Oracle® Fusion Middleware Oracle WebCenter Portalエンタープライズ・デプロイメント・ガイド 11gリリース1 (11.1.1.9.0) B55900-11 |
|
前 |
次 |
この章では、Oracle WebCenter PortalをOracle Identity Managementと統合する方法について説明します。
この章には次のトピックが含まれます:
Oracle Fusion Middlewareエンタープライズ・デプロイメントをOracle Identity Manager 10gまたは11gと統合できます。次の各項では、まず資格証明ストアとポリシー・ストアを構成する方法とそれらの資格証明ストアおよびポリシー・ストアを再関連付けする方法を説明し、Oracle Identity Manager 10gまたは11gと統合します。
表15-1は、Oracle Identity Manager 10gをOracle WebCenter Portalエンタープライズ・デプロイメントに統合するための大まかな手順を示しています。
表15-2は、Oracle Identity Manager 11gをOracle WebCenterエンタープライズ・デプロイメントに統合するための大まかな手順を示しています。
注意: Oracle Identity Managementとの統合時には、Oracle Identity Managementサーバーで現在使用されているトランスポート・モードを使用します。たとえば、オープン、簡易、証明書などです。 |
表15-1 Oracle Identity Manager 10gとの統合手順
手順 | 説明 | 詳細 |
---|---|---|
資格証明ストアの構成 |
Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジの資格証明ストアとしてOracle Internet Directory LDAPを構成します。 |
|
ポリシー・ストアの構成 |
Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジのポリシー・ストアとしてOracle Internet Directory LDAPを構成します。 |
|
OAM構成ツールの使用 |
OAM構成ツール(oamcfg)を使用し、一連のスクリプトを起動し、必要なポリシーを設定します。 |
|
WebGateのインストールと構成 |
各WEBHOSTnマシンにWebGateをインストールし、Web層を保護します。 |
|
WebGateのIP検証の構成 |
アクセス・システム・コンソールを使用して、WebGateのIP検証を構成します。 |
|
WebLogicオーセンティケータの設定 |
構成ファイルのバックアップ、OAM IDアサータの設定およびプロバイダの順序設定によって、WebLogicオーセンティケータを設定します。 |
第15.5.6項「WebLogicオーセンティケータの設定」 |
SSO用のWebCenter Portalアプリケーションの構成 |
SSOのシステム・プロパティ、WebCenter Portalアプリケーションの管理者ロール、SSO用のディスカッション・サーバーを構成します。 |
第15.7項「SSO用のWebCenter Portalアプリケーションの構成」 |
WebCenter PortalおよびBPELサーバー認証の構成 |
WebCenter PortalとBPELサーバーを構成します。 |
第15.8項「WebCenter PortalおよびBPEL認証の構成」 |
表15-2 Oracle Identity Manager 11gとの統合手順
手順 | 説明 | 詳細 |
---|---|---|
資格証明ストアの構成 |
Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジの資格証明ストアとしてOracle Internet Directory LDAPを構成します。 |
|
ポリシー・ストアの構成 |
Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジのポリシー・ストアとしてOracle Internet Directory LDAPを構成します。 |
|
WebGateのインストール |
HTTPサーバーがすでにインストールされている各WEBHOSTマシンにWebGateをインストールします。 |
|
WebGateエージェントの登録 |
RREGツールを使用したWebGateエージェントの登録 |
|
WebLogicオーセンティケータの設定 |
構成ファイルのバックアップ、OAM IDアサータの設定およびプロバイダの順序設定によって、WebLogicオーセンティケータを設定します。 |
第15.6.5項「WebLogicオーセンティケータのセットアップ」 |
SSO用のWebCenter Portalアプリケーションの構成 |
SSOのシステム・プロパティ、WebCenter Portalアプリケーションの管理者ロール、SSO用のディスカッション・サーバーを構成します。 |
第15.7項「SSO用のWebCenter Portalアプリケーションの構成」 |
WebCenter PortalおよびBPEL認証の構成 |
WebCenter PortalとBPELサーバーを構成します。 |
第15.8項「WebCenter PortalおよびBPEL認証の構成」 |
Oracle Fusion Middlewareでは、WebLogic Serverドメインで異なるタイプの資格証明ストアおよびポリシー・ストアを使用できます。ドメインでは、Oracle Database、XMLファイル(デフォルト)、または様々なタイプのLDAPプロバイダに基づいてストアを使用できます。ドメインでデータベースまたはLDAPを使用する場合は、すべてのポリシー・データと資格証明データが、一元化されたストアで保持および管理されます。ただし、XMLポリシー・ストアを使用すると、管理対象サーバー上で行われる変更は、管理サーバーに伝播されません(両方のサーバーが同じドメイン・ホームを使用していない場合)。
データベースまたはLDAPベースのストアでは、資格証明およびポリシー・ストアは、システムおよびアプリケーション固有のポリシー、資格証明およびキーのリポジトリであるセキュリティ・ストアの一部です。 この集中化により、ポリシー、資格証明、およびキーに関するデータの管理と保守が容易になります。
注意: デフォルトのファイル・ベースのポリシーおよび資格証明ストアは、開発のみに使用され、単一ノードのWebCenter Portal構成でのみ使用する必要があります。エンタープライズ・デプロイメントの場合、ポリシー・ストアおよび資格証明ストアをデータベース・ベースのセキュリティ・ストアまたは外部のLDAPベースのストアに再度関連付ける必要があります。この再関連付を、ドメインの作成直後(拡張の前)に実行すると、ポリシーが上書きされず、Oracle Enterprise Manager Fusion Middleware Controlにドメインのアプリケーション・ストライプが表示されます。本番環境にはデータベース・ベースのセキュリティ・ストアをお薦めします。詳細は、『Oracle Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護』の「OPSSセキュリティ・ストアの構成」を参照してください。 |
Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジでは、管理サーバーと管理対象サーバーで異なるドメイン・ホームを使用するので、整合性および一貫性を保持するために、ポリシー・ストアおよび資格証明ストアとしてLDAPストアを使用する必要があります。デフォルトでは、Oracle WebLogic Serverドメインは、ポリシー・ストアにXMLファイルを使用します。次の項では、デフォルト・ストアを資格証明またはポリシー用のOracle Internet Directory LDAPに変更するために必要な手順について説明します。
注意: ポリシー・ストアおよび資格証明ストアのバックエンド・リポジトリは、同じ種類のLDAPサーバーを使用する必要があります。この一貫性を保持するために、一方のストアを再関連付けるともう一方も再関連付けることになります。つまり、資格証明ストアとポリシー・ストアの両方の再関連付けは、Enterprise Manager Fusion Middleware ControlまたはWLSTコマンドreassociateSecurityStore を使用して、1つの単位として実行されます。詳細は、第15.4項「ドメイン・ポリシーおよび資格証明ストアの再関連付け」を参照してください。 |
資格証明ストアは、セキュリティ・データ(資格証明)のリポジトリです。資格証明には、ユーザー名とパスワードの組合せ、チケット、または公開鍵証明書が保持されます。資格証明は、認証中(プリンシパルがサブジェクトに移入されるとき)に使用され、さらに認可(サブジェクトが実行可能なアクションを決定するとき)にも使用されます。この項では、Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジの資格証明ストアとしてOracle Internet Directory LDAPを構成する手順を示します。資格証明ストアの構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の「資格証明ストアの管理」の章を参照してください。
次の項では、資格証明ストアの構成について説明します。
この項では、WebLogic Server管理コンソールを使用して、LDAPオーセンティケータを作成する方法について説明します。
前提条件
LDAPオーセンティケータを作成する前に、関連構成ファイルをバックアップする必要があります。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/system-jazn-data.xml
次のディレクトリにある、管理サーバーのboot.properties
ファイルをバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/servers/AdminServer/security
LDAPを使用するように資格証明ストアを構成する手順は次のとおりです。
WebLogic Serverコンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
このレルム内の「プロバイダ」タブを開きます。
このレルム用に構成したDefaultAuthenticator
プロバイダがあることを確認します。
「ロックして編集」をクリックします。
「新規」ボタンをクリックし、新しいプロバイダを追加します。
プロバイダの名前を入力します。たとえば、OIDAuthenticator (Oracle Internet Directoryが使用される場合)、またはOVDAuthenticator (Oracle Virtual Directoryが使用される場合)のような名前にします。
オーセンティケータのリストから、OracleInternetDirectoryAuthenticator (Oracle Internet Directoryが使用される場合)、またはOracleVirtualDirectoryAuthenticator (Oracle Virtual Directoryが使用される場合)のいずれかのタイプを選択し、「OK」をクリックします。
「プロバイダ」画面で、新しく作成したオーセンティケータをクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。このフラグは、このオーセンティケータによって正常に認証されたユーザーは、その認証を受け入れたうえで、他のオーセンティケータを呼び出さないようにすることを示しています。認証に失敗した場合、そのユーザーは、チェーンにある次の順番のオーセンティケータに引き継がれます。以降のすべてのオーセンティケータの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特に「DefaultAuthenticator」を確認し、その制御フラグを「SUFFICIENT」に設定します。
「保存」をクリックしてこの設定を保存します。
「プロバイダ固有」タブを開き、LDAPサーバーの詳細情報を入力します。
次の表に示されているように、使用しているLDAPサーバーに固有の詳細情報を入力します。
パラメータ | 値 | 値の説明 |
---|---|---|
ホスト | 例: oid.example.com |
LDAPサーバーのサーバーID。 |
ポート | 例: 636 |
LDAPサーバーのポート番号。 |
プリンシパル | 例: cn=orcladmin |
LDAPサーバーに接続するために使用されるLDAPユーザーDN。 |
資格証明 | なし | LDAPサーバーに接続するために使用されるパスワード。 |
SSL有効 | チェック・ボックスを選択 | LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 |
ユーザー・ベースDN | 例: cn=users,dc=us,dc=example,dc=com |
ユーザーが起動するDNを指定します。 |
グループ・ベースDN | 例: cn=groups,dc=us,dc=example,dc=com |
グループ・ノードを示すDNを指定します。 |
取得したユーザー名をプリンシパルとして使用する | チェック・ボックスを選択 | オンにする必要があります。 |
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
オーセンティケータの並替え
OID/OVDオーセンティケータおよびデフォルト・オーセンティケータを並べ替えて、それぞれのオーセンティケータの制御フラグが次のように設定されていることを確認します。
オーセンティケータの順序を設定する手順は次のとおりです。
WebLogicコンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
「セキュリティ・レルム」→デフォルト・レルム名→「プロバイダ」に移動し、「並替え」をクリックします。
OID/OVDオーセンティケータおよびデフォルト・オーセンティケータの制御フラグが次のように設定されていることを確認し、これらのオーセンティケータを並べ替えます。
OID LDAPオーセンティケータ(またはOVD LDAPオーセンティケータ): SUFFICIENT
デフォルト・オーセンティケータ: SUFFICIENT
「OK」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーとすべての管理対象サーバーを再起動します。
この項では、Oracle Fusion MiddlewareのWebCenter Portal WebLogic Serverドメインを管理するために、新しい管理者ユーザーおよびグループをプロビジョニングする方法の詳細を説明します。この項では、次の作業について説明します。
この項の冒頭で述べたように、複数のWebLogic Serverドメインのユーザーおよびグループは、中央のLDAPユーザー・ストアにプロビジョニングできます。そのような場合、1人のWebLogic管理ユーザーが企業内のすべてのドメインへのアクセス権を所有している可能性があります。これはお薦めしません。特定のWebLogic Server管理ユーザーによるすべてのドメインへのアクセスを防止するには、プロビジョニングされる各ユーザーおよびグループが、ディレクトリ・ツリー内で一意の識別名を持つ必要があります。このマニュアルで説明するWebCenter Portalエンタープライズ・デプロイメントのWebLogic Serverドメインでは、管理ユーザーおよびグループは、次のDNでプロビジョニングされます。
管理ユーザーDN:
cn=weblogic_wc,cn=Users,dc=us,dc=example,dc=com
管理グループDN:
cn=WC_Administrators,cn=Groups,dc=us,dc=example,dc=com
管理ユーザーおよび管理グループをOracle Internet Directoryにプロビジョニングする手順は次のとおりです。
Oracle Internet Directoryホスト上に、次の内容を含む、admin_user.ldif
という名前のldifファイルを作成して保存します。
dn: cn=weblogic_wc, cn=users, dc=us, dc=example, dc=com orclsamaccountname: weblogic_wc givenname: weblogic_wc sn: weblogic_wc userpassword: MyPassword1 mail: weblogic_wc objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetorgperson objectclass: orcluser objectclass: orcluserV2 uid: weblogic_wc cn: weblogic_wc description: Admin User for the WebCenter Portal Domain
ORACLE_HOME
/bin
ディレクトリにあるldapadd
コマンドを実行して、このユーザーをOracle Internet Directory内でプロビジョニングします。
注意: ここで使用するOracleホームは、Oracle Internet Directoryが存在するアイデンティティ管理インストールのOracleホームです。ldapaddコマンドが成功するには、ORACLE_HOME 環境変数を設定する必要があります。 |
