| Oracle® Exalogic Elastic Cloud Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド リリースEL X2-2、X3-2、X4-2およびX5-2 E51446-03 |
|
 前 |
 次 |
| Oracle® Exalogic Elastic Cloud Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド リリースEL X2-2、X3-2、X4-2およびX5-2 E51446-03 |
|
前 |
次 |
この章では、アイデンティティ管理のエンタープライズ・デプロイメントで、管理コンソールに対するシングル・サインオン(SSO)を構成する方法について説明します。
この章には次のトピックが含まれます:
Oracle Access Management Access ManagerとOracle Identity Managerを統合していない場合は、最初にWebLogicセキュリティ・プロバイダを作成する必要があります。その後、次の手順に進んでください。
WebLogic管理グループを割り当ててboot.propertiesを更新し、サーバーを再起動します。次に、Webゲートをインストールおよび構成し、設定を検証します。Webゲートのインストールおよび構成後、Oracle Traffic Directorがコンソールのリクエストをインターセプトし、検証のためそのリクエストをAccess Managerに転送します。
この章で言及される管理コンソールは次のとおりです。
Oracle Enterprise Manager Fusion Middleware Control
Oracle WebLogic Server管理コンソール
Oracle Access Managementコンソール
Oracle Identity Managerコンソール
管理コンソールとシングル・サインオンを統合する前に、IDMDomainで次のタスクが実行されていることを確認します。
Oracle Traffic Directorの構成(第7章「エンタープライズ・デプロイメント用のOracle Traffic Directorのインストールおよび構成」を参照)
Access Managerの構成(第11章「Oracle Access Managementを含めるためのドメイン拡張」を参照)
LDAPでのWebLogic管理者のプロビジョニング(第10.4項「アイデンティティ・ストアの準備」を参照)
idmConfigToolにconfigOAMまたはconfigOIMオプションを指定して実行する場合、ツールによりIDMDomainドメインにセキュリティ・プロバイダが作成されます。これらのセキュリティ・プロバイダは、Access Managerのセキュリティ・ポリシーに基づいてドメイン内のコンソールへのアクセスを制限します。他のドメインがある場合は、次の項の説明に従って、それらのドメインに手動でセキュリティ・プロバイダを作成し、更新する必要があります。
|
注意: 管理コンソールへのシングル・サインオンを有効にした場合、コンソール・アクセスを有効にするため、少なくとも1台のOAMサーバーを実行してください。 Oracle WebLogicコンソールを使用してすべてのAccess Manager管理対象サーバーを停止した場合、コンソールを再度使用する前に、それらの管理対象サーバーの1つを手動で再起動してください。 WLS_OAM1を手動で起動するには、次のコマンドを使用します。
MSERVER_HOME/bin/startManagedWeblogic.sh WLS_OAM1 t3://ADMINVHN:7001
|
この項の内容は次のとおりです。
OUDオーセンティケータは、作成時に一部の情報が不足しているため、追加する必要があります。OUDをアイデンティティ・ストアとして使用している場合、次の手順を実行してこの情報を追加する必要があります。
WebLogic管理コンソールにログインします。
「ドメイン構造」メニューから「セキュリティ・レルム」をクリックします。
チェンジ・センターで「ロックして編集」をクリックします。
「myrealm」をクリックします。
「プロバイダ」をクリックします。
「OUDAuthenticator」をクリックします。
「プロバイダ固有」タブをクリックします。
「プロバイダ固有」画面で、次の値を更新します。
すべてのユーザーのフィルタ: (&(uid=*)(objectclass=person))
名前指定によるユーザー・フィルタ: (&(uid=%u)(objectclass=person))
ユーザー名属性: uid
静的グループ・オブジェクト・クラス: groupofuniquenames
静的メンバーDN属性: uniquemember
メンバーDN指定による静的グループDNフィルタ: (&(uniquemember=%M)(objectclass=groupofuniquenames))
動的グループ名属性: cn
動的グループ・オブジェクト・クラス: groupOfURLs
動的メンバーURL属性: memberURL
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
この項では、資格証明コレクションの職責をAccess Managerに委任できるよう、Access Managerアサータを設定します。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、WebLogic管理コンソールにログインします。
