Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
目次
目次
WebGate リバースプロキシおよび Oracle Access Manager に関する BIG-IP APM の設定
前提条件と設定上の注意 .................................................................................................... 1製品バージ ョ ンおよびバージ ョ ン履歴 ......................................................................... 2設定例 ......................................................................................................................................... 2
BIG-IP APM の設定 ........................................................................................................................... 4認証ソースの作成 .................................................................................................................. 4SSO 設定の作成 ....................................................................................................................... 5Access Profile の作成 .............................................................................................................. 6Visual Policy Editor での Access Profile の編集 ............................................................... 7ヘルスモニ タの作成 ............................................................................................................. 8プールの作成 ........................................................................................................................... 9SSL プロ フ ァ イルの作成 .................................................................................................... 10パーシステンスプロ フ ァ イルの作成 ........................................................................... 11バーチャルサーバの作成 .................................................................................................. 12
Oracle 設定の変更 ......................................................................................................................... 14Oracle 認証ルールの変更 .................................................................................................. 14
付録 A : iRule による Access Profile の有効化と無効化 ....................................................16
付録 B : エンジニア リ ングホ ッ ト フ ィ ッ クスの入手 .......................................................18
付録 C : Simple Transport Security Mode を実行する場合の考慮事項 .........................19
F5 導入ガイ ド i
Oracle Access Manager における BIG-IP APM の導入
WebGate リバースプロキシおよび Oracle Access Manager に関する BIG-IP APM の設定
本書は、 BIG-IP Access Policy Manager (APM) お よ び Oracle Access Manager に関する F5 導入ガ イ ド です。 こ のガ イ ド では、Oracle Access Manager において WebGate プロ キシフ ァームを BIG-IP APM に置き換
え る場合の APM の設定方法について説明し ます。
Oracle Access Manager は、 企業のビジネス展開の俊敏性を向上し、 ビ
ジネスパー ト ナー と のシーム レ スな イ ンテグレーシ ョ ン、規制準拠の実現が可能です。 Oracle Access Manager では、 革新的で統合 さ れた
