G IPv6クライアント用のOAM 11gの構成

Oracle Access Manager 11gおよびその依存関係の間の内部通信ではInternet Protocol Version 4(IPv4)が使用されます。しかし、外部通信はOracle HTTP Serverとmod_wl_ohsプラグインを使用するIPv6でサポートされます。

この付録の内容は次のとおりです。

• 前提条件

• Oracle Access Manager 11gおよびIPv6の概要

• IPv6の構成: OAM 11gおよびWebgate用の別個のプロキシ

前提条件

Oracle Access ManagerをIPv6クライアントとともに使用する方法にかかわらず、ここでのアクティビティを開始する前に、次のタスクを完了する必要があります。

• Oracle HTTP Serverインスタンスは逆プロキシとして動作するようにWebサーバーにインストールされる必要があります(10gおよび11g Webgateに必要)。

• 『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従い、Oracle Access Managerをインストールする必要があります。

関連項目: IPv6クライアント用のOAM 10g Webgateの構成の詳細は、『Oracle Fusion Middleware管理者ガイド』のネットワーク構成の変更の章のIPV6の使用に関する項を参照してください。 『Oracle HTTP Server管理者ガイド』

Oracle Access Manager 11gおよびIPv6の概要

いくつかある機能の中で、IPv6はIPv4(32ビット)よりも大きなアドレス領域をサポートし、Web上でアドレス可能なコンピュータ数を指数関数的に増加させます。IPv6はOracle HTTP Serverとmod_wl_ohsプラグインとともに有効になります。

OAMサーバーとWebgate (10gおよび11g)は、IPv4のみに使用します。しかし、IPv6クライアントはIPv4/IPv6二重スタック・ホスト上の逆プロキシを介して、IPv4でWebgateにアクセスできます。

注意: 逆プロキシ・サーバーを設定することで、IPv6をサポートするクライアントとともにOracle Access Manager 11gが動作するように構成できます。

IPV4/IPV6でのOAMのサポートされるトポロジの概要を次のリストに示します。

トポロジ

• Webgate 10gまたはWebgate 11gとIPv4プロトコル・ホスト上の保護されたアプリケーション

• 二重スタック・ホスト上のOHS逆プロキシ

• IPv6プロトコル・ホスト上のクライアント

• OAMサーバー・プロキシ

IPv6クライアントはWebgate 10gまたはWebgate 11gに、OHSリバース・プロキシを介してアクセスできます。

注意: OAMサーバーが実行していない場合、WebLogic管理コンソールへのログインは正常に終了します。しかし、OAMサーバーが実行している場合、アイデンティティ・ストアが初期化されていないため、WebLogic管理コンソールへのログインはOAMサーバーにリダイレクトされ、認証は失敗します。アイデンティティ・ストア用のIPV6はまだサポートされていません。

詳細は、次を参照してください。

• OAM 11gでのIPv6とチャレンジ・リダイレクトの構成

• 考慮事項

OAM 10g Webgateの構成を含む、サポートされるすべてのトポロジについては、『Oracle Fusion Middleware管理者ガイド』のネットワーク構成の変更の章のIPV6の使用に関する項を参照してください。

OAM 11gでのIPv6とチャレンジ・リダイレクトの構成

図G-1は、1つのIPv6からIPv4へのプロキシ(構成されたホストmyssohostおよびmyapphostは、別個のプロキシを使用できる)を使用した構成を示します。

OAM 11gでは、仮想ホスト名はIPアドレスではなくホスト名として指定する必要があります(myapphost.foo.comなど)。リダイレクト・ホスト名(例: myssohost.foo.com)も、IPアドレスではなく、ホスト名として指定する必要があります。IPv6アドレスはWebgate登録には指定できません。

注意: OAM 11gでは、WebgateまたはリソースWebgateの認証の概念は存在しません。そのかわりに、11g Webgateまたは10g Webgateのいずれであっても、リダイレクト先は常にOAMサーバーです。

図G-1 OAM 11gでのIPv6とチャレンジ・リダイレクトの構成

「図G-1 OAM 11g用のIPv6の構成とチャレンジ・リダイレクト」の説明

図G-1に示すように、IPv6ネットワークはIPv6/IPv4プロキシと通信し、次にOracle HTTP ServerとIPv4を使用して通信します。Webgate、Oracle Access Manager ServerおよびOracle WebLogic Serverとアイデンティティ・アサータは、すべてIPV4を使用して互いに通信します。

