Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド リリース12.2.1 E70048-02 |
|
前 |
次 |
この章では、Oracle HTTP Server WebGateを構成してOracle Access Managerでシングル・サインオンを有効化する方法について説明します。
jps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送するプラグインです。
Oracle Fusion Middleware 12cの場合、WebGateソフトウェアは、Oracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。
WebGateの詳細は、『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録と管理に関する項を参照してください。
Oracle HTTP Server 12c WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。
このドキュメントの公開時点では、Oracle Access Managerのサポート対象バージョンは、11gリリース2 (11.1.2.2)および11gリリース2 (11.1.2.3)でした。最新の情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
注意:
本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。
Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。
Oracle Access Managerは、可用性の高いセキュアな本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境でのOracle Access Managerのデプロイの詳細は、ご使用のOracle Identity and Access Managementのバージョンのエンタープライズ・デプロイメント・ガイドを参照してください。
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlのシングル・サインオンを有効化するには、Oracle Access Managerで使用されているディレクトリ・サービス(Oracle Internet DirectoryやOracle Unified Directoryなど)に集中LDAPプロビジョニング済管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要なユーザーおよびグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の指示に従ってください。
WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次の手順を実行します。
次の手順では、OHS_ORACLE_HOMEやOHS_CONFIG_DIRなどのディレクトリ変数を、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。
Web層ドメインに対して完全バックアップを実行します。
ディレクトリを、Oracle HTTP Server Oracleホームの次の場所に変更します。
cd
OHS_ORACLE_HOME
/webgate/ohs/tools/deployWebGate/
次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。
./deployWebGateInstance.sh -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME
deployWebGateInstance
コマンドによってwebgate
ディレクトリとサブディレクトリが作成されたことを確認します。
ls -lart OHS_CONFIG_DIR/webgate/
total 6
drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 .
drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
次のコマンドを実行し、LD_LIBRARY_PATH
環境変数にOHS_ORACLE_HOME/lib
ディレクトリ・パスが含まれるようにします。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib
ディレクトリを次のディレクトリに変更します。
OHS_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
次のコマンドをInstallTools
ディレクトリから実行します。
./EditHttpConf -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME -o output_file_name
このコマンドは、次の内容を実行します。
Oracle HTTP Server Oracleホームのapache_webgate.template
ファイルをOracle HTTP Serverの構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。
httpd.conf
ファイルに1行追加して更新し、webgate.conf
が含まれるようにします。
WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.conf
ですが、コマンドにoutput_file
引数を使用して、カスタム名を使用できます。
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
詳細は、以下のトピックを参照してください。
RREGツールを設定するには、次の手順を実行します。
アプリケーション層でいずれか1つのOracle Access Managerホストにログインします。
ディレクトリを、Oracle Access Manager Oracleホームの次のディレクトリに変更します。
OAM_ORACLE_HOME/oam/server/rreg/client
この例では、OAM_ORACLE_HOMEが、Oracle Access ManagerソフトウェアがインストールされているシステムのOracleホームを表しています。
注意:
Oracle Access Managerサーバーに対する権限またはアクセス権を持っていない場合は、アウトオブバンド・モードを使用して必要なファイルを生成し、Oracle Access ManagerにWebGateを登録できます。詳細は、「RREGインバンドおよびアウトオブバンド・モードについて」を参照してください。oamreg.sh
ファイルを開き、次のようにこのファイル内で次の環境変数を設定します。
OAM_REG_HOME
を、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。
JDK_HOME
を、サポート対象のJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれか1つで実行できます。
Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。
Oracle Access Managerサーバー管理者から、RREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。このファイルは、「RREGツールの検索と準備」に説明されている場所で管理者が見つけることができます。
サーバー管理者によって提供されたRREG.tar.gz
ファイルを展開します。
次に例を示します。
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、RREG_Home
は、RREGアーカイブの内容を展開したディレクトリです。
「OAM11gRequest.xmlファイルの標準プロパティの更新」の手順を使用して、OAM11GRequest.xml
ファイルを更新し、完了したOAM11GRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。
その後、Oracle Access Managerサーバー管理者は、「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、RREGツールを実行し、AgentID_response.xml
ファイルを生成します。
Oracle Access Managerサーバー管理者から、AgentID_response.xml
ファイルが送信されます。
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、クライアント・システムで、AgentID_response.xml
ファイルでRREGツールを実行し、必要なアーティファクトとファイルを生成します。
WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xml
ファイルで必要なプロパティを更新しておく必要があります。
注意:
提供されたXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドにデフォルト値が使用される簡略バージョン(OAM11gRequest_short.xml
)を使用できます。
このタスクを実行するには、次のようにします。
インバンド・モードを使用している場合は、ディレクトリを、ディレクトリ内の次の場所に変更します。
OAM_ORACLE_HOME/oam/server/rreg/client
アウトオブバンド・モードを使用している場合は、ディレクトリを、RREGアーカイブを解凍した場所に変更します。
OAM11gRequest.xml
ファイル・テンプレートのコピーを作成します。
ファイルにリストされているプロパティを確認し、OAM11gRequest.xmlファイルのコピーを更新して、プロパティが環境に固有のホスト名およびその他の値を参照するようにします。
OAM11gRequest.xmlプロパティ | 設定値 |
serverAddress |
Oracle Access Managerドメイン内の管理サーバーのホストおよびポート。 |
agentName |
エージェントのカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。 |
security |
Oracle Access Managerサーバーのセキュリティ・モード。オープン・モード、簡易モードまたは証明書モードを指定します。 エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどの場合でオープン・モードを使用しないでください。 証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。 |
