この章では、セキュリティ構成情報と、Oracle Fusion Middleware、Oracle WebLogic Server、Oracle認証および認可ソフトウェアを、Oracle WebCenter Contentおよびコンテンツ・サーバーに統合する手順について説明します。
この章の内容は次のとおりです。
Oracle Fusion MiddlewareおよびOracle WebLogic Serverのセキュリティの詳細は、表17-1にリストするドキュメントを参照してください。
Oracle WebLogic Serverドメインには、デフォルト認証、認可、資格証明マッピングおよびロール・マッピング・プロバイダ用のデフォルトのセキュリティ・プロバイダ・データ・ストアとして動作する、組込みLightweight Directory Access Protocol (LDAP)サーバーが含まれます。WebCenter ContentはOracle WebLogic Serverと通信するデフォルトのJpsUserProviderを提供します。組込みLDAPサーバーの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の組込みLDAP サーバーの管理に関する説明、およびOracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプの組込みLDAP サーバーの構成に関する説明を参照してください。
ほとんどの場合、組込みLDAPサーバーを使用するのではなく、WebCenter Content本番システムのアイデンティティ・ストアを外部LDAP認証プロバイダに再度関連付ける必要があります。新規LDAP認証プロバイダを構成した後、組込みLDAPプロバイダから新規LDAPプロバイダにユーザーを移行します。外部LDAPプロバイダのWebCenter Content構成の詳細は、Oracle WebCenter Contentインストレーション・ガイドを参照してください。
注意: 11gリリース1(11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、2つのOracle Internet Directory(OID)プロバイダをユーザーおよびロール情報のソースとして使用できる場合もあります。Oracle WebLogic Server上での複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。 |
表17-1に、ユーザー認証用に構成できるLDAPプロバイダを示します。
表17-1LDAP認証タイプ
LDAP認証プロバイダ | 認証タイプ |
---|---|
Microsoft AD |
ActiveDirectoryAuthenticator |
SunOne LDAP |
IPlanetAuthenticator |
Directory Server Enterprise Edition(DSEE) |
IPlanetAuthenticator |
Oracle Internet Directory |
OracleInternetDirectoryAuthenticator |
Oracle Virtual Directory |
OracleVirtualDirectoryAuthenticator |
EDIRECTORY |
NovellAuthenticator |
OpenLDAP |
OpenLDAPAuthenticator |
EmbeddedLDAP |
DefaultAuthenticator |
SSLを使用してWebCenter Contentとセキュアな通信を行うようにOracle Fusion Middlewareを構成できます。Oracle Fusion MiddlewareではSSLバージョン3に加えて、TLSバージョン1をサポートしています。
この項の内容は次のとおりです。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のSSLの構成に関する説明を参照してください。Web層の構成の詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSL構成に関する項を参照してください。
WebCenter Contentでは、双方向SSL通信を構成するために、Oracle WebLogic ServerおよびSun社のSecure Socket Layer(SSL)スタックの両方を使用します。
インバウンドのWebサービス・バインディングの場合、WebCenter ContentではOracle WebLogic Serverインフラストラクチャを使用し、SSL用にOracle WebLogic Serverライブラリを使用します。
アウトバウンドのWebサービス・バインディングの場合、WebCenter ContentではJRF HttpClientを使用し、SSL用にSun JDKライブラリを使用します。
このように違いがあるため、次のJVMオプションを使用してOracle WebLogic Serverを起動します。
次のファイルを開きます。
UNIXオペレーティング・システムでは、$MIDDLEWARE_HOME/user_projects/domains/
domain_name
/bin/setDomainEnv.sh
を開きます。
Windowsオペレーティング・システムでは、MIDDLEWARE_HOME
\user_projects\domains\
domain_name
\bin\setDomainEnv.bat
を開きます。
サーバーが一方向SSL(サーバー認可のみ)に対して有効な場合は、次の行をJAVA_OPTIONS
セクションに追加します。
-Djavax.net.ssl.trustStore=your_truststore_location
双方向SSLの場合は、キーストア情報(場所とパスワード)は不要です。
WebCenter Contentが別のアプリケーションを呼び出すために双方向SSLを有効化する手順は、次のとおりです。
注意: サーバーとクライアントの両方が相互認証でSSL用に構成されていることが前提となります。 |
クライアント側で、キーストアの場所を指定します。
「SOAインフラストラクチャ」メニューから、「SOA管理」、「共通プロパティ」の順に選択します。
ページの下部で、「詳細SOAインフラ拡張構成プロパティ」をクリックします。
「KeystoreLocation」をクリックします。
「値」列に、キーストアの場所を入力します。
「適用」をクリックします。
「戻る」をクリックします。
クライアント側のDOMAIN_HOME
\config\soa-infra\configuration\soa-infra-config.xml
でキーストアの場所を指定します。
<keystoreLocation>absolute_path_to_the_keystore_location_and_the_file_name
</keystoreLocation>
Oracle JDeveloperでの設計時に、composite.xml
ファイル内の参照セクションをoracle.soa.two.way.ssl.enabled
プロパティで更新します。
<reference name="Service1"
ui:wsdlLocation=". . .">
<interface.wsdl interface=". . ."/>
<binding.ws port=". . .">
<property name="oracle.soa.two.way.ssl.enabled">true</property>
</binding.ws>
</reference>
Oracle Enterprise Manager Fusion Middleware管理コンソールで、「WebLogicドメイン」、ドメイン名の順に選択します。
ドメイン名を右クリックし、「セキュリティ」、「資格証明」の順に選択します。
「マップの作成」をクリックします。
「マップ名」フィールドに名前(SOA
など)を入力し、「OK」をクリックします。
「キーの作成」をクリックします。
次の詳細を入力します。
フィールド | 説明 |
---|---|
マップの選択 |
ステップ7で作成したマップ(この例ではSOA)を選択します。 |
キー |
キー名を入力します( |
タイプ |
「パスワード」を選択します。 |
ユーザー名 |
ユーザー名を入力します( |
パスワード |
