エンタープライズ・デプロイメント用のシングル・サインオンの構成

20 エンタープライズ・デプロイメント用のシングル・サインオンの構成

Oracle Access Managerでシングル・サインオンを有効化するために、Oracle HTTP Server WebGateを構成する必要があります。

Oracle HTTP Server Webゲートについて
Oracle HTTP Server Webゲートは、HTTPリクエストを捕捉して認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle HTTP Server WebGateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。
OHS 12c Webgateの構成に関するエンタープライズ・デプロイメントの前提条件
Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。
エンタープライズ・デプロイメント用のOracle HTTP Server 12c WebGateの構成
WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次のステップを実行する必要があります。
Oracle Access ManagerへのOracle HTTP Server WebGateの登録
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
WebLogic Server認証プロバイダの設定
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションはユーザー認証のためにOracle Platform Security Services (OPSS) SSOを利用できますが、これらの機能を有効にするために、まずドメインレベルのjps-config.xmlファイルを構成する必要があります。

上位トピック: 「エンタープライズ・デプロイメントの共通の構成および管理手順」

Oracle HTTP Server Webゲートについて

Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。

Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録および管理に関する項を参照してください。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

Oracle HTTP Server Webgateの構成の一般的な前提条件

Oracle HTTP Server WebGateを構成するには、Oracle Access Managerの認定バージョンをインストールして構成しておく必要があります。

最新情報は、「Oracle Fusion Middlewareのサポートされるシステム構成」ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。

WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。

ノート:

本番環境では、エンタープライズ・デプロイメントをホストするマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。

Oracle Access Managerの詳細は、Oracle Help Centerの「Middlewareドキュメント」にあるOracle Identity and Access Managementの最新ドキュメントを参照してください。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

OHS 12c Webgateを構成するためのエンタープライズ・デプロイメントの前提条件

Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。

Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境にOracle Access Managerをデプロイする方法の詳細は、ご使用バージョンに対応する『Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlでシングル・サインオンを有効にするには、集中管理型LDAPでプロビジョニングされた管理ユーザーをOracle Access Managerが使用しているディレクトリ・サービス(たとえば、Oracle Internet DirectoryまたはOracle Unified Directory)に追加する必要があります。LDAPディレクトリに追加する必須ユーザーおよびグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順を参照してください。

ノート:

目的のOracle Access Managerデプロイメントで動作保証されているWebGateバージョンの使用をお薦めします。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

エンタープライズ・デプロイメントでのOracle HTTP Server 12c WebGateの構成

WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次のステップを実行する必要があります。

次の手順では、ディレクトリ変数(WEB_ORACLE_HOMEやWEB_CONFIG_DIRなど)を「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。

Web層ドメインの完全なバックアップを実行します。
Oracle HTTP Server Oracleホームの次の場所に、ディレクトリを変更します。

cd WEB_ORACLE_HOME/webgate/ohs/tools/deployWebGate/
次のコマンドを実行して、WebGateインスタンスのディレクトリを作成し、OHSインスタンスでのWebGateログインを有効にします。
```
./deployWebGateInstance.sh -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME
```

webgateディレクトリおよびサブディレクトリがdeployWebGateInstanceコマンドによって作成されたことを確認します。

ls -lat WEB_CONFIG_DIR/webgate/
total 16
drwxr-x---+ 8 orcl oinstall 20 Oct  2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall  4 Oct  2 07:14 .
drwxr-xr-x+ 3 orcl oinstall  3 Oct  2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall  4 Oct  2 07:14 config

次のコマンドを実行し、LD_LIBRARY_PATH変数にWEB_ORACLE_HOME/libディレクトリ・パスが含まれるようにします。

export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
ディレクトリを次のディレクトリに変更します。

WEB_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
次のコマンドをInstallToolsディレクトリで実行します。

./EditHttpConf -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME -o output_file_name

ノート:

