| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、Access Manager 11.1.2とSAP NetWeaver Enterprise Portalの統合について説明します。
この章では、次のトピックを取り扱います:
Oracle Access ManagementとNetWeaver Enterprise Portal 7.0.xの構成
Oracle Access ManagementとNetWeaver Enterprise Portal 7.4.xの構成
このリリースでは、SAP NetWeaver Enterprise Portalのバージョン7.0.xと7.4.xがサポートされています。
Access Manager 11.1.2はSAP NetWeaver Enterprise Portal v7.4.xをサポートしますが、次の注意事項があります。
Apache 2.2.xと2.0.x (Apache.orgにて公開)が、このリリースでサポートされているWebサーバーとなります。
MySAPは動作保証されていません。
Access Manager 11.1.2はSAP NetWeaver Enterprise Portal v7.0.xをサポートしますが、次の注意事項があります。
このリリースでは、WebサーバーとしてApache 2.0 (Apache.orgから提供)がサポートされています。
MySAPは動作保証されていません。
Access Manager 11.1.2がサポートするバージョンとプラットフォームについては次のサイトを参照してください。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
次の図は、Access ManagerとSAP NetWeaver Enterprise Portal間の統合を示しています。
ユーザーは、SAP NetWeaver Enterprise Portalを介してコンテンツにアクセスしようとします。
たとえば、ユーザーは次のURLを入力して、プロキシ・サーバー経由でHRアプリケーションにアクセスします。
https://host:port/irj
WebGateは、リクエストを捕捉して、リソースが保護されているかどうかを決定するセキュリティ・ポリシーについてアクセス・サーバーに問合せを行います。
セキュリティ・ポリシーは、認証スキーム、認可ルールおよび許可操作で構成されます。認証および認可の成功または失敗に応じて、指定のアクションが実行されます。
SAP /irjログインURLのアクセス・システム・セキュリティ・ポリシーは、https://host:port/irj URLを使用してアクセスされるすべてのリソースに対して適用可能です。
SAP NetWeaver Enterprise Portalには、iViewへのアクセス権をユーザーに設定する独自の認証システムがあります。
リソースが保護されている場合、WebGateは、ユーザーに認証資格証明を要求します。
WebGateが要求する資格証明は、Basic over LDAPまたはフォームベース認証など、アクセス・システムで構成されている認証スキームによって異なります。
資格証明が有効な場合、アクセス・システムは、ユーザーを認証し、ユーザーのブラウザに暗号化したObSSOCookieを設定します。
認証後、アクセス・システムで定義されている認証ルールが、セキュリティ・ポリシーに基づいて適用されます。
認証ルールに基づいて、特定のアクションが実行されます。ユーザーが認可されると、SAP Portalログイン(リクエストされたコンテンツ)へのアクセスが許可されます。SAP Enterprise Portalのヘッダー変数統合の場合、アクセス・サーバーは、ヘッダー変数に認証済ユーザーIDを設定します。
ユーザーが認証されない、または認可されない場合、このユーザーはアクセスを拒否され、管理者によって定義されている別のURLにリダイレクトされます。たとえぱ、ユーザーは「無効な資格証明」ページにリダイレクトされます。
SAP NetWeaver Enterprise Portalと統合している場合は、プロキシWebサーバーが、ヘッダー変数詳細を含むSAP NetWeaver Enterprise Portal内部Webサーバーにリクエストをリダイレクトします。
SAP NetWeaver Enterprise Portalは、ヘッダー変数値を使用して、ポータル内の構成済データ・ソースに対してユーザーIDのマッピングを確認します。
Access ManagerとSAP NetWeaver Enterprise Portalデータ・ソースの両方に同じユーザーID値が含まれている必要があります。
マッピングが成功すると、SAP NetWeaver Enterprise Portalは、ユーザーに、リクエストされているリソースへのアクセスを許可します。
SAP NetWeaver Enterprise Portalは、プロキシにレスポンスを送信し、プロキシがクライアント・ブラウザにリダイレクトします。
SAP Enterprise Portalとのすべてのやり取りは、プロキシ・サーバー経由で行われます。
