| Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド 11g リリース2 (11.1.2.1.0) B69539-05 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド 11g リリース2 (11.1.2.1.0) B69539-05 |
|
前 |
次 |
この章では、Oracle Access Manager 10gからOracle Access Management Access Manager 11.1.2.1.0に移行した後、Oracle Access Manager 10gとOracle Access Management Access Manager (Access Manager) 11gリリース2 (11.1.2.1.0)のデプロイメントが共存する環境を設定する方法について説明します。この共存シナリオでは、Oracle Access Manager 10gサーバーはすべてのリソースの認証を行います。
この章には次の項が含まれます:
第16.5項「オプション: Oracle HTTP Server 11g (OHS-1およびOHS-2)のインストールと構成」
第16.6項「Access Manager 11.1.2.1.0管理対象サーバーのリバース・プロキシとしてのOHS-2の構成」
第16.7項「Access Manager 11.1.2.1.0でのLDAPNoPasswordAuthModuleの更新」
第16.11項「Oracle Access Manager 10gでのAccess Manager 11.1.2.1.0の認証エンドポイントURLの保護」
Oracle Access Manager 10gからAccess Manager 11.1.2.1.0への移行プロセスでは、一部のアプリケーションはOracle Access Manager 10gで保護され、その他のアプリケーションはAccess Manager 11.1.2.1.0で保護されるように、Oracle Access Manager 10gとAccess Manager 11.1.2.1.0のデプロイメントを共存させることができます。エンドユーザーがこれらのアプリケーション間を移動する場合、シームレスなシングル・サインオンの経験があることが望まれます。これを共存モードと言います。
このモードでは、Access Manager 11.1.2.1.0は、移行されたアプリケーション、およびAccess Manager 11.1.2.1.0に登録された新しいアプリケーションを保護し、Oracle Access Manager 10gは、Access Manager 11.1.2.1.0に移行されていないアプリケーションを引き続き保護します。
この共存モードでは、Oracle Access Manager 10gは、Access Manager 11.1.2.1.0で保護されるすべてのリソースの認証を行います。
図16-1は、Oracle Access Manager 10gサーバーとAccess Manager 11.1.2.1.0サーバーの共存を示しています。
図16-1 Oracle Access Manager 10gとAccess Manager 11.1.2.1.0の共存
トポロジは、Oracle Access Manager 10gとAccess Manager 11.1.2.1.0の非結合設定で構成されます。トポロジ内の数字1-12は、共存環境でリクエストがフローする順序を示しています。表16-1は、リクエスト・フローの説明です。
この共存設定の内容は次のとおりです。
Access Manager 11.1.2.1.0サーバーに対して登録されたOracle Access Manager 10gのWebGateパートナ。
Oracle Access Manager 10gサーバーに対して登録されたOracle Access Manager 10gのWebGateパートナ。
トポロジの説明
WebGate 10g-1: Access Manager 11.1.2.1.0サーバーに登録された10gまたは11gのWebGateパートナを表します。これは、OHS-1というOracle HTTP Server 11gにデプロイされます。WebGate 10g-1は、Access Manager 11.1.2.1.0に移行されたリソースやアプリケーションを保護します。
WebGate 10g-2: Oracle Access Manager 10gサーバーに登録されたOracle Access Manager 10gのWebGateパートナを表します。これは、OHS-2というOracle HTTP Server 11gにデプロイされます。WebGate 10g-2は、Access Manager 11.1.2.1.0に移行されていないリソースやアプリケーションを保護し、Oracle Access Manager 10gで保護されます。また、資格証明コレクタのURLも保護します。
OHS-1: WebGate 10g-1がデプロイされるOracle HTTP Server 11gを表します。
