第 5 章 OpenSSO 8.0 Update 2 と Oracle Access Manager の統合

この章では、OpenSSO 8.0 Update 2 と Oracle Access Manager 10g または 11g を使用してシングルサインオンを実装する手順を説明します。この情報は、『Sun OpenSSO Enterprise 8.0 Integration Guide』の第 3 章「Integrating Oracle Access Manager」に記載されている情報を補足するものです。 このユースケースでは、Oracle Access Manager セッションを活用することで、OpenSSO によって保護されたアプリケーションに対してシングルサインオンを実現します。設定された OpneSSO 認証モジュールは、Oracle Access Manager セッションに基づいて OpenSSO セッションを生成します。

統合手順の概要

1. 「開始する前に」

2. 統合部分の展開

3. OpenSSO で Oracle Access Manager のソースファイルを構築する

4. 「(省略可能) Oracle Access Manager での OpenSSO の認証スキームの構築」

5. 「Oracle Access Manager および Oracle OpenSSO STS を使用したシングルサインオンの設定」

6. 「シングルサインオンをテストする」

7. 「(省略可能) Oracle Access Manager への Oblix AuthScheme のインストール」

開始する前に

Oracle Access Manager との統合のために OpenSSO 8.0 Update 2 をインストールする前に、次のコンポーネントにアクセスできることを確認します。

opensso.zip

opensso.war ファイル、統合ソースコード、設定ファイル、および OpenSSO 8.0 Update 2 のインストールと設定に必要なその他のファイルが含まれている ZIP ファイル。

OpenSSO エージェント

OpenSSO によって保護されているアプリケーションが Oracle Access Manager によって確立された認証セッションを実際に使用する際に OpenSSO エージェントが利用されます。

Oracle Access Manager 10g または 11g

Oracle の Web サイトから Oracle Access Manager をダウンロードします。Oracle Fusion Middleware 11gR1 Software ダウンロードのページを参照してください。

Oracle Web Gate 10g または 11g

OpenSSO と Oracle Webgate の両方でサポートされているコンテナに Oracle Webgate をダウンロードします。現時点では、両方の製品でサポートされているコンテナは Sun Web Server 7.x のみです。Oracle Fusion Middleware 11gR1 Software ダウンロードのページを参照してください

Oracle Access Manager SDK 10g または 11g

Oracle Access Manager をダウンロードします。Oracle Access Manager と統合する場合、OpenSSO 認証モジュールのコンパイルと構築には SDK が必要です。

Oracle Fusion Middleware 11gR1 Software ダウンロードのページを参照してください

OpenSSO C-SDK 2.2

(省略可能) Oracle Access Manager 自体で認証モジュールを作成して OAM セッションを生成するには、OpenSSO C-SDK が必要です。これは OpenSSO の観点からは一般的なユースケースではない可能性があります。『Sun OpenSSO Enterprise 8.0 C API Reference for Application and Web Policy Agent Developers』の「Where is the C SDK?」を参照してください

統合部分の展開

opensso/integrations/oracle ディレクトリには、カスタム認証モジュールやその他のプラグインをコンパイルおよび構築するためのソースおよび設定が含まれています。ユースケースのオプションおよび関連情報については、『Sun OpenSSO Enterprise 8.0 Integration Guide』の第 3 章「Integrating Oracle Access Manager」を参照してください。次の表に、opensso/integrations/oracle ディレクトリ内のファイルと、各ファイルの説明を示します。

