19 エンタープライズ・デプロイメント用のシングル・サインオンの構成

Oracle Access Managerでシングル・サインオンを有効化するために、Oracle HTTP Server WebGateを構成する必要があります。

• Oracle HTTP Server Webゲートについて
  Oracle HTTP Server Webゲートは、HTTPリクエストを捕捉して認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
• Oracle HTTP Server Webgateの構成の一般的な前提条件
  Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。
• OHS 12c Webgateの構成に関するエンタープライズ・デプロイメントの前提条件
  Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。
• エンタープライズ・デプロイメント用のOracle HTTP Server 12c WebGateの構成
  WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次のステップを実行する必要があります。
• Oracle Access ManagerへのOracle HTTP Server WebGateの登録
  Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGate・エージェントを登録できます。
• WebLogic Server認証プロバイダの設定
  WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
• Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成
  一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xmlファイルを構成して、これらの機能を有効化する必要があります。
• 追加のシングル・サインオン構成
  

Oracle HTTP Server Webゲートについて

Oracle HTTP Server WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。

Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録および管理に関する項を参照してください。

Oracle HTTP Server Webgateの構成の一般的な前提条件

Oracle HTTP Server WebGateを構成するには、動作保証されたバージョンのOracle Access Managerをインストールして構成しておく必要があります。

最新の情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。

WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。

注意:

本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。

Oracle Access Managerの詳細は、Oracleヘルプ・センターのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。

OHS 12c Webgateを構成するためのエンタープライズ・デプロイメントの前提条件

Oracle HTTP Server Webgateを構成してエンタープライズ・デプロイメントでシングル・サインオンを有効化する場合、この項で説明されている前提条件を考慮してください。

• Oracle Access Managerをセキュアな高可用性本番環境の一部としてデプロイすることをお薦めします。エンタープライズ環境でのOracle Access Managerのデプロイの詳細は、ご使用のOracle Identity and Access Managementのバージョンのエンタープライズ・デプロイメント・ガイドを参照してください。

• WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlに対するシングル・サインオンを有効にするには、Oracle Access Managerが使用している(Oracle Internet DirectoryやOracle Unified Directoryなど)ディレクトリ・サービスに中心的なLDAPプロビジョニング管理ユーザーを追加する必要があります。LDAPディレクトリに追加する必要のあるユーザーとグループの詳細は、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」の手順に従ってください。

注意:

目的のOracle Access Managerデプロイメントで動作保証されているWebGateバージョンの使用をお薦めします。

エンタープライズ・デプロイメントでのOracle HTTP Server 12c WebGateの構成

WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次のステップを実行する必要があります。

次の手順では、WEB_ORACLE_HOMEやWEB_CONFIG_DIRなどのディレクトリ変数を、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されている値で置き換えます。

1. Web層ドメインの完全なバックアップを実行します。

2. ディレクトリを、Oracle HTTP Server Oracleホームの次の場所に変更します。

   cd WEB_ORACLE_HOME/webgate/ohs/tools/deployWebGate/

3. 次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。

   ./deployWebGateInstance.sh -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME

4. deployWebGateInstanceコマンドによってwebgateディレクトリとサブディレクトリが作成されたことを確認します。

   ls -lat WEB_CONFIG_DIR/webgate/
   total 16
   drwxr-x---+ 8 orcl oinstall 20 Oct  2 07:14 ..
   drwxr-xr-x+ 4 orcl oinstall  4 Oct  2 07:14 .
   drwxr-xr-x+ 3 orcl oinstall  3 Oct  2 07:14 tools
   drwxr-xr-x+ 3 orcl oinstall  4 Oct  2 07:14 config
   

5. 次のコマンドを実行し、LD_LIBRARY_PATH変数にWEB_ORACLE_HOME/libディレクトリ・パスが含まれるようにします。

   export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib

6. ディレクトリを次のディレクトリに変更します。

   WEB_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools

7. 次のコマンドをInstallToolsディレクトリから実行します。

   ./EditHttpConf -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME -o output_file_name

   注意:

   -oh WEB_ORACLE_HOMEおよび-o output_file_nameパラメータはオプションです。

   このコマンドは、次の内容を実行します。

   • Oracle HTTP Server Oracleホームのapache_webgate.templateファイルをOracle HTTP Serverの構成ディレクトリの新しいwebgate.confファイルにコピーします。

   • httpd.confファイルに1行追加して更新し、webgate.confが含まれるようにします。

   • WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.confですが、コマンドに対して-o output_file_name引数を使用することにより、カスタム名を使用できます。

Oracle Access ManagerへのOracle HTTP Server Webゲートの登録

Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。

OAM登録の詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。

• RREGインバンドおよびアウトオブバンド・モードについて
  
• OAM11gRequest.xmlファイルの標準プロパティの更新
  
• エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新
  
• RREGツールの実行
  
• RREGによって生成されるファイルおよびアーティファクト
  
• 生成済のアーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
  
• ウォレット・アーティファクトへのOHS SimpleCA証明書の挿入
  
• Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化
  
• Oracle HTTP Serverインスタンスの再起動
  

RREGインバンドおよびアウトオブバンド・モードについて

RREGツールはインバンドとアウトバンドのいずれかのモードで実行できます。

Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。

Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。

1. Oracle Access Managerサーバー管理者からRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。

2. サーバー管理者によって提供されたRREG.tar.gzファイルを展開します。

   次に例を示します。

   gunzip RREG.tar.gz

   tar -xvf RREG.tar

   RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。

   RREG_HOME/bin/oamreg.sh

   この例では、RREG_Homeは、RREGアーカイブの内容を展開したディレクトリです。

3. 「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用してOAM11GRequest.xmlファイルを更新し、完成したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。

4. その後、Oracle Access Managerサーバー管理者は、「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、RREGツールを実行し、AgentID_response.xmlファイルを生成します。

5. Oracle Access Managerサーバー管理者から、AgentID_response.xmlファイルが送信されます。

6. 「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して、クライアント・システムで、AgentID_response.xmlファイルでRREGツールを実行し、必要なアーティファクトとファイルを生成します。

OAM11gRequest.xmlファイルでの標準プロパティの更新

WebGateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xmlファイルで必要なプロパティを更新しておく必要があります。

注意:

• 提供されたXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドにデフォルト値が使用される簡略バージョン(OAM11gRequest_short.xml)を使用できます。

