B Oracle Identity GovernanceのSSOプロバイダの構成

SSO機能を実装するために、Oracle Identity ManagerはOpenSSO、IBM Tivoli Access ManagerおよびCA SiteMinderといったサードパーティのSSOプロバイダを使用します。

この付録では、Oracle Identity Managerでシングル・サインオン(SSO)を使用可能にするための構成ステップについて説明します。このためには、Oracle Identity ManagerでOpenSSO、IBM Tivoli Access ManagerおよびCA SiteMinderといったサードパーティのSSOプロバイダを使用できるようにします。

この付録の内容は次のとおりです。

• サードパーティのSSOソリューションとの統合に関する共通の前提条件

• Oracle Identity GovernanceでのOpenSSOの使用可能化

• Oracle Identity ManagerでのIBM Tivoli Access Governanceの使用可能化

• Oracle Identity GovernanceでのCA SiteMinderの使用可能化

• OAMを使用した基本SSOの構成

• サードパーティのSSO統合の簡素化

• SSO統合用の構成可能なログインIDのサポートの使用

• SSO統合用のログインIDサポートの構成

• SAML2アサータを使用したOracle Identity Governanceとアイデンティティ・プロバイダとの統合

B.1 サードパーティのSSOソリューションとの統合に関する共通の前提条件

SSOプロバイダ固有の前提条件の他に、サードパーティのSSOプロバイダ(Siteminder、OpenSSO、Tivoli Access Managerなど)との統合のために共通の前提条件があります。

この項では、Oracle Identity ManagerとサードパーティのSSOプロバイダ(Siteminder、OpenSSOおよびTivoli Access Managerなど)との統合に関する共通の前提条件をリストします。SSOプロバイダ固有の前提条件は、対応する項に別個にリストします。共通の前提条件は次のとおりです。

• Oracle Identity Managerのアイデンティティ群が、SSOプロバイダにより使用されるLDAPレジストリのアイデンティティ情報と同期されていること。この目的のために、Oracle Identity ManagerのLDAP同期機能を使用できます。

• Oracle Identity Managerシステム管理者(xelsysadm)アカウントがLDAPリポジトリに作成されており、この管理者アカウントを使用してOIMへのSSOログインを実行できること。このアカウントは、LDAPリポジトリ内に存在する他のOIMユーザーと同じユーザー・コンテナに作成する必要があります。また、Oracle Identity Managerユーザー・ログイン(uidまたはsamAcountName)にマッピングされるLDAPユーザー属性の値がXELSYSADMに設定されていることも確認してください。

• SSOプロバイダによって返されるSSOヘッダーには、OIMユーザー・ログイン・フィールドにマッピングされるユーザー名の値が含まれていること。

B.2 Oracle Identity GovernanceでのOpenSSOの使用可能化

サードパーティのSSOプロバイダを統合するには、Open SSOアプリケーションと通信するためにOracle Identity Managerを有効化する必要があります。使用可能化の操作には、前提条件、実際の統合プロセス、統合操作の検証といったステップが含まれます。

この項では、Oracle Identity ManagerでOpenSSOを使用する方法を説明します。次の項目が含まれます。

• Oracle Identity GovernanceとOpenSSOとの統合の前提条件

• Oracle Identity GovernanceとOpenSSOとの統合

• 構成を検証するための検証テストの実行

B.2.1 Oracle Identity GovernanceとOpenSSOとの統合の前提条件

OpenSSOとの統合の前提条件は、Oracle Identity Governance、OpenSSOおよびOpenSSO Enterprise Policy Agentをインストールして構成し、サードパーティSSOソリューションの共通前提条件を満たすことです。

Oracle Identity GovernanceとOpenSSOとの統合の前提条件は次のとおりです:

• Oracle Identity Governance 12c (12.2.1.3.0)がインストールおよび構成されていること。

• OpenSSO 8.0がインストールされ構成されていること。

• OpenSSO Enterprise Policy Agent 3.0 for Oracle WebLogic Server/Portal 10 (weblogic_v10_agent_3)がインストールされ構成されていること。

• Oracle Identity ManagerとサードパーティのSSOソリューションとの統合に関する共通の前提条件を満たしていること(「サードパーティのSSOソリューションとの統合に関する共通の前提条件」を参照)。

B.2.2 Oracle Identity GovernanceとOpenSSOとの統合

Oracle Identity ManagerとOpenSSOの統合では、統合手順の実行、OpenSSOエージェント・フィルタのOracle Identity Manager Webアプリへの追加、Oracle Identity ManagerでのSSOの構成を行います。

この項では、Oracle Identity ManagerとOpenSSOの統合について説明します。内容は次のとおりです。

• Oracle Identity GovernanceをOpenSSOと統合する手順

• OpenSSOエージェント・フィルタのOracle Identity Governance Webアプリへの追加

• Oracle Identity GovernanceでのSSOの構成

B.2.2.1 Oracle Identity GovernanceをOpenSSOと統合する手順

Oracle Identity Governance 12c (12.2.1.3.0)をOracle WebLogic Server上のOpenSSO 8.0と統合するには:

1. OpenSSOを起動します。

2. Oracle Identity Governanceを起動します。

3. OpenSSOポリシー・エージェントを、Oracle Identity Governanceドメインの管理サーバーにインストールします。そのように行うには:

   1. OpenSSOにJ2EEエージェント・プロファイルを作成します。プロファイルの作成の詳細は、OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。

   2. WebLogic管理サーバーにエージェントをインストールします。agentadminユーティリティを使用して、エージェントをインストールします。OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。

4. OpenSSOポリシー・エージェントを、Oracle Identity GovernanceドメインのOracle Identity Manager管理対象サーバーにインストールします。そのためには、Oracle Identity Governance管理対象サーバーにエージェントをインストールします。管理対象サーバーへのエージェントのインストールの詳細は、OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。ステップ3.aで作成したエージェント・プロファイルと同じエージェント・プロファイルを使用します。

   ノート:

   Oracle Identity Governanceのクラスタ化デプロイメントの場合、各Oracle Identity Governance管理対象サーバーにポリシー・エージェントをインストールします。

5. インストール後にOpenSSOポリシー・エージェントを構成するには:

   ノート:

   Oracle Identity Governanceのクラスタ化デプロイメントの場合、OpenSSOポリシー・エージェントを各Oracle Identity Governance管理対象サーバーで構成する必要があります。

   1. WebLogic Serverインスタンスを構成し、エージェントのクラスパスとJAVAオプションを設定します。

   2. 管理サーバーと管理対象サーバーにエージェント・アプリケーションをデプロイします。

   3. エージェント認証プロバイダをデプロイして構成します。

   4. WebLogic管理者をバイパス・リストに追加します。

   5. OIM Webアプリケーションにエージェント・フィルタをインストールします。このステップでは、OpenSSOエージェント・フィルタを、OIMユーザー・ログインをサポートするすべてのOracle Identity Governance Webアプリケーションに追加します。このためには、「OpenSSOエージェント・フィルタのOracle Identity Governance Webアプリへの追加」を参照してください。

6. Oracle Identity Governance管理対象サーバーのエージェント・プロファイルをOracle Identity GovernanceのURL情報で更新します。そのように行うには:

   1. OpenSSOアプリケーションにログインし、Oracle Identity Governance管理対象サーバーのエージェント・プロファイルを選択します。

   2. 一般タブをクリックします。エージェント・フィルタ・モードを変更します。既存の値をすべて削除します。空のキーを持つ新しい値と、対応するマップ値としてJ2EE_POLICYを追加します。

   3. アプリケーション・タブをクリックします。各セクションを次のように更新します。

      • ログイン・フォームURI。次を追加します。

        /oim/faces/pages/Login.jspx
        /identity/faces/signin
        /sysadmin/faces/signin
        

      • ログイン・エラーURI。次を追加します。

        /identity/faces/signin
        /sysadmin/faces/signin
        /oim/faces/pages/LoginError.jspx
        

      • 非強制URI処理。次を追加します。

        /identity/faces/register
        /identity/faces/forgotpassword
        /identity/faces/trackregistration
        /identity/faces/forgotuserlogin
        /identity/faces/accountlocked
        /identity/adfAuthentication
        /identity/afr/blank.html
        /sysadmin/adfAuthentication
        /sysadmin/afr/blank.html
        /sysadmin/faces/noaccess
        /oim/afr/blank.html
        /workflowservice/*
        /callbackResponseService/*
        /spml-xsd/*
        

7. Oracle Identity GovernanceでSSOを構成します。それには、「Oracle Identity GovernanceでのSSOの構成」を参照してください。

8. Oracle Identity Governanceドメインを再起動します。

9. 次のURLに移動して構成をテストします。

   http://OIM_HOST:OIM_PORT/identity/

   ページはOpenSSOログイン・ページにリダイレクトされます。有効なOracle Identity Governanceユーザーとしてログインします。

B.2.2.2 OpenSSOエージェント・フィルタのOracle Identity Governance Webアプリへの追加

OpenSSOエージェント・フィルタを、OIMユーザー・ログインをサポートするすべてのOracle Identity Manager Webアプリケーションに追加するには:

ノート:

対応するデプロイメント・ディスクリプタは次の場所にあります。

• IDM_ORACLE_HOME/server/apps/oim.ear/iam-consoles-faces.war/WEB-INF/web.xml

• IDM_ORACLE_HOME/server/apps/oracle.iam.console.identity.self-service.ear/oracle.iam.console.identity.self-service.war/WEB-INF/web.xml

• IDM_ORACLE_HOME/server/apps/oracle.iam.console.identity.sysadmin.ear/oracle.iam.console.identity.sysadmin.war/WEB-INF/web.xml

1. IDM_ORACLE_HOME/server/apps/ディレクトリに移動します。
2. oim.ear/iam-consoles-faces.war/WEB-INF/web.xmlファイルのバックアップを作成し、これを編集してOpenSSOのドキュメントに記載されているフィルタ要素を追加します。変更を保存します。
3. oracle.iam.console.identity.self-service.earファイルのバックアップを作成し、これを一時的な場所に抽出します。次にoracle.iam.console.identity.self-service.warファイルを抽出します。WEB-INF/web.xmlを編集してOpenSSOのドキュメントに記載されているフィルタ要素を追加します。oracle.iam.console.identity.self-service.warと変更されたweb.xmlを再パッケージし、oracle.iam.console.identity.self-service.earと変更されたoracle.iam.console.identity.self-service.warを再パッケージします。
4. oracle.iam.console.identity.sysadmin.earのバックアップを作成し、これを一時的な場所に抽出します。次にoracle.iam.console.identity.sysadmin.warファイルを抽出します。WEB-INF/web.xmlを編集してOpenSSOのドキュメントに記載されているフィルタ要素を追加します。oracle.iam.console.identity.sysadmin.warと変更されたweb.xmlを再パッケージし、oracle.iam.console.identity.sysadmin.earと変更されたoracle.iam.console.identity.sysadmin.warを再パッケージします。

   ノート:

   ステップiiiおよびivの実行後に、変更されたEARファイルと元のEARファイルの差のみがweb.xmlファイルに含まれていることを確認してください。

5. Oracle Identity Managerインスタンスを停止します。
6. OIM_DOMAIN_HOME/servers/OIM_SERVER_INSTANCE/tmp/_WL_user/ディレクトリに移動します。設定がMicrosoft Windows上の場合、OIM_DOMAIN_HOME\servers\OIM_SERVER_INSTANCE\tmp\_WL_user\ディレクトリに移動します。
7. oracle.iam.console.identity.self-service.earとoracle.iam.console.identity.sysadmin.earのUIアプリケーションに固有のディレクトリを削除します。典型的なOracle Identity Manager設定では、削除対象ディレクトリはoracle.iam.console.identity.self-service.ear_V2.0とoracle.iam.console.identity.sysadmin.ear_V2.0です。
8. Oracle Identity Manager管理対象サーバーのインスタンスを再起動してから、ステップ4で示したディレクトリ・パスにディレクトリが再作成されていることを確認します。

B.2.2.3 Oracle Identity GovernanceでのSSOの構成

Oracle Identity ManagerでSSOを構成します。そのように行うには:

1. WebLogicオーセンティケータを設定します。そのように行うには:

   1. OpenSSOにより使用されるユーザー・データ・ストアに対応するLDAPサーバー用のWebLogic認証プロバイダを追加して構成します。たとえば、OpenSSOによりSun DSEEが使用される場合は、iPlanet認証プロバイダを構成します。制御フラグをSUFFICIENTに設定します。

      ノート:

      すべてのOracle Identity Managerユーザーが、オーセンティケータが指定するLDAPサーバーと同期されていることを確認してください。

   2. Oracle Identity Managerの署名認証プロバイダ(OIMSignatureAuthenticator)を追加して構成します。制御フラグをSUFFICIENTに設定します。

   3. オーセンティケータ・チェーンを次の順序で並べます。

      • DefaultAuthenticator - SUFFICIENT

      • OIMSignatureAuthenticator - SUFFICIENT

      • AgentAuthenticator - OPTIONAL

      • LDAPAuthenticator - SUFFICIENT

      • DefaultIdentityAsserter

2. 次のコマンドを実行して、OpenSSOログアウトURLを実行するようにOracle Identity Managerログアウトを変更します。

   cd <IDM_ORACLE_HOME>/common/bin
   ./wlst.sh
   connect()
   addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="http(s)://openssohost:openssoport/opensso/UI/Logout", autologinuri="/obrar.cgi")
   exit()
   

3. Oracle Identity Manager ssoenabledフラグをtrueに設定します。そのように行うには:

   1. Enterprise Managerにログインします。システムMBeanブラウザを開きます。

   2. oracle.iam:Location=OIM_SERVER_NAME,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0 mbeanを開きます。

   3. ssoEnabledの値をTrueに設定します。

B.2.3 構成を検証するための検証テストの実行

OpenSSOの統合を確認する検証テストには、SSOを介したOracle Identity Managerへのログイン、SSOパスワードによるクライアントベースのログイン、署名ベースの認証が含まれます。

次の検証ステップを実行して、Oracle Identity ManagerとOpenSSOとの統合が正常に行われたかどうかを検証します。

1. SSOを使用したOracle Identity Governanceへのユーザー・ログイン:

   前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。

   ステップ: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。

   期待される結果: ログインは正常に行われます。

2. Oracle Identity Governanceへのクライアントベース・ログイン:

   前提条件: Design Consoleがインストールされ構成されていることを確認します。

   ステップ: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。

   期待される結果: LDAPAuthenticatorがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。

3. 署名ベースの認証:

   署名ベースの認証をテストするには:

   1. スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。

      http://OIM_HOST:OIM_PORT/SchedulerService-web

   2. SSOパスワードを使用して、システム管理者としてログインします。

   3. ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。

      スケジューラの現在のステータス: 起動済

      最後のエラー: なし

   4. 次の内容が表示された場合は、そのページで「開始」をクリックします。

      スケジューラの現在のステータス: 停止済

      ページにエラーが表示されていない場合、署名ログインは成功しています。

B.3 Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化

Oracle Identity ManagerをIBM Tivoli Access Managerと統合するためには、前提条件を満たし、統合手順を実行し、検証テストを実行します。

この項では、Oracle Identity ManagerでIBM Tivoli Access Managerを使用できるようにする方法を説明します。内容は次のとおりです。

• Oracle Identity GovernanceとIBM Tivoli Access Managerとの統合の前提条件

• Oracle Identity GovernanceとIBM Tivoli Access Managerとの統合

• 構成を検証するための検証テストの実行

B.3.1 Oracle Identity GovernanceとIBM Tivoli Access Managerとの統合の前提条件

Tivoli Access Managerとの統合の前提条件は、Oracle Identity Governance、Tivoli Access Manager for e-businessおよびWebLogic Serverをインストールして構成し、サードパーティSSOソリューションの共通前提条件を満たすことです。

Oracle Identity GovernanceとIBM Tivoli Access Managerとの統合の前提条件は次のとおりです:

• Oracle Identity Governance 12c (12.2.1.3.0)がインストールおよび構成されていること。

• IBM Tivoli Access Manager (TAM) for e-business 6.1がインストールされ構成されていること。

• IBM Tivoli Access Manager Adapter for Oracle WebLogic Server for TAM 6.1およびOracle WebLogic Server 10gまたは11gがインストールされ構成されていること。

• Oracle Identity GovernanceとサードパーティのSSOソリューションとの統合に関する共通の前提条件を満たしていること(「サードパーティのSSOソリューションとの統合に関する共通の前提条件」を参照)。

• フォーム・ベースのログインがTAMで有効になっていること。

B.3.2 Oracle Identity GovernanceとIBM Tivoli Access Managerとの統合

Tivoli Access Managerの統合ステップには、websealとWebLogic間の接続の設定、TAMログアウトURLを実行するためのOracle Identity Managerログアウトの変更、OIM ssoenabledフラグのtrueへの設定、およびOracle Identity Managerの再起動が含まれます。

Oracle Identity Governance 12c (12.2.1.3.0)をIBM Tivoli Access Manager for e-business 6.1と統合するには:

1. IBM Tivoli Access Managerを起動します。

2. Oracle Identity Governanceを起動します。

3. websealおよびWebLogic間の接続を設定します。そのように行うには:

   1. websealをOracle Identity Governance WebLogic Serverに接続するためのジャンクションを作成します。

   2. websealのログアウトおよびログイン・ページを構成します。

   3. weblogicセキュリティ・プロバイダをデプロイします。

      Oracle WebLogic Server用IBM Tivoli Access Manager Adapterに付属の、TAMとweblogicの統合に関するドキュメントを参照してください。詳細を次に示します。

      • ジャンクションの作成時には、Oracle Identity Governance上の非SSLポートとSSLポートの両方を考慮してください。

      • 保護されたリソースにwebsealジャンクションを作成する場合は、必ず「-c iv-user」(iv-user HTTPヘッダーの挿入)オプションを使用してください。

