| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.3.0) E67361-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.3.0) E67361-04 |
|
前 |
次 |
この章では、Oracle Access Management Access Manager (Access Manager)とOracle Identity Manager (Enterprise Edition)を統合するためのステップごとの手順を説明します。この章の細かい手順は、ユーザー固有のデプロイメントによって異なる場合があります。必要に応じて情報を環境に適応させてください。
「基本統合トポロジ」の説明のように、統合手順ではIdentity Managementコンポーネントが別々のOracle WebLogicドメインで構成されていることが前提です。この統合例で示したコンポーネントのインストールおよび構成の前提条件と詳細については、『Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
「エンタープライズ統合トポロジ」の説明のように、Oracle Identity Managementコンポーネントをエンタープライズ統合トポロジでデプロイしている場合は、実装手順について『Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド』を参照してください。Access ManagerおよびOracle Identity Managerの高可用性環境の設計およびデプロイを予定している場合は、概念および構成手順について高可用性ガイドを参照してください。
この章では、次の内容を説明します。
この項の内容は次のとおりです。
この統合シナリオにより、Oracle Identity Managerでアイデンティティを管理し、Oracle Access Management Access Managerでリソースへのアクセスを制御できるようになります。Oracle Identity Managerは、ユーザー・アカウント管理を自動化する、ユーザーのプロビジョニングおよび管理ソリューションです。一方、Access Managerは集中管理された自動シングル・サインオン(SSO)ソリューションです。
Oracle Access Management Access Manager (Access Manager)およびOracle Identity Manager (OIM)の統合で、ユーザーは次の操作が可能になります。
パスワードの期限切れおよびパスワード忘れに対する支援を利用しない、パスワードの作成およびリセット
チャレンジ質問および回答を使用したパスワードのリカバリ
チャレンジ質問および回答の設定
セルフサービス登録の実行
セルフサービス・プロファイル管理の実行
1つの認証ステップによる複数アプリケーションへのセキュアなアクセス
Access ManagerとOracle Identity Managerが統合されている場合のパスワード管理フローの詳細は、第1.5.3項「パスワード管理シナリオ」を参照してください。
Oracle Identity Managementコンポーネントは第1.2.1項「基本統合トポロジ」の説明のように別々のWebLogic Serverドメイン(分割ドメイン・トポロジ)と、別々のOracle Middlewareホームで構成する必要があります。そうしないと、1つの製品のパッチ適用またはアップグレードが、他と共有されているコンポーネント上のバージョン依存性によってブロックされる場合があります。Oracle Identity Managementコンポーネントを単一WebLogic Serverドメインにインストールすると、ドメイン内にインストール中のコンポーネント(ライブラリ、JAR、ユーティリティ、およびカスタム・プラグイン)が他のコンポーネントと互換性がない可能性があり、結果としてドメイン全体の問題が引き起こされるリスクがあります。
Access Managerでは、ポリシー・データ用にデータベースを使用し、アイデンティティ・データ用にディレクトリ・サーバーを使用します。この統合シナリオでは単一ディレクトリ・サーバーを想定しています。ディレクトリ・サーバーは別のドメインおよび別のMiddlewareホームにも同様にインストールする必要があります。
|
注意: この章の手順では、Oracle Unified Directoryをアイデンティティ・ストアとして使用することを前提としています。他のコンポーネント構成も可能です。サポートされているLDAPサーバーの詳細は、「アイデンティティ・ストアの構成」を参照してください。 |
表2-1は、Access ManagerおよびOracle Identity ManagerをOracle Unified Directoryと統合するための高レベルのタスクをリストしたものです。
ユーザーのインストール・パスによっては、この表に示された統合手順の一部をすでに実行している可能性があります。インストール・ロードマップの詳細は、第1.1.1項「インストール・ロードマップの理解」を参照してください。
表2-1 Access ManagerとOracle Identity Managerの統合フロー
| 番号 | タスク | 情報 |
|---|---|---|
|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「Access ManagerとOracle Identity Managerの統合の前提条件」を参照してください。 |
|
2 |
LDAP同期がOIMのインストール中に有効化されなかった場合、Oracle Identity Managerに対するLDAP同期を構成します。 |
詳細は、「LDAPの同期の構成」を参照してください。 |
|
3 |
スキーマを拡張することによってアイデンティティ・ストアを構成します。 |
詳細は、「Access Manager用のディレクトリ・スキーマの拡張」を参照してください。 |
|
4 |
Access Managerにより必要とされるユーザーでアイデンティティ・ストアを構成します。 |
詳細は、「Access Manager用のユーザーおよびグループの作成」を参照してください。 |
|
5 |
Oracle Identity Managerにより必要とされるユーザーでアイデンティティ・ストアを構成します。 |
詳細は、「Oracle Identity Manager用のユーザーおよびグループの作成」を参照してください。 |
|
6 |
Oracle WebLogic Serverにより必要とされるユーザーでアイデンティティ・ストアを構成します。 |
詳細は、「Oracle WebLogic Server用のユーザーおよびグループの作成」を参照してください。 |
|
7 |
Access ManagerおよびOracle Identity ManagerのOracle WebLogic Server管理対象サーバーを停止します。 |
詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のスタックの停止に関する項を参照してください。 |
|
8 |
Oracle Identity ManagerをサポートするようにAccess Managerを拡張します。 |
詳細は、「Access ManagerとOracle Identity Managerの統合の構成」を参照してください。 |
|
9 |
Access ManagerとOracle Identity Managerを統合します。 |
詳細は、「Access ManagerとOracle Identity Managerの統合」を参照してください。 |
|
10 |
11g OAMサーバーを指すように、Oracle HTTP Server (OHS)でWebGateを構成します |
詳細は、「Oracle Identity Manager上のリソースをフロントエンドするためのOracle HTTP Serverの構成」を参照してください。 |
|
11 |
IAMSuiteAgent (IDMドメイン・エージェント)を削除して、Oracle WebLogic Server管理サーバーおよび管理対象サーバーを再起動します。 |
詳細は、「IAMSuiteAgentセキュリティ・プロバイダのWebLogicからの削除」を参照してください。 |
|
12 |
統合をテストします。 |
詳細は、「Access ManagerとOracle Identity Managerの統合の機能的なテスト」を参照してください。 |
次の項では、表2-2に示すように、必要なコンポーネントが依存関係を含めてすでにインストール済で、統合の前に環境がすでに構成済であることが前提です。統合トポロジの詳細は、第1.2項「統合トポロジ」を参照してください。
表2-2 統合シナリオに必要なコンポーネント
| コンポーネント | 情報 |
|---|---|
|
11g Webゲートまたは10g Webゲートを含むOracle HTTP Server |
11g Webゲートまたは10g Webゲートを含むOracle HTTP Serverがインストールされます。 Access Manager 11gで使用するための10g Webゲートのインストールおよび登録の詳細は、『Oracle Access Management管理者ガイド』のAccess Manager 11gによる10g Webゲートの登録および管理に関する項を参照してください。 Access Manager 11gで使用するための11g Webゲートのインストールおよび登録の詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項を参照してください。 Access Managerとの統合が完了した後で、Oracle Identity Manager管理ページが正しく起動されるには、Oracle HTTP Server (OHS)プロファイルが更新されている必要があります。詳細は、「Oracle Identity Manager上のリソースをフロントエンドするためのOracle HTTP Serverの構成」を参照してください。 |
|
Oracle SOA Suite |
Oracle Identity Managerには、Oracle Identity and Access Management専用のOracle SOA Suite 11gリリース1 (11.1.1.9.0)が必要です。 SOA SuiteはOracle Identity Managerのための前提条件で、Oracle Identity Managerと同じドメイン内にインストールする必要があります。SOA Suiteを他の目的に使用する場合は、固有サービス、コンポジット、BPELプロセスなどを実行するために、別のインストールを設定する必要があります。 詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。 |
|
Oracle Unified Directory |
Oracle Unified Directoryがインストールされます。 この章の手順では、Oracle Unified Directoryをアイデンティティ・ストアとして使用することを前提としています。他のコンポーネント構成も可能です。サポートされているLDAPサーバーの詳細は、「アイデンティティ・ストアの構成」を参照してください。 Oracle Unified Directoryの詳細は、『Oracle Unified Directoryの管理』を参照してください。 |
|
Access Manager |
Access Managerはすでにインストールされています。 構成の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementの構成に関する項を参照してください。 |
|
Oracle Identity Manager |
Oracle Identity Managerはすでにインストールされ、Suite統合のためのOIMの有効化オプションが選択された状態で構成されます。構成するLDAPディレクトリのための手順に従っていることを確認します。『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity Managerサーバーの構成に関する項を参照してください。 Oracle Identity Managerのインストールの詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementのインストールと構成に関する項およびOracle Identity Managerの構成に関する項を参照してください。 |
|
wlfullclient.jarファイル |
Oracle Identity Managerは、特定の操作に |
LDAPの同期は、Access ManagerとOracle Identity Managerの統合の要件です。
Oracle Identity Managerサーバーの構成中にSuite統合のためのOIMの有効化オプションを選択した場合、LDAPの同期が有効化されて、Oracle Identity ManagerがOracle Unified Directoryと統合され、Oracle Identity Managerで作成されたユーザーおよびグループが自動的にOracle Unified Directoryと同期します。LDAP同期関連の増分リコンシリエーション・スケジューラ・ジョブ(デフォルトでは無効)をすべて有効にするには、依然としてLDAP構成後ユーティリティを実行する必要があります。また、LDAP構成後ユーティリティでは、ディレクトリ・サーバーから最後の変更番号が取得され、LDAP同期の増分リコンシリエーション・ジョブがすべて更新されます。LDAP構成後ユーティリティの実行手順については、第E.2.1項「LDAP構成後ユーティリティの実行」を参照してください。
Oracle Identity Managerサーバーの構成中にLDAP同期を有効化しなかった場合は、第E.1項「LDAPの同期の構成」の手順に従ってLDAP同期を手動で構成する必要があります。
Access ManagerをOracle Identity Managerと統合する場合、Access Managerスキーマを拡張してOracle Identity Managerをサポートし、Access Manager、Oracle Identity ManagerおよびOracle WebLogic Serverで使用するユーザーおよびグループをアイデンティティ・ストアにシードする必要があります。
この項の内容は次のとおりです。
サポートされているLDAPサーバーはOracle Internet Directory、Oracle Unified Directory、Oracle Virtual Directory (仮想化として使用される)、Oracle Directory Server Enterprise EditionおよびActive Directoryです。
Oracle Unified Directory、Oracle Internet Directory、Oracle Virtual Directory (仮想化として使用される)、Oracle Directory Server Enterprise EditionおよびActive Directoryの詳細は、次の項目を参照してください。
Oracle Unified Directoryの詳細は、『Oracle Unified Directoryの管理』を参照してください。
Oracle Internet Directoryの詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
Oracle Virtual Directoryの詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』を参照してください。
Oracle Directory Server Enterprise Editionの詳細は、『Oracle Fusion Middleware Oracle Directory Server Enterprise Edition管理者ガイド』を参照してください。
Active Directoryの詳細は、『Oracle Identity Manager Microsoft Active Directory User Managementコネクタ・ガイド』を参照してください。
IdM構成ツール(idmConfigTool)では、Oracle Identity Management (IdM)コンポーネントのインストール、構成および統合を支援するいくつかのタスクがサポートされています。IdM構成ツールを使用できるのは、Oracle Internet Directory (OID)またはOracle Unified Directory (OUD)がアイデンティティ・ストアとして使用されている場合、またはスタンドアロンのOracle Virtual Directory (OVD)が仮想化に使用されている場合のみです。IDM構成ツールは、アイデンティティ・ストアとして使用されているOracle Directory Server Enterprise Edition (ODSEE)またはActive Directory (AD)をサポートしません。これらのケースでは、手動の構成手順を実行する必要があります。idmConfigToolのpreconfigIDStore、prepareIDStore mode=OIM、OAMおよびWLSの各コマンドについて、ADおよびODSEEに対する同等の手動手順が次の項で説明されています。
|
注意: idmConfigToolコマンドを実行する前に、Access Manager、Oracle Identity Manager管理サーバーおよびLDAPサーバーが稼働中であることを確認します。詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のスタックの起動に関する項を参照してください。 |
LDAPディレクトリをアイデンティティ・ストアとして使用するには、IDM構成ツールを使用して事前構成する必要があります。これによってLDAPディレクトリ内のスキーマが拡張され、Access Manager、Oracle Identity ManagerおよびWebLogic Serverで必要なオブジェクト・クラスが含まれます。一度拡張されると、ユーザーが後の使用のためにディレクトリ内にシードされます。
Oracle Unified Directoryをアイデンティティ・ストアとして使用している場合、Oracle Unified Directoryキーストア・パスワードを次の場所にあるadmin-keystore.pinファイルから取得します。
OUD_ORACLE_INSTANCE/OUD/config
キーストア・パスワードはOracle Unified Directoryアイデンティティ・ストアに必須です。この値は、手順2でプロパティ・ファイルを作成するときに使用します。
extendOAMPropertyFileという名前のプロパティ・ファイルを、次の例のような内容で作成します。extendOAMPropertyFileファイルにはユーザー環境に固有の構成情報が含まれている必要があります。このファイルは、idmConfigToolコマンドを実行する際にLDAPアイデンティティ・ストアを構成するために使用します。
ファイルの作成時は空白行を含めないでください。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_DIRECTORYTYPE: OUD IDSTORE_ADMIN_PORT : 4444 IDSTORE_KEYSTORE_FILE : /u01/config/instances/oud1/OUD/config/admin-keystore IDSTORE_KEYSTORE_PASSWORD : 4VYGtJLG61V5OjDWKe94e601x7tgLFs
表2-3では、extendOAMPropertyFile構成ファイルの例のパラメータを説明しています。
表2-3 extendOAMPropertyFileプロパティ
| プロパティ | 説明 |
|---|---|
|
IDSTORE_HOST |
アイデンティティ・ストアのホスト名。
|
|
IDSTORE_PORT |
