| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.1) B69533-05 |
|
 前 |
 次 |
この章では、Access Manager 11.1.2とSAP NetWeaver Enterprise Portal 7.0の統合について説明します。
この章の内容は、次のとおりです。
Access Manager 11.1.2はSAP NetWeaver Enterprise Portal v7.0をサポートしますが、次の注意事項があります。
SAPバージョン7.0.xをサポートします。
このリリースでは、WebサーバーとしてApache 2.0 (Apache.orgから提供)がサポートされています。
MySAPは動作保証されていません。
Access Manager 11.1.2がサポートするバージョンとプラットフォームについては次のサイトを参照してください。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
次の図は、Access ManagerとSAP NetWeaver Enterprise Portal間の統合を示しています。
ユーザーは、SAP NetWeaver Enterprise Portalを介してコンテンツにアクセスしようとします。
たとえば、ユーザーは次のURLを入力して、プロキシ・サーバー経由でHRアプリケーションにアクセスします。
https://host:port/irj
WebGateは、リクエストを捕捉して、リソースが保護されているかどうかを決定するセキュリティ・ポリシーについてアクセス・サーバーに問合せを行います。
セキュリティ・ポリシーは、認証スキーム、認可ルールおよび許可操作で構成されます。認証および認可の成功または失敗に応じて、指定のアクションが実行されます。
SAP /irjログインURLのアクセス・システム・セキュリティ・ポリシーは、https://host:port/irj URLを使用してアクセスされるすべてのリソースに対して適用可能です。
SAP NetWeaver Enterprise Portalには、iViewへのアクセス権をユーザーに設定する独自の認証システムがあります。
リソースが保護されている場合、WebGateは、ユーザーに認証資格証明を要求します。
WebGateが要求する資格証明は、Basic over LDAPまたはフォームベース認証など、アクセス・システムで構成されている認証スキームによって異なります。
資格証明が有効な場合、アクセス・システムは、ユーザーを認証し、ユーザーのブラウザに暗号化したObSSOCookieを設定します。
認証後、アクセス・システムで定義されている認証ルールが、セキュリティ・ポリシーに基づいて適用されます。
認証ルールに基づいて、特定のアクションが実行されます。ユーザーが認可されると、SAP Portalログイン(リクエストされたコンテンツ)へのアクセスが許可されます。SAP Enterprise Portalのヘッダー変数統合の場合、アクセス・サーバーは、ヘッダー変数に認証済ユーザーIDを設定します。
ユーザーが認証されない、または認可されない場合、このユーザーはアクセスを拒否され、管理者によって定義されている別のURLにリダイレクトされます。たとえぱ、ユーザーは「無効な資格証明」ページにリダイレクトされます。
SAP NetWeaver Enterprise Portalと統合している場合は、プロキシWebサーバーが、ヘッダー変数詳細を含むSAP NetWeaver Enterprise Portal内部Webサーバーにリクエストをリダイレクトします。
SAP NetWeaver Enterprise Portalは、ヘッダー変数値を使用して、ポータル内の構成済データ・ソースに対してユーザーIDのマッピングを確認します。
Access ManagerとSAP NetWeaver Enterprise Portalデータ・ソースの両方に同じユーザーID値が含まれている必要があります。
マッピングが成功すると、SAP NetWeaver Enterprise Portalは、ユーザーに、リクエストされているリソースへのアクセスを許可します。
SAP NetWeaver Enterprise Portalは、プロキシにレスポンスを送信し、プロキシがクライアント・ブラウザにリダイレクトします。
SAP Enterprise Portalとのすべてのやり取りは、プロキシ・サーバー経由で行われます。
Access Manager 11.1.2をSAP NetWeaver Enterprise Portalと統合する前に、次のタスクを完了してください。
SAP NetWeaver Enterprise Portal v7と統合するために、次のことを準備しておく必要があります。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従って、Access Managerをインストールします。
apache.orgから指示されているインストール手順に従って、Apache HTTP Server 2.0.xをインストールします。
各Webサーバー・インスタンスに対して、WebGateをインストールおよび構成します。
