Oracle Cloud Infrastructureサービスのプロビジョニングおよび構成

ここでは、Oracle WebLogic Server for OCIのプロビジョニングと構成、およびOracle Fusion拡張アプリケーションに必要なその他のサービス(シングル・サインオン(SSO)やWebサービス・セキュリティ構成など)の概要を示します。詳細は、完全な製品ドキュメントを参照してください。

構成	Required	メモ
基本ドメイン(JRF以外)	N/A	なし
SSLドメインの構成(作成後)	Required	なし
データベース構成	Required	なし
Oracle Identity Cloud Service WebLogic認証	Required	なし
OPSSユーザーおよびグループAPIとOracle Identity Cloud Serviceの統合	オプション	アプリケーションがOracle Platform Security Services (OPSS)を使用して認可ポリシーを作成している場合に必要
JRF対応ドメイン	Required	なし
ロード・バランサおよびSSL有効	Required	パブリック・ロード・バランサとして構成する必要があります。さらに、CA証明書を取得してロード・バランサにインポートする必要があります。
ローカルVCNピアリング	オプション	Oracle WebLogic Server for OCIとデータベース・インスタンスのVCNが異なる場合は必須です。
Oracle WebLogic Serverの最小バージョン	Required	12.2.1.3以上
WLSドメインのプライベート・サブネット	オプション	なし
Oracle WebLogic Server Edition	Required	Enterprise Edition
Oracle WebLogic Serverサーバー・ノード	Required	最小値1、最大値8。Oracle Java Cloud Service - SaaS Extensionでは、1、2または4のノードがサポートされていました。
Weblogic VMsシェイプ	Required	1 OCPU/8 GB以上のRAM。

Oracle WebLogic Server for OCIデプロイメントの前提条件ステップの実行

Oracle WebLogic Server for OCIをデプロイする前に、いくつかの前提条件が必要です。

Oracle WebLogic Server for OCIドキュメントには、Oracle WebLogic Server for OCIをデプロイする前に必要な構成前提条件に関する詳細情報が記載されています。ここでは、いくつかの主要な要件を持つ前提条件ステップのサマリーを示します。選択、要件およびステップの詳細は、Oracle WebLogic Server for OCI製品ドキュメントを参照してください。

1. Oracle Cloud Infrastructureでデータベースを作成します。
   JRF対応のドメインは、Oracle Application Development Framework (ADF)をサポートしています。Oracle WebLogic Server for OCIを使用してドメインを作成し、それを既存のデータベースに関連付けると、Oracle WebLogic Server for OCIでは次の処理が実行されます。

   • 選択したデータベースでJRFコンポーネントをサポートするスキーマをプロビジョニングします
   • 選択したデータベースへの接続を提供するドメインのデータ・ソースをプロビジョニングします
   • JRFコンポーネントおよびライブラリをドメインにデプロイします

   次のいずれかのデータベース・オプションを選択します。

   • Oracle Autonomous Transaction Processing (推奨)
   • Oracle Cloud Infrastructureでサポートされているベア・メタルおよび仮想マシンDBシステム

