| Oracle Application Serverエンタープライズ・デプロイメント・ガイド 10gリリース3(10.1.3.2.0) E05046-01 |
|
 戻る |
 次へ |
Oracle COREid Access and Identityコンポーネントの概要
myWebCenterのOracle COREid Access and Identityによる認証および認可プロセス
Oracle COREid Access and Identityコンポーネントのインストールの準備
IDMHOST1への最初のIdentity Serverのインストール
IDMHOST2への2番目のIdentity Serverのインストール
ロード・バランシング・ルーターを使用したAccess Serverの構成
OC4Jアプリケーションに対するOracle COREid Access and Identityシングル・サインオンの構成
フェイルオーバー・サーバーとしての2番目のIdentity Serverの構成
フェイルオーバー・サーバーとしての2番目のAccess Serverの構成
LinuxでのIdentity Server製品インストール時に発生する問題への対応策
Oracleデータおよびポリシー・データのディレクトリに対するAccess Serverのフェイルオーバーの構成
Identity ServerおよびAccess Serverに対するフェイルオーバーLDAPディレクトリ・サーバーのプロファイルの作成
Oracle COREid Access and Identityの認証サービスおよび認可サービスは、この項で説明するコンポーネントによって実現されます。これらのコンポーネントは、図1-2「Oracle COREid Access and Identityを実装するmyWebCenter.comのエンタープライズ・デプロイメント・アーキテクチャ」に示されています。
WebGateおよびWebPass(Web層でOracle HTTP Serverとともに使用)
WebGateはWebサーバー・プラグイン・アクセス・クライアントで、HTTPリクエストを捕捉して、認証および認可のためにAccess Serverに転送します。
WebPassはWebサーバー・プラグインで、WebサーバーとOracle COREid Access and Identityサーバーの間で情報を渡します。Oracle COREid Access and Identityサーバーと通信するWebサーバー・インスタンスはすべて、Web Passとともに構成されている必要があります。また、Access Managerをホスティングする各コンピュータにもWebPassが必要です。
Oracle COREid Access and Identity、Identity ServerおよびAccess Server(アプリケーション層)
Access Managerは、Oracle Internet Directoryにポリシー・データを書き込み、ポリシーの変更を反映してAccess Serverを更新するソフトウェア・コンポーネントです。Access Managerにはアクセス・システム・コンソールが組み込まれており、管理者は、これを使用してポリシーとシステム構成を管理できます。
Oracle COREid Access and IdentityのIdentity Serverは、ユーザーID、グループ、組織および資格証明管理リクエストをすべて処理するソフトウェア・コンポーネントです。
Access Serverは、リクエストの受信、アクセス・クライアントへのレスポンスおよびログイン・セッションの管理を行うソフトウェア・コンポーネントです。Access ServerはWebGateからリクエストを受信すると、認証、認可、監査の各ルールをOracle Internet Directoryに問い合せて、次の各処理を実行します。
リクエストされたリソースが保護されているかどうか、およびどのように保護されているかの判定
ユーザーが認証済であるかどうかの確認
未認証のユーザーに対する資格証明取得の要求
資格証明の有効性の判定
リクエストされたリソースに対してユーザーが認可されているかどうか、およびどのような条件で認可されているかの判定(この認証スキームがWebGateに送信され、ユーザーが認可される)
また、Access Serverは、WebGateのセッション終了処理の支援、ユーザー・セッションのタイムアウト設定、タイムアウト発生時の再認証およびセッション・アクティビティの追跡によって、ログイン・セッションの管理も行います。
管理用に分離されたサブネット
ADMINHOST上の分離されたサブネットは、管理者用に、Oracle HTTP Server、WebGate、WebPassおよびAccess Managerをホスティングします。
Access SDK
Access SDKにはAPIライブラリが用意されており、これによって、HTTP以外のリソース(OC4Jインスタンスとの通信にはAJPプロトコルを使用)を保護し、OC4Jアプリケーションにシングル・サインオンを実装します。
この項では、Oracle COREid Access and Identityシングル・サインオンを使用した場合の、J2EEアプリケーションに対する認証および認可手順について説明します。
Oracle COREid Access and Identityソフトウェアをインストールする前のタスクは次のとおりです。
WEBHOST1、WEBHOST2、IDMHOST1およびIDMHOST2上の各クロックを、60秒の範囲内に同期化します。さらに、次のことを確認する必要があります。
WEBHOST1とWEBHOST2(WebGate、WebPass)の時刻が、IDMHOST1とIDMHOST2(Access ServerとOracle COREid Access and Identityサーバー)より前でないこと。
クロックは必ずこの方法で同期化し、受信サーバーでまだ発生していない時刻で着信リクエストにスタンプしないようにします。時間の同期化の詳細は、http://www.ntp.orgを参照してください。
Oracle COREid Access and IdentityコンポーネントをインストールするすべてのサーバーのDNSホスト名を取得します。
マスターID管理者のユーザー・アカウントを定義します(このユーザーは、Oracle COREid Access and Identityのすべての機能にアクセス可能)。
Windowsでは、Oracle COREid Access and IdentityサーバーとAccess Serverのインストールに使用するユーザー・アカウントに、サービスとしてログオンする権限があることを確認します。Oracle COREid Access and Identity管理者には、「サービスとしてログオン」権限が必要です(「コントロール パネル」→「管理ツール」→「ローカル セキュリティ ポリシー」→「ローカル ポリシー」→「ユーザー権利の割り当て」→「サービスとしてログオン」を選択する)。
使用するディレクトリ・サーバーのインストールおよび構成が済んでいることを確認します。Oracle Internet Directoryを使用する場合は、第2章「データ層の構成」の手順に従います。
管理者としてIDMHOST1にログインします。
(プラットフォームおよびインストール・オプションに応じて)次のいずれかのコマンドを発行してインストールを開始します。
Windowsのコンソールのインストール:
Oracle_Access_Manager10_1_4_0_1_Win32_Identity_Server.exe -console
WindowsのGUIのインストール:
Oracle_Access_Manager10_1_4_0_1_Win32_Identity_Server.exe
Linuxのコンソールのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_Identity_Server
LinuxのGUIのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_Identity_Server -gui
「ようこそ」画面が表示されます。
「次へ」をクリックします。
ライセンス契約が表示されます。
契約条件を読んで内容に同意し、「次へ」をクリックします。
資格証明を指定するように求められます。
次の各プラットフォームに該当する資格証明を指定します。
Windows:
「次へ」をクリックして、管理者権限でログインしたことを示します。管理者権限でログインしていない場合は、インストールを取り消し、管理者権限でログインして、インストールを再実行します。
UNIX:
Oracle COREid Access and Identityサーバーが使用するユーザー名とグループを指定し、「次へ」をクリックします。
インストール・ディレクトリを指定するように求められます。
フィールドの内容を変更せずにデフォルトを受け入れるか、選択したディレクトリを指定した後、「次へ」をクリックします。
Linuxシステムでは、GCC 3.3.2と互換性のあるlibgcc_s.so.1およびlibstdc++.so.5のインストールと場所の指定を求められます。
Linux以外のプラットフォームでは、ロケール(言語)を選択するように求められます。
次のいずれかを実行します。
Linuxでは、GCCランタイム・ライブラリをインストールしてからインストールを続行します。
他のプラットフォームでは、デフォルトのロケールおよびその他のロケールを選択して、「次へ」をクリックします。
インストール・ディレクトリおよび必要なディスク領域が表示されます。
「次へ」をクリックします。
進行状況メッセージが表示され、トランスポート・セキュリティ・モードを指定するように求められます。
「オープン」を指定し、「次へ」をクリックします。
Identity Serverの構成の詳細を指定するように求められます。
サーバー名を指定します。この名前は、次の条件を満たしている必要があります。
Oracle COREid Access and Identityのシステム・コンソール内にあるすべてのサーバー名の中で一意であること
同じOracle Internet Directoryにアクセスするすべてのサーバー名の中で一意であること
空白が含まれていないこと
Identity Serverが常駐するホストの名前を指定します。
Identity ServerとWebPassの通信に使用するポートを指定します。
これがディレクトリ・サーバーに対してインストールされる最初のIdentity Serverかどうかを尋ねられます。
「はい」をクリックします。
Identity Server構成画面が、次のオプションとともに表示されます。
ユーザー・データをホスティングするディレクトリ・サーバーでSSLを使用
Oracleデータをホスティングするディレクトリ・サーバーでSSLを使用
チェック・ボックスをそのまま残して(オプションを選択しないで)、「次へ」をクリックします。
ドロップダウン・リストからディレクトリ・サーバー・タイプを選択するように求められます。
「Oracle Internet Directory」を選択し、「次へ」をクリックします。
データの格納場所を示すオプションを選択します。
スキーマの更新オプションを選択し、「次へ」をクリックします。
Oracle Internet Directoryのホスト名、ポート、バインドDNおよびパスワードを指定し、「次へ」をクリックします。
参照ドキュメントと連絡先情報が表示されます。
「次へ」をクリックします。
インストールの概要が表示されます。
インストールの詳細を確認し、「終了」をクリックします。
次のいずれかを実行して、Identity Serverを起動します。
Windows:
「スタート」→「すべてのプログラム」→「管理ツール」→「サービス」を選択し、Identity Serverサービスを起動します。
Linux:
Oracle COREid Access and Identity installation directory/identity/oblix/apps/common/binにある次のコマンドを発行します。
管理者としてコンピュータにログインします。
(プラットフォームおよびインストール・オプションに応じて)次のいずれかのコマンドを発行してインストールを開始します。
Linuxのコンソールのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_OHS_WebPass
または
./Oracle_Access_Manager10_1_4_0_1_linux_OHS2_WebPass脚注1
LinuxのGUIのインストール:
./Oracle_Access_Manager10_1_4_linux_OHS2_WebPass -gui
「ようこそ」画面が表示されます。
「次へ」をクリックします。
ライセンス契約が表示されます。
契約条件を読んで内容に同意し、「次へ」をクリックします。
資格証明を指定するように求められます。
次の各プラットフォームに該当する資格証明を指定します。
Windows:
「次へ」をクリックして、管理者権限でログインしたことを示します。管理者権限でログインしていない場合は、インストールを取り消し、管理者権限でログインして、インストールを再実行します。
UNIX:
WebPass Webサーバーが使用するユーザー名とグループを指定し、「次へ」をクリックします。
インストール・ディレクトリを指定するように求められます。
フィールドの内容を変更せずにデフォルトを受け入れるか、(Identity Serverディレクトリ以外に)選択したディレクトリを指定した後、「次へ」をクリックします。
Linuxシステムでは、GCC 3.3.2と互換性のあるlibgcc_s.so.1およびlibstdc++.so.5のインストールと場所の指定を求められます。
Linux以外のプラットフォームでは、ロケール(言語)を選択するように求められます。
次のいずれかを実行します。
Linuxでは、GCCランタイム・ライブラリをインストールしてからインストールを続行します。
他のプラットフォームでは、デフォルトのロケールおよびその他のロケールを選択して、「次へ」をクリックします。
インストール・ディレクトリおよび必要なディスク領域が表示されます。
「次へ」をクリックします。
進行状況メッセージが表示され、トランスポート・セキュリティ・モードを指定するように求められます。
「オープン」を指定し、「次へ」をクリックします。
WebPassの構成の詳細を指定するように求められます。
WebPass名を指定します。この名前は、次の条件を満たしている必要があります。
Oracle COREid Access and Identityのシステム・コンソール内にあるすべてのサーバー名の中で一意であること
同じOracle Internet Directoryにアクセスするすべてのサーバー名の中で一意であること
空白が含まれていないこと
Identity Serverが常駐するIDMHOST1のホスト名を指定します。
WebPassが通信するIdentity Serverのポート番号を指定し、「次へ」をクリックします。
進行状況メッセージが表示され、WebPass Webサーバーの構成を更新するように求められます。
「はい」をクリックしてから「次へ」をクリックします。
httpd.confファイルを含むディレクトリのフルパスを指定します(ORACLE_HOME/Apache/Apache/conf/httpd.conf)。
「はい」をクリックし、Webサーバーを自動更新します。
WebPass Webサーバー・インスタンスを停止します。
Linux RedHat Advanced Server 3.0を使用している場合は、次を実行します。
ORACLE_HOME/opmn/conf/opmn.xmlファイルを更新し、次の例に示すように、HTTP_Serverコンポーネントの環境変数LD_ASSUME_KERNELを設定します。
...
