Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Access ManagerおよびOracle Identity Managerは、Oracle Fusion Middleware 11gコンポーネントの一部です。WebLogicサーバー構成ウィザードの初期構成中に、IAMSuiteAgentがIDMドメイン・ホスト識別子およびそのエージェントに指定されたアプリケーション・ドメインとともにAccess Manager 11gに登録されます。
IAMSuiteAgentを11g Webゲートと入れ替えていない場合は、この項をスキップしてください。
Oracle Fusion MiddlewareはIAMSuiteAgentを使用して、保護されたOracle Identity ManagementコンソールにAccess Managerをそのまま使用します。コンテナ外のアプリケーションを保護するために、IAMSuiteAgentを11g Webゲートに入れ替えることができます(事前登録済のIAMSuiteAgentと同じアプリケーション・ドメインとポリシーを使用して、同じアプリケーション・セットを保護する場合)。次のリストは、この項のタスクの概要です。
帯域内モードでリモート登録ツールを使用して、入替え用11g Webゲートを登録できます。
リモート登録ツール、処理およびリクエスト・ファイルの詳細は、「OAM 11gエージェントの登録および管理」を参照してください。
この例では、OAMRequest_short.xml
をテンプレートとして使用して、11g4IAMという名前のエージェントを作成し、/.../*の保護と、パブリック・リソース/public/index.html
の宣言を行います。実際の値はこれとは異なります。
ノート:
入替え用のWebゲートでIAM Suiteポリシーを使用するには、IAMSuiteAgentホスト識別子と優先ホストを使用するようにWebゲートの登録が構成されていることを確認します。
Access Managerのリモート登録ツールを入手して、環境に合ったスクリプトを設定します。次に例を示します。
次のパスのRREG.tar.gzファイルを探します。
$ORACLE_HOME/oam/server/rreg/client/RREG.tar.gz
RREG.tar.gzファイルを別な場所に解凍します。たとえば、exploded_dir_for_RREG.tar/rreg/input/oamregなどです。
oamregスクリプトに、状況(クライアント側またはサーバー側)と 表15-5の情報に応じた次の環境変数を設定します。
登録リクエストを作成し、autoCreatePolicy
パラメータがfalseに設定されていることを確認します。
OAMRequest_short.xmlを探して、新しいファイルにコピーします。次に例を示します。
exploded_dir_for_RREG.tar/rreg/input/oamreg/
コピー元: OAM11gRequest_short.xml
コピー先: 11g4IAM.xml
環境の詳細を含むように、11g4IAM.xmlを編集します。たとえば、IAMSuiteAgentから11g Webゲート・エージェントに変更する場合は、次のようなリクエストになります。
<OAM11gRegRequest> <serverAddress>http://ruby.uk.example.com:7001</serverAddress> <hostIdentifier>11g4IAM</hostIdentifier> <agentName>11g4IAM</agentName> <autoCreatePolicy>false</autoCreatePolicy> <logOutUrls><url>/oamsso/logout.html</url></logOutUrls> ...retain defaults for remaining elements... ... ... </OAM11gRegRequest>
関連項目:
エージェントを登録します。次に例を示します。
リモート登録スクリプトを探します。
Windowsの場合: rreg\bin\oamreg.bat
スクリプトが含まれているディレクトリから、インバンド・モードを使用してスクリプトを実行します。次に例を示します。
$ ./bin/oamreg.sh inband input/11g4IAM.xml
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: ...
