Oracle® Fusion Middleware Oracle WebCenter Portal管理者ガイド 11g リリース1 (11.1.1.7.0) B72085-02 |
|
前 |
次 |
この章では、WebCenter Portal: Frameworkアプリケーションをシングル・サインオン(SSO)向けに構成する方法を説明します。この章で説明する構成ではすべて、第32項「シングル・サインオンの構成」の説明に従ってSSOがすでに構成されていることが前提となっています。
この章の内容は次のとおりです。
対象読者
この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdmin
ロールを付与されたユーザー)を対象としています。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。
Oracle WebCenter Portalでは、WebCenter Portal: Frameworkアプリケーションに対して、次のSSOソリューションのシングル・サインオン(SSO)がサポートされます。
OAM 10g
OAM 11g
OSSO
SAML SSO (宛先アプリケーションとしてのFrameworkアプリケーション)
SAML SSO (ソース・アプリケーションとしてのFrameworkアプリケーション)
Frameworkアプリケーションをシングル・サインオンに含めることができるようにするには、第32章「シングル・サインオンの構成」で説明しているSSOの構成に加えて、選択したSSOソリューションに対してFrameworkアプリケーション自体を構成することも必要です。これを実行するには、第33章「シングル・サインオンの前提条件」に示された手順を実行した後、特定のソリューションの手順を続行してください。この場合、唯一の例外がSAML SSOで、Frameworkアプリケーションがソース・アプリケーションとして機能します。すべての手順については、前提条件を含めて、第33.6.2項「ソースとしてのFrameworkアプリケーションに対するSAML SSOの構成」で説明しています。
SSOに含めるすべてのFrameworkアプリケーションでは、そのアプリケーションの保護に使用されるシングル・サインオン・ソリューションに関係なく、一定の構成を適切に行うことが必要です。この場合、唯一の例外がSAML SSOで、Frameworkアプリケーションがソース・アプリケーションとして機能します(詳細は、第33.6.2項「ソースとしてのFrameworkアプリケーションに対するSAML SSOの構成」を参照してください)。
シングル・サインオンの一般的な前提条件は、次の各項で説明しています。
すべてのSSOソリューションで、WLSドメインに構成されたアイデンティティ・アサータが使用されます。これは、SSO構成で提供されるアサーション・タイプをアサートします。たとえば、OAMの場合、アイデンティティ・アサータは、ObSSOCookie
またはOAM_REMOTE_USER
ヘッダーに基づいてアサートし、SAML SSOの場合はSAMLアサーションをアサートします。
アサータでアイデンティティをアサートするには、アプリケーションのログイン構成に認証方式としてCLIENT-CERT
を指定する必要があります。つまり、次の例で示しているように、アプリケーションのweb.xml
ファイルに、auth-method
としてCLIENT-CERT
を指定する必要があります。
<login-config> <auth-method>CLIENT-CERT,FORM</auth-method>
WebLogicでは、カンマ区切りの認証方式を指定できます。この例では、SSOアサーション(CLIENT-CERT)を使用できない場合、アプリケーションではFORM
ベースの認証が使用されます。
SSOの設定では、アプリケーションのCookieパスを設定するようお薦めします。WLSでこれを行うには、weblogic.xml
ファイルを編集し、次のエントリを追加します。
<session-descriptor> <cookie-path>/customportal</cookie-path> </session-descriptor>
customportal
は、アプリケーションのコンテキスト・ルートです。
SSO構成では、アプリケーションの公開URIおよび保護対象URIを指定します。SSOソリューションによっては、OSSOやSAML SSOのように、保護対象URIの指定のみが必要です。次のリストは、Frameworkアプリケーションに使用される一般的な保護対象URIおよび公開URIを示しています。
公開URI
/<app-context-root>
保護対象URI
/<app-context-root>/adfAuthentication
使用しているアプリケーションの保護対象URIは、次の例に示しているように、web.xml
ファイルのsecurity-constraint
ノードを確認することによって決定できます。
<security-constraint> <web-resource-collection> <web-resource-name>adfAuthentication</web-resource-name> <url-pattern>/adfAuthentication</url-pattern> </web-resource-collection> <auth-constraint> <role-name>valid-users</role-name> </auth-constraint> </security-constraint>
security-constraint
ノード内のエントリは常に、アプリケーションのコンテキスト・ルートに相対的です。この例では、このセキュリティ制約は/app-context-root/adfAuthentication
であると解釈できます。別のセキュリティ制約が指定されている場合、たとえば/admin
が指定されているとすると、/app-context-root/admin
であると解釈できます。
Frameworkアプリケーションでは通常、ログイン・ページがweb.xml
構成ファイルのlogin-config
セクションで構成されるformベースのログイン・メカニズムが使用されます(個別のログイン構成ファイルはありません)。アプリケーションで、ページ・テンプレートにログイン領域を埋め込むことや、ランディング・ページを作成することもできます。この場合は通常、ユーザーの資格証明が、認証のためにj_security_check
