33 シングル・サインオン向けのFrameworkアプリケーションの構成

この章では、WebCenter Portal: Frameworkアプリケーションをシングル・サインオン(SSO)向けに構成する方法を説明します。この章で説明する構成ではすべて、第32項「シングル・サインオンの構成」の説明に従ってSSOがすでに構成されていることが前提となっています。

この章の内容は次のとおりです。

• 第33.1項「構成の概要」

• 第33.2項「シングル・サインオンの前提条件」

• 第33.3項「Web層の構成」

• 第33.4項「OAMに対するFrameworkアプリケーションおよびポートレット・プロデューサ・アプリケーションの構成」

• 第33.5項「OSSOに対するFrameworkアプリケーションの構成」

• 第33.6項「SAML SSOに対するFrameworkアプリケーションの構成」

対象読者

この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdminロールを付与されたユーザー)を対象としています。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。

33.1 構成の概要

Oracle WebCenter Portalでは、WebCenter Portal: Frameworkアプリケーションに対して、次のSSOソリューションのシングル・サインオン(SSO)がサポートされます。

• OAM 10g

• OAM 11g

• OSSO

• SAML SSO (宛先アプリケーションとしてのFrameworkアプリケーション)

• SAML SSO (ソース・アプリケーションとしてのFrameworkアプリケーション)

Frameworkアプリケーションをシングル・サインオンに含めることができるようにするには、第32章「シングル・サインオンの構成」で説明しているSSOの構成に加えて、選択したSSOソリューションに対してFrameworkアプリケーション自体を構成することも必要です。これを実行するには、第33章「シングル・サインオンの前提条件」に示された手順を実行した後、特定のソリューションの手順を続行してください。この場合、唯一の例外がSAML SSOで、Frameworkアプリケーションがソース・アプリケーションとして機能します。すべての手順については、前提条件を含めて、第33.6.2項「ソースとしてのFrameworkアプリケーションに対するSAML SSOの構成」で説明しています。

33.2 シングル・サインオンの前提条件

SSOに含めるすべてのFrameworkアプリケーションでは、そのアプリケーションの保護に使用されるシングル・サインオン・ソリューションに関係なく、一定の構成を適切に行うことが必要です。この場合、唯一の例外がSAML SSOで、Frameworkアプリケーションがソース・アプリケーションとして機能します(詳細は、第33.6.2項「ソースとしてのFrameworkアプリケーションに対するSAML SSOの構成」を参照してください)。

シングル・サインオンの一般的な前提条件は、次の各項で説明しています。

• 第33.2.1項「web.xmlへのCLIENT-CERTの追加」

• 第33.2.2項「JSESSIONIDのCookieパスの設定」

• 第33.2.3項「アプリケーションの公開URIおよび保護対象URIの指定」

• 第33.2.4項「埋込みログインの意味」

• 第33.2.5項「ログアウトの処理」

33.2.1 web.xmlへのCLIENT-CERTの追加

すべてのSSOソリューションで、WLSドメインに構成されたアイデンティティ・アサータが使用されます。これは、SSO構成で提供されるアサーション・タイプをアサートします。たとえば、OAMの場合、アイデンティティ・アサータは、ObSSOCookieまたはOAM_REMOTE_USERヘッダーに基づいてアサートし、SAML SSOの場合はSAMLアサーションをアサートします。

アサータでアイデンティティをアサートするには、アプリケーションのログイン構成に認証方式としてCLIENT-CERTを指定する必要があります。つまり、次の例で示しているように、アプリケーションのweb.xmlファイルに、auth-methodとしてCLIENT-CERTを指定する必要があります。

<login-config>
    <auth-method>CLIENT-CERT,FORM</auth-method>

WebLogicでは、カンマ区切りの認証方式を指定できます。この例では、SSOアサーション(CLIENT-CERT)を使用できない場合、アプリケーションではFORMベースの認証が使用されます。

33.2.2 JSESSIONIDのCookieパスの設定

SSOの設定では、アプリケーションのCookieパスを設定するようお薦めします。WLSでこれを行うには、weblogic.xmlファイルを編集し、次のエントリを追加します。

  <session-descriptor>
    <cookie-path>/customportal</cookie-path>
  </session-descriptor>

customportalは、アプリケーションのコンテキスト・ルートです。

33.2.3 アプリケーションの公開URIおよび保護対象URIの指定

SSO構成では、アプリケーションの公開URIおよび保護対象URIを指定します。SSOソリューションによっては、OSSOやSAML SSOのように、保護対象URIの指定のみが必要です。次のリストは、Frameworkアプリケーションに使用される一般的な保護対象URIおよび公開URIを示しています。

公開URI

/<app-context-root>

保護対象URI

/<app-context-root>/adfAuthentication

使用しているアプリケーションの保護対象URIは、次の例に示しているように、web.xmlファイルのsecurity-constraintノードを確認することによって決定できます。

  <security-constraint>
    <web-resource-collection>
      <web-resource-name>adfAuthentication</web-resource-name>
      <url-pattern>/adfAuthentication</url-pattern>
    </web-resource-collection>
    <auth-constraint>
      <role-name>valid-users</role-name>
    </auth-constraint>
  </security-constraint>

security-constraintノード内のエントリは常に、アプリケーションのコンテキスト・ルートに相対的です。この例では、このセキュリティ制約は/app-context-root/adfAuthenticationであると解釈できます。別のセキュリティ制約が指定されている場合、たとえば/adminが指定されているとすると、/app-context-root/adminであると解釈できます。

33.2.4 埋込みログインの意味

Frameworkアプリケーションでは通常、ログイン・ページがweb.xml構成ファイルのlogin-configセクションで構成されるformベースのログイン・メカニズムが使用されます(個別のログイン構成ファイルはありません)。アプリケーションで、ページ・テンプレートにログイン領域を埋め込むことや、ランディング・ページを作成することもできます。この場合は通常、ユーザーの資格証明が、認証のためにj_security_checkに送信されます。ただし、SSOの場合、認証はSSOログイン・チャレンジを通して実行する必要があります。

