19 エンタープライズ・デプロイメント用のシングル・サインオンの構成

Oracle Access Managerでシングル・サインオンを有効化するために、Oracle HTTP Server WebGateを構成する必要があります。

• Oracle HTTP Server WebGateについて
  Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
• Oracle HTTP Server Webgateの構成の一般的な前提条件
  Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。
• OHS 12c Webgateの構成に関するエンタープライズ・デプロイメントの前提条件
  Oracle HTTP Server WebGateを構成して、エンタープライズ・デプロイメントのシングル・サインオンを有効にする場合は、この項に示す前提条件を検討してください。
• エンタープライズ・デプロイメントでOracle HTTP Server 12c WebGateの構成
  WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するために、次の手順を実行する必要があります。
• Oracle Access ManagerへのOracle HTTP Server WebGateの登録
  Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
• WebLogic Server認証プロバイダの設定
  WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
• Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成
  一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションはユーザー認証のためにOracle Platform Security Services (OPSS) SSOを利用できますが、これらの機能を有効にするために、まずドメインレベルのjps-config.xmlファイルを構成する必要があります。

19.1 Oracle HTTP Server Webgateについて

Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。

Oracle Fusion Middleware 12cでは、WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。

WebGateの詳細は、Oracle Access Management管理者ガイドのOAM 11gエージェントの登録と管理に関する項を参照してください。

19.2 Oracle HTTP Server Webgateの構成の一般的な前提条件

Oracle HTTP Server WebGateを構成するには、Oracle Access Managerの認定バージョンをインストールして構成しておく必要があります。

このドキュメントの公開時点では、サポートされるOracle Access Managerバージョンは11gリリース2 (11.1.2.2)および11gリリース2 (11.1.2.3)です。最新情報は、「Oracle Fusion Middlewareのサポートされるシステム構成」ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。

注意:

本番環境では、エンタープライズ・デプロイメントをホストするマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。

Oracle Access Managerの詳細は、Oracle Help Centerの「Middlewareドキュメント」にあるOracle Identity and Access Managementの最新ドキュメントを参照してください。

19.3 OHS 12c WebGateを構成するためのエンタープライズ・デプロイメントの前提条件

Oracle HTTP Server WebGateを構成して、エンタープライズ・デプロイメントのシングル・サインオンを有効にする場合は、この項に示す前提条件を検討してください。

• Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境にOracle Access Managerをデプロイする方法の詳細は、ご使用バージョンに対応する『Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。

• WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlでシングル・サインオンを有効にするには、集中管理型LDAPでプロビジョニングされた管理ユーザーをOracle Access Managerが使用しているディレクトリ・サービス(たとえば、Oracle Internet DirectoryまたはOracle Unified Directory)に追加する必要があります。LDAPディレクトリに追加する必須ユーザーおよびグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順を参照してください。

19.4 エンタープライズ・デプロイメントでのOracle HTTP Server 12c WebGateの構成

WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するために、次の手順を実行する必要があります。

次の手順では、ディレクトリ変数(OHS_ORACLE_HOMEやOHS_CONFIG_DIRなど)を「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。

1. Web層ドメインの完全バックアップを実行します。

2. Oracle HTTP Server Oracleホームの次の場所に、ディレクトリを変更します。

   cd OHS_ORACLE_HOME/webgate/ohs/tools/deployWebGate/

3. 次のコマンドを実行して、WebGateインスタンスのディレクトリを作成し、OHSインスタンスでのWebGateログインを有効にします。

   ./deployWebGateInstance.sh -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME

4. webgateディレクトリおよびサブディレクトリがdeployWebGateInstanceコマンドによって作成されたことを確認します。

   ls -lat OHS_CONFIG_DIR/webgate/
   total 16
   drwxr-x---+ 8 orcl oinstall 20 Oct  2 07:14 ..
   drwxr-xr-x+ 4 orcl oinstall  4 Oct  2 07:14 .
   drwxr-xr-x+ 3 orcl oinstall  3 Oct  2 07:14 tools
   drwxr-xr-x+ 3 orcl oinstall  4 Oct  2 07:14 config
   