cachePragmaHeader |
private |
cacheControlHeader |
private |
ipValidation |
0 <ipValidation>0<ipValidation> |
ipValidationExceptions |
フロントエンドのロード・バランサのIPアドレス。次に例を示します。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation> |
agentBaseUrl |
Oracle HTTP Server 12c WebGateがインストールされているマシンの、ホストとポート。 |
OAM11gRequest.xml
ファイルの特定のセクションを使用して識別します。URLを識別する手順は次のとおりです。次のトピックでは、RREGツールを実行してOracle Access ManagerにOracle HTTP Server WebGateを登録する方法について説明します。
RREGツールをインバンド・モードで実行する手順は次のとおりです。
ディレクトリを、RREGホーム・ディレクトリに変更します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg/client
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。
ディレクトリを、RREGホーム・ディレクトリ内のbinディレクトリに変更します。
cd RREG_HOME/bin/
ファイルを実行できるように、oamreg.sh
コマンドの権限を設定します。
chmod +x oamreg.sh
次のコマンドを実行します。
./oamreg.sh inband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
編集されたOAM11GRequest.xml
ファイルがRREG_HOME/input
ディレクトリに配置されていることが前提となります。
このコマンドの出力は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例はRREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GWCCDomainRequest.xml Enter admin username:weblogic_idm Username: weblogic_idm Enter admin password: Do you want to enter a Webgate password?(y/n): n Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WCC1221_EDG_AGENT URL String:null Registering in Mode:inband Your registration request is being sent to the Admin server at: http://host1.example.com:7001 ---------------------------------------- Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Inband registration process completed successfully! Output artifacts are created in the output folder.
Oracle Access ManagerサーバーでRREGツールをアウトオブバンド・モードで実行する場合、Oracle Access Managerサーバー管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。
編集されたOAM11GRequest.xml
ファイルは、RREG_HOME/input
ディレクトリに配置されています。
RREGツールでは、このコマンドの出力(AgentID_response.xml
ファイル)が次のディレクトリに保存されます。
RREG_HOME/output/
Oracle Access Managerサーバー管理者は、AgentID_response.xml
をOAM11GRequest.xml
ファイルを提供したユーザーに送信できます。
Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例の説明は、次のとおりです。
RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。
Oracle Access Managerサーバー管理者から提供されたAgentID_response.xml
ファイルは、RREG_HOME/inputディレクトリにあります。
RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。
RREG_HOME/output/
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーの間の通信に使用しているセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。
このトピックでは、RREG_HOMEへの参照を、RREGツールを実行したディレクトリのパスで置き換える必要があります。これは通常、Oracle Access Managerサーバーの次のディレクトリまたはRREGアーカイブを解凍したディレクトリになります(アウトオブバンド・モードを使用している場合)。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表は、Oracle Access Managerのセキュリティ・レベルにかかわらず、RREGツールによって常に生成されるアーティファクトを示しています。
ファイル | 場所 |
cwallet.sso |
RREG_HOME/output/Agent_ID/ |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表は、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルを示しています。
ファイル | 場所 |
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
password.xml |
RREG_HOME/output/Agent_ID/ |
password.xml
ファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
RREGツールによって必要なアーティファクトが生成された後に、RREG_Home/output/agent_ID
ディレクトリのアーティファクトをWeb層ホストのOracle HTTP Serverの構成ディレクトリに手動でコピーします。
Oracle HTTP Serverの構成ディレクトリ内のファイルの場所は、Oracle Access Managerのセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表は、Oracle Access Managerのセキュリティ・モード設定に基づいた、Oracle HTTPの構成ディレクトリ内の生成された各アーティファクトの必要な場所を示しています。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。
注意:
エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。
オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。
証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。
ファイル |
OPENモードを使用する場合の場所 |
SIMPLEモードを使用する場合の場所 |
CERTモードを使用する場合の場所 |
wallet/cwallet.sso |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet/ |
OHS_CONFIG_DIR/webgate/config/wallet/ |
ObAccessClient.xml |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
password.xml |
N/A | OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_key.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_cert.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
注意:
ObAccessClient.xml
を新しいディレクトリにコピーする場合は、WEBHOST1の最初のOracle HTTP Serverの場所のキャッシュの場所から古いObAccessClient.xml
ファイルを削除する必要があります。OHS_DOMAIN_HOME/servers/ohs1/cache/config/
WEBHOST2の2番目のOracle HTTP Serverインスタンスに対しても同様の手順を実行する必要があります。
OHS_DOMAIN_HOME/servers/ohs2/cache/config/
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Serverの管理』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、Oracle HTTP Server管理者ガイドのFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
次のトピックでは、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従って、LDAPオーセンティケータを構成済であることが前提となります。LDAP認証プロバイダをまだ作成していない場合は、作成してからこの項を読み進めてください。
まず、次の関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。
jps-config.xml
ファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。DOMAIN_HOME/config/fmwconfig/jps-config.xml
注意:
ドメインレベルのjps-config.xml
を、カスタム・アプリケーションとともにデプロイされるjps-config.xml
と混同しないでください。