OHS-1: WebGate 10g-2がデプロイされるOracle HTTP Server 11gを表します。OHS-2は、Access Manager 11.1.2.1.0管理対象サーバーのホストおよびポートのリバース・プロキシとして機能します。これは、Access Manager 11.1.2.1.0の資格証明コレクタのフロントエンド処理を行います。このため、WebLogicのOHSモジュールを使用する必要があります。
Resource-1: Access Manager 11.1.2.1.0サーバーで保護されるリソースです。
ロード・バランサ(LBR): Access Manager 11.1.2.1.0の構成にマップする論理ロード・バランサです。
表16-1は、リクエスト・フローの説明です。手順列の数字は、図16-1のトポロジに示されている数字と対応しています。
表16-1 リクエスト・フロー
| 手順 | 説明 |
|---|---|
|
1 |
次のURLで、Access Manager 11.1.2.1.0サーバーによって保護される
|
|
2および3 |
|
|
4および5 |
|
|
6 |
WebGate 10g-2はOracle Access Manager 10gサーバーに対して登録され、Access Manager 11.1.2.1.0サーバーの認証エンドポイントURL自体は、フォーム認証スキームなどの目的の認証スキームでOracle Access Manager 10gによって保護されます。そのため、 |
|
7 |
ユーザーが資格証明を入力すると、 |
|
8、9および10 |
|
|
11 |
OAM10gSchemeを使用して |
表16-2は、図16-1に示されているトポロジの設定および構成手順を示しています。
表16-2 完了するタスク
| タスク番号 | タスク | 参照先 |
|---|---|---|
|
1 |
構成プロセスを開始する前に、共存トポロジを理解して精通しておきます。 |
「共存のトポロジ」を参照してください。 |
|
2 |
前提条件を満たします。 |
「共存の前提条件」を参照してください。 |
|
3 |
Oracle HTTP Server 11gの2つの新しいインスタンス( Oracle HTTP Serverの2つの新しいインスタンスをインストールしない場合、Oracle Access Manager 10g移行の一環で利用可能なOracle HTTP Serverインスタンスを使用できます。 |
「オプション: Oracle HTTP Server 11g(OHS-1およびOHS-2)のインストールと構成」を参照してください。 |
|
4 |
Access Manager 11.1.2.1.0管理対象サーバーのリバース・プロキシとして |
「Access Manager 11.1.2.1.0管理対象サーバーのリバース・プロキシとしてのOHS-2の構成」を参照してください。 |
|
5 |
Access Manager 11.1.2.1.0で認証モジュールLDAPNoPasswordAuthModuleを更新し、移行の結果としてAccess Manager 11.1.2.1.0に作成されたデータ・ソースをユーザー・アイデンティティ・ストアが指すようにします。 |
「Access Manager 11.1.2.1.0でのLDAPNoPasswordAuthModuleの更新」を参照してください。 |
|
6 |
2つのWebGate(
新しいWebGateをインストールしない場合、Oracle Access Manager 10g移行の一環で利用可能なWebGateを使用できます。 |
|
|
7 |
WebGateのプライマリCookieドメインを構成します。 |
「WebGateのプライマリCookieドメインの構成」を参照してください。 |
|
8 |
Access Manager 11.1.2.1.0ですべてのリソースを保護します。 |
「Access Manager 11.1.2.1.0でのリソースの保護」を参照してください。 |
|
9 |
Oracle Access Manager 10gでAccess Manager 11.1.2.1.0の認証エンドポイントURLを保護します。 |
「Oracle Access Manager 10gでのAccess Manager 11.1.2.1.0の認証エンドポイントURLの保護」を参照してください。 |
|
10 |
WebGateとAccess Manager 11.1.2.1.0サーバーの両方でログアウトが機能するようにログアウト設定を構成します。 |
「ログアウト設定の構成」を参照してください。 |
|
11 |
セッション管理を構成します。 |
「セッション管理設定の構成」を参照してください。 |
|
12 |
構成を確認します。 |
「構成の確認」を参照してください。 |
Oracle Access Manager 10gとAccess Manager 11.1.2.1.0の共存に必要なタスクの実行を開始する前に、次の前提条件を満たす必要があります。
