この項では、Oracle Access Managerリリース10.1.4.の新機能を紹介します。この項には10g(10.1.4)、10g(10.1.4.2.0)、および10g(10.1.4.3)の詳細が含まれています。
この項に含まれる内容は次のとおりです。
注意: Oracle Access Manager 10.1.4の新機能の包括的なリストおよびその説明箇所は、『Oracle Access Manager概要』の「Oracle Access Managerの新機能」の章を参照してください。 |
元の製品名Oblix NetPointは、Oracle Access Managerに変更されました。大部分のコンポーネント名は変更されていません。ただし、次の表に示すいくつかの重要な変更には留意する必要があります。
製品またはドキュメント内で使用されている従来の名称は、新しい名称を意味しています。
このリリースには、10g(10.1.4.2.0)バンドル・パッチからBP07までのすべてのバグ修正および拡張に加え、10g (10.1.4.3)の新規拡張とバグ修正が含まれています。 次の項では、このマニュアルに示されている10g(10.1.4.3)の拡張を紹介します。
関連項目: すべての新機能のリストは、『Oracle Access Manager概要』を参照。 |
Oracle Access Manager 10g(10.1.4.3)では、大規模なグループの評価のため、次のようにアクセス・システムのパフォーマンスを向上させることができます。
アクセス・サーバー(および、アクセス・テスターを使用している場合はポリシー・マネージャ)は、タイプが有効な場合にのみ、メンバーシップのグループをタイプとして評価します。動的グループを使用しない場合のグループ評価、または動的グループは使用するがObMyGroupsの処理中にそれらを評価しないという場合のグループ評価では、アクセス・サーバー (またはポリシー・マネージャ)globalparams.xmlファイル内のTurnOffDynamicGroupEvaluation
パラメータを使って動的グ ループの評価をオフにすることにより、パフォーマンスを向上させることができます。
アクセス・サーバーv7.0.2では、アクセス・サーバーglobalparams.xmlファイルのTurnOffNestedGroupEvaluation
パラメータで、ネストされたグループの評価を無効にすることができます。
10g(10.1.4.3)では、ObMyGroupsが関与するグループ評価を行う際、新しいアルゴリズムTurnOffNewAlgorithmForObmyGroups
を使用できます。アクセス・サーバーglobalparams.xmlファイル内にあるこのアルゴリズムは、静的グループ、動的グループ、ネストされたグループのいずれについても同様に機能します。
NestedQueryLDAPFilterSize
は、TurnOffNewAlgorithmForObmyGroups
がfalse
の場合にアクセス・サーバーglobalparams.xmlファイルで使用できます。これにより、ObMyGroupsの評価のパフォーマンスが向上します。このパラメータは、LDAP検索問合せを分割して実行します。詳細は、『Oracle Access Managerカスタマイズ・ガイド』のパラメータに関する章内にあるglobalparams.xmlの表を参照してください。
GroupCacheTimeout
パラメータを使用して、アクセス・サーバー・グループ・キャッシュ内で各要素が有効状態を保つ時間の長さを指定できます。パラメータは、アクセス・サーバーglobalparams.xmlファイル(または、アクセス・テスターを使用する場合はポリシー・マネージャ・ファイル)に追加する必要があります。
GroupCacheMaxElement
パラメータは、アクセス・サーバー・グループ・キャッシュ内に保持可能な最大要素数を指定します。パラメータは、アクセス・サーバーglobalparams.xmlファイル(または、アクセス・テスターを使用する場合はポリシー・マネージャ・ファイル)に追加する必要があります。
Oracle Access Manager 10g(10.1.4.3)では、パフォーマンスの効率化と、アクセス・システム上の同期キャッシュ・フラッシュ操作に付随する遅延の回避に役立つために、非同期キャッシュ・フラッシュ・オプションが提供されています。非同期処理を使用した場合、リクエストがアクセス・サーバーに到着すると、ただちにレスポンスがアクセス・サーバーに送られます。
Oracle Access Manager 10g(10.1.4.3)では、WebGateとアクセス・サーバーが共有するネットワーク層が拡張されています。 これにより、メッセージ・チャネルの初期化の失敗(期間の制限がないソケットが原因の失敗)によって発生するエラーが回避されます。現行では、メッセージ・チャネルがメッセージの送受信を停止し、警告レベルのログ・メッセージが記録されます。
groupdbparams.xmlファイルでTurnOffDynamicGroupEvaluation
とTurnOffNestedGroupEvaluation
をtrue
に設定すると、グループ評価の際に、使用しない動的グループまたはネストされたグループを除外することにより、パフォーマンスを向上できます。
Oracle Access Managerをインストールして構成する場合、すでに記述したように、特定のトランスポート・セキュリティのガイドラインを遵守する必要があります。インストールおよび設定後、キャッシュ・フラッシュ操作に対し混合モード通信を使用するように選択できます。
