5 Oracle Identity Navigatorとの統合

この章では、Oracle Access Management Access Manager (Access Manager)をOracle Identity Navigatorと統合する方法について説明します。この統合シナリオにより、Webゲート・エージェントを使用してOracle Identity NavigatorをAccess Managerで保護できます。この章の手順では、Oracle Internet Directoryがアイデンティティ・ストアとして構成されていることを前提としています。他のコンポーネント構成も可能です。サポートされている構成の詳細は、Oracle Technology Networkにあるシステム要件と動作保証情報のドキュメントを参照してください。

注意:

リリース11.1.1.5.0以降では、Oracle Identity Navigatorはドメイン・エージェントによってそのまますぐに保護されます。以前のリリースでは、これとは異なり、URLを保護するために手動構成が必要でした。

この章の内容は次のとおりです。

第5.1項「シングル・サインオンの有効化」

5.1 シングル・サインオンの有効化

Access Managerでは、任意のAccess Manager認証スキームをチャレンジ・メソッドとして使用して、Oracle Identity Navigator管理コンソールのSSOを有効化できます。

注意:

これは、URLを保護するために使用されるAccess Managerの特定の例です。記述されている内容はこのタイプの構成に一般的な方法ですが、ここで使用されているものと完全に同じ手順およびコンポーネントを使用しなくてもかまいません。たとえば、Oracle Internet Directoryは、Access Manager 11gに対して動作保証されているいくつかのアイデンティティ・ストアの1つです。

前提条件を次に示します。

Oracle HTTP Serverがインストールされています。

Oracle HTTP Serverのインストール時に、「Oracle Webcache」および「選択されたコンポーネントとWebLogicドメインの関連付け」の選択を解除します。
Access Manager 11gが適切にインストールされ、構成されています。
Oracle HTTP Server 11gがOracle Identity NavigatorのフロントエンドのプロキシWebサーバーとしてインストールされ、構成されています。
Oracle HTTP Server 11g用のAccess Manager 11g WebゲートがOracle HTTP Server 11g上にインストールされています。

5.1.1 エージェント用の新しいリソースの構成

Oracle Access Management管理コンソールで、次の手順を実行します。

「ポリシー構成」タブを選択します。
「アプリケーション・ドメイン」で、Oracle Identity NavigatorのURLを保護するエージェントを選択します(たとえば、-OIMDomain)。
「リソース」を選択し、作成アイコンをクリックして新しいリソースを追加します。タイプ、ホスト識別子および値(/oinav/…/*)を入力し、「適用」ボタンをクリックします。
保護付きポリシー、または認証スキーマがLDAPスキーマであるポリシーを選択します。リソース表で「追加」アイコンをクリックし、ドロップダウン・リストからOracle Identity NavigatorのURL (/oinav/…/*)を選択します。
認可ポリシーについて、手順を繰り返します。

5.1.2 Access Managerドメイン用のOracle HTTP Serverの構成

Oracle HTTP Serverが、Oracle Identity NavigatorがインストールされているOracle WebLogic Serverコンテナのフロントエンドとなるように、次の手順を実行します。

Oracle HTTP Serverサーバーのconfigディレクトリ(たとえば、/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/config/OHS/ohs1)にナビゲートし、mod_wl_ohs.confファイルを見つけます。
<IfModule mod_weblogic.c>ブロックで、保護するOracle Identity Navigator URLのホストおよびポート番号(管理対象サーバー)を追加します。次に例を示します。
```
MatchExpression /oinav* WebLogicHost=host WebLogicPort=port
```
Oracle HTTP Serverインストールのbinディレクトリ(たとえば、/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/bin)で、次のコマンドを実行することによってOracle HTTP Serverサーバーを再起動します。
```
-./opmnctl restartproc ias=component=ohs1
```

5.1.3 新しいアイデンティティ・プロバイダの追加

次の手順を実行し、2つの新しいアイデンティティ・プロバイダを追加し、ログイン・ユーザーに管理者権限を付与します。

Oracle WebLogic Server管理コンソールを使用して、「セキュリティ・レルム」→「myreleam」→「プロバイダ」にナビゲートします。
OAMIdentityAsserterとOIDAuthenticatorの2つのプロバイダを追加します。
OAMIdentityAsserterの「制御フラグ」をRequiredに設定します。
OIDAuthenticatorで次の設定を更新します。
- 「制御フラグ」をSufficientに設定します。
- 「プロバイダ固有」タブを選択し、必要な変更を加えてOracle Internet Directoryサーバーのホスト、ポートおよびその他の資格証明を指定します。OID Authenticatorで正しいLDAP設定を構成します。
LDAPのユーザーおよびグループがコンソールに反映されます。
Oracle Directory Services Manager (ODSM)を使用して、ログイン・ユーザーに管理者権限を付与します。
1. Access Managerに関連付けられたLDAPサーバー内にユーザーを作成します(たとえば、uid=testuser,cn=users,dc=us,dc=oracle,dc=com)。
2. LDAPディレクトリ内に管理者グループを作成します(つまり、cn=Administrators,cn=groups,dc=us,dc=oracle,dc=com)。
3. ユーザーtestuserを管理者グループに追加することによって、このユーザーに管理者ロールを割り当てます。
4. これで、このユーザーによるOracle Identity NavigatorへのSSOをテストできるようになりました。
次のようにプロバイダの順番を変更します。
1. OAMIdentityAsserter
2. オーセンティケータ
3. デフォルト・オーセンティケータ
4. デフォルトIDアサーション・プロバイダ
Oracle WebLogic Serverを再起動します。
Oracle HTTP Serverインストールのホストおよびポートを含む、保護されたOracle Identity Navigator URLを入力します。
```
http://OHSHost:OHSPort/oinav/faces/idmNag.jspx
```

5.1.4 複数のアプリケーションに対するアクセスの構成

SSO保護が11g OAMサーバーによって提供される場合、次の手順が適用されます。次の手順を実行して、FORMキャッシュ・モードに変更することで、単一のブラウザ・セッションで複数のタブを使用するアプリケーションに対するアクセスを構成します。

Access Manager管理対象サーバーを停止します。
次のオンラインAccess Manager WLSTコマンドを実行します。
```
configRequestCacheType(type='FORM')
```
Access Manager管理対象サーバーを再起動します。