5. 次のコマンドを実行し、LD_LIBRARY_PATH環境変数にOHS_ORACLE_HOME/libディレクトリ・パスが含まれるようにします。

   export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib

6. ディレクトリを次のディレクトリに変更します。

   OHS_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools

7. 次のコマンドをInstallToolsディレクトリで実行します。

   ./EditHttpConf -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME -o output_file_name

   注意:

   -oh OHS_ORACLE_HOMEパラメータと-o output_file_nameパラメータはオプションです。

   このコマンドは次の処理を実行します。

   • Oracle HTTP Server Oracleホームのapache_webgate.templateファイルを、Oracle HTTP Server構成ディレクトリの新しいwebgate.confファイルにコピーします。

   • httpd.confファイルを更新して、webgate.confを含むように1行を追加します。

   • WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.confですが、コマンドに-o output_file_name引数を使用して、カスタム名を使用できます。

19.5 Oracle Access ManagerでのOracle HTTP Server WebGateの登録

Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。

詳細は、Oracle Access Management管理者ガイドのコンソールを使用したOAMエージェントの登録に関する項を参照してください。

• RREGツールの場所と準備
  
• RREGのインバンドおよびアウトオブバンド・モードについて
  
• OAM11gRequest.xmlファイルの標準プロパティの更新
  
• エンタープライズ・デプロイメントの保護リソース、パブリック・リソースおよび除外リソースの更新
  
• RREGツールの実行
  
• RREGによって生成されるファイルおよびアーティファクト
  
• 生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
  
• Oracle HTTP Serverインスタンスの再起動
  

19.5.1 RREGツールの場所と準備

RREGツールを設定するには、次の手順を実行します。

1. アプリケーション層でOracle Access Managerホストの1つにログインします。

2. Oracle Access Manager Oracleホームの次のディレクトリに、ディレクトリを変更します。

   注意:

   場所はアウトオブバンド・モードの場合のみ必要です。

   OAM_ORACLE_HOME/oam/server/rreg/client

   この例では、OAM_ORACLE_HOMEはOracle Access ManagerソフトウェアがインストールされたシステムのOracleホームです。

   注意:

   『Oracle Enterprise IDMデプロイメント・ガイド』が使用されている場合、OAM_ORACLE_HOMEは/u01/oracle/products/access/iamになる可能性があります。

   注意:

   Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用して必要なファイルを生成し、WebGateをOracle Access Managerに登録できます。詳細は、「RREGのインバンドおよびアウトオブバンド・モードについて」を参照してください。

3. RREG.tar.gzファイルを必要なディレクトリに解凍します。

4. 解凍されたディレクトリから、oamreg.shファイルを開き、次の環境変数を次のようにファイルに設定します。

   • OAM_REG_HOMEを、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。

     JDK_HOMEを、サポート対象のJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。

19.5.2 RREGのインバンドおよびアウトオブバンド・モードについて

RREGツールはインバンドとアウトバンドのいずれかのモードで実行できます。

Oracle Access Managerサーバーにアクセスする権限があり、Oracle Access Manager Oracleホームから自分でRREGツールを実行するときは、インバンド・モードを使用します。RREGツールを実行した後で、生成されたアーティファクトとファイルをWebサーバー構成ディレクトリにコピーできます。

アウトオブバンド・モードを使用するのは、Oracle Access Managerサーバーに対する権限またはアクセス権がない場合です。たとえば、組織によっては、Oracle Access Managerサーバー管理者のみが、サーバーのディレクトリにアクセスして、サーバーで管理タスクを実行する権限を持ちます。アウトオブバンド・モードではプロセスが次のように処理されます。

