B Oracle HTTP Server WebGate for Oracle Access Managerの構成
- WebGateについて
WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するプラグインです。 - Oracle HTTP Server Webgateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。 - Oracle HTTP Server WebGateの構成
Oracle HTTP Server WebGate for Oracle Access Managerの構成にはいくつかのステップが必要です。 - Oracle Access ManagerへのOracle HTTP Server WebGateの登録
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGate・エージェントを登録できます。
WebGateについて
WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』の「OAM 11gエージェントの登録および管理」を参照してください。
Oracle HTTP Server Webgateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成可能にするには、動作保証されたOracle Access Managerのバージョンがインストールおよび構成されている必要があります。
最新の詳細は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。
ノート:
本番環境の場合、Oracle Access Managerは、エンタープライズ・デプロイメントをホストしているマシンではなく、独自の環境にインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracle Help Centerのミドルウェア・ドキュメント内にある最新のOracle Identity and Access Managementドキュメントを参照してください。
Oracle HTTP Server WebGateの構成
Oracle HTTP Server WebGate for Oracle Access Managerの構成にはいくつかのステップが必要です。
次に例を示します。
-
OHS_ORACLE_HOME
を、Oracle HTTP ServerソフトウェアをインストールしたOracleホームへの完全なパスに置き換えます。 -
OHS_Configuration_Staging_Directory
を、Oracle HTTP Serverドメイン・ホーム内の次の場所へのパスに置き換えます:OHS_Configuration_Staging_Directory/config/fmwconfig/components/OHS/componentName
-
Oracle HTTP Serverの
deployWebGate
ディレクトリに移動します。(UNIX)
OHS_ORACLE_HOME
/webgate/ohs/tools/deployWebGate
(Windows)
OHS_ORACLE_HOME
\webgate\ohs\tools\deployWebGate
-
WebGateインスタンスのディレクトリを作成し、OHSインスタンスでのWebGateログインを有効するには、次のコマンドを入力します。
(UNIX) ./deployWebGateInstance.sh -w
DOMAIN_HOME
-oh
OHS_ORACLE_HOME
(Windows) deployWebGateInstance.bat -w
DOMAIN_HOME
-oh
OHS_ORACLE_HOME
-
webgate
ディレクトリおよびサブディレクトリがdeployWebGateInstance
コマンドによって作成されていることを確認します。たとえば、UNIXで:
ls -lart DOMAIN_HOME/webgate/ total 6 drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 .. drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 . drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
-
次のコマンドを入力して、PATH環境変数を設定します。
(UNIX) export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib
(Windows) set PATH=%PATH%;OHS_ORACLE_HOME\bin
-
EditHttpConf
ディレクトリに移動します。(UNIX) OHS_ORACLE_HOME/webgate/ohs/tools/EditHttpConf
(Windows) OHS_ORACLE_HOME\webgate\ohs\tools\EditHttpConf
-
InstallTools
ディレクトリから次のコマンドを入力します。(UNIX) ./EditHttpConf -w DOMAIN_HOME [-oh OHS_ORACLE_HOME] [-o output_file_name] [-dcc custom_dcc_scripts/pages_location]
(Windows) EditHttpConf -w DOMAIN_HOME [-oh OHS_ORACLE_HOME] [-o output_file_name] [-dcc custom_dcc_scripts\pages_location]
このコマンドでは次の処理が行われます。
-
Oracle HTTP Server Oracleホーム内の
apache_webgate.template
ファイルを、Oracle HTTP Server構成ディレクトリ内の新しいwebgate.conf
ファイルにコピーします。 -
httpd.conf
ファイルを更新して1行を追加し、webgate.conf
が含まれるようにします。 -
WebGate構成ファイルを生成します。このファイルのデフォルト名は
webgate.conf
ですが、コマンドに対してoutput_file
引数を使用することにより、カスタム名を使用できます。
-
oamsso/logout.html
、oamsso-bin/login.p
またはlogout.pll
スクリプトなど)をカスタマイズするには、これらのスクリプトを次の場所から、EditHttpConf
ユーティリティに対する-dcc
パラメータによって識別されるカスタムの場所にコピーします。ORACLE_HOME/webgate/ohs/
Oracle Access ManagerへのOracle HTTP Server Webゲートの登録
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。
OAM登録の詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
RREGツールの場所と準備
RREGツールを設定するには、次のステップを実行します。
-
アプリケーション層でOracle Access Managerホストの1つにサインインします。
-
Oracle Access Manager Oracleホームの次のディレクトリに変更します。
OAM_ORACLE_HOME/oam/server/rreg/client
ノート:
場所はアウトオブバンド・モードに対してのみ必要です。この例では、OAM_ORACLE_HOMEは、Oracle Access ManagerソフトウェアがインストールされているOracleホームを参照します。
ノート:
Oracle IDMエンタープライズ・デプロイメント・ガイドを使用した場合、OAM_ORACLE_HOMEは/u01/oracle/products/access/iam
になっている場合があります。ノート:
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合、アウトオブバンド・モードを使用して、必要なファイルを生成し、WebGateをOracle Access Managerに登録する必要があります。「RREGのインバンドおよびアウトオブバンド・モードについて」を参照してください。 -
RREG.tar.gz
ファイルを必要なディレクトリに解凍します。 -
解凍したディレクトリから、
oamreg.sh
ファイルを開き、次のように、ファイルに次の環境変数を設定します。-
OAM_REG_HOME
