Oracle® Fusion Middleware Oracle Identity and Access Management移行ガイド 11gリリース2 (11.1.2.3.0) E67359-01 |
|
前 |
次 |
この章では、Sun Java System Access Manager 7.1からOracle Access Management Access Manager 11.1.2.3.0に移行した後、Sun Java System Access Manager 7.1とOracle Access Management Access Manager (Access Manager) 11gリリース2 (11.1.2.3.0)のデプロイメントが共存する環境の設定方法について説明します。
この章には次の項が含まれます:
Sun Java System Access Manager 7.1からOracle Access Manager 11.1.2.3.0への移行プロセス時に、一部のアプリケーションはSun Java System Access Manager 7.1で保護され、その他のアプリケーションはAccess Manager 11.1.2.3.0で保護されるようにSun Java System Access Manager 7.1とAccess Manager 11gの両方のデプロイメントを共存できます。エンドユーザーがこれらのアプリケーション間を移動する場合、シームレスなシングル・サインオンの経験があることが望まれます。これを共存モードと言います。
このモードでは、Access Manager 11.1.2.3.0は、移行したアプリケーションや、Access Manager 11.1.2.3.0に登録された新しいアプリケーションを保護し、Sun Java System Access Manager 7.1は、Access Manager 11.1.2.3.0に移行されないアプリケーションを引き続き保護します。
この共存モードでは、Sun Java System Access Manager 7.1は、Access Manager 11.1.2.3.0で保護されるすべてのリソースの認証を行います。
図11-1は、保護されたリソースへのアクセスをユーザーがリクエストした際にSun Java System Access Manager 7.1サーバーで行われる認証を示しています。
図11-1 Sun Java System Access Manager 7.1とAccess Manager 11.1.2.3.0の共存
トポロジは、Sun Java System Access Manager 7.1とAccess Manager 11.1.2.3.0の非結合環境で構成されます。トポロジ内の数字1-8は、共存環境でリクエストがフローする順序を示しています。リクエスト・フローについては、「表11-1」を参照してください。
トポロジの説明
Agent-1
: Resource-1
を保護するポリシー・エージェント2.2です。このエージェントは、Access Manager 11.1.2.3.0サーバーと通信する必要があります。リモート登録ツールを使用すると、2.2エージェントをAccess Manager 11.1.2.3.0サーバーに直接登録できます。
Agent-2
: Sun Java System Access Manager 7.1に登録されるポリシー・エージェント2.2です。これは、Access Manager 11.1.2.3.0サーバーのエンドポイントURLを保護します。Sun Java System Access Manager 7.1サーバーでこのエージェント用のプロファイルを作成し、新しいポリシー・エージェント(2.2)をインストールする必要があります。
Agent-3
およびAgent-4
: Sun Java System Access Manager 7.1に登録されるポリシー・エージェント(2.2)です。
Resource-1
: Access Manager 11.1.2.3.0サーバーと通信するAgent-1
で保護されるリソースです。
Policy-1
: Resource-1
を保護するためにAccess Manager 11.1.2.3.0サーバーで作成されるポリシーです。このポリシーは、「Access Manager 11.1.2.3.0でのResource-1を保護する認証ポリシーの作成」タスクの一環として作成されます。
Policy-2
: Agent-2
で保護されるAccess Manager 11.1.2.3.0のOpenSSOプロキシ・エンドポイント用にSun Java System Access Manager 7.1サーバーで作成されるポリシーです。このポリシーは、「Agent-2によるAccess Manager 11gサーバーのエンドポイントURLの保護」タスクの一環で作成されます。
表11-1は、リクエスト・フローの説明です。手順列の数字は、図11-1のトポロジに示される数字と対応しています。
表11-1 リクエスト・フロー
手順 | 説明 |
---|---|
1 |
Access Manager 11.1.2.3.0サーバーと通信する |
2 |
|
3 |
Access Manager 11.1.2.3.0サーバーのエンドポイントは、Sun Java System Access Manager 7.1サーバーと通信する したがって、 |
4 |
Sun Java System Access Manager 7.1サーバーのLDAP認証モジュールによって、LDAPのユーザー名とパスワードの入力が求められます。ユーザーはLDAPの有効な資格証明を入力する必要があります。 |
5 |
Sun Java System Access Manager 7.1サーバーは、ユーザーの資格証明を検証し、ユーザー・セッションをOpenSSO Enterprise 8.0セッションとして作成して、OpenSSO Enterprise 8.0のSSO cookie1をこのセッションIDで設定します。 |
6 |
Sun Java System Access Manager 7.1サーバーは、ユーザーをAccess Manager 11.1.2.3.0サーバー( |
7 |
