| Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド 11gリリース1(11.1.1) B56235-07 |
|
 前 |
 次 |
ここでは、Oracle Fusion Middlewareで推奨される一連のシングル・サインオン・ソリューションの概略を説明します。内容は次のとおりです。
Oracle Platform Security Servicesは、Oracle WebLogic Serverの内部セキュリティ・フレームワークを構成します。WebLogicドメインは、認証プロバイダと呼ばれる個別のソフトウェア・コンポーネントを使用してセキュリティ・データの格納、トランスポート、およびセキュリティ・データへのアクセスを提供します。認証プロバイダでは、各種システムを使用してセキュリティ・データを格納できます。WebLogic Serverによってインストールされる認証プロバイダは、組込みLDAPサーバーを使用します。
Oracle Fusion Middleware 11gは、アプリケーションによる境界認証の確立および実施のために使用できる、次のいくつかのシングル・サインオン・ソリューションをサポートしています。
ニーズに応じたソリューションを注意深く選択する必要があります。適切なSSOソリューションの選択は、十分な検討を必要とし、それぞれの要件に応じて異なります。
Oracle Access Manager 11.1.1.7では、長いURLの処理が可能で、以前のリリース(11.1.1.3または11.1.1.5)の既知の問題が修正されています。Oracle Access Manager 11.1.1.7の使用の詳細は、第16章を参照してください。
Access Manager 11.1.2: 新しいシングル・サインオン・デプロイメントの場合、またはOracle Single Sign-On 10gR3、Sun Access Manager 7.1、OpenSSO 7.0またはOracle Access Manager 10.1.4.3デプロイメントを現在使用している場合は、移行、エージェントの下位互換性およびサーバーの共存を支援するツールが用意された、最新のAccess Manager 11.1.2リリースをお薦めします。
Oracle Access Management 11gプラットフォームは単一の包括的なエンドツーエンド・ソリューションで、Webアプリケーションおよびモバイル・アプリケーション用のシングル・サインオン(SSO)を含む、エンタープライズ用のアクセス要件に対応します。Access Manager 11.1.2は、Oracle Access Management 11gプラットフォームを基盤とするサービス・コンポーネントで、Web SSO、認証、認可、ポリシーとエージェントの集中管理、リアルタイム・セッション管理および監査のコア機能を提供します。
|
関連項目: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』 |
Oracle Access Manager 10g: 多くの機能とアーキテクチャを活用するために、アップグレードの検討をお薦めします。それ以外の場合は、第17章を参照してください。
Oracle Single Sign-On: 移行、エージェントの下位互換性およびサーバーの共存を支援するツールが用意された、最新のAccess Manager 11.1.2リリースをお薦めします。それ以外の場合は、第18章を参照してください。
特に明記されていなければ、ここで説明する情報はOracle Access Manager 11gと10gの両方のデプロイに同じように当てはまります。
Oracle Access Manager認証プロバイダは、Oracle WebLogic Serverで動作するプロバイダの1つです。Oracle Access Manager認証プロバイダでは、Oracle Access Manager 11gまたは10gの操作のために、Oracle WebLogic Suite全体を必要としません。
次に該当する場合は、WebLogic ServerでOAM認証プロバイダを使用できます。
Identity Managementドメイン外にあるWebLogicコンテナにアプリケーションをデプロイ済であるか、そこにアプリケーションをデプロイする予定です。
認証プロバイダのフロントエンドにWebGateをデプロイ済であるか、デプロイする予定です。
WebLogicユーザーが次の機能のいずれか(または両方)を使用できるように認証プロバイダを構成できます。
シングル・サインオン機能のためのIDアサーション・プロバイダ
