Oracle Cloud Infrastructure 서비스 프로비전 및 구성

OCI용 Oracle WebLogic Server 및 SSO(Single Sign-On)와 웹 서비스 보안 구성을 포함하여 Oracle Fusion 확장 애플리케이션에 필요한 기타 서비스에 대한 프로비저닝 및 구성의 요약이 여기에 제공됩니다. 자세한 내용은 전체 제품 설명서를 참조하십시오.

구성	필요	참고
기본 도메인(비JRF)	해당 사항 없음	없음
SSL 도메인 구성(사후 생성)	필요	없음
데이터베이스 구성	필요	없음
Oracle Identity Cloud Service WebLogic 인증	필요	없음
OPSS 사용자 및 그룹 API를 Oracle Identity Cloud Service와 통합	선택적	앱에서 OPSS(Oracle Platform Security Services) 를 사용하여 권한 부여 정책을 생성하는 경우 필요합니다.
JRF 사용 도메인	필요	없음
로드 밸런서 및 SSL 사용	필요	공용 로드 밸런서로 구성해야 합니다. 또한 CA 인증서를 가져와서 로드 밸런서로 임포트해야 합니다.
로컬 VCN 피어링	선택적	OCI용 Oracle WebLogic Server 및 데이터베이스 인스턴스에 대한 VCN이 다를 경우 필요합니다.
최소 Oracle WebLogic Server 버전	필요	12.2.1.3 이상
WLS 도메인용 전용 서브넷	선택적	없음
Oracle WebLogic Server Edition	필요	Enterprise Edition
Oracle WebLogic Server 서버 노드	필요	최소 1, 최대 8. Oracle Java Cloud Service - SaaS Extension는 1개, 2개 또는 4개의 노드를 지원했습니다.
Weblogic VM 구성	필요	OCPU/8GB RAM 1개 이상 구성

OCI용 Oracle WebLogic Server 배포를 위한 선수 단계 수행

OCI용 Oracle WebLogic Server를 배포하려면 여러 필수 조건이 필요합니다.

OCI용 Oracle WebLogic Server 문서에서는 OCI용 Oracle WebLogic Server를 배치하기 전에 필요한 구성 필수 조건에 대한 자세한 정보를 제공합니다. 다음은 몇 가지 주요 요구 사항이 있는 필수 단계의 요약입니다. 각 선택 항목, 요구 사항 및 단계에 대한 자세한 내용은 Oracle WebLogic Server for OCI 제품 설명서를 참조하십시오.

1. Oracle Cloud Infrastructure에서 데이터베이스를 생성합니다.
   JRF 사용 도메인은 ADF(Oracle Application Development Framework)를 지원합니다. OCI용 Oracle WebLogic Server로 도메인을 생성하고 기존 데이터베이스와 연관시키면 OCI용 Oracle WebLogic Server는 다음을 수행합니다.

   • 선택한 데이터베이스의 JRF 구성요소를 지원하기 위해 스키마를 프로비전합니다.
   • 선택한 데이터베이스에 대한 접속을 제공하는 도메인의 데이터 소스를 프로비전합니다.
   • JRF 구성요소 및 라이브러리를 도메인에 배치합니다.

   다음 데이터베이스 옵션 중 하나를 선택합니다:

   • Oracle Autonomous Transaction Processing(권장)
   • Oracle Cloud Infrastructure에서 지원하는 베어메탈 및 가상 머신 DB 시스템