この節では、Access Manager 11.1.2とSAP NetWeaver Enterprise Portal 7.0.xを共存させる構成方法を説明します。
この項の内容は次のとおりです。
この項の手順を実行する前に、SAP NetWeaver Enterprise Portalバージョン7.0.xをインストールします。
apache.orgから指示されているインストール手順に従って、Apache HTTP Serverをインストールします。
SAP Enterprise Portalインスタンスへのプロキシ接続をサポートする各Apache HTTP Serverインスタンスに対して、WebGateのインストールと構成を行います。詳細は、「Oracle Access ManagerのためのWebgateのインストール」を参照してください。
第55.4.5節「SAP Enterprise Portal用のAccess Manager 11.1.2の構成」の手順を行う前に、Access Manager 11.1.2をインストールします。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
SAP NetWeaver Enterprise PortalとAccess Managerコンポーネントがインストールされているすべてのサーバーで、時間を同期します。
ユーザーが、Access Manager LDAPディレクトリとSAP R3システム・データベース上に存在していることを確認します。
Access ManagerとSAPデータベース内のユーザーIDは、同じであるか、それぞれにマップされている必要があります。ユーザーのプロファイル内の属性は、SAP IDとして構成して、SAPに直接渡すことができます。または、SAP IDを、Access Managerから受け取る任意のユーザー属性にマップするようにSAPを構成することもできます。
WebブラウザがCookieを受け入れるように構成されていることを確認します。
|
注意: Access Manager 11.1.2とSAP NetWeaver Enterprise Portalを統合する前に、次のトピックの確認をお薦めします。
|
次の手順は、SAP NetWeaver Enterprise Portal v7.0.xにアクセスするようにプロキシ(Apache HTTP Server 2.0.x)を構成するための手順です。
Apache HTTP Server 2.0.xを構成するには、次の手順に従います。
Apacheのドキュメントに従って、Apache HTTP Serverプロキシを非SSLモードまたはSSLモードで設定します。
HTTPS通信をSAP NetWeaver Enterprise Portalで使用する場合は、SSLモードを使用します。
SAP NetWeaver Enterprise Portalにアクセスできるようにプロキシを構成するには、httpd.conf構成ファイルに次の内容を入力します。
ProxyRequests Off ProxyPass /webdynpro http://sap_host:port/irj ProxyPassReverse /webdynpro http://sap_host:port/irj ProxyPreserveHost On
sap_hostは、SAP NetWeaver Enterprise Portalインスタンスの名前で、portは、SAP NetWeaver Enterprise Portalインスタンス用のリスニング・ポートになります。このディレクティブ・セットにより、http://apache_host:port/irjまたはhttps://apache_host:port/irj形式のこのWebサーバーへのすべてのリクエストが、http://sap_host:port/irjまたはhttps://sap_host:port/irjにリダイレクトされるようになります。
プロキシWebサーバーを再起動します。
次のURLにアクセスします。
非SSL - http://apachehost:port/irj
SSL - https://apachehost:port/irj
このリクエストは、SAP NetWeaver Enterprise Portalログインにリダイレクトされる必要があります。
SAP NetWeaver Enterprise Portal管理者ログインIDを使用してログインします。
管理者は、使用可能な管理機能を実行できることが必要です。
非管理ユーザーとしてログインします。
このユーザーは、非管理機能を実行できることが必要です。
次の手順は、OB_USERヘッダー変数を使用してSAP Enterprise Portalで外部認証を行うための手順です。
SAP Enterprise Portalに対する認証スキームの構成の詳細は、『SAP NetWeaver 7.0 Security Guide』を参照してください。
SAP J2EEディスパッチャとサーバーを停止します。
次のディレクトリに移動します。
SAP_J2EE_engine_install_dir\ume
authschemes.xml.bakファイルを別のディレクトリにバックアップします。
authschemes.xml.bakの名前をauthschemes.xmlに変更します。
