| Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド 11gリリース1(11.1.1) B55911-01 |
|
 戻る |
 次へ |
| Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド 11gリリース1(11.1.1) B55911-01 |
|
戻る |
次へ |
この章では、Oracle Identity Federationをインストールおよび構成する方法について説明します。内容は次のとおりです。
拡張インストールおよび構成の例: RDBMSデータ・ストアがある新規または既存のWebLogic管理ドメインにOracle Identity Federationをインストールおよび構成する
Oracle Single Sign-OnまたはOracle Access Managerを認証エンジンとして使用するようにOracle HTTP Serverを構成する
Oracle Identity Federationには、様々に異なるデプロイメントがあります。次のトピックで説明するように、1つのOracle Identity Federationデプロイメントは、いくつかのコンポーネントと、そのコンポーネントのためのいくつかのオプションで構成されています。
この章では、可能なすべてのインストールと構成について説明しているわけではありません。この章を、Oracle Identity Federationデプロイ作業の出発点として役立ててください。『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』も参照してください。デプロイメントに関する追加情報や詳細情報が提供されています。
Oracle Identity Federation 11gリリース1(11.1.1)をインストールする場合、WebLogic Managed Serverが作成され、Oracle Identity Federation J2EEアプリケーションはその上にインストールされます。ドメインの作成オプションを選択して、新しいOracle WebLogic Server管理ドメインにOracle Identity Federationをインストールする場合、Fusion Middleware Control管理コンポーネントもデプロイされます。
Oracle Identity Federation機能は、いくつかのコンポーネントやモジュールに依存します。Oracle Identity Federationのインストール時、あるいはその後で、そのコンポーネントとモジュールを統合および構成することができます。
次に、Oracle Identity Federation機能を決定する一部のコンポーネントとモジュールのリストと簡単な説明を示します。詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』を参照してください。
認証エンジン: ユーザーがログインする際に、チャレンジするモジュール。
ユーザー・データ・ストア: Oracle Identity Federationシステムが認証するユーザーのアイデンティティ情報を含むリポジトリ。
フェデレーション・データ・ストア: フェデレーテッド・ユーザー・アカウントにリンクするデータを含むリポジトリ。
サービス・プロバイダ(SP)統合エンジン: 受信したフェデレーテッド・シングル・サインオン(SSO)トークンに基づいて、ユーザーのためにローカル認証セッションを作成するモジュール。
ユーザー・セッション・ストアとメッセージ・ストア: 一時的な実行時セッション状態データとプロトコル・メッセージを含むリポジトリ。
構成データ・ストア: Oracle Identity Federation構成データを含んでいるリポジトリ。
Oracle Identity Federation 11gリリース1(11.1.1)には、基本インストールと拡張インストールの2つのインストール・タイプがあります。このトピックでは両方のインストール・タイプを説明します。内容は次のとおりです。
基本インストールでは、最小限の機能が有効にされたOracle Identity Federationを、次の構成でデプロイします。
ユーザー・データ・ストアなし
フェデレーション・ストアなし
JAAS認証エンジン
テスト・サービス・プロバイダ(SP)エンジン
メモリー・セッション・データ・ストア
メモリー・メッセージ・データ・ストア
XMLファイルシステム構成ストア
拡張インストールでは、様々なタイプのデータ・ストアと認証エンジンを選択することができます。次に、拡張インストールの際に選択することができるデータ・ストアおよび認証エンジンのリストとタイプの説明を示します。
JAAS: アプリケーション・サーバーへの認証を委任します。
LDAP: フォーム・ログインと、ユーザー提供の資格証明を使用するLDAPバインドを使用して、LDAPリポジトリに対する認証を行います。
なし: ユーザー・データ・ストアなし。通常、カスタム認証エンジンやJAAS認証エンジン、ユーザー属性のない環境、またはWindows CardSpaceで使用されます。
LDAP: ユーザー・データをLDAPリポジトリに格納する典型的構成です。
RDBMS: ユーザー名(オプションでユーザー属性)を列に含むデータベース・テーブルを使用します。
なし: フェデレーション・データ・ストアなし。通常、永続的なアカウントにリンクしているレコードがない場合に使用されます。「フェデレーション・データ・ストアなし」は、名前識別子(電子メール・アドレス、X.509 DN、KerberosまたはWindows名前識別子)の代替選択肢です。
LDAP: フェデレーションをLDAPリポジトリに格納します。一般に、ユーザー・データ・ストアがLDAPでもある場合にデプロイされます。
RDBMS: フェデレーションをリレーショナル・データベース・リポジトリに格納します。一般に、ユーザー・データ・ストアがRDBMSでもある場合にデプロイされます。
XML: フェデレーション・データをXMLファイルシステムに格納します。一般に、テスト目的で使用されます。
メモリー: 一時実行時セッション状態データとプロトコル・メッセージをメモリー内の表に格納します。一般に、単一のインスタンス・デプロイメントで使用されます。ユーザー・セッション・ストアに「メモリー」を選択すると、RDBMSの場合よりパフォーマンスがよくなりますが、実行時メモリー要件が増大します。
RDBMS: 一時実行時セッション状態データとプロトコル・メッセージをリレーショナル・データベースに格納します。高可用性クラスタ環境にお薦めします。
|
注意: ユーザー・セッション・ストアとメッセージ・ストアは、インストーラでは別々の構成項目として表示されますが、大部分のデプロイメントでは、両方のストアに同じタイプのリポジトリが使用されます。 |
ファイルシステム: Oracle Identity Federation構成データをローカル・ファイルシステムに格納します。一般に、単一インスタンス環境やテスト環境で使用されます。
RDBMS: Oracle Identity Federation構成データをリレーショナル・データベースに格納します。一般に、フェイルオーバー冗長性を持つ高可用性環境や単一インスタンス環境で使用されます。
このトピックでは、Oracle Identity Federationの基本インストールと構成を実行する方法を説明します。内容は次のとおりです。
Oracle Identity Federationの基本インストールと構成は、次の場合に適しています。
