B Oracle HTTP Server WebGate for Oracle Access Managerの構成

Webサーバー・プラグインとして動作するOracle HTTP Server WebGateを構成して、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送することができます。

• WebGateについて
  WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するプラグインです。
• Oracle HTTP Server Webgateの構成の一般的な前提条件
  Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。
• Oracle HTTP Server WebGateの構成
  Oracle HTTP Server WebGate for Oracle Access Managerの構成にはいくつかのステップが必要です。
• Oracle Access ManagerへのOracle HTTP Server WebGateの登録
  Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGate・エージェントを登録できます。

WebGateについて

WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。

Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』の「OAM 11gエージェントの登録および管理」を参照してください。

Oracle HTTP Server Webgateの構成の一般的な前提条件

Oracle HTTP Server WebGateを構成可能にするには、動作保証されたOracle Access Managerのバージョンがインストールおよび構成されている必要があります。

最新の詳細は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。

WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。

ノート:

本番環境の場合、Oracle Access Managerは、エンタープライズ・デプロイメントをホストしているマシンではなく、独自の環境にインストールすることを強くお薦めします。

Oracle Access Managerの詳細は、Oracle Help Centerのミドルウェア・ドキュメント内にある最新のOracle Identity and Access Managementドキュメントを参照してください。

Oracle HTTP Server WebGateの構成

Oracle HTTP Server WebGate for Oracle Access Managerの構成にはいくつかのステップが必要です。

次に例を示します。

• OHS_ORACLE_HOMEを、Oracle HTTP ServerソフトウェアをインストールしたOracleホームへの完全なパスに置き換えます。

• OHS_Configuration_Staging_Directoryを、Oracle HTTP Serverドメイン・ホーム内の次の場所へのパスに置き換えます:

  OHS_Configuration_Staging_Directory/config/fmwconfig/components/OHS/componentName

1. Oracle HTTP ServerのdeployWebGateディレクトリに移動します。

   (UNIX)OHS_ORACLE_HOME/webgate/ohs/tools/deployWebGate

   (Windows)OHS_ORACLE_HOME\webgate\ohs\tools\deployWebGate

2. WebGateインスタンスのディレクトリを作成し、OHSインスタンスでのWebGateログインを有効するには、次のコマンドを入力します。

   (UNIX) ./deployWebGateInstance.sh -w DOMAIN_HOME -oh OHS_ORACLE_HOME

   (Windows) deployWebGateInstance.bat -w DOMAIN_HOME -oh OHS_ORACLE_HOME

3. webgateディレクトリおよびサブディレクトリがdeployWebGateInstanceコマンドによって作成されていることを確認します。

   たとえば、UNIXで:

   ls -lart DOMAIN_HOME/webgate/
   total 6
   drwxr-x---+ 8 orcl oinstall 20 Oct  2 07:14 ..
   drwxr-xr-x+ 4 orcl oinstall  4 Oct  2 07:14 .
   drwxr-xr-x+ 3 orcl oinstall  3 Oct  2 07:14 tools
   drwxr-xr-x+ 3 orcl oinstall  4 Oct  2 07:14 config
   

4. 次のコマンドを入力して、PATH環境変数を設定します。

   (UNIX) export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib

   (Windows) set PATH=%PATH%;OHS_ORACLE_HOME\bin

5. EditHttpConfディレクトリに移動します。

   (UNIX) OHS_ORACLE_HOME/webgate/ohs/tools/EditHttpConf

   (Windows) OHS_ORACLE_HOME\webgate\ohs\tools\EditHttpConf

6. InstallToolsディレクトリから次のコマンドを入力します。

   (UNIX) ./EditHttpConf -w DOMAIN_HOME [-oh OHS_ORACLE_HOME] [-o output_file_name] [-dcc custom_dcc_scripts/pages_location]

   (Windows) EditHttpConf -w DOMAIN_HOME [-oh OHS_ORACLE_HOME] [-o output_file_name] [-dcc custom_dcc_scripts\pages_location]

   このコマンドでは次の処理が行われます。

   • Oracle HTTP Server Oracleホーム内のapache_webgate.templateファイルを、Oracle HTTP Server構成ディレクトリ内の新しいwebgate.confファイルにコピーします。

   • httpd.confファイルを更新して1行を追加し、webgate.confが含まれるようにします。

   • WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.confですが、コマンドに対してoutput_file引数を使用することにより、カスタム名を使用できます。