アイデンティティ・ストアのポート。 |
|
IDSTORE_BINDDN |
アイデンティティ・ストア・ディレクトリ内の管理ユーザー。 |
|
IDSTORE_USERNAMEATTRIBUTE |
アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。 ユーザーDNが |
|
IDSTORE_LOGINATTRIBUTE |
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。 これは、ユーザーがログインに使用する属性です(たとえば、 |
|
IDSTORE_USERSEARCHBASE |
ユーザーが保存されるディレクトリ内の場所。 このプロパティは、ユーザーを検索するディレクトリを示します。 |
|
IDSTORE_GROUPSEARCHBASE |
グループ(またはロール)が保存されるディレクトリ内の場所。 このプロパティは、グループまたはロールを検索するディレクトリを示します。 |
|
IDSTORE_SEARCHBASE |
ユーザーおよびグループが保存されるディレクトリ内の場所。 このプロパティは、 次に例を示します。 IDSTORE_SEARCHBASE: cn=oracleAccounts, dc=example,dc=com IDSTORE_USERSEARCHBASE: cn=Users,cn=oracleAccounts,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,cn=oracleAccounts,dc=example,dc=com |
|
IDSTORE_SYSTEMIDBASE |
システム処理ユーザーが保存されるディレクトリ内のコンテナの場所。 これは、メイン・ユーザー・コンテナに保存されているエンタープライズ・ユーザーとは分離して保存されます。 システム処理ユーザーは限られています。その一例としてOracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Managerリコンシリエーション・ユーザーがあげられます。 |
|
IDSTORE_DIRECTORYTYPE |
アイデンティティ・ストアのディレクトリ・タイプ。 Oracle Unified Directory内にアイデンティティ・ストアがあり、OVDを介さず直接アクセスしている場合は、 Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。 |
|
IDSTORE_ADMIN_PORT |
Oracle Unified Directoryインスタンスの管理ポート。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。 |
|
IDSTORE_KEYSTORE_FILE |
Oracle Unified Directoryキーストア・ファイルの場所。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、 |
|
IDSTORE_KEYSTORE_PASSWORD |
Oracle Unified Directoryキーストアの暗号化されたパスワード。この値は、ファイル |
idmconfigtoolコマンドに必要な環境変数を設定します。環境変数の設定の詳細は、第D.2項「環境変数の設定」を参照してください。
ディレクトリをIAM_ORACLE_HOME/idmtools/binディレクトリに変更します。
cd IAM_ORACLE_HOME/idmtools/bin
idmConfigToolコマンドをIAM_ORACLE_HOME/idmtools/binディレクトリから実行しています。
idmConfigToolコマンドを-preConfigIDStoreコマンド・オプションとともに実行して、アイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意: -preConfigIDStoreコマンド・オプションは、Oracle Internet Directory、Oracle Unified DirectoryおよびOracle Virtual Directoryをサポートします。 |
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -preConfigIDStore input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -preConfigIDStore input_file=configfile
次に例を示します。
idmConfigTool.sh -preConfigIDStore input_file=extendOAMPropertyFile
preConfigIDStoreの詳細は、第D.4.1項「preConfigIDStoreコマンド」を参照してください。
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。
コマンドをOracle Unified Directoryに対して実行する際のサンプル・コマンド出力は次のとおりです。
Enter ID Store Bind DN password : Dec 30, 2014 1:01:52 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//oam/server/oim-intg/ldif/ojd/schema/ojd_oam_pwd_schema_add.ldif . . . This tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。idmconfigtoolを実行するディレクトリにautomation.logという名前のファイルが作成されます。ツールは再入可能であり、再び安全に呼び出すことができます。
idmConfigToolは、ユーザーを作成するだけでなく、次のグループも作成します。
OrclPolicyAndCredentialWritePrivilegeGroup
OrclPolicyAndCredentialReadPrivilegeGroup
IDM構成ツールを使用して、Access Managerに必要なユーザーをアイデンティティ・ストアにシードします。
idmConfigToolコマンドでは次のものが作成されます。
cn=systemids,dc=example,dc=comの下のoamLDAPユーザー。oamLDAPユーザーはAccess ManagerからLDAPへの接続に使用されます。
cn=Users,dc=example,dc=comの下のoamadminユーザー。oamadminユーザーはOracle Access Managementコンソールの管理者です。
OAMAdministratorsグループ。idmConfigToolはoamadminユーザーをこのグループに割り当てます。
アイデンティティ・ストアをシードするには、次の手順を実行します。
Oracle Unified Directoryをアイデンティティ・ストアとして使用している場合、次の手順を実行します。
Oracle Unified Directoryキーストア・ファイルのadmin-keystoreをOracle Unified DirectoryサーバーからOAM管理サーバー・マシンにコピーします。このファイルは、Oracle Unified Directoryサーバー上の次のディレクトリにあります。
OUD_ORACLE_INSTANCE/OUD/config
手順2でプロパティ・ファイルを作成するときはローカル・マシン上のパスを使用します。
Oracle Unified Directoryキーストア・パスワードを次の場所にあるadmin-keystore.pinファイルから取得します。
OUD_ORACLE_INSTANCE/OUD/config
キーストア・パスワードはOracle Unified Directoryアイデンティティ・ストアに必須です。この値は、手順2でプロパティ・ファイルを作成するときに使用します。
preconfigOAMPropertyFileという名前のプロパティ・ファイルを、次のような内容で作成します。preconfigOAMPropertyFileファイルにはユーザー環境に固有の構成情報が含まれている必要があります。このファイルは、idmConfigToolコマンドを実行する際、Access Managerに必要なユーザーおよびグループを作成するために使用されます。
ファイルの作成時は空白行を含めないでください。
IDSTORE_HOST : idstore.example.com
IDSTORE_PORT : 389
IDSTORE_BINDDN : cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
POLICYSTORE_SHARES_IDSTORE: true
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators
IDSTORE_OAMSOFTWAREUSER:oamLDAP
IDSTORE_OAMADMINUSER:oamadmin
IDSTORE_DIRECTORYTYPE: OUD
IDSTORE_ADMIN_PORT : 4444
IDSTORE_KEYSTORE_FILE : <path to file copied from oud install>
IDSTORE_KEYSTORE_PASSWORD : 4VYGtJLG61V5OjDWKe94e601x7tgLFs
表2-4では、preconfigOAMPropertyFile構成ファイルの例のパラメータを説明しています。
表2-4 preconfigOAMPropertyFileプロパティ
| プロパティ | 説明 |
|---|---|
|
IDSTORE_HOST |
アイデンティティ・ストアのホスト名。
|
|
IDSTORE_PORT |
アイデンティティ・ストアのポート。 |
|
IDSTORE_BINDDN |
アイデンティティ・ストア・ディレクトリ内の管理ユーザー。 |
|
IDSTORE_USERNAMEATTRIBUTE |
アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。 たとえば、ユーザーDNが |
|
IDSTORE_LOGINATTRIBUTE |
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。 これは、ユーザーがログインに使用する属性です(たとえば、 |
|
IDSTORE_USERSEARCHBASE |
ユーザーが保存されるディレクトリ内の場所。このプロパティは、ユーザーを検索するディレクトリを示します。 |
|
IDSTORE_GROUPSEARCHBASE |
グループ(またはロール)が保存されるディレクトリ内の場所。 このプロパティは、グループまたはロールを検索するディレクトリを示します。 |
|
IDSTORE_SEARCHBASE |
ユーザーおよびグループが保存されるディレクトリ内の場所。 このプロパティは、 |
|
POLICYSTORE_SHARES_IDSTORE |
ポリシー・ストアとアイデンティティ・ストアが同じディレクトリ内にある場合は そうでない場合は、 |
|
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN |
Oracle Access Management管理コンソールへのアクセスを可能にするために使用するグループ。 |
|
IDSTORE_OAMSOFTWAREUSER |
Access ManagerがディレクトリまたはLDAPサーバーとの対話に使用するディレクトリ・ユーザー。 このユーザーはツールによって作成されます。 |
|
IDSTORE_OAMADMINUSER |
Oracle Access Management管理者として作成するユーザー。 このユーザーはツールによって作成されます。 |
|
IDSTORE_DIRECTORYTYPE |
アイデンティティ・ストアのディレクトリ・タイプ。 Oracle Unified Directory内にアイデンティティ・ストアがあり、OVDを介さず直接アクセスしている場合は、 Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。 |
|
IDSTORE_ADMIN_PORT |
Oracle Unified Directoryインスタンスの管理ポート。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。 |
|
IDSTORE_KEYSTORE_FILE |
Oracle Unified Directoryキーストア・ファイルの場所。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、 |
|
IDSTORE_KEYSTORE_PASSWORD |
Oracle Unified Directoryキーストアの暗号化されたパスワード。この値は、ファイル |
idmconfigtoolコマンドに必要な環境変数を設定します。環境変数の設定の詳細は、第D.2項「環境変数の設定」を参照してください。
ディレクトリをIAM_ORACLE_HOME/idmtools/binディレクトリに変更します。
cd IAM_ORACLE_HOME/idmtools/bin
idmConfigToolコマンドをIAM_ORACLE_HOME/idmtools/binディレクトリから実行しています。
idmConfigToolコマンドを-prepareIDStore mode=OAMコマンド・オプションとともに実行して、アイデンティティ・ストアを構成します。
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OAM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OAM input_file=configfile
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=OAM input_file=preconfigOAMPropertyFile
prepareIDStore mode=OAMの詳細は、第D.4.2.1項「prepareIDStore mode=OAM」を参照してください。
このコマンドでは、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。その後、次の3つのアカウントのパスワードを作成するように要求されます。
oblixanonymous
Oblix匿名ユーザー・アカウント。パブリック・ユーザーです。
oamadmin
OAM管理者アカウント。Oracle Access Managementコンソールへのログインに使用されます。
oamLDAP
OAM LDAPアカウント。認証のためのAccess Managerのアイデンティティ・ストアへの接続に使用されます。
コマンドをOracle Unified Directoryに対して実行する際のサンプル・コマンド出力は次のとおりです。
Enter ID Store Bind DN password : *** Creation of Oblix Anonymous User *** Dec 30, 2014 1:53:55 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/oud/oam_10g_anonymous_user_template.ldif Enter User Password for oblixanonymous: Confirm User Password for oblixanonymous: *** Creation of oamadmin *** Dec 30, 2014 1:54:46 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/oud/oam_user_template.ldif Enter User Password for oamadmin: Confirm User Password for oamadmin: *** Creation of oamLDAP *** Dec 30, 2014 1:55:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/oud/oim_user_template.ldif Enter User Password for oamLDAP: Confirm User Password for oamLDAP: Dec 30, 2014 1:55:57 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/common/oam_user_group_read_acl_template.ldif . . . *** Creation of CO *** Dec 30, 2014 1:55:58 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/common/orgunit_template.ldif *** Creation of People *** Dec 30, 2014 1:55:58 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/common/orgunit_template.ldif *** Creation of vgoLocator *** Dec 30, 2014 1:55:58 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/common/orgunit_template.ldif *** Creation of default vgoLocator *** Dec 30, 2014 1:55:58 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/common/esso_default.ldif *** Creation of ESSO acl *** Dec 30, 2014 1:55:58 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/oud/esso_acl.ldif The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.logファイルが作成されます。ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
IDM構成ツールを使用して、次のユーザーを作成します。
oimLDAP
cn=systemids、dc=example、dc=comの下にあり、OIMAdministratorsグループに関連付けられたLDAP内のシステム・ユーザー。
Oracle Identity ManagerのかわりにOracle Unified DirectoryまたはOracle Internet Directoryで操作を実行するにはシステム・ユーザーが必要です。
IDM構成ツールはシステム・コンテナでこのユーザーを作成し、Oracle Identity Managerが通信するすべてのコンテナを制御するのに適した権限を付与します。Oracle Unified DirectoryまたはOracle Internet Directoryは、これらの資格証明を使用してバックエンド・ディレクトリに接続します。
oimLDAPユーザー資格証明はOracle Identity ManagerからLDAPへの通信に使用されます。
xelsysadm
LDAPのOracle Identity Managerシステム管理者
アイデンティティ・ストアにxelsysadmユーザーをシードしてそれをOracle Identity Manager管理グループに割り当てて、oimLDAPシステム・ユーザーを適切な権限で作成するには、次の手順を実行します。
|
注意: LDAP同期の手動構成の一環としてユーザーをすでに作成してある場合は、この手順をスキップしてください。詳細は、第E.1.1項「LDAP同期を有効にするための前提条件の実行」を参照してください。 |
Oracle Unified Directoryをアイデンティティ・ストアとして使用している場合、次の手順を実行します。
