11 ドメイン・エージェントからOracle HTTP Server 10g Webgate for Oracle Access Managerへの移行

この章では、ドメイン・エージェントからOracle HTTP Server 10g Webgate for Oracle Access Managerに移行することにより、ドメイン・エージェントが使用したものと同じポリシー・ドメインを使用してアプリケーションを保護する方法を説明します。デフォルトでは、Oracle Identity and Access Managementドメインにデプロイされたアプリケーションはドメイン・エージェントによって保護されます。

注意: この章は、Oracle Identity ManagerとOracle Access Manager間の統合の設定後にOracle HTTP Server 10g Webgate for Oracle Access Managerを使用する場合にのみお読みください。詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess ManagerとOracle Identity Managerの統合に関する項を参照してください。

この章の内容は次のとおりです。

• Oracle HTTP Server 11g(11.1.1.5.0)のインストールおよび構成

• Oracle HTTP Server 10g Webgate for Oracle Access Managerプロファイルのプロビジョニング

• Oracle HTTP Server 10g Webgate for Oracle Access Managerのインストール

• mod_weblogicの構成

• オプション: ホスト識別子の構成

• Oracle Identity Managerサーバー構成の更新

• オプション: ドメイン・エージェントの無効化

• オプション: Oracle Identity Manager構成の更新

11.1 Oracle HTTP Server 11g(11.1.1.5.0)のインストールおよび構成

既存のOracle HTTP Server 11g(11.1.1.5.0)インストールが存在しない場合、Oracle HTTP Server 11.1.1.2.0をインストールし、パッチを適用して最新バージョンの11.1.1.5.0に更新できます。

Oracle HTTP Server 11.1.1.2.0はOracle Web Tier 11gインストーラに含まれています。Oracle Technology Network(OTN)からOracle Web Tier 11g(11.1.1.2.0)インストーラをダウンロードする必要があります。

http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html

もしくは、最新のOracle Fusion Middleware 11gソフトウェアを次のWebサイトからダウンロードできます。

http://edelivery.oracle.com/

注意: Oracle HTTP Server 11g(11.1.1.2.0)のインストールおよび構成の詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』のOracle Web Tierのインストールに関する項を参照してください。パッチ・セット・インストーラを使用してOracle HTTP Server11.1.1.2.0に11.1.1.5.0のパッチを適用する方法は、『Oracle Fusion Middlewareパッチ適用ガイド』の最新のOracle Fusion Middlewareパッチセットの適用に関する項を参照してください。 Oracle HTTP Serverをインストールおよび構成すると、Oracle HTTP Serverの作業インスタンスがインスタンス・ホームに構成されます。

11.2 Oracle HTTP Server 10g Webgate for Oracle Access Managerプロファイルのプロビジョニング

Oracle Access Manager 11gサーバーとともに使用するためにOracle HTTP Server 10g Webgateのプロファイルをプロビジョニングする方法の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOAM 11gとともに使用するための10g WebGateのプロビジョニングに関する項を参照してください。

注意: OAMとOIMの統合用のドメイン・エージェントにかわってOracle HTTP Server 10g Webgateをプロビジョニングする際、hostIdentifierパラメータがIDMDomainに設定されており、autoCreatePolicyパラメータがfalseに設定されていることを確認してください。

11.3 Oracle HTTP Server 10g Webgate for Oracle Access Managerのインストール

Oracle HTTP Server 10g Webgate for Oracle Access Managerのインストール方法の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の最新のOAM 10g WebGate for OAM 11gの検索およびインストールに関する項を参照してください。

11.4 mod_weblogicの構成

Oracle HTTP Server 10g Webgate for Oracle Access Managerをインストールした後、WebLogic Serverにデプロイされたアプリケーションにリクエストを転送するよう、Webサーバーを構成する必要があります。

• <OHS_Instance_Home>/config/OHS/<Instance_Name>にあるmod_wl_ohs.confをテキスト・エディタで開き、次の例のように、必要なエントリを追加します。

  <IfModule weblogic_module>
       <Location /oamconsole>
       SetHandler weblogic-handler
       WebLogicHost examplehost.exampledomain.com
       WebLogicPort   6162
       </Location>
       <Location /apmconsole>
       SetHandler weblogic-handler
       WebLogicHost examplehost.exampledomain.com
       WebLogicPort   6162
       </Location>
  </IfModule>
  
  

  WebLogic Serverで以前は直接アクセス可能だったすべてのアプリケーションについて、すべてのURIに同様のLocationエントリを追加します。

• 変更を加えた後、Oracle HTTP Serverを再起動します。OPMNコマンドライン・ツールを使用して、Oracle HTTP Serverインスタンスを起動または終了できます。インスタンスが実行中の場合、コマンドラインで次のコマンドを実行し、すべての実行中インスタンスを終了します。

