| Oracle® Fusion Middleware Oracle Access Manager管理者ガイド 11g リリース1(11.1.1) B62265-01 |
|
 戻る |
 次へ |
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』に、Oracle HTTP ServerへのOracle Access Manager 11gの初期デプロイメントについての説明が記載されています。ただし、Oracle HTTP Server以外のWebサーバー・タイプが含まれているエンタープライズでは、既存のOAM 10g WebGateを使用するか、新規にOAM 10g WebGateをインストールして、OAM 11gで使用できます。また、事前登録済のIDMドメイン・エージェントから、10g WebGateの使用に切り替えて、Oracleアイデンティティ管理コンソールを保護することもできます。
以降の項では、OAM 11gで使用するOAM 10g WebGateの新規インスタンスのインストール方法を説明します。
|
注意: OSSO 10gをご使用のお客様: 既存のOracleデプロイメントで、エンタープライズ・ソリューションとしてOSSOを使用されている場合は、Oracle Fusion Middlewareがこれをソリューションとしてサポートし続けます。さらに、第5章に記載のように、既存のOSSO 10g mod_ossoモジュールをOAM 11gとしてプロビジョニングすることもできます。 |
Oracle Technology Networkの最新の証明書マトリックスを確認して、ご自身のデプロイメント用の最新のWebGateを検索してください。
http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
OAM 11g管理コンソールが稼動中であること、次の内容を理解していることを確認してください。
この項の内容は次のとおりです。
第5章で説明したように、IDMドメイン・エージェントはOAM 11gに事前登録済のJavaエージェント・フィルタです。このエージェントはOracleアイデンティティ管理コンソールと、アイデンティティ管理ドメイン内のリソースにSSO保護を提供します。
次の概要はIDMドメイン・エージェントをOAM 10g WebGateに移動し、Oracleアイデンティティ管理コンソールや、アイデンティティ管理ドメイン内のリソースを保護しようとする際に実行しなければならないタスクをまとめたものです。
次の概要に記載した各タスクの詳細は、『IDMドメイン・エージェントのOAM 10g WebGateへの入替え』に記載されています。
Oracle Access Manager 11gサーバーは、次を含むOAM 10g WebGateをサポートしています。
『Oracle Access Manager Accessアクセス管理ガイド』に記載の、OAM 10gで現在稼動中のレガシー10g WebGate。
SSO用にアイデンティティ・アサーション・プロバイダ(IAP)として構成されているレガシー10g WebGate(『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』に記載された、OAM 10gでWebLogicコンテナベースのセキュリティを使用しているアプリケーション用)。
付録Cに記載された、Oracle ADFセキュリティおよびOPSS SSOフレームワーク用にコーディングされたWebアプリケーションで現在稼動しているレガシー10g WebGate。
OAM 11g管理コンソールまたはリモート登録ツールを使用して、Oracle Access Manager 11g SSOを使用するように、これらのエージェントを登録できます。登録後は、OAM 10g WebGateはブリッジとして機能するJAVAベースのOAMプロキシを使用して、Oracle Access Manager 11gサービスと直接通信できます。
次の概要では、既存のOAM 10g WebGateをOAM 11gで使用するための設定に必要なタスクをまとめています。
この章で説明しているように、OAM 11gで使用する新規OAM 10g WebGateをインストールできます。OAM 10g WebGateは、いくつかのWebサーバー・プラットフォーム用に提供されています。
インストールと登録後は、OAM 10g WebGateはブリッジとして機能するJAVAベースのOAMプロキシを使用して、Oracle Access Manager 11gサービスと直接通信できます。
|
注意: OAM 11g用に新規OAM 10g WebGateをインストールする場合、最新のWebGateを使用することをお薦めします。また、フェイルオーバーやロード・バランシング用に、複数のWebGateをインストールすることをお薦めしています。 |
OAM 11gデプロイメントへのOAM 10g WebGateのインストールと、OAM 10gデプロイメントへの10g WebGateのインストールにはいくつかの違いがあります。表17-1に違いをまとめます。
表17-1 OAM 10g WebGateのインストールの比較
| OAM 11gデプロイメントへの10g WebGate | OAM 10gデプロイメントへの10g WebGate |
|---|---|
|
|
次の概要では、この章でOAM 11g用のOAM 10g WebGateのインストールおよび登録タスクについて詳細に説明したトピックを挙げています。OAM 11gを正しく操作するために、すべての手順を完了する必要があります。
レガシーOAM 10g WebGateがある場合、またはOracle Access Manager 11gで使用する新規10g WebGateインスタンスをインストールする場合、OAM 11gの認証および認可サービスを使用するように、WebGateのプロビジョニングを行う必要があります。
OAM 11g管理コンソールまたはリモート登録ツールを使用して、このタスクを実行できます。リモート登録ツールでは、テンプレートを使用して、登録前にすべてのWebGateパラメータを指定できます。
次の手順によって、リモート登録ツールを使用してインバンド・モードでのプロビジョニングのウォーク・スルーが行えます。この例では、OAMRequest_short.xmlをテンプレートとして使用してmy10g-agent1という名前のエージェントを作成し、/.../*の保護と、パブリック・リソース、/public/index.htmlの宣言を行います。実際の値はこれとは異なります。
OAM 11g用の10g WebGateのプロビジョニング手順
リモート登録ツールを入手して、環境に合ったスクリプトを設定します。例:
次のパスにあるRREG.tar.gzファイルを探します。
WLS_home/Middleware/domain_home/oam/server/rreg/client/RREG.tar.gz
RREG.tar.gzファイルを別な場所に解凍します。例: rreg/bin/oamregなど。
oamregスクリプトに、状況(クライアント側またはサーバー側)と 表6-7の情報に応じた次の環境変数を設定します。
登録リクエストを作成します。
OAMRequest_short.xmlを探して、新しいファイルにコピーします。例:
WLS_home/Middleware/domain_home/oam/server/rreg/bin/oamreg/
コピー元: OAMRequest_short.xml
コピー先: my-10g-agent1.xml
環境の詳細情報を含むように、my-10g-agent1.xmlを編集します。例:
<OAMRegRequest>
<serverAddress>http://sample.us.oracle.com:7001</serverAddress>
<hostIdentifier>my-10g</hostIdentifier>
<agentName>my-10g-agent1</agentName>
<primaryCookieDomain>.us.example.com</primaryCookieDomain>
<autoCreatePolicy>false</autoCreatePolicy>
<logOutUrls><url>/oamsso/logout.html</url></logOutUrls>
</OAMRegRequest>
エージェントのプロビジョニングを行います。例:
リモート登録スクリプトを探します。
Windows: rreg\bin\oamreg.bat
スクリプトが含まれているディレクトリから、インバンド・モードを使用してスクリプトを実行します。例:
$ ./bin/oamreg.sh inband input/10g-agent1.xml
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: ...
