Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B61378-01 |
|
戻る |
次へ |
Oracle Identity Managementには、アイデンティティ管理のあらゆる局面に関する包括的製品一式が含まれています。このマニュアルでは、Oracle Fusion MiddlewareのOracle Identity Managementインフラストラクチャ・コンポーネントの5つの参照用エンタープライズ・トポロジについて説明します。エンタープライズ・デプロイメント・ガイドラインに従うことにより、トポロジを作成するための詳細な指示および推奨事項も提供します。
この章の内容は次のとおりです。
エンタープライズ・デプロイメントは、Oracle Fusion Middlewareの実証済高可用性テクノロジと推奨事項に基づいたベスト・プラクティスの青写真です。このマニュアルに示す高可用性ベスト・プラクティスは、Oracle Database、Oracle Fusion Middleware、Oracle Applications、Oracle Collaboration Suite、Oracle Grid Controlなど、技術スタック全体におよぶOracle製品を対象とした様々な高可用性ベスト・プラクティスの1つです。
Oracle Fusion Middlewareのエンタープライズ・デプロイメントの特長は、次のとおりです。
様々な業務のサービス・レベル合意(SLA)を考慮して、高可用性ベスト・プラクティスをできるかぎり広範囲に適用できるようにします。
データベース・グリッド・サーバーと低コストのストレージを使用したストレージ・グリッドを活用し、回復力に優れた低コストのインフラストラクチャを提供します。
様々な構成を対象とする広範なパフォーマンス影響調査の結果を利用し、ビジネス・ニーズに応じて実行およびスケールできるように高可用性アーキテクチャを最適に構成することができます。
停止状態からのリカバリ時間と自然災害時に許容可能なデータ損失量を制御できます。
各Oracleバージョンと共に内容が向上し、ハードウェアとオペレーティング・システムからは完全に独立しています。
高可用性ベスト・プラクティスの詳細は、次のWebサイトを参照してください。
http://www.oracle.com/technology/deploy/availability/htdocs/maa.htm
表1-1にOracle Fusion Middleware環境のアーキテクチャを定義する用語の一部の定義を示します。
表1-1 Oracle Fusion Middlewareアーキテクチャの用語
このマニュアルで取り上げるOracle Fusion Middleware構成は、すべてのトランザクションのセキュリティの確保、ハードウェア・リソースの最大化、および各種アプリケーションを使用するエンタープライズ・コンピューティングのための標準に準拠した信頼性の高いシステムの提供を目的としています。Oracle Fusion Middleware構成のセキュリティと高可用性のメリットは、ファイアウォール・ゾーンにおける分離とソフトウェア・コンポーネントのレプリケーションによって実現されます。
この項の内容は次のとおりです。
エンタープライズ・デプロイメント・アーキテクチャのセキュリティは、ソフトウェア・コンポーネントのすべての機能グループが各グループ固有のDMZに分離され、すべてのトラフィックがプロトコルとポートによって制限されることによって確保されます。次の特性によって、必要な全レベルのセキュリティが確保されるとともに、標準への高水準での準拠が保証されます。
ポート80で受信するすべての外部通信がポート443にリダイレクトされます。
外部クライアントからの通信は、ロード・バランシング・ルーター・レベルを超えません。
ロード・バランシング・ルーターからデータ層DMZへの直接的な通信は許可されません。
コンポーネントは、Web層、アプリケーション層およびディレクトリ層の各DMZ間で分離されます。
2つのファイアウォール間の直接的な通信は常に禁止されます。
1つのファイアウォール・ゾーンで通信が開始された場合、その通信は次のファイアウォール・ゾーンで終了する必要があります。
Oracle Internet Directoryはディレクトリ層DMZに分離されます。
アイデンティティ管理コンポーネントはアプリケーション層DMZ内に配置されます。
DMZをまたぐすべてのコンポーネント間通信は、ファイアウォールのルールに従い、ポートとプロトコルによって制限されます。
Oracle Identity Managementは、個別または集合で使用できる多数のアプリケーションから構成されます。アイデンティティ管理のエンタープライズ・デプロイメント・ガイドでは、5つの異なるエンタープライズ・トポロジを構築できます。この項では、次の項目について説明します。
第1.4.2項「トポロジ2 - Oracle Access Manager 10gとOracle Identity Manager 11g」
第1.4.3項「トポロジ3 - Oracle Access Manager 11gとOracle Identity Manager 11g」
図1-1は、Oracle Access Manager 11gトポロジのダイアグラムです。
ディレクトリ層はイントラネット・ゾーンにあります。ディレクトリ層は、すべてのLDAPサービスが配置されるデプロイメント層です。この層には、Oracle Internet DirectoryやOracle Virtual Directoryなどの製品が含まれています。ディレクトリ層は、エンタープライズLDAPサービスをサポートするディレクトリ管理者が管理します。ディレクトリ層はデータ層と緊密に結び付いています。データ層へのアクセスは、次の理由により重要です。
Oracle Internet Directoryは、そのバックエンドとしてOracle Databaseに依存しています。
Oracle Virtual Directoryでは、他のLDAPサービスまたはデータベース(あるいはその両方)において仮想化がサポートされています。
場合によっては、ディレクトリ層とデータ層は同じ管理者グループで管理することもあります。ただし、多くの企業ではデータベース管理者がデータ層を所有し、ディレクトリ管理者がディレクトリ層を所有しています。
ディレクトリ層より上にあるアプリケーションは一般的にファイアウォールにより保護されていますが、指定LDAPホスト・ポートによりLDAPサービスにアクセスします。標準的なLDAPポートは、非SSLポートでは389になり、SSLポートでは636になります。イントラネットの電子メール・クライアントなどのクライアントによりホワイト・ページが検索される際に、LDAPサービスが使用されることがあります。
アプリケーション層は、J2EEアプリケーションがデプロイされる層です。Oracle Directory Integration Platform、Oracle Identity Federation、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlなどの製品は、この層にデプロイできる主要J2EEコンポーネントです。この層にあるアプリケーションは、Oracle WebLogic Serverの高可用性サポートにおけるメリットを享受します。
アプリケーション層にあるアイデンティティ管理アプリケーションは、次に示すようにディレクトリ層と対話的に処理を行います。
場合によっては、企業アイデンティティ情報ではディレクトリ層が活用されます。
場合によっては、アプリケーション・メタデータではディレクトリ層(およびデータ層のデータベースの場合もある)が活用されます。
Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerは、アプリケーション層だけでなくディレクトリ層にもあるコンポーネントに対して管理機能を提供する管理ツールです。
WebLogic Serverには、Webサーバーのサポートが組み込まれています。有効にされていると、HTTPリスナーはアプリケーション層にも配置されます。ただし、図1-1に示したエンタープライズ・デプロイメントでは、ApacheやOracle HTTP ServerなどのWebサーバーに依存する別のWeb層を顧客が保持しています。
アプリケーション層:
IDMHOST1
とIDMHOST2
