この章では、Oracle Access Managerを使用したシングル・サインオンが有効になるようOracle HTTP Server Webゲートを構成する方法について説明します。
jps-config.xml
ファイルを構成して、これらの機能を有効にする必要があります。Oracle HTTP Server Webゲートは、HTTPリクエストを捕捉して認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle Fusion Middleware 12cでは、Webゲート・ソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。
Webゲートの詳細は、『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録および管理に関する項を参照してください。
Oracle HTTP Server 12c Webゲートを構成するには、事前に認定バージョンのOracle Access Managerをインストールおよび構成しておく必要があります。
このドキュメントの公開時点でサポートされているOracle Access Managerのバージョンは、11gリリース2 (11.1.2.2)および11gリリース2 (11.1.2.3)です。最新情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
注意:
本番環境では、Oracle Access Managerを、エンタープライズ・デプロイメントをホストしているマシンではなく独自の環境にインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにあるOracle Identity and Access Managementの最新ドキュメントを参照してください。
エンタープライズ・デプロイメントに対してシングル・サインオンが有効になるようOracle HTTP Server Webゲートを構成する場合、この項に示す前提条件を確認してください。
Oracle Access Managerを可用性の高い安全な本番環境にデプロイすることをお薦めします。エンタープライズ環境へのOracle Access Managerのデプロイの詳細は、お使いのOracle Identity and Access Mangementバージョン向けのエンタープライズ・デプロイメント・ガイドを参照してください。
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlに対するシングル・サインオンを有効にするには、Oracle Access Managerが使用している(Oracle Internet DirectoryやOracle Unified Directoryなど)ディレクトリ・サービスに中心的なLDAPプロビジョニング管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要のあるユーザーとグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってください。
WEBHOST1とWEBHOST2の両方でOracle Access Manager用Oracle HTTP Server 12c Webゲートを構成するには、次の手順に従います。
次の手順では、OHS_ORACLE_HOMEやOHS_CONFIG_DIRなどのディレクトリ変数を「このガイドで使用するファイル・システムとディレクトリ変数」で定義された値に置き換えてください。
Web層ドメインの完全なバックアップを実行します。
ディレクトリをOracle HTTP ServerのOracleホームの次の場所に変更します。
cd
OHS_ORACLE_HOME
/webgate/ohs/tools/deployWebGate/
次のコマンドを実行して、Webゲート・インスタンス・ディレクトリを作成し、OHSインスタンスでのWebゲート・ロギングを有効にします。
./deployWebGateInstance.sh -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME
deployWebGateInstance
コマンドでwebgate
ディレクトリおよびサブディレクトリが作成されたことを確認します。
ls -lart OHS_CONFIG_DIR/webgate/
total 6
drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 .
drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
次のコマンドを実行し、LD_LIBRARY_PATH
変数にOHS_ORACLE_HOME/lib
ディレクトリ・パスが含まれるようにします。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib
ディレクトリを次のディレクトリに変更します。
OHS_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
InstallTools
ディレクトリから次のコマンドを実行します。
./EditHttpConf -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME -o output_file_name
このコマンドは次の処理を実行します。
apache_webgate.template
ファイルをOracle HTTP ServerのOracleホームからOracle HTTP Server構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。
httpd.conf
ファイルを更新して1行を追加し、webgate.conf
が含まれるようにします。
Webゲート構成ファイルを生成します。ファイルのデフォルト名はwebgate.conf
ですが、コマンドに対してoutput_file
引数を使用してカスタム名を使用できます。
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebゲート・エージェントを登録できます。
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
詳細は、以下のトピックを参照してください。
RREGツールを設定するには、次の手順を実行します。
アプリケーション層でいずれかのOracle Access Managerホストにログインします。
ディレクトリをOracle Access ManagerのOracleホームの次のディレクトリに変更します。
OAM_ORACLE_HOME/oam/server/rreg/client
この例では、OAM_ORACLE_HOME は、Oracle Access ManagerソフトウェアがインストールされたシステムのOracleホームを指します。
注意:
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用して必要なファイルを生成し、WebゲートをOracle Access Managerに登録できます。詳細は、「RREGインバンドおよびアウトオブバンド・モードについて」を参照してください。oamreg.sh
ファイルを開き、ファイルで次の環境変数を設定します。
OAM_REG_HOME
を、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。
JDK_HOME
を、サポートされているJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれかで実行できます。
Oracle Access Managerサーバーへのアクセス権を持っている場合は、インバンド・モードを使用して、Oracle Access ManagerのOracleホームからRREGツールを実行します。RREGツールの実行後、生成されたアーティファクトとファイルをWebサーバー構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、組織によっては、Oracle Access Managerサーバー管理者のみがサーバー・ディレクトリにアクセスしてサーバー上で管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のようになります。
