B Oracle Identity FederationのプロキシとしてのOracle HTTP Serverの使用

この付録では、Oracle Identity Federationに対するプロキシ・サーバーとしてOracle HTTP Serverを設定する方法を説明します。

• プロキシ・サーバーとしてのOracle HTTP Serverの構成

• Oracle HTTP ServerのSSL構成

B.1 プロキシ・サーバーとしてのOracle HTTP Serverの構成

注意: 環境に対するプロキシ・サーバーの設定の詳細は、アプリケーション・サーバーのドキュメントを参照してください。

Oracle Identity Federationに対するプロキシとしてOracle HTTP Serverを設定するには、次の手順を実行します。

1. IdMインストーラを使用して作成済でない場合は、次のコマンドを使用してOracle HTTP Serverコンポーネントを作成します。

   $AS_ISNT/bin/opmnctl createcomponent -componentType OHS -componentName 
   $OHS_NAME 
   

   $AS_ISNTはアプリケーション・サーバー・インスタンスがインストールされているディレクトリ、$OHS_NAMEは新しいOracle HTTP Serverコンポーネントの名前です。

2. $AS_ISNT/config/OHS/$OHS_NAME/moduleconf/oif.confファイルを編集します。ファイルが存在しない場合は、次の内容で作成します。

   # References the WebLogic server or Cluster where OIF is running
   <Location /fed>
       # Standalone install
       # WebLogicHost myweblogic.server.com
       # WebLogicPort 7499
    
       # Clustered install
       # WebLogicCluster w1s1.com:7499,w1s2.com:7499,w1s3.com:7499
    
     SetHandler weblogic-handler
   </Location> 
   

   1. IdMインストールがスタンドアロン・モードの場合は、Oracle Identity Federationが実行されているWebLogic管理対象サーバーを参照するように、WebLogicHostおよびWebLogicPort変数を非コメント化して設定します。

      # Standalone install
      WebLogicHost OIF-HOST
      WebLogicPort OIF-PORT
      

   2. IdMインストールがクラスタ化モードの場合は、Oracle Identity Federationが実行されているWebLogic管理対象サーバーを参照するように、WebLogicCluster変数を非コメント化して設定します。

      # Clustered install
      WebLogicCluster OIF-HOST-1:OIF-PORT-1,OIF-HOST-2:OIF-PORT-2,OIF-HOST-3:OIF-PORT-3
      

3. プロキシとOracle Identity Federationとの間でSSLを使用する場合は、$ORACLE_HOME/ohs/conf/httpd.confファイルを編集します。次のディレクティブを追加します。

   WlSSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/${COMPONENT_NAME}/keystores/default"
   

4. このウォレットにあるOracle Identity Federationサーバーの証明書を発行した認証局の証明書をインポートします(まだインポートしていない場合)。詳細は、第8.1項「Oracle Identity FederationでのSSLの構成」を参照してください。

5. プロキシでSSLを使用する場合は、第8.1項「Oracle Identity FederationでのSSLの構成」の指示に従います。mod_wl.confファイルの編集に関する項は省略します。

6. 構成変更を有効にするために、Oracle HTTP Serverを再起動します。

   $AS_ISNT/bin/opmnctl restartproc process-type=OHS
   

7. Fusion Middleware Controlに移動し、Oracle HTTP Serverインスタンスを選択し、「管理」→「ポート構成」に移動して、プロキシのHTTPまたはHTTPSポートを指定します。プロキシは、次を呼び出すことによりテストできます。

   HTTP://PROXY-HOST:PROXY_PORT/fed/sp/metadata
   

8. 外部URLに対してプロキシ・ホストおよびポートを使用するようにOracle Identity Federationを再構成します。Fusion Middleware ControlでOracle Identity Federationインスタンスを選択し、「管理」→「サーバー・プロパティ」→「接続設定」の順に移動します。

   • ホスト

   • ポート

   • SOAPポート

   • SSL有効

9. アイデンティティ管理システムとしてOracle Access Managerを使用している場合は、アクセス・システム・コンソールを使用してフェデレーションSSO認証スキームを更新します。コンソールで、「アクセス・システム構成」→「認証管理」の順に移動します。各Oracle Identity Federation認証スキームに対する「チャレンジ・リダイレクト」パラメータを、プロキシ・ホストおよびポートを使用するように変更します。

   
   

   関連項目: Webベースのユーザー・インタフェースの詳細は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド10g』を参照してください。

   
   

10. 必要に応じて、このOracle Identity Federationサーバーを使用してパートナに変更を通知します。SAML 2.0、SAML 1.xまたはLiberty 1.xを使用するパートナは、新しいメタデータをダウンロードする必要があります。WSフェデレーションを使用するパートナは、構成を手動で更新する必要があります。

11. Oracle Identity FederationがOracle Single Sign-Onと統合されている場合は、いくつかの追加手順が必須です。次の項の手順に従います。

    • 第3.2.2.2項「Oracle Single Sign-OnとOHSの統合」

    • 第3.2.2.3項「Oracle Single Sign-Onを認証エンジンとして使用する場合のOracle Identity Federationの構成」

    • 第3.2.2.4項「Oracle Single Sign-On SP統合を使用する場合のOracle Identity Federationの構成」

    • 第3.2.2.5項「Oracle Single Sign-Onの構成」

B.2 Oracle HTTP ServerのSSL構成

Oracle HTTP ServerとOracle WebLogic Server間にSSLを構成するには、次のドキュメントを参照してください。

• 『Oracle Fusion Middleware管理者ガイド』

• 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』