| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
前へ |
次へ |
Oracle Adaptive Access Manager(OAAM)は、プラットフォームのプレゼンテーション層、ビジネス・ロジック層およびデータ層を独立させた、Java EEベースの複数層デプロイメント・アーキテクチャ上に構築されています。このように各層が独立しているので、OAAMは、お客様のパフォーマンス要件に合せてすばやく規模を調整できます。このアーキテクチャでは、Java、XMLおよびオブジェクト・テクノロジを組み合せた、最も柔軟でサポート対象となっているクロス・プラットフォームのJava EEサービスを利用できます。このアーキテクチャによって、OAAMはスケーラブルでフォルト・トレラントなソリューションとなっています。
OAAMのアプリケーションは次の2つのコンポーネントに分類されます。
OAAM管理アプリケーション
OAAMサーバー・アプリケーション
この章では、Oracle Adaptive Access Managerを含めるように既存のIDMドメインを拡張する手順について説明します。
この章の内容は次のとおりです。
Oracle Adaptive Access Manager(OAAM)を含めるようにドメインを拡張する前に、次の前提条件が完了していることを確認する必要があります。
OAAMデータ格納用に高可用性データベースを作成します。第3.3項の説明に従って、リポジトリ作成ユーティリティを使用して、OAAMデータ・オブジェクトでデータベースを事前にシードします。
第4章の説明に従って、Oracle WebLogic Server、Oracle Fusion Middleware for Identity ManagementおよびOracle Management Suiteをインストールします。
第5章の説明に従って、WEBHOST1とWEBHOST2でOracle HTTP Serverをインストールします。
第6章で説明されているWebLogicドメインを作成します。
アイデンティティ・ストア(Oracle Internet DirectoryまたはOracle Virtual Directory)をインストールして構成します。
第11.3項「OPSSポリシー・ストアの準備」の説明に従って、ポリシー・ストアをインストールして構成します。
第11.4.3項「Oracle Adaptive Access Manager用のユーザーとグループの作成」の説明に従って、Oracle Adaptive Access Managerの管理グループとユーザーをLDAPに作成します。
ここでは、OAAMを専用サーバー(OAAMHOST1とOAAMHOST2)に配置しますが、まずIDMHOST1で、WebLogicドメインをOAAMによって拡張する必要があります。この項では、Oracle Adaptive Access ManagerをIDMHOST1で構成する方法について説明します。
この項の内容は次のとおりです。
次のコマンドを実行して、構成ウィザードを起動します。
MW_HOME/oracle_common/common/bin/config.sh
次のように実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。「次へ」をクリックします。
WebLogicドメインの選択画面で、ナビゲータを使用して、管理サーバーのドメイン・ホーム(たとえば、ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain)を選択します。
「次へ」をクリックします。
「拡張ソースの選択」画面で、次を選択します。
Oracle Adaptive Access Manager - サーバー
Oracle Adaptive Access Manager管理サーバー
Oracle WSM Policy Manager
Oracle Identity Navigator
「次へ」をクリックします。
「RACマルチ・データ・ソースの構成」画面には、Oracle Directory Integration PlatformとOracle Directory Services Manager(ODSM)のために構成されたschedulerDSデータソースが表示されます。この画面では選択や変更は行わないでください。
「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、すべてのデータ・ソースを選択してから、選択したデータ・ソースをRACマルチ・データ・ソースとして構成しますを選択します。
「次へ」をクリックします。
「RACマルチ・データ・ソース・コンポーネント・スキーマの構成」ページ(Real Applications Clusterデータベースのみ)で、コンポーネントのすべてのスキーマを選択します。これまでに構成済のコンポーネントに指定しているスキーマは選択しないでください。続いて、次の情報を入力します。
| スキーマの名前 | サービス名 | ホスト名 | インスタンス名 | ポート | スキーマの所有者 | パスワード |
|---|---|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
Oracle Database 11.2を使用している場合は、vipアドレスを11.2 SCANアドレスに置き換えます。
「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、構成ウィザードによりデータ・ソースを検証します。データ・ソースの検証が成功した場合、「次へ」をクリックします。失敗した場合、「前へ」をクリックして問題に対処してから、再試行します。