「ドメイン構造」メニューから「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
「myrealm」をクリックします。
「プロバイダ」タブを選択します。
「並替え」をクリックします。
右側の矢印を使用して、次の順序でプロバイダを並べ替えます。
OAMIDAsserter
OIMシグネチャ・オーセンティケータ(存在する場合)
OIMAuthenticationProvider (存在する場合)
OUDオーセンティケータ
デフォルト・オーセンティケータ
デフォルト・アイデンティティ・アサータ
|
注意: Oracle Identity Managerプロバイダは、Oracle Identity Managerが構成されている場合にのみ存在します。 |
「OK」をクリックします。
「変更のアクティブ化」をクリックします。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
企業では、一般的にすべてのユーザー、グループおよびロールがプロビジョニングされた集中アイデンティティ管理ドメインと、複数のアプリケーション・ドメイン(SOAドメインやWebCenterポータル・ドメインなど)を保持しています。アプリケーション・ドメインは、集中アイデンティティ管理ドメインを使用して認証を行うように構成されています。
第10.4項「アイデンティティ・ストアの準備」で、weblogic_idmというユーザーを作成してグループWLSAdminsに割り当てています。このアカウントを使用してWebLogicを管理できるようにするには、WLSAdminsグループをWebLogic管理グループのリストに追加する必要があります。この項では、WLSAdminsグループをWebLogic管理者のリストに追加する方法を説明します。
トポロジ内の各ドメインに対して、次の手順を実行します。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、WebLogic管理サーバー・コンソールにログインします。
コンソールの左側のペインで、「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表の下の「myrealm」をクリックします。
myrealmの「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページで、「ロール」表の下の「グローバル・ロール」エントリを開きます。これにより、「ロール」のエントリが表示されます。「ロール」リンクをクリックして「グローバル・ロール」ページに移動します。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
「グローバル・ロールの編集」ページで、「ロール条件」表の下の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、述部リストから「グループ」を選択して「次へ」をクリックします。
「引数の編集」ページで、グループ引数フィールドにWLSAdminsを指定して「追加」をクリックします。
「終了」をクリックしてグローバル・ルールの編集ページに戻ります。
これで、「ロール条件」表にエントリとしてWLSAdminsグループが表示されるようになりました。
「保存」をクリックして、WLSAdminsグループへの管理ロールの追加を終了します。
Webブラウザを使用してWebLogic管理サーバー・コンソールを起動し、変更が成功したことを確認します。weblogic_idmユーザーの資格証明を使用してログインします。
デフォルトでは、APMコンソールにアクセスできるのはWebLogic管理者グループのユーザーのみです。SSOが有効になると、Access Manager管理者としてログインします。
この機能を有効にする手順は次のとおりです。
http://ADMIN.mycompany.com/apmから、APMコンソールにWebLogic管理者としてログインします。
「システム構成」タブをクリックします。
「外部ロール・マッピング」ボックスで、「追加」をクリックします。
「検索」をクリックします。
返された検索結果から、「OAMAdministrators」を選択します。
「選択項目の追加」をクリックします。
「プリンシパルの追加」をクリックします。
LDAPで作成したWebLogic adminユーザーで、管理サーバーのboot.propertiesファイルを更新します。
各管理サーバー・ノードで、boot.propertiesを更新する必要があります。次の項の手順に従って、ファイルを更新します。
この項の内容は次のとおりです。
トポロジ内の各サーバーで、次のディレクトリに移動します。
ASERVER_HOME/servers/serverName/security
次に例を示します。
cd ASERVER_HOME/servers/AdminServer/security
既存のboot.propertiesファイルの名前を変更します。
テキスト・エディタを使用して、セキュリティ・ディレクトリの下にboot.propertiesというファイルを作成します。ファイルに次の行を入力します。
username=adminUserpassword=adminUserPassword
次に例を示します。
username=weblogic_idm
password=Password for weblogic_idm user
|
注意: 管理サーバーを起動すると、ファイル内のユーザー名エントリとパスワード・エントリは暗号化されます。 セキュリティ上の理由から、ファイル内のエントリが暗号化されていない時間を最小限にしてください。ファイルの編集が終了したら、エントリを暗号化させるために即座にサーバーを起動してください。 |
