1. Oracle WebCenter Contentの管理
  2. セキュリティの管理
  3. コンテンツ・サーバー用Fusion Middlewareセキュリティの構成

16 コンテンツ・サーバー用Fusion Middlewareセキュリティの構成

この章では、セキュリティ構成情報と、Oracle Fusion Middleware、Oracle WebLogic Server、Oracle認証および認可ソフトウェアを、Oracle WebCenter ContentおよびOracle WebCenter Content Serverに統合する手順について説明します。

この章の内容は次のとおりです。

Oracle Fusion MiddlewareおよびOracle WebLogic Serverのセキュリティの詳細は、表16-1にリストするドキュメントを参照してください。

16.1 LDAP認証プロバイダ

Oracle WebCenter ContentはOracle WebLogic Server上で実行されます。Oracle WebLogic Serverドメインには、デフォルト認証、認可、資格証明マッピングおよびロール・マッピング・プロバイダ用のデフォルトのセキュリティ・プロバイダ・データ・ストアとして動作する、組込みLightweight Directory Access Protocol (LDAP)サーバーが含まれます。WebCenter ContentはOracle WebLogic Serverと通信するデフォルトのJpsUserProviderを提供します。『Oracle WebLogic Serverセキュリティの管理』組込みLDAPサーバーの管理に関する項およびOracle WebLogic Server管理コンソール・オンライン・ヘルプの組込みLDAPサーバーの構成に関する項を参照してください。

ほとんどの場合、組込みLDAPサーバーを使用するのではなく、Oracle WebCenter Content本番システムのアイデンティティ・ストアを外部LDAP認証プロバイダに再度関連付ける必要があります。新規LDAP認証プロバイダを構成した後、組込みLDAPプロバイダから新規LDAPプロバイダにユーザーを移行します。Oracle Internet Directory (OID)などの外部LDAP認証プロバイダは、デフォルトの認証プロバイダを含む、すべてのその他の認証プロバイダよりも前にリストされる必要があります。『Oracle WebCenter Contentのインストールと構成』アイデンティティ・ストアの外部LDAP認証プロバイダとの再関連付けに関する項を参照してください。

ノート:

11g リリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、2つのOracle Internet Directory (OID)プロバイダをユーザーおよびロール情報のソースとして使用できる場合もあります。『Oracle Platform Security Servicesによるアプリケーションの保護』単一および複数のLDAPの構成に関する項を参照してください。

表16-1に、ユーザー認証用に構成できるLDAPプロバイダを示します。

表16-1 LDAPオーセンティケータ・タイプ

LDAPサーバー オーセンティケータ・プロバイダ

Microsoft AD

ActiveDirectoryAuthenticator

SunOne LDAP

IPlanetAuthenticator

Oracle Directory Server Enterprise Edition(ODSEE)

IPlanetAuthenticator

Oracle Unified Directory (OUD)

IPlanetAuthenticator

Oracle Internet Directory

OracleInternetDirectoryAuthenticator

Oracle Virtual Directory

OracleVirtualDirectoryAuthenticator

EDIRECTORY

NovellAuthenticator

OpenLDAP

OpenLDAPAuthenticator

EmbeddedLDAP

DefaultAuthenticator

外部LDAPサーバーを使用してWebCenter Contentを構成し、WebCenter Contentが認識する権限を持つディレクトリに動的グループ(および静的グループ)が存在する場合は、追加の構成が必要になります。ユーザーの作成、認証および認可はOracle Platform Services Security (OPSS)を使用して管理されており、これは、外部LDAPサーバーのネイティブOracle WebLogic Serverプロバイダと比較されたときに、別のメカニズムを使用してディレクトリ・サーバーの情報を収集します。外部のLDAPサーバーのブログからOracle WebCenterおよび動的グループに関する記事を参照してください。

16.2 SSLを使用するためのOracle WebCenter Contentの構成

SSLを使用してWebCenter Contentとセキュアな通信を行うようにOracle Fusion Middlewareを構成できます。Oracle Fusion MiddlewareではSSLバージョン3に加えて、TLSバージョン1をサポートしています。

この項の内容は次のとおりです。

詳細は、『Oracle WebLogic Serverセキュリティの管理』SSLの構成に関する項を参照してください。Web層の構成の詳細は、『Oracle Fusion Middlewareの管理』「Oracle Fusion MiddlewareでのSSLの構成」を参照してください。

16.2.1 WebCenter Contentの双方向SSL通信の構成

WebCenter Contentは、双方向SSL通信を構成するために、Oracle WebLogic ServerのSecure Socket Layer (SSL)スタックを使用します。

  • インバウンドのWebサービス・バインディングの場合、WebCenter ContentではOracle WebLogic Serverインフラストラクチャを使用し、SSL用にOracle WebLogic Serverライブラリを使用します。

  • アウトバウンドのWebサービス・バインディングの場合、WebCenter ContentではJRF HttpClientを使用し、SSL用にOracle Sun JDKライブラリを使用します。

このように違いがあるため、次のJVMオプションを使用してOracle WebLogic Serverを起動します。

  1. 次のファイルを開きます。

    • UNIXオペレーティング・システムでは、$MIDDLEWARE_HOME/user_projects/domains/domain_name/bin/setDomainEnv.shを開きます。

    • Windowsオペレーティング・システムでは、MIDDLEWARE_HOME\user_projects\domains\domain_name\bin\setDomainEnv.batを開きます。

  2. サーバーが一方向SSL(サーバー認可のみ)に対して有効な場合は、次の行をJAVA_OPTIONSセクションに追加します。 

    -Djavax.net.ssl.trustStore=your_truststore_location

    双方向SSLの場合は、キーストア情報(場所とパスワード)は不要です。

WebCenter Contentが別のアプリケーションを呼び出すために双方向SSLを有効化するには:

ノート:

サーバーとクライアントの両方が相互認証でSSL用に構成されていることが前提となります。

  1. クライアント側で、キーストアの場所を指定します。

    1. 「SOAインフラストラクチャ」メニューから、「SOA管理」「共通プロパティ」の順に選択します。

    2. ページの下部で、「詳細SOAインフラ拡張構成プロパティ」をクリックします。

    3. 「KeystoreLocation」をクリックします。

    4. 「値」列に、キーストアの場所を入力します。

    5. 「適用」をクリックします。

    6. 「戻る」をクリックします。

  2. クライアント側のDOMAIN_HOME\config\soa-infra\configuration\soa-infra-config.xmlでキーストアの場所を指定します。 

    <keystoreLocation>absolute_path_to_the_keystore_location_and_the_file_name
</keystoreLocation>

  3. Oracle JDeveloperでの設計時に、composite.xmlファイル内の参照セクションをoracle.soa.two.way.ssl.enabledプロパティで更新します。 

    <reference name="Service1" 
   ui:wsdlLocation=". . ."> 
   <interface.wsdl interface=". . ."/> 
     <binding.ws port=". . ."> 
      <property name="oracle.soa.two.way.ssl.enabled">true</property> 
  </binding.ws> 
 </reference>

  4. Oracle Enterprise Manager Fusion Middleware Controlコンソールで、「WebLogicドメイン」domain_nameの順に選択します。

  5. domain_nameを右クリックし、「セキュリティ」,、「資格証明」の順に選択します。

  6. 「マップの作成」をクリックします。

  7. 「マップ名」フィールドに名前(SOAなど)を入力し、「OK」をクリックします。

  8. 「キーの作成」をクリックします。

  9. 次の詳細を入力します。

    フィールド 説明

    マップの選択

    ステップ7で作成したマップ(この例ではSOA)を選択します。

    キー

    キー名を入力します(KeystorePasswordがデフォルトです)。

    タイプ

    「パスワード」を選択します。

    ユーザー名

    ユーザー名を入力します(KeystorePasswordがデフォルトです)。

    パスワード

    キーストアに対して作成したパスワードを入力します。

    ノート:

    WebLogic ServerドメインでSSLを設定する場合、キーの別名が必要です。別名の値として「mykey」を入力する必要があります。この値は必須です。

  10. Oracle Enterprise Manager Fusion Middleware Controlコンソールでキーストアの場所を設定します。方法については、ステップ1を参照してください。

  11. httpsおよびsslportを使用してOracle WebCenter Contentを起動するようにcomposite.xml構文を変更します。たとえば、次の太字で示されている構文を変更します。 

    <?xml version="1.0" encoding="UTF-8" ?> 
<!-- Generated by Oracle SOA Modeler version 1.0 at [4/1/09 11:01 PM]. --> 
<composite name="InvokeEchoBPELSync" 
revision="1.0" 
label="2009-04-01_23-01-53_994" 
mode="active" 
state="on" 
xmlns="http://xmlns.example.com/sca/1.0" 
xmlns:xs="http://www.w3.org/2001/XMLSchema" 
xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" 
xmlns:orawsp="http://schemas.example.com/ws/2006/01/policy" 
xmlns:ui="http://xmlns.example.com/soa/designer/"> 
<import 
namespace="http://xmlns.example.com/CustomApps/InvokeEchoBPELSync/BPELProcess1"
  location="BPELProcess1.wsdl" importType="wsdl"/>
<import namespace="http://xmlns.example.com/CustomApps/EchoBPELSync/
BPELProcess1"location="http://hostname:port/soa-infra/services/default/EchoBPEL
Sync/BPELProcess1.wsdl"
importType="wsdl"/>

    httpsおよびsslportを使用するように変更します。 

    location="https://hostname:sslport/soa-infra/services/default/EchoBPELSync
/BPELProcess1.wsdl"

16.2.2 Oracle JDeveloperの一方向SSL環境での参照の呼出し

Webサービスを一方向SSL環境でWebCenter Contentからの外部参照として呼び出す場合は、サーバーの証明書名(CN)とホスト名が完全に一致することを確認します。これにより、正しいSSLハンドシェイクが保証されます。

たとえば、Webサービスの名前がadfbcで、証明書のサーバー名がhostの場合は、次のコードでSSLハンドシェーク例外が発生します。 

<import namespace="/adfbc1/common/"
location="https://host.example.com:8002/CustomApps-adfbc1-context-root/AppModuleService?WSDL"
          importType="wsdl"/> 
<import namespace="/adfbc1/common/" location="Service1.wsdl" 
          importType="wsdl"/>

importの順序を入れ替えると、SSLハンドシェイクに成功します。 

<import namespace="/adfbc1/common/" location="Service1.wsdl" 
          importType="wsdl"/> 
<import namespace="/adfbc1/common/" 
location="https://host.example.com:8002/CustomApps-adfbc1-context-root/AppModuleService?WSDL" 
          importType="wsdl"/>

この問題に関連して次の制限があります。

  • Oracle WebLogic Server管理コンソールにあるようなホスト名の検証を無視するオプションはOracle JDeveloperにありません。これは、Oracle JDeveloperで使用されているSSLキットが異なるためです。トラスト・ストアのみコマンド行から構成できます。他のすべての証明書引数は渡されません。

  • WSDLファイルで、https://hostnameは前述のように証明書内の名前と一致する必要があります。ブラウザで行う場合と同じ手順は実行できません。たとえば、証明書のCNのホスト名がhost.example.comの場合、ブラウザではhosthost.example.comまたはIPアドレスを使用できます。Oracle JDeveloperでは、必ず証明書内の名前と同じ名前(host.example.com)を使用する必要があります。

16.2.3 WebCenter ContentおよびOracle HTTP ServerのSSL通信の構成

ここでは、WebCenter ContentとOracle HTTP Server間でSSL通信を構成する手順について説明します。

『Oracle Fusion Middlewareの管理』Web層のためのSSLの構成に関する項を参照してください。

Oracle HTTP ServerのSSL通信を構成するには:

  1. ssl.conf<Location /cs>ロケーション・ディレクティブを追加します。この場合のportはターゲットの管理対象サーバーのポート番号です。 

    <Location /cs>
      WebLogicPort 8002
      SetHandler weblogic-handler
      ErrorPage http://host.example.com:port/error.html
</Location>

