| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B61378-01 |
|
 戻る |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B61378-01 |
|
戻る |
次へ |
この章では、管理コンソールに対するシングル・サインオン(SSO)を構成する方法を説明します。章タイトルでの管理コンソールは次を指します。
Oracle Enterprise Manager Fusion Middleware Control
Oracle WebLogic Server管理コンソール
Oracle Access Managerコンソール
Oracle Identity Managerコンソール
Oracle APMコンソール
Oracle Adaptive Access Manager管理コンソール
この章の内容は次のとおりです。
この項では、Oracle Access Manager 10gを使用して管理コンソールに対するシングル・サインオンを構成する方法を説明します。
この項の内容は次のとおりです。
次の項に進む前に、次のタスクが完了していることを確認してください。
第10章の説明に従って、Oracle Access Managerをインストールして構成します。
ポリシー・マネージャを保護しているポリシー("/access")が作成されて有効になっていることを確認します。このポリシーが有効になっていない場合は、第20.1.1.1項の説明に従って、ポリシー・マネージャ・コンソールを使用してこのポリシーを有効にします。
ホスト識別子の値を確認します。この値はシングル・サインオンを有効にするために必要です。
第20.3項「管理者のプロビジョニング」の説明に従って管理者ユーザーが作成されていることを確認します。
次の手順に従って、ポリシー・マネージャを保護しているポリシーを有効にします。
Webブラウザを開いて、次のURLを使用してポリシー・マネージャ・コンソールを起動します。
http://oamadminhost.mycompany.com:7777/access/oblix
「ポリシー・マネージャ」リンクをクリックします。
ポリシー・マネージャの初期ページで、「ポリシー・ドメイン」リンクをクリックします。
「ポリシー・ドメイン」ページで、「ポリシー・マネージャ」リンクをクリックします。
「ポリシー・マネージャ」ページの「一般」タブで、「変更」をクリックします。
「はい」をクリックして、/accessというポリシーを有効にします。
「保存」ボタンをクリックして変更内容を保存します。
IDMドメイン内のWebゲートは、委任認証Webゲートの役割も果たす必要があります。つまり、これらのWebゲートは、企業内の外部のアプリケーションやドメインから認証リクエストを受け取ります。委任認証を有効にするには、OAM構成ツールによって作成されたフォーム認証スキームを変更して、チャレンジ・リダイレクト・パラメータを追加する必要があります。
次の手順に従って、フォーム認証スキームにチャレンジ・リダイレクト・パラメータを追加します。
Webブラウザで、次のURLを使用してアクセス・コンソールを表示します。
http://oamadminhost.mycompany.com:7777/access/oblix
「アクセス・システム・コンソール」リンクをクリックして、orcladminユーザーの資格証明を使用してログインします。
メイン・ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左側にある「認証管理」リンクをクリックします。
「認証管理」ページの「認証スキームのリスト」という表で、「OraDefaultFormAuthNScheme」をクリックします。
「認証スキームの詳細」ページで、「変更」をクリックして、この認証スキームの構成を変更します。
「認証スキームを変更中」ページで、ロード・バランサで構成されたシングル・サインオン仮想ホストに「チャレンジ・リダイレクト」パラメータの値を変更します。「チャレンジ・リダイレクト」パラメータの値を「https://sso.mycompany.com」に更新します。
「保存」をクリックして、更新された構成を保存します。
構成が正常に行われたことを確認するには、次の手順を実行します。
Webブラウザを使用して、Oracle WebLogic管理コンソールまたはOracle Enterprise Manager Fusion Middleware Controlを起動します。
WebLogic管理サーバー・コンソールのURL:
http://admin.mycompany.com/console
Oracle Enterprise Manager Fusion Middleware ControlのURL:
http://admin.mycompany.com/em
これにより、お使いのWebブラウザが認証のためにhttps://sso.mycompany.comにリダイレクトされます。
administratorユーザーの資格証明を使用して、コンソールにログインします。たとえば、orcladminとpasswordにします。
これにより、WebLogic管理コンソールのログイン・ページにリダイレクトされます。weblogicとpasswordを使用してログインします。
第10.4.3.3項「OAM構成ツールの実行」の手順に従って、Oracle Access Manager 10gを使用してOracle Identity NavigatorとAPMのコンソールを保護します。第10.4.3項で渡した値と同じ値を使用してoamcfgtoolを実行します。ただし、protected_urisとして「/oinav, /apm」を使用します。
次に例を示します。