エディタにauthschemes.xmlを開いて、次のようにデフォルト認証スキームの参照を認証スキーム・ヘッダーに変更します
<authscheme-refs>
<authscheme-ref name="default">
<authscheme>header</authscheme>
<authscheme>uidpwdlogon</authscheme>
</authscheme-ref>
</authscheme-refs>
authschemes.xmlの認証スキーム・ヘッダーで、アクセス・システムによってユーザーIDが指定されるHTTPヘッダー変数の名前を指定します。
55-7ページの「SAP Enterprise Portal用のAccess Manager 11.1.2の構成」で説明されているように、これはOB_USERヘッダー変数です。このヘッダー変数を次のように構成します。
<authscheme name="header">
<loginmodule>
<loginModuleName>
com.sap.security.core.logon.imp.HeaderVariableLoginModule
</loginModuleName>
<controlFlag>REQUISITE</controlFlag>
<options>Header=OB_USER</options>
</loginmodule>
<priority>5</priority>
<frontEndType>2</frontEndType>
<frontEndTarget>com.sap.portal.runtime.logon.header</frontEndTarget>
</authscheme>
制御フラグ値REQUISITEは、ログイン・モジュールの成功が必須条件であることを意味します。ログインが成功すると、ログイン・モジュール・リストを介して認証が続行されます。失敗した場合、すぐに制御がアプリケーションに返され、認証はログイン・モジュール・リストを介して続行されません。
ポータル・サーバーとJ2EEエンジンを再起動します。
変更されたauthschemes.xmlファイルがポータル・コンテンツ・ディレクトリ(PCD)にロードされます。SAP Enterprise Portalは、この名前をauthschemes.xml.bakに変更します。
ログアウトを構成するには:
SAP Enterprise PortalとAccess Managerの両方でシングル・サインオン・セッションからのログアウトを有効にするには、SAP Enterprise Portalの管理インタフェースからログアウトURLを構成します。
管理インタフェースのURLは次のとおりです。
http://SAP_host:port/irj/
SAP_hostは、SAP Enterprise Portalをホストするマシン名で、portは、ポータルのリスニング・ポートです。
管理インタフェースから、「System Administration」→「System Configuration」→「UM Configuration」→「Direct Editing」の順に選択します。
構成ファイルの最後に次の行を追加します。
ume.logoff.redirect.url=http(s)://proxy_host:port/logout.html ume.logoff.redirect.silent=false
http(s)はhttpかhttpsのいずれかになり、proxy_hostは、プロキシWebサーバーの名前で、portは、プロキシのリスニング・ポートになります。
変更を保存し、ログアウトします。
適切なログイン・モジュール・スタックまたはテンプレートにHeaderVariableLoginModuleを追加し、ここで説明するように、オプションを構成します。
表55-1 ヘッダー変数を使用するためのログイン・モジュール・スタック
| ログイン・モジュール | フラグ | Options |
|---|---|---|
|
EvaluateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true
|
|
HeaderVariableLoginModule |
OPTIONAL |
{ume.configuration.active=true, Header=<header_name>}
|
|
CreateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true}
|
|
BasicPasswordLoginModule |
REQUISITE |
{}
|
|
CreateTicketLoginModule |
OPTIONAL |
{ume.configuration.active=true}
|
ヘッダー変数を使用するためにログイン・モジュール・スタックを調整するには、次の手順に従います。
次の場所からVisual Administratorツールを実行します。
SAPJ2EEEngine_install_dir\j2ee\admin\go.bat
Visual Administratorで、セキュリティ・プロバイダを選択します。