README.html

今開いているこのファイルです。

build.xml

OpenSSO で Oracle Access Manager のカスタム認証モジュールを構築するための Ant 構築ファイル

config

OpenSSO で Oracle Access Manager の認証モジュールを作成するために必要な設定ファイル。

• OblixAuthService.xml

  Oracle Access Manager 認証モジュールの認証サービスファイル

• OblixAuthModule.xml

  Oracle Access Manager の認証モジュールコールバック。

  これはデフォルトで空のファイルですが、設定をするために存在しなければならないものです。

• OblixAuth.properties

  認証のための国際化キーを格納するプロパティーファイル

lib

このディレクトリはデフォルトで空です。この lib ディレクトリには、ソースライブラリをコンパイルするために次のライブラリが含まれている必要があります。

• jobaccess.jar

  Oracle Access Manager SDK からこのファイルをコピーします。

• openfedlib.jar、amserver.jar、および opensso-sharedlib.jar

  opensso.war からこれらのファイルをコピーします

• servlet.jar or javaee.jar

  GlassFish の lib ディレクトリをコピーします。理想的には、javax.servlet.http.Cookie などの標準の Java EE クラスを持つ JAR ファイルが適当です。

source

次のソースファイルを含むディレクトリです。

• com/sun/identity/authentication/oblix/OblixAuthModule.java

• com/sun/identity/authentication/oblix/OblixAuthModule.java

• com/sun/identity/authentication/oblix/OblixPrincipal.java

• com/sun/identity/saml2/plugins/OAMAdapter.java

  このクラスは、SAML サービスプロバイダの SAML2 プラグインアダプタです。このクラスは OpenSSO のセッションサービスを使用して Oracle Access Manager に対してリモート認証を実施します。

oamauth (オプション)

このディレクトリには OpenSSO の Oblix 認証スキームのソースファイルが含まれています。これは C ベースの認証モジュールで、検証のために OpenSSO C-SDK を利用しています。

• oam/solaris/authn_api.c

  このファイルは OpenSSO の Oblix カスタム認証スキームを実装します。

• oam/solaris/include/*.h

  認証スキームをコンパイルするすのに必要なヘッダーファイルすべて。

• oam/solaris/AMAgent.properties

  OpenSSO エージェントの設定ファイルのサンプル。これは、OpenSSO セッションを検証するための認証スキームに必要です。

OpenSSO で Oracle Access Manager のソースファイルを構築する

Ant スクリプトを使用してソースファイルを構築します。対応している Ant スクリプトを設定して、PATH で設定する必要があります。

Oracle Access Manager のソースファイルを構築する

1. 次のコマンドを実行します。

   cd $openssozipdir/integrations/oracle; ant -f build.xml

   このコマンドによって、リソースファイルが構築され、fam_oam_integration.jar が $openssozipdir/integrations/oracle/dist ディレクトリに生成されます。

2. 認証モジュールを OpenSSO WAR ファイルにバンドルします。

   1. 一時的なディレクトリを作成して、opensso.war を解凍します。次に例を示します。

      # mkdir /export/tmp
      # cd /export/tmp
      # jar -xvf opensso.war

      これ以降は、/export/tmp を WAR のステージング領域として使用し、マクロ $WAR_DIR とともに表します。

   2. $openssozipdir/integrations/oracle/dist/fam_oam_integration.jar を $WAR_DIR/WEB-INF/lib にコピーします。

   3. $openssozipdir/integrations/oracle/config/OblixAuth.properties を $WAR_DIR/WEB-INF/classes にコピーします。

   4. $openssozipdir/integrations/oracle/config/OblixAuthModule.xml を $WAR_DIR/config/auth/default および $WAR_DIR/config/auth/default_en ディレクトリにコピーします。

   5. jar cvf opensso.war を使用して $WAR_DIR の opensso.war を再WAR化します。

   例: 作成予定

(省略可能) Oracle Access Manager での OpenSSO の認証スキームの構築

注: これは一般的なユースケースではありません。SAML2 サービスプロバイダのユースケースなど、構築する必要がある場合にのみ実施します。

Oblix 認証スキームを構築するには、makefile をカスタマイズする必要があります。また、これは C ベースの認証モジュールのため、オペレーティングシステムに依存します。

