24 エンタープライズ・デプロイメントに対するシングル・サインオンの構成

Oracle Access Managerのシングル・サインオンを有効にするには、Oracle HTTP Server WebGateを構成する必要があります。

• Oracle HTTP Server Webゲートについて
  Oracle HTTP Server Webゲートは、HTTPリクエストを捕捉して認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
• Oracle HTTP Server Webゲートの構成の一般的な前提条件
  Oracle HTTP Server Webゲートを構成するには、事前に認定バージョンのOracle Access Managerをインストールおよび構成しておく必要があります。
• OHS 12c Webゲートを構成するためのエンタープライズ・デプロイメントの前提条件
  エンタープライズ・デプロイメントに対してシングル・サインオンが有効になるようOracle HTTP Server Webゲートを構成する場合、この項に示す前提条件を確認してください。
• エンタープライズ・デプロイメント用にOracle HTTP Server 12c Webゲートを構成
  WEBHOST1とWEBHOST2の両方でOracle Access Manager用Oracle HTTP Server 12c Webゲートを構成するには、次の手順を実行する必要があります。
• Oracle Access ManagerへのOracle HTTP Server Webゲートの登録
  Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebゲート・エージェントを登録できます。
• WebLogic Server認証プロバイダの設定
  WebLogic Server認証プロバイダを設定するには、構成ファイルのバックアップ、Oracle Access Manager IDアサーション・プロバイダの設定およびプロバイダの順序の設定を行います。
• Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成
  一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework(Oracle ADF)セキュリティを使用しています。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xmlファイルを構成して、これらの機能を有効にする必要があります。

24.1 Oracle HTTP Server Webゲートについて

Oracle HTTP Server Webゲートは、HTTPリクエストを捕捉して認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。

Oracle Fusion Middleware 12cでは、Webゲート・ソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。

Webゲートの詳細は、『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録および管理に関する項を参照してください。

24.2 Oracle HTTP Server Webゲートの構成の一般的な前提条件

Oracle HTTP Server Webゲートを構成するには、事前に認定バージョンのOracle Access Managerをインストールおよび構成しておく必要があります。

このドキュメントの公開時点でサポートされているOracle Access Managerのバージョンは、11gリリース2 (11.1.2.2)および11gリリース2 (11.1.2.3)です。最新情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。

注意:

本番環境では、Oracle Access Managerを、エンタープライズ・デプロイメントをホストしているマシンではなく独自の環境にインストールすることを強くお薦めします。

Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにあるOracle Identity and Access Managementの最新ドキュメントを参照してください。

24.3 OHS 12c Webゲートを構成するためのエンタープライズ・デプロイメントの前提条件

エンタープライズ・デプロイメントに対してシングル・サインオンが有効になるようOracle HTTP Server Webゲートを構成する場合、この項に示す前提条件を確認してください。

• Oracle Access Managerを可用性の高い安全な本番環境にデプロイすることをお薦めします。エンタープライズ環境へのOracle Access Managerのデプロイの詳細は、お使いのOracle Identity and Access Mangementバージョン向けのエンタープライズ・デプロイメント・ガイドを参照してください。

• WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlに対するシングル・サインオンを有効にするには、Oracle Access Managerが使用している(Oracle Internet DirectoryやOracle Unified Directoryなど)ディレクトリ・サービスに中心的なLDAPプロビジョニング管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要のあるユーザーとグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってください。

24.4 エンタープライズ・デプロイメント用にOracle HTTP Server 12c Webゲートを構成

WEBHOST1とWEBHOST2の両方でOracle Access Manager用のOracle HTTP Server 12c WebGateを構成するには、次の手順を実行する必要があります。

次の手順では、OHS_ORACLE_HOMEやOHS_CONFIG_DIRなどのディレクトリ変数を「このガイドで使用するファイル・システムとディレクトリ変数」で定義された値に置き換えてください。

1. Web層ドメインの完全なバックアップを実行します。

2. ディレクトリをOracle HTTP ServerのOracleホームの次の場所に変更します。

   cd OHS_ORACLE_HOME/webgate/ohs/tools/deployWebGate/

3. 次のコマンドを実行して、Webゲート・インスタンス・ディレクトリを作成し、OHSインスタンスでのWebゲート・ロギングを有効にします。

   ./deployWebGateInstance.sh -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME

4. deployWebGateInstanceコマンドでwebgateディレクトリおよびサブディレクトリが作成されたことを確認します。

   ls -lat OHS_CONFIG_DIR/webgate/
   total 16
   drwxr-x---+ 8 orcl oinstall 20 Oct  2 07:14 ..
   drwxr-xr-x+ 4 orcl oinstall  4 Oct  2 07:14 .
   drwxr-xr-x+ 3 orcl oinstall  3 Oct  2 07:14 tools
   drwxr-xr-x+ 3 orcl oinstall  4 Oct  2 07:14 config
   

5. 次のコマンドを実行し、LD_LIBRARY_PATH変数にOHS_ORACLE_HOME/libディレクトリ・パスが含まれるようにします。

   export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib

6. ディレクトリを次のディレクトリに変更します。

   OHS_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools

7. InstallToolsディレクトリから次のコマンドを実行します。

   ./EditHttpConf -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME -o output_file_name

   注意:

   -oh OHS_ORACLE_HOMEおよび-o output_file_nameパラメータはオプションです。

   このコマンドは次の処理を実行します。

   • apache_webgate.templateファイルをOracle HTTP ServerのOracleホームからOracle HTTP Server構成ディレクトリの新しいwebgate.confファイルにコピーします。

   • httpd.confファイルを更新して1行を追加し、webgate.confが含まれるようにします。

   • Webゲート構成ファイルを生成します。ファイルのデフォルト名はwebgate.confですが、コマンドに対して-o output_file_name引数を使用してカスタム名を使用できます。

24.5 Oracle Access ManagerへのOracle HTTP Server Webゲートの登録

Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebゲート・エージェントを登録できます。

詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。

• RREGインバンドおよびアウトオブバンド・モードについて
  
• OAM11gRequest.xmlファイルでの標準プロパティの更新
  
• エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新
  
• RREGツールの実行
  
• RREGによって生成されるファイルおよびアーティファクト
  
• 生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
  
• Oracle HTTP Serverインスタンスの再起動
  

24.5.1 RREGインバンドおよびアウトオブバンド・モードについて

RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれかで実行できます。

Oracle Access Managerサーバーへのアクセス権を持っている場合は、インバンド・モードを使用して、Oracle Access ManagerのOracleホームからRREGツールを実行します。RREGツールの実行後、生成されたアーティファクトとファイルをWebサーバー構成ディレクトリにコピーできます。

Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、組織によっては、Oracle Access Managerサーバー管理者のみがサーバー・ディレクトリにアクセスしてサーバー上で管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のようになります。

1. Oracle Access Managerサーバー管理者からユーザーにRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。

2. サーバー管理者から提供されたRREG.tar.gzファイルを展開します。

   例:

   gunzip RREG.tar.gz

   tar -xvf RREG.tar

   RREGアーカイブを展開したら、次の場所でエージェントを登録するためのツールを見つけることができます。

   RREG_HOME/bin/oamreg.sh

   この例では、RREG_Homeは、RREGアーカイブの内容を展開したディレクトリです。

3. 「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用してOAM11GRequest.xmlファイルを更新し、完成したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。

4. 次に、Oracle Access Managerサーバー管理者は「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してRREGツールを実行し、AgentID_response.xmlファイルを生成します。

5. Oracle Access Managerサーバー管理者はユーザーにAgentID_response.xmlファイルを送信します。

6. 「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してAgentID_response.xmlファイルでRREGツールを実行し、クライアント・システムに必要なアーティファクトとファイルを生成します。

24.5.2 OAM11gRequest.xmlファイルでの標準プロパティの更新

Webゲート・エージェントをOracle Access Managerに登録するには、事前にOAM11gRequest.xmlファイルで必須プロパティを更新する必要があります。

注意:

提供されているXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドがデフォルト値をとる短いバージョン(OAM11gRequest_short.xmlを使用できます。

注意:

プライマリ・サーバー・リストで、デフォルト名は、OAMサーバーに対してOAM_SERVER1およびOAM_SERVER2として示されます。現在の環境でサーバー名が変更される場合、リスト内のこれらの名前を変更してください。

