3 IIS 12c WebGate for OAMのインストールと構成
この章では、次の項目について説明します。
IIS 12c WebGateのインストールの概要
IIS 12c WebGate for Oracle Access Managerをインストールするステップは次のとおりです:
- IIS Webサーバーのインストール
- IIS 12c WebGate for Oracle Access Managerのインストール
- インストール後の構成ステップの実行
- IIS 12c WebGateのインストールの検証
- 新規WebGateエージェントの登録
IIS 12c WebGateの前提条件
この項の内容は、次のとおりです。
Oracle Fusion Middleware動作保証
Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDK、Oracle Identity and Access Management 12cに関連するサード・パーティ製品など、Oracle Fusion Middlewareの動作保証の情報があります。
Oracle Fusion Middlewareでサポートされるシステム構成ドキュメントにアクセスするには、次のOracle Technology Network (OTN)のWebサイトを検索してください。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
親トピック: IIS 12c WebGateの前提条件
Visual Studio 2010および2012のVisual C++再頒布可能パッケージのインストール
vcredist_x64.exe
をインストールする必要があります。
警告:
Visual Studio 2010および2012用のVisual C++再頒布可能ファイルをインストールしていない場合、IIS 12c WebGateのインストール中に、「サポートされているMS Visual C++バージョンは、このマシンでは使用できません」という警告が表示されます。ダウンロード、インストールおよび構成に関する詳細は、Microsoftダウンロード・ページおよび製品ドキュメントを参照してください。
親トピック: IIS 12c WebGateの前提条件
IISのインストールおよび構成
IISのインストールおよび構成に関する詳細は、Microsoft HTTP Serverの製品ドキュメントを参照してください。
親トピック: IIS 12c WebGateの前提条件
OAM 12cのインストールおよび構成
Oracle Access Manager (OAM)のインストールについては、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementソフトウェアのインストールおよび構成に関する項を参照してください。
新規または既存のWebLogic管理ドメインでのOracle Access Managerの構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementの構成に関する項を参照してください。
OPENモード、SIMPLEモードまたはCERTモードでのOracle Access Managerの構成の詳細は、Oracle Fusion Middleware Oracle Access Manager管理者ガイドの通信の保護に関する項を参照してください。
親トピック: IIS 12c WebGateの前提条件
IIS 12c WebGateのインストール
この項では、次の項目について説明します。
ソフトウェアの入手
IIS 12cソフトウェアの入手については、Oracle Fusion Middlewareのダウンロード、インストールおよび構成のReadMeを参照してください。
親トピック: IIS 12c WebGateのインストール
IIS 12c WebGateインストーラの起動
インストール・ウィザードを起動するには、次の作業を実行します。
インストーラが起動したら、「ようこそ」画面が表示されます。「IIS 12c WebGateのインストール・フローおよび手順」を参照して、インストールを続行します。
親トピック: IIS 12c WebGateのインストール
IIS 12c WebGateのインストール・フローおよび手順
IIS 12c WebGate for Oracle Access Managerをインストールするには、表3-1の手順に従ってください。
インストール画面に関して詳細な情報が必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプを参照してください。
表3-1 IIS WebGateのインストール・フロー
No. | 画面 | 説明および必要なアクション |
---|---|---|
1 |
「ようこそ」画面 |
「次」をクリックして続行します。 |
2 |
「前提条件のチェック」画面 |
「次」をクリックして続行します。 |
3 |
「インストール場所の指定」画面 |
MiddlewareホームおよびOracleホームの場所を指定します。 これらのディレクトリの詳細は、『Oracle Fusion Middlewareのインストールのプランニング』のインストールの開始点の理解に関する項を参照してください。 IIS WebGateのOracleホームは、任意の有効なディレクトリ(必ずしもMiddlewareホーム内ではない)です。そのため、Middlewareホームを指定しなかった場合や、無効なMiddlewareホームを指定した場合、インストーラはエラーなしで続行されます。 「次」をクリックして続行します。 |
4 |
「インストール・サマリー」画面 |
画面の情報を確認します。 「インストール」をクリックしてインストールを開始します。 |
5 |
「インストールの進行状況」画面 |
「次」をクリックして続行します。 |
6 |
「インストール完了」画面 |
「終了」をクリックしてインストーラを終了します。 |
親トピック: IIS 12c WebGateのインストール
IIS 12c WebGateのインストール後のステップ
この項には次のトピックが含まれます:
IIS WebGateインスタンスのデプロイ
WebGateのOracleホーム・ディレクトリにあるdeployWebGateInstance.sh
ツールを使用して、IIS WebGateインスタンスを作成します。作成している、または提供したWebGateインスタンス・ディレクトリは、空である必要があります。