を、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。JAVA_HOME
を、サポートされているJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
-
OAM11gRequest.xmlファイルでの標準プロパティの更新
WebgateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xml
ファイル内で必要なプロパティを更新する必要があります。
ノート:
提供されているXMLファイル内のほとんどのパラメータに対してデフォルト値を使用する場合、より短いバージョン(OAM11gRequest_short.xml
)を使用できます。この場合、リストされているフィールドすべてに対してデフォルト値が採用されます。
ノート:
プライマリ・サーバー・リストで、OAMサーバーに対するデフォルトの名前はOAM_SERVER1およびOAM_SERVER2として示されます。使用環境でサーバー名が変更されている場合、リストのこれらの名前を変更します。このタスクを実行するには:
-
インバンド・モードを使用している場合、ディレクトリを、ディレクトリ内の次の場所に変更します。
OAM_ORACLE_HOME/oam/server/rreg/input
アウトオブバンド・モードを使用している場合、ディレクトリを、RREGアーカイブを解凍した場所に変更します。
-
OAM11GRequest.xml
ファイル・テンプレートのコピーを作成します。 -
ファイル内にリストされているプロパティをレビューし、OAM11GRequest.xmlファイルのコピーを更新し、プロパティが使用環境に固有のホスト名および他の値を参照していることを確認します。
OAM11gRequest.xmlのプロパティ | 設定値 |
---|---|
serverAddress |
Oracle Access Managerドメインの管理サーバーのホストおよびポート。 |
agentName |
エージェントの任意のカスタム名。通常、シングル・サインオン用として構成するFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオン用として構成するWeb層ホストおよびFMWコンポーネントを識別する値。 |
security |
Oracle Access Managerサーバーのセキュリティ・モードで、オープン・モード、簡易モードまたは証明書モードがあります。 エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号用のカスタム・セキュリティ証明書を実装するための追加要件が存在しない限り、簡易モードをお薦めします。 ほとんどの場合、オープン・モードを使用するとOracle Access Managerサーバーとやり取りするトラフィックが暗号化されないため、オープン・モードは使用しないようにしてください。 証明書モードの使用、またはOracle Access Managerで一般的にサポートされるセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信の保護に関する項 を参照してください。 |
cachePragmaHeader |
プライベート |
cacheControlHeader |
プライベート |
ipValidation |
0
|
ipValidationExceptions |
フロントエンド・ロード・バランサのIPアドレス。たとえば:
|
agentBaseUrl |
Oracle HTTP Server 12c WebGateがインストールされているマシンのホストとポート。 |
RREGツールの実行
ここでは、RREGツールを実行してOracle HTTP Server WebGateをOracle Access Managerに登録するための情報を説明します。
RREGインバンドおよびアウトオブバンド・モードについて
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれかで実行できます。
インバンド・モードは、Oracle Access Managerサーバーにアクセスする権限を持ち、RREGツールをOracle Access Manager Oracleホームから自分で実行する場合に使用します。RREGテーブルを実行した後、生成されたアーティファクトおよびファイルをWebサーバー構成ディレクトリにコピーできます。
アウトオブバンド・モードは、Oracle Access Managerサーバーにアクセスする権限を持たない場合に使用します。たとえば、一部の組織では、サーバー・ディレクトリにアクセスしてサーバーに対して管理タスクを実行する権限を持つのがOracle Access Managerサーバー管理者のみである場合があります。アウトオブバンド・モードの場合、このプロセスは次のように機能します。
-
Oracle Access Managerサーバー管理者によって、RREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
-
サーバー管理者から提供された
RREG.tar.gz
ファイルを解凍します。たとえば:
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、エージェントを登録するためのツールを次の場所で見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、RREGアーカイブの内容を展開したディレクトリは
RREG_Home
です。 -
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用して
OAM11GRequest.xml
ファイルを更新し、完成したOAM11GRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。 -
次に、Oracle Access Managerサーバー管理者は、「RREGツールのアウトオブバンド・モードでの実行」の指示に従い、RREGツールを実行し、
AgentID_response.xml
ファイルを生成します。 -
Oracle Access Managerサーバー管理者から、
AgentID_response.xml
ファイルが送信されてきます。 -
「RREGツールのアウトオブバンド・モードでの実行」の指示に従い、
AgentID_response.xml
ファイルとともにRREGツールを実行し、クライアント・システムで必要なアーティファクトおよびファイルを生成します。
親トピック: RREGツールの実行
RREGツールをインバンド・モードで実行
RREGツールをインバンド・モードで実行するには:
-
RREGホーム・ディレクトリに移動します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所です。
-
次のディレクトリを変更します。
-
(UNIX)
RREG_HOME/bin
-
(Windows)
RREG_HOME\bin
cd RREG_HOME/bin/
-
-
ファイルを実行できるように、
oamreg.sh
コマンドの権限を設定します。chmod +x oamreg.sh
-
次のコマンドを入力します。
./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml
この例の説明は、次のとおりです。
-
編集した
OAM11GRequest.xml
ファイルはRREG_HOME/input
ディレクトリにあると想定されます。 -
このコマンドの出力結果は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例は、RREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are:
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_iam
Enter admin password:
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n
----------------------------------------
Request summary:
OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com
:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------
Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.