このタスクを実行するには、次のようにします。

1. インバンド・モードを使用する場合は、ディレクトリをいずれかのOAMサーバーの次の場所に変更します。

   OAM_ORACLE_HOME/oam/server/rreg/input

   アウトオブバンド・モードを使用する場合は、WEBHOST1サーバー上でRREGアーカイブを展開した場所に、ディレクトリを変更します。

2. ファイル・テンプレート環境固有の名前を付けて、OAM11GRequest.xmlのコピーを作成します。

   cp OAM11GRequest.xml OAM11GRequest_edg.xml

3. ファイルにリストされているプロパティを確認してから、プロパティが環境に固有のホスト名およびその他の値を参照するように、OAM11GRequest.xmlファイルのコピーを更新します。

OAM11gRequest.xmlプロパティ	設定値
serverAddress	Oracle Access Managerドメイン内の管理サーバーのホストとポート。
agentName	エージェントのカスタム名。一般に、シングル・サインオンを構成しているFusion Middleware製品を識別する名前を使用します。
applicationDomain	シングル・サインオンを構成しているWeb層ホストおよびFMWコンポーネントを識別する値です。
security	Oracle Access Managementサーバーで構成したセキュリティ・モードに設定する必要があります。3つのモード、open、simpleまたはcertificateのいずれかです。 注意: エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号化のためにカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除いて、簡易モードが推奨されます。 オープン・モードではOracle Access Managerサーバーとのトラフィックは暗号化されないため、ほとんどの場合、オープン・モードの使用は避けてください。 証明書モードの使用またはOracle Access Managerでサポートされている一般的なセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項 を参照してください。
cachePragmaHeader	プライベート
cacheControlHeader	プライベート
ipValidation	0 <ipValidation>0<ipValidation>
ipValidationExceptions	フロントエンド・ロード・バランサのIPアドレス。例: <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation>
agentBaseUrl	Oracle HTTP 12c WebGatesがインストールされているWEBHOSTnマシンの前にフロントエンド・ロード・バランサVIPのホストとポートを付けた完全修飾のURL。 例:       <agentBaseUrl>             https://wcp.example.com:443             </agentBaseUrl>
virtualHost	管理VIP用のSSO保護など、agentBaseUrl以上を保護する場合はtrueに設定します。
hostPortVariationsList	WebGatesによって保護される各ロード・バランサのURLに、hostPortVariationホストおよびポート要素を追加します。 例: <hostPortVariationsList> <hostPortVariations> <host>wcpinternal.example.com</host>                    <port>80</port>              </hostPortVariations>              <hostPortVariations>                    <host>admin.example.com</host>                    <port>80</port>              </hostPortVariations>

24.5.3 エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新

Oracle Fusion Middleware環境をシングル・サインオン用に設定する場合、Oracle Access Managerがシングル・サインオンで保護する一連のURLを特定します。これらは、OAM11gRequest.xmlファイルの特定セクションを使用して特定します。URLを特定するには:

1. コピーしたOAM11GRequest_edg.xmlファイルがまだ編集用に開かれていない場合は、ファイルを探してテキスト・エディタで開きます。

   詳細は、次を参照してください。

   • OAM11gRequest.xmlファイルでの標準プロパティの更新

2. ファイルからサンプル・エントリを削除してから、次の例に示すように、保護されたリソース、パブリック・リソースおよび除外されたリソースのリストをファイルの適切なセクションに入力します。

   注意:

   Oracle Access Manager 11gリリース2 (11.1.2.2)以降を使用している場合、Oracle Access Managerの前のバージョンとの下位互換性のためにワイルドカード構文のエントリ(".../*")が例に含められます。

