| Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド 11gリリース2(11.1.2) B69539-01 |
|
 前 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド 11gリリース2(11.1.2) B69539-01 |
|
前 |
この章では、Sun Java System Access Manager 7.1からOracle Access Management Access Manager 11.1.2に移行した後、Sun Java System Access Manager 7.1とOracle Access Management Access Manager(Access Manager)11gリリース2(11.1.2)のデプロイメントが共存する環境の設定方法について説明します。
この章は次の項で構成されています:
Sun Java System Access Manager 7.1からOracle Access Manager 11.1.2への移行プロセス時に、一部のアプリケーションはSun Java System Access Manager 7.1で保護され、その他のアプリケーションはAccess Manager 11.1.2で保護されるようにSun Java System Access Manager 7.1とAccess Manager 11gの両方のデプロイメントを共存できます。エンドユーザーがこれらのアプリケーション間を移動する場合、シームレスなシングル・サインオンの経験があることが望まれます。これを共存モードと言います。
このモードでは、Access Manager 11.1.2は、移行したアプリケーションや、Access Manager 11.1.2に登録された新しいアプリケーションを保護し、Sun Java System Access Manager 7.1は、Access Manager 11.1.2に移行されないアプリケーションを引き続き保護します。
この共存モードでは、Sun Java System Access Manager 7.1は、Access Manager 11.1.2で保護されるすべてのリソースの認証を行います。
図19-1に、保護されているリソースへのアクセスをユーザーがリクエストする際にSun Java System Access Manager 7.1サーバーで行われる認証を示します。
図19-1 Sun Java System Access Manager 7.1とAccess Manager 11.1.2の共存
トポロジは、Sun Java System Access Manager 7.1とAccess Manager 11.1.2の非結合環境で構成されます。トポロジ内の数字1-8は、共存環境でリクエストがフローする順序を示しています。リクエスト・フローについては、「表19-1」を参照してください。
トポロジの説明
Agent-1: Resource-1を保護するポリシー・エージェント2.2です。このエージェントは、Access Manager 11.1.2サーバーと通信する必要があります。そのため、このエージェントのプロファイルをSun Java System Access Manager 7.1サーバーからAccess Manager 11.1.2サーバーに移行するか、Resource-1を保護するポリシー・エージェント3.0をインストールできます。
Agent-2: Sun Java System Access Manager 7.1に登録されるポリシー・エージェント2.2です。これは、Access Manager 11.1.2サーバーのエンドポイントURLを保護します。Sun Java System Access Manager 7.1サーバーでこのエージェント用のプロファイルを作成し、新しいポリシー・エージェント(2.2)をインストールする必要があります。
Agent-3およびAgent-4: Sun Java System Access Manager 7.1に登録されるポリシー・エージェント(2.2)です。
Resource-1: Access Manager 11.1.2サーバーと通信するAgent-1で保護されるリソースです。
Policy-1: Resource-1を保護するためにAccess Manager 11.1.2サーバーで作成されるポリシーです。このポリシーは、「Resource-1を保護する認証ポリシーのAccess Manager 11.1.2での作成」タスクの一環で作成されます。
Policy-2: Agent-2で保護されるAccess Manager 11.1.2のOpenSSOプロキシ・エンドポイント用にSun Java System Access Manager 7.1サーバーで作成されるポリシーです。このポリシーは、「Agent-2によるAccess Manager 11gサーバーのエンドポイントURLの保護」タスクの一環で作成されます。
表19-1は、リクエスト・フローの説明です。手順列の数字は、図19-1のトポロジに示される数字と対応しています。
表19-1 リクエスト・フロー
| 手順 | 説明 |
|---|---|
|
1 |
Access Manager 11.1.2サーバーと通信する |
|
2 |
|
|
3 |
Access Manager 11.1.2サーバーのエンドポイントは、Sun Java System Access Manager 7.1サーバーと通信する したがって、 |
|
4 |