WebGateインスタンスをデプロイするには、次の作業を実行します。
親トピック: IIS 12c WebGateのインストール後のステップ
ConfigureIISWebGate.batツールの実行
ConfigureIISWebGate.bat
ツールを実行するには、次の操作を行います。
親トピック: IIS 12c WebGateのインストール後のステップ
IIS 12c WebGateのインストールおよび構成の検証
IIS 12c WebGate for Oracle Access Managerをインストールしたら、installDATE-TIME_STAMP.out
ログ・ファイルを調べてインストールを検証できます。ログのデフォルトの場所は、次のファイルの中です。
WebGate_Home
/oraInst.loc
新規のIIS 12c WebGateの開始
Oracle Access Manager向けに新規のIIS 12C WebGateエージェントを使用する前に、次のタスクを完了する必要があります:
- 新規IIS 12c WebGateの登録
Oracle Access ManagerのWebGateコンポーネントは、高可用性環境を使用して、単一障害点をなくし、ロード・バランサ(LBR)を使用してワークロードを分散します。OAMを登録する必要があるのは一度のみで、結果として得られるアーティファクトはすべて、LBRの背後にあるOAM WebGatesによって使用されます。 - 生成済のファイルおよびアーティファクトのIIS WebGateインスタンスの場所へのコピー
新規のIIS 12c WebGateの登録
Oracle Access ManagerのWebGateコンポーネントは、高可用性環境を使用して、単一障害点をなくし、ロード・バランサ(LBR)を使用してワークロードを分散します。OAMを登録する必要があるのは一度のみで、結果として得られるアーティファクトはすべて、LBRの背後にあるOAM WebGatesによって使用されます。
次のいずれかのオプションを使用して、新しいIIS WebGate 12cをOracle Access Managerに登録できます:
Oracle Access Manager管理コンソール
Oracle Access Managerコンソールを使用したWebGateエージェントの登録の詳細は、『Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
RREGツール
RREGツールを使用したWebGateエージェントの登録の詳細は、次を参照してください:
- RREGツールの場所と準備
- OAM12cRequest.xmlファイルの更新
- RREGツールの実行
- RREGによって生成されるファイルおよびアーティファクト
- 以前のバージョンのファイルの削除
新しいバージョンのIIS Webgateをインストールしたら、構成フォルダ内の古いファイルを手動で削除する必要があります。 - IISインスタンスの再起動
親トピック: 新規IIS 12c WebGateの開始
RREGツールの場所と準備
RREGツールを設定するには、次のステップを実行します。
-
アプリケーション層でOracle Access Managerホストの1つにログインします。
-
Oracle Access Manager Oracleホームの次のディレクトリに、ディレクトリを変更します。
ノート:
場所はアウトオブバンド・モードの場合のみ必要です。OAM_ORACLE_HOME/oam/server/rreg/client
この例では、OAM_ORACLE_HOMEはOracle Access ManagerソフトウェアがインストールされたシステムのOracleホームです。
ノート:
『Oracle Enterprise IDMデプロイメント・ガイド』が使用されている場合、OAM_ORACLE_HOMEは/u01/oracle/products/access/iam
になる可能性があります。ノート:
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用して必要なファイルを生成し、WebGateをOracle Access Managerに登録できます。「RREGのインバンドおよびアウトオブバンド・モードについて」を参照してください。 -
RREG.tar.gz
ファイルを必要なディレクトリに解凍します。 -
解凍されたディレクトリから、
oamreg.sh
ファイルを開き、次の環境変数を次のようにファイルに設定します。-
OAM_REG_HOME
を、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。JDK_HOME
を、サポート対象のJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
-
親トピック: 新規IIS 12c WebGateの登録
OAM12cRequest.xmlファイルの更新
RREG_Home
\input
ディレクトリ内(Windowsの場合)のOAM12cRequest.xml
ファイルで、agentName
などのエージェント・パラメータを更新する必要があります。UNIXでは、このファイルはRREG_Home
/input
ディレクトリ内にあります。
ノート:
OAM12cRequest.xml
ファイル、またはショート・バージョンOAM12cRequest_short.xml
は、テンプレートとして使用されます。このテンプレート・ファイルをコピーして使用できます。
OAM12cRequest.xml
ファイルまたはOAM12cRequest_short.xml
ファイル内の次の必須パラメータの値を変更します。
-
serverAddress
OAM管理サーバーのホストとポートを指定します。
-
agentName
エージェントのカスタム名を指定します。
-
agentBaseUrl
Oracle Traffic Director 12c (12.2.1.4.0) WebGateがインストールされているマシンのホストとポートを指定します。
-
preferredHost
Oracle Traffic Director 12c (12.2.1.4.0) WebGateがインストールされているマシンのホストとポートを指定します。
-
security
インストールされているWebGateに基づいて、
open
