| Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド 11gリリース1(11.1.1) B56245-01 |
|
 戻る |
 次へ |
この章では、既存の10g(10.1.4)Oracle Identity FederationをOracle Identity Federation 11gにアップグレードする方法について説明します。
この章の内容は次のとおりです。
Oracle Identity Federation 11gをインストールする前に、Oracle Application Server 10g(10.1.4)での現在のトポロジと、Oracle Fusion Middleware 11g環境の要件を確認します。
詳細は、第3章「Oracle Identity Federationのトポロジ」を参照してください。
Oracle Identity Federation 11gにアップグレードするには、サポートされているデータベースにOracle Identity Federationスキーマをインストールしておく必要があります。
詳細は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のデータベースのアップグレードと準備に関する項を参照してください。
Oracle BI Discovererスキーマのインストールの詳細は、次の項を参照してください。
インストールを実行する前に、システム要件や動作保証のドキュメントを読み、使用している環境が、インストールする製品のインストール最小要件を満たしているかどうかを確認する必要があります。
詳細は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のシステム要件と前提条件に関する項を参照してください。
リポジトリ作成ユーティリティを実行してデータベースにOracle Identity Federationスキーマをインストールするには、次のようにします。
Oracle Fusion Middlewareのメタデータ・リポジトリ作成ユーティリティのCD-ROMをマウントします。
また、Oracle Technology Network(OTN)でリポジトリ作成ユーティリティのインストール・キットをダウンロードし、解凍することもできます。
http://www.oracle.com/technology/
どちらの場合も、CD-ROMのrootディレクトリや、ダウンロードしたキットを解凍したディレクトリは、RCU_HOMEディレクトリと呼ばれます。
UNIXシステムの場合:
RCU_HOME/bin/rcu
Windowsシステムの場合:
RCU_HOME\bin\rcu.bat
リポジトリ作成ユーティリティの画面の手順に従ってデータベースに接続し、必要なスキーマを作成します。
スキーマのインストール時は、次の点に注意してください。
「コンポーネントの選択」画面で、「Oracle Identity Federation」スキーマを選択します。
他のOracle Fusion Middleware 11gコンポーネントのインストールにこのデータベースを使用する予定がなければ、他のスキーマは必要ありません。
次の項では、Oracle Fusion Middleware 11gへのアップグレードの準備のため、新規のOracle Fusion Middleware 11g中間層インスタンスをインストールし、構成する方法について説明します。
タスク3b: アップグレード準備のためのOracle Identity Federation 11gのインストールおよび構成
タスク3c: Oracle HTTP Serverインスタンスの作成およびOracle Identity Federation 11gへのリンク
Oracle WebLogic Serverをインストールしてミドルウェア・ホームを作成するには、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle WebLogic Serverのインストールに関する項を参照してください。
ミドルウェア・ホームの詳細は、Oracle Fusion Middlewareの管理者ガイドの「Oracle Fusion Middlewareの概念の理解」を参照してください。
アップグレード準備のためのOracle Identity Federationのインストールと構成は、その他の11gのインストールと同様です。後から、Oracle Fusion Middlewareのアップグレード・アシスタントを使用して、構成情報を10g環境から新しい11g環境にコピーします。
アップグレード準備のためにOracle Identity Federationをインストールおよび構成するには、次のようにします。
Oracle Identity Management CD-ROMを検索します。
また、Oracle Technology Network(OTN)でインストール・キットをダウンロードし、解凍することもできます。
http://www.oracle.com/technology/
CD-ROMからインストールする場合は、CD-ROMのルート・ディレクトリに移動します。
あるいは、Oracle Technology Networkからソフトウェアをダウンロードして解凍した場合は、ディレクトリを、ソフトウェアを解凍した場所のDisk1ディレクトリに変更します。
Oracle Universal Installerを起動します。
UNIXシステムでは、次のコマンドを入力してリポジトリ作成ユーティリティをインストールします。
./runInstaller
Windowsシステムでは、setup.exeファイルをダブルクリックします。
インストーラの手順に従い、Oracle Identity Federationをインストールします。
