19 エンタープライズ・デプロイメント用のシングル・サインオンの構成
Oracle Access Managerでシングル・サインオンを有効化するために、Oracle HTTP Server WebGateを構成する必要があります。
- Oracle HTTP Server Webゲートについて
Oracle HTTP Server Webゲートは、HTTPリクエストを捕捉して認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。 - Oracle HTTP Server Webgateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。 - OHS 12c Webgateの構成に関するエンタープライズ・デプロイメントの前提条件
Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。 - エンタープライズ・デプロイメント用のOracle HTTP Server 12c WebGateの構成
WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次のステップを実行する必要があります。 - Oracle Access ManagerへのOracle HTTP Server WebGateの登録
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGate・エージェントを登録できます。 - WebLogic Server認証プロバイダの設定
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。 - Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。 - 追加のシングル・サインオン構成
Oracle HTTP Server Webゲートについて
Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録および管理に関する項を参照してください。
Oracle HTTP Server Webgateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成するには、動作保証されたバージョンのOracle Access Managerをインストールして構成しておく必要があります。
最新の情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。
注意:
本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。
OHS 12c Webgateを構成するためのエンタープライズ・デプロイメントの前提条件
Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。
-
Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境でのOracle Access Managerのデプロイの詳細は、ご使用のOracle Identity and Access Managementのバージョンのエンタープライズ・デプロイメント・ガイドを参照してください。
-
WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlに対するシングル・サインオンを有効にするには、Oracle Access Managerが使用している(Oracle Internet DirectoryやOracle Unified Directoryなど)ディレクトリ・サービスに中心的なLDAPプロビジョニング管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要のあるユーザーとグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってください。
注意:
目的のOracle Access Managerデプロイメントで動作保証されているWebGateバージョンの使用をお薦めします。エンタープライズ・デプロイメントでのOracle HTTP Server 12c WebGateの構成
WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次のステップを実行する必要があります。
次の手順では、WEB_ORACLE_HOMEやWEB_CONFIG_DIRなどのディレクトリ変数を、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。
-
Web層ドメインの完全なバックアップを実行します。
-
ディレクトリを、Oracle HTTP Server Oracleホームの次の場所に変更します。
cd
WEB_ORACLE_HOME
/webgate/ohs/tools/deployWebGate/
-
次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。
./deployWebGateInstance.sh -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME
-
deployWebGateInstance
コマンドによってwebgate
ディレクトリとサブディレクトリが作成されたことを確認します。ls -lat WEB_CONFIG_DIR/webgate/ total 16 drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 .. drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 . drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
-
次のコマンドを実行し、
LD_LIBRARY_PATH
変数にWEB_ORACLE_HOME/lib
ディレクトリ・パスが含まれるようにします。export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
-
ディレクトリを次のディレクトリに変更します。
WEB_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
-
次のコマンドを
InstallTools
ディレクトリから実行します。./EditHttpConf -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME -o output_file_name
注意:
-oh WEB_ORACLE_HOME
および-o output_file_name
パラメータはオプションです。このコマンドは、次の内容を実行します。
-
Oracle HTTP Server Oracleホームの
apache_webgate.template
ファイルをOracle HTTP Serverの構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。 -
httpd.conf
ファイルに1行追加して更新し、webgate.conf
が含まれるようにします。 -
WebGate構成ファイルを生成します。このファイルのデフォルト名は
webgate.conf
ですが、コマンドに対して-o output_file_name
引数を使用することにより、カスタム名を使用できます。
-
Oracle Access ManagerへのOracle HTTP Server Webゲートの登録
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
OAM登録の詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
- RREGインバンドおよびアウトオブバンド・モードについて
- OAM11gRequest.xmlファイルの標準プロパティの更新
- エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新
- RREGツールの実行
- RREGによって生成されるファイルおよびアーティファクト
- 生成済のアーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
- ウォレット・アーティファクトへのOHS SimpleCA証明書の挿入
- Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化
- Oracle HTTP Serverインスタンスの再起動
RREGインバンドおよびアウトオブバンド・モードについて
RREGツールはインバンドとアウトバンドのいずれかのモードで実行できます。
Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。
-
Oracle Access Managerサーバー管理者からRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