-oh WEB_ORACLE_HOMEパラメータと-o output_file_nameパラメータはオプションです。

このコマンドは次の処理を実行します。
- Oracle HTTP Server Oracleホームのapache_webgate.templateファイルを、Oracle HTTP Server構成ディレクトリの新しいwebgate.confファイルにコピーします。
- httpd.confファイルを更新して、webgate.confを含むように1行を追加します。
- WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.confですが、コマンドに-o output_file_name引数を使用して、カスタム名を使用できます。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

Oracle Access ManagerへのOracle HTTP Server Webゲートの登録

Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。

詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

RREGツールの場所と準備

RREGツールを設定するには、次のステップを実行します。

アプリケーション層でOracle Access Managerホストの1つにサインインします。
Oracle Access Manager Oracleホームの次のディレクトリに変更します。

OAM_ORACLE_HOME/oam/server/rreg/client

ノート:
場所はアウトオブバンド・モードの場合のみ必要です。

この例では、OAM_ORACLE_HOMEはOracle Access ManagerソフトウェアがインストールされたシステムのOracleホームです。

ノート:
『Oracle Enterprise IDMデプロイメント・ガイド』が使用されている場合、OAM_ORACLE_HOMEは/u01/oracle/products/access/iamになる可能性があります。

ノート:
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用して必要なファイルを生成し、WebGateをOracle Access Managerに登録できます。「RREGインバンドおよびアウトオブバンド・モードについて」を参照してください。
RREG.tar.gzファイルを必要なディレクトリに解凍します。
解凍されたディレクトリから、oamreg.shファイルを開き、次の環境変数を次のようにファイルに設定します。
- OAM_REG_HOMEを、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。
  
  JDK_HOMEを、サポート対象のJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

RREGインバンドおよびアウトオブバンド・モードについて

RREGツールはインバンドとアウトバンドのいずれかのモードで実行できます。

Oracle Access Managerサーバーにアクセスする権限があり、Oracle Access Manager Oracleホームから自分でRREGツールを実行するときは、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。

アウトオブバンド・モードを使用するのは、Oracle Access Managerサーバーに対する権限またはアクセス権がない場合です。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードではプロセスが次のように処理されます。

Oracle Access Managerサーバー管理者により、RREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。

サーバー管理者は、このファイルをRREGツールの検索と準備で説明されている場所で見つけることができます。
サーバー管理者から提供されたRREG.tar.gzファイルを解凍します。

たとえば:

gunzip RREG.tar.gz

tar -xvf RREG.tar

RREGアーカイブを解凍したら、エージェントを登録するツールが次の場所に見つかります。

RREG_HOME/bin/oamreg.sh

この例では、RREG_HomeはRREGアーカイブの内容を抽出したディレクトリです。
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用してOAM11GRequest.xmlファイルを更新し、完成したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。
Oracle Access Managerサーバー管理者は、次に「RREGツールをアウトオブバンド・モードで実行」の手順を使用して、RREGツールを実行しAgentID_response.xmlファイルを生成します。
Oracle Access Managerサーバー管理者からAgentID_response.xmlファイルが送信されます。
「RREGツールをアウトオブバンド・モードで実行」の手順を使用し、AgentID_response.xmlファイルに対してRREGツールを実行し、必要なアーティファクトとファイルをクライアント・システムで生成します。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

OAM11gRequest.xmlファイルでの標準プロパティの更新

WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xmlファイルでいくつかの必須プロパティを更新する必要があります。

ノート:

提供されたXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドにデフォルト値が使用される簡略バージョン(OAM11gRequest_short.xml)を使用できます。
プライマリ・サーバー・リストでは、デフォルト名がOAM_SERVER1およびOAM_SERVER2 for OAMサーバーと示されています。サーバー名が環境で変更された場合、リストでこれらの名前を変更します。