アーキテ ク チャ を採用し、 ア イデンテ ィ テ ィ 管理 と ア ク セ ス制御のサービ ス を独自に組み合わせる こ と に よ り 、 認証の一元管理、 ポ リシーベースの認可、委任管理やワーク フ ローをはじめ とする豊富なアイデンテ ィ テ ィ 管理機能によ る監査を提供し ます。
Oracle Access Manager の詳細については、http://www.oracle.com/technology/global/jp/products/id_mgmt/coreid_acc/index.html を参照し て く だ さい。
前提条件と設定上の注意
実装に関する前提条件 と 設定上の注意点を以下に示し ます。
◆ BIG-IP APM の後方にあ る WebGate エージェ ン ト は、 Application Web Tier サーバ上で実行し ないで く だ さい。
◆ BIG-IP APM のデフ ォル ト 動作は、バッ ク エン ド アプ リ ケーシ ョ ン
サーバ上のすべての リ ソースへのア ク セス を保護する よ う になっています。OAM ポ リ シーの定義に従って特定の リ ソースのみを保
護する場合には、 「付録 A : iRule によ る Access Profile の有効化 と
無効化」 (16 ページ) を参照し て く だ さい。
◆ OAM を イ ン ス ト ールする ための管理者権限が必要です。 こ の条件
は、 ポ リ シーの変更が必要であ る ため必須です。 詳細については、「Oracle 設定の変更」 (14 ページ) を参照し て く だ さい。
◆ OAM ポ リ シーが適切に設定されている必要があ り ます(認証や認
可の失敗など)。 BIG-IP APM は、 定義された動作について OAM サーバに依存し ます。それ以外の未定義の動作については、フ ロー/ 接続が破棄されます。
◆ 現在、 こ の ソ リ ューシ ョ ンにはエンジニア リ ングホ ッ ト フ ィ ッ クスが必要です。 詳細については、 「付録 B : エンジニア リ ングホ ッ
ト フ ィ ッ ク スの 入手」 (18 ページ) を参照し て く だ さい。
◆ BIG-IP Access Policy Manager の設定オプシ ョ ンの詳細については、
Ask F5 (https://support.f5.com/) から 『Configuration Guide for BIG-IP Access Policy Manager』 を参照し て く だ さい。
1
製品バージ ョ ンおよびバージ ョ ン履歴
こ の導入ガ イ ド の確認に使用し た製品 と バージ ョ ンは以下の と お りです。
改訂履歴
テス ト に用いた Oracle Identity Management 11gR1 イ ンプ リ メ ンテー
シ ョ ン は、 Oracle® Fusion Middleware Enterprise Deployment Guide for Oracle Identity Management 11g Release 1 (11.1.1) Part Number E12035-02 に従って導入されま し た。
設定例
こ のガ イ ド では、 Oracle Access Manager が認証および認可のサービ ス
を ア プ リ ケーシ ョ ン に提供す る アーキ テ ク チ ャ を 示 し て い ま す。WebGate エージ ェ ン ト によ ってアプ リ ケーシ ョ ン層で直接ユーザを
認証し た り 、WebGate プロ キシのフ ァーム経由で直接ユーザを認証す
る代わ り に、BIG-IP APM を使用し て認証や認可を行います。APM で
WebGate の機能をオフ ロードする こ と によ り 、WebGate エージェ ン ト
がアプ リ ケーシ ョ ンで不要にな り 、プロ キシ層がネ ッ ト ワーク イ ンフラ ス ト ラ クチャに統合される ため、 OAM 展開が簡単にな り ます。
こ の例では、 BIG-IP APM は、 ク ラ イ アン ト のコ ン ピ ュータでのウ ィ
ルスのチェ ッ ク に使用される と と もに、Oracle WebGate プロ キシが使
用する同じバッ ク エン ド OAM AAA サーバのユーザを認証し ます。導
入の初期状態では、アプ リ ケーシ ョ ンのすべてのコ ンテンツ を保護する よ う になっています。 こ のガ イ ド の後の項で、 アプ リ ケーシ ョ ンの一部への未認証ア ク セス を許可する ための詳細を提供し ます。
図 1 は、BIG-IP APM が実装される前の論理設定例を示し ます。BIG-IP Local Traffic Manager が WebGate プロ キシに ト ラ フ ィ ッ ク を導いてい
ます。図 2 は、BIG-IP APM が実装された後の論理設定例を示し ます。
テス ト された製品 テス ト されたバージ ョ ン
BIG-IP APM 10.2
Oracle Identity Management/Oracle Access Manager
11.1.1.1.0/10.1.4.3.0
文書バージ ョ ン 説明
1.0 新規導入ガイ ド
F5 導入ガイ ド 2
Oracle Access Manager における BIG-IP APM の導入
図 1. BIG-IP APM 実装前の論理設定例
図 2. BIG-IP APM 実装後の論理設定例
Internet
BIG-IP Local Traffic Manager
OracleWebGate Proxy
ApplicationWeb Tier
OracleAccess Manager
Oracle AccessManager Directory
Internet
BIG-IP Local Traffic Manager +
Access Policy Manager
