目次

図一覧

表一覧

タイトルおよび著作権情報

はじめに

• 対象読者
• ドキュメントのアクセシビリティについて
• 関連ドキュメント
• 表記規則
• サポートおよびサービス

Oracle Access Managerの新機能

• 製品およびコンポーネントの名前の変更
• 10g（10.1.4.3）で使用可能な拡張
• デプロイメントの概要
• 大規模なグループの評価用のアクセス・システムのパフォーマンスの拡張
• キャッシュ・フラッシュの拡張
• キャパシティ・プランニング
• フェイルオーバーとロード・バランシング
• データの移行
• Oracle Access Managerの再構成
• ディレクトリのチューニング
• アクセス・サーバーのチューニング
• アイデンティティ・システムのチューニング
• ワークフローのチューニング
• ネットワークのチューニング
• アクセス・システム操作のパフォーマンスのチューニング

1 Oracle Access Managerデプロイメントの概要

• Oracle Access Managerデプロイメントのタイプおよび層の概要
• デプロイメントのシナリオおよび環境
• デプロイメントのカテゴリ
  • エクストラネット・デプロイメント・カテゴリ
  • イントラネット・デプロイメント・カテゴリ
• 一般的な推奨事項
  • セキュリティの推奨事項
  • 標準化の推奨事項
  • Oracle Access Managerサーバーの推奨事項
  • Webサーバーの推奨事項
  • LDAPディレクトリおよびデータの推奨事項
  • 監査データの使用性の推奨事項
  • デプロイメント全体に対する単一のアイドル・タイムアウトの構成
  • カスタマイズの推奨事項
  • テストおよびパフォーマンスの推奨事項
• アイデンティティ・システムの推奨事項
  • 埋込み可能なユーザー・インタフェース要素の外観のカスタマイズ
  • アイデンティティ・サーバー・インスタンス名の再利用
• アクセス・システムの推奨事項
  • IP検証、HTTPSおよびセキュアなCookieを使用したCookieリプライ攻撃の危険性の緩和
  • 認可フィルタではなく動的グループの構成による認可管理の単純化
  • リバース・プロキシへのWebGateのデプロイによる管理の単純化
  • ドキュメント保護ポリシーの開発によるWebGateからアクセス・サーバーへのコールの最小化
  • フォーム・ベース認証の構成によるログイン・エラーの回避
• Oracle Access Managerデプロイメント・プランニングの概要
  • プランニング・デリバラブル
• デプロイメントのベスト・プラクティスの概要

2 キャパシティ・プランニング

• キャパシティ・プランニングについて
• サーバー・サイズ設定のためのシステムの予想負荷ピークの見積り
  • 負荷の測定
    • デプロイメント内の負荷の測定
    • 複数サイトのデプロイメントのアクティブなユーザー・セッションの測定
  • システム使用量の測定
• コンポーネント固有のキャパシティ・プランニングおよびサイズ設定の考慮事項
  • アイデンティティ・サーバーおよびアクセス・サーバーの推奨事項
  • WebPassの考慮事項および推奨事項
  • アクセス・システムの考慮事項および推奨事項
    • アクセス・サーバーの推奨事項
    • アクセス・サーバーとWebGateの比率
    • WebGateによるWebサーバーのパフォーマンスへの影響
• Oracle Access Managerのパフォーマンスとスケーラビリティの特徴
  • スケールアップの特徴
  • スケールアウトの特徴
  • デプロイメントおよび構成によるパフォーマンスへの影響
  • アイデンティティ・サーバーおよびアクセス・サーバーのベースライン・パフォーマンス
• Oracle Access Manager参照サーバーのフットプリント
  • 小規模から中規模のデプロイメントのハードウェア
  • 大規模デプロイメントのハードウェア
• LDAPディレクトリ・サーバーの考慮事項
  • 小規模から中規模のデプロイメントのLDAPサーバー要件
  • 大規模デプロイメントのLDAPサーバー要件
• 中規模から大規模のサンプル・デプロイメント
• ベースライン・パフォーマンス・データのテスト・ケース
  • アイデンティティ・サーバーのベースライン・パフォーマンスのテスト・ケース
    • 自己登録のテスト・ケース
    • ロスト・パスワードのテスト・ケース
    • パスワード変更のテスト・ケース
    • アカウント・ロックアウトのテスト・ケース
  • アクセス・サーバーのベースライン・パフォーマンスのテスト・ケース
    • ログインのテスト・ケース
    • LoginNaviのテスト・ケース
  • 統合されたベースライン・パフォーマンスのテスト・ケース