  2. 「WebCenter Contentの双方向SSL通信の構成」で説明しているように、Oracle WebLogic Serverを起動します。

Oracle Client、Oracle HTTP ServerおよびOracle WebLogic Serverの証明書を構成する手順は、次のとおりです。

  1. Oracle HTTP Serverウォレットからユーザー証明書をエクスポートします。
    orapki wallet export -wallet . -cert cert.txt  -dn 'CN=\"Self-Signed Certificate for ohs1 \",OU=OAS,O=ORACLE,L=REDWOODSHORES,ST=CA,C=US'
  2. 前述の証明書を信頼できる証明書としてOracle WebLogic Serverトラストストアにインポートします。
    keytool -file cert.txt -importcert -trustcacerts -keystore DemoTrust.jks
  3. Oracle WebLogic Serverトラストストアから証明書をエクスポートします。
    keytool -keystore DemoTrust.jks -exportcert -alias wlscertgencab -rfc -file
certgencab.crt
  4. エクスポートした証明書をOracle HTTP Serverウォレットに信頼できる証明書としてインポートします。
    orapki wallet add -wallet . -trusted_cert -cert certgencab.crt -auto_login_only
  5. Oracle HTTP Serverを再起動します。
  6. 「WebCenter Contentの双方向SSL通信の構成」で説明しているように、Oracle WebLogic Serverを再起動します。

16.2.4 WebCenter Contentでの非SSLからSSL構成への切替え

WebCenter Contentで非SSLからSSL構成に切り替えるには、Oracle WebLogic Server管理コンソールで「フロントエンド・ホスト」および「フロントエンドHTTPSポート」フィールドを設定する必要があります。設定しないと、To-Doタスクを作成するときに例外エラーが発生します。

  1. wls_consoleにログインします。
  2. 「環境」セクションで「サーバー」を選択します。
  3. 管理対象サーバーの名前(UCM_server1など)を選択します。
  4. 「プロトコル」を選択し、次に「HTTP」を選択します。
  5. 「フロントエンド・ホスト」フィールドで、WebCenter Contentドメインが配置されているホスト名を入力します。
  6. 「フロントエンドHTTPSポート」フィールドに、SSLリスナー・ポートを入力します。
  7. 「保存」をクリックします。

16.2.5 一方向SSLでのカスタム・トラスト・ストアの使用

keytoolorapkiなどのツールで作成したカスタム・トラスト・ストアを使用している場合にHTTPSを介してWebCenter Contentを起動するには、Oracle JDeveloperで次の操作を実行します。

  1. 参照セクションでWSDLファイルをフェッチするには、「ツール」「プリファレンス」「HTTPアナライザ」「HTTPS設定」「クライアントの信頼する証明書キーストア」の順でトラスト・ストア情報を設定します。
  2. SSL対応サーバーへのデプロイメント時に、コマンドラインでJSSEプロパティを使用します。
    jdev -J-Djavax.net.ssl.trustStore=your_trusted_location

16.2.6 非同期プロセスの呼び出しのための非同期プロセスの有効化

SSL対応の管理対象サーバーにデプロイされた非同期プロセスを有効化して、別の非同期プロセスをHTTPで呼び出すには、まず次の環境を作成することを前提とします。

  • 非同期BPELプロセスAが非同期BPELプロセスBを呼び出す

  • 非同期BPELプロセスAは一方向SSL対応の管理対象サーバーにデプロイされる

  • すべてのWSDL参照およびバインディングでプレーンHTTPを使用する

実行時に、WSDLはHTTPSを介して検索され、非同期BPELプロセスBからのコールバック・メッセージが失敗します。

この問題を解決するには、callbackServerURLプロパティをcomposite.xmlファイルの参照バインディング・レベルで渡す必要があります。これは、特定の参照呼出しのコールバックURLの値を示します。クライアント・コンポジットがSSL管理対象サーバーで実行されている場合、コールバックはデフォルトでSSLになります。 

<reference name="Service1" ui:wsdlLocation="http://localhost:8000/soa-infra/services/default/
                AsyncSecondBPELMTOM/BPELProcess1.wsdl"> 
    <interface.wsdl interface="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1# 
                wsdl.interface(BPELProcess1)" callbackInterface="http://xmlns.example.com/Async/ 
                AsyncSecondBPELMTOM/BPELProcess1#wsdl.interface(BPELProcess1Callback)"/> 
    <binding.ws port="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1#
                wsdl.endpoint(bpelprocess1_client_ep/BPELProcess1_pt)" 
        location="http://localhost:8000/soa-infra/services/default/AsyncSecondBPELMTOM 
                /bpelprocess1_client_ep?WSDL"> 
            <wsp:PolicyReference URI="oracle/wss_username_token_client_policy" 
                orawsp:category="security" orawsp:status="enabled"/>
            <wsp:PolicyReference URI="oracle/wsaddr_policy"  orawsp:category="addressing"
                orawsp:status="enabled"/> 
            <property name="callbackServerURL">http://localhost:8000/</property> 
    </binding.ws> 
    <callback> 
            <binding.ws port="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1#
                wsdl.endpoint(bpelprocess1_client_ep/BPELProcess1Callback_pt)"> 
              <wsp:PolicyReference URI="oracle/wss_username_token_service_policy"
                  orawsp:category="security" orawsp:status="enabled"/> 
            </binding.ws> 
    </callback> 
</reference>

16.2.7 有効な証明書パスのためのRIDC SSLの構成

Remote Intradoc Client (RIDC)および自己署名証明書を使用するには、証明書をローカルのJVM証明書ストアにインポートして証明書が信頼されるようにする必要があります。

  1. コンテンツ・サーバー・インスタンスからキーを取得します。たとえば:
    openssl s_client -connect host.example.com:7045 2>/dev/null

CONNECTED(00000003)
---
Certificate chain
  
 0 s:/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING ONLY/CN=hostname 
i:/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING ONLY/CN=CertGenCAB
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING
ONLY/CN=host
issuer=/C=US/ST=MyState/L=MyTown/O=MyOrganization/OU=FOR TESTING
ONLY/CN=CertGenCAB
---
No client certificate CA names sent
---
SSL handshake has read 625 bytes and written 236 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 512 bit
Compression: NONE
Expansion: NONE
SSL-Session:
   Protocol  : TLSv1
   Cipher    : RC4-MD5
   Session-ID: 23E20BCAA4BC780CE20DE198CE2DFEE4
   Session-ID-ctx:
   Master-Key:
4C6F8E9B9566C2BAF49A4FD91BE90DC51F1E43A238B03EE9B700741AC7F4B41C72D2990648DE103
BB73B3074888E1D91
   Key-Arg   : None
   Start Time: 1238539378
   Timeout   : 300 (sec)
   Verify return code: 21 (unable to verify the first certificate)
---
  2. -----BEGIN CERTIFICATE----------END CERTIFICATE-----行で囲まれたサーバー証明書をコピーして貼り付けます。証明書を新しいファイルに保存します。たとえば: 
    /tmp/host.pem:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
  3. 証明書をローカルのJVM証明書ストアにインポートします。キーストア・パスワードが必要になります。たとえば(パスワードはchangeitです): 
    sudo /opt/java/jdk1.6.0_12/bin/keytool -import -alias host -keystore 
/opt/java/jdk1.6.0_12/jre/lib/security/cacerts -trustcacerts -file 
/tmp/host.pem

Enter keystore password: changeit 
Owner: CN=host, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown,
ST=MyState, C=US
Issuer: CN=CertGenCAB, OU=FOR TESTING ONLY, O=MyOrganization, L=MyTown,
ST=MyState, C=US
Serial number: -74aaccfe3cea8fd89f9000b97aa4a2f8
Valid from: Sun Mar 29 16:44:34 PDT 2009 until: Sat Mar 30 16:44:34 PDT 2024
Certificate fingerprints:
    MD5:  94:F9:D2:45:7F:0D:E3:87:CF:2B:32:7C:BF:97:FF:50
    SHA1: A8:A5:89:8B:48:9B:98:34:70:56:11:01:5C:14:32:AC:CB:18:FF:1F
    Signature algorithm name: MD5withRSA
    Version: 1
Trust this certificate? [no]:  yes
Certificate was added to keystore

16.3 シングル・サインオン用のWebCenter Contentの構成

Oracle WebCenter Content向けの次のシングル・サインオン(SSO)ソリューションのいずれかを構成できます。

  • Oracle Access Manager 11g

  • Oracle Access Manager 10g

  • Oracle Single Sign-On(OSSO)

  • Windowsネイティブ認証(WNA)

Oracle Access Manager (OAM)は、WebCenter Contentを含むOracle Fusion Middlewareエンタープライズ・クラスのインストールに推奨するシングル・サインオン(SSO)ソリューションです。OAMはOracleのアイデンティティ管理およびセキュリティ用のエンタープライズ・クラス製品スイートの一部です。

エンタープライズ・クラスのインストールが、Microsoftドメイン・コントローラを使用してActive Directory内のユーザー・アカウントを認証するMicrosoftデスクトップ・ログインを使用する場合、Windows Native Authentication (WNA)のシングル・サインオンの構成はオプションの場合があります。WNAの詳細は、「Windowsのネイティブ認証用のWebCenter Contentおよびシングル・サインオンの構成」を参照してください。

Oracle WebLogic Server認証プロバイダの概要は、『Oracle WebLogic Serverセキュリティの管理』認証プロバイダの構成に関する項を参照してください。

ノート:

WebDAV (/dav)は、WebDAVプロトコルごとにBasic認証によって保護されていますが、通常はフォームベースのログインが必要となるSSOによっては保護されていません。WebDAVに対してカスタムSSOソリューションを使用する場合は、カスタム・コンポーネントが必要となります。

構成情報は次の項で説明します。

16.3.1 WebCenter Contentを使用したOracle Access Manager 14cの構成

この項では、WebCenter ContentとOracle Access Manager (OAM) 14cの統合方法について説明します。Oracle WebCenter Content: コンテンツ・サーバー(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。

  1. 『Oracle Access Management管理者ガイドfor All Platforms』の説明に従って、OAM 14c、Oracle HTTP Server (OHS)およびWebGateを構成します。

    1. mod_wl_ohs.confファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。

      次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。

      ノート:

      転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、/cs/adfAuthentication/_ocsh/ibrなどです。

      Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、/mysiteロケーション・エントリを追加する必要があります。

      注意:

      コンテンツ・サーバーのロケーション/csはカスタマイズできるため、/cs指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/csが変更されると、管理者が構成したロケーションが転送されます。 

      # Content Server
<Location /cs>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# Content Server authentication
<Location /adfAuthentication>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# WebCenter online help
<Location /_ocsh>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# IBR
<Location /ibr>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

      # SS
<Location /customer-configured-site-studio
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

    2. OAM 14cリモート登録ツール(oamreg)を使用して、保護およびパブリックにするWebCenter ContentのURIを指定して、OAMエージェントを登録します。

      『Oracle Access Management管理者ガイドfor All Platforms』を参照してください。

      ノート:

      保護およびパブリックにするURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。

      Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、URI /mysiteを指定する必要があります。

      機能 タイプ URI

      CS

      保護

      /adfAuthentication

      CS

      パブリック

      /cs

      CS

      パブリック

      /_ocsh

      IBR

      保護

      /ibr/adfAuthentication

      IBR

      パブリック

      /ibr

      SS

      保護

      /customer_configured_site_studio

    3. シングル・サインオン・ログアウトが正常に機能するよう、URL /oamsso/logout.htmlをAccessGateのログアウトURL設定に追加します。『Oracle Fusion Middleware Oracle Access Management管理者ガイド』OAM Webゲートが関与するセッションの集中ログアウトの構成に関する項を参照してください。

  2. これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。

    1. OAM IDアサーション・プロバイダを構成します。OAMアイデンティティ・アサータの制御フラグは、REQUIREDに設定される必要があり、OAM_REMOTE_USERおよびObSSOCookieはアクティブなタイプとして選択される必要があります。

    2. 認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。

      ノート:

      デフォルトのプロバイダ以外の認証プロバイダを使用するように、WebCenter Content用のOracle WebLogic Serverを構成する場合、セキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更できます。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。

    3. OPSS (OAM)シングル・サインオン・プロバイダを構成します。

  3. OAM 14cのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、利用できる状況でグローバル・ログアウトもテストして、関連する他のすべてのアプリケーションからログアウトすることを確認してください。

16.3.2 WebCenter Contentを使用したOracle Access Manager 12cの構成

この項では、WebCenter ContentとOracle Access Manager (OAM) 12cの統合方法について説明します。Oracle WebCenter Content: コンテンツ・サーバー(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。

