2 Oracle HTTP Server WebGate for Oracle Access Managerの構成
この章の内容は次のとおりです。
- Oracle HTTP Server WebGateについて
Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送するWebサーバー・プラグインです。 - Oracle HTTP Server Webgateの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成する前に、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。 - Oracle HTTP Server WebGateの構成
Oracle HTTP Server WebGate for Oracle Access Managerの構成にはいくつかのステップが必要です。 - Oracle HTTP Server WebGateの登録
Oracle Access ManagerのWebGateコンポーネントは、高可用性環境を使用して、単一障害点をなくし、ロード・バランサ(LBR)を使用してワークロードを分散します。OAMを登録する必要があるのは一度のみで、結果として得られるアーティファクトはすべて、LBRの背後にあるOAM WebGatesによって使用されます。
Oracle HTTP Server Webゲートについて
Oracle HTTP Server WebGateは、HTTPリクエストをインターセプトし、それを認証および認可のために既存のOracle Access Managerインスタンスに転送するプラグインです。
Oracle HTTP Server Webゲートの構成の一般的な前提条件
Oracle HTTP Server WebGateを構成する前に、Oracle Access Managerの認定バージョンをインストールおよび構成しておく必要があります。
このドキュメントの公開時点では、サポート対象バージョンはOracle Access Manager 12cリリース2 (12.2.1.1)でした。最新の情報は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
ノート:
本番環境の場合は、エンタープライズ・デプロイメントをホストしているマシンではなく、専用の環境にOracle Access Managerをインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracle Help CenterのMiddlewareドキュメントにある最新のOracle Identity and Access Managementドキュメントを参照してください。
Oracle Fusion Middleware 12c (12.2.1.4.0)では、WebGateソフトウェアはOracle HTTP Server 12c (12.2.1.4.0)ソフトウェア・インストールの一部としてインストールされます。『Oracle Access Management管理者ガイド』のOAMエージェントの登録および管理に関する項を参照してください。
Oracle HTTP Server WebGateの構成
Oracle HTTP Server WebGate for Oracle Access Managerの構成にはいくつかのステップが必要です。
次に例を示します。
-
OHS_ORACLE_HOME
を、Oracle HTTP ServerソフトウェアをインストールしたOracleホームへの完全なパスに置き換えます。 -
OHS_CONFIG_DIR
を、Oracle HTTP Serverドメイン・ホーム内の次の場所へのパスに置き換えます。DOMAIN_HOME/config/fmwconfig/components/OHS/ohs_instance_name
-
Oracle HTTP Server Oracleホームの
deployWebGate
ディレクトリに移動します。(UNIX) cd
OHS_ORACLE_HOME
/webgate/ohs/tools/deployWebGate
(Windows) cd
OHS_ORACLE_HOME
\webgate\ohs\tools\deployWebGate
-
次のコマンドを実行して、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。
(UNIX) ./deployWebGateInstance.sh -w
OHS_CONFIG_DIR
-oh
OHS_ORACLE_HOME
(Windows) deployWebGateInstance.bat -w
OHS_CONFIG_DIR
-oh
OHS_ORACLE_HOME
-
deployWebGateInstance
コマンドでwebgate
ディレクトリおよびサブディレクトリが作成されたことを確認します。たとえば、UNIXで:
ls -lart OHS_CONFIG_DIR/webgate/ total 6 drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 .. drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 . drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
-
次のコマンドを実行してパス環境変数を設定します。
(UNIX) export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib
(Windows) set PATH=%PATH%;OHS_ORACLE_HOME\bin
-
EditHttpConf
ディレクトリに移動します。(UNIX) cd OHS_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools
(Windows) cd OHS_ORACLE_HOME\webgate\ohs\tools\EditHttpConf
-
次のコマンドを実行します。
