62.4 Oracle Access ManagementとNetWeaver Enterprise Portal 7.0.xの構成

Access ManagerとSAP NetWeaver Enterprise Portal 7.0.xを連動するように構成できます。

この項の内容は次のとおりです。

• OAMおよびNetWeaver Enterprise Portal 7.0.xの構成を始める前に

• プロキシとしてのApache HTTP Serverの構成

• 外部認証用のSAP NetWeaver Enterprise Portalの構成

• ヘッダー変数を使用するためのログイン・モジュール・スタックの調整

• SAP Enterprise Portal用のAccess Managerの構成

62.4.1 OAMおよびNetWeaver Enterprise Portal 7.0.xの構成を始める前に

• この項のステップを実行する前に、SAP NetWeaver Enterprise Portalをインストールします。

• apache.orgから指示されているインストール・ステップに従って、Apache HTTP Serverをインストールします。

• SAP Enterprise Portalインスタンスへのプロキシ接続をサポートする各Apache HTTP Serverインスタンスに対して、WebGateのインストールと構成を行います。詳細は、「Oracle Access ManagerのためのWebgateのインストール」を参照してください。

• 「SAP Enterprise Portal用のAccess Managerの構成」のステップを実行する前に、Access Managerをインストールします。詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドを参照してください。

• SAP NetWeaver Enterprise PortalとAccess Managerコンポーネントがインストールされているすべてのサーバーで、時間を同期します。

• ユーザーが、Access Manager LDAPディレクトリとSAP R3システム・データベース上に存在していることを確認します。

  Access ManagerとSAPデータベース内のユーザーIDは、同じであるか、それぞれにマップされている必要があります。ユーザーのプロファイル内の属性は、SAP IDとして構成して、SAPに直接渡すことができます。または、SAP IDを、Access Managerから受け取る任意のユーザー属性にマップするようにSAPを構成することもできます。

• WebブラウザがCookieを受け入れるように構成されていることを確認します。

ノート:

Access ManagerとSAP NetWeaver Enterprise Portalを統合する前に、次のトピックを確認することをお薦めします。

• 「データ・ソースの管理」で、Access Managerでデータ・ソースを追加して構成する方法を理解します。

• 「認証コンポーネントと共有ポリシー・コンポーネントの管理」で、Access Managerでフォーム・モードおよびBasicモードの認証を構成する方法を理解します。

• 「Access Manager用の証明書モード通信の構成」で、Access Manager用の証明書モードの構成方法を理解します。

62.4.2 プロキシとしてのApache HTTP Serverの構成

SAP NetWeaver Enterprise Portalにアクセスするようにプロキシ(Apache HTTP Server 2.0.x)を構成できます。

Apache HTTP Server 2.0.xを構成するには、次の手順に従います。

1. Apacheのドキュメントに従って、Apache HTTP Serverプロキシを非SSLモードまたはSSLモードで設定します。

   HTTPS通信をSAP NetWeaver Enterprise Portalで使用する場合は、SSLモードを使用します。

2. SAP NetWeaver Enterprise Portalにアクセスできるようにプロキシを構成するには、httpd.conf構成ファイルに次の内容を入力します。

   SAP NetWeaver Enterprise Portal 6の場合:

   ProxyRequests Off
   ProxyPass /irj http://sap_host:port/irj
   ProxyPassReverse /irj http://sap_host:port/irj
   ProxyPreserveHost On
   

   SAP NetWeaver Enterprise Portal 7の場合:

   ProxyRequests Off
   ProxyPass /webdynpro http://sap_host:port/irj
   ProxyPassReverse /webdynpro http://sap_host:port/irj
   ProxyPreserveHost On
   

   sap_hostは、SAP NetWeaver Enterprise Portalインスタンスの名前で、portは、SAP NetWeaver Enterprise Portalインスタンス用のリスニング・ポートになります。このディレクティブ・セットにより、http://apache_host:port/irjまたはhttps://apache_host:port/irj形式のこのWebサーバーへのリクエストがすべて、http://sap_host:port/irjまたはhttps://sap_host:port/irjにリダイレクトされるようになります。