次に例を示します(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h oid.example.com -p 389 -D
cn="orcladmin" -w password -c -v -f admin_user.ldif
admin_group.ldif
という名前のldif
ファイルを作成して、次の内容を入力してからこのファイルを保存します。
dn: cn=WC_Administrators, cn=groups, dc=us, dc=example, dc=com displayname: WC_Administrators objectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup uniquemember: cn=weblogic_wc,cn=users,dc=us,dc=example,dc=com cn: WC_Administrators description: Administrators Group for the WebCenter Portal Domain
ORACLE_HOME/bin/
ディレクトリにあるldapadd
コマンドを実行し、グループをOracle Internet Directoryにプロビジョニングします(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h oid.example.com -p 389 -D
cn="orcladmin" -w password -c -v -f admin_group.ldif
Oracle Internet Directoryにユーザーおよびグループを追加したら、WebLogicドメインのセキュリティ・レルム内で、グループに管理ロールを割り当てる必要があります。それによって、グループに属すすべてのユーザーをこのドメインの管理者にできるようになります。
管理ロールを管理グループに割り当てる手順は次のとおりです。
WebLogic Server管理コンソールにログインします。
コンソールの左ペインで、「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページの表「レルム」で「myrealm」をクリックします。
「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。すると、「ロール」のエントリが表示されます。「ロール」リンクをクリックして、「グローバル・ロール」ページを表示します。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページを開きます。
「グローバル・ロールの編集」ページの表「ロール条件」の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、条件のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
「引数の編集」ページのグループ引数フィールドで「WC_Administrators」を指定し、「追加」をクリックします。
「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
「ロール条件」表にWC_Administratorsグループがエントリとして表示されます。
「保存」をクリックして、WC_Administratorsグループへの管理ロールの追加を終了します。
Webブラウザを使用してWebLogic管理サーバー・コンソールを起動し、変更が正常に完了したことを検証します。weblogic_wcユーザーの資格証明を使用してログインします。
注意: Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジの各Oracleアプリケーションには、あらかじめ定義されたロールや管理目的および監視目的で定義されたグループが存在する可能性があります。デフォルトでは、Administrator グループでその作業を実行できます。ただし、Administrator グループは広範になりすぎることもあります。たとえば、Oracle SOA Suite、Oracle WebCenter PortalおよびOracle WebCenter Contentが稼働しているOracle WebLogic Serverドメインの管理者がOracle SOA Suiteの管理者を兼務するのは、望ましくないとも考えられます。したがって、この項で説明するように、WC_Administratorsなど、WebCenter Portal用のより限定的なグループを作成した方がよい場合もあります。様々なアプリケーションでWC Administrator グループが各種のシステムを管理できるようにするには、そのグループに必要なロールを追加する必要があります。たとえば、SOA Worklistappの管理用には、SOA管理者グループにSOAAdmin ロールを追加します。それぞれのケースで必要なロールについては、各コンポーネントの固有のロールを参照してください。 |
新しい管理ユーザーweblogic_wc
がLDAPに存在するため、このユーザーをすべての管理操作に使用します。
たとえば、第12.2項「ディスカッション・サーバー接続の構成」で作成したディスカッション・サーバー接続を確認し、管理ユーザーとしてweblogic_wc
を指定します。また、第15.7.3.1項「ディスカッション・サーバーでの管理者権限の付与」で説明しているように、このユーザーにディスカッション・サーバーに対する管理者権限があることを確認します。
管理サーバー用のboot.properties
ファイルは、Oracle Internet Directoryで作成されたWebLogic管理ユーザーを追加して更新する必要があります。次の手順に従って、boot.properties
ファイルを更新します。
SOAHOST1で、次のディレクトリに移動します。
cd ORACLE_BASE/admin/domainName/aserver/domainName/servers/ AdminServer/security
既存のboot.properties
ファイルの名前を変更します。
mv boot.properties boot.properties.backup
テキスト・エディタを使用して、セキュリティ・ディレクトリにboot.properties
というファイルを作成します。次の行をこのファイルに入力します。
username=weblogic_wc password=MyPassword1
ファイルを保存します。
管理サーバーを停止します。
wls:/nm/domain_name>nmKill("AdminServer")
管理サーバーは、第8.4.3項「SOAHOST1での管理サーバーの起動」の手順で再起動します。
ドメインの資格証明ストアとポリシー・ストアの構成後に、資格証明ストアを再度関連付ける必要があります。必要な手順については、第15.4項「ドメイン・ポリシーおよび資格証明ストアの再関連付け」を参照してください。
Oracle Fusion Middlewareでは、WebLogic Serverドメインで異なるタイプの資格証明ストアおよびポリシー・ストアを使用できます。ドメインでは、Oracle Database、XMLファイル(デフォルト)、または様々なタイプのLDAPプロバイダに基づいてストアを使用できます。ドメインでデータベースまたはLDAPを使用する場合は、すべてのポリシー・データと資格証明データが、一元化されたストアで保持および管理されます。ただし、XMLポリシー・ストアを使用すると、管理対象サーバー上で行われる変更は、管理サーバーに伝播されません(両方のサーバーが同じドメイン・ホームを使用していない場合)。
データベースまたはLDAPベースのストアでは、資格証明およびポリシー・ストアは、システムおよびアプリケーション固有のポリシー、資格証明およびキーのリポジトリであるセキュリティ・ストアの一部です。 この集中化により、ポリシー、資格証明、およびキーに関するデータの管理と保守が容易になります。
注意: デフォルトのファイル・ベースのポリシーおよび資格証明ストアは、開発のみに使用され、単一ノードのWebCenter Portal構成でのみ使用する必要があります。エンタープライズ・デプロイメントの場合、ポリシー・ストアおよび資格証明ストアをデータベース・ベースのセキュリティ・ストアまたは外部のLDAPベースのストアに再度関連付ける必要があります。この再関連付を、ドメインの作成直後(拡張の前)に実行すると、ポリシーが上書きされず、Oracle Enterprise Manager Fusion Middleware Controlにドメインのアプリケーション・ストライプが表示されます。本番環境にはデータベース・ベースのセキュリティ・ストアをお薦めします。詳細は、『Oracle Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護』の「OPSSセキュリティ・ストアの構成」を参照してください。 |
ドメイン・ポリシー・ストアは、システム固有のポリシーおよびアプリケーション固有のポリシーのリポジトリです。特定のドメインには、そのドメインにデプロイされるすべてのアプリケーションが使用可能なすべてのポリシーを格納する1つのストアが存在します。この項では、Oracle Fusion Middleware WebCenter Portalエンタープライズ・デプロイメント・トポロジのポリシー・ストアとしてOracle Internet Directory LDAPを構成する手順を示します。この手順は、2つの部分で構成されています。
ポリシー・ストアの構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の「OPSSセキュリティ・ストアの構成」の章を参照してください。
ポリシー・ストアとして使用されるLDAPサーバー・ディレクトリ(Oracle Internet Directory)に正しくアクセスするためには、このサーバー・ディレクトリにノードを設定する必要があります。この手順はOracle Internet Directory管理者が実行する必要があります。
Oracle Internet Directoryサーバーに適切なノードを作成する手順は次のとおりです。
LDIFファイル(この例ではjpstestnode.ldif
を想定)を作成し、次のDNエントリおよびCNエントリを指定します。
dn: cn=jpsroot_wc cn: jpsroot_wc objectclass: top objectclass: OrclContainer
ルート・ノードの識別名(前述の文字列jpsroot_wc
)は、他の識別名と異なっている必要があります。1つのルート・ノードを複数のWebLogic Serverドメインで共有できます。サブツリーへの読取り権限および書込み権限がOracle Internet Directory管理者に付与されているかぎり、このノードを最上位レベルに作成する必要はありません。
次の例に示すように、ldapadd
コマンドを使用して、このデータをOracle Internet Directoryサーバーにインポートします(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h ldap_host -p ldap_port -D cn=orcladmin -w password -c -v -f jpstestnode.ldif
次の例に示すように、ldapsearch
コマンドを使用して、ノードが正常に挿入されたことを確認します(次の例では、読み易さを考慮してコマンドを2行に分けて示してありますが、実際には1行に入力する必要があります)。
OIDHOST1> ORACLE_HOME/bin/ldapsearch -h ldap_host -p ldap_port -D cn=orcladmin -w password -b "cn=jpsroot_wc" objectclass="orclContainer"
Oracle Internet DirectoryをLDAPベースのポリシー・ストアとして使用する場合は、ユーティリティoidstats.sql
をINFRADBHOSTで実行し、最適なデータベース・パフォーマンスを実現するためのデータベース統計を生成します。
ORACLE_HOME/bin/sqlplus
ユーザー名にODSを入力します。ODSユーザーの資格証明を入力するよう求められます。sqlplusに入って、統計情報を収集する次のコマンドを入力します。
SQLPLUS> @ORACLE_HOME/ldap/admin/oidstats.sql
oidstats.sql
ユーティリティは、初期プロビジョニング後に1回だけ実行する必要があります。このユーティリティの詳細は、『Oracle Identity Managementリファレンス』を参照してください。
ファイルまたはLDAPベースのリポジトリから、LDAPベースのリポジトリにポリシー・データを移行して、ポリシー・ストアを再度関連付けます。再関連付けでは、格納データの整合性を維持しながらリポジトリが変更されます。ソース・ポリシー・ストアの各ポリシーに対して再関連付けを行うと、ターゲットのLDAPディレクトリが検索され、一致が見つかると、一致したポリシーが必要に応じて更新されます。何も見つからない場合は、ポリシーがそのまま移行されます。
ドメイン・ポリシー・ストアをインスタンス化したら、ファイルベースまたはLDAPベースのポリシー・ストアを、同じデータを格納するLDAPベースのポリシー・ストアにいつでも再関連付けできます。そのためには、LDAPポリシー・ストアを使用できるようにドメインが適切に構成されている必要があります。
手順の詳細は、第15.4項「ドメイン・ポリシーおよび資格証明ストアの再関連付け」を参照してください。
ポリシー・ストアおよび資格証明ストアをOracle Internet Directoryに再関連付けするには、WLSTのreassociateSecurityStore
コマンドを使用します。
ポリシーおよび資格証明ストアを再関連付けする手順:
SOAHOST1から、wlst
シェルを起動します。
cd ORACLE_COMMON_HOME/common/bin ./wlst.sh
次に示すwlst connect
コマンドを使用して、WebLogic管理サーバーに接続します。
構文:
connect("AdminUser","AdminUserPassword",t3://hostname:port)
例:
connect("weblogic_wc","password","t3://ADMINVHN:7001")
次に示すように、reassociateSecurityStore
コマンドを実行します。
構文:
reassociateSecurityStore(domain="domainName",admin="cn=orcladmin", password="orclPassword",ldapurl="ldap://LDAPHOST:LDAPPORT",servertype="OID", jpsroot="cn=jpsroot_wc")
例:
wls:/WCPEDGDomain/serverConfig>reassociateSecurityStore(domain="wcpedg_domain", admin="cn=orcladmin",password="password",ldapurl="ldap://oid.example.com:389",servertype="OID",jpsroot="cn=jpsroot_wc")
このコマンドの出力を次に示します。
{servertype=OID,jpsroot=cn=jpsroot_wc_idm_idmhost1,admin=cn=orcladmin, domain=IDMDomain,ldapurl=ldap://oid.example.com:389,password=password} Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root. For more help, use help(domainRuntime) Starting Policy Store reassociation. LDAP server and ServiceConfigurator setup done. Schema is seeded into LDAP server Data is migrated to LDAP server Service in LDAP server after migration has been tested to be available Update of jps configuration is done Policy Store reassociation done. Starting credential Store reassociation LDAP server and ServiceConfigurator setup done. Schema is seeded into LDAP server Data is migrated to LDAP server Service in LDAP server after migration has been tested to be available Update of jps configuration is done Credential Store reassociation done Jps Configuration has been changed. Please restart the server.
