Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Access Manager SSOソリューションは、Oracle ADF標準およびOPSS SSOフレームワークに従ってコーディングされたアプリケーションに使用できます。Access Managerでログアウトを実行するように構成されたADFコード・アプリケーションは、/oamsso/logout.htmlリソースにリダイレクトします。
IAMSuiteAgentはリクエストのインターセプトと処理を行い、セッションをクリーン・アップし、集中ログアウト・ページにリダイレクトして(OAMサーバーにより実行)再びend_urlにリダイレクトします。
関連項目:
Oracle Platform Security Servicesによるアプリケーションの保護
ノート:
ADFアプリケーションの場合は、追加的な構成ステップが1つだけ必要です(OPSS用にOAMSSOProviderを構成)。
タスクの概要: Access ManagerによるADFアプリケーションの保護
ADFコード・アプリケーションとは、ADFと完全に統合化されたアプリケーション、またはADF認証サーブレットだけを使用してOPSSとの統合化を図るアプリケーションを言います。
この場合、ログアウトは、ADFアプリケーションがログアウトURIを呼び出したときに開始されます。次のプロセスは、Oracle ADF標準に従ってコーディングされたアプリケーションのAccess Manager集中ログアウト・プロセスの概要です。
プロセス概要: 10g Webgate使用時のADFアプリケーションの集中ログアウト
ADFアプリケーションは次のURIを呼び出します。
/<application context root>/adfAuthentication?logout=true&end_url=<any uri>
end_url
パラメータは、ログアウト後にアプリケーションが制御を戻すURIを指定します。
ADFは構成済のOPSS SSOプロバイダ(この場合はOAM)を起動し、ログアウトURIにリクエストをリダイレクトすることによって、構成済のログアウトURIにログアウト機能を委任します。end_url
の値は問合せ文字列としてログアウトURIに渡されます。例: /oamsso/logout.html?end_url=<end_uri>
ログアウトURIは、アプリケーションのフロントエンド処理を行うWebgateに呼び出されます。
10g Webgateはそのドメイン用のObSSOCookieをクリアして、logout.htmlスクリプトをロードします。
end_url
パラメータにhost:portが含まれていない場合、logout.htmlスクリプトはローカル・サーバーのhost:portを取得してend_url
パラメータをURLとして構成します。次に例を示します。
http://serverhost:port/oam/server/logout?end_url=http://my.site.com/ welcome.html
logout.html内のロジックがOAMサーバーにリダイレクトします。次に例を示します。
http://myoamserverhost:port/oam/server/logout?end_url=http://my.site.com/ welcome.html
OAMサーバーが次のようにログアウトを実行します。
サーバー側のユーザーに関連付けられたセッション情報をクリーン・アップします。
end_url
を確認して、コールバックURLを含むページをユーザーのブラウザに送信します。
ノート:
表15-3に示すように、ログアウト・コールバックURLは、展開された(短縮されていない)OAMエージェント登録で指定されます。
コールバック・ページから、各Webgateの特定URIに対して新しいリクエストが開始されます。このリクエストが特定ドメインの特定Webgateに届くと、そのドメインのObSSOCookieはクリアされます。
ユーザーは、ログアウト・スクリプト内のend_url
にリダイレクトされます。ただし、end_url
パラメータがない場合はOAMサーバーによって適切なメッセージが送信されます。
次の手順は10g Webgateのログアウト構成と同様ですが、ADFコード・アプリケーション用のステップが含まれています。ADFコード・アプリケーションでは、ログアウト処理後にユーザーをどこへリダイレクトするかを明らかにするためにend_url
の値を送らなければなりません。ただしADFコード・アプリケーションでは、アプリケーションが次のURIを呼び出したときにログアウトが行われます。
/<app context root>/adfAuthentication?logout=true&end_url=<any uri>
ノート:
Applcore f/wは前述のURLのトリガーを容易にすることができ、ADFアプリケーションはこれを利用することができます。
この手順の一部のステップにはWebLogic Scripting Tool (WLST)が必要で(Linuxではwlst.sh、Windowsではwlst.cmd)、これはWLST_install_dirから呼び出す必要があります。
関連項目:
『WebLogic Server WLSTコマンド・リファレンス』のカスタムWLSTコマンドの使用に関する項
ADFコード・アプリケーションの集中ログアウト構成方法
管理者にエージェントで構成されたlogout.htmlスクリプトの場所を確認します。それには、次のステップを実行する必要があります。
次のように、OAM用のOPSSをSSOプロバイダとして構成し、WebLogic管理ドメインのjps-config.xmlを更新します。
Oracle ADFセキュリティを使用してOracle WebLogic ServerとWebアプリケーションをホストしているコンピュータ上で、Oracle JRF WLSTスクリプトの場所を確認します。次に例を示します。
cd $ORACLE_HOME/oracle_common/common/bin
Oracle WebLogic Serverをホストしているコンピュータに接続し、管理者IDとパスワード、およびWebLogic AdminServerのホストとポートを入力します。
wls:/> /connect('admin_ID', 'admin_pw', 'hostname:port'
たとえば、Oracle WebLogic Administration Serverホストは、ポート7001
を使用するlocalhost
とすることができます。ただし、実際に使用している環境では異なることもあります。
管理者にエージェントで構成されたlogout.htmlスクリプトの場所を確認します。
ステップdでは、管理者の提供する値を使用する必要があります。ここで、logouturi
の値はログアウト・スクリプト/logout.htmlのURIです。この値は「logout」で始めるか(logout.gifとlogout.jpgは例外)、管理者が構成した別の値にすることもできます。
ADF認証用のloginuriとlogouturiを入力します(エージェントによって構成されたlogout.htmlスクリプトの場所)。ホストとポートは必要ありません。
wls:/>addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi")
ここで、loginuri=/${app.context}/adfAuthentication、logouturivalはログアウト・スクリプト/logout.htmlのURIです。logouturlは「logout」で始めるか(logout.gifとlogout.jpgは例外)、管理者が構成した別の値にすることもできます。
必須: 次に示すように、ADFアプリケーションは、ログアウト後にユーザーをどこへリダイレクトするかを示すend_urlパラメータを渡さなければなりません。
end_url
パラメータにhost:portが含まれていない場合、logout.htmlスクリプトはローカル・サーバーのhost:portを取得してend_url
パラメータをURLとして構成します。次に例を示します。
http://serverhost:port/oam/server/logout?end_url=http://serverhost:port/ welcome.html
11g Webゲート: 「11g Webゲートの集中ログアウト構成」のステップを実行します。
10g Webゲート: 「11g OAMサーバー使用時の10g Webゲートの集中ログアウトの構成」のステップを実行します。
関連項目:
Access ManagerのIDアサーションのプロバイダ設定の詳細は、「シナリオ: Access Managerトークンを使用したアイデンティティ伝播」を参照してください。