5장 OpenSSO 8.0 업데이트 2와 Oracle Access Manager 통합

이 장에서는 OpenSSO 8.0 업데이트 2 및 Oracle Access Manager 10g 또는 11g를 사용하여 단일 사인 온(SSO)을 구현하기 위한 지시사항을 제공합니다. 이 정보는 Sun OpenSSO Enterprise 8.0 Integration Guide의 3 장, Integrating Oracle Access Manager에 포함된 개념 정보를 보충합니다. 이 사용 사례는 Oracle Access Manager 세션을 통해 OpenSSO 보호 응용 프로그램에 대한 단일 사인 온(SSO) 경험을 제공합니다. 구성된 OpenSSO 인증 모듈은 Oracle Access Manager 세션을 기반으로 한 OpenSSO 세션을 생성합니다.

통합 단계 개요

1. 시작하기 전에

2. Unpacking the Integration Bits

3. Building source files for Oracle Access Manager in OpenSSO

4. (선택 사항) Oracle Access Manager에서 OpenSSO용 인증 체계 빌드

5. Oracle Access Manager 및 Oracle OpenSSO STS를 사용하여 단일 사인 온(SSO) 구성

6. 단일 사인 온(SSO)을 테스트하는 방법

7. (선택 사항) Oracle Access Manager에 Oblix AuthScheme 설치

시작하기 전에

Oracle Access Manager와 통합을 위해 OpenSSO 8.0 업데이트 2를 설치하려면 다음 구성요소에 액세스할 수 있어야 합니다.

opensso.zip

이 zip 파일에는 OpenSSO 8.0 업데이트 2 설치 및 구성에 필요한 opensso.war 파일, 통합 소스 코드, 구성 파일 및 기타 도구가 포함되어 있습니다.

OpenSSO 에이전트

OpenSSO 에이전트는 OpenSSO가 보호하는 응용 프로그램이 실제로 Oracle Access Manager가 설정한 인증 세션을 사용할 수 있을 때 사용됩니다.

Oracle Access Manager 10g 또는 11g

Oracle 웹 사이트에서 Oracle Access Manager를 다운로드합니다. Oracle Fusion Middleware 11gR1 소프트웨어 다운로드 페이지를 참조하십시오.

Oracle Web Gate 10g 또는 11g

OpenSSO와 Oracle Webgate 모두에서 지원되는 컨테이너를 위한 Oracle Webgate를 다운로드합니다. 현재 Sun Web Server 7.x는 두 제품에서 모두 지원되는 유일한 컨테이너입니다. Oracle Fusion Middleware 11gR1 소프트웨어 다운로드 페이지를 참조하십시오.

Oracle Access Manager SDK 10g 또는 11g

Oracle Access Manager를 다운로드합니다. Oracle Access Manager 통합을 위해 OpenSSO 인증 모듈을 컴파일 및 빌드하려면 SDK가 필요합니다.

Oracle Fusion Middleware 11gR1 소프트웨어 다운로드 페이지를 참조하십시오.

OpenSSO C-SDK 2.2

(선택 사항) Oracle Access Manager 자체에서 인증 모듈을 만들어서 OAM 세션을 생성하려면 OpenSSO C-SDK가 필요합니다. 이것은 OpenSSO 관점에서의 일반 사용 사례가 아닐 수 있습니다. Sun OpenSSO Enterprise 8.0 C API Reference for Application and Web Policy Agent Developers의 Where is the C SDK?를 참조하십시오.

통합 비트 압축 풀기

opensso/integrations/oracle 디렉토리에는 사용자 정의 인증 모듈 및 기타 플러그인을 컴파일 및 빌드하는 소스 및 구성이 포함되어 있습니다. 사용 사례 옵션 및 관련 정보는 Sun OpenSSO Enterprise 8.0 Integration Guide의 3 장, Integrating Oracle Access Manager을 참조하십시오. 다음 표에는 opensso/integrations/oracle 디렉토리에 있는 파일과 각 파일에 대한 설명이 요약되어 있습니다.

README.html

이것은 지금 읽고 있는 파일입니다.

build.xml

OpenSSO에서 Oracle Access Manager용 사용자 정의 인증 모듈을 빌드하기 위한 ant 빌드 파일

config

OpenSSO에서 Oracle Access Manager용 인증 모듈을 만드는 데 필요한 구성 파일

• OblixAuthService.xml

  Oracle Access Manager 인증 모듈에 대한 인증 서비스 파일

• OblixAuthModule.xml

  Oracle Access Manager에 대한 인증 모듈 콜백

  기본적으로 이것은 빈 파일이지만 구성을 위해 있어야만 합니다.