<ias-component id="HTTP_Server">
<process-type id="HTTP_Server" module-id="OHS2">
<environment>
<variable id="LD_ASSUME_KERNEL" value="2.4.19"/>
</environment>
<module-data>
...
Oracle COREid Access and Identity installation directory/oblix/apps/common/binディレクトリにある次のコマンドを発行し、IDサーバー・サービスを停止します。
stop_ois_server
Oracle COREid Access and Identity installation directory/oblix/apps/common/binディレクトリにある次のコマンドを発行し、IDサーバー・サービスを開始します。
start_ois_server
WebPass Webサーバー・インスタンスを起動します。
「次へ」をクリックします。
Read Meファイルが表示されます。
ファイルの内容を調べ、「次へ」をクリックします。
次の手順を実行して、WebPassが正しくインストールされていることを確認します。
Identity ServerとWebPass Webサーバーが実行されていることを確認します。
Oracle COREid Access and Identityのシステム・コンソールにアクセスします(URLは次のとおり)。
http://WEBHOST1:port/identity/oblix
Oracle COREid Access and Identityシステムのメイン・ページが表示されます。
Identity ServerとWebPassインスタンスをインストールしたら、システムが機能するように両者の関連付けを指定する必要があります。最初のIdentity Serverを構成する手順は次のとおりです。
Oracle COREid Access and Identityのシステム・コンソールにアクセスします(URLは次のとおり)。
http://WEBHOST1:port/identity/oblix
「IDシステム・コンソール」リンクをクリックします。
「システム・コンソール」設定ページが表示されます。
「セットアップ」をクリックします。
「製品設定」ページが表示されます。
「ディレクトリ・サーバー・タイプ」を選択し、「次へ」をクリックします。
「スキーマの変更」ページが表示されます。
「次へ」をクリックします(スキーマはインストール時に更新されたため、何もする必要がない)。
次のように、サーバーの詳細を指定します。
「ホスト」フィールドで、ユーザー・データのディレクトリ・サーバーのDNSホスト名を指定します。
「ポート番号」フィールドで、ユーザー・データのディレクトリ・サーバーのポートを指定します。
「ルートDN」フィールドで、ユーザー・データのディレクトリ・サーバーのバインド識別名を指定します。
「ルート・パスワード」フィールドで、バインド識別名のパスワードを指定します。
「ディレクトリ・サーバー・セキュリティ・モード」フィールドで、「オープン」を指定します。
「Oracleデータもこのディレクトリに保存されていますか。」フィールドで、「はい」を指定します。
「次へ」をクリックします。
ユーザーおよび構成データの場所を指定したフィールドが含まれるページが表示されます。
|
注意: これらのフィールドの指定方法の詳細は、『Oracle COREid Access and Identity Installation Guide』のオブジェクト・クラスの詳細の指定に関する項を参照してください。 |
「検索ベース」および「構成DN」を指定し、「次へ」をクリックします。
たとえば、ユーザーおよび構成データのバインド識別名と場所は、dc=us,dc=oracle,dc=comのようなエントリとなります。
Personオブジェクト・クラスを指定して「自動構成オブジェクト・クラス」テキスト・ボックスをクリックし、「次へ」をクリックします。
たとえば、Personオブジェクト・クラスは、inetorgPersonのようなエントリとなります。
「グループ・オブジェクト・クラス」画面が表示されます。
Groupオブジェクト・クラスを指定して、「自動構成オブジェクト・クラス」ボックスをクリックし、「次へ」をクリックします。
たとえば、Groupオブジェクト・クラスは、groupOfUniqueNamesのようなエントリとなります。
Oracle COREid Access and Identityシステムの再起動を指示するメッセージが表示されます。
Web Pass Webサーバー・インスタンスを停止します。
Identity Serverサービスを停止して再起動します。
WebPass Webサーバー・インスタンスを起動します。
Oracle COREid Access and Identityシステムの設定ウィンドウに戻り、「次へ」をクリックします。
自動的に実行されたオブジェクト・クラスの変更を要約する画面が表示されます。
「はい」をクリックして、変更を確定します。
Groupオブジェクト・クラスの属性を確認し、「はい」をクリックします。
「管理者の構成」ページが表示されます。
「ユーザーの選択」をクリックします。
「セレクタ」ページが表示されます。
管理者として選択するユーザーに該当する検索基準をフィールドに入力し、「実行」をクリックします。
指定した基準に一致する検索結果が表示されます。
管理者として選択するユーザーの横にある「追加」をクリックします。
そのユーザーの名前が、右側の「選択」列に表示されます。
必要に応じて、他のユーザー名を追加します。
「完了」をクリックします。
「管理者の構成」ページに、管理者として選択されたユーザーの一覧が表示されます。
「次へ」をクリックします。
「データ・ディレクトリのセキュア化」ページが表示されます。
次の手順を実行して、構成を検証します。
Oracle COREid Access and Identityのシステム・コンソールにアクセスします(URLは次のとおり)。
http://WEBHOST1:port/identity/oblix
「ユーザー・マネージャ」、「グループ・マネージャ」または「組織マネージャ」をクリックし、新規作成した管理者ユーザーの資格証明でログインします。
管理者としてIDMHOST2にログインします。
(プラットフォームおよびインストール・オプションに応じて)次のいずれかのコマンドを発行してインストールを開始します。
Windowsのコンソールのインストール:
Oracle_Access_Manager10_1_4_0_1_Win32_Identity_Server.exe -console
WindowsのGUIのインストール:
Oracle_Access_Manager10_1_4_0_1_Win32_Identity_Server.exe
Linuxのコンソールのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_Identity_Server
LinuxのGUIのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_Identity_Server -gui
「ようこそ」画面が表示されます。
「次へ」をクリックします。
ライセンス契約が表示されます。
契約条件を読んで内容に同意し、「次へ」をクリックします。
資格証明を指定するように求められます。
次の各プラットフォームに該当する資格証明を指定します。
Windows:
「次へ」をクリックして、管理者権限でログインしたことを示します。管理者権限でログインしていない場合は、インストールを取り消し、管理者権限でログインして、インストールを再実行します。
UNIX:
Identity Serverが使用するユーザー名とグループを指定し、「次へ」をクリックします。
インストール・ディレクトリを指定するように求められます。
フィールドの内容を変更せずにデフォルトを受け入れるか、選択したディレクトリを指定した後、「次へ」をクリックします。
Linuxシステムでは、GCC 3.3.2と互換性のあるlibgcc_s.so.1およびlibstdc++.so.5のインストールと場所の指定を求められます。
Linux以外のプラットフォームでは、ロケール(言語)を選択するように求められます。
次のいずれかを実行します。
Linuxでは、GCCランタイム・ライブラリをインストールしてからインストールを続行します。
他のプラットフォームでは、デフォルトのロケールおよびその他のロケールを選択して、「次へ」をクリックします。
インストール・ディレクトリおよび必要なディスク領域が表示されます。
「次へ」をクリックします。
進行状況メッセージが表示され、トランスポート・セキュリティ・モードを指定するように求められます。
「オープン」を指定し、「次へ」をクリックします。
Identity Serverの構成の詳細を指定するように求められます。
Identity Serverの名前を指定します。この名前は、次の条件を満たしている必要があります。
システム・コンソール内にあるすべてのサーバー名の中で一意であること
同じOracle Internet Directoryにアクセスするすべてのサーバー名の中で一意であること
空白が含まれていないこと
Identity Serverが常駐するホストの名前を指定します。
Identity ServerとWebPassの通信に使用するポートを指定します。
これがディレクトリ・サーバーに対してインストールされる最初のIdentity Serverかどうかを尋ねられます。
「いいえ」を選択し、「次へ」をクリックします。
参照ドキュメントと連絡先情報が表示されます。
「次へ」をクリックします。
インストールの概要が表示されます。
インストールの詳細を確認し、「終了」をクリックします。
次のいずれかを実行して、Identity Serverを起動します。
Windows:
「スタート」→「すべてのプログラム」→「管理ツール」→「サービス」を選択し、Identity Serverサービスを起動します。
Linux:
次のコマンドを発行します。
Identity Server installation directory/identity/oblix/apps/common/bin/start_ois_server
第4章の「WEBHOST1へのWebPassのインストール」の手順に従って、WebPassをWEBHOST2にインストールし、IDMHOST2のIdentity Serverのホスト名とポートを指定します。インストールが完了したら、次の手順を実行して、WebPassが正しくインストールされていることを確認します。
Identity ServerとWebPass Webサーバーが実行されていることを確認します。
Identity Serverのシステム・コンソールにアクセスします(URLは次のとおり)。
http://WEBHOST2:port/identity/oblix
Identity Serverシステムのメイン・ページが表示されます。
Identity Serverのシステム・コンソールにアクセスします(URLは次のとおり)。
http://WEBHOST2:port/identity/oblix
Identity Serverシステムの画面が表示されます。
「Identity Serverシステム・コンソール」をクリックします。
「アプリケーションが設定されていません。」というメッセージを伝えるダイアログが表示されます。
「セットアップ」をクリックします。
「ユーザー・データが保存されたディレクトリ・サーバーのタイプ」画面が表示されます。
ドロップダウン・リストから「Oracle Internet Directory」を選択し、「次へ」をクリックします。
「ユーザー・データが保存されたディレクトリ・サーバーの場所」画面が表示されます。
次のように、各フィールドで入力または選択を行います。
ホスト: OIDHOST2のホスト名を入力します。
ポート番号: 389
ルートDN: cn=orcladmin
ルート・パスワード: ルート・パスワードを入力します。
ディレクトリ・サーバー・セキュリティ・モード: オープン
構成データもこのディレクトリに保存されていますか。: はい
「次へ」をクリックします。
「構成データの場所とIdentity Server検索ベース」画面が表示されます。
次のように、各フィールドに入力します。
構成DN: dc=us,dc=oracle,dc=com
検索ベース: dc=us,dc=oracle,dc=com
「次へ」をクリックします。
「データ・ディレクトリのセキュア化」画面が表示されます。
「完了」をクリックします。
Identity ServerとWebサーバーを再起動します。
次のURLにアクセスします。
http://WEBHOST2:port/identity/oblix
「ユーザー・マネージャ」、「グループ・マネージャ」、「組織マネージャ」、「Identity Serverシステム・コンソール」のいずれかのリンクをクリックし、第4章で指定した管理者ユーザーとしてログインします。
次のURLにアクセスします。
http://WEBHOST2:port/identity/oblix
「Identity Serverシステム・コンソール」をクリックします。
ログイン・ダイアログが表示されます。
orcladminのユーザー名とパスワードを入力し、「ログイン」をクリックします。
「システム構成」画面が表示されます。
