14.5 LDAP同期を使用するOIM、OAMおよびOAAMの構成

このトピックでは、新規または既存のWebLogicドメインにLDAP同期を使用するOracle Identity Manager（OIM）、Oracle Access Manager（OAM）およびOracle Adaptive Access Manager（OAAM）を構成する方法を説明します。

内容は次のとおりです。

• 概要

• 前提条件

• シナリオ1: 新しいWebLogicドメインにおけるLDAP同期を使用するOIMおよびOAMの構成

• シナリオ2: OIDおよびOVDが含まれているドメインでの構成

• シナリオ3: OAPMおよびOINが含まれているドメインでの構成

14.5.1 概要

この項では、次のタスクを実行します。

1. Oracle Internet DirectoryおよびOracle Virtual Directoryをインストールおよび構成します。

2. Oracle Identity Manager、Oracle Access ManagerおよびOracle Adaptive Access Managerをインストールおよび構成します。

3. Oracle Internet DirectoryをLDAPプロバイダとして使用するよう、Oracle Access Managerを構成します。

4. Oracle Identity Manager用にLDAP同期を設定します。

5. Oracle Identity Managerサーバー、Design Console（Windowsのみ）、およびRemote Managerを構成します。

14.5.2 前提条件

次に、LDAP同期を使用するOracle Identity Manager、Oracle Access ManagerおよびOracle Adaptive Access Managerをインストールおよび構成するための前提条件を示します。

• Oracle Databaseのサポートされているバージョンをインストールします。「Oracle Databaseのインストール」を参照してください。

• データベース・スキーマを作成およびロードします。「Repository Creation Utility（RCU）を使用したデータベース・スキーマの作成」を参照してください。

• Oracle WebLogic Server 10.3.3をインストールし、ミドルウェア・ホームを作成します。「Oracle WebLogic Server 10.3.3のインストールおよびOracleミドルウェア・ホームの作成」を参照してください。

• Oracle Internet Directory（OID）およびOracle Virtual Directory（OVD）が含まれているOracle Identity Management 11gリリース1（11.1.1）Suiteがインストールされていることを確認します。「Oracle Identity Managementの最新バージョンのインストール」を参照してください。

  Oracle_IDM1などのIDM_Homeディレクトリが作成されます。このディレクトリはOracle Internet Directory（OID）、Oracle Virtual Directory（OVD）およびOracle Directory Services Manager（ODSM）のOracleホームです。

• Oracle Internet Directory（OID）およびOracle Virtual Directory（OVD）をWebLogic管理ドメインに構成します。「ODSMを伴う、新しいWebLogicドメインへのOIDおよびOVDの構成」を参照してください。

• Oracle Identity Manager（OIM）、Oracle Access Manager（OAM）、Oracle Adaptive Access Manager、Oracle Authorization Policy Manager（OAPM）およびOracle Identity Navigator（OIN）が含まれているOracle Identity Management 11gリリース1（11.1.1）Suiteをインストールします。「Oracle Identity Management 11gソフトウェアのインストール」を参照してください。

  Oracle_IDM2などのIDM_Homeディレクトリが作成されます。このディレクトリは、Oracle Identity Manager（OIM）およびOracle Access Manager（OAM）のOracleホームです。

• 
  

  注意: ここでは、Oracle Internet Directory（OID）、Oracle Virtual Directory（OVD）、Oracle Identity Manager（OIM）およびOracle Access Manager（OAM）を同じマシンにインストールおよび構成することを前提としています。この章で2つの異なるIDM_Homeディレクトリに言及しているのはそのためです。

  
  

• Oracle SOA Suiteの最新バージョンを同じミドルウェア・ホームにインストールし、Oracle SOA Suiteに最新バージョンのパッチを適用します。「Oracle SOA Suiteの最新バージョンのインストール（Oracle Identity Managerユーザーのみ）」を参照してください。

14.5.3 シナリオ1: 新しいWebLogicドメインでの構成

この項の内容は次のとおりです。

• 適切なデプロイメント環境

• デプロイされるコンポーネント

• 依存関係

• 手順

14.5.3.1 適切なデプロイメント環境

後にOracle Identity ManagerとOracle Access Manager（OAM）との統合を設定する可能性のある環境に、LDAP同期を使用するOracle Identity Manager（OIM）をインストールする場合、このトピックの構成を実行してください。統合の手順は、「OIMおよびOAMの統合」を参照してください。

Oracle Authorization Policy ManagerおよびOracle Identity Navigatorなどの他のOracle Identity Management製品を、後に同じドメインに追加できます。

14.5.3.2 デプロイされるコンポーネント

この項の構成を実行すると、次のコンポーネントがデプロイされます。

• WebLogic Administration Server

• Oracle Identity Manager、Oracle Adaptive Access ManagerおよびOracle Access Managerの管理対象サーバー

• Oracle Identity Managerの管理対象サーバー上にあるOracle Identity管理コンソール、Oracle Identity Managerセルフ・サービス・コンソールおよびOracle Identity Manager拡張管理コンソール

