16 コンテンツ・サーバー用Fusion Middlewareセキュリティの構成
この章の内容は次のとおりです。
Oracle Fusion MiddlewareおよびOracle WebLogic Serverのセキュリティの詳細は、表16-1にリストするドキュメントを参照してください。
16.1 LDAP認証プロバイダ
Oracle WebCenter ContentはOracle WebLogic Server上で実行されます。Oracle WebLogic Serverドメインには、デフォルト認証、認可、資格証明マッピングおよびロール・マッピング・プロバイダ用のデフォルトのセキュリティ・プロバイダ・データ・ストアとして動作する、組込みLightweight Directory Access Protocol (LDAP)サーバーが含まれます。WebCenter ContentはOracle WebLogic Serverと通信するデフォルトのJpsUserProviderを提供します。『Oracle WebLogic Serverセキュリティの管理』の組込みLDAPサーバーの管理に関する項およびOracle WebLogic Server管理コンソール・オンライン・ヘルプの組込みLDAPサーバーの構成に関する項を参照してください。
ほとんどの場合、組込みLDAPサーバーを使用するのではなく、Oracle WebCenter Content本番システムのアイデンティティ・ストアを外部LDAP認証プロバイダに再度関連付ける必要があります。新規LDAP認証プロバイダを構成した後、組込みLDAPプロバイダから新規LDAPプロバイダにユーザーを移行します。Oracle Internet Directory (OID)などの外部LDAP認証プロバイダは、デフォルトの認証プロバイダを含む、すべてのその他の認証プロバイダよりも前にリストされる必要があります。『Oracle WebCenter Contentのインストールと構成』のアイデンティティ・ストアの外部LDAP認証プロバイダとの再関連付けに関する項を参照してください。
ノート:
11g リリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、2つのOracle Internet Directory (OID)プロバイダをユーザーおよびロール情報のソースとして使用できる場合もあります。『Oracle Platform Security Servicesによるアプリケーションの保護』の単一および複数のLDAPの構成に関する項を参照してください。
表16-1に、ユーザー認証用に構成できるLDAPプロバイダを示します。
表16-1 LDAPオーセンティケータ・タイプ
LDAPサーバー | オーセンティケータ・プロバイダ |
---|---|
Microsoft AD |
ActiveDirectoryAuthenticator |
SunOne LDAP |
IPlanetAuthenticator |
Oracle Directory Server Enterprise Edition(ODSEE) |
IPlanetAuthenticator |
Oracle Unified Directory (OUD) |
IPlanetAuthenticator |
Oracle Internet Directory |
OracleInternetDirectoryAuthenticator |
Oracle Virtual Directory |
OracleVirtualDirectoryAuthenticator |
EDIRECTORY |
NovellAuthenticator |
OpenLDAP |
OpenLDAPAuthenticator |
EmbeddedLDAP |
DefaultAuthenticator |
外部LDAPサーバーを使用してWebCenter Contentを構成し、WebCenter Contentが認識する権限を持つディレクトリに動的グループ(および静的グループ)が存在する場合は、追加の構成が必要になります。ユーザーの作成、認証および認可はOracle Platform Services Security (OPSS)を使用して管理されており、これは、外部LDAPサーバーのネイティブOracle WebLogic Serverプロバイダと比較されたときに、別のメカニズムを使用してディレクトリ・サーバーの情報を収集します。外部のLDAPサーバーのブログからOracle WebCenterおよび動的グループに関する記事を参照してください。
16.2 SSLを使用するためのOracle WebCenter Contentの構成
SSLを使用してWebCenter Contentとセキュアな通信を行うようにOracle Fusion Middlewareを構成できます。Oracle Fusion MiddlewareではSSLバージョン3に加えて、TLSバージョン1をサポートしています。
この項の内容は次のとおりです。
詳細は、『Oracle WebLogic Serverセキュリティの管理』のSSLの構成に関する項を参照してください。Web層の構成の詳細は、『Oracle Fusion Middlewareの管理』の「Oracle Fusion MiddlewareでのSSLの構成」を参照してください。
16.2.1 WebCenter Contentの双方向SSL通信の構成
WebCenter Contentは、双方向SSL通信を構成するために、Oracle WebLogic ServerのSecure Socket Layer (SSL)スタックを使用します。
-
インバウンドのWebサービス・バインディングの場合、WebCenter ContentではOracle WebLogic Serverインフラストラクチャを使用し、SSL用にOracle WebLogic Serverライブラリを使用します。
-
アウトバウンドのWebサービス・バインディングの場合、WebCenter ContentではJRF HttpClientを使用し、SSL用にOracle Sun JDKライブラリを使用します。
このように違いがあるため、次のJVMオプションを使用してOracle WebLogic Serverを起動します。
-
次のファイルを開きます。
-
UNIXオペレーティング・システムでは、
$MIDDLEWARE_HOME/user_projects/domains/
domain_name
/bin/setDomainEnv.sh
を開きます。 -
Windowsオペレーティング・システムでは、
MIDDLEWARE_HOME
\user_projects\domains\
domain_name
\bin\setDomainEnv.bat
を開きます。
-
-
サーバーが一方向SSL(サーバー認可のみ)に対して有効な場合は、次の行を
JAVA_OPTIONS
セクションに追加します。-Djavax.net.ssl.trustStore=your_truststore_location
双方向SSLの場合は、キーストア情報(場所とパスワード)は不要です。
WebCenter Contentが別のアプリケーションを呼び出すために双方向SSLを有効化するには:
ノート:
サーバーとクライアントの両方が相互認証でSSL用に構成されていることが前提となります。
-
クライアント側で、キーストアの場所を指定します。
-
「SOAインフラストラクチャ」メニューから、「SOA管理」、「共通プロパティ」の順に選択します。
-
ページの下部で、「詳細SOAインフラ拡張構成プロパティ」をクリックします。
-
「KeystoreLocation」をクリックします。
-
「値」列に、キーストアの場所を入力します。
-
「適用」をクリックします。
-
「戻る」をクリックします。
-
-
クライアント側の
DOMAIN_HOME
\config\soa-infra\configuration\soa-infra-config.xml
でキーストアの場所を指定します。<keystoreLocation>absolute_path_to_the_keystore_location_and_the_file_name </keystoreLocation>
-
Oracle JDeveloperでの設計時に、
composite.xml
ファイル内の参照セクションをoracle.soa.two.way.ssl.enabled
プロパティで更新します。<reference name="Service1" ui:wsdlLocation=". . ."> <interface.wsdl interface=". . ."/> <binding.ws port=". . ."> <property name="oracle.soa.two.way.ssl.enabled">true</property> </binding.ws> </reference>
-
Oracle Enterprise Manager Fusion Middleware Controlコンソールで、「WebLogicドメイン」、domain_nameの順に選択します。
-
domain_nameを右クリックし、「セキュリティ」,、「資格証明」の順に選択します。
-
「マップの作成」をクリックします。
-
「マップ名」フィールドに名前(
SOA
など)を入力し、「OK」をクリックします。 -
「キーの作成」をクリックします。
-
次の詳細を入力します。
フィールド 説明 マップの選択
ステップ7で作成したマップ(この例ではSOA)を選択します。
キー
キー名を入力します(
KeystorePassword
がデフォルトです)。タイプ
「パスワード」を選択します。
ユーザー名
ユーザー名を入力します(
KeystorePassword
がデフォルトです)。パスワード
キーストアに対して作成したパスワードを入力します。
ノート:
WebLogic ServerドメインでSSLを設定する場合、キーの別名が必要です。別名の値として「
mykey
」を入力する必要があります。この値は必須です。 -
Oracle Enterprise Manager Fusion Middleware Controlコンソールでキーストアの場所を設定します。方法については、ステップ1を参照してください。
-
https
およびsslport
を使用してOracle WebCenter Contentを起動するようにcomposite.xml
