28 エンタープライズ・デプロイメント用のシングル・サインオンの構成
Oracle Access Managerでシングル・サインオンを有効化するために、Oracle HTTP Server WebGateを構成する必要があります。
この章の内容は次のとおりです。
- Oracle WebGateについて
Oracle WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するプラグインです。 - Oracle HTTP Server WebGateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成可能にするには、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。 - エンタープライズ・デプロイメント用にOracle HTTP Server 12c WebGateを構成
WEBHOST1とWEBHOST2の両方でOracle Access Manager用Oracle HTTP Server 12c WebGateを構成するには、次のステップを実行する必要があります。 - OAM REST OAPコールとヘルス・チェックの有効化
Oracle Access Manager 12cでは、WebGateはREST APIコールを介してOracle Access Managerと対話します。WebGateがこれらのREST APIに対して無制限にアクセスできるようにするには、WEB_CONFIG_DIR/webgate.conf
ファイルを更新する必要があります。 - Webゲートへのロード・バランサ証明書の追加Oracle WebGate 12cは、RESTコールを使用してOracle Access Manager 12cと対話します。
通信が正しく行われるように、ロード・バランサ証明書をWebゲート構成にコピーし、RESTエンドポイントが正しく設定されていることを確認する必要があります。 - Web層へのWebゲート・アーティファクトのコピー
Oracle Access Managementインストールを作成した際、Webgate_IDM
という名前のWebゲートが作成されています。WebゲートがAccessサーバーと通信するには、このWebゲートに関連付けられているアーティファクトをWeb層にコピーする必要があります。 - Oracle HTTP Serverインスタンスの再起動
- WebLogic Server認証プロバイダの設定
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。 - Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xml
ファイルを構成して、これらの機能を有効にする必要があります。 - 構成ファイルのバックアップ
安全を確保するため、まず関連する構成ファイルをバックアップする必要があります。
Oracle WebGateについて
Oracle WebGateは、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。
Oracle Fusion Middleware 12cの場合、Oracle WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』で、OAM 11gエージェントの登録と管理に関する項を参照してください。
Oracle HTTP Server Webgateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成するには、動作保証されたバージョンのOracle Access Managerをインストールして構成しておく必要があります。
最新情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
WebGateの動作保証マトリクスについては、クリックしてhttp://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oam-webgates-2147084.htmlを開き、「Certification Matrix for 12c Access Management WebGates」リンクをクリックして動作保証マトリクスのスプレッドシートをダウンロードします。
ノート:
本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracle Help CenterのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。
エンタープライズ・デプロイメント用にOracle HTTP Server 12c Webゲートを構成
WEBHOST1とWEBHOST2の両方でOracle HTTP Server 12c WebGate for Oracle Access Managerを構成するには、次のステップを実行する必要があります。
次の手順では、WEB_ORACLE_HOMEやWEB_CONFIG_DIRなどのディレクトリ変数を「このガイドで使用するファイル・システムとディレクトリ変数」で定義された値に置き換えてください。
-
Web層ドメインの完全なバックアップを実行します。
-
ディレクトリをOracle HTTP ServerのOracleホームの次の場所に変更します。
cd
WEB_ORACLE_HOME
/webgate/ohs/tools/deployWebGate/
-
次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。
./deployWebGateInstance.sh -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME
たとえば:./deployWebGateInstance.sh -w /u02/private/oracle/config/domains/ohsDomain/config/fmwconfig/components/OHS/ohs1 -oh /u01/oracle/products/web
-
deployWebGateInstance
コマンドでwebgate
ディレクトリおよびサブディレクトリが作成されたことを確認します。ls -lat WEB_CONFIG_DIR/webgate/
total 16 drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 .. drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 . drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
-
次のコマンドを実行し、
LD_LIBRARY_PATH