   詳細は、Oracle WebLogic Server for OCI製品ドキュメントを参照してください。
2. Oracle WebLogic Server for OCIでは、新しいOracle WebLogic Serverドメイン用に仮想クラウド・ネットワークと1つ以上のサブネットをOracle Cloud Infrastructureに作成することも、ドメインを作成する前に独自のVCNおよびサブネットを手動で作成することもできます。
3. Oracleでは、セキュリティ上の理由からプライベート・サブネットにOracle WebLogic Server for OCIを作成することをお薦めします。要塞ノードのサブネットを作成します。
   1. Oracle WebLogic Server管理コンソールおよびOracle Enterprise Managerダッシュボードにアクセスするには、bastionノードを使用して動的ポート・トンネリングを作成し、選択したポートでSOCKS5プロキシを使用します。
   2. プライベート・サブネットのOracle WebLogic Server管理コンソールにアクセスします。
      プライベート・サブネットに割り当てられたOracle WebLogic Serverコンピュート・インスタンスは、パブリック・インターネットからはアクセスできません。このようなインスタンスを管理するためにOracle WebLogic Server管理コンソールにアクセスするには、セキュア・シェル(SSH)ユーティリティを使用して、パブリック・サブネットおよび動的ポート転送で作成された要塞インスタンスを使用できます。
   3. 同様に、動的なポート転送で要塞インスタンスを使用して、プライベート・サブネットのFusion Middleware Controlコンソールに再度アクセスします。
   4. Oracle WebLogic Server for OCIコンピュート・インスタンスがパブリック・インターネットにアクセスできるようにするルート・ルールを作成します。プライベート・サブネットのルート表で、宛先0.0.0.0/0、ターゲット・タイプNATゲートウェイを使用してルールを作成します。
4. Oracle Fusion Applicationsインスタンスに関連付けられたOracle Identity Cloud Serviceインスタンスで、機密アプリケーションを作成し、そのクライアントIDとクライアント・シークレットを識別します。
   1. Oracle Identity Cloud Serviceコンソールで、「アプリケーション」タブを選択して「追加」をクリックし、「アプリケーションの追加」ウィンドウで「機密アプリケーション」を選択します。
   2. 「詳細」ページで、新しいアプリケーションに名前を付けます。その他の詳細はオプションです。
   3. 「クライアント」ページで、「このアプリケーションをクライアントとして今すぐ構成」を選択します。
   4. 「認可」で、「リソース所有者」、「クライアント資格証明」および「JWTアサーション」の「許可される権限付与タイプ」を有効にします。
   5. 「次へ」をクリックし、認可ページで、「終了」をクリックしてアプリケーションを保存します。
   6. 「アプリケーション追加済」通知ボックスにクライアントIDおよびクライアント・シークレットのコピーを作成します。
   7. アプリケーションが作成および保存されたので、「構成」タブをクリックし、「クライアント構成」セクションを展開します。
   8. 「トークン発行ポリシー」の「Identity Cloud Service管理APIへのクライアント・アクセス権の付与」サブセクションで、「追加」ボタンをクリックし、アイデンティティ・ドメイン管理者ロールを選択します。
   9. 「保存」をクリックします。
   10. 新しいアプリケーションをアクティブ化します。「Applications」を選択してから、アプリケーションを選択します。アプリケーション名の横にある「アクティブ化」をクリックします。
5. ボールト・シークレットの準備:パスワードの暗号化キーおよびシークレット。
   暗号化キーを使用すると、Oracle WebLogic Server for OCIに必要なシークレットの内容を暗号化できます。既存のキーを使用するか、Oracle Cloud Infrastructure Vaultを使用してボールトおよび暗号化キーを作成できます。
   Oracle Cloud Infrastructure Vaultのシークレットを使用して、Oracle WebLogic Server for OCI内にドメインを作成するために必要なパスワードを格納します。次のパスワードにシークレットを指定する必要があります:

   • 新規ドメインの管理者パスワード
   • データベースの管理者パスワード
   • 認証用にOracle Identity Cloud Serviceで作成した機密アプリケーションのクライアント・シークレット
   1. 「セキュリティ」領域で「Vault」を選択して、Oracle Cloud InfrastructureコンソールでVaultサービス・インスタンスを作成します。
   2. 暗号化キーを作成します。ボールト・インスタンスを選択し、「マスター暗号化キー」をクリックします。
   3. 前述のパスワードのシークレットを作成するには、暗号化キーを含むボールトに移動します。作成する必要があるシークレットごとに、次のステップを実行します。
   4. 「シークレット」、「シークレットの作成」の順にクリックします。
   5. シークレットを識別するための名前を入力します。
   6. 暗号化キーを選択します。
      キーは、ボールトへのインポート中にシークレット・コンテンツを暗号化するために使用されます。
   7. 「シークレット・コンテンツ」に、このシークレットに格納するパスワードを入力します。
      パスワードが、使用するアカウントのルールを満たしていることを確認します。プレーン・テキストで入力したパスワードは、Oracle WebLogic Server for OCIに送信される前にbase64でエンコードされます。
   8. 「シークレットの作成」をクリックします。
   9. シークレットが作成されたら、名前をクリックします。シークレットのOCIDをコピーします。

