Oracle AccessGateアプリを作成する
- Access Gateway管理者UIコンソールにサインインします。
- アプリケーションタブをクリックします。
- [+Add(+追加)]をクリックします。
-
アプリケーションメニューから[Oracle Access Gate]オプションを選択します。[Create(作成)]をクリックします。
-
基本情報ペインで以下を指定します:
フィールド 値 Label(ラベル) アプリの名前。 Public Domain(パブリックドメイン) yourexternalname.yourdomain.com形式の完全修飾ホスト名 Protected Web Resource(保護対象Webリソース) 例えば保護された内部アプリのURLがaccessgate.yourdomain.com:port/pathの場合、 - ポート:Oracle AccessGateがHTTPリクエストをリッスンするポート。
- パス:アプリケーションへのパス
「負荷分散を構成する」を参照してください。
Group(グループ) アプリにアクセスできる必要のあるユーザーが含まれるグループ。 Post Login URL(ログイン後URL)
ログイン後URL デフォルトでは、このフィールドは有効になっており、以下の値を含みます。 yourexternalname.yourdomain.com/OA_HTML/AppsLogin.
Description(説明) 任意。アプリについての説明。 - [Next(次へ)]をクリックします。
- アプリケーションペインにはOracle Access Gate固有の設定が一覧表示されます。
以下のフィールドを確認し、必要に応じて値を修正し、[Validate(検証)]をクリックします。フィールド 値 OIDデータソース 有効「データストアを管理する」を参照してください。 OID Datasource(OIDホスト) OIDホストの完全修飾ホスト名。 デフォルト値はebs-iam.internalhost.com
OID Port(OIDポート) OIDホストに接続するために使用するポート。デフォルトはポート3060。 Bind User(バインドユーザー) OIDアクセスに使用するユーザー デフォルト値はcn=oracleuser。
Bind User Password(バインドユーザーのパスワード) バインドユーザーのパスワード。 Base(ベース) ユーザー検索ベース。 デフォルトはcn=Users,dc=domain,dc=com
User Search Attribute(ユーザー検索属性)
OIDを検索する属性。 デフォルト属性:CN。
Matching Attribute(一致する属性)
一致に使用するOkta属性 使用するデフォルト属性:USER_NAME
一般的な例:
${ATTRIBUTE@idp]} - 単一IDP
${ATTRIBUTE@idp[0]} - 複数のIDP
ここでATTRIBUTEは、Access Gateway属性ではなくOktaテナント属性です。これはLDAP DataStoresのマッチングフィルターに類似するものです。
- [Next(次へ)]をクリックします。
-
[Attributes(属性)]ページには、アプリに渡される属性がヘッダーフィールドとして一覧表示されます。属性がOracle AccessGateアプリで必要なものと一致するかを確認します。属性を修正する場合、[Edit(編集)]をクリックします()。必要に応じて属性を追加または修正します。「アプリケーション属性」を参照してください。
データソース 値
名前 idp email
USER_NAME oid orclguid
USER_ORCLGUID - [Next(次へ)]をクリックします。
- [Done(完了)]をクリックします。
ポリシーに関する追加情報については、「アプリケーションポリシーの管理」を参照してください。
負荷分散を構成する
ロードバランサーとしてAccess Gatewayのみを使用します。「負荷分散」を参照してください。
- 保護対象Webリソースタブを展開します。
- [Load Balancing By Access Gateway(Access Gatewayによる負荷分散)]を有効にします。
ターゲットの負荷分散インスタンスを表すホスト名と重みのテーブルが表示されます。このテーブルは初期時点では空です。テーブル内のエントリを変更するには[edit(編集)]をクリックし、エントリを削除するには[delete(削除)]をクリックします。
- [URL scheme(URLスキーム)]として[HTTP]または[HTTPS]を選択します。追加されたそれぞれの保護対象Webリソースがスキームを継承します。
- 任意。[Host Header value(ホストヘッダーの値)]を有効にし、指定します。
- ホストを追加するには次のステップに従い、必要に応じて繰り返してください:
- [Add protected web resource(保護対象Webリソースを追加)]をクリックします。
- 完全修飾のホスト名:ポートの組み合わせを入力します(例:https://backendserver1.atko.com:7001)。
- 1から100までの重みを入力します。ホストを無効に指定するには0を入力します。
重み付けは、ホストにルーティングされるリクエストの割合(%)を表します。
たとえば、2つのホストの重み付けが2:1の場合、リクエストの約66%が重みが2のホストにルーティングされ、約33%が重みが1のホストにルーティングされます。
- [Okay(OK)]をクリックします。
-
任意。GET操作を使用してバックエンドリソースが機能していることを確認するヘルスチェックを構成します。
新しい要求は、ヘルスチェックによって異常と判定されたリソースにはルーティングされません。
- [Load Balancer Health Check(ロードバランサーのヘルスチェック)]を有効にします。
- ヘルスチェックの設定を修正するには、[Edit(編集)]をクリックします。
- 必要に応じて設定を修正します。
フィールド 値 デフォルト
Path(パス) ヘルスチェックで使用されるリソースへのURIパス。 / Method(方式) HTTPが使用されます。 常にGET Status Code(ステータスコード) ヘルス状態の決定に使用されるHTTPステータスコード。 200 Interval(間隔) ヘルスチェックの実行間隔(単位は秒)。 10 Request Timeout(リクエストタイムアウト) ヘルスチェックリクエストのタイムアウト時間(単位は秒)。 1 Healthy threshold(健全しきい値) ホストが健全とみなされるには、この数のリクエストが成功する必要があります。 3 Unhealthy threshold(異常しきい値) この数のリクエストが失敗すると、ホストは異常とみなされます。 3 - 変更を保存するには[Save(保存)]をクリックし、保存せずに終了するには[Cancel(キャンセル)]をクリックします。
証明書を構成する
- 証明書タブを展開します。
デフォルトでは、アプリを作成すると、システムによって自己署名付きワイルドカード証明書が生成され、アプリに割り当てられます。
- 任意。[Generate self-signed certificate(自己署名付き証明書を生成)]をクリックします。自己署名付き証明書が作成され、自動的にアプリに割り当てられます。
- 任意。リストから既存の証明書を選択します。[Search(検索)]フィールドを使って共通名で証明書を絞り込みます。リストの操作には進む(>)と戻る(<)の矢印を使用します。
-
[Next(次へ)]をクリックします。属性ペインが表示されます。「アプリケーション属性」をご覧ください。
必要な属性が事前入力され、参照用に表示されます。
-
ログイン属性を確認します:
データソース フィールド タイプ 名前 IDP ログイン
Oktaテナント内の属性で、PeopleSoftユーザー名を保存する。これは、別の属性にすることも、Oktaユーザー名マッピングを使用してPeopleSoftユーザー名をダイナミックに作成することもできます。
Header(ヘッダー) PUBUSER - [Done(完了)] をクリックします。
Access Gateway管理者UIコンソールアプリを含むすべてのアプリ。自己署名付き証明書または署名済み証明書が必要です。
SSLを終了する場所には必ず署名済み証明書を含めます。SSLは、Access Gateway、またはロードバランサーなどのその他のネットワークコンポーネントで終了できます。
Access Gateway管理者UIコンソールアプリでSSLをロードバランサーで終了するときは、ロードバランサーが信頼する証明書を使用する必要もあります。
Access Gateway管理者UIコンソールアプリでSSLを終了するときは、署名済み証明書を使用する必要があります。この証明書は、Access Gatewayノードに存在し、Access Gateway管理者UIコンソールアプリと関連付けられている必要があります。