ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド
11gリリース1(11.1.1.5)
B61378-02
  目次へ
目次
索引へ
索引

前へ
前へ
 
次へ
次へ
 

12 Oracle Access Manager 11gでのドメインの拡張

この章では、Oracle Identity Managementエンタープライズ・デプロイメントで使用するために、Oracle Access Manager 11.1.1のインストールと構成を行う方法について説明します。

この章の内容は次のとおりです。

12.1 Oracle Access Managerのインストールの概要

Oracle Access Managerを使用すると、ユーザーは全社規模でWebアプリケーションおよびその他のITリソースにシームレスにアクセスできます。これによって、集中化および自動化したシングル・サインオン(SSO)ソリューションが実現し、拡張性のある認証手法とそれに関連するワークフローを定義する機能が得られます。また、これは、アクセスをリクエストするユーザーのプロパティとそのリクエストが発生した環境に基づいて、特定のリソースへのアクセス権を付与または拒否する認可エンジンも備えています。このコア機能は、包括的なポリシー管理、監査、ITインフラストラクチャの他のコンポーネントとの統合によって充実したものになります。

Oracle Access Managerは、Oracle Access Managerサーバー(OAMサーバー)、Access Managerコンソール、Webゲートなどのいくつかのコンポーネントで構成されています。OAMサーバーは、エンタープライズ・リソースに対するユーザーのアクセス・リクエストを処理するために必要なサーバー・コンポーネントであり、アクセス・サーバーとアイデンティティ・サーバーの両方の機能を備えています。Access Managerコンソールは、Oracle Access Mangerに対する管理コンソールです。Webゲートは、Oracle Access Managerの実際の強制ポイントとして機能するWebサーバー・エージェントです。エンタープライズ・デプロイメントに必要なOracle Access Managerコンポーネントをインストールして構成するには、この章の手順および第20章「管理コンソールに対するシングル・サインオンの構成」の手順に従います。

この項の内容は次のとおりです。

12.1.1 様々なLDAPディレクトリ・ストアの使用方法

このガイドで説明しているエンタープライズ・デプロイメントにおいて、Oracle Access ManagerはOracle Internet Directoryを唯一のLDAPリポジトリとして使用しています。Oracle Access Managerでは、1つのLDAPをポリシーと構成のデータで使用します。ユーザー、組織およびグループを格納するアイデンティティ・ストアとして、もう1つのLDAPを構成することもできます。たとえば、1つのOracle Access Managerインスタンスで、ポリシーと構成のストアとしてOracle Internet Directoryを使用し、ユーザーとグループについては、Microsoft Active Directoryのインスタンスを参照するという方法が可能です。

12.1.2 アイデンティティ・ストアとしてのOracle Virtual Directoryの使用方法

アイデンティティ・ストアのフロントエンドとしてOracle Virtual Directoryを使用し、データソースを仮想化することもできます。

Oracle Access Managerの各種ディレクトリ構成の詳細は、11g Oracle Access ManagerのドキュメントをOracle Technology Networkで参照してください。これらのバリエーションを検討するお客様は、バリエーションに応じてディレクトリ層とOracle Access Managerデプロイメントを調整する必要があります。

12.2 前提条件

Oracle Access Managerを構成する前に、次の作業がIDMHOST1IDMHOST2で行われたことを確認してください。

  1. 第4.5.4項の説明に従って、Oracle WebLogic Serverをインストールします。

  2. 第4.5.5項の説明に従って、Identity Managementをインストールします。

  3. 第4.5.8項の説明に従って、Oracle Identity and Access Managementをインストールします。

  4. 第7章「Oracle Internet Directoryでのドメインの拡張」または第10章「Oracle Internet Directory以外のディレクトリの準備」の説明に従って、アイデンティティ・ストアをインストールします。

  5. 必要に応じ、第9章「Oracle Virtual Directoryでのドメインの拡張」の説明に従って、Oracle Virtual Directoryをインストールします。

12.3 IDMHOST1におけるOracle Access Managerの構成

この項の内容は次のとおりです。

12.3.1 Oracle Access Managerでのドメインの拡張

次のコマンドを実行して、構成ウィザードを起動します。

MW_HOME/oracle_common/common/bin/config.sh

次のように実行します。

  1. 「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。「次へ」をクリックします。

  2. WebLogicドメインの選択画面で、ナビゲータを使用して、WebLogic管理サーバーのドメイン・ホーム(たとえば、ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain)を選択します。

    次へ」をクリックします。

  3. 「拡張ソースの選択」画面で、データベース・ポリシー・ストアのあるOracle Access Managerを選択します。

    次へ」をクリックします。

  4. Oracle Directory Integration Platformをドメインで構成している場合、「RACマルチ・データ・ソースの構成」画面には、schedulerDSのマルチ・データソースが表示されます。このデータソースは変更しないでください。

    次へ」をクリックします。

  5. 「JDBCコンポーネント・スキーマの構成」画面で、データソース「OAM Infrastructure」を選択します。

    次のパネルで選択したデータ・ソースをRACマルチ・データ・ソースとして構成します。」を選択します。

    次へ」をクリックします。

  6. 「RACマルチ・データ・ソースの構成」画面:

    • サービス名: Oracle Access Managerリポジトリが含まれるデータベースのサービス名です(oamedg.mycompany.com)。

    • ユーザー名: EDG_OAM

    • パスワード: EDG_OAMユーザーのパスワードです。

    右上部のボックスで、「追加」をクリックして、2番目のOracle RACノードを追加します。

    • ホスト名: OIDDBHOST1-VIP

    • インスタンス名: idmdb1

    • ポート: 1521

    追加」を再びクリックして、2番目のデータベース・ホストを追加します。

    • ホスト名: OIDDBHOST2-VIP

    • インスタンス名: idmdb2

    • ポート: 1521

    Oracle Database 11.2を使用している場合は、vipのアドレスとポートを11.2 SCANのアドレスとポートに置き換えてください。

    次へ」をクリックします。

  7. 「コンポーネント・スキーマのテスト」画面で、ウィザードによりデータ・ソースを検証します。データ・ソースの検証が成功した場合、「次へ」をクリックします。失敗した場合、「前へ」をクリックして問題に対処してから、再試行します。