Oracle WebLogic Server for OCIインスタンスの作成

Javaアプリケーションをホストするために、Oracle WebLogic Server for OCIのJRF対応ドメイン・インスタンスを作成します。

Oracle WebLogic Server for OCIドキュメントには、Oracle WebLogic Server for OCIインスタンスを作成するステップの詳細が記載されています。ステップの概要です。各ステップの詳細は、Oracle WebLogic Server for OCI製品ドキュメントを参照してください。

マーケットプレイスから、ドメインを自動的に作成するパラメータを入力してスタックを作成します。JRF対応ドメインの作成時に、Oracle Autonomous Transaction ProcessingデータベースまたはOracle Cloud Infrastructure Databaseを指定します。ドメインのパブリック・サブネット(リージョナル・ドメイン固有または可用性ドメイン固有)またはプライベート・サブネットを指定することもできます。Oracle Autonomous Transaction Processingデータベースを使用する場合は、JRF対応ドメインのバージョンとしてOracle WebLogic Server 12 cを指定する必要があります。

1. Marketplaceを使用して初期スタック情報を指定します。Oracle Cloud Infrastructureコンソールで、「Marketplace」セクションに移動し、「Applications」を選択します。
2. 「検索」フィールドにOracle WebLogic Server Cloudと入力し、作成するスタックを選択します。
   スタックの選択肢は、さまざまなエディションおよびライセンスの提供内容に対応しています。Oracleでは、使用可能なオファーが変更される場合があります。このドキュメントの発行時点で、Oracleには「Bring Your Own License (BYOL)」および「Universal Credit Model (UCM )」ライセンス・オプションが用意されています。たとえば、Enterprise Edition BYOL、Standard Edition BYOL、Enterprise Edition UCMなどです。
3. ポップアップ・メニューで、目的のバージョンを選択し、ターゲット・コンパートメントを選択します。チェック・ボックスを選択してOracleの標準条件および制約事項を確認し、受け入れたことを確認してから、「スタックの起動」をクリックします。
4. 「Stack Information」ステップで、オプションでデフォルト名を変更し、説明を追加し、タグを適用できます。「次へ」をクリックします。
5. ウィザードの変数の構成ページで、インスタンス・パラメータを構成します。コンピュート・インスタンスのリソース名接頭辞、シェイプおよびOCPU数を指定する必要があります。SSH公開キーを入力し、作成する管理対象サーバーの数、Oracle WebLogic Server管理者のユーザー名、およびこの管理者のパスワードを含むシークレットのOCIDを選択します。
6. 同じページで、「WLSインスタンス拡張構成」を選択し、ドメインの拡張パラメータを構成します。ここで、デフォルトのポート番号を変更し、サンプル・アプリケーションを削除できます。
7. Oracle WebLogic Serverインスタンスに対して作成したVCNを選択します。必要に応じて、ネットワーク・パラメータおよびWebLogic Serverコンソール・ポートを構成します。
8. 「ロード・バランサのプロビジョニング」を選択し、HTTPS用のロード・バランサ・ネットワークを構成します。
   デフォルトのタイムアウト値によって問題が発生する場合があります。Oracleでは、ロード・バランサのタイムアウトを開始ポイントとして60秒に設定してから、必要に応じて調整することをお薦めします。Oracle WebLogic Server for OCIのプロビジョニングが完了したら、Oracle Cloud Infrastructureコンソールでロード・バランサに移動し、そこで構成設定を変更します。
9. 「Identity Cloud Serviceを使用した認証の有効化」を選択します。インスタンスIDとも呼ばれるテナント名を入力します。前に作成した機密アプリケーションのクライアントIDを入力し、そのアプリケーションのクライアント・シークレットを含むシークレットのOCIDを入力します。
10. 「データベース」セクションで、「JRFでのプロビジョニング」を選択し、前に作成したデータベースの詳細を入力します。データベースはアプリケーション・データ用ではありません。JRF対応ドメインに必要なインフラストラクチャ・スキーマが含まれています。コンパートメント、データベース、VCN (WebLogic Server VCNと異なる場合)およびデータベース管理者アカウントのパスワードを含むシークレットのOCIDを指定する必要があります。
11. ウィザードでサマリーを確認し、「作成」をクリックします。

