エンタープライズ・デプロイメントに対するシングル・サインオンの構成

25 エンタープライズ・デプロイメントに対するシングル・サインオンの構成

Oracle Access Managerのシングル・サインオンを有効にするには、Oracle HTTP Server WebGateを構成する必要があります。

Oracle HTTP Server WebGateについて
Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle HTTP Server WebGateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。
OHS 12c WebGateを構成するためのエンタープライズ・デプロイメントの前提条件
エンタープライズ・デプロイメントに対してシングル・サインオンが有効になるようOracle HTTP Server WebGateを構成する場合、この項に示す前提条件を確認してください。
エンタープライズ・デプロイメント用にOracle HTTP Server 12c WebGateを構成
WEBHOST1とWEBHOST2の両方でOracle Access Manager用Oracle HTTP Server 12c WebGateを構成するには、次のステップを実行する必要があります。
Oracle Access ManagerへのOracle HTTP Server WebGateの登録
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGate・エージェントを登録できます。
WebLogic Server認証プロバイダの設定
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework(Oracle ADF)セキュリティを使用しています。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xmlファイルを構成して、これらの機能を有効にする必要があります。

親トピック: エンタープライズ・デプロイメントの共通の構成および管理手順

Oracle HTTP Server Webゲートについて

Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可のために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。

Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』で、OAM 11gエージェントの登録と管理に関する項を参照してください。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

Oracle HTTP Server Webgateの構成の一般的な前提条件

Oracle HTTP Server Webゲートを構成するには、事前に認定バージョンのOracle Access Managerをインストールおよび構成しておく必要があります。

最新情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。

WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。

注意:

本番環境では、Oracle Access Managerを、エンタープライズ・デプロイメントをホストしているマシンではなく独自の環境にインストールすることを強くお薦めします。

Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにあるOracle Identity and Access Managementの最新ドキュメントを参照してください。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

OHS 12c Webゲートを構成するためのエンタープライズ・デプロイメントの前提条件

エンタープライズ・デプロイメントに対してシングル・サインオンが有効になるようOracle HTTP Server WebGateを構成する場合、この項に示す前提条件を確認してください。

Oracle Access Managerを可用性の高い安全な本番環境にデプロイすることをお薦めします。エンタープライズ環境へのOracle Access Managerのデプロイの詳細は、お使いのOracle Identity and Access Mangementバージョン向けのエンタープライズ・デプロイメント・ガイドを参照してください。
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlに対するシングル・サインオンを有効にするには、Oracle Access Managerが使用している(Oracle Internet DirectoryやOracle Unified Directoryなど)ディレクトリ・サービスに中心的なLDAPプロビジョニング管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要のあるユーザーとグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってください。

注意:

目的のOracle Access Managerデプロイメントで動作保証されているWebGateバージョンの使用をお薦めします。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

エンタープライズ・デプロイメント用にOracle HTTP Server 12c Webゲートを構成

WEBHOST1とWEBHOST2の両方でOracle Access Manager用のOracle HTTP Server 12c WebGateを構成するには、次のステップを実行する必要があります。

次の手順では、WEB_ORACLE_HOMEやWEB_CONFIG_DIRなどのディレクトリ変数を「このガイドで使用するファイル・システムとディレクトリ変数」で定義された値に置き換えてください。

Web層ドメインの完全なバックアップを実行します。
ディレクトリをOracle HTTP ServerのOracleホームの次の場所に変更します。

cd WEB_ORACLE_HOME/webgate/ohs/tools/deployWebGate/
次のコマンドを実行して、Webゲート・インスタンス・ディレクトリを作成し、OHSインスタンスでのWebゲート・ロギングを有効にします。
```
./deployWebGateInstance.sh -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME
```

deployWebGateInstanceコマンドでwebgateディレクトリおよびサブディレクトリが作成されたことを確認します。

ls -lat WEB_CONFIG_DIR/webgate/
total 16
drwxr-x---+ 8 orcl oinstall 20 Oct  2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall  4 Oct  2 07:14 .
drwxr-xr-x+ 3 orcl oinstall  3 Oct  2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall  4 Oct  2 07:14 config

次のコマンドを実行し、LD_LIBRARY_PATH環境変数にWEB_ORACLE_HOME/libディレクトリ・パスが含まれるようにします。

export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
ディレクトリを次のディレクトリに変更します。