SAP NetWeaver Enterprise PortalとAccess Managerコンポーネントがインストールされているすべてのサーバーで、時間を同期します。
ユーザーが、Access Manager LDAPディレクトリとSAP R3システム・データベース上に存在していることを確認します。
Access ManagerとSAPデータベース内のユーザーIDは、同じであるか、それぞれにマップされている必要があります。ユーザーのプロファイル内の属性は、SAP IDとして構成して、SAPに直接渡すことができます。または、SAP IDを、Access Managerから受け取る任意のユーザー属性にマップするようにSAPを構成することもできます。
Cookieを許可するようWebブラウザを構成します。
|
注意: Access Manager 11.1.2とSAP NetWeaver Enterprise Portalを統合する前に、次のトピックの確認をお薦めします。
|
この項では、Access Managerと連動するようにSAP NetWeaver Enterprise Portalを構成する方法について説明します。統合を完了するには、第49.6項の説明に従って、Access Managerの構成も行う必要があります。
この項の手順を実行する前に、SAP NetWeaver Enterprise Portalバージョン7.0.xがインストールされている必要があります。
SAP Enterprise Portalインスタンスへのプロキシ接続をサポートするApache HTTP ServerインスタンスにWebGateをインストールする必要もあります。Oracle Access ManagerのためのWebgateのインストールに関する項を参照してください。
この項の内容は次のとおりです。
次の手順は、SAP NetWeaver Enterprise Portal v7.0にアクセスするようにプロキシ(Apache HTTP Server 2.0.x)を構成するための手順です。
Apache HTTP Server 2.0.xを構成するには、次の手順に従います。
Apacheのドキュメントに従って、Apache HTTP Serverプロキシを非SSLモードまたはSSLモードで設定します。
HTTPS通信をSAP NetWeaver Enterprise Portalで使用する場合は、SSLモードを使用します。
SAP NetWeaver Enterprise Portalにアクセスできるようにプロキシを構成するには、httpd.conf構成ファイルに次の内容を入力します。
ProxyRequests Off ProxyPass /webdynpro http://sap_host:port/irj ProxyPassReverse /webdynpro http://sap_host:port/irj ProxyPreserveHost On
sap_hostは、SAP NetWeaver Enterprise Portalインスタンスの名前で、portは、SAP NetWeaver Enterprise Portalインスタンス用のリスニング・ポートになります。このディレクティブ・セットにより、http://apache_host:port/irjまたはhttps://apache_host:port/irj形式のこのWebサーバーへのすべてのリクエストが、http://sap_host:port/irjまたはhttps://sap_host:port/irjにリダイレクトされるようになります。
プロキシWebサーバーを再起動します。
次のURLにアクセスします。
非SSL - http://apachehost:port/irj
SSL - https://apachehost:port/irj
このリクエストは、SAP NetWeaver Enterprise Portalログインにリダイレクトされる必要があります。
SAP NetWeaver Enterprise Portal管理者ログインIDを使用してログインします。
管理者は、使用可能な管理機能を実行できることが必要です。
非管理ユーザーとしてログインします。
このユーザーは、非管理機能を実行できることが必要です。
次の手順は、OB_USERヘッダー変数を使用してSAP Enterprise Portalで外部認証を行うための手順です。
SAP Enterprise Portalに対する認証スキームの構成の詳細は、『SAP NetWeaver 7.0 Security Guide』を参照してください。
SAP J2EEディスパッチャとサーバーを停止します。
次のディレクトリに移動します。
SAP_J2EE_engine_install_dir\ume
authschemes.xml.bakファイルを別のディレクトリにバックアップします。
authschemes.xml.bakの名前をauthschemes.xmlに変更します。
エディタにauthschemes.xmlを開いて、次のようにデフォルト認証スキームの参照を認証スキーム・ヘッダーに変更します
<authscheme-refs>
<authscheme-ref name="default">
<authscheme>header</authscheme>