アプリケーション・データのデータベース・ソースの作成

OCI用のOracle WebLogic Serverで実行されるJavaアプリケーションのデータを格納するデータベース・ソースを作成します。

Oracle Autonomous Transaction ProcessingまたはOracle Cloud Infrastructure Database (DBシステム)を使用してアプリケーション・データを格納することを選択できます。

Oracle WebLogic Server for OCIには、Oracle Autonomous Transaction Processingデータ・ソースの作成に役立つ2つのユーティリティ・スクリプトが用意されています。ウォレット・ファイルをノードにダウンロードするダウンロード・スクリプトと、指定したウォレット・ファイルおよびデータ・ソース・プロパティを使用してデータ・ソースを作成する作成スクリプトです。スクリプトを実行するには、WebLogicドメインのノードにopcユーザーとしてアクセスする必要があります。スクリプトは/opt/scripts/utilsにあり、oracleユーザーとしてのみ実行できます。

Oracle WebLogic Server管理コンソールを使用して、データ・ソースを作成し、Oracle Cloud Infrastructure Database (DBシステム)との接続を確立します。DBシステムのPDB名を確認した後、Oracle WebLogic Server管理コンソールを使用してJava Database Connectivity (JDBC)データ・ソースを作成します。

どちらのデータ・ソースを使用する場合でも、Oracle WebLogic Serverコンピュート・インスタンスがデータベースのリスニング・ポート(デフォルトで1521)にアクセスできるようにする必要があります。必要に応じて、アクセス制御リスト(ACL)を更新します。

これらのデータベース・ソースの作成および構成ステップの詳細は、Oracle WebLogic Server for OCI製品ドキュメントを参照してください。

Oracle Identity Cloud ServiceでのRESTful Webサービスに対するOAuthベースの認証の構成

RESTful Webサービスのデータ相互作用を有効にするには、機密アプリケーションを変更して、OAuthベースの認証を処理するようにOracle Identity Cloud Serviceを構成します。

Oracle WebLogic Server for OCIがデプロイされると、Fusion ApplicationsのSaaSインスタンスに関連付けられたOracle Identity Cloud Serviceインスタンスに登録されます。このインスタンス自体は、アイデンティティ・プロバイダとして機能するFusion Applicationsでシングル・サインオン(SSO)用にフェデレートされます。ただし、これはユーザーのパススルー認証のみを有効にします。RESTベースのWebサービスを保護するには、Oracle Web Services ManagerとOracle Identity Cloud Serviceの間でOAuthベースのトークン交換を使用します

すべてのJRF対応ドメインには、組織全体で一貫してWebサービスを管理および保護するためのポリシー・フレームワークを提供するOracle Web Services Managerが含まれています。Oracle Web Services ManagerとOracle Identity Cloud Serviceは、どちらもOAuthプロトコルをサポートしています。Webサービス・クライアントは、認可サーバー(Oracle Identity Cloud Service)による認証によってアクセス・トークンをリクエストし、認可権限を提示します。Oracle Web Services Managerサーバー側エージェントはアクセス・トークンを検証し、有効な場合はクライアント・リクエストを受け入れます。

1. 証明書をインポートし、グローバル・ポリシー・アタッチメントを作成して、Webサービス・プロバイダのOAuthを構成します。Webサービス・プロバイダのOAuthを構成する詳細なステップは、Oracle WebLogic Server for OCI製品ドキュメントにあります。
2. 証明書をインポートし、グローバル・ポリシー・アタッチメントを作成して、クライアント・ドメイン内のOracle Web Services ManagerとOracle Identity Cloud Service間の信頼を確立します。グローバル・ポリシーは、このドメインにデプロイされたすべてのWebサービス・クライアントに影響します。または、個々のアプリケーションのポリシーを作成できます。
   1. クライアント・ドメインの管理サーバー・ノードにopcユーザーとして接続します。

