Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
次 |
この章では、Oracle Identity and Access Managerエンタープライズ・デプロイメント用のシングル・サインオンを構成する方法について説明します。
この章の構成は、次のとおりです。
シングル・サインオンの構成では、次のタスクを実行する必要があります。
LDAPグループをWebLogic管理グループに割り当てます(まだ割り当てていない場合)。
boot.propertiesファイルを更新します。
サーバーを再起動します。
Webゲートのインストールと構成を行い、セットアップを検証します。
Webゲートのインストールと構成が完了すると、Oracle HTTP Serverはコンソールのリクエストをインターセプトし、検証のためにAccess Managerに転送します。
この章では、次の管理コンソールが参照されます。
Oracle Enterprise Manager Fusion Middleware Control。
Oracle WebLogic Server管理コンソール
Oracle Access Managementコンソール
Oracle Access Managerポリシー・マネージャ
Oracle Identity Managerシステム管理コンソール
Oracle Identity Managerセルフ・サービス・コンソール
configOAM
またはconfigOIM
を実行すると、セキュリティ・プロバイダがドメインIAMAccessDomainおよびIAMGovernanceDomainに作成されます。これらのセキュリティ・プロバイダは、Oracle Access Managerのセキュリティ・ポリシーに基づいて、これらのドメイン内のコンソールへのアクセスを制限します。その他のドメインがある場合は、それらのドメインにセキュリティ・プロバイダを手動で作成します。セキュリティ・プロバイダの作成後は、次の各項の説明に従ってそれらを更新します。
管理コンソールに対するシングル・サインオンを有効にしたら、コンソール・アクセスを可能にするために、1つ以上のOAMサーバーが稼働していることを確認してください。
Oracle WebLogicコンソールを使用してすべてのAccess Manager管理対象サーバーを停止した場合は、コンソールを再び使用する前に、これらの管理対象サーバーのいずれかを手動で再起動してください。
WLS_OAM1を手動で起動するには、次のコマンドを使用します。
MSERVER_HOME/bin/startManagedWeblogic.sh WLS_OAM1 t3://IADADMINVHN:7001
管理サーバーと管理対象サーバー用のboot.properties
ファイルを、Oracle Internet Directoryで作成されたWebLogic管理ユーザーの情報で更新します。
すべての管理サーバー・ノードのboot.properties
を更新する必要があります。ファイルを更新するには、次の項の手順を実行します。
この項では、次の項目について説明します。
すべてのドメインの管理サーバーの更新
トポロジ内の各サーバーで、次のディレクトリに移動します。
ASERVER_HOME/servers/serverName/security
次に例を示します。
cd IAD_ASERVER_HOME/servers/AdminServer/security
既存のboot.properties
ファイルを別の名前に変更します。
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をこのファイルに入力します。
username=adminUser password=adminUserPassword
次に例を示します。
username=weblogic_idm password=Password for weblogic_idm user
注意: 管理サーバーを起動すると、ファイル内のユーザー名とパスワードのエントリは暗号化されます。セキュリティ上の理由から、ファイルのエントリが暗号化されていない状態の時間は最小限に抑えてください。ファイルを編集した後、エントリが暗号化されるように、できるだけ速やかにサーバーを起動してください。 |
WebLogic管理サーバーとすべての管理対象サーバーを再起動します。
この項では、Oracle HTTP Serverに対するWebゲートのインストールと構成について説明します。
注意: Webゲートのインストールと構成の手順は、使用しているWebサーバーによって異なります。WebリクエストがOracle HTTP Serverで処理されている場合は、第22.4項「Oracle HTTP Serverに対するWebゲートのインストールと構成」で説明されている手順に従ってください。WebリクエストがOracle Traffic Directoryを介して処理されている場合は、第22.5項「Oracle Traffic Director 11gに対するWebゲートのインストールと構成」で説明されている手順に従ってください。 |
この項では、次の項目について説明します。
インストーラを起動する前に、マシンにJavaがインストールされていることを確認してください。
次のコマンドを実行して、Webゲートのインストーラを起動します。
REPOS_HOME/installers/webgate/Disk1/runInstaller
Java Development Kitの場所を指定するように求められます。例:
REPOS_HOME/jdk
「ようこそ」画面で、「次へ」をクリックします。
「ソフトウェア更新のインストール」画面で、ソフトウェア更新をインストールするかどうかを選択し、必要に応じてmyoraclesupport
資格証明を入力して、「次へ」をクリックします。
「前提条件」画面ですべてのチェックが正常に完了したら、「次へ」をクリックします。
「インストール場所」画面で、次の情報を入力します。
Oracleミドルウェア・ホーム: WEB_MW_HOME
Oracleホーム・ディレクトリ: webgate_ohs
WEB_MW_HOME
/webgate_ohs
がWEBGATE_ORACLE_HOME
として定義されます。
「次へ」をクリックします。
「インストール・サマリー」画面で「インストール」をクリックします。
「次へ」をクリックします。
「終了」をクリックします。
WebゲートをWEBHOST1およびWEBHOST2にデプロイする手順は、次のとおりです。
コマンドdeployWebGate
を実行します。このコマンドは次の場所にあります。
WEBGATE_ORACLE_HOME
/webgate/ohs/tools/deployWebGate
このコマンドでは次の引数を使用します。
Oracle HTTPのインスタンス構成ディレクトリ
Webゲートのホーム・ディレクトリ
次に例を示します。
./deployWebGateInstance.sh -w OHS_ORACLE_INSTANCE/config/OHS/ohs1 -oh WEBGATE_ORACLE_HOME
ライブラリのパスを設定し、ディレクトリを変更します。
ライブラリのパスにWEB_ORACLE_HOME
/lib
ディレクトリを含めるようにします。次に例を示します。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
ディレクトリを変更します。
WEBGATE_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
次のコマンドを実行して、Webゲートのホーム・ディレクトリからWebゲートのインスタンスの場所にファイルapache_WebGate.template
をコピーし(名前がwebgate.conf
に変更されます)、httpd.conf
ファイルを更新してwebgate.conf
の名前が含まれる1つの行を追加します。
./EditHttpConf -w OHS_ORACLE_INSTANCE/config/OHS/ohs1 -oh WEBGATE_ORACLE_HOME
エージェントを作成したときに生成されたファイルObAccessClient.xml
およびpassword.xml
を、OAMHOST1のディレクトリIAD_ASERVER_HOME
/output/Webgate_IDM_11g
からディレクトリOHS_ORACLE_INSTANCE
/config/OHS/ohs1/webgate/config
にコピーします。
エージェントを作成したときに生成されたディレクトリ・ウォレットを、OAMHOST1のディレクトリIAD_ASERVER_HOME
/output/Webgate_IDM_11g
からディレクトリOHS_ORACLE_INSTANCE
/config/OHS/ohs1/webgate/config
にコピーします。
エージェントを作成したときに生成されたファイルaaa_key.pem
およびaaa_cert.pem
を、ディレクトリIAD_ASERVER_HOME
/output/Webgate_IDM_11g
からWebゲート・インスタンス・ディレクトリOHS_ORACLE_INSTANCE
/config/OHS/ohs1/webgate/config/simple
にコピーします。
Oracle HTTP Serverを再起動します。
この項では、Webゲートのインストールと構成について説明します。
注意: Webゲートのインストールと構成の手順は、使用しているWebサーバーによって異なります。WebリクエストがOracle HTTP Serverで処理されている場合は、第22.4項「Oracle HTTP Serverに対するWebゲートのインストールと構成」で説明されている手順に従ってください。WebリクエストがOracle Traffic Directoryを介して処理されている場合は、第22.5項「Oracle Traffic Director 11gに対するWebゲートのインストールと構成」で説明されている手順に従ってください。 |
この項では、次の項目について説明します。
Oracle Webゲートをインストールする前に、第14.2項「Oracle Traffic Directorの構成」の説明に従って、Oracle Traffic Directorをインストールして構成します。
インストーラを起動する前に、マシンにJavaがインストールされていることを確認してください。Oracle Webゲートをインストールするには、WEBHOST1およびWEBHOST2で次の手順を実行します。Webゲートのインストーラは、ディレクトリREPOS_HOME
/installers/webgate_otd
にあります。
注意: WebホストでOTD用の共有記憶域を使用している場合は、それらのホストの1つにのみWebゲートをインストールする必要があります。 |
次のコマンドを実行して、Webゲートのインストーラを起動します。
./runInstaller
