21.6 ドメイン・エージェントを使用したOIMおよびOAM間の統合の設定

前提条件を完了した後、次の手順でOracle Identity Manager(OIM)とOracle Access Manager(OAM)との間の統合を設定できます。

1. 「前提条件」に記載されているすべての前提条件が満たされていることを確認します。さらに、「開始前の重要な注意点」も参照してください。

2. WL_HOME環境変数がミドルウェア・ホーム内のwlserver_10.3ディレクトリに設定されていることを確認します。UNIXの場合は<MW_HOME>/wlserver_10.3ディレクトリです。Windowsの場合は<MW_HOME>\wlserver_10.3ディレクトリです。さらに、JAVA_HOME環境変数を、JDKがインストールされているディレクトリに設定します。

3. ldapconfig.propsファイルをテキスト・エディタで開きます。このファイルは、Oracle Identity ManagerとOracle Access ManagerのIDM_HomeであるOracle_IDM2内のserver/ldap_config_utilディレクトリにあります。

4. ldapconfig.propsファイルで、次のパラメータの値を設定します。

   • OIMProviderURL - OIMプロバイダのURLをt3://localhost:8003の形式で指定します。

   • OIDURL - OIDインスタンスのURLを指定します。

   • OIDAdminUsername - OID管理者のユーザー名(cn=orcladminなど)を指定します。

   • OIDSearchBase - OID検索ベース(ou=people,dc=comなど)を指定します。

   • UserContainerName - LDAPディレクトリでロールのデフォルト・コンテナとして使用されるユーザー・コンテナの名前を指定します。たとえば、cn=Usersおよびcn=Groupsです。

   • RoleContainerName - LDAPディレクトリでユーザーのデフォルト・コンテナとして使用されるユーザー・コンテナの名前を指定します。

   • ReservationContainerName - Oracle Identity Managerで、ユーザーの作成承認待ちの際にユーザーの予約に使用されるユーザー予約コンテナの名前を指定します。ユーザーの作成が承認されると、ユーザーは予約コンテナから実際のユーザー・コンテナに移動されます。

5. コマンドラインで、LDAP構成設定前スクリプト(WindowsではLDAPConfigPreSetup.bat、UNIXではLDAPConfigPreSetup.sh)を実行します。これらのファイルは、Oracle Identity ManagerとOracle Access ManagerのIDM_Home内の同じserver/ldap_config_utilディレクトリにあります。

6. プロンプトが表示されたら、OID管理者のパスワードおよびOIM管理者のパスワードを入力します。

   
   

   ヒント: LDAPConfigPreSetupスクリプトを実行した後、コマンドラインで次のldapsearchコマンドを実行し、Oracle Internet Directoryに必要なスキーマが作成されていることを検証できます。 ldapsearch -p <OIDPORT> -D cn=orcladmin -w <ORCLADMIN_PASSWORD> -h <OIDHOST> -b "cn=subschemasubentry" -s base "objectclass=*" attributetypes | grep ob ldapsearch -p <OIDPORT> -D cn=orcladmin -w <ORCLADMIN_PASSWORD> -h <OIDHOST> -b "cn=subschemasubentry" -s base "objectclass=*" objectclasses | grep OIM LDAPConfigPreSetupスクリプトの実行が成功していれば、上記のldapsearchコマンドによって行が返されます。

   
   

7. Oracle Directory Services Managerを使用してOracle Virtual Directoryを構成し、ユーザーおよび変更ログのアダプタを追加します。「タスク2: OIM用のOVDおよびOIDの構成」を参照してください。

   
   

   注意: Oracle Identity ManagerとOracle Access Managerとの間の統合を設定する場合、oamEnabledパラメータをtrueに設定する必要があります。これはアダプタを構成する際に設定します。

   
   

8. Oracle Identity ManagerとOracle Access Managerを管理するドメインでWebLogic Administration Serverを起動します。管理サーバーの起動方法の詳細は、「スタックの起動」を参照してください。