      ssh -i <path_to_private_key> opc@<node_public_ip>

   2. oracleユーザーに変更します。

      sudo su - oracle

   3. 次のテキストをコピーして、config_owsm_client.pyという名前の新しいファイルに貼り付けます。

      def config_policyset(policy_set_name,subject_type):
          try:
              beginWSMSession()
              createWSMPolicySet(policy_set_name,subject_type,resource_scope,desc,is_enabled)
              attachWSMPolicy(policy)
              setWSMPolicyOverride(policy,'token.uri',token_uri)
              setWSMPolicyOverride(policy,'oauth2.client.csf.key',csf_key)
              validateWSMPolicySet(policy_set_name)
          finally:
              commitWSMSession()
              displayWSMPolicySet(policy_set_name)
       
      ip='<admin_server_IP>'
      port='<admin_server_port>'
      user='<admin_user>'
      pwd='<password>'
      client_id='<idcs_app_client_id>'
      client_secret='<idcs_app_client_secret>'
      token_uri = '<token_endpoint>'
      dn_list = '<dn_list>'

   4. config_owsm_client.pyの変数を更新します。
      • このノードのIPアドレス
      • 管理サーバーのポート番号(デフォルトは7001)
      • ドメイン管理者のユーザー名とパスワード
      • ドメイン用に作成されたOracle Identity Cloud Serviceの機密アプリケーションのクライアントIDおよびシークレット
      • Oracle Identity Cloud Serviceトークン・エンドポイント
      • Oracle Web Services Managerで生成された証明書に使用する識別名(DN)
      • ドメインにデプロイされたWebサービス・クライアント・アプリケーションの名前
      次に例を示します。

      ip='203.0.113.30'
      port='7001'
      user='weblogic'
      pwd='<password>'
      client_id='ABCD1234efgh5678IJKL9012'
      client_secret='<idcs_app_client_secret>'
      token_uri = 'https://idcs-1234abcd5678EFGH9012ijkl.identity.oraclecloud.com/oauth2/v1/token'
      dn_list = 'CN=OWSM, OU=ST, O=Oracle, L=RedWood, ST=CA, C=US'
      app_resource = 'resource=oauth-client'

   5. 次のテキストをコピーして、config_owsm_client.pyの変数宣言の後に貼り付けます。

      connect(user, pwd,'t3://' + ip + ':' + port)
      
      csf_key = 'idcs.oauth2.client.credentials'
      createCred(map='oracle.wsm.security',key=csf_key,user=client_id,password=client_secret)
      
      is_enabled = true
      policy = 'oracle/oauth2_config_client_policy'
      resource_scope = 'Domain("*")'
      desc = ''
      config_policyset('oauth-ps-config-rest-connection','rest-connection')
      config_policyset('oauth-ps-config-rest-client','rest-client')
      config_policyset('oauth-ps-config-ws-connection','ws-connection')
      config_policyset('oauth-ps-config-ws-client','ws-client')
      config_policyset('oauth-ps-config-ws-callback','ws-callback')
      refreshWSMCache()
      
      svc = getOpssService(name='KeyStoreService')
      try:
         svc.createKeyStore(appStripe='owsm', name='keystore', password='',permission=true)
      except Exception, ex:
         ex_msg = str(ex)
         if 'Keystore keystore in stripe owsm already exists' in ex_msg:
            print 'Keystore keystore in stripe owsm already exists. Continue...'
         else:
            raise
      svc.generateKeyPair(appStripe='owsm', name='keystore', password='', dn=dn_list, keysize='2048', alias='orakey', keypassword='')
       
      svc.exportKeyStoreCertificate(appStripe='owsm', name='keystore', password='', alias='orakey', keypassword='', type='TrustedCertificate', filepath='/tmp/orakey.cert')
      

   6. WLSTを使用してconfig_owsm_client.pyを実行します。

      /u01/app/oracle/middleware/oracle_common/common/bin/wlst.sh config_owsm_client.py

      出力を確認して、スクリプトが正常に実行されたことを確認します。次に例を示します。

      ...
      Credential created successfully.
      Session started for modification.
      The policy set was created successfully in the session.
      Policy reference "oracle/oauth2_config_client_policy" added.
      ...
      Creating policy set oauth-ps-config-rest-connection in repository.
      Session committed successfully.
      ...
      Session started for modification.
      The policy set was created successfully in the session.
      Policy reference "oracle/oauth2_config_client_policy" added.
      ...
      Creating policy set oauth-ps-config-rest-client in repository.
      Session committed successfully.
      ...
      Keystore created
      Key pair generated
      Certificate exported.