ApplicationWeb Tier
OracleAccess Manager
Oracle AccessManager Directory
3
BIG-IP APM の設定Oracle Access Manager 用に BIG-IP APM を設定するには、 以下の手順
を実行し ます。
認証ソースの作成
ま ず、 イ ン ス ト ール さ れてい る Oracle Access Manager が使用す る
Access Server に接続する ための詳細を指定する認証ソース を作成し
ます。
AAA サーバを作成するには
1. [Main] タブで [Access Policy] を展開し、[AAA servers] を ク リ ッ
ク し ます。
2. [Create] ボタ ンを ク リ ッ ク し ます。
3. [Name] ボ ッ ク スに、 このプロ フ ァ イルの名前を入力し ます。
こ の例では、 ora11g-oam-aaa と 入力し ます。
4. [Type] リ ス ト から、 [Oracle Access Manager] を選択し ます。
5. [Access Server Name] ボ ッ ク スに、 Access Server の名前を入力
し ます。 この例では、 AccessServer_OAM0 と 入力し ます。
6. [Access Server Hostname] ボ ッ ク スに、 Access server の完全修
飾ド メ イ ン名 (FQDN) を入力し ます。 この例では、
idm-oam0-11g.oracle.siterequest.com と 入力し ます。
7. [Access Server Port] ボ ッ ク スに、 適切なポー ト を入力し ます。
こ の例では、 6023 と 入力し ます。
8. [Access Gate Name] ボ ッ ク スに、名前を入力し ます。 この例で
は、 IDMEDG_AG と 入力し ます。
9. [Access Gate Password] ボ ッ ク スおよび [Verify Password] ボ ッ
ク スに、 パス ワー ド を入力し ます。
10. [Retry Count] ボ ッ ク スに、 0 よ り 大き な数字を入力し ます。
こ の例では、 1 と入力し ます。
11. [Finished] を ク リ ッ ク し ます (図 3 を参照)。
F5 導入ガイ ド 4
Oracle Access Manager における BIG-IP APM の導入
図 3. BIG-IP APM AAA サーバ設定
SSO 設定の作成
次に、 キ ャ ッ シ ュ さ れた認証情報を定義す る シ ン グルサ イ ン オ ン(SSO) 設定を作成し ます。
SSO 設定を作成するには
1. [Main] タブで [Access Policy] を展開し、 [Web Applications] を
ク リ ッ ク し ます。
2. [Create] ボ タ ンを ク リ ッ ク し ます。
3. [Name] ボ ッ ク スに、 こ のプロ フ ァ イルの名前を入力し ます。
この例では、 ora11g-oam-sso と 入力し ます。
4. [SSO Method] リ ス ト から、 [None] を選択し ます。
5. [Username Source] ボ ッ ク スに、 ユーザ名の ソース を入力し ま
す。こ の例では、session.sso.token.last.username と 入力し ます。
6. [Password Source] ボ ッ ク スに、 ユーザ名の ソース を入力し ま
す。 こ の例では、session.sso.token.last.password と 入力し ます。
7. [Access Management Method] リ ス ト から、 [Oracle Access Management] を選択し ます。
8. [Oracle Access Management Server] リ ス ト から、 「認証ソース
の作成」 (4 ページ) で作成し た AAA サーバを選択し ます。 こ
の例では、 [ora11g-oam-aaa] を選択し ます (図 4 を参照)。
9. [Finished] を ク リ ッ ク し ます。
5
図 4. SSO 設定
Access Profile の作成
次の手順では、 Access Profile、 およびアンチウ ィ ルスチェ ッ ク、 ロ グ
オンページ、SSO 認証情報マ ッ ピングを提供する Visual Policy を作成
し ます。
Access Profile を作成するには
1. [Main] タブで [Access Policy] を展開し、 [Access Profiles] を ク
リ ッ ク し ます。
2. [Create] ボタ ンを ク リ ッ ク し ます。
3. [Name] ボ ッ ク スに、 このプロ フ ァ イルの名前を入力し ます。
こ の例では、 ora11g-oam-access と 入力し ます。
4. [Settings] セ ク シ ョ ンで、 実際の設定に合わせてオプシ ョ ンを
設定し ます。 こ の例では、 すべてのオプシ ョ ン をデフ ォル トのま まに し ます。 ラ イ セン スに よ っては、 同時ユーザの数が制限される こ と も あ るので注意し て く だ さ い。 その他の タ イムア ウ ト は、 管理のためです。
5. [Configuration ] セ ク シ ョ ンで、 「SSO 設定の作成」 (5 ページ)
で作成し た SSO 設定の名前を [SSO Configurations] リ ス ト か
ら選択し ます。 この例では、 [ora11g-oam-sso] を選択し ます。
6. バーチャルサーバが HTTPS の代わ り に HTTP を使用する場合
には、 [Secure Cookie] ボ ッ ク スが選択されていない状態にし