   자세한 내용은 OCI용 Oracle WebLogic Server 제품 설명서를 참조하십시오.
2. Oracle WebLogic Server for OCI can create a Virtual Cloud Network and one or more subnets in Oracle Cloud Infrastructure for a new Oracle WebLogic Server domain, or you can choose to create your own VCN and subnet(s) manually, before creating a domain.
3. Oracle은 보안상의 이유로 전용 서브넷에 OCI용 Oracle WebLogic Server를 생성할 것을 권장합니다. 배스천 노드에 대한 서브넷을 생성합니다.
   1. Oracle WebLogic Server 관리 콘솔 및 Oracle Enterprise Manager 대시보드에 액세스하려면 배스천 노드로 동적 포트 터널링을 생성하고 선택한 포트와 함께 SOCKS5 프록시를 사용합니다.
   2. 전용 서브넷에서 Oracle WebLogic Server 관리 콘솔에 액세스합니다.
      전용 서브넷에 지정된 Oracle WebLogic Server 컴퓨트 인스턴스는 공용 인터넷에서 액세스할 수 없습니다. Oracle WebLogic Server 관리 콘솔에 액세스하여 이러한 인스턴스를 관리하려면 공용 서브넷에서 생성된 배스천 인스턴스와 SSH(Secure Shell) 유틸리티를 사용하여 동적 포트 전달을 사용할 수 있습니다.
   3. 마찬가지로 동적 포트 전달과 함께 배스천 인스턴스를 사용하여 전용 서브넷에서 Fusion Middleware Control 콘솔에 다시 액세스합니다.
   4. 라우팅 규칙을 생성하여 Oracle WebLogic Server for OCI 컴퓨트 인스턴스가 공용 인터넷에 액세스할 수 있도록 허용합니다. 전용 서브넷에 대한 경로 테이블에서 대상 0.0.0.0/0, 대상 유형 NAT 게이트웨이를 사용하여 규칙을 만듭니다.
4. Oracle Fusion Applications 인스턴스와 연관된 Oracle Identity Cloud Service 인스턴스에서 기밀 애플리케이션을 생성한 다음 해당 클라이언트 ID 및 클라이언트 암호를 식별합니다.
   1. Oracle Identity Cloud Service 콘솔에서 애플리케이션 탭을 선택하고 추가 를 누른 다음 애플리케이션 추가 창에서 기밀 애플리케이션 을 선택합니다.
   2. 세부 정보 페이지에서 새 응용 프로그램에 이름을 지정합니다. 다른 세부 정보는 선택 사항입니다.
   3. 클라이언트 페이지에서 지금 이 애플리케이션을 클라이언트로 구성 을 선택합니다.
   4. 권한 부여 에서 리소스 소유자, 클라이언트 인증서 및 JWT 검증과 같은 허용된 권한 부여 유형을 사용으로 설정합니다.
   5. 다음 을 누르고 [권한 부여] 페이지에서 완료 를 눌러 응용 프로그램을 저장합니다.
   6. Application Added 알림 상자에서 클라이언트 ID 및 클라이언트 암호의 복사본을 만듭니다.
   7. 애플리케이션이 생성 및 저장되었으므로 [구성] 탭을 누르고 [클라이언트 구성] 섹션을 확장합니다.
   8. 토큰 발행 정책 의 Identity Cloud Service 관리 API에 대한 액세스 권한 부여 하위 섹션에서 추가 단추를 누르고 ID 도메인 관리자 롤을 선택합니다.
   9. 저장 을 누릅니다.
   10. 새 애플리케이션을 활성화합니다. 애플리케이션 을 선택한 다음 애플리케이션을 선택합니다. 응용 프로그램 이름 옆에 있는 활성화 를 누릅니다.
5. Vault 암호 준비: 암호에 대한 암호 키와 암호입니다.
   암호화 키를 사용하면 OCI용 Oracle WebLogic Server에 필요한 암호의 내용을 암호화할 수 있습니다. 기존 키를 사용하거나 Oracle Cloud Infrastructure Vault를 사용하여 저장소 및 암호화 키를 생성할 수 있습니다.
   Oracle Cloud Infrastructure Vault의 암호를 사용하여 OCI용 Oracle WebLogic Server 내에 도메인을 생성하는 데 필요한 암호를 저장합니다. 다음 암호에 대한 암호를 제공해야 합니다.