Oracle Identity Federationのインストール時に必要な前提条件とプロンプトについては、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照するか、「ヘルプ」をクリックします。
インストールと構成が完了したら、Oracle Identity Managementのインストールと構成ツールを終了します。
具体的な手順については、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle HTTP Serverの作成と管理に関する項を参照してください。
Oracle Single Sign-OnをOracle Identity Federation 10gインスタンスで使用している場合、Oracle Fusion Middlewareのアップグレード・アシスタントを実行する前に、Oracle Identity Federation 11gとともにインストールされた新しいOracle HTTP Server 11gインスタンスと連動するように既存のOracle Single Sign-Onインストールを構成します。
詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle Single Sign-OnとOracle HTTP Serverの統合に関する項を参照してください。
Oracle Identity Federationのアップグレード後に、6.5.3項「Oracle Identity Federation 11gで機能するためのアップグレード後のOracle Single Sign-On Serverの再構成」の手順を使用して、Oracle Single Sign-Onを再構成する必要もあります。
Oracle Fusion Middlewareアップグレード・アシスタントによって、Oracle Application Server 10g環境のアップグレードが多くの点で自動化されます。
アップグレード・アシスタントは、Oracle Fusion Middleware Oracleホームのbinディレクトリに自動的にインストールされます。
アップグレード・アシスタントは、アップグレードするそれぞれのOracle Application Server 10g Oracleホームに対して1回実行します。たとえば、同じ10gリリース2(10.1.2)ファームの一部である、2つの10gリリース2(10.1.2)Oracleホームをアップグレードする場合、それぞれの10gリリース2(10.1.2)Oracleホームに対してそれぞれ1回ずつ、つまり2回アップグレード・アシスタントを実行します。
同様に、新しいOracle Fusion Middleware 11g環境に複数のOracleインスタンスを構成する場合、Oracleインスタンスごとにアップグレード・アシスタントを1回実行する必要があります。
詳細は、次の項を参照してください。
グラフィカル・ユーザー・インタフェースを使用したアップグレード・アシスタントを起動する手順は、次のとおりです。
|
注意: Oracle Application Server 10g Oracleホームのアップグレードには、アップグレード・アシスタントのコマンドライン・インタフェースも使用できます。詳細は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』の「アップグレード・アシスタントのコマンドライン・インタフェースの使用」を参照してください。 |
ディレクトリを、Oracle Fusion MiddlewareインストールのORACLE_HOME/binディレクトリに変更します。
次のコマンドを入力して、アップグレード・アシスタントを起動します。
UNIXシステムの場合:
./ua
Windowsシステムの場合:
ua.bat
図6-1に示すとおり、アップグレード・アシスタントの「ようこそ」画面が表示されます。
「次へ」をクリックして「操作の指定」画面を表示します(図6-2)。
アップグレード・アシスタントで使用可能なオプションは、アシスタントを起動したOracleホーム固有のものです。Oracle Application Server Identity Management Oracleホームからアップグレード・アシスタントを起動すると、「操作の指定」画面に表示されるオプションは、Oracle Application Server Identity Management Oracleホームに対して有効なオプションになります。
図6-2 Oracle Identity Federationアップグレードのためのアップグレード・アシスタントの「操作の指定」画面
Oracle Identity Federationをアップグレードする場合、アップグレード・アシスタントによって、Oracle Identity Federation中間層の構成ファイルがアップグレードされます。
Oracle Identity Federationが同一のOracleインスタンスにある場合にOracle Identity Federationをアップグレードするには、次のようにします。
「タスク4a: Oracle Identity Federationアップグレードのためのアップグレード・アシスタントの起動」に示すとおり、アップグレード・アシスタントを起動します。
「操作の指定」画面で「アイデンティティ管理インスタンスのアップグレード」を選択します(図6-2)。
Oracle Identity Federationのアップグレード中に入力を必要とするアップグレード・アシスタント画面の説明は、表6-1を参照してください。
アップグレード・アシスタントでは、「アップグレード・オプションの指定」画面の後に次のタスクが実行され、それぞれのタスクの進行状況が表示されます。
アップグレード対象のコンポーネントとスキーマを調査し、アップグレード可能かどうかを確認します。