33.2.5 ログアウトの処理

すべてのSSOソリューションに対して、ログアウトを処理するためのADF認証サーブレットが用意されています。使用しているアプリケーションのログアウトで、ADF認証サーブレットがログアウト用に呼び出されるようにする必要があります。これを実行するには、次の例で示しているように、使用しているアプリケーションのfaces-config.xmlファイルで、正常なログアウトのナビゲーション・ルールを変更する必要があります。

<navigation-case>
      <from-outcome>logout_success</from-outcome>
      <to-view-id>/adfAuthentication?logout=true&amp;end_url=/</to-view-id>
      <redirect/>
</navigation-case>

/adfAuthenticationのend_urlパラメータは、正常なログアウト後にユーザーをダイレクトする宛先の任意のURLに指定できます。たとえば、/を指定すると、ユーザーはアプリケーションのデフォルトのページにダイレクトされます。

33.3 Web層の構成

エンタープライズ・アプリケーションのフロントエンド処理を行うWeb層が環境に含まれる場合、SSO向けにそのWeb層を構成する必要があります。Web層は、OAMソリューションおよびOSSOソリューションに必要で、Content Serverが関連する場合にはSAML SSOソリューションで使用されます。

1. 次の例で示しているように、mod_wl_ohs.confにアプリケーションのマッピングを追加します。

   <Location /customportal>
         SetHandler weblogic-handler
         WebLogicHost webcenter.example.com
         WebLogicPort 8888
   </Location>
   

   customportalは、アプリケーションのコンテキスト・ルートです。

2. Oracle HTTP Serverを再起動します。

33.4 OAMに対するFrameworkアプリケーションおよびポートレット・プロデューサ・アプリケーションの構成

この項では、OAM 10gおよび11gに対して、WebCenter Portal: FrameworkアプリケーションまたはWebCenter Portal:ポートレット・プロデューサ・アプリケーションを構成する方法を説明します。この項の手順を実行する前に、第32.2項「Oracle Access Manager (OAM)の構成」の手順をすでに実行して、Spacesおよび関連アプリケーションに対してSSOを設定しておく必要があります。また、第33.2項「シングル・サインオンの前提条件」の構成も完了しておく必要があります。

注意: 開始する前に、Frameworkアプリケーションのデプロイ先のドメイン内でOAMによって使用されているアイデンティティ・ストアのLDAPをポイントするように、必須のOAMアサータおよびオーセンティケータを構成しておく必要があります。これをまだ実行していない場合は、開始する前に、第32.2項「Oracle Access Manager (OAM)の構成」の手順を実行してください。

この項の内容は次のとおりです。

• 第33.4.1項「OAM 10gに対するFrameworkアプリケーションの構成」

• 第33.4.2項「OAM 10gに対するポートレット・プロデューサ・アプリケーションの構成」

• 第33.4.3項「OAM 11gに対するFrameworkアプリケーションの構成」

• 第33.4.4項「OAM 11gに対するポートレット・プロデューサ・アプリケーションの構成」

33.4.1 OAM 10gに対するFrameworkアプリケーションの構成

この項では、OAM 10gを使用したシングル・サインオン向けにFrameworkアプリケーションを構成する方法を説明します。アプリケーションを構成する前に、第32.2項「Oracle Access Manager(OAM)の構成」の説明に従って、OAMのインストールと構成を完了しておく必要があります。

OAM 10gに対してFrameworkアプリケーションを構成する手順は次のとおりです。

1. ブラウザを使用してOAMコンソールにログインし、次の場所に移動します。

   http://host:port/access/oblix

2. 「ポリシー・マネージャ」をクリックします。

3. WebCenter Portalリソースを保護するために作成したポリシー・ドメインを見つけます。

4. 「リソース」タブを開き、「追加」をクリックします。

5. リソースを追加します。各リソースに対して、次の手順を実行します。

   1. 「リソース・タイプ」としてHTTPを選択します。

   2. WebCenter Portal Web層のホストIDを選択します。

   3. アプリケーションのURL接頭辞(/<app-context-root>)を入力します。

   4. リソースの説明を入力します。

   5. 「キャッシュの更新」が選択されていることを確認して、「保存」をクリックします。

6. 手順5を繰り返して、リソースとして/<app-context-root>/adfAuthenticationを追加します。

7. 「ポリシー」タブに移動して、パブリック・ポリシーを見つけます。

8. パブリック・ポリシーを開いて、手順5で作成したリソース(/<app-context-root>)を選択します。

9. 変更を保存します。

10. Web層を再起動し、変更をテストします。

33.4.2 OAM 10gに対するポートレット・プロデューサ・アプリケーションの構成

この項では、OAM 10gを使用したシングル・サインオン向けにポートレット・プロデューサ・アプリケーションを構成する方法を説明します。ポートレット・プロデューサ・アプリケーションを構成する前に、第33.4.1項「OAM 10gに対するFrameworkアプリケーションの構成」の手順を実行してから、次の手順を実行してください。

OAM 10gに対してポートレット・プロデューサ・アプリケーションを構成する手順は次のとおりです。

1. ブラウザを使用してOAMコンソールにログインし、次の場所に移動します。

   http://host:port/access/oblix

2. 「ポリシー・マネージャ」をクリックします。

3. WebCenter Portalリソースを保護するために作成したポリシー・ドメインを見つけます。

4. 「リソース」タブを開き、「追加」をクリックします。

5. 「リソース・タイプ」としてHTTPを選択します。

6. WebCenter Portal Web層のホストIDを選択します。

7. アプリケーションのURL接頭辞(/<app-context-root/portlets>)を入力します。

8. リソースの説明を入力します。

9. 「キャッシュの更新」が選択されていることを確認して、「保存」をクリックします。

10. 「ポリシー」タブに移動して、除外スキーム・ポリシーを見つけ、このポリシーに対して、新規作成したポートレット・プロデューサ・リソースを選択します。

11. このポリシーを開いて、手順5で作成したリソース(/<app-context-root>/portlets)を選択します。

12. 変更を保存します。

13. 「リソース」タブを開き、「追加」をクリックします。

14. 「リソース・タイプ」としてHTTPを選択します。

15. WebCenter Portal Web層のホストIDを選択します。

16. アプリケーションのURL接頭辞(/<app-context-root/monitor>)を入力します。

17. リソースの説明を入力します。

18. 「キャッシュの更新」が選択されていることを確認して、「保存」をクリックします。

19. 変更を保存します(デフォルトでは保護されたポリシーに含まれます)。

20. Web層を再起動し、変更をテストします。

33.4.3 OAM 11gに対するFrameworkアプリケーションの構成

この項では、OAM 11gを使用したシングル・サインオン向けにFrameworkアプリケーションを構成する方法を説明します。アプリケーションを構成する前に、第32.2項「Oracle Access Manager(OAM)の構成」の説明に従って、OAMのインストールと構成を完了しておく必要があります。

