Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
OAuthサービスで使用するためのWebゲートを構成できます。WebゲートはOAuthサービス承認ページを保護し、クライアント認可およびトークン・エンドポイント・リクエストがOracle Access Managementサーバーに直接アクセスするのではなくWebゲートにアクセスするようにプロキシとしての役割を果たします。
Webゲートを使用してOAuthサービス・リソース・サーバーを保護することはできません。次に、WebLogic環境専用のステップを示します。
ノート:
外部のLDAPディレクトリ・サーバーを使用する3-Legged認可シナリオには、Webゲート・プロキシが必要です。
『WebGate for Oracle Access Managerのインストール』に示された手順を使用して、OAM用のOracle HTTP Server 11g Webゲートをインストールします。
次のリソースを定義し、認証ポリシーおよび認可ポリシーを作成して、Webゲートを構成します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「Access Manager」で、「アプリケーション・ドメイン」をクリックして、「検索」をクリックし、「アプリケーション・ドメインの検索」ページの「アプリケーション・ドメイン」を表示します。
ターゲット・ドメインをクリックして、編集のために開きます。
「リソース」タブを選択します。
次のリソースを作成します。既存のIAMSuiteAgentホスト識別子を使用する場合、リソースはすでに存在し、「リソースURL」フィールドを使用して検索できます。
/ms_oauth/oauth2/ui/**
クリックしてリソースを選択してから「編集」ボタンをクリックします。
「保護」見出しの下で、メニューから次のオプションを選択して、「適用」をクリックします。
保護レベル: 保護
認証ポリシー: 保護されるより高度なポリシー
認可ポリシー: 保護リソース・ポリシー
これらの設定により、Webゲートはユーザー認証およびユーザー認可を実行できます。
次のリソースを追加して、「保護レベル」を「除外」に設定します。
/ms_oauth/oauth2/endpoints/** /ms_oauth/oauth2/oammsui/** /ms_oauth/style/** /ms_oauth/img/** /oam/**
Webゲートは除外されたリソースを保護せず、これらのリソースへのアクセスを許可します。
次の行をmod_wl_ohs.conf
ファイルに追加し、Webゲートを再起動します。WebLogicPort
の場合、必ずその環境の管理対象ポートの詳細を追加してください。
# the following directive proxies all the OAuth requests <IfModule weblogic_module> WebLogicHost host123.us.example.com WebLogicPort 17100 Debug ON WLLogFile /tmp/weblogic.log MatchExpression /ms_oauth/* </IfModule> # the following directive proxies all the OAM managed server requests. <IfModule weblogic_module> WebLogicHost host123.us.example.com WebLogicPort 17100 Debug ON WLLogFile /tmp/weblogic.log MatchExpression /oam/* </IfModule>
Access Managerロード・バランシング設定を次のように更新します。
Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
「設定」セクションの「表示」メニューから、「Access Manager」を選択します。
「ロード・バランシング」セクションで、「OAMサーバー・ホスト」および「OAMサーバー・ポート」設定をWebゲートのホストおよびポート設定に変更します。
「適用」をクリックします。