プロンプトが表示されたら、環境に応じた値を使用して次の情報を入力します。
Enter your agent username: userame Username: userame Enter agent password: ******** Do you want to enter a WebGate password?(y/n) n iv. Do you want to import an URIs file?(y/n) n
最後のメッセージを確認して、登録が成功したことを確かめます。
Inband registration process completed successfully! Output artifacts are created in the output folder"
Oracle Access Managementコンソールにログインして、新規登録を確認します。
「システム構成」タブの「Access Manager」セクションで、「OAMエージェント」ノートを開いて、エージェント登録を見つけます。
関連項目:
エージェント名をダブルクリックして、登録ページを表示し、詳細を確認します。次に例を示します。
ノート:
新しいWebゲートをインストールする場合、インストール中に一致する情報を入力します。
OAMプロキシ・ポート: 「システム構成」タブの「共通構成」セクションで、「サーバー・インスタンス」をダブルクリックしてOAMプロキシが実行中のポートを検索します。
「IAMSuiteAgentの入替え用11g Webゲートのインストール」の説明に従って、次のようにアーティファクトをコピー(または同じ仕様でWebゲートをインストールしてからアーティファクトをコピー)します。
エージェントおよびアーティファクト | アーティファクト |
---|---|
11g Webゲート/アクセス・クライアント ObAccessClient.xmlとcwallet.sso |
コピー元: AdminServer (コンソール)ホスト $DOMAIN_HOME/output/$Agent_Name/ コピー先のエージェント・ホスト: $11gWG_install_dir/WebGate/config。 |
プロビジョニング後、IAMSuiteAgentと入れ替えるために11g Webゲートをインストールする必要があります。
インストール中は、プロビジョニング時と同じWebGateの情報を提供する必要があります。タスクの概要は次のとおりです。
11g Webゲートのプロビジョニングとインストールを行い、IAMSuiteAgentと入れ替えたら、mod_wl_ohs.confファイルに特定の入力をして、WebゲートWebサーバーがWebLogicサーバー上のアプリケーションにリクエストを転送するように指示する必要があります。
WebLogicサーバーのApache用プラグインの汎用名はmod_weblogicです。Oracle HTTP Server 11gの場合は、このプラグインの名前はmod_wl_ohsです(実際のバイナリ名はmod_wl_ohs.soです)。例では実装のための正確な構文を示します。
次の例では、サンプル入力を使用して変更が必要な部分を示します。使用する環境によって入力内容は異なります。
mod_wl_ohs.confでの11g Webゲート用の更新
<IfModule weblogic_module> <Location /oamconsole> SetHandler weblogic-handler WebLogicHost ruby.uk.example.com WebLogicPort 6162 </Location> <Location apmmconsole> SetHandler weblogic-handler WebLogicHost ruby.uk.example.com WebLogicPort 6162 </Location> ... </IfModule>
ノート:
WebLogicサーバーで直接アクセスしたことがあるすべてのアプリケーションの各URIに対して、類似の場所エントリが必要です。
Access ManagerがOracle Identity Manager (OIM)と統合されている場合に、OIMの自動ログイン機能を確認(または構成)できます。
Access Manager 11gをOracle Identity Manager 11gに統合していない場合、このステップは省略します。
Oracle Identity ManagerがAccess Manager 11gに統合されている場合、AutoLogin機能では、IAMSuiteAgentのホスト識別子リスト内に10g WebゲートWebサーバーのホスト名とポートが含まれている必要があります。
ノート:
11g WebゲートWebサーバーの前にロード・バランサがある場合、ステップ3でロード・バランサのホスト名とポートを含める必要があります。
agentBaseUrlパラメータを使用して特定のホスト識別子を更新します。ただし、自動ポリシーの作成がfalseに設定されている場合、リモート登録ユーティリティはアプリケーション・ドメインを作成せず、agentBaseUrlパラメータを参照しません。
次の手順では、Access Manager/Oracle Identity Manager統合のためにAutoLoginホスト識別子を確認(または構成)する方法を示します。実際の値はこれとは異なります。開始する前に、「WebLogic Serverプラグイン更新の構成」を一読してください。
Access Manager 11gと10g Webゲートを使用してシングル・サイン・オンが行えるように、WebLogicセキュリティ・プロバイダを構成できます。
Access Manager 11gをOracle Identity Manager 11gに統合していない場合、このステップは省略します。
11g Webゲート用のセキュリティ・プロバイダの設定の詳細は、次のトピックを参照してください。
