| Oracle® Fusion Middleware Oracle Access Manager統合ガイド 11g リリース1 (11.1.1) B65043-01 |
|
 前 |
 次 |
この章では、認証済セッションを作成するためにOracle Access ManagerをOracle Identity Federationと統合する方法について説明します。
この章では、次の内容を説明します。
この項では、統合手順に関する背景について説明します。内容は次のとおりです。
Oracle Identity Federation
Oracle Identity Federationは、複数ドメインからなるアイデンティティ・ネットワークでのシングル・サインオンおよび認証を可能にする、スタンドアロンの自己完結型フェデレーション・サーバーです。
Oracle Identity Federationに付属のSP統合エンジンは、サーバーからのリクエストを処理してIdentity and Access Management (IAM)サーバーでユーザー用の認証済セッションを作成するサーブレットで構成されています。このエンジンには、Oracle Access Managerなどの異なるIAMサーバーとの相互作用を可能にする複数の内部プラグインが含まれています。
統合について
SPモード
このモードでは、Oracle Identity Federationによりユーザーを認証して認証状態をOracle Access Managerに伝播し、そこでセッション情報を維持します。
認証モード
このモードでは、Oracle Access Managerによりユーザーを認証します。
図4-1は、各モードの処理の流れを示しています。
SPモードでは、Oracle Identity Federationにより、フェデレーション・プロトコルを使用してユーザーを識別し、認証モジュールをリクエストしてOracle Access Managerで認証済セッションを作成します。SPモードで統合するには、「SPモードの統合手順」を参照してください。
認証モードでは、Oracle Access Managerにより、LDAPストア内でユーザー・アイデンティティを検索してセッションCookieを取得することによって、mod_ossoまたはOracle Access Manager 11g Webゲートのいずれかで保護されているリクエスト対象リソースにユーザーがアクセスできるようにします。認証モードで統合するには、「認証モードの統合手順」を参照してください。
Oracle Access ManagerをOracle Identity Federationに統合するのに必要なタスクは、両方のモードで似ていますが、いくつか異なる点があります。
SPモードの統合手順
SPモードの構成では、次のタスクを実行する必要があります。
Oracle WebLogic ServerおよびIdentity Management (IdM)コンポーネントなどの必要なコンポーネントがインストールされて稼働していることを確認します。
リソースを保護するため、Oracle HTTP ServerをパートナとしてOracle Access Managerに登録します。
詳細は、第4.2項を参照してください。
サービス・プロバイダ(SP)としてOracle Access Managerとともに機能するように、Oracle Identity Federationサーバーを構成します。
詳細は、第4.3.1項を参照してください。
認証をOracle Identity Federationに委任するように、Oracle Access Managerサーバーを構成します。
詳細は、第4.3.2項を参照してください。
統合をテストします。
詳細は、第4.5.1項を参照してください。
認証モードの統合手順
認証モードの構成では、次のタスクを実行する必要があります。
Oracle WebLogic ServerおよびIdentity Management (IdM)コンポーネントなどの必要なコンポーネントがインストールされて稼働していることを確認します。
リソースを保護するため、Oracle HTTP ServerをパートナとしてOracle Access Managerサーバーに登録します。
詳細は、第4.2項を参照してください。
アイデンティティ・プロバイダ(IdP)としてOracle Access Managerとともに機能するように、Oracle Identity Federationサーバーを構成します。
詳細は、第4.4項を参照してください。
統合をテストします。
詳細は、第4.5.2項を参照してください。
統合タスクを実行する前に、次のコンポーネントをインストールする必要があります。
Oracle WebLogic Server
Oracle HTTP Server 11g
Oracle Access Manager 11g
Oracle Identity Federation 11g
mod_osso (認証モードで必要)
|
注意: プラットフォームおよびバージョンの詳細は、Certification Matrixを参照してください。 |
|
関連項目: Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド |
Oracle WebLogic Server