• 管理サーバー上のOracle Access ManagerコンソールおよびOracle Adaptive Access Managerコンソール

14.5.3.3 依存関係

この項の構成は、次のものに依存しています。

• Oracle WebLogic Server。

• Oracle Internet DirectoryおよびOracle Virtual Directoryのインストールおよび構成。

• Oracle Identity Management 11gソフトウェアのインストール。

• Oracle SOA Suiteの最新バージョンのインストール（Oracle Identity Managerで必須）。

• Oracle Identity Manager、Oracle SOA Suite、Oracle Adaptive Access ManagerおよびOracle Access Managerのデータベース・スキーマ。詳細は、「リポジトリ作成ユーティリティ（RCU）を使用したデータベース・スキーマの作成」を参照してください。

14.5.3.4 手順

新しいWebLogicドメインにLDAP同期を使用するOracle Identity Manager、およびOracle Access Managerを構成するには、次の手順を実行します。

1. 「前提条件」に記載されているすべての前提条件が満たされていることを確認します。さらに、「開始前の重要な注意点」も参照してください。

2. UNIXの場合、<Oracle_IDM2>/common/bin/config.shスクリプトを実行します（Windowsの場合は<IDM_Home>\common\bin\config.cmd）。Oracle Fusion Middleware構成ウィザードが表示されます。

3. 「ようこそ」画面で、「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。

4. 「ドメイン・ソースの選択」画面で、次のドメイン構成オプションを選択します。

   • Oracle Identity Manager - 11.1.1.3.0 [Oracle_IDM2]

     
     

     注意: Oracle Identity Manager - 11.1.1.3.0 [Oracle_IDM2]オプションを選択すると、デフォルトで、Oracle SOA Suite - 11.1.1.0 [Oracle_SOA1]、Oracle Enterprise Manager - 11.1.1.0 [oracle_common]、Oracle JRF - 11.1.1.0 [oracle_common]、およびOracle WSM Policy Manager - 11.1.1.0 [oracle_common]オプションも選択されます。

     
     

   • Oracle Access Manager with Database Policy Store - 11.1.1.3.0 [Oracle_IDM2]

   • Oracle Adaptive Access Manager Admin Server - 11.1.1.3.0 [Oracle_IDM2]

     Oracle Adaptive Access Manager Admin Server - 11.1.1.3.0 [Oracle_IDM2}オプションを選択すると、Oracle Identity Navigator - 11.1.1.3.0 [Oracle_IDM2]オプションもデフォルトで選択されます。

5. ドメイン構成オプションを選択した後、「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。

6. 「ドメイン名と場所の指定」画面で、作成するドメインの名前および場所を入力します。さらに、このドメインのアプリケーションを格納する場所を入力します。「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。

7. 管理者のユーザー名およびパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。「サーバーの起動モードおよびJDKの構成」画面が表示されます。

8. Oracle Fusion Middleware構成ウィザードの「サーバーの起動モードおよびJDKの構成」画面で、「JRockit SDK 160_17_R28.0.0-679」および「本番モード」を選択します。「次へ」をクリックします。「JDBCコンポーネント・スキーマの構成」画面が表示されます。

9. 「JDBCコンポーネント・スキーマの構成」画面で、変更するコンポーネント・スキーマ（OAAM管理スキーマ、OAAM管理MDSスキーマ、SOAインフラストラクチャ・スキーマ、ユーザー・メッセージ・サービス・スキーマ、OWSM MDSスキーマ、OIM MDSスキーマ、OIMスキーマまたはSOA MDSスキーマなど）を選択します。

   「スキーマ所有者」、「スキーマ・パスワード」、「データベース」および「サービス」、「ホスト名」、および「ポート」の値を設定できます。「次へ」をクリックします。JDBCコンポーネント・スキーマのテスト画面が表示されます。テストが成功した後、「オプションの構成を選択」画面が表示されます。

10. 「オプションの構成を選択」画面で、「管理サーバー」、「JMS分散宛先」、「管理対象サーバー」、「クラスタ」、および「マシン」、「デプロイメントとサービス」、「RDBMSセキュリティ・ストア」、および「JMSファイル・ストア」を構成できます。該当するチェック・ボックスを選択し、「次へ」をクリックします。

    • オプション: 必要に応じて管理サーバーを構成します。

    • オプション: 必要に応じてJMS分散宛先を選択します。

    • オプション: 必要に応じて管理対象サーバーを構成します。

    • オプション: 必要に応じてクラスタを構成します。

      Oracle Identity Management製品のクラスタを構成する方法の詳細は、マニュアル『Oracle Fusion Middleware高可用性ガイド』のIdentity Managementコンポーネントの高可用性の構成に関する項を参照してください。

    • オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。

    • オプション: 必要に応じてマシンを構成します。1台のマシンで管理サーバーを実行し、別の物理的マシンで管理対象サーバーを実行する場合、この手順を実行します。

      
      

      ヒント: マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。

      
      

    • オプション: 管理サーバーをマシンに割り当てます。

    • オプション: アプリケーションおよびライブラリなどのデプロイメントおよびサービスを選択し、特定のクラスタまたはサーバーにターゲット指定します。

    • オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。

    • オプション: 必要に応じてJMSファイル・ストアを構成します。

11. 「構成のサマリー」画面でドメイン構成を確認し、「作成」をクリックしてドメインの作成を開始します。

    Oracle Identity Manager、Oracle Adaptive Access ManagerおよびOracle Access Managerをサポートする新しいWebLogicドメインが、デフォルトで<Middleware_Home>\user_projects\domainsディレクトリに作成されます（Windowsの場合）。UNIXの場合、ドメインはデフォルトで<Middleware_Home>/user_projects/domainsディレクトリに作成されます。