インストール後に複合的な実装を構築するためのベースの作成
テスト環境のデプロイ
小規模な独立構成のデプロイ
Oracle Identity Federationの基本インストールと構成を実行すると、次のコンポーネントがデプロイされます。
Oracle Identity Federationを新しいドメインにインストールする場合:
WebLogic Managed Server
Oracle Identity Federation
Oracle HTTP Server
WebLogic Administration Server
Fusion Middleware Control
Oracle Identity Federationを既存のドメインにインストールする場合:
WebLogic Managed Server
Oracle Identity Federation
Oracle HTTP Server
Oracle Identity Federationの基本インストールと構成は、次のコンポーネントに依存します。
Oracle WebLogic Server
このインストールの一部としてデプロイされるOracle HTTP Server
|
注意: Oracle HTTP Serverは、Oracle Single Sign-OnとOracle Access Managerによるエンタープライズ・レベルのシングル・サインオンのためにOracle Identity Federationを使用する場合に必要です。Oracle Identity FederationはOracle HTTP Serverなしでも機能しますが、Oracle HTTP ServerをOracle Identity Federationのプロキシとして構成することには利点があります。詳細は「Oracle Single Sign-OnまたはOracle Access Managerを認証エンジンとして使用するようにOracle HTTP Serverを構成する」を参照してください。 |
Oracle Identity Federationの基本インストールと構成をデプロイするには、次の手順を実行します。
Oracle WebLogic Serverをインストールします。詳細は、「Oracle WebLogic ServerのインストールとOracleミドルウェア・ホームの作成」を参照してください。
インストールを開始します。最初に、「インストールの開始」の手順をすべて実行します。手順を完了すると、ドメインの選択画面が表示されます。
ドメインの選択画面で、新しいドメインと既存のドメインのどちらにOracle Identity Federationをインストールするかを選択します。
Oracle Identity Federationを新しいドメインにインストールするには:
新規ドメインの作成を選択します。
「ユーザー名」フィールドに、新しいドメインでのユーザー名を入力します。
ユーザー・パスワード・フィールドに、新しいドメインでのパスワードを入力します。
「パスワードの確認」フィールドに、もう一度ユーザー・パスワードを入力します。
「ドメイン名」フィールドに、新しいドメインのドメイン名を入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
手順4に進んで、インストールを続行します。
Oracle Identity Federationを既存のドメインにインストールするには:
既存ドメインの拡張を選択します。
「ホスト名」フィールドに、ドメインを含んでいるホストの名前を入力します。
「ポート」フィールドに、WebLogic Administration Serverのリスニング・ポートを入力します。
「ユーザー名」フィールドに、ドメインでのユーザー名を入力します。
「パスワード」フィールドに、ドメイン・ユーザーのパスワードを入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
「インストール先ディレクトリの識別」を参照して、ホーム、インスタンスおよびWebLogic Serverの各ディレクトリを識別します。各フィールドに情報を入力して、「次へ」をクリックします。セキュリティ更新の指定画面が表示されます。
セキュリティ上の問題の通知方法を選択します。
セキュリティ上の問題について、電子メールで通知を受け取るには、「電子メール」フィールドに電子メール・アドレスを入力します。
セキュリティ上の問題について、My Oracle Support(旧MetaLink)から通知を受け取る場合、My Oracle Supportオプションを選択し、My Oracle Supportのパスワードを入力します。
セキュリティ上の問題について通知を受け取らない場合は、すべてのフィールドを空欄のままにします。
「次へ」をクリックします。「コンポーネントの構成」画面が表示されます。
「Oracle Identity Federation」のみを選択します。Oracle Identity Federationを新しいドメインにインストールする場合、Fusion Middleware Controlコンポーネントが、インストール対象として自動的に選択されます。
他のコンポーネントが選択されていないことを確認して、「次へ」をクリックします。ポートの構成画面が表示されます。
インストーラによるポートの構成方法を選択します。
インストーラが、あらかじめ定められた範囲内のポートを構成するようにするには、自動ポート構成を選択します。
インストーラがstaticports.iniファイルを使用してポートを構成するようにするには、構成ファイルを使用してポートを指定を選択します。staticports.iniファイルの設定を更新するには、「ファイルの表示/編集」をクリックします。
「次へ」をクリックします。Oracle Identity Federation構成タイプの選択画面が表示されます。
「基本」を選択し、「次へ」をクリックします。OIF詳細の指定画面が表示されます。
次の情報を入力します。
PKCS12パスワード: Oracle Identity Federationが暗号化およびウォレットに署名するために使用するパスワードを入力します。ウォレットは、インストーラにより、自己署名された証明書を使用して自動生成されます。ウォレットは、テスト用にのみ使用することをお薦めします。
パスワードの確認: PKCS12パスワードをもう一度入力します。
サーバーID: このOracle Identity Federationインスタンスを識別するために使用する文字列を入力します。入力した文字列の先頭に、oifという接頭辞が追加されます。Oracle WebLogic Server管理ドメイン内の各論理Oracle Identity Federationインスタンスは、一意のサーバーIDを持つ必要があります。単一の論理インスタンスとして働くクラスタ化されたOracle Identity Federationインスタンスは、同じサーバーIDを持ちます。
「次へ」をクリックします。「インストール・サマリー」画面が表示されます。
インストールを完了するために、「インストールの完了」の手順をすべて実行します。
このトピックは、Oracle Identity Federationの拡張インストールと構成を実行する方法を、一般的に説明します。個別の拡張Oracle Identity Federationインストールの実行に関する詳細は、この章の、次の2つのトピックを参照してください。
このトピックの内容は次のとおりです。