  1. 『Oracle Access Management管理者ガイドfor All Platforms』の説明に従って、OAM 12c、Oracle HTTP Server (OHS)およびWebGateを構成します。

    1. mod_wl_ohs.confファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。

      次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。

      ノート:

      転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、/cs/adfAuthentication/_ocsh/ibrなどです。

      Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、/mysiteロケーション・エントリを追加する必要があります。

      注意:

      コンテンツ・サーバーのロケーション/csはカスタマイズできるため、/cs指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/csが変更されると、管理者が構成したロケーションが転送されます。 

      # Content Server
<Location /cs>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# Content Server authentication
<Location /adfAuthentication>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# WebCenter online help
<Location /_ocsh>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# IBR
<Location /ibr>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

      # SS
<Location /customer-configured-site-studio
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

    2. OAM 12cリモート登録ツール(oamreg)を使用して、保護およびパブリックにするWebCenter ContentのURIを指定して、OAMエージェントを登録します。

      『Oracle Access Management管理者ガイドfor All Platforms』を参照してください。

      ノート:

      保護およびパブリックにするURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。

      Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、URI /mysiteを指定する必要があります。

      機能 タイプ URI

      CS

      保護

      /adfAuthentication

      CS

      パブリック

      /cs

      CS

      パブリック

      /_ocsh

      IBR

      保護

      /ibr/adfAuthentication

      IBR

      パブリック

      /ibr

      SS

      保護

      /customer_configured_site_studio

    3. シングル・サインオン・ログアウトが正常に機能するよう、URL /oamsso/logout.htmlをAccessGateのログアウトURL設定に追加します。『Oracle Fusion Middleware Oracle Access Management管理者ガイド』OAM Webゲートが関与するセッションの集中ログアウトの構成に関する項を参照してください。

  2. これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。

    1. OAM IDアサーション・プロバイダを構成します。OAMアイデンティティ・アサータの制御フラグは、REQUIREDに設定される必要があり、OAM_REMOTE_USERおよびObSSOCookieはアクティブなタイプとして選択される必要があります。

    2. 認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。

      ノート:

      デフォルトのプロバイダ以外の認証プロバイダを使用するように、WebCenter Content用のOracle WebLogic Serverを構成する場合、セキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更できます。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。

    3. OPSS (OAM)シングル・サインオン・プロバイダを構成します。

  3. OAM 12cのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、利用できる状況でグローバル・ログアウトもテストして、関連する他のすべてのアプリケーションからログアウトすることを確認してください。

16.3.3 WebCenter Contentを使用したOracle Access Manager 11gの構成

この項では、WebCenter ContentとOracle Access Manager (OAM) 11gの統合方法について説明します。Oracle WebCenter Content: コンテンツ・サーバー(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。

OAM 11gを構成する前に、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド 11g リリース1 (11.1.1.9.0)』のOracle Identity Managementのインストールと構成に関する項で提供されている手順に従って、ソフトウェアをインストールします。

  1. 『Oracle Access Management管理者ガイドfor All Platforms』の説明に従って、OAM 11g、Oracle HTTP Server (OHS)およびWebGateを構成します。

    1. mod_wl_ohs.confファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。

      次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。

      ノート:

      転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、/cs/adfAuthentication/_ocsh/ibrなどです。

      Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、/mysiteロケーション・エントリを追加する必要があります。

      注意:

      コンテンツ・サーバーのロケーション/csはカスタマイズできるため、/cs指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/csが変更されると、管理者が構成したロケーションが転送されます。 

      # Content Server
<Location /cs>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# Content Server authentication
<Location /adfAuthentication>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# WebCenter online help
<Location /_ocsh>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# IBR
<Location /ibr>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

      # SS
<Location /customer-configured-site-studio
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

    2. OAM 11gリモート登録ツール(oamreg)を使用して、保護およびパブリックにするWebCenter ContentのURIを指定して、OAMエージェントを登録します。

      『Oracle Access Management管理者ガイドfor All Platforms』を参照してください。

      ノート:

      保護およびパブリックにするURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。

      Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、URI /mysiteを指定する必要があります。

      機能 タイプ URI

      CS

      保護

      /adfAuthentication

      CS

      パブリック

      /cs

      CS

      パブリック

      /_ocsh

      IBR

      保護

      /ibr/adfAuthentication

      IBR

      パブリック

      /ibr

      SS

      保護

      /customer_configured_site_studio

    3. シングル・サインオン・ログアウトが正常に機能するよう、URL /oamsso/logout.htmlをAccessGateのログアウトURL設定に追加します。『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1)』のOAM 11gのログアウトの一元化の構成に関する項を参照してください。

  2. これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。

    1. OAM IDアサーション・プロバイダを構成します。OAMアイデンティティ・アサータの制御フラグは、REQUIREDに設定される必要があり、OAM_REMOTE_USERおよびObSSOCookieはアクティブなタイプとして選択される必要があります。

    2. 認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。

      ノート:

      WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。

    3. OPSS (OAM)シングル・サインオン・プロバイダを構成します。

  3. OAM 11gのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、利用できる状況でグローバル・ログアウトもテストして、関連する他のすべてのアプリケーションからログアウトすることを確認してください。

16.3.4 WebCenter Contentを使用したOracle Access Manager 10gの構成

この項では、WebCenter ContentとOracle Access Manager (OAM) 10gの統合方法について説明します。Oracle WebCenter Content Server(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。

OAMを構成する前に、ソフトウェアをインストールします。『Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド』のOAM統合に関する情報を参照してください。

  1. OAM 10g、Oracle HTTP Server (OHS)およびWebGateを構成します。

    1. mod_wl.confファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。次のLocationリストのエントリは、対応するアプリケーションが存在する適切なOracle WebLogic Serverへの受信パスをマップします。

      次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。

      ノート:

      転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、/cs/adfAuthentication/_ocsh/ibrなどです。

      Site Studioの場合、転送するURIはお客様が定義します。たとえば、サイトが/mysiteとしてアクセスされる場合、/mysiteロケーション・エントリを追加する必要があります。

      注意:

      コンテンツ・サーバーのロケーション/csはカスタマイズできるため、/cs指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/csが変更されると、管理者が構成したロケーションが転送されます。 

      # Content Server
<Location /cs>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# Content Server authentication
<Location /adfAuthentication>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# WebCenter online help
<Location /_ocsh>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# IBR
<Location /ibr>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>
      # SS
<Location /customer-configured-for-site-studio>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portname>
</Location>

    2. OAM 10g構成ツール(OAMCfgTool)を使用して、保護するWebCenter Content URIを指定します。

      OAM構成ツールはコマンドライン・ユーティリティで、情報を要求する一連のスクリプトを起動し、OAMで必要なプロファイルとポリシーを設定するために使用します。

      ノート:

      保護するURIは、Oracle WebCenter Content (CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。

      Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、URI /mysiteを指定する必要があります。

      機能 URI

      CS

      /adfAuthentication

      IBR

      /ibr/adfAuthentication

      SS

      /customer_configured_site_studio

      ノート:

      OAMの構成が完了した後で、WebCenter ContentのURLが正しくリンクしていない場合、サーバー・ホストとサーバーのポート値の変更が必要な場合があります。詳細は、「シングル・サインオン用のWebCenter Content URLの構成」を参照してください。

    3. OAMグローバル・ログアウトの設定を完了するには、end_urlが処理されるようWebゲートを構成します。この構成を追加しない場合、ログアウトしても、end_urlが処理されないため、終了URLへのリダイレクトが行われません。

    4. シングル・サインオン・ログアウトが正常に機能するよう、URL /oamsso/logout.htmlをAccessGateのログアウトURL設定に追加します。『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1)』のOAM 11gのログアウトの一元化の構成に関する項を参照してください。

      ノート:

      WebCenter Contentバージョン11gR1をOAMバージョン10gを使用する環境にデプロイするには、ログアウト・リクエストを適切に処理するための追加の構成が必要です。

  2. 次のタスクを実行して、WebCenter Contentドメインを構成します。

    1. OAM IDアサーション・プロバイダを構成します。OAMアイデンティティ・アサータの制御フラグをREQUIREDに設定する必要があります。

    2. 認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがOracle WebCenter Contentドメインに追加される必要があります。

      ノート:

      WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。

    3. OPSS (OAM)シングル・サインオン・プロバイダを構成します。

  3. OAM 10gのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、利用できる状況でグローバル・ログアウトもテストして、関連する他のすべてのアプリケーションからログアウトすることを確認してください。

16.3.5 WebCenter Content用のOracle Single Sign-Onの構成

Oracle Single Sign-On (OSSO)は14c Oracle Application Serverスイートの一部です。OSSOは、Oracle Internet DirectoryおよびOracle HTTP Server (OHS) 14cと組み合せたアプリケーション・サーバーで使用できるエンタープライズ・レベルのシングル・サインオン・ソリューションです。

既存のOracleデプロイメントにOSSOがエンタープライズ・ソリューションとしてすでにデプロイされている場合、Oracle Fusion Middlewareは、既存のOSSOソリューションを引き続きサポートします。ただし、OAM 14c Single Sign-onソリューションへのアップグレードを検討することをお薦めします。

この項では、WebCenter ContentとOSSOの統合に関する情報について説明します。Oracle WebCenter Content Server(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。

OSSOを構成する前に、ソフトウェアがインストールされていることを確認します。OSSOおよびOracle Delegated Administration Serviceは11g リリースの一部ではありません。お客様は、11g Oracle Internet DirectoryおよびOracle Directory Integration Platformと互換性があり、いわゆる10gでのApplication Serverインフラストラクチャを形成する、これらの製品の10.1.4.*バージョンをダウンロードする必要があります。これらの10g製品でのデプロイ手順は、Oracle Identity Managementリリース10.1.4.0.1用のOracle Application Serverエンタープライズ・デプロイメント・ガイド(原本部品番号B28184-02)のJAZN-SSO/DASのインストールおよび構成に関する説明を参照してください。このマニュアルは次のOracle Technology Networkから使用可能です。

http://download.oracle.com/docs/cd/B28196_01/core.1014/b28184/toc.htm

  1. OSSOを構成します。

    1. WebCenter Content Uniform Resource Identifier (URI)エントリをmod_wl_ohs.confファイルに追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。

      次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。

      ノート:

      転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、/cs/adfAuthentication/_ocsh/ibrなどです。

      Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、/mysiteロケーション・エントリを追加する必要があります。

      注意:

      コンテンツ・サーバーのロケーション/csはカスタマイズできるため、/cs指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/csが変更されると、管理者が構成したロケーションが転送されます。 

      # Content Server
<Location /cs>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# Content Server authentication
<Location /adfAuthentication>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# WebCenter online help
<Location /_ocsh>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

# IBR
<Location /ibr>
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

      # SS
<Location /customer-configured-site-studio
      SetHandler weblogic-handler
      WebLogicHost <hostname>
      WebLogicPort <portnumber>
</Location>

    2. 保護するWebCenter Content Uniform Resource Identifier (URI)を含めるようにmod_osso.confファイル(ORACLE_HOME/ohs/conf/)を変更します。

      ノート:

      保護するURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。

      Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが/mysiteとしてアクセスされる場合、URI /mysiteを指定する必要があります。

      機能 URI

      CS

      /adfAuthentication

      IBR

      /ibr/adfAuthentication

      SS

      /customer_configured_site_studio

  2. これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。

    1. WebCenter Content用のOracle WebLogic ServerのOSSOアイデンティティ・アサータを追加および構成します。認証プロバイダとして、OSSOアイデンティティ・アサータ、OIDオーセンティケータ、デフォルト・オーセンティケータを推奨します。

      OIDオーセンティケータ・プロバイダはOracle Internet Directoryサーバー用で、本稼働レベルのシステムで使用されます。デフォルト・オーセンティケータ・プロバイダは、Oracle WebLogic Server組込みLDAPサーバー用です。

      OSSOIdentityAsserterをドメイン用のプライマリ・プロバイダ・オーセンティケータとして設定し、ユーザー・プロファイルが関連Oracle Internet Directoryサーバーから取得できるようにします。必要な場合、リストされているように制御フラグを設定し、プロバイダの順序を変更して次の順序で表示されるようにします。

      OSSOIdentityAsserter (REQUIRED)

      OIDAuthenticator (SUFFICIENT)

