次の方法で共有

WebLogic Server 上の Java アプリを Azure に移行するときにエンドユーザーの承認と認証を有効にする

  • [アーティクル]

このガイドは、Microsoft Entra ID を使用して、WebLogic Server 上の Java アプリに対してエンタープライズ グレードのエンドユーザー認証と承認を有効にするのに役立ちます。

Java EE 開発者は、ワークロードを Azure に移行する場合でも、標準のプラットフォーム セキュリティ メカニズム が期待どおりに動作することを期待しています。 Oracle WebLogic Server (WLS) Azure アプリケーション を使用すると、Microsoft Entra Domain Services のユーザーに組み込みのセキュリティ領域を設定できます。 Azure アプリケーションで Java EE で標準 <security-role> 要素を使用すると、ユーザー情報は Microsoft Entra Domain Services から Lightweight Directory Access Protocol (LDAP) を経由して流れます。

このガイドは、2 つの部分に分かれています。 Secure LDAP が公開されている Microsoft Entra Domain Services が既にある場合は、「WLS の構成」セクションに進むことができます。

このガイドでは、次の方法について説明します。

  • Microsoft Entra Domain Services マネージド ドメインを作成して構成します。
  • Microsoft Entra Domain Services マネージド ドメインのセキュリティで保護されたライトウェイト ディレクトリ アクセス プロトコル (LDAP) を構成します。
  • WebLogic Server が既定のセキュリティ領域として LDAP にアクセスできるようにします。

このガイドは、既存の Microsoft Entra ID Domain Services の展開を再構成するのに役立ちません。 ただし、このガイドに従って、スキップできる手順を確認できる必要があります。

前提条件

移行コンテキストを検討する

次の一覧では、オンプレミスの WLS インストールと Microsoft Entra ID の移行について考慮すべき事項をいくつか示します。

  • ドメイン サービスが LDAP 経由で公開されていない Microsoft Entra ID テナントが既にある場合、このガイドでは、LDAP 機能を公開して WLS と統合する方法を示します。
  • シナリオにオンプレミスの Active Directory フォレストが含まれる場合は、Microsoft Entra ID を使用したハイブリッド ID ソリューションの実装を検討してください。 詳細については、ハイブリッド ID のドキュメントを参照してください。
  • オンプレミスの Active Directory Domain Services (AD DS) のデプロイが既にある場合は、「セルフマネージド Active Directory ドメイン サービス、Microsoft Entra ID、およびマネージド Microsoft Entra Domain Services の比較」の移行パスを確認してください。
  • クラウド用に最適化している場合、このガイドでは、Microsoft Entra ID Domain Services LDAP と WLS を使用して最初から開始する方法について説明します。
  • WebLogic Server の Azure Virtual Machines への移行の包括的な調査については、「WebLogic Server のアプリケーションを Azure Virtual Machines に移行する」を参照してください。
  • Active Directory と Microsoft Entra ID の詳細については、「Active Directory と Microsoft Entra ID の比較」を参照してください

Microsoft Entra Domain Services マネージド ドメインを構成する

このセクションでは、WLS と統合された Microsoft Entra Domain Services マネージド ドメインを立ち上げるすべての手順について説明します。 Microsoft Entra ID では、ライトウェイト ディレクトリ アクセス プロトコル (LDAP) や Secure LDAP は直接サポートされません。 代わりに、Microsoft Entra ID テナント内の Microsoft Entra Domain Services マネージド ドメイン インスタンスを通じてサポートが有効になります。

Note

このガイドでは、Microsoft Entra Domain Services の "クラウド専用" ユーザー アカウント機能を使用します。 その他のユーザー アカウントの種類はサポートされていますが、このガイドでは説明されていません。

Microsoft Entra Domain Services マネージド ドメインを作成して構成する

この記事では、Microsoft Entra Domain Services マネージド ドメインの立ち上げに別のチュートリアルを使用します。

「Domain Services のユーザー アカウントを有効にする」セクションを含まない、Microsoft Entra Domain Services マネージド ドメインの作成と構成に関するチュートリアルを完了します。 そのセクションには、次のセクションで説明するように、このチュートリアルとの関連で特別な処理が必要です。 DNS アクションを完全かつ正確に完了するようにしてください。