9. 次のようにシングル・サインオン(SSO)プロバイダ構成を更新します。

   1. コマンドラインで、cdコマンドを使用して現在の作業ディレクトリからOracle_IDM2/common/binディレクトリに移動します。Oracle_IDM2は、Oracle Identity ManagerとOracle Access ManagerのIDM_Homeディレクトリの例です。詳細は、「開始前の重要な注意点」を参照してください。

   2. 次のようにして、WebLogic Scripting Tool(WLST)インタフェースを使用して、Oracle Access Managerのシングル・サインオン・サービス・インスタンスおよび必要なプロパティを追加します。

      UNIXの場合: コマンドラインで./wlst.shを実行します。

      Windowsの場合: wlst.cmdを実行します。

      WLSTコマンド・プロンプト(wls:/offline>)で、次のように入力します。

      connect()

      WebLogic Administration Serverのユーザー名、パスワードおよびURLの入力を求められます。WLSTインタフェースの使用方法の詳細は、ガイド『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWebLogic Scripting Toolの使用方法に関する項を参照してください。

      addOAMSSOProvider WLSTオンライン・コマンドを実行し、OAM SSOプロバイダを追加します。

      addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi")

      表21-2 WLSTのaddOAMSSOProviderコマンド引数

      引数	説明
      loginuri	ログイン・ページのURIを指定します。必須です。
      logouturi	ログアウト・ページのURIを指定します。オプションです。指定されていない場合、デフォルトはlogouturi=NONEです。 ADFセキュリティがOPSSログアウト・サービスを確実に呼び出すよう、""に設定します。これは、クラスOAMSSOServiceImplの実装を使用してCookie ObSSOCookieをクリアします。
      autologinuri	自動ログイン・ページのURIを指定します。オプションです。指定されていない場合、デフォルトはautologin=NONEです。

      
      
      
      

      ヒント: シングル・サインオン(SSO)プロバイダ構成を検証するには、次の手順を実行します。 現在の作業ディレクトリから、次のディレクトリに移動します。 <DOMAIN_HOME>/config/fmwconfig jps-config.xmlファイルをテキスト・エディタで開きます。 このファイルには、既存のエントリの他に、次のエントリのセットが含まれます。 <propertySet name="props.auth.uri.0"> <property value="/oamsso/logout.html" name="logout.url"/> <property value="/obrar.cgi" name="autologin.url"/> <property value="/$(app.context}/adfAuthentication" name="login.url.BASIC"/> <property value="/$(app.context}/adfAuthentication" name="login.url.ANONYMOUS"/> <property value="/$(app.context}/adfAuthentication" name="login.url.FORM"/> </propertySet> <serviceInstance provider="sso.provider.0" name="sso.inst.0"> 1. <property value="oracle.security.wls.oam.providers.sso.OAMSSOServiceProviderImpl" name="sso.provider.class"/>

      
      

   3. ドメイン内のすべての管理対象サーバーおよびWebLogic Administration Serverを再起動します。サーバーの停止方法の詳細は、「スタックの停止」を参照してください。サーバーの起動方法の詳細は、「スタックの起動」を参照してください。

   
   

   注意: Oracle Identity Managementドメイン内に複数のホストが存在する場合、ドメイン・エージェントのprimaryAccessServer構成パラメータのデフォルト値を実際の値に更新する必要があります。

   
   

10. My Oracle Support Webサイト(http://support.oracle.com)にログインし、シングル・サインオン・サーバーのパッチ9824531を検索します。パッチに含まれているReadmeファイルの説明に従って、このパッチをインストールします。

11. createUserIdentityStore WLSTコマンドを実行して、Oracle Access Manager(OAM)をOracle Internet Directory(OID)に接続し直します。

    コマンドラインで、cdコマンドを使用して現在の作業ディレクトリからOracle_IDM2/common/binディレクトリに移動します。Oracle_IDM2は、Oracle Identity ManagerとOracle Access ManagerのIDM_Homeディレクトリの例です。詳細は、「開始前の重要な注意点」を参照してください。