Oracle Identity Federationの拡張インストールでは、不可欠なコンポーネントが統合、構成され、Oracle Identity Federationが高速、簡単にデプロイされます。
Oracle Identity Federationの拡張インストールと構成を実行すると、次のコンポーネントがデプロイされます。
Oracle Identity Federationを新しいドメインにインストールする場合:
WebLogic Managed Server
Oracle Identity Federation
Oracle HTTP Server
WebLogic Administration Server
Fusion Middleware Control
Oracle Identity Federationを既存のドメインにインストールする場合:
WebLogic Managed Server
Oracle Identity Federation
Oracle HTTP Server
Oracle Identity Federationの拡張インストールと構成は、次のコンポーネントに依存します。
Oracle WebLogic Server
このインストールの一部としてデプロイされるOracle HTTP Server
|
注意: Oracle HTTP Serverは、Oracle Single Sign-OnとOracle Access Managerによるエンタープライズ・レベルのシングル・サインオンのためにOracle Identity Federationを使用する場合に必要です。Oracle Identity FederationはOracle HTTP Serverなしでも機能しますが、Oracle HTTP ServerをOracle Identity Federationのプロキシとして構成することには利点があります。詳細は「Oracle Single Sign-OnまたはOracle Access Managerを認証エンジンとして使用するようにOracle HTTP Serverを構成する」を参照してください。 |
ユーザー・ストア、フェデレーション・ストア、セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用する場合は、Oracle Database
フェデレーション・ストア、セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用する場合は、データベース内に存在する新しい「Identity Management - Oracle Identity Federation」 スキーマ
ユーザー・ストアにRDBMSを使用する場合は、ユーザー・データを格納するためのデータベース表
認証、ユーザー・ストアまたはフェデレーション・ストアにLDAPを使用する場合は、LDAPリポジトリ
Oracle Identity Federationの拡張インストールと構成をデプロイするには、次の手順を実行します。
ユーザー・ストア、フェデレーション・ストア、セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用するかどうかを決定します。 使用する場合は、次の手順aおよびbを実行します。
Oracle Identity Federation用のデータベースをインストールします。詳細は、「Oracle Databaseのインストール」を参照してください。
データベースに「Identity Management - Oracle Identity Federation」スキーマを作成します。詳細は、「リポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
|
注意: RDBMSユーザー・ストアにはスキーマは必要ありません。 |
認証、ユーザー・ストアまたはフェデレーション・ストアにLDAPリポジトリを使用するかどうかを決定します。使用する場合、Oracle Identity Federationをインストールする前に、LDAPリポジトリをインストールする必要があります。
Oracle WebLogic Serverをインストールします。詳細は、「Oracle WebLogic ServerのインストールとOracleミドルウェア・ホームの作成」を参照してください。
インストールを開始します。最初に、「インストールの開始」の手順をすべて実行します。手順を完了すると、ドメインの選択画面が表示されます。
ドメインの選択画面で、新しいドメインと既存のドメインのどちらにOracle Identity Federationをインストールするかを選択します。
Oracle Identity Federationを新しいドメインにインストールするには:
新規ドメインの作成を選択します。
「ユーザー名」フィールドに、新しいドメインでのユーザー名を入力します。
ユーザー・パスワード・フィールドに、新しいドメインでのパスワードを入力します。
「パスワードの確認」フィールドに、もう一度ユーザー・パスワードを入力します。
「ドメイン名」フィールドに、新しいドメインのドメイン名を入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
手順6に進んで、インストールを続行します。
Oracle Identity Federationを既存のドメインにインストールするには:
既存ドメインの拡張を選択します。
「ホスト名」フィールドに、ドメインを含んでいるホストの名前を入力します。
「ポート」フィールドに、WebLogic Administration Serverのリスニング・ポートを入力します。
「ユーザー名」フィールドに、ドメインでのユーザー名を入力します。
「パスワード」フィールドに、ドメイン・ユーザーのパスワードを入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
「インストール先ディレクトリの識別」を参照して、ホーム、インスタンスおよびWebLogic Serverの各ディレクトリを識別します。各フィールドに情報を入力して、「次へ」をクリックします。セキュリティ更新の指定画面が表示されます。
セキュリティ上の問題の通知方法を選択します。
セキュリティ上の問題について、電子メールで通知を受け取るには、「電子メール」フィールドに電子メール・アドレスを入力します。
セキュリティ上の問題について、My Oracle Support(旧MetaLink)から通知を受け取る場合、My Oracle Supportオプションを選択し、My Oracle Supportのパスワードを入力します。
セキュリティ上の問題について通知を受け取らない場合は、すべてのフィールドを空欄のままにします。
「次へ」をクリックします。「コンポーネントの構成」画面が表示されます。
「Oracle Identity Federation」のみを選択します。Oracle Identity Federationを新しいドメインにインストールする場合、Fusion Middleware Controlコンポーネントが、インストール対象として自動的に選択されます。
他のコンポーネントが選択されていないことを確認して、「次へ」をクリックします。ポートの構成画面が表示されます。
インストーラによるポートの構成方法を選択します。
インストーラが、あらかじめ定められた範囲内のポートを構成するようにするには、自動ポート構成を選択します。
インストーラがstaticports.iniファイルを使用してポートを構成するようにするには、構成ファイルを使用してポートを指定を選択します。staticports.iniファイルの設定を更新するには、「ファイルの表示/編集」をクリックします。