Oracle Access Managerサーバー管理者からユーザーにRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。サーバー管理者は「RREGツールの検索および準備」に示されている場所で見つけることができます。
サーバー管理者から提供されたRREG.tar.gz
ファイルを展開します。
例:
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを展開したら、次の場所でエージェントを登録するためのツールを見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、RREG_Home
は、RREGアーカイブの内容を展開したディレクトリです。
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用してOAM11GRequest.xml
ファイルを更新し、完成したOAM11GRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。
次に、Oracle Access Managerサーバー管理者は「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してRREGツールを実行し、AgentID_response.xml
ファイルを生成します。
Oracle Access Managerサーバー管理者はユーザーにAgentID_response.xml
ファイルを送信します。
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してAgentID_response.xml
ファイルでRREGツールを実行し、クライアント・システムに必要なアーティファクトとファイルを生成します。
Webゲート・エージェントをOracle Access Managerに登録するには、事前にOAM11gRequest.xml
ファイルで必須プロパティを更新する必要があります。
注意:
提供されているXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドがデフォルト値をとる短いバージョン(OAM11gRequest_short.xml
を使用できます。
このタスクを実行するには、次のようにします。
インバンド・モードを使用する場合は、ディレクトリをディレクトリ内の次の場所に変更します。
OAM_ORACLE_HOME/oam/server/rreg/client
アウトオブバンド・モードを使用する場合は、ディレクトリをRREGアーカイブを展開した場所に変更します。
OAM11gRequest.xml
ファイル・テンプレートのコピーを作成します。
ファイルにリストされているプロパティを確認してから、プロパティが環境に固有のホスト名およびその他の値を参照するように、OAM11gRequest.xmlファイルのコピーを更新します。
OAM11gRequest.xmlプロパティ | 設定値 |
serverAddress |
Oracle Access Managerドメイン内の管理サーバーのホストとポート。 |
agentName |
エージェントのカスタム名。一般に、シングル・サインオンを構成しているFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオンを構成しているWeb層ホストおよびFMWコンポーネントを識別する値です。 |
security |
Oracle Access Managerサーバーのセキュリティ・モードで、オープン・モード、簡易モードまたは証明書モードがあります。 エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号化のためにカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除いて、簡易モードが推奨されます。 オープン・モードではOracle Access Managerサーバーとのトラフィックは暗号化されないため、ほとんどの場合、オープン・モードの使用は避けてください。 証明書モードの使用またはOracle Access Managerでサポートされている一般的なセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項を参照してください。 |
cachePragmaHeader |
プライベート |
cacheControlHeader |
プライベート |
ipValidation |
0 <ipValidation>0<ipValidation> |
ipValidationExceptions |
フロントエンド・ロード・バランサのIPアドレス。例: <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation> |
agentBaseUrl |
Oracle HTTP Server 12c WebGateがインストールされているマシンのホストとポート。 |
OAM11gRequest.xml
ファイルの特定セクションを使用して特定します。URLを特定するには:次の項では、RREGツールを実行してOracle HTTP Server WebゲートをOracle Access Managerに登録する方法を示します。
RREGツールをインバンド・モードで実行するには:
ディレクトリをRREGホーム・ディレクトリに変更します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access ManagerのOracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg/client
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリはRREGアーカイブを展開した場所です。
ディレクトリを、RREGホーム・ディレクトリ内のbinディレクトリに変更します。
cd RREG_HOME/bin/
ファイルを実行できるように、oamreg.sh
コマンドの権限を設定します。
chmod +x oamreg.sh
次のコマンドを実行します。
./oamreg.sh inband input/OAM11GRequest.xml
この例では、次のようになります。
編集したOAM11GRequest.xml
ファイルはRREG_HOME/input
ディレクトリにあると想定されます。
このコマンドの出力は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例は、RREGセッションのサンプルを示しています。
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GWCCDomainRequest.xml Enter admin username:weblogic_idm Username: weblogic_idm Enter admin password: Do you want to enter a Webgate password?(y/n): n Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WCC1221_EDG_AGENT URL String:null Registering in Mode:inband Your registration request is being sent to the Admin server at: http://host1.example.com:7001 ---------------------------------------- Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Inband registration process completed successfully! Output artifacts are created in the output folder.
