Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Access Management Access Managerがアイデンティティ・フェデレーションを使用してフェデレーション・パートナとの認証済セッションを作成する方法について説明します。
この章では、次の内容を説明します。
この項では、Access Managerとのフェデレーションに関する背景について説明します。内容は次のとおりです。
アイデンティティ・フェデレーションは次の2つのアーキテクチャで使用可能です。
Oracle Access Management Identity Federationとして知られ、Oracle Access Managementに組み込まれるフェデレーション・エンジンとして(11gリリース2 (11.1.2))。
Oracle Identity Federationとして知られ、複数ドメインからなるアイデンティティ・ネットワークでのシングル・サインオンおよび認証を可能にする、スタンドアロンの自己完結型フェデレーション・サーバーとして(11gリリース1 (11.1.1))。
Oracle Identity Federationに付属のSP統合エンジンは、サーバーからのリクエストを処理してIdentity and Access Management (IAM)サーバーでユーザー用の認証済セッションを作成するサーブレットで構成されています。このエンジンには、Access Manager(旧Oracle Access Manager)などの異なるIAMサーバーとの相互作用を可能にする複数の内部プラグインが含まれています。
関連項目: Oracle Access Managementでのネーミング規則および名前の変更の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle Access Managementの概要に関する項を参照してください。 |
Access Managerとのアイデンティティ・フェデレーションを使用して認証済ユーザー・セッションを作成するための様々なデプロイメント・オプションを使用できます。
Oracle Fusion Middleware frameworkでは、クロス・ドメイン・シングル・サインオンを実現するため次のような統合された手法をサポートしています。
Access Managerサーバーに組み込まれたOracle Access Management Identity Federationエンジン。すべての構成がAccess Managerで実行されます。
この方法は、11gリリース2 (11.1.2.1.0)で利用可能です。この初期リリースでは、Identity Federationはサービス・プロバイダ・モードのみに制限されています。アイデンティティ・プロバイダ・モードではOracle Identity Federation 11gR1のインストールが必要です。
フェデレーション機能を提供するために統合可能なOracle Identity FederationとOAMの個別のサーバー。この統合では、両方のサーバーを管理および構成する必要があります。
この方法は、11gリリース1 (11.1.1)で利用可能です。
この方法において、Oracle Identity FederationではOracle Access Managerの2つのデプロイメント・シナリオを用意しています。
Oracle Access Manager 10gと統合されたOracle Identity Federation 11gリリース1 (11.1.1)。
Access Manager 11gと統合されたOracle Identity Federation 11gリリース1 (11.1.1)。
表10-1に、アイデンティティ・フェデレーション製品をOracle Access Management Access Managerと統合する際に使用できるオプションをまとめ、デプロイメント手順へのリンクを示します。
表10-1 Oracle Access Managerを含むデプロイメント・オプション
Access Managerバージョン | 説明 | 属性情報 |
---|---|---|
Oracle Access Management Access Manager 11gR2 |
Access Managerには、Access Manager管理コンソールから構成可能なSPモード機能を提供する組込みのフェデレーション・エンジンが含まれています。 IdP機能を実現するには、Access ManagerをOracle Identity Federation 11gリリース1と統合します。 |
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle Access Suiteコンソール内のフェデレーションの概要に関する項。 |
Access Manager 11gR1 |
スタンドアロンのOracle Identity Federation 11gリリース1サーバーは、Access Manager 11g OAMサーバーと統合します。 |
『Oracle Fusion Middleware Oracle Access Manager統合ガイド』のOracle Identity Federationの統合に関する項 |
Oracle Access Manager 10g |
スタンドアロンのOracle Identity Federation 11gリリース1サーバーは、Oracle Access Manager 10gサーバーと統合します。 |
『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』 |
『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』