アプリケーションが境界Webゲートを使用して保護されている場合、WebLogic Serverに通知される認証されたユーザーのアイデンティティは、Oracle Access Manager IDアサーション・プロバイダを使用してコンテナ・セキュリティ・レイヤーに提供されます。IDアサーション・プロバイダは着信IDのみをアサートし、構成済の認証プロバイダに制御を渡して残りの認証プロセス(サブジェクトへの適切なプリンシパルの移入)を続行します。
|
注意: Web専用アプリケーションの実装では、SSOの用途のほとんどすべてを扱うことができます。例外は、Oracle Web Services ManagerによってWebサービスが保護されている場合です。この場合は信頼されているWebゲートがありません。かわりに、IDアサーション・プロバイダが提供するアクセス・ゲートにアクセスすると、このアクセス・ゲートがOAM 10gアクセス・サーバーまたは11g OAMサーバーと対話します。それ以外の処理は基本的には同じです。 |
Oracleでは次のメカニズムを提供しています。それぞれ特性および要件が多少異なります。
トラステッド・ヘッダー・アサーション: Oracle Access Manager 11.1.1.5.2以降(および10gまたは11gのWebゲート)で使用できるこの最新のメカニズムは、11gまたは10gのWebゲートで保護されているアプリケーション用のOAM_IDENTITY_ASSERTIONトークンに対してトリガーされます。これにより最大のセキュリティが得られ、また構成も容易です。
クリアテキスト・ヘッダー: このデフォルトのメカニズムは、10gまたは11gのWebゲートで保護されているアプリケーション用のOAM_REMOTE_USERトークンに対してトリガーされます。
セッション・トークン: このメカニズムは、境界10g Webゲートおよび10gアクセス・サーバーまたは11g OAMサーバーでのみ使用できます。
表15-1に、各メカニズムの利点と要件を示します。
表15-1 概要: Oracle Access ManagerのIDアサーション・メカニズム
| メカニズム | 利点 | 要件 |
|---|---|---|
|
トラステッド・ヘッダー・アサーション OAM_IDENTITY_ASSERTION |
最大のセキュリティ 容易な構成 |
Oracle Access Manager 11.1.1.5.2以降 10gまたは11g Webゲート |
|
クリアテキスト・ヘッダー OAM_REMOTE_USER |
最大のパフォーマンス デフォルトのメカニズム |
Oracle Access Manager 11.1.1.5.0 10gまたは11g Webゲート |
|
セッション・トークン(ObSSOCookie) 非推奨となる予定 |
10g WebゲートとOAM 10gまたは11gサーバー |
Oracle Access Manager 11.1.1.3.0 Oracle Access Manager 10.1.4.3 10g Webゲート |
認証プロバイダの機能
認証プロバイダ機能に、シングル・サインオン機能はありません。認証プロバイダは、Oracle Access Manager認証スキームではなく、アプリケーション構成ファイルweb.xmlで指定されている認証方式に従ってユーザーに資格証明を要求します。ただし、アプリケーション・ドメインにはOracle Access Manager認証スキームが必要です。
|
注意: IDアサーション・プロバイダ機能を使用している場合は、この項は省略できます。 |
詳細は、次の項目を参照してください。
ここでは、Oracle Access Manager 11gおよび10g WebゲートでのIDアサーション・プロバイダ機能の使用について説明し、手順を紹介します。OAM 11gで11g(または10g)のWebゲートを使用する場合も、OAM 10gで10gのWebゲートを使用する場合も、処理は一部の例外を除きほぼ共通しています。たとえば、Oracle Access Manager 11gでは、アクセス・サーバーがOAMサーバーと呼ばれます。
リクエストはすべて、まずリバース・プロキシWebサーバーにルーティングされ、Webゲートでインターセプトされます。Oracle Access Manager内に構成されている認証スキームに基づいて、ユーザーに対して資格証明の提示が要求されます。認証スキームとしては、フォームの使用(フォームベースのログイン)をお薦めします。
IDアサーション・プロバイダ機能は、Web層でWebゲートが実行する境界認証を利用しています。IDアサーション・プロバイダ機能をトリガーするにはWebゲートのリリースに適合するアクティブ・タイプが選択されている必要があります。
IDアサーション・プロバイダ機能をトリガーすると、構成済の認証プロバイダ(ログイン・モジュール)が呼び出され、サブジェクトを作成して適切なプリンシパルが移入されます。
|
注意: IDアサーション・プロバイダ機能の使用における11g Webゲートと10g Webゲートとの唯一の違いは、プロバイダで選択されるアクティブ・タイプです。 |
選択アクティブ・タイプ