$JAVA_HOME/bin/java -jar oamcfgtool.jar mode=CREATE app_domain="IDMEDG"web_domain="idmEDG_WD" cookie_domain="mycompany.com"protected_uris="/oinav,/apm" app_agent_password="welcome1"ldap_host=oid.us.oracle.com ldap_port=389 ldap_userdn="cn=orcladmin"ldap_userpassword=password oam_aaa_host=oamhost1.mycompany.comoam_aaa_port=6023
プロセスの次の段階として、ポリシー・ドメインの構成とアクセス・ゲートの構成を検証します。
次の手順に従って、ポリシー・ドメインが正しく作成されていることを確認します。
Webブラウザで、次のURLを入力してOracle Access Managerコンソールにアクセスします。
http://oamadminhost.mycompany.com:port/access/oblix
「ポリシー・マネージャ」をクリックします。
左側のパネルで「ポリシー・ドメイン」リンクをクリックします。先ほど作成したドメインを含むすべてのポリシー・ドメインのリストが表示されます。たとえば、IDMEDGです。3列目の「URL接頭辞」に、このポリシー・ドメインの作成時に指定したURIが表示されます。
先ほど作成したポリシー・ドメインのリンクをクリックします。これにより、このドメインの「一般」領域が表示されます。
「リソース」タブをクリックします。このタブでは、指定したURIを確認できます。他のタブをクリックして、他の設定を確認します。
次の手順に従って、アクセス・ゲートが正しく構成されていることを確認します。
Oracle Access Managerコンソールで、「アクセス・システム・コンソール」リンクをクリックします。このリンクは切替え式です。このリンクは、「アクセス・システム・コンソール」リンクになっているときにクリックすると、「ポリシー・マネージャ」リンクに切り替わります。「ポリシー・マネージャ」リンクになっているときにクリックすると、「アクセス・システム・コンソール」リンクに切り替わります。
「アクセス・システム構成」タブをクリックします。
左側のパネルで「アクセス・ゲート構成」リンクをクリックします。
検索基準を入力して「実行」をクリックします。
作成したドメインのアクセス・ゲートの名前が表示されたら、その名前をクリックして、作成したアクセス・ゲートの詳細を表示します(この名前には、OAM構成ツールによって作成されたときに「_AG」という接尾辞が付けられていることがあります(例: IDMEDG_AG))。
この項では、Oracle WebLogic Serverのオーセンティケータをセットアップする手順を説明します。
次の手順に従って、Oracle Internet Directoryのオーセンティケータをセットアップします。
ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/config/config.xml
最初に、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/config/config.xml ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/jps-config.xml ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/system-jazn-data.xml
管理サーバー用のORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/servers/adminServer/boot.propertiesファイルをバックアップします。
次の手順に従って、WebLogic管理サーバー・コンソールを使用してアイデンティティ・ストアがLDAPを使用するように構成して、適切なオーセンティケータを設定します。
WebLogic管理サーバー・コンソールにログインして、「ロックして編集」をクリックし、編集を有効にします。
左側のナビゲーション・バーで「セキュリティ・レルム」リンクをクリックします。
myrealmというデフォルト・レルム・エントリをクリックして構成します。
このレルム内の「プロバイダ」タブをクリックします。
このレルムに対して「DefaultAuthenticator」というプロバイダが構成されていることに注目してください。
「新規」ボタンをクリックして新しいプロバイダを追加します。
このプロバイダの名前を入力します。たとえば、ユーザーをOracle Internet Directoryに対して認証するプロバイダには「OIDAuthenticator」という名前を付けます。
オーセンティケータのリストから「OracleInternetDirectoryAuthenticator」タイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新規作成した「OIDAuthenticator」をクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。これにより、このオーセンティケータによってユーザーを正常に認証できる場合は、このオーセンティケータはその認証を受け入れる必要があること、および引き続き追加のオーセンティケータを呼び出してはいけないことが指定されます。正常に認証できない場合は、チェーン内の次のオーセンティケータに引き継がれます。すべての後続オーセンティケータの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特に、DefaultAuthenticatorの制御フラグが「SUFFICIENT」に設定されていることを確認します。
「保存」をクリックして、この設定を保存します。
「プロバイダ固有」タブをクリックして、LDAPサーバーの詳細情報を入力します。
次の表に示すように、お使いのLDAPサーバー固有の詳細情報を入力します。