1. Oracle Access Managerサーバー管理者により、RREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。

   サーバー管理者は、このファイルをRREGツールの検索と準備で説明されている場所で見つけることができます。

2. サーバー管理者から提供されたRREG.tar.gzファイルを解凍します。

   次に例を示します。

   gunzip RREG.tar.gz

   tar -xvf RREG.tar

   RREGアーカイブを解凍したら、エージェントを登録するツールが次の場所に見つかります。

   RREG_HOME/bin/oamreg.sh

   この例では、RREG_HomeはRREGアーカイブの内容を抽出したディレクトリです。

3. 「OAM11gRequest.xmlファイルの標準プロパティの更新」の手順を使用して、OAM11GRequest.xmlファイルを更新し、完了したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。

4. Oracle Access Managerサーバー管理者は、次に「RREGツールをアウトオブバンド・モードで実行」の手順を使用して、RREGツールを実行しAgentID_response.xmlファイルを生成します。

5. Oracle Access Managerサーバー管理者からAgentID_response.xmlファイルが送信されます。

6. 「RREGツールをアウトオブバンド・モードで実行」の手順を使用し、AgentID_response.xmlファイルに対してRREGツールを実行し、必要なアーティファクトとファイルをクライアント・システムで生成します。

19.5.3 OAM11gRequest.xmlファイルの標準プロパティの更新

WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xmlファイルでいくつかの必須プロパティを更新する必要があります。

注意:

提供されたXMLファイルのほとんどのパラメータに関してデフォルト値の使用を計画している場合は、短いバージョンを使用できます(OAM11gRequest_short.xmlでは、指定されていないすべてのフィールドでデフォルト値が使用されます)。

注意:

プライマリ・サーバー・リストでは、デフォルト名がOAM_SERVER1およびOAM_SERVER2 for OAMサーバーと示されています。サーバー名が環境で変更された場合、リストでこれらの名前を変更します。

このタスクを実行するには、次のようにします。

1. インバンド・モードを使用している場合、ディレクトリをいずれかのOAMサーバー上の次の場所に変更します。

   OAM_ORACLE_HOME/oam/server/rreg/input

   アウトオブバンド・モードを使用している場合は、ディレクトリを、WEBHOST1サーバー上のRREGアーカイブを解凍した場所に変更します。

2. OAM11GRequest.xmlファイル・テンプレートのコピーを、環境に固有の名前で作成します。

   cp OAM11GRequest.xml OAM11GRequest_edg.xml

3. ファイルにリストされているプロパティを確認し、OAM11GRequest.xmlファイルのコピーを更新して、プロパティが環境に固有のホスト名およびその他の値を参照するようにします。

OAM11gRequest.xmlプロパティ	設定内容
serverAddress	Oracle Access Managerドメインの管理サーバーのホストとポート。
agentName	エージェントの任意のカスタム名。通常は、シングル・サインオンを構成しているFusion Middleware製品を示す名前を使用します。
applicationDomain	シングル・サインオンの構成を行っているWeb層ホストとFMWコンポーネントを識別する値。
security	Oracle Access Managementサーバーで構成されているセキュリティ・モードに設定する必要があります。これは、open、simple、certificateの3つのモードのいずれかになります。 注意: エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化用のカスタム・セキュリティ証明書を実装する追加の要件が存在しないかぎり、簡易モードをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどのケースでオープン・モードは使用しないでください。 証明書モードの詳細またはOracle Access Managerでサポートされるセキュリティ・モードの概要は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信のセキュア設定に関する項 を参照してください。
cachePragmaHeader	private
cacheControlHeader	private
ipValidation	0 <ipValidation>0<ipValidation>
ipValidationExceptions	フロントエンド・ロード・バランサのIPアドレス。次に例を示します。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation>
agentBaseUrl	Oracle HTTP 12c WebGateがインストールされているWEBHOSTnマシンの前面にあるフロントエンド・ロード・バランサVIPのホストとポートを含む完全修飾URL。 次に例を示します。       <agentBaseUrl>             https://wcp.example.com:443             </agentBaseUrl>
virtualHost	管理VIPのSSO保護など、agentBaseUrl以上のものを保護するときは、trueに設定します。
hostPortVariationsList	WebGateで保護されるロード・バランサURLごとに、hostPortVariationのホストおよびポート要素を追加します。 次に例を示します。 <hostPortVariationsList> <hostPortVariations> <host>wcpinternal.example.com</host>                    <port>80</port>              </hostPortVariations>              <hostPortVariations>                    <host>admin.example.com</host>                    <port>80</port>              </hostPortVariations>