アップグレード対象のコンポーネントのサマリーを示します。これにより、アップグレード・アシスタントによってコンポーネントとスキーマが予測どおりにアップグレードされることを確認できます。
進行状況画面を表示します。これにより、アップグレードのステータスを進行に応じて確認できます。
アップグレード中に発生したエラーまたは問題について警告します。
|
関連項目: アップグレード・アシスタントの実行中に発生する問題のトラブルシューティングの具体的な方法は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のアップグレードのトラブルシューティングに関する項を参照してください。 |
アップグレードが完了したことを確認する「アップグレードの終了」画面を表示します。
アップグレード・アシスタントを終了します。
表6-1 Oracle Internet DirectoryおよびOracle Directory Integration Platformのアップグレード中に入力が必要なアップグレード・アシスタント画面
| アップグレード・アシスタント画面 | 説明 |
|---|---|
|
10g(10.1.4)のソースOracleホームを選択します。 アップグレードするOracleホームがドロップダウン・リストに表示されない場合は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のOracleASアップグレード・アシスタントに一覧表示されないソースOracleホームに関する項を参照してください。 |
|
|
ミドルウェア・ホーム内にインストールしたアップグレード先の11g Oracleインスタンスの完全パスを入力します。これは、Oracle Identity Federationソフトウェアが含まれるOracleホームです。 または、「参照」をクリックしてディレクトリを選択します。 |
|
|
6.3.2項「タスク3b: アップグレード準備のためのOracle Identity Federation 11gのインストールおよび構成」で構成したOracle WebLogic Serverドメインのホスト、管理サーバーのポートおよび管理ユーザーの資格証明を入力します。 |
|
|
「警告」ダイアログ・ボックス |
ソースOracleホームに、ターゲットOracleインスタンスにインストールおよび構成されていないOracle Application Serverコンポーネントがある場合は、この警告ダイアログ・ボックスが表示されます。 この警告は、ソースOracleホームに11g Oracleホームで使用できないOracle HTTP Serverのインスタンスが含まれる場合などに表示されます。 ダイアログ・ボックス内の情報が正しく、どのコンポーネントがアップグレードされるかがわかっている場合は、「はい」をクリックして続行します。それ以外は、「いいえ」をクリックして、コンポーネントが各11g Oracleインスタンスでインストールおよび構成されていることを確認します。 |
|
この画面は、これらのアップグレード・オプションを示します。
この画面のアップグレード・オプションの詳細を表示するには、「ヘルプ」をクリックします。 |
次の項では、Oracle Identity Federation 11gにアップグレードする際に必要な手動によるアップグレード手順について説明します。
以前にOracle Identity Federation 10gをOracle Access Managerと一緒に使用していた場合、次の手順を使用して、既存のOracle Access Manager 10gソフトウェアで正常に機能するようにOracle Identity Federation 11gを構成できます。
ここに示す手順は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle Access ManagerでのOracle Identity Federationのデプロイに関する項の手順に基づいています。
Oracle Identity Federation 11gをOracle Access Manager 10gとともに使用するには、次のようにします。
この章の前項の手順を使用して、Oracle Identity Federation 11gにアップグレードします。
具体的には、Oracle Identity Federation 11gをインストールして構成し、アップグレード・アシスタントを使用してOracle Identity Federationインスタンスを11gにアップグレードします。
オプションで、Oracle Identity Federation 11gの認証エンジンとしてOracle Access Manager 10gを使用します。
具体的な手順については、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』の認証エンジンとしてのOracle Access Managerの統合に関する項を参照してください。
オプションで、Oracle Access Manager 10gをSP統合モジュールとして統合します。
具体的な手順については、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のSP統合モジュールとしてのOracle Access Managerの統合に関する項を参照してください。
オプションで、保護されたリソースが新しいOracle Identity Federation 11gの認証スキームを使用するように、Oracle Access Manager 10gを構成します。
このタスクを実行するため、Oracle Access Managerでのポリシー・オブジェクトと認証スキームの作成をOracle Identity Federation 11gに許可することにより、Oracle Access Managerの適切な統合の確認に役立つ手順を使用します。
