| Oracle Access Manager統合ガイド 10g(10.1.4.2.0) E05809-01 |
|
 戻る |
 次へ |
この章では、Oracle Access ManagerとmySAP.com E-businessプラットフォームとの統合について説明します。
この章では、次の内容について説明します。
Oracle Access ManagerをmySAPに統合することにより、すべてのmySAP Webベース・アプリケーションと、Oracle Access Managerで保護されたその他の企業リソースとアプリケーション全体で、Oracle Access Managerの機能が使用できるようになります。
Oracle Access ManagerとmySAPを統合すると、次のOracle Access Manager機能をmySAPの実装に対して使用できます。
mySAPアプリケーションとアクセス・システムで保護された他のリソースに対するアクセス・システムのシングル・サインオン(SSO)
mySAPアプリケーションに対する認証サービス、認可サービス、監査サービス
mySAPアプリケーションにシングル・サインオンを提供する次のアクセス・システム認証スキーム
フォーム
Basic
カスタム
X509証明書
統合Windows認証
ID管理用にアイデンティティ・システムを使用する機能
アイデンティティ・システムは、ポータルの挿入、委任管理、ワークフロー、mySAPなどのアプリケーションへの自己登録など、ID管理機能を提供します。
アクセス・システムのシングル・サインオンとmySAPとの統合には、次の項で説明するSAPのコンポーネントが関係します。
SAP Internet Transaction Server(ITS)は、Webフロントエンドを提供してSAP R/3アプリケーションからのデータへのアクセスを許可するmySAP.comコンポーネントです。SAP R/3には、mySAP.com E-businessプラットフォーム用のエンタープライズ・リソース・プランニング(ERP)機能が用意されています。
SAP ITSは、AGateとWGateという2つの主要なコンポーネントから構成されています。
AGateは、SAP R/3の画面や機能モジュールをHTMLにマップするなどのセッション管理を行います。AGateは、タイムアウト処理やSAP R/3接続プーリングなどのWebセッションを管理します。SAP R/3の情報に基づいて、WGateに転送されるHTMLドキュメントを生成します。
WGateはリクエストをAGateに渡し、AGateからHTMLページを受信します。WGateは、Apache、Netscape Server Application Programming Interface(NSAPI)、Internet Server Application Programming Interface(ISAPI)など、様々なHTTPサーバー・インタフェースをサポートします。
Pluggable Authentication Service(PAS)は、SAPとサード・パーティ・セキュリティ・プロバイダ間のシングル・サインオンに使用されるInternet Transaction Serverの一部です。PASにより、Oracle Access ManagerはSAP.comリソースにアクセスしようとするユーザーを認証できます。
次の図は、Oracle Access ManagerとSAP ITSおよびSAP Enterprise Portalの統合を示したものです。次に示すプロセスの概要では、アクセス・システムによって保護されたリソースに対して、最初にユーザー認証を行う場合のシナリオを説明します。認証されると、このユーザーはSAPリソースへのアクセスを許可されます。
ユーザーが、会社のサーバーのコンテンツまたはアプリケーションにアクセスしようとします。
WebGateはリクエストを捕捉し、アクセス・サーバーに対してセキュリティ・ポリシーの問合せを行い、リソースが保護されているかどうかを確認します。
セキュリティ・ポリシーは、認証スキーム、認可ルール、許可された操作から構成されます。認証と認可の成否に基づいて、指定されたアクションが実行されます。
リソースが保護されている場合、ユーザーに対して認証の資格証明を要求するウィンドウがWebGateによって表示されます。
WebGateがリクエストする資格証明は、アクセス・システムに構成された認証スキーム(Basic over LDAPまたはフォーム・ベースの認証など)によって異なります。
資格証明が検証されると、アクセス・システムはユーザーを認証し、ユーザーのブラウザに暗号化されたObSSOCookieを設定します。
ユーザーが認証されると、アクセス・システムに定義された認可ルールがセキュリティ・ポリシーに基づいて適用されます。
認可ルールに基づいて、特定のアクションが実行されます。ユーザーが認可されると、リクエストされたコンテンツへのアクセスが許可されます。
ユーザーが認証されない場合または認可されない場合、ユーザーはアクセスを拒否され、管理者によって指定された別のURLにリダイレクトされます。
ユーザーは、Oracle Access Manager固有のITS PASサービスのURLを入力します。
mySAPとの統合の場合、ITS固有のHTTPヘッダー変数が作成され、Oracle Access ManagerとSAP R/3間でマップされた一意のユーザーID情報が設定されます。
Oracle Access Manager固有ITSサービスはsapextauthモジュールを使用してHTTPヘッダー変数を抽出し、Oracle Access ManagerとSAP R/3間でマップされたユーザーIDを特定します。
オプションとして、SAP Workplace Serverによって外部のOracle Access ManagerユーザーIDをSAP System IDにマップすることもできます。
最初に認証されたユーザーに対して使用されたLDAPディレクトリから、正しいSAPユーザーIDをOracle Access Managerによって抽出することをお薦めします。この場合、SAPシステム内に参照テーブルは必要ありません。
マッピングが正常に完了すると、アクセス・ゲートはユーザーに対してSAPログオン・チケットを発行し、ユーザーをWorkplaceサービスまたは他のITSサービスにリダイレクトします。今後のITS URLは、発行済SAPログオン・チケットを使用してログオン情報をSAP R/3システムに渡すようになります。
Oracle Access Managerは、次のバージョンのSAP ServerとSAP Enterprise Portalをサポートします。
| SAP | SAP Portal |
|---|---|
| SAP R3 v4.6DSAP ITS v6.10およびv6.20 | v 6.0 SP2 |
Oracle Access ManagerとSAPを統合する前に、次の処理を実行しておく必要があります。
次のSAPアプリケーションをインストールします。