「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。「次へ」をクリックします。
「管理対象サーバーの構成」画面を初めて表示すると、構成ウィザードによってデフォルトの管理対象サーバーが作成されています。デフォルトの管理対象サーバーに関する詳細を変更します。
|
注意: この画面を初めて表示すると、構成ウィザードによってデフォルトの管理対象サーバーが作成されています。 このデフォルトの管理対象サーバーに関する詳細を変更して、次の詳細を反映させます。つまり、エントリを1つ変更し、新しいエントリを1つ追加します。 以前のアプリケーション・デプロイメントの一部として構成されている管理対象サーバーの構成は変更しないでください。 |
oaam_server_server1エントリの場合、次の値にエントリを変更します。
名前: WLS_OAAM1
Listen address: OAAMHOST1
Listen port:14300
SSLリスニング・ポート: 14301
SSL有効: 選択します。
2番目のOAAMサーバーの場合、「追加」をクリックしてから、次の情報を入力します。
名前: WLS_OAAM2
Listen address: OAAMHOST2
Listen port:14300
SSLリスニング・ポート: 14301
SSL有効: 選択します。
「oaam_admin_server1」エントリを選択します。
次の値にエントリを変更します。
名前: WLS_OAAM_ADMIN1
Listen address: OAAMHOST2
Listen port:14200
SSLリスニング・ポート: 14201
SSL有効: 選択します。
OAAM管理サーバーでは、「追加」をクリックして次の情報を指定します。
名前: WLS_OAAM_ADMIN2
Listen address: OAAMHOST2
Listen port:14200
SSLリスニング・ポート: 14201
SSL有効: 選択します。
他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成します。
名前: cluster_oaam
クラスタのメッセージング・モード: unicast
「追加」をクリックして2番目のクラスタを作成します。
名前: cluster_oaam_admin
クラスタのメッセージング・モード: unicast
他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。クラスタ名を右側のペインでクリックします。「サーバー」で管理対象サーバーをクリックしてから矢印をクリックして、その管理対象サーバーをクラスタに割り当てます。
cluster_oaamには、管理対象サーバーWLS_OAAM1とWLS_OAAM2を割り当てます。
cluster_oaam_adminには、管理対象サーバーWLS_OAAM_ADMIN1とWLS_OAAM_ADMIN2を割り当てます。
|
注意: 以前のアプリケーション・デプロイメントの一部として構成されているクラスタの構成は変更しないでください。 |
「次へ」をクリックします。
「マシンの構成」画面で、トポロジにある各ホストに対してマシンを作成します。ホストでUnixベースのオペレーティング・システムを使用している場合、「Unix」タブをクリックします。それ以外の場合は、「マシン」タブをクリックします。次の情報を指定します。
名前: ホスト名です。DNS名(oaamhost1.mycompany.com)を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのDNS名(oaamhost1.mycompany.com)です。
ノード・マネージャ・ポート: ノード・マネージャが使用するポート。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、作成したマシンごとに実行する管理対象サーバーを指定します。
マシンを右側のペインでクリックします。
そのマシンで実行する管理対象サーバーを左側のペインでクリックします。
矢印をクリックして、管理対象サーバーをマシンに割り当てます。
すべての管理対象サーバーをマシンに割り当てるまで、この手順を繰り返します。
次に例を示します。
oaamhost1: WLS_OAAM1とWLS_OAAM_ADMIN1
oaamhost2: WLS_OAAM2とWLS_OAAM_ADMIN2
「次へ」をクリックして、続行します。
「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。
|
注意: 次に示す警告が出力された場合: CFGFWK: Server listen ports in your domain configuration conflict with ports in use by active processes on this host 「OK」をクリックします。 管理対象サーバーが以前のインストールの一部として定義されている場合、この警告が表示されますが、無視してかまいません。 |
WebLogic管理サーバーをIDMのホスト1で再起動します。第21.1項「Oracle Identity Managementコンポーネントの起動と停止」を参照してください。
OAAM管理コンソールにアクセスするには、管理ユーザーを作成する必要があります。このユーザーをここで作成すると、この時点でOAAM管理コンソールを使用できるようになります。OAAMとOracle Access Managerを連携する場合や第19章の説明に従ってデフォルトの認証プロバイダを構成する場合、このユーザーは重複するので、必要に応じて削除してかまいません。
次のようにして管理ユーザーを作成します。