Oracle Unified Directoryキーストア・ファイルのadmin-keystoreをOracle Unified DirectoryサーバーからOIM管理サーバー・マシンにコピーします。このファイルは、Oracle Unified Directoryサーバー上の次のディレクトリにあります。
OUD_ORACLE_INSTANCE/OUD/config
手順2でプロパティ・ファイルを作成するときはローカル・マシン上のパスを使用します。
Oracle Unified Directoryキーストア・パスワードを次の場所にあるadmin-keystore.pinファイルから取得します。
OUD_ORACLE_INSTANCE/OUD/config
キーストア・パスワードはOracle Unified Directoryアイデンティティ・ストアに必須です。この値は、手順2でプロパティ・ファイルを作成するときに使用します。
preconfigOIMPropertyFileという名前のプロパティ・ファイルを、次のような内容で作成します。preconfigOIMPropertyFileファイルにはユーザー環境に固有の構成情報が含まれている必要があります。このファイルは、idmConfigToolコマンドを実行する際、Oracle Identity Managerに必要なユーザーおよびグループを作成するために使用されます。
ファイルの作成時は空白行を含めないでください。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_OIMADMINUSER: oimLDAP IDSTORE_OIMADMINGROUP: OIMAdministrators IDSTORE_DIRECTORYTYPE: OUD IDSTORE_ADMIN_PORT : 4444 IDSTORE_KEYSTORE_FILE : <path to file copied from oud install> IDSTORE_KEYSTORE_PASSWORD : 4VYGtJLG61V5OjDWKe94e601x7tgLFs
表2-5では、preconfigOIMPropertyFile構成ファイルの例のパラメータを説明しています。
表2-5 preconfigOIMPropertyFileプロパティ
| プロパティ | 説明 |
|---|---|
|
IDSTORE_HOST |
アイデンティティ・ストアのホスト名。
|
|
IDSTORE_PORT |
アイデンティティ・ストアのポート。 |
|
IDSTORE_BINDDN |
アイデンティティ・ストア・ディレクトリ内の管理ユーザー。 |
|
IDSTORE_USERNAMEATTRIBUTE |
アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。 |
|
IDSTORE_LOGINATTRIBUTE |
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。 |
|
IDSTORE_USERSEARCHBASE |
ユーザーを配置するアイデンティティ・ストア内の場所。 |
|
IDSTORE_GROUPSEARCHBASE |
グループを配置するアイデンティティ・ストア内の場所。 |
|
IDSTORE_SEARCHBASE |
ユーザーおよびグループが保存されるディレクトリ内の場所。 |
|
POLICYSTORE_SHARES_IDSTORE |
ポリシー・ストアとアイデンティティ・ストアが同じディレクトリ内にある場合は |
|
IDSTORE_SYSTEMIDBASE |
Oracle Identity Managerリコンシリエーション・ユーザーを配置するディレクトリ内の場所。 |
|
IDSTORE_OIMADMINUSER |
アイデンティティ・ストアに接続するために、Oracle Identity Managerにより使用されるユーザー。 |
|
IDSTORE_OIMADMINGROUP |
Oracle Identity Manager管理ユーザーを保持するために作成するグループ。 |
|
IDSTORE_DIRECTORYTYPE |
アイデンティティ・ストアのディレクトリ・タイプ。 Oracle Unified Directory内にアイデンティティ・ストアがあり、OVDを介さず直接アクセスしている場合は、 Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。 |
|
IDSTORE_ADMIN_PORT |
Oracle Unified Directoryインスタンスの管理ポート。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。 |
|
IDSTORE_KEYSTORE_FILE |
Oracle Unified Directoryキーストア・ファイルの場所。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、 |
|
IDSTORE_KEYSTORE_PASSWORD |
Oracle Unified Directoryキーストアの暗号化されたパスワード。この値は、ファイル |
idmconfigtoolコマンドに必要な環境変数を設定します。環境変数の設定の詳細は、第D.2項「環境変数の設定」を参照してください。
ディレクトリをIAM_ORACLE_HOME/idmtools/binディレクトリに変更します。
cd IAM_ORACLE_HOME/idmtools/bin
idmConfigToolコマンドをIAM_ORACLE_HOME/idmtools/binディレクトリから実行しています。
idmConfigToolコマンドを-prepareIDStore mode=OIMコマンド・オプションとともに使用して、アイデンティティ・ストアを構成します。
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OIM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OIM input_file=configfile
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=OIM input_file=preconfigOIMPropertyFile
prepareIDStore mode=OIMの詳細は、第D.4.2.2項「prepareIDStore mode=OIM」を参照してください。
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。このコマンドでは、次の2つのアカウントのパスワードも作成するように要求されます。
IDSTORE_OIMADMINUSER
xelsysadm。この値は、Oracle Identity Managerを構成するときに作成した値と一致する必要があります。
コマンドをOracle Unified Directoryに対して実行する際のサンプル・コマンド出力は次のとおりです。
Enter ID Store Bind DN password : ***Creation of oimLDAP*** Jan 28, 2015 9:27:00 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO:-> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1/idmtools/templates/oud/oim_user_template.ldif Enter User Password for oimLDAP: Confirm User Password for oimLDAP: ***Add password reset privilege to oimLDAP*** Jan 28, 2015 9:27:01 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO:-> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1/idmtools/templates/oud/add_pwd_reset_privilege.ldif . . . ***Creation of Xel Sys Admin User*** Jan 28, 2015 9:27:01 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1/idmtools/templates/oud/idm_xelsysadmin_user.ldif Enter User Password for xelsysadm: Confirm User Password for xelsysadm: Jan 28, 2015 9:27:01 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1/idmtools/templates/oud/oud_set_lockout_failure_count.ldif The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.logファイルが作成されます。ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
管理コンソールに対するシングル・サインオンを有効にするには、Oracle WebLogic管理コンソールとOracle Enterprise Manager Fusion Middleware Controlにログインする権限を持つユーザーがアイデンティティ・ストアに存在することを確認する必要があります。IDM構成ツールを使用して、WebLogic Serverに必要なユーザーをアイデンティティ・ストアに次のようにシードします。
次の手順では、WebLogic (weblogic_idm)のドメイン管理者が作成され、その資格証明は、configOIMコマンドの実行時にOracle Identity Managerリソース・ポリシーをAccess Manager構成に追加するために使用されます。
preconfigWLSPropertyFileという名前のプロパティ・ファイルを、次のような内容で作成します。preconfigWLSPropertyFileファイルにはユーザー環境に固有の構成情報が含まれている必要があります。このファイルは、idmConfigToolコマンドを実行する際、Oracle WebLogic Serverに必要なユーザーおよびグループを作成するために使用されます。
ファイルの作成時は空白行を含めないでください。
IDSTORE_HOST : idstore.example.com IDSTORE_PORT : 389 IDSTORE_BINDDN : cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_WLSADMINUSER: weblogic_idm IDSTORE_WLSADMINGROUP: wlsadmingroup IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true
表2-6では、preconfigWLSPropertyFile構成ファイルの例のパラメータを説明しています。
表2-6 preconfigWLSPropertyFileプロパティ
| プロパティ | 説明 |
|---|---|
|
IDSTORE_HOST |
アイデンティティ・ストアのホスト名。
|
|
IDSTORE_PORT |
アイデンティティ・ストアのポート。 |
|
IDSTORE_BINDDN |
アイデンティティ・ストア・ディレクトリ内の管理ユーザー。 |
|
IDSTORE_USERNAMEATTRIBUTE |
アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。 |
|
IDSTORE_LOGINATTRIBUTE |
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。 |
|
IDSTORE_WLSADMINUSER |
Oracle WebLogic Serverのアイデンティティ・ストア管理者。 |
|
IDSTORE_WLSADMINGROUP |
Oracle WebLogic Serverのアイデンティティ・ストア管理者グループ。 |
|
IDSTORE_USERSEARCHBASE |
ユーザーが保存されるディレクトリ内の場所。 |
|
IDSTORE_GROUPSEARCHBASE |
グループが保存されるディレクトリ内の場所。 |
|
IDSTORE_SEARCHBASE |
ユーザーおよびグループが保存されるディレクトリ内の場所。 |
|
POLICYSTORE_SHARES_IDSTORE |
ポリシー・ストアとアイデンティティ・ストアが同じディレクトリ内にある場合は そうでない場合は、 |
idmconfigtoolコマンドに必要な環境変数を設定します。環境変数の設定の詳細は、第D.2項「環境変数の設定」を参照してください。
ディレクトリをIAM_ORACLE_HOME/idmtools/binディレクトリに変更します。
cd IAM_ORACLE_HOME/idmtools/bin
idmConfigToolコマンドをIAM_ORACLE_HOME/idmtools/binディレクトリから実行しています。
idmConfigToolを-prepareIDStore mode=WLSコマンド・オプションとともに使用して、アイデンティティ・ストアを構成します。
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=WLS input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=WLS input_file=configfile
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=WLS input_file=preconfigWLSPropertyFile
-prepareIDStore mode=WLSの詳細は、第D.4.2.4項「prepareIDStore mode=WLS」を参照してください。
このコマンドでは、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。その後、次のアカウントのパスワードを作成するように要求されます。
WebLogic管理ユーザー(weblogic_idm)
コマンドをOracle Unified Directoryに対して実行する際のサンプル・コマンド出力は次のとおりです。
Enter ID Store Bind DN password : *** Creation of Weblogic Admin User *** Dec 10, 2014 1:43:30 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/oud/oam_user_template.ldif Enter User Password for weblogic_idm: Confirm User Password for weblogic_idm: Dec 10, 2014 1:44:12 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/oud/weblogic_admin_group.ldif Dec 10, 2014 1:44:12 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/user1/Oracle/middleware/Oracle_IDM1//idmtools/templates/common/group_member_template.ldif The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.logファイルが作成されます。ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
Oracle Fusion Applicationsでは複数のユーザーおよびグループをアイデンティティ・ストア内に作成することが求められます。IDM構成ツールを使用して、readOnlyユーザー、readWriteユーザーおよびsuperuserをアイデンティティ・ストアにシードして、次のグループを作成します。
orclFAGroupReadPrivilegeGroup
orclFAGroupWritePrivilegeGroup
orclFAUserReadPrivilegeGroup
orclFAUserWritePrefsPrivilegeGroup
orclFAUserWritePrivilegeGroup
ユーザーおよびグループを作成する以外に、idmConfigToolはreadOnlyユーザーをorclFAGroupReadPrivilegeGroup、orclFAUserReadPrivilegeGroupおよびorclFAUserWritePrefsPrivilegeGroupの各グループに割り当てて、readWriteユーザーをorclFAUserWritePrivilegeGroupおよびorclFAGroupWritePrivilegeGroupの各グループに割り当てます。
次の手順ではユーザーおよびグループが作成され、readOnlyおよびreadWriteの各ユーザーが適切なグループに追加されます。
Oracle Unified Directoryをアイデンティティ・ストアとして使用している場合、次の手順を実行します。
Oracle Unified Directoryキーストア・ファイルのadmin-keystoreをOracle Unified DirectoryサーバーからOIM管理サーバー・マシンにコピーします。このファイルは、Oracle Unified Directoryサーバー上の次のディレクトリにあります。
OUD_ORACLE_INSTANCE/OUD/config
手順2でプロパティ・ファイルを作成するときはローカル・マシン上のパスを使用します。
Oracle Unified Directoryキーストア・パスワードを次の場所にあるadmin-keystore.pinファイルから取得します。
OUD_ORACLE_INSTANCE/OUD/config
キーストア・パスワードはOracle Unified Directoryアイデンティティ・ストアに必須です。この値は、手順2でプロパティ・ファイルを作成するときに使用します。
preconfigFAPropertyFileプロパティ・ファイルを、次のような内容で作成します。preconfigFAPropertyFileファイルにはユーザー環境に固有の構成情報が含まれている必要があります。このファイルは、idmConfigToolコマンドを実行する際、必要なユーザーを作成してそれを適切なグループに追加するために使用されます。
ファイルの作成時は空白行を含めないでください。
IDSTORE_HOST : idstore.example.com IDSTORE_PORT : 389 IDSTORE_BINDDN : cn=directory manager IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_SSL_ENABLED: false IDSTORE_READONLYUSER: IDROUser IDSTORE_READWRITEUSER: IDRWUser IDSTORE_SUPERUSER: weblogic_fa IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_ADMIN_PORT : 4444 IDSTORE_KEYSTORE_FILE : <path to file copied from oud install> IDSTORE_KEYSTORE_PASSWORD : 4VYGtJLG61V5OjDWKe94e601x7tgLFs
表2-7では、構成ファイルの例のパラメータを説明しています。
表2-7 preconfigFAPropertyFileプロパティ
| プロパティ | 説明 |
|---|---|
|
IDSTORE_HOST |