3 パフォーマンス・チューニング

• ディレクトリ・チューニングのガイドライン
  • ディレクトリのパフォーマンスの確認
  • ディレクトリ接続プール・サイズ
    • 構成済接続プール・サイズと実際の接続プール・サイズとの違い
    • 接続プールの構成
  • ワークフロー・チケットのディレクトリへの保存
    • ワークフロー・チケットのディレクトリへの書込み
  • ディレクトリ内の索引属性
    • 索引に関する制限事項
    • 索引処理とユーザーの非アクティブ化
    • 索引処理とワークフロー
    • 索引処理とグループ
    • 索引処理と検索に関する制約
  • アクセス・サーバーに対するディレクトリ・サーバーの接続数の変更
  • ワークフローの削除とアーカイブ
  • 管理者用の読取り権限と書込み権限の設定
  • 検索ベースの構成
    • 検索ベース・フィルタの設定
  • 検索に関する制約の適用
  • アイデンティティ・システムにおけるディレクトリに対する接続数の増加
  • ディレクトリ内容の変更
    • 検索結果リストの列の並び替え
    • バインドDNの変更
  • キャッシュ設定の調整
  • ObSyncRecordエントリのディレクトリからの削除
  • Microsoft Active Directoryのパフォーマンスの考慮事項
    • ドメイン・コントローラを直接ポイントすることによるデータ非一貫性問題の回避
    • ADSIではなくLDAP over SSLを使用したMicrosoft Active Directoryへの接続
    • 適切なActive Directory構成パラメータの詳細なチューニングによるパフォーマンスの最適化
• LDAPツールの概要
  • LDIFファイル内のディレクトリ内容の表示
    • LDAPSEARCHのコマンドライン形式
    • LDAPSEARCHのコマンドライン・パラメータ
    • LDAPSEARCHの例
  • LDAPMODIFYによるディレクトリ内容の変更
    • LDAPMODIFYのコマンドライン形式
    • LDAPMODIFYのコマンドライン・パラメータ
    • LDAPMODIFYの例
• アイデンティティ・システムのチューニング
  • アイデンティティ・システム検索のチューニング
    • 検索で使用される演算子の制限
    • ユーザーが検索フィールドに入力する必要がある最小文字数の指定
    • 検索で返されるエントリ数の制限
  • スレッド・セーフ・プラグインの作成
  • アイデンティティ・サーバーのプーリングの検討
  • ファイル・システム・レベルからのアイデンティティ・サーバーの構成
  • 3GBの仮想メモリーを使用するためのアイデンティティ・サーバーの構成
• アイデンティティ・システムでのグループのチューニング
  • アイデンティティ・システムでのグループのチューニングに関する一般的な推奨事項
    • 静的グループではなく動的グループを使用する
    • アイデンティティ・サーバーで動的グループの評価機能をオフにする
    • ネストされたグループは注意して使用する
  • 大規模な静的グループの扱い方のガイドライン
    • パネルおよび検索結果表からのグループ・メンバーシップ属性の除外
    • 属性アクセス制御ポリシーからのメンバー・ロールの除外
    • 大規模な静的グループの評価のパフォーマンス・チューニング
  • グループ・マネージャ・アプリケーションのチューニング
    • 「グループ」ページのチューニング
    • 「メンバーの表示」ページのチューニング
    • 「グループ拡張」ページのチューニング
  • ユーザーIDキャッシュのチューニング
• ワークフローのチューニング
  • workflowdbparams.xmlのチューニング
  • ワークフローの検索パラメータの構成
• アクセス・システムのチューニング
  • アクセス・サーバーによるパスワード検証の構成
    • ObCredValidationByASパラメータ
  • リクエスト・キューとスレッドの数の変更
    • スレッドとキューについて
    • 現在のスレッド数の見積り
    • 必要なスレッドとキューの数の見積り
  • WebGateからの認可問合せ数の制限
  • アクセス・サーバーの不安定さの軽減
  • アクセス・ゲート・クライアントの保護
  • アクセス・システムでのグループの処理のチューニング
    • 静的グループではなく動的グループを使用する
    • 動的グループを使用しない場合のグループ検索パフォーマンスの向上
    • ネストされたグループの考慮事項
    • ObMyGroupsの考慮事項
    • ObMyGro0ups評価のパフォーマンスの向上
    • アクセス・サーバーのグループ・キャッシュ・タイムアウトおよび最大要素数の構成
  • ポリシー・マネージャでのLDAP検索フィルタのチューニング
• キャッシュのチューニング
  • ポリシー・キャッシュのチューニング
    • ポリシー・キャッシュ内の最大要素数の算出
    • ポリシー・キャッシュ要素に対するメモリー要件の算出
    • ポリシー・キャッシュのタイムアウトの算出
  • ユーザー・キャッシュのチューニング
    • ユーザー・キャッシュのタイムアウト値の算出
    • ユーザー・キャッシュ内の最大要素数の算出
    • ユーザー・キャッシュに対するメモリー要件の算出
  • URL接頭辞キャッシュのチューニング
  • WebGateキャッシュのチューニング
  • WebGateキャッシュ内の最大要素数の算出
  • 内部DBAgentキャッシュのチューニング
• ネットワークのチューニング
  • コンピュータの稼働状況の確認
• リソースに負荷が集中する操作
  • 様々なコンポーネントへのコールの処理時間
  • ログイン・フォーム
  • パスワード管理
  • プラグイン