この項では、Access Manager 11gリリース2 (11.1.2.1.0)とOracle Identity Federation 11gリリース1 (11.1.1) (Oracle Identity Federation 11gR1の付随したAccess Manager 11gR2)との統合方法について説明します。
この章では、2つの統合モードについて説明します。
SPモード
このモードでは、Oracle Identity FederationによりフェデレーションSSOを介してユーザーを認証して認証状態をAccess Managerに伝播し、そこでセッション情報を維持します。
認証モード
このモードでは、Access ManagerがOracle Identity Federationのかわりにユーザーを認証できます。
図10-1に、各モードでの処理フローを示します。
SPモードでは、Oracle Identity Federationは、フェデレーション・プロトコルを使用してユーザーを識別し、Access Managerで認証済セッションを作成するようAccess Managerにリクエストします。
認証モードでは、Oracle Identity Federationは、Oracle Identity Federationリソースを保護するWebゲート・エージェントを使用して認証をAccess Managerに委任します。ユーザーが認証されると、Webゲートは、HTTPヘッダーによりユーザーのアイデンティティをアサートします。Oracle Identity Federationはこのヘッダーを読み取り、ユーザーを識別します。
Access ManagerとOracle Identity Federationの統合には、次のタスクが必要です。
Oracle WebLogic ServerおよびIdentity Management (IdM)コンポーネントなどの必要なコンポーネントがインストールされて稼働していることを確認します。詳細は、第10.2.4項を参照してください。
リソースを保護するため、Oracle HTTP ServerをパートナとしてAccess Managerに登録します。詳細は、第10.2.5項を参照してください。
サービス・プロバイダ(SP)またはアイデンティティ・プロバイダ(IdP)あるいはその両方としてAccess Managerとともに機能するように、Oracle Identity Federationサーバーを構成します。詳細は、第10.2.6項を参照してください。
Oracle Identity Federationに認証を委任するように、またはOracle Identity Federationのかわりにユーザーを認証するように、Access Managerを構成します。詳細は、第10.2.7項を参照してください。
統合タスクを実行する前に、次のコンポーネントをインストールする必要があります。
Oracle WebLogic Server
Oracle HTTP Server 11g
Oracle Access Manager 11g
Oracle Identity Federation 11g
Webゲート(認証モードで必要)
注意: プラットフォームおよびバージョンの詳細は、Certification Matrixを参照してください。 |
関連項目: Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド |
Oracle WebLogic Server
管理サーバーと管理対象サーバーが起動しており、稼働中であることを確認します。
Oracle HTTP Server
テスト目的のため、保護するリソースを特定または作成します(たとえば、テスト・リソースとして扱うindex.htmlファイルを作成します)。
Oracle Identity Federation
次の形式のURLを使用して、Oracle Identity FederationサーバーのFusion Middleware Controlコンソールにアクセスします。
http://oif_host:oif_em_port/em
すべてのサーバーが実行されていることを確認します。
この項では、選択した保護メカニズムに応じて、Oracle HTTP Serverと11g WebゲートをOracle Access Managerに登録する方法について説明します。
認証のため、Oracle HTTP ServerとAccess Manager 11g WebゲートをAccess Managerに登録するには、次の手順に従います。
注意: この手順において、 |
次のディレクトリにあるOAM11GRequest.xmlファイルまたはOAM11GRequest_short.xmlファイルを見つけます。
MW_HOME/Oracle_IDM1/oam/server/rreg/input
ファイルに必要な変更を加えます。
次のディレクトリにあるoamreg.shスクリプトを見つけます。
MW_HOME/Oracle_IDM1/oam/server/rreg/bin
次のコマンド文字列を使用してスクリプトを実行します。
注意: ユーザーはweblogicであり、パスワードを指定する必要があります。 |
./oamreg.sh inband input/OAM11GRequest.xml
または
./oamreg.sh inband input/OAM11GRequest_short.xml
Access Managerコンソールを使用して、認証用のAccess Managerで保護するOracle Identity Federation URLを表すリソースを作成します。このURLには、Oracle Identity Federationサーバーのホスト名とポート、およびリソースへのパス(モードによって異なります)が含まれます。
https://oif-host:oif-port/fed/user/authnoam11g
認証ポリシーおよび認可ポリシーにより、このリソースを保護します。