に送信されます。ただし、SSOの場合、認証はSSOログイン・チャレンジを通して実行する必要があります。
すべてのSSOソリューションに対して、ログアウトを処理するためのADF認証サーブレットが用意されています。使用しているアプリケーションのログアウトで、ADF認証サーブレットがログアウト用に呼び出されるようにする必要があります。これを実行するには、次の例で示しているように、使用しているアプリケーションのfaces-config.xml
ファイルで、正常なログアウトのナビゲーション・ルールを変更する必要があります。
<navigation-case> <from-outcome>logout_success</from-outcome> <to-view-id>/adfAuthentication?logout=true&end_url=/</to-view-id> <redirect/> </navigation-case>
/adfAuthentication
のend_url
パラメータは、正常なログアウト後にユーザーをダイレクトする宛先の任意のURLに指定できます。たとえば、/
を指定すると、ユーザーはアプリケーションのデフォルトのページにダイレクトされます。
エンタープライズ・アプリケーションのフロントエンド処理を行うWeb層が環境に含まれる場合、SSO向けにそのWeb層を構成する必要があります。Web層は、OAMソリューションおよびOSSOソリューションに必要で、Content Serverが関連する場合にはSAML SSOソリューションで使用されます。
次の例で示しているように、mod_wl_ohs.conf
にアプリケーションのマッピングを追加します。
<Location /customportal> SetHandler weblogic-handler WebLogicHost webcenter.example.com WebLogicPort 8888 </Location>
customportal
は、アプリケーションのコンテキスト・ルートです。
Oracle HTTP Serverを再起動します。
この項では、OAM 10gおよび11gに対して、WebCenter Portal: FrameworkアプリケーションまたはWebCenter Portal:ポートレット・プロデューサ・アプリケーションを構成する方法を説明します。この項の手順を実行する前に、第32.2項「Oracle Access Manager (OAM)の構成」の手順をすでに実行して、Spacesおよび関連アプリケーションに対してSSOを設定しておく必要があります。また、第33.2項「シングル・サインオンの前提条件」の構成も完了しておく必要があります。
注意: 開始する前に、Frameworkアプリケーションのデプロイ先のドメイン内でOAMによって使用されているアイデンティティ・ストアのLDAPをポイントするように、必須のOAMアサータおよびオーセンティケータを構成しておく必要があります。これをまだ実行していない場合は、開始する前に、第32.2項「Oracle Access Manager (OAM)の構成」の手順を実行してください。 |
この項の内容は次のとおりです。
この項では、OAM 10gを使用したシングル・サインオン向けにFrameworkアプリケーションを構成する方法を説明します。アプリケーションを構成する前に、第32.2項「Oracle Access Manager(OAM)の構成」の説明に従って、OAMのインストールと構成を完了しておく必要があります。
OAM 10gに対してFrameworkアプリケーションを構成する手順は次のとおりです。
ブラウザを使用してOAMコンソールにログインし、次の場所に移動します。
http://host:port/access/oblix
「ポリシー・マネージャ」をクリックします。
WebCenter Portalリソースを保護するために作成したポリシー・ドメインを見つけます。
「リソース」タブを開き、「追加」をクリックします。
リソースを追加します。各リソースに対して、次の手順を実行します。
「リソース・タイプ」としてHTTP
を選択します。
WebCenter Portal Web層のホストIDを選択します。
アプリケーションのURL接頭辞(/<app-context-root>
)を入力します。
リソースの説明を入力します。
「キャッシュの更新」が選択されていることを確認して、「保存」をクリックします。
手順5を繰り返して、リソースとして/<app-context-root>/adfAuthentication
を追加します。
「ポリシー」タブに移動して、パブリック・ポリシーを見つけます。
パブリック・ポリシーを開いて、手順5で作成したリソース(/<app-context-root>
)を選択します。
変更を保存します。
Web層を再起動し、変更をテストします。
この項では、OAM 10gを使用したシングル・サインオン向けにポートレット・プロデューサ・アプリケーションを構成する方法を説明します。ポートレット・プロデューサ・アプリケーションを構成する前に、第33.4.1項「OAM 10gに対するFrameworkアプリケーションの構成」の手順を実行してから、次の手順を実行してください。
OAM 10gに対してポートレット・プロデューサ・アプリケーションを構成する手順は次のとおりです。
ブラウザを使用してOAMコンソールにログインし、次の場所に移動します。
http://host:port/access/oblix
「ポリシー・マネージャ」をクリックします。
WebCenter Portalリソースを保護するために作成したポリシー・ドメインを見つけます。
「リソース」タブを開き、「追加」をクリックします。
「リソース・タイプ」としてHTTP
を選択します。
WebCenter Portal Web層のホストIDを選択します。
アプリケーションのURL接頭辞(/<app-context-root/portlets>
)を入力します。
リソースの説明を入力します。
「キャッシュの更新」が選択されていることを確認して、「保存」をクリックします。
「ポリシー」タブに移動して、除外スキーム・ポリシーを見つけ、このポリシーに対して、新規作成したポートレット・プロデューサ・リソースを選択します。
このポリシーを開いて、手順5で作成したリソース(/<app-context-root>/portlets
)を選択します。
変更を保存します。
「リソース」タブを開き、「追加」をクリックします。
「リソース・タイプ」としてHTTP
を選択します。
