16 コンテンツ・サーバー用Fusion Middlewareセキュリティの構成

この章では、セキュリティ構成情報と、Oracle Fusion Middleware、Oracle WebLogic Server、Oracle認証および認可ソフトウェアを、Oracle WebCenter ContentおよびOracle WebCenter Content Serverに統合する手順について説明します。

この章の内容は次のとおりです。

• 第16.1項「LDAP認証プロバイダ」

• 第16.2項「SSLを使用するためのOracle WebCenter Contentの構成」

• 第16.3項「シングル・サインオン用のWebCenter Contentの構成」

• 第16.4項「Oracle Infrastructure Webサービスの構成」

Oracle Fusion MiddlewareおよびOracle WebLogic Serverのセキュリティの詳細は、表16-1にリストするドキュメントを参照してください。

16.1 LDAP認証プロバイダ

Oracle WebCenter ContentはOracle WebLogic Server上で実行されます。Oracle WebLogic Serverドメインには、デフォルト認証、認可、資格証明マッピングおよびロール・マッピング・プロバイダ用のデフォルトのセキュリティ・プロバイダ・データ・ストアとして動作する、組込みLightweight Directory Access Protocol (LDAP)サーバーが含まれます。WebCenter ContentはOracle WebLogic Serverと通信するデフォルトのJpsUserProviderを提供します。組込みLDAPサーバーの詳細は、Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの管理の組込みLDAPサーバーの管理に関する項、およびOracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプの組込みLDAPサーバーの構成に関する説明を参照してください。

ほとんどの場合、組込みLDAPサーバーを使用するのではなく、Oracle WebCenter Content本番システムのアイデンティティ・ストアを外部LDAP認証プロバイダに再度関連付ける必要があります。新規LDAP認証プロバイダを構成した後、組込みLDAPプロバイダから新規LDAPプロバイダにユーザーを移行します。外部LDAP認証プロバイダ(Oracle Internet Directory (OID)など)は、デフォルトの認証プロバイダを含め、その他すべての認証プロバイダの前にリスト表示されます。外部LDAPプロバイダ用のWebCenter Content構成の詳細は、『Oracle Fusion Middleware Oracle WebCenter Contentのインストールと構成』を参照してください。

注意: 11gリリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、2つのOracle Internet Directory (OID)プロバイダをユーザーおよびロール情報のソースとして使用できる場合もあります。Oracle WebLogic Serverでの複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。

表16-1に、ユーザー認証用に構成できるLDAPプロバイダを示します。

表16-1 LDAPオーセンティケータ・タイプ

LDAPサーバー	オーセンティケータ・プロバイダ
Microsoft AD	ActiveDirectoryAuthenticator
SunOne LDAP	IPlanetAuthenticator
Oracle Directory Server Enterprise Edition (ODSEE)	IPlanetAuthenticator
Oracle Unified Directory (OUD)	IPlanetAuthenticator
Oracle Internet Directory	OracleInternetDirectoryAuthenticator
Oracle Virtual Directory	OracleVirtualDirectoryAuthenticator
EDIRECTORY	NovellAuthenticator
OpenLDAP	OpenLDAPAuthenticator
EmbeddedLDAP	DefaultAuthenticator

外部LDAPサーバーを使用してWebCenter Contentを構成し、WebCenter Contentが認識する権限を持つディレクトリに動的グループ(および静的グループ)が存在する場合は、追加の構成が必要になります。ユーザーの作成、認証および認可はOracle Platform Services Security (OPSS)を使用して管理されており、これは、外部LDAPサーバーのネイティブOracle WebLogic Serverプロバイダと比較されたときに、別のメカニズムを使用してディレクトリ・サーバーの情報を収集します。詳細は、Oracle WebCenterおよび外部LDAPサーバーの動的グループのブログを参照してください。

16.2 SSLを使用するためのOracle WebCenter Contentの構成

SSLを使用してWebCenter Contentとセキュアな通信を行うようにOracle Fusion Middlewareを構成できます。Oracle Fusion MiddlewareではSSLバージョン3に加えて、TLSバージョン1をサポートしています。

この項の内容は次のとおりです。

• 第16.2.1項「WebCenter Contentの双方向SSL通信の構成」

• 第16.2.2項「Oracle JDeveloperの一方向SSL環境での参照の呼出し」

• 第16.2.3項「WebCenter ContentおよびOracle HTTP ServerのSSL通信の構成」

• 第16.2.4項「WebCenter Contentでの非SSLからSSL構成への切替え」

• 第16.2.5項「WebCenter ContentインスタンスとOracle WebCache間のSSLの構成」

• 第16.2.6項「一方向SSLでのカスタム・トラスト・ストアの使用」

• 第16.2.7項「非同期プロセスの呼び出しのための非同期プロセスの有効化」

• 第16.2.8項「有効な証明書パスのためのRIDC SSLの構成」

詳細は、Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの管理のSSLの構成に関する項を参照してください。Web層の構成の詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSLの構成に関する項を参照してください。

16.2.1 WebCenter Contentの双方向SSL通信の構成

WebCenter Contentでは、双方向SSL通信を構成するために、Oracle WebLogic ServerでSecure Socket Layer (SSL)スタックを使用します。

• インバウンドのWebサービス・バインディングの場合、WebCenter ContentではOracle WebLogic Serverインフラストラクチャを使用し、SSL用にOracle WebLogic Serverライブラリを使用します。

• アウトバウンドのWebサービス・バインディングの場合、WebCenter ContentではJRF HttpClientを使用し、SSL用にOracle Sun JDKライブラリを使用します。

このように違いがあるため、次のJVMオプションを使用してOracle WebLogic Serverを起動します。

1. 次のファイルを開きます。

   • UNIXオペレーティング・システムでは、$MIDDLEWARE_HOME/user_projects/domains/domain_name/bin/setDomainEnv.shを開きます。

   • Windowsオペレーティング・システムでは、MIDDLEWARE_HOME\user_projects\domains\domain_name\bin\setDomainEnv.batを開きます。

2. サーバーが一方向SSL(サーバー認可のみ)に対して有効な場合は、次の行をJAVA_OPTIONSセクションに追加します。

   -Djavax.net.ssl.trustStore=your_truststore_location
   

   双方向SSLの場合は、キーストア情報(場所とパスワード)は不要です。

WebCenter Contentが別のアプリケーションを呼び出すために双方向SSLを有効化する手順は、次のとおりです。

注意: サーバーとクライアントの両方が相互認証でSSL用に構成されていることが前提となります。

1. クライアント側で、キーストアの場所を指定します。

   1. 「SOAインフラストラクチャ」メニューから、「SOA管理」、「共通プロパティ」の順に選択します。

   2. ページの下部で、「詳細SOAインフラ拡張構成プロパティ」をクリックします。

   3. 「KeystoreLocation」をクリックします。

   4. 「値」列に、キーストアの場所を入力します。

   5. 「適用」をクリックします。

   6. 「戻る」をクリックします。

2. クライアント側のDOMAIN_HOME\config\soa-infra\configuration\soa-infra-config.xmlでキーストアの場所を指定します。

   <keystoreLocation>absolute_path_to_the_keystore_location_and_the_file_name
   </keystoreLocation> 
   

3. Oracle JDeveloperでの設計時に、composite.xmlファイル内の参照セクションをoracle.soa.two.way.ssl.enabledプロパティで更新します。

   <reference name="Service1" 
      ui:wsdlLocation=". . ."> 
      <interface.wsdl interface=". . ."/> 
        <binding.ws port=". . ."> 
         <property name="oracle.soa.two.way.ssl.enabled">true</property> 
     </binding.ws> 
    </reference> 
   

4. Oracle Enterprise Manager Fusion Middleware管理コンソールで、「WebLogicドメイン」、「ドメイン名」の順に選択します。

5. 「ドメイン名」を右クリックし、「セキュリティ」、「資格証明」の順に選択します。

6. 「マップの作成」をクリックします。

7. 「マップ名」フィールドに名前(SOAなど)を入力し、「OK」をクリックします。

8. 「キーの作成」をクリックします。

9. 次の詳細を入力します。

   フィールド	説明
   マップの選択	ステップ7で作成したマップ(この例ではSOA)を選択します。
   キー	キー名を入力します(KeystorePasswordがデフォルトです)。
   タイプ	「パスワード」を選択します。
   ユーザー名	ユーザー名を入力します(KeystorePasswordがデフォルトです)。
   パスワード	キーストアに対して作成したパスワードを入力します。

   
   
   
   

   注意: WebLogic ServerドメインでSSLを設定する場合、キーの別名が必要です。別名の値として「mykey」を入力する必要があります。この値は必須です。

   
   

10. Oracle Enterprise Manager Fusion Middleware Controlコンソールでキーストアの場所を設定します。方法については、ステップ1を参照してください。

11. httpsおよびsslportを使用してOracle WebCenter Contentを起動するようにcomposite.xml構文を変更します。たとえば、次の太字で示されている構文を変更します。

    <?xml version="1.0" encoding="UTF-8" ?> 
    <!-- Generated by Oracle SOA Modeler version 1.0 at [4/1/09 11:01 PM]. --> 
    <composite name="InvokeEchoBPELSync" 
    revision="1.0" 
    label="2009-04-01_23-01-53_994" 
    mode="active" 
    state="on" 
    xmlns="http://xmlns.example.com/sca/1.0" 
    xmlns:xs="http://www.w3.org/2001/XMLSchema" 
    xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" 
    xmlns:orawsp="http://schemas.example.com/ws/2006/01/policy" 
    xmlns:ui="http://xmlns.example.com/soa/designer/"> 
    <import 
    namespace="http://xmlns.example.com/CustomApps/InvokeEchoBPELSync/BPELProcess1"
      location="BPELProcess1.wsdl" importType="wsdl"/>
    <import namespace="http://xmlns.example.com/CustomApps/EchoBPELSync/
    BPELProcess1"location="http://hostname:port/soa-infra/services/default/EchoBPEL
    Sync/BPELProcess1.wsdl"
    importType="wsdl"/>
    

    httpsおよびsslportを使用するように変更します。

    location="https://hostname:sslport/soa-infra/services/default/EchoBPELSync
    /BPELProcess1.wsdl"
    

16.2.2 Oracle JDeveloperの一方向SSL環境での参照の呼出し

Webサービスを一方向SSL環境でWebCenter Contentからの外部参照として呼び出す場合は、サーバーの証明書名(CN)とホスト名が完全に一致することを確認します。これにより、正しいSSLハンドシェイクが保証されます。

たとえば、Webサービスの名前がadfbcで、証明書のサーバー名がhostの場合は、次のコードでSSLハンドシェーク例外が発生します。

<import namespace="/adfbc1/common/"
location="https://host.example.com:8002/CustomApps-adfbc1-context-root/AppModuleService?WSDL"
          importType="wsdl"/> 
<import namespace="/adfbc1/common/" location="Service1.wsdl" 
          importType="wsdl"/> 

importの順序を入れ替えると、SSLハンドシェイクに成功します。

<import namespace="/adfbc1/common/" location="Service1.wsdl" 
          importType="wsdl"/> 
<import namespace="/adfbc1/common/" 
location="https://host.example.com:8002/CustomApps-adfbc1-context-root/AppModuleService?WSDL" 
          importType="wsdl"/> 

この問題に関連して次の制限があります。

• Oracle WebLogic Server管理コンソールにあるようなホスト名の検証を無視するオプションはOracle JDeveloperにありません。これは、Oracle JDeveloperで使用されているSSLキットが異なるためです。トラスト・ストアのみコマンドラインから構成できます。他のすべての証明書引数は渡されません。

• WSDLファイルで、https://hostnameは前述のように証明書内の名前と一致する必要があります。ブラウザで行う場合と同じ手順は実行できません。たとえば、証明書のCNのホスト名がhost.example.comの場合、ブラウザではhost、host.example.comまたはIPアドレスを使用できます。Oracle JDeveloperでは、必ず証明書内の名前と同じ名前(host.example.com)を使用する必要があります。

16.2.3 WebCenter ContentおよびOracle HTTP ServerのSSL通信の構成

ここでは、WebCenter ContentとOracle HTTP Server間でSSL通信を構成する手順について説明します。

詳細は、『Oracle Fusion Middleware管理者ガイド』のWeb層でのSSLの構成に関する項を参照してください。

Oracle HTTP ServerのSSL通信を構成する手順は、次のとおりです。

1. ssl.confに<Location /cs>ロケーション・ディレクティブを追加します。この場合のportはターゲットの管理対象サーバーのポート番号です。

   <Location /cs>
         WebLogicPort 8002
         SetHandler weblogic-handler
         ErrorPage http://host.example.com:port/error.html
   </Location>
   

2. 第16.2.1項の説明に従ってOracle WebLogic Serverを起動します。

Oracle Client、Oracle HTTP ServerおよびOracle WebLogic Serverの証明書を構成する手順は、次のとおりです。

1. Oracle HTTP Serverウォレットからユーザー証明書をエクスポートします。

   orapki wallet export -wallet . -cert cert.txt  -dn 'CN=\"Self-Signed Certificate for ohs1 \",OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US'
   

2. エクスポートした証明書をOracle WebLogic Serverトラストストアに信頼できる証明書としてインポートします。

   keytool -file cert.txt -importcert -trustcacerts -keystore DemoTrust.jks
   

3. Oracle WebLogic Serverトラストストアから証明書をエクスポートします。

   keytool -keystore DemoTrust.jks -exportcert -alias wlscertgencab -rfc -file
   certgencab.crt
   

4. エクスポートした証明書をOracle HTTP Serverウォレットに信頼できる証明書としてインポートします。

   orapki wallet add -wallet . -trusted_cert -cert certgencab.crt -auto_login_only
   

5. Oracle HTTP Serverを再起動します。

6. 第16.2.1項の説明に従ってOracle WebLogic Serverを再起動します。

16.2.4 WebCenter Contentでの非SSLからSSL構成への切替え

WebCenter Contentで非SSLからSSL構成に切り替えるには、Oracle WebLogic Server管理コンソールで「フロントエンド・ホスト」および「フロントエンドHTTPSポート」フィールドを設定する必要があります。設定しないと、To-Doタスクを作成するときに例外エラーが発生します。

1. Oracle WebLogic Server管理コンソールにログインします。

2. 「環境」セクションで「サーバー」を選択します。

3. 管理対象サーバーの名前(UCM_server1など)を選択します。

4. 「プロトコル」を選択してから、「HTTP」を選択します。

5. 「フロントエンド・ホスト」フィールドで、WebCenter Contentドメインが配置されているホスト名を入力します。

6. 「フロントエンドHTTPSポート」フィールドに、SSLリスナー・ポートを入力します。

7. 「Save」をクリックします。

16.2.5 WebCenter ContentインスタンスとOracle WebCache間のSSLの構成

Oracle WebCacheおよびOracle HTTP Server環境では、「Webサービスのテスト」ページでOracle WebCacheとの通信が必要になる場合があります。したがって、WebCenter ContentインスタンスとOracle WebCache間でSSLを構成する必要があります(つまり、ユーザー証明書をOracle WebCacheウォレットからエクスポートし、その証明書をOracle WebLogic Serverトラストストアに信頼できる証明書としてインポートします)。

『Oracle Fusion Middleware管理者ガイド』のOracle Web CacheエンドポイントでのSSLの有効化に関する項を参照してください。

16.2.6 一方向SSLでのカスタム・トラスト・ストアの使用

keytoolやorapkiなどのツールで作成したカスタム・トラスト・ストアを使用している場合にHTTPSを介してWebCenter Contentを起動するには、Oracle JDeveloperで次の操作を実行します。

1. 参照セクションでWSDLファイルをフェッチするには、「ツール」、「プリファレンス」、「HTTPアナライザ」、「HTTPS設定」、「クライアントの信頼する証明書キーストア」の順でトラスト・ストア情報を設定します。

2. SSL対応サーバーへのデプロイメント時に、コマンドラインでJSSEプロパティを使用します。

   jdev -J-Djavax.net.ssl.trustStore=your_trusted_location
   

16.2.7 非同期プロセスの呼び出しのための非同期プロセスの有効化

SSL対応の管理対象サーバーにデプロイされた非同期プロセスを有効化して、別の非同期プロセスをHTTPで呼び出すには、まず次の環境を作成することを前提とします。

• 非同期BPELプロセスAが非同期BPELプロセスBを呼び出す

• 非同期BPELプロセスAは一方向SSL対応の管理対象サーバーにデプロイされる

• すべてのWSDL参照およびバインディングでプレーンHTTPを使用する

実行時に、WSDLはHTTPSを介して検索され、非同期BPELプロセスBからのコールバック・メッセージが失敗します。

この問題を解決するには、callbackServerURLプロパティをcomposite.xmlファイルの参照バインディング・レベルで渡す必要があります。これは、特定の参照呼出しのコールバックURLの値を示します。クライアント・コンポジットがSSL管理対象サーバーで実行されている場合、コールバックはデフォルトでSSLになります。

<reference name="Service1" ui:wsdlLocation="http://localhost:8000/soa-infra/services/default/
                AsyncSecondBPELMTOM/BPELProcess1.wsdl"> 
    <interface.wsdl interface="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1# 
                wsdl.interface(BPELProcess1)" callbackInterface="http://xmlns.example.com/Async/ 
                AsyncSecondBPELMTOM/BPELProcess1#wsdl.interface(BPELProcess1Callback)"/> 
    <binding.ws port="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1#
                wsdl.endpoint(bpelprocess1_client_ep/BPELProcess1_pt)" 
        location="http://localhost:8000/soa-infra/services/default/AsyncSecondBPELMTOM 
                /bpelprocess1_client_ep?WSDL"> 
            <wsp:PolicyReference URI="oracle/wss_username_token_client_policy" 
                orawsp:category="security" orawsp:status="enabled"/>
            <wsp:PolicyReference URI="oracle/wsaddr_policy"  orawsp:category="addressing"
                orawsp:status="enabled"/> 
            <property name="callbackServerURL">http://localhost:8000/</property> 
    </binding.ws> 
    <callback> 
            <binding.ws port="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1#
                wsdl.endpoint(bpelprocess1_client_ep/BPELProcess1Callback_pt)"> 
              <wsp:PolicyReference URI="oracle/wss_username_token_service_policy"
                  orawsp:category="security" orawsp:status="enabled"/> 
            </binding.ws> 
    </callback> 
</reference> 

16.2.8 有効な証明書パスのためのRIDC SSLの構成

Remote Intradoc Client (RIDC)および自己署名証明書を使用するには、証明書をローカルのJVM証明書ストアにインポートして証明書が信頼されるようにする必要があります。

1. コンテンツ・サーバー・インスタンスからキーを取得します。次に例を示します。

   openssl s_client -connect host.example.com:7045 2>/dev/null
   
   CONNECTED(00000003)
   ---
   Certificate chain
     
    0 s:/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING ONLY/CN=hostname 
   i:/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING ONLY/CN=CertGenCAB
   ---
   Server certificate
   -----BEGIN CERTIFICATE-----
   MIIB6zCCAZUCEItVMwHDFXAnYG//RoVbXQgwDQYJKoZIhvcNAQEEBQAweTELMAkG
   A1UEBhMCVVMxEDAOBgNVBAgTB015U3RhdGUxDzANBgNVBAcTBk15VG93bjEXMBUG
   A1UEChMOTXlPcmdhbml6YXRpb24xGTAXBgNVBAsTEEZPUiBURVNUSU5HIE9OTFkx
   EzARBgNVBAMTCkNlcnRHZW5DQUIwHhcNMDkwMzI5MjM0NDM0WhcNMjQwMzMwMjM0
   NDM0WjB5MQswCQYDVQQGEwJVUzEQMA4GA1UECBYHTXlTdGF0ZTEPMA0GA1UEBxYG
   TXlUb3duMRcwFQYDVQQKFg5NeU9yZ2FuaXphdGlvbjEZMBcGA1UECxYQRk9SIFRF
   U1RJTkcgT05MWTETMBEGA1UEAxYKZGFkdm1jMDAyMjBcMA0GCSqGSIb3DQEBAQUA
   A0sAMEgCQQCmxv+h8kzOc2xyjMCdPM6By5LY0Vlp4vzWFKmPgEytp6Wd87sG+YDB
   PeFOz210XXGMx6F/14/yFlpCplmazWkDAgMBAAEwDQYJKoZIhvcNAQEEBQADQQBn
   uF/s6EqCT38Aw7h/406uPhNh6LUF7XH7QzmRv3J1sCxqRnA/fK3JCXElshVlPk8G
   hwE4G1zxpr/JZu6+jLrW
   -----END CERTIFICATE-----
   subject=/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING
   ONLY/CN=host
   issuer=/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING
   ONLY/CN=CertGenCAB
   ---
   No client certificate CA names sent
   ---
   SSL handshake has read 625 bytes and written 236 bytes
   ---
   New, TLSv1/SSLv3, Cipher is RC4-MD5
   Server public key is 512 bit
   Compression: NONE
   Expansion: NONE
   SSL-Session:
      Protocol  : TLSv1
      Cipher    : RC4-MD5
      Session-ID: 23E20BCAA4BC780CE20DE198CE2DFEE4
      Session-ID-ctx:
      Master-Key:
   4C6F8E9B9566C2BAF49A4FD91BE90DC51F1E43A238B03EE9B700741AC7F4B41C72D2990648DE103
   BB73B3074888E1D91
      Key-Arg   : None
      Start Time: 1238539378
      Timeout   : 300 (sec)
      Verify return code: 21 (unable to verify the first certificate)
   ---
   

2. -----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----行で囲まれたサーバー証明書をコピーして貼り付けます。証明書を新しいファイルに保存します。次に例を示します。

   /tmp/host.pem:
   
   -----BEGIN CERTIFICATE-----
   MIIB6zCCAZUCEItVMwHDFXAnYG//RoVbXQgwDQYJKoZIhvcNAQEEBQAweTELMAkG
   A1UEBhMCVVMxEDAOBgNVBAgTB015U3RhdGUxDzANBgNVBAcTBk15VG93bjEXMBUG
   A1UEChMOTXlPcmdhbml6YXRpb24xGTAXBgNVBAsTEEZPUiBURVNUSU5HIE9OTFkx
   EzARBgNVBAMTCkNlcnRHZW5DQUIwHhcNMDkwMzI5MjM0NDM0WhcNMjQwMzMwMjM0
   NDM0WjB5MQswCQYDVQQGEwJVUzEQMA4GA1UECBYHTXlTdGF0ZTEPMA0GA1UEBxYG
   TXlUb3duMRcwFQYDVQQKFg5NeU9yZ2FuaXphdGlvbjEZMBcGA1UECxYQRk9SIFRF
   U1RJTkcgT05MWTETMBEGA1UEAxYKZGFkdm1jMDAyMjBcMA0GCSqGSIb3DQEBAQUA
   A0sAMEgCQQCmxv+h8kzOc2xyjMCdPM6By5LY0Vlp4vzWFKmPgEytp6Wd87sG+YDB
   PeFOz210XXGMx6F/14/yFlpCplmazWkDAgMBAAEwDQYJKoZIhvcNAQEEBQADQQBn
   uF/s6EqCT38Aw7h/406uPhNh6LUF7XH7QzmRv3J1sCxqRnA/fK3JCXElshVlPk8G
   hwE4G1zxpr/JZu6+jLrW
   -----END CERTIFICATE-----
   

3. 証明書をローカルのJVM証明書ストアにインポートします。キーストア・パスワードが必要になります。例を次に示します(パスワードはchangeitです)。

   sudo /opt/java/jdk1.6.0_12/bin/keytool -import -alias host -keystore 
   /opt/java/jdk1.6.0_12/jre/lib/security/cacerts -trustcacerts -file 
   /tmp/host.pem
   
   Enter keystore password: changeit 
   Owner: CN=host, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown,
   ST=MyState, C=US
   Issuer: CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown,
   ST=MyState, C=US
   Serial number: -74aaccfe3cea8fd89f9000b97aa4a2f8
   Valid from: Sun Mar 29 16:44:34 PDT 2009 until: Sat Mar 30 16:44:34 PDT 2024
   Certificate fingerprints:
       MD5:  94:F9:D2:45:7F:0D:E3:87:CF:2B:32:7C:BF:97:FF:50
       SHA1: A8:A5:89:8B:48:9B:98:34:70:56:11:01:5C:14:32:AC:CB:18:FF:1F
       Signature algorithm name: MD5withRSA
       Version: 1
   Trust this certificate? [no]:  yes
   Certificate was added to keystore
   

16.3 シングル・サインオン用のWebCenter Contentの構成

Oracle WebCenter Content向けの次のシングル・サインオン(SSO)ソリューションのいずれかを構成できます。

• Oracle Access Manager 11g

• Oracle Access Manager 10g

• Oracleシングル・サインオン(OSSO)

• Windowsネイティブ認証(WNA)

Oracle Access Manager (OAM)は、WebCenter Contentを含むOracle Fusion Middlewareエンタープライズ・クラスのインストールに推奨するシングル・サインオン(SSO)ソリューションです。OAMは、ID管理およびセキュリティに使用するエンタープライズ・クラス製品のOracleスイートの一部です。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のデプロイメントに最適なSSOソリューションの選択に関する項を参照してください。

エンタープライズ・クラスのインストールが、Microsoftドメイン・コントローラを使用してActive Directory内のユーザー・アカウントを認証するMicrosoftデスクトップ・ログインを使用する場合、Windows Native Authentication (WNA)のシングル・サインオンの構成はオプションの場合があります。WNAの詳細は、第16.3.6項を参照してください。

Oracle WebLogic Server認証プロバイダの概要は、Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの管理の認証プロバイダの構成に関する項を参照してください。

注意: WebDAV (/dav)は、WebDAVプロトコルごとにBasic認証によって保護されていますが、通常はフォームベースのログインが必要となるSSOによっては保護されていません。WebDAVに対してカスタムSSOソリューションを使用する場合は、カスタム・コンポーネントが必要となります。

構成情報は次の項で説明します。

• 第16.3.1項「WebCenter Contentを使用したOracle Access Manager 11gの構成」

• 第16.3.2項「WebCenter Contentを使用したOracle Access Manager 10gの構成」

• 第16.3.3項「WebCenter Content用のOracle Single Sign-Onの構成」

• 第16.3.4項「最初の認証プロバイダの構成」

• 第16.3.5項「シングル・サインオン用のWebCenter Content URLの構成」

• 第16.3.6項「Windowsのネイティブ認証用のWebCenter Contentおよびシングル・サインオンの構成」

16.3.1 WebCenter Contentを使用したOracle Access Manager 11gの構成

この項では、WebCenter ContentとOracle Access Manager (OAM) 11gの統合方法について説明します。Oracle WebCenter Content: コンテンツ・サーバー(CS)、Oracle WebCenter Content: Records (URM)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。

OAM 11gを構成する前に、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Identity Managementのインストールと構成に関する項で提供されている手順に従って、ソフトウェアをインストールします。

1. 『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOAMエージェントの設定に関する説明で説明しているように、OAM 11g、Oracle HTTP Server (OHS)およびWebゲートを構成します。

   1. mod_wl_ohs.confファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。

      次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。

      
      

      注意: 転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、/cs、/adfAuthentication、/_ocsh、/ibr、/urmなどです。 Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、/mysiteのロケーション・エントリを追加する必要があります。

      
      
      
      

      注意: コンテンツ・サーバーのロケーション/csはカスタマイズできるため、/cs指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/csが変更されると、管理者が構成したロケーションが転送されます。

      
      

      # Content Server
      <Location /cs>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # Content Server authentication
      <Location /adfAuthentication>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # WebCenter online help
      <Location /_ocsh>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # IBR
      <Location /ibr>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # URM
      <Location /urm>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # SS
      <Location /customer-configured-site-studio
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      

   2. OAM 11gリモート登録ツール(oamreg)を使用して、保護およびパブリックにするWebCenter ContentのURIを指定して、OAMエージェントを登録します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 11gでのOAMエージェントのプロビジョニングに関する項を参照してください。

      詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOAMエージェントの設定に関する項を参照してください。

      
      

      注意: 保護およびパブリックにするURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Records (URM)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。 Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、URI /mysiteを指定する必要があります。

      
      

      機能	タイプ	URI
      CS	保護	/adfAuthentication
      CS	パブリック	/cs
      CS	パブリック	/_ocsh
      IBR	保護	/ibr/adfAuthentication
      IBR	パブリック	/ibr
      URM	保護	/urm/adfAuthentication
      URM	パブリック	/urm
      SS	保護	/customer_configured_site_studio

      
      

   3. シングル・サインオン・ログアウトが正常に機能するよう、URL /oamsso/logout.htmlをAccessGateのログアウトURL設定に追加します。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のシングル・サインオン・ログアウトURLおよびAccessGate構成パラメータの構成に関する説明を参照してください。

2. これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 11g SSOソリューションのデプロイに関する項を参照してください。

   1. OAMアイデンティティ・アサータを構成します。OAMアイデンティティ・アサータの制御フラグは、REQUIREDに設定される必要があり、OAM_REMOTE_USERおよびObSSOCookieはアクティブなタイプとして選択される必要があります。

      『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のシングル・サインオン機能用のIDアサーションに関する項、Oracle Access ManagerでのIDアサーション機能の使用に関する項、およびOracle Access Manager 11gでのSSO用IDアサーションの構成に関する項を参照してください。

   2. 認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。

      
      

      注意: WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順番を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、第16.3.4項を参照してください。

      
      

      『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 11gでの認証プロバイダのインストールに関する項およびOracle Access Manager IDアサーションのプロバイダの設定に関する項を参照してください。

      OAM 10gとOAM 11gで認証プロバイダをデプロイするときの違いについての詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 11gとOAM 10gでの認証プロバイダ実装タスクの違いに関する項にある表を参照してください。

   3. OPSS (OAM)シングル・サインオン・プロバイダを構成します。

      『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のADFセキュリティ、OAM SSOおよびOPSS SSOを使用したWebアプリケーション用のOracle WebLogic Serverの構成に関する項を参照してください。

3. OAM 11gのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、可能な場合、グローバル・ログアウトをテストし、その他のすべての関連アプリケーションからログアウトしていることを確認します。

   詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』および『Oracle Fusion Middleware Oracle Access Manager管理者ガイド』のOracle Access Manager 11gの集中管理されたログアウトの構成に関する項を参照してください。

16.3.2 WebCenter Contentを使用したOracle Access Manager 10gの構成

この項では、WebCenter ContentとOracle Access Manager (OAM) 10gの統合方法について説明します。Oracle WebCenterコンテンツ・サーバー(CS)、Oracle WebCenter Content: Records (URM)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。

OAMを構成する前に、ソフトウェアをインストールします。OAM統合の詳細は、Oracle Fusion Middleware WebCenter Contentエンタープライズ・デプロイメント・ガイドを参照し、OAM 10gソフトウェアのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。

1. 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gでのSSOソリューションのデプロイに関する項に従って、OAM 10g、Oracle HTTP Server (OHS)およびWebゲートを構成します。

   1. mod_wl.confファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。次のLocationリストのエントリは、対応するアプリケーションが存在する適切なOracle WebLogic Serverへの受信パスをマップします。

      次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。

      
      

      注意: 転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、/cs、/adfAuthentication、/_ocsh、/ibr、/urmなどです。 Site Studioの場合、転送するURIはお客様が定義します。たとえば、サイトが/mysiteとしてアクセスされる場合、/mysiteのロケーション・エントリを追加する必要があります。

      
      
      
      

      注意: コンテンツ・サーバーのロケーション/csはカスタマイズできるため、/cs指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/csが変更されると、管理者が構成したロケーションが転送されます。

      
      

      # Content Server
      <Location /cs>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # Content Server authentication
      <Location /adfAuthentication>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # WebCenter online help
      <Location /_ocsh>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # IBR
      <Location /ibr>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # URM
      <Location /urm>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # SS
      <Location /customer-configured-for-site-studio>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portname>
      </Location>
      

   2. OAM 10g構成ツール(OAMCfgTool)を使用して、保護するWebCenter Content URIを指定します。

      OAM構成ツールはコマンドライン・ユーティリティで、情報を要求する一連のスクリプトを起動し、OAMで必要なプロファイルとポリシーを設定するために使用します。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAMCfgToolの概要に関する項を参照してください。

      
      

      注意: 保護するURIは、Oracle WebCenter Content (CS)、Inbound Refinery (IBR)、Records (URM)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。 Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、URI /mysiteを指定する必要があります。

      
      

      機能	URI
      CS	/adfAuthentication
      IBR	/ibr/adfAuthentication
      URM	/urm/adfAuthentication
      SS	/customer_configured_site_studio

      
      
      
      

      注意: OAMの構成が完了した後で、WebCenter ContentのURLが正しくリンクしていない場合、サーバー・ホストとサーバーのポート値の変更が必要な場合があります。詳細は、第16.3.5項を参照してください。

      
      

   3. OAMグローバル・ログアウトの設定を完了するには、end_urlが処理されるようWebゲートを構成します。この構成を追加しない場合、ログアウトしても、end_urlが処理されないため、終了URLへのリダイレクトが行われません。構成手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gおよび10g Webゲートのグローバル・ログアウトの構成に関する項を参照してください。

   4. シングル・サインオン・ログアウトが正常に機能するよう、URL /oamsso/logout.htmlをAccessGateのログアウトURL設定に追加します。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のシングル・サインオン・ログアウトURLおよびAccessGate構成パラメータの構成に関する説明を参照してください。

      
      

      注意: WebCenter Contentバージョン11gR1をOAMバージョン10gを使用する環境にデプロイするには、ログアウト・リクエストを適切に処理するための追加の構成が必要です。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gおよび10g Webゲートのグローバル・ログアウトの構成に関する項を参照してください。

      
      

2. 次のタスクを実行して、WebCenter Contentドメインを構成します。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gでのSSOソリューションのデプロイに関する項を参照してください。

   1. OAMアイデンティティ・アサータを構成します。OAMアイデンティティ・アサータの制御フラグをREQUIREDに設定する必要があります。

      『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gでのSSO用のOAM IDアサーションの構成に関する項を参照してください。

   2. 認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがOracle WebCenter Contentドメインに追加される必要があります。

      
      

      注意: WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順番を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、第16.3.4項を参照してください。

      
      

      『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 10gの認証プロバイダのインストールおよび設定に関する項およびOracle Access Manager 10gのオーセンティケータの構成に関する項を参照してください。

      『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOAM 11gとOAM 10gでの認証プロバイダ実装タスクの違いに関する項にある表を参照してください。

   3. OPSS (OAM)シングル・サインオン・プロバイダを構成します。

      『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 10gを使用したシングル・サインオンの構成に関する項を参照してください。

3. OAM 10gのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、可能な場合、グローバル・ログアウトをテストし、その他のすべての関連アプリケーションからログアウトしていることを確認します。

   OAM 10gのグローバル・ログアウトの構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』および『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。

16.3.3 WebCenter Content用のOracle Single Sign-Onの構成

Oracle Single Sign-On (OSSO)は10g Oracle Application Serverスイートの一部です。OSSOは、Oracle Internet DirectoryおよびOracle HTTP Server (OHS) 11gと組み合せたOC4Jアプリケーション・サーバーで使用できるエンタープライズ・レベルのシングル・サインオン・ソリューションです。

既存のOracleデプロイメントにOSSOがエンタープライズ・ソリューションとしてすでにデプロイされている場合、Oracle Fusion Middlewareは、既存のOSSOソリューションを引き続きサポートします。ただし、OAM 11g Single Sign-onソリューションへのアップグレードを検討することをお薦めします。

この項では、WebCenter ContentとOSSOの統合に関する情報について説明します。Oracle WebCenterコンテンツ・サーバー(CS)、Oracle WebCenter Content: Records (URM)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。

『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド(Oracle Fusion Applications Edition)』、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』および『Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド』も参照してください。

OSSOを構成する前に、ソフトウェアがインストールされていることを確認します。OSSOおよびOracle Delegated Administration Serviceは11g リリースの一部ではありません。お客様は、11g Oracle Internet DirectoryおよびOracle Directory Integration Platformと互換性があり、いわゆる10gでのApplication Serverインフラストラクチャを形成する、これらの製品の10.1.4.*バージョンをダウンロードする必要があります。これらの10g製品でのデプロイ手順は、Oracle Identity Managementリリース10.1.4.0.1用のOracle Application Serverエンタープライズ・デプロイメント・ガイド(原本部品番号B28184-02)のJAZN-SSO/DASのインストールおよび構成に関する説明を参照してください。このマニュアルは次のOracle Technology Networkから使用可能です。

http://download.oracle.com/docs/cd/B28196_01/core.1014/b28184/toc.htm

1. OSSOを構成します。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle AS SSO 10gを使用したシングル・サインオンの構成に関する項を参照してください。

   1. WebCenter Content Uniform Resource Identifier (URI)エントリをmod_wl_ohs.confファイルに追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。

      次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。

      
      

      注意: 転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、/cs、/adfAuthentication、/_ocsh、/ibr、/urmなどです。 Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、/mysiteのロケーション・エントリを追加する必要があります。

      
      
      
      

      注意: コンテンツ・サーバーのロケーション/csはカスタマイズできるため、/cs指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/csが変更されると、管理者が構成したロケーションが転送されます。

      
      

      # Content Server
      <Location /cs>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # Content Server authentication
      <Location /adfAuthentication>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # WebCenter online help
      <Location /_ocsh>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # IBR
      <Location /ibr>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # URM
      <Location /urm>
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      
      # SS
      <Location /customer-configured-site-studio
            SetHandler weblogic-handler
            WebLogicHost <hostname>
            WebLogicPort <portnumber>
      </Location>
      

   2. 保護するWebCenter Content Uniform Resource Identifier (URI)を含めるようにmod_osso.confファイル(ORACLE_HOME/ohs/conf/)を変更します。

      
      

      注意: 保護するURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Records (URM)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。 Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、URI /mysiteを指定する必要があります。

      
      

      機能	URI
      CS	/adfAuthentication
      IBR	/ibr/adfAuthentication
      URM	/urm/adfAuthentication
      SS	/customer_configured_site_studio

      
      

2. これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle AS SSO 10gを使用したシングル・サインオンの構成に関する項を参照してください。

   1. WebCenter Content用のOracle WebLogic ServerのOSSOアイデンティティ・アサータを追加および構成します。認証プロバイダとして、OSSOアイデンティティ・アサータ、OIDオーセンティケータ、デフォルト・オーセンティケータを推奨します。

      OIDオーセンティケータ・プロバイダはOracle Internet Directoryサーバー用で、本稼働レベルのシステムで使用されます。デフォルト・オーセンティケータ・プロバイダは、Oracle WebLogic Server組込みLDAPサーバー用です。

      OSSOIdentityAsserterをドメイン用のプライマリ・プロバイダ・オーセンティケータとして設定し、ユーザー・プロファイルが関連Oracle Internet Directoryサーバーから取得できるようにします。必要な場合、リストされているように制御フラグを設定し、プロバイダの順序を変更して次の順序で表示されるようにします。

      OSSOIdentityAsserter (REQUIRED)

      OIDAuthenticator (SUFFICIENT)

      DefaultAuthenticator (SUFFICIENT)

      
      

      注意: WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順番を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、第16.3.4項を参照してください。

      
      

   2. 認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OSSOでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。

注意: OSSOの構成が完了した後で、WebCenter ContentのURLが正しくリンクしていない場合、サーバー・ホストとサーバーのポート値の変更が必要な場合があります。詳細は、第16.3.5項を参照してください。

16.3.4 最初の認証プロバイダの構成

WebCenter Content用のOracle WebLogic Serverドメインが、ユーザー認証(Oracle Internet Directoryまたはその他のLDAPプロバイダなど)用にデフォルトの認証プロバイダ以外の認証プロバイダを使用するように構成されている場合、プライマリ・プロバイダはセキュリティ・レルム構成の最初の認証プロバイダである必要があります。そうでないと、ログイン認証が失敗します。

プライマリ・プロバイダが最初にリストされていない(たとえば、Oracle WebLogic ServerプロバイダであるDefaultAuthenticatorの下にリストされている)場合、WebCenter Contentはユーザーのグループ・メンバーシップを正常にロードできず、その結果、ユーザー権限もロードできません。Oracle WebLogic Server管理コンソールを使用して、構成済み認証プロバイダが呼び出される順番を変更できます。詳細は、Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの管理を参照してください。

注意: Oracle Internet Directoryを使用する場合、すべてのWebCenter Content管理者とその他のユーザーは、Oracle Internet Directoryで定義される必要があります。

注意: コンテンツ・サーバーはコンテンツ・サーバー管理者ロールを、内部Oracle WebLogic Serverユーザー・ストアに定義された管理ユーザーに割り当てます。これはOracle Internet Directoryが使用されているかどうかに関わらず当てはまります。ただし、Oracle Internet DirectoryおよびOracle Internet Directory Authenticationプロバイダが最初にリストされていない場合、コンテンツ・サーバー・インスタンスによるOracle WebLogic Serverが定義した管理ユーザーのロールを取得するリクエストは失敗します。

注意: 11g リリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、Oracle Internet Directory (OID)とActive Directoryの両方をユーザーおよびロール情報のソースとして使用できます。Oracle WebLogic Serverでの複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用した、複数のLDAP用のサービスの構成に関する項を参照してください。

16.3.5 シングル・サインオン用のWebCenter Content URLの構成

Oracleアプリケーションをシングルサインオン(SSO)とともに使用するように構成し、Oracle Access Manager (OAM)またはOracle Single Sign-On (OSSO)を設定した場合、WebCenter Content GET_ENVIRONMENTサービスにより、サーバー名、サーバー・ポート、アプリケーション・サービス・コール(WebCenter Doclibサービスなど)への相対Webルートが提供されます。ただし、GET_ENVIRONMENTにより提供される値は、使用するSSO構成には適切でない場合があります。

OHSサーバー・ホストおよびサーバー・ポートを使用するアプリケーション・サービスをリダイレクトする場合(OAMおよびOSSOソリューションは両方ともOHSを使用するフロント・エンド・アプリケーションが必要なため)、コンテンツ・サーバー・ホストおよびサーバー・ポートの構成値を変更する必要があります。

次の2つのいずれかの方法を使用して、コンテンツ・サーバー・ホストおよびサーバー・ポート値を変更できます。

• Oracle WebLogic Server管理コンソールを使用します。

• スタンドアロンのWebCenter Contentシステム・プロパティ・アプリケーションを使用します。

  1. WebCenter Contentドメイン・ディレクトリに移動します。

  2. ディレクトリをucm/cs/binに変更します。

  3. スタンドアロン・アプリケーションを実行します。./SystemProperties

  4. 「システム・プロパティ」ウィンドウで、「インターネット」タブを選択します。

  5. HTTPサーバー・アドレスをOHS(またはロード・バランサ)サーバー・ホストおよびサーバー・ホスト値に更新します。

  6. 「システム・プロパティ」ウィンドウを閉じます。

  7. Oracle WebLogic Serverドメインを再起動します。

16.3.6 Windowsのネイティブ認証用のWebCenter Contentおよびシングル・サインオンの構成

Windows Native Authentication (WNA)用にWebCenter Contentおよびシングル・サインオン(SSO)を設定するには、Microsoft Active Directory、クライアントおよびOracle WebLogic Serverドメインが必要です。MicrosoftクライアントでのSSOへのシステム要件を含む詳細は、Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの管理のMicrosoftクライアントでのシングル・サインオンの構成に関する項に記載されています。

MicrosoftクライアントでのSSOの構成の一部として、外部Microsoft Active DirectoryにアクセスするようにLDAP認証プロバイダを指定する必要があります。Oracle WebLogic Serverでは、Active Directory認証プロバイダを提供します。Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの管理のLDAP認証プロバイダの構成に関する項を参照してください。

注意: WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順番を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、第16.3.4項を参照してください。