Oracle HTTP Serverを再起動します。
Oracle_WT1/instances/instance1/bin/opmnctl restartproc process-type=OHS
この項では、Access Managerと統合するようにOracle Identity Federationを構成する方法について説明します。
SPモード。このモードでは、Access ManagerがフェデレーションSSO用のOracle Identity Federationに認証を委任します。
認証モード。このモードでは、Oracle Identity FederationがAccess Managerに認証を委任します。
この項は次のトピックで構成されています。
Oracle Identity FederationとAccess Managerは、同じLDAPディレクトリを使用する必要があります。
使用するLDAPディレクトリは、Access Managerでデフォルトのアイデンティティ・ストアとして定義する必要があります。
Oracle Identity Federationユーザー・データ・ストアは、使用するLDAPディレクトリを参照する必要があります。
データ・ストア構成を検証するには、次の手順を実行します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「データ・ストア」の順にナビゲートします。
ユーザー・データ・ストアがデフォルトのAccess Managerアイデンティティ・ストアと同じディレクトリを指していることを確認します。
Oracle Identity Federation認証エンジンを構成してWebゲート11gエージェントにより提供される情報を取得するには、次の手順を実行します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「認証エンジン」にナビゲートします。
Oracle Access Manager 11g認証エンジンを有効化します。
「エージェント・タイプ」として「WebGate 11g」を選択します。
「ユーザーの一意IDヘッダー」としてOAM_REMOTE_USERを入力します。
「デフォルトの認証エンジン」ドロップダウン・リストで、「Oracle Access Manager 11g」を選択します。
構成からログアウトします。
SPモードでもOracle Identity FederationをAccess Managerと統合する場合は、Access Manager 11gとのログアウト統合がOAM11g SPエンジンで実行されるため、ログアウトを無効にします。
SPモードでOracle IdentityをAccess Managerと統合しない場合:
ログアウトを有効にします。
URLとして次を入力します。
http://oam_host:oam_port/oam/server/logout
「適用」をクリックします。
この項では、Oracle Identity Federationがアサーション・トークンを送信してセッション管理をOracle Access Managerに転送できるように、Access Manager用にSPモードでOracle Identity Federationを構成するために実行する必要のある手順をリストします。
必要な手順は次のとおりです。
Fusion Middleware ControlでOracle Identity Federationインスタンスを見つけます。
「管理」→「サービス・プロバイダ統合モジュール」の順にナビゲートします。
「Oracle Access Manager 11g」タブを選択します。
ページを次のように構成します。
「SPモジュールの有効化」ボックスを選択します。
「デフォルトSP統合モジュール」ドロップダウンで、「Oracle Access Manager 11g」を選択します。
「ログアウト有効」ボックスを選択します。
次のURLを構成します。
Login URL : http://oam_host:oam_port/oam/server/dap/cred_submit Logout URL: http://oam_host:oam_port/oam/server/logout
ここで、oam_hostおよびoam_portは、それぞれAccess Managerサーバーのホストおよびポート番号です。
Access Managerのユーザー名属性に対応させるため、「ユーザー名属性」の値をcnに設定します。
「適用」をクリックします。
「再生成」をクリックします。
この操作により、Access ManagerサーバーとOracle Identity Federationサーバーとの間で交換されるトークンの暗号化と復号化のための鍵を含むキーストア・ファイルが生成されます。「別名保存」ダイアログを使用してキーストア・ファイルを保存することを忘れないでください。
キーストア・ファイルをAccess Managerのインストール・ディレクトリ内の場所にコピーします。
注意: 後で参照する必要があるため、この場所をメモしてください。
この項では、Oracle Identity Federationと統合するようにAccess Managerを構成する方法について説明します。
SPモード。このモードでは、Access ManagerがフェデレーションSSO用のOracle Identity Federationに認証を委任します。
認証モード。このモードでは、Oracle Identity FederationがAccess Managerに認証を委任します。
この項は次のトピックで構成されています。
このタスクでは、OIFSchemeを使用してフェデレーションSSOによりリソースを保護する際に、認証のためユーザーをOracle Identity Federationにリダイレクトするよう、Access Managerを構成します。必要な手順は次のとおりです。