Sun Java System Access Manager 7.1サーバーのLDAP認証モジュールによって、LDAPのユーザー名とパスワードの入力が求められます。ユーザーはLDAPの有効な資格証明を入力する必要があります。 |
|
5 |
Sun Java System Access Manager 7.1サーバーは、ユーザーの資格証明を検証し、ユーザー・セッションをOpenSSO Enterprise 8.0セッションとして作成して、OpenSSO Enterprise 8.0のSSO cookie1をこのセッションIDで設定します。 |
|
6 |
Sun Java System Access Manager 7.1サーバーは、ユーザーをAccess Manager 11.1.2サーバー( |
|
7 |
Access Manager 11.1.2サーバーは、手順2( |
|
8 |
Access Manager 11.1.2サーバーは、Access Managerのセッションを作成してヘッダーを設定します。また、OAM_IDのCookieとSun Java System Access ManagerのSSO cookie2(OpenSSOプロキシ経由)も設定し、ユーザーを
|
表19-2に、共存環境の構成手順を示します。
表19-2 完了するタスク
| タスク番号 | タスク | 参照先 |
|---|---|---|
|
1 |
構成プロセスを開始する前に、共存トポロジを理解して精通しておきます。 |
「共存のトポロジ」を参照してください。 |
|
2 |
前提条件を満たします。 |
「前提条件の完了」を参照してください。 |
|
3 |
Sun Java System Access Manager 7.1サーバーで また、Sun Java System Access Manager 7.1で、 |
|
|
4 |
Access Manager 11.1.2のデータ・ソースを構成します。 |
「Access Manager 11.1.2のデータ・ソースの構成」を参照してください。 |
|
5 |
Access Manager 11gで認証モジュールを更新し、第19.6項で構成されるデータ・ソースを示すようにユーザー・アイデンティティ・ストアを指定します。 |
|
|
6 |
|
「Agent-1のプロファイルのSun Java System Access Manager 7.1からAccess Manager 11.1.2への移行」を参照してください。 |
|
7 |
Access Manager 11.1.2サーバーで、 |
|
|
8 |
Access Manager 11gとSun Java System Access Manager 7.1のCookie名が異なるように、Access Manager 11.1.2のデフォルトのCookie名を変更します。 |
|
|
9 |
Sun Java System Access Manager 7.1サーバーで、 |
「Sun Java System Access Manager 7.1サーバーでのAgent-2のプロファイルの更新」を参照してください。 |
|
10 |
Sun Java System Access Manager 7.1サーバーとAccess Manager 11.1.2サーバーの両方からログアウトを開始するように、ログアウト設定を構成します。 |
「ログアウト設定の構成」を参照してください。 |
|
11 |
構成を確認します。 |
「構成の確認」を参照してください。 |
この章で説明するタスクの実行を開始する前に、次の前提条件を満たします。
Oracle Fusion Middlewareのシステム要件および仕様のドキュメントを読み、インストール、アップグレードおよび移行を行う製品の最小要件を環境が満たしていることを確認します。
|
注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。 |
使用しているSun Java System Access Managerのリリースが共存でサポートされていることを確認します。OpenSSOの共存がサポートされている開始ポイントの詳細は、第11.9項「Sun Java System Access ManagerとOracle Access Management Access Manager 11.1.2の共存がサポートされている開始ポイント」を参照してください。
Sun Java System Access Manager 7.1とOracle Access Management Access Manager 11gリリース2(11.1.2)のインストールが完了し、サーバーが動作していることを確認します。
Oracle Access Management Access Manager 11gリリース2(11.1.2)のインストールと構成を行っていない場合、次のタスクを開始する前にこれらの作業を行う必要があります。Oracle Access Management Access Manager 11gリリース2(11.1.2)のインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management(11.1.2.0.0)のインストールに関する項とOracle Access Managementの構成に関する項を参照してください。
Sun Java System Access Manager 7.1およびAccess Manager 11.1.2が同じユーザー・ストアを共有することを確認します。
Sun Java System Access Manager 7.1サーバーおよびAccess Manager 11.1.2サーバーが異なるマシンで動作している場合は、これらのマシンの時刻が同期するようにします。