鉛筆アイコンを選択して、編集モードに切り替えます。
「Policy Configurations」、「Authentication」の順に選択します。
ヘッダー変数認証をサポートするための各テンプレートまたはアプリケーションに対して、ログイン・モジュールHeaderVariableLoginModuleをログイン・モジュール・スタックに追加します(表55-1参照)。
次の手順は、SAP NetWeaver Enterprise Portalへのログインを保護するようにAccess Manager内のセキュリティ・ポリシーを構成するための手順です。アプリケーション・ドメインの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
SAP NetWeaver Enterprise Portal用にAccess Managerを構成するには、次の手順に従います。
Oracle Access Managementコンソールにログインします。
「起動パッド」が開きます。
「Access Manager」セクションのドロップダウン・メニューをクリックして、「11g Webゲートの作成」を選択します。
「11g Webゲートの作成」ページが開きます。
フォームに必要な情報を入力し、この統合用のWebGateを作成します。例:
名前: SAP_AG
ホスト識別子: Apacheプロキシ・ホスト
ポリシーの自動作成: 有効(選択)
パブリック・リソース・リスト: このリストにパブリック・リソースを追加します。
適用: クリックしてWebGateを作成します。
「認可ポリシー」タブをクリックし、次に「認可ポリシーの作成」ボタンをクリックして、新しいページを開きます(第20章)。
「サマリー」タブ: 情報を「サマリー」タブに追加します。
リソースの追加: リソースを特定のポリシーに追加するには、そのリソースをアプリケーション・ドメイン内で定義する必要があります。
「認可ポリシー」ページの「リソース」タブをクリックします。
「リソース」タブの「追加」ボタンをクリックします。
「検索」ボタンをクリックします。
「結果」表内のURLをクリックし、「選択済の追加」をクリックします。
これらの手順を繰り返して、さらにリソースを追加します。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
レスポンス: 「SSOのポリシー・レスポンスの追加および管理」の説明に従って、ポリシーのレスポンスを追加します。
条件: 「認可ポリシー条件の定義」の説明に従って、認可条件を追加します。
条件: 「認可ポリシー・ルールの定義」の説明に従って、認可ルールを追加します。
終了する際はページを閉じます。
このセクションでは、次のタスクについて説明します。
この項の手順を実行する前に、SAP NetWeaver Enterprise Portalバージョン7.4.xをインストールします。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従って、Access Manager 11.1.2をインストールします。
apache.orgから指示されているインストール手順に従って、Apache HTTP Server 2.0.xまたは2.2.xをインストールします。
SAP Enterprise Portal 7.4インスタンスへのプロキシ接続をサポートする各Apache HTTP Serverインスタンスに対して、11g WebGateのインストールと構成を行います。詳細は、「Oracle Access ManagerのためのWebgateのインストール」を参照してください。
SAP NetWeaver Enterprise PortalとAccess Managerコンポーネントがインストールされているすべてのサーバーで、時間を同期します。
ユーザーが、Access Manager LDAPディレクトリとSAP R3システム・データベース上に存在していることを確認します。
Access ManagerとSAPデータベース内のユーザーIDは、同じであるか、それぞれにマップされている必要があります。ユーザーのプロファイル内の属性は、SAP IDとして構成して、SAPに直接渡すことができます。または、SAP IDを、Access Managerから受け取る任意のユーザー属性にマップするようにSAPを構成することもできます。
WebブラウザがCookieを受け入れるように構成されていることを確認します。
|
注意: Access Manager 11.1.2とSAP NetWeaver Enterprise Portalを統合する前に、次のトピックの確認をお薦めします。
|
SAP NetWeaver Enterprise Portalログインを保護するAccess Managerセキュリティ・ポリシーを構成するには、次の手順を実行します。アプリケーション・ドメインの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
Oracle Access Managementコンソールにログインします。
「起動パッド」が開きます。
「Access Manager」セクションのドロップダウン・メニューをクリックして、「11g Webゲートの作成」を選択します。