• プライマリ・サーバー・リストでは、OAMサーバーのデフォルト名はOAM_SERVER1およびOAM_SERVER2と示されます。サーバー名が環境で変更された場合、リストでこれらの名前が変更されます。

このタスクを実行するには、次のようにします。

1. インバンド・モードを使用している場合は、いずれかのOAMサーバー上の次の場所にディレクトリを変更します。

   OAM_ORACLE_HOME/oam/server/rreg/input

   アウトオブバンド・モードを使用している場合、WEBHOST1サーバー上でRREGアーカイブを解凍した場所にディレクトリを変更します。

2. 環境に固有の名前を使用して、OAM11GRequest.xmlファイル・テンプレートのコピーを作成します。

   cp OAM11GRequest.xml OAM11GRequest_edg.xml

3. ファイルにリストされているプロパティを確認し、OAM11GRequest.xmlファイルのコピーを更新して、プロパティが環境に固有のホスト名およびその他の値を参照するようにします。

表19-1 OAM11GRequest.xmlファイルのフィールド。

OAM11gRequest.xmlのプロパティ	設定内容
serverAddress	Oracle Access Managerドメイン内の管理サーバーのホストおよびポート。
agentName	エージェントのカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。
applicationDomain	シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。
security	Oracle Access Managementサーバーで構成されたセキュリティ・モードに設定する必要があります。これは、open、simple、certificateの3つのモードのいずれかになります。 注意: エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどの場合でオープン・モードを使用しないでください。 証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。
cachePragmaHeader	private
cacheControlHeader	private
ipValidation	0 <ipValidation>0</ipValidation> ipValidationが'1'に設定されている場合は、Cookieに格納されているIPアドレスとクライアントのIPアドレスが一致する必要があり、一致しない場合はSSO Cookieが拒否されるため、ユーザーは再認証が必要になります。これは、一部のWebアプリケーションで問題の原因になることがあります。たとえば、プロキシ・サーバーで管理されるWebアプリケーションは、通常、ユーザーのIPアドレスをプロキシのIPアドレスに変更します。'0'に設定すると、IP検証が無効になります。
ipValidationExceptions	ipValidationが'0'の場合は、空にすることができます。 IPの検証がtrueの場合、IPアドレスはIP検証例外リストと比較されます。そのアドレスが例外リストにある場合、そのアドレスはCookieに格納されたIPアドレスと一致しなくてもよくなります。IPアドレスは、必要な数だけ追加できます。たとえば、フロントエンド・ロード・バランサのIPアドレスは次のようになります。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidationExceptions>
agentBaseUrl	Oracle HTTP 12c WebGatesがインストールされたWEBHOSTnマシンの前にあるフロントエンド・ロード・バランサVIPのホストおよびポートを使用した完全修飾URL。 次に例を示します。       <agentBaseUrl>             https://wcp.example.com:443             </agentBaseUrl>
virtualHost	agentBaseUrlよりも保護を強化する場合(管理VIPのSSO保護など)、trueに設定します。
hostPortVariationsList	WebGatesによって保護される各ロード・バランサのURLに、hostPortVariationホストおよびポート要素を追加します。 次に例を示します。 <hostPortVariationsList>     <hostPortVariations>         <host>wcpinternal.example.com</host>         <port>80</port>     </hostPortVariations>     <hostPortVariations>         <host>admin.example.com</host>         <port>80</port>     </hostPortVariations> <hostPortVariations>           <host>osb.example.com</host>           <port>443</port>       </hostPortVariations> </hostPortVariationsList>
logOutUrls	空白のままにします。 ログアウトURLによってログアウト・ハンドラがトリガーされ、これによってCookieが削除されるため、Access Managerによって保護されたリソースにユーザーが次回アクセスすると、再認証が要求されます。ログアウトURLが構成されていない場合、要求URLの確認はlogout.に対して行われ、このURLが見つかった場合も(logout.gifとlogout.jpgを除く)ログアウト・ハンドラがトリガーされます。値をこのプロパティに設定する場合は、使用されているすべてのログアウトURLを追加する必要があります。
primaryServerList	OAM管理対象サーバーのホストとポートが、このリストと一致することを確認します。例: <primaryServerList> <Server> <host>wls_oam1</host> <port>14100</port> <numOfConnections>1</numOfConnections> </Server> <Server> <host>wls_oam2</host> <port>14100</port> <numOfConnections>2</numOfConnections> </Server> </primaryServerList>

エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新

シングル・サインオン用にOracle Fusion Middleware環境を設定する場合は、Oracle Access Managerでシングル・サインオンによって保護する一連のURLを識別します。これらは、OAM11gRequest.xmlファイルの特定のセクションを使用して識別します。URLを識別する手順は次のとおりです。

1. コピーしたOAM11GRequest_edg.xmlファイルがまだ編集用に開かれていない場合は、ファイルを探してテキスト・エディタで開きます。

   「OAM11gRequest.xmlファイルでの標準プロパティの更新」を参照してください

2. ファイルのサンプル・エントリを削除して、次の例に示されているようにファイルの適切なセクションに保護リソース、パブリック・リソースおよび除外リソースのリストを入力します。

   注意:

   Oracle Access Manager 11gリリース2 (11.1.2.2)以降を使用している場合は、以前のバージョンのOracle Access Managerとの下位互換性のためにワイルドカード構文(.../*)を使用したエントリがこの例に含まれていることに注意してください。

