15 エンタープライズ・デプロイメント用のシングル・サインオンの構成

Oracle Access Managerでシングル・サインオンを有効化するために、Oracle HTTP Server WebGateを構成する必要があります。

• Oracle HTTP Server Webゲートについて
  Oracle HTTP Server Webゲートは、HTTPリクエストを捕捉して認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
• Oracle HTTP Server Webgateの構成の一般的な前提条件
  Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。
• OHS 12c Webgateの構成に関するエンタープライズ・デプロイメントの前提条件
  Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。
• エンタープライズ・デプロイメント用のOracle HTTP Server 12c WebGateの構成
  WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次の手順を実行する必要があります。
• Oracle Access ManagerへのOracle HTTP Server WebGateの登録
  Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
• WebLogic Server認証プロバイダの設定
  WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
• Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成
  一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xmlファイルを構成して、これらの機能を有効化する必要があります。
• アプリケーションのシングル・サインオンの構成
  この項では、BIアプリケーションのシングル・サインオン(SSO)を有効化する方法について説明します。

15.1 Oracle HTTP Server Webgateについて

Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。

Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録および管理に関する項を参照してください。

15.2 Oracle HTTP Server WebGateの構成の一般的な前提条件

Oracle HTTP Server WebGateを構成するには、動作保証されたバージョンのOracle Access Managerをインストールして構成しておく必要があります。

最新の情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。

WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。

注意:

本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。

Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。

15.3 OHS 12c Webgateの構成に関するエンタープライズ・デプロイメントの前提条件

Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。

• Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境でのOracle Access Managerのデプロイの詳細は、ご使用のOracle Identity and Access Managementのバージョンのエンタープライズ・デプロイメント・ガイドを参照してください。

• WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlのシングル・サインオンを有効化するには、Oracle Access Managerで使用されているディレクトリ・サービス(Oracle Internet DirectoryやOracle Unified Directoryなど)に集中LDAPプロビジョニング済管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要なユーザーおよびグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の指示に従ってください。

注意:

目的のOracle Access Managerデプロイメントで動作保証されているWebGateバージョンの使用をお薦めします。

15.4 エンタープライズ・デプロイメント用のOracle HTTP Server 12c WebGateの構成

WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次の手順を実行する必要があります。

次の手順では、WEB_ORACLE_HOMEやWEB_CONFIG_DIRなどのディレクトリ変数を、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。

1. Web層ドメインの完全なバックアップを実行します。

2. ディレクトリを、Oracle HTTP Server Oracleホームの次の場所に変更します。

   cd WEB_ORACLE_HOME/webgate/ohs/tools/deployWebGate/

3. 次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。

   ./deployWebGateInstance.sh -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME

4. deployWebGateInstanceコマンドによってwebgateディレクトリとサブディレクトリが作成されたことを確認します。

   ls -lat WEB_CONFIG_DIR/webgate/
   total 16
   drwxr-x---+ 8 orcl oinstall 20 Oct  2 07:14 ..
   drwxr-xr-x+ 4 orcl oinstall  4 Oct  2 07:14 .
   drwxr-xr-x+ 3 orcl oinstall  3 Oct  2 07:14 tools
   drwxr-xr-x+ 3 orcl oinstall  4 Oct  2 07:14 config
   

5. 次のコマンドを実行し、LD_LIBRARY_PATH変数にWEB_ORACLE_HOME/libディレクトリ・パスが含まれるようにします。

   export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib

6. ディレクトリを次のディレクトリに変更します。

   WEB_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools

7. 次のコマンドをInstallToolsディレクトリから実行します。

   ./EditHttpConf -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME -o output_file_name

   注意:

   -oh WEB_ORACLE_HOMEおよび-o output_file_nameパラメータはオプションです。

   このコマンドは、次の内容を実行します。

   • Oracle HTTP Server Oracleホームのapache_webgate.templateファイルをOracle HTTP Serverの構成ディレクトリの新しいwebgate.confファイルにコピーします。