IDアサーション・プロバイダ機能のアクティブ・タイプ構成パラメータの「使用可能なUI」セクションには、サポートされる値がリストされます。IDアサーション・プロバイダ機能がトリガーされるようにするには、次のいずれかを「選択済」タイプとして選択する必要があります。
Identity Assertion: トラステッド・ヘッダーOAM_IDENTITY_ASSERTIONに基づいて、IDアサーションをトリガーします。
OAM_REMOTE_USER: OAM_REMOTE_USERヘッダーに基づいて、IDアサーションをトリガーします。
ObSSOCookie: obSSOCookieに基づいて、IDアサーションをトリガーします。
OAM_REMOTE_USERヘッダーには、ログイン・ユーザーのuidが記述されています。IDアサーション・プロバイダで使用する選択済アクティブ・タイプにOAM_REMOTE_USERを構成する場合、認可成功時のレスポンス・ヘッダーの構成部分としてOAM_REMOTE_USERを設定するOracle Access Managerポリシーが必要です。
認証処理およびIDアサーション・プロバイダ機能
特に指定がないかぎり、ここに記載された情報はOracle Access Manager 11gとOracle Access Manager 10gの双方に同様に適用されます。
Webゲートが構成されている認証スキームを使用してユーザーを認証すると、次のように処理されます。
Webゲート:
11g WebゲートがOAMAuthnCookieを設定し、トークン(OAM_IDENTITY_ASSERTIONまたはOAM_REMOTE_USER)をトリガーします。
10g Webゲートは、obSSOCookie、OAM_REMOTE_USERまたはOAM_IDENTITY_ASSERTIONが使用可能かどうかに基づいてアサーションをトリガーします。
OHS Webサーバーのmod_weblogicモジュールにより、リクエストがOracle WebLogic Serverに転送されます。
|
注意: mod_weblogicは、Apache用のWebLogic Serverプラグインの汎用名です。Oracle HTTP Server 11gの場合、このプラグインの名前はmod_wl_ohsで、実際のバイナリ名はmod_wl_ohs.soです。 |
コンテナに着信するリクエストに構成済のアクティブ・トークン・タイプ(OAM_REMOTE_USER(デフォルト)、obSSOCookie、OAM_IDENTITY_ASSERTION)が存在する場合、IDアサーション・プロバイダが呼び出されます。
アサーション・プロセス後: セキュリティ・レルムに構成されている認証プロバイダが呼び出されて、サブジェクトにプリンシパル(ユーザーとグループ)が移入されます。
図15-1およびそれに続く概要では、Web専用アプリケーションでIDアサーション・プロバイダ機能を使用した場合のコンポーネント間の処理について説明します。この実装で、SSOの使用状況のほぼすべてに対応できます。ただしOracle Web Services Managerで保護されたWebサービスは例外です。この場合は信頼されているWebゲートがありません。かわりに、IDアサーション・プロバイダが提供するアクセス・ゲート(図15-1の点線)にアクセスし、このアクセス・ゲートが11g OAMサーバー(またはOAM 10gアクセス・サーバー)と対話します。それ以外の処理は基本的には同じです。
正しい構成のリストについては、「Oracle Access Manager認証プロバイダのパラメータ・リスト」を参照してください。
図15-1に、Oracle Access Manager 11gおよびWebゲートを使用したIDアサーション・プロバイダ構成での処理の概要を示します。
アサーションは、認可ポリシーで構成されているトークン・タイプに基づいて行われます。リクエスト内にトークンが存在するだけでは、アサーション・プロバイダは呼び出されません。WebLogicで特定のアクティブ・トークン・タイプを構成するだけでは十分ではありません。OAM_IDENTITY_ASSERTIONが認可ポリシーで構成されていれば、これがリクエスト内に設定されます。
プロセス概要: OAM 11g、11g WebゲートおよびWeb専用アプリケーションを使用したIDアサーション・プロバイダ
ユーザーが、Oracle WebLogic Serverにデプロイされている、Oracle Access Managerによって保護されたWebアプリケーションにアクセスしようとします。
リバース・プロキシWebサーバーのWebゲートがリクエストをインターセプトし、リクエストされたリソースが保護されているかどうかをOAMサーバーに問い合せます。
リクエストされたリソースが保護されている場合、Webゲートは、そのリソースに対して構成されているOracle Access Manager認証スキームのタイプ(フォーム・ログインを推奨)に基づいてユーザーの資格証明を要求します。ユーザーは、ユーザー名やパスワードなどの資格証明を入力します。