4 フェイルオーバーとロード・バランシング

• Oracle Access Managerによるロード・バランシング
  • LDAPデータのロード・バランシング
• Webコンポーネントのロード・バランシングの構成
  • 単純なラウンド・ロビンのロード・バランシングの構成
  • 重み付けラウンド・ロビンのロード・バランシングの構成
• Oracle Access Managerとディレクトリ・サーバー間のロード・バランシングの構成
  • ユーザー・データのロード・バランシングの構成
  • 構成データおよびポリシー・データのロード・バランシングの構成
  • ディレクトリ・サーバー・インスタンスの接続プーリングの調整
• Oracle Access Managerによるフェイルオーバー
  • プライマリ・サーバーとセカンダリ・サーバー
• Oracle Access Managerとディレクトリ・サーバー間のフェイルオーバー
• Webコンポーネントのフェイルオーバーの構成
• ユーザー・データ用ディレクトリのフェイルオーバーの構成
• 構成データおよびポリシー・データ用ディレクトリのフェイルオーバーの構成
  • 構成データに対するアイデンティティ・サーバーのフェイルオーバーの構成
  • 構成データおよびポリシー・データに対するアクセス・サーバー・ディレクトリのフェイルオーバーの構成
• ディレクトリ・サーバーの可用性に基づくフェイルオーバーの構成
• ディレクトリ・サーバーのレスポンス時間に基づくフェイルオーバーの構成
  • ディレクトリ・サーバーのレスポンス時間に基づくフェイルオーバーの構成のガイドライン
  • LDAPOperationTimeoutパラメータおよびLDAPMaxNoOfRetriesパラメータの構成
  • LDAPOperationTimeout値のテスト