| パラメータ | 値 | 説明 |
|---|---|---|
| ホスト | LDAPサーバーのサーバーIDです。たとえば、oid.mycompany.comです。 |
|
| ポート | LDAPサーバーのポート番号です。たとえば、636です。 |
|
| プリンシパル | LDAPサーバーに接続するために使用するLDAPユーザーDNです。たとえば、cn=orcladminです。 |
|
| 資格証明 | LDAPサーバーに接続するために使用するパスワードです。 | |
| SSLの有効化 | 選択済 | LDAPサーバーへの接続時にSSLプロトコルを使用するかどうかを指定します。 |
| ユーザー・ベースDN | ユーザーの初期DNを指定します。たとえば、cn=users,dc=mycompany,dc=comです。 |
|
| グループ・ベースDN | お使いのグループ・ノードを指すDNを指定します。たとえば、cn=groups,dc=mycompany,dc=comです。 |
|
| 取得したユーザー名をプリンシパルとして使用する | 選択済 | 有効にする必要があります。 |
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして、変更を伝播します。
コンソールには、変更内容を有効にするために再起動が必要であるというメッセージが表示されます。この時点では、指示どおりにサーバーを再起動しないでください。再起動する前に、第20.1.5.4項「WebLogic管理サーバーおよび管理対象サーバーの停止と起動」の説明に従って、すべてのWebLogicオーセンティケータをセットアップしてください。
次の手順に従って、OAM ID Asserterをセットアップします。
WebLogic管理サーバー・コンソールにログインして、「ロックして編集」をクリックし、編集を有効にします。
「セキュリティ・レルム」→「デフォルト・レルム名」→「プロバイダ」に移動します。
「新規」をクリックして、ドロップダウン・メニューから「OAMIdentityAsserter」を選択します。
このアサータに名前を付けます(例: OAMIDAsserter)。
「OK」をクリックします。
新規に追加したアサータをクリックして、OAM Identity Asserterの構成画面を表示します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「プロバイダ固有」タブで、OAM Identity Asserterの追加属性を次のように構成します。
アプリケーション・ドメイン: Oracle Access Managerのポリシー・ドメイン名を指定します。OAM構成ツールに渡されたapp_domainパラメータの値を使用します。たとえば、IDMEDGです。
プライマリ・アクセス・サーバー: Oracle Access Managerサーバーのエンドポイント情報を「host:port」という形式で指定します。たとえば、「oamhost1.mycompany.com:6023」と指定します。
アクセス・ゲート名: アクセス・ゲートの名前です(例: IDMEDG_WD)。OAM構成ツールによって作成されたアクセス・ゲート名を指定します。
アクセス・ゲートのパスワード: アクセス・ゲートのパスワードです(割り当てられている場合)。
各自の環境で必要な場合を除いて、他のすべての属性はデフォルト値のままにします。
設定を保存します。
「変更のアクティブ化」をクリックして、変更を伝播します。
次の手順に従って、示されている順序にプロバイダを並べ替えます。
WebLogic管理サーバー・コンソールにログインして、「ロックして編集」をクリックし、編集を有効にします。
「セキュリティ・レルム」→「デフォルト・レルム名」→「プロバイダ」に移動します。
「認証プロバイダ」表の「並替え」をクリックします。
「認証プロバイダの並替え」ページで、プロバイダを次の順序に並べ替えます。
OAM Identity Asserter(REQUIRED)
Default Authenticator
OIM Signature Authenticator
OIMAuthenticationProvider
OIDAuthenticator
DefaultIdentityAsserter
設定を保存します。
「変更のアクティブ化」をクリックして、変更を伝播します。
構成の変更内容を有効にするには、WebLogic管理サーバーおよび関連する管理対象サーバーを再起動する必要があります。次の手順に従って、WebLogic管理サーバーと管理対象サーバー(WLS_ODS1とWLS_ODS2)を停止してから起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内のすべての管理対象サーバーと管理サーバーを停止します。
サーバー・プロセスが正常に停止されたことを確認します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、IDMHOST1でWebLogic管理サーバーを起動します。
管理サーバーが起動されたことを確認してから、Webブラウザを使用して管理コンソールを起動します。
administratorユーザーの資格証明を使用して、コンソールにログインします。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内のすべての管理対象サーバーを起動します。
この項では、管理コンソールをシングル・サインオンと統合する方法を説明します。
この項の内容は次のとおりです。
|
注意: 管理コンソールに対するシングル・サインオンを有効にしたら、コンソール・アクセスを可能にするために、1つ以上のOAMサーバーが稼働していることを確認してください。後でOAAMがドメイン全体を保護できるようにする場合や、OAAMをOIMと統合する場合は、コンソール・アクセスを可能にするために、OAAMサーバーも稼働させる必要があります。 Oracle WebLogicコンソールを使用してすべてのOAM管理対象サーバーを停止した場合は、コンソールを再び使用する前に、これらの管理対象サーバーのいずれかを手動で再起動してください。
