Oracle Access Manager 11gおよびその依存関係の間の内部通信ではInternet Protocol Version 4(IPv4)が使用されます。しかし、外部通信はOracle HTTP Serverとmod_wl_ohsプラグインを使用するIPv6でサポートされます。
この付録の内容は次のとおりです。
Oracle Access ManagerをIPv6クライアントとともに使用する方法にかかわらず、ここでのアクティビティを開始する前に、次のタスクを完了する必要があります。
Oracle HTTP Serverインスタンスは逆プロキシとして動作するようにWebサーバーにインストールされる必要があります(11g WebGateに必要)。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従い、Oracle Access Managerをインストールする必要があります。
関連項目:
|
いくつかある機能の中で、IPv6はIPv4(32ビット)よりも大きなアドレス領域をサポートし、Web上でアドレス可能なコンピュータ数を指数関数的に増加させます。IPv6はOracle HTTP Serverとmod_wl_ohsプラグインとともに有効になります。
OAM ServerおよびWebGate(10gおよび11g)はIPv4のみです。しかし、IPv6クライアントはPv4/IPv6二重スタック・ホスト上の逆プロキシを介して、IPv4でWebGateにアクセスできます。
注意: 逆プロキシ・サーバーを設定することで、IPv6をサポートするクライアントとともにOracle Access Manager 11gが動作するように構成できます。 |
IPV4/IPV6でのOAMのサポートされるトポロジの概要を次のリストに示します。
トポロジ
WebGate10gまたはWebGate 11gとIPv4プロトコル・ホスト上の保護されたアプリケーション
二重スタック・ホスト上のOHS逆プロキシ
IPv6プロトコル・ホスト上のクライアント
OAMサーバー・プロキシ
IPv6クライアントはWebGate10gまたはWebGate11gにOHS逆プロキシを介してアクセスできます。
注意: OAMサーバーが実行していない場合、WebLogic管理コンソールへのログインは正常に終了します。しかし、OAMサーバーが実行している場合、アイデンティティ・ストアが初期化されていないため、WebLogic管理コンソールへのログインはOAMサーバーにリダイレクトされ、認証は失敗します。アイデンティティ・ストア用のIPV6はまだサポートされていません。 |
詳細は、次を参照してください。
WebGateの構成を含む、サポートされるすべてのトポロジについては、『Oracle Fusion Middleware管理者ガイド』のネットワーク構成の変更のIPV6の使用に関する章を参照してください。
図G-1に、1つのIPv6からIPv4へのプロキシ(実際にはmyssohostおよびmyapphostは別個のプロキシを使用できます)を使用した構成を示します。
OAM 11gでは、仮想ホスト名はIPアドレスではなくホスト名として指定する必要があります(myapphost.foo.comなど)。リダイレクト・ホスト名はIPアドレスではなくホスト名として指定する必要があります(myapphost.foo.comなど)。IPv6アドレスはWebGate登録には指定できません。
注意: OAM 11gでは、WebGateまたはリソースWebGateの認証の概念は存在しません。その代わりに、11g WebGateまたは10g WebGateのいずれであっても、リダイレクト先は常にOAMサーバーです。 |
図G-1に示すように、IPv6ネットワークはIPv6/IPv4プロキシと通信し、次にOracle HTTP ServerとIPv4を使用して通信します。WebGate、Oracle Access Manager ServerおよびOracle WebLogic Serverとアイデンティティ・アサータは、すべてIPV4を使用して互いに通信します。
IPv6ネットワーク上のブラウザからIPv6サーバー・ホスト(myapphost.foo.com)へのアプリケーションにアクセスし、IPv6 myssohost.foo.comへのリダイレクトによりログインできるようにする必要があります。
次の考慮事項が目的の使用シナリオに適用されます。
IP検証はデフォルトでは動作しません。IP検証を有効化するには、プロキシ・サーバーのIPアドレスをWebGateのIPValidationExceptionパラメータ値としてOAM管理コンソールに追加する必要があります。
IPアドレスベースの認可は、すべてのリクエストがその目的で動作していない1つのIP(プロキシIP)を経由するため、動作しません。
ipValidationExceptionはIPValidationがオンの場合(パラメータ"ipValidation"=1)に必要です。しかし、このパラメータは管理コンソールまたはリモート登録ツールのいずれを使用しても追加できません。そのかわりに、この章の後の手順で説明するように、プロキシのIPをoam-config.xmlファイル内のプロキシの単一値のユーザー定義パラメータとして追加する必要があります。
OAM 10gでは、リソースWebGate構成(リダイレクトする)と認証WebGate構成が提供されました。OAM 11g資格証明コレクタはOAM 10g認証WebGateの機能を置き換えて実行します。
注意: OAM 11gでは、10g WebGateは常に、以前の"認証"WebGateのような働きをするOAM 11g資格証明コレクタにリダイレクトします。 |
この構成では複数のプロキシがあります。たとえば、OAMサーバーに個別のプロキシがあり、WebGateには別のプロキシがあります。
IPv6ホストへのログイン・リダイレクトを含む、IPv4ネットワーク上のブラウザから直接IPv4サーバー・ホスト名へのアプリケーションにアクセスできます。例:
注意: IPv6プロキシ名をWebGate登録の優先HTTPホストとして使用できません。 |
OAM 11gでは、WebGate(11gまたは10g)は常にobrareq.cgiにリダイレクトするため、ProxyRequestsパラメータは"On"である必要があります。このディレクティブによりプロキシはフォワード・プロキシとして動作します。
優先httpホストはWebGateをホストしているWebサーバーのhost:portに設定される必要があります(またはWebGateをホストしているWebサーバーが仮想ホスト用に構成されている場合はSERVER_NAME)。
