Oracle Access Managerでシングル・サインオンを有効化するには、Oracle HTTP Server WebGateを構成する必要があります。
jps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送するプラグインです。
Oracle Fusion Middleware 12cでは、WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。
WebGateの詳細は、『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録と管理に関する項を参照してください。
Oracle HTTP Server WebGateを構成するには、動作保証されたバージョンのOracle Access Managerをインストールして構成しておく必要があります。
このドキュメントの公開時点では、サポートされるOracle Access Managerバージョンは11gリリース2 (11.1.2.2)および11gリリース2 (11.1.2.3)です。最新の情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
注意:
本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。
Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。
Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境でのOracle Access Managerのデプロイの詳細は、ご使用のOracle Identity and Access Managementのバージョンのエンタープライズ・デプロイメント・ガイドを参照してください。
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlに対するシングル・サインオンを有効にするには、Oracle Access Managerが使用している(Oracle Internet DirectoryやOracle Unified Directoryなど)ディレクトリ・サービスに中心的なLDAPプロビジョニング管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要のあるユーザーとグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってください。
WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次の手順を実行する必要があります。
次の手順では、OHS_ORACLE_HOMEやOHS_CONFIG_DIRなどのディレクトリ変数を、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。
Web層ドメインに対して完全バックアップを実行します。
ディレクトリを、Oracle HTTP Server Oracleホームの次の場所に変更します。
cd
OHS_ORACLE_HOME
/webgate/ohs/tools/deployWebGate/
次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。
./deployWebGateInstance.sh -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME
deployWebGateInstance
コマンドによってwebgate
ディレクトリとサブディレクトリが作成されたことを確認します。
ls -lat OHS_CONFIG_DIR/webgate/
total 16
drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 .
drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
次のコマンドを実行し、LD_LIBRARY_PATH
環境変数にOHS_ORACLE_HOME/lib
ディレクトリ・パスが含まれるようにします。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib
ディレクトリを次のディレクトリに変更します。
OHS_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
次のコマンドをInstallTools
ディレクトリから実行します。
./EditHttpConf -w OHS_CONFIG_DIR -oh OHS_ORACLE_HOME -o output_file_name
注意:
-oh OHS_ORACLE_HOME
および-o output_file_name
パラメータはオプションです。
このコマンドは、次の内容を実行します。
Oracle HTTP Server Oracleホームのapache_webgate.template
ファイルをOracle HTTP Serverの構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。
httpd.conf
ファイルに1行追加して更新し、webgate.conf
が含まれるようにします。
WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.conf
ですが、コマンドに対して-o output_file_name
引数を使用することにより、カスタム名を使用できます。
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれか1つで実行できます。
Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。
Oracle Access Managerサーバー管理者からRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
サーバー管理者によって提供されたRREG.tar.gz
ファイルを展開します。
次に例を示します。
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、RREG_Home
は、RREGアーカイブの内容を展開したディレクトリです。
「OAM11gRequest.xmlファイルの標準プロパティの更新」の手順を使用して、OAM11GRequest.xml
ファイルを更新し、完了したOAM11GRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。
その後、Oracle Access Managerサーバー管理者は、「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、RREGツールを実行し、AgentID_response.xml
ファイルを生成します。