12. WebLogic Administration Serverおよび管理対象サーバー（Oracle Identity ManagerおよびOracle Access Manager）を起動します。「スタックの起動」を参照してください。

13. createUserIdentityStore WLSTコマンドを実行して、Oracle Access Manager（OAM）がOracle Internet Directory（OID）をLDAPプロバイダとして使用するよう構成します。

    1. コマンドラインで、cdコマンドを使用して現在の作業ディレクトリからOracle_IDM2/common/binディレクトリに移動します。Oracle_IDM2は、Oracle Identity ManagerとOracle Access ManagerのIDM_Homeです。

    2. 次のようにして、WebLogic Scripting Tool（WLST）を起動します。

       UNIXの場合: コマンドラインで./wlst.shを実行します。

       Windowsの場合: wlst.cmdを実行します。

       WLSTコマンド・プロンプト（wls:/offline>）で、次のように入力します。

       connect()

       WebLogic Administration Serverのユーザー名、パスワードおよびURLの入力を求められます。WLSTインタフェースの使用方法の詳細は、ガイド『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWebLogic Scripting Toolの使用方法に関する項を参照してください。

       次の例のように、createUserIdentityStore WLSTコマンドを実行します。

       createUserIdentityStore(name="OAMOIDIdStoreForOIM",principal="cn=orcladmin", credential="welcome1", type="LDAP", userAttr="uid", ldapProvider="OID", roleSecAdmin="OAMAdministrators", userSearchBase="cn=Users,dc=us,dc=oracle,dc=com" ,ldapUrl="ldap://<oid host>:<oid port>" ,isPrimary="true" ,userIDProvider="OracleUserRoleAPI" , groupSearchBase="cn=Groups,dc=us,dc=oracle,dc=com")

       
       

       注意: roleSecAdmin属性で指定されているグループのメンバーであるユーザーは、Oracle Access Managerの管理コンソールへのアクセス権があります。このグループは、groupSearchBase属性で指定されているディレクトリ情報ツリー（DIT）内に存在する必要があります。このグループが使用できない場合、Oracle Access Manager管理コンソールにアクセスできるユーザーの名前（orcladminなど）を指定できます。この属性で指定されたユーザーのみがOracle Access Manager管理コンソールにアクセス可能です。

       
       

    もしくは、管理サーバーにデプロイされているOracle Access Manager管理コンソールを使用して、Oracle Internet DirectoryをOracle Access ManagerのLDAPプロバイダとして構成できます。詳細は、Oracle Fusion Middleware Oracle Access Manager管理者ガイドのユーザー・アイデンティティ・ストアおよびOAM管理者の登録に関する項を参照してください。

14. Oracle Identity Manager用にLDAP同期を設定します。「LDAP同期の設定」を参照してください。

15. LDAP同期を検証します。「LDAP同期の検証」を参照してください。

16. Oracle Identity Manager構成ウィザードを開始します。「Oracle Identity Manager 11g構成ウィザードの開始」を参照してください。

17. Oracle Identity Managerサーバーを構成します。「OIMサーバーの構成」を参照してください。Oracle Identity Managerサーバーを構成する際、Oracle Identity Manager構成ウィザードのLDAP同期およびOAM画面で「LDAP同期の有効化」オプションを必ず選択します。

18. ウィザードおよび「OIMサーバーの構成」で説明されている手順に従い、Oracle Identity Managerサーバーの構成を完了します。同様に、ウィザードに従ってOracle Identity Manager Design Consoleを構成し（Windowsのみ）、Oracle Identity Managerリモート・サーバーを構成します。「OIM Design Consoleの構成」および「OIM Remote Managerの構成」を参照してください。

注意: WebLogic管理者ユーザー名がweblogicでない場合、サーバーの起動後、一連の手順を手動で実行する必要があります。詳細は、「オプション: Enterprise ManagerのWebLogic管理者サーバー・ユーザー名の更新（OIMのみ）」を参照してください。

14.5.4 Scenario 2: シナリオ2: OIDおよびOVDが含まれているドメインでの構成

この項の内容は次のとおりです。

• 適切なデプロイメント環境

• デプロイされるコンポーネント

• 依存関係

• 手順

14.5.4.1 適切なデプロイメント環境

Oracle Internet Directory（OID）およびOracle Virtual Directory（OVD）がインストールおよび構成されている環境にOracle Access Manager（OAM）、Oracle Adaptive Access Manager（OAAM）、およびLDAP同期を使用するOracle Identity Manager（OIM）をインストールする場合、このトピックの構成を実行してください。後にOracle Identity ManagerおよびOracle Access Manager間の統合を設定できます。「OIMおよびOAMの統合」を参照してください。

14.5.4.2 デプロイされるコンポーネント

この項の構成を実行すると、次のコンポーネントがデプロイされます。

• Oracle Identity Manager、Oracle Adaptive Access ManagerおよびOracle Access Managerの管理対象サーバー