などのセキュリティ・モードを指定します。 -
primaryServerList
Server
コンテナ要素の下にある、Oracle Access Managerプロキシに対する管理対象サーバーのホストとポートを指定します。
このファイルは、変更後に保存して閉じます。
親トピック: 新規IIS 12c WebGateの登録
RREGツールの実行
次のトピックでは、RREGツールを実行してOracle Access ManagerにIIS WebGateを登録する方法について説明します。
親トピック: 新規IIS 12c WebGateの登録
RREGインバンドおよびアウトオブバンド・モードについて
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれか1つで実行できます。
Oracle Access Managerサーバーにアクセスして、Oracle Access Manager Oracleホームから自分でRREGツールを実行する権限がある場合は、インバンド・モードを使用します。RREGツールの実行後に、生成されたアーティファクトとファイルをWebサーバーの構成ディレクトリにコピーできます。
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合は、アウトオブバンド・モードを使用します。たとえば、一部の組織では、Oracle Access Managerサーバー管理者のみが、サーバー・ディレクトリにアクセスしてサーバーでの管理タスクを実行する権限を持ちます。アウトオブバンド・モードでは、プロセスは次のように機能します。
-
Oracle Access Managerサーバー管理者からRREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。
サーバー管理者は、「OAM12cRequest.xmlファイルの更新」に記載されている場所で見つけることができます。
-
サーバー管理者から提供された
RREG.tar.gz
ファイルを展開します。たとえば:
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、次の場所にエージェントを登録するためのツールを見つけることができます。
RREG_HOME
/bin/oamreg.sh
この例では、
RREG_Home
は、RREGアーカイブの内容を展開したディレクトリです。 -
「OAM11gRequest.xmlファイルでの標準プロパティの更新」の手順で
OAM12cRequest.xml
ファイルを更新し、完成したOAM12cRequest.xml
ファイルをOracle Access Managerサーバー管理者に送信します。 -
次に、Oracle Access Managerサーバー管理者は「アウトオブバンド・モードでのRREGツールの実行」の手順を使用してRREGツールを実行し、
AgentID_response.xml
ファイルを生成します。 -
Oracle Access Managerサーバー管理者はユーザーに
AgentID_response.xml
ファイルを送信します。 -
「アウトオブバンド・モードでのRREGツールの実行」の手順を使用して
AgentID_response.xml
ファイルでRREGツールを実行し、クライアント・システムに必要なアーティファクトとファイルを生成します。
親トピック: RREGツールの実行
RREGツールをインバンド・モードで実行
RREGツールをインバンド・モードで実行するには:
-
RREGホーム・ディレクトリに移動します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所になります。
-
RREGホーム・ディレクトリで、binディレクトリに移動します。
cd RREG_HOME/bin/
-
ファイルを実行できるように、
oamreg.sh
コマンドの権限を設定します。chmod +x oamreg.sh
-
次のコマンドを実行します。
./oamreg.sh inband RREG_HOME/input/OAM12cRequest_edg.xml
この例では、次のようになります。
-
編集された
OAM12cRequest.xml
ファイルがRREG_HOME/input
ディレクトリに配置されていることが前提となります。 -
このコマンドの出力は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例はRREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool!
Parameters passed to the registration tool are:
Mode: inband
Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM12cRequest_edg.xml
Enter admin username:weblogic_idm
Username: weblogic_idm
Enter admin password:
Do you want to enter a Webgate password?(y/n):
n
Do you want to import an URIs file?(y/n):
n
----------------------------------------
Request summary:
OAM12c Agent Name:SOA12214_EDG_AGENT
Base URL: https://soa.example.com
:443
URL String:null
Registering in Mode:inband
Your registration request is being sent to the Admin server at: http://host1.example.com:7001
----------------------------------------
Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit
INFO: JpsUtil: isAuditDisabled set to true
Inband registration process completed successfully! Output artifacts are created in the output folder.