Oracle Fusion Middlewareのシステム要件および仕様のドキュメントを読み、インストール、アップグレードおよび移行を行う製品の最小要件を環境が満たしていることを確認します。
|
注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。 |
使用しているOracle Access Manager 10gのリリースが共存でサポートされていることを確認します。Oracle Access Manager 10gとAccess Manager 11.1.2.1.0の共存がサポートされている開始ポイントの詳細は、第10.6項「Oracle Access Manager 10gとOracle Access Management Access Manager 11.1.2.1.0の共存がサポートされている開始ポイント」を参照してください。
Oracle Access Manager 10gのアーティファクトをAccess Manager 11.1.2.1.0に移行します。詳細は、第11章「Oracle Access Manager 10g環境の移行」を参照してください。
Oracle Access Manager 10gとAccess Manager 11.1.2.1.0が同じユーザー・ストアを共有するようにします。
Oracle Access Manager 10gサーバーとOracle Access Management 11.1.2.1.0サーバーが起動して動作していることを確認します。
Oracle HTTP Server 11g(図16-1に示されているOHS-1およびOHS-2)をインストールして構成します。あるいは、Oracle Access Manager 10gからAccess Manager 11.1.2.1.0への移行後に存在するOracle HTTP Serverインスタンスを使用できます。
詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』のOracle HTTP Server 11gのインストールと構成に関する項を参照してください。
OHS-2をAccess Manager 11.1.2.1.0サーバーのリバース・プロキシとして構成する必要があります。これは、Access Manager 11g管理対象サーバーのホストとポートであるAccess Manager 11.1.2.1.0サーバーの認証エンドポイントのフロントエンド処理を行います。
|
注意: 前述のように、 |
OHS-2をAccess Manager 11.1.2.1.0サーバーのリバース・プロキシとして構成するには、次の手順を実行します。
Oracle WebLogic ServerのOHSプラグインmod_wl_ohsを構成して、URLの接頭辞が/oamのリクエストをAccess Manager 11.1.2.1.0サーバーに転送するようにOHS-2を設定します。
WebLogicのOHSモジュールの構成の詳細は、Oracle Fusion Middleware Oracle HTTP Server管理者ガイドのmod_wl_ohsモジュールの構成に関する項を参照してください。
mod_wl_ohsを構成している間に、WebLogicHostおよびWebLogicPortパラメータは、適切なAccess Manager 11.1.2.1.0サーバーのホストとポートを指し示します。
OHS-2を再起動します。
次のURLを使用してOracle Access Management 11.1.2.1.0コンソールにログインします。
http://host:port/oamconsole
このURLの内容は、次のとおりです。
hostは、Oracle Access Management 11.1.2.1.0コンソール(管理サーバー)をホストするマシンの完全修飾ドメイン名を表します。
portは、Oracle Access Management 11.1.2.1.0コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
/oamconsoleは、Oracle Access Managerコンソールの「ログイン」ページを表します。
「システム構成」タブに移動し、「Access Managerの設定」をダブルクリックします。
「ロード・バランシング」セクションで、「OAMサーバー・ホスト」フィールドにOHS-2のホスト名を、「OAMサーバー・ポート」フィールドにOHS-2のポート番号を指定します。
「適用」をクリックします。
図16-2に、「Access Managerの設定」を変更する必要がある場合のAccess Manager 11.1.2.1.0コンソールを示します。
Access Manager 11.1.2.1.0サーバーで構成されたWebGate 10g-1のIP検証機能を使用するには、Access Manager 11.1.2.1.0サーバーでクライアントのIPアドレスを使用してSSOトークンを作成するように、Access Manager 11.1.2.1.0サーバーを変更する必要があります。次の手順を実行します。