19.5.4 エンタープライズ・デプロイメントの保護リソース、パブリック・リソースおよび除外リソースの更新

Oracle Fusion Middleware環境でシングル・サインオンを設定するとき、Oracle Access Managerでシングル・サインオンによって保護する一連のURLを指定します。これらを指定するには、OAM11gRequest.xmlファイルの特定のセクションを使用します。URLを指定するには、次の手順に従います。

1. 編集するOAM11GRequest.xmlファイルをまだ開いていない場合は、ファイルを探してテキスト・エディタで開きます。

   詳細は、次を参照してください。

   • RREGツールの場所と準備

   • OAM11gRequest.xmlファイルの標準プロパティの更新

2. ファイルのサンプル・エントリを削除してから、次の例に示すように、保護リソース、パブリック・リソースおよび除外リソースをファイルの該当するセクションに入力します。

   注意:

   Oracle Access Manager 11gリリース2 (11.1.2.2)以上を使用している場合、Oracle Access Managerの前のバージョンとの下位互換性のためにワイルドカード構文のエントリ(.../*)がこの例に含められます。

   <protectedResourcesList>
           <resource>/adfAuthentication</resource>
           <resource>/ibr/adfAuthentication</resource>
           <resource>/imaging/faces</resource>
           <resource>/em</resource>
           <resource>/console</resource>
           <resource>/DefaultToDoTaskFlow</resource>
           <resource>/sdpmessaging/userprefs-ui</resource>
           <resource>/integration/worklistapp</resource>
           <resource>/workflow/sdpmessagingsca-ui-worklist</resource>
           <resource>/soa/composer</resource>
           <resource>/soa-infra/deployer</resource>
           <resource>/soa-infra/events/edn-db-log</resource>
           <resource>/soa-infra/cluster/info</resource>
           <resource>/soa-infra</resource>
           <resource>/dc-console/adfAuthentication</resource>
           <resource>/dc-client/adfAuthentication</resource>
           <resource>/wcc/adfAuthentication</resource>
       </protectedResourcesList>
       <publicResourcesList>
           <resource>/cs</resource>
           <resource>/_ocsh</resource>
           <resource>/_dav</resource>
           <resource>/imaging</resource>
           <resource>/soa-infra/directWSDL</resource>
           <resource>/dc-console</resource>
           <resource>/wcc</resource>
      </publicResourcesList>
      <excludedResourcesList>
           <resource>/wsm-pm</resource>
           <resource>/soa-infra/services</resource>
           <resource>/ucs/messaging/webservice</resource>
           <resource>/imaging/ws</resource>
           <resource>/idcnativews</resource>
           <resource>/imaging/lib</resource>
           <resource>/cs/common/idcapplet.jar</resource>
           <resource>/cs/images</resource>
           <resource>/dc-client</resource>
           <resource>/axf-ws</resource>
      </excludedResourcesList>

3. OAM11GRequest.xmlファイルを保存して閉じます。

19.5.5 RREGツールの実行

ここでは、RREGツールを実行してOracle HTTP Server WebGateをOracle Access Managerに登録するための情報を説明します。