には、管理コンソール、Oracle Enterprise Manager Fusion Middleware Control、Oracle Directory Integration Platform、Oracle Directory Services ManagerおよびOracle Access ServerとともにWebLogicサーバーがインストールされています。IDMHOST1
とIDMHOST2
は、WebLogicサーバーの管理サーバーと管理対象サーバーの両方を実行しています。管理サーバーはアクティブ/パッシブで構成されています。つまり、2つのノードにインストールされていますが、一度にアクティブになるのは1つのインスタンスのみです。アクティブなインスタンスが停止すると、パッシブなインスタンスが起動し、アクティブなインスタンスになります。
Oracle Access Serverは、ディレクトリ層のOracle Internet Directoryと通信してユーザー情報を検証します。
アプリケーション層を保護するファイアウォール上では、HTTPポート、OIPポートおよびOAPポートが開放されています。OIP(Oracle Identityプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebパス・モジュールが、Oracle Access Managerと通信してユーザー・グループの問合せなどの操作を実行するときに使用されます。OAP(Oracle Accessプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebゲート・モジュールが、Oracle Access Managerと通信してユーザー認証などの操作を実行するときに使用されます。
アーキテクチャに関する注意
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Platform Security Service(OPSS)エージェントを使用してOracle Access Managerに統合されています。
管理サーバー、Oracle Enterprise ManagerおよびOracle Access Managerコンソールは、常に管理サーバーのリスニング・アドレスにバインドされます。
IDMHOST1
上のWLS_ODS1
管理対象サーバーとIDMHOST2
上のWLS_ODS2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとOracle Directory Integration Platformのアプリケーションはクラスタをターゲットとしています。
IDMHOST1
上のWLS_OAM1
管理対象サーバーとIDMHOST2
上のWLS_OAM2
管理対象サーバーはクラスタに配置され、Access Managerのアプリケーションはクラスタをターゲットとしています。
Oracle Directory Services ManagerとOracle Directory Integration Platformは、WLS_ODS1
とWLS_ODS2
の管理対象サーバーのリスニング・アドレスにバインドされます。デフォルトでは、これらの管理対象サーバーのリスニング・アドレスは、それぞれIDMHOST1
とIDMHOST2
に設定されます。
高可用性プロビジョニング
アイデンティティ・サーバーとアクセス・サーバーのデプロイメントは、アクティブ/アクティブ構成です。アクセス・サーバーは実行時にアイデンティティ・サーバーと通信できます。
WebLogic管理サーバーとOracle Enterprise Managerのデプロイメントは、アクティブ/パッシブです(他のコンポーネントはアクティブ/アクティブ)。
WebLogic管理サーバーは、アクティブ/パッシブ構成でデプロイされるシングルトン・コンポーネントです。IDMHOST1
に障害が発生したときや、IDMHOST1
上の管理サーバーが起動しなかったときに、IDMHOST2
上の管理サーバーを起動できます。IDMHOST1
とIDMHOST2
上にあるすべての管理対象サーバーとコンポーネントでは、管理サーバーの仮想IPアドレスを構成する必要があります。
セキュリティ・プロビジョニング
Oracle WebLogic Serverコンソール、Oracle Enterprise Manager Fusion Middleware Controlコンソール、およびOracle Access Managerコンソールは、ファイアウォール内でのみ使用可能なadmin.mycompany.com
を介してのみアクセス可能です。
Web層はDMZパブリック・ゾーンにあります。HTTPサーバーはWeb層にデプロイされます。
大半のアイデンティティ管理コンポーネントはWeb層なしで動作できますが、大半のエンタープライズ・デプロイメントではWeb層が望ましいです。Oracle Single Sign-OnやOracle Access Managerなどの製品を使用して全社レベルのシングル・サインオンをサポートするには、Web層が必要です。
Oracle Enterprise Manager Fusion Middleware ControlやOracle Directory Services ManagerなどのコンポーネントはWeb層なしで動作できますが、必要に応じてWeb層を使用するように構成できます。
Web層:
WEBHOST1
とWEBHOST2
には、Oracle HTTP Server、Webゲート(Oracle Access Managerコンポーネント)およびmod_wl_ohs
プラグイン・モジュールがインストールされています。mod_wl_ohs
プラグイン・モジュールにより、アプリケーション層で実行されているWebLogicサーバーにOracle HTTP Serverからリクエストをプロキシすることができます。
Oracle HTTP ServerのWebゲート(Oracle Access Managerコンポーネント)は、Oracle Accessプロトコル(OAP)を使用して、アイデンティティ管理DMZ内のIDMHOST1
とIDMHOST2
で実行されているOracle Access Managerと通信します。WebゲートとOracle Access Managerは、ユーザー認証などの操作の実行に使用されます。
Web層を保護するファイアウォール上では、HTTPポート(HTTPS用の443とHTTP用の80)のみが開放されています。
アーキテクチャに関する注意
WEBHOST1
とWEBHOST2
上のOracle HTTP Serverにはmod_wl_ohs
が構成されており、これらのサーバーは、IDMHOST1
とIDMHOST2
上にあるWebLogic ServerにデプロイされたOracle Enterprise Manager、Oracle Directory Integration PlatformおよびOracle Directory Services Manager J2EEアプリケーションのリクエストをプロキシします。
セキュリティ・プロビジョニング
URLのsso.mycompany.com
とadmin.mycompany.com
を使用して受信したリクエストをOracle HTTP Serverで処理します。admin.mycompany.com
の名前は、ファイアウォール内でのみ解決可能です。これによって、Oracle WebLogic ServerコンソールやOracle Enterprise Manager Fusion Middleware Controlコンソールなどの機密リソースをパブリック・ドメインからアクセスされないようになります。
図1-2は、Oracle Access Manager 10gとOracle Identity Manager 11gのトポロジのダイアグラムです。
ディレクトリ層はイントラネット・ゾーンにあります。ディレクトリ層は、すべてのLDAPサービスが配置されるデプロイメント層です。この層には、Oracle Internet DirectoryやOracle Virtual Directoryなどの製品が含まれています。ディレクトリ層は、エンタープライズLDAPサービスをサポートするディレクトリ管理者が管理します。
ディレクトリ層はデータ層と緊密に結び付いています。データ層へのアクセスは、次の理由により重要です。
Oracle Internet Directoryは、そのバックエンドとしてOracle Databaseに依存しています。