WEB_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
InstallToolsディレクトリから次のコマンドを実行します。

./EditHttpConf -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME -o output_file_name

注意:

-oh WEB_ORACLE_HOMEおよび-o output_file_nameパラメータはオプションです。

このコマンドは次の処理を実行します。
- apache_webgate.templateファイルをOracle HTTP ServerのOracleホームからOracle HTTP Server構成ディレクトリの新しいwebgate.confファイルにコピーします。
- httpd.confファイルを更新して1行を追加し、webgate.confが含まれるようにします。
- Webゲート構成ファイルを生成します。ファイルのデフォルト名はwebgate.confですが、コマンドに対して-o output_file_name引数を使用してカスタム名を使用できます。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

Oracle Access ManagerへのOracle HTTP Server Webゲートの登録

Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebゲート・エージェントを登録できます。

OAM登録の詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

RREGインバンドおよびアウトオブバンド・モードについて

RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれかで実行できます。

Oracle Access Managerサーバーへのアクセス権を持っている場合は、インバンド・モードを使用して、Oracle Access ManagerのOracleホームからRREGツールを実行します。RREGツールの実行後、生成されたアーティファクトとファイルをWebサーバー構成ディレクトリにコピーできます。

Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のようになります。

Oracle Access Managerサーバー管理者からユーザーにRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
サーバー管理者から提供されたRREG.tar.gzファイルを展開します。

例:

gunzip RREG.tar.gz

tar -xvf RREG.tar

RREGアーカイブを展開したら、次の場所でエージェントを登録するためのツールを見つけることができます。

RREG_HOME/bin/oamreg.sh

この例では、RREG_Homeは、RREGアーカイブの内容を展開したディレクトリです。
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用してOAM11GRequest.xmlファイルを更新し、完成したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。
次に、Oracle Access Managerサーバー管理者は「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してRREGツールを実行し、AgentID_response.xmlファイルを生成します。
Oracle Access Managerサーバー管理者はユーザーにAgentID_response.xmlファイルを送信します。
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してAgentID_response.xmlファイルでRREGツールを実行し、クライアント・システムに必要なアーティファクトとファイルを生成します。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

OAM11gRequest.xmlファイルでの標準プロパティの更新

Webゲート・エージェントをOracle Access Managerに登録するには、事前にOAM11gRequest.xmlファイルで必須プロパティを更新する必要があります。

注意:

提供されているXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドがデフォルト値をとる短いバージョン(OAM11gRequest_short.xmlを使用できます。
プライマリ・サーバー・リストで、デフォルト名は、OAMサーバーに対してOAM_SERVER1およびOAM_SERVER2として示されます。現在の環境でサーバー名が変更される場合、リスト内のこれらの名前を変更してください。

このタスクを実行するには、次のようにします。

インバンド・モードを使用する場合は、ディレクトリをいずれかのOAMサーバーの次の場所に変更します。
```
OAM_ORACLE_HOME/oam/server/rreg/input
```
アウトオブバンド・モードを使用する場合は、WEBHOST1サーバー上でRREGアーカイブを展開した場所に、ディレクトリを変更します。
ファイル・テンプレート環境固有の名前を付けて、OAM11GRequest.xmlのコピーを作成します。

cp OAM11GRequest.xml OAM11GRequest_edg.xml
ファイルにリストされているプロパティを確認してから、プロパティが環境に固有のホスト名およびその他の値を参照するように、OAM11GRequest.xmlファイルのコピーを更新します。