構文を変更します。たとえば、次の太字で示されている構文を変更します。<?xml version="1.0" encoding="UTF-8" ?> <!-- Generated by Oracle SOA Modeler version 1.0 at [4/1/09 11:01 PM]. --> <composite name="InvokeEchoBPELSync" revision="1.0" label="2009-04-01_23-01-53_994" mode="active" state="on" xmlns="http://xmlns.example.com/sca/1.0" xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:wsp="http://schemas.xmlsoap.org/ws/2004/09/policy" xmlns:orawsp="http://schemas.example.com/ws/2006/01/policy" xmlns:ui="http://xmlns.example.com/soa/designer/"> <import namespace="http://xmlns.example.com/CustomApps/InvokeEchoBPELSync/BPELProcess1" location="BPELProcess1.wsdl" importType="wsdl"/> <import namespace="http://xmlns.example.com/CustomApps/EchoBPELSync/ BPELProcess1"location="http://hostname:port/soa-infra/services/default/EchoBPEL Sync/BPELProcess1.wsdl" importType="wsdl"/>
https
およびsslport
を使用するように変更します。location="https://hostname:sslport/soa-infra/services/default/EchoBPELSync /BPELProcess1.wsdl"
16.2.2 Oracle JDeveloperの一方向SSL環境での参照の呼出し
Webサービスを一方向SSL環境でWebCenter Contentからの外部参照として呼び出す場合は、サーバーの証明書名(CN)とホスト名が完全に一致することを確認します。これにより、正しいSSLハンドシェイクが保証されます。
たとえば、Webサービスの名前がadfbc
で、証明書のサーバー名がhost
の場合は、次のコードでSSLハンドシェーク例外が発生します。
<import namespace="/adfbc1/common/" location="https://host.example.com:8002/CustomApps-adfbc1-context-root/AppModuleService?WSDL" importType="wsdl"/> <import namespace="/adfbc1/common/" location="Service1.wsdl" importType="wsdl"/>
import
の順序を入れ替えると、SSLハンドシェイクに成功します。
<import namespace="/adfbc1/common/" location="Service1.wsdl" importType="wsdl"/> <import namespace="/adfbc1/common/" location="https://host.example.com:8002/CustomApps-adfbc1-context-root/AppModuleService?WSDL" importType="wsdl"/>
この問題に関連して次の制限があります。
-
Oracle WebLogic Server管理コンソールにあるようなホスト名の検証を無視するオプションはOracle JDeveloperにありません。これは、Oracle JDeveloperで使用されているSSLキットが異なるためです。トラスト・ストアのみコマンド行から構成できます。他のすべての証明書引数は渡されません。
-
WSDLファイルで、
https://
hostname
は前述のように証明書内の名前と一致する必要があります。ブラウザで行う場合と同じ手順は実行できません。たとえば、証明書のCNのホスト名がhost.example.com
の場合、ブラウザではhost
、host.example.com
またはIPアドレスを使用できます。Oracle JDeveloperでは、必ず証明書内の名前と同じ名前(host.example.com
)を使用する必要があります。
16.2.3 WebCenter ContentおよびOracle HTTP ServerのSSL通信の構成
ここでは、WebCenter ContentとOracle HTTP Server間でSSL通信を構成する手順について説明します。
『Oracle Fusion Middlewareの管理』のWeb層のためのSSLの構成に関する項を参照してください。
Oracle HTTP ServerのSSL通信を構成するには:
-
ssl.conf
に<Location /cs>
ロケーション・ディレクティブを追加します。この場合のport
はターゲットの管理対象サーバーのポート番号です。<Location /cs> WebLogicPort 8002 SetHandler weblogic-handler ErrorPage http://host.example.com:port/error.html </Location>
-
「WebCenter Contentの双方向SSL通信の構成」で説明しているように、Oracle WebLogic Serverを起動します。
Oracle Client、Oracle HTTP ServerおよびOracle WebLogic Serverの証明書を構成する手順は、次のとおりです。
16.2.4 WebCenter Contentでの非SSLからSSL構成への切替え
WebCenter Contentで非SSLからSSL構成に切り替えるには、Oracle WebLogic Server管理コンソールで「フロントエンド・ホスト」および「フロントエンドHTTPSポート」フィールドを設定する必要があります。設定しないと、To-Doタスクを作成するときに例外エラーが発生します。
wls_console
にログインします。- 「環境」セクションで「サーバー」を選択します。
- 管理対象サーバーの名前(
UCM_server1
など)を選択します。 - 「プロトコル」を選択し、次に「HTTP」を選択します。
- 「フロントエンド・ホスト」フィールドで、WebCenter Contentドメインが配置されているホスト名を入力します。
- 「フロントエンドHTTPSポート」フィールドに、SSLリスナー・ポートを入力します。
- 「保存」をクリックします。
16.2.5 一方向SSLでのカスタム・トラスト・ストアの使用
keytool
やorapki
などのツールで作成したカスタム・トラスト・ストアを使用している場合にHTTPSを介してWebCenter Contentを起動するには、Oracle JDeveloperで次の操作を実行します。
16.2.6 非同期プロセスの呼び出しのための非同期プロセスの有効化
SSL対応の管理対象サーバーにデプロイされた非同期プロセスを有効化して、別の非同期プロセスをHTTPで呼び出すには、まず次の環境を作成することを前提とします。
-
非同期BPELプロセスAが非同期BPELプロセスBを呼び出す
-
非同期BPELプロセスAは一方向SSL対応の管理対象サーバーにデプロイされる
-
すべてのWSDL参照およびバインディングでプレーンHTTPを使用する
実行時に、WSDLはHTTPSを介して検索され、非同期BPELプロセスBからのコールバック・メッセージが失敗します。
この問題を解決するには、callbackServerURL
プロパティをcomposite.xml
ファイルの参照バインディング・レベルで渡す必要があります。これは、特定の参照呼出しのコールバックURLの値を示します。クライアント・コンポジットがSSL管理対象サーバーで実行されている場合、コールバックはデフォルトでSSLになります。
<reference name="Service1" ui:wsdlLocation="http://localhost:8000/soa-infra/services/default/ AsyncSecondBPELMTOM/BPELProcess1.wsdl"> <interface.wsdl interface="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1# wsdl.interface(BPELProcess1)" callbackInterface="http://xmlns.example.com/Async/ AsyncSecondBPELMTOM/BPELProcess1#wsdl.interface(BPELProcess1Callback)"/> <binding.ws port="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1# wsdl.endpoint(bpelprocess1_client_ep/BPELProcess1_pt)" location="http://localhost:8000/soa-infra/services/default/AsyncSecondBPELMTOM /bpelprocess1_client_ep?WSDL"> <wsp:PolicyReference URI="oracle/wss_username_token_client_policy" orawsp:category="security" orawsp:status="enabled"/> <wsp:PolicyReference URI="oracle/wsaddr_policy" orawsp:category="addressing" orawsp:status="enabled"/> <property name="callbackServerURL">http://localhost:8000/</property> </binding.ws> <callback> <binding.ws port="http://xmlns.example.com/Async/AsyncSecondBPELMTOM/BPELProcess1# wsdl.endpoint(bpelprocess1_client_ep/BPELProcess1Callback_pt)"> <wsp:PolicyReference URI="oracle/wss_username_token_service_policy" orawsp:category="security" orawsp:status="enabled"/> </binding.ws> </callback> </reference>
16.3 シングル・サインオン用のWebCenter Contentの構成
Oracle WebCenter Content向けの次のシングル・サインオン(SSO)ソリューションのいずれかを構成できます。
-
Oracle Access Manager 11g
-
Oracle Access Manager 10g
-
Oracle Single Sign-On(OSSO)