「マネージド ドメインの DNS ドメイン名を入力する」の手順を完了するときに指定する値をメモしておきます。この記事の後半で使用します。

ユーザーを作成してパスワードをリセットする

次の手順では、ユーザーを作成し、パスワードを変更する方法を示します。これは、ユーザーが LDAP 経由で正常に伝達されるために必要です。 既存の Microsoft Entra Domain Services マネージド ドメインがある場合、これらの手順は必要ない場合があります。

  1. Azure portal 内で、Microsoft Entra ID テナントに対応するサブスクリプションが現在アクティブなディレクトリであることを確認します。 適切なディレクトリを選択する方法については、「Microsoft Entra テナントへの Azure サブスクリプションの関連付けまたは追加」を参照してください。 正しくないディレクトリが選択されている場合は、ユーザーを作成できないか、間違ったディレクトリにユーザーを作成します。
  2. Azure portal の上部にある検索ボックスに、「ユーザー」と入力 します
  3. [ 新規ユーザー] を選択します。
  4. [ユーザー作成] が選択されていることを確認します。
  5. [ユーザー名]、[名前]、[名]、[姓] の値を入力します。 残りのフィールドは既定値のままにします。
  6. [作成] を選択します
  7. テーブル内の新しく作成したユーザーを選択します。
  8. パスワードのリセットを選択します。
  9. 表示されるパネルで、[パスワードのリセット] を選択します。
  10. 一時パスワードを書き留めます。
  11. "シークレット" またはプライベート ブラウザー ウィンドウで、Azure portal にアクセスし、ユーザーの資格情報とパスワードでサインインします。
  12. パスワードの変更を求められたら、変更します。 新しいパスワードを書き留めます。 後で使用します。
  13. サインアウトし、[シークレット] ウィンドウを閉じます。

有効にする各ユーザーについて、[新しいユーザーの選択] から [サインアウトして閉じる] までの手順を繰り返します。

Microsoft Entra Domain Services マネージド ドメインのセキュリティで保護された LDAP を構成する

このセクションでは、WLS の構成に使用する値を抽出するために、別のチュートリアルについて説明します。

まず、「Microsoft Entra Domain Services マネージド ドメインのセキュリティで保護された LDAP を構成する」チュートリアルを別のブラウザー ウィンドウで開き、チュートリアルを実行するときに以下のバリエーションを確認できます。

「クライアント コンピューターの証明書をエクスポートする」セクションに到達したら、.cerで終わる証明書ファイルを保存する場所を書き留めておきます。 証明書は、WLS 構成への入力として使用します。

「インターネット経由のセキュリティで保護された LDAP アクセスをロックダウンする」セクションに到達したら、ソースとして「Any」を指定します。 このガイドの後半で、セキュリティ規則を特定の IP アドレスで強化します。

マネージド ドメインに対するテスト クエリの手順を実行する前に、次の手順を使用してテストを成功させます。

  1. Azure portal で、Microsoft Entra Domain Services インスタンスの概要ページにアクセスします。

  2. [設定] 領域で、[プロパティ] を選択します

  3. ページの右側のウィンドウで、管理者グループが表示されるまで下にスクロールします。 この見出しの下に AAD DC Administrators のリンクがあるはずです。 そのリンクを選択します。