   7. 生成された証明書ファイルの所有者をopcユーザーに変更します。

      exit
      sudo chown opc:opc /tmp/orakey.cert

   8. opcユーザーとして証明書ファイルをダウンロードします。

      scp -i <path_to_private_key> opc@<node_public_ip>:/tmp/orakey.cert .

3. ダウンロードしたorakey.cert証明書をインポートし、FusionベースのOracle Cloudアプリケーションのスコープを作成して、Webサービス・クライアントの事前構成済機密アプリケーションを更新します。
   1. Oracle Identity Cloud Serviceコンソールのナビゲーション・メニューで、「アプリケーション」をクリックし、クライアント・ドメイン用に作成された機密アプリケーションをクリックします。
   2. 「構成」タブをクリックし、「クライアント構成」で、「クライアント・タイプ」として「信頼できる」を選択します。
   3. 「証明書」で、「インポート」をクリックします。
   4. 「証明書の別名」に、一意の名前を入力します。たとえば、orakey_jh305082020です。
   5. 前のステップでダウンロードしたファイルorakey.certを選択し、「インポート」をクリックします。
   6. スコープの追加をクリックします。
   7. 次の例のようなスコープのOracle Applications Cloud (Fusion)を選択します。
      urn:opc:resource:fa:instanceid=201911110urn:opc:resource:consumer::all
   8. 「追加」をクリックし、「保存」をクリックします。
4. RESTサービスを使用するアプリケーションには、grantPermissionが必要です。Oracle WebLogic Server for OCIではデフォルトで許可されず、AccessControlExceptionがスローされるため、アイデンティティ伝播が発生する前にWSIdentityPermissionを付与する必要があります。wlstを使用してgrantPermissionを適用します。次に例を示します。

   grantPermission(appStripe=None, codeBaseURL='file:${common.components.home}/modules/oracle.wsm.common/wsm-agent-core.jar',principalClass=None,principalName=None,permClass='oracle.wsm.security.WSIdentityPermission',permTarget=app_resource, permActions='assert')
   

5. このOAuth設定をOracle WebLogic Server for OCIとともにデプロイおよび検証するには、Oracle WebLogic Server for OCI製品ドキュメントの説明に従って、サンプルWebサービス・クライアント・アプリケーションをデプロイしてテストします。または、独自のWebサービス・クライアント・アプリケーションをデプロイしてテストすることもできます。

アイデンティティ伝播のためのSOAPサービスの構成

JavaアプリケーションがFusionベースのOracle Applications SOAP Webサービス・エンドポイントにアクセスする必要がある場合は、手動の構成ステップを実行してアイデンティティ伝播を設定する必要があります。

SOAP Webサービスの相互作用のセキュリティ構成では、Oracleサポートに連絡して証明書を取得する必要があるため、Oracleでは、可能な場合は常にREST Webサービス・プロトコルの使用をお薦めします。RESTのアイデンティティ伝播は事前に構成されているため、この手動構成およびサポート・チケット要件は回避されます。

Fusion ApplicationsのSOAP WSDLには、クライアント・マシンの証明書キー・ストアにインポートする必要があるバイナリ形式のX509証明書が含まれています。これは、クライアント・アプリケーションがFusion ApplicationsへのWebサービス・リクエストを暗号化し、Fusion Applications環境がリクエストを正常に復号化できるようにするためです。さらに、クライアント・マシンで証明書を生成し、Fusion Applications環境の証明書キーストアにインポートする必要があります。Oracleサポートは、Fusion Applications環境への証明書のインポートに役立ちます。

この2つの証明書により、Fusion ApplicationsでのSAML実装の要件である双方向SSLが有効になります。これはWS - Security 1.1仕様の一部です。

SOAP Webサービスのアイデンティティ伝播用に環境を構成するには、Oracle WebLogic Server for OCIをSOAPクライアントとして使用し、Fusion ApplicationsサービスはSOAPサービスになります。アイデンティティ伝播には、Oracle Web Services Manager (OWSM)ポリシーを使用します。