Webゲートは、認証リクエストをOAMサーバーに転送します。
OAM 11g Serverによって、ユーザーの資格証明がプライマリ・ユーザー・アイデンティティ・ストアに照らして検証され、レスポンスがWebゲートに返されます(OAM 10gアクセス・サーバーでは構成されているユーザー・ディレクトリに照らしてユーザーが検証されます)。検証結果に応じて次のように処理されます。
正常な認証: ステップ6に進みます。
認証失敗: ログイン・フォームが表示され、ユーザーは資格証明の再入力を求められます。エラーは報告されません。
OAMサーバーはセッション・トークンを作成し、Webゲートに送信します。
11g Webゲート: それに対するポリシーが構成されている場合、OAMAuthn Cookieが設定されて返され、OAM_REMOTE_USER(またはOAM_IDENTITY_ASSERTER)トークンがトリガーされます。
10g Webゲート: それに対するポリシーが構成されている場合、リクエスト内でOAM_REMOTE_USERまたはOAM_IDENTITY_ASSERTIONヘッダーが設定されて返されます。
Webサーバーはこのリクエストをプロキシに転送し、プロキシはmod_weblogicプラグインを使用してリクエストをOracle WebLogic Serverに転送します。
mod_weblogicは、その構成設定に従ってリクエストを転送します。
|
注意: mod_weblogicは、Apache用のWebLogic Serverプラグインの汎用名です。Oracle HTTP Server 11gの場合、このプラグインの名前はmod_wl_ohsです。 |
WebLogic Serverのセキュリティ・サービスは、タイプOAM_REMOTE_USER(またはOAM_IDENTITY_ASSERTER)のトークンを受け入れるように構成されているOracle Access Manager IDアサーション・プロバイダを呼び出します。このIDアサーション・プロバイダは、ヘッダーを使用してCallbackHandlerを初期化します。さらに、ダウンストリームLoginModule用として、NameCallbackにユーザー名を設定します。
Oracle WebLogicセキュリティ・サービスがユーザーを認可し、リクエストしたリソースへのアクセスを許可します。
レスポンスがリバース・プロキシWebサーバーに返されます。
レスポンスがブラウザに返されます。
この項では、Oracle Access ManagerでのWebリソースおよび非Webリソースへのアクセスを保護するために構成した認証プロバイダの使用について説明します。
|
注意: 特に指定がないかぎり、ここに記載された情報はOracle Access Manager 11gとOracle Access Manager 10gの双方に同様に適用されます。 |
この認証プロバイダ機能は、Oracle Access Managerサービスを使用して、WebLogic Serverにデプロイされたアプリケーションにアクセスするユーザーを認証します。ユーザーは、ユーザー名やパスワードなどの資格証明に基づいて認証されます。
ユーザーが保護されたリソースへのアクセスを試みると、Oracle WebLogic Serverによって、アプリケーションのweb.xmlファイルで指定されている認証方式に基づいたユーザー資格証明が要求されます。次に、Oracle WebLogic Serverが認証プロバイダを呼び出し、認証プロバイダは資格証明をOracle Access Managerアクセス・サーバーに転送します。この資格証明は、エンタープライズ・ディレクトリ・サーバーによって検証されます。
図15-2は、Webおよび非Webリソースに対してOracle Access Manager認証を行うコンポーネントの配置と情報フローを示しています。詳細は、図の後に説明します。この場合、認証プロバイダはカスタム・アクセス・ゲートを介して11g OAMサーバー(またはOAM 10gアクセス・サーバー)と通信します。
プロセス概要: Webおよび非Webリソース用の認証プロバイダ機能
ユーザーが、Oracle WebLogic Serverにデプロイされている(アプリケーションのweb.xmlファイルにある認証方式で保護されている)Java EEアプリケーションにアクセスしようとします。
Oracle WebLogic Serverがリクエストをインターセプトします。
Oracle WebLogicセキュリティ・サービスが、Oracle Access Manager認証プロバイダのLoginModuleを呼び出します。LoginModuleは、OAPライブラリを使用して11g OAMサーバー(または10gアクセス・サーバー)と通信し、ユーザー資格証明を検証します。