-
サーバー管理者によって提供された
RREG.tar.gz
ファイルを展開します。次に例を示します。
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、
RREG_Home
は、RREGアーカイブの内容を展開したディレクトリです。 -
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用して
OAM11GRequest.xml
ファイルを更新し、完成したOAM11GRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。 -
その後、Oracle Access Managerサーバー管理者は、「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、RREGツールを実行し、
AgentID_response.xml
ファイルを生成します。 -
Oracle Access Managerサーバー管理者から、
AgentID_response.xml
ファイルが送信されます。 -
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、クライアント・システムで、
AgentID_response.xml
ファイルでRREGツールを実行し、必要なアーティファクトとファイルを生成します。
OAM11gRequest.xmlファイルでの標準プロパティの更新
WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xml
ファイルで必要なプロパティを更新しておく必要があります。
注意:
-
提供されたXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドにデフォルト値が使用される簡略バージョン(
OAM11gRequest_short.xml
)を使用できます。 -
プライマリ・サーバー・リストでは、OAMサーバーのデフォルト名はOAM_SERVER1およびOAM_SERVER2と示されます。サーバー名が環境で変更された場合、リストでこれらの名前が変更されます。
このタスクを実行するには、次のようにします。
-
インバンド・モードを使用している場合は、いずれかのOAMサーバー上の次の場所にディレクトリを変更します。
OAM_ORACLE_HOME/oam/server/rreg/input
アウトオブバンド・モードを使用している場合、WEBHOST1サーバー上でRREGアーカイブを解凍した場所にディレクトリを変更します。
-
環境に固有の名前を使用して、
OAM11GRequest.xml
ファイル・テンプレートのコピーを作成します。cp OAM11GRequest.xml OAM11GRequest_edg.xml
-
ファイルにリストされているプロパティを確認し、
OAM11GRequest.xml
ファイルのコピーを更新して、プロパティが環境に固有のホスト名およびその他の値を参照するようにします。
表19-1 OAM11GRequest.xmlファイルのフィールド。
OAM11gRequest.xmlのプロパティ | 設定内容 |
---|---|
serverAddress |
Oracle Access Managerドメイン内の管理サーバーのホストおよびポート。 |
agentName |
エージェントのカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。 |
security |
Oracle Access Managementサーバーで構成されたセキュリティ・モードに設定する必要があります。これは、open、simple、certificateの3つのモードのいずれかになります。 注意: エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどの場合でオープン・モードを使用しないでください。 証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。 |
cachePragmaHeader |
private |
cacheControlHeader |
private |
ipValidation |
0
ipValidationが'1'に設定されている場合は、Cookieに格納されているIPアドレスとクライアントのIPアドレスが一致する必要があり、一致しない場合はSSO Cookieが拒否されるため、ユーザーは再認証が必要になります。これは、一部のWebアプリケーションで問題の原因になることがあります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。'0'に設定すると、IP検証が無効になります。 |
ipValidationExceptions |
ipValidationが'0'の場合は、空にすることができます。 IPの検証がtrueの場合、IPアドレスはIP検証例外リストと比較されます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。たとえば、フロントエンド・ロード・バランサのIPアドレスは次のようになります。
|
agentBaseUrl |
Oracle HTTP 12c WebGatesがインストールされたWEBHOSTnマシンの前にあるフロントエンド・ロード・バランサVIPのホストおよびポートを使用した完全修飾URL。 次に例を示します。
|
virtualHost |
|
hostPortVariationsList
|
WebGatesによって保護される各ロード・バランサのURLに、 次に例を示します。
|
logOutUrls |
空白のままにします。 ログアウトURLによってログアウト・ハンドラがトリガーされ、これによってCookieが削除されるため、Access Managerによって保護されたリソースにユーザーが次回アクセスすると、再認証が要求されます。ログアウトURLが構成されていない場合、要求URLの確認はlogout.に対して行われ、このURLが見つかった場合も(logout.gifとlogout.jpgを除く)ログアウト・ハンドラがトリガーされます。値をこのプロパティに設定する場合は、使用されているすべてのログアウトURLを追加する必要があります。 |
primaryServerList |
OAM管理対象サーバーのホストとポートが、このリストと一致することを確認します。例:
|
エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新
OAM11gRequest.xml
ファイルの特定のセクションを使用して識別します。URLを識別する手順は次のとおりです。
RREGツールの実行
次のトピックでは、RREGツールを実行してOracle Access ManagerにOracle HTTP Server WebGateを登録する方法について説明します。
RREGツールをインバンド・モードで実行
RREGツールをインバンド・モードで実行する手順は次のとおりです。
-
RREGホーム・ディレクトリに変更します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。
-
次のディレクトリに変更します。
-
(UNIX)
RREG_HOME/bin
-
(Windows)
RREG_HOME\bin
cd RREG_HOME/bin/
-
-
ファイルを実行できるように、
oamreg.sh
コマンドの権限を設定します。chmod +x oamreg.sh
-
次のコマンドを入力します。
./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml
この例では、次のようになります。
-
編集した
OAM11GRequest.xml
ファイルはRREG_HOME/input
ディレクトリにあると想定されます。 -
このコマンドの出力は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例はRREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are:
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_iam
Enter admin password:
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n
----------------------------------------
Request summary:
OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com
:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------
Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.