• Oracle Identity Managerの管理対象サーバー上にあるOracle Identity管理コンソール、Oracle Identity Managerセルフ・サービス・コンソールおよびOracle Identity Manager拡張管理コンソール

• 既存の管理サーバー上のOracle Access ManagerコンソールおよびOracle Adaptive Access Managerコンソール

14.5.4.3 依存関係

この項の構成は、次のものに依存しています。

• Oracle WebLogic Server。

• Oracle Internet DirectoryおよびOracle Virtual Directoryのインストールおよび構成。

• Oracle Identity Management 11gソフトウェアのインストール。

• Oracle SOA Suiteの最新バージョンのインストール（Oracle Identity Managerで必須）。

• Oracle Identity Manager、Oracle SOA Suite、Oracle Adaptive Access ManagerおよびOracle Access Managerのデータベース・スキーマ。詳細は、「リポジトリ作成ユーティリティ（RCU）を使用したデータベース・スキーマの作成」を参照してください。

14.5.4.4 手順

Oracle Internet DirectoryおよびOracle Virtual Directoryが含まれている既存のOracle Identity Management 11.1.1.3.0ドメインにOracle Access Manager、Oracle Adaptive Access Manager、およびLDAP同期を使用するOracle Identity Managerを構成するには、次の手順を実行します。

1. 「前提条件」に記載されているすべての前提条件が満たされていることを確認します。さらに、「開始前の重要な注意点」も参照してください。

2. UNIXオペレーティング・システムで<Oracle_IDM1>/bin/config.shを実行してOracle Identity Management構成ウィザードを起動します。Windowsでは、<Oracle_IDM1>\bin\config.batを実行してウィザードを起動します。

3. 「ドメインの選択」画面で、新規ドメインの作成オプションを選択します。必要に応じて管理者ユーザー名およびパスワードを設定します。

4. 「コンポーネントの構成」画面では必ず「Oracle Internet Directory」および「Oracle Virtual Directory」を選択します。

5. ウィザードに従って必要な情報を入力し、ドメインを構成します。

   Oracle Internet DirectoryおよびOracle Virtual Directoryをサポートする新しいWebLogicドメインが<Middleware_Home>\user_projects\domainsディレクトリに作成されます（Windowsの場合）。UNIXの場合、ドメインは<Middleware_Home>/user_projects/domainsディレクトリに作成されます。

6. Oracle Databaseがサポートされているバージョンで、必要なパッチがインストール済であることを確認してください。詳細は、「Oracle Databaseのインストール」を参照してください。

7. Oracle Identity Manager、Oracle SOA SuiteおよびOracle Access Managerが必要とする適切なスキーマが作成およびロードされていることを確認します。詳細は、「リポジトリ作成ユーティリティ（RCU）を使用したデータベース・スキーマの作成」を参照してください。

8. Oracle Identity Management 11gソフトウェアがインストールされていることを確認します。詳細は、「Oracle Identity Management 11gソフトウェアのインストール」を参照してください。Oracle Identity Managementの新しいOracleホーム（Oracle_IDM2など）がミドルウェア・ホーム・ディレクトリの下に作成されます。

9. 同じミドルウェア・ホーム内にOracle SOA Suiteの最新バージョンがインストールされていることを確認します。詳細は、「Oracle SOA Suiteの最新バージョンのインストール（Oracle Identity Managerユーザーのみ）」を参照してください。

10. <Oracle_IDM2>/common/bin/config.shスクリプトを実行します（UNIXの場合）。（Windowsでは<Oracle_IDM2>\common\bin\config.cmd）。Oracle Fusion Middleware構成ウィザードが表示されます。

11. 「ようこそ」画面で、「既存のWebLogicドメインの拡張」オプションを選択します。「次へ」をクリックします。「WebLogicドメイン・ディレクトリの選択」画面が表示されます。

12. 「WebLogicドメイン・ディレクトリの選択」画面で、Oracle Internet DirectoryおよびOracle Virtual Directoryを構成したOracle Identity Management 11.1.1.3.0ドメインを選択します。「次へ」をクリックします。「拡張ソースの選択」画面が表示されます。

13. 「拡張ソースの選択」画面で、次のドメイン構成オプションを選択します。

    • Oracle Identity Manager - 11.1.1.3.0 [Oracle_IDM2]

      
      

      注意: Oracle Identity Manager - 11.1.1.3.0 [Oracle_IDM2]オプションを選択すると、デフォルトで、Oracle SOA Suite - 11.1.1.0 [Oracle_SOA1]およびOracle WSM Policy Manager - 11.1.1.0 [oracle_common]オプションも選択されます。

      
      

    • Oracle Access Manager with Database Policy Store - 11.1.1.3.0 [Oracle_IDM2]

    • Oracle Adaptive Access Manager Admin Server - 11.1.1.3.0 [Oracle_IDM2]

      Oracle Adaptive Access Manager Admin Server - 11.1.1.3.0 [Oracle_IDM2}オプションを選択すると、Oracle Identity Navigator - 11.1.1.3.0 [Oracle_IDM2]オプションもデフォルトで選択されます。

