8 Oracle Application Server Single Sign-Onとの統合

この章では、ユーザーがOracle Identity Managerにログインする際に、Oracle Application Server（OracleAS）Single Sign-On（Oracle Application Serverのコンポーネント）を使用してユーザーの認証および認可を管理する方法について説明します。

OracleAS Single Sign-Onと通信するためのOracle Application Server OC4J Pluginの設定

Oracle Application ServerとOracleAS Single Sign-Onサーバーが通信できるように、OC4J用のIISプラグインであるOracle Application Server OC4J Pluginをインストールおよび構成する必要があります。Oracle Application Server OC4J Pluginのファイル名はopii.dllです。

Oracle Application Server OC4J Pluginのインストールおよび構成手順

次の手順を実行して、Oracle Application Server OC4J PluginをOracle Technology Network（OTN）からダウンロードします。
1. 次のURLからOTNのWebサイトにアクセスします。
  
  http://www.oracle.com/technology/index.html
2. ページ上部の水平ナビゲーション・メニューの「Downloads」をクリックします。
3. ページの「Middleware」セクションまでスクロールし、「Developer Tools」セクションの「SOA Suite」をクリックします。
4. 「Oracle SOA Suite 10g Release 3 (10.1.3.x)」セクションで「See All」をクリックします。
5. 表示されるページで、License Terms and Export RestrictionsおよびOracle Technology Network Development License Agreementを受け入れます。
6. Oracle SOA Suite 10g Companion (10.1.3.x) CDエントリを開きます。Oracle Application Server OC4J Pluginがコンポーネントとしてリストに表示されます。
7. 該当するオペレーティング・システムの「CD1」をクリックして、Oracle SOA Suite 10g Companion (10.1.3.x) CDのCD1をダウンロードします。
レジストリ・エディタを開き、次の手順を実行します。

注意:
ここでは、regeditを使用するサンプルの手順を示します。
1. 「HKEY_LOCAL_MACHINE」をクリックして、「SOFTWARE」をクリックします。
2. 「Oracle」を右クリックして、「新規」を選択します。「キー」を選択して、opiiと名前を付けます。
3. 「opii」エントリを右クリックして、「新規」を選択します。「文字列値」を選択して、文字列値にlog_fileと名前を付けます。
4. 「log_file」エントリを右クリックして、「修正」を選択します。「文字列の編集」ダイアログ・ボックスが表示されます。
5. 「値のデータ」フィールドに、opiiログ・ファイルを保存するパスを入力し、「OK」をクリックします。
6. 「opii」エントリを右クリックして、「新規」を選択します。
7. 「文字列値」を選択して、文字列値にlog_levelと名前を付けます。このlog_level文字列値はopiiの必要なログ・レベルを指定します。debug、inform、errorおよびemergが有効な値です。
8. 「opii」エントリを右クリックして、「新規」を選択します。「文字列値」を選択して、文字列値にserver_defsと名前を付けます。
9. 文字列値「server_defs」を右クリックし、「修正」を選択します。「文字列の編集」ダイアログ・ボックスが表示されます。
10. opii.confファイルがあるパスを入力します。opii.confファイルは手順11で作成します。
IIS管理コンソールを起動して、OracleAS Single Sign-Onサーバーと通信するIISサーバーのホスト・ノードのエントリを開きます。
「Webサイト」エントリを開いて「既定のWebサイト」エントリを右クリックし、「新規作成」、「仮想ディレクトリ」の順に選択します。仮想ディレクトリの作成ウィザードが表示されます。
「次へ」をクリックして次の手順を実行します。
1. 「エイリアス」フィールドにopiiと入力し、「次へ」をクリックします。
2. 「パス」フィールドにopii.dllファイルがある場所を入力し、「次へ」をクリックします。
3. 「仮想ディレクトリのアクセス許可」画面で「読み取り」、「ASPなどのスクリプトを実行する」および「ISAPIアプリケーションやCGIなどを実行する」の各オプションを選択し、「次へ」をクリックします。「完了」をクリックして、仮想ディレクトリの作成ウィザードを終了します。
次の手順を実行して、opii.dll（Oracle Application Server OC4J Plugin）をフィルタとしてIISのWebサイトに追加します。
1. IIS管理コンソールで、「既定のWebサイト」エントリを右クリックし、「プロパティ」を選択します。既定のWebサイトのプロパティ・ダイアログ・ボックスが表示されます。
2. 「ISAPIフィルタ」タブをクリックして「追加」をクリックします。
3. 「フィルタ名」フィールドにopiiと入力します。
4. 「実行可能ファイル」フィールドにopii.dll（Oracle Application Server OC4J Plugin）の場所へのパスを入力します。
5. フィルタのプロパティの追加/編集ダイアログ・ボックスで「OK」をクリックします。
6. 既定のWebサイトのプロパティ・ダイアログ・ボックスで「OK」をクリックします。
次の手順を実行して、OSSO_HOME\binフォルダでIISグループに権限を付与します。
1. OSSO_HOME\binフォルダを右クリックして、「プロパティ」を選択します。
2. セキュリティ・タブをクリックします。
3. 読取り権限と実行権限を持つIIS_WPGグループを追加します。
次の手順を実行して、IIS管理コンソールからIISサーバーを再起動します。
1. OracleAS Single Sign-Onサーバーと通信するIISサーバーのホスト・ノードを右クリックし、「すべてのタスク」、「IISの再起動」を順に選択します。「IISの停止/開始/再起動」ダイアログ・ボックスが表示されます。
2. 「<IISサーバーの名前>を再起動します」を選択し、「OK」をクリックします。
3. IISサーバーの再起動後に、「既定のWebサイト」を右クリックして「プロパティ」を選択し、「ISAPIフィルタ」タブを選択してopiiフィルタに緑色の上向き矢印が表示されていることを確認して、opii.dll（Oracle Application Server OC4J Plugin）が稼働していることを確認します。
IIS管理コンソールで、「Webサービス拡張」をクリックし、「opii」を選択して「許可」ボタンをクリックします。
次の手順を実行して、ajp13プロトコルのポートを指定します。
1. Oracle Application Serverのホスト・コンピュータで、OAS_HOME\j2ee\OAS_INSTANCE\config\default-web-site-.xmlファイルをテキスト・エディタで開きます。
  