Oracle Access Managerサーバー管理者から、AgentID_response.xml
ファイルが送信されます。
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、クライアント・システムで、AgentID_response.xml
ファイルでRREGツールを実行し、必要なアーティファクトとファイルを生成します。
WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xml
ファイルで必要なプロパティを更新しておく必要があります。
注意:
提供されたXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドにデフォルト値が使用される簡略バージョン(OAM11gRequest_short.xml
)を使用できます。
注意:
プライマリ・サーバー・リストでは、OAMサーバーのデフォルト名はOAM_SERVER1およびOAM_SERVER2と示されます。サーバー名が環境で変更された場合、リストでこれらの名前が変更されます。このタスクを実行するには、次のようにします。
インバンド・モードを使用している場合は、いずれかのOAMサーバー上の次の場所にディレクトリを変更します。
OAM_ORACLE_HOME/oam/server/rreg/input
アウトオブバンド・モードを使用している場合、WEBHOST1サーバー上でRREGアーカイブを解凍した場所にディレクトリを変更します。
環境に固有の名前を使用して、OAM11GRequest.xml
ファイル・テンプレートのコピーを作成します。
cp OAM11GRequest.xml OAM11GRequest_edg.xml
ファイルにリストされているプロパティを確認し、OAM11GRequest.xml
ファイルのコピーを更新して、プロパティが環境に固有のホスト名およびその他の値を参照するようにします。
OAM11gRequest.xml プロパティ | 設定内容 |
---|---|
serverAddress |
Oracle Access Managerドメイン内の管理サーバーのホストおよびポート。 |
agentName |
エージェントのカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。 |
security |
Oracle Access Managementサーバーで構成されたセキュリティ・モードに設定する必要があります。これは、オープン、簡易、証明書の3つのモードのいずれかです。 注意: エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどの場合でオープン・モードを使用しないでください。 証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。 |
cachePragmaHeader |
private |
cacheControlHeader |
private |
ipValidation |
0 <ipValidation>0<ipValidation> |
ipValidationExceptions |
フロントエンドのロード・バランサのIPアドレス。次に例を示します。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation> |
agentBaseUrl |
Oracle HTTP 12c WebGatesがインストールされたWEBHOSTnマシンの前にあるフロントエンド・ロード・バランサVIPのホストおよびポートを使用した完全修飾URL。 次に例を示します。
<agentBaseUrl> https://wcp.example.com:443 </agentBaseUrl> |
virtualHost |
|
hostPortVariationsList |
WebGateによって保護されるロード・バランサURLごとに、 次に例を示します。
<hostPortVariationsList> <hostPortVariations> <host>wcpinternal.example.com</host> <port>80</port> </hostPortVariations> <hostPortVariations> <host>admin.example.com</host> <port>80</port> </hostPortVariations> |
OAM11gRequest.xml
ファイルの特定のセクションを使用して識別します。URLを識別する手順は次のとおりです。次のトピックでは、RREGツールを実行してOracle Access ManagerにOracle HTTP Server WebGateを登録する方法について説明します。
RREGツールをインバンド・モードで実行する手順は次のとおりです。
RREGホーム・ディレクトリに移動します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。
RREGホーム・ディレクトリで、binディレクトリに移動します。
cd RREG_HOME/bin/
ファイルを実行できるように、oamreg.sh
コマンドの権限を設定します。
chmod +x oamreg.sh
次のコマンドを実行します。
./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml
この例の説明は、次のとおりです。
編集されたOAM11GRequest.xml
ファイルがRREG_HOME/input
ディレクトリに配置されていることが前提となります。
このコマンドの出力は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例はRREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml Enter admin username:weblogic_idm Username: weblogic_idm Enter admin password: Do you want to enter a Webgate password?(y/n): n Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WCC1221_EDG_AGENT URL String:null Registering in Mode:inband Your registration request is being sent to the Admin server at: http://host1.example.com:7001 ---------------------------------------- Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Inband registration process completed successfully! Output artifacts are created in the output folder.
WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。
編集されたOAM11GRequest.xml
ファイルは、RREG_HOME/input
ディレクトリに配置されています。
RREGツールでは、このコマンドの出力(AgentID_response.xml
ファイル)が次のディレクトリに保存されます。
RREG_HOME/output/
Oracle Access Managerサーバー管理者は、AgentID_response.xml
をOAM11GRequest.xml
ファイルを提供したユーザーに送信できます。
Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例の説明は、次のとおりです。
RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。
Oracle Access Managerサーバー管理者から提供されたAgentID_response.xml
ファイルは、RREG_HOME/inputディレクトリにあります。
RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。
RREG_HOME/output/
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーの間の通信に使用しているセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信のセキュア設定に関する項を参照してください。
この項のRREG_HOME
は、RREGツールを実行したディレクトリのパスで置き換える必要があることに注意してください。これは通常、Oracle Access Managerサーバーの次のディレクトリまたはRREGアーカイブを解凍したディレクトリになります(アウトオブバンド・モードを使用している場合)。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表は、Oracle Access Managerのセキュリティ・レベルにかかわらず、RREGツールによって常に生成されるアーティファクトを示しています。
ファイル | 場所 |
---|---|
cwallet.sso |
|
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表は、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルを示しています。
ファイル | 場所 |
---|---|
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
password.xml |
RREG_HOME/output/Agent_ID/ |
password.xml
ファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_ID
ディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。
Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。
注意:
エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。
オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。
証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。
ファイル | OPENモードを使用する場合の場所 | SIMPLEモードを使用する場合の場所 | CERTモードを使用する場合の場所 |
---|---|---|---|
wallet/cwallet.sso |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet/ 注意: デフォルトでは、ウォレット・フォルダは使用できません。OHS_CONFIG_DIR/webgate/config/ の下にwalletフォルダを作成します。 |
OHS_CONFIG_DIR/webgate/config/wallet/ |
ObAccessClient.xml |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
password.xml |
N/A | OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_key.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_cert.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
注意:
ObAccessClient.xml
をWEBHOST1
およびWEBHOST2
に再デプロイする必要がある場合は、サーバーからObAccessClient.xml
のキャッシュ・コピーを削除します。WEBHOST1
のキャッシュの場所は次のとおりです。OHS_DOMAIN_HOME/servers/ohs1/cache/
WEBHOST2
上の2番目のOracle HTTP Serverインスタンスでも同様の手順を実行する必要があります。
OHS_DOMAIN_HOME/servers/ohs2/cache/
Oracle Access Managementサーバーの一部のリリースでは、適切にアップグレードまたはパッチ適用されていない場合にMD5署名を使用することで簡易モードのセキュリティ証明書を実装します。Webゲートを簡易セキュリティ・モードで使用することで、Oracle HTTP Server 12.2.1.2.0以降をポリシーの強制ポイントとして構成する場合、MD5署名のサポートを手動で有効にする必要があります。
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Server管理者ガイド』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、『Oracle HTTP Server管理者ガイド』のFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
次の項では、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従って、LDAPオーセンティケータがすでに構成されていると想定します。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。
まず、次の関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。
jps-config.xml
ファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。DOMAIN_HOME/config/fmwconfig/jps-config.xml
注意:
ドメインレベルのjps-config.xml
を、カスタム・アプリケーションとともにデプロイされるjps-config.xml
と混同しないでください。
次の項で説明する構成は、サイトのセキュリティを強化するために必要であるか、または役に立ちます。
WebCenter PortalアプリケーションをSSO用に構成するには、EXTRA_JAVA_PROPERTIES
に設定を追加します。