キーストアに対して作成したパスワードを入力します。 |
注意: WebLogic ServerドメインでSSLを設定する場合、キーの別名が必要です。別名の値として「 |
Oracle Enterprise Manager Fusion Middleware Controlコンソールでキーストアの場所を設定します。方法については、ステップ1を参照してください。
https
およびsslport
を使用してOracle WebCenter Contentを起動するようにcomposite.xml
構文を変更します。たとえば、次の太字で示されている構文を変更します。
<?xml version="1.0" encoding="UTF-8" ?> <!-- Generated by Oracle SOA Modeler version 1.0 at [4/1/09 11:01 PM]. --> <composite name="InvokeEchoBPELSync" revision="1.0" label="2009-04-01_23-01-53_994" mode="active" state="on" xmlns="http://xmlns.example.com/sca/1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:orawsp="http://schemas.example.com/ws/2006/01/policy" xmlns:ui="http://xmlns.example.com/soa/designer/"> <import namespace="http://xmlns.example.com/CustomApps/InvokeEchoBPELSync/BPELProcess1" location="BPELProcess1.wsdl" importType="wsdl"/> <import namespace="http://xmlns.example.com/CustomApps/EchoBPELSync/ BPELProcess1"location="http://hostname:port/soa-infra/services/default/EchoBPEL Sync/BPELProcess1.wsdl" importType="wsdl"/>
https
およびsslport
を使用するように変更します。
location="https://hostname:sslport/soa-infra/services/default/EchoBPELSync /BPELProcess1.wsdl"
Webサービスを一方向SSL環境でWebCenter Contentからの外部参照として呼び出す場合は、サーバーの証明書名(CN)とホスト名が完全に一致することを確認します。これにより、正しいSSLハンドシェイクが保証されます。
たとえば、Webサービスの名前がadfbc
で、証明書のサーバー名がhost
の場合は、次のコードでSSLハンドシェーク例外が発生します。
<import namespace="/adfbc1/common/" location="https://host.example.com:8002/CustomApps-adfbc1-context-root/AppModuleService?WSDL" importType="wsdl"/> <import namespace="/adfbc1/common/" location="Service1.wsdl" importType="wsdl"/>
import
の順序を入れ替えると、SSLハンドシェイクに成功します。
<import namespace="/adfbc1/common/" location="Service1.wsdl" importType="wsdl"/> <import namespace="/adfbc1/common/" location="https://host.example.com:8002/CustomApps-adfbc1-context-root/AppModuleService?WSDL" importType="wsdl"/>
この問題に関連して次の制限があります。
Oracle WebLogic Server管理コンソールにあるようなホスト名の検証を無視するオプションはOracle JDeveloperにありません。これは、Oracle JDeveloperで使用されているSSLキットが異なるためです。トラスト・ストアのみコマンドラインから構成できます。他のすべての証明書引数は渡されません。
WSDLファイルで、https://
hostname
は前述のように証明書内の名前と一致する必要があります。ブラウザで行う場合と同じ手順は実行できません。たとえば、証明書のCNのホスト名がhost.example.com
の場合、ブラウザではhost
、host.example.com
またはIPアドレスを使用できます。Oracle JDeveloperでは、必ず証明書内の名前と同じ名前(host.example.com
)を使用する必要があります。
ここでは、WebCenter ContentとOracle HTTP Server間でSSL通信を構成する手順について説明します。
詳細は、『Oracle Fusion Middleware管理者ガイド』のWeb層のSSLの構成に関する項を参照してください。
Oracle HTTP ServerのSSL通信を構成する手順は、次のとおりです。
ssl.conf
に<Location /cs>
ロケーション・ディレクティブを追加します。この場合のport
はターゲットの管理対象サーバーのポート番号です。
<Location /cs> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.example.com:port/error.html </Location>
第17.2.1項の説明に従ってOracle WebLogic Serverを起動します。
Oracle Client、Oracle HTTP ServerおよびOracle WebLogic Serverの証明書を構成する手順は、次のとおりです。
Oracle HTTP Serverウォレットからユーザー証明書をエクスポートします。
orapki wallet export -wallet . -cert cert.txt -dn 'CN=\"Self-Signed Certificate for ohs1 \",OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US'
エクスポートした証明書をOracle WebLogic Serverトラストストアに信頼できる証明書としてインポートします。
keytool -file cert.txt -importcert -trustcacerts -keystore DemoTrust.jks
Oracle WebLogic Serverトラストストアから証明書をエクスポートします。
keytool -keystore DemoTrust.jks -exportcert -alias wlscertgencab -rfc -file certgencab.crt
エクスポートした証明書をOracle HTTP Serverウォレットに信頼できる証明書としてインポートします。
orapki wallet add -wallet . -trusted_cert -cert certgencab.crt -auto_login_only
Oracle HTTP Serverを再起動します。
第17.2.1項の説明に従ってOracle WebLogic Serverを再起動します。
WebCenter Contentで非SSLからSSL構成に切り替えるには、Oracle WebLogic Server管理コンソールで「フロントエンド・ホスト」および「フロントエンドHTTPSポート」フィールドを設定する必要があります。設定しないと、To-Doタスクを作成するときに例外エラーが発生します。
Oracle WebLogic Server管理コンソールにログインします。
「環境」セクションで「サーバー」を選択します。
管理対象サーバーの名前(UCM_server1
など)を選択します。
「プロトコル」を選択してから、「HTTP」を選択します。
「フロントエンド・ホスト」フィールドで、WebCenter Contentドメインが配置されているホスト名を入力します。
「フロントエンドHTTPSポート」フィールドに、SSLリスナー・ポートを入力します。
