25 エンタープライズ・デプロイメントに対するシングル・サインオンの構成
Oracle Access Managerのシングル・サインオンを有効にするには、Oracle HTTP Server WebGateを構成する必要があります。
- Oracle HTTP Server WebGateについて
Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。 - Oracle HTTP Server WebGateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。 - OHS 12c WebGateを構成するためのエンタープライズ・デプロイメントの前提条件
エンタープライズ・デプロイメントに対してシングル・サインオンが有効になるようOracle HTTP Server WebGateを構成する場合、この項に示す前提条件を確認してください。 - エンタープライズ・デプロイメント用にOracle HTTP Server 12c WebGateを構成
WEBHOST1とWEBHOST2の両方でOracle Access Manager用Oracle HTTP Server 12c WebGateを構成するには、次のステップを実行する必要があります。 - Oracle Access ManagerへのOracle HTTP Server WebGateの登録
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGate・エージェントを登録できます。 - WebLogic Server認証プロバイダの設定
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。 - Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework(Oracle ADF)セキュリティを使用しています。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xml
ファイルを構成して、これらの機能を有効にする必要があります。
Oracle HTTP Server Webゲートについて
Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可のために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』で、OAM 11gエージェントの登録と管理に関する項を参照してください。
Oracle HTTP Server Webgateの構成の一般的な前提条件
Oracle HTTP Server Webゲートを構成するには、事前に認定バージョンのOracle Access Managerをインストールおよび構成しておく必要があります。
最新情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。
注意:
本番環境では、Oracle Access Managerを、エンタープライズ・デプロイメントをホストしているマシンではなく独自の環境にインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにあるOracle Identity and Access Managementの最新ドキュメントを参照してください。
OHS 12c Webゲートを構成するためのエンタープライズ・デプロイメントの前提条件
エンタープライズ・デプロイメントに対してシングル・サインオンが有効になるようOracle HTTP Server WebGateを構成する場合、この項に示す前提条件を確認してください。
-
Oracle Access Managerを可用性の高い安全な本番環境にデプロイすることをお薦めします。エンタープライズ環境へのOracle Access Managerのデプロイの詳細は、お使いのOracle Identity and Access Mangementバージョン向けのエンタープライズ・デプロイメント・ガイドを参照してください。
-
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlに対するシングル・サインオンを有効にするには、Oracle Access Managerが使用している(Oracle Internet DirectoryやOracle Unified Directoryなど)ディレクトリ・サービスに中心的なLDAPプロビジョニング管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要のあるユーザーとグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってください。
注意:
目的のOracle Access Managerデプロイメントで動作保証されているWebGateバージョンの使用をお薦めします。エンタープライズ・デプロイメント用にOracle HTTP Server 12c Webゲートを構成
WEBHOST1とWEBHOST2の両方でOracle Access Manager用のOracle HTTP Server 12c WebGateを構成するには、次のステップを実行する必要があります。
次の手順では、WEB_ORACLE_HOMEやWEB_CONFIG_DIRなどのディレクトリ変数を「このガイドで使用するファイル・システムとディレクトリ変数」で定義された値に置き換えてください。
-
Web層ドメインの完全なバックアップを実行します。
-
ディレクトリをOracle HTTP ServerのOracleホームの次の場所に変更します。
cd
WEB_ORACLE_HOME
/webgate/ohs/tools/deployWebGate/
-
次のコマンドを実行して、Webゲート・インスタンス・ディレクトリを作成し、OHSインスタンスでのWebゲート・ロギングを有効にします。
./deployWebGateInstance.sh -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME
-
deployWebGateInstance
コマンドでwebgate
ディレクトリおよびサブディレクトリが作成されたことを確認します。ls -lat WEB_CONFIG_DIR/webgate/ total 16 drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 .. drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 . drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
-
次のコマンドを実行し、
LD_LIBRARY_PATH
環境変数にWEB_ORACLE_HOME/lib
ディレクトリ・パスが含まれるようにします。export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
-
ディレクトリを次のディレクトリに変更します。
WEB_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
-
InstallTools