このタスクを実行するには、次のようにします。

インバンド・モードを使用している場合、ディレクトリをいずれかのOAMサーバー上の次の場所に変更します。
```
OAM_ORACLE_HOME/oam/server/rreg/input
```
アウトオブバンド・モードを使用している場合は、ディレクトリを、WEBHOST1サーバー上のRREGアーカイブを解凍した場所に変更します。
OAM11GRequest.xmlファイル・テンプレートのコピーを、環境に固有の名前で作成します。

cp OAM11GRequest.xml OAM11GRequest_edg.xml
ファイルにリストされているプロパティを確認し、OAM11GRequest.xmlファイルのコピーを更新して、プロパティが環境に固有のホスト名およびその他の値を参照するようにします。

表20-1 OAM11GRequest.xmlファイルのフィールド。

OAM11gRequest.xmlプロパティ	設定内容
`serverAddress`	Oracle Access Managerドメインの管理サーバーのホストとポート。
`agentName`	エージェントの任意のカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。
`applicationDomain`	シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。
`security`	Oracle Access Managementサーバーで構成されているセキュリティ・モードに設定する必要があります。これは、open、simple、certificateの3つのモードのいずれかになります。ノート: エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化用のカスタム・セキュリティ証明書を実装する追加の要件が存在しないかぎり、簡易モードをお薦めします。オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどのケースでオープン・モードは使用しないでください。証明書モードの使用の詳細またはOracle Access Managerでサポートされるセキュリティ・モードの概要は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信のセキュア設定に関する項を参照してください。
`cachePragmaHeader`	プライベート
`cacheControlHeader`	プライベート
`ipValidation`	0 `<ipValidation>0</ipValidation>` ipValidationが'1'に設定されている場合は、Cookieに格納されているIPアドレスとクライアントのIPアドレスが一致する必要があり、一致しない場合はSSO Cookieが拒否されるため、ユーザーは再認証が必要になります。これは、一部のWebアプリケーションで問題の原因になることがあります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。'0'に設定すると、IP検証が無効になります。
`ipValidationExceptions`	ipValidationが'0'の場合は、空にすることができます。 IPの検証がtrueの場合、IPアドレスはIP検証例外リストと比較されます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。たとえば、フロントエンド・ロード・バランサのIPアドレスは次のようになります。 `<ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidationExceptions>`
`agentBaseUrl`	Oracle HTTP 12c WebGateがインストールされているWEBHOSTnマシンの前面にあるフロントエンド・ロード・バランサVIPのホストとポートを含む完全修飾URL。たとえば: `<agentBaseUrl> https://wcc.example.com:443 </agentBaseUrl>`
`virtualHost`	管理VIPのSSO保護など、`agentBaseUrl`以上のものを保護するときは、trueに設定します。
`hostPortVariationsList`	WebGatesによって保護される各ロード・バランサのURLに、`hostPortVariation`ホストおよびポート要素を追加します。たとえば: `<hostPortVariationsList> <hostPortVariations> <host>wccinternal.example.com</host> <port>80</port> </hostPortVariations> <hostPortVariations> <host>admin.example.com</host> <port>80</port> </hostPortVariations> <hostPortVariations> <host>osb.example.com</host> <port>443</port> </hostPortVariations> </hostPortVariationsList>`
`logOutUrls`	空白のままにします。ログアウトURLによってログアウト・ハンドラがトリガーされ、これによってCookieが削除されるため、Access Managerによって保護されたリソースにユーザーが次回アクセスすると、再認証が要求されます。ログアウトURLが構成されていない場合、要求URLの確認はlogout.に対して行われ、このURLが見つかった場合も(logout.gifとlogout.jpgを除く)ログアウト・ハンドラがトリガーされます。このプロパティに値が設定されている場合、使用されているすべてのログアウトURLを追加する必要があります。
`primaryServerList`	OAM管理対象サーバーのホストとポートが、このリストと一致することを確認します。例: `<primaryServerList> <Server> <host>wls_oam1</host> <port>14100</port> <numOfConnections>1</numOfConnections> </Server> <Server> <host>wls_oam2</host> <port>14100</port> <numOfConnections>2</numOfConnections> </Server> </primaryServerList>`