Java Development Kitの場所を指定するように求められます。例:
WEB_MW_HOME
/jdk
「ようこそ」画面で、「次へ」をクリックします。
「ソフトウェア更新のインストール」画面で、更新をスキップするかどうかの選択、更新情報を入手するためにOracleサポートをチェックまたは更新のローカルでの検索を行います。
「次へ」をクリックします。
セキュリティ更新の指定画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウント用の電子メール・アドレスです。
My Oracle Supportパスワード: My Oracle Supportアカウント用のパスワードです。
「セキュリティ・アップデートをMy Oracle Support経由で受け取ります。」を選択します。
「次へ」をクリックします。
32ビット・ライブラリがないために前提条件が失敗する場合、この失敗は無視しても問題ありません。
「次へ」をクリックします。
「インストール場所」画面で、次の情報を入力します。
Oracleミドルウェア・ホーム: WEB_MW_HOME
Oracleホーム・ディレクトリ: webgate_otd
「次へ」をクリックします。
「インストール・サマリー」画面で、「インストール」をクリックします。
「次へ」をクリックします。
「終了」をクリックします。
次のディレクトリからdeployWebGateInstance.sh
コマンドを実行します。
OTD_WEBGATE_ORACLE_HOME/webgate/iplanet/tools/deployWebGate
このツールに実行権限があることを確認します。
次に例を示します。
cd OTD_WEBGATE_ORACLE_HOME/webgate/iplanet/tools/deployWebGate ./deployWebGateInstance.sh -w LOCAL_CONFIG_DIR/instances/webgate_otd/webgate/ -oh OTD_WEBGATE_ORACLE_HOME -ws otd
予想される出力:
Copying files from WebGate Oracle Home to WebGate Instancedir
注意: デプロイメントおよびインスタンス・ディレクトリは、すべてのホスト上で同一であることが必要です。 |
次のコマンドを使用して、環境変数LD_LIBRARY_PATH
をOTD_WEBGATE_ORACLE_HOME
/webgate/iplanet/lib
に設定します。
export LD_LIBRARY_PATH=OTD_WEBGATE_ORACLE_HOME/webgate/iplanet/lib
WebゲートのプロパティをOTD仮想ホストの各プロパティ・ファイルに追加します。これらは、ディレクトリLOCAL_CONFIG_DIR
/
net-login.example.com
/config
にあります(login.example.com
は、第14.2.3項「構成の作成」で指定したOTDの名前です)。
仮想ホスト・ファイルの名前は、仮想ホストの値によって異なります。このドキュメントでは、このファイルは次のように呼ばれます。
login.example.com-obj.conf
prov.example.com-obj.conf
iadadmin.example.com-obj.conf
igdadmin.example.com-obj.conf
iadinternal.example.com-obj.conf
igdinternal.example.com-obj.com
これを行うには、各ファイルに対して次の手順を実行します。
現在の作業ディレクトリをOTD_WEBGATE_ORACLE_HOME
/webgate/iplanet/tools/setup/InstallTools
に変更します。
次のコマンドを実行します。
./EditObjConf -f
config_file
-oh
OTD_WEBGATE_ORACLE_HOME
-w
instance_directory
-ws otd
次に例を示します。
./EditObjConf -f OTD_ORACLE_INSTANCE/net-login.example.com/config/login.example.com-obj.conf -oh OTD_WEBGATE_ORACLE_HOME -w LOCAL_CONFIG_DIR/instances/webgate_otd -ws otd
注意: igdinternalおよびiadinternalに対するこのコマンドの実行はオプションです。これらのURLは、Exalogicラック内部でのみアクセスできます。したがって、認証されていないリクエストがこれらにアクセスする可能性は低いです。これらの仮想ホストにWebゲートを追加すると、内部コールバックの速度が低下することがあります。追加しないと、わずかに安全性が低下します。そのため、最大のセキュリティが必要な場合は、前述の説明に従って追加してください。OTDをrootで実行するようにインストールした場合は、これらのコマンドをrootで実行する必要があります。 |
サンプル出力は次のようになります。
OTD_ORACLE_INSTANCE/config/magnus.conf has been backed up as OTD_ORACLE_INSTANCE/config/magnus.conf.ORIG OTD_ORACLE_INSTANCE/config/instance_config_name-obj.conf has been backed up as OTD_ORACLE_INSTANCE/instance_config_name-obj.conf.ORIG