これらの手順は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle Identity FederationとOracle Access Managerの統合に関する項にあります。
Oracle Access Managerとの統合が完了したら、Oracle Identity Federation 10gの古いアクセス・ゲート、認証スキームおよびポリシーをOracle Access Manager 10gから削除します。
詳細は、Oracle Identity Management 10g(10.1.4)ドキュメント・ライブラリのOracle Access Managerドキュメントを参照してください。これは、次のOracle Technology Network(OTN)から入手できます。
http://www.oracle.com/technology/documentation
Oracle Identity Federation 10gインスタンスをカスタム認証エンジンに統合する場合、次の項の情報を使用して、カスタム認証エンジンをOracle Identity Federation 11gで構成します。
Oracle Identity Federation 11gの認証エンジンで使用可能なHTTPServletRequestAttributesは、10gのものとは異なります。そのため、新しいパラメータ名から属性値を読み取ることができるように認証エンジン・コードを変更する必要があります。
詳細は、次の項を参照してください。
Oracle Identity Federation 11gで受信するパラメータと属性の変更
表6-2に、Oracle Identity Federation 11gの認証エンジンに使用される新規パラメータと変更されたパラメータを示します。
表6-2 Oracle Identity Federationから受信するパラメータと属性
| パラメータまたは属性 | Oracle Identity Federation 11gでの変更 |
|---|---|
|
これらの問合せパラメータは11gでは使用できません。 11gでは、認証エンジンによる識別後に、これらのパラメータを参照してユーザーの転送先を検索する必要はありません。11gの場合、認証が成功すると、ユーザーはエンジンによってOracle Identity Federationに転送されます。 ユーザーを転送するには、ルート・コンテキスト |
|
|
この10gの問合せパラメータは、11gでは次の属性に変更されました。 oracle.security.fed.authn.authnmech そのため、カスタム・エンジンで request.getAttribute(“oracle.security.fed.authn.authnmech”) 10gでは、 oracle:fed:authentication:password-protected 11gでは、 |
|
|
この10gの問合せパラメータは、11gでは次の属性に変更されました。 oracle.security.fed.authn.refid そのため、カスタム・エンジンで
request.getAttribute("oracle.security.fed.authn.refid")
|
Oracle Identity Federation 11gでサポートされる新しい受信属性
表6-2で説明する変更に加えて、Oracle Identity Federation 11gでは、次の新しい受信属性を使用できます。Oracle Identity Federation 10gにはこれらに対応する属性はありません。これらの属性は11gの認証エンジンで使用できます。
oracle.security.fed.authn.providerid
oracle.security.fed.authn.providerdescription
oracle.security.fed.authn.engineid
oracle.security.fed.authn.userid
oracle.security.fed.authn.forceauthn
oracle.security.fed.authn.passive
oracle.security.fed.authn.attributes
oracle.security.fed.sessionid
これらの新規属性の詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービスの実装に関する項を参照してください。
Oracle Identity Federation 11gに送信されるパラメータと属性の変更
次の属性名は、Oracle Identity Federation 11gへのアップグレード後に変更する必要があります。
oracle.security.sso.sasso.uidをoracle.security.fed.authn.useridに変更
oracle.security.sso.sasso.refIDをoracle.security.fed.authn.refidに変更
oracle.security.sso.sasso.authnMechをoracle.security.fed.authn.authnmechに変更
oracle.security.sso.sasso.authnInstをoracle.security.fed.authn.authntimeに変更
たとえば、Oracle Identity Federation 10gで次の属性を使用すると仮定します。
request.setAttribute(“oracle.security.sso.sasso.uid”, userID)
Oracle Identity Federation 11gでは、この属性を次のように変更する必要があります。
