Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.2.0) B71104-05 |
|
前 |
次 |
この章では、Oracle Access Management Access Manager (Access Manager)をOracle Identity Navigatorと統合する方法について説明します。この統合シナリオにより、Webゲート・エージェントを使用してOracle Identity NavigatorをAccess Managerで保護できます。この章の手順では、Oracle Internet Directoryがアイデンティティ・ストアとして構成されていることを前提としています。他のコンポーネント構成も可能です。サポートされている構成の詳細は、Oracle Technology Networkにあるシステム要件と動作保証情報のドキュメントを参照してください。
注意: リリース11.1.1.5.0以降では、Oracle Identity Navigatorはドメイン・エージェントによってそのまますぐに保護されます。以前のリリースでは、これとは異なり、URLを保護するために手動構成が必要でした。 |
この章の内容は次のとおりです。
Access Managerでは、任意のAccess Manager認証スキームをチャレンジ・メソッドとして使用して、Oracle Identity Navigator管理コンソールのSSOを有効化できます。
注意: これは、URLを保護するために使用されるAccess Managerの特定の例です。記述されている内容はこのタイプの構成に一般的な方法ですが、ここで使用されているものと完全に同じ手順およびコンポーネントを使用しなくてもかまいません。たとえば、Oracle Internet Directoryは、Access Manager 11gに対して動作保証されているいくつかのアイデンティティ・ストアの1つです。 |
前提条件を次に示します。
Oracle HTTP Serverがインストールされています。
Oracle HTTP Serverのインストール時に、「Oracle Webcache」および「選択されたコンポーネントとWebLogicドメインの関連付け」の選択を解除します。
Access Manager 11gが適切にインストールされ、構成されています。
Oracle HTTP Server 11gがOracle Identity NavigatorのフロントエンドのプロキシWebサーバーとしてインストールされ、構成されています。
Oracle HTTP Server 11g用のAccess Manager 11g WebゲートがOracle HTTP Server 11g上にインストールされています。
関連項目: リストされているコンポーネントのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 |
SSO有効化の大まかな手順は次のとおりです。
Oracle Access Management管理コンソールを使用して、Oracle Identity NavigatorのURLを保護するエージェント用に新しいリソースを構成します。詳細は、「エージェント用の新しいリソースの構成」を参照してください。
構成済のリソースおよびポリシーを持つAccess Managerドメインを指すように、Oracle HTTP Serverを構成します。詳細は、「Access Managerドメイン用のOracle HTTP Serverの構成」を参照してください。
Oracle WebLogic Server管理コンソールを使用して、2つの新しいアイデンティティ・プロバイダ、つまりOAMIdentityAsserterおよびOIDAuthenticatorを追加します。詳細は、「新しいアイデンティティ・プロバイダの追加」を参照してください。
Oracle Directory Services Manager (ODSM)を使用して、ログイン・ユーザーに管理者権限を付与します。詳細は、「新しいアイデンティティ・プロバイダの追加」を参照してください。
WLSTコマンドを使用して、ブラウザ・セッションで複数のタブを使用する複数のアプリケーションに対するアクセスを有効にします。詳細は、「複数のアプリケーションに対するアクセスの構成」を参照してください。
Oracle Access Management管理コンソールで、次の手順を実行します。
「ポリシー構成」タブを選択します。
「アプリケーション・ドメイン」で、Oracle Identity NavigatorのURLを保護するエージェントを選択します(たとえば、-OIMDomain)。
「リソース」を選択し、作成アイコンをクリックして新しいリソースを追加します。タイプ、ホスト識別子および値(/oinav/…/*
)を入力し、「適用」ボタンをクリックします。
保護付きポリシー、または認証スキーマがLDAPスキーマであるポリシーを選択します。リソース表で「追加」アイコンをクリックし、ドロップダウン・リストからOracle Identity NavigatorのURL (/oinav/…/*
)を選択します。
認可ポリシーについて、手順を繰り返します。
Oracle HTTP Serverが、Oracle Identity NavigatorがインストールされているOracle WebLogic Serverコンテナのフロントエンドとなるように、次の手順を実行します。
Oracle HTTP Serverサーバーのconfig
ディレクトリ(たとえば、/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/config/OHS/ohs1
)にナビゲートし、mod_wl_ohs.conf
ファイルを見つけます。
<IfModule mod_weblogic.c>
ブロックで、保護するOracle Identity Navigator URLのホストおよびポート番号(管理対象サーバー)を追加します。次に例を示します。
MatchExpression /oinav* WebLogicHost=host WebLogicPort=port
Oracle HTTP Serverインストールのbin
ディレクトリ(たとえば、/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/bin
)で、次のコマンドを実行することによってOracle HTTP Serverサーバーを再起動します。
-./opmnctl restartproc ias=component=ohs1
次の手順を実行し、2つの新しいアイデンティティ・プロバイダを追加し、ログイン・ユーザーに管理者権限を付与します。
Oracle WebLogic Server管理コンソールを使用して、「セキュリティ・レルム」→「myreleam」→「プロバイダ」にナビゲートします。
OAMIdentityAsserterとOIDAuthenticatorの2つのプロバイダを追加します。
OAMIdentityAsserterの「制御フラグ」をRequired
に設定します。
OIDAuthenticatorで次の設定を更新します。
「制御フラグ」をSufficient
に設定します。
「プロバイダ固有」タブを選択し、必要な変更を加えてOracle Internet Directoryサーバーのホスト、ポートおよびその他の資格証明を指定します。OID Authenticatorで正しいLDAP設定を構成します。
LDAPのユーザーおよびグループがコンソールに反映されます。
Oracle Directory Services Manager (ODSM)を使用して、ログイン・ユーザーに管理者権限を付与します。
Access Managerに関連付けられたLDAPサーバー内にユーザーを作成します(たとえば、uid=testuser,cn=users,dc=us,dc=oracle,dc=com
)。
LDAPディレクトリ内に管理者グループを作成します(つまり、cn=Administrators,cn=groups,dc=us,dc=oracle,dc=com
)。
ユーザーtestuser
を管理者グループに追加することによって、このユーザーに管理者ロールを割り当てます。
これで、このユーザーによるOracle Identity NavigatorへのSSOをテストできるようになりました。
次のようにプロバイダの順番を変更します。
OAMIdentityAsserter
オーセンティケータ
デフォルト・オーセンティケータ
デフォルトIDアサーション・プロバイダ
Oracle WebLogic Serverを再起動します。
Oracle HTTP Serverインストールのホストおよびポートを含む、保護されたOracle Identity Navigator URLを入力します。
http://OHSHost:OHSPort/oinav/faces/idmNag.jspx
SSO保護が11g OAMサーバーによって提供される場合、次の手順が適用されます。次の手順を実行して、FORMキャッシュ・モードに変更することで、単一のブラウザ・セッションで複数のタブを使用するアプリケーションに対するアクセスを構成します。
Access Manager管理対象サーバーを停止します。
次のオンラインAccess Manager WLSTコマンドを実行します。
configRequestCacheType(type='FORM')
Access Manager管理対象サーバーを再起動します。