次のURLを使用してWebLogic管理コンソールにログインします。
http://host:port/console
ここで、
hostは、WebLogicが動作しているマシンのホスト名です。
portは、WebLogicが動作しているマシンのポート番号です。
左のナビゲーション・ペインで「ドメイン構造」の「環境」を開きます。
「サーバー」を選択します。
右のパネルで「サーバーのサマリー」からOAMサーバーを選択します。
「構成」タブを選択して、「一般」タブをクリックします。
図16-3に、WebLogicコンソールで選択する必要があるタブを示します。
「詳細」をクリックしてから、「WebLogicプラグインの有効化」オプションを選択します。
図16-4に、選択する必要があるチェック・ボックスを示します。
「保存」をクリックします。
WebLogic Server、Access Manager 11.1.2.1.0管理対象サーバーの順に再起動します。
LDAPNoPasswordAuthModuleは、認証スキームOAM10gSchemeで使用される認証モジュールです。
移行の結果としてAccess Manager 11.1.2.1.0に作成されるデータ・ソースを指し示すように認証モジュールLDAPNoPasswordAuthModuleを更新する必要があります。次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2.1.0コンソールにログインします。
http://host:port/oamconsole
このURLの内容は、次のとおりです。
hostは、Oracle Access Managerコンソール(管理サーバー)をホストするマシンの完全修飾ドメイン名を表します。
portは、Oracle Access Management 11.1.2.1.0コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
「システム構成」タブに移動します。
「Access Manager」→「認証モジュール」を開きます。
「LDAP認証モジュール」を開きます。
LDAPNoPasswordAuthModuleをクリックし、移行の結果としてAccess Manager 11.1.2.1.0に作成されるデータ・ソースを指し示すようにユーザー・アイデンティティ・ストアを更新します。
Oracle Access Manager 10gを移行すると、古いWebGateはOracle Access Manager 10gサーバー(WebGate 10g-2)と通信し、移行したWebGateはAccess Manager 11.1.2.1.0サーバー(WebGate 10g-1)と通信します。共存環境を設定するためのこの2つのWebGateインスタンスを使用するか、2つの新しいWebGateインスタンスをインストールできます。
新しいWebGateインスタンス(WebGates 10g-1とWebGates 10g-2)をインストールする場合、それらを次のように構成する必要があります。
WebGate 10g-1: このWebGateインスタンスは、Oracle Access Manager 10gのWebGateまたはAccess Manager 11.1.2.1.0のWebGateになります。図16-1に示されているように、10gまたは11gのWebGateをOracle HTTP Server 11g(OHS-1)にインストールし、Access Manager 11.1.2.1.0サーバーで構成する必要があります。
10g WebGateのインストールとAccess Manager 11.1.2.1.0サーバーでの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle Access Manager 11gに対する最新の10g Webgateの検索とインストールに関する項を参照してください。
11g WebGateのインストールとAccess Manager 11.1.2.1.0サーバーでの構成の詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』のOracle HTTP Server 11g Webgate for OAMのインストールと構成に関する項を参照してください。
WebGate 10g-2: WebLogicのプロキシとして機能する10gのWebGateインスタンスです。図16-1に示されているように、10gのWebGateをOracle HTTP Server 11g(OHS-2)にインストールし、Oracle Access Manager 10gサーバーで構成する必要があります。
10gのWebGateのインストールとOracle Access Manager 10gサーバーによる構成の詳細は、Oracle Access Managerインストレーション・ガイド(リリース10g(10.1.4.3))のWebGateのインストールに関する項を参照してください。
|