request.setAttribute(“oracle.security.fed.authn.userid”. userID);
Oracle Identity Federation 11gへの内部転送の前に認証エンジンで設定する必要がある値の詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービスの実装に関する項を参照してください。
Oracle Identity Federation 11gへのリクエストに含める追加属性
既存の10g属性に加えて、Oracle Identity Federation 11gの各リクエストでは、表6-3に示す追加属性が求められます。
表6-3 Oracle Identity Federation 11gへのリクエストに含める追加属性
| 属性 | 説明 |
|---|---|
|
oracle.security.fed.authn.expirationtime |
認証されたセッションの日付オブジェクトとしての有効期限 |
|
oracle.security.fed.authn.engineid |
ユーザーの認証に使用するエンジンを参照する識別子。 エンジンは、Oracle Identity Federation 11gの構成で作成されます。詳細は、6.5.2.5項「Oracle Identity Federation 11gの認証エンジンの作成」を参照してください。 |
|
oracle.security.fed.authn.attributes |
この属性のオプション・マップは、ユーザー・セッションに保存されます。文字列オブジェクトをキーとして、オブジェクト・セットを値として指定します。 |
|
oracle.security.fed.sessionid |
このオプション文字列には、Oracle Identity Federationがユーザー・セッションの参照に使用するOracle Identity Federationのセッション識別子が含まれます。 これにより、エンジンとOracle Identity Federationサーバーは、同じ識別子を共有してユーザー・セッションを参照できます。後からログアウト・フローを実行する場合、Oracle Identity Federationは、ログアウトするセッションIDをエンジンに渡すため、エンジンはこのユーザー・セッションに使用されたデータを削除できます。 |
Oracle Identity Federation 11gのSPエンジンで使用可能なHTTPServletRequestAttributesは、10gのものとは異なります。これが認証エンジンに与える影響も同様に異なります。そのため、新しいパラメータ名から属性値を読み取ることができるようにSPエンジン・コードを変更する必要があります。
詳細は、次の項を参照してください。
フェデレーションSSO操作の開始
Oracle Identity Federation 10gでは、サービス・プロバイダ・エンジンが有効なユーザーを検出しなかった場合、サービス・プロバイダとして機能するOracle Identity Federationサーバーにリダイレクトすることでシングル・サインオンを開始していました。リダイレクト先のURLは次のとおりです。
http://SP_HOST_NAME:SP_PORT/fed/sp/initiatesso
次の値は、問合せパラメータとしてOracle Identity Federationに設定されます。
OIF 11gでは、これらの問合せパラメータが次のように変更されました。
providerIdは、HTTPServletRequestの属性oracle.security.fed.sp.provideridとして指定するようになりました。
returnurl問合せパラメータはなくなりました。かわりに、HTTPServeletリクエストの属性oracle.security.fed.sp.relaystateで指定できます。
Oracle Identity Federation 11gには、シングル・サインオンを開始する際にOracle Identity Federationサーバーに渡すことができる追加属性があります。追加属性は次のとおりです。
oracle.security.fed.sp.authnmech
oracle.security.fed.sp.federationid
oracle.security.fed.sp.engineid
oracle.security.fed.sp.localauthn
oracle.security.fed.sp.usedefault
oracle.security.fed.sp.forceauthn
oracle.security.fed.sp.allowfedcreation
oracle.security.fed.sp.passive
oracle.security.fed.sp.requestbinding
oracle.security.fed.sp.responsebinding
oracle.security.fed.sp.authnmechcomparison
oracle.security.fed.sp.nameidformat
詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービスの実装に関する項を参照してください。
フェデレーション・サーバーからのリクエストの処理
Oracle Identity Federation 11gでは、SPエンジンの次の受信パラメータ名が変更されています。
oracle.security.sso.sasso.uid属性がoracle.security.fed.sp.useridに変更されました。
oracle.security.sso.sasso.authnInstがoracle.security.fed.sp.authntimeに変更されました。
