18 コンポーネントの統合

この章の内容は次のとおりです。

第18.1項「ポリシーおよび資格証明ストアの移行」
第18.2項「Webゲートのインストールと構成」
第18.3項「Oracle Access Manager 10gとOracle Identity Managerの統合」
第18.4項「Oracle Identity ManagerとOracle Access Manager 11gの統合」
第18.5項「OAAMとOAM 11gの統合」
第18.6項「Oracle Adaptive Access ManagerとOracle Identity Managerの統合」
第18.7項「Oracle Identity FederationとOracle Access Manager 11gの統合」
第18.8項「アイデンティティ管理の監査」

18.1 ポリシーおよび資格証明ストアの移行

デフォルトでポリシー・ストア情報は埋込みLDAPディレクトリやファイル・システムなど様々な場所に保管されます。ポリシー・ストアは次の目的により外部LDAPディレクトリに置くことをお薦めします。

中央での一元管理
企業の中央バックアップ体制への組込み

JPSルートの作成によりポリシーおよび資格証明ストアの移行を開始し、次にポリシーおよび資格証明ストアをOracle Internet Directoryと再度連携させます。

この項の内容は次のとおりです。

第18.1.1項「JPSルートの作成」
第18.1.2項「ポリシーおよび資格証明ストアの再連携」

18.1.1 JPSルートの作成

OIDHOSTn上で、次の手順が示すようにコマンドラインでldapaddコマンドを使用してOracle Internet Directoryの中に jpsrootを作成します。

次のようなldifファイルを作成します。

dn: cn=jpsPolicy_edg
cn: jpsPolicy_edg
objectclass: top
objectclass: orclcontainer

ORACLE_HOME/bin/ldapaddを使用してこれらのエントリをOracle Internet Directoryに追加します。次に例を示します。
```
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D cn="orcladmin" -w
welcome1 -c -v -f jps_root.ldif
```

18.1.2 ポリシーおよび資格証明ストアの再連携

ポリシーと資格証明ストアをOracle Internet Directoryに再連携させるには、WLST reassociateSecurityStoreコマンドを使用します。次の手順を実行します。

IDMHOST1でORACLE_COMMON_HOME/common/binディレクトリからwlstシェルを起動します。次に例を示します。
```
./wlst.sh
```

wlst connectコマンドを使用して、WebLogic管理サーバーに接続します。

connect('AdminUser',"AdminUserPassword",t3://hostname:port')

次に例を示します。

connect("weblogic,"welcome1","t3://idmhost-vip.mycompany.com:7001")

次のようなreassociateSecurityStoreコマンドを実行します。

構文:

reassociateSecurityStore(domain="domainName",admin="cn=orcladmin",
password="orclPassword",ldapurl="ldap://LDAPHOST:LDAPPORT",servertype="OID",
jpsroot="cn=jpsRootContainer")

次に例を示します。

wls:/IDMDomain/serverConfig> reassociateSecurityStore(domain="IDMDomain",
admin="cn=orcladmin",password="password",
ldapurl="ldap://oid.mycompany.com:389",servertype="OID",
jpsroot="cn=jpsPolicy_edg")

このコマンドの出力は次のようになります。

{servertype=OID, jpsroot=cn=jpsroot_idm, admin=cn=orcladmin,
domain=IDMDomain, ldapurl=ldap://oid.mycompany.com:389, password=password}
Location changed to domainRuntime tree. This is a read-only tree with
DomainMBean as the root.
For more help, use help(domainRuntime)

Starting Policy Store reassociation.
LDAP server and  ServiceConfigurator setup done.

Schema is seeded into LDAP server
Data is migrated to LDAP server
Service in LDAP server after migration has been tested to be available
Update of jps configuration is done
Policy Store reassociation done.
Starting credential Store reassociation
LDAP server and  ServiceConfigurator setup done.
Schema is seeded into LDAP server
Data is migrated to LDAP server
Service in LDAP server after migration has been tested to be available
Update of jps configuration is done
Credential Store reassociation done
Jps Configuration has been changed. Please restart the server.

第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーを再起動します。

18.2 Webゲートのインストールと構成

この項では、Webゲートのインストールと構成について説明します。このタスクはOIM11gとOAM10gの統合には必要ありません。

この項の内容は次のとおりです。

第18.2.1項「前提条件」
第18.2.2項「Webゲート・エージェントの作成」
第18.2.3項「WEBHOST1およびWEBHOST2へのOracle WebGateのインストール」
第18.2.4項「Webゲートの検証」

18.2.1 前提条件

Oracle Web Gateをインストールする前に、次のタスクが完了していることを確認してください。

第5章の説明に従って、Oracle Web層のインストールと構成を行います。
第18章の説明に従って、Linuxシステム上でgccライブラリの特別バージョンを使用可能にします。

18.2.1.1 特別なgccライブラリを使用可能にする方法

Oracle Web Gateでは、gccライブラリの特別なバージョンをインストールする必要があります（Linuxのみ）。これらのライブラリ・ファイルはLinuxシステム上のどこかに存在する必要があります。Webゲート・インストーラは、インストール時にこれらのライブラリ・ファイルの場所を尋ねてきます。『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のサードパーティGCCライブラリのインストール（LinuxおよびSolarisオペレーティング・システムのみ）に関する項の説明に従ってhttp://gcc.gnu.orgからライブラリをダウンロードします。

18.2.2 Webゲート・エージェントの作成

WebゲートをWeb層にインストールする前に、Webゲート・エージェントが定義されている必要があります。これを実現するには、IDMHOST1およびIDMHOST2の両方に用意されているリモート登録エージェントかOracle Access Managerコンソールのいずれかを使用します。次の手順に従ってWebゲート・エージェントを作成する必要があります。

リモート登録ユーティリティの使用方法
Oracle Access Manager管理コンソールの使用方法

18.2.2.1リモート登録ユーティリティの使用方法

リモート登録ユーティリティは次のように使用します。

エージェント構成ファイルの作成

oamreg.shスクリプトにより構成ファイルOAMRequest.xmlの内容からエージェント構成が作成されます。このファイルのテンプレートは、IAM_ORACLE_HOME/oam/server/rreg/inputディレクトリにあります。

このファイルのコピーをsso.xmlと名付けてIDMHOST1上に作成します。

ファイルの中に次の属性の詳細を指定します。

serverAddress: WebLogic管理サーバーのURLです。
hostIdentifier: IDMDomain
agentBaseUrl: https://sso.mycompany.com:443
agentName: Webゲート・エージェントを識別するための名前です。たとえば、Webgate_myssoのような名前を使用することをお薦めします。
autoCreatePolicy: False
primaryCookieDomain: サーバーが配置されているドメインです。たとえば、.mycompany.comです。
logOutUrls: /oamsso/logout.html
security: open

サンプル・ファイルを次に示します。

<?xml version="1.0"?>
<!-- Copyright (c) 2009, 2010, Oracle and/or its affiliates. All rights reserved.

   NAME: OAMRequest.xml - Template (with all options) for OAM Agent Registration Request file
   DESCRIPTION: Modify with specific values and pass file as input to the tool
--><OAMRegRequest>

    <serverAddress>http://ADMINHOSTVHN.mycompany.com:7001</serverAddress>
    <hostIdentifier>Webgate_mysso</hostIdentifier>
    <agentName>Webgate_mysso</agentName>
    <autoCreatePolicy>false</autoCreatePolicy>
    <primaryCookieDomain>.mycompany.com</primaryCookieDomain>
    <agentBaseUrl>https://sso.mycompany.com:443</agentBaseUrl>
    <maxCacheElems>100000</maxCacheElems>
    <cacheTimeout>1800</cacheTimeout>
    <cookieSessionTime>3600</cookieSessionTime>
    <maxConnections>1</maxConnections>
    <maxSessionTime>24</maxSessionTime>
    <idleSessionTimeout>3600</idleSessionTimeout>
    <failoverThreshold>1</failoverThreshold>
    <aaaTimeoutThreshold>-1</aaaTimeoutThreshold>
    <sleepFor>60</sleepFor>
    <debug>false</debug>
    <security>open</security>
    <denyOnNotProtected>0</denyOnNotProtected>
    <cachePragmaHeader>no-cache</cachePragmaHeader>
    <cacheControlHeader>no-cache</cacheControlHeader>
    <ipValidation>0</ipValidation>
    <logOutUrls>
        <url>/oamsso/logout.html</url>
    </logOutUrls>
    <protectedResourcesList>
        <resource>/sso.html</resource>
    </protectedResourcesList>
    <publicResourcesList>
        <resource>/public/index.html</resource>
    </publicResourcesList>
    <userDefinedParameters>
        <userDefinedParam>
                <name>MaxPostDataLength</name>
                <value>750000</value>
        </userDefinedParam>
          ……..
          ………..  
  </userDefinedParameters>
</OAMRegRequest>

Oracle Access Managerエージェントの作成

oamreg.sh scriptの実行によりエージェント構成が作成されます。これを実現するには、RREG_HOMEディレクトリ内から次のコマンドを発行します。

export JAVA_HOME=$MW_HOME/jrockit_160_14_R27.6.5-32
./bin/oamreg.sh inband input/sso.xml

スクリプトが実行されると次の情報の入力を求められます。次のように値を指定してください。

Agent User Name: oamadmin
Agent Password: oamadmin user's password
Do you want to enter a Web Gate Password: y
Enter password for webgate and confirm

注意:

Webゲートのパスワードを指定することは必須ではありませんが、パスワードの指定を強くお薦めします。Oracle Identity ManagementをOracle Access Managerに接続する際、必須です。

これによりRREG_HOME/output/Agent_Nameディレクトリ内にObAccessClient.xmlファイルが作成されます。

このファイルをWebゲートの各インストールにコピーします。それをWEBGATE_INSTALL_DIR/access/oblix/libディレクトリに配置します。

エージェントを作成したら、更新する必要があります。第18.2.2.3項「新規作成エージェントの更新」を参照してください。

18.2.2.2 Oracle Access Manager管理コンソールの使用方法

http://admin.mycompany.com/oamconsoleでOracle Access Managerコンソールにアクセスします。

oamadminユーザーとしてログインします。
「OAM 10g Webゲートの追加」をクリックします。

次の情報を入力します。

エージェント名: このエージェントの名前です。たとえば、Webgate_myssoです。

アクセス・クライアント・パスワード: Webゲートが使用するパスワードを入力します。

注意:

エージェント・ベースURL: https://sso.mycompany.com:443
ホスト識別子: IDMDomain
「ポリシーの自動作成」が選択されていないことを確認します。

保護されたリソース: 必要に応じて保護されたリソースを入力します。

注意:

簡単にテストするために、単純なHTMLファイルsso.htmlをORACLE_INSTANCE/config/OHS/ohs1/htdocsの中に作成すると便利です。

/sso.htmlの保護を選択します。URL（https://sso.us.oracle.com/sso.html）にアクセスすることによってSSOが機能することを確認できます。

「適用」をクリックします。

これによりDOMAIN_HOME/output/Agent Nameディレクトリ内にObAccessClient.xmlファイルが作成されます。

18.2.2.3 新規作成エージェントの更新

最初の構成を作成した後に、その構成を編集して、高度な構成エントリを追加します。

「ホスト識別子」の下の「IDMDomain」をダブルクリックします。
「操作」ボックスの中の「+」をクリックします。
次の情報を入力します。
- ホスト名: admin.mycompany.com
- ポート: 80
「適用」をクリックします。
「システム構成」タブを選択します。
ディレクトリ・ツリーから「エージェント - OAMエージェント - 10g Webゲート」を選択します。
新規に作成したエージェント（Webgate_mysso）をクリックします。
「アクション」メニューで「オープン」を選択します。
「プライマリ・サーバー」リスト・ボックスにすべてのアクセス・サーバーがリストされていることを確認します。リストされていないサーバーがある場合は、「追加」アイコン（+）をクリックしてそのサーバーを追加します。
リストされていないアクセス・サーバーがある場合は、それを「プライマリ・サーバー」または「セカンダリ・サーバー」リストに追加します。
次の情報を更新します。
- プライマリCookieドメイン: .mycompany.com（先頭にドットを含めます）
- ログアウトURL: /oamsso/logout.html
  
  /console/jsp/common/logout.jsp
  
  /em/targetauth/emaslogout.jsp
- 保護されていない場合に拒否: 選択しないでください。
「適用」をクリックします。

18.2.3 WEBHOST1およびWEBHOST2へのOracle WebGateのインストール

Oracle Webgateをインストールする前に、管理サーバーWLS_OAM1およびWLS_OAM2が起動されていることを確認します。

次の各項の説明に従ってOracle WebGateをインストールします。

18.2.3.1 Oracle WebGate 10g

次のコマンドを発行して、Webゲートを起動します。

Oracle_Access_Managerversion_linux_OHS11g_WebGate -gui

次の手順を実行します。

Oracle Access Manager WebゲートのInstallShieldウィザードへようこそ画面で、次を実行します。

「次へ」をクリックします。
顧客情報画面で、アイデンティティ・サーバーで使用するusernameとgroupを入力します。これはOracle HTTP Serverをインストールしたユーザーおよびグループと同じにします。usernameとgroupのデフォルト値はnobodyです。たとえば、「oracle/oinstall」と入力します。

「次へ」をクリックします。
Oracle Access Managerアクセス・サーバーのインストール・ディレクトリを指定します。たとえば、「MW_HOME/oam/webgate」と入力します。

「次へ」をクリックします。

注意:
Oracle Access Manager Webゲートは、/u01/app/oracle/product/fmw/oam/webgateの下のaccessサブディレクトリにインストールされます。
Oracle Access Manager Webゲートは、/u01/app/oracle/product/fmw/oam/webgate/にインストールされます。

accessディレクトリはインストーラによって自動的に作成されます。
GCCランタイム・ライブラリの場所（たとえば、/u01/app/oracle/oam_lib）を指定します。

「次へ」をクリックします。
「インストールの進行状況」画面が表示されます。インストールのプロセスが完了すると、「Webゲート構成。」画面が表示されます。
「Webゲート構成。」画面で、トランスポート・セキュリティ・モードを指定するように求められます。

アクセス・システムのコンポーネント（ポリシー・マネージャ、アクセス・サーバーおよび関連Webゲート）すべてにおけるトランスポート・セキュリティは一致する必要があります。「オープン・モード」、簡易モードまたは証明書モードを選択します。

「オープン・モード」を選択します。

「次へ」をクリックします。

次の「Webゲート構成。」画面で、次のWebゲート詳細を指定します。

WebゲートID: 第18.2.2.2項「Oracle Access Manager管理コンソールの使用方法」で使用されるエージェント名です。たとえば、Webgate_myssoです。
Webゲート用パスワード: エージェントを作成するときにパスワードを入力した場合は、それを入力します。それ以外は空白のままにします。
アクセス・サーバーID: WLS_OAM1
ホスト名: 1台のアクセス・サーバーのホスト名を入力します。たとえば、IDMHOST1です。
アクセス・サーバーがリスニングするポート番号: ProxyPort

注意:

アクセス・サーバーが使用しているポートを見つけるには、http://admin.mycompany.com/oamconsoleのURLを使用してoamconsoleにログインします。次の手順を実行します。

「システム構成」タブを選択します。
「サーバー・インスタンス」を選択します。
インスタンス（WLS_OAM1）を選択して、ツール・バーで「表示」アイコンをクリックします。

プロキシ・エントリはホストおよびポート情報を持ちます。

「Webサーバーの構成」画面で、「はい」をクリックすると、Webサーバーが自動的に更新されます。その後、「次へ」をクリックします。
10. 次の「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。httpd.confファイルは、次のディレクトリにあります。

/u01/app/oracle/admin/ohsInstance/config/OHS/ohsComponentName

次に例を示します。

/u01/app/oracle/admin/ohs_instance2/config/OHS/ohs2/httpd.conf

「次へ」をクリックします。
次の「Webサーバーの構成」画面で、Webサーバー構成がWebゲート用に変更されたことを示すメッセージが表示されます。

「次へ」をクリックします。

「Webサーバーの構成」画面に次のメッセージが表示されます。

If the web server is setup in SSL mode, then httpd.conf file needs to be configured with the SSL related parameters. To manually tune your SSL configuration, please follow the instructions that come up.