-
Windowsネイティブ認証(WNA)
Oracle Access Manager (OAM)は、WebCenter Contentを含むOracle Fusion Middlewareエンタープライズ・クラスのインストールに推奨するシングル・サインオン(SSO)ソリューションです。OAMはOracleのアイデンティティ管理およびセキュリティ用のエンタープライズ・クラス製品スイートの一部です。
エンタープライズ・クラスのインストールが、Microsoftドメイン・コントローラを使用してActive Directory内のユーザー・アカウントを認証するMicrosoftデスクトップ・ログインを使用する場合、Windows Native Authentication (WNA)のシングル・サインオンの構成はオプションの場合があります。WNAの詳細は、「Windowsのネイティブ認証用のWebCenter Contentおよびシングル・サインオンの構成」を参照してください。
Oracle WebLogic Server認証プロバイダの概要は、『Oracle WebLogic Serverセキュリティの管理』の認証プロバイダの構成に関する項を参照してください。
ノート:
WebDAV (/dav
)は、WebDAVプロトコルごとにBasic認証によって保護されていますが、通常はフォームベースのログインが必要となるSSOによっては保護されていません。WebDAVに対してカスタムSSOソリューションを使用する場合は、カスタム・コンポーネントが必要となります。
構成情報は次の項で説明します。
16.3.1 WebCenter Contentを使用したOracle Access Manager 14cの構成
この項では、WebCenter ContentとOracle Access Manager (OAM) 14cの統合方法について説明します。Oracle WebCenter Content: コンテンツ・サーバー(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。
-
『Oracle Access Management管理者ガイドfor All Platforms』の説明に従って、OAM 14c、Oracle HTTP Server (OHS)およびWebGateを構成します。
-
mod_wl_ohs.conf
ファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。
ノート:
転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、
/cs
、/adfAuthentication
、/_ocsh
、/ibr
などです。Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、/mysite
のロケーション・エントリを追加する必要があります。注意:
コンテンツ・サーバーのロケーション
/cs
はカスタマイズできるため、/cs
指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/cs
が変更されると、管理者が構成したロケーションが転送されます。# Content Server <Location /cs> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # Content Server authentication <Location /adfAuthentication> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # WebCenter online help <Location /_ocsh> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # IBR <Location /ibr> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location>
# SS <Location /
customer-configured-site-studio
SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> -
OAM 14cリモート登録ツール(
oamreg
)を使用して、保護およびパブリックにするWebCenter ContentのURIを指定して、OAMエージェントを登録します。『Oracle Access Management管理者ガイドfor All Platforms』を参照してください。
ノート:
保護およびパブリックにするURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。
Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、URI/mysite
を指定する必要があります。機能 タイプ URI CS
保護
/adfAuthentication
CS
パブリック
/cs
CS
パブリック
/_ocsh
IBR
保護
/ibr/adfAuthentication
IBR
パブリック
/ibr
SS
保護
/
customer_configured_site_studio
-
シングル・サインオン・ログアウトが正常に機能するよう、URL
/oamsso/logout.html
をAccessGateのログアウトURL設定に追加します。『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOAM Webゲートが関与するセッションの集中ログアウトの構成に関する項を参照してください。
-
-
これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。
-
OAM IDアサーション・プロバイダを構成します。OAMアイデンティティ・アサータの制御フラグは、
REQUIRED
に設定される必要があり、OAM_REMOTE_USER
およびObSSOCookie
はアクティブなタイプとして選択される必要があります。 -
認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。
ノート:
デフォルトのプロバイダ以外の認証プロバイダを使用するように、WebCenter Content用のOracle WebLogic Serverを構成する場合、セキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更できます。また、
DefaultAuthenticator
制御フラグがSUFFICIENT
に設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。 -
OPSS (OAM)シングル・サインオン・プロバイダを構成します。
-
-
OAM 14cのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、利用できる状況でグローバル・ログアウトもテストして、関連する他のすべてのアプリケーションからログアウトすることを確認してください。
16.3.2 WebCenter Contentを使用したOracle Access Manager 12cの構成
この項では、WebCenter ContentとOracle Access Manager (OAM) 12cの統合方法について説明します。Oracle WebCenter Content: コンテンツ・サーバー(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。
-
『Oracle Access Management管理者ガイドfor All Platforms』の説明に従って、OAM 12c、Oracle HTTP Server (OHS)およびWebGateを構成します。
-
mod_wl_ohs.conf
ファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。
ノート:
転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、
/cs
、/adfAuthentication
、/_ocsh
、/ibr
などです。Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、/mysite
のロケーション・エントリを追加する必要があります。注意:
コンテンツ・サーバーのロケーション
/cs
はカスタマイズできるため、/cs
指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/cs
が変更されると、管理者が構成したロケーションが転送されます。# Content Server <Location /cs> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # Content Server authentication <Location /adfAuthentication> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # WebCenter online help <Location /_ocsh> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # IBR <Location /ibr> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location>
# SS <Location /
customer-configured-site-studio
SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> -
OAM 12cリモート登録ツール(
oamreg
)を使用して、保護およびパブリックにするWebCenter ContentのURIを指定して、OAMエージェントを登録します。『Oracle Access Management管理者ガイドfor All Platforms』を参照してください。
ノート:
保護およびパブリックにするURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。
Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、URI/mysite
を指定する必要があります。機能 タイプ URI CS
保護
/adfAuthentication
CS
パブリック
/cs
CS
パブリック
/_ocsh
IBR
保護
/ibr/adfAuthentication
IBR
パブリック
/ibr
SS
保護
/
customer_configured_site_studio
-
