| Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド リリース12.2.1.1 E77230-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド リリース12.2.1.1 E77230-01 |
|
|
前 |
次 |
この章では、Oracle HTTP Server WebGateを構成してOracle Access Managerでシングル・サインオンを有効化する方法について説明します。
jps-config.xmlファイルを構成して、これらの機能を有効化する必要があります。Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送するプラグインです。
Oracle Fusion Middleware 12cでは、WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。
WebGateの詳細は、『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録と管理に関する項を参照してください。
Oracle HTTP Server WebGateを構成するには、動作保証されたバージョンのOracle Access Managerをインストールして構成しておく必要があります。
このドキュメントの公開時点では、サポートされるOracle Access Managerバージョンは11gリリース2 (11.1.2.2)および11gリリース2 (11.1.2.3)です。最新の情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
注意:
本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。
Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。
Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境でのOracle Access Managerのデプロイの詳細は、ご使用のOracle Identity and Access Managementのバージョンのエンタープライズ・デプロイメント・ガイドを参照してください。
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlのシングル・サインオンを有効化するには、Oracle Access Managerで使用されているディレクトリ・サービス(Oracle Internet DirectoryやOracle Unified Directoryなど)に集中LDAPプロビジョニング済管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要なユーザーおよびグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の指示に従ってください。
WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次の手順を実行します。
次の手順では、OHS_ORACLE_HOMEやOHS_CONFIG_DIRなどのディレクトリ変数を、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。
Web層ドメインに対して完全バックアップを実行します。
ディレクトリを、Oracle HTTP Server Oracleホームの次の場所に変更します。
cd OHS_ORACLE_HOME/webgate/ohs/tools/deployWebGate/
次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。
./deployWebGateInstance.sh -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME
deployWebGateInstanceコマンドによってwebgateディレクトリとサブディレクトリが作成されたことを確認します。
ls -lart OHS_CONFIG_DIR/webgate/
total 16
drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 .
drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
次のコマンドを実行し、LD_LIBRARY_PATH環境変数にOHS_ORACLE_HOME/libディレクトリ・パスが含まれるようにします。
export LD_LIBRARY_PATH=OHS_ORACLE_HOME/lib
LD_LIBRARY_PATHがすでに設定されていることを確認するには、次のコマンドを実行します。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib
ディレクトリを次のディレクトリに変更します。
OHS_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
次のコマンドをInstallToolsディレクトリから実行します。
./EditHttpConf -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME -o output_file_name
注意:
-oh OHS_ORACLE_HOMEおよび-o output_file_nameパラメータはオプションです。
このコマンドは、次の内容を実行します。
Oracle HTTP Server Oracleホームのapache_webgate.templateファイルをOracle HTTP Serverの構成ディレクトリの新しいwebgate.confファイルにコピーします。
httpd.confファイルに1行追加して更新し、webgate.confが含まれるようにします。
WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.confですが、コマンドにoutput_file引数を使用して、カスタム名を使用できます。
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
詳細は、以下のトピックを参照してください。
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれか1つで実行できます。
Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。
Oracle Access Managerサーバー管理者からRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
サーバー管理者によって提供されたRREG.tar.gzファイルを展開します。
次に例を示します。
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。
RREG_HOME/bin/oamreg.sh
この例では、RREG_Homeは、RREGアーカイブの内容を展開したディレクトリです。
「OAM11gRequest.xmlファイルの標準プロパティの更新」の手順を使用して、OAM11GRequest.xmlファイルを更新し、完了したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。
その後、Oracle Access Managerサーバー管理者は、「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、RREGツールを実行し、AgentID_response.xmlファイルを生成します。
Oracle Access Managerサーバー管理者から、AgentID_response.xmlファイルが送信されます。
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、クライアント・システムで、AgentID_response.xmlファイルでRREGツールを実行し、必要なアーティファクトとファイルを生成します。
WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xmlファイルで必要なプロパティを更新しておく必要があります。
注意:
提供されたXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドにデフォルト値が使用される簡略バージョン(OAM11gRequest_short.xml)を使用できます。
注意:
プライマリ・サーバー・リストでは、OAMサーバーのデフォルト名はOAM_SERVER1およびOAM_SERVER2と示されます。サーバー名が環境で変更された場合、リストでこれらの名前が変更されます。このタスクを実行するには、次のようにします。
インバンド・モードを使用している場合は、ディレクトリを、ディレクトリ内の次の場所に変更します。
OAM_ORACLE_HOME/oam/server/rreg/input
アウトオブバンド・モードを使用している場合は、ディレクトリを、RREGアーカイブを解凍した場所に変更します。
OAM11gRequest.xmlファイル・テンプレートのコピーを作成します。
ファイルにリストされたプロパティを確認して、OAM11GRequest.xmlファイルのコピーを更新します。これで、プロパティが環境固有のホスト名および他の値を参照するようになります。
| OAM11gRequest.xml プロパティ | 設定内容 |
|---|---|
serverAddress |
Oracle Access Managerドメイン内の管理サーバーのホストおよびポート。 |
agentName |
エージェントのカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。 |
security |
Oracle Access Managerサーバーのセキュリティ・モード。オープン・モード、簡易モードまたは証明書モードを指定します。 エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどの場合でオープン・モードを使用しないでください。 証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。 |