DOMAIN_HOME/bin/startManagedWeblogic.sh WLS_OAM1 t3://ADMINVHN:7001
|
管理コンソールをシングル・サインオンと統合する前に、次のタスクが完了していることを確認してください。
http://admin.mycompany.com/consoleでWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「DefaultAuthenticator」をクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「新規」をクリックします。
次の情報を指定します。
名前: OVDAuthenticator
タイプ: OracleVirtualDirectoryAuthenticator
「OK」をクリックします。
「並替え」をクリックします。
「OVDAuthenticator」をクリックします。
「OK」をクリックします。
「OVDAuthenticator」をクリックします。
「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
「プロバイダ固有」タブを選択します。
次の情報を入力します。
ホスト: ovd.mycompany.com
ポート: 389
プリンシパル: cn=orcladmin
資格証明: orcladminのパスワード
資格証明の確認: orcladminのパスワード
ユーザー・ベースDN: cn=Users,dc=mycompany,dc=com
グループ・ベースDN: cn=Groups,dc=mycompany,dc=com
GUID属性: orclguid
「保存」をクリックします。
「変更のアクティブ化」を「チェンジ・センター」でクリックします。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとすべての管理対象サーバーを再起動します。
構成の検証
oamadminユーザーとしてoamconsoleにログインすることで、構成を検証します。
次の手順に従って、Oracle WebLogic管理コンソールを使用して追加の検証テストを実行できます。
http://admin.mycompany.com/consoleで、コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」を選択します。
myrealmをクリックします。
「ユーザーとグループ」タブをクリックします。
「ユーザー」をクリックします。
LDAPユーザーが表示されます。
http://admin.mycompany.com/consoleでWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「新規」をクリックします。
次の情報を指定します。
名前: OAMIdentityAsserter
タイプ: OAMIdentityAsserter
「OK」をクリックします。
「並替え」をクリックします。
「OAMIdentityAsserter」をクリックします。
右側の矢印を使用して、プロバイダを次の順序に並べ替えます。
OAMIdentity Asserter
Default Authenticator
OIM Signature Authenticator
OIMAuthenticationProvider
OVDAuthenticator
Default Identity Asserter
|
注意: OIMプロバイダが存在するのは、OIMが構成されている場合のみです。 |
「OK」をクリックします。
「OAMIdentityAsserter」をクリックします。
「制御フラグ」を「REQUIRED」に設定します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとすべての管理対象サーバーを再起動します。
企業では、すべてのユーザー、グループおよびロールがプロビジョニングされる中央のアイデンティティ管理ドメインと、複数のアプリケーション・ドメイン(SOAドメインやWebCenterドメインなど)を配置することが一般的です。これらのアプリケーション・ドメインは、中央のアイデンティティ管理ドメインを使用して認証するように構成されます。
デフォルトでは、Oracle WebLogic Serverがインストールされて構成されると、weblogicというユーザー名のWebLogic管理ユーザーがローカルLDAPストア内に作成されます。エンタープライズ・デプロイメントの場合は、中央のアイデンティティ管理ドメインの一部であるOracle Internet DirectoryなどのLDAPユーザー・ディレクトリですべてのユーザーとグループはプロビジョニングされる必要があります。この項では、WebLogicのアイデンティティ管理ドメインを管理するための新しい管理者ユーザーと管理者グループのプロビジョニングについて説明します。この項の内容は次のとおりです。
この項の前に述べたとおり、複数のWebLogicドメインのユーザーとグループを中央のLDAPユーザー・ストア内でプロビジョニングできます。このようなケースでは、1人のWebLogic adminユーザーが企業内のすべてのドメインにアクセスできます。これは望ましい状況ではありません。この状況を回避するには、プロビジョニングされたユーザーとグループには、ディレクトリ・ツリー内で一意の識別名が割り当てられる必要があります。このガイドでは、IDM WebLogicドメインのadminユーザーおよびグループは、次のDNが割り当てられてプロビジョニングされます。
管理ユーザーのDN:
cn=weblogic_idm,cn=Users,dc=mycompany,dc=com