   <protectedResourcesList>
   	<resource>/insight</resource>
   	<resource>/insight/.../*</resource>
   	<resource>/integration/worklistapp</resource>
        	<resource>/integration/worklistapp/.../*</resource>
           <resource>/workflow/sdpmessagingsca-ui-worklist</resource>
           <resource>/workflow/sdpmessagingsca-ui-worklist/.../*</resource>
           <resource>/b2bconsole</resource>
           <resource>/b2bconsole/.../*</resource>
           <resource>/sdpmessaging/userprefs-ui</resource>
           <resource>/sdpmessaging/userprefs-ui/.../*</resource>
           <resource>/workflow/DefaultToDoTaskFlow</resource>
           <resource>/workflow/DefaultToDoTaskFlow/.../*</resource>
           <resource>/DefaultToDoTaskFlow</resource>
           <resource>/DefaultToDoTaskFlow/.../*</resource>
           <resource>/ess</resource>
           <resource>/ess/.../*</resource>
           <resource>/EssHealthCheck</resource>
           <resource>/EssHealthCheck/.../*</resource>
           <resource>/em</resource>
           <resource>/em/.../*</resource>
           <resource>/console</resource>
           <resource>/console/.../*</resource>
           <resource>/servicebus</resource><!-- (For OSB systems only) -->
           <resource>/servicebus/.../*</resource><!-- (For OSB systems only) -->
           <resource>/sbconsole</resource><!-- (For OSB systems only) -->
           <resource>/sbconsole/.../*</resource><!-- (For OSB systems only) -->        
           <resource>/lwpfconsole</resource><!-- (For OSB systems only) -->
           <resource>/lwpfconsole/.../*</resource><!-- (For OSB systems only) -->
           <resource>/soa/composer</resource>
           <resource>/soa/composer/.../*</resource>
           <resource>/OracleBAM</resource><!-- (For BAM systems only) -->
           <resource>/OracleBAM/.../*</resource><!-- (For BAM systems only) -->
           <resource>/oracle/bam/server</resource><!-- (For BAM systems only) -->
           <resource>/oracle/bam/server/.../*</resource><!-- (For BAM systems only) -->
           <resource>/bam/composer</resource><!-- (For BAM systems only) -->
           <resource>/bam/composer/.../*</resource><!-- (For BAM systems only) -->
           <resource>/bpm/composer</resource> <!-- (For BPM systems only) -->
           <resource>/bpm/composer/.../*</resource> <!-- (For BPM systems only) -->
           <resource>/bpm/workspace</resource><!-- (For BPM systems only) -->
           <resource>/bpm/workspace/.../*</resource><!-- (For BPM systems only) -->
           <resource>/soa-infra</resource>
           <resource>/soa-infra/deployer</resource>
           <resource>/soa-infra/deployer/.../*</resource>
           <resource>/soa-infra/events/edn-db-log</resource>
          <resource>/soa-infra/events/edn-db-log/.../*</resource>
           <resource>/soa-infra/cluster/info</resource>
           <resource>/soa-infra/cluster/info/.../*</resource>
           <resource>/inspection.wsil</resource>
           <resource>/healthcare/.../*</resource><!-- (For HC systems only) -->
           <resource>/healthcare</resource><!-- (For HC systems only) -->
   	<resource>/ess-async/*</resource>
   	<resource>/ess-wsjob/.../*</resource>
   </protectedResourcesList>
   <publicResourcesList>
           <resource>/soa-infra/directWSDL</resource>
           <resource>/sbinspection.wsil</resource><!-- (For OSB systems only) -->
   </publicResourcesList>
   <excludedResourcesList>
   	<resource>/insight-soa</resource>
   	<resource>/insight-soa/.../*</resource>
   	<resource>/insight-osb</resource>
   	<resource>/insight-osb/.../*</resource>  
           <resource>/wsm-pm</resource>
           <resource>/wsm-pm/.../*</resource>
           <resource>/soa-infra</resource>
           <resource>/soa-infra/services/.../*</resource>
           <resource>/OracleBAMWS</resource> <!-- (For BAM systems only) -->
           <resource>/OracleBAMWS/.../*</resource><!-- (For BAM systems only) -->
           <resource>/ucs/messaging/webservice</resource>
           <resource>/ucs/messaging/webservice/.../*</resource>
           <resource>/sbresource</resource><!-- (For OSB systems only) -->
           <resource>/sbresource/.../*</resource><!-- (For OSB systems only) -->
           <resource>/integration/services/.../*</resource>
           <resource>/integration/services</resource>
           <resource>/b2b/services/</resource>
           <resource>/b2b/services/.../*</resource>
   </excludedResourcesList>

3. OAM11GRequest_edg.xmlファイルを保存し、閉じます。

24.5.4 RREGツールの実行

次の項では、RREGツールを実行してOracle HTTP Server WebゲートをOracle Access Managerに登録する方法を示します。

• RREGツールをインバンド・モードで実行
  
• RREGツールをアウトオブバンド・モードで実行
  

24.5.4.1 RREGツールをインバンド・モードで実行

RREGツールをインバンド・モードで実行するには:

1. RREGホーム・ディレクトリに移動します。

   インバンド・モードを使用している場合、RREGディレクトリはOracle Access ManagerのOracleホーム内にあります。

   OAM_ORACLE_HOME/oam/server/rreg

   アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリはRREGアーカイブを展開した場所です。

2. RREGホーム・ディレクトリで、binディレクトリに移動します。

   cd RREG_HOME/bin/

3. ファイルを実行できるように、oamreg.shコマンドの権限を設定します。

   chmod +x oamreg.sh

4. 次のコマンドを実行します。

   ./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml

この例では、次のようになります。

• 編集したOAM11GRequest.xmlファイルはRREG_HOME/input ディレクトリにあると想定されます。

• このコマンドの出力は、次のディレクトリに保存されます。

  RREG_HOME/output/

次の例は、RREGセッションのサンプルを示しています。

Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are: 
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_idm
Enter admin password: 
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n

----------------------------------------
Request summary:
OAM11G Agent Name:WCC1221_EDG_AGENT
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------

Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.

24.5.4.2 RREGツールをアウトオブバンド・モードで実行

RREGツールをWEBHOSTサーバー上でアウトオブバンド・モードで実行するには、管理者は次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml

この例では、次のようになります。

• RREG_HOMEを、RREGアーカイブ・ファイルを展開したサーバー上の場所に置き換えます。

• 編集したOAM11GRequest.xmlファイルは、RREG_HOME/inputディレクトリにあります。

• RREGツールにより、このコマンドの出力(AgentID_response.xmlファイル)は次のディレクトリに保存されます。

  RREG_HOME/output/

  Oracle Access Managerサーバー管理者は、OAM11GRequest.xmlファイルを提供したユーザーにAgentID_response.xmlを送信できます。

RREGツールをWebサーバー・クライアント・マシン上でアウトオブバンド・モードで実行するには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml

この例では、次のようになります。

• RREG_HOMEを、RREGアーカイブ・ファイルを展開したクライアント・システム上の場所に置き換えます。

• Oracle Access Managerサーバー管理者によって提供されたAgentID_response.xmlファイルは、 RREG_HOME/inputディレクトリにあります。

• RREGツールにより、このコマンドの出力(Webゲート・ソフトウェアの登録に必要なアーティファクトとファイル)は、クライアント・マシン上次のディレクトリに保存されます。

  RREG_HOME/output/

24.5.5 RREGによって生成されるファイルおよびアーティファクト

RREGツールによって生成されるファイルは、WebゲートとOracle Access Managerサーバー間の通信に使用するセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項を参照してください。

この項では、RREG_HOMEへの参照はすべて、RREGツールを実行するディレクトリへのパスに置き換える必要があります。これは一般的に、Oracle Access Managerサーバー上の次のディレクトリ、または(アウトオブバンド・モードを使用している場合)RREGアーカイブを展開したディレクトリです。

OAM_ORACLE_HOME/oam/server/rreg/client

次の表に、Oracle Access Managerのセキュリティ・レベルに関係なく、RREGツールによって常に生成されるアーティファクトをリストします。

ファイル	場所
cwallet.sso	RREG_HOME/output/Agent_ID/ - WebGate 11g (11.1.2.3)の場合。 RREG_HOME/output/Agent_ID/wallet - WebGate 11g (11.1.2.2)およびOHS 12cの場合。
ObAccessClient.xml	RREG_HOME/output/Agent_ID/

次の表に、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される、追加のファイルをリストします。

ファイル	場所
aaa_key.pem	RREG_HOME/output/Agent_ID/
aaa_cert.pem	RREG_HOME/output/Agent_ID/
password.xml	RREG_HOME/output/Agent_ID/

password.xmlファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。

RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。

24.5.6 生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー

RREGツールにより必要なアーティファクトが生成された後、アーティファクトをRREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに手動でコピーします。

Oracle HTTP Server構成ディレクトリ内のファイルの場所は、Oracle Access Managerのセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。