Access Manager 11.1.2.3.0サーバーは、手順2( |
8 |
Access Manager 11.1.2.3.0サーバーは、Access Managerのセッションを作成してヘッダーを設定します。また、OAM_IDのCookieとSun Java System Access ManagerのSSO cookie2 (OpenSSOプロキシ経由)も設定し、ユーザーを
|
表11-2に、共存環境の構成手順を示します。
表11-2 完了するタスク
タスク番号 | タスク | 参照先 |
---|---|---|
1 |
構成プロセスを開始する前に、共存トポロジを理解して精通しておきます。 |
「共存のトポロジ」を参照してください。 |
2 |
前提条件を満たします。 |
「共存の前提条件」を参照してください。 |
3 |
Sun Java System Access Manager 7.1サーバーで また、Sun Java System Access Manager 7.1で、 |
|
4 |
Access Manager 11.1.2.3.0のデータ・ソースを構成します。 |
「Access Manager 11.1.2.3.0のデータ・ソースの構成」を参照してください。 |
5 |
Access Manager 11gで認証モジュールを更新し、第11.6項で構成されるデータ・ソースを示すようにユーザー・アイデンティティ・ストアを指定します。 |
|
6 |
Access Manager 11.1.2.1.0でAgent-1のプロファイルを作成し、Access Manager 11.1.2.1.0サーバーを指す新しいポリシー・エージェント2.2 (Agent-1)をインストールします。 |
|
7 |
Access Manager 11.1.2.3.0サーバーで、 |
「Access Manager 11.1.2.3.0でのResource-1を保護する認証ポリシーの作成」を参照してください。 |
8 |
Access Manager 11gとSun Java System Access Manager 7.1のCookie名が異なるように、Access Manager 11.1.2.3.0のデフォルトのCookie名を変更します。 |
|
9 |
Sun Java System Access Manager 7.1サーバーで、 |
「Sun Java System Access Manager 7.1サーバーでのAgent-2のプロファイルの更新」を参照してください。 |
10 |
Sun Java System Access Manager 7.1サーバーとAccess Manager 11.1.2.3.0サーバーの両方からログアウトを開始するように、ログアウト設定を構成します。 |
「ログアウト設定の構成」を参照してください。 |
11 |
構成を確認します。 |
「構成の確認」を参照してください。 |
この章で説明するタスクの実行を開始する前に、次の前提条件を満たします。
システム要件および動作保証のドキュメントを読み、環境がインストールする製品の最小要件を満たしていることを確認します。
Oracle Fusion Middlewareのシステム要件と仕様
このドキュメントには、ハードウェアとソフトウェアの要件、最小ディスク領域とメモリーの要件、および必要なシステム・ライブラリ、パッケージまたはパッチに関する情報が含まれます。
Oracle Fusion Middlewareのサポートされるシステム構成
このドキュメントには、サポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品に関する情報が含まれます。
インストール時に発生する可能性がある相互運用性および互換性の問題については、『Oracle Fusion Middleware相互運用および互換性ガイド』を参照してください。
Oracle Fusion Middleware製品が旧バージョンの他のOracle Fusion Middleware、Oracleまたはサード・パーティ製品と機能するために重要な情報がこのドキュメントに記載されています。この情報は、既存の環境をアップグレードする既存ユーザーと新しいOracle Fusion Middlewareユーザーの両方に適用されます。
注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。 |
使用しているSun Java System Access Managerのリリースが共存でサポートされていることを確認します。OpenSSOの共存がサポートされている開始ポイントの詳細は、第1.4項「移行および共存がサポートされている開始ポイント」を参照してください。
Sun Java System Access Manager 7.1とOracle Access Management Access Manager 11gリリース2 (11.1.2.3.0)のインストールが完了し、サーバーが動作していることを確認します。
Oracle Access Management Access Manager 11gリリース2 (11.1.2.3.0)のインストールと構成を行っていない場合、次のタスクを開始する前にこれらの作業を行う必要があります。Oracle Access Management Access Manager 11gリリース2 (11.1.2.3.0)のインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2.3.0)のインストールに関する項およびOracle Access Managementの構成に関する項を参照してください。
Sun Java System Access Manager 7.1およびAccess Manager 11.1.2.3.0が同じユーザー・ストアを共有することを確認します。
Sun Java System Access Manager 7.1サーバーおよびAccess Manager 11.1.2.3.0サーバーが異なるマシンで動作している場合は、これらのマシンの時刻が同期するようにします。
Sun Java System Access Manager 7.1でAgent-2