LDAPアイデンティティ・ストア・ディレクトリのホスト名( アイデンティティ・ストアがOracle Internet DirectoryまたはOracle Unified Directoryにある場合、 |
|
IDSTORE_PORT |
LDAPアイデンティティ・ストアのポート番号(IDSTORE_DIRECTORYTYPEに対応)。 |
|
IDSTORE_BINDDN |
アイデンティティ・ストア・ディレクトリ内の管理ユーザー。 |
|
IDSTORE_USERNAMEATTRIBUTE |
アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。 ユーザーDNの要素に設定します。たとえば、ユーザーDNが |
|
IDSTORE_LOGINATTRIBUTE |
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。これはユーザーがログインに使用する属性です。 |
|
IDSTORE_USERSEARCHBASE |
ユーザーが保存されるディレクトリ内の場所。このプロパティは、ユーザーを検索するディレクトリを示します。 |
|
IDSTORE_SEARCHBASE |
アイデンティティ・ストアに含まれているユーザーおよびグループの検索ベース。
|
|
IDSTORE_GROUPSEARCHBASE |
グループ(またはロール)が保存されているディレクトリの場所。このプロパティは、グループまたはロールを検索するディレクトリを示します。 |
|
POLICYSTORE_SHARES_IDSTORE |
ポリシー・ストアおよびアイデンティティ・ストアがディレクトリを共有するかどうかを示します。リリース11gでは常に 有効な値: true、false |
|
IDSTORE_SSL_ENABLED |
アイデンティティ・ストアへのSSLが有効化されているかどうか。 有効な値: true | false |
|
IDSTORE_READONLYUSER |
アイデンティティ・ストアに対する読取り専用権限を持つユーザー。 |
|
IDSTORE_READWRITEUSER |
アイデンティティ・ストアに対する読取り/書込み権限を持つユーザー。 |
|
IDSTORE_SUPERUSER |
アイデンティティ・ストア内のOracle Fusion Applicationsスーパーユーザー。 |
|
IDSTORE_SYSTEMIDBASE |
システム・オペレーション・ユーザーを、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーと分離して格納するディレクトリ内のコンテナの場所。システム処理ユーザーは限られています。その一例としてOracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Managerリコンシリエーション・ユーザーがあげられます。 |
|
IDSTORE_ADMIN_PORT |
Oracle Unified Directoryインスタンスの管理ポート。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。 |
|
IDSTORE_KEYSTORE_FILE |
Oracle Unified Directoryキーストア・ファイルの場所。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、 |
|
IDSTORE_KEYSTORE_PASSWORD |
Oracle Unified Directoryキーストアの暗号化されたパスワード。この値は、ファイル |
idmconfigtoolコマンドに必要な環境変数を設定します。環境変数の設定の詳細は、第D.2項「環境変数の設定」を参照してください。
ディレクトリをIAM_ORACLE_HOME/idmtools/binディレクトリに変更します。
cd IAM_ORACLE_HOME/idmtools/bin
idmConfigToolコマンドをIAM_ORACLE_HOME/idmtools/binディレクトリから実行しています。
idmConfigToolを-prepareIDStore mode=fusionコマンド・オプションとともに使用して、アイデンティティ・ストアを構成します。
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=fusion input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=fusion input_file=configfile
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=fusion input_file=preconfigFAPropertyFile
-prepareIDStore mode=fusionの詳細は、第D.4.2.7項「prepareIDStore mode=fusion」を参照してください。
このコマンドでは、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。その後、次の3つのアカウントのパスワードを作成するように要求されます。
IDROUser
アイデンティティ・ストアに対する読取り専用権限を持つユーザー。
IDRWUser
アイデンティティ・ストアに対する読取り/書込み権限を持つユーザー。
weblogic_fa
アイデンティティ・ストア内のOracle Fusion Applicationsスーパーユーザー。
このツールを実行したディレクトリにautomation.logファイルが作成されます。ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
Oracle Identity ManagerをAccess Manager 11gと統合する前に、Access ManagerおよびOracle Identity Managerの統合のためにAccess Manager 11gを構成する必要があります。
OAMconfigPropertyFileという名前のプロパティ・ファイルを、次のような内容で作成します。
|
注意: このツールで作成されたデフォルト以外のアイデンティティ・ストアがすでに設定されている場合、OAM11G_IDSTORE_NAMEパラメータをプロパティ・ファイルに追加し、値をそのアイデンティティ・ストアの名前にします。 |
ファイルの作成時は空白行を含めないでください。
WLSHOST: adminvhn.example.com WLSPORT: 7001 WLSADMIN: weblogic IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_OAMSOFTWAREUSER: oamLDAP IDSTORE_OAMADMINUSER: oamadmin IDSTORE_DIRECTORYTYPE: OUD POLICYSTORE_SHARES_IDSTORE: true PRIMARY_OAM_SERVERS: oamhost1.example.com:5575 WEBGATE_TYPE: ohsWebgate11g ACCESS_GATE_ID: Webgate_IDM OAM11G_IDM_DOMAIN_OHS_HOST: sso.example.com OAM11G_IDM_DOMAIN_OHS_PORT: 443 OAM11G_IDM_DOMAIN_OHS_PROTOCOL: http OAM11G_WG_DENY_ON_NOT_PROTECTED: false OAM11G_IMPERSONATION_FLAG: false OAM_TRANSFER_MODE: Open OAM11G_OAM_SERVER_TRANSFER_MODE: open OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp,/oamsso/logout.html,/cgi-bin/logout.pl OAM11G_SERVER_LOGIN_ATTRIBUTE: uid COOKIE_DOMAIN: .example.com OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators OAM11G_SSO_ONLY_FLAG: true OAM11G_OIM_INTEGRATION_REQ: true OAM11G_SERVER_LBR_HOST: sso.example.com OAM11G_SERVER_LBR_PORT: 443 OAM11G_SERVER_LBR_PROTOCOL: http COOKIE_EXPIRY_INTERVAL: 120 OAM11G_OIM_OHS_URL: http://sso.example.com:443/ SPLIT_DOMAIN: true
OAMconfigPropertyFileファイルにはユーザー環境に固有の構成情報が含まれている必要があります。このファイルは、idmconfigtoolコマンドを実行する際、Access ManagerおよびOracle Identity Managerの統合のためにAccess Manager 11gを構成するために使用されます。
表2-8では、OAMconfigPropertyFile構成ファイルの例のパラメータを説明しています。
表2-8 OAMconfigPropertyFileプロパティ・ファイル
| プロパティ | 説明 |
|---|---|
|
WLSHOST |
管理サーバーのホスト名。これは仮想名になります。 |
|
WLSPORT |
管理サーバーのポート。 |
|
WLSADMIN |
WebLogic Server管理コンソールへのログインに使用するWebLogic Server管理ユーザー・アカウント。 |
|
IDSTORE_HOST |
アイデンティティ・ストアのホスト名。 Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリ・サーバーを使用している場合、Oracle Virtual Directoryホストおよびポートを指定します。 |
|
IDSTORE _PORT |
アイデンティティ・ストアのポート。 |
|
IDSTORE_BINDDN |
Oracle Internet DirectoryまたはOracle Unified Directory内の管理ユーザー。 Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリ・サーバーを使用する場合は、Oracle Virtual Directory管理ユーザーを指定します。 |
|
IDSTORE_USERNAMEATTRIBUTE |
アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。 |
|
IDSTORE_LOGINATTRIBUTE |
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。 |
|
IDSTORE_USERSEARCHBASE |
Access Managerがユーザーを検索するコンテナ。 |
|
IDSTORE_SEARCHBASE |
ユーザーおよびグループが保存されるディレクトリ内の場所。 |
|
IDSTORE_GROUPSEARCHBASE |
グループが保存されるディレクトリ内の場所。 |
|
IDSTORE_OAMSOFTWAREUSER |
LDAPサーバーとの対話に使用するユーザー。 |
|
IDSTORE_OAMADMINUSER |
Oracle Access Management管理コンソールへのアクセスに使用するユーザー。 |
|
IDSTORE_DIRECTORYTYPE |
アイデンティティ・ストアのディレクトリ・タイプ。 |
|
PRIMARY_OAM_SERVERS |
Access Managerサーバーとそこで使用されるプロキシ・ポートのカンマ区切りリスト。 Access Managerサーバーで使用されるプロキシ・ポートを特定する手順は、次のとおりです。
|
|
WEBGATE_TYPE |
作成するWebゲート・エージェントのタイプ。 有効な値は、Webゲート・バージョン11が使用されている場合は、 |
|
ACCESS_GATE_ID |
Webゲートに割り当てる名前。前述のプロパティ値を変更しないでください。 |
|
OAM11G_IDM_DOMAIN_OHS_HOST |
高可用性構成でOracle HTTP Server (OHS)の前面にあるロード・バランサ。 |
|
OAM11G_IDM_DOMAIN_OHS_PORT |
ロード・バランサのポート。 |
|
OAM11G_IDM_DOMAIN_OHS_PROTOCOL |
ロード・バランサにリクエストを送るときに使用するプロトコル。 |
|
OAM11G_WG_DENY_ON_NOT_PROTECTED |
10g Webゲートの保護されたフラグで拒否に設定されます。有効な値は、 |
|
OAM11G_IMPERSONATION_FLAG |
OAMサーバーの偽装機能を有効または無効にします。 有効な値は、 偽装を使用している場合、この値を |
|
OAM_TRANSFER_MODE |
アクセス・サーバーが機能するセキュリティ・モード。 |
|
OAM11G_OAM_SERVER_TRANSFER_MODE |
Access Managerサーバーのセキュリティ・モード。 |
|
OAM11G_IDM_DOMAIN_LOGOUT_URLS |
各種のログアウトURLに設定されます。 |
|
OAM11G_SERVER_LOGIN_ATTRIBUTE |
|
|
COOKIE_DOMAIN |
Webゲートが機能するドメイン。 |
|
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN |
アイデンティティ・ストア内のロール・セキュリティを管理するためのアカウント。 |
|
OAM11G_SSO_ONLY_FLAG |
認証専用モードまたは標準モード(認証と認可をサポート)としてAccess Manager 11gを構成します。デフォルト値は
|
|
OAM11G_OIM_INTEGRATION_REQ |
Oracle Identity Managerと統合するのか、スタンドアロン・モードでAccess Managerを構成するのかを指定します。統合する場合、 |
|
OAM11G_SERVER_LBR_HOST |
ユーザー・サイトの前面にあるOAMサーバー。この値と次の2つのパラメータを使用してログインURLを構成します。 |
|
OAM11G_SERVER_LBR_PORT |
ロード・バランサのポート。 |
|
OAM11G_SERVER_LBR_PROTOCOL |
URL接頭辞。デフォルト値は |
|
COOKIE_EXPIRY_INTERVAL |
Cookieの有効期限。 |
|
OAM11G_OIM_OHS_URL |
OIMサーバーの前面に配置するロード・バランサまたはOracle HTTP Server (OHS)のURL。 |
|
SPLIT_DOMAIN |
Oracle Access Management管理コンソールの二重認証を抑制する場合、 |
idmconfigtoolコマンドに必要な環境変数を設定します。環境変数の設定の詳細は、第D.2項「環境変数の設定」を参照してください。
ディレクトリをIAM_ORACLE_HOME/idmtools/binディレクトリに変更します。
cd IAM_ORACLE_HOME/idmtools/bin
idmConfigToolコマンドをIAM_ORACLE_HOME/idmtools/binディレクトリから実行しています。
idmConfigToolコマンドを-configOAMコマンド・オプションとともに使用して、アイデンティティ・ストアを構成します。
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOAM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOAM input_file=configfile
次に例を示します。
idmConfigTool.sh -configOAM input_file=OAMconfigPropertyFile
configOAMコマンド・オプションの詳細は、第D.4.4項「configOAMコマンド」を参照してください。
このコマンドを実行する前に、Access Managementドメイン管理サーバーが実行中であることを確認します。
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。次の3つのアカウントのパスワードも作成するように要求されます。
OAM11G_WLS_ADMIN_PASSWD
IDSTORE_PWD_OAMSOFTWAREUSER
IDSTORE_PWD_OAMADMINUSER
コマンドをOracle Unified Directoryに対して実行する際のサンプル・コマンド出力は次のとおりです。
Enter ID Store Bind DN password: Enter User Password for OAM11G_WLS_ADMIN_PASSWD: Confirm User Password for OAM11G_WLS_ADMIN_PASSWD: Enter User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Confirm User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Enter User Password for IDSTORE_PWD_OAMADMINUSER: Confirm User Password for IDSTORE_PWD_OAMADMINUSER: The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
OAM管理サーバーを再起動します。
WebLogic管理サーバーの再起動の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のサーバーの再起動に関する項を参照してください。
次の手順を実行して、Oracle Identity ManagerをOracle Access Managerと統合します。
|
注意: configOIMを実行する前に次のことを確認します。
|
SIMPLEセキュリティ・モード通信用のランダムなグローバル・パスフレーズをAccess Managerによって取得します。
Access Managerは、デフォルトでOPENセキュリティ・モードを使用するように構成されています。OPENモードのインストール・デフォルトを使用する場合は、この手順をスキップできます。
idmConfigToolによってセキュリティ・モードをSIMPLEモードに変更し、変更をWebゲートに伝播する場合、Access ManagerおよびOracle Identity Manager統合スクリプトによってプロンプトされるときにグローバル・パスフレーズを指定する必要があります。SIMPLEモード用に生成されたアーティファクトはグローバル・パスフレーズを使用します。グローバル・パスフレーズを覚えていない場合は、次のようにdisplaySimpleModeGlobalPassphrase()コマンドを使用して取得できます。
Oracle Access Managementコンソールが実行中であることを確認します。
Oracle Access Managementコンソールをホストしているコンピュータで、WebLogic Scripting Toolに接続します。次に例を示します。
$ORACLE_IDM_HOME/common/bin/wlst.sh
wls:/offline> connect()
ここで、$ORACLE_IDM_HOMEはベース・インストール・ディレクトリ・パスを表します。
次のようにプロンプトに応答します。
Please enter your username [weblogic] : Please enter your password [weblogic] : Please enter your server URL [t3://localhost:7001] : wls:/base_domain/serverConfig>
次のコマンドを入力して、場所を読取り専用のdomainRuntimeツリーに変更します。
wls:/base_domain/serverConfig>domainRuntime()