Oracle Virtual Directoryでは、他のLDAPサービスまたはデータベース(あるいはその両方)において仮想化がサポートされています。
場合によっては、ディレクトリ層とデータ層は同じ管理者グループで管理することもあります。ただし、多くの企業ではデータベース管理者がデータ層を所有し、ディレクトリ管理者がディレクトリ層を所有しています。
ディレクトリ層より上にあるアプリケーションは一般的にファイアウォールにより保護されていますが、指定LDAPホスト・ポートによりLDAPサービスにアクセスします。標準的なLDAPポートは、非SSLポートでは389になり、SSLポートでは636になります。イントラネットの電子メール・クライアントなどのクライアントによりホワイト・ページが検索される際に、LDAPサービスが使用されることがあります。
アプリケーション層は、J2EEアプリケーションがデプロイされる層です。Oracle Directory Integration Platform、Oracle Identity Federation、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlなどの製品は、この層にデプロイできる主要J2EEコンポーネントです。この層にあるアプリケーションは、Oracle WebLogic Serverの高可用性サポートにおけるメリットを享受します。
アプリケーション層にあるアイデンティティ管理アプリケーションは、次に示すようにディレクトリ層と対話的に処理を行います。
場合によっては、企業アイデンティティ情報ではディレクトリ層が活用されます。
場合によっては、アプリケーション・メタデータではディレクトリ層(およびデータ層のデータベースの場合もある)が活用されます。
Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerは、アプリケーション層だけでなくディレクトリ層にもあるコンポーネントに対して管理機能を提供する管理ツールです。
WebLogic Serverには、Webサーバーのサポートが組み込まれています。有効にされていると、HTTPリスナーはアプリケーション層にも配置されます。ただし、図1-1に示したエンタープライズ・デプロイメントでは、ApacheやOracle HTTP ServerなどのWebサーバーに依存する別のWeb層を顧客が保持しています。
アプリケーション層:
IDMHOST1
とIDMHOST2
には、管理コンソール、Oracle Enterprise Manager Fusion Middleware Control、Oracle Directory Integration Platform、およびOracle Directory Services ManagerとともにWebLogicサーバーがインストールされています。IDMHOST1
とIDMHOST2
は、WebLogicサーバーの管理サーバーと管理対象サーバーの両方を実行しています。管理サーバーはアクティブ/パッシブで構成されています。つまり、2つのノードにインストールされていますが、一度にアクティブになるのは1つのインスタンスのみです。アクティブなインスタンスが停止すると、パッシブなインスタンスが起動し、アクティブなインスタンスになります。
アプリケーション層を保護するファイアウォール上では、HTTPポート、OIPポートおよびOAPポートが開放されています。OIP(Oracle Identityプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebパス・モジュールが、Oracle Access Managerと通信してユーザー・グループの問合せなどの操作を実行するときに使用されます。OAP(Oracle Accessプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebゲート・モジュールが、Oracle Access Managerと通信してユーザー認証などの操作を実行するときに使用されます。
OAMHOST1
とOAMHOST2
には、Oracle Access Manager(アイデンティティ・サーバーおよびアクセス・サーバー・コンポーネントを含む)がインストールされています。Oracle Access Managerは、Oracle Fusion Middlewareのシングル・サインオン・コンポーネントです。Oracle Access Managerは、ディレクトリ層のOracle Internet Directoryと通信してユーザー情報を検証します。
OIMHOST1
とOIMHOST2
には、Oracle Identity ManagerとOracle SOAがインストールされています。Oracle Identity Managerはプロビジョニングに使用されます。Oracle SOAはワークフロー機能を提供するために使用されます。
OAMADMINHOST
は、Oracle Access Manager管理用の分離されたサブネット上にあり、このホストには、Oracle HTTP Server、Webゲート、Webパスおよびポリシー・マネージャがインストールされています。
アーキテクチャに関する注意
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Platform Security Service(OPSS)エージェントを使用してOracle Access Managerに統合されています。
管理サーバー、Oracle Enterprise ManagerおよびOracle Access Managerコンソールは、常に管理サーバーのリスニング・アドレスにバインドされます。
IDMHOST1
上のWLS_ODS1
管理対象サーバーとIDMHOST2
上のWLS_ODS2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとOracle Directory Integration Platformのアプリケーションはクラスタをターゲットとしています。
Oracle Directory Services ManagerとOracle Directory Integration Platformは、WLS_ODS1
とWLS_ODS2
の管理対象サーバーのリスニング・アドレスにバインドされます。デフォルトでは、これらの管理対象サーバーのリスニング・アドレスは、それぞれIDMHOST1
とIDMHOST2
に設定されます。
OIMHOST1
上のWLS_OIM1
管理対象サーバーとOIMHOST2
上のWLS_OIM2
管理対象サーバーはクラスタに配置され、Oracle Identity Managerのアプリケーションはクラスタをターゲットとしています。
OIMHOST1
上のWLS_SOA1
管理対象サーバーとOIMHOST2
上のWLS_SOA2
管理対象サーバーはクラスタに配置され、Oracle SOAのアプリケーションはクラスタをターゲットとしています。
高可用性プロビジョニング
アイデンティティ・サーバーとアクセス・サーバーのデプロイメントは、アクティブ/アクティブ構成です。アクセス・サーバーは実行時にアイデンティティ・サーバーと通信できます。
アイデンティティ管理サーバーとSOAサーバーのデプロイメントは、アクティブ/アクティブ構成です。これらのサーバーは実行時にデータ層と通信します。
Oracle Identity Managerサーバーのデプロイメントは、アクティブ/アクティブ構成です。Oracle Identity Managerのアプリケーションはいつでもデータ層と通信できます。
WebLogic管理サーバーとOracle Enterprise Managerのデプロイメントは、アクティブ/パッシブです(他のコンポーネントはアクティブ/アクティブ)。
WebLogic管理サーバーは、アクティブ/パッシブ構成でデプロイされるシングルトン・コンポーネントです。IDMHOST1
に障害が発生したときや、IDMHOST1
上の管理サーバーが起動しなかったときに、IDMHOST2
上の管理サーバーを起動できます。IDMHOST1
とIDMHOST2
上にあるすべての管理対象サーバーとコンポーネントでは、管理サーバーの仮想IPアドレスを構成する必要があります。
セキュリティ・プロビジョニング
Oracle WebLogic Serverコンソール、Oracle Enterprise Manager Fusion Middleware Controlコンソール、およびOracle Access Managerコンソールは、ファイアウォール内でのみ使用可能なadmin.mycompany.com