コマンドが正常に完了した後に、管理サーバーを再起動します。
管理サーバーを再起動するには、第8.4.3項「SOAHOST1での管理サーバーの起動」の手順を使用します。
注意: 資格証明とポリシーの変更を有効にするには、ドメイン内のサーバーを再起動する必要があります。 |
Oracle Internet Directoryの属性のカタログ化
検索フィルタで使用するOracle Internet Directoryの属性に索引を付けます。索引付けは、パフォーマンス向上のためのオプションの手順です。このOracle Internet Directory内の属性への索引付けが済んでいない場合は、catalog
ツールを使用して索引付けます。
たとえば、orclerolescope
属性に索引付けを行う場合は、次のようにします。
catalog connect="orcl" add=true attribute="orclrolescope" verbose="true"
ファイルに複数の属性名を記載してバッチとして処理すると、複数の属性名に索引を付けることができます。
orclrolescope orclassignedroles orclApplicationCommonName orclAppFullName orclCSFAlias orclCSFKey orclCSFName orclCSFDBUrl orclCSFDBPort orclCSFCredentialType orclCSFExpiryTime modifytimestamp createtimestamp orcljpsassignee
OID属性の索引付けの詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のタスクおよびカタログの例に関する項を参照してください。
この項では、Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジのシングル・サインオン・ソリューションとしてOracle Access Manager 10gを設定する方法について説明します。
注意: Oracle Access Manager 11gと統合する場合は、この項はスキップして第15.6項「Oracle Access Manager 11gの統合」の手順に従い、その後第15.7項「SSO用のWebCenter Portalアプリケーションの構成」に進み、この章の後半の部分を続行します。 |
この項の内容は次のとおりです。
Oracle Access Manager (OAM)は、Oracle Fusion Middleware 11g リリース1において推奨されるシングル・サインオン・ソリューションです。OAMのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドを参照してください。この章では、WebCenter Portalのインストールを構成して既存のOAMインストールおよび基礎となるディレクトリ・サービスと連携させる手順について説明します。これらのディレクトリ・サービスには、Oracle Internet Directory (OID)またはOracle Virtual Directory (OVD)、またはその両方を使用することをお薦めします。
注意: このドキュメントで説明するWebCenter Portalエンタープライズ・デプロイメント・トポロジでは、WebCenter Portalシステムとシングル・サインオン・システムの両方が、同一のネットワーク・ドメイン(example.com)内に存在し、シングル・サインオン構成を使用しています。複数ドメイン構成の場合は、Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service Managerの管理者ガイドのシングル・サインオンの構成に関する項に記載されている、必要な構成手順を参照してください。 |
Oracle Access Manager (OAM)の設定では、Access Managerおよびポリシー・マネージャを保護するポリシーを完備した、OAMインストールが存在することを前提としています。OAMのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドを参照してください。この設定には、スタンドアロンのOracle Virtual Directory (OVD)構成またはその一部としてのOracle Internet Directory (OID)などのディレクトリ・サービスがあります。この章では、WebCenter Portalをインストールした環境をOIDまたはOVDを使用して構成する際に必要な手順を説明します。
さらに、OAMのインストール環境にはWebGateで構成した専用のWebサーバーが必要です。またこの項では、OAM Webサーバーを委任認証サーバーとして使用する手順についても説明します。
OAM構成ツール(oamcfg)は、一連のスクリプトを起動して必要なポリシーを設定します。そのためには、入力情報として様々なパラメータが必要となります。具体的には次の項目が作成されます。
OAMのフォーム認証スキーム
WebLogicサーバーでの認証を可能にするポリシー
Web層にあるOracle HTTP Server WebGateで構成済アプリケーションを保護できるようにOAMで指定するWebGateエントリ
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
アプリケーション固有のURLを保護するポリシーおよび保護対象としないポリシー
この項では、次の項目について説明します。
OAM構成ツールを実行する前に次の前提条件を確認します。
パスワード: セキュアなパスワードを作成します。このパスワードは、この後に作成するWebGateインストールのパスワードとして使用します。
LDAPホスト: 高可用性やエンタープライズ・デプロイメントの構成の場合は、ディレクトリ・サーバーのホスト名またはロード・バランサのアドレスを用意します。
LDAPポート: ディレクトリ・サーバーのポートを用意します。
LDAP USER DN: LDAP管理ユーザーのDNを用意します。これは「cn=orcladmin」などの値です。
LDAPパスワード: LDAP管理ユーザーのパスワードを用意します。
oam_aa_host: Oracle Access Managerのホスト名を用意します。
oam_aa_port: Oracle Access Managerのポートを用意します。
OAM構成ツールは次の場所にあります。
ORACLE_COMMON_HOME/modules/oracle.oamprovider_11.1.1
ORACLE_COMMON_HOMEは構成ツールを実行するマシンによって異なります。このツールは、必要なインストール・ファイルがあればすべてのマシンから実行できます。この項で説明する手順では、WCPHOST1からツールを実行します。
OAM構成ツールは、保護されているリソースやパブリック・リソースをOAMシステムに登録する手段を提供します。例15-1と例15-1に、OAMシステムに追加される、保護されているリソースおよびパブリック・リソースのリストを示します。
ドメインにWebCenter Portal、WebCenter Content、Inbound RefineryおよびSOAがインストールされている場合には、例15-1が当てはまります。
ドメインにWebCenter Portal、WebCenter ContentおよびInbound Refineryがインストールされている場合には、例15-2が当てはまります。
注意: 「/…/* 」は、URLコンテキストの下のすべてのリソースを表します。 |
例15-1 保護されているURIおよび公開URI (Oracle SOA Suiteを含む)
######################################### #Product Name: Oracle WebCenter Portal ######################################### ######################################### protected_uris ######################################### /webcenter/adfAuthentication /integration/worklistapp /workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow /workflow/WebCenterWorklistDetail/faces/adf.task-flow /workflow/sdpmessagingsca-ui-worklist /rss/rssservlet /owc_discussions/login!withRedirect.jspa /owc_discussions/login!default.jspa /owc_discussions/login.jspa /owc_discussions/admin /rest/api/resourceIndex /rest/api/spaces /rest/api/discussions /rest/api/tags /rest/api/taggeditems /rest/api/activities /rest/api/activitygraph /rest/api/feedback /rest/api/people /rest/api/messageBoards /rest/api/searchresults /activitygraph-engines /wcps/api /pagelets/admin /pagelets/authenticateWithApplicationServer /services-producer/adfAuthentication /rsscrawl /sesUserAuth /services-producer/portlets /wsrp-tools/portlets /em /console /DefaultToDoTaskFlow /sdpmessaging/userprefs-ui /adfAuthentication /ibr/adfAuthentication /soa-infra /soa/composer /soa-infra/deployer /soa-infra/events/edn-db-log /soa-infra/cluster/info /inspection.wsil ######################################### public_uris ######################################### /webcenter /owc_discussions /rss /workflow /rest/api/cmis /pagelets /services-producer /wsrp-tools /cs /ibr /idcnativews / /soa-infra/services/…/* /soa-infra/directWSDL /soa-infra/directWSDL/…/* /ucs/messaging/webservice /ucs/messaging/webservice/…/*
例15-2 保護されているURIおよび公開URI (Oracle SOA Suiteを含まない)
######################################### #Product Name: Oracle WebCenter Portal ######################################### ######################################### protected_uris ######################################### /webcenter/adfAuthentication /integration/worklistapp /workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow /workflow/WebCenterWorklistDetail/faces/adf.task-flow /workflow/sdpmessagingsca-ui-worklist /soa-infra /rss/rssservlet /owc_discussion/login!withRedirect.jspa /owc_discussions/login!default.jspa /owc_discussions/login.jspa /owc_discussions/admin /rest/api/resourceIndex /rest/api/spaces /rest/api/discussions /rest/api/tags /rest/api/taggeditems /rest/api/activities /rest/api/activitygraph /rest/api/feedback /rest/api/people /rest/api/messageBoards /rest/api/searchresults /activitygraph-engines /wcps/api /pagelets/admin /pagelets/authenticateWithApplicationServer /services-producer/adfAuthentication /rsscrawl /sesUserAuth /services-producer/portlets /wsrp-tools/portlets /em /console /adfAuthentication /ibr/adfAuthentication ######################################### public_uris ######################################### /webcenter /owc_discussions /rss /rest/api/cmis /pagelets /services-producer /wsrp-tools /workflow /cs /ibr /idcnativews
OAM構成ツールを実行する手順は次のとおりです。
使用しているトポロジに応じて、例15-1または例15-2を使用して、保護されるURIおよび公開URIのリストを含むファイルを作成します。
ドメインにWebCenter Portal、WebCenter Content、Inbound RefineryおよびSOAがインストールされている場合には、例15-1を使用します。
