Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
このシナリオでは、Access Managerは、SharePoint Security Token Service (STS)を使用してSharePoint Serverと統合されます。これには、IISへのISAPI WebGateインストール、Access Managerの構成およびHeaderVarの統合を実現するために必要なステップが含まれます。
ノート:
この統合には、64ビットISAPI WebGateのみがサポートされます。
次の概要では、この統合のために実行する必要があるタスク(前提条件を含む)と、各タスクに必要な情報がある場所について説明します。
「タスクの概要: LDAPメンバーシップ・プロバイダを使用して構成されたMicrosoft SharePoint Serverとの統合」
この統合の準備
説明に従って、「必要なMicrosoftのコンポーネント」をインストールします。
「Microsoft SharePoint Serverでの新規Webアプリケーションの作成」の説明に従って、SharePoint Webサイトを作成します。
「Microsoft SharePoint Serverのための新規サイト・コレクションの作成」の説明に従って、SharePointサイト・コレクションを構成します。
SharePointのドキュメントの説明に従って、要求ベースの認証タイプ(LDAPメンバーシップ・プロバイダを使用)を使用して、作成したWebサイトをLDAPディレクトリに対して構成します。
LDAPディレクトリに存在するユーザーがSharePoint Webサイトにログインして適切なロールを取得できることを確認します。
SharePointのドキュメントの説明に従って、構成をテストして、LDAPディレクトリに存在するユーザーがSharePoint Webサイトにログインして適切なロールを取得できることを確認します。
「LDAPメンバーシップ・プロバイダを使用して構成されたMicrosoft SharePoint ServerのためのAccess Managerのインストール」の説明に従って、すべてのタスクを実行します。
このタスクには、IIS対応10g WebGateのインストールと個別のSharePoint WebサイトのためのWebGate.dll
の構成が含まれます。
「LDAPメンバーシップ・プロバイダを使用するための認証スキームの構成」の説明に従って、この統合の認証スキームを追加します。
「SharePoint Webサイトを保護するアプリケーション・ドメインの更新」の説明に従って、SharePoint Webサイトを保護するアプリケーション・ドメインを更新します。
「ヘッダー変数SP_SSO_UIDのための認可レスポンスの作成」の説明に従って、新規アプリケーション・ドメインで、この統合の認可ルールを作成します。
「OAMAuthCookieのための認可レスポンスの作成」のすべてのステップを実行します。
「OAMCustomMembershipProviderの構成およびデプロイ」のすべてのステップを実行します。
「ディレクトリ・サーバーが同期化されていることの確認」の説明に従って、必要に応じてディレクトリ・サーバーを同期化します。
「Officeドキュメントのためのシングル・サインオンの構成」の説明に従って、Officeドキュメントのシングル・サインオンを構成します。
「Microsoft SharePoint Serverのためのシングル・サインオフの構成」の説明に従って、シングル・サインオフを構成します。
「統合のテスト」の説明に従って、統合をテストして問題なく機能することを確認して終了します。
前のシナリオ「Microsoft SharePoint Serverとの統合」では、Windows認証の使用方法を説明しています。そのシナリオでは、認証および認可は、Active Directoryに存在するユーザーに対して実行されます。Access Managerは、統合のためにWindowsの偽装を使用しました。
この項で説明する統合の場合、LDAPメンバーシップ・プロバイダのサポートは、HeaderVarベースの統合によって実現されます。ISAPI WebGateフィルタは、WebリソースのHTTPリクエストを捕捉し、OAMサーバーと連動して、リクエストをしたユーザーを認証します。認証が成功すると、WebGateは、ObSSOCookieを作成し、これをユーザーのブラウザに送信して、シングル・サインオン(SSO)を容易にします。WebGateは、このユーザー・セッションのHeaderVar
アクションとしてSP_SSO_UID
の設定も行います。SharePointのOracleカスタム・メンバーシップ・プロバイダは、HTTP検証メソッドを使用してObSSOCookieを検証します。これにより、Access Managerのカスタム・メンバーシップ・プロバイダは、HTTP/HTTPSリクエストを保護されたリソースに対して実行します。次にAccess Managerは、SP_SSO_UID
を設定した認可の成功で返されたユーザー・ログインを検証し比較します。
関連項目:
この章で説明するこの統合と他の統合の処理の違いについては、「SharePoint Serverとの統合の概要」を参照してください。
要件: この統合では、Microsoft SharePoint Serverに次の要件があります。
LDAPメンバーシップ・プロバイダと統合されている必要があり、Windows認証を使用することは許可されない
要求ベースの認証を使用してWebサイトで構成したIISImpersonationModule.dll
を持つことは許可されない
関連項目:
LDAPメンバーシップ・プロバイダを使用して構成されたMicrosoft SharePoint Serverと統合するためのインストールを準備できます。
前提条件
前の「LDAPメンバーシップ・プロバイダを使用して構成されたMicrosoft SharePoint Serverとの統合について」のステップ1を実行します。
LDAPメンバーシップ・プロバイダを含む統合のデプロイメントを準備するには:
Oracle Identity ManagementおよびAccess Managerをインストールします。
ISAPI Webゲートをプロビジョニングしてインストールします。
保護の対象となるSharePoint WebサイトでWebgate.dll