• OblixAuth.properties

  인증을 위한 국제화 키를 저장하는 등록 정보 파일

lib

이 디렉토리는 기본적으로 비어 있습니다. 소스 라이브러리를 컴파일하려면 이 lib 디렉토리에 다음 라이브러리가 포함되어 있어야 합니다.

• jobaccess.jar

  Oracle Access Manager SDK에서 이 파일을 복사합니다.

• openfedlib.jar, amserver.jar 및 opensso-sharedlib.jar

  opensso.war에서 이 파일을 복사합니다.

• servlet.jar 또는 javaee.jar

  GlassFish lib 디렉토리를 복사합니다. javax.servlet.http.Cookie와 같은 표준 Java EE 클래스가 있는 JAR 파일이 가장 적합합니다.

source

다음 소스 파일이 포함된 디렉토리:

• com/sun/identity/authentication/oblix/OblixAuthModule.java

• com/sun/identity/authentication/oblix/OblixAuthModule.java

• com/sun/identity/authentication/oblix/OblixPrincipal.java

• com/sun/identity/saml2/plugins/OAMAdapter.java

  이 클래스는 SAML 서비스 공급자용 SAML2 플러그인 어댑터입니다. 이 클래스는 OpenSSO 세션 서비스를 사용하여 Oracle Access Manager에 대한 원격 인증을 수행합니다.

oamauth(선택 사항)

이 디렉토리에는 OpenSSO용 Oblix 인증 체계에 대한 소스 파일이 포함되어 있습니다. 이것은 C 기반 인증 모듈이며 유효성 검사를 위해 OpenSSO C-SDK를 활용합니다.

• oam/solaris/authn_api.c

  이 파일은 OpenSSO의 Oblix 사용자 정의 인증 체계를 구현합니다.

• oam/solaris/include/*.h

  인증 체계를 컴파일하는 데 필요한 모든 헤더 파일

• oam/solaris/AMAgent.properties

  샘플 OpenSSO 에이전트 구성 파일. 이것은 인증 체계가 OpenSSO 세션의 유효성을 검사하는 데 필요합니다.

OpenSSO에서 Oracle Access Manager용 소스 파일 빌드

ant 스크립트를 사용하여 소스 파일을 빌드합니다. PATH에 호환 가능한 ant 스크립트를 설치하고 구성해야 합니다.

Oracle Access Manager용 소스 파일을 빌드하는 방법

1. 다음 명령을 실행합니다.

   cd $openssozipdir/integrations/oracle; ant -f build.xml

   이 명령은 소스 파일을 빌드하고 $openssozipdir/integrations/oracle/dist 디렉토리에 fam_oam_integration.jar을 생성합니다.

2. 인증 모듈을 OpenSSO WAR 파일에 번들로 묶습니다.

   1. 임시 디렉토리를 만들고 opensso.war을 압축 해제합니다. 예:

      # mkdir /export/tmp
      # cd /export/tmp
      # jar -xvf opensso.war

      이제부터 /export/tmp는 WAR 스테이징 영역으로 사용되며 $WAR_DIR 매크로로 표시됩니다.

   2. $openssozipdir/integrations/oracle/dist/fam_oam_integration.jar을 $WAR_DIR/WEB-INF/lib로 복사합니다.

   3. $openssozipdir/integrations/oracle/config/OblixAuth.properties를 $WAR_DIR/WEB-INF/classes로 복사합니다.

   4. $openssozipdir/integrations/oracle/config/OblixAuthModule.xml을 $WAR_DIR/config/auth/default 및 $WAR_DIR/config/auth/default_en 디렉토리에 복사합니다.

   5. $WAR_DIR에서 jar cvf opensso.war을 사용하여 opensso.war을 다시 압축합니다.

   예제 TBD

(선택 사항) Oracle Access Manager에서 OpenSSO용 인증 체계 빌드

참고: 이것은 일반 사용 사례가 아닙니다. SAML2 서비스 공급자 사용 사례에서처럼 필수가 아니라면 이를 빌드할 필요가 없습니다.

Oblix 인증 체계를 빌드하려면 makefile을 사용자 정의해야 합니다. 또한 이것은 C 기반 인증 모듈이므로 운영 체제에 따라 달라집니다.

Oracle Access Manager에서 OpenSSO에 대한 인증 체계를 빌드하는 방법

시작하기 전에

인증 체계 파일은 $openssozipdir/integrations/oracle/oamauth/solaris 디렉토리 아래에 있습니다.