• RREGツールをインバンド・モードで実行
  
• RREGツールをアウトオブバンド・モードで実行
  

19.5.5.1 RREGツールをインバンド・モードで実行

RREGツールをインバンド・モードで実行する手順は次のとおりです。

1. RREGホーム・ディレクトリに移動します。

   インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。

   OAM_ORACLE_HOME/oam/server/rreg

   アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリはRREGアーカイブを解凍した場所です。

2. RREGホーム・ディレクトリで、binディレクトリに移動します。

   cd RREG_HOME/bin/

3. ファイルを実行できるようにoamreg.shコマンドの権限を設定します。

   chmod +x oamreg.sh

4. 次のコマンドを実行します。

   ./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml

この例では、次のとおりです。

• 編集済のOAM11GRequest.xmlファイルはRREG_HOME/inputディレクトリにあると仮定します。

• このコマンドの出力は次のディレクトリに保存されます。

  RREG_HOME/output/

次の例はサンプルのRREGセッションです。

Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are: 
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_idm
Enter admin password: 
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n

----------------------------------------
Request summary:
OAM11G Agent Name:WCC1221_EDG_AGENT
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------

Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.

19.5.5.2 RREGツールをアウトオブバンド・モードで実行

WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するためには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml

この例では、次のとおりです。

• RREGアーカイブ・ファイルが解凍されたサーバー上の場所でRREG_HOMEを置き換えます。

• 編集済のOAM11GRequest.xmlファイルはRREG_HOME/inputディレクトリにあります。

• RREGツールは、このコマンドの出力(AgentID_response.xmlファイル)を次のディレクトリに保存します。

  RREG_HOME/output/

  この後で、Oracle Access Managerサーバー管理者は、OAM11GRequest.xmlファイルを提供したユーザーにAgentID_response.xmlを送信できます。

Webサーバー・クライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml

この例では、次のとおりです。

• RREGアーカイブ・ファイルを解凍したクライアント・システム上の場所でRREG_HOMEを置き換えます。

• AgentID_response.xmlファイル(Oracle Access Managerサーバー管理者が提供)は、 RREG_HOME/inputディレクトリにあります。

• RREGツールは、このコマンドの出力(WebGateソフトウェアを登録するために必要なアーティファクトとファイル)をクライアント・マシンの次のディレクトリに保存します。

  RREG_HOME/output/

19.5.6 RREGによって生成されるファイルおよびアーティファクト

RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバー間の通信で使用しているセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信のセキュア設定に関する項を参照してください。

このトピックでは、RREG_HOMEへの参照が、RREGツールを実行したディレクトリへのパスに置き換えられる必要があります。通常はOracle Access Managerサーバーの次のディレクトリ、またはRREGアーカイブを解凍したディレクトリ(アウトオブバンド・モードを使用している場合)です。

OAM_ORACLE_HOME/oam/server/rreg/client

次の表に、Oracle Access Managerセキュリティ・レベルにかかわらずRREGツールによって常に生成されるアーティファクトを示します。

ファイル	場所
cwallet.sso	RREG_HOME/output/Agent_ID/ - WebGate 11g (11.1.2.3)の場合。 RREG_HOME/output/Agent_ID/wallet - WebGate 11g (11.1.2.2)およびOHS 12cの場合。
ObAccessClient.xml	RREG_HOME/output/Agent_ID/

次の表には、Oracle Access ManagerでSIMPLEまたはCERTセキュリティ・レベルを使用する場合に追加作成される表を示します。

ファイル	場所
aaa_key.pem	RREG_HOME/output/Agent_ID/
aaa_cert.pem	RREG_HOME/output/Agent_ID/
password.xml	RREG_HOME/output/Agent_ID/

password.xmlファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれることに注意してください。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。

RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。

19.5.7 生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー

RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。

Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。

次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。場合によっては、存在していないディレクトリを作成する必要があります。たとえば、ウォレット・ディレクトリは構成ディレクトリ内に存在していないことがあります。

注意:

エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化用のカスタム・セキュリティ証明書を実装する追加の要件が存在しないかぎり、簡易モードをお薦めします。オープン・モードまたは証明書モードの使用に関する情報も便宜上ここに示します。

オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードは使用しないでください。

証明書モードの使用の詳細またはOracle Access Managerでサポートされるセキュリティ・モードの概要は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信のセキュア設定に関する項を参照してください。