シングル・サインオン・ログアウトが正常に機能するよう、URL
/oamsso/logout.html
をAccessGateのログアウトURL設定に追加します。『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOAM Webゲートが関与するセッションの集中ログアウトの構成に関する項を参照してください。
-
-
これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。
-
OAM IDアサーション・プロバイダを構成します。OAMアイデンティティ・アサータの制御フラグは、
REQUIRED
に設定される必要があり、OAM_REMOTE_USER
およびObSSOCookie
はアクティブなタイプとして選択される必要があります。 -
認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。
ノート:
デフォルトのプロバイダ以外の認証プロバイダを使用するように、WebCenter Content用のOracle WebLogic Serverを構成する場合、セキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更できます。また、
DefaultAuthenticator
制御フラグがSUFFICIENT
に設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。 -
OPSS (OAM)シングル・サインオン・プロバイダを構成します。
-
-
OAM 12cのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、利用できる状況でグローバル・ログアウトもテストして、関連する他のすべてのアプリケーションからログアウトすることを確認してください。
16.3.3 WebCenter Contentを使用したOracle Access Manager 11gの構成
この項では、WebCenter ContentとOracle Access Manager (OAM) 11gの統合方法について説明します。Oracle WebCenter Content: コンテンツ・サーバー(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。
OAM 11gを構成する前に、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド 11g リリース1 (11.1.1.9.0)』のOracle Identity Managementのインストールと構成に関する項で提供されている手順に従って、ソフトウェアをインストールします。
-
『Oracle Access Management管理者ガイドfor All Platforms』の説明に従って、OAM 11g、Oracle HTTP Server (OHS)およびWebGateを構成します。
-
mod_wl_ohs.conf
ファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。
ノート:
転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、
/cs
、/adfAuthentication
、/_ocsh
、/ibr
などです。Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、/mysite
のロケーション・エントリを追加する必要があります。注意:
コンテンツ・サーバーのロケーション
/cs
はカスタマイズできるため、/cs
指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/cs
が変更されると、管理者が構成したロケーションが転送されます。# Content Server <Location /cs> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # Content Server authentication <Location /adfAuthentication> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # WebCenter online help <Location /_ocsh> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # IBR <Location /ibr> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location>
# SS <Location /
customer-configured-site-studio
SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> -
OAM 11gリモート登録ツール(
oamreg
)を使用して、保護およびパブリックにするWebCenter ContentのURIを指定して、OAMエージェントを登録します。『Oracle Access Management管理者ガイドfor All Platforms』を参照してください。
ノート:
保護およびパブリックにするURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。
Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、URI/mysite
を指定する必要があります。機能 タイプ URI CS
保護
/adfAuthentication
CS
パブリック
/cs
CS
パブリック
/_ocsh
IBR
保護
/ibr/adfAuthentication
IBR
パブリック
/ibr
SS
保護
/
customer_configured_site_studio
-
シングル・サインオン・ログアウトが正常に機能するよう、URL
/oamsso/logout.html
をAccessGateのログアウトURL設定に追加します。『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1)』のOAM 11gのログアウトの一元化の構成に関する項を参照してください。
-
-
これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。
-
OAM IDアサーション・プロバイダを構成します。OAMアイデンティティ・アサータの制御フラグは、
REQUIRED
に設定される必要があり、OAM_REMOTE_USER
およびObSSOCookie
はアクティブなタイプとして選択される必要があります。 -
認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。
ノート:
WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更してください。また、
DefaultAuthenticator
制御フラグがSUFFICIENT
に設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。 -
OPSS (OAM)シングル・サインオン・プロバイダを構成します。
-
-
OAM 11gのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、利用できる状況でグローバル・ログアウトもテストして、関連する他のすべてのアプリケーションからログアウトすることを確認してください。
16.3.4 WebCenter Contentを使用したOracle Access Manager 10gの構成
この項では、WebCenter ContentとOracle Access Manager (OAM) 10gの統合方法について説明します。Oracle WebCenter Content Server(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。
OAMを構成する前に、ソフトウェアをインストールします。『Oracle WebCenter Contentエンタープライズ・デプロイメント・ガイド』のOAM統合に関する情報を参照してください。
-
OAM 10g、Oracle HTTP Server (OHS)およびWebGateを構成します。
-
mod_wl.conf
ファイルにエントリを追加して、転送するWebCenter Content Uniform Resource Identifier (URI)を追加します。次の例から適切なロケーション・エントリを使用します。次のLocation
リストのエントリは、対応するアプリケーションが存在する適切なOracle WebLogic Serverへの受信パスをマップします。次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。
ノート:
転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、
/cs
、/adfAuthentication
、/_ocsh
、/ibr
などです。Site Studioの場合、転送するURIはお客様が定義します。たとえば、サイトが
/mysite
としてアクセスされる場合、/mysite
のロケーション・エントリを追加する必要があります。注意:
コンテンツ・サーバーのロケーション
/cs
はカスタマイズできるため、/cs
指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/cs
が変更されると、管理者が構成したロケーションが転送されます。# Content Server <Location /cs> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # Content Server authentication <Location /adfAuthentication> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # WebCenter online help <Location /_ocsh> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # IBR <Location /ibr> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location>
# SS <Location /customer-configured-for-site-studio> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portname> </Location>
-
