A.3 Oracle ADFコード・アプリケーションの集中ログアウト構成

Access Manager SSOソリューションは、Oracle ADF標準およびOPSS SSOフレームワークに従ってコーディングされたアプリケーションに使用できます。Access Managerでログアウトを実行するように構成されたADFコード・アプリケーションは、/oamsso/logout.htmlリソースにリダイレクトします。

IAMSuiteAgentはリクエストのインターセプトと処理を行い、セッションをクリーン・アップし、集中ログアウト・ページにリダイレクトして(OAMサーバーにより実行)再びend_urlにリダイレクトします。

関連項目:

Oracle Platform Security Servicesによるアプリケーションの保護

ノート:

ADFアプリケーションの場合は、追加的な構成ステップが1つだけ必要です(OPSS用にOAMSSOProviderを構成)。

タスクの概要: Access ManagerによるADFアプリケーションの保護

1. 次のトピックを確認してください。

   「Oracle ADF標準に従ってコーディングされたアプリケーションの集中ログアウト処理」を参照してください。

2. 次のどちらかを使ってADFコード・アプリケーションを保護します。

   • 11g Webゲート

   • 10g Webゲート

3. ADFコード・アプリケーション用に追加的な構成ステップを1つ実行します: OAMSSOProviderを構成します。

   「Access ManagerでのADFコード化されたアプリケーションの集中ログアウトの構成」を参照してください。

4. 選択したWebgateのバージョンに合わせてログアウト構成ステップを実行します。

A.3.1 Oracle ADF標準に従ってコーディングされたアプリケーションの集中ログアウト処理

ADFコード・アプリケーションとは、ADFと完全に統合化されたアプリケーション、またはADF認証サーブレットだけを使用してOPSSとの統合化を図るアプリケーションを言います。

この場合、ログアウトは、ADFアプリケーションがログアウトURIを呼び出したときに開始されます。次のプロセスは、Oracle ADF標準に従ってコーディングされたアプリケーションのAccess Manager集中ログアウト・プロセスの概要です。

プロセス概要: 10g Webgate使用時のADFアプリケーションの集中ログアウト

1. ADFアプリケーションは次のURIを呼び出します。

   /<application context root>/adfAuthentication?logout=true&end_url=<any uri>

   end_urlパラメータは、ログアウト後にアプリケーションが制御を戻すURIを指定します。

2. ADFは構成済のOPSS SSOプロバイダ(この場合はOAM)を起動し、ログアウトURIにリクエストをリダイレクトすることによって、構成済のログアウトURIにログアウト機能を委任します。end_urlの値は問合せ文字列としてログアウトURIに渡されます。例: /oamsso/logout.html?end_url=<end_uri>

3. ログアウトURIは、アプリケーションのフロントエンド処理を行うWebgateに呼び出されます。

4. 10g Webgateはそのドメイン用のObSSOCookieをクリアして、logout.htmlスクリプトをロードします。

5. end_urlパラメータにhost:portが含まれていない場合、logout.htmlスクリプトはローカル・サーバーのhost:portを取得してend_urlパラメータをURLとして構成します。次に例を示します。

   http://serverhost:port/oam/server/logout?end_url=http://my.site.com/ 
   welcome.html
   

6. logout.html内のロジックがOAMサーバーにリダイレクトします。次に例を示します。

   http://myoamserverhost:port/oam/server/logout?end_url=http://my.site.com/
   welcome.html
   

7. OAMサーバーが次のようにログアウトを実行します。

   1. サーバー側のユーザーに関連付けられたセッション情報をクリーン・アップします。

   2. end_urlを確認して、コールバックURLを含むページをユーザーのブラウザに送信します。

      ノート:

      表15-3に示すように、ログアウト・コールバックURLは、展開された(短縮されていない)OAMエージェント登録で指定されます。

   3. コールバック・ページから、各Webgateの特定URIに対して新しいリクエストが開始されます。このリクエストが特定ドメインの特定Webgateに届くと、そのドメインのObSSOCookieはクリアされます。