ファイル	OPENモード使用時の場所	SIMPLEモード使用時の場所	CERTモード使用時の場所
wallet/cwallet.sso	OHS_CONFIG_DIR/webgate/config/wallet	OHS_CONFIG_DIR/webgate/config/wallet/ 注意: デフォルトでは、walletフォルダは使用できません。OHS_CONFIG_DIR/webgate/config/の下にwalletフォルダを作成します。	OHS_CONFIG_DIR/webgate/config/wallet/
ObAccessClient.xml	OHS_CONFIG_DIR/webgate/config	OHS_CONFIG_DIR/webgate/config/	OHS_CONFIG_DIR/webgate/config/
password.xml	該当なし	OHS_CONFIG_DIR/webgate/config/	OHS_CONFIG_DIR/webgate/config/
aaa_key.pem	該当なし	OHS_CONFIG_DIR/webgate/config/simple/	OHS_CONFIG_DIR/webgate/config/
aaa_cert.pem	該当なし	OHS_CONFIG_DIR/webgate/config/simple/	OHS_CONFIG_DIR/webgate/config/

注意:

ObAccessClient.xmlをWEBHOST1およびWEBHOST2に再デプロイする必要がある場合は、サーバーからキャッシュしたObAccessClient.xmlのコピーを削除します。WEBHOST1上のキャッシュ先は次のとおりです。

OHS_DOMAIN_HOME/servers/ohs1/cache/

WEBHOST2上の2番目のOracle HTTP Serverインスタンスでも同様の手順を実行する必要があります。

OHS_DOMAIN_HOME/servers/ohs2/cache/

19.5.8 Oracle HTTP Serverインスタンスの再起動

Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle Fusion Middleware Oracle HTTP Serverの管理』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。

WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、『Oracle Fusion Middleware Oracle HTTP Serverの管理』のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。

19.6 WebLogic Server認証プロバイダの設定

WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。

ここでは、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってLDAPオーセンティケータをすでに構成していると仮定しています。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。

• 構成ファイルのバックアップ
  
• Oracle Access Manager IDアサーション・プロバイダの設定
  
• デフォルト・オーセンティケータの更新およびプロバイダ順序の設定
  

19.6.1 構成ファイルのバックアップ

まず、念のために、次の関連する構成ファイルをバックアップします。

ASERVER_HOME/config/config.xml
ASERVER_HOME/config/fmwconfig/jps-config.xml
ASERVER_HOME/config/fmwconfig/system-jazn-data.xml

管理サーバーのboot.propertiesファイルもバックアップします。

ASERVER_HOME/servers/AdminServer/security/boot.properties

19.6.2 Oracle Access Manager IDアサーション・プロバイダの設定

Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。

Oracle Access Manager IDアサーション・プロバイダを設定する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
2. 「ロックして編集」をクリックします。
3. 左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
4. myrealmというデフォルト・レルム・エントリをクリックします。
5. 「プロバイダ」タブをクリックします。
6. 「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
7. アサータに名前(OAM ID Asserterなど)を付け、「OK」をクリックします。
8. 新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
9. 制御フラグを「必須」に設定します。
10. 選択タイプで、「ObSSOCookie」および「OAM_REMOTE_USER」オプションがデフォルトで選択されていない場合は両方を選択します。
11. 「保存」をクリックして設定を保存します。
12. 「変更のアクティブ化」をクリックして変更を伝播します。

19.6.3 デフォルト・オーセンティケータの更新およびプロバイダ順序の設定

WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。

デフォルト・オーセンティケータを更新し、プロバイダの順序を設定する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
2. 「ロックして編集」をクリックします。
3. 左側のナビゲーションから「セキュリティ・レルム」を選択します。
4. myrealmというデフォルト・レルム・エントリをクリックします。
5. 「プロバイダ」タブをクリックします。
6. プロバイダの表から「DefaultAuthenticator」をクリックします。
7. 「制御フラグ」をSUFFICIENTに設定します。
8. 「保存」をクリックして設定を保存します。
9. ナビゲーション・ブレッドクラムから「プロバイダ」をクリックして、プロバイダのリストに戻ります。
10. 「並替え」をクリックします。
11. OAMアイデンティティ・アサーション・プロバイダが最初で、DefaultAuthenticatorプロバイダが最後になるように、プロバイダをソートします。