外部資格証明コレクタ(DCC) (oamsso/logout.html、oamsso-bin/login.pまたはlogout.pllスクリプトなど)をカスタマイズするには、これらのスクリプトを次の場所から、EditHttpConfユーティリティに対する-dccパラメータによって識別されるカスタムの場所にコピーします。

ORACLE_HOME/webgate/ohs/

Oracle Access ManagerへのOracle HTTP Server Webゲートの登録

Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。

OAM登録の詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。

• RREGツールの場所と準備
  
• OAM11gRequest.xmlファイルの標準プロパティの更新
  
• RREGツールの実行
  
• RREGによって生成されるファイルおよびアーティファクト
  
• 生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
  
• Oracle HTTP Serverインスタンスの再起動
  

RREGツールの場所と準備

RREGツールを設定するには、次のステップを実行します。

1. アプリケーション層でOracle Access Managerホストの1つにサインインします。

2. Oracle Access Manager Oracleホームの次のディレクトリに変更します。

   OAM_ORACLE_HOME/oam/server/rreg/client

   ノート:

   場所はアウトオブバンド・モードに対してのみ必要です。

   この例では、OAM_ORACLE_HOMEは、Oracle Access ManagerソフトウェアがインストールされているOracleホームを参照します。

   ノート:

   Oracle IDMエンタープライズ・デプロイメント・ガイドを使用した場合、OAM_ORACLE_HOMEは/u01/oracle/products/access/iamになっている場合があります。

   ノート:

   Oracle Access Managerサーバーに対する権限またはアクセス権がない場合、アウトオブバンド・モードを使用して、必要なファイルを生成し、WebGateをOracle Access Managerに登録する必要があります。「RREGのインバンドおよびアウトオブバンド・モードについて」を参照してください。

3. RREG.tar.gzファイルを必要なディレクトリに解凍します。

4. 解凍したディレクトリから、oamreg.shファイルを開き、次のように、ファイルに次の環境変数を設定します。

   • OAM_REG_HOMEを、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。

     JAVA_HOMEを、サポートされているJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。

OAM11gRequest.xmlファイルでの標準プロパティの更新

WebgateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xmlファイル内で必要なプロパティを更新する必要があります。

ノート:

提供されているXMLファイル内のほとんどのパラメータに対してデフォルト値を使用する場合、より短いバージョン(OAM11gRequest_short.xml)を使用できます。この場合、リストされているフィールドすべてに対してデフォルト値が採用されます。

ノート:

プライマリ・サーバー・リストで、OAMサーバーに対するデフォルトの名前はOAM_SERVER1およびOAM_SERVER2として示されます。使用環境でサーバー名が変更されている場合、リストのこれらの名前を変更します。

このタスクを実行するには:

1. インバンド・モードを使用している場合、ディレクトリを、ディレクトリ内の次の場所に変更します。

   OAM_ORACLE_HOME/oam/server/rreg/input

   アウトオブバンド・モードを使用している場合、ディレクトリを、RREGアーカイブを解凍した場所に変更します。

2. OAM11GRequest.xmlファイル・テンプレートのコピーを作成します。

3. ファイル内にリストされているプロパティをレビューし、OAM11GRequest.xmlファイルのコピーを更新し、プロパティが使用環境に固有のホスト名および他の値を参照していることを確認します。

OAM11gRequest.xmlのプロパティ	設定値
serverAddress	Oracle Access Managerドメインの管理サーバーのホストおよびポート。
agentName	エージェントの任意のカスタム名。通常、シングル・サインオン用として構成するFusion Middleware製品を識別する名前を使用します。
applicationDomain	シングル・サインオン用として構成するWeb層ホストおよびFMWコンポーネントを識別する値。
security	Oracle Access Managerサーバーのセキュリティ・モードで、オープン・モード、簡易モードまたは証明書モードがあります。 エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号用のカスタム・セキュリティ証明書を実装するための追加要件が存在しない限り、簡易モードをお薦めします。 ほとんどの場合、オープン・モードを使用するとOracle Access Managerサーバーとやり取りするトラフィックが暗号化されないため、オープン・モードは使用しないようにしてください。 証明書モードの使用、またはOracle Access Managerで一般的にサポートされるセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信の保護に関する項 を参照してください。
cachePragmaHeader	プライベート
cacheControlHeader	プライベート
ipValidation	0 <ipValidation>0<ipValidation>
ipValidationExceptions	フロントエンド・ロード・バランサのIPアドレス。たとえば: <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation>
agentBaseUrl	Oracle HTTP Server 12c WebGateがインストールされているマシンのホストとポート。