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
この項では、Webゲートをインストールおよび構成する方法を説明します。
この項の内容は次のとおりです。
Oracle Webゲートをインストールする前に、次のタスクが実行されていることを確認します。
インストーラを起動する前に、マシンにJavaがインストールされていることを確認してください。Oracle Webゲートをインストールするには、WEBHOST1およびWEBHOST2で次の手順を実行します。
次のコマンドを実行して、Webゲート・インストーラを起動します。
./runInstaller
Java Development Kitの場所を指定するよう求められます。次に例を示します。
WEB_MW_HOME/jrockit_version
「ようこそ」画面で「次へ」をクリックします。
「ソフトウェア更新のインストール」画面で、更新をスキップするか、更新についてOracleサポートに問い合せるか、ローカルに更新を検索するかを選択します。
「次へ」をクリックします。
32ビット・ライブラリの不足により前提条件が失敗した場合、この障害は無視しても問題ありません。
「次へ」をクリックします。
「インストール場所」画面で、次の情報を入力します。
Oracle Home Directory: WEBGATE_ORACLE_HOME
「次へ」をクリックします。
「インストール・サマリー」画面で、「インストール」をクリックします。
「次へ」をクリックします。
「終了」をクリックします。
次のディレクトリから、deployWebGateInstance.shコマンドを実行します。
WEBGATE_ORACLE_HOME/webgate/iplanet/tools/deployWebGate
このツールに実行権限があることを確認します。
次に例を示します。
./deployWebGateInstance.sh -w WEB_ORACLE_INSTANCE/webgate/ -oh WEBGATE_ORACLE_HOME -ws otd
予想される出力は次のとおりです。
Copying files from WebGate Oracle Home to WebGate Instancedir
環境変数LD_LIBRARY_PATHを、次のように設定します。
WEBGATE_ORACLE_HOME/lib
次に例を示します。
export LD_LIBRARY_PATH=/u02/private/oracle/config/webgate/lib
|
注意: Webゲートのデプロイされる場所は、すべてのホストで同じである必要があります。 |
次のディレクトリにあるEditObjConfツールを使用して、sso.mycompany.com-obj.confおよびadmin.mycompany.com-obj.confファイルのプロパティを編集します。
WEBGATE_ORACLE_HOME/webgate/iplanet/tools/setup/InstallTools
たとえば、WEBHOST1で、次を実行します。
./EditObjConf -f WEB_ORACLE_INSTANCE/net-IDM/config/sso.mycompany.com-obj.conf -oh WEBGATE_ORACLE_HOME -w /u02/private/oracle/config/webgate -ws otd ./EditObjConf -f WEB_ORACLE_INSTANCE/net-IDM/config/admin.mycompany.com-obj.conf -oh WEBGATE_ORACLE_HOME -w /u02/private/oracle/config/webgate/webgate -ws otd ./EditObjConf -f WEB_ORACLE_INSTANCE/net-IDM/config/idminternal.mycompany.com-obj.conf -oh WEBGATE_ORACLE_HOME -w /u02/private/oracle/config/webgate/webgate -ws otd
予想される出力は次のとおりです。
WEB_ORACLE_INSTANCE/config/magnus.conf has been backed up as WEB_ORACLE_INSTANCE/config/magnus.conf.ORIG WEB_ORACLE_INSTANCE/config/instance_config_name-obj.conf has been backed up as WEB_ORACLE_INSTANCE/instance_config_name-obj.conf.ORIG
次のディレクトリにあるWebゲート・アーティファクトをコピーして、OAM 11gサーバーにWebゲートを登録します。
ASERVER_HOME/output/Webgate_IDM_11g
次のディレクトリにコピーします。
aaa_cert.pemおよびaaa_key.pemを、次にコピーします。
WEB_ORACLE_INSTANCE/webgate/config/simple
および
cwallet.sso、ObAccessClient.xmlおよびpassword.xmlを、次にコピーします。
WEB_ORACLE_INSTANCE/webgate/config
アーティファクトをコピーするには、次のコマンドを実行します。