Sun Java System Access Manager 7.1でAgent-2のプロファイルを作成し、Access Manager 11.1.2サーバーのエンドポイントURLを保護するポリシー・エージェント2.2を新規でインストールする必要があります。また、Sun Java System Access Manager 7.1サーバーでAccess Manager 11gサーバーのエンドポイントURLを保護するためのポリシーも作成する必要があります。そのためには、次のタスクを実行します。
Sun Java System Access Manager 7.1サーバーでのAccess ManagerのAgent-2プロファイルの作成
Sun Java System Access Manager 7.1サーバーでのAccess Managerのポリシーの作成
(図19-1に示すように)Sun Java System Access Manager 7.1サーバーでAgent-2プロファイルを作成するには、次の手順を実行します。
次のURLを使用してSun Java System Access Manager 7.1サーバーのコンソールにログインします。
http://host:port/amserver
このURLの内容は、次のとおりです。
hostは、Sun Java System Access Manager 7.1コンソール(管理サーバー)をホストするマシンの完全修飾ドメイン名を表します。
portは、Sun Java System Access Manager 7.1コンソールに指定されたバインド・ポートを表します。
「アクセス制御」タブに移動します。
「レルム」表で、「レルム名」列の一番上のレルムをクリックします。
「サブジェクト」タブに移動して、「エージェント」タブをクリックします。
「新規」をクリックして新しいAgent-2を作成し、そのエージェントに関する必要な詳細を指定します。
「OK」をクリックします。
Access Managerの前にAgent-2(ポリシー・エージェント2.2)をインストールします。
ポリシー・エージェント2.2のインストールの詳細は、Sun Java System Access Managerポリシー・エージェント2.2ガイド(BEA WebLogic Server/ポータル10)のWebLogic Server/ポータル10のポリシー・エージェントのインストールに関する項を参照してください。
Access Manager 11.1.2サーバーをAgent-2で保護するには、エージェント・フィルタ構成を含めるように、Webアプリケーションngsso-web.warおよびopenssoproxy-urlapper.warをweb.xmlファイルで更新します。次の手順を実行します。
IAM_HOME/oam/server/apps/oam-server.earからoam-server.earファイルを解凍して、内容を一時ディレクトリに抽出します。
ngsso-web.warファイル、web.xmlファイルの順に内容を抽出します。Access Manager 11.1.2サーバーをAgent-2で保護するには、web.xmlファイルを適切なエージェント・フィルタ構成で更新します。フィルタ定義をurl-patternのURL /server/opensso/login/*で更新します。
次に例を示します。
<filter> <fitler-name>Agent</filter-name> <filter-class>com.sun.identity.agents.filter.AmAgentFilter</fliter-class> </filter> <filter-mapping> <filter-name>Agent</filter-name> <url-pattern>/server/opensso/login/*</url-pattern> </filter-mapping>
同じ場所IAM_HOME/oam/server/apps/oam-server.earでopenssoproxy-urlmapper.warファイルの内容を抽出します。Access Manager 11.1.2サーバーをAgent-2で保護するには、web.xmlファイルを適切なエージェント・フィルタ構成で更新します。フィルタ定義をurl-patternのURL /UI/*で更新します。
次に例を示します。
<filter> <filter-name>Agent</filter-name> <filter-class>com.sun.identity.agents.filter.AmAgentFilter</filter-class> </filter> <filter-mapping> <filter-name>Agent</filter-name> <url-pattern>/UI/*</url-pattern> </filter-mapping>
更新したngsso-web.warファイルとopenssoproxy-urlapper.warファイルを含めるようにoam-server.earファイルを再パッケージします。
更新したoam-server.earファイルを再デプロイします。
Sun Java System Access Manager 7.1サーバーで、Access Manager 11.1.2サーバーのエンドポイントURLを保護するポリシー(Policy-1と呼ばれる)を作成する必要があります。次の手順を実行します。