  4. [管理] セクションで、[メンバー] を選択します。

  5. [メンバーの追加] を選択します。

  6. [検索] テキスト フィールドに、前の手順で作成したいずれかのユーザーを検索するための文字を入力します。

  7. そのユーザーを選択し、[選択] ボタンをアクティブにします。

    このユーザーは、「マネージド ドメインに対するクエリをテストする」セクションの手順を実行するときに使用する必要があります。

Note

次の一覧では、LDAP データのクエリに関するいくつかのヒントを示します。このヒントは、WLS 構成に必要な値を収集するために必要です。

  • このチュートリアルでは、Windows プログラム LDP.exeを使用することをお勧めします。 このプログラムは Windows でのみ使用できます。 Windows 以外のユーザーの場合は、同じ目的で Apache Directory Studio を使用することもできます。
  • LDP.exe を使用して LDAP にログインする場合、ユーザー名は @ の前の部分だけです。 たとえば、ユーザーが alice@contoso.onmicrosoft.com である場合、LDP.exe バインド アクションのユーザー名は alice となります。 また、後続の手順で使用するために、LDP.exe は実行およびログインしたままにしておいてください。

外部アクセスのための DNS ゾーンを構成する」セクションで、[Secure LDAP 外部 IP アドレス] の値を書き留めます。 後で使用します。

Secure LDAP 外部 IP アドレス値がすぐにわからない場合は、次の手順を使用して IP アドレスを取得します。

  1. Azure portal で、Microsoft Entra Domain Services リソースを含むリソース グループを見つけます。

  2. 次のスクリーンショットに示すように、リソースの一覧で、Microsoft Entra Domain Services リソースのパブリック IP アドレス リソースを選択します。 パブリック IP アドレスは、次で aadds始まる可能性があります。

    [パブリック IP アドレス] が強調表示されている [リソース グループ] ページを示す Azure portal のスクリーンショット。

このガイドで 指示されるまで、リソース のクリーンアップの手順を実行しないでください。

これらのバリエーションを念頭に置いて、Microsoft Entra Domain Services マネージド ドメインのセキュリティで保護された LDAP の構成を完了 します。 これで、WLS 構成に指定する必要がある値を収集できるようになりました。

Note

Secure LDAP 構成が処理を完了するまで待ってから、次のセクションに進みます。

脆弱な TLS v1 を無効にする

既定では、Microsoft Entra Domain Services では TLS v1 を使用できます。TLS v1 は弱いと見なされ、WebLogic Server 14 以降ではサポートされていません。

このセクションでは、TLS v1 暗号を無効にする方法について説明します。

まず、LDAP を有効にする Microsoft Entra Domain Service マネージド ドメインのリソース ID を取得します。 次のコマンドは、リソース グループaadds-rgに名前が付けられた aaddscontoso.com Azure Domain Service インスタンスの ID を取得します。

AADDS_ID=$(az resource show \
    --resource-group aadds-rg \
    --resource-type "Microsoft.AAD/DomainServices" \
    --name aaddscontoso.com \
    --query "id" \
    --output tsv)

TLS v1 を無効にするには、次のコマンドを使用します。

az resource update \
    --ids $AADDS_ID \
    --set properties.domainSecuritySettings.tlsV1=Disabled

次の"tlsV1": "Disabled"domainSecuritySettings例に示すように、出力は次のように表示されます。

"domainSecuritySettings": {
      "ntlmV1": "Enabled",
      "syncKerberosPasswords": "Enabled",
      "syncNtlmPasswords": "Enabled",
      "syncOnPremPasswords": "Enabled",
      "tlsV1": "Disabled"
}

詳細については、「Microsoft Entra Domain Services マネージド ドメインのセキュリティ強化」を参照してください

Note

リソースまたはリソース グループにロックを追加すると、マネージド ドメインを更新しようとしたときに次のようなエラー メッセージが表示されます。 Message: The scope '/subscriptions/xxxxx/resourceGroups/aadds-rg/providers/Microsoft.AAD/domainServices/aaddscontoso.com' cannot perform write operation because the following scope(s) are locked: '/subscriptions/xxxxx/resourceGroups/aadds-rg'. Please remove the lock and try again.

