Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1) B61378-01 |
|
戻る |
次へ |
この章の内容は次のとおりです。
第18.3項「Oracle Access Manager 10gとOracle Identity Managerの統合」
第18.4項「Oracle Identity ManagerとOracle Access Manager 11gの統合」
第18.6項「Oracle Adaptive Access ManagerとOracle Identity Managerの統合」
第18.7項「Oracle Identity FederationとOracle Access Manager 11gの統合」
デフォルトでポリシー・ストア情報は埋込みLDAPディレクトリやファイル・システムなど様々な場所に保管されます。ポリシー・ストアは次の目的により外部LDAPディレクトリに置くことをお薦めします。
中央での一元管理
企業の中央バックアップ体制への組込み
JPSルートの作成によりポリシーおよび資格証明ストアの移行を開始し、次にポリシーおよび資格証明ストアをOracle Internet Directoryと再度連携させます。
この項の内容は次のとおりです。
OIDHOST
n
上で、次の手順が示すようにコマンドラインでldapadd
コマンドを使用してOracle Internet Directoryの中にjpsrootを作成します。
次のようなldif
ファイルを作成します。
dn: cn=jpsPolicy_edg cn: jpsPolicy_edg objectclass: top objectclass: orclcontainer
ORACLE_HOME
/bin/ldapadd
を使用してこれらのエントリをOracle Internet Directoryに追加します。次に例を示します。
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D cn="orcladmin" -w
welcome1 -c -v -f jps_root.ldif
ポリシーと資格証明ストアをOracle Internet Directoryに再連携させるには、WLST reassociateSecurityStore
コマンドを使用します。次の手順を実行します。
IDMHOST1
でORACLE_COMMON_HOME
/common/bin
ディレクトリからwlst
シェルを起動します。次に例を示します。
./wlst.sh
wlst connect
コマンドを使用して、WebLogic管理サーバーに接続します。
connect('AdminUser
',"AdminUserPassword
",t3://hostname
:port
')
次に例を示します。
connect("weblogic,"welcome1","t3://idmhost-vip.mycompany.com:7001")
次のようなreassociateSecurityStore
コマンドを実行します。
構文:
reassociateSecurityStore(domain="domainName
",admin="cn=orcladmin", password="orclPassword
",ldapurl="ldap://LDAPHOST
:LDAPPORT
",servertype="OID", jpsroot="cn=jpsRootContainer")
次に例を示します。
wls:/IDMDomain/serverConfig> reassociateSecurityStore(domain="IDMDomain", admin="cn=orcladmin",password="password", ldapurl="ldap://oid.mycompany.com:389",servertype="OID", jpsroot="cn=jpsPolicy_edg")
このコマンドの出力は次のようになります。
{servertype=OID, jpsroot=cn=jpsroot_idm, admin=cn=orcladmin, domain=IDMDomain, ldapurl=ldap://oid.mycompany.com:389, password=password} Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root. For more help, use help(domainRuntime) Starting Policy Store reassociation. LDAP server and ServiceConfigurator setup done. Schema is seeded into LDAP server Data is migrated to LDAP server Service in LDAP server after migration has been tested to be available Update of jps configuration is done Policy Store reassociation done. Starting credential Store reassociation LDAP server and ServiceConfigurator setup done. Schema is seeded into LDAP server Data is migrated to LDAP server Service in LDAP server after migration has been tested to be available Update of jps configuration is done Credential Store reassociation done Jps Configuration has been changed. Please restart the server.
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーを再起動します。
この項では、Webゲートのインストールと構成について説明します。このタスクはOIM11gとOAM10gの統合には必要ありません。
この項の内容は次のとおりです。
Oracle Web Gateをインストールする前に、次のタスクが完了していることを確認してください。
Oracle Web Gateでは、gcc
ライブラリの特別なバージョンをインストールする必要があります(Linuxのみ)。これらのライブラリ・ファイルはLinuxシステム上のどこかに存在する必要があります。Webゲート・インストーラは、インストール時にこれらのライブラリ・ファイルの場所を尋ねてきます。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のサードパーティGCCライブラリのインストール(LinuxおよびSolarisオペレーティング・システムのみ)に関する項の説明に従ってhttp://gcc.gnu.org
からライブラリをダウンロードします。
WebゲートをWeb層にインストールする前に、Webゲート・エージェントが定義されている必要があります。これを実現するには、IDMHOST1およびIDMHOST2の両方に用意されているリモート登録エージェントかOracle Access Managerコンソールのいずれかを使用します。次の手順に従ってWebゲート・エージェントを作成する必要があります。
リモート登録ユーティリティは次のように使用します。
エージェント構成ファイルの作成
oamreg.sh
スクリプトにより構成ファイルOAMRequest.xml
の内容からエージェント構成が作成されます。このファイルのテンプレートは、IAM_ORACLE_HOME
/oam/server/rreg/input
ディレクトリにあります。
このファイルのコピーをsso.xml
と名付けてIDMHOST1
上に作成します。
ファイルの中に次の属性の詳細を指定します。
serverAddress: WebLogic管理サーバーのURLです。
hostIdentifier: IDMDomain
agentBaseUrl: https://sso.mycompany.com:443
agentName: Webゲート・エージェントを識別するための名前です。たとえば、Webgate_mysso
のような名前を使用することをお薦めします。
autoCreatePolicy: False
primaryCookieDomain: サーバーが配置されているドメインです。たとえば、.mycompany.com
です。
logOutUrls: /oamsso/logout.html
security: open
サンプル・ファイルを次に示します。
<?xml version="1.0"?> <!-- Copyright (c) 2009, 2010, Oracle and/or its affiliates. All rights reserved. NAME: OAMRequest.xml - Template (with all options) for OAM Agent Registration Request file DESCRIPTION: Modify with specific values and pass file as input to the tool --><OAMRegRequest> <serverAddress>http://ADMINHOSTVHN.mycompany.com:7001</serverAddress> <hostIdentifier>Webgate_mysso</hostIdentifier> <agentName>Webgate_mysso</agentName> <autoCreatePolicy>false</autoCreatePolicy> <primaryCookieDomain>.mycompany.com</primaryCookieDomain> <agentBaseUrl>https://sso.mycompany.com:443</agentBaseUrl> <maxCacheElems>100000</maxCacheElems> <cacheTimeout>1800</cacheTimeout> <cookieSessionTime>3600</cookieSessionTime> <maxConnections>1</maxConnections> <maxSessionTime>24</maxSessionTime> <idleSessionTimeout>3600</idleSessionTimeout> <failoverThreshold>1</failoverThreshold> <aaaTimeoutThreshold>-1</aaaTimeoutThreshold> <sleepFor>60</sleepFor> <debug>false</debug> <security>open</security> <denyOnNotProtected>0</denyOnNotProtected> <cachePragmaHeader>no-cache</cachePragmaHeader> <cacheControlHeader>no-cache</cacheControlHeader> <ipValidation>0</ipValidation> <logOutUrls> <url>/oamsso/logout.html</url> </logOutUrls> <protectedResourcesList> <resource>/sso.html</resource> </protectedResourcesList> <publicResourcesList> <resource>/public/index.html</resource> </publicResourcesList> <userDefinedParameters> <userDefinedParam> <name>MaxPostDataLength</name> <value>750000</value> </userDefinedParam> …….. ……….. </userDefinedParameters> </OAMRegRequest>
Oracle Access Managerエージェントの作成
oamreg.sh script
の実行によりエージェント構成が作成されます。これを実現するには、RREG_HOME
ディレクトリ内から次のコマンドを発行します。
export JAVA_HOME=$MW_HOME/jrockit_160_14_R27.6.5-32 ./bin/oamreg.sh inband input/sso.xml
スクリプトが実行されると次の情報の入力を求められます。次のように値を指定してください。
Agent User Name: oamadmin Agent Password: oamadmin user's password Do you want to enter a Web Gate Password: y Enter password for webgate and confirm
注意: Webゲートのパスワードを指定することは必須ではありませんが、パスワードの指定を強くお薦めします。Oracle Identity ManagementをOracle Access Managerに接続する際、必須です。 |
これによりRREG_HOME
/output/
Agent_Name
ディレクトリ内にObAccessClient.xmlファイルが作成されます。
このファイルをWebゲートの各インストールにコピーします。それをWEBGATE_INSTALL_DIR
/access/oblix/lib
ディレクトリに配置します。
エージェントを作成したら、更新する必要があります。第18.2.2.3項「新規作成エージェントの更新」を参照してください。
http://admin.mycompany.com/oamconsole
でOracle Access Managerコンソールにアクセスします。
oamadmin
ユーザーとしてログインします。
「OAM 10g Webゲートの追加」をクリックします。
次の情報を入力します。
エージェント名: このエージェントの名前です。たとえば、Webgate_mysso
です。
アクセス・クライアント・パスワード: Webゲートが使用するパスワードを入力します。
注意: Webゲートのパスワードを指定することは必須ではありませんが、パスワードの指定を強くお薦めします。Oracle Identity ManagementをOracle Access Managerに接続する際、必須です。 |
エージェント・ベースURL: https://sso.mycompany.com:443
ホスト識別子: IDMDomain
「ポリシーの自動作成」が選択されていないことを確認します。
保護されたリソース: 必要に応じて保護されたリソースを入力します。
注意: 簡単にテストするために、単純なHTMLファイルsso.html をORACLE_INSTANCE /config/OHS/ohs1/htdocs の中に作成すると便利です。
|
「適用」をクリックします。
これによりDOMAIN_HOME
/output/
Agent Name
ディレクトリ内にObAccessClient.xml
ファイルが作成されます。
最初の構成を作成した後に、その構成を編集して、高度な構成エントリを追加します。
「ホスト識別子」の下の「IDMDomain」をダブルクリックします。
「操作」ボックスの中の「+」をクリックします。
次の情報を入力します。
ホスト名: admin.mycompany.com
ポート: 80
「適用」をクリックします。
「システム構成」タブを選択します。
ディレクトリ・ツリーから「エージェント - OAMエージェント - 10g Webゲート」を選択します。
新規に作成したエージェント(Webgate_mysso
)をクリックします。
「アクション」メニューで「オープン」を選択します。
「プライマリ・サーバー」リスト・ボックスにすべてのアクセス・サーバーがリストされていることを確認します。リストされていないサーバーがある場合は、「追加」アイコン(+)をクリックしてそのサーバーを追加します。
リストされていないアクセス・サーバーがある場合は、それを「プライマリ・サーバー」または「セカンダリ・サーバー」リストに追加します。
次の情報を更新します。
プライマリCookieドメイン: .mycompany.com
(先頭にドットを含めます)
ログアウトURL: /oamsso/logout.html
/console/jsp/common/logout.jsp
/em/targetauth/emaslogout.jsp
保護されていない場合に拒否: 選択しないでください。
「適用」をクリックします。
Oracle Webgateをインストールする前に、管理サーバーWLS_OAM1およびWLS_OAM2が起動されていることを確認します。
次の各項の説明に従ってOracle WebGateをインストールします。
次のコマンドを発行して、Webゲートを起動します。
Oracle_Access_Managerversion_linux_OHS11g_WebGate -gui
次の手順を実行します。
Oracle Access Manager WebゲートのInstallShieldウィザードへようこそ画面で、次を実行します。
「次へ」をクリックします。
顧客情報画面で、アイデンティティ・サーバーで使用するusername
とgroup
を入力します。これはOracle HTTP Serverをインストールしたユーザーおよびグループと同じにします。username
とgroup
のデフォルト値はnobody
です。たとえば、「oracle
/oinstall
」と入力します。
「次へ」をクリックします。
Oracle Access Managerアクセス・サーバーのインストール・ディレクトリを指定します。たとえば、「MW_HOME
/oam/webgate
」と入力します。
「次へ」をクリックします。
注意: Oracle Access Manager Webゲートは、/u01/app/oracle/product/fmw/oam/webgate の下のaccess サブディレクトリにインストールされます。 |
Oracle Access Manager Webゲートは、/u01/app/oracle/product/fmw/oam/webgate/
にインストールされます。
accessディレクトリはインストーラによって自動的に作成されます。
GCCランタイム・ライブラリの場所(たとえば、/u01/app/oracle/oam_lib
)を指定します。
「次へ」をクリックします。
「インストールの進行状況」画面が表示されます。インストールのプロセスが完了すると、「Webゲート構成。」画面が表示されます。
「Webゲート構成。」画面で、トランスポート・セキュリティ・モードを指定するように求められます。
アクセス・システムのコンポーネント(ポリシー・マネージャ、アクセス・サーバーおよび関連Webゲート)すべてにおけるトランスポート・セキュリティは一致する必要があります。「オープン・モード」、簡易モードまたは証明書モードを選択します。
「オープン・モード」を選択します。
「次へ」をクリックします。
次の「Webゲート構成。」画面で、次のWebゲート詳細を指定します。
WebゲートID: 第18.2.2.2項「Oracle Access Manager管理コンソールの使用方法」で使用されるエージェント名です。たとえば、Webgate_mysso
です。
Webゲート用パスワード: エージェントを作成するときにパスワードを入力した場合は、それを入力します。それ以外は空白のままにします。
アクセス・サーバーID: WLS_OAM1
ホスト名: 1台のアクセス・サーバーのホスト名を入力します。たとえば、IDMHOST1です。
アクセス・サーバーがリスニングするポート番号: ProxyPort
注意: アクセス・サーバーが使用しているポートを見つけるには、http://admin.mycompany.com/oamconsole のURLを使用してoamconsoleにログインします。次の手順を実行します。
|
「Webサーバーの構成」画面で、「はい」をクリックすると、Webサーバーが自動的に更新されます。その後、「次へ」をクリックします。
10. 次の「Webサーバーの構成」画面で、httpd.conf
ファイルが格納されているディレクトリのフルパスを指定します。httpd.conf
ファイルは、次のディレクトリにあります。
/u01/app/oracle/admin/
ohsInstance
/config/OHS/
ohsComponentName
次に例を示します。
/u01/app/oracle/admin/ohs_instance2/config/OHS/ohs2/httpd.conf
「次へ」をクリックします。
次の「Webサーバーの構成」画面で、Webサーバー構成がWebゲート用に変更されたことを示すメッセージが表示されます。
「次へ」をクリックします。
「Webサーバーの構成」画面に次のメッセージが表示されます。
If the web server is setup in SSL mode, then httpd.conf file needs to be configured with the SSL related parameters. To manually tune your SSL configuration, please follow the instructions that come up.
