53.5 OAuthサービスを保護するためのWebゲートの構成

OAuthサービスで使用するためのWebゲートを構成できます。WebゲートはOAuthサービス承認ページを保護し、クライアント認可およびトークン・エンドポイント・リクエストがOracle Access Managementサーバーに直接アクセスするのではなくWebゲートにアクセスするようにプロキシとしての役割を果たします。

Webゲートを使用してOAuthサービス・リソース・サーバーを保護することはできません。次に、WebLogic環境専用のステップを示します。

ノート:

外部のLDAPディレクトリ・サーバーを使用する3-Legged認可シナリオには、Webゲート・プロキシが必要です。

『WebGate for Oracle Access Managerのインストール』に示された手順を使用して、OAM用のOracle HTTP Server 11g Webゲートをインストールします。
次のリソースを定義し、認証ポリシーおよび認可ポリシーを作成して、Webゲートを構成します。
1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
2. 「Access Manager」で、「アプリケーション・ドメイン」をクリックして、「検索」をクリックし、「アプリケーション・ドメインの検索」ページの「アプリケーション・ドメイン」を表示します。
3. ターゲット・ドメインをクリックして、編集のために開きます。
4. 「リソース」タブを選択します。
5. 次のリソースを作成します。既存のIAMSuiteAgentホスト識別子を使用する場合、リソースはすでに存在し、「リソースURL」フィールドを使用して検索できます。
```
/ms_oauth/oauth2/ui/**
```
  クリックしてリソースを選択してから「編集」ボタンをクリックします。
6. 「保護」見出しの下で、メニューから次のオプションを選択して、「適用」をクリックします。
  
  保護レベル: 保護
  
  認証ポリシー: 保護されるより高度なポリシー
  
  認可ポリシー: 保護リソース・ポリシー
  
  これらの設定により、Webゲートはユーザー認証およびユーザー認可を実行できます。
7. 次のリソースを追加して、「保護レベル」を「除外」に設定します。
```
/ms_oauth/oauth2/endpoints/**
/ms_oauth/oauth2/oammsui/**
/ms_oauth/style/**
/ms_oauth/img/**
/oam/**
```
  Webゲートは除外されたリソースを保護せず、これらのリソースへのアクセスを許可します。

次の行をmod_wl_ohs.confファイルに追加し、Webゲートを再起動します。WebLogicPortの場合、必ずその環境の管理対象ポートの詳細を追加してください。

# the following directive proxies all the OAuth requests
<IfModule weblogic_module>
      WebLogicHost host123.us.example.com
      WebLogicPort 17100
      Debug ON
      WLLogFile /tmp/weblogic.log
      MatchExpression /ms_oauth/*
</IfModule>
# the following directive proxies all the OAM managed server requests. 
 
<IfModule weblogic_module>
      WebLogicHost host123.us.example.com
      WebLogicPort 17100
      Debug ON
      WLLogFile /tmp/weblogic.log
      MatchExpression /oam/*
</IfModule>

Access Managerロード・バランシング設定を次のように更新します。
1. Oracle Access Managementコンソールで、ウィンドウの上部にある「構成」をクリックします。
2. 「設定」セクションの「表示」メニューから、「Access Manager」を選択します。
3. 「ロード・バランシング」セクションで、「OAMサーバー・ホスト」および「OAMサーバー・ポート」設定をWebゲートのホストおよびポート設定に変更します。
4. 「適用」をクリックします。