Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド 11g リリース1(11.1.1) B63036-04 |
|
前 |
次 |
この章では、Oracle Business IntelligenceをOracle Identity Managementと統合する方法について説明します。
この章の手順を実行する前に、次の両方で説明されているインストールと構成の手順が正常に完了している必要があります。
Oracle Fusion Middleware Oracle Identity Managementのエンタープライズ・デプロイメント・ガイド
このガイドの前章までの各章
重要: セットアップのプロセスを開始する前に、『Oracle Fusion Middlewareリリース・ノート』に目を通してインストールとデプロイメントに関する補足の考慮事項を確認しておくことを強くお薦めします。 |
この章には次のトピックが含まれます:
この項の内容は次のとおりです。
Oracle Fusion Middlewareでは、WebLogicドメインで様々なタイプの資格証明ストアとポリシー・ストアを使用できます。ドメインでは、XMLファイルに基づくストアまたは様々なタイプのLDAPプロバイダに基づくストアを使用できます。ドメインでLDAPストアを使用する場合は、すべてのポリシー・データと資格証明データが、一元化されたストアで保持および管理されます。ただし、XMLポリシー・ストアを使用している場合、管理対象サーバーへの変更は、同じドメイン・ホームを使用していなければ管理サーバーには伝播されません。Oracle Business IntelligenceのEDGトポロジでは、管理サーバーと管理対象サーバーに異なるドメイン・ホームを使用します。したがって、整合性および一貫性を保持するため、LDAPストアをポリシー・ストアおよび資格証明ストアとして使用する必要があります。
デフォルトでは、Oracle WebLogic Serverドメインは、ポリシー・ストアにXMLファイルを使用します。次の各項では、資格証明およびポリシーのデフォルトのストアをOracle Internet Directory LDAPに変更するために必要な手順について説明します。
注意: ポリシー・ストアおよび資格証明ストアのバックエンド・リポジトリは、同じ種類のLDAPサーバーを使用する必要があります。こうした一貫性を保持するために、一方のストアを再関連付けすると、他方のストアも再関連付けされることに注意してください。すなわち、Oracle Enterprise ManagerのFusion Middleware ControlまたはWLSTコマンドの |
この項では、資格証明ストアを構成する方法について説明します。項目は次のとおりです。
Oracle Internet Directoryで、必要なユーザーとグループがまだ作成されていない場合、それらを作成します。詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。
ファイルの最新バージョンのコピーを常に保持するように、まず次の関連する構成ファイルをバックアップします。
ORACLE_BASE
/admin/
domain_name
/aserver/
domain_name
/config/config.xml
ORACLE_BASE
/admin/
domain_name
/aserver/
domain_name
/config/fmwconfig/
jps-config.xml
ORACLE_BASE
/admin/
domain_name
/aserver/
domain_name
/config/fmwconfig/
system-jazn-data.xml
管理サーバーの boot.properties ファイルもバックアップします。
Oracle WebLogic Server管理コンソールを使用して適切な認証プロバイダを設定することにより、LDAPを使用するように資格証明ストアを構成する手順は次のとおりです。
管理コンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
レルム内で「プロバイダ」タブを開きます。レルムにはDefaultAuthenticatorプロバイダが構成されていることに注意してください。
「チェンジ・センター」で、「ロックして編集」をクリックします。
「新規」をクリックして、新しいプロバイダを追加します。
OIDAuthenticator
などのプロバイダ名を入力します。
認証プロバイダのリストから「OracleInternetDirectoryAuthenticator」タイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成した認証プロバイダをクリックします。
制御フラグをSUFFICIENTに設定します。これは、この認証プロバイダによってユーザーを正常に認証できる場合、その認証は受け入れられ、他の認証プロバイダは呼び出されないことを示します。認証が失敗した場合、チェーン内の次の認証プロバイダに渡されます。
後続のすべての認証プロバイダでも、制御フラグがSUFFICIENTに設定されていることを確認してください。特に、DefaultAuthenticatorをチェックして、必要であればSUFFICIENTに設定します。
「保存」をクリックします。
「プロバイダ固有」タブを開き、表12-1に示すように、LDAPサーバーに固有の詳細を入力します。
表12-1 LDAPサーバーの詳細
パラメータ | 値 | 説明 |
---|---|---|
ホスト |
例: oid.mycompany.com |
LDAPサーバーのホスト名。 |
ポート |
例: 636 |
LDAPサーバーのポート番号。 |
プリンシパル |
例: cn=orcladmin |
LDAPサーバーに接続するために使用されるLDAPユーザーDN。 |
資格証明 |
your_password |
LDAPサーバーへの接続に使用されるパスワード。 |
SSLの有効化 |
選択 |
LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 |
ユーザー・ベースDN |
例: cn=Users、dc=mycompany、 |
ユーザーが開始時に使用するDNを指定します。 |
グループ・ベースDN |
例: cn=Groups、dc=mycompany、 |
グループ・ノードを指すDNを指定します。 |
ユーザー名属性 |
cn |
ユーザー名属性。 |
取得したユーザー名をプリンシパルとして使用する |
選択 |
このオプションは有効にする必要があります。 |
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーおよび管理対象サーバーを再起動します。
OID認証プロバイダおよびデフォルト認証プロバイダを並べ替えて、各認証プロバイダの制御フラグが次のように設定されていることを確認します。
OID LDAP認証プロバイダ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
管理サーバー、管理対象サーバーおよびOracle Business Intelligenceシステム・コンポーネントを再起動します。
LDAPの構成後は、すべてのユーザー(管理ユーザーも含む)がLDAPユーザーである必要があります。この構成は、LDAP管理者が実行する必要があります。必要なユーザーで管理グループを作成します。必要な手順の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のOracle Identity Managerのユーザーおよびグループの作成に関する項を参照してください。グループ名には、BIAdministratorsを使用します。
このグループが作成されたら、Oracle WebLogic Serverで次の手順を実行して、WLSグローバル管理ロールに対するロール定義を更新します。
管理コンソールにログインします。
管理ロールを定義するには、「セキュリティ・レルム」を選択してレルム名を選択し、「ロールとポリシー」→「グローバル・ロール」→「ロール」→「管理」を選択します。「ロール条件の表示」リンクをクリックします。
デフォルトでは、Oracle Internet DirectoryのAdministratorsグループにより、Oracle WebLogic Serverでどのユーザーが管理ロールを付与されるかが定義されます。
「条件の追加」をクリックして、別のグループ名(BIAdministrators)を追加します。次に、Administratorsグループを削除し、新しく追加したグループは残します。
「保存」をクリックします。
この変更を行った後は、指定した新しいグループのメンバーに、Oracle WebLogic Serverを管理する権限が付与されます。
管理サーバーのboot.propertiesファイルを、Oracle Internet Directoryで作成されたWebLogic管理ユーザーで更新する必要があります。boot.propertiesファイルを更新する手順は次のとおりです。
APPHOST1で、次のディレクトリに変更します。
APPHOST1> cd ORACLE_BASE/admin/domain_name/aserver/ domain_name/servers/AdminServer/security
既存の boot.properties ファイルの名前を変更します。
APPHOST1> mv boot.properties boot.properties.backup
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。
username=admin_user password=admin_user_password