http://idmhost1.mycompany.com:7001/consoleのURLでOracle WebLogic Serverコンソールにweblogicユーザーとしてログインします。
ドメイン構造のメニューで「セキュリティ・レルム」をクリックします。
myrealmをクリックします。
「ユーザーとグループ」タブをクリックします。
「新規」をクリックします。
次の情報を入力します。
名前: oaamadmin
説明: OAAM Administrative user
プロバイダ: DefaultAuthenticator
「パスワード」と「確認」: ユーザーに割り当てるパスワードです。
「OK」をクリックします。
新規作成ユーザーの「oaamadmin」をクリックします。
「グループ」タブをクリックします。
OAAM接頭辞のあるグループをすべてこのユーザーに割り当てます。そのためには、各グループを選択してから「>」をクリックして選択グループに移動します。それらのグループを次に示します。
OAAMCSRGroup
OAAMCSRInvestigatorGroup
OAAMCSRManagerGroup
OAAMEnvAdminGroup
OAAMInvestigationManagerGroup
OAAMRuleAdministratorGroup
OAAMSOAPServicesGroup
「保存」をクリックします。
IDMHOST1における構成が成功すると、OAAMHOST1に伝播できます。そのためには、packスクリプトを使用してIDMHOST1でドメインをパックしてから、unpackスクリプトを使用してOAAMHOST1で解凍します。どちらのスクリプトも、ORACLE_COMMON_HOME/common/binにあります。
「IDMHOST1」で、次を入力します。
pack.sh -domain=ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain -template=/tmp/IDMDomain.jar -template_name="OAAM Domain" -managed=true
これによって、IDMDomain.jarと呼ばれるファイルが/tmpディレクトリに作成されます。このファイルをOAAMHOST1にコピーします。
OAAMHOST1で、次を入力します。
unpack.sh -domain=ORACLE_BASE/admin/IDMDomain/mserver/IDMDomain -template=/tmp/IDMDomain.jar -app_dir=ORACLE_BASE/admin/IDMDomain/mserver/applications
この項の内容は次のとおりです。
ノード・マネージャを起動して、nodemanager.propertiesファイルをOAAMHOST1で作成します。そのためには、MW_HOME/wlserver_10.3/server/binディレクトリの下にあるstartNodemanager.shスクリプトを使用します。
コンソールを使用して管理対象サーバーを起動するには、ノード・マネージャでStartScriptEnabledプロパティをtrueに設定する必要があります。MW_HOME/oracle_common/common/binディレクトリの下にあるsetNMProps.shスクリプトを実行することで設定します。
prompt> MW_HOME/oracle_common/common/bin
prompt> ./setNMProps.sh
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、ノード・マネージャをいったん停止してから起動します。これによって、これらのプロパティが有効になります。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の起動手順を実行して、Oracle Adaptive Access ManagerをOAAMHOST1上で起動します。
ノード・マネージャ
WebLogic管理対象サーバーのWLS_OAAM1とWLS_OAAM_ADMIN1
http://OAAMHOST1.mycompany.com:14200/oaam_adminでOAAM管理サーバーに接続することで、実装を検証します。
OAAM管理コンソールのログイン・ページが表示され、第13.2.3項「WebLogicコンソールにおけるOAAM管理ユーザーの作成」で作成したoaamadminアカウントを使用してログインできる場合、この実装は有効です。
http://OAAMHOST1.mycompany.com:14300/oaam_serverでOAAMサーバーに接続することで、実装を検証します。
OAAMサーバーのログイン・ページが表示されると、実装は有効です。
この項では、Oracle Adaptive Access ManagerをOAAMHOST2で構成する方法について説明します。
この項の内容は次のとおりです。
IDMHOST1における構成が成功すると、OAAMHOST2に伝播できます。そのためには、packスクリプトを使用してIDMHOST1でドメインをパックしてから、unpackスクリプトを使用してOAAMHOST2で解凍します。
両方のスクリプトは、MW_HOME/oracle_common/common/binにあります。
IDMHOST1で、第13.2.4項「OAAMHOST1におけるOracle Adaptive Access Managerの構成」に従って作成したIDMDomain.jarファイルを使用するか、次を入力して/tmpに新規のIDMDomain.jarファイルを作成します。