    次のようにして、WebLogic Scripting Tool(WLST)インタフェースを使用して、Oracle Access Managerのシングル・サインオン・サービス・インスタンスおよび必要なプロパティを追加します。

    UNIXの場合: コマンドラインで./wlst.shを実行します。

    Windowsの場合: wlst.cmdを実行します。

    WLSTコマンド・プロンプト(wls:/offline>)で、次のように入力します。

    connect()

    WebLogic Administration Serverのユーザー名、パスワードおよびURLの入力を求められます。WLSTインタフェースの使用方法の詳細は、ガイド『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWebLogic Scripting Toolの使用方法に関する項を参照してください。

    次の例のように、createUserIdentityStore WLSTオンライン・コマンドを実行して、Oracle Access ManagerがOracle Internet DirectoryをLDAPプロバイダとして使用するように構成します。

    createUserIdentityStore(name="OAMOIDIdStoreForOIM",principal="cn=orcladmin", credential="testing1", type="LDAP", userAttr="uid", ldapProvider="OID", roleSecAdmin="OAMAdministrators", userSearchBase="cn=Users,dc=us,dc=acme,dc=com" ,ldapUrl="ldap://<oid host>:<oid port>" ,isPrimary="true" ,userIDProvider="OracleUserRoleAPI" , groupSearchBase="cn=Groups,dc=us,dc=acme,dc=com")

    
    

    注意: roleSecAdmin属性で指定されているグループのメンバーであるユーザーは、Oracle Access Managerの管理コンソールへのアクセス権があります。このグループは、groupSearchBase属性で指定されているディレクトリ情報ツリー(DIT)内に存在する必要があります。このグループが使用できない場合、Oracle Access Manager管理コンソールにアクセスできるユーザーの名前(orcladminなど)を指定できます。この属性で指定されたユーザーのみがOracle Access Manager管理コンソールにアクセス可能です。 orcladminがroleSecAdminに指定されている場合、RREGツールを実行してドメイン・エージェントの代わりにOracle HTTP Server 10g Webgateエージェントを登録する際、権限に関する問題が発生する可能性があります。そのため、RREGを実行してOracle HTTP Server 10g Webgateエージェントを登録できるよう、Oracle Internet Directoryのユーザー・アイデンティティ・ストアで適切なグループを指定する必要があります。 また、管理サーバーにデプロイされているOracle Access Manager管理コンソールを使用して、Oracle Internet DirectoryをOracle Access ManagerのLDAPプロバイダとして構成できます。詳細は、Oracle Fusion Middleware Oracle Access Manager管理者ガイドのユーザー・アイデンティティ・ストアおよびOAM管理者の登録に関する項を参照してください。

    
    
    
    

    ヒント: Oracle Access ManagerがOracle Internet DirectoryをLDAPプロバイダとして使用しているかどうかを検証するには、次の手順を実行します。 oam-config.xmlファイルをテキスト・エディタで開き、createUserIdentityStore WLSTコマンドで指定された名前のエントリがファイルに含まれているかどうかを検証します。XMLファイルは<DOMAIN_HOME>/config/fmwconfigディレクトリ内にあります。 このエントリが存在する場合、プロパティIsPrimaryの値がtrueに設定されているかどうかを検証します。

    
    

12. 次のようにして、OID認証プロバイダを設定します。

    1. Oracle WebLogic Server管理コンソールにログインします。

    2. 左のナビゲーション・ペインの「ドメイン構造」セクションで、「セキュリティ・レルム」をクリックします。「セキュリティ・レルムのサマリー」ページが表示されます。