次のディレクトリにあるEditObjConf
ツールを使用して、login.example.com-obj.conf
ファイルとadmin.example.com-obj.conf
ファイルのプロパティを編集します。
OTD_WEBGATE_ORACLE_HOME/webgate/iplanet/tools/setup/InstallTools
たとえば、WEBHOST1で次を実行します。
./EditObjConf -f OTD_ORACLE_INSTANCE/net-login.example.com/config/login.example.com-obj.conf -oh OTD_WEBGATE_ORACLE_HOME -w LOCAL_CONFIG_DIR/instances/webgate_otd -ws otd ./EditObjConf -f OTD_ORACLE_INSTANCE/net-login.example.com/config/prov.example.com-obj.conf -oh OTD_WEBGATE_ORACLE_HOME -w LOCAL_CONFIG_DIR/instances/webgate_otd -ws otd ./EditObjConf -f OTD_ORACLE_INSTANCE/net-login.example.com/config/iadadmin.example.com-obj.conf -oh OTD_WEBGATE_ORACLE_HOME -w LOCAL_CONFIG_DIR/instances/webgate_otd -ws otd ./EditObjConf -f OTD_ORACLE_INSTANCE/net-login.example.com/config/igdadmin.example.com-obj.conf -oh OTD_WEBGATE_ORACLE_HOME -w LOCAL_CONFIG_DIR/instances/webgate_otd -ws otd ./EditObjConf -f OTD_ORACLE_INSTANCE/net-login.example.com/config/igdinternal.example.com-obj.conf -oh OTD_WEBGATE_ORACLE_HOME -w LOCAL_CONFIG_DIR/instances/webgate_otd -ws otd ./EditObjConf -f OTD_ORACLE_INSTANCE/net-login.example.com/config/iadinternal.example.com-obj.conf -oh OTD_WEBGATE_ORACLE_HOME -w LOCAL_CONFIG_DIR/instances/webgate_otd -ws otd
注意: OTDをroot で実行するようにインストールした場合は、これらのコマンドをroot で実行する必要があります。
|
予想される出力:
OTD_ORACLE_INSTANCE/config/magnus.conf has been backed up as OTD_ORACLE_INSTANCE/config/magnus.conf.ORIG OTD_ORACLE_INSTANCE/config/instance_config_name-obj.conf has been backed up as OTD_ORACLE_INSTANCE/instance_config_name-obj.conf.ORIG
次のディレクトリにあるWebゲート・アーティファクトをコピーして、Access Manager 11gサーバーにWebゲートを登録します。
IAD_ASERVER_HOME/output/Webgate_IDM_11g
次のディレクトリにコピーします。
aaa_cert.pem
とaaa_key.pem
のコピー先:
LOCAL_CONFIG_DIR/instances/webgate_otd/webgate/config/simple
cwallet.sso
、ObAccessClient.xml
およびpassword.xml
のコピー先:
LOCAL_CONFIG_DIR/instances/webgate_otd/webgate/config
アーティファクトをコピーするには、次のコマンドを実行します。
cp IAD_ASERVER_HOME/output/Webgate_IDM_11g/aaa* to LOCAL_CONFIG_DIR/instances/webgate_otd/webgate/config/simple cp IAD_ASERVER_HOME/output/Webgate_IDM_11g/password.xml to LOCAL_CONFIG_DIR/instances/webgate_otd/webgate/config/ cp IAD_ASERVER_HOME/output/Webgate_IDM_11g/ObAccessClient.xml to LOCAL_CONFIG_DIR/instances/webgate_otd/webgate/config/ cp IAD_ASERVER_HOME/output/Webgate_IDM_11g/cwallet.sso to LOCAL_CONFIG_DIR/instances/webgate_otd/webgate/config/