管理グループのDN:
cn=IDM Administrators, cn=Groups,dc=mycompany,dc=com
次の手順に従って、adminユーザーとadminグループをOracle Internet Directory内でプロビジョニングします。
admin_user.ldifという名前のldifファイルを作成して、次の内容を入力してからこのファイルを保存します。
dn: cn=weblogic_idm, cn=Users, dc=mycompany,dc=com obpasswordchangeflag: false obpasswordexpirydate: 2035-01-01T00:00:00Z sn: weblogic_idm uid: weblogic_idm givenname: weblogic_idm displayname: weblogic_idm cn: weblogic_idm objectclass: orclIDXPerson objectclass: inetOrgPerson objectclass: organizationalPerson objectclass: person objectclass: top objectclass: oblixPersonPwdPolicy objectclass: OIMPersonPwdPolicy objectclass: oblixorgperson userpassword: Account password obuseraccountcontrol: activated orclisenabled: ENABLED
このユーザーがmail属性を備えていることを確認します。この属性はOracle Identity Managementでユーザー調整を行うために必須になります。
ORACLE_HOME/bin/ディレクトリにあるldapaddコマンドを実行して、このユーザーをOracle Internet Directory内でプロビジョニングします。次に例を示します。
ORACLE_HOME/bin/ldapadd -h ovd.mycompany.com -p 389 -D cn="orcladmin" -w
welcome1 -c -v -f admin_user.ldif
admin_group.ldifという名前のldifファイルを作成して、次の内容を入力してからこのファイルを保存します。
dn: cn=IDM Administrators, cn=Groups, dc=mycompany, dc=com displayname: IDM Administrators objectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup uniquemember: cn=weblogic_idm,cn=Users,dc=mycompany,dc=com cn: IDM Administrators description: Administrators Group for the IDM Domain in OID
ORACLE_HOME/bin/ディレクトリにあるldapaddコマンドを実行して、このグループをOracle Internet Directory内でプロビジョニングします。次に例を示します。
ORACLE_HOME/bin/ldapadd -h ovd.mycompany.com -p 389 -D cn="orcladmin" -w
welcome1 -c -v -f admin_group.ldif
第18.3.4項「必須オブジェクト・クラスによる既存LDAPユーザーの更新」の説明に従って、プロビジョニングしたユーザーを更新します。
ユーザーとグループをOracle Internet Directoryに追加したら、このグループに、WebLogicドメイン・セキュリティ・レルム内の管理ロールを割り当てる必要があります。これにより、このグループに属するすべてのユーザーがそのドメインの管理者になることができます。次の手順に従って、管理グループに管理ロールを割り当てます。
WebLogic管理サーバー・コンソールにログインします。
コンソールの左側のペインで、「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表のmyrealmをクリックします。
myrealmの「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページで、「ロール」表の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。「ロール」リンクをクリックして、「グローバル・ロール」ページを開きます。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページを開きます。
「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、述部のドロップダウン・リストから「グループ」を選択して、「次へ」をクリックします。
「引数の編集」ページで、グループ引数フィールドにIDM管理者を指定して、「追加」をクリックします。
「終了」をクリックして「グローバル・ロールの編集」ページに戻ります。
この時点で、「ロール条件」表には、IDM管理者グループというエントリが表示されています。
「保存」をクリックして、IDM管理者グループへの管理ロールの追加を終了します。
Webブラウザを使用してWebLogic管理サーバー・コンソールを起動して、これらの変更が正常に加えられたことを確認します。weblogic_idmユーザーの資格証明を使用してログインします。
Oracle Identity Managerは、デフォルトではweblogicというユーザー名を使用して、SOA管理者としてSOAに接続します。前の項では、Identity Management WebLogicドメインを管理するために、新しい管理者ユーザーを中央のLDAPストアでプロビジョニングしました。