OAM 11gに対してFrameworkアプリケーションを構成する手順は次のとおりです。

1. ブラウザを使用してOAMコンソールにログインし、次の場所に移動します。

   http://host:port/oamconsole

2. 「ポリシー構成」→「アプリケーション・ドメイン」に移動します。

   「ポリシー・マネージャ」ペインが表示されます。

3. WebGateエージェントの登録で使用した名前を使用して作成したアプリケーション・ドメインを見つけます。

4. 「リソース」タブを開き、「新規リソース」をクリックします。

5. Frameworkアプリケーションのリソースを追加します。各リソースに対して、次の手順を実行します。

   1. 「リソース・タイプ」としてHTTPを選択します。

   2. WebGateエージェントの登録時に作成されたホストIDを選択します。

   3. アプリケーションのリソースURL(/<app-context-root>*)を入力します。

   4. リソースの説明を入力します。

   5. 「保護レベル」をUnprotectedに設定します。

   6. 「認証ポリシー」をPublic Resource Policyに設定します。

   7. 「認可ポリシー」をProtected Resource Policyに設定します。

   8. 「適用」をクリックします。

6. 手順5を繰り返して、リソースとして/<app-context-root>/.../*を追加します。

7. リソースとして/<app-context-root>/adfAuthentication*を追加します。

   1. 「リソース・タイプ」としてHTTPを選択します。

   2. WebGateエージェントの登録時に作成されたホストIDを選択します。

   3. アプリケーションのリソースURL(/<app-context-root>/adfAuthentication*)を入力します。

   4. リソースの説明を入力します。

   5. 「保護レベル」をProtectedに設定します。

   6. 「認証ポリシー」をProtected Resource Policyに設定します。

   7. 「認可ポリシー」をProtected Resource Policyに設定します。

   8. 「適用」をクリックします。

8. リソースとして/<app-contextroot>/monitor*を追加します。

   1. 「リソース・タイプ」としてHTTPを選択します。

   2. WebGateエージェントの登録時に作成されたホストIDを選択します。

   3. アプリケーションのリソースURL(/<app-context-root>/monitor*)を入力します。

   4. リソースの説明を入力します。

   5. 「保護レベル」をProtectedに設定します。

   6. 「認証ポリシー」をProtected Resource Policyに設定します。

   7. 「認可ポリシー」をProtected Resource Policyに設定します。

   8. 「適用」をクリックします。

9. リソースとして/<app-contextroot>/monitor/.../*を追加します。

   1. 「リソース・タイプ」としてHTTPを選択します。

   2. WebGateエージェントの登録時に作成されたホストIDを選択します。

   3. アプリケーションのリソースURL(/<app-context-root>/monitor/.../*)を入力します。

   4. リソースの説明を入力します。

   5. 「保護レベル」をProtectedに設定します。

   6. 「認証ポリシー」をProtected Resource Policyに設定します。

   7. 「認可ポリシー」をProtected Resource Policyに設定します。

   8. 「適用」をクリックします。

10. Web層を再起動し、変更をテストします。

33.4.4 OAM 11gに対するポートレット・プロデューサ・アプリケーションの構成

この項では、OAM 11gを使用したシングル・サインオン向けにポートレット・プロデューサ・アプリケーションを構成する方法を説明します。ポートレット・プロデューサ・アプリケーションを構成する前に、第33.4.3項「OAM 11gに対するFrameworkアプリケーションの構成」の手順を実行してから、次の手順を実行してください。

OAM 11gに対してポートレット・プロデューサ・アプリケーションを構成する手順は次のとおりです。

1. ブラウザを使用してOAMコンソールにログインし、次の場所に移動します。

   http://host:port/oamconsole

2. 「ポリシー・マネージャ」をクリックします。

3. WebCenter Portalリソースを保護するために作成したポリシー・ドメインを見つけます。

4. 「リソース」タブを開き、「追加」をクリックします。

5. 「リソース・タイプ」としてHTTPを選択します。

6. WebGateエージェントの登録時に作成されたホストIDを選択します。

7. アプリケーションのURL接頭辞(/<app-contextroot>/portlets/.../*)を入力します。

8. リソースの説明を入力します。

9. 「保護レベル」をExcludedに設定して、「保存」をクリックします。

10. Web層を再起動し、変更をテストします。

33.5 OSSOに対するFrameworkアプリケーションの構成

この項では、WebCenter Portal: FrameworkアプリケーションをOSSO向けに構成する方法を説明します。この項の手順を実行する前に、第32.3項「Oracle Single Sign-On (OSSO)の構成」の手順をすでに実行して、Spacesおよび関連アプリケーションに対してSSOを設定しておく必要があります。また、第33.2項「シングル・サインオンの前提条件」の構成も完了しておく必要があります。

注意: 開始する前に、Frameworkアプリケーションのデプロイ先のドメイン内でOSSOによって使用されているアイデンティティ・ストア(OID)をポイントするように、必須のOSSOアサータおよびオーセンティケータを構成しておく必要があります。これをまだ実行していない場合は、開始する前に、第32.3項「Oracle Single Sign-On (OSSO)の構成」の手順を実行してください。

OSSOに対してFrameworkアプリケーションを構成する手順は次のとおりです。

1. OHS内でmod_osso.confファイルを見つけ、これを開きます。

2. Frameworkアプリケーションの次のエントリを他の同様のエントリに追加します。

   <Location /<app-context-root>/adfAuthentication>
         OssoSendCacheHeaders off
         require valid-user
         AuthType Osso
   </Location>
   