      • 保護する/保護しない必要があるリソースのリストを次に示します。

        次のリソースは保護します。

        /oim

        /xlWebApp

        /Nexaweb

        /identity

        /sysadmin

        次のURIは保護しません。

        /identity/faces/register

        /identity/faces/forgotpassword

        /identity/faces/trackregistration

        /identity/faces/forgotuserlogin

        /identity/faces/accountlocked

        /identity/adfAuthentication

        /identity/afr/blank.html

        /sysadmin/adfAuthentication

        /sysadmin/afr/blank.html

        /sysadmin/faces/noaccess

        /oim/afr/blank.html

        次のリソースは保護しません。

        /workflowservice

        /callbackResponseService

        /spml-xsd

      • Tivolli Access Managerアイデンティティ・アサーション・プロバイダ(AMIdentityAsserterLite)のみを構成します。構成時に「iv-user」オプションを選択します。

      • Tivolli Access Managerアイデンティティ認証プロバイダは構成しません。

      • TAMにより使用されるLDAPレジストリに対応するLDAPサーバー用のWebLogic認証プロバイダを構成します。たとえば、TAMによりSun DSEEが使用される場合は、iPlanet認証プロバイダを構成します。制御フラグをSUFFICIENTに設定します。Oracle Identity Managerのすべてのユーザーが、このLDAPサーバーに同期されていることを確認します。LDAPサーバーに存在しないOracle Identity Managerユーザーは、Oracle Identity Managerにログインできません。

      • Oracle Identity Governanceの署名認証プロバイダ(OIMSignatureAuthenticationProvider)を構成します。構成時にOracle Identity Governanceデータベースの詳細を指定します。OIMAuthenticationProviderで指定したものと同じ詳細を使用できます。制御フラグをSUFFICIENTに設定します。

      • オーセンティケータ・チェーンを次の順序で並べます。

        TAMIdentityAsserter

        OIMSignatureAuthenticator - SUFFICIENT

        LDAPAuthenticator - SUFFICIENT

        DefaultAuthenticator - SUFFICIENT

        DefaultIdentityAsserter

        ノート:

        TAMIdentityAsserterを使用できない場合、「サードパーティのSSO統合の簡素化」で説明しているように、OAMIdentityAsserterを使用できます

4. 次のコマンドを使用して、TAMログアウトURLを実行するようにOracle Identity Governanceログアウトを変更します:

   cd <IDM_ORACLE_HOME>/common/bin
   ./wlst.sh
   connect()
   addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="http(s)://<webseal-host:port>/pkmslogout", autologinuri="/obrar.cgi")
   exit()
   

5. OIM ssoenabledフラグをtrueに設定します。そのように行うには:

   1. Enterprise Managerにログインします。システムMBeanブラウザを開きます。

   2. oracle.iam:Location=OIM_SERVER_NAME,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0 mbeanを開きます。

   3. ssoEnabledの値をtrueに設定します。

6. Oracle Identity Governanceを再起動します。

7. 次のURLに移動して構成をテストします。

   http(s)://WEBSEAL_HOST:WEBSEAL_PORT/identity/faces/home

   TAMログイン・ページが表示されます。有効なOracle Identity Governanceユーザーとしてログインすると、ログインが成功します。

B.3.3 構成を検証するための検証テストの実行

Tivoli Access Managerの統合を確認する検証テストには、SSOを介したOracle Identity Managerへのログイン、SSOパスワードによるクライアントベースのログイン、署名ベースの認証が含まれます。

次の検証ステップを実行して、Oracle Identity ManagerとTAMとの統合が正常に行われたかどうかを検証します。

1. SSOを使用したOracle Identity Governanceへのユーザー・ログイン:

   前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。

   ステップ: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。

   期待される結果: ログインは正常に行われます。

2. Oracle Identity Governanceへのクライアントベース・シングル・ログイン:

   前提条件: Design Consoleがインストールされ構成されていることを確認します。

   ステップ: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。

   期待される結果: LDAPAuthenticatorがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。

3. 署名ベースの認証:

   署名ベースの認証をテストするには:

   1. スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。

      http://OIM_HOST:OIM_PORT/SchedulerService-web

   2. SSOパスワードを入力して、システム管理者としてログインします。

   3. ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。

      スケジューラの現在のステータス: 起動済

      最後のエラー: なし

   4. 次の内容が表示された場合は、そのページで「開始」をクリックします。

      スケジューラの現在のステータス: 停止済

      ページにエラーが表示されていない場合、署名ログインは成功しています。

B.4 Oracle Identity GovernanceでのCA SiteMinderの使用可能化

Oracle Identity ManagerをCA SiteMinderと統合するためには、前提条件を満たし、実際の統合手順を実行し、検証テストを実行します。

この項では、Oracle Identity ManagerでCA SiteMinderを使用できるようにする方法を説明します。内容は次のとおりです。

• Oracle Identity GovernanceとCA SiteMinderとの統合の前提条件

• Oracle Identity GovernanceとCA SiteMinderとの統合

• 構成を検証するための検証テストの実行

B.4.1 Oracle Identity GovernanceとCA SiteMinderとの統合の前提条件

SiteMinderとの統合の前提条件は、Oracle Identity ManagerとCA SiteMinderをインストールして構成し、サードパーティSSOソリューションの共通前提条件を満たすことです。

Oracle Identity ManagerとCA SiteMinderとの統合の前提条件は次のとおりです。

• Oracle Identity Managerがインストールおよび構成されていること。

• CA Siteminderがインストールおよび構成されていること。

• Oracle Identity ManagerとサードパーティのSSOソリューションとの統合に関する共通の前提条件を満たしていること(「サードパーティのSSOソリューションとの統合に関する共通の前提条件」を参照)。

B.4.2 Oracle Identity GovernanceとCA SiteMinderとの統合

SiteMinderの統合ステップには、Siteminder WebLogic Agentのインストール、必要な変数とパラメータを指定するためのsetDomainEnv.sh、startWebLogic.shおよびWebAgent.confファイルの更新、Weblogic認証チェーンでのSiteminderIdentityAsserterおよびSiteminderAuthenticationProviderの追加または構成、およびSSOの有効化が含まれます。

Oracle Identity ManagerをCA SiteMinderと統合するには:

1. Siteminderのインストール・ドキュメントを参照して、Siteminder WebLogicエージェントをインストールします。インストールGUIの指示に従います。

2. setDomainEnv.shファイルを編集して、次のように変数を設定します。

   ASA_HOME='PATH_TO_SITEMINDER_AGENT_HOME'
   export ASA_HOME
   
   SMASA_CLASSPATH="$ASA_HOME/conf:$ASA_HOME/lib/smagentapi.jar:$ASA_HOME/lib/smjavasdk2.jar:$ASA_HOME/lib/sm_jsafe.jar:$ASA_HOME/lib/smclientclasses.jar:$ASA_HOME/lib/sm_jsafeJCE.jar"
   export SMASA_CLASSPATH
   
   SM_JAVA_OPTIONS=" -Dsmasa.home=$ASA_HOME"
   export SM_JAVA_OPTIONS
   
   CLASSPATH=${SMASA_CLASSPATH}:${CLASSPATH}
   export CLASSPATH
   

3. startWebLogic.shファイルを編集して、次のようにSM_JAVA_OPTIONSをJAVAコマンドに追加します。

   $JAVA_HOME/bin/java ${JAVA_VM} ${MEM_ARGS} -Dweblogic.Name=${SERVER_NAME} -Djava.security.policy=${WL_HOME}/server/lib/weblogic.policy ${JAVA_OPTIONS}
   ${SM_JAVA_OPTIONS} ${PROXY_SETTINGS} ${SERVER_CLASS}
   

4. ASA_HOME/conf/WebAgent.confファイルを編集して、EnableWebAgentパラメータの値をYESに変更します。

5. 管理対象サーバーおよび管理サーバーをすべて再起動します。

6. Weblogic認証チェーンで、SiteminderIdentityAsserterおよびSiteminderAuthenticationProviderを追加/構成します。アイデンティティ・アサータの共通構成で、SMSESSIONを選択します。

7. 「プロバイダ固有」サブタブで、「SMアイデンティティ・アサータ構成ファイル:」フィールドをASA_HOME/conf/WebAgent.confに設定します。

8. SiteminderAuthenticationProvider 'ProviderSpecific'で、「SM認証プロバイダ構成ファイル:」をASA_HOME/conf/WebAgent.confに更新します。

9. 認証チェーンから既存のOIMAuthenticationProviderを削除します。

10. OIMSignatureAuthenticatorを認証チェーンに追加します。制御フラグをSUFFICIENTに設定します。このオーセンティケータは、Oracle Identity Managerへの署名ログインベースのログインを処理することのみを目的として追加します。

11. LDAPオーセンティケータ(OID、Iplanetなど)を認証チェーンに追加し、制御フラグをSUFFICIENTとして設定します。このオーセンティケータが同じLDAPプロバイダを指す、つまり、次のように構成されていることを確認します。

    1. Oracle Identity Managerと同期化されている、つまり、OIMアイデンティティがすべて移入されています。

    2. 認証を目的としてSiteminderサーバーによって使用されています。

       HTTP以外をベースとするログイン・リクエスト(OIM Design Consoleへのログインや他のOIMクライアントへのログイン)、およびOPSSベースのアサーション・リクエストを処理するには、LDAPAuthenticatorを追加する必要があります。

12. 表B-1に示すように認証チェーンを並べ替えます。

    表B-1 認証チェーン

    認証プロバイダ	制御フラグ
    SiteminderIdentityAsserter
    OIMSignatureAuthenticator	SUFFICIENT
    SiteminderAuthenticationProvider	SUFFICIENT
    LDAPAuthenticator	SUFFICIENT
    DefaultAuthenticator	SUFFICIENT
    DefaultIdentityAsserter