Oracle Access Manager 10g(10.1.4.2.0)では、アイデンティティ・サーバーとアクセス・サーバー間のキャッシュ・フラッシュのリクエストにはオープン・モード通信を使用し、他のすべてのリクエストには簡易モードまたは認証モードを維持できる方法が提供されていました。このタイプの構成は、混合セキュリティ・モード(または混合トランスポート・セキュリティ・モード)通信として知られています。Oracle Access Manager 10g(10.1.4.3)では、キャッシュ・フラッシュのリクエストのための混合モード通信を実装する簡単な方法が提供されています。
Oracle Access Manager 10g(10.1.4.3)には、新しい言語パックのインストーラが用意されています。10g(10.1.4.3)言語パックは、新規のインストールであれアップグレードとパッチが適用されたデプロイメントであれ、いずれの10g(10.1.4.3)デプロイメントでも必要となります。
10g(10.1.4.2.0)および10g(10.1.4.3)の新機能には、翻訳されず、英語のみで表示される新しいメッセージが含まれている場合があります。
関連項目: 『Oracle Access Managerインストレーション・ガイド』 |
Linux用のOracle Access Managerの以前のリリースでは、LinuxThreadsライブラリのみを使用していました。LinuxThreadsを使用する場合、ライブラリのどの実装を使用するかを決定するため動的リンカーにより使用される環境変数LD_ASSUME_KERNELを設定する必要がありました。LD_ASSUME_KERNELを2.4.19に設定すると、/lib/i686内のライブラリが動的に使用されます。
RedHat Linux v5以降のリリースでは、Native POSIX Thread Library(NPTL)のみをサポートし、LinuxThreadsはサポートしていません。この変更に対応するため、Oracle Access Manager 10g(10.1.4.3)はNPTL仕様に準拠しています。ただし、Oracle HTTP Server 11g用のOracle Access Manager Webコンポーネント以外では、LinuxThreadsがデフォルトで使用されます。
注意: Linux上では、Oracle HTTP Server 11g用のOracle Access Manager WebコンポーネントはNPTLのみを使用します。LinuxThreadsライブラリは使用できません。この場合、環境変数LD_ASSUME_KERNELを2.4.19に設定しないでください。 |
関連項目: 『Oracle Access Managerインストレーション・ガイド』 |
このトピックには、更新情報と追加情報があります。
Oracle Access Managerのインストール中に指定した基本コンポーネント(Personオブジェクト・クラスやディレクトリ・サーバー・ホストなど)を変更できます。
LDAPバインド・パスワード更新の新しい例には、記載が欠けていた必須パラメータ-i install_dirおよび他の説明が含まれています。
Oracle Access Manager 10g(10.1.4.3)では、複数のアクセス・サーバー間での同期キャッシュ・フラッシュのリクエスト中にソケットが待機する期間を指定するための、新しい機能が提供されています。この場合、ソケットは指定された時間だけI/Oの完了を待機します。所定の操作が指定時間内に完了しない場合は、エラーが報告され、リクエストは他のアクセス・サーバーに送られます。同期リクエストでは、1つのアクセス・サーバーが停止してもWebPassとポリシー・マネージャは停止しません。
アイデンティティ・サーバーglobalparams.xmlファイル内でnegativeListForEntityAttributes
パラメータを使用して、表示中に読み込まれたりキャッシュされない特定の属性を指定し、プロファイルの操作を変更できます。
デプロイメントのタイプと層、デプロイメントのシナリオと環境、デプロイメントのカテゴリ、およびデプロイメントのガイドラインについて説明する章が、新たに追加されました。
Oracle Access Manager 10g(10.1.4.3)では、大規模なグループ評価のために、次のようにアクセス・システムのパフォーマンスが改善されています。
アクセス・サーバー(および、アクセス・テスターを使用している場合はポリシー・マネージャ)は、タイプが有効な場合にのみ、メンバーシップのグループをタイプとして評価します。動的グループを使用しない場合のグループ評価や動的グループはあるがObMyGroupsの処理時にそれらを評価しない場合のグループ評価では、アクセス・サーバー(またはポリシー・マネージャ)globalparams.xmlファイル内のTurnOffDynamicGroupEvaluation
パラメータを使って動的グループの評価をオフにすることにより、パフォーマンスを向上させることができます。
アクセス・サーバーv7.0.2では、アクセス・サーバーglobalparams.xmlファイルのTurnOffNestedGroupEvaluation
パラメータで、ネストされたグループの評価を無効にすることができます。
10g(10.1.4.3)では、ObMyGroupsが関与するグループ評価を行う際、新しいアルゴリズムTurnOffNewAlgorithmForObmyGroups