oracle.security.sso.sasso.expiryInstがoracle.security.fed.sp.expirationtimeに変更されました。
oracle.security.sso.sasso.targetURLは、Oracle Identity Federation 11gで使用できなくなりました。
SPエンジンでは、targetURL(ユーザーの転送先)をOracle Identity Federationに転送してシングル・サインオン操作を開始する前に、これをoracle.security.fed.sp.relaystateに保存できます。Oracle Identity Federationでは、シングル・サインオンの実行後、このパラメータをSPに戻します。
Oracle Identity Federation 11gでは、SPエンジンで使用するために次の追加の新しいパラメータを使用できます。新しいパラメータは次のとおりです。
oracle.security.fed.sp.authnresult
oracle.security.fed.sp.authnmech
oracle.security.fed.sp.attributesoracle.security.fed.sp.topstatus
oracle.security.fed.sp.lowstatus
oracle.security.fed.sp.statusmessage
oracle.security.fed.sp.providerid
oracle.security.fed.sp.engineid
oracle.security.fed.sp.sessionid
詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービスの実装に関する項を参照してください。
認証エンジンまたはSPエンジンのログアウト・サービスをOracle Identity Federation 11gで使用する場合、次の項の情報を確認します。
エンジンがログアウトを開始するタイミングの変更
Oracle Identity Federation 11gでは、認証エンジンまたはSPエンジンでログアウト操作を実行できます。詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のログアウトに関する項を参照してください。
Oracle Identity Federationがログアウトのためエンジンに転送する際の変更
認証エンジンまたはSPエンジンのログアウト・サービスが存在する場合、そのサービスに次の変更を行う必要があります。
invokeOSFSLogoutパラメータとdoneUrlパラメータがエンジンに送信されなくなりました。Oracle Identity Federation 11gでは、エンジンは常に相対パス/fed web contextおよび/user/logoutretssoへの内部転送を実行します。
起動したエンジンのengineIdは、httpリクエストの属性oracle.security.fed.authn.engineidを介してログアウト・サービスで使用できます。
HTTPリクエストの属性oracle.security.fed.sessionidには、ログアウトするセッションのセッション識別子をオプションで含めることができます。
Oracle Identity Federation 11gでは、ログアウト後にログアウト・サービスが/fed/user/logoutsso URLではなく/fed/user/logoutretssoにユーザーをリダイレクトします。
oracle.security.fed.authn.engineid(エンジンが認証エンジンの場合)またはoracle.security.fed.sp.engineid(エンジンがSPエンジンの場合)で参照される属性にengineIdを指定します。
認証エンジンまたはSPエンジンは、Java EEアプリケーションのデプロイと同様にデプロイします。詳細は、Oracle Fusion Middlewareの管理者ガイドの「アプリケーションのデプロイ」を参照してください。
Oracle Identity Federation 11gの認証エンジンを作成するには、次のようにします。
Oracle Enterprise Manager Fusion Middleware Controlで、Oracle Identity Federationホームページに移動します。
詳細は、Oracle Fusion Middlewareの管理者ガイドのOracle Enterprise Manager Fusion Middleware Controlの使用の開始に関する項を参照してください。
「Oracle Identity Federation」メニューから、「管理」→「認証エンジン」を選択します。
「カスタム認証エンジン」タブで、「追加」をクリックして新しい認証エンジンを作成し、次のフィールドに値を入力します。
名前: エンジンの名前
有効: 選択済
Webコンテキスト: エンジンがデプロイされるルート・コンテキスト
認証相対パス: エンジンの相対パス
ログアウト有効: ログアウト操作を実行する際に、エンジンによるログアウトの実行が必要な場合はこのチェック・ボックスを選択します。
ログアウト相対パス: エンジンのログアウト・サービスの相対パス
「保存」をクリックします。
Oracle Identity Federationサーバーで、新しいエンジンのエンジンIDが生成されます。エンジンIDは、ユーザーの認証後、カスタム・エンジンがOracle Identity Federationサーバーに送信する必要のあるoracle.security.fed.authn.engineid属性の値です。
Oracle Identity Federation 11gのSPエンジンを作成するには、次のようにします。