  8. 「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。

    次へ」をクリックします。

  9. 「管理対象サーバーの構成」画面を初めて表示すると、構成ウィザードによってデフォルトの管理対象サーバーが作成されます。この時点で、次に示す2つの作業を行う必要があります。

    1. デフォルトの管理対象サーバーに関する値を変更します。

    2. 2番目の管理対象サーバーを追加して、値を指定します。

    つまり、既存のエントリを変更して新しいエントリを1つ追加する必要があります。

    以前のアプリケーション・デプロイメントの一部として構成されている管理対象サーバーの構成は変更しないでください。

    デフォルトのOracle Access Managerサーバー(oam_server)のエントリで、次の値を変更します。

    • 名前: WLS_OAM1

    • Listen address: IDMHOST1

    2番目のOracle Access Managerサーバーを追加するには、「追加」をクリックしてから、次の値を入力します。

    • 名前: WLS_OAM2

    • Listen address: IDMHOST2

    • Listen port:14100

    他のフィールドはすべてデフォルト設定のままにします。

    次へ」をクリックします。

  10. 「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成します。次の情報を指定します。

    • 名前: cluster_oam

    • クラスタのメッセージング・モード: unicast

    他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。

  11. 「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。クラスタ名を右側のペインでクリックします。「サーバー」で管理対象サーバーをクリックしてから矢印をクリックして、これをクラスタに割り当てます。

    cluster_oamには、管理対象サーバーWLS_OAM1WLS_OAM2が割り当てられます。


    注意:

    以前のアプリケーション・デプロイメントの一部として構成されているクラスタの構成は変更しないでください。


    次へ」をクリックします。

  12. 「マシンの構成」画面で、トポロジにある各ホストに対してマシンを作成します。ホストでLinuxやUnixベースのオペレーティング・システムを使用している場合、「Unix」タブをクリックします。それ以外の場合は、「マシン」をクリックします。次を指定します。

    • 名前: ホスト名です。DNS名を使用することをお薦めします。たとえば、最初のノードと2番目のノードはそれぞれidmhost1.mycompany.comidmhost2.mycompany.comになります。

    • ノード・マネージャ・リスニング・アドレス: マシンのDNS名です。たとえば、最初のノードと2番目のノードはそれぞれidmhost1.mycompany.comidmhost2.mycompany.comになります。

    • ノード・マネージャ・ポート: ノード・マネージャが使用するポート。

    Oracle Directory Integration PlatformやODSMが構成されている場合、マシンにはそれらのホストが存在します。

    次へ」をクリックします。

  13. 「サーバーのマシンへの割当」画面で、作成したマシンごとに実行する管理対象サーバーを指定します。

    マシンを右側のペインでクリックします。

    そのマシンで実行する管理対象サーバーを左側のペインでクリックします。

    矢印をクリックして、管理対象サーバーをマシンに割り当てます。すべての管理対象サーバーをマシンに割り当てるまで、この手順を繰り返します。次に例を示します。

    IDMHOST1: WLS_OAM1

    IDMHOST2: WLS_OAM2

    次へ」をクリックして、続行します。

  14. 「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。


    注意:

    次に示す警告が出力された場合:

    CFGFWK: Server listen ports in your domain configuration conflict with ports in use by active processes on this host
    

    OK」をクリックします。

    管理対象サーバーが以前のインストールの一部として定義されている場合、この警告が表示されますが、無視してかまいません。


  15. 「インストール 完了」画面で「完了」をクリックします。

  16. 第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってWebLogic管理サーバーを再起動します。

12.3.2 IDMドメイン・エージェントの削除

デフォルトでは、管理コンソールのシングル・サインオン機能はIDMDomainエージェントが提供しています。エンタープライズ・デプロイメントではWebゲートでシングル・サインオンを扱うので、IDMDomainエージェントを削除する必要があります。次の手順に従ってIDMDomainエージェントを削除します。

http://admin.mycompany.com/consoleのURLを使用してWebLogicコンソールにログインします。

次を実行します。

  1. セキュリティ・レルム」を「ドメイン構造」メニューで選択します。

  2. myrealmをクリックします。

  3. プロバイダ」タブをクリックします。

  4. チェンジ・センター」で「ロックして編集」をクリックします。

  5. 認証プロバイダのリストで「IAMSuiteAgent」を選択します。

  6. 削除」をクリックします。

  7. はい」をクリックして、削除を確認します。

  8. 変更のアクティブ化」を「チェンジ・センター」でクリックします。

  9. 第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーと実行されているすべての管理対象サーバーを再起動します。

  10. 第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、WebLogic管理サーバーWLS_OAM1を起動します。

12.3.3 管理対象サーバーのドメイン・ディレクトリへのドメイン変更の伝播

起動スクリプトとクラスパス構成を管理サーバーのドメイン・ディレクトリから管理対象サーバーのドメイン・ディレクトリに伝播する手順は次のとおりです。

  1. packコマンドをIDMHOST1で実行して、テンプレート・パックを作成します。次のコマンドを入力します。

    IDMHOST1> cd MW_HOME/oracle_common/common/bin
    IDMHOST1> ./pack.sh -managed=true -domain=ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain -template=MW_HOME/templates/IDMDomain.jar -template_name=IDMDomain_Template 
    
  2. unpackコマンドをIDMHOST1で実行して、伝播されたテンプレートを管理対象サーバーのドメイン・ディレクトリに解凍します。次のコマンドを入力します。

    IDMHOST1> ./unpack.sh -domain=ORACLE_BASE/admin/IDMDomain/mserver/IDMDomain/ -template=MW_HOME/templates/IDMDomain.jar -overwrite_domain=true -app_dir=ORACLE_BASE/admin/IDMDomain/mserver/applications
    