3. OHSを再起動します。

33.6 SAML SSOに対するFrameworkアプリケーションの構成

この項では、FrameworkアプリケーションにSAML SSOを設定する方法を説明します。SAMLシングル・サインオンは、エンタープライズSSOソリューションを使用できない小規模の環境(たとえば、部門)に対してのみ推奨されます。

手順は次の2つのシナリオに分かれます。

• シナリオ1: 宛先アプリケーションとしてのFrameworkアプリケーション

  これは、WebCenter Portal SAML SSOスクリプトで指定されるデフォルトのSAML SSO動作で、ここではSpacesアプリケーションがソース・アプリケーションで、その他すべてのアプリケーションが宛先アプリケーションです(つまり、シングル・サインオンで他の宛先アプリケーションを動作させるには、Spacesにログインする必要があります)。

• シナリオ2: ソース・アプリケーションとしてのFrameworkアプリケーション

  この動作は、WebCenter Portal SAML SSOスクリプトではサポートされていないため、手動の構成が必要です。このシナリオでは、FrameworkアプリケーションをSAMLソースとして動作させ、その他のアプリケーション(Spacesを含む)を宛先アプリケーションとして動作させます(つまり、Frameworkアプリケーションが最初のアクセス・ポイントであり、シングル・サインオンでその他の宛先アプリケーションを動作させるためにそのFrameworkアプリケーションにログインする必要があります)。

SAMLをFrameworkアプリケーションに構成するこれら2つの方法については、次の各項で説明しています。

• 第33.6.1項「宛先のFrameworkアプリケーションへのSAML SSOの構成」

• 第33.6.2項「ソースのFrameworkアプリケーションへのSAML SSOの構成」

33.6.1 宛先のFrameworkアプリケーションへのSAML SSOの構成

この項の手順を実行する前に、Spacesおよび関連アプリケーションに対してSSOを設定する方法を説明している第32.4項「SAMLベースのシングル・サインオンの構成」の前提条件と手順をすでに完了しておく必要があります。この項で示す手順によって、その設定にFrameworkアプリケーションの構成手順が追加されます。

このシナリオでは、Spacesアプリケーションはソース・アプリケーションとして動作を続け、シングル・サインオンに宛先アプリケーションとして含まれる新規Frameworkアプリケーションと連動します(つまり、Spacesにログインした場合にFrameworkアプリケーションのいずれかの保護対象URIにアクセスすると、自動的にログインされます)。Spacesにまだログインしていないときに保護対象URIにアクセスすると、Spacesのログイン・ページにダイレクトされた後に、アプリケーションのセキュアなページにリダイレクトされて戻ります。

次の手順では、次のことが前提となっています。

• Frameworkアプリケーションが、configureSpaces.pyスクリプトが実行されたSpacesドメインにデプロイされている。Frameworkアプリケーションがこれとは別のドメインにある場合は、WLS管理コンソール(「セキュリティ・レルム」→「プロバイダ」→「オーセンティケータ」)でSAMLIdentityAsserterV2 IDアサータを作成し、WLSを再起動します。その上で、SAML SSOの設定で使用した証明書をエクスポートし、作成したSAMLアイデンティティ・アサータの下にその証明書を登録する必要があります。

• 後述の手順および例のパラメータ値では、demoidentity証明書を使用していることが前提となっている。これとは別の証明書を使用している場合は、必要に応じて証明書の名前を変更します。

• Web層が構成に含まれる場合は、ホストIDおよびポートIDは、Web層のホストIDとポートIDである。

この項の内容は次のとおりです。

• 第33.6.1.1項「宛先サイトの有効化」

• 第33.6.1.2項「リライイング・パーティの構成」

• 第33.6.1.3項「アサーティング・パーティの構成」

33.6.1.1 宛先サイトの有効化

Frameworkアプリケーションの宛先サイトを有効にする手順は次のとおりです。

1. SpacesドメインのWLS管理コンソールにログオンします。

2. 「サーバー」→[ポータル・アプリケーションをホストしているサーバー]→「構成」→「フェデレーション・サービス」→「SAML 1.1宛先サイト」を選択します。

3. 表33-1に示したように宛先サイトのパラメータを入力します。

   表33-1 宛先サイトのパラメータ

   パラメータ	値	説明
   宛先サイトの有効化	選択	宛先サイトを有効にするかどうかを指定します。
   ACSでSSLが必要	選択解除	アサーション・コンシューマ・サービスでSSLを必要とするかどうかを指定します。選択した場合は、資格証明マッパーのリライイング・パーティに指定されたACS URLで、HTTPSおよびターゲット・サーバーのSSLポートが必ず使用されるようにします。
   アサーション・コンシューマのURI	/<app-context-root>/samlacs/acs (新しく追加し、他の部分はそのまま)	アサーション・コンシューマのURI。ここでは、同じログインCookieが使用されるように、ターゲット・アプリケーション内に存在するACSを選択しています。
   POST受信者チェックの有効化	選択	POST受信者のチェックが有効化されるかどうかを指定します。trueに設定されている場合、SAMLレスポンスの受信者は、HTTPリクエストのURLと一致している必要があります。
   POST使用済みチェックの有効化	選択	POSTの使用を1回にするチェックが有効化されるかどうかを指定します。

   
   

4. 変更を保存し、他の部分はデフォルト値のままにします。

5. Frameworkアプリケーションをホストしているサーバーを再起動します。

33.6.1.2 リライイング・パーティの構成

Frameworkアプリケーションにリライイング・パーティを構成する手順は次のとおりです。

1. SpacesドメインのWLS管理コンソールにログオンします。

2. 「セキュリティ・レルム」→「プロバイダ」→「資格証明マッピング」→「wcsamlcm」→「管理」→「リライイング・パーティ」を選択します。

3. 表33-2のパラメータを使用して、新規リライイング・パーティを作成します。

   表33-2 リライイング・パーティのパラメータ

   パラメータ	値	説明
   プロファイル	Browser/POST	このSAMLリライイング・パーティが使用するSAMLプロファイル。
   有効	選択	このSAMLリライイング・パーティの状態。
   説明	Frameworkアプリケーション	このリライイング・パーティの簡単な説明。
   ターゲットURL	http://host:port/<app-context-root>	認証がリクエストされた宛先サイトのURL。
   アサーション・コンシューマのURL	http://host:port/<app-context-root>/samlacs/acs	このSAMLリライイング・パーティのアサーション・コンシューマ・サービスに接続するURL。アサーションまたはアーティファクトのPOST実行先またはリダイレクト先のURLを示します。宛先サイトのフェデレーション・サービスの構成時にACSにSSLが必要であることを選択した場合は、HTTPSプロトコルおよび管理対象サーバーのSSLポートを使用します。
   アサーション・コンシューマのプロパティ	APID=ap_0000X	Xは、次の手順で作成するアサーティング・パーティのIDを示します。
   アサーションの署名	選択	このSAMLリライイング・パーティで生成されるアサーションに署名するかどうかを指定します。
   Keyinfoを含める	選択	アサーションの署名時に、署名用証明書を含む<ds:keyinfo>要素を含めるかどうかを示します。デフォルト値はtrueです。「アサーションの署名」がfalseの場合、この値は無視されます。