次の表に、Oracle Access Managerのセキュリティ・モード設定に基づく、生成された各アーティファクトに必要なOracle HTTP Server構成ディレクトリ内の場所をリストします。ディレクトリが存在しない場合、ディレクトリを作成しなければならないことがあります。たとえば、ウォレット・ディレクトリは構成ディレクトリ内に存在しないことがあります。

注意:

エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号化のためにカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除いて、簡易モードが推奨されます。オープン・モードまたは証明書モードを使用する場合の情報が、利便性のために示されています。

オープン・モードではOracle Access Managerサーバーとのトラフィックは暗号化されないため、オープン・モードの使用は避けてください。

証明書モードの使用またはOracle Access Managerでサポートされている一般的なセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項を参照してください。

ファイル	OPENモードを使用する場合の場所	SIMPLEモードを使用する場合の場所	CERTモードを使用する場合の場所
wallet/cwallet.sso	OHS_CONFIG_DIR/webgate/config/wallet	OHS_CONFIG_DIR/webgate/config/wallet/ 注意: デフォルトではwalletフォルダは使用できません。OHS_CONFIG_DIR/webgate/config/の下にwalletフォルダを作成します。	OHS_CONFIG_DIR/webgate/config/wallet/
ObAccessClient.xml	OHS_CONFIG_DIR/webgate/config	OHS_CONFIG_DIR/webgate/config/	OHS_CONFIG_DIR/webgate/config/
password.xml	なし	OHS_CONFIG_DIR/webgate/config/	OHS_CONFIG_DIR/webgate/config/
aaa_key.pem	なし	OHS_CONFIG_DIR/webgate/config/simple/	OHS_CONFIG_DIR/webgate/config/
aaa_cert.pem	なし	OHS_CONFIG_DIR/webgate/config/simple/	OHS_CONFIG_DIR/webgate/config/

注意:

WEBHOST1およびWEBHOST2にObAccessClient.xmlを再デプロイする必要がある場合、サーバーからObAccessClient.xmlのキャッシュされたコピーを削除します。WEBHOST1のキャッシュの場所は次のとおりです。

OHS_DOMAIN_HOME/servers/ohs1/cache/

また、WEBHOST2で2番目のOracle HTTP Serverインスタンスに対して、同様の手順を実行する必要があります。

OHS_DOMAIN_HOME/servers/ohs2/cache/

24.5.7 Oracle HTTP Serverインスタンスの再起動

Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle Fusion Middleware Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。

WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、Oracle Fusion Middleware Oracle HTTP Serverの管理のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動を参照してください。

24.6 WebLogic Server認証プロバイダの設定

WebLogic Server認証プロバイダを設定するには、構成ファイルのバックアップ、Oracle Access Manager IDアサーション・プロバイダの設定およびプロバイダの順序の設定を行います。

次の項では、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従って、LDAPオーセンティケータがすでに構成されていると想定します。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。

• 構成ファイルのバックアップ
  
• Oracle Access Manager IDアサーション・プロバイダの設定
  
• デフォルト・オーセンティケータの更新とプロバイダの順序の設定
  

24.6.1 構成ファイルのバックアップ

念のため、まず、次の関連する構成ファイルをバックアップする必要があります。

ASERVER_HOME/config/config.xml
ASERVER_HOME/config/fmwconfig/jps-config.xml
ASERVER_HOME/config/fmwconfig/system-jazn-data.xml

管理サーバーのboot.propertiesファイルもバックアップします。

ASERVER_HOME/servers/AdminServer/security/boot.properties

24.6.2 Oracle Access Manager IDアサーション・プロバイダの設定

Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。

Oracle Access Manager IDアサーション・プロバイダを設定する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
2. 「ロックして編集」をクリックします。
3. 左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
4. myrealmというデフォルト・レルム・エントリをクリックします。
5. 「プロバイダ」タブをクリックします。
6. 「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
7. アサータに名前(OAM ID Asserterなど)を付け、「OK」をクリックします。
8. 新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
9. 制御フラグを「必須」に設定します。
10. 「選択済み」タイプで、デフォルトで選択されていない場合、ObSSOCookieオプションとOAM_REMOTE_USERオプションを両方とも選択します。
11. 「保存」をクリックして設定を保存します。
12. 「変更のアクティブ化」をクリックして変更を伝播します。

