| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
前へ |
次へ |
この章の内容は次のとおりです。
第19.1項「Oracle Identity ManagerとOracle Access Manager 11gの統合」
第19.2項「Oracle Adaptive Access ManagerとOracle Access Manager 11gの統合」
第19.3項「Oracle Adaptive Access Manager 11gとOracle Identity Manager 11gの統合」
第19.4項「Oracle Identity FederationとOracle Access Manager 11gの統合」
この項では、Oracle Identity ManagerとOracle Access Manager 11gの統合方法について説明します。
この項の内容は次のとおりです。
第19.1.3項「Oracle Access ManagerとOracle Identity Managerの統合の構成」
第19.1.5項「Oracle Access Manager 11gとOracle Identity Manager 11gの統合」
第15章「Oracle Identity Managerでのドメインの拡張」の説明に従ってOIM11gのインストールと構成が行われていることを確認します。
第12章「Oracle Access Manager 11gでのドメインの拡張」の説明に従ってOracle Access Manager 11gのインストールと構成が行われていることを確認します。
第4章「Oracle HTTP Serverのインストール」の説明に従ってOHSのインストールと構成が行われていることを確認します。
ドメインのJTAトランザクション・タイムアウトが600秒以上であることを確認します。必要があれば、次の手順に従ってタイムアウト値を更新します。
ブラウザを開き、http://admin.mycompany.com/consoleのWebLogic管理コンソールに移動します。
WebLogic管理コンソールに管理ユーザーとしてログインします。
「サービス」→「JTA」に移動します。
「タイムアウト」の値が600未満の場合は、「ロックして編集」をクリックして、値を600に更新します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーと管理対象サーバーを停止します。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ノード・マネージャを使用して管理サーバーを起動します。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用してドメイン内の管理対象サーバーを起動します。
簡易セキュリティ・トランスポート・モデルでOracle Access Managerを使用している場合、第12.11項「Oracle Access Managerキー・ストアの作成」で生成されたOAMキーストア・ファイルをOIMHOST1およびOIMHOST2にコピーする必要があります。キーストア・ファイルssoKeystore.jksおよびoamclient-truststore.jksを、OIMHOST1およびOIMHOST2のディレクトリDOMAIN_HOME/config/fmwconfigにコピーします。
Oracle Identity ManagerとOracle Access Manager 11gを統合する前に、Oracle Identity Managerをサポートするように、Oracle Access Manager 11gを拡張する必要があります。
そのためには、IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
config_oam2.propsというプロパティ・ファイルを、次の内容で作成します。
WLSHOST: adminvhn.mycompany.com
WLSPORT: 7001
WLSADMIN: weblogic
WLSPASSWD: weblogic password
IDSTORE_HOST: idstore.mycompany.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com
IDSTORE_SEARCHBASE: dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com
IDSTORE_OAMSOFTWAREUSER: oamLDAP
IDSTORE_OAMADMINUSER: oamadmin
PRIMARY_OAM_SERVERS: idmhost1.mycompany.com:5575,idmhost2.mycompany.com:5575
WEBGATE_TYPE: ohsWebgate10g
ACCESS_GATE_ID: Webgate_IDM
OAM11G_IDM_DOMAIN_OHS_HOST:sso.mycompany.com
OAM11G_IDM_DOMAIN_OHS_PORT:443
OAM11G_IDM_DOMAIN_OHS_PROTOCOL:https
OAM11G_WG_DENY_ON_NOT_PROTECTED: false
OAM_TRANSFER_MODE: simple
OAM11G_OAM_SERVER_TRANSFER_MODE:simple
OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp
OAM11G_OIM_WEBGATE_PASSWD: webgate password
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid
COOKIE_DOMAIN: .mycompany.com
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
OAM11G_SSO_ONLY_FLAG: false
OAM11G_OIM_INTEGRATION_REQ: true
OAM11G_SERVER_LBR_HOST:sso.mycompany.com
OAM11G_SERVER_LBR_PORT:443
OAM11G_SERVER_LBR_PROTOCOL:https
COOKIE_EXPIRY_INTERVAL: 120
OAM11G_OIM_OHS_URL:https://sso.mycompany.com:443/
変数の意味は次のとおりです。
WLSHOSTおよびWLSPORTは、それぞれ第6章「アイデンティティ管理のためのWebLogicサーバー・ドメインの作成」で作成した管理サーバーのホストとポートです。これは仮想名です。
WLSADMINおよびWLSPASSWDは、それぞれWebLogicコンソールへのログインに使用するWebLogic管理ユーザーとパスワードです。
IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERSEARCHBASEは、Oracle Access Managerがユーザーを検索する対象となるコンテナです。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
IDSTORE_OAMSOFTWAREUSERは、LDAPとの対話処理で使用するために第11.4.2項「Oracle Access Manager用のユーザーとグループの作成」で作成したユーザーの名前です。
IDSTORE_OAMADMINUSERは、OAMコンソールにアクセスするために第11.4.2項「Oracle Access Manager用のユーザーとグループの作成」で作成したユーザーの名前です。
PRIMARY_OAM_SERVERSは、Oracle Access Managerサーバーとそれが使用するプロキシ・ポートのカンマ区切りリストです。
|
注意: OAMサーバーが使用しているプロキシ・ポートを確認する手順は次のとおりです。
|
ACCESS_GATE_IDは、Webゲートに割り当てる名前です。
OAM11G_OIM_WEBGATE_PASSWDは、Webゲートに割り当てるパスワードです。
OAM11G_IDM_DOMAIN_OHS_HOSTは、OHSの前に配置したロード・バランサの名前です。
OAM11G_IDM_DOMAIN_OHS_PORTは、ロード・バランサでリスニングするポートです。
OAM11G_IDM_DOMAIN_OHS_PROTOCOLは、ロード・バランサでリクエストを送るときに使用するプロトコルです。
OAM11G_OAM_SERVER_TRANSFER_MODEは、Oracle Access Managerサーバーが機能するセキュリティ・モデルです。これは、第12.6.1項「Oracle Access Managerのセキュリティ・モデルの変更」で定義されます。
OAM11G_IDM_DOMAIN_LOGOUT_URLSは、様々なログアウトURLに設定されます。
OAM11G_SSO_ONLY_FLAGは、認証専用モードまたは標準モード(認証と認可をサポート)としてOracle Access Manager 11gを構成します。
OAM11G_SSO_ONLY_FLAGをtrueに設定すると、Oracle Access Manager 11gサーバーは認証専用モードで動作します。この場合、デフォルトではすべての認可でポリシー検証が実行されずにtrueが戻されます。このモードでは、認可の処理に伴うオーバーヘッドがサーバーに発生しません。認可ポリシーに依存せず、Oracle Access Managerサーバーの認証機能のみを必要とするアプリケーションでは、このモードをお薦めします。
この値をfalseに設定すると、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でOracle Access Managerサーバーに対する認可リクエストが1つ以上発生します。Webゲートを使用すると、Oracle Access Managerサーバーからの応答に基づいて、リクエストされたリソースへのアクセスを許可または拒否できます。
OAM11G_SERVER_LBR_HOSTは、サイトの前面に配置するロード・バランサの名前です。この値と次の2つのパラメータを使用してログインURLを構成します。
OAM11G_SERVER_LBR_PORTは、ロード・バランサでリスニングするポートです。
OAM11G_SERVER_LBR_PROTOCOLは、使用するURL接頭辞です。
COOKIE_DOMAINは、Webゲートが機能するドメインです。
WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。有効値はohsWebgate10gおよびohsWebgate11gです。
OAM11G_IDSTORE_NAMEは、アイデンティティ・ストアの名前です。このツールで作成されたデフォルト以外のアイデンティティ・ストアがすでに設定されている場合、このパラメータは、そのアイデンティティ・ストアの名前にします。
OAM11G_OIM_OHS_URLは、ロード・バランサを介してアクセスする際、OIMへのアクセスに使用するURLです。
IAM_ORACLE_HOME/idmtools/binにあるコマンドidmConfigToolを使用して、Oracle Access Managerを構成します。
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOAM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOAM input_file=configfile
次に例を示します。
idmConfigTool.sh -configOAM input_file=config_oam2.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、次のアカウントに割り当てるパスワードを指定するよう求められます。
IDSTORE_PWD_OAMSOFTWAREUSER
