7 Identity Federationとの統合
この章では、次の内容を説明します。
7.1 Oracle Access Managerとのアイデンティティ・フェデレーションの概要
この項では、Access Managerとのフェデレーションに関する背景について説明します。
内容は次のとおりです。
7.1.1 Oracle Access Management Identity Federationについて
アイデンティティ・フェデレーションは次の2つのアーキテクチャで使用可能です。
-
Oracle Access Management Identity Federationとして知られ、Oracle Access Managementに組み込まれるフェデレーション・エンジンとして。
-
Oracle Identity Federationとして知られ、複数ドメインからなるアイデンティティ・ネットワークでのシングル・サインオンおよび認証を可能にする、スタンドアロンの自己完結型フェデレーション・サーバーとして。
Oracle Identity Federationに付属のSP統合エンジンは、サーバーからのリクエストを処理してIdentity and Access Management (IAM)サーバーでユーザー用の認証済セッションを作成するサーブレットで構成されています。このエンジンには、Access Manager (旧Oracle Access Manager)などの異なるIAMサーバーとの相互作用を可能にする複数の内部プラグインが含まれています。
7.1.2 Identity Federationのデプロイメント・オプションについて
関連項目:
Oracle Access Managementの命名規則および名前の変更の詳細は、Oracle Access Management管理者ガイドのOracle Access Managementの概要に関する項を参照してください。
Access Managerとのアイデンティティ・フェデレーションを使用して認証済ユーザー・セッションを作成するための様々なデプロイメント・オプションを使用できます。
Oracle Fusion Middlewareフレームワークでは、クロス・ドメイン・シングル・サインオンを実現するため次のような統合された手法をサポートしています。
-
Access Managerサーバーに組み込まれたOracle Access Management Identity Federationエンジン。すべての構成がAccess Managerで実行されます。
この方法は、14c (14.1.2.1.0)で利用可能です。このエンジンは、サービス・プロバイダ(SP)・モードとアイデンティティ・プロバイダ(IdP)・モードの両方をサポートしています。
-
フェデレーション機能を提供するために統合可能なOracle Identity FederationとOracle Access Managerの個別のサーバー。この統合では、両方のサーバーを管理および構成する必要があります。
この方法は、11gリリース1 (11.1.1)で利用可能です。
この方法において、Oracle Identity FederationではOracle Access Managerの2つのデプロイメント・シナリオを用意しています。
-
Oracle Access Manager 10gと統合されたOracle Identity Federation 11gリリース1 (11.1.1)
-
Access Manager 11gと統合されたOracle Identity Federation 11gリリース1 (11.1.1)
-
表7-1に、アイデンティティ・フェデレーション製品をOracle Access Managerと統合する際に使用できるオプションをまとめ、デプロイメント手順へのリンクを示します。
表7-1 Oracle Access Manager 10gとAccess Manager 11gを含むデプロイメント・オプション
| Access Managerバージョン | 説明 | 追加情報 |
|---|---|---|
|
Oracle Access Manager 11gR2 |
Access Managerには、Oracle Access Managementコンソールを介して構成可能なSPモードとIdPモードの両方の機能をサポートする組込みのフェデレーション・エンジンが含まれています。 |
Oracle Access Management管理者ガイドのOracle Access Suiteコンソール内のフェデレーションの概要に関する項 |
|
Oracle Access Manager 11gR1 |
スタンドアロンのOracle Identity Federation 11gリリース1サーバーは、Access Manager 11gサーバーと統合します。 |
Oracle Access Manager統合ガイドの「Oracle Identity Federationの統合」 |
|
Oracle Access Manager 10g |
スタンドアロンのOracle Identity Federation 11gリリース1サーバーは、Oracle Access Manager 10gサーバーと統合します。 |
Oracle Identity Federationの管理者ガイドのOracle Access Manager 10gを使用したOracle Identity Federationのデプロイに関する項。 |
7.2 タスクを自動化するAccess Manager-OIF統合スクリプトの実行
この自動化されたステップによって、手動の手順よりも、統合が円滑で高速になります。
この項には、次の項目が含まれます。
7.2.2 WebLogic ServerとOracle Identity Federationサーバーが稼働していることの確認
WebLogic ServerとOracle Identity Federationサーバーが稼働していることを確認します。
-
Oracle WebLogic Server