を介してのみアクセス可能です。
パブリックDMZからアイデンティティ・サーバーとアクセス・サーバーへのWebパス通信は許可されません。
ポリシー・マネージャ(WebゲートとWebパスの両方で保護されたOracle HTTP Serverモジュール)は、分離された管理サブネットにデプロイされており、Oracle Internet Directoryと直接通信します。
Web層はDMZパブリック・ゾーンにあります。HTTPサーバーはWeb層にデプロイされます。
大半のアイデンティティ管理コンポーネントはWeb層なしで動作できますが、大半のエンタープライズ・デプロイメントではWeb層が望ましいです。Oracle Single Sign-OnやOracle Access Managerなどの製品を使用して全社レベルのシングル・サインオンをサポートするには、Web層が必要です。
Oracle Enterprise Manager Fusion Middleware ControlやOracle Directory Services ManagerなどのコンポーネントはWeb層なしで動作できますが、必要に応じてWeb層を使用するように構成できます。
Web層:
WEBHOST1
とWEBHOST2
には、Oracle HTTP Server、Webゲート(Oracle Access Managerコンポーネント)およびmod_wl_ohs
プラグイン・モジュールがインストールされています。mod_wl_ohs
プラグイン・モジュールにより、アプリケーション層で実行されているWebLogicサーバーにOracle HTTP Serverからリクエストをプロキシすることができます。
Oracle HTTP ServerのWebゲート(Oracle Access Managerコンポーネント)は、Oracle Accessプロトコル(OAP)を使用して、アイデンティティ管理DMZ内のIDMHOST1
とIDMHOST2
で実行されているOracle Access Managerと通信します。WebゲートとOracle Access Managerは、ユーザー認証などの操作の実行に使用されます。
Web層を保護するファイアウォール上では、HTTPポート(HTTPS用の443とHTTP用の80)のみが開放されています。
アーキテクチャに関する注意
WEBHOST1
とWEBHOST2
上のOracle HTTP Serverにはmod_wl_ohs
が構成されており、これらのサーバーは、IDMHOST1
とIDMHOST2
上にあるWebLogic ServerにデプロイされたOracle Enterprise Manager、Oracle Directory Integration PlatformおよびOracle Directory Services Manager J2EEアプリケーションのリクエストをプロキシします。
セキュリティ・プロビジョニング
URLのsso.mycompany.com
とadmin.mycompany.com
を使用して受信したリクエストをOracle HTTP Serverで処理します。admin.mycompany.com
の名前は、ファイアウォール内でのみ解決可能です。これによって、Oracle WebLogic ServerコンソールやOracle Enterprise Manager Fusion Middleware Controlコンソールなどの機密リソースをパブリック・ドメインからアクセスされないようになります。
Webパスは、ポリシー・マネージャとともにOAMADMINHOST
にインストールされています。ポリシー・マネージャとWebパスは、OAMHOST1
およびOAMHOST2
上のアクセス・サーバーおよびアイデンティティ・サーバーを構成するために使用されます。
OAMADMINHOST
には、ポリシー・マネージャを保護するためにWebゲートがインストールされています。また、WEBHOST1
とWEBHOST2
では、インバウンド・アクセスを保護するためにWebゲートが構成されています。
IDMHOST1
とIDMHOST2
には、Oracle Access Manager Identity Assertion Provider for WebLogic Server 11gR1がインストールされています。
図1-1は、Oracle Access Manager 11gとOracle Identity Manager 11gのトポロジのダイアグラムです。
ディレクトリ層はイントラネット・ゾーンにあります。ディレクトリ層は、すべてのLDAPサービスが配置されるデプロイメント層です。この層には、Oracle Internet DirectoryやOracle Virtual Directoryなどの製品が含まれています。ディレクトリ層は、エンタープライズLDAPサービスをサポートするディレクトリ管理者が管理します。
ディレクトリ層はデータ層と緊密に結び付いています。そのため、データ層へのアクセスは重要です。
Oracle Internet Directoryは、そのバックエンドとしてRDBMSに依存しています。
Oracle Virtual Directoryでは、他のLDAPサービスまたはデータベース(あるいはその両方)において仮想化がサポートされています。
場合によっては、ディレクトリ層とデータ層は同じ管理者グループで管理することもあります。ただし、多くの企業ではデータベース管理者がデータ層を所有し、ディレクトリ管理者がディレクトリ層を所有しています。
ディレクトリ層より上にあるアプリケーションは一般的にファイアウォールにより保護されていますが、指定LDAPホスト・ポートによりLDAPサービスにアクセスします。標準的なLDAPポートは、非SSLポートでは389になり、SSLポートでは636になります。イントラネットの電子メール・クライアントなどのクライアントによりホワイト・ページが検索される際に、LDAPサービスが使用されることがあります。
アプリケーション層は、J2EEアプリケーションがデプロイされる層です。Oracle Directory Integration Platform、Oracle Identity Federation、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlなどの製品は、この層にデプロイできる主要J2EEコンポーネントです。この層にあるアプリケーションは、Oracle WebLogic Serverの高可用性サポートにおけるメリットを享受します。
アプリケーション層にあるアイデンティティ管理アプリケーションは、次に示すようにディレクトリ層と対話的に処理を行います。
場合によっては、企業アイデンティティ情報ではディレクトリ層が活用されます。
場合によっては、アプリケーション・メタデータではディレクトリ層(およびデータ層のデータベースの場合もある)が活用されます。
Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerは、アプリケーション層だけでなくディレクトリ層にもあるコンポーネントに対して管理機能を提供する管理ツールです。
WebLogic Serverには、Webサーバーのサポートが組み込まれています。有効にされていると、HTTPリスナーはアプリケーション層にも配置されます。ただし、図1-1に示したエンタープライズ・デプロイメントでは、ApacheやOracle HTTP ServerなどのWebサーバーに依存する別のWeb層を顧客が保持しています。
アプリケーション層:
IDMHOST1
とIDMHOST2
には、管理コンソール、Oracle Enterprise Manager Fusion Middleware Control、Oracle Directory Integration Platform、Oracle Directory Services ManagerおよびOracle Access ServerとともにWebLogicサーバーがインストールされています。IDMHOST1
とIDMHOST2
は、WebLogicサーバーの管理サーバーと管理対象サーバーの両方を実行しています。管理サーバーはアクティブ/パッシブで構成されています。つまり、2つのノードにインストールされていますが、一度にアクティブになるのは1つのインスタンスのみです。アクティブなインスタンスが停止すると、パッシブなインスタンスが起動し、アクティブなインスタンスになります。