ます。 HTTPS を使用する場合は、 [Secure Cookie] ボ ッ ク スが
選択されている状態にし ます。
7. 他の設定はすべて省略可能です。 実際の設定に従って変更して もかまいません。 こ の例での設定内容は、 図 5 を参照し て
く だ さい。
8. [Finished] を ク リ ッ ク し ます。
F5 導入ガイ ド 6
Oracle Access Manager における BIG-IP APM の導入
図 5. Oracle Access Policy (一部省略)
Visual Policy Editor での Access Profile の編集
次の手順では、 Visual Policy Editor (VPE) を使用し て Access Policy を
編集し ます。 VPE は、 Access Policy 設定におけ る事実上無限のオプ
シ ョ ンを提供する強力なビジュ アルス ク リ プ ト 言語です。
高度な認証およびポ リ シーオプシ ョ ンの追加情報や詳細情報について は、 Ask F5 (https://support.f5.com/) か ら 『Configuration Guide for BIG-IP Access Policy Manager』 を参照し て く だ さい。
Access Profile を編集するには
1. [Main] タブで [Access Policy] を展開し、 [Access Profiles] を ク
リ ッ ク し ます。
2. 作成し た Access Profile の場所を特定し、 [Access Policy] 列で
[Edit] を ク リ ッ ク し ます。
Visual Policy Editor が新しいウ ィ ン ド ウで開き ます。
3. [Start] と [Deny] の間の + 記号を ク リ ッ ク し ます。 別のア ク
シ ョ ンのオプシ ョ ンを示すボ ッ ク スが開き ます。
4. [Antivirus Check] オプシ ョ ンボタ ンを ク リ ッ ク し た後、 ボ ッ
ク スの下部にあ る [Add Item] ボタ ンを ク リ ッ ク し ます。
7
5. 実際の設定に合わせて [Properties] を設定し ます。
6. [Save] ボタ ンを ク リ ッ ク し ます。 する と、 [Successful] と [FallBack] と い う 2 つのパスが示されます。
7. [Antivirus Check] と [Deny] の間の [Successful] パス上にあ る + 記号を ク リ ッ ク し ます。
8. [Logon Page] オプシ ョ ンボタ ンを ク リ ッ ク し た後、 ボ ッ ク ス
の下部にあ る [Add Item] ボタ ンを ク リ ッ ク し ます。
9. 実際の設定に合わせて [Properties] を設定し ます。この例では、
デフ ォル ト 設定のま まにし ます。
10. [Logon Page] と [Deny] の間の + 記号を ク リ ッ ク し ます。
11. [SSO Credential Mapping] オプシ ョ ンボタ ンを ク リ ッ ク し た
後、 [Add] ボタ ンを ク リ ッ ク し ます。
12. 実際の設定に合わせて [Properties] を設定し ます。この例では、
デフ ォル ト 設定のま まにし ます。
13. [Save] ボタ ンを ク リ ッ ク し ます。
14. [SSO Credential Mapping] パスで、 [Deny] リ ン ク ボ ッ ク ス を
ク リ ッ ク し ます。 [Allow] ボタ ンを ク リ ッ ク し た後、 [Save] を
ク リ ッ ク し ます。
15. ウ ィ ン ド ウの左上にあ る黄色い [Apply Access Policy] リ ン ク を
ク リ ッ ク し ます。 ア ク セスポ リ シーを有効にするには、 適用する必要があ り ます。
16. 右上の [Close] ボタ ンを ク リ ッ ク し て、 VPE を閉じ ます。
図 6. Visual Policy Editor での最終的な Access Policy
ヘルスモニ タの作成
次の手順では、バッ ク エン ド アプ リ ケーシ ョ ンサーバ用のヘルスモニタ をセ ッ ト ア ッ プし ます。 この手順は省略可能ですが、強 く お勧めします。 こ の例では、 HTTP ヘルスモニ タ を作成し ます。
HTTP ヘルスモニ タ を設定するには
1. [Main] タブで、[Local Traffic] を展開し、[Monitors] を ク リ ッ ク
し ます。
2. [Create] ボタ ンを ク リ ッ ク し ます。 [New Monitor] 画面が表示
されます。
F5 導入ガイ ド 8
Oracle Access Manager における BIG-IP APM の導入
3. [Name] ボ ッ ク スに、 このモニ タの名前を入力し ます。
この例では、 Oracle-SSO-monitor-http と 入力し ます。
4. [Type] リ ス ト から、 [HTTP] を選択し ます。
5. [Configuration] セ ク シ ョ ンの [Interval] ボ ッ ク スおよび
[Timeout] ボ ッ ク スに、 イ ン ターバル と タ イ ムア ウ ト を入力し
ます。 イ ン ターバル と タ イ ムア ウ ト の比率を 1:3 +1 以上にす
る こ と をお勧めし ます。 こ の例では、 [Interval] に 30 を入力
し、 [Timeout] に 91 を入力し ます。
6. [Send String] ボ ッ ク スに、 以下の文字列を入力し ます。
GET /\n\n
7. 残 り の設定は任意選択です。 実装に合わせて設定し て く だ さい。
8. [Finished] ボタ ンを ク リ ッ ク し ます。
プールの作成