注意: Access Manager 11.1.2.1.0による10g WebGateの管理の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle Access Manager 11gによる10g Webgateの管理に関する項を参照してください。 |
Access Manager 11.1.2.1.0サーバーで構成されたリソースWebGate(WebGate 10g-1)のタイプが10g WebGateの場合、各WebGateインスタンス(WebGate 10g-1およびWebGate 10g-2)に別個のプライマリCookieドメインを設定する必要があります。
これには2つの方法があります。この2つの方法は、Cookieドメインを分離する必要があるWebGateの数によって異なります。次のいずれかの方法を実行する必要があります。
プライマリCookieドメインを変更する必要があるWebGateの総数が少ない場合、この方法を実行する必要があります。この方法では、Oracle Access Manager 10gサーバーで構成されたすべてのWebGate(WebGate 10g-2など)のプライマリCookieドメインが、Access Manager 11.1.2.1.0サーバーで構成されたすべてのWebGate(WebGate 10g-1など)のプライマリCookieドメインと異なる必要があります。そのために、古い10g WebGateまたは新しく移行された10g WebGateのプライマリCookieドメインを変更します。
次の手順を実行します。
WebGateごとにそれぞれのプライマリCookieドメインを作成します。これを行うには、両方のWebGateインスタンスのプロファイルを変更します。
Access Manager 11.1.2.1.0サーバーで構成されたWebGate 10g-1のプロファイルを変更するには、次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2.1.0コンソールにログインします。
http://host:port/oamconsole
「システム構成」タブに移動します。
「Access Manager」→「SSOエージェント」をクリックします。
「OAMエージェント」をダブルクリックします。
コンソール・ウィンドウの右側にある「検索」パネルにWebGate IDを入力して、プロファイルを変更する必要があるWebGateを検索します。鉛筆のアイコンをクリックしてプロファイルを編集します。
「プライマリCookieドメイン」パラメータの値を変更して、「適用」をクリックします。
同様に、Oracle Access Manager 10gサーバーで構成されるWebGate 10g-2のプロファイルを変更して、「プライマリHTTP Cookieドメイン」パラメータに適切な値を指定します。詳細は、Oracle Access Managerアクセス管理ガイド(リリース10g(10.1.4.3))のAccessGateの変更に関する項を参照してください。
仮想ホスティングを使用して、OHS上の2つのWebGateに対して別々のドメインを取得します。詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のIdentity Managementをサポートするための仮想ホストの作成に関する項を参照してください。
仮想ホスティングを使用してWebGateのそれぞれのドメインを作成するため、WebGateの構成を一部変更する必要があります。WebGateの仮想ホスティングの構成の詳細は、Oracle Access Managerアクセス管理ガイド(リリース10g(10.1.4.3))の仮想Webホスティングの構成に関する項を参照してください。
10gデプロイメントおよび新しく移行したデプロイメントのWebGateの数が多い場合、WebGateに別個のプライマリCookieドメインを構成する方法(第16.9.1項「すべてのWebGateのCookieドメインの分離」を参照)は適していません。そのため、次の方法を実行する必要があります。
この方法では、認証WebGate(WebGate 10g-2)のプライマリCookieドメインを分離する必要があります。
認証WebGate(WebGate 10g-2)に別個のプライマリCookieドメインを構成する必要があります。その他のWebGateはすべて、同じプライマリCookieドメインを使用します。つまり、Access Manager 11gサーバーで構成されたWebGate(WebGate 10g-1など)とOracle Access Manager 10gで構成されたWebGate(WebGate 10g-2以外)のプライマリCookieドメインは同じです。
このようなデプロイメントでは、ユーザーが10gデプロイメントと移行後のデプロイメントのWebGate間でリソース・リクエストを交換する場合、ObSSOcookiesが両方のWebGateによって上書きされ、エンド・ユーザーには動作の違いがわかりません。