親トピック: RREGツールの実行
RREGツールをアウトオブバンド・モードで実行
WEBHOSTサーバーでRREGツールをアウトオブバンド・モードで実行するために、管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM12cRequest.xml
この例では、次のようになります。
-
RREG_HOMEを、サーバーでRREGアーカイブ・ファイルが解凍された場所で置き換えます。
-
編集された
OAM12cRequest.xml
ファイルは、RREG_HOME/input
ディレクトリに配置されています。 -
RREGツールにより、このコマンドの出力(
AgentID_response.xml
ファイル)は次のディレクトリに保存されます。RREG_HOME/output/
Oracle Access Managerサーバー管理者は、
OAM12cRequest.xml
ファイルを提供したユーザーにAgentID_response.xml
を送信できます。
Webサーバーのクライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例では、次のようになります。
-
RREG_HOMEを、クライアント・システムでRREGアーカイブ・ファイルを解凍した場所で置き換えます。
-
Oracle Access Managerサーバー管理者によって提供された
AgentID_response.xml
ファイルは、 RREG_HOME/inputディレクトリにあります。 -
RREGツールでは、このコマンドの出力(WebGateソフトウェアの登録に必要なアーティファクトとファイル)がクライアント・マシンの次のディレクトリに保存されます。
RREG_HOME/output/
親トピック: RREGツールの実行
RREGによって生成されるファイルおよびアーティファクト
新規WebGateエージェントの登録に使用する方法またはモードに関係なく、次のファイルおよびアーティファクトがRREG_Home
/output/
Agent_ID
ディレクトリに生成されます。
-
cwallet.sso
-
ObAccessClient.xml
-
SIMPLEモードの場合、RREGによって次のものが生成されます。
-
password.xml
。SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと同じものを使用できます。 -
aaa_key.pem
-
aaa_cert.pem
-
-
CERTモードの場合、RREGによって
password.xml
ファイルが生成されます。これには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。ノート:
RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存の
aaa_cert.pem
およびaaa_chain.pem
ファイルをpassword.xml
およびaaa_key.pem
と合せて使用する必要があります。
親トピック: 新規IIS 12c WebGateの登録
以前のバージョンのファイルの削除
新しいバージョンのIIS Webgateをインストールしたら、構成フォルダ内の古いファイルを手動で削除する必要があります。
ステップは次のとおりです。
{Oracle_OAMWebGate1}/webgate/IIS/config
ディレクトリに移動します。np{previous_rel}_wg.txt
ファイルを削除します。ここで、{previous_rel}はアップグレード元の以前のリリースのバージョン番号です。
親トピック: 新規IIS 12c WebGateの登録
IISインスタンスの再起動
Apacheインスタンスを起動する場合はstartserv
コマンド、停止する場合はstopserv
コマンドを使用します。
サーバーを停止するには、次のコマンドを実行します。
/
home
/bin/stopserv
サーバーを起動するには、次のコマンドを実行します。
export LD_LIBRARY_PATH=/
WebGate_Home
/lib
/
home
/bin/startserv
IISインスタンスを再起動するには、実行中のすべてのインスタンスを停止した後、startコマンドを実行します。
親トピック: 新規IIS 12c WebGateの登録
生成済のファイルおよびアーティファクトのIIS WebGateインスタンスの場所へのコピー
RREGがこれらのファイルおよびアーティファクトを生成した後、使用しているセキュリティ・モードに基づき、手動でこれらをRREG_Home
/output/
Agent_ID
ディレクトリからWebGate_Instance_Home
ディレクトリにコピーする必要があります。
使用しているセキュリティ・モードに従って、次の操作を行います。
-
OPENモードの場合、次のファイルを
RREG_Home
/output/
Agent_ID
ディレクトリからWebGate_Instance_Home
/webgate/config
ディレクトリにコピーします:-
ObAccessClient.xml
-
cwallet.sso
-
-
SIMPLEモードの場合、次のファイルを
RREG_Home
/output/
Agent_ID
ディレクトリからWebGate_Instance_Home
/webgate/config
ディレクトリにコピーします:-
ObAccessClient.xml
-
cwallet.sso
-
password.xml
さらに、次のファイルを
RREG_Home