1. OpenSSO C-SDK 2.2 버전을 다운로드 및 구성합니다.

   authn_api.c 파일에는 AMAgent.propeties 파일에 대한 참조가 포함되어 있습니다. 파일을 적절히 수정합니다.

2. 환경에 맞게 makefile을 사용자 정의합니다.

   예를 들어 gcc 컴파일 위치를 지정합니다. 또한 LDFLAGS가 OpenSSO C-SDK lib 디렉토리를 가리키도록 편집합니다.

3. make 명령을 실행합니다.

   make 명령은 authn_api.so 파일을 생성합니다.

Oracle Access Manager 및 Oracle OpenSSO STS를 사용하여 단일 사인 온(SSO) 구성

Oracle Access Manager 및 Oracle OpenSSO 8.0 업데이트 2를 사용하여 단일 사인 온(SSO)을 구성하는 방법

시작하기 전에: Sun Java System Web Server 7.x가 설치되고 구성되어 있어야 합니다. 웹 서버 설치 지시사항은 Sun Java System Web Server 설명서 Wiki를 참조하십시오.

1. Sun Java System Web Server 7.x에 OpenSSO를 설치합니다.

2. 지원되는 컨테이너에 OpenSSO 정책 에이전트를 설치하고 OpenSSO와 함께 작동하도록 에이전트를 구성합니다.

   설치 지시사항은 Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for J2EE Agents 또는 Sun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for Web AgentsSun OpenSSO Enterprise Policy Agent 3.0 User’s Guide for Web Agents를 참조하십시오.

3. Oracle Access Manager를 설치 및 구성합니다.

   Oracle Access Manager 설치 설명서 10g(10.1.4.3)를 참조하십시오.

4. Oracle Access Manager가 포함된 Oracle Access Manager SDK를 설치 및 구성합니다.

   Oracle Access Manager 설치 설명서 10g(10.1.4.3)를 참조하십시오.

5. OpenSSO 서버가 설치된 것과 동일한 웹 컨테이너에 Oracle Webgate를 설치합니다. (Sun Web Server 7.x)

   OpenSSO 웹 응용 프로그램의 deployURI/UI/*만 보호하도록 OpenSSO를 구성합니다. 예: /opensso/UI/.../*

   Oracle Access Manager 정책, 자원 및 기타 구성 세부 정보에 대해서는 Oracle Access Manager 관리 설명서를 참조하십시오. OpenSSO Enteprise에서 다른 모든 URL의 보호를 해제합니다. 이것은 간단한 단일 사인 온(SSO) 통합 시나리오에 대한 것이지만 전체 통합 및 기타 배포 종속성을 기준으로 정책을 평가합니다.

6. OpenSSO에서 인증 모듈을 구성합니다.

   1. OpenSSO 콘솔에 액세스합니다.

      브라우저가 인증을 위해 Oracle Access Manager로 리디렉션됩니다. 인증에 성공하면 OpenSSO의 로그인 페이지가 나타납니다. OpenSSO 관리자 사용자 이름과 비밀번호를 사용하여 로그인합니다.

   2. Oracle 인증 모듈 서비스 XML 파일을 OpenSSO 구성으로 가져옵니다.

      인증 모듈 서비스는 명령줄 ssoadm 유틸리티뿐 아니라 브라우저 기반 ssoadm.jsp에서 로드될 수 있습니다.

   3. http://host:port/opensso/ssoadm.jsp에 액세스합니다.

   4. create-service 옵션을 선택합니다.

   5. $openssozipdir/integrations/oracle/config/OblixAuthService.xml에서 XML 파일을 복사하여 붙여넣고 제출을 클릭합니다.

      이를 통해 인증 모듈 서비스가 OpenSSO 구성에 로드됩니다.

   6. 인증 모듈을 인증 핵심 서비스에 등록합니다.

      핵심 서비스에는 인증자 목록이 포함되어 있습니다. http://host:port/opensso/ssoadm.jsp에서 register-auth-module 옵션을 선택합니다. com.sun.identity.authentication.oblix.OblixAuthModule을 인증 모듈 클래스 이름으로 입력합니다.

   7. 인증 모듈이 기본 영역에 등록되었는지 확인합니다.

      http://host:port/opensso URL을 사용하여 OpenSSO에 액세스합니다. OpenSSO 콘솔에서 기본 영역을 클릭한 다음 인증 탭을 클릭합니다. 새로 만들기를 클릭하여 OblixAuth라는 새 인증 모듈을 만듭니다.

   8. 인증 탭에서 OblixAuth 인증 모듈을 선택합니다.