「次へ」をクリックします。

次の「Webサーバーの構成」画面に、残りの製品設定とWebサーバー構成に関する情報のドキュメントがある場所が表示されます。

「いいえ」を選択して、「次へ」をクリックします。
最後の「Webサーバーの構成」画面で、手動でブラウザを起動してHTMLドキュメントを開きWebサーバーの構成方法を確認することを求めるメッセージが表示されます。

「次へ」をクリックします。
Oracle COREid Readme画面が表示されます。画面上の情報を確認してから、「次へ」をクリックします。
インストールが正常に実行されたことを示すメッセージがインストールの詳細とともに表示されます。

「終了」をクリックします。
第18.2.2.2項「Oracle Access Manager管理コンソールの使用方法」で生成されたファイルを使用して、MW_HOME/webgate/access/oblix/lib/ディレクトリ内のObAccessClient.xmlファイルを置き換えます。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Webサーバーを再起動します。
WEBHOST2に対して手順を繰り返します。

18.2.4 Webゲートの検証

第11.9項「Oracle Access Managerの検証」で保護されたリソースsso.htmlを作成しました。次のURLにアクセスすることにより、そのWebゲートが機能していることをテストできます。

https://sso.mycompany.com:443/sso.html

Oracle Access Serverにログインするように求められます。ログインすると、Oracle FMWのホーム・ページが表示されます。

注意:

この時点で、WebLogic、OAMまたはOIMなどのコンソールにアクセスしようとすると、2度ログオンする必要があります。これはWebゲートによって、これらのリソースが保護されているからです。このため次に第20.2項「OAM 11gを使用した管理コンソールに対するSSOの構成」の手順を実行する必要があります。

18.3 Oracle Access Manager 10gとOracle Identity Managerの統合

この項では、Oracle Access ManagerとOracle Identity Managerの統合方法について説明します。

この項の内容は次のとおりです。

第18.3.1項「前提条件」
第18.3.2項「OAMとOIMの統合のためのOAM構成」
第18.3.3項「OAMとOIMの統合のためのOIM構成」
第18.3.4項「必須オブジェクト・クラスによる既存LDAPユーザーの更新」

18.3.1 前提条件

注意:

この項の手順では、OAM 10.1.4.3.0アクセス・サーバーおよびOAM 10.1.4.3.0 Webゲート用OAM-OIM統合パッチが必要です。ただし、このドキュメントがリリースされる時点では、これらのパッチはダウンロードできません。パッチの入手可否については、My Oracle Support（https://support.oracle.com）で確認してください。必要なパッチ・レベルおよびパッチの適用方法の詳細は、11gリリース1（11.1.1）のリリース・ノートで「エンタープライズ・デプロイメント・ガイド」を参照してください。

OAM 10gとOIM 11gを統合する前に、次のタスクが実行されていることを確認してください。

第13章の説明に従ってOIM11gのインストールと構成が行われたことを確認します。
第10章の説明に従ってOracle Access Manager 10gのインストールと構成が行われたことを確認します。
第4.4項の説明に従ってOHSのインストールと構成が行われたことを確認します。
第18.2項の説明に従ってWebゲートがインストールされWebgate 10g Agentが構成されていることを確認します。
変更ログ・アダプタおよびユーザー・アダプタがOracle Virtual Directoryに作成されており、これらのアダプタのoamEnabledフラグがtrueに設定されていることを確認します。第13.3.1.2項を参照してください。
第18.3.1.1項の説明に従って、OAMとOIMパスワード有効期限スキーマ拡張機能によるACLとLDAPスキーマ定義、およびOAMスキーマを更新します。
第18.3.1.2項の説明に従って、システム管理者権限を使用してOIM内にユーザーを作成します。
第18.3.1.3項および第18.3.1.4項の説明に従って、環境内のすべてのアクセス・サーバーおよびWebゲートのインストールにパッチを適用します。
第18.3.1.5項の説明に従ってシングル・サインオン用にWebLogicドメインを構成します。

18.3.1.1 LDAPスキーマ定義の更新

次のように、OAMおよびOIMパスワード有効期限スキーマ拡張機能を使用してACLおよびLDAPスキーマ定義を更新します。

次の内容を持つLDIFファイルPasswordExpired.ldifを作成します。

dn: cn=subSchemaSubEntry
changetype: modify
add:  attributetypes
attributetypes: ( 1.3.6.1.4.1.3831.0.0.400 NAME 'obpasswordexpirydate' DESC 'Oracle Access Manager defined attribute type' SYNTAX '1.3.6.1.4.1.1466.115.121.1.15'  X-ORIGIN 'user defined' )

dn: cn=subschemasubentry
changetype: modify
add: objectclasses
objectclasses: ( 1.3.6.1.4.1.3831.0.1.40 NAME 'OIMPersonPwdPolicy' DESC 'Oracle Access Manager defined objectclass' SUP top  AUXILIARY MAY ( obpasswordexpirydate ) )

IDMHOST1上で、OracleホームをIDM_ORACLE_HOMEに設定し、ORACLE_HOME/binディレクトリがパスに含まれていることを確認します。
```
ORACLE_HOME=/u01/app/oracle/product/fmw/idmPATH=$ORACLE_HOME/bin:$PATH
```

ldapaddコマンドを使用して、LDAPスキーマを更新します。次に例を示します。

ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f /home/oracle/ PasswordExpired.ldif

LDAPスキーマをOAMスキーマ拡張で更新します（追加していない場合）。

OAMスキーマ・ファイルのOID_oblix_pwd_schema_add.ldif、OID_oblix_schema_add.ldif、OID_oblix_schema_index_add.ldifおよびOID_oim_pwd_schema_add.ldifは、IAM_ORACLE_HOME/oam/server/oim-intg/schemaディレクトリの下にあります。

ldapaddコマンドを使用して、LDAPスキーマを更新します。次に例を示します。

ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f IAM_ORACLE_HOME/oam/server/oim-intg/schema/OID_oblix_pwd_schema_add.ldif

ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f IAM_ORACLE_HOME/oam/server/oim-intg/schema/OID_oblix_schema_add.ldif

ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f IAM_ORACLE_HOME/oam/server/oim-intg/schema/OID_oblix_schema_index_add.ldif

ORACLE_HOME/bin/ldapmodify -h oid.mycompany.com -p 389 -D "cn=orcladmin" -q -c -v -f IAM_ORACLE_HOME/oam/server/oim-intg/schema/OID_oim_pwd_schema_add.ldif

18.3.1.2 管理者権限付きOracle Identity Managerユーザーの作成

Oracle Identity Manager管理コンソールを使用してシステム管理者権限付きのOIMユーザーを作成します。このユーザーはOAMおよびOIMで管理タスクを実行するために使用されます。次の手順に従って、ユーザーを作成します。

http://oim_host:port/admin/faces/pages/Admin.jspxでOracle Identity Manager管理コンソールにアクセスします。
第18.4.5項に従ってLDAPでxelsysadmユーザーを作成します。

LDIFファイルに次の行を追加することによりmail属性でユーザーが作成されていることを確認します。

mail:xelsysadm@mycompany.com

この属性はOracle Identity Managementでユーザー調整を行うために必須になります。
「ロール」に進みシステム管理者ロールをintg_adminユーザーに追加します。

18.3.1.3 Oracle Access Manager 10gアクセス・サーバーへのパッチの適用

次の手順に従って、OAMHOST1、OAMHOST2およびOAMADMINHOST上のアクセス・サーバーにパッチを適用します。

OAMアクセス・サーバーのパッチ・パッケージをMy Oracle Support（https://support.oracle.com）からダウンロードします。パッチの名前はOracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_Access_Server.zipです。
Oracle Access Manager 10.1.4.3.0を停止します。
Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_Access_Server.zipを一時ディレクトリに解凍します。
ディレクトリをPatchExtractLocation/Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_Access_Server_binary_parameterに変更します。
次のようにパッチ・インストール・ツールを起動します。
```
./patchinst -i InstallDir/access
```
InstallDirはアクセス・サーバーのインストール場所を示すパスです。

これによりOAMとOIMの統合に必要なパッチがOAM 10.1.4.3.0アクセス・サーバーに適用されます。必要なパッチ・レベルの詳細は、11gリリース1（11.1.1）のリリース・ノートで「エンタープライズ・デプロイメント・ガイド」を参照してください。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、アクセス・サーバーを起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、他のOracle Access Managerコンポーネントの停止と起動を実行します。

18.3.1.4 Oracle Access Manager 10g Webゲートへのパッチの適用

次の手順に従って、環境内のWebゲートにパッチを適用します。

Oracle Access Manager OHS11g WebゲートのパッチをMy Oracle Support（https://support.oracle.com）からダウンロードします。パッチの名前はOracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate.zipです。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Server 11gインスタンスを停止します。
Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate.zipを一時ディレクトリに解凍します。これにより次の2つのディレクトリが作成されます。
- Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_binary_parameter
- Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_message_en-us
ディレクトリをPatchExtractLocation/Oracle_Access_Manager10_1_4_3_0_BPxx_Patch_linux_OHS11g_WebGate_binary_parameterに変更します。
次のように入力してパッチ・インストール・ツールを起動します。
```
./patchinst -i InstallDir/access
```
InstallDirはアクセス・サーバーのインストール場所を示すパスです。

これによりOAMとOIMの統合に必要なパッチがOAM 10.1.4.3.0 Webゲートに適用されます。必要なパッチ・レベルの詳細は、11gリリース1（11.1.1）のリリース・ノートで「エンタープライズ・デプロイメント・ガイド」を参照してください。
環境内のすべてのWebゲート・インスタンスにこのパッチを適用してください。
すべてのWebホスト上で、/u01/app/oracle/product/fmw/oam/webgate/access/oblix/libディレクトリ下にあるPerlスクリプト・ファイルのconfig.pl、loginredirect.pl、logout.plおよびparams.plをORACLE_INSTANCE/config/OHS/InstanceName/cgi-binディレクトリにコピーします。

たとえば、WEBHOST1上では、次のように指定します。
```
cp /u01/app/oracle/product/fmw/oam/webgate/access/oblix/lib/*.pl /u01/app/oracle/admin/ohs_inst1/OHS/ohs1/cgi-bin/
```
WEBHOST2上では次のように指定します。
```
cp /u01/app/oracle/product/fmw/oam/webgate/access/oblix/lib/*.pl /u01/app/oracle/admin/ohs_inst2/OHS/ohs1/cgi-bin/
```
すべてのWebホスト上でORACLE_INSTANCE/config/OHS/InstanceName/cgi-binの下にあるconfig.pl、loginredirect.plおよびlogout.plのファイルに実行権限を追加します。実行権限を追加するには、すべてのWebホスト上で次のコマンドを実行します。
```
chmod +x ORACLE_INSTANCE/config/OHS/InstanceName/cgi-bin/*.pl
```
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、OHSサーバーを起動します。

18.3.1.5 シングル・サインオン用WebLogicドメインの構成

wlst addOAMSSOProviderコマンドを使用してシングル・サインオン・プロバイダ構成を更新します。このコマンドにより、Oracle Access Manager JPS SSOサービス・プロバイダを構成します。これによって、ドメイン・レベルのjps-config.xmlファイルを修正して、OAM SSOサービス・インスタンスと必須のプロパティを追加します。コマンドの構文を次に示します。

connect()
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi= "/cgi-bin/logout.pl", autologinuri=None)
disconnect()
exit()

addOAMSSOProvider(loginuri="login_uri", logouturi="logout_uri", autologinuri="autologin_uri")

前述の内容に関する説明を次に示します。

loginuriは、SSO認証のトリガーとなるログインURIです。これは必須パラメータです。
logouturiは、サインオンしたユーザーをログアウトさせるログアウトURIです。これはオプション・パラメータです。
autologinuriは、自動ログインURIです。これはオプション・パラメータです。

注意:

このコマンドはオンライン・モード（管理サーバー実行中）でのみ実行する必要があります。

次の手順に従って、Oracle Identity Manager統合用にOracle Access Managerを構成します。

ORACLE_HOME/common/binディレクトリからwlst.shを実行して、WLSTシェルを起動します。
connectコマンドを使用して、WebLogic管理サーバーに接続します。
addOAMSSOProvider WLSTコマンドを実行して、Oracle Access Manager JPS SSOサービス・プロバイダを構成します。

次に例を示します。

Prompt> ./wlst.sh
wls:/offline>connect('weblogic',password,'t3://idmhost1-vip.mycompany.com:7001')
wls:/IDMDomain/serverConfig> addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi= "/cgi-bin/logout.pl", autologinuri=None)

注意:

デフォルトのOAM用ログアウトURLである/cgi-bin/logout.plがコマンドに示されます。環境に適したログアウトURIを使用してください。

18.3.2 OAMとOIMの統合のためのOAMの構成

18.3.2.1 Oracle Access Manager 10gでのポリシーの作成

不正アクセスからOIMページを保護するには、OAMを構成してこれらのページを保護する必要があります。OAMアクセス・サーバーには、保護対象のOIMページとユーザー認証に使用される認証方法を指定するOAMポリシーを定義する必要があります。

OAMADMINHOST上でOAM構成ツールを実行して、OIMページを保護するためのOAMポリシーを構成し、OIMパスワード管理のためにOAMログイン・ページとの統合を可能にする必須のOAMパスワード・ポリシーを作成します。

次の手順に従って、必須のOAMポリシーを作成します。

次の内容のファイルを作成します。これらはOIMのパブリックおよび保護リソースです。

###########################
#
# OAM-OIM Integration
#
###########################
protected_uris
###########################

#Resources protected with default authentication scheme
/oim
/xlWebApp
/Nexaweb
/workspace
/admin

###########################
public_uris
###########################

#Public Policy 1
Self-Service Operations
/oim/faces/pages/USelf.jspx
/admin/faces/pages/forgotpwd.jspx
/admin/faces/pages/pwdmgmt.jspx
/oim/afr/blank.html
/admin/afr/blank.html

#Public Policy 2
Common JavaScripts, images and CSS
/oim    /.../{*.js,*.css,*.png,*.gif}
/admin  /.../{*.js,*.css,*.png,*.gif}

表に示されたパラメータを使用してORACLE_HOME/modules/oracle.oamprovider_11.1.1/ディレクトリ下のoamcfgtoolを実行します。

[Prompt> java -jar oamcfgtool.jar  mode=CREATE  app_domain=Policy_Domain_Name web_domain=Host_Identifier uris_file=Policy_Configuration_File ldap_host=LDAP_Host ldap_port=LDAP_Port ldap_userdn=LDAP_Bind_User_DN ldap_userpassword=LDAP_Bind_User_Password oam_aaa_host=Access_Server_Host oam_aaa_port=Access_Server_Port oam_aaa_mode={OPEN | SIMPLE | CERT} oam_aaa_passphrase=Global_Pass_Phrase -usei18nlogin  authenticating_wg_url=http://awghost.domain:port  -configOIMPwdPolicy

パラメータ	説明	値
`mode`	ツール実行モード	`CREATE`
`app_domain`	ポリシー・ドメイン名	`OIMPolicy_AG`
`web_domain`	ホスト識別子名。第10章で作成した値を指定します。	`IDMEDG`
`uris_file`	手順1で作成されたファイルの場所	`/home/oracle/oim-oam.conf`
`ldap_host`	LDAPホスト名	`oid.mycompany.com`
`ldap_port`	LDAPポート番号	`389`
`ldap_userdn`	LDAP管理ユーザー名	`cn=orcladmin`
`ldap_userpassword`	LDAP管理ユーザーのパスワード	`password`
`oam_aaa_host`	OAM10gアクセス・サーバーのホスト名	`OAMHOST1.mycompany.com`
`oam_aaa_port`	OAM10gアクセス・サーバーのポート番号	`6023`
`oam_aaa_mode`	OAM10gアクセス・サーバーのモード	`OPEN`
`oam_aaa_passphrase`	OAM10gアクセス・サーバーのパスフレーズ。第10章でアクセス・サーバーを作成するときに指定したパスフレーズを使用します。	`password`
`usei18nlogin`	OIMページを保護するために国際化ログイン・ページを使用する必要があることを示します。
`authenticating_wg_url`	WebゲートURLの認証。これはOAMサーバーのフロントエンドURLです。これはRWG-AWGシナリオで指定する必要があります。このEDGでは、両方とも同じです。	`https://sso.mycompany.com:443`
configOIMPwdPolicy

Oracle Access Managerアイデンティティ・コンソールのOAMパスワード・ポリシー・パラメータを更新します。次の手順を実行します。
1. http://oamadminhost.mycompany.com:7777/identity/oblixでOracle Access Manager 10gアイデンティティ・システム・コンソールに移動します。
2. orcladminユーザーの資格証明を使用してアイデンティティ・システム・コンソールにログインします。
3. 「アイデンティティ・システム・コンソール」リンクをクリックします。
4. 「システム構成」ページで、「システム構成」のリンクをクリックします。
5. 左側のペインのメニューで「パスワード・ポリシー」リンクをクリックします。
OAMパスワード・ポリシー・パラメータの前にシングル・サインオンURLを追加することにより、「ロスト・パスワードのリダイレクトURL」、「パスワード変更のリダイレクトURL」およびアカウント・ロックアウトのリダイレクトURLのフィールドを更新します。
- ロスト・パスワードのリダイレクトURL: https://sso.mycompany.com:443/admin/faces/pages/forgotpwd.jspx?backUrl=%HostTarget%%RESOURCE%
- パスワード変更のリダイレクトURL: https://sso.mycompany.com:443/admin/faces/pages/pwdmgmt.jspx?backUrl=%HostTarget%%RESOURCE%
- アカウント・ロックアウトのリダイレクトURL: https://sso.mycompany.com:443/ApplicationLockoutURI

これで作成されるものは次のとおりです。

不正アクセスからOIMページを保護するためのポリシー・ドメイン:共通のJavaスクリプト、CSSおよびイメージ・ファイルへの匿名アクセス、さらにOIMページへの匿名アクセスを許可する特定ポリシーも追加します。OIMページでは、パスワードを忘れた場合の機能、自己登録機能および登録トラッキング機能を処理します。
認証スキーム: OAMポリシーを使用してOIMページを保護する際に使用されます。
OAMアイデンティティ・システム・コンソールで必要なパスワード・ポリシー: これによって、パスワードの強制リセットを目的として、OAMアクセス・サーバーがOIMパスワード管理ページにユーザーをリダイレクトできます。
OAMアイデンティティ・システム・コンソールのパスワード・ポリシー・リダイレクトURL: これによって、パスワード忘れ、パスワード・リセット時の変更、アカウントのロックアウトの際におけるOIM URLを指定します。

18.3.2.2 OIM統合のためのOAM 10gの構成

2つのアクセス・サーバーとアイデンティティ・サーバーがシステムにインストールされています。両方のアクセス・サーバーとアイデンティティ・サーバーに次の変更を行ってください。

Access_Server_installDir/access/oblix/apps/common/binに移動します。globalparams.xmlファイルに、次のブロックを追加します。
```
<SimpleList>
   <NameValPair
         ParamName="OIMIntegration"
            Value="true">
   </NameValPair>
</SimpleList>
```
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ファイルを保存してアクセス・サーバーとアイデンティティ・サーバーを再起動します。
次の手順に従って、OraDefaultI18NFormAuthNScheme認証スキームを更新します。
1. http://oamadminhost.mycompany.com:7777/access/oblixでOracle Access Manager 10gアクセス・システム・コンソールに移動します。
2. 「アクセス・システム構成」タブを選択します。
3. 右側のメニューで「認証管理」リンクを選択します。
4. 「OraDefaultI18NFormAuthNScheme」を選択します。
5. 「認証スキームの詳細」ページで「変更」をクリックしてOraDefaultI18NFormAuthNSchemeを変更します。
6. 次の値を設定します。
  
  レベル: 5
  
  チャレンジ・パラメータ: 「OIMStepDownAuthLevel:1」にします。値を追加するには「+」をクリックします。
7. 「キャッシュの更新」を選択してから、「保存」をクリックして構成を更新します。
国際化サポートとともにフォームベース認証を適切に機能させるにはWebゲートのログイン・ページを構成する必要があります。WEBHOST1およびWEBHOST2上のWebGate_HOME/access/oamsso/globalディレクトリ下にあるconfig.jsファイルを編集することにより、すべてのWebホスト上で次のタスクを実行します。
1. config.jsのhideRegLink変数をfalseに設定することにより、「登録」および「追跡」のリンクを有効にします。
2. OIMインスタンスのフロントエンドとなるOHSインスタンスのホストとポートにOimOHSHostPort変数の値を設定します。たとえば、https://sso.mycompany.com:443と設定します。
3. config.jsの「Section C」で「Parameters to specify actual redirection URLs...」を探します。「var lostPasswordURL」、「var registrationURL」および「var trackRegistrationURL」のエントリがあります。それらの値が次のように設定されていることを確認します。
```
var registrationURL = OimOHSHostPort +'/oim/faces/pages/USelf.jspx?OP_TYPE=SELF_REGISTRATION&T_ID=Self-Register%20User&E_TYPE=USELF';

var lostPasswordURL = OimOHSHostPort + '/admin/faces/pages/forgotpwd.jspx';

var trackRegistrationURL = OimOHSHostPort + '/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=UNAUTH_TRACK_REQUEST ';
```
正しいperlインタープリタを使用するために、WEBHOST1およびWEBHOST2上のORACLE_INSTANCE/config/OHS/InstanceName/cgi-binディレクトリ下にあるloginredirect.plおよびlogout.plファイルを更新します。それには、Oracle HTTP ServerのOracleホーム下にあるPerlインタープリタをポイントするようにファイルの最初の行を更新します。
すべてのWebホスト上で、ORACLE_INSTANCE/cgi-binディレクトリ下にあるconfig.plファイルを編集し、環境に合せて変数のdefaultAWGEndURL、defaultendURLおよびmapAgentIdToAgentHostPortの値を適切な値に設定します。

パラメータのdefaultAWGEndURLおよびdefaultendURLにより、問合せ文字列に指定されていないときに使用されるデフォルトのend_urlを指定します。

mapAgentIdToAgentHostPortパラメータは、WebゲートをホストするWebサーバーのルートにWebゲート識別子をマップするための配列リストです。agentidは、第18.3.2.1項でOIMポリシーを作成したときに指定したWebゲート識別子です。

これらの値を更新するには、まずconfig.plファイルで次のスニペットを探します。
```
$defaultAWGEndURL = "http://AWGHost-Port/defaultEndURL_forAWG";

$defaultendURL = "/defaultEndURL_forRWG";                               

%mapAgentIdToAgentHostPort      = (                                "RWG1", "http://RWG1Host-Port/",
                                "RWG2", "http://RWG2Host-Port/",
                                "", ""                  ## Terminating entry
                                );
```
これらのエントリの意味は次のとおりです。
- defaultAWGEndURL: 認証Webゲート上のエンドURLです。
- AWGHost-Port: 認証Webゲートのホストとポートです。このEDGでは、認証WebゲートとリソースWebゲートは同一です。
- defaultEndURL_forRWG: リソースWebゲートのデフォルトのエンドURLです。これはユーザーがログアウト時にリダイレクトされるURLです。
- mapAgentIdToAgentHostPort: エージェントIDによって指定されたWebゲート識別子を、WebゲートをホストするWebサーバーにマップさせるための配列リストです。
- RWG1/RWG2: リソースWebゲート上のWebゲート識別子です。
- RWG1Host-Port: リソースWebゲートのホスト名とポートです。このEDGでは、リソースWebゲートと認証Webゲートは同一です。
これらの値を次のように変更してください。
```
$defaultAWGEndURL = "https://sso.mycompany.com:443/oim";

$defaultendURL = "https://sso.mycompany.com:443/oim";

%mapAgentIdToAgentHostPort      = (
                                " IDMEDG_AG ",
                                "https://sso.mycompany.com:443/",
                                "", ""                  ## Terminating entry
                                );
```

ファイルを保存します。

注意:

次の手順は、logoutRedirectUrlを設定します。これは認証Webゲート（AWG）とリソースWebゲート（RWG）が異なる環境では必須の手順です。このデプロイメント・ガイドではAWGとRWGが同一なため、この手順は必要ありません。

logoutRedirectUrlでWebゲートのエントリを更新します。次の手順を実行します。
1. http://oamadminhost.mycompany.com:7777/access/oblixでOracle Access Manager 10gアクセス・システム・コンソールに移動します。
2. 「アクセス・システム構成」タブを選択します。
3. 右側のメニューで「アクセス・ゲート構成」を選択します。
4. アクセス・ゲートの検索条件を指定して、アクセス・ゲートを検索してWebゲートをリスト上で「実行」をクリックします。
5. Webゲートをリストから選択します。これは第18.3.2項で作成した同じWebゲートのOIMPolicy_AGです。
6. 「アクセス・ゲートの詳細」ページで「変更」をクリックしてWebゲートのOIMPolicy_AGを変更します。
7. 次のように「ユーザー定義パラメータ」セクションを更新します。
  
  パラメータ: logoutRedirectUrl
  
  値: https://sso.mycompany.com:443/cgi-bin/logout.pl
8. 「保存」をクリックして、構成を保存します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WEBHOST1およびWEBHOST2上で実行されているOHSインスタンスを停止し、起動します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、環境内のアクセス・サーバーとアイデンティティ・サーバーを停止し、起動します。

18.3.3 OAMとOIMの統合のためのOIMの構成

次の手順に従ってOAM-OIM統合に向けてOracle Identity Managerを構成します。

18.3.3.1 OAM 10g/OIM Authenticatorの構成

Oracle Identity Managerに自動ログインを構成するには、必要なパラメータでoim-config.xmlファイルを更新します。oam-config.xmlファイルは、/db/oim-config.xmlディレクトリ下のMDSリポジトリ内にあります。このファイルはMDSからローカル・ファイル・システムにエクスポートした後、再度MDSにインポートする必要があります。変更を有効にするには、サーバーを再起動します。

注意:

ファイルは、wls_servernameパラメータに指定された管理対象サーバー・ホスト上からmetadata_to_locパラメータによって指定された場所にエクスポートされます。

MDSからローカル・ファイル・システムに/db/oim-config.xmlファイルをエクスポートするには、次の手順を実行します。

OIMメタデータ・エクスポート・ツールを使用してMDSリポジトリから/db/oim-config.xmlファイルをエクスポートします。OIMメタデータ・エクスポート・ツールweblogicExportMetadata.shは、IAM_ORACLE_HOME/server/binディレクトリ下にあります。

ツールを実行する前に、IAM_ORACLE_HOME/server/binディレクトリの下にあるweblogic.propertiesファイルを次のプロパティで更新します。

wls_servername: サーバー名のOIM

application_name: OIMMetadata

metadata_to_loc: ファイルのエクスポート先となるOIMHOST上の場所です。

metadata_files: /db/oim-config.xml

次はweblogic.propertiesファイルの例です。

# Weblogic Server Name on which OIM application is running

wls_servername=WLS_OIM1

# If you are importing or exporting any out of box event handlers, value is oim.
# For rest of the out of box metadata, value is OIMMetadata.
# If you are importing or exporting any custom data, always use application name as OIMMetadata.

application_name=OIMMetadata

# Directory location from which XML file should be imported.
# Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml,
# I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist
# in this folder or in its sub folders. Import utility tries to recursively import all the files under the
# from location folder. This property is only used by weblogicImportMetadata.sh

metadata_from_loc=@metadata_from_loc

# Directory location to which XML file should be exported to

metadata_to_loc=/home/oracle/oim_export# For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values.# This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts

metadata_files=/db/oim-config.xml

# Application versionapplication_version=11.1.1.3.0

OIM_ORACLE_HOME変数をアイデンティティ管理のOracleホームに設定します。
```
prompt> export OIM_ORACLE_HOME=/u01/app/oracle/product/fmw/iam
```
OIMメタデータ・エクスポート・ツールを実行します。
```
prompt>./weblogicExportMetadata.sh
```
求められたら、次の値を指定します。

username: Weblogicドメインの管理ユーザー名です。たとえば、weblogicです。

password: 管理ユーザーのパスワードです。

server URL: OIM管理対象サーバーに接続するためのURLです。たとえば、t3://oimhost1.mycompany.com:14000です。

ツールの出力は次のようになります。

Initializing WebLogic Scripting Tool (WLST) ...