「次へ」をクリックします。
次の「Webサーバーの構成」画面に、残りの製品設定とWebサーバー構成に関する情報のドキュメントがある場所が表示されます。
「いいえ」を選択して、「次へ」をクリックします。
最後の「Webサーバーの構成」画面で、手動でブラウザを起動してHTMLドキュメントを開きWebサーバーの構成方法を確認することを求めるメッセージが表示されます。
「次へ」をクリックします。
Oracle COREid Readme画面が表示されます。画面上の情報を確認してから、「次へ」をクリックします。
インストールが正常に実行されたことを示すメッセージがインストールの詳細とともに表示されます。
「終了」をクリックします。
第18.2.2.2項「Oracle Access Manager管理コンソールの使用方法」で生成されたファイルを使用して、MW_HOME
/webgate/access/oblix/lib/
ディレクトリ内のObAccessClient.xml
ファイルを置き換えます。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Webサーバーを再起動します。
WEBHOST2
に対して手順を繰り返します。
第11.9項「Oracle Access Managerの検証」で保護されたリソースsso.html
を作成しました。次のURLにアクセスすることにより、そのWebゲートが機能していることをテストできます。
https://sso.mycompany.com:443/sso.html
Oracle Access Serverにログインするように求められます。ログインすると、Oracle FMWのホーム・ページが表示されます。
注意: この時点で、WebLogic、OAMまたはOIMなどのコンソールにアクセスしようとすると、2度ログオンする必要があります。これはWebゲートによって、これらのリソースが保護されているからです。このため次に第20.2項「OAM 11gを使用した管理コンソールに対するSSOの構成」の手順を実行する必要があります。 |
この項では、Oracle Access ManagerとOracle Identity Managerの統合方法について説明します。
この項の内容は次のとおりです。
注意: この項の手順では、OAM 10.1.4.3.0アクセス・サーバーおよびOAM 10.1.4.3.0 Webゲート用OAM-OIM統合パッチが必要です。ただし、このドキュメントがリリースされる時点では、これらのパッチはダウンロードできません。パッチの入手可否については、My Oracle Support(https://support.oracle.com )で確認してください。必要なパッチ・レベルおよびパッチの適用方法の詳細は、11gリリース1(11.1.1)のリリース・ノートで「エンタープライズ・デプロイメント・ガイド」を参照してください。 |
OAM 10gとOIM 11gを統合する前に、次のタスクが実行されていることを確認してください。
第13章の説明に従ってOIM11gのインストールと構成が行われたことを確認します。
第10章の説明に従ってOracle Access Manager 10gのインストールと構成が行われたことを確認します。
第4.4項の説明に従ってOHSのインストールと構成が行われたことを確認します。
第18.2項の説明に従ってWebゲートがインストールされWebgate 10g Agentが構成されていることを確認します。
変更ログ・アダプタおよびユーザー・アダプタがOracle Virtual Directoryに作成されており、これらのアダプタのoamEnabled
フラグがtrue
に設定されていることを確認します。第13.3.1.2項を参照してください。
第18.3.1.1項の説明に従って、OAMとOIMパスワード有効期限スキーマ拡張機能によるACLとLDAPスキーマ定義、およびOAMスキーマを更新します。
第18.3.1.2項の説明に従って、システム管理者権限を使用してOIM内にユーザーを作成します。
第18.3.1.3項および第18.3.1.4項の説明に従って、環境内のすべてのアクセス・サーバーおよびWebゲートのインストールにパッチを適用します。
第18.3.1.5項の説明に従ってシングル・サインオン用にWebLogicドメインを構成します。
次のように、OAMおよびOIMパスワード有効期限スキーマ拡張機能を使用してACLおよびLDAPスキーマ定義を更新します。
次の内容を持つLDIFファイルPasswordExpired.ldif
を作成します。
dn: cn=subSchemaSubEntry changetype: modify add: attributetypes attributetypes: ( 1.3.6.1.4.1.3831.0.0.400 NAME 'obpasswordexpirydate' DESC 'Oracle Access Manager defined attribute type' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' X-ORIGIN 'user defined' ) dn: cn=subschemasubentry changetype: modify add: objectclasses objectclasses: ( 1.3.6.1.4.1.3831.0.1.40 NAME 'OIMPersonPwdPolicy' DESC 'Oracle Access Manager defined objectclass' SUP top AUXILIARY MAY ( obpasswordexpirydate ) )
IDMHOST1上で、OracleホームをIDM_ORACLE_HOMEに設定し、ORACLE_HOME
/bin
ディレクトリがパスに含まれていることを確認します。
ORACLE_HOME=/u01/app/oracle/product/fmw/idmPATH=$ORACLE_HOME/bin:$PATH
ldapadd
コマンドを使用して、LDAPスキーマを更新します。次に例を示します。
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f /home/oracle/ PasswordExpired.ldif
LDAPスキーマをOAMスキーマ拡張で更新します(追加していない場合)。
OAMスキーマ・ファイルのOID_oblix_pwd_schema_add
.ldif
、OID_oblix_schema_add.ldif
、OID_oblix_schema_index_add.ldif
およびOID_oim_pwd_schema_add.ldif
は、IAM_ORACLE_HOME
/oam/server/oim-intg/schema
ディレクトリの下にあります。
ldapadd
コマンドを使用して、LDAPスキーマを更新します。次に例を示します。
ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f IAM_ORACLE_HOME/oam/server/oim-intg/schema/OID_oblix_pwd_schema_add.ldif ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f IAM_ORACLE_HOME/oam/server/oim-intg/schema/OID_oblix_schema_add.ldif ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f IAM_ORACLE_HOME/oam/server/oim-intg/schema/OID_oblix_schema_index_add.ldif ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f IAM_ORACLE_HOME/oam/server/oim-intg/schema/OID_oim_pwd_schema_add.ldif
Oracle Identity Manager管理コンソールを使用してシステム管理者権限付きのOIMユーザーを作成します。このユーザーはOAMおよびOIMで管理タスクを実行するために使用されます。次の手順に従って、ユーザーを作成します。
http://oim_host:port/admin/faces/pages/Admin.jspx
でOracle Identity Manager管理コンソールにアクセスします。
第18.4.5項に従ってLDAPでxelsysadm
ユーザーを作成します。
LDIFファイルに次の行を追加することによりmail
属性でユーザーが作成されていることを確認します。
mail:xelsysadm@mycompany.com
この属性はOracle Identity Managementでユーザー調整を行うために必須になります。
「ロール」に進みシステム管理者ロールをintg_admin
ユーザーに追加します。
次の手順に従って、OAMHOST1
、OAMHOST2
およびOAMADMINHOST
上のアクセス・サーバーにパッチを適用します。
OAMアクセス・サーバーのパッチ・パッケージをMy Oracle Support(https://support.oracle.com
)からダウンロードします。パッチの名前はOracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_Access_Server.zip
です。
Oracle Access Manager 10.1.4.3.0を停止します。
Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_Access_Server.zip
を一時ディレクトリに解凍します。
ディレクトリをPatchExtractLocation
/Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_Access_Server_binary_parameter
に変更します。
次のようにパッチ・インストール・ツールを起動します。
./patchinst -i InstallDir/access
InstallDir
はアクセス・サーバーのインストール場所を示すパスです。
これによりOAMとOIMの統合に必要なパッチがOAM 10.1.4.3.0アクセス・サーバーに適用されます。必要なパッチ・レベルの詳細は、11gリリース1(11.1.1)のリリース・ノートで「エンタープライズ・デプロイメント・ガイド」を参照してください。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、アクセス・サーバーを起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、他のOracle Access Managerコンポーネントの停止と起動を実行します。
次の手順に従って、環境内のWebゲートにパッチを適用します。
Oracle Access Manager OHS11g WebゲートのパッチをMy Oracle Support(https://support.oracle.com
)からダウンロードします。パッチの名前はOracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate.zip
です。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Server 11gインスタンスを停止します。
Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate.zip
を一時ディレクトリに解凍します。これにより次の2つのディレクトリが作成されます。
Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_binary_parameter
Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_message_en-us
ディレクトリをPatchExtractLocation
/Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_binary_parameter
に変更します。
次のように入力してパッチ・インストール・ツールを起動します。
./patchinst -i InstallDir/access
InstallDir
はアクセス・サーバーのインストール場所を示すパスです。
これによりOAMとOIMの統合に必要なパッチがOAM 10.1.4.3.0 Webゲートに適用されます。必要なパッチ・レベルの詳細は、11gリリース1(11.1.1)のリリース・ノートで「エンタープライズ・デプロイメント・ガイド」を参照してください。
環境内のすべてのWebゲート・インスタンスにこのパッチを適用してください。
すべてのWebホスト上で、/u01/app/oracle/product/fmw/oam/webgate/access/oblix/lib
ディレクトリ下にあるPerlスクリプト・ファイルのconfig.pl
、loginredirect.pl
、logout.pl
およびparams.pl
をORACLE_INSTANCE
/config/OHS/
InstanceName
/cgi-bin
ディレクトリにコピーします。
たとえば、WEBHOST1
上では、次のように指定します。
cp /u01/app/oracle/product/fmw/oam/webgate/access/oblix/lib/*.pl /u01/app/oracle/admin/ohs_inst1/OHS/ohs1/cgi-bin/
WEBHOST2
上では次のように指定します。
cp /u01/app/oracle/product/fmw/oam/webgate/access/oblix/lib/*.pl /u01/app/oracle/admin/ohs_inst2/OHS/ohs1/cgi-bin/
すべてのWebホスト上でORACLE_INSTANCE
/config/OHS/InstanceName/cgi-bin
の下にあるconfig.pl
、loginredirect.pl
およびlogout.pl
のファイルに実行権限を追加します。実行権限を追加するには、すべてのWebホスト上で次のコマンドを実行します。
chmod +x ORACLE_INSTANCE/config/OHS/InstanceName/cgi-bin/*.pl
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、OHSサーバーを起動します。
wlst addOAMSSOProviderコマンドを使用してシングル・サインオン・プロバイダ構成を更新します。このコマンドにより、Oracle Access Manager JPS SSOサービス・プロバイダを構成します。これによって、ドメイン・レベルのjps-config.xmlファイルを修正して、OAM SSOサービス・インスタンスと必須のプロパティを追加します。コマンドの構文を次に示します。
connect() addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi= "/cgi-bin/logout.pl", autologinuri=None) disconnect() exit() addOAMSSOProvider(loginuri="login_uri", logouturi="logout_uri", autologinuri="autologin_uri")
前述の内容に関する説明を次に示します。
loginuri
は、SSO認証のトリガーとなるログインURIです。これは必須パラメータです。
logouturi
は、サインオンしたユーザーをログアウトさせるログアウトURIです。これはオプション・パラメータです。
autologinuri
は、自動ログインURIです。これはオプション・パラメータです。
注意: このコマンドはオンライン・モード(管理サーバー実行中)でのみ実行する必要があります。 |
次の手順に従って、Oracle Identity Manager統合用にOracle Access Managerを構成します。
ORACLE_HOME
/common/bin
ディレクトリからwlst.sh
を実行して、WLSTシェルを起動します。
connect
コマンドを使用して、WebLogic管理サーバーに接続します。
addOAMSSOProvider
WLSTコマンドを実行して、Oracle Access Manager JPS SSOサービス・プロバイダを構成します。
次に例を示します。
Prompt> ./wlst.sh wls:/offline>connect('weblogic',password,'t3://idmhost1-vip.mycompany.com:7001') wls:/IDMDomain/serverConfig> addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi= "/cgi-bin/logout.pl", autologinuri=None)
注意: デフォルトのOAM用ログアウトURLである/cgi-bin/logout.pl がコマンドに示されます。環境に適したログアウトURIを使用してください。 |
不正アクセスからOIMページを保護するには、OAMを構成してこれらのページを保護する必要があります。OAMアクセス・サーバーには、保護対象のOIMページとユーザー認証に使用される認証方法を指定するOAMポリシーを定義する必要があります。
OAMADMINHOST上でOAM構成ツールを実行して、OIMページを保護するためのOAMポリシーを構成し、OIMパスワード管理のためにOAMログイン・ページとの統合を可能にする必須のOAMパスワード・ポリシーを作成します。
次の手順に従って、必須のOAMポリシーを作成します。
次の内容のファイルを作成します。これらはOIMのパブリックおよび保護リソースです。
########################### # # OAM-OIM Integration # ########################### protected_uris ########################### #Resources protected with default authentication scheme /oim /xlWebApp /Nexaweb /workspace /admin ########################### public_uris ########################### #Public Policy 1 Self-Service Operations /oim/faces/pages/USelf.jspx /admin/faces/pages/forgotpwd.jspx /admin/faces/pages/pwdmgmt.jspx /oim/afr/blank.html /admin/afr/blank.html #Public Policy 2 Common JavaScripts, images and CSS /oim /.../{*.js,*.css,*.png,*.gif} /admin /.../{*.js,*.css,*.png,*.gif}
表に示されたパラメータを使用してORACLE_HOME
/modules/oracle.oamprovider_11.1.1/
ディレクトリ下のoamcfgtool
を実行します。
[Prompt> java -jar oamcfgtool.jar mode=CREATE app_domain=Policy_Domain_Name web_domain=Host_Identifier uris_file=Policy_Configuration_File ldap_host=LDAP_Host ldap_port=LDAP_Port ldap_userdn=LDAP_Bind_User_DN ldap_userpassword=LDAP_Bind_User_Password oam_aaa_host=Access_Server_Host oam_aaa_port=Access_Server_Port oam_aaa_mode={OPEN | SIMPLE | CERT} oam_aaa_passphrase=Global_Pass_Phrase -usei18nlogin authenticating_wg_url=http://awghost.domain:port -configOIMPwdPolicy
