| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11gリリース2 (11.1.2) B69541-02 |
|
![]() 前 |
![]() 次 |
この章では、ドメイン・エージェントからOracle HTTP Server 10g Webgate for Oracle Access Managerに移行することにより、ドメイン・エージェントが使用したものと同じポリシー・ドメインを使用してアプリケーションを保護する方法を説明します。デフォルトでは、Oracle Identity and Access Managementドメインにデプロイされたアプリケーションはドメイン・エージェントによって保護されます。
|
注意: この章は、Oracle Identity ManagerとOracle Access Manager間の統合の設定後にOracle HTTP Server 10g Webgate for Oracle Access Managerを使用する場合にのみお読みください。詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess ManagerとOracle Identity Managerの統合に関する項を参照してください。 |
この章の内容は次のとおりです。
Oracle HTTP Server 10g Webgate for Oracle Access Managerプロファイルのプロビジョニング
Oracle HTTP Server 10g Webgate for Oracle Access Managerのインストール
既存のOracle HTTP Server 11g(11.1.1.5.0)インストールが存在しない場合、Oracle HTTP Server 11.1.1.2.0をインストールし、パッチを適用して最新バージョンの11.1.1.5.0に更新できます。
Oracle HTTP Server 11.1.1.2.0はOracle Web Tier 11gインストーラに含まれています。Oracle Technology Network(OTN)からOracle Web Tier 11g(11.1.1.2.0)インストーラをダウンロードする必要があります。
http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html
もしくは、最新のOracle Fusion Middleware 11gソフトウェアを次のWebサイトからダウンロードできます。
http://edelivery.oracle.com/
|
注意: Oracle HTTP Server 11g(11.1.1.2.0)のインストールおよび構成の詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』のOracle Web Tierのインストールに関する項を参照してください。パッチ・セット・インストーラを使用してOracle HTTP Server11.1.1.2.0に11.1.1.5.0のパッチを適用する方法は、『Oracle Fusion Middlewareパッチ適用ガイド』の最新のOracle Fusion Middlewareパッチセットの適用に関する項を参照してください。 Oracle HTTP Serverをインストールおよび構成すると、Oracle HTTP Serverの作業インスタンスがインスタンス・ホームに構成されます。 |
Oracle Access Manager 11gサーバーとともに使用するためにOracle HTTP Server 10g Webgateのプロファイルをプロビジョニングする方法の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOAM 11gとともに使用するための10g WebGateのプロビジョニングに関する項を参照してください。
|
注意: OAMとOIMの統合用のドメイン・エージェントにかわってOracle HTTP Server 10g Webgateをプロビジョニングする際、hostIdentifierパラメータが |
Oracle HTTP Server 10g Webgate for Oracle Access Managerのインストール方法の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の最新のOAM 10g WebGate for OAM 11gの検索およびインストールに関する項を参照してください。
Oracle HTTP Server 10g Webgate for Oracle Access Managerをインストールした後、WebLogic Serverにデプロイされたアプリケーションにリクエストを転送するよう、Webサーバーを構成する必要があります。
<OHS_Instance_Home>/config/OHS/<Instance_Name>にあるmod_wl_ohs.confをテキスト・エディタで開き、次の例のように、必要なエントリを追加します。
<IfModule weblogic_module>
<Location /oamconsole>
SetHandler weblogic-handler
WebLogicHost examplehost.exampledomain.com
WebLogicPort 6162
</Location>
<Location /apmconsole>
SetHandler weblogic-handler
WebLogicHost examplehost.exampledomain.com
WebLogicPort 6162
</Location>
</IfModule>
WebLogic Serverで以前は直接アクセス可能だったすべてのアプリケーションについて、すべてのURIに同様のLocationエントリを追加します。
変更を加えた後、Oracle HTTP Serverを再起動します。OPMNコマンドライン・ツールを使用して、Oracle HTTP Serverインスタンスを起動または終了できます。インスタンスが実行中の場合、コマンドラインで次のコマンドを実行し、すべての実行中インスタンスを終了します。
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl stopall
