この章では、ユーザーがOracle Identity Managerにログインする際に、Oracle Application Server(OracleAS)Single Sign-On(OracleASのコンポーネント)を使用してユーザーの認証および認可を管理する方法について説明します。
関連資料: OracleAS Single Sign-Onのデプロイ方法の詳細は、『Oracle Application Server Single Sign-On管理者ガイド』を参照してください。 |
この章では、OracleAS Single Sign-OnおよびOracle Identity Managementのインフラストラクチャに精通していることと、アプリケーション・サーバー、Webサーバー、Oracle Identity Manager、OracleAS Single Sign-On、Oracle Internet Directoryなどの必要なコンポーネントがすでにインストールされていることを前提としています。
重要: Oracle Identity ManagerおよびOracleAS Single Sign-On環境では、アプリケーション・サーバーやWebサーバーなど、様々に異なる構成が可能です。この章では、構成の一例を示すために、Oracle Containers for J2EE(OC4J)アプリケーション・サーバーおよびOracle Application Server OC4J Internet Information Server(IIS)Pluginを使用してOracleAS Single Sign-Onと統合する方法について説明します。この章の情報は、IISバージョン6.0に基づいています。 シングル・サインオンの構成方法の詳細は、アプリケーション・サーバーおよびWebサーバーのベンダーのドキュメントを参照してください。 |
この章では、次の内容について説明します。
Oracle Application Server OC4J Pluginをインストールおよび構成する必要があります。このプラグインは、OC4J用のIISプラグインであるため、OC4Jアプリケーション・サーバーはOracleAS Single Sign-Onサーバーと通信できます。Oracle Application Server OC4J Pluginのファイル名はopii.dllです。
次の手順を実行して、Oracle Application Server OC4J Pluginをインストールおよび構成します。
次の手順を実行して、Oracle Application Server OC4J PluginをOracle Technology Network(OTN)からダウンロードします。
次のURLからOTNのWebサイトにアクセスします。
ページ上部の水平ナビゲーション・メニューの「Downloads」をクリックします。
ページの「Middleware」セクションまでスクロールし、「Developer Tools」セクションの「SOA Suite」をクリックします。
「Oracle SOA Suite 10g Release 3 (10.1.3.1.0)」セクションで「See All」をクリックします。
Oracle SOA Suite 10g Companion CDエントリを開くと、Oracle Application Server OC4J Pluginがコンポーネントとしてリストに表示されます。
該当するオペレーティング・システムの「CD1」をクリックして、Oracle SOA Suite 10g Companion CDのCD1をダウンロードします。
レジストリ・エディタを開き、次の手順を実行します。
注意: ここでは、regeditを使用するサンプルの手順を示します。 |
「HKEY_LOCAL_MACHINE」、「SOFTWARE」を順にクリックし、「Oracle」を右クリックして「新規」、「キー」を順に選択し、「opii」と名前を付けます。
「opii」エントリを右クリックして「新規」、「文字列値」を順に選択し、文字列値に「log_file」と名前を付けます。
「log_file」エントリを右クリックして「修正」を選択します。「文字列の編集」ダイアログ・ボックスが表示されます。
「値のデータ」フィールドに、opiiログ・ファイルを保存する場所へのパスを入力し、「OK」をクリックします。
「opii」エントリを右クリックして「新規」、「文字列値」を順に選択し、文字列値に「log_level」と名前を付けます。このlog_level文字列値はopiiの必要なログ・レベルを指定し、debug、inform、errorおよびemergが有効な値です。
「opii」エントリを右クリックして「新規」、「文字列値」を順に選択し、文字列値に「server_defs」と名前を付けます。
文字列値「server_defs」を右クリックし、「修正」を選択します。「文字列の編集」ダイアログ・ボックスが表示されます。
opii.confファイルがある場所へのパスを入力します。opii.confファイルは手順9で作成します。
IIS管理コンソールを起動してOracleAS Single Sign-Onサーバーと通信するIISサーバーのホスト・ノードのエントリを開き、「Webサイト」エントリを開いて「既定のWebサイト」エントリを右クリックし、「新規作成」、「仮想ディレクトリ」を順に選択します。仮想ディレクトリの作成ウィザードが表示されます。「次へ」をクリックして次の手順を実行します。
「エイリアス」フィールドに「opii」と入力し、「次へ」をクリックします。
「パス」フィールドにopii.dllファイルがある場所を入力し、「次へ」をクリックします。
「仮想ディレクトリのアクセス許可」画面で「読み取り」、「ASPなどのスクリプトを実行する」および「ISAPIアプリケーションやCGIなどを実行する」の各オプションを選択し、「次へ」をクリックします。「完了」をクリックして、仮想ディレクトリの作成ウィザードを終了します。
次の手順を実行して、opii.dll(Oracle Application Server OC4J Plugin)をフィルタとしてIISのWebサイトに追加します。
IIS管理コンソールで、「既定のWebサイト」エントリを右クリックし、「プロパティ」を選択します。既定のWebサイトのプロパティ・ダイアログ・ボックスが表示されます。
「ISAPIフィルタ」タブを選択して「追加」をクリックします。
「フィルタ名」フィールドに「opii」と入力します。
「実行可能ファイル」フィールドにopii.dll(Oracle Application Server OC4J Plugin)の場所へのパスを入力します。
フィルタのプロパティの追加/編集ダイアログ・ボックスで「OK」をクリックします。既定のWebサイトのプロパティ・ダイアログ・ボックスで「OK」をクリックします。
