| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
このセクションでは、次のタスクについて説明します。
この項のステップを実行する前に、SAP NetWeaver Enterprise Portalバージョン7.4.xをインストールします。
Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドの説明に従って、Access Managerをインストールします。
apache.orgから指示されているインストール・ステップに従って、Apache HTTP Server 2.0.xまたは2.2.xをインストールします。
SAP Enterprise Portal 7.4インスタンスへのプロキシ接続をサポートする各Apache HTTP Serverインスタンスに対して、11g WebGateのインストールと構成を行います。詳細は、「Oracle Access ManagerのためのWebgateのインストール」を参照してください。
SAP NetWeaver Enterprise PortalとAccess Managerコンポーネントがインストールされているすべてのサーバーで、時間を同期します。
ユーザーが、Access Manager LDAPディレクトリとSAP R3システム・データベース上に存在していることを確認します。
Access ManagerとSAPデータベース内のユーザーIDは、同じであるか、それぞれにマップされている必要があります。ユーザーのプロファイル内の属性は、SAP IDとして構成して、SAPに直接渡すことができます。または、SAP IDを、Access Managerから受け取る任意のユーザー属性にマップするようにSAPを構成することもできます。
WebブラウザがCookieを受け入れるように構成されていることを確認します。
ノート:
Access ManagerとSAP NetWeaver Enterprise Portalを統合する前に、次のトピックを確認することをお薦めします。
「データ・ソースの管理」で、Access Managerでデータ・ソースを追加して構成する方法を理解します。
「認証コンポーネントと共有ポリシー・コンポーネントの管理」で、Access Managerでフォーム・モードおよびBasicモードの認証を構成する方法を理解します。
「Access Manager用の証明書モード通信の構成」で、Access Manager用の証明書モードの構成方法を理解します。
SAP NetWeaver Enterprise Portalログインを保護するAccess Managerセキュリティ・ポリシーを構成できます。
構成するには、次のようにします。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「起動パッド」タブで、「Access Manager」セクションの「作成」(+)ドロップダウン・メニューから「アプリケーション・ドメインの作成」を選択します。
フォームに必要な情報を入力し、この統合用のWebGateを作成します。次に例を示します。
名前: SAP_AGなど、意味のある名前を入力します。名前にはスペースが含まれないようにします。
バージョン - ドロップダウン・メニューから「OAM」を選択します。
アクセス・クライアント・パスワード: Webゲートのインストール中に使用するパスワードを入力します。
セキュリティ: WebゲートとOAMサーバーとの間で行われる通信のタイプを選択します。
「適用」をクリックします。
確認ページが開きます。
確認ページの下段にある「サーバー・リスト」セクションで、WebGateを定義済のAccessサーバーに関連付けます。
「適用」をクリックします。
「起動パッド」ページで、「Access Manager」セクションを開いて「ホスト識別子」をクリックします。
「検索」をクリックした後に、検索結果の中からWebGateをクリックします。
Apacheプロキシ用の完全修飾されたプロキシ・マシン名とポートを使用して、ホスト識別子を構成します。
「アプリケーション・ドメイン」をクリックして、WebGateの作成に使用したアプリケーション・ドメイン名(SAP_WGなど)を検索します。
検索結果の中からアプリケーション・ドメイン名をクリックして開きます。
「リソース」タブをクリックして、WebGatesが保護すべきリソースを検索します。検索結果からリソースを選択して、「作成」ボタンをクリックします。
フォームに入力して「適用」をクリックします。
タイプ: HTTP
リソースURL: /irj
保護レベル: 保護
認証ポリシー: 保護リソース・ポリシー
認可ポリシー: 保護リソース・ポリシー
「認証ポリシー」タブをクリックしてから、「保護されたリソース・ポリシー」をクリックします。
「認証スキーム」ドロップダウンから、このドメインに構成したい適切な認証アプリケーション・スキームを選択します。たとえば、フォームベースの認証ポリシー(FAAuthScheme)に対しては、次の内容を入力します。
名前: 保護リソース・ポリシー
認証スキーム: FAAuthScheme
ノート:
ベーシックオーバーLDAPとフォームベース認証のいずれかを選択します。
フォームベースの認証スキームを使用することをお薦めします。基本認証スキームを使用する場合には、さらに「チャレンジ・リダイレクト」フィールドを他のWebGateに設定して、ObSSOCookieが必ず設定されるようにします。
「適用」をクリックして変更を保存します。
「認可ポリシー」タブをクリックしてから、「保護されたリソース・ポリシー」.をクリックします。
「レスポンス」タブをクリックし、次の内容を追加します。
タイプ: ヘッダー
名前: OAM_REMOTE_USER
値: 同一アカウント名
「認可ポリシー」の他のタブには、条件とルールが含まれています。
条件: ユーザーのリストを作成し、グループにまとめます。
ルール: 「条件」タブで作成したユーザーのグループに対するアクセスの許可または拒否を行います。
「適用」をクリックして変更を保存します。
フォームベースの認証スキームを構成した場合には、login.htmlページがプロキシ・サーバーのドキュメント・ルートに構成されていることを確認します。
さらに、logout.htmlページがプロキシWebサーバーのドキュメント・ルートに存在していることを確認します。HTML、JSPファイルまたはCGIプロトコルを使用して、カスタムのログアウト・ページを作成できます。
デフォルトのログアウト・ページ(logout.html)は、次の場所にあります。
WebGate_install_dir/webgate/apache/oamsso/logout.html
説明:
WebGate_install_dirは、WebGateのインストール先ディレクトリです。ログアウト・ページの名前にlogoutという文字列が含まれていることを確認してください。
OAM_REMOTE_USERヘッダー変数によって返されるユーザーIDが、SAP Enterprise 7.4のユーザー管理データ・ソースに存在することを確認します。
「起動パッド」ページで、「Access Manager」セクションを開いて「認証スキーム」をクリックします。
使用する認証スキームを選択します。このスキームは、WebGateのアプリケーション・ドメインの中で選択したスキームとします。
SAP Enterprise Portal 7.4にアクセスするようにプロキシを構成できます。
構成するには、次のようにします。
OAM_REMOTE_USERヘッダー変数を使用してSAP Enterprise Portal 7.4で外部認証を有効にできます。
SAP Enterprise Portal.の認証スキームの構成の詳細は、SAP Enterprise Portal 7.4 Enterprise Postalセキュリティ・ガイドを参照してください。
NetWeaver Adminコンソールを使用して適切なログイン・モジュール・スタックまたはテンプレートにHeaderVariableLoginModuleを追加し、オプションを構成できます。
コンソールで、「構成」→「認証とシングル・サインオン」を選択します。「認証」タブの下の「ログイン・モジュール」をクリックします。表示名をHeaderVariableLoginModule、クラス名をcom.sap.security.core.server.jaas.HeaderVariableLoginModuleにして、HeaderVariableLoginModuleログイン・モジュールを作成します。ログイン・モジュール使用タブから「コンポーネント」 > チケットの順に選択し、ヘッダー変数認証をサポートするためのテンプレートまたはアプリケーションごとにログイン・モジュールHeaderVariableLoginModuleをログイン・モジュール・スタックに追加します。
表62-2 ヘッダー変数を使用するためのログイン・モジュール・スタック
| ログイン・モジュール | フラグ | Options |
|---|---|---|
EvaluateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true
|
HeaderVariableLoginModule |
OPTIONAL |
{ume.configuration.active=true, Header=<header_name>}
|
CreateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true}
|
BasicPasswordLoginModule |
REQUISITE |
{}
|
CreateTicketLoginModule |
OPTIONAL |
{ume.configuration.active=true}
|
