Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
この章では、Exalogicラック外のアプリケーションと通信できるようにExalogic Identity and Access Managementデプロイメントを構成する方法を説明します。
Exalogic Identity and Access ManagementデプロイメントがExalogicマシンの内部ネットワークを使用するように構成されている場合は、Exalogicラック内にデプロイされているすべてのアプリケーションに対して完全な機能デプロイメントがすでに構成されています。ただし、セキュリティ・エージェントは内部Exalogicネットワークのみで通信可能であり、Oracle Access Management Access Managerサーバーに通信できないため、この構成ではExalogicラック外のアプリケーションを保護できません。
SOAやWeb Centerのようなサード・パーティ・アプリケーションを保護するOracle WebGateなどの外部エージェントを備えたデプロイメントを実現するには、外部エージェントがパブリック・アクセス・ネットワークを使用してOAMサーバーと通信できるようにする必要があります。そのためには、次の追加の手順を実行する必要があります。
最初に、EoIBを使用してExalogic計算ノードまたはvServerが外部クライアント・アクセス・ネットワークにアクセスできることを確認します。
デフォルトでは、SSOエージェントは、iamhost1およびiamhost2というホスト名で識別されるアクセス・マネージャ・サーバーと内部ネットワークを使用して通信するように構成されています。
要約すると、次の手順を実行する必要があります。
アクセス・マネージャ・サーバーのクライアント・アクセス・ネットワーク名を使用して登録されたアクセス・マネージャ・サーバー・インスタンスを作成します。
外部アクセス・マネージャ・サーバーを使用するアクセス・マネージャ内にSSOエージェントを作成します。
外部Webゲートを構成して、外部SSOエージェントを使用するようにします。
この付録の例は、Webゲートを使用して外部OHS上の単純なHTMLテスト・ページを保護する方法を示しています。次の項が含まれます:
第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLで、IAMAccessDomainのOAMコンソールにログインします。
起動パッドから「サーバー・インスタンス」をクリックします。
「検索」ウィンドウが表示された後、「検索」をクリックします。
既存のサーバー・インスタンス: wls_oam1およびwls_oam2が表示されます。
「作成」ボタンをクリックして適切な情報を入力し、新しい2つのサーバー・インスタンスを作成します。この例はwls_oam1_extの値を示しています。
サーバー名: wls_oam1_ext
ホスト: iamhost1ext.mycompany.com
(クライアント・アクセス・ネットワークに関連付けられている名前を使用します。)
ポート: 14000
(OIM_PORT
)
プロキシ・サーバーID: AccessServerConfigProxy
プロキシ・ポート: 5575
(OAM_PROXY_PORT
)
モード: Simple
その他の値はすべてそのままにして、「適用」をクリックします。
サーバー名wls_oam2-extについて繰り返します。
これで、2つが内部ネットワークでリスニングし、2つが外部ネットワークでリスニングする4つのアクセス・マネージャ・サーバー・インスタンスが確保されました。
rreg
またはOAMコンソールを使用して、新規SSOエージェントを作成できます。この例のために、コンソールを使用して、および既存のアプリケーション・ドメインIAMSuiteAgentを使用して、新規SSOエージェントを作成することになりますが、アプリケーションに対してエージェントを作成する方法は、保護するアプリケーションに依存します。詳細は、製品のドキュメントを参照してください。
第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLで、IAMAccessDomainのOAMコンソールにログインします。
起動パッドから「SSOエージェント」をクリックします。
「11g Webゲートの作成」をクリックします。
次の3つの値以外は既存のエージェントWebgate_IDM_11gと同じ値で作成します。
例の名前: Webgate_External
「ポリシーの自動作成」の選択を解除します。
ホスト識別子IAMSuiteAgent
新規Webゲート・エージェントWebgate_Externalの適用をクリックします。
起動パッドから「SSOエージェント」をクリックし、新規に作成したエージェントを編集します。
「検索」をクリックします。
新規に作成したエージェントWebgate_Externalをクリックします。
プライマリ・サーバー・リストからwls_oam1-extおよびwls_oam2-ext以外のすべてのサーバーを削除します。
「適用」をクリックします。
第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLで、IAMAccessDomainのOAMコンソールにログインします。
起動パッドから「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメインの検索」ウィンドウが表示された後、「検索」をクリックします。
アプリケーション・ドメインIAM Suiteエージェントをクリックします。
「リソース」タブをクリックします。
「新規リソース」をクリックし、次の情報を入力します。
タイプ: Http
説明: Test Resource
ホスト識別子: IAMSuiteAgent
リソースURL: /sso.html
保護レベル: Protected
認証ポリシー: より上位の保護されているポリシー
認可ポリシー: Protected Resource Policy
「適用」をクリックします。
外部サーバーにOracle HTTP Serverをインストールして構成します。
sso.html
というテストHTMLページを作成し、OHSのhtdocs
フォルダに配置します。
外部サーバーにWebゲートをインストールします。
次のように、WebゲートをOracle HTTPにデプロイします。
コマンドdeployWebGateInstance.sh
を実行します。このコマンドは次の場所にあります。
WEBGATE_ORACLE_HOME
/webgate/ohs/tools/deployWebGate
このコマンドでは次の引数を使用します。
Oracle HTTPのインスタンス構成ディレクトリ
Webゲートのホーム・ディレクトリ
次に例を示します。
./deployWebGateInstance.sh -w WEB_ORACLE_INSTANCE/config/OHS/component_name -oh WEBGATE_ORACLE_HOME
ライブラリ・パスを設定します。
たとえば、次のようにWEB_ORACLE_HOME
/lib
ディレクトリが含まれるようにライブラリ・パスを設定します。
export LD_LIBRARY_PATH=LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
ディレクトリを変更します。次に例を示します。
cd WEBGATE_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
次のコマンドを実行して、Webゲートのホーム・ディレクトリからWebゲートのインスタンスの場所にファイルapache_WebGate.template
をコピーし(名前がwebgate.conf
に変更されます)、httpd.conf
ファイルを更新してwebgate.conf
の名前が含まれる1つの行を追加します。
./EditHttpConf -w WEB_ORACLE_INSTANCE/config/OHS/component_name -oh WEBGATE_ORACLE_HOME
IDMHOST1で、外部エージェントを作成したときに生成されたObAccessClient.xml
、cwallet.sso
およびpassword.xml
ファイルを次のようにコピーします。コピー元ディレクトリ:
IAD_ASERVER_HOME
/output/Webgate_External
コピー先ディレクトリ:
WEB_ORACLE_INSTANCE
/config/OHS/component_name/webgate/config
IDMHOST1で、エージェントを作成したときに生成されたaaa_key.pem
およびaaa_cert.pem
ファイルを次のようにコピーします。コピー元ディレクトリ:
IAD_ASERVER_HOME
/output/Webgate_External
コピー先のWebゲート・インスタンス・ディレクトリ:
WEB_ORACLE_INSTANCE
/config/OHS/component_name/webgate/config/simple
Oracle HTTP Serverを再起動します
次の保護されたリソースにアクセスを試みることでインストールをテストします。
http://external_ohs/sso.html
OAM資格証明コレクタにリダイレクトされます。有効なユーザー名およびパスワードを入力します。テスト・ページが表示されます。