IDSTORE_PWD_OAMADMINUSER
コマンドの出力例:
Enter ID Store Bind DN password: Enter User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Confirm User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Enter User Password for IDSTORE_PWD_OAMADMINUSER: Confirm User Password for IDSTORE_PWD_OAMADMINUSER: The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
既存のLDAPユーザーを、オブジェクト・クラスOblixPersonPwdPolicy、OIMPersonPwdPolicy、およびOblixOrgPersonで更新する必要があります。
|
注意: これは、既存のユーザーを持たない新規設定の場合、必要ありません。 |
IDMHOST1で、user.propsという統合用のプロパティ・ファイルを次の内容で作成します。
IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_ADMIN_USER: cn=orcladmin IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com PASSWORD_EXPIRY_PERIOD: 7300
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
IAM_ORACLE_HOME/idmtools/binにあるコマンドidmConfigToolを使用して、既存のLDAPを更新します。
|
注意:
|
このコマンドの構文は次のとおりです。
idmConfigTool.sh - upgradeLDAPUsersForSSO input_file=configfile
(LinuxおよびUNIXベースのオペレーティング・システムの場合)
idmConfigTool.bat -upgradeLDAPUsersForSSO input_file=configfile
(Windowsの場合)
次に例を示します。
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=user.props
要求された場合、次の情報を入力します。
アイデンティティ・ストアへの接続に使用しているユーザーのパスワード。
ディレクトリ・タイプ: Oracle Virtual Directoryを使用している場合はOVD、それ以外の場合はOID。
出力例:
Enter LDAP admin user password: ********* Upgrading LDAP Users With OAM ObjectClasses ********* Enter Directory Type[OID]: OVD Completed loading user inputs for - LDAP connection info Completed loading user inputs for - LDAP Upgrade Upgrading ldap users at - cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=readOnlyUser,cn=Users,dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=readOnlyUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixOrgPerson not present in cn=readOnlyUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=readOnlyUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=readOnlyUser,cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=readWriteUser,cn=Users,dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=readWriteUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixOrgPerson not present in cn=readWriteUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=readWriteUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=readWriteUser,cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=weblogic,cn=Users,dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=weblogic,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixOrgPerson not present in cn=weblogic,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=weblogic,cn=Users,dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=weblogic,cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=oamMasterAdminUser,cn=Users,dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=oamMasterAdminUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=oamMasterAdminUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=oamMasterAdminUser,cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=oamSoftwareUser,cn=Users,dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=oamSoftwareUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixOrgPerson not present in cn=oamSoftwareUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=oamSoftwareUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=oamSoftwareUser,cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=PolStoreROUser,cn=Users,dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=PolStoreROUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixOrgPerson not present in cn=PolStoreROUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=PolStoreROUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=PolStoreROUser,cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=PolStoreRWUser,cn=Users,dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=PolStoreRWUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixOrgPerson not present in cn=PolStoreRWUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=PolStoreRWUser,cn=Users,dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=PolStoreRWUser,cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=PUBLIC, cn=Users, dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=PUBLIC, cn=Users, dc=us,dc=oracle,dc=com. Seeding it objectclass OblixOrgPerson not present in cn=PUBLIC, cn=Users, dc=us,dc=oracle,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=PUBLIC, cn=Users, dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=PUBLIC, cn=Users, dc=us,dc=oracle,dc=com Parsing - cn=orcladmin, cn=Users, dc=us,dc=oracle,dc=com objectclass OIMPersonPwdPolicy not present in cn=orcladmin, cn=Users, dc=us,dc=oracle,dc=com. Seeding it obpasswordexpirydate added in cn=orcladmin, cn=Users, dc=us,dc=oracle,dc=com Parsing - cn=xelsysadm,cn=Users,dc=us,dc=oracle,dc=com Parsing - cn=xelsysadmin,cn=Users,dc=us,dc=oracle,dc=com Finished parsing LDAP LDAP Users Upgraded. ********* ********* *********
|
関連項目:
|
この項では、Oracle Access Manager 11gとOracle Identity Managerの統合方法について説明します。
以前に第20章「管理コンソールに対するシングル・サインオンの構成」のタスクを実行した場合、そこで作成したセキュリティ・プロバイダを削除する必要があります。
その手順は次のとおりです。
次の場所にあるWebLogic管理コンソールにログインします。
http://admin.mycompany.com/console
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
次のプロバイダを選択します。
OVDAuthenticator
OIDAuthenticator
OAMIDAssertor
「削除」をクリックします。
削除を確認する場合は「はい」をクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとすべての管理対象サーバーを再起動します。
Oracle Access Manager 11gとOracle Identity Managerを統合するには、IDMHOST1で次の手順を実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。次に例を示します。