OAM 10g構成ツール(OAMCfgTool)を使用して、保護するWebCenter Content URIを指定します。
OAM構成ツールはコマンドライン・ユーティリティで、情報を要求する一連のスクリプトを起動し、OAMで必要なプロファイルとポリシーを設定するために使用します。
ノート:
保護するURIは、Oracle WebCenter Content (CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。
Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、URI/mysite
を指定する必要があります。機能 URI CS
/adfAuthentication
IBR
/ibr/adfAuthentication
SS
/
customer_configured_site_studio
ノート:
OAMの構成が完了した後で、WebCenter ContentのURLが正しくリンクしていない場合、サーバー・ホストとサーバーのポート値の変更が必要な場合があります。詳細は、「シングル・サインオン用のWebCenter Content URLの構成」を参照してください。
-
OAMグローバル・ログアウトの設定を完了するには、
end_url
が処理されるようWebゲートを構成します。この構成を追加しない場合、ログアウトしても、end_url
が処理されないため、終了URLへのリダイレクトが行われません。 -
シングル・サインオン・ログアウトが正常に機能するよう、URL
/oamsso/logout.html
をAccessGateのログアウトURL設定に追加します。『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1)』のOAM 11gのログアウトの一元化の構成に関する項を参照してください。ノート:
WebCenter Contentバージョン11gR1をOAMバージョン10gを使用する環境にデプロイするには、ログアウト・リクエストを適切に処理するための追加の構成が必要です。
-
-
次のタスクを実行して、WebCenter Contentドメインを構成します。
-
OAM IDアサーション・プロバイダを構成します。OAMアイデンティティ・アサータの制御フラグを
REQUIRED
に設定する必要があります。 -
認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OAMでOIDを使用している場合、OID認証プロバイダがOracle WebCenter Contentドメインに追加される必要があります。
ノート:
WebCenter Content用のOracle WebLogic Serverドメインが
DefaultAuthenticator
プロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更してください。また、DefaultAuthenticator制御フラグがSUFFICIENT
に設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。 -
OPSS (OAM)シングル・サインオン・プロバイダを構成します。
-
-
OAM 10gのインストールおよび構成後、すべての構成済アプリケーションにアクセスできることと、ログインにより再度サインインすることを要求されずにすべての構成済アプリケーションにアクセスできることを確認します。また、利用できる状況でグローバル・ログアウトもテストして、関連する他のすべてのアプリケーションからログアウトすることを確認してください。
16.3.5 WebCenter Content用のOracle Single Sign-Onの構成
Oracle Single Sign-On (OSSO)は14c Oracle Application Serverスイートの一部です。OSSOは、Oracle Internet DirectoryおよびOracle HTTP Server (OHS) 14cと組み合せたアプリケーション・サーバーで使用できるエンタープライズ・レベルのシングル・サインオン・ソリューションです。
既存のOracleデプロイメントにOSSOがエンタープライズ・ソリューションとしてすでにデプロイされている場合、Oracle Fusion Middlewareは、既存のOSSOソリューションを引き続きサポートします。ただし、OAM 14c Single Sign-onソリューションへのアップグレードを検討することをお薦めします。
この項では、WebCenter ContentとOSSOの統合に関する情報について説明します。Oracle WebCenter Content Server(CS)、Oracle WebCenter Content: Inbound Refinery (IBR)、およびOracle WebCenter Content: Site Studio (SS)についての構成情報が提供されます。
OSSOを構成する前に、ソフトウェアがインストールされていることを確認します。OSSOおよびOracle Delegated Administration Serviceは11g リリースの一部ではありません。お客様は、11g Oracle Internet DirectoryおよびOracle Directory Integration Platformと互換性があり、いわゆる10gでのApplication Serverインフラストラクチャを形成する、これらの製品の10.1.4.*バージョンをダウンロードする必要があります。これらの10g製品でのデプロイ手順は、Oracle Identity Managementリリース10.1.4.0.1用のOracle Application Serverエンタープライズ・デプロイメント・ガイド(原本部品番号B28184-02)のJAZN-SSO/DASのインストールおよび構成に関する説明を参照してください。このマニュアルは次のOracle Technology Networkから使用可能です。
http://download.oracle.com/docs/cd/B28196_01/core.1014/b28184/toc.htm
-
OSSOを構成します。
-
WebCenter Content Uniform Resource Identifier (URI)エントリを
mod_wl_ohs.conf
ファイルに追加します。次の例から適切なロケーション・エントリを使用します。例の各エントリは受信パスを対応するアプリケーションが存在する適切なOracle WebLogic Serverにマップします。次のエントリのリストで、hostnameはコンテンツ・サーバーをホストしているコンピュータ名を示し、portnumberは対応するアプリケーションが存在するOracle WebLogic Serverのポート番号を示します。hostnameおよびportnumberは、使用しているシステムのホスト名とポート名に置き換えます。
ノート:
転送するURIはインストールしたWebCenter Content機能により異なります。機能に応じて適切なロケーション・エントリを使用します。たとえば、
/cs
、/adfAuthentication
、/_ocsh
、/ibr
などです。Site Studioの場合、転送するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、/mysite
のロケーション・エントリを追加する必要があります。注意:
コンテンツ・サーバーのロケーション
/cs
はカスタマイズできるため、/cs
指定ではHTTPリクエストが正しいロケーションを含むことを保証できません。/cs
が変更されると、管理者が構成したロケーションが転送されます。# Content Server <Location /cs> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # Content Server authentication <Location /adfAuthentication> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # WebCenter online help <Location /_ocsh> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> # IBR <Location /ibr> SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location>
# SS <Location /
customer-configured-site-studio
SetHandler weblogic-handler WebLogicHost <hostname> WebLogicPort <portnumber> </Location> -
保護するWebCenter Content Uniform Resource Identifier (URI)を含めるように
mod_osso.conf
ファイル(ORACLE_HOME
/ohs/conf/
)を変更します。ノート:
保護するURIは、コンテンツ・サーバー(CS)、Inbound Refinery (IBR)、Site Studio (SS)など、インストールしたWebCenter Content機能により異なります。
Site Studioの場合、保護するURIはお客様が構成します。たとえば、サイトが
/mysite
としてアクセスされる場合、URI/mysite
を指定する必要があります。機能 URI CS
/adfAuthentication
IBR
/ibr/adfAuthentication
SS
/customer_configured_site_studio
-
-
これらのタスクを確実に実行することにより、WebCenter Contentドメインを構成します。
-
WebCenter Content用のOracle WebLogic ServerのOSSOアイデンティティ・アサータを追加および構成します。認証プロバイダとして、OSSOアイデンティティ・アサータ、OIDオーセンティケータ、デフォルト・オーセンティケータを推奨します。
OIDオーセンティケータ・プロバイダはOracle Internet Directoryサーバー用で、本稼働レベルのシステムで使用されます。デフォルト・オーセンティケータ・プロバイダは、Oracle WebLogic Server組込みLDAPサーバー用です。
OSSOIdentityAsserterをドメイン用のプライマリ・プロバイダ・オーセンティケータとして設定し、ユーザー・プロファイルが関連Oracle Internet Directoryサーバーから取得できるようにします。必要な場合、リストされているように制御フラグを設定し、プロバイダの順序を変更して次の順序で表示されるようにします。