  3. 管理対象サーバーWLS_OAM1を再起動します。

12.4 IDMHOST2におけるOracle Access Managerの構成

この項の内容は次のとおりです。

12.4.1 IDMHOST2におけるOracle Access Managerの配置

IDMHOST1における構成が成功すると、構成をIDMHOST2に伝播できます。そのためには、packスクリプトを使用してIDMHOST1でドメインをパックしてから、unpackスクリプトを使用してIDMHOST2で解凍します。両方のスクリプトは、MW_HOME/oracle_common/common/binにあります。

第12.3.3項「管理対象サーバーのドメイン・ディレクトリへのドメイン変更の伝播」の手順1で、MW_HOME/templatesディレクトリにファイルIDMDomain.jarを作成しました。このファイルをIDMHOST2にコピーします。

unpackユーティリティを使用して、ファイルをIDMHOST2で解凍します。

./unpack.sh -domain=ORACLE_BASE/admin/IDMDomain/mserver/IDMDomain -template=MW_HOME/templates/IDMDomain.jar -overwrite_domain=true -app_dir=ORACLE_BASE/admin/IDMDomain/mserver/applications

12.4.2 IDMHOST2におけるノード・マネージャ用プロパティ・ファイルの更新

まだIDMHOST2でノード・マネージャを起動していない場合は、次の手順でこれを起動します。

  1. ノード・マネージャをIDMHOST2で起動して、nodemanager.propertiesファイルを作成します。そのためには、MW_HOME/wlserver_10.3/server/binディレクトリの下にあるstartNodemanager.shスクリプトを使用します。

  2. コンソールを使用して管理対象サーバーを起動するには、ノード・マネージャでStartScriptEnabledプロパティをtrueに設定する必要があります。MW_HOME/oracle_common/common/binディレクトリの下にあるsetNMProps.shスクリプトを実行することで設定します。

    prompt>  MW_HOME/oracle_common/common/bin
    prompt> ./setNMProps.sh
    
  3. 第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、ノード・マネージャをいったん停止してから起動します。これによって、これらのプロパティが有効になります。

12.4.3 IDMHOST2におけるOracle Access Managerサーバーの起動

第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の起動手順を実行して、IDMHOST2上で次を対象としてOracle Access Managerを起動します。

  • ノード・マネージャ(起動していない場合)

  • WebLogic管理対象サーバーWLS_OAM1

12.5 Oracle Web Tierと連携するためのOracle Access Managerの構成

この項では、Oracle Access Managerを構成してOracle Web Tierと連携する方法について説明します。

この項の内容は次のとおりです。

12.5.1 前提条件

続行する前に、次の作業が行われたことを確認してください。

  1. 第5.1項「Oracle Web Tierの構成」の手順に従い、WEBHOST1WEBHOST2でOracle Web Tierを構成します。

  2. 第12.3項「IDMHOST1におけるOracle Access Managerの構成」および第12.4項「IDMHOST2におけるOracle Access Managerの構成」の手順に従い、IDMHOST1IDMHOST2でOracle Access Managerを構成します。

  3. 第2.2.2項「ロード・バランサの仮想サーバー名とポートの構成」の手順に従い、WEBHOST1WEBHOST2のWebサーバーにトラフィックをルーティングするロード・バランサを仮想ホスト名(sso.mycompany.com)で構成します。

  4. 第2.2.2項「ロード・バランサの仮想サーバー名とポートの構成」の手順に従い、WebサーバーWEBHOST1WEBHOST2にトラフィックをルーティングするロード・バランサを仮想ホスト名(admin.mycompany.com)で構成します。

12.5.2 ログイン・ページを表示するためのOracle HTTP Serverの構成

WEBHOST1WEBHOST2上の各Webサーバーで、oam.confと呼ばれるファイルをORACLE_INSTANCE/config/OHS/component/moduleconfディレクトリに作成します。

このファイルには次の情報が記載されている必要があります。

<Location /oam>
    SetHandler weblogic-handler
    WebLogicCluster idmhost1.mycompany.com:14100,idmhost2.mycompany.com:14100 
</Location>

12.5.3 Oracle Access ManagerコンソールにアクセスするためのOracle HTTP Serverの構成

WEBHOST1WEBHOST2上の各Webサーバーで、admin.confと呼ばれるファイルがORACLE_INSTANCE/config/OHS/component/moduleconfディレクトリに作成されました。(第6.9項「WebLogic管理サーバー用Oracle HTTP Serverの構成」を参照してください。)このファイルを編集して、次の行を仮想ホスト定義内に追加します。

<Location /oamconsole>
   SetHandler weblogic-handler
   WebLogicHost ADMINVHN
   WebLogicPort 7001
</Location>

ファイルを編集すると、次のようになります。

NameVirtualHost *:80

<VirtualHost *:80>

   ServerName admin.mycompany.com:80
   ServerAdmin you@your.address
   RewriteEngine On
   RewriteOptions inherit
   RewriteRule ^/console/jsp/common/logout.jsp /oamsso/logout.html [PT]
   RewriteRule ^/em/targetauth/emaslogout.jsp /oamsso/logout.html [PT]

   # Admin Server and EM
   <Location /console>
      SetHandler weblogic-handler
      WebLogicHost ADMINVHN
      WeblogicPort 7001
   </Location>

   <Location /consolehelp>
      SetHandler weblogic-handler
      WebLogicHost ADMINVHN
      WeblogicPort 7001
   </Location>

   <Location /em>
      SetHandler weblogic-handler
      WebLogicHost ADMINVHN
      WeblogicPort 7001
   </Location>

   <Location /oamconsole>
      SetHandler weblogic-handler 
      WebLogicHost ADMINVHN
      WebLogicPort 7001
   </Location>