BIG-IP APM に Oracle 製品用のプールを作成する必要があ り ます。 こ
の例では、 デバイ ス と し て Oracle Access Manager SSO サーバのみが
含まれるプールを定義し ます。 これは、 通常の OAM ロ グ イ ン フ ォー
ムをホ ス ト するデバイ スです。
Oracle プールを作成するには
1. [Main] タブで、 [Local Traffic] を展開し て [Pools] を ク リ ッ ク
し ます。 [Pool] 画面が開き ます。
2. [Create] ボ タ ンを ク リ ッ ク し ます。[New Pool] 画面が表示され
ます。
3. [Name] ボ ッ ク スに、プールの名前を入力し ます。 こ の例では、
Oracle-SSO-pool と 入力し ます。
4. [Health Monitors] セ ク シ ョ ンでは、 「ヘルスモニ タの作成」 項
で作成し たモニ タ の名前を選択し、 追加 ([<<]) ボ タ ン を ク
リ ッ ク し ます。 こ の例では、 [Oracle-SSO-monitor-http] を選
択し ます。
5. [Load Balancing Method] リ ス ト から、 最適な負荷分散方式を
選択 し ます (最適な結果を も た ら す負荷分散方式はネ ッ トワーク によ って異な る場合があ り ます) 。 この例では、 [LeastConnections (node)] を選択し ます。
6. この例では、 このプールの [Priority Group Activation] は
[Disabled] のま まにし ておき ます。
7. [New Members]セ ク シ ョ ンで、[New Address]オプシ ョ ンボタ ン
が選択されている こ と を確認し ます。
8. [Address] ボ ッ ク スに、 アプ リ ケーシ ョ ンをホ ス ト するサーバ
を追加し ます。 この例では、 10.133.15.60 と 入力し ます。
9. [Service Port] ボ ッ ク スに、 このデバイ スに使用するサービ ス
番号を入力するか、 リ ス ト か ら サービ ス名を選択する こ と によ り サービ ス を指定し ます。 この例では、 80 と 入力し ます。
9
10. [Add] ボタ ンを ク リ ッ ク し て、 メ ンバを リ ス ト に追加し ます。
11. それぞれのサーバに対し、 手順 8 ~ 10 を繰 り 返し ます。
12. [Finished] ボタ ンを ク リ ッ ク し ます。
SSL プロ フ ァ イルの作成
BIG-IP を使用し て SSL をオフ ロー ドする場合には、以下の手順で SSLプロ フ ァ イルを作成し ます。 このプロ フ ァ イルには、 SSL ト ラ フ ィ ッ
ク をオフ ロードする ための SSL 証明書およびキーの情報が含まれて
います。
SSL のオフ ロード に BIG-IP を使用し ていない場合は、「パーシステン
スプロ フ ァ イルの作成」 (11 ページ) に進んで く だ さい。
まず、 証明書と キーを イ ンポー ト し ます (この導入ガ イ ド では、 必要な SSL 証明書は取得済みであ り 、これらはまだ BIG-IP LTM にイ ン ス
ト ール さ れていない も の と し て説明し ます。 証明書 と キーがない場合、 BIG-IP のマニュ アルを参照し て く ださ い)。
キーまたは証明書を イ ンポー ト するには
1. [Main] タブで [Local Traffic] を展開し ます。
2. [SSL Certificates] を ク リ ッ ク し ます。 既存の証明書の一覧が
表示されます。
3. 画面右上の [Import] を ク リ ッ ク し ます。
4. [Import Type] リ ス ト から、 イ ンポー ト のタ イプ ([Certificate] または [Key]) を選択し ます。
5. [Certificate (または Key Name) ] ボ ッ ク スに、 証明書または
キーの一意な名前を入力し ます。
6. [Certificate (または Key Source) ] ボ ッ ク スで、 フ ァ イルの
ア ッ プロー ド またはテキス ト の貼 り 付けを選択し ます。
7. [Import] を ク リ ッ ク し ます。
8. 証明書を イ ンポー ト し た場合には、 キーについて も こ の手順を繰 り 返し て く だ さい。
以下の手順では、イ ンポー ト し た証明書およびキーを使用する SSL プ
ロ フ ァ イルを作成し ます。
Client SSL プロ フ ァ イルの作成
次の手順に従って Client SSL プロ フ ァ イルを作成し ます。BIG-IP 上の
SSL ト ラ フ ィ ッ ク をオフ ロード し ない場合、このプロ フ ァ イルは必要
あ り ません。
新しい Client SSL プロ フ ァ イルを作成するには
1. [Main] タブで [Local Traffic] を展開し、 [Profiles] を ク リ ッ ク
し た後、メ ニューバーの [SSL] メ ニ ューから [Client] を選択し
ます。
F5 導入ガイ ド 10
Oracle Access Manager における BIG-IP APM の導入
2. [Create] ボ タ ンを ク リ ッ ク し ます。
3. [Name] ボ ッ ク スに、 こ のプロ フ ァ イルの名前を入力し ます。
この例では、 oracle-client-ssl と 入力し ます。
4. [Configuration] セ ク シ ョ ンで、 [Certificate] チェ ッ ク ボ ッ ク ス
および [Key] チェ ッ ク ボ ッ ク ス をオンにし ます。
5. [Certificate] リ ス ト から、「キーおよび証明書のイ ンポー ト 」 項
