| Oracle® Fusion Middleware Oracle WebCenter Contentのインストールと構成 11g リリース1 (11.1.1) B65039-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Contentのインストールと構成 11g リリース1 (11.1.1) B65039-06 |
|
前 |
次 |
この章では、Oracle WebLogic Serverドメインで、Oracle Information Rights Management (Oracle IRM)の初期構成を完了する方法について説明します。
この章では、次の項目について説明します。
Oracle IRM Managementコンソールにログインする、またはContentアプリケーション・サーバーDesktopを使用する前に、次のトピックで説明しているようにOracle IRMの構成を完了する必要があります。
|
注意: 本番環境では、Oracle WebCenter Contentアプリケーションは、デフォルト構成の一部であるOracle WebLogic Server組込みのLDAPサーバーではなく、外部Lightweight Directory Application Protocol (LDAP)認証プロバイダを使用する必要があります。Oracle IRMのアイデンティティ・ストアを外部LDAP認証プロバイダに再関連付けする場合は、Oracle IRM管理対象サーバーの構成を完了する前に行う方が簡単です。詳細は、第3.9項「アイデンティティ・ストアと外部LDAP認証プロバイダの再関連付け」を参照してください。 |
Oracle Enterprise Manager Fusion Middleware ControlのOracle IRM用の「一般設定」ページで、「サーバーURL」構成パラメータをOracle IRM管理対象サーバーに設定できます。
|
注意: サーバーURL値はどのシール済ドキュメントにも埋め込まれており、Oracle IRM Desktopはこの値を使用してOracle IRMサーバーを識別して接続し、ライセンスを取得します。このサーバーを使用してドキュメントをシールした後で、この構成を変更しないでください。変更すると、ドキュメントにアクセスできなくなります。 |
管理対象サーバーからOracle IRM Desktopに直接アクセス可能な簡易インストールの場合、この値はOracle IRM管理対象サーバーのURLになります。次に例を示します。
https://managedServerHost:managedServerPort/irm_desktop
「サーバーURL」構成パラメータを設定するには、次の手順を実行します。
次のWebサイトでFusion Middleware Controlを起動します。
http://adminServerHost:adminServerPort/em
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
http://myHost.example.com:7001/em
ログインするには、構成ウィザードの「管理者ユーザー名およびパスワードの構成」画面で指定したユーザー名およびパスワードを入力します。
左側のファーム・ナビゲーション・ツリーで、「WebCenter Content」および「権限」を開き、「IRM」をクリックします。
「IRM」メニューから、「管理」を選択し、「一般設定」を選択します。
「一般設定」ページが表示されます。
「サーバーURL」フィールドに、Oracle IRM管理対象サーバーにアクセスするためのURLを入力します。
管理対象サーバーからOracle IRM Desktopに直接アクセス可能な簡易インストールの場合、この値はOracle IRM管理対象サーバーのURLになり、irm_desktopで終わります。
https://managedServerHost:managedServerPort/irm_desktop
managedServerHost値は、管理対象サーバーが実行されているホストの名前です。たとえば、myhost.example.comなどとなります。Oracle IRMのデフォルトのSSLポート(managedServerPort値)は、16101です。
「一般設定」ページで、Oracle IRMの他の構成を指定することもできます。
「適用」をクリックします。
Oracle IRM Java EEアプリケーションは、暗号キーを使用して、データベースに保存されているOracle IRMシール済コンテンツ・キーをラップ(暗号化)およびアンラップ(復号化)します。コンテンツを作成する前に、このラッピング・キーoracle.irm.wrapを生成し、キーストアに格納する必要があります。
キーストアにアクセスするにはパスワードが必要であり、ラッピング・キーにアクセスするには、追加のパスワードが必要です。どちらのパスワードも、資格証明ストアに保存されます。
Oracle IRM用のキーストアを構成するには、次のトピックで説明するタスクを実行する必要があります。
Java Cryptographic Extension (JCE)セキュリティ・プロバイダによってはアルゴリズムに制限があるため、多数のアルゴリズムおよび様々なタイプのキーストアがサポートされています。ターゲット・プラットフォームに適した暗号化アルゴリズム、キー・サイズおよびキーストアを選択する必要があります。Advanced Encryption Standard (AES)キー・ラッピング・アルゴリズムは強固な暗号化アルゴリズムであり、ほとんどのプラットフォームでこのアルゴリズムを使用することをお薦めします。プラットフォームによっては、RSAキー・ラッピング・アルゴリズムが必要になります。