Welcome to WebLogic Server Administration Scripting Shell

Type help() for help on available commands

Starting export metadata script ....
Please enter your username [weblogic] :weblogic
Please enter your password [welcome1] :
Please enter your server URL [t3://localhost:7001] :t3://oimhost1.mycompany.com:14000
Connecting to t3:// oimhost1.mycompany.com:14000 with userid weblogic ...
Successfully connected to managed Server 'WLS_OIM2' that belongs to domain 'IDMDomain'.

Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port orAdmin port should be used instead.
Location changed to custom tree. This is a writable tree with No root.
For more help, use help(custom)

Disconnected from weblogic server: WLS_OIM2
End of export metadata script ...

Exiting WebLogic Scripting Tool.

/home/oracle/oim_export/dbディレクトリ下に作成されたoim-config.xmlファイルを編集して、次のように値を更新します。

<ssoConfig>
   <version>@oamVersion</version>
   <accessServerHost>@oamAccessServerHost</accessServerHost>
   <accessServerPort>@oamAccessServerPort</accessServerPort>
   <accessGateID>@oamAccessGateID</accessGateID>
   <cookieDomain>@oamcookiedomain</cookieDomain>
   <napVersion>3</napVersion>
   <transferMode>OPEN</transferMode>  
   <webgateType>ohsWebgate10g</webgateType
   <ssoEnabled>false</ssoEnabled>
</ssoConfig>

次に例を示します。

<ssoConfig>
    <version>10.1.4.3</version>
    <accessServerHost>sso.mycompany.com</accessServerHost>
    <accessServerPort>443</accessServerPort>
    <accessGateID>IDMEDG_AG</accessGateID>
    <napVersion>3</napVersion>
    <cookieDomain>.mycompany.com</cookieDomain>
    <transferMode>open</transferMode>
    <webgateType>ohsWebgate10g</webgateType>
    <ssoEnabled>true</ssoEnabled>
</ssoConfig>

注意:

oamAccessServerHost: OAMサーバーのフロントエンドとなるVIPを指定します。
oamAccessServerPort: VIP用のポートを指定します。
oamAccessGateID: ポリシー・ドメインと関連付けられたアクセス・ゲートを指定します。第18.3.2項「OAMとOIMの統合のためのOAMの構成」でOIM用にポリシーを構成するために使用したアクセス・ゲートIDを指定します。

ファイルを保存します。

変更を有効にするために、次の手順に従ってMDS内にファイルをインポートします。

IAM_ORACLE_HOME/server/binディレクトリの下にあるweblogic.propertiesファイルを、次に示すように更新します。

wls_servername: サーバー名のOIM

application_name: application_name=OIMMetadata

metadata_from_loc: OIMHOSTにおけるファイルのインポート元となる場所です。

metadata_files: /db/oim-config.xml

次はweblogic.propertiesファイルの例です。

# Weblogic Server Name on which OIM application is running

wls_servername=WLS_OIM1

# If you are importing or exporting any out of box event handlers, value is oim.
# For rest of the out of box metadata, value is OIMMetadata.
# If you are importing or exporting any custom data, always use application name as OIMMetadata.

application_name=oim

# Directory location from which XML file should be imported.
# Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml,
# I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist
# in this folder or in its sub folders. Import utility tries to recursively import all the files under the
# from location folder. This property is only used by weblogicImportMetadata.sh

metadata_from_loc=/home/oracle/oim_export

# Directory location to which XML file should be exported to

metadata_to_loc=/home/oracle/oim_export

# For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values.
# This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts

metadata_files=/db/oim-config.xml

# Application version
application_version=11.1.1.3.0

OIMメタデータ・インポート・ツールを実行します。

prompt>./weblogicImportMetadata.sh

求められたら、ユーザー名、パスワードおよびサーバーURLの値を指定します。

username: Weblogicドメインの管理ユーザー名です。たとえば、weblogicになります。

password: 管理ユーザーのパスワードです。

server URL: OIM管理対象サーバーに接続するためのURLです。たとえば、3://oimhost1.mycompany.com:7001です。

ツールの出力は次のようになります。

Initializing WebLogic Scripting Tool (WLST) ...

Welcome to WebLogic Server Administration Scripting Shell

Type help() for help on available commands

Starting import metadata script ....
Please enter your username [weblogic] :weblogic
Please enter your password [welcome1] :
Please enter your server URL [t3://localhost:7001] :t3:// oimhost1.mycompany.com:14000
Connecting to t3://oimhost1.mycompany.com:14000 with userid weblogic ...
Successfully connected to managed Server 'WLS_OIM1' that belongs to domain 'IDMDomain'.

Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port or Admin port should be used instead.

Location changed to custom tree. This is a writable tree with No root.
For more help, use help(custom)
Disconnected from weblogic server: WLS_OIM2
End of import metadata script ...
Exiting WebLogic Scripting Tool.

18.3.3.2 CSFでのアクセス・ゲート・パスワードのシード

アクセス・ゲート・パスワードを資格証明ストア・フレームワークにシードする必要があります。この項の手順に従ってアクセス・ゲート・パスワードをシードしてください。

注意:

ここに示されている手順はオープン・モードのセキュリティ・モード用です。セキュリティ・モードが簡易モードに設定されている場合は、Oracle Access Manager 10g（10.1.4.3）ドキュメント・ライブラリ内のOracle Access Managerアクセス管理ガイドの説明に従ってキーストアを構成します。

マップ名oimおよびキー名SSOAccessKeyに対して、CSF内にアクセス・ゲート・パスワードをシードします。CSFは、DOMAIN_HOME/config/fmwconfigディレクトリ内のcwallet.ssoです。ORACLE_HOME/common/bin/wlst.shを実行します。

connect()
createCred(map="oim", key="SSOAccessKey",user="SSOAccessKey",password="welcome1",desc="OAMAccessGatePassword")
listCred(map="oim",key="SSOAccessKey")

18.3.3.3 WLSプラグインの有効化

次の手順に従いWLS管理コンソールを使用してOIM用Weblogicサーバー・プラグインを有効にします。

http://ADMINHOSTVHN.mycompany.com/consoleでWebLogic管理コンソールにアクセスします。
weblogicユーザーの資格証明を使用してWebLogic管理コンソールにログインします。
「環境」→「サーバー」→「WLS_OIM1」→「詳細」に移動し、「WebLogicプラグインの有効化」が選択されていない場合は、それを選択します。

18.3.3.4 SSO通知イベントハンドラのMDSリポジトリへのインポート

Oracle Access Manager用SSO通知ハンドラのエントリをOracle Identity ManagerのMDSリポジトリにインポートする必要があります。通知ハンドラのエントリはIAM_ORACLE_HOME/server/oamMetadata/db/ssointgディレクトリ下のEventHandlers.xmlファイルに含まれています。次の手順に従い、OIMメタデータ・インポート・ツールを使用してMDSリポジトリに通知イベントをインポートします。

OIMメタデータ・インポート・ツールを使用してEventHandlers.xmlファイルをMDSリポジトリにインポートします。OIMメタデータ・インポート・ツールweblogicImportMetadata.shは、IAM_ORACLE_HOME/server/binディレクトリ下にあります。

ツールを実行する前に、IAM_ORACLE_HOME/server/binディレクトリの下にあるweblogic.propertiesファイルを次のプロパティで更新します。

wls_servername: サーバー名のOIM

application_name: OIMMetadata

metadata_from_loc: OIMHOSTにおけるファイルのインポート元となる場所です。

file_names: /db/ssointg/EventHandlers.xml

次はweblogic.propertiesファイルの例です。

# Weblogic Server Name on which OIM application is running

wls_servername=WLS_OIM1

# If you are importing or exporting any out of box event handlers, value is oim.
# For rest of the out of box metadata, value is OIMMetadata.
# If you are importing or exporting any custom data, always use application name as OIMMetadata.

application_name=oim

# Directory location from which XML file should be imported.
# Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml,
# I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist
# in this folder or in its sub folders. Import utility tries to recursively import all the files under the
# from location folder. This property is only used by weblogicImportMetadata.sh

metadata_from_loc=/home/oracle/oim_export

# Directory location to which XML file should be exported to

metadata_to_loc=/home/oracle/oim_export

# For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values.

# This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts

metadata_files=/db/ssointg/EventHandlers.xml

# Application version
application_version=11.1.1.3.0

metadata_from_locパラメータで指定した場所にIAM_ORACLE_HOME/server/oamMetadata/db/ssointg/EventHandlers.xmlをコピーします。

次に例を示します。
```
cp IAM_ORACLE_HOME/server/oamMetadata/db/ssointg/EventHandlers.xml /home/oracle/db/ssointg/EventHandlers.xml
```

metadata_from_locパラメータで指定した場所にIAM_ORACLE_HOME/server/oamMetadata/db/ssointg/EventHandlers.xmlをコピーします。

OIMメタデータ・インポート・ツールを実行します。

prompt>./weblogicImportMetadata.sh

求められたら、ユーザー名、パスワードおよびサーバーURLの値を指定します。

username: Weblogicドメインの管理ユーザー名です。たとえば、weblogicになります。

password: 管理ユーザーのパスワードです。

server URL: OIM管理対象サーバーに接続するためのURLです。たとえば、3://oimhost1.mycompany.com:7001です。

ツールの出力は次のようになります。

Initializing WebLogic Scripting Tool (WLST) ...

Welcome to WebLogic Server Administration Scripting Shell

Type help() for help on available commands

Starting import metadata script ....
Please enter your username [weblogic] :weblogic
Please enter your password [welcome1] :
Please enter your server URL [t3://localhost:7001] :t3:// oimhost1.mycompany.com:14000
Connecting to t3://oimhost1.mycompany.com:14000 with userid weblogic ...
Successfully connected to managed Server 'WLS_OIM1' that belongs to domain 'IDMDomain'.

Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port or Admin port should be used instead.

Location changed to custom tree. This is a writable tree with No root.
For more help, use help(custom)

Disconnected from weblogic server: WLS_OIM2
End of import metadata script ...

WebLogicスクリプト・ツールを終了します。

18.3.3.5 OAM 10g/OIM Authenticatorの構成

第20.1.5.1項「Oracle Internet Directoryオーセンティケータのセットアップ」の説明に従って、Oracle Internet Directory Authenticatorを作成します。
第20.1.5.2項「Oracle Access Manager Identity Asserterのセットアップ」の説明に従って、Oracle Access Manager Identity Asserterを作成します。
次の手順に従ってOIMSignature Authenticatorを作成します。
1. http://ADMINHOSTVHN.mycompany.com/consoleでWebLogic管理コンソールにログインします。
2. 「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
3. 「チェンジ・センター」で「ロックして編集」をクリックします。
4. myrealmをクリックします。
5. 「プロバイダ」タブを選択します。
6. 「新規」をクリックします。
7. 次の情報を指定します。
  
  名前: OIMSignatureAuthenticator
  
  タイプ: OIMSignatureAuthenticator
8. 「OK」をクリックします。
9. 新しく作成されたOIMSignatureAuthenticatorプロバイダのリンクをクリックします。
10. 「共通」タブで、「制御フラグ」を「SUFFICIENT」に設定します。
11. 「保存」をクリックします。
12. 「変更のアクティブ化」をクリックして、変更をアクティブ化します。
13. 管理サーバーや管理対象サーバーは再起動しないでください。この項の最後で再起動を行います。
OIM Authenticatorの「制御フラグ」を「OPTIONAL」に設定します。次の手順を実行します。
1. http://ADMINHOSTVHN.mycompany.com/consoleでWebLogic管理コンソールにログインします。
2. 「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
3. 「チェンジ・センター」で「ロックして編集」をクリックします。
4. myrealmをクリックします。
5. 「プロバイダ」タブを選択します。
6. 「OIMAuthenticationProvider」リンクをクリックします。
7. 「共通」タブで、「制御フラグ」を「OPTIONAL」に設定します。
8. 「保存」をクリックします。
9. 「変更のアクティブ化」をクリックして、変更をアクティブ化します。
10. 管理サーバーや管理対象サーバーは再起動しないでください。この項の最後で再起動を行います。

表に記載されているように認証プロバイダを並び替えます。次の手順に従って、プロバイダを並び替えます。

http://ADMINHOSTVHN.mycompany.com/consoleでWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「並替え」をクリックします。

「認証プロバイダの並替え」ページで、次の表に記載されているようにプロバイダを並び替えます。「制御フラグ」が表のとおりであることを確認します。

名前	制御フラグ
OAMIdentityAsserter	REQUIRED
Default Authenticator	SUFFICIENT
OIMSignatureAuthenticator	SUFFICIENT
OIMAuthentication Provider	OPTIONAL
OIDAuthenticator	SUFFICIENT
Default Identity Asserter	SUFFICIENT