RREGツールの実行

ここでは、RREGツールを実行してOracle HTTP Server WebGateをOracle Access Managerに登録するための情報を説明します。

• RREGインバンドおよびアウトオブバンド・モードについて
  
• RREGツールのインバンド・モードでの実行
  
• RREGツールのアウトオブバンド・モードでの実行
  

RREGインバンドおよびアウトオブバンド・モードについて

RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれかで実行できます。

インバンド・モードは、Oracle Access Managerサーバーにアクセスする権限を持ち、RREGツールをOracle Access Manager Oracleホームから自分で実行する場合に使用します。RREGテーブルを実行した後、生成されたアーティファクトおよびファイルをWebサーバー構成ディレクトリにコピーできます。

アウトオブバンド・モードは、Oracle Access Managerサーバーにアクセスする権限を持たない場合に使用します。たとえば、一部の組織では、サーバー・ディレクトリにアクセスしてサーバーに対して管理タスクを実行する権限を持つのがOracle Access Managerサーバー管理者のみである場合があります。アウトオブバンド・モードの場合、このプロセスは次のように機能します。

1. Oracle Access Managerサーバー管理者によって、RREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。

2. サーバー管理者から提供されたRREG.tar.gzファイルを解凍します。

   たとえば:

   gunzip RREG.tar.gz

   tar -xvf RREG.tar

   RREGアーカイブを解凍した後、エージェントを登録するためのツールを次の場所で見つけることができます。

   RREG_HOME/bin/oamreg.sh

   この例では、RREGアーカイブの内容を展開したディレクトリはRREG_Homeです。

3. 「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順を使用してOAM11GRequest.xmlファイルを更新し、完成したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。

4. 次に、Oracle Access Managerサーバー管理者は、「RREGツールのアウトオブバンド・モードでの実行」の指示に従い、RREGツールを実行し、AgentID_response.xmlファイルを生成します。

5. Oracle Access Managerサーバー管理者から、AgentID_response.xmlファイルが送信されてきます。

6. 「RREGツールのアウトオブバンド・モードでの実行」の指示に従い、AgentID_response.xmlファイルとともにRREGツールを実行し、クライアント・システムで必要なアーティファクトおよびファイルを生成します。

RREGツールをインバンド・モードで実行

RREGツールをインバンド・モードで実行するには:

1. RREGホーム・ディレクトリに移動します。

   インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。

   OAM_ORACLE_HOME/oam/server/rreg

   アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所です。

2. 次のディレクトリを変更します。

   • (UNIX) RREG_HOME/bin

   • (Windows) RREG_HOME\bin

   cd RREG_HOME/bin/

3. ファイルを実行できるように、oamreg.shコマンドの権限を設定します。

   chmod +x oamreg.sh

4. 次のコマンドを入力します。

   ./oamreg.sh inband RREG_HOME/input/OAM11GRequest_edg.xml

この例の説明は、次のとおりです。

• 編集したOAM11GRequest.xmlファイルはRREG_HOME/input ディレクトリにあると想定されます。

• このコマンドの出力結果は、次のディレクトリに保存されます。

  RREG_HOME/output/

次の例は、RREGセッションのサンプルです。

Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are: 
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_iam
Enter admin password: 
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n

----------------------------------------
Request summary:
OAM11G Agent Name:SOA12213_EDG_AGENT
Base URL: https://soa.example.com:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------

Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.

RREGツールをアウトオブバンド・モードで実行

WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml

この例の説明は、次のとおりです。

• RREG_HOMEを、サーバー上でRREGアーカイブ・ファイルを解凍した場所に置き換えます。

• 編集したOAM11GRequest.xmlファイルはRREG_HOME/inputディレクトリ内にあります。

• RREGツールにより、このコマンドからの出力(AgentID_response.xmlファイル)が次のディレクトリに保存されます。

  RREG_HOME/output/

  これにより、Oracle Access Managerサーバー管理者は、AgentID_response.xmlを、OAM11GRequest.xmlファイルを提供したユーザーに送信できます。

Webサーバー・クライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。

RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml

この例の説明は、次のとおりです。

• RREG_HOMEを、クライアント・システム上でRREGアーカイブ・ファイルを解凍した場所に置き換えます。

• Oracle Access Managerサーバー管理者によって提供されたAgentID_response.xmlファイルは、RREG_HOME/inputディレクトリ内にあります。