「Save」をクリックします。
Oracle WebCacheおよびOracle HTTP Server環境では、「Webサービスのテスト」ページでOracle WebCacheとの通信が必要になる場合があります。したがって、WebCenter ContentインスタンスとOracle WebCache間でSSLを構成する必要があります(つまり、ユーザー証明書をOracle WebCacheウォレットからエクスポートし、その証明書をOracle WebLogic Serverトラストストアに信頼できる証明書としてインポートします)。
『Oracle Fusion Middleware管理者ガイド』のOracle Web CacheエンドポイントのSSLの有効化に関する項を参照してください。
keytool
やorapki
などのツールで作成したカスタム・トラスト・ストアを使用している場合にHTTPSを介してWebCenter Contentを起動するには、Oracle JDeveloperで次の操作を実行します。
参照セクションでWSDLファイルをフェッチするには、「ツール」、「プリファレンス」、「HTTPアナライザ」、「HTTPS設定」、「クライアントの信頼する証明書キーストア」の順でトラスト・ストア情報を設定します。
SSL対応サーバーへのデプロイメント時に、コマンドラインでJSSEプロパティを使用します。
jdev -J-Djavax.net.ssl.trustStore=your_trusted_location
SSL対応の管理対象サーバーにデプロイされた非同期プロセスを有効化して、別の非同期プロセスをHTTPで呼び出すには、まず次の環境を作成することを前提とします。
非同期BPELプロセスAが非同期BPELプロセスBを呼び出す
非同期BPELプロセスAは一方向SSL対応の管理対象サーバーにデプロイされる
すべてのWSDL参照およびバインディングでプレーンHTTPを使用する
実行時に、WSDLはHTTPSを介して検索され、非同期BPELプロセスBからのコールバック・メッセージが失敗します。
この問題を解決するには、callbackServerURL
プロパティをcomposite.xml
ファイルの参照バインディング・レベルで渡す必要があります。これは、特定の参照呼出しのコールバックURLの値を示します。クライアント・コンポジットがSSL管理対象サーバーで実行されている場合、コールバックはデフォルトでSSLになります。
<reference name="Service1" ui:wsdlLocation="http://localhost:8000/soa-infra/services/default/ AsyncSecondBPELMTOM/BPELProcess1.wsdl"> <interface.wsdl interface="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1# wsdl.interface(BPELProcess1)" callbackInterface="http://xmlns.example.com/Async/ AsyncSecondBPELMTOM/BPELProcess1#wsdl.interface(BPELProcess1Callback)"/> <binding.ws port="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1# wsdl.endpoint(bpelprocess1_client_ep/BPELProcess1_pt)" location="http://localhost:8000/soa-infra/services/default/AsyncSecondBPELMTOM /bpelprocess1_client_ep?WSDL"> <wsp:PolicyReference URI="oracle/wss_username_token_client_policy" orawsp:category="security" orawsp:status="enabled"/> <wsp:PolicyReference URI="oracle/wsaddr_policy" orawsp:category="addressing" orawsp:status="enabled"/> <property name="callbackServerURL">http://localhost:8000/</property> </binding.ws> <callback> <binding.ws port="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1# wsdl.endpoint(bpelprocess1_client_ep/BPELProcess1Callback_pt)"> <wsp:PolicyReference URI="oracle/wss_username_token_service_policy" orawsp:category="security" orawsp:status="enabled"/> </binding.ws> </callback> </reference>
Remote Intradoc Client (RIDC)および自己署名証明書を使用するには、証明書をローカルのJVM証明書ストアにインポートして証明書が信頼されるようにする必要があります。
コンテンツ・サーバー・インスタンスからキーを取得します。次に例を示します。
openssl s_client -connect host.example.com:7045 2>/dev/null
CONNECTED(00000003)
---
Certificate chain
0 s:/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING ONLY/CN=hostname
i:/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING ONLY/CN=CertGenCAB
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING
ONLY/CN=host
issuer=/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING
ONLY/CN=CertGenCAB
---
No client certificate CA names sent
---
SSL handshake has read 625 bytes and written 236 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 512 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
Session-ID: 23E20BCAA4BC780CE20DE198CE2DFEE4
Session-ID-ctx:
Master-Key:
4C6F8E9B9566C2BAF49A4FD91BE90DC51F1E43A238B03EE9B700741AC7F4B41C72D2990648DE103
BB73B3074888E1D91
Key-Arg : None
Start Time: 1238539378
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
-----BEGIN CERTIFICATE-----
と-----END CERTIFICATE-----
行で囲まれたサーバー証明書をコピーして貼り付けます。証明書を新しいファイルに保存します。次に例を示します。