export IDM_HOME=IDM_ORACLE_HOME export ORACLE_HOME=IAM_ORACLE_HOME
oimitg.propsという統合用のプロパティ・ファイルを、次の内容で作成します。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: OAMHOST1.mycompany.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .mycompany.com
COOKIE_EXPIRY_INTERVAL: 120
OAM_TRANSFER_MODE: simple
WEBGATE_TYPE: ohsWebgate10g
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 389
IDSTORE_HOST: idstore.mycompany.com
IDSTORE_DIRECTORYTYPE: OID or OVD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=Users,dc=mycompany,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com
MDS_DB_URL: jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=tcp)(host=OIDDBHOST1-vip.mycomapny.com)(port=1521))(ADDRESS=(protocol=tcp)(host=OIDDBHOST2-vip.mycompany.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=oidedg.mycompany.com)))
MDS_DB_SCHEMA_USERNAME: edg_mds
WLSHOST: adminvhn.mycompany.com
WLSPORT: 7001
WLSADMIN: weblogic
DOMAIN_NAME: IDMDomain
OIM_MANAGED_SERVER_NAME: WLS_OIM1
DOMAIN_LOCATION: ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain
|
注意:
|
場所をIAM_ORACLE_HOME/serverに変更します。
cd IAM_ORACLE_HOME/server
次の場所にあるコマンドidmConfigToolを使用して、Oracle Access ManagerとOracle Identity Managerを統合します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOIM input_file=configfile
(LinuxおよびUNIXベースのシステムの場合)
idmConfigTool.bat -configOIM input_file=configfile
(Windowsの場合)
次に例を示します。
IAM_ORACLE_HOME/idmtools/bin/idmConfigTool.sh -configOIM input_file=oimitg.props
スクリプトが実行されると、次の入力を求められます。
アクセス・ゲートのパスワード
SSOキーストアのパスワード
グローバル・パスフレーズ
IDストア管理パスワード
MDSデータベース・スキーマのパスワード
管理サーバー・ユーザー・パスワード
出力例:
Enter sso access gate password: Enter mds db schema password: Enter idstore admin password: Enter admin server user password: ********* Seeding OAM Passwds in OIM ********* Enter ssoKeystore.jks Password: Enter SSO Global Passphrase: Completed loading user inputs for - CSF Config Updating CSF with Access Gate Password... WLS ManagedService is not up running. Fall back to use system properties for configuration. Updating CSF ssoKeystore.jks Password... Updating CSF for SSO Global Passphrase Password... ********* ********* ********* ********* Activating OAM Notifications ********* Completed loading user inputs for - MDS DB Config Initialized MDS resources Apr 11, 2011 4:57:45 AM oracle.mds NOTIFICATION: transfer operation started. Apr 11, 2011 4:57:46 AM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed: 1, total number of documents failed: 0. Upload to DB completed Releasing all resources Notifications activated. ********* ********* ********* ********* Seeding OAM Config in OIM ********* Completed loading user inputs for - OAM Access Config Validated input values Initialized MDS resources Apr 11, 2011 4:57:46 AM oracle.mds NOTIFICATION: transfer operation started. Apr 11, 2011 4:57:47 AM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed: 1, total number of documents failed: 0. Download from DB completed Releasing all resources Updated /u01/app/oracle/product/fmw/iam/server/oamMetadata/db/oim-config.xml Initialized MDS resources Apr 11, 2011 4:57:47 AM oracle.mds NOTIFICATION: transfer operation started. Apr 11, 2011 4:57:47 AM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed: 1, total number of documents failed: 0. Upload to DB completed Releasing all resources OAM configuration seeded. Please restart oim server. ********* ********* ********* ********* Configuring Authenticators in OIM WLS ********* Completed loading user inputs for - Dogwood Admin WLS Completed loading user inputs for - LDAP connection info Connecting to t3://adminvhn.mycompany.com:7001 Connection to domain runtime mbean server established Starting edit session Edit session started Connected to security realm. Validating provider configuration Validated desired authentication providers Validated authentication provider state successfuly. Created OAMIDAsserter successfuly Created OIDAuthenticator successfuly Created OIMSignatureAuthenticator successfuly Setting attributes for OID Authenticator All attributes set. Configured in OID Authenticator now lDAP details configured in OID authenticator Control flags for authenticators set sucessfully Reordering of authenticators done sucessfully Saving the transaction Transaction saved Activating the changes Changes Activated. Edit session ended. Connection closed sucessfully ********* ********* *********
|
注意:
|
ログ・ファイルでエラーを確認し、必要に応じてこれらを修正します。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WLS_OIM1、WLS_OIM2およびWebLogic管理サーバーを再起動します。
configOIMが完了すると、Oracle Virtual Directory認証プロバイダが作成されます(Oracle Virtual Directoryを使用している場合)。この認証プロバイダを、次のようにして更新する必要があります。
http://admin.mycompany.com/consoleのWebLogicコンソールにログインします。
ドメイン構造で「セキュリティ・レルム」をクリックします。
マイ・レルムをクリックします。
「プロバイダ」タブをクリックします。
「OVDAuthenticator」プロバイダをクリックします。
「ロックして編集」をクリックします。
「プロバイダ固有」タブをクリックします。
次の値を変更します。
すべてのユーザーのフィルタ: (&(uid=*)(objectclass=person))
名前指定によるユーザー・フィルタ: (&(uid=%u)(objectclass=person))
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
管理サーバーWLS_OAM1、WLS_OAM2、WLS_OIM1およびWLS_OIM2と、実行中のその他すべての管理対象サーバーを再起動します。
次のURLのOracle Enterprise Manager Fusion Middleware Controlにログインします。
http://admin.mycompany.com/em
「FARM_IDMDomain」→「WebLogicドメイン」に移動します。
「IDMDomain」をクリックします。
サマリー画面が表示されたら、「セキュリティ」を選択し、リストから「資格証明」を選択します。
資格証明キー「oim」をクリックし、「キーの作成」をクリックします。
次のキーを作成します。
SSOKeystoreKey
| フィールド | 値 |
|---|---|
|
マップ |
|
|
キー |
|
|
タイプ |
|
|
ユーザー名 |
