WebLogicでのOID認証プロバイダの構成

<このテキストを削除しないでください。これは、ブラウザ実行時に生成される"主要"なトピック一覧のプレースホルダです。>

目的

このチュートリアルでは、Oracle WebLogic Server内のOracle Internet Directory(OID)認証プロバイダをWebLogic管理コンソールから構成する方法について説明します。 Oracle Platform Security Services(OPSS)はWebLogicドメイン内の認証プロバイダ構成を使用して、IDストアに対する接続を開始します。

この演習を完了すると、以下のことができるようになります。

所要時間

約1時間以内

概要

OPSSは、Java SE環境およびJava EE環境でセキュリティ・サービスを開発し、管理するためのオラクルのセキュリティ・フレームワークです。 このチュートリアルでは、WebLogicでのOID認証プロバイダの構成について説明します。

WebLogicでのOID認証プロバイダの構成

このアーキテクチャは、WebLogic Server環境にデプロイされたOPSSアプリケーションによって使用されるOID LDAPベースの認証プロバイダの構成を図解したものです。 このOBEでは、OPSSで使用できるようにするため、OID認証プロバイダとWebLogicの組込みLDAPプロバイダを構成する方法を説明します。 この環境は次のコンポーネントで構成されています。

ソフトウェアおよびハードウェア要件

要件は次のとおりです。

前提条件

このチュートリアルを始める前に、次の前提条件を完了しておく必要があります。

.

このOBEを始める前に、『OPSS環境のセットアップ』のOBEを完了する必要があります。

OID認証プロバイダの構成

WebLogic管理コンソールを使用してOID認証プロバイダを構成するには、次のステップを実行します。

.

起動パネルのアイコンを使用して、Firefox Webブラウザを開きます。 次のステップへ進む前に、WebLogic Serverが実行中であることを確認します。

 

.

http://localhost:7001/consoleを参照して、WebLogic管理コンソールを開きます。

次の資格証明を使用して、ログインします。

ユーザー名: weblogic
パスワード: welcome1

 

.

Domain Structureペインで「Security Realms」リンクをクリックして、ドメインのセキュリティ・レルムの一覧を表示します。

 

.

Realmsペインで「myrealm」リンクをクリックして、ドメインのセキュリティ・レルムの設定を表示します。

 

.

Providers」タブをクリックし、myrealmに対して構成されているセキュリティ・プロバイダを表示します。

 

.

Authentication」タブをクリックして、このドメインのセキュリティ・レルムに対して現在構成されている認証プロバイダの一覧を表示します。 組込みLDAP認証プロバイダとIDアサータに対するデフォルトの標準プロバイダが表示されます。 ここで、新しいOID認証プロバイダを構成します。

 

.

New」をクリックして、このドメインに対する新しい認証プロバイダを作成します。

 

.

Create a new Authentication Providerページが表示されます。 新しい認証プロバイダのnameフィールドに名前(例:OID Authenticator)を入力し、typeフィールドで「OracleInternetDirectoryAuthenticator」を選択し、「OK」をクリックします。

 

.

認証プロバイダ・リストの一番下に、新しいOID Authenticatorが表示されていることを確認します。

 

.

作成したOID認証プロバイダのリンクをクリックし、設定を構成します。

 

.

Settings for OID Authenticatorが表示されます。 「Provider Specific」タブをクリックし、このプロバイダに対する詳細設定を構成します。

 

.

このステップでは、新しいOID認証プロバイダの構成に対するすべての設定を詳しく説明していきます。 すべての設定は1つの構成ページで実施しますが、この手順では一度に1つのセクションずつ確認します。

最初のセクションにはOIDサーバーに対する接続設定が含まれます。 このセクションでは、次の表に指定した値を使用します。

名前 目的
Host: localhost OIDのホスト名
Port: 3060 標準のOIDリスニング・ポート
Principal: cn=orcladmin 認証プロバイダに代わってOIDにログインするLDAPユーザー
Credentials: welcome1 プリンシパル・ユーザーのパスワード
Confirm Credentials: welcome1 パスワードの確認
SSL Enabled: チェックを外します。 SSL接続の有効化または無効化

次のスクリーンショットを参考にして各自の設定を確認してください。

次のセクションにはOIDプロバイダに対するユーザー設定が含まれます。 このセクションでは、次の表に指定した値を使用します。

名前 目的
User Base DN: cn=Users、dc=us、dc=oracle、dc=com ユーザー・データの検索が実行されるLDAPツリーのルート(ベースDN)
All Users Filter: デフォルト値のままにします。 User Base DN以下のすべてのユーザーを表示するために使用されるLDAP検索フィルタ
User From Name Filter: デフォルト値のままにします。 LDAPユーザーを名前で検索するために使用されるLDAP検索フィルタ
User Search Scope: デフォルト値のままにします。 LDAPツリー内でユーザーを検索する範囲を指定
User Name Attribute: デフォルト値のままにします。 ユーザー名を指定するLDAPユーザーの属性
User Object Class: デフォルト値のままにします。 ユーザーを格納するLDAPオブジェクト・クラス
Use Retrieved User Name as Principal: チェックを入れます。 LDAPディレクトリから取得したユーザー名をサブジェクト内のプリンシパルとして使用するかどうかを指定