/tmp/host.pem: -----BEGIN CERTIFICATE----- MIIB6zCCAZUCEItVMwHDFXAnYG//RoVbXQgwDQYJKoZIhvcNAQEEBQAweTELMAkG A1UEBhMCVVMxEDAOBgNVBAgTB015U3RhdGUxDzANBgNVBAcTBk15VG93bjEXMBUG A1UEChMOTXlPcmdhbml6YXRpb24xGTAXBgNVBAsTEEZPUiBURVNUSU5HIE9OTFkx EzARBgNVBAMTCkNlcnRHZW5DQUIwHhcNMDkwMzI5MjM0NDM0WhcNMjQwMzMwMjM0 NDM0WjB5MQswCQYDVQQGEwJVUzEQMA4GA1UECBYHTXlTdGF0ZTEPMA0GA1UEBxYG TXlUb3duMRcwFQYDVQQKFg5NeU9yZ2FuaXphdGlvbjEZMBcGA1UECxYQRk9SIFRF U1RJTkcgT05MWTETMBEGA1UEAxYKZGFkdm1jMDAyMjBcMA0GCSqGSIb3DQEBAQUA A0sAMEgCQQCmxv+h8kzOc2xyjMCdPM6By5LY0Vlp4vzWFKmPgEytp6Wd87sG+YDB PeFOz210XXGMx6F/14/yFlpCplmazWkDAgMBAAEwDQYJKoZIhvcNAQEEBQADQQBn uF/s6EqCT38Aw7h/406uPhNh6LUF7XH7QzmRv3J1sCxqRnA/fK3JCXElshVlPk8G hwE4G1zxpr/JZu6+jLrW -----END CERTIFICATE-----
証明書をローカルのJVM証明書ストアにインポートします。キーストア・パスワードが必要になります。例を次に示します(パスワードはchangeit
です)。
sudo /opt/java/jdk1.6.0_12/bin/keytool -import -alias host -keystore
/opt/java/jdk1.6.0_12/jre/lib/security/cacerts -trustcacerts -file
/tmp/host.pem
Enter keystore password: changeit
Owner: CN=host, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown,
ST=MyState, C=US
Issuer: CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown,
ST=MyState, C=US
Serial number: -74aaccfe3cea8fd89f9000b97aa4a2f8
Valid from: Sun Mar 29 16:44:34 PDT 2009 until: Sat Mar 30 16:44:34 PDT 2024
Certificate fingerprints:
MD5: 94:F9:D2:45:7F:0D:E3:87:CF:2B:32:7C:BF:97:FF:50
SHA1: A8:A5:89:8B:48:9B:98:34:70:56:11:01:5C:14:32:AC:CB:18:FF:1F
Signature algorithm name: MD5withRSA
Version: 1
Trust this certificate? [no]: yes
Certificate was added to keystore
Oracleではいくつかのシングル・サインオン・ソリューションを提供しています。Oracle Access Manager(OAM)は、WebCenter Contentを含むOracle Fusion Middlewareエンタープライズ・クラスのインストールに推奨するシングル・サインオン(SSO)ソリューションです。OAMはOracleのアイデンティティ管理およびセキュリティ用のエンタープライズ・クラス製品スイートの一部です。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のデプロイに応じた正しいSSOソリューションの選択に関する項を参照してください。
エンタープライズ・クラスのインストールが、Microsoftドメイン・コントローラを使用してActive Directory内のユーザー・アカウントを認証するMicrosoftデスクトップ・ログインを使用する場合、Windows Native Authentication(WNA)のシングル・サインオンの構成はオプションの場合があります。WNAの詳細は、第17.3.6項を参照してください。
注意: WebDAV(/dav)は、WebDAVプロトコルごとにBasic認証によって保護されていますが、通常はフォームベースのログインが必要となるSSOによっては保護されていません。WebDAVに対してカスタムSSOソリューションを使用する場合は、カスタム・コンポーネントが必要となります。 |
構成情報は次の項で説明します。
この項では、WebCenter ContentとOracle Access Manager(OAM)11gの統合方法について説明します。Oracle WebCenter Content: コンテンツ・サーバー(CS)、Oracle WebCenter Content: Records (URM)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。
OAM 11gを構成する前に、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Identity Management 11gソフトウェアのインストールに関する説明で提供されている手順に従って、ソフトウェアをインストールします。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOAMエージェントの設定に関する説明で説明しているように、OAM 11g、Oracle HTTP Server(OHS)およびWebGateを構成します。
mod_wl_ohs.conf
ファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。
次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。
注意: 転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、 Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが |
注意: コンテンツ・サーバーのロケーション |
# Content Server
<Location /cs>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# Content Server authentication
<Location /adfAuthentication>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# WebCenter online help
<Location /_ocsh>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# IBR
<Location /ibr>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# URM
<Location /urm>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# SS
<Location /customer-configured-site-studio
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
OAM 11gリモート登録ツール(oamreg
)を使用して、保護およびパブリックにするWebCenter ContentのURIを指定して、OAMエージェントを登録します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 11gでのOAMエージェントのプロビジョニングに関する項を参照してください。
詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOAMエージェントの設定に関する項を参照してください。
注意: 保護およびパブリックにするURIは、コンテンツ・サーバー(CS)、Inbound Refinery(IBR)、Records(URM)、Site Studio(SS)など、インストールしたWebCenter Content機能により異なります。 Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが |
機能 | タイプ | URI |
---|---|---|
CS |
保護 |
|
CS |
パブリック |
|
CS |
パブリック |
|
IBR |
保護 |
|
IBR |
パブリック |
|
URM |
保護 |
|
URM |
パブリック |
|
SS |
保護 |
|