   
   

4. 変更を保存し、他の部分はデフォルト値のままにします。

33.6.1.3 アサーティング・パーティの構成

Frameworkアプリケーションにアサーティング・パーティを構成する手順は次のとおりです。

1. SpacesドメインのWLS管理コンソールにログオンします。

2. 「セキュリティ・レルム」→「プロバイダ」→「認証」→「wcsamlia」→「管理」→「アサーティング・パーティ」を選択します。

3. 表33-3のパラメータを使用して、新規アサーティング・パーティを作成します。

   表33-3 アサーティング・パーティのパラメータ

   パラメータ	値	説明
   プロファイル	Browser/POST	このパートナとともに使用されるSAMLプロファイル。
   有効	選択	SAMLアサーションの取得にこのアサーティング・パーティを使用できるかどうかを指定します。
   説明	Spaces	このアサーティング・パーティの簡単な説明。
   ターゲットURL	http://host:port/webcenter	このSAMLアサーティング・パーティのターゲットURL。
   POST署名用証明書別名	demoidentity	このアサーティング・パーティからのSAMLプロトコル要素の署名を検証する、信頼性のある証明書の別名。Browser/POSTプロファイルに設定する必要があります。
   ソース・サイトのリダイレクトURI	/<app-context-root>/adfAuthentication	未認証ユーザーを構成済のITS URLにリダイレクトするためのオプションのURIセット。これを設定した場合、サイト間転送URLも設定する必要があります。 注意: この設定により、宛先サイトに先にアクセスすると、構成されているITS URL(この場合はソース・アプリケーション内)にリダイレクトされ、セッションがソース・アプリケーションに対して確立されてから、宛先サイトにリダイレクトされます。
   ソース・サイトITS URL	http://host:port/webcenter/samlits/its	このアサーティング・パーティのSAMLソース・サイトのサイト間転送サービス(ITS)URL。宛先サイトが最初のアクセス・ポイントになるシナリオをサポートするために、このURLはSSOプロファイルとともにのみ使用するようにしてください。そうすることで、認証前に宛先サイトのURLにアクセスしようとするユーザーは、認証を受けてSAMLアサーションを取得するためにソース・サイトにリダイレクトされます。ソースサイトのリダイレクトが機能するためには、「リダイレクトURI」属性も構成する必要があります。 注意: ソース・サイト・フェデレーション・サービスで「ITSでSSLが必要」を選択した場合、ソース・サイトITS URLを、HTTPSとサーバーのSSLポートを使用するように変更する必要があります。
   ソース・サイトのITSパラメータ	RPID=rp_0000X	Xを、前もって作成したリライイング・パーティのIDに置き換えます。
   発行者URI	http://www.oracle.com/webcenter	このSAMLアサーティング・パーティのアサーションを発行するSAMLオーソリティの発行者URI。
   署名が必要	選択	trueの場合、アサーションは署名される必要があります。falseの場合、署名要素は必須ではありません。ただし、署名要素を指定した場合は検証されます。
   アサーション署名用証明書別名	demoidentity

   
   

4. 変更を保存し、他の部分はデフォルト値のままにします。

5. シングル・サインオンが予期したとおりに動作することをテストして続行します。

33.6.2 ソースのFrameworkアプリケーションへのSAML SSOの構成

このシナリオでは、Frameworkアプリケーションは、ソース・アプリケーションとして機能して、その他のアプリケーション(Spacesなど)は宛先として機能します。Content Serverを組み込む構成を行うには、この項で説明する構成を実行する前に、第32.4.2.1.1項「SAML SSO用のOracle Content Serverの構成」の関連手順を実行しておく必要があります。

次の手順では、次の前提が基になっています。

• WebCenter Portal SAML SSOスクリプトは実行されていない。このスクリプトによって、Spacesがソース・アプリケーションとして機能するよう構成されるため、次の手順を手動で実行しなければならなくなります。

• デフォルトのdemoidentity証明書を使用しており、Frameworkアプリケーションをホストしているドメインからこの証明書をすでにdemoidentity.derにエクスポートした。

• Frameworkアプリケーションは、/customportalである。

• Content Serverを組み込む構成であり、Web層が構成に含まれる場合は、ホストIDおよびポートIDは、Web層のホストIDとポートIDである。

この項の内容は次のとおりです。

• 第33.6.2.1項「SAML ITSの保護」

• 第33.6.2.2項「JSESSIONIDのCookieパスの設定」

• 第33.6.2.3項「SSOプロパティのTrueとしての設定」

• 第33.6.2.4項「SAML資格証明マッピング・プロバイダの構成」

• 第33.6.2.5項「リライイング・パーティの構成」

• 第33.6.2.6項「ソース・サイトのフェデレーション・サービスの構成」

• 第33.6.2.7項「SAMLアイデンティティ・アサーション・プロバイダの構成」

• 第33.6.2.8項「宛先サイトのフェデレーション・サービスの構成」

• 第33.6.2.9項「その他の宛先アプリケーションの構成」

33.6.2.1 SAML ITSの保護

Frameworkアプリケーションのweb.xmlファイルで、/adfAuthenticationを保護するためのエントリの後に次のエントリを追加します。

<security-constraint>
    <web-resource-collection>
      <web-resource-name>samlits</web-resource-name>
      <url-pattern>/samlits/its</url-pattern>
    </web-resource-collection>
    <auth-constraint>
      <role-name>valid-users</role-name>
    </auth-constraint>
  </security-constraint>