WebCenter Portal Web層のホストIDを選択します。
アプリケーションのURL接頭辞(/<app-context-root/monitor>
)を入力します。
リソースの説明を入力します。
「キャッシュの更新」が選択されていることを確認して、「保存」をクリックします。
変更を保存します(デフォルトでは保護されたポリシーに含まれます)。
Web層を再起動し、変更をテストします。
この項では、OAM 11gを使用したシングル・サインオン向けにFrameworkアプリケーションを構成する方法を説明します。アプリケーションを構成する前に、第32.2項「Oracle Access Manager(OAM)の構成」の説明に従って、OAMのインストールと構成を完了しておく必要があります。
OAM 11gに対してFrameworkアプリケーションを構成する手順は次のとおりです。
ブラウザを使用してOAMコンソールにログインし、次の場所に移動します。
http://host:port/oamconsole
「ポリシー構成」→「アプリケーション・ドメイン」に移動します。
「ポリシー・マネージャ」ペインが表示されます。
WebGateエージェントの登録で使用した名前を使用して作成したアプリケーション・ドメインを見つけます。
「リソース」タブを開き、「新規リソース」をクリックします。
Frameworkアプリケーションのリソースを追加します。各リソースに対して、次の手順を実行します。
「リソース・タイプ」としてHTTP
を選択します。
WebGateエージェントの登録時に作成されたホストIDを選択します。
アプリケーションのリソースURL(/<app-context-root>*
)を入力します。
リソースの説明を入力します。
「保護レベル」をUnprotected
に設定します。
「認証ポリシー」をPublic Resource Policy
に設定します。
「認可ポリシー」をProtected Resource Policy
に設定します。
「適用」をクリックします。
手順5を繰り返して、リソースとして/<app-context-root>/.../*
を追加します。
リソースとして/<app-context-root>/adfAuthentication*
を追加します。
「リソース・タイプ」としてHTTP
を選択します。
WebGateエージェントの登録時に作成されたホストIDを選択します。
アプリケーションのリソースURL(/<app-context-root>/adfAuthentication*
)を入力します。
リソースの説明を入力します。
「保護レベル」をProtected
に設定します。
「認証ポリシー」をProtected Resource Policy
に設定します。
「認可ポリシー」をProtected Resource Policy
に設定します。
「適用」をクリックします。
リソースとして/<app-contextroot>/monitor*
を追加します。
「リソース・タイプ」としてHTTP
を選択します。
WebGateエージェントの登録時に作成されたホストIDを選択します。
アプリケーションのリソースURL(/<app-context-root>/monitor*
)を入力します。
リソースの説明を入力します。
「保護レベル」をProtected
に設定します。
「認証ポリシー」をProtected Resource Policy
に設定します。
「認可ポリシー」をProtected Resource Policy
に設定します。
「適用」をクリックします。
リソースとして/<app-contextroot>/monitor/.../*
を追加します。
「リソース・タイプ」としてHTTP
を選択します。
WebGateエージェントの登録時に作成されたホストIDを選択します。
アプリケーションのリソースURL(/<app-context-root>/monitor/.../*
)を入力します。
リソースの説明を入力します。
「保護レベル」をProtected
に設定します。
「認証ポリシー」をProtected Resource Policy
に設定します。
「認可ポリシー」をProtected Resource Policy
に設定します。
「適用」をクリックします。
Web層を再起動し、変更をテストします。
この項では、OAM 11gを使用したシングル・サインオン向けにポートレット・プロデューサ・アプリケーションを構成する方法を説明します。ポートレット・プロデューサ・アプリケーションを構成する前に、第33.4.3項「OAM 11gに対するFrameworkアプリケーションの構成」の手順を実行してから、次の手順を実行してください。
OAM 11gに対してポートレット・プロデューサ・アプリケーションを構成する手順は次のとおりです。
ブラウザを使用してOAMコンソールにログインし、次の場所に移動します。
http://host:port/oamconsole
「ポリシー・マネージャ」をクリックします。
WebCenter Portalリソースを保護するために作成したポリシー・ドメインを見つけます。
「リソース」タブを開き、「追加」をクリックします。
「リソース・タイプ」としてHTTP
を選択します。
WebGateエージェントの登録時に作成されたホストIDを選択します。
アプリケーションのURL接頭辞(/<app-contextroot>/portlets/.../*
)を入力します。
リソースの説明を入力します。
「保護レベル」をExcluded
に設定して、「保存」をクリックします。
Web層を再起動し、変更をテストします。
この項では、WebCenter Portal: FrameworkアプリケーションをOSSO向けに構成する方法を説明します。この項の手順を実行する前に、第32.3項「Oracle Single Sign-On (OSSO)の構成」の手順をすでに実行して、Spacesおよび関連アプリケーションに対してSSOを設定しておく必要があります。また、第33.2項「シングル・サインオンの前提条件」の構成も完了しておく必要があります。
注意: 開始する前に、Frameworkアプリケーションのデプロイ先のドメイン内でOSSOによって使用されているアイデンティティ・ストア(OID)をポイントするように、必須のOSSOアサータおよびオーセンティケータを構成しておく必要があります。これをまだ実行していない場合は、開始する前に、第32.3項「Oracle Single Sign-On (OSSO)の構成」の手順を実行してください。 |
OSSOに対してFrameworkアプリケーションを構成する手順は次のとおりです。