次のコマンドを入力して、グローバル・パスフレーズを表示します。
wls:/base_domain/domainRuntime> displaySimpleModeGlobalPassphrase()
このパスフレーズをメモして、exitコマンドを使用してWLSTを終了します。
wls:/base_domain/domainRuntime> exit()
OIMconfigPropertyFileという名前のプロパティ・ファイルを、次のような内容で作成します。
ファイルの作成時は空白行を含めないでください。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: OAMHOST1.example.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .example.com
COOKIE_EXPIRY_INTERVAL: 120
OAM_TRANSFER_MODE: Open
WEBGATE_TYPE: ohsWebgate11g
OAM_SERVER_VERSION: 11g
OAM11G_WLS_ADMIN_HOST: wlsadmin.example.com
OAM11G_WLS_ADMIN_PORT: 17001
OAM11G_WLS_ADMIN_USER: weblogic
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 389
IDSTORE_HOST: idstore.example.com
IDSTORE_DIRECTORYTYPE: OUD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=systemids,dc=example,dc=com
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
MDS_DB_URL: jdbc:oracle:thin:@DBHOST:PORT:SID
MDS_DB_SCHEMA_USERNAME: idm_mds
WLSHOST: adminvhn.example.com
WLSPORT: 7001
WLSADMIN: weblogic
DOMAIN_NAME: IDM_Domain
OIM_MANAGED_SERVER_NAME: WLS_OIM1
DOMAIN_LOCATION: ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain
IDSTORE_WLSADMINUSER: weblogic_idm
OIM_MSM_REST_SERVER_URL: <Oracle Mobile Security Manager server URL>
OIMconfigPropertyFileファイルにはユーザー環境に固有の構成情報が含まれている必要があります。このファイルは、Access ManagerとOracle Identity Managerの統合に使用されます。
OIMをOMSSと統合していない場合、OIM_MSM_REST_SERVER_URLパラメータを省略できます。
表2-9では、OIMconfigPropertyFile構成ファイルの例のパラメータを説明しています。
表2-9 OIMconfigPropertyFileプロパティ
| プロパティ | 説明 |
|---|---|
|
WLSHOST、WLSPORT、WLSADMIN |
Oracle Identity ManagerとAccess Managerが異なるドメインに存在する分割ドメイン・トポロジで、 |
|
ACCESS_SERVER_PORT |
Access Manager OAPポート。 |
|
ACCESS_GATE_ID |
|
|
OAM_TRANSFER_MODE |
|
|
WEBGATE_TYPE |
Webゲート・バージョン11を使用している場合は |
|
OAM_SERVER_VERSION |
Oracle Access Manager 10gを使用している場合は |
|
OAM11G_WLS_ADMIN_HOST、OAM11G_WLS_ADMIN_PORT、およびOAM11G_WLS_ADMIN_USER。 |
|
|
IDSTORE_PORT |
Oracle Unified DirectoryまたはOracle Internet Directoryをアイデンティティ・ストアとして使用中の場合はOracle Unified DirectoryまたはOracle Internet Directoryのポート。それ以外の場合は、Oracle Virtual Directoryポートに設定します。 |
|
IDSTORE_HOST |
Oracle Unified DirectoryまたはOracle Internet Directoryをアイデンティティ・ストアとして使用中の場合はOracle Unified DirectoryまたはOracle Internet Directoryのホストまたはロード・バランサ名。それ以外の場合は、Oracle Virtual Directoryホストまたはロード・バランサの名前に設定します。 |
|
IDSTORE_DIRECTORYTYPE |
非OIDディレクトリ、Oracle Internet DirectoryまたはOracle Unified Directoryのいずれかに接続するためにOracle Virtual Directoryサーバーを使用中の場合は、 Oracle Internet Directory内にアイデンティティ・ストアがあり、Oracle Virtual Directoryを介さず直接これにアクセスしている場合は、 Oracle Unified Directory内にアイデンティティ・ストアがあり、OVDを介さず直接アクセスしている場合は、 |
|
IDSTORE_ADMIN_USER |
アイデンティティ・ストア・ディレクトリの管理者の完全なLDAP DN。これは、 |
|
MDS_DB_URL |
単一インスタンス・データベース。 |
|
MDS_DB_SCHEMA_USERNAME |
Oracle Identity Managerが使用しているMDSスキーマ。 |
|
OIM_MSM_REST_SERVER_URL |
Oracleモバイル・セキュリティ・マネージャ・サーバーのURL。 https://host:port。 MSM URLはOracle Identity Managerにシードされて、システム・プロパティの |
|
WLSPASSWD |
WebLogic Server管理者のパスワード。 注意: このプロパティは、モバイル・セキュリティ・マネージャとOracle Identity Managerの統合に必要です。 |
|
IDSTORE_WLSADMINUSER |
|
idmconfigtoolコマンドに必要な環境変数を設定します。環境変数の設定の詳細は、第D.2項「環境変数の設定」を参照してください。
ディレクトリをIAM_ORACLE_HOME/idmtools/binディレクトリに変更します。
cd IAM_ORACLE_HOME/idmtools/bin
idmConfigToolコマンドをIAM_ORACLE_HOME/idmtools/binディレクトリから実行しています。
idmConfigToolコマンドを-configOIMを指定して使用し、アイデンティティ・ストアを構成します。
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOIM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOIM input_file=configfile
次に例を示します。
idmConfigTool.sh -configOIM input_file=OIMconfigPropertyFile
configOIMコマンド・オプションの詳細は、第D.4.5項「configOIMコマンド」を参照してください。
コマンドを実行すると、次の情報を入力するように求められます。
アクセス・ゲートのパスワード
シングル・サインオン(SSO)キーストアのパスワード
グローバル・パスフレーズ
Idstore管理パスワード
MDSデータベース・スキーマのパスワード
管理サーバーのユーザー・パスワード
Oracle Access Management管理ユーザーに使用するパスワード
prepareIdStore mode=wlsコマンド中に指定されたとおりのIDSTORE_WLS_ADMIN_USERのパスワード
コマンドをOracle Unified Directoryに対して実行する際のサンプル・コマンド出力は次のとおりです。
Enter oam11g domain admin user password : Enter sso access gate password : Enter mds db schema password : Enter idstore admin password : Enter admin server user password : Enter IDSTORE_WLS_ADMIN_USER Password : Seeding OIM Resource Policies into OAM.... Resources Seeded!! ********* Seeding OAM Passwds in OIM ********* Completed loading user inputs for - CSF Config Completed loading user inputs for - Dogwood Admin WLS Connecting to t3://adminvhn.example.com:7001 Connection to domain runtime mbean server established Seeding credential :SSOAccessKey ********* ********* ********* ********* Activating OAM Notifications ********* Completed loading user inputs for - MDS DB Config Initialized MDS resources Jan 28, 2015 10:43:06 PM oracle.mds NOTIFICATION: MDS-10013: transfer operation started. Jan 28, 2015 10:43:06 PM oracle.mds NOTIFICATION: MDS-10014: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources Notifications activated. ********* ********* ********* ********* Seeding OAM Config in OIM ********* Completed loading user inputs for - OAM Access Config Validated input values Initialized MDS resources Jan 28, 2015 10:43:06 PM oracle.mds NOTIFICATION: MDS-10013: transfer operation started. Jan 28, 2015 10:43:06 PM oracle.mds NOTIFICATION: MDS-10014: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Download from DB completed Releasing all resources Updated /u01/app/oracle/product/fmw/iam/server/oamMetadata/db/oim-config.xml Initialized MDS resources Jan 28, 2015 10:43:06 PM oracle.mds NOTIFICATION: MDS-10013: transfer operation started. Jan 28, 2015 10:43:06 PM oracle.mds NOTIFICATION: MDS-10014: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources OAM configuration seeded. Please restart oim server. ********* ********* ********* ********* Configuring Authenticators in OIM WLS ********* Completed loading user inputs for - LDAP connection info Connecting to t3://adminvhn.example.com:7001 Connection to domain runtime mbean server established Starting edit session Edit session started Connected to security realm. Validating provider configuration Validated desired authentication providers Destroyed Authentication Provider: Security:Name=myrealmOIMAuthenticationProvider Created OAMIDAsserter successfuly OAMIDAsserter is already configured to support 11g webgate Created OIMSignatureAuthenticator successfuly Created OUDAuthenticator successfuly Setting attributes for OUDAuthenticator All attributes set. Configured inOUDAuthenticatornow LDAP details configured in OUDAuthenticator Control flags for authenticators set sucessfully Reordering of authenticators done sucessfully Saving the transaction Transaction saved Activating the changes Changes Activated. Edit session ended. Connection closed sucessfully ********* ********* ********* The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認し、必要に応じてエラーを修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
Oracle Identity Manager管理対象サーバーおよびWebLogic管理サーバーを再起動します。
詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のOracleスタックの起動または停止に関する項を参照してください。
Oracle HTTP Server (OHS)プロファイルを編集してOHSサーバーがAccess Managerにより保護されているOIMサーバーを指すようにする必要があります。oim.confプロファイル・テンプレート・ファイルは次の場所に配置されます。
$IAM_HOME/server/setup/templates/oim.conf
|
注意: Webゲートのインストールおよび構成が必要です。Oracle HTTP Serverを11g Webゲートとともにインストールする必要があります。詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項を参照してください。 10g Webゲートを使用するOracle HTTP Serverのインストールの詳細は、『Oracle Access Management管理者ガイド』のAccess Manager 11gによる10g Webゲートの登録および管理に関する項と、10g WebゲートのためのApache、OHS、IHSの構成に関する項を参照してください。 |
次のエントリが存在していない場合は、oim.confファイルに追加します。
<Location /reqsvc> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location>
次の行が含まれるようにoim.confファイルを編集します。
<Location /identity> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> <Location /sysadmin> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> <Location /oam> SetHandler weblogic-handler WLCookieName jsessionid WebLogicHost <OAM managed server host> WebLogicPort <OAM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> <Location /admin> SetHandler weblogic-handler WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLCookieName oimjsessionid WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # oim self and advanced admin webapp consoles(canonic webapp) <Location /oim> SetHandler weblogic-handler WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLCookieName oimjsessionid WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # SOA Callback webservice for SOD <Location /sodcheck> SetHandler weblogic-handler WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLCookieName oimjsessionid WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # Callback webservice for SOA. SOA calls this when a request is approved/rejected # Provide the SOA Managed Server Port <Location /workflowservice> SetHandler weblogic-handler WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLCookieName oimjsessionid WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # xlWebApp - Legacy 9.x webapp (struts based) <Location /xlWebApp> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # Nexaweb WebApp - used for workflow designer and DM <Location /Nexaweb> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # used for FA Callback service. <Location /callbackResponseService> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # spml xsd profile <Location /spml-xsd> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> <Location /HTTPClnt> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location>