SSOKeystoreKey |
|
パスワード |
第12.11項「Oracle Access Managerキー・ストアの作成」で入力したキー・ストアのパスワード |
|
説明 |
|
SSOGlobalPP
| フィールド | 値 |
|---|---|
|
マップ |
|
|
キー |
|
|
タイプ |
|
|
ユーザー名 |
|
|
パスワード |
第12.6.1項「Oracle Access Managerのセキュリティ・モデルの変更」の手順10で入力したグローバル・パスフレーズの値 |
|
説明 |
|
SSOAccessKey
| フィールド | 値 |
|---|---|
|
マップ |
|
|
キー |
|
|
タイプ |
|
|
ユーザー名 |
|
|
パスワード |
第12.6.2項「IDM自動化ツールを使用したOracle Access Managerの構成」で入力した |
|
説明 |
|
簡易トランスポート・モデルを使用している場合は、SSOKeystoreKeyとSSOGlobalPPのみが必要です。
Oracle Identity ManagerとOracle Access Managerを統合すると、2つのxelsysadmアカウントが存在します。1つはOracle Identity Managerで作成された内部アカウントです。もう1つは、第11.4.4項「Oracle Identity Manager用のユーザーとグループの作成」でアイデンティティ・ストアに作成したアカウントです。
LDAPストアにあるxelsysadmアカウントは、OIMコンソールへのアクセスに使用するアカウントです。このアカウントのパスワードを変更する場合は、LDAPでこれを変更します。これはODSMを使用して行うことができます。OIMコンソールを介してこれを変更しないでください。
統合を検証するには、第20章「管理コンソールに対するシングル・サインオンの構成」の説明に従って、Identity Management管理者をWebLogicセキュリティ・グループに割り当て、Webゲートをインストールする必要があります。
Oracle Access Manager 11gとOracle Identity Manager 11gが正常に接続されていることを検証するには、次のようにしてOracle Identity Managerセルフ・サービス・コンソールへのログインを試みます。
ブラウザを使用してhttps://sso.mycompany.com:443に移動します。これにより、OAM11gシングル・サインオン・ページにリダイレクトされます。
第11.4.4項「Oracle Identity Manager用のユーザーとグループの作成」で作成したxelsysadmユーザー・アカウントを使用してログインします。
OIMセルフ・サービス・コンソールページが表示されれば、統合は成功です。
この項では、OAAMとOracle Access ManagerおよびOracle Identity Managerの統合方法について説明します。OAAMがOracle Access Managerと統合されると、標準のOracle Access ManagerログインではなくOAAMを使用して、リソースへのアクセスを検証できます。OAAMは認証を実行しますが、それはOracle Access Managerの中のユーザーに対する認証です。
OAAMをOracle Identity Managerと統合すると、ユーザー名やパスワードを忘れたユーザーをOracle Identity Managerを使用して補助できます。
この項の内容は次のとおりです。
この関連付けを開始する前に、次の作業が行われたことを確認してください。
第12章「Oracle Access Manager 11gでのドメインの拡張」の説明に従って、Oracle Access Manager(OAM)のインストールと構成を行います。
第12章「Oracle Access Manager 11gでのドメインの拡張」の説明に従って、LDAPストアと連携するようにOracle Access Managerを構成します。
第13章「Oracle Adaptive Access Managerでのドメインの拡張」の説明に従って、Oracle Adaptive Access Managerをインストールします。
簡易セキュリティ・トランスポート・モデルでOracle Access Managerを使用している場合、第12.11項「Oracle Access Managerキー・ストアの作成」で生成されたOAMキーストア・ファイルoamclient-truststore.jksおよびssoKeystore.jksをOAAMHOST1およびOAAMHOST2にコピーする必要があります。これらのファイルは、OAAMHOST1およびOAAMHOST2のディレクトリDOMAIN_HOME/config/fmwconfigにコピーします。
Oracle Access Managerを簡易セキュリティ・トランスポート・プロトコルを使用するように構成した場合は、OAAMをサード・パーティ・アプリケーションとして登録する必要があります。
次のようにします。
IDMHOST1で、IAM_ORACLE_HOME/common/binディレクトリからwlstシェルを起動します。たとえば、LinuxおよびUNIXベースのシステムでは次のように入力します。
./wlst.sh
Windowsでは次のように入力します。
./wlst.cmd
次のwlst connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect('AdminUser',"AdminUserPassword",t3://hostname:port')
次に例を示します。
connect("weblogic","admin_password","t3://ADMINVHN.mycompany.com:7001")
registerThirdPartyTAPPartnerコマンドを次のように実行します。
registerThirdPartyTAPPartner(partnerName = "partnerName", keystoreLocation= "path to keystore" , password="keystore password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="OAAM login URL")
各パラメータの意味は次のとおりです。
partnerNameは一意の名前です。Oracle Access Managerにパートナが存在すると、構成は上書きされます。
keystoreLocationは、既存のキー・ストアの場所です。指定したディレクトリ・パスが存在しない場合、エラーが発生します。Windowsでは、パッチをエスケープする必要があります。次に例を示します。
"C:\\oam-oaam\\tap\keystore\store.jks"
passwordは、キー・ストアを暗号化するために指定されるパスワードです。これは、後で必要になるため覚えておいてください。
tapTokenVersionは常にv2.0です。
tapSchemeは更新される認証スキームです。
tapRedirectUrlはアクセス可能なURLです。アクセスできない場合、登録は失敗し、次のメッセージが表示されます。Error!Hyperlink reference not valid
|
注意: 不具合のため、 |
tapRedirectUrlは次のように構成されます。
http://OAAM_SERVER_HOST:OAAM_SERVER_PORT/oaam_server/oamLoginPage.jsp
次に例を示します。
registerThirdPartyTAPPartner(partnerName = "OAAMTAPPartner", keystoreLocation= "IAM_ORACLE_HOME/TAP/TapKeyStore/mykeystore.jks" , password="password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://oaamhost1.mycompany.com:14300/oaam_server/oamLoginPage.jsp")
ファイルIAM_ORACLE_HOME/TAP/TapKeyStore/mykeystore.jksをOAAMHOST1およびOAAMHOST2の同じ場所にコピーします。次に例を示します。
scp IAM_ORACLE_HOME/TAP/TapKeyStore/mykeystore.jks OAAMHOST2:IAM_ORACLE_HOME/TAP/TapKeyStore/mykeystore.jks
|
注意:
|
次の場所にあるOAM管理コンソールにログインします。
http://admin.mycompany.com:80/oamconsole
「認証スキーム」の下の「TAPScheme」をクリックします。
「開く」をクリックします。
「チャレンジURL」を次のとおりに変更します。
https://sso.mycompany.com:443/oaam_server/oamLoginPage.jsp
「チャレンジ・パラメータ」にMatchLDAPAttribute=uidを追加します。
「適用」をクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WLS_OAAM1およびWLS_OAAM2を再起動します。
Oracle Access Managerがインストールされると、IAMSuiteAgentというデフォルトのエージェント・プロファイルが作成されます。このプロファイルは、OAMとの統合の際にOAAMで使用されます。
IAMSutieAgentプロファイルが最初に作成されるときには、パスワードはありません。プロファイルがOAAMで統合に使用される前に、パスワードを設定する必要があります。次のようにします。
次のURLでOAMコンソールにログインします。
http://admin.mycompany.com/oamconsole
「システム構成」タブをクリックします。
「Access Managerの設定」→「SSOエージェント」を開きます。
「OAMエージェント」をクリックし、「開く」をクリックします。
検索ウィンドウで、「検索」をクリックします。
検索結果で「IAMSuiteAgent」をクリックします。エージェントのプロパティが表示されます。
「プライマリ・サーバー」リストで、「+」をクリックし、不足しているOracle Access Managerサーバーを追加します。
「アクセス・クライアント・パスワード」フィールドにパスワードを入力し、「適用」をクリックします。
|
注意: セキュリティ設定が、使用しているOAMサーバーの設定と一致していることも確認します。 |
この統合が正常に完了したことを確認するには、第12.10項「Oracle Access Managerの検証」の説明に従って、OAMテスト・ツールを起動します。次のように実行します。
次の値を使用して接続します。
プライマリOAMホスト: OAMHOST1
ポート: 5575
エージェントID: IAMSuiteAgent
エージェント・パスワード: IAMSuiteAgentプロファイルに割り当てたパスワード。
モード: OAMセキュリティ・モードを選択します。
グローバル・パスフレーズ: 簡易モードが使用されている場合、OAMパスフレーズ。
保護されたリソースのURIを指定します。
スキーム: http
ホスト: IAMSuiteAgent
ポート: 空白のままにします。
リソース: /oamTAPAuthenticate
「検証」をクリックします。
ユーザーID oamadminとoamadminのパスワードを指定します。
認証をクリックします。認証に成功すれば、統合は正常に完了しています。
OAMHOST2についても同じ検証を実行します。
IDMHOST1で、次の手順を実行します。
IAM_ORACLE_HOME/oaam/cliを一時的な場所にコピーします。次に例を示します。
cp -r IAM_ORACLE_HOME/oaam/cli /u01/app/oracle/oaam