ファイルを保存します。
管理サーバーを停止し、再起動します。
ドメイン・ポリシー・ストアは、システム固有のポリシーおよびアプリケーション固有のポリシーのリポジトリです。特定のドメインには、そのドメインにデプロイされるすべてのアプリケーションが使用可能なすべてのポリシーを格納する1つのストアが存在します。この項では、Oracle Internet Directory LDAPをOracle Business Intelligence EDGトポロジのポリシー・ストアとして構成する手順について説明します。
ポリシー・ストアとして使用されるOracle Internet Directory LDAPサーバー・ディレクトリへの適切なアクセスを確保するには、サーバー・ディレクトリ内にノードを設定する必要があります。
Oracle Internet Directory管理者として、次の手順に従って、Oracle Internet Directoryサーバーに適切なノードを作成します。
次のDNエントリおよびCNエントリを指定して、LDIFファイル(この例ではjpstestnode.ldif)を作成します。
dn: cn=jpsroot_bi,dc=mycompany,dc=com cn: jpsroot_bi objectclass: top objectclass: OrclContainer
ルート・ノードのDN(前の手順のjpsroot_bi)は、他のDNと異なっている必要があります。1つのルート・ノードを複数のWebLogicドメインが共有できます。サブツリーに対する読取りアクセス権および書込みアクセス権がOracle Internet Directory管理者に付与されていれば、このノードを最上位レベルに作成する必要はありません。
次の例に示すように、コマンドldapadd
を使用してこのデータをOracle Internet Directoryサーバーにインポートします。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h ldap_host -p ldap_port -D cn=orcladmin
-w password -c -v -f jpstestnode.ldif
次の例に示すように、コマンドldapsearch
を使用してノードが正常に挿入されたことを確認します。
OIDHOST1> ORACLE_HOME/bin/ldapsearch -h ldap_host -p ldap_port -D cn=orcladmin
-w password -b "cn=jpsroot_bi,dc=mycompany,dc=com" objectclass="orclContainer"
Oracle Internet DirectoryをLDAPベースのポリシー・ストアとして使用する場合は、oidstats.sqlユーティリティをINFRADBHOSTで実行し、最適なデータベース・パフォーマンスを実現するためにデータベース統計を生成します。
OIDHOST1> connect ods/password OIDHOST1> @ORACLE_HOME/ldap/admin/oidstats.sql
注意: oidstats.sqlユーティリティを実行する必要があるのは、初期プロビジョニング後の1回のみです。
WLSTのreassociateSecurityStore
コマンドを使用して、ポリシー・ストアおよび資格証明ストアをOracle Internet Directoryに再関連付けする手順は次のとおりです。
APPHOST1から、wlstシェルを起動します。
APPHOST1> cd ORACLE_COMMON_HOME/common/bin
APPHOST1> ./wlst.sh
wlstのconnect
コマンドを次のように使用して、WebLogic管理サーバーに接続します。
connect ("AdminUser", "AdminPassword", "t3://hostname:port")
例:
connect ("weblogic", "password", "t3://ADMINVHN:7001")
reassociateSecurityStore
コマンドを次のように実行します。
reassociateSecurityStore(domain="domainName", admin="cn=admin_user_name", password="orclPassword", ldapurl="ldap://LDAPHOST:LDAPPORT", servertype="OID", jpsroot="cn=jpsroot_bi")
例:
wls:/bifoundation_domain/serverConfig>
reassociateSecurityStore(domain="bifoundation_domain", admin="cn=orcladmin",
password="password", ldapurl="ldap://oid.mycompany.com:389", servertype="OID",
jpsroot="cn=jpsroot_bi,dc=mycompany,dc=com")
コマンドが正常に完了した後に、管理サーバーを再起動します。
注意: 資格証明とポリシーの変更を有効にするには、ドメイン内のサーバーを再起動する必要があります。 |
この項の内容は次のとおりです。
Oracle Business Intelligence 11g リリース1(11.1.1)では、ユーザーは、その名前ではなく、グローバル一意識別子(GUID)によって認識されます。GUIDは、特定のユーザーに対する完全に一意な識別子です。GUIDを使用してユーザーを識別することにより、特定のユーザーのデータとメタデータが、ユーザー名に関係なく一意に保護されるので、セキュリティ・レベルが向上します。
次の2つのベスト・プラクティスを実践して、開発から本番までのライフサイクルの各フェーズでGUIDが一貫して適用されることを保証することをお薦めします。
開発システム、テスト・システムおよび本番システムの間でアイデンティティ・ストアのファンアウト・レプリカを使用するようにして、開発から本番までのライフサイクル全体を通じてユーザーGUIDを一貫して同一にします。ファンアウト・レプリカの作成の詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドのレプリケーションの設定に関する項を参照してください。
可能なかぎり、個々のユーザーではなくアプリケーション・ロールを使用して、データとメタデータへのアクセスを保護します。
GUIDのリフレッシュ(GUIDの同期またはGUIDの再生成とも呼ばれる)とは、Oracle BIリポジトリおよびOracle BIプレゼンテーション・カタログ内のユーザーGUIDに対するメタデータ参照を更新するプロセスです。GUIDリフレッシュ・プロセスにおいて、各ユーザー名がアイデンティティ・ストアで検索されます。次に、そのユーザー名に関連付けられているGUIDに対するすべてのメタデータ参照が、アイデンティティ・ストア内のGUIDで置き換えられます。
GUIDのリフレッシュは、Oracle Business Intelligenceが同一ユーザーに対して異なるGUIDを持つアイデンティティ・ストアに再度関連付けられる場合に必要となります。この状況は、Oracle Business Intelligenceを別のタイプのアイデンティティ・ストアに再関連付けする場合に発生する可能性がありますが、通常はほとんど発生することはありません。
Oracleのベスト・プラクティスが実施されず、Oracle Business Intelligenceリポジトリ・データが、同一ユーザーに対して異なるGUIDを持つシステム間で移行される場合、システムを機能させるには、GUIDのリフレッシュが必要です。この実践は、特定のユーザー(たとえば2週間前に退職したJohn Smith)のみがアクセスできるように保護されているデータとメタデータに、別のユーザー(たとえば先週入社したJohn Smith)がアクセスできるようになるというリスクが生じるので、お薦めできません。可能なかぎりアプリケーション・ロールを使用して、開発から本番までのライフサイクル全体を通じて一貫してGUIDを使用することにより、この問題の発生を防ぐことができます。
ユーザーGUIDをリフレッシュするには、APPHOST1およびAPPHOST2上で次の手順を実行します。GUIDのリフレッシュは、一度に1つのノードのみが動作している状態で行う必要があることに注意してください。
ユーザーGUIDをリフレッシュしているノード以外のすべてのノード上でOracle BI ServerおよびPresentation Servicesを停止します。例:
cd ORACLE_BASE/admin/instancen/bin ./opmnctl stopproc ias-component=coreapplication_obips1 ./opmnctl stopproc ias-component=coreapplication_obis1
次の手順を使用して、NQSConfig.INIファイル内でFMW_UPDATE_ROLE_AND_USER_REF_GUIDS
パラメータを更新します。
次のディレクトリで、NQSConfig.INIファイルを編集用に開きます。
ORACLE_INSTANCE/config/OracleBIServerComponent/coreapplication_obisn
FMW_UPDATE_ROLE_AND_USER_REF_GUIDS
パラメータを探して、次のようにYES
に設定します。
FMW_UPDATE_ROLE_AND_USER_REF_GUIDS = YES;
ファイルを保存して閉じます。
次の手順を使用して、instanceconfig.xmlファイルにあるCatalog要素を更新します。