Microsoft Entra Domain Service マネージド ドメインの次の情報を書き留めておきます。 この情報は、後のセクションで使用します。

プロパティ 説明
サーバー ホスト この値は、Microsoft Entra ID Domain Services マネージド ドメインの作成と構成の完了時に保存したパブリック DNS 名です。
Secure LDAP 外部 IP アドレス この値は、「外部アクセス用に DNS ゾーンを構成する」セクションで保存した Secure LDAP 外部 IP アドレスの値です。
プリンシパル この値を取得するには、LDP.exe戻り、次の手順に従って、クラウドでのみ使用するプリンシパルの値を取得します。
  1. [表示] メニューの [ツリー] を選択します。
  2. [ツリー ビュー] ダイアログで、[ベース DN] を空白のままにして、[OK] を選択します。
  3. 右側のペインを右クリックし、[出力のクリア] を選択します。
  4. ツリー ビューを展開し、次で始まる OU=AADDC Usersエントリを選択します。
  5. [参照] メニューで、[検索] を選択します。
  6. 表示されるダイアログで、既定値をそのまま使用し、[実行] を選択します。
  7. 右側のウィンドウに出力が表示されたら、[実行] の横にある [閉じる] を選択します。
  8. グループに追加した Dn ユーザーに対応するエントリの出力を AAD DC Administrators スキャンします。 これは Dn: CN=&lt;user name&gt;OU=AADDC Users で始まります。
ユーザー ベース DN とグループ ベース DN このチュートリアルでは、両方のプロパティの値は同じです OU=AADDC Users
プリンシパルのパスワード この値は、グループに追加されたユーザーの AAD DC Administrators パスワードです。
Microsoft Entra Domain Service LDAPS 接続の公開キー この値は、「クライアント コンピューターの証明書をエクスポートする」セクションを完了したときに保存するように求められた.cer ファイルです

WLS の構成

このセクションでは、前にデプロイした Microsoft Entra Domain Service マネージド ドメインからパラメーター値を収集するのに役立ちます。

「Azure Virtual MachinesOracle WebLogic Server を実行するためのソリューションとは」に記載されているAzure アプリをデプロイする場合は、手順に従って Microsoft Entra Domain Service マネージド ドメインを WLS と統合できます。

Azure アプリケーションのデプロイが完了したら、次の手順に従って、WebLogic 管理コンソールにアクセスするための URL を見つけます。

  1. Azure portal を開き、プロビジョニングしたリソース グループに移動します。
  2. ナビゲーション ウィンドウの [設定] セクションで、[デプロイ] を選択します。 このリソース グループへのデプロイの順序指定済みリストが表示され、最新のデプロイが最初に表示されます。
  3. このリストの一番古いエントリまでスクロールします。 このエントリは、前のセクションで開始したデプロイに対応します。 最も古いデプロイを選択します。名前は oracle. のようなもので始まります。
  4. [出力] を選択します。 このオプションは、デプロイからの出力の一覧を表示します。
  5. adminConsole 値は、WLS 管理コンソールへの完全修飾、パブリック、インターネットに表示されるリンクです。 フィールド値の横にあるコピー アイコンを選択して、リンクをクリップボードにコピーし、ファイルに保存します。

Note

このチュートリアルでは、TLS v1.2 を使用して Microsoft Entra Domain Service マネージド ドメイン LDAP サーバーに接続する方法について説明します。 互換性を確保するには、JDK 8 でのデプロイに対して TLS v1.2 を有効にする必要があります。

JDK のバージョンを確認するには、次の手順に従います。

  1. adminConsole の値をブラウザーのアドレス バーに貼り付け、WLS 管理コンソールにサインインします。

  2. [ドメイン構造] で、[環境>サーバー>管理者>の監視>全般] を選択し、Java のバージョンを見つけます。

    [Java バージョン] フィールドが強調表示されている [WLS 管理コンソールの監視 > 全般] タブのスクリーンショット。

Java バージョンが 8 の場合は、次の手順を使用して TLS v1.2 を有効にします。

  1. [ドメイン構造] で、[環境>サーバー>管理者>構成>サーバーの開始] を選択します。

  2. [引数] セクションで 、値 -Djdk.tls.client.protocols=TLSv1.2を指定します。

  3. [保存] を選択して変更を保存します。

  4. [変更センター] で [変更のアクティブ化] を選択して、このオプションを有効にします。

    WLS 管理コンソールの [構成 > サーバーの開始] タブのスクリーンショット。

Microsoft Entra Domain Service マネージド ドメインと WLS の統合

WebLogic 管理サーバーが実行され、Microsoft Entra Domain Service マネージド ドメインが LDAP でデプロイされ、セキュリティで保護された状態で、構成を起動できるようになりました。