<authscheme>uidpwdlogon</authscheme>
</authscheme-ref>
</authscheme-refs>
authschemes.xmlの認証スキーム・ヘッダーで、アクセス・システムによってユーザーIDが指定されるHTTPヘッダー変数の名前を指定します。
49-7ページの「SAP Enterprise Portal用のAccess Manager 11.1.2の構成」で説明されているように、これはOB_USERヘッダー変数です。このヘッダー変数を次のように構成します。
<authscheme name="header">
<loginmodule>
<loginModuleName>
com.sap.security.core.logon.imp.HeaderVariableLoginModule
</loginModuleName>
<controlFlag>REQUISITE</controlFlag>
<options>Header=OB_USER</options>
</loginmodule>
<priority>5</priority>
<frontEndType>2</frontEndType>
<frontEndTarget>com.sap.portal.runtime.logon.header</frontEndTarget>
</authscheme>
制御フラグ値REQUISITEは、ログイン・モジュールの成功が必須条件であることを意味します。ログインが成功すると、ログイン・モジュール・リストを介して認証が続行されます。失敗した場合、すぐに制御がアプリケーションに返され、認証はログイン・モジュール・リストを介して続行されません。
ポータル・サーバーとJ2EEエンジンを再起動します。
変更されたauthschemes.xmlファイルがポータル・コンテンツ・ディレクトリ(PCD)にロードされます。SAP Enterprise Portalは、この名前をauthschemes.xml.bakに変更します。
ログアウトを構成するには:
SAP Enterprise PortalとAccess Managerの両方でシングル・サインオン・セッションからのログアウトを有効にするには、SAP Enterprise Portalの管理インタフェースからログアウトURLを構成します。
管理インタフェースのURLは次のとおりです。
http://SAP_host:port/irj/
SAP_hostは、SAP Enterprise Portalをホストするマシン名で、portは、ポータルのリスニング・ポートです。
管理インタフェースから、「System Administration」→「System Configuration」→「UM Configuration」→「Direct Editing」の順に選択します。
構成ファイルの最後に次の行を追加します。
ume.logoff.redirect.url=http(s)://proxy_host:port/logout.html ume.logoff.redirect.silent=false
http(s)はhttpかhttpsのいずれかになり、proxy_hostは、プロキシWebサーバーの名前で、portは、プロキシのリスニング・ポートになります。
変更を保存し、ログアウトします。
適切なログイン・モジュール・スタックまたはテンプレートにHeaderVariableLoginModuleを追加し、ここで説明するように、オプションを構成します。
表49-1 ヘッダー変数を使用するためのログイン・モジュール・スタック
| ログイン・モジュール | フラグ | Options |
|---|---|---|
|
EvaluateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true
|
|
HeaderVariableLoginModule |
OPTIONAL |
{ume.configuration.active=true, Header=<header_name>}
|
|
CreateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true}
|
|
BasicPasswordLoginModule |
REQUISITE |
{}
|
|
CreateTicketLoginModule |
OPTIONAL |
{ume.configuration.active=true}
|
ヘッダー変数を使用するためにログイン・モジュール・スタックを調整するには、次の手順に従います。
次の場所からVisual Administratorツールを実行します。
SAPJ2EEEngine_install_dir\j2ee\admin\go.bat
Visual Administratorで、セキュリティ・プロバイダを選択します。
鉛筆アイコンを選択して、編集モードに切り替えます。
「Policy Configurations」、「Authentication」の順に選択します。
ヘッダー変数認証をサポートするための各テンプレートまたはアプリケーションに対して、ログイン・モジュールHeaderVariableLoginModuleをログイン・モジュール・スタックに追加します(表49-1参照)。