GUIDをリフレッシュしているノードで、opmnctl
コマンドを使用してOracle BI ServerおよびPresentation Servicesを停止してから再起動します。
cd ORACLE_BASE/admin/instancen/bin ./opmnctl stopproc ias-component=coreapplication_obips1 ./opmnctl stopproc ias-component=coreapplication_obis1 ./opmnctl startproc ias-component=coreapplication_obis1
Oracle BI Serverが実行されていることを確認したら、Presentation Servicesを起動します。
./opmnctl startproc ias-component=coreapplication_obips1
NQSConfig.INIファイルで、FMW_UPDATE_ROLE_AND_USER_REF_GUIDS
パラメータをNO
に戻します。
重要: システムを確実に保護するために、この手順を実行する必要があります。
instanceconfig.xmlのCatalog要素を更新して、UpdateAccountのGUIDエントリを削除します。
opmnctl
コマンドを使用して、Oracle Business Intelligenceシステム・コンポーネントを再起動します。
cd ORACLE_BASE/admin/instancen/bin ./opmnctl stopall ./opmnctl startall
この項では、Oracle Access Manager 10gをOracle Business Intelligenceトポロジに対するシングル・サインオン・ソリューションとして構成する方法について説明します。
この項の内容は次のとおりです。
Oracle Access Manager 10gの場合の手順では、Access Managerおよびポリシー・マネージャを保護するポリシーを備えたOracle Access Managerインストールが存在することを前提としています。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
この章で説明する構成には、Oracle Internet Directoryなどのディレクトリ・サービスがスタンドアロン・コンポーネントとして、またはOracle Virtual Directory構成の一部として、含まれています。この項では、Oracle Internet Directoryを使用するようにOracle Business Intelligenceインストールを構成するために必要な手順について説明します。
また、Oracle Access Managerインストールには、Webゲートを使用するように構成された独自のWebサーバーが必要です。この項では、Oracle Access Manager Webサーバーを委任認証サーバーとして使用するための手順も説明します。
この項では、Oracle Access Manager構成ツールを使用する方法について説明します。項目は次のとおりです。
Oracle Access Manager構成ツール(oamcfgtool)は、一連のスクリプトを起動して必要なポリシーを設定します。そのためには、入力情報として様々なパラメータが必要となります。具体的には、このツールにより次の項目が作成されます。
Oracle Access Managerのフォーム認証スキーム
Oracle WebLogic Serverでの認証を可能にするポリシー
Oracle HTTP ServerのWebゲートが(Web層から)構成済アプリケーションを保護できるようにするOracle Access ManagerのWebゲート・エントリ
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
アプリケーション固有のURLを保護するポリシーおよび保護対象としないポリシー
Oracle Access Manager構成ツールを実行する前に、次の情報を収集または準備します。
パスワード: セキュアなパスワードを作成します。このパスワードは、後で実行するWebゲート・インストールのパスワードとして使用します。
LDAPホスト: HA/EDG構成の場合のディレクトリ・サーバーのホスト名またはロード・バランサ・アドレス。
LDAPポート: ディレクトリ・サーバーのポート番号。
LDAPユーザーDN: LDAP管理者ユーザーのDN(例: cn=orcladmin)。
LDAPパスワード: LDAP管理者ユーザーのパスワード。
OAM_AA_HOST: Oracle Access Managerインスタンスのホスト名。
OAM_AA_PORT: Oracle Access Managerのポート番号。
Oracle Access Manager構成ツールは、次のディレクトリにあります。
MW_HOME
/oracle_common/modules/oracle.oamprovider_11.1.1
このツールは、必要なインストール・ファイルが存在する任意のコンピュータから実行できます。ここでは、APPHOST1から実行します。
注意: Oracle Identity Managementと統合する場合は、Oracle Identity Managementサーバーで現在使用中のトランスポート・モードを使用します。たとえば、オープン、簡易または証明書モードなどです。 |
Oracle Access Manager構成ツールを次のように実行します(すべてを1行で入力します)。
MW_HOME/jrockit_version/bin/java -jar oamcfgtool.jar mode=CREATE app_domain="bifoundation_domain" protected_uris="$PROTECTED_URI_LIST" public_uris="$PUBLIC_URI_LIST" ldap_host="oid.mycompany.com" ldap_port=389 ldap_userdn="cn=LDAP_admin_user_name" ldap_userpassword=LDAP_admin_user_password oam_aaa_host=OAMHOST1 oam_aaa_port=OAMPORT1 oam_aaa_mode=simple
$PROTECTED_URI_LIST
には、次の値を使用します。
"/bicontent,/mapviewer,/em/.../*,/console/.../*,/aps,/calcmgr,/hr, /workspace,/analytics/saw.dll,/xmlpserver,/ui,/em,/console,/ui/adfAuthentication"
$PUBLIC_URI_LIST
には、次の値を使用します。
"/analytics,/analytics/saw.dll/wsdl,/analytics-ws/saw.dll,/xmlpserver/services, /xmlpserver/report_service,/xmlpserver/ReportTemplateService.xls, /xmlpserver/Guest,/ui/do/logout,/ui/images,/biservices"
app_agent_passwordを入力するように求められます。
注意: 後で別のURLの保護が必要になった場合は、同じapp_domainを使用して、再度Oracle Access Manager構成ツールを実行します。新しいURLのみではなく、保護する必要があるすべてのURLを指定してください。 |
この項では、ポリシー・ドメインとアクセス・ゲートが正常に作成されたことを確認する方法について説明します。
ポリシー・ドメインの確認
ポリシー・ドメインを確認する手順は次のとおりです。
次の場所でOracle Access Managerにログオンします:
http://OAMADMINHOST:port/access/oblix
「ポリシー・マネージャ」をクリックします。
左側のパネルで「ポリシー・ドメイン」リンクをクリックします。作成したドメインを含む、すべてのポリシー・ドメインのリストが表示されます。
作成したポリシー・ドメインへのリンクをクリックします。このドメインの「一般」領域が表示されます。
「リソース」タブをクリックします。指定したURIが表示されます。他のタブをクリックし、他の設定を表示することもできます。
アクセス・ゲート構成を確認する手順は次のとおりです。
右上にある「アクセス・システム・コンソール」リンクをクリックします。このリンクは、クリックするたびに「アクセス・システム・コンソール」と「ポリシー・マネージャ」が切り替わります。
「アクセス・システム構成」タブをクリックします。
左側のペインで、「アクセス・ゲート構成」リンクをクリックします。
検索条件としてbifoundation_domain
(またはapp_domain内の別のサブストリング)と入力し、「実行」をクリックします。
作成したドメインのアクセス・ゲートが表示されます。この結果には、接尾辞_AG(例: bifoundation_domain_AG)が付加されています。
ドメインのアクセス・ゲートをクリックして、詳細を表示します。
Oracle Access Manager構成ツールは、app_domainパラメータの値を使用してポリシー・ドメインのホスト識別子を作成します。構成が正常に機能するためには、ホストに対するすべてのホスト名バリエーションを反映してホスト識別子を更新する必要があります。
Oracle Access Manager構成ツールで作成したホスト識別子を更新する手順は次のとおりです。