1. Oracle WebLogic Server for OCIオラクルの証明書をエクスポートします。
   1. たとえば、次の場所に移動して、Oracle Enterprise Managerコンソールにログオンします。
      http://<PublicIp>:7001/em
   2. 「WebLogicドメイン」をクリックし、「セキュリティ」、「キーストア」の順に選択します。
   3. 「キーストア」表でowsmを展開し、キーストア行を選択して、「管理」ボタンをクリックします。
   4. orakeyエントリを選択し、その行の「Subject Name」の値をメモします。
   5. 「エクスポート」をクリックします。
      「証明書」ウィンドウが開き、orakey証明書が表示されます。
   6. 「証明書のエクスポート」をクリックし、エクスポートしたファイルをorakey_<WLSOCI_NAME>.certとして保存します。
2. Fusion Applicationsで信頼を確立するには、My Oracle Supportにサービス・リクエストを提出してください。
   Oracleサポートは、エクスポートした証明書情報を使用してWebLogicサーバーからの呼出しを信頼するようにFusion Appsインスタンスを構成します。次の詳細をすべて指定する必要があります。

   • Oracle Fusion Applicationsクラウド・サービスのサービス名、アイデンティティ・ドメインおよびデータ・センター
   • エクスポートされたorakey証明書
   • リクエストを明示的に示すOracleサポートの手順。次に例を示します。
   このSRをオープンして、信頼を確立し、Oracle WebLogic Server for OCI MarketplaceインスタンスとFusion Applicationsクラウド・サービス間でSOAP WSのSAMLアサーションを有効化する証明書交換を要求します。Oracle WebLogic Server for OCIインスタンスの証明書がアタッチされています。この証明書を自分のFusion Applicationsインスタンスにインポートし、Fusion Applications OWSMオラクル証明書およびOWSM cloudca証明書(CN=<podname>_fasvc, DC=cloud, DC=com" and "CN=Cloud9CA-2, DC=cloud, DC=comで始まる証明書)をエクスポートして、このSRに添付する必要があります。また、証明書交換を有効にするために、最後に必要に応じてFusion Applicationsを再起動してください。
   サポート・チケットをモニターし、Oracleサポートから要求された追加情報を提供します。Oracleサポートは、Fusion Applicationsインスタンス・キーストアに証明書を追加し、発行者信頼を設定してSOAP WebサービスのSAMLアサーションを有効にします。Oracleサポートは、タスクが完了すると通知し、次のコピーを送信します。

   • Oracle FusionアプリケーションのOWSM orakey証明書
   • Oracle FusionアプリケーションのOWSM cloudca証明書

   次のステップでこれらの証明書が必要になります。
3. Fusion Applicationsのorakey証明書をOracle WebLogic Server for OCIにインポートします。
   1. たとえば、次の場所に移動して、Oracle Enterprise Managerコンソールにログオンします。
      http://<PublicIp>:7001/em
   2. 「WebLogicドメイン」をクリックし、「セキュリティ」、「キーストア」の順に選択します。
   3. 「キーストア」表でowsmを展開し、キーストア行を選択して、「管理」ボタン、「インポート」の順にクリックします。
   4. 「証明書のインポート」ボックスで「信頼できる証明書」を選択します。orakey_mysaasenvなどの別名を入力します。「証明書または証明連鎖を含むファイルの選択」オプションを選択し、「参照...」をクリックして、Oracleサポートから提供されたorakey証明書を選択します。
   5. cloudca_faehyp71などの別名を使用して、cloudca証明書を同じ方法でインポートします。
      表にcloudca証明書がすでにある場合がありますが、これは正しい証明書ではない可能性があります。oracleサポートから提供されたcloudca証明書をインポートした後、そのサブジェクト名を調べることで、正しい証明書があることを確認できます。これは、Fusion Applicationsインスタンスを指す次の例のようになります。
      CN=FAEncryption,DC=cloud,DC=oracle,DC=com

証明書とその別名が「証明書の管理: owsm/keystore」表にリストされます。