認証WebGate(WebGate 10g-2)に別個のプライマリCookieドメインを構成するには、Oracle Access Manager 10gサーバーで構成されたWebGate 10g-2のプロファイルを変更し、「プライマリHTTP Cookieドメイン」パラメータに適切な値を指定します。詳細は、Oracle Access Managerアクセス管理ガイド(リリース10g(10.1.4.3))のAccessGateの変更に関する項を参照してください。
11gデプロイメントと共存する10gのリソースの集中認証ポイントを構成する必要があります。そのためには、すべての認証スキームで認証WebGate(WebGate 10g-2)のURLを「チャレンジ・リダイレクト」パラメータの値として設定して、10gリソースを保護するすべての既存の認証スキームを変更する必要があります。
10g認証スキームの変更の詳細は、リリース10g (10.1.4.3)のOracle Access Managerアクセス管理ガイドの認証スキームの変更に関する項を参照してください。
図16-5は、「チャレンジ・リダイレクト」パラメータの値として認証WebGateのURLが指定された認証スキームの例を示しています。
Access Manager 11.1.2.1.0サーバーで構成されたリソースWebGate 10g-1は、特定の認証スキーム(OAM10gScheme)でリソースを保護する必要があります。
これを実現するには、既存の認証ポリシーの認証スキームを変更するか、新しいアプリケーション・ドメインを保持して新しいポリシーを作成する必要があります。
既存ポリシーの認証スキームの変更の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証ポリシーの表示または編集に関する項を参照してください。
ポリシーの作成と管理の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のリソースの保護とSSOの有効化のためのポリシーの管理に関する項を参照してください。
図16-6に、リソースを保護する認証ポリシーに選択する必要がある認証スキームを示します。
この共存環境では、WebGate 10g-2はOracle Access Manager 10gサーバーで構成され、関連付けられたOracle Access Manager 10gサーバーは、Access Manager 11.1.2.1.0の認証エンドポイントURLを保護することでAccess Manager 11.1.2.1.0のかわりに認証を実行します。
次のリソースは、Oracle Access Manager 10gポリシーで保護する必要があります。
/oam/server/obrareq.cgi
このリソースを保護するには、Oracle Access Manager 10gポリシーを作成して、次の手順を実行します。
目的の認証スキームを指定します。
認可を受けるユーザーのリストを指定して、リソース/oam/server/obrareq.cgiにアクセスします。
OAM_REMOTE_USERをHTTPヘッダー成功アクションとして認可条件式で構成します。ユーザーIDの値をこのヘッダーに設定する必要があります。
ポリシー作成の詳細は、Oracle Access Managerアクセス管理ガイド(リリース10g(10.1.4.3))のポリシー・ドメインによるリソースの保護に関する項を参照してください。
図16-7に、ポリシー・ドメインのサンプルを示します。
ログアウト設定を構成して、WebGateとAccess Manager 11.1.2.1.0サーバーの両方でログアウトが機能するようにします。次の手順を実行します。
WebGate 10g-2のプロファイルを変更して、「LogOutURLs」の値を設定します。この値は、Access Manager 11.1.2.1.0サーバーのログアウト・エンドポイントURLの値(/oam/server/logout)と同じにする必要があります。詳細は、Oracle Access Managerアクセス管理ガイド(リリース10g(10.1.4.3))のAccessGateの変更に関する項を参照してください。
図16-8は、WebGate 10g-2のプロファイルの例を示しています。
Access Manager 11.1.2.1.0サーバーで構成されたWebGate 10g-1のタイプに応じて、次の手順を実行してログアウトを構成します。
リソースWebGate (WebGate 10g-1)が11gのWebGateの場合:
次の例に示すように、「ログアウト・リダイレクトURL」パラメータが、OHS-2のホストとポートを指し示すURLに設定されていることを確認します。
http://OHS-2_host:OHS-2_port/oam/server/logout
このURLの内容は、次のとおりです。
OHS-2_hostは、OHS-2が動作しているホストです。
OHS-portはOHS-2のポートです。
次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2.1.0コンソールにログインします。
http://host:port/oamconsole
「システム構成」タブに移動します。