(UNIX) ./EditHttpConf -w OHS_CONFIG_DIR [-oh OHS_ORACLE_HOME] [-o output_file_name] [-dcc custom_dcc_scripts/pages_location]
(Windows) EditHttpConf -w OHS_CONFIG_DIR [-oh OHS_ORACLE_HOME] [-o output_file_name] [-dcc custom_dcc_scripts\pages_location]
このコマンドでは次の処理が行われます。
-
apache_webgate.template
ファイルをOracle HTTP ServerのOracleホームからOracle HTTP Server構成ディレクトリの新しいwebgate.conf
ファイルにコピーします。 -
httpd.conf
ファイルを更新して1行を追加し、webgate.conf
が含まれるようにします。 -
WebGate構成ファイルを生成します。ファイルのデフォルト名は
webgate.conf
ですが、コマンドでoutput_file
引数を使用するとカスタム名を使用できます。
-
oamsso/logout.html
、oamsso-bin/login.pl
またはlogout.pl
スクリプトなど)をカスタマイズするには、これらのスクリプトを次の場所から、EditHttpConf
ユーティリティに対する-dcc
パラメータによって識別されるカスタムの場所にコピーします。ORACLE_HOME/webgate/ohs/
Oracle HTTP Server WebGateの登録
Oracle Access ManagerのWebGateコンポーネントは、高可用性環境を使用して、単一障害点をなくし、ロード・バランサ(LBR)を使用してワークロードを分散します。OAMを登録する必要があるのは一度のみで、結果として得られるアーティファクトはすべて、LBRの背後にあるOAM WebGatesによって使用されます。
次のいずれかのオプションを使用して、新しいWebGateエージェントをOracle Access Managerに登録できます:
Oracle Access Manager管理コンソール
Oracle Access Managerコンソールを使用したWebGateエージェントの登録の詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
RREGツール
RREGツールを使用したWebGateエージェントの登録の詳細は、次を参照してください:
RREGツールの場所と準備
RREGツールを設定するには、次のステップを実行します。
-
アプリケーション層でOracle Access Managerホストの1つにログインします。
-
Oracle Access Manager Oracleホームの次のディレクトリに、ディレクトリを変更します。
ノート:
場所はアウトオブバンド・モードの場合のみ必要です。OAM_ORACLE_HOME/oam/server/rreg/client
この例では、OAM_ORACLE_HOMEはOracle Access ManagerソフトウェアがインストールされたシステムのOracleホームです。
ノート:
『Oracle Enterprise IDMデプロイメント・ガイド』が使用されている場合、OAM_ORACLE_HOMEは/u01/oracle/products/access/iam
になる可能性があります。ノート:
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用して必要なファイルを生成し、WebGateをOracle Access Managerに登録できます。「RREGのインバンドおよびアウトオブバンド・モードについて」を参照してください。 -
RREG.tar.gz
ファイルを必要なディレクトリに解凍します。 -
解凍されたディレクトリから、
oamreg.sh
ファイルを開き、次の環境変数を次のようにファイルに設定します。-
OAM_REG_HOME
を、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。JDK_HOME
を、サポート対象のJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
-
OAM11gRequest.xmlファイルでの標準プロパティの更新
Webゲート・エージェントをOracle Access Managerに登録するには、事前にOAM11gRequest.xml
ファイルで必須プロパティを更新する必要があります。
ノート:
提供されているXMLファイルのほとんどのパラメータにデフォルト値を使用する場合は、リストされていないすべてのフィールドがデフォルト値をとる短いバージョン(OAM11gRequest_short.xml
を使用できます。
ノート:
プライマリ・サーバー・リストでは、OAMサーバーのデフォルト名はOAM_SERVER1およびOAM_SERVER2と示されます。サーバー名が環境で変更された場合、リストでこれらの名前が変更されます。このタスクを実行するには:
-
インバンド・モードを使用している場合は、いずれかのOAMサーバー上の次の場所にディレクトリを変更します。
OAM_ORACLE_HOME/idm/oam/server/rreg/input
アウトオブバンド・モードを使用している場合、WEBHOST1サーバー上でRREGアーカイブを解凍した場所にディレクトリを変更します。
-
環境固有の名前で
OAM11gRequest.xml
ファイル・テンプレートのコピーを作成します。cp OAM11gRequest.xml OAM11gRequest_edg.xml
-
ファイルにリストされているプロパティを確認してから、プロパティが環境に固有のホスト名およびその他の値を参照するように、
OAM11gRequest.xml
ファイルのコピーを更新します。
OAM11gRequest.xmlプロパティ | 設定値 |
---|---|
serverAddress |
Oracle Access Managerドメイン内の管理サーバーのホストおよびポート。 |
agentName |
エージェントのカスタム名。通常、シングル・サインオン用に構成しているFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオン用に構成しているWeb層ホストおよびFMWコンポーネントを識別する値。 |