「11g Webゲートの作成」ページが開きます。
フォームに必要な情報を入力し、この統合用のWebGateを作成します。例:
名前: SAP_AGなど、意味のある名前を入力します。名前には空白を含めないでください。
アクセス・クライアント・パスワード: WebGateのインストール中に使用するパスワードを入力します。
セキュリティ: WebGateとOAMサーバーとの間に発生する通信の種類を選択します。
「適用」をクリックします。
確認ページが開きます。
確認ページの下段にある「サーバー・リスト」セクションで、WebGateを定義済のAccessサーバーに関連付けます。
「適用」をクリックします。
「起動パッド」ページで、「Access Manager」セクションを開いて「ホスト識別子」をクリックします。
「検索」をクリックした後に、検索結果の中からWebGateをクリックします。
Apacheプロキシ用の完全修飾されたプロキシ・マシン名とポートを使用して、ホスト識別子を構成します。
「アプリケーション・ドメイン」をクリックして、WebGateの作成に使用したアプリケーション・ドメイン名(SAP_WGなど)を検索します。
検索結果の中からアプリケーション・ドメイン名をクリックして開きます。
「リソース」タブをクリックして、WebGatesが保護すべきリソースを検索します。検索結果からリソースを選択して、「作成」ボタンをクリックします。
フォームに入力して「適用」をクリックします。
タイプ: HTTP
リソースURL: /irj
保護レベル: 保護
認証ポリシー: 保護リソース・ポリシー
認可ポリシー: 保護リソース・ポリシー
「認証ポリシー」タブをクリックしてから、「保護されたリソース・ポリシー」をクリックします。
「認証スキーム」ドロップダウンから、このドメインに構成したい適切な認証アプリケーション・スキームを選択します。たとえば、フォームベースの認証ポリシー(FAAuthScheme)に対しては、次の内容を入力します。
名前: 保護リソース・ポリシー
認証スキーム: FAAuthScheme
|
注意: ベーシックオーバーLDAPとフォームベース認証のいずれかを選択します。フォームベースの認証スキームを使用することをお薦めします。基本認証スキームを使用する場合には、さらに「チャレンジ・リダイレクト」フィールドを他のWebGateに設定して、 |
「適用」をクリックして、変更を保存します。
「認可ポリシー」タブをクリックしてから、「保護されたリソース・ポリシー」.をクリックします。
「レスポンス」タブをクリックし、次の内容を追加します。
タイプ: ヘッダー
名前: OAM_REMOTE_USER
値: 同一アカウント名
「認可ポリシー」の他のタブには、条件とルールが含まれています。
条件: ユーザーのリストを作成し、グループにまとめます。
ルール: 「条件」タブで作成したユーザーのグループに対するアクセスの許可または拒否を行います。
「適用」をクリックして、変更を保存します。
フォームベースの認証スキームを構成した場合には、login.htmlページがプロキシ・サーバーのドキュメント・ルートに構成されていることを確認します。
さらに、logout.htmlページがプロキシWebサーバーのドキュメント・ルートに存在していることを確認します。HTML、JSPファイルまたはCGIプロトコルを使用して、カスタムのログアウト・ページを作成できます。
デフォルトのログアウト・ページ(logout.html)は、次の場所にあります。
WebGate_install_dir/webgate/apache/oamsso/logout.html
説明:
WebGate_install_dirは、WebGateのインストール先ディレクトリです。ログアウト・ページの名前にlogoutという文字列が含まれていることを確認してください。
OAM_REMOTE_USERヘッダー変数によって返されるユーザーIDが、SAP Enterprise 7.4のユーザー管理データ・ソースに存在することを確認します。
「起動パッド」ページで、「Access Manager」セクションを開いて「認証スキーム」をクリックします。
使用する認証スキームを選択します。このスキームは、WebGateのアプリケーション・ドメインの中で選択したスキームとします。
次の手順に従って、SAP Enterprise Portal 7.4にアクセスするためのプロキシを構成します。
Apacheプロキシを非SSLモードかSSLモードで設定します。詳細は、Apacheのドキュメントを参照してください。
HTTPS通信をSAP Enterprise Portal 7.4で使用する場合は、SSLモードを使用します。
SAP Enterprise Portal 7.4に対するプロキシを有効化するには、httpd.confファイルに次の内容を追加します。
ProxyRequests Off
ProxyPass /http://sap_host:port/
ProxyPassReverse / http://sap_host:port//
ProxyPreserveHost On
説明:
sap_host: SAP Enterprise Portal 7.4インスタンスをホストするマシンの名前です。