「Access Manager」→「SSOエージェント」をクリックします。
「OAMエージェント」をダブルクリックします。
コンソール・ウィンドウの右側にある「検索」パネルにWebGate IDを入力して、プロファイルを変更する必要があるWebGateを検索します。鉛筆のアイコンをクリックしてプロファイルを編集します。
「ログアウト・リダイレクトURL」パラメータの値を変更して、「適用」をクリックします。
図16-9に、「ログアウト・リダイレクトURL」を指定する必要がある場合のWebGateプロファイルを示します。
次のURLを使用して、リソースWebGate(WebGate 10g-1)からのログアウトを開始して確認します。
http://OHS-1_host:OHS-1_port/logout.html
このURLの内容は、次のとおりです。
OHS-1_hostは、OHS-1_hostが動作しているホストです。
OHS-1_portはOHS-1のポートです。
このURLがlogout.htmlに送られると、WebGate 10g-1はSSO Cookieを消去し、手順1で指定した「ログアウト・リダイレクトURL」にリダイレクトします。OHS-2のホストとポートが「ログアウト・リダイレクトURL」に使用される場合、このリクエストは、OHS-2にデプロイされるWebGate 10g-2に送られます。WebGate 10g-2のログアウトURLは/oam/server/logoutです。WebGate 10g-2はSSO Cookieを消去し、リクエストをAccess Manager 11.1.2.1.0サーバーに転送します。Access Manager 11.1.2.1.0サーバーは、最終的にすべてのセッションを消去します。
次のURLを使用して、認証WebGate(WebGate 10g-2)からのログアウトを開始して確認します。
http://OHS-2_host:OHS-2_port/oam/server/logout
このURLの内容は、次のとおりです。
OHS-2_hostは、OHS-2が動作しているホストです。
OHS-2_portはOHS-2のポートです。
WebGate 10g-2のログアウトURLは/oam/server/logoutであるため、WebGate 10g-2はSSO Cookieを消去し、リクエストをAccess Manager 11.1.2.1.0サーバーに転送します。Access Manager 11.1.2.1.0サーバーはセッションを消去し、WebGate 10g-1の「ログアウト・コールバックURL」をコールします。これにより、WebGate 10g-1はその自身のSSO Cookieを消去します。
リソースWebGate (WebGate 10g-1)が10gのWebGateの場合:
WebGate 10g-1をAccess Manager 11.1.2.1.0サーバーに登録するときに生成されるlogout.htmlファイルを変更します。logout.htmlファイルの変数SERVER_LOGOUTURLを、ログアウトURLに設定します。これは、次の例に示すように、OHS-2のホストとポートを指し示します。
var SERVER_LOGOUTURL="http://OHS-2_host:OHS-2_port/oam/server/logout
このURLの内容は、次のとおりです。
OHS-2_hostは、OHS-2が動作しているホストです。
OHS-2_portはOHS-2のポートです。
次のURLを使用して、リソースWebGate(WebGate 10g-1)からのログアウトを開始して確認します。
http://OHS-1_host:OHS-1_port/logout.html
このURLの内容は、次のとおりです。
OHS-1_hostは、OHS-1_hostが動作しているホストです。
OHS-1_portはOHS-1のポートです。
これにより、WebGate 10g-1のSSO Cookieが消去されます。WebGate 10g-1は、「ログアウト・リダイレクトURL」にリダイレクトし、「ログアウト・リダイレクトURL」はOHS-2のホストとポートを指し示すため、同様にOHS-2に送られます。リクエストは、OHS-2にデプロイされるWebGate 10g-2に送られます。WebGate 10g-2のログアウトURLは/oam/server/logoutです。そのため、WebGate 10g-2はSSO Cookieを消去し、リクエストをAccess Manager 11.1.2.1.0サーバーに転送します。Access Manager 11.1.2.1.0サーバーは、最終的にすべてのセッションを消去します。
認証WebGate(WebGate 10g-2)からのログアウトを開始するには、次の例に示すように、リソースWebGate(WebGate 10g-1)の完全ログアウトURLを指し示すend_urlパラメータを、問合せ文字列としてログアウトURLに追加します。
http://OHS-2_host:OHS-2_port/oam/server/logout?end_url=http://OHS-1_host:OHS-1_port/logout.html