OHS内でmod_osso.conf
ファイルを見つけ、これを開きます。
Frameworkアプリケーションの次のエントリを他の同様のエントリに追加します。
<Location /<app-context-root>/adfAuthentication> OssoSendCacheHeaders off require valid-user AuthType Osso </Location>
OHSを再起動します。
この項では、FrameworkアプリケーションにSAML SSOを設定する方法を説明します。SAMLシングル・サインオンは、エンタープライズSSOソリューションを使用できない小規模の環境(たとえば、部門)に対してのみ推奨されます。
手順は次の2つのシナリオに分かれます。
シナリオ1: 宛先アプリケーションとしてのFrameworkアプリケーション
これは、WebCenter Portal SAML SSOスクリプトで指定されるデフォルトのSAML SSO動作で、ここではSpacesアプリケーションがソース・アプリケーションで、その他すべてのアプリケーションが宛先アプリケーションです(つまり、シングル・サインオンで他の宛先アプリケーションを動作させるには、Spacesにログインする必要があります)。
シナリオ2: ソース・アプリケーションとしてのFrameworkアプリケーション
この動作は、WebCenter Portal SAML SSOスクリプトではサポートされていないため、手動の構成が必要です。このシナリオでは、FrameworkアプリケーションをSAMLソースとして動作させ、その他のアプリケーション(Spacesを含む)を宛先アプリケーションとして動作させます(つまり、Frameworkアプリケーションが最初のアクセス・ポイントであり、シングル・サインオンでその他の宛先アプリケーションを動作させるためにそのFrameworkアプリケーションにログインする必要があります)。
SAMLをFrameworkアプリケーションに構成するこれら2つの方法については、次の各項で説明しています。
この項の手順を実行する前に、Spacesおよび関連アプリケーションに対してSSOを設定する方法を説明している第32.4項「SAMLベースのシングル・サインオンの構成」の前提条件と手順をすでに完了しておく必要があります。この項で示す手順によって、その設定にFrameworkアプリケーションの構成手順が追加されます。
このシナリオでは、Spacesアプリケーションはソース・アプリケーションとして動作を続け、シングル・サインオンに宛先アプリケーションとして含まれる新規Frameworkアプリケーションと連動します(つまり、Spacesにログインした場合にFrameworkアプリケーションのいずれかの保護対象URIにアクセスすると、自動的にログインされます)。Spacesにまだログインしていないときに保護対象URIにアクセスすると、Spacesのログイン・ページにダイレクトされた後に、アプリケーションのセキュアなページにリダイレクトされて戻ります。
次の手順では、次のことが前提となっています。
Frameworkアプリケーションが、configureSpaces.py
スクリプトが実行されたSpacesドメインにデプロイされている。Frameworkアプリケーションがこれとは別のドメインにある場合は、WLS管理コンソール(「セキュリティ・レルム」→「プロバイダ」→「オーセンティケータ」)でSAMLIdentityAsserterV2
IDアサータを作成し、WLSを再起動します。その上で、SAML SSOの設定で使用した証明書をエクスポートし、作成したSAMLアイデンティティ・アサータの下にその証明書を登録する必要があります。
後述の手順および例のパラメータ値では、demoidentity
証明書を使用していることが前提となっている。これとは別の証明書を使用している場合は、必要に応じて証明書の名前を変更します。
Web層が構成に含まれる場合は、ホストIDおよびポートIDは、Web層のホストIDとポートIDである。
この項の内容は次のとおりです。
Frameworkアプリケーションの宛先サイトを有効にする手順は次のとおりです。
SpacesドメインのWLS管理コンソールにログオンします。
「サーバー」→[ポータル・アプリケーションをホストしているサーバー]→「構成」→「フェデレーション・サービス」→「SAML 1.1宛先サイト」を選択します。
表33-1に示したように宛先サイトのパラメータを入力します。
表33-1 宛先サイトのパラメータ
パラメータ | 値 | 説明 |
---|---|---|
宛先サイトの有効化 |
選択 |
宛先サイトを有効にするかどうかを指定します。 |
ACSでSSLが必要 |
選択解除 |
アサーション・コンシューマ・サービスでSSLを必要とするかどうかを指定します。選択した場合は、資格証明マッパーのリライイング・パーティに指定されたACS URLで、HTTPSおよびターゲット・サーバーのSSLポートが必ず使用されるようにします。 |
アサーション・コンシューマのURI |
(新しく追加し、他の部分はそのまま) |
アサーション・コンシューマのURI。ここでは、同じログインCookieが使用されるように、ターゲット・アプリケーション内に存在するACSを選択しています。 |
POST受信者チェックの有効化 |
選択 |
POST受信者のチェックが有効化されるかどうかを指定します。trueに設定されている場合、SAMLレスポンスの受信者は、HTTPリクエストのURLと一致している必要があります。 |
POST使用済みチェックの有効化 |
選択 |
POSTの使用を1回にするチェックが有効化されるかどうかを指定します。 |
変更を保存し、他の部分はデフォルト値のままにします。
Frameworkアプリケーションをホストしているサーバーを再起動します。
Frameworkアプリケーションにリライイング・パーティを構成する手順は次のとおりです。
SpacesドメインのWLS管理コンソールにログオンします。
「セキュリティ・レルム」→「プロバイダ」→「資格証明マッピング」→「wcsamlcm」→「管理」→「リライイング・パーティ」を選択します。
表33-2のパラメータを使用して、新規リライイング・パーティを作成します。
表33-2 リライイング・パーティのパラメータ
パラメータ | 値 | 説明 |
---|---|---|
プロファイル |
|
このSAMLリライイング・パーティが使用するSAMLプロファイル。 |
有効 |
選択 |
このSAMLリライイング・パーティの状態。 |
説明 |