Oracle Access Manager で OpenSSO の認証スキームを構築する

始める前に

認証スキームファイルは $openssozipdir/integrations/oracle/oamauth/solaris ディレクトリの下にあります。

1. OpenSSO C-SDK 2.2 バージョンをダウンロードして設定します。

   authn_api.c ファイルには、AMAgent.propeties file への参照が含まれます。ファイルを適宜編集します。

2. 環境に合わせて makefile をカスタマイズします。

   たとえば、gcc コンパイルの場所を指定します。また、LDFLAGS を編集して OpenSSO C-SDK の lib を指定します。

3. make コマンドを実行します。

   make コマンドによって authn_api.so ファイルが生成されるはずです。

Oracle Access Manager および Oracle OpenSSO STS を使用したシングルサインオンの設定

Oracle Access Manager および Oracle OpenSSO 8.0 Update 2 を使用してシングルサインオンを設定する

開始する前に: Sun Java System Web Server 7.x がすでにインストールおよび設定されている必要があります。Web サーバーのインストール手順については、Sun Java System Web Server Documentation Wiki を参照してください。

1. Sun Java System Web Server 7.x に OpenSSO をインストールします。

2. OpenSSO のポリシーエージェントをサポートされているコンテナにインストールして、エージェントが OpenSSO で動作するように設定します。

   手順については、『Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for J2EE Agents』または『Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for Web Agents』『Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for Web Agents』を参照してください。

3. Oracle Access Manager をインストールおよび設定します。

   『Oracle Access Manager インストレーション・ガイド 10g (10.1.4.3)』を参照してください

4. Oracle Access Manager で Oracle Access Manager SDK をインストールおよび設定します。

   『Oracle Access Manager インストレーション・ガイド 10g (10.1.4.3)』を参照してください

5. OpenSSO がインストールされた同一の Web コンテナに Oracle Webgate をインストールします (Sun Web Server 7.x)。

   OpenSSO を設定して、OpenSSO Web アプリケーションの deployURI/UI/* のみが保護されるようにします。次に例を示します。/opensso/UI/.../*

   Oracle Access Manager のポリシー、リソース、およびその他の設定の詳細については、『Oracle Access Manager Administration Guide』を参照してください。 OpenSSO Enterprise で、その他すべての URL の保護を解除します。これは、簡単なシングルサインオンの統合シナリオを実現するためですが、完全な統合とその他の配備の依存関係に基づいてポリシーを評価します。

6. OpenSSO で認証モジュールを設定します。

   1. OpenSSO コンソールにアクセスします。

      認証のため、ブラウザは Oracle Access Manager へリダイレクトします。認証成功後、ログインページが OpenSSO に表示されます。OpenSSO 管理者のユーザー名とパスワードを使用してログインします。

   2. Oracle 認証モジュールのサービス XML ファイルを、OpenSSO の設定にインポートします。

      認証モジュールサービスは、コマンド行の ssoadm ユーティリティーから、およびブラウザベースの ssoadm.jsp から読み込めます。

   3. http://host:port/opensso/ssoadm.jsp にアクセスします。

   4. 「create-service」オプションを選択します。

   5. $openssozipdir/integrations/oracle/config/OblixAuthService.xml から XML ファイルをコピー＆ペーストして、「Submit」をクリックします。

      これによって、認証モジュールのサービスが OpenSSO 設定に読み込まれます。

   6. 認証モジュールを認証コアサービスに登録します。

      このコアサービスにはオーセンティケータのリストが含まれています。register-auth-module オプションを http://host:port/opensso/ssoadm.jsp で選択します。認証モジュールのクラス名として、com.sun.identity.authentication.oblix.OblixAuthModule と入力します。

   7. 認証モジュールがデフォルトのレルムに登録されていることを確認します。

      URL http://host:port/opensso を使用して OpenSSO にアクセスします。OpenSSO コンソールで、デフォルトのレルムをクリックして、「Authentication」タブをクリックします。「New」をクリックして OblixAuth という名前の新しい認証モジュールを作成します。