第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内の管理サーバーと管理対象サーバーを再起動します。

18.3.4 必須オブジェクト・クラスによる既存LDAPユーザーの更新

オブジェクト・クラスのOblixPersonPwdPolicy、OIMPersonPwdPolicyおよびOblixOrgPersonを使用して既存のLDAPユーザーを更新する必要があります。IAM_ORACLE_HOME/server/ssointgディレクトリ下のOIM構成ツールoimcfgtool.jarを使用してユーザーを更新する必要があります。このコマンドをIDMHOST1（管理サーバーのホスト）で実行します。ツールの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のIdentity Asserter用認証スキームの構成に関する項を参照してください。

18.3.4.1 前提条件

oimcfgtoolを実行する前に、次の基準が満たされていることを確認します。

wlfullclient.jarファイルはMW_HOME/wlserver_10.3/server/libディレクトリの下にあります。jarファイルがない場合は、第4.7.7項「wlfullclient.jarファイルの作成」の手順に従ってjarファイルを生成してください。
oimcfgtoolをIAM_ORACLE_HOME/server/ssointgディレクトリで実行しています。このツールを別の場所にコピーしないでください。

JAVA_HOMEとWL_HOMEを設定します。

JAVA_HOME=ORACLE_BASE/product/fmw/jdk160_18
WL_HOME=ORACLE_BASE/product/fmw/wlserver_10.3
PATH=JAVA_HOME/bin:$PATH

注意:

JAVA_HOMEは、SUN JDKに設定する必要があります。

18.3.4.2 OIM構成ツールの使用方法

次の手順に従い、oimcfgtoolを使用してOracle Access ManagerとOracle Identity Managerを統合します。

注意:

· oimcfgtoolを実行する前に、LDAPサーバーが起動され、実行されていることを確認します。

ORACLE_HOMEをIAM_ORACLE_HOMEに、JAVA_HOMEをSUN JDKディレクトリに設定し、PATHにJAVA_HOMEが含まれていることを確認します。

prompt>export MW_HOME=/opt/maa/oracle/plus/product/fmw
prompt>export ORACLE_HOME=/opt/maa/oracle/plus/product/fmw/iam
prompt>export JAVA_HOME=/opt/maa/oracle/plus/product/fmw/jdk160_18
prompt>export PATH=$JAVA_HOME/bin:$PATH

次のディレクトリに移動します。

ORACLE_HOME/server/ssointg

sso-config.profileファイルを作成するために、generate-profileオプションを使用してoimcfgtoolを実行します。入力内容をsso-config.profileで渡します。プロファイル・ファイルに指定されていない必須情報を入力するように求められます。ツールを次のように実行します。
```
java -jar oimcfgtool.jar generate-profile
```
出力は次のようになります。
```
Turning off debug logs

Generating sso-config.profile...

Generated sso-config.profile
```
IAM_ORACLE_HOME/server/ssointgディレクトリ下に作成されたsso-config.profileファイルを編集します。次の値を指定します。ファイルの残りの値は、既存LDAPユーザーの更新に必須ではありません。
- LDAP Host: LDAPサーバーのホスト名です。
- LDAP Port: LDAPサーバーのポートです。
- LDAP Root DN: LDAPサーバーに接続する管理者DNです。
- User Search Base: OIMユーザーのLDAP検索ベースです。
- Group Search Base: OIMグループのLDAP検索ベースです。
- Password Expiry Period in Days: パスワード有効期限の日数です。デフォルト値は7300です。
次はsso-config.profileファイルの例です。
```
LDAP Host :-oid.mycompany.com
LDAP Port :-389
LDAP Root DN :-cn=orcladmin
User Search Base :-cn=Users,dc=mycompany,dc=com
Group Search Base :-cn=Groups,dc=mycompany,dc=com
Password Expiry Period in Days :-7300
```

オプションを指定してoimcfgtoolを実行し、oim-config.xmlファイルのアクセス・サーバー情報を更新します。ツールを次のように実行し、次の問合せ実行時にLDAP Root DNのパスワードを指定します。

java -jar oimcfgtool.jar upgrade-ldap-users

出力は次のようになります。

[orcl@strasha07 ssointg]$ java -jar oimcfgtool.jar upgrade-ldap-users
Turning off debug logs


********* Upgrading LDAP Users With OAM ObjectClasses *********

Loading inputs from sso-config.profile

Completed loading inputs from sso-config.profile

Remaining inputs will be queried from console.

Enter LDAP Root DN Password: 


Completed loading user inputs for - LDAP connection info



Completed loading user inputs for - LDAP Upgrade

Upgrading ldap users at - cn=Users,dc=mycompany,dc=com

Parsing - cn=Users,dc=mycompany,dc=com

objectclass OIMPersonPwdPolicy not present in cn=weblogic_idm,cn=users,dc=mycompany,dc=com. Seeding it

objectclass OblixOrgPerson not present in cn=weblogic_idm,cn=users,dc=mycompany,dc=com. Seeding it

objectclass OblixPersonPwdPolicy not present in cn=weblogic_idm,cn=users,dc=mycompany,dc=com. Seeding it

obpasswordexpirydate added in cn=weblogic_idm,cn=users,dc=mycompany,dc=com

Finished parsing LDAP

LDAP Users Upgraded.

********* ********* *********

Operation completed. Please restart all servers.

第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内のWLS管理サーバーとすべての管理対象サーバーを停止し、起動します。

18.4 Oracle Identity ManagerとOracle Access Manager 11gの統合

この項では、Oracle Identity ManagerとOracle Access Manager 11gの統合方法について説明します。

この項の内容は次のとおりです。

第18.4.1項「前提条件」
第18.4.2項「シングル・サインオン・プロバイダ構成の更新」
第18.4.3項「Oracle Access ManagerとOracle Identity Manager統合の構成」
第18.4.4項「OIM構成ツールを使用したOAMとOIMの統合」
第18.4.5項「Oracle Internet Directoryでのxelsysadmユーザーのシード」
第18.4.6項「Oracle Identity Manager構成の更新」

18.4.1 前提条件

第13章の説明に従ってOIM11gのインストールと構成が行われたことを確認します。
第11章の説明に従ってOracle Access Manager 11gのインストールと構成が行われたことを確認します。
第4.4項の説明に従ってOHSのインストールと構成が行われたことを確認します。
第18.2項の説明に従ってWebゲートがインストールされWebgate 10g Agentが構成されていることを確認します。
第20.2項「OAM 11gを使用した管理コンソールに対するSSOの構成」の説明に従って管理コンソールに対してシングル・サインオンが構成されたことを確認します。
第20.3項「管理者のプロビジョニング」の説明に従って管理ユーザーをプロビジョニングしたことを確認します。
ドメインのJTAトランザクション・タイムアウトが600秒以上であることを確認します。必要があれば、次の手順に従ってタイムアウト値を更新します。
1. ブラウザを開いて、http://admin.mycompany.com/consoleでWebLogic管理コンソールを起動します。
2. WebLogic管理コンソールに管理ユーザーとしてログインします。
3. 「ロックして編集」をクリックします。
4. 「サービス」→「JTA」に移動します。
5. 「タイムアウト」の値が600以上であることを確認します。
6. 「保存」をクリックします。
7. 「変更のアクティブ化」をクリックします。
8. 第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーと管理対象サーバーを停止します。
9. 第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ノード・マネージャを使用して管理サーバーを起動します。
10. 第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理コンソールを使用してドメイン内の管理対象サーバーを起動します。

18.4.2 シングル・サインオン・プロバイダ構成の更新

wlst addOAMSSOProviderコマンドを使用してシングル・サインオン・プロバイダ構成を更新します。このコマンドにより、Oracle Access Manager JPS SSOサービス・プロバイダを構成します。これによって、ドメイン・レベルのjps-config.xmlファイルを修正して、OAM SSOサービス・インスタンスと必須のプロパティを追加します。コマンドの構文を次に示します。

addOAMSSOProvider(loginuri="login_uri", logouturi="logout_uri", autologinuri="autologin_uri")

前述の内容に関する説明を次に示します。

loginuriは、SSO認証のトリガーとなるログインURIです。これは必須パラメータです。
logouturiは、サインオンしたユーザーをログアウトさせるログアウトURIです。これはオプション・パラメータです。
autologinuriは、自動ログインURIです。これはオプション・パラメータです。

注意:

このコマンドはオンライン・モード（管理サーバー実行中）でのみ実行する必要があります。

次の手順に従って、Oracle Identity Manager統合用にOracle Access Managerを構成します。

IAM_ORACLE_HOME/common/bin ディレクトリからwlst.shを実行して、WLSTシェルを起動します。
connectコマンドを使用して、WebLogic管理サーバーに接続します。

addOAMSSOProvider WLSTコマンドを実行して、Oracle Access Manager JPS SSOサービス・プロバイダを構成します。

次に例を示します。

Prompt> ./wlst.sh
wls:/offline>connect('weblogic',password,'t3://idmhost1-vip.mycompany.com:7001')

wls:/IDMDomain/serverConfig> 
 addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication",logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi")

exit()コマンドを使用して、WLSTツールから切断します。
```
wls:/IDMDomain/serverConfig>exit()
```

18.4.3 Oracle Access ManagerとOracle Identity Manager統合の構成

wlst updateOIMHostPortコマンドを使用してOracle Access Managerによって管理されるサーバーの構成を更新します。このコマンドはOracle Identity Managerのホストおよびポート情報を使用して、oam-config.xmlファイルのIdentityManagementおよびServerConfigurationのセクションを更新します。コマンドの構文を次に示します。

 updateOIMHostPort(hostName = "host_name", port = "port_number", secureProtocol = "[ true | false ]")

前述の内容に関する説明を次に示します。

hostnameは、このエンタープライズ・トポロジでOIM管理対象サーバーにトラフィックをルートするように構成されたロード・バランサVIPです。これは必須パラメータです。たとえば、https://sso.mycompany.comと設定します。
portはロード・バランサのリスニング・ポートです。これは必須パラメータです。
secureProtocol: 通信プロトコルがセキュアかどうかを指定します。これは必須パラメータです。httpsを使用するときにこれをtrueに設定し、httpを使用するときにfalseに設定します。次のような留意点があります。

注意:

このコマンドはオンライン・モード（管理サーバー実行中）でのみ実行する必要があります。

次の手順に従って、Oracle Identity Manager統合用にOracle Access Managerを構成します。

ORACLE_HOME/common/binディレクトリ下のwlst.shスクリプトを実行して、WLSTシェルを起動します。
connectコマンドを使用して、WebLogic管理サーバーに接続します。

updateOIMHostPort() WLSTコマンドを実行して、OAM構成を更新します。

次に例を示します。

Prompt> ./wlst.sh 
wls:/offline> connect('weblogic',password,'t3://idmhost1-vip.mycompany.com:7001')
wls:/IDMDomain/serverConfig> updateOIMHostPort(hostName = "sso.mycompany.com" , port = "443", secureProtocol = "true")

exit()コマンドを使用して、WLSTツールから切断します。
```
wls:/IDMDomain/serverConfig>exit()
```

DOMAIN_HOME/config/fmwconfigディレクトリ下のoam-config.xmlファイルのIdentityManagementおよびServerConfigurationのセクションをチェックすることにより、コマンドが正常に完了したことを確認します。IdentityManagementおよびServerConfigurationの例を次に示します。

<Setting Name="IdentityManagement" Type="htf:map">
              <Setting Name="ServerConfiguration" Type="htf:map">
                <Setting Name="OIM-SERVER-1" Type="htf:map">
                  <Setting Name="Host"
 Type="xsd:string">sso.mycompany.com</Setting>
                  <Setting Name="Port" Type="xsd:integer">443</Setting>
                  <Setting Name="SecureMode" Type="xsd:boolean">True</Setting>
               </Setting>
              </Setting>

18.4.4 OIM構成ツールを使用したOAMとOIMの統合

IAM_ORACLE_HOME/server/ssointgディレクトリ下のOIM構成ツールoimcfgtool.jarを使用してOracle Access ManagerとOracle Identity Managerを連携させます。このコマンドをIDMHOST1（管理サーバーのホスト）で実行します。ツールの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のIdentity Asserter用認証スキームの構成に関する項を参照してください。

18.4.4.1 前提条件

oimcfgtoolを実行する前に、次の基準が満たされていることを確認します。

wlfullclient.jarファイルはMW_HOME/wlserver_10.3/server/libディレクトリの下にあります。jarファイルがない場合は、第4.7.7項「wlfullclient.jarファイルの作成」の手順に従ってjarファイルを生成してください。
oimcfgtoolをIAM_ORACLE_HOME/server/ssointgディレクトリで実行しています。このツールを別の場所にコピーしないでください。

JAVA_HOMEとWL_HOMEを設定します。

JAVA_HOME=ORACLE_BASE/product/fmw/jdk160_18
WL_HOME=ORACLE_BASE/product/fmw/wlserver_10.3

PATH=JAVA_HOME/bin:$PATH

注意:

JAVA_HOMEは、SUN JDKに設定する必要があります。

18.4.4.2 OIM構成ツールの使用方法

次の手順に従い、oimcfgtoolを使用してOAMとOIMを統合します。

注意:

OIMCFGTOOLを実行する前に、OIMおよびSOA管理対象サーバーが起動され、実行されていることを確認します。
この項のすべての手順を完了するまでサーバーを再起動しないでください。