</VirtualHost>

第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。

12.5.4 アクセシビリティの検証

URL: https://sso.mycompany.com/oamを使用して、Oracle Access Managerアプリケーションへのアクセスを試みます。

Oracle Access Managerの画面が表示されます。「Action Failed」というメッセージが表示されます。ここでテストしていることは、Oracle Access Managerサーバーがロード・バランサを介してアクセスできることのみので、このメッセージは無視してかまいません。

http://admin.mycompany.com/oamconsoleでOAMコンソールにアクセスします。

12.6 Oracle Access Managerの構成

この項の内容は次のとおりです。

12.6.1 Oracle Access Managerのセキュリティ・モデルの変更

Oracle Access Managerは、デフォルトでオープン・セキュリティ・モデルを使用するように構成されています。多くのアプリケーションは、より高度なセキュリティを備えた、互いに異なるセキュリティ・モデルを必要とします。

セキュリティ・モデルを変更するには、次の手順を実行します。

次のURLでOAMコンソールにログインします。

http://admin.mycompany.com/oamconsole

ここではWebLogic管理ユーザーとしてログインします。次の手順を実行します。

  1. システム構成」タブをクリックします。

  2. 「共通構成」セクションで、「サーバー・インスタンス」を開きます。

  3. Oracle Access Managerサーバー(WLS_OAM1など)をクリックして、「アクション」メニューで「開く」を選択します。

  4. モードを目的のセキュリティ・モデル(「簡易」など)に変更します。

  5. 適用」をクリックします。

  6. 「編集の確認」ダイアログが表示されます。

    OAM Server instance wls_oam1 might be in use, are you sure you want to edit it?
    

    「はい」を選択します。

  7. Oracle Access Managerサーバーごとにこの手順を繰り返します。

  8. 「Access Managerの設定」セクションの「Access Managerの設定」をクリックします。

  9. オープン」を「アクション」メニューで選択します。Access Managerの設定が表示されます。

  10. セキュリティ・モードを「簡易」に変更した場合は、グローバル・パスフレーズを指定します。

    セキュリティ・モードを「証明書モード構成」に変更した場合は、キーストアの詳細を指定します。

  11. 適用」をクリックします。

  12. システム構成」タブをクリックします。

  13. 「Access Managerの設定」→「SSOエージェント」を開きます。

  14. 「OAMエージェント」をクリックし、「アクション」メニューで「開く」を選択します。

  15. 「検索」ウィンドウで「検索」をクリックします。

  16. 検索結果で「IAMSuiteAgent」をクリックします。エージェントのプロパティが表示されます。

  17. 「セキュリティ」の値を新しいセキュリティ・モデルに設定します。

    適用」をクリックします。

  18. 第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、管理対象サーバーWLS_OAM1およびWLS_OAM2を再起動します。

12.6.2 IDM自動化ツールを使用したOracle Access Managerの構成

これで初期インストールとセキュリティ・モデルの設定が完了したので、次のタスクを実行する必要があります。

  • 外部LDAPディレクトリ(idstore.mycompany.com)を使用するようにOracle Access Managerを構成する必要があります。

  • Oracle Access Manager Webゲート・エージェントを作成する必要があります。

  • idmConfigToolを使用して、次のタスクを実行します。

IDMHOST1で次のタスクを実行します。

  1. 環境変数MW_HOMEJAVA_HOMEIDM_HOMEおよびORACLE_HOMEを設定します。

    IDM_HOMEIDM_ORACLE_HOMEに設定します。

    ORACLE_HOMEIAM_ORACLE_HOMEに設定します。

  2. 次の内容でプロパティ・ファイルconfig_oam1.propsを作成します。

    WLSHOST: adminvhn.mycompany.com
    WLSPORT: 7001
    WLSADMIN: weblogic
    IDSTORE_HOST: idstore.mycompany.com
    IDSTORE_PORT: 389
    IDSTORE_BINDDN: cn=orcladmin 
    IDSTORE_USERNAMEATTRIBUTE: cn
    IDSTORE_LOGINATTRIBUTE: uid
    IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com
    IDSTORE_SEARCHBASE: dc=mycompany,dc=com
    IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com
    IDSTORE_OAMSOFTWAREUSER: oamLDAP
    IDSTORE_OAMADMINUSER: oamadmin
    PRIMARY_OAM_SERVERS: idmhost1.mycompany.com:5575,idmhost2.mycompany.com:5575
    WEBGATE_TYPE: ohsWebgate10g
    ACCESS_GATE_ID: Webgate_IDM
    OAM11G_IDM_DOMAIN_OHS_HOST:sso.mycompany.com
    OAM11G_IDM_DOMAIN_OHS_PORT:443
    OAM11G_IDM_DOMAIN_OHS_PROTOCOL:https
    OAM11G_OAM_SERVER_TRANSFER_MODE:simple
    OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp
    OAM11G_WG_DENY_ON_NOT_PROTECTED: false
    OAM11G_SERVER_LOGIN_ATTRIBUTE: uid 
    OAM_TRANSFER_MODE: simple
    COOKIE_DOMAIN: .mycompany.com
    OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
    OAM11G_SSO_ONLY_FLAG: false
    OAM11G_OIM_INTEGRATION_REQ: false
    OAM11G_SERVER_LBR_HOST:sso.mycompany.com
    OAM11G_SERVER_LBR_PORT:443
    OAM11G_SERVER_LBR_PROTOCOL:https
    OAM11G_OIM_WEBGATE_PASSWD: password to be assigned to WebGate
    COOKIE_EXPIRY_INTERVAL: 120
    

    変数の意味は次のとおりです。

    • WLSHOSTおよびWLSPORTは、それぞれ管理サーバーのホストとポートです。これは仮想名です。

    • WLSADMINは、WebLogicコンソールへのログインで使用するWebLogic管理ユーザーです。

    • IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。

    • IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。

    • IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。

    • IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。

    • IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。

    • IDSTORE_OAMSOFTWAREUSERは、LDAPとの対話処理で使用するために第11.4.2項「Oracle Access Manager用のユーザーとグループの作成」で作成したユーザーの名前です。