Webブラウザで次のURLを入力し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力が要求されたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、Oracle Access Manager構成ツールで作成したホスト識別子をクリックします。たとえば、bifoundation_domainを選択します。
「ホスト識別子詳細」ページで「変更」をクリックします。
「ホスト識別子の変更」ページで、ホストに対するすべてのホスト名バリエーションを追加します。必要に応じてプラス記号またはマイナス記号をクリックして、フィールドを追加または削除してください。
「アクセス・システム構成」で使用する「優先HTTPホスト」の値を、ホスト名バリエーションの1つとして追加する必要があります。例:
bifoundation_domain, webhost1.mycompany.com:7777, webhost2.mycompany.com:7777, APPHOST1VHN1.mycompany.com:9704, APPHOST2VHN1.mycompany.com:9704, ADMIN.mycompany.com:80, ADMINVHN.mycompany.com:7001, APPHOST1VHN1:9704, APPHOST2VHN1:9704, ADMINVHN:7001
「キャッシュの更新」を選択し、「保存」をクリックします。
次のメッセージが表示されます: 「現時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで変更内容を確認します。
Oracle Access Manager構成ツールは、app_domainパラメータの値で作成したWebゲート・プロファイルのPreferred_HTTP_Host属性とhostname属性に値を設定します。構成が正しく機能するようにするには、この2つの属性の両方を適切な値で更新する必要があります。
Oracle Access Manager構成ツールで作成したWebゲート・プロファイルを更新する手順は次のとおりです。
Webブラウザで次のURLを入力し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力が要求されたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックし、「アクセス・ゲート検索」ページを表示します。
適切な検索条件を入力し、「実行」をクリックして、アクセス・ゲートのリストを表示します。
Oracle Access Manager構成ツールで作成したアクセス・ゲートを選択します。例: bifoundation_domain_AG
「アクセス・ゲート詳細」ページで、「変更」を選択し、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次を更新します。
ホスト名: Webゲートを実行しているコンピュータの名前でホスト名を更新します。例: webhost1.mycompany.com
優先HTTPホスト: 前の項で指定したホスト名バリエーションの1つでPreferred_HTTP_Hostを更新します。例: webhost1.mycompany.com:7777
プライマリHTTP Cookieドメイン: ドメインの接尾辞またはホスト識別子でプライマリHTTP Cookieドメインを更新します。例: mycompany.com
ポート: Webゲートを実行しているポート番号でポートを更新します。例: 7777*
最大接続数: 4に設定します。
「保存」をクリックし、「OK」をクリックして確認します。
「アクセス・ゲートの詳細」ページに表示される値を確認し、正常に更新されたことを確認します。
Webゲートを各WEBHOSTnコンピュータにインストールして、Web層を保護する必要があります。Webゲートをインストールして構成する手順は次のとおりです。
次のコマンドを使用してWebゲート・インストーラを起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate -gui
「ようこそ」画面が表示されます。「次へ」をクリックします。
「顧客情報」画面で、Webサーバーを実行しているユーザー名とユーザー・グループを入力します。「次へ」をクリックして続行します。
インストール先画面で、Webゲートをインストールするディレクトリを指定します。「次へ」をクリックして続行します。
「インストール・サマリー」画面で「次へ」をクリックします。
Webゲート構成画面の説明に従って、Webゲートに必要なGCCランタイム・ライブラリをダウンロードし、「参照」を使用して、このGCCランタイム・ライブラリのローカル・コンピュータ上の場所を指定します。「次へ」をクリックして続行します。
この段階で、インストーラにより必要なアーティファクトが作成されます。このプロセスが完了したら、「次へ」をクリックして続行します。
「トランスポート・セキュリティ・モード」画面で、BIアクセス・ゲートに構成されているモードと同じモード(例: 「簡易」)を選択し、「次へ」をクリックして続行します。
注意: Oracle Identity Managementと統合する場合は、Oracle Identity Managementサーバーで現在使用中のトランスポート・モードを使用します。たとえば、オープン、簡易または証明書モードなどです。 |
Webゲート構成画面で、使用するアクセス・サーバーの詳細を入力します。入力する情報は次のとおりです。
WebゲートID: Oracle Access Manager構成ツールの実行時に指定されたもの
Webゲートのパスワード
アクセス・サーバーID: Oracle Access Managerアクセス・サーバー構成から報告されたもの
アクセス・サーバー・ホスト名: Oracle Access Managerアクセス・サーバー構成から報告されたもの
アクセス・サーバー・ポート番号: Oracle Access Managerアクセス・サーバー構成から報告されたもの
グローバル・アクセス・プロトコル・パスフレーズ
これらの詳細は、Oracle Access Manager管理者から取得できます。「次へ」をクリックして続行します。
「Webサーバーの構成」画面で「はい」をクリックすると、自動的にWebサーバーが更新されます。「次へ」をクリックして続行します。
次の「Webサーバーの構成」画面で、httpd.confファイルを含むディレクトリのフルパスを指定します。「次へ」をクリックして続行します。
次の「Webサーバーの構成」ページに、Webサーバー構成がWebゲート向けに変更されたことを示すメッセージが示されます。「はい」をクリックして確認します。
Webサーバーをいったん停止してから再起動し、構成の更新を有効にします。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、SSLに関するメッセージが表示されます。「次へ」をクリックして続行します。
次の「Webサーバーの構成」画面に、製品設定とWebサーバーの構成の残りの部分に関する情報が記載されているドキュメントの場所を示すメッセージが表示されます。「いいえ」を選択し、「次へ」をクリックして続行します。
最後の「Webサーバーの構成」画面には、ブラウザを手動で起動し、Webサーバーの構成に関する追加情報が記載されているHTMLドキュメントを開くように求めるメッセージが表示されます。「次へ」をクリックして続行します。
Oracle COREidのREADME画面が表示されます。画面の情報を確認し、「次へ」をクリックして続行します。
インストールの詳細およびインストールの正常終了を示すメッセージが表示されます。
IP検証では、クライアントのIPアドレスが、シングル・サインオンで生成されるObSSOCookieに格納されているIPアドレスと同じであるかどうかを確認します。IPターミネーションを実行するように構成されたロード・バランサ・デバイスを使用しているシステムにおいては、また認証するWebゲートのフロントエンドのロード・バランサがエンタープライズ・デプロイメントのフロントエンドのロード・バランサと異なる場合は、IP検証で問題が発生することがあります。このような場合に検証が行われないようにロード・バランサを構成する手順は次のとおりです。
次のURLを使用してアクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックし、左ペインで「アクセス・ゲート構成」リンクをクリックし、アクセス・ゲート検索ページを表示します。
適切な検索条件を入力し、「実行」をクリックして、アクセス・ゲートのリストを表示します。
Oracle Access Manager構成ツールで作成したアクセス・ゲートを選択します。
「変更」をページの下部でクリックします。
「IPValidationException」フィールドに、デプロイメントのフロントエンドに位置するロード・バランサのアドレスを入力します。
ページの下部にある「保存」をクリックします。
この項の手順では、LDAP認証プロバイダが構成済であると想定しています。
この項の内容は次のとおりです。
Oracle Access Manager IDアサータを設定する手順は次のとおりです。
管理コンソールにログインします。
「チェンジ・センター」で、「ロックして編集」をクリックします。
SecurityRealms\myrealm\Providersに移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAM Identity Asserter」を選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「OK」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「 プロバイダ固有 」タブを開き、必要な設定を次のように構成します。