       <protectedResourcesList>
       <!-- WebCenter Portal Protected Resources -->
           <resource>/pagelets/admin/.../*</resource>
           <resource>/rest/api</resource>
           <resource>/rest/api/activities/.../*</resource>
           <resource>/rest/api/activities</resource>
           <resource>/rest/api/catalog/.../*</resource>
           <resource>/rest/api/catalog</resource>
           <resource>/rest/api/discussions/.../*</resource>
           <resource>/rest/api/discussions</resource>
           <resource>/rest/api/feedback/.../*</resource>
           <resource>/rest/api/feedback</resource>
           <resource>/rest/api/messageBoards/.../*</resource>
           <resource>/rest/api/messageBoards</resource>
           <resource>/rest/api/navigations/.../*</resource>
           <resource>/rest/api/navigations</resource>
           <resource>/rest/api/people/.../*</resource>
           <resource>/rest/api/people</resource>
           <resource>/rest/api/preferences/general/.../*</resource>
           <resource>/rest/api/preferences/general</resource>
           <resource>/rest/api/resourceIndex</resource>
           <resource>/rest/api/searchcollection/.../*</resource>
           <resource>/rest/api/searchcollection</resource>
           <resource>/rest/api/searchresults/.../*</resource>
           <resource>/rest/api/searchresults</resource>
           <resource>/rest/api/spaces/.../*</resource>
           <resource>/rest/api/spaces</resource>
           <resource>/rest/api/taggeditems/.../*</resource>
           <resource>/rest/api/taggeditems</resource>
           <resource>/rest/api/taggingusers/.../*</resource>
           <resource>/rest/api/taggingusers</resource>
           <resource>/rest/api/tags/.../*</resource>
           <resource>/rest/api/tags</resource>
           <resource>/rest/api/v1/resourceIndex</resource>
           <resource>/rest/api/who/.../*</resource>
           <resource>/rest/api/who</resource>
           <resource>/rss/rssservlet</resource>
           <resource>/services-producer/adfAuthentication</resource>
           <resource>/webcenter/adfAuthentication</resource>
       <!-- WebCenter Content Protected Resources -->
           <resource>/adfAuthentication</resource>
           <resource>/dc-client/adfAuthentication</resource>
           <resource>/dc-console/adfAuthentication</resource>
           <resource>/ibr/adfAuthentication</resource>
           <resource>/imaging/faces/.../*</resource>
           <resource>/imaging/faces</resource>
           <resource>/wcc/adfAuthentication</resource>
       <!-- SOA Protected Resources -->
           <resource>/DefaultToDoTaskFlow/.../*</resource>
           <resource>/DefaultToDoTaskFlow</resource>
           <resource>/EssHealthCheck/.../*</resource>
           <resource>/EssHealthCheck</resource>
           <resource>/b2bconsole/.../*</resource>
           <resource>/b2bconsole</resource>
           <resource>/ess/.../*</resource>
           <resource>/ess</resource>
           <resource>/inspection.wsil</resource>
           <resource>/integration/worklistapp/.../*</resource>
           <resource>/integration/worklistapp</resource>
           <resource>/sdpmessaging/userprefs-ui/.../*</resource>
           <resource>/sdpmessaging/userprefs-ui</resource>
           <resource>/soa/composer/.../*</resource>
           <resource>/soa/composer</resource>
           <resource>/soa-infra/cluster/info/.../*</resource>
           <resource>/soa-infra/cluster/info</resource>
           <resource>/soa-infra/deployer/.../*</resource>
           <resource>/soa-infra/deployer</resource>
           <resource>/soa-infra/events/edn-db-log/.../*</resource>
           <resource>/soa-infra/events/edn-db-log</resource>
           <resource>/soa-infra</resource>
           <resource>/workflow/DefaultToDoTaskFlow/.../*</resource>
           <resource>/workflow/DefaultToDoTaskFlow</resource>
           <resource>/workflow/sdpmessagingsca-ui-worklist/.../*</resource>
           <resource>/workflow/sdpmessagingsca-ui-worklist</resource>
       <!-- SOA Portal Taskflow Protected Resources (For WCP/SOA integrated systems only) -->
           <resource>/workflow/WebCenterWorklistDetail/faces/adf.task-flow/.../*</resource>
           <resource>/workflow/WebCenterWorklistDetail/faces/adf.task-flow</resource>
       </protectedResourcesList>
       <publicResourcesList>
       <!-- WebCenter Portal Public Resources-->
           <resource>/pagelets</resource>
           <resource>/pagelets/welcome</resource>
           <resource>/rss/.../*</resource>
           <resource>/rss</resource>
           <resource>/services-producer</resource>
           <resource>/webcenter/.../*</resource>
           <resource>/webcenter</resource>
           <resource>/webcenterhelp/.../*</resource>
           <resource>/webcenterhelp</resource>
           <resource>/wsrp-tools</resource>
       <!-- WebCenter Content Public Resources -->
           <resource>/_ocsh/.../*</resource>
           <resource>/_ocsh</resource>
           <resource>/_dav/.../*</resource>
           <resource>/_dav</resource>
           <resource>/cs/.../*</resource>
           <resource>/cs</resource>
           <resource>/dc-console/.../*</resource>
           <resource>/dc-console</resource>
           <resource>/ibr/.../*</resource>
           <resource>/ibr</resource>
           <resource>/imaging/.../*</resource>
           <resource>/imaging</resource>
           <resource>/wcc/.../*</resource>
           <resource>/wcc</resource>
       <!-- SOA Public Resources (For SOA systems only) -->
           <resource>/soa-infra/directWSDL</resource>
       <!-- SOA Portal Taskflow Public Resources (For WCP/SOA integrated systems only) -->
           <resource>/workflow/WebCenterWorklistDetail/.../*</resource>
           <resource>/workflow/WebCenterWorklistDetail</resource>
       </publicResourcesList>
       <excludedResourcesList>
           <resource>/favicon.ico</resource>
       <!-- FMW/WLS Common Infrastruture Excluded Resources -->
           <resource>/wsm-pm/.../*</resource>
           <resource>/wsm-pm</resource>
       <!-- WebCenter Portal Excluded Resources-->
           <resource>/collector/.../*</resource>
           <resource>/collector</resource>
           <resource>/pagelets/api/v2/ensemble/pagelets</resource>
           <resource>/pagelets/api/v2/ensemble/pagelets/.../*</resource>
           <resource>/pagelets/ensemblestatic/.../*</resource>
           <resource>/pagelets/ensemblestatic</resource>
           <resource>/portalTools/.../*</resource>
           <resource>/portalTools</resource>
           <resource>/rest/api/cmis/.../*</resource>
           <resource>/rest/api/cmis/</resource>
           <resource>/rsscrawl</resource>
           <resource>/rsscrawl/.../*</resource>
           <resource>/sesUserAuth</resource>
           <resource>/sesUserAuth/.../*</resource>
           <resource>/webcenter/SpacesWebService</resource>
           <resource>/webcenter/SpacesWebService/.../*</resource>
           <resource>/wsrp-tools/portlets/.../*</resource>
           <resource>/wsrp-tools/portlets</resource>
       <!-- WebCenter Content Excluded Resources -->
           <resource>/axf-ws</resource>
           <resource>/axf-ws/.../*</resource>
           <resource>/cs/common/idcapplet.jar</resource>
           <resource>/cs/common/checkoutandopen*.jar</resource> 
           <resource>/cs/images</resource>
           <resource>/cs/images/.../*</resource>
           <resource>/dc-client</resource>
           <resource>/dc-client/.../*</resource>
           <resource>/idcnativews</resource>
           <resource>/idcnativews/.../*</resource>
           <resource>/imaging/lib</resource>
           <resource>/imaging/lib/.../*</resource>
           <resource>/imaging/ws</resource>
           <resource>/imaging/ws/.../*</resource>
       <!-- SOA Portal Taskflow Excluded Resources (For WCP/SOA integrated systems only) -->
           <resource>/soa-infra/services/default/CommunityWorkflows/**</resource>
           <resource>/soa-infra/services/default/CommunityWorkflows*</resource>
       <!-- SOA Excluded Resources (For SOA systems only) -->
           <resource>/b2b/services</resource>
           <resource>/b2b/services/.../*</resource>
           <resource>/integration/services</resource>
           <resource>/integration/services/.../*</resource>
           <resource>/soa-infra/services</resource>
           <resource>/soa-infra/services/.../*</resource>
           <resource>/ucs/messaging/webservice</resource>
           <resource>/ucs/messaging/webservice/.../*</resource>
       </excludedResourcesList>
   