管理サーバーと管理対象サーバーが起動しており、稼働中であることを確認します。
Oracle HTTP Server
テスト目的のため、保護するリソースを特定または作成します(たとえば、テスト・リソースとして扱うindex.htmlファイルを作成します)。
Oracle Identity Federation
次の形式のURLを使用して、Oracle Identity FederationサーバーのFusion Middleware Controlコンソールにアクセスします。
http://oif_host:oif_em_port/em
すべてのサーバーが実行されていることを確認します。
この項では、Oracle HTTP Serverと、選択した保護メカニズムに対応する11g Webゲートまたはmod_ossoのいずれかをOracle Access Managerに登録する方法について説明します。
この項は次のトピックで構成されています。
Oracle HTTP Serverとmod_ossoをOracle Access Managerに登録するには、次の手順に従います。
|
注意: MW_HOMEは、Oracle Fusion Middlewareホーム・ディレクトリを表します。 |
次のディレクトリでOSSORequest.xmlファイルを見つけます。
MW_HOME/Oracle_IDM1/oam/server/rreg/input
ホスト、ポートおよびエージェント名を適切な値に設定することによって、ファイルに必要な変更を加えます。このサーバー・アドレスはOracle Access Manager管理サーバー・アドレスであり、AgentBaseURLにはOracle HTTP Serverのホストおよびポートが指定されている必要があります。
次の場所にあるoamreg.shスクリプトを見つけます。
MW_HOME/Oracle_IDM1/oam/server/rreg/bin
次のコマンド文字列を使用してスクリプトを実行します(ユーザーはweblogicであり、パスワードを指定する必要があります)。
./oamreg.sh inband input/OSSORequest.xml
静的ディレクティブによりmod_ossoを構成します。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の静的ディレクティブによるmod_ossoの構成に関する項を参照してください。
手順3で実行したスクリプトにより、次のディレクトリにosso.confファイルが生成されます。
MW_HOME/Oracle_IDM1/oam/server/rreg/output/AgentName
次の場所にファイルをコピーします。
Oracle_WT1/instances/instance1/config/OHS/ohs1/moduleconf/osso/
次のディレクトリでmod_osso.confファイルを見つけます。
Oracle_WT1/instances/instance1/config/OHS/ohs1/moduleconf
次のディレクティブをファイルに追加します。
OssoSecureCookies offOssoConfigFile path_to_osso.conf_file
Locationタグを非コメント化し、保護されているリソース・パスを入力します。
認証モードの場合:
<Location /fed/user/authnosso> require valid-user AuthType Osso </Location>
SPモードの場合:
<Location /protected-url-context/protected-url-path>
require valid-user
AuthType Osso
</Location>
Oracle HTTP Serverを再起動します。
Oracle_WT1/instances/instance1/bin/opmnctl restartproc process-type=OHS
Oracle Access Manager 11g WebゲートをOracle Identity Federationと統合するには、次のタスクを実行する必要があります。
Oracleシングル・サインオン(OSSO) SPエンジンを使用して、SPモードでOracle Identity FederationをOracle Access Manager 11gと統合(第4.3項を参照)
OSSO SPエンジンでログアウトを有効化(認証エンジンではなくOSSO SPエンジンを使用して、Oracle Access Manager 11gとのログアウト統合が実行されます)
認証のため、Oracle HTTP ServerとOracle Access Manager 11g WebゲートをOracle Access Managerに登録するには、次の手順に従います。
|
注意: この手順において、MW_HOMEはOracle Fusion Middlewareホーム・ディレクトリを表します。 |
次のディレクトリにあるOAM11GRequest.xmlファイルまたはOAM11GRequest_short.xmlファイルを見つけます。
MW_HOME/Oracle_IDM1/oam/server/rreg/input
ファイルに必要な変更を加えます。
次のディレクトリにあるoamreg.shスクリプトを見つけます。