を構成します。次に例を示します。
インターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
「Webサイト」で、保護するSharePoint Webサイトの名前をダブルクリックします。
中央ペインで、「ISAPIフィルタ」をダブルクリックし、右ペインで「追加」をクリックします。
フィルタ名をOracle WebGate
と入力します。
Webgate.dll
ファイルに次のパスを入力します。
WebGate_install_dir/access/oblix/apps/Webgate/bin/Webgate.dll
これらの変更を保存して適用します。
中央ペインで、「認証」をダブルクリックします。
Internet Information Services設定が正しいことを確認します。匿名認証とフォーム認証が有効になっており、Windows認証が無効になっている必要があります。
ノート:
要求ベースの認証をAccess Managerで使用する場合、SharePointサイトのWindows認証を無効にする必要があります。
これらの変更を保存して適用します。
保護するWebサイト・レベルに移動し、新しくインストールしたWebGate_install_dirを指す/accessアプリケーションを作成します。次に例を示します。
「Webサイト」で、保護するWebサイトの名前を右クリックします。
該当のWebGate_install_dir\accessを指す別名「access」という名前を使用して「アプリケーションの追加」を選択します。
アクセス許可で、「読取り」、「起動スクリプト」および「実行」をチェックします。
これらの変更を保存して適用します。
統合にLDAPメンバーシップ・プロバイダが含まれる場合、3つのAccess Manager認証メソッドのみがサポートされます。
LDAPメンバーシップ・プロバイダを使用したSharePointのための認証スキームを構成するには::
アプリケーション・ドメインは、IIS WebGateをプロビジョニングして、LDAPメンバーシップ・プロバイダを使用した統合シナリオでMicrosoft SharePoint Server Webサイトを保護するために作成されました。
アプリケーション・ドメイン内で、リソース定義はオブジェクトのフラットな集合として存在します。各リソースは、特定のタイプおよびサーバーに格納されて多くのユーザーがアクセスできるドキュメントまたはエンティティを識別するURL接頭辞として定義されます。既存の共有ホスト識別子を使用して、場所を指定します。
ノート:
この統合では、URL接頭辞を空のままにします。URL接頭辞に追加するリージョンを入力しないでください。
以前に作成した認証スキームを使用する必要があります。ObSSOCookieを検証するには、WebGateによって保護されているリソースに別のポリシーを作成する必要があります。例: /ValidateCookie。このリソースをWebGateによって保護されているWebサーバーにデプロイし、正しいAccess Manager資格証明を提供した後にアクセスできる必要があります(http(s)://
host:port/
ValidateCookie)
この例では、アプリケーション・ドメイン名としてSharePoint w/LDAP-MPを使用しています。環境はユーザーによって異なります。
ノート:
ステップ4には、フォーム認証スキームを使用してSharePoint Webサイトを保護する代替認証スキームが含まれています。
ルートのSharePoint Webサイトを保護するアプリケーション・ドメインを更新するには
LDAPメンバーシップ・プロバイダを使用して構成された統合に関する認可レスポンスを追加できます。
この統合では、次のヘッダー変数を認可成功のレスポンスとしてアプリケーション・ドメインに追加します。
Type = Header Name = SP_SSO_UID Return Attribute = $user.userid
この場合、次のようになります。
戻り属性は、ログインに使用されるログイン属性です。
この認可ルールは、ルートのSharePoint Webサイト「/」を保護します。
LDAPメンバーシップ・プロバイダを使用したSharePointに対して認可レスポンスを作成するには:
OAMAuthCookie
という名前のヘッダー変数を認可成功のレスポンスとしてアプリケーション・ドメインに追加できます。
ヘッダー変数:
Type = Cookie Name = OAMAuthCookie Return Attribute = $user.userid
検証URLを保護するためのアプリケーション・ドメインを作成するには
Access Manager認証モジュールを使用してユーザーを認証および認可できます。
次のファイルにバンドルされているデフォルト・ログイン・ページを指定することもできます。
WebGate_install_dir\
access\oblix\apps\Webgate\ OAMCustomMembershipProvider\samples\Sample.Default.aspx
SharePointを構成してOAM認証モジュールを使用するには:
Oracleカスタム・メンバーシップ・プロバイダのログを有効にする場合、Oracleカスタム・メンバーシップ・プロバイダの構成ファイルのDebugFile
パラメータを構成する必要があります。
たとえば、DebugFile=
Location_of_logs_file"のサンプル・エントリは次のようになります。
type = "Oracle.CustomMembershipProvider, OAMCustomMembershipProvider, Version=1.0.0.0, Culture=neutral, PublicKeyToken=52e6b93f6f0427a1" DebugFile="c:\Debug.txt"
Access Managerに対して構成されているディレクトリ・サーバーのユーザーは、SharePointによって使用されるディレクトリ・サーバーと同期している必要があります(これらが異なる場合)。
これは、この章の他の統合シナリオで実行したタスクと同じです。ただし、SharePointの統合にLDAPメンバーシップ・プロバイダが含まれている場合、LDAPコマンドをサポートするディレクトリ・サーバーを使用できます。