3. OAM11GRequest_edg.xmlファイルを保存し、閉じます。

RREGツールの実行

次のトピックでは、RREGツールを実行してOracle Access ManagerにOracle HTTP Server WebGateを登録する方法について説明します。

• インバンド・モードでのRREGツールの実行
  
• アウトオブバンド・モードでのRREGツールの実行
  

RREGツールをインバンド・モードで実行

RREGツールをインバンド・モードで実行する手順は次のとおりです。

1. RREGホーム・ディレクトリに変更します。

   インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。

   OAM_ORACLE_HOME/oam/server/rreg

   アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。

2. 次のディレクトリに変更します。

   • (UNIX) RREG_HOME/bin

   • (Windows) RREG_HOME\bin

   cd RREG_HOME/bin/

3. ファイルを実行できるように、oamreg.shコマンドの権限を設定します。

   chmod +x oamreg.sh

4. 次のコマンドを入力します。

   ./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml

この例では、次のようになります。

• 編集したOAM11GRequest.xmlファイルはRREG_HOME/input ディレクトリにあると想定されます。

• このコマンドの出力は、次のディレクトリに保存されます。

  RREG_HOME/output/

次の例はRREGセッションのサンプルです。

Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are: 
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_iam
Enter admin password: 
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n

----------------------------------------
Request summary:
OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------

Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.

RREGツールをアウトオブバンド・モードで実行

WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml

この例では、次のようになります。

• RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。

• 編集されたOAM11GRequest.xmlファイルは、RREG_HOME/inputディレクトリに配置されています。

• RREGツールでは、このコマンドの出力(AgentID_response.xmlファイル)が次のディレクトリに保存されます。

  RREG_HOME/output/

  Oracle Access Managerサーバー管理者は、AgentID_response.xmlをOAM11GRequest.xmlファイルを提供したユーザーに送信できます。

Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml

この例では、次のようになります。

• RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。

• Oracle Access Managerサーバー管理者から提供されたAgentID_response.xmlファイルは、RREG_HOME/inputディレクトリにあります。

• RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。

  RREG_HOME/output/

RREGによって生成されるファイルおよびアーティファクト

RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーの間の通信に使用しているセキュリティ・レベルによって異なります。『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。

この項のRREG_HOMEは、RREGツールを実行したディレクトリのパスで置き換える必要があることに注意してください。これは通常、Oracle Access Managerサーバーの次のディレクトリまたはRREGアーカイブを解凍したディレクトリになります(アウトオブバンド・モードを使用している場合)。

OAM_ORACLE_HOME/oam/server/rreg/client

次の表は、Oracle Access Managerのセキュリティ・レベルにかかわらず、RREGツールによって常に生成されるアーティファクトを示しています。

ファイル	場所
cwallet.sso	RREG_HOME/output/Agent_ID/ 注意: これはOHS 12.2.1.3用です。以前のリリースのOHSについては、Oracle IDMのドキュメントを参照してください。
ObAccessClient.xml	RREG_HOME/output/Agent_ID/

次の表は、Oracle Access ManagerにSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルを示しています。

ファイル	場所
aaa_key.pem	RREG_HOME/output/Agent_ID/
aaa_cert.pem	RREG_HOME/output/Agent_ID/
password.xml	RREG_HOME/output/Agent_ID/
aaa_chain.pem (CERTレベルのみ)	RREG_HOME/output/Agent_ID/

password.xmlファイルには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。

RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。

生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー

RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。

Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。

次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。

注意:

エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。

オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。

証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。

表19-2 生成済アーティファクトをコピーするWeb層のホストの場所

ファイル	OPENモードを使用する場合の場所	SIMPLEモードを使用する場合の場所	CERTモードを使用する場合の場所
wallet/cwallet.sso脚注1	WEB_CONFIG_DIR/webgate/config/wallet	WEB_CONFIG_DIR/webgate/config/wallet デフォルトでは、ウォレット・フォルダは使用できません。WEB_CONFIG_DIR/webgate/config/の下にwalletフォルダを作成します。	WEB_CONFIG_DIR/webgate/config/wallet
ObAccessClient.xml	WEB_CONFIG_DIR/webgate/config	WEB_CONFIG_DIR/webgate/config	WEB_CONFIG_DIR/webgate/config
password.xml	N/A	WEB_CONFIG_DIR/webgate/config	WEB_CONFIG_DIR/webgate/config
aaa_key.pem	N/A	WEB_CONFIG_DIR/webgate/config/simple/	WEB_CONFIG_DIR/webgate/config
aaa_cert.pem	N/A	WEB_CONFIG_DIR/webgate/config/simple/	WEB_CONFIG_DIR/webgate/config

^脚注1 cwallet.ssoは、outputフォルダではなくwalletフォルダからコピーします。同じ名前のファイルが2つ存在していたとしても、それらは別のものです。正しいものは、walletサブディレクトリにあるほうです。

注意:

WEBHOST1およびWEBHOST2にObAccessClient.xmlを再デプロイする必要がある場合、ObAccessClient.xmlのキャッシュされたコピーおよびそのロック・ファイルであるObAccessClient.xml.lckをサーバーから削除します。WEBHOST1のキャッシュの場所は次のとおりです。