ドメインにWebCenter Portal、WebCenter ContentおよびInbound Refineryがインストールされている場合には、例15-2を使用します。
OAM 10gでは、URL接頭辞に含まれるすべてのリソースは、ポリシーを介してより個別性の高いルールが適用されている場合を除いて、ポリシー・ドメインのデフォルト・ルールによって保護されます。特別な保護パターンを使用する必要がある場合は、10g版の『Oracle Access Managerアクセス管理ガイド』を参照して、使用可能な他のパターンを確認してください。
OAM 10gへの登録のため、次のコマンドを使用して1行のコマンド行でOAM構成ツールを実行します。
MW_HOME/jrockit_160_<version>/bin/java -jar oamcfgtool.jar mode=CREATE app_domain="WebCenter_EDG" uris_file="full_path_to_file_containing_uri_definitions" app_agent_password=<Password_to_be_provisioned_for_App_Agent> ldap_host=OID.EXAMPLE.COM ldap_port=389 ldap_userdn="cn=orcladmin" ldap_userpassword=<Password_of_LDAP_Admin_User> oam_aaa_host=OAMHOST1 oam_aaa_port=OAMPORT1
注意: このガイドで説明する例ではJRockitを使用します。この手順には、動作保証された任意のバージョンのJavaを使用することができ、特に記載がないかぎり完全にサポートされています。 |
コマンドが正常に実行されたことを確認します。次の出力が表示されます。
Processed input parameters Initialized Global Configuration Successfully completed the Create operation Operation Summary: Policy Domain: WebCenter_EDG Host Identifier: WebCenter_EDG Access Gate ID: WebCenter_EDG_AG
注意:
|
基本の認証を使用するようにRESTエンド・ポイントを更新するには、次の手順を実行します。
次の場所にあるOracle Access Managerコンソールにログインします。
http://OAM_HOST:OAM_ADMINSERVER_PORT/oamconsole
「ポリシー・マネージャ」→「ポリシー・ドメイン」をクリックし、前の手順で作成および検証したポリシー・ドメインを選択します。
すでに作成されている2つのポリシー(Protected_JSessionId_Policyおよびデフォルト・パブリック・ポリシー)が表示されるはずです。
「ポリシー」タブを開きます。
次の値を使用して、WebCenterRESTPolicyという名前の別のポリシーを作成します。
説明: このポリシーは、WebCenter OutlookプラグインまたはiPhoneとの統合で必要なBASIC認証スキームを使用する、REST保護対象のURIを保護します。
リソース・タイプ: http
リソース操作: GET,POST
リソース: /rest
で始まる、/rest/cmis/repository
以外のすべてのリソースを選択します。
/rest/api/resourceIndex /rest/api/spaces /rest/api/discussions /rest/api/tags /rest/api/taggeditems /rest/api/activities /rest/api/activitygraph /rest/api/feedback /rest/api/people /rest/api/messageBoards /rest/api/searchresults
ホスト識別子: リソースで使用するものと同じです。
「保存」をクリックします。
新しく作成したポリシーの「認証ルール」に移動し、認証スキームOraDefaultBasicAuthNScheme
を使用して新しいルールを追加します。
「ポリシー」タブを開き、ポリシーが次の順序になっていることを確認します。
WebCenterRESTPolicy
Protected_JSessionId_Policy
デフォルトのパブリック・ポリシー
Oracle SES (Secure Enterprise Search)とポートレットの除外ポリシーを作成するには、次の手順を実行します。
次の場所にあるOracle Access Managerコンソールにログインします。
http://OAM_HOST:OAM_ADMINSERVER_PORT/oamconsole
OAM 10gインストールでOraDefaultExclusionAuthNScheme
が利用可能であることを確認します。見つからない場合は、次の手順に従ってOraDefaultExclusionAuthNScheme
を作成します。
「認証管理」をクリックします。
「追加」をクリックします。
「名前」
フィールドにOraDefaultExclusionAuthNSchemeを指定します。
「説明」
フィールドにTo exclude resources from being protected by OAMを入力します。
「レベル」
フィールドに0を入力します。
「チャレンジ・メソッド」
にNoneを指定します。
「チャレンジ・パラメータ」
フィールドに、unprotected:trueを追加します。
「保存」をクリックします。
この認証スキームの「プラグイン」タブを開き、「変更」をクリックします。
ドロップ・ダウン・リストからcredential_mapping
を選択します。
値を次のように指定します。
obMappingBase="dc=us,dc=oracle,dc=com",obMappingFilter="(uid=OblixAnonymous)"
この値がOraDefaultAnonAuthNScheme
の対応するフィールドと一致することを確認します。
「保存」をクリックします。
再度「一般」タブを開き、「変更」をクリックします。
「有効」
に対しYesを選択します。
「保存」をクリックします。
Exclusion Schemeという新しいポリシーを作成するには、次の手順を実行します。
「ポリシー・マネージャ」→「ポリシー・ドメイン」をクリックし、前の手順で作成および検証したポリシー・ドメインを選択します。
WebCenterRESTPolicy、Protected_JSessionId_PolicyおよびDefault Public Policyの3つのポリシーが表示されます。
「ポリシー」タブを開きます。
次に示す値を使用し、Exclusion Schemeという新しいポリシーを作成します。
説明: This policy excludes SES and portlet end points.
リソース・タイプ: http
リソース操作: GET,POST
リソース: 次のリソースを選択します。
/rsscrawl /sesUserAuth /services-producer/portlets /wsrp-tools/portlets
ホスト識別子: リソースで使用するものと同じです。
「保存」をクリックします。
新しく作成したポリシーの「認証ルール」に移動し、認証スキームOraDefaultExclusionAuthNScheme
を使用して新しいルールを追加します。
「保存」をクリックします。
「ポリシー」タブを開き、ポリシーが次の順序になっていることを確認します。
WebCenterRESTPolicy
Exclusion Scheme
Protected_JSessionId_Policy
デフォルトのパブリック・ポリシー
ポリシー・ドメインとAccessGateの作成を検証する手順は2つの部分で構成されます。
ポリシー・ドメインを検証する手順は次のとおりです。
次のURLを使用してアクセス・システム・コンソールにログオンします。
http://OAMADMINHOST:port/access/oblix
「ポリシー・マネージャ」をクリックします。
左側のパネルで「ポリシー・ドメイン」リンクをクリックします。
すべてのポリシー・ドメインのリストが表示されます。先ほど作成したドメインがここに表示されます。その接尾辞は_PD(たとえば、WebCenter_EDG_PD
)となります。3番目の列「URL接頭辞」には、このドメインの作成時に指定したURIが表示されます。
先ほど作成したポリシー・ドメインのリンクをクリックします。
このリンクから、このドメインの「一般」エリアに移動できます。
「リソース」タブをクリックします。
指定したURIが表示されます。他のタブをクリックし、他の設定を表示することもできます。
右上にある「アクセス・システム・コンソール」リンクをクリックします。
これはトグルのように機能し、クリックすると「ポリシー・マネージャ」リンクに切り替わります。
「アクセス・システム構成」タブをクリックします。
左のパネルにある「アクセス・ゲート構成」リンクをクリックします。
検索条件にWebCenter_EDGと入力し(または第15.5.3.2項「OAM構成ツールの実行」
でapp_domain名として使用した他のサブストリングなどを入力)、「実行」をクリックします。
作成したドメインのアクセス・ゲートが表示されたら(アクセス・ゲートの接尾辞は_AGであるため、たとえばWebCenter_EDG_AG
など)、それをクリックすると作成したばかりのアクセス・ゲートの詳細が表示されます。
OAM構成ツールは、app_domain
パラメータの値を使用して(例: WebCenter_EDG)ポリシー・ドメインのホスト識別子を作成します。構成が正常に機能するためには、ホストに対するすべてのホスト名バリエーションを反映してホスト識別子を更新する必要があります。OAM構成ツールで作成したホスト識別子を更新する手順は次のとおりです。
次のURLを使用してアクセス・システム・コンソールにログインします。
http://host_name:port/access/oblix
host_name
にはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、port
にはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力を求められたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、OAM構成ツールで作成したホスト識別子をクリックします。たとえば、「WebCenter_EDG
」を選択します。
「ホスト識別子詳細」ページで「変更」をクリックします。
アクセス・システム構成で使用される「優先HTTPホスト」の値を追加します。次のリストは、SSO/WebGateを使用する可能性のあるすべてのホスト名のバリエーションを示しています。
webhost1.mydomain.com:7777
webhost2.mydomain.com:7777
wcphost1.example.com:9000
wcphost2.example.com:9000
wcphost1.example.com:9001
wcphost2.example.com:9001
wcphost1.example.com:9002
wcphost2.example.com:9002
wcphost1.example.com:9003
wcphost2.example.com:9003
admin.example.com:80
adminvhn.example.com:7001
soahost1vhn1.example.com:8001
soahost2vhn1.example.com:8001
soahost1vhn1.example.com:8010
soahost2vhn1.example.com:8010
「キャッシュの更新」の横にあるチェック・ボックスを選択し、「保存」をクリックします。
次のメッセージ・ボックスが表示されます: 「時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」。
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで変更内容を確認します。
OAM構成ツールでは、app_domain
パラメータの値で作成したWebGateプロファイルのPreferred_HTTP_Host
およびホスト名属性に値が移入されます。正しく機能する構成とするには、この2つの属性の両方を適切な値で更新する必要があります。OAM CFGツールで作成したWebGateプロファイルを更新する手順は次のとおりです。
次のURLを使用してアクセス・システム・コンソールにログインします。
http://host_name:port/access/oblix
host_name
にはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、port
にはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックし、左ペインで「アクセス・ゲート構成」リンクをクリックし、アクセス・ゲート検索ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
OAM構成ツールで作成したアクセス・ゲートを選択します。たとえば、WebCenter_EDG_AGを選択します。
「アクセス・ゲート詳細」ページで、「変更」を選択し、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次のように更新します。
ホスト名: WebGateを実行しているコンピュータの名前でホスト名を更新します(webhost1.example.com
など)。
優先HTTPホスト: 前述の項で指定したホスト名バリエーションの1つにPreferred_HTTP_Hostを更新します(admin.example.com:80
など)。
プライマリHTTP Cookieドメイン: ドメインの接尾辞がホスト識別子(例: example.com)であるプライマリHTTP Cookieドメインを更新します。
「保存」をクリックします。「これらの変更をコミットしますか。」という内容のメッセージ・ボックスが表示されます。
「OK」をクリックして、構成の更新を終了します。
「アクセス・ゲートの詳細」ページに表示される値を確認し、正常に更新されたことを確認します。
アクセス・サーバーをWebGateに割り当てるには:
次のURLを使用し、Oracle Access Managerに管理者としてログインします。
http://OAMADMINHOST:port/access/oblix
ここで、OAMADMINHOSTにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、port
にはOracle HTTP ServerインスタンスのHTTPポートを指定します。
必要に応じて、「アクセス・ゲート」ページの「詳細」に移動します。「アクセス・システム・コンソール」から、「アクセス・システム構成」→「アクセス・ゲート構成」→WebGateへのリンク(WebCenter_EDG_AG)を選択します。
「アクセス・ゲート」ページの「詳細」で、「アクセス・サーバーをリスト」をクリックします。
このWebGateに現在構成されているプライマリ・アクセス・サーバーまたはセカンダリ・アクセス・サーバーを示すページが表示されます。
「追加」をクリックします。
「新規アクセス・サーバーの追加」ページで、「サーバーの選択」リストから「アクセス・サーバー」を選択して、「プライマリ・サーバー」を指定し、WebGateの「接続数」を増やします。たとえば接続数を1から2に増やします。
「追加」ボタンをクリックして関連付けを完了します。
アクセス・サーバーとWebGateの関連を示すページが表示されます。リンクをクリックしてサマリーを表示し、後で使用するためにこのページを印刷します。
手順3から6を繰り返し、WebGateに定義したすべてのアクセス・サーバーを関連付けます。
OAMインストールとともにインストールしたWebGateにリダイレクトするようにフォーム認証を構成する手順は次のとおりです。
「アクセス・システム・コンソール」を開きます。
「アクセス・システム構成」画面で、左側のバーから「認証管理」を選択します。
「OraDefaultFormAuthNScheme」を選択します。
「変更」をクリックします。
「チャレンジ・リダイレクト」フィールドで、IDMインストール用のOracle HTTP Serverのホストとポートを入力します(http://sso.example.com:7777
など)。
WebGateはIDMのインストール時にすでにインストールされているはずです。詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』のWebGateのインストールおよび構成に関する項を参照してください。
Web層を保護するために、各WEBHOSTnマシンにWebGateをインストールします。
WebGateをインストールし構成する手順は次のとおりです。
次のコマンドを使用して、WebGateインストーラ(取得場所の詳細は、第2.5項「インストールするソフトウェア・コンポーネント」を参照)を起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate –gui
「ようこそ」画面が表示されます。「次へ」をクリックします。
「顧客情報」画面(図15-1)で、Webサーバーを実行しているユーザー名とユーザー・グループを入力します。「次へ」をクリックして続行します。
インストール先画面(図15-2)で、WebGateをインストールするディレクトリを指定します。「次へ」をクリックして続行します。
インストールのサマリーの画面で「次へ」をクリックします。
WebGate構成画面(図15-3)の説明に従って、WebGateに必要なGCCランタイム・ライブラリをダウンロードし、「参照」を使用して、このGCCランタイム・ライブラリのローカル・コンピュータ上の場所を指定します。「次へ」をクリックして続行します。
この段階で、インストーラにより必要なアーティファクトが作成されます。作成が完了したら、「次へ」をクリックして続行します。
「トランスポート・セキュリティ・モード」画面(図15-4)で、「オープン・モード: 暗号化なし」を選択し、「次へ」をクリックして続行します。
WebGate構成画面で、使用するアクセス・サーバーの詳細を入力します。入力する情報は次のとおりです。
WebGate ID: OAM構成ツールを実行したときの指定のID
WebGateのパスワード
アクセス・サーバーID: OAMアクセス・サーバー構成から報告されたID
アクセス・サーバーのホスト名: OAMアクセス・サーバー構成から報告された名前
アクセス・サーバーのポート番号: OAMアクセス・サーバー構成から報告された番号
注意: アクセス・サーバーのID、ホスト名およびポートは、すべて入力が必須の項目です。 |
これらの詳細は、Oracle Access Manager管理者から取得できます。「次へ」をクリックして続行します。
「Webサーバーの構成」画面で「はい」をクリックすると、自動的にWebサーバーが更新されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面で、httpd.conf
ファイルが格納されているディレクトリのフルパスを指定します。このファイルは、次のディレクトリにあります。
ORACLE_BASE/admin/OHS_Instance/config/OHS/OHS_ComponentName
例:
ORACLE_BASE/admin/ohs_instance2/config/OHS/ohs2/httpd.conf
「次へ」をクリックして続行します。
表示された「Webサーバーの構成」ページに、Webサーバー構成がWebGate向けに変更されたことを示すメッセージが示されます。「はい」をクリックして確認します。
Webサーバーをいったん停止してから再起動し、構成の更新を有効にします。「次へ」をクリックして続行します。
次の「Webサーバーの構成」ページに、次のメッセージが表示されます。
WebサーバーがSSLモードで設定されている場合は、SSL関連のパラメータでhttpd.confファイルを構成する必要があります。SSLの構成を手動で調整するには、表示される説明に従ってください。
.
「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、製品設定とWebサーバーの構成の残りの部分に関する情報が記載されているドキュメントの場所を示すメッセージが表示されます。「いいえ」を選択し、「次へ」をクリックして続行します。
最後の「Webサーバーの構成」画面が表示されます。Webサーバーの構成に関する詳細情報を得るには、手動でブラウザを起動し、該当のHTMLドキュメントを開くように指示するメッセージが表示されます。「次へ」をクリックして続行します。
「Oracle COREid Readme」画面が表示されます。画面の情報を確認し、「次へ」をクリックして続行します。
正常にインストールが完了したことを示すメッセージが、インストールの詳細とともに表示されます。
IP検証により、クライアントのIPアドレスが、シングル・サインオン用に生成されてObSSOCookie
に格納されたIPアドレスと同じかどうかが判定されます。IPターミネーションを実行するように構成されたロード・バランサ・デバイスを使用しているシステムにおいては、また認証するWebGateのフロントエンドのロード・バランサがエンタープライズ・デプロイメントのフロントエンドのロード・バランサと異なる場合は、IP検証で問題が発生することがあります。
このような場合に検証が行われないようにロード・バランサを構成する手順は次のとおりです。
次のURLを使用して、アクセス・システム・コンソールに移動します。
http://host_name:port/access/oblix
host_nameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックし、管理者としてログインします。
「アクセス・システム・コンソール」メイン・ページで、「アクセス・システム構成」をクリックし、左ペインで「アクセス・ゲート構成」リンクをクリックし、アクセス・ゲート検索ページを表示します。
適切な検索条件を入力して、「実行」をクリックし、アクセス・ゲートのリストを表示します。
Oracle Access Manager構成ツールで作成したアクセス・ゲートを選択します。
ページの一番下にある「変更」をクリックします。
「IPValidationException」フィールドに、デプロイメントのフロントエンドに位置するロード・バランサのアドレスを入力します。
ページの一番下にある「保存」をクリックします。
この項では、WebLogicオーセンティケータの設定方法を説明します。
前提条件
LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。LDAPオーセンティケータを設定するには、第15.2.1項「LDAPオーセンティケータの作成」の手順を実行します。
この項には次のトピックが含まれます:
安全を期して、まず該当の構成ファイル(WebCenter Portalの管理サーバー・ディレクトリ下に格納)をバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
WebLogic Server管理コンソールを使用し、OAM IDアサータを構成します。
OAM IDアサータを設定するには:
WebLogic Serverの管理コンソールに管理者としてログインします。
次の場所に移動します。
SecurityRealms\Default_Realm_Name\Providers
「新規」をクリックし、ドロップダウン・メニューからOAMアイデンティティ・アサータを選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「保存」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「選択したタイプ」にOAM_REMOTE_USERおよびObSSOCookieが設定されていることを確認します。
設定を保存します。
プロバイダの順序を設定する手順は次のとおりです。
Oracle WebLogic Serverの管理コンソールに管理者としてログインします。
「ロックして編集」をクリックします。
「セキュリティ・レルム」→デフォルト・レルム名→「プロバイダ」に移動し、「並替え」をクリックします。
OAMアイデンティティ・アサータ、OID/OVDオーセンティケータおよびデフォルト・オーセンティケータの制御フラグが次のように設定されていることを確認し、これらのオーセンティケータを並べ替えます。
OAMアイデンティティ・アサータ: REQUIRED
OID LDAPオーセンティケータ(またはOVD LDAPオーセンティケータ): SUFFICIENT
デフォルト・オーセンティケータ: SUFFICIENT
「OK」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーとすべての管理対象サーバーを再起動します。
仮想ホスト用にOAM 10gを構成するには、基本的な認証のみをサポートする、またはシングル・サインオンを必要としないアプリケーション(WebCenter PortalのSharePointサーブレットなど)に対して、シングル・サインオンをバイパスする必要があります。
注意: 『Oracle WebCenter Portalの管理』の仮想ホストでのSSOの構成に関する項および10g用のOracle Access Managerアクセス管理ガイドのWebgate for Apacheと仮想ホスト、ディレクトリまたはファイルの関連付けに関する項も参照してください。 |
OAM 10gで仮想ホストを構成するには:
httpd.conf
から次の構成を見つけ、コメント・アウトします。
#<LocationMatch "/*"> #AuthType Oblix #require valid-user #</LocationMatch>
このエントリによって、WebGateはすべての要求をインターセプトし、処理するようになります。
ヒント: httpd.conf
はORACLE_BASE/admin/instance_name/config/OHS/component_name
にあります。
次の仮想ホスト構成ファイルを見つけて変更します。
wcp_vh.conf
wcpinternal_vh.conf
admin_vh.conf
:
ヒント: これらの.conf
ファイルはORACLE_BASE/admin/instance_name/config/OHS/component_name
/moduleconf/
にあります。
wcp_vh.conf
で次のセクションを変更します。
<VirtualHost *:7777>
ServerName https://wcp.example.com:443
ServerAdmin you@your.address
RewriteEngine On
RewriteOptions inherit
...
</VirtualHost>
次にハイライトしたセクションと一致するようにエントリを変更します。
<VirtualHost *:7777>
ServerName https://wcp.example.com:443
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
...
</VirtualHost>
wcpinternal_vh.conf
で次のセクションを変更します。
<VirtualHost *:7777>
ServerName wcpinternal.example.com:80
ServerAdmin you@your.address
RewriteEngine On
RewriteOptions inherit
...
</VirtualHost>
次にハイライトしたセクションと一致するようにエントリを変更します。
<VirtualHost *:7777>
ServerName wcpinternal.example.com:80
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
...
</VirtualHost>
admin_vh.conf
で次のセクションを変更します。
<VirtualHost *:7777>
ServerName admin.example.com:80
ServerAdmin you@your.address
RewriteEngine On
RewriteOptions inherit
...
</VirtualHost>
次にハイライトしたセクションと一致するようにエントリを変更します。
<VirtualHost *:7777>
ServerName admin.example.com:80
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
...