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

エンタープライズ・デプロイメントの保護リソース、パブリック・リソースおよび除外リソースの更新

Oracle Fusion Middleware環境でシングル・サインオンを設定するとき、Oracle Access Managerでシングル・サインオンによって保護する一連のURLを指定します。これらを指定するには、OAM11gRequest.xmlファイルの特定のセクションを使用します。URLを指定するには、次の手順に従います。

コピーしたOAM11GRequest_edg.xmlファイルがまだ編集用に開かれていない場合は、ファイルを探してテキスト・エディタで開きます。

「RREGツールの場所と準備」を参照

「OAM11gRequest.xmlファイルでの標準プロパティの更新」を参照してください

ファイルのサンプル・エントリを削除してから、次の例に示すように、保護リソース、パブリック・リソースおよび除外リソースをファイルの該当するセクションに入力します。

ノート:

Oracle Access Manager 11gリリース2 (11.1.2.2)以上を使用している場合、Oracle Access Managerの前のバージョンとの下位互換性のためにワイルドカード構文のエントリ(.../*)がこの例に含められます。

<protectedResourcesList>
        <resource>/adfAuthentication</resource>
        <resource>/ibr/adfAuthentication</resource>
        <resource>/imaging/faces</resource>
        <resource>/em</resource>
        <resource>/console</resource>
        <resource>/DefaultToDoTaskFlow</resource>
        <resource>/sdpmessaging/userprefs-ui</resource>
        <resource>/integration/worklistapp</resource>
        <resource>/workflow/sdpmessagingsca-ui-worklist</resource>
        <resource>/soa/composer</resource>
        <resource>/soa-infra/deployer</resource>
        <resource>/soa-infra/events/edn-db-log</resource>
        <resource>/soa-infra/cluster/info</resource>
        <resource>/soa-infra</resource>
        <resource>/dc-console/adfAuthentication</resource>
        <resource>/dc-client/adfAuthentication</resource>
        <resource>/wcc/adfAuthentication</resource>
    </protectedResourcesList>
    <publicResourcesList>
        <resource>/cs</resource>
        <resource>/_ocsh</resource>
        <resource>/_dav</resource>
        <resource>/imaging</resource>
        <resource>/soa-infra/directWSDL</resource>
        <resource>/dc-console</resource>
        <resource>/wcc</resource>
   </publicResourcesList>
   <excludedResourcesList>
        <resource>/imaging/jnlp</resource> 
        <resource>/wsm-pm</resource>
        <resource>/soa-infra/services</resource>
        <resource>/ucs/messaging/webservice</resource>
        <resource>/imaging/ws</resource>
        <resource>/idcnativews</resource>
        <resource>/imaging/lib</resource>
        <resource>/cs/common/idcapplet.jar</resource>
        <resource>/cs/common/checkoutandopen*.jar </resource>
        <resource>/cs/images</resource>
        <resource>/dc-client</resource>
        <resource>/axf-ws</resource>
   </excludedResourcesList>

OAM11GRequest_edg.xmlファイルを保存し、閉じます。

ノート:

11g Webgateの場合は、セキュリティを考慮してユーザー定義パラメータfilterOAMAuthnCookie (デフォルトはtrueに設定)を使用して、OAMAuthnCookieをダウンストリーム・アプリケーションに渡すことを防止できます。IPMのような一部の製品では、filterOAMAuthnCookieパラメータをfalseに設定する必要があります。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

RREGツールの実行

ここでは、RREGツールを実行してOracle HTTP Server WebGateをOracle Access Managerに登録するための情報を説明します。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

RREGツールをインバンド・モードで実行

RREGツールをインバンド・モードで実行するには:

RREGホーム・ディレクトリに変更します。

インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
```
OAM_ORACLE_HOME/oam/server/rreg
```
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリはRREGアーカイブを解凍した場所です。
次のディレクトリを変更します。
- (UNIX) RREG_HOME/bin
- (Windows) RREG_HOME\bin
```
cd RREG_HOME/bin/
```
ファイルを実行できるように、oamreg.shコマンドの権限を設定します。
```
chmod +x oamreg.sh
```

次のコマンドを入力します。

./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml

この例では、次のとおりです。

編集したOAM11GRequest.xmlファイルはRREG_HOME/input ディレクトリにあると想定されます。
このコマンドの出力は次のディレクトリに保存されます。
```
RREG_HOME/output/
```

次の例はサンプルのRREGセッションです。

Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are: 
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_iam
Enter admin password: 
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n

----------------------------------------
Request summary:
OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------

Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.

親トピック: RREGツールの実行

RREGツールをアウトオブバンド・モードで実行

WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するためには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml

この例では、次のとおりです。

RREGアーカイブ・ファイルが解凍されたサーバー上の場所でRREG_HOMEを置き換えます。
編集済のOAM11GRequest.xmlファイルはRREG_HOME/inputディレクトリにあります。
RREGツールは、このコマンドの出力(AgentID_response.xmlファイル)を次のディレクトリに保存します。
```
RREG_HOME/output/
```
この後で、Oracle Access Managerサーバー管理者は、OAM11GRequest.xmlファイルを提供したユーザーにAgentID_response.xmlを送信できます。

Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml

この例では、次のとおりです。

RREGアーカイブ・ファイルを解凍したクライアント・システム上の場所でRREG_HOMEを置き換えます。
AgentID_response.xmlファイル(Oracle Access Managerサーバー管理者が提供)は、 RREG_HOME/inputディレクトリにあります。
RREGツールは、このコマンドの出力(WebGateソフトウェアを登録するために必要なアーティファクトとファイル)をクライアント・マシンの次のディレクトリに保存します。
```
RREG_HOME/output/
```

親トピック: RREGツールの実行

RREGによって生成されるファイルおよびアーティファクト

RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバー間の通信で使用しているセキュリティ・レベルによって異なります。『Oracle Access Management管理者ガイド』の「OAMサーバーとWebゲート間の通信の保護」を参照してください。

このトピックでは、RREG_HOMEへの参照が、RREGツールを実行したディレクトリへのパスに置き換えられる必要があります。通常はOracle Access Managerサーバーの次のディレクトリ、またはRREGアーカイブを解凍したディレクトリ(アウトオブバンド・モードを使用している場合)です。

OAM_ORACLE_HOME/oam/server/rreg/client

次の表に、Oracle Access Managerセキュリティ・レベルにかかわらずRREGツールによって常に生成されるアーティファクトを示します。

ファイル	場所
`cwallet.sso`	`RREG_HOME/output/Agent_ID/` - WebGate 11g (11.1.2.3)の場合。 `RREG_HOME/output/Agent_ID/wallet` - WebGate 11g (11.1.2.2)およびOHS 12cの場合。
`ObAccessClient.xml`	`RREG_HOME/output/Agent_ID/`

次の表には、Oracle Access ManagerでSIMPLEまたはCERTセキュリティ・レベルを使用する場合に追加作成される表を示します。

ファイル	場所
`aaa_key.pem`	`RREG_HOME/output/Agent_ID/`
`aaa_cert.pem`	`RREG_HOME/output/Agent_ID/`
`password.xml`	`RREG_HOME/output/Agent_ID/`

password.xmlファイルには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれることに注意してください。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。

RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー

RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。

Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。

次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。場合によっては、存在していないディレクトリを作成する必要があります。たとえば、ウォレット・ディレクトリは構成ディレクトリ内に存在していないことがあります。

ノート:

エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化用のカスタム・セキュリティ証明書を実装する追加の要件が存在しないかぎり、簡易モードをお薦めします。オープン・モードまたは証明書モードの使用に関する情報も便宜上ここに示します。

オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードは使用しないでください。

証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。

表20-2 生成済アーティファクトをコピーするWeb層のホストの場所

ファイル	OPENモード使用時の場所	SIMPLEモード使用時の場所	CERTモード使用時の場所
`wallet/cwallet.sso`^脚注1	`WEB_CONFIG_DIR/webgate/config/wallet`	`WEB_CONFIG_DIR/webgate/config/wallet` デフォルトでは、walletフォルダは使用できません。`WEB_CONFIG_DIR/webgate/config/`の下にwalletフォルダを作成します。	`WEB_CONFIG_DIR/webgate/config/wallet`
`ObAccessClient.xml`	`WEB_CONFIG_DIR/webgate/config`	`WEB_CONFIG_DIR/webgate/config`	`WEB_CONFIG_DIR/webgate/config`
`password.xml`	該当なし	`WEB_CONFIG_DIR/webgate/config`	`WEB_CONFIG_DIR/webgate/config`
`aaa_key.pem`	該当なし	`WEB_CONFIG_DIR/webgate/config/simple/`	`WEB_CONFIG_DIR/webgate/config`
`aaa_cert.pem`	該当なし	`WEB_CONFIG_DIR/webgate/config/simple/`	`WEB_CONFIG_DIR/webgate/config`

^脚注1cwallet.ssoは、outputフォルダではなくwalletフォルダからコピーします。同じ名前のファイルが2つ存在していたとしても、それらは別のものです。正しいものは、walletサブディレクトリにあるほうです。

ノート:

WEBHOST1およびWEBHOST2にObAccessClient.xmlを再デプロイする必要がある場合、サーバーからObAccessClient.xmlのキャッシュされたコピー、およびそのロック・ファイルObAccessClient.xml.lckを削除します。WEBHOST1上のキャッシュ先は次のとおりです。

WEB_DOMAIN_HOME/servers/ohs1/cache/

WEBHOST2上の2番目のOracle HTTP Serverインスタンスでも同様のステップを実行する必要があります。

WEB_DOMAIN_HOME/servers/ohs2/cache/

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

OHS SimpleCA証明書のウォレット・アーティファクトへの挿入

OHSサーバーが11gまたは以前のバージョンのOAMサーバーで構成されている場合は、「生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー」でデプロイしたウォレット・ファイル・アーティファクトにOHS SimpleCA証明書を挿入する必要があります。

ステップは次のとおりです。

WEBHOST1で、次のディレクトリに移動します。
```
WEB_CONFIG_DIR/webgate/config/wallet
```

次のコマンドを実行して、ウォレット・ファイルにSimpleCA証明書を挿入します。

WEB_ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet ./ -trusted_cert -cert WEB_ORACLE_HOME/webgate/ohs/tools/openssl/simpleCA/cacert.pem -auto_login_only

次のような出力結果が表示されます。

  simpleCA/cacert.pem -auto_login_only
  Oracle PKI Tool : Version 12.2.1.3.0   
 Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved.      

 Operation is successfully completed.

次のコマンドで、証明書の挿入を確認します。

WEB_ORACLE_HOME/oracle_common/bin/orapki wallet display -wallet ./

次のような出力結果が表示されます。

  Oracle PKI Tool : Version 12.2.1.3.0
  Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved.

  Requested Certificates:
  User Certificates:
  Oracle Secret Store entries: OAMAgent@#3#@wcedgRwse01Env1Ps3_Key
  Trusted Certificates:
  Subject: CN=NetPoint Simple Security CA - Not for General Use,OU=NetPoint,O=Oblix\, Inc.,L=Cupertino,ST=California,C=US

WEBHOST2で、ステップ1からステップ3を繰り返します。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化

Oracle Access Managementサーバーの一部のリリースでは、適切にアップグレードまたはパッチ適用されていない場合にMD5署名を使用することで簡易モードのセキュリティ証明書を実装します。可能な場合、OAM証明書をSHA-2証明書にアップグレードすることをお薦めします。これは、対処が必要なOracle HTTPサーバーのバージョンが複数ある場合は不可能である可能性があります。