プロンプトが表示されたら、環境に応じた値を使用して次の情報を入力します。
Enter your agent username: userame Username: userame Enter agent password: ******** Do you want to enter a Webgate password?(y/n) n iv. Do you want to import an URIs file?(y/n) n
最後のメッセージを確認して、登録が成功したことを確かめます。
Inband registration process completed successfully! Output artifacts are created in the output folder"
OAMコンソールにログインして、新しい登録を確認します。
OAM 11gコンソールのシステム構成タブ、ナビゲーション・ツリーで、次のノードを展開します。
エージェント名をダブルクリックして、登録ページを表示し、詳細を確認します。
この登録用に新規WebGateをインストールする場合は、インストール中に次の詳細を入力する必要があります。例:
エージェント名—WebGateのインストール中にWebGate IDとして入力します。
アクセス・クライアント・パスワード—WebGateのインストール中に、WebGateのパスワードとして入力します。パスワードを入力しない場合は、このフィールドを空白にしておきます。
Access Serverホスト名—このWebGateを登録するプライマリOAM 11gサーバーのDNSホスト名を入力します。
OAMプロキシ・ポート—OAMコンソールのシステム構成タブ、ナビゲーション・ツリーで、サーバー・インスタンスをダブルクリックして、OAMプロキシが実行中のポートを検索します。
プロビジョニングの結果作成されるObaccessclient.xmlファイルはここでは無視してください。
それぞれの環境で必要に応じて次に進んでください。
OAM 11gで使用する新規OAM 10g WebGateをインストールする場合は、この項の手順を使用します。それ以外の場合は、この項はスキップして、「10g WebGateとOAM 11gの集中ログアウトの構成」に進んでください。
タスクの概要: WebGateのインストールには次の手順が含まれています。
表17-2にOAM 10g WebGateのインストール開始前に必要な要件を示します。
表17-2 OAM 11gで使用する新しい10g WebGateのインストールの準備
| 情報 | 説明 |
|---|---|
|
サポートされている最新のWebGate |
OAM 11gでは、サポートされている最新の10g (10.1.4.3) WebGateを必ず使用してください。ただし、該当する10g (10.1.4.3) WebGateが提供されていない場合は、その次に新しいWebGate(10g (10.1.4.2.0)を使用してください。 |
|
インストール場所 |
次の場所を検討してください。
|
|
ユーザー・アカウント |
WebGateのインストールに使用するアカウントは、WebGateを実行するアカウントとは異なります。
|
|
rootレベルとサイト・レベル |
|
|
トランスポート・セキュリティ・モード |
インストールするエージェントと同じモードを使用するように、1つ以上のOAMサーバーを構成していることを確認します。 付録Eも参照してください |
|
コンピュータ・レベルと仮想Webサーバー・レベル |
WebGateは、コンピュータ・レベルまたは仮想Webサーバー・レベルで実行するように構成できます。コンピュータ・レベルと仮想Webサーバー・レベルの両方にインストールしないでください。 |
|
Oracle HTTP Server Webサーバー: |
Oracle HTTP Server用の10g WebGateは、オープン・ソースApacheに基づいています。WebGateパッケージ名には次が含まれています。
|
|
Oracle Access Manager 11gは、SSLが有効または無効なApacheをサポートするコンポーネント用に単一パッケージを提供しています。
注意: SSL対応の通信用に、Oracle Access ManagerはApache-SSLではなく、mod_sslのApacheだけをサポートしています。 mod_sslはApache-SSLから派生した、代替品です。 |
|
|
IHS2_WebGateはIBM-AIX上でApache v2で稼動しています。Oracle Access Managerは、SSLが有効または無効なIHS v2およびIHS v2リバース・プロキシ・サーバーをサポートしています。 詳細は第18章を参照してください |
|
|
OAM 10g WebGateをDomino Webサーバーにインストールする前に、Domino Enterprise Server R5を正しくインストール、設定しておく必要があります。 |
|
|
WebGateのインストール前に、IIS Webサーバーがロック・ダウン・モードになっていないことを確認します。これを行わなかった場合、サーバーが再起動され、メタベースが再度初期化され、IISがロック・ダウン後に発生したアクティビティを無視するまで、問題なく稼動しているように見えます。 クライアントの証明書認証を使用している場合は、WebGate用のクライアント証明書を有効にする前に、WebGateをホスティングしているIIS Webサーバー上でSSLを有効にしておく必要があります。 NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS WebGate用に/accessディレクトリの各種許可を設定する必要があります。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータで、簡易または証明書モードでISAPI WebGateをインストーする場合を考えてみましょう。最後のインストール・パネルには、FAT32ファイル・システムに設定できない各種の許可を手動設定するための指示が表示されます。この場合、これらの指示を無視できます。 各IIS仮想Webサーバーは、仮想レベルに独自のWebGate.dllファイルを持つか、すべてのサイトに影響を及ぼす単一のWebGateを、サイト・レベルでイストールできます。サイト・レベルでWebGate.dllをインストールしてすべての仮想ホストを制御するか、WebGate.dllを1つまたはすべての仮想ホストにインストールします。 コンピュータ・レベルでpostgate.dllファイルをインストールする必要もあります。postgate.dllは、「ポステージISAPIフィルタのインストール」で説明しているように、\WebGate_install_dir内にあります。複数インストールすると、このファイルの複数のバージョンが作成され、Oracle Access Managerの動作が異常になることがあります。この場合は、webgate.dllとpostgate.dllが1つずつ存在していることを検証する必要があります。 関連項目: 第19章「10g WebGate用のIIS Webサーバーの構成」 削除: WebGateと関連するファイルをIISから完全に削除するには、IIS内のリストから削除するだけです。IISにはすべての設定がメタベース・ファイルに含まれています。Windows 2000以降では、これは手動で変更できるXMLファイルです。メタベースを編集するためのツールとして、MetaEditも提供されています。MetaEditはRegeditに似ており、一貫性チェッカーとブラウザ/エディタが含まれています。IISからWebGateを完全に削除するには、MetaEditを使用してメタベースを編集します。 |
