Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド 12c (12.2.1.4.0) E96110-02 |
|
前 |
次 |
Oracle Access Managerでシングル・サインオンを有効化するために、Oracle HTTP Server WebGateを構成する必要があります。
jps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録および管理に関する項を参照してください。
Oracle HTTP Server WebGateを構成するには、動作保証されたバージョンのOracle Access Managerをインストールして構成しておく必要があります。
最新の情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。
注意:
本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。
Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。
Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境でのOracle Access Managerのデプロイの詳細は、ご使用のOracle Identity and Access Managementのバージョンのエンタープライズ・デプロイメント・ガイドを参照してください。
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlのシングル・サインオンを有効化するには、Oracle Access Managerで使用されているディレクトリ・サービス(Oracle Internet DirectoryやOracle Unified Directoryなど)に集中LDAPプロビジョニング済管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要なユーザーおよびグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の指示に従ってください。
注意:
目的のOracle Access Managerデプロイメントで動作保証されているWebGateバージョンの使用をお薦めします。WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次の手順を実行する必要があります。
次の手順では、WEB_ORACLE_HOMEやWEB_CONFIG_DIRなどのディレクトリ変数を、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。
Web層ドメインの完全なバックアップを実行します。
ディレクトリを、Oracle HTTP Server Oracleホームの次の場所に変更します。
cd
WEB_ORACLE_HOME
/webgate/ohs/tools/deployWebGate/
次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。
./deployWebGateInstance.sh -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME
deployWebGateInstance
コマンドによってwebgate
ディレクトリとサブディレクトリが作成されたことを確認します。
ls -lat WEB_CONFIG_DIR/webgate/
total 16
drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 .
drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
次のコマンドを実行し、LD_LIBRARY_PATH
変数にWEB_ORACLE_HOME/lib
ディレクトリ・パスが含まれるようにします。
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
ディレクトリを次のディレクトリに変更します。
WEB_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
次のコマンドをInstallTools
ディレクトリから実行します。
./EditHttpConf -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME -o output_file_name
注意:
-oh WEB_ORACLE_HOME
および-o output_file_name
パラメータはオプションです。
このコマンドは、次の内容を実行します。
Oracle HTTP Server Oracleホームのapache_webgate.template
ファイルをOracle HTTP Serverの構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。
httpd.conf
ファイルに1行追加して更新し、webgate.conf
が含まれるようにします。
WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.conf
ですが、コマンドに対して-o output_file_name
引数を使用することにより、カスタム名を使用できます。
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
RREGツールはインバンドとアウトバンドのいずれかのモードで実行できます。
Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。
Oracle Access Managerサーバー管理者からRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
サーバー管理者によって提供されたRREG.tar.gz
ファイルを展開します。
次に例を示します。
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、RREG_Home
は、RREGアーカイブの内容を展開したディレクトリです。
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用してOAM11GRequest.xml
ファイルを更新し、完成したOAM11GRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。
その後、Oracle Access Managerサーバー管理者は、「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、RREGツールを実行し、AgentID_response.xml
ファイルを生成します。
Oracle Access Managerサーバー管理者から、AgentID_response.xml
ファイルが送信されます。
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、クライアント・システムで、AgentID_response.xml
ファイルでRREGツールを実行し、必要なアーティファクトとファイルを生成します。
WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xml
ファイルで必要なプロパティを更新しておく必要があります。
注意:
提供されたXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドにデフォルト値が使用される簡略バージョン(OAM11gRequest_short.xml
)を使用できます。
プライマリ・サーバー・リストでは、OAMサーバーのデフォルト名はOAM_SERVER1およびOAM_SERVER2と示されます。サーバー名が環境で変更された場合、リストでこれらの名前が変更されます。
このタスクを実行するには、次のようにします。
インバンド・モードを使用している場合は、いずれかのOAMサーバー上の次の場所にディレクトリを変更します。
OAM_ORACLE_HOME/oam/server/rreg/input
アウトオブバンド・モードを使用している場合、WEBHOST1サーバー上でRREGアーカイブを解凍した場所にディレクトリを変更します。
環境に固有の名前を使用して、OAM11GRequest.xml
ファイル・テンプレートのコピーを作成します。
cp OAM11GRequest.xml OAM11GRequest_edg.xml
ファイルにリストされているプロパティを確認し、OAM11GRequest.xml
ファイルのコピーを更新して、プロパティが環境に固有のホスト名およびその他の値を参照するようにします。
表15-1 OAM11GRequest.xmlファイルのフィールド
OAM11gRequest.xml プロパティ | 設定内容 |
---|---|
serverAddress |
Oracle Access Managerドメイン内の管理サーバーのホストおよびポート。 |
agentName |
エージェントのカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。 |
security |
Oracle Access Managementサーバーで構成されたセキュリティ・モードに設定する必要があります。これは、open、simple、certificateの3つのモードのいずれかになります。 注意: エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどの場合でオープン・モードを使用しないでください。 証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。 |
cachePragmaHeader |
private |
cacheControlHeader |
private |
ipValidation |
0 <ipValidation>0</ipValidation> ipValidationが'1'に設定されている場合は、Cookieに格納されているIPアドレスとクライアントのIPアドレスが一致する必要があり、一致しない場合はSSO Cookieが拒否されるため、ユーザーは再認証が必要になります。これは、一部のWebアプリケーションで問題の原因になることがあります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。'0'に設定すると、IP検証が無効になります。 |
ipValidationExceptions |
ipValidationが'0'の場合は、空にすることができます。 IPの検証がtrueの場合、IPアドレスはIP検証例外リストと比較されます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。たとえば、フロントエンド・ロード・バランサのIPアドレスは次のようになります。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidationExceptions> |
agentBaseUrl |
Oracle HTTP 12c WebGatesがインストールされたWEBHOSTnマシンの前にあるフロントエンド・ロード・バランサVIPのホストおよびポートを使用した完全修飾URL。 次に例を示します。
<agentBaseUrl>
https://
|
virtualHost |
|
hostPortVariationsList |
WebGatesによって保護される各ロード・バランサのURLに、 次に例を示します。
<hostPortVariationsList>
<hostPortVariations>
<host>
|
logOutUrls |
空白のままにします。 ログアウトURLによってログアウト・ハンドラがトリガーされ、これによってCookieが削除されるため、Access Managerによって保護されたリソースにユーザーが次回アクセスすると、再認証が要求されます。ログアウトURLが構成されていない場合、要求URLの確認はlogout.に対して行われ、このURLが見つかった場合も(logout.gifとlogout.jpgを除く)ログアウト・ハンドラがトリガーされます。値をこのプロパティに設定する場合は、使用されているすべてのログアウトURLを追加する必要があります。 |
primaryServerList |
OAM管理対象サーバーのホストとポートが、このリストと一致することを確認します。例: <primaryServerList> <Server> <host>wls_oam1</host> <port>14100</port> <numOfConnections>1</numOfConnections> </Server> <Server> <host>wls_oam2</host> <port>14100</port> <numOfConnections>2</numOfConnections> </Server> </primaryServerList> |
OAM11gRequest.xml
ファイルの特定のセクションを使用して識別します。URLを識別する手順は次のとおりです。次のトピックでは、RREGツールを実行してOracle Access ManagerにOracle HTTP Server WebGateを登録する方法について説明します。
RREGツールをインバンド・モードで実行する手順は次のとおりです。
RREGホーム・ディレクトリに変更します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。
次のディレクトリに変更します。
(UNIX) RREG_HOME/bin
(Windows) RREG_HOME\bin
cd RREG_HOME/bin/
ファイルを実行できるように、oamreg.sh
コマンドの権限を設定します。
chmod +x oamreg.sh
次のコマンドを入力します。
./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml
この例の説明は、次のとおりです。
編集したOAM11GRequest.xml
ファイルはRREG_HOME/input
ディレクトリにあると想定されます。
このコマンドの出力は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例はRREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml Enter admin username:weblogic_idm Username: weblogic_iam Enter admin password: Do you want to enter a Webgate password?(y/n): n Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com
:443 URL String:null Registering in Mode:inband Your registration request is being sent to the Admin server at: http://host1.example.com:7001 ---------------------------------------- Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Inband registration process completed successfully! Output artifacts are created in the output folder.
親トピック: RREGツールの実行
WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。
編集されたOAM11GRequest.xml
ファイルは、RREG_HOME/input
ディレクトリに配置されています。
RREGツールでは、このコマンドの出力(AgentID_response.xml
ファイル)が次のディレクトリに保存されます。
RREG_HOME/output/
Oracle Access Managerサーバー管理者は、AgentID_response.xml
をOAM11GRequest.xml
ファイルを提供したユーザーに送信できます。
Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例の説明は、次のとおりです。
RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。
Oracle Access Managerサーバー管理者から提供されたAgentID_response.xml
ファイルは、RREG_HOME/inputディレクトリにあります。
RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。
RREG_HOME/output/
親トピック: RREGツールの実行
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーの間の通信に使用しているセキュリティ・レベルによって異なります。『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。
この項のRREG_HOME
は、RREGツールを実行したディレクトリのパスで置き換える必要があることに注意してください。これは通常、Oracle Access Managerサーバーの次のディレクトリまたはRREGアーカイブを解凍したディレクトリになります(アウトオブバンド・モードを使用している場合)。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表は、Oracle Access Managerのセキュリティ・レベルにかかわらず、RREGツールによって常に生成されるアーティファクトを示しています。
ファイル | 場所 |
---|---|
cwallet.sso |