pack.sh -domain=ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain -template =/tmp/IDMDomain.jar -template_name="OAAM Domain" -managed=true
IDMDomain.jarをOAAMHOST2にコピーします。
OAAMHOST2で、次を入力します。
unpack.sh -domain=ORACLE_BASE/admin/IDMDomain/mserver/IDMDomain -template=/tmp/IDMDomain.jar -template_name="OAAM Domain" -app_dir=ORACLE_BASE/admin/IDMDomain/mserver/applications
次のようにして、OAAMHOST2をコンソールで起動します。
ノード・マネージャを起動して、nodemanager.propertiesファイルをOAAMHOST2で作成します。そのためには、MW_HOME/wlserver_10.3/server/binディレクトリの下にあるstartNodemanager.shスクリプトを使用します。
コンソールを使用して管理対象サーバーを起動するには、ノード・マネージャでStartScriptEnabledプロパティをtrueに設定する必要があります。MW_HOME/oracle_common/common/binディレクトリの下にあるsetNMProps.shスクリプトを実行することで設定します。
prompt> MW_HOME/oracle_common/common/bin
prompt> ./setNMProps.sh
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、ノード・マネージャをいったん停止してから起動します。これによって、これらのプロパティが有効になります。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の起動手順を実行して、Oracle Adaptive Access ManagerをOAAMHOST2上で起動します。
ノード・マネージャ
WebLogic管理対象サーバーのWLS_OAAM1とWLS_OAAM_ADMIN1
http://OAAMHOST2.mycompany.com:14200/oaam_adminでOAAM管理サーバーに接続することで、実装を検証します。OAAM管理コンソールのログイン・ページが表示され、第11.4.3項「Oracle Adaptive Access Manager用のユーザーとグループの作成」で作成したoaamadminアカウントを使用してログインできる場合、実装は有効です。
http://OAAMHOST2.mycompany.com:14300/oaam_serverでOAAMサーバーに接続することで、実装を検証します。OAAMサーバーのログイン・ページが表示されると、実装は有効です。
この項では、Oracle Adaptive Access Managerを構成してOracle HTTP Serverと連携する方法について説明します。
この項の内容は次のとおりです。
各WEBHOSTのORACLE_INSTANCE/config/OHS/ohs1/moduleconfでファイルを作成します。ファイル名はoaam.confにします。ファイルには次の行を記載します。
<Location /oaam_server> SetHandler weblogic-handler WebLogicCluster oaamhost1.mycompany.com:14300,oaamhost2.mycompany.com:14300 WLProxySSL ON WLProxySSLPassThrough ON </Location>
OAAM管理コンソールは、admin.mycompany.comサイトからのみ利用可能であることが必要です。そのためには、ORACLE_INSTANCE/config/OHS/component/moduleconf/admin.confファイルを編集します。(admin.confは、第6.9項「WebLogic管理サーバー用Oracle HTTP Serverの構成」で作成済です)。
仮想ホスト定義をadmin.confで編集します。
ファイルを編集すると、次のようになります。
NameVirtualHost *:80
<VirtualHost *:80>
ServerName admin.mycompany.com:80
ServerAdmin you@your.address
RewriteEngine On
RewriteOptions inherit
# Admin Server and EM
<Location /console>
SetHandler weblogic-handler
WebLogicHost ADMINVHN
WeblogicPort 7001
</Location>
<Location /consolehelp>
SetHandler weblogic-handler
WebLogicHost ADMINVHN
WeblogicPort 7001
</Location>
<Location /em>
SetHandler weblogic-handler
WebLogicHost ADMINVHN
WeblogicPort 7001
</Location>
<Location /oaam_admin>
SetHandler weblogic-handler
WebLogicCluster oaamhost1.mycompany.com:14200,oaamhost2.mycompany.com:14200
</Location>
</VirtualHost>
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WEBHOST1とWEBHOST2の両方でOracle HTTP Serverを再起動します。
