Oracle® Fusion Middleware Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド リリース12.2.1.1 E77232-01 |
|
前 |
次 |
この章では、Oracle HTTP Server WebGateを構成して、Oracle Access Managerのシングル・サインオンを有効にする方法を説明します。
jps-config.xml
ファイルを構成する必要があります。Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle Fusion Middleware 12cでは、WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。
WebGateの詳細は、Oracle Access Management管理者ガイドのOAM 11gエージェントの登録と管理に関する項を参照してください。
Oracle HTTP Server WebGateを構成するには、Oracle Access Managerの認定バージョンをインストールして構成しておく必要があります。
このドキュメントの公開時点では、サポートされるOracle Access Managerバージョンは11gリリース2 (11.1.2.2)および11gリリース2 (11.1.2.3)です。最新情報は、「Oracle Fusion Middlewareのサポートされるシステム構成」ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
注意:
本番環境では、エンタープライズ・デプロイメントをホストするマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracle Help Centerの「Middlewareドキュメント」にあるOracle Identity and Access Managementの最新ドキュメントを参照してください。
Oracle HTTP Server WebGateを構成して、エンタープライズ・デプロイメントのシングル・サインオンを有効にする場合は、この項に示す前提条件を検討してください。
Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境にOracle Access Managerをデプロイする方法の詳細は、ご使用バージョンに対応する『Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlでシングル・サインオンを有効にするには、集中管理型LDAPでプロビジョニングされた管理ユーザーをOracle Access Managerが使用しているディレクトリ・サービス(たとえば、Oracle Internet DirectoryまたはOracle Unified Directory)に追加する必要があります。LDAPディレクトリに追加する必須ユーザーおよびグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順を参照してください。
次の手順を実行して、WEBHOST1とWEBHOST2の両方でOracle Access Manager用のOracle HTTP Server 12c WebGateを構成します。
次の手順では、ディレクトリ変数(OHS_ORACLE_HOMEやOHS_CONFIG_DIRなど)を「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。
Web層ドメインの完全バックアップを実行します。
Oracle HTTP Server Oracleホームの次の場所に、ディレクトリを変更します。
cd
OHS_ORACLE_HOME
/webgate/ohs/tools/deployWebGate/
次のコマンドを実行して、WebGateインスタンスのディレクトリを作成し、OHSインスタンスでのWebGateログインを有効にします。
./deployWebGateInstance.sh -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME
webgate
ディレクトリおよびサブディレクトリがdeployWebGateInstance
コマンドによって作成されたことを確認します。
ls -lart OHS_CONFIG_DIR/webgate/
total 16
drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 .
drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
次のコマンドを実行し、LD_LIBRARY_PATH
環境変数にOHS_ORACLE_HOME/lib
ディレクトリ・パスが含まれるようにします。
export LD_LIBRARY_PATH=OHS_ORACLE_HOME/lib
LD_LIBRARY_PATH
がすでに設定されていることを確認するには、次のコマンドを実行します。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib
ディレクトリを次のディレクトリに変更します。
OHS_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
次のコマンドをInstallTools
ディレクトリで実行します。
./EditHttpConf -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME -o output_file_name
注意:
-oh OHS_ORACLE_HOME
パラメータと-o output_file_name
パラメータはオプションです。
このコマンドは次の処理を実行します。
Oracle HTTP Server Oracleホームのapache_webgate.template
ファイルを、Oracle HTTP Server構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。
httpd.conf
ファイルを更新して、webgate.conf
を含むように1行を追加します。
WebGate構成ファイルを生成します。ファイルのデフォルト名はwebgate.conf
ですが、コマンドでoutput_file
引数を使用するとカスタム名を使用できます。
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
詳細は、Oracle Access Management管理者ガイドのコンソールを使用したOAMエージェントの登録に関する項を参照してください。
詳細は、以下のトピックを参照してください。
RREGツールを設定するには、次の手順を実行します。
アプリケーション層でOracle Access Managerホストの1つにログインします。
Oracle Access Manager Oracleホームの次のディレクトリに、ディレクトリを変更します。
注意:
場所はアウトオブバンド・モードの場合のみ必要です。OAM_ORACLE_HOME/oam/server/rreg/client
この例では、OAM_ORACLE_HOMEはOracle Access ManagerソフトウェアがインストールされたシステムのOracleホームです。
注意:
『Oracle Enterprise IDMデプロイメント・ガイド』が使用されている場合、OAM_ORACLE_HOMEは/u01/oracle/products/access/iam
になる可能性があります。注意:
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用して必要なファイルを生成し、WebGateをOracle Access Managerに登録できます。詳細は、「RREGのインバンドおよびアウトオブバンド・モードについて」を参照してください。RREG.tar.gz
ファイルを必要なディレクトリに解凍します。
解凍されたディレクトリから、oamreg.sh
ファイルを開き、次の環境変数を次のようにファイルに設定します。
OAM_REG_HOME
を、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。
JDK_HOME
を、サポート対象のJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
RREGツールはインバンドとアウトバンドのいずれかのモードで実行できます。