表25-1 OAM11GRequest.xmlファイルのフィールド。

OAM11gRequest.xmlプロパティ	設定値
`serverAddress`	Oracle Access Managerドメイン内の管理サーバーのホストとポート。
`agentName`	エージェントのカスタム名。一般に、シングル・サインオンを構成しているFusion Middleware製品を識別する名前を使用します。
`applicationDomain`	シングル・サインオンを構成しているWeb層ホストおよびFMWコンポーネントを識別する値です。
`security`	Oracle Access Managementサーバーで構成したセキュリティ・モードに設定する必要があります。これは、open、simpleまたはcertificateという3つのモードのいずれかです。注意: エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号化のためにカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除いて、簡易モードが推奨されます。オープン・モードではOracle Access Managerサーバーとのトラフィックは暗号化されないため、ほとんどの場合、オープン・モードの使用は避けてください。証明書モードの使用またはOracle Access Managerでサポートされている一般的なセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項を参照してください。
`cachePragmaHeader`	プライベート
`cacheControlHeader`	プライベート
`ipValidation`	0 `<ipValidation>0</ipValidation>` ipValidationが'1'に設定されている場合は、Cookieに格納されているIPアドレスとクライアントのIPアドレスが一致する必要があり、一致しない場合はSSO Cookieが拒否されるため、ユーザーは再認証が必要になります。これは、一部のWebアプリケーションで問題の原因になることがあります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。'0'に設定すると、IP検証が無効になります。
`ipValidationExceptions`	ipValidationが'0'の場合は、空にすることができます。 IPの検証がtrueの場合、IPアドレスはIP検証例外リストと比較されます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。たとえば、フロントエンド・ロード・バランサのIPアドレスは次のようになります。 `<ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidationExceptions>`
`agentBaseUrl`	Oracle HTTP 12c WebGatesがインストールされているWEBHOSTnマシンの前にフロントエンド・ロード・バランサVIPのホストとポートを付けた完全修飾のURL。例: `<agentBaseUrl> https://soa.example.com:443 </agentBaseUrl>`
`virtualHost`	管理VIP用のSSO保護など、`agentBaseUrl`以上を保護する場合はtrueに設定します。
`hostPortVariationsList`	WebGateによって保護される、ロード・バランサのURLごとに、`hostPortVariation`ホストおよびポート要素を追加します。例: `<hostPortVariationsList> <hostPortVariations> <host>soainternal.example.com</host> <port>80</port> </hostPortVariations> <hostPortVariations> <host>admin.example.com</host> <port>80</port> </hostPortVariations> <hostPortVariations> <host>osb.example.com</host> <port>443</port> </hostPortVariations> </hostPortVariationsList>`
`logOutUrls`	空白のままにします。ログアウトURLによってログアウト・ハンドラがトリガーされ、これによってCookieが削除されるため、Access Managerによって保護されたリソースにユーザーが次回アクセスすると、再認証が要求されます。ログアウトURLが構成されていない場合、要求URLはlogoutに対して確認され、このURLが見つかった場合(logout.gifとlogout.jpgを除く)、ログアウト・ハンドラもトリガーされます。このプロパティに値が設定されている場合は、使用されるログアウトURLをすべて追加する必要があります。
`primaryServerList`	OAM管理対象サーバーのホストとポートが、このリストと一致することを確認します。例: `<primaryServerList> <Server> <host>wls_oam1</host> <port>14100</port> <numOfConnections>1</numOfConnections> </Server> <Server> <host>wls_oam2</host> <port>14100</port> <numOfConnections>2</numOfConnections> </Server> </primaryServerList>`

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新

Oracle Fusion Middleware環境をシングル・サインオン用に設定する場合、Oracle Access Managerがシングル・サインオンで保護する一連のURLを特定します。これらは、OAM11gRequest.xmlファイルの特定セクションを使用して特定します。URLを特定するには:

コピーしたOAM11GRequest_edg.xmlファイルがまだ編集用に開かれていない場合は、ファイルを探してテキスト・エディタで開きます。

OAM11gRequest.xmlファイルの標準プロパティの更新を参照してください。

ファイルからサンプル・エントリを削除してから、次の例に示すように、保護されたリソース、パブリック・リソースおよび除外されたリソースのリストをファイルの適切なセクションに入力します。

注意:

Oracle Access Manager 11gリリース2 (11.1.2.2)以降を使用している場合、Oracle Access Managerの前のバージョンとの下位互換性のためにワイルドカード構文のエントリ(".../*")が例に含められます。