|
|
ISAプロキシ・サーバー上では、すべてのISAPIフィルタをISAインストール・ディレクトリ内にインストールする必要があります。ISAインストール・ディレクトリ構造内の任意の場所でかまいません。
|
必要に応じて、次の手順を使用してOAM 10g WebGateを取得します。ご使用のWebサーバーに適したインストール・パッケージを選択してください。
OAM 10g WebGateの検索とダウンロード
次のOracle Technology Networkで、最新のOracle Access Manager 10g証明書を確認します。
http://www.oracle.com/technology/products/id_mgmt/coreid_acc/pdf/oracle_access_manager_certification_10.1.4_r3_matrix.xls
次のOracle Fusion Middleware 11gR1ソフトウェア・ダウンロードに移動します。
http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html
ページの一番上のライセンス契約に同意をクリックします。
Access Manager WebGates (10.1.4.3.0)の行から、該当するプラットフォームのダウンロード・リンクをクリックし、画面の指示に従います。
インストールする10gアクセス・システムの言語パックに、WebGateインストーラを格納します。
「WebGate 10gのインストールの開始」に進みます。
次の手順によって、Webサーバー・タイプに関係なく共通のウォーク・スルーを行います。
インストール・オプションを識別し、自分の環境に合わない場合はスキップできます。WebGateのインストール中は、特定の時点で情報が保存されます。WebGateのインストール処理は必要に応じて取り消せます。ただし、WebGateのインストールを知らせるメッセージを受領後にWebGateのインストールを取り消す場合は、コンポーネントのアンインストールが必要です。
|
注意: HP-UXおよびAIXシステムでは、-is:tempdirパス・パラメータを使用して、十分な領域があるディレクトリにインストールを指示できます。パスは、十分な領域があるファイル・システムへの絶対パスでなければなりません。 |
WebGate 10gをホスティングするコンピュータ上で、Webサーバーの管理者権限のあるユーザーとしてログインします。
Webサーバー・インスタンスを停止します。
該当するプラットフォーム、インストール・モード、Webサーバー用のWebGateインストーラを起動します。例:
Windows— Oracle_Access_Manager10_1_4_3_0_Win32_API_WebGate.exe
Solaris—./ Oracle_Access_Manager10_1_4_3_0_sparc-s2_API_WebGate
Linux—./ Oracle_Access_Manager10_1_4_3_0_linux_API_WebGate
ここでAPIはWebサーバーで使用するAPI(IIS Webサーバーの場合はISAPIなど)を示します。
次へをクリックして、ようこそ画面を閉じます。
尋ねられたら、管理者の権限を使用して回答します。
WebGateのインストール・ディレクトリを指定します。例:
\OracleAccessManager\WebComponent\
LinuxまたはSolaris: このコンピュータ上のGCCランタイム・ライブラリの場所を指定します。
言語パック—デフォルトのロケールとインストールするその他のロケールを選択して、次へをクリックします。
プレゼンテーション・ワークシートにインストール・ディレクトリをまだ記録していない場合は記録し、次へをクリックして続行します。
WebGateのインストールが開始し、数秒間かかることがあります。Windowsシステムでは、Microsoft管理インタフェースの構成を知らせる画面が表示されます。
インストール・プロセスはまだ完了していません。トランスポート・セキュリティ・モードの指定を求められます。この時点では、情報のリストアに戻れません。
必要に応じて、ダウンロード済のGCCライブラリを解凍した場所を指定します。
少なくとも1つのOAM Server間のトランスポート・セキュリティは一致する必要があります。
オープン、簡易またはWebGate用の証明書である必要があります。
次へをクリックします。
ここでWebGate構成の指定を求められます。
指定したトランスポート・セキュリティ・モードに従って進みます。
簡易または証明書モード—「セキュアな通信のための証明書のリクエストまたはインストール」に進みます。
オープン・モード—「WebGate Webサーバー構成の更新」までスキップします。
OAM 11g環境でオープン・モード・トランスポート・セキュリティを使用する場合は、「WebGate Webサーバー構成の更新」までスキップできます。
WebGate 証明リクエスト: OAM 11gサーバーに信頼されているルートCAに送信する必要があるリクエスト・ファイル(aaa_req.pem)を生成します。ルートCAは、WebGate用にインストール可能な署名付きの証明書を返します。
リクエストした証明書を\WebGate_install_dir\access\oblix\configディレクトリにコピーし、WebGate Webサーバーを再起動する必要があります。
WebGate 10g用の証明書をリクエストまたはインストールする手順
証明書をリクエストするのか、インストールするのかを指定し、次へをクリックして続行します。例:
証明書をリクエストする場合は、手順2に進みます。
証明書をインストールする場合は、手順3に進みます。
リクエストされた情報を入力し、次に次へをクリックして、証明書のリクエストをCAに発行します。
証明書のファイルの場所が表示された場合は、それを記録します。
証明書がある場合ははいをクリックして、手順3から続行します。それ以外の場合は、「WebGate Webサーバー構成の更新」までスキップします。