パブリック CA のアップロードとインポート

WLS は、Secure LDAP (LDAPS) を使用してマネージド ドメインと通信します。これは、Secure Sockets Layer (SSL) またはトランスポート層セキュリティ (TLS) 経由の LDAP です。 この接続を確立するには、パブリック証明機関 (CA) 証明書 ( .cer ファイル) を WLS 信頼キーストアにアップロードしてインポートする必要があります。

次の手順を使用して、管理者サーバーを実行する仮想マシンに証明書をアップロードしてインポートします。

  1. 「クイック スタート: Azure Virtual Machines に WebLogic Server をデプロイする」の「仮想マシンへの接続」セクションの手順に従って、アクセスadminVMを有効にします。

  2. Bash ターミナルを開き、次のコマンドを使用して証明書をアップロードします。 値を ADMIN_PUBLIC_IP 実際の値に置き換えます。実際の値は、Azure portal で確認できます。 コンピューターの接続に使用したパスワードを入力する必要があります。

    export CER_FILE_NAME=azure-ad-ds-client.cer
export ADMIN_PUBLIC_IP="<admin-public-ip>"
export ADMIN_VM_USER="weblogic"

cd <path-to-cert>
scp ${CER_FILE_NAME} "$ADMIN_VM_USER@$ADMIN_PUBLIC_IP":/home/${ADMIN_VM_USER}/${CER_FILE_NAME}

  3. 証明書がアップロードされたら、次のコマンドを使用して、証明書を WLS ドメイン フォルダー /u01/domains に移動し、その所有権 oracle:oracle を変更する必要があります。

    export RESOURCE_GROUP_NAME=contoso-rg
export ADMIN_VM_NAME=adminVM
export CA_PATH=/u01/domains/${CER_FILE_NAME}

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "mv /home/${ADMIN_VM_USER}/${CER_FILE_NAME} /u01/domains; chown oracle:oracle ${CA_PATH}"

  4. 証明書をキーストアにインポートします。 Azure アプリケーションは、既定の信頼ストア <jvm-path-to-security>/cacertsを使用して WLS をプロビジョニングします。 特定のパスは、JDK のバージョンによって異なる場合があります。 次の手順を使用して、Microsoft Entra Domain Service マネージド ドメイン パブリック CA をインポートできます。

    1. ドメイン環境変数の設定に使用したスクリプトに対してクエリを実行します。

      export DOMIAN_FILE_PATH=$(az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "find /u01/domains -name setDomainEnv.sh" \
    --query value[*].message \
    --output tsv \
    | sed -n '/\[stdout\]/!b; n; p')

echo $DOMIAN_FILE_PATH

    2. 次のコマンドを使用して CA をインポートします。 前のセクションで確認した Java バージョンに注意してください。

      az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts ". ${DOMIAN_FILE_PATH};export JVM_CER_PATH=\${JAVA_HOME}/lib/security/cacerts;\${JAVA_HOME}/bin/keytool -noprompt -import -alias aadtrust -file ${CA_PATH} -keystore \${JVM_CER_PATH} -storepass changeit"

    次の例のような出力が表示されます。

    {
"value": [
  {
    "code": "ProvisioningState/succeeded",
    "displayStatus": "Provisioning succeeded",
    "level": "Info",
    "message": "Enable succeeded: \n[stdout]\n\n[stderr]\nCertificate was added to keystore\n",
    "time": null
  }
 ]
}

Note

信頼ストアをカスタマイズする場合は、Entra Domain Service マネージド ドメインパブリック CA を信頼キーストアにインポートする必要があります。 WLS マネージド サーバーに証明書をインポートする必要はありません。 詳細については、LDAP を使用するように WebLogic を構成するを参照してください