<protectedResourcesList>
	<resource>/insight</resource>
	<resource>/insight/.../*</resource>
	<resource>/integration/worklistapp</resource>
     	<resource>/integration/worklistapp/.../*</resource>
        <resource>/workflow/sdpmessagingsca-ui-worklist</resource>
        <resource>/workflow/sdpmessagingsca-ui-worklist/.../*</resource>
        <resource>/b2bconsole</resource>
        <resource>/b2bconsole/.../*</resource>
        <resource>/sdpmessaging/userprefs-ui</resource>
        <resource>/sdpmessaging/userprefs-ui/.../*</resource>
        <resource>/workflow/DefaultToDoTaskFlow</resource>
        <resource>/workflow/DefaultToDoTaskFlow/.../*</resource>
        <resource>/DefaultToDoTaskFlow</resource>
        <resource>/DefaultToDoTaskFlow/.../*</resource>
        <resource>/ess</resource>
        <resource>/ess/.../*</resource>
        <resource>/EssHealthCheck</resource>
        <resource>/EssHealthCheck/.../*</resource>
        <resource>/em</resource>
        <resource>/em/.../*</resource>
        <resource>/console</resource>
        <resource>/console/.../*</resource>
        <resource>/servicebus</resource><!-- (For OSB systems only) -->
        <resource>/servicebus/.../*</resource><!-- (For OSB systems only) -->
        <resource>/sbconsole</resource><!-- (For OSB systems only) -->
        <resource>/sbconsole/.../*</resource><!-- (For OSB systems only) -->        
        <resource>/lwpfconsole</resource><!-- (For OSB systems only) -->
        <resource>/lwpfconsole/.../*</resource><!-- (For OSB systems only) -->
        <resource>/soa/composer</resource>
        <resource>/soa/composer/.../*</resource>
        <resource>/OracleBAM</resource><!-- (For BAM systems only) -->
        <resource>/OracleBAM/.../*</resource><!-- (For BAM systems only) -->
        <resource>/oracle/bam/server</resource><!-- (For BAM systems only) -->
        <resource>/oracle/bam/server/.../*</resource><!-- (For BAM systems only) -->
        <resource>/bam/composer</resource><!-- (For BAM systems only) -->
        <resource>/bam/composer/.../*</resource><!-- (For BAM systems only) -->
        <resource>/bpm/composer</resource> <!-- (For BPM systems only) -->
        <resource>/bpm/composer/.../*</resource> <!-- (For BPM systems only) -->
        <resource>/bpm/workspace</resource><!-- (For BPM systems only) -->
        <resource>/bpm/workspace/.../*</resource><!-- (For BPM systems only) -->
        <resource>/frevvo</resource><!-- (For BPM systems only) -->
        <resource>/frevvo/.../*</resource><!-- (For BPM systems only) -->
        <resource>/soa-infra</resource>
        <resource>/soa-infra/deployer</resource>
        <resource>/soa-infra/deployer/.../*</resource>
        <resource>/soa-infra/events/edn-db-log</resource>
       <resource>/soa-infra/events/edn-db-log/.../*</resource>
        <resource>/soa-infra/cluster/info</resource>
        <resource>/soa-infra/cluster/info/.../*</resource>
        <resource>/inspection.wsil</resource>
        <resource>/healthcare/.../*</resource><!-- (For HC systems only) -->
        <resource>/healthcare</resource><!-- (For HC systems only) -->
	<resource>/ess-async/*</resource>
	<resource>/ess-wsjob/.../*</resource>
</protectedResourcesList>
<publicResourcesList>
        <resource>/soa-infra/directWSDL</resource>
        <resource>/sbinspection.wsil</resource><!-- (For OSB systems only) -->
</publicResourcesList>
<excludedResourcesList>
	<resource>/insight-soa</resource>
	<resource>/insight-soa/.../*</resource>
	<resource>/insight-osb</resource>
	<resource>/insight-osb/.../*</resource>  
        <resource>/wsm-pm</resource>
        <resource>/wsm-pm/.../*</resource>
        <resource>/soa-infra</resource>
        <resource>/soa-infra/services/.../*</resource>
        <resource>/OracleBAMWS</resource> <!-- (For BAM systems only) -->
        <resource>/OracleBAMWS/.../*</resource><!-- (For BAM systems only) -->
        <resource>/ucs/messaging/webservice</resource>
        <resource>/ucs/messaging/webservice/.../*</resource>
        <resource>/sbresource</resource><!-- (For OSB systems only) -->
        <resource>/sbresource/.../*</resource><!-- (For OSB systems only) -->
        <resource>/integration/services/.../*</resource>
        <resource>/integration/services</resource>
        <resource>/b2b/services/</resource>
        <resource>/b2b/services/.../*</resource>
</excludedResourcesList>

OAM11GRequest_edg.xmlファイルを保存し、閉じます。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