IAMSuiteAgentを11g Webゲートに入れ替える場合に、Access Manager 11g SSOの構成を完了するには、WebLogic Serverドメイン内で次のセキュリティ・プロバイダを構成する必要があります。
セキュリティ・プロバイダは次のとおりです。
OAM Identity Asserter: トークンベースの認証を使用し、OAM SSOヘッダーとトークンをアサートします。
OID (またはOVD) Authenticator: サブジェクトを作成し、正しいプリンシパルを移入します。
ユーザーが保存されているストアに応じて、Oracle Internet Directory AuthenticatorまたはOracle Virtual Directory Authenticatorのいずれかをプライマリ資格証明オーセンティケータとして構成します。
デフォルト・オーセンティケータ: このデフォルトWebLogic認証プロバイダによって、ユーザーとグループを、組み込まれたWebLogicサーバーLDAPサーバーという1つの場所で管理できます。Oracle WebLogic Serverはこのオーセンティケータを使用して、管理ユーザーのログインを行います。
複数の認証プロバイダを構成する場合、各プロバイダにJAAS制御フラグを使用して、ログイン順序での認証プロバイダの使用方法を制御します。たとえば次のJAAS制御フラグ設定を使用できます。
REQUIRED - 認証プロバイダは常に呼び出され、ユーザーは常に認証テストを通過する必要があります。認証が成功しても失敗しても、認証はプロバイダのリストの下方に進みます。OAM Identity Asserterが必要です。
SUFFICIENT - ユーザーはこの認証プロバイダの認証テストを通過する必要はありません。認証が成功した場合、以降の認証プロバイダは実行されません。認証が失敗した場合、認証はプロバイダのリストの下方に進みます。Oracle Internet Directory (またはOracle仮想ディレクトリ)およびデフォルト・オーセンティケータの両方がSUFFICIENTです。
OPTIONAL - 追加の認証プロバイダが既存のセキュリティ・レルムに加わると、デフォルト設定で制御フラグがOPTIONALに設定されます。各認証プロバイダが認証順序で正しく機能するように、制御フラグの設定とプロバイダの順序を変更する必要があるかもしれません。
ユーザーは認証プロバイダの認証テストを合格しても、不合格になってもかまいません。ただし、JAAS制御フラグがOPTIONALに設定されたセキュリティ・レルムですべての認証プロバイダが構成されている場合は、ユーザーは構成されたいずれかのプロバイダの認証テストに合格する必要があります。
関連項目:
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の「認証プロバイダの構成」に、すべての認証プロバイダのリストと、ユーザーおよびグループ属性のLDAPスキーマに合ったOracle Internet Directoryプロバイダの構成の詳細が記載されています。
Access Manager JARは、Oracle Fusion Middleware製品(Oracle Identity Management、Oracle SOA Suite、またはOracle WebCenter)のインストール時に使用可能な認証プロバイダのWARファイルです。Fusion Middlewareアプリケーションをご使用の場合は、必要なファイルをすでに持っています。
oamAuthnProvider.jar: シングル・サインオン用のAccess Managerアイデンティティ・アサータのファイルとOracle WebLogic Server 10.3.1以降のオーセンティケータのファイルが含まれています。ユーザーやアプリケーションからのWebリソースおよび非Web(非HTTP)リソースに対するリクエストを処理するために、カスタムのAccess Managerアクセス・ゲートも用意されています。
oamauthenticationprovider.war: Oracle WebLogic Serverコンソールに表示されるプロバイダ・リストを、Access Managerで使用する必要があるもののみに限定します。
拡張をデプロイすると、拡張WARファイル内のファイルとディレクトリをもとに、管理コンソールのWARファイル内にファイルとディレクトリのインメモリー・ユニオンが作成されます。デプロイした拡張機能は、管理コンソールの完全なメンバーになります。この拡張機能は、WebLogic Serverのセキュリティ・レルムで保護され、管理コンソールの他のセクションに移動できます。また、拡張機能からWebLogic Serverリソースを変更する場合、拡張機能は変更管理プロセスに関与します。詳細は、『Oracle Fusion Middleware Oracle WebLogic Server管理コンソールの拡張』を参照してください。
WebLogic Server管理コンソールを使用して、セキュリティ・プロバイダを設定できます。
この例では、Oracle Internet DirectoryプロバイダをOAM Identity Asserterおよびデフォルト・オーセンティケータで設定する方法を示します。OVDの場合も必要なステップは同じです。
ノート:
Fusion Middlewareアプリケーションをご使用の場合は、必要なファイルをすでに持っているので、次のステップ1をスキップできます。ただしFusion Middlewareアプリケーションがない場合は、スタンドアロンOracle WebLogic Serverなので、ステップ1で説明したようにOracle Technology NetworkからJARおよびWARファイルを入手する必要があります。