シングル・サインオン・ログアウトが正常に機能するよう、URL /oamsso/logout.html
をAccessGateのログアウトURL設定に追加します。詳細は、Oracle Security Token Serviceを伴うOracle Fusion Middleware Oracle Access Manager管理者ガイドのシングル・サインオン・ログアウトURLおよびAccessGate構成パラメータの構成に関する説明を参照してください。
これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 11g SSOソリューションのデプロイに関する項を参照してください。
OAM IDアサーション・プロバイダを構成します。OAM IDアサーション・プロバイダの制御フラグは、REQUIRED
に設定される必要があり、OAM_REMOTE_USER
およびObSSOCookie
はアクティブなタイプとして選択される必要があります。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のシングル・サインオン機能用のIdentity AsserterおよびOracle Access Manager 11gを使用したSSO用のアイデンティティ・アサーションの構成に関する項を参照してください。
認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。
注意: WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順番を変更してください。また、 |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 11gでの認証プロバイダのインストールおよびOracle Access Manager IDアサーション・プロバイダのプロバイダの設定に関する項を参照してください。
OAM 10gとOAM 11gで認証プロバイダをデプロイするときの違いの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
OPSS (OAM)シングル・サインオン・プロバイダを構成します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』で、ADFセキュリティ、OAM SSOおよびOPSS SSOを使用した、Webアプリケーション用のOracle WebLogic Serverの構成に関する項を参照してください。
OAM 11gのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、可能な場合、グローバル・ログアウトをテストし、その他のすべての関連アプリケーションからログアウトしていることを確認します。
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』およびOracle Security Token Serviceを伴うOracle Fusion Middleware Oracle Access Manager管理者ガイドのOracle Access Manager 11gの集中管理されたログアウトの構成に関する項を参照してください。
この項では、WebCenter ContentとOracle Access Manager(OAM)10gの統合方法について説明します。Oracle WebCenterコンテンツ・サーバー(CS)、Oracle WebCenter Content: Records (URM)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。
OAMを構成する前に、ソフトウェアをインストールします。OAM統合の詳細は、Oracle Fusion Middleware WebCenter Contentエンタープライズ・デプロイメント・ガイドを参照し、OAM 10gソフトウェアのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gでのSSOのデプロイに関する説明で説明しているように、OAM 10g、Oracle HTTP Server(OHS)およびWebGateを構成します。
mod_wl.conf
ファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。次のLocation
リストのエントリは、対応するアプリケーションが存在する適切なOracle WebLogic Serverへの受信パスをマップします。
次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。
注意: 転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、 Site Studioの場合、転送するURIはお客様が定義します。たとえば、サイトが |
注意: コンテンツ・サーバーのロケーション |
# Content Server
<Location /cs>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# Content Server authentication
<Location /adfAuthentication>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# WebCenter online help
<Location /_ocsh>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# IBR
<Location /ibr>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# URM
<Location /urm>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# SS
<Location /customer-configured-for-site-studio>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portname>
</Location>
OAM 10g構成ツール(oamcfgtool
)を使用して保護するWebCenter Content URIを指定します。
OAM構成ツールはコマンドライン・ユーティリティで、情報を要求する一連のスクリプトを起動し、OAMで必要なプロファイルとポリシーを設定するのに使用します。oamCtgTool
の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
注意: 保護するURIは、Oracle WebCenter Content(CS)、Inbound Refinery(IBR)、Records(URM)、Site Studio(SS)など、インストールしたWebCenter Content機能により異なります。 Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが |
機能 | URI |
---|---|
CS |
|
IBR |
|
URM |
|
SS |
|
注意: OAMの構成が完了した後で、WebCenter ContentのURLが正しくリンクしていない場合、サーバー・ホストとサーバーのポート値の変更が必要な場合があります。詳細は、第17.3.5項を参照してください。 |
OAMグローバル・ログアウトの設定を完了するには、end_url
が処理されるようWebGateを構成します。この構成を追加しない場合、ログアウトしても、end_url
が処理されないため、終了URLへのリダイレクトが行われません。構成手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
シングル・サインオン・ログアウトが正常に機能するよう、URL /oamsso/logout.html
をAccessGateのログアウトURL設定に追加します。詳細は、Oracle Security Token Serviceを伴うOracle Fusion Middleware Oracle Access Manager管理者ガイドのシングル・サインオン・ログアウトURLおよびAccessGate構成パラメータの構成に関する説明を参照してください。