oim.confファイルをOHSのmoduleconfの場所にコピーします。
INSTANCE_LOCATION/config/OHS/ohs1/moduleconf/
OHSインスタンスを再起動します。OHSインスタンスの再起動の詳細は、『Oracle Fusion Middleware Oracle HTTP Server管理者ガイド』のOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
IAMSuiteAgentは、Access Managerのインストール時に既定でインストールされます。これはIdMドメイン・コンソール、Oracle Identity Manager、Oracle Adaptive Access Manager、およびドメイン作成中に作成された他のIdentity Managementサーバーに対してシングル・サインオンを提供するために事前構成済です。これはWebゲートと類似していますが、Identity and Access Managementスイートの各種の製品で提供される内部URLを保護するだけです。
この環境はOHS 11g Webゲートを使用してシングル・サインオンを処理するため、IAMSuiteAgentは不要になることから削除する必要があります。これを行うには、次の手順を実行します。
Oracle WebLogic管理コンソールに、http://admin.example.com/consoleというURLを使用してログインします。
「チェンジ・センター」で「ロックして編集」をクリックします。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
「プロバイダ」タブをクリックし、「認証」タブをクリックします。
認証プロバイダのリストで「IAMSuiteAgent」を選択します。
「削除」をクリックしてIAMSuiteAgentを削除します。
「はい」をクリックして削除を確認します。
「チェンジ・センター」で「変更のアクティブ化」をクリックします。
WebLogic管理サーバーおよび実行中のすべての管理対象サーバーを再起動します。
サーバーの再起動の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のサーバーの再起動に関する項を参照してください。
この項では、統合環境の検証手順について説明します。次の健全性チェックを実行することにより、実行時に発生する可能性のあるいくつかの一般的な問題を回避できます。
このリリースでは、Oracle Identity Managerは、idmconfigコマンドがconfigOIMオプションとともに実行された場合に、Access Managerと統合されます。このコマンドが実行されると、次の構成設定およびファイルが更新されます。
OIMメタデータ・ストアに格納されているoim-config.xmlファイル内のSSOConfigセクション。第2.8.1項「Oracle Identity Manager SSOConfigの検証」を参照してください。
OIM_DOMAIN_HOME/config.xml内のレルム・セキュリティ・プロバイダ。第2.8.2項「セキュリティ・プロバイダ構成の検証」を参照してください。
OIM_DOMAIN_HOME/config/fmwconfig/cwallet.sso内のOIMドメイン資格証明ストア。第2.8.3項「Oracle Identity Managerのドメイン資格証明ストアの検証」を参照してください。
OIMメタデータ・ストアに格納されているEventhandler.xml内の、SSO統合に必要となる編成イベント・ハンドラ。第2.8.4項「SSOのイベント・ハンドラの検証」を参照してください。
OIM_DOMAIN_HOME/config/fmwconfig/jps-config.xml内のSSOログアウト構成。第2.8.5項「SSOログアウト構成の検証」を参照してください。
oim-config.xmlでSSOConfig設定を検証する手順は、次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
「WebLogicドメイン」を選択し、ドメイン名を右クリックします。
システムMBeanブラウザを開き、SSOConfig Mbeanを検索します。
詳細は、管理者ガイドのFusion Middleware Control MBeanブラウザの使用の開始に関する項を参照してください。
idmconfig configOIMの実行後に次の属性設定が正しいことを確認します。必要に応じて値を更新します。
SsoEnabled属性は、trueに設定されます。
TAP通信を使用している場合、TapEndpointURL属性が存在します。
Oracle Access Protocol (OAP)通信を使用している場合、AccessGateID、AccessServerHost、AccessServerPort、CookieDomain、CookieExpiryInterval、NapVersion、TransferModeおよびWebgateTypeの属性が存在します。
Versionが11gに設定されている場合、TapEndpointURL属性が有効なURLに設定されていることを確認してください。。新しいブラウザでアクセスすることにより、URLを検証してください。
Versionが10gに設定されている場合、他の属性が正しく構成されていることを確認してください。
Oracle Identity Managerセキュリティ・プロバイダ構成を検証する手順は、次のとおりです。
Oracle WebLogic管理コンソールで、OIMドメインにナビゲートします。
「セキュリティ・レルム」→「myrealm」にナビゲートして、「プロバイダ」タブをクリックします。
認証プロバイダが次のように構成されていることを確認します。
| 認証プロバイダ | 制御フラグ |
|---|---|
| OAMIDAsserter | REQUIRED |
| OIMSignatureAuthenticator | SUFFICIENT |
| LDAPオーセンティケータ | SUFFICIENT |
| DefaultAuthenticator | SUFFICIENT |
| DefaultIdentityAsserter | N/A |
LDAPオーセンティケータ名は、使用しているLDAPプロバイダによって異なる場合があります。たとえば、Oracle Unified Directoryの場合はOUDAuthenticatorです。「ユーザーとグループ」タブを選択し、「ユーザー」タブにLDAPユーザーがリストされていることを確認することで、これが正しく構成されていることを検証します。
Access Managerセキュリティ・プロバイダ構成を検証する手順は、次のとおりです。
Oracle WebLogic管理コンソールで、OAMドメインにナビゲートします。
「セキュリティ・レルム」→「myrealm」にナビゲートします。次に「プロバイダ」タブをクリックします。
認証プロバイダが次のように構成されていることを確認します。
| 認証プロバイダ | 制御フラグ |
|---|---|
| OAMIDAsserter | REQUIRED |
| DefaultAuthenticator | SUFFICIENT |
| LDAPオーセンティケータ | SUFFICIENT |
| DefaultIdentityAsserter | N/A |
LDAPオーセンティケータは、使用されているLDAPプロバイダによって異なります。「ユーザーとグループ」タブをクリックし、「ユーザー」タブにLDAPユーザーがリストされていることを確認することで、これが正しく構成されていることを検証します。
Oracle Identity ManagerとAccess Manager間の通信の際に使用されるすべてのパスワードと資格証明は、ドメイン資格証明ストア内に格納されています。
通信に使用されるパスワードと資格証明を検証する手順は、次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、「WebLogicドメイン」を選択します。
ドメイン名を右クリックします。「セキュリティ」→「資格証明」にナビゲートします。
「oim」インスタンスを開きます。次の資格証明を検証します。
SSOAccessKey: OPENモードのみ
SSOKeystoreKey: SIMPLEモードのみ
SSOGobalPP: SIMPLEモードのみ
OIM_TAP_PARTNER_KEY
ユーザーステータスの変更後、セッションの終了をサポートするため、イベント・ハンドラ・セットがOracle Identity Manager MDSにアップロードされます。これらのイベント・ハンドラは、ユーザー・ステータスが変更されるとAccess Managerに通知し、これによってユーザー・セッションが終了します。これらは、EventHandlers.xmlファイル(/db/ssointg/EventHandlers.xml)の一部としてMDSにアップロードされます。
すべてのイベント・ハンドラが正しく構成されていることを確認するには、Oracle Enterprise Manager Fusion Middleware Controlを使用してEventHandlers.xmlファイルをエクスポートします。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
「Identity and Access」、「OIM」、「oim(11.1.2.0.0))」の順に移動します
右クリックして「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「Oracle.mds.lcm」→「サーバー:oim_server1」→「アプリケーション:OIMAppMetadata」→「MDSAppRuntime」→「MDSAppRuntime」に移動します。
詳細は、管理者ガイドのFusion Middleware Control MBeanブラウザの使用の開始に関する項を参照してください。
「操作」タブをクリックし、次にexportMetadataをクリックします。
toLocationに、/tmpまたは別のディレクトリの名前を入力します。これは、ファイルがエクスポートされるディレクトリです。
docsフィールドで、「編集」、続いて「追加」をクリックしてから、完全なファイルの場所を要素として入力します。
/db/oim-config.xml /db/ssointg/EventHandlers.xml
「excludeAllCust」、「excludeBaseDocs」および「excludeExtendedMetadata」に「false」を選択します。
「起動」をクリックすると、docsフィールドで指定されたファイルがtoLocationフィールドで指定されたディレクトリにエクスポートされます。
詳細は、『Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のカスタマイズのデプロイおよびアンデプロイに関する項を参照してください。
Oracle Identity Managerログアウトは、統合の完了後、シングル・ログアウトを使用するように構成されます。ユーザーは、Oracle Identity Managerからログアウトすると、Access Managerで保護されたすべてのアプリケーションからもログアウトされます。
シングル・ログアウトの構成を検証するには、次の手順を実行します。
現在の作業ディレクトリから、次のディレクトリに移動します。
OIM_DOMAIN_HOME/config/fmwconfig
jps-config.xmlファイルを開きます。
jps-config.xmlファイルの<propertySet name="props.auth.uri.0">要素に次の例のようなエントリが含まれることを確認します。
<propertySet name="props.auth.uri.0">
<property name="logout.url" value="/oamsso/logout.html"/>
<property name="autologin.url" value="None"/>
<property name="login.url.BASIC" value="/${app.context}/adfAuthentication"/>
<property name="login.url.FORM" value="/${app.context}/adfAuthentication"/>
<property name="login.url.ANONYMOUS" value="/${app.context}/adfAuthentication"/>
</propertySet>
最後のタスクでは、表2-10に示す順番で各手順を実行して統合を検証します。
表2-10 Access ManagerとOracle Identity Managerの統合の検証
| 手順 | 説明 | 予想される結果 |
|---|---|---|
|
1 |
Oracle Access Management管理コンソールに、次のURLを使用して http://admin_server_host:admin_server_port/oamconsole |
管理コンソールにアクセスします。 |
|
2 |
次のURLを使用して、Oracle Identity Manager管理ページにアクセスします。
ここでhostname:portは、ドメイン・エージェントまたはWebゲートのどちらが使用されているかによって、Oracle Identity ManagerまたはOHSのいずれかを対象とします。 |
Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。 ログイン・ページに「パスワードを忘れた場合」、「自己登録」および「登録のトラッキング」機能のリンクが表示されていることを確認してください。各リンクが機能することを確認してください。これらの機能の詳細は、第1.5.3項「パスワード管理シナリオ」を参照してください。 |
|
3 |
|
Oracle Identity Managerの管理ページにアクセスできます。 |
|
4 |
Oracle Identity Self Serviceを使用して新しいユーザーを作成します。 ブラウザを閉じ、OIMアイデンティティ・ページにアクセスしてみます。ログインのプロンプトが表示されたら、新しく作成したユーザーの有効な資格証明を指定します。 |
Oracle Identity Managerにリダイレクトされ、パスワードを再設定するように求められます。 パスワードを再設定し、チャレンジ質問を設定すると、自動的にアプリケーションにログインされます。自動ログインが機能します。 |
|
5 |
ブラウザを閉じ、Oracle Identity Self Serviceにアクセスします。 |
Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。 ログイン・ページに「パスワードを忘れた場合」、「自己登録」および「登録のトラッキング」機能のリンクが表示されていることを確認してください。各リンクが機能することを確認してください。これらの機能の詳細は、第1.5.3項「パスワード管理シナリオ」を参照してください。 |
|
6 |
ブラウザを開き、テスト・ユーザーとしてログインすることで、ロック/無効化機能が機能することを検証します。 別のブラウザ・セッションで管理者としてログインし、テスト・ユーザー・アカウントをロックします。 |
ユーザーは、どのリンクにアクセスしてもログイン・ページにリダイレクトされる必要があります。 |
|
7 |
テスト・ユーザーまたはシステム管理者としてOracle Identity Self Serviceにログインすることによって、SSOログアウト機能が機能することを検証します。 |
ページからログアウトすると、SSOログアウト・ページにリダイレクトされます。 |
この項では、Oracle Identity ManagerとAccess Managerとの統合環境で発生する可能性のある一般的な問題について示し、これらの解決方法を説明します。一般的な問題のタイプごとにまとめられており、その内容は次のとおりです。。
表示される可能性のあるエラー・メッセージの詳細は、この項およびOracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
その他のリソースのトラブルシューティングについては、第1.7項「My Oracle Supportを使用したその他のトラブルシューティング情報」を参照してください。
この項では、統合環境でのシングル・サインオンに関連した一般的な問題と解決方法を説明します。シングル・サインオンを使用することにより、ユーザーは、Access Managerに正常に認証されると、Oracle Identity Managerリソースにアクセスできます。Access Managerにより保護されたOracle Identity Managerリソースにアクセスすると、ユーザーは、Oracle Access Managementコンソールのログイン・ページを使用してAccess Managerにより資格証明に対してチャレンジされます。
この項では、次のシングル・サインオンの問題について説明します。
HTTPヘッダーのチェックによってログインの問題に関する診断情報が得られる場合があります。問題のトラブルシューティング用に、HTTPヘッダーから情報を収集することが可能です。このためには、WebブラウザでHTTPトレースを有効にし、新しいユーザーとしてAccess Managerにログインして、ヘッダーで役に立つ情報を調べます。
OHS (http://OHS_HOST:OHS_PORT/identityなど)を使用してOracle Identity Managerリソースにアクセスすると、ユーザーはOracle Access Managementコンソールのログイン・ページではなく、Oracle Identity Managerのログイン・ページにリダイレクトされます。
原因
Access Manager Webゲートがデプロイされていないか、正しく構成されていません。
解決策
httpd.confファイルの最後に次のエントリが含まれていることを確認してください。
include "<ORACLE_WEBTIER_INST_HOME>/config/OHS/ohs1/webgate.conf"
ここで、webgate.confには、11g Webゲート構成が含まれています。
エントリが見つからない場合、11g Webゲートの構成手順を見なおし、見落としているものがないか確認します。詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』と『Oracle Access Management管理者ガイド』を参照してください。
次のエラーでユーザー・ログインに失敗します。
An incorrect Username or Password was specified.
原因
ユーザー認証はAccess Managerが担当していますが、認証に失敗しています。アイデンティティ・ストアの構成が誤っている可能性があります。
解決策
Oracle Access Managementコンソールでアイデンティティ・ストアが正しく構成されていることを確認してください。
この問題を解決するには、次のようにします。
Oracle Access Managementコンソールにログインします。
「構成」→「ユーザー・アイデンティティ・ストア」→「OAMIDStore」に移動します。
デフォルト・ストアおよびシステム・ストアの構成を確認します。
「接続テスト」をクリックして接続を確認します。
ユーザーにログインのためのOracle Access Managementコンソールが表示されず、次のエラー・メッセージが表示されます。
Oracle Access Manager Operation Error.