RREGツールの実行

次の項では、RREGツールを実行してOracle HTTP Server WebゲートをOracle Access Managerに登録する方法を示します。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

RREGツールをインバンド・モードで実行

RREGツールをインバンド・モードで実行するには:

RREGホーム・ディレクトリに移動します。

インバンド・モードを使用している場合、RREGディレクトリはOracle Access ManagerのOracleホーム内にあります。
```
OAM_ORACLE_HOME/oam/server/rreg
```
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリはRREGアーカイブを展開した場所です。
次のディレクトリを変更します。
- (UNIX) RREG_HOME/bin
- (Windows) RREG_HOME\bin
```
cd RREG_HOME/bin/
```
ファイルを実行できるように、oamreg.shコマンドの権限を設定します。
```
chmod +x oamreg.sh
```

次のコマンドを入力します。

./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml

この例では、次のようになります。

編集したOAM11GRequest.xmlファイルはRREG_HOME/input ディレクトリにあると想定されます。
このコマンドの出力結果は、次のディレクトリに保存されます。
```
RREG_HOME/output/
```

次の例は、RREGセッションのサンプルを示しています。

Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are: 
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_iam
Enter admin password: 
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n

----------------------------------------
Request summary:
OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------

Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.

親トピック: RREGツールの実行

RREGツールをアウトオブバンド・モードで実行

RREGツールをWEBHOSTサーバー上でアウトオブバンド・モードで実行するには、管理者は次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml

この例では、次のようになります。

RREG_HOMEを、RREGアーカイブ・ファイルを展開したサーバー上の場所に置き換えます。
編集したOAM11GRequest.xmlファイルは、RREG_HOME/inputディレクトリにあります。
RREGツールにより、このコマンドの出力(AgentID_response.xmlファイル)は次のディレクトリに保存されます。
```
RREG_HOME/output/
```
Oracle Access Managerサーバー管理者は、OAM11GRequest.xmlファイルを提供したユーザーにAgentID_response.xmlを送信できます。

RREGツールをWebサーバー・クライアント・マシン上でアウトオブバンド・モードで実行するには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml

この例では、次のようになります。

RREG_HOMEを、RREGアーカイブ・ファイルを展開したクライアント・システム上の場所に置き換えます。
Oracle Access Managerサーバー管理者によって提供されたAgentID_response.xmlファイルは、 RREG_HOME/inputディレクトリにあります。
RREGツールにより、このコマンドの出力(Webゲート・ソフトウェアの登録に必要なアーティファクトとファイル)は、クライアント・マシン上次のディレクトリに保存されます。
```
RREG_HOME/output/
```

親トピック: RREGツールの実行

RREGによって生成されるファイルおよびアーティファクト

RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーとの間の通信に使用するセキュリティ・レベルによって異なります。『Oracle Access Management管理者ガイド』で、OAMサーバーとWebゲート間の通信の保護に関する項を参照してください。

この項では、RREG_HOMEへの参照はすべて、RREGツールを実行するディレクトリへのパスに置き換える必要があります。これは一般的に、Oracle Access Managerサーバー上の次のディレクトリ、または(アウトオブバンド・モードを使用している場合)RREGアーカイブを展開したディレクトリです。

OAM_ORACLE_HOME/oam/server/rreg/client

次の表に、Oracle Access Managerのセキュリティ・レベルに関係なく、RREGツールによって常に生成されるアーティファクトをリストします。

ファイル	場所
`cwallet.sso`	`RREG_HOME/output/Agent_ID/` 注意: これはOHS 12.2.1.3用です。以前のリリースのOHSについては、Oracle IDMのドキュメントを参照してください。
`ObAccessClient.xml`	`RREG_HOME/output/Agent_ID/`

次の表に、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される、追加のファイルをリストします。

ファイル	場所
`aaa_key.pem`	`RREG_HOME/output/Agent_ID/`
`aaa_cert.pem`	`RREG_HOME/output/Agent_ID/`
`password.xml`	`RREG_HOME/output/Agent_ID/`
`aaa_chain.pem` (CERTレベルのみ)	`RREG_HOME/output/Agent_ID/`

password.xmlファイルには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。

RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー

RREGツールにより必要なアーティファクトが生成された後、アーティファクトをRREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに手動でコピーします。

Oracle HTTP Server構成ディレクトリ内のファイルの場所は、Oracle Access Managerのセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。