この項では、SAP NetWeaver Enterprise Portalと連動するようにAccess Manager 11.1.2を構成する方法について説明します。統合を完了するには、第49.5項の説明に従って、SAP NetWeaver Enterprise Portalの構成も行う必要があります。
この項の手順を実行する前に、Access Manager 11.1.2がインストールされている必要があります。
SAP Enterprise Portalインスタンスへのプロキシ接続をサポートするApache HTTP ServerインスタンスにAccess Manager WebGateをインストールする必要もあります。
この項の内容は次のとおりです。
次の手順は、SAP NetWeaver Enterprise Portalへのログインを保護するようにAccess Manager内のセキュリティ・ポリシーを構成するための手順です。アプリケーション・ドメインの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
SAP NetWeaver Enterprise Portal用にAccess Managerを構成するには、次の手順に従います。
Oracle Access Managementコンソールにログインします。
「システム構成」タブの「Access Manager」セクションで、この統合用のWebgateを登録します。例:
名前: SAP_AG
ホスト識別子: Apacheプロキシ・ホスト
ポリシーの自動作成: 有効(選択)
保護されているリソース・リスト:
パブリック・リソース・リスト: このリストにパブリック・リソースを追加します。
適用: このリストにパブリック・リソースを追加します。
「認可ポリシー」タブをクリックし、次に「認証ポリシーの作成」ボタンをクリックして、新しいページを開きます(第18章)。
「サマリー」タブ: 情報を「サマリー」タブに追加します。
リソースの追加: リソースを特定のポリシーに追加するには、そのリソースをアプリケーション・ドメイン内で定義する必要があります。
「認可ポリシー」ページの「リソース」タブをクリックします。
「リソース」タブの「追加」ボタンをクリックします。
「検索」ボタンをクリックします。
「結果」表内のURLをクリックし、「選択済の追加」をクリックします。
これらの手順を繰り返して、さらにリソースを追加します。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
レスポンス: 「SSOのポリシー・レスポンスの追加および管理」の説明に従って、ポリシーのレスポンスを追加します。
条件: 「認可ポリシー条件の定義」の説明に従って、認可条件を追加します。
条件: 「認可ポリシー・ルールの定義」の説明に従って、認可ルールを追加します。
終了したらページを閉じます。
次の手順で、統合をテストします。
フロントエンド統合のテスト手順
次の手順で、Webブラウザを使用して統合をテストできます。
保護されているURLを開きます。たとえば、https://host:port/irjと入力します。
Access Managerから、認証要求が発生する必要があります(フォームベース認証、Basic over LDAP認証、証明書モード認証)。
正しいユーザー資格証明を入力します。
資格証明が正しい場合、SAP NetWeaver Enterprise Portalシステムにログインされます。
バックエンド統合のテスト手順
この手順を実行するには、ブラウザがリソースを要求するときに発生するHTTPリクエストとレスポンスを表示するWebブラウザ用プラグインをダウンロードして、インストールする必要があります。このようなプラグインとして、Live HTTP Headers for FirefoxまたはieHTTPHeaders for Internet Explorerがあります。
プラグインを開いて、ブラウザに、保護されたリソースを要求するURLを入力します。たとえば、https://host:port/irjと入力します。
プラグイン・ウィンドウに、HTTPリクエストとレスポンスが移入されます。
リクエストとレスポンスを分析して、各リクエストがエラーなしでレスポンスを返すことを確認します。
ユーザーの認証後、HTTPヘッダー・ログに、いくつかのセッションと、設定されているCookieを確認できます。次のようなCookieが設定されます。
ObSSOCookie
JSESSIONID
OAM_ID
OAM_REQ
リクエストがSAP NetWeaver Enterprise Portalに到達すると、ヘッダー・ログでEnterprise Portalシステムからレスポンスを受け取ります。
この項では、この統合で発生する問題のトラブルシューティングに役立つ情報を提供します。
問題: ブラウザからプロキシ・サーバー経由でSAP管理インタフェースにアクセスしようとすると、問題が発生します。「オブジェクトが見つかりません」というエラーと、関連するJavaScriptエラーが表示されます。
解決策: 『SAP NetWeaver 7.0x Product Availability Matrix』で、サポートされているブラウザを確認してください。
