13 外部認証への切替え

本番環境に最大限のセキュリティを確保し、高度なアイデンティティ管理ソリューションとシームレスなシングル・サインオンの操作性を提供するために、Oracle Access ManagementとOracle WebCenter Sitesの統合をお薦めします。または、必要に応じて、WebCenter Sitesを外部LDAP認証プロバイダ・ディレクトリと統合することもできます。

次のトピックでは、いずれかの外部アイデンティティ管理ソリューションに対する認証のためにWebCenter Sitesを構成する方法を説明します。

• LDAPディレクトリに対する認証への切替え

• Oracle Access Managerに対する認証への切替え

13.1 LDAPディレクトリに対する認証への切替え

このトピックでは、WebCenter Sitesを外部LDAP認証プロバイダ・ディレクトリに対する認証に切り替える方法について説明します。Oracle Access Managementとの統合を実行できない場合、これは本番環境のための推奨のソリューションです。

認証プロバイダを変更する前に、WebCenter Sitesをインストールし構成してください。

WebCenter Sitesを外部LDAPディレクトリに対する認証に切り替える手順:

1. (オプション) LDAPディレクトリが大/小文字を区別する場合は、DOMAIN_HOME/wcsites/wcsites/config/wcs_properties.jsonファイルのldap.caseAwareプロパティをtrueに設定します。
2. LDAPコンフィギュレータにアクセスし(http://sites-host:sites-port/sites-context/ldapconfig)、画面に表示される指示に従って、使用する環境に応じて値を入力します。
3. LDAPのロールバックの場合は、WebCenter Sites管理対象サーバーを再起動し、同じLDAPコンフィギュレータURLにアクセスします。

   現在は、手動によるLDAP統合のみがあります。LDAPサーバーへの書込みはなく、DOMAIN_HOME/wcsites/wcsites/config/ldapフォルダ下にLDIFファイルのみが作成されます。peopleparent、groupparent、usernameおよびその他のフィールドは、以前のリリースのように事前移入されません。

4. 使用する環境に応じて、DOMAIN_HOME/wcsites/wcsites/config/にあるLDIFファイルの値を変更します。

   フィールドが事前移入されていないので、次のORACLEDIRの例に従ってください:

   ldap server type -- ORACLEDIR
   ldap DSN -- dc=oracle,dc=com
   ldap host -- localhost
   ldap port -- 389
   ldap username -- cn=orcladmin
   ldap password -- password
   ldap peopleParent -- cn=Users,dc=oracle,dc=com
   ldap groupparent -- cn=Groups,dc=oracle,dc=com

5. 使用しているLDAPサーバーが大/小文字を区別する場合は、DOMAIN_HOME/wcsites/wcsites/config/wcs_properties.jsonプロパティ・ファイルを編集してldap.caseAwareプロパティの値をtrueに変更します。

   デフォルトでは、ldap.caseAwareの値はfalseに設定されています。大/小文字を区別するLDAPサーバーを使用しているとき、このプロパティがfalseに設定されている場合、ログインに失敗します。

6. Oracle Virtual DirectoryをLDAP認証プロバイダとして選択すると、WebCenter Sitesに生成されるLDIFファイルをOracle Internet Directoryサーバーにインポートし、Oracle Virtual Directoryにアダプタを作成してOracle Internet Directoryサーバーに接続できます。

   Oracle Virtual DirectoryのLDAPサーバーにはそれ独自の記憶域がないので、LDIFファイルを直接にOracle Virtual Directoryにインポートすることはできません。

7. 外部LDAP認証プロバイダにLDIFファイルをインポートします。
8. このWebCenter Sitesインスタンスを実行しているWebLogic管理対象サーバーを再起動します。

13.2 Oracle Access Managerに対する認証への切替え

Oracle Access Managerに対する認証を行うようにWebCenter Sitesを構成できます。これは本番環境のための推奨のソリューションです。

WebCenter Sitesとの統合は、Oracle Access Manager 11.1.2.2.0および11.1.2.3.0でサポートされます。

WebCenter SitesをOracle Access Managerに対する認証に切り替える手順:

1. ターゲットWebCenter Sitesインスタンスが含まれているWebLogicドメインに、ORACLE_HOME/wcsites/webcentersites/sites-homeにあるoamlogin.warおよびoamtoken.warアプリケーション・ファイルをデプロイします。
2. 次のプロパティ・ファイルを作成します: DOMAIN_HOME/wcsites/wcsites/config/wemsites_settings.properties
3. wemsites_settings.propertiesファイルに、次のように入力します。

   oamredirect	http://oam_server_host:oam_port/oam/server/auth_cred_submit
   oamlogout	oamlogout=http://oam_server_host:oam_port/oam/server/logout
   forgotpassword	helpdesk-email-address