スクロール・ダウンして「IDシステム・コンソール」をクリックします。「システム構成」をクリックしてから、「Webパス」をクリックします。
2つのWebPassインスタンスが一覧表示されます。
WEBHOST1のWebPassインスタンスをクリックします。
「Webパスの詳細」画面が表示されます。
WEBHOST1にインストールしたWebPassを選択し、「Identity Serverをリスト」をクリックします。
WebPassに関連付けられているIdentity Serverが一覧表示されます。
「追加」をクリックします。
「Webパスへ新規IDサーバーを追加」画面が表示されます。
APPHOST2にインストールしたIdentity Serverを選択し、「プライマリ・サーバー」を選択します。次に、2接続を指定し、「追加」をクリックします。
WEBHOST2のWebPassインスタンスに対して、手順18〜21を繰り返します。
アクセス・システムは、Policy Manager、Access ServerおよびWebGateの3つのコンポーネントで構成されます。また、アクセス・システムには、Webサーバー・インスタンスがインストールされている必要があります。
Policy Manager
Policy Managerは、アクセス・システムに対するログイン・インタフェースです。管理者は、Access Managerを使用して、保護するリソースを定義しリソースをポリシー・ドメインにグループ化します。
Access Server
Access Serverは、リソースとアプリケーションに対して、動的なポリシー評価サービスを提供するソフトウェア・コンポーネントです。Access Serverは、Webサーバーからリクエストを受信すると、LDAPディレクトリにユーザー認証を照会しユーザー・セッションを管理します。
WebGate
WebGateはWebサーバー・プラグイン・アクセス・クライアントで、Webリソースに対するHTTPリクエストを捕捉して、認証および認可のためにAccess Serverに転送します。
アクセス・システムの最も重要な機能は、管理者用のアクセス・システム・コンソールを提供することです。このコンソールは分離されたサブネットにインストールされ、システム管理者によるIdentity Serverシステムへのセキュアなアクセスを可能にします。
myWebCenterのOracle COREid Access and Identityでは、これらのコンポーネントが次の各サーバーにインストールされます。
Policy Manager: ADMINHOST
Access Server: IDMHOST1およびIDMHOST2
WebGate: ADMINHOST、WEBHOST1およびWEBHOST2
WebPass: ADMINHOST、WEBHOST1およびWEBHOST2
Policy Managerコンポーネントをホスティングするには、Webサーバー・インスタンスが必要です。第3章の「WEBHOST1およびWEBHOST2(OracleAS Single Sign-Onを実装したmyWebCenter.comの場合はさらにIDMWEBHOST1およびIDMWEBHOST2)へのOracle HTTP Serverのインストール」の手順に従って、Policy Managerで使用するWebサーバーをADMINHOSTにインストールしてください。
Policy ManagerをインストールするADMINHOSTの同じディレクトリ・レベルに、WebPassインスタンスをインストールする必要があります。第4章の「WEBHOST1へのWebPassのインストール」の手順に従って、Policy Manager用にWebPassをインストールします。
インストール時の注意事項は次のとおりです。
IDMHOST1のポート6022のIdentity Serverに対してWebPassを構成するように求められます。プロンプトに従ってWebPassを構成してください。
WebPassのインストール・パスをPolicy Managerのインストール時に指定する必要があります。パスを書き留めておいてください。
インストールが完了したら、http://ADMINHOST:port/identity/oblixでシステム・コンソールにアクセスし、IDMHOST2のポート6022を使用して2番目のIdentity ServerインスタンスをWebPassに対して追加します。
Policy Managerは、ADMINHOST上のWebPassと同じディレクトリにインストールする必要があります。Policy Managerをインストールする手順は次のとおりです。
管理者としてADMINHOSTにログインします。
(プラットフォームおよびインストール・オプションに応じて)次のいずれかのコマンドを発行してインストールを開始します。
Windows:
Oracle_Access_Manager10_1_4_0_1_Win32_NSAPI_Policy_Manager.exe
または
Linuxのコンソールのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_OHS2_Policy_Manager
LinuxのGUIのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_OHS2_Policy_Manager -gui
「ようこそ」画面が表示されます。
「次へ」をクリックします。
ライセンス契約が表示されます。
契約条件を読んで内容に同意し、「次へ」をクリックします。
資格証明を指定するように求められます。
次の各プラットフォームに該当する資格証明を指定します。
Windows: 「次へ」をクリックして、管理者権限でログインしたことを示します。管理者権限でログインしていない場合は、インストールを取り消し、管理者権限でログインして、インストールを再実行します。
UNIX: Webサーバーが使用するユーザー名とグループを指定し、「次へ」をクリックします。
インストール・ディレクトリを指定するように求められます。
フィールドの内容を変更せずにデフォルトを受け入れるか、選択したディレクトリを指定した後、「次へ」をクリックします。
Linuxシステムでは、GCC 3.3.2と互換性のあるlibgcc_s.so.1およびlibstdc++.so.5のインストールと場所の指定を求められます。
Linux以外のプラットフォームでは、ロケール(言語)を選択するように求められます。
次のいずれかを実行します。
Linuxでは、GCCランタイム・ライブラリをインストールしてからインストールを続行します。
他のプラットフォームでは、デフォルトのロケールおよびその他のロケールを選択して、「次へ」をクリックします。
インストール・ディレクトリおよび必要なディスク領域が表示されます。
「次へ」をクリックします。
進行状況メッセージが表示され、「ポリシー・データのディレクトリ・サーバーの構成」画面が「ディレクトリ・サーバー・タイプ」ドロップダウン・リストとともに表示されます。
「Oracle Internet Directory」を選択します。
Oracle Internet Directoryとの通信メソッドの指定を求められます。
「オープン」オプションを選択します。
進行状況メッセージが表示され、「ポリシー・データのディレクトリ・サーバーの構成」画面が「ディレクトリ・サーバー・タイプ」ドロップダウン・リストとともに表示されます。
「Oracle Internet Directory」を選択し、「次へ」をクリックします。
ポリシー・データがOracle構成データまたはユーザー・データを含むディレクトリと別個のディレクトリ・サーバーにあるかどうか、またその場合、ポリシー・データを含むディレクトリ・サーバーをインストーラで自動的に構成するかどうかを指定するように求められます。
「いいえ」を選択し、「次へ」をクリックします。
httpd.confファイルを含むディレクトリのフルパスを指定します(ORACLE_HOME/Apache/Apache/conf)。
「次へ」をクリックします。
Webサーバーの構成が更新されたことを伝えるメッセージが表示されます。
Policy Manager Webサーバー・インスタンスを停止します。
Identity Serverインスタンスを停止し、再起動します。
Policy Manager Webサーバー・インスタンスを起動します。
「次へ」をクリックします。
Read Me情報が表示されます。
情報の内容を調べ、「次へ」をクリックします。
インストールが成功したことを伝えるメッセージが表示されます。
「終了」をクリックします。
Policy Managerは、Oracle Internet Directoryと通信するよう構成する必要があります。通信を構成する手順は次のとおりです。
Webサーバーが実行中であることを確認します。
Policy Managerに接続するWebPassインスタンスのURLで、アクセス・システム・コンソールにアクセスします。
http://ADMINHOST:port/access/oblix
アクセス・システムのメイン・ページが表示されます。
「アクセス・システム・コンソール」リンクをクリックします。
アプリケーションが未設定であることを通知するメッセージが表示されます。
「セットアップ」をクリックします。
ディレクトリ・サーバー・タイプの指定を求められます。
ユーザー・データのディレクトリ・サーバー・タイプを選択します。
次のように、サーバーの詳細を指定します。
「マシン」フィールドで、ユーザー・データのディレクトリ・サーバーのDNSホスト名を指定します。
「ポート番号」フィールドで、ユーザー・データのディレクトリ・サーバーのポートを指定します。
「ルートDN」フィールドで、ユーザー・データのディレクトリ・サーバーのバインド識別名を指定します。
「ルート・パスワード」フィールドで、バインド識別名のパスワードを指定します。
Oracle構成データを含むディレクトリ・サーバー・タイプの指定を求められます。
構成データのディレクトリ・サーバー・タイプを選択し、「次へ」をクリックします。
ユーザー・データとOracleデータは同じディレクトリ、または別のディレクトリに格納可能であることを知らせるメッセージが表示されます。
「Oracleデータをユーザー・ディレクトリ・サーバーに保存します」を選択します。
ポリシー・データの場所の指定を求められます。
「同じディレクトリ・サーバーにあるストア・ポリシーおよびOracleデータです。」を選択します。
次の内容を指定します。
検索ベース: dc=us,dc=oracle,dc=com(Identity Serverのインストール時に指定した検索ベースと同じ)
構成DN: dc=us,dc=oracle,dc=com(Identity Serverのインストール時に指定した構成識別名と同じ)
ポリシー・ベース: dc=us,dc=oracle,dc=com
Personオブジェクト・クラスの指定を求められます。
Identity Serverシステムの構成時に指定したPersonオブジェクト・クラスを指定し、「次へ」をクリックします。
Webサーバーの再起動を求められます。
WebPassおよびAccess Manager Webサーバー・インスタンスと、それに関連付けられているIdentity Serverインスタンスを停止し、再起動します。
「次へ」をクリックします。
ポリシー・ドメインのルート・ディレクトリの指定を求められます。
ポリシー・ドメインに対するデフォルトのルート・ディレクトリを受け入れるか、またはルート・ディレクトリを指定し、「次へ」をクリックします。
認証スキームの構成に関する情報を求められます。
「はい」を選択し、自動構成を開始します。
「Basic Over LDAP」と「クライアント証明書」を選択し、「次へ」をクリックします。
「新規認証スキームの定義」画面が、「Basic Over LDAP」パラメータとともに表示されます。
必要に応じてパラメータを変更してから、「次へ」をクリックします。
「新規認証スキームの定義」画面が、「クライアント証明書」パラメータとともに表示されます。
必要に応じてパラメータを変更してから、「次へ」をクリックします。
NetPoint URLを保護するようにポリシーを構成することを求められます。
「はい」を選択し、「次へ」をクリックします。
Policy Managerの設定を完了するための指示が表示されます。
情報に目を通します。
WebPassおよびAccess Manager Webサーバー・インスタンスを停止します。
WebPassのIdentity Serverサービスを停止し、再起動します。
WebPassおよびPolicy Manager Webサーバー・インスタンスを再起動します。
Webサーバーが再起動したら、「完了」をクリックします。
Policy Managerのホーム・ページが表示されます。
次の手順を実行して、Policy Managerが正しくインストールされていることを確認します。
アクセス・システム・コンソールにアクセスします(URLは次のとおり)。
http://ADMINHOST:port/access/oblix
「アクセス・システム・コンソール」リンクをクリックします。
管理者としてログインします。
「アクセス・システム構成」タブをクリックします。
「認証管理」をクリックします。
構成済の認証スキームの一覧が表示されます。
Access Serverのインストールを開始する前に、次の点に注意してください。