AESアルゴリズムでは、ラッピング・キーのサイズを256ビットまたは128ビットにすることができます。AES 256暗号化スキーマを使用してコンテンツをシールするには、256ビットのラッピング・キーを使用する必要があります。AES 128暗号化スキーマを使用してコンテンツをシールするには、128ビットまたは256ビットのラッピング・キーを使用できます。一般的に、AESキー・ラッピング・アルゴリズムはRSAキー・ラッピング・アルゴリズムよりも高速です。
|
注意: キー・サイズが256ビットのAESを使用する場合は、事前に、Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction PolicyファイルをOracle WebLogic ServerのJREディレクトリにインストールしておく必要があります。ポリシー・ファイルをダウンロードする方法の詳細は、Oracle Sun Technology NetworkのJava SEダウンロード・ページを参照してください。
|
keytoolコマンドによってキーストアが作成されますが、これを開くにはパスワードが必要です。キー(Oracle.irm.wrap)はキーストア内に保存され、このキーにアクセスするには、追加のパスワードが必要です。
Oracle IRM用のキーストアの作成方法:
setWLSEnvスクリプトを実行して、環境を設定します。
UNIXのスクリプト: MW_HOME
/wlserver_10.3/server/bin/setWLSEnv.sh
Windowsスクリプト:
MW_HOME\wlserver_10.3\server\bin\setWLSEnv.cmd
JavaおよびOracle WebLogic Serverツールを機能させるには、MW_HOME/wlserver_10.3/server/libディレクトリまたはMW_HOME\wlserver_10.3\server\libディレクトリにweblogic.jarファイルが存在する必要があります。
環境を正しく設定すると、keytoolがユーザーのPATH環境変数に設定されます。この設定では、この残りの手順でkeytoolコマンドに使用するディレクトリ・パスを指定します。
keytoolユーティリティを実行して、Oracle IRMキーストアを生成します。
AESの場合は、単一のコマンド・ラインに次のkeytoolコマンドを入力します(キー・サイズは128または256にすることができます)。
keytool -genseckey -storetype JCEKS -alias oracle.irm.wrap
-keyalg AES -keysize 128 -keystore irm.jceks
keytoolからの指示に従って、キーストアおよび生成したキーに適切なパスワードを選択します。
RSAの場合、単一のコマンド・ラインに次のkeytoolコマンドを入力します。
keytool -genkeypair -alias oracle.irm.wrap
-keyalg RSA -keysize 2048 -keystore irm.jks
keytoolから証明書の詳細を入力するように求められたら、提示されたデフォルト値unknownを使用します。キーストアおよび生成したキーのパスワードを入力するように求められたら、適切な値を選択します。
irm.jceksファイルまたはirm.jksファイルをドメインのfmwconfigディレクトリにコピーします。
UNIXパス:
MW_HOME/user_projects/domains/DomainHome/config/fmwconfig
Windowsパス:
MW_HOME\user_projects\domains\DomainHome\config\fmwconfig
キーストア・ファイルの場所を特定できるように、Rights Server構成を更新する必要があります。サーバー構成にキーストアの場所を設定するには、Fusion Middleware Controlを使用して、Oracle IRM用の「一般設定」ページで行うか、またはWebLogic Scripting Tool (WLST)のconnectコマンドおよびsetIRMKeyStoreコマンドを使用します。
|
注意: SSLが有効になっている場合は、WLSTを使用して管理サーバーに接続する前に、次のパラメータを
-Dweblogic.security.SSL.ignoreHostnameVerification=true
-Dweblogic.security.TrustKeyStore=KeyStoreName
|
推奨されるキーストアの場所は、ドメイン・ホーム内のディレクトリです。
UNIXパス:
MW_HOME/user_projects/domains/DomainHome/config/fmwconfig
Windowsパス:
MW_HOME\user_projects\domains\DomainHome\config\fmwconfig
キーストアをこの場所に置くと、ドメインおよび対応する資格証明ストア・ファイルがバックアップされる際に、キーストア・ファイルも確実にバックアップされます。
Fusion Middleware Controlを使用してキーストアの場所を設定するには、次の手順を実行します。
次のURLでFusion Middleware Controlを起動します。
http://adminServerHost:adminServerPort/em
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