次の表に、Oracle Access Managerのセキュリティ・モード設定に基づく、生成された各アーティファクトに必要なOracle HTTP Server構成ディレクトリ内の場所をリストします。ディレクトリが存在しない場合、ディレクトリを作成しなければならないことがあります。たとえば、ウォレット・ディレクトリは構成ディレクトリ内に存在しないことがあります。

注意:

エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号化のためにカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除いて、簡易モードが推奨されます。オープン・モードまたは証明書モードを使用する場合の情報が、利便性のために示されています。

オープン・モードではOracle Access Managerサーバーとのトラフィックは暗号化されないため、オープン・モードの使用は避けてください。

証明書モードの使用またはOracle Access Managerでサポートされている一般的なセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信の保護に関する項を参照してください。

表25-2 生成されたアーティファクトをコピーするWeb層ホストの場所

ファイル	OPENモードを使用する場合の場所	SIMPLEモードを使用する場合の場所	CERTモードを使用する場合の場所
`wallet/cwallet.sso`^Foot 1	`WEB_CONFIG_DIR/webgate/config/wallet`	`WEB_CONFIG_DIR/webgate/config/wallet` デフォルトではwalletフォルダは使用できません。`WEB_CONFIG_DIR/webgate/config/`の下にwalletフォルダを作成します。	`WEB_CONFIG_DIR/webgate/config/wallet`
`ObAccessClient.xml`	`WEB_CONFIG_DIR/webgate/config`	`WEB_CONFIG_DIR/webgate/config`	`WEB_CONFIG_DIR/webgate/config`
`password.xml`	なし	`WEB_CONFIG_DIR/webgate/config`	`WEB_CONFIG_DIR/webgate/config`
`aaa_key.pem`	なし	`WEB_CONFIG_DIR/webgate/config/simple/`	`WEB_CONFIG_DIR/webgate/config`
`aaa_cert.pem`	なし	`WEB_CONFIG_DIR/webgate/config/simple/`	`WEB_CONFIG_DIR/webgate/config`

^脚注1cwallet.ssoは、outputフォルダではなくwalletフォルダからコピーします。同じ名前のファイルが2つ存在していたとしても、それらは別のものです。正しいものは、walletサブディレクトリにあるほうです。

注意:

WEBHOST1およびWEBHOST2にObAccessClient.xmlを再デプロイする必要がある場合、サーバーからObAccessClient.xmlのキャッシュされたコピーと、そのロック・ファイルObAccessClient.xml.lckを削除します。WEBHOST1のキャッシュの場所は次のとおりです。

WEB_DOMAIN_HOME/servers/ohs1/cache/

また、WEBHOST2で2番目のOracle HTTP Serverインスタンスに対して、同様のステップを実行する必要があります。

WEB_DOMAIN_HOME/servers/ohs2/cache/

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

OHS SimpleCA証明書のウォレット・アーティファクトへの挿入

OHSサーバーが11gまたは以前のバージョンのOAMサーバーで構成されている場合は、「生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー」でデプロイしたウォレット・ファイル・アーティファクトにOHS SimpleCA証明書を挿入する必要があります。

ステップは次のとおりです。

WEBHOST1で、次のディレクトリに移動します。
```
WEB_CONFIG_DIR/webgate/config/wallet
```

次のコマンドを実行して、ウォレット・ファイルにSimpleCA証明書を挿入します。

WEB_ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet ./ -trusted_cert -cert WEB_ORACLE_HOME/webgate/ohs/tools/openssl/simpleCA/cacert.pem -auto_login_only

次のような出力結果が表示されます。

  simpleCA/cacert.pem -auto_login_only
  Oracle PKI Tool : Version 12.2.1.3.0   
 Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved.      

 Operation is successfully completed.

次のコマンドを実行して、証明書の挿入を確認します。

WEB_ORACLE_HOME/oracle_common/bin/orapki wallet display -wallet ./

次のような出力結果が表示されます。

  Oracle PKI Tool : Version 12.2.1.3.0
  Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved.