証明書をアップグレードできない場合は、MD5署名のサポートを手動で有効化し、webgateを簡易セキュリティ・モードで使用するときにOracle HTTP server 12.2.1.xでOracle Access Manager 11gのMD5証明書を使用できるようにします。

各OHSインスタンスでMD5証明書の署名を有効にするには、次のステップを実行します。

WEBHOST1で、次のディレクトリに変更します。

WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1
ohs.plugins.nodemanager.propertiesファイルを開き、次の行を追加してファイルを保存します。
```
environment.ORACLE_SSL_ALLOW_MD5_CERT_SIGNATURES = 1
```
WEBHOSTnサーバーの他のすべてのインスタンスについて、ステップ1および2を繰り返します。

たとえば、WEBHOST2のohs2インスタンスです。

ノート:
変更は、次のトピックでインスタンスを再起動すると有効になります。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

Oracle HTTP Serverインスタンスの再起動

Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle Fusion Middleware Oracle HTTP Serverの管理』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。

WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle Fusion Middleware Oracle HTTP Serverの管理』のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

WebLogic Server認証プロバイダの設定

WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。

ここでは、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」のステップに従ってLDAPオーセンティケータをすでに構成していると仮定しています。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

構成ファイルのバックアップ

まず、念のために、次の関連する構成ファイルをバックアップします。

ASERVER_HOME/config/config.xml
ASERVER_HOME/config/fmwconfig/jps-config.xml
ASERVER_HOME/config/fmwconfig/system-jazn-data.xml

管理サーバーのboot.propertiesファイルもバックアップします。

ASERVER_HOME/servers/AdminServer/security/boot.properties

親トピック: WebLogic Server認証プロバイダの設定

Oracle Access Manager IDアサーション・プロバイダの設定

Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。

Oracle Access Manager IDアサーション・プロバイダを設定するには:

WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
myrealmというデフォルト・レルム・エントリをクリックします。
「プロバイダ」タブをクリックします。
「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
アサータに名前(OAM ID Asserterなど),を付け、「OK」をクリックします。
新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
制御フラグを「必須」に設定します。
選択タイプで、「ObSSOCookie」および「OAM_REMOTE_USER」オプションがデフォルトで選択されていない場合は両方を選択します。
「保存」をクリックして設定を保存します。
「変更のアクティブ化」をクリックして変更を伝播します。

親トピック: WebLogic Server認証プロバイダの設定

デフォルト・オーセンティケータの更新およびプロバイダ順序の設定

WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。

デフォルト・オーセンティケータを更新し、プロバイダの順序を設定するには:

WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
左側のナビゲーションから「セキュリティ・レルム」を選択します。
myrealmというデフォルト・レルム・エントリをクリックします。
「プロバイダ」タブをクリックします。
プロバイダの表から「DefaultAuthenticator」をクリックします。
「制御フラグ」をSUFFICIENTに設定します。
「保存」をクリックして設定を保存します。
ナビゲーション・ブレッドクラムから「プロバイダ」をクリックして、プロバイダのリストに戻ります。
「並替え」をクリックします。

OAMアイデンティティ・アサーション・プロバイダが最初で、DefaultAuthenticatorプロバイダが最後になるように、プロバイダをソートします。

表20-3 ソート順

ソート順	プロバイダ	制御フラグ
1	OAMIdentityAsserter	`REQUIRED`
2	LDAP認証プロバイダ	`SUFFICIENT`
3	DefaultAuthenticator	`SUFFICIENT`
4	トラスト・サービス・アイデンティティ・アサータ	`N/A`
5	DefaultIdentityAsserter	`N/A`

「OK」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
必要に応じて、管理サーバー、管理対象サーバーおよびシステム・コンポーネントを停止します。
管理サーバーを再起動します。
SSOによりADFコンソールを構成する場合は、管理対象サーバーを停止したままにして後から再開できます。そうでない場合は、ここで管理対象サーバーを再起動する必要があります。

