Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.1) B71694-06 |
|
![]() 前 |
![]() 次 |
この章では、Identity Managementのエンタープライズ・デプロイメントにおいて管理コンソールのシングル・サインオン(SSO)を構成する方法について説明します。
この章の内容は次のとおりです。
Oracle Access Management Access ManagerとOracle Identity Managerを統合していない場合、最初にWebLogicセキュリティ・プロバイダを作成する必要があります。次のように実行します。
WebLogic管理グループを割り当て、boot.propertiesを更新し、サーバーを再起動します。次にWebゲートのインストールと構成を行い、セットアップを検証します。Webゲートのインストールと構成が完了すると、Oracle HTTP Serverはコンソールのリクエストをインターセプトし、検証のためにAccess Managerに転送します。
章タイトルでの管理コンソールは次を指します。
Oracle Enterprise Manager Fusion Middleware Control
Oracle WebLogic Server管理コンソール
Oracle Access Managementコンソール
Oracle Identity Managerコンソール
管理コンソールをシングル・サインオンと統合する前に、IDMDomainで次のタスクが完了していることを確認してください。
第10章「エンタープライズ・デプロイメント用のOracle Web層のインストールおよび構成」の説明に従ってOracle HTTP Serverを構成します。
第11章「Oracle Access Managementを追加するためのドメインの拡張」の説明に従ってAccess Managerを構成します。
第9.4項「アイデンティティ・ストアの準備」の説明に従って、LDAP内でWeblogic管理者をプロビジョニングします。
configOAM
オプションまたはconfigOIM
オプションを指定してidmConfigTool
を実行すると、ドメインIDMDomainおよびOIMDomainにセキュリティ・プロバイダが作成されます。これらのセキュリティ・プロバイダは、Access Managerのセキュリティ・ポリシーに基づいて、これらのドメイン内のコンソールへのアクセスを制限します。他のドメインがある場合は、それらのドメイン内に手動でセキュリティ・プロバイダを作成し、次の項の説明に従ってそれらのセキュリティ・プロバイダを更新する必要があります。
注意: 管理コンソールに対するシングル・サインオンを有効にしたら、コンソール・アクセスを可能にするために、1つ以上のOAMサーバーが稼働していることを確認してください。 Oracle WebLogicコンソールを使用してすべてのAccess Manager管理対象サーバーを停止した場合は、コンソールを再び使用する前に、これらの管理対象サーバーのいずれかを手動で再起動してください。 WLS_OAM1を手動で起動するには、次のコマンドを使用します。
MSERVER_HOME/bin/startManagedWeblogic.sh WLS_OAM1 t3://ADMINVHN:7001
|
この項では、セキュリティ・プロバイダを更新して管理コンソールへのシングル・サインオン・アクセスを可能にする方法について説明します。この項は、セキュリティ・プロバイダが存在するすべてのドメインで実行する必要があります(手動で作成されたセキュリティ・プロバイダを持つ補助ドメインも含む)。
この項には次のトピックが含まれます:
OUDオーセンティケータの作成時に一部の情報が不足しているため、それらを追加する必要があります。OUDをアイデンティティ・ストアとして使用する場合は、次の手順を実行してそれらの情報を追加する必要があります。
WebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」をクリックします。
OUDAuthenticatorをクリックします。
「プロバイダ固有」タブをクリックします。
「プロバイダ固有」画面で次の値を更新します。
すべてのユーザーのフィルタ: (&(uid=*)(objectclass=person))
名前指定によるユーザー・フィルタ: (&(uid=%u)(objectclass=person))
ユーザー名属性: uid
静的グループ・オブジェクト・クラス: groupofuniquenames
静的メンバーDN属性: uniquemember
メンバーDN指定による静的グループDNフィルタ: (&(uniquemember=%M)(objectclass=groupofuniquenames))
動的グループ名属性: cn
動的グループ・オブジェクト・クラス: groupOfURLs
動的メンバーURL属性: memberURL
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
この項では、Access Managerアサーション・プロバイダを設定し、資格証明コレクションの職責をAccess Managerに委任できるようにします。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、WebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「並替え」をクリックします。