3. プロキシWebサーバーを再起動します。
4. 次のURLにアクセスします。

   非SSL - http://apachehost:port/irj

   SSL - https://apachehost:port/irj

   このリクエストは、SAP NetWeaver Enterprise Portalログインにリダイレクトされる必要があります。

5. SAP NetWeaver Enterprise Portal管理者ログインIDを使用してログインします。

   管理者は、使用可能な管理機能を実行できることが必要です。

6. 非管理ユーザーとしてログインします。

   このユーザーは、非管理機能を実行できることが必要です。

62.4.3 外部認証用のSAP NetWeaver Enterprise Portalの構成

OB_USERヘッダー変数を使用してSAP Enterprise Portalで外部認証を有効にできます。

SAP Enterprise Portalの認証スキームの構成の詳細は、SAPのドキュメントを参照してください。

ヘッダー変数を構成するには:

1. SAP J2EEディスパッチャとサーバーを停止します。

2. 次のディレクトリを参照します。

   SAP_J2EE_engine_install_dir\ume

3. authschemes.xml.bakファイルを別のディレクトリにバックアップします。

4. authschemes.xml.bakの名前をauthschemes.xmlに変更します。

5. エディタにauthschemes.xmlを開いて、次のようにデフォルト認証スキームの参照を認証スキーム・ヘッダーに変更します

   <authscheme-refs>
        <authscheme-ref name="default">
             <authscheme>header</authscheme>
             <authscheme>uidpwdlogon</authscheme>
        </authscheme-ref>
   </authscheme-refs>
   

6. authschemes.xmlの認証スキーム・ヘッダーで、アクセス・システムによってユーザーIDが指定されるHTTPヘッダー変数の名前を指定します。

   「SAP Enterprise Portal用のAccess Managerの構成」で説明しているように、これはOB_USERヘッダー変数です。このヘッダー変数を次のように構成します。

   <authscheme name="header">
        <loginmodule>
             <loginModuleName>  
                  com.sap.security.core.logon.imp.HeaderVariableLoginModule 
             </loginModuleName>
                  <controlFlag>REQUISITE</controlFlag>
                  <options>Header=OB_USER</options>
        </loginmodule>
        <priority>5</priority>
        <frontEndType>2</frontEndType>
        <frontEndTarget>com.sap.portal.runtime.logon.header</frontEndTarget>
   </authscheme>
   

   制御フラグ値REQUISITEは、ログイン・モジュールの成功が必須条件であることを意味します。ログインが成功すると、ログイン・モジュール・リストを介して認証が続行されます。失敗した場合、すぐに制御がアプリケーションに返され、認証はログイン・モジュール・リストを介して続行されません。

7. ポータル・サーバーとJ2EEエンジンを再起動します。

   変更されたauthschemes.xmlファイルがポータル・コンテンツ・ディレクトリ(PCD)にロードされます。SAP Enterprise Portalは、この名前をauthschemes.xml.bakに変更します。

ログアウトを構成する手順

1. SAP Enterprise PortalとAccess Managerの両方でシングル・サインオン・セッションからのログアウトを有効にするには、SAP Enterprise Portalの管理インタフェースからログアウトURLを構成します。

   管理インタフェースのURLは次のとおりです。

   http://SAP_host:port/irj/

   SAP_hostは、SAP Enterprise Portalをホストするマシン名で、portは、ポータルのリスニング・ポートです。

2. 管理インタフェースから、「System Administration」→「System Configuration」→「UM Configuration」→「Direct Editing」の順に選択します。
3. 構成ファイルの最後に次の行を追加します。

   ume.logoff.redirect.url=http(s)://proxy_host:port/logout.html
   ume.logoff.redirect.silent=false
   

   http(s) はhttpかhttpsのいずれかになり、proxy_hostは、プロキシWebサーバーの名前で、portは、プロキシのリスニング・ポートになります。