プライマリ・アクセス・サーバー: Oracle Access Managerサーバーのエンドポイント情報をHOST:PORT形式で指定します。
AccessGate名: アクセス・ゲートの名前を入力します(例: bifoundation_domain_AG)。
AccessGateパスワード: アクセス・ゲートのパスワードを入力します。
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーおよび管理対象サーバーを再起動します。
各認証プロバイダの制御フラグが次のように設定されていることを確認することによって、Oracle Access Managerアイデンティティ・アサータ、Oracle Internet Directory認証プロバイダおよびデフォルト認証プロバイダを並べ替えます。
OAMアイデンティティ・アサータ: REQUIRED
OID LDAP認証プロバイダ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
次に、管理サーバー、管理対象サーバーおよびOracle Business Intelligenceシステム・コンポーネントを再起動します。
この項では、アプリケーションを構成する方法について説明します。項目は次のとおりです。
Oracle BI EEに対してSSOとOracle Access Managerを有効にする手順は次のとおりです。
Fusion Middleware Controlにログインします。
「Business Intelligence」→「coreapplication」→「セキュリティ」に移動します。
「構成をロックして編集」をクリックします。
「SSOの有効化」を選択し、「SSOプロバイダ」で「Oracle Access Manager」を選択します。
次の各フィールドにログオンURLとログオフURLを入力し、Oracle BI Presentation Servicesのログイン/ログアウト情報を構成します。
SSOプロバイダのログオンURL: http://OAM_host:OAM_port/oamsso/login.html
SSOプロバイダのログオフURL: http://OAM_host:OAM_port/access/oblix/lang/en-us/logout.html
「適用」をクリックします。
「変更のアクティブ化」をクリックします。
opmnctlまたはFusion Middleware Controlを使用して、すべてのOracle Business Intelligenceシステム・コンポーネントを再起動します。
BI Publisherに対してSSOとOracle Access Managerを有効にする手順は次のとおりです。
BI Publisherで、「管理」→「セキュリティ構成」ページに移動し、SSOを有効にします。
「セキュリティ構成」ページの「シングル・サインオン」セクションで次の情報を入力します。
「シングル・サインオンの使用」を選択します。
「シングル・サインオン・タイプ」で「Oracle Access Manager」を選択します。
「シングル・サインオフURL」で、次の形式でURLを入力します。
http://OAM_host:OAM_port/access/oblix/lang/en-us/logout.html
「適用」をクリックします。
管理コンソールからbipublisherアプリケーションを再起動します。
Oracle BI Searchに対してSSOとOracle Access Managerを有効にする手順は次のとおりです。
次のディレクトリで、BISearchConfig.propertiesファイルを編集用に開きます。
DOMAIN_HOME/config/fmwconfig/biinstances/coreapplication/
BIServerSSOUrlを次の値に設定します。
https://bi.mycompany.com/analytics
ファイルを保存して閉じます。
この項では、Oracle RTDをOracle Access Managerとともに使用する場合の構成について説明します。
この項の内容は次のとおりです。
Oracle RTDでOracle Access Managerのログアウトのガイドラインに準拠するには(特に/adfAuthentication?logout=true&end_url=/ui/do/logoutからログアウトを起動する場合)、Oracle Access Manager 10gとの統合で、end_urlを処理するようにWebゲートを構成する必要があります。この構成を追加しない場合、ログアウトしても、Oracle Access Manager 10gのWebゲートでend_urlが処理されないので、終了URLへのリダイレクトが行われません。
構成手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Webゲート10gがOracle Access Manager (OAM) 11gでOracle Real-Time Decisions Decision CenterへのアクセスのSSOプロバイダとして構成されている場合、ログアウトしてからOracle RTD Decision Centerに戻って再ログインするユーザーに対して、ユーザー名とパスワードの資格証明の入力が要求されます。この動作が正常に行われるようにするには、OAM/Webゲートで次のOracle RTD Decision Centerリソースをパブリック(保護対象外または匿名のアクセス)として構成する必要があります。
Decision CenterのログアウトURI /ui/do/logout
Decision Centerの画像 /ui/images/*
この項では、Oracle Access Manager 11gをOracle Business Intelligenceエンタープライズ・デプロイメント・トポロジに対するシングル・サインオン・ソリューションとして構成する方法について説明します。
この項の内容は、次のとおりです。
Oracle Fusion Middleware 11g リリース1の推奨シングル・サインオン・ソリューションはOracle Access Managerです。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この項では、既存のOracle Access Manager 11gインストレールと基礎となるディレクトリ・サービスを使用して、Oracle Business Intelligenceインストールを構成する手順について説明します。Oracle Internet Directory、Oracle Virtual Directory、またはその両方のディレクトリ・サービスを使用することをお薦めします。
注意: このガイドで説明されているOracle Business Intelligenceトポロジではシングル・サインオン構成を使用します。この構成では、Oracle Business Intelligenceシステムとシングル・サインオン・システムの両方が同じネットワーク・ドメイン(mycompany.com)に存在します。マルチドメイン構成については、Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイドの第11章「Oracle Access Manager 11gのシングル・サインオンの概要」の必要な構成手順を参照してください。 |
Oracle Access Managerの設定では、Access Managerおよびポリシー・マネージャを保護するポリシーを完備した、Oracle Access Managerインストールが存在することを前提としています。Oracle Access Managerのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。この設定には、スタンドアロンまたはOracle Virtual Directory構成の一部としてのOracle Internet Directoryなどのディレクトリ・サービスがあります。この章では、Oracle Internet DirectoryまたはOracle Virtual Directoryのいずれかを使用するようにOracle Business Intelligenceインストールを構成するために必要な手順について説明します。
また、Oracle Access Managerインストールには、Webゲートを使用するように構成された独自のWebサーバーが必要です。この項では、Oracle Access Manager Webサーバーを委任認証サーバーとして使用するための手順も説明します。
HTTPサーバーがすでにインストールされている各WEBHOSTコンピュータにWebゲートをインストールする必要があります。デプロイメント環境の各WEBHOSTに対して、第12.3.3項および第12.3.4項を繰り返します。
Webゲートをインストールする前に、サードパーティのGCCライブラリをダウンロードし、コンピュータにインストールする必要があります。
次のサード・パーティのWebサイトから適切なGCCライブラリをダウンロードできます。
32ビットのLinuxの場合、必要なライブラリはバージョン番号3.3.2のlibgcc_s.so.1およびlibstdc++.so.5です。表12-2は、LinuxおよびSolarisのGCCサード・パーティ・ライブラリのバージョンを示しています。
この項では、WebGateのインストール手順について説明します。
インストーラの起動
Oracle HTTP Server 11g WebGate for Oracle Access Managerのインストーラ・プログラムはwebgate.zipファイルに含まれています。
