ECCを使用した複数の分割SSOドメインのサポート

29 ECCを使用した複数の分割SSOドメインのサポート

OAMでは、マルチドメインSSOがデフォルトでサポートされており、SSOは複数のインターネット・ドメインにわたって実現できます。また、OAMでは分割ドメイン認証もサポートされており、SSOは特定のドメイン内のアプリケーションで使用でき、ドメイン間にクロスドメインSSOはなくなります。

次の2つのシナリオがサポートされています。

シナリオ1: 各ドメインの同じアプリケーションに対して異なるポリシーを使用

この事例で、ユーザーがWebドメインに基づいて各アプリケーションに異なる認証ポリシーおよびスキーマを適用する場合、アプリケーションおよびWebドメインごとに個別のアプリケーション・ドメインを作成する必要があります。Webドメインごとに、OAMサーバーに対するすべてのユーザー操作が同じドメイン内で発生する必要があります。ドメイン内のアプリケーションWebゲートは、同じドメイン内のリバース・プロキシと対話する必要があり、OAM資格証明コレクタ・ページは、同じドメイン内のリバース・プロキシからサービスを提供される必要があります。

次のステップに従って、各ドメインの同じアプリケーションに異なるポリシーを設定します:

Webドメインおよびアプリケーションごとに個別のアプリケーション・ドメインおよびポリシーを定義します。
アプリケーション・ドメインごとに個別のWebゲートを使用します。
ドメインごとに個別のリバース・プロキシを使用します。
複数のWebドメインとそのリバース・プロキシをサポートするように、オプションのロード・バランサを構成します。
ドメイン・ロード・バランサ/リバース・プロキシを指すように、ポリシーで使用されている認証スキームのチャレンジ・リダイレクトURLを更新します。
例: ドメイン1: mydomain.com

図29-1 Mydomainの例

ドメイン2: example.com

図29-2 Exampleドメイン

シナリオ2: 両方のドメインの同じアプリケーションに対して同じポリシーを使用

この場合、すべてのポリシーはドメイン間で同じですが、ログインURLは同じドメイン内のままである必要があります。OAMサーバーに対するすべてのユーザー操作は、同じWebドメイン内のままです。ドメイン内のアプリケーションWebゲートは、同じドメイン内のリバース・プロキシと対話する必要があり、OAM資格証明コレクタ・ページは、同じドメイン内のリバース・プロキシからサービスを提供される必要があります。

次の構成では、Webドメインに基づいて認証スキームを選択し、ドメインに基づいてログインURLを構成できます。

すべてのWebドメインに対して、アプリケーションごとに1つのアプリケーション・ドメインを定義します。
Webドメインごとに個別のリバース・プロキシとWebゲートを使用するか、Webドメインごとに個別の仮想ホスト構成を使用します。
OAMサーバーのフロント・エンドに対するすべてのドメインをサポートするようにロード・バランサを構成するか、ドメインごとに個別のリバース・プロキシを作成します。
Webドメインごとに個別の認証スキームを作成します。ドメインURLに対するチャレンジ・リダイレクトURLを更新します。
ドメイン1: example.com

図29-3 Exampleドメイン・スキーマ

ドメイン2: mydomain.com

図29-4 MyDomainスキーマ
ポリシーを更新して、認証前ルールを定義します。
1. request.returnHost.lower().find("mydomain") > 0など、ドメインごとに認証ポリシーで認証前ルールを定義し、その(my domain)に定義されている認証スキームをそれに割り当てます。
2. サポートする必要がある各ドメインに認証前ルールを追加します。
  exampleドメイン・ルール
  
  図29-5 Exampleドメイン・ルール
  
  mydomainルール
  
  図29-6 MyDomainルール
WLSTコマンドdisableSkipAuthnRuleEval()を実行して、ルール評価を有効にします。