33.6.2.2 JSESSIONIDのCookieパスの設定

SSOの設定では、アプリケーションのコンテキスト・ルートへのCookieパスを設定するようお薦めします。WLSでこれを行うには、weblogic.xmlファイルを編集し、次のエントリを追加します。

<session-descriptor>
    <cookie-path>/customportal</cookie-path>
  </session-descriptor>

customportalは、アプリケーションのコンテキスト・ルートです。

33.6.2.3 SSOプロパティのTrueとしての設定

ここではSpacesアプリケーションは宛先アプリケーションとして機能するため、Spacesのランディング・ページ上のログイン領域を非表示にする必要があります。これを実行するには、setDomainEnvファイルに次のプロパティを設定し、変更が適用されるようにWC_Spacesサーバーを再起動します。

EXTRA_JAVA_PROPERTIES="-Doracle.webcenter.spaces.osso=true ${EXTRA_JAVA_PROPERTIES}"
export EXTRA_JAVA_PROPERTIES

33.6.2.4 SAML資格証明マッピング・プロバイダの構成

Frameworkアプリケーションをホストしているドメインのセキュリティ・レルムで、SAML資格証明プロバイダV2 (SAMLCredentialMapperV2)インスタンスを作成します。SAML資格証明マッピング・プロバイダは、デフォルトのセキュリティ・レルムには含まれません。表33-4で示している「発行者URI」、「名前修飾子」およびその他の属性を使用して、SAML資格証明マッピング・プロバイダをSAML認証局として構成します。

表33-4 SAML資格証明マッピング・プロバイダのパラメータ

パラメータ	値	説明
発行者URI	http://www.oracle.com/webcenter	対象のSAML認証局の発行者URI(名前)。この一意のURIは、宛先サイト(owc_wiki)にSAMLメッセージの発信元を示し、キーと照合できるようにします。通常、一意性を保証するためにURLが使用されます。
名前修飾子	example.com	名前マッパーで使用される名前修飾子の値。名前修飾子の値は、サブジェクトの名前を修飾するセキュリティ・ドメインまたは管理ドメインです。これによって、サブジェクト名の衝突を回避しながら、異種のユーザー・ストアから名前のフェデレーションを実行できるようになります。
署名鍵別名	demoidentity	キーストアから、アサーションの署名に使用するキーを取得するときに使用される別名。
署名鍵パスフレーズ	DemoIdentityPassPhrase	キーストアから、アサーションの署名に使用するキーを取得するときに使用される資格証明(パスワード)。

変更を保存し、その他のパラメータについてはデフォルト値を受け入れて、WLSのすべてを再起動します。

33.6.2.5 リライイング・パーティの構成

宛先アプリケーションごとにリライイング・パーティの構成が必要になります。次の手順は、Spacesを例として使用して、この構成を行う方法を示しています。その他のアプリケーションについては、第33.6.2.9項「その他の宛先アプリケーションの構成」の表33-10を参照し、次の手順を参照として使用して、強調表示されている値を適宜変更してください。

Spacesにリライイング・パーティを構成する手順は次のとおりです。

1. SpacesドメインのWLS管理コンソールにログオンします。

2. 「セキュリティ・レルム」→レルム名→「プロバイダ」→「資格証明マッピング」→SAML資格証明マッパー名→「管理」→「リライイング・パーティ」を選択します。

3. 表33-5のパラメータを使用して、新規リライイング・パーティを作成します。

   表33-5 Spacesの場合のリライイング・パーティのパラメータ

   パラメータ	値	説明
   プロファイル	Browser/POST	このSAMLリライイング・パーティが使用するSAMLプロファイル。
   有効	選択	このSAMLリライイング・パーティの状態。
   説明	Spaces	このリライイング・パーティの簡単な説明。
   ターゲットURL	http://host:port/webcenter	認証がリクエストされた宛先サイトのURL。
   アサーション・コンシューマのURL	http://host:port/webcenter/samlacs/acs	このSAMLリライイング・パーティのアサーション・コンシューマ・サービスに接続するURL。アサーションまたはアーティファクトのPOST実行先またはリダイレクト先のURLを示します。 注意: 宛先サイトのフェデレーション・サービスの構成時にACSにSSLが必要であることを選択した場合は、HTTPSプロトコルおよび管理対象サーバーのSSLポートを使用します。
   アサーション・コンシューマのプロパティ	APID=ap_00001	1つ以上のオプションの問合せパラメータ(name=valueの形式)であり、宛先サイトへのリダイレクト時にACS URLに追加されます。 POSTプロファイルの場合、これらのパラメータはデフォルトのPOSTフォームの使用時にフォーム変数として追加されます。ここで、ap_00001はFrameworkアプリケーション(customportal)のアサーティング・パーティのIDを示しています。これは後で、FrameworkアプリケーションをホストしているドメインのSAMLアイデンティティ・アサータで構成します。これによってソース・サイトおよびITS詳細が指定されます。
   アサーションの署名	選択	このSAMLリライイング・パーティで生成されるアサーションに署名するかどうかを指定します。
   Keyinfoを含める	選択	アサーションの署名時に、署名用証明書を含む<ds:keyinfo>要素を含めるかどうかを示します。デフォルト値はtrueです。「アサーションの署名」がfalseの場合、この値は無視されます。

   
   

4. 変更を保存し、他の部分はデフォルト値のままにします。

33.6.2.6 ソース・サイトのフェデレーション・サービスの構成

ソース・サイトのフェデレーションを構成する手順は次のとおりです。

1. SpacesドメインのWLS管理コンソールにログオンします。

2. 「環境」→「サーバー」→カスタム・ポータルをホストしているサーバー→「構成」→「フェデレーション・サービス」→「SAML 1.1ソースサイト」を選択します。