インストール中に証明書をインストールする場合: 次のファイルへの絶対パスを指定して、次へをクリックします。
WebGate_install_dir\access\oblix\config
cacert.pemはOracleが提供したopenSSL認証局の署名を受けた証明書リクエストです。
password.xmlには、インストール中に指定されたランダムなグローバル・パスフレーズが不明瞭化された形式で含まれています。これを使用して、他の顧客が同一CAを使用しないようにします。Oracle Access Managerは、OAM AgentとOAM Server間の初期ハンドシェイク中に追加のパスワード・チェックを行います。
aaa_key.pemには秘密鍵(openSSLによって生成)が含まれています。
aaa_cert.pemはPEM形式の署名済証明書です。
「WebGate Webサーバー構成の更新」に進みます。
OAM 11gでのWebGateのプロビジョニングと登録中に、情報を使用して次のタスクを実行します。
アクセス・システム・コンソールで指定された、WebGateに必要な情報を提供します。
次へをクリックして続行します。
WebサーバーがWebGateで作動するように構成する必要があります。Oracleはインストール中にWebサーバー構成を自動的に構成することをお薦めします。ただし、自動および手動の両方の更新手順が含まれています。
|
注意: Webサーバーの手動構成手順
|
はいをクリックしてWebサーバーの自動更新を行い、次へをクリックします(またはいいえをクリックして「Webサーバーの手動構成」を参照します)。
ほとんどのWebサーバー—Webサーバー構成ファイルを含むディレクトリの絶対パスを指定します。
IIS Webサーバー—プロセスがすぐに開始し、1分以内に終了します。詳細は、第19章「10g WebGate用のIIS Webサーバーの構成」を参照してください。
続行する前に特殊な指示があるかもしれません。NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS WebGate用に/accessディレクトリの各種許可を設定する必要があります。最後のインストール・パネルには、FAT32ファイル・システムに設定できない各種の許可を手動設定するための指示が表示されます。この場合、これらの指示を無視できます。
Webサーバーの構成が更新されたことを知らせる画面が表示されます。
次へをクリックして「WebGateのインストール終了」に進みます。
WebGateのインストール中にWebサーバーの自動更新を取り消した場合は、手動でタスクを実行する必要があります。
|
注意: WebGateのインストール中に手動構成プロセスを起動した場合は、次の手順1をスキップできます。 |
Webブラウザを起動し、必要に応じて次のファイルを開きます。例:
\WebGate_install_dir\access\oblix\lang\langTag\docs\config.htm
ここで、\WebGate_install_dirはWebGateがインストールされているディレクトリです。
|
注意: 64ビットのWebGateインストール中にIISの手動構成を選択した場合は、次のパスで詳細を入手できます。WebGate_install_dir\access\oblix\lang\en-us\docs\dotnet_isapi.htm |
サポートされているWebサーバーから選択し、各Webサーバー・タイプに固有のすべての指示に従います。
WebGateの設定中に修正が必要なファイルのバックアップ・コピーを作成し、やり直しが必要になる場合に備えます。
Webサーバーが該当するOracle Access Managerファイルを認識できるように、元の設定指示に戻って、すべての指示内容を完了したことを確認します。
|
注意: 間違ってウィンドウを閉じてしまった場合は、手順1に戻って、該当するリンクを再度クリックします。一部の設定では新しいブラウザ・ウィンドウが開いたり、コマンドウィンドウへの入力が求められることがあります。 |
「WebGateのインストール終了」に進みます。
ReadMe情報に、マニュアルとOracleに関する詳細が記載されています。
ReadMeの情報を確認し、次に次へをクリックして閉じます。
終了をクリックして、インストールを終了します。
Webサーバーを再起動して構成の更新を反映します。
必要に応じて次のトピックに進み、次に「アーチファクトと証明書のインストール」に戻ります。
ネイティブPOSIXスレッド・ライブラリ: NPTLを使用する場合は、Oracle Access ManagerのWebコンポーネントのインストール時に、環境変数LD_ASSUME_KERNELを2.4.19に設定する必要はありません。
Apache2、OHS2、IHS2 Webサーバー: 第18章「Apache、OHS、IHSの10g WebGate用の構成」
IIS Webサーバー: WebGateのインストール後に、net stop iisadminおよびnet start w3svcを使用してメタベースが破損していないことを確認します。第19章「10g WebGate用のIIS Webサーバーの構成」も参照してください。
ISA Webサーバー: 第20章「10g WebGate用のISAサーバーの構成」
Lotus Domino Webサーバー: 第21章「10g WebGate用のLotus Domino Webサーバーの構成」
ObAccessClient.xmlファイルはプロビジョニングで生成されるものの1つです。WebGateのインストール後、このファイルをWebGateインストール・ディレクトリにコピーする必要があります。WebGateのインストール後に署名済のWebGate 10g証明書を受領した場合、次の手順に従ってインストールできます。
WebGate 10g用のアーチファクト(および証明書)をインストールする手順
WebGate 10gのプロビジョニング・アーチファクト(および必要に応じて証明書ファイル)を入手します。例:
ObAccessClient.xml
password.xml(必要に応じて)
aaa_key.pem(openSSLによって生成された秘密鍵)。
aaa_cert.pem(PEM形式の署名済証明書)
WebGateホストにファイルをコピー: WebGate_install_dir\access\oblix\config
WebGate Webサーバーを再起動します。
WebGateのインストールとWebサーバーの更新後、WebGateの診断を有効にしてWebGateが正しく実行されていることを確認できます。
WebGateの診断確認手順
OAM 11gコンポーネントが稼動していること確認します。
WebGate診断用に次のURLを指定します。例:
ほとんどのWebサーバー—http(s)://hostname:port/access/oblix/apps/ webgate/bin/webgate.cgi?progid=1