  Requested Certificates:
  User Certificates:
  Oracle Secret Store entries: OAMAgent@#3#@wcedgRwse01Env1Ps3_Key
  Trusted Certificates:
  Subject: CN=NetPoint Simple Security CA - Not for General Use,OU=NetPoint,O=Oblix\, Inc.,L=Cupertino,ST=California,C=US

WEBHOST2で、ステップ1からステップ3を繰り返します。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化

Oracle Access Managementサーバーの一部のリリースでは、適切にアップグレードまたはパッチ適用されていない場合にMD5署名を使用することで簡易モードのセキュリティ証明書を実装します。可能であれば、OAM証明書をSHA-2証明書にアップグレードすることをお薦めします。複数バージョンのOracle HTTPサーバーに対処する必要がある場合、これは不可能です。

証明書のアップグレードが不可能な場合は、MD5署名のサポートを手動で有効にして、簡易セキュリティ・モードでWebGateを使用する際に、Oracle Access Manager 11gのMD5署名でOracle HTTP server 12.2.1.xが動作するようにする必要があります。

各OHSインスタンスでMD5証明書の署名を有効にするには、次のステップを実行します。

WEBHOST1で、次のディレクトリに変更します。

WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1
ohs.plugins.nodemanager.propertiesファイルを開き、次の行を追加してファイルを保存します。
```
environment.ORACLE_SSL_ALLOW_MD5_CERT_SIGNATURES = 1
```
WEBHOSTnサーバーの他のすべてのインスタンスについて、ステップ1および2を繰り返します。

たとえば、WEBHOST2のohs2インスタンスです。

注意:
変更は、次のトピックでインスタンスを再起動すると有効になります。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

Oracle HTTP Serverインスタンスの再起動

Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。

WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。

親トピック: Oracle Access ManagerへのOracle HTTP Server WebGateの登録

WebLogic Server認証プロバイダの設定

WebLogic Server認証プロバイダを設定するには、構成ファイルのバックアップ、Oracle Access Manager IDアサーション・プロバイダの設定およびプロバイダの順序の設定を行います。

次の項では、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」のステップに従って、LDAPオーセンティケータがすでに構成されていると想定します。LDAPオーセンティケータをまだ作成していない場合は、作成してからこの項を読み進めてください。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成

構成ファイルのバックアップ

念のため、まず、次の関連する構成ファイルをバックアップする必要があります。

ASERVER_HOME/config/config.xml
ASERVER_HOME/config/fmwconfig/jps-config.xml
ASERVER_HOME/config/fmwconfig/system-jazn-data.xml

管理サーバーのboot.propertiesファイルもバックアップします。

ASERVER_HOME/servers/AdminServer/security/boot.properties

親トピック: WebLogic Server認証プロバイダの設定

Oracle Access Manager IDアサーション・プロバイダの設定

Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。

Oracle Access Manager IDアサーション・プロバイダを設定する手順は次のとおりです。

WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
myrealmというデフォルト・レルム・エントリをクリックします。
「プロバイダ」タブをクリックします。
「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
アサータに名前(OAM ID Asserterなど),を付け、「OK」をクリックします。
新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
制御フラグを「必須」に設定します。
「選択済み」タイプで、デフォルトで選択されていない場合、ObSSOCookieオプションとOAM_REMOTE_USERオプションを両方とも選択します。
「保存」をクリックして設定を保存します。
「変更のアクティブ化」をクリックして変更を伝播します。

親トピック: WebLogic Server認証プロバイダの設定

デフォルト・オーセンティケータの更新とプロバイダの順序の設定

WebLogic Server管理コンソールでIDアサーション・プロバイダと認証プロバイダの順序を設定します。

デフォルト・オーセンティケータを更新し、プロバイダの順序を設定するには:

WebLogic Server管理コンソールにログインしていない場合は、ログインします。
「ロックして編集」をクリックします。
左側のナビゲーション・ペインで、「セキュリティ・レルム」を選択します。
myrealmというデフォルト・レルム・エントリをクリックします。
「プロバイダ」タブをクリックします。
プロバイダの表で、DefaultAuthenticatorをクリックします。
「制御フラグ」をSUFFICIENTに設定します。
「保存」をクリックして設定を保存します。
ナビゲーション・ブレッドクラムで「プロバイダ」をクリックして、プロバイダのリストに戻ります。
「並替え」をクリックします。