• RREGツールにより、このコマンドからの出力(Webgateソフトウェアを登録するために必要なアーティファクトおよびファイル)がクライアント・マシン上の次のディレクトリに保存されます。

  RREG_HOME/output/

RREGによって生成されるファイルおよびアーティファクト

RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバー間の通信に使用しているセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信の保護を参照してください。

このトピックでは、RREG_HOMEの部分は、RREGツールを実行したディレクトリへのパスに置き換える必要があります。これは通常、Oracle Access Managerサーバー上の次のディレクトリ、または(アウトオブバンド・モードを使用している場合は) RREGアーカイブを解凍したディレクトリです。

OAM_ORACLE_HOME/oam/server/rreg/client

次の表に、Oracle Access Managerのセキュリティ・レベルとは関係なくRREGツールによって常に生成されるアーティファクトをリストします。

ファイル	場所
cwallet.sso	RREG_HOME/output/Agent_ID/
ObAccessClient.xml	RREG_HOME/output/Agent_ID/

次の表に、Oracle Access Managerに対してSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルをリストします。

ファイル	場所
aaa_key.pem	RREG_HOME/output/Agent_ID/
aaa_cert.pem	RREG_HOME/output/Agent_ID/
password.xml	RREG_HOME/output/Agent_ID/

password.xmlファイルには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。

RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。

生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー

RREGツールによって必要なアーティファクトが生成された後、RREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリにアーティファクトを手動でコピーします。

Oracle HTTP Server構成ディレクトリ内のファイルの場所は、Oracle Access Managerのセキュリティ・モードの設定(OPEN、SIMPLEまたはCERT)によって異なります。

次の表に、Oracle HTTP Server構成ディレクトリ内に生成される各アーティファクトに必要な場所をOracle Access Managerのセキュリティ・モードの設定に基づいてリストします。ディレクトリが存在しない場合は作成する必要がある場合もあります。たとえば、構成ディレクトリ内にwalletディレクトリが存在しない場合があります。

ノート:

エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号用のカスタム・セキュリティ証明書を実装するための追加要件が存在しない限り、簡易モードをお薦めします。ここでは、便宜上、オープン・モードまたは証明書モードの使用に関する情報を示しています。

オープン・モードを使用するとOracle Access Managerサーバーとやり取りするトラフィックが暗号化されないため、オープン・モードは使用しないようにしてください。

証明書モードの使用、またはOracle Access Managerで一般的にサポートされるセキュリティ・モードの詳細は、Oracle Access Management管理者ガイドのOAMサーバーとWebGate間の通信の保護を参照してください。

ファイル	OPENモードの使用時の場所	SIMPLEモードの使用時の場所	CERTモードの使用時の場所
wallet/cwallet.sso	OHS_CONFIG_DIR/webgate/config/wallet	OHS_CONFIG_DIR/webgate/config/wallet ノート: デフォルトではwalletフォルダは使用できません。OHS_CONFIG_DIR/webgate/config/の下にwalletフォルダを作成します。	OHS_CONFIG_DIR/webgate/config/wallet
ObAccessClient.xml	OHS_CONFIG_DIR/webgate/config	OHS_CONFIG_DIR/webgate/config	OHS_CONFIG_DIR/webgate/config
password.xml	N/A	OHS_CONFIG_DIR/webgate/config	OHS_CONFIG_DIR/webgate/config
aaa_key.pem	N/A	OHS_CONFIG_DIR/webgate/config/simple/	OHS_CONFIG_DIR/webgate/config
aaa_cert.pem	N/A	OHS_CONFIG_DIR/webgate/config/simple/	OHS_CONFIG_DIR/webgate/config

ノート:

WEBHOST1およびWEBHOST2にObAccessClient.xmlを再デプロイする必要がある場合、サーバーからObAccessClient.xmlのキャッシュされたコピーを削除します。WEBHOST1のキャッシュの場所は次のとおりです。

OHS_DOMAIN_HOME/servers/ohs1/cache/

また、WEBHOST2上の2番目のOracle HTTP Serverインスタンスに対しても同様のステップを実行する必要があります。

OHS_DOMAIN_HOME/servers/ohs2/cache/

Oracle HTTP Serverインスタンスの再起動

Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。

WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、Oracle HTTP Serverの管理のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動を参照してください。