Oracle Access Serverは、ディレクトリ層のOracle Internet Directoryと通信してユーザー情報を検証します。
アプリケーション層を保護するファイアウォール上では、HTTPポート、OIPポートおよびOAPポートが開放されています。OIP(Oracle Identityプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebパス・モジュールが、Oracle Access Managerと通信してユーザー・グループの問合せなどの操作を実行するときに使用されます。OAP(Oracle Accessプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebゲート・モジュールが、Oracle Access Managerと通信してユーザー認証などの操作を実行するときに使用されます。
OIMHOST1
とOIMHOST2
には、Oracle Identity ManagerとOracle SOAがインストールされています。Oracle Identity Managerはユーザー・プロビジョニング・アプリケーションです。このトポロジに配置されるOracle SOAは、Oracle Identity Managerのワークフロー機能を提供するためにのみ使用されます。
アーキテクチャに関する注意
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Platform Security Service(OPSS)エージェントを使用してOracle Access Managerに統合されています。
管理サーバー、Oracle Enterprise Manager Fusion Middleware Control、およびOracle Access Managerコンソールは、常に管理サーバーのリスニング・アドレスにバインドされます。
IDMHOST1
上のWLS_ODS1
管理対象サーバーとIDMHOST2
上のWLS_ODS2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとOracle Directory Integration Platformのアプリケーションはクラスタをターゲットとしています。
IDMHOST1
上のWLS_OAM1
管理対象サーバーとIDMHOST2
上のWLS_OAM2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとAccess Managerのアプリケーションはクラスタをターゲットとしています。
Oracle Directory Services ManagerとOracle Directory Integration Platformは、WLS_ODS1
とWLS_ODS2
の管理対象サーバーのリスニング・アドレスにバインドされます。デフォルトでは、これらの管理対象サーバーのリスニング・アドレスは、それぞれIDMHOST1
とIDMHOST2
に設定されます。
OIMHOST1
上のWLS_OIM1
管理対象サーバーとOIMHOST2
上のWLS_OIM2
管理対象サーバーはクラスタに配置され、Oracle Identity Managerのアプリケーションはクラスタをターゲットとしています。
OIMHOST1
上のWLS_SOA1
管理対象サーバーとOIMHOST2
上のWLS_SOA2
管理対象サーバーはクラスタに配置され、Oracle
SOAのアプリケーションはクラスタをターゲットとしています。
高可用性プロビジョニング
アイデンティティ・サーバーとアクセス・サーバーのデプロイメントは、アクティブ/アクティブ構成です。アクセス・サーバーは実行時にアイデンティティ・サーバーと通信できます。
アイデンティティ管理サーバーとSOAサーバーのデプロイメントは、アクティブ/アクティブ構成です。これらのサーバーは実行時にデータ層と通信します。
WebLogic管理サーバーとOracle Enterprise Managerのデプロイメントは、アクティブ/パッシブです(他のコンポーネントはアクティブ/アクティブ)。
WebLogic管理サーバーは、アクティブ/パッシブ構成でデプロイされるシングルトン・コンポーネントです。IDMHOST1
に障害が発生したときや、IDMHOST1
上の管理サーバーが起動しなかったときに、IDMHOST2
上の管理サーバーを起動できます。IDMHOST1
とIDMHOST2
上にあるすべての管理対象サーバーとコンポーネントでは、管理サーバーの仮想IPアドレスを構成する必要があります。
セキュリティ・プロビジョニング
Oracle WebLogic Serverコンソール、Oracle Enterprise Manager Fusion Middleware Control、およびOracle Access Managerコンソールは、ファイアウォール内でのみ使用可能なadmin.mycompany.com
を介してのみアクセス可能です。
Web層はDMZパブリック・ゾーンにあります。HTTPサーバーはWeb層にデプロイされます。
大半のアイデンティティ管理コンポーネントはWeb層なしで動作できますが、大半のエンタープライズ・デプロイメントではWeb層が望ましいです。Oracle Single Sign-OnやOracle Access Managerなどの製品を使用して全社レベルのシングル・サインオンをサポートするには、Web層が必要です。
Oracle Enterprise Manager Fusion Middleware ControlやOracle Directory Services ManagerなどのコンポーネントはWeb層なしで動作できますが、必要に応じてWeb層を使用するように構成できます。
Web層:
WEBHOST1
とWEBHOST2
には、Oracle HTTP Server、Webゲート(Oracle Access Managerコンポーネント)およびmod_wl_ohs
プラグイン・モジュールがインストールされています。mod_wl_ohs
プラグイン・モジュールにより、アプリケーション層で実行されているWebLogicサーバーにOracle HTTP Serverからリクエストをプロキシすることができます。
Oracle HTTP ServerのWebゲート(Oracle Access Managerコンポーネント)は、Oracle Accessプロトコル(OAP)を使用して、アイデンティティ管理DMZ内のIDMHOST1
とIDMHOST2
で実行されているOracle Access Managerと通信します。WebゲートとOracle Access Managerは、ユーザー認証などの操作の実行に使用されます。
Web層を保護するファイアウォール上では、HTTPポート(HTTPS用の443とHTTP用の80)のみが開放されています。
アーキテクチャに関する注意
WEBHOST1
とWEBHOST2
上のOracle HTTP Serverにはmod_wl_ohs
が構成されており、これらのサーバーは、IDMHOST1
とIDMHOST2
上にあるWebLogic ServerにデプロイされたOracle Enterprise Manager、Oracle Directory Integration PlatformおよびOracle Directory Services Manager J2EEアプリケーションのリクエストをプロキシします。
セキュリティ・プロビジョニング
URLのsso.mycompany.com
とadmin.mycompany.com
を使用して受信したリクエストをOracle HTTP Serverで処理します。admin.mycompany.com
の名前は、ファイアウォール内でのみ解決可能です。これによって、Oracle WebLogic ServerコンソールやOracle Enterprise Manager Fusion Middleware Controlなどの機密リソースがパブリック・ドメインからアクセスされないようになります。
図1-4は、Oracle Adaptive Access Manager 11gトポロジのダイアグラムです。
ディレクトリ層はイントラネット・ゾーンにあります。ディレクトリ層は、すべてのLDAPサービスが配置されるデプロイメント層です。この層には、Oracle Internet DirectoryやOracle Virtual Directoryなどの製品が含まれています。ディレクトリ層は、エンタープライズLDAPサービスをサポートするディレクトリ管理者が管理します。