   4. ユーザーは、ログアウト・スクリプト内のend_urlにリダイレクトされます。ただし、end_urlパラメータがない場合はOAMサーバーによって適切なメッセージが送信されます。

A.3.2 Access ManagerでのADFコード化されたアプリケーションの集中ログアウトの構成

次の手順は10g Webgateのログアウト構成と同様ですが、ADFコード・アプリケーション用のステップが含まれています。ADFコード・アプリケーションでは、ログアウト処理後にユーザーをどこへリダイレクトするかを明らかにするためにend_urlの値を送らなければなりません。ただしADFコード・アプリケーションでは、アプリケーションが次のURIを呼び出したときにログアウトが行われます。

 /<app context root>/adfAuthentication?logout=true&end_url=<any uri>

ノート:

Applcore f/wは前述のURLのトリガーを容易にすることができ、ADFアプリケーションはこれを利用することができます。

この手順の一部のステップにはWebLogic Scripting Tool (WLST)が必要で(Linuxではwlst.sh、Windowsではwlst.cmd)、これはWLST_install_dirから呼び出す必要があります。

関連項目:

• 『WebLogic Server WLSTコマンド・リファレンス』のカスタムWLSTコマンドの使用に関する項

ADFコード・アプリケーションの集中ログアウト構成方法

1. 管理者にエージェントで構成されたlogout.htmlスクリプトの場所を確認します。それには、次のステップを実行する必要があります。

2. 次のように、OAM用のOPSSをSSOプロバイダとして構成し、WebLogic管理ドメインのjps-config.xmlを更新します。

   1. Oracle ADFセキュリティを使用してOracle WebLogic ServerとWebアプリケーションをホストしているコンピュータ上で、Oracle JRF WLSTスクリプトの場所を確認します。次に例を示します。

      cd $ORACLE_HOME/oracle_common/common/bin
      

   2. Oracle WebLogic Serverをホストしているコンピュータに接続し、管理者IDとパスワード、およびWebLogic AdminServerのホストとポートを入力します。

      wls:/> /connect('admin_ID', 'admin_pw', 'hostname:port' 
      

      たとえば、Oracle WebLogic Administration Serverホストは、ポート7001を使用するlocalhostとすることができます。ただし、実際に使用している環境では異なることもあります。

   3. 管理者にエージェントで構成されたlogout.htmlスクリプトの場所を確認します。

      ステップdでは、管理者の提供する値を使用する必要があります。ここで、logouturiの値はログアウト・スクリプト/logout.htmlのURIです。この値は「logout」で始めるか(logout.gifとlogout.jpgは例外)、管理者が構成した別の値にすることもできます。

   4. ADF認証用のloginuriとlogouturiを入力します(エージェントによって構成されたlogout.htmlスクリプトの場所)。ホストとポートは必要ありません。

      wls:/>addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",
      logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi")
      

      ここで、loginuri=/${app.context}/adfAuthentication、logouturivalはログアウト・スクリプト/logout.htmlのURIです。logouturlは「logout」で始めるか(logout.gifとlogout.jpgは例外)、管理者が構成した別の値にすることもできます。

3. 必須: 次に示すように、ADFアプリケーションは、ログアウト後にユーザーをどこへリダイレクトするかを示すend_urlパラメータを渡さなければなりません。

   end_urlパラメータにhost:portが含まれていない場合、logout.htmlスクリプトはローカル・サーバーのhost:portを取得してend_urlパラメータをURLとして構成します。次に例を示します。

   http://serverhost:port/oam/server/logout?end_url=http://serverhost:port/ 
   welcome.html
   

4. 11g Webゲート: 「11g Webゲートの集中ログアウト構成」のステップを実行します。

5. 10g Webゲート: 「11g OAMサーバー使用時の10g Webゲートの集中ログアウトの構成」のステップを実行します。

関連項目:

Access ManagerのIDアサーションのプロバイダ設定の詳細は、「シナリオ: Access Managerトークンを使用したアイデンティティ伝播」を参照してください。