注意: IDMLCMを使用してインストールを実行した場合は、デプロイ済のOHSインスタンスからファイルをコピーする必要があります。次に例を示します。
|
各WEBHOSTについて、手順11から15を繰り返します。
注意: このようにWebゲートを構成すると、Oracle Traffic Director構成ファイルが直接変更されます。これらの変更はOTD構成ストアには反映されません。次回、OTDにアクセスして構成を変更したときに、構成ストアとディスク上の値との間に矛盾が生じていることをOTDによって指摘されます。また、どのように対処するか尋ねられます。構成をファイルにプッシュ・バックせずに、ファイルから構成をプルするよう、OTDに指示する必要があります。間違ったオプションを選択すると、今行ったばかりのWebゲート構成が削除されます。 |
OTDを起動するたびに入力しないで済むように、LD_LIBRARY_PATH
をOTDの起動スクリプトに追加できます。
次のようにします。
注意: OTDをroot で実行するようにインストールした場合は、これらの手順をroot ユーザーで実行する必要があります。 |
ディレクトリWEB_ORACLE_INSTANCE
/net-
login.example.com
/bin
にあるファイルstartserv
を編集します。
次のような行を探します。
# Set LD_LIBRARY_PATH for Solaris and Linux LD_LIBRARY_PATH="${SERVER_LIB_PATH}:${LD_LIBRARY_PATH}"; export LD_LIBRARY_PATH
後に次の行を追加します。
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OTD_WEBGATE_ORACLE_HOME/webgate/iplanet/lib; export LD_LIBRARY_PATH
ファイルを保存します。
Oracle Traffic Directorインスタンスを起動する場合はstartserv
コマンド、停止する場合はstopserv
コマンドを使用します。
Oracle Traffic Directorをrootとしてインストールしなかった場合。次のコマンドをrootとして使用し、フェイルオーバー・グループを停止します。
OTD_ORACLE_HOME/bin/tadm stop-failover --instance-home=OTD_ORACLE_INSTANCE/ --config=login.example.com
サーバーを停止するには、次のコマンドを実行します。
OTD_ORACLE_INSTANCE/net-login.example.com/bin/stopserv
サーバーを起動するには、次のコマンドを実行します。
OTD_ORACLE_INSTANCE/net-login.example.com/bin/startserv
Oracle Traffic Directorをrootとしてインストールしなかった場合。次のコマンドをrootとして使用し、フェイルオーバー・グループを起動します。
OTD_ORACLE_HOME/bin/tadm start-failover --instance-home=OTD_ORACLE_INSTANCE/ --config=login.example.com
Oracle Traffic Directorインスタンスを再起動するには、実行中のすべてのインスタンスを停止した後、startコマンドを実行します。
前述の各項のコマンドを実行すると、Oracle Traffic Director構成ファイルが手動で更新されます。ファイルの更新後、これらのファイル内の情報とOTD構成との間に矛盾が生じます。このため、後続のデプロイメントによって新しい構成が消去される可能性があります。したがって、前述の各項で行われた手動変更の内容で、OTD構成を更新する必要があります。
OTD構成を更新する手順:
次のURLを使用して、OTD管理コンソールにログインします。
https://OTDADMINVHN:OTD_ADMIN_PORT
画面上部にある「デプロイ」ボタンをクリックします。
「管理サーバーで、一部のインスタンスの構成の変更が検出されました」というメッセージ・ボックスが表示されます。
オプション構成をプルしてデプロイを選択して、「OK」をクリックします。
Webゲートが正しく機能していることを検証するには、Webブラウザを開き、第31.1項「エンタープライズ・デプロイメント・コンポーネントの起動と停止」に記載されているAccess ManagementコンソールのURLにアクセスします。
Oracle Access Managementのログイン・ページが表示されます。Access Manager管理者ユーザー名(oamadmin
など)とパスワードを入力し、「ログイン」をクリックします。Oracle Access Managementコンソールが表示されます。
シングル・サインオンの設定を検証するには、Webブラウザを開き、第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用してWebLogic管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
「Oracle Access Managementのシングル・サインオン」ページが表示されます。weblogic_idm
ユーザーの資格証明を入力してログインします。