親トピック: RREGツールの実行
RREGツールをアウトオブバンド・モードで実行
WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例では、次のようになります。
-
RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。
-
編集された
OAM11GRequest.xml
ファイルは、RREG_HOME/input
ディレクトリに配置されています。 -
RREGツールでは、このコマンドの出力(
AgentID_response.xml
ファイル)が次のディレクトリに保存されます。RREG_HOME/output/
Oracle Access Managerサーバー管理者は、
AgentID_response.xml
をOAM11GRequest.xml
ファイルを提供したユーザーに送信できます。
Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例では、次のようになります。
-
RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。
-
Oracle Access Managerサーバー管理者から提供された
AgentID_response.xml
ファイルは、RREG_HOME/inputディレクトリにあります。 -
RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。
RREG_HOME/output/
親トピック: RREGツールの実行
RREGによって生成されるファイルおよびアーティファクト
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーの間の通信に使用しているセキュリティ・レベルによって異なります。『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。
この項のRREG_HOME
は、RREGツールを実行したディレクトリのパスで置き換える必要があることに注意してください。これは通常、Oracle Access Managerサーバーの次のディレクトリまたはRREGアーカイブを解凍したディレクトリになります(アウトオブバンド・モードを使用している場合)。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表は、Oracle Access Managerのセキュリティ・レベルにかかわらず、RREGツールによって常に生成されるアーティファクトを示しています。
ファイル | 場所 |
---|---|
cwallet.sso |
RREG_HOME/output/Agent_ID/
注意: これはOHS 12.2.1.3用です。以前のリリースのOHSについては、Oracle IDMのドキュメントを参照してください。 |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表は、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルを示しています。
ファイル | 場所 |
---|---|
|
|
|
|
|
|
|
|
password.xml
ファイルには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_ID
ディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。
Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。
注意:
エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。
オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。
証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。
表19-2 生成済アーティファクトをコピーするWeb層のホストの場所
ファイル | OPENモードを使用する場合の場所 | SIMPLEモードを使用する場合の場所 | CERTモードを使用する場合の場所 |
---|---|---|---|
wallet/cwallet.sso 脚注1 |
WEB_CONFIG_DIR/webgate/config/wallet |
WEB_CONFIG_DIR/webgate/config/wallet デフォルトでは、ウォレット・フォルダは使用できません。 |
WEB_CONFIG_DIR/webgate/config/wallet |
ObAccessClient.xml |
WEB_CONFIG_DIR/webgate/config |
WEB_CONFIG_DIR/webgate/config |
WEB_CONFIG_DIR/webgate/config |
password.xml |
N/A | WEB_CONFIG_DIR/webgate/config |
WEB_CONFIG_DIR/webgate/config |
aaa_key.pem |
N/A | WEB_CONFIG_DIR/webgate/config/simple/ |
WEB_CONFIG_DIR/webgate/config |
aaa_cert.pem |
N/A | WEB_CONFIG_DIR/webgate/config/simple/ |
WEB_CONFIG_DIR/webgate/config |
脚注1 cwallet.sso
は、outputフォルダではなくwalletフォルダからコピーします。同じ名前のファイルが2つ存在していたとしても、それらは別のものです。正しいものは、walletサブディレクトリにあるほうです。
注意:
WEBHOST1
およびWEBHOST2
にObAccessClient.xml
を再デプロイする必要がある場合、ObAccessClient.xml
のキャッシュされたコピーおよびそのロック・ファイルであるObAccessClient.xml.lck
をサーバーから削除します。WEBHOST1
のキャッシュの場所は次のとおりです。WEB_DOMAIN_HOME/servers/ohs1/cache/
WEBHOST2
上の2番目のOracle HTTP Serverインスタンスでも同様のステップを実行する必要があります。
WEB_DOMAIN_HOME/servers/ohs2/cache/
ウォレット・アーティファクトへのOHS SimpleCA証明書の挿入
OHSサーバーが11g以前のバージョンのOAMサーバーで構成されている場合は、「生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー」でデプロイしたウォレット・ファイル・アーティファクトに、OHS SimpleCA証明書を挿入する必要があります。
-
WEBHOST1で、次のディレクトリに移動します。
WEB_CONFIG_DIR/webgate/config/wallet
-
SimpleCA証明書をウォレット・ファイルに挿入するには、次のコマンドを実行します。
WEB_ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet ./ -trusted_cert -cert WEB_ORACLE_HOME/webgate/ohs/tools/openssl/simpleCA/cacert.pem -auto_login_only
次のような出力結果が表示されます。simpleCA/cacert.pem -auto_login_only Oracle PKI Tool : Version 12.2.1.3.0 Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved. Operation is successfully completed.
-
証明書の挿入は、次のコマンドで検証します。
WEB_ORACLE_HOME/oracle_common/bin/orapki wallet display -wallet ./
次のような出力結果が表示されます。Oracle PKI Tool : Version 12.2.1.3.0 Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved. Requested Certificates: User Certificates: Oracle Secret Store entries: OAMAgent@#3#@wcedgRwse01Env1Ps3_Key Trusted Certificates: Subject: CN=NetPoint Simple Security CA - Not for General Use,OU=NetPoint,O=Oblix\, Inc.,L=Cupertino,ST=California,C=US
Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化
Oracle Access Managementサーバーの一部のリリースでは、適切にアップグレードまたはパッチ適用されていない場合にMD5署名を使用することで簡易モードのセキュリティ証明書を実装します。可能であればOAM証明書をSHA-2にアップグレードすることをお薦めします。競合する複数バージョンのOracle HTTPサーバーをご利用の場合、このアップグレードができない可能性があります。
証明書をアップグレードできない場合は、MD5署名のサポートを手動で有効化し、webgateを簡易セキュリティ・モードで使用するときにOracle HTTP server 12.2.1.xでOracle Access Manager 11gのMD5証明書を使用できるようにします。
-
WEBHOST1で、次のディレクトリに移動します。
WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1
-
ohs.plugins.nodemanager.properties
ファイルを開き、次の行を追加してファイルを保存します。environment.ORACLE_SSL_ALLOW_MD5_CERT_SIGNATURES = 1
-
WEBHOSTnサーバーの他のすべてのインスタンスについて、ステップ1および2を繰り返します。
たとえば、WEBHOST2の
ohs2
インスタンスです。注意:
変更は、次のトピックでインスタンスを再起動すると有効になります。
Oracle HTTP Serverインスタンスの再起動
Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic Server認証プロバイダの設定
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
次の項では、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」のステップに従って、LDAPオーセンティケータがすでに構成されていると想定します。LDAPオーセンティケータをまだ作成していない場合は、作成してからこの項を読み進めてください。
構成ファイルのバックアップ
まず、次の関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
ASERVER_HOME/servers/AdminServer/security/boot.properties
親トピック: WebLogic Server認証プロバイダの設定
Oracle Access Manager IDアサーション・プロバイダの設定