      DefaultAuthenticator (SUFFICIENT)

      ノート:

      WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。

    2. 認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OSSOでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。

ノート:

OSSOの構成が完了した後で、WebCenter ContentのURLが正しくリンクしていない場合、サーバー・ホストとサーバーのポート値の変更が必要な場合があります。詳細は、「シングル・サインオン用のWebCenter Content URLの構成」を参照してください。

16.3.6 最初の認証プロバイダの構成

WebCenter Content用のOracle WebLogic Serverドメインが、ユーザー認証(Oracle Internet Directoryまたはその他のLDAPプロバイダなど)用にデフォルトの認証プロバイダ以外の認証プロバイダを使用するように構成されている場合、プライマリ・プロバイダはセキュリティ・レルム構成の最初の認証プロバイダである必要があります。そうでないと、ログイン認証が失敗します。

プライマリ・プロバイダが最初にリストされていない(たとえば、Oracle WebLogic ServerプロバイダであるDefaultAuthenticatorの下にリストされている)場合、WebCenter Contentはユーザーのグループ・メンバーシップを正常にロードできず、その結果、ユーザー権限もロードできません。Oracle WebLogic Server管理コンソールを使用して、構成済み認証プロバイダが呼び出される順番を変更できます。『Oracle WebLogic Serverセキュリティの管理』認証プロバイダの構成に関する項を参照してください。

ノート:

Oracle Internet Directoryを使用する場合、すべてのWebCenter Content管理者とその他のユーザーは、Oracle Internet Directoryで定義される必要があります。

ノート:

コンテンツ・サーバーはコンテンツ・サーバー管理者ロールを、内部Oracle WebLogic Serverユーザー・ストアに定義された管理ユーザーに割り当てます。これはOracle Internet Directoryが使用されているかどうかに関わらず当てはまります。ただし、Oracle Internet DirectoryおよびOracle Internet Directory Authenticationプロバイダが最初にリストされていない場合、コンテンツ・サーバー・インスタンスによるOracle WebLogic Serverが定義した管理ユーザーのロールを取得するリクエストは失敗します。

ノート:

11g リリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、Oracle Internet Directory (OID)とActive Directoryの両方をユーザーおよびロール情報のソースとして使用できます。Oracle WebLogic Serverでの複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』Fusion Middleware Controlを使用した、複数のLDAP用のサービスの構成に関する項を参照してください。

16.3.7 シングル・サインオン用のWebCenter Content URLの構成

Oracleアプリケーションをシングルサインオン(SSO)とともに使用するように構成し、Oracle Access Manager (OAM)またはOracle Single Sign-On (OSSO)を設定した場合、WebCenter Content GET_ENVIRONMENTサービスにより、サーバー名、サーバー・ポート、アプリケーション・サービス・コール(WebCenter Doclibサービスなど)への相対Webルートが提供されます。ただし、GET_ENVIRONMENTにより提供される値は、使用するSSO構成には適切でない場合があります。

OHSサーバー・ホストおよびサーバー・ポートを使用するアプリケーション・サービスをリダイレクトする場合(OAMおよびOSSOソリューションは両方ともOHSを使用するフロント・エンド・アプリケーションが必要なため)、コンテンツ・サーバー・ホストおよびサーバー・ポートの構成値を変更する必要があります。

次の2つのいずれかの方法を使用して、コンテンツ・サーバー・ホストおよびサーバー・ポート値を変更できます。

  • Oracle WebLogic Server管理コンソールを使用します。

  • スタンドアロンのWebCenter Contentシステム・プロパティ・アプリケーションを使用します。

    1. WebCenter Contentドメイン・ディレクトリに移動します。

    2. ディレクトリをucm/cs/binに変更します。

    3. スタンドアロン・アプリケーションを実行します。./SystemProperties

    4. 「システム・プロパティ」ウィンドウで、「インターネット」タブを選択します。

    5. HTTPサーバー・アドレスをOHS(またはロード・バランサ)サーバー・ホストおよびサーバー・ホスト値に更新します。

    6. 「システム・プロパティ」ウィンドウを閉じます。

    7. Oracle WebLogic Serverドメインを再起動します。

16.3.8 Windowsのネイティブ認証用のWebCenter Contentおよびシングル・サインオンの構成

Windows Native Authentication (WNA)用にWebCenter Contentおよびシングル・サインオン(SSO)を設定するには、Microsoft Active Directory、クライアントおよびOracle WebLogic Serverドメインが必要です。MicrosoftクライアントでのSSOのためのシステム要件などの詳細は、『Oracle WebLogic Serverセキュリティの管理』Microsoftクライアントでのシングル・サインオンの構成に関する項を参照してください。

MicrosoftクライアントでのSSOの構成の一部として、外部Microsoft Active DirectoryにアクセスするようにLDAP認証プロバイダを指定する必要があります。Oracle WebLogic Serverでは、Active Directory認証プロバイダを提供します。『Oracle WebLogic Serverセキュリティの管理』LDAP認証プロバイダの構成に関する項を参照してください。

ノート:

WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENTに設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。

MicrosoftクライアントでのSSOの構成の一部として、Oracle WebLogic Serverセキュリティ・レルムにネゴシエートIDアサーション・プロバイダを構成する必要があります。このIDアサーション・プロバイダでは、Simple and Protected Negotiate (SPNEGO)のトークンをデコードしてKerberosのトークンを取得し、そのKerberosトークンを検証した後でWebLogicユーザーにマップします。Oracle WebLogic Server管理コンソールを使用して、ドメイン構造内の適切なセキュリティ・レルムに新しいプロバイダを追加し、名前を付けて、そのタイプとしてNegotiateIdentityAsserterを選択します。変更をアクティブ化して、Oracle WebLogic Serverを再起動します。サーバーはKerberosチケットを使用できるようになり、それはブラウザから受信します。

関連デプロイ・プランを使用して、Windows Native Authentication (Kerberos)環境で使用される各WebCenter Contentアプリケーション(コンテンツ・サーバー、Inbound Refinery、Records)を再デプロイする必要があります。デプロイ・プランはXMLドキュメントです。2つのWebCenter Contentアプリケーションのそれぞれに対して、例16-1および例16-2のプランが提供されています。Oracle WebLogic Scripting Toolを使用してデプロイ・プランを実装することもできます。

  1. Oracle WebLogic Server管理コンソールにログインします。
  2. 「ドメイン構造」ナビゲーション・ツリーで、「デプロイメント」をクリックします。
  3. 「制御」タブで、変更するWebCenter Contentデプロイメントが表示されるまで「次へ」をクリックします。

    • Oracle WebCenter Contentサーバー

    • Oracle WebCenter Content: Inbound Refinery。

    • Oracle WebCenter Content: Records。

  4. 変更するデプロイメントの左のチェック・ボックスを選択します。
  5. 「更新」をクリックします。
  6. デプロイ・プラン・パスの下で「パスの変更」を選択します。
  7. 適切なプラン・ファイルに移動して選択します。

    • cs-deployment-plan.xml (Content Server用)

    • ibr-deployment-plan.xml (Inbound Refinery用)

  8. 「このアプリケーションを次のデプロイメント・ファイルを使用して再デプロイします。」が選択されていることを確認します。
  9. 「次へ」をクリックします。
  10. 「終了」をクリックします。
  11. MicrosoftクライアントでのSSOが適切に構成されていることを確認するには、使用するMicrosoft WebアプリケーションまたはWebサービスへのブラウザをポイントします。Windowsドメインにログインし、ドメインのActive Directoryサーバーから取得したKerberos資格証明がある場合、ユーザー名またはパスワードを指定せずにWebアプリケーションまたはWebサービスにアクセスできるはずです。

例16-1 cs-deployment-plan.xml

提供されたcs-deployment-plan.xmlファイルを使用するか、または.xmlファイルを作成してそれにcs-deployment-plan.xmlという名前を付けます。 

<?xml version='1.0' encoding='UTF-8'?>
<deployment-plan
    xmlns="http://xmlns.oracle.com/weblogic/deployment-plan"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"
    global-variables="false">
  <application-name>cs.ear</application-name>
  <variable-definition>
   <variable>
      <name>http-only</name>
      <value>false</value>
    </variable>
  </variable-definition>
  <module-override>
    <module-name>cs.war</module-name>
    <module-type>war</module-type>
    <module-descriptor external="false">
      <root-element>weblogic-web-app</root-element>
      <uri>WEB-INF/weblogic.xml</uri>
      <variable-assignment>
        <name>http-only</name>
        <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath>
      </variable-assignment>
    </module-descriptor>
  </module-override>
</deployment-plan>

例16-2 ibr-deployment-plan.xml

提供されたibr-deployment-plan.xmlファイルを使用するか、または.xmlファイルを作成してそれにibr-deployment-plan.xmlという名前を付けます。 

<?xml version='1.0' encoding='UTF-8'?>
<deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation= "http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd" global-variables="false">
  <application-name>ibr.ear</application-name>
  <variable-definition>
   <variable>
      <name>http-only</name>
      <value>false</value>
    </variable>
  </variable-definition>
  <module-override>
    <module-name>ibr.war</module-name>
    <module-type>war</module-type>
    <module-descriptor external="false">
      <root-element>weblogic-web-app</root-element>
      <uri>WEB-INF/weblogic.xml</uri>
      <variable-assignment>
        <name>http-only</name>
        <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath>
      </variable-assignment>
    </module-descriptor>
  </module-override>
</deployment-plan>

16.4 Oracle Infrastructure Webサービスの構成

Oracle Infrastructure Webサービスでは、ポリシー・セットを作成してグローバル・スコープのサブジェクト(ドメイン、サーバー、アプリケーションまたはSOAコンポジット)にアタッチする機能が提供されています。Oracle Infrastructure WebサービスはWeb Services for Java EE 1.2仕様に従って実装されます(この仕様は、JavaでWebサービスを実装するための標準のJava EEランタイム・アーキテクチャを定義したものです)。この仕様には、標準Java EE Webサービス・パッケージング形式、デプロイメント・モデルおよびランタイム・サービスも記述されており、Oracle Infrastructure Webサービスにはこれらがすべて実装されています。

16.5 Oracle Identity Cloud Service (IDCS)用のWebCenter Contentの構成

WebCenter Content Server、Enterprise Capture (コンソールおよびクライアント)、WebCenter Desktop Client、WebCenter Content: ImagingおよびWebCenter Content ADFUIなどのWebCenterアプリケーション用にIDCSでシングル・サインオンを構成します。

構成情報は次の項で説明します。

16.5.1 SSL.hostnameVerifierプロパティの更新

SSL.hostnameVerifierプロパティを更新するには、次を実行します:

ノート:

これは、IDCSプロバイダがIDCSにアクセスするために必要です。
  1. ドメイン内のすべてのサーバー(管理サーバーおよびすべての管理対象Weblogicサーバーを含む)を停止します。
  2. SSL.hostnameVerifierプロパティを更新します:
    1. ファイル<DOMAIN_HOME>/<domain_name>/bin/setUserOverrides.shを作成または更新します。IDCSオーセンティケータのSSL.hostnameVerifierプロパティを追加します:
      set EXTRA_JAVA_PROPERTIES=%EXTRA_JAVA_PROPERTIES%- Dweblogic.security.SSL.hostnameVerifier=weblogic.security.utils.SSLWLSWildcardHostnameVerifier
    2. または、ファイル<DOMAIN_HOME>/<domain name>/bin/setDomainEnv.shを編集します:
      set EXTRA_JAVA_PROPERTIES=%EXTRA_JAVA_PROPERTIES% -Dweblogic.security.SSL.hostnameVerifier=weblogic.security.utils.SSLWLSWildcardHostnameVerifier
  3. 管理サーバーを起動します。

16.5.2 IDCSセキュリティ・プロバイダの構成

IDCSセキュリティ・プロバイダのOAuthクライアントを取得するには:

  1. IDCS管理コンソールにログインします。
  2. 信頼できるアプリケーションを作成します。機密アプリケーションの追加ウィザードで次のようにします:
    1. クライアント名と説明を入力します(オプション)。
    2. 「このアプリケーションをクライアントとして今すぐ構成」オプションを選択します。このアプリケーションを構成するには、「構成」タブで「クライアント構成」を展開します。
    3. 「クライアント資格証明」フィールドで、「許可される権限付与タイプ」チェック・ボックスを選択します。
    4. 「Identity Cloud Service管理APIへのクライアント・アクセス権を付与します」セクションで、「追加」をクリックして、アプリケーション・ロールを追加します。「アイデンティティ・ドメイン管理者」ロールを追加できます。
    5. ページのデフォルト設定のままにして、「終了」をクリックします。
    6. 「クライアントID」と「クライアント・シークレット」をメモします。
      これは、IDCSプロバイダを作成するときに必要になります。
    7. アプリケーションをアクティブ化します。
16.5.2.1 Oracle Identity Cloud Integratorプロバイダの構成

Oracle Identity Cloud Integratorプロバイダを構成するには:

  1. WebLogic Server管理コンソールにログインします。
  2. 「ドメイン構造」ペインで「セキュリティ・レルム」を選択します。
  3. 「セキュリティ・レルムの概要」ページで、レルムの名前(myrealmなど)を選択します。「myrealm」をクリックします。
    「myrealmの設定」ページが表示されます。
  4. 「レルム名の設定」ページで、「プロバイダ」「認証」を選択します。新しい認証プロバイダを作成するには、認証プロバイダの表で「新規」をクリックします。
  5. 「新しい認証プロバイダの作成」ページで、認証プロバイダの名前(IDCSIntegratorなど)を入力し、ドロップダウン・リストから認証プロバイダの「OracleIdentityCloudIntegrator」タイプを選択して、「OK」をクリックします。
  6. 認証プロバイダの表で、新しく作成したOracle Identity Cloud Integratorの「IDCSIntegrator」リンクをクリックします。
  7. 「IDCSIntegratorの設定」ページの「制御フラグ」フィールドで、ドロップダウン・リストから「十分」オプションを選択します。
  8. 「プロバイダ固有」ページに移動して、セキュリティ・プロバイダの追加属性を構成します。「ホスト」フィールドと「ポート」フィールドに値を入力し、「SSLEnabled」「テナント」「クライアントID」および「クライアント・シークレット」を選択します。「保存」をクリックします。

    ノート:

    IDCS URLがidcs-abcde.identity.example.comの場合、IDCSホストはidentity.example.com、テナント名はidcs-abcdeになります。
  9. 「セキュリティ・レルム」「myrealm」「プロバイダ」の順に選択します。認証プロバイダの表で、「並替え」をクリックします。
  10. 「認証プロバイダの並替え」ページで、「IDCSIntegrator」を一番上に移動して、「OK」をクリックします。
  11. 認証プロバイダの表で、「DefaultAuthenticator」リンクをクリックします。「DefaultAuthenticatorの設定」ページの「制御フラグ」フィールドで、ドロップダウン・リストから「十分」オプションを選択します。「保存」をクリックします。
  12. すべての変更がアクティブになります。管理ドメインを再起動します。
16.5.2.2 IDCSとWeblogicの間の信頼の設定

IDCSとWeblogicの間に信頼を設定するには:

  1. KSSストアに証明書をインポートします。
    1. これを管理サーバー・ノードから実行します。
    2. IDCS証明書を取得します:
      echo -n | openssl s_client -showcerts -servername <IDCS_HOST> -connect <IDCS_HOST>:443|sed -ne ‘/-BEGIN CERTIFICATE-/,/-END
      CERTIFICATE-/p’ > /tmp/idcs_cert_chain.crt

      オプションで、任意のブラウザからIDCS証明書を直接ダウンロードできます。

    3. 証明書をインポートします。<MW_HOME>/oracle_common/common/bin/wlst.shファイルを実行します。
      connect(“weblogic”,”Welcome_1”,”t3://<WEBLOGIC_HOST>:7001”)
      svc=getOpssService(name='KeyStoreService')
      svc.importKeyStoreCertificate(appStripe='system',name='trust',password='',alias='idcs_cert_chain',type='TrustedCertificate',filepath='/tmp/idcs_cert_chain.crt',keypassword='')
      syncKeyStores(appStripe='system',keystoreFormat='KSS')
    4. exit()
  2. 管理サーバーを再起動します。

    ノート:

    IDCSプロバイダを作成して証明書をインポートした後、DefaultAuthenticatorおよびLDAPサーバーのユーザーとは異なり、IDCSユーザーはユーザーのリストに表示されません。ユーザーのリストを表示するには、「myrealm」「ユーザーとグループ」「ユーザー」の順にクリックします。
16.5.2.3 IDCSでのWebCenter Contentの管理ユーザーの作成

管理対象サーバーがSAML用に構成されると、ドメイン管理ユーザー(通常はweblogicユーザー)は管理対象サーバーにログインできなくなるため、IDCSで管理ユーザーを作成することが重要です。

IDCSでWebCenter Content JaxWS接続用のWLS管理ユーザーを作成するには:

  1. 「グループ」タブに移動し、IDCSで「管理者」ロールと「sysmanager」ロールを作成します。
  2. 「ユーザー」タブに移動し、wls管理ユーザー(weblogicなど)を作成して、それを「管理者」グループと「sysmanager」グループに割り当てます。
  3. すべての管理対象サーバーの再起動
    ソケット・タイプのWebCenter Content接続でWebCenter Content内部ユーザーであるsysadminユーザーが使用されるため、WebCenter Content接続タイプがソケットの場合、このステップは必要ありません。

    ノート:

    ソケット・タイプのUCM接続でWebCenter Content内部ユーザーであるsysadminユーザーが使用されるため、WebCenter Content接続タイプがソケットの場合、このステップは必要ありません。
  4. ドメイン内のすべての管理対象Weblogicサーバーを起動します。
16.5.2.4 グループ・メンバーシップ、ロールおよびアカウントの管理

ユーザー・ログイン認証にはOracle Identity Cloud Serviceを使用でき、ユーザー・グループ・メンバーシップの取得には外部LDAPサーバー(OIDやActive Directoryなど)を使用できます。

各ユーザーには、IDCSとLDAPサーバーの両方で同じユーザー名が必要です。Oracle Identity Cloud Serviceを使用すると、WCCユーザー・ロールおよびアカウント・グループ・メンバーシップを提供できます。

これには、IDCSにアクセスするためにOPSSおよびlibOVDを変更する必要があります。ユーザー認可にIDCSを使用する場合、次のステップが必要です。ユーザー認証のみにIDCSを使用する場合は、これらのステップを実行しないでください。次のステップに進む前に、(管理サーバーを含む)すべてのサーバーが停止していることを確認してください:

  • 次のスクリプトを実行します。
    <MW_HOME>/oracle_common/common/bin/wlst.sh

    ノート:

    管理サーバーのポートに接続する必要はありません。
  • ドメインを読み取ります:
    readDomain(<DOMAIN_HOME>)
  • テンプレートを追加します:
    addTemplate(“<MIDDLEWARE_HOME>/oracle_common/common/templates/wls/oracle.opss_scim_template.jar")

    ノート:

    このステップで警告がスローされる場合がありますが、無視してかまいません。addTemplateは非推奨です。loadTemplatesの後に、addTemplateのかわりにselectTemplateを使用してください。
  • ドメインを更新します:
    updateDomain()
  • ドメインを閉じます:
    closeDomain()
  • サーバー(管理および管理対象)を起動します。

16.5.3 ユーザー・ログアウトのためのWebCenter Contentの構成

「ログアウト」リンクが選択されている場合、SAMLによって再認証されます。「ログアウト」リンクを選択できるようにするには:

  1. WebCenter Contentに管理者としてログインします。「管理」「管理サーバー」「一般構成」の順に選択します。
  2. 「追加の構成変数」ペインで、次のパラメータを追加します:
    set EXTRA_JAVA_PROPERTIES=%EXTRA_JAVA_PROPERTIES%- Dweblogic.security.SSL.hostnameVerifier=weblogic.security.utils.SSLWLSWildcardHostnameVerifier
  3. 「保存」をクリックします。
  4. WebCenter Content管理対象サーバーを再起動します。
16.5.3.1 WebCenter ContentおよびWebCenter Content: Imagingのログアウトの構成

WebCenter ContentおよびWebCenter Content: Imagingログアウトを機能させるには、次のステップを実行します:

  1. IDCS管理コンソールのWebCenter Content: ImagingおよびWebCenter Contentアプリケーションの「SSO構成」で、「シングル・ログアウトの有効化」の選択を解除します。
  2. imaging.earファイルでWebCenter Content: ImagingのCookieパスを/に設定し、再デプロイする必要があります。
  3. EMでMBean (oracle.imagingの下)を介したWebCenter Content: ImagingのIpmCustomLogoutURLプロパティを次の値に設定します: http://<IPM Host>:<IPM Port>/imaging/adfAuthentication?logout=true&end_url=https://<IDC Tenant id>.identity.oraclecloud.com/sso/v1/user/logout
  4. WebCenter Contentの場合、WebCenter Content構成でログアウトURLを指定します。config.cfgファイルを更新するか、WebCenter Content管理の構成ページから更新できます。次のエントリを作成し、WebCenter Contentを再起動します: LogoutServerUrl=http://<UCM Hostname>:<UCM Port>/adfAuthentication?logout=true&end_url=https://<IDC Tenant id>.identity.oraclecloud.com/sso/v1/user/logout
16.5.3.2 Enterprise Captureのログアウト構成

Enterprise Captureログアウトを機能させるには、次のステップを実行します:

Enterprise Managerコンソールに移動し、MBeanブラウザを開いて、CaptureのMBean属性logoutRedirectURLをhttps://<IDCS Tenantid>.identity.oraclecloud.com/sso/v1/user/logoutに変更します。変更を保存します。この変更は、すぐに有効になります。この属性の値を設定解除するには、空の文字列を入力します。

  1. capture.earファイルで/dc-clientおよび/dc-consoleのCookieパスを/に設定し、再デプロイする必要があります。
  2. Enterprise Managerコンソールに移動し、MBeanブラウザを開き、CaptureのMBean属性logoutRedirectURLhttps://<IDCS Tenantid>.identity.oraclecloud.com/sso/v1/user/logoutに変更します。変更を保存します。この変更は、すぐに有効になります。この属性の値を設定解除するには、空の文字列を追加します。
16.5.3.3 ADFUIのログアウトの構成

WebCenter Content ADFUIのログアウト機能を有効にするには、次のステップを実行します:

  1. Enterprise Managerコンソールに移動し、システムMBeanブラウザを開きます。
  2. 「アプリケーション定義のMBean」およびoracle.adf.share.configを展開し、WccAdfConfiguration MBean属性のcustomLogoutUrlhttps://<IDCSTenantid>.identity.oraclecloud.com/sso/v1/user/logoutに変更します。
  3. 保存操作を起動して、親MBeanへの変更を保存します。
  4. この変更は、UIサーバーの再起動後に有効になります。

属性の値を設定解除するには、空の文字列を追加します。

16.6 SAMLベースのシングル・サインオンの構成

Security Assertion Markup Language (SAML)によって、WebLogic ServerドメインおよびWebブラウザまたは他のHTTPクライアントのWebベースのアプリケーションやWebサービス間でクロスプラットフォームのユーザー認証が可能になります。シングル・サインオン・ネットワークに含まれるアプリケーションのWebサイトにユーザーがログインすると、各アプリケーションに別々にログインする必要なく、そのネットワークのすべてのアプリケーションに自動的にアクセスできます。

この項の内容は次のとおりです。

16.6.1 SAMLコンポーネント

SAMLベースのシングル・サインノン設定には、次のコンポーネントが含まれます。

  • SAML資格証明マッピング: SAML資格証明マッピング・プロバイダは、シングル・サインオンにSAMLを使用するためのソース・サイトとしてWebLogic Serverが動作することを可能にします。このプロバイダは、ターゲット・サイトまたはリソースの構成に基づいて、認証されたサブジェクトのために有効なSAML 1.1アサーションを生成します。