変数にWEB_ORACLE_HOME/lib
ディレクトリ・パスが含まれるようにします。export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib
-
ディレクトリを次のディレクトリに変更します。
WEB_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
-
InstallTools
ディレクトリから次のコマンドを実行します。./EditHttpConf -w WEB_CONFIG_DIR -oh WEB_ORACLE_HOME -o output_file_name
たとえば:./EditHttpConf -w /u02/private/oracle/config/domains/ohsDomain/config/fmwconfig/components/OHS/ohs1 -oh /u01/oracle/products/web
ノート:
-oh WEB_ORACLE_HOME
および-o output_file_name
パラメータはオプションです。このコマンドは:
-
apache_webgate.template
ファイルをOracle HTTP ServerのOracleホームからOracle HTTP Server構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。 -
httpd.conf
ファイルを更新して1行を追加し、webgate.conf
が含まれるようにします。 -
WebGate構成ファイルを生成します。ファイルのデフォルト名は
webgate.conf
ですが、コマンドに対して-o output_file_name
引数を使用してカスタム名を使用できます。
-
OAM REST OAPコールとヘルス・チェックの有効化
Oracle Access Manager 12cでは、WebGateはREST APIコールを介してOracle Access Managerと対話します。WebGateがこれらのREST APIに対して無制限にアクセスできるようにするには、WEB_CONFIG_DIR/webgate.conf
ファイルを更新する必要があります。
/u02/private/oracle/config/domains/ohsDomain/config/fmwconfig/components/OHS/ohs1/webgate.conf
WEB_CONFIG_DIR/webgate.conf
を更新するには:
Webゲートへのロード・バランサ証明書の追加
Oracle WebGate 12cは、RESTコールを使用してOracle Access Manager 12cと対話します。通信が正しく行われるように、ロード・バランサ証明書をWebゲート構成にコピーし、RESTエンドポイントが正しく設定されていることを確認する必要があります。
WebGate構成へのロード・バランサ証明書のコピー
WebGateは、ロード・バランサ証明書を信頼する必要があります。この信頼を確保するには、WEB_CONFIG_DIR/webgate/config
にあるcacert.pem
ファイルにロード・バランサの証明書認証局チェーンを追加する必要があります。
openssl
コマンドを使用します。コマンドの構文は、次のとおりです。openssl s_client -connect <LOADBALANCER>:<PORT> -showcerts </dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > LOADBALANCER.pem
openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > login.example.com.pem
このコマンドにより、証明書がlogin.example.com.pem
という名前のファイルに保存されます。
Webゲート・トラストストアにロード・バランサ証明書がない場合は、login.example.com.pem
ファイルをWEB_CONFIG_DIR/webgate/config renaming it to cacert.pem
にコピーします。
cp login.example.com.pem WEB_CONFIG_DIR/webgate/config/cacert.pem
WebGateに信頼できる証明書がすでにある場合は、その証明書をcacert.pem
ファイルに追加します。
cp login.example.com.pem >> WEB_CONFIG_DIR/webgate/config/cacert.pem
親トピック: Webゲートへのロード・バランサ証明書の追加
Web層へのWebゲート・アーティファクトのコピー
Oracle Access Managementインストールを作成した際、Webgate_IDM
という名前のWebゲートが作成されています。WebゲートがAccessサーバーと通信するには、このWebゲートに関連付けられているアーティファクトをWeb層にコピーする必要があります。
生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
Oracle HTTP Server構成ディレクトリのファイルの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。
ノート:
エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。
オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。
証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebゲート間の通信の保護に関する項を参照してください。
表28-1 生成済アーティファクトをコピーするWeb層のホストの場所
ファイル | CERTモードを使用する場合の場所 |
---|---|
wallet/cwallet.sso Foot 1 |
WEB_CONFIG_DIR/webgate/config/wallet |
ObAccessClient.xml |
WEB_CONFIG_DIR/webgate/config |
password.xml |
WEB_CONFIG_DIR/webgate/config |
aaa_key.pem |
WEB_CONFIG_DIR/webgate/config |
aaa_cert.pem |
WEB_CONFIG_DIR/webgate/config |
脚注1 cwallet.sso
は、outputフォルダではなくwalletフォルダからコピーします。同じ名前のファイルが2つ存在していたとしても、それらは別のものです。正しいものは、walletサブディレクトリにあるほうです。
ノート:
WEBHOST1
およびWEBHOST2