14. ドメイン構成オプションを選択した後、「次へ」をクリックします。「JDBCコンポーネント・スキーマの構成」画面が表示されます。

15. 「JDBCコンポーネント・スキーマの構成」画面で、変更するコンポーネント・スキーマ（OAMインフラストラクチャ・スキーマ、OAAM管理スキーマ、OAAM管理MDSスキーマ、SOAインフラストラクチャ・スキーマ、ユーザー・メッセージ・サービス・スキーマ、OWSM MDSスキーマ、OIM MDSスキーマ、OIMスキーマまたはSOA MDSスキーマなど）を選択します。

    「スキーマ所有者」、「スキーマ・パスワード」、「データベース」および「サービス」、「ホスト名」、および「ポート」の値を設定できます。「次へ」をクリックします。JDBCコンポーネント・スキーマのテスト画面が表示されます。テストが成功した後、「オプションの構成を選択」画面が表示されます。

16. 「オプションの構成を選択」画面で、「JMS分散宛先」、「管理対象サーバー」、「クラスタ」、および「マシン」、「デプロイメントとサービス」、および「JMSファイル・ストア」を構成できます。該当するチェック・ボックスを選択し、「次へ」をクリックします。

    • オプション: 必要に応じてJMS分散宛先を選択します。

    • オプション: 必要に応じて管理対象サーバーを構成します。

    • オプション: 必要に応じてクラスタを構成します。

      Oracle Identity Management製品のクラスタを構成する方法の詳細は、マニュアル『Oracle Fusion Middleware高可用性ガイド』のIdentity Managementコンポーネントの高可用性の構成に関する項を参照してください。

    • オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。

    • オプション: 必要に応じてマシンを構成します。1台のマシンで管理サーバーを実行し、別の物理的マシンで管理対象サーバーを実行する場合、この手順を実行します。

      
      

      ヒント: マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。

      
      

    • オプション: 管理サーバーをマシンに割り当てます。

    • オプション: アプリケーションおよびライブラリなどのデプロイメントおよびサービスを選択し、特定のクラスタまたはサーバーにターゲット指定します。

    • オプション: 必要に応じてJMSファイル・ストアを構成します。

17. 「構成のサマリー」画面でドメイン構成を確認し、「拡張」をクリックしてドメインの拡張を開始します。

    Oracle Internet DirectoryおよびOracle Virtual Directoryのある既存のOracle Identity Management 11.1.1.1.3.0ドメインが、Oracle Identity Manager、Oracle Adaptive Access ManagerおよびOracle Access Managerをサポートするように拡張されます。

18. WebLogic Administration Serverおよび管理対象サーバー（Oracle Identity ManagerおよびOracle Access Manager）を起動します。「スタックの起動」を参照してください。

19. createUserIdentityStore WLSTコマンドを実行して、Oracle Access Manager（OAM）がOracle Internet Directory（OID）をLDAPプロバイダとして使用するよう構成します。

    1. コマンドラインで、cdコマンドを使用して現在の作業ディレクトリからOracle_IDM2/common/binディレクトリに移動します。Oracle_IDM2は、Oracle Identity ManagerとOracle Access ManagerのIDM_Homeです。

    2. 次のようにして、WebLogic Scripting Tool（WLST）を起動します。

       UNIXの場合: コマンドラインで./wlst.shを実行します。

       Windowsの場合: wlst.cmdを実行します。

       WLSTコマンド・プロンプト（wls:/offline>）で、次のように入力します。

       connect()

       WebLogic Administration Serverのユーザー名、パスワードおよびURLの入力を求められます。WLSTインタフェースの使用方法の詳細は、ガイド『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWebLogic Scripting Toolの使用方法に関する項を参照してください。

       次の例のように、createUserIdentityStore WLSTコマンドを実行します。

       createUserIdentityStore(name="OAMOIDIdStoreForOIM",principal="cn=orcladmin", credential="welcome1", type="LDAP", userAttr="uid", ldapProvider="OID", roleSecAdmin="OAMAdministrators", userSearchBase="cn=Users,dc=us,dc=oracle,dc=com" ,ldapUrl="ldap://<oid host>:<oid port>" ,isPrimary="true" ,userIDProvider="OracleUserRoleAPI" , groupSearchBase="cn=Groups,dc=us,dc=oracle,dc=com")

       
       

       注意: roleSecAdmin属性で指定されているグループのメンバーであるユーザーは、Oracle Access Managerの管理コンソールへのアクセス権があります。このグループは、groupSearchBase属性で指定されているディレクトリ情報ツリー（DIT）内に存在する必要があります。このグループが使用できない場合、Oracle Access Manager管理コンソールにアクセスできるユーザーの名前（orcladminなど）を指定できます。この属性で指定されたユーザーのみがOracle Access Manager管理コンソールにアクセス可能です。

       
       

    もしくは、管理サーバーにデプロイされているOracle Access Manager管理コンソールを使用して、Oracle Internet DirectoryをOracle Access ManagerのLDAPプロバイダとして構成できます。詳細は、Oracle Fusion Middleware Oracle Access Manager管理者ガイドのユーザー・アイデンティティ・ストアおよびOAM管理者の登録に関する項を参照してください。