Frameworkアプリケーション |
このリライイング・パーティの簡単な説明。 |
ターゲットURL |
|
認証がリクエストされた宛先サイトのURL。 |
アサーション・コンシューマのURL |
|
このSAMLリライイング・パーティのアサーション・コンシューマ・サービスに接続するURL。アサーションまたはアーティファクトのPOST実行先またはリダイレクト先のURLを示します。宛先サイトのフェデレーション・サービスの構成時にACSにSSLが必要であることを選択した場合は、HTTPSプロトコルおよび管理対象サーバーのSSLポートを使用します。 |
アサーション・コンシューマのプロパティ |
|
Xは、次の手順で作成するアサーティング・パーティのIDを示します。 |
アサーションの署名 |
選択 |
このSAMLリライイング・パーティで生成されるアサーションに署名するかどうかを指定します。 |
Keyinfoを含める |
選択 |
アサーションの署名時に、署名用証明書を含む<ds:keyinfo>要素を含めるかどうかを示します。デフォルト値はtrueです。「アサーションの署名」がfalseの場合、この値は無視されます。 |
変更を保存し、他の部分はデフォルト値のままにします。
Frameworkアプリケーションにアサーティング・パーティを構成する手順は次のとおりです。
SpacesドメインのWLS管理コンソールにログオンします。
「セキュリティ・レルム」→「プロバイダ」→「認証」→「wcsamlia」→「管理」→「アサーティング・パーティ」を選択します。
表33-3のパラメータを使用して、新規アサーティング・パーティを作成します。
表33-3 アサーティング・パーティのパラメータ
パラメータ | 値 | 説明 |
---|---|---|
プロファイル |
|
このパートナとともに使用されるSAMLプロファイル。 |
有効 |
選択 |
SAMLアサーションの取得にこのアサーティング・パーティを使用できるかどうかを指定します。 |
説明 |
Spaces |
このアサーティング・パーティの簡単な説明。 |
ターゲットURL |
|
このSAMLアサーティング・パーティのターゲットURL。 |
POST署名用証明書別名 |
|
このアサーティング・パーティからのSAMLプロトコル要素の署名を検証する、信頼性のある証明書の別名。Browser/POSTプロファイルに設定する必要があります。 |
ソース・サイトのリダイレクトURI |
|
未認証ユーザーを構成済のITS URLにリダイレクトするためのオプションのURIセット。これを設定した場合、サイト間転送URLも設定する必要があります。 注意: この設定により、宛先サイトに先にアクセスすると、構成されているITS URL(この場合はソース・アプリケーション内)にリダイレクトされ、セッションがソース・アプリケーションに対して確立されてから、宛先サイトにリダイレクトされます。 |
ソース・サイトITS URL |
|
このアサーティング・パーティのSAMLソース・サイトのサイト間転送サービス(ITS)URL。宛先サイトが最初のアクセス・ポイントになるシナリオをサポートするために、このURLはSSOプロファイルとともにのみ使用するようにしてください。そうすることで、認証前に宛先サイトのURLにアクセスしようとするユーザーは、認証を受けてSAMLアサーションを取得するためにソース・サイトにリダイレクトされます。ソースサイトのリダイレクトが機能するためには、「リダイレクトURI」属性も構成する必要があります。 注意: ソース・サイト・フェデレーション・サービスで「ITSでSSLが必要」を選択した場合、ソース・サイトITS URLを、HTTPSとサーバーのSSLポートを使用するように変更する必要があります。 |
ソース・サイトのITSパラメータ |
|
|
発行者URI |
|
このSAMLアサーティング・パーティのアサーションを発行するSAMLオーソリティの発行者URI。 |
署名が必要 |
選択 |
trueの場合、アサーションは署名される必要があります。falseの場合、署名要素は必須ではありません。ただし、署名要素を指定した場合は検証されます。 |
アサーション署名用証明書別名 |
|
変更を保存し、他の部分はデフォルト値のままにします。
シングル・サインオンが予期したとおりに動作することをテストして続行します。
このシナリオでは、Frameworkアプリケーションは、ソース・アプリケーションとして機能して、その他のアプリケーション(Spacesなど)は宛先として機能します。Content Serverを組み込む構成を行うには、この項で説明する構成を実行する前に、第32.4.2.1.1項「SAML SSO用のOracle Content Serverの構成」の関連手順を実行しておく必要があります。
次の手順では、次の前提が基になっています。
WebCenter Portal SAML SSOスクリプトは実行されていない。このスクリプトによって、Spacesがソース・アプリケーションとして機能するよう構成されるため、次の手順を手動で実行しなければならなくなります。
デフォルトのdemoidentity
証明書を使用しており、Frameworkアプリケーションをホストしているドメインからこの証明書をすでにdemoidentity.der
にエクスポートした。
Frameworkアプリケーションは、/customportal
である。
Content Serverを組み込む構成であり、Web層が構成に含まれる場合は、ホストIDおよびポートIDは、Web層のホストIDとポートIDである。
この項の内容は次のとおりです。
Frameworkアプリケーションのweb.xml
ファイルで、/adfAuthentication
を保護するためのエントリの後に次のエントリを追加します。
<security-constraint> <web-resource-collection> <web-resource-name>samlits</web-resource-name> <url-pattern>/samlits/its</url-pattern> </web-resource-collection> <auth-constraint> <role-name>valid-users</role-name> </auth-constraint> </security-constraint>
SSOの設定では、アプリケーションのコンテキスト・ルートへのCookieパスを設定するようお薦めします。WLSでこれを行うには、weblogic.xml
ファイルを編集し、次のエントリを追加します。