ディレクトリから次のコマンドを実行します。./EditHttpConf -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME -o output_file_name
注意:
-oh WEB_ORACLE_HOME
および-o output_file_name
パラメータはオプションです。このコマンドは次の処理を実行します。
-
apache_webgate.template
ファイルをOracle HTTP ServerのOracleホームからOracle HTTP Server構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。 -
httpd.conf
ファイルを更新して1行を追加し、webgate.conf
が含まれるようにします。 -
Webゲート構成ファイルを生成します。ファイルのデフォルト名は
webgate.conf
ですが、コマンドに対して-o output_file_name
引数を使用してカスタム名を使用できます。
-
Oracle Access ManagerへのOracle HTTP Server Webゲートの登録
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebゲート・エージェントを登録できます。
OAM登録の詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
- RREGインバンドおよびアウトオブバンド・モードについて
- OAM11gRequest.xmlファイルでの標準プロパティの更新
- エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新
- RREGツールの実行
- RREGによって生成されるファイルおよびアーティファクト
- 生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
- OHS SimpleCA証明書のウォレット・アーティファクトへの挿入
- Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化
- Oracle HTTP Serverインスタンスの再起動
RREGインバンドおよびアウトオブバンド・モードについて
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれかで実行できます。
Oracle Access Managerサーバーへのアクセス権を持っている場合は、インバンド・モードを使用して、Oracle Access ManagerのOracleホームからRREGツールを実行します。RREGツールの実行後、生成されたアーティファクトとファイルをWebサーバー構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のようになります。
-
Oracle Access Managerサーバー管理者からユーザーにRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
-
サーバー管理者から提供された
RREG.tar.gz
ファイルを展開します。例:
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを展開したら、次の場所でエージェントを登録するためのツールを見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、
RREG_Home
は、RREGアーカイブの内容を展開したディレクトリです。 -
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用して
OAM11GRequest.xml
ファイルを更新し、完成したOAM11GRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。 -
次に、Oracle Access Managerサーバー管理者は「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してRREGツールを実行し、
AgentID_response.xml
ファイルを生成します。 -
Oracle Access Managerサーバー管理者はユーザーに
AgentID_response.xml
ファイルを送信します。 -
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して
AgentID_response.xml
ファイルでRREGツールを実行し、クライアント・システムに必要なアーティファクトとファイルを生成します。
OAM11gRequest.xmlファイルでの標準プロパティの更新
Webゲート・エージェントをOracle Access Managerに登録するには、事前にOAM11gRequest.xml
ファイルで必須プロパティを更新する必要があります。
注意:
-
提供されているXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドがデフォルト値をとる短いバージョン(
OAM11gRequest_short.xml
を使用できます。 -
プライマリ・サーバー・リストで、デフォルト名は、OAMサーバーに対してOAM_SERVER1およびOAM_SERVER2として示されます。現在の環境でサーバー名が変更される場合、リスト内のこれらの名前を変更してください。
このタスクを実行するには、次のようにします。
-
インバンド・モードを使用する場合は、ディレクトリをいずれかのOAMサーバーの次の場所に変更します。
OAM_ORACLE_HOME/oam/server/rreg/input
アウトオブバンド・モードを使用する場合は、WEBHOST1サーバー上でRREGアーカイブを展開した場所に、ディレクトリを変更します。
-
ファイル・テンプレート環境固有の名前を付けて、
OAM11GRequest.xml
のコピーを作成します。cp OAM11GRequest.xml OAM11GRequest_edg.xml
-
ファイルにリストされているプロパティを確認してから、プロパティが環境に固有のホスト名およびその他の値を参照するように、
OAM11GRequest.xml
ファイルのコピーを更新します。
表25-1 OAM11GRequest.xmlファイルのフィールド。
OAM11gRequest.xmlプロパティ | 設定値 |
---|---|
serverAddress |
Oracle Access Managerドメイン内の管理サーバーのホストとポート。 |
agentName |
エージェントのカスタム名。一般に、シングル・サインオンを構成しているFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオンを構成しているWeb層ホストおよびFMWコンポーネントを識別する値です。 |
security |
Oracle Access Managementサーバーで構成したセキュリティ・モードに設定する必要があります。これは、open、simpleまたはcertificateという3つのモードのいずれかです。 注意: エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号化のためにカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除いて、簡易モードが推奨されます。 オープン・モードではOracle Access Managerサーバーとのトラフィックは暗号化されないため、ほとんどの場合、オープン・モードの使用は避けてください。 証明書モードの使用またはOracle Access Managerでサポートされている一般的なセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項を参照してください。 |