パラメータ | 説明 | 値 |
---|---|---|
mode |
ツール実行モード | CREATE |
app_domain |
ポリシー・ドメイン名 | OIMPolicy_AG |
web_domain |
ホスト識別子名。第10章で作成した値を指定します。 | IDMEDG |
uris_file |
手順1で作成されたファイルの場所 | /home/oracle/oim-oam.conf |
ldap_host |
LDAPホスト名 | oid.mycompany.com |
ldap_port |
LDAPポート番号 | 389 |
ldap_userdn |
LDAP管理ユーザー名 | cn=orcladmin |
ldap_userpassword |
LDAP管理ユーザーのパスワード | password |
oam_aaa_host |
OAM10gアクセス・サーバーのホスト名 | OAMHOST1.mycompany.com |
oam_aaa_port |
OAM10gアクセス・サーバーのポート番号 | 6023 |
oam_aaa_mode |
OAM10gアクセス・サーバーのモード | OPEN |
oam_aaa_passphrase |
OAM10gアクセス・サーバーのパスフレーズ。第10章でアクセス・サーバーを作成するときに指定したパスフレーズを使用します。 | password |
usei18nlogin |
OIMページを保護するために国際化ログイン・ページを使用する必要があることを示します。 | |
authenticating_wg_url |
WebゲートURLの認証。これはOAMサーバーのフロントエンドURLです。これはRWG-AWGシナリオで指定する必要があります。このEDGでは、両方とも同じです。 | https://sso.mycompany.com:443 |
configOIMPwdPolicy |
Oracle Access Managerアイデンティティ・コンソールのOAMパスワード・ポリシー・パラメータを更新します。次の手順を実行します。
http://oamadminhost.mycompany.com:7777/identity/oblix
でOracle Access Manager 10gアイデンティティ・システム・コンソールに移動します。
orcladmin
ユーザーの資格証明を使用してアイデンティティ・システム・コンソールにログインします。
「アイデンティティ・システム・コンソール」リンクをクリックします。
「システム構成」ページで、「システム構成」のリンクをクリックします。
左側のペインのメニューで「パスワード・ポリシー」リンクをクリックします。
OAMパスワード・ポリシー・パラメータの前にシングル・サインオンURLを追加することにより、「ロスト・パスワードのリダイレクトURL」、「パスワード変更のリダイレクトURL」およびアカウント・ロックアウトのリダイレクトURLのフィールドを更新します。
ロスト・パスワードのリダイレクトURL: https://sso.mycompany.com:443/admin/faces/pages/forgotpwd.jspx?backUrl=%HostTarget%%RESOURCE%
パスワード変更のリダイレクトURL: https://sso.mycompany.com:443/admin/faces/pages/pwdmgmt.jspx?backUrl=%HostTarget%%RESOURCE%
アカウント・ロックアウトのリダイレクトURL: https://sso.mycompany.com:443/ApplicationLockoutURI
これで作成されるものは次のとおりです。
不正アクセスからOIMページを保護するためのポリシー・ドメイン:共通のJavaスクリプト、CSSおよびイメージ・ファイルへの匿名アクセス、さらにOIMページへの匿名アクセスを許可する特定ポリシーも追加します。OIMページでは、パスワードを忘れた場合の機能、自己登録機能および登録トラッキング機能を処理します。
認証スキーム: OAMポリシーを使用してOIMページを保護する際に使用されます。
OAMアイデンティティ・システム・コンソールで必要なパスワード・ポリシー: これによって、パスワードの強制リセットを目的として、OAMアクセス・サーバーがOIMパスワード管理ページにユーザーをリダイレクトできます。
OAMアイデンティティ・システム・コンソールのパスワード・ポリシー・リダイレクトURL: これによって、パスワード忘れ、パスワード・リセット時の変更、アカウントのロックアウトの際におけるOIM URLを指定します。
2つのアクセス・サーバーとアイデンティティ・サーバーがシステムにインストールされています。両方のアクセス・サーバーとアイデンティティ・サーバーに次の変更を行ってください。
Access_Server_installDir
/access/oblix/apps/common/bin
に移動します。globalparams.xml
ファイルに、次のブロックを追加します。
<SimpleList> <NameValPair ParamName="OIMIntegration" Value="true"> </NameValPair> </SimpleList>
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ファイルを保存してアクセス・サーバーとアイデンティティ・サーバーを再起動します。
次の手順に従って、OraDefaultI18NFormAuthNScheme
認証スキームを更新します。
http://oamadminhost.mycompany.com:7777/access/oblix
でOracle Access Manager 10gアクセス・システム・コンソールに移動します。
「アクセス・システム構成」タブを選択します。
右側のメニューで「認証管理」リンクを選択します。
「OraDefaultI18NFormAuthNScheme」を選択します。
「認証スキームの詳細」ページで「変更」をクリックしてOraDefaultI18NFormAuthNSchemeを変更します。
次の値を設定します。
レベル: 5
チャレンジ・パラメータ: 「OIMStepDownAuthLevel:1
」にします。値を追加するには「+」をクリックします。
「キャッシュの更新」を選択してから、「保存」をクリックして構成を更新します。
国際化サポートとともにフォームベース認証を適切に機能させるにはWebゲートのログイン・ページを構成する必要があります。WEBHOST1
およびWEBHOST2
上のWebGate_HOME
/access/oamsso/global
ディレクトリ下にあるconfig.js
ファイルを編集することにより、すべてのWebホスト上で次のタスクを実行します。
config.js
のhideRegLink
変数をfalseに設定することにより、「登録」および「追跡」のリンクを有効にします。
OIMインスタンスのフロントエンドとなるOHSインスタンスのホストとポートにOimOHSHostPort
変数の値を設定します。たとえば、https://sso.mycompany.com:443
と設定します。
config.js
の「Section C
」で「Parameters to specify actual redirection URLs...
」を探します。「var lostPasswordURL
」、「var registrationURL
」および「var trackRegistrationURL
」のエントリがあります。それらの値が次のように設定されていることを確認します。
var registrationURL = OimOHSHostPort +'/oim/faces/pages/USelf.jspx?OP_TYPE=SELF_REGISTRATION&T_ID=Self-Register%20User&E_TYPE=USELF'; var lostPasswordURL = OimOHSHostPort + '/admin/faces/pages/forgotpwd.jspx'; var trackRegistrationURL = OimOHSHostPort + '/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=UNAUTH_TRACK_REQUEST ';
正しいperlインタープリタを使用するために、WEBHOST1
およびWEBHOST2
上のORACLE_INSTANCE
/config/OHS/InstanceName/cgi-bin
ディレクトリ下にあるloginredirect.pl
およびlogout.pl
ファイルを更新します。それには、Oracle HTTP ServerのOracleホーム下にあるPerlインタープリタをポイントするようにファイルの最初の行を更新します。
すべてのWebホスト上で、ORACLE_INSTANCE
/cgi-bin
ディレクトリ下にあるconfig.pl
ファイルを編集し、環境に合せて変数のdefaultAWGEndURL
、defaultendURL
およびmapAgentIdToAgentHostPort
の値を適切な値に設定します。
パラメータのdefaultAWGEndURL
およびdefaultendURL
により、問合せ文字列に指定されていないときに使用されるデフォルトのend_url
を指定します。
mapAgentIdToAgentHostPort
パラメータは、WebゲートをホストするWebサーバーのルートにWebゲート識別子をマップするための配列リストです。agentid
は、第18.3.2.1項でOIMポリシーを作成したときに指定したWebゲート識別子です。
これらの値を更新するには、まずconfig.pl
ファイルで次のスニペットを探します。
$defaultAWGEndURL = "http://AWGHost-Port/defaultEndURL_forAWG"; $defaultendURL = "/defaultEndURL_forRWG"; %mapAgentIdToAgentHostPort = ( "RWG1", "http://RWG1Host-Port/", "RWG2", "http://RWG2Host-Port/", "", "" ## Terminating entry );
これらのエントリの意味は次のとおりです。
defaultAWGEndURL
: 認証Webゲート上のエンドURLです。
AWGHost-
Port
: 認証Webゲートのホストとポートです。このEDGでは、認証WebゲートとリソースWebゲートは同一です。
defaultEndURL_forRWG
: リソースWebゲートのデフォルトのエンドURLです。これはユーザーがログアウト時にリダイレクトされるURLです。
mapAgentIdToAgentHostPort
: エージェントIDによって指定されたWebゲート識別子を、WebゲートをホストするWebサーバーにマップさせるための配列リストです。
RWG1/RWG2
: リソースWebゲート上のWebゲート識別子です。
RWG1Host-Port
: リソースWebゲートのホスト名とポートです。このEDGでは、リソースWebゲートと認証Webゲートは同一です。
これらの値を次のように変更してください。
$defaultAWGEndURL = "https://sso.mycompany.com:443/oim"; $defaultendURL = "https://sso.mycompany.com:443/oim"; %mapAgentIdToAgentHostPort = ( " IDMEDG_AG ", "https://sso.mycompany.com:443/", "", "" ## Terminating entry );
ファイルを保存します。
注意: 次の手順は、logoutRedirectUrl を設定します。これは認証Webゲート(AWG)とリソースWebゲート(RWG)が異なる環境では必須の手順です。このデプロイメント・ガイドではAWGとRWGが同一なため、この手順は必要ありません。 |
logoutRedirectUrl
でWebゲートのエントリを更新します。次の手順を実行します。
http://oamadminhost.mycompany.com:7777/access/oblix
でOracle Access Manager 10gアクセス・システム・コンソールに移動します。
「アクセス・システム構成」タブを選択します。
右側のメニューで「アクセス・ゲート構成」を選択します。
アクセス・ゲートの検索条件を指定して、アクセス・ゲートを検索してWebゲートをリスト上で「実行」をクリックします。
Webゲートをリストから選択します。これは第18.3.2項で作成した同じWebゲートのOIMPolicy_AG
です。
「アクセス・ゲートの詳細」ページで「変更」をクリックしてWebゲートのOIMPolicy_AGを変更します。
次のように「ユーザー定義パラメータ」セクションを更新します。
パラメータ: logoutRedirectUrl
値: https://sso.mycompany.com:443/cgi-bin/logout.pl
「保存」をクリックして、構成を保存します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WEBHOST1
およびWEBHOST2
上で実行されているOHSインスタンスを停止し、起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、環境内のアクセス・サーバーとアイデンティティ・サーバーを停止し、起動します。
次の手順に従ってOAM-OIM統合に向けてOracle Identity Managerを構成します。
Oracle Identity Managerに自動ログインを構成するには、必要なパラメータでoim-config.xml
ファイルを更新します。oam-config.xml
ファイルは、/db/oim-config.xml
ディレクトリ下のMDSリポジトリ内にあります。このファイルはMDSからローカル・ファイル・システムにエクスポートした後、再度MDSにインポートする必要があります。変更を有効にするには、サーバーを再起動します。
注意: ファイルは、wls_servername パラメータに指定された管理対象サーバー・ホスト上からmetadata_to_loc パラメータによって指定された場所にエクスポートされます。 |
MDSからローカル・ファイル・システムに/db/oim-config.xml
ファイルをエクスポートするには、次の手順を実行します。
OIMメタデータ・エクスポート・ツールを使用してMDSリポジトリから/db/oim-config.xml
ファイルをエクスポートします。OIMメタデータ・エクスポート・ツールweblogicExportMetadata.sh
は、IAM_ORACLE_HOME
/server/bin
ディレクトリ下にあります。
ツールを実行する前に、IAM_ORACLE_HOME
/server/bin
ディレクトリの下にあるweblogic.properties
ファイルを次のプロパティで更新します。
wls_servername
: サーバー名のOIM
application_name
: OIMMetadata
metadata_to_loc
: ファイルのエクスポート先となるOIMHOST
上の場所です。
metadata_files
: /db/oim-config.xml
次はweblogic.properties
ファイルの例です。
# Weblogic Server Name on which OIM application is running wls_servername=WLS_OIM1 # If you are importing or exporting any out of box event handlers, value is oim. # For rest of the out of box metadata, value is OIMMetadata. # If you are importing or exporting any custom data, always use application name as OIMMetadata. application_name=OIMMetadata # Directory location from which XML file should be imported. # Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml, # I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist # in this folder or in its sub folders. Import utility tries to recursively import all the files under the # from location folder. This property is only used by weblogicImportMetadata.sh metadata_from_loc=@metadata_from_loc # Directory location to which XML file should be exported to metadata_to_loc=/home/oracle/oim_export# For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values.# This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts metadata_files=/db/oim-config.xml # Application versionapplication_version=11.1.1.3.0
OIM_ORACLE_HOME
変数をアイデンティティ管理のOracleホームに設定します。
prompt> export OIM_ORACLE_HOME=/u01/app/oracle/product/fmw/iam
OIMメタデータ・エクスポート・ツールを実行します。
prompt>./weblogicExportMetadata.sh
求められたら、次の値を指定します。
username
: Weblogicドメインの管理ユーザー名です。たとえば、weblogic
です。
password
: 管理ユーザーのパスワードです。
server URL
: OIM管理対象サーバーに接続するためのURLです。たとえば、t3://oimhost1.mycompany.com:14000
です。
ツールの出力は次のようになります。
Initializing WebLogic Scripting Tool (WLST) ... Welcome to WebLogic Server Administration Scripting Shell Type help() for help on available commands Starting export metadata script .... Please enter your username [weblogic] :weblogic Please enter your password [welcome1] : Please enter your server URL [t3://localhost:7001] :t3://oimhost1.mycompany.com:14000 Connecting to t3:// oimhost1.mycompany.com:14000 with userid weblogic ... Successfully connected to managed Server 'WLS_OIM2' that belongs to domain 'IDMDomain'. Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port orAdmin port should be used instead. Location changed to custom tree. This is a writable tree with No root. For more help, use help(custom) Disconnected from weblogic server: WLS_OIM2 End of export metadata script ... Exiting WebLogic Scripting Tool.