RREGツールをOracle Access Managerサーバー上でアウトオブバンド・モードで実行するには、Oracle Access Managerサーバー管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例では、次のようになります。
RREG_HOMEを、RREGアーカイブ・ファイルを展開したサーバー上の場所に置き換えます。
編集したOAM11GRequest.xml
ファイルは、RREG_HOME/input
ディレクトリにあります。
RREGツールにより、このコマンドの出力(AgentID_response.xml
ファイル)は次のディレクトリに保存されます。
RREG_HOME/output/
Oracle Access Managerサーバー管理者は、OAM11GRequest.xml
ファイルを提供したユーザーにAgentID_response.xml
を送信できます。
RREGツールをWebサーバー・クライアント・マシン上でアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例では、次のようになります。
RREG_HOMEを、RREGアーカイブ・ファイルを展開したクライアント・システム上の場所に置き換えます。
Oracle Access Managerサーバー管理者によって提供されたAgentID_response.xml
ファイルは、 RREG_HOME/inputディレクトリにあります。
RREGツールにより、このコマンドの出力(Webゲート・ソフトウェアの登録に必要なアーティファクトとファイル)は、クライアント・マシン上次のディレクトリに保存されます。
RREG_HOME/output/
RREGツールによって生成されるファイルは、WebゲートとOracle Access Managerサーバー間の通信に使用するセキュリティ・レベルによって異なります。サポートされるセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項を参照してください。
この項では、RREG_HOMEへの参照はすべて、RREGツールを実行するディレクトリへのパスに置き換える必要があります。これは一般的に、Oracle Access Managerサーバー上の次のディレクトリ、または(アウトオブバンド・モードを使用している場合)RREGアーカイブを展開したディレクトリです。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表に、Oracle Access Managerのセキュリティ・レベルに関係なく、RREGツールによって常に生成されるアーティファクトをリストします。
ファイル | 場所 |
cwallet.sso |
RREG_HOME/output/Agent_ID/ |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表に、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される、追加のファイルをリストします。
ファイル | 場所 |
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
password.xml |
RREG_HOME/output/Agent_ID/ |
password.xml
ファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
RREGツールにより必要なアーティファクトが生成された後、アーティファクトをRREG_Home/output/agent_ID
ディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに手動でコピーします。
Oracle HTTP Server構成ディレクトリ内のファイルの場所は、Oracle Access Managerのセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づく、生成された各アーティファクトに必要なOracle HTTP構成ディレクトリ内の場所をリストします。ディレクトリが存在しない場合、ディレクトリを作成しなければならないことがあります。たとえば、ウォレット・ディレクトリは構成ディレクトリ内に存在しないことがあります。
注意:
エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号化のためにカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除いて、簡易モードが推奨されます。オープン・モードまたは証明書モードを使用する場合の情報が、利便性のために示されています。
オープン・モードではOracle Access Managerサーバーとのトラフィックは暗号化されないため、オープン・モードの使用は避けてください。
証明書モードの使用またはOracle Access Managerでサポートされている一般的なセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項を参照してください。
ファイル |
OPENモードを使用する場合の場所 |
SIMPLEモードを使用する場合の場所 |
CERTモードを使用する場合の場所 |
wallet/cwallet.sso |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet/ |
OHS_CONFIG_DIR/webgate/config/wallet/ |
ObAccessClient.xml |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
password.xml |
なし | OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_key.pem |
なし | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_cert.pem |
なし | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
注意:
ObAccessClient.xml
を新しいディレクトリにコピーする場合、WEBHOST1上の最初のOracle HTTP Serverの場所のキャッシュの場所から古い ObAccessClient.xml
ファイルを削除する必要があります。OHS_DOMAIN_HOME/servers/ohs1/cache/config/
また、WEBHOST2で2番目のOracle HTTP Serverインスタンスに対して、同様の手順を実行する必要があります。
OHS_DOMAIN_HOME/servers/ohs2/cache/config/
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Serverの管理』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、『Oracle HTTP Server管理者ガイド』のFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。
WebLogic Server認証プロバイダを設定するには、構成ファイルのバックアップ、Oracle Access Manager IDアサーション・プロバイダの設定およびプロバイダの順序の設定を行います。
次の項では、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従って、LDAPオーセンティケータがすでに構成されていると想定します。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。
念のため、まず、次の関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework(Oracle ADF)セキュリティを使用しています。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xml
ファイルを構成して、これらの機能を有効にする必要があります。
jps-config.xml
ファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。DOMAIN_HOME/config/fmwconfig/jps-config.xml
注意:
ドメインレベルのjps-config.xml
をカスタム・アプリケーションでデプロイされたjps-config.xml
と混同しないでください。