Oracle Fusion Middlewareアプリケーションがない場合: Access Managerプロバイダを次の手順で入手します。
次の場所のOracle Technology Networkにログインします。
https://www.oracle.com/middleware/technologies/identity-management/
WebゲートでoamAuthnProvider ZIPファイルを検索します。
oamAuthnProvider<version number>.zip
oamAuthnProvider.jarを、Oracle WebLogic Serverをホスティングしているコンピュータの次のパスに解凍し、コピーします。
$BEA_HOME/wlserver_10.x/server/lib/mbeantypes/oamAuthnProvider.jar
Oracle Fusion Middlewareアプリケーションがインストールされている場合:
次のパスでoamauthenticationprovider.warを探します。
$ORACLE_HOME/modules/oracle.oamprovider_11.1.2/oamauthenticationprovi der.war
oamauthenticationprovider.warを次の場所にコピーします:
$BEA_HOME/wlserver_10.x/server/lib/console-ext/autodeploy/oamauthentication provider.war
WebLogic Server管理コンソールにログインして、「セキュリティ・レルム」、デフォルトのレルム名、「プロバイダ」の順にクリックします。
OAM Identity Asserter: 次のステップを実行してこのプロバイダを追加します。
「認証」をクリックして「新規」をクリックし、次に名前を入力して、タイプを選択します。
名前: OAM ID Asserter
タイプ: OAMIdentityAsserter
OK
認証プロバイダ表内で、新しく追加されたオーセンティケータをクリックします。
共通タブで、制御フラグをREQUIREDに設定して、「保存」をクリックします。
OIDオーセンティケータ: 次のステップを実行してこのプロバイダを追加します。
「セキュリティ・レルム」、デフォルトのレルム名、「プロバイダ」の順にクリックします。
「新規」をクリックし、次に名前を入力して、タイプを選択します。
名前: OID Authenticator
タイプ: OracleInternetDirectoryAuthenticator
OK
認証プロバイダ表内で、新しく追加されたオーセンティケータをクリックします。
設定ページの共通タブで、制御フラグをSUFFICIENTに設定して、「保存」をクリックします。
プロバイダ固有タブをクリックして、環境に合った値を使用して、次のような必要な設定を行います。
ホスト: ご使用のLDAPホスト。例: localhost
ポート: ご使用のLDAPホスト・リスナー・ポート。例: 6050
プリンシパル: LDAP管理ユーザー。例: cn=orcladmin
資格証明: LDAP管理ユーザー・パスワード。
ユーザー・ベースDN: Access Managerと同じ検索ベース。
すべてのユーザーのフィルタ: 例: (&(uid=*)(objectclass=person))
ユーザー名属性: LDAPディレクトリ内のユーザー名のデフォルト属性として設定。例: uid
グループ・ベースDN: グループ検索ベース(ユーザー・ベースDNと同じ)
すべてのグループフィルタをデフォルト作業として設定しないでください。
保存します。
デフォルト・オーセンティケータ: 次のステップを実行して、Identity Asserterで使用するデフォルト・オーセンティケータを設定します。
「セキュリティ・レルム」、デフォルトのレルム名、「プロバイダ」の順にクリックして移動します。
「認証」をクリックして、DefaultAuthenticatorをクリックし、確認ページを表示します。
共通タブをクリックして制御フラグをSUFFICIENTに設定します。
保存します。
プロバイダの並替え:
「セキュリティ・レルム」、デフォルトのレルム名、「プロバイダ」の順にクリックします。
プロバイダがリストされたサマリーページで、並替えボタンをクリックします
認証プロバイダの並替えページで、プロバイダ名を選択し、リストの横にある矢印を使用してプロバイダの並替えを行います。
OAMアイデンティティ・アサータ(REQUIRED)
OIDオーセンティケータ (SUFFICIENT)
デフォルトのオーセンティケータ (SUFFICIENT)
「OK」をクリックして変更を保存します
変更のアクティブ化: チェンジ・センターで「変更のアクティブ化」をクリックします。
Oracle WebLogic Serverを再起動します。
次のように進めます。
成功した場合: 「IAMSuiteAgentの無効化」に進みます。
失敗した場合: すべてのプロバイダが環境に合った仕様で、正しい順序になっており、oamAuthnProvider.jar
が「WebLogic Serverドメインのセキュリティ・プロバイダについて」に記載された正しい場所にあることを確認します。
エージェントの無効化は次の2つの方法のいずれかで行えます。
WLSAGENT_DISABLEDをtrueに設定するか、
WLSAGENT_DISABLEDをシステム・プロパティとして渡します
開始する前に、必要に応じてWebLogic用のOAMセキュリティ・プロバイダの構成を行います。
11g Webゲートを使用してそれぞれの環境をテストし、IAMSuiteAgentで保護されていたすべてのアプリケーションが、構成後も保護されていることを確認するようお薦めします。
開始する前に、「11g Webゲートの集中ログアウト構成」を参照してください。