次の手順を実行して、<OSSO_HOME>\binフォルダでIISグループに権限を付与します。
<OSSO_HOME>\binフォルダを右クリックして、「プロパティ」を選択します。
セキュリティ・タブを選択します。
読取り権限と実行権限を持つIIS_WPGグループを追加します。
次の手順を実行して、IIS管理コンソールからIISサーバーを再起動します。
OracleAS Single Sign-Onサーバーと通信するIISサーバーのホスト・ノードを右クリックし、「すべてのタスク」、「IISの再起動」を順に選択します。「IISの停止/開始/再起動」ダイアログ・ボックスが表示されます。
「<IISサーバーの名前>を再起動します」を選択し、「OK」をクリックします。
IISサーバーの再起動後に、「既定のWebサイト」を右クリックして「プロパティ」を選択し、「ISAPIフィルタ」タブを選択してopiiフィルタに緑色の上向き矢印が表示されていることを確認して、opii.dll(Oracle Application Server OC4J Plugin)が稼働していることを確認します。
IIS管理コンソールで、「Webサービス拡張」をクリックし、「opii」を選択して「許可」ボタンをクリックします。
次の手順を実行して、ajp13プロトコルのポートを指定します。
OC4Jアプリケーション・サーバーのホスト・マシンで、<OC4J_HOME>\j2ee\<OC4J_INSTANCE>\config\default-web-site-.xmlファイルをテキスト・エディタで開きます。
注意: <OC4J_HOME>は、OC4Jがインストールされている場所です。<OC4J_INSTANCE>は、OC4Jインスタンスの名前です。 |
文字列ajp13を検索します。
ajp13のポート番号(8889など)を指定します。
次のエントリを指定したopii.confファイルをopiiディレクトリに作成します。エントリには、OracleAS Single Sign-Onによって保護されるOracle Identity Managerアプリケーション、Oracle Identity Managerのホスト・マシン名(host_nameなど)およびajp13のポート番号(ajp13 port numberなど)をリストします。
Oc4jMount /xlWebApp ajp13://host_name:ajp13 port number Oc4jMount /xlWebApp/* ajp13://host_name:ajp13 port number Oc4jMount /xlScheduler ajp13://host_name:ajp13 port number Oc4jMount /xlScheduler/* ajp13://host_name:ajp13 port number Oc4jMount /Nexaweb ajp13://host_name:ajp13 port number Oc4jMount /Nexaweb/* ajp13://host_name:ajp13 port number
次の手順を実行して、OracleAS Single Sign-Onと統合するためにOracle Identity Managerを設定します。
アプリケーション・サーバーを正常に停止します。
プレーン・テキスト・エディタを起動し、次のファイルを開きます。
<XL_HOME>\xellerate\config\xlconfig.xml
次のシングル・サインオン構成(シングル・サインオンなしのデフォルト設定)を探します。
<web-client> <Authentication>Default</Authentication> <AuthHeader>REMOTE_USER</AuthHeader> </web-client>
次のようにして、シングル・サインオン構成を編集します。
<web-client> <Authentication>SSO</Authentication> <AuthHeader>osso-username</AuthHeader> </web-client>
ASCII以外の文字のログインによるシングル・サインオンを有効化するには、ASCII以外のヘッダー値をデコードするデコード・クラス名を含める必要があります。次のようにデコード・クラス名を追加してシングル・サインオン構成を編集します。
<web-client> <Authentication>SSO</Authentication> <AuthHeader>osso-username</AuthHeader> <AuthHeaderDecoder>com.thortech.xl.security.auth.CoreIDSSOAuthHeaderDecoder</AuthHeaderDecoder> </web-client>
アプリケーション・サーバーを再起動します。
OracleAS Single Sign-Onを認証に使用するOracle Identity ManagerユーザーごとにエントリをOracle Internet Directoryに作成する必要があります。Oracle Internet Directoryは、すべてのOracleAS Single Sign-Onユーザー・アカウントおよびパスワードのリポジトリです。OracleAS Single Sign-Onサーバーは、ユーザーをOracle Internet Directoryのエントリに対して認証します。
次の手順を実行して、OracleAS Single Sign-Onを認証に使用するOracle Identity ManagerユーザーごとにエントリをOracle Internet Directoryに作成します。
次のURLからOracle Delegated Administration Servicesのホームページにログインします。
http://host:port/oiddas/
hostはOracle Delegated Administration Servicesがあるコンピュータ名、portはそのサーバーのポート番号です。Oracle Delegated Administration ServicesとOracleAS Single Sign-Onのホスト名は、通常、同じです。
「ディレクトリ」タブを選択します。
「ユーザー」タブで「作成」をクリックします。
次のフィールドに情報を入力して、Oracle Identity Managerユーザーに関する情報を作成します。
名
姓
ユーザーID
注意: ユーザーIDは、Oracle Identity ManagerのユーザーIDと同じである必要があります。 |
電子メール
パスワード: OracleAS Single Sign-On用(および2回入力して確認)
「発行」ボタンをクリックしてユーザーを作成します。