http://myHost.example.com:7001/em
ログインするには、構成ウィザードの「管理者ユーザー名およびパスワードの構成」画面で指定したユーザー名およびパスワードを入力します。
左側のファーム・ナビゲーション・ツリーで、「WebCenter Content」および「権限」を開き、「IRM」をクリックします。
「IRM」メニューから、「管理」を選択し、「一般設定」を選択します。
キーストアのタイプについては、次のいずれかの値を入力します。
AESキーを使用している場合はJCEKS。
RSAキー・ペアを使用している場合はJKS。
「一般設定」ページの「キーストア」フィールドで、次のキーストア・パスのいずれかを入力します。
JCEKSキーストア用のキーストア・パス
UNIXパス: MW_HOME/user_projects/domains
/DomainHome/config/fmwconfig/irm.jceks
Windowsパス: MW_HOME\user_projects\domains
\DomainHome\config\fmwconfig\irm.jceks
JKSキーストア用のキーストア・パス
UNIXパス: MW_HOME/user_projects/domains
/DomainHome/config/fmwconfig/irm.jks
Windowsパス: MW_HOME\user_projects\domains
\DomainHome\config\fmwconfig\irm.jks
「一般設定」ページで、Oracle IRMの他の構成を指定することもできます。
「適用」をクリックします。
WLSTコマンドを使用してキーストアの場所を設定するには、次の手順を実行します。
次のWLSTコマンドを入力します。
UNIXオペレーティング・システム
WCC_ORACLE_HOME/common/bin/wlst.sh connect('username','password','t3://adminServerHost:adminServerPort') setIRMKeyStore()
Windowsオペレーティング・システム
WCC_ORACLE_HOME\common\bin\wlst.cmd connect('username','password','t3://adminServerHost:adminServerPort') setIRMKeyStore()
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
't3://myHost.example.com:7001'
キーストア・タイプおよびキーストア・パスの入力を求められます。
キーストアのタイプについては、次のいずれかの値を入力します。
AESキーを使用している場合はJCEKS。
RSAキー・ペアを使用している場合はJKS。
キーストアのパスについては、次のいずれかの値を入力します。
AESキーストア用のキーストア・パス
UNIXパス: MW_HOME/user_projects/domains
/DomainHome/config/fmwconfig/irm.jceks
Windowsパス: MW_HOME\user_projects\domains
\DomainHome\config\fmwconfig\irm.jceks
RSAキーストア用のキーストア・パス
UNIXパス: MW_HOME/user_projects/domains/
DomainHome/config/fmwconfig/irm.jks
Windowsパス: MW_HOME\user_projects\domains
\DomainHome\config\fmwconfig\irm.jks
WLSTコマンドを使用して、Oracle IRMキーストアのパスワードを資格証明ストアに追加する必要があります。キーストア・パスワードおよび生成したキーのパスワードは、キーストアを作成したときに設定したものです。これらのパスワードは、Rightsで必要とされます。
キーストア・パスワードを資格証明ストアに追加するには、次の手順を実行します。
AESキーストアの場合、次のWLSTコマンドを入力します。
UNIXオペレーティング・システム
WCC_ORACLE_HOME/common/bin/wlst.sh connect('username','password','t3://adminServerHost:adminServerPort') createCred("IRM","keystore:irm.jceks","dummy","password") createCred("IRM","key:irm.jceks:oracle.irm.wrap","dummy","password")
Windowsオペレーティング・システム
WCC_ORACLE_HOME\common\bin\wlst.cmd connect('username','password','t3://adminServerHost:adminServerPort') createCred("IRM","keystore:irm.jceks","dummy","password") createCred("IRM","key:irm.jceks:oracle.irm.wrap","dummy","password")
|
注意:
|
RSAキーストアの場合、次のWLSTコマンドを入力します。
UNIXオペレーティング・システム