WLS ホスト名の検証を構成する

Microsoft Entra Domain Services マネージド ドメインのセキュリティで保護された LDAP の構成では、証明書内のホスト名にワイルドカード*.aaddscontoso.comが使用されるため、適切なホスト名検証を使用して WLS 管理サーバーを構成する必要があります。 検証を無効にするには、次の手順を使用します。 WLS 14 以降では、代わりにワイルドカード ホスト名の検証を選択できます。

  1. adminConsole値をブラウザーに貼り付け、WLS 管理コンソールにログインします。
  2. 変更センター、[ロック] および [編集] を選択します
  3. [環境>サーバー管理者>SSL>詳細設定]>を選択します。
  4. [ホスト名の確認] の横にある [なし] を選択します
  5. [変更の保存とアクティブ化] を選択して構成を保存します。

セキュリティで保護された LDAP アクセスのトラフィックを解決する

インターネット経由でセキュリティで保護された LDAP アクセスを有効にすると、クライアント コンピューターがこのマネージド ドメインを見つけられるように DNS ゾーンを更新できます。 Secure LDAP 外部 IP アドレスの値は、マネージド ドメインの [プロパティ] タブに一覧表示されます。 詳細については、「外部アクセス用に DNS ゾーンを構成する」を参照してください

DNS ゾーンが登録されていない場合は、hosts ファイルに adminVM エントリを追加して、外部 IP アドレスへのトラフィック ldaps.<managed-domain-dns-name> (ここ ldaps.aaddscontoso.com) を解決できます。 次のコマンドを実行する前に、自分の値を変更します。

export LDAPS_DNS=ldaps.aaddscontoso.com
export LDAPS_EXTERNAL_IP=<entra-domain-services-manged-domain-external-ip>

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "echo \"${LDAPS_EXTERNAL_IP} ${LDAPS_DNS}\" >> /etc/hosts"

次のコマンドを実行して、管理サーバーを再起動して構成を読み込みます。

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

LDAP 認証プロバイダーを作成して構成する

インポートされた証明書とセキュリティで保護された LDAP アクセス トラフィックが解決されたら、次の手順を使用して、WLS コンソールから LDAP プロバイダーを構成できます。

  1. adminConsole の値をブラウザーのアドレス バーに貼り付け、WLS 管理コンソールでサインインします。

  2. [変更センター] で、[ロック] と [編集] を選択します

  3. [ドメイン構造] で 、[Security Realms>myrealm>Providers>New] を選択し、次の値を使用して新しい認証プロバイダーを作成します。

    • [ 名前] に入力します AzureEntraIDLDAPProvider
    • [ 種類] で [ ActiveDirectoryAuthenticator.

  4. [OK] を選択して変更を保存します。

  5. プロバイダーの一覧で AzureEntraIDLDAPProvider を選択します。

  6. [構成>共通>制御フラグ] で、[SUFFICIENT] を選択します。

  7. [保存] を選択して変更を保存します。

  8. 構成>プロバイダー固有の場合は、前に取得した Microsoft Entra Domain Services マネージド ドメイン接続情報を入力します。 値を取得する手順については、Microsoft Entra Domain Services マネージド ドメインの Secure LDAP の構成に関するページの表 を参照してください