    • IDSTORE_OAMADMINUSERは、OAMコンソールにアクセスするために第11.4.2項「Oracle Access Manager用のユーザーとグループの作成」で作成したユーザーの名前です。

    • PRIMARY_OAM_SERVERSは、Oracle Access Managerサーバーとそれが使用するプロキシ・ポートのカンマ区切りリストです。


      注意:

      OAMサーバーが使用しているプロキシ・ポートを確認する手順は次のとおりです。

      1. http://admin.mycompany.com/oamconsoleのOAMコンソールにログインします。

      2. システム構成」タブをクリックします。

      3. 「共通構成」セクションで、「サーバー・インスタンス」を開きます。

      4. Oracle Access Managerサーバー(WLS_OAM1など)をクリックして、「アクション」メニューで「開く」を選択します。

      5. 「ポート」にプロキシ・ポートが表示されます。


    • ACCESS_GATE_IDは、Webゲートに割り当てる名前です。

    • OAM11G_OIM_WEBGATE_PASSWDは、Webゲートに割り当てるパスワードです。

    • OAM11G_IDM_DOMAIN_OHS_HOSTは、OHSの前に配置したロード・バランサの名前です。

    • OAM11G_IDM_DOMAIN_OHS_PORTは、ロード・バランサでリスニングするポートです。

    • OAM11G_IDM_DOMAIN_OHS_PROTOCOLは、ロード・バランサでリクエストを送るときに使用するプロトコルです。

    • OAM11G_WG_DENY_ON_NOT_PROTECTEDは、falseに設定すると、ログイン・ページを表示できます。

    • OAM_TRANSFER_MODEは、Oracle Access Managerサーバーが機能するセキュリティ・モデルです。これは、第12.6.1項「Oracle Access Managerのセキュリティ・モデルの変更」で定義されます。

    • OAM11G_OAM_SERVER_TRANSFER_MODEは、Oracle Access Managerサーバーが機能するセキュリティ・モデルです。これは、第12.6.1項「Oracle Access Managerのセキュリティ・モデルの変更」で定義されます。

    • OAM11G_IDM_DOMAIN_LOGOUT_URLSは、様々なログアウトURLに設定されます。

    • OAM11G_SSO_ONLY_FLAGは、認証専用モードまたは標準モード(認証と認可をサポート)としてOracle Access Manager 11gを構成します。

      OAM11G_SSO_ONLY_FLAGtrueに設定すると、Oracle Access Manager 11gサーバーは認証専用モードで動作します。この場合、デフォルトではすべての認可でポリシー検証が実行されずにtrueが戻されます。このモードでは、認可の処理に伴うオーバーヘッドがサーバーに発生しません。認可ポリシーに依存せず、Oracle Access Managerサーバーの認証機能のみを必要とするアプリケーションでは、このモードをお薦めします。

      この値をfalseに設定すると、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でOracle Access Managerサーバーに対する認可リクエストが1つ以上発生します。Webゲートを使用すると、Oracle Access Managerサーバーからの応答に基づいて、リクエストされたリソースへのアクセスを許可または拒否できます。

    • OAM11G_SERVER_LBR_HOSTは、サイトの前面に配置するロード・バランサの名前です。この値と次の2つのパラメータを使用してログインURLを構成します。

    • OAM11G_SERVER_LBR_PORTは、ロード・バランサでリスニングするポートです。

    • OAM11G_SERVER_LBR_PROTOCOLは、使用するURL接頭辞です。

    • OAM11G_OIM_INTEGRATION_REQは、現時点ではfalseに設定します。この値はOracle Access ManagerとOracle Identity Managerとの統合を実行するときにのみtrueに設定され、その統合段階の間値が維持されます。

    • COOKIE_DOMAINは、Webゲートが機能するドメインです。

    • WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。

    • OAM11G_IDSTORE_NAMEは、アイデンティティ・ストアの名前です。このツールでアイデンティティ・ストアを新規に作成せず、すでに運用中のアイデンティティ・ストアを再利用する場合は、このパラメータの値をその再利用するアイデンティティ・ストアの名前に設定します。

  3. 次の場所のidmConfigToolコマンドを使用してOracle Access Managerを構成します。

    IAM_ORACLE_HOME/idmtools/bin


    注意:

    idmConfigToolを実行すると、idmDomainConfig.paramファイルが作成されるか、既存のこのファイルに情報が追加されます。このファイルは、idmConfigToolを実行したディレクトリに作成されます。このツールを実行するたびに同じファイルに情報が追加されるようにするには、必ず次のディレクトリでidmConfigToolを実行します。

    IAM_ORACLE_HOME/idmtools/bin


    Linuxの場合、このコマンドの構文は次のとおりです。

    idmConfigTool.sh -configOAM input_file=configfile 
    

    Windowsの場合、このコマンドの構文は次のとおりです。

    idmConfigTool.bat -configOAM input_file=configfile 
    

    次に例を示します。

    idmConfigTool.sh -configOAM input_file=config_oam1.props
    

    このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、次のアカウントに割り当てるパスワードも指定するよう求められます。

    • IDSTORE_PWD_OAMSOFTWAREUSER

    • IDSTORE_PWD_OAMADMINUSER

    コマンドの出力例:

    Enter ID Store Bind DN password:
    Enter User Password for WLSPASSWD:
    Confirm User Password for WLSPASSWD:
    Enter User Password for OAM11G_IDM_DOMAIN_WEBGATE_PASSWD:
    Confirm User Password for OAM11G_IDM_DOMAIN_WEBGATE_PASSWD:
    Enter User Password for IDSTORE_PWD_OAMSOFTWAREUSER:
    Confirm User Password for IDSTORE_PWD_OAMSOFTWAREUSER:
    Enter User Password for IDSTORE_PWD_OAMADMINUSER:
    Confirm User Password for IDSTORE_PWD_OAMADMINUSER:
    The tool has completed its operation. Details have been logged to automation.log
    