右側の矢印を使用して、プロバイダを次の順序に並べ替えます。
OAMIDAsserter
OIM署名オーセンティケータ(存在する場合)
OIMAuthenticationProvider(存在する場合)
OUD Authenticator、OVDAuthenticatorまたはOIDAuthenticator
デフォルトのオーセンティケータ
デフォルトのIDアサーション・プロバイダ
注意: Oracle Identity Managerプロバイダは、Oracle Identity Managerが構成されている場合にのみ存在します。 |
「OK」をクリックします。
「変更のアクティブ化」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
企業では、すべてのユーザー、グループおよびロールがプロビジョニングされる中央のアイデンティティ管理ドメインと、複数のアプリケーション・ドメイン(SOAドメインやWebCenter Portalドメインなど)を配置することが一般的です。これらのアプリケーション・ドメインは、中央のアイデンティティ管理ドメインを使用して認証するように構成されます。
第9.4項「アイデンティティ・ストアの準備」では、weblogic_idm
という名前のユーザーを作成し、グループWLSAdminsに割り当てました。このアカウントを使用してWebLogicを管理できるようにするには、WLSAdminsグループをWebLogic管理グループのリストに追加する必要があります。この項では、WLSAdminsグループをWebLogic管理者のリストに追加する方法を説明します。
トポロジ内の各ドメインに対して次の手順を実行します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、WebLogic管理サーバー・コンソールにログインします。
コンソールの左側のペインで、「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表のmyrealmをクリックします。
myrealm
の「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページで、「ロール」表の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、述部のリストから「グループ」を選択して、「次へ」をクリックします。
「引数の編集」ページのグループ引数フィールドにWLSAdminsを指定し、「追加」をクリックします。
「終了」をクリックして「グローバル・ロールの編集」ページに戻ります。
これで、「ロール条件」の表にWLSAdminsのエントリが表示されるようになります。
「保存」をクリックして、WLSAdminsグループへの管理ロールの追加を終了します。
Webブラウザを使用してWebLogic管理サーバー・コンソールを起動して、これらの変更が正常に加えられたことを確認します。weblogic_idm
ユーザーの資格証明を使用してログインします。
デフォルトでは、WebLogic管理者グループに属するユーザーのみがAPMコンソールにアクセスできます。SSOを有効にした後は、Access Manager管理者としてログインすることになります。
この機能を有効にするには、次の手順を実行します。
APMコンソール(http://ADMIN.mycompany.com/apm
)にWebLogic管理者としてログインします。
「システム構成」タブをクリックします。
「外部ロール・マッピング」ボックスの「追加」をクリックします。
「検索」をクリックします。
返された検索結果の中からOAMAdministratorsを選択します。
「選択済の追加」をクリックします。
「プリンシパルの追加」をクリックします。
管理サーバーのboot.properties
ファイルを更新し、LDAP内に作成したWebLogicのadmin
ユーザーを指定します。
すべての管理サーバー・ノードのboot.properties
を更新する必要があります。ファイルを更新するには、次の項の手順を実行します。
この項には次のトピックが含まれます:
トポロジ内の各サーバーで、次のディレクトリに移動します。
ASERVER_HOME/servers/serverName/security
例:
cd ASERVER_HOME/servers/AdminServer/security
既存のboot.properties
ファイルを別の名前に変更します。
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリ内に作成します。次の行をこのファイルに入力します。
username=adminUser
password=adminUserPassword
例:
username=weblogic_idm
password=Password for weblogic_idm user
注意: 管理サーバーを起動すると、このファイル内のユーザー名とパスワードのエントリが暗号化されます。 セキュリティ上の理由で、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。このファイルを編集した後、できるだけ早くサーバーを起動して、これらのエントリを暗号化する必要があります。 |