/home/oracle/oim_export/db
ディレクトリ下に作成されたoim-config.xml
ファイルを編集して、次のように値を更新します。
<ssoConfig> <version>@oamVersion</version> <accessServerHost>@oamAccessServerHost</accessServerHost> <accessServerPort>@oamAccessServerPort</accessServerPort> <accessGateID>@oamAccessGateID</accessGateID> <cookieDomain>@oamcookiedomain</cookieDomain> <napVersion>3</napVersion> <transferMode>OPEN</transferMode> <webgateType>ohsWebgate10g</webgateType <ssoEnabled>false</ssoEnabled> </ssoConfig>
次に例を示します。
<ssoConfig> <version>10.1.4.3</version> <accessServerHost>sso.mycompany.com</accessServerHost> <accessServerPort>443</accessServerPort> <accessGateID>IDMEDG_AG</accessGateID> <napVersion>3</napVersion> <cookieDomain>.mycompany.com</cookieDomain> <transferMode>open</transferMode> <webgateType>ohsWebgate10g</webgateType> <ssoEnabled>true</ssoEnabled> </ssoConfig>
注意:
|
ファイルを保存します。
変更を有効にするために、次の手順に従ってMDS内にファイルをインポートします。
IAM_ORACLE_HOME
/server/bin
ディレクトリの下にあるweblogic.propertiesファイルを、次に示すように更新します。
wls_servername
: サーバー名のOIM
application_name
: application_name=OIMMetadata
metadata_from_loc
: OIMHOST
におけるファイルのインポート元となる場所です。
metadata_files
: /db/oim-config.xml
次はweblogic.properties
ファイルの例です。
# Weblogic Server Name on which OIM application is running wls_servername=WLS_OIM1 # If you are importing or exporting any out of box event handlers, value is oim. # For rest of the out of box metadata, value is OIMMetadata. # If you are importing or exporting any custom data, always use application name as OIMMetadata. application_name=oim # Directory location from which XML file should be imported. # Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml, # I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist # in this folder or in its sub folders. Import utility tries to recursively import all the files under the # from location folder. This property is only used by weblogicImportMetadata.sh metadata_from_loc=/home/oracle/oim_export # Directory location to which XML file should be exported to metadata_to_loc=/home/oracle/oim_export # For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values. # This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts metadata_files=/db/oim-config.xml # Application version application_version=11.1.1.3.0
OIMメタデータ・インポート・ツールを実行します。
prompt>./weblogicImportMetadata.sh
求められたら、ユーザー名、パスワードおよびサーバーURLの値を指定します。
username: Weblogicドメインの管理ユーザー名です。たとえば、weblogic
になります。
password: 管理ユーザーのパスワードです。
server URL: OIM管理対象サーバーに接続するためのURLです。たとえば、3://oimhost1.mycompany.com:7001
です。
ツールの出力は次のようになります。
Initializing WebLogic Scripting Tool (WLST) ... Welcome to WebLogic Server Administration Scripting Shell Type help() for help on available commands Starting import metadata script .... Please enter your username [weblogic] :weblogic Please enter your password [welcome1] : Please enter your server URL [t3://localhost:7001] :t3:// oimhost1.mycompany.com:14000 Connecting to t3://oimhost1.mycompany.com:14000 with userid weblogic ... Successfully connected to managed Server 'WLS_OIM1' that belongs to domain 'IDMDomain'. Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port or Admin port should be used instead. Location changed to custom tree. This is a writable tree with No root. For more help, use help(custom) Disconnected from weblogic server: WLS_OIM2 End of import metadata script ... Exiting WebLogic Scripting Tool.
アクセス・ゲート・パスワードを資格証明ストア・フレームワークにシードする必要があります。この項の手順に従ってアクセス・ゲート・パスワードをシードしてください。
注意: ここに示されている手順はオープン・モード のセキュリティ・モード用です。セキュリティ・モードが簡易モード に設定されている場合は、Oracle Access Manager 10g(10.1.4.3)ドキュメント・ライブラリ内のOracle Access Managerアクセス管理ガイドの説明に従ってキーストアを構成します。 |
マップ名oim
およびキー名SSOAccessKey
に対して、CSF内にアクセス・ゲート・パスワードをシードします。CSFは、DOMAIN_HOME
/config/fmwconfig
ディレクトリ内のcwallet.sso
です。ORACLE_HOME
/common/bin/wlst.sh
を実行します。
connect() createCred(map="oim", key="SSOAccessKey",user="SSOAccessKey",password="welcome1",desc="OAMAccessGatePassword") listCred(map="oim",key="SSOAccessKey")
次の手順に従いWLS管理コンソールを使用してOIM用Weblogicサーバー・プラグインを有効にします。
http://ADMINHOSTVHN.mycompany.com/console
でWebLogic管理コンソールにアクセスします。
weblogic
ユーザーの資格証明を使用してWebLogic管理コンソールにログインします。
「環境」→「サーバー」→「WLS_OIM1」→「詳細」に移動し、「WebLogicプラグインの有効化」が選択されていない場合は、それを選択します。
Oracle Access Manager用SSO通知ハンドラのエントリをOracle Identity ManagerのMDSリポジトリにインポートする必要があります。通知ハンドラのエントリはIAM_ORACLE_HOME
/server/oamMetadata/db/ssointg
ディレクトリ下のEventHandlers.xml
ファイルに含まれています。次の手順に従い、OIMメタデータ・インポート・ツールを使用してMDSリポジトリに通知イベントをインポートします。
OIMメタデータ・インポート・ツールを使用してEventHandlers.xml
ファイルをMDSリポジトリにインポートします。OIMメタデータ・インポート・ツールweblogicImportMetadata.sh
は、IAM_ORACLE_HOME
/server/bin
ディレクトリ下にあります。
ツールを実行する前に、IAM_ORACLE_HOME
/server/bin
ディレクトリの下にあるweblogic.properties
ファイルを次のプロパティで更新します。
wls_servername
: サーバー名のOIM
application_name
: OIMMetadata
metadata_from_loc
: OIMHOST
におけるファイルのインポート元となる場所です。
file_names
: /db/ssointg/EventHandlers.xml
次はweblogic.propertiesファイルの例です。
# Weblogic Server Name on which OIM application is running wls_servername=WLS_OIM1 # If you are importing or exporting any out of box event handlers, value is oim. # For rest of the out of box metadata, value is OIMMetadata. # If you are importing or exporting any custom data, always use application name as OIMMetadata. application_name=oim # Directory location from which XML file should be imported. # Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml, # I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist # in this folder or in its sub folders. Import utility tries to recursively import all the files under the # from location folder. This property is only used by weblogicImportMetadata.sh metadata_from_loc=/home/oracle/oim_export # Directory location to which XML file should be exported to metadata_to_loc=/home/oracle/oim_export # For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values. # This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts metadata_files=/db/ssointg/EventHandlers.xml # Application version application_version=11.1.1.3.0
metadata_from_loc
パラメータで指定した場所にIAM_ORACLE_HOME
/server/oamMetadata/db/ssointg/EventHandlers.xml
をコピーします。
次に例を示します。
cp IAM_ORACLE_HOME/server/oamMetadata/db/ssointg/EventHandlers.xml /home/oracle/db/ssointg/EventHandlers.xml
metadata_from_loc
パラメータで指定した場所にIAM_ORACLE_HOME
/server/oamMetadata/db/ssointg/EventHandlers.xml
をコピーします。
OIMメタデータ・インポート・ツールを実行します。
prompt>./weblogicImportMetadata.sh
求められたら、ユーザー名、パスワードおよびサーバーURLの値を指定します。
username: Weblogicドメインの管理ユーザー名です。たとえば、weblogic
になります。
password: 管理ユーザーのパスワードです。
server URL: OIM管理対象サーバーに接続するためのURLです。たとえば、3://oimhost1.mycompany.com:7001
です。
ツールの出力は次のようになります。
Initializing WebLogic Scripting Tool (WLST) ... Welcome to WebLogic Server Administration Scripting Shell Type help() for help on available commands Starting import metadata script .... Please enter your username [weblogic] :weblogic Please enter your password [welcome1] : Please enter your server URL [t3://localhost:7001] :t3:// oimhost1.mycompany.com:14000 Connecting to t3://oimhost1.mycompany.com:14000 with userid weblogic ... Successfully connected to managed Server 'WLS_OIM1' that belongs to domain 'IDMDomain'. Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port or Admin port should be used instead. Location changed to custom tree. This is a writable tree with No root. For more help, use help(custom) Disconnected from weblogic server: WLS_OIM2 End of import metadata script ...