IIS Webサーバー—http(s)://hostname:port/access/oblix/apps/ webgate/bin/webgate.dll?progid=1
ここで、hostnameはWebGateをホスティングしているコンピュータ名で、portはWebサーバー・インスタンス・ポート番号です。
WebGate診断ページが表示されます。
成功: WebGateの診断ページが表示された場合、WebGateは正しく機能しているので、ページを閉じることができます。「10g WebGateとOAM 11gの集中ログアウトの構成」に進みます。
失敗: 「OAM 11gデプロイメントからの10g WebGateの削除」に記載のように、WebGateをアンインストールして、再インストールする必要があります。
OAM 10gエージェントは、単一のDNSドメインでのログアウトのサポートを内蔵しています。複数のDNSドメインでのログアウトをサポートするためには、10gエージェントのカスタマイズが必要が必要です。
OAM 11gでは、セッション管理はOAMサーバーで集中的に行われており、異なるDNSドメインのログアウトは標準的にサポートされています。OAM 11g:
エージェントのObSSOCookieをクリアします
サーバー内のセッションをクリアします
OAM 11gサーバーおよびOAM 10g WebGateでは、アプリケーションは常に次を行う/oamsso/logout.htmlを起動する必要があります。
ObSSOCookieをログアウト済の(WebGate上でログアウトを起動)Constructs end_url(URLとして)に設定し、サーバー・ログアウトURL(/oam/server/logout)に転送します
ログアウトの詳細は、「10g WebGateとOAM 11gサーバーの集中ログアウトの構成」を参照してください。
Oracle Access ManagerおよびOracle Identity Managerは、Oracle Fusion Middleware 11gコンポーネントの一部です。WebLogicのサーバー構成ウィザードの初期構成中に、IDMドメイン・エージェントがIDMドメイン・ホスト識別子およびそのエージェントに指定されたアプリケーション・ドメインとともにOAM 11gに登録されます。
Oracle Fusion MiddlewareはIDMドメイン・エージェントを使用して、保護されたOracleアイデンティティ管理コンソールにOAM 11gをそのまま使用します。
コンテナ外のアプリケーションを保護するため、IDMドメイン・エージェントを10g WebGateに入れ替えることができます(事前登録済のIDMドメイン・エージェントと同じアプリケーション・ドメインとポリシーを使用して、同じアプリケーション・セットを保護)。
タスクの概要: IDMドメイン・エージェントのOAM 10g WebGateへの入替え
オプション: WebLogic用のOAMセキュリティ・プロバイダの構成
オプション: IDMドメイン・エージェントの無効化
プロビジョニングとは、OAM管理コンソールにWebGateの登録を作成するプロセスです。次の手順によって、リモート登録ツールを使用してインバンド・モードでのプロビジョニングのウォーク・スルーが行えます。
この例では、OAMRequest_short.xmlをテンプレートとして使用して10g4IDMという名前のエージェントを作成し、/.../*の保護と、パブリック・リソース、/public/index.htmlの宣言を行います。実際の値はこれとは異なります。
|
注意: 入替え用のWebGateでIDMDomainAgentポリシーを使用するには、IDMDomainホスト識別子と優先ホストを使用するようにWebGateの登録が構成されていることを確認します。 |
IDMDomainAgentポリシーを再利用するには、OAMReqRequest.xml内でIDMDomainをWebGate登録用のホスト識別子として指定し、IDMDomainをHostIdentifierとpreferredHostとして設定できます。または、OAM管理コンソールを使用してエージェントの登録を編集できます。
IDMドメイン・エージェントを10g WebGateに入れ替えるためのプロビジョニング手順
リモート登録ツールを入手して、環境に合ったスクリプトを設定します。例:
次のパスにあるRREG.tar.gzファイルを探します。
WLS_home/Middleware/domain_home/oam/server/rreg/client/RREG.tar.gz
RREG.tar.gzファイルを別な場所に解凍します。例: rreg/bin/oamregなど。
oamregスクリプトに、状況(クライアント側またはサーバー側)と 表6-7の情報に応じた次の環境変数を設定します。
登録リクエストを作成し、autoCreatePolicyパラメータがFalseに設定されていることを確認します。
OAMRequest_short.xmlを探して、新しいファイルにコピーします。例:
WLS_home/Middleware/domain_home/oam/server/rreg/bin/oamreg/
コピー元: OAMRequest.xml
コピー先: 10g4IDM.xml
環境の詳細を含むように、10g4IDM.xmlを編集します。たとえば、IDMDomainAgentから10g WebGateエージェントに変更する場合は、次のようなリクエストになります。
<OAMRegRequest>
<serverAddress>http://sample.us.oracle.com:7001</serverAddress>
<hostIdentifier>10g4IDM</hostIdentifier>
<agentName>10g4IDM</agentName>
<primaryCookieDomain>.us.example.com</primaryCookieDomain>
<autoCreatePolicy>false</autoCreatePolicy>
<logOutUrls><url>/oamsso/logout.html</url></logOutUrls>
...retain defaults for remaining elements...
...
...
</OAMRegRequest>
エージェントのプロビジョニングを行います。例:
リモート登録スクリプトを探します。
Windows: rreg\bin\oamreg.bat
スクリプトが含まれているディレクトリから、インバンド・モードを使用してスクリプトを実行します。例:
$ ./bin/oamreg.sh inband input/10g4IDM.xml
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: ...