20. Oracle Identity Manager用にLDAP同期を設定します。「LDAP同期の設定」を参照してください。

21. LDAP同期を検証します。「LDAP同期の検証」を参照してください。

22. Oracle Identity Manager構成ウィザードを開始します。「Oracle Identity Manager 11g構成ウィザードの開始」を参照してください。

23. Oracle Identity Managerサーバーを構成します。「OIMサーバーの構成」を参照してください。Oracle Identity Managerサーバーを構成する際、Oracle Identity Manager構成ウィザードのLDAP同期およびOAM画面で「LDAP同期の有効化」オプションを必ず選択します。

24. ウィザードおよび「OIMサーバーの構成」で説明されている手順に従い、Oracle Identity Managerサーバーの構成を完了します。同様に、ウィザードに従ってOracle Identity Manager Design Consoleを構成し（Windowsのみ）、Oracle Identity Managerリモート・サーバーを構成します。「OIM Design Consoleの構成」および「OIM Remote Managerの構成」を参照してください。

注意: WebLogic管理者ユーザー名がweblogicでない場合、サーバーの起動後、一連の手順を手動で実行する必要があります。詳細は、「オプション: Enterprise ManagerのWebLogic管理者サーバー・ユーザー名の更新（OIMのみ）」を参照してください。

14.5.5 シナリオ3: OAPMおよびOINが含まれているドメインでの構成

この項の内容は次のとおりです。

• 適切なデプロイメント環境

• デプロイされるコンポーネント

• 依存関係

• 手順

14.5.5.1 適切なデプロイメント環境

Oracle Authorization Policy Manager（OAPM）およびOracle Identity Navigator（OIN）などの他のOracle Identity Management製品がインストールおよび構成されている環境に、Oracle Access Manager（OAM）、Oracle Adaptive Access Manager（OAAM）、およびLDAP同期を使用するOracle Identity Manager（OIM）をインストールする場合、このトピックの構成を実行してください。

後にOracle Identity ManagerおよびOracle Access Manager間の統合を設定できます。「OIMおよびOAMの統合」を参照してください。

Oracle Identity Navigatorを使用すると、Oracle Identity Navigatorのユーザー・インタフェースからOracle Identity Management製品のコンソールにアクセスし、起動できます。

14.5.5.2 デプロイされるコンポーネント

この項の構成を実行すると、次のコンポーネントがデプロイされます。

• Oracle Identity Manager、Oracle Adaptive Access ManagerおよびOracle Access Managerの管理対象サーバー

• Oracle Identity Managerの管理対象サーバー上にあるOracle Identity管理コンソール、Oracle Identity Managerセルフ・サービス・コンソールおよびOracle Identity Manager拡張管理コンソール

• 既存の管理サーバー上のOracle Access ManagerコンソールおよびOracle Adaptive Access Managerコンソール

14.5.5.3 依存関係

この項の構成は、次のものに依存しています。

• Oracle WebLogic Server。

• Oracle Internet DirectoryおよびOracle Virtual Directoryのインストールおよび構成。

• Oracle Identity Management 11gソフトウェアのインストール。

• Oracle SOA Suiteの最新バージョンのインストール（Oracle Identity Managerで必須）。

• Oracle Identity Manager、Oracle SOA Suite、Oracle Adaptive Access ManagerおよびOracle Access Managerのデータベース・スキーマ。詳細は、「リポジトリ作成ユーティリティ（RCU）を使用したデータベース・スキーマの作成」を参照してください。

14.5.5.4 手順

Oracle Authorization Policy ManagerおよびOracle Identity Navigatorが含まれている既存のOracle Identity ManagementドメインにOracle Access Manager、Oracle Adaptive Access Manager、およびLDAP同期を使用するOracle Identity Managerを構成するには、次の手順を実行します。

1. 「前提条件」に記載されているすべての前提条件が満たされていることを確認します。さらに、「開始前の重要な注意点」も参照してください。

2. <Oracle_IDM2>/common/bin/config.shスクリプトを実行します（UNIXの場合）。（Windowsでは<Oracle_IDM2>\common\bin\config.cmd）。Oracle Fusion Middleware構成ウィザードが表示されます。

3. 「ようこそ」画面で、「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。

4. 「ドメイン・ソースの選択」画面で、次のドメイン構成オプションを選択します。

   • Oracle Authorization Policy Manager - 11.1.1.3.0 [Oracle_IDM2]

     
     

     注意: Oracle Authorization Policy Manager - 11.1.1.3.0 [Oracle_IDM2]オプションを選択すると、Oracle JRF - 11.1.1.0 [oracle_common]オプションもデフォルトで選択されます。

     
     

   • Oracle Identity Navigator - 11.1.1.3.0 [Oracle_IDM2]

5. ドメイン構成オプションを選択した後、「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。

6. 「ドメイン名と場所の指定」画面で、作成するドメインの名前および場所を入力します。さらに、このドメインのアプリケーションを格納する場所を入力します。「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。

7. 管理者のユーザー名およびパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。「サーバーの起動モードおよびJDKの構成」画面が表示されます。

8. Oracle Fusion Middleware構成ウィザードの「サーバーの起動モードおよびJDKの構成」画面で、「JRockit SDK 160_17_R28.0.0-679」および「本番モード」を選択します。「次へ」をクリックします。「JDBCコンポーネント・スキーマの構成」画面が表示されます。