原因1
OAMサーバーが実行されていません。
解決策1
OAMサーバーを起動します。
原因2
WebゲートがOHSに正しくデプロイされておらず、OAMサーバー上の10gまたは11gエージェントに対して正しく構成されていません。
The AccessGate is unable to contact any Access Serversなどのエラー・メッセージが表示されます。
問題は、SSOエージェントに関係している可能性があります。
解決策2
この問題を解決するには、次のようにします。
oamtest.jar (ORACLE_HOME/oam/server/tester)を実行し、AgentIDを指定することにより接続をテストします。
AgentIDは、WEBSERVER_HOMEのwebgate/configディレクトリ内のObAccessClient.xmlにあります。次に例を示します。
<SimpleList>
<NameValPair
ParamName="id"
Value="IAMAG_11g"></NameValPair>
</SimpleList>
テスターが接続に失敗した場合、OAMサーバーのSSOエージェント構成(パスワード/ホスト/ポート)に問題があることが確実となります。
10gまたは11gのSSOエージェントを再作成し、このエージェントを使用するようにWebゲートを再構成します。
『Oracle Access Management管理者ガイド』の説明に従ってください。
Oracle Access Managementコンソールを使用して認証されたユーザーが、資格証明を入力するためのOracle Identity Managerログイン・ページにリダイレクトされます。
原因1
OIMドメインのセキュリティ・プロバイダが、Oracle WebLogic Serverで正しく構成されていません。
解決策1
WebLogicセキュリティ・プロバイダが、OIMドメインのセキュリティ・レルムに対して正しく構成されていることを確認します。LDAPオーセンティケータの設定をチェックしてください。詳細は、第2.8.2項「セキュリティ・プロバイダ構成の検証」を参照してください。
原因2
OAMIDAsserterがOracle WebLogic Serverで正しく構成されていません。
解決策2
この問題を解決するには、次のようにします。
Oracle WebLogic Server管理コンソールにログインします。
「共通」タブにナビゲートし、「アクティブなタイプ」にWebゲート・タイプの正しいヘッダーが含まれていることを確認します。
OAM_REMOTE_USER (11g Webゲートの場合)。
ObSSOCookie (10g Webゲートの場合)
Access Managerは、パスワード管理をOracle Identity Managerに依存しています。ユーザーが初めてログインする場合、またはユーザー・パスワードが失効している場合、Access ManagerはユーザーをOracle Identity Managerの「初回ログイン」ページにリダイレクトします。
Access Managerのログイン画面から、ユーザーはOracle Identity Managerの「パスワードを忘れた場合」フロー、「自己登録」フローまたは「登録のトラッキング」フローにナビゲートできます。
原因
これらのフローを実行した際になんらかの逸脱やエラーが発生した場合には、oam-config.xml (OAM_DOMAIN_HOME/config/fmwconfig)の構成が正しくありません。
解決策
oam-config.xmlの内容が、次の例に類似していることを確認してください。特に、HOSTおよびPORTが、Oracle Identity Managerリソースのフロントエンドとなるように構成されたOHS (またはサポートされている任意のWebサーバー)に対応していることを確認します。
Setting Name="IdentityManagement" Type="htf:map">
<Setting Name="IdentityServiceConfiguration" Type="htf:map">
<Setting Name="IdentityServiceProvider" Type="xsd:string">oracle.security.am.engines.idm.provider.OracleIdentityServiceProvider</Setting>
<Setting Name="AnonymousAuthLevel" Type="xsd:integer">0</Setting>
<Setting Name="IdentityServiceEnabled" Type="xsd:boolean">true</Setting>
<Setting Name="IdentityServiceProviderConfiguration" Type="htf:map">
<Setting Name="AccountLockedURL" Type="xsd:string">/identity/faces/accountlocked</Setting>
<Setting Name="ChallengeSetupNotDoneURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
<Setting Name="DateFormatPattern" Type="xsd:string">yyyy-MM-dd'T'HH:mm:ss'Z'</Setting>
<Setting Name="ForcedPasswordChangeURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
<Setting Name="IdentityManagementServer" Type="xsd:string">OIM-SERVER-1</Setting>
<Setting Name="PasswordExpiredURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
<Setting Name="LockoutAttempts" Type="xsd:integer">5</Setting>
<Setting Name="LockoutDurationSeconds" Type="xsd:long">31536000</Setting>
</Setting>
</Setting>
<Setting Name="RegistrationServiceConfiguration" Type="htf:map">
<Setting Name="RegistrationServiceProvider" Type="xsd:string">oracle.security.am.engines.idm.provider.DefaultRegistrationServiceProvider</Setting>
<Setting Name="RegistrationServiceEnabled" Type="xsd:boolean">true</Setting>
<Setting Name="RegistrationServiceProviderConfiguration" Type="htf:map">
<Setting Name="ForgotPasswordURL" Type="xsd:string">/identity/faces/forgotpassword</Setting>
<Setting Name="NewUserRegistrationURL" Type="xsd:string">/identity/faces/register</Setting>
<Setting Name="RegistrationManagementServer" Type="xsd:string">OIM-SERVER-1</Setting>
<Setting Name="TrackUserRegistrationURL" Type="xsd:string">/identity/faces/trackregistration</Setting>
</Setting>
</Setting>
<Setting Name="ServerConfiguration" Type="htf:map">
<Setting Name="OIM-SERVER-1" Type="htf:map">
<Setting Name="Host" Type="xsd:string">myhost1.example.com</Setting>
<Setting Name="Port" Type="xsd:integer">7777</Setting>
<Setting Name="SecureMode" Type="xsd:boolean">false</Setting>
</Setting>
</Setting>
</Setting>
Oracle Identity Managerで作成された新しいユーザーが初めてOracle Identity Managerにログインしても、「初回ログイン」ページにリダイレクトされず、パスワードを変更するように要求されます。
原因
Oracle Virtual Directoryアダプタ(設定に応じてOVDまたはlibOVDのいずれか)が正しく構成されていません。
解決策
該当するadapters.or_xmlファイルを検索し、UserManagementとchangelogの両方のアダプタに対してoamEnabled属性がtrueに設定されていることを確認してください。次に例を示します。
<param name="oamEnabled" value="true"/>
次に、oam-config.xmlでIdentityServiceEnabledがtrueに設定されていることを確認します(第2.10.1.5項「認証されたユーザーがOracle Identity Managerログイン・ページにリダイレクトされる」を参照)。次に例を示します。
<Setting Name="IdentityServiceEnabled" Type="xsd:boolean">true</Setting>
新しいユーザーがOracle Identity Manager Self-Serviceへのアクセスを試み、正常に認証された後に、リダイレクトのループに入ります。サービス・ページがロードされず、ブラウザはスピンまたはリフレッシュし続けます。
原因
フロントエンドidentityのWLCookieNameのOHS構成設定が正しくありません。
解決策
フロントエンドidentityのOHS構成をチェックし、WLCookieNameディレクティブがoimjsessionidに設定されていることを確認します。設定されていない場合、Oracle Identity ManagerリソースのLocationエントリごとに、このディレクティブをoimjsessionidとして設定してください。次に例を示します。
<Location /identity> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost myhost1.example.com WebLogicPort 8003 WLLogFile "$ Unknown macro: {ORACLE_INSTANCE} /diagnostics/logs/mod_wl/oim_component.log" </Location>
自動ログイン機能では、ユーザーがパスワードを忘れた場合のフローまたは強制パスワード変更のフローが正常終了した後で、新しいパスワードを使用して認証するよう要求されることなく、Oracle Identity Managerにログインできます。
Oracle Identity ManagerとAccess Manager間の通信を、Oracle Access Protocol (OAP)またはTAPチャネルを使用するように構成できます。自動ログインの問題のデバッグは、使用されているチャネルが特定される場合、単純になります。Oracle Enterprise Manager Fusion Middleware ControlのシステムMBeanブラウザを使用して、Oracle Identity Manager SSOConfig Mbean (バージョン属性)を調べることにより、チャネルを特定してください。詳細は、管理者ガイドのシステムMBeanブラウザの使用に関する項を参照してください。
使用しているAccess Managerバージョンに応じて、次のようになります。
バージョンが10gの場合は、自動ログインの際、Oracle Access Protocol (OAP)チャネルが使用されます。第2.10.2.1項「TAPプロトコルの問題」を参照してください。
パスワードがLDAP同期によりOracle Identity ManagerとLDAPで再設定されると、Oracle Identity Managerは、リクエストされたリソースにリダイレクトすることによってユーザーを自動ログインします。
バージョンが11gの場合は、自動ログインの際、TAPチャネルが使用されます。第2.10.2.2項「Oracle Access Protocol (OAP)の問題」を参照してください。
パスワードがLDAP同期によりOracle Identity ManagerとLDAPで再設定されると、Oracle Identity Managerは、ユーザーをAccess Manager TAPエンドポイントURL (SSOConfig: TAPEndpointUrl)にリダイレクトします。Access Managerでは、リクエストされたリソースにリダイレクトすることで、ユーザーを自動ログインします。
|
注意: 11g R2のOracle Identity ManagerとAccess Manager統合環境では、デフォルトで自動ログイン用にTAPプロトコルが構成されています。 |
次のいずれかのエラー・メッセージがないか、OIMサーバーおよびAccess Managerサーバーのログを確認してください。
パスワードを再設定した後に、ユーザーが「404 見つかりません」エラー・ページにリダイレクトされます。
原因
Access Manager TAPエンドポイントURL (SSOConfig: TAPEndpointUrl)が正しく構成されていません。
解決策
Oracle Identity Manager SSOConfigで、TAPEndpointUrlが正しく構成され、アクセス可能であることを確認してください。次に例を示します。
http://OAM_HOST:OAM_PORT/oam/server/dap/cred_submit
または
http://OHS_HOST:OHS_PORT/oam/server/dap/cred_submit
ここで、Access ManagerのフロントエンドはOHSとなります。
パスワードの再設定後に、ユーザーがAccess ManagerのTapEndpointUrl (Oracle Identity Manager SSOConfigで構成)にリダイレクトされ、次のエラーがUIに表示されます。
System error. Please re-try your action. If you continue to get this error, please contact the Administrator.
原因1
次のようなメッセージがAccess Managerサーバーのログに表示されます。
Sep 19, 2012 4:29:45 PM EST> <Warning> <oracle.oam.engine.authn> <BEA-000000> <DAP Token not received> <Sep 19, 2012 4:29:45 PM EST> <Error> <oracle.oam.binding> <OAM-00002> <Error occurred while handling the request. java.lang.NullPointerException at oracle.security.am.engines.enginecontroller.token.DAPTokenEncIssuerImpl.issue(DAPTokenEncIssuerImpl.java:87)
解決策1
このエラーは、Access ManagerのTAPResponseOnlySchemeでの誤った構成が原因である可能性があります。oam-config.xml (OAM_DOMAIN_HOME/config/fmwconfigにあります)に、次のエントリが含まれていることを確認してください。
<Setting Name="DAPModules" Type="htf:map">
<Setting Name="7DASE52D" Type="htf:map">
<Setting Name="MAPPERCLASS" Type="xsd:string">oracle.security.am.engine.authn.internal.executor.DAPAttributeMapper</Setting>
<Setting Name="MatchLDAPAttribute" Type="xsd:string">uid</Setting>
<Setting Name="name" Type="xsd:string">DAP</Setting>
</Setting>
</Setting>
MatchLDAPAttributeの値はuidである必要があります。そうでない場合は、値を変更してください。
問題を解決するには、次のようにします。
Oracle Access Managementコンソールにログインします。
TapResponseOnlySchemeにナビゲートします。Challengeパラメータとして次を追加します。
MatchLDAPAttribute=uid
変更内容を保存します。
原因2
次のエラーがAccess Managerサーバーのログに表示されます。
javax.crypto.BadPaddingException: Given final block not properly padded
これは、OIM_TAP_PARTNER_KEYが資格証明ストア内のOIM資格証明マップに含まれていない場合、または無効な鍵が存在する場合に発生する可能性があります。
解決策2
idmConfigTool -configOIMオプションを再実行することにより、Oracle Identity ManagerをTAPパートナとしてAccess Managerに再登録してください。-configOIMオプションを実行したら、OIMドメインすべてを再起動する必要があります。
原因3
パスワードの再設定後に、自動ログインに成功しない場合、OIMサーバーのログには次のエラーが表示されます。
Error occured while retrieving TAP partner key from Credential store
解決策3
問題を解決するには、次のようにします。
Fusion Middleware Controlを使用して、OIM_TAP_PARTNER_KEY汎用資格証明が、資格証明ストア内のOIM資格証明マップに存在することを確認します。
OIM_TAP_PARTNER_KEYが存在する場合、LDAP同期が正しく構成されていること、およびパスワードがLDAPプロバイダで再設定されていることを確認します。これは、ユーザーと新しいまたは再設定したパスワードでldapbindコマンドを発行することによって確認します。
原因4
パスワードの再設定後に、自動ログインに成功しない場合、OIMサーバーのログには次のエラーが表示されます。
Error occured while retrieving DAP token from OAM due to invalid TAP partner key
資格証明ストアのOIM資格証明マップにあるOIM_TAP_PARTNER_KEYが有効ではありません。
解決策4