  9. 他のフィールドを既定値のままにして、次の必須フィールドに入力します。

    Item Value 値の例
    Host マネージド ドメイン LDAP サーバー DNS、 ldaps.<managed-domain-dns-name> ldaps.aaddscontoso.com
    ポート 636 636
    プリンシパル クラウドのみのユーザーのプリンシパル CN=WLSTest,OU=AADDC Users,DC=aaddscontoso,DC=com
    資格情報 クラウドのみのユーザーの資格情報 -
    SSLEnabled 選択済み -
    ユーザー ベース DN ユーザーベースの識別名 (DN) OU=AADDC Users,DC=aaddscontoso,DC=com
    名前フィルターからのユーザー (&(sAMAccountName=%u)(objectclass=user)) (&(sAMAccountName=%u)(objectclass=user))
    ユーザー名属性 sAMAccountName sAMAccountName
    User オブジェクト クラス user user
    グループ ベース DN グループベース DN。 OU=AADDC Users,DC=aaddscontoso,DC=com
    グループ メンバーシップの検索 limit limit
    グループ メンバーシップの最大検索レベル 1 1
    グループ メンバーシップ参照にトークン グループを使用する 選択済み -
    接続プールのサイズ 5 5
    Connect Timeout 120 120
    接続の再試行の制限 5 5
    結果の時間制限 300 300
    キープ アライブを有効にする 選択済み -
    キャッシュ有効 選択済み -
    キャッシュ サイズ 4000 4000
    キャッシュ TTL 300 300

  10. [保存] を選択してプロバイダーを保存します。

  11. [構成] の横にある [パフォーマンス] を選択します

  12. [グループ メンバーシップ参照階層のキャッシュを有効にする] を選択 します

  13. [SID を有効にして参照キャッシュをグループ化する] を選択 します

  14. [保存] を選んで構成を保存します。

  15. [変更のアクティブ化] を選択して変更を呼び出します。

Note

LDAP サーバーのホスト名に注意してください。 ldaps.<managed-domain-dns-name> 形式にする必要があります。 この例では、値は ldaps.aaddscontoso.com です。

などの [Security:090834]No LDAP connection could be established. ldap://dscontoso.com:636 Cannot contact LDAP serverエラーが発生した場合は、再起動 adminVM して問題を解決してみてください。

変更を有効にするには、WLS 管理サーバーを再起動する必要があります。 次のコマンドを実行して、管理サーバーを再起動します。

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl stop wls_admin"

az vm run-command invoke \
    --resource-group $RESOURCE_GROUP_NAME \
    --name ${ADMIN_VM_NAME} \
    --command-id RunShellScript \
    --scripts "systemctl start wls_admin"

Note

Microsoft Entra ID のユーザーを使用してクラスター内のアプリケーションを認証する場合は、マネージド サーバーを再起動してプロバイダーをアクティブ化する必要があります。 これを行うには、サーバーをホストしている仮想マシンを再起動します。

検証

管理サーバーを再起動した後、次の手順を使用して、統合が成功したことを確認します。

  1. WLS の管理コンソールにアクセスします。
  2. ナビゲーション ウィンドウで、ツリーを展開し、[Security Realms>myrealm Providers]\(セキュリティ領域の myrealm>プロバイダー\) を選択します。
  3. 統合が成功した場合は、Microsoft Entra ID プロバイダー (例: AzureEntraIDLDAPProvider.
  4. ナビゲーション ウィンドウで、ツリーを展開し、[Security Realms>myrealm Users and Groups]\(セキュリティ領域の myrealm>ユーザーとグループ\) を選択します。
  5. 統合が成功した場合は、Microsoft Entra ID プロバイダーからユーザーを見つけることができます。

Note

ユーザーとグループに初めてアクセスするときにユーザーを読み込むには数分かかります。 WLS はユーザーをキャッシュし、次のアクセスの方が高速です。

インターネット経由での LDAP アクセスのロック ダウンとセキュリティ保護

前の手順で Secure LDAP を立ち上げながら、ネットワーク セキュリティ グループのルールに対してソースを AllowLDAPS Any設定します。 WLS 管理サーバーがデプロイされ、LDAP に接続されたので、Azure portal を使用してパブリック IP アドレスを取得します。 「インターネット経由での Secure LDAP アクセスをロック ダウンする」に再度アクセスして、[すべて] を、WLS 管理サーバーの特定の IP アドレスに変更します。

リソースをクリーンアップする

次は、「Microsoft Entra Domain Services マネージド ドメインのセキュリティで保護された LDAP を構成する」の「リソースのクリーンアップ」セクションの手順に従います。

次のステップ

WebLogic Server アプリの Azure への移行に関する他の側面を調べます。

WebLogic Server のアプリケーションを Azure Virtual Machines に移行する