次のURLを使用してSun Java System Access Manager 7.1サーバーのコンソールにログインします。
http://host:port/amserver
このURLの内容は、次のとおりです。
hostは、Sun Java System Access Manager 7.1コンソール(管理サーバー)をホストするマシンの完全修飾ドメイン名を表します。
portは、Sun Java System Access Manager 7.1コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
「アクセス制御」タブをクリックします。
「レルム」表で、「レルム名」列の一番上のレルムをクリックします。
「ポリシー」タブをクリックします。
新規ポリシーをクリックして、Access Manager 11.1.2サーバーのエンドポイントURLを保護するための新しいポリシーの詳細を入力します。この場合は、「ルール」はOAM_server_protocol://OAM_managed_server_host:OAM_managed_server_port/opensso/UI/Login*?*およびOAM_server_protocol://OAM_managed_server_host:OAM_managed_server_port/oam/server/opensso/login*にして、「サブジェクト」は認証されたユーザーにします。
「OK」をクリックします。
Access Manager 11.1.2のデータ・ソースを構成するには、次の手順を完了します。
次のURLを使用してOracle Access Manager 11.1.2コンソールにログインします。
http://host:port/oamconsole
このURLの内容は、次のとおりです。
hostは、Oracle Access Managerコンソール(管理サーバー)をホストするマシンの完全修飾ドメイン名を表します。
portは、Oracle Access Management 11.1.2コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
「システム構成」タブに移動します。
「共通構成」を選択します。
「データソース」を開き、「ユーザー・アイデンティティ・ストア」を選択します。
「ユーザー・アイデンティティ・ストア」で、左パネルの上部にある「作成」アイコンをクリックして新しいデータ・ソースを作成します。このデータ・ソースのタイプは、ODSEEにします。構成およびユーザー・ストアとしてSun Java System Access Manager 7.1で使用されるSun Java System Directory Serverの詳細を提供する必要があります。
第20.6項でその「ユーザー・アイデンティティ・ストア」として作成したデータ・ソースを指し示すように、OAM10gSchemeで使用される認証モジュールを更新する必要があります。次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2コンソールにログインします。
http://host:port/oamconsole
「システム構成」タブに移動します。
「Access Manager」→「認証モジュール」を開きます。
「LDAP認証モジュール」を開きます。
LDAPNoPasswordAuthModuleをクリックし、第19.6項で作成したデータ・ソースを指し示すように「ユーザー・アイデンティティ・ストア」を更新します。
Agent-1は、Resource-1を保護するポリシー・エージェント(2.2)であり、Sun Java System Access Manager 7.1サーバーに登録されます。このエージェントは2.2 Webエージェントにします。このエージェントがAccess Manager 11.1.2サーバーと通信するには、Agent-1のプロファイルをSun Java System Access Manager 7.1サーバーからAccess Manager 11.1.2サーバーに移行する必要があります。
エージェントのプロファイルをSun Java System Access Manager 7.1からAccess Manager 11.1.2に移行する場合の詳細は、第16章「Sun Java System Access Manager 7.1環境の移行」を参照してください。
Agent-1がJ2EEエージェントの場合、Access Manager 11.1.2サーバーに新しいポリシー・エージェント3.0をインストールする必要があります。ポリシー・エージェント3.0の詳細は、Sun OpenSSO Enterprise 8.0ドキュメント・ライブラリの各ガイドを参照してください。
|
注意:
|
適切なアプリケーション・ドメインに、Resource-1を保護する認証ポリシー(Policy-2と呼ばれる)を、OAM10gAuthSchemeという認証スキームで作成します。
また、必要に応じて認可ポリシーも作成します。
認証および認可ポリシーの作成と管理の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のリソースの保護とSSOの有効化のためのポリシーの管理に関する項を参照してください。
Access Manager 11.1.2サーバーとSun Java System Access Manager 7.1サーバーでCookie名の競合が発生しないように、Access Manager 11.1.2サーバーのデフォルトのCookie名を新しい名前に変更する必要があります。次の手順を実行します。