次のディレクトリにあるファイルoaam_cli.propertiesを編集します。
/u01/app/oracle/oaam/conf/bharosa_properties
ファイル内の次のプロパティ値を設定します。
| パラメータ | 値 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OAAMデータベースのDBC URL。形式: j |
|
|
第19.2.3項「サード・パーティ・アプリケーションとしてのOAAMの登録」で作成されたキーストアの場所。次に例を示します。
Windowsでは、パスをエスケープする必要があります。次に例を示します。
|
|
|
|
|
|
|
|
|
Oracle Access Managerサーバー・プロキシ・ポート。例: |
|
|
|
|
|
|
|
|
2番目のOracle Access ManagerサーバーのOracle Access Managerサーバー・プロキシ・ポート。例: |
|
|
これは、使用しているOAMトランスポート・セキュリティ・モードにより異なります。値は、 |
|
|
ルート証明書用に生成されたキーストア・ファイルの場所。
これは、セキュリティ・モードが |
|
|
秘密鍵用に生成されたキーストア・ファイルの場所。
これは、セキュリティ・モードが |
ファイルを保存します。
次のディレクトリにあるコマンドsetupOAMTapIntegration.shを発行することによって、OAAM CLIツールを実行します。
/u01/app/oracle/oaam
export ORACLE_MW_HOME=/u01/app/oracle/product/fmw
export JAVA_HOME=$MW_HOME/jrockit_version
chmod +x /u01/app/oracle/oaam/setupOAMTapIntegration.sh
/u01/app/oracle/oaam/setupOAMTapIntegration.sh
/u01/app/oracle/oaam/conf/bharosa_properties/oaam_cli.properties
コマンドが実行されると、次の情報の入力を求められます。
OAAMデータベース名: EDG_OAAM
OAAMデータベース・パスワード: OAAMデータベース・ユーザーのパスワード。
CSFに格納されるOAM Webゲートの資格証明: Webゲートのパスワードを入力します。
OAM TAPキー・ストア・ファイルのパスワード: 第19.2.3項「サード・パーティ・アプリケーションとしてのOAAMの登録」でサード・パーティ・アプリケーションを生成したときに割り当てたパスワード。
OAM秘密鍵証明書鍵ストア・ファイルのパスワード: 第19.2項「Oracle Adaptive Access ManagerとOracle Access Manager 11gの統合」で秘密鍵ストア・ファイルに割り当てたパスワード。
OAMグローバル・パスフレーズ: OAAM簡易セキュリティ・モデルを使用している場合、これはそのOAMグローバル・パスフレーズとなります。
第11.4.3項「Oracle Adaptive Access Manager用のユーザーとグループの作成」で作成したoaamadminアカウントを使用して、http://admin.mycompany.com:80/oaam_adminのOAAM管理コンソールにログインします。
次のように実行します。
ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をクリックします。
「アクション」メニューでプロパティのリストを選択します。
プロパティ検索ページが表示されます。
「名前」フィールドにoaam.uio.oam.secondary.host.portと入力し、「検索」をクリックします。
現在値が検索結果ウィンドウに表示されます
値フィールドでエントリを5575に設定し、 「保存」をクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WLS_OAM1、WLS_OAM2、WLS_OAAM1およびWLS_OAAM2を再起動します。
この検証を実行するには、まずテスト・リソースを作成します。
WEBHOST1とWEBHOST2で、テスト・ページoaam_sso.htmlを作成します。最も簡単な方法は、ORACLE_INSTANCE/config/OHS/component/htdocsディレクトリで、次の内容のoaam_sso.htmlファイルを作成する方法です。
<html> <body> <center> <p> <h2> OAAM Protected Resource </h2> </p> </center> </body> </html>
OAAMをトポロジに含める予定がある場合のみ、これらのグループが必要です。
以前に作成したoamadminアカウントを使用して、http://admin.mycompany.com/oamconsoleのOAMコンソールにログインします。
ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→IAMスイートを開きます。
「認証ポリシー」をクリックします。
「参照」タブの下にあるツールバーの「作成」をクリックします。
次の情報を入力します。
名前: OAAM Protected Resources
認証スキーム: TAPScheme
「適用」をクリックします。
手順1から4を繰り返して、次のとおりの新しいポリシー・グループを作成します。
名前: TAP Scheme
認証スキーム: LDAPScheme
保護されるものを作成したので、今度はリソースをOracle Access Managerで作成してから、前に作成したポリシー・グループのいずれかに割り当てる必要があります。
以前に作成したoamadminアカウントを使用して、http://admin.mycompany.com/oamconsoleでOAMコンソールにログインします。
ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→IAMスイートを開きます。
「リソース」をクリックします。
「参照」タブの下にあるツールバーの「開く」をクリックします。
「新規リソース」をクリックします。
次の情報を入力します。
タイプ: http
ホスト識別子: IAMSuiteAgent
リソースURL: /oaam_sso.html
保護レベル: Protected
認証ポリシー: OAAM Protected Resources
認可ポリシー: Protected Resource Policy
「適用」をクリックします。
以前に作成したoamadminアカウントを使用して、http://admin.mycompany.com/oamconsoleでOAMコンソールにログインします。
ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→IAMスイート→「認証ポリシー」を開きます。
より上位の保護されているポリシーをクリックします。
「参照」タブの下にあるツールバーの「開く」をクリックします。
リソース・ウィンドウで「/oamTAPAuthenticate」をクリックします。
「削除」をクリックします。
「適用」をクリックします。
ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→IAMスイート→「認証ポリシー」を開きます。
「TAP Scheme」をクリックします。
「参照」タブの下にあるツールバーの「開く」をクリックします。
リソース・ウィンドウで「追加」をクリックします。
リソース「/oamTAPAuthenticate」を選択します。
「適用」をクリックします。
第20.5項「Webゲートのインストールと構成」の説明に従って、Oracle WebGateをインストールします。
https://sso.mycompany.com:443/oaam_sso.htmlのURLを使用して、保護されているリソースにアクセスします。OAAMで保護されたリソースが表示されます。oamadminなどの認可されたOracle Access Managerユーザーを使用してログインします。ログインすると、OAMで保護されているリソースが表示されます。
OAAMには広範なチャレンジ質問が用意されています。これには次のような機能があります。
必要に応じて認証の前後に一連の質問でユーザーにチャレンジします。
質問をイメージとして提示し、多様な入力装置により回答を求めます。
1つずつ順に質問し、正しい答えが指定された場合のみ次の質問が表示されます。
Oracle Identity Managerにも基本的なチャレンジ質問機能があります。これによりユーザーは、パスワードを忘れた場合に、一連の構成可能な質問に答え、パスワードを再設定できます。OAAMとは異なり、Oracle Identity Managerには豊富なパスワード検証機能も用意されており、これにより、簡単な属性に加えて、所有するアカウントに基づいてポリシーを設定できます。
Identity Managementのデプロイメントでは、単一セットのチャレンジ質問を登録し、単一セットのパスワード・ポリシーを使用することをお薦めします。OAAMをOracle Identity Managerと統合することで、OAAMではチャレンジ質問が処理され、Oracle Identity Managerではパスワードの検証、保管および伝播が処理されます。これによりOAAMの不正防止機能を使用すると同時にパスワード検証にOracle Identity Managerを使用できます。OAAMをOracle Identity Managerと統合すると、ユーザー名やパスワードを忘れたユーザーをOracle Identity Managerを使用して補助できます。
この項の内容は次のとおりです。
この関連付けを開始する前に、次の作業が行われたことを確認してください。
Oracle Identity Managementのインストールと構成。
Oracle Adaptive Access Managerのインストール。
Oracle Access Managerのインストールと構成。
第19.1項「Oracle Identity ManagerとOracle Access Manager 11gの統合」の説明に従って、Oracle Identity ManagerとOracle Access Managerを統合します。
第19.2項「Oracle Adaptive Access ManagerとOracle Access Manager 11gの統合」の説明に従って、Oracle Access ManagerとOracle Adaptive Access Managerを統合します。
Webブラウザを使用して、http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
WebLogic管理者アカウント(たとえば、weblogic_idm)を使用して、ログインします。
左側ペインのナビゲーション・ツリーで「weblogic_domain」アイコンを展開します。
「IDMDomain」を選択して右クリックします。メニュー・オプション「セキュリティ」を選択し、サブ・メニューでオプション「資格証明」を選択します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。
次を入力します。
キー名: oam.credentials
タイプ: パスワード
ユーザー名: xelsysadm
パスワード: xelsysadmアカウントのパスワード
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
http://admin.mycompany.com/oaam_adminのOAAM管理コンソールにアクセスします。第11.4.3項「Oracle Adaptive Access Manager用のユーザーとグループの作成」で作成したoaamadminアカウントを使用してログインします。次のように実行します。
ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。現在値が検索結果ウィンドウに表示されます
「値」をクリックします。新しい値を入力し「保存」をクリックします。
OAAMとOracle Identity Managerの統合のため、次のプロパティを設定します。
bharosa.uio.default.user.management.provider.classname: com.bharosa.vcrypt.services.OAAMUserMgmtOIM
bharosa.uio.default.signon.links.enum.selfregistration.url: https://sso.mycompany.com:443/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=SELF_REGISTRATION&backUrl=https://sso.mycompany.com:443/oim/faces/pages/Self.jspx
bharosa.uio.default.signon.links.enum.trackregistration.enabled: true
bharosa.uio.default.signon.links.enum.selfregistration.enabled: true
bharosa.uio.default.signon.links.enum.trackregistration.url: https://sso.mycompany.com:443/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=UNAUTH_TRACK_REQUEST&backUrl=https://sso.mycompany.com:443/oim/faces/pages/Self.jspx
oaam.oim.csf.credentials.enabled: true
oaam.oim.url: t3://oimhost1.mycompany.com:14000,oimhost2.mycompany.com:14000
https://sso.mycompany.com:443/oim/selfのOIM管理コンソールにログインします。
セルフサービス・コンソールの「拡張」リンクをクリックします。
「システム管理」ボックスで「システム・プロパティの検索」をクリックします。
「システム構成」検索ボックスの下の「拡張検索」をクリックします。
拡張検索画面が表示されたら、右矢印(→)をクリックします。一般検索を実行します。検索文字列は指定しません。
表示されるプロパティのそれぞれをクリックして、「アクション」メニューで「開く」を選択します。次のように各プロパティの値を設定して、「保存」をクリックします。
|
注意: プロパティ名が「キーワード」列に表示されます。 |
OIM.DisableChallengeQuestions: TRUE
OIM.ChangePasswordURL: https://sso.mycompany.com:443/oaam_server/oimChangePassword.jsp
OIM.ChallengeQuestionModificationURL: https://sso.mycompany.com:443/oaam_server/oimResetChallengeQuestions.jsp
http://admin.mycompany.com/oamconsoleのOAMコンソールにログインします。
ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→IAMスイートを開きます。
「認証ポリシー」をクリックします。
より上位の保護されているポリシーポリシーをダブルクリックします。
認証スキームを「TAPScheme」に変更します。
「適用」をクリックします。
第21章「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、次の管理対象サーバーを再起動します。
WebLogic管理サーバー
WLS_OAM1およびWLS_OAM2
WLS_OIM1およびWLS_OIM2
WLS_OAAM1およびWLS_OAAM2
Oracle Identity ManagerがOAAMと統合されていることを次のように検証します。
https://sso.mycompany.com:443/oim/selfのURLのOIMコンソールにログインします。
OAAMのログイン・ページが表示されます。
OIMコンソールにxelsysadmユーザーとしてログインします。
チャレンジ質問とOAAM固有のセキュリティ・ポリシーを設定するように求められます。
Oracle Identity Federationは、Oracle Access Managerとの統合モードとして、認証モードとSPモードの2つをサポートしています。
認証モード(IdP)
認証モードでは、Oracle Identity Federationはユーザーの認証をOracle Access Managerに委任します。
ユーザーがWebゲートにより保護されるOracle Identity Federationリソースにリダイレクトされ、これによってOracle Access Managerの認証フローがトリガーされます。ユーザーは識別されるとリソースにアクセスでき、WebゲートはOracle Identity FederationにそのユーザーのIDを含むHTTPヘッダーを提供します。
SPモード
SPモードでは、Oracle Access Managerはユーザーの認証をOracle Identity Federationに委任します。ここでは、リモートのアイデンティティ・プロバイダとともにFederation Oracle Single Sign-Onプロトコルを使用します。Federation Oracle Single Sign-Onフローが実行されると、Oracle Identity Federationはローカル・セッションを作成し、その認証状況をOracle Access Managerに伝播します。これにより、セッション情報が管理されます。
この項では、認証モードおよびSPモードでOIFをOAM11gと統合する手順を説明します。
この項の内容は次のとおりです。
第19.4.2項「認証モードでのOracle Identity FederationとOracle Access Managerの統合」
第19.4.3項「SPモードでのOracle Identity FederationとOracle Access Managerの統合」
第19.4.4項「Oracle Identity FederationとOracle Access Managerの統合の検証」
この統合を開始する前に、次の作業が行われたことを確認してください。
第16章「Oracle Identity Federationでのドメインの拡張」で説明されているOracle Identity Federationのインストールと構成。
第12章「Oracle Access Manager 11gでのドメインの拡張」で説明されているOracle Access Managerのインストールと構成。
第4.4項「Oracle HTTP Serverのインストール」で説明されているOracle HTTP Serverのインストールと構成。
第20.5項「Webゲートのインストールと構成」で説明されているWebゲートのインストールと構成。
この項の内容は次のとおりです。
Oracle Access Managerで認可ポリシーを作成し、Oracle Identity Federationのローカルな認可を有効にします。認可ポリシーを作成するには、OAM管理ユーザーとして、http://admin.mycompany.com/oamconsoleのOAMコンソールにログインします。次の手順を実行します。
「ポリシー構成」タブをクリックします。
「アプリケーション・ドメイン」セクションの下のIAMスイートを開きます。
「認可ポリシー」をクリックし、メニューから「作成」を選択します。
「認可ポリシー」ページで次の詳細を指定します。
名前: 認可ポリシーの名前(例: OIF Local Authorization)。
説明: ポリシーの説明。
「レスポンス」タブをクリックし、「+」をクリックして、HTTPヘッダー属性を追加します。次の情報を入力します。
名前: 名前にはOAM_REMOTE_USERと入力します。次の項の認証エンジンの構成で使用するため、この名前はメモしておいてください。
タイプ: Header
値: $user.attr.uid
「適用」をクリックします。
OIF URLのリソースを、認証においてOracle Access Managerにより保護されるように作成します。リソースを作成するには、OAM管理ユーザーとして、http://admin.mycompany.com/oamconsoleのOAMコンポールにログインします。次の手順を実行します。
「ポリシー構成」タブをクリックします。
「アプリケーション・ドメイン」セクションの下のIAMスイートを開きます。
「リソース」,をクリックし、メニューから「オープン」を選択します。
IAMスイート・リソースページで「新規リソース」をクリックして、「リソース」ページを開きます。
「リソース」ページで、次の詳細を指定します。
タイプ: HTTPを選択します。
ホスト識別子: IAMSuiteAgent
リソースURL: /fed/user/authnoam
問合せ文字列:空白のままにします。
保護レベル: Protected
認可ポリシー: 第19.4.2.1項「Oracle Access Managerでの認可ポリシーの作成」で作成した認可ポリシーを選択します(例: OIF Local Authorization)。
認証ポリシー: より上位の保護されているポリシー。
「適用」をクリックします。
Oracle Identity FederationのOracle Access Manager認証エンジンを構成し、Oracle Access Manager 11g WebゲートでOracle Identity Federationを保護します。認証エンジンを構成するには、WebLogic管理ユーザーとして、http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにログインします。次の手順を実行します。
「Identity and Access」の下で「Oracle Identity Federation」インスタンスを探し、これを選択します。
「管理」→「認証エンジン」に移動します。
「デフォルトの認証エンジン」として、リストからOracle Access Managerを選択します。
「Oracle Access Manager」タブをクリックします。
「認証エンジンの有効化」を選択して、Oracle Access Manager認証エンジンを有効にします。
「ユーザーの一意IDヘッダー」としてOAM_REMOTE_USERと入力します。
「ログアウト有効」は選択しないでください。ログアウトはOracle Single Sign-On SPエンジンで行われます。
「適用」をクリックして変更を適用します。
SP機能が使用されない場合でも、OSSO SPエンジンは構成する必要があります。Oracle Identity FederationとOracle Access Manager間のログアウト・フローでOSSO SPエンジンが使用されるため、これが必要となります。
第19.4.3.1項「OSSO SPエンジンの構成」の説明に従って、OSSO SPエンジンを構成します。
この項の内容は次のとおりです。
第19.4.3.2項「Oracle Access ManagerでのOracle Identity Federation認証スキームの更新」
第19.4.3.3項「Oracle Access ManagerでのOracle Identity Federation認証ポリシーの作成」
第19.4.3.6項「Oracle Identity Federationに認証を委任するためのOracle Access Managerの構成」
