のエントリをWEBHOST1_ORACLE_HOME
/Apache/Apache/conf/mod_osso.conf
に追加して、Oracle Delegated Administration Serviceを構成します。
<IfModule mod_osso.c>
# for oiddas protected region
<Location /oiddas/ui/oracle/ldap/das>
require valid-user
AuthType Basic
</Location>
</IfModule>
<IfModule mod_alias.c>
# Define the alias which maps the "/uixi/" URI to
# the current version of the UIX installables
Alias /uixi/ "ORACLE_HOME/uix/cabo/"
# Turn on browser caching for the UIX installables
<Location /uixi>
# Use mod_headers to set the cache-control header
Header set cache-control "Public"
# Use mod_expires to set the expires header to some
# date in the distant future
ExpiresActive on
ExpiresDefault "access plus 364 days"
</Location>
</IfModule>
WEBHOST1_ORACLE_HOME
/Apache/Apache/conf/mod_osso.conf
をWEBHOST2_ORACLE_HOME
/Apache/Apache/conf/
にコピーし、Alias /uixi/ "
ORACLE_HOME
/uix/cabo/"
のORACLE_HOME
値を、WEBHOST2_ORACLE_HOME
を指定するように変更します。
次のエントリをWEBHOST1_ORACLE_HOME
/Apache/Apache/conf/httpd.conf
に追加して、ロード・バランシング・ルーターを使用したOracle HTTP Serverを構成します。
使用するプラットフォームに対して、適切な>LoadModule certheaders_module
ディレクティブを追加します。
UNIX Apache 1.3:
LoadModule certheaders_module libexec/mod_certheaders.so
UNIX Apache 2.0: UNIXでApache 2.0を使用する場合は、次のディレクティブを使用します。
LoadModule certheaders_module modules/mod_certheaders.so
Windows:
LoadModule certheaders_module modules/ApacheModuleCertHeaders.dll
次の行を追加して、NameVirtualHost
ディレクティブ、およびsso.mycompany.comとポート443用のVirtualHost
コンテナを作成します。
Apache 1.3:
NameVirtualHost *:7777
<VirtualHost *:7777>
ServerName sso.mycompany.com
Port 443
ServerAdmin
you@your.address
RewriteEngine On
RewriteOptions inherit
SimulateHttps On
</VirtualHost>
Apache 2.0:
NameVirtualHost *:7777
<VirtualHost *:7777>
ServerName sso.mycompany.com:443
ServerAdmin
you@your.address
RewriteEngine On
RewriteOptions inherit
SimulateHttps On
</VirtualHost>
注意: LoadModule ディレクティブ(特にLoadModule rewrite_module ディレクティブ)は、httpd.conf ファイル内のVirtualHost ディレクティブの前に配置する必要があります。サーバーでは、VirtualHost コンテナ内のディレクティブが実行される前に、すべてのモジュールがロードされている必要があります。
VirtualHostディレクティブは、 |
WEBHOST1_ORACLE_HOME
/Apache/Apache/conf/httpd.conf
をWEBHOST2_ORACLE_HOME
/Apache/Apache/conf/
にコピーします。
Oracle HTTP Serverを再起動します。
両方のIdentity Managementの構成が完了したら、次のように構成をテストします。
次のコマンドを使用して、IDMHOST1上のすべてのコンポーネントを停止します。
ORACLE_HOME
/opmn/bin/opmnctl stopall
次のコマンドを使用して、IDMHOST2上のすべてのコンポーネントが稼動していることを確認します。
ORACLE_HOME
/opmn/bin/opmnctl status
2つのブラウザから次のURLにアクセスします。
https://sso.mycompany.com/pls/orasso
https://sso.mycompany.com/oiddas
次のコマンドを使用して、IDMHOST1上のすべてのコンポーネントを起動します。
ORACLE_HOME
/opmn/bin/opmnctl startall
次のコマンドを使用して、IDMHOST2上のすべてのコンポーネントを停止します。
ORACLE_HOME
/opmn/bin/opmnctl stopall
orasso
ログインとoiddas
ログインのセッションがまだ有効であることを確認します。
Application Server Controlコンソールにアクセスし(URLはhttp://
hostname
:
port
/em/
)、インストール時に設定したoc4jadminパスワードでログインします。
「クラスタ・トポロジ」ページが表示されます。
OC4J_SECURITYインスタンスを選択します。
「OC4J_SECURITY」ページが表示されます。
「アプリケーション」をクリックします。
インスタンスのアプリケーションが表示されます。
default
アプリケーションを選択します。
「アプリケーション: default」ページが表示されます。
「管理」をクリックします。
管理タスクが一覧表示されます。
「クラスタリング・プロパティ」の「タスクに移動」アイコンをクリックします。
「クラスタリング・プロパティ」ページが表示されます。
「クラスタリング」ドロップダウン・リストから「有効化」を選択します。
「レプリケーション・プロトコル」の選択肢が表示されます。
ピアツーピアを選択します。
下にスクロールし、「レプリケーション・プロパティ」の前にある「+」をクリックします。
レプリケーション プロパティが一覧表示されます。
必要に応じて、アプリケーション・プロパティを選択および指定します。
「OK」をクリックします。
「アプリケーション: default」ページに、変更が適用されたことを示す確認メッセージが表示されます。
「クラスタ・トポロジ」リンクをクリックします。
「クラスタ・トポロジ」ページが表示されます。
OC4J_SECURITYインスタンスの横にあるチェック・ボックスを選択し、「再起動」をクリックします。
確認メッセージが表示されます。
「はい」をクリックします。
進行状況メッセージが表示され、インスタンスが再起動したことを示すメッセージが「クラスタ・トポロジ」ページに表示されます。
IDMHOST1およびIDMHOST2で、次の手順に従って、Identity Management層のOracle HTTP Serverを無効にします。
ORACLE_HOME
/opmn/bin/opmn.xml
ファイルを編集し、次に太字で示すように、Oracle HTTP Serverのステータスをdisabledに変更します。
<ias-component id="HTTP_Server" status="disabled" > <process-type id="HTTP_Server" module-id="OHS"> <module-data>...</ias-component>
ORACLE_HOME
/opmn/bin
にある次のコマンドを発行します。
opmnctl stopall
ORACLE_HOME
/opmn/bin
にある次のコマンドを発行します。
opmnctl startall