  <Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl stopall

  Oracle HTTP Serverインスタンスを再起動するには、コマンドラインで次のコマンドを実行します。

  1. <Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl start

  2. <Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl startproc ias-component=<Oracle_HTTP_Server_Instance_Name>

WebLogicプラグインの有効化

ドメイン・レベルでWebLogicプラグインを設定する必要があります。これを行うには、次の手順を実行します。

1. 次のアドレスを指定してWebLogic Server管理コンソールにログインします。

   http://hostname:port/console

2. 「ロックして編集」をクリックします。

3. 「ドメイン構造」メニューの「IDMDomain」をクリックします。

4. 「Configuration」タブをクリックします。

5. 「Webアプリケーション」サブタブをクリックします。

6. 「WebLogicプラグインの有効化」を選択します。

7. 「保存」をクリックして、「変更をアクティブ化します。」をクリックします。

8. 第C.1項「スタックの起動」の説明に従って、WebLogic管理サーバーおよび管理対象サーバーを再起動します。

11.5 オプション: ホスト識別子の構成

このタスクは、Oracle Identity ManagerとOracle Access Managerとの間の統合を設定した場合のみ実行する必要があります。

ホスト識別しに自動ログイン機能を構成するには、次の手順を実行します。

1. Oracle Access Manager管理コンソール(http://<oamserverhost>:<adminport>/oamconsole)を起動します。

2. 「ポリシー構成」タブをクリックします。

3. 左のナビゲーション・ペインで、「ホスト識別子」>「IDMDomain」をクリックします。「ホスト識別子」ページが表示されます。

4. 「ホスト識別子」ページの「操作」セクションに、すべてのホスト名とポート番号の組合せが示されます。Oracle HTTP Server 10g Webgateが構成されているWebサーバーのホスト名とポート番号が、このセクションに含まれているかどうかを確認します。

   表示されていない場合、次の手順でエントリを追加します。

   1. 「操作」セクションで、「+」アイコンをクリックします。「操作」セクションに新しい空白の行が追加されます。

   2. 「ホスト名」フィールドに、Oracle HTTP Server 10g Webgateが構成されているWebサーバーのホスト名を入力します。

   3. 「ポート」フィールドにポート番号を入力します。

   4. 「適用」をクリックします。

11.6 Oracle Identity Managerサーバー構成の更新

oam-config.xmlファイル(<DOMAIN_HOME>/config/fmwconfigディレクトリ内)のOracle Identity Manager(OIM)構成を更新し、ファイルのIdentityManagement要素のHostおよびPort属性が、Oracle HTTP Server Webgate 10gが構成されているOracle HTTP Serverを指すようにします。

1. oam-config.xmlファイルをテキスト・エディタで開きます。

2. 次のようにエントリを更新します。

   <Setting Name="IdentityManagement" Type="htf:map">
         <Setting Name="ServerConfiguration" Type="htf:map">
         <Setting Name="OIM-SERVER-1" Type="htf:map">
         <Setting Name="Host" Type="xsd:string">OHS-HOST</Setting>
         <Setting Name="Port" Type="xsd:integer">OHS-PORT</Setting>
         <Setting Name="SecureMode" Type="xsd:boolean">false</Setting>
         </Setting>
   </Setting>
   

注意: Oracle Identity ManagerとOracle Access Manager間の統合が設定済であることを確認してください。詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess ManagerとOracle Identity Managerの統合に関する項を参照してください。

OIMサーバー構成を更新したら、次の手順に従ってログアウト構成を実行する必要があります。

1. logout.htmlファイルを<IAM_ORACLE_HOME>/oam/server/oamssoディレクトリから<10gWebgateInstallation>/access/oamssoディレクトリにコピーします。

2. Oracle Access Managerサーバーのホストおよびポートを示すようにlogout.htmlファイルのSERVER_LOGOUTURL変数を編集します。logout.htmlファイルの指示に従ってください。

3. Webサーバーのhttp.confファイルに次のエントリが含まれる場合、それらのエントリをhttp.confファイルから削除します。

   <LocationMatch "/oamsso/*">     Satisfy any     </LocationMatch>
   

11.7 オプション: ドメイン・エージェントの無効化

ドメイン・エージェントはOracle Identity and Access Managementドメインの管理サーバーおよびすべての管理対象サーバーで稼働し、自動的にリクエスト・フロー内のWebgateの存在を検出します。ドメイン・エージェントを無効化する必要はありません。ただし、出荷された状態のドメイン・エージェントを無効化する場合、次の手順を実行します。

1. 現在の作業ディレクトリから、<MW_HOME>/user_projects/domains/<name_of_your_WebLogic_domain>ディレクトリに移動します(UNIXの場合)。Windowsの場合、<MW_HOME>\user_projects\domains\<name_of_your_WebLogic_domain>ディレクトリに移動します。

2. 管理サーバーで稼働しているドメイン・エージェントを無効化するには、次のようにWebLogic Administration Serverをコマンドラインから起動します。