cachePragmaHeader |
プライベート |
cacheControlHeader |
プライベート |
ipValidation |
0
ipValidationが'1'に設定されている場合は、Cookieに格納されているIPアドレスとクライアントのIPアドレスが一致する必要があり、一致しない場合はSSO Cookieが拒否されるため、ユーザーは再認証が必要になります。これは、一部のWebアプリケーションで問題の原因になることがあります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。'0'に設定すると、IP検証が無効になります。 |
ipValidationExceptions |
ipValidationが'0'の場合は、空にすることができます。 IPの検証がtrueの場合、IPアドレスはIP検証例外リストと比較されます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。たとえば、フロントエンド・ロード・バランサのIPアドレスは次のようになります。
|
agentBaseUrl |
Oracle HTTP 12c WebGatesがインストールされているWEBHOSTnマシンの前にフロントエンド・ロード・バランサVIPのホストとポートを付けた完全修飾のURL。 例:
|
virtualHost |
管理VIP用のSSO保護など、 |
hostPortVariationsList
|
WebGateによって保護される、ロード・バランサのURLごとに、 例:
|
logOutUrls |
空白のままにします。 ログアウトURLによってログアウト・ハンドラがトリガーされ、これによってCookieが削除されるため、Access Managerによって保護されたリソースにユーザーが次回アクセスすると、再認証が要求されます。ログアウトURLが構成されていない場合、要求URLはlogoutに対して確認され、このURLが見つかった場合(logout.gifとlogout.jpgを除く)、ログアウト・ハンドラもトリガーされます。このプロパティに値が設定されている場合は、使用されるログアウトURLをすべて追加する必要があります。 |
primaryServerList |
OAM管理対象サーバーのホストとポートが、このリストと一致することを確認します。例:
|
エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新
OAM11gRequest.xml
ファイルの特定セクションを使用して特定します。URLを特定するには:
RREGツールの実行
次の項では、RREGツールを実行してOracle HTTP Server WebゲートをOracle Access Managerに登録する方法を示します。
RREGツールをインバンド・モードで実行
RREGツールをインバンド・モードで実行するには:
-
RREGホーム・ディレクトリに移動します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access ManagerのOracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリはRREGアーカイブを展開した場所です。
-
次のディレクトリを変更します。
-
(UNIX)
RREG_HOME/bin
-
(Windows)
RREG_HOME\bin
cd RREG_HOME/bin/
-
-
ファイルを実行できるように、
oamreg.sh
コマンドの権限を設定します。chmod +x oamreg.sh
-
次のコマンドを入力します。
./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml
この例では、次のようになります。
-
編集した
OAM11GRequest.xml
ファイルはRREG_HOME/input
ディレクトリにあると想定されます。 -
このコマンドの出力結果は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例は、RREGセッションのサンプルを示しています。
Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are:
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_iam
Enter admin password:
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n
----------------------------------------
Request summary:
OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com
:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------
Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.
親トピック: RREGツールの実行
RREGツールをアウトオブバンド・モードで実行
RREGツールをWEBHOSTサーバー上でアウトオブバンド・モードで実行するには、管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例では、次のようになります。
-
RREG_HOMEを、RREGアーカイブ・ファイルを展開したサーバー上の場所に置き換えます。
-
編集した
OAM11GRequest.xml
ファイルは、RREG_HOME/input
ディレクトリにあります。 -
RREGツールにより、このコマンドの出力(
AgentID_response.xml
ファイル)は次のディレクトリに保存されます。RREG_HOME/output/
Oracle Access Managerサーバー管理者は、
OAM11GRequest.xml
ファイルを提供したユーザーにAgentID_response.xml
を送信できます。
RREGツールをWebサーバー・クライアント・マシン上でアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例では、次のようになります。
-
RREG_HOMEを、RREGアーカイブ・ファイルを展開したクライアント・システム上の場所に置き換えます。
-
Oracle Access Managerサーバー管理者によって提供された
AgentID_response.xml
ファイルは、 RREG_HOME/inputディレクトリにあります。 -
RREGツールにより、このコマンドの出力(Webゲート・ソフトウェアの登録に必要なアーティファクトとファイル)は、クライアント・マシン上次のディレクトリに保存されます。
RREG_HOME/output/
親トピック: RREGツールの実行
RREGによって生成されるファイルおよびアーティファクト