24.6.3 デフォルト・オーセンティケータの更新とプロバイダの順序の設定

WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。

デフォルト・オーセンティケータを更新し、プロバイダの順序を設定するには:

1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
2. 「ロックして編集」をクリックします。
3. 左側のナビゲーション・ペインで、「セキュリティ・レルム」を選択します。
4. myrealmというデフォルト・レルム・エントリをクリックします。
5. 「プロバイダ」タブをクリックします。
6. プロバイダの表で、DefaultAuthenticatorをクリックします。
7. 「制御フラグ」をSUFFICIENTに設定します。
8. 「保存」をクリックして設定を保存します。
9. ナビゲーション・ブレッドクラムで「プロバイダ」をクリックして、プロバイダのリストに戻ります。
10. 「並替え」をクリックします。
11. OAM IDアサーション・プロバイダが最初で、DefaultAuthenticatorプロバイダが最後になるように、プロバイダを並べ替えます。

    表24-1 ソート順

    ソート順	プロバイダ	制御フラグ
    1	OAMIdentityAsserter	REQUIRED
    2	LDAP Authentication Provider	SUFFICIENT
    3	DefaultAuthenticator	SUFFICIENT
    4	Trust Service Identity Asserter	N/A
    5	DefaultIdentityAsserter	N/A

12. 「OK」をクリックします。
13. 「変更のアクティブ化」をクリックして変更を伝播します。
14. 必要に応じて、管理サーバー、管理対象サーバーおよびシステム・コンポーネントを停止します。
15. 管理サーバーを再起動します。

24.7 Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成

一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework(Oracle ADF)セキュリティを使用しています。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xmlファイルを構成して、これらの機能を有効にする必要があります。

ドメインレベルのjps-config.xmlファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。

DOMAIN_HOME/config/fmwconfig/jps-config.xml

注意:

ドメインレベルのjps-config.xmlをカスタム・アプリケーションでデプロイされたjps-config.xmlと混同しないでください。

OPSS構成を更新してOracle Access ManagerのSSOアクションを委任するには、次の手順に従います。

1. 次のディレクトリを変更します。
   ORACLE_COMMON_HOME/common/bin
2. WebLogic Server Scripting Tool (WLST)を起動します。
   ./wlst.sh
3. 次のWLSTコマンドを使用して管理サーバーに接続します。
   connect(‘admin_user’,’admin_password’,’admin_url’)

   例:

   connect(‘weblogic_soa’,’mypassword’,’t3://ADMINVHN:7001’)

4. 次に示すように、addOAMSSOProviderコマンドを実行します。
   addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html")

   次の表では、addOAMSSOProviderコマンドの各引数に予想される値を定義しています。

   引数	定義
   loginuri	ログイン・ページのURIを指定します 注意: ADFセキュリティが有効なアプリケーションの場合、"/context-root/adfAuthentication"を'loginuri'パラメータに指定する必要があります。 例: /${app.context}/adfAuthentication 注意: ${app.context}は、表示されているとおりに入力する必要があります。実行時に、変数は適宜置き換えられます。 手順を示します。 たとえば、ユーザーがOPSSの認証ポリシーで保護されているリソースにアクセスします。 ユーザーがまだ認証されていない場合、ADFはユーザーを'loginuri'で設定したURIにリダイレクトします。 Access Managerには'loginuri'の値を保護するポリシー、たとえば、"/context-root/adfAuthenticationが存在する必要があります。 ADFがこのURIにリダイレクトすると、Access Managerにより「ログイン」ページが表示されます(このURI用のAccess Managerで構成された認証スキームにより異なる)。
   logouturi	ログアウト・ページのURIを指定します 注意: ADFセキュリティが有効なアプリケーションの場合、logouturiをOracle Access Management管理者ガイドの11g Webゲートが関与するセッションの集中ログアウトの構成に関する項に基づいて構成する必要があります。 Webゲート11gを使用している場合、logouturiの値は11g Webゲートの管理者が検索する必要があります。 Webゲート10gを使用している場合、logouturiの値は/oamsso/logout.htmlである必要があります。
   autologinuri	自動ログイン・ページのURIを指定します。これはオプションのパラメータです。

5. 次のコマンドを実行して、管理サーバーから切断します。
   disconnect()
6. 管理サーバーを再起動します。