cp ASERVER_HOME/output/Webgate_IDM_11g/aaa* to /u02/private/oracle/config/webgate/webgate/config/simple cp ASERVER_HOME/output/Webgate_IDM_11g/password.xml to /u02/private/oracle/config/webgate/webgate/config/ cp ASERVER_HOME/output/Webgate_IDM_11g/ObAccessClient.xml to /u02/private/oracle/config/webgate/webgate/webgate/config/ cp ASERVER_HOME/output/Webgate_IDM_11g/cwallet.sso to /u02/private/oracle/config/webgate/webgate/config/
LD_LIBRARY_PATHをOracle Traffic Director起動スクリプトに追加します。
Oracle Traffic Directorを起動するたびにLD_LIBRARY_PATHを入力しなくて済むようにするには、これをOTD起動スクリプトに追加します。
次のディレクトリにあるstartservファイルを編集します。
WEB_ORACLE_INSTANCE/net-IDM/bin
次の行を探します。
# Set LD_LIBRARY_PATH for Solaris and Linux
LD_LIBRARY_PATH="${SERVER_LIB_PATH}:${LD_LIBRARY_PATH}"; export LD_LIBRARY_PATH
直後に次の行を追加します。
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEBGATE_ORACLE_HOME/lib; export LD_LIBRARY_PATH
編集後、ファイルは次のようになります。
# Set LD_LIBRARY_PATH for Solaris and Linux
LD_LIBRARY_PATH="${SERVER_LIB_PATH}:${LD_LIBRARY_PATH}"; export LD_LIBRARY_PATH
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEBGATE_ORACLE_HOME/lib; export LD_LIBRARY_PATH
このファイルを保存します。
|
注意: この方法でWebゲートを直接構成すると、Oracle Traffic Director (OTD)構成ファイルが変更されます。これらの変更は、OTD構成ストアには反映されません。OTD構成に戻って変更すると、その構成ストアとディスク上の値との間に不一致があることが通知されます。実行する処理を求められます。ファイルから構成をプルすることをOTDに通知する必要があり、ファイルに構成をプッシュすることはできません。誤ったオプションを選択すると、実行したWebゲート構成が削除されます。 |
Oracle Traffic Directorインスタンスを、startservコマンドを使用して起動したり、stopservコマンドを使用して停止します。
サーバーを停止するには、次のコマンドを実行します。
WEB_ORACLE_INSTANCE/net-IDM/bin/stopserv
サーバーを起動するには、次のコマンドを実行します。
export LD_LIBRARY_PATH=/WEBGATE_ORACLE_HOME/lib WEB_ORACLE_INSTANCE/net-IDM/bin/startserv
Oracle Traffic Directorインスタンスを再起動するには、実行中のすべてのインスタンスを停止してから、起動コマンドを実行します。
Webゲートが正しく機能していることを検証するには、Webブラウザを開き、第16.1項「Oracle Identity Managementコンポーネントの起動と停止」にリストされているOAMコンソールURLに移動します。
Oracle Access Managementの「ログイン」ページが表示されます。OAM管理者ユーザー名(たとえばoamadmin)およびパスワードを入力して、「ログイン」をクリックします。Oracle Access Managementコンソールが表示されます。
|
注意: Oracle Access Managementコンソールにログインした後、WebLogicコンソールにログインしようとする前に、OAMコンソールからログアウトしていることを確認します。これは、ユーザー |
シングル・サインオンの設定を検証するには、Webブラウザを開き、第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLからWebLogic管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlに移動します。
Oracle Access Managementの「シングル・サインオン」ページが表示されます。weblogic_idmユーザーの資格証明を使用してログインします。一度ログインすると、パスワードの入力を求められることなく、WebLogicコンソールとFusion Middleware Controlとの間を移動できます。
第16.6項「Oracle IDMエンタープライズ・デプロイメントのバックアップ」の説明に従って、Web層およびWebLogicドメインをバックアップします。