ディレクトリ層はデータ層と緊密に結び付いています。そのため、データ層へのアクセスは重要です。
Oracle Internet Directoryは、そのバックエンドとしてRDBMSに依存しています。
Oracle Virtual Directoryでは、他のLDAPサービスまたはデータベース(あるいはその両方)において仮想化がサポートされています。
場合によっては、ディレクトリ層とデータ層は同じ管理者グループで管理することもあります。ただし、多くの企業ではデータベース管理者がデータ層を所有し、ディレクトリ管理者がディレクトリ層を所有しています。
ディレクトリ層より上にあるアプリケーションは一般的にファイアウォールにより保護されていますが、指定LDAPホスト・ポートによりLDAPサービスにアクセスします。標準的なLDAPポートは、非SSLポートでは389になり、SSLポートでは636になります。イントラネットの電子メール・クライアントなどのクライアントによりホワイト・ページが検索される際に、LDAPサービスが使用されることがあります。
アプリケーション層は、J2EEアプリケーションがデプロイされる層です。Oracle Directory Integration Platform、Oracle Identity Federation、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlなどの製品は、この層にデプロイできる主要J2EEコンポーネントです。この層にあるアプリケーションは、Oracle WebLogic Serverの高可用性サポートにおけるメリットを享受します。
アプリケーション層にあるアイデンティティ管理アプリケーションは、ディレクトリ層と対話的に処理を行います。
場合によっては、企業アイデンティティ情報ではディレクトリ層が活用されます。
場合によっては、アプリケーション・メタデータではディレクトリ層(およびデータ層のデータベースの場合もある)が活用されます。
Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerは、アプリケーション層だけでなくディレクトリ層にもあるコンポーネントに対して管理機能を提供する管理ツールです。
WebLogic Serverには、Webサーバーのサポートが組み込まれています。有効にされていると、HTTPリスナーはアプリケーション層にも配置されます。ただし、図1-1に示したエンタープライズ・デプロイメントでは、ApacheやOracle HTTP ServerなどのWebサーバーに依存する別のWeb層を顧客が保持しています。
アプリケーション層:
IDMHOST1
とIDMHOST2
には、管理コンソール、Oracle Enterprise Manager Fusion Middleware Control、Oracle Directory Integration Platform、Oracle Directory Services ManagerおよびOracle Access ServerとともにWebLogicサーバーがインストールされています。IDMHOST1
とIDMHOST2
は、WebLogicサーバーの管理サーバーと管理対象サーバーの両方を実行しています。管理サーバーはアクティブ/パッシブで構成されています。つまり、2つのノードにインストールされていますが、一度にアクティブになるのは1つのインスタンスのみです。アクティブなインスタンスが停止すると、パッシブなインスタンスが起動し、アクティブなインスタンスになります。
Oracle Access Serverは、ディレクトリ層のOracle Internet Directoryと通信してユーザー情報を検証します。
アプリケーション層を保護するファイアウォール上では、HTTPポート、OIPポートおよびOAPポートが開放されています。OIP(Oracle Identityプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebパス・モジュールが、Oracle Access Managerと通信してユーザー・グループの問合せなどの操作を実行するときに使用されます。OAP(Oracle Accessプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebゲート・モジュールが、Oracle Access Managerと通信してユーザー認証などの操作を実行するときに使用されます。
OAAMHOST1
とOAAMHOST2
には、WebLogic Server(Oracle Adaptive Access Manager ServerおよびConsoleを含む)がインストールされています。
アーキテクチャに関する注意
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Platform Security Service(OPSS)エージェントを使用してOracle Access Managerに統合されています。
管理サーバー、Oracle Enterprise ManagerおよびOracle Access Managerコンソールは、常に管理サーバーのリスニング・アドレスにバインドされます。
IDMHOST1
上のWLS_ODS1
管理対象サーバーとIDMHOST2
上のWLS_ODS2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとOracle Directory Integration Platformのアプリケーションはクラスタをターゲットとしています。
IDMHOST1
上のWLS_OAM1
管理対象サーバーとIDMHOST2上のWLS_OAM2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとAccess Managerのアプリケーションはクラスタをターゲットとしています。
OAAMHOST1
上のWLS_OAAM1
管理対象サーバーとOAAMHOST2
上のWLS_OAAM2
管理対象サーバーはクラスタに配置され、Oracle Adaptive Accessサーバーのアプリケーションはクラスタをターゲットとしています。
OAAMHOST1
上のWLS_OAAM_ADMIN1
管理対象サーバーとOAAMHOST2
上のWLS_OAAM_ADMIN2
管理対象サーバーはクラスタに配置され、Oracle Adaptive Access管理コンソールのアプリケーションはクラスタをターゲットとしています。
Oracle Directory Services ManagerとOracle Directory Integration Platformは、WLS_ODS1
とWLS_ODS2
の管理対象サーバーのリスニング・アドレスにバインドされます。デフォルトでは、これらの管理対象サーバーのリスニング・アドレスは、それぞれIDMHOST1
とIDMHOST2
に設定されます。
高可用性プロビジョニング
アイデンティティ・サーバーとアクセス・サーバーのデプロイメントは、アクティブ/アクティブ構成です。アクセス・サーバーは実行時にアイデンティティ・サーバーと通信できます。
Oracle Adaptive Accessサーバーのデプロイメントは、アクティブ/アクティブ構成です。これらのサーバーは実行時にアイデンティティ・サーバーと通信でき、データ層と通信します。
WebLogic管理サーバーとOracle Enterprise Managerのデプロイメントは、アクティブ/パッシブです(他のコンポーネントはアクティブ/アクティブ)。
WebLogic管理サーバーは、アクティブ/パッシブ構成でデプロイされるシングルトン・コンポーネントです。IDMHOST1
に障害が発生したときや、IDMHOST1
上の管理サーバーが起動しなかったときに、IDMHOST2
上の管理サーバーを起動できます。IDMHOST1
とIDMHOST2
上にあるすべての管理対象サーバーとコンポーネントでは、管理サーバーの仮想IPを構成する必要があります。
セキュリティ・プロビジョニング
Oracle WebLogicコンソール、Oracle Fusion Middlewareコンソール、Oracle Access Managerコンソール、およびOracle Adaptive Access Managerコンソールは、ファイアウォール内でのみ使用可能なadmin.mycompany.comを介してのみアクセス可能です。