のプロファイルを作成し、Access Manager 11.1.2.3.0サーバーのエンドポイントURLを保護するポリシー・エージェント2.2を新規でインストールする必要があります。また、Sun Java System Access Manager 7.1サーバーでAccess Manager 11gサーバーのエンドポイントURLを保護するためのポリシーも作成する必要があります。そのためには、次のタスクを実行します。
Sun Java System Access Manager 7.1サーバーでのAccess ManagerのAgent-2プロファイルの作成
Sun Java System Access Manager 7.1サーバーでのAccess Managerのポリシーの作成
(図11-1に示されているように)Sun Java System Access Manager 7.1サーバーでAgent-2
プロファイルを作成します。手順は次のとおりです。
次のURLを使用してSun Java System Access Manager 7.1サーバーのコンソールにログインします。
http://host:port/amserver
このURLの内容は、次のとおりです。
host
は、Sun Java System Access Manager 7.1コンソール(管理サーバー)をホストするマシンの完全修飾ドメイン名を表します。
port
は、Sun Java System Access Manager 7.1コンソールに指定されたバインド・ポートを表します。
「アクセス制御」タブに移動します。
「レルム」表で、「レルム名」列の一番上のレルムをクリックします。
「サブジェクト」タブに移動して、「エージェント」タブをクリックします。
「新規」をクリックして新しいAgent-2
を作成し、そのエージェントに関する必要な詳細を指定します。
「OK」をクリックします。
Access Managerの前にAgent-2
(ポリシー・エージェント2.2)をインストールします。
ポリシー・エージェント2.2のインストールの詳細は、Sun Java System Access Managerポリシー・エージェント2.2ガイド(BEA WebLogic Server/ポータル10)のWebLogic Server/ポータル10のポリシー・エージェントのインストールに関する項を参照してください。
Access Manager 11.1.2.3.0サーバーをAgent-2
で保護するには、Webアプリケーションngsso-web.war
およびopenssoproxy-urlapper.war
を更新して、エージェント・フィルタ構成をweb.xml
ファイルに含めます。これを行うには、次の手順を実行します。
IAM_HOME
/oam/server/apps/oam-server.ear
からoam-server.ear
ファイルを解凍して、内容を一時ディレクトリに抽出します。
ngsso-web.war
ファイル、web.xml
ファイルの順に内容を抽出します。Access Manager 11.1.2.3.0サーバーをAgent-2
で保護するには、web.xml
ファイルを適切なエージェント・フィルタ構成で更新します。フィルタ定義をurl-pattern
のURL /server/opensso/login/*
で更新します。
次に例を示します。
<filter> <filter-name>Agent</filter-name> <filter-class>com.sun.identity.agents.filter.AmAgentFilter</filter-class> </filter> <filter-mapping> <filter-name>Agent</filter-name> <url-pattern>/server/opensso/login/*</url-pattern> </filter-mapping>
同じ場所IAM_HOME
/oam/server/apps/oam-server.ear
でopenssoproxy-urlmapper.war
ファイルの内容を抽出します。Access Manager 11.1.2.3.0サーバーをAgent-2
で保護するには、web.xml
ファイルを適切なエージェント・フィルタ構成で更新します。フィルタ定義をurl-pattern
のURL /UI/*
で更新します。
次に例を示します。
<filter> <filter-name>Agent</filter-name> <filter-class>com.sun.identity.agents.filter.AmAgentFilter</filter-class> </filter> <filter-mapping> <filter-name>Agent</filter-name> <url-pattern>/UI/*</url-pattern> </filter-mapping>
更新したngsso-web.war
ファイルとopenssoproxy-urlapper.war
ファイルを含めるようにoam-server.ear
ファイルを再パッケージします。
更新したoam-server.ear
ファイルを再デプロイします。
Sun Java System Access Manager 7.1サーバーで、Access Manager 11.1.2.3.0サーバーのエンドポイントURLを保護するポリシー(Policy-1
)を作成する必要があります。これを行うには、次の手順を実行します。
次のURLを使用してSun Java System Access Manager 7.1サーバーのコンソールにログインします。
http://host
:port
/amserver
このURLの内容は、次のとおりです。
host
は、Sun Java System Access Manager 7.1コンソール(管理サーバー)をホストするマシンの完全修飾ドメイン名を表します。
port
は、Sun Java System Access Manager 7.1コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
「アクセス制御」タブをクリックします。
「レルム」表で、「レルム名」列の一番上のレルムをクリックします。
「ポリシー」タブをクリックします。