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーとの間の通信に使用するセキュリティ・レベルによって異なります。『Oracle Access Management管理者ガイド』で、OAMサーバーとWebゲート間の通信の保護に関する項を参照してください。
この項では、RREG_HOME
への参照はすべて、RREGツールを実行するディレクトリへのパスに置き換える必要があります。これは一般的に、Oracle Access Managerサーバー上の次のディレクトリ、または(アウトオブバンド・モードを使用している場合)RREGアーカイブを展開したディレクトリです。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表に、Oracle Access Managerのセキュリティ・レベルに関係なく、RREGツールによって常に生成されるアーティファクトをリストします。
ファイル | 場所 |
---|---|
cwallet.sso |
RREG_HOME/output/Agent_ID/
注意: これはOHS 12.2.1.3用です。以前のリリースのOHSについては、Oracle IDMのドキュメントを参照してください。 |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表に、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される、追加のファイルをリストします。
ファイル | 場所 |
---|---|
|
|
|
|
|
|
|
|
password.xml
ファイルには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
RREGツールにより必要なアーティファクトが生成された後、アーティファクトをRREG_Home/output/agent_ID
ディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに手動でコピーします。
Oracle HTTP Server構成ディレクトリ内のファイルの場所は、Oracle Access Managerのセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づく、生成された各アーティファクトに必要なOracle HTTP Server構成ディレクトリ内の場所をリストします。ディレクトリが存在しない場合、ディレクトリを作成しなければならないことがあります。たとえば、ウォレット・ディレクトリは構成ディレクトリ内に存在しないことがあります。
注意:
エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号化のためにカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除いて、簡易モードが推奨されます。オープン・モードまたは証明書モードを使用する場合の情報が、利便性のために示されています。
オープン・モードではOracle Access Managerサーバーとのトラフィックは暗号化されないため、オープン・モードの使用は避けてください。
証明書モードの使用またはOracle Access Managerでサポートされている一般的なセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信の保護に関する項を参照してください。
表25-2 生成されたアーティファクトをコピーするWeb層ホストの場所
ファイル | OPENモードを使用する場合の場所 | SIMPLEモードを使用する場合の場所 | CERTモードを使用する場合の場所 |
---|---|---|---|
wallet/cwallet.sso Foot 1 |
WEB_CONFIG_DIR/webgate/config/wallet |
WEB_CONFIG_DIR/webgate/config/wallet デフォルトではwalletフォルダは使用できません。 |
WEB_CONFIG_DIR/webgate/config/wallet |
ObAccessClient.xml |
WEB_CONFIG_DIR/webgate/config |
WEB_CONFIG_DIR/webgate/config |
WEB_CONFIG_DIR/webgate/config |
password.xml |
なし | WEB_CONFIG_DIR/webgate/config |
WEB_CONFIG_DIR/webgate/config |
aaa_key.pem |
なし | WEB_CONFIG_DIR/webgate/config/simple/ |
WEB_CONFIG_DIR/webgate/config |
aaa_cert.pem |
なし | WEB_CONFIG_DIR/webgate/config/simple/ |
WEB_CONFIG_DIR/webgate/config |
脚注1 cwallet.sso
は、outputフォルダではなくwalletフォルダからコピーします。同じ名前のファイルが2つ存在していたとしても、それらは別のものです。正しいものは、walletサブディレクトリにあるほうです。
注意:
WEBHOST1
およびWEBHOST2
にObAccessClient.xml
を再デプロイする必要がある場合、サーバーからObAccessClient.xml
のキャッシュされたコピーと、そのロック・ファイルObAccessClient.xml.lck
を削除します。WEBHOST1
のキャッシュの場所は次のとおりです。WEB_DOMAIN_HOME/servers/ohs1/cache/
また、WEBHOST2
で2番目のOracle HTTP Serverインスタンスに対して、同様のステップを実行する必要があります。
WEB_DOMAIN_HOME/servers/ohs2/cache/
OHS SimpleCA証明書のウォレット・アーティファクトへの挿入
OHSサーバーが11gまたは以前のバージョンのOAMサーバーで構成されている場合は、「生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー」でデプロイしたウォレット・ファイル・アーティファクトにOHS SimpleCA証明書を挿入する必要があります。
-
WEBHOST1で、次のディレクトリに移動します。
WEB_CONFIG_DIR/webgate/config/wallet
-
次のコマンドを実行して、ウォレット・ファイルにSimpleCA証明書を挿入します。
WEB_ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet ./ -trusted_cert -cert WEB_ORACLE_HOME/webgate/ohs/tools/openssl/simpleCA/cacert.pem -auto_login_only
次のような出力結果が表示されます。simpleCA/cacert.pem -auto_login_only Oracle PKI Tool : Version 12.2.1.3.0 Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved. Operation is successfully completed.