Oracle HTTP Serverは、WebLogicのプロキシとして機能するため、デフォルトでは、特定のCGI環境変数はWebLogicに渡されません。これらには、ホストとポートが含まれます。WebLogicには、内部URLを適切に生成できるように仮想サイト名およびポートを使用していることを指示する必要があります。
そのためには、http://admin.mycompany.com/consoleのWebLogic管理コンソールにログインします。次のように実行します。
「クラスタ」をホーム・ページで選択するか、「ドメイン」構造メニューで「環境」→「クラスタ」を選択します。
「チェンジ・センター」ウィンドウの「ロックして編集」をクリックして、編集を有効にします。
クラスタ名(cluster_oaam)をクリックします。
「HTTP」を選択して、次の値を入力します。
フロントエンド・ホスト: sso.mycompany.com
フロントエンドHTTPポート: 80
フロントエンドHTTPSポート: 443
これによって、WebLogicで作成されたHTTPS URLが、ロード・バランサでポート443に転送されるようになります。
「保存」をクリックします。
「クラスタ」をホーム・ページで選択するか、「ドメイン」構造メニューで「環境」→「クラスタ」を選択します。
クラスタ名(cluster_oaam_admin)をクリックします。
「HTTP」を選択して、次の値を入力します。
フロントエンド・ホスト: admin.mycompany.com
フロントエンドHTTPポート: 80
「保存」をクリックします。
「チェンジ・センター」ウィンドウの「変更のアクティブ化」をクリックして、編集を有効にします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理対象サーバーのWLS_OAAM1、WLS_OAAM2、WLS_OAAM_ADMIN1およびWLS_OAAM_ADMIN2を再起動します。
第11.4.3項「Oracle Access Manager用のユーザーとグループの作成」で作成したoaamadminアカウントを使用して、http://admin.mycompany.com/oaam_adminのOracle Adaptive Access Manager管理コンソールにログインします。
また、oaamadminアカウントとtestパスワードを使用して、https://sso.mycompany.com/oaam_serverのOracle Adaptive Access Managerサーバーにログインします。
次のURLをアクセスできることを確認します。
https://sso.mycompany.com:443/oaam_server/oamLoginPage.jsp
この項では、シード・データをOracle Adaptive Access Managerにロードする方法について説明します。
次のURLでOracle Adaptive Access Manager管理コンソール(OAAM_ADMIN)にログインします。
http://admin.mycompany.com:80/oaam_admin
第13.2.3項「WebLogicコンソールにおけるOAAM管理ユーザーの作成」で作成したoaamadminアカウントを使用して接続します。
「ナビゲーション」→「環境」メニューにあるシステムのスナップショットをクリックします。
「開く」をクリックします。
「ファイルからロード」をクリックします。
次の情報を入力します。
名前: Default Snapshot
ノート: Default Snapshot
現在のシステムを今すぐにバックアップを選択します。
「続行」をクリックします。
「OK」をクリックして、バックアップの作成を確認します。
「ファイルの選択」をクリックします。
次の場所にあるファイル「oaam_base_snapshot.zip」を選択します。
IAM_ORACLE_HOME/oaam/init
「ロード」をクリックします。
スナップショットのファイルが正常にロードされたことを通知するメッセージが表示されます。「OK」をクリックして、このメッセージを確認します。
右上近くの「リストア」をクリックします。
ロードが完了するとメッセージが表示されます。「OK」をクリックします。
ベスト・プラクティスとしては、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。インストールが正常に行われたことを確認したら、バックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
インストールをこのポイントにバックアップする手順は次のとおりです。
第5.5項「Web層の構成のバックアップ」の説明に従って、Web層をバックアップします。
データベースをバックアップします。これは全データベースのバックアップで、ホット・バックアップかコールド・バックアップになります。お薦めするツールはOracle Recovery Managerです。
第6.15項「WebLogicドメインのバックアップ」の説明に従って、管理サーバー・ドメイン・ディレクトリをバックアップします。
第7.7項「Oracle Internet Directory構成のバックアップ」の手順に従い、Oracle Internet Directoryをバックアップします。
第9.10項「Oracle Virtual Directory構成のバックアップ」の説明に従って、Oracle Virtual Directoryをバックアップします。
アプリケーション層の構成をバックアップする方法の詳細は、第21.4項「バックアップとリカバリの実行」を参照してください。