port: SAP Enterprise Portal 7.4インスタンスのリスニング・ポートです。
このディレクティブのセットは、http://apache_host:port/irjまたはhttps://apache_host:port/irjという形式のWebサーバーに対するリクエストは、すべてhttp://sap_host:port/irjまたはhttps://sap_host:port/irjにリダイレクトされることを指定するものです。
次のプロキシ関連モジュールのコメントを解除します。
LoadModule proxy_module modules/mod_proxy.so
LoadModule proxy_http_module modules/mod_proxy_http.so
プロキシWebサーバーを再起動します。
ブラウザを開いて、次のURLにアクセスします。
Non-SSL: http//apachehost:port/irj
SSL: https://apachehost:port/irj
このリクエストは、SAP Enterprise Portal 7.4ログインIDにリダイレクトされる必要があります。
SAP Enterprise Portal 7.4管理者ログインIDを使用してログインします。
管理者としてログインした際に、提供された管理機能を実行できることを確認します。
非管理ユーザーとしてログインします。
ログインした際に、提供された非管理機能を実行できることを確認します。
次の手順を実行して、OAM_REMOTE_USERヘッダー変数を使用してSAP Enterprise Portal 7.4の外部認証を有効化します。
|
注意: SAP Enterprise Portal.の認証スキームの構成の詳細は、SAP Enterprise Portal 7.4 Enterprise Postalセキュリティ・ガイドを参照してください。 |
SAP Enterprise Portal 7.4とAccess Managerの両方でシングル・サインオン・セッションからのログアウトを有効にするには、SAP NetWeaver Administratorインタフェースを使用してログアウトURLを構成します。
SAP NetWeaver Portal Logoff URL (ume.logoff.redirect.url)を適切なログアウトURLに設定します。
次の場所にあるconfigtool.batファイルを実行して、構成ツールを開きます。
SAP_J2EE_engine_install_dir\configtool
構成エディタ・モードに切り替えてから編集モードを選択して、構成を編集する準備を行います。
com.sap.security.core.ume.serviceのワーカーノード・サービス用にプロパティを編集します。
ステップ1で構成したログオフURLを使用して、ume.logoff.redirect.urlプロパティとume.logoff.redirect.silentプロパティを更新します。
ume.logoff.redirect.url=http(s)://proxy_host:port/logout.html
ume.logoff.redirect.silent=false
変更内容を保存して、構成ツールを閉じます。
SAP J2EEディスパッチャとサーバーを停止します。
次の場所にあるconfigtool.batファイルを実行して、構成ツールをもう一度開きます。
SAP_J2EE_engine_install_dir\configtool
構成エディタ・モードに切り替えてから編集モードを選択して、構成を編集する準備を行います。
authschemes.xmlファイルをバックアップします(cluster_config→globals→clusternode_config→workernode→services→com.sap.security.core.service→persistent)。
エディタにauthschemes.xmlを開いて、次のようにデフォルト認証スキームの参照を認証スキーム・ヘッダーに変更します
<authscheme-refs>
<authscheme-ref name="default">
<authscheme>header</authscheme>
</authscheme-ref>
</authscheme-refs>
<authscheme-ref name="default"> ----------------> (for fall back)
<authscheme>uidpwdlogon</authscheme>
</authscheme-ref>
</authscheme-refs>
authschemes.xmlの認証スキーム・ヘッダーを開いて、アクセス・システムによってユーザーIDが指定されるHTTPヘッダー変数の名前を指定します。このヘッダー変数を次のように構成します。
<authscheme name="header">
<loginmodule>
<loginModuleName>
com.sap.security.core.logon.imp.HeaderVariableLoginModule
</loginModuleName>
<controlFlag>REQUISITE</controlFlag>
