このブログエントリでは、Oracle Enterprise Gateway(OEG11.1.1.6)とOracle Access Manager(10gまたは11g)の統合について記載しています。 OEGポリシーを使えば、簡単にOracle Access Managerに認証および認可操作を委任して、シングルサインオンを管理することができます。
OAM in a nutshell
Oracle Access Managerは、中央集中型のアイデンティティ管理とアクセス制御の両方に適した最先端のソリューションです。認証を提供する統合標準ベースのソリューション、ウェブシングルサインオン、アクセスポリシーの作成と実施、ユーザーの自己登録とセルフサービス、委任管理、レポーティング、および監査を提供します。Oracle Access Managerがアクセス管理とアイデンティティ管理機能の両方を持つことこそ、ウェブアクセス管理のリーディングソリューションとして確立している理由なのです。Oracle Access Managerは、複雑かつ異機種混在のエンタープライズ環境において優れており、すべての主要なディレクトリサーバ、アプリケーションサーバ、Webサーバ、およびエンタープライズアプリケーションと標準で統合しています。 Oracle Access ManagerはOracle Fusion Middlewareの1コンポーネントです。この製品群は、最も要求の厳しい顧客の環境で光るように設計された顧客で実証済みのソフトウェア製品の十分に統合されたファミリーです。
Oracle Access Managerを使うことにより、企業はより高いレベルのビジネスの敏捷性を入手でき、シームレスなビジネスパートナーとの統合が可能になり、規制遵守を達成することができます。Oracle Access Managerの革新的な、統合されたアーキテクチャは、アイデンティティ管理とアクセス制御のサービスを組み合わせた独特のものであり、これにより集中型の認証、ポリシーベースの認可、および委任管理やワークフローなどといった豊富なID管理機能を持つ監査機能を提供します。アクセスの時点でリソースを保護し、中央機関に認証と認可決定を委任することで、コスト、複雑性、および管理上の負担を軽減しながら、Oracle Access Managerは、Webアプリケーション、Java EEアプリケーション、およびPeopleSoftのようなエンタープライズアプリケーションをセキュアに保つことができます。
リクエスト/レスポンスフローは次のスキーマに記載されています。
ソフトウェアのセットアップ
セットアップは簡単です。以下にOAM 11gのセットアップ手順をまとめました。
- 1つ目のサーバにOEG11gをインストール
- 2つ目のサーバにOAM11gをインストール
- データベースをインストール
- RCU(リポジトリ作成ユーティリティ)をインストール
- OAM11g用にRCUを構成
- ドメインを作成せずにWebLogic Serverをインストール
- OAM11gをインストール
- OEGの動作する1つ目のサーバにOAM10g Access Manager SDKをインストール
- OAM11gのコンソールから、AccessGateエントリを定義する。"ObAccessClient.xml"をAccessManager SDKを、インストールしたサーバの<Access Manager SDKをインストールしたディレクトリ>/oblix/libにコピーする必要がある。
OEGポリシーの開発
2個のOEGのポリシーについて、OAM認証/認可を使ってSSOトークンを読み出す方法を 以下で説明します。
1. SSOトークンを読み出す簡単なOEGポリシー
基本的なOEGポリシーでは、OAMに対して認証/認可が終了したあと、SSOトークンを返します。その後、SSOトークンを後々の利用のためにレスポンスのHTTPヘッダに埋め込みます。
2. SSOトークンを使ってOAM認可をすることができるOEGポリシー
OEGポリシーを改良して、SSOトークンがHTTPヘッダの一部であるかどうかをテストすることができます。
- それが完了したら、これをOAMに対する認証に使用します。
- SSOトークンが欠落している場合、ユーザ名トークンを、OAMでの認証/認可に使用します。
その後、以後で活用するためにレスポンスのHTTPヘッダにSSOトークンを挿入します。
もっと知りたい方には
OAM10g/OAM11g向けのOEG11gインテグレーションガイドはOTNにあります。
OAM10g用
http://www.oracle.com/technetwork/middleware/id-mgmt/documentation/oam10g-oeg-integration-guide-428887.pdf
OAM11g用
http://www.oracle.com/technetwork/middleware/id-mgmt/documentation/oam11g-oeg-integration-guide-428888.pdf
OEG/OAM10gを用いたOEGポリシーの構築方法の完全なガイドはこちらからどうぞ。
http://blogs.oracle.com/patriceg/resource/OEG-OAM/Oracle-D0.1%20OEG-OAM-DemoGuide.pdf
OEG/OAM11gのチュートリアルは近々ご利用いただけるようになります。
入手できるリソースなど
OEGのポリシーを以下からダウンロードできます。
- Basic OEG Policy (注:リンクが壊れているためリンクを解除しています)
- SSOトークンを用いたOEGのポリシー
http://blogs.oracle.com/patriceg/resource/OEG-OAM/2.OEG-OAM-policy-with-SSO-Token.xml
OEG11g (OTN)
http://www.oracle.com/technetwork/jp/middleware/id-mgmt/oeg-300773.html
原文はこちら。
http://blogs.oracle.com/patriceg/entry/oeg_integration_with_oam11g