3. 表33-6に示したようにSAMLソース・サイトの属性を構成します。

   表33-6 ソース・サイトのフェデレーション・サービスのパラメータ

   パラメータ	値	説明
   ソース・サイトの有効化	選択	「ソース・サイトの有効化」をtrueに設定すると、WebLogicサーバー・インスタンスがSAMLソース・サイトとして機能できるようになります。
   ソース・サイトURL	http://host:port/customportal	SAMLソース・サイトのURLを設定します。これは、サイト間転送サービスおよびアサーション取得サービスをホストするURLです。ソース・サイトのURLは、ソースIDとして16進数およびBase64でエンコードされます。
   署名鍵別名	demoidentity	SAMLソース・サイトは、アサーションに署名する信頼できる証明書を要求します。この証明書をキーストアに追加し、証明書へのアクセスに使用する資格証明(別名とパスフレーズ)を入力します。署名別名およびパスフレーズが指定されない場合、サーバーのSSL IDキー/証明書がデフォルトで使用されます。
   署名鍵パスフレーズ	DemoIdentityPassPhrase	SAMLソース・サイトは、アサーションに署名する信頼できる証明書を要求します。この証明書をキーストアに追加し、証明書へのアクセスに使用する資格証明(別名とパスフレーズ)を入力します。署名別名およびパスフレーズが指定されない場合、サーバーのSSL IDキー/証明書がデフォルトで使用されます。
   サイト間転送URI	/customportal/samlits/its (新しく追加し、他の部分はそのまま。)	サイト間転送サービスおよび(Browser/Artifactプロファイルをサポートするための)アサーション取得サービスのURIを指定します。これらのURIは、アサーティング・パーティの構成でも指定されます。
   アサーション取得用URI	/customportal/samars/ars (新しく追加し、他の部分はそのまま。)	ArtifactプロファイルがRESTに使用されている場合にのみ適用されます。
   ITSでSSLが必要	選択解除	これを選択すると、SAMLアイデンティティ・プロバイダのSAMLアサーティング・パーティの構成でHTTPSおよびサーバーのSSLポートとして指定されているソース・サイトのITS URLの変更が必要になります。
   ARSでSSLが必要	選択解除	Artifactプロファイルが使用されている場合にのみ適用されます。

   
   

4. 変更を保存し、他の部分はデフォルト値のままにします。

5. Frameworkアプリケーションをホストしているサーバーを再起動します。

33.6.2.7 SAMLアイデンティティ・アサーション・プロバイダの構成

SAMLアイデンティティ・アサーション・プロバイダを構成する手順は次のとおりです。

1. SpacesドメインのWLS管理コンソールにログオンします。

2. 第33.6.1.3項「アサーティング・パーティの構成」で説明されているとおりに、SAMLアイデンティティ・アサーション・プロバイダV2インスタンスを作成します。このとき、変更の保存後にWLSのすべてを再起動します。

3. WLS管理コンソールにログインして戻り、「セキュリティ・レルム」→レルム名→「プロバイダ」→「認証」→SAMLIdentityAsserterName→「管理」→「証明書」に移動します。

4. SAMLアイデンティティ・アサータに証明書を構成します。

5. 表33-7に示した値を使用して、SAMLアイデンティティ・アサータに証明書を構成します。

   表33-7 アイデンティティ・アサータの証明書のパラメータ

   パラメータ	値	説明
   別名	demoidentity	新規証明書に割り当てる名前。
   パス	WEBLOGIC_HOME/server/lib/demoidentity.der	インポートするX509証明書が含まれる.pemファイルまたは.derファイルのパス名を指定します。

   
   

6. 「セキュリティ・レルム」→レルム名→「プロバイダ」→「認証」→SAMLIdentityAsserterName→「管理」→「アサーティング・パーティ」に移動します。

7. 表33-8のパラメータを使用して、新規アサーティング・パーティを作成します。第33.6.2.5項「リライイング・パーティの構成」で、対応するリライイング・パーティに選択したものと同じプロファイルを使用します。

   表33-8 アサーティング・パーティのパラメータ

   パラメータ	値	説明
   プロファイル	Browser/POST	このパートナとともに使用されるSAMLプロファイル。
   有効	選択	SAMLアサーションの取得にこのアサーティング・パーティを使用できるかどうかを指定します。
   説明	Spaces用のFrameworkアプリケーション	このアサーティング・パーティの簡単な説明。
   ターゲットURL	http://host:port/customportal	このSAMLアサーティング・パーティのターゲットURL。
   POST署名用証明書別名	demoidentity	このアサーティング・パーティからのSAMLプロトコル要素の署名を検証する、信頼性のある証明書の別名。Browser/POSTプロファイルに設定する必要があります。
   ソース・サイトのリダイレクトURI	/webcenter/adfAuthentication	未認証ユーザーを構成済のITS URLにリダイレクトするためのオプションのURIセット。これを設定した場合、サイト間転送URLも設定する必要があります。 注意: この設定により、宛先サイトに先にアクセスすると、構成されているITS URL(この場合はソース・アプリケーション内)にリダイレクトされ、セッションがソース・アプリケーションに対して確立されてから、宛先サイトにリダイレクトされます。
   ソース・サイトITS URL	http://host:port/customportal/samlits/its T	このアサーティング・パーティのSAMLソース・サイトのサイト間転送サービス(ITS)URL。宛先サイトが最初のアクセス・ポイントになるシナリオをサポートするために、このURLはSSOプロファイルとともにのみ使用するようにしてください。そうすることで、認証前に宛先サイトのURLにアクセスしようとするユーザーは、認証を受けてSAMLアサーションを取得するためにソース・サイトにリダイレクトされます。ソースサイトのリダイレクトが機能するためには、「リダイレクトURI」属性も構成する必要があります。 注意: ソース・サイト・フェデレーション・サービスで「ITSでSSLが必要」を選択した場合、ソース・サイトITS URLを、HTTPSとサーバーのSSLポートを使用するように変更する必要があります。
   ソース・サイトのITSパラメータ	RPID=rp_00001	オプションの、0個以上の問合せパラメータ(name=valueの形式)であり、ソース・サイトへのリダイレクト時にITS URLに追加されます。ここでは、rp_00001は、宛先サイトの詳細を指定する、FrameworkアプリケーションのWLSドメインのSAML資格証明マッピング・プロバイダに指定されている、Spacesのリライイング・パーティIDです。
   発行者URI	http://www.oracle.com/webcenter	このSAMLアサーティング・パーティのアサーションを発行するSAMLオーソリティの発行者URI。
   署名が必要	選択	trueの場合、アサーションは署名される必要があります。falseの場合、署名要素は必須ではありません。ただし、署名要素を指定した場合は検証されます。
   アサーション署名用証明書別名	demoidentity	対象のアサーティング・パーティからのアサーションの署名を確認するための信頼できる証明書の別名です。これは、「署名が必要」がtrueの場合に設定する必要があります。この証明書を、SAMLアイデンティティ・アサータの証明書レジストリに登録することも必要です。