13. ドメイン内の管理サーバーおよびすべての管理対象サーバーを再起動します。

14. 次のコマンドを使用して、OIMのSSOログアウトを構成します。

    cd <IDM_ORACLE_HOME>/common/bin
     
    ./wlst.sh
     
    connect()
     
    addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="SITEMINDER_LOGOUT_URL", autologinuri="/obrar.cgi")
     
    exit()
    

    ノート:

    connect()呼出しにより、管理サーバーのURLとWebLogic管理ユーザー名およびパスワードを求められます。

15. Oracle Identity Managerのssoenabledフラグをtrueに設定します。そのように行うには:

    1. Enterprise Managerにログインし、システムMBeanブラウザを開きます。

    2. oracle.iam:Location=OIM_SERVER_NAME,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0 mbeanを開きます。

    3. ssoEnabledの値をtrueに設定します。

16. ドメイン内の管理サーバーおよびすべての管理対象サーバーを再起動します。

17. 保護する/保護しないOracle Identity Managerリソースを次に示します。

    • 次のリソースは保護します。

      /identity

      /sysadmin

      /oim

      /xlWebApp

      /Nexaweb

    • 次のURIは保護しません。

      /identity/faces/register

      /identity/faces/forgotpassword

      /identity/faces/trackregistration

      /identity/faces/forgotuserlogin

      /identity/faces/accountlocked

      /identity/adfAuthentication

      /identity/afr/blank.html

      /sysadmin/adfAuthentication

      /sysadmin/afr/blank.html

      /sysadmin/faces/noaccess

      /oim/afr/blank.html

    • 次のリソースは保護しません。

      /workflowservice

      /callbackResponseService

      /spml-xsd

      /reqsvc

      /sysadmin/logout

      /identity/logout

      /identity/notification/secure

      /SchedulerService-web

      /wsm-pm

      /workflow

      /soa-infra

      /integration

      /b2b

      /sdpmessaging/userprefs-ui

18. Oracle Identity Managerへのクライアントベース・ログインをサポートするには、smclientclasses.jarをクライアントのクラスパスに追加する必要があります。クライアントのクラスパスを設定するには:

    1. cdコマンドを使用して、OIM_ORACLE_HOME/server/bin/ディレクトリに移動します。

    2. VIエディタでsetEnv.shファイルを開きます。

    3. smclientclasses.jarを、最後にあるCLASSPATH変数に追加します。この設定によって、OIM_ORACLE_HOME/server/binにあるほとんどのクライアント・ユーティリティを実行しながら、Oracle Identity Managerへのクライアント・ログインを正常に実行できます。

       ただし、Design Consoleログインを行えるようにするには、このログイン用に別個にクライアントのクラスパスを設定する必要があります。そのように行うには:

    1. OIM_ORACLE_HOME/designconsoleディレクトリに移動します。

    2. VIエディタでclasspath.shファイルを開きます。

    3. smclientclasses.jarを、最後にあるCLASSPATH変数に追加します。

B.4.3 構成を検証するための検証テストの実行

SiteMinderの統合を確認する検証テストには、SSOを介したOracle Identity Managerへのログイン、SSOパスワードによるクライアントベースのログイン、署名ベースの認証が含まれます。

次の検証ステップを実行して、Oracle Identity ManagerとCA SiteMinderとの統合が正常に行われたかどうかを検証します。

1. SSOを使用したOracle Identity Governanceへのユーザー・ログイン:

   前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。

   ステップ: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。

   期待される結果: ログインは正常に行われます。

   ステップ: Oracle Identity Managerシステム管理コンソール(/sysadmin)にOIM管理者(通常はXELSYSADM)にログインし、問題なくログインできるかどうかを確認します。

   期待される結果:ログインは正常に行われます。

2. Oracle Identity Governanceへのクライアントベース・ログイン:

   前提条件: Design Consoleがインストールされ構成されていることを確認します。

   ステップ: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。

   期待される結果: SiteminderAuthenticationProviderがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。

3. 署名ベースの認証:

   署名ベースの認証をテストするには:

   1. スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。

      http://OIM_HOST:OIM_PORT/SchedulerService-web

   2. SSOパスワードを入力して、システム管理者としてログインします。

   3. ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。

      スケジューラの現在のステータス: 起動済

      最後のエラー: なし

   4. 次の内容が表示された場合は、そのページで「開始」をクリックします。

      スケジューラの現在のステータス: 停止済

      ページにエラーが表示されていない場合、署名ログインは成功しています。

B.5 OAMを使用した基本SSOの構成

OAMを使用して基本SSOを構成するには、前提条件を満たし、SSOログアウトおよびオーセンティケータを構成し、検証テストを実行します。

この項では、Oracle Identity ManagerとOAMの間の基本統合を構成する方法や、SSO認証を使用して統合を保護する方法について説明します。次の項が含まれます:

ノート:

この項で説明する手順を実行する場合、有効になるのは基本SSOのみです。LDAPコネクタを使用して、パスワードをプロビジョニングするとともに、追加構成を実行し、ロック・ステータスをディレクトリに伝播できるようにします。

• SSOログアウトおよびオーセンティケータの構成の前提条件

• SSOログアウトおよびオーセンティケータの構成

• 構成を検証するための検証テストの実行

B.5.1 SSOログアウトおよびオーセンティケータの構成の前提条件

OAMを使用して基本SSOを構成する前提条件は、Oracle Identity GovernanceとOAMをインストールして構成し、OAM 11g WebゲートをホストするOHS/リバースプロキシを使用してOracle Identity Governanceのフロントエンドを設定し、LDAP同期を有効化することです。

次の前提条件を実行します。

• Oracle Identity Governance 12c (12.2.1.3.0)がインストールおよび構成されていることを確認します。

• Oracle Identity Governanceのフロントエンドとして、OAM 11g WebゲートをホストするOHS/リバースプロキシが機能している必要があります。

• コネクタにより、Oracle Identity Governanceのユーザー移入とLDAPリポジトリとの同期が維持されていることを確認します。また、Oracle Identity Governanceシステム管理者アカウントがLDAPリポジトリに作成されていることも確認します。

• Oracle Identity Governanceと同期されているものと同じLDAPリポジトリに対してOracle Identity Governanceユーザーを認証するためにOAM 12.2.1.3.0がインストールされて構成されていることを確認します。

ノート:

OIDAuthenticatorはこの手順では参照として使用されています。AD、ODSEEまたはOUDなどの他のLDAPサーバーがある場合は、適切なWebLogic LDAP認証プロバイダを作成してください。

B.5.2 SSOログアウトおよびオーセンティケータの構成

OAMを使用して基本SSOを構成するステップには、OIM ssoenabledフラグのtrueへの設定、SSOログアウトと認証プロバイダの構成が含まれます。

SSOログアウトおよびオーセンティケータを構成するには:

1. OIM ssoenabledフラグをtrueに設定します。そのように行うには:

   1. Oracle Enterprise Managerにログインして、OIM_DOMAINに移動します。

   2. 「OIMDomain」を右クリックし、「システムMBeanブラウザ」を選択します。

   3. 検索アイコンをクリックし、「ssoconfig」を入力して検索します。

   4. 詳細ページで、SSOEnabledフラグを探し、ドロップダウンから「true」を選択します。「適用」をクリックして、構成変更を保存します。

2. 次に示すように、oimのSSOログアウトを構成します。

   <IDM_ORACLE_HOME>/common/bin/wlst.sh
       connect()
       addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi")
       exit()
   

   ノート:

   connect()コールは、管理サーバーのURLおよびWebLogic管理者のユーザー名とパスワードを要求します。

3. 認証プロバイダを構成します。そのように行うには:

   ノート:

   このステップでは、SSOログインおよびOIMクライアントベースのログインが正常に機能するようにOIMドメイン内でセキュリティ・プロバイダを構成します。このために、OAMIDAsserterおよびOIDAuthenticatorを設定する必要があります。OIDAuthenticatorは、OIDに対してユーザーを認証/アサートするために構成します。認証用としてOAMによっても使用される他のディレクトリ・サーバーに対してユーザーを認証/アサートするには、OIDAuthenticatorではなく、対応するオーセンティケータを構成する必要があります。

   1. Oracle WebLogic管理コンソールにログインし、「セキュリティ・レルム」→「myrealm」→「プロバイダ」→「認証」に移動します。

   2. 「新規」をクリックし、OAMIdentityAsserterタイプのOAMIDAsserterを追加します。「OK」をクリックします。

      追加したOAMIDAsserterを編集し、controlフラグをREQUIREDに設定します。

      選択したアクティブなタイプがOAM_REMOTE_USERに設定されていることを確認し、構成を保存します。

   3. 「新規」をクリックし、OIMSignatureAuthenticatorタイプのOIMSignatureAuthenticatorを追加します。「OK」をクリックします。OIMSignatureAuthenticatorを編集し、controlフラグをSUFFICIENTに設定します。構成を保存します。

   4. 「新規」をクリックし、OracleInternetDirectoryAuthenticatorタイプのOIDAuthenticatorを追加します。「OK」をクリックします。OIDAuthenticatorを編集し、ControlフラグをSUFFICIENTに設定します。構成を保存します。プロバイダ固有のタブを開き、次の属性(のみ)を設定し、構成を保存します。