    3. 左のナビゲーション・ペインの「チェンジ・センター」セクションで、「ロックして編集」をクリックします。

    4. このページで、myrealmなどのデフォルト・レルムをクリックします。「myrealmの設定」ページが表示されます。

    5. このページで、「プロバイダ」タブをクリックします。

    6. 「認証プロバイダ」の下の「新規」をクリックします。「新しい認証プロバイダの作成」ページが表示されます。

    7. このページで、「名前」テキスト・ボックスにプロバイダ名を入力します。たとえば、testと入力します。

    8. 「タイプ」ドロップダウン・リストで「OracleInternetDirectoryAuthenticator」を選択します。

    9. 「OK」をクリックします。新しいプロバイダtestが「myrealmの設定」ページに表示されます。

    10. このページで、新しく作成した認証プロバイダをクリックします。「testの設定」ページが表示されます。

    11. このページで、「制御フラグ」として「SUFFICIENT」を選択します。「保存」をクリックして設定を保存します。

    12. Oracle WebLogic管理コンソールを終了します。

13. 次のようにして、Oracle Access Manager(OAM)をOracle Identity Manager(OIM)との統合のために構成します。

    コマンドラインで、cdコマンドを使用して現在の作業ディレクトリからOracle_IDM2/common/binディレクトリに移動します。Oracle_IDM2は、Oracle Identity ManagerとOracle Access ManagerのIDM_Homeディレクトリの例です。詳細は、「開始前の重要な注意点」を参照してください。

    次のようにして、WebLogic Scripting Tool(WLST)インタフェースを使用して、Oracle Access Managerのシングル・サインオン・サービス・インスタンスおよび必要なプロパティを追加します。

    UNIXの場合: コマンドラインで./wlst.shを実行します。

    Windowsの場合: wlst.cmdを実行します。

    WLSTコマンド・プロンプト(wls:/offline>)で、次のように入力します。

    connect()

    WebLogic Administration Serverのユーザー名、パスワードおよびURLの入力を求められます。WLSTインタフェースの使用方法の詳細は、ガイド『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』のWebLogic Scripting Toolの使用方法に関する項を参照してください。

    configureOIM WLSTオンライン・コマンドを実行して、Oracle Access ManagerをOIMとの統合のために構成します。

    configureOIM(oimHost = "<OIM_Host>" , oimPort = "<OIM_Port>", oimSecureProtocolEnabled = "false", oimAccessGatePwd = "<Password>", oimCookieDomain = "<cookie_domain>")

    このWLSTコマンドの"<OIM_Host>"および"<OIM_Port>"パラメータは、Oracle Identity Managementドメイン・エージェントと単一のOracle Identity ManagerインスタンスOIMを使用している場合の、Oracle Identity ManagerのOracle Identity Manager管理対象サーバーを指します。secureProtocolをfalseに設定すると、HTTPが使用されます。trueに設定するとHTTPSが使用されます。

    
    

    注意: 後にOracle Identity Managerサーバーの構成のためにOracle Identity Manager構成ウィザードを実行する際、構成ウィザードのLDAP同期およびOAM画面のアクセス・ゲートのパスワードおよびCookieのドメインフィールドに値を入力する必要があります。同じoimAccessGatePwdパスワードおよびoimCookieDomain値を指定する必要があります。 同様に、ドメイン・エージェントの代わりにOracle HTTP Server 10g Webgate for Oracle Access Managerを使用する場合、configureOIMコマンドのoimAccessGatePwdおよびoimCookieDomainパラメータにWebgateアクセスのパスワードおよびCookieドメイン値を指定する必要があります。さらに、Oracle Identity Manager構成ウィザードのLDAP同期およびOAM画面のアクセス・ゲートのパスワードおよびCookieのドメインフィールドに同じ値を指定する必要があります。 詳細は、付録「Oracle Identity Manager構成画面」の「LDAP同期およびOAM」を参照してください。Oracle Identity Manager構成ウィザードの各画面が説明されています。

    
    
    
    

    ヒント: OIMとの統合用のOracle Access Managerの構成を検証するには、次の手順を実行します。 oam-config.xmlファイルをテキスト・エディタで開き、エージェント・プロファイル・エントリIdentityManagerAccessGateがファイルに含まれているかどうかを検証します。XMLファイルは<DOMAIN_HOME>/config/fmwconfigディレクトリ内にあります。 同じファイルで、IdentityManagement/ServerConfigurationセクションにOIMポートが含まれているかどうかを検証します。