OSSOIdentityAsserter (
REQUIRED
)OIDAuthenticator (
SUFFICIENT
)DefaultAuthenticator (
SUFFICIENT
)ノート:
WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更してください。また、
DefaultAuthenticator
制御フラグがSUFFICIENT
に設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。 -
認証プロバイダを構成します。これはOracle Internet Directory (OID)またはOracle Virtual Directory (OVD)のような、OAMで使用されるLDAPサーバーと一致する、ユーザー・ストア用の外部LDAPサーバーを指定するのに必要です。たとえば、OSSOでOIDを使用している場合、OID認証プロバイダがWebCenter Contentドメインに追加される必要があります。
-
ノート:
OSSOの構成が完了した後で、WebCenter ContentのURLが正しくリンクしていない場合、サーバー・ホストとサーバーのポート値の変更が必要な場合があります。詳細は、「シングル・サインオン用のWebCenter Content URLの構成」を参照してください。
16.3.6 最初の認証プロバイダの構成
WebCenter Content用のOracle WebLogic Serverドメインが、ユーザー認証(Oracle Internet Directoryまたはその他のLDAPプロバイダなど)用にデフォルトの認証プロバイダ以外の認証プロバイダを使用するように構成されている場合、プライマリ・プロバイダはセキュリティ・レルム構成の最初の認証プロバイダである必要があります。そうでないと、ログイン認証が失敗します。
プライマリ・プロバイダが最初にリストされていない(たとえば、Oracle WebLogic ServerプロバイダであるDefaultAuthenticator
の下にリストされている)場合、WebCenter Contentはユーザーのグループ・メンバーシップを正常にロードできず、その結果、ユーザー権限もロードできません。Oracle WebLogic Server管理コンソールを使用して、構成済み認証プロバイダが呼び出される順番を変更できます。『Oracle WebLogic Serverセキュリティの管理』の認証プロバイダの構成に関する項を参照してください。
ノート:
Oracle Internet Directoryを使用する場合、すべてのWebCenter Content管理者とその他のユーザーは、Oracle Internet Directoryで定義される必要があります。
ノート:
コンテンツ・サーバーはコンテンツ・サーバー管理者ロールを、内部Oracle WebLogic Serverユーザー・ストアに定義された管理ユーザーに割り当てます。これはOracle Internet Directoryが使用されているかどうかに関わらず当てはまります。ただし、Oracle Internet DirectoryおよびOracle Internet Directory Authenticationプロバイダが最初にリストされていない場合、コンテンツ・サーバー・インスタンスによるOracle WebLogic Serverが定義した管理ユーザーのロールを取得するリクエストは失敗します。
ノート:
11g リリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、Oracle Internet Directory (OID)とActive Directoryの両方をユーザーおよびロール情報のソースとして使用できます。Oracle WebLogic Serverでの複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用した、複数のLDAP用のサービスの構成に関する項を参照してください。
16.3.7 シングル・サインオン用のWebCenter Content URLの構成
Oracleアプリケーションをシングルサインオン(SSO)とともに使用するように構成し、Oracle Access Manager (OAM)またはOracle Single Sign-On (OSSO)を設定した場合、WebCenter Content GET_ENVIRONMENT
サービスにより、サーバー名、サーバー・ポート、アプリケーション・サービス・コール(WebCenter Doclibサービスなど)への相対Webルートが提供されます。ただし、GET_ENVIRONMENT
により提供される値は、使用するSSO構成には適切でない場合があります。
OHSサーバー・ホストおよびサーバー・ポートを使用するアプリケーション・サービスをリダイレクトする場合(OAMおよびOSSOソリューションは両方ともOHSを使用するフロント・エンド・アプリケーションが必要なため)、コンテンツ・サーバー・ホストおよびサーバー・ポートの構成値を変更する必要があります。
次の2つのいずれかの方法を使用して、コンテンツ・サーバー・ホストおよびサーバー・ポート値を変更できます。
-
Oracle WebLogic Server管理コンソールを使用します。
-
スタンドアロンのWebCenter Contentシステム・プロパティ・アプリケーションを使用します。
-
WebCenter Contentドメイン・ディレクトリに移動します。
-
ディレクトリをucm/cs/binに変更します。
-
スタンドアロン・アプリケーションを実行します。./SystemProperties
-
「システム・プロパティ」ウィンドウで、「インターネット」タブを選択します。
-
HTTPサーバー・アドレスをOHS(またはロード・バランサ)サーバー・ホストおよびサーバー・ホスト値に更新します。
-
「システム・プロパティ」ウィンドウを閉じます。
-
Oracle WebLogic Serverドメインを再起動します。
-
16.3.8 Windowsのネイティブ認証用のWebCenter Contentおよびシングル・サインオンの構成
Windows Native Authentication (WNA)用にWebCenter Contentおよびシングル・サインオン(SSO)を設定するには、Microsoft Active Directory、クライアントおよびOracle WebLogic Serverドメインが必要です。MicrosoftクライアントでのSSOのためのシステム要件などの詳細は、『Oracle WebLogic Serverセキュリティの管理』のMicrosoftクライアントでのシングル・サインオンの構成に関する項を参照してください。
MicrosoftクライアントでのSSOの構成の一部として、外部Microsoft Active DirectoryにアクセスするようにLDAP認証プロバイダを指定する必要があります。Oracle WebLogic Serverでは、Active Directory認証プロバイダを提供します。『Oracle WebLogic Serverセキュリティの管理』のLDAP認証プロバイダの構成に関する項を参照してください。
ノート:
WebCenter Content用のOracle WebLogic ServerドメインがDefaultAuthenticatorプロバイダとは異なる認証プロバイダを使用するように構成される場合、新しい認証プロバイダはセキュリティ・レルム構成にリストされた最初の認証プロバイダである必要があり、そうでないと、WebCenter Contentはユーザー権限をロードできません。新しい認証プロバイダがDefaultAuthenticatorプロバイダよりも前にリストされるように、認証プロバイダの順序を変更してください。また、DefaultAuthenticator
制御フラグがSUFFICIENT
に設定されていることを確認してください。詳細は、「最初の認証プロバイダの構成」を参照してください。
MicrosoftクライアントでのSSOの構成の一部として、Oracle WebLogic Serverセキュリティ・レルムにネゴシエートIDアサーション・プロバイダを構成する必要があります。このIDアサーション・プロバイダでは、Simple and Protected Negotiate (SPNEGO)のトークンをデコードしてKerberosのトークンを取得し、そのKerberosトークンを検証した後でWebLogicユーザーにマップします。Oracle WebLogic Server管理コンソールを使用して、ドメイン構造内の適切なセキュリティ・レルムに新しいプロバイダを追加し、名前を付けて、そのタイプとしてNegotiateIdentityAsserterを選択します。変更をアクティブ化して、Oracle WebLogic Serverを再起動します。サーバーはKerberosチケットを使用できるようになり、それはブラウザから受信します。
関連デプロイ・プランを使用して、Windows Native Authentication (Kerberos)環境で使用される各WebCenter Contentアプリケーション(コンテンツ・サーバー、Inbound Refinery、Records)を再デプロイする必要があります。デプロイ・プランはXMLドキュメントです。2つのWebCenter Contentアプリケーションのそれぞれに対して、例16-1および例16-2のプランが提供されています。Oracle WebLogic Scripting Toolを使用してデプロイ・プランを実装することもできます。
例16-1 cs-deployment-plan.xml
提供されたcs-deployment-plan.xml
ファイルを使用するか、または.xml
ファイルを作成してそれにcs-deployment-plan.xmlという名前を付けます。
<?xml version='1.0' encoding='UTF-8'?>
<deployment-plan
xmlns="http://xmlns.oracle.com/weblogic/deployment-plan"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd"
global-variables="false">
<application-name>cs.ear</application-name>
<variable-definition>
<variable>
<name>http-only</name>
<value>false</value>
</variable>
</variable-definition>
<module-override>
<module-name>cs.war</module-name>
<module-type>war</module-type>
<module-descriptor external="false">