SPモードでは、Oracle Identity Federationはフェデレーション・プロトコルを使用してユーザーを認証し、Oracle Access Managerで認証済セッションを作成するよう認証モジュールにリクエストします。Oracle Identity FederationのSingle Sign-On SPエンジンはこのために使用されます。SSO SPエンジンでは、ログアウト統合も提供します。OIFがアサーション・トークンを送信し、セッション管理をOAMに誘導するよう、Oracle Single Sign-On SPエンジンをOAMサーバーの詳細で更新する必要があります。
Oracle Single Sign-On SPエンジンを更新するには、WebLogic管理ユーザーとして、http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにログインします。次の手順を実行します。
「Identity and Access」の下で「Oracle Identity Federation」インスタンスを探し、これを選択します。
「管理」→「サービス・プロバイダ統合モジュール」に移動します。
「Oracleシングル・サインオン」タブを選択します。
「SPモジュールの有効化」を選択してOracle Single Sign-On SPエンジンを有効にします。
次の詳細を指定します。
ユーザー名属性: uid
ログインURL: https://sso.mycompany.com/oam/server/dap/cred_submit
ログアウトURL: https://sso.mycompany.com/oam/server/logout
「ログアウト有効」を選択します。
「適用」をクリックし、Oracle Single Sign-On SPエンジンを更新します。
「再生成」をクリックし、キーストア・ファイルを生成します。このキーストアは、Oracle Access ManagerとOracle Identity Federationサーバー間で交換されるトークンの暗号化と解読に使用される鍵を含みます。
「別名で保存」ダイアログを使用してキーストア・ファイルを保存します。
IDMHOST1上のユーザー定義の場所(MW_HOME/keystoresなど)にキーストア・ファイルをコピーします。このキーストアは、次の項でOracle Identity Federationを委任認証プロトコル(DAP)パートナとして登録するために使用されます。
Oracle Access Managerには、Oracle Identity Federation認証スキームが標準装備されています。このスキームは、使用する前に更新が必要です。スキームを更新するには、OAM管理ユーザーとして、http://admin.mycompany.com/oamconsoleのOAMコンソールにログインします。次の手順を実行します。
「ポリシー構成」タブをクリックします。
「共有コンポーネント」ツリーの下の「認証スキーム」を開きます。
「認証スキーム」の下の「OIFScheme」を選択し、メニューから「開く」を選択します。
「認証スキーム」ページで、次の情報を指定します。
チャレンジURL: https://sso.mycompany.com:443/fed/user/sposso
コンテキスト・タイプ: リストから「外部」を選択します。
その他の値にはすべてデフォルトを使用します。
「適用」をクリックしてOIFSchemeを更新します。
Oracle Access Managerで認証ポリシーを作成し、OIFがユーザーを認証できるようにします。認証ポリシーを作成するには、OAM管理ユーザーとして、http://admin.mycompany.com/oamconsoleのOAMコンソールにログインします。次の手順を実行します。
「ポリシー構成」タブをクリックします。
「アプリケーション・ドメイン」セクションの下のIAMスイートを開きます。
「認証ポリシー」をクリックし、メニューから「作成」を選択します。
「認証ポリシー」ページで次の詳細を指定します。
名前: 認証ポリシーの名前(例: OIF Policy)。
説明: ポリシーの説明。
認証スキーム: メニューからOIFスキームを選択します。
「適用」をクリックします。
テスト・ページを作成し、Oracle Identity FederationがOracle Access Managerと統合されていることを検証します。
WEBHOST1およびWEBHOST2のORACLE_INSTANCE/config/OHS/component/htdocsディレクトリに、次の内容でoif_sso.htmlというファイルを作成します。
<html> <body> <center> <p> <h2> OIF Protected Resource </h2> </p> </center> </body> </html>
Oracle Access Managerで保護するOracle Identity Federation URLのリソースを作成します。SPモードでは、Oracle Identity Federationはユーザーを認証し、その認証状態をOracle Access Managerに伝播します。ここで作成したリソースは、テストを目的としています。
リソースを作成するには、OAM管理ユーザーとして、http://admin.mycompany.com/oamconsoleのOAMコンポールにログインします。次の手順を実行します。
「ポリシー構成」タブをクリックします。
「アプリケーション・ドメイン」セクションの下のIAMスイートを開きます。
「リソース」,をクリックし、メニューから「オープン」を選択します。
IAMスイート・リソースページで「新規リソース」をクリックして、「リソース」ページを開きます。
「リソース」ページで、次の詳細を指定します。
タイプ: 「HTTP」を選択します。
ホスト識別子: IAMSuiteAgent
リソースURL: /oif_sso.html
保護レベル: 保護
認可ポリシー: 保護リソース・ポリシー
認証ポリシー: 第19.4.3.3項「Oracle Access ManagerでのOracle Identity Federation認証ポリシーの作成」で作成した認証ポリシーを選択します(例: OIF Policy)。
「適用」をクリックします。
Oracle WebGateにより保護されるOracle Identity Federationリソースは、認証のためOracle Access Managerに転送されます。SPモードでは、Oracle Identity Federationはユーザーを認証し、その認証状態をOracle Access Managerに伝播します。Oracle Identity Federationがユーザーを認証できるようにするには、認証のためユーザーをOracle Identity Federationにリダイレクトするように、Oracle Access Managerを構成する必要があります。このためには、Oracle Access Managerの委任認証プロトコル(DAP)パートナとしてOracle Identity Federationを登録します。
IDMHOST1で次の手順を実行し、Oracle Access ManagerのDAPパートナとしてOracle Identity Federationを登録します。
前の項で生成されたキーストアがIDMHOST1で使用可能であることを確認します。
IAM_ORACLE_HOME/common/binディレクトリからwlstシェルを起動します。たとえば、LinuxおよびUNIXベースのシステムでは次のように入力します。
./wlst.sh
Windowsでは次のように入力します。
./wlst.cmd
次のwlst connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect('AdminUser',"AdminUserPassword",t3://hostname:port')
次に例を示します。
connect("weblogic","admin_password","t3://ADMINVHN.mycompany.com:7001")
registerOIFDAPPartnerコマンドを使用して、Oracle Access ManagerのDAPパートナとしてOracle Identity Federationを登録します。
次に構文を示します。
registerOIFDAPPartner(keystoreLocation="path_to_keystore", logoutURL="OIF_logout_URL", rolloverTime="")
前述の内容に関する説明を次に示します。
path_to_keystoreは、IDMHOST1上のキーストア・ファイルの場所です(例: /u01/app/oracle/product/fmw/keystores/keystore)。
OIF_logout_URLは、OIFサーバーのログアウトURLです。ログアウトURLとして
https://oifhost:oifport/fed/user/spsloosso?doneURL=https://oamhost:oam port/oam/logout.jspを使用します。
oifhostおよびoamhostの値には、sso.mycompany.comを使用します。
oifportおよびoamportの値には、443を使用します。
rollover_timeは、SASSOトークンの暗号化または解読に使用される鍵のロールオーバー間隔です。
次に例を示します。
wls:/IDMDomain/serverConfig> registerOIFDAPPartner(keystoreLocation="/u01/app/oracle/product/fmw/keystores/keystore", logoutURL="https://sso.mycompany.com/fed/user/spsloosso?doneURL=https://sso.mycompany.com/oam/logout.jsp") Registration Successful
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従って、管理サーバーとOracle Access ManagerおよびOracle Identity Federationの管理対象サーバーを再起動します。
|
注意: すべてのOracle Access Manager管理対象サーバーを停止すると、WebLogic管理コンソールにはアクセスできなくなります。シングル・サインオンが構成されると、WebLogic管理コンソールへのアクセスはOracle Access Managerを介して制御されます。これには、少なくとも1つのOracle Access Manager管理対象サーバーが実行されている必要があります。 |
構成を検証する前に、プロバイダ・メタデータを取得し、プロバイダを登録します。検証では、Oracle Identity Federationは、アイデンティティ・プロバイダとサービス・プロバイダの両方として機能します。
次の手順を実行して、IdPおよびSPのメタデータを生成します。
WebLogic管理ユーザーとして、http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにログインします。次の手順を実行します。
「Identity and Access」の下で「Oracle Identity Federation」インスタンスを探し、これを選択します。
「管理」→「セキュリティおよび信頼」に移動します。
「プロバイダ・メタデータ」タブを選択します。
「メタデータの生成」セクションで、次の手順を実行します。
「プロバイダ・タイプ」リストから「サービス・プロバイダ」を選択します。
サービス・プロバイダの「メタデータの生成」をクリックします。
「ファイルの保存」オプションを使用して生成されたファイルを保存します。
「プロバイダ・タイプ」リストから「アイデンティティ・プロバイダ」を選択します。
アイデンティティ・プロバイダの「メタデータの生成」をクリックします。
「ファイルの保存」オプションを使用して生成されたファイルを保存します。