    
    

14. Oracle Identity Manager構成ウィザードを実行してOracle Identity Managerサーバーを構成します。ウィザードを起動するには、Oracle_IDM2(Oracle Identity ManagerおよびOracle Access ManagerのIDM_ORACLE_HOME)内のbinディレクトリに移動し、コマンドラインで次のコマンドを実行します。

    • Windowsの場合:

      config.bat

    • UNIXの場合:

      ./config.sh

15. Oracle Identity Manager構成ウィザードを使用してOracle Identity Managerサーバーを構成します。「OIMサーバーの構成」を参照してください。Oracle Identity Managerサーバーを構成する際、LDAP同期およびOAM画面でOAMとのアイデンティティ管理の統合を有効化するオプションを必ず選択します。

    configureOIM WLSTコマンドで指定されているoimAccessGatePwdパスワードおよびoimCookieDomainと同じ値をLDAP同期およびOAM画面のアクセス・ゲートのパスワードおよびCookieのドメインフィールドに入力する必要があります。

    Oracle Identity Manager構成ウィザードを使用してOAMとIdentity管理の統合の許可を選択すると、デフォルトでOIMの「LDAP同期の有効化」オプションが選択されます。

    続行し、Oracle Identity Managerサーバーの構成を完了します。プロンプトが表示されたら、OIM管理者のパスワードおよびxelsysadmパスワードを入力します。

    
    

    ヒント: Oracle Identity Managerの構成を検証するには、次の手順を実行します。 次のようにして、認証プロバイダの構成を確認します。 1) WebLogic Administration Serverを再起動します。WebLogic Server管理コンソールにログインします。 2) 「セキュリティ・レルム」>「myrealm」>「プロバイダ」をクリックします。 3) OAMアイデンティティ・アサータとOID認証プロバイダがリストに表示されているかどうかを検証します。さらに、「ユーザーとグループ」タブをクリックします。OIDユーザーが入力されているかどうか検証します。 次の手順でoim-config.xmlファイルをダウンロードし、シングル・サインオン(SSO)構成情報を検証します。 1) Oracle Identity Manager管理対象サーバーを起動します。 2) WebLogic Server管理者の資格証明を使用して、Oracle Enterprise Manager Fusion Middleware Controlにログインします。 3) IDおよびアクセス>「oim」>「oim(バージョン)」をクリックします。右クリックして「システムMBeanブラウザ」を選択します。「システムMBeanブラウザ」ページが表示されます。 4) 「アプリケーション定義のMBeans」の下で、「oracle.iam」>「Server:oim_server1」>「Application: oim」>「XMLConfig」>「XMLConfig.SOAConfig」>「SOAConfig」を選択します。 OIMで使用されているOAMのアクセス・サーバー情報が表示されます。情報の妥当性を確認し、検証します。

    
    

16. WebLogic Administration Serverを停止します。「スタックの停止」を参照してください。

17. My Oracle Support Webサイト(http://support.oracle.com)にログインし、シングル・サインオン・サーバーのパッチ9449855を検索します。パッチに含まれているReadmeファイルの説明に従って、このパッチをインストールします。

18. 管理サーバーおよび管理対象サーバー(OIM、SOAおよびOAM)を再起動します。サーバーを停止し、その後起動する方法の詳細は、「スタックの停止」および「スタックの起動」を参照してください。

19. コマンドラインで、LDAP構成設定後スクリプト(WindowsではLDAPConfigPostSetup.bat、UNIXではLDAPConfigPostSetup.sh)を実行します。これらのファイルは、Oracle Identity ManagerとOracle Access ManagerのIDM_Home(Oracle_IDM2)内のserver/ldap_config_utilディレクトリにあります。

出荷された状態のドメイン・エージェントを使用したOracle Identity ManagerとOracle Access Managerの統合が完了しました。