  4. ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。

  5. 第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってWebLogic管理サーバーを再起動します。


注意:

idmConfigToolを実行した後は、後続のタスクで必要になるファイルがいくつか作成されます。これらのファイルは安全な場所に格納してください。

DOMAIN_HOME/output/Webgate_IDMディレクトリには次のファイルが存在します。これらは、Webゲート・ソフトウェアをインストールする際に必要になります。

  • ObAccessClient.xml

  • logout.html

  • password.xml

  • aaa_cert.pem

  • aaa_key.pem


12.6.3 マルチディレクトリをサポートするためのOracle Access Managerの構成

Oracle Access Managerで構成したデータ・ストアが、Oracle Virtual Directoryで使用している検索ベースdc=mycompany,dc=comを参照することを確認します。

次の手順に従って、この検索ベースを更新します。

  1. http://admin.mycompany.com/oamconsoleのOAMコンソールにログインします。

  2. 「システム構成」をクリックします。

  3. 「共通構成」を開きます。

  4. 「データソース」を開きます。

  5. 「ユーザー・アイデンティティ・ストア」を開きます。

  6. Oracle Virtual Directoryで使用しているストアをダブルクリックします。

  7. 「ユーザー検索ベース」フィールドと「グループ検索ベース」フィールドの値がdc=mycompany,dc=comであることを確認します。

12.6.4 構成の検証

ここまでの操作が正しいことを確認する手順は次のとおりです。

  1. 次のURLでOAMコンソールにアクセスします。

    http://admin.mycompany.com/oamconsole

  2. 第11.4.2項「Oracle Access Manager用のユーザーとグループの作成」で作成した、Oracle Access Managerの管理ユーザーとしてログインします。

  3. システム構成」タブをクリックします。

  4. 「Access Managerの設定」「SSOエージェント」「OAMエージェント」を開きます。

  5. フォルダを開くアイコンをクリックして「検索」をクリックします。

  6. 第12.6.2項「IDM自動化ツールを使用したOracle Access Managerの構成」で作成したWebゲート・エージェントWebgate_IDMが表示されます。

12.7 新規作成エージェントの更新

最初の構成を作成した後に、その構成を編集して、高度な構成エントリを追加します。

  1. システム構成」タブを選択します。

  2. ディレクトリ・ツリーで「Access Managerの設定」→「SSOエージェント」→「OAMエージェント」を選択します。フォルダを開くアイコンをダブルクリックするか選択します。

  3. 表示された検索ページで、「検索」をクリックして空の検索を実行します。

  4. エージェントWebgate_IDMをクリックします。

  5. 「アクション」メニューで「開く」を選択します。

  6. 次の情報を更新します。

    • 保護されていない場合に拒否: 選択を解除します。

    • プライマリ・サーバーのリストに表示されているすべてのOracle Access Managerサーバーについて、「最大接続数」4に設定します。

  7. 適用」をクリックします。

  8. 「ポリシー構成」タブをクリックします。

  9. 「ホスト識別子」にある「IAMSuiteAgent」をダブルクリックします。

  10. 「操作」ボックスの中の「+」をクリックします。

  11. 次の情報を入力します。

    • ホスト名: admin.mycompany.com

    • ポート: 80

  12. 適用」をクリックします。

12.8 ログイン属性の変更

デフォルトのOracle Access Managerでは、LDAPで属性cnの値をチェックすることでユーザー名を検証します。ほとんどの場合、Oracle Access Managerではかわりにuidフィールドを使用してユーザーを検証する必要があります。

cnフィールドではなく、uidフィールドを使用して検証するようにOracle Access Managerを変更するには、次の手順を実行します。

  1. 次のURLでOAMコンソールにログインします。

    http://admin.mycompany.com/oamconsole

  2. システム構成」タブをクリックします。

  3. 「データソース」「ユーザー・アイデンティティ・ストア」を開きます。

  4. 「OIMIDStore」をクリックします。

  5. 「開く」をクリックします。

  6. 「ユーザー名」属性をuidに変更します。

  7. 適用」をクリックします。

  8. 第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、管理対象サーバーwls_oam1was_oam2を再起動します。

12.9 アクセス・システム管理者へのoamadminアカウントの追加

oamadminグループはOracle Access Manager管理者グループに割り当てられ、さらにOracle Access Manager管理者グループはアクセス・システム管理者グループに割り当てられます。一方、Fusionアプリケーションでは、oamadminユーザーが明示的に該当のロールに追加されていることが必要です。これを行うには、次の手順を実行します。

  1. 次のURLでOAMコンソールにログインします。

    http://admin.mycompany.com/oamconsole

  2. システム構成」タブをクリックします。

  3. 「データソース」「ユーザー・アイデンティティ・ストア」を開きます。

  4. 「OIMIDStore」をクリックします。

  5. 「開く」をクリックします。

  6. 「アクセス・システム管理者」の隣にある「+」記号をクリックします。

  7. 検索ボックスにoamadminと入力して「検索」をクリックします。

  8. 戻された「oamadmin」の行をクリックして、「選択済の追加」をクリックします。

  9. 適用」をクリックします。

12.10 Oracle Access Managerの検証

oamtestツールを使用してOracle Access Managerを検証できます。このためには、次の手順を実行します。

  1. 環境にJAVA_HOMEが設定されていることを確認します。

  2. PATHJAVA_HOME/binを追加します。たとえば、次のように指定します。

    export PATH=$JAVA_HOME/bin:$PATH
    
  3. 次のディレクトリに移動します。

    IAM_HOME/oam/server/tester

  4. 次のコマンドを使用して、ターミナル・ウィンドウでこのテスト・ツールを起動します。

    java -jar oamtest.jar
    
  5. OAMテスト・ツールが起動したら、ページの「サーバー接続」セクションで次の情報を入力します。

    • プライマリIPアドレス: idmhost1.mycompany.com

    • ポート: 5575

    • エージェントID: Webgate_IDM

    • エージェント・パスワード: webgate password


    注意:

    簡易モードを構成している場合は、「簡易」を選択してグローバル・パスフレーズを指定する必要があります。


    「接続」をクリックします。

    ステータスのウィンドウには次のように表示されます。

    [reponse] Connected to primary access server

  6. 保護されているリソースのURIセクションで次の情報を入力します。

    • スキーム: http

    • ホスト: admin.mycompany.com

    • ポート: 80

    • リソース: /oamconsole

    検証」をクリックします。

    ステータスのウィンドウには次のように表示されます。

    [request][validate] yes

  7. 「ユーザー・アイデンティティ」ウィンドウで次の情報を入力します。

    • ユーザー名: oamadmin

    • パスワード: oamadmin password

    認証をクリックします。

    ステータスのウィンドウには次のように表示されます。

    [response][authenticate] yes

    「認可」をクリックします。

    ステータスのウィンドウには次のように表示されます。

    [response][authenticate] yes

テストの実行例を次に示します。

oamtester.gifについては前後の文章を参照してください。

トポロジにあるすべてのアクセス・サーバーで、サーバーごとに接続の詳細を変更して、このテストを繰り返します。

12.11 Oracle Access Managerキー・ストアの作成

Oracle Identity ManagerやOracle Adaptive Access Managerなどその他のコンポーネントをOracle Access Managerに統合し、Oracle Access Managerで簡易セキュリティ・トランスポート・モデルを使用している場合は、これらのコンポーネントで使用できるキーストアを生成する必要があります。この項では、そのための方法を簡単に説明します。ここではIDMHOST1でこれを実行します。

この項の内容は次のとおりです。

12.11.1 空のトラスト・ストア・ファイルoamclient-truststore.jksの作成

このファイルを作成するには、JDK(Java Development Kit)に付属しているkeytoolというツールを使用します。次のコマンドを実行する前に、JDKがパスにあることを確認します。次に例を示します。

export JAVA_HOME=MW_HOME/jrockit_160_24_D1.1.2-4
export PATH=$JAVA_HOME/bin:$PATH
  1. まず、次のコマンドを実行します。

    keytool -genkey -alias alias_name -keystore PathName_to_Keystore -storetype JKS
    

    このコマンドでは、キーストアのパスワードが要求されます。このパスワードは、Oracle Access Managerサーバーで使用しているグローバル・パスフレーズと同じであることが必要です。このコマンドでは、ユーザーと組織の情報も要求されます。該当の情報を入力します。

    例:

    keytool -genkey -alias oam -keystore oamclient-truststore.jks -storetype JKS
    

    出力例:

    Enter keystore password:
    Re-enter new password:
    What is your first and last name?
    [Unknown]: John Doe
    What is the name of your organizational unit?
    [Unknown]: MAA
    What is the name of your organization?
    [Unknown]: Oracle
    What is the name of your City or Locality?
    [Unknown]: Redwood Shores
    What is the name of your State or Province?
    [Unknown]: CA
    What is the two-letter country code for this unit?
    [Unknown]: US
    Is CN=John Doe, OU=MAA, O=Oracle, L=Redwood Shores, ST=CA, C=US correct?
    [no]: yes
     
    Enter key password for <oam>
    (RETURN if same as keystore password):
    Re-enter new password:
    
  2. 続いて、次のコマンドを実行します。

    keytool -delete -alias alias_name -keystore oamclient-truststore.jks -storetype JKS
    

    次に例を示します。

    keytool -delete -alias oam -keystore oamclient-truststore.jks -storetype JKS
    

    このコマンドでは、前に入力したキーストアのパスワードが要求されます。

12.11.2 トラスト・ストアへのCA証明書のインポート

Oracle Access Manager 11gには自己署名の認証局が付属しており、これを簡易モードで使用して、アクセス・クライアント向けの証明書を発行します。ここで作成したキーストアに、この証明書を追加する必要があります。

この証明書は、IAM_ORACLE_HOME/oam/server/configディレクトリにあるcacert.derファイルに収められています。次のコマンドを実行して、PEM/DER形式のCA証明書をトラスト・ストアにインポートします。LinuxおよびUNIXベースのシステムでは次のように入力します。

keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS

Windowsでは次のように入力します。

keytool -import -file IAM_ORACLE_HOME\oam\server\config\cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS

要求されたらキーストアのパスワードを入力します。

例:

keytool -importcert -file /IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore oamclient-truststore.jks -storetype JKS

出力例:

Enter keystore password:  
Owner: CN=NetPoint Simple Security CA - Not for General Use, OU=NetPoint, O="Oblix, Inc.", L=Cupertino, ST=California, C=US
Issuer: CN=NetPoint Simple Security CA - Not for General Use, OU=NetPoint, O="Oblix, Inc.", L=Cupertino, ST=California, C=US
Serial number: 0
Valid from: Wed Apr 01 05:57:22 PDT 2009 until: Thu Mar 28 05:57:22 PDT 2024
Certificate fingerprints:
MD5:  05:F4:8C:84:85:37:DB:E3:66:87:EF:39:E0:E6:B2:3F
SHA1: 97:B0:F8:19:7D:0E:22:6B:40:2A:73:73:1B:27:B2:7B:8D:64:82:21
Signature algorithm name: MD5withRSA
Version: 1
Trust this certificate? [no]:  yes
Certificate was added to keystore

12.11.3 アクセス・クライアントのSSL証明書と秘密鍵ファイルを持つキーストアの設定

第12.6.2項「IDM自動化ツールを使用したOracle Access Managerの構成」idmConfigToolコマンドを実行したときに、SSL証明書と秘密鍵が生成されています。このSSL証明書と鍵は、クライアントがOracle Access Managerと簡易モードで通信するために必要です。これらのファイルの名前は、それぞれaaa_cert.pemおよびaaa_key.pemです。これらは、IDMHOST1DOMAIN_HOME/output/Webgate_IDMディレクトリにあります。DOMAIN_HOMEは、管理サーバーのドメイン・ホームです。

