2.1.5 OAM統合
OAM統合は、SALTインバウンド・リクエストのみをサポートしています。HTTP基本認証の場合、GWWSはユーザー名およびパスワードを抽出し、Tuxedo AUTHSVCを呼び出してユーザーを認証します。OAUTHSVRはOAMと通信して認証し、それが正常に完了した場合、GWWSはOAMセッション・トークンを取得します。セッション・トークンは以後のサービス呼出しで渡され、OAUTHSVRがセッション・トークンを使用して認可します。
WSSEの状況では、GWWSは受信済のユーザー資格証明を使用し、Tuxedoとの間で認証を実行します。Tuxedoサービスを呼び出す前に認証レベルがTPAPPAUTHかどうかをチェックし、セッション・トークンをコンテキストに挿入し、Tuxedoサービスを呼び出します。
X509認証またはSAML SSOを使用した場合は、基本認証がリクエストに添付されているかどうかに依存します。基本認証がリクエストに添付されていない場合は、Tuxedoがユーザー名およびパスワードを取得できず、認可は失敗します。
WebGateですでに認証され、OAMセッション・トークンがHTTPヘッダーに存在する場合、GWWSはトークンを取得し、それを使用して認可を行います。
WebGateは、OAM製品の一部として様々なWebサーバー(Oracle HTTP Server - OHS、IBM HTTP Server - IHS、Apache ...)向けに用意されているエージェントです。別のHTTPサーバーにインストールされ、認証および認可にOAMを使用するには、HTTPサーバーとWebGateが必要です。HTTPサーバーがWLSやSALTなどのバックエンド・アプリケーションに対してリバース・プロキシとして機能することがよくあります。
11g WebGateの場合、OAMトークンCookie (OAMAuthnCookie)は、SALTなどのダウンストリーム・アプリケーションに渡されないため、WebGateユーザー定義パラメータfilterOAMAuthnCookieをfalseに指定してください。詳細は、認証サーバーとしてのOAUTHSVRの設定に関する項およびOAM 11gエージェントの登録および管理に関する項を参照してください。
図2-1 WebGate