新規ポリシーをクリックして、Access Manager 11.1.2.3.0サーバーのエンドポイントURLを保護するための新しいポリシーの詳細を入力します。この場合は、「ルール」はOAM_server_protocol
://
OAM_managed_server_host
:
OAM_managed_server_port
/opensso/UI/Login*?*
およびOAM_server_protocol
://
OAM_managed_server_host
:
OAM_managed_server_port
/oam/server/opensso/login*
にして、「サブジェクト」は認証されたユーザーにします。
「OK」をクリックします。
Access Manager 11.1.2.3.0のデータ・ソースを構成するには、次の手順を完了します。
次のURLを使用してOracle Access Manager 11.1.2.3.0コンソールにログインします。
http://host
:port
/oamconsole
このURLの内容は、次のとおりです。
host
は、Oracle Access Managerコンソール(管理サーバー)をホストするマシンの完全修飾ドメイン名を表します。
port
は、Oracle Access Management 11.1.2.3.0コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
「起動パッド」タブに移動します。
構成セクションで、「ユーザー・アイデンティティ・ストア」をクリックします。
「ユーザー・アイデンティティ・ストア」タブで、「OAM IDストア」の「作成」ボタンをクリックします。このデータ・ソースのタイプは、ODSEE
にします。構成およびユーザー・ストアとしてSun Java System Access Manager 7.1で使用されるSun Java System Directory Serverの詳細を提供する必要があります。
第11.6項で「ユーザー・アイデンティティ・ストア」として作成したデータ・ソースを指すように、OAM10gSchemeで使用される認証モジュールを更新する必要があります。これを行うには、次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2.3.0コンソールにログインします。
http://host
:port
/oamconsole
「システム構成」タブに移動します。
「Access Manager」→「認証モジュール」を開きます。
「LDAP認証モジュール」を開きます。
LDAPNoPasswordAuthModuleをクリックし、第11.6項で作成したデータ・ソースを指し示すように「ユーザー・アイデンティティ・ストア」を更新します。
リモート登録ツールを使用してAccess Manager 11.1.2.3.0でAgent-1
のプロファイルを作成し、Access Manager 11.1.2.3.0サーバーを指す新しいポリシー・エージェント2.2(Agent-1
)をインストールする必要があります。
Access Manager 11.1.2.3.0でのAgent-1
のプロファイルの作成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOpenSSOエージェントのリモート登録の実行に関する項を参照してください。
注意: Access Manager 11.1.2.3.0でポリシー・エージェント2.2のプロファイルを作成するには、リモート登録ツールを使用する必要があります。次に、Access Manager 11.1.2.3.0でAgent-1のプロファイルを作成するプロセスで使用する <OpenSSORegRequest> <serverAddress>oam_admin_server_host:oam_admin_server_port</serverAddress> <hostIdentifier>2.2_Agent_Name</hostIdentifier> <agentName>2.2_Agent_Name</agentName> <agentBaseUrl>web_server_host:web_server_port</agentBaseUrl> <applicationDomain>2.2_Agent_Name</applicationDomain> <autoCreatePolicy>true</autoCreatePolicy> <agentType>WEB</agentType> <agentVersion>2.2</agentVersion> <agentDebugDir></agentDebugDir> <agentAuditDir></agentAuditDir> <agentAuditFileName></agentAuditFileName> <protectedAuthnScheme></protectedAuthnScheme> </OpenSSORegRequest> |
ポリシー・エージェント2.2の詳細は、Sun OpenSSO Enterprise 8.0ドキュメント・ライブラリの各ガイドを参照してください。
Resource-1
を保護する認証ポリシー(Policy-2
)を、OAM10gSchemeという認証スキームで適切なアプリケーション・ドメインに作成します。
また、条件TRUE
を指定してResource-1
の認可ポリシーを作成します。構成されているリソースURLは、/
および/.../*
である必要があります。
認証および認可ポリシーの作成と管理の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のリソースの保護とSSOの有効化のためのポリシーの管理に関する項を参照してください。
Access Manager 11.1.2.3.0サーバーとSun Java System Access Manager 7.1サーバーでCookie名の競合が発生しないように、Access Manager 11.1.2.3.0サーバーのデフォルトのCookie名を新しい名前に変更する必要があります。これを行うには、次の手順を実行します。
Access Manager 11.1.2.3.0管理サーバーおよび管理対象サーバーを停止します。