9. 「JDBCコンポーネント・スキーマの構成」画面で、APMスキーマまたはAPM MDSスキーマなどの変更するコンポーネント・スキーマを選択します。

   「スキーマ所有者」、「スキーマ・パスワード」、「データベース」および「サービス」、「ホスト名」、および「ポート」の値を設定できます。「次へ」をクリックします。JDBCコンポーネント・スキーマのテスト画面が表示されます。テストが成功した後、「オプションの構成を選択」画面が表示されます。

10. 「オプションの構成を選択」画面で、「管理サーバー」、「管理対象サーバー」、「クラスタ」、および「マシン」、「デプロイメントとサービス」、および「RDBMSセキュリティ・ストア」を構成できます。該当するチェック・ボックスを選択し、「次へ」をクリックします。

    • オプション: 必要に応じて管理サーバーを構成します。

    • オプション: 必要に応じて管理対象サーバーを構成します。

    • オプション: 必要に応じてクラスタを構成します。

      Oracle Identity Management製品のクラスタを構成する方法の詳細は、マニュアル『Oracle Fusion Middleware高可用性ガイド』のIdentity Managementコンポーネントの高可用性の構成に関する項を参照してください。

    • オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。

    • オプション: 必要に応じてマシンを構成します。1台のマシンで管理サーバーを実行し、別の物理的マシンで管理対象サーバーを実行する場合、この手順を実行します。

      
      

      ヒント: マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。

      
      

    • オプション: 管理サーバーをマシンに割り当てます。

    • オプション: アプリケーションおよびライブラリなどのデプロイメントおよびサービスを選択し、特定のクラスタまたはサーバーにターゲット指定します。

    • オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。

11. 「構成のサマリー」画面でドメイン構成を確認し、「作成」をクリックしてドメインの作成を開始します。ドメイン構成が完了したら、「完了」をクリックしてウィザードを終了します。

    Oracle Authorization Policy ManagerおよびOracle Identity Navigatorをサポートする新しいWebLogicドメインが、デフォルトで<Middleware_Home>\user_projects\domainsディレクトリに作成されます（Windowsの場合）。UNIXの場合、ドメインはデフォルトで<Middleware_Home>/user_projects/domainsディレクトリに作成されます。

12. <Oracle_IDM2>/common/bin/config.shスクリプトを実行します（UNIXの場合）。（Windowsの場合は<Oracle_IDM2>\common\bin\config.cmd）。Oracle Fusion Middleware構成ウィザードが表示されます。

13. 「ようこそ」画面で、「既存のWebLogicドメインの拡張」オプションを選択します。「次へ」をクリックします。「WebLogicドメイン・ディレクトリの選択」画面が表示されます。

14. 「WebLogicドメイン・ディレクトリの選択」画面で、Oracle Authorization Policy ManagerおよびOracle Identity Navigatorを構成したOracle Identity Managementドメインを選択します。「次へ」をクリックします。「拡張ソースの選択」画面が表示されます。

15. 「拡張ソースの選択」画面で、次のドメイン構成オプションを選択します。

    • Oracle Identity Manager - 11.1.1.3.0 [Oracle_IDM2]

      
      

      注意: Oracle Identity Manager - 11.1.1.3.0 [Oracle_IDM2]オプションを選択すると、デフォルトで、Oracle SOA Suite - 11.1.1.0 [Oracle_SOA1]およびOracle WSM Policy Manager - 11.1.1.0 [oracle_common]オプションも選択されます。

      
      

    • Oracle Access Manager with Database Policy Store - 11.1.1.3.0 [Oracle_IDM2]

    • Oracle Adaptive Access Manager Admin Server - 11.1.1.3.0 [Oracle_IDM2]

      Oracle Adaptive Access Manager Admin Server - 11.1.1.3.0 [Oracle_IDM2}オプションを選択すると、Oracle Identity Navigator - 11.1.1.3.0 [Oracle_IDM2]オプションもデフォルトで選択されます。

16. ドメイン構成オプションを選択した後、「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。

17. 「ドメイン名と場所の指定」画面で、ドメインのアプリケーションを保存する場所を選択します。「次へ」をクリックします。「JDBCコンポーネント・スキーマの構成」画面が表示されます。

18. 「JDBCコンポーネント・スキーマの構成」画面で、変更するコンポーネント・スキーマ（OAMインフラストラクチャ・スキーマ、SOAインフラストラクチャ・スキーマ、OAAM管理スキーマ、APMスキーマ、APM MDSスキーマ、OAAM管理MDSスキーマ、ユーザー・メッセージ・サービス・スキーマ、OWSM MDSスキーマ、OIM MDSスキーマ、OIMスキーマまたはSOA MDSスキーマなど）を選択します。

    「スキーマ所有者」、「スキーマ・パスワード」、「データベース」および「サービス」、「ホスト名」、および「ポート」の値を設定できます。「次へ」をクリックします。JDBCコンポーネント・スキーマのテスト画面が表示されます。テストが成功した後、「オプションの構成を選択」画面が表示されます。

19. 「オプションの構成を選択」画面で、「管理対象サーバー」、「クラスタ」、および「マシン」、「デプロイメントとサービス」、および「JMSファイル・ストア」を構成できます。該当するチェック・ボックスを選択し、「次へ」をクリックします。