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
この項では、Webゲートのインストールと構成について説明します。
この項には次のトピックが含まれます:
Oracle Web Gateをインストールする前に、次のタスクが完了していることを確認してください。
インストーラを起動する前に、マシンにJavaがインストールされていることを確認してください。
次のコマンドを実行して、Webゲートのインストーラを起動します。
./runInstaller
Java Development Kitの場所を指定するように求められます。例:
WEB_MW_HOME
/jrockit_
version
「ようこそ」画面で「次へ」をクリックします。
「前提条件」画面ですべてのチェックが正常に完了したら、「次へ」をクリックします。
「インストール場所」画面で、次の情報を入力します。
Oracleミドルウェア・ホーム: WEB_MW_HOME
Oracleホーム・ディレクトリ: webgate
「次へ」をクリックします。
「インストール・サマリー」画面で、「インストール」をクリックします。
「次へ」をクリックします。
「終了」をクリックします。
次のように、WebゲートをOracle HTTPにデプロイします。
コマンドdeployWebGateInstance.sh
を実行します。このコマンドは次の場所にあります。
WEBGATE_ORACLE_HOME
/webgate/ohs/tools/deployWebGate
このコマンドでは次の引数を使用します。
Oracle HTTPのインスタンス構成ディレクトリ
Webゲートのホーム・ディレクトリ
例:
./deployWebGateInstance.sh -w WEB_ORACLE_INSTANCE/config/OHS/component_name -oh WEBGATE_ORACLE_HOME
ライブラリのパスを設定し、ディレクトリを変更します。
Linuxシステムでは、ライブラリのパスにWEB_ORACLE_HOME
/lib
ディレクトリを含めるようにします。例:
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
ディレクトリを変更します。
ディレクトリの変更先: WEBGATE_ORACLE_HOME
/webgate/ohs/tools/setup/InstallTools
次のコマンドを実行して、Webゲートのホーム・ディレクトリからWebゲートのインスタンスの場所にファイルapache_WebGate.template
をコピーし(名前がwebgate.conf
に変更されます)、httpd.conf
ファイルを更新してwebgate.conf
の名前が含まれる1つの行を追加します。
./EditHttpConf -w WEB_ORACLE_INSTANCE/config/OHS/component_name -oh WEBGATE_ORACLE_HOME
ファイルObAccessClient.xml
、cwallet.sso
およびpassword.xml
(これらのファイルはIDMHOST1でディレクトリASERVER_HOME
/output/Webgate_IDM_11g
からエージェントを作成したときに生成されたものです)を、ディレクトリWEB_ORACLE_INSTANCE
/config/OHS/
component_name
/webgate/config
にコピーします。
ファイルaaa_key.pem
およびaaa_cert.pem
は、IDMHOST1でディレクトリASERVER_HOME
/output/Webgate_IDM_11g
からエージェントを作成したときに生成されたものです。これらのファイルaaa_key.pem
およびaaa_cert.pem
を、Webゲート・インスタンスのディレクトリWEB_ORACLE_INSTANCE
/config/OHS/
component_name
/webgate/config/simple
にコピーします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。
Webゲートが正しく機能していることを検証するには、Webブラウザを開き、第17.2項「Identity ManagementコンソールのURLについて」に記載されているOAMコンソールのURLにアクセスします。
Oracle Access Managementのログイン・ページが表示されます。OAM管理者ユーザー名(oamadmin
など)とパスワードを入力し、「ログイン」をクリックします。Oracle Access Managementコンソールが表示されます。
シングル・サインオンの設定を検証するには、Webブラウザを開き、第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用してWebLogic管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
「Oracle Access Managementのシングル・サインオン」ページが表示されます。weblogic_idm
ユーザーの資格証明を入力してログインします。
第17.6.3項「インストール時および構成時のバックアップの実行」の説明に従って、Web層とWebLogicドメインをバックアップします。