/output/
Agent_ID
ディレクトリからWebGate_Instance_Home
/webgate/config/simple
ディレクトリにコピーします:-
aaa_key.pem
-
aaa_cert.pem
-
-
CERTモードの場合、次のファイルを
RREG_Home
/output/
Agent_ID
ディレクトリからWebGate_Instance_Home
/webgate/config
ディレクトリにコピーします:-
ObAccessClient.xml
-
cwallet.sso
-
password.xml
-
既存の証明書の移行
既存の証明書(aaa_key.pem、aaa_cert.pem
およびaaa_chain.pem
)を移行する場合、aaa_key.pem
を暗号化する際に使用したものと同じパスフレーズを使用してください。同じパスフレーズをRREG登録処理中に入力する必要があります。同じパスフレーズを使用しないと、RREGによって生成されたpassword.xml
ファイルが、キーの暗号化に使用されたパスフレーズと一致しません。
同じパスフレーズを入力したら、これらの証明書を次のようにコピーできます。
-
webgate_instanceDirectory
/webgate/config
ディレクトリに移動します。 -
次の証明書を
webgate_instanceDirectory
/webgate/config
ディレクトリにコピーします。-
aaa_key.pem
-
aaa_cert.pem
-
aaa_chain.pem
-
IIS Webサーバーの起動およびIISリソースへのアクセス
IIS Webサーバーを起動するには:
-
「スタート」メニューから「実行」を選択し、
「inetmgr」
と入力します。 -
IISサイトを選択し、「開始」を選択してIISサイトを起動します。
IIS Webサーバーを起動したら、次のURLを使用してログインします。
http://
machine_name.my.company.com:port
WebGateにより、リクエストが捕捉され、ユーザーがOracle Access Managerコンソールにリダイレクトされます。ユーザー名とパスワードを入力すると、Microsoft HTTP Serverにリダイレクトされます。
IIS 12c WebGateのアンインストール
IIS 12c WebGateを削除するときは、この項で説明する手順に必ず従ってください。ソフトウェアを手動で削除しようとすると、後で再度ソフトウェアをインストールする際に問題が発生する可能性があります。この章の手順に従うと、ソフトウェアを適切にアンインストールできます。
IIS WebGateをアンインストールするには、次の作業を実行します。
インストーラが起動したら、「ようこそ」画面が表示されます。「アンインストール画面と手順」を参照して、アンインストールを続行します。
アンインストール画面と手順
表4-2の指示に従って、アンインストールを完了します。
アンインストール画面に関して詳細な情報が必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプを参照してください。
表3-2 アンインストールのフロー
Sl.No. | 画面 | 説明 | 必要なアクション |
---|---|---|---|
1. |
ようこそ |
アンインストーラが起動するたびに、「ようこそ」画面が表示されます。 |
「次」をクリックします。 |
2. |
Oracleホームのアンインストール |
「Oracleホームの削除」画面に、アンインストールするOracleホームが表示されます。 |
アンインストールするOracleホームを確認します。 「アンインストール」をクリックします。 「警告」画面で、ソフトウェアとともにOracleホーム・ディレクトリも削除するかどうかを選択します。 アンインストーラによってソフトウェアとOracleホームを削除する場合は「はい」を、ソフトウェアのみを削除する場合は「いいえ」を、前の画面に戻る場合は「取消」をクリックします。 「いいえ」を選択した場合は、「Oracleホーム・ディレクトリの手動削除」に進み、Oracleホーム・ディレクトリを手動で削除する手順に従います。 |
3. |
アンインストールの進行状況 |
「削除の進捗」画面には、削除の進捗状況およびステータスが表示されます。 |
「削除完了」画面が表示されるまで待ちます。 |
4. |
アンインストール完了 |
アンインストールが完了すると、「削除完了」画面が表示されます。 |
「終了」をクリックして画面を終了します。 |
親トピック: IIS 12c WebGateのアンインストール
アンインストール・ウィザード画面のナビゲート
アンインストール・ウィザードには、ソフトウェアの削除を確認する一連の画面が表示されます。「アンインストール・ウィザード画面のナビゲート」を参照してください。
親トピック: IIS 12c WebGateのアンインストール
Oracleホーム・ディレクトリの手動削除
アンインストール中に警告画面で「いいえ」を選択した場合は、WebGate_Home
ディレクトリとすべてのサブディレクトリを手動で削除する必要があります。
たとえば:
UNIXで、Oracle WebGateホーム・ディレクトリが/home/Oracle/Middleware/Oracle_OAMWebGate1
だった場合は、次のコマンドを実行します:
cd /home/Oracle/Middleware/
rm -rf Oracle_OAMWebGate1
親トピック: IIS 12c WebGateのアンインストール