管理サーバーおよび管理対象サーバーの停止の詳細は、『Oracle Fusion Middleware管理者ガイド』の管理サーバーの起動と停止に関する項および管理対象サーバーの起動と停止に関する項を参照してください。
IAM_HOME
/user_projects/domains/base_domain/config/fmwconfig/oam-config.xml
からoam-config.xml
ファイルを開きます。
oam-config.xmlファイルでVersion
パラメータの値を1増やします。
openssoproxyセクションで、openssoCookieNameの値を、デフォルトのCookie名iPlanetDirectoryProから別の値(OAMSAMCookie
など)に変更します。
Access Manager 11.1.2.3.0管理サーバーおよび管理対象サーバーを起動します。
管理サーバーおよび管理対象サーバーの起動の詳細は、『Oracle Fusion Middleware管理者ガイド』の管理サーバーの起動と停止に関する項および管理対象サーバーの起動と停止に関する項を参照してください。
Agent-1
をインストールした場所からAMAgent.properties
ファイルを開き、Agent-1
のタイプに基づいて次の手順を実行します。
Access Manager 11.1.2.3.0サーバーを再起動します。
Agent-2
のセッション属性マッピングを更新して、AMAgent.properties
ファイルでヘッダーOAM_REMOTE_USER
を値UserToken
に設定します。これを行うには、次の手順を実行します。
Agent-2
をインストールした場所からAMAgent.properties
ファイルを開きます。
プロパティ・ファイルで次の値を設定します。
com.sun.identity.agents.config.session.attribute.fetch.mode=HTTP_HEADER
com.sun.identity.agents.config.session.attribute.mapping[UserToken]=OAM_REMOTE_USER
Agent-2
のWebコンテナ・インスタンスを再起動します。
共存モードでSun Java System Access Manager 7.1とAccess Manager 11.1.2.3.0間のシングル・ログアウトが行われるように、ログアウト設定を構成する必要があります。これを実行するには、次の2つの項で説明する手順に従ってください。
Sun Java System Access Manager 7.1サーバーからログアウトを開始するには、認証後プラグインを作成し、onLogout()
メソッドを実装して、問合せパラメータgoto
をリダイレクトURL <OAM_server_protocol>://<OAM_server_host>:<OAM_managed_server_port>/opensso/UI/Logout
に設定する必要があります。これは、Access Manager 11.1.2.3.0サーバーのエンドポイントURLにユーザーをリダイレクトします。
Access Manager 11.1.2.3.0サーバーからログアウトを開始するには、Access Manager 11.1.2.3.0サーバーで構成されるそれぞれのポリシー・エージェント2.2 (Agent-1
)で、Sun Java System Access Manager 7.1サーバーのログアウト・エンドポイントにリダイレクトするように「ログアウトURL」を更新する必要があります。これを行うには、次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2.3.0コンソールにログインします。
http://host
:port
/oamconsole
「起動パッド」タブに移動します。
「Access Manager」セクションから、「SSOエージェント」をクリックします。
「OpenSSOエージェント」タブをクリックします。
Agent-1
(Access Manager 11gで構成され、Resource-1
を保護しているエージェント)を選択し、「ログアウトURL」をSun Java System Access Manager 7.1サーバーのログアウト・エンドポイント(SAM7.1_server_protocol
://
SAM7.1_server_host
:
SAM7.1_managed_server_port
/amserver/UI/Logout
)にリダイレクトするように設定します。goto
問合せパラメータは、Agent-1
に構成されるリダイレクトURLに設定されます。
たとえば、すでに構成されている「ログアウトURL」がprotocol
://
OAMHOST
:
OAMPORT
/opensso/UI/Logout
の場合、これをprotocol
://
OAMHOST
:OAMPORT
/
opensso
/UI/Logout?goto=
SAM7.1_server_protocol
://
SAM7.1_server_host
:
SAM7.1_server_port
/amserver/UI/Logout?goto=
any url agent wants to be redirected to after logout
に変更する必要があります。
構成を確認するには、次の手順を実行します。
Resource-1
にアクセスします。認証を受けるためにSun Java System Access Manager 7.1サーバーにリダイレクトされるかどうかを観察します。認証後、Resource-1
にアクセスできます。
(図11-1に示されているように) Agent-3
で保護されるリソースにアクセスし、リソースへのアクセスに明示的なログインが必要であることを確認します。
Sun Java System Access Manager 7.1サーバーとAccess Manager 11.1.2.3.0サーバーの両方からのログアウトを開始し、3つのCookie(cookie1、cookie2およびOAM_ID Cookie)がすべて消去されていることを確認します。