security |
Oracle Access Managementサーバーで構成されたセキュリティ・モードに設定する必要があります。これは、オープン、簡易、証明書の3つのモードのいずれかです。 ノート: エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。 オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、ほとんどの場合でオープン・モードを使用しないでください。 証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。 |
cachePragmaHeader |
プライベート |
cacheControlHeader |
プライベート |
ipValidation |
0 <ipValidation>0</ipValidation> |
ipValidationExceptions |
フロントエンドのロード・バランサのIPアドレス。たとえば: <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidationExceptions> |
agentBaseUrl |
Oracle HTTP 12c (12.2.1.4.0) WebGatesがインストールされたWEBHOSTnマシンの前にあるフロントエンド・ロード・バランサVIPのホストおよびポートを使用した完全修飾URL。 たとえば: |
virtualHost |
管理VIP用のSSO保護など、 |
hostPortVariationsList
|
WebGatesによって保護される各ロード・バランサのURLに、 例: |
RREGツールの実行
次のトピックでは、RREGツールを実行してOracle Access ManagerにOracle HTTP Server WebGateを登録する方法について説明します。
RREGインバンドおよびアウトオブバンド・モードについて
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれか1つで実行できます。
Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。
-
Oracle Access Managerサーバー管理者からRREGアーカイブ・ファイル (
RREG.tar.gz
)のコピーが提供されます。サーバー管理者は、「OAM11gRequest.xmlファイルでの標準プロパティの更新」に示されている場所で見つけることができます。
-
サーバー管理者から提供された
RREG.tar.gz
ファイルを展開します。たとえば:
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、
RREG_Home
は、RREGアーカイブの内容を展開したディレクトリです。 -
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順で
OAM11gRequest.xml
ファイルを更新し、完成したOAM11gRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。 -
次に、Oracle Access Managerサーバー管理者は「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してRREGツールを実行し、
AgentID_response.xml
ファイルを生成します。 -
Oracle Access Managerサーバー管理者はユーザーに
AgentID_response.xml
ファイルを送信します。 -
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して
AgentID_response.xml
ファイルでRREGツールを実行し、クライアント・システムに必要なアーティファクトとファイルを生成します。
親トピック: RREGツールの実行
RREGツールをインバンド・モードで実行
RREGツールをインバンド・モードで実行するには:
-
RREGホーム・ディレクトリに移動します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。
-
RREGホーム・ディレクトリで、binディレクトリに移動します。
cd RREG_HOME/bin/
-
ファイルを実行できるように、
oamreg.sh
コマンドの権限を設定します。chmod +x oamreg.sh
-
次のコマンドを実行します。
./oamreg.sh inband RREG_HOME/input/OAM11gRequest_edg.xml
この例では、次のようになります。
-
編集された
OAM11gRequest.xml
ファイルがRREG_HOME/input
ディレクトリに配置されていることが前提となります。 -
このコマンドの出力は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例はRREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are:
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11gRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_idm
Enter admin password:
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n
----------------------------------------
Request summary:
OAM11g Agent Name:SOA12214_EDG_AGENT
Base URL: https://soa.example.com
:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------
Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.