管理サーバーと管理対象サーバーが起動しており、稼働中であることを確認します。
-
Oracle Identity Federation
次の形式のURLを使用して、Oracle Identity FederationサーバーのFusion Middleware Controlコンソールにアクセスします。
http://oif_host:oif_em_port/em
すべてのサーバーが実行されていることを確認します。
7.2.3 Access Manager-OIF統合の自動化された手順の実行
Access ManagerとOracle Identity Federationの統合における一部のタスクの自動化は、配布されたpythonスクリプトの実行によって行われます。
7.2.3.1 フェデレーション構成スクリプトで実行されるタスク
このスクリプトは、次のタスクおよび手順を実行します。
-
Oracle Identity Federationのすべての構成の自動化
-
Oracle Identity FederationをDAPパートナとしてAccess Managerに登録
-
Oracle Identity FederationのURLをポリシー・ドメインに保護されているリソースとして追加。
7.2.3.2 Access ManagerマシンへのAccess Manager-OIF統合スクリプトのコピー
一部のファイルをAccess Managerホストにコピーする必要があります。ファイルは次のとおりです。
-
setupOIFOAMConfig.sh、 -
setupOIFOAMIntegration.py -
ロケール固有のリソース・バンドル
oifWLSTResourceBundle_locale.properties
これらのファイルを保存するために、Access Managerホスト・マシンでディレクトリを作成するかまたは既存のディレクトリにコピーします。たとえば、/scratch/scripts (Linux)またはc:\temp\scripts (Windows)です。
7.2.3.3 Access Manager-OIF統合スクリプトへの入力の理解
スクリプトは名前指定パラメータを入力として解釈します(入力の順序は関係ありません)。入力値が渡されないとたいていの場合に、デフォルト値が適用されます。
表7-2は、スクリプトによって必要とされる入力を示しています。
表7-2 Access Manager-OIF 11gR1統合スクリプトへの入力
| パラメータ | 説明 | デフォルト | 必須かどうか。 |
|---|---|---|---|
|
oifHost |
Oracle Identity Federation管理対象サーバーのホスト名 |
なし |
○ |
|
oifPort |
Oracle Identity Federation管理対象サーバーのポート番号 |
7499 |
× |
|
oifAdminHost |
Oracle Identity Federation管理サーバーのホスト名 |
oifHost |
× |
|
oifAdminPort |
Oracle Identity Federation管理サーバーのポート番号 |
7001 |
× |
|
oamAdminHost |
Access Manager管理サーバーのホスト名 |
localhost |
× |
|
oamAdminPort |
Access Manager管理サーバーのポート番号 |
7001 |
× |
|
agentType |
使用されるエージェント・タイプ(例: webgate10g、webgate11g、 mod_osso) |
webgate11g |
× |
ノート:
エージェント・タイプは、rregツールを使用して、またはOracle Access Managementコンソールを介してAccess Managerで作成されたエージェントです。
7.2.3.4 Access Manager-OIF統合スクリプトの実行
自動化は、スクリプト・ファイルsetupOIFOAMConfig.sh (Linux)またはsetupOIFOAMConfig.cmd (Windows)の実行によって行われます。
ステップは次のとおりです。
UNIXの場合:
スクリプトの実行ステップを次に示します。例のパラメータ値に適切な値を代入してください。
-
コマンド行プロンプトで、
DOMAIN_HOMEを次のように設定します。export DOMAIN_HOME=path to domain home -
Oracle Identity Federation管理および管理対象サーバーが同じホストに存在し、エージェント・タイプは非デフォルト(たとえば、webgate10g)の場合、次のコマンドを実行します。
./setupOIFOAMConfig.sh oifHost=myhost oifPort=portnum oamAdminHost=myhost2 oamAdminPort=portnum2 agentType=webgate10g
-
Oracle Identity Federation管理および管理対象サーバーが別のホストに存在し、エージェント・タイプはデフォルト(例: webgate11g)の場合、次のコマンドを実行します。
./setupOIFOAMConfig.sh oifHost=myhost oifPort=portnum oifAdminHost=myhost2 oifAdminPort=portnum2 oamAdminHost=myhost3 oamAdminPort=portnum3
-
Oracle Identity Federation管理および管理対象サーバーが同じホストに存在し、すべてのデフォルトが表7-2から適用される場合、次のコマンドを実行します。
./setupOIFOAMConfig.sh oifHost=myhost oamAdminHost=myhost2
Windowsの場合:
スクリプトの実行ステップを次に示します。例のパラメータ値に適切な値を代入してください。