WEB_DOMAIN_HOME/servers/ohs1/cache/

WEBHOST2上の2番目のOracle HTTP Serverインスタンスでも同様のステップを実行する必要があります。

WEB_DOMAIN_HOME/servers/ohs2/cache/

ウォレット・アーティファクトへのOHS SimpleCA証明書の挿入

OHSサーバーが11g以前のバージョンのOAMサーバーで構成されている場合は、「生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー」でデプロイしたウォレット・ファイル・アーティファクトに、OHS SimpleCA証明書を挿入する必要があります。

ステップは次のとおりです。

1. WEBHOST1で、次のディレクトリに移動します。

   WEB_CONFIG_DIR/webgate/config/wallet

2. SimpleCA証明書をウォレット・ファイルに挿入するには、次のコマンドを実行します。

   WEB_ORACLE_HOME/oracle_common/bin/orapki wallet add -wallet ./ -trusted_cert -cert WEB_ORACLE_HOME/webgate/ohs/tools/openssl/simpleCA/cacert.pem -auto_login_only 

   次のような出力結果が表示されます。

     simpleCA/cacert.pem -auto_login_only
     Oracle PKI Tool : Version 12.2.1.3.0   
    Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved.      
   
    Operation is successfully completed.

3. 証明書の挿入は、次のコマンドで検証します。

   WEB_ORACLE_HOME/oracle_common/bin/orapki wallet display -wallet ./ 

   次のような出力結果が表示されます。

     Oracle PKI Tool : Version 12.2.1.3.0
     Copyright (c) 2004, 2017, Oracle and/or its affiliates. All rights reserved.
   
     Requested Certificates:
     User Certificates:
     Oracle Secret Store entries: OAMAgent@#3#@wcedgRwse01Env1Ps3_Key
     Trusted Certificates:
     Subject: CN=NetPoint Simple Security CA - Not for General Use,OU=NetPoint,O=Oblix\, Inc.,L=Cupertino,ST=California,C=US

4. WEBHOST2で、ステップ1から3を繰り返します。

Oracle HTTP ServerインスタンスでのMD5証明書の署名の有効化

Oracle Access Managementサーバーの一部のリリースでは、適切にアップグレードまたはパッチ適用されていない場合にMD5署名を使用することで簡易モードのセキュリティ証明書を実装します。可能であればOAM証明書をSHA-2にアップグレードすることをお薦めします。競合する複数バージョンのOracle HTTPサーバーをご利用の場合、このアップグレードができない可能性があります。

証明書をアップグレードできない場合は、MD5署名のサポートを手動で有効化し、webgateを簡易セキュリティ・モードで使用するときにOracle HTTP server 12.2.1.xでOracle Access Manager 11gのMD5証明書を使用できるようにします。

各OHSインスタンスでMD5証明書の署名を有効にするには、次のステップを実行します。

1. WEBHOST1で、次のディレクトリに移動します。

   WEB_DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1

2. ohs.plugins.nodemanager.propertiesファイルを開き、次の行を追加してファイルを保存します。

   environment.ORACLE_SSL_ALLOW_MD5_CERT_SIGNATURES = 1

3. WEBHOSTnサーバーの他のすべてのインスタンスについて、ステップ1および2を繰り返します。

   たとえば、WEBHOST2のohs2インスタンスです。

   注意:

   変更は、次のトピックでインスタンスを再起動すると有効になります。

Oracle HTTP Serverインスタンスの再起動

Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。

WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。

WebLogic Server認証プロバイダの設定

WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。

次の項では、「新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング」のステップに従って、LDAPオーセンティケータがすでに構成されていると想定します。LDAPオーセンティケータをまだ作成していない場合は、作成してからこの項を読み進めてください。

• 構成ファイルのバックアップ
  
• Oracle Access Manager IDアサーション・プロバイダの設定
  
• デフォルト・オーセンティケータの更新およびプロバイダの順序の設定
  

構成ファイルのバックアップ

まず、次の関連する構成ファイルをバックアップする必要があります。

ASERVER_HOME/config/config.xml
ASERVER_HOME/config/fmwconfig/jps-config.xml
ASERVER_HOME/config/fmwconfig/system-jazn-data.xml

管理サーバーのboot.propertiesファイルもバックアップします。

ASERVER_HOME/servers/AdminServer/security/boot.properties

Oracle Access Manager IDアサーション・プロバイダの設定

Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。

Oracle Access Manager IDアサーション・プロバイダを設定する手順は次のとおりです。

1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
2. 「ロックして編集」をクリックします。
3. 左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
4. myrealmというデフォルト・レルム・エントリをクリックします。
5. 「プロバイダ」タブをクリックします。
6. 「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
7. アサータに名前(OAM ID Asserterなど),を付け、「OK」をクリックします。
8. 新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
9. 制御フラグを「必須」に設定します。
10. 選択タイプで、デフォルトで選択されていない場合は「ObSSOCookie」および「OAM_REMOTE_USER」オプションを選択します。
11. 「保存」をクリックして設定を保存します。
12. 「変更のアクティブ化」をクリックして変更を伝播します。

デフォルト・オーセンティケータの更新およびプロバイダの順序の設定

WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。

デフォルト・オーセンティケータを更新し、プロバイダの順序の設定するには、次のようにします。

1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
2. 「ロックして編集」をクリックします。
3. 左側のナビゲーションから、「セキュリティ・レルム」を選択します。
4. myrealmというデフォルト・レルム・エントリをクリックします。
5. 「プロバイダ」タブをクリックします。
6. プロバイダの表で、DefaultAuthenticatorをクリックします。
7. 「制御フラグ」をSUFFICIENTに設定します。
8. 「保存」をクリックして設定を保存します。
9. ナビゲーション・ブレッドクラムから、「プロバイダ」をクリックして、プロバイダのリストに戻ります。
10. 「並替え」をクリックします。
11. プロバイダをソートして、OAMアイデンティティ・アサーション・プロバイダが最初で、DefaultAuthenticatorプロバイダが最後になるようにします。

    表19-3 ソート順序

    ソート順序	プロバイダ	制御フラグ
    1	OAMIdentityAsserter	REQUIRED
    2	LDAP認証プロバイダ	SUFFICIENT
    3	DefaultAuthenticator	SUFFICIENT
    4	信頼サービスIDアサータ	N/A
    5	DefaultIdentityAsserter	N/A

12. 「OK」をクリックします。
13. 「変更のアクティブ化」をクリックして変更を伝播します。
14. 必要に応じて、管理サーバー、管理対象サーバーおよびシステム・コンポーネントを停止します。
15. 管理サーバーを再起動します。
16. SSOによりADFコンソールを構成する場合は、管理対象サーバーを停止したままにして後から再開できます。そうでない場合は、ここで管理対象サーバーを再起動する必要があります。