を使用できます。アクセス・サーバーglobalparams.xmlファイル内にあるこのアルゴリズムは、静的グループ、動的グループ、ネストされたグループのいずれについても同様に機能します。
TurnOffNewAlgorithmForObmyGroups
がfalse
の場合、ObMyGroups評価のパフォーマンスを向上させるには、アクセス・サーバーglobalparams.xmlファイルでNestedQueryLDAPFilterSize
パラメータを使用します。このパラメータは、LDAP検索問合せを分割して実行します。
GroupCacheTimeout
パラメータを使用して、アクセス・サーバー・グループ・キャッシュ内で各要素が有効状態を保持する時間を指定できます。パラメータは、アクセス・サーバーglobalparams.xmlファイル(または、アクセス・テスターを使用する場合はポリシー・マネージャ・ファイル)に含まれます。
GroupCacheMaxElement
パラメータは、アクセス・サーバー・グループ・キャッシュ内に保持可能な最大要素数を指定します。パラメータは、アクセス・サーバーglobalparams.xmlファイル(または、アクセス・テスターを使用する場合はポリシー・マネージャ・ファイル)に提供されています。
Oracle Access Manager 10g(10.1.4.3)では、キャッシュ・フラッシュについての複数の拡張が提供されています。それらに関する新しい情報は次のとおりです。
アイデンティティ・システムからアクセス・システムへの非同期キャッシュ・フラッシュ
キャッシュ・フラッシュ・リクエスト用の混合モード通信によるパフォーマンスの向上
I/O完了の期限指定を使用する複数アクセス・サーバー間の同期キャッシュ・フラッシュ操作
メッセージ・チャネル初期化失敗時の新しい処理方法
より多くの基礎情報を提供し、キャッシングとキャッシュ・フラッシュ操作について明確にするために、第5章を再編成し、更新しました。
アクセス・サーバーglobalparams.xmlファイル内では、UserMgmtNodeEnabled
パラメータを使用できます。このパラメータは、WebGateのメモリー増加を管理する機能の有効化と無効化を制御します。詳細は、『Oracle Access Managerカスタマイズ・ガイド』のパラメータに関する章を参照してください。また、『Oracle Access Managerアクセス管理ガイド』内のActive Directoryのキャッシュ・フラッシュ問題に関するヒントも参照してください。
さらに有用な詳細情報を提供するために、キャパシティ・プランニングに関する章が更新されました。
LDAPデータのロード・バランシングについての情報が追加されました。
「ハートビート」のポーリング・メカニズムにより、接続プール内の接続数が指定されたしきい値のレベルを下回った時点で即座にセカンダリ・ディレクトリ・サーバーへのフェイルオーバーが行われます。フェイルオーバーのポーリング間隔についての情報が追加されました。
ポリシー・マネージャのデータのフェイルオーバー構成に関する情報が追加されました。
Oracle Access Manager Configuration Managerは非推奨で、使用できません。概要情報は、このガイドの第8章から削除されました。
Oracle Access Managerのインストール中に指定した基本コンポーネント(Personオブジェクト・クラスやディレクトリ・サーバー・ホストなど)を変更できます。
ディレクトリ・チューニングのドキュメントには、いくつかの情報が補足されています。
パフォーマンスを最適化するには、ディレクトリのパフォーマンスが最適になるようにチューニングします。このリリースでは、ディレクトリ・チューニングについての情報が補足されています。
ディレクトリ接続プールのサイズの構成について新しいガイドラインが追加されています。
このリリースでは、LDAP接続のキャッシュを消去する新しいパラメータが用意されています。
新しいパラメータにより、プライマリ・サーバーのレスポンスが遅い場合やリクエスト処理に時間がかかりすぎる場合に、コンポーネントをセカンダリ・ディレクトリ・サーバーにフェイルオーバーさせることが可能になります。
スレッドおよびキューの構成、グループ検索の構成、およびポリシー・マネージャLDAP検索のチューニングについてのガイドラインが提供されています。
アイデンティティ・システム・アプリケーションを使用してユーザーが実行するディレクトリ検索の最適化のガイドラインが提供されています。
動的グループまたはネストされたグループを使用しない場合の、グループ評価のパフォーマンス向上に関するガイドラインが提供されています。
アイデンティティ・システムでのグループ・マネージャ・アプリケーションのパフォーマンスの最適化に関するガイドラインが提供されています。
ワークフローのパフォーマンスを最適化する場合のベスト・プラクティスが提供されています。
workflowdbparams.xmlの様々なパラメータをチューニングして、ワークフローがサーバーのパフォーマンスに及ぼす影響を最小限にすることができます。ワークフローの様々な検索パラメータをチューニングしてパフォーマンスを向上させることもできます。
ネットワークとOracle Access Managerのパフォーマンスを最適化する場合のベスト・プラクティスが提供されています。
ネストされたグループをディレクトリ内で使用しない場合は、ネストされたグループの評価をオフにして、グループ・メンバーシップ検索を向上させることができます。