  • サイト間転送サービス(ITS): アイデンティティ・アサーションを生成してユーザーを宛先サイトに転送するアドレス可能なコンポーネント。
  • アサーション取得サービス(ARS): アーティファクトに対応するSAMLアサーションを返すアドレス可能なコンポーネント。アサーションの生成時に、アサーションIDを割り当てることができます。
  • SAMLアイデンティティ・アサータ: SAMLアイデンティティ・アサータ・プロバイダは、シングル・サインオンにSAMLを使用するための宛先サイトとしてWebLogic Serverが動作することを可能にします。このプロバイダは、ソース・サイトまたはリソースから取得された認証済サブジェクトのために、有効なSAML 1.1アサーションを処理します。
  • アサーション・コンシューマ・サービス(ACS): ITSが生成したアサーションまたはアーティファクト(あるいはその両方)を受信して、宛先サイトでユーザーを認証するためにそれらを使用するアドレス可能なコンポーネント。
  • SAMLリライイング・パーティ: SAMLリライイング・パーティは、SAMLソース・サイトが生成したSAMLアサーションの情報に依存するエンティティです。各リライイング・パーティ用にSAMLアサーションを構成することも、アサーションの生成用にフェデレーション・サービスのソース・サイト構成で設定されたデフォルトを使用することもできます。
  • SAMLアサーティング・パーティ: SAMLアサーティング・パーティは、信頼できるSAML認証局で、SAMLアサーションの形式でセキュリティ情報をアサートします。

16.6.2 SAMLシングル・サインオンの前提条件

SAML 1.1ソースおよび宛先サービスを構成する前に、次を実行する必要があります。

  • WebCenter ContentおよびPortalサーバーを含むドメインの作成: コンテンツ・サーバーをソースとし、Portalを宛先とするSAML構成に適用できます。

  • WebCenter ContentおよびADF UIサーバーを含むドメインの作成: コンテンツ・サーバーをソースとし、Application Development Framework (ADF)を宛先とするSAML構成に適用できます。
  • WebCenter ContentおよびImagingサーバーを含むドメインの作成: コンテンツ・サーバーをソースとし、Imagingを宛先とするSAML構成に適用できます。
SAMLベースのSSOの前提条件について、次のトピックで説明します。

これらのポート番号は、例としてソース、宛先およびSSLに使用できます。

ソースSSLポート:

CS: 16200、SSL: 16201

宛先SSLポート:

Portal: 8888、SSL: 8788

Imaging: 16000、SSL: 16001

ADF UI: 16225、SSL: 16226

ノート:

要件に基づいてポート番号を構成できます。
16.6.2.1 ソース・サービスのSSLの有効化
ソース・サービスのSSLを有効化するには:
  1. Oracle WebLogic Server管理コンソールにログインします。
  2. 「ドメイン構造」ペインで、「環境」をクリックします。
    「環境」ページが表示されます。
  3. 「サーバー」をクリックします。
    「サーバーのサマリー」ページが表示されます。
  4. 「UCM_server1」をクリックします。
    「UCM_server1の設定」ページが表示されます。
  5. 「構成」「一般」タブに、次の詳細が表示されます。
    • 「SSLリスニング・ポートの有効化」チェック・ボックスを選択します。
    • 「SSLリスニング・ポート」フィールドに「16201」と入力します。
16.6.2.2 宛先サービスのSSLの有効化
Portal、ADF UI、Imagingサーバーなどの宛先サービスのSSLを有効化する手順:
  1. Oracle WebLogic Server管理コンソールにログインします。
  2. 「ドメイン構造」ペインで、「環境」をクリックします。
    「環境」ページが表示されます。
  3. 「サーバー」をクリックします。
    「サーバーのサマリー」ページが表示されます。
  4. 構成する宛先サービスに基づいて、次のサーバーのいずれかをクリックします。
    • WC_Portal: Portalを宛先サービスとして構成します。
    • WCCADF_server1: ADF UIを宛先サービスとして構成します。
    • IPM_server1: Imagingを宛先サービスとして構成します。
  5. 「構成」「一般」タブで、「SSLリスニング・ポートの有効化」チェック・ボックスを選択します。
  6. 「SSLリスニング・ポート」フィールドに、構成する宛先サービスに基づいて、次のいずれかの値を入力します。
    • 8788: Portalを宛先サービスとして構成します。
    • 16226、ADF UIを宛先サービスとして構成します。
    • 16001、Imagingを宛先サービスとして構成します。
16.6.2.3 証明書の作成およびエクスポート
証明書を作成してエクスポートするには:
  1. oracle_common/common/bin and launch./wlst.shを開きます。
  2. 次のwlstコマンドを使用して、ソースの管理サーバーに接続します。
    • connect ('adminServerUsername','password','hostboxName:adminport/console')
  3. 次のwlstコマンドを使用して、証明書をリストしてエクスポートします。
    • svc = getOpssService(name=’KeyStoreService’)
    • svc.listKeyStoreAliases(appStripe=”system”,name=”demoidentity”,password=’DemoIdentityKeyStorePassPhrase’,type=”*”)
    • svc.exportKeyStoreCertificate(appStripe=’system’,name=’demoidentity’,password=’DemoIdentityKeyStorePassPhrase’,alias=’DemoIdentity’,type=’Certificate’,filepath=’/scratch/priyaaro/demoidentity.der’)
  4. FORMをweb.xmlファイルの<auth-method>要素から削除し、値CLIENT-CERTをすべての宛先サーバーから保持します。
    宛先サーバーのweb.xmlファイル・パスは次のとおりです。
    • Portal: Oracle_Home/wcportal/archives/applications/webcenter.ear/spaces.war/WEB-INF/web.xml
    • ADF UI: Oracle_Home/wccontent/wccadf/WccAdf.ear/WccAdf.war/WEB-INF/web.xml
    • Imaging: ORACLE_HOME/wccontent/ipm/lib/imaging.ear/imaging-ui.war/WEB-INF/web.xml

    ノート:

    web.xmlファイルを変更したら、宛先アプリケーションを再デプロイする必要があります。
16.6.2.4 WebCenter Portalのランディング・ページのログイン領域の非表示
WebCenter Portalのランディング・ページのログイン領域を非表示にするには:
  1. $MIDDLEWARE_HOME/user_projects/domains/ domain_name/bin/setDomainEnv.shを開き、次のプロパティを更新します。
    • EXTRA_JAVA_PROPERTIES="-Doracle.webcenter.spaces.osso=true ${EXTRA_JAVA_PROPERTIES}"
    • export EXTRA_JAVA_PROPERTIES
  2. Portalサーバーを再起動します。

16.6.3 SAML 1.1ソース・サービスの構成

サイト間転送サービス(ITS)を提供するSAMLソース・サイトとして機能するように、コンテンツ・サーバー・インスタンスを構成できます。ソース・サイトではアサーションが生成され、アサーションはシングル・サインオンのプロファイルの1つを使用して、宛先サイトに伝達されます。

この項の内容は次のとおりです:

16.6.3.1 資格証明マッピング・プロバイダの作成
資格証明マッピング・プロバイダを作成するには:
  1. Oracle WebLogic Server管理コンソールにログインします。
  2. 「ドメイン構造」ペインの「セキュリティ・レルム」をクリックします。
    「セキュリティ・レルムのサマリー」ページが開きます。
  3. 「myrealm」をクリックします。
    「myrealmの設定」ページが表示されます。
  4. 「プロバイダ」をクリックして、「資格証明マッピング」をクリックし、「新規」をクリックします。
  5. 「名前」フィールドに、資格証明マッピング・プロバイダの名前を入力します。たとえば、SAMLCredentialMapper
  6. 「タイプ」フィールドで、SAMLCredentialmapperV2を選択します。
  7. 「OK」をクリックします。
    作成した資格証明マッパーは「資格証明マッピング・プロバイダ」セクションで使用できます。
16.6.3.2 資格証明マッピング・プロバイダの構成
プロバイダ固有の情報を構成するには:
  1. 前に作成した資格証明マッピング・プロバイダをクリックします(たとえばSAMLCredentialMapper)。
    資格証明マッピング・プロバイダを作成するには、「資格証明マッピング・プロバイダの作成」を参照してください。
  2. 「プロバイダ固有」をクリックします。
  3. 発行者URLフィールドに、「http://www.oracle.com/webcenter」と入力します。
  4. 「名前修飾子」フィールドに、「webcenter.com」と入力します。
  5. 「デフォルト存続時間」フィールドに、「120」と入力します。
  6. 「デフォルト存続時間のオフセット」フィールドに、「0」と入力します。
  7. 「Webサービス・アサーション署名キー別名」フィールドに、「DemoIdentity」と入力します。
  8. 「Webサービス・アサーション署名キー・パス・フレーズ」フィールドに、「DemoIdentityPassPhrase」と入力します。
  9. 「資格証明の確認」フィールドに、「DemoIdentityPassPhrase」を入力して、署名キーのパスフレーズ値を確認します。
  10. WebCenter Content Serverを再起動します。
16.6.3.3 リライイング・パーティの作成
リライイング・パーティを作成するには:
  1. 前に作成した資格証明マッピング・プロバイダをクリックします(たとえばSAMLCredentialMapper)。
    資格証明マッピング・プロバイダを作成するには、「資格証明マッピング・プロバイダの作成」を参照してください。
  2. 「管理」をクリックして、「リライイング・パーティ」をクリックし、「新規」をクリックします。
  3. 「プロファイル」フィールドで、「Browser/POST」を選択します。
  4. 「説明」フィールドに、「relyingparty」と入力します。
  5. 「OK」をクリックします。
    パートナIDがrp_00001のリライイング・パーティが作成されます。

    ノート:

    パートナIDは、新しいリライイング・パーティを作成するたびに1ずつ増分します。たとえば、rp_00002
16.6.3.4 リライイング・パーティの構成
Portal、ADF UI、Imagingサーバーなどの宛先サービスのリライイング・パーティ情報を指定する手順:
  1. 前に作成したリライイング・パートナIDをクリックします(たとえば、rp_00001)。
    リライイング・パーティを作成するには、「リライイング・パーティの作成」を参照してください。
  2. 「有効」チェック・ボックスを選択します。
  3. 「ターゲットURL」フィールドに、構成する宛先サービスに基づいて、次のいずれかの値を入力します。
    • http://hostboxname:8888/webcenter: Portalを宛先サービスとして構成します。
    • http://hostboxname:16225/wcc: ADF UIを宛先サービスとして構成します。
    • http://hostboxname:16007/imaging: Imagingを宛先サービスとして構成します。

    ノート:

    前述のポート番号は、宛先サーバーの構成に使用されます。
  4. 「アサーション・コンシューマのURL」フィールドに、構成する宛先サービスに基づいて、次のいずれかの値を入力します。
    • https://hostboxname:8788/webcenter/samlacs/acs: Portalを宛先サービスとして構成します。
    • https://hostboxname:16226/wcc/samlacs/acs: ADF UIを宛先サービスとして構成します。
    • https://hostboxname:16001/imaging/samlacs/acs: Imagingを宛先サービスとして構成します。
  5. 「アサーション・コンシューマのパラメータ」フィールドに、「APID=ap_00001」と入力します。
  6. 「アサーション存続時間」フィールドに、「0」と入力します。
  7. 「アサーション存続時間のオフセット」フィールドに、「0」と入力します。
  8. 「アサーションの署名」チェック・ボックスを選択します。
    「Keyinfoを含める」チェック・ボックスはデフォルトで選択されています。チェック・ボックスをそのままにします。
  9. 「保存」をクリックします。
16.6.3.5 ソースのフェデレーション・サービスの定義
ソースのフェデレーション・サービスを定義するには:
  1. 「ドメイン構造」ペインで、「環境」をクリックします。
    「環境」ページが表示されます。
  2. 「サーバー」をクリックします。
    「サーバーのサマリー」ページが表示されます。
  3. 「UCM_server1」をクリックします。
    「UCM_server1の設定」ページが表示されます。
  4. 「ソース・サイトの有効化」チェック・ボックスを選択します。
  5. 「ソース・サイトURL」フィールドに、「http://hostboxname:16200」と入力します。
  6. 「署名キー別名」フィールドに、「DemoIdentity」と入力します。
  7. 「署名キー・パスフレーズ」フィールドに、「DemoIdentityPassPhrase」と入力します。
  8. 「署名キー・パスフレーズの確認」フィールドに、「DemoIdentityPassPhrase」と入力して、値を確認します。
  9. 「サイト間転送URI」フィールドに、次のように入力します。
    /samlits_ba/its
    /samlits_ba/its/post
    /samlits_ba/its/artifact
    /samlits_cc/its
    /samlits_cc/its/post
    /samlits_cc/its/artifact
  10. 「ITSでSSLが必要」チェック・ボックスを選択します。
  11. 「アサーション取得用URI」フィールドに、「/samlars/ars」と入力します。
  12. 「ARSでSSLが必要」チェック・ボックスを選択します。
  13. 「保存」をクリックします。