プロンプトが表示されたら、環境に応じた値を使用して次の情報を入力します。
Enter your agent username: userame Username: userame Enter agent password: ******** Do you want to enter a Webgate password?(y/n) n iv. Do you want to import an URIs file?(y/n) n
最後のメッセージを確認して、登録が成功したことを確かめます。
Inband registration process completed successfully! Output artifacts are created in the output folder"
OAMコンソールにログインして、新しい登録を確認します。
OAM 11gコンソールのシステム構成タブ、ナビゲーション・ツリーで、次のノードを展開します。
エージェント名をダブルクリックして、登録ページを表示し、詳細を確認します(新たにWebGateをインストールする場合は、インストール中に次の詳細を入力する必要があります)。例:
エージェント名—WebGateのインストール中にWebGate IDとして入力します。
アクセス・クライアント・パスワード—WebGateのインストール中に、WebGateのパスワードとして入力します。パスワードを入力しない場合は、このフィールドを空白にしておきます。
Access Serverホスト名—このWebGateを登録するプライマリOAM 11gサーバーのDNSホスト名を入力します。
OAMプロキシ・ポート—OAMコンソールのシステム構成タブ、ナビゲーション・ツリーで、サーバー・インスタンスをダブルクリックして、OAMプロキシが実行中のポートを検索します。
プロビジョニングの結果作成されるObAccessClient.xmlファイルは無視してください。
「WebLogicサーバー・プラグインの更新」に進みます。
プロビジョニング後、IDMドメイン・エージェントと入れ替えるために10g WebGateをインストールする必要があります。インストール中は、プロビジョニング時と同じWebGateの情報を提供する必要があります。
前提条件
IDMドメイン・エージェントを10g WebGateに入れ替えるためのプロビジョニング
タスクの概要: WebGateのインストールには次の手順が含まれています。
IDMドメイン・エージェントの入替え: 「WebLogicサーバー・プラグインの更新」に進みます。
10g WebGateのプロビジョニングとインストールを行い、IDMドメイン・エージェントと入れ替えたら、mod_wl_ohs.confファイルに特殊な入力をして、WebGate WebサーバーがリクエストをWebLogicサーバー上のアプリケーションに転送するように指示する必要があります。
|
注意: WebLogicサーバーのApache用プラグインの汎用名はmod_weblogicです。Oracle HTTP Server 11gの場合は、このプラグインの名前はmod_wl_ohsです(実際のバイナリ名はmod_wl_ohs.soです)。例では実装のための正確な構文を示します。 |
例17-1は入力サンプルを使用して変更が必要な部分を示します。使用する環境によって入力内容は異なります。
例17-1 mod_wl_ohs.confでの10g WebGate用の更新
<IfModule weblogic_module> <Location /oamconsole> SetHandler weblogic-handler WebLogicHost hostname.us.sample.com WebLogicPort 6162 </Location> <Location apmmconsole> SetHandler weblogic-handler WebLogicHost hostname.us.sample.com WebLogicPort 6162 </Location> ... </IfModule>
|
注意: WebLogicサーバーで直接アクセスしたことがあるすべてのアプリケーションの各URIに対して、類似の場所エントリが必要です。 |
前提条件
IDMドメイン・エージェントを10g WebGateに入れ替えるためのインストール
環境に合ったmod WebLogic構成の更新手順
次のパスにあるmod_wl_ohs.confファイルを探します。
<OHS-INSTANCE_HOME>/config/OHS/<INSTANCE_NAME>/mod_wl_ohs.conf
WebLogicサーバーで直接アクセスしたことがあるすべてのアプリケーションの各URIに対して、場所エレメントを含むようにファイルを編集します(例17-1を参照)。
ファイルを保存します。
Webサーバーを再起動します。
必要に応じて次のタスクに進みます。
このトピックではOracle Access ManagerがOIMと統合されている場合に、Oracle Identity Manager(OIM)の自動ログイン機能を確認(または構成)する方法を説明します。
|
注意: Oracle Access Manager 11gをOracle Identity Managerに統合していない場合、この手順は省略します。11g。 |
OIMがOAM 11gに統合されている場合、AutoLogin機能では、IDMドメイン・エージェントのホスト識別子リスト内に10g WebGate Webサーバーのホスト名とポートが含まれている必要があります。
|
注意: 10g WebGate Webサーバーの前にロード・バランサがある場合、手順3でロード・バランサのホスト名とポートを含む必要があります。 |
agentBaseUrlパラメータを使用して特定のホスト識別子を更新します。ただし、自動ポリシーの作成がFalseに設定されている場合、リモート登録ユーティリティはアプリケーション・ドメインを作成せず、agentBaseUrlパラメータを参照しません。
次の手順は、OAM/OIM統合用のAutoLoginホスト識別子を確認(または構成)する方法を示します。実際の値は異なります。
前提条件
OAM/OIM統合用のAutoLoginホスト識別子の構成手順
ポリシー構成タブのナビゲーション・ツリーから、共有コンポーネントとホスト識別子ノードを必要に応じて展開し、IDMDomainを選択します。
操作パネルで、このホスト識別子のすべてのホスト名とポートの組み合わせがリストされていることを確認します。
操作パネルで、10g WebGateが構成されている(または構成が予定されている)Webサーバーのホストとポートがリストされていることを確認します。ない場合は、エントリを追加します。
操作パネルの+ボタンをクリックします。
ホスト名: 操作パネルのホスト名カラムに、10g WebGate Webサーバーのホスト名を入力します。
ポート: 操作パネルのポートカラムに、10g WebGate Webサーバーのポート番号を入力します。
ロード・バランサ: 10g WebGate Webサーバーの前にロード・バランサがある場合、操作パネルにロード・バランサのホスト名とポートを追加します。
ホスト識別子ページの適用をクリックします。
この項では、OAM 11gと10g WebGateを使用してシングル・サイン・オンが行えるように、WebLogicセキュリティ・プロバイダを構成する方法を説明します。
|
注意: Oracle Access Manager 11gをOracle Identity Manager 11gに統合していない場合、この手順は省略します。 |
OAM 10g WebGate用のセキュリティ・プロバイダの設定の詳細は、次のトピックを参照してください。
IDMドメイン・エージェントを10g WebGateに入れ替える場合に、OAM 11g SSOの構成を完了するには、WebLogicサーバー・ドメイン内で次のセキュリティ・プロバイダを構成する必要があります。
OAM Identity Asserter: トークンベースの認証を使用し、OAM SSOヘッダーとトークンをアサートします。
OID (またはOVD) Authenticator: サブジェクトを作成し、正しいプリンシパルを移入します。