-
次のコマンドを実行して、証明書の挿入を確認します。
WEB_ORACLE_HOME/oracle_common/bin/orapki wallet display -wallet ./
次のような出力結果が表示されます。Oracle PKI Tool : Version 12.2.1.3.0 Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved. Requested Certificates: User Certificates: Oracle Secret Store entries: OAMAgent@#3#@wcedgRwse01Env1Ps3_Key Trusted Certificates: Subject: CN=NetPoint Simple Security CA - Not for General Use,OU=NetPoint,O=Oblix\, Inc.,L=Cupertino,ST=California,C=US
Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化
Oracle Access Managementサーバーの一部のリリースでは、適切にアップグレードまたはパッチ適用されていない場合にMD5署名を使用することで簡易モードのセキュリティ証明書を実装します。可能であれば、OAM証明書をSHA-2証明書にアップグレードすることをお薦めします。複数バージョンのOracle HTTPサーバーに対処する必要がある場合、これは不可能です。
証明書のアップグレードが不可能な場合は、MD5署名のサポートを手動で有効にして、簡易セキュリティ・モードでWebGateを使用する際に、Oracle Access Manager 11gのMD5署名でOracle HTTP server 12.2.1.xが動作するようにする必要があります。
-
WEBHOST1で、次のディレクトリに変更します。
WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1
-
ohs.plugins.nodemanager.properties
ファイルを開き、次の行を追加してファイルを保存します。environment.ORACLE_SSL_ALLOW_MD5_CERT_SIGNATURES = 1
-
WEBHOSTnサーバーの他のすべてのインスタンスについて、ステップ1および2を繰り返します。
たとえば、WEBHOST2の
ohs2
インスタンスです。注意:
変更は、次のトピックでインスタンスを再起動すると有効になります。
Oracle HTTP Serverインスタンスの再起動
Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。
WebLogic Server認証プロバイダの設定
WebLogic Server認証プロバイダを設定するには、構成ファイルのバックアップ、Oracle Access Manager IDアサーション・プロバイダの設定およびプロバイダの順序の設定を行います。
次の項では、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」のステップに従って、LDAPオーセンティケータがすでに構成されていると想定します。LDAPオーセンティケータをまだ作成していない場合は、作成してからこの項を読み進めてください。
構成ファイルのバックアップ
念のため、まず、次の関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
親トピック: WebLogic Server認証プロバイダの設定
Oracle Access Manager IDアサーション・プロバイダの設定
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
- WebLogic Server管理コンソールにログインしていない場合は、ログインします。
- 「ロックして編集」をクリックします。
- 左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
- myrealmというデフォルト・レルム・エントリをクリックします。
- 「プロバイダ」タブをクリックします。
- 「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
- アサータに名前(OAM ID Asserterなど),を付け、「OK」をクリックします。
- 新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
- 制御フラグを「必須」に設定します。
- 「選択済み」タイプで、デフォルトで選択されていない場合、ObSSOCookieオプションとOAM_REMOTE_USERオプションを両方とも選択します。
- 「保存」をクリックして設定を保存します。
- 「変更のアクティブ化」をクリックして変更を伝播します。
親トピック: WebLogic Server認証プロバイダの設定
デフォルト・オーセンティケータの更新とプロバイダの順序の設定
WebLogic Server管理コンソールでIDアサーション・プロバイダと認証プロバイダの順序を設定します。
親トピック: WebLogic Server認証プロバイダの設定
Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework(Oracle ADF)セキュリティを使用しています。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xml
ファイルを構成して、これらの機能を有効にする必要があります。
ドメインレベルのjps-config.xml
ファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。
ASERVER_HOME/config/fmwconfig/jps-config.xml
注意:
ドメインレベルのjps-config.xml
をカスタム・アプリケーションでデプロイされたjps-config.xml
と混同しないでください。