4. DOMAIN_HOME/wcsites/wcsites/config/SSOConfig.xmlに次のプロパティを設定します。

   serviceUrl	http://{ohs_server_host}:{ohs_port}/{sites_context_root}/REST
   ticketUrl	http://{oamtoken_server_host}:{oamtoken_port}/oamtoken
   signoutURL	http://{oam_server_host}:{oam_port}/oam/server/logout?end_url={end_url} WebCenter Sitesのログアウトを呼び出すときに使用されるURL。これには、Oracle Access Managerによるすべてのログアウト処理が完了した後にブラウザから戻される、エンコードされたURLが含まれます。
   end_url	テスト(ステージング)環境: http%3A%2F%2F{ohs_server_host}%3A{ohs_port}%2F{sites_context_root}%2Fwem%2Ffatwire%2Fwem%2FWelcome 本番(デリバリ)環境: http%3A%2F%2F{ohs_server_host}%3A{ohs_port}%2F{sites_context_root}%2FXcelerate%2FLoginPage.html
   dbUsername	WebCenter Sitesの一般管理者のユーザー・アカウント名。
   dbPassword	WebCenter Sitesの一般管理者のユーザー・アカウントのパスワード。
   trustConfigured	WebCenter Sites管理対象サーバーとOracle Access ManagementのOracle HTTP ServerのWebゲートとの間に信頼関係が確立されているかどうかをWebCenter Sitesに指定します。この2つの間に信頼関係が存在する場合、すべてのリクエストにIDアサーションを含める必要がなくなります。信頼関係が存在する場合はtrue、そうでない場合はfalseに設定します。

5. Oracle Access ManagerインスタンスのobAccsessClient.xmlおよびcwallet.ssoファイルを、ターゲットWebCenter Sitesインスタンス上のDOMAIN_HOME/wcsites/wcsites/config/oblix/lib/ディレクトリにコピーします。
6. 互換性モードとoblixパスを設定するために、sites-configディレクトリのoamtoken.xmlファイルを編集します。互換性モードは11Gに設定し、oblixパスはoblix/libフォルダが含まれているsites-configフォルダに設定します。
7. WebCenter SitesのためのOracle Access Managerの構成で、保護リソース、パブリック・リソースおよび除外リソースを次のように更新します。

   ###########################
   protected_uris
   ###########################
   /oamlogin/test
   /sites/Xcelerate/LoginPage.html
   /sites/Satellite/.../*
   /sites/faces/jspx/.../*
   /sites/wem/fatwire/.../*
   /sites/ContentServer/.../*
   /sites/wem/fatwire/wem/Welcome
   /console
   
   ###########################
   Exclusion Scheme	OraDefaultExclusionAuthNScheme
   /sites/REST
   /index.html
   /oamlogin/oamsso/.../*
   /sites/wem/fatwire/home
   /sites/**
   

   詳細は、エンタープライズ・デプロイメントの保護、パブリックおよび除外リソースの更新に関する項を参照してください。
8. Weblogic ServerにOAMSDKクライアントをoamtoken.warアプリケーションとして統合するために、WebCenter Sitesドメインのjps-config.xmlファイルを編集します。このファイルは、WebLogic Server 12 cの起動スクリプトの一部であり、デフォルトでは、WebLogicドメインはこのファイルを使用して実行されます。

   -Doracle.security.jps.config=ORACLE_HOME/user_projects/domains/DOMAIN_NAME/config/fmwconfig/jps-config.xml

   1. 次の例に示すように、既存のjsp-config.xmlファイル内の既存のサービス・インスタンスの隣に、サービス・インスタンスを追加します。
      <serviceInstance name="credstore.oamtoken" provider="credstoressp" location="./oamtoken">
      <description>File Based Credential Store Service Instance</description>
      <property name="location" value="./oamtoken"/>
      </serviceInstance>
      locationは、cwallet.ssoファイルを含むディレクトリのパスです。前述の例では、このパスは、現在のjsp-config.xmlファイルへの参照に設定されています。omtokenフォルダが、現在のディレクトリを基準にして作成され、そこにcwallet.ssoファイルが配置されていることを確認してください。locationの値は、cwallet.ssoファイルが配置されている場所への絶対パスにすることもできます。
   2. <jpsContext name="default">の下に、<serviceInstanceRef ref="credstore.oamtoken"/>を追加します。
   3. <jpsContexts default="default">の下に、次の<jpsContext>要素を追加します。
      <jpsContext name="OAMASDK">
      <serviceInstanceRef ref="credstore.oamtoken"/>
      </jpsContext>
9. oamtoken.warのコードを使用できるように権限を追加します。
   クライアントは、Oracle Access Managerに作成されたWebゲートにアクセスします。セキュリティの制約に対処するために、WebCenter Sitesドメインに資格証明を追加する必要があります。
   1. wlst.shスクリプトでWebLogic Scripting Toolを起動します。
      cd ORACLE_HOME/oracle_common/common/bin/./wlst.sh
   2. WebCenter Sitesドメインの管理サーバーに接続します。
      connect('user-name','password','sites-host:admin-port')
   3. 権限を付与します。
      grantPermission(codeBaseURL="file:/scratch/idc/newoam/rend/Oracle_Home/user_projects/domains/renddomain/servers/wcsites_server1/tmp/_WL_user/oamtoken/-", permClass="oracle.security.jps.service.credstore.CredentialAccessPermission",permTarget="context=SYSTEM,mapName=OAMAgent,keyName=*",permActions="*")
      基本的に、前述のパスは、WebLogic Serverのoamtoken.warアプリケーションが展開されている場所へのパスです。
   4. ターゲットWebCenter Sites管理対象サーバーを再起動します。
10. (オプション) WebCenter SitesとOracle Access Managerの間の信頼が確立していない場合は、WebCenter SitesのWeb層の設定を次のように変更します。
    1. Oracle Access Managerコンソールにログインします。
    2. Webゲートの認可ポリシー(保護されたリソースのポリシーの下)の「レスポンス」タブに移動します。
    3. 「IDアサーション」チェック・ボックスを有効化(選択)します。
    4. 「適用」をクリックして、変更を保存します。
11. このWebCenter SitesインスタンスをホストしているWebLogic管理対象サーバーを再起動します。