  注意:
  OAS_HOMEは、Oracle Application Serveがインストールされている場所です。OAS_INSTANCEは、Oracle Application Serverインスタンスの名前です。
2. 文字列ajp13を検索します。
3. ajp13のポート番号（8889など）を指定します。
次のエントリを指定したopii.confファイルをopiiディレクトリに作成します。エントリには、OracleAS Single Sign-Onによって保護されるOracle Identity Managerアプリケーション、Oracle Identity Managerのホスト・コンピュータ名（host_nameなど）およびajp13のポート番号（ajp13 port numberなど）をリストします。
```
Oc4jMount /xlWebApp ajp13://host_name:ajp13 port number
Oc4jMount /xlWebApp/* ajp13://host_name:ajp13 port number
Oc4jMount /xlScheduler ajp13://host_name:ajp13 port number
Oc4jMount /xlScheduler/* ajp13://host_name:ajp13 port number
Oc4jMount /Nexaweb ajp13://host_name:ajp13 port number
Oc4jMount /Nexaweb/* ajp13://host_name:ajp13 port number
```

OracleAS Single Sign-Onによるシングル・サインオンのためのOracle Identity Managerの設定

次の手順を実行して、OracleAS Single Sign-Onと統合するためにOracle Identity Managerを設定します。

アプリケーション・サーバーを停止します。
プレーン・テキスト・エディタを起動し、次のファイルを開きます。

OIM_HOME/xellerate/config/xlconfig.xml
次のシングル・サインオン構成（シングル・サインオンなしのデフォルト設定）を検索します。
```
<web-client>
<Authentication>Default</Authentication>
<AuthHeader>REMOTE_USER</AuthHeader>
</web-client>
```
次のようにして、シングル・サインオン構成を編集します。
```
<web-client>
<Authentication>SSO</Authentication>
<AuthHeader>osso-username</AuthHeader>
</web-client>
```
ASCII以外の文字のログインによるシングル・サインオンを有効化するには、ASCII以外のヘッダー値をデコードするデコード・クラス名を含める必要があります。次のようにデコード・クラス名を追加してシングル・サインオン構成を編集します。
```
<web-client>
<Authentication>SSO</Authentication>
<AuthHeader>osso-username</AuthHeader>
<AuthHeaderDecoder>com.thortech.xl.security.auth.CoreIDSSOAuthHeaderDecoder</AuthHeaderDecoder>
</web-client>
```
アプリケーション・サーバーを再起動します。

Oracle Identity Managerユーザー用のSingle Sign-Onユーザー・アカウントの作成

OracleAS Single Sign-Onを認証に使用するOracle Identity Managerユーザーごとに、Oracle Internet Directoryにエントリを作成する必要があります。Oracle Internet Directoryは、すべてのOracleAS Single Sign-Onユーザー・アカウントおよびパスワードのリポジトリです。OracleAS Single Sign-Onサーバーは、ユーザーをOracle Internet Directoryのエントリに対して認証します。

次の手順を実行して、OracleAS Single Sign-Onを認証に使用するOracle Identity Managerユーザーごとに、Oracle Internet Directoryにエントリを作成します。

次のURLからOracle Delegated Administration Servicesのホームページにログインします。
```
http://host:port/oiddas/
```
この例では、hostはOracle Delegated Administration Servicesがあるコンピュータ名であり、portはそのサーバーのポート番号です。通常、Oracle Delegated Administration ServicesとOracleAS Single Sign-Onのホスト名は同じです。
「ディレクトリ」タブを選択します。
「ユーザー」タブで「作成」をクリックします。
次のフィールドに情報を入力して、Oracle Identity Managerユーザーに関する情報を作成します。
- 名
- 姓
- ユーザーID
  
  注意:
  ユーザーIDは、Oracle Identity ManagerのユーザーIDと同じである必要があります。
- 電子メール
- パスワード: OracleAS Single Sign-On用（および2回入力して確認）
「発行」ボタンをクリックしてユーザーを作成します。