インストール・ウィザードを起動するには、次の手順を実行します。
webgate.zipファイルのコンテンツを、ディレクトリに解凍します。デフォルトでは、このディレクトリの名前はwebgateです。
webgateフォルダの下のDisk1ディレクトリに移動します。
次のコマンドを使用してインストーラを起動します。
$ ./runInstaller -jreLoc WebTier_Home/jdk
インストーラが起動すると、「ようこそ」画面が表示されます。
インストールの流れと手順
インストール画面に関して詳細な情報が必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプを参照してください。
Oracle HTTP Server 11g WebGate for Oracle Access Managerをインストールする手順は次のとおりです。
「ようこそ」画面で、「次へ」をクリックします。
「前提条件のチェック」画面で、「次へ」をクリックします。
「インストール場所の指定」画面で、ミドルウェア・ホームおよびOracleホームの場所を指定します。デフォルトの場所を使用するか、別の場所を選択できます。
注意: MiddleWareホームには、Oracle Web層のOracleホームがあります。 |
「次へ」をクリックします。
GCCライブラリの指定画面で、GCCライブラリが含まれているディレクトリを指定し、「次へ」をクリックします。
「インストール・サマリー」画面で、画面に表示される情報を確認し、「インストール」をクリックしてインストールを開始します。
「インストールの進行状況」画面で、ファイルおよびディレクトリに適切な権限を構成するために、ORACLE_HOME
/oracleRoot.sh
スクリプトを実行するように求められる場合があります。
「次へ」をクリックして続行します。
「インストール完了」画面で、「終了」をクリックし、インストーラを終了します。
Oracle HTTP Server 11g WebGate for Oracle Access Managerのインストール後に実行する手順は次のとおりです。
WebゲートのOracleホーム内の次のディレクトリに移動します。
$ cd Webgate_Home/webgate/ohs/tools/deployWebGate
コマンドラインで次のコマンドを実行し、エージェントの必要な部分をWebgate_HomeディレクトリからWebゲート・インスタンスの場所にコピーします。
$ ./deployWebGateInstance.sh -w Webgate_Instance_Directory -oh Webgate_Oracle_Home
ここでWebgate_Oracle_Homeは、Oracle HTTP Server WebGateをインストールし、WebゲートのOracleホームとして作成したディレクトリです。次に例を示します。
MW_HOME/Oracle_OAMWebGate1
Webgate_Instance_DirectoryはWebゲート・インスタンス・ホームの場所です。これは、Oracle HTTP Serverのインスタンス・ホームと同じです。次に例を示します。
MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1
注意: Oracle HTTP Serverのインスタンス・ホームはOracle HTTP Serverの構成後に作成されます。 |
次のコマンドを実行し、LD_LIBRARY_PATH変数にOracle_Home_for_Oracle_HTTP_Server/libが含まれるようにします。
$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:Oracle_Home_for_Oracle_HTTP_Server/lib
現在の作業ディレクトリから、1つ上のディレクトリに移動します。
$ cd Webgate_Home/webgate/ohs/tools/setup/InstallTools
コマンド・ラインで次のコマンドを実行して、Webgate_HomeディレクトリからWebゲート・インスタンスの場所にapache_webgate.templateをコピーし(名前がwebgate.confに変更されます)、httpd.confファイルを更新してwebgate.confの名前が含まれる1つの行を追加します。
$ ./EditHttpConf -w Webgate_Instance_Directory [-oh Webgate_Oracle_Home] [-o output_file]
注意: -oh WebGate_Oracle_Homeおよび-o output_fileパラメータはオプションです。 |
ここでWebGate_Oracle_Homeは、Oracle HTTP Server Webgate for Oracle Access Managerをインストールし、WebゲートのOracleホームとして作成したディレクトリです。次に例を示します。
MW_HOME/Oracle_OAMWebGate1
Webgate_Instance_DirectoryはWebゲートのインスタンス・ホームの場所です。これは、Oracle HTTP Serverのインスタンス・ホームと同じです。次に例を示します。
MW_HOME/Oracle_WT1/instances/instance1/config/OHS/ohs1
output_fileはツールによって使用される一時出力ファイルの名前です。次に例を示します。
Edithttpconf.log
この項では、WebGateエージェントの登録手順について説明します。
RREGツールは、Oracle Access Manager 11gインストールに付属しています。まだ利用可能でない場合は、次の手順を実行して抽出します。
Oracle Access Managerのインストールおよび構成が終わった後、次の場所に移動します。
IDM_Home/oam/server/rreg/client
コマンドラインから、次の例のとおり、gunzipを使用してRREG.tar.gzファイルを解凍します。
gunzip RREG.tar.gz tar -xvf RREG.tar
エージェントを登録するためのツールは次の場所にあります。
RREG_Home/bin/oamreg.sh
RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。
RREG構成ツールは、保護されているリソースやパブリック・リソースをOAMシステムに登録する手段を提供します。OAMシステムに追加される、保護されているリソースのリストは次のとおりです。
/analytics/saw.dll /bicontent /xmlpserver /ui /mapviewer /bicomposer /bisearch /em /em/…/* /console /console/…/* /aps /calcmgr /hr /workspace /ui/adfAuthentication
「/…/*」は、ベースurlコンテキストの下のすべてのリソースを表します。
パブリック・リソースのリストは次のとおりです。
/analytics /analytics/saw.dll/wsdl /analytics-ws/saw.dll /ui/do/logout /xmlpserver/services /xmlpserver/report_service /xmlpserver/ReportTemplateService.xls /xmlpserver/Guest /biservices /ui/images/*
除外されるリソースのリストは次のとおりです。
/rtis /rtis/.../* /schema /schema/.../* /ws /ws/.../* /wsm-pm /wsm-pm/.../*
RREG_Home
/input
ディレクトリには、OAM11GRequest.xmlという名前のテンプレート・ファイルがあります。そのテンプレートをBIOAM11GRequest.xmlという新しいファイルにコピーして編集を行い、Oracle Business Intelligenceインストールのポリシーを作成します。編集後のファイルは次のようになります。
注意: $$webtierhost$$、$$oamadminserverport$$、$$oamhost$$およびload_balancer_source_IPをインストールのそれぞれの値で置き換えます。 |