   • 새 도메인의 관리자 비밀번호입니다.
   • 데이터베이스의 관리자 비밀번호입니다.
   • 인증을 위해 Oracle Identity Cloud Service에서 생성한 기밀 애플리케이션에 대한 클라이언트 암호
   1. 보안 영역에서 Vault를 선택하여 Oracle Cloud Infrastructure 콘솔에서 Vault 서비스 인스턴스를 생성합니다.
   2. 암호화 키를 만듭니다. Vault 인스턴스를 선택하고 마스터 암호화 키를 클릭합니다.
   3. 위에서 언급한 암호에 대한 암호를 작성하려면 암호화 키가 포함된 Vault로 이동합니다. 만들어야 할 각 암호에 대해 다음 단계를 수행합니다.
   4. 보안 을 누른 다음 보안 생성 을 누릅니다.
   5. 암호를 식별하기 위한 이름을 입력합니다.
   6. 암호화 키를 선택합니다.
      키는 비밀 컨텐츠를 Vault로 가져오는 동안 암호화하는 데 사용됩니다.
   7. 암호 내용 에 이 암호에 저장할 암호를 입력합니다.
      비밀번호가 사용될 계정 규칙을 충족하는지 확인하십시오. 일반 텍스트로 입력한 암호는 OCI용 Oracle WebLogic Server로 보내기 전에 base64로 인코딩됩니다.
   8. 암호 생성 을 누릅니다.
   9. 암호가 생성되면 이름을 누릅니다. 암호에 대한 OCID를 복사합니다.

OCI용 Oracle WebLogic Server 인스턴스 생성

Java 애플리케이션을 호스트할 OCI용 Oracle WebLogic Server의 JRF 사용 도메인 인스턴스를 생성합니다.

OCI용 Oracle WebLogic Server 설명서는 OCI용 Oracle WebLogic Server 인스턴스를 생성하는 단계에 대한 자세한 정보를 제공합니다. 다음은 단계를 요약한 것입니다. 각 단계에 대한 자세한 내용은 Oracle WebLogic Server for OCI 제품 설명서를 참조하십시오.

마켓플레이스에서 도메인을 자동으로 생성하는 매개변수를 입력하여 스택을 생성합니다. JRF 사용 도메인을 생성할 때 Oracle Autonomous Transaction Processing 데이터베이스 또는 Oracle Cloud Infrastructure Database를 지정합니다. 도메인에 대한 공용 서브넷(지역별 또는 가용성 도메인별) 또는 전용 서브넷을 지정할 수도 있습니다. Oracle Autonomous Transaction Processing 데이터베이스를 사용하려면 JRF 사용 도메인의 버전으로 Oracle WebLogic Server 12c를 지정해야 합니다.