Oracle Access Managerを使用したOracle ADFおよびOPSSセキュリティの構成

一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションでは、ユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、最初にドメインレベルのjps-config.xmlファイルを構成して、これらの機能を有効化する必要があります。

ドメインレベルのjps-config.xmlファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。

ASERVER_HOME/config/fmwconfig/jps-config.xml

注意:

ドメインレベルのjps-config.xmlをカスタム・アプリケーションでデプロイされたjps-config.xmlと混同しないでください。

OPSS構成を更新してOracle Access ManagerにSSOアクションを委任するステップは次のとおりです。

1. 次のディレクトリに変更します。
   ORACLE_COMMON_HOME/common/bin
2. WebLogic Server Scripting Tool (WLST)を起動します。
   ./wlst.sh
3. 次のWLSTコマンドを使用して管理サーバーに接続します。
   connect('admin_user','admin_password','admin_url')

   次に例を示します。

   connect('weblogic_wcp','mypassword','t3://ADMINVHN:7001')

4. 次に示すように、addOAMSSOProviderコマンドを実行します。
   addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html")

   次の表は、addOAMSSOProviderコマンドにおける各引数の予想される値を定義しています。

   表19-4 addOAMSSOProviderコマンドにおける引数の期待値

   引数	定義
   loginuri	ログイン・ページのURIを指定します 注意: ADFセキュリティが有効なアプリケーションの場合、"/context-root/adfAuthentication"を'loginuri'パラメータに指定する必要があります。 次に例を示します。 /${app.context}/adfAuthentication 注意: ${app.context}は、表示されているとおりに入力する必要があります。実行時に、アプリケーションによって変数が適切に置き換えられます。 手順を示します。 たとえば、ユーザーがOPSSの認証ポリシーで保護されているリソースにアクセスします。 ユーザーがまだ認証されていない場合、ADFはユーザーをloginuriで設定したURIにリダイレクトします。 Access Managerにはloginuriの値を保護するポリシー(たとえば、"/context-root/adfAuthentication")が存在する必要があります。 ADFがこのURIにリダイレクトすると、Access Managerにより「ログイン」ページが表示されます(このURI用のAccess Managerで構成された認証スキームにより異なる)。
   logouturi	ログアウト・ページのURIを指定します通常、loginurlの値は/oam/logout.htmlです。
   autologinuri	自動ログイン・ページのURIを指定します。これはオプションのパラメータです。

5. 次のコマンドを実行して、管理サーバーから切断します。
   disconnect()
6. 管理サーバーおよび管理対象サーバーを再起動します。

追加のシングル・サインオン構成

次の項で説明する構成は、サイトのセキュリティを強化するために必要であるか、または役に立ちます。

• SSO用のWebCenter Portalの構成
  
• WebCenter Portal RESTインタフェース用のOAMポリシーの構成
  WebCenter Portal REST APIは、Oracle Access ManagerのステートレスなBasic認証スキーム用に構成する必要があります。
• 外部リーダーを使用したRSSフィード用のOAMの構成
  
• OAM 11g用のWebLogic Server管理コンソールとEnterprise Managerの構成
  
• SSO用のSecure Enterprise Searchの構成
  
• SSO用のContent Serverの構成
  
• 接続フィルタを使用したアクセスの制限
  
• ポートレット・プロデューサと追加コンポーネントの構成
  

SSO用のWebCenter Portalの構成

WebCenter PortalアプリケーションをSSO用に構成するには、EXTRA_JAVA_PROPERTIESに設定を追加します。

アプリケーションがSSOモードに構成されており、特別な処理が必要であることをWebCenter PortalとADFに伝えるシステム・プロパティがあります。このモードでは、次のシステム・プロパティが必要とされます。

フィールド	値	説明
oracle.webcenter.spaces.osso	true	このフラグはSSOが使用されていることをWebCenter Portalに告げるため、デフォルトのランディング・ページにログイン・フォームは表示されなくなります。そのかわりにログイン・リンクが表示され、ユーザーはこれをクリックしてSSO認証を呼び出すことができます。

このプロパティを設定するには、次のようにします。

1. WCCHOST1のASERVER_HOME/binフォルダにあるsetUserOverridesLate.shスクリプトを編集します。EXTRA_JAVA_PROPERTIES変数値の末尾に、Javaのプロパティ名/値のペアである-Doracle.webcenter.spaces.osso=trueを追加します。

   次に例を示します。

   EXTRA_JAVA_PROPERTIES="${EXTRA_JAVA_PROPERTIES} -Doracle.webcenter.spaces.osso=true"
   export EXTRA_JAVA_PROPERTIES

   注意:

   ドメイン全体ではなくポータル・サーバーのみに対してこの値を設定する方法なども示した包括的な例については、「setUserOverridesLateスクリプトを使用したサーバー・パラメータのカスタマイズ」を参照してください。
2. このファイルをWCPHOST1、WCPHOST2、WCCHOST1およびWCCHOST2のMSERVER_HOME/binにコピーします。
3. WebLogic ServerコンソールまたはWLSTから、Portal_Clusterの管理対象サーバーを再起動します。

WebCenter Portal RESTインタフェース用のOAMポリシーの構成

WebCenter Portal REST APIは、Oracle Access ManagerのステートレスなBasic認証スキーム用に構成する必要があります。

新しい認証スキームを設定するには、次のステップを実行します。

1. OAM管理コンソールを開きます。
2. アプリケーション・ドメインの「認証ポリシー」ビューに移動します。

   たとえば、「起動パッド」→「Access Manager」の「アプリケーション・ドメイン」リンク→検索→自分のアプリケーション・ドメイン→「認証ポリシー」タブの順に移動します。

3. 「保護されたリソース・ポリシー」認証ポリシー(認可ではなく)を選択します。
4. リソースURLでリソース・リストをソートし、/restリソースURLの行を探します。
5. 個別に、保護されたリソース・ポリシーから/rest/...関連の各リソースの対応付けを削除します。
6. 「適用」をクリックして、保護されたリソース・ポリシーのビュー・タブを閉じます。
7. 「パブリック・リソース・ポリシー」認証ポリシー(認可ではなく)を選択します。
8. リソースURLでリソース・リストをソートし、/restリソースURLの行を探します。
9. 個別に、パブリック・リソース・ポリシーから/rest/...関連の各リソースの対応付けを削除します。
10. 「適用」をクリックして、パブリック・リソース・ポリシーのビュー・タブを閉じます。
11. 「認証ポリシー」ビューで、「作成」をクリックします。
12. 次の属性値を入力します。