でイ ンポー ト し た証明書の名前を選択し ます。
6. [ Key] リ ス ト から、「キーおよび証明書のイ ンポー ト 」項でイ ン
ポー ト し たキーを選択し ます。
7. [Finished] ボタ ンを ク リ ッ ク し ます。
パーシステンスプロ フ ァ イルの作成
最初に作成するプロ フ ァ イルは、 パーシステン スプロ フ ァ イルです。こ の例では、 デフ ォル ト のパーシ ス テン スプ ロ フ ァ イル と フ ォールバッ クパーシステン スプロ フ ァ イル と い う 2つのパーシステン スプロ
フ ァ イルを作成し ます。 こ こ では、 HTTP Cookie Insert パーシステン
ス をデフ ォル ト モード と し て使用し ている ため、ユーザのデバイ スがク ッ キーを承認し ない場合に備え、フ ォールバッ ク モード が必要になり ます。
ク ッ キーパーシステンスプロ フ ァ イルの作成
最初に作成するパーシステン スプロ フ ァ イルは、 ク ッ キーパーシス テン スプロ フ ァ イルです。 このプロ フ ァ イルには、 ユーザ設定可能なオプシ ョ ン設定がい く つか含まれます(ク ッ キーパーシステン スの メソ ッ ド、 期限など)。
新しいク ッ キーパーシステンスプロ フ ァ イルを作成するには
1. [Main] タブで [Local Traffic] を展開し、 [Profiles] を ク リ ッ ク
し ます。 [HTTP Profiles] 画面が開き ます。
2. メ ニューバーで [Persistence] を ク リ ッ ク し ます。
3. [Create] ボ タ ンを ク リ ッ ク し ます。
4. [Name] ボ ッ ク スに、 このプロ フ ァ イルの名前を入力し ます。
この例では、 ora11g-oam-cookie と 入力し ます。
5. [Persistence Type] リ ス ト から、 [Cookie] を選択し ます。
ク ッ キーパーシステン スの設定オプシ ョ ンが表示されます。 [Parent Profile]が[Cookie]に設定されている こ と を確認し ます。
6. その他の設定は、 実際のネ ッ ト ワーク に合わせて変更し て ください。
7. [Finished] ボタ ンを ク リ ッ ク し ます。
11
フ ォールバッ クパーシステンスプロ フ ァ イルの作成
次に、 フ ォールバッ クパーシステン スプロ フ ァ イルを作成し ます。 こ の例では、 フ ォールバッ クパーシステン スのタ イプ と し て Source Address Affinity を使用し ます。
新し い フ ォールバ ッ クパーシステ ンスプ ロ フ ァ イルを作成するには
1. [Main] タブで [Local Traffic] を展開し、 [Profiles] を ク リ ッ ク
し た後、 メ ニューバーの [Persistence] を ク リ ッ ク し ます。
2. [Create] ボタ ンを ク リ ッ ク し ます。 [New Persistence Profile] 画面が開き ます。
3. [Name] ボ ッ ク スに、 このプロ フ ァ イルの名前を入力し ます。
こ の例では、 ora11g-oam-source と入力し ます。
4. [Persistence Type] リ ス ト から、 [Source Address Affinity] を選
択し ます。 Source Address Affinity パーシステン スの設定オプシ ョ ンが表
示されます。
5. 実際のネ ッ ト ワーク に合わせて設定を変更し ます。 こ の例では、 残 り の設定はデフ ォル ト のま まにし ます。
6. [Finished] ボタ ンを ク リ ッ ク し ます。
バーチャルサーバの作成
次の手順では、 ユーザが接続するバーチャルサーバを作成し ます。 これは、BIG-IP APM のバーチャルサーバであ り 、他のアプ リ ケーシ ョ ン
のバーチャルサーバが存在する場合には、それら と 混乱し ないよ う にする必要があ り ます。
バーチャルサーバを作成するには
1. [Main] タブで、 [Local Traffic] を展開し て [Virtual Servers] を
ク リ ッ ク し ます。 [Virtual Server] 画面が表示されます。
2. 画面右上の [Create] ボタ ンを ク リ ッ ク し ます。 [New Virtual Servers] 画面が開き ます。
3. [Name] ボ ッ ク スに、 こ のバーチャルサーバの名前を入力し ま
す。 この例では、 Oracle_SSO-apm-vs と 入力し ます。
4. [Destination] セ ク シ ョ ンで、[Host] オプシ ョ ンボタ ンを選択し
ます。
5. [Address] ボ ッ ク スに、APM 上の このア ク セスバーチャルサー
バの IP ア ド レ ス を入力し ます。 注 : このア ド レ スは、 アプ リ ケーシ ョ ン VIP と は別物です。
これは、 ユーザが接続する フ ロ ン ト エン ド サービ スです。 こ の例では 10.133.15.101 と 入力し ます。
6. [Service Port] ボ ッ ク ス :
a) SSL のオフ ロード に BIG-IP を使用し ていない場合は、80 を
入力するか、 リ ス ト から [HTTP] を選択し ます。
F5 導入ガイ ド 12
Oracle Access Manager における BIG-IP APM の導入
b) SSL のオフ ロード に BIG-IP を使用し ている場合は、 443 を
入力するか、 リ ス ト から [HTTPS] を選択し ます。
7. SSL のオフ ロード に BIG-IP を使用し ている場合は、「Client SSL プロ フ ァ イルの作成」項で作成し た SSL プロ フ ァ イルを [SSL Profile (Client)] リ ス ト から選択し ます。 この例では、