にObAccessClient.xml
を再デプロイする必要がある場合、サーバーからObAccessClient.xml
のキャッシュされたコピーおよびロック・ファイルObAccessClient.xml.lck
を削除します。WEBHOST1
のキャッシュの場所は次のとおりです。WEB_DOMAIN_HOME/servers/ohs1/cache/
WEBHOST2
で2番目のOracle HTTP Serverインスタンスに対して、同様のステップを実行する必要があります。WEB_DOMAIN_HOME/servers/ohs2/cache/
Webゲート・アーティファクトの取得
Webゲート・アーティファクトを取得する最も簡単な方法は、OAMコンソールからダウンロードすることです。ダウンロードするには、次のステップを実行します:
- 次のURLを使用して、ユーザー名
oamadmin
でOAMコンソールにログインします:http://iadadmin.example.com/oamconsole
- 「エージェント」をクリックします。
- 「検索」画面で、「検索」をクリックします。
- エージェントのリストから、「Webgate_IDM」を選択します。
- ダウンロード・ボタンを使用してアーティファクトをダウンロードします。使用しているホスト・マシンにzipファイルがダウンロードされます。
ダウンロードしたzipファイルをOracle HTTP Serverマシンにコピーし、WEB_CONFIG_DIR/webgate/config
の場所に解凍します。ファイルが適切な場所に抽出されます。
親トピック: Web層へのWebゲート・アーティファクトのコピー
Oracle HTTP Serverインスタンスの再起動
Oracle HTTP Serverインスタンスの再起動の詳細は、Oracle HTTP Serverの管理のWLSTを使用したOracle HTTP Serverインスタンスの再起動を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle HTTP Serverの管理』のFusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することに関する項を参照してください。
WebLogic Server認証プロバイダの設定
WebLogic Server認証プロバイダを設定するには、構成ファイルをバックアップし、Oracle Access Manager IDアサーション・プロバイダを設定し、プロバイダの順序を設定します。
次のトピックでは、unresolvable-reference.htmlのステップに従って、LDAPオーセンティケータをすでに構成していると想定しています。LDAPオーセンティケータをまだ作成していない場合は、この項の作業を進める前に作成しておいてください。
- 構成ファイルのバックアップ
安全を確保するため、まず関連する構成ファイルをバックアップする必要があります。 - Oracle Access Manager IDアサーション・プロバイダの設定
- デフォルト・オーセンティケータの更新とプロバイダの順序の設定
構成ファイルのバックアップ
安全を確保するため、まず関連する構成ファイルをバックアップする必要があります。
次の構成ファイルのバックアップを作成します。
DOMAIN_HOME/config/config.xml DOMAIN_HOME/config/fmwconfig/jps-config.xml DOMAIN_HOME/config/fmwconfig/system-jazn-data.xml
管理サーバーのboot.properties
ファイルもバックアップします。
DOMAIN_HOME/servers/AdminServer/security/boot.properties
親トピック: WebLogic Server認証プロバイダの設定
Oracle Access Manager IDアサーション・プロバイダの設定
Oracle WebLogic Server管理コンソールを使用してOracle Access Manager IDアサーション・プロバイダを設定します。
- WebLogic Server管理コンソールにログインしていない場合は、ログインします。
- 「ロックして編集」をクリックします。
- 左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
- myrealmというデフォルト・レルム・エントリをクリックします。
- 「プロバイダ」タブをクリックします。
- 「新規」をクリックし、ドロップダウン・メニューからアサータ・タイプ「OAMIdentityAsserter」を選択します。
- アサータに名前(OAM ID Asserterなど)を付け、「OK」をクリックします。
- 新しく追加したアサータをクリックし、Oracle Access Manager IDアサーション・プロバイダの構成画面を確認します。
- 制御フラグを「必須」に設定します。
- 選択タイプで、デフォルトで選択されていない場合は「ObSSOCookie」および「OAM_REMOTE_USER」オプションを選択します。
- 「保存」をクリックして設定を保存します。
- 「変更のアクティブ化」をクリックして変更を伝播します。
親トピック: WebLogic Server認証プロバイダの設定
デフォルト・オーセンティケータの更新とプロバイダの順序の設定
WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。
親トピック: WebLogic Server認証プロバイダの設定
Oracle Access ManagerでのOracle ADFおよびOPSSセキュリティの構成
一部のOracle Fusion Middleware管理コンソールでは、Oracle Access Managerシングル・サインオン(SSO)と統合可能なOracle Application Development Framework (Oracle ADF)セキュリティが使用されます。これらのアプリケーションではユーザー認証にOracle Platform Security Services (OPSS) SSOを利用できますが、まずドメイン・レベルのjps-config.xml
ファイルを構成して、これらの機能を有効にする必要があります。
ドメインレベルのjps-config.xml
ファイルは、Oracle Fusion Middlewareドメインの作成後に次の場所に配置されます。
/u01/oracle/user_projects/domain/<OAM_DOMAIN_NAME>/config/fmwconfig/jps-config.xml
ノート:
ドメインレベルのjps-config.xml
をカスタム・アプリケーションでデプロイされたjps-config.xml
と混同しないでください。