   
   

8. 変更を保存し、他の部分はデフォルト値のままにします。

33.6.2.8 宛先サイトのフェデレーション・サービスの構成

宛先サイトのフェデレーション・サービスを構成する手順は次のとおりです。

1. WLS管理コンソールから、「WCドメイン」→「WC_Spaces」→「構成」→「フェデレーション・サービス」→「SAML 1.1宛先サイト」に移動します。[Spaces]

2. 表33-9の値を使用して、SAML宛先サイトの属性を構成します。

   表33-9 宛先サイトのパラメータ

   パラメータ	値	説明
   宛先サイトの有効化	選択	宛先サイトを有効にするかどうかを指定します。
   ACSでSSLが必要	選択解除	アサーション・コンシューマ・サービスでSSLを必要とするかどうかを指定します。選択した場合は、資格証明マッパーのリライイング・パーティに指定されたACS URLで、HTTPSおよびターゲット・サーバーのSSLポートが必ず使用されるようにします。
   アサーション・コンシューマのURI	/webcenter/samlacs/acs /rss/samlacs/acs /rest/samlacs/acs (新しく追加し、他の部分はそのまま)	アサーション・コンシューマのURI。ここでは、同じログインCookieが使用されるように、ターゲット・アプリケーション内に存在するACSを選択しています。
   POST受信者チェックの有効化	選択	POST受信者のチェックが有効化されるかどうかを指定します。trueに設定されている場合、SAMLレスポンスの受信者は、HTTPリクエストのURLと一致している必要があります。
   POST使用済みチェックの有効化	選択	POSTの使用を1回にするチェックが有効化されるかどうかを指定します。

   
   

3. 変更を保存し、他の部分はデフォルト値のままにします。

4. Spacesサーバーを再起動します。

33.6.2.9 その他の宛先アプリケーションの構成

Spaces以外のアプリケーションをFrameworkアプリケーションの宛先アプリケーションとして機能させる場合は、次の手順を実行します。

1. 宛先アプリケーションをホストする各ドメインに、SAML IDアサータおよび証明書を登録しておきます(第33.6.2.7項「SAMLアイデンティティ・アサーション・プロバイダの構成」の手順1から5を参照してください)。

2. 第33.6.2.5項「リライイング・パーティの構成」でSpacesに対して実行したように、FrameworkアプリケーションをホストしているWLSドメインで宛先アプリケーションのリライイング・パーティを作成します。各アプリケーションで該当する値については、表33-10を参照してください。

3. 宛先アプリケーションのWLSドメインで、Spacesに対して作成したものと同様の、対応するアサーティング・パーティを作成します。第33.6.2.7項「SAMLアイデンティティ・アサーション・プロバイダの構成」でアサーティング・パーティを作成した手順を使用します。ソース・リダイレクトURIを、宛先アプリケーションのセキュアなURIに適切に設定します。各アプリケーションで該当する値については、表33-10を参照してください。

4. アサーティング・パーティおよびリライイング・パーティが有効になっており、互いを適切にポイントしていることを確認します。つまり、アサーティング・パーティの「ソース・サイトのITSパラメータ」およびリライイング・パーティの「アサーション・コンシューマのプロパティ」が、互いに適切にポイントしている必要があります。

5. 宛先アプリケーションをホストしているサーバーの宛先サイト・フェデレーション・サービスを有効にして、第33.6.2.8項「宛先サイトのフェデレーション・サービスの構成」でWC_Spacesサーバーに対して実行したことと同じように、/yourdestinationapp/samlacs/acsのエントリを追加しておきます。各アプリケーションで該当する値については、表33-10を参照してください。

   表33-10 Spaces以外の宛先アプリケーションの設定

   宛先アプリケーション	ターゲットURL(リライイング・パーティ)	ACS URL(リライイング・パーティ)	ACS URI(宛先サイトのフェデレーション・サービス)	ソース・リダイレクトURI(アサーティング・パーティ)
   RSS	http://host:port/rss	http://host:port/rss/samlacs/acs	/rss/samlacs/acs	/rss/rssservlet
   REST	http://host:port/rest	http://host:port/rest/samlacs/acs	/rest/samlacs/acs	/rest/api/resourceIndex
   ディスカッション	http://host:port/owc_discussions	http://host:port/owc_discussions/samlacs/acs	/owc_discussions/samlacs/acs	/owc_discussions/admin/forum-main.jsp /owc_discussions/admin/content-main.jsp /owc_discussions/login!withRedirect.jspa /owc_discussions/login!default.jspa /owc_discussions/login.jspa
   アクティビティ・グラフ・エンジン	http://host:port/activitygraph-engines	http://host:port/activitygraph-engines/samlacs/acs	/activitygraph-engines/samlacs/acs	/activitygraph-engines/index.jsp
   Content Server	http://host:port	http://host:port/samlacs/acs	/samlacs/acs	/adfAuthentication
   ワークリストの詳細	http://host:port/workflow/WebCenterWorklistDetail	http://host:port/workflow/WebCenterWorklistDetail/samlacs/acs	/WebCenterWorklistDetail/samlacs/acs	/workflow/WebCenterWorklistDetail/faces/adf.task-flow
   ワークリストのSDP	http://host:port/workflow/sdpmessagingsca-ui-worklist	http://host:port/workflow/sdpmessagingsca-ui-worklist/samlacs/acs	/sdpmessagingsca-ui-worklist/samlacs/acs	/workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow
   ワークリストの統合	http://host:port/integration/worklistapp	http://host:port/integration/worklistapp/samlacs/acs	/worklistapp/samlacs/acs	/integration/worklistapp/ssologin /integration/worklistapp/faces/home.jspx