[oracle-client-ssl] を選択し ます。
8. [Access Policy] セ ク シ ョ ンで、 「Access Profile の作成」 (6 ペー
ジ) 項で作成し たポ リ シーの名前を [Access Profile] リ ス ト か
ら選択し ます。こ の例では、[ora11g-oam-access] を選択し ます。
9. (オプシ ョ ン) 「付録 A : iRule によ る Access Profile の有効化 と
無効化」 (16 ページ) に記述されている iRule を作成し た場合
は、作成し たiRuleを[Resources]セ ク シ ョ ンのiRuleの[Available]リ ス ト から選択し、 追加 ([<<]) ボ タ ンを ク リ ッ ク ます。
10. [Default Pool] リ ス ト から、 「プールの作成」 (9 ページ) で作成
し たプールを選択し ます。 この例では、 [Oracle-SSO-pool] を
選択し ます。
11. [Default Persistence Profile] リ ス ト か ら、 「ク ッ キーパーシス
テン スプロ フ ァ イルの作成」 (11 ページ) で作成し たプロ フ ァ
イルを選択し ます。 こ の例では、 [ora11g-oam-cookie] を選択
し ます。
12. [Fallback Persistence Profile] リ ス ト から、 「フ ォールバッ ク
パーシステン スプロ フ ァ イルの作成」 (12 ページ) で作成し た
プロ フ ァ イルを選択し ます。 こ の例では、[ora11g-oam-source]を選択し ます。
13. [Finished] ボタ ンを ク リ ッ ク し ます。
以上で、 Oracle Access Manager に関する BIG-IP APM の設定は完了で
す。引き続いて次の項に進み、Oracle 設定の変更を実施し て く だ さい。
13
Oracle 設定の変更Oracle 設定に対し て必要と なる主な変更内容は、WebGate エージェ ン
ト が存在する 場合に、アプリ ケーショ ンサーバから WebGateエージェ ン
ト を除去する こ と です。アプ リ ケーシ ョ ンの前面にイ ン ス ト ールされた WebGate プロ キシを使用し て展開されている場合には、 この変更
は不要です(独立し た WebGate プロ キシ層をサポー ト する ためにエー
ジェ ン ト はすでに除去されています)。
アプ リ ケーシ ョ ンサーバから WebGate エージェ ン ト を除去する こ と
に よ り 、 パフ ォーマン ス上の利点も あ り ます。 Oracle 社では、 エー
ジェ ン ト によ って Web サーバのパフ ォーマン スが 10 ~ 20% 低下す
る と 言明し ています。すでに こ のエージェ ン ト をサーバから削除し ている場合には、 Web サーバで このパフ ォーマン ス向上が得られます。
参照 : http://download.oracle.com/docs/cd/E12530_01/oam.1014/e10353/deploys.htm#BABDAFFG
Oracle 認証ルールの変更
次の手順では、 Oracle 認証ルールを変更し ます。 こ の手順は、 OracleAccess Manager Policy Manager コ ン ソールから実行し ます。
Oracle 認証ルールを変更するには
1. Oracle Access Manager Policy Manager コ ン ソールに移動し、 管
理者 と し て ロ グ イ ン し ます。
2. [My Policy Domains] に移動し た後、 ド メ イ ンの名前を ク リ ッ
ク し ます。 この例では、 [IDMEDG] を ク リ ッ ク し ます。
3. [Default Rules] を ク リ ッ ク し た後、 [Authentication Rule] サブ
タブを ク リ ッ ク し ます。
4. メ ニューバー (タブの下) の [Actions] リ ン ク を ク リ ッ ク し
ます。
5. [Authentication Success] セ ク シ ョ ンの [Return] に関し て以下の
手順を実行し ます。
a) 最初の [Type] ボ ッ ク スに、 HeaderVar と 入力し ます。
b) 最初の [Name] ボ ッ ク スに、 HTTP_OBLIX_UID と 入力し
ます。
c) [Return Value] ボ ッ ク スに、 uid と 入力し ます。 一連のボ ッ ク スに移動し ます。
d) 2 番目の [Type] ボ ッ ク スに、 HeaderVar と 入力し ます。
e) 2 番目の [Name] ボ ッ ク スに、 auth_user と 入力し ます。
f) 2 番目の [Return Attribute] ボ ッ ク スに、 uid と 入力し ます。
F5 導入ガイ ド 14
Oracle Access Manager における BIG-IP APM の導入
6. [Authentication Failure] セ ク シ ョ ンの [Redirection URL] ボ ッ ク
スに、 /my.logout.php3 と 入力し ます。 注 : これは、 デフ ォル ト の BIG-IP APM ロ グア ウ ト ページで
す。 こ のページを、 カ ス タ ム ロ グア ウ ト ページ と し て定義する こ と もでき ます。 詳細については、 APM の ド キ ュ メ ン ト を
参照し て く だ さい。
7. [Authentication Failure] セ ク シ ョ ンの [Return]に関し て以下の手
順を実行し ます。