IAM_HOME/user_projects/domains/base_domain/config/fmwconfig/oam-config.xmlからoam-config.xmlファイルを開きます。
openssoproxyセクションで、openssoCookieNameの値を、デフォルトのCookie名iPlanetDirectoryProから別の値(OAMSAMCookieなど)に変更します。
次のURLを使用してOracle Access Management 11.1.2コンソールにログインします。
http://host:port/oamconsole
「システム構成」タブに移動します。
「Access Manager」→「SSOエージェント」を開きます。
「OpenSSOエージェント」を開きます。
必要なAgent-1を選択し、Cookie名を新しい値(OAMSAMCookieなど)で更新します。
Access Manager 11.1.2サーバーを再起動します。
Agent-2のセッション属性マッピングを更新して、AMAgent.propertiesファイルでヘッダーOAM_REMOTE_USERを値UserTokenに設定します。次の手順を実行します。
Agent-2をインストールした場所からAMAgent.propertiesファイルを開きます。
プロパティ・ファイルで次の値を設定します。
com.sun.identity.agents.config.session.attribute.fetch.mode=HTTP_HEADER
com.sun.identity.agents.config.session.attribute.mapping[UserToken]=OAM_REMOTE_USER
Agent-2のWebコンテナ・インスタンスを再起動します。
共存モードでSun Java System Access Manager 7.1とAccess Manager 11.1.2間のシングル・ログアウトが行われるように、ログアウト設定を構成する必要があります。これを実行するには、次の2つの項で説明する手順に従ってください。
Sun Java System Access Manager 7.1サーバーからログアウトを開始するには、認証後プラグインを作成し、onLogout()メソッドを実装して、問合せパラメータgotoをリダイレクトURL <OAM_server_protocol>://<OAM_server_host>:<OAM_managed_server_port>/opensso/UI/Logoutに設定する必要があります。これは、Access Manager 11.1.2サーバーのエンドポイントURLにユーザーをリダイレクトします。
Access Manager 11.1.2サーバーからログアウトを開始するには、Access Manager 11.1.2サーバーで構成されるそれぞれのポリシー・エージェント2.2(Agent-1)で、Sun Java System Access Manager 7.1サーバーのログアウト・エンドポイントにリダイレクトするように「ログアウトURL」を更新する必要があります。次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2コンソールにログインします。
http://host:port/oamconsole
「システム構成」タブに移動します。
「Access Manager」→「SSOエージェント」を開きます。
「OpenSSOエージェント」を開きます。
Agent-1(Access Manager 11gで構成され、Resource-1を保護しているエージェント)を選択し、「ログアウトURL」をSun Java System Access Manager 7.1サーバーのログアウト・エンドポイント(SAM7.1_server_protocol://SAM7.1_server_host:SAM7.1_managed_server_port/amserver/UI/Logout)にリダイレクトするように設定します。goto問合せパラメータは、Agent-1に構成されるリダイレクトURLに設定されます。
たとえば、すでに構成されている「ログアウトURL」がprotocol://OAMHOST:OAMPORT/opensso/UI/Logoutの場合、これをprotocol://OAMHOST:OAMPORT/opensso/UI/Logout?goto=SAM7.1_server_protocol://SAM7.1_server_host:SAM7.1_managed_server_port/amserver/UI/Logout?goto=any url agent wants to be redirected to after logoutに変更する必要があります。
構成を確認するには、次の手順を実行します。
Resource-1にアクセスします。認証を受けるためにSun Java System Access Manager 7.1サーバーにリダイレクトされるかどうかを観察します。認証後、Resource-1にアクセスできます。
(図19-1に示すように)Agent-3で保護されるリソースにアクセスして、リソースへのアクセスに明示的なログインが必要かどうかを観察します。
Sun Java System Access Manager 7.1サーバーとAccess Manager 11.1.2サーバーの両方からのログアウトを開始し、3つのCookie(cookie1、cookie2およびOAM_ID Cookie)がすべて消去されているかどうかを観察します。