<session-descriptor> <cookie-path>/customportal</cookie-path> </session-descriptor>
customportal
は、アプリケーションのコンテキスト・ルートです。
ここではSpacesアプリケーションは宛先アプリケーションとして機能するため、Spacesのランディング・ページ上のログイン領域を非表示にする必要があります。これを実行するには、setDomainEnv
ファイルに次のプロパティを設定し、変更が適用されるようにWC_Spaces
サーバーを再起動します。
EXTRA_JAVA_PROPERTIES="-Doracle.webcenter.spaces.osso=true ${EXTRA_JAVA_PROPERTIES}" export EXTRA_JAVA_PROPERTIES
Frameworkアプリケーションをホストしているドメインのセキュリティ・レルムで、SAML資格証明プロバイダV2 (SAMLCredentialMapperV2)インスタンスを作成します。SAML資格証明マッピング・プロバイダは、デフォルトのセキュリティ・レルムには含まれません。表33-4で示している「発行者URI」、「名前修飾子」およびその他の属性を使用して、SAML資格証明マッピング・プロバイダをSAML認証局として構成します。
表33-4 SAML資格証明マッピング・プロバイダのパラメータ
パラメータ | 値 | 説明 |
---|---|---|
発行者URI |
|
対象のSAML認証局の発行者URI(名前)。この一意のURIは、宛先サイト( |
名前修飾子 |
|
名前マッパーで使用される名前修飾子の値。名前修飾子の値は、サブジェクトの名前を修飾するセキュリティ・ドメインまたは管理ドメインです。これによって、サブジェクト名の衝突を回避しながら、異種のユーザー・ストアから名前のフェデレーションを実行できるようになります。 |
署名鍵別名 |
|
キーストアから、アサーションの署名に使用するキーを取得するときに使用される別名。 |
署名鍵パスフレーズ |
|
キーストアから、アサーションの署名に使用するキーを取得するときに使用される資格証明(パスワード)。 |
変更を保存し、その他のパラメータについてはデフォルト値を受け入れて、WLSのすべてを再起動します。
宛先アプリケーションごとにリライイング・パーティの構成が必要になります。次の手順は、Spacesを例として使用して、この構成を行う方法を示しています。その他のアプリケーションについては、第33.6.2.9項「その他の宛先アプリケーションの構成」の表33-10を参照し、次の手順を参照として使用して、強調表示されている値を適宜変更してください。
Spacesにリライイング・パーティを構成する手順は次のとおりです。
SpacesドメインのWLS管理コンソールにログオンします。
「セキュリティ・レルム」→レルム名→「プロバイダ」→「資格証明マッピング」→SAML資格証明マッパー名→「管理」→「リライイング・パーティ」を選択します。
表33-5のパラメータを使用して、新規リライイング・パーティを作成します。
表33-5 Spacesの場合のリライイング・パーティのパラメータ
パラメータ | 値 | 説明 |
---|---|---|
プロファイル |
|
このSAMLリライイング・パーティが使用するSAMLプロファイル。 |
有効 |
選択 |
このSAMLリライイング・パーティの状態。 |
説明 |
Spaces |
このリライイング・パーティの簡単な説明。 |
ターゲットURL |
|
認証がリクエストされた宛先サイトのURL。 |
アサーション・コンシューマのURL |
|
このSAMLリライイング・パーティのアサーション・コンシューマ・サービスに接続するURL。アサーションまたはアーティファクトのPOST実行先またはリダイレクト先のURLを示します。 注意: 宛先サイトのフェデレーション・サービスの構成時にACSにSSLが必要であることを選択した場合は、HTTPSプロトコルおよび管理対象サーバーのSSLポートを使用します。 |
アサーション・コンシューマのプロパティ |
|
1つ以上のオプションの問合せパラメータ(name=valueの形式)であり、宛先サイトへのリダイレクト時にACS URLに追加されます。 POSTプロファイルの場合、これらのパラメータはデフォルトのPOSTフォームの使用時にフォーム変数として追加されます。ここで、 |
アサーションの署名 |
選択 |
このSAMLリライイング・パーティで生成されるアサーションに署名するかどうかを指定します。 |
Keyinfoを含める |
選択 |
アサーションの署名時に、署名用証明書を含む<ds:keyinfo>要素を含めるかどうかを示します。デフォルト値はtrueです。「アサーションの署名」がfalseの場合、この値は無視されます。 |
変更を保存し、他の部分はデフォルト値のままにします。
ソース・サイトのフェデレーションを構成する手順は次のとおりです。
SpacesドメインのWLS管理コンソールにログオンします。
「環境」→「サーバー」→カスタム・ポータルをホストしているサーバー→「構成」→「フェデレーション・サービス」→「SAML 1.1ソースサイト」を選択します。
表33-6に示したようにSAMLソース・サイトの属性を構成します。
表33-6 ソース・サイトのフェデレーション・サービスのパラメータ
パラメータ | 値 | 説明 |
---|---|---|
ソース・サイトの有効化 |
選択 |
「ソース・サイトの有効化」をtrueに設定すると、WebLogicサーバー・インスタンスがSAMLソース・サイトとして機能できるようになります。 |
ソース・サイトURL |
|
SAMLソース・サイトのURLを設定します。これは、サイト間転送サービスおよびアサーション取得サービスをホストするURLです。ソース・サイトのURLは、ソースIDとして16進数およびBase64でエンコードされます。 |
署名鍵別名 |
demoidentity |
SAMLソース・サイトは、アサーションに署名する信頼できる証明書を要求します。この証明書をキーストアに追加し、証明書へのアクセスに使用する資格証明(別名とパスフレーズ)を入力します。署名別名およびパスフレーズが指定されない場合、サーバーのSSL IDキー/証明書がデフォルトで使用されます。 |
署名鍵パスフレーズ |
|
SAMLソース・サイトは、アサーションに署名する信頼できる証明書を要求します。この証明書をキーストアに追加し、証明書へのアクセスに使用する資格証明(別名とパスフレーズ)を入力します。署名別名およびパスフレーズが指定されない場合、サーバーのSSL IDキー/証明書がデフォルトで使用されます。 |