WebLogicスクリプト・ツールを終了します。
第20.1.5.1項「Oracle Internet Directoryオーセンティケータのセットアップ」の説明に従って、Oracle Internet Directory Authenticatorを作成します。
第20.1.5.2項「Oracle Access Manager Identity Asserterのセットアップ」の説明に従って、Oracle Access Manager Identity Asserterを作成します。
次の手順に従ってOIMSignature Authenticatorを作成します。
http://ADMINHOSTVHN.mycompany.com/console
でWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「新規」をクリックします。
次の情報を指定します。
名前: OIMSignatureAuthenticator
タイプ: OIMSignatureAuthenticator
「OK」をクリックします。
新しく作成されたOIMSignatureAuthenticatorプロバイダのリンクをクリックします。
「共通」タブで、「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
「変更のアクティブ化」をクリックして、変更をアクティブ化します。
管理サーバーや管理対象サーバーは再起動しないでください。この項の最後で再起動を行います。
OIM Authenticatorの「制御フラグ」を「OPTIONAL」に設定します。次の手順を実行します。
http://ADMINHOSTVHN.mycompany.com/console
でWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「OIMAuthenticationProvider」リンクをクリックします。
「共通」タブで、「制御フラグ」を「OPTIONAL」に設定します。
「保存」をクリックします。
「変更のアクティブ化」をクリックして、変更をアクティブ化します。
管理サーバーや管理対象サーバーは再起動しないでください。この項の最後で再起動を行います。
表に記載されているように認証プロバイダを並び替えます。次の手順に従って、プロバイダを並び替えます。
http://ADMINHOSTVHN.mycompany.com/console
でWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「並替え」をクリックします。
「認証プロバイダの並替え」ページで、次の表に記載されているようにプロバイダを並び替えます。「制御フラグ」が表のとおりであることを確認します。
名前 | 制御フラグ |
---|---|
OAMIdentityAsserter | REQUIRED |
Default Authenticator | SUFFICIENT |
OIMSignatureAuthenticator | SUFFICIENT |
OIMAuthentication Provider | OPTIONAL |
OIDAuthenticator | SUFFICIENT |
Default Identity Asserter | SUFFICIENT |
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内の管理サーバーと管理対象サーバーを再起動します。
オブジェクト・クラスのOblixPersonPwdPolicy
、OIMPersonPwdPolicy
およびOblixOrgPerson
を使用して既存のLDAPユーザーを更新する必要があります。IAM_ORACLE_HOME
/server/ssointg
ディレクトリ下のOIM構成ツールoimcfgtool.jar
を使用してユーザーを更新する必要があります。このコマンドをIDMHOST1
(管理サーバーのホスト)で実行します。ツールの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のIdentity Asserter用認証スキームの構成に関する項を参照してください。
oimcfgtool
を実行する前に、次の基準が満たされていることを確認します。
wlfullclient.jar
ファイルはMW_HOME
/wlserver_10.3/server/lib
ディレクトリの下にあります。jarファイルがない場合は、第4.7.7項「wlfullclient.jarファイルの作成」の手順に従ってjarファイルを生成してください。
oimcfgtool
をIAM_ORACLE_HOME
/server/ssointg
ディレクトリで実行しています。このツールを別の場所にコピーしないでください。
JAVA_HOME
とWL_HOME
を設定します。
JAVA_HOME=ORACLE_BASE/product/fmw/jdk160_18 WL_HOME=ORACLE_BASE/product/fmw/wlserver_10.3 PATH=JAVA_HOME/bin:$PATH
注意: JAVA_HOME は、SUN JDKに設定する必要があります。 |
次の手順に従い、oimcfgtool
を使用してOracle Access ManagerとOracle Identity Managerを統合します。
注意: ·oimcfgtool を実行する前に、LDAPサーバーが起動され、実行されていることを確認します。 |
ORACLE_HOME
をIAM_ORACLE_HOME
に、JAVA_HOME
をSUN JDKディレクトリに設定し、PATH
にJAVA_HOME
が含まれていることを確認します。
prompt>export MW_HOME=/opt/maa/oracle/plus/product/fmw prompt>export ORACLE_HOME=/opt/maa/oracle/plus/product/fmw/iam prompt>export JAVA_HOME=/opt/maa/oracle/plus/product/fmw/jdk160_18 prompt>export PATH=$JAVA_HOME/bin:$PATH
次のディレクトリに移動します。
ORACLE_HOME
/server/ssointg
sso-config.profile
ファイルを作成するために、generate-profileオプションを使用してoimcfgtool
を実行します。入力内容をsso-config.profile
で渡します。プロファイル・ファイルに指定されていない必須情報を入力するように求められます。ツールを次のように実行します。
java -jar oimcfgtool.jar generate-profile
出力は次のようになります。
Turning off debug logs Generating sso-config.profile... Generated sso-config.profile
IAM_ORACLE_HOME
/server/ssointg
ディレクトリ下に作成されたsso-config.profile
ファイルを編集します。次の値を指定します。ファイルの残りの値は、既存LDAPユーザーの更新に必須ではありません。
LDAP Host
: LDAPサーバーのホスト名です。
LDAP Port
: LDAPサーバーのポートです。
LDAP Root DN
: LDAPサーバーに接続する管理者DNです。
User Search Base
: OIMユーザーのLDAP検索ベースです。
Group Search Base
: OIMグループのLDAP検索ベースです。
Password Expiry Period in Days
: パスワード有効期限の日数です。デフォルト値は7300です。
次はsso-config.profile
ファイルの例です。
LDAP Host :-oid.mycompany.com LDAP Port :-389 LDAP Root DN :-cn=orcladmin User Search Base :-cn=Users,dc=mycompany,dc=com Group Search Base :-cn=Groups,dc=mycompany,dc=com Password Expiry Period in Days :-7300
オプションを指定してoimcfgtool
を実行し、oim-config.xml
ファイルのアクセス・サーバー情報を更新します。ツールを次のように実行し、次の問合せ実行時にLDAP Root DNのパスワードを指定します。
java -jar oimcfgtool.jar upgrade-ldap-users
出力は次のようになります。
[orcl@strasha07 ssointg]$ java -jar oimcfgtool.jar upgrade-ldap-users Turning off debug logs ********* Upgrading LDAP Users With OAM ObjectClasses ********* Loading inputs from sso-config.profile Completed loading inputs from sso-config.profile Remaining inputs will be queried from console. Enter LDAP Root DN Password: Completed loading user inputs for - LDAP connection info Completed loading user inputs for - LDAP Upgrade Upgrading ldap users at - cn=Users,dc=mycompany,dc=com Parsing - cn=Users,dc=mycompany,dc=com objectclass OIMPersonPwdPolicy not present in cn=weblogic_idm,cn=users,dc=mycompany,dc=com. Seeding it objectclass OblixOrgPerson not present in cn=weblogic_idm,cn=users,dc=mycompany,dc=com. Seeding it objectclass OblixPersonPwdPolicy not present in cn=weblogic_idm,cn=users,dc=mycompany,dc=com. Seeding it obpasswordexpirydate added in cn=weblogic_idm,cn=users,dc=mycompany,dc=com Finished parsing LDAP LDAP Users Upgraded. ********* ********* ********* Operation completed. Please restart all servers.
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内のWLS管理サーバーとすべての管理対象サーバーを停止し、起動します。
この項では、Oracle Identity ManagerとOracle Access Manager 11gの統合方法について説明します。
この項の内容は次のとおりです。
第13章の説明に従ってOIM11gのインストールと構成が行われたことを確認します。
第11章の説明に従ってOracle Access Manager 11gのインストールと構成が行われたことを確認します。
第4.4項の説明に従ってOHSのインストールと構成が行われたことを確認します。
第18.2項の説明に従ってWebゲートがインストールされWebgate 10g Agentが構成されていることを確認します。
第20.2項「OAM 11gを使用した管理コンソールに対するSSOの構成」の説明に従って管理コンソールに対してシングル・サインオンが構成されたことを確認します。
第20.3項「管理者のプロビジョニング」の説明に従って管理ユーザーをプロビジョニングしたことを確認します。
ドメインのJTAトランザクション・タイムアウトが600秒以上であることを確認します。必要があれば、次の手順に従ってタイムアウト値を更新します。
ブラウザを開いて、http://admin.mycompany.com/console
でWebLogic管理コンソールを起動します。
WebLogic管理コンソールに管理ユーザーとしてログインします。
「ロックして編集」をクリックします。
「サービス」→「JTA」に移動します。
「タイムアウト」の値が600
以上であることを確認します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーと管理対象サーバーを停止します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ノード・マネージャを使用して管理サーバーを起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理コンソールを使用してドメイン内の管理対象サーバーを起動します。
wlst addOAMSSOProvider
コマンドを使用してシングル・サインオン・プロバイダ構成を更新します。このコマンドにより、Oracle Access Manager JPS SSOサービス・プロバイダを構成します。これによって、ドメイン・レベルのjps-config.xml
ファイルを修正して、OAM SSOサービス・インスタンスと必須のプロパティを追加します。コマンドの構文を次に示します。
addOAMSSOProvider(loginuri="login_uri", logouturi="logout_uri", autologinuri="autologin_uri")
前述の内容に関する説明を次に示します。
loginuri
は、SSO認証のトリガーとなるログインURIです。これは必須パラメータです。
logouturi
は、サインオンしたユーザーをログアウトさせるログアウトURIです。これはオプション・パラメータです。
autologinuri
は、自動ログインURIです。これはオプション・パラメータです。
注意: このコマンドはオンライン・モード(管理サーバー実行中)でのみ実行する必要があります。 |
次の手順に従って、Oracle Identity Manager統合用にOracle Access Managerを構成します。
IAM_ORACLE_HOME
/common/bin
ディレクトリからwlst.sh
を実行して、WLSTシェルを起動します。
connect
コマンドを使用して、WebLogic管理サーバーに接続します。
addOAMSSOProvider
WLSTコマンドを実行して、Oracle Access Manager JPS SSOサービス・プロバイダを構成します。
次に例を示します。
Prompt> ./wlst.sh wls:/offline>connect('weblogic',password,'t3://idmhost1-vip.mycompany.com:7001') wls:/IDMDomain/serverConfig> addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi")
exit()
コマンドを使用して、WLSTツールから切断します。
wls:/IDMDomain/serverConfig>exit()
wlst
updateOIMHostPort
コマンドを使用してOracle Access Managerによって管理されるサーバーの構成を更新します。このコマンドはOracle Identity Managerのホストおよびポート情報を使用して、oam-config.xml
ファイルのIdentityManagement
およびServerConfiguration
のセクションを更新します。コマンドの構文を次に示します。
updateOIMHostPort(hostName = "host_name", port = "port_number", secureProtocol = "[ true | false ]")
前述の内容に関する説明を次に示します。
hostname
は、このエンタープライズ・トポロジでOIM管理対象サーバーにトラフィックをルートするように構成されたロード・バランサVIPです。これは必須パラメータです。たとえば、https://sso.mycompany.com
と設定します。
port
はロード・バランサのリスニング・ポートです。これは必須パラメータです。
secureProtocol
: 通信プロトコルがセキュアかどうかを指定します。これは必須パラメータです。https
を使用するときにこれをtrue
に設定し、http
を使用するときにfalse
に設定します。次のような留意点があります。
注意: このコマンドはオンライン・モード(管理サーバー実行中)でのみ実行する必要があります。 |
次の手順に従って、Oracle Identity Manager統合用にOracle Access Managerを構成します。
ORACLE_HOME
/common/bin
ディレクトリ下のwlst.sh
スクリプトを実行して、WLSTシェルを起動します。
connect
コマンドを使用して、WebLogic管理サーバーに接続します。
updateOIMHostPort() WLSTコマンドを実行して、OAM構成を更新します。
次に例を示します。
Prompt> ./wlst.sh
wls:/offline> connect('weblogic',password,'t3://idmhost1-vip.mycompany.com:7001')
wls:/IDMDomain/serverConfig> updateOIMHostPort(hostName = "sso.mycompany.com" , port = "443", secureProtocol = "true")
exit()
コマンドを使用して、WLSTツールから切断します。
wls:/IDMDomain/serverConfig>exit()
DOMAIN_HOME
/config/fmwconfig
ディレクトリ下のoam-config.xml
ファイルのIdentityManagement
およびServerConfiguration
のセクションをチェックすることにより、コマンドが正常に完了したことを確認します。IdentityManagement
およびServerConfiguration
の例を次に示します。
<Setting Name="IdentityManagement" Type="htf:map"> <Setting Name="ServerConfiguration" Type="htf:map"> <Setting Name="OIM-SERVER-1" Type="htf:map"> <Setting Name="Host" Type="xsd:string">sso.mycompany.com</Setting> <Setting Name="Port" Type="xsd:integer">443</Setting> <Setting Name="SecureMode" Type="xsd:boolean">True</Setting> </Setting> </Setting>
IAM_ORACLE_HOME
/server/ssointg
ディレクトリ下のOIM構成ツールoimcfgtool.jar
を使用してOracle Access ManagerとOracle Identity Managerを連携させます。このコマンドをIDMHOST1
(管理サーバーのホスト)で実行します。ツールの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のIdentity Asserter用認証スキームの構成に関する項を参照してください。
oimcfgtool
を実行する前に、次の基準が満たされていることを確認します。
wlfullclient.jar
ファイルはMW_HOME
/wlserver_10.3/server/lib
ディレクトリの下にあります。jarファイルがない場合は、第4.7.7項「wlfullclient.jarファイルの作成」の手順に従ってjarファイルを生成してください。
oimcfgtool
をIAM_ORACLE_HOME
/server/ssointg
ディレクトリで実行しています。このツールを別の場所にコピーしないでください。
JAVA_HOME
とWL_HOME
を設定します。
JAVA_HOME=ORACLE_BASE/product/fmw/jdk160_18 WL_HOME=ORACLE_BASE/product/fmw/wlserver_10.3 PATH=JAVA_HOME/bin:$PATH
注意: JAVA_HOME は、SUN JDKに設定する必要があります。 |
次の手順に従い、oimcfgtool
を使用してOAMとOIMを統合します。
注意:
|
ORACLE_HOME
をIAM_ORACLE_HOME
に、JAVA_HOME
をSUN JDKディレクトリに設定し、PATH
にJAVA_HOME
が含まれていることを確認します。
prompt>export MW_HOME=/opt/maa/oracle/plus/product/fmw prompt>export ORACLE_HOME=/opt/maa/oracle/plus/product/fmw/iam prompt>export JAVA_HOME=/opt/maa/oracle/plus/product/fmw/jdk160_18 prompt>export PATH=$JAVA_HOME/bin:$PATH
sso-config.profile
ファイルを作成するために、generate-profile
オプションを使用してoimcfgtool
を実行します。入力内容をsso-config.profile
で渡します。プロファイル・ファイルに指定されていない必須情報を入力するように求められます。ツールを次のように実行します。
java -jar oimcfgtool.jar generate-profile
