| Oracle® Fusion Middleware WebCenter Sites: サポート・ソフトウェアのインストールと構成 11g リリース1 (11.1.1.8.0) E49673-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware WebCenter Sites: サポート・ソフトウェアのインストールと構成 11g リリース1 (11.1.1.8.0) E49673-02 |
|
前 |
次 |
この章を使用して、Oracle Access Manager (OAM)とOracle WebCenter Sitesインストールを統合できます。
この章の内容は、次のとおりです。
この項の内容は、次のとおりです。
Oracle Access Managerとの統合には、WebCenter Sitesアプリケーションのシングル・サインオン(SSO)の認証プラグイン・クラスの置換と、RESTクライアント・アプリケーションのトークン認可サーブレットの追加が必要です。オプションで、WebCenter Sitesのチャレンジ(ログイン)ページをデプロイできます。
|
注意: コンテンツ管理(開発)モードで実行しているWebCenter Sitesシステムと統合する場合、ブラウザおよびREST認証にOracle Access Managerが使用されます。(配信モードで実行している)本番システムでは、管理認証にOAMが使用されますが、Webサイトの訪問者には使用されません。 |
各コンポーネントについて、次で詳しく説明します。
SSO認証プラグイン・クラスは、WebCenter Sitesに同梱されるwem-sso-api-oam-11.1.1.8.0.jarで配信されます。このJARには、WebCenter Sitesアプリケーションの起動時にロードするよう構成されている3つの主要なクラスが含まれています。
OAMFilterは、保護されたリソースへのアクセスを許可する前に、(WebLogic Server (WLS)の境界セキュリティまたはREST資格証明トークンのいずれかにより)認証ユーザーを認識します。
OAMProviderには、WebCenter Sitesアプリケーションからのリソースをリクエストする前に、認証済の資格証明を取得するためのRESTクライアント・プログラムで使用されるJAVA APIが含まれています。さらに、OAMFilterがREST資格証明を認証するために内部的に使用されるメソッドも含まれています。
OAMListenerは、セッション関連のキャッシュ済情報のクリーンアップを促進するために、HTTPセッションの作成および終了を監視するセッション・フィルタです。
トークン認可サーブレットは、oamtoken.warファイルで配信されます。これは、OAMサーバーに対してユーザーを認証するか、またはリクエスト時にセッションが有効であることを確認するOAMアクセス・ゲートです。
WebCenter Sitesのチャレンジ・ページはオプションで、oamlogin.warファイルで配信されます。oamlogin.war内のサーブレットでは、OAMがユーザー認証のために資格証明を取得する必要がある場合に、カスタム・ブランドのチャレンジ・リクエストを使用できます。これは、Central Authentication Service (CAS)とともにインストールされたWebCenter Sitesの標準ブランドのログイン・ページを置換する機能を提供します。このページはOAMから直接コールされ、WebCenter Sitesのリソース保護のために使用されるOAM認証スキーム内で明確に構成されている必要があります。
実行中のOAMのWebCenter Sitesへの統合を完了するには、これらのコンポーネントがインストールされており、Oracle Access Managerの構成が行われている必要があります。
統合されたOAMの多くは、OAM自身のエレメントの構成を考慮します。OAMは、主にOAM管理コンソール内で構成されます。また、様々なWebCenter Sitesサーバーの構成ファイルおよびOracle HTTP Server (OHS)の構成ファイルを介しても構成されます。適切な操作を行うためには、ホスト識別子、URLリソース、ドメイン・ポリシーおよびOAMエージェントが適切に構成されている必要があります。WebCenter Sitesのチャレンジ画面は、独立したHTTPサーブレットとして提供されます。WebCenter Sitesのチャレンジ画面、デフォルトのOAMチャレンジ画面、または構成済ポリシーに添付された認証スキームを介したカスタムのチャレンジ画面から選択して使用できます。OAM管理コンソールからの認証および認可のためのすべてのポリシーの制御では、詳細な構成機能が提供されます。
OAM統合コンポーネントとWebCenter Sitesのログインおよびログアウトのプロセス・フローを、図23-1に示します。コア統合は、OAMFilterクラスおよびOAMProviderクラスを解決します。これらのクラスは、OAMで不要なCASの等価を置換するSpringの初期化により、WebCenter Sites Webアプリケーションに実装されます。この統合の反映において、WebCenter Sitesアプリケーション内部への変更はありません。
すべてのブラウザ・アクセスは、標準OHS Webゲートを介して送られ、WLSコンテナにより提供される境界セキュリティを使用します。Webゲートは、リバース・プロキシとして機能し、Access Managerを介して保護ポリシーを確認します。必要に応じて、チャレンジ/ログイン・フォームを発行します。リクエストはWLSコンテナには直接渡されず、認証および認可条件が満たされていることを確認するために、常にWebゲートを通過します。有効なリクエストをWebゲートから受信すると、WLSコンテナはOAMフィルタにIDアサーションを提示します。このアサーションは、認証済ユーザーを識別して、WebCenter SitesのSystemUsers表からそのユーザーの情報をフェッチします。ユーザー情報は、WebCenter Sitesアプリケーション内を参照するための適切な内部アサーションを準備するために必要なユーザーID、名前およびACLから構成されます。認証が正しく動作するためには、WebCenter SitesのSystemUsers表とOracle Internet Directory(またはLDAPディレクトリ)にあるユーザー名が完全に一致している必要があります。OAMには、認証および認可保護も含まれていますが、WebCenter SitesはOAM認証のみを使用し、完全なOAM認可には依存していません。
OAMFilterが制御を受信すると、そのリクエストはWebゲートおよびWLS境界セキュリティが作成したOAMアイデンティティ・アサーションで認証済になっています。このアサーションは、WebCenter SitesのSystemUsers表でユーザー情報を見つけるために使用される、認証済ユーザーの名前を提供します。これにより取得される情報は、WebCenter Sitesアプリケーション内で使用される内部アサーションの作成に使用されます。
OAMアイデンティティ・アサーションが内部アサーションに変換されると、内部アサーションがHTTPセッション・オブジェクトに追加されます。これにより、アプリケーション・セッションの存続期間におけるその後のリクエストで、URL (リソース)に直接アクセスできるようになります。ただし、Webゲートは有効なOAMセキュリティ・ポリシーに基づいて、保護をオーバーライドします。OAMユーザー・セッション(HTTPセッションとは異なる)が期限切れになると、ユーザーの再認証が必要になります。
OAMアイデンティティ・アサーションの作成は、デフォルトで必須になっています。ただし、OAMアイデンティティ・アサーションがパフォーマンス・ペナルティを引き起こす可能性があります。OAMFilterでは、デフォルトで、インターネットからWebCenter Sitesへの直接のブラウザ・アクセスに対してOAMアサーションが対応できるようになっています。この要件は、簡単な構成の変更とWebLogic ServerおよびOHS Webゲート間に信頼関係を確立することで回避できます。この信頼関係は、信頼できるソース(OHSサーバー)からのリクエストのみを承諾するWebLogicに接続フィルタを定義することで作成されます。
Webゲートは、SSOを制御するOAM Cookieを管理します。これは、WebCenter SitesのOAMフィルタに対して透過的であり、その他のOracleアプリケーションとのシームレスな統合を提供します。
WebCenter Sitesのログオフがリクエストされると、標準のOAMログオフ機能がend_URLパラメータを含むOAMログオフURLにより起動されます。end_URLパラメータは、OAMがすべてのログオフ・アクティビティを終了した後に続いて表示されるページを確立します。OAMはSSO Cookieを削除し、OAMセッションを終了して登録済のログアウト成功URLをコールします。OAMフィルタはログアウト成功URLを識別してHTTPセッションを無効にします。OAMログアウトのすべての動作が完了すると、end_URLパラメータで指定されたWebCenter SitesのようこそURLにブラウザがリダイレクトされます。ユーザーは新たにログイン資格証明を求められます。ログアウトURLの設定はOHS Webゲートの構成で定義され、end_URLはSSOConfig.xmlファイルで定義されます。
RESTプロセスのフローは若干異なります。これも、図23-1に示します。RESTクライアントはOAMプロバイダのAPIを使用してトークン認証局からサービス・チケットを取得します。このチケットは、RESTリクエストでWebCenter Sitesサーバーのリソースにアクセス権を付与するためのパラメータとして必要です。TokenAuthorityは、OAMアクセス・ゲートとして機能します。RESTのエンドポイントURLに対して定義されたポリシーに対して、ユーザーを認証します。適切なユーザー名とパスワードが認証を通過すると、リソースのリクエスト時に使用されるサービス・チケットがRESTクライアントに発行されます。TokenAuthorityはHTTPサーブレットです。SSLを介して保護することをお薦めします。TokenAuthorityは、次の3つのサービスを実行します。
リクエスト: ユーザー名とパスワードの組合せおよび(リソースとしての)エンドポイントURLを取得し、OAM SDKを介して認証を行います。リクエストに対する結果は、OAMのUserSessionです。関連するセッション・トークンは、UserSessionから抽出され、UUIDでキー指定されたキャッシュに保持されます。UUIDは、OAMセッションに関連付けられたサービス・リクエスト・チケットとして使用するために要求者に戻されます。
検証: リクエスト・チケットが与えられると、関連するセッション・トークンがキャッシュから取得され、認証済ユーザーの名前が戻されます。OAMのUserSessionが有効であるかどうかが確認されます。セッションが有効ではなくなっている場合や、チケットに関連付けられたユーザーがもうログインしていないことを示している場合は、403 not authorizedのステータスが返されます。
無効化: リクエスト・チケットが与えられると、関連するセッション・トークンがキャッシュから取得され、削除され、即座に終了するOAMのUserSessionオブジェクトに変換されます。これにより、リクエスト・チケットが使用された後にOAMセッションが無効になります。
OAMフィルタがRESTリクエストを受信するときは、常にリクエスト・チケットを提供するパラメータが必要です。このチケットは、リソースへのアクセス権が付与される前にOAMプロバイダを介して検証されます(SSOプロバイダがトークン認証局をコールします)。通常のチケット・リクエストは1回のみで、最大存続期間はOAMセッション・タイムアウトにより指定されます。有効なチケットでは、OAMユーザー・セッションは即座に無効化され、リソースへのアクセスは1回のみ許可されます。複数チケットは同様の方法で処理されますが、チケットはローカルにキャッシュされるため、RESTクライアントにより限られた期間において再利用できます。
発行済REST APIはそのまま維持されます。RESTクライアントのプログラミングはこの統合による影響を受けず、CASプロバイダでの動作と同じように正確に動作します。内部的には、APIは使用されている認証プロバイダに基づいて必要なクラスを動的にインスタンス化します。リモートRESTクライアント・プログラムはJAVAで記述され、コンパイルと実行にはwem-sso-api-oam-11.1.1.8.0.jarが必要です。
図23-1に示すように、RESTクライアントはWebCenter Sitesサーバーに直接移動します。クライアントは、2つのエンドポイントから選択できます。図に示すようにWebCenter Sitesアプリケーションに直接移動するか、OHS Webゲートを通過させます。エンドポイントが使用できるよう、後者に対してポリシーが定義されます。どのエンドポイントを使用するかは、パフォーマンスおよびセキュリティの懸念事項に基づいて選択します。
OAMコンポーネントのインストール
Oracle Access Managerの統合を設定する前に、環境をサポートするために必要なOracleコンポーネントが適切にインストールされ、動作している必要があります。OAMがインストールされていてOracle WebCenter Sites動作保証マトリックスおよびこのドキュメントで指定したサポート・レベルで実行中の場合は、この項をスキップして、第23.3項「OAMとOracle WebCenter Sitesの統合」に進みます。それ以外の場合は、次の手順を続行します。
|
注意: インストールされるOAMのバージョンに対応する、次のシステム・コンポーネント・リストを選択します。提供される順番にシステム・コンポーネントをインストールします。リストされている手順は、包括的な手順ではないため、ガイドラインに従って処理する必要があります。 適切なバージョンが使用されていることを確認してください。各パッケージのOracleインストーラでは、関連コンポーネントの特定バージョンがシステムにインストールされる必要があります。バージョン要件が満たされていない場合、インストーラでは特定のインストールが続行されません。リストされている各パッケージには、追加のドキュメントへのリンクが1つ以上含まれています。 リストされているすべてのコンポーネントは、Oracle Software Delivery Cloudのサイトからダウンロードできます。 |
OAM 11.1.1.5.0コンポーネント
Oracle Database 11.2.0
Oracle Fusion Middlewareリポジトリ作成ユーティリティ11.1.1.5.0
Oracle WebLogic Server 10.3.5汎用およびCoherence
Oracle Identity and Access Management 11.1.1.5.0
第23.2.4項「Oracle Identity ManagementおよびAccess Management」を参照。
Oracle Fusion Middleware Web Tierユーティリティ11.1.1.2.0
Oracle Fusion Middleware Web Tierユーティリティ・パッチ・セット11.1.1.5.0
Oracle Access Manager OHS Webゲート11.1.1.5.0
OAM 11.1.1.7.0コンポーネント
Oracle Database 11.2.0
Oracle Fusion Middlewareリポジトリ作成ユーティリティ11.1.1.7.0
Oracle WebLogic Server 10.3.6汎用およびCoherence
Oracle Identity and Access Management 11.1.1.7.0
第23.2.4項「Oracle Identity ManagementおよびAccess Management」を参照。
Oracle Fusion Middleware Web Tierユーティリティ11.1.1.7.0
Oracle Access Manager OHS Webゲート11.1.1.7.0
OAM 11.1.2.1.0コンポーネント
Oracle Database 11.2.0
Oracle Fusion Middlewareリポジトリ作成ユーティリティ11.1.2.1.0
Oracle WebLogic Server 10.3.6汎用およびCoherence
Oracle Identity and Access Management 11.1.2.1.0
第23.2.4項「Oracle Identity ManagementおよびAccess Management」を参照。
Oracle Fusion Middleware Web Tierユーティリティ11.1.1.6.0
Oracle Access Manager OHS Webゲート11.1.2.1.0
Oracle Database 11gリリース11.2.0をインストールします。
http://docs.oracle.com/cd/E11882_01/install.112/e24321/toc.htm
Oracle 11gデータベースを作成および構成します。特定の手順は、第1章「Oracle 11gデータベースの作成および構成」を参照してください。
sqlplusで次のコマンドを実行して、新しく作成されたデータベースで許可される最大プロセス数とオープン・カーソル数を増やし、データベースを再起動します。
alter system set processes=500 scope=spfile; alter system set open_cursors=800 scope=both;
リポジトリ作成ユーティリティを使用して、スキーマを作成します。
http://docs.oracle.com/cd/E28280_01/doc.1111/e14259/rcu.htm#CHDHHDHE
「コンポーネントの選択」画面で、「アイデンティティ管理」を展開して「Oracle Access Manager」を選択します。
すべてのコンポーネントを選択します。
WebLogic Serverをインストールします。
10.3.5
http://docs.oracle.com/cd/E21764_01/doc.1111/e14142/guimode.htm#BABHJJEG
10.3.6
http://docs.oracle.com/cd/E28280_01/doc.1111/e14142/guimode.htm#BABHJJEG
Oracle Identity ManagementおよびAccess Managementをインストールします。
ドメインを作成します。
<IAM_HOME>/common/bin/config.shを実行します。
たとえば、次のように指定します。
/u01/software/Apps/OraMiddleware/Oracle_IDM1/common/bin/config.sh
「新規WebLogicドメインの作成」を選択します。
リリースに応じて次の製品を選択します。
OAM 11.1.1.5.0:
WebLogic Serverの基本ドメイン - 10.3.4.0 [wlserver_10.3]*
Oracle Enterprise Manager – 11.1.1.0 [oracle_common]
Oracle Access Manager with Database Policy Store – 11.1.1.3.0 [Oracle_IDM2]
Oracle JRF – 11.1.1.0 [oracle_common]
OAM 11.1.1.7.0:
WebLogic Serverの基本ドメイン - 10.3.6.0 [wlserver_10.3]*
Oracle Identity Manager – 11.1.1.2.0 [Oracle_IDM1]
Oracle SOA Suite – 11.1.1.0 [Oracle_SOA1]
Oracle Enterprise Manager – 11.1.1.0 [oracle_common]
Oracle Access Manager with Database Policy Store – 11.1.1.3.0 [Oracle_IDM2]
OAM 11.1.2.1.0:
WebLogic Serverの基本ドメイン - 10.3.6.0 [wlserver_10.3]*
Oracle Identity Manager – 11.1.2.0.0 [Oracle_IDM1]
Oracle SOA Suite – 11.1.1.0 [Oracle_SOA1]
Oracle Access Management – 11.1.2.0.0 [Oracle_IDM1]
Oracle Enterprise Manager – 11.1.1.0 [oracle_common]
JDBCコンポーネント・スキーマを構成します。
すべてのコンポーネント・スキーマを選択します。
第23.2.1項「Oracle Database 11gリリース11.2.0」で作成したデータベースの情報を入力します。
スキーマのパスワードを入力します。
オプション構成:
AdminServerのポートを構成するには、「管理サーバー」を選択します。
管理対象サーバーのポートを変更してそれらをノード・マネージャに追加するには、「管理対象サーバー」、「クラスタ」および「マシン」を選択します。
データベース・セキュリティ・ストアを構成します(11.1.2.1.0のみ)。
次のコマンドを実行します。
<MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <DOMAIN_HOME> -m create -c IAM -p <OPSS_SCHEMA_PASSWORD> -u <OPSS_SCHEMA_NAME>
たとえば、次のように指定します。
/u01/software/Apps/OraMiddleware/oracle_common/common/bin/wlst.sh /u01/software/Apps/OraMiddleware/Oracle_IDM1/common/tools/configureSecurityStore.py -d /u01/software/Apps/OraMiddleware/user_projects/domains/OAMDomain -m create -c IAM -p test1234 -u DEV_IAS_OPSS
管理サーバーおよびOAM管理対象サーバーを起動します。
次のコマンドを実行して、管理サーバーを起動します。
<DOMAIN_HOME>/bin/startWebLogic.sh
たとえば、次のように指定します。
/u01/software/Apps/OraMiddleware/user_projects/domains/OAMDomain/bin/startWebLogic.sh
次のコマンドを実行してOAM管理対象サーバーを起動します。
<DOMAIN_HOME/bin/startManagedWebLogic.sh oam_server1 http://<ADMIN_HOST>:<ADMIN_PORT>
たとえば、次のように指定します。
/u01/software/Apps/OraMiddleware/user_projects/domains/OAMDomain/bin/startManagedWebLogic.sh oam_server1 http://localhost:7001
Oracle Fusion Middleware Web Tierユーティリティをインストールします。
11.1.1.2.0 (パッチ・セットもインストールされる): http://docs.oracle.com/cd/E21764_01/doc.1111/e14260/install.htm#CHDHCJEC
11.1.1.7.0: http://docs.oracle.com/cd/E28280_01/install.1111/e14260/config.htm#WTINS313
11.1.1.6.0: http://docs.oracle.com/cd/E23943_01/doc.1111/e14260/config.htm#CEGHFCGJ
「ソフトウェアのインストール - 構成なし」を選択します。
Oracle Fusion Middleware Web Tierユーティリティ・パッチ・セット(11.1.1.5.0のみ)をインストールします。
http://docs.oracle.com/cd/E14571_01/doc.1111/e16793/patch_set_installer.htm#CBHFDHJC
Oracle Fusion Middleware Web Tierユーティリティを構成します。
|
注意: OAMと統合される各Sites環境(たとえば、管理、配信およびその他)に対して、次の手順を繰り返します。 |
<WEB_TIER_HOME>/bin/config.shを実行します。
たとえば、次のように指定します。
u01/software/Apps/OraMiddleware/Oracle_WT1/bin/config.sh
「コンポーネントの構成」画面で「Oracle HTTP Server」→「選択されたコンポーネントとWebLogicドメインの関連付け」を選択します。
「WebLogicドメインの指定」画面で、第23.2.4項「Oracle Identity ManagementおよびAccess Management」の手順2で作成したドメインを選択します。
Oracle Access Manager OHS Webゲートをインストールします。
インストール後の手順を実行します。
パラメータの値の例:
<WEBGATE_HOME>
例:
/u01/software/Apps/OraMiddleware/Oracle_OAMWebGate1
<WEBGATE_INSTANCE_DIR>
例:
/u01/software/Apps/OraMiddleware/Oracle_WT1/instances/instance1/config/OHS/ohs1
<OHS_ORACLE_HOME>
例:
/u01/software/Apps/OraMiddleware/Oracle_WT1
Webゲート・インスタンスをデプロイします。
cd <WEBGATE_HOME>/webgate/ohs/tools/deployWebGate ./deployWebgateInstance.sh -w <WEBGATE_INSTANCE_DIR> -oh <WEBGATE_HOME>
OHS構成ファイルを変更します。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:<OHS_ORACLE_HOME>/lib cd <WEBGATE_HOME>/webgate/ohs/tools/setup/InstallTools ./EditHttpConf -w <WEBGATE_INSTANCE_DIR> -oh <WEBGATE_HOME>
この項の内容は、次のとおりです。
WebCenter SitesとOAM認証の統合に関して、次に示すいくつかの重要な懸念事項があります。
この章では、ここまでOAMとOracle WebCenter Sitesの統合に必要な、必須のソフトウェアと関連コンポーネントについて説明してきました。その部分を参照しておらず、必要なコンポーネントがインストールされていて適切に設定されていることを確認していない場合は、ドキュメントを確認してください。
WebCenter Sitesがインストールされていて、デフォルトのCASで正しく動作している必要があります。
|
注意: WebCenter Sitesのロールを格納するためにLDAPサーバーを使用することを計画している場合は、この構成はOAM統合の前に行う必要があります。 ユーザーの重複が問題になっている場合は、WebCenter SitesとOAMで同じLDAPサーバーを使用することをお薦めします。 |
大部分の設定アクティビティの実行には、Oracle Access Manager Administration Console (OAMCONSOLE)アプリケーションが必要です。この機能の使用権限があることを確認してください。
統合手順は、手動の実行手順のセットです。この章の残りの部分で説明します。
Sitesの配信環境では、個別のOHSインスタンスを使用して追加のWebゲート、ホスト識別子、認証スキームおよびアプリケーション・ドメインを作成および構成する、次の手順を実行します。
OAMを統合する手順は次のとおりです。
OAMユーザー・アイデンティティ・ストアを使用して、WebCenter Sitesを定義します。
|
注意: OAMは認証にのみ使用され、OAM認可には依存しません。Oracle Internet Directory、Oracle Directory Serverおよびその他がユーザー・アイデンティティ・ストアとして使用できる場合、Oracle WebLogicの組込みLDAPがデフォルトになり、この章の残りの部分で使用されるユーザー・アイデンティティ・ストアになります。ユーザー名は、WebCenter SitesのSystemUsers表にあるユーザー名と一致している必要があります。 |
OAMは、認証および認可ポリシーの施行を提供します。WebCenter Sitesは、認証ポリシーのみを使用してリソースを保護します。WebCenter Sitesは、自身の認可ポリシーを使用します。
Oracle WebLogic組込みLDAPのユーザー名は、WebCenter SitesのSystemUsers表に存在するユーザー名と一致している必要があります。WebLogic組込みLDAPにユーザーを追加する手順は、次のとおりです。
OHSへのデプロイメント用に、OAM Webゲート・エージェントを作成しますOHS (図23-4)。
OAMコンソール・アプリケーションにログインします。
http://<oam_server_host>:<weblogic_admin_port>/oamconsole
「システム構成」タブを選択します。
「SSOエージェント」の下の「新規OAM 11g Webゲート」をクリックします。
「名前」に、Webゲートの名前を入力します。このガイドではWCSitesWebGateを使用します。
「優先ホスト」に作成されるホスト識別子の名前を入力し、「適用」をクリックします。このガイドではWCSitesを使用します。
「ログアウト・コールバックURL」に、/<sites_context_root>/oam_logout_successと入力して「適用」をクリックします。
|
注意: WCSitesWebGateを作成すると、WCSitesホスト識別子とWCSitesWebGateアプリケーション・ドメインも作成されます。 |
WebCenter Sitesのホスト識別子を構成します。
「ポリシー構成」タブ→「リフレッシュ」アイコンをクリックします。「ホスト識別子」の下にWCSitesと表示されます。
WCSitesをダブルクリックします。
「説明」に、This is the host identifier for WebCenter Sites.と入力します。
操作パネルで、「追加」(+)アイコンをクリックします。「ホスト名」に、OHSサーバーのホスト名を入力します。「ポート」に、OHSサーバーのポートを入力します。
ロード・バランシングの配置に複数のホストを使用している場合、各OHSインスタンスに対してこの手順を繰り返します。
「Apply」をクリックします。
WebCenter Sitesのチャレンジ・ページにリダイレクトする認証スキームを作成します。
|
注意: この手順はオプションで、デフォルトのOAMログイン・フォームまたは他のカスタム・ログイン・フォームを使用している場合はスキップできます。 |
「認証スキーム」→「作成」アイコンをクリックします。
「認証スキーム」フォームが表示されます。
「名前」に、作成される認証スキームの名前を入力します。このガイドではLDAPWemSchemeを使用します。
「説明」にChallenge for WebCenter Sites applicationsと入力します。
「認証レベル」に2と入力します。
「チャレンジ・メソッド」でFORMを選択します。
「チャレンジ・リダイレクトURL」に/oam/serverと入力します。
「認証モジュール」でLDAPを選択します。
「チャレンジURL」には、デプロイ後のoamloginアプリケーションへのアクセスに使用されるホストとポートを使用します。http://<oamlogin_server_host>:<oamlogin_port>/oamlogin/oamsso/oamLoginView.jspと入力します。
「コンテキスト・タイプ」でexternalを選択します。
「Apply」をクリックします。
手順5-6では、Webゲートの作成時に作成されるWCSitesWebGateアプリケーション・ドメインを構成します。Protected Resource Policy認証ポリシーは、認証なしにアクセスされたすべてのリソースに対してチャレンジを実施します。このポリシーでは、すべてのリソースがWebゲート経由でWebCenter Sitesアプリケーションにアクセスできるため、認可を処理できます。
Protected Resource Policyの構成
Protected Resource Policyを開きます。
11.1.1.x.0の場合:
「アプリケーション・ドメイン」を開きます。
WCSitesWebGateを開きます。
「認証ポリシー」を開きます。
「保護されているリソース・ポリシー」をダブルクリックします。
11.1.2.1.0の場合:
「アプリケーション・ドメイン」→「開く」アイコンをクリックします。
「検索」をクリックします。
WCSitesWebGateをクリックします。
「認証ポリシー」タブをクリックします。
「保護されたリソース・ポリシー」をクリックします。
「認証スキーム」で、以前作成した認証スキームであるLDAPWemSchemeを選択します。
「レスポンス」タブをクリックします。
「IDアサーション」チェック・ボックスを選択します。
認証ポリシーの条件が満たされている場合は、レスポンスを作成できます。レスポンスは、WebCenter SitesのHTTPフィルタでLDAP属性を識別し、認証済ユーザーについての情報を提供するために必要です。これらのレスポンスを作成する手順は、次のとおりです。
「追加」(+)アイコンをクリックします。
「名前」にFATGATE_POLICYと入力します。
「タイプ」でHeaderを選択します。
「値」にprotectedと入力します。
「追加」(+)アイコンをクリックします。
「名前」にFATGATE_EMAILと入力します。
「タイプ」でHeaderを選択します。
「値」に$user.attr.mailと入力します。
「Apply」をクリックします。
WebCenter Sitesアプリケーション・ドメインに対してリソース定義を作成します。
「リソース」を開きます。
OAM 11.1.1.x.0の場合、「リソース」をダブルクリックします。
OAM 11.1.2.1.0の場合、「リソース」タブをクリックします。
このパネルには、検索条件に一致するリソースのみが表示されます。新しいリソースが追加されるたびに、そのリソースを「検索結果」リストに表示させるために「検索」ボタンをクリックする必要があります。
「新規リソース」をクリックして「リソースの作成」パネルを開きます。
「リソース・タイプ」でHTTPを選択します。
「ホスト識別子」で、手順3で構成したホスト識別子であるWCSitesを選択します。
「リソースURL」に入力します。
「保護レベル」を選択します。
Excludedを選択している場合は、手順gおよびhはスキップします。
手順fでProtectedを選択している場合、「認証ポリシー」でProtected Resource Policyを選択します。
手順fでProtectedを選択している場合、「認可ポリシー」でProtected Resource Policyを選択します。
「Apply」をクリックします。
表23-1のリソース・リストを使用して、手順bからiを繰り返します。
|
注意: ポリシーのあるリソースは、すべてProtectedになります。残りのリソースはExcludedになります。 |
表23-1 リソース
| リソースURL | 保護レベル | 認証 | 認可 |
|---|---|---|---|
|
|
除外 |
該当なし |
該当なし |
|
|
除外 |
該当なし |
該当なし |
|
(OAM 11.1.1.x.0のみ) |
除外 |
該当なし |
該当なし |
|
(OAM 11.1.1.x.0のみ) |
除外 |
該当なし |
該当なし |
|
(OAM 11.1.2.1.0のみ) |
除外 |
該当なし |
該当なし |
|
(OAM 11.1.1.x.0のみ) |
保護 |
保護 |
保護 |
|
(OAM 11.1.1.x.0のみ) |
保護 |
保護 |
保護 |
|
(OAM 11.1.2.1.0のみ) |
保護 |
保護 |
保護 |
|
|
保護 |
保護 |
保護 |
|
|
保護 |
保護 |
保護 |
|
|
保護 |
保護 |
保護 |
|
|
保護 |
保護 |
保護 |
|
|
保護 |
保護 |
保護 |
|
|
保護 |
保護 |
保護 |
すべてのリソースが追加されたら、定義済リソースのリストを表23-1と比較して、すべてのポリシーが適切に定義されていることを確認します。末尾の/…/にはすべて、ピリオドが3つ含まれていることを確認します。各「リソースURL」で、大/小文字が正確に入力されていることを確認します。これらのポリシーが正しく入力されていないと、WebCenter Sitesアプリケーションは正しく動作しません。
mod_wl_ohs.conf OHSプラグインの構成ファイルを変更します。
|
注意: OHSサーバーが停止していることを確認してください。 |
export ORACLE_INSTANCE=<ohs_oracle_home>
たとえば、次のように指定します。
export ORACLE_INSTANCE=/u01/software/Apps/OraMiddleware/Oracle_WT1
<ohs_oracle_home>/bin/opmnctl stopproc ias-component=ohs1
このファイルは、Webゲートのインスタンス・ディレクトリ内に存在します。
たとえば、次のように指定します。
/u01/software/Apps/OraMiddleware/Oracle_WT1/instances/instance1/config/OHS/ohs1/mod_wl_ohs.conf
変更には、次のテンプレートを考慮してください。
# NOTE : This is a template to configure mod_weblogic.
LoadModule weblogic_module "${ORACLE_HOME}/ohs/modules/mod_wl_ohs.so"
# This empty block is needed to save mod_wl related configuration from EM to
# this file when changes are made at the Base Virtual Host Level
<IfModule weblogic_module>
# WebLogicHost <WEBLOGIC_HOST>
# WebLogicPort <WEBLOGIC_PORT>
# Debug ON
# WLLogFile /tmp/weblogic.log
# MatchExpression *.jsp
</IfModule>
<IfModule weblogic_module>
<Location /oamlogin>
SetHandler weblogic-handler
WebLogicHost {oamlogin_server_host}
WebLogicPort {oamlogin_port}
</Location>
</IfModule>
<IfModule weblogic_module>
<Location /{sites_context_root}>
SetHandler weblogic-handler
WebLogicHost {sites_server_host}
WebLogicPort {sites_port}
</Location>
</IfModule>
# <Location /weblogic>
# SetHandler weblogic-handler
# PathTrim /weblogic
# ErrorPage http:/WEBLOGIC_HOME:WEBLOGIC_PORT/
# </Location>
|
注意:
たとえば、次のように指定します。
|
Webゲートの構成ファイル(ObAccessClient.xmlおよびcwallet.sso)をWebゲート・インスタンスにコピーします。
cp <oam_domain_home>/output/<webgate_name>/* <webgate_instance_dir>/webgate/config
たとえば、次のように指定します。
cp /u01/software/Apps/OraMiddleware/user_projects/domains/OAMDomain/output/WCSitesWebGate/* /u01/software/Apps/OraMiddleware/Oracle_WT1/instances/instance1/config/OHS/ohs1/webgate/config
OHSサーバーを起動します。
export ORACLE_INSTANCE=<ohs_oracle_home>
たとえば、次のように指定します。
export ORACLE_INSTANCE=/u01/software/Apps/OraMiddleware/Oracle_WT1 <ohs_oracle_home>/bin/opmnctl startproc ias-component=ohs1
oamtoken.warファイルをデプロイします。
oamtoken.warファイルのデプロイ元となるディレクトリを作成し、WebCenter Sitesインストーラのwemディレクトリからそのディレクトリにoamtoken.warを展開します。
たとえば、次のように指定します。
mkdir /u01/software/Apps/OraMiddleware/user_projects/domains/OAMSitesDomain/applications/oamtoken cd /u01/software/Apps/OraMiddleware/user_projects/domains/OAMSitesDomain/applications/oamtoken jar -xvf /u01/installation_files/Sites/wem/oamtoken.war
展開されたoamtoken WebアプリケーションのWEB-INF/classesディレクトリにあるoamtoken.xmlファイルを変更します。
OAM 11.1.1.5.0の場合、compatibilityModeの値を10Gに設定します。
OAM 11.1.1.7.0および11.1.2.1.0の場合、compatibilityModeの値を11Gに設定します。
手順2で作成されたWebゲートの構成ファイル(ObAccessClient.xmlおよびcwallet.sso)を、展開されたoamtoken WebアプリケーションのWEB-INF/oblix/libディレクトリにコピーします。
既存のファイルはすべて上書きします。
Webゲートの構成ファイルは、OAMがデプロイされたシステムの<oam_domain_home>/output/<webgate_name>ディレクトリにあります。
OAM 11.1.1.5.0の場合、手順dからfをスキップします。
展開されたoamtoken Webアプリケーションの構成ディレクトリから<oamtoken_domain_home>/configに、jps-config.xmlファイルをコピーします。
手順dでコピーされたファイルで、ロケーション・パラメータの値をcwallet.ssoファイルがあるディレクトリのパスに変更します。
たとえば、次のように指定します。
../applications/oamtoken/WEB-INF/oblix/lib
oamtokenがデプロイされるホストの<weblogic_home>/server/libディレクトリにあるweblogic.policyファイルを変更します。
ファイルの開始コメント・セクションの終わりに次の行を追加し、展開されたoamtoken WebアプリケーションのWEB-INF/lib/*のパスにファイルの値を設定します。
// grant permission for oamtoken
grant codebase "file:<path_to_exploded_oamtoken_app>/WEB-INF/lib/*" {
permission
oracle.security.jps.service.credstore.CredentialAccessPermission
"context=SYSTEM,mapName=OAMAgent,keyName=*", "read";
};
展開されたoamtoken Webアプリケーションをデプロイします。
|
注意: WebLogicで、デプロイメントを現在の場所からアクセス可能にします。 oamtoken Webアプリケーションに含まれるサーブレットは、参照可能なユーザー名とパスワードの資格照明とともにコールされる場合があります。アプリケーションを、保護されたWebアプリケーションのユーザーSSLとしてデプロイすることをお薦めします。 |
oamlogin.warファイルをデプロイします。このWebアプリケーションには、WebCenter Sitesのチャレンジ・ページが含まれます。
|
注意: この手順はオプションで、デフォルトのOAMログイン・フォームまたは他のカスタム・ログイン・フォームを使用している場合はスキップできます。 |
oamlogin.warファイルのデプロイ元となるディレクトリを作成し、WebCenter Sitesインストーラのwemディレクトリからそのディレクトリにoamlogin.warを展開します。
たとえば、次のように指定します。
mkdir /u01/software/Apps/OraMiddleware/user_projects/domains/OAMSitesDomain/applications/oamlogin cd /u01/software/Apps/OraMiddleware/user_projects/domains/OAMSitesDomain/applications/oamlogin jar -xvf /u01/installation_files/Sites/wem/oamlogin.war
次に示すコードを使用して、展開されたoamlogin WebアプリケーションのWEB-INF/classesディレクトリに、wemsites_settings.propertiesという名前のファイルを作成します。変数を、ご使用の環境の正しい値に置換します。
oamredirect=http://<oam_server_host>:<oam_port>/oam/server/auth_cred_submit oamlogout=http://<oam_server_host>:<oam_port>/oam/server/logout forgotpassword=<email_account>@<email_domain>
oamredirectプロパティが正しく構成されていない場合、そのユーザー名とパスワードは認証に失敗します。
展開されたoamlogin Webアプリケーションをデプロイします。WebLogicで、デプロイメントを現在の場所からアクセス可能にします。
WebCenter SitesデプロイメントのSSOConfig.xmlファイルを変更します。このファイルは、ロードする認証クラスや、それらのクラスで必要なプロパティを制御します。
Sitesサーバーを停止します。
デプロイされているWebCenter SitesアプリケーションのWEB-INF/classesディレクトリにあるSSOConfig.xmlファイルをバックアップします。
たとえば、次のように指定します。
/u01/software/Apps/OraMiddleware/user_projects/domains/OAMSitesDomain/applications/Sites/WEB-INF/classes/SSOConfig.xml
SSOConfig.xmlを次のように変更します。
|
注意: 次のファイルで、
Sitesの管理では、
http%3A%2F%2F{ohs_server_host}%3A{ohs_port}%2F{sites_context_root}%2Fwem%2Ffatwire%2Fwem%2FWelcome
Sitesの配信では、
http%3A%2F%2F{ohs_server_host}%3A{ohs_port}%2F{sites_context_root}%2FXcelerate%2FLoginPage.html
WebLogic ServerおよびOHS Webゲートの間で信頼関係が確立されている場合、 |
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-2.5.xsd">
<!-- Single Sign On provider -->
<bean id="ssoprovider" class="com.fatwire.wem.sso.oam.OAMProvider">
<property name="config" ref="ssoconfig" />
</bean>
<!-- OAM IdentityResolver bean -->
<bean id="oamIdentity" class="com.fatwire.auth.identity.LocalUsernameResolver" />
<!-- Single Sign On filter -->
<bean id="ssofilter" class="com.fatwire.wem.sso.oam.filter.OAMFilter">
<property name="config" ref="ssoconfig" />
<property name="provider" ref="ssoprovider" />
<property name="identityResolver" ref="oamIdentity" />
<property name="trustConfigured" value="false" />
</bean>
<!-- Single Sign On listener -->
<bean id="ssolistener" class="com.fatwire.wem.sso.oam.listener.OAMListener">
</bean>
<!-- Single Sign On configuration -->
<bean id="ssoconfig" class="com.fatwire.wem.sso.oam.conf.OAMConfig">
<!-- URL prefix for REST service endpoint -->
<property name="serviceUrl" value="http://{ohs_server_host}:{ohs_port}/{sites_context_root}/REST" />
<!-- URL prefix for Token Service servlet -->
<property name="ticketUrl" value="http://{oamtoken_server_host}:{oamtoken_port}/oamtoken" />
<!-- URL to be called when WEM logout is required. -->
<property name="signoutUrl" value="http://{oam_server_host}:{oam_port}/oam/server/logout?end_url={end_url}" />
<!-- Do not proxy tickets, tt's the last server in the call chain -->
<property name="proxyTickets" value="false" />
<!-- Database Credentials needed by user lookup in OAMFilter -->
<property name="dbUsername" value="{sites_admin_user} " />
<property name="dbPassword" value="{sites_admin_password}" />
<!-- Your application protected resources (relative to applicationUrl) -->
<property name="protectedMappingIncludes">
<list>
<value>wem/fatwire/**</value>
<value>/faces/jspx/**</value>
<value>/ContentServer?[pagename=OpenMarket/Xcelerate/UIFramework/LoginPage|OpenMarket/Xcelerate/UIFramework/ShowMainFrames|fatwire/getAllUserGroups|fatwire/getAllSecurityConfigs|rest/asset,#]</value>
<value>Satellite?[pagename=fatwire/insitetemplating/request|OpenMarket/Xcelerate/ControlPanel/Request|OpenMarket/Xcelerate/ControlPanel/EditPanel|fatwire/wem/ui/Ping|fatwire/wem/sso/validateMultiticket|OpenMarket/Xcelerate/UIFramework/ShowPreviewFrames,#]</value>
<value>Xcelerate/LoginPage.html</value>
</list>
</property>
<property name="protectedMappingStatelessIncludes">
<list>
<value>/REST/**</value>
</list>
</property>
<!-- Your application protected resources excludes (relative to applicationUrl) -->
<property name="protectedMappingExcludes">
<list>
<value>/wem/fatwire/wem/ui/SysLocStrSvc</value>
</list>
</property>
</bean>
</beans>
これで、構成が完了しました。OAMはWebCenter Sitesコンテンツ管理および開発インストールのユーザーを認証します。
残りのサーバーを起動できます。
この手順はオプションで、oamlogin.warファイルがデプロイされている場合にのみ実行できます。
任意のブラウザに次のURLを入力します。
http(s)://<ohs_server_host>:<ohs_port>/oamlogin/test
システムが正常に動作している場合は、WebCenter Sitesのチャレンジ・フォームが表示されます(図23-8)。
ユーザー名およびパスワードを入力して、「ログイン」をクリックします。パスワードはWebCenter SitesデータベースではなくLDAPで定義されることを覚えておいてください。
システムが正常に動作している場合、Webゲートにより提供されるすべての情報を表示したテスト・ページが表示されます。これには、自身が作成したポリシーで指定した「レスポンス」が含まれます。このページをリフレッシュして、更新された情報を再表示します。
テスト・フォームで「ログオフ」をクリックします。標準OAMのログオフ確認フォームが開きます。
URLを再入力してカスタムのチャレンジ・フォームを表示します。
構成が予期した結果になっていることを慎重に確認します。
管理システムに格納されているページを表示するためのアクセス権を外部ユーザーに付与するには、匿名ユーザーの存在が必要です。たとえば、テスト目的で、OAMが統合された管理サーバー上にある開発サイトをアクセスする場合があります。
AnonymousというユーザーをWebCenter SitesのSystemUsers表に追加します。
/<context>/Satellite/*リソースを削除するように、OAM認証ポリシーを変更します。
この変更を適用して、Oracle Http Server (OHS)をリサイクルします。
/cs/WEB-INF/classesフォルダのsatellite.propertiesファイルで、port=およびhost=をOHSロケーションに設定するように変更します。デフォルトのlocalhost:80ではエラーが発生するため、この作業は必須です。
Oracle Access Manager統合のためのSatellite Serverの構成は、WebCenter Sitesの手順よりも簡単です。この項で説明している手順は、単一のSatellite Serverの構成に固有のものですが、Satellite Serverの追加の場合でも工程は同じです。
この項の内容は、次のとおりです。
Satellite Serverの統合前に、次のアクションが完了していることを確認します。
Oracle Access Managerがインストールされていて実行中である。
WebCenter SitesとOAMの統合が成功している。
Satellite Serverがインストールされている。
これらの手順では、WebCenter Sites Satellite ServerデプロイメントのSSOConfig.xmlファイルを変更します。このファイルは、ロードする認証クラスや、それらのクラスで必要な様々なプロパティを制御します。
Satellite Serverがデプロイされているサーバーを停止します。
デプロイされているWebCenter Sites Satellite ServerアプリケーションのWEB-INF/classesディレクトリにあるSSOConfig.xmlファイルをバックアップします。
たとえば、次のように指定します。
/u01/software/Apps/OraMiddleware/user_projects/domains/OAMSitesDomain
/applications/SatelliteServer/WEB-INF/classes/SSOConfig.xml
SSOConfig.xmlを次のファイルのように変更します。
|
注意: 次のファイルで、
WebLogic ServerおよびOHS Webゲートの間で信頼関係が確立されている場合、 |
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:context="http://www.springframework.org/schema/context"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-2.5.xsd">
<!-- Single Sign On provider -->
<bean id="ssoprovider" class="com.fatwire.wem.sso.oam.OAMProvider">
<property name="config" ref="ssoconfig" />
</bean>
<!-- OAM IdentityResolver bean -->
<bean id="oamIdentity" class="com.fatwire.auth.identity.RemoteUsernameResolver id="oamIdentity">
<property="csServerUrl" value="http://<sites_server_host>:<sites_port>/<sites_context_root>/custom/customCsResolver.jsp
</bean>
<!-- Single Sign On filter -->
<bean id="ssofilter" class="com.fatwire.wem.sso.oam.filter.OAMFilter">
<property name="config" ref="ssoconfig" />
<property name="provider" ref="ssoprovider" />
<property name="identityResolver" ref="oamIdentity" />
<property name="trustConfigured" value="false" />
</bean>
<!-- Single Sign On listener -->
<bean id="ssolistener" class="com.fatwire.wem.sso.oam.listener.OAMListener">
</bean>
<!-- Single Sign On configuration -->
<bean id="ssoconfig" class="com.fatwire.wem.sso.oam.conf.OAMConfig">
<!-- URL prefix for REST service endpoint -->
<property name="serviceUrl" value="http://{ohs_server_host}:{ohs_port}/{sites_context_root}/REST" />
<!-- URL prefix for Token Service servlet -->
<property name="ticketUrl" value="http://{oamtoken_server_host}:{oamtoken_port}/oamtoken" />
<!-- URL to be called when WEM logout is required. -->
<property name="signoutUrl" value="http://{oam_server_host}:{oam_port}/oam/server/logout?end_url=http%3A%2F%2F{ohs_server_host}%3A{ohs_port}%2F{sites_context_root}%2Fwem%2Ffatwire%2Fwem%2FWelcome" />
<!-- Proxy tickets, tt's the last server in the call chain -->
<property name="proxyTickets" value="true" />
<!-- Your application protected resources (relative to applicationUrl) -->
<property name="protectedMappingIncludes">
<list>
</list>
</property>
<property name="protectedMappingStatelessIncludes">
<list>
<value>/REST/**</value>
</list>
</property>
<!-- Your application protected resources excludes (relative to applicationUrl) -->
<property name="protectedMappingExcludes">
<list>
</list>
</property>
</bean>
</beans>
proxyTicketsパラメータをtrueに設定します。これは、RESTクライアント・プログラムが割り当てた認証済チケットをSatellite ServerがWebCenter Sitesに渡すために必要です。
RESTエンドポイントの場所(serviceUrlプロパティで定義)は、Satellite Serverの場所によって異なります。ファイアウォール内にある場合、WebCenter Sitesを直接参照してセキュリティを損なうことなく最大のパフォーマンスを実現できます。Satellite Serverがそれ以外の場所にある場合やインターネットに直接公開されている場合、WebCenter Sitesを保護するため、エンドポイントはすべてのリクエストをOHSを介して送る必要があります。
WebCenter Sitesの構成を保護するための代替の方法として、Satellite Serverの前段でOHSを使用する高度な構成があります。この構成で、WebCenter Sitesにアクセスします。