MW_HOME/Oracle_IDM1/oam/server/rreg/bin
次のコマンド文字列を使用してスクリプトを実行します。
|
注意: ユーザーはweblogicであり、パスワードを指定する必要があります。 |
./oamreg.sh inband input/OAM11GRequest.xml
または
./oamreg.sh inband input/OAM11GRequest_short.xml
Oracle Access Managerコンソールを使用して、認証用のOracle Access Managerで保護するOracle Identity Federation URLを表すリソースを作成します。このURLには、Oracle Identity Federationサーバーのホスト名とポート、およびリソースへのパス(モードによって異なります)が含まれます。
たとえば、認証モードの場合は次のようになります。
https://oif-host:oif-port/fed/user/authnoam
また、SPモードの場合は次のようになります。
https://oif-host:oif-port/protected-url-path
認証ポリシーおよび認可ポリシーにより、このリソースを保護します。
Oracle HTTP Serverを再起動します。
Oracle_WT1/instances/instance1/bin/opmnctl restartproc process-type=OHS
この項では、Oracle Identity FederationがSPとして動作するようにOracle Identity FederationおよびOracle Access Managerを統合するための残りの手順について説明します。
この項は次のトピックで構成されています。
SPとして動作させる場合、次の手順に従ってOracle Identity Federationを構成します。
次の手順に従って、それぞれIdPおよびSPでメタデータを生成します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「セキュリティおよび信頼」にナビゲートします。
「プロバイダ・メタデータ」タブをクリックします。
ページの「メタデータの生成」セクションで、「プロバイダ・タイプ」ドロップダウンを使用して「サービス・プロバイダ」を選択します。
「生成」をクリックします。これにより、サービス・プロバイダのメタデータが作成されます。
手順4および5を繰り返し、アイデンティティ・プロバイダのメタデータを生成します。
次の手順に従って、プロバイダを登録します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「フェデレーション」にナビゲートします。
「追加」をクリックします。「信頼できるプロバイダの追加」ダイアログが表示されます。
「メタデータのロード」ボックスを選択します。
「ファイルの選択」をクリックし、第4.3.1.1項「プロバイダ・メタデータの生成」でIdP用に生成したメタデータ・ファイルを選択します。
SPについて、メタデータをロードする手順を繰り返します。
信頼できるプロバイダのリストに両方のプロバイダが表示されていることを確認します。
次の手順に従って、データ・ストアを構成します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「データ・ストア」の順にナビゲートします。
この例のように、ユーザー・データ・ストアの詳細を指定します。
このタスクでは、ユーザー・データ・ストアを指すように認証エンジンを構成し、そのストアに対してユーザーを検証するためにOracle Identity Federationを有効化しています。
詳細は、第4.4.4項を参照してください。
このタスクでは、前のタスクでデフォルトIdPとして作成したアイデンティティ・プロバイダ(IdP)を設定します。次の手順に従って次のタスクを実行します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「サービス・プロバイダ」にナビゲートします。
「サービス・プロバイダの有効化」ボックスを選択します。
「デフォルトSSOアイデンティティ・プロバイダ」に、第4.3.1.2項「プロバイダの登録」で設定したIdPを指定します。
「適用」をクリックします。
IdP/SPメタデータを生成してそれらのモジュールを登録したら、統合に向けたOracle Identity Federation構成の最後のタスクとして、Oracle Identity Federationでアサーション・トークンを送信してセッション管理をOracle Access Managerに転送できるように、Oracle Access Managerサーバーの詳細を指定します。
必要な手順は次のとおりです。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「サービス・プロバイダ統合モジュール」にナビゲートします。
「Oracleシングル・サインオン」タブを選択します。
ページを次のように構成します。
「デフォルトSP統合モジュール」ドロップダウンで、「Oracleシングル・サインオン」を選択します。
「SPモジュールの有効化」ボックスを選択します。
「ログアウト有効」ボックスを選択します。
次のURLを構成します。