出力は次のようになります。
java -jar oimcfgtool.jar generate-profile Turning off debug logs Generating sso-config.profile... Generated sso-config.profile
IAM_ORACLE_HOME
/server/ssointg
ディレクトリ下に作成されたsso-config.profile
ファイルを編集します。次のように値を指定してください。
Access Server Host
: Oracle Access Managerサーバーをフロントエンドするロード・バランサ仮想IPアドレスのポートです。
Access Server Port
: Oracle Access Managerサーバーをフロントエンドするロード・バランサ仮想IPアドレスのポートです。
Access Gate ID
: アクセスゲートの名前です。第18.2.2項「Webゲート・エージェントの作成」で構成したWebゲートIDを指定します。
Cookie Domain
: ユーザー環境のCookieドメインです。ドメイン名の前に必ず「.」を使用してください。
Cookie Expiry Interval
: Cookieの有効期限間隔です。デフォルト値は120分です。
OAM Transfer Mode OPEN/SIMPLE/CERT
: OAM転送モードです。デフォルト値はOPEN
です。
Webgate type javaWebgate/ohsWebgate10g/ohsWebgate11g
: Webゲートのタイプです。このデプロイメント・ガイドで使用される値はohsWebgate10g
です。
SSO Enabled Flag
: True
またはFalse
です。このデプロイメント・ガイドでは、True
です。
MDS DB Url
: MDSデータベースに接続するためのJDBC URLです。Oracle RACデータベースの場合は、単一インスタンスに接続するためのURLを指定できます。「jdbc:oracle:thin:@
host:
port
:
sid
」の形式を使用します。
MDS DB Schema Username
: MDSデータベースEDG_MDS
のDBスキーマ・ユーザー名です。
Domain Location
: 管理サーバーのドメイン・ディレクトリの場所です。
WLS Server URL
: WebLogic管理サーバーに接続するためのURLです。形式は「t3://
host
:
port
」です。
WLS Username
: WebLogic管理者のユーザー名です。
Domain Name
: ドメイン名です。
OIM Managed Server Name
: OIM管理対象サーバー名です。
LDAP Host
: LDAPサーバーのホスト名です。
LDAP Port
: LDAPサーバーのポートです。
LDAP Root DN
: LDAPサーバーに接続する管理者DNです。
User Search Base
: OIMユーザーのLDAP検索ベースです。
Group Search Base: OIMグループのLDAP検索ベースです。
Password Expiry Period in Days: パスワード有効期限の日数です。デフォルト値は7300です。
次はsso-config.profile
ファイルの例です。
Access Server Host :- sso.mycompany.com Access Server Port :-443 Access Gate ID :-Webgate_sso Cookie Domain :-.mycompany.com Cookie Expiry Interval :-120 OAM Transfer Mode OPEN/SIMPLE/CERT :-OPEN Webgate type javaWebgate/ohsWebgate10g/ohsWebgate11g :-ohsWebgate10g SSO Enabled Flag :-true MDS DB Url :-jdbc:oracle:thin:@oimdb1-vip.mycompany.com:1521:oimdb1 MDS DB Schema Username :-EDG_MDS Domain Location :-/u01/app/oracle/admin/IDMDomain/aserver/IDMDomain WLS Server URL :-t3://ADMINHOSTVHN.mycompany.com:7001 WLS Username :-weblogic Domain Name :-IDMDomain OIM Managed Server Name :-WLS_OIM1 LDAP Host :-oid.mycompany.com LDAP Port :-389 LDAP Root DN :-cn=orcladmin User Search Base :-cn=Users,dc=mycompany,dc=com Group Search Base :-cn=Groups,dc=mycompany,dc=com Password Expiry Period in Days :-7300
オプションを指定してoimcfgtool
を実行し、oim-config.xml
ファイルのアクセス・サーバー情報を更新します。ツールを次のように実行し、問合せ実行時にMDSデータベースのスキーマ・パスワードを渡します。
java -jar oimcfgtool.jar update-oim-config
出力は次のようになります。
java -jar oimcfgtool.jar update-oim-config Turning off debug logs ********* Seeding OAM Config in OIM ********* Loading inputs from sso-config.profile Completed loading inputs from sso-config.profile Remaining inputs will be queried from console. Completed loading user inputs for - OAM Access Config Enter MDS DB Schema Password: Completed loading user inputs for - MDS DB Config Validated input values Initialized MDS resources Jun 25, 2010 1:30:50 PM oracle.mds NOTIFICATION: transfer operation started. Jun 25, 2010 1:30:51 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Download from DB completed Releasing all resources Updated oamMetadata/db/oim-config.xml Initialized MDS resources Jun 25, 2010 1:30:51 PM oracle.mds NOTIFICATION: transfer operation started. Jun 25, 2010 1:30:53 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resourcesOAM configuration seeded. Please restart oim server.********* ********* *********Operation completed. Please restart all servers.
seed-oam-passwords
オプションを使用してoimcfgtool
を実行し、OAM Webゲート・パスワードを資格証明ストア内にシードします。次のようにツールを実行し、問合せ実行時にSSOアクセス・ゲート・パスワードおよび管理サーバーの場所を指定します。これは第18.2.2項「Webゲート・エージェントの作成」でWebゲート・エージェントを作成したときに指定した同じパスワードです。ssoKeystore.jks
およびSSO Global Passphrase
を空白のままにします。OAM転送モードがOpen
の場合、これらの値は必須ではありません。
java -jar oimcfgtool.jar seed-oam-passwords
出力は次のようになります。
java -jar oimcfgtool.jar seed-oam-passwords Turning off debug logs ********* Seeding OAM Passwds in OIM ********* Loading inputs from sso-config.profile Completed loading inputs from sso-config.profile Remaining inputs will be queried from console. Enter SSO Access Gate Password: Enter ssoKeystore.jks Password: Enter SSO Global Passphrase: Enter Domain Location: /u01/app/oracle/admin/IDMDomain/aserver/IDMDomain Completed loading user inputs for - CSF Config Updating CSF with Access Gate Password... Updating CSF ssoKeystore.jks Password... Updating CSF for SSO Global Passphrase Password... ********* ********* ********* Operation completed. Please restart all servers.
seed-oam-passwords
オプションを使用してoimcfgtool
を実行し、OAM通知ハンドラをアップロードします。ツールを次のように実行し、問合せ実行時にMDSデータベースのスキーマ・パスワードを渡します。
java -jar oimcfgtool.jar seed-oam-metadata
出力は次のようになります。
java -jar oimcfgtool.jar seed-oam-metadata Turning off debug logs ********* Activating OAM Notifications ********* Loading inputs from sso-config.profile Completed loading inputs from sso-config.profile Remaining inputs will be queried from console. Enter MDS DB Schema Password: Completed loading user inputs for - MDS DB Config Initialized MDS resources Jun 25, 2010 1:40:58 PM oracle.mds NOTIFICATION: transfer operation started. Jun 25, 2010 1:40:59 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources Notifications activated. ********* ********* ********* Operation completed. Please restart all servers.
次の手順に従ってOIMSignature Authenticatorを作成します。
http://admin.mycompany.com/console
でWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「新規」をクリックします。
次の情報を指定します。
名前: OIMSignatureAuthenticator
タイプ: OIMSignatureAuthenticator
「OK」をクリックします。
新しく作成されたOIMSignatureAuthenticatorプロバイダのリンクをクリックします。
「共通」タブで、「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
「変更のアクティブ化」をクリックして、変更をアクティブ化します。
管理サーバーや管理対象サーバーは再起動しないでください。この項の最後で再起動を行います。
「OIM Authentication Provider」の「制御フラグ」を「OPTIONAL」に設定します。次の手順を実行します。
http://admin.mycompany.com/console
でWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「OIMAuthenticationProvider」リンクをクリックします。
「共通」タブで、「制御フラグ」を「OPTIONAL」に設定します。
「保存」をクリックします。
「変更のアクティブ化」をクリックして、変更をアクティブ化します。
管理サーバーや管理対象サーバーは再起動しないでください。この項の最後で再起動を行います。
表に記載されているように認証プロバイダを並び替えます。次の手順に従って、プロバイダを並び替えます。
http://admin.mycompany.com/console
でWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「並替え」をクリックします。
「認証プロバイダの並替え」ページで、次の表に記載されているようにプロバイダを並び替えます。「制御フラグ」が表のとおりであることを確認します。
名前 | 制御フラグ |
---|---|
OAM Identity Asserter | REQUIRED |
Default Authenticator | SUFFICIENT |
OIM Signature Authenticator | SUFFICIENT |
OIM Authentication Provider | OPTIONAL |
OVD Authenticator | SUFFICIENT |
Default Identity Asserter | SUFFICIENT |
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内のWLS管理サーバーとすべての管理対象サーバーを停止し、起動します。
Oracle Internet Directory内に手動でxelsyadmユーザーを作成します。ldapadd
コマンドをOracle Virtual Directoryに対して実行します。
次の内容でxelsysadm.ldif
ファイルを作成します。
dn: cn=xelsysadm, cn=Users, dc=mycompany,dc=com
orclPwdChangeRequired: false
orclPwdExpirationDate: 2035-01-01T00:00:00Z
sn: admin
uid: xelsysadm
givenname: xelsysadm
displayname: xelsysadm
mail:xelsysadm@mycompany.com
cn: xelsysadm
objectclass: orclIDXPerson
objectclass: inetOrgPerson
objectclass: organizationalPerson
objectclass: person
objectclass: top
userpassword: xelsysadm password
orclAccountEnabled: activated
orclisenabled: ENABLED
mail
属性でユーザーが作成されていることを確認してください。この属性はOracle Identity Managementでユーザー調整を行うために必須になります。
ldapadd
コマンドを使用してLDAP内にxelsysadm
をシードします。ldapadd
コマンドをOVDに対して実行し、ユーザーを作成します。
ldapadd -h ovd.mycompany.com -p 389 -D cn="orcladmin" -q -f xelsysadm.ldif
Webゲート・エージェント・タイプでOracle Identity Managerの構成を更新します。oim-config.xml
ファイル内でこの値を更新する必要があります。
管理サーバーが実行されているホストIDMHOST1
上でこれらの手順を実行します。
OIMメタデータ・エクスポート・ツールを使用してMDSリポジトリから/db/oim-config.xml
ファイルをエクスポートします。OIMメタデータ・エクスポート・ツールweblogicExportMetadata.sh
は、IAM_ORACLE_HOME
/server/bin
ディレクトリ下にあります。
oim-config.xml
ファイルは、wls_servername
で指定した管理サーバーが実行されているホストにおいてmetadata_to_loc
で指定したディレクトリにエクスポートされます。
ツールを実行する前に、IAM_ORACLE_HOME
/server/bin
ディレクトリの下にあるweblogic.properties
ファイルを次のように更新します。
# Weblogic Server Name on which OIM application is running wls_servername=WLS_OIM1 # If you are importing or exporting any out of box event handlers, value is oim. # For rest of the out of box metadata, value is OIMMetadata. # If you are importing or exporting any custom data, always use application name as OIMMetadata. application_name=oim # Directory location from which XML file should be imported. # Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml, # I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist # in this folder or in its sub folders. Import utility tries to recursively import all the files under the # from location folder. This property is only used by weblogicImportMetadata.sh metadata_from_loc=@metadata_from_loc # Directory location to which XML file should be exported to metadata_to_loc=/home/oracle/oim_export # For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values.# This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts metadata_files=/db/oim-config.xml # Application version application_version=11.1.1.3.0
OIM_ORACLE_HOME
変数をアイデンティティ管理のOracleホームに設定します。
prompt> export OIM_ORACLE_HOME=/u01/app/oracle/product/fmw/iam
OIMメタデータ・エクスポート・ツールを実行します。
prompt>./weblogicExportMetadata.sh
求められたら、ユーザー名、パスワードおよびサーバーURLの値を指定します。
Please enter your username [weblogic] :Enter the admin user name for the Weblogic Domain, For Example: weblogic Please enter your password [welcome1] : Enter the password for the Admin User Please enter your server URL [t3://localhost:7001] Enter the URL to connect to the OIM Managed Server. For Example:t3://oimhost1.mycompany.com:14000
ツールの出力は次のようになります。
Initializing WebLogic Scripting Tool (WLST) ...
Welcome to WebLogic Server Administration Scripting Shell
Type help() for help on available commands
Starting export metadata script ....
Please enter your username [weblogic] :weblogic
Please enter your password [welcome1] :
Please enter your server URL [t3://localhost:7001]
:t3://strasha14.us.oracle.com:14000
Connecting to t3://strasha14.us.oracle.com:14000 with userid weblogic ...