ユーザー・アイデンティティが正常に認証されると、WLSUserImplプリンシパルとWLSGroupImplプリンシパルがサブジェクトに移入されます。
Oracle Access ManagerのLoginModuleがユーザーのアイデンティティを正常に認証できない場合は、LoginException(認証失敗)が返され、Oracle WebLogicリソースへのアクセスは拒否されます。
Oracle Access Manager認証プロバイダは、Oracle WebLogic ServerのUserNameAssertionをサポートします。
Oracle Access Manager認証プロバイダは、任意のIDアサーション・プロバイダとともに使用できます。この場合、Oracle Access Manager認証プロバイダはユーザー名を解決し、そのユーザー名に関連付けられているロールとグループを取得します。
この項では、現在のアプリケーション設定に応じて、Oracle Access Managerと認証プロバイダを使用するアプリケーションの選択について説明します。認証プロバイダでOracle Access Manager 11gまたは10gのどちらを使用する場合でも、詳細はよく似ています。
アプリケーションでOracle Access Manager認証プロバイダを初めて使用する場合、使用する機能に応じて、次の項を参照してください。
シングル・サインオン用のIDアサーション・プロバイダ: Web専用アプリケーションの実装では、SSOを使用するほとんどすべての状況を扱うことができます。「Oracle Access Manager 11gでの認証プロバイダのインストール」を参照してください。
Oracle Web Services Managerによって保護されているWebサービス: この場合OAMサーバーと通信するには、IDアサーション・プロバイダで提供されるアクセス・ゲートが必要です。「Oracle Web Services ManagerおよびOAM 11g用のIDアサーションの構成」を参照してください。
認証プロバイダ: シングル・サインオン機能は提供されません。認証プロバイダは、アプリケーション構成ファイルweb.xmlに指定されている認証方式に基づいてユーザーに資格証明を要求します。「Oracle Access Manager 11g用の認証プロバイダの構成」を参照してください。
旧型のOracle Application Server (OC4J)にアプリケーションをデプロイしている場合、次のわずかな手順を実行すると、Oracle WebLogic Serverでそのアプリケーションから認証プロバイダを使用できるようになります。
すべてのOC4J固有の設定をアプリケーション構成から削除します。
シングル・サインオン用のIDアサーション・プロバイダ: Web専用アプリケーションの実装では、SSOを使用するほとんどすべての状況を扱うことができます。ご使用の環境に該当する項を参照してください。
—OAM 11g: 「Oracle Access Manager 11gでのSSO用のIDアサーションの構成」
—OAM 10g: 「Oracle Access Manager 10gでのSSO用のOAM IDアサーションの構成」
Oracle Web Services Managerによって保護されているWebサービス: IDアサーション・プロバイダが提供するアクセス・ゲートが必要です。ご使用の環境に該当する項を参照してください。
—OAM 11g: 「Oracle Web Services ManagerおよびOAM 11g用のIDアサーションの構成」
—OAM 10g: 「Oracle Web Services ManagerおよびOAM 10g用のIDアサーションの構成」
認証プロバイダ: シングル・サインオン機能は提供されません。認証プロバイダは、アプリケーション構成ファイルweb.xmlに指定されている認証方式に基づいてユーザーに資格証明を要求します。ご使用の環境に該当する項を参照してください。
—OAM 11g: 「Oracle Access Manager 11g用の認証プロバイダ機能の構成」
—OAM 10g: 「Oracle Access Manager 10g用の認証プロバイダの構成」
Oracle Access ManagerのWebLogic SSPI用セキュリティ・プロバイダは、WebLogicプラットフォームにデプロイした複数のJava EEアプリケーションにわたって認証、認可およびシングル・サインオンを提供します。WebLogic SSPI用セキュリティ・プロバイダでは、Oracle Access Managerを使用して、ビジネス・アプリケーションへのユーザー・アクセスも管理できます。
|
注意: WebLogic SSPI用セキュリティ・プロバイダは、10g(10.1.4.3)の『Oracle Access Manager統合ガイド』ではセキュリティ・プロバイダとも呼ばれています。 |