16.6.4 SAML 1.1宛先サービスの構成

SAML宛先サービスを構成するには、最初にSAMLアイデンティティ・アサータをサーバーのセキュリティ・レルムで構成する必要があります。SAML宛先サイトとして機能するようにWebLogic Serverインスタンスを構成できます。宛先サイトは、SAMLアサーションを受け取り、これらを使用してローカルのサブジェクトを認証します。

この項の内容は次のとおりです。

16.6.4.1 アイデンティティ・アサータの作成
Portal、ADF UI、Imagingサーバーなどの宛先サービスのアイデンティティ・アサータを作成する手順:
  1. Oracle WebLogic Server管理コンソールにログインします。
  2. 「ドメイン構造」ペインの「セキュリティ・レルム」をクリックします。
    「セキュリティ・レルムのサマリー」ページが開きます。
  3. 「myrealm」をクリックします。
    「myrealmの設定」ページが表示されます。
  4. 「プロバイダ」をクリックして、「認証」をクリックし、「新規」をクリックします。
    「新しい認証プロバイダの作成」ページが表示されます。
  5. 「名前」フィールドに、アイデンティティ・アサータの名前を入力します。たとえば、SAMLIdentityAsseter
  6. 「タイプ」フィールドで、SAMLIdentityAsserterV2を選択します。
  7. 「保存」をクリックします。
  8. 構成する宛先サービスに基づいて、次のサーバーのいずれかを再起動します。
    • 管理サーバー: Portalを宛先サービスとして構成する場合。
    • ADF UIサーバー: ADF UIを宛先サービスとして構成する場合。
    • IPMサーバー: Imagingを宛先サービスとして構成する場合。
16.6.4.2 ソース証明書の追加
宛先サービスのソース証明書を追加するには:
  1. 前に作成したアイデンティティ・アサータをクリックします(たとえば、SAMLIdentityAsseter)。
    アイデンティティ・アサータを作成するには、「アイデンティティ・アサータの作成」を参照してください。
  2. 「管理」をクリックして、「証明書」をクリックし、「新規」をクリックします。
  3. 「別名」フィールドに、「demoidentity」と入力します。
  4. 「パス」フィールドに、ソース証明書をエクスポートした場所のパスを入力します。
  5. 「OK」をクリックします。
16.6.4.3 アサーティング・パーティの作成
アサーティング・パーティを作成するには:
  1. 前に作成したアイデンティティ・アサータをクリックします(たとえば、SAMLIdentityAsseter)。
    アイデンティティ・アサータを作成するには、「アイデンティティ・アサータの作成」を参照してください。
  2. 「管理」をクリックして、「アサーティング・パーティ」をクリックし、「新規」をクリックします。
  3. 「プロファイル」フィールドで、値「Browser/POST」を選択します。
  4. 「説明」フィールドに、「assertingparty」と入力します。
  5. 「OK」をクリックします。
    パートナーIDがap_00001のアサーティング・パーティが作成されます。
16.6.4.4 アサーティング・パーティの構成
Portal、ADF UI、Imagingサーバーなどの宛先サービスのアサーティング・パーティ情報を指定する手順:
  1. 前に作成したアサーティング・パートナーIDをクリックします(たとえば、ap_00001)。
    アサ―ティング・パーティを作成するには、「アサ―ティング・パーティの作成」を参照してください。
  2. 「有効」チェック・ボックスを選択します。
  3. 「ターゲットURL」フィールドに、構成する宛先サービスに基づいて、次のいずれかの値を入力します。
    • http://hostboxname:16200: Portalを宛先サービスとして構成します。
    • http://hostboxname:16200: ADF UIを宛先サービスとして構成します。
    • http://hostboxname:16200: Imagingを宛先サービスとして構成します。
  4. 「POST署名用証明書別名」フィールドに、「demoidentity」と入力します。
  5. 「ソース・サイトのリダイレクトURI」フィールドに、構成する宛先サービスに基づいて、次のいずれかの値を入力します。
    • /webcenter/adfAuthentication: Portalを宛先サービスとして構成します。
    • /wcc/adfAuthentication: ADF UIを宛先サービスとして構成します。
    • /imaging/faces/Pages/Welcome.jspx: Imagingを宛先サービスとして構成します。
  6. 「ソース・サイトITS URL」フィールドに、「https://hostboxname:16201/samlits_ba/its」と入力します。
  7. 「ソース・サイトのITSパラメータ」フィールドに、「RPID=rp_00001」と入力します。
  8. 「発行者URI」フィールドに、「http://www.oracle.com/webcenter」と入力します。
  9. 「アサーション署名用証明書」フィールドに、「demoidentity」と入力します。
  10. 「署名が必要」チェック・ボックスを選択します。
  11. 「保存」をクリックします。
16.6.4.5 宛先のフェデレーション・サービスの定義
Portal、ADF UI、Imagingサーバーなどの宛先のフェデレーション・サービスを定義する手順:
  1. 「ドメイン構造」ペインで、「環境」をクリックします。
    「環境」ページが表示されます。
  2. 「サーバー」をクリックします。
    「サーバーのサマリー」ページが表示されます。
  3. 構成する宛先サービスに基づいて、次のサーバーのいずれかをクリックします。
    • WC_Portal: Portalを宛先サービスとして構成します。
    • WCCADF_server1: ADF UIを宛先サービスとして構成します。
    • IPM_server1: Imagingを宛先サービスとして構成します。
  4. 「フェデレーション・サービス」をクリックして、「SAML 1.1宛先サイト」をクリックします。
  5. 「宛先サイトの有効化」チェック・ボックスを選択します。
  6. 「アサーション・コンシューマのURI」フィールドに、構成する宛先サービスに基づいて、次のいずれかの値を入力します。
    • /webcenter/samlacs/acs: Portalを宛先サービスとして構成します。
    • /wcc/samlacs/acs: ADF UIを宛先サービスとして構成します。
    • /imaging/samlacs/acs: Imagingを宛先サービスとして構成します。
  7. 「ARSでSSLが必要」チェック・ボックスを選択します。
  8. 「SSLクライアント・アイデンティティ別名」フィールドに、「DemoIdentity」と入力します。
  9. 「SSLクライアント・アイデンティティ・パスフレーズ」フィールドに、「DemoIdentityPassPhrase」と入力します。
  10. 「SSLクライアント・アイデンティティ・パスフレーズの確認」フィールドに、「DemoIdentityPassPhrase」を入力して、SSLクライアント・アイデンティティ・パスフレーズを確認します。
  11. 「POST受信者チェックの有効化」を選択して、「POST使用済みチェックの有効化」チェック・ボックスを選択します。
  12. 「使用済みアサーション・キャッシュのプロパティ」フィールドに、「APID=ap_00001」と入力します。
  13. 「保存」をクリックします。

    ノート:

    宛先サービスを構成したら、weblogicユーザーとしてソースにログインし、必要な宛先URLを開きます。再度ログインする必要なく、宛先URLにアクセスできます。

16.6.5 SAML 2.0 (IDCS)シングル・サインオンの構成

この項では、次のようなWebCenterアプリケーション用にIDCSを使用してSAML 2.0 SSOを構成するステップについて説明します:

内容は次のとおりです。

16.6.5.1 SAML 2.0アサータの構成

SAML 2.0アサータを構成するには:

  1. WebLogic Server管理コンソールにログインします。
  2. 「ドメイン構造」ペインで「セキュリティ・レルム」をクリックします。
  3. 「セキュリティ・レルムの概要」ページで、レルムの名前(myrealmなど)を選択します。「myrealm」をクリックします。
    「myrealmの設定」ページが表示されます。
  4. 「プロバイダ」「認証」の順にクリックします。新しい認証プロバイダを作成するには、認証プロバイダの表で「新規」をクリックします。
  5. 「新しい認証プロバイダの作成」ページで、新しいアサータの名前(SAML2Asserterなど)を入力し、ドロップダウン・リストから認証プロバイダの「SAML2IdentityAsserter」タイプを選択して、「OK」をクリックします。
  6. 認証プロバイダの表で、新しく作成したアイデンティティ・アサーション・プロバイダの「SAML2Asserter」リンクをクリックします。
  7. 「セキュリティ・レルム」「myrealm」「プロバイダ」の順に選択します。認証プロバイダの表で、「並替え」をクリックします。
  8. 「認証プロバイダ」ページで、「SAML2Asserter」を一番上(すでに構成されているIDCS認証プロバイダの上)に移動して、「OK」をクリックします。
  9. 管理サーバーと管理対象サーバーを再起動します。
16.6.5.2 SAML 2.0 SSOサービス・プロバイダとしてのWeblogic管理対象サーバーの構成

Weblogic管理対象サーバーをSAML 2.0 SSOサービス・プロバイダとして構成するには:

  1. WebLogic Server管理コンソールにログインします。
  2. 「ドメイン構造」ペインで、「環境」をクリックします。
    「環境」ページが表示されます。
  3. 「サーバー」をクリックします。
    「サーバーのサマリー」ページが表示されます。
  4. (Content Serverの)管理対象サーバーに移動し、「フェデレーション・サービス」「SAML 2.0サービス・プロバイダ」の順にクリックします。「サービス・プロバイダ」ページで次のようにします:
    1. 「有効」チェック・ボックスを選択します。
    2. 「優先バインド」フィールドで、ドロップダウン・リストから値「POST」を選択します。
    3. 「デフォルトURL」フィールドに、http://<HOST/IP>:<PORT>/csまたはhttps://<HOST/IP>:<SSL_PORT>/csを入力します。
    4. 「保存」をクリックします。
    5. 他の管理対象サーバー、CaptureおよびContent UIに対して前述のステップを繰り返します。Captureの「デフォルトURL」は、http://<HOST/IP>:<PORT>/dc-consoleまたはhttps://<HOST/IP>:<SSL_PORT>/dc-consoleです。Content UIの「デフォルトURL」は、http://<HOST/IP>:<PORT>/wccまたはhttps://<HOST/IP>:<SSL_PORT>/wccです。

      ノート:

      OHSが存在する場合は、次のデフォルトURLを入力します:
      1. Content Server: http://<HOST/IP>/csまたはhttps://<OHS HOST/IP>:<SSL_PORT>/cs
      2. Capture: http://<HOST/IP>/dc-consoleまたはhttps://<OHS HOST/IP>:<SSL_PORT>/dc-console
      3. Content UI: http://<HOST/IP>/wccまたはhttps://<OHS_HOST/IP>:<SSL_PORT>/wcc
  5. (Content Serverの)管理対象サーバーに移動し、「フェデレーション・サービス」「SAML 2.0サービス・プロバイダ」の順にクリックします。
    1. 「レプリケートされたキャッシュの有効化」チェック・ボックスを選択します。
    2. 「公開サイトのURL」フィールドに、http://<HOST/IP>:<PORT>/saml2を入力します。
    3. 「エンティティID」フィールドに、値ucmを入力します。任意の名前(ucmなど)にできますが、一意である必要があります。このIDは、IDCSでSAMLを構成する際に使用するため、ノートにとっておきます。
    4. 「保存」をクリックします。管理対象サーバーを再起動します。
    5. SPメタデータをファイル<DOMAIN_HOME>/<Entity_ID>_sp_metadata.xmlに公開します。他のSAML IDPとは異なり、IDCSではこれをインポートする必要はありませんが、参照目的で役に立つ場合もあります。
      他の管理対象サーバー、CaptureおよびContent UIに対して前述のステップを繰り返します(「エンティティID」はそれぞれcapturewccとします)。それぞれのメタデータを公開します:
      • 公開サイトのURL [Capture]: http://<HOST/IP>:<PORT>/saml2o
      • 公開サイトのURL [Content UI]: http://<HOST/IP>:<PORT>/saml2

    ノート:

    OHSが存在する場合は、「公開サイトのURL」で次を入力します:
    1. Content Server: http://<HOST/IP>/saml2
    2. Capture: http://<HOST/IP>/saml2_capture
    3. Content UI: http://<HOST/IP>/saml2_wcc
    構成後、それぞれのメタデータ・ファイルを公開します。
16.6.5.3 SAML 2.0アイデンティティ・アサータ構成の完了