    表19-5 属性値

    属性	値
    名前	WebCenter RESTポリシー
    説明	一部のURIへのアクセスを保護する保護されたセッションレスのBasic認証スキーム。
    認証スキーム	BasicSessionlessScheme
    成功URL	<空>
    失敗URL	<空>

13. 「リソース」タブで、「追加」をクリックします。
14. 「リソースの追加」ダイアログ・ボックスで、/restリソースURLを検索します。
15. 戻された/restで始まる行をすべて(ただし/rest/api/cmisリソースURLの行を除く)選択し、「選択済の追加」をクリックします。

    注意:

    • /rest/api/cmisリソースは、保護レベル「除外」で構成する必要があります。

    • [Shift]キーを使用して行の範囲を選択し、必要に応じてスクロールして完全なリストを選択する必要があります。

16. 前のステップで選択したリソースが新しいWebCenter RESTポリシーのリソース表に表示されていることを確認します。
17. 「適用」をクリックします。レスポンスまたは拡張ルールを構成しないでください。

外部リーダーを使用したRSSフィード用のOAMの構成

デフォルトでは、WebCenter Portal RSSフィードはSSOによって保護されています。ただし、保護されたままの状態では、それらは外部リーダーでうまく機能しません。外部リーダーを使用したアクセスが重要な場合は、その外部リーダーが処理できるWebLogic ServerのBASIC認証によってRSSサーブレットの認証が処理されるように、WebCenter Portal RSSリソースをOAMポリシーから除外することをお薦めします。

OAM 11gのRSSフィードを非保護にするステップは次のとおりです。

1. OAM管理コンソールを開きます。
2. アプリケーション・ドメインの「リソース」ビューに移動します。

   たとえば、次のようにします。

   「起動パッド」→「Access Manager」の「アプリケーション・ドメイン」リンク→「検索」→自分のアプリケーション・ドメイン→「リソース」タブ

3. 「リソース」ビューで、リソース・タイプをHTTP、リソースURLをrssとしてフィルタ処理して検索フォームを使用します。

   次のリソースURLとともに結果が表示されます。

   /rss/** 
   /rss* 
   /rss/.../* 
   /rss/rssservlet/** 
   /rss/rssservlet* 
   /rsscrawl/** 
   /rsscrawl* 
   /rsscrawl/.../*

   注意:

   使用中のOracle Access Managerのリリースによって、これらのリソースURLの構文は若干異なることがあります。
4. 各リソースについて、リソース行を選択して「編集」をクリックします。
5. この6つのリソースそれぞれに割り当てられた保護レベルを確認して更新します。現在「保護」になっているリソースは、「除外」に変更する必要があります。

   パブリック・リソース(/rss*など)は、必要に応じて「除外」に変更することも、「パブリック」のままにすることもできます。

   保護レベルが「除外」に設定されると、リソースの認証ポリシーと認可ポリシーが削除されることに注意してください。

   注意:

   パブリック保護レベルは、認証されていないか、ユーザーに表示されるSSO以外の認証モデルを必要とする、ユーザーに表示されるパブリック・サーバー・エンドポイントに対するリクエストのOracle Access Manager監査ロギングを提供します。パブリック・リソースの監査専用トランザクションには、Oracle Access Managerによって認証または認可されていないリクエストについてシステムに課せられる追加のワークロードが含まれます。パブリック・リソース・リクエストの監査に関する追加のワークロードは、リクエスト率およびインフラストラクチャの容量に左右されます。「除外」保護レベルを使用すると、除外されたリソースに対するリクエストはOracle Access Managerによってログに記録されたりレポートされないため、このオーバーヘッドは回避されます。

OAM 11g用のWebLogic Server管理コンソールとEnterprise Managerの構成

この項では、WebLogic Server管理コンソールとEnterprise ManagerのためにオプションでOAM 11gシングル・サインオンをセットアップする方法を説明します。

注意:

• Enterprise ManagerとWebLogic Server管理コンソールに対してOAM SSOをセットアップすると、OAM SSOアクセスが構成されている同じユーザー・セットでシングル・サインオン・アクセスが可能になります。Web層を外部ユーザーがOAMを通じてアクセスできるようにする一方、管理者にEnterprise ManagerとWebLogic Server管理コンソールに直接ログインさせるときは、この追加の構成ステップを実行する必要がない場合もあります。

• OAMポリシー・リソース保護は、この章の「エンタープライズ・デプロイメント用の保護されたリソース、パブリック・リソースおよび除外されたリソースの更新」で完了している場合があります。それでも、管理SSOログアウトのリライト・ルールを完了する必要があることに注意してください。その構成を戻す場合は、この項のステップに従って保護レベルを「保護」から「パブリック」に変更します。

WebLogic Server管理コンソールとEnterprise Managerに対してOAM 11g SSOをセットアップする手順は次のとおりです。

1. ブラウザを使用して、OAMコンソールにログインします。

   http://host:port/oamconsole
   

2. 「起動パッド」で、「Access Manager」ブロックにある「アプリケーション・ドメイン」リンクを選択します。

   「アプリケーション・ドメインの検索」ペインが表示されます。

3. アプリケーション・ドメインの「リソース」ビューに移動します。

   たとえば、次のようにします。

   「起動パッド」→「Access Manager」の「アプリケーション・ドメイン」リンク→「検索」→自分のアプリケーション・ドメイン→「リソース」タブ

4. 「リソース」タブで、「作成」をクリックします。

   リソース・ページが表示されます。

5. セキュリティ保護が必要なリソースを追加します。各リソースについて、次のようにします。

   1. 「リソース・タイプ」としてhttpを選択します。

   2. WebGateエージェントの登録時に作成したホスト識別子を選択します。

   3. 「リソースURL」に、WebLogic Server管理コンソールのリソースURL(/console)またはEnterprise ManagerのリソースURL(/em)を入力します。