</VirtualHost>
Oracle HTTP Serverを再起動します。
この項では、Oracle WebCenter Portalエンタープライズ・デプロイメント・トポロジのシングル・サインオン・ソリューションとしてOracle Access Manager 11gを設定する方法について説明します。
この章の項目は次のとおりです。
Oracle Access Manager (OAM)は、Oracle Fusion Middleware 11g リリース1において推奨されるシングル・サインオン・ソリューションです。OAMのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドを参照してください。この項では、WebCenter Portalのインストールを構成して既存のOAM 11gインストールおよび基礎となるディレクトリ・サービスと連携させる手順について説明します。これらのディレクトリ・サービスには、Oracle Internet Directory (OID)またはOracle Virtual Directory (OVD)、またはその両方を使用することをお薦めします。
注意: このマニュアルで説明するWebCenter Portalトポロジでは、WebCenter Portalシステムとシングル・サインオン・システムの両方が同じネットワーク・ドメイン(example.com)にある、シングル・サインオン構成を使用します。マルチ・ドメイン構成については、Oracle Access Managerアクセス管理ガイドのOAMポリシー・モデル、シングル・サインオンの概要に関する項に記載されている、必須の構成手順を参照してください。 |
Oracle Access Manager (OAM)は、Oracle Fusion Middleware 11g リリース1において推奨されるシングル・サインオン・ソリューションです。OAMのインストールおよび構成の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドを参照してください。この項では、WebCenter Portalのインストールを既存のOAM 11gインストールおよび基礎となるディレクトリ・サービスと構成する手順について説明します。これらのディレクトリ・サービスには、Oracle Internet Directory (OID)またはOracle Virtual Directory (OVD)、またはその両方を使用することをお薦めします。
また、Oracle Access Managerインストールには、Webゲートを使用するように構成された独自のWebサーバーが必要です。この項では、Oracle Access Manager Webサーバーを委任認証サーバーとして使用するための手順も説明します。
この項では、HTTPサーバーがすでにインストールされている各WEBHOSTマシンにWebGateをインストールする方法を説明します。
WebGateをインストールする前に、マシンにサード・パーティ製GCCライブラリをダウンロードおよびインストールする必要があります。次のサードパーティWebサイトから該当するGCCライブラリをダウンロードできます。
http://gcc.gnu.org/
32ビットのLinuxの場合、必要なライブラリはバージョン3.3.2のlibgcc_s.so.1およびlibstdc++.so.5です。表15-3は、LinuxおよびSolarisのGCCサード・パーティ製ライブラリのバージョンを示しています。
この項では、WebGateのインストール手順について説明します。
Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストーラ・プログラムはwebgate.zip
ファイルに含まれています。
WebGateをインストールする手順は次のとおりです。
webgate.zipファイルのコンテンツを、ディレクトリに解凍します。
デフォルトでは、このディレクトリはwebgate
と名前が付けられています。
webgateディレクトリの下のDisk1ディレクトリに移動します。
MW_HOME環境変数をWeb層のミドルウェア・ホームに設定します。
export MW_HOME=ORACLE_BASE/product/fmw/web
次のコマンドを使用してインストーラを起動します。
$ ./runInstaller -jreLoc MW_HOME/jdk
注意: Oracle HTTP Serverをインストールするときに、WebTier_Homeディレクトリの下にjdkディレクトリが作成されます。インストーラを起動するときに、このJDKの中にあるJREフォルダの絶対パスを入力する必要があります。 |
インストーラが起動すると、「ようこそ」画面が表示されます。
「ようこそ」画面で「次へ」をクリックします。
「前提条件のチェック」画面で、「次へ」をクリックします。
「インストール場所の指定」画面で、Oracleミドルウェア・ホームとOracleホームの場所を指定します。
ORACLE_BASE/product/fmw
Oracle_OAMWebGate1 (デフォルト名のまま)
注意: ミドルウェア・ホームには、Oracle Web層のOracleホームが含まれます。このOracleホーム・ディレクトリのデフォルト名はOracle_OAMWebGate1で、これはミドルウェア・ホームの下に作成されます。 |
「次へ」をクリックします。
「インストール・サマリー」画面で情報を確認し、「インストール」をクリックしてインストールを開始します。
「インストールの進行状況」画面で、ファイルおよびディレクトリに対して正しい権限を設定するために、ORACLE_HOME/oracleRoot.shスクリプトの実行を求められる場合があります。
「次へ」をクリックして続行します。
「インストール完了」画面で、「終了」をクリックし、インストーラを終了します。
Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストール後に次の手順を実行します。
WebgateのOracleホームの下にある次のディレクトリに移動します。
$ cd Webgate_Oracle_Home/webgate/ohs/tools/deployWebGate
Webgate_Oracle_Homeは、次の例のように、Oracle HTTP Server Webgateをインストールし、WebgateのOracleホームとして作成したディレクトリです。
MW_HOME/Oracle_OAMWebGate1
コマンド行で次のコマンドを実行し、Webgate_Oracle_HomeディレクトリからWebgateインスタンスの場所に必要なエージェント・ビットをコピーします。
$ ./deployWebGateInstance.sh -w ORACLE_BASE/admin/webN/config/OHS/ohsN
-oh Webgate_Oracle_Home
ORACLE_BASE
/admin/web
N
/config/OHS/ohs
N
ディレクトリは、Oracle HTTP Serverのインスタンス・ホームになります(N
はインストールごとに付される連番で、1
番目はWEBHOST1
、2
番目はWEBHOST2
などとなります)。
注意: Oracle HTTP Serverのインスタンス・ホームは、Oracle HTTP Serverを構成した後に作成されます。 |
次のコマンドを実行し、LD_LIBRARY_PATH
変数にOracle_Home_for_Oracle_HTTP_Server/libが含まれるようにします。
$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:ORACLE_BASE/product/fmw/web/lib
注意: Oracle_Home_for_Oracle_HTTP_ServerはMW_HOME (Web層)です。
|
現在の作業ディレクトリから1つ上のディレクトリに移動します。
$ cd Webgate_Oracle_Home/webgate/ohs/tools/setup/InstallTools
コマンド行で次のコマンドを実行して、Webgate_Oracle_HomeディレクトリからWebgateインスタンスの場所にapache_webgate.templateをコピーし(名前がwebgate.conf
に変更されます)、httpd.conf
ファイルを更新してwebgate.conf
の名前が含まれる1つの行を追加します。
$ ./EditHttpConf -w ORACLE_BASE/admin/webN/config/OHS/ohsN [-oh Webgate_Oracle_Home] [-o output_file]
注意: -oh WebGate_Oracle_Homeおよび-o output_fileパラメータはオプションです。 |
ここでWebGate_Oracle_Homeは、Oracle HTTP Server Webgate for Oracle Access Managerをインストールし、WebgateのOracleホームを作成したディレクトリです。次に例を示します。
MW_HOME/Oracle_OAMWebGate1
ORACLE_BASE
/admin/web
N
/config/OHS/ohs
N
ディレクトリは、Oracle HTTP Serverのインスタンス・ホームになります(N
はインストールごとに付される連番で、1
番目はWEBHOST1
、2
番目はWEBHOST2
などとなります)。
output_fileはツールによって使用される一時出力ファイルの名前です。次に例を示します。
Edithttpconf.log
この項では、WebGateエージェントの登録手順について説明します。
RREGツールはOAM 11gのインストールの一部です。見つからない場合は、次の手順を使用して抽出します。
Oracle Access Managerのインストールおよび構成が終わった後、次の場所に移動します。
IDM_Home/oam/server/rreg/client
コマンド行から、次の例のとおり、gunzipを使用してRREG.tar.gz
ファイルを解凍します。
gunzip RREG.tar.gz tar -xvf RREG.tar
RREG_HOME
/bin
ディレクトリにあるoamreg.sh
スクリプトを編集し、設定に応じてOAM_REG_HOME
パラメータを変更します。
OAM_REG_HOME=RREG_Home
(RREG_Home
は、RREG.tar.gz
およびrreg
の内容を展開したディレクトリです。)
スクリプト・ファイルを保存します。
RREG構成ツールは、保護されているリソース、パブリック・リソースおよび除外されたリソースをOAMシステムに登録する手段を提供します。例15-3
に示すように、OAMシステムに追加されるリソースのリストはOAM11gRequest.xmlに指定されています。
RREG_Home/inputディレクトリの中に、OAM11gRequest.xml
という名前のテンプレート・ファイルがあります。このファイルをコピーおよび編集して、WebCenter Portalインストールのポリシーを作成します。
RREG_Home/input
にあるテンプレートOAM11gRequest.xml
ファイルを開きます。
例15-3に示す、WebCenter Portalエンタープライズ・デプロイメントに必要なポリシーをコピーします。
次の値を置き換えます。
$$webtierhost$$、$$oamadminserverport$$
および$$oamhost$$
を、実際のインストールのホスト名に置換します。
ipvalidationExceptions
値をロード・バランサのIPアドレスにします。
注意: このガイドでは、Oracle Access Manager 11g (11.1.1.2)以降のリクエスト・ファイルの検証フィールドのエントリについて説明します。以前のバージョンのOracle Access Manager 11gでは、検証例外リストの定義方法が異なります。以前のバージョンでは、前のテキストに示されているように<ValList> エントリを使用するかわりに、</publicResourcesList> エントリの後で次の構文を使用します。
<userDefinedParameters> <userDefinedParam> <name>ipValidationExceptions</name> <value>10.1.1.1</value> </userDefinedParam> </userDefinedParameters> IP検証例外の追加の詳細は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』を参照してください。 |
変更を保存します。
oamreg.sh
スクリプトの実行権限を追加します。
chmod u+x /RREG_Home/bin/oamreg.sh
例15-3 WebCenter Portalエンタープライズ・デプロイメント用のOAM11gRequest.xml
OAM11gRequest.xml
の編集後、ファイルには次が含まれている必要があります。
<?xml version="1.0" encoding="UTF-8"?> <!-- Copyright (c) 2009, 2010, Oracle and/or its affiliates. All rights reserved. NAME: OAM11GRequest_short.xml - Template for OAM 11G Agent Registration request file (Shorter version - Only mandatory values - Default values will be used for all other fields) DESCRIPTION: Modify with specific values and pass file as input to the tool. --> <OAM11GRegRequest> <serverAddress>http://$$oamhost$$:$$oamadminserverport$$</serverAddress> <hostIdentifier>$$webtierhost$$_webcenter</hostIdentifier> <agentName>$$webtierhost$$_webcenter</agentName> <applicationDomain>$$webtierhost$$_webcenter</applicationDomain> <ipValidation>1</ipValidation> <ValList ListName="ipValidationExceptions"> <ValListMember Value="10.1.1.1"/> <logOutUrls> <url>/oamsso/logout.html</url> </logOutUrls> <protectedResourcesList> <resource>/webcenter/adfAuthentication</resource> <resource>/integration/worklistapp</resource> <resource>/integration/worklistapp/.../*</resource> <resource>/workflow/sdpmessagingsca-ui-worklist/faces/adf.task-flow</resource> <resource>/workflow/WebCenterWorklistDetail/faces/adf.task-flow</resource> <resource>/workflow/sdpmessagingsca-ui-worklist</resource> <resource>/workflow/sdpmessagingsca-ui-worklist/.../*</resource> <resource>/sdpmessaging/userprefs-ui</resource> <resource>/sdpmessaging/userprefs-ui/.../*</resource> <resource>/rss/rssservlet</resource> <resource>/owc_discussions/login!withRedirect.jspa</resource> <resource>/owc_discussions/login!default.jspa</resource> <resource>/owc_discussions/login.jspa</resource> <resource>/owc_discussions/admin</resource> <resource>/owc_discussions/admin/.../*</resource> <resource>/rest/api/resourceIndex</resource> <resource>/rest/api/spaces</resource> <resource>/rest/api/spaces/.../*</resource> <resource>/rest/api/discussions</resource> <resource>/rest/api/discussions/.../*</resource> <resource>/rest/api/tags</resource> <resource>/rest/api/tags/.../*</resource> <resource>/rest/api/taggeditems</resource> <resource>/rest/api/taggeditems/.../*</resource> <resource>/rest/api/activities</resource> <resource>/rest/api/activities/.../*</resource> <resource>/rest/api/activitygraph</resource> <resource>/rest/api/activitygraph/.../*</resource> <resource>/rest/api/feedback</resource> <resource>/rest/api/feedback/.../*</resource> <resource>/rest/api/people</resource> <resource>/rest/api/people/.../*</resource> <resource>/rest/api/messageBoards</resource> <resource>/rest/api/messageBoards/.../*</resource> <resource>/rest/api/searchresults</resource> <resource>/rest/api/searchresults/.../*</resource> <resource>/activitygraph-engines</resource> <resource>/activitygraph-engines/.../*</resource> <resource>/wcps/api</resource> <resource>/wcps/api/.../*</resource> <resource>/adfAuthentication</resource> <resource>/pagelets/admin</resource> <resource>/pagelets/admin/.../*</resource> <resource>/pagelets/authenticateWithApplicationServer</resource> <resource>/services-producer/adfAuthentication</resource> <resource>/em</resource> <resource>/em/.../*</resource> <resource>/console</resource> <resource>/console/.../*</resource> <resource>/soa/composer</resource> <resource>/soa/composer/.../*</resource> <resource>/soa-infra</resource> <resource>/soa-infra/deployer</resource> <resource>/soa-infra/deployer/.../*</resource> <resource>/soa-infra/events/edn-db-log</resource> <resource>/soa-infra/events/edn-db-log/.../*</resource> <resource>/soa-infra/cluster/info</resource> <resource>/soa-infra/cluster/info/.../*</resource> <resource>/inspection.wsil</resource> <resource>/cs/idcplg</resource> <resource>/cs/idcplg/.../*</resource> <resource>/cs/groups</resource> <resource>/cs/groups/.../*</resource> <resource>/ibr/adfAuthentication</resource> <resource>/ibr/adfAuthentication/.../*</resource> </protectedResourcesList> <publicResourcesList> <resource>/webcenter</resource> <resource>/webcenter/.../*</resource> <resource>/webcenterhelp</resource> <resource>/webcenterhelp/.../*</resource> <resource>/owc_discussions</resource> <resource>/owc_discussions/.../*</resource> <resource>/rss</resource> <resource>/rss/.../*</resource> <resource>/workflow</resource> <resource>/workflow/.../*</resource> <resource>/rest/api/cmis/.../*</resource> <resource>/pagelets</resource> <resource>/services-producer</resource> <resource>/wsrp-tools</resource> <resource>/cs</resource> <resource>/cs/.../*</resource> <resource>/ibr</resource> <resource>/ibr/.../*</resource> <resource>/soa-infra/directWSDL</resource> <resource>/integration/services</resource> <resource>/integration/services/.../*</resource> </publicResourcesList> <excludedResourcesList> <resource>/rsscrawl*</resource> <resource>/rsscrawl/.../*</resource> <resource>/sesUserAuth*</resource> <resource>/sesUserAuth/.../*</resource> <resource>/services-producer/portlets*</resource> <resource>/services-producer/portlets/.../*</resource> <resource>/soa-infra/services/.../*</resource> <resource>/wsrp-tools/portlets*</resource> <resource>/wsrp-tools/portlets/.../*</resource> <resource>/wsm-pm</resource> <resource>/wsm-pm/.../*</resource> <resource>/ucs/messaging/webservice</resource> <resource>/ucs/messaging/webservice/.../*</resource> </excludedResourcesList> </OAM11GRegRequest>
注意: WebCenter Portal、SOAおよびWebCenter Contentにはそれぞれ、公開および保護されたURIの要件がリストされた.conf ファイルがあります。次のprotected_uris= とpublic_uris= の構文を使用して、公開および保護URIを指定するかわりに、構文uris_file= を使用して各ファイルを順に参照できます。詳細および手順は、『Oracle WebCenter Portalの管理』のWebCenter Portalのポリシー・ドメインの構成に関する項を参照してください。 |
次のコマンドを使用し、oamreg
ツールを実行します。
$ ./RREG_Home/bin/oamreg.sh inband input/WebCenterOAM11GRequest.xml
エージェントの資格証明が求められたら、自身のOAM管理者資格証明を入力します。
実行時の出力は次のようになります。
------------------------------------------------ Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: MW_HOME/Oracle_IDM1/oam/server/rreg/input/WebCenterOAM11gRequest.xml Enter your agent username:weblogic Username: weblogic Enter agent password: Do you want to enter a Webgate password?(y/n): y Enter webgate password: Enter webgate password again: Password accepted. Proceeding to register.. Aug 16, 2010 1:22:30 AM oracle.security.am.engines.rreg.client.handlers.request.OAM11GRequestHandler getWebgatePassword INFO: Passwords matched and accepted. Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WEBHOST1_webcenter URL String:WEBHOST1_webcenter Registering in Mode:inband Your registration request is being been sent to the Admin server at: http://oamserver.example.com:7001 ---------------------------------------- Inband registration process completed successfully! Output artifacts are created in the output folder.
次のファイルがRREG_Home
/output/$$webtierhost$$_webcenter
に生成されます。
ObAccessClient.xml
cwallet.sso
password.xml
aaa_cert.pem
aaa_key.pem
これらのファイルをWEBHOST1およびWEBHOST2上のWebGateインスタンスの場所に適宜コピーする手順:
ObAccessClient.xml
、cwallet.sso
およびpassword.xml
をWEBHOST1とWEBHOST2上のWebGateインスタンス・ディレクトリにコピーします。
例:
scp ObAccessClient.xml oracle@WEBHOSTN:ORACLE_BASE/admin/webN/config/OHS/ohsN/webgate/config/ scp cwallet.sso oracle@WEBHOSTN:ORACLE_BASE/admin/webN/config/OHS/ohsN/webgate/config/ scp password.xml oracle@WEBHOSTN:ORACLE_BASE/admin/webN/config/OHS/ohsN/webgate/config/
ここでNは、WEBHOST1には1、WEBHOST2には2などインストール上の連番を示します。
SIMPLEモードの証明書ファイル(aaa_cert.pem
およびaaa_key.pem
)を、WebGateインスタンス・ディレクトリのsimple
サブフォルダにコピーします。
例:
scp aaa_cert.pem oracle@WEBHOSTN:ORACLE_BASE/admin/webN/config/OHS/ohsN/webgate/config/simple/ scp aaa_key.pem oracle@WEBHOSTN:ORACLE_BASE/admin/webN/config/OHS/ohsN/webgate/config/simple/
このコマンドでは、Nは、WEBHOST1には1、WEBHOST2には2などインストール上の連番を示します。
Oracle HTTP Serverを再起動します。
OutlookプラグインやiPhoneアプリケーションなどの外部クライアントが、SSOで保護されているWebCenter RESTに接続することができるよう、RESTはBASIC認証スキームに従う必要があります。
基本の認証を使用するようにRESTエンド・ポイントを構成するには、次の手順を実行します。
http://OAM_HOST:OAM_ADMINSERVER_PORT/oamconsoleにあるOracle Access Managerコンソールにログインします。
前の手順で作成および検証したポリシー・ドメインを見つけ、「ポリシー」タブを開きます。
「アプリケーション・ドメイン」→「$$webtierhost$$_webcenter」→「認証ポリシー」に移動します。
「WebCenter REST Auth Policy」という新しいポリシーを作成し、基本スキームとして「認証スキーム」を選択し、「適用」をクリックします。
「アプリケーション・ドメイン」→「$$webtierhost$$_webcenter」→「リソース」に移動します。
すべてのRESTリソースを検索します。/rest*
と「リソースURL」フィールドに入力し、「検索」をクリックします。
/rest/api/cmis
エントリを除く各RESTリソースを編集し、「認証ポリシー」を「保護されたリソース・ポリシー」から「WebCenter REST認証ポリシー」に変更します。
次のエントリを確認できます。
/rest/api/resourceIndex /rest/api/resourceIndex/.../* /rest/api/spaces /rest/api/spaces/.../* /rest/api/discussions /rest/api/discussions/.../* /rest/api/tags /rest/api/tags/.../* /rest/api/taggeditems /rest/api/taggeditems/.../* /rest/api/activities /rest/api/activities/.../* /rest/api/activitygraph /rest/api/activitygraph/.../* /rest/api/feedback /rest/api/feedback/.../* /rest/api/people /rest/api/people/.../* /rest/api/messageBoards /rest/api/messageBoards/.../* /rest/api/searchresults /rest/api/searchresults/.../*
構成ファイルのバックアップ、OAM IDアサータの設定およびプロバイダの順序設定によって、WebLogicオーセンティケータを設定します。
前提条件
WebLogicのオーセンティケータを設定する前に、第15.2.1項「LDAPオーセンティケータの作成」の手順に従ってLDAPオーセンティケータをすでに設定している必要があります。まだLDAPオーセンティケータを作成していない場合は、それを作成してからこの項の続きを実行してください。
この項には次のトピックが含まれます:
安全を期して、まず該当の構成ファイル(WebCenter Portalの管理サーバー・ディレクトリ下に格納)をバックアップします。
ORACLE_BASE/admin/domain_name/aserver/domain_name/config/config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/domain_name/aserver/domain_name/config/fwmconfig/system-jazn-data.xml
また、管理サーバーのboot.properties
ファイルもバックアップします。
OAM IDアサータを設定するには:
Oracle WebLogicコンソールの管理者としてログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→「デフォルト・レルム名」→「プロバイダ」に移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAMアイデンティティ・アサータ」を選択します。
アサータに名前(OAM ID Asserterなど)を付け、「OK」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
制御フラグを「必須」に設定します。
「選択済み」タイプで「ObSSOCookie」および「OAM_REMOTE_USER」の2つのオプションを選択します。
設定を保存します。
「変更の適用」をクリックします。
最後に、WLSTを使用しWebLogic Serverドメインに接続し、次のコマンドを実行してOAM SSOプロバイダを追加します。
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html")
WebLogic管理コンソールを使用してプロバイダの順序を設定します。
プロバイダの順序を設定する手順は次のとおりです。
Oracle WebLogicコンソールの管理者としてログインします。
「ロックして編集」をクリックします。
「SecurityRealms」→デフォルト・レルム名→「Providers」に移動します。
OAMアイデンティティ・アサータ、OID/OVDオーセンティケータおよびデフォルト・オーセンティケータの制御フラグが次のように設定されていることを確認し、これらのオーセンティケータを並べ替えます。
OAMアイデンティティ・アサータ: REQUIRED
OID LDAPオーセンティケータ(またはOVD LDAPオーセンティケータ): SUFFICIENT
デフォルト・オーセンティケータ: SUFFICIENT
「OK」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーとすべての管理対象サーバーを再起動します。
仮想ホスト用にOAM 11gを構成するには、基本的な認証のみをサポートする、またはシングル・サインオンを必要としないアプリケーション(WebCenter PortalのSharePointサーブレットなど)に対して、シングル・サインオンをバイパスする必要があります。
OAM 11gで仮想ホストを構成する手順:
次の仮想ホスト構成ファイルを見つけて変更します。
wcp_vh.conf
wcpinternal_vh.conf
admin_vh.conf
:
ヒント: これらの.conf
ファイルはORACLE_BASE/admin/instance_name/config/OHS/component_name
/moduleconf/
にあります。
wcp_vh.conf
で次のセクションを変更します。
<VirtualHost *:7777>
ServerName https://wcp.example.com:443
ServerAdmin you@your.address
RewriteEngine On
RewriteOptions inherit
<Location ...
...
</Location>
</VirtualHost>
次にハイライトしたセクションと一致するようにこのセクションを変更します。
<VirtualHost *:7777>
ServerName https://wcp.example.com:443
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
<Location ...
...
</Location>
</VirtualHost>
wcpinternal_vh.conf
で次のセクションを変更します。
<VirtualHost *:7777>
ServerName wcpinternal.example.com:80
ServerAdmin you@your.address
RewriteEngine On
RewriteOptions inherit
...