SAP ITS v 6.10パッチ・レベル11、Compilation 4パッチ・レベル340以上(SAPNet Note: 494984を参照)。
Secure NetWork Communications(SNC)を使用してR3システムと通信するように構成されたSAP ITSコンポーネント。
SNCは、SSO2セキュリティ・チケットを生成する際に必要です。
sapntauthライブラリ(SAPNet Note: 493107を参照)。
SAPアプリケーションとコンポーネントのインストールの詳細は、SAPのドキュメントを参照してください。
次のOracle Access Managerのコンポーネントをインストールします。
アイデンティティ・サーバー
WebPass
アクセス・サーバー
ポリシー・マネージャ
WebGate
インストールの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
ITSがインストールされているWebサーバーの各インスタンスに対して、WebGateのインストールと構成を行います。
mySAPとOracle Access Managerのコンポーネントが、TCP/IPを使用して相互に通信できることを確認します。
SAP ITSとOracle Access Managerのコンポーネントがインストールされているサーバーに対して、完全修飾ドメイン名が設定されていることを確認します。
例: integrate-1.oblix.net
SAPのコンポーネントとOracle Access Managerのコンポーネントがインストールされているすべてのサーバーで、時刻を同期化します。
Oracle Access Manager LDAPディレクトリとSAP R3システム・データベースにユーザーが存在することを確認します。
Oracle Access ManagerとSAPのユーザーIDは同じで、相互にマップされている必要があります。ユーザーのプロファイルの属性は、すべてSAP IDとして構成でき、SAPに直接渡すことができます。別の方法として、Oracle Access Managerから受信するユーザー属性にSAP IDをマップするようにSAPを構成することもできます。
Cookieを許可するようWebブラウザを構成します。
mySAP用Oracle Access Managerシングル・サインオンを設定するには、いくつかのSAPのコンポーネントとOracle Access Managerのコンポーネントをインストールして構成する必要があります。
タスクの概要: mySAP用Oracle Access Managerシングル・サインオンの設定
「Oracle Access Managerとの統合用のSAPの設定」の説明に従ってSAPを設定します。次の作業を実行します。
SAP GUIをインストールします。
SAP ITSのWebサーバー・インスタンスをインストールして構成します。
SAP ITSをインストールします。
ITSとSAP R/3間の通信をテストします。
SAP SNCをインストールして構成します。
アクセス・システムのヘッダー変数に対してSAP PASを構成します。
|
注意: SAPのコンポーネントのインストール手順は、SAPのドキュメントを参照してください。 |
「Oracle Access Managerとの統合用のSAPの設定」の説明に従ってアクセス・システムを設定します。次の作業を実行します。
WebGateをインストールします。
アクセス・システムにアクセス制御ポリシーを作成して、SAPリソースを保護します。
「Oracle Access ManagerとSAPとの統合のテスト」の操作を実行します。
統合用にSAPを設定する手順について説明します。
Oracle Access Managerとの統合用にSAPを設定する手順
クライアント・マシンにSAP Graphic User Interface(GUI)をインストールします。
これは、SAP R/3アプリケーション用のWebインタフェースです。このインタフェースにより、SAPのトランザクション画面がHTMLページに動的に変換されます。
Webサーバーのインスタンスを2つインストールして構成します。一方は管理用(ADM)のインスタンスで、もう一方はSAP R/3アプリケーションのインタフェースとしてのインスタンスです。
インスタンスを構成したら、両方のインスタンスに対して、ITSからSAP R/3への接続をテストします。
Webブラウザを開き、URLを次のように入力してADMインスタンスにログインします。
http://host:port/scripts/wgate/admin/!
または
http://host:port/scripts/wgate/adminremote/!
この場合、hostはホスト・マシンの完全修飾名(xyz.domain.comなど)で、portはホスト・マシンのポート番号です。
Webブラウザを開き、次のURLを入力してSAP R/3インスタンスのGUIにアクセスします。
http://host:port/scripts/wgate/webgui/!
この場合、hostはホスト・マシンの完全修飾名(xyz.domain.comなど)で、portはホスト・マシンのポート番号です。
mySAP.comのログイン画面が表示されます。
SAP Secure Network Communication(SNC)をインストールして構成します。
SAP SNCは、AGateからSAP R/3アプリケーションへの接続を保護します。Oracle Access Managerによって認証済ユーザーIDがSAPに提供されるため、SNCの使用をお薦めします。
AGateとは異なるサーバーにWGateがインストールされている場合、2台のサーバー間でSAP SNCを構成することをお薦めします。
Oracle Access Managerとの統合用にSAP PASを設定する手順
SSO用ヘッダー変数を使用するようSAP PASシステムを次のように構成します。
アクセス・システムのヘッダー変数をAGateに渡すようにWGatを構成します。このためには、wgate.confファイルにあるパラメータPassHeaderを使用します。
次に例を示します。
Ex.PassHeader HTTP_SAPUID
wgate.confファイルの場所は、SAPのドキュメントを参照してください。
アクセス・システムを外部認証プロバイダとして使用するため、PASに必要な情報を定義します。
このためには、SAP_install_dir\ITS\2.0\ITSInstanceName\templatesにあるOblix.srvcファイルに、Oracle Access Managerに対するPASサービスを構成する必要があります。
この場合、SAP_install_dirはSAPをインストールしたディレクトリで、ITSInstanceNameは構成したITSインスタンスの名前です。
PASテンプレートを作成し、アクセス・システムの認証サービスの使用時に発生する可能性があるログイン、エラー、リダイレクトのアクションを処理するように構成します。
これらのテンプレートを、SAP_install_dir\ITS\2.0\ITSInstanceName\templatesディレクトリに保存します。
ディレクトリ構造とファイルを次のように作成します。
<Name of Service> <Name of Theme>login.htmlextautherror.htmlredirect.html
Name of Serviceは、サービス・ファイルの名前です(oblix.srvcなど)。
Name of Themeは、oblix.srvcファイルのテーマ・パラメータの名前です。
この統合用にOracle Access Managerを設定する手順について説明します。
SAPとの統合用にOracle Access Managerを設定する手順
SAP R/3システムへのITS接続をサポートするWebサーバー・インスタンスにWebGateをインストールします。
WebGateのインストールの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
アクセス・システムで、/scripts/wgateの下にSAPリソースを保護するポリシー・ドメインを作成します。
このためには、SAP ITSとWebGateがインストールされているWebサーバーを保護するポリシー・ドメインを作成します。アクセス・システムはOracle Access Manager固有のITSサービスに渡すヘッダー変数を設定し、指定されたユーザーのみにアクセスを許可します。
ポリシー・ドメインの作成の詳細は、『Oracle Access Manager Access System Administration Guide』を参照してください。
認証ルールで、ポリシー・ドメインの「アクション」ページからアクションを構成し、アクセス・システムのヘッダー変数uidをSAP uidに設定します。
次の例では、uidをSAPUIDにマップしています。
HeaderVar HTTP_SAPUID uid
認可ルールで、ポリシー・ドメインの「アクセスの許可」ページを選択し、ポリシー・ドメインによって保護されるリソースへのアクセス権限を付与するOracle Access ManagerとSAPのユーザーを選択します。
これで、シングル・サインオンの構成が完了しました。
Oracle Access ManagerとSAPを統合したら、mySAPを使用したアクセス・システムの認証とシングル・サインオンが成功するかどうかをテストします。
次のシナリオをテストします。
アクセス・システムとSAPの両方で認可されたユーザーIDを使用して、SAP R/3アプリケーションへ正常にログインする。
アクセス・システムでは認可されたが、SAPでは認可されていないユーザーIDを使用して、SAP R/3アプリケーションへ正常にログインする。
アクセス・システムとSAPの両方で認可されたユーザーIDを使用して、アイデンティティ・システムとSAP R/3アプリケーションへ正常にログインする。
アクセス・システムでは認可されたが、SAPでは認可されていないユーザーIDを使用して、アイデンティティ・システムとSAP R/3アプリケーションへ正常にログインする。
アクセス・システムの認証が正しく設定されている場合、Oracle Access ManagerとSAPの両方で認可されたユーザーのように、SAP R/3のアプリケーションのみでなくアイデンティティ・システムへのアクセスも許可されます。Oracle Access Managerのみで認可されたユーザーの場合、アイデンティティ・システムに対してのみアクセスが許可され、SAP R/3アプリケーションへのアクセスは許可されません。
アクセス・システムでシングル・サインオンが正しく設定されている場合、Oracle Access ManagerとSAPの両方で認可されたユーザーのように、Oracle Access Managerに対して一度だけ認証を行う必要があります。認証が成功すると、アイデンティティ・システムと複数のSAP R/3アプリケーションにアクセスできます。その際、再認証は必要ありません。
任意のSAP R/3アプリケーションにアクセスします。
統合が正常に完了している場合、アクセス・システムは資格証明をチャレンジ方式によって認証します。
認可済のOracle Access Manager IDまたはSAPユーザーIDを使用してログインします。
R/3アプリケーションへのアクセスが許可されます。
Oracle Access Managerでは認可されたが、SAPでは認可されていないユーザーIDを使用して、SAP R/3アプリケーションにログインします。
ログインは失敗し、パスワードが無効であることを通知するメッセージが表示されます。
|
注意: このメッセージは正しくありません。パスワードではなくユーザーIDが無効なためにログインが失敗します。 |
Oracle Access Managerシングル・サインオンをテストする手順
任意のSAP R/3アプリケーションにアクセスします。
統合が正常に完了している場合、アクセス・システムは資格証明をチャレンジ方式によって認証します。
認可済のOracle Access Manager IDまたはSAPユーザーIDを使用してログインします。
R/3アプリケーションへのアクセスが許可されます。
アイデンティティ・システムにログインします。
シングル・サインオンが成功している場合、アクセス・システムによるチャレンジ認証を受けることなくアイデンティティ・システムにログインできます。
Oracle Access Managerでは認可されたが、SAPでは認可されていないユーザーIDを使用して、アイデンティティ・システムとSAP R/3アプリケーションにログインします。
アイデンティティ・システムにはログインできますが、SAPにはログインできません。パスワードが無効であることを通知するメッセージがSAPに表示されます。
ポータルを使用すると、企業のデータとアプリケーションに一箇所からアクセスでき、統合されてパーソナライズされた情報が、従業員、顧客、ビジネス・パートナに表示されます。
SAP Enterprise PortalはSAP R/3上で機能し、企業アプリケーション、データ・ウェアハウス、非構造化ドキュメントの集合体、インターネットから、情報を統合して提供します。
Oracle Access ManagerをSAP Enterprise PortalおよびSAP NetWeaver Enterprise Portalと統合すると、次のOracle Access Manager機能が使用できます。
アイデンティティ・システムを使用してユーザーとグループを管理する機能
Oracle Access ManagerとSAP Enterprise Portalは、同じLDAPディレクトリを共有します。新しいユーザーやグループがアイデンティティ・システムで作成されると、この新しいデータによってSAPユーザー・リポジトリが更新されます。
|
注意: SAP Portalは、静的グループのみをサポートします。 |
SAP Enterprise Portalとアクセス・システムで保護された他のリソースに対するアクセス・システムのシングル・サインオン
アクセス・システムは、SAP Portalにアクセスしようとするユーザーの認証と認可を行います。認証と認可が成功すると、ユーザーは資格証明を再度要求されることなく、アクセス・システムで保護された任意のリソースやアプリケーションにアクセスできます。
この項では、次の内容について説明します。
SAP Enterprise Portal 6.0およびSAP NetWeaver Enterprise Portal SP9と統合する場合のアーキテクチャ
SAP Enterprise Portal 6.0およびSAP NetWeaver Enterprise Portal SP9と統合する場合にサポートされるプラットフォーム
次の図は、この統合を示したものです。
ユーザーは、SAP Enterprise Portalを使用してコンテンツにアクセスしようとします。
たとえば、次のURLを入力して、プロキシ・サーバー経由でHRアプリケーションにアクセスできます。
https://host:port/irj
WebGateはリクエストを捕捉し、アクセス・サーバーに対してセキュリティ・ポリシーの問合せを行い、リソースが保護されているかどうかを確認します。
セキュリティ・ポリシーは、認証スキーム、認可ルール、許可された操作から構成されます。認証と認可の成否に基づいて、指定されたアクションが実行されます。
SAP /irjログインURLに対するアクセス・システムのセキュリティ・ポリシーは、https://host:port/irjのURL経由でアクセスされるすべてのリソースに適用できます。
SAP Enterprise Portalには、iViewsへのユーザー・アクセス設定を構成できる独自の認可システムがあります。
リソースが保護されている場合、ユーザーに対して認証の資格証明を要求するウィンドウがWebGateによって表示されます。
WebGateがリクエストする資格証明は、アクセス・システムに構成された認証スキーム(Basic over LDAPまたはフォーム・ベースの認証など)によって異なります。
資格証明が検証されると、アクセス・システムはユーザーを認証し、ユーザーのブラウザに暗号化されたObSSOCookieを設定します。
ユーザーが認証されると、アクセス・システムに定義された認可ルールがセキュリティ・ポリシーに基づいて適用されます。
認可ルールに基づいて、特定のアクションが実行されます。ユーザーが認可されると、SAP Portalログイン(リクエストされたコンテンツ)へのアクセスが許可されます。SAP Enterprise Portalヘッダー変数の統合の場合、アクセス・サーバーがヘッダー変数内に認証済ユーザーIDを設定します。
ユーザーが認証されない場合または認可されない場合、ユーザーはアクセスを拒否され、管理者によって指定された別のURLにリダイレクトされます。たとえば、ユーザーを「無効な資格証明」などのページにリダイレクトできます。
SAP Enterprise Portalとの統合の場合、リクエストはプロキシWebサーバーにより、ヘッダー変数の詳細が格納されているSAP Enterprise Portalの内部Webサーバーへリダイレクトされます。
SAP Enterprise Portalはヘッダー変数値を使用し、構成されているバックエンド(SAP R/3など)と比較してユーザーIDのマッピングを確認します。
Oracle Access ManagerとSAP Enterprise Portalのバックエンドの両方に、同じユーザーID値が格納されている必要があります。
マッピングが成功すると、ユーザーがリクエストしたリソースへのアクセスがSAP Enterprise Portalによって許可されます。
SAP Enterprise Portalはレスポンスをプロキシに送信し、プロキシはこのレスポンスをクライアント・ブラウザにリダイレクトします。
SAP Enterprise Portalとの対話はすべて、プロキシ・サーバーを経由して行われます。
次の表は、サポートされるプラットフォームを示したものです。
表13-1 Oracle Access Manager 6.xとの統合
| SAP Enterprise Portal | Oracle Access Managerアイデンティティ・サーバー | SAP Enterprise Portal Proxy | Oracle Access ManagerWebGate |
|---|---|---|---|
|
SAP Enterprise Portal 6.0 SP2パッチ4以上(Windows) |
6.5.x |
Apache 1.3.x(AIX) |
6.1.1.x WebGate(SSLまたは非SSL) |
|
SAP Enterprise Portal 6.0 SP2パッチ4以上(Windows) |
6.5.x |
Apache 2.0.x(Windows) |
6.5.2 WebGate |
表13-2 Oracle Access Manager 7.xとの統合
| SAP Enterprise Portal | Oracle Access Managerアイデンティティ・サーバー | SAP Enterprise Portal Proxy | Oracle Access Managerアクセス・サーバー |
|---|---|---|---|
|
SAP Enterprise Portal 6.0 SP2パッチ4以上(Windows) |
7.0.4 |
Apache 1.3.x(AIX) |
7.0.4 WebGate(SSLまたは非SSL) |
|
SAP Enterprise Portal 6.0 SP2パッチ4以上(Windows) |
7.0.4 |
Apache 2.0.x(Windows) |
7.0.4 WebGate |
以降の項では、SAP Enterprise Portal 6.0を統合する方法を示します。
次の処理を実行しないと、SAP Enterprise Portal 6.0とOracle Access Managerを統合することができません。
タスクの概要: 統合に関するSAP Portal 6.0の前提条件
SAP Enterprise Portal 6.0 SP2およびそのコンポーネントとアプリケーションのインストールを、次のように確認します。
SAP Note 616501の指示に従い、SAP J2EE Engineバージョン6.2パッチ・レベル26以上がインストールされていることを確認します。
SAP Enterprise Portal 6.0パッチ・レベル4以上を適用します。これは、SAPのログアウトURLリダイレクション機能に必要です。
SAP Enterprise Portalが機能し、アプリケーションにアクセスできることを確認します。
アイデンティティ・システムとアクセス・システムがインストールされ、実行中であることを確認します。
Oracle Access ManagerとSAP Enterprise Portalのバックエンドに、同じユーザーID情報が格納されていることを確認します。
これは、この統合に不可欠です。
タスクの概要: 統合に関するOracle Access Managerの前提条件
SAP Enterprise Portal 6.0にアクセスするようプロキシ・サーバーを構成します。
Oracle Access ManagerをSAP Enterprise Portal 6.0に対して構成します。
プロキシ・サーバー上でWebGateを構成します。
外部認証用にSAP Enterprise Portal 6.0を構成します。
SAP Enterprise Portal 6.0にアクセスするようプロキシを構成する手順について説明します。
Apache Webサーバー1.3.xまたは2.0.1を構成する手順
Apacheのドキュメントの説明に従い、非SSLモードまたはSSLモードでApacheプロキシを設定します。
SAP Enterprise Portal 6.0でHTTPS通信が使用される場合は、SSLモードを使用します。
プロキシをSAP Enterprise Portal 6.0に対して有効にするには、httpd.confに次の記述を入力します。
ProxyRequests Off ProxyPass /irj http://sap_host:port/irj ProxyPassReverse /irj http://sap_host:port/irj ProxyPreserveHost On
この場合、sap_hostはSAP Enterprise Portal 6.0インスタンスをホストするマシンの名前、portはSAP Enterprise Portal 6.0インスタンスのリスニング・ポートです。この一連のディレクティブは、http://apache_host:port/irjまたはhttps://apache_host:port/irjのフォームのこのWebサーバーに対するすべてのリクエストが、http://sap_host:port/irjまたはhttps://sap_host:port/irjにリダイレクトされることを指定しています。
プロキシWebサーバーを再起動します。
次のURLにアクセスします。
非SSL: http://apachehost:port/irj
SSL: https://apachehost:port/irj
このリクエストは、SAP Enterprise Portal 6.0ログインにリダイレクトされます。
SAP Enterprise Portal 6.0の管理者ログインIDを使用してログインします。
管理者は、使用可能な管理機能を実行できます。
管理者以外のユーザーとしてログインします。
このユーザーは、管理機能以外の機能を実行できます。
次の手順では、SAP Enterprise Portal 6.0へのログインを保護するための、Oracle Access Managerでのセキュリティ・ポリシーの構成について説明します。ポリシー・ドメインの構成の詳細は、『Oracle Access Manager Access System Administration Guide』を参照してください。
SAP Enterprise Portal 6.0に対してOracle Access Managerを構成する手順
アクセス・システム・コンソールにマスター・アクセス管理者としてログインします。
「アクセス・システム構成」タブをクリックします。
左側のペインの「新規Access Gateの追加」をクリックします。
プロキシ・サーバーにインストールするWebGateを、次のように構成します。
アクセス・ゲート名: わかりやすい名前(SAP_AGなど)を入力します。名前には英数字の文字列を使用し、空白は使用しないでください。
ホスト名: Apacheプロキシ・マシンの名前を入力します。
アクセス管理サービス: このサービスを有効にするには、オプションをクリックします。
「保存」をクリックし、ページの一番下にある「アクセス・サーバーをリスト」をクリックして、このWebGateに定義済アクセス・サーバーを関連付けます。
左側のナビゲーション・ペインの「ホスト識別子」をクリックし、完全修飾されたプロキシ・マシンのホスト名とApacheプロキシのポートを使用してホスト識別子を構成します。
ページの一番上にあるポリシー・マネージャのリンクをクリックします。
左側のナビゲーション・ペインで「ポリシー・ドメインの作成」をクリックし、新しいポリシーをSAP EP Security Policyという名前で作成します。
「リソース」タブをクリックしてから「追加」をクリックし、ポリシーのリソースを次のように定義します。
名前: SAP EPセキュリティ・ポリシー
タイプ: http
ホスト識別子: プロキシ・ホストURL接頭辞/irjを入力
説明: SAP EPログインURL
「認可ルール」タブをクリックしてから「追加」をクリックし、ポリシーの認可ルールを次のように定義します。
名前: SAP認可ルール
有効: はい
優先を許可: はい
「保存」をクリックしてから「アクセスの許可」タブをクリックし、「追加」をクリックして有効なユーザーまたはグループ・リストを追加します。
「保存」をクリックしてから「アクション」タブをクリックし、次のアクションを構成します。
認可成功 戻り: 「タイプ」をHeaderVar、「名前」をOB_USER、「戻り属性」をuidに設定します。
認可失敗: 適切な失敗アクションを構成します。たとえば、「無効なログイン資格証明です。」などのメッセージを表示するプロキシURLページにリダイレクトするよう構成できます。
「デフォルト・ルール」タブをクリックしてから「認証ルール」サブタブをクリックし、「追加」をクリックしてデフォルトの認証ルールを次のように定義します。
名前: SAP認証ルール
認証スキーム: Basic over LDAPまたはフォーム・ベース認証を選択します。フォーム・ベース認証スキームを使用することをお薦めします。Basic認証スキームを使用する場合、「チャレンジ・リダイレクト」フィールドも別のWebGateに設定して、ObSSOCookieが設定されるようにします。
「デフォルト・ルール」タブの「認可条件式」サブタブをクリックしてから「追加」をクリックし、SAP認可ルールを使用する認可条件式を作成します。
フォーム・ベース認証スキームを構成する場合、login.htmlページがプロキシ・サーバーのドキュメント・ルート内に構成されていることを確認します。
このフォームは、ユーザー資格証明の取得に使用されます。詳細は、『Oracle Access Manager Access System Administration Guide』を参照してください。
また、フォーム・ベース認証スキームを構成した場合、logout.htmlページがプロキシWebサーバーのドキュメント・ルート内に存在することを確認します。
カスタムのログアウト・ページを作成するには、HTML、JSP、CGIのいずれかのプロトコルを使用します。
logout.htmlという名前のデフォルトのログアウト・ページは、次の場所にあります。
WebGate_install_dir\access\oblix\apps\common\bin
このWebGate_install_dirは、WebGateをインストールしたディレクトリです。ログアウト・ページの名前に、文字列logout.が含まれていることを確認します。
OB_USERヘッダー変数によって返されたユーザーIDが、SAP Enterprise 6.0のユーザー管理データ・ソースに存在することを確認します。
SAP Enterprise Portal 6.0インスタンスへのプロキシ接続をサポートするWebサーバー・インスタンスにWebGateをインストールします。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
OB_USERヘッダー変数を使用してSAP Enterprise Portal 6.0の外部認証を有効にする手順について説明します。
SAP Enterprise Portal用認証スキームの構成の詳細は、『SAP Enterprise Portal 6.0 SP2 Enterprise Portal Security Guide』を参照してください。
外部認証用にSAP Enterprise Portal 6.0を構成する手順
SAP Enterprise Portal 6.0とOracle Access Managerの両方でシングル・サインオン・セッションからのログアウトを有効にするには、SAP Enterprise Portal 6.0に管理インタフェースからログアウトURLを構成します。
管理インタフェースのURLは次のとおりです。
http://SAP_host:port/irj/
この場合、SAP_hostはSAP Enterprise Portal 6.0をホストするマシンの名前、portはポータルのリスニング・ポートです。
管理インタフェースから、「System Administration」、「System Configuration」、「UM Configuration」、「Direct Editing」の順にクリックします。
次の行を構成ファイルの最後に追加します。
ume.logoff.redirect.url=http(s)://proxy_host:port/logout.html ume.logoff.redirect.silent=false
この場合、http(s)はhttpまたはhttpsのいずれか、proxy_hostはプロキシWebサーバーの名前、portはプロキシのリスニング・ポートです。
変更を保存し、ログアウトします。
SAP J2EEディスパッチャとサーバーを停止します。
次のディレクトリを参照します。
SAP_J2EE_engine_install_dir\ume
ファイルauthschemes.xml.bakを、別のディレクトリにバックアップします。
authschemes.xml.bakをauthschemes.xmlに変更します。
任意のエディタでauthschemes.xmlを開き、デフォルトの認証スキームから認証スキーム・ヘッダーへの参照を次のように変更します。
<authscheme-refs>
<authscheme-ref name="default">
<authscheme>header</authscheme>
</authscheme-ref>
</authscheme-refs>
authschemes.xmlの認証スキーム・ヘッダーに、アクセス・システムがユーザーIDを設定するHTTPヘッダー変数の名前を指定します。
ページ13-13の「AP Enterprise Portal 6.0に対するOracle Access Managerの構成」に記載されているように、これはOB_USERヘッダー変数です。このヘッダー変数を、次のように構成します。
<authscheme name="header">
<loginmodule>
<loginModuleName>
com.sap.security.core.logon.imp.HeaderVariableLoginModule
</loginModuleName>
<controlFlag>REQUISITE</controlFlag>
<options>Header=OB_USER</options>
</loginmodule>
<priority>5</priority>
<frontEndType>2</frontEndType>
<frontEndTarget>com.sap.portal.runtime.logon.header</frontEndTarget>
</authscheme>
制御フラグ値REQUISITEは、ログイン・モジュールが成功しなければならないことを表す値です。ログインが成功すると、ログイン・モジュールのリストを使用して認証が続行されます。ログインが失敗すると、制御はただちにアプリケーションに返され、ログイン・モジュールのリストを使用した認証は停止します。
ポータル・サーバーとJ2EEエンジンを再起動します。
変更済authschemes.xmlファイルがPortal Content Directory(PCD)にロードされます。SAP Enterprise Portal 6.0は、このファイルの名前をauthschemes.xml.bakに変更します。
統合をテストする場合、次の手順をお薦めします。
ブラウザから、プロキシの適切なURLを次のように入力します。
http(s)://proxy_host:port/irj
Oracle Access Managerは、認証スキーム(フォーム・ベースまたはBasic over LDAP)に応じて、ユーザー資格証明を要求するウィンドウをユーザーに対して表示します。
このウィンドウから、有効なユーザー資格証明を入力します。
これらの資格証明は、/irjへのアクセスを認可されたOracle Access Managerのユーザーに属している必要があります。このユーザーIDも、SAP Enterprise Portal 6.0 User Management Systemに存在する必要があります。
Oracle Access Managerに対して資格証明を入力したユーザーは、SAP Enterprise Portal 6.0にログインできます。
ユーザーがSAP Enterprise Portal 6.0の管理権限を持っている場合、このユーザーが通常の管理機能を使用できることを確認します。
たとえば、ユーザー管理システムを使用して他のSAP Enterprise Portalユーザーを検索します。
SAP Enterprise Portalからログオフします。
構成したlogout.htmlページにリダイレクトされます。SAP Enterprise PortalセッションとOracle Access Managerセッションが両方とも終了します。
同じブラウザで、SAP Enterprise Portalのログインに再度アクセスします。
Oracle Access Managerにより、ログイン資格証明を要求するウィンドウが再度表示されます。
ブラウザから次のURLを入力し、プロキシを使用せずにSAP Enterprise Portalのログイン・ページにアクセスします。
https://sap_host:port/irj
次のエラーが表示されます。
Cannot logon user defined in header variable!
この統合に関する問題をトラブルシューティングする場合は、次の情報を参考にしてください。
問題: プロキシ・サーバーを経由したSAP管理インタフェースを表示する際に、ブラウザで問題が発生します。「object not found」エラーと関連するjavascriptエラーを受信する場合があります。
解決方法: サポートされるブラウザは、SAPのドキュメント『SAP NetWeaver '04 SR1 PAM: Browsers for end users and admin functionality』を参照してください。SAPでは、Internet Explorer 6が推奨されています。Internet Explorer 6は、ほとんどすべてのプロキシ操作をサポートしています。Internet Explorerの場合、Microsoftセキュリティ・パッチがユーザー・インタフェースの表示に影響することがあります。詳細は、SAP Note 785308を参照してください。
以降の項では、Oracle Access ManagerとSAP NetWeaver Enterprise Portal SP9の統合について説明します。
次の処理を実行後、SAP NetWeaver Enterprise Portalとの統合を構成します。
SAP Netweaver Enterprise Portal SP9とその関連コンポーネントおよびアプリケーションのインストールを確認します。
ポータルが機能し、アプリケーションにアクセスできることを確認します。
Oracle Access Managerがインストールされ、動作していることを確認します。
詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
Oracle Access ManagerとSAP Enterprise Portalの両方のバックエンドに、同じユーザーID情報が格納されていることを確認します。
これは、SAPのヘッダー変数を統合するのに不可欠です。
OB_USERヘッダー変数を使用してSAP NetWeaver Enterprise Portalとの統合を設定する手順について説明します。これらの手順では、Oracle Access ManagerとSAP NetWeaver Enterprise Portalの必要な構成が示されます。
|
注意: ポリシー、認証スキームおよびフォーム・ベース認証の構成の詳細は、『Oracle Access Manager Access System Administration Guide』を参照してください。 |
NetWeaverにアクセスするようにプロキシ・サーバーを構成する手順
ご使用の環境での必要に応じて、ApacheプロキシWebサーバーをSSLまたは非SSLモードで設定します。
クライアントとSAP Enterprise Portalの間での通信にHTTPSを使用する場合は、プロキシをSSLモードで設定してください。詳細は、Apacheのドキュメントを参照してください。
プロキシをSAP Enterprise Portalに対して有効にするには、httpd.confに次の情報を追加します。
ProxyRequests off ProxyPass /irj http://SAPHost:port/irj ProxyPass /webdynpro http://SAPHost:port/webdynpro ProxyPassReverse /irj http://SAPHost:port/irj ProxyPassReverse /webdynpro http://SAPHost:port/webdynpro ProxyPreserveHost On
このSAPHostおよびportは、SAP Enterprise Portalサーバーのホストとポートです。これらのディレクティブは、http://apachehost:port/irjまたはhttps://apachehost:port/irjのフォームのこのWebサーバーに対するすべてのリクエストが、http://saphost:port/irjまたはhttps://saphost:port/irjにリダイレクトされることを指定しています。
プロキシWebサーバーを再起動します。
次のURLにアクセスします。
非SSL: http://apachehost:port/irj
SSL: https://apachehost:port/irj
このリクエストは、SAP Enterprise Portalログイン・ページにリダイレクトされます。
SAP Enterprise Portalの管理者IDを使用してログインします。
管理ユーザーは、SAP Enterprise Portalにログインするようにしてください。このユーザーは、すべての管理操作を実行できる必要があります。
管理者以外のユーザーのSAP Enterprise Portalログインを確認します。
Oracle Access ManagerでSAP Enterprise Portalセキュリティ・ポリシーを構成する手順
Oracle Access Managerのアクセス・システムにマスター・アクセス管理者としてログインします。
アクセス・システム・コンソールから、「アクセス・システム構成」をクリックし、次に「新規アクセス・ゲートの追加」をクリックします。
プロキシ・サーバーにインストールするWebGateを、次のように構成します。
SAP_AccessGateなどの名前を入力します。
このWebGateのホスト名は、プロキシ・サーバーのマシン名です。
アクセス管理サービスを有効にします。
このWebGateを既存のアクセス・サーバーと関連付けます。
左側のナビゲーション・ペインで、「ホスト識別子」をクリックし、完全修飾されたプロキシ・マシン名およびポートのホスト識別子を構成します。
ポリシー・マネージャのリンクをクリックし、SAP EP Security Policyなどの名前を持つ新しいセキュリティ・ポリシーを作成します。
このポリシーのリソースを、次のように構成します。
タイプ: http
ホスト識別子: プロキシ・ホストのために作成したホスト識別子
URL接頭辞: /irj
説明: SAP EPログインURL
認可ルールを、次のように構成します。
名前: SAP認可ルール
有効: はい
優先を許可: はい
アクセスの許可: アクセスの許可に対して有効なユーザーおよびグループのリストを追加します。
成功時の戻り値: タイプ: HeaderVar。名前: OB_USER。戻り属性: uid。Oracle Access ManagerがOB_USERヘッダー変数で戻すユーザーIDはSAP Portalのユーザー管理データ・ソースに存在する必要があります。
失敗時: 認可失敗用に、「Logon credentials cannot be recognized.」などの適切なエラー・メッセージを表示するURLを指します。
このポリシーのデフォルト・ルールを、次のように作成します。
名前: SAP認証ルール
スキーム: スキームには、Basic over LDAPまたはフォーム・ベース認証を指定できます。
フォーム・ベース認証スキームを使用することをお薦めします。Basic認証を使用する場合は、必ず、別のWebGateを指すように「チャレンジ・リダイレクト」フィールドを設定してください。これにより、ObSSOCookieが確実に設定されます。
NetWeaver用にフォーム・ベースのスキームを構成する手順
login.htmlページがプロキシ・サーバーのドキュメント・ルート内に存在することを確認します。
このフォームは、ユーザー資格証明を収集するために使用されます。
logout.htmlページがプロキシWebサーバーのドキュメント・ルート内に存在することを確認します。
カスタムのログアウト・ページを作成するには、HTML、JSP、CGIのいずれかのプロトコルを使用します。Oracle Access Managerのデフォルトのログアウト・ページは、次のディレクトリにあります。
WebGate_install_dir\access\oblix\apps\common\bin
ここで、 WebGate_install_dirはWebGateのインストール先ディレクトリです。ログアウト・ページの名前には文字列logout.を含めます。
プロキシ・サーバー上のOracle Access Manager WebGateを構成する手順
SAP Enterprise Portalインスタンスへのプロキシ接続をサポートするWebサーバー・インスタンスにOracle Access Manager WebGateをインストールします。
詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
OB_USERヘッダー変数を使用して統合のためにSAP NetWeaverを構成する手順について説明します。また、Oracle Access Managerでユーザー・セッションが確実に終了するようにシングル・サインオン・ログアウトを構成する必要があります。
以降の手順では、ログアウトを構成するためのUMEプロパティの変更、関連するVisual Administratorプロパティの変更、およびヘッダー変数を使用するためのログイン・モジュール・スタックの調整について説明します。
次の構成ツールを起動します。
SAPJ2EEEngine_install_dir\j2ee\configtool\configtool.bat
ツリー・ビューで、「Global Server Configuration」、「services」、「com.sap.security.core.ume.service」の順に移動します。
UMEプロパティのリストが表示されます。
変更するログオフ・ページのプロパティを選択します。
このプロパティは、ume.logoff.redirect.urlです。
ページの一番下にある「Value」フィールドに、次のように、新しい値を入力します。
http(s)://proxy_host:port/logout.html
サイレント・ログオフのプロパティを選択します。
このプロパティは、ume.logoff.redirect.silentです。
ページの一番下にある「Value」フィールドに、値としてFALSEを入力します。
「Set」をクリックします。
「Save with the quick information text」を選択します。
「Apply changes」を選択します。
AS Javaを再起動します。
Visual Administratorプロパティを構成する手順
次の場所にあるVisual Administratorツールを実行します。
SAPJ2EEEngine_install_dir\j2ee\admin\go.bat
J2EEサーバーのサービスをクリックし、「Ume Provider」をクリックします。
前の手順で構成ツールを実行した際に設定したものと同じプロパティを設定します。
AS Javaを再起動します。
ヘッダー変数を使用するようにログイン・モジュール・スタックを変更する手順
次の場所にあるVisual Administratorツールを実行します。
SAPJ2EEEngine_install_dir\j2ee\admin\go.bat
Visual Administratorで、「Security Provider」、「User Management」タブ、「Manager Security Stores」の順に選択します。
現在アクティブなユーザー・ストアとそのユーザー・ストアのログイン・モジュールが表示されます。
「Add Login Module」を選択します。
ログイン・モジュール用のエディタを選択することを要求するダイアログ・ボックスが表示されます。
「OK」をクリックします。
ログイン・モジュールを追加することを要求するダイアログ・ボックスが表示されます。
次の情報を追加します。
ClassName: com.sap.security.core.server.jaas.HeaderVariableLoginModule
Display Name: HeaderVariableLoginModule
「OK」をクリックします。
HeaderVariableLoginModuleが、アクティブなユーザー・ストアのログイン・モジュールのリストに表示されます。
HeaderVariableLoginModuleを適切なログイン・モジュール・スタックまたはテンプレートに追加するには、Visual Administratorで、「Security Provider」、「Policy Configurations Authentication」の順に選択します。
オプションを構成するには、ヘッダー変数ログイン・モジュールをチケット・ログイン・モジュールに追加します。
チケット・ログイン・モジュール・スタックは、次のようになっている必要があります。
表13-4 チケット・ログイン・モジュール・スタック
| モジュール | キー | 値 |
|---|---|---|
|
com.sap.security.core.server.jaas.EvaluateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true} |
|
com.sap.security.core.server.jaas.HeaderVariableLoginModule |
REQUISITE |
{ume.configuration.active=true, Header=OB_USER} |
|
com.sap.security.core.server.jaas.CreateTicketLoginModule |
SUFFICIENT |
{ume.configuration.active=true} |
なお、Control Flag値のREQUISITEは、成功するためにLoginModuleが必要であることを意味します。成功すると、構成済モジュールのリストの順に認証が続行されます。失敗すると、制御はただちにアプリケーションに返され、ログイン・モジュールのリスト順の認証は停止します。
統合をテストする方法について説明します。
SAP NetWeaver Portalとの統合をテストする手順
次のプロキシURLにアクセスします。
http(s)://proxy_host:port/logout.html
Oracle Access Managerは、構成されたBasicまたはフォーム・ベースの認証スキームに基づいて、ログイン資格証明を要求するウィンドウを表示します。
/irjへのアクセスも認可されているOracle Access Managerユーザーの有効なユーザー資格証明を入力します。
このユーザーIDも、SAP Enterprise Portal User Management Systemに存在する必要があります。
ユーザーは、もう一度資格証明を要求されることなく、SAP NetWeaver Enterprise Portalにログインできます。
管理者としてログインし、SAP User Management Systemにアクセスして、他のSAP NetWeaver Enterprise Portalユーザーを検索します。
SAP NetWeaver Enterprise Portalで「Logoff」をクリックします。
logout.htmlページにリダイレクトされます。ログオフにより、SAP NetWeaver Enterprise PortalセッションとOracle Access Managerセッションが両方とも終了します。同じブラウザでもう一度SAP Enterprise Portalログインにアクセスする場合、/irjをフォーム・ログインCookieで保護しているかぎり、Oracle Access Managerは資格証明を再度要求します。
プロキシを使用せずに、たとえば次のURLに移動して、SAP NetWeaver Enterprise Portalログイン・ページにアクセスします。
https://SAP_host:port/irj
直接ログインすることはできません。
この統合に関する問題をトラブルシューティングする場合は、次の情報を参考にしてください。
問題: プロキシ・サーバーを経由したSAP管理インタフェースを表示する際に、ブラウザで問題が発生します。「object not found」エラーと関連するjavascriptエラーを受信する場合があります。
解決方法: サポートされるブラウザは、SAPのドキュメント『SAP NetWeaver '04 SR1 PAM: Browsers for end users and admin functionality』を参照してください。SAPでは、Internet Explorer 6が推奨されています。Internet Explorer 6は、ほとんどすべてのプロキシ操作をサポートしています。Internet Explorerの場合、Microsoftセキュリティ・パッチがユーザー・インタフェースの表示に影響することがあります。詳細は、SAP Note 785308を参照してください。