1. 마켓플레이스를 사용하여 초기 스택 정보를 지정합니다. Oracle Cloud Infrastructure 콘솔에서 Marketplace 섹션으로 이동하고 애플리케이션 을 선택합니다.
2. 검색 필드에 Oracle WebLogic Server Cloud를 입력하고 생성할 스택을 선택합니다.
   스택 선택은 다른 에디션 및 라이센스 제공에 해당합니다. Oracle는 제공 사항을 시간에서 시간으로 변경할 수 있습니다. 이 게시 시점에서 Oracle는 자체 라이센스 적용(BYOL) 및 UCM(Universal Credit Model) 라이센스 옵션을 제공했습니다. Enterprise Edition BYOL, Standard Edition BYOL 또는 Enterprise Edition UCM을 예로 들 수 있습니다.
3. 팝업 메뉴에서 원하는 버전을 선택하고 대상 구획을 선택합니다. 체크박스를 선택하고 스택 실행 을 눌러 Oracle 표준 조건 및 제한 사항을 검토 및 수락했음을 확인합니다.
4. 스택 정보 단계에서는 선택적으로 기본 이름을 변경하고 설명을 추가하며 태그를 적용할 수 있습니다. 다음 을 누릅니다.
5. 마법사의 [변수 구성] 페이지에서 인스턴스 매개변수를 구성합니다. 컴퓨트 인스턴스에 대한 리소스 이름 접두어와 구성 및 OCPU 수를 지정해야 합니다. SSH 공용 키를 입력하고, 생성할 관리 서버 수, Oracle WebLogic Server 관리자에 대한 사용자 이름 및 이 관리자에 대한 비밀번호가 포함된 암호의 OCID를 선택합니다.
6. 동일한 페이지에서 WLS 인스턴스 고급 구성 을 선택하고 도메인에 대한 고급 매개변수를 구성합니다. 여기서 기본 포트 번호를 변경하고 샘플 애플리케이션을 제거할 수 있습니다.
7. Oracle WebLogic Server 인스턴스에 대해 생성한 VCN을 선택합니다. 필요에 따라 네트워크 매개변수 및 WebLogic Server 콘솔 포트를 구성합니다.
8. 로드 밸런서 프로비전 을 선택하고 HTTPS에 대한 로드 밸런서 네트워크를 구성합니다.
   기본 시간 초과 값으로 인해 문제가 발생할 수 있습니다. Oracle은 로드 밸런서 시간 초과를 60초로 설정하고 필요에 따라 조정할 것을 제안합니다. OCI용 Oracle WebLogic Server 프로비저닝이 완료되면 Oracle Cloud Infrastructure 콘솔에서 로드 밸런서로 이동하고 거기 구성 설정을 변경합니다.
9. Identity Cloud Service를 사용하여 인증 사용 을 선택합니다. 인스턴스 ID라고도 하는 테넌트 이름을 입력합니다. 이전에 생성한 기밀 애플리케이션의 클라이언트 ID를 입력하고 해당 애플리케이션의 클라이언트 비밀이 포함된 비밀의 OCID를 입력합니다.
10. [데이터베이스] 섹션에서 JRF로 프로비전 을 선택하고 이전에 생성한 데이터베이스의 세부정보를 입력합니다. 데이터베이스가 애플리케이션 데이터용이 아님 - JRF 사용 도메인에 필요한 기반 구조 스키마를 포함합니다. 구획, 데이터베이스, WebLogic Server VCN와 다른 경우 VCN 및 데이터베이스 관리자 계정에 대한 비밀번호가 포함된 암호의 OCID를 제공해야 합니다.
11. 마법사의 요약을 검토한 다음 [생성] 을 누릅니다.

응용 프로그램 데이터에 대한 데이터베이스 소스 생성

OCI용 Oracle WebLogic Server에서 실행될 Java 애플리케이션의 데이터를 저장할 데이터베이스 소스를 생성합니다.

Oracle Autonomous Transaction Processing 또는 DB(Oracle Cloud Infrastructure Database) 를 사용하여 애플리케이션 데이터를 저장하도록 선택할 수 있습니다.

OCI용 Oracle WebLogic Server는 Oracle Autonomous Transaction Processing 데이터 소스를 생성하는 데 도움이 되는 두 가지 유틸리티 스크립트, 노드에 전자 지갑 파일을 다운로드하는 다운로드 스크립트, 제공한 전자 지갑 파일 및 데이터 소스 속성을 사용하여 데이터 소스를 생성하는 생성 스크립트를 제공합니다. 스크립트를 실행하려면 WebLogic 도메인의 노드에 opc 사용자로 액세스해야 합니다. 스크립트는 /opt/scripts/utils에 있으며 oracle 사용자로만 실행할 수 있습니다.

Oracle WebLogic Server 관리 콘솔을 사용하여 데이터 소스를 생성하고 Oracle Cloud Infrastructure Database(DB 시스템) 와의 접속을 설정할 수 있습니다. DB 시스템의 PDB 이름을 확인한 후 Oracle WebLogic Server 관리 콘솔을 사용하여 JDBC(Java Database Connectivity) 데이터 소스를 생성합니다.

사용하는 데이터 소스에 관계없이 데이터베이스는 Oracle WebLogic Server 컴퓨트 인스턴스가 데이터베이스 수신 포트(기본적으로 1521) 에 액세스하도록 허용해야 합니다. 필요한 경우 ACL(액세스 제어 목록) 을 업데이트합니다.

이러한 데이터베이스 소스 생성 및 구성 단계에 대한 자세한 내용은 OCI용 Oracle WebLogic Server 제품 설명서를 참조하십시오.

