C 内部Exalogic IAMデプロイメントへの外部アクセスの構成

この章では、Exalogicラック外のアプリケーションと通信できるようにExalogic Identity and Access Managementデプロイメントを構成する方法を説明します。

Exalogic Identity and Access ManagementデプロイメントがExalogicマシンの内部ネットワークを使用するように構成されている場合は、Exalogicラック内にデプロイされているすべてのアプリケーションに対して完全な機能デプロイメントがすでに構成されています。ただし、セキュリティ・エージェントは内部Exalogicネットワークのみで通信可能であり、Oracle Access Management Access Managerサーバーに通信できないため、この構成ではExalogicラック外のアプリケーションを保護できません。

SOAやWeb Centerのようなサード・パーティ・アプリケーションを保護するOracle WebGateなどの外部エージェントを備えたデプロイメントを実現するには、外部エージェントがパブリック・アクセス・ネットワークを使用してOAMサーバーと通信できるようにする必要があります。そのためには、次の追加の手順を実行する必要があります。

最初に、EoIBを使用してExalogic計算ノードまたはvServerが外部クライアント・アクセス・ネットワークにアクセスできることを確認します。

デフォルトでは、SSOエージェントは、iamhost1およびiamhost2というホスト名で識別されるアクセス・マネージャ・サーバーと内部ネットワークを使用して通信するように構成されています。

要約すると、次の手順を実行する必要があります。

1. アクセス・マネージャ・サーバーのクライアント・アクセス・ネットワーク名を使用して登録されたアクセス・マネージャ・サーバー・インスタンスを作成します。

2. 外部アクセス・マネージャ・サーバーを使用するアクセス・マネージャ内にSSOエージェントを作成します。

3. 外部Webゲートを構成して、外部SSOエージェントを使用するようにします。

この付録の例は、Webゲートを使用して外部OHS上の単純なHTMLテスト・ページを保護する方法を示しています。次の項が含まれます:

• 外部ネットワークでリスニングする新規OAMサーバー・インスタンスの作成

• 新規SSOエージェントの作成

• OAMでのテスト・リソースの作成

• 外部Oracle HTTP Serverの構成

• インストールの検証

C.1 外部ネットワークでリスニングする新規OAMサーバー・インスタンスの作成

1. 第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLで、IAMAccessDomainのOAMコンソールにログインします。

2. 起動パッドから「サーバー・インスタンス」をクリックします。

3. 「検索」ウィンドウが表示された後、「検索」をクリックします。

   既存のサーバー・インスタンス: wls_oam1およびwls_oam2が表示されます。

4. 「作成」ボタンをクリックして適切な情報を入力し、新しい2つのサーバー・インスタンスを作成します。この例はwls_oam1_extの値を示しています。

   • サーバー名: wls_oam1_ext

   • ホスト: iamhost1ext.mycompany.com (クライアント・アクセス・ネットワークに関連付けられている名前を使用します。)

   • ポート: 14000 (OIM_PORT)

   • プロキシ・サーバーID: AccessServerConfigProxy

   • プロキシ・ポート: 5575 (OAM_PROXY_PORT)

   • モード: Simple

   その他の値はすべてそのままにして、「適用」をクリックします。

5. サーバー名wls_oam2-extについて繰り返します。

これで、2つが内部ネットワークでリスニングし、2つが外部ネットワークでリスニングする4つのアクセス・マネージャ・サーバー・インスタンスが確保されました。

C.2 新規SSOエージェントの作成

rregまたはOAMコンソールを使用して、新規SSOエージェントを作成できます。この例のために、コンソールを使用して、および既存のアプリケーション・ドメインIAMSuiteAgentを使用して、新規SSOエージェントを作成することになりますが、アプリケーションに対してエージェントを作成する方法は、保護するアプリケーションに依存します。詳細は、製品のドキュメントを参照してください。

1. 第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLで、IAMAccessDomainのOAMコンソールにログインします。