4. 変更を保存し、ログアウトします。

62.4.4 ヘッダー変数を使用するためのログイン・モジュール・スタックの調整

適切なログイン・モジュール・スタックまたはテンプレートにHeaderVariableLoginModuleを追加し、オプションを構成します。

表62-1 ヘッダー変数を使用するためのログイン・モジュール・スタック

ログイン・モジュール	フラグ	Options
EvaluateTicketLoginModule	SUFFICIENT	{ume.configuration.active=true
HeaderVariableLoginModule	OPTIONAL	{ume.configuration.active=true, Header=<header_name>}
CreateTicketLoginModule	SUFFICIENT	{ume.configuration.active=true}
BasicPasswordLoginModule	REQUISITE	{}
CreateTicketLoginModule	OPTIONAL	{ume.configuration.active=true}

ヘッダー変数を使用するためにログイン・モジュール・スタックを調整するには、次の手順に従います。

1. 次の場所からVisual Administratorツールを実行します。

   SAPJ2EEEngine_install_dir\j2ee\admin\go.bat

2. Visual Administratorで、「Security Provider」を選択します。
3. 鉛筆アイコンを選択して、編集モードに切り替えます。
4. 「Policy Configurations」、「Authentication」の順に選択します。
5. ヘッダー変数認証をサポートするための各テンプレートまたはアプリケーションに対して、ログイン・モジュールHeaderVariableLoginModuleをログイン・モジュール・スタックに追加します(表62-1を参照)。

62.4.5 SAP Enterprise Portal用のAccess Managerの構成

SAP NetWeaver Enterprise Portalへのログインを保護するようにAccess Managerでセキュリティ・ポリシーを構成できます。

SAP NetWeaver Enterprise Portal用にAccess Managerを構成するには、次の手順に従います。

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
2. 「起動パッド」タブで、「Access Manager」セクションの「作成」(+)ドロップダウン・メニューから「アプリケーション・ドメインの作成」を選択します。

   「11g Webゲートの作成」ページが開きます。

3. フォームに必要な情報を入力し、この統合用のWebGateを作成します。次に例を示します。

   名前: SAP_AG

   バージョン: 11g

   ホスト識別子: Apacheプロキシ・ホスト

   ポリシーの自動作成: 有効(選択)

   パブリック・リソース・リスト: このリストにパブリック・リソースを追加します。

   適用: クリックしてWebGateを作成します。

4. 「認可ポリシー」タブをクリックした後、「認可ポリシーの作成」ボタンをクリックして新しいページを開きます(「リソースの保護およびSSOの有効化ポリシーの管理」)。
5. 「サマリー」タブ: 情報を「サマリー」タブに追加します。
6. 「リソース」タブをクリックし、「追加」(+)をクリックして、このアプリケーション・ドメイン内のポリシーのリソースを次のように定義します。

   名前: SAP EP Security Policy

   タイプ: http

   ホスト識別子: プロキシ・ホストURLの接頭辞/irjを入力します。

   説明: SAP EP Login URL

7. リソースの追加: リソースを特定のポリシーに追加するには、そのリソースをアプリケーション・ドメイン内で定義する必要があります。

   • 「認可ポリシー」ページの「リソース」タブをクリックします。

   • 「リソース」タブの「追加」ボタンをクリックします。

   • 「検索」ボタンをクリックします。

   • 「結果」表内のURLをクリックし、「選択済の追加」をクリックします。

   • これらのステップを繰り返して、さらにリソースを追加します。

8. 「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
9. レスポンス: 「SSOのポリシー・レスポンスの追加および管理」の説明に従って、ポリシーのレスポンスを追加します。
10. 条件: 「認可ポリシー条件の定義」の説明に従って、認可条件を追加します。
11. ルール: 「認可ポリシー・ルールの定義」の説明に従って、認可ルールを追加します。
12. 終了する際はページを閉じます。