RESTful 웹 서비스용 Oracle Identity Cloud Service에서 OAuth 기반 인증 구성

RESTful 웹 서비스 데이터 상호 작용을 사용으로 설정하려면 기밀 애플리케이션을 수정하여 OAuth 기반 인증을 처리하도록 Oracle Identity Cloud Service를 구성할 수 있습니다.

OCI용 Oracle WebLogic Server가 배치되면 Fusion Applications SaaS 인스턴스와 연관된 Oracle Identity Cloud Service 인스턴스에 등록됩니다. 해당 인스턴스 자체는 ID 제공자 역할을 하는 Fusion Applications와 함께 SSO(Single Sign-On)에 대해 통합됩니다. 그러나 사용자 패스스루 인증만 사용으로 설정합니다. REST 기반 웹 서비스를 보호하려면 Oracle Web Services Manager와 Oracle Identity Cloud Service 간 OAuth 기반 토큰 교환을 사용하십시오.

모든 JRF 사용 도메인에는 조직 전체에서 웹 서비스를 일관되게 관리하고 보안을 설정하는 정책 프레임워크를 제공하는 Oracle Web Services Manager가 포함되어 있습니다. Oracle Web Services Manager 및 Oracle Identity Cloud Service는 모두 OAuth 프로토콜을 지원합니다. 웹 서비스 클라이언트는 권한 부여 서버(Oracle Identity Cloud Service) 로 인증하고 권한 부여 권한 부여를 제공하여 액세스 토큰을 요청합니다. Oracle Web Services Manager 서버측 에이전트는 액세스 토큰을 검증한 다음 적합한 경우 클라이언트 요청을 수락합니다.

1. 인증서 임포트 및 전역 정책 첨부 생성을 통해 웹 서비스 제공자에 대한 OAuth를 구성합니다. 웹 서비스 제공자에 대해 OAuth를 구성하는 자세한 단계는 Oracle WebLogic Server for OCI 제품 설명서에 있습니다.
2. 인증서를 임포트하고 Global 정책 첨부 파일을 생성하여 클라이언트 도메인의 Oracle Web Services Manager와 Oracle Identity Cloud Service 간에 트러스트를 설정합니다. 전역 정책은 이 도메인에 배치된 모든 웹 서비스 클라이언트에 영향을 줍니다. 또는 개별 응용 프로그램에 대한 정책을 생성할 수 있습니다.
   1. 클라이언트 도메인의 관리 서버 노드에 opc 사용자로 접속합니다.

      ssh -i <path_to_private_key> opc@<node_public_ip>

   2. oracle 사용자로 변경합니다.

      sudo su - oracle

   3. 다음 텍스트를 config_owsm_client.py 라는 새 파일에 복사하여 붙여넣습니다.

      def config_policyset(policy_set_name,subject_type):
          try:
              beginWSMSession()
              createWSMPolicySet(policy_set_name,subject_type,resource_scope,desc,is_enabled)
              attachWSMPolicy(policy)
              setWSMPolicyOverride(policy,'token.uri',token_uri)
              setWSMPolicyOverride(policy,'oauth2.client.csf.key',csf_key)
              validateWSMPolicySet(policy_set_name)
          finally:
              commitWSMSession()
              displayWSMPolicySet(policy_set_name)
       
      ip='<admin_server_IP>'
      port='<admin_server_port>'
      user='<admin_user>'
      pwd='<password>'
      client_id='<idcs_app_client_id>'
      client_secret='<idcs_app_client_secret>'
      token_uri = '<token_endpoint>'
      dn_list = '<dn_list>'

   4. config_owsm_client.py에서 변수를 업데이트합니다.
      • 이 노드의 IP 주소입니다.
      • 관리 서버의 포트 번호(기본값은 7001)
      • 도메인 관리자의 사용자 이름과 비밀번호
      • 도메인에 대해 생성된 Oracle Identity Cloud Service 기밀 애플리케이션의 클라이언트 ID 및 암호입니다.
      • Oracle Identity Cloud Service 토큰 끝점입니다.
      • Oracle Web Services Manager에서 생성된 인증서에 사용할 DN(식별 이름) 입니다.
      • 도메인에 배치된 웹 서비스 클라이언트 애플리케이션의 이름입니다.
      예를 들어, 다음과 같습니다:

      ip='203.0.113.30'
      port='7001'
      user='weblogic'
      pwd='<password>'
      client_id='ABCD1234efgh5678IJKL9012'
      client_secret='<idcs_app_client_secret>'
      token_uri = 'https://idcs-1234abcd5678EFGH9012ijkl.identity.oraclecloud.com/oauth2/v1/token'
      dn_list = 'CN=OWSM, OU=ST, O=Oracle, L=RedWood, ST=CA, C=US'
      app_resource = 'resource=oauth-client'

   5. 다음 텍스트를 config_owsm_client.py 및 변수 선언 뒤에 복사하여 붙여넣습니다.

      connect(user, pwd,'t3://' + ip + ':' + port)
      
      csf_key = 'idcs.oauth2.client.credentials'
      createCred(map='oracle.wsm.security',key=csf_key,user=client_id,password=client_secret)
      
      is_enabled = true
      policy = 'oracle/oauth2_config_client_policy'
      resource_scope = 'Domain("*")'
      desc = ''
      config_policyset('oauth-ps-config-rest-connection','rest-connection')
      config_policyset('oauth-ps-config-rest-client','rest-client')
      config_policyset('oauth-ps-config-ws-connection','ws-connection')
      config_policyset('oauth-ps-config-ws-client','ws-client')
      config_policyset('oauth-ps-config-ws-callback','ws-callback')
      refreshWSMCache()
      
      svc = getOpssService(name='KeyStoreService')
      try:
         svc.createKeyStore(appStripe='owsm', name='keystore', password='',permission=true)
      except Exception, ex:
         ex_msg = str(ex)
         if 'Keystore keystore in stripe owsm already exists' in ex_msg:
            print 'Keystore keystore in stripe owsm already exists. Continue...'
         else:
            raise
      svc.generateKeyPair(appStripe='owsm', name='keystore', password='', dn=dn_list, keysize='2048', alias='orakey', keypassword='')
       
      svc.exportKeyStoreCertificate(appStripe='owsm', name='keystore', password='', alias='orakey', keypassword='', type='TrustedCertificate', filepath='/tmp/orakey.cert')
      

   6. WLST를 사용하여 config_owsm_client.py를 실행합니다.

      /u01/app/oracle/middleware/oracle_common/common/bin/wlst.sh config_owsm_client.py

      출력을 검토하여 스크립트가 성공적으로 실행되었는지 확인합니다. 예를 들어, 다음과 같습니다:

      ...
      Credential created successfully.
      Session started for modification.
      The policy set was created successfully in the session.
      Policy reference "oracle/oauth2_config_client_policy" added.
      ...
      Creating policy set oauth-ps-config-rest-connection in repository.
      Session committed successfully.
      ...
      Session started for modification.
      The policy set was created successfully in the session.
      Policy reference "oracle/oauth2_config_client_policy" added.
      ...
      Creating policy set oauth-ps-config-rest-client in repository.
      Session committed successfully.
      ...
      Keystore created
      Key pair generated
      Certificate exported.

   7. 생성된 인증서 파일의 소유자를 opc 사용자로 변경합니다.

      exit
      sudo chown opc:opc /tmp/orakey.cert

   8. 인증서 파일을 opc 사용자로 다운로드합니다.

      scp -i <path_to_private_key> opc@<node_public_ip>:/tmp/orakey.cert .