5 クローニングとキャッシング

• クローニングされ同期化されたコンポーネントについて
• 最新情報のキャッシングについて
  • キャッシングとパフォーマンスについて
  • キャッシュ・タイムアウトについて
• アイデンティティ・システム・キャッシュとキャッシュのフラッシュについて
• アイデンティティ・システム・キャッシュの管理
  • OSDキャッシュの管理
    • OSDキャッシュ内容の表示
    • OSDキャッシュの消去
    • OSDキャッシュのロード
  • グループ・オブジェクト・キャッシュの管理
    • グループ・キャッシュ・パラメータの構成
    • グループ・キャッシュの消去
  • アイデンティティ・サーバーのためのキャッシュ・フラッシュの構成
• アクセス・システム・キャッシュについて
  • 要素、キャッシュのタイムアウト、閑散時のネットワーク・トラフィック
  • アクセス・サーバーのキャッシュ構成
    • ポリシー・キャッシュ、キャッシュのタイムアウト、要素
    • アクセス・サーバーのユーザー・キャッシュおよびキャッシュのタイムアウト
  • レプリケートされたディレクトリを使用したキャッシュ構成
    • レプリケートされた環境で正確な動作を確保するタイムアウト
  • アクセス・ゲート・キャッシュ構成
  • キャッシュ・フラッシュの同期モードと非同期モードを使用してパフォーマンスの向上
  • キャッシュのフラッシュ操作のための混合方式通信を使用してパフォーマンスの向上
    • Oracle Access Managerでの混在セキュリティ・モード
    • Oracle Access Managerのキャッシングとパフォーマンス
• アクセス・システム・キャッシュの管理
  • アクセス・サーバーのユーザー・キャッシュの無効化
  • アクセス・サーバー・キャッシュの自動フラッシュ
  • アクセス・サーバー・キャッシュの手動フラッシュ
    • アクセス・サーバーのユーザー・キャッシュの手動フラッシュ
    • パスワード・ポリシー・キャッシュの手動フラッシュ
  • 資格情報マッピング・キャッシュの管理
• 複数のアクセス・サーバー間の同期キャッシュ・フラッシュ・リクエストの構成
  • メッセージ・チャネル、ソケットおよび待機時間について
  • 待機時間で複数のアクセス・サーバー間の同期キャッシュ・フラッシュ・リクエストの構成
• キャッシュ・フラッシュ中のメッセージ・チャネルの初期化のためのエラー処理
• アクセス・サーバー・キャッシュのフラッシュ操作のための混合方式通信を構成することによってパフォーマンスの向上
  • 方法1: オープン・モードのキャッシュ・フラッシュ・リクエストに対してアクセス・サーバーの手動構成
    • 方法1について
    • 混在トランスポート・セキュリティ・モードに対してアクセス・サーバーの手動構成
    • 方法1を使用して混在セキュリティ・モードを手動で有効化した後のWebGateの変更
  • 方法2: 自動的な混合方式通信
    • 方法2: 自動的な混合方式通信
    • アクセス・システム・キャッシュ・フラッシュのリクエストを使用する自動混合モード・セキュリティのための方法２の使用
  • 混合方式通信を使用するロギングとキャッシュ・フラッシュ操作
    • 混合モード通信を使用してキャッシュ・フラッシュ・ロギングの概要
    • 混合モード通信のためのキャッシュ・フラッシュ・ロギングの有効化
• 非同期アクセス・システム・キャッシュ・フラッシュの構成
  • 非同期アクセス・システム・キャッシュ・フラッシュ操作の概要
  • 非同期アクセス・システム・キャッシュ・フラッシュ操作の構成

6 システムの再構成

• 再構成可能なもの
• 設定の再実行が必要な再構成の実行
• LDAPバインド・パスワードの更新
  • ModifyLDAPBindPasswdツールとログ
  • ModifyLDAPBindPasswdツールのパラメータ
  • スクリプトの使用
  • LDAPバインド・パスワードの更新
    • LDAPバインド・パスワードの更新について
    • 暗号化されたパスワード・ファイルの生成
    • 構成データのLDAPバインド・パスワードの更新
    • ユーザ・データのLDAPバインド・パスワードの更新
    • ポリシー・データのLDAPバインド・パスワードの更新
  • ADSIモードで実行している場合のLDAPバインド・パスワードの変更

7 タイムゾーンをまたがるシステム・クロックの同期化

• 同期化について
• NTPを使用する同期
• GPSベースのシステムとの同期化
• 夏時間の概要

8アップグレードの概要

9 Oracle Access Managerのバックアップおよびリカバリの方法

• バックアップ方法およびリカバリ方法の概要
• バックアップの推奨事項
• デプロイメント・イベントのバックアップ方法
  • Oracle Access Managerのインストール前のバックアップ
  • Oracle Access Managerのインストール後のバックアップ
  • Oracle Access Managerのカスタマイズ後のバックアップ
  • アップグレード前のバックアップ
  • アップグレード後のバックアップ
• リカバリ方法
  • インストール後のリカバリ方法
  • アップグレード中のリカバリ方法

索引