ユーザーが保存されているストアに応じて、Oracle Internet Directory AuthenticatorまたはOracle Virtual Directory Authenticatorのいずれかをプライマリ資格証明オーセンティケータとして構成します。
デフォルト・オーセンティケータ: このデフォルトWebLogic認証プロバイダによって、ユーザーとグループを、組み込まれたWebLogicサーバーLDAPサーバーという1つの場所で管理できます。Oracle WebLogicサーバーはこのオーセンティケータを使用して、管理ユーザーのログインを行います。
複数の認証プロバイダを構成する場合、各プロバイダにJAAS制御フラグを使用して、ログイン順序での認証プロバイダの使用方法を制御します。たとえば次のJAAS制御フラグ設定を使用できます。
REQUIRED—認証プロバイダは常に呼び出され、ユーザーは必ずその認証テストに合格する必要があります。認証の成否にかかわらず、プロバイダ・リストの残りの認証が続行されます。OAM Identity Asserterが必要です。
SUFFICIENT—ユーザーは認証プロバイダの認証テストに合格する必要はありません。認証に合格した場合は、以降の認証プロバイダは実行されません。認証が失敗下場合は、プロバイダ・リストの残りの認証が続行されます。Oracle Internet Directory (またはOracle仮想ディレクトリ)およびデフォルト・オーセンティケータの両方がSUFFICIENTです。
OPTIONAL—追加の認証プロバイダが既存のセキュリティ・レルムに加わると、デフォルト設定で制御フラグがOPTIONALに設定されます。各認証プロバイダが認証順序で正しく機能するように、制御フラグの設定とプロバイダの順序を変更する必要があるかもしれません。
ユーザーは認証プロバイダの認証テストを合格しても、不合格になってもかまいません。ただし、JAAS制御フラグがOPTIONALに設定されたセキュリティ・レルムですべての認証プロバイダが構成されている場合は、ユーザーは構成されたいずれかのプロバイダの認証テストに合格する必要があります。
|
関連項目: Oracle Fusion MiddlewareによるOracle WebLogicサーバーのセキュリティ確保の「認証プロバイダの構成」に、すべての認証プロバイダのリストと、ユーザーおよびグループ属性のLDAPスキーマに合ったOracle Internet Directoryプロバイダの詳細設定が記載されています。 |
Oracle Access Manager JARは、Oracle Fusion Middleware製品(Oracle Identity Management、Oracle SOA Suite、またはOracle WebCenter)のインストール時に使用可能な認証プロバイダのWARファイルです。Fusion Middlewareアプリケーションをご使用の場合は、必要なファイルをすでに持っています。
oamAuthnProvider.jar: シングル・サインオン用のOracle Access Manager Identity Asserterと、Oracle WebLogic Server 10.3.1+用のオーセンティケータの両方のファイルを含みます。ユーザーやアプリケーションからのWebおよびWeb以外のリソース(非HTTP)へのリクエストを処理するために、カスタムOracle Access Manager AccessGateも提供されます。
oamauthenticationprovider.war: Oracle WebLogicサーバー・コンソールに表示されるプロバイダ・リストを、Oracle Access Managerで使用する必要があるものだけに限定します。
この拡張をデプロイすると、管理コンソールはWARファイル内のファイルおよびディレクトリを、拡張WAEファイル内のファイルおよびディレクトリとメモリー内で結合します。拡張をデプロイすると、管理コンソールの完全なメンバーになり、WebLogic Serverセキュリティ・レルムにいよって保護され、管理コンソールの他のセクションに移動でき、拡張がWebLogicサーバー・リソースを変更すると、変更管理プロセスに参加します。詳細は、Oracle Fusion MiddlewareによるOracle WebLogicサーバーの管理コンソールの拡張を参照してください。
次の手順にはWebLogicサーバー管理コンソールが必要です。この例では、Oracle Internet DirectoryプロバイダをOAM Identity Asserterおよびデフォルト・オーセンティケータで設定する方法を示します。OVDの場合も必要な手順は同じです。
|
注意: Fusion Middlewareアプリケーションをご使用の場合は、必要なファイルをすでに持っているので、次の手順1をスキップできます。ただしFusion Middlewareアプリケーションがない場合は、スタンドアロンOracle WebLogicサーバーなので、手順1で説明したようにOracle Technology NetworkからJARおよびWARファイルを入手する必要があります。 |
前提条件
OAM 10g WebGateとOAM 11gのWebLogicサーバー・ドメインを設定する手順
Oracle Fusion Middlewareアプリケーションなし: Obtain the Oracle Access Managerプロバイダを入手します。
次のOracle Technology Networkにログインします。
http://www.oracle.com/technology/software/products/middleware/htdocs/111110_fmw.html
Access Manager WebGates (10.1.4.3.0)でoamAuthnProvider ZIPファイルを探します。
oamAuthnProvider<version number>.zip
oamAuthnProvider.jarを、Oracle WebLogicサーバーをホスティングしているコンピュータの次のパスに解凍し、コピーします。
BEA_HOME/wlserver_10.x/server/lib/mbeantypes/oamAuthnProvider.jar
Oracle Fusion Middlewareアプリケーションがインストールされている場合:
次のパスでoamauthenticationprovider.warを探します。
ORACLE_INSTANCE/modules/oracle.oamprovider_11.1.1/oamauthenticationprovi der.war
次の場所にoamauthenticationprovider.warをコピーします。
BEA_HOME/wlserver_10.x/server/lib/console-ext/autodeploy/oamauthentication provider.war
WebLogicサーバー管理コンソールにログインして、セキュリティ・レルム、デフォルト・レルム名をクリックし、プロバイダをクリックします。
OAM Identity Asserter: 次の手順を実行してこのプロバイダを追加します。
認証をクリックして新規をクリックし、次に名前を入力して、タイプを選択します。
名前: OAM ID Asserter
タイプ: OAMIdentityAsserter
OK
認証プロバイダテーブル内で、新しく追加されたオーセンティケータをクリックします。
共通タブで、制御フラグをREQUIREDに設定して、保存をクリックします。
OIDオーセンティケータ: 次の手順を実行してこのプロバイダを追加します。
セキュリティ・レルム、デフォルト・レルム名をクリックし、プロバイダをクリックします。
新規をクリックし、次に名前を入力して、タイプを選択します。
名前: OID Authenticator
タイプ: OracleInternetDirectoryAuthenticator
OK
認証プロバイダテーブル内で、新しく追加されたオーセンティケータをクリックします。