      • ホスト: OID_HOST_NAME

      • ポート: OID_PORT

      • プリンシパル: cn=orcladmin

      • 資格証明/資格証明の確認: orcladmin_password

      • ユーザー・ベースDN: cn=Users,dc=us,dc=oracle,dc=com

      • すべてのユーザーのフィルタ: (&(uid=*)(objectclass=inetOrgPerson))

      • 名前指定によるユーザー・フィルタ: (&(uid=%u)(objectclass=inetOrgPerson))

      • UserNameAttribute: uid

      • ユーザー・オブジェクト・クラス: inetOrgPerson

      • 取得したユーザー名をプリンシパルとして使用する: true

      • グループ・ベースDN: cn=Groups,dc=us,dc=oracle,dc=com

      • すべてのグループのフィルタ: (&(cn=*)(objectclass=groupOfUniqueNames))

      • 名前指定によるグループ・フィルタ: (&(cn=%g)(objectclass=groupOfUniqueNames))

   5. すでに構成されているOIMAuthenticationProviderを削除します。

   6. 残りの認証プロバイダを次の順序で並べ替えます。

      OAMIDAsserter

      OIMSignatureAuthenticator

      OIDAuthenticator

      DefaultAuthenticator

      DefaultIdentityAsserter

   7. 実行した変更をアクティブ化し、OIMドメイン内で構成されているすべてのサーバーを再起動します。

B.5.3 構成を検証するための検証テストの実行

基本SSO構成を確認する検証テストには、SSOを介したOracle Identity Managerへのログイン、SSOパスワードによるクライアントベースのログイン、署名ベースの認証が含まれます。

次の検証テストを実行してSSOログアウトおよびオーセンティケータ構成を検証します。

1. SSOを使用したOracle Identity Governanceへのユーザー・ログイン

   前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。

   ステップ: 作成したユーザー(ENDUSER001など)として、SSO URLを使用してOracle Identity Self Serviceにログインし、問題なくログインできるかどうかを確認します。また、Oracle Identity System Administrationにシステム管理者としてログインし、アクセス・ポリシーなどの様々なリンクにアクセスします。いずれかのコンソールからログアウトし、同じユーザーまたは別のユーザーを使用して再度ログインします。

   期待される結果: 問題なくログインでき、すべてのリンクが期待どおりに機能します。

2. Oracle Identity Governanceへのクライアントベース・ログイン:

   前提条件: Design Consoleがインストールされ構成されていること。

   ステップ: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。

   期待される結果: LDAPAuthenticatorがSSOログインに関して適切に構成されていれば、Design Consoleにシステム管理者として問題なくログインできます。

3. 署名ベースの認証:

   署名ベースの認証をテストするには:

   1. 次に示すように、Oracle Identity Manager管理対象サーバーのポートで実行されているスケジューラ・サービスのURLにアクセスします。

      http://OIM_HOST:PORT/SchedulerService-web

   2. SSOパスワードを使用して、システム管理者としてログインします。

   3. ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。

      スケジューラの現行ステータス: STARTED

      最後のエラー: NONE

   4. 次の内容が表示された場合は、そのページで「開始」をクリックします。

      スケジューラの現行ステータス: STOPPED

      ページにエラーが表示されていない場合、署名ログインは成功しています。

B.6 サードパーティのSSO統合の簡素化

サードパーティのSSOソリューションによって提供されるOracleのアイデンティティ・アサータを構成します。これはOracle Identity Manager用としてSSOを提供する方法として推奨される方法です。

Oracle Identity ManagerをサードパーティのSSOプロバイダ(Tivoli Access ManagerやCA Siteminderなど)と統合するには、「Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化」および「Oracle Identity GovernanceでのCA SiteMinderの使用可能化」に記載されている手順に従うことをお薦めします。

サードパーティのSSOソリューションによって提供/推奨されるWebLogicプラグイン(アイデンティティ・アサータまたはオーセンティケータ)は、Oracle Identity Manager用としてSSOを提供する方法として推奨される方法です。ただし、「Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化」および「Oracle Identity GovernanceでのCA SiteMinderの使用可能化」の項に記載されているように、SSOプロバイダ固有のWeblogicプラグインを使用した統合の構成は実現可能ではないため、この項の手順に従って統合を達成できます。

ノート:

このアサータは現在、IBM Tivoli Access ManagerやCA SiteMinderといったサードパーティのSSOプロバイダをサポートしています。

Oracleのアイデンティティ・アサータを構成するには:

1. Oracle Weblogic管理コンソールにログインします。
2. 「セキュリティ・レルム」→「myrealm」→「プロバイダ」→「認証」に移動します。
3. 「新規」をクリックし、OAMIdentityAsserterを追加します。
4. 追加したアサータを開き、controlフラグをREQUIREDに設定します。「アクティブなタイプ」シャトルで、選択したアクティブなタイプとしてSSO固有のHTTPヘッダーを選択します。たとえば、SiteMinder SSOプロバイダが使用されている場合は、SM_USERヘッダーを選択します。同様に、Tivoli Access Manager SSOプロバイダが使用されている場合は、iv-userヘッダーを選択します。
5. 同様に、プロバイダ固有のプロパティのSSOHeader名フィールドの値をiv-userまたはSM_USERに適切に変更します。

   ノート:

   • SM_USERおよびiv-userと記載されているのは、CA SiteminderおよびIBM Tivoli Access Managerによってそれぞれ設定されるデフォルトのSSOヘッダーであると考えられるためです。

   • 同じ理由で、OIMユーザー・ログイン・フィールドにマッピングされるユーザー名の値がSSOヘッダーに含まれていない場合は、SSOプロバイダがOAM_REMOTE_USERという名前のヘッダーの一部としてユーザー名を返すように構成することをお薦めします。この場合は、ステップ4で、選択したアクティブなタイプとしてOAM_REMOTE_USERを選択し、ステップ5をスキップします。

6. 構成を保存します。
7. 次のように認証チェーンを構成します。

   OAMIDAsserter - REQUIRED

   OIMSignatureAuthenticator - SUFFICIENT

   LDAPAuthenticator - SUFFICIENT

   DefaultAuthenticator - SUFFICIENT

   DefaultIdentityAsserter

   ノート:

   LDAPAuthenticatorは、SSOプロバイダによって使用されているLDAPプロバイダに対して認証できる適切なオーセンティケータ(OIDAuthenticatorなど)によって置き換える必要があります。

8. 「Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化」または「Oracle Identity GovernanceでのCA SiteMinderの使用可能化」の項に記載されているように、SSOプロバイダに基づいて、Oracle Identity ManagerのSSOログアウトを構成します。
9. Oracle Identity Managerのssoenabledフラグをtrueに設定します。そのように行うには:

   1. Oracle Enterprise Managerにログインし、システムMBeanブラウザを開きます。

   2. oracle.iam:Location=OIM_SERVER_NAME,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0 mbeanを開きます。

   3. ssoEnabledの値をtrueに設定します。

10. 「Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化」または「Oracle Identity GovernanceでのCA SiteMinderの使用可能化」の項に記載されているように、SSOプロバイダに基づいて、SSOプロバイダ側でOracle Identity Managerリソースを保護する/保護しないようにします。
11. Oracle Identity Managerドメイン内のすべてのサーバーを再起動します。

Oracleのアイデンティティ・アサータを構成するためにこの方法を使用する場合、セキュリティに関する次の考慮事項に注意してください。

• OHSおよびWebLogicの保護に関する標準セキュリティ・プラクティスに従ってください。

• Oracle Identity Managerのフロントエンドとして機能しているHTTP WebサーバーがSSOソリューションの標準セキュリティ・プラクティスを使用して適切に保護されていることを確認してください。

B.7 SSO統合用の構成可能なログインIDのサポートの使用

通常、SSOプロバイダは「ログインID」属性を使用してSSOログインを実行します。ただし、Oracle Identity ManagerではSSOログインに「ユーザーID」属性が使用されます。

Oracle Identity Managerは、シングル・サインオンを実現するためにSiteminderやTivoli Access ManagerなどのサードパーティのSSOプロバイダと統合できます。これらのサードパーティのSSOプロバイダを使用すると、ユーザーがSSOログインを実行するために使用する必要があるログインID属性を構成できます。たとえば、(ユーザーIDのかわりに) email属性を使用してログインすることをユーザーに許可する場合、この構成はSSOプロバイダによって許可されます。ただし、この構成は、Oracle Identity ManagerがSSOプロバイダと統合されている場合は正常に機能しません。これは、Oracle Identity Manager内のログインID属性が「ユーザー・ログイン」であるために他のユーザー属性(emailなど)をログインID属性として構成できないことが原因です。このため、この機能の目的は、Oracle Identity ManagerでログインID属性を構成可能にすることにあります。ログインID属性をOracle Identity Managerの他のユーザー・エンティティ属性(Emailなど)に構成すると、ユーザーがemail値を使用してSSOログインを実行してOracle Identity Managerにログインできるようになります。

ノート:

• SSOプロバイダと統合されていないOracle Identity Managerデプロイメントでこの構成を使用することはお薦めしません。

• このソリューションをお薦めするのは、Oracle Identity ManagerデプロイメントがサードパーティのSSOプロバイダと統合されているときに、「ユーザー・ログイン」以外の属性を使用してログインすることをユーザーに許可する場合です。

• Oracle Identity ManagerがOAMと統合されている場合、このソリューションを使用することはお薦めしません。ユーザーが複数の属性を使用してログインできるようOAMを構成することは可能ですが、「ユーザー・ログイン」に対応する属性をアサートしてください。この構成の場合、ユーザーはemailを使用してSSOログインを実行しますが、JAAS件名には「ユーザー・ログイン」属性が移入されます。

B.8 SSO統合用のログインIDサポートの構成

Oracle Identity Managerで「ログインID」属性を構成するには、SSOLoginIdMapperを使用するためにoim構成でloginMapperプロパティを構成し、SSOを構成し、各ユーザーのloginIdAttributeとUSR_LOGINに同じ値を指定し、LDAP固有のオーセンティケータ構成を変更します。

Oracle Identity ManagerでログインID属性を構成するには:

1. Oracle Enterprise Managerにログインします。

2. 「WebLogicドメイン」を展開します。「DOMAIN_NAME」を右クリックして、「システムMBeanブラウザ」を選択します。

3. SSOLoginIdMapperを使用するようoim構成のloginMapperプロパティを構成します。そのように行うには:

   1. 「アプリケーション定義のMBean」→「oracle.iam」→「サーバー:OIM_SERVER_NAME」→「Application:oim」→「XML構成」→「構成」に移動します。

   2. LoginMapper属性の値をoracle.iam.platform.auth.impl.SSOLoginIDMapperに変更します。

4. ssoConfigのssoEnabled属性をtrueに設定してSSOに対してOracle Identity Managerを構成します。そのように行うには:

   1. 「アプリケーション定義のMBean」→「oracle.iam」→「サーバー:oim_server1」→「アプリケーション:oim」→XML構成→「XMLConfig:SSOConfig」→「SSOConfig」に移動します。

   2. SSOEnabled属性の値としてtrueを選択します。

5. 同じページで、loginIdAttributeの値を有効なOracle Identity Managerユーザー・エンティティ属性に設定します。

   ノート:

   loginIdAttributeがEmailに構成されている場合、すべてのユーザーに有効なemail IDが必要であり、これらの値はすべてのOracle Identity Managerユーザーにわたって一意である必要があります。

6. デフォルトでシードされているすべてのOracle Identity Managerユーザーについて、loginIdAttributeの値がUSR_LOGINの値と同じであることを確認します。たとえば、loginIdAttributeがEmailに構成されている場合、デフォルトのユーザーのemail IDがUSR_LOGIN値と同じであることを確認します。次のSQL文は、Oracle Identity Managerデータベース・スキーマに対して実行できます。

   update usr SET usr_email='OIMINTERNAL' where usr_login='OIMINTERNAL';
   update usr SET usr_email='XELSYSADM' where usr_login='XELSYSADM';
   update usr SET usr_email='WEBLOGIC' where usr_login='WEBLOGIC';
   update usr SET usr_email='XELOPERATOR' where usr_login='XELOPERATOR';
   

7. 「ユーザー名属性」、「名前指定によるユーザー・フィルタ」および「すべてのユーザーのフィルタ」に適切な属性を使用するようLDAP固有のオーセンティケータ構成を変更します。たとえば、loginIdAttributeがEmailに構成されている場合、オーセンティケータが次のように構成されていることを確認します。

   User Name Attribute: mail 
   User From Name Filter: (&(|(mail=%u)(uid=%u))(objectclass=inetOrgPerson)) 
   All Users Filter: (&(mail=*)(objectclass=inetOrgPerson)
   

   ノート:

   「名前指定によるユーザー・フィルタ」には、uid属性(デフォルト)またはmail属性(loginIdAttributeがEmailとして設定されている場合)を使用してユーザーを参照するためのOR条件が含まれます。

   ただし、APIクライアントベースのログインは、loginIdAttribute (mailなど)が構成されている場合はこれを使用してのみ実行することをお薦めします。

8. LDAPプロバイダでシステム管理者ユーザー・エントリを作成します。uidおよびmail (loginIdAttributeがEmailとして構成されている場合)属性がSYSTEM_ADMINISTRATORとして設定されていることを確認します。

   ノート:

   Oracle Identity ManagerでloginIdAttributeが他の一意の属性に設定されている場合、LDAP内の対応するマッピング属性がSYSTEM_ADMINISTRATORに設定されている必要があります。

9. OPSSレイヤーで次の変更を実行します。

   Oracle Identity ManagerがHTTP (UI)およびt3 (サーバー)チャネルを介してSOAに接続することを考慮すると、デフォルトのユーザー・ログインではなくSSOログインIDに基づいてユーザー参照を処理するようOIMDBProviderを構成する必要があります。これを行うには、次のように、jps-config.xmlファイル内のidstore.oimサービス・インスタンスを変更します。

   <serviceInstance name="idstore.oim" provider="idstore.oim.provider" location=" ">
           <description>OIM Identity Store Service Instance</description>
           <property name="idstore.type" value="CUSTOM"/>
           <property name="ADF_IM_FACTORY_CLASS" value="oracle.iam.userrole.providers.oimdb.OIMDBIdentityStoreFactory"/>
           <property name="DATASOURCE_NAME" value="jdbc/soaOIMLookupDB"/>
           <property value="USER_NAME=USR_EMAIL:USER_ID=USR_EMAIL" name="PROPERTY_ATTRIBUTE_MAPPING"/>
   </serviceInstance>
   

   ノート:

   USER_NAMEおよびUSER_IDプロパティの値は、loginIdAttributeに対応するフィールド・マッピングである必要があります。したがって、loginIdAttributeをEmailとして構成した場合、Email属性はUSR_EMAIL列にマッピングされるので、USER_NAMEおよびUSER_IDプロパティをUSR_EMAILに設定する必要があります。

10. Oracle Identity Managerドメイン・セキュリティ・レルムの認証プロバイダの構成が、特定のSSOプロバイダ用の文書(「Oracle Identity GovernanceでのIBM Tivoli Access Managerの使用可能化」および「Oracle Identity GovernanceでのCA SiteMinderの使用可能化」など)に記載されているとおりであることを確認します。

ノート:

カスタムloginIdAttribute (Emailなど)を構成する場合、カスタムSOAコンポジットの開発時に次のことを確認してください。

• Oracle Identity Managerが承認のためにSOAコンポジットを起動するとき、RequesterDetails、BeneficiaryDetailsをペイロードの一部として渡します。

  これらの内のLoginおよびManagerLoginフィールドは、User Loginではなく、Emailに設定されます。

• loginIdAttribute値をタスク割当て先として使用していることを確認してください。

ユーザー(指定されたユーザー・キー)のloginIdAttribute値をフェッチするには、BPELプロセスでRequestDataServiceのgetUserDetails操作を使用できます。

同じことが既存のカスタムSOAコンポジットにも適用されます。

B.9 SAML2アサータを使用したOracle Identity Governanceとアイデンティティ・プロバイダとの統合

この項では、SAML2シングル・サインオン・フローを使用して、Oracle Identity Governanceでシングル・サインオン(SSO)を使用可能にするための構成ステップについて説明します。このドキュメントで使用されるアイデンティティ・プロバイダ(IDP)またはSAML2アサーション・プロバイダは、Oracle Access Manager (OAM)です。SAML2をサポートする他の任意のIDPを使用することもできます。

ノート:

• Oracle Identity Governance 12c (12.2.1.3.0)以降では、SAML2を使用したアイデンティティ・プロバイダとOIGの連携がサポートされています。

• OIGとのOAMの統合にSAML2を使用することもできますが、WebGateを使用して統合を構成することをお薦めします(『Oracle Identity Management Suite統合ガイド』のLDAPコネクタを使用したOracle Identity GovernanceとOracle Access Managerとの統合に関する項を参照)。

この項の内容は次のとおりです。

• Oracle Identity Governanceとアイデンティティ・プロバイダとの統合の前提条件

• Oracle Identity GovernanceドメインでのSAML2アサータの構成

• Oracle Identity GovernanceでのIdentity Federation設定の構成

• Identity Federationドキュメントのエクスポート

• Oracle Identity Governanceを使用したフェデレーション用のアイデンティティ・プロバイダの構成

• アイデンティティ・プロバイダのメタデータのエクスポート

• Oracle Identity Governanceでのアイデンティティ・プロバイダのメタデータの構成

• セッションCookieを変更するためのアイデンティティ・セルフ・サービス、システム管理およびFacadeWebAppの更新

• 「アイデンティティ・セルフ・サービス」および「システム管理」ページを使用したSAML2.0フローのテスト

B.9.1 Oracle Identity Governanceとアイデンティティ・プロバイダとの統合の前提条件

Oracle Identity Governanceをアイデンティティ・プロバイダ(IDP)と統合する前に、次の前提条件を満たしている必要があります:

1. Oracle Access Manager 12c (12.2.1.3.0)をホスト・コンピュータ(host1など)にインストールします。
2. Oracle Identity Governance 12c (12.2.1.3.0)を別のホスト・コンピュータ(host2など)にインストールします。
3. host2で、OIGの上にOracle HTTP Server (OHS) 12c (12.2.1.3.0)を構成します。これを行うには、次のようにします:
   1. このステップに示すように、$DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1/mod_wl_ohs.confファイルを更新します。次のエントリは、OHSとOIGの統合の標準です。次に示すように、WLCookieNameのすべてのインスタンスの値をoimjessionidからJSESSIONIDに変更します:

      <Location /reqsvc>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /identity>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /sysadmin>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /admin>
       SetHandler weblogic-handler
       WebLogicHost example.com
       WebLogicPort PORT
       WLCookieName JSESSIONID
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
        
      # oim self and advanced admin webapp consoles(canonic webapp)
      <Location /oim>
       SetHandler weblogic-handler
       WebLogicHost example.com
       WebLogicPort PORT
       WLCookieName JSESSIONID
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      # SOA Callback webservice for SOD
      <Location /sodcheck>
       SetHandler weblogic-handler
       WebLogicHost example.com
       WebLogicPort PORT
       WLCookieName JSESSIONID
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
        
      # Callback webservice for SOA. SOA calls this when a request is approved/rejected
      # Provide the SOA Managed Server Port
      <Location /workflowservice>
       SetHandler weblogic-handler
       WebLogicHost example.com
       WebLogicPort PORT
       WLCookieName JSESSIONID
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
        
      # Nexaweb WebApp - used for workflow designer and DM
      <Location /Nexaweb>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
        
      # used for FA Callback service.
      <Location /callbackResponseService>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
        
      # spml xsd profile
      <Location /spml-xsd>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
        
      <Location /HTTPClnt>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /provisioning-callback>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /CertificationCallbackService>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /FacadeWebApp>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /iam/governance/configmgmt>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /iam/governance/scim/v1>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /iam/governance/token/api/v1>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /OIGUI>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>
       
      <Location /iam/governance/applicationmanagement>
       SetHandler weblogic-handler
       WLCookieName JSESSIONID
       WebLogicHost example.com
       WebLogicPort PORT
       WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
      </Location>

   2. 次のスニペットを追加して、IDPから受信したSAML2レスポンスのリダイレクトを追加します:

      <Location /saml2>
         SetHandler weblogic-handler
         WLCookieName JSESSIONID
         WebLogicHost example.com
         WebLogicPort PORT
      </Location>

4. mod_wl_ohs.confファイルを保存します。

B.9.2 Oracle Identity GovernanceドメインでのSAML2アサータの構成

Oracle Identity GovernanceドメインでSAML2アイデンティティ・アサータを構成するには:

1. Oracle WebLogic Server管理コンソール12cにログインします。
2. 「セキュリティ・レルム」に移動し、「プロバイダ」タブをクリックします。構成済のすべてのプロバイダが表示されます。
3. 「認証」タブの「認証プロバイダ」で、「新規」をクリックします。新しいアイデンティティ・プロバイダの作成ページが表示されます。
4. 「名前」フィールドに、アイデンティティ・アサータの名前を入力します。
5. 「タイプ」リストで「SAML2IdentityAsserter」が選択されていることを確認し、「OK」をクリックします。
6. SAML2IdentityAsserterがリストの最初になるように、アイデンティティ・プロバイダを並べ替えます。これを行うには、次の手順を実行します。
   1. 「認証」タブの「認証プロバイダ」で、「並替え」をクリックします。「認証プロバイダの並替え」ページが表示されます。
   2. 「認証プロバイダ」の「使用可能」リストで、リストの横にあるナビゲーション矢印を使用して、リストの最初になるように作成したSAML2アイデンティティ・アサータを並べ替えます。
   3. 「OK」をクリックします。
7. 変更内容が反映されるようにサーバーを再起動します。

B.9.3 Oracle Identity GovernanceでのIdentity Federation設定の構成

Oracle Identity GovernanceでIdentity Federation設定を構成するには:

1. Oracle WebLogic管理コンソール12cにログインします。
2. 「環境」、「サーバー」、「OIM_SERVER_NAME」の順に移動します。
3. 「フェデレーション・サービス」タブをクリックします。
4. SAML2.0サービス・プロバイダ・タブをクリックします。
5. 次の詳細を入力し、「保存」をクリックします。
   • 認証リクエスト・キャッシュ・サイズ: 10000
   • 認証リクエスト・キャッシュ・タイムアウト: 300
   • 優先バインド: なし
   • デフォルトURL: https://host1.example.com:PORT/identity/faces/home
6. SAML2.0一般タブをクリックし、次の詳細を入力します:
   • エンティティID: OIM_SAML2

     これには任意の名前を指定できます。アイデンティティ・プロバイダがサービス・プロバイダを識別するために使用する名前です。

   • 公開サイトのURL: http://host1.example.com:PORT/saml2 or http://host1.example.com:OHS_PORT/saml2

     アイデンティティ・プロバイダでの認証後にSAML2レスポンスが送信されるURLです。Oracle Identity Governance上にOHSがインストールされている場合は、OHSホストとポートを使用します。

   • シングル・サインオン署名キー別名: DemoIdentity/DemoIdentityPassPhrase

     ドキュメントの署名に使用するキー用のキーストアの別名です。

7. 「保存」をクリックします。

B.9.4 Identity Federationドキュメントのエクスポート

Identity Federationドキュメントをエクスポートするには:

1. SAML2.0一般タブで、「メタデータの公開」をクリックします。SAML2.0メタ・データの公開ページが表示されます。
2. 「パス」フィールドに、エクスポートするファイルのディレクトリ・パスと名前(DIRECTORY_PATH/OIM_SAML2.xmlなど)を入力します。
3. ファイルがすでに存在する場合にメタデータをファイルに書き込む場合は、オプションで「上書き」オプションを選択します。それ以外の場合は、このオプションは選択しないままにします。
4. 「OK」をクリックします。

B.9.5 Oracle Identity Governanceを使用したフェデレーション用のアイデンティティ・プロバイダの構成

サービス・プロバイダ(この例ではOracle Identity Governance)を使用してフェデレーション用のアイデンティティ・プロバイダ(この例ではOracle Acess Manager)を構成するには:

1. Oracle Access Managementコンソールにログインします。
2. 「フェデレーション」タブをクリックしてから、「アイデンティティ・プロバイダ管理」タブをクリックします。
3. 「サービス・プロバイダ・パートナの作成」をクリックします。
4. 「一般」セクションで、「名前」フィールドにサービス・プロバイダの名前を入力します。
5. 「サービス情報」セクションで、「Identity Federationドキュメントのエクスポート」で以前にエクスポートしたフェデレーション・メタデータ・オブジェクトをインポートします。これを行うには、「プロバイダ・メタデータからロード」オプションが選択されていることを確認し、「メタデータのロード」をクリックします。
6. 「名前IDフォーマット」セクションで、「NameID値」リストの「ユーザーIDストア属性」を選択し、uidと入力します。
7. 「保存」をクリックします。

B.9.6 アイデンティティ・プロバイダのメタデータのエクスポート

Oracle Access Management (アイデンティティ・プロバイダ)ドキュメントをエクスポートするには:

1. 次のURLからメタデータ・ドキュメントをダウンロードします:
   http://host2.example.com:PORT/oamfed/idp/metadata
2. OAMMetadata.xmlなどのファイルにメタデータ・コンテンツを保存します。

B.9.7 Oracle Identity Governanceでのアイデンティティ・プロバイダのメタデータの構成

Oracle Identity Governance (サービス・プロバイダ)でOracle Access Manager (アイデンティティ・プロバイダ)のメタデータを構成するには:

1. Oracle WebLogic Server管理コンソール12cにログインします。
2. 「セキュリティ・レルム」に移動し、「プロバイダ」タブをクリックします。
3. 作成したSAML2アサータをクリックします。
4. 「Management」タブをクリックします。
5. 「新規」をクリックし、「新しいWebシングル・サインオンのアイデンティティ・プロバイダ・パートナ」を選択します。「SAML 2.0 Webシングル・サインオンのアイデンティティ・プロバイダ・パートナの作成」ページが表示されます。

   このページで次のエラーが発生した場合:

   Cannot resolve 'query:AttributeQueryDescriptorType' to a type definition for element 'md:RoleDescriptor'.
   Create Operation failed - no partner created.