   UNIXの場合:

   ./startWebLogic.sh -DWLSAGENT_DISABLED=true

   Windowsの場合:

   startWebLogic.cmd -DWLSAGENT_DISABLED=true

3. 現在の作業ディレクトリから、<MW_HOME>/user_projects/domains/<name_of_your_WebLogic_domain>/binディレクトリに移動します(UNIXの場合)。Windowsの場合、<MW_HOME>\user_projects\domains\<name_of_your_WebLogic_domain</binディレクトリに移動します。

4. ドメイン内の管理対象サーバーで稼働しているドメイン・エージェントを無効化するには、次のように管理対象サーバーをコマンドラインから起動します。

   UNIXの場合:

   ./startManagedWebLogic.sh <管理対象サーバー名> -DWLSAGENT_DISABLED=true

   Windowsの場合:

   startManagedWebLogic.cmd <管理対象サーバー名> -DWLSAGENT_DISABLED=true

11.8 オプション: Oracle Identity Manager構成の更新

Oracle Identity ManagerのURLがOracle HTTP Serverのフロントエンドとなるように<OHS_Instance_Home>/config/OHS/<ohs_name>/mod_wl_ohs.confを更新できます。

これを行うには、次の手順を完了します。

mod_wl_ohs.confファイルをテキスト・エディタで開き、次の例のように、必要なエントリを追加します。

<IfModule weblogic_module>
     WebLogicHost OIM_MANAGED_SERVER_HOST
     WebLogicPort OIM_MANAGED_SERVER_PORT
     MatchExpression /oim*
     MatchExpression /admin*
     MatchExpression /xlWebApp*
     MatchExpression /Nexaweb*
     MatchExpression /workflowservice*
     MatchExpression /callbackService*
     MatchExpression /SchedulerService-web*
     MatchExpression /iam-consoles-faces*
</IfModule>

OIM_MANAGED_SERVER_HOSTおよびOIM_MANAGED_SERVER_PORTの値を、Oracle Identity Managerの管理対象サーバーのホストおよびポートの値で置き換えます。

変更を加えた後、Oracle HTTP Serverを再起動します。OPMNコマンドライン・ツールを使用して、Oracle HTTP Serverインスタンスを起動または終了できます。インスタンスが実行中の場合、コマンドラインで次のコマンドを実行し、すべての実行中インスタンスを終了します。

<Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl stopall

Oracle HTTP Serverインスタンスを再起動するには、コマンドラインで次のコマンドを実行します。

1. <Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl start

2. <Oracle_Home_for_Oracle_HTTP_Server>/opmn/bin/opmnctl startproc ias-component=<Oracle_HTTP_Server_Instance_Name>

OAMのURLまたはエージェント・プロファイルが変更された場合のOIM構成の更新

エージェント・プロファイルの名前が変更されたり、OAMのURLが変更された場合、Oracle Identity Managerの構成を更新できます。

Oracle Identity Manager構成を更新するには、次の手順を実行します。

1. <IAM_ORACLE_HOME>/server/bin/weblogicExportMetadata.shを実行して(UNIXの場合)、メタデータからoim-config.xmlファイルをエクスポートし、/db/oim-config.xmlファイルをエクスポートします。Windowsオペレーティング・システムの場合、同じディレクトリにあるweblogicExportMetadata.batファイルを使用できます。

2. Oracle HTTP Server 10g Webgateを使用するには、<ssoConfig>タグを付けられた次の要素を更新して、ファイルを更新します。

   <webgateType>javaWebgate</webgateType>を<webgateType>ohsWebgate10g</webgateType>に変更します。

3. UNIXで、<IAM_Home>/server/bin/weblogicImportMetadata.shを実行して、oim-config.xmlをメタデータにインポートします。Windowsでは、同じディレクトリにあるweblogicImportMetadata.batを使用します。

4. WebLogic Server管理者の資格証明を使用して、Oracle Enterprise Manager Fusion Middleware Controlにログインします

5. IDおよびアクセス>「oim」>「oim(バージョン)」をクリックします。右クリックして「システムMBeanブラウザ」を選択します。「システムMBeanブラウザ」ページが表示されます。

6. 「アプリケーション定義のMBean」で、「oracle.iam」→「Server:oim_server1」→「Application: oim」→「XMLConfig」→「config」を選択します。

7. フロントエンドURLをOracle HTTP ServerのURLで置き換えます。これは、Oracle Access Manager用のOracle HTTP Server 10g WebGateをインストールする前に使用していたものと同じOracle HTTP Serverである必要があります。手順は次のとおりです。

   1. XMLConfig MBeanで、XMLConfig.DiscoveryConfigに移動します。

   2. OimFrontEndURLをOracle HTTP ServerのURLで更新します。

   3. 「適用」をクリックします。

8. OIMサーバーを再起動します。