| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
前へ |
次へ |
この章では、Oracle Identity Managementエンタープライズ・デプロイメントで使用するために、Oracle Access Manager 11.1.1のインストールと構成を行う方法について説明します。
この章の内容は次のとおりです。
Oracle Access Managerを使用すると、ユーザーは全社規模でWebアプリケーションおよびその他のITリソースにシームレスにアクセスできます。これによって、集中化および自動化したシングル・サインオン(SSO)ソリューションが実現し、拡張性のある認証手法とそれに関連するワークフローを定義する機能が得られます。また、これは、アクセスをリクエストするユーザーのプロパティとそのリクエストが発生した環境に基づいて、特定のリソースへのアクセス権を付与または拒否する認可エンジンも備えています。このコア機能は、包括的なポリシー管理、監査、ITインフラストラクチャの他のコンポーネントとの統合によって充実したものになります。
Oracle Access Managerは、Oracle Access Managerサーバー(OAMサーバー)、Access Managerコンソール、Webゲートなどのいくつかのコンポーネントで構成されています。OAMサーバーは、エンタープライズ・リソースに対するユーザーのアクセス・リクエストを処理するために必要なサーバー・コンポーネントであり、アクセス・サーバーとアイデンティティ・サーバーの両方の機能を備えています。Access Managerコンソールは、Oracle Access Mangerに対する管理コンソールです。Webゲートは、Oracle Access Managerの実際の強制ポイントとして機能するWebサーバー・エージェントです。エンタープライズ・デプロイメントに必要なOracle Access Managerコンポーネントをインストールして構成するには、この章の手順および第20章「管理コンソールに対するシングル・サインオンの構成」の手順に従います。
この項の内容は次のとおりです。
このガイドで説明しているエンタープライズ・デプロイメントにおいて、Oracle Access ManagerはOracle Internet Directoryを唯一のLDAPリポジトリとして使用しています。Oracle Access Managerでは、1つのLDAPをポリシーと構成のデータで使用します。ユーザー、組織およびグループを格納するアイデンティティ・ストアとして、もう1つのLDAPを構成することもできます。たとえば、1つのOracle Access Managerインスタンスで、ポリシーