Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、Sun Java System Access ManagerまたはOpenSSO Policy Agent 2.2を使用して、Oracle Access Manager 11.1.2とSAP NetWeaver Enterprise Portal 7.01を統合する方法について説明します。
この章では次のトピックについて説明します。
今回のリリースで、SAP Netweaver Enterprise Portal 7.01のみがOpenSSO Policy Agent 2.2でサポートされています。MySAPは動作保証されていません。
注意: 次のパッチをOpenSSO Policy Agent 2.2に適用する必要があります。
SAPのシングル・サインオンは、このパッチを適用しないと動作しません。 |
始める前に、次の手順を実行してください。
エージェント・プロファイルがOracle Access Management側で作成されるように、リモートでエージェントを登録します。次の場所にあるOAMサーバーでリモート登録ツールを使用します。
<Middleware_Home>/Oracle_IDM1/oam/server/rreg
OAMサーバーおよびSAPサーバーの完全修飾ドメイン名が両方のシステムのhosts
ファイルで更新されていることを確認します。
エージェントのインストールと登録、およびOAMの構成時は、必ずSAPおよびOAMサーバーの完全修飾ドメイン名を使用してください。
編集用の適切なXMLリクエスト・ファイルを開きます。リクエスト・ファイルは、登録のための入力値を指定するものです。
リクエスト・ファイルは入力フォルダ内にあります。
環境に合せて特定の値を変更します。
<?xml version="1.0" encoding="UTF-8"?> <!-- Copyright (c) 2009, 2013, Oracle and/or its affiliates. All rights reserved. NAME: OpenSSORequest.xml - Template (with all options) for OpenSSO Agent Registration Request file DESCRIPTION: Modify with specific values and pass file as input to the tool--> <OpenSSORegRequest> <serverAddress>http://OAMserver.example.com:7001</serverAddress> <hostIdentifier>OPENSSO_HOSTID8</hostIdentifier> <agentName>OPENSSO_SAP8</agentName> <agentBaseUrl>http://SAPserver.example.com:50000</agentBaseUrl> <applicationDomain>OPENSSO_APPDOMAIN</applicationDomain> //Modify this. <autoCreatePolicy>true</autoCreatePolicy> <agentType>J2EE</agentType> <agentVersion>2.2</agentVersion> //Important: Make sure the version is 2.2. <agentDebugDir></agentDebugDir> <agentAuditDir></agentAuditDir> <agentAuditFileName></agentAuditFileName> <protectedAuthnScheme></protectedAuthnScheme> </OpenSSORegRequest>
エージェントを登録するには、コマンド・プロンプトを開き、rregツールのbin
ディレクトリから次のコマンドを実行します。
oamreg.sh inband input/OpenSSORequest
コマンドを実行すると、AMAgent.properties
ファイルが出力されます。これは出力ディレクトリにあります。
注意: OpenSSO Agent 2.2の場合、出力ファイルは1つしかありませんが(AMAgent.properties )、OpenSSO Agent 3の場合、出力ファイルは2つあります(OpenSSOAgentBootstrap.properties およびOpenSSOAgentConfiguration.properties )。 |
この登録で、OAMドメインのoam-config.xml
ファイルにフットプリントが作成されます。これは次の場所にあります。
<Middleware_home>
/user_projects/domains/base_domain1/config/fmwconfig/oam-config.xml
登録済エージェントは次のエントリと同様です。
<Setting Name="<
Agent_Name
>" Type="htf:map">
登録プロセスは完了です。
SAPコンテナにエージェントをインストールするには、次の手順を実行します。
OpenSSOポリシー・エージェントを展開して、bin
フォルダに移動します。
SAPコンテナにエージェントをインストールするには、コマンド・プロンプトを開き、次のコマンドを実行します。
agentadmin.sh - -install
このコマンドにより、必要に応じて値を入力するように要求されます。次の表に、リクエストした入力値の概要を示します。
表56-1
リクエスト・プロンプト | 入力例 | 説明 |
---|---|---|
|
|
SAPディレクトリのパス |
|
false |
|
|
|
OAMサーバーの完全修飾ドメイン名 |
|
8003 |
OAMサーバーが実行されているポート |
|
http |
|
|
|
OpenSSOプロキシURL |
|
|
SAPサーバーの完全修飾ドメイン名 |
|
50000 |
SAP EPサーバーが実行されているポート |
|
http |
|
|
|
デプロイするWARファイルのURI |
|
gSwxyctnKWkx8fBgbwj8Mn5ziksjaUqi |
|
|
OPENSSO_SAP8 |
登録時に指定されたエージェントのプロファイル名 |
|
|
インストール後、エージェント・インスタンスがSAPコンテナに作成されます。このディレクトリ内に、AMAgent.properties
ファイルの別のインスタンスがあります。(したがって、AMAgent.properties
ファイルは2つあります。1つはリモート登録時に生成されたもので、もう1つはエージェントのインストール時にすでに生成されていたものです。)
2つのプロパティ・ファイルを比較し、1つのプロパティ・ファイルにすべての情報が含まれるように、これらのファイルを統合します。
AMAgent.properties
ファイルのすべての設定がOAMサーバー内のoam-config.xml
ファイルのエージェント・プロファイル・エントリと一致していることを確認します。
oam-config.xml
で、<Setting Name="NamingData" Type="htf:map">
要素の下に次のエントリを追加します。
<Setting Name="iplanet-am-platform-server-id" Type="xsd:string">serverprotocol://serverhost:serverport</Setting>
注意: oam-config.xml ファイルを更新するたびに、バージョン番号を加算してください。
<Setting Name="Version" Type="xsd:integer">113</Setting> |
エージェントのetc
フォルダに移動して、AmSAPAgent2.2.sda
アーカイブを特定します。.sda
ファイルは、ソフトウェア・デプロイメント・マネージャ(SDM)を使用して、SAPサーバー上にデプロイするライブラリです。
ソフトウェア・デプロイメント・マネージャ(/usr/sap/
SID
/
InstanceName
/SDM/program/RemoteGui.sh
)を使用して、AmSAPAgent2.2.sda
ファイルをデプロイします。詳細は、SAPのドキュメントを参照してください。
デプロイメントの完了後、「Undeployment」タブを参照して、ライブラリがデプロイされていることを確認します。AmSAPAgent2.2
ライブラリがリストされます。
SAP Visual Administratorツール(/usr/sap/
SID
/
InstanceName
/j2ee/admin/go.sh
)を使用して、デプロイされたライブラリおよびSAP依存のライブラリがコンテナ内に存在することを確認することもできます。
SAP Visual Administratorツール(/usr/sap/
SID
/
InstanceName
/j2ee/admin/go.sh
)を使用して、新しくデプロイしたライブラリにクラス・ローダー参照を作成します。次のキー値ペアをセキュリティ・プロバイダの構成ページ(「Server Instance」→「Services」→「Security Provider」)にある「Properties」タブに追加して、LoginModuleClassLoader
に参照を追加します。
SAP Config Tool (/usr/sap/
SID
/
InstanceName
/j2ee/configtool/configtool.sh
)を開き、「Cluster_data」→「Instance ID」→「Server instance」に移動し、「General」タブにある「Classpath」フィールドに次のパスを追加します。
/Policy_Agent/sap_v7_agent/j2ee_agents/sap_v7_agent/
<Agent_Instance>
/config
/Policy_Agent/sap_v7_agent/j2ee_agents/sap_v7_agent/locale
SAPデプロイメント・マネージャ(deploy.sh
)を開き、新しいプロジェクトを作成します。
SAPインスタンス・ユーザー(j2eeadm)が所有する空のディレクトリに移動し、アドレス・フィールドにagentappと入力します。
「Assembler」タブに移動し、agentapp.war
アーカイブ(「agentapp」ノードを右クリックし、コンテキスト・メニューから「Add Archive」を選択します)を追加します。
プロジェクトを保存します。
SAPインスタンス・ユーザー(j2eeadm)が所有しているディレクトリ(前の手順で指定したもの)に移動し、アドレス・フィールドで「agentapp」と入力してから「OK」をクリックします。
「agentapp」ルート・ノードを右クリックして、コンテキスト・メニューから「Make Ear」を選択します。
TelnetでSAPホスト(saphost.example.com 50008
など)に接続し、管理者としてログオンします。
次のコマンドを発行します。
$ jump 0
次のようなメッセージが返されます。
You jumped on node 4503950.
$ add deploy
$ CHANGE_REF -m sap.com/agentapp library:AmSAPAgent2.2
次のようなメッセージが返されます。
The reference between application sap.com/agentapp and library:AmSAPAgent2.2 was made!
SAP Enterprise Portalインスタンスを停止して、起動します。
注意: SAP Visual Administratorツール(/usr/sap/ SID / InstanceName /j2ee/admin/go.sh )を使用して、参照が正しく作成されたことを確認することもできます。「Server Instance」→「Services」→「ClassLoader Viewer」を選択します。 |
始める前に: SAP Enterprise Portalインスタンスが実行されていない場合は、これを起動します。
SAP Visual Administratorツール(/usr/sap/
SID
/
InstanceName
/j2ee/admin/go.sh
)を起動してログインします。
「Security Provider」サービスを選択し、「User Management」タブをクリックして、編集モードを切り替えます。
「Manage Security Stores」→「Add Login Module」をクリックします。
ダイアログ・ボックスが開いたら、「OK」をクリックします。
「Class Name」フィールドで、次のように入力します。
com.sun.identity.agents.sap.v70.AmSAPEP70LoginModule
「Display Name」フィールドで、次のように入力します。
AmSAPEP70LoginModule
SAP Visual Administratorツール(/usr/sap/
SID
/
InstanceName
/j2ee/admin/go.sh
)を起動してログインします。
「Security Provider」サービスを選択し、「Policy Configurations」タブをクリックして、編集モードを切り替えます。
「Components」リストで、「ticket」認証テンプレートを選択します。
次を除いたすべてのログイン・モジュールを削除します。
com.sap.security.core.server.jaas.EvaluteTicketLoginModule
com.sap.security.core.server.jaas.CreateTicketLoginModule
「Add New」をクリックして、モジュール・リストから「AmSAPEP70LoginModule」を選択します。
「Modify」をクリックして、残っている2つのログイン・モジュールの間にAmSAPEP70LoginModule
を移動します。
新しい「ticket」認証テンプレートの値は、次の表の値と一致している必要があります。
SAP Config Tool (/usr/sap/
SID
/
InstanceName
/j2ee/configtool/configtool.sh
)を開き、編集モードを切り替えます。
鉛筆とメガネのボタンをクリックして、「cluster_data」→「server」→「cfg」→「services」を選択します。
UMEサービス・プロパティ・シートが開きます。
「com.sap.security.core.ume.service」
プロパティ・シートを開き、「ume.logoff.redirect.uri」
プロパティに次のカスタム値を追加します。
http://
OAM-Server-Hostname
:
OAM-Port
/oam/server/logout
エージェント・インスタンスのAMAgent.properties
ファイルを開き、次のプロパティを編集します。
注意: AMAgent.properties の次のプロパティは、oam-config.xml のプロパティと一致している必要があります。プロパティが一致していない場合、oam-config.xml のプロパティを更新します。
<Setting Name="Version" Type="xsd:integer">113</Setting> |
「Debug Service Properties」で、次のようにログの場所の完全パスを更新します。
com.iplanet.services.debug.directory = /Policy_Agent/sap_v7_agent/j2ee_agents/sap_v7_agent/Agent_003/logs/debug
COMMON ATTRIBUTE FETCH PROCESSING PROPERTIESで、cookieエンコードをfalseに設定します。
com.sun.identity.agents.config.attribute.cookie.encode = false
COOKIE RESET PROCESSING PROPERTIESで、次のプロパティを編集します。
com.sun.identity.agents.config.cookie.reset.enable = true
com.sun.identity.agents.config.cookie.reset.name[0] = MYSAPSSO2
com.sun.identity.agents.config.cookie.reset.domain[MYSAPSSO2] = .corp.example.com
URL DECODE SSO TOKEN FLAGで、デコードをfalseに設定します。
com.sun.identity.agents.config.sso.decode = false
FILTER OPERATION MODEで、次のプロパティを追加または更新します。
com.sun.identity.agents.config.filter.mode = SSO_ONLY
Oracle Access Managementのユーザー・ストアのユーザーは、SAPサーバーにも存在している必要があります。OAMでユーザーがアクセスできるようにします。
統合が正しく動作していることを確認するには、次を試します。
保護済URL (/irj
など)にアクセスします。
Oracle Access Managerログイン・フォームにリダイレクトされます。
有効なユーザー名およびパスワードを入力します。
認証され、SAPサーバー(/irj
)にログインします。