次の手順を実行し、前項で生成されたメタデータを使用してIdPプロバイダおよびSPプロバイダを登録します。
WebLogic管理ユーザーとして、http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにログインします。次の手順を実行します。
「Identity and Access」の下で「Oracle Identity Federation」インスタンスを探し、これを選択します。
「管理」→「フェデレーション」に移動します。
「信頼できるプロバイダ」の下で「追加」をクリックし、信頼できるプロバイダを追加します。
「信頼できるプロバイダの追加」ページで、次の手順を実行します。
「メタデータのロード」を選択します。
「ファイルの選択」をクリックし、第19.4.4.1項「プロバイダ・メタデータの生成」で生成されたSPおよびIdPのメタデータ・ファイルを選択します。
「フェデレーション」ページで、両方のプロバイダが「信頼できるプロバイダ」のリストに表示されていることを確認します。
次の手順を実行し、前項でデフォルトIdPとして登録されたアイデンティティ・プロバイダを設定します。
http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにログインします。
ここではWebLogic管理ユーザーとしてログインします。次の手順を実行します。
「Identity and Access」の下で「Oracle Identity Federation」インスタンスを探し、これを選択します。
「管理」→「サービス・プロバイダ」に移動します。
「デフォルトSSOアイデンティティ・プロバイダ」には、リストから上記で登録したIdPを選択します。「デフォルトSSOアイデンティティ・プロバイダ」は、「プロトコル設定」セクションの下にあります。
「適用」をクリックします。
SPモードでのOracle Access Managerとの統合をテストする際、Oracle Identity Federationを同時に同じリソースに対してサービス・プロバイダとアイデンティティ・プロバイダの両方として構成することはできません。SPモードの構成をテストする際、デフォルトの認証エンジンはLDAPエンジンに設定する必要があります。テストが完了したら、これをOracle Access Managerに再設定します。
SPモードまたはIdPモードのみでリソースを保護するようにOracle Identity Federationインスタンスを構成している場合は、この手順は必要ありません。
デフォルトの認証エンジンを設定するには、WebLogic管理ユーザーとして、http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにログインします。次の手順を実行します。
「Identity and Access」の下でOracle Identity Federationインスタンスを探し、これを選択します。
「管理」→「認証エンジン」に移動します。
「デフォルトの認証エンジン」として、リストから「LDAPディレクトリ」を選択します。
「適用」をクリックして変更を保存します。
デフォルトでは、デフォルトのSSOレスポンス・バインディングはSOAPプロトコルを使用するように設定されています。テストを容易にするために、このパラメータをHTTPポストに更新することをお薦めします。
デフォルトのSSOレスポンス・バインディングを設定するには、WebLogic管理ユーザーとして、http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにログインします。次の手順を実行します。
「管理」→「サービス・プロバイダ」に移動します。
「サービス・プロバイダ」ページでSAML 2.0タブを選択します。
「デフォルトSSOレスポンス・バインディング」の値を「HTTPポスト」に変更します。「デフォルトSSOレスポンス・バインディング」は、「プロトコル設定」セクションの下にあります。
「適用」をクリックして変更を保存します。
次の手順に従って、SPモード構成を検証します。
ブラウザを使用して、第19.4.2.2項「Oracle Access Managerでのリソースの作成」で作成した保護されているリソースにアクセスします(例: https://sso.mycompany.com/oif_sso.html)。
ログイン・ページでweblogic_idmユーザーの資格証明を入力します。
|
注意: このユーザーは、LDAPユーザー・レコードの |
保護されたリソースが表示されます。
第19.4.4.4項「デフォルトの認証エンジンのLDAPエンジンへの更新」では、SPモード構成の検証用に、デフォルトの認証エンジンをLDAPエンジンに設定しています。この設定は、Oracle Access Managerに戻す必要があります。
SPモードまたはIdPモードのみでリソースを保護するようにOracle Identity Federationインスタンスを構成している場合は、この手順は必要ありません。
デフォルトの認証エンジンを設定するには、WebLogic管理ユーザーとして、http://admin.mycompany.com/emのOracle Enterprise Manager Fusion Middleware Controlにログインします。次の手順を実行します。
「Identity and Access」の下でOracle Identity Federationインスタンスを探し、これを選択します。
「管理」→「認証エンジン」に移動します。
「デフォルトの認証エンジン」として、リストから「Oracle Access Manager」を選択します。
「適用」をクリックして変更を保存します。
次の手順に従って、認証モード構成を検証します。
https://sso.mycompany.com/fed/user/testspssoのSP SSOのテスト・ページにアクセスします。
「フェデレーションSSOの開始」ページで次の選択を行います。
「IdPプロバイダID」の値をリストから設定します(例: デフォルト)。
「認証リクエスト・バインディング」の値をリストから「HTTPポスト」に設定します。
「デフォルト構成を使用」を選択します。
「SSOの開始」をクリックします。
Oracle Access Managerログイン・ページでweblogic_idmユーザーの資格証明を入力します。
「フェデレーションSSO操作結果」ページが表示されます。このユーザーのSSO認証結果が正常であることを確認します。
Oracle Fusion Middleware監査フレームワークは、Oracle Fusion Middleware 11gで追加された新しいサービスであり、ミドルウェア製品ファミリの集中監査フレームワークです。このフレームワークでは、Oracle Platform Security Services(OPSS)やOracle Web Servicesなどのプラットフォーム・コンポーネントに対して監査サービスが提供されます。また、これは、Oracle固有のJavaEEコンポーネントをはじめ、様々なJavaEEアプリケーションのフレームワークとしても機能します。Java EEアプリケーションは、アプリケーション固有の監査イベントを作成できます。ミドルウェアのOracleコンポーネントのうちJavaEE以外のもの、たとえばCやJavaSEのコンポーネントについても、JavaEEアプリケーションと同様、エンドツーエンドのフレームワーク構造を実現します。
図19-1は、Oracle Fusion Middleware監査フレームワーク・アーキテクチャの概要図です。
Oracle Fusion Middleware監査フレームワークは、次の主要コンポーネントで構成されます。
監査API
Oracle Fusion Middleware監査フレームワークに統合される監査対象のすべてのコンポーネントのための監査フレームワークによって提供されるAPIです。これらのAPIは、実行中にアプリケーション・コード内で発生している特定イベントに関する必要な情報を監査するためにアプリケーションによってコールします。アプリケーションはこのインタフェースにより、監視対象イベントのコンテキストの提供に必要な、ユーザー名やその他属性などのイベント詳細を指定できます。
監査イベントと構成
Oracle Fusion Middleware監査フレームワークには、アプリケーション監査イベントへの便利なマッピングのために一連の汎用イベントが用意されています。これには認証などの一般的なイベントが含まれています。このフレームワークでは、アプリケーションでアプリケーション固有イベントも定義できます。
これらのイベント定義と構成は、Oracle Platform Security Servicesの監査サービスの一環として実装されます。構成は、Enterprise Manager(UI)およびWLST(コマンドライン・ツール)で更新できます。
監査バスストップ
バスストップは、監査リポジトリに送られる前の監査データを含むローカル・ファイルです。データベース・リポジトリが構成されていない場合には、バスストップ・ファイルをファイル・ベースの監査リポジトリとして使用できます。バスストップ・ファイルは、特定の監査イベントを検索するために簡単に問い合せられる単純なテキスト・ファイルです。DBベースのリポジトリが作成されると、バスストップはコンポーネントと監査リポジトリの間で仲介役を勤めます。ローカル・ファイルは構成された周期で定期的に監査リポジトリにアップロードされます。
監査ローダー
名前が示すように、監査ローダーは監査バスストップから監査リポジトリにファイルをロードします。プラットフォームおよびJavaEEアプリケーション監査の場合、監査ローダーはJavaEEコンテナの起動と同時に起動されます。システム・コンポーネントの場合、監査ローダーは定期的に発生するプロセスです。
監査リポジトリ
監査リポジトリには、リポジトリ作成ユーティリティ(RCU)によって作成された定義済Oracle Fusion Middleware監査フレームワーク・スキーマが含まれます。一度構成されると、すべての監査ローダーはリポジトリを認識し、それに定期的にデータをアップロードします。監査リポジトリ内の監査データは累積され時間の経過とともに増加します。リポジトリには、他のアプリケーションによって使用される運用データベースでなく、監査目的のみに使用されるスタンドアロンのRDBMSを使用する方が理想的です。高可用性構成の場合、監査データ・ストアとしてOracle Real Application Cluster(RAC)データベースの使用をお薦めします。
Oracle Business Intelligence Publisher
監査リポジトリ内のデータは、Oracle Business Intelligence Publisherの定義済レポートにより出力されます。このレポートでは、監査データを様々な条件に基づいてドリルダウンできます。次に例を示します。
ユーザー名
時間範囲
アプリケーションの種類
実行コンテキスト識別子(ECID)
Oracle Fusion Middleware監査フレームワークの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「Oracle Fusion Middleware監査フレームワークの概要」を参照してください。
Oracle Fusion Middleware監査フレームワーク用にリポジトリを構成する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「監査の構成と管理」を参照してください。
EDGトポロジには、Oracle Fusion Middleware監査フレームワーク構成が含まれていません。監査データをバスストップ・ファイルに生成する機能と監査ローダーの構成は、製品がインストールされた後に使用可能になります。主な留意点は、監査データを保管する監査データベース・リポジトリです。監査データのボリュームと履歴特性により、運用中のストアや他のミドルウェア・コンポーネントによって使用されるストアとは別のデータベースを使用することを強くお薦めします。