このURLの内容は、次のとおりです。
OHS-2_hostは、OHS-2が動作しているホストです。
OHS-2_portはOHS-2のポートです。
OHS-1_hostは、OHS-1_hostが動作しているホストです。
OHS-1_portはOHS-1のポートです。
これにより、認証WebGate(WebGate 10g-2)のSSO Cookieが消去され、WebGate 10g-2はリクエストをAccess Manager 11.1.2.1.0サーバーに転送します。Access Manager 11.1.2.1.0サーバーはセッションを消去し、end_urlパラメータの指定に従って、リソースWebGate(WebGate 10g-1)のローカル・ログアウトURLにそのセッションをリダイレクトします。リソースWebGate(WebGate 10g-1)はその自身のSSO Cookieを消去します。
オプション: ユーザーにログアウトURLへのアクセスを許可する場合、Oracle Access Manager 10gでポリシーを構成します。Oracle Access Manager 10gポリシーの作成の詳細は、Oracle Access Managerアクセス管理ガイド(リリース10g(10.1.4.3))のポリシー・ドメインによるリソースの保護に関する項を参照してください。
ユーザーがリソースWebGate(WebGate 10g-1)上のリソースにアクセスすると、Oracle Access Manager 10gサーバーによってユーザーが認証された後、Access Manager 11.1.2.1.0サーバーとの別のセッションが確立されます。Access Manager 11.1.2.1.0サーバーとのセッションでセッション・タイムアウトまたはアイドル・セッション・タイムアウトが発生すると、ユーザーは認証WebGate(WebGate 10g-2)にリダイレクトされます。WebGate 10g-2では、Oracle Access Manager 10gサーバーのセッションでセッション・タイムアウトやアイドル・セッション・タイムアウトが発生すると、再認証が求められます。
その結果、セッション・タイムアウトは、10gサーバー(10g-2)で構成される10g WebGateから導出されます。
Access Manager 11.1.2.1.0サーバーで構成された10gまたは11g WebGate(WebGate 10g-1)の場合、セッション管理に影響するパラメータは「セッションの存続期間」と「アイドル・タイムアウト」です。これらのパラメータを表示または編集するには、次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2.1.0コンソールにログインします。
http://host:port/oamconsole
「システム構成」タブに移動し、「共通構成」をクリックします。
「共通設定」を選択します。
Oracle Access Manager 10gサーバーで構成される10gのWebGate(WebGate 10g-2)の場合、セッション管理に影響を与えるパラメータは「最大ユーザー・セッション時間」と「アイドル・セッション時間」になります。これらはWebGateプロファイルの一部です。これらのパラメータの値を変更するには、WebGate 10g-2のプロファイルを変更します。詳細は、Oracle Access Managerアクセス管理ガイド(リリース10g(10.1.4.3))のAccessGateの変更に関する項を参照してください。
両方のWebGateのセッションが同期していることを確認する必要があります。このためには、WebGate 10g-2のパラメータ「最大ユーザー・セッション時間」および「アイドル・セッション時間」に指定した値が、WebGate 10g-1の対応パラメータ「セッションの存続期間」および「アイドル・タイムアウト」に指定した値以下になるようにします。
|
注意: Access Manager 11.1.2.1.0サーバーのセッション管理の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のセッションの管理に関する項を参照してください。 |
構成を確認するには、次の手順を実行します。
WebGate 10g-1上の保護されたリソースにアクセスした後、HTTPヘッダーを観察し、それがWebGate 10g-2(OHS-2のホストとポート)にリダイレクトすることを確認します。リダイレクトが行われると、/oam/server/obrareq.cgiの保護に使用される認証スキームに従って、認証を行うための資格証明の提供が求められます。
手順1でリクエストしたリソースがブラウザに表示されていることを確認します。また、WebGate 10g-1とWebGate 10g-2で、構成されたドメインにSSOトークンが設定されているかどうかを確認します。
同じブラウザからのログアウトを開始し、両方のWebGateでSSO Cookieが設定されていないか、またはloggedoutに設定されているかを確認します。