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
- WebLogic Server管理コンソールにログインしていない場合は、ログインします。
- 「ロックして編集」をクリックします。
- 左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
- myrealmというデフォルト・レルム・エントリをクリックします。
- 「プロバイダ」タブをクリックします。
- 「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
- アサータに名前(OAM ID Asserterなど),を付け、「OK」をクリックします。
- 新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
- 制御フラグを「必須」に設定します。
- 選択タイプで、デフォルトで選択されていない場合は「ObSSOCookie」および「OAM_REMOTE_USER」オプションを選択します。
- 「保存」をクリックして設定を保存します。
- 「変更のアクティブ化」をクリックして変更を伝播します。
親トピック: WebLogic Server認証プロバイダの設定
デフォルト・オーセンティケータの更新およびプロバイダの順序の設定
WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。
親トピック: WebLogic Server認証プロバイダの設定
Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xml
ファイルを構成して、これらの機能を有効化する必要があります。
ドメインレベルのjps-config.xml
ファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。
ASERVER_HOME/config/fmwconfig/jps-config.xml
注意:
ドメインレベルのjps-config.xml
をカスタム・アプリケーションでデプロイされたjps-config.xml
と混同しないでください。
追加のシングル・サインオン構成
次の項で説明する構成は、サイトのセキュリティを強化するために必要であるか、または役に立ちます。
- SSO用のWebCenter Portalの構成
- WebCenter Portal RESTインタフェース用のOAMポリシーの構成
WebCenter Portal REST APIは、Oracle Access ManagerのステートレスなBasic認証スキーム用に構成する必要があります。 - 外部リーダーを使用したRSSフィード用のOAMの構成
- OAM 11g用のWebLogic Server管理コンソールとEnterprise Managerの構成
- SSO用のSecure Enterprise Searchの構成
- SSO用のContent Serverの構成
- 接続フィルタを使用したアクセスの制限
- ポートレット・プロデューサと追加コンポーネントの構成
SSO用のWebCenter Portalの構成
WebCenter PortalアプリケーションをSSO用に構成するには、EXTRA_JAVA_PROPERTIES
に設定を追加します。
アプリケーションがSSOモードに構成されており、特別な処理が必要であることをWebCenter PortalとADFに伝えるシステム・プロパティがあります。このモードでは、次のシステム・プロパティが必要とされます。
フィールド | 値 | 説明 |
---|---|---|
|
|
このフラグはSSOが使用されていることをWebCenter Portalに告げるため、デフォルトのランディング・ページにログイン・フォームは表示されなくなります。そのかわりにログイン・リンクが表示され、ユーザーはこれをクリックしてSSO認証を呼び出すことができます。 |
このプロパティを設定するには、次のようにします。
親トピック: 追加のシングル・サインオン構成
WebCenter Portal RESTインタフェース用のOAMポリシーの構成
WebCenter Portal REST APIは、Oracle Access ManagerのステートレスなBasic認証スキーム用に構成する必要があります。
親トピック: 追加のシングル・サインオン構成
外部リーダーを使用したRSSフィード用のOAMの構成
デフォルトでは、WebCenter Portal RSSフィードはSSOによって保護されています。ただし、保護されたままの状態では、それらは外部リーダーでうまく機能しません。外部リーダーを使用したアクセスが重要な場合は、その外部リーダーが処理できるWebLogic ServerのBASIC認証によってRSSサーブレットの認証が処理されるように、WebCenter Portal RSSリソースをOAMポリシーから除外することをお薦めします。
OAM 11gのRSSフィードを非保護にするステップは次のとおりです。
親トピック: 追加のシングル・サインオン構成
OAM 11g用のWebLogic Server管理コンソールとEnterprise Managerの構成
この項では、WebLogic Server管理コンソールとEnterprise ManagerのためにオプションでOAM 11gシングル・サインオンをセットアップする方法を説明します。
注意:
-
Enterprise ManagerとWebLogic Server管理コンソールに対してOAM SSOをセットアップすると、OAM SSOアクセスが構成されている同じユーザー・セットでシングル・サインオン・アクセスが可能になります。Web層を外部ユーザーがOAMを通じてアクセスできるようにする一方、管理者にEnterprise ManagerとWebLogic Server管理コンソールに直接ログインさせるときは、この追加の構成ステップを実行する必要がない場合もあります。