<?xml version="1.0" encoding="UTF-8"?> <!-- Copyright (c) 2009, 2010, Oracle and/or its affiliates. All rights reserved. NAME: OAM11GRequest_short.xml - Template for OAM 11G Agent Registration request file (Shorter version - Only mandatory values - Default values will be used for all other fields) DESCRIPTION: Modify with specific values and pass file as input to the tool. --> <OAM11GRegRequest> <serverAddress>http://$$oamhost$$:$$oamadminserverport$$</serverAddress> <hostIdentifier>$$webtierhost$$_bi</hostIdentifier> <agentName>$$webtierhost$$_bi</agentName> <applicationDomain>$$webtierhost$$_bi</applicationDomain> <cachePragmaHeader>private</cachePragmaHeader> <cacheControlHeader>private</cacheControlHeader> <ipValidation>1</ipValidation> <logOutUrls> <url>/oamsso/logout.html</url> </logOutUrls> <protectedResourcesList> <resource>/analytics/saw.dll</resource> <resource>/bicontent</resource> <resource>/xmlpserver</resource> <resource>/ui</resource> <resource>/mapviewer</resource> <resource>/bicomposer</resource> <resource>/bisearch</resource> <resource>/em</resource> <resource>/em/…/*</resource> <resource>/console</resource> <resource>/console/…/*</resource> <resource>/aps</resource> <resource>/calcmgr</resource> <resource>/hr</resource> <resource>/workspace</resource> <resource>/ui/adfAuthentication</resource> </protectedResourcesList> <publicResourcesList> <resource>/analytics</resource> <resource>/analytics/saw.dll/wsdl</resource> <resource>/ui/do/logout</resource> <resource>/xmlpserver/services</resource> <resource>/xmlpserver/report_service</resource> <resource>/xmlpserver/ReportTemplateService.xls</resource> <resource>/xmlpserver/Guest</resource> <resource>/biservices</resource> <resource>/ui/images/*</resource> <resource>/analytics-ws/saw.dll</resource> </publicResourcesList> <excludedResourcesList> <resource>/rtis</resource> <resource>/rtis/.../*</resource> <resource>/schema</resource> <resource>/schema/.../*</resource> <resource>/ws</resource> <resource>/ws/.../*</resource> <resource>/wsm-pm</resource> <resource>/wsm-pm/.../*</resource> </excludedResourcesList> </OAM11GRegRequest>
次のコマンドを使用してoamregツールを実行します。
$ RREG_Home/bin/oamreg.sh inband RREG_Home/input/BIOAM11gRequest.xml
JAVA_HOMEオペレーティング・システムの環境変数は、このコマンドが機能するためにjdk6に設定する必要があります。
出力は、次のようになります。
------------------------------------------------ Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oim/oim_home/oam/server/rreg/client/rreg/input/BIOAM11GRequest.xml Enter admin username: oamadmin_user Username: oamadmin_user Enter admin password: my_password Do you want to enter a Webgate password?(y/n): y Enter webgate password: my_password Enter webgate password again: my_password Password accepted. Proceeding to register.. Nov 9, 2011 6:48:44 PM oracle.security.am.engines.rreg.client.handlers.request.OAM11GRequestHandler getWebgatePassword INFO: Passwords matched and accepted. Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WEBHOST_bi URL String:WEBHOST_bi Registering in Mode:inband Your registration request is being been sent to the Admin server at: http://oamserver.mycompany.com:OAM_ADMINSERVER_PORT ---------------------------------------- Inband registration process completed successfully! Output artifacts are created in the output folder.
オープン・モードでは、次の2つのファイルがOAM_REG_HOME
/output/$$webtierhost$$_bi
ディレクトリに生成されます。
ObAccessClient.xml
cwallet.sso
これらのファイルをWEBHOST1およびWEBHOST2のwebgateインスタンス(Webgate_Instance_Home
/config/OHS/ohsN/webgate/config/
)の場所にコピーします。
簡易モードでは、次のファイルをOAM_REG_HOME
/output/$$webtierhost$$_bi
ディレクトリから、WEBHOST1およびWEBHOST2のWebgate_Instance_Home
/webgate/config
ディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
さらに、次のファイルを OAM_REG_HOME
/output/$$webtierhost$$_bi
ディレクトリから、WEBHOST1およびWEBHOST2のWebgate_Instance_Home
/config/OHS/ohsN/webgate/config/simple
ディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
注意: Oracle Identity Managementと統合する場合は、Oracle Identity Managementサーバーで現在使用中のトランスポート・モードを使用します。たとえば、オープン、簡易または証明書モードなどです。 |
アクセス・ファイルをWEBHOST1およびWEBHOST2にコピーしたら、変更を有効にするために、Oracle HTTP Serverインスタンスを再起動する必要があります。
IP検証では、クライアントのIPアドレスが、シングル・サインオンで生成されるObSSOCookieに格納されているIPアドレスと同じであるかどうかを確認します。IPターミネーションを実行するように構成されたロード・バランサ・デバイスを使用しているシステムにおいては、また認証するWebゲートのフロントエンドのロード・バランサがエンタープライズ・デプロイメントのフロントエンドのロード・バランサと異なる場合は、IP検証で問題が発生することがあります。このような場合に検証が行われないようにロード・バランサを構成する手順は次のとおりです。
次のURLを使用して、Oracle Access Manager 11gコンソールにアクセスします。
http://hostname:port/oamconsole
Oracle Access Manager 11gの管理者としてログインします。
「ようこそ」ページで、「システム構成」タブをクリックします。
「Access Managerの設定」セクションで、「SSOエージェント」ノードを開きます。「OAMエージェント」をダブルクリックし、「OAMエージェント検索」ページを表示します。
適切な検索条件を入力し、「検索」をクリックして、OAMエージェントのリストを表示します。
Oracle Access Manager構成ツールで作成されたOAMエージェントを選択します。
「IPの検証例外」フィールドに、デプロイメントのフロントエンドに位置するロード・バランサのアドレスを入力します。
ページの上部の「適用」をクリックします。
この項では、第12.1.2.3項「LDAPを使用するアイデンティティ・ストアの構成」の手順に従ってLDAP認証プロバイダをすでに構成していることを想定しています。LDAP認証プロバイダをまだ作成していない場合は、それを作成してからこの項の続きを実行します。
この項には次のトピックが含まれます:
まず、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fwmconfig/system-jazn-data.xml