Windowsでは、Access Serverのインストールに使用するユーザー・アカウントに、サービスとしてログオンする権限があることを確認します。Access Server管理者には、「サービスとしてログオン」権限が必要です(「コントロール パネル」→「管理ツール」→「ローカル セキュリティ ポリシー」→「ローカル ポリシー」→「ユーザー権利の割り当て」→「サービスとしてログオン」を選択する)。
Access ServerはAccess Managerと同じディレクトリにインストールできないことに注意してください。
Access Serverをインストールする手順は次のとおりです。
アクセス・システム・コンソールでAccess Server用のインスタンスを作成します。
アクセス・システム・コンソールにアクセスします(URLは次のとおり)。
http://ADMINHOST:port/access/oblix
「アクセス・システム・コンソール」リンクをクリックします。
管理者としてログインします。
「アクセス・システム構成」タブをクリックします。
「アクセス・サーバー構成」をクリックします。
「追加」をクリックします。
「アクセス・サーバーの追加」ページが表示されます。
「名前」フィールドで、Access Serverの名前を入力します。この名前は、対象のディレクトリ・サーバーにまだ指定されていない名前にする必要があります。
「ホスト名」フィールドで、IDMHOST1を指定します。
「ポート」フィールドで、Access Serverがリスニングするポートを指定します。
「トランスポート・セキュリティ」フィールドで、「オープン」を指定します(トランスポート・セキュリティ・モードは、すべてのAccess ServerとWebGateで同一であることが必要)。
「保存」をクリックします。
「すべてのAccess Serverをリスト」ページが表示され、新しく作成したインスタンスへのリンクが提供されます。
新規インスタンスへのリンクをクリックし、「詳細」ページを参照用に印刷し、「戻る」をクリックします。
「ログアウト」をクリックし、ブラウザ・ウィンドウを閉じます。
(プラットフォームおよびインストール・オプションに応じて)次のいずれかのコマンドを発行してインストールを開始します。
Windowsのコンソールのインストール:
Oracle_Access_Manager10_1_4_0_1_Win32_Access_Server.exe -console
WindowsのGUIのインストール:
Oracle_Access_Manager10_1_4_0_1_Win32_Access_Server.exe
Solarisのコンソールのインストール:
./Oracle_Access_Manager10_1_4_0_1_sparc-s2_Access_Server
SolarisのGUIのインストール:
./Oracle_Access_Manager10_1_4_0_1_sparc-s2_Access_Server -gui
LinuxのGUIのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_Access_Server
「ようこそ」画面が表示されます。
「次へ」をクリックします。
ライセンス契約が表示されます。
契約条件を読んで内容に同意し、「次へ」をクリックします。
資格証明を指定するように求められます。
次の各プラットフォームに該当する資格証明を指定します。
Windows:
「次へ」をクリックして、管理者権限でログインしたことを示します。管理者権限でログインしていない場合は、インストールを取り消し、管理者権限でログインして、インストールを再実行します。
UNIX:
Webサーバーが使用するユーザー名とグループを指定し、「次へ」をクリックします。
インストール・ディレクトリを指定するように求められます。
フィールドの内容を変更せずにデフォルトを受け入れるか、選択したディレクトリを指定した後、「次へ」をクリックします。
Linuxシステムでは、GCC 3.3.2と互換性のあるlibgcc_s.so.1およびlibstdc++.so.5のインストールと場所の指定を求められます。
Linux以外のプラットフォームでは、ロケール(言語)を選択するように求められます。
次のいずれかを実行します。
Linuxでは、GCCランタイム・ライブラリをインストールしてからインストールを続行します。
他のプラットフォームでは、デフォルトのロケールおよびその他のロケールを選択して、「次へ」をクリックします。
インストール・ディレクトリおよび必要なディスク領域が表示されます。
「次へ」をクリックします。
進行状況メッセージが表示され、トランスポート・セキュリティ・モードを指定するように求められます。
トランスポート・セキュリティ・モードに、「オープン」を指定します。
Oracle構成データを含むディレクトリ・サーバーの実行モードの指定を求められます。
「オープン」を指定します。
ディレクトリ・サーバーの詳細を指定するように求められます。
次のように、サーバーの詳細を指定します。
「ホスト」フィールドで、Oracle構成データのディレクトリ・サーバーのDNSホスト名を指定します。
「ポート番号」フィールドで、Oracle構成データのディレクトリ・サーバーのポートを指定します。
「ルートDN」フィールドで、Oracle構成データのディレクトリ・サーバーのバインド識別名を指定します。
「ルート・パスワード」フィールドで、バインド識別名のパスワードを指定します。
「Oblixディレクトリ」フィールドで、Oracle構成データのディレクトリ・サーバーのタイプを指定します。
「Oracleディレクトリ」を選択し、ポリシー・データの場所を指定します。
アクセス・システム・コンソールで指定されたAccess ServerインスタンスIDと、構成DNおよびポリシー・ベースを入力するよう求められます。
次の内容を指定します。
アクセス・サーバーID: Access Serverのインストール時に指定した名前(第4章の「IDMHOST1およびIDMHOST2へのAccess Serverのインストール」の手順1.g.)
構成DN: dc=us,dc=oracle,dc=com(Identity Serverのインストール時に指定した構成識別名と同じ)
ポリシー・ベース: dc=us,dc=oracle,dc=com
「次へ」をクリックします。
Read Me情報が表示されます。
情報の内容を調べ、「次へ」をクリックします。
インストールが成功したことを伝えるメッセージが表示されます。
「終了」をクリックします。
次のいずれかを実行して、Access Serverを起動します。
Windows: このAccess Serverに該当するWindowsサービスを特定し、起動します。サービス名は、アクセス・システム・コンソールで指定されたAccess Server IDの前にNetPoint AAA Serverが付加されたものになります。
Solaris: Access Server installation directory/access/oblix/apps/common/binディレクトリで、次のコマンドを発行します。
start_access_server
ここまでの手順を、ホスト名を適切なものに置き換えてIDMHOST2に対して繰り返します。
WebGateのインストールを開始する前に、次の点に注意してください。
WebGateはAccess ManagerおよびWebPassと同じディレクトリにインストールできます。固有のサブディレクトリとして_jvmWebGateと_uninstWebGateが配置され、WebGateに関する情報が/oracleディレクトリに追加されます。WebGateをAccess ManagerおよびWebPassと同じディレクトリにインストールする場合は、ファイルを置換するかどうかを尋ねるメッセージが表示されます。「すべてにいいえ」を選択します。
WebGateは、ルート・レベルまたはサイト・レベルでインストールできます。ただし、仮想サイトが複数ある場合、作成可能なWebGateのインスタンスは1つのみです。
WebGateは、Webサーバーをホスティングするコンピュータにインストールする必要があります。WebGateは、コンピュータ・レベルまたは仮想Webサーバー・レベルで構成できます。ただし、コンピュータ・レベルと仮想サーバー・レベルの両方にはインストールできません。
WebGateをインストールする手順は次のとおりです。
アクセス・システム・コンソールでWebGate用のインスタンスを作成します。
インストール先に応じて次のようなURLで、アクセス・システム・コンソールにアクセスします。
http://ADMINHOST:port/access/oblix
「アクセス・システム・コンソール」リンクをクリックします。
管理者としてログインします。
「アクセス・システム構成」タブをクリックします。
「新規アクセス・ゲートの追加」をクリックします。
「アクセス・ゲート名」フィールドで、WebGateの名前を入力します。この名前は、対象のディレクトリ・サーバーにまだ指定されていない名前にする必要があります。
「説明」フィールド(オプション)で、WebGateに関する追加の説明を入力します。
「ホスト名」フィールドで、WEBHOST1、WEBHOST2、ADMINHOSTのいずれかを指定します。
(オプション)「ポート」フィールドで、Webサーバーがリスニングするポートを指定します。
「アクセス・ゲートのパスワード」フィールドおよび「アクセス・ゲートのパスワードを再入力」フィールドで、インスタンスの一意のパスワードを入力および確認します。
「トランスポート・セキュリティ」フィールドで、「オープン」を指定します(トランスポート・セキュリティ・モードは、すべてのAccess ServerとWebGateで同一であることが必要)。
「優先HTTPホスト」フィールドで、Webサーバーを実行しているホストを指定します。
「プライマリHTTP Cookieドメイン」は、異なるホスト上のWebGate間でのシングル・サインオン・ドメインの指定に使用します。このフィールドは空白のままでかまいません。
「保存」をクリックします。
WebGateインスタンスの詳細が表示され、Access ServerまたはAccess ServerクラスタをWebGateに関連付けるよう求められます。
参照用としてページを印刷してから「戻る」をクリックします。
次の手順を実行して、Access ServerをWebGateに割り当てます。
必要に応じて、「NetPoint Access Gateの詳細」ページにナビゲートします(アクセス・システム・コンソールから、「アクセス・システム構成」→「アクセス・ゲート構成」を選択し、WebGateへのリンクをクリック)。
「NetPoint Access Gateの詳細」ページが表示されます。
「アクセス・サーバーをリスト」をクリックします。
ページが表示され、このWebGateに対しては、プライマリまたはセカンダリAccess Serverがまだ構成されていないことを示すメッセージが表示されます。
「追加」をクリックします。
「新規アクセス・サーバーの追加」ページが表示されます。
「サーバーの選択」リストから「アクセス・サーバー」を選択し、プライマリ・サーバーを指定し、WebGateに対して2つのAccess Server(接続)を定義します。
「追加」をクリックします。
ページが表示され、Access ServerとWebGateの関連付けが示されます。
手順c〜eを繰り返し、2番目のAccess Serverを追加します。
(プラットフォームおよびインストール・オプションに応じて)次のいずれかのコマンドを発行してインストールを開始します。
Windowsのコンソールのインストール:
Oracle_Access_Manager10_1_4_0_1_Win32_Domino_WebGate.exe -console
WindowsのGUIのインストール:
Oracle_Access_Manager10_1_4_0_1_Win32_Domino_WebGate.exe
Linuxのコンソールのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_OHS2_WebGate
LinuxのGUIのインストール:
./Oracle_Access_Manager10_1_4_0_1_linux_OHS2_WebGate -gui
「ようこそ」画面が表示されます。
「次へ」をクリックします。
ライセンス契約が表示されます。
契約条件を読んで内容に同意し、「次へ」をクリックします。
資格証明を指定するように求められます。
次の各プラットフォームに該当する資格証明を指定します。
Windows: 「次へ」をクリックして、管理者権限でログインしたことを示します。管理者権限でログインしていない場合は、インストールを取り消し、管理者権限でログインして、インストールを再実行します。
UNIX: Webサーバーが使用するユーザー名とグループを指定し、「次へ」をクリックします。
インストール・ディレクトリを指定するように求められます。
フィールドの内容を変更せずにデフォルトを受け入れるか、選択したディレクトリを指定した後、「次へ」をクリックします。
Linuxシステムでは、次のプロンプトが表示されます。