<root-element>weblogic-web-app</root-element>
<uri>WEB-INF/weblogic.xml</uri>
<variable-assignment>
<name>http-only</name>
<xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath>
</variable-assignment>
</module-descriptor>
</module-override>
</deployment-plan>
例16-2 ibr-deployment-plan.xml
提供されたibr-deployment-plan.xml
ファイルを使用するか、または.xml
ファイルを作成してそれにibr-deployment-plan.xmlという名前を付けます。
<?xml version='1.0' encoding='UTF-8'?> <deployment-plan xmlns="http://xmlns.oracle.com/weblogic/deployment-plan" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation= "http://xmlns.oracle.com/weblogic/deployment-plan http://xmlns.oracle.com/weblogic/deployment-plan/1.0/deployment-plan.xsd" global-variables="false"> <application-name>ibr.ear</application-name> <variable-definition> <variable> <name>http-only</name> <value>false</value> </variable> </variable-definition> <module-override> <module-name>ibr.war</module-name> <module-type>war</module-type> <module-descriptor external="false"> <root-element>weblogic-web-app</root-element> <uri>WEB-INF/weblogic.xml</uri> <variable-assignment> <name>http-only</name> <xpath>/weblogic-web-app/session-descriptor/cookie-http-only</xpath> </variable-assignment> </module-descriptor> </module-override> </deployment-plan>
16.4 Oracle Infrastructure Webサービスの構成
Oracle Infrastructure Webサービスでは、ポリシー・セットを作成してグローバル・スコープのサブジェクト(ドメイン、サーバー、アプリケーションまたはSOAコンポジット)にアタッチする機能が提供されています。Oracle Infrastructure WebサービスはWeb Services for Java EE 1.2仕様に従って実装されます(この仕様は、JavaでWebサービスを実装するための標準のJava EEランタイム・アーキテクチャを定義したものです)。この仕様には、標準Java EE Webサービス・パッケージング形式、デプロイメント・モデルおよびランタイム・サービスも記述されており、Oracle Infrastructure Webサービスにはこれらがすべて実装されています。
16.5 Oracle Identity Cloud Service (IDCS)用のWebCenter Contentの構成
WebCenter Content Server、Enterprise Capture (コンソールおよびクライアント)、WebCenter Desktop Client、WebCenter Content: ImagingおよびWebCenter Content ADFUIなどのWebCenterアプリケーション用にIDCSでシングル・サインオンを構成します。
16.5.1 SSL.hostnameVerifierプロパティの更新
SSL.hostnameVerifier
プロパティを更新するには、次を実行します:
ノート:
これは、IDCSプロバイダがIDCSにアクセスするために必要です。- ドメイン内のすべてのサーバー(管理サーバーおよびすべての管理対象Weblogicサーバーを含む)を停止します。
SSL.hostnameVerifier
プロパティを更新します:- 管理サーバーを起動します。
16.5.2 IDCSセキュリティ・プロバイダの構成
IDCSセキュリティ・プロバイダのOAuthクライアントを取得するには:
- IDCS管理コンソールにログインします。
- 信頼できるアプリケーションを作成します。機密アプリケーションの追加ウィザードで次のようにします:
16.5.2.3 IDCSでのWebCenter Contentの管理ユーザーの作成
管理対象サーバーがSAML用に構成されると、ドメイン管理ユーザー(通常はweblogicユーザー)は管理対象サーバーにログインできなくなるため、IDCSで管理ユーザーを作成することが重要です。
IDCSでWebCenter Content JaxWS接続用のWLS管理ユーザーを作成するには:
16.5.2.4 グループ・メンバーシップ、ロールおよびアカウントの管理
ユーザー・ログイン認証にはOracle Identity Cloud Serviceを使用でき、ユーザー・グループ・メンバーシップの取得には外部LDAPサーバー(OIDやActive Directoryなど)を使用できます。
各ユーザーには、IDCSとLDAPサーバーの両方で同じユーザー名が必要です。Oracle Identity Cloud Serviceを使用すると、WCCユーザー・ロールおよびアカウント・グループ・メンバーシップを提供できます。
これには、IDCSにアクセスするためにOPSSおよびlibOVDを変更する必要があります。ユーザー認可にIDCSを使用する場合、次のステップが必要です。ユーザー認証のみにIDCSを使用する場合は、これらのステップを実行しないでください。次のステップに進む前に、(管理サーバーを含む)すべてのサーバーが停止していることを確認してください:
- 次のスクリプトを実行します。
<MW_HOME>/oracle_common/common/bin/wlst.sh
ノート:
管理サーバーのポートに接続する必要はありません。 - ドメインを読み取ります:
readDomain(<DOMAIN_HOME>)
- テンプレートを追加します:
addTemplate(“<MIDDLEWARE_HOME>/oracle_common/common/templates/wls/oracle.opss_scim_template.jar")
ノート:
このステップで警告がスローされる場合がありますが、無視してかまいません。addTemplate
は非推奨です。loadTemplates
の後に、addTemplate
のかわりにselectTemplate
を使用してください。 - ドメインを更新します:
updateDomain()
- ドメインを閉じます:
closeDomain()
- サーバー(管理および管理対象)を起動します。
16.5.3 ユーザー・ログアウトのためのWebCenter Contentの構成
「ログアウト」リンクが選択されている場合、SAMLによって再認証されます。「ログアウト」リンクを選択できるようにするには:
16.5.3.1 WebCenter ContentおよびWebCenter Content: Imagingのログアウトの構成
WebCenter ContentおよびWebCenter Content: Imagingログアウトを機能させるには、次のステップを実行します:
- IDCS管理コンソールのWebCenter Content: ImagingおよびWebCenter Contentアプリケーションの「SSO構成」で、「シングル・ログアウトの有効化」の選択を解除します。
imaging.ear
ファイルでWebCenter Content: ImagingのCookieパスを/
に設定し、再デプロイする必要があります。- EMでMBean (
oracle.imaging
の下)を介したWebCenter Content: ImagingのIpmCustomLogoutURL
プロパティを次の値に設定します:http://<IPM Host>:<IPM Port>/imaging/adfAuthentication?logout=true&end_url=https://<IDC Tenant id>.identity.oraclecloud.com/sso/v1/user/logout
- WebCenter Contentの場合、WebCenter Content構成でログアウトURLを指定します。
config.cfg
ファイルを更新するか、WebCenter Content管理の構成ページから更新できます。次のエントリを作成し、WebCenter Contentを再起動します:LogoutServerUrl=http://<UCM Hostname>:<UCM Port>/adfAuthentication?logout=true&end_url=https://<IDC Tenant id>.identity.oraclecloud.com/sso/v1/user/logout
16.5.3.2 Enterprise Captureのログアウト構成
Enterprise Captureログアウトを機能させるには、次のステップを実行します:
Enterprise Managerコンソールに移動し、MBeanブラウザを開いて、CaptureのMBean属性logoutRedirectURLをhttps://<IDCS Tenantid>.identity.oraclecloud.com/sso/v1/user/logout
に変更します。変更を保存します。この変更は、すぐに有効になります。この属性の値を設定解除するには、空の文字列を入力します。
capture.ear
ファイルで/dc-client
および/dc-console
のCookieパスを/
に設定し、再デプロイする必要があります。- Enterprise Managerコンソールに移動し、MBeanブラウザを開き、CaptureのMBean属性
logoutRedirectURL
をhttps://<IDCS Tenantid>.identity.oraclecloud.com/sso/v1/user/logout
に変更します。変更を保存します。この変更は、すぐに有効になります。この属性の値を設定解除するには、空の文字列を追加します。