次のインストール後の手順を実行して、Oracle Identity Managerが、中央のLDAPストアでプロビジョニングしたOracle WebLogic Server管理者ユーザーを使用できるようにします。これにより、Oracle Identity Managerは問題なくSOAに接続できるようになります。
http://admin.mycompany.com/emでEnterprise Managerにログインします。
Identity and Access/oim(11.1.1.3.0)を右クリックして、「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBean」で「oracle.iam」を開いて、「サーバー: OIM_SERVER_NAME」→「アプリケーション: oim」→「XML config」→「構成」→「XMLConfig.SOAConfig」を選択してから、「SOAConfig Mbean」を選択します。
「ユーザー名」属性を表示します。デフォルトでは、この属性の値はweblogicです。この値を、第20.3.1項でプロビジョニングしたOracle WebLogic Server管理者ユーザー名に変更します。たとえば、weblogic_idmにします。
「適用」をクリックします。
Oracle Identity Managerデプロイメント内のIAM_ORACLE_HOME/common/bin/ディレクトリに移動します。
次のコマンドを実行して、WebLogicスクリプト・ツール(WLST)を起動します。
./wlst.sh
プロンプトで、「connect()」と入力します。プロンプトが表示されたら、Oracle WebLogic Serverのユーザー名、パスワードおよび管理サーバー接続文字列を入力します。
次のコマンドを実行して、デフォルトのSOA管理者ユーザー名およびパスワードの資格証明をCSFから削除します。
deleteCred(map="oim", key="SOAAdminPassword");
次のコマンドを実行して、Oracle Identity ManagerがSOA管理者としてSOAに接続するために使用する新しい資格証明を作成します。
createCred(map="oim", key="SOAAdminPassword", user="weblogic_idm",password="ADMINISTRATOR_PASSWORD");
ADMINISTRATOR_PASSWORDのかわりに、実際のパスワードを指定します。
次のコマンドを実行して、正しい値がシード値として割り当てられていることを確認します。
listCred(map="oim", key="SOAAdminPassword");
次のコマンドを実行して、WLSTシェルを終了します。
exit()
管理者のログイン資格証明を使用して、Oracle Identity Managerの管理/ユーザー・コンソールにログインします。
調整プロセスを実行して、Oracle WebLogic Serverの管理者であるweblogic_idmをOIMコンソールで表示できるようにします。次の手順を実行します。
https://sso.mycompany.com:443/oimで、xelsysadmユーザーとしてOracle Identity Managerにログインします。
「拡張」をクリックします。
「システム管理」タブをクリックします。
「スケジューラの検索」の矢印をクリックして、すべてのスケジューラを一覧表示します。
LDAPユーザーの作成および完全調整の更新を選択します。
「即時実行」をクリックしてジョブを実行します。
「管理」ページに移動して、検索を実行して、このユーザーをOracle Identity Managerコンソールで表示できることを確認します。
管理者ロールを検索します。ロールの詳細を開いて、「メンバー」タブをクリックします。
新規作成したユーザーをこのロールのメンバーとして追加します。
Oracle Identity Managerの管理対象サーバーを再起動します。
管理サーバーと管理対象サーバー用のboot.propertiesファイルを、Oracle Internet Directory内に作成したWebLogic adminユーザーの情報によって更新する必要があります。次の手順に従って、boot.propertiesファイルを更新します。
IDMHOST1上の管理サーバーの場合
IDMHOST1上で、次のディレクトリに移動します。
ORACLE_BASE/admin/domainName/aserver/domainName/servers/serverName/security
次に例を示します。
cd ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/servers/AdminServer/security
既存のboot.propertiesファイルを別の名前に変更します。
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリ内に作成します。次の行をこのファイルに入力します。
username=adminUserpassword=adminUserPassword
次に例を示します。
username=weblogic_idm
password=Password for weblogic_idm user
|
注意: 管理サーバーを起動すると、このファイル内のユーザー名とパスワードのエントリが暗号化されます。セキュリティ上の理由で、ファイルで暗号化されないエントリの数は最小限にしてください。このファイルを編集した後、できるだけ早くサーバーを起動して、これらのエントリを暗号化する必要があります。 |
サーバーの停止と起動
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとすべての管理対象サーバーを再起動します。