「次へ」をクリックします。Oracle Identity Federation構成タイプの選択画面が表示されます。
「詳細」を選択し、「次へ」をクリックします。OIF詳細の指定画面が表示されます。
次の情報を入力します。
PKCS12パスワード: Oracle Identity Federationが暗号化およびウォレットに署名するために使用するパスワードを入力します。ウォレットは、インストーラにより、自己署名された証明書を使用して自動生成されます。ウォレットは、テスト用にのみ使用することをお薦めします。
パスワードの確認: PKCS12パスワードをもう一度入力します。
サーバーID: このOracle Identity Federationインスタンスを識別するために使用する文字列を入力します。入力した文字列の先頭に、oifという接頭辞が追加されます。Oracle WebLogic Server管理ドメイン内の各論理Oracle Identity Federationインスタンスは、一意のサーバーIDを持つ必要があります。単一の論理インスタンスとして働くクラスタ化されたOracle Identity Federationインスタンスは、同じサーバーIDを持ちます。
「次へ」をクリックします。OIF拡張フロー属性の選択画面が表示されます。
各構成項目に適切なオプションを選択し、「次へ」をクリックします。
|
注意: ユーザー・セッション・ストアとメッセージ・ストアは、インストーラでは別々の構成項目として表示されますが、大部分のデプロイメントでは、両方のストアに同じタイプのリポジトリが使用されます。 |
次に表示される画面は、OIF拡張フロー属性の選択画面で、構成項目に対して選択したオプションにより異なります。次の情報は、表示される可能性があるすべての画面の説明です。表示される可能性があるすべての画面に関するこの情報は、順番に表示されるとは限らず、インストールで画面のすべてが表示されないこともあります。適切な画面に情報を入力して、手順13まで進みます。
認証タイプにLDAPを選択した場合、LDAP認証の詳細の指定画面が表示されます。次の情報を入力します。
LDAPタイプ: 適切なLDAPリポジトリを選択します。
LDAP URL: LDAPリポジトリのURL接続文字列を、protocol://hostname:portという形式で入力します。
|
注意: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合、SSL LDAPのURL(ldaps://hostname:port)を指定する必要があります。 |
LDAPバインドDN: LDAPリポジトリのバインドDNを入力します。
LDAPパスワード: バインドDNのパスワードを入力します。
ユーザー資格証明ID属性: Oracle Identity Federationがユーザーを認証するために使用するLDAP属性を入力します。たとえば、「mail」と入力した場合、そのユーザーのmail属性の値がjane.doe@domain.comであれば、Jane Doeは、チャレンジされたときに「jane.doe.@domain.com」と入力する必要があります。ユーザー資格証明ID属性の値は、すべてのユーザーで一意である必要があります。
ユーザーの一意ID属性: Oracle Identity Federationに対してユーザーを一位に識別するLDAP属性を入力します。入力する値は、ユーザー・データ・ストアのユーザーID属性パラメータに対して入力する値と同一である必要があります。たとえば、ユーザーの一意ID属性に「mail」と入力し、ユーザー・データ・ストアのユーザーID属性パラメータに値EmailAddressを構成した場合、認証エンジン・リポジトリのmailの値は、ユーザー・データ・ストアのEmailAddressの値と同一である必要があります。ユーザーの一意ID属性の値は、すべてのユーザーで一意である必要があります。
個人オブジェクト・クラス: LDAPリポジトリでユーザーを表すLDAPオブジェクト・クラスを入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はinetOrgPerson、Microsoft Active Directoryの場合はuserです。
ベースDN: 検索が開始されるルートDNを入力します。
ユーザー・ストアにLDAPを選択した場合、ユーザー・データ・ストアのLDAP属性の指定画面が表示されます。次の情報を入力します。
LDAPタイプ: 適切なLDAPリポジトリを選択します。
LDAP URL: LDAPリポジトリのURL接続文字列を、protocol://hostname:portという形式で入力します。
|
注意: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合、SSL LDAPのURL(ldaps://hostname:port)を指定する必要があります。 |
LDAPバインドDN: LDAPリポジトリのバインドDNを入力します。
LDAPパスワード: バインドDNのパスワードを入力します。
ユーザーの説明属性: フェデレーション・レコードの所有者を識別する、読取り可能なLDAP属性を入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はuid、Microsoft Active Directoryの場合はsAMAccountNameです。
ユーザーID属性: 認証の際、ユーザーを一意に識別するLDAP属性を入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はuid、Microsoft Active Directoryの場合はsAMAccountNameです。
個人オブジェクト・クラス: LDAPリポジトリでユーザーを表すLDAPオブジェクト・クラスを入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はinetOrgPerson、Microsoft Active Directoryの場合はuserです。
ベースDN: 検索が開始されるルートDNを入力します。
ユーザー・ストアにRDBMSを選択した場合、ユーザー・ストア・データベースの詳細の指定画面が表示されます。次の情報を入力します。
ホスト名: データベース・ホストへの接続文字列を、hostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
ユーザー名: データベース・ユーザー名を入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
ログイン表: ユーザー・データを格納する表の名前を入力します。入力する値は、有効なテーブル名である必要があります。ユーザーID属性とユーザーの説明属性に入力する値は、指定した表の有効な列名である必要があります。
ユーザーID属性: Oracle Identity FederationユーザーIDに使用する表の列の名前を入力します。入力する値は、ログイン表パラメータに指定した表の有効な列名である必要があります。
ユーザーの説明属性: ユーザー説明のために使用する表の列の名前を入力します。入力する値は、ログイン表パラメータに指定した表の有効な列名である必要があります。
フェデレーション・ストアにLDAPを選択した場合、フェデレーション・データ・ストアのLDAP属性の指定画面が表示されます。次の情報を入力します。
LDAPタイプ: 適切なLDAPリポジトリを選択します。