Login URL : http://oam_host:oam_port/oam/server/dap/cred_submit Logout URL : http://oam_host:oam_port/oam/server/logout
ここで、「oam_host」および「oam_port」は、それぞれOracle Access Managerサーバーのホストおよびポート番号です。
Oracle Access Managerのユーザー名属性に対応させるため、「ユーザー名属性」の値を「cn」に設定します。
「再生成」をクリックします。
この操作により、Oracle Access ManagerサーバーとOracle Identity Federationサーバーとの間で交換されるトークンの暗号化と復号化のための鍵を含むキーストア・ファイルが生成されます。
「別名保存」ダイアログを使用してキーストア・ファイルを保存することを忘れないでください。
キーストア・ファイルをOracle Access Managerのインストール・ディレクトリ内の場所にコピーします。
|
注意: 後で参照する必要があるため、この場所をメモします。 |
第4.2項「Oracle Access ManagerへのOracle HTTP Serverの登録」のタスクを実行した結果、クライアントは、保護されたリソースにアクセスしようとすると認証のためにOracle Access Managerに転送されます。
統合手順の最後のタスクでは、認証のためにユーザーをOracle Identity FederationにリダイレクトするようにOracle Access Managerを構成します。必要な手順は次のとおりです。
Oracle Access Manager管理コンソールにログインします。
「ポリシー構成」タブを選択します。
「認証スキーム」ドロップダウンで「OIFScheme」を選択することによって、リソースを保護します。
「適用」をクリックします。
認証スキームを更新します。
「ポリシー構成」タブの「共有コンポーネント」ツリーで、「認証スキーム」を選択し、OIFSchemeを選択します。
次の操作を行います。
「チャレンジURL」フィールドで、OIFHostおよびportの値を変更します。
「コンテキスト・タイプ」ドロップダウンの値がexternalに設定されていることを確認します。
「適用」をクリックして変更を保存します。
Oracle Access ManagerサーバーがインストールされているMiddlewareホーム内のディレクトリにキーストア・ファイルをコピーします。
WLSTコマンドを使用して、oam-config.xml構成ファイル内のOIFDAPパートナ・ブロックを更新します。構文は次のとおりです。
次のコマンドを実行して、シェル環境に入ります。
$DOMAIN_HOME/common/bin/wlst.sh
次のコマンド構文により、Oracle Access Manager管理サーバーに接続します。
connect('weblogic','password','host:port')
次のコマンドを実行して、構成ファイル内のパートナ・ブロックを更新します。
registerOIFDAPPartner(keystoreLocation=location of keystore file, logoutURL=logoutURL)
ここで、logoutURLは、Oracle Access Managerサーバーがユーザーをログアウトさせるときに起動する、Oracle Identity FederationのログアウトURLです。
次に例を示します。
registerOIFDAPPartner(keystoreLocation="/home/pjones/keystore", logoutURL="http://abcdef0123.in.mycorp.com:1200/fed/user/spsloosso?doneURL= http://abc1234567.in.mycorp.com:6001/ngam/pages/logout.jsp")
フェデレーテッド・ユーザーをLDAPディレクトリに追加します。
次の構文により、Oracle Access Manager管理コンソールにアクセスします。
http://weblogic_host:weblogic_admin_port/console
「セキュリティ・レルム」→「ユーザーとグループ」→「新規」にナビゲートし、新しいユーザーを作成します。
|
注意: Oracle Identity FederationとOracle Access Managerの両方で、このユーザーを識別できる必要があります(つまり、第4.3.1.4項で認証エンジンに対して構成したデータ・ストアには、このユーザーが含まれている必要があります)。 |
管理サーバーおよび管理対象サーバーを再起動します。
検証
前述の手順7で行った操作を検証するには、$OAM_HOME/oam/server/config/oam-config.xmlファイルを調べて、OIFDAPPartnerブロック内のプロパティがその手順で指示されたとおりに更新されていることを確認します。ログアウトURLの形式は次のとおりです。
http://oifhost:oifport/fed/user/spsloosso?doneURL=URLEncoded(host:port/ngam/pages/logout.jsp