-
OAMポリシー・リソース保護は、この章の「エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新」で完了している場合があります。それでも、管理SSOログアウトのリライト・ルールを完了する必要があることに注意してください。その構成を戻す場合は、この項のステップに従って保護レベルを「保護」から「パブリック」に変更します。
WebLogic Server管理コンソールとEnterprise Managerに対してOAM 11g SSOをセットアップする手順は次のとおりです。
-
ブラウザを使用して、OAMコンソールにログインします。
http://host:port/oamconsole
-
「起動パッド」で、「Access Manager」ブロックにある「アプリケーション・ドメイン」リンクを選択します。
「アプリケーション・ドメインの検索」ペインが表示されます。
-
アプリケーション・ドメインの「リソース」ビューに移動します。
たとえば、次のようにします。
「起動パッド」→「Access Manager」の「アプリケーション・ドメイン」リンク→「検索」→自分のアプリケーション・ドメイン→「リソース」タブ
-
「リソース」タブで、「作成」をクリックします。
リソース・ページが表示されます。
-
セキュリティ保護が必要なリソースを追加します。各リソースについて、次のようにします。
-
「リソース・タイプ」として
http
を選択します。 -
WebGateエージェントの登録時に作成したホスト識別子を選択します。
-
「リソースURL」に、WebLogic Server管理コンソールのリソースURL(
/console
)またはEnterprise ManagerのリソースURL(/em
)を入力します。 -
リソースの「説明」を入力し、「適用」をクリックします。
-
「保護レベル」を
Protected
に設定します。
-
-
「認証ポリシー」→「保護されたリソース・ポリシー」に移動して、新しく作成されたリソースを追加します。
-
「認可ポリシー」→「保護されたリソース・ポリシー」についても同じことを行います。
-
WEBHOST1およびWEBHOST2で、
admin_vh.conf
ファイルを更新し、RewriteRuleを追加してWLSコンソールに対してSSOログアウトを有効にします。<VirtualHost WEBHOST1:7777> ServerName admin.example.com:80 ServerAdmin you@your.address RewriteEngine On RewriteOptions inherit # SSO logout redirection for WLS Console RewriteRule ^/console/jsp/common/logout.jsp "/oamsso/logout.html?end_url=/console" [R] </VirtualHost>
-
変更を有効にするために、Oracle HTTP Serverを再起動します。
これで、次のリンクでWebLogic Server管理コンソールとEnterprise Managerにアクセスできるようになります。
http://admin.example.com/console http://admin.example.com/em
OAMのSSOログイン・フォームのプロンプトが表示されます。
親トピック: 追加のシングル・サインオン構成
SSO用のSecure Enterprise Searchの構成
WebCenter PortalとSESに定義された対応する認証エンド・ポイントが使用するWebCenter Portalデータとリポジトリをクロールするために定義されるクロール・ソースは、適切に認証されるようにWeb層のOracle HTTP Serverポートを通してルーティングする必要があります(認証方式は引き続きBASICおよびレルムjazn.comになります)。
SES接続の構成の詳細は、『Oracle WebCenter Portalの管理』のOracle SES接続の設定に関する項を参照してください。
親トピック: 追加のシングル・サインオン構成
SSO用のContent Serverの構成
SSOが機能したら、Content Serverへのポータル接続を更新してWebコンテキスト・ルート・パスを設定する必要があります。このパラメータを設定することで、SSOが構成されていることをドキュメント・ライブラリに伝達します。SSOが設定され機能するまで、webContextRoot
値は設定しないでください。
親トピック: 追加のシングル・サインオン構成
接続フィルタを使用したアクセスの制限
ユーザーが適切に認証されるように、Web層OHSポートを通してのみWebCenter Portalおよび関連するコンポーネントへのアクセスを許可するには、次のステップに従います。
親トピック: 追加のシングル・サインオン構成
ポートレット・プロデューサと追加コンポーネントの構成
OHSを通してルーティングされるようにポートレット・プロデューサ・アプリケーションをセットアップした場合は、登録用のプロデューサURLを指定する際に必ずOHSホストおよびポートを使用してください。これは、wsrp-toolsのようなデフォルトのプロデューサ、サービス・プロデューサ、ページレット・プロデューサおよび明示的に構成した他のプロデューサに適用されます。
登録用のプロデューサURLを指定する際に、必ず内部ロード・バランサURL (http://wcp-internal.example.com/...など)を使用てください。これは、wsrp-toolsのようなデフォルトのプロデューサ、サービス・プロデューサ、ページレット・プロデューサおよび明示的に構成した他のプロデューサに適用されます。
親トピック: 追加のシングル・サインオン構成