Access Manager管理コンソールにログインします。
「ポリシー構成」タブを選択します。
「OIFScheme」を選択して開きます。
「チャレンジURL」フィールドで、OIFHostおよびportの値を変更します。
「コンテキスト・タイプ」ドロップダウンの値がexternalに設定されていることを確認します。
「適用」をクリックして変更を保存します。
Oracle Identity FederationがSPモードのみ、または認証モードとSPモードで使用される場合は、第10.2.7.2.1項を参照してください。
Oracle Identity Federationが認証モードのみで使用される場合は、第10.2.7.2.2項を参照してください。
Access Managerサーバーがインストールされているミドルウェア・ホーム内のディレクトリにキーストア・ファイルをコピーします。
WLSTコマンドを使用して、oam-config.xml構成ファイル内のOIFDAPパートナ・ブロックを更新します。手順と構文は次のとおりです。
次のコマンドを実行して、シェル環境に入ります。
$DOMAIN_HOME/common/bin/wlst.sh
次のコマンド構文により、Access Manager管理サーバーに接続します。
connect('weblogic','password','host:port')
次のコマンドを実行して、構成ファイル内のパートナ・ブロックを更新します。
registerOIFDAPPartner(keystoreLocation=location of keystore file, logoutURL=logoutURL)
ここで、logoutURLは、Access Managerサーバーがユーザーをログアウトさせるときに起動する、Oracle Identity FederationのログアウトURLです。
次に例を示します。
registerOIFDAPPartner(keystoreLocation="/home/pjones/keystore", logoutURL="http://abcdef0123.in.mycorp.com:1200/fed/user/spslooam11g?doneURL=http://abc1234567.in.mycorp.com:6001/oam/pages/logout.jsp")
WLSTコマンドを使用して、oam-config.xml構成ファイル内のOIFDAPパートナ・ブロックを更新します。手順と構文は次のとおりです。
次のコマンドを実行して、シェル環境に入ります。
$DOMAIN_HOME/common/bin/wlst.sh
次のコマンド構文により、Access Manager管理サーバーに接続します。
connect('weblogic','password','host:port')
次のコマンドを実行して、構成ファイル内のパートナ・ブロックを更新します。
registerOIFDAPPartnerIDPMode(logoutURL=logoutURL)
ここで、logoutURLは、Access Managerサーバーがユーザーをログアウトさせるときに起動する、Oracle Identity FederationのログアウトURLです。
次に例を示します。
registerOIFDAPPartnerIDPMode(logoutURL="http://abcdef0123.in.mycorp.com:1200/fed/user/authnslooam11g?doneURL=http://abc1234567.in.mycorp.com:6001/oam/pages/logout.jsp")
SPモードでAccess ManagerとOracle Identity Federationを統合すると、OIFSchemeによりリソースを保護できるようになります。OIFSchemeは、認証されていないユーザーがそのスキームで保護されているリソースにアクセスすると、フェデレーションSSO操作をトリガーします。
「ポリシー構成」タブの「アプリケーション・ドメイン」で、OIFSchemeを使用して認証ポリシーを定義し、その認証ポリシーでリソースを保護します。
最後の構成タスクでは、統合が正しく構成されているかどうかをテストします。この手順は、認証モードとSPモードとの間で異なります。
次の手順に従って、SPモードで構成が正しいかどうかをテストします。
Oracle Identity Federationとリモートのアイデンティティ・プロバイダ間のフェデレーテッド信頼を確立します。
そのアイデンティティ・プロバイダをデフォルトのSSOアイデンティティ・プロバイダとして設定します。
保護されたリソースにアクセスしてみます。
正しく設定されている場合は、認証のため、IdPにリダイレクトされます。このページでユーザー資格証明が必要であることを確認します。
ログイン・ページで有効な資格証明を入力します。
注意: ユーザーは、IdPセキュリティ・ドメインとOracle Identity Federation/Access Managerセキュリティ・ドメインの両方に存在する必要があります。 |
保護されたページにリダイレクトされたことを確認します。
次のCookieが作成されたことを確認します。
OAM_ID
ORA_OSFS_SESSION
OHS Cookie
次の手順に従って、認証モードで構成が正しいかどうかをテストします。
Oracle Identity Federationとリモートのサービス・プロバイダ間のフェデレーテッド信頼を確立します。
サービス・プロバイダからフェデレーションSSOを開始します。
IdPでAccess Managerログイン・ページにリダイレクトされることを確認します。このページでは、ユーザー資格証明がリクエストされます。
関連する資格証明を入力し、ページを処理します。
サービス・プロバイダ・ドメインにリダイレクトされることを確認します。