IPv6ネットワーク上のブラウザからIPv6サーバー・ホスト(myapphost.foo.com)へのアプリケーションにアクセスし、IPv6 myssohost.foo.comへのリダイレクトによりログインできるようにする必要があります。

考慮事項

次の考慮事項が目的の使用シナリオに適用されます。

• IP検証はデフォルトでは機能しません。IP検証を有効にするには、Oracle Access Managerコンソールで、プロキシ・サーバーのIPアドレスをWebgateのIPValidationExceptionパラメータの値として追加する必要があります。

  
  

  関連項目: 「OAM 11gでのシングル・サインオン」

  
  

• IPアドレスベースの認可は、すべてのリクエストがその目的で動作していない1つのIP(プロキシIP)を経由するため、動作しません。

• ipValidationExceptionはIPValidationがオンの場合(パラメータ"ipValidation"=1)に必要です。しかし、このパラメータはOracle Access Managerコンソールまたはリモート登録ツールのいずれを使用しても追加できません。そのかわりに、プロキシのIPをoam-config.xmlファイル内のプロキシの単一値のユーザー定義パラメータとして追加する必要があります。

IPv6の構成: OAM 11gおよびWebgate用の別個のプロキシ

OAM 10gでは、リソースWebgate構成(リダイレクトする)と認証Webgate構成が提供されました。OAM 11g資格証明コレクタはOAM 10g認証Webgateの機能を置き換えて実行します。

注意: OAM 11gでは、10g Webgateは常に、以前の"認証"Webgateのような働きをするOAM 11g資格証明コレクタにリダイレクトします。

この構成では複数のプロキシがあります。たとえば、OAMサーバーに個別のプロキシがあり、Webgateには別のプロキシがあります。

IPv6ホストへのログイン・リダイレクトを含む、IPv4ネットワーク上のブラウザから直接IPv4サーバー・ホスト名へのアプリケーションにアクセスできます。次に例を示します。

Webgateはhttp://myapphostv4.foo.com/にあります
OAMサーバーはhttp://myssohostv4.foo.comにあります

myapphostv4.foo.comに使用するプロキシはmyapphost.foo.comにする必要があります
myssohostv4.foo.comに使用するプロキシはmyssohost.comにする必要があります

注意: IPv6プロキシ名をWebgate登録の優先HTTPホストとして使用することはできません。

OAM 11gでは、Webgate (11gまたは10g)は常にobrareq.cgiにリダイレクトするため、ProxyRequestsパラメータは"On"であることが必要です。このディレクティブによりプロキシはフォワード・プロキシとして動作します。

優先httpホストはWebgateをホストしているWebサーバーのhost:portに設定される必要があります(またはWebgateをホストしているWebサーバーが仮想ホスト用に構成されている場合はSERVER_NAME)。

IPValidationがONの場合、IPValidationExceptionがプロキシに対し追加される必要があります。

逆プロキシが構成されてSSL終了を実行する場合、ユーザー定義のWebgate proxySSLHeaderVarパラメータがリモート登録中に定義される必要があります。「表10-4 リモート登録リクエストの共通の要素」で説明しているとおり、このパラメータはWebgateが逆プロキシの背後に置かれている場合に使用されます。proxySSLHeaderVarパラメータの値はプロキシが設定する必要のあるヘッダー変数の名前を定義します。ヘッダー変数の値は"ssl"または"nonssl"である必要があります。ヘッダー変数が設定されていない場合、SSL状態は現在のWebサーバーのSSL状態によって決まります。構文は次のとおりです。

<name>proxySSLHeaderVar</name>
<value>IS_SSL</value>   

ロード・バランシング・ルーター(逆プロキシWebサーバー)の設定を変更し、IS_SSL値をsslに設定するHTTPヘッダー文字列を挿入します。たとえば、F5ロード・バランサ、拡張プロキシ設定で、HTTPヘッダー文字列IS_SSL:sslを追加します。

次の手順で、OHS_hostおよびOHS_portはWebgate用に構成された実際のOracle HTTP Serverのホスト名およびポートです。ご使用の環境に適した値を使用するようにしてください。実際の値はこれとは異なります。