ORACLE_HOMEをIAM_ORACLE_HOMEに、JAVA_HOMEをSUN JDKディレクトリに設定し、PATHにJAVA_HOMEが含まれていることを確認します。

prompt>export MW_HOME=/opt/maa/oracle/plus/product/fmw
prompt>export ORACLE_HOME=/opt/maa/oracle/plus/product/fmw/iam
prompt>export JAVA_HOME=/opt/maa/oracle/plus/product/fmw/jdk160_18
prompt>export PATH=$JAVA_HOME/bin:$PATH

sso-config.profileファイルを作成するために、generate-profileオプションを使用してoimcfgtoolを実行します。入力内容をsso-config.profileで渡します。プロファイル・ファイルに指定されていない必須情報を入力するように求められます。ツールを次のように実行します。
```
java -jar oimcfgtool.jar generate-profile
```
出力は次のようになります。
```
java -jar oimcfgtool.jar generate-profile
Turning off debug logs

Generating sso-config.profile...

Generated sso-config.profile
```
IAM_ORACLE_HOME/server/ssointgディレクトリ下に作成されたsso-config.profileファイルを編集します。次のように値を指定してください。
- Access Server Host: Oracle Access Managerサーバーをフロントエンドするロード・バランサ仮想IPアドレスのポートです。
- Access Server Port: Oracle Access Managerサーバーをフロントエンドするロード・バランサ仮想IPアドレスのポートです。
- Access Gate ID: アクセスゲートの名前です。第18.2.2項「Webゲート・エージェントの作成」で構成したWebゲートIDを指定します。
- Cookie Domain: ユーザー環境のCookieドメインです。ドメイン名の前に必ず「.」を使用してください。
- Cookie Expiry Interval: Cookieの有効期限間隔です。デフォルト値は120分です。
- OAM Transfer Mode OPEN/SIMPLE/CERT: OAM転送モードです。デフォルト値はOPENです。
- Webgate type javaWebgate/ohsWebgate10g/ohsWebgate11g: Webゲートのタイプです。このデプロイメント・ガイドで使用される値はohsWebgate10gです。
- SSO Enabled Flag: TrueまたはFalseです。このデプロイメント・ガイドでは、Trueです。
- MDS DB Url: MDSデータベースに接続するためのJDBC URLです。Oracle RACデータベースの場合は、単一インスタンスに接続するためのURLを指定できます。「jdbc:oracle:thin:@host:port:sid」の形式を使用します。
- MDS DB Schema Username: MDSデータベースEDG_MDSのDBスキーマ・ユーザー名です。
- Domain Location: 管理サーバーのドメイン・ディレクトリの場所です。
- WLS Server URL: WebLogic管理サーバーに接続するためのURLです。形式は「t3://host:port」です。
- WLS Username: WebLogic管理者のユーザー名です。
- Domain Name: ドメイン名です。
- OIM Managed Server Name: OIM管理対象サーバー名です。
- LDAP Host: LDAPサーバーのホスト名です。
- LDAP Port: LDAPサーバーのポートです。
- LDAP Root DN: LDAPサーバーに接続する管理者DNです。
- User Search Base: OIMユーザーのLDAP検索ベースです。
- Group Search Base: OIMグループのLDAP検索ベースです。
- Password Expiry Period in Days: パスワード有効期限の日数です。デフォルト値は7300です。
次はsso-config.profileファイルの例です。
```
Access Server Host :- sso.mycompany.com
Access Server Port :-443
Access Gate ID :-Webgate_sso
Cookie Domain :-.mycompany.com
Cookie Expiry Interval :-120
OAM Transfer Mode OPEN/SIMPLE/CERT :-OPEN
Webgate type javaWebgate/ohsWebgate10g/ohsWebgate11g :-ohsWebgate10g
SSO Enabled Flag :-true
MDS DB Url :-jdbc:oracle:thin:@oimdb1-vip.mycompany.com:1521:oimdb1
MDS DB Schema Username :-EDG_MDS
Domain Location :-/u01/app/oracle/admin/IDMDomain/aserver/IDMDomain
WLS Server URL :-t3://ADMINHOSTVHN.mycompany.com:7001
WLS Username :-weblogic
Domain Name :-IDMDomain
OIM Managed Server Name :-WLS_OIM1
LDAP Host :-oid.mycompany.com
LDAP Port :-389
LDAP Root DN :-cn=orcladmin
User Search Base :-cn=Users,dc=mycompany,dc=com
Group Search Base :-cn=Groups,dc=mycompany,dc=com
Password Expiry Period in Days :-7300
```

オプションを指定してoimcfgtoolを実行し、oim-config.xmlファイルのアクセス・サーバー情報を更新します。ツールを次のように実行し、問合せ実行時にMDSデータベースのスキーマ・パスワードを渡します。

java -jar oimcfgtool.jar update-oim-config

出力は次のようになります。

java -jar oimcfgtool.jar update-oim-config
Turning off debug logs
********* Seeding OAM Config in OIM *********
Loading inputs from sso-config.profile
Completed loading inputs from sso-config.profile
Remaining inputs will be queried from console.
Completed loading user inputs for - OAM Access Config
Enter MDS DB Schema Password: 
Completed loading user inputs for - MDS DB Config
Validated input values
Initialized MDS resources

Jun 25, 2010 1:30:50 PM oracle.mds
NOTIFICATION: transfer operation started.
Jun 25, 2010 1:30:51 PM oracle.mds
NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0.
Download from DB completed
Releasing all resources
Updated oamMetadata/db/oim-config.xml
Initialized MDS resources

Jun 25, 2010 1:30:51 PM oracle.mds
NOTIFICATION: transfer operation started.
Jun 25, 2010 1:30:53 PM oracle.mds
NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0.
Upload to DB completed

Releasing all resourcesOAM configuration seeded. Please restart oim server.********* ********* *********Operation completed. Please restart all servers.

seed-oam-passwordsオプションを使用してoimcfgtoolを実行し、OAM Webゲート・パスワードを資格証明ストア内にシードします。次のようにツールを実行し、問合せ実行時にSSOアクセス・ゲート・パスワードおよび管理サーバーの場所を指定します。これは第18.2.2項「Webゲート・エージェントの作成」でWebゲート・エージェントを作成したときに指定した同じパスワードです。ssoKeystore.jksおよびSSO Global Passphraseを空白のままにします。OAM転送モードがOpenの場合、これらの値は必須ではありません。

java -jar oimcfgtool.jar seed-oam-passwords

出力は次のようになります。

java -jar oimcfgtool.jar seed-oam-passwords
Turning off debug logs
********* Seeding OAM Passwds in OIM *********
Loading inputs from sso-config.profile
Completed loading inputs from sso-config.profile
Remaining inputs will be queried from console.

Enter SSO Access Gate Password: 
Enter ssoKeystore.jks Password: 
Enter SSO Global Passphrase: 
Enter Domain Location: /u01/app/oracle/admin/IDMDomain/aserver/IDMDomain

Completed loading user inputs for - CSF Config
Updating CSF with Access Gate Password...
Updating CSF ssoKeystore.jks Password...
Updating CSF for SSO Global Passphrase Password...
********* ********* *********
Operation completed. Please restart all servers.

seed-oam-passwordsオプションを使用してoimcfgtoolを実行し、OAM通知ハンドラをアップロードします。ツールを次のように実行し、問合せ実行時にMDSデータベースのスキーマ・パスワードを渡します。

java -jar oimcfgtool.jar seed-oam-metadata

出力は次のようになります。

java -jar oimcfgtool.jar seed-oam-metadata
Turning off debug logs
********* Activating OAM Notifications *********
Loading inputs from sso-config.profile
Completed loading inputs from sso-config.profile
Remaining inputs will be queried from console.
Enter MDS DB Schema Password: 

Completed loading user inputs for - MDS DB Config
Initialized MDS resources
Jun 25, 2010 1:40:58 PM oracle.mds
NOTIFICATION: transfer operation started.
Jun 25, 2010 1:40:59 PM oracle.mds
NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0.
Upload to DB completed
Releasing all resources
Notifications activated.
********* ********* *********
Operation completed. Please restart all servers.

次の手順に従ってOIMSignature Authenticatorを作成します。
1. http://admin.mycompany.com/consoleでWebLogic管理コンソールにログインします。
2. 「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
3. 「チェンジ・センター」で「ロックして編集」をクリックします。
4. myrealmをクリックします。
5. 「プロバイダ」タブを選択します。
6. 「新規」をクリックします。
7. 次の情報を指定します。
  
  名前: OIMSignatureAuthenticator
  
  タイプ: OIMSignatureAuthenticator
8. 「OK」をクリックします。
9. 新しく作成されたOIMSignatureAuthenticatorプロバイダのリンクをクリックします。
10. 「共通」タブで、「制御フラグ」を「SUFFICIENT」に設定します。
11. 「保存」をクリックします。
12. 「変更のアクティブ化」をクリックして、変更をアクティブ化します。
13. 管理サーバーや管理対象サーバーは再起動しないでください。この項の最後で再起動を行います。
「OIM Authentication Provider」の「制御フラグ」を「OPTIONAL」に設定します。次の手順を実行します。
1. http://admin.mycompany.com/consoleでWebLogic管理コンソールにログインします。
2. 「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
3. 「チェンジ・センター」で「ロックして編集」をクリックします。
4. myrealmをクリックします。
5. 「プロバイダ」タブを選択します。
6. 「OIMAuthenticationProvider」リンクをクリックします。
7. 「共通」タブで、「制御フラグ」を「OPTIONAL」に設定します。
8. 「保存」をクリックします。
9. 「変更のアクティブ化」をクリックして、変更をアクティブ化します。
10. 管理サーバーや管理対象サーバーは再起動しないでください。この項の最後で再起動を行います。

表に記載されているように認証プロバイダを並び替えます。次の手順に従って、プロバイダを並び替えます。

http://admin.mycompany.com/consoleでWebLogic管理コンソールにログインします。
「ドメイン」構造メニューで「セキュリティ・レルム」をクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
myrealmをクリックします。
「プロバイダ」タブを選択します。
「並替え」をクリックします。

名前	制御フラグ
OAM Identity Asserter	REQUIRED
Default Authenticator	SUFFICIENT
OIM Signature Authenticator	SUFFICIENT
OIM Authentication Provider	OPTIONAL
OVD Authenticator	SUFFICIENT
Default Identity Asserter	SUFFICIENT

第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内のWLS管理サーバーとすべての管理対象サーバーを停止し、起動します。

18.4.5 Oracle Internet Directoryでのxelsysadmユーザーのシード

Oracle Internet Directory内に手動でxelsyadmユーザーを作成します。ldapaddコマンドをOracle Virtual Directoryに対して実行します。

次の内容でxelsysadm.ldifファイルを作成します。

dn: cn=xelsysadm, cn=Users, dc=mycompany,dc=com
orclPwdChangeRequired: false
orclPwdExpirationDate: 2035-01-01T00:00:00Z
sn: admin
uid: xelsysadm
givenname: xelsysadm
displayname: xelsysadm
mail:xelsysadm@mycompany.com
cn: xelsysadm
objectclass: orclIDXPerson
objectclass: inetOrgPerson
objectclass: organizationalPerson
objectclass: person
objectclass: top
userpassword: xelsysadm password
orclAccountEnabled: activated
orclisenabled: ENABLED

mail属性でユーザーが作成されていることを確認してください。この属性はOracle Identity Managementでユーザー調整を行うために必須になります。

ldapaddコマンドを使用してLDAP内にxelsysadmをシードします。ldapaddコマンドをOVDに対して実行し、ユーザーを作成します。
```
ldapadd -h ovd.mycompany.com -p 389 -D cn="orcladmin" -q -f xelsysadm.ldif
```

18.4.6 Oracle Identity Manager構成の更新

Webゲート・エージェント・タイプでOracle Identity Managerの構成を更新します。oim-config.xmlファイル内でこの値を更新する必要があります。

管理サーバーが実行されているホストIDMHOST1上でこれらの手順を実行します。

OIMメタデータ・エクスポート・ツールを使用してMDSリポジトリから/db/oim-config.xmlファイルをエクスポートします。OIMメタデータ・エクスポート・ツールweblogicExportMetadata.shは、IAM_ORACLE_HOME/server/binディレクトリ下にあります。

oim-config.xmlファイルは、wls_servernameで指定した管理サーバーが実行されているホストにおいてmetadata_to_locで指定したディレクトリにエクスポートされます。

ツールを実行する前に、IAM_ORACLE_HOME/server/binディレクトリの下にあるweblogic.propertiesファイルを次のように更新します。

# Weblogic Server Name on which OIM application is running

wls_servername=WLS_OIM1

# If you are importing or exporting any out of box event handlers, value is oim.
# For rest of the out of box metadata, value is OIMMetadata.
# If you are importing or exporting any custom data, always use application name as OIMMetadata.

application_name=oim

# Directory location from which XML file should be imported.
# Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml,
# I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist
# in this folder or in its sub folders. Import utility tries to recursively import all the files under the
# from location folder. This property is only used by weblogicImportMetadata.sh

metadata_from_loc=@metadata_from_loc

# Directory location to which XML file should be exported to

metadata_to_loc=/home/oracle/oim_export

# For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values.# This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts
metadata_files=/db/oim-config.xml

# Application version
application_version=11.1.1.3.0

OIM_ORACLE_HOME変数をアイデンティティ管理のOracleホームに設定します。
```
prompt> export OIM_ORACLE_HOME=/u01/app/oracle/product/fmw/iam
```
OIMメタデータ・エクスポート・ツールを実行します。
```
 prompt>./weblogicExportMetadata.sh
```

求められたら、ユーザー名、パスワードおよびサーバーURLの値を指定します。

Please enter your username [weblogic] :Enter the admin user name for the Weblogic Domain, For Example: weblogic
Please enter your password [welcome1] : Enter the password for the Admin User
Please enter your server URL [t3://localhost:7001]  Enter the URL to connect to the OIM Managed Server. For Example:t3://oimhost1.mycompany.com:14000

ツールの出力は次のようになります。

Initializing WebLogic Scripting Tool (WLST) ...

Welcome to WebLogic Server Administration Scripting Shell

Type help() for help on available commands

Starting export metadata script ....
Please enter your username [weblogic] :weblogic
Please enter your password [welcome1] :
Please enter your server URL [t3://localhost:7001] 
:t3://strasha14.us.oracle.com:14000
Connecting to t3://strasha14.us.oracle.com:14000 with userid weblogic ...
Successfully connected to managed Server 'WLS_OIM1' that belongs to domain 'IDMDomain'.

Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port orAdmin port should be used instead.

Location changed to custom tree. This is a writable tree with No root.
For more help, use help(custom)


Disconnected from weblogic server: WLS_OIM2
End of export metadata script ...


Exiting WebLogic Scripting Tool.