   4. リソースの「説明」を入力し、「適用」をクリックします。

   5. 「保護レベル」をProtectedに設定します。

6. 「認証ポリシー」→「保護されたリソース・ポリシー」に移動して、新しく作成されたリソースを追加します。

7. 「認可ポリシー」→「保護されたリソース・ポリシー」についても同じことを行います。

8. WEBHOST1およびWEBHOST2で、admin_vh.confファイルを更新し、RewriteRuleを追加してWLSコンソールに対してSSOログアウトを有効にします。

   <VirtualHost WEBHOST1:7777>
    ServerName admin.example.com:80
    ServerAdmin you@your.address
    RewriteEngine On
    RewriteOptions inherit
   
    # SSO logout redirection for WLS Console
    RewriteRule ^/console/jsp/common/logout.jsp "/oamsso/logout.html?end_url=/console" [R]
   
   </VirtualHost>
   

9. 変更を有効にするために、Oracle HTTP Serverを再起動します。

   これで、次のリンクでWebLogic Server管理コンソールとEnterprise Managerにアクセスできるようになります。

   http://admin.example.com/console
   http://admin.example.com/em
   

   OAMのSSOログイン・フォームのプロンプトが表示されます。

SSO用のSecure Enterprise Searchの構成

WebCenter PortalとSESに定義された対応する認証エンド・ポイントが使用するWebCenter Portalデータとリポジトリをクロールするために定義されるクロール・ソースは、適切に認証されるようにWeb層のOracle HTTP Serverポートを通してルーティングする必要があります(認証方式は引き続きBASICおよびレルムjazn.comになります)。

SES接続の構成の詳細は、『Oracle WebCenter Portalの管理』のOracle SES接続の設定に関する項を参照してください。

SSO用のContent Serverの構成

SSOが機能したら、Content Serverへのポータル接続を更新してWebコンテキスト・ルート・パスを設定する必要があります。このパラメータを設定することで、SSOが構成されていることをドキュメント・ライブラリに伝達します。SSOが設定され機能するまで、webContextRoot値は設定しないでください。

1. ディレクトリを次のディレクトリに変更します。

   cd ORACLE_COMMON_HOME/common/bin

2. WebLogic Server Scripting Tool (WLST)を起動します。

   ./wlst.sh

3. 次のWLSTコマンドを使用して管理サーバーに接続します。

   connect(‘admin_user’,’admin_password’,’admin_url’)
   

   次に例を示します。

   connect(‘weblogic_wcp’,’mypassword’,’t3://ADMINVHN:7001’)
   

4. 使用可能なコンテンツ・サーバー接続をリストし、次のコマンドで使用する正しい接続名を特定します。

   listContentServerConnections(appName='webcenter', server='WC_Portal1')
   

5. nameパラメータに正しい値を代入して、次のようにPortalのコンテンツ・サーバー接続にwebContextRoot値を設定します。

   setContentServerConnection(appName='webcenter', server='WC_Portal1', name='nameFromStep4', webContextRoot='/cs')
   

6. WLSTセッションからPortalクラスタ管理対象サーバーを再起動します。

   shutdown('Portal_Cluster', 'Cluster', block='true', force='true')
   start('Portal_Cluster', 'Cluster')
   

7. WLSTを終了します。

   exit()

接続フィルタを使用したアクセスの制限

ユーザーが適切に認証されるように、Web層OHSポートを通してのみWebCenter Portalおよび関連するコンポーネントへのアクセスを許可するには、次のステップに従います。

1. WebLogic Server管理コンソールにログインします。
2. 「ドメイン構造」ペインで、構成するドメインを選択します(例: webcenter)。
3. 「セキュリティ」タブを開き、「フィルタ」サブタブを開きます。

   セキュリティ・フィルタの設定ペインが表示されます。

4. 「接続ロガーの有効化」を選択して、受け入れられたメッセージのログを有効にします。

   接続ロガーは、成功した接続と接続データをサーバーにログします。この情報を使用して、サーバー接続に関する問題をデバッグできます。

5. 「接続フィルタ」フィールドに、ドメインで使用する接続フィルタ・クラスを指定します。

   • デフォルトの接続フィルタを構成するには、weblogic.security.net.ConnectionFilterImplと指定します。

   • カスタム接続フィルタを構成するには、ネットワーク接続フィルタを実装するクラスを指定します。このクラスはWebLogic ServerのCLASSPATHにも指定されていることが必要です。

6. 「接続フィルタ・ルール」フィールドに、接続フィルタ・ルールの構文を入力します。

   注意:

   Web層、ロード・バランサ、エンド・ユーザー・アクセス・ポイントおよび残りのドメイン管理対象サーバーが含まれるホストのIP/サブネットを必ず追加します。そうしないと、管理サーバーにアクセスしようとしたときに403エラーが発生します。

   次に例を示します。

   <webtier IP>/0 * * allow
   0.0.0.0/0  *  *  deny
   

   これは、ローカル・ホストからの全トラフィックを許可し、他のIPアドレスからの全トラフィックを拒否するように指定しています。もちろん、環境に適切なネットワーク・フィルタを作成する必要があります。接続フィルタの作成の詳細は、『WebLogicセキュリティ・サービスによるアプリケーションの開発』のカスタム接続フィルタの開発に関する項を参照してください。

7. 「保存」をクリックして、変更をアクティブ化します。
8. すべての管理対象サーバーと管理サーバーを再起動します。
9. WebLogic Serverへのすべての直接トラフィックが、次へのナビゲートを試行することでブロックされることを検証します。

   http://wcp.example.com/webcenter
   

   これによって次のエラーが生成されます。

   「サーバーがこのリクエストを処理できません:[ソケット:000445]接続が拒否され、フィルタがソケットをブロックしました、weblogic.security.net.FilterException: [セキュリティ:090220]rule 3」

   ただし、OHSポートを通してWebCenter Portalにアクセスすることは今でも可能です。

   http://wcp.example.com/webcenter

ポートレット・プロデューサと追加コンポーネントの構成

OHSを通してルーティングされるようにポートレット・プロデューサ・アプリケーションをセットアップした場合は、登録用のプロデューサURLを指定する際に必ずOHSホストおよびポートを使用してください。これは、wsrp-toolsのようなデフォルトのプロデューサ、サービス・プロデューサ、ページレット・プロデューサおよび明示的に構成した他のプロデューサに適用されます。

登録用のプロデューサURLを指定する際に、必ず内部ロード・バランサURL (http://wcp-internal.example.com/...など)を使用てください。これは、wsrp-toolsのようなデフォルトのプロデューサ、サービス・プロデューサ、ページレット・プロデューサおよび明示的に構成した他のプロデューサに適用されます。