LDAP URL: LDAPリポジトリのURL接続文字列を、protocol://hostname:portという形式で入力します。
|
注意: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合、SSL LDAPのURL(ldaps://hostname:port)を指定する必要があります。 |
LDAPバインドDN: LDAPリポジトリのバインドDNを入力します。
LDAPパスワード: バインドDNのパスワードを入力します。
ユーザー・フェデレーション・レコード・コンテキスト: Oracle Identity Federationがフェデレーション・レコードを格納するコンテナの場所を入力します。指定したコンテナが存在しない場合、実行時に作成されます。ただし、ユーザー・フェデレーション・レコード・コンテキストとして「cn=example,dc=test,dc=com」を指定した場合、「dc=test,dc=com」がLDAPリポジトリに存在する必要があります。
LDAPコンテナ・オブジェクト・クラス: オプション。ストア・フェデレーションを格納するコンテナのオブジェクト・クラスを入力します。このフィールドが空欄の場合、デフォルト値のapplicationProcessが使用されます。
Active Directoryドメイン: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合のみ表示されます。Microsoft Active Directoryドメインの名前を入力します。
フェデレーション・ストアにRDBMSを選択した場合、フェデレーション・ストア・データベースの詳細の指定画面が表示されます。次の情報を入力します。
ホスト名: データベース・ホストへの接続文字列を、hostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
ユーザー・セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを選択した場合、一時ストア・データベースの詳細の指定画面が表示されます。次の情報を入力します。
ホスト名: データベース・ホストへの接続文字列を、hostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
インストールを完了するために、「インストールの完了」の手順をすべて実行します。
この項では、LDAP認証、ユーザー・ストアおよびフェデレーション・ストア用のOracle Internet Directoryとともに、新しいWebLogic管理ドメインに、Oracle Identity Federationをインストールし、構成する方法を説明します。
|
注意: Oracle Identity FederationをOracle Internet Directoryとともにインストールする場合、インストーラは自動的に、Oracle Internet Directoryの構成を使用して、接続、資格証明、属性およびコンテナの設定を構成します。 |
この項には、このインストールと構成に関する次の情報が含まれます。
このトピックのインストールと構成を実行して、Oracle Identity Federationを、LDAP認証、ユーザー・ストアおよびフェデレーション・ストア用のLDAPリポジトリとなるOracle Internet Directoryとともに短時間でデプロイします。
この項のインストールと構成を実行すると、次のコンポーネントがデプロイされます。
WebLogic Managed Server
Oracle Identity Federation
Oracle HTTP Server
Oracle Internet Directory
Oracle Directory Service Manager
WebLogic Administration Server
Fusion Middleware Control
この項のインストールと構成は、次のコンポーネントに依存しています。
Oracle WebLogic Server
このインストールの一部としてデプロイされるOracle HTTP Server
|
注意: Oracle HTTP Serverは、Oracle Single Sign-OnとOracle Access Managerによるエンタープライズ・レベルのシングル・サインオンのためにOracle Identity Federationを使用する場合に必要です。Oracle Identity FederationはOracle HTTP Serverなしでも機能しますが、Oracle HTTP ServerをOracle Identity Federationのプロキシとして構成することには利点があります。詳細は「Oracle Single Sign-OnまたはOracle Access Managerを認証エンジンとして使用するようにOracle HTTP Serverを構成する」を参照してください。 |
Oracle Internet Directory用のOracle Database
Oracle Internet Directory用のデータベースにある「Identity Management - Oracle Internet Directory」スキーマ。
セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用する場合は、Oracle Identity Federation用のOracle Database
セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用する場合は、Oracle Identity Federation用のデータベース内に存在する「Identity Management - Oracle Identity Federation」スキーマ
LDAP認証、ユーザー・ストアおよびフェデレーション・ストア用に、新しいドメインにOracle Identity FederationをOracle Internet Directoryとともにインストールし、構成するには、次の手順を実行します。
セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用するかどうかを決定します。使用する場合は、次の手順aおよびbを実行します。
Oracle Identity Federation用のデータベースをインストールします。詳細は、「Oracle Databaseのインストール」を参照してください。
データベースに「Identity Management - Oracle Identity Federation」スキーマを作成します。詳細は、「リポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
Oracle Internet Directory用にOracle Databaseをインストールします。詳細は、「Oracle Databaseのインストール」を参照してください。
Oracle Internet Directory用のデータベースに「Identity Management - Oracle Internet Directory」スキーマを作成します。詳細は、「リポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
Oracle WebLogic Serverをインストールします。詳細は、「Oracle WebLogic ServerのインストールとOracleミドルウェア・ホームの作成」を参照してください。