   8. 「Authentication」タブで、OblixAuth 認証モジュールを選択します。

      Oblix SDK ディレクトリを設定します。「Check Remote User Header Only」を有効にして、リモートヘッダー名として OAM_REMOTE_USER を指定します。このパラメータは配備に合わせて設定可能です。

7. (省略可能) OpenSSO のコア認証サービスで「Ignore Profile」オプションを有効にします。

   OpenSSO コンソールで、「Configuration」>「Core」>「Realm Attributes」>「User Profile」の順に選択します。「Ignored」を選択して「Save」をクリックします。

   この設定により、OpenSSO が認証成功後に既存のユーザープロファイルを検索しないようにします。ただし、OpenSSO と Oracle Access Manager によって使用されるユーザーリポジトリが完全に同一である場合、この手順は不要です。「Admin Console」>「Configuration」>「Core」>「Realm Attributes」>「User Profile」の順に選択します。「Ignored」を選択して「Save」をクリックします。

8. Web サーバーの起動スクリプトを編集して、Oracle Access Manager SDK の共有ライブラリを含めます。

   startserv スクリプト内の LD_LIBRARY_PATH を更新して $ACCESSDKDIR/oblix/lib の共有ライブラリを含めます。

9. OpenSSO および Oracle Webgate の両方を含む Sun Web Server を再起動します。

10. Web Agent のログイン URL を http://openssohost:openssoport/deployURI/UI/Login?module=OblixAuth に更新します。

シングルサインオンをテストする

OpenSSO によって保護されているアプリケーションの保護リソースにアクセスします。まだ認証されていない場合、ブラウザは Oracle Access Manager のログインページにユーザーをリダイレクトします。ログイン成功後、 OpenSSO セッションが作成され、最後にポリシーエージェントに保護されたアプリケーションの URL にリダイレクトされます。ポリシーに基づいて、保護されたアプリケーションへのアクセスが許可または拒否されます。

(省略可能) Oracle Access Manager への Oblix AuthScheme のインストール

この手順は、OpenSSO セッションの認証後に Oracle Access Manager セッションを生成しなければならない場合に便利です。関連するユースケースについての情報は、『Sun OpenSSO Enterprise 8.0 Integration Guide』の第 3 章「Integrating Oracle Access Manager」を参照してください。

Oblix 認証スキームは C 認証モジュールとして公開され、この認証スキームは OpenSSO C-SDK 2.2 バージョンを使用して OpenSSO セッションを検証します。Oblix の OpenSSO 認証スキームは、OpenSSO クライアントサイド設定に AMAgent.properties の設定を使用します。 このファイルは 認証モジュールを設定する前にカスタマイズする必要があります。構築手順でこのファイルの 場所を指定します。認証スキームを設定する前に、コンパイルされた authn_api.so およびその他の C-SDK ライブラリを $OAM_INSTALL_DIR/access/oblix/lib ディレクトリコピーする必要があります。『『Sun OpenSSO 8.0 Integration Guide』』には、Oracle 認証スキームの設定方法を図説したスクリーンショットの例が記載されています。ただしこのスクリーンショットは参照目的でのみ使用してください。詳細については、Oracle Access Manager の最新マニュアルを参照してください。

OpenSSO 8.0 Update 2 と Oracle Access Manager の統合

この節では、OpenSSO 8.0 Update 2 と Oracle Access Manager 10.1.4.0.1 または 11g を使用してシングルサインオンを実装する手順を説明します。この情報は、『Sun OpenSSO Enterprise 8.0 Integration Guide』の第 3 章「Integrating Oracle Access Manager」に記載されている情報を補足するものです。 このユースケースでは、Oracle Access Manager セッションを活用することで、OpenSSO によって保護されたアプリケーションに対してシングルサインオンを実現します。設定された OpneSSO 認証モジュールは、Oracle Access Manager セッションに基づいて OpenSSO セッションを生成します。