WCC_ORACLE_HOME/common/bin/wlst.sh connect('username','password','t3://adminServerHost:adminServerPort') createCred("IRM","keystore:irm.jks","dummy","password") createCred("IRM","key:irm.jks:oracle.irm.wrap","dummy","password")
Windowsオペレーティング・システム
WCC_ORACLE_HOME\common\bin\wlst.cmd connect('username','password','t3://adminServerHost:adminServerPort') createCred("IRM","keystore:irm.jks","dummy","password") createCred("IRM","key:irm.jks:oracle.irm.wrap","dummy","password")
|
注意:
|
Oracle IRMは、Oracle Platform Security Services (OPSS)の資格証明ストア・フレームワークを使用して、Oracle IRMキーストアのパスワードを取得します。第3.9項「アイデンティティ・ストアと外部LDAP認証プロバイダの再関連付け」の説明に従って資格証明ストアおよびポリシー・ストアを外部LDAP認証プロバイダに再関連付けしている場合、Oracle IRMに固有の構成手順はありません。
Oracle IRM管理対象サーバーが実行中であるときは、Oracle IRMアプリケーションはOracle WebLogic Serverドメインにデプロイされています。管理対象サーバーが正常に構成されたかどうかは、次のURLにアクセスして検証できます。
https://managedServerHost:managedServerPort/irm_desktop
次に例を示します。
https://myhost.example.com:16101/irm_desktop
Oracle IRMは、OPSSを使用して、外部LDAP認証プロバイダからユーザーおよびグループの詳細を取得します。アイデンティティ・ストアを構成する方法の詳細は、第3.9項「アイデンティティ・ストアと外部LDAP認証プロバイダの再関連付け」を参照してください。
Oracle Access Managerは、Oracle WebCenter Contentアプリケーションの推奨されるシングル・サインオン(SSO)ソリューションです。柔軟で拡張可能な認証および認可と、監査サービスが備えられています。Oracle IRMとOracle Access Managerのそれぞれを統合用に構成して、両者を統合できます。
Oracle IRMは、Oracle Access ManagerでBasic認証をサポートします。Oracle Access Managerには認可エンジンが搭載されており、アクセスを要求するユーザーのプロパティと要求を行った環境に基づいて特定のリソースへのアクセスを付与または拒否できます。
Oracle IRMは現在、ここで説明するようにOracle Access Manager 11gを使用してSSOを限定的にサポートしています。
Oracle Access Manager 11gについて、公開URIを指定する必要があります。
/irm_rights
/irm_rights/.../*
Oracle IRM Desktopは、Oracle Access Manager 11gをサポートしません。
次のURIを保護する必要もあります。
/irm_rights/faces
Oracle IRM 11gサーバー管理コンソールでシングル・サインオン(SSO)を実装すると、想定どおりにアプリケーションにアクセスできます。有効なユーザー名とパスワードの組合せを入力すると、同じSSOセッションが続く間ずっとその組合せが認識されます。
Oracle Access Manager 10gでOracle IRM DesktopのSSOを実装することはできますが、ユーザー名とパスワードの組合せを1回入力して同じセッションで複数のアプリケーションにアクセスすることはできません。同じSSOセッション内ですでに有効なユーザー名とパスワードを指定している場合でも、Oracle IRM Desktopユーザーはユーザー名とパスワードを入力するように求められます。このレベルでSSOをサポートしている場合、識別しやすいサインオン・ダイアログが表示され、ユーザー名とパスワードの正しい組合せを入力できます。
|
注意:
|
Oracle Access Manager 11gをインストールして構成した後、Oracle IRMと連携して動作するように構成できます。
|
注意: 次の手順は、Oracle WebCenter Contentをインストールして(第2章「Oracle WebCenter Contentのインストール」を参照)、Oracle IRM管理対象サーバーを構成(第3章「Oracle WebCenter Contentアプリケーションの構成」を参照)した後で実行してください。また、必要な接続を構成し、テストしておくことをお薦めします。 |
Oracle IRMとOracle Access Manager 11gが連携して動作するように構成するには、次の手順を実行します。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.1.7.0)のインストールに関する項に従って、Oracle Access Manager 11gをインストールします。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managerの構成に関する項に従って、Oracle Access Manager 11gを構成します。