注意: WebCenter Contentバージョン11gR1をOAMバージョン10gを使用する環境にデプロイするには、ログアウト・リクエストを適切に処理するための追加の構成が必要です。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gおよび10g WebGatesのグローバル・ログアウトの構成に関する項を参照してください。 |
次のタスクを実行して、WebCenter Contentドメインを構成します。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gでのSSOソリューションのデプロイに関する項を参照してください。
OAM IDアサーション・プロバイダを構成します。OAM IDアサーション・プロバイダの制御フラグをREQUIRED
に設定する必要があります。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gでのSSO用OAM IDアサーションの構成に関する項を参照してください。
認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがOracle WebCenter Contentドメインに追加される必要があります。
注意: WebCenter Content用のOracle WebLogic Serverドメインが |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 10gの認証プロバイダのインストールおよび設定およびOracle Access Manager 10gの認証の構成に関する項を参照してください。
OAM 10gとOAM 11gで認証プロバイダをデプロイするときの違いの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
OPSS (OAM)シングル・サインオン・プロバイダを構成します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gを使用したシングル・サインオンの構成に関する項を参照してください。
OAM 10gのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、可能な場合、グローバル・ログアウトをテストし、その他のすべての関連アプリケーションからログアウトしていることを確認します。
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』およびOracle Security Token Serviceを伴うOracle Fusion Middleware Oracle Access Manager管理者ガイドのOracle Access Manager 10gおよび11g WebGatesのグローバル・ログアウトの構成に関する説明を参照してください。
Oracle Single Sign-On (OSSO)は10g Oracle Application Serverスイートの一部です。OSSOは、Oracle Internet DirectoryおよびOracle HTTP Server (OHS)11gと組み合せたOC4Jアプリケーション・サーバーで使用できるエンタープライズ・レベルのシングル・サインオン・ソリューションです。
既存のOracleデプロイメントにOSSOがエンタープライズ・ソリューションとしてすでにデプロイされている場合、Oracle Fusion Middlewareは、既存のOSSOソリューションを引き続きサポートします。ただし、OAM 11g Single Sign-onソリューションへのアップグレードを検討することをお薦めします。
この項では、WebCenter ContentとOSSOの統合に関する情報について説明します。Oracle WebCenterコンテンツ・サーバー(CS)、Oracle WebCenter Content: Records (URM)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。
『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』および『Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド』も参照してください。
OSSOを構成する前に、ソフトウェアがインストールされていることを確認します。OSSOおよびOracle Delegated Administration Serviceは11g リリースの一部ではありません。お客様は、11g Oracle Internet DirectoryおよびOracle Directory Integration Platformと互換性があり、いわゆる10gでのApplication Serverインフラストラクチャを形成する、これらの製品の10.1.4.*バージョンをダウンロードする必要があります。これらの10g製品でのデプロイ手順については、Oracle Identity Managementリリース10.1.4.0.1用のOracle Application Serverエンタープライズ・デプロイメント・ガイドの第4章「JAZN-SSO/DASのインストールおよび構成」を参照してください。このマニュアルは次のOracle Technology Networkから使用可能です。
http://download.oracle.com/docs/cd/B28196_01/core.1014/b28184/toc.htm
OSSOを構成します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
WebCenter Content Uniform Resource Identifier(URI)エントリをmod_wl_ohs.conf
ファイルに追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。
次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。
注意: 転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、 Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが |
注意: コンテンツ・サーバーのロケーション |
# Content Server
<Location /cs>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# Content Server authentication
<Location /adfAuthentication>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# WebCenter online help
<Location /_ocsh>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# IBR
<Location /ibr>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# URM
<Location /urm>
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
# SS
<Location /customer-configured-site-studio
SetHandler weblogic-handler
WebLogicHost <hostname>
WebLogicPort <portnumber>
</Location>
保護するWebCenter Content Uniform Resource Identifier(URI)を含めるようにmod_osso.conf
ファイル(ORACLE_HOME
/ohs/conf/
)を変更します。
注意: 保護するURIは、コンテンツ・サーバー(CS)、Inbound Refinery(IBR)、Records(URM)、Site Studio(SS)など、インストールしたWebCenter Content機能により異なります。 Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが |
機能 | URI |
---|---|
CS |
|
IBR |
|
URM |
|
SS |
/customer_configured_site_studio |
これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle AS SSO 10gを使用したシングル・サインオンの構成に関する項を参照してください。
WebCenter Content用のOracle WebLogic ServerのOSSO IDアサーション・プロバイダを追加および構成します。認証プロバイダとして、OSSO IDアサーション・プロバイダ、OID認証、デフォルト認証を推奨します。
OID認証プロバイダはOracle Internet Directoryサーバー用で、本稼働レベルのシステムで使用されます。デフォルト認証プロバイダは、Oracle WebLogic Server組込みLDAPサーバー用です。
OSSOIdentityAsserterをドメイン用のプライマリ・プロバイダ認証として設定し、ユーザー・プロファイルが関連Oracle Internet Directoryサーバーから取得できるようにします。必要な場合、リストされているように制御フラグを設定し、プロバイダの順序を変更して次の順序で表示されるようにします。
OSSOIdentityAsserter (REQUIRED
)
OIDAuthenticator (SUFFICIENT
)
DefaultAuthenticator (SUFFICIENT
)
注意: WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順番を変更してください。また、 |
認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OSSOでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。
注意: OSSOの構成が完了した後で、WebCenter ContentのURLが正しくリンクしていない場合、サーバー・ホストとサーバーのポート値の変更が必要な場合があります。詳細は、第17.3.5項を参照してください。 |
WebCenter Content用のOracle WebLogic Serverドメインが、ユーザー認証(Oracle Internet Directoryまたはその他のLDAPプロバイダなど)用にデフォルトの認証プロバイダ以外の認証プロバイダを使用するように構成されている場合、プライマリ・プロバイダはセキュリティ・レルム構成の最初の認証プロバイダである必要があります。そうでないと、ログイン認証が失敗します。
プライマリ・プロバイダが最初にリストされていない(たとえば、Oracle WebLogic ServerプロバイダであるDefaultAuthenticator
の下にリストされている)場合、WebCenter Contentはユーザーのグループ・メンバーシップを正常にロードできず、その結果、ユーザー権限もロードできません。Oracle WebLogic Server管理コンソールを使用して、構成済み認証プロバイダが呼び出される順番を変更できます。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
注意: Oracle Internet Directoryを使用する場合、すべてのWebCenter Content管理者とその他のユーザーは、Oracle Internet Directoryで定義される必要があります。 |
注意: コンテンツ・サーバーはコンテンツ・サーバー管理者ロールを、内部Oracle WebLogic Serverユーザー・ストアに定義された管理ユーザーに割り当てます。これはOracle Internet Directoryが使用されているかどうかに関わらず当てはまります。ただし、Oracle Internet DirectoryおよびOracle Internet Directory Authenticationプロバイダが最初にリストされていない場合、コンテンツ・サーバー・インスタンスによるOracle WebLogic Serverが定義した管理ユーザーのロールを取得するリクエストは失敗します。 |
注意: 11g リリース1(11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、Oracle Internet Directory(OID)とActive Directoryの両方をユーザーおよびロール情報のソースとして使用できます。Oracle WebLogic Server上での複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。 |
Oracleアプリケーションをシングルサインオン(SSO)とともに使用するように構成し、Oracle Access Manager(OAM)またはOracle Single Sign-On(OSSO)を設定した場合、WebCenter Content GET_ENVIRONMENT
サービスにより、サーバー名、サーバー・ポート、アプリケーション・サービス・コール(WebCenter Doclibサービスなど)への相対Webルートが提供されます。ただし、GET_ENVIRONMENT
により提供される値は、使用するSSO構成には適切でない場合があります。
OHSサーバー・ホストおよびサーバー・ポートを使用するアプリケーション・サービスをリダイレクトする場合(OAMおよびOSSOソリューションは両方ともOHSを使用するフロント・エンド・アプリケーションが必要なため)、コンテンツ・サーバー・ホストおよびサーバー・ポートの構成値を変更する必要があります。
次の2つのいずれかの方法を使用して、コンテンツ・サーバー・ホストおよびサーバー・ポート値を変更できます。
Oracle WebLogic Server管理コンソールを使用します。
スタンドアロンのWebCenter Contentシステム・プロパティ・アプリケーションを使用します。
WebCenter Contentドメイン・ディレクトリに移動します。
ディレクトリをucm/cs/binに変更します。
スタンドアロン・アプリケーションを実行します。./SystemProperties
「システム・プロパティ」ウィンドウで、「インターネット」タブを選択します。
HTTPサーバー・アドレスをOHS(またはロード・バランサ)サーバー・ホストおよびサーバー・ホスト値に更新します。
「システム・プロパティ」ウィンドウを閉じます。
Oracle WebLogic Serverドメインを再起動します。
Windows Native Authentication(WNA)用にWebCenter Contentおよびシングル・サインオン(SSO)を設定するには、Microsoft Active Directory、クライアントおよびOracle WebLogic Serverドメインが必要です。MicrosoftクライアントでのSSOへのシステム要件を含む詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントでのシングル・サインオンの構成に関する項に記載されています。
MicrosoftクライアントでのSSOの構成の一部として、外部Microsoft Active DirectoryにアクセスするようにLDAP認証プロバイダを指定する必要があります。Oracle WebLogic Serverでは、Active Directory認証プロバイダを提供します。『Oracle WebLogic Serverの保護』のConfiguring LDAP認証プロバイダの構成に関する項を参照してください。
注意: WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順番を変更してください。また、 |
MicrosoftクライアントでのSSOの構成の一部として、Oracle WebLogic Serverセキュリティ・レルムにネゴシエートIDアサーション・プロバイダを構成する必要があります。IDアサーション・プロバイダは、Simple and Protected Negotiate (SPNEGO)トークンをデコードしてKerberosトークンを取得し、このKerberosトークンを検証してWebLogicユーザーにマップします。Oracle WebLogic Server管理コンソールを使用して、ドメイン構造内の適切なセキュリティ・レルムに新しいプロバイダを追加し、名前を付けて、そのタイプとしてNegotiateIdentityAsserterを選択します。変更をアクティブ化して、Oracle WebLogic Serverを再起動します。サーバーはKerberosチケットを使用できるようになり、それはブラウザから受信します。