親トピック: RREGツールの実行
RREGツールをアウトオブバンド・モードで実行
WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11gRequest.xml
この例では、次のようになります。
-
RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。
-
編集された
OAM11gRequest.xml
ファイルは、RREG_HOME/input
ディレクトリに配置されています。 -
RREGツールにより、このコマンドの出力(
AgentID_response.xml
ファイル)は次のディレクトリに保存されます。RREG_HOME/output/
Oracle Access Managerサーバー管理者は、
OAM11gRequest.xml
ファイルを提供したユーザーにAgentID_response.xml
を送信できます。
Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例では、次のようになります。
-
RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。
-
Oracle Access Managerサーバー管理者によって提供された
AgentID_response.xml
ファイルは、 RREG_HOME/inputディレクトリにあります。 -
RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。
RREG_HOME/output/
親トピック: RREGツールの実行
RREGによって生成されるファイルおよびアーティファクト
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバーの間の通信に使用しているセキュリティ・レベルによって異なります。『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項を参照してください。
この項では、RREG_HOME
への参照はすべて、RREGツールを実行するディレクトリへのパスに置き換える必要があります。これは通常、Oracle Access Managerサーバーの次のディレクトリまたはRREGアーカイブを解凍したディレクトリになります(アウトオブバンド・モードを使用している場合)。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表は、Oracle Access Managerのセキュリティ・レベルにかかわらず、RREGツールによって常に生成されるアーティファクトを示しています。
ファイル | 場所 |
---|---|
cwallet.sso |
|
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表は、Oracle Access ManagerでSIMPLEセキュリティ・レベルを使用している場合に作成される追加ファイルを示しています。
ファイル | 場所 |
---|---|
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
password.xml |
RREG_HOME/output/Agent_ID/ |
ノート:
password.xml
ファイルは、SIMPLEとCERTの両方のセキュリティ・レベルの共通ファイルであり、RREGツールによって生成されます。password.xml
ファイルには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
次の表は、Oracle Access ManagerでCERTセキュリティ・レベルを使用している場合に、管理者が生成する必要がある追加ファイルを示しています。
ファイル | 場所 |
---|---|
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
aaa_chain.pem |
RREG_HOME/output/Agent_ID/ |
生成済アーティファクトのOracle HTTP Server WebGateインスタンスの場所へのコピー
RREGツールによって必要なアーティファクトが生成された後で、RREG_Home/output/agent_ID
ディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリに、アーティファクトを手動でコピーします。
Oracle HTTP Server構成ディレクトリの場所は、Oracle Access Managerセキュリティ・モード設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle Access Managerのセキュリティ・モード設定に基づいて、生成されたアーティファクトごとにOracle HTTP Server構成ディレクトリの必須の場所を示します。存在しない場合はディレクトリの作成が必要になることがあります。たとえば、walletディレクトリが構成ディレクトリに存在しない場合があります。
ノート:
エンタープライズ・デプロイメントでは、認証および認可トラフィックの暗号化にカスタム・セキュリティ証明書を実装する追加の要件が存在する場合を除き、簡易モードを使用することをお薦めします。オープン・モードまたは証明書モードの使用方法の詳細は、利便性のため、ここで説明します。
オープン・モードではOracle Access Managerサーバーとの間のトラフィックが暗号化されないため、オープン・モードを使用しないでください。
証明書モードの使用方法やOracle Access Managerでサポートされるセキュリティ・モード全般については、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGateの間のセキュア通信に関する項 を参照してください。
ファイル | OPENモードを使用する場合の場所 | SIMPLEモードを使用する場合の場所 | CERTモードを使用する場合の場所 |
---|---|---|---|
wallet/cwallet.sso |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet |
ObAccessClient.xml |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config |
password.xml |
該当なし | OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config |
aaa_key.pem |
該当なし | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config |
aaa_cert.pem |
該当なし | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config |
aaa_chain.pem |
該当なし | 該当なし | OHS_CONFIG_DIR/webgate/config |
ノート:
WEBHOST1
およびWEBHOST2
にObAccessClient.xml
を再デプロイする必要がある場合、サーバーからObAccessClient.xml
のキャッシュされたコピーおよびロック・ファイルObAccessClient.xml.lck
を削除します。WEBHOST1
のキャッシュの場所は次のとおりです。OHS_DOMAIN_HOME/servers/ohs1/cache/
また、WEBHOST2
で2番目のOracle HTTP Serverインスタンスに対して、同様のステップを実行する必要があります。
OHS_DOMAIN_HOME/servers/ohs2/cache/
ノート:
証明書がCERTモードに作成される場合、aaa_chain.pem
が生成されます。
以前のバージョンのファイルの削除
新しいバージョンのOracle HTTP Server Webgateをインストールしたら、構成フォルダ内の古いファイルを手動で削除する必要があります。
ステップは次のとおりです。
{Oracle_OAMWebGate1}/webgate/ohs/config
ディレクトリに移動します。np{previous_rel}_wg.txt
ファイルを削除します。ここで、{previous_rel}はアップグレード元の以前のリリースのバージョン番号です。
Oracle HTTP Serverインスタンスの再起動
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle Fusion Middleware Oracle HTTP Serverの管理』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。『Oracle Fusion Middleware Oracle HTTP Serverの管理』のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。