Web層はDMZパブリック・ゾーンにあります。HTTPサーバーはWeb層にデプロイされます。
大半のアイデンティティ管理コンポーネントはWeb層なしで動作できますが、大半のエンタープライズ・デプロイメントではWeb層が望ましいです。Oracle Single Sign-OnやOracle Access Managerなどの製品を使用して全社レベルのシングル・サインオンをサポートするには、Web層が必要です。
Oracle Enterprise Manager Fusion Middleware ControlやOracle Directory Services ManagerなどのコンポーネントはWeb層なしで動作できますが、必要に応じてWeb層を使用するように構成できます。
Web層:
WEBHOST1
とWEBHOST2
には、Oracle HTTP Server、Webゲート(Oracle Access Managerコンポーネント)およびmod_wl_ohs
プラグイン・モジュールがインストールされています。mod_wl_ohs
プラグイン・モジュールにより、アプリケーション層で実行されているWebLogicサーバーにOracle HTTP Serverからリクエストをプロキシすることができます。
Oracle HTTP ServerのWebゲート(Oracle Access Managerコンポーネント)は、Oracle Accessプロトコル(OAP)を使用して、アイデンティティ管理DMZ内のIDMHOST1
とIDMHOST2
で実行されているOracle Access Managerと通信します。WebゲートとOracle Access Managerは、ユーザー認証などの操作の実行に使用されます。
Web層を保護するファイアウォール上では、HTTPポート(HTTPS用の443とHTTP用の80)のみが開放されています。
アーキテクチャに関する注意
WEBHOST1
とWEBHOST2
上のOracle HTTP Serverにはmod_wl_ohsが構成されており、これらのサーバーは、IDMHOST1
とIDMHOST2
上にあるWebLogic ServerにデプロイされたOracle Enterprise Manager、Oracle Directory Integration PlatformおよびOracle Directory Services Manager J2EEアプリケーションのリクエストをプロキシします。
セキュリティ・プロビジョニング
URLのsso.mycompany.comとadmin.mycompany.comを使用して受信したリクエストをOracle HTTP Serverで処理します。admin.mycompany.comは、ファイアウォール内でのみ解決可能な名前です。これによって、WebLogicコンソールやOracle Fusion Middlewareコンソールなどの機密リソースをパブリック・ドメインからアクセスされないようになります。
図1-5はOracle Identity Federation 11トポロジのダイアグラムです。
ディレクトリ層はイントラネット・ゾーンにあります。ディレクトリ層は、すべてのLDAPサービスが配置されるデプロイメント層です。この層には、Oracle Internet DirectoryやOracle Virtual Directoryなどの製品が含まれています。ディレクトリ層は、エンタープライズLDAPサービスをサポートするディレクトリ管理者が管理します。
ディレクトリ層はデータ層と緊密に結び付いています。そのため、データ層へのアクセスは重要です。
Oracle Internet Directoryは、そのバックエンドとしてRDBMSに依存しています。
Oracle Virtual Directoryでは、他のLDAPサービスまたはデータベース(あるいはその両方)において仮想化がサポートされています。
場合によっては、ディレクトリ層とデータ層は同じ管理者グループで管理することもあります。ただし、多くの企業ではデータベース管理者がデータ層を所有し、ディレクトリ管理者がディレクトリ層を所有しています。
ディレクトリ層より上にあるアプリケーションは一般的にファイアウォールにより保護されていますが、指定LDAPホスト・ポートによりLDAPサービスにアクセスします。標準的なLDAPポートは、非SSLポートでは389になり、SSLポートでは636になります。イントラネットの電子メール・クライアントなどのクライアントによりホワイト・ページが検索される際に、LDAPサービスが使用されることがあります。
アプリケーション層は、J2EEアプリケーションがデプロイされる層です。Oracle Directory Integration Platform、Oracle Identity Federation、Oracle Directory Services ManagerおよびOracle Enterprise Manager Fusion Middleware Controlなどの製品は、この層にデプロイできる主要J2EEコンポーネントです。この層にあるアプリケーションは、Oracle WebLogic Serverの高可用性サポートにおけるメリットを享受します。
アプリケーション層にあるアイデンティティ管理アプリケーションは、ディレクトリ層と対話的に処理を行います。
場合によっては、企業アイデンティティ情報ではディレクトリ層が活用されます。
場合によっては、アプリケーション・メタデータではディレクトリ層(およびデータ層のデータベースの場合もある)が活用されます。
Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerは、アプリケーション層だけでなくディレクトリ層にもあるコンポーネントに対して管理機能を提供する管理ツールです。
WebLogic Serverには、Webサーバーのサポートが組み込まれています。有効にされていると、HTTPリスナーはアプリケーション層にも配置されます。ただし、図1-1に示したエンタープライズ・デプロイメントでは、ApacheやOracle HTTP ServerなどのWebサーバーに依存する別のWeb層を顧客が保持しています。
アプリケーション層:
IDMHOST1
とIDMHOST2
には、管理コンソール、Oracle Enterprise Manager Fusion Middleware Control、Oracle Directory Integration Platform、Oracle Directory Services ManagerおよびOracle Access ServerとともにWebLogicサーバーがインストールされています。IDMHOST1
とIDMHOST2
は、WebLogicサーバーの管理サーバーと管理対象サーバーの両方を実行しています。管理サーバーはアクティブ/パッシブで構成されています。つまり、2つのノードにインストールされていますが、一度にアクティブになるのは1つのインスタンスのみです。アクティブなインスタンスが停止すると、パッシブなインスタンスが起動し、アクティブなインスタンスになります。
Oracle Access Serverは、ディレクトリ層のOracle Internet Directoryと通信してユーザー情報を検証します。
OIFHOST1
とOIFHOST2
には、WebLogic Server(Oracle Identity Federationを含む)がインストールされています。
アプリケーション層を保護するファイアウォール上では、HTTPポート、OIPポートおよびOAPポートが開放されています。OIP(Oracle Identityプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebパス・モジュールが、Oracle Access Managerと通信してユーザー・グループの問合せなどの操作を実行するときに使用されます。OAP(Oracle Accessプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebゲート・モジュールが、Oracle Access Managerと通信してユーザー認証などの操作を実行するときに使用されます。
アーキテクチャに関する注意
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Platform Security Service(OPSS)エージェントを使用してOracle Access Managerに統合されています。