親トピック: RREGツールの実行
RREGツールをアウトオブバンド・モードで実行
WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
-
RREG_HOMEを、サーバー上でRREGアーカイブ・ファイルを解凍した場所に置き換えます。
-
編集した
OAM11GRequest.xml
ファイルはRREG_HOME/input
ディレクトリ内にあります。 -
RREGツールにより、このコマンドからの出力(
AgentID_response.xml
ファイル)が次のディレクトリに保存されます。RREG_HOME/output/
これにより、Oracle Access Managerサーバー管理者は、
AgentID_response.xml
を、OAM11GRequest.xml
ファイルを提供したユーザーに送信できます。
Webサーバー・クライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例の説明は、次のとおりです。
-
RREG_HOMEを、クライアント・システム上でRREGアーカイブ・ファイルを解凍した場所に置き換えます。
-
Oracle Access Managerサーバー管理者によって提供された
AgentID_response.xml
ファイルは、RREG_HOME/inputディレクトリ内にあります。 -
RREGツールにより、このコマンドからの出力(Webgateソフトウェアを登録するために必要なアーティファクトおよびファイル)がクライアント・マシン上の次のディレクトリに保存されます。
RREG_HOME/output/
親トピック: RREGツールの実行
RREGによって生成されるファイルおよびアーティファクト
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバー間の通信に使用しているセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信の保護を参照してください。
このトピックでは、RREG_HOME
の部分は、RREGツールを実行したディレクトリへのパスに置き換える必要があります。これは通常、Oracle Access Managerサーバー上の次のディレクトリ、または(アウトオブバンド・モードを使用している場合は) RREGアーカイブを解凍したディレクトリです。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表に、Oracle Access Managerのセキュリティ・レベルとは関係なくRREGツールによって常に生成されるアーティファクトをリストします。
ファイル | 場所 |
---|---|
cwallet.sso |
RREG_HOME/output/Agent_ID/ |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表に、Oracle Access Managerに対してSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルをリストします。
ファイル | 場所 |
---|---|
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
password.xml |
RREG_HOME/output/Agent_ID/ |
password.xml
ファイルには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
RREGツールによって必要なアーティファクトが生成された後、RREG_Home/output/agent_ID
ディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリにアーティファクトを手動でコピーします。
Oracle HTTP Server構成ディレクトリ内のファイルの場所は、Oracle Access Managerのセキュリティ・モードの設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle HTTP Server構成ディレクトリ内に生成される各アーティファクトに必要な場所をOracle Access Managerのセキュリティ・モードの設定に基づいてリストします。ディレクトリが存在しない場合は作成する必要がある場合もあります。たとえば、構成ディレクトリ内にwalletディレクトリが存在しない場合があります。
ノート:
エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号用のカスタム・セキュリティ証明書を実装するための追加要件が存在しない限り、簡易モードをお薦めします。ここでは、便宜上、オープン・モードまたは証明書モードの使用に関する情報を示しています。
オープン・モードを使用するとOracle Access Managerサーバーとやり取りするトラフィックが暗号化されないため、オープン・モードは使用しないようにしてください。
証明書モードの使用、またはOracle Access Managerで一般的にサポートされるセキュリティ・モードの詳細は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信の保護を参照してください。
ファイル | OPENモードの使用時の場所 | SIMPLEモードの使用時の場所 | CERTモードの使用時の場所 |
---|---|---|---|
wallet/cwallet.sso |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet ノート: デフォルトではwalletフォルダは使用できません。OHS_CONFIG_DIR/webgate/config/ の下にwalletフォルダを作成します。
|
OHS_CONFIG_DIR/webgate/config/wallet |
ObAccessClient.xml |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config |
password.xml |
N/A | OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config |
aaa_key.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config |
aaa_cert.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config |
ノート:
WEBHOST1
およびWEBHOST2
にObAccessClient.xml
を再デプロイする必要がある場合、サーバーからObAccessClient.xml
のキャッシュされたコピーを削除します。WEBHOST1
のキャッシュの場所は次のとおりです。OHS_DOMAIN_HOME/servers/ohs1/cache/
また、WEBHOST2
上の2番目のOracle HTTP Serverインスタンスに対しても同様のステップを実行する必要があります。
OHS_DOMAIN_HOME/servers/ohs2/cache/
Oracle HTTP Serverインスタンスの再起動
Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、Oracle HTTP Serverの管理のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動を参照してください。