Successfully connected to managed Server 'WLS_OIM1' that belongs to domain 'IDMDomain'.
Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port orAdmin port should be used instead.
Location changed to custom tree. This is a writable tree with No root.
For more help, use help(custom)
Disconnected from weblogic server: WLS_OIM2
End of export metadata script ...
Exiting WebLogic Scripting Tool.
/home/oracle/oim_export/db
ディレクトリ下に作成されたoim-config.xml
ファイルを編集して、次のようにwebgateType
の値をohsWebgate10g
へと更新します。
<webgateType>ohsWebgate10g</webgateType>
注意: oim-config.xml ファイルは、wls_servername で指定した管理サーバーが実行されているホストにおいてmetadata_to_loc で指定したディレクトリにエクスポートされます。 |
IAM_ORACLE_HOME
/server/bin
ディレクトリの下にあるweblogic.propertiesファイルを次に示すように更新します。
# Weblogic Server Name on which OIM application is running
wls_servername=WLS_OIM1
# If you are importing or exporting any out of box event handlers, value is oim.
# For rest of the out of box metadata, value is OIMMetadata.
# If you are importing or exporting any custom data, always use application name as OIMMetadata.
application_name=oim
# Directory location from which XML file should be imported.
# Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml,
# I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist
# in this folder or in its sub folders. Import utility tries to recursively import all the files under the
# from location folder. This property is only used by weblogicImportMetadata.sh
metadata_from_loc=/home/oracle/oim_export/db
# Directory location to which XML file should be exported to
metadata_to_loc=/home/oracle/oim_export
# For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values.
# This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts
metadata_files=/db/oim-config.xml
# Application version
application_version=11.1.1.3.0
OIMメタデータ・インポート・ツールを実行します。
prompt>./weblogicImportMetadata.sh
求められたら、ユーザー名、パスワードおよびサーバーURLの値を指定します。
Please enter your username [weblogic] :Enter the admin user name for the Weblogic Domain, For Example: weblogic Please enter your password [welcome1] : Enter the password for the Admin User Please enter your server URL [t3://localhost:7001] Enter the URL to connect to OIM Managed Server. For Example:t3://oimhost1.mycompany.com:7001
ツールの出力は次のようになります。
Initializing WebLogic Scripting Tool (WLST) ...
Welcome to WebLogic Server Administration Scripting Shell
Type help() for help on available commands
Starting import metadata script ....
Please enter your username [weblogic] :weblogic
Please enter your password [welcome1] :
Please enter your server URL [t3://localhost:7001] :t3://strasha14.us.oracle.com:14000
Connecting to t3://OIMHOST1.mycompany.com:14000 with userid weblogic ...
Successfully connected to managed Server 'WLS_OIM1' that belongs to domain 'IDMDomain'.
Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port or Admin port should be used instead.
Location changed to custom tree. This is a writable tree with No root.
For more help, use help(custom)
Disconnected from weblogic server: WLS_OIM2
End of import metadata script ...
Exiting WebLogic Scripting Tool.
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle Identity Management管理対象サーバーを停止し、起動します。
OAM11gとOIM11gの統合が成功したことを確認するには、次のようにOracle Identity Managerセルフ・サービス・コンソールへのログインを試します。
ブラウザを使用してhttps://sso.mycompany.com:443
に移動します。これによりOAM11gシングル・サインオン・ページにリダイレクトされます。
第18.4.5項「Oracle Internet Directoryでのxelsysadmユーザーのシード」で作成したxelsysadm
ユーザー・アカウントを使用してログインします。
OIMセルフ・サービス・コンソールページが表示されれば、ログインは成功です。
この項では、OAAMをOAMおよびOIMと統合する方法について説明します。OAAMをOAMと統合すると、標準のOAMログインのかわりにOAAMを使用してリソースへのアクセスを検証できます。OAAMは認証を実行しますが、それはOAMの中のユーザーに対する認証です。
OAAMをOIMと統合すると、ユーザー名やパスワードを忘れたユーザーをOIMを使用して補助できます。
この項の内容は次のとおりです。
この関連付けを開始する前に、次の作業が行われたことを確認してください。
Webブラウザを使用して、http://adminhost.us.oracle.com/em
でOracle Fusion Middleware Enterprise Managerコンソールにアクセスします。
WebLogic管理者アカウント(たとえば、WebLogic
)を使用して、ログインします。
左側ペインのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
「IDMDomain」を選択して右クリックします。メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。
次を入力します。
キー名: oam.credentials
タイプ: パスワード
ユーザー名: OAM
パスワード: OAM Webゲート用パスワード
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
http://admin.mycompany.com/oamconsole
でOAMコンソールにoamadmin
ユーザーとしてログインします。
「ポリシー構成」タブをクリックします。
「認証スキーム」の下の「OAAMAdvanced」をダブルクリックします。
次の情報を入力します。
チャレンジURL: https://sso.mycompany.com:443/oaam_server/oamLoginPage.jsp
「適用」をクリックします。
Oracle Adaptive Access Managerはユーザー認証用にLDAPを使用できます。http://admin.mycompany.com/oaam_admin
でOAAM管理コンソールを使用して、この統合を有効にします。
第12.1.1項「LDAPにおけるOAAMの管理グループとユーザーの作成」で作成したoaamadmin
アカウントを使用してログインします。次のように実行します。
ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。
プロパティ検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。
現在値が検索結果ウィンドウに表示されます
「値」をクリックします。
新しい値を入力し「保存」をクリックします。
OAAMとOAMの統合のため、次のプロパティを設定します。
bharosa.uio.default.password.auth.provider.classname
: com.bharosa.vcrypt.services.OAMOAAMAuthProvider
bharosa.uio.default.is_oam_integrated
: true
oaam.uio.oam.host
: idmhost1.mycompany.com
oaam.uio.oam.port
: OAMサーバーのプロキシ・ポート(たとえば、5574
)
oaam.uio.oam.obsso_cookie_domain
: mycompany.com
oaam.uio.oam.webgate_id
: Webgate_mysso
oaam.uio.oam.secondary.host
: idmhost2.mycompany.com
oaam.uio.oam.secondary.host.port
: 3004
oaam.oam.csf.credentials.enabled
: true
oaam.uio.login.page
: /oamLoginPage.jsp
管理対象サーバーの再起動: 第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーのWLS_OAM1
、WLS_OAM2
、WLS_OAAM1
およびWLS_OAAM2
を再起動します。
この検証を実行するには、まずテスト・リソースを作成します。
WEBHOST1
とWEBHOST2
で、テスト・ページoaam_sso.html
を作成します。最も簡単な方法は、ORACLE_INSTANCE
/config/OHS/
component
/htdocs
ディレクトリで、次の内容のoaam_sso.html
ファイルを作成する方法です。
<html> <body> <center> <p> <h2> OAAM Protected Resource </h2> </p> </center> </body> </html>
保護されるものを作成しましたが、リソースをOAMで作成してから、第11.8.2項「Oracle Adaptive Access Managerポリシー・グループの作成」で作成したOAAMポリシー・グループに割り当てます。
http://admin.mycompany.com/oamconsole
でOAMコンソールにログインします。作成済のoamadmin
アカウントを使用してログインします。
「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」を開きます。
「リソース」をクリックします。
ツール・バーの「作成」(「参照」タブの下)をクリックします。
次の情報を入力します。
タイプ: http
ホスト識別子: IDMDomain
リソースURL: /oaam_sso.html
「適用」をクリックします。
リソースが存在するので、作成したポリシー・グループのいずれかに割り当てます。
以前に作成したoamadmin
アカウントを使用して、http://admin.mycompany.com/oamconsole
でOAMコンソールにログインします。
「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」→「認証ポリシー」を開きます。
OAAM保護リソースをクリックします。
「参照」タブの下でツールバーの「編集」をクリックします。
「リソース」ボックスで、「+」をクリックします。
作成したリソースをリストから選択します。
「適用」をクリックします。
残りのすべてでは、保護されているリソースのリストにリソースが追加されます。これを実行するには、作成済のoamadmin
アカウントを使用して、http://admin.mycompany.com
でOAMコンソールにログインします。
「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」→「認可ポリシー」を開きます。
保護されているリソース・ポリシーをクリックします。
「参照」タブの下でツールバーの「編集」をクリックします。
「リソース」ボックスで、「+」をクリックします。
作成したリソースをリストから選択します。
「適用」をクリックします。
第18.2項「Webゲートのインストールと構成」の説明に従って、Oracle WebGateをインストールします。
https://sso.mycompany.com:443/oaam_sso.html
のURLを使用して、保護されているリソースにアクセスします。OAAMのログイン・ページが表示されます。認可されているOAMユーザー(たとえば、oamadmin
)としてログインします。ログインすると、OAMで保護されているリソースが表示されます。
OAAMには広範なチャレンジ質問が用意されています。これには次のような機能があります。
必要に応じて認証の前後に一連の質問でユーザーにチャレンジします。
質問をイメージとして提示し、多様な入力装置により回答を求めます。
1つずつ順に質問し、正しい答えが指定された場合のみ次の質問が表示されます。
Oracle Identity Managerには、基本的なチャレンジ質問機能もあります。これによりパスワードを忘れた場合に、ユーザーは一連の構成可能な質問に答えてパスワードをリセットできます。OAAMと異なり、Oracle Identity Managerには豊富なパスワード検証機能も用意されており、単純な属性に加え、ポリシーを所有者のアカウントに基づいて設定することもできます。
Identity Management Suiteのデプロイメントでは、単一セットのチャレンジ質問を登録し、単一セットのパスワード・ポリシーを使用することをお薦めします。OAAMをOracle Identity Managerと統合することで、OAAMではチャレンジ質問が処理され、Oracle Identity Managerではパスワードの検証、保管および伝播が処理されます。これにより不正防止にOAAMを使用すると同時にパスワード検証にOracle Identity Managerを使用できます。OAAMをOracle Identity Managerと統合すると、ユーザー名やパスワードを忘れたユーザーをOracle Identity Managerを使用して補助できます。
この項の内容は次のとおりです。
この関連付けを開始する前に、次の作業が行われたことを確認してください。
Webブラウザを使用して、http://adminhost.us.oracle.com/em
でOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
WebLogic管理者アカウント(たとえば、WebLogic
)を使用して、ログインします。
左側ペインのナビゲーション・ツリーで「weblogic_domain
」アイコンを展開します。
IDMドメインを選択して右クリックします。メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「マップの作成」をクリックします。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。
次を入力します。
キー名: oam.credentials
タイプ: パスワード
ユーザー名: xelsysadm
パスワード: xelsysadm
アカウントのパスワード
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
http://OAAMHOST2.mycompany.com:14200/oaam_admin
でOAAM管理コンソールにアクセスします。第12.1.1項「LDAPにおけるOAAMの管理グループとユーザーの作成」で作成したoaamadmin
アカウントを使用してログインします。次のように実行します。
ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。現在値が検索結果ウィンドウに表示されます
「値」をクリックします。新しい値を入力し「保存」をクリックします。
OAAMとOIMの統合のため、次のプロパティを設定します。
bharosa.uio.default.user.management.provider.classname
: com.bharosa.vcrypt.services.OAAMUserMgmtOIM
bharosa.uio.default.signon.links.enum.selfregistration.url
: https://sso.mycompany.com:443/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=SELF_REGISTRATION&backUrl=https://sso.us.oracle.com:443/oim/faces/pages/Self.jspx
bharosa.uio.default.signon.links.enum.trackregistration.enabled
: true
bharosa.uio.default.signon.links.enum.selfregistration.enabled