2. 起動パッドから「SSOエージェント」をクリックします。

3. 「11g Webゲートの作成」をクリックします。

4. 次の3つの値以外は既存のエージェントWebgate_IDM_11gと同じ値で作成します。

   • 例の名前: Webgate_External

   • 「ポリシーの自動作成」の選択を解除します。

   • ホスト識別子IAMSuiteAgent

5. 新規Webゲート・エージェントWebgate_Externalの適用をクリックします。

6. 起動パッドから「SSOエージェント」をクリックし、新規に作成したエージェントを編集します。

7. 「検索」をクリックします。

8. 新規に作成したエージェントWebgate_Externalをクリックします。

9. プライマリ・サーバー・リストからwls_oam1-extおよびwls_oam2-ext以外のすべてのサーバーを削除します。

10. 「適用」をクリックします。

C.3 OAMでのテスト・リソースの作成

1. 第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLで、IAMAccessDomainのOAMコンソールにログインします。

2. 起動パッドから「アプリケーション・ドメイン」をクリックします。

3. 「アプリケーション・ドメインの検索」ウィンドウが表示された後、「検索」をクリックします。

4. アプリケーション・ドメインIAM Suiteエージェントをクリックします。

5. 「リソース」タブをクリックします。

6. 「新規リソース」をクリックし、次の情報を入力します。

   • タイプ: Http

   • 説明: Test Resource

   • ホスト識別子: IAMSuiteAgent

   • リソースURL: /sso.html

   • 保護レベル: Protected

   • 認証ポリシー: より上位の保護されているポリシー

   • 認可ポリシー: Protected Resource Policy

7. 「適用」をクリックします。

C.4 外部Oracle HTTP Serverの構成

外部サーバーにOracle HTTP Serverをインストールして構成します。

sso.htmlというテストHTMLページを作成し、OHSのhtdocsフォルダに配置します。

外部サーバーにWebゲートをインストールします。

次のように、WebゲートをOracle HTTPにデプロイします。

1. コマンドdeployWebGateInstance.shを実行します。このコマンドは次の場所にあります。

   WEBGATE_ORACLE_HOME/webgate/ohs/tools/deployWebGate

   このコマンドでは次の引数を使用します。

   • Oracle HTTPのインスタンス構成ディレクトリ

   • Webゲートのホーム・ディレクトリ

   次に例を示します。

   ./deployWebGateInstance.sh -w WEB_ORACLE_INSTANCE/config/OHS/component_name -oh WEBGATE_ORACLE_HOME  
   

2. ライブラリ・パスを設定します。

   たとえば、次のようにWEB_ORACLE_HOME/libディレクトリが含まれるようにライブラリ・パスを設定します。

   export LD_LIBRARY_PATH=LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
   

3. ディレクトリを変更します。次に例を示します。

   cd WEBGATE_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
   

4. 次のコマンドを実行して、Webゲートのホーム・ディレクトリからWebゲートのインスタンスの場所にファイルapache_WebGate.templateをコピーし(名前がwebgate.confに変更されます)、httpd.confファイルを更新してwebgate.confの名前が含まれる1つの行を追加します。

   ./EditHttpConf -w WEB_ORACLE_INSTANCE/config/OHS/component_name -oh WEBGATE_ORACLE_HOME              
   

5. IDMHOST1で、外部エージェントを作成したときに生成されたObAccessClient.xml、cwallet.ssoおよびpassword.xmlファイルを次のようにコピーします。コピー元ディレクトリ:

   IAD_ASERVER_HOME/output/Webgate_External

   コピー先ディレクトリ:

   WEB_ORACLE_INSTANCE/config/OHS/component_name/webgate/config

6. IDMHOST1で、エージェントを作成したときに生成されたaaa_key.pemおよびaaa_cert.pemファイルを次のようにコピーします。コピー元ディレクトリ:

   IAD_ASERVER_HOME/output/Webgate_External

   コピー先のWebゲート・インスタンス・ディレクトリ:

   WEB_ORACLE_INSTANCE/config/OHS/component_name/webgate/config/simple

7. Oracle HTTP Serverを再起動します

C.5 インストールの検証

次の保護されたリソースにアクセスを試みることでインストールをテストします。

http://external_ohs/sso.html

OAM資格証明コレクタにリダイレクトされます。有効なユーザー名およびパスワードを入力します。テスト・ページが表示されます。