サイト間転送URI |
(新しく追加し、他の部分はそのまま。) |
サイト間転送サービスおよび(Browser/Artifactプロファイルをサポートするための)アサーション取得サービスのURIを指定します。これらのURIは、アサーティング・パーティの構成でも指定されます。 |
アサーション取得用URI |
(新しく追加し、他の部分はそのまま。) |
ArtifactプロファイルがRESTに使用されている場合にのみ適用されます。 |
ITSでSSLが必要 |
選択解除 |
これを選択すると、SAMLアイデンティティ・プロバイダのSAMLアサーティング・パーティの構成でHTTPSおよびサーバーのSSLポートとして指定されているソース・サイトのITS URLの変更が必要になります。 |
ARSでSSLが必要 |
選択解除 |
Artifactプロファイルが使用されている場合にのみ適用されます。 |
変更を保存し、他の部分はデフォルト値のままにします。
Frameworkアプリケーションをホストしているサーバーを再起動します。
SAMLアイデンティティ・アサーション・プロバイダを構成する手順は次のとおりです。
SpacesドメインのWLS管理コンソールにログオンします。
第33.6.1.3項「アサーティング・パーティの構成」で説明されているとおりに、SAMLアイデンティティ・アサーション・プロバイダV2インスタンスを作成します。このとき、変更の保存後にWLSのすべてを再起動します。
WLS管理コンソールにログインして戻り、「セキュリティ・レルム」→レルム名→「プロバイダ」→「認証」→SAMLIdentityAsserterName
→「管理」→「証明書」に移動します。
SAMLアイデンティティ・アサータに証明書を構成します。
表33-7に示した値を使用して、SAMLアイデンティティ・アサータに証明書を構成します。
「セキュリティ・レルム」→レルム名→「プロバイダ」→「認証」→SAMLIdentityAsserterName
→「管理」→「アサーティング・パーティ」に移動します。
表33-8のパラメータを使用して、新規アサーティング・パーティを作成します。第33.6.2.5項「リライイング・パーティの構成」で、対応するリライイング・パーティに選択したものと同じプロファイルを使用します。
表33-8 アサーティング・パーティのパラメータ
パラメータ | 値 | 説明 |
---|---|---|
プロファイル |
|
このパートナとともに使用されるSAMLプロファイル。 |
有効 |
選択 |
SAMLアサーションの取得にこのアサーティング・パーティを使用できるかどうかを指定します。 |
説明 |
Spaces用のFrameworkアプリケーション |
このアサーティング・パーティの簡単な説明。 |
ターゲットURL |
|
このSAMLアサーティング・パーティのターゲットURL。 |
POST署名用証明書別名 |
|
このアサーティング・パーティからのSAMLプロトコル要素の署名を検証する、信頼性のある証明書の別名。Browser/POSTプロファイルに設定する必要があります。 |
ソース・サイトのリダイレクトURI |
|
未認証ユーザーを構成済のITS URLにリダイレクトするためのオプションのURIセット。これを設定した場合、サイト間転送URLも設定する必要があります。 注意: この設定により、宛先サイトに先にアクセスすると、構成されているITS URL(この場合はソース・アプリケーション内)にリダイレクトされ、セッションがソース・アプリケーションに対して確立されてから、宛先サイトにリダイレクトされます。 |
ソース・サイトITS URL |
|
このアサーティング・パーティのSAMLソース・サイトのサイト間転送サービス(ITS)URL。宛先サイトが最初のアクセス・ポイントになるシナリオをサポートするために、このURLはSSOプロファイルとともにのみ使用するようにしてください。そうすることで、認証前に宛先サイトのURLにアクセスしようとするユーザーは、認証を受けてSAMLアサーションを取得するためにソース・サイトにリダイレクトされます。ソースサイトのリダイレクトが機能するためには、「リダイレクトURI」属性も構成する必要があります。 注意: ソース・サイト・フェデレーション・サービスで「ITSでSSLが必要」を選択した場合、ソース・サイトITS URLを、HTTPSとサーバーのSSLポートを使用するように変更する必要があります。 |
ソース・サイトのITSパラメータ |
|
オプションの、0個以上の問合せパラメータ(name=valueの形式)であり、ソース・サイトへのリダイレクト時にITS URLに追加されます。ここでは、rp_00001は、宛先サイトの詳細を指定する、FrameworkアプリケーションのWLSドメインのSAML資格証明マッピング・プロバイダに指定されている、Spacesのリライイング・パーティIDです。 |
発行者URI |
|
このSAMLアサーティング・パーティのアサーションを発行するSAMLオーソリティの発行者URI。 |
署名が必要 |
選択 |
trueの場合、アサーションは署名される必要があります。falseの場合、署名要素は必須ではありません。ただし、署名要素を指定した場合は検証されます。 |
アサーション署名用証明書別名 |
|
対象のアサーティング・パーティからのアサーションの署名を確認するための信頼できる証明書の別名です。これは、「署名が必要」がtrueの場合に設定する必要があります。この証明書を、SAMLアイデンティティ・アサータの証明書レジストリに登録することも必要です。 |
変更を保存し、他の部分はデフォルト値のままにします。
宛先サイトのフェデレーション・サービスを構成する手順は次のとおりです。
WLS管理コンソールから、「WCドメイン」→「WC_Spaces」→「構成」→「フェデレーション・サービス」→「SAML 1.1宛先サイト」に移動します。[Spaces]
表33-9の値を使用して、SAML宛先サイトの属性を構成します。
表33-9 宛先サイトのパラメータ
パラメータ | 値 | 説明 |
---|---|---|
宛先サイトの有効化 |
選択 |
宛先サイトを有効にするかどうかを指定します。 |
ACSでSSLが必要 |
選択解除 |
アサーション・コンシューマ・サービスでSSLを必要とするかどうかを指定します。選択した場合は、資格証明マッパーのリライイング・パーティに指定されたACS URLで、HTTPSおよびターゲット・サーバーのSSLポートが必ず使用されるようにします。 |