Oracle HTTP Serverインスタンスを再起動するには、コマンドラインで次のコマンドを実行します。
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl start
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl startproc ias-component=<Oracle_HTTP_Server_Instance_Name>
WebLogicプラグインの有効化
ドメイン・レベルでWebLogicプラグインを設定する必要があります。これを行うには、次の手順を実行します。
次のアドレスを指定してWebLogic Server管理コンソールにログインします。
http://hostname:port/console
「ロックして編集」をクリックします。
「ドメイン構造」メニューの「IDMDomain」をクリックします。
「Configuration」タブをクリックします。
「Webアプリケーション」サブタブをクリックします。
「WebLogicプラグインの有効化」を選択します。
「保存」をクリックして、「変更をアクティブ化します。」をクリックします。
第C.1項「スタックの起動」の説明に従って、WebLogic管理サーバーおよび管理対象サーバーを再起動します。
このタスクは、Oracle Identity ManagerとOracle Access Managerとの間の統合を設定した場合のみ実行する必要があります。
ホスト識別しに自動ログイン機能を構成するには、次の手順を実行します。
Oracle Access Manager管理コンソール(http://<oamserverhost>:<adminport>/oamconsole)を起動します。
「ポリシー構成」タブをクリックします。
左のナビゲーション・ペインで、「ホスト識別子」>「IDMDomain」をクリックします。「ホスト識別子」ページが表示されます。
「ホスト識別子」ページの「操作」セクションに、すべてのホスト名とポート番号の組合せが示されます。Oracle HTTP Server 10g Webgateが構成されているWebサーバーのホスト名とポート番号が、このセクションに含まれているかどうかを確認します。
表示されていない場合、次の手順でエントリを追加します。
「操作」セクションで、「+」アイコンをクリックします。「操作」セクションに新しい空白の行が追加されます。
「ホスト名」フィールドに、Oracle HTTP Server 10g Webgateが構成されているWebサーバーのホスト名を入力します。
「ポート」フィールドにポート番号を入力します。
「適用」をクリックします。
oam-config.xmlファイル(<DOMAIN_HOME>/config/fmwconfigディレクトリ内)のOracle Identity Manager(OIM)構成を更新し、ファイルのIdentityManagement要素のHostおよびPort属性が、Oracle HTTP Server Webgate 10gが構成されているOracle HTTP Serverを指すようにします。
oam-config.xmlファイルをテキスト・エディタで開きます。
次のようにエントリを更新します。
<Setting Name="IdentityManagement" Type="htf:map">
<Setting Name="ServerConfiguration" Type="htf:map">
<Setting Name="OIM-SERVER-1" Type="htf:map">
<Setting Name="Host" Type="xsd:string">OHS-HOST</Setting>
<Setting Name="Port" Type="xsd:integer">OHS-PORT</Setting>
<Setting Name="SecureMode" Type="xsd:boolean">false</Setting>
</Setting>
</Setting>
|
注意: Oracle Identity ManagerとOracle Access Manager間の統合が設定済であることを確認してください。詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess ManagerとOracle Identity Managerの統合に関する項を参照してください。 |
OIMサーバー構成を更新したら、次の手順に従ってログアウト構成を実行する必要があります。
logout.htmlファイルを<IAM_ORACLE_HOME>/oam/server/oamssoディレクトリから<10gWebgateInstallation>/access/oamssoディレクトリにコピーします。
Oracle Access Managerサーバーのホストおよびポートを示すようにlogout.htmlファイルのSERVER_LOGOUTURL変数を編集します。logout.htmlファイルの指示に従ってください。
Webサーバーのhttp.confファイルに次のエントリが含まれる場合、それらのエントリをhttp.confファイルから削除します。
<LocationMatch "/oamsso/*"> Satisfy any </LocationMatch>
ドメイン・エージェントはOracle Identity and Access Managementドメインの管理サーバーおよびすべての管理対象サーバーで稼働し、自動的にリクエスト・フロー内のWebgateの存在を検出します。ドメイン・エージェントを無効化する必要はありません。ただし、出荷された状態のドメイン・エージェントを無効化する場合、次の手順を実行します。
現在の作業ディレクトリから、<MW_HOME>/user_projects/domains/<name_of_your_WebLogic_domain>ディレクトリに移動します(UNIXの場合)。Windowsの場合、<MW_HOME>\user_projects\domains\<name_of_your_WebLogic_domain>ディレクトリに移動します。
管理サーバーで稼働しているドメイン・エージェントを無効化するには、次のようにWebLogic Administration Serverをコマンドラインから起動します。
UNIXの場合:
./startWebLogic.sh -DWLSAGENT_DISABLED=true
Windowsの場合:
startWebLogic.cmd -DWLSAGENT_DISABLED=true
現在の作業ディレクトリから、<MW_HOME>/user_projects/domains/<name_of_your_WebLogic_domain>/binディレクトリに移動します(UNIXの場合)。Windowsの場合、<MW_HOME>\user_projects\domains\<name_of_your_WebLogic_domain</binディレクトリに移動します。
ドメイン内の管理対象サーバーで稼働しているドメイン・エージェントを無効化するには、次のように管理対象サーバーをコマンドラインから起動します。
UNIXの場合:
./startManagedWebLogic.sh <管理対象サーバー名> -DWLSAGENT_DISABLED=true
Windowsの場合:
startManagedWebLogic.cmd <管理対象サーバー名> -DWLSAGENT_DISABLED=true
Oracle Identity ManagerのURLがOracle HTTP Serverのフロントエンドとなるように<OHS_Instance_Home>/config/OHS/<ohs_name>/mod_wl_ohs.confを更新できます。
これを行うには、次の手順を完了します。
mod_wl_ohs.confファイルをテキスト・エディタで開き、次の例のように、必要なエントリを追加します。
<IfModule weblogic_module>
WebLogicHost OIM_MANAGED_SERVER_HOST
WebLogicPort OIM_MANAGED_SERVER_PORT
MatchExpression /oim*
MatchExpression /admin*
MatchExpression /xlWebApp*
MatchExpression /Nexaweb*
MatchExpression /workflowservice*
MatchExpression /callbackService*
MatchExpression /SchedulerService-web*
MatchExpression /iam-consoles-faces*
</IfModule>
OIM_MANAGED_SERVER_HOSTおよびOIM_MANAGED_SERVER_PORTの値を、Oracle Identity Managerの管理対象サーバーのホストおよびポートの値で置き換えます。
変更を加えた後、Oracle HTTP Serverを再起動します。OPMNコマンドライン・ツールを使用して、Oracle HTTP Serverインスタンスを起動または終了できます。インスタンスが実行中の場合、コマンドラインで次のコマンドを実行し、すべての実行中インスタンスを終了します。
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl stopall
Oracle HTTP Serverインスタンスを再起動するには、コマンドラインで次のコマンドを実行します。
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl start
<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl startproc ias-component=<Oracle_HTTP_Server_Instance_Name>
OAMのURLまたはエージェント・プロファイルが変更された場合のOIM構成の更新
エージェント・プロファイルの名前が変更されたり、OAMのURLが変更された場合、Oracle Identity Managerの構成を更新できます。
Oracle Identity Manager構成を更新するには、次の手順を実行します。
<IAM_ORACLE_HOME>/server/bin/weblogicExportMetadata.shを実行して(UNIXの場合)、メタデータからoim-config.xmlファイルをエクスポートし、/db/oim-config.xmlファイルをエクスポートします。Windowsオペレーティング・システムの場合、同じディレクトリにあるweblogicExportMetadata.batファイルを使用できます。
Oracle HTTP Server 10g Webgateを使用するには、<ssoConfig>タグを付けられた次の要素を更新して、ファイルを更新します。
<webgateType>javaWebgate</webgateType>を<webgateType>ohsWebgate10g</webgateType>に変更します。
UNIXで、<IAM_Home>/server/bin/weblogicImportMetadata.shを実行して、oim-config.xmlをメタデータにインポートします。Windowsでは、同じディレクトリにあるweblogicImportMetadata.batを使用します。
WebLogic Server管理者の資格証明を使用して、Oracle Enterprise Manager Fusion Middleware Controlにログインします
IDおよびアクセス>「oim」>「oim(バージョン)」をクリックします。右クリックして「システムMBeanブラウザ」を選択します。「システムMBeanブラウザ」ページが表示されます。
「アプリケーション定義のMBean」で、「oracle.iam」→「Server:oim_server1」→「Application: oim」→「XMLConfig」→「config」を選択します。
フロントエンドURLをOracle HTTP ServerのURLで置き換えます。これは、Oracle Access Manager用のOracle HTTP Server 10g WebGateをインストールする前に使用していたものと同じOracle HTTP Serverである必要があります。手順は次のとおりです。
XMLConfig MBeanで、XMLConfig.DiscoveryConfigに移動します。
OimFrontEndURLをOracle HTTP ServerのURLで更新します。
「適用」をクリックします。
OIMサーバーを再起動します。