インストールを開始します。最初に、「インストールの開始」の手順をすべて実行します。手順を完了すると、ドメインの選択画面が表示されます。
ドメインの選択画面で、新規ドメインの作成を選択して、次の情報を入力します。
ユーザー名: 新しいドメインでのユーザー名を入力します。
ユーザー・パスワード: 新しいドメインのパスワードを入力します。
「パスワードの確認」フィールドに、もう一度ユーザー・パスワードを入力します。
ドメイン名: 新しいドメインの名前を入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
「インストール先ディレクトリの識別」を参照して、ホーム、インスタンスおよびWebLogic Serverの各ディレクトリを識別します。各フィールドに情報を入力して、「次へ」をクリックします。セキュリティ更新の指定画面が表示されます。
セキュリティ上の問題の通知方法を選択します。
セキュリティ上の問題について、電子メールで通知を受け取るには、「電子メール」フィールドに電子メール・アドレスを入力します。
セキュリティ上の問題について、My Oracle Support(旧MetaLink)から通知を受け取る場合、My Oracle Supportオプションを選択し、My Oracle Supportのパスワードを入力します。
セキュリティ上の問題について通知を受け取らない場合は、すべてのフィールドを空欄のままにします。
「次へ」をクリックします。「コンポーネントの構成」画面が表示されます。
「Oracle Internet Directory」および「Oracle Identity Federation」を選択します。
Oracle Directory Services ManagerおよびFusion Middleware Controlの管理コンポーネントは、このインストールに対して自動的に選択されます。
他のコンポーネントが選択されていないことを確認して、「次へ」をクリックします。ポートの構成画面が表示されます。
インストーラによるポートの構成方法を選択します。
インストーラが、あらかじめ定められた範囲内のポートを構成するようにするには、自動ポート構成を選択します。
インストーラがstaticports.iniファイルを使用してポートを構成するようにするには、構成ファイルを使用してポートを指定を選択します。staticports.iniファイルの設定を更新するには、「ファイルの表示/編集」をクリックします。
「次へ」をクリックします。スキーマ・データベースの指定画面が表示されます。
既存のスキーマの使用を選択し、次の情報を入力することによって、手順3で作成したOracle Internet Directory用のODSスキーマを識別します。
「接続文字列」フィールドにデータベースの接続情報を入力します。接続文字列は、hostname:port:servicenameという形式である必要があります。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
「パスワード」フィールドに、ODSスキーマのパスワードを入力し、「次へ」をクリックします。
|
注意: 既存のODSスキーマとODSSMスキーマのパスワードが異なる場合、「次へ」をクリックすると、ODSSMパスワードの指定画面が表示されます。既存のODSSMスキーマのパスワードを入力し、「次へ」をクリックします。 |
Oracle Internet Directoryの作成画面が表示されます。
Oracle Internet Directoryに関する、次の情報を入力します。
レルム: レルムの場所を入力します。
管理者パスワード: Oracle Internet Directory管理者のパスワードを指定します。
パスワードの確認: 管理者パスワードをもう一度入力します。
「次へ」をクリックします。OIF詳細の指定画面が表示されます。
次の情報を入力します。
PKCS12パスワード: Oracle Identity Federationが暗号化およびウォレットに署名するために使用するパスワードを入力します。ウォレットは、インストーラにより、自己署名された証明書を使用して自動生成されます。ウォレットは、テスト用にのみ使用することをお薦めします。
パスワードの確認: PKCS12パスワードをもう一度入力します。
サーバーID: このOracle Identity Federationインスタンスを識別するために使用する文字列を入力します。入力した文字列の先頭に、oifという接頭辞が追加されます。Oracle WebLogic Server管理ドメイン内の各論理Oracle Identity Federationインスタンスは、一意のサーバーIDを持つ必要があります。単一の論理インスタンスとして働くクラスタ化されたOracle Identity Federationインスタンスは、同じサーバーIDを持ちます。
「次へ」をクリックします。OIF拡張フロー属性の選択画面が表示されます。
|
注意:
|
各構成項目に適切なオプションを選択し、「次へ」をクリックします。
|
注意: ユーザー・セッション・ストアとメッセージ・ストアは、インストーラでは別々の構成項目として表示されますが、大部分のデプロイメントでは、両方のストアに同じタイプのリポジトリが使用されます。 |
ユーザー・セッション・ストア: 「メモリー」またはRDBMS
一時実行時セッション状態データをメモリー内の表に格納するには、「メモリー」を選択します。
一時実行時セッション状態データをリレーショナル・データベースに格納するには、RDBMSを選択します。
メッセージ・ストア: 「メモリー」またはRDBMS
プロトコル・メッセージをメモリー内の表に格納するには、「メモリー」を選択します。
プロトコル・メッセージをリレーショナル・データベースに格納するには、RDBMSを選択します。
構成ストア: 「ファイル」またはRDBMS
Oracle Identity Federation構成データをローカル・ファイルシステムに格納するには、「ファイル」を選択します。
Oracle Identity Federation構成データをリレーショナル・データベースに格納するには、RDBMSを選択します。
一時ストア・データベースの詳細の指定画面で、次の情報を入力します。
ホスト名: データベース・ホストへの接続文字列を、hostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
インストールを完了するために、「インストールの完了」の手順をすべて実行します。
このトピックでは、新規または既存のWebLogic管理ドメインに、RDBMSデータ・ストアとともにOracle Identity Federationをインストールして、構成する方法を説明します。内容は次のとおりです。
このトピックのインストールと構成を実行して、Oracle Identity Federationを、RDBMSユーザー・ストア、フェデレーション・ストア、セッション・ストア、メッセージ・ストアおよび構成ストアとともに短時間でデプロイします。
この項のインストールと構成を実行すると、次のコンポーネントがデプロイされます。
Oracle Identity Federationを新しいドメインにインストールする場合:
WebLogic Administration Server
Fusion Middleware Control
WebLogic Managed Server
Oracle Identity Federation
Oracle HTTP Server
Oracle Identity Federationを既存のドメインにインストールする場合:
WebLogic Managed Server
Oracle Identity Federation
Oracle HTTP Server
この項のインストールと構成は、次のものに依存しています。
Oracle WebLogic Server
このインストールの一部としてデプロイされるOracle HTTP Server
|
注意: Oracle HTTP Serverは、Oracle Single Sign-OnとOracle Access Managerによるエンタープライズ・レベルのシングル・サインオンのためにOracle Identity Federationを使用する場合に必要です。Oracle Identity FederationはOracle HTTP Serverなしでも機能しますが、Oracle HTTP ServerをOracle Identity Federationのプロキシとして構成することには利点があります。詳細は「Oracle Single Sign-OnまたはOracle Access Managerを認証エンジンとして使用するようにOracle HTTP Serverを構成する」を参照してください。 |
ユーザー・ストア、フェデレーション・ストア、セッション・ストア、メッセージ・ストアまたは構成ストア用のOracle Database
フェデレーション・ストア、セッション・ストア、メッセージ・ストアおよび構成ストア用のデータベース内に存在する新しい「Identity Management - Oracle Identity Federation」 スキーマ
ユーザー・データをユーザー・ストア・データベースに格納するための表
認証にLDAPを使用する場合は、LDAPリポジトリ
新規または既存のドメインに、RDBMSユーザー・ストア、フェデレーション・ストア、ユーザー・セッション・ストア、メッセージ・ストアおよび構成ストアとともにOracle Identity Federationをインストールして、構成するには、次の手順を実行します。
RDBMSユーザー・ストア、フェデレーション・ストア、ユーザー・セッション・ストア、メッセージ・ストアおよび構成ストア用のデータベースをインストールします。詳細は、「Oracle Databaseのインストール」を参照してください。
データベースに「Identity Management - Oracle Identity Federation」スキーマを作成します。詳細は、「リポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
認証にLDAPリポジトリを使用するかどうかを決定します。使用する場合、Oracle Identity Federationをインストールする前に、LDAPリポジトリをインストールする必要があります。
Oracle WebLogic Serverをインストールします。詳細は、「Oracle WebLogic ServerのインストールとOracleミドルウェア・ホームの作成」を参照してください。
インストールを開始します。最初に、「インストールの開始」の手順をすべて実行します。手順を完了すると、ドメインの選択画面が表示されます。
ドメインの選択画面で、新しいドメインと既存のドメインのどちらにOracle Identity Federationをインストールするかを選択します。
Oracle Identity Federationを新しいドメインにインストールするには:
新規ドメインの作成を選択します。
「ユーザー名」フィールドに、新しいドメインでのユーザー名を入力します。
ユーザー・パスワード・フィールドに、新しいドメインでのパスワードを入力します。
「パスワードの確認」フィールドに、もう一度ユーザー・パスワードを入力します。
「ドメイン名」フィールドに、新しいドメインのドメイン名を入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
手順7に進んで、インストールを続行します。
Oracle Identity Federationを既存のドメインにインストールするには:
既存ドメインの拡張を選択します。
「ホスト名」フィールドに、ドメインを含んでいるホストの名前を入力します。
「ポート」フィールドに、WebLogic Administration Serverのリスニング・ポートを入力します。
「ユーザー名」フィールドに、ドメインでのユーザー名を入力します。
「パスワード」フィールドに、ドメイン・ユーザーのパスワードを入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
「インストール先ディレクトリの識別」を参照して、ホーム、インスタンスおよびWebLogic Serverの各ディレクトリを識別します。各フィールドに情報を入力して、「次へ」をクリックします。セキュリティ更新の指定画面が表示されます。
セキュリティ上の問題の通知方法を選択します。
セキュリティ上の問題について、電子メールで通知を受け取るには、「電子メール」フィールドに電子メール・アドレスを入力します。
セキュリティ上の問題について、My Oracle Support(旧MetaLink)から通知を受け取る場合、My Oracle Supportオプションを選択し、My Oracle Supportのパスワードを入力します。
セキュリティ上の問題について通知を受け取らない場合は、すべてのフィールドを空欄のままにします。
「次へ」をクリックします。「コンポーネントの構成」画面が表示されます。
「Oracle Identity Federation」のみを選択します。Oracle Identity Federationを新しいドメインにインストールする場合、Fusion Middleware Controlコンポーネントが、インストール対象として自動的に選択されます。
他のコンポーネントが選択されていないことを確認して、「次へ」をクリックします。ポートの構成画面が表示されます。
インストーラによるポートの構成方法を選択します。
インストーラが、あらかじめ定められた範囲内のポートを構成するようにするには、自動ポート構成を選択します。
インストーラがstaticports.iniファイルを使用してポートを構成するようにするには、構成ファイルを使用してポートを指定を選択します。staticports.iniファイルの設定を更新するには、「ファイルの表示/編集」をクリックします。
「次へ」をクリックします。Oracle Identity Federation構成タイプの選択画面が表示されます。
「詳細」を選択し、「次へ」をクリックします。OIF詳細の指定画面が表示されます。
次の情報を入力します。
PKCS12パスワード: Oracle Identity Federationが暗号化およびウォレットに署名するために使用するパスワードを入力します。ウォレットは、インストーラにより、自己署名された証明書を使用して自動生成されます。ウォレットは、テスト用にのみ使用することをお薦めします。
パスワードの確認: PKCS12パスワードをもう一度入力します。
サーバーID: このOracle Identity Federationインスタンスを識別するために使用する文字列を入力します。入力した文字列の先頭に、oifという接頭辞が追加されます。Oracle WebLogic Server管理ドメイン内の各論理Oracle Identity Federationインスタンスは、一意のサーバーIDを持つ必要があります。単一の論理インスタンスとして働くクラスタ化されたOracle Identity Federationインスタンスは、同じサーバーIDを持ちます。