a) 最初の [Type] ボ ッ ク スに、 HeaderVar と 入力し ます。
b) 最初の [Name] ボ ッ ク スに、 auth_user と 入力し ます。
c) [Return Value] ボ ッ ク スに、 uid と 入力し ます。
8. [Save] を ク リ ッ ク し ます。
図 7. 認証ルールの各種ア ク シ ョ ン
これで設定は完了です。
15
付録 A : iRule による Access Profile の有効化と
無効化前提条件で述べた よ う に、 バッ ク エン ド Web サーバ上のすべての リ
ソースへのア ク セス を保護する こ と が推奨されます。 だだし、 アプ リケーシ ョ ンの一部のみで認証情報を要求する よ う に設定する場合は、以下の手順で iRule を作成し ます。
こ の iRule は、 ユーザが保護された リ ソース をア ク セス し よ う と し て
いるかど う かに応じ て、Access Profile を有効化または無効化する と い
う ものです。 こ の iRule は、 OAM ポ リ シーでの定義に従って リ ソー
ス を保護する場合にのみ必要と な り ます。 この iRule を使用し ない場
合、BIG-IP APM は、その後方にあ るすべての リ ソース を保護し ます。
iRule の作成
1. [Main] タブで、 [Local Traffic] を展開し、 [iRules] を ク リ ッ ク
し ます。
2. [Create] ボタ ンを ク リ ッ ク し ます。
3. [Name] ボ ッ ク スに、 iRule の名前を入力し ます。 この例では、
Oracle-SSO-protected-URI-iRule と 入力し ます。
4. [Definition] ボ ッ ク スに、以下の iRule を入力するか貼 り 付けま
す。 ただし行番号は除き ます。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
when HTTP_REQUEST {
set sid [HTTP::cookie MRHSession]
if { [ACCESS::session exists $sid] == 1 } {
log local0.notice "Valid session found, ACCESS enabled"
}
else {
if { [HTTP::uri] contains "f5iupstate=1" } {
log local0.notice "Protected URI detected, ACCESS enabled"
}
else {
if { [HTTP::uri] contains "?" } {
set new_uri [HTTP::uri]&f5acmode=1
}
else {
set new_uri [HTTP::uri]?f5acmode=1
}
HTTP::uri $new_uri
ACCESS::disable
}
}
}
F5 導入ガイ ド 16
Oracle Access Manager における BIG-IP APM の導入
5. [Finished] ボタ ンを ク リ ッ ク し ます。
6. [Main] タブで、 [Local Traffic] を展開し て [Virtual Servers] を
ク リ ッ ク し ます。
7. 「バーチャルサーバの作成」 (12 ページ) で作成し たバーチャ
ルサーバを ク リ ッ ク し ます。 この例では、 [Oracle_SSO-apm-vs] を ク リ ッ ク し ます。
8. メ ニューバーで [Resources] を ク リ ッ ク し ます。
9. [iRules] セ ク シ ョ ンの [Manage] ボタ ンを ク リ ッ ク し ます。
10. iRule の [Available] リ ス ト から、 作成し た iRule を選択し、
追加 ([<<]) ボ タ ンを ク リ ッ ク し ます。
11. [Finished] を ク リ ッ ク し ます。
17
付録 B : エンジニア リ ングホ ッ ト フ ィ ッ クスの
入手現在、 こ の ソ リ ューシ ョ ンには、 正し く 動作する ためのエンジニア リ ングホ ッ ト フ ィ ッ ク スが必要です。エンジニア リ ングホ ッ ト フ ィ ック ス を入手す る には、 Ask F5 (無料の登録が必要) か ら SOL11622 https://support.f5.com/kb/en-us/solutions/public/11000/600/sol11622.htmlを参照し て く だ さい。
F5 導入ガイ ド 18
Oracle Access Manager における BIG-IP APM の導入
付録 C : Simple Transport Security Mode を実行
する場合の考慮事項OAM サーバ と 通信する よ う に BIG-IP APM を設定する場合、パス ワー
ド を使用し てセ ッ シ ョ ンを認証する方がよいでし ょ う 。 OAM サーバ
と の通信時にパス ワー ド を使用する よ う にBIG-IP APMやBIG-IP Edge Gateway を設定するには、 Simple Transport Security Mode を有効にす
る必要があ り ます。 Simple Transport Security Mode を有効化する機能
は、 「付録 B : エンジニア リ ングホ ッ ト フ ィ ッ ク スの 入手」 (18 ペー
ジ) に示し たホ ッ ト フ ィ ッ ク スのイ ン ス ト ール後に追加されます。
Simple Transport Security Mode の具体的な設定手順については、 SOL11623 https://support.f5.com/kb/en-us/solutions/public/11000/600/sol11623.htmlを参照し て く だ さい。
19