設定ページの共通タブで、制御フラグをSUFFICIENTに設定して、保存をクリックします。
プロバイダ固有タブをクリックして、環境に合った値を使用して、次のような必要な設定を行います。
ホスト: ご使用のLDAPホスト。例: localhost
ポート: ご使用のLDAPホスト・リスナー・ポート。例: 6050
プリンシパル: LDAP管理ユーザー。例: cn=orcladmin
資格証明: LDAP管理ユーザー・パスワード。
ユーザー・ベースDN: Oracle Access Managerと同じ検索ベース。
すべてのユーザーのフィルタ: 例: (&(uid=*)(objectclass=person))
ユーザー名属性: LDAPディレクトリ内のユーザー名のデフォルト属性として設定。例: uid
グループ・ベースDN: グループ検索ベース(ユーザー・ベースDNと同じ)
すべてのグループフィルタをデフォルト作業として設定しないでください。
保存します。
デフォルト・オーセンティケータ: 次の手順を実行して、Identity Asserterで使用するデフォルト・オーセンティケータを設定します。
セキュリティ・レルム、デフォルト・レルム名に移動して、プロバイダをクリックします。
認証をクリックして、DefaultAuthenticatorをクリックし、確認ページを表示します。
共通タブをクリックして制御フラグをSUFFICIENTに設定します。
保存します。
プロバイダの並替え:
セキュリティ・レルム、デフォルト・レルム名、プロバイダをクリックします。
プロバイダがリストされたサマリーページで、並替えボタンをクリックします
認証プロバイダの並替えページで、プロバイダ名を選択し、リストの横にある矢印を使用してプロバイダの並替えを行います。
OAM Identity Asserter (REQUIRED)
OIDオーセンティケータ(SUFFICIENT)
デフォルト・オーセンティケータ(SUFFICIENT)
OKをクリックして変更を保存します
変更のアクティブ化: チェンジ・センターで変更のアクティブ化をクリックします。
Oracle WebLogicサーバーを再起動します。
次のように進みます。
成功した場合: 「IDMドメイン・エージェントの無効化」に進みます。
失敗した場合: すべてのプロバイダが環境に合った仕様になっており、正しい順序で、oamAuthnProvider.jarが[セキュリティ・プロバイダについて」に記載された正しい場所にあることを確認します。
この手順はオプションで、必須ではありません。IDMDomainエージェントは、WebGateが認証を行い、サイレント状態になると検知します。ただし、エージェントを無効にする必要がある場合、エージェントを無効にする必要がある各サーバーに対して、WLSAGENT_DISABLEDシステム・プロパティまたは環境変数をtrueに設定する必要があります。これはAdminServerとOAMサーバーの両方に適用されます。
エージェントの無効化は次の2つの方法のいずれかで行えます。
WLSAGENT_DISABLEDをtrueに設定するか、
WLSAGENT_DISABLEDをシステム・プロパティとして渡します
前提条件
必要に応じて WebLogic用のOAMセキュリティ・プロバイダの構成を行います。
IDMドメイン・エージェントの無効化手順
IDMドメイン・エージェントをホスティングしているコンピュータ上で、次のテスクを実行します。
WLSAGENT_DISABLEDをtrueに設定するか、
setenv WLSAGENT_DISABLED true
DWLSAGENT_DISABLED=trueをシステム・プロパティとして渡します。
-DWLSAGENT_DISABLED=true
Webサーバーを再起動します。
Oracleは10g WebGateを使用してそれぞれの環境をテストし、IDMドメイン・エージェントで保護されていたすべてのアプリケーションが、10g WebGateの構成後も保護されていることを確認するようお薦めしています。
このトピックの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
この項では、WebLogicコンテナにアプリケーションがある(または将来的に入る)デプロイメントの情報を記載します。
必要に応じて、次の手順を使用して、OAM 11gデプロイメントから10g WebGateを削除します。
|
注意: エージェントの登録を削除しても、関連付けられたホスト識別子、アプリケーション・ドメイン、リソース、またはエージェント・インスタンスは削除されません。 |
考慮事項
Webサーバーの構成変更: Webサーバーの構成変更は、WebGateのアンインストール後に手動で元に戻す必要があります)。追加内容の詳細は、お使いのWebサーバーに該当する章を参照してください。
WebGate IISフィルタ: WebGateと関連するフィルタをIISから完全に削除するには、IIS内のリストからフィルタを削除するだけでは不十分です。IISにはすべての設定がメタベース・ファイルに含まれています。Windows 2000以降では、これは手動で変更できるXMLファイルです。詳細は、「OAM 11gデプロイメントからの10g WebGateの削除」を参照してください。
前提条件
このエージェントに関連付けられたアプリケーション・ドメイン、リソース、およびポリシーを評価し、別なエージェントを使用するように構成されているのか、削除できるのかを確認してください。
削除するWebGateのWebサーバーを無効にします。
|
注意: Webサーバーを無効にしなかった場合、アンインストールは失敗し、バックアップ・フォルダは削除されません。この場合、バックアップ・フォルダを手動で削除する必要があります。 |
OAM管理コンソールのWebGate登録ページで、状態オプションの横の無効化ボックスをクリックしてWebGateを無効化します。
言語パック: インストールされている言語パック(デフォルトの管理者言語(ロケール)として選択されているものを除く)を次のように削除します。
コンポーネントのアンインストール・ディレクトリ内にある、該当する言語パックを検索します。例:
言語パック・アンインストーラ・プログラムを実行して、ファイルを削除します。
このプロセスを繰り返し実行して、関連するコンポーネントから同じ言語パックを削除します。
WebGate Webサーバーを停止して再起動し、適切な言語サポートを再初期化します。
このプロセスを繰り返し実行して、各言語パックを削除します(デフォルトの管理者言語(ロケール)として選択されているものを除く)。
次の手順を実行して10g WebGate 構成データを削除します。
Oracle Access Managerコンポーネントのインスタンスが1つしかない場合は、手順4を完了して削除します。
コンポーネントのインスタンスが複数ある場合は、手順5も参照してください。
特定のプログラムのアンインストール・プログラムを検索して実行し、Oracle Access Managerファイルを削除します。例:
WebGate_install_dir\access\_uninstWebGate\uninstaller.exe
|
注意: UNIXシステムではuninstaller.binを使用します |
複数のインスタンス: 複数のWebGateインスタンスがあり、そのうちの1つ、またはすべてを削除する場合は、プラットフォーム固有のメソッドを使用する必要があります。
Windows: 最後のコンポーネントは、プログラムの追加/削除でアンインストールできます。それ以外は、\access \uninstComponentディレクトリからアンインストール・プログラムを実行してアンインストールできます。
UNIX: 常にuninstaller.binを実行する必要があります。
Webサーバー構成に対するOracle Access Manager関連の更新を削除します。特定のWebサーバーに関する詳細は、第18章、 第19章、第20章、および第21章を参照してください。
Webサーバーを再起動します。
特に再インストールを予定している場合には、WebGate_install_dirディレクトリが残っている場合は削除します。