</VirtualHost>
次にハイライトしたセクションと一致するようにこのセクションを変更します。
<VirtualHost *:7777>
ServerName wcpinternal.example.com:80
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
...
</VirtualHost>
admin_vh.conf
で次のセクションを変更します。
<VirtualHost *:7777>
ServerName admin.example.com:80
ServerAdmin you@your.address
RewriteEngine On
RewriteOptions inherit
...
</VirtualHost>
次にハイライトしたセクションと一致するようにこのセクションを変更します。
<VirtualHost *:7777>
ServerName admin.example.com:80
<LocationMatch "/*">
AuthType Oblix
require valid-user
</LocationMatch>
RewriteEngine On
RewriteOptions inherit
RewriteRule ^/console/jsp/common/logout.jsp "/oamsso/logout.html?end_url=/console"
...
</VirtualHost>
Oracle HTTP Serverを再起動します。
この項の内容は次のとおりです。
EXTRA_JAVA_PROPERTIES
に設定を追加し、SSO用にWebCenter Portalアプリケーションを構成します。
システム・プロパティoracle.webcenter.spaces.osso
により、アプリケーションがSSOモードで構成されているために特殊な処理が必要であることをWebCenter PortalとADFは通知されます。次のシステム・プロパティが必要です。
表15-4 システム・プロパティ
プロパティ | 値 | コメント |
---|---|---|
oracle.webcenter.spaces.osso |
true |
このフラグは、SSOが使用されているためにデフォルトのランディング・ページにログイン・フォームが表示されないことをWebCenter Portalに通知します。かわりに、ユーザーがクリックするとSSO認証が起動するログイン・リンクが表示されます。 |
WCPHOST1およびWCPHOST2でWebCenter Portalアプリケーション用にこのプロパティを設定するには、managedserver_domain_home/binディレクトリにあるsetDomainEnv.shスクリプトを編集します。次のように、このプロパティを
EXTRA_JAVA_PROPERTIES
変数に追加します。
EXTRA_JAVA_PROPERTIES="-Doracle.webcenter.spaces.osso=true ${EXTRA_JAVA_PROPERTIES}" export EXTRA_JAVA_PROPERTIES
Oracle Internet DirectoryまたはOracle Virtual DirectoryをWebCenter Portalアプリケーションのプライマリ・オーセンティケータに構成したら、デフォルトのweblogic
ユーザーはWebCenter Portal管理者として使用しないようにする必要があります。Oracle Internet Directoryにユーザーを作成し、WLSTまたはEnterprise Managerを使用して、そのユーザーをWebCenter Portal管理者にします。
WLSTを使用してWebCenter Portalの管理者ロールを付与する手順は、次のとおりです。
LDAPストアにWCAdminという名前のユーザーを作成します。
このユーザーは、WebCenter Portalの管理者ロールに割り当てられます。
ユーザーの作成方法の詳細は、第15.2.2.1項「LDAPディレクトリでの管理ユーザーおよびグループのプロビジョニング」を参照してください。
WebCenter Portal Oracleホーム・ディレクトリに移動し、WLSTスクリプトを起動します。
(UNIX) MW_HOME
/wc/common/bin/wlst.sh
(Windows) MW_HOME
\wc\common\bin\wlst.cmd
次のコマンドを使用し、ターゲット・ドメインの管理サーバーに接続します。
wls:/offline>connect("user_name","password", "host_name:port_number")
grantAppRole
コマンドを使用し、LDAPのWCAdminユーザーにWebCenter Portalの管理者アプリケーション・ロールを付与します。
例:
grantAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator", principalClass="weblogic.security.principal.WLSUserImpl", principalName="WCAdmin")
WCAdminは、手順3で作成した管理者アカウントの名前です。
WC_Spaces
n
管理対象サーバーを再起動します。
新しいアカウントをテストするには、新しいアカウント名を使用してWebCenter Portalにログインします。
ブラウザでhttp://wcp.example.com:/webcenter
を使用して、WebCenter Portalを開きます。ログイン後、「管理」リンクが表示されて、すべての管理操作を実行できるようになります。
この項では、デフォルトのweblogic
アカウント以外のユーザー・アカウントにWebCenter PortalのAdministrator
ロールを付与する方法を説明します。
Fusion Middleware Controlを使用してWebCenter Portalの管理者ロールを付与する手順は、次のとおりです。
Fusion Middleware Controlにログインし、WebCenter Portalのホーム・ページに移動します。
「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます。
WebCenter Portalの管理者ロールを検索します。
「検索するアプリケーション・ストライプの選択」チェック・ボックスを選択します。
「webcenter」 (WebCenter Portalアプリケーションの名前)を選択します。
「ロール名」フィールドにs8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
と入力し、「検索」(矢印)アイコンをクリックします。
「ロール名」列で管理者ロール名(s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
)をクリックします。
「アプリケーション・ロールの編集」ページが表示されます。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます。
検索機能を使用して、Administrator
ロールを割り当てるユーザーを検索します。
矢印キーを使用して、「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
WC_Spaces
n
管理対象サーバーを再起動します。
WebCenter Portalにログインすると、「管理」リンクが表示されて、すべての管理操作を実行できるようになります。
この項には次のトピックが含まれます:
ドメインをAdministrators
グループを含まないアイデンティティ・ストアに関連付ける場合、ディスカッション・サーバー用に他の有効なユーザーまたはグループを割り当てる必要があります。
addDiscussionsServerAdmin
のWLSTコマンドを使用すると、ユーザーまたはグループにディスカッション・サーバーのシステム管理者権限を付与できます。コマンドの構文と例については、『WebLogic Scripting Toolコマンド・リファレンス』のaddDiscussionsServerAdminに関する項を参照してください。
例:
管理サーバーに接続します。
例:
cd MW_HOME/wc/common/bin/
./wlst.sh
connect("weblogic","mypassword1", "ADMINHOST:7001")
ユーザーまたはグループに管理者権限を付与します。
addDiscussionsServerAdmin(appName='owc_discussions', name='weblogic_wc', type='USER', server='WC_Collaboration1')
または、
addDiscussionsServerAdmin(appName='owc_discussions', name='discussions-admin-group', type='GROUP', server='WC_Collaboration1')
ここで、weblogic_wcとdiscussions-admin-groupは、ディスカッション・サーバーに割り当てる管理者ロールのユーザーおよびグループ例です。
コマンドの構文と例については、『WebLogic Scripting Toolコマンド・リファレンス』のaddDiscussionsServerAdminに関する項を参照してください。
Oracle WebCenterディスカッション・サーバーをOAMシングル・サインオン用に構成するには:
次の場所でOracle WebCenterディスカッション・サーバーの管理コンソールにログインします。
http://wcpinternal.example.com/owc_discussions/admin
「システム・プロパティ」ページを開き、「owc_discussions.sso.mode
」プロパティを編集(このプロパティがすでに存在する場合)または追加して、その値を「true
」に設定します。
次に例を示すように、jiveURL
プロパティを編集または追加して、フロントエンド・ロードバランサのディスカッションのベースURLを指定します。
jiveURL = wcp.example.com/owc_discussions
WebLogic Server管理コンソールを使用して、両方のコラボレーション管理対象サーバーを再起動します。
第12.2項「ディスカッション・サーバー接続の構成」で作成したディスカッション・サーバー接続を確認します。接続に対して指定されている管理ユーザー(weblogic_wc
など)がLDAPで使用可能であり、ディスカッション・サーバーに対する管理者権限を持つことを確認します。
この項の内容は次のとおりです。
デフォルト・ユーザーweblogic
を含まないアイデンティティ・ストアにドメインを関連付ける場合、他の有効なユーザーをアプリケーション・ロール、BPMWorkflowAdmin
に割り当てる必要があります。
BPMWorkflowAdmin
を有効なユーザーに付与する手順は次のとおりです。
ロールを割り当てるユーザーをLDAPストア内で選択します。
たとえば、以前作成した管理ユーザーWCAdminなどです。
WLSTを使用し、BPMWorkflowAdminロールを割り当てます。この作業は、SOAのOracleホームからWLSTを使用して実行できます。
例:
cd ORACLE_HOME/common/bin/
wlst.sh
connect("weblogic","mypassword1", "ADMINHOST:7001")
revokeAppRole(appStripe="soa-infra", appRoleName="BPMWorkflowAdmin",
principalClass="oracle.security.jps.service.policystore.ApplicationRole", principalName="SOAAdmin")
grantAppRole(appStripe="soa-infra", appRoleName="BPMWorkflowAdmin",
principalClass="weblogic.security.principal.WLSUserImpl", principalName="WCAdmin")
Oracle Access Managerが有効なときにワークリストが正常に機能するには、SOAコールバックURLが必ず正しく構成されている必要があります。コールバックURLの詳細は、第9.6.3項「フロントエンドHTTPホストおよびポートの設定」を参照してください。
SOAアプリケーションについては、次のコールバックURLがhttp://wcpinternal.example.com
に設定されている必要があります。
コールバック・サーバーURL
サーバーURL
Fusion Middleware Controlを使用し、これらのURLを変更するには、次の手順を実行します。
「Farm_wcpedg_domain」→「SOA」→「soa-infra (wls_soa1)」→「SOAインフラストラクチャ」→「SOA管理」→「共通プロパティ」を選択します。
「コールバック・サーバーURL」および「サーバーURL」には、http://wcpinternal.example.com
を入力します。
「適用」をクリックします。
SOAサーバーを再起動します。
拡張したドメインが正常に動作していることを確認した後、そのドメイン構成をバックアップします。このバックアップは、この後の手順でエラーが発生した場合にすぐにリストアできるようにすることが目的です。構成をローカル・ディスクにバックアップします。エンタープライズ・デプロイメントが完了すれば、このバックアップは破棄してかまいません。エンタープライズ・デプロイメントが完了すれば、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。
環境のバックアップの詳細は、『Oracle Fusion Middleware管理者ガイド』の環境のバックアップに関する項を参照してください。情報のリカバリの詳細は、『Oracle Fusion Middleware管理者ガイド』の環境のリカバリに関する項を参照してください。
この時点で構成をバックアップするには:
Web層をバックアップする手順は次のとおりです。
opmnctl
を使用してインスタンスを停止します。
ORACLE_BASE/admin/instance_name/bin/opmnctl stopall
次のコマンドをroot権限で実行して、Web層のミドルウェア・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web.tar MW_HOME
次のコマンドをroot権限で実行して、Web層のインスタンス・ホームをバックアップします。
tar -cvpf BACKUP_LOCATION/web_instance.tar ORACLE_INSTANCE
opmnctl
を使用してインスタンスを起動します。
ORACLE_BASE/admin/instance_name/bin/opmnctl startall
データベースのバックアップを取ります。これは、Oracle Recovery Manager(推奨)またはtar
などのOSツールを使用したデータベース全体のホット・バックアップまたはコールド・バックアップです。OSツールを使用する場合は、可能なかぎりコールド・バックアップをお薦めします。
管理サーバーのドメイン・ディレクトリをバックアップしてドメイン構成を保存します。構成ファイルは次のディレクトリにあります。
ORACLE_BASE/ admin/domain_name
管理サーバーをバックアップするには、SOHOST1で次のコマンドを実行します。
tar -cvpf edgdomainback.tar ORACLE_BASE/admin/domain_name