Oracle Enterprise Manager Fusion Middleware Controlで、Oracle Identity Federationホームページに移動します。
詳細は、Oracle Fusion Middlewareの管理者ガイドのOracle Enterprise Manager Fusion Middleware Controlの使用の開始に関する項を参照してください。
「Oracle Identity Federation」メニューから、「管理」→「サービス・プロバイダ統合モジュール」を選択します。
「カスタムSPエンジン」タブで、「追加」をクリックして新しい認証エンジンを作成し、次のフィールドに値を入力します。
名前: エンジンの名前
有効: 選択済
Webコンテキスト: エンジンがデプロイされるルート・コンテキスト
認証相対パス: エンジンの相対パス
ログアウト有効: ログアウト操作を実行する際に、エンジンによるログアウトの実行が必要な場合はこのチェック・ボックスを選択します。
ログアウト相対パス: エンジンのログアウト・サービスの相対パス
「保存」をクリックします。
Oracle Identity Federationサーバーで、新しいエンジンのエンジンIDが生成されます。エンジンIDは、ユーザーの認証後、カスタム・エンジンがOracle Identity Federationサーバーに送信する必要のあるoracle.security.fed.sp.engineid属性の値です。
Oracle Single Sign-OnをOracle Identity Federation 10gで使用している場合、Oracle Identity Federation 11gへのアップグレード後、Oracle Single Sign-Onを再構成する必要があります。
この手順は、プロパティSASSOAuthnUrlおよびSASSOLogoutUrlに必要な値がOracle Identity Federation 11gで変更されたため必要になります。
詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のシングル・サインオンの構成に関する項を参照してください。
Oracle Identity Federation 10gでは、SHAREid/COREid Federation 2.xと同様に、SAML 1.xおよびWS-Federationプロトコル・サポートのサービスURLを提供していました。これらは、 SAML 2.0およびLiberty 1.xサービスURLとは異なります。
これらのURLは、SAML 2.0およびLiberty 1.xサービスURLとの一貫性を保つために、11gのOracle Identity Federationサーバーで変更されました。つまり、Oracle Identity Federation 11gにアップグレードするカスタマがSAML 1.xまたはWS-Federationを使用する場合、パートナ・プロバイダに新しいシングル・サインオンのサービスURLを知らせる必要があります。
この移行を容易にするために、Oracle Identity Federation 11gには、SHAREidサービスURLとの下位互換性を可能にする個別モジュールが用意されています。このモジュールはインストール可能なJ2EEアプリケーションで、Oracle Identity Federationとともにデプロイされます。このモジュールにより、ShareID/Oracle Identity Federation 10gのサービスURLのリクエストが処理され、そのリクエストはOracle Identity Federation 11gの対応するサービスURLにリダイレクトまたは転送されます。
このアプリケーションの設定方法の詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle Identity Federation 10gとShareIDサービスURL用の下位互換性の設定に関する項を参照してください。
Oracle Virtual Directory 10gでSSLサポートにshareIdキーストアを使用している場合、アップグレード・アシスタントによって、キーストアがOracle Identity Federation 10gに自動でインポートされます。
Oracle Virtual Directory 10gで使用するSSLのIDキーストアと信頼キーストアが次の場所に格納されている場合、実行する追加タスクはありません。
ORACLE_HOME/fed/shareid/oblix/config /keystore
ただし、キーストアがその他の場所に格納されている場合は、次のタスクを実行する必要があります。
IDキーストアと信頼キーストアを、次のディレクトリ内のサブディレクトリにコピーします。
WLS_HOME/user_projects/domains/domain_name/servers/server_name/stage/OIF
新しいキーストアの場所を指し示すように、Oracle WebLogic Serverを次のように構成します。
Oracle WebLogic Server管理コンソールにログインして、「環境」→「サーバー」を選択します。
SSLを設定するサーバーを選択します。
「キーストア」セクションで「カスタムIDとカスタム信頼」を選択します。
「ID」セクションで、次のようにプロパティを入力します。
カスタムIDキーストア: location_of_keystore_containing_SSL_private key_and_certificate
カスタムIDキーストアのタイプ: jks
カスタムIDキーストアのパスフレーズ: storepassword
「信頼」セクションで、次のようにプロパティを入力します。