アサーション・コンシューマのURI |
(新しく追加し、他の部分はそのまま) |
アサーション・コンシューマのURI。ここでは、同じログインCookieが使用されるように、ターゲット・アプリケーション内に存在するACSを選択しています。 |
POST受信者チェックの有効化 |
選択 |
POST受信者のチェックが有効化されるかどうかを指定します。trueに設定されている場合、SAMLレスポンスの受信者は、HTTPリクエストのURLと一致している必要があります。 |
POST使用済みチェックの有効化 |
選択 |
POSTの使用を1回にするチェックが有効化されるかどうかを指定します。 |
変更を保存し、他の部分はデフォルト値のままにします。
Spacesサーバーを再起動します。
Spaces以外のアプリケーションをFrameworkアプリケーションの宛先アプリケーションとして機能させる場合は、次の手順を実行します。
宛先アプリケーションをホストする各ドメインに、SAML IDアサータおよび証明書を登録しておきます(第33.6.2.7項「SAMLアイデンティティ・アサーション・プロバイダの構成」の手順1から5を参照してください)。
第33.6.2.5項「リライイング・パーティの構成」でSpacesに対して実行したように、FrameworkアプリケーションをホストしているWLSドメインで宛先アプリケーションのリライイング・パーティを作成します。各アプリケーションで該当する値については、表33-10を参照してください。
宛先アプリケーションのWLSドメインで、Spacesに対して作成したものと同様の、対応するアサーティング・パーティを作成します。第33.6.2.7項「SAMLアイデンティティ・アサーション・プロバイダの構成」でアサーティング・パーティを作成した手順を使用します。ソース・リダイレクトURIを、宛先アプリケーションのセキュアなURIに適切に設定します。各アプリケーションで該当する値については、表33-10を参照してください。
アサーティング・パーティおよびリライイング・パーティが有効になっており、互いを適切にポイントしていることを確認します。つまり、アサーティング・パーティの「ソース・サイトのITSパラメータ」およびリライイング・パーティの「アサーション・コンシューマのプロパティ」が、互いに適切にポイントしている必要があります。
宛先アプリケーションをホストしているサーバーの宛先サイト・フェデレーション・サービスを有効にして、第33.6.2.8項「宛先サイトのフェデレーション・サービスの構成」でWC_Spaces
サーバーに対して実行したことと同じように、/yourdestinationapp
/samlacs/acs
のエントリを追加しておきます。各アプリケーションで該当する値については、表33-10を参照してください。
表33-10 Spaces以外の宛先アプリケーションの設定
宛先アプリケーション | ターゲットURL(リライイング・パーティ) | ACS URL(リライイング・パーティ) | ACS URI(宛先サイトのフェデレーション・サービス) | ソース・リダイレクトURI(アサーティング・パーティ) |
---|---|---|---|---|
RSS |
http://host:port/rss |
http://host:port/rss/samlacs/acs |
/rss/samlacs/acs |
/rss/rssservlet |
REST |
http://host:port/rest |
http://host:port/rest/samlacs/acs |
/rest/samlacs/acs |
/rest/api/resourceIndex |
ディスカッション |
http://host:port/owc_discussions |
http://host:port/owc_discussions/samlacs/acs |
/owc_discussions/samlacs/acs |
/owc_discussions/admin/forum-main.jsp /owc_discussions/admin/content-main.jsp /owc_discussions/login!withRedirect.jspa /owc_discussions/login!default.jspa /owc_discussions/login.jspa |
アクティビティ・グラフ・エンジン |
http://host:port/activitygraph-engines |
http://host:port/activitygraph-engines/samlacs/acs |
/activitygraph-engines/samlacs/acs |
/activitygraph-engines/index.jsp |
Content Server |
http://host:port |
http://host:port/samlacs/acs |
/samlacs/acs |
/adfAuthentication |
ワークリストの詳細 |
http://host:port/workflow/WebCenterWorklistDetail |
http://host:port/workflow/WebCenterWorklistDetail/samlacs/acs |
/WebCenterWorklistDetail/samlacs/acs |
/workflow/WebCenterWorklistDetail/faces/adf.task-flow |
ワークリストのSDP |
http://host:port/workflow/sdpmessagingsca-ui-worklist |
http://host:port/workflow/sdpmessagingsca-ui-worklist/samlacs/acs |
/sdpmessagingsca-ui-worklist/samlacs/acs |
/workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow |
ワークリストの統合 |
http://host:port/integration/worklistapp |
http://host:port/integration/worklistapp/samlacs/acs |
/worklistapp/samlacs/acs |
/integration/worklistapp/ssologin /integration/worklistapp/faces/home.jspx |