使用 Oracle Access Management 12c 保護 WebLogic 伺服器中部署的應用程式

簡介

本教學課程示範如何使用 Oracle Access Management 12c 將範例應用程式部署到 WebLogic Server,並加以保護。

這是 Oracle Access Management 12c 入門系列中的第十個與最後一個教學課程。依序讀取。

目標

大多數組織都將應用程式部署到 WebLogic 伺服器,而想要使用 Oracle Access Management 來保護應用程式。

必要條件

若要依循建立並設定 WebGate

建立新網域和受管理伺服器

您可以在此區段中建立新的 WebLogic 網域和受管理伺服器,以部署範例應用程式。

  1. oracle 形式啟動終端機視窗,並輸入下列命令:

    cd /u01/app/oracle/product/middleware/oracle_common/common/bin
./config.sh

  2. 請依照下表引導您完成組態畫面:

    步驟 視窗描述 選項或值
    1 建立網域 選取建立新網域

    網域位置/u01/app/oracle/admin/domains/app_domain
    2 範本 選取使用產品範本建立網域
    選取:基本 WebLogic 伺服器網域
    3 管理員帳戶 名稱weblogic
    密碼<password>
    確認<password>
    4 網域模式和 JDK 網域模式Production
    JDKOracle Hotspot
    5 進階組態 選取:管理伺服器節點管理程式拓樸
    6 管理伺服器 監聽連接埠: 8001
    7 節點管理程式 節點管理程式類型Per Domain Default Location
    使用者名稱weblogic
    密碼<password>
    確認密碼<password>
    8 受管理伺服器 按一下新增
    伺服器名稱app_server1
    監聽連接埠8003
    9 叢集 按一下下一步
    10 伺服器樣板 按一下下一步
    11 機器 按一下新增
    名稱:app_machine
    連接埠:5557
    12 向機器分配伺服器 選取:管理伺服器app_server1
    醒目標示 app_machine,然後按一下向右箭號
    13 虛擬目標 按一下下一步
    14 分割區 按一下下一步
    15 組態摘要 按一下建立
    16 設定進度 按一下下一步
    17 設定結束 按一下完成

啟動應用程式網域伺服器

  1. oracle 形式啟動終端機視窗,並輸入下列指令以啟動應用程式網域 AdminServer。在出現提示時輸入 WebLogic 管理員憑證 (weblogic/<password>):

    cd /u01/app/oracle/admin/domains/app_domain/
./startWebLogic.sh

    等到終端機顯示 Server started in RUNNING mode 訊息為止。最小化視窗。

  2. 在另一個終端機視窗啟動「節點管理程式」中,執行下列命令:

    cd /u01/app/oracle/admin/domains/app_domain/bin
./startNodeManager.sh

  3. 啟動 app_server1 受管理伺服器,方法是啟動瀏覽器並登入位於 http://oam.example.com:8001/console 的 Oracle WebLogic Server 管理主控台。使用使用者名稱和密碼 weblogic/<password> 登入。

  4. 在「網域結構」窗格中,展開 app_domain > 環境 > 伺服器

  5. 按一下控制項頁籤,然後選取 app_server1 核取方塊。按一下啟動

  6. 伺服器週期輔助程式頁面中,按一下

  7. 按一下重新整理圖示,然後等待 app_server1RUNNING

將範例應用程式部署至 WebLogic 伺服器

  1. 在此區段中,您將下載並部署範例銀行應用程式,並將其部署至 app_server1

  2. 下載 mybank.war 檔案並移至 /stage

    注意:Oracle 不接受此應用程式的責任。僅供作為測試範例應用程式使用。

  3. 在瀏覽器中,存取位於 http://oam.example.com:8001/console 的 Oracle WebLogic Server 管理主控台。使用使用者名稱和密碼 weblogic/<password> 登入。

  4. 網域結構 > app_domain 下,按一下部署

  5. 按一下變更中心面板中的鎖定和編輯

  6. 建置底下,按一下安裝

  7. Path 變更為 /stage,然後按 Enter 鍵。選取 mybank.war 單選按鈕,然後按「下一步」。

  8. 安裝應用程式輔助程式頁面中,確定已選取將此部署安裝為應用程式,然後按一下下一步

  9. 選取 app_server1 核取方塊,然後按一下下一步

  10. 按一下完成

  11. 在部署 mybank 應用程式之後,按一下變更中心面板中的啟用變更

  12. 部署摘要頁面中,按一下控制頁籤。

  13. 選取 mybank 核取方塊,然後按一下啟動 > 為所有要求提供服務。選取以開始部署。

  14. 您可以存取 URL http://oam.example.com:8003/mybank 來測試是否可存取 mybank 應用程式。頁面顯示方式如下:

    mybank.jpg 圖解說明

設定 MOD_WL_OHS

您可以在此區段中設定 mod_wl_ohs,以便透過 Oracle HTTP Server 存取 mybank 應用程式。

  1. 透過 https://oam.example.com:7002/em 啟動瀏覽器並存取 Fusion Middleware Control。使用 weblogic/<password> 登入。