アプリケーションがSSOモードに構成されており、特別な処理が必要であることをWebCenter PortalとADFに伝えるシステム・プロパティがあります。このモードでは、次のシステム・プロパティが必要とされます。
フィールド | 値 | 説明 |
---|---|---|
|
|
このフラグはSSOが使用されていることをWebCenter Portalに告げるため、デフォルトのランディング・ページにログイン・フォームは表示されなくなります。そのかわりにログイン・リンクが表示され、ユーザーはこれをクリックしてSSO認証を呼び出すことができます。 |
このプロパティを設定するには、次のようにします。
この項では、シングル・サインオン用のディスカッション・サーバーを構成する方法を説明します。
注意:
SSOの構成後は、ディスカッション・サーバーへの直接のログインはサポートされません。ログインはOracle HTTP Server URLを通して行う必要があります。
SSO用のディスカッション・サーバーを設定する手順は次のとおりです。
WebCenter Portal REST APIは、Oracle Access ManagerのステートレスなBasic認証スキーム用に構成する必要があります。
デフォルトでは、WebCenter Portal RSSフィードはSSOによって保護されています。ただし、保護されたままの状態では、それらは外部リーダーでうまく機能しません。外部リーダーを使用したアクセスが重要な場合は、その外部リーダーが処理できるWebLogic ServerのBASIC認証によってRSSサーブレットの認証が処理されるように、WebCenter Portal RSSリソースをOAMポリシーから除外することをお薦めします。
OAM 11gのRSSフィードを非保護にする手順は次のとおりです。
この項では、WebLogic Server管理コンソールとEnterprise ManagerのためにオプションでOAM 11gシングル・サインオンをセットアップする方法を説明します。
注意:
Enterprise ManagerとWebLogic Server管理コンソールに対してOAM SSOをセットアップすると、OAM SSOアクセスが構成されている同じユーザー・セットでシングル・サインオン・アクセスが可能になります。Web層を外部ユーザーがOAMを通じてアクセスできるようにする一方、管理者にEnterprise ManagerとWebLogic Server管理コンソールに直接ログインさせるときは、この追加の構成手順を実行する必要がない場合もあります。
OAMポリシー・リソース保護は、この章の「エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新」で完了している場合があります。それでも、管理SSOログアウトのリライト・ルールを完了する必要があることに注意してください。その構成を戻す場合は、この項の手順に従って保護レベルを「保護」から「パブリック」に変更します。
WebLogic Server管理コンソールとEnterprise Managerに対してOAM 11g SSOをセットアップする手順は次のとおりです。
ブラウザを使用して、OAMコンソールにログインします。
http://host:port/oamconsole
「起動パッド」で、「Access Manager」ブロックにある「アプリケーション・ドメイン」リンクを選択します。
「ポリシー・マネージャ」ペインが表示されます。
WebGateエージェントの登録時の名前を使用して、作成したアプリケーション・ドメインを見つけます。
「リソース」ノードを展開して、「作成」をクリックします。
リソース・ページが表示されます。
セキュリティ保護が必要なリソースを追加します。各リソースについて、次のようにします。
「リソース・タイプ」としてhttp
を選択します。
WebGateエージェントの登録時に作成したホスト識別子を選択します。
「リソースURL」に、WebLogic Server管理コンソールのリソースURL(/console
)またはEnterprise ManagerのリソースURL(/em
)を入力します。
リソースの「説明」を入力し、「適用」をクリックします。
「保護レベル」をProtected
に設定します。
「認証ポリシー」→「保護されたリソース・ポリシー」に移動して、新しく作成されたリソースを追加します。
「認可ポリシー」→「保護されたリソース・ポリシー」についても同じことを行います。
WEBHOST1およびWEBHOST2で、admin_vh.conf
ファイルを更新し、RewriteRuleを追加してWLSコンソールに対してSSOログアウトを有効にします。
<VirtualHost WEBHOST1:7777> ServerName admin.example.com:80 ServerAdmin you@your.address RewriteEngine On RewriteOptions inherit # SSO logout redirection for WLS Console RewriteRule ^/console/jsp/common/logout.jsp "/oamsso/logout.html?end_url=/console" [R] </VirtualHost>
変更を有効にするために、Oracle HTTP Serverを再起動します。
これで、次のリンクでWebLogic Server管理コンソールとEnterprise Managerにアクセスできるようになります。
http://admin.example.com/console http://admin.example.com/em
OAMのSSOログイン・フォームのプロンプトが表示されます。
WebCenter PortalとSESに定義された対応する認証エンド・ポイントが使用するWebCenter Portalデータとリポジトリをクロールするために定義されるクロール・ソースは、適切に認証されるようにWeb層のOracle HTTP Serverポートを通してルーティングする必要があります(認証方式は引き続きBASICおよびレルムjazn.comになります)。
SES接続の構成の詳細は、『Oracle WebCenter Portalの管理』のOracle SES接続の設定に関する項を参照してください。
SSOが機能したら、Content Serverへのポータル接続を更新してWebコンテキスト・ルート・パスを設定する必要があります。このパラメータを設定することで、SSOが構成されていることをドキュメント・ライブラリに伝達します。SSOが設定され機能するまで、webContextRoot
値は設定しないでください。
ユーザーが適切に認証されるように、Web層OHSポートを通してのみWebCenter Portalおよび関連するコンポーネントへのアクセスを許可するには、次の手順に従います。
OHSを通してルーティングされるようにポートレット・プロデューサ・アプリケーションをセットアップした場合は、登録用のプロデューサURLを指定する際に必ずOHSホストおよびポートを使用してください。これは、wsrp-toolsのようなデフォルトのプロデューサ、サービス・プロデューサ、ページレット・プロデューサおよび明示的に構成した他のプロデューサに適用されます。
登録用のプロデューサURLを指定する際に、必ず内部ロード・バランサURL (http://wcp-internal.example.com/...など)を使用てください。これは、wsrp-toolsのようなデフォルトのプロデューサ、サービス・プロデューサ、ページレット・プロデューサおよび明示的に構成した他のプロデューサに適用されます。