/home/oracle/oim_export/dbディレクトリ下に作成されたoim-config.xmlファイルを編集して、次のようにwebgateTypeの値をohsWebgate10gへと更新します。

<webgateType>ohsWebgate10g</webgateType>

注意:

oim-config.xmlファイルは、wls_servernameで指定した管理サーバーが実行されているホストにおいてmetadata_to_locで指定したディレクトリにエクスポートされます。

IAM_ORACLE_HOME/server/binディレクトリの下にあるweblogic.propertiesファイルを次に示すように更新します。

# Weblogic Server Name on which OIM application is running

wls_servername=WLS_OIM1

# If you are importing or exporting any out of box event handlers, value is oim.
# For rest of the out of box metadata, value is OIMMetadata.
# If you are importing or exporting any custom data, always use application name as OIMMetadata.

application_name=oim

# Directory location from which XML file should be imported.
# Lets say I want to import User.xml and it is in the location /scratc/asmaram/temp/oim/file/User.xml,
# I should give from location value as /scratc/asmaram/temp/oim. Make sure no other files exist
# in this folder or in its sub folders. Import utility tries to recursively import all the files under the
# from location folder. This property is only used by weblogicImportMetadata.sh

metadata_from_loc=/home/oracle/oim_export/db

# Directory location to which XML file should be exported to

metadata_to_loc=/home/oracle/oim_export

# For example /file/User.xml to export user entity definition. You can specify multiple xml files as comma separated values.
# This property is only used by weblogicExportMetadata.sh and weblogicDeleteMetadata.sh scripts

metadata_files=/db/oim-config.xml

# Application version
application_version=11.1.1.3.0

OIMメタデータ・インポート・ツールを実行します。
```
 prompt>./weblogicImportMetadata.sh
```

求められたら、ユーザー名、パスワードおよびサーバーURLの値を指定します。

Please enter your username [weblogic] :Enter the admin user name for the Weblogic Domain, For Example: weblogic
Please enter your password [welcome1] : Enter the password for the Admin User
Please enter your server URL [t3://localhost:7001] Enter the URL to connect to OIM Managed Server. For Example:t3://oimhost1.mycompany.com:7001

ツールの出力は次のようになります。

Initializing WebLogic Scripting Tool (WLST) ...

Welcome to WebLogic Server Administration Scripting Shell

Type help() for help on available commands

Starting import metadata script ....
Please enter your username [weblogic] :weblogic
Please enter your password [welcome1] :
Please enter your server URL [t3://localhost:7001] :t3://strasha14.us.oracle.com:14000
Connecting to t3://OIMHOST1.mycompany.com:14000 with userid weblogic ...
Successfully connected to managed Server 'WLS_OIM1' that belongs to domain 'IDMDomain'.

Warning: An insecure protocol was used to connect to theserver. To ensure on-the-wire security, the SSL port or Admin port should be used instead.

Location changed to custom tree. This is a writable tree with No root.
For more help, use help(custom)

Disconnected from weblogic server: WLS_OIM2
End of import metadata script ...
Exiting WebLogic Scripting Tool.

第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle Identity Management管理対象サーバーを停止し、起動します。

18.4.7 統合の検証

OAM11gとOIM11gの統合が成功したことを確認するには、次のようにOracle Identity Managerセルフ・サービス・コンソールへのログインを試します。

ブラウザを使用してhttps://sso.mycompany.com:443に移動します。これによりOAM11gシングル・サインオン・ページにリダイレクトされます。
第18.4.5項「Oracle Internet Directoryでのxelsysadmユーザーのシード」で作成したxelsysadmユーザー・アカウントを使用してログインします。
OIMセルフ・サービス・コンソールページが表示されれば、ログインは成功です。

18.5 OAAMとOAM 11gの統合

この項では、OAAMをOAMおよびOIMと統合する方法について説明します。OAAMをOAMと統合すると、標準のOAMログインのかわりにOAAMを使用してリソースへのアクセスを検証できます。OAAMは認証を実行しますが、それはOAMの中のユーザーに対する認証です。

OAAMをOIMと統合すると、ユーザー名やパスワードを忘れたユーザーをOIMを使用して補助できます。

この項の内容は次のとおりです。

第18.5.1項「前提条件」
第18.5.2項「CSFでのOAM暗号化鍵の構成」
第18.5.3項「OAMポリシー認証スキームの構成」
第18.5.4項「OAM用OAAMプロパティの設定」
第18.5.5項「OAAMとOIMの統合の検証」

18.5.1 前提条件

この関連付けを開始する前に、次の作業が行われたことを確認してください。

第11章の説明に従って、Oracle Access Manager（OAM）のインストールと構成を行います。
第11.7項の説明に従ってLDAPストアと連携するようにOracle Access Managerを構成します。
第12章の説明に従って、Oracle Adaptive Access Managerをインストールします。

18.5.2 CSFでのOAM暗号化鍵の構成

Webブラウザを使用して、http://adminhost.us.oracle.com/emでOracle Fusion Middleware Enterprise Managerコンソールにアクセスします。
WebLogic管理者アカウント（たとえば、WebLogic）を使用して、ログインします。
左側ペインのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
「IDMDomain」を選択して右クリックします。メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。
次を入力します。
- キー名: oam.credentials
- タイプ: パスワード
- ユーザー名: OAM
- パスワード: OAM Webゲート用パスワード
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。

18.5.3 OAMポリシー認証スキームの構成

http://admin.mycompany.com/oamconsoleでOAMコンソールにoamadminユーザーとしてログインします。
「ポリシー構成」タブをクリックします。
「認証スキーム」の下の「OAAMAdvanced」をダブルクリックします。
次の情報を入力します。

チャレンジURL: https://sso.mycompany.com:443/oaam_server/oamLoginPage.jsp
「適用」をクリックします。

18.5.4 OAM用OAAMプロパティの設定

Oracle Adaptive Access Managerはユーザー認証用にLDAPを使用できます。http://admin.mycompany.com/oaam_adminでOAAM管理コンソールを使用して、この統合を有効にします。

第12.1.1項「LDAPにおけるOAAMの管理グループとユーザーの作成」で作成したoaamadminアカウントを使用してログインします。次のように実行します。

ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。

プロパティ検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。

現在値が検索結果ウィンドウに表示されます
「値」をクリックします。

新しい値を入力し「保存」をクリックします。
OAAMとOAMの統合のため、次のプロパティを設定します。
- bharosa.uio.default.password.auth.provider.classname: com.bharosa.vcrypt.services.OAMOAAMAuthProvider
- bharosa.uio.default.is_oam_integrated: true
- oaam.uio.oam.host: idmhost1.mycompany.com
- oaam.uio.oam.port: OAMサーバーのプロキシ・ポート（たとえば、5574）
- oaam.uio.oam.obsso_cookie_domain: mycompany.com
- oaam.uio.oam.webgate_id: Webgate_mysso
- oaam.uio.oam.secondary.host: idmhost2.mycompany.com
- oaam.uio.oam.secondary.host.port: 3004
- oaam.oam.csf.credentials.enabled: true
- oaam.uio.login.page: /oamLoginPage.jsp
管理対象サーバーの再起動: 第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーのWLS_OAM1、WLS_OAM2、WLS_OAAM1およびWLS_OAAM2を再起動します。

18.5.5 OAAMとOIMの統合の検証

この検証を実行するには、まずテスト・リソースを作成します。

WEBHOST1とWEBHOST2で、テスト・ページoaam_sso.htmlを作成します。最も簡単な方法は、ORACLE_INSTANCE/config/OHS/component/htdocsディレクトリで、次の内容のoaam_sso.htmlファイルを作成する方法です。

<html>
<body>
<center>
<p>
<h2>
OAAM Protected Resource
</h2>
</p>
</center>
</body>
</html>

18.5.5.1 リソースの作成

保護されるものを作成しましたが、リソースをOAMで作成してから、第11.8.2項「Oracle Adaptive Access Managerポリシー・グループの作成」で作成したOAAMポリシー・グループに割り当てます。

http://admin.mycompany.com/oamconsoleでOAMコンソールにログインします。作成済のoamadminアカウントを使用してログインします。

「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」を開きます。
「リソース」をクリックします。
ツール・バーの「作成」（「参照」タブの下）をクリックします。
次の情報を入力します。
- タイプ: http
- ホスト識別子: IDMDomain
- リソースURL: /oaam_sso.html
「適用」をクリックします。

18.5.5.2 ポリシー・グループへのリソースの割当て

リソースが存在するので、作成したポリシー・グループのいずれかに割り当てます。

以前に作成したoamadminアカウントを使用して、http://admin.mycompany.com/oamconsoleでOAMコンソールにログインします。

「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」→「認証ポリシー」を開きます。
OAAM保護リソースをクリックします。
「参照」タブの下でツールバーの「編集」をクリックします。
「リソース」ボックスで、「+」をクリックします。
作成したリソースをリストから選択します。
「適用」をクリックします。

18.5.5.3 保護されているリソースへのリソースの追加

残りのすべてでは、保護されているリソースのリストにリソースが追加されます。これを実行するには、作成済のoamadminアカウントを使用して、http://admin.mycompany.comでOAMコンソールにログインします。

「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」→「認可ポリシー」を開きます。
保護されているリソース・ポリシーをクリックします。
「参照」タブの下でツールバーの「編集」をクリックします。
「リソース」ボックスで、「+」をクリックします。
作成したリソースをリストから選択します。
「適用」をクリックします。

18.5.5.4 Oracle Access Managerの検証

第18.2項「Webゲートのインストールと構成」の説明に従って、Oracle WebGateをインストールします。

https://sso.mycompany.com:443/oaam_sso.htmlのURLを使用して、保護されているリソースにアクセスします。OAAMのログイン・ページが表示されます。認可されているOAMユーザー（たとえば、oamadmin）としてログインします。ログインすると、OAMで保護されているリソースが表示されます。

18.6 Oracle Adaptive Access ManagerとOracle Identity Managerの統合

OAAMには広範なチャレンジ質問が用意されています。これには次のような機能があります。

必要に応じて認証の前後に一連の質問でユーザーにチャレンジします。
質問をイメージとして提示し、多様な入力装置により回答を求めます。
1つずつ順に質問し、正しい答えが指定された場合のみ次の質問が表示されます。

Oracle Identity Managerには、基本的なチャレンジ質問機能もあります。これによりパスワードを忘れた場合に、ユーザーは一連の構成可能な質問に答えてパスワードをリセットできます。OAAMと異なり、Oracle Identity Managerには豊富なパスワード検証機能も用意されており、単純な属性に加え、ポリシーを所有者のアカウントに基づいて設定することもできます。

Identity Management Suiteのデプロイメントでは、単一セットのチャレンジ質問を登録し、単一セットのパスワード・ポリシーを使用することをお薦めします。OAAMをOracle Identity Managerと統合することで、OAAMではチャレンジ質問が処理され、Oracle Identity Managerではパスワードの検証、保管および伝播が処理されます。これにより不正防止にOAAMを使用すると同時にパスワード検証にOracle Identity Managerを使用できます。OAAMをOracle Identity Managerと統合すると、ユーザー名やパスワードを忘れたユーザーをOracle Identity Managerを使用して補助できます。

この項の内容は次のとおりです。

第18.6.1項「前提条件」
第18.6.2項「CSFでのOIM暗号化鍵の構成」
第18.6.3項「OIM用OAAMプロパティの設定」
第18.6.4項「OAAM用OIMプロパティの設定」
第18.6.5項「OAAMの詳細な保護へのドメインの変更」
第18.6.6項「ログアウト・ページの作成」
第18.6.7項「Oracle Adaptive Access ManagerとOracle Identity Managerの再起動」
第18.6.8項「OIMとOAAMの統合の検証」

18.6.1 前提条件

この関連付けを開始する前に、次の作業が行われたことを確認してください。

Oracle Identity Managementのインストールと構成。
Oracle Adaptive Access Managerのインストール。
Oracle Access Managerのインストールと構成。
Oracle Identity ManagerとOracle Access Managerの統合（第18.3項参照）。
Oracle Access ManagerとOracle Adaptive Access Managerの統合（第18.5項参照）。

18.6.2 CSFでのOIM暗号化鍵の構成

Webブラウザを使用して、http://adminhost.us.oracle.com/emでOracle Enterprise Manager Fusion Middleware Controlにアクセスします。
WebLogic管理者アカウント（たとえば、WebLogic）を使用して、ログインします。
左側ペインのナビゲーション・ツリーで「weblogic_domain」アイコンを展開します。
IDMドメインを選択して右クリックします。メニュー・オプションで「セキュリティ」、サブ・メニューで「資格証明」を選択します。
「マップの作成」をクリックします。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。
次を入力します。
- キー名: oam.credentials
- タイプ: パスワード
- ユーザー名: xelsysadm
- パスワード: xelsysadmアカウントのパスワード
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。

18.6.3 OIM用OAAMプロパティの設定

http://OAAMHOST2.mycompany.com:14200/oaam_adminでOAAM管理コンソールにアクセスします。第12.1.1項「LDAPにおけるOAAMの管理グループとユーザーの作成」で作成したoaamadminアカウントを使用してログインします。次のように実行します。

ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。プロパティ検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。現在値が検索結果ウィンドウに表示されます
「値」をクリックします。新しい値を入力し「保存」をクリックします。
OAAMとOIMの統合のため、次のプロパティを設定します。
- bharosa.uio.default.user.management.provider.classname: com.bharosa.vcrypt.services.OAAMUserMgmtOIM
- bharosa.uio.default.signon.links.enum.selfregistration.url: https://sso.mycompany.com:443/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=SELF_REGISTRATION&backUrl=https://sso.us.oracle.com:443/oim/faces/pages/Self.jspx
- bharosa.uio.default.signon.links.enum.trackregistration.enabled: true
- bharosa.uio.default.signon.links.enum.selfregistration.enabled: true
- bharosa.uio.default.signon.links.enum.trackregistration.url: https://sso.mycompany.com:443/oim/faces/pages/USelf.jspx?E_TYPE=USELF&OP_TYPE=UNAUTH_TRACK_REQUEST&backUrl=https://sso.us.oracle.com:443/oim/faces/pages/Self.jspx
- oaam.oim.csf.credentials.enabled: true
- oaam.oim.auth.login.config: ${oracle.oaam.home}/../designconsole/config/authwl.conf
- oaam.oim.url: t3://oimhost1.mycompany.com:14000,oimhost2.mycompany.com:14000
- oaam.oim.xl.homedir: ${oracle.oaam.home}/../designconsole

18.6.4 OAAM用OIMプロパティの設定

http://oimhost1.mycompany.com:14000/oim/selfのURLを使用してOIM管理コンソールにログインします。
セルフサービス・コンソールの「拡張」リンクをクリックします。
「システム管理」ボックスで「システム・プロパティの検索」をクリックします。
「システム構成」検索ボックスの下の「拡張検索」をクリックします。
拡張検索画面が表示されたら、右矢印（→）をクリックします。一般検索を実行します。検索文字列は指定しません。
表示されるプロパティのそれぞれをクリックして、「アクション」メニューで「開く」を選択します。次のように各プロパティの値を設定して、「保存」をクリックします。