構成が正しい場合、Oracle Access Managerからログアウトが開始されると、Oracle Identity Federationでログアウトが実行されます。
IdPとして動作させる場合、次のタスクを実行してOracle Identity Federationを構成する必要があります。
次の手順に従って、プロバイダ・メタデータを生成します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「サーバー・プロパティ」にナビゲートします。
ホスト名およびポート番号をそれぞれOracle HTTP Serverのホストおよびポートに変更します。
変更を保存します。
「管理」→「セキュリティおよび信頼」にナビゲートします。
「プロバイダ・メタデータ」タブをクリックします。
ページの「メタデータの生成」セクションで、「プロバイダ・タイプ」ドロップダウンを使用して「アイデンティティ・プロバイダ」を選択します。
「生成」をクリックします。これにより、アイデンティティ・プロバイダのメタデータが作成されます。
次の手順に従って、プロバイダを登録します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「フェデレーション」にナビゲートします。
「追加」をクリックします。「信頼できるプロバイダの追加」ダイアログが表示されます。
「メタデータのロード」ボックスを選択します。
「ファイルの選択」をクリックし、第4.4.1項でIdP用に生成したメタデータ・ファイルを選択します。
SPについて、メタデータをロードする手順を繰り返します。
信頼できるプロバイダのリストに両方のプロバイダが表示されていることを確認します。
この手順の詳細は、第4.3.1.3項を参照してください。
このタスクは、OSSOエージェントまたはOracle Access Manager 11g Webゲート・エージェントのどちらを構成するかによって異なります。
OSSOエージェントの構成手順は次のとおりです。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「認証エンジン」にナビゲートします。
「デフォルトの認証エンジン」ドロップダウンで、「Oracleシングル・サインオン」を選択します。
「適用」をクリックします。
Oracle Access Manager 11g Webゲートにより、mod_ossoを使用せずにWebゲートを通じてユーザー・チャレンジを行って、Oracle Identity Federationを保護することもできます(この場合、Oracle Identity FederationのOracle Access Manager認証エンジンが統合に使用されます)。
WebゲートをOracle Identity Federationと統合するには、次のタスクを実行する必要があります。
OSSO SPエンジンを使用して、SPモードでOracle Identity FederationをOracle Access Manager 11gと統合(第4.3項を参照)
OSSO SPエンジンでログアウトを有効化(認証エンジンではなくOSSO SPエンジンを使用して、Oracle Access Manager 11gとのログアウト統合が実行されます)
Webゲート11gエージェントの構成手順は次のとおりです。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「認証エンジン」にナビゲートします。
Oracle Access Manager認証エンジンを有効化します。
「ユーザーの一意IDヘッダー」としてOAM_REMOTE_USERを入力します。
「デフォルトの認証エンジン」ドロップダウン・リストで、「Oracle Access Manager」を選択します。
Oracle Access Manager 11gとのログアウト統合がOSSO SPエンジンで実行されるため、ログアウトを無効化します。
「適用」をクリックします。
最後の構成タスクでは、統合が正しく構成されているかどうかをテストします。この手順は、認証モードとSPモードとの間で異なります。
次の手順に従って、SPモードで構成が正しいかどうかをテストします。
保護されたリソースにアクセスしてみます。
設定が正しい場合は、Oracle Identity Federationログイン・ページにリダイレクトされます。このページでユーザー資格証明が必要であることを確認します。
ログイン・ページで有効な資格証明を入力します。
|
注意: ユーザーは、Oracle Identity Federationデータ・ストアとOracle Access Managerストアの両方に存在する必要があります。 |
保護されたページにリダイレクトされたことを確認します。
次のCookieが作成されたことを確認します。
OAM_ID ORA_OSFS_SESSION OHS Cookie
次の手順に従って、認証モードで構成が正しいかどうかをテストします。
SPテスト・ページからシングル・サインオン(SSO)を開始します。
IdPでOracle Access Managerログイン・ページにリダイレクトされたことを確認します。このページでは、ユーザー資格証明がリクエストされます。
関連する資格証明を入力し、ページを処理します。
SPテスト結果ページにリダイレクトされたことを確認します。