MicrosoftクライアントでのSSOの構成の一部として、Oracle WebLogic Serverセキュリティ・レルムにネゴシエートIDアサーション・プロバイダを構成する必要があります。IDアサーション・プロバイダは、Simple and Protected Negotiate (SPNEGO)トークンをデコードしてKerberosトークンを取得し、このKerberosトークンを検証してWebLogicユーザーにマップします。Oracle WebLogic Server管理コンソールを使用して、ドメイン構造内の適切なセキュリティ・レルムに新しいプロバイダを追加し、名前を付けて、そのタイプとしてNegotiateIdentityAsserterを選択します。変更をアクティブ化して、Oracle WebLogic Serverを再起動します。サーバーはKerberosチケットを使用できるようになり、それはブラウザから受信します。

関連デプロイ・プランを使用して、Windows Native Authentication (Kerberos)環境で使用される各WebCenter Contentアプリケーション(コンテンツ・サーバー、Inbound Refinery、Records)を再デプロイする必要があります。デプロイ・プランはXMLドキュメントです。Oracleでは、3つのWebCenter Contentアプリケーションのそれぞれに対して、cs-deployment-plan.xml、ibr-deployment-plan.xml、urm-deployment-plan.xmlというプランを提供します。Oracle WebLogic Scripting Toolを使用してデプロイ・プランを実装することもできます。

1. Oracle WebLogic Server管理コンソールにログインします。

2. 「ドメイン構造」ナビゲーション・ツリーで、「デプロイメント」をクリックします。

3. 「制御」タブで、変更するWebCenter Contentデプロイメントが表示されるまで「次へ」をクリックします。

   • Oracle WebCenter Contentサーバー

   • Oracle WebCenter Content: Inbound Refinery

   • Oracle WebCenter Content: Records

4. 変更するデプロイメントの左のチェック・ボックスを選択します。

5. 「更新」をクリックします。

6. デプロイ・プラン・パスの下で「パスの変更」を選択します。

7. 適切なプラン・ファイルに移動して選択します。

   • cs-deployment-plan.xml (Content Server用)

   • ibr-deployment-plan.xml (Inbound Refinery用)

   • urm-deployment-plan.xml (Records用)

8. 「このアプリケーションを次のデプロイメント・ファイルを使用して再デプロイします。」が選択されていることを確認します。

9. 「次へ」をクリックします。

10. 「終了」をクリックします。

11. MicrosoftクライアントでのSSOが適切に構成されていることを確認するには、使用するMicrosoft WebアプリケーションまたはWebサービスへのブラウザをポイントします。Windowsドメインにログインし、ドメインのActive Directoryサーバーから取得したKerberos資格証明がある場合、ユーザー名またはパスワードを指定せずにWebアプリケーションまたはWebサービスにアクセスできるはずです。

cs-deployment-plan.xml

提供されたcs-deployment-plan.xmlファイルを使用するか、または.xmlファイルを作成してそれにcs-deployment-plan.xmlという名前を付けます。

<?xml version='1.0' encoding='UTF-8'?>
<deployment-plan
    xmlns="http://xmlns.oracle.com/weblogic/deployment-plan"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"
    global-variables="false">
  <application-name>cs.ear</application-name>
  <variable-definition>
   <variable>
      <name>http-only</name>
      <value>false</value>
    </variable>
  </variable-definition>
  <module-override>
    <module-name>cs.war</module-name>
    <module-type>war</module-type>
    <module-descriptor external="false">
      <root-element>weblogic-web-app</root-element>
      <uri>WEB-INF/weblogic.xml</uri>
      <variable-assignment>
        <name>http-only</name>
        <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath>
      </variable-assignment>
    </module-descriptor>
  </module-override>
</deployment-plan>

ibr-deployment-plan.xml

提供されたibr-deployment-plan.xmlファイルを使用するか、または.xmlファイルを作成してそれにibr-deployment-plan.xmlという名前を付けます。

<?xml version='1.0' encoding='UTF-8'?>
<deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation= "http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd" global-variables="false">
  <application-name>ibr.ear</application-name>
  <variable-definition>
   <variable>
      <name>http-only</name>
      <value>false</value>
    </variable>
  </variable-definition>
  <module-override>
    <module-name>ibr.war</module-name>
    <module-type>war</module-type>
    <module-descriptor external="false">
      <root-element>weblogic-web-app</root-element>
      <uri>WEB-INF/weblogic.xml</uri>
      <variable-assignment>
        <name>http-only</name>
        <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath>
      </variable-assignment>
    </module-descriptor>
  </module-override>
</deployment-plan>

urm-deployment-plan.xml

提供されたurm-deployment-plan.xmlファイルを使用するか、または.xmlファイルを作成してそれにurm-deployment-plan.xmlという名前を付けます。

<?xml version='1.0' encoding='UTF-8'?>
<deployment-plan 
    xmlns="http://xmlns.oracle.com/weblogic/deployment-plan"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd" 
    global-variables="false">
  <application-name>urm.ear</application-name>
  <variable-definition>
   <variable>
      <name>http-only</name>
      <value>false</value>
    </variable>
  </variable-definition>
  <module-override>
    <module-name>urm.war</module-name>
    <module-type>war</module-type>
    <module-descriptor external="false">
      <root-element>weblogic-web-app</root-element>
      <uri>WEB-INF/weblogic.xml</uri>
      <variable-assignment>
        <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath>
      </variable-assignment>
    </module-descriptor>
  </module-override>
</deployment-plan>

16.4 Oracle Infrastructure Webサービスの構成

Oracle Infrastructure Webサービスでは、ポリシー・セットを作成してグローバル・スコープのサブジェクト(ドメイン、サーバー、アプリケーションまたはSOAコンポジット)にアタッチする機能が提供されています。Oracle Infrastructure WebサービスはWeb Services for Java EE 1.2仕様に従って実装されます(この仕様は、JavaでWebサービスを実装するための標準のJava EEランタイム・アーキテクチャを定義したものです)。この仕様には、標準Java EE Webサービス・パッケージング形式、デプロイメント・モデルおよびランタイム・サービスも記述されており、Oracle Infrastructure Webサービスにはこれらがすべて実装されています。

WebサービスへのOWSMセキュリティの適用の詳細は、Oracle Fusion Middleware Webサービスのためのセキュリティおよび管理者ガイドのWebサービスへのポリシーのアタッチに関する項を参照してください。

IBM WebSphereでサポートされているOracle Infrastructure Webサービスの動作の違いや制限事項は、サード・パーティ・アプリケーション・サーバー・ガイドのIBM WebSphereでのWebサービスの管理に関する項を参照してください。