前提条件

逆プロキシ用のOHS Webサーバーをインストールおよび構成します。プロキシごとに別のWebサーバー・インスタンスがあることを確認します。

OAM 11gおよびWebgate用に別個のプロキシを使用するIPv6を構成する手順

1. OAM 11gサーバーおよびWebgateへのmod_proxyの有効化: Oracle HTTP Server 11gリリース1 (11.1.1)または複数のプロキシ用の別のサーバー)を次のように構成します。

   1. 次のコマンドを使用して、対応するプロキシ・インスタンス用のOracle HTTP Serverを停止します。

      opmnctl stopproc ias-component=<OHS instance name>
      

   2. OHSインスタンスの次のファイルを、対応するプロキシ用に編集します。

      UNIX: ORACLE_INSTANCE/config/OHS/ohs_name1/httpd.conf
      Windows: ORACLE_INSTANCE\config\OHS\ohs_name1\httpd.conf
      

   3. OAM 11gサーバーへのプロキシ: 環境に応じて次の情報をhttpd.confファイルに追加してmod_proxyを有効にします。次に例を示します。

      <IfModule mod_proxy.c>
      ProxyRequests On
      ProxyPreserveHost On
      
      ProxyPass / http://<oam_server_host:port>/
      ProxyPassReverse / http://<oam_server_host:port>/
      </IfModule>
      

   4. 11g Webgateへの逆プロキシ: 次のように環境に応じた情報をhttpd.confファイルに追加してmod_proxyを有効にします。

      <IfModule mod_proxy.c>
      ProxyRequests On
      ProxyPreserveHost On
      
      ProxyPass / http://<webgate_OHS_host:port>/
      ProxyPassReverse / http://<webgate_OHS_host:port>/
      </IfModule>
      

   5. 次のコマンドを使用してOracle HTTP Serverを再起動します。

      opmnctl startproc ias-component=<OHS instance name>
      

2. 認証スキームで、チャレンジ・リダイレクトURLをttp://<oam_server_proxy_host:port>/oam/serverに変更します。

3. 各Webgateの優先HTTPホストを、WebgateをホストしているWebサーバーのhost:portに(またはWebgateをホストしているWebサーバーが仮想ホスティング用に構成されている場合はSERVER_NAMEに)設定してください。

   
   

   注意: リモート登録中に*Request.xml入力の適切なフィールドを使用して、または次に示すようなOracle Access Managerコンソールを使用して、優先HTTPホストを指定できます。「リモート登録リクエスト・ファイルについて」も参照してください。

   
   

   1. Oracle Access Managerコンソールにログインします。次に例を示します。

           http://hostname:port/oamconsole
      

   2. 「システム構成」、「Access Managerの設定」、「SSOエージェント」、「OAMエージェント」をクリックします。

   3. 「検索結果」表でエージェントを見つけてその名前をクリックして、登録ページを表示します。

   4. 優先HTTPホスト: このWebgate用に構成されているOracle HTTP Server Webサーバーの名前です。たとえば、Webgateがmyapphostv4.foo.comにデプロイされている場合、myapphostv4.foo.comを優先HTTPホストとして使用する必要があります。

      
      

      関連項目: 「リモート登録リクエスト・ファイルについて」 「仮想Webホスティングについて」

      
      

   5. 「適用」をクリックします。

4. 各Webgateに対して手順を繰り返し、このWebgate用に構成されているOracle HTTP Server Webサーバーの名前を指定します。

5. IPValidationException: IPValidationがOn(パラメータ"ipValidation"=1)の場合、プロキシのIPをoam-config.xmlファイル内のプロキシの単一値のユーザー定義パラメータとして追加する必要があります。

   1. すべてのOAMサーバーおよびAdminServerを停止します。

   2. 次のパスでoam-config.xmlを見つけます。

      <WLS_DOMAIN_HOME>/config/fmwconfig/oamconfig.xml

   3. 次の情報を入力します。

      <Setting Name="ipValidationExceptions"Type="xsd:string"> 10.1.1.1</Setting>
      

   4. ファイルを保存します。

   5. OAMサーバーおよびAdminServerを再起動します。

   6. 逆プロキシが構成されてSSL終了を実行する場合、Webgateのユーザー定義のproxySSLHeaderVarパラメータが定義される必要があります(デフォルトは"IS_SSL")。ロード・バランシング・ルーター(逆プロキシWebサーバー)の設定を変更し、IS_SSL値をsslに設定するHTTPヘッダー文字列を挿入します。たとえば、F5ロード・バランサ、拡張プロキシ設定で、HTTPヘッダー文字列IS_SSL:sslを追加します。