次のコマンドを実行して、証明書と鍵のファイルをキーストアoamclient-truststore.jskにインポートします。

  1. 次のディレクトリにあるファイルimportcert.zipを解凍します。

    IAM_ORACLE_HOME/oam/server/tools/importcert

    次に例を示します。

    cd IAM_ORACLE_HOME/oam/server/tools/importcert
    unzip importcert.zip
    
  2. 次のコマンドを実行します。

    openssl pkcs8 -topk8 -nocrypt -in DOMAIN_HOME/output/Webgate_IDM/aaa_key.pem -inform PEM -out aaa_key.der -outform DER
    

    このコマンドではパスフレーズが要求されます。パスワードとしてグローバル・パスフレーズを入力します。このコマンドでは、その実行場所であるディレクトリにaaa_key.derファイルが作成されます。

    例:

    openssl pkcs8 -topk8 -nocrypt -in /u01/app/oracle/admin/IDMDomain/aserver/IDMDomain/output/Webgate_IDM/aaa_key.pem -inform PEM -out aaa_key.der -outform DER
    Enter pass phrase for oamclient-truststore.jks:
    
  3. 続いて、次のコマンドを実行します。

    openssl x509 -in /u01/app/oracle/admin/IDMDomain/aserver/IDMDomain/output/Webgate_IDM/aaa_cert.pem -inform PEM -out aaa_cert.der -outform DER
    

    このコマンドでは、その実行場所であるディレクトリにaaa_cert.derファイルが作成されます。このコマンドでは出力が生成されません。

  4. 次のコマンドを実行します。

    java -cp IAM_ORACLE_HOME/oam/server/tools/importcert/importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore ssoKeystore.jks -privatekeyfile aaa_key.der -signedcertfile aaa_cert.der -storetype jks -genkeystore yes
    

    このコマンドでは、その実行場所であるディレクトリにssoKeystore.jksファイルが作成されます。

    このコマンドで、aaa_key.deraaa_cert.derは、それぞれDER形式の秘密鍵と証明書のペアです。

    出力例:

    Enter keystore password as prompted. This MUST be same as global pass phrase.
    
    The files ssoKeystore.jks  and oamclient-truststore.jks can now be used to allow clients to connect to OAM.
    
  5. 新しく生成したssoKeystore.jksにCA証明書を追加します。LinuxまたはUNIXでは次のように入力します。

    keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
    

    Windowsでは次のように入力します。

    keytool -import -file IAM_ORACLE_HOME\oam\server\config\cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
    

    要求されたらキーストアのパスワードを入力します。次に例を示します。

    keytool -importcert -file /IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore ssoKeystore.jks -storetype JKS
    

    注意:

    ssoKeystore.jksファイルとoamclient-truststore.jksファイルは、簡易モードで実行されるOracle Access ManagerをOracle Identity ManagementやOracle Access Managerと統合するときに必要です。これらのコンポーネントを統合するとき、これらのファイルをDOMAIN_HOME/config/fmwconfigディレクトリにコピーするように求められます。この後、これらのファイルを配置したマシンで、pack/unpackを使用してドメインを拡張する場合は、unpackコマンドを実行した後でssoKeystore.jksoamclient-truststore.jksをコピーしなおす必要があります。


12.12 アプリケーション層の構成のバックアップ

ベスト・プラクティスとしては、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。インストールが正常に行われたことを確認したら、バックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。

データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。

インストールをこのポイントにバックアップする手順は次のとおりです。

  1. 第5.5項「Web層の構成のバックアップ」の説明に従って、Web層をバックアップします。

  2. Oracle Access Managerデータベースをバックアップします。これは全データベースのバックアップで、ホット・バックアップかコールド・バックアップになります。お薦めするツールはOracle Recovery Managerです。

  3. 第6.15項「WebLogicドメインのバックアップ」の説明に従って、管理サーバー・ドメイン・ディレクトリをバックアップします。

  4. 第7.7項「Oracle Internet Directory構成のバックアップ」の手順に従い、Oracle Internet Directoryをバックアップします。

  5. 第9.10項「Oracle Virtual Directory構成のバックアップ」の説明に従って、Oracle Virtual Directoryをバックアップします。

アプリケーション層の構成をバックアップする方法の詳細は、第21.4項「バックアップとリカバリの実行」を参照してください。

12.13 Oracle Identity Navigatorの保護されたリソースの作成

Oracle Identity Navigatorの保護されたリソースを作成するには、oamadminアカウントを使用してhttp://admin.mycompany.com/oamconsoleにあるOracle Access Managerコンソールにログインします。次のように実行します。

  1. 「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」を開きます。

  2. リソース」をクリックします。

  3. ツールバーの「作成」(「参照」タブの下)をクリックします。

    次の情報を入力します。

    • タイプ: http

    • ホスト識別子: IDMDomain

    • リソースURL: /oinav

  4. 適用」をクリックします。

  5. ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」「IDMDomainAgent」「認証ポリシー」を展開します。

  6. より上位の保護されているポリシーをクリックします。

  7. 参照」タブの下でツールバーの「編集」をクリックします。

  8. 「リソース」ボックスで、「+」をクリックします。

  9. リストからリソース「/oinav」を選択します。

  10. 適用」をクリックします。

  11. ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」「IDMDomainAgent」「認可ポリシー」を展開します。

  12. 保護されているリソース・ポリシーをクリックします。

  13. 参照」タブの下でツールバーの「編集」をクリックします。

  14. 「リソース」ボックスで、「+」をクリックします。

  15. リストからリソース「/oinav」を選択します。

  16. 適用」をクリックします。