OAM IDアサーション・プロバイダが最初で、DefaultAuthenticatorプロバイダが最後になるように、プロバイダを並べ替えます。

表25-3 ソート順

ソート順	プロバイダ	制御フラグ
1	OAMIdentityAsserter	`REQUIRED`
2	LDAP Authentication Provider	`SUFFICIENT`
3	DefaultAuthenticator	`SUFFICIENT`
4	信頼サービスIDアサータ	`N/A`
5	DefaultIdentityAsserter	`N/A`

「OK」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
必要に応じて、管理サーバー、管理対象サーバーおよびシステム・コンポーネントを停止します。
管理サーバーを再起動します。
SSOを使用してADFコンソールを構成する場合は、管理対象サーバーを停止状態のままにし、後で再起動できます。そうしない場合は、今すぐ管理対象サーバーを再起動する必要があります。

親トピック: WebLogic Server認証プロバイダの設定

Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成

一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合できるOracle Application Development Framework(Oracle ADF)セキュリティを使用しています。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xmlファイルを構成して、これらの機能を有効にする必要があります。

ドメインレベルのjps-config.xmlファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。

ASERVER_HOME/config/fmwconfig/jps-config.xml

注意:

ドメインレベルのjps-config.xmlをカスタム・アプリケーションでデプロイされたjps-config.xmlと混同しないでください。

OPSS構成を更新してOracle Access ManagerのSSOアクションを委任するには、次のステップに従います。

次のディレクトリを変更します。
ORACLE_COMMON_HOME/common/bin
WebLogic Server Scripting Tool (WLST)を起動します。
./wlst.sh
次のWLSTコマンドを使用して管理サーバーに接続します。
connect(‘admin_user’,’admin_password’,’admin_url’)

例:

connect(‘weblogic_soa’,’mypassword’,’t3://ADMINVHN:7001’)

次に示すように、addOAMSSOProviderコマンドを実行します。

addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html")

次の表では、addOAMSSOProviderコマンドの各引数に予想される値を定義しています。

表25-4 addOAMSSOProviderコマンドにおける引数の予想値

引数定義

引数	定義
loginuri	ログイン・ページのURIを指定します注意: ADFセキュリティが有効なアプリケーションの場合、"/context-root/adfAuthentication"を'loginuri'パラメータに指定する必要があります。例: /${app.context}/adfAuthentication 注意: `${app.context}`は、表示されているとおりに入力する必要があります。実行時に、変数は適宜置き換えられます。手順を示します。たとえば、ユーザーがOPSSの認証ポリシーで保護されているリソースにアクセスします。ユーザーがまだ認証されていない場合、ADFはユーザーをloginuriで設定したURIにリダイレクトします。 Access Managerにはloginuriの値を保護するポリシー、たとえば、/context-root/adfAuthenticationが存在する必要があります。 ADFがこのURIにリダイレクトすると、Access Managerにより「ログイン」ページが表示されます(このURI用のAccess Managerで構成された認証スキームにより異なる)。
logouturi	ログアウト・ページのURIを指定します通常、loginurlの値は`/oam/logout.html`です。
autologinuri	自動ログイン・ページのURIを指定します。これはオプションのパラメータです。

loginuri

ログイン・ページのURIを指定します

注意:

ADFセキュリティが有効なアプリケーションの場合、"/context-root/adfAuthentication"を'loginuri'パラメータに指定する必要があります。

例:

/${app.context}/adfAuthentication

注意:

${app.context}は、表示されているとおりに入力する必要があります。実行時に、変数は適宜置き換えられます。

手順を示します。

たとえば、ユーザーがOPSSの認証ポリシーで保護されているリソースにアクセスします。
ユーザーがまだ認証されていない場合、ADFはユーザーをloginuriで設定したURIにリダイレクトします。
Access Managerにはloginuriの値を保護するポリシー、たとえば、/context-root/adfAuthenticationが存在する必要があります。
ADFがこのURIにリダイレクトすると、Access Managerにより「ログイン」ページが表示されます(このURI用のAccess Managerで構成された認証スキームにより異なる)。

logouturi

ログアウト・ページのURIを指定します通常、loginurlの値は/oam/logout.htmlです。

autologinuri

自動ログイン・ページのURIを指定します。これはオプションのパラメータです。

次のコマンドを実行して、管理サーバーから切断します。
disconnect()
管理サーバーと管理対象サーバーを再起動します。

親トピック: エンタープライズ・デプロイメント用のシングル・サインオンの構成