SAML 2.0アイデンティティ・アサータ構成を完了するには:

  1. IDCSメタデータ・ファイルをhttps://<IDCS_HOST>/fed/v1/metadataからダウンロードします。これは、SP (この場合はWeblogic Server)にインポートする必要があるIdP (この場合はIDCS)メタデータです。ファイルを管理サーバーにコピーします。
  2. 「ドメイン構造」ペインで「セキュリティ・レルム」をクリックします。
  3. 「セキュリティ・レルムの概要」ページで、レルムの名前(myrealmなど)を選択します。「myrealm」をクリックします。
    「myrealmの設定」ページが表示されます。
  4. 「レルム名の設定」ページで、「プロバイダ」→「認証」を選択します。認証プロバイダ表で、SAML 2.0アイデンティティ・アサーション・プロバイダ(「SAML2Asserter」など)を選択します。
    「SAML2Asserterの設定」ページが表示されます。
  5. 「SAML2Asserterの設定」ページで、「管理」を選択します。
  6. 「アイデンティティ・プロバイダ・パートナ」の下の表で、「新規」→新しいWebシングル・サインオンのアイデンティティ・プロバイダ・パートナの追加をクリックします。
  7. 「SAML 2.0 Webシングル・サインオンIDプロバイダ・パートナの作成」ページで、次のタスクを実行します。
    1. IDプロバイダ・パートナの名前を指定します。
    2. 「パス」フィールドで、IDCSメタデータ・ファイルの場所を指定します。
    3. 「OK」をクリックします。
  8. 「SAML 2.0 IDアサーション・プロバイダの設定」ページの「IDプロバイダ・パートナ」表で、新しく作成したWebシングル・サインオンIDプロバイダ・パートナの名前を選択します。
  9. 「一般」ページで、「有効」チェック・ボックスを選択します。
  10. サーバーに固有の「リダイレクトURI」を指定します:
    • Content Serverの場合は、/adfAuthenticationです。
    • Captureコンソールの場合は、/dc-console/adfAuthenticationです。
    • Captureクライアントの場合は、/dc-client/*です。
    • Content UIの場合は、/wcc/adfAuthenticationです。
  11. 「保存」をクリックします。
  12. 「セキュリティ・レルム」→「myrealm」→「プロバイダ」を選択します。認証プロバイダの表で、「並替え」をクリックします。
  13. 「認証プロバイダの並替え」ページで、「SAML2Asserter」を認証者リストの一番上に移動して、「OK」をクリックします。
  14. 管理サーバーと管理対象サーバーを再起動します。
16.6.5.4 IDCSでのSAMLアプリケーションの作成

IDCSでSAMLアプリケーションを作成するには:

  1. IDCS管理コンソールにログインします。
  2. IDCS管理コンソールで、「アプリケーション」アイコンにある「アプリケーションを追加します。」をクリックします。アプリケーションのリストが表示されます。「SAMLアプリケーション」を選択します。
  3. SAMLアプリケーション詳細の追加ページで、アプリケーションの名前およびそのURLを入力します。たとえば、http://<HOST/IP>:<PORT>/cshttps://<HOST/IP>:<SSL_PORT>/csなどです。
    アプリケーション名は一意である必要があります(UCMSAMLなど)。
  4. SAMLアプリケーションSSO構成の追加ページで、次を実行します:
    • 「エンティティID」フィールドに、値ucmを入力します。これは、管理対象サーバーのサービス・プロバイダで設定されている「エンティティID」と同じです。
    • 「アサーション・コンシューマのURL」フィールドに、http://<HOST/IP>:<PORT>/saml2/sp/acs/postまたはhttps://<HOST/IP>:<SSL_PORT>/saml2/sp/acs/postを入力します(場所はSPメタデータxmlファイル(ucm_sp_metadata.xmlなど)のmd:AssertionConsumerService属性からコピーします)。
    • 「NameID形式」フィールドで、ドロップダウン・リストから「指定なし」オプションを選択します。
    • 「NameID値」フィールドで、ドロップダウン・リストから「ユーザー名」オプションを選択します。
  5. 「終了」をクリックして、SAMLアプリケーションを作成します。
  6. CaptureサーバーおよびContent UI用に、追加で2つのSAMLアプリケーションを作成します。
  7. 前述の値をそれぞれのメタデータ・ファイルから指定し、両方のアプリケーションをアクティブにします。

    ノート:

    OHSが存在する場合は、「アプリケーションURL」およびアサーション・コンシューマ・サービス[ACS] URLに次の値を使用します:
    アプリケーション アサーション・コンシューマ・サービスURL アプリケーションURL
    コンテンツ・サーバー http://<HOST>/saml2/sp/acs/post http://<HOST>/cs
    Capture http://<HOST>/saml2_capture/sp/acs/post http://<HOST>/dc-console
    Content UI http://<HOST>/saml2_wcc/sp/acs/post http://<HOST>/wcc
16.6.5.5 SAMLアプリケーションへのグループの割当て

IDCS SAMLを介してユーザーを認証するためには、SAMLアプリケーションにユーザーを追加する必要があります。ユーザーがIDCSグループのメンバーである場合、そのグループをアプリケーションに追加すると、それらのユーザーが認証されます。ユーザーWCC認可にIDCSが使用される場合、アプリケーションに追加可能な対応するWCCロールに対してこれらのグループが使用されます(WCCユーザーはすでにこれらのグループのメンバーになっているため)。

グループをSAMLアプリケーションに割り当てるには:

  1. IDCSでグループ(WebcenterGroupなど)を作成し、それをSAMLアプリケーションに割り当てます。
  2. SAMLアプリケーションに移動します。「グループ」→「割当て」をクリックします。「WebcenterGroup」グループを割り当てます。

    ノート:

    このグループに属するユーザーのみが、WebCenterアプリケーションを使用できるようになります。
  3. グループを、すでに作成されているすべてのSAMLアプリケーションに割り当てます。
  4. IDCSユーザーを「WebcenterGroup」グループに追加します。
16.6.5.6 Cookieパスの変更

SAML 2.0の場合、Cookieパスは「/」に設定する必要があります。capture.earおよびWccAdf.earのCookieパスを「/」に更新するには、次のステップに従います:

ノート:

変更を行う前に、earファイルのバックアップ・コピーを作成してください。
  1. <MW_HOME>/wccapture/capture/libに移動します。
  2. capture.earファイルを解凍します: jar xvf capture.ear
  3. capture.earファイルを抽出した後、他のコンテンツとともに2つのwarファイルを取得する必要があります:
    1. Captureコンソールの場合: dc-admin.war
    2. Captureクライアントの場合: dc-wa.war
  4. dc-admin.warおよびdc-wa.warファイルを別々のディレクトリに解凍します
  5. warファイルの抽出後に/WEB-INF/weblogic.xmlファイルを開き、session-descriptor要素の下のcookie-path要素を次の値に変更します: <cookie-path>/</cookie-path>
  6. 古いdc-admin.warファイルとdc-wa.warファイルを削除してから、再作成します。 
    jar -cvf dc-admin.war *
jar -cvf dc-wa.war *
  7. 古いcapture.earファイルを削除してから再作成します。
    jar -cvf capture.ear *
  8. 古いcapture.earファイルを新しいファイルで置き換えます。
  9. 管理サーバーと管理対象サーバーを再起動します。
  10. 同様に、<MW_HOME>/wccontent/wccadf/lib/WccAdf.earにあるWccAdf.earのCookieパスを更新します。
  11. WCC ADFUIの場合のみ、Cookieパスの変更に加えて、次の行を削除します: <cookie-name>WCCSID</cookie-name>

    ノート:

    前述のアプローチは、開発環境とステージング環境に適しています。バンドル・パッチを適用した場合、earファイルが上書きされて、変更を再度行う必要があることがあります。
16.6.5.6.1 Cookieパスをオーバーライドするデプロイメント・プランの作成

本番デプロイメントの場合は、次のステップに従います:

  1. DOMAIN_HOMEplan.xmlファイルを作成します。plan.xml内のconfig-root要素はDOMAIN_HOMEディレクトリを指している必要があります(たとえば、<config-root> MW_HOME/user_projects/domains/base_domain/</config-root>
  2. weblogic.Deployerを使用して再デプロイします: 
    java -cp <MW_HOME>/wlserver/server/lib/weblogic.jar:. weblogic.Deployer
        -username weblogic -password <password> -adminurl t3://<admin
        hostname>:7001 -plan <path of plan.xml> -deploy
        <MW_HOME>/wccapture/capture/lib/capture.ear -targets <comma separated cluster
        targets>
16.6.5.7 Oracle HTTP Serverの構成

OHSの場所ごとに、<Location /saml2>が1つのみ存在するように一意のURIが必要です。SAMLに対して複数の管理対象サーバーが構成されている場合は、各管理対象サーバーで一意の場所が必要になります。

OHSのインストールおよび構成が完了すると、mod_wl_ohsファイルにはルーティング・ルールが含まれています。また、次のポート・マッピングがあることを確認してください:

  1. Content Server用のポートに/saml2がマップされている。
  2. Capture用のポートに/saml2_captureがマップされている。
  3. Content UI用のポートに/saml2_wccがマップされている。
16.6.5.7.1 saml2.warファイルの手動デプロイメント

管理対象サーバーまたはクラスタごとに、各SAML2アプリケーションに異なるSAML2コンテキスト・ルートが使用されるため、saml2.warアプリケーションを手動でデプロイする必要があります(すでに自動的にデプロイされているSAML2コンテキスト・ルートを使用する管理対象サーバーまたはクラスタを除く)。

  1. ドメイン管理サーバー・コンソールで、「デプロイメント」を選択します。「インストール」をクリックします。
  2. パスを<Middleware Home>/wlserver/server/libに設定します。
  3. saml2.warファイルを選択します。「次」をクリックします。
  4. 「このデプロイメントをアプリケーションとしてインストールする」チェック・ボックスを選択し、「次」をクリックします。
  5. これをデプロイする管理対象サーバーまたはクラスタを選択します。ページに変更を加えずに、「終了」をクリックします。
  6. 「構成」タブを選択します。
  7. コンテキスト・ルートをOHSの場所のコンテキスト・ルートと一致するように設定します:
    /saml2_capture
/saml2_wcc
  8. 「保存」をクリックします。
  9. デプロイメント・ファイルplan.xmlのパスを設定します:
    <Domain Home>/servers/<Managed Server>/plan.xml
    クラスタの場合は、システムが停止した場合に備えて、plan.xmlファイルを特定の管理対象サーバー・ディレクトリ下に配置しないでください。
  10. 「保存」をクリックします。
  11. 管理対象サーバーを再起動します。
16.6.5.8 Desktop Clientの構成

Desktop ClientがIDPのログイン・ページを認識できるように、文字列<!--IdcClientLoginForm=1-->をSSOプロバイダのログイン・ページに追加する必要があります。この文字列はデフォルトのIDCSログイン・ページに追加できないため、文字列を追加できるカスタム・サインイン・ページを作成する必要があります。

IDCSでのカスタム・サインイン・ページの作成

カスタム・サインイン・ページを構成するには、「Oracle Identity Cloud Serviceサインイン・ページのカスタマイズ」を参照してください。

前述のリンク「カスタム・サインイン・ページを使用するためのアプリケーションの構成」のステップ2で、WebCenter Content Server用に新しいアプリケーションを作成する必要はなく、既存のSAMLアプリケーションを使用できます。更新する必要があるのは、「カスタム・ログインURL」フィールドのみです。

ノート:

  • このチュートリアルでは、localhost:3000をサンプル・カスタム・サインイン・アプリケーションのホストとして使用しています。このアプリケーションを別の場所にデプロイした場合は、「カスタム・ログインURL」フィールドをサインイン・サンプル・アプリケーションの対応するURLで更新します。
  • 他のアプリケーションをホストしているドメイン、URLおよびサーバーにカスタム・サインイン・アプリケーションをデプロイしないでください。サインイン・ページは、他のすべてのアプリケーションおよびユーザーがアクセスできる単一の中央サービスとしてデプロイする必要があります。
  • 前述のステップを実行すると、WebCenter Contentサーバーも、デフォルトのIDCSログイン・ページではなくカスタム・サインイン・ページにリダイレクトされます。