cachePragmaHeader |
private |
cacheControlHeader |
private |
ipValidation |
0 <ipValidation>0<ipValidation> |
ipValidationExceptions |
フロントエンドのロード・バランサのIPアドレス。次に例を示します。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation> |
agentBaseUrl |
Oracle HTTP Server 12c WebGateがインストールされているマシンの、ホストとポート。 |
OAM11gRequest.xmlファイルの特定のセクションを使用して識別します。URLを識別する手順は次のとおりです。次のトピックでは、RREGツールを実行してOracle Access ManagerにOracle HTTP Server WebGateを登録する方法について説明します。
RREGツールをインバンド・モードで実行する手順は次のとおりです。
RREGホーム・ディレクトリに移動します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
RREG_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。
RREGホーム・ディレクトリで、binディレクトリに移動します。
cd RREG_HOME/bin/
ファイルを実行できるように、oamreg.shコマンドの権限を設定します。
chmod +x oamreg.sh
次のコマンドを実行します。
./oamreg.sh inband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
編集されたOAM11GRequest.xmlファイルがRREG_HOME/inputディレクトリに配置されていることが前提となります。
このコマンドの出力は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例はRREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GWCCDomainRequest.xml Enter admin username:weblogic_idm Username: weblogic_idm Enter admin password: Do you want to enter a Webgate password?(y/n): n Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WCC1221_EDG_AGENT URL String:null Registering in Mode:inband Your registration request is being sent to the Admin server at: http://host1.example.com:7001 ---------------------------------------- Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Inband registration process completed successfully! Output artifacts are created in the output folder.
WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。
編集されたOAM11GRequest.xmlファイルは、RREG_HOME/inputディレクトリに配置されています。
RREGツールでは、このコマンドの出力(AgentID_response.xmlファイル)が次のディレクトリに保存されます。
RREG_HOME/output/
Oracle Access Managerサーバー管理者は、AgentID_response.xmlをOAM11GRequest.xmlファイルを提供したユーザーに送信できます。
Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例の説明は、次のとおりです。
RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。
Oracle Access Managerサーバー管理者から提供されたAgentID_response.xmlファイルは、RREG_HOME/inputディレクトリにあります。
RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。
RREG_HOME/output/
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーの間の通信に使用しているセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信のセキュア設定に関する項を参照してください。
この項のRREG_HOMEは、RREGツールを実行したディレクトリのパスで置き換える必要があることに注意してください。これは通常、Oracle Access Managerサーバーの次のディレクトリまたはRREGアーカイブを解凍したディレクトリになります(アウトオブバンド・モードを使用している場合)。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表は、Oracle Access Managerのセキュリティ・レベルにかかわらず、RREGツールによって常に生成されるアーティファクトを示しています。
| ファイル | 場所 |
|---|---|
cwallet.sso |
RREG_HOME/output/Agent_ID/ |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表は、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルを示しています。
| ファイル | 場所 |
|---|---|
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
password.xml |
RREG_HOME/output/Agent_ID/ |
password.xmlファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。
RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。
Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。
注意:
エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。
オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。
証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。
| ファイル | OPENモードを使用する場合の場所 | SIMPLEモードを使用する場合の場所 | CERTモードを使用する場合の場所 |
|---|---|---|---|
wallet/cwallet.sso |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet/注意: デフォルトでは、ウォレット・フォルダは使用できません。ウォレット・フォルダを作成します。 |
OHS_CONFIG_DIR/webgate/config/wallet/ |
ObAccessClient.xml |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
password.xml |
N/A | OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_key.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_cert.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
注意:
ObAccessClient.xmlをWEBHOST1およびWEBHOST2に再デプロイする必要がある場合は、サーバーからObAccessClient.xmlのキャッシュ・コピーを削除します。WEBHOST1のキャッシュの場所は次のとおりです。OHS_DOMAIN_HOME/servers/ohs1/cache/
WEBHOST2上の2番目のOracle HTTP Serverインスタンスでも同様の手順を実行する必要があります。
OHS_DOMAIN_HOME/servers/ohs2/cache/
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Server管理者ガイド』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、『Oracle HTTP Server管理者ガイド』のFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
次のトピックでは、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従って、LDAPオーセンティケータを構成済であることが前提となります。LDAP認証プロバイダをまだ作成していない場合は、作成してからこの項を読み進めてください。
まず、次の関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.propertiesファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xmlファイルを構成して、これらの機能を有効化する必要があります。
jps-config.xmlファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。DOMAIN_HOME/config/fmwconfig/jps-config.xml
注意:
ドメインレベルのjps-config.xmlを、カスタム・アプリケーションとともにデプロイされるjps-config.xmlと混同しないでください。