      Oblix SDK 디렉토리를 구성합니다. 원격 사용자 헤더만 확인을 사용 설정하고 원격 헤더 이름을 OAM_REMOTE_USER로 지정합니다. 이 매개 변수는 배포를 기반으로 하여 구성될 수 있습니다.

7. (선택 사항) OpenSSO 핵심 인증 서비스에서 프로필 무시 옵션을 사용하도록 설정합니다.

   OpenSSO 콘솔에서 구성 > 핵심 > 영역 속성 > 사용자 프로필로 이동합니다. 무시됨을 선택한 다음 저장을 클릭합니다.

   이 구성은 인증이 성공적으로 수행된 후 OpenSSO가 기존 사용자 프로필을 검색하지 못하도록 합니다. 하지만 OpenSSO와 Oracle Access Manager가 똑같은 사용자 저장소를 사용하는 경우에는 이 단계가 필요 없습니다. 관리 콘솔 -> 구성 -> 핵심 -> 영역 속성 -> 사용자 프로필로 이동합니다. 무시됨을 선택한 다음 저장을 클릭합니다.

8. Oracle Access Manager SDK 공유 라이브러리가 포함되도록 웹 서버 시작 스크립트를 편집합니다.

   $ACCESSDKDIR/oblix/lib의 공유 라이브러리를 포함하도록 startserv 스크립트에서 LD_LIBRARY_PATH를 업데이트합니다.

9. OpenSSO와 Oracle Webgate를 모두 포함하는 Sun 웹 서버를 다시 시작합니다.

10. 웹 에이전트의 로그인 URL 값을 http://openssohost:openssoport/deployURI/UI/Login?module=OblixAuth로 업데이트합니다.

단일 사인 온(SSO)을 테스트하는 방법

OpenSSO 보호 응용 프로그램의 보호된 자원에 액세스합니다. 아직 인증되지 않은 경우 브라우저가 Oracle Access Manager 로그인 페이지로 리디렉션됩니다. 로그인에 성공하면 OpenSSO 세션이 만들어지고 마지막으로 정책 에이전트 보호 응용 프로그램 URL로 다시 리디렉션됩니다. 정책에 따라 보호된 응용 프로그램에 대한 액세스가 허용 또는 거부됩니다.

(선택 사항) Oracle Access Manager에 Oblix AuthScheme 설치

이것은 OpenSSO 세션의 유효성 검사 시 Oracle Access Manager 세션을 생성해야 하는 경우 유용합니다. 관련 사용 사례에 대한 자세한 내용은 Sun OpenSSO Enterprise 8.0 Integration Guide의 3 장, Integrating Oracle Access Manager을 참조하십시오.

Oblix 인증 체계는 C 인증 모듈로서 표시되고 이 인증 체계는 OpenSSO C-SDK 2.2 버전을 사용하여 OpenSSO 세션의 유효성을 검사합니다. Oblix의 OpenSSO 인증 체계는 AMAgent.properties의 OpenSSO 클라이언트측 구성에 대한 구성을 사용합니다. 인증 모듈을 구성하기 전에 이 파일을 사용자 정의해야 합니다. 빌드 지시사항에 이 파일의 위치가 나와 있습니다. 인증 체계를 구성하기 전, 컴파일된 authn_api.so 및 기타 C-SDK 라이브러리를 $OAM_INSTALL_DIR/access/oblix/lib 디렉토리로 복사해야 합니다. Sun OpenSSO 8.0 통합 설명서는 Oracle 인증 체계를 구성하는 방법을 설명하는 샘플 스크린샷을 보여줍니다. 이것은 참조용으로만 사용되어야 합니다. 자세한 내용은 최신 Oracle Access Manager 설명서를 참조하십시오.

OpenSSO 8.0 업데이트 2와 Oracle Access Manager 통합

이 섹션에는 OpenSSO 8.0 업데이트 2 및 Oracle Access Manager 버전 10.1.4.0.1 또는 11g를 사용한 단일 사인 온(SSO) 구현에 대한 지시사항이 제공됩니다. 이 정보는 Sun OpenSSO Enterprise 8.0 Integration Guide의 3 장, Integrating Oracle Access Manager에 포함된 개념 정보를 보충합니다. 이 사용 사례는 Oracle Access Manager 세션을 통해 OpenSSO 보호 응용 프로그램에 대한 단일 사인 온(SSO) 경험을 제공합니다. 구성된 OpenSSO 인증 모듈은 Oracle Access Manager 세션을 기반으로 한 OpenSSO 세션을 생성합니다.