関連デプロイ・プランを使用して、Windows Native Authentication(Kerberos)環境で使用される各WebCenter Contentアプリケーション(コンテンツ・サーバー、Inbound Refinery、Records)を再デプロイする必要があります。デプロイ・プランはXMLドキュメントです。Oracleでは、3つのWebCenter Contentアプリケーションのそれぞれに対して、cs-deployment-plan.xml、ibr-deployment-plan.xml、urm-deployment-plan.xmlというプランを提供します。Oracle WebLogic Scripting Toolを使用してデプロイ・プランを実装することもできます。
Oracle WebLogic Server管理コンソールにログインします。
「ドメイン構造」ナビゲーション・ツリーで、「デプロイメント」をクリックします。
「制御」タブで、変更するWebCenter Contentデプロイメントが表示されるまで「次へ」をクリックします。
Oracle WebCenter Contentサーバー
Oracle WebCenter Content: Inbound Refinery
Oracle WebCenter Content: Records
変更するデプロイメントの左のチェック・ボックスを選択します。
「更新」をクリックします。
デプロイ・プラン・パスの下で「パスの変更」を選択します。
適切なプラン・ファイルに移動して選択します。
cs-deployment-plan.xml
(Content Server用)
ibr-deployment-plan.xml
(Inbound Refinery用)
urm-deployment-plan.xml
(Records用)
「このアプリケーションを次のデプロイメント・ファイルを使用して再デプロイします。」が選択されていることを確認します。
「次へ」をクリックします。
「終了」をクリックします。
MicrosoftクライアントでのSSOが適切に構成されていることを確認するには、使用するMicrosoft WebアプリケーションまたはWebサービスへのブラウザをポイントします。Windowsドメインにログインし、ドメインのActive Directoryサーバーから取得したKerberos資格証明がある場合、ユーザー名またはパスワードを指定せずにWebアプリケーションまたはWebサービスにアクセスできるはずです。
cs-deployment-plan.xml
提供されたcs-deployment-plan.xml
ファイルを使用するか、または.xml
ファイルを作成してそれにcs-deployment-plan.xmlという名前を付けます。
<deployment-plan <?xml version='1.0' encoding='UTF-8'?> xmlns="http://xmlns.example.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.example.com/weblogic/deployment-plan http://xmlns.example.com/weblogic/deployment-plan/1.0/deployment-plan.xsd" global-variables="false"> <application-name>cs.ear</application-name> <variable-definition> <variable> <name>http-only</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>cs.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>http-only</name> <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan>
ibr-deployment-plan.xml
提供されたibr-deployment-plan.xml
ファイルを使用するか、または.xml
ファイルを作成してそれにibr-deployment-plan.xmlという名前を付けます。
<deployment-plan <?xml version='1.0' encoding='UTF-8'?> xmlns="http://xmlns.example.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation= "http://xmlns.example.com/weblogic/deployment-plan http://xmlns.example.com/weblogic/deployment-plan/1.0/deployment-plan.xsd" global-variables="false"> <application-name>ibr.ear</application-name> <variable-definition> <variable> <name>http-only</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>ibr.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>http-only</name> <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan>
urm-deployment-plan.xml
提供されたurm-deployment-plan.xml
ファイルを使用するか、または.xml
ファイルを作成してそれにurm-deployment-plan.xmlという名前を付けます。
<deployment-plan <?xml version='1.0' encoding='UTF-8'?> xmlns="http://xmlns.example.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.example.com/weblogic/deployment-plan http://xmlns.example.com/weblogic/deployment-plan/1.0/deployment-plan.xsd" global-variables="false"> <application-name>urm.ear</application-name> <variable-definition> <variable> <name>http-only</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>urm.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan>
Oracle Infrastructure Webサービスでは、ポリシー・セットを作成してグローバル・スコープのサブジェクト(ドメイン、サーバー、アプリケーションまたはSOAコンポジット)にアタッチする機能が提供されています。Oracle Infrastructure WebサービスはWeb Services for Java EE 1.2仕様に従って実装されます(この仕様は、JavaでWebサービスを実装するための標準のJava EEランタイム・アーキテクチャを定義したものです)。この仕様には、標準Java EE Webサービス・パッケージング形式、デプロイメント・モデルおよびランタイム・サービスも記述されており、Oracle Infrastructure Webサービスにはこれらがすべて実装されています。
WebサービスへのOWSMセキュリティの適用の詳細は、Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイドのWebサービスへのポリシーのアタッチに関する説明を参照してください。
IBM WebSphereでサポートされているOracle Infrastructure Webサービスの動作の違いや制限事項については、サード・パーティ・アプリケーション・サーバー・ガイドのIBM WebSphereでのWebサービスの管理に関する説明を参照してください。