    表19-1 ソート順序

    ソート順序	プロバイダ	制御フラグ
    1	OAMIdentityAsserter	REQUIRED
    2	LDAP認証プロバイダ	SUFFICIENT
    3	DefaultAuthenticator	SUFFICIENT
    4	トラスト・サービス・アイデンティティ・アサータ	N/A
    5	DefaultIdentityAsserter	N/A

12. 「OK」をクリックします。
13. 「変更のアクティブ化」をクリックして変更を伝播します。
14. 該当する場合は、管理サーバー、管理対象サーバーおよびシステム・コンポーネントを再起動します。

19.7 Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成

一部のOracle Fusion Middleware管理コンソールは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework (Oracle ADF)セキュリティを使用します。これらのアプリケーションはユーザー認証のためにOracle Platform Security Services (OPSS) SSOを利用できますが、これらの機能を有効にするために、まずドメインレベルのjps-config.xmlファイルを構成する必要があります。

ドメインレベルのjps-config.xmlファイルは、Oracle Fusion Middlewareドメインを作成すると次の場所に配置されます。

DOMAIN_HOME/config/fmwconfig/jps-config.xml 

注意:

ドメインレベルのjps-config.xmlと、カスタム・アプリケーションでデプロイされるjps-config.xmlを混同しないでください。

OPSS構成を更新してOracle Access ManagerにSSOアクションを委任する手順は次のとおりです。

1. 次のディレクトリを変更します。

   cd ORACLE_COMMON_HOME/common/bin

2. WebLogic Server Scripting Tool (WLST)を起動します。

   ./wlst.sh

3. 次のWLSTコマンドを使用して管理サーバーに接続します。

   connect(‘admin_user’,’admin_password’,’admin_url’)

   次に例を示します。

   connect(‘weblogic_wcc’,’mypassword’,’t3://ADMINVHN:7001’)

4. 次のように、addOAMSSOProviderコマンドを実行します。

   addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html")

   次の表では、addOAMSSOProviderコマンドの各引数で予期される値を定義しています。

   引数	定義
   loginuri	ログイン・ページのURIを指定します 注意: ADFセキュリティが有効なアプリケーションの場合、loginuriパラメータに/context-root/adfAuthenticationを指定する必要があります。 次に例を示します。 /${app.context}/adfAuthentication 注意: ${app.context}は表示されているとおりに入力する必要があります。実行時に、アプリケーションによって変数が適切に置換されます。 手順を示します。 たとえば、ユーザーがOPSSの認証ポリシーで保護されているリソースにアクセスします。 ユーザーがまだ認証されていない場合、ADFはユーザーを'loginuri'で設定したURIにリダイレクトします。 Access Managerには、loginuriの値(例: /context-root/adfAuthentication)を保護するポリシーが存在する必要があります。 ADFがこのURIにリダイレクトすると、Access Managerにより「ログイン」ページが表示されます(このURI用のAccess Managerで構成された認証スキームにより異なる)。
   logouturi	ログアウト・ページのURIを指定します 注意: ADFセキュリティが有効なアプリケーションの場合、『Oracle Access Management管理者ガイド』の11g WebGateが関連するセッションの集中ログアウトの構成に関する項にあるログアウト・ガイドラインに基づいてlogouturiを構成する必要があります。 WebGate 11gを使用する場合、11g WebGateの管理者がlogouturiの値を検索する必要があります。 WebGate 10gを使用する場合、logouturiの値は/oamsso/logout.htmlにする必要があります。
   autologinuri	自動ログイン・ページのURIを指定します。これはオプションのパラメータです。

5. 管理サーバーとの接続を切断します。

   disconnect()

6. 管理サーバーとすべての管理対象サーバーを再起動します。