Oracle Access Manager環境でのSSOの構成

WebLogic ServerとOracle Fusion MiddlewareのSSO認証プロバイダとしてOracle Access Managerを構成します。

『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

Oracle Fusion Middleware環境を構成した後、Publisherを構成するため、一般的に次を行う必要があります。

PublisherのURLエントリ・ポイントを保護するようにSSOプロバイダを構成します。
PublisherからSSOプロバイダへリクエストを転送するようにWebサーバーを構成します。
PublisherがインストールされているOracle WebLogic Serverドメインのメイン認証ソースとして新しいアイデンティティ・ストアを構成します。詳細は、「Oracle WebLogic Serverの新しい認証プロバイダの構成」を参照してください。
PublisherがインストールされているOracle Access Managerドメインで、Oracle Access Managerアサーション・プロバイダを使用するように構成します。詳細は、「Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOAMの構成」を参照してください。
SSO環境の構成が完了したら、PublisherのSSO認証を有効化します。詳細は、「Oracle Fusion MiddlewareセキュリティのPublisherの構成」を参照してください。

Oracle WebLogic Serverの新しい認証プロバイダの構成

Publisherのインストール後、Oracle WebLogic Serverの組込みLDAPサーバーがデフォルトの認証ソース(アイデンティティ・ストア)になります。新しいアイデンティティ・ストア(OIDなど)をメイン認証ソースとして使用するには、(Publisherがインストールされている)Oracle WebLogic Serverドメインを構成する必要があります。

Oracle WebLogic Serverでの認証プロバイダの構成の詳細は、『Oracle WebLogic Serverセキュリティの管理』を参照してください。

Oracle WebLogic Serverで新しい認証プロバイダを構成するには:

Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
デフォルトのセキュリティ・レルムはmyrealmという名前です。
「プロバイダ」タブを表示し、「認証」サブタブを表示します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動します。
各フィールドに次の情報を入力します。
- 名前: 「OID Provider」または任意の名前。
- タイプ: OracleInternetDirectoryAuthenticator
- 「OK」をクリックし、変更を保存して、新しい認証プロバイダで更新された認証プロバイダ・リストを表示します。
認証プロバイダの表で、新たに追加した認証プロバイダをクリックします。
「設定」に移動して「構成」→「共通」タブを選択し、「制御フラグ」リストからSUFFICIENTを選択して「保存」をクリックします。
「プロバイダ固有」タブを表示し、使用する環境に適切な値を使用して、次の接続、ユーザー、グループおよび一般設定を指定します。
- ホスト: LDAPホスト名。たとえば、<localhost>です。
- ポート: LDAPホストのリスニング・ポート番号。次に例を示します。6050
- プリンシパル: LDAPサーバーに接続するユーザーの識別名(DN)。たとえば、cn=orcladminです。
- 資格証明: プリンシパルとして入力されたLDAP管理ユーザーのパスワード。
- ユーザー・ベースDN: ユーザーを含むLDAPサーバー・ツリーのベース識別名(DN)。たとえば、Oracle Access Managerと同じ値を使用します。
- すべてのユーザーのフィルタ: LDAP検索フィルタ。たとえば、(&(uid=*) (objectclass=person))などです。アスタリスク(*)は、すべてのユーザーをフィルタします。詳細は、「詳細」をクリックします。
- 名前指定によるユーザー・フィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
- ユーザー名属性: 認証に使用する属性(cn、uid、mailなど)。ディレクトリ・サーバーのユーザー名のデフォルトの属性として設定します。たとえば、uidです。ノート: ここで指定する値は、認証プロバイダで使用しているユーザー名属性と一致している必要があります。
- グループ・ベースDN: グループ(ユーザー・ベースDNと同じ)を含むLDAPサーバー・ツリーのベース識別名(DN)。
- GUID属性: LDAPでオブジェクトGUIDの定義に使用する属性。orclguid
「保存」をクリックします。
次のステップを実行して、IDアサーション・プロバイダと併用できるようにデフォルトの認証プロバイダを設定します。
1. メインの「myrealmの設定」ページで「プロバイダ」タブを表示してから、「認証」サブタブを表示して、「DefaultAuthenticator」を選択してその構成ページを表示します。
2. 「構成」→「共通」タブを表示し、「制御フラグ」リストで「SUFFICIENT」を選択します。
3. 「保存」をクリックします。
次のステップに従ってプロバイダを並べ替えます。
1. 「プロバイダ」タブで「並替え」をクリックすると、「認証プロバイダの並替え」ページが表示されます
2. プロバイダ名を選択してから矢印ボタンを使用して、次の順序でプロバイダのリストを並べます。
  - OID認証プロバイダ: (SUFFICIENT)
  - OAMアイデンティティ・アサータ(REQUIRED)
  - デフォルトの認証プロバイダ: (SUFFICIENT)
3. 「OK」をクリックして変更を保存します。
「チェンジ・センター」で、「変更のアクティブ化」をクリックします。
Oracle WebLogic Serverを再起動します。

Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOAMの構成

PublisherがインストールされているOracle WebLogic Serverドメインが、Oracle Access Managerアサーション・プロバイダを使用するように構成されている必要があります。

Oracle WebLogic Serverに新しいアサーション・プロバイダを作成する方法の詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください。

Oracle WebLogic Serverの新しいアサーション・プロバイダとしてOracle Access Managerを構成するには:

Oracle WebLogic Server管理コンソールにログインします。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、myrealmです。「プロバイダ」を選択します。
「新規」をクリックします。各フィールドに次の情報を入力します。
- 名前: 「OAM Provider」または任意の名前。
- タイプ: OAMIdentityAsserter。
「OK」をクリックします。
「保存」をクリックします。
「プロバイダ」タブで、次のステップに従ってプロバイダを並べ替えます。
1. 「並替え」をクリックします
2. 「認証プロバイダの並替え」ページでプロバイダ名を選択し、リストの横にある矢印を使用して、次の順序でプロバイダを並べます。
  - OID認証プロバイダ: (SUFFICIENT)
  - OAMアイデンティティ・アサータ(REQUIRED)
  - デフォルトの認証プロバイダ: (SUFFICIENT)
3. 「OK」をクリックして変更を保存します。
「チェンジ・センター」で、「変更のアクティブ化」をクリックします。
Oracle WebLogic Serverを再起動します。

Oracle WebLogic Serverに再度ログインして、LDAPサーバーに格納されているユーザーおよびグループがコンソールに表示されていることを確認することによって、Oracle Internet Directoryが新しいアイデンティティ・ストア(デフォルトの認証プロバイダ)であることを確認できます。
Fusion Middleware Controlを使用して、SSO認証を有効化します。

Oracle Fusion MiddlewareセキュリティのPublisherの構成

Oracle WebLogic Serverを構成してから、Publisherの「管理」の「セキュリティ構成」ページに移動します。「認可」リージョンで「セキュリティ・モデル」として「Oracle Fusion Middleware」を選択します。

図xdo11g_fmw_sec.gifの説明