Oracle Access ManagerのWebLogic SSPI用セキュリティ・プロバイダは、Oracle WebLogic Portalリソースへのアクセスを認証し、Oracle Access ManagerとOracle WebLogic Portal Webアプリケーション間のシングル・サインオンをサポートします。さらに、ユーザーおよびグループの管理機能も提供します。
Oracle Access Manager認証プロバイダは、WebLogic SSPI用セキュリティ・プロバイダよりも簡単にインストールおよび構成できます。認証プロバイダは、認証とシングル・サインオン(SSO)のサービスを提供するほか、Oracle WebLogic Serverがサポートするすべてのプラットフォームで機能します。
認証とSSOの目的でのみアプリケーションでOracle Access Manager WebLogic SSPI用セキュリティ・プロバイダを使用している場合は、最新の認証プロバイダのデプロイメントをお薦めします。ただし、最新のOracle Access Manager認証プロバイダでは得られない機能を使用している場合は、引き続きOracle Access Manager 10g WebLogic SSPI用セキュリティ・プロバイダを使用してもかまいません。
|
注意: WebLogic SSPIコネクタは、Oracle Access Manager 10gでは使用できますが、Oracle Access Manager 11gではサポートされていません。 |
若干の違いはありますが、WebLogicコンテナのアプリケーションの保護にOAM 11gとOAM 10gのどちらを使用しても、実装ソリューションはよく似ています。
表15-2では、OAM 11gで認証プロバイダをデプロイする場合とOAM 10gでデプロイする場合の違いを説明しています。項の見出しが強調表示されています。
表15-2 OAM 11gとOAM 10gでの認証プロバイダ実装タスクの違い
| OAM 11gの実装の詳細 | OAM 10gの実装の詳細 |
|---|---|
|
OAM 11gの実装では次のタスクを実行します。詳細は、Oracle Security Token Serviceを伴うOracle Fusion Middleware Oracle Access Manager管理者ガイドを参照してください。
|
OAM 10gでSSOソリューションを実装するタスクは、この章の次の項を参照してください。
|
認証プロバイダの実装に必要なコンポーネントとファイルは、SSOソリューションとしてOAM 11gとOAM 10gのどちらを使用してもほとんど同じです。次のようなわずかな例外があります。
Oracle Access ManagerとOracle WebLogic Serverで使用するエンタープライズ・ディレクトリ・サーバー(Oracle Internet DirectoryまたはOracle Sun Oneディレクトリ・サーバー)
Oracle Access Manager認証プロバイダを使用するように構成した10.3.1以降のOracle WebLogic Server(この章の後半にある説明を参照)
オプション: Fusion Middleware製品(Oracle Identity Manager、Oracle SOA Suite、Oracle WebCenterなど)
認証プロバイダ: WebLogicコンテナにデプロイしたアプリケーションの場合、Oracle Fusion Middleware製品(Oracle Identity Management、Oracle SOA SuiteまたはOracle WebCenter)をインストールすると、Oracle Access ManagerのJARファイルおよびWARファイルを利用できるようになります。
|
注意: Fusion Middlewareを組み込まずにスタンドアロンのOracle WebLogic Serverを使用している場合は、この章の後半にある手順のステップ1に従ってOracle Technology NetworkからJARファイルおよびWARファイルを取得する必要があります。 |
oamAuthnProvider.jar: シングル・サインオン用のOracle Access Manager IDアサーション・プロバイダのファイルとOracle WebLogic Server 10.3.1以降の認証プロバイダのファイルが含まれています。ユーザーやアプリケーションからのWebリソースおよび非Web(非HTTP)リソースに対するリクエストを処理するために、カスタムのOracle Access Managerアクセス・ゲートも用意されています。
