1. Oracle Access Management on Kubernetesのデプロイおよび管理
  2. Oracle Access Management on Kubernetesのインストール
  3. Oracle WebGateを使用した基本的なSSOフローの検証
  4. Oracle WebGateを使用するためのOHSの構成

11.5 Oracle WebGateを使用するためのOHSの構成

オンプレミスのOracle HTTP Server (OHS)を使用するか、KubernetesにデプロイされたOHSを使用するかに応じて、関連する項に従います。

オンプレミスのOHSインストール

次のすべての例で、インストールのディレクトリ・パスに変更します。

  1. OHSおよびOracle WebGateがインストールされているサーバーで、次のコマンドを実行します:
    cd <OHS_ORACLE_HOME>/webgate/ohs/tools/deployWebGate
    ./deployWebGateInstance.sh -w <OHS_DOMAIN_HOME>/config/fmwconfig/components/OHS/ohs1 -oh <OHS_ORACLE_HOME> -ws ohs
    出力は次のようになります:
    Copying files from WebGate Oracle Home to WebGate Instancedir
  2. 次のコマンドを実行して、OHS構成ファイルを適切に更新します:
    export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:<OHS_ORACLE_HOME>/lib
    cd <OHS_ORACLE_HOME>/webgate/ohs/tools/setup/InstallTools/
    ./EditHttpConf -w <OHS_DOMAIN_HOME>/config/fmwconfig/components/OHS/ohs1 -oh <OHS_ORACLE_HOME>
    出力は次のようになります:
    The web server configuration file was successfully updated
<OHS_DOMAIN_HOME>/config/fmwconfig/components/OHS/ohs1/httpd.conf has been backed up as <OHS_DOMAIN_HOME>/config/fmwconfig/components/OHS/ohs1/httpd.conf.ORIG
  3. 前にダウンロードしたエージェントzipファイルをコピーし、OHSサーバー・ディレクトリ(<OHS_DOMAIN_HOME>/config/fmwconfig/components/OHS/ohs1/webgate/configなど)にコピーします。zipファイルを解凍します。
  4. OAMエントリ・ポイントの証明書に署名した認証局(CA)の証明書(cacert.pem)を取得します。同じディレクトリ(<OHS_DOMAIN_HOME>/config/fmwconfig/components/OHS/ohs1/webgate/configなど)にコピーします。

    ノート:

    管理者は、次のことに注意する必要があります:
    • CA証明書は、OAMエントリ・ポイントの証明書に署名した証明書です。たとえば、ロード・バランサを介してOAMに直接アクセスする場合、これはロード・バランサ証明書のCAです。
    • ファイル名は、cacert.pemに変更する必要があります。
  5. OHSを再起動します。
  6. 保護されたリソース(https://ohs.example.com/myappなど)にアクセスし、SSOログイン・ページにリダイレクトされることを確認します。ログインして、アプリケーションに正常にリダイレクトされることを確認します。

KubernetesにデプロイされたOHS

KubernetesにOHSをデプロイしている場合は、前にダウンロードしたエージェントzipファイルをKubernetes管理ノードの$WORKDIR/ohsConfig/webgate/configディレクトリにコピーして解凍する必要があります。

詳細な手順は、OHS構成ファイルの準備に関する項を参照してください

OAPを使用するためのWebGateエージェントの変更

ノート:

この項に従う必要があるのは、OAM/WebGateエージェントの通信をHTTPSからOAPに変更する必要がある場合のみです。
OAPを使用するようにWebGateエージェントを変更するには:
  1. OAMコンソールで、「アプリケーション・セキュリティ」、「エージェント」の順にクリックします。
  2. 変更するエージェントを検索し、選択します。
  3. 「ユーザー定義パラメータ」で、次のように変更します:
    • OAMServerCommunicationModeを、HTTPSからOAPへ。たとえば、OAMServerCommunicationMode=OAPです
    • OAMRestEndPointHostName=<hostname>を、イングレス・コントローラがデプロイされているホスト名へ。たとえば、OAMRestEndPointHostName=oam.example.comです。
  4. 「サーバー・リスト」セクションで、「追加」をクリックし、次の値を持つ新しいサーバーを追加します:
    • アクセス・サーバー: その他
    • ホスト名: イングレス・コントローラがデプロイされるホスト名。たとえば、oam.example.comです
    • ホスト・ポート: <oamoap-service NodePort>

    ノート:

    「ホスト・ポート」の値を検索するには、次を実行します:
    kubectl describe svc accessdomain-oamoap-service -n oamns
    出力は次のようになります:
    Name:                     accessdomain-oamoap-service
Namespace:                oamns
Labels:                   <none>
Annotations:              <none>
Selector:                 weblogic.clusterName=oam_cluster
Type:                     NodePort
IP Families:              <none>
IP:                       10.100.202.44
IPs:                      10.100.202.44
Port:                     <unset>  5575/TCP
TargetPort:               5575/TCP
NodePort:                 <unset>  30540/TCP
Endpoints:                10.244.5.21:5575,10.244.6.76:5575
Session Affinity:         None
External Traffic Policy:  Cluster
Events:                   <none>
    前述の例では、NodePort30540です。
  5. 作成したサーバーを除き、「サーバー・リスト」内のすべてのサーバーを削除して、「適用」をクリックします。
  6. 「ダウンロード」をクリックし、WebGate zipファイルをダウンロードします。zipファイルを目的のWebGateにコピーします。
  7. <OHS_DOMAIN_HOME>/servers/ohs1/cacheからキャッシュを削除し、Oracle HTTP Serverを再起動します。