16.5.3.3 ADFUIのログアウトの構成
WebCenter Content ADFUIのログアウト機能を有効にするには、次のステップを実行します:
- Enterprise Managerコンソールに移動し、システムMBeanブラウザを開きます。
- 「アプリケーション定義のMBean」および
oracle.adf.share.config
を展開し、WccAdfConfiguration
MBean属性のcustomLogoutUrl
をhttps://<IDCSTenantid>.identity.oraclecloud.com/sso/v1/user/logoutに変更します。 - 保存操作を起動して、親MBeanへの変更を保存します。
- この変更は、UIサーバーの再起動後に有効になります。
属性の値を設定解除するには、空の文字列を追加します。
16.6 SAMLベースのシングル・サインオンの構成
Security Assertion Markup Language (SAML)によって、WebLogic ServerドメインおよびWebブラウザまたは他のHTTPクライアントのWebベースのアプリケーションやWebサービス間でクロスプラットフォームのユーザー認証が可能になります。シングル・サインオン・ネットワークに含まれるアプリケーションのWebサイトにユーザーがログインすると、各アプリケーションに別々にログインする必要なく、そのネットワークのすべてのアプリケーションに自動的にアクセスできます。
16.6.1 SAMLコンポーネント
SAMLベースのシングル・サインノン設定には、次のコンポーネントが含まれます。
-
SAML資格証明マッピング: SAML資格証明マッピング・プロバイダは、シングル・サインオンにSAMLを使用するためのソース・サイトとしてWebLogic Serverが動作することを可能にします。このプロバイダは、ターゲット・サイトまたはリソースの構成に基づいて、認証されたサブジェクトのために有効なSAML 1.1アサーションを生成します。
- サイト間転送サービス(ITS): アイデンティティ・アサーションを生成してユーザーを宛先サイトに転送するアドレス可能なコンポーネント。
- アサーション取得サービス(ARS): アーティファクトに対応するSAMLアサーションを返すアドレス可能なコンポーネント。アサーションの生成時に、アサーションIDを割り当てることができます。
- SAMLアイデンティティ・アサータ: SAMLアイデンティティ・アサータ・プロバイダは、シングル・サインオンにSAMLを使用するための宛先サイトとしてWebLogic Serverが動作することを可能にします。このプロバイダは、ソース・サイトまたはリソースから取得された認証済サブジェクトのために、有効なSAML 1.1アサーションを処理します。
- アサーション・コンシューマ・サービス(ACS): ITSが生成したアサーションまたはアーティファクト(あるいはその両方)を受信して、宛先サイトでユーザーを認証するためにそれらを使用するアドレス可能なコンポーネント。
- SAMLリライイング・パーティ: SAMLリライイング・パーティは、SAMLソース・サイトが生成したSAMLアサーションの情報に依存するエンティティです。各リライイング・パーティ用にSAMLアサーションを構成することも、アサーションの生成用にフェデレーション・サービスのソース・サイト構成で設定されたデフォルトを使用することもできます。
- SAMLアサーティング・パーティ: SAMLアサーティング・パーティは、信頼できるSAML認証局で、SAMLアサーションの形式でセキュリティ情報をアサートします。
16.6.2 SAMLシングル・サインオンの前提条件
-
WebCenter ContentおよびPortalサーバーを含むドメインの作成: コンテンツ・サーバーをソースとし、Portalを宛先とするSAML構成に適用できます。
- WebCenter ContentおよびADF UIサーバーを含むドメインの作成: コンテンツ・サーバーをソースとし、Application Development Framework (ADF)を宛先とするSAML構成に適用できます。
- WebCenter ContentおよびImagingサーバーを含むドメインの作成: コンテンツ・サーバーをソースとし、Imagingを宛先とするSAML構成に適用できます。
- WebCenter Portalのランディング・ページのログイン領域の非表示
ノート:
この手順では、WebCenter Contentをすでにインストールして、コンポーネントに関連付けていることを前提とします。
これらのポート番号は、例としてソース、宛先およびSSLに使用できます。
ソースSSLポート:
CS: 16200、SSL: 16201
宛先SSLポート:
Portal: 8888、SSL: 8788
Imaging: 16000、SSL: 16001
ADF UI: 16225、SSL: 16226
ノート:
要件に基づいてポート番号を構成できます。16.6.2.4 WebCenter Portalのランディング・ページのログイン領域の非表示
$MIDDLEWARE_HOME/user_projects/domains/ domain_name/bin/setDomainEnv.sh
を開き、次のプロパティを更新します。EXTRA_JAVA_PROPERTIES="-Doracle.webcenter.spaces.osso=true ${EXTRA_JAVA_PROPERTIES}"
- export
EXTRA_JAVA_PROPERTIES
- Portalサーバーを再起動します。
16.6.3 SAML 1.1ソース・サービスの構成
サイト間転送サービス(ITS)を提供するSAMLソース・サイトとして機能するように、コンテンツ・サーバー・インスタンスを構成できます。ソース・サイトではアサーションが生成され、アサーションはシングル・サインオンのプロファイルの1つを使用して、宛先サイトに伝達されます。
この項の内容は次のとおりです:
16.6.4 SAML 1.1宛先サービスの構成
SAML宛先サービスを構成するには、最初にSAMLアイデンティティ・アサータをサーバーのセキュリティ・レルムで構成する必要があります。SAML宛先サイトとして機能するようにWebLogic Serverインスタンスを構成できます。宛先サイトは、SAMLアサーションを受け取り、これらを使用してローカルのサブジェクトを認証します。
この項の内容は次のとおりです。
16.6.5 SAML 2.0 (IDCS)シングル・サインオンの構成
- WebCenter Content Server(「Oracle Identity Cloud Service (IDCS)用のWebCenter Contentの構成」を参照)
- WebCenter Desktop Client
- Enterprise Capture (コンソールおよびクライアント)
- WebCenter Content ADFUI
- WebCenter Content: Imaging
内容は次のとおりです。
16.6.5.2 SAML 2.0 SSOサービス・プロバイダとしてのWeblogic管理対象サーバーの構成
Weblogic管理対象サーバーをSAML 2.0 SSOサービス・プロバイダとして構成するには:
16.6.5.5 SAMLアプリケーションへのグループの割当て
IDCS SAMLを介してユーザーを認証するためには、SAMLアプリケーションにユーザーを追加する必要があります。ユーザーがIDCSグループのメンバーである場合、そのグループをアプリケーションに追加すると、それらのユーザーが認証されます。ユーザーWCC認可にIDCSが使用される場合、アプリケーションに追加可能な対応するWCCロールに対してこれらのグループが使用されます(WCCユーザーはすでにこれらのグループのメンバーになっているため)。
グループをSAMLアプリケーションに割り当てるには:
16.6.5.6 Cookieパスの変更
SAML 2.0の場合、Cookieパスは「/」に設定する必要があります。capture.ear
およびWccAdf.ear
のCookieパスを「/」に更新するには、次のステップに従います:
ノート:
変更を行う前に、ear
ファイルのバックアップ・コピーを作成してください。
16.6.5.7 Oracle HTTP Serverの構成
OHSの場所ごとに、<Location /saml2>
が1つのみ存在するように一意のURIが必要です。SAMLに対して複数の管理対象サーバーが構成されている場合は、各管理対象サーバーで一意の場所が必要になります。
OHSのインストールおよび構成が完了すると、mod_wl_ohs
ファイルにはルーティング・ルールが含まれています。また、次のポート・マッピングがあることを確認してください:
- Content Server用のポートに
/saml2
がマップされている。 - Capture用のポートに
/saml2_capture
がマップされている。 - Content UI用のポートに
/saml2_wcc
がマップされている。
16.6.5.8 Desktop Clientの構成
Desktop ClientがIDPのログイン・ページを認識できるように、文字列<!--IdcClientLoginForm=1-->
をSSOプロバイダのログイン・ページに追加する必要があります。この文字列はデフォルトのIDCSログイン・ページに追加できないため、文字列を追加できるカスタム・サインイン・ページを作成する必要があります。
IDCSでのカスタム・サインイン・ページの作成
カスタム・サインイン・ページを構成するには、「Oracle Identity Cloud Serviceサインイン・ページのカスタマイズ」を参照してください。
前述のリンク「カスタム・サインイン・ページを使用するためのアプリケーションの構成」のステップ2で、WebCenter Content Server用に新しいアプリケーションを作成する必要はなく、既存のSAMLアプリケーションを使用できます。更新する必要があるのは、「カスタム・ログインURL」フィールドのみです。
ノート:
- このチュートリアルでは、localhost:3000をサンプル・カスタム・サインイン・アプリケーションのホストとして使用しています。このアプリケーションを別の場所にデプロイした場合は、「カスタム・ログインURL」フィールドをサインイン・サンプル・アプリケーションの対応するURLで更新します。
- 他のアプリケーションをホストしているドメイン、URLおよびサーバーにカスタム・サインイン・アプリケーションをデプロイしないでください。サインイン・ページは、他のすべてのアプリケーションおよびユーザーがアクセスできる単一の中央サービスとしてデプロイする必要があります。
- 前述のステップを実行すると、WebCenter Contentサーバーも、デフォルトのIDCSログイン・ページではなくカスタム・サインイン・ページにリダイレクトされます。