    • オプション: 必要に応じて管理対象サーバーを構成します。

    • オプション: 必要に応じてクラスタを構成します。

      Oracle Identity Management製品のクラスタを構成する方法の詳細は、マニュアル『Oracle Fusion Middleware高可用性ガイド』のIdentity Managementコンポーネントの高可用性の構成に関する項を参照してください。

    • オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。

    • オプション: 必要に応じてマシンを構成します。1台のマシンで管理サーバーを実行し、別の物理的マシンで管理対象サーバーを実行する場合、この手順を実行します。

      
      

      ヒント: マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。

      
      

    • オプション: 管理サーバーをマシンに割り当てます。

    • オプション: アプリケーションおよびライブラリなどのデプロイメントおよびサービスを選択し、特定のクラスタまたはサーバーにターゲット指定します。

    • オプション: 必要に応じてJMSファイル・ストアを構成します。

20. 「構成のサマリー」画面でドメイン構成を確認し、「拡張」をクリックしてドメインの拡張を開始します。

    Oracle Authorization Policy ManagerおよびOracle Identity Navigatorのある既存のOracle Identity Managementドメインが、Oracle Identity Manager、Oracle Adaptive Access ManagerおよびOracle Access Managerをサポートするように構成されます。

21. WebLogic Administration Serverおよび管理対象サーバー（Oracle Identity ManagerおよびOracle Access Manager）を起動します。「スタックの起動」を参照してください。

22. createUserIdentityStore WLSTコマンドを実行して、Oracle Access Manager（OAM）がOracle Internet Directory（OID）をLDAPプロバイダとして使用するよう構成します。

    1. コマンドラインで、cdコマンドを使用して現在の作業ディレクトリからOracle_IDM2/common/binディレクトリに移動します。Oracle_IDM2は、Oracle Identity ManagerとOracle Access ManagerのIDM_Homeです。

    2. 次のようにして、WebLogic Scripting Tool（WLST）を起動します。

       UNIXの場合: コマンドラインで./wlst.shを実行します。

       Windowsの場合: wlst.cmdを実行します。

       WLSTコマンド・プロンプト（wls:/offline>）で、次のように入力します。

       connect()

       WebLogic Administration Serverのユーザー名、パスワードおよびURLの入力を求められます。WLSTインタフェースの使用方法の詳細は、ガイド『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWebLogic Scripting Toolの使用方法に関する項を参照してください。

       次の例のように、createUserIdentityStore WLSTコマンドを実行します。

       createUserIdentityStore(name="OAMOIDIdStoreForOIM",principal="cn=orcladmin", credential="welcome1", type="LDAP", userAttr="uid", ldapProvider="OID", roleSecAdmin="OAMAdministrators", userSearchBase="cn=Users,dc=us,dc=oracle,dc=com" ,ldapUrl="ldap://<oid host>:<oid port>" ,isPrimary="true" ,userIDProvider="OracleUserRoleAPI" , groupSearchBase="cn=Groups,dc=us,dc=oracle,dc=com")

       
       

       注意: roleSecAdmin属性で指定されているグループのメンバーであるユーザーは、Oracle Access Managerの管理コンソールへのアクセス権があります。このグループは、groupSearchBase属性で指定されているディレクトリ情報ツリー（DIT）内に存在する必要があります。このグループが使用できない場合、Oracle Access Manager管理コンソールにアクセスできるユーザーの名前（orcladminなど）を指定できます。この属性で指定されたユーザーのみがOracle Access Manager管理コンソールにアクセス可能です。

       
       

    もしくは、管理サーバーにデプロイされているOracle Access Manager管理コンソールを使用して、Oracle Internet DirectoryをOracle Access ManagerのLDAPプロバイダとして構成できます。詳細は、Oracle Fusion Middleware Oracle Access Manager管理者ガイドのユーザー・アイデンティティ・ストアおよびOAM管理者の登録に関する項を参照してください。

23. Oracle Identity Manager用にLDAP同期を設定します。「LDAP同期の設定」を参照してください。

24. LDAP同期を検証します。「LDAP同期の検証」を参照してください。

25. 管理サーバーを再起動します。「サーバーの再起動」を参照してください。

26. Oracle Identity Manager構成ウィザードを開始します。「Oracle Identity Manager 11g構成ウィザードの開始」を参照してください。

27. Oracle Identity Managerサーバーを構成します。「OIMサーバーの構成」を参照してください。Oracle Identity Managerサーバーを構成する際、Oracle Identity Manager構成ウィザードのLDAP同期およびOAM画面で「LDAP同期の有効化」オプションを必ず選択します。

28. ウィザードおよび「OIMサーバーの構成」で説明されている手順に従い、Oracle Identity Managerサーバーの構成を完了します。同様に、ウィザードに従ってOracle Identity Manager Design Consoleを構成し（Windowsのみ）、Oracle Identity Managerリモート・サーバーを構成します。「OIM Design Consoleの構成」および「OIM Remote Managerの構成」を参照してください。

注意: WebLogic管理者ユーザー名がweblogicでない場合、サーバーの起動後、一連の手順を手動で実行する必要があります。詳細は、「オプション: Enterprise ManagerのWebLogic管理者サーバー・ユーザー名の更新（OIMのみ）」を参照してください。