RREG_HOME/output/Agent_ID/ 注意: これはOHS 12.2.1.3用です。以前のリリースのOHSについては、Oracle IDMのドキュメントを参照してください。 |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表は、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルを示しています。
ファイル | 場所 |
---|---|
|
|
|
|
|
|
|
|
password.xml
ファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_ID
ディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。
Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。
注意:
エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。
オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。
証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。
表15-2 生成済アーティファクトをコピーするWeb層のホストの場所
ファイル | OPENモードを使用する場合の場所 | SIMPLEモードを使用する場合の場所 | CERTモードを使用する場合の場所 |
---|---|---|---|
wallet/cwallet.sso 脚注1 |
WEB_CONFIG_DIR/webgate/config/wallet |
WEB_CONFIG_DIR/webgate/config/wallet/ デフォルトでは、ウォレット・フォルダは使用できません。 |
WEB_CONFIG_DIR/webgate/config/wallet/ |
ObAccessClient.xml |
WEB_CONFIG_DIR/webgate/config |
WEB_CONFIG_DIR/webgate/config/ |
WEB_CONFIG_DIR/webgate/config/ |
password.xml |
N/A | WEB_CONFIG_DIR/webgate/config/ |
WEB_CONFIG_DIR/webgate/config/ |
aaa_key.pem |
N/A | WEB_CONFIG_DIR/webgate/config/simple/ |
WEB_CONFIG_DIR/webgate/config/ |
aaa_cert.pem |
N/A | WEB_CONFIG_DIR/webgate/config/simple/ |
WEB_CONFIG_DIR/webgate/config/ |
脚注1 cwallet.sso
は、outputフォルダではなくwalletフォルダからコピーします。同じ名前のファイルが2つ存在していたとしても、それらは別のものです。正しいものは、walletサブディレクトリにあるほうです。
注意:
WEBHOST1
およびWEBHOST2
にObAccessClient.xml
を再デプロイする必要がある場合、ObAccessClient.xml
のキャッシュされたコピーおよびそのロック・ファイルであるObAccessClient.xml.lck
をサーバーから削除します。WEBHOST1
のキャッシュの場所は次のとおりです。WEB_DOMAIN_HOME/servers/ohs1/cache/
WEBHOST2
上の2番目のOracle HTTP Serverインスタンスでも同様の手順を実行する必要があります。
WEB_DOMAIN_HOME/servers/ohs2/cache/
OHSサーバーが11g以前のバージョンのOAMサーバーで構成されている場合は、「生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー」でデプロイしたウォレット・ファイル・アーティファクトに、OHS SimpleCA証明書を挿入する必要があります。
WEBHOST1で、次のディレクトリに移動します。
WEB_CONFIG_DIR/webgate/config/wallet
SimpleCA証明書をウォレット・ファイルに挿入するには、次のコマンドを実行します。
WEB_ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet ./ -trusted_cert -cert WEB_ORACLE_HOME/webgate/ohs/tools/openssl/simpleCA/cacert.pem -auto_login_only
simpleCA/cacert.pem -auto_login_only Oracle PKI Tool : Version 12.2.1.3.0 Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved. Operation is successfully completed.
証明書の挿入は、次のコマンドで検証します。
WEB_ORACLE_HOME/oracle_common/bin/orapki wallet display -wallet ./
Oracle PKI Tool : Version 12.2.1.3.0 Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved. Requested Certificates: User Certificates: Oracle Secret Store entries: OAMAgent@#3#@wcedgRwse01Env1Ps3_Key Trusted Certificates: Subject: CN=NetPoint Simple Security CA - Not for General Use,OU=NetPoint,O=Oblix\, Inc.,L=Cupertino,ST=California,C=US
Oracle Access Managementサーバーの一部のリリースでは、適切にアップグレードまたはパッチ適用されていない場合にMD5署名を使用することで簡易モードのセキュリティ証明書を実装します。可能であればOAM証明書をSHA-2にアップグレードすることをお薦めします。競合する複数バージョンのOracle HTTPサーバーをご利用の場合、このアップグレードができない可能性があります。
証明書をアップグレードできない場合は、MD5署名のサポートを手動で有効化し、webgateを簡易セキュリティ・モードで使用するときにOracle HTTP server 12.2.1.xでOracle Access Manager 11gのMD5証明書を使用できるようにします。
WEBHOST1で、次のディレクトリに移動します。
WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1
ohs.plugins.nodemanager.properties
ファイルを開き、次の行を追加してファイルを保存します。environment.ORACLE_SSL_ALLOW_MD5_CERT_SIGNATURES = 1
WEBHOSTnサーバーの他のすべてのインスタンスについて、手順1および2を繰り返します。
たとえば、WEBHOST2のohs2
インスタンスです。
注意:
変更は、次のトピックでインスタンスを再起動すると有効になります。Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
次のトピックでは、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従って、LDAPオーセンティケータを構成済であることが前提となります。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。
まず、次の関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
親トピック: WebLogic Server認証プロバイダの設定
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
親トピック: WebLogic Server認証プロバイダの設定
WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。
親トピック: WebLogic Server認証プロバイダの設定
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。
ドメインレベルのjps-config.xml
ファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。
ASERVER_HOME/config/fmwconfig/jps-config.xml
注意:
ドメインレベルのjps-config.xml
をカスタム・アプリケーションでデプロイされたjps-config.xml
と混同しないでください。
この項では、BIアプリケーションのシングル・サインオン(SSO)を有効化する方法について説明します。
次のトピックが含まれています
親トピック: アプリケーションのシングル・サインオンの構成
親トピック: アプリケーションのシングル・サインオンの構成