管理サーバー、Oracle Enterprise ManagerおよびOracle Access Managerコンソールは、常に管理サーバーのリスニング・アドレスにバインドされます。
IDMHOST1
上のWLS_ODS1
管理対象サーバーとIDMHOST2
上のWLS_ODS2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとOracle Directory Integration Platformのアプリケーションはクラスタをターゲットとしています。
IDMHOST1
上のWLS_OAM1
管理対象サーバーとIDMHOST2
上のWLS_OAM2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとAccess Managerのアプリケーションはクラスタをターゲットとしています。
OIFHOST1
上のWLS_OIF1
管理対象サーバーとOIFHOST2
上のWLS_OIF2
管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとAccess Managerのアプリケーションはクラスタをターゲットとしています。
Oracle Directory Services ManagerとOracle Directory Integration Platformは、WLS_ODS1
とWLS_ODS2
の管理対象サーバーのリスニング・アドレスにバインドされます。デフォルトでは、これらの管理対象サーバーのリスニング・アドレスは、それぞれIDMHOST1
とIDMHOST2
に設定されます。
高可用性プロビジョニング
アイデンティティ・サーバーとアクセス・サーバーのデプロイメントは、アクティブ/アクティブ構成です。アクセス・サーバーは実行時にアイデンティティ・サーバーと通信できます。
Identity Federationサーバーのデプロイメントは、アクティブ/アクティブ構成です。アクセス・サーバーは実行時にアイデンティティ・サーバーおよびデータ層と通信できます。
WebLogic管理サーバーとOracle Enterprise Managerのデプロイメントは、アクティブ/パッシブです(他のコンポーネントはアクティブ/アクティブ)。
WebLogic管理サーバーは、アクティブ/パッシブ構成でデプロイされるシングルトン・コンポーネントです。IDMHOST1
に障害が発生したときや、IDMHOST1
上の管理サーバーが起動しなかったときに、IDMHOST2上の管理サーバーを起動できます。IDMHOST1
とIDMHOST2
上にあるすべての管理対象サーバーとコンポーネントでは、管理サーバーの仮想IPを構成する必要があります。
セキュリティ・プロビジョニング
Oracle WebLogicコンソール、Oracle Fusion Middlewareコンソール、およびOracle Access Managerコンソールは、ファイアウォール内でのみ使用可能なadmin.mycompany.comを介してのみアクセス可能です。
Web層はDMZパブリック・ゾーンにあります。HTTPサーバーはWeb層にデプロイされます。
大半のアイデンティティ管理コンポーネントはWeb層なしで動作できますが、大半のエンタープライズ・デプロイメントではWeb層が望ましいです。Oracle Single Sign-OnやOracle Access Managerなどの製品を使用して全社レベルのシングル・サインオンをサポートするには、Web層が必要です。
Oracle Enterprise Manager Fusion Middleware ControlやOracle Directory Services ManagerなどのコンポーネントはWeb層なしで動作できますが、必要に応じてWeb層を使用するように構成できます。
Web層:
WEBHOST1
とWEBHOST2
には、Oracle HTTP Server、Webゲート(Oracle Access Managerコンポーネント)およびmod_wl_ohsプラグイン・モジュールがインストールされています。mod_wl_ohsプラグイン・モジュールにより、アプリケーション層で実行されているWebLogicサーバーにOracle HTTP Serverからリクエストをプロキシすることができます。
Oracle HTTP ServerのWebゲート(Oracle Access Managerコンポーネント)は、Oracle Accessプロトコル(OAP)を使用して、アイデンティティ管理DMZ内のIDMHOST1
とIDMHOST2
で実行されているOracle Access Managerと通信します。WebゲートとOracle Access Managerは、ユーザー認証などの操作の実行に使用されます。
Web層を保護するファイアウォール上では、HTTPポート(HTTPS用の443とHTTP用の80)のみが開放されています。
アーキテクチャに関する注意
WEBHOST1
とWEBHOST2
上のOracle HTTP Serverにはmod_wl_ohsが構成されており、これらのサーバーは、IDMHOST1
とIDMHOST2
上にあるWebLogic ServerにデプロイされたOracle Enterprise Manager、Oracle Directory Integration PlatformおよびOracle Directory Services Manager J2EEアプリケーションのリクエストをプロキシします。
セキュリティ・プロビジョニング
URLのsso.mycompany.comとadmin.mycompany.comを使用して受信したリクエストをOracle HTTP Serverで処理します。admin.mycompany.comは、ファイアウォール内でのみ解決可能な名前です。これによって、WebLogicコンソールやOracle Fusion Middlewareコンソールなどの機密リソースをパブリック・ドメインからアクセスされないようになります。
エンタープライズ・デプロイメント・トポロジがOracle Identity Management Suiteリリース11.1.1.2バイナリを使用して作成された場合、Oracle Identity Management Suiteソフトウェアをインストールする前に『Oracle Fusion Middlewareパッチ適用ガイド』の手順に従って、既存のOracleホームを11.1.1.3にアップグレードします。Oracle Identity Management Suiteのソフトウェアをインストールしたら、このマニュアルの手順に従って、ご使用の環境で必要なコンポーネントを使用してドメインを拡張します。
Oracle Authorization Policy Managerを使用してドメインを拡張する方法については、このマニュアルの第14.1項「Oracle Authorization Policy Managerでのドメインの拡張」を参照してください。
Oracle Identity Navigatorを使用してドメインを拡張する方法については、このマニュアルの第14.2項「Oracle Identity Navigatorでのドメインの拡張」を参照してください。
Oracle Access Manager 11gを使用してドメインを拡張する方法については、このマニュアルの第11章「Oracle Access Manager 11gでのドメインの拡張」を参照してください。
Oracle Adaptive Access Manager 11gを使用してドメインを拡張する方法については、このマニュアルの第12章「Oracle Adaptive Access Managerでのドメインの拡張」を参照してください。
Oracle Identity Manager 11gを使用してドメインを拡張する方法については、このマニュアルの第13章「Oracle Identity Managerでのドメインの拡張」を参照してください。
Oracle Identity Federation 11gを使用してドメインを拡張する方法については、このマニュアルの第15章「Oracle Identity Federationでのドメインの拡張」を参照してください。
エンタープライズ・デプロイメント・トポロジを最初から作成している場合、このマニュアルの次の項を示された順番で参照してください。