   • httpd.confファイルに1行追加して更新し、webgate.confが含まれるようにします。

   • WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.confですが、コマンドに対して-o output_file_name引数を使用することにより、カスタム名を使用できます。

15.5 Oracle Access ManagerへのOracle HTTP Server WebGateの登録

Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。

『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。

• RREGインバンドおよびアウトオブバンド・モードについて
  
• OAM11gRequest.xmlファイルの標準プロパティの更新
  
• エンタープライズ・デプロイメントの保護リソース、パブリック・リソース、除外リソースの更新
  
• RREGツールの実行
  
• RREGによって生成されるファイルおよびアーティファクト
  
• 生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
  
• ウォレット・アーティファクトへのOHS SimpleCA証明書の挿入
  
• Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化
  
• Oracle HTTP Serverインスタンスの再起動
  

15.5.1 RREGインバンドおよびアウトオブバンド・モードについて

RREGツールはインバンドとアウトバンドのいずれかのモードで実行できます。

Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。

Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。

1. Oracle Access Managerサーバー管理者からRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。

2. サーバー管理者によって提供されたRREG.tar.gzファイルを展開します。

   次に例を示します。

   gunzip RREG.tar.gz

   tar -xvf RREG.tar

   RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。

   RREG_HOME/bin/oamreg.sh

   この例では、RREG_Homeは、RREGアーカイブの内容を展開したディレクトリです。

3. 「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用してOAM11GRequest.xmlファイルを更新し、完成したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。

4. その後、Oracle Access Managerサーバー管理者は、「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、RREGツールを実行し、AgentID_response.xmlファイルを生成します。

5. Oracle Access Managerサーバー管理者から、AgentID_response.xmlファイルが送信されます。

6. 「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、クライアント・システムで、AgentID_response.xmlファイルでRREGツールを実行し、必要なアーティファクトとファイルを生成します。

15.5.2 OAM11gRequest.xmlファイルの標準プロパティの更新

WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xmlファイルで必要なプロパティを更新しておく必要があります。

注意:

• 提供されたXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドにデフォルト値が使用される簡略バージョン(OAM11gRequest_short.xml)を使用できます。

• プライマリ・サーバー・リストでは、OAMサーバーのデフォルト名はOAM_SERVER1およびOAM_SERVER2と示されます。サーバー名が環境で変更された場合、リストでこれらの名前が変更されます。

このタスクを実行するには、次のようにします。

1. インバンド・モードを使用している場合は、いずれかのOAMサーバー上の次の場所にディレクトリを変更します。

   OAM_ORACLE_HOME/oam/server/rreg/input

   アウトオブバンド・モードを使用している場合、WEBHOST1サーバー上でRREGアーカイブを解凍した場所にディレクトリを変更します。

2. 環境に固有の名前を使用して、OAM11GRequest.xmlファイル・テンプレートのコピーを作成します。

   cp OAM11GRequest.xml OAM11GRequest_edg.xml

3. ファイルにリストされているプロパティを確認し、OAM11GRequest.xmlファイルのコピーを更新して、プロパティが環境に固有のホスト名およびその他の値を参照するようにします。