「次へ」をクリックします。OIF拡張フロー属性の選択画面が表示されます。
次のオプションを選択し、「次へ」をクリックします。
認証タイプ: JAASまたは「LDAP」
JAAS: アプリケーション・サーバーへの認証を委任します。
LDAPリポジトリに照会して認証するには、「LDAP」を選択します。
ユーザー・ストア: RDBMS
フェデレーション・ストア: RDBMS
ユーザー・セッション・ストア: RDBMS
メッセージ・ストア: RDBMS
構成ストア: RDBMS
認証を実行するLDAPリポジトリを指定するには、LDAP認証の詳細の指定画面で、次の情報を入力します。
LDAPタイプ: 適切なLDAPリポジトリを選択します。
LDAP URL: LDAPリポジトリのURL接続文字列を、protocol://hostname:portという形式で入力します。
|
注意: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合、SSL LDAPのURL(ldaps://hostname:port)を指定する必要があります。 |
LDAPバインドDN: LDAPリポジトリのバインドDNを入力します。
LDAPパスワード: バインドDNのパスワードを入力します。
ユーザー資格証明ID属性: Oracle Identity Federationがユーザーを認証するために使用するLDAP属性を入力します。たとえば、「mail」と入力した場合、そのユーザーのmail属性の値がjane.doe@domain.comであれば、Jane Doeは、チャレンジされたときに「jane.doe.@domain.com」と入力する必要があります。ユーザー資格証明ID属性の値は、すべてのユーザーで一意である必要があります。
ユーザーの一意ID属性: Oracle Identity Federationに対してユーザーを一位に識別するLDAP属性を入力します。入力する値は、ユーザー・データ・ストアのユーザーID属性パラメータに対して入力する値と同一である必要があります。たとえば、ユーザーの一意ID属性に「mail」と入力し、ユーザー・データ・ストアのユーザーID属性パラメータに値EmailAddressを構成した場合、認証エンジン・リポジトリのmailの値は、ユーザー・データ・ストアのEmailAddressの値と同一である必要があります。ユーザーの一意ID属性の値は、すべてのユーザーで一意である必要があります。
個人オブジェクト・クラス: LDAPリポジトリでユーザーを表すLDAPオブジェクト・クラスを入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はinetOrgPerson、Microsoft Active Directoryの場合はuserです。
ベースDN: 検索が開始されるルートDNを入力します。
「次へ」をクリックします。ユーザー・ストア・データベースの詳細の指定画面が表示されます。
ユーザー・データを格納するデータベースを指定するには、次の情報を入力します。
ホスト名: データベース・ホストへの接続文字列を、hostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
ユーザー名: データベース・ユーザー名を入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
ログイン表: ユーザー・データを格納する表の名前を入力します。入力する値は、有効なテーブル名である必要があります。ユーザーID属性とユーザーの説明属性に入力する値は、指定した表の有効な列名である必要があります。
ユーザーID属性: Oracle Identity FederationユーザーIDに使用する表の列の名前を入力します。入力する値は、ログイン表パラメータに指定した表の有効な列名である必要があります。
ユーザーの説明属性: ユーザー説明のために使用する表の列の名前を入力します。入力する値は、ログイン表パラメータに指定した表の有効な列名である必要があります。
「次へ」をクリックします。フェデレーション・ストア・データベースの詳細の指定画面が表示されます。
フェデレーテッド・ユーザー・アカウントにリンクするデータを格納するデータベースを指定するには、次の情報を入力します。
ホスト名: データベース・ホストへの接続文字列を、hostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
「次へ」をクリックします。一時ストア・データベースの詳細の指定画面が表示されます。
一時実行時セッション状態データ、プロトコル・メッセージおよびOracle Identity Federation構成データを格納するデータベースを指定するには、次の情報を入力します。
ホスト名: データベース・ホストへの接続文字列を、hostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
「次へ」をクリックします。「インストール・サマリー」画面が表示されます。
インストールを完了するために、「インストールの完了」の手順をすべて実行します。
次のようにして、Oracle Identity Federationインストールを検証します。
次のURLのOracle Identity Federationメタデータにアクセスします。メタデータにアクセスすることができる場合、Oracle Identity Federationがインストールされ、Oracle Identity Federationサーバーが稼働しています。
http://host:port/fed/sp/metadata
|
注意: hostは、Oracle Identity FederationがインストールされたWebLogic Managed Serverの名前を表します。portは、そのWebLogic Managed Server上のリスニング・ポートを表します。 |
Oracle Identity Federationが、利用可能で、稼働していることを検証するには、Fusion Middleware Controlにアクセスします。詳細は、Oracle Fusion Middlewareの管理者ガイドの、Oracle Enterprise Manager Fusion Middleware Controlスタート・ガイドを参照してください。
Oracle Identity Federationをインストールした後で、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』の、一般的なタスクの項を参照してください。
Oracle HTTP ServerなどのHTTPサーバーは、Oracle Fusion MiddlewareのWeb層にデプロイされます。大部分のOracle Identity Managementコンポーネントは、Web層がなくても機能できますが、Oracle Single Sign-OnやOracle Access Managerなど、エンタープライズ・レベルのシングル・サインオンをサポートする場合は、Web層が必要です。
Oracle HTTP Serverに統合されるようにOracle Identity Federationを構成するには、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』の、Oracle HTTP ServerとともにOracle Identity Federationをデプロイする場合を扱った項を参照してください。