<options>Header=OAM_REMOTE_USER</options>
</loginmodule>
<priority>5</priority>
<frontEndType>2</frontEndType>
<frontEndTarget>com.sap.portal.runtime.logon.header</frontEndTarget>
</authscheme>
REQUISITE制御フラグ値は、ログイン・モジュールの成功が必須条件であることを示しています。ログインが成功すると、ログイン・モジュール・リストを介して認証が続行されます。失敗した場合、すぐに制御がアプリケーションに返され、認証はログイン・モジュール・リストを介して続行されません。
XMLを同じ場所に保存します。
ポータル・サーバーとJ2EEエンジンを再起動します。
変更されたauthschemes.xmlファイルがポータル・コンテンツ・ディレクトリ(PCD)にロードされます。SAP Enterprise Portal 7.4はその名前をauthschemes.xml.bakに変更します。
NetWeaver Adminコンソールを使用して適切なログイン・モジュール・スタックまたはテンプレートにHeaderVariableLoginModuleを追加し、ここで説明するようにオプションを構成します。コンソールで、「構成」→「認証とシングル・サインオン」を選択します。「認証」タブの下の「ログイン・モジュール」をクリックします。HeaderVariableLoginModuleログイン・モジュールを選択してから、ログイン・モジュール使用タブから「チケット」を選択し、ヘッダー変数認証をサポートするテンプレートやアプリケーションそれぞれに対して、ログイン・モジュール・スタックにHeaderVariableLoginModuleログイン・モジュールを追加します。
表55-2 ヘッダー変数を使用するためのログイン・モジュール・スタック
| ログイン・モジュール | フラグ | Options |
|---|---|---|
|
EvaluateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true
|
|
HeaderVariableLoginModule |
OPTIONAL |
{ume.configuration.active=true, Header=<header_name>}
|
|
CreateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true}
|
|
BasicPasswordLoginModule |
REQUISITE |
{}
|
|
CreateTicketLoginModule |
OPTIONAL |
{ume.configuration.active=true}
|
次の手順で、統合をテストします。
フロントエンド統合のテスト手順
次の手順で、Webブラウザを使用して統合をテストできます。
保護されているURLを開きます。たとえば、https://host:port/irjと入力します。
Access Managerから、認証要求が発生する必要があります(フォームベース認証、Basic over LDAP認証、証明書モード認証)。
正しいユーザー資格証明を入力します。
資格証明が正しい場合、SAP NetWeaver Enterprise Portalシステムにログインされます。
バックエンド統合のテスト手順
この手順を実行するには、ブラウザがリソースを要求するときに発生するHTTPリクエストとレスポンスを表示するWebブラウザ用プラグインをダウンロードして、インストールする必要があります。このようなプラグインとして、Live HTTP Headers for FirefoxまたはieHTTPHeaders for Internet Explorerがあります。
プラグインを開いて、ブラウザに、保護されたリソースを要求するURLを入力します。たとえば、https://host:port/irjと入力します。
プラグイン・ウィンドウに、HTTPリクエストとレスポンスが移入されます。
リクエストとレスポンスを分析して、各リクエストがエラーなしでレスポンスを返すことを確認します。
ユーザーの認証後、HTTPヘッダー・ログに、いくつかのセッションと、設定されているCookieを確認できます。次のようなCookieが設定されます。
ObSSOCookie
JSESSIONID
OAM_ID
OAM_REQ
リクエストがSAP NetWeaver Enterprise Portalに到達すると、ヘッダー・ログでEnterprise Portalシステムからレスポンスを受け取ります。
この項では、この統合で発生する問題のトラブルシューティングに役立つ情報を提供します。
問題: ブラウザからプロキシ・サーバー経由でSAP 7.0.x管理インタフェースにアクセスしようとすると、問題が発生します。「オブジェクトが見つかりません」というエラーと、関連するJavaScriptエラーが表示されます。
解決策: SAPから提供されているSAP NetWeaver 7.0.xプロダクト・アベイラビリティ・マトリックスで、サポートされているブラウザを確認してください。