表15-1 OAM11GRequest.xmlファイルのフィールド

OAM11gRequest.xml プロパティ	設定内容
serverAddress	Oracle Access Managerドメイン内の管理サーバーのホストおよびポート。
agentName	エージェントのカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。
applicationDomain	シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。
security	Oracle Access Managementサーバーで構成されたセキュリティ・モードに設定する必要があります。これは、open、simple、certificateの3つのモードのいずれかになります。 注意: エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどの場合でオープン・モードを使用しないでください。 証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。
cachePragmaHeader	private
cacheControlHeader	private
ipValidation	0 <ipValidation>0</ipValidation> ipValidationが'1'に設定されている場合は、Cookieに格納されているIPアドレスとクライアントのIPアドレスが一致する必要があり、一致しない場合はSSO Cookieが拒否されるため、ユーザーは再認証が必要になります。これは、一部のWebアプリケーションで問題の原因になることがあります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。'0'に設定すると、IP検証が無効になります。
ipValidationExceptions	ipValidationが'0'の場合は、空にすることができます。 IPの検証がtrueの場合、IPアドレスはIP検証例外リストと比較されます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。たとえば、フロントエンド・ロード・バランサのIPアドレスは次のようになります。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidationExceptions>
agentBaseUrl	Oracle HTTP 12c WebGatesがインストールされたWEBHOSTnマシンの前にあるフロントエンド・ロード・バランサVIPのホストおよびポートを使用した完全修飾URL。 次に例を示します。       <agentBaseUrl>             https://bi.example.com:443             </agentBaseUrl>
virtualHost	agentBaseUrlよりも保護を強化する場合(管理VIPのSSO保護など)、trueに設定します。
hostPortVariationsList	WebGatesによって保護される各ロード・バランサのURLに、hostPortVariationホストおよびポート要素を追加します。 次に例を示します。 <hostPortVariationsList>     <hostPortVariations>         <host>biinternal.example.com</host>         <port>80</port>     </hostPortVariations>     <hostPortVariations>         <host>admin.example.com</host>         <port>80</port>     </hostPortVariations> <hostPortVariations>           <host>osb.example.com</host>           <port>443</port>       </hostPortVariations> </hostPortVariationsList>
logOutUrls	空白のままにします。 ログアウトURLによってログアウト・ハンドラがトリガーされ、これによってCookieが削除されるため、Access Managerによって保護されたリソースにユーザーが次回アクセスすると、再認証が要求されます。ログアウトURLが構成されていない場合、要求URLの確認はlogout.に対して行われ、このURLが見つかった場合も(logout.gifとlogout.jpgを除く)ログアウト・ハンドラがトリガーされます。値をこのプロパティに設定する場合は、使用されているすべてのログアウトURLを追加する必要があります。
primaryServerList	OAM管理対象サーバーのホストとポートが、このリストと一致することを確認します。例: <primaryServerList> <Server> <host>wls_oam1</host> <port>14100</port> <numOfConnections>1</numOfConnections> </Server> <Server> <host>wls_oam2</host> <port>14100</port> <numOfConnections>2</numOfConnections> </Server> </primaryServerList>

15.5.3 エンタープライズ・デプロイメントの保護リソース、パブリック・リソース、除外リソースの更新

シングル・サインオン用にOracle Fusion Middleware環境を設定する場合は、Oracle Access Managerでシングル・サインオンによって保護する一連のURLを識別します。これらは、OAM11gRequest.xmlファイルの特定のセクションを使用して識別します。URLを識別する手順は次のとおりです。

1. コピーしたOAM11GRequest_edg.xmlファイルがまだ編集用に開かれていない場合は、ファイルを探してテキスト・エディタで開きます。

   「OAM11gRequest.xmlファイルでの標準プロパティの更新」を参照してください

2. ファイルのサンプル・エントリを削除して、次の例に示されているようにファイルの適切なセクションに保護リソース、パブリック・リソースおよび除外リソースのリストを入力します。

   注意:

   Oracle Access Manager 11gリリース2 (11.1.2.2)以降を使用している場合は、以前のバージョンのOracle Access Managerとの下位互換性のためにワイルドカード構文(.../*)を使用したエントリがこの例に含まれていることに注意してください。

   <protectedResourcesList>
           <resource>/analytics</resource>
           <resource>/analytics/saw.dll</resource>
           <resource>/bicontent</resource>
           <resource>/xmlpserver</resource>
           <resource>/mapviewer</resource>
           <resource>/mapviewer/console</resource>
           <resource>/mapviewer/mapadmin</resource>
           <resource>/mapviewer/mcsadmin</resource>
           <resource>/bicomposer</resource>
           <resource>/bisearch</resource>
           <resource>/em</resource>
           <resource>/em/…/*</resource>
           <resource>/console</resource>
           <resource>/console/…/*</resource>
           <resource>/mobile</resource>
           <resource>/mobile/.../*</resource>
           <resource>/va</resource>
           <resource>/analytics/jbips</resource>
           <resource>/cds/</resource>
           <resource>/aps/SmartView/</resource>
   </protectedResourcesList>
   <publicResourcesList>
           <resource>/aps</resource>
           <resource>/aps/JAPI</resource>
           <resource>/mapviewer/dataserver</resource>
           <resource>/mapviewer/foi</resource>        
           <resource>/mapviewer/mcserver</resource>
           <resource>/mapviewer/wms</resource>  
           <resource>/mapviewer/wmts</resource>  
           <resource>/aps/Essbase</resource>
           <resource>/essbase/agent</resource>
           <resource>/essbase-webservices</resource>
   </publicResourcesList>
   <excludedResourcesList>
           <resource>/biservices</resource>
           <resource>/analytics-bi-adf</resource>
           <resource>/xmlpserver/Guest</resource>
           <resource>/xmlpserver/ReportTemplateService.xls</resource>
           <resource>/xmlpserver/report_service</resource>
           <resource>/xmlpserver/services</resource>
           <resource>/analytics/saw.dll/wsdl</resource>
           <resource>/analytics-ws</resource>        
           <resource>/ws/.../*</resource>
           <resource>/wsm-pm</resource>
           <resource>/wsm-pm/.../*</resource>
   </excludedResourcesList>

3. OAM11GRequest_edg.xmlファイルを保存し、閉じます。

15.5.4 RREGツールの実行

次のトピックでは、RREGツールを実行してOracle Access ManagerにOracle HTTP Server WebGateを登録する方法について説明します。

• インバンド・モードでのRREGツールの実行
  
• アウトオブバンド・モードでのRREGツールの実行
  

15.5.4.1 インバンド・モードでのRREGツールの実行

RREGツールをインバンド・モードで実行する手順は次のとおりです。

1. RREGホーム・ディレクトリに変更します。

   インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。

   OAM_ORACLE_HOME/oam/server/rreg

   アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。

2. 次のディレクトリに変更します。

   • (UNIX) RREG_HOME/bin

   • (Windows) RREG_HOME\bin

   cd RREG_HOME/bin/

3. ファイルを実行できるように、oamreg.shコマンドの権限を設定します。

   chmod +x oamreg.sh

4. 次のコマンドを入力します。

   ./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml

この例の説明は、次のとおりです。

• 編集したOAM11GRequest.xmlファイルはRREG_HOME/input ディレクトリにあると想定されます。

• このコマンドの出力は、次のディレクトリに保存されます。

  RREG_HOME/output/

次の例はRREGセッションのサンプルです。

Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are: 
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_iam
Enter admin password: 
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n

----------------------------------------
Request summary:
OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------

Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.

15.5.4.2 アウトオブバンド・モードでのRREGツールの実行

WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml

この例の説明は、次のとおりです。

• RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。

• 編集されたOAM11GRequest.xmlファイルは、RREG_HOME/inputディレクトリに配置されています。

• RREGツールでは、このコマンドの出力(AgentID_response.xmlファイル)が次のディレクトリに保存されます。

  RREG_HOME/output/

  Oracle Access Managerサーバー管理者は、AgentID_response.xmlをOAM11GRequest.xmlファイルを提供したユーザーに送信できます。

Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml

この例の説明は、次のとおりです。

• RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。

• Oracle Access Managerサーバー管理者から提供されたAgentID_response.xmlファイルは、RREG_HOME/inputディレクトリにあります。

• RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。

  RREG_HOME/output/

15.5.5 RREGによって生成されるファイルおよびアーティファクト

RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーの間の通信に使用しているセキュリティ・レベルによって異なります。『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。

この項のRREG_HOMEは、RREGツールを実行したディレクトリのパスで置き換える必要があることに注意してください。これは通常、Oracle Access Managerサーバーの次のディレクトリまたはRREGアーカイブを解凍したディレクトリになります(アウトオブバンド・モードを使用している場合)。

OAM_ORACLE_HOME/oam/server/rreg/client

次の表は、Oracle Access Managerのセキュリティ・レベルにかかわらず、RREGツールによって常に生成されるアーティファクトを示しています。

ファイル	場所
cwallet.sso	RREG_HOME/output/Agent_ID/ 注意: これはOHS 12.2.1.3用です。以前のリリースのOHSについては、Oracle IDMのドキュメントを参照してください。
ObAccessClient.xml	RREG_HOME/output/Agent_ID/

次の表は、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルを示しています。

ファイル	場所
aaa_key.pem	RREG_HOME/output/Agent_ID/
aaa_cert.pem	RREG_HOME/output/Agent_ID/
password.xml	RREG_HOME/output/Agent_ID/
aaa_chain.pem (CERTレベルのみ)	RREG_HOME/output/Agent_ID/

password.xmlファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。

RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。

15.5.6 生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー

RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。

Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。

次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。

注意:

エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。

オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。

証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。

表15-2 生成済アーティファクトをコピーするWeb層のホストの場所

ファイル	OPENモードを使用する場合の場所	SIMPLEモードを使用する場合の場所	CERTモードを使用する場合の場所
wallet/cwallet.sso脚注1	WEB_CONFIG_DIR/webgate/config/wallet	WEB_CONFIG_DIR/webgate/config/wallet/ デフォルトでは、ウォレット・フォルダは使用できません。WEB_CONFIG_DIR/webgate/config/の下にwalletフォルダを作成します。	WEB_CONFIG_DIR/webgate/config/wallet/
ObAccessClient.xml	WEB_CONFIG_DIR/webgate/config	WEB_CONFIG_DIR/webgate/config/	WEB_CONFIG_DIR/webgate/config/
password.xml	N/A	WEB_CONFIG_DIR/webgate/config/	WEB_CONFIG_DIR/webgate/config/
aaa_key.pem	N/A	WEB_CONFIG_DIR/webgate/config/simple/	WEB_CONFIG_DIR/webgate/config/
aaa_cert.pem	N/A	WEB_CONFIG_DIR/webgate/config/simple/	WEB_CONFIG_DIR/webgate/config/

^脚注1 cwallet.ssoは、outputフォルダではなくwalletフォルダからコピーします。同じ名前のファイルが2つ存在していたとしても、それらは別のものです。正しいものは、walletサブディレクトリにあるほうです。

注意:

WEBHOST1およびWEBHOST2にObAccessClient.xmlを再デプロイする必要がある場合、ObAccessClient.xmlのキャッシュされたコピーおよびそのロック・ファイルであるObAccessClient.xml.lckをサーバーから削除します。WEBHOST1のキャッシュの場所は次のとおりです。

WEB_DOMAIN_HOME/servers/ohs1/cache/

WEBHOST2上の2番目のOracle HTTP Serverインスタンスでも同様の手順を実行する必要があります。

WEB_DOMAIN_HOME/servers/ohs2/cache/

15.5.7 ウォレット・アーティファクトへのOHS SimpleCA証明書の挿入

OHSサーバーが11g以前のバージョンのOAMサーバーで構成されている場合は、「生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー」でデプロイしたウォレット・ファイル・アーティファクトに、OHS SimpleCA証明書を挿入する必要があります。

手順は次のとおりです。

1. WEBHOST1で、次のディレクトリに移動します。

   WEB_CONFIG_DIR/webgate/config/wallet

2. SimpleCA証明書をウォレット・ファイルに挿入するには、次のコマンドを実行します。

   WEB_ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet ./ -trusted_cert -cert WEB_ORACLE_HOME/webgate/ohs/tools/openssl/simpleCA/cacert.pem -auto_login_only 

   次のような出力結果が表示されます。

     simpleCA/cacert.pem -auto_login_only
     Oracle PKI Tool : Version 12.2.1.3.0   
    Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved.      
   
    Operation is successfully completed.

3. 証明書の挿入は、次のコマンドで検証します。

   WEB_ORACLE_HOME/oracle_common/bin/orapki wallet display -wallet ./ 

   次のような出力結果が表示されます。

     Oracle PKI Tool : Version 12.2.1.3.0
     Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved.
   
     Requested Certificates:
     User Certificates:
     Oracle Secret Store entries: OAMAgent@#3#@wcedgRwse01Env1Ps3_Key
     Trusted Certificates:
     Subject: CN=NetPoint Simple Security CA - Not for General Use,OU=NetPoint,O=Oblix\, Inc.,L=Cupertino,ST=California,C=US

4. WEBHOST2で、手順1から3を繰り返します。

15.5.8 Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化

Oracle Access Managementサーバーの一部のリリースでは、適切にアップグレードまたはパッチ適用されていない場合にMD5署名を使用することで簡易モードのセキュリティ証明書を実装します。可能であればOAM証明書をSHA-2にアップグレードすることをお薦めします。競合する複数バージョンのOracle HTTPサーバーをご利用の場合、このアップグレードができない可能性があります。

証明書をアップグレードできない場合は、MD5署名のサポートを手動で有効化し、webgateを簡易セキュリティ・モードで使用するときにOracle HTTP server 12.2.1.xでOracle Access Manager 11gのMD5証明書を使用できるようにします。

各OHSインスタンスでMD5証明書の署名を有効にするには、次の手順を実行します。

1. WEBHOST1で、次のディレクトリに移動します。

   WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1

2. ohs.plugins.nodemanager.propertiesファイルを開き、次の行を追加してファイルを保存します。

   environment.ORACLE_SSL_ALLOW_MD5_CERT_SIGNATURES = 1

3. WEBHOSTnサーバーの他のすべてのインスタンスについて、手順1および2を繰り返します。

   たとえば、WEBHOST2のohs2インスタンスです。

   注意:

   変更は、次のトピックでインスタンスを再起動すると有効になります。

15.5.9 Oracle HTTP Serverインスタンスの再起動

Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。

WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。

15.6 WebLogic Server認証プロバイダの設定

WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。

次のトピックでは、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従って、LDAPオーセンティケータを構成済であることが前提となります。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。

• 構成ファイルのバックアップ
  
• Oracle Access Manager IDアサーション・プロバイダの設定
  
• デフォルト・オーセンティケータの更新およびプロバイダの順序の設定
  

15.6.1 構成ファイルのバックアップ

まず、次の関連する構成ファイルをバックアップする必要があります。

ASERVER_HOME/config/config.xml
ASERVER_HOME/config/fmwconfig/jps-config.xml
ASERVER_HOME/config/fmwconfig/system-jazn-data.xml

管理サーバーのboot.propertiesファイルもバックアップします。

ASERVER_HOME/servers/AdminServer/security/boot.properties

15.6.2 Oracle Access Manager IDアサーション・プロバイダの設定

Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。

Oracle Access Manager IDアサーション・プロバイダを設定する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
2. 「ロックして編集」をクリックします。
3. 左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
4. myrealmというデフォルト・レルム・エントリをクリックします。
5. 「プロバイダ」タブをクリックします。
6. 「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
7. アサータに名前(OAM ID Asserterなど)を付け、「OK」をクリックします。
8. 新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
9. 制御フラグを「必須」に設定します。
10. 選択タイプで、デフォルトで選択されていない場合は「ObSSOCookie」および「OAM_REMOTE_USER」オプションを選択します。
11. 「保存」をクリックして設定を保存します。
12. 「変更のアクティブ化」をクリックして変更を伝播します。

15.6.3 デフォルト・オーセンティケータの更新およびプロバイダの順序の設定

WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。

デフォルト・オーセンティケータを更新し、プロバイダの順序の設定するには、次のようにします。

1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
2. 「ロックして編集」をクリックします。
3. 左側のナビゲーションから、「セキュリティ・レルム」を選択します。
4. myrealmというデフォルト・レルム・エントリをクリックします。
5. 「プロバイダ」タブをクリックします。
6. プロバイダの表で、DefaultAuthenticatorをクリックします。
7. 「制御フラグ」をSUFFICIENTに設定します。
8. 「保存」をクリックして設定を保存します。
9. ナビゲーション・ブレッドクラムから、「プロバイダ」をクリックして、プロバイダのリストに戻ります。
10. 「並替え」をクリックします。
11. プロバイダをソートして、OAMアイデンティティ・アサーション・プロバイダが最初で、DefaultAuthenticatorプロバイダが最後になるようにします。

    表15-3 ソート順

    ソート順序	プロバイダ	制御フラグ
    1	OAMIdentityAsserter	REQUIRED
    2	LDAP認証プロバイダ	SUFFICIENT
    3	DefaultAuthenticator	SUFFICIENT
    4	信頼サービスIDアサータ	N/A
    5	DefaultIdentityAsserter	N/A

12. 「OK」をクリックします。
13. 「変更のアクティブ化」をクリックして変更を伝播します。
14. 必要に応じて、管理サーバー、管理対象サーバーおよびシステム・コンポーネントを停止します。
15. 管理サーバーを再起動します。
16. SSOによりADFコンソールを構成する場合は、管理対象サーバーを停止したままにして後から再開できます。そうでない場合は、ここで管理対象サーバーを再起動する必要があります。

15.7 Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成

一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xmlファイルを構成して、これらの機能を有効化する必要があります。

ドメインレベルのjps-config.xmlファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。

ASERVER_HOME/config/fmwconfig/jps-config.xml

注意:

ドメインレベルのjps-config.xmlをカスタム・アプリケーションでデプロイされたjps-config.xmlと混同しないでください。

OPSS構成を更新してOracle Access ManagerにSSOアクションを委任する手順は次のとおりです。

1. 次のディレクトリに変更します。
   ORACLE_COMMON_HOME/common/bin
2. WebLogic Server Scripting Tool (WLST)を起動します。
   ./wlst.sh
3. 次のWLSTコマンドを使用して管理サーバーに接続します。
   connect(‘admin_user’,’admin_password’,’admin_url’)

   次に例を示します。

   connect(‘weblogic_bi’,’mypassword’,’t3://ADMINVHN:7001’)

4. 次に示すように、addOAMSSOProviderコマンドを実行します。
   addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html")

   次の表は、addOAMSSOProviderコマンドにおける各引数の予想される値を定義しています。

   表15-4 addOAMSSOProviderコマンドにおける引数の期待値

   引数	定義
   loginuri	ログイン・ページのURIを指定します 注意: ADFセキュリティが有効なアプリケーションの場合、"/context-root/adfAuthentication"を'loginuri'パラメータに指定する必要があります。 次に例を示します。 /${app.context}/adfAuthentication 注意: ${app.context}は、表示されているとおりに入力する必要があります。実行時に、アプリケーションによって変数が適切に置き換えられます。 手順を示します。 たとえば、ユーザーがOPSSの認証ポリシーで保護されているリソースにアクセスします。 ユーザーがまだ認証されていない場合、ADFはユーザーをloginuriで設定したURIにリダイレクトします。 Access Managerにはloginuriの値を保護するポリシー(たとえば、"/context-root/adfAuthentication")が存在する必要があります。 ADFがこのURIにリダイレクトすると、Access Managerにより「ログイン」ページが表示されます(このURI用のAccess Managerで構成された認証スキームにより異なる)。
   logouturi	ログアウト・ページのURIを指定します通常、loginurlの値は/oam/logout.htmlです。
   autologinuri	自動ログイン・ページのURIを指定します。これはオプションのパラメータです。

5. 次のコマンドを実行して、管理サーバーから切断します。
   disconnect()
6. 管理サーバーおよび管理対象サーバーを再起動します。

15.8 アプリケーションのシングル・サインオンの構成

この項では、BIアプリケーションのシングル・サインオン(SSO)を有効化する方法について説明します。

次のトピックが含まれています

• Oracle BI EEのためのシングル・サインオンおよびOracle Access Managerの有効化
  
• Oracle BI Publisherのためのシングル・サインオンおよびOracle Access Managerの有効化
  

15.8.1 Oracle BI EEのためのシングル・サインオンおよびOracle Access Managerの有効化

次の手順を実行して、Oracle Business Intelligence Enterprise Edition (BI EE)でシングル・サインオン(SSO)とOracle Access Managerを有効化します。

1. WLSTを起動します。

   cd ORACLE_HOME/oracle_common/common/bin
   ./wlst.sh

2. 更新用のBI管理サーバー・ドメインを開きます。

   wls:/offline> readDomain(‘ASERVER_HOME’)

   この例では、ASERVER_HOMEを、共有記憶域デバイスに作成したドメイン・ディレクトリの実際のパスに置き換えます。

3. 次のコマンドを実行して、Oracle BI EEでSSOを有効化し、Oracle BIプレゼンテーション・サービス・プロセスのログアウト情報を構成します。

   wls:/offline/bi_domain> enableBISingleSignOn('ASERVER_HOME','http://oam_host:oam_port/oamsso/logout.html')

   この例の説明は、次のとおりです。

   • ASERVER_HOMEを、共有記憶域デバイスに作成したドメイン・ディレクトリの実際のパスに置き換えます。

   • http://oam_host:oam_port/oamsso/logout.htmlは、SSOプロバイダ(Oracle Access Manager)のログオフURLです。

4. ドメインを更新して保存します。

   wls:/offline/bi_domain> updateDomain()

5. ドメインを閉じます。

   wls:/offline/bi_domain> closeDomain()

6. WLSTを終了します。

   wls:/offline> exit()

7. 管理サーバー、管理対象サーバーおよびシステム・コンポーネントを再起動します。

15.8.2 Oracle BI Publisherのためのシングル・サインオンおよびOracle Access Managerの有効化

次の手順を実行して、Oracle BI Publisherでシングル・サインオン(SSO)とOracle Access Managerを有効化します。

1. 次のどちらかのURLを使用してBI Publisherにログインします。
   • http://BIHOST1:7003/xmlpserver
   • http://BIHOST2:7003/xmlpserver

   次にリダイレクトされます。

   http://bi.example.com/xmlpserver

2. BI Publisherで、「管理」をクリックし、「セキュリティ構成」をクリックします。
3. 「セキュリティ構成」ページのシングル・サインオン・セクションで次の情報を入力します。
   1. 「シングル・サインオンの使用」を選択します。
   2. 「シングル・サインオン・タイプ」で「Oracle Access Manager」を選択します。
   3. 「シングル・サインオフURL」で、次の形式でURLを入力します。

      http://oam_host:oam_port/oamsso/logout.html

   4. 「ユーザー名パラメータ」にOAM_REMOTE_USERと入力します。
4. 「適用」をクリックします。
5. WebLogic管理コンソールからbipublisherアプリケーションを再起動します。
   『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle WebLogic Server管理コンソールを使用するJavaコンポーネントの起動および停止に関する項を参照してください。