To proceed with installation of Oracle COREid Access and Identity 7.0.4 WebGate and for successfully running the product, you must install additional GCC runtime libraries, namely libgcc_s.so.1 and libstdc++.so.5. Note that these libraries should be compatible with GCC 3.3.2. The libraries are available for download from either of the following locations - http://metalink.oracle.com (requires login), or http://www.oracle.com/technology/products/ias/index.html. Once these libraries are locally available, please specify the directory containing the files and proceed with the installation. Location of GCC runtime libraries []:
Linux以外のプラットフォームでは、ロケール(言語)を選択するように求められます。
次のいずれかを実行します。
Linuxでは、GCCランタイム・ライブラリをインストールしてからインストールを続行します。
他のプラットフォームでは、デフォルトのロケールおよびその他のロケールを選択して、「次へ」をクリックします。
インストール・ディレクトリおよび必要なディスク領域が表示されます。
「次へ」をクリックします。
進行状況メッセージが表示され、トランスポート・セキュリティ・モードを指定するように求められます。
WebGateに対するトランスポート・セキュリティ・モードに、「証明書」を指定します。
ディレクトリ・サーバーの詳細を指定するように求められます。
次のWebGateに関する詳細を指定します。
「WebGate ID」フィールドで、アクセス・システム・コンソール内のWebGateを特定する一意のIDを指定します。
「WebGateのパスワード」フィールドで、アクセス・システム・コンソールで定義されたパスワードを指定します。パスワードが指定されていない場合、このフィールドは空白のままにします。
「アクセス・サーバーID」フィールドで、WebGateに関連付けられたAccess Serverを指定します。
「DNSホスト名」フィールドで、Access ServerのDNSホスト名を指定します。
「ポート番号」フィールドで、Access ServerがWebGateをリスニングするポートを指定します。
パスワード・フレーズを指定します。
「次へ」をクリックします。
「はい」をクリックし、Webサーバーを自動更新し、「次へ」をクリックします。
httpd.confファイルを含むディレクトリのフルパスを指定します(ORACLE_HOME/Apache/Apache/conf)。
Webサーバーの構成が更新されたことを伝えるメッセージが表示されます。
Webサーバーを停止し、再起動します。
「次へ」をクリックします。
Read Me情報が表示されます。
情報の内容を調べ、「次へ」をクリックします。
インストールが成功したことを伝えるメッセージが表示されます。
「終了」をクリックします。
コンピュータを再起動します。
次の手順を実行して、インストールを検証します。
Identity Server、WebPassおよびAccess Serverが実行中であることを確認します。
次のURLにアクセスします。
https://WEBHOST1:7777/access/oblix/apps/webgate/bin/webgate.cgi?progid=1
図4-1に示すような「Webゲート」ページが表示されます。
ロード・バランシング・ルーターにSSLアクセラレーションが構成されており、Oracle HTTP Serverが非SSLポートをリスニングしている場合は、Access Serverが正しく機能するように次の手順を実行する必要があります。
アクセス・システム・コンソールにアクセスします(URLは次のとおり)。
http://ADMINHOST:port/access/oblix
「アクセス・システム・コンソール」リンクをクリックします。
管理者としてログインします。
「アクセス・システム構成」タブをクリックします。
WebGateエントリのセクションにナビゲートします。
ユーザー定義パラメータProxySSLHeaderVarを追加し、次のようなヘッダー変数名を指定します。
Name: ProxySSLHeaderVarVal: IS_SSL
ロード・バランシング・ルーター(リバース・プロキシWebサーバー)の設定を変更し、IS_SSL値をsslに設定するHTTPヘッダー文字列を挿入します。たとえば、F5社のロード・バランサの場合は、「Advanced Proxy Settings」で、HTTPヘッダー文字列IS_SSL:sslを追加します。
Access Server SDKには、Access Server上でOC4Jアプリケーションに対して、次の認証および認可サービスを実行するために必要なAccess Server APIライブラリが含まれます。
非HTTPリソースの保護(OC4Jインスタンスとの通信にはAJPプロトコルが使用される)
OC4Jアプリケーションに対するシングル・サインオンの実装
Access Server SDKは、Access Serverのインストール・パッケージに含まれていません。このSDKは、別のセットアップ・パッケージOracle_Access_Manager10_1_4_platform_AccessServerSDK[.ext]によって提供されます。
Access SDKの詳細は、『Oracle Identity Managementアプリケーション開発者ガイド』の第5章を参照してください。
J2EEアプリケーションをインストールするコンピュータにAccess SDKをインストールする手順は次のとおりです。
管理者としてコンピュータにログオンします。
Access Server SDKのインストール・パッケージ・ディレクトリにナビゲートします。
Oracle_Access_Manager_Win32_AccessServerSDK.exeをダブルクリックして、インストーラを起動します。
「ようこそ」画面が表示されます。
「次へ」をクリックします。
ライセンス契約が表示されます。
契約条件を読んで内容に同意し、「次へ」をクリックします。
資格証明を指定するように求められます。
次の各プラットフォームに該当する資格証明を指定します。
「次へ」をクリックして、管理者権限でログインしたことを示します。管理者権限でログインしていない場合は、インストールを取り消し、管理者権限でログインして、インストールを再実行します。
インストール・ディレクトリを指定するように求められます。
フィールドの内容を変更せずにデフォルトを受け入れるか、選択したディレクトリを指定した後、「次へ」をクリックします。
ロケール(言語)を選択するように求められます。
デフォルトのロケールおよびその他のロケールを選択して、「次へをクリックします。
インストール・ディレクトリおよび必要なディスク領域が表示されます。
このディレクトリをメモしておいてください(後で入力するように求められる)。
「次へ」をクリックします。
この後のプロンプトに従って適切に手順を実行します。
インストールが成功したことを伝えるメッセージが画面に表示されます。
AccessGateの保護対象とするアプリケーションの所有者としてコンピュータにログオンします。
Access Server SDKのインストール・パッケージ・ディレクトリにナビゲートします。
次のいずれかのコマンドを発行して、インストーラを起動します(インストールに応じてプラットフォームの箇所を変更する)。
Solaris GUI:
./Oracle_Access_Manager10_1_4_0_1_sparc-s2_AccessServerSDK
Solarisコマンドライン:
./Oracle_Access_Manager10_1_4_0_1_sparc-s2_AccessServerSDK
Linux:
./Oracle_Access_Manager10_1_4_0_1_linux_AccessServerSDK
「ようこそ」画面が表示されます。
「次へ」をクリックします。
ライセンス契約が表示されます。
契約条件を読んで内容に同意し、「次へ」をクリックします。
資格証明を指定するように求められます。
AccessGateの保護対象とするアプリケーション所有者のユーザー名およびグループを指定し、「次へ」をクリックします。
インストール・ディレクトリを指定するように求められます。
フィールドの内容を変更せずにデフォルトを受け入れるか、選択したディレクトリを指定した後、「次へ」をクリックします。
ロケール(言語)を選択するように求められます。
デフォルトのロケールおよびその他のロケールを選択して、「次へをクリックします。
インストール・ディレクトリおよび必要なディスク領域が表示されます。
このディレクトリをメモしておいてください(後で入力するように求められる)。
「次へ」をクリックします。
Linuxシステムでは、次のプロンプトが表示されます。
To proceed with installation of Oracle COREid Access and Identity 7.0.4 Access Server SDK and for successfully running the product, you must install additional GCC runtime libraries, namely libgcc_s.so.1 and libstdc++.so.5. Note that these libraries should be compatible with GCC 3.3.2. The libraries are available for download from either of the following locations - http://metalink.oracle.com (requires login), or http://www.oracle.com/technology/products/ias/index.html. Once these libraries are locally available, please specify the directory containing the files and proceed with the installation. Location of GCC runtime libraries []:
プロンプトに従って適切に手順を実行します。
インストールが成功したことを伝えるメッセージが画面に表示されます。
アクセス・システム・コンソールでAccessGate用のインスタンスを作成します。
アクセス・システム・コンソールにアクセスします(URLは次のとおり)。
http://ADMINHOST:port/access/oblix
「アクセス・システム・コンソール」リンクをクリックします。
管理者としてログインします。
「アクセス・システム構成」タブをクリックします。
「新規アクセス・ゲートの追加」をクリックします。
「アクセス・ゲート名」フィールドで、AccessGateの名前を入力します。この名前は、対象のディレクトリ・サーバーにまだ指定されていない名前にする必要があります。
「説明」フィールド(オプション)で、AccessGateに関する追加の説明を入力します。
「ホスト名」フィールドで、IDMHOST1、IDMHOST2、ADMINHOSTのいずれかを指定します。
(オプション)「ポート」フィールドで、Webサーバーがリスニングするポートを指定します。
「アクセス・ゲートのパスワード」フィールドおよび「アクセス・ゲートのパスワードを再入力」フィールドで、インスタンスの一意のパスワードを入力および確認します。
「トランスポート・セキュリティ」フィールドで、「オープン」を指定します(トランスポート・セキュリティ・モードは、すべてのAccess ServerとWebGateで同一であることが必要)。
「保存」をクリックします。
AccessGateインスタンスの詳細が表示され、Access ServerまたはAccess ServerクラスタをAccessGateに関連付けるよう求められます。
参照用としてページを印刷してから「戻る」をクリックします。
次にナビゲートします。
AccessServerSDK path/oblix/tools/configureAccessGate
次のコマンドを発行します。
./configureAccessGate -i AccessServerSDKのパス-t AccessGate
次のプロンプトが表示されます。
アクセス・ゲートを実行するモードを入力してください: 1(オープン) 2(簡易) 3(証明書)
2を入力します。
次のプロンプトが表示されます。
アクセス・ゲートIDを入力してください:
access_gate_APPHOST1_sdk1を入力します。
次のプロンプトが表示されます。
このアクセス・ゲートのパスワードを入力してください:
パスワードを入力します。
次のプロンプトが表示されます。
アクセス・サーバーIDを入力してください:
access_server_IDMHOST1を入力します。
次のプロンプトが表示されます。
アクセス・サーバー・ホスト・マシン名を入力してください:
IDMHOST1.mycompany.comを入力します。
次のプロンプトが表示されます。
アクセス・サーバー・ポートを入力してください:
6021を入力します。
次のプロンプトが表示されます。
Access Serverへの接続を準備をしています。お待ちください。アクセス・ゲートは正常にインストールされました。[ENTER]キーを押して続行します...