次のスクリーンショットを参考にして各自の設定を確認してください。

次のセクションにはOIDプロバイダに対するグループ設定が含まれます。 このセクションでは、次の表に指定した値を使用します。

名前 目的
Group Base DN: cn=Groups、dc=us、dc=oracle、dc=com グループ・データの検索が実行されるLDAPツリーのルート(ベースDN)
All Groups Filter: デフォルト値のままにします。 Group Base DN以下のすべてのグループを表示するために使用されるLDAP検索フィルタ
Group From Name Filter: デフォルト値のままにします。 LDAPグループを名前で検索するために使用されるLDAP検索フィルタ
Group Search Scope: デフォルト値のままにします。 LDAPツリー内でグループを検索する範囲を指定
Group Membership Searching: デフォルト値のままにします。 ネストしたグループに対するグループ検索に制限があるかどうかを指定
Max Group Membership Search Level: デフォルト値のままにします。 検索するグループ・メンバーシップのレベル数を指定。 この設定はGroupMembershipSearchingがlimitedに設定されている場合のみ有効です。
Ignore Duplicate Membership: チェックを外します。 グループの追加時に重複メンバーを無視するかどうかを指定

次のスクリーンショットを参考にして各自の設定を確認してください。

Save」をクリックして、変更を保存します。

 

.

Settings for OID Authenticatorペインの「Common」タブをクリックし、すべての認証プロバイダに対し共通する設定を表示します。

 

.

Control Flag設定をSUFFICIENTに変更し、「Save」をクリックします。 このように設定すると、ユーザーがIDストアに含まれていない場合も、このプロバイダが認証プロセスに参加できます。

 

.

Authentication Providersページに素早く戻るため、ページ上部に表示されているブレッドクラムで「Providers」リンクをクリックします。

 

.

ここでも制御フラグをSUFFICIENTに変更するため、「DefaultAuthenticator」リンクをクリックして共通する設定を表示します。

 

.

Control Flag設定をSUFFICIENTに変更し、「Save」をクリックします。 このように設定すると、ユーザーがIDストアに含まれていない場合も、このプロバイダが認証プロセスに参加できます。

 

.

Authentication Providersページに素早く戻るため、ページ上部に表示されているブレッドクラムで「Providers」リンクをクリックします。

 

.

Reorder」をクリックして、構成済みの認証プロバイダの順序を変更します。

OPSSの概念に関する自習コースで学習したとおり、OPSSはWebLogic Serverドメイン内で見つかった認証プロバイダの構成から認証構成を取得します。 また、OPSSは、はじめにリストに含まれるすべてのLDAPベースの認証プロバイダを参照してから、もっとも高い制御フラグ設定を持つリスト内の最初のプロバイダを選択します。 ここでは、2つのLDAPベースの認証プロバイダに対してSUFFICIENT制御フラグ設定を使用するように構成したため、現在の構成のままでは、OPSSはDefaultAuthenticatorを使用します。 新しく構成したOID Authenticatorが認証プロバイダとして認識されるようにするには、OID認証プロバイダがリスト内の最初に来るように、認証プロバイダのリスト順序を変更する必要があります。

 

.

OID Authenticator」を選択し、右側の矢印を使用して一番上に移動します。 「OK」をクリックします。

 

OID構成の確認

ここでは、WebLogic ServerからOID LDAPサーバーへの接続が成功したことを確認するためのステップを詳しく説明します。

.

WebLogic Serverを再起動して、実施した変更を有効にします。 もっとも素早くWebLogic Serverを再起動するには、サーバーを起動したターミナル・ウィンドウで[Ctrl]を押しながら[C]を押してから、startWebLogic.shスクリプトを再実行します。

 

.

WebLogic Serverが再びRUNNINGモードになったら、WebLogic管理コンソールにログインし、サーバーからOIDへの接続をテストします。

.

WebLogic管理コンソール内で「Security Realms」→「myrealm」→「Users and Groups」タブを選択します。 Usersサブタブがデフォルトで選択されています。 joemanagerjoeuserなど、『OPSS環境のセットアップ』のOBEで確認したユーザーが表示されます。 ユーザーが取得された認証プロバイダが各ユーザーの横に表示されている点に注意します。

 

.

Groups」タブをクリックして、サーバーから認識されるグループのリストを表示します。 employeessupervisorsなど、『OPSS環境のセットアップ』のOBEで確認したグループが表示されます。 次のスクリーンショットは、スペースを節約するために若干変更されています。 supervisorsグループは、グループ・リストの最初のページには表示されていない場合があります。 「Next」をクリックしてこのグループを表示します。

 

まとめ

以上で、WebLogicでのOID認証プロバイダの構成のOBEは終了です。 このシリーズに含まれるその他のOBEに進む準備が整いました。 このチュートリアルは、このシリーズに含まれるその他すべてのOBEチュートリアルの前提となっています。

このチュートリアルで学習した内容は、以下のとおりです。

参考資料

著者

Hardware and Software Engineered to Work Together Copyright © 2012, Oracle and/or its affiliates. All rights reserved