カスタムIDキーストア: location_of_keystore_containing_the_trusted certificate_entries
カスタムIDキーストアのタイプ: jks
カスタムIDキーストアのパスフレーズ: storepassword
システム・プロパティを設定してOracle Identity Federation 10gを構成した場合、アップグレードしたOracle Identity Federation 11gインスタンスで該当するシステム・プロパティを手動で構成する必要があります。アップグレード・アシスタントでは、これらの設定は11gインスタンスに適用されません。
表6-4にアップグレードされないシステム・プロパティを示し、Oracle Identity Federation 11gの対応するプロパティの設定方法について説明します。多くの場合、手順は、Oracle Fusion Middleware11gコンポーネントの管理に使用されるOracle Enterprise Manager Fusion Middleware Control、Oracle WebLogic Server管理コンソールまたはWebLogicスクリプト・ツール(WLST)を参照しています。
詳細は、Oracle Fusion Middlewareの管理者ガイドのOracle Fusion Middleware管理ツールの概要に関する項を参照してください。
これらのプロパティについては、10g(10.1.4.0.1)のOracle Fusion Middlewareの管理者ガイドのOracle Identity Federationのパフォーマンスの管理に関する項で説明しています。このドキュメントは、Oracle Technology Network(OTN)のOracle Application Server 10g(10.1.4.0.1)ドキュメント・ライブラリにあります。
http://www.oracle.com/technology/documentation/
表6-4 Oracle Identity Federation 11gでのOracle Identity Federation 10gシステム・プロパティの設定
| Oracle Identity Federation 10gシステム・プロパティ | Oracle Identity Federation 11gでのプロパティの設定方法 |
|---|---|
|
-Dhttp.fed.host=VALUE |
Fusion Middleware Controlでは、このプロパティを次のように設定できます。
|
|
-Dhttp.fed.max.conn=VALUE |
Fusion Middleware Controlでは、このプロパティを次のように設定できます。
|
|
-Dfed.ldap.ha=[true | false] |
Oracle Identity Federation 10gでは、このシステム・プロパティを使用して、すべてのデータストアに対して1つのフラグを設定していました。 11gでは、LDAPユーザー・データストア、LDAPフェデレーション・データストアおよびLDAP認証エンジンに対して個別のフラグを設定できます。 Oracle Identity FederationインスタンスのWLSTスクリプト環境を入力し、 LDAP認証エンジンに対してこのプロパティを有効にするには、次のようにします。
setConfigProperty('authnengines', 'ldaphaenabled',
'true', 'boolean')
LDAPユーザー・データストアに対してこのプロパティを有効にするには、次のようにします。
setConfigProperty('datastore', 'userldaphaenabled',
'true', 'boolean')
LDAPフェデレーション・データストアに対してこのプロパティを有効にするには、次のようにします。
setConfigProperty('datastore', 'fedldaphaenabled',
'true', 'boolean')
|
|
-Dfed.jdbc.min.conn=VALUE -Dfed.jdbc.max.conn=VALUE -Dfed.jdbc.max.usage=VALUE |
Oracle WebLogic Server管理コンソールを使用して、Oracle Identity Federation 11gデータストアまたは認証エンジンに使用する適切な値をJDBCデータストアで設定します。 |
Oracle Internet DirectoryおよびOracle Directory Integration Platformのアップグレード完了を確認するには、次のようにします。
アップグレード・アシスタントを再度実行して、「操作の指定」ページで「インスタンスの検証」を選択します。
特定のOracle Fusion Middlewareコンポーネントが稼働していることを確認するには、画面の手順に従ってください。
次のURLで、Oracle Identity Federation 11gが稼働していることを確認します。
http://<host>:<port>/fed/sp/metadata
たとえば、次のようになります。
http://host42.exmaple.com:7001/fed/sp/metadata
あるいは、Fusion Middleware Controlを使用して、Oracle Identity Federationとその他のOracle Identity ManagementコンポーネントがOracle Fusion Middleware環境で稼働していることを確認できます。
詳細は、Oracle Fusion Middlewareの管理者ガイドのOracle Enterprise Manager Fusion Middleware Controlの使用の開始に関する項を参照してください。