[Enter]を押します。
ここまでの手順を、ホスト名を適切なものに置き換えてAPPHOST2に対して繰り返します。
AccessSDKの共有ライブラリ・パスが含まれるように、すべてのOC4Jインスタンスのopmn.xmlファイルを更新します。
<process-type id="app1" module-id="OC4J" status="enabled">
<module-data>
<category id="start-parameters">
<data id="java-options" value="-server
-Djava.library.path=AccessServerSDK path/oblix/lib
-Djava.security.policy=$ORACLE_HOME/j2ee/app1/config/java2.policy
-Djava.awt.headless=true -Dhttp.webdir.enable=false"/>
APPHOST2_ORACLE_HOME/OPMN/BINにある次のコマンドを発行し、OPMNを再起動します。
opmnctl reload
Oracle COREid Access and Identityを使用するアプリケーションがデプロイされたOC4Jインスタンスを再起動します。
Oracle COREid Access and Identity、WebGateおよびAccess Server SDKをインストールした後は、この項の手順に従って、WebCenterコンポーネントをOracle COREid Access and Identityと統合する必要があります。
opmn.xmlファイルを更新し、例4-1に示すように、LD_ASSUME_KERNEL環境変数を2.4.19に設定します。
例4-1 opmn.xmlファイルの更新
<process-type id="OC4J_WebCenter" module-id="OC4J" status="enabled"> <environment> <variable id="LD_ASSUME_KERNEL" value="2.4.19"/> </environment> <module-data> <category id="start-parameters"> <data id="java-options" value="-server -XX:MaxPermSize=128M -ms512M -mx1024M -XX:AppendRatio=3 -Djava.library.path=/product/oracle/AccessServerSDK/oblix/lib -Djava.security.policy=$ORACLE_HOME/j2ee/home/config/java2.policy -Djava.awt.headless=true -Dhttp.webdir.enable=false ...
Access Serverの/oblix/lib/jobaccess.jarファイルをORACLE_HOME/j2ee/home/lib/extディレクトリにコピーします。次に例を示します。
cp product/oracle/AccessServerSDK/oblix/lib/jobaccess.jar ORACLE_HOME/j2ee/home/lib/ext
次のコマンドを発行して、OC4J_WebCenterインスタンスを再起動します。
opmnctl reload
opmnctl restartproc process-type=OC4J_WebCenter
ファイルORACLE_HOME/ohs/htdocs/login/login.htmlを作成します。ユーザー名とパスワードの変数名は、次の手順でCOREidSSOformとCOREidSSONoPwdに対して定義するプラグインと一致します。
|
注意: 詳細は、『Oracle Containers for J2EEセキュリティ・ガイド』の第11章、ログイン・フォームの作成に関する項を参照してください。 |
次のように、Access Serverコンソールで認証スキーム、リソース・タイプおよびアクションURL保護を作成します。
フォームベース認証スキームのCOREidSSOformを作成します。詳細は、『Oracle Containers for J2EEセキュリティ・ガイド』の第11章、Policy Managerにおけるフォームベース認証の定義に関する項を参照してください。
パスワードなしの認証用にCOREidSSONoPwdを作成します。詳細は、『Oracle Containers for J2EEセキュリティ・ガイド』の第11章、Policy ManagerにおけるBasic認証の定義に関する項を参照してください。
system-jazn-data.xmlファイルのlogin-modulesセクションに使用するmyresourcetypeを作成します。詳細は、『Oracle Containers for J2EEセキュリティ・ガイド』の第11章、リソース・タイプの名前および操作の構成に関する項を参照してください。
COREidSSONoPwdを使用して、login.htmlファイルのアクションURLを保護します。詳細は、『Oracle Containers for J2EEセキュリティ・ガイド』の第11章、アクションURLの保護に関する項を参照してください。
|
注意: COREidSSOformとCOREidSSONoPwdのプラグインは、login.htmlファイルの変数と一致する必要があります。 |
Access Serverコンソールを、『Oracle COREid Access and Identity Access Administration Guide』の手順に従って使用して、COREidSSOformのURLを保護する次のようなポリシー・ドメインを作成します。
/em
手順1で作成した保護されているURLにアクセスします。
この時点では、ログインは完全には機能しません。このURLにアクセスしようとすると、/login/login.htmlページにリダイレクトされます。
ORACLE_HOME/j2ee/OC4J_WebCenter/config/system-jazn-data.xmlファイルのjazn-loginconfigセクションにあるapplicationセクションを探します。applicationセクションは、例4-2に太字で示されています。
例4-2 system-jazn-data.xmlの<application>セクションへの追加
<grant>
<grantee>
<principals>
<principal>
<class>oracle.security.jazn.realm.CoreIDPrincipal</class>
<name>page-viewer</name>
</principal>
</principals>
</grantee>
<permissions>
... ...
<class>oracle.security.jazn.realm.CoreIDPrincipal</class>
<name>page-customizer</name>
... ...
<class>oracle.security.jazn.realm.CoreIDPrincipal</class>
<name>page-personalizer</name>
... ...
アプリケーション名を、認可するコンポーネントのアプリケーション名に置き換えます。たとえば、Application Server Controlコンソールの場合は、ascontrolになります。
必要に応じて、既存のapplicationセクションをコピーして貼り付け、nameの値をアプリケーション名に置き換えることで、認可する各コンポーネントのapplicationセクションを作成します。
認証方式として、COREIDSSOをORACLE_HOME/j2ee/OC4J_WebCenter/application-deployments/application name/orion-application.xmlに追加します。たとえば、次の要素を、
<jazn provider="XML" default-realm="jazn.com" jaas-mode="doAsPrivileged"/>
|
注意: jaas-mode設定は、特定のアプリケーションが必要とする値です。アプリケーションの開発中、jaas-mode="doAsPrivileged"は設計時にJDeveloperのADFセキュリティ・ウィザードを使用して設定されます。その後は、いつでも手動で設定できます。 |
太字で示す次の要素に置き換えます(doASPrivilegedの後のスラッシュは削除する必要がある)。
<jazn provider="XML" default-realm="jazn.com" jaas-mode="doAsPrivileged"> <jazn-web-app auth-method="COREIDSSO"/> </jazn>
|
注意: ファイルを編集する際は、整形式のXMLがくずれないように注意してください。XMLが整形式でなくなると、opmnctlユーティリティでアプリケーションを起動する際にserver.xmlファイルからアプリケーションが削除される場合があり、そのアプリケーションはアンデプロイされてしまいます。 |
Oracle Internet Directoryのoc4j-administratorsグループとascontrol_adminグループにoc4jadminを追加して、Oracle Internet Directoryとともに使用するOracle COREid Access and Identityに、適切なロールとユーザーが入力されていることを確認してください。ユーザーをグループに追加する手順の詳細は、Oracle Internet Directoryのドキュメント・セットを参照してください。これは、Oracle Identity Management 10g(10.1.4.0.1)のドキュメント・ライブラリで入手可能です。次のURLで、「View Library」→「Identity and Access Management」をクリックしてください。
OC4Jインスタンスを再起動します。
保護されたURLにアクセスし、ログインが機能することを確認します。
WebGateディレクトリaccess/oblix/lang/en-us/にあるlogout.htmlファイルをORACLE_HOME/ohs/htdocsにコピーします。
「アクセス・システム・コンソール」→「アクセス・システム構成」→「サーバー設定」→「SSOログアウトURLの構成」にナビゲートします。
URLを/logout.htmlに設定します。
Policy ManagerのOracle HTTP Serverを再起動します。
次のいずれかの手順を実行して、Oracle COREid Access and Identityに構成を再度読み取らせます。
Oracle COREid Access and Identityサーバーを再起動します。
「システム構成」→「サーバー設定」→「キャッシュ」を選択し、IDシステム・コンソールでキャッシュを消去します。
ORACLE_HOME/j2ee/OC4J_WebCenter/config/jazn.xmlファイルで、custom.sso.url.logoutプロパティを次のように更新します。
<property name="custom.sso.url.logout" value="/logout.html"/>
次のコマンドを発行して、OC4Jインスタンスを再起動します。
opmnctl reload
opmnctl restartproc process-type=OC4J_WebCenter
すべてのコンポーネントのログアウトで、このログアウト・ページにリダイレクトされるようになりました。
IDMHOST2上のIdentity Serverは、IDMHOST1が使用不可になった場合に、IDMHOST1上のIdentity Serverにルーティングされたリクエストを処理できるように構成する必要があります。IDMHOST2上のIdentity Serverをフェイルオーバー・サーバーとして構成するには、事前に次の構成が必要です。
既存のOracle Internet Directoryと通信する
セカンダリ・サーバーとしての既存のWebPassと関連付けられている
次の2つのフェイルオーバー・パスの構成が必要です。
Identity Serverのシステム・コンソールにアクセスします(URLは次のとおり)。
http://ADMINHOST:port/identity/oblix
Identity Serverシステムのメイン・ページが表示されます。
「システム管理」→「システム構成」→「Webパスの構成」→<対象のWebPass名>→「変更」を選択します。
次のように、各フィールドに入力します。
フェイルオーバーしきい値: Webコンポーネントからそのプライマリ・サーバーであるNetPointへのライブ接続の数。
IDサーバー・タイムアウトしきい値: WebコンポーネントがNetPointサーバーからのレスポンスを待機する秒数。この秒数が経過すると、Identity Serverに到達不能と判断され、別のIdentity Serverへの接続が試行されます。
スリープ時間(秒): 有効な接続の数が構成済の接続の最大数と等しいことを、WebGateが確認してから経過した秒数。
変更を保存します。
「Identity Serverをリスト」をクリックします。
「追加」をクリックします。
ドロップダウン・リストから、対象のIdentity Serverを選択します。
「優先度」を「プライマリ・サーバー」に設定します。
「接続数」を2以上に設定します。
「追加」をクリックします。
両方のIdentity Serverが表示されます。どちらの接続数も2以上になっていることを確認します。
「システム管理」→「システム構成」→「ディレクトリ・オプションの構成」を選択します。
「プロファイルの構成」ページが、ディレクトリ・サーバーの情報とともに表示されます。
「LDAPディレクトリ・サーバー・プロファイルの構成」から、Identity Serverプロファイルの名前を選択します。
「ディレクトリ・サーバー・プロファイルの変更」ページが表示されます。
「使用」フィールドを探し、「すべてのIDサーバー」を選択します。
IDMHOST2上のAccess Serverは、IDMHOST1が使用不可になった場合に、IDMHOST1上のAccess Serverにルーティングされたリクエストを処理できるように構成する必要があります。IDMHOST2上のAccess Serverをフェイルオーバー・サーバーとして構成するには、事前に次の構成が必要です。
既存のOracle Internet Directoryと通信する
セカンダリ・サーバーとしての既存のWebPassと関連付けられている
Access Managerに接続するWebPassインスタンスのURLで、アクセス・システム・コンソールにアクセスします。
http://ADMINHOST:port/access/oblix
アクセス・システム・コンソールのページが表示されます。
「アクセス・システム構成」→「アクセス・ゲート構成」→「すべて」→「実行」→「名前」を選択します。
「アクセス・ゲート」ページが表示されます。
次のように、各フィールドに入力します。
フェイルオーバーしきい値: Webコンポーネントからそのプライマリ・サーバーであるNetPointへのライブ接続の数。
アクセス・サーバー・タイムアウトしきい値: WebコンポーネントがNetPointサーバーからのレスポンスを待機する秒数。この秒数が経過すると、Access Serverに到達不能と判断され、別のAccess Serverへの接続が試行されます。
スリープ時間(秒): 有効な接続の数が構成済の接続の最大数と等しいことを、WebGateが確認してから経過した秒数。
変更を保存します。
「システム構成」→「サーバー設定の表示」を選択します。
「サーバー設定の表示」ページが、ディレクトリ・サーバーの情報とともに表示されます。
「LDAPディレクトリ・サーバー・プロファイルの構成」から、Access Serverプロファイルの名前を選択します。
「ディレクトリ・サーバー・プロファイルの変更」ページが表示されます。
「使用」フィールドを探し、「すべてのアクセス・サーバー」を選択します。
変更を保存します。
現時点では、サード・パーティ製品のInstallShieldに内在する未解決の欠陥によって、インストール・ディレクトリを指定した後、一部のIdentity Server製品のインストールが停止します。この問題は一時的なものであり、Linux版にのみ発生します。
インストール・ディレクトリの指定後にインストールが停止した場合は、次の手順に従ってインストールを繰り返します。
シェル・ウィンドウを開き、次の行を貼り付けます。
cd /tmp mkdir bin.$$ cd bin.$$ cat > mount <<EOF #! /bin/sh exec /bin/true EOF chmod 755 mount export PATH=`pwd`:$PATH
インストールする製品のインストール手順を実行します。
次のコマンドを発行して、一時ディレクトリを空にします。
rm -r /tmp/bin.$$
Identity Serverコンポーネントからディレクトリ・サーバーへのフェイルオーバーを構成する手順は、コンポーネント(Identity Server、Access ServerまたはAccess Manager)によって異なります。また、フェイルオーバーの構成対象がユーザー・データかOracleデータかによっても異なります。表4-1に、コンポーネント、データ・ストア別の構成方法の一覧を示します。
表4-1 ディレクトリ・サーバーに対してサポートされるフェイルオーバー構成
| コンポーネント | データ・ストア | 操作 | 構成方法 |
|---|---|---|---|
|
Identity Server |
ユーザー |
読取り/書込み |
ディレクトリ・プロファイル |
|
Identity Server |
Oracle |
読取り/書込み |
ディレクトリ・プロファイルとXML構成ファイル |
|
Access Server |
ユーザー |
読取り/書込み脚注1 |
ディレクトリ・プロファイル |
|
Access Server |
Oracle |
読取り/書込み脚注2 |
|
|
Access Server |
ポリシー |
読取り/書込み脚注3 |
|
|
Access Manager |
ユーザー |
読取り |
ディレクトリ・プロファイル XML構成ファイル |
|
Access Manager |
Oracle |
読取り/書込み脚注4 |
第4章の「Oracleデータおよびポリシー・データのディレクトリに対するフェイルオーバーの構成」を参照 |
|
Access Manager |
ポリシー |
読取り/書込み脚注5 |
XML構成ファイル |
脚注1 パスワード・ポリシーが有効化されている場合にのみ該当。
脚注2 アクセス管理サービスがオンの場合にのみ該当。バックエンドRACデータベースが1つしかない場合以外は、キャッシュの同期化に問題が発生するため、ロード・バランシングはお薦めしません。
脚注3 アクセス管理サービスがオンの場合にのみ該当。バックエンドRACデータベースが1つしかない場合以外は、キャッシュの同期化に問題が発生するため、ロード・バランシングはお薦めしません。
脚注4 バックエンドRACデータベースが1つしかない場合以外は、キャッシュの同期化に問題が発生するため、Access Managerのプロファイル書込みに対してロード・バランシングはサポートされません。
脚注5 バックエンドRACデータベースが1つしかない場合以外は、キャッシュの同期化に問題が発生するため、Access Managerのプロファイル書込みに対してロード・バランシングはサポートされません。
この項では、ユーザー・データが格納されたディレクトリ・サーバーへのIdentity Serverリクエストのフェイルオーバーを構成する方法について説明します。フェイルオーバー・シーケンスは、LDAP SDKによる障害の検出、接続エラーまたはサーバー停止エラーの返信、セカンダリ・ディレクトリ・サーバーへのリクエスト転送で構成されます。
インストールされた各コンポーネントは、ディレクトリ・プロファイルを持ちます。Identity Serverシステムまたはアクセス・システムの「ディレクトリ・プロファイル」ページで次の手順を実行して、ユーザー・データのディレクトリに対するフェイルオーバーを構成します。
フェイルオーバーを構成するサーバーの「ディレクトリ・プロファイル」ページにアクセスします。
Identity Serverシステム・コンソールから管理者としてログインし、「システム構成」→「ディレクトリ・プロファイル」にナビゲートします。
アクセス・システム・コンソールから、「システム構成」→「サーバー設定」を選択します。
「LDAPディレクトリ・サーバー・プロファイルの構成」から、フェイルオーバー機能を構成するコンポーネントおよびデータへの接続情報が記述されたディレクトリ・プロファイルを選択します。
「フェイルオーバーしきい値」フィールドを設定します。
フェイルオーバーしきい値: ライブ状態のプライマリ・ディレクトリ・サーバーの必要数。プライマリ・ディレクトリ・サーバーの数がフェイルオーバーしきい値未満になると、Identity Serverによってプライマリ・サーバーへの接続の確立が試行されます(サーバーが使用可能な場合)。サーバーが使用不可な場合は、最初にリストされているセカンダリ・サーバー、2番目にリストされているセカンダリ・サーバーの順に接続の確立が試行されます(以降も同様)。
「スリープ時間」フィールドに、接続障害の発生時に、監視スレッドが起動し接続の再確立または新しい接続の作成が試行されるまでの秒数を設定します。
「データベース・インスタンス」にナビゲートして「追加」を選択し、インスタンスのステータスとしてセカンダリ・サーバーを指定します。
この項では、Oracleデータおよびポリシー・データに対するIdentity Serverのフェイルオーバーを構成する方法について説明します。
構成データの大半は、XML構成ファイルで管理されます。マルチ言語と参照整合性に関するデータは、「ディレクトリ・プロファイル」ページで管理されます。
構成データのプライマリ・ディレクトリ・サーバーに障害が発生すると、Identity Serverはその構成エントリを読み取れなくなります。failover.xmlファイルには、セカンダリ・ディレクトリ・サーバーに関するブートストラップ情報を記述できます。failover.xmlファイルの例は、例4-3を参照してください。
Oracleデータに対するIdentity Serverのフェイルオーバーを構成する手順は次のとおりです。
次の手順に従って、フェイルオーバー機能を実装する各Identity Serverにfailover.xmlファイルを作成します。
既存のsample_failover.xmlファイル・テンプレートをコピーし、Oracle_Access_Manager_INSTALLATION_DIRECTORY/identity/oblix/config/ldapディレクトリに貼り付けます。
テキスト・エディタを使用し、例4-3を参考にしてセカンダリ・サーバーに対するフェイルオーバー情報を追加します(サーバー情報と暗号化パスワードの箇所は太字で表示)。
sample_failover.xmlファイルをfailover.xmlとして保存します。
例4-3 failover.xmlファイル
<?xml version="1.0" encoding="ISO-8859-1"?> <CompoundList xmlns="http://www.oblix.com" ListName="failover.xml"> <!-- # Max number of connections allowed to all the active ldap servers -- note this is the same as Max Active Servers> <SimpleList> <NameValPair ParamName="maxConnections" Value="1"> </NameValPair> </SimpleList> <!-- # Number of seconds after which we switch to a secondary or reconnect to a restarted primary ldap server --> <SimpleList> <NameValPair ParamName="sleepFor" Value="60"> </NameValPair> </SimpleList> <!-- # Max amount of time after which a connection to the ldap server will expire --> <SimpleList> <NameValPair ParamName="maxSessionTime" Value="0"></ NameValPair> </SimpleList> <!-- # Minimun number of active primary ldap servers after which failover to a secondary server will occur --> <SimpleList> NameValPair ParamName="failoverThreshold" Value="1"> </NameValPair> </SimpleList> <!-- # Specify the list of all secondary ldap servers here --> <ValList xmlns="http://www.oblix.com" ListName="secondary_server_list"> <ValListMember Value="sec_ldap_server"> </ValListMember> </ValList> <!-- # Specify the details of each secondary ldap server here --> <ValNameList xmlns="http://www.oracle.com" ListName="sec_ldap_server"> <NameValPair ParamName="ldapSecurityMode" Value="Open"> </NameValPair> NameValPair ParamName="ldapServerName" Value="oidhost.mycompany.com"> </NameValPair> <NameValPair ParamName="ldapServerPort" Value="389"> </NameValPair> <NameValPair ParamName="ldapRootDN" Value="cn=orcladmin"> </NameValPair> <NameValPair ParamName="ldapRootPasswd" Value="000A0259585F5C564C"> </NameValPair> <NameValPair ParamName="ldapSizeLimit" Value="0"></ NameValPair> <NameValPair ParamName="ldapTimeLimit" Value="0"></ NameValPair> </ValNameList> </CompoundList>