   メタデータ・ファイルを変更し、OAMMetadataファイルからAttributeQueryDescriptorType要素を削除します。

   インポートが成功すると、メッセージ「パートナが正常に作成されました。」が表示され、「アイデンティティ・プロバイダ・パートナ」リストにOAMIDPが表示されます。デフォルトでは、構成済のパートナは無効になっています。

6. 「アイデンティティ・プロバイダ・パートナ」で、作成したパートナをクリックし、次のパラメータの値を設定します:
   1. 「概要」セクションで、「有効」を選択してパートナを有効にします。
   2. 「リダイレクトURI」ボックスに、次のように入力してリダイレクトURIを追加します:

      /identity/adfAuthentication
      /sysadmin/adfAuthentication

7. 変更を有効にし、Oracle Access ManagementとOracle Identity Governance間のフェデレーションが成功するように、Oracle Identity Governanceドメイン・サーバーを再起動します。

B.9.8 セッションCookieを変更するためのアイデンティティ・セルフ・サービス、システム管理およびFacadeWebAppの更新

次のように、デプロイメント・プランを使用して、CookieをoimjessionidからJSESSIONIDに更新します:

ノート:

アプリケーションでカスタムCookieを使用する場合、このステップはSAML2フローをサポートするために必要です。『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のデフォルト以外のCookie名の使用に関する項を参照してください。

1. oracle.iam.console.identity.self-service.ear、oracle.iam.console.identity.sysadmin.earおよびoim.earのPlan.xmlファイルを作成します。競合を避けるために、これらのアプリケーションのPlan.xmlに一意の名前を指定してください。たとえば、ファイルをMW_HOME/idm/server/apps/identityPlan.xml、MW_HOME/idm/server/apps/sysadminPlan.xmlおよびMW_HOME/idm/server/apps/oimPlan.xmlとして保存します。

   サンプルのPlan.xmlファイルは次のとおりです:

   oracle.iam.console.identity.self-service.earのサンプル・デプロイメント・プランのXML

   <?xml version='1.0' encoding='UTF-8'?>
   <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd">
     <application-name>oracle.iam.console.identity.self-service.ear#V2.0</application-name>
     <variable-definition>
       <variable>
         <name>NewCookieName</name>
         <value>JSESSIONID</value>
       </variable>
     </variable-definition>
     <module-override>
       <module-name>oracle.iam.console.identity.self-service.war</module-name>
       <module-type>war</module-type>
       <module-descriptor external="false">
         <root-element>weblogic-web-app</root-element>
         <uri>WEB-INF/weblogic.xml</uri>
         <variable-assignment>
                <name>NewCookieName</name>
                <xpath>/weblogic-web-app/session-descriptor/cookie-name</xpath>
       </variable-assignment>
       </module-descriptor>
     </module-override>
   </deployment-plan>

   oracle.iam.console.identity.sysadmin.earのサンプル・デプロイメント・プランのXML

   <?xml version='1.0' encoding='UTF-8'?>
   <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd">
     <application-name>oracle.iam.console.identity.sysadmin.ear#V2.0</application-name>
     <variable-definition>
       <variable>
         <name>NewCookieName</name>
         <value>JSESSIONID</value>
       </variable>
     </variable-definition>
     <module-override>
       <module-name>oracle.iam.console.identity.sysadmin.war</module-name>
       <module-type>war</module-type>
       <module-descriptor external="false">
         <root-element>weblogic-web-app</root-element>
         <uri>WEB-INF/weblogic.xml</uri>
         <variable-assignment>
                <name>NewCookieName</name>
                <xpath>/weblogic-web-app/session-descriptor/cookie-name</xpath>
       </variable-assignment>
       </module-descriptor>
     </module-override>
   </deployment-plan>

   oim.earのサンプル・デプロイメント・プランのXML

   <?xml version='1.0' encoding='UTF-8'?>
   <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan
   http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd">
   <application-name>oim</application-name>
   <variable-definition>
   <variable>
   <name>NewCookieName</name>
   <value>JSESSIONID</value>
   </variable>
   </variable-definition>
   <module-override>
   <module-name>iam-consoles-faces.war</module-name>
   <module-type>war</module-type>
   <module-descriptor external="false">
   <root-element>weblogic-web-app</root-element>
   <uri>WEB-INF/weblogic.xml</uri>
   <variable-assignment>
   <name>NewCookieName</name>
   <xpath>/weblogic-web-app/session-descriptor/cookie-name</xpath>
   </variable-assignment>
   </module-descriptor>
   </module-override>
   <module-override>
   <module-name>FacadeWebApp.war</module-name>
   <module-type>war</module-type>
   <module-descriptor external="false">
   <root-element>weblogic-web-app</root-element>
   <uri>WEB-INF/weblogic.xml</uri>
   <variable-assignment>
   <name>NewCookieName</name>
   <xpath>/weblogic-web-app/session-descriptor/cookie-name</xpath>
   </variable-assignment>
   </module-descriptor>
   </module-override>
   <module-override>
   <module-name>xlWebApp.war</module-name>
   <module-type>war</module-type>
   <module-descriptor external="false">
   <root-element>weblogic-web-app</root-element>
   <uri>WEB-INF/weblogic.xml</uri>
   <variable-assignment>
   <name>NewCookieName</name>
   <xpath>/weblogic-web-app/session-descriptor/cookie-name</xpath>
   </variable-assignment>
   </module-descriptor>
   </module-override>
   </deployment-plan>

2. Oracle Weblogic管理コンソールにログインします。
3. 「デプロイメント」に移動し、アプリケーションを選択します。
4. 「更新」をクリックします。「アプリケーション更新アシスタント」ページが表示されます。
5. デプロイメント・プランのパス構成に対して「パスの変更」をクリックします。
6. アプリケーションに固有のデプロイメント・プランのXMLファイルのパスを指定し、「次」をクリックします。
7. 「このアプリケーションを新しいデプロイメント・プランの変更とあわせた場所に更新します」オプションを選択します。「終了」をクリックしてデプロイメント・プランの構成を完了します。必要に応じて変更を有効にします。

   ノート:

   プランの更新時には、次のエラーを無視できます:

   oracle.iam.console.identity.self-service.earおよびoracle.iam.console.identity.sysadmin.earのエラー:

   'weblogic.management.DeploymentException:  The application oracle.iam.console.identity.self-service.ear#V2.0 cannot have the resource WEB-INF/weblogic.xml updated dynamically. Either:
   1.) The resource does not exist. 
    or 
   2) The resource cannot be changed dynamically.

   oimのエラー:

   weblogic.descriptor.DescriptorUpdateRejectedException: Non-dynamic properties were found to be updated Bean: weblogic.j2ee.descriptor.WebAppBeanImpl FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@be33a8a0(/FilterMappings[[CompoundKey: SSOSessionSynchronizationFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@5a3116b4(/FilterMappings[[CompoundKey: JpsFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@3f7e90c7(/FilterMappings[[CompoundKey: ExtensibleGlobalFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@a18ad6a0(/FilterMappings[[CompoundKey: DMSSystemFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@c63fc573(/FilterMappings[[CompoundKey: OAMAgentFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@88cea9cf(/Filters[JpsFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@eb9d7cfb(/Filters[DMSSystemFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@45ac8348(/Filters[OAMAgentFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@17e26bdc(/Filters[ExtensibleGlobalFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@dea456fb(/Filters[SSOSessionSynchronizationFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Id (CHANGE)(Dynamic=false)[Original Value: WebApp_ID, Proposed Value: null]
   ¿Non-dynamic properties were found to be updated Bean: weblogic.j2ee.descriptor.WebAppBeanImpl FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@be33a8a0(/FilterMappings[[CompoundKey: SSOSessionSynchronizationFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@5a3116b4(/FilterMappings[[CompoundKey: JpsFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@3f7e90c7(/FilterMappings[[CompoundKey: ExtensibleGlobalFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@a18ad6a0(/FilterMappings[[CompoundKey: DMSSystemFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] FilterMappings (REMOVE weblogic.j2ee.descriptor.FilterMappingBeanImpl@c63fc573(/FilterMappings[[CompoundKey: OAMAgentFilter[CompoundKey: ][CompoundKey: /*]]]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@148fdb1f, Proposed Value: [Lweblogic.j2ee.descriptor.FilterMappingBeanImpl;@7075de61] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@88cea9cf(/Filters[JpsFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@eb9d7cfb(/Filters[DMSSystemFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@45ac8348(/Filters[OAMAgentFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@17e26bdc(/Filters[ExtensibleGlobalFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Filters (REMOVE weblogic.j2ee.descriptor.FilterBeanImpl@dea456fb(/Filters[SSOSessionSynchronizationFilter]))(Dynamic=false)[Original Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@32be66e8, Proposed Value: [Lweblogic.j2ee.descriptor.FilterBeanImpl;@39c7fa98] Id (CHANGE)(Dynamic=false)[Original Value: WebApp_ID, Proposed Value: null]
   

8. サーバーを再起動します。

B.9.9 「アイデンティティ・セルフ・サービス」および「システム管理」ページを使用したSAML2.0フローのテスト

Oracle Identity Governanceの「セルフ・サービス」および「システム管理」ページを使用してSAML2.0フローをテストするには:

1. http://host1.example.com:PORT/identity/faces/homeまたはhttp://host1.example.com:OHS_PORT/identity/faces/homeに移動して、Oracle Identity Self Serviceにログインします(Oracle Identity Governance上にOHSがインストールされている場合)。
   これにより、Oracle Access Managementホーム・ページにリダイレクトされます。
2. OAMユーザー・ストアとOIGユーザー・ストアの両方に存在するユーザーの資格証明を入力します。たとえば、OAMに存在するWebLogicユーザーの資格証明を入力します。
   ユーザーは、Identity Governance Self Serviceにログインしています。
3. http://host1.example.com:PORT/sysadmin/faces/homeまたはhttp://host1.example.com:OHS_PORT/sysadmin/faces/homeに移動して、Oracle Identity System Administrationにログインします(Oracle Identity Governance上にOHSがインストールされている場合)。
   これにより、Oracle Access Managerホーム・ページにリダイレクトされます。
4. OAMユーザー・ストアに存在するシステム管理者ユーザーの資格証明を入力します。
   ユーザーは、Identity Governance System Administrationにログインしています。