oamauthenticationprovider.war: Oracle WebLogic Serverコンソールに表示されるプロバイダを、Oracle Access Managerで使用するために必要なプロバイダのみに制限します。
拡張をデプロイする際に、WebLogic管理コンソールでは、そのWARファイルに記述されたファイルおよびディレクトリと、拡張のWARファイルに記述されたファイルおよびディレクトリとのメモリー内結合が作成されます。デプロイした拡張機能は、WebLogic管理コンソールの完全なメンバーになります。この拡張機能は、WebLogic Serverのセキュリティ・レルムで保護され、管理コンソールの他のセクションに移動できます。また、拡張機能からWebLogic Serverリソースを変更する場合、拡張機能は変更制御プロセスに参加します。詳細は、Oracle Fusion Middleware Oracle WebLogic Serverの管理コンソールの拡張を参照してください。
Oracle Access Manager 11g: リモート登録コマンドライン・ユーティリティは、Webゲートのプロビジョニングを合理化し、セキュリティ・ポリシーを備えた新しいアプリケーション・ドメインを作成します。管理者は、テンプレートを使用してWebゲートのパラメータと値を指定できます。
Oracle Access Manager 10g: プラットフォームに依存しないOAMCfgToolとスクリプト(oamcfgtool.jar)によって、IDアサーション・プロバイダ機能でシングル・サインオンに使用されるOracle Access Managerのフォームベースの認証スキーム、ポリシー・ドメイン、アクセス・ポリシー、およびWebゲートプロファイルの作成が自動化されます。OAMCfgToolにはJRE 1.5または1.6が必要です。Fusion Middlewareアプリケーション用の国際化されたログイン・フォームはこれらのアプリケーションを保護するポリシーに対応しています。
Webゲートのリバース・プロキシとして、OHS 11gを構成する必要があります(Oracle Access Manager IDアサーション・プロバイダで必要)。
Oracle Access Manager:
OAM 11g: Oracle Fusion Middleware構成ウィザードを使用した初期構成とともにデプロイされます。「Oracle Access Manager 11g SSOソリューションのデプロイ」を参照してください。
OAM 10g: Oracle Access Managerインストレーション・ガイドで説明されているように、初期設定でインストールされます。「Oracle Access Manager 10gを使用したSSOソリューションのデプロイ」を参照してください。
Webゲート/アクセス・ゲート: Oracle Access ManagerでWebゲートまたはアクセス・ゲートのどちらのプロビジョニングが必要であるかは、OAM認証プロバイダの使用方法によって決まります。
シングル・サインオン用のIDアサーション・プロバイダ: 境界認証を定義するために、アプリケーションごとに個別のWebゲートが必要です。
認証プロバイダ(またはOracle Web Services Manager): 認証プロバイダで使用できるカスタム10gアクセス・ゲートが必要です。
認証プロバイダでは、デバッグ・モードで動作する場合、アプリケーション内の低レベルのアクティビティの詳細な説明を提供するメッセージが使用されます。通常、この情報はそれほど必要とされません。ただし、Oracleサポート・サービスへの連絡が必要な場合、デバッグを設定することをお薦めします。デバッグを設定すると、Oracle WebLogic Serverのデフォルト・ログの場所に認証プロバイダのメッセージが表示されます。
デバッグを設定するには
WebLogic管理コンソールにログインします。
「ドメイン」→「環境」→「サーバー」に移動し、使用するサーバーを選択します。
「デバッグ」タブをクリックします。
「このサーバーのデバッグ設定」で、「weblogic」→「security」→「atn」をクリックして開きます。
「DebugSecurityAtn」の隣にあるオプションをクリックして有効にします。
変更を保存します。
Oracle WebLogic Serverを再起動します。
Oracle WebLogic Serverのデフォルト・ログの場所で、SSOAssertionProviderを検索します。例:
####<Apr 10, 2009 2:32:16 AM PDT> <Debug> <SecurityAtn> <sta00483> <AdminServer> <[ACTIVE] ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1239355936490> <BEA-000000> <SSOAssertionProvider:Type = Proxy-Remote-User>