IPValidationがONの場合、IPValidationExceptionがプロキシに対し追加される必要があります。
逆プロキシが構成されてSSL終了を実行する場合、ユーザー定義のWebGate proxySSLHeaderVar
パラメータがリモート登録中に定義される必要があります。「表6-4 リモート登録リクエストの共通の要素」で説明しているとおり、このパラメータはWebGateが逆プロキシの背後に置かれている場合に使用されます。proxySSLHeaderVar
パラメータの値はプロキシが設定する必要のあるヘッダー変数の名前を定義します。ヘッダー変数の値は"ssl"または"nonssl"である必要があります。ヘッダー変数が設定されていないと、SSL状態は現在のWebサーバーのSSL状態により決められます。構文は次のとおりです。
<name>proxySSLHeaderVar</name> <value>IS_SSL</value>
ロード・バランシング・ルーター(逆プロキシWebサーバー)の設定を変更し、IS_SSL値をsslに設定するHTTPヘッダー文字列を挿入します。たとえば、F5ロード・バランサ、拡張プロキシ設定で、HTTPヘッダー文字列IS_SSL:sslを追加します。
次の手順で、OHS_hostおよびOHS_portはWebGate用に構成された実際のOracle HTTP Serverのホスト名およびポートです。環境に合わせた値を必ず使用してください。使用する値は異なります。
前提条件
逆プロキシ用のOHS Webサーバーをインストールおよび構成します。プロキシごとに別のWebサーバー・インスタンスがあることを確認します。
OAM 11gおよびWebGate用に別個のプロキシを使用するIPv6を構成する手順
OAM 11gサーバーおよびWebGateへのmod_proxyの有効化: Oracle HTTP Server 11gリリース1(11.1.1)または複数のプロキシ用の別のサーバー)を次のように構成します。
次のコマンドを使用して、対応するプロキシ・インスタンス用のOracle HTTP Serverを停止します。
opmnctl stopproc ias-component=<OHS instance name>
OAMサーバーの対応するプロキシのOHSインスタンス用に次のファイルを編集します。
UNIX: ORACLE_INSTANCE/config/OHS/ohs_name1/httpd.conf Windows: ORACLE_INSTANCE\config\OHS\ohs_name1\httpd.conf
OAM 11gサーバーへのプロキシ: 環境に応じて次の情報をhttpd.confファイルに追加してmod_proxyを有効にします。例:
<IfModule mod_proxy.c> ProxyRequests On ProxyPreserveHost On ProxyPass / http://<oam_server_host:port>/ ProxyPassReverse / http://<oam_server_host:port>/ </IfModule>
11g WebGateへの逆プロキシ: 次のように環境に応じた情報をhttpd.confファイルに追加してmod_proxyを有効にします。
<IfModule mod_proxy.c> ProxyRequests On ProxyPreserveHost On ProxyPass / http://<webgate_OHS_host:port>/ ProxyPassReverse / http://<webgate_OHS_host:port>/ </IfModule>
次のコマンドを使用してOracle HTTP Serverを再起動します。
opmnctl startproc ias-component=<OHS instance name>
認証スキームで、チャレンジ・リダイレクトURLをttp://<oam_server_proxy_host:port>/oam/serverに変更します。
各WebGateの優先HTTPホストを、WebGateをホストしているWebサーバーのhost:portに設定します(またはWebGateをホストしているWebサーバーが仮想ホスト用に構成されている場合はSERVER_NAME)。
注意: リモート登録中に*Request.xml入力の適切なフィールドを使用して、または次に示すような管理コンソールを使用して、優先HTTPホストを指定できます。「リモート登録リクエストについて」も参照してください。 |
OAM管理コンソールにログインします。例:
http://hostname:port/oamconsole
「システム構成」をクリックし、「エージェント」、「OAMエージェント」、「11gエージェント」または「10gエージェント」を開きます。
エージェント名をダブルクリックして登録ページを表示します。
優先HTTPホスト: このWebGateに構成されているOracle HTTP Server Webサーバーの名前。たとえば、myapphostv4.foo.comにデプロイされたWebGateは優先HTTPホストとしてmyapphostv4.foo.comを使用する必要があります。
「適用」をクリックします。
各WebGateに対して繰返し、このWebGateに構成されているOracle HTTP Server Webサーバーの名前を指定します。
IPValidationException: IPValidationがOn(パラメータ"ipValidation"=1)の場合、プロキシのIPをoam-config.xmlファイル内のプロキシの単一値のユーザー定義パラメータとして追加する必要があります。
すべてのOAMサーバーおよびAdminServerを停止します。
次のパスでoam-config.xmlを見つけます。
<WLS_DOMAIN_HOME>/config/fmwconfig/oamconfig.xml
次の情報を入力します。
<Setting Name="ipValidationExceptions"Type="xsd:string"> 10.1.1.1</Setting >
ファイルを保存します。
OAMサーバーおよびAdminServerを再起動します。
逆プロキシが構成されてSSL終了を実行する場合、WebGateのユーザー定義のproxySSLHeaderVar
パラメータが定義される必要があります(デフォルトは"IS_SSL")。ロード・バランシング・ルーター(逆プロキシWebサーバー)の設定を変更し、IS_SSL値をsslに設定するHTTPヘッダー文字列を挿入します。たとえば、F5ロード・バランサ、拡張プロキシ設定で、HTTPヘッダー文字列IS_SSL:sslを追加します。