: true
bharosa.uio.default.signon.links.enum.trackregistration.url
: https://sso.mycompany.com:443/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=UNAUTH_TRACK_REQUEST&backUrl=https://sso.us.oracle.com:443/oim/faces/pages/Self.jspx
oaam.oim.csf.credentials.enabled
: true
oaam.oim.auth.login.config
: ${oracle.oaam.home}/../designconsole/config/authwl.conf
oaam.oim.url
: t3://oimhost1.mycompany.com:14000,oimhost2.mycompany.com:14000
oaam.oim.xl.homedir
: ${oracle.oaam.home}/../designconsole
http://oimhost1.mycompany.com:14000/oim/self
のURLを使用してOIM管理コンソールにログインします。
セルフサービス・コンソールの「拡張」リンクをクリックします。
「システム管理」ボックスで「システム・プロパティの検索」をクリックします。
「システム構成」検索ボックスの下の「拡張検索」をクリックします。
拡張検索画面が表示されたら、右矢印(→)をクリックします。一般検索を実行します。検索文字列は指定しません。
表示されるプロパティのそれぞれをクリックして、「アクション」メニューで「開く」を選択します。次のように各プロパティの値を設定して、「保存」をクリックします。
注意: プロパティ名が「キーワード」列に表示されます。 |
OIM.DisableChallengeQuestions
: TRUE
OIM.ChangePasswordURL
: https://sso.mycompany.com:443/oaam_server/oimChangePassword.jsp
OIM.ForgotPasswordURL
: https://sso.mycompany.com:443/oaam_server/oimForgotPassword.jsp
OIM.ChallengeQuestionModificationURL
: https://sso.mycompany.com:443/oaam_server/oimResetChallengeQuestions.jsp
http://admin.us.oracle.com/oamconsole
でOAMコンソールにログインします。
「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」を開きます。
「認証ポリシー」をクリックします。
より上位の保護されているポリシーポリシーをダブルクリックします。
認証スキームを「OAAMAdvanced」に変更します。
「適用」をクリックします。
アプリケーションでログアウトを可能にするには、ログアウト・ページを作成する必要があります。デフォルト・ページが用意されていますが、それを編集してWEBHOST1
およびWEBHOST2
上のWebゲートのインストールにコピーする必要があります。
IDMHOST1
上のIDM_ORACLE_HOME
/oam/server/oamsso
ディレクトリからlogout.html
ファイルをWEBHOST1
およびWEBHOST2
上のMW_HOME
/webgate/access/oamsso
にコピーします。
WEBHOST1
上のファイルを編集します。SERVER_LOGOUTURL
をhttps://sso.mycompany.com:443/oam/server/logout
に変更します。
編集すると、エントリは次のようになります。
/////////////////////////////////////////////////////////////////////////////// var SERVER_LOGOUTURL = "https://sso.mycompany.com:443/oam/server/logout"; ///////////////////////////////////////////////////////////////////////////////
ファイルを保存します。
WEBHOST2
上のファイルも同様に変更します。
これでWebサーバー上に独自のログアウト・ページが作成されました。デフォルトのエントリは削除する必要があります。
ORACLE_INSTANCE
/config/OHS/
component name
/
ディレクトリ下のhttpd.conf
ファイルを編集します。
行の先頭に#を付けて、次の行をコメント・アウトします。編集された行は次のようになります。
#*******Default Login page alias***Alias /oamsso "/u01/app/oracle/product/fmw/webgate/access/oamsso" #<LocationMatch "/oamsso/*"> #Satisfy any #</LocationMatch> #**********************************
ファイルを保存します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、次の管理対象サーバーを再起動します。
管理サーバー
WLS_OAM1およびWLS_OAM2
WLS_OIM1およびWLS_OIM2
WLS_OAAM1およびWLS_OAAM2
OIMがOAAMと統合されていることを次のように検証します。
http://sso.mycompany.com:443/oim/self
でOIMコンソールにログインします。
OAMのログイン・ページが表示されます。
OIMコンソールにxelsysadm
ユーザーとしてログインします。
チャレンジ質問とOAAM固有のセキュリティ・ポリシーを設定するように求められます。
この項では、Oracle Identity FederationとOracle Access Managerの統合方法について説明します。
この項の内容は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Identity Federationサーバーを構成します。OIFターゲットを選択します。
まず、メタデータを生成します。
OIFメニューで「管理」、「セキュリティおよび信頼」の順に選択して、次に「プロバイダ・メタデータ」タブをクリックします。
ページの「メタデータの生成」セクションで、「サービス・プロバイダ」を選択してから、「生成」をクリックし、サービス・プロバイダ用のメタデータを生成します。
メタデータ・ファイルをクライアント・マシンのローカル・ディスク上のディレクトリに保存します。
次に「アイデンティティ・プロバイダ」を選択してから、「生成」をクリックし、アイデンティティ・プロバイダのメタデータを生成します。
次にメタデータをロードすることによりサービス・プロバイダとアイデンティティ・プロバイダを登録します。
OIFメニューで、「管理」→「フェデレーション」を選択します。
生成したメタデータをロードするために「追加」をクリックします。
「プロバイダの有効化」と「メタデータのロード」を選択します。
サービス・プロバイダとアイデンティティ・プロバイダの両方が「フェデレーション」ページにリストされます。
OIFメニューで、「管理」→「データ・ストア」を選択します。
「編集」をクリックしてから「リポジトリ・タイプ」を選択して、ページの「ユーザー・データ・ストア」セクションにデータ・ストアの詳細を指定します。
OIFメニューで、「管理」→「認証エンジン」を選択します。
第18.7.1.2項「データ・ストアの構成」で構成したデータ・ストアを設定することにより、認証エンジンがユーザー・データ・ストア情報を取り込み、ユーザーを認証できるようにします。
「デフォルトの認証エンジン」リストで「LDAPディレクトリ」を選択します。「適用」をクリックします。
OIFメニューで、「管理」→「サービス・プロバイダ」を選択します。「共通」タブで、サービス・プロバイダを有効にし、第18.7.1.1項「アイデンティティ・プロバイダ・モジュールおよびサービス・プロバイダ・モジュールの生成と構成」でデフォルトのサービス・プロバイダとして登録したサービス・プロバイダを選択します。
同様にOIFメニューで、「管理」→「アイデンティティ・プロバイダ」を選択します。「共通」タブで、アイデンティティ・プロバイダを有効にし、第18.7.1.1項「アイデンティティ・プロバイダ・モジュールおよびサービス・プロバイダ・モジュールの生成と構成」でデフォルトのアイデンティティ・プロバイダとして登録したアイデンティティ・プロバイダを選択します。
Oracle Access Manager Server情報を使用してOracle Identity Federationを構成します。これにより、アサーション・トークンを送信し、セッション管理をOracle Access Managerサーバーへと展開できます。
OIFメニューで、「管理」→「サービス・プロバイダ統合モジュール」を選択します。
リストから「Oracleシングル・サインオン」を選択します。
「Oracleシングル・サインオン」タブで、「ログアウト有効」を選択し、次の詳細を構成します。
ログインURL: https://sso.mycompany.com/oam/server/dap/cred_submit
ログアウトURL: https://sso.mycompany.com/oam/server/logout
「Oracleシングル・サインオン・シークレット」の隣の「再生成」をクリックします。これにより、Oracle Access ManagerサーバーとOracle Identity Federationサーバーとの間で受け渡しされるトークンの暗号化と解読のための鍵を含むkeystore
ファイルが生成されます。
keystore
ファイルを生成します。「別名保存」ダイアログ・ボックスが表示されたら、ファイルを保存します。keystore
ファイルをローカルホスト上のディレクトリに保存します。
次の項でwlst
コマンドを使用するときにkeystore
ファイルのフル・パスを指定する必要があります。
前の項でリソースを保護するためにOAMサーバーを構成しました。ユーザーがリソースにアクセスしようとすると、OAMサーバーのチャレンジ質問に応えて資格証明情報を入力する必要があります。次のタスクでは、OIFサーバーで認証を実施するようにOAMサーバーを構成します。
OIFScheme
を使用してリソースを保護します。
OAMサーバーがインストールされているMiddlewareホーム内のディレクトリにkeystore
ファイルをコピーします。
IAM_ORACLE_HOME
/common/bin
ディレクトリ下のWLSTを起動し、次のようにregisterOIFDAPPartner
コマンドを使用してoamconfig.xml
のOIFDAPPartner
ブロックを更新します。
registerOIFDAPPartner(keystoreLocation=location_of_keystore_file, logoutURL=OIF_logout_URL)
OIF_logout_URL
は、Oracle Access Managerサーバーがログアウトするときに呼び出すURLです。次に例を示します。
registerOIFDAPPartner(keystoreLocation="/home/vaselvar/keystore", logoutURL="http://sso.mycompany.com/fed/user/spsloosso?doneURL=http:/sso.mycompany.com/oam/logout.jsp ")
検証するには、oam-config.xml
ファイルを開きOIFDAPPartner
を検索して、wlst
コマンドを使用して指定した値によってそのブロック内のプロパティが更新されていることを確認します。
次に、DOMAIN_HOME
/config/fmwconfig
ディレクトリ内のoam-policy.xml
ファイルを編集します。OIFScheme
内の該当するホスト・ポート情報にOIFHost:OIFPort
を変更します。
<authn-scheme version="1" type="allow" name="OIFScheme" id="4bbbf36c-1781-49e0-bb42-7a5e8316450c" description="OIFScheme" auth-level="2"> <challenge-redirect-url>/ngam/server/</challenge-redirect-url> <challenge-mechanism>DAP</challenge-mechanism> <challenge-param> <param type="external" optional="false" name="contextType"/> <param type="string" optional="false" name="daptoken"/> <param type="http://<OIFHost>:<OIF Port>/fed/user/sposso" optional="false" name="challenge_url"/> </challenge-param> <authn-module name="DAP"/> </authn-scheme>
OAMサーバーの埋込みLDAPにフェデレーテッド・ユーザーを追加します。
http://admin.mycompany.com/console
で管理コンソールにアクセスします。
「セキュリティ・レルム」→「ユーザーとグループ」→「新規」→「新しいユーザーの作成」の順に選択します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーと管理対象サーバーを再起動します。
Oracle Fusion Middlewareの監査フレームワークは、ミドルウェア・ファミリ製品の監査フレームワークの一元化を目的としてOracle Fusion Middleware 11gに提供された新しいサービスです。このフレームワークは、Oracle Platform Security Service(OPSS)およびOracle Web Servicesなどのプラットフォーム・コンポーネントを対象とした監査サービスを提供します。また、Oracle独自のJavaEEコンポーネントをはじめとするJavaEEアプリケーションのためのフレームワークも提供します。JavaEEアプリケーションは、アプリケーション固有の監査イベントを作成できます。監査フレームワークは、CおよびJavaSEコンポーネントなど、JavaEE以外のOracleミドルウェア・コンポーネントに対してJavaEEアプリケーションと同様のエンドツーエンド構造を提供します。
図18-1は、Oracle Fusion Middleware監査フレームワークの高度なアーキテクチャを示しています。
Oracle Fusion Middleware監査フレームワークは、次の主要コンポーネントで構成されます。
監査API
Oracle Fusion Middleware監査フレームワークに統合される監査対象のすべてのコンポーネントのための監査フレームワークによって提供されるAPIです。これらのAPIは、実行中にアプリケーション・コード内で発生している特定イベントに関する必要な情報を監査するためにアプリケーションによってコールします。このインタフェースによりアプリケーションは監査対象イベントの内容を提供するために必要なユーザー名などの属性を指定できます。
監査イベントと構成
Oracle Fusion Middleware監査フレームワークには、アプリケーション監査イベントへの便利なマッピングのために一連の汎用イベントが用意されています。これには認証などの一般的なイベントが含まれています。このフレームワークによりアプリケーションはアプリケーション固有のイベントを定義できます。
これらのイベント定義と構成は、Oracle Platform Security Servicesの監査サービスの一環として実装されます。構成は、Enterprise Manager(UI)およびWLST(コマンドライン・ツール)で更新できます。
監査バスストップ
バスストップは、監査リポジトリに送られる前の監査データを含むローカル・ファイルです。データベース・リポジトリが構成されていない場合には、バスストップ・ファイルをファイル・ベースの監査リポジトリとして使用できます。バスストップ・ファイルは、特定の監査イベントを検索するために簡単に問い合せられる単純なテキスト・ファイルです。DBベースのリポジトリが作成されると、バスストップはコンポーネントと監査リポジトリの間で仲介役を勤めます。ローカル・ファイルは構成された周期で定期的に監査リポジトリにアップロードされます。
監査ローダー
名前が示すように、監査ローダーは監査バスストップから監査リポジトリにファイルをロードします。プラットフォームおよびJavaEEアプリケーション監査の場合、監査ローダーはJavaEEコンテナの起動と同時に起動されます。システム・コンポーネントの場合、監査ローダーは定期的に発生するプロセスです。
監査リポジトリ
監査リポジトリには、リポジトリ作成ユーティリティ(RCU)によって作成された定義済Oracle Fusion Middleware監査フレームワーク・スキーマが含まれます。一度構成されると、すべての監査ローダーはリポジトリを認識し、それに定期的にデータをアップロードします。監査リポジトリ内の監査データは累積され時間の経過とともに増加します。リポジトリには、他のアプリケーションによって使用される運用データベースでなく、監査目的のみに使用されるスタンドアロンのRDBMSを使用する方が理想的です。高可用性構成の場合、監査データ・ストアとしてOracle Real Application Cluster(RAC)データベースの使用をお薦めします。
Oracle Business Intelligence Publisher
監査リポジトリ内のデータは、Oracle Business Intelligence Publisherの定義済レポートにより出力されます。ユーザーはレポートにより多様な条件に基づいて監査データを掘り下げることができます。次に例を示します。
ユーザー名
時間範囲
アプリケーションの種類
実行コンテキスト識別子(ECID)
Oracle Fusion Middleware監査フレームワークの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「Oracle Fusion Middleware監査フレームワークの概要」を参照してください。
Oracle Fusion Middleware監査フレームワーク用にリポジトリを構成する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「監査の構成と管理」を参照してください。
EDGトポロジには、Oracle Fusion Middleware監査フレームワーク構成が含まれていません。監査データをバスストップ・ファイルに生成する機能と監査ローダーの構成は、製品がインストールされた後に使用可能になります。主な留意点は、監査データを保管する監査データベース・リポジトリです。監査データのボリュームと履歴特性により、運用中のストアや他のミドルウェア・コンポーネントによって使用されるストアとは別のデータベースを使用することを強くお薦めします。