また、管理サーバーのboot.propertiesファイルもバックアップします。
OAM IDアサータを設定する手順は次のとおりです。
次のURLを使用してWebLogicコンソールにログインします。
http://ADMINVHN.mycompany.com:7001/console
「ロックして編集」をクリックします。
「セキュリティ・レルム」→「<デフォルト・レルム名>」→「プロバイダ」に移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAMアイデンティティ・アサータ」を選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「保存」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
制御フラグを「必須」に設定します。
ObSSOCookieおよびOAM_REMOTE_USERの両方のオプションがアクティブ・タイプで選択されていることを確認します。
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーおよび管理対象サーバーを再起動します。
最後に、次の場所にあるWLSTコンソールに管理者としてログインします。
ORACLE_COMMON_HOME/common/bin/wlst.sh
続けて、次のコマンドを実行します。
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="/oamsso/logout.html")
例:
wls:/offline> connect('weblogic','my_password','t3://ADMINVHN:7001') Connecting to t3:ADMINVHN:7001 with userid weblogic ... Successfully connected to Admin Server 'AdminServer' that belongs to domain 'bifoundation_domain'. wls:/bifoundation_domain/serverConfig> addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="/oamsso/logout.html")
この項では、アプリケーションを構成する方法について説明します。項目は次のとおりです。
Oracle BI EEに対してSSOとOracle Access Managerを有効にする手順は次のとおりです。
Fusion Middleware Controlにログインします。
「Business Intelligence」→「coreapplication」→「セキュリティ」→「シングル・サインオン」に移動します。
「構成をロックして編集」をクリックします。
「SSOの有効化」を選択し、「SSOプロバイダ」で「Oracle Access Manager」を選択します。
次の各フィールドにログオンURLとログオフURLを入力し、Oracle BI Presentation Servicesプロセスのログインおよびログアウト情報を構成します。
SSOプロバイダのログオンURL: http://OAM_host:OAM_port/oamsso/login.html
SSOプロバイダのログオフURL: http://OAM_host:OAM_port/oamsso/logout.html
「適用」をクリックします。
「変更のアクティブ化」をクリックします。
opmnctlまたはFusion Middleware Controlを使用して、すべてのOracle Business Intelligenceシステム・コンポーネントを再起動します。
BI Publisherに対してSSOとOracle Access Managerを有効にする手順は次のとおりです。
BI Publisherで、「管理」→「セキュリティ構成」ページに移動し、SSOを有効にします。
「セキュリティ構成」ページの「シングル・サインオン」セクションで次の情報を入力します。
「シングル・サインオンの使用」を選択します。
「シングル・サインオン・タイプ」で「Oracle Access Manager」を選択します。
「シングル・サインオフURL」で、次の形式でURLを入力します。
http://OAM_host:OAM_port/oamsso/logout.html
ユーザー名パラメータに対して、OAM_REMOTE_USER
と指定します。
「適用」をクリックします。
管理コンソールからbipublisherアプリケーションを再起動します。
Oracle BI Searchに対してSSOとOracle Access Managerを有効にする手順は次のとおりです。
次のディレクトリで、BISearchConfig.propertiesファイルを編集用に開きます。
DOMAIN_HOME/config/fmwconfig/biinstances/coreapplication/
BIServerSSOUrlを次の値に設定します。
https://bi.mycompany.com/analytics
ファイルを保存して閉じます。
この項では、Oracle RTDをOracle Access Managerとともに使用する場合の構成について説明します。
この項の内容は次のとおりです。
Oracle RTDでOracle Access Managerのログアウトのガイドラインに準拠するには(特に/adfAuthentication?logout=true&end_url=/ui/do/logoutからログアウトを起動する場合)、Oracle Access Manager 10gとの統合で、end_urlを処理するようにWebゲートを構成する必要があります。この構成を追加しない場合、ログアウトしても、Oracle Access Manager 10gのWebゲートでend_urlが処理されないので、終了URLへのリダイレクトが行われません。
構成手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Webゲート10gがOracle Access Manager (OAM) 11gでOracle Real-Time Decisions Decision CenterへのアクセスのSSOプロバイダとして構成されている場合、ログアウトしてからOracle RTD Decision Centerに戻って再ログインするユーザーに対して、ユーザー名とパスワードの資格証明の入力が要求されます。この動作が正常に行われるようにするには、OAM/Webゲートで次のOracle RTD Decision Centerリソースをパブリック(保護対象外または匿名のアクセス)として構成する必要があります。
Decision CenterのログアウトURI /ui/do/logout
Decision Centerの画像 /ui/images/*
拡張したドメインが正常に動作していることを確認した後、その構成内容をバックアップします。これは、以降の手順で問題が発生した場合に短時間でリストアできることを考慮した迅速なバックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了すれば、このバックアップは破棄してかまいません。その時点では、デプロイメント固有の定期的なバックアップ手順とリカバリ手順を実行できるようになっています。詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。バックアップおよびリストアを必要とするOracle HTTP Serverのデータの詳細は、このガイドのOracle HTTP Serverのバックアップとリカバリの推奨事項に関する項を参照してください。コンポーネントのリカバリ方法の詳細は、このガイドのコンポーネントのリカバリおよびコンポーネント・ホストが失われた後のリカバリに関する項を参照してください。ホストが失われた場合のリカバリに固有の推奨事項は、このガイドの別のホストへのOracle HTTP Serverのリカバリに関する項を参照してください。データベースのバックアップの詳細は、Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイドも参照してください。
この時点で構成をバックアップする手順は次のとおりです。
次の手順を実行して、Web層をバックアップします。
opmnctl
を使用してインスタンスを停止します。
WEBHOSTn> ORACLE_BASE/admin/instance_name/bin/opmnctl stopall
次のコマンドをroot権限で実行して、Web層のミドルウェア・ホームをバックアップします。
WEBHOSTn> tar -cvpf BACKUP_LOCATION/web.tar $MW_HOME
次のコマンドをroot権限で実行して、Web層のインスタンス・ホームをバックアップします。
WEBHOSTn> tar -cvpf BACKUP_LOCATION/web_instance.tar $ORACLE_INSTANCE
opmnctl
を使用してインスタンスを起動します。
WEBHOSTn> ORACLE_BASE/admin/instance_name/bin/opmnctl startall
管理サーバー・ドメイン・ディレクトリをバックアップします。バックアップを実行してドメイン構成を保存します。構成ファイルは、すべてORACLE_BASE
/admin/
domain_name
ディレクトリの下にあります。次のコマンドを実行してバックアップを作成します。
APPHOSTn> tar -cvpf edgdomainback.tar ORACLE_BASE/admin/domain_name