Oracle Access Managerサーバーにアクセスする権限があり、Oracle Access Manager Oracleホームから自分でRREGツールを実行するときは、インバンド・モードを使用します。RREGツールを実行した後で、生成されたアーティファクトとファイルをWebサーバー構成ディレクトリにコピーできます。
アウトオブバンド・モードを使用するのは、Oracle Access Managerサーバーに対する権限またはアクセス権がない場合です。たとえば、組織によっては、Oracle Access Managerサーバー管理者のみが、サーバーのディレクトリにアクセスして、サーバーで管理タスクを実行する権限を持ちます。アウトオブバンド・モードではプロセスが次のように処理されます。
Oracle Access Managerサーバー管理者により、RREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
サーバー管理者は、このファイルをRREGツールの検索と準備で説明されている場所で見つけることができます。
サーバー管理者から提供されたRREG.tar.gz
ファイルを解凍します。
次に例を示します。
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍したら、エージェントを登録するツールが次の場所に見つかります。
RREG_HOME
/bin/oamreg.sh
この例では、RREG_Home
はRREGアーカイブの内容を抽出したディレクトリです。
「OAM11gRequest.xmlファイルの標準プロパティの更新」の手順を使用して、OAM11GRequest.xml
ファイルを更新し、完了したOAM11GRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。
Oracle Access Managerサーバー管理者は、次に「RREGツールをアウトオブバンド・モードで実行」の手順を使用して、RREGツールを実行しAgentID_response.xml
ファイルを生成します。
Oracle Access Managerサーバー管理者からAgentID_response.xml
ファイルが送信されます。
「RREGツールをアウトオブバンド・モードで実行」の手順を使用し、AgentID_response.xml
ファイルに対してRREGツールを実行し、必要なアーティファクトとファイルをクライアント・システムで生成します。
WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xml
ファイルでいくつかの必須プロパティを更新する必要があります。
注意:
提供されたXMLファイルのほとんどのパラメータに関してデフォルト値の使用を計画している場合は、短いバージョンを使用できます(OAM11gRequest_short.xml
では、指定されていないすべてのフィールドでデフォルト値が使用されます)。
注意:
プライマリ・サーバー・リストでは、デフォルト名がOAM_SERVER1およびOAM_SERVER2 for OAMサーバーと示されています。サーバー名が環境で変更された場合、リストでこれらの名前を変更します。このタスクを実行するには、次のようにします。
インバンド・モードを使用している場合、ディレクトリ内の次の場所にディレクトリを変更します。
OAM_ORACLE_HOME/oam/server/rreg/input
アウトオブバンド・モードを使用している場合、RREGアーカイブを解凍した場所にディレクトリを変更します。
OAM11GRequest.xml
ファイル・テンプレートのコピーを作成します。
ファイルにリストされたプロパティを確認して、OAM11GRequest.xmlファイルのコピーを更新します。これで、プロパティが環境固有のホスト名および他の値を参照するようになります。
OAM11gRequest.xmlプロパティ | 設定内容 |
---|---|
serverAddress |
Oracle Access Managerドメインの管理サーバーのホストとポート。 |
agentName |
エージェントの任意のカスタム名。通常は、シングル・サインオンを構成しているFusion Middleware製品を示す名前を使用します。 |
applicationDomain |
シングル・サインオンの構成を行っているWeb層ホストとFMWコンポーネントを識別する値。 |
security |
Oracle Access Managerサーバーのセキュリティ・モード(オープン、簡易または証明書モード)。 エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化用のカスタム・セキュリティ証明書を実装する追加の要件が存在しないかぎり、簡易モードをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどのケースでオープン・モードは使用しないでください。 証明書モードの詳細またはOracle Access Managerでサポートされるセキュリティ・モードの概要は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信のセキュア設定に関する項 を参照してください。 |
cachePragmaHeader |
private |
cacheControlHeader |
private |
ipValidation |
0 <ipValidation>0<ipValidation> |
ipValidationExceptions |
フロントエンド・ロード・バランサのIPアドレス。次に例を示します。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation> |
agentBaseUrl |
Oracle HTTP Server 12c WebGateがインストールされているマシンのホストとポート。 |
OAM11gRequest.xml
ファイルの特定のセクションを使用します。URLを指定するには、次の手順に従います。ここでは、RREGツールを実行してOracle HTTP Server WebGateをOracle Access Managerに登録するための情報を説明します。
RREGツールをインバンド・モードで実行する手順は次のとおりです。
RREGホーム・ディレクトリに移動します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
RREG_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリはRREGアーカイブを解凍した場所です。
RREGホーム・ディレクトリで、binディレクトリに移動します。
cd RREG_HOME/bin/
ファイルを実行できるようにoamreg.sh
コマンドの権限を設定します。
chmod +x oamreg.sh
次のコマンドを実行します。
./oamreg.sh inband input/OAM11GRequest.xml
この例では、次のとおりです。
編集済のOAM11GRequest.xml
ファイルはRREG_HOME/input
ディレクトリにあると仮定します。
このコマンドの出力は次のディレクトリに保存されます。
RREG_HOME/output/
次の例はサンプルのRREGセッションです。
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GWCCDomainRequest.xml Enter admin username:weblogic_idm Username: weblogic_idm Enter admin password: Do you want to enter a Webgate password?(y/n): n Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WCC1221_EDG_AGENT URL String:null Registering in Mode:inband Your registration request is being sent to the Admin server at: http://host1.example.com:7001 ---------------------------------------- Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Inband registration process completed successfully! Output artifacts are created in the output folder.
WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するためには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例では、次のとおりです。
RREGアーカイブ・ファイルが解凍されたサーバー上の場所でRREG_HOMEを置き換えます。
編集済のOAM11GRequest.xml
ファイルはRREG_HOME/input
ディレクトリにあります。
RREGツールは、このコマンドの出力(AgentID_response.xml
ファイル)を次のディレクトリに保存します。
RREG_HOME/output/
この後で、Oracle Access Managerサーバー管理者は、OAM11GRequest.xml
ファイルを提供したユーザーにAgentID_response.xml
を送信できます。
Webサーバー・クライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例では、次のとおりです。
RREGアーカイブ・ファイルを解凍したクライアント・システム上の場所でRREG_HOMEを置き換えます。
AgentID_response.xml
ファイル(Oracle Access Managerサーバー管理者が提供)は、 RREG_HOME/inputディレクトリにあります。
RREGツールは、このコマンドの出力(WebGateソフトウェアを登録するために必要なアーティファクトとファイル)をクライアント・マシンの次のディレクトリに保存します。
RREG_HOME/output/
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバー間の通信で使用しているセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信のセキュア設定に関する項を参照してください。
このトピックでは、RREG_HOME
への参照が、RREGツールを実行したディレクトリへのパスに置き換えられる必要があります。通常はOracle Access Managerサーバーの次のディレクトリ、またはRREGアーカイブを解凍したディレクトリ(アウトオブバンド・モードを使用している場合)です。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表に、Oracle Access Managerセキュリティ・レベルにかかわらずRREGツールによって常に生成されるアーティファクトを示します。
ファイル | 場所 |
---|---|
cwallet.sso |
RREG_HOME/output/Agent_ID/ |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表には、Oracle Access ManagerでSIMPLEまたはCERTセキュリティ・レベルを使用する場合に追加作成される表を示します。
ファイル | 場所 |
---|---|
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
password.xml |
RREG_HOME/output/Agent_ID/ |
password.xml
ファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれることに注意してください。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_ID
ディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。
Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。場合によっては、存在していないディレクトリを作成する必要があります。たとえば、ウォレット・ディレクトリは構成ディレクトリ内に存在していないことがあります。
注意:
エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化用のカスタム・セキュリティ証明書を実装する追加の要件が存在しないかぎり、簡易モードをお薦めします。オープン・モードまたは証明書モードの使用に関する情報も便宜上ここに示します。
オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードは使用しないでください。
証明書モードの使用の詳細またはOracle Access Managerでサポートされるセキュリティ・モードの概要は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信のセキュア設定に関する項を参照してください。
ファイル | OPENモード使用時の場所 | SIMPLEモード使用時の場所 | CERTモード使用時の場所 |
---|---|---|---|
wallet/cwallet.sso |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet/ 注意: デフォルトでは、walletフォルダは使用できません。walletフォルダを作成します。 |
OHS_CONFIG_DIR/webgate/config/wallet/ |
ObAccessClient.xml |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
password.xml |
該当なし | OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_key.pem |
該当なし | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_cert.pem |
該当なし | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
注意:
ObAccessClient.xml
をWEBHOST1
およびWEBHOST2
に再デプロイする必要がある場合は、サーバーからキャッシュしたObAccessClient.xml
のコピーを削除します。WEBHOST1
上のキャッシュ先は次のとおりです。OHS_DOMAIN_HOME/servers/ohs1/cache/
WEBHOST2
上の2番目のOracle HTTP Serverインスタンスでも同様の手順を実行する必要があります。
OHS_DOMAIN_HOME/servers/ohs2/cache/
Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Server管理者ガイドのWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、Oracle HTTP Server管理者ガイドのFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
ここでは、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってLDAPオーセンティケータをすでに構成していると仮定しています。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。
まず、念のために、次の関連する構成ファイルをバックアップします。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
一部のOracle Fusion Middleware管理コンソールは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework (Oracle ADF)セキュリティを使用します。これらのアプリケーションはユーザー認証のためにOracle Platform Security Services (OPSS) SSOを利用できますが、これらの機能を有効にするために、まずドメインレベルのjps-config.xml
ファイルを構成する必要があります。
jps-config.xml
ファイルは、Oracle Fusion Middlewareドメインを作成すると次の場所に配置されます。DOMAIN_HOME/config/fmwconfig/jps-config.xml
注意:
ドメインレベルのjps-config.xml
と、カスタム・アプリケーションでデプロイされるjps-config.xml
を混同しないでください。