注意:
プロパティ名が「キーワード」列に表示されます。
- OIM.DisableChallengeQuestions: TRUE
- OIM.ChangePasswordURL: https://sso.mycompany.com:443/oaam_server/oimChangePassword.jsp
- OIM.ForgotPasswordURL: https://sso.mycompany.com:443/oaam_server/oimForgotPassword.jsp
- OIM.ChallengeQuestionModificationURL: https://sso.mycompany.com:443/oaam_server/oimResetChallengeQuestions.jsp

18.6.5 OAAMの詳細な保護へのドメインの変更

http://admin.us.oracle.com/oamconsoleでOAMコンソールにログインします。

「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」を開きます。
「認証ポリシー」をクリックします。
より上位の保護されているポリシーポリシーをダブルクリックします。
認証スキームを「OAAMAdvanced」に変更します。
「適用」をクリックします。

18.6.6 ログアウト・ページの作成

アプリケーションでログアウトを可能にするには、ログアウト・ページを作成する必要があります。デフォルト・ページが用意されていますが、それを編集してWEBHOST1およびWEBHOST2上のWebゲートのインストールにコピーする必要があります。

IDMHOST1上のIDM_ORACLE_HOME/oam/server/oamssoディレクトリからlogout.htmlファイルをWEBHOST1およびWEBHOST2上のMW_HOME/webgate/access/oamssoにコピーします。
WEBHOST1上のファイルを編集します。SERVER_LOGOUTURLをhttps://sso.mycompany.com:443/oam/server/logoutに変更します。

編集すると、エントリは次のようになります。
```
///////////////////////////////////////////////////////////////////////////////
var SERVER_LOGOUTURL = "https://sso.mycompany.com:443/oam/server/logout";
///////////////////////////////////////////////////////////////////////////////
```
ファイルを保存します。

WEBHOST2上のファイルも同様に変更します。
これでWebサーバー上に独自のログアウト・ページが作成されました。デフォルトのエントリは削除する必要があります。

ORACLE_INSTANCE/config/OHS/component name/ディレクトリ下のhttpd.confファイルを編集します。

行の先頭に#を付けて、次の行をコメント・アウトします。編集された行は次のようになります。
```
#*******Default Login page alias***Alias /oamsso "/u01/app/oracle/product/fmw/webgate/access/oamsso"

#<LocationMatch "/oamsso/*">
#Satisfy any
#</LocationMatch>
#**********************************
```
ファイルを保存します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。

18.6.7 Oracle Adaptive Access ManagerとOracle Identity Managerの再起動

第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、次の管理対象サーバーを再起動します。

管理サーバー
WLS_OAM1およびWLS_OAM2
WLS_OIM1およびWLS_OIM2
WLS_OAAM1およびWLS_OAAM2

18.6.8 OIMとOAAMの統合の検証

OIMがOAAMと統合されていることを次のように検証します。

http://sso.mycompany.com:443/oim/selfでOIMコンソールにログインします。

OAMのログイン・ページが表示されます。
OIMコンソールにxelsysadmユーザーとしてログインします。

チャレンジ質問とOAAM固有のセキュリティ・ポリシーを設定するように求められます。

18.7 Oracle Identity FederationとOracle Access Manager 11gの統合

この項では、Oracle Identity FederationとOracle Access Managerの統合方法について説明します。

この項の内容は次のとおりです。

第18.7.1項「Oracle Identity Federationサーバーの構成」
第18.7.2項「Oracle Access Managerサーバーの構成」

18.7.1 Oracle Identity Federationサーバーの構成

Oracle Enterprise Manager Fusion Middleware Controlを使用してOracle Identity Federationサーバーを構成します。OIFターゲットを選択します。

18.7.1.1 アイデンティティ・プロバイダ・モジュールおよびサービス・プロバイダ・モジュールの生成と構成

まず、メタデータを生成します。

OIFメニューで「管理」、「セキュリティおよび信頼」の順に選択して、次に「プロバイダ・メタデータ」タブをクリックします。
ページの「メタデータの生成」セクションで、「サービス・プロバイダ」を選択してから、「生成」をクリックし、サービス・プロバイダ用のメタデータを生成します。
メタデータ・ファイルをクライアント・マシンのローカル・ディスク上のディレクトリに保存します。
次に「アイデンティティ・プロバイダ」を選択してから、「生成」をクリックし、アイデンティティ・プロバイダのメタデータを生成します。

次にメタデータをロードすることによりサービス・プロバイダとアイデンティティ・プロバイダを登録します。

OIFメニューで、「管理」→「フェデレーション」を選択します。
生成したメタデータをロードするために「追加」をクリックします。
「プロバイダの有効化」と「メタデータのロード」を選択します。

サービス・プロバイダとアイデンティティ・プロバイダの両方が「フェデレーション」ページにリストされます。

18.7.1.2 データ・ストアの構成

OIFメニューで、「管理」→「データ・ストア」を選択します。
「編集」をクリックしてから「リポジトリ・タイプ」を選択して、ページの「ユーザー・データ・ストア」セクションにデータ・ストアの詳細を指定します。

18.7.1.3 認証エンジンの構成

OIFメニューで、「管理」→「認証エンジン」を選択します。
第18.7.1.2項「データ・ストアの構成」で構成したデータ・ストアを設定することにより、認証エンジンがユーザー・データ・ストア情報を取り込み、ユーザーを認証できるようにします。
「デフォルトの認証エンジン」リストで「LDAPディレクトリ」を選択します。「適用」をクリックします。
OIFメニューで、「管理」→「サービス・プロバイダ」を選択します。「共通」タブで、サービス・プロバイダを有効にし、第18.7.1.1項「アイデンティティ・プロバイダ・モジュールおよびサービス・プロバイダ・モジュールの生成と構成」でデフォルトのサービス・プロバイダとして登録したサービス・プロバイダを選択します。
同様にOIFメニューで、「管理」→「アイデンティティ・プロバイダ」を選択します。「共通」タブで、アイデンティティ・プロバイダを有効にし、第18.7.1.1項「アイデンティティ・プロバイダ・モジュールおよびサービス・プロバイダ・モジュールの生成と構成」でデフォルトのアイデンティティ・プロバイダとして登録したアイデンティティ・プロバイダを選択します。

18.7.1.4 サービス・プロバイダ・モードでのOIFサーバーの構成

Oracle Access Manager Server情報を使用してOracle Identity Federationを構成します。これにより、アサーション・トークンを送信し、セッション管理をOracle Access Managerサーバーへと展開できます。

OIFメニューで、「管理」→「サービス・プロバイダ統合モジュール」を選択します。
リストから「Oracleシングル・サインオン」を選択します。
「Oracleシングル・サインオン」タブで、「ログアウト有効」を選択し、次の詳細を構成します。
- ログインURL: https://sso.mycompany.com/oam/server/dap/cred_submit
- ログアウトURL: https://sso.mycompany.com/oam/server/logout
「Oracleシングル・サインオン・シークレット」の隣の「再生成」をクリックします。これにより、Oracle Access ManagerサーバーとOracle Identity Federationサーバーとの間で受け渡しされるトークンの暗号化と解読のための鍵を含むkeystoreファイルが生成されます。
keystoreファイルを生成します。「別名保存」ダイアログ・ボックスが表示されたら、ファイルを保存します。keystoreファイルをローカルホスト上のディレクトリに保存します。

次の項でwlstコマンドを使用するときにkeystoreファイルのフル・パスを指定する必要があります。

18.7.2 Oracle Access Managerサーバーの構成

前の項でリソースを保護するためにOAMサーバーを構成しました。ユーザーがリソースにアクセスしようとすると、OAMサーバーのチャレンジ質問に応えて資格証明情報を入力する必要があります。次のタスクでは、OIFサーバーで認証を実施するようにOAMサーバーを構成します。

OIFSchemeを使用してリソースを保護します。

OAMサーバーがインストールされているMiddlewareホーム内のディレクトリにkeystoreファイルをコピーします。
IAM_ORACLE_HOME/common/binディレクトリ下のWLSTを起動し、次のようにregisterOIFDAPPartnerコマンドを使用してoamconfig.xmlのOIFDAPPartnerブロックを更新します。
```
registerOIFDAPPartner(keystoreLocation=location_of_keystore_file, logoutURL=OIF_logout_URL)  
```
OIF_logout_URLは、Oracle Access Managerサーバーがログアウトするときに呼び出すURLです。次に例を示します。
```
registerOIFDAPPartner(keystoreLocation="/home/vaselvar/keystore", logoutURL="http://sso.mycompany.com/fed/user/spsloosso?doneURL=http:/sso.mycompany.com/oam/logout.jsp ")
```
検証するには、oam-config.xmlファイルを開きOIFDAPPartnerを検索して、wlstコマンドを使用して指定した値によってそのブロック内のプロパティが更新されていることを確認します。

次に、DOMAIN_HOME/config/fmwconfigディレクトリ内のoam-policy.xmlファイルを編集します。OIFScheme内の該当するホスト・ポート情報にOIFHost:OIFPortを変更します。

<authn-scheme version="1" type="allow" name="OIFScheme" id="4bbbf36c-1781-49e0-bb42-7a5e8316450c" description="OIFScheme" auth-level="2">
                <challenge-redirect-url>/ngam/server/</challenge-redirect-url>
                <challenge-mechanism>DAP</challenge-mechanism>
                <challenge-param>
                    <param type="external" optional="false" name="contextType"/>
                    <param type="string" optional="false" name="daptoken"/>
                    <param type="http://<OIFHost>:<OIF Port>/fed/user/sposso" optional="false" name="challenge_url"/>
                </challenge-param> 
               <authn-module name="DAP"/>
            </authn-scheme>

OAMサーバーの埋込みLDAPにフェデレーテッド・ユーザーを追加します。

http://admin.mycompany.com/consoleで管理コンソールにアクセスします。

「セキュリティ・レルム」→「ユーザーとグループ」→「新規」→「新しいユーザーの作成」の順に選択します。
第19.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーと管理対象サーバーを再起動します。

18.8 アイデンティティ管理の監査

Oracle Fusion Middleware の監査フレームワークは、ミドルウェア・ファミリ製品の監査フレームワークの一元化を目的としてOracle Fusion Middleware 11gに提供された新しいサービスです。このフレームワークは、Oracle Platform Security Service（OPSS）およびOracle Web Servicesなどのプラットフォーム・コンポーネントを対象とした監査サービスを提供します。また、Oracle独自のJavaEEコンポーネントをはじめとするJavaEEアプリケーションのためのフレームワークも提供します。JavaEEアプリケーションは、アプリケーション固有の監査イベントを作成できます。監査フレームワークは、CおよびJavaSEコンポーネントなど、JavaEE以外のOracleミドルウェア・コンポーネントに対してJavaEEアプリケーションと同様のエンドツーエンド構造を提供します。

図18-1は、Oracle Fusion Middleware監査フレームワークの高度なアーキテクチャを示しています。

図18-1 監査イベント・フロー

Oracle Fusion Middleware監査フレームワークは、次の主要コンポーネントで構成されます。

監査API

Oracle Fusion Middleware監査フレームワークに統合される監査対象のすべてのコンポーネントのための監査フレームワークによって提供されるAPIです。これらのAPIは、実行中にアプリケーション・コード内で発生している特定イベントに関する必要な情報を監査するためにアプリケーションによってコールします。このインタフェースによりアプリケーションは監査対象イベントの内容を提供するために必要なユーザー名などの属性を指定できます。
監査イベントと構成

Oracle Fusion Middleware監査フレームワークには、アプリケーション監査イベントへの便利なマッピングのために一連の汎用イベントが用意されています。これには認証などの一般的なイベントが含まれています。このフレームワークによりアプリケーションはアプリケーション固有のイベントを定義できます。

これらのイベント定義と構成は、Oracle Platform Security Servicesの監査サービスの一環として実装されます。構成は、Enterprise Manager（UI）およびWLST（コマンドライン・ツール）で更新できます。
監査バスストップ

バスストップは、監査リポジトリに送られる前の監査データを含むローカル・ファイルです。データベース・リポジトリが構成されていない場合には、バスストップ・ファイルをファイル・ベースの監査リポジトリとして使用できます。バスストップ・ファイルは、特定の監査イベントを検索するために簡単に問い合せられる単純なテキスト・ファイルです。DBベースのリポジトリが作成されると、バスストップはコンポーネントと監査リポジトリの間で仲介役を勤めます。ローカル・ファイルは構成された周期で定期的に監査リポジトリにアップロードされます。
監査ローダー

名前が示すように、監査ローダーは監査バスストップから監査リポジトリにファイルをロードします。プラットフォームおよびJavaEEアプリケーション監査の場合、監査ローダーはJavaEEコンテナの起動と同時に起動されます。システム・コンポーネントの場合、監査ローダーは定期的に発生するプロセスです。
監査リポジトリ

監査リポジトリには、リポジトリ作成ユーティリティ（RCU）によって作成された定義済Oracle Fusion Middleware監査フレームワーク・スキーマが含まれます。一度構成されると、すべての監査ローダーはリポジトリを認識し、それに定期的にデータをアップロードします。監査リポジトリ内の監査データは累積され時間の経過とともに増加します。リポジトリには、他のアプリケーションによって使用される運用データベースでなく、監査目的のみに使用されるスタンドアロンのRDBMSを使用する方が理想的です。高可用性構成の場合、監査データ・ストアとしてOracle Real Application Cluster（RAC）データベースの使用をお薦めします。
Oracle Business Intelligence Publisher

監査リポジトリ内のデータは、Oracle Business Intelligence Publisherの定義済レポートにより出力されます。ユーザーはレポートにより多様な条件に基づいて監査データを掘り下げることができます。次に例を示します。
- ユーザー名
- 時間範囲
- アプリケーションの種類
- 実行コンテキスト識別子（ECID）

Oracle Fusion Middleware監査フレームワークの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「Oracle Fusion Middleware監査フレームワークの概要」を参照してください。

Oracle Fusion Middleware監査フレームワーク用にリポジトリを構成する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「監査の構成と管理」を参照してください。

EDGトポロジには、Oracle Fusion Middleware監査フレームワーク構成が含まれていません。監査データをバスストップ・ファイルに生成する機能と監査ローダーの構成は、製品がインストールされた後に使用可能になります。主な留意点は、監査データを保管する監査データベース・リポジトリです。監査データのボリュームと履歴特性により、運用中のストアや他のミドルウェア・コンポーネントによって使用されるストアとは別のデータベースを使用することを強くお薦めします。