idmConfigTool -configOIMオプションを再実行することにより、Oracle Identity ManagerをTAPパートナとしてAccess Managerに再登録してください。-configOIMオプションを実行したら、OIMドメインすべてを再起動する必要があります。
次のいずれかのタイプのエラー・メッセージがないか、OIMサーバーのログを確認してください。
原因1
リソースURLが保護されていません。
解決策1
Access Managerホスト識別子構成で、host:portの正しい組合せが構成されていることを確認します。
この問題を解決するには、次のようにします。
Oracle Access Management管理コンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
Oracle Access Management管理コンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「エージェント」セクションの「エージェント」をクリックします。
「Webゲート」タブがアクティブの「SSOエージェントの検索」ページが開きます。
表示される「SSOエージェントの検索」ページで、検索するエージェントの名前として「IAMSuiteAgent」と入力します。
「検索」をクリックして、検索を開始します。
検索結果表で「IAMSuiteAgent」をクリックします。
ホスト識別子で、識別子のhost:portの組合せを確認します。たとえば、IAMSuiteAgent:/oimなどです。
host:portの組合せが正しい場合、OIMログでSetting web resource urlを確認します。この記述はResource not protected URL文の上にあります。
一般に、ホスト識別子には、Oracle Identity ManagerのフロントエンドとなるOHS (Webサーバー)のhost:portの組合せが必要です。
原因2
aaaClientが初期化されません。
解決策2
OIMドメイン資格証明ストアにシードされたパスワードが正しいことを確認してください。OPENモードの場合、Webゲートのパスワードを確認します。SIMPLEモードの場合は、SSOキーストア・パスワードとSSOグローバル・パスフレーズが正しくシードされていることを確認します。詳細は、第2.8.3項「Oracle Identity Managerのドメイン資格証明ストアの検証」を参照してください。
原因3
構成済のどのOAMサーバーとも通信できません。これが起動され実行していることを確認してください。
解決策3
OIMドメイン資格証明ストアにシードされたパスワードが正しいことを確認してください。OPENモードの場合、Webゲートのパスワードを確認します。SIMPLEモードの場合は、SSOキーストア・パスワードとSSOグローバル・パスフレーズが正しくシードされていることを確認します。詳細は、第2.8.3項「Oracle Identity Managerのドメイン資格証明ストアの検証」を参照してください。
原因4
SSOKeystoreが改ざんされているかパスワードが正しくありません。
解決策4
キーストア・ファイルssoKeystore.jksがOIM_DOMAIN_HOME/config/fmwconfigに存在することを確認します。存在する場合は、キーストア・パスワードがOIMドメイン資格証明ストアに適切にシードされていることを確認してください。詳細は、第2.8.3項「Oracle Identity Managerのドメイン資格証明ストアの検証」を参照してください。
原因5
Oracle Identity Managerのログに障害に関する情報がありません。
解決策5
この問題を解決するには、次のようにします。
HTTPヘッダーを有効にし、初回ログイン、パスワードを忘れた場合のフローを実行しながらヘッダーを取得します。第2.10.1.1項「HTTPヘッダーのチェック」を参照してください。
HTTPヘッダーで、「初回ログイン」、「パスワードを忘れた場合」ページのPOSTメソッドの後のSet-Cookie: ObSSOCookieを探します。Cookieのドメインを確認してください。これは、保護対象リソースのURLのドメインと一致している必要があります。
Cookieドメインが異なる場合は、Fusion Middleware Controlを使用して、Oracle Identity Manager SSO構成内のCookieDomainを更新します。第2.8.1項「Oracle Identity Manager SSOConfigの検証」を参照してください。
Cookieドメインが正しい場合は、OIMとOAMサーバーをホストするマシンで時刻に相違がないか確認します。
セッションの終了機能では、Oracle Identity Manager管理者によりユーザー・ステータスが変更されると、アクティブなユーザー・セッションをすべて終了できます。セッションが終了となるOracle Identity Manager操作には、ユーザーのロックまたはロック解除、有効化または無効化、変更または削除があります。
セッションの終了はOracle Identity Managerによってトリガーされ、Access Manager OAP APIを呼び出してセッションを終了します。通信はOAPチャネル上で行われます。
セッションの終了の問題のトラブルシューティング手順は、次のとおりです。
OAP関連の構成がOracle Identity ManagerのSSOConfigに格納されていることを確認します。第2.8.1項「Oracle Identity Manager SSOConfigの検証」を参照してください。
/db/sssointg/EvenHandlers.xmlがOracle Identity Manager MDSにあることを確認します。第2.8.4項「SSOのイベント・ハンドラの検証」を参照してください。
Oracle Identity ManagerのSSOConfigのAccessGateID属性が、OAMサーバーによりホストされている10g SSOエージェントを指していることを確認します。
SSOConfigが11gエージェントIDを指している場合、次の手順を実行します。
新しい10g SSOエージェントを作成します。
そのIDをAccessGateID属性に設定します。
OIMドメイン資格証明ストアで、エージェント・パスワード(SSOAccessKey)を更新します。
通信モードがSIMPLEの場合、エージェントのaaa_cert.pemおよびaaa_key.pemを使用して、新しいキーストア・ファイル(ssoKeystore.jks)を作成し、OIM_DOMAIN_HOME/config/fmwconfigディレクトリにコピーする必要があります。
SIMPLEモードでは、OIMドメイン資格証明ストア内のSSOキーストア鍵(SSOKeystoreKey)およびSSOグローバル・パスフレーズ(SSOGobalPP)を更新します。
新規の10g SSOエージェントまたはssoKeyStore.jksの作成の詳細は、『Oracle Access Management管理者ガイド』を参照してください。
ユース・ケース1
ログインの試行に複数回失敗したため、LDAPストアとAccess Managerの両方がユーザーをロックアウトしました。ユーザーは、Oracle Identity Manager (OIM)の「パスワードを忘れた場合」ページを使用して自分のパスワードをリセットしようとしますが、リセット操作は失敗します。
考えられる説明
ユーザーのロック済ステータスがOracle Identity Managerにまだ伝播されていません。
Oracle Identity Managerでユーザーがロックされているかどうか確認します。
Oracle Identity Manager管理者としてIdentity Self Serviceアプリケーションにログインします。
「ユーザー」セクションにナビゲートし、ユーザーを検索します。
アイデンティティ・ステータスがlockedであるかどうか確認します。
ステータスがlockedでない場合、LDAPユーザーの作成とリコンシリエーションの更新のスケジュール済ジョブを実行し、ユーザー・ステータスがlockedとなっていることを確認します。
ユース・ケース2
複数の無効な資格証明によってログインが複数回試行されたため、ユーザー・アカウントがセルフロックされました。その後、ユーザーは正しい資格証明でログインしようとしますが、ログインできません。ユーザーは初めてログインするつもりで、パスワードを変更しますが、ログインは引き続き失敗します。
考えられる説明
LDAPディレクトリとAccess Managerの両方がユーザー・アカウントをロックしている可能性があります。この場合、ユーザーはOracle Identity Managerおよび保護されたページにはログインできません。ユーザーは「パスワードを忘れた場合」フローを使用して、パスワードをリセットする必要があります。
Access Managerのみがユーザーをロックアウトしている場合、ユーザーはOracle Identity Managerにログインしてパスワードをただちに変更できます。
ユース・ケース3
LDAPディレクトリのpwdMaxFailureの数の3が、oblogintrycountの値の5を下回っています。複数の無効な資格証明によってログインが複数回試行された(この場合は3回)ため、LDAPディレクトリはユーザーをロックアウトしました。その後、ユーザーは正しい資格証明でログインしようとしますが、4回目の試行でもログインできません。ユーザーは初めてログインするつもりで、パスワードを変更しますが、ログインは引き続き失敗します。
考えられる説明
LDAPディレクトリはユーザーをロックアウトしましたが、Access Managerはロックアウトしていません。oblogintrycountが5未満でもユーザーは正しいパスワードでログインできませんが、次の「パスワードを忘れた場合」フローは機能し、パスワードはリセットされます。
Oracle Identity Managerは、LDAPストアでロックされたユーザー・アカウントを調整しないため、LDAPディレクトリがユーザーをロックアウトしても、Oracle Identity Managerにあわせて調整されるものはありません。LDAPストアがユーザーをロックすると、Oracle Identity Managerではユーザーがアクティブとして表示されます。パスワードをリセットする方法は、「パスワードを忘れた場合」フローの実行のみです。
ユース・ケース4
LDAPディレクトリのpwdMaxFailureの回数の7が、oblogintrycountの値の5を下回っています。複数の無効な資格証明によってログインが複数回試行されたため、Access Managerはユーザーをロックアウトしました。その後、ユーザーが正しい資格証明でログインしようとすると、ログインに成功し、パスワードの変更がリダイレクトされますが、パスワードのリセット操作が失敗します。
考えられる説明
ユーザーのロック済ステータスがOracle Identity Managerにまだ伝播されていません。
Oracle Identity Managerでユーザーがロックされているかどうか確認します。
Oracle Identity Manager管理者としてIdentity Self Serviceアプリケーションにログインします。
「ユーザー」セクションにナビゲートし、ユーザーを検索します。
アイデンティティ・ステータスがlockedであるかどうか確認します。
ステータスがlockedでない場合、LDAPユーザーの作成とリコンシリエーションの更新のスケジュール済ジョブを実行し、ユーザー・ステータスがlockedとなっていることを確認します。
ユース・ケース1とこのユース・ケースは非常に似ていることに注意してください。ユース・ケース1では、LDAPディレクトリとAccess Managerの両方がユーザー・アカウントをロックしましたが、このユース・ケースではAccess Managerのみがユーザーをロックします。ただし、両方のユース・ケースの修正は同じです。
ユース・ケース5
ユーザーは自分のパスワードを思い出せないため、「パスワードを忘れた場合」フローを使用してパスワードをリセットしようとします。ユーザーは自分のユーザー・ログインを指定し、新しいパスワードを指定して間違ったチャレンジ応答を指定します。3回の試行に失敗した後、LDAPディレクトリとAccess Managerの両方がユーザーをロックします。oblogintrycountの値が5であるため、ユーザーは3回ではなく5回の試行後にロックアウトされると予想しています。
考えられる説明
Oracle Identity Managerの「リセット」/「パスワードを忘れた場合」フローでのパスワード・リセットの試行は、Oracle Identity Managerのシステム・プロパティXL.MaxPasswordResetAttemptsによって管理されており、デフォルト値は3です。したがって、ユーザーは3回の試行後ただちにロックアウトされます。Oracle Identity Managerは、LDAPディレクトリおよびAccess Managerでユーザーをネイティブにロックします。
パスワード・リセットの試行は、ログイン試行とは異なることに注意してください。ログインの試行はAccess Manager (oblogintrycount=5)によって管理され、パスワード・リセットの試行はOracle Identity Manager (XL.MaxPasswordResetAttempts=3)によって管理されます。
ユース・ケース6
一定のLDAPバインディングが間違った資格証明を使用したため、LDAPディレクトリはユーザーをロックします。Access Managerはユーザーをロックアウトしていません。ユーザーは正しい資格証明でログインしようとしますが、ログインできません。
考えられる説明
このユース・ケースでは、Access ManagerではなくLDAPディレクトリがユーザーをロックします。oblogintrycountが5未満でもユーザーは正しいパスワードでログインできませんが、「パスワードを忘れた場合」フローに従うことでパスワードをリセットできます。
ユーザーがLDAPディレクトリによってのみロックアウトされている場合、ユーザーのロックアウト・ステータスはOracle Identity Managerにあわせて調整されることはありません。したがって、ユーザーはLDAPディレクトリでロックされていても、Oracle Identity Managerでは引き続きアクティブとして表示されます。
ユース・ケース7
11.1.2.1より前のAccess ManagerおよびOracle Identity Managerの統合環境で、ユーザーの自動ロック解除が動作しません。
考えられる説明
自動ロック解除機能が動作するためには、Oracle Access Manager、Oracle Identity ManagerおよびOracle Virtual Directoryの追加パッチが必要です。
パッチの一覧と自動ロック解除の構成手順については、My Oracle SupportドキュメントID 1496808.1を参照してください。
ユース・ケース8
ユーザーがパスワードをリセットしたとき、パスワードのリセットが迅速に行われません。
複数の無効な資格証明によってログインが複数回試行されたため、ユーザー・アカウントがセルフロックされました。
ユーザーは「パスワードを忘れた場合」フローを使用して、パスワードをリセットします。
ユーザー・アカウントがロックされたままで、ユーザーがOracle Identity Managerにログインできません。
考えられる説明
ユーザーのlockedステータスがOracle Identity Managerにまだ伝播されていません。
Oracle Identity Managerでユーザーがロックされているかどうか確認します。
Oracle Identity Manager管理者としてIdentity Self Serviceアプリケーションにログインします。
「ユーザー」セクションにナビゲートし、ユーザーを検索します。
アイデンティティ・ステータスがlockedであるかどうか確認します。
ステータスがlockedでない場合、LDAPユーザーの作成とリコンシリエーションの更新のスケジュール済ジョブを実行し、ユーザー・ステータスがlockedとなっていることを確認します。
ここでは、次のようなその他の問題の解決策を適用します。
Oracle Identity Managerへのクライアントベース・ログインに成功するには、次のようにします。
クライアントベース・ログイン・ユーザーがLDAPプロバイダに存在する必要があります。
ユーザーが存在するLDAPプロバイダに応じて、OIMドメインセキュリティ・レルムでLDAPオーセンティケータを構成する必要があります。第2.8.2項「セキュリティ・プロバイダ構成の検証」を参照してください。
Oracle Identity Managerの保護されたアプリケーションからのログアウトで404エラーがスローされた場合は、jps-config.xmlにログアウト構成が存在することを確認します。第2.8.5項「SSOログアウト構成の検証」を参照してください。
必要に応じて、$DOMAIN_HOME/config/fmwconfigにあるjps-configurationファイルを編集し、すべてのサーバーを再起動することにより、JPS構成を修正できます。
jps-config.xmlで不適切な構成を解決する手順は次のとおりです。
ターミナル・ウィンドウで、次のコマンドを発行します: cd $DW_ORACLE_HOME/common/bin
./wlst.sh
connect()
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi")
exit
ドメイン内のすべてのサーバーを再起動します。
詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のOracleスタックの起動または停止に関する項を参照してください。
Active Directory環境で、パスワードのリセット後に最大1時間、古いパスワードがアクティブなままになります。この時間中は、古いパスワードおよび新しいパスワードの両方がActive Directoryサーバーに正常にバインドできます。これは予想された動作です。
configOIMの実行の一環として、Access Managementの公開RESTエンドポイントを使用して、Oracle Identity ManagerポリシーがAccess Manager内にシードされます。
Access Managerの公開エンドポイントへのアクセスに使用されるユーザー資格証明に、操作を実行するための十分な権限がない場合、Oracle Identity Managerポリシーのシード中に例外が発生します。
この解決策は、次のとおりです。
IDSTORE_WLSADMINUSERが、prepareIdStore mode=wlsコマンドの実行中に使用されたユーザーと同じであることを確認します。
curlコマンドを使用してAccess Manager RESTエンドポイントへのアクセスを試行します。
curl -u weblogic_idm:Welcome1 "http://OAM_ADMIN_HOST:OAM_ADMIN_PORT/oam/services/rest/11.1.2.0.0/ssa/policyadmin/appdomain"
説明:
weblogic_idmはIDSTORE_WLSADMINUSER用に示されているユーザーで、Welcome1はユーザーのパスワードです。
このコマンドがAccess Managerに存在するアプリケーション・ドメインのリストを戻すことに失敗する場合は、configOAMが正しく実行され、configOIMの実行前にAccess Manager管理サーバーが再起動することを確認します。