  2. 按一下頁面左上方的 oam_domain 瀏覽樹狀結構。選取 HTTP Server > ohs1

  3. 從 Oracle HTTP Server 下拉式功能表中,選取管理 > mod_wl_ohs 組態

  4. 按一下頁面右上方的已解除鎖定的 padlock 圖示,然後選取鎖定與編輯

  5. 選取提供 WebLogic 伺服器主機和連接埠詳細資訊圓鈕,並輸入下列詳細資訊:

    • WebLogic 主機oam.example.com
    • WebLogic 連接埠8003

  6. 在「位置」欄位中,按一下新增資料列,然後輸入下列明細,然後按一下套用

    • 位置/mybank
    • WebLogic 主機oam.example.com
    • WebLogic 主機8003

  7. 按一下右上角的 Padlock,然後選取啟動變更

  8. 傳回「確認」訊息之後,請按一下重新啟動按鈕並確認重新啟動。完成之後,您應該會看到 Completed Successfully 訊息。

設定 WebLogic Plugin

在此區段中,您將 WebLogic Plugin Enabled 設為 true。這是必要的,因為在 /mybank 案例中,我們正在於 OHS 終止 SSL。通訊的路徑為:

瀏覽器 -> https -> OHS:443 -> http -> app_server1:8003

若未將 WebLogic Plugin Enabled 設為 true,瀏覽器會在登入後重導至 HTTP URL http://oam.example.com:4443/mybank,而非 HTTPS https://oam.example.com:4443/mybank,連線將會失敗。

  1. 在瀏覽器中,存取位於 http://oam.example.com:8001/console 的 Oracle WebLogic Server 管理主控台。使用使用者名稱和密碼 weblogic/<password> 登入。

  2. 瀏覽至 app_domain > 環境 > 伺服器 > app_server1

  3. 按一下進階

  4. 按一下鎖定並編輯

  5. WebLogic 已啟用 Plug-In 設為 yes,然後按一下儲存

  6. 按一下啟用變更

  7. 瀏覽至網域結構窗格,展開 app_domain > 環境 > 伺服器

  8. 按一下控制項頁籤,然後選取 app_server1 核取方塊。按一下關閉 (Shutdown) > 立即強制關閉

  9. 伺服器週期輔助程式頁面中,按一下。按一下重新整理圖示,並等待伺服器表示 SHUTDOWN

  10. 勾選 app_server1 核取方塊。按一下啟動。在伺服器週期輔助程式頁面中,按一下。按一下重新整理圖示,並等待伺服器表示 RUNNING

  11. 啟動 Incognito 或私密瀏覽器。透過 OHS URL:https://oam.example.com:4443/mybank 存取 mybank 應用程式。

    注意:由於所有 OHS 頁面目前透過 Oracle Access Management 保護,因此您應該重新導向至 OAM SSO 登入頁面。

  12. 如果使用內嵌 LDAP 伺服器,或以 weblogic/<password> 身分登入;或者,如果您設定 OUD,請以 ahall/welcome1 身分登入。

    若成功顯示「網路銀行」頁面,則應該顯示:

    mybanksuccess.jpg 圖解說明

保護應用程式

Oracle WebGate 和 Oracle Access Management 預設會保護 http://oam.example.com:7777https://oam.example.com:4443 下的所有 OHS URL。在此區段中,您將取消保護所有 OHS URL,然後設定 OAM 以僅保護 /mybank 應用程式。

  1. 啟動瀏覽器並存取 OAM 主控台 https://oam.example.com:7002/oamconsole。使用 weblogic/<password> 登入。

  2. 應用程式安全性啟動板中,在存取管理員窗格底下,按一下應用程式網域

  3. 搜尋應用程式網域窗格中,按一下搜尋

  4. 依序按一下 webgate_7777資源

  5. 按一下搜尋,然後在搜尋結果中選取資源 URL /**,然後按一下編輯

  6. 保護下,將保護層次設為排除。按一下套用。將「保護層次」變更為排除,表示現在所有 http://oam.example.com:7777https://oam.example.com:4443 下的 URL 都未受保護。

  7. 關閉目前的分頁,回到 webgate_7777 資源分頁。

  8. 按一下建立,設定保護 mybank 應用程式 /mybank 的原則。依下列方式建立 /mybank 資源,然後按一下套用

    名稱
    類型 HTTP
    描述 mybank application
    主機 ID webgate_7777
    資源 URL: /mybank
    保護層次 Protected
    認證原則 Protected Resource Policy
    授權原則 Protected Resource Policy

    將其餘欄位保留為預設值。

  9. 按一下複製按鈕,將資源 URL 變更為 /mybank/.../*,然後按一下套用

  10. 啟動 Incognito 或私密瀏覽器。存取 OHS 首頁 URL http://oam.example.com:7777https://oam.example.com:4443,因為首頁目前未受保護,您應該會看到 OHS 首頁,而不需要密碼。

  11. 存取 mybank 應用程式 https://oam.example.com:4443/mybank.此應用程式受到保護,應重新導向至 OAM 登入頁面。

    如果使用內嵌 LDAP 伺服器,或以 weblogic/<password> 身分登入;或者,如果您設定 OUD,請以 ahall/welcome1 身分登入。若成功顯示「網路銀行」頁面。

    使用 HTTP URL http://oam.example.com:7777/mybank 重複。

深入瞭解

意見

若要對此教學課程提供意見,請聯絡 idm_user_assistance_ww_grp@oracle.com。

致謝