HP IceWall SSO

HP IceWall技術レポート:ここが知りたい!8.0 の新機能特集 2
コンテンツに進む
オリジナルURL 対応機能特集2:ERPパッケージへの適用
自動フォーム認証機能を利用した Oracle EBS の認証との統合
リバースプロキシ構成の適用
近年 ERP パッケージにおいても、社内の限られたユーザだけでなく関連企業や取引先といった社外のユーザから利用されるケースが増加しています。このような場合には社外からのインターネット経由のアクセスに対応したセキュアなシステム構成が必要です。またセキュリティを保つためにユーザ ID やパスワードをより厳格に管理しなければなりません。そのためシステムが増加しても ID 管理に対するユーザの負担が多くならないような仕組みが必要です。

そこで今回は Oracle 社の ERP パッケージである Oracle E-Business Suite( 以下 Oracle EBS) と、セキュアなネットワーク環境と統合認証環境を実現する HP IceWall SSO の接続検証を行いましたので、その概要をご紹介いたします。検証を行った環境は以下の通りです。

サーバ : hp9000 rp3440
サーバ OS: hp-ux 11i(11.11)
Oracle EBS 11i.10
HP IceWall SSO 8.0
Oracle EBS と HP IceWall SSO を接続するには、以下の2つの段階の考慮が必要です。
  1. 認証統合(シングルサインオン)の実現
    今回は HP IceWall SSO の自動フォーム認証機能を利用して、 Oracle EBS との認証統合をおこないます。
  2. リバースプロキシ構成の適用
    今回は IceWall SSO 8.0 の新機能である 、「オリジナル URL 対応(Virtual Host対応)」(前回技術レポート対応参照)を利用して、クライアント PC と Oracle EBS の間にリバースプロキシを適用します。

HP IceWall SSO の自動 フォーム認証機能を利用した Oracle EBS との認証統合

Oracle EBS 単体の認証は Web ブラウザ上でユーザ名、パスワードを入力して行われ、Oracle EBS のデータベースからユーザ情報を取得して認可されます。
HP IceWall SSO を接続して認証統合を実現するには、HP IceWall SSO の自動フォーム認証機能を利用します。認証統合を実現したログイン時の動作を図 1 に示します。


< 図1>

ログイン時の動作

  1. クライアント PC から HP IceWall SSO に対して Oracle EBS のログイン画面要求を送信します。
  2. HP IceWall SSO は受け取ったログイン画面要求を Oracle EBS のサーバに送信します。
  3. Oracle EBS はログイン画面の応答を HP IceWall SSO に返信します。
  4. HP IceWall SSO はクライアント PC に応答を返さずに、自身で管理している Oracle EBS のユーザ名 / パスワードをセットして Oracle EBS のサーバにログイン要求を送信します。(事前に IceWall ユーザと Oracle EBS ユーザとのマッピング、及び Oracle EBS パスワードの設定が必要です)
  5. Oracle EBS は受け取ったユーザ名 / パスワードで認可を実施し、成功した場合には HP IceWall SSO にログイン後のメニュー画面を返信します。
  6. HP IceWall SSO は Oracle EBS のログイン後のメニュー画面を受け取り、クライアント PC に送信します。
以上によりユーザは Oracle EBS のユーザ名 / パスワードを意識することなく Oracle EBS にログインできます。
Oracle EBS のユーザインタフェースは Web ブラウザの他に Oracle Forms と呼ばれる Java Applet アプリケーションがあります。 Oracle Forms のインタフェースにも Web ブラウザでログインした認証情報が引き継がれます。

リバースプロキシ構成の適用

一般的に Oracle EBS をリバースプロキシ構成で利用する場合、使用するリバースプロキシ製品の機能によっては Oracle EBS 側での設定が必要な場合があります。

ここでは代表的な例として HP IceWall SSO 8.0 の新機能である「オリジナル URL 対応(Virtual Host対応)」を利用した、できるだけ Oracle EBS 側への影響が少ない方法をご紹介します。
図2にログイン後のリバースプロキシを介した通信の動作を説明します。


<図2>

ログイン後のリバースプロキシを介した通信の動作

  1. クライアント PC は HP IceWall SSO サーバへ要求を送信します。要求 URL 中のホスト名以降のディレクトリおよびファイル名などはオリジナルの Oracle EBS のものと同じです。
  2. HP IceWall SSO サーバが要求を受信し、 Apache の mod_rewrite モジュールが HP IceWall SSO のフォワーダ用エイリアス(fw/dfw/EBS/)を追加してフォワーダへ転送します。
  3. フォワーダは受け取った要求 URL のエイリアスを判断して、通信の認可等の処理を実行します。そして URL 中のホスト名を Oracle EBS のホスト名に変更し、フォワーダ用エイリアスを削除し、オリジナル URL を生成します。生成されたオリジナルURL で Oracle EBS サーバに要求を送信します。
  4. 応答の HTML コンテンツ中にあるリンクのホスト名は、Oracle EBS の Web Entry Point(クライアントが直接アクセスするホスト名 )の設定により、HP IceWall SSO サーバのホスト名になっています。
  5. HP IceWall SSO は URL 変換機能を使用せず、そのままの HTML コンテンツをクライアント PC に返送します。
  6. ユーザが HTML コンテンツ内に含まれるリンク等をクリックすると、再び要求が HP IceWall SSO サーバへ送信されます。
HP IceWall SSO のオリジナル URL 対応機能を使用した事により、クライアント PC から送信されるリクエスト URL 中にフォワーダ用のエイリアス文字列が不要になります。従って Oracle EBS が生成する HTML コンテンツ中の URL も変更する必要が無く、Oracle EBS への影響を最小限にすることができます。
なお Java Applet ベースの Oracle Forms インタフェースにおいても、動作を確認しております。

以上により、Oracle EBS のような大規模 ERP パッケージアプリケーションシステムにおいても、HP IceWall SSO の適用によってセキュアなリバースプロキシ型のシングル・サインオン環境の実現が可能であると確認できました。

2006.02.23.
日本オラクル株式会社 アプリケーションテクノロジー部 シニアソリューションコンサルタント 松尾 浩 氏
●関連技術レポート
≫ ここが知りたい!8.0 の新機能特集(1) - オリジナルURL対応機能特集1: 基本編
≫ ここが知りたい!8.0の新機能特集(2) - オリジナルURL対応機能特集2: ERPパッケージへの適用(本トピックス)
≫ ここが知りたい!8.0 の新機能特集(3) - オリジナルURL対応機能特集3: SAP EPとの連携
≫ ここが知りたい!8.0 の新機能特集(4) - オリジナルURL対応機能特集4: SAP EPとの連携(更新版)