『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』の説明に従って、Oracle HTTP Server (OHS)をインストールし、構成します。
Oracle Fusion Middleware Webgates for Oracle Access ManagerのインストールのOAMでのOracle HTTP Server 11g Webgateのインストールと構成に関する項に従って、WebGateをインストールて構成します。
mod_wl_ohs.confファイルに転送されるように、次の例のようにOracle WebCenter ContentのURIを追加します。
# IRM management website
<Location /irm_rights>
SetHandler weblogic-handler
WebLogicHost managedServerHost
WebLogicPort managedServerPort
</Location>
前記の例で、managedServerHostはOracle IRMをホストしているマシンのホスト名を表し、managedServerPortはOracle IRMをホストしているOracle WebLogic Serverインスタンスのポート番号を表します。
|
注意: 前述の |
次の例のLocation要素には、ホストおよびポート番号を指定します。
<Location /irm_rights> SetHandler weblogic-handler WebLogicHost irm.example.com WebLogicPort 16100 </Location>
『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』の説明に従ってOracle Access Managerコンソールにログインし、管理者ガイドの指示に従って次のタスクを実行します。
IRMドメインという名前で新しいアプリケーション・ドメインを作成します。
「IRMドメイン」、「リソース」の順に選択し、次にすべてのOracle IRM URLのエントリを作成します。
/irm_rights
/irm_rights/.../*
/irm_rights/faces
/irm_rights/faces/.../*
「IRMドメイン」、「認証ポリシー」の順に選択し、次に保護ポリシーおよびパブリック・ポリシーを作成します。
認証保護ポリシーでは、次のOracle IRMリソースを追加します。
/irm_rights/faces
/irm_rights/faces/.../*
認証パブリック・ポリシーでは、次のOracle IRMリソースを追加します。
/irm_rights
/irm_rights/.../*
「IRMドメイン」、「認可ポリシー」の順に選択し、次に保護ポリシーおよびパブリック・ポリシーを作成します。
認証ポリシーに一致するように、同じOracle IRM保護リソースおよびパブリック・リソースを保護ポリシーおよびパブリック・ポリシーに追加します。
次のタスクを実行して、Oracle WebCenter Contentドメインを構成します。
Oracle Access Manager IDアサータを追加し、構成します。
Oracle Internet Directoryを追加し、構成します。
OPSS (Oracle Access Manager) SSOプロバイダを追加します。
これらのタスクの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 11g SSOソリューションのデプロイに関する項を参照してください。
Oracle Access Managerインストールをテストします。
Oracle Access Manager 11gをインストールして構成した後、構成済のすべてのアプリケーションにアクセスできることと、グローバルなログインおよびログアウトによって再びサインインを求められることなく構成済のすべてのアプリケーションにアクセスできることを確認します。また、可能な場合はグローバルなログアウトをテストし、関連する他のすべてのアプリケーションからログアウトしたことを確認します。
たとえば、mod_wl_ohs.confが/irm_rightsをirm.example.com:16100にリダイレクトし、OHSがポートoam.example.com:7778をリスニングしている場合、IRM Rightsアプリケーションにアクセスするには、https://oam.example.com:7778/irm_rightsを使用します。ただし、Oracle Access Managerがすでに正しく設定されているものとします。認証後、Oracle Access Managerは内部でリクエストをhttps://irm.example:16100/irm_rightsに委任します。
Oracle IRMインスタンスでOracle RACを使用するには、Oracle WebLogic Server管理コンソールで次の手順を行って、Oracle IRMデータソースを変更する必要があります。
「サービス」から「JDBC」、「データソース」の順に選択します。
データ・ソースとしてOracle IRMを選択します。
「トランザクション」タブで「グローバル・トランザクションのサポート」→「2フェーズ・コミットのエミュレート」を選択します。
「保存」をクリックします。
これにより、Oracle RAC用のOracle IRMデータソースのglobal-transactions-protocolがEmulateTwoPhaseCommitに設定されます。