ディレクトリに対するフェイルオーバーを構成するには、第4章の「ユーザー・データのディレクトリに対するフェイルオーバーの構成」の説明に従って、ディレクトリ・ツリーのOracleブランチが含まれるディレクトリ・プロファイルに対応する「ディレクトリ・プロファイル」ページにアクセスします。
この項では、Access Serverのディレクトリに対するフェイルオーバーを構成する手順について説明します。
configureAAAServerツールがあるディレクトリにナビゲートします。
AccessServer installation directory/access/oblix/tools/configureAAAServer
次のコマンドを発行します。
configureAAAServer reconfig AccessServer installation directory
前述のコマンドで、AccessServer installation directoryはAccess Serverが配置されているディレクトリです。
2を入力し、Access Serverからディレクトリ・サーバーへの接続のセキュリティ・モードとして「簡易」を指定します。
Oracleまたはポリシー・データのフェイルオーバーに関する情報を指定するかどうか尋ねられます。
「Y」(はい)を選択します。
データの場所の指定を求められます。
データの場所に対応する番号を入力します(Oracleツリーの場合は1、Policyツリーの場合は2)。
実行するアクションの指定を求められます。
1(フェイルオーバー・サーバーの追加)を入力します。
次のフィールドに該当する情報を入力します。
ディレクトリ・サーバーの名前
ディレクトリ・サーバーのポート
|
注意: Active Directoryフォレスト環境のLDAPの場合、SSLモードにポート3269を使用してください。これはグローバル・カタログ・ポートです。 |
ディレクトリ・サーバーのログインDN
ディレクトリ・サーバーのパスワード
「セキュリティ・モード」に「2(Open)」を選択し、「優先度」に「2(Secondary)」を選択します。
5を入力し、[Enter]を押して終了します。
変更をコミットするよう求められます。
「1(Y)」を選択し、[Enter]を押して変更をコミットします。
ConfigureAAAServerツールによって、Access Server installation directory/access/oblix/config/ldapディレクトリに、次の.xmlファイルが自動的に作成されます。
WebResrcDBfailover.xmlファイルを、Access Serverの構成ディレクトリからPolicy Managerのインストール・ディレクトリにコピーします。
AppDBfailover.xmlファイルを、Access Serverの構成ディレクトリからPolicy Managerのインストール・ディレクトリにコピーします。
ConfigDBfailover.xmlファイルを、Access Serverの構成ディレクトリからPolicy Managerのインストール・ディレクトリにコピーします。
Identity ServerとAccess Serverには、それぞれユーザー・データに対するフェイルオーバー・ディレクトリ・サーバー・プロファイルが必要です。ディレクトリ・サーバー・プロファイルは、インストール時にIdentity ServerとAccess Serverに対して作成されます。デフォルトのディレクトリ・サーバーが使用不可の場合に、Identity ServerまたはAccess Serverが他のディレクトリ・サーバーに接続できるようにするには、それぞれのIdentity ServerとAccess Serverに、他のディレクトリ・サーバーへの接続情報が記述された2番目のプロファイルを作成する必要があります。
Identity Serverのシステム・コンソールにアクセスします(URLは次のとおり)。
http://ADMINHOST:port/identity/oblix
「ID管理」ページが表示されます。
「IDシステム・コンソール」を選択します。
ログイン・ダイアログが表示されます。
ユーザーIDとパスワードを入力し、「ログイン」をクリックします。
「システム構成」ページが表示されます。
「システム構成」をクリックしてから、「ディレクトリ・プロファイル」をクリックします。
図4-2に示すように、「プロファイルの構成」画面が表示されます。
図4-2 Oracle Access Administrationの「プロファイルの構成」画面
「LDAPディレクトリ・サーバー・プロファイルの構成」セクションで、最初のIdentity Server用のディレクトリ・サーバー・プロファイルへのリンクをクリックします。
「ディレクトリ・サーバー・プロファイルの変更」画面が表示されます。
「データベース・インスタンス」セクションで「追加」をクリックします。
「データベース・インスタンスの作成」画面が表示されます。
oidhost2.mycompany.comを指定し、「サーバー・タイプ」ドロップダウン・リストから「セカンダリ」を選択します。
「保存」をクリックします。
「ディレクトリ・サーバー・プロファイルの変更」画面が表示されます。
「LDAPディレクトリ・サーバー・プロファイルの構成」セクションで、2番目のIdentity Server用のディレクトリ・プロファイルへのリンクをクリックします。
「データベース・インスタンス」セクションで「追加」をクリックします。
「データベース・インスタンスの作成」画面が表示されます。
oidhost1.mycompany.comを指定し、「サーバー・タイプ」ドロップダウン・リストから「セカンダリ」を選択します。
「保存」をクリックします。
「ディレクトリ・サーバー・プロファイルの変更」画面が表示されます。
両方のIdentity Serverを再起動します。
図4-3 Oracle Access Administrationの「ディレクトリ・サーバー・プロファイルの作成」画面
IDシステム・コンソールにアクセスします(URLは次のとおり)。
http://ADMINHOST:port/access/oblix
「ID管理」ページが表示されます。
「IDシステム・コンソール」を選択します。
ログイン・ダイアログが表示されます。
ユーザーIDとパスワードを入力し、「ログイン」をクリックします。
「システム構成」ページが表示されます。
「システム構成」をクリックしてから、「ディレクトリ・プロファイル」をクリックします。
図4-2に示すように、「プロファイルの構成」画面が表示されます。
「LDAPディレクトリ・サーバー・プロファイルの構成」セクションで、最初のAccess Server用のディレクトリ・サーバー・プロファイルへのリンクをクリックします。
「ディレクトリ・サーバー・プロファイルの変更」画面が表示されます。
最初のAccess Server用のディレクトリ・サーバー・プロファイルのすべてのエントリと選択を記録します(画面を印刷、またはエントリと選択を書き留める)。
「使用」セクションで「アクセス・サーバー」ラジオ・ボタンを選択し、ドロップダウン・リストから「Access Server 1」を選択します。
「データベース・インスタンス」セクションで「追加」をクリックします。
「データベース・インスタンスの作成」画面が表示されます。
oidhost2.mycompany.comを指定し、「サーバー・タイプ」ドロップダウン・リストから「セカンダリ」を選択します。
「保存」をクリックします。
「ディレクトリ・サーバー・プロファイルの変更」画面が表示されます。
「LDAPディレクトリ・サーバー・プロファイルの構成」セクションで、「追加」をクリックします。
「ディレクトリ・サーバー・プロファイルの作成」画面が表示されます。
図4-4 Oracle Access Administrationの「ディレクトリ・サーバー・プロファイルの作成」画面
「名前」フィールドで、IDMHOST2上の2番目のAccess Server用のディレクトリ・サーバー・プロファイルであることがわかる名前を指定します。
次のエントリとオプションを指定します。
ディレクトリ・タイプ: Oracle Internet Directory
動的補助: いいえ
操作: すべての操作
使用: アクセス・サーバー(ドロップダウン・リストから「Access Server 2」を選択)
データベース・インスタンス: oidhost1.mycompany.com(ドロップダウン・リストから「セカンダリ」を選択)、oidhost2.mycompany.com(ドロップダウン・リストから「プライマリ」を選択)
「保存」をクリックします。
確認ダイアログ・ボックスが表示されます。
「OK」をクリックします。
これで、IDMHOST2には、デフォルト・プロファイルとフェイルオーバー・プロファイルが作成されました。
フェイルオーバーが機能することを検証するには、サーバーを停止および再起動し、操作を実行してからステータスを表示します。
IDシステム・コンソールにアクセスします(URLは次のとおり)。
http://IDMHOST1:port/identity/oblix
「ID管理」ページが表示されます。
「IDシステム・コンソール」を選択します。
ログイン・ダイアログが表示されます。
ユーザーIDとパスワードを入力し、「ログイン」をクリックします。
「システム構成」ページが表示されます。
「システム構成」をクリックしてから、「診断」をクリックします。
図4-5に示すように、「サーバー診断」画面が表示されます。
システムのsystem-jazn-data.xmlファイルを更新し、特定のユーザー・ロール(page-customizer、page-personalizerおよびpage-viewer)を含める必要があります。system-jazn-data.xmlファイルでは、ファイルベースのセキュリティ・プロバイダとOracle COREid Access and Identityの相違は、grantee要素にrealm-nameサブ要素とtypeサブ要素がなく、名前がjazn.com/usersではなく、単にusersとなることです。例4-4での付与は、Oracle COREid Access and Identityに対して構成されています。クラスoracle.security.jazn.spi.xml.XMLRealmRoleがoracle.security.jazn.realm.CoreIDPrincipalに変更されていることにも注意してください。
例4-4 Oracle COREid Access and Identityで使用するsystem-jazn-data.xmlファイル
<grant>
<grantee>
<principals>
<principal>
<class>oracle.security.jazn.realm.CoreIDPrincipal</class>
<name>page-viewer</name>
</principal>
</principals>
</grantee>
<permissions>
<permission>
<class>oracle.adf.share.security.authorization.MethodPermission</class>
<name>testjcr.getItems</name>
<actions>invoke</actions>
</permission>
<permission>
<class>oracle.adf.share.security.authorization.MethodPermission</class>
<name>testjcr.advancedSearch</name>
<actions>invoke</actions>
</permission>
<permission>
<class>oracle.adf.share.security.authorization.RegionPermission</class>
<name>view.pageDefs.PortalExtAppPageDef</name>
<actions>view</actions>
</permission>
...
</permissions>
</grant>
脚注の説明
脚注1: OHS2はApache HTTP Serverのバージョン2.0をベースにしたOracle HTTP Serverです。