3. 방금 다운로드한 orakey.cert 인증서를 임포트하고 Fusion 기반 Oracle Cloud Applications에 대한 범위를 생성하여 웹 서비스 클라이언트에 대해 미리 구성된 기밀 애플리케이션을 업데이트합니다.
   1. Oracle Identity Cloud Service 콘솔의 탐색 메뉴에서 애플리케이션 을 누르고 클라이언트 도메인에 대해 생성된 기밀 애플리케이션을 누릅니다.
   2. 구성 탭을 누르고 클라이언트 구성 에서 클라이언트 유형에 대해 신뢰 를 선택합니다.
   3. 인증서 에 대해 임포트 를 누릅니다.
   4. 인증서 별칭 에 고유한 이름을 입력합니다. 예를 들어, orakey_jh305082020 입니다.
   5. 이전 단계에서 다운로드한 orakey.cert 파일을 선택하고 임포트 를 누릅니다.
   6. 범위 추가 를 누릅니다.
   7. 다음 예와 유사한 범위를 사용하여 Oracle Applications Cloud(Fusion) 를 선택합니다:
      urn:opc:resource:fa:instanceid=201911110urn:opc:resource:consumer::all
   8. 추가 를 누른 다음 저장 을 누릅니다.
4. REST 서비스를 사용할 애플리케이션에는 grantPermission가 필요합니다. Oracle WebLogic Server for OCI는 기본적으로 허용하지 않으므로 ID 전달이 수행되기 전에 WSIdentityPermission을 부여해야 합니다. 그렇지 않으면 AccessControlException이 발생합니다. wlst를 사용하여 grantPermission를 적용합니다. 예:

   grantPermission(appStripe=None, codeBaseURL='file:${common.components.home}/modules/oracle.wsm.common/wsm-agent-core.jar',principalClass=None,principalName=None,permClass='oracle.wsm.security.WSIdentityPermission',permTarget=app_resource, permActions='assert')
   

5. You can deploy and validate this OAuth setup with Oracle WebLogic Server for OCI by deploying and testing the sample web service client application, as described in the Oracle WebLogic Server for OCI product documentation. Alternatively, you can deploy and test your own web service client application.

ID 전달을 위한 SOAP Services 구성

Java 응용 프로그램이 Fusion 기반 Oracle Applications SOAP 웹 서비스 끝점에 액세스해야 하는 경우 몇 가지 수동 구성 단계를 수행하여 ID 전달을 설정해야 합니다.

SOAP 웹 서비스 상호 작용에 대한 보안 구성에서는 인증서를 얻으려면 Oracle 고객 지원 센터에 문의해야 하므로 Oracle은 가능하면 REST 웹 서비스 프로토콜을 대신 사용할 것을 권장합니다. REST ID 전달은 이 수동 구성 및 지원 티켓 요구 사항을 방지하는 미리 구성되어 있습니다.

Fusion Applications SOAP WSDL에는 클라이언트 시스템 인증서 키 저장소로 임포트해야 하는 바이너리 형식의 X509 인증서가 포함되어 있습니다. 이렇게 하면 클라이언트 애플리케이션이 Fusion Applications에 대한 웹 서비스 요청을 암호화하고 Fusion Applications 환경에서 요청을 성공적으로 해독할 수 있습니다. 또한 클라이언트 시스템에서 인증서를 생성한 다음 Fusion Applications 환경 인증서 키 저장소로 임포트해야 합니다. Oracle Support는 Fusion Applications 환경으로 인증서를 임포트하는 데 도움이 될 수 있습니다.

두 인증서를 사용하면 Fusion Applications의 SAML 구현 요구 사항이며 WS-Security 1.1 사양의 일부인 양방향 SSL을 사용할 수 있습니다.

SOAP 웹 서비스에 대한 ID 전달 환경을 구성하려면 OCI용 Oracle WebLogic Server를 SOAP 클라이언트로 사용하고 Fusion Applications 서비스는 SOAP 서비스입니다. ID 전달에 대해 OWSM(Oracle Web Services Manager) 정책을 사용합니다.

1. OCI용 Oracle WebLogic Server 또는akey 인증서를 익스포트합니다.
   1. 예를 들어, 다음으로 이동하여 Oracle Enterprise Manager 콘솔에 로그온합니다:
      http://<PublicIp>:7001/em
   2. WebLogic 도메인 을 누르고 보안, 키 저장소 순으로 선택합니다.
   3. 키 저장소 테이블에서 owsm을 확장하고 키 저장소 행을 선택한 다음 관리 단추를 누릅니다.
   4. orakey 항목을 선택하고 해당 행의 Subject Name 값을 기록해 둡니다.
   5. 익스포트 를 누릅니다.
      orakey 인증서를 보여주는 Certificate 창이 열립니다.
   6. 인증서 익스포트 를 누르고 익스포트된 파일을 orakey_<WLSOCI_NAME>.cert로 저장합니다.
2. Fusion Applications에서 신뢰를 설정하려면 My Oracle Support로 서비스 요청을 제출하십시오.
   Oracle Support는 Fusion Apps 인스턴스가 방금 익스포트한 인증서 정보가 포함된 WebLogic Server의 호출을 신뢰하도록 구성합니다. 다음 세부 정보를 모두 제공해야 합니다:

   • Oracle Fusion Applications 클라우드 서비스 서비스 이름, ID 도메인 및 데이터 센터
   • 익스포트된 orakey 인증서
   • 요청을 명시적으로 알려주는 Oracle Support에 대한 지침입니다. 예를 들어, 다음과 같습니다:
   내 OCI용 Oracle WebLogic Server Marketplace 인스턴스와 Fusion Applications 클라우드 서비스 간에 인증서 교환을 요청하여 신뢰를 설정하고 SOAP WS에 대한 SAML 검증을 사용으로 설정하려고 이 SR을 여는 중입니다. OCI용 Oracle WebLogic Server 인스턴스의 인증서입니다. 해당 인증서를 내 Fusion Applications 인스턴스로 임포트하고 Fusion Applications OWSM 인증서 및 OWSM 클라우드카 인증서(CN=<podname>_fasvc, DC=cloud, DC=com" and "CN=Cloud9CA-2, DC=cloud, DC=com로 시작하는 인증서)를 익스포트하여 이 SR에 첨부해야 합니다. 또한 인증서 교환이 효력을 발휘하려면 필요한 경우 Fusion Applications를 다시 시작하십시오.
   지원 티켓을 모니터하고 Oracle Support에서 요청한 추가 정보를 제공합니다. Oracle Support는 Fusion Applications 인스턴스 키 저장소에 인증서를 추가하고 SOAP 웹 서비스에 대해 SAML 검증을 사용으로 설정하도록 발행자 신뢰를 설정합니다. 작업이 완료되면 Oracle Support에서 사용자에게 알리고 다음 복사본을 보냅니다:

   • Oracle Fusion 애플리케이션 OWSM orakey 인증서
   • Oracle Fusion 애플리케이션 OWSM cloudca 인증서

   다음 단계에서는 이러한 인증서가 필요합니다.
3. Fusion Applications orakey 인증서를 OCI용 Oracle WebLogic Server로 임포트합니다.
   1. 예를 들어, 다음으로 이동하여 Oracle Enterprise Manager 콘솔에 로그온합니다:
      http://<PublicIp>:7001/em
   2. WebLogic 도메인 을 누르고 보안, 키 저장소 순으로 선택합니다.
   3. 키 저장소 테이블에서 owsm을 확장하고 키 저장소 행을 선택한 다음 관리 단추를 누르고 임포트 를 누릅니다.
   4. [인증서 임포트] 상자에서 보안 인증서 를 선택합니다. orakey_mysaasenv와 같은 별칭을 입력합니다. 인증서 또는 인증서 체인을 포함하는 파일 선택 옵션을 선택하고 찾아보기... 를 눌러 Oracle Support에서 제공하는 orakey 인증서를 선택합니다.
   5. cloudca_faehyp71와 같은 별칭을 사용하여 동일한 방식으로 cloudca 인증서를 임포트합니다.
      테이블에 이미 cloudca 인증서가 있을 수 있지만 올바른 인증서가 아닐 수 있습니다. 오라클 고객 지원 센터에서 제공한 cloudca 인증서를 임포트한 후 주체 이름을 검사하여 올바른 인증서가 있는지 확인할 수 있습니다. Fusion Applications 인스턴스를 가리키는 다음 예와 비슷해야 합니다:
      CN=FAEncryption,DC=cloud,DC=oracle,DC=com

이제 인증서가 인증서 관리: owsm/keystore 테이블에 나열된 별칭과 함께 표시됩니다.