B Oracle Access Manager (OAM)でのシングル・サインオンの構成

EDQがOracle Access Managerに統合されると、ユーザーは、共通のアクセス・ページにログインし、追加のログインなしでEDQアプリケーションおよびWebコンソールに自動的にアクセスできます(当然、ユーザーは必要なEDQ権限を持っていると仮定します)。同じOAM構成を使用する複数のEDQインストールがある場合、ログインはそれぞれに対して有効です。詳細は、「Oracle Access Management」を参照してください。

この項では、EDQとOAMを統合する構成ステップについて説明します。ここでは、OAMのインストールおよび基本構成や、Web層フロントエンド(OHS)のインストールについては説明しません。この付録の内容は次のとおりです。

前提条件

この項では、OAMのインストールに必要な前提条件について説明します。

次に、OAMをインストールするための前提条件を示します。

  • OAMは、WebLogicでサポートされるアイデンティティ・ストアを使用する認証スキームで構成する必要があります(通常は、LDAP - Active DirectoryまたはOracle Internet Directory)。

  • WebLogicは、同じアイデンティティ・ストアを使用するEDQを認証するように構成する必要があります。「WebLogicおよびOPSSを使用した外部ユーザー管理(LDAP)の統合」を参照してください。これは、OAMの統合ステップに進む前に、EDQで構成およびテストする必要があります。

  • Webサーバー・フロントエンド(OHSまたはApache)をインストールして、WebgateソフトウェアとWebLogicプラグイン(mod_wl_ohs)で構成する必要があります。これらは、OHS 14リリースにバンドルされています。

OAM構成

この項では、OAMの構成方法について説明します。

OAMを構成するには、次のステップを実行します。

  1. WebLogicで構成されたアイデンティティ・ストアを参照する認証スキーマを使用して、OAMでWebgateを作成します。

    Webgateで次のHTTPリソースを作成します。

    表B-1 WebgateでのHTTPSリソースの作成

    RESOURCE POLICY

    /edq/ui/**

    保護対象リソース・ポリシー

    /edq/**

    パブリック・リソース・ポリシー(または除外)

  2. WebgateアーティファクトをOHSインストールにコピーして、webgate/configディレクトリに配置します。

WebLogicプラグイン構成

この項では、WebLogicプラグインの構成方法について説明します。

WebLogicプラグイン(mod_wl_ohs)がWebサーバー・フロントエンドで構成されていることを確認します。このエントリをプラグイン構成ファイル(通常はmod_wl_ohs.conf)に追加します。

<Location /edq>
  SetHandler weblogic-handler
  WebLogicPort managed server port
  WebLogicHost hostname
</Location>

WebLogicクラスタを使用している場合、ホストとポートの設定をクラスタ定義で置き換えます。

WebLogicCluster host1:port1, host2:port2, ...

EDQサーバーに対して「WebLogicプラグインの有効化」オプションが設定されていることを確認します。これは、ドメイン、クラスタ、サーバー・テンプレートまたはサーバーの各レベルで実行できます。ドメインの場合、このオプションは、「構成」の「Webアプリケーション」タブにあります。他のアイテムの場合、このオプションは、「一般構成」タブの「詳細」領域にあります。

WebLogic構成

この項では、WebLogicの構成方法について説明します。

WebLogicを構成するには、次のステップを実行します。

  1. WebLogicリモート・コンソールにログインします。
  2. 「ツリーの編集」で、「セキュリティ」「レルム」「認証プロバイダ」に移動します。
  3. 「新規」をクリックして、新しいプロバイダを追加します。
  4. 「名前」フィールドに、名前を入力します。たとえば、OAMと入力します。
  5. 「タイプ」ドロップダウンをクリックし、「Oracle Access Manager IDアサーション・プロバイダ」を選択します。

    次の値を設定する必要があります。

    • アクティブ・タイプ - OAM_REMOTE_USER

    • SSOヘッダー名 - OAM_REMOTE_USER

  6. 「制御フラグ」をクリックし、他のすべてのプロバイダの値を「SUFFICIENT」に設定します。
  7. 上に移動するボタンをクリックし、OAMアイデンティティ・アサータが最初のプロバイダとして表示されるようにプロバイダを並べ替えます。
  8. 右上隅にあるショッピング・カートをクリックして、「変更のコミット」を選択します。