親トピック: WebLogic Server認証プロバイダの設定

Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成

一部のOracle Fusion Middleware管理コンソールは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework (Oracle ADF)セキュリティを使用します。これらのアプリケーションはユーザー認証のためにOracle Platform Security Services (OPSS) SSOを利用できますが、これらの機能を有効にするために、まずドメインレベルのjps-config.xmlファイルを構成する必要があります。

ドメインレベルのjps-config.xmlファイルは、Oracle Fusion Middlewareドメインを作成すると次の場所に配置されます。

ASERVER_HOME/config/fmwconfig/jps-config.xml

ノート:

ドメインレベルのjps-config.xmlをカスタム・アプリケーションでデプロイされたjps-config.xmlと混同しないでください。

OPSS構成を更新してOracle Access ManagerにSSOアクションを委任するステップは次のとおりです。

次のディレクトリを変更します。
ORACLE_COMMON_HOME/common/bin
WebLogic Server Scripting Tool (WLST)を起動します。
./wlst.sh
次のWLSTコマンドを使用して管理サーバーに接続します。
connect(‘admin_user’,’admin_password’,’admin_url’)

たとえば:

connect(‘weblogic_wcc’,’mypassword’,’t3://ADMINVHN:7001’)

次に示すように、addOAMSSOProviderコマンドを実行します。

addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html")

次の表は、addOAMSSOProviderコマンドにおける各引数の予想される値を定義しています。

表20-4 addOAMSSOProviderコマンドにおける引数の期待値

引数定義

引数	定義
loginuri	ログイン・ページのURIを指定しますノート: ADFセキュリティが有効なアプリケーションの場合、loginuriパラメータに/context-root/adfAuthenticationを指定する必要があります。たとえば: /${app.context}/adfAuthentication ノート: `${app.context}`は表示されているとおりに入力する必要があります。実行時に、アプリケーションによって変数が適切に置換されます。手順を示します。たとえば、ユーザーがOPSSの認証ポリシーで保護されているリソースにアクセスします。ユーザーがまだ認証されていない場合、ADFはユーザーをloginuriで設定したURIにリダイレクトします。 Access Managerにはloginuriの値を保護するポリシー(たとえば、"/context-root/adfAuthentication")が存在する必要があります。 ADFがこのURIにリダイレクトすると、Access Managerにより「ログイン」ページが表示されます(このURI用のAccess Managerで構成された認証スキームにより異なる)。
logouturi	ログアウト・ページのURIを指定します通常、loginurlの値は`/oam/logout.html`です。
autologinuri	自動ログイン・ページのURIを指定します。これはオプションのパラメータです。

loginuri

ログイン・ページのURIを指定します

ノート:

ADFセキュリティが有効なアプリケーションの場合、loginuriパラメータに/context-root/adfAuthenticationを指定する必要があります。

たとえば:

/${app.context}/adfAuthentication

ノート:

${app.context}は表示されているとおりに入力する必要があります。実行時に、アプリケーションによって変数が適切に置換されます。

手順を示します。

たとえば、ユーザーがOPSSの認証ポリシーで保護されているリソースにアクセスします。
ユーザーがまだ認証されていない場合、ADFはユーザーをloginuriで設定したURIにリダイレクトします。
Access Managerにはloginuriの値を保護するポリシー(たとえば、"/context-root/adfAuthentication")が存在する必要があります。
ADFがこのURIにリダイレクトすると、Access Managerにより「ログイン」ページが表示されます(このURI用のAccess Managerで構成された認証スキームにより異なる)。

logouturi

ログアウト・ページのURIを指定します通常、loginurlの値は/oam/logout.htmlです。

autologinuri

自動ログイン・ページのURIを指定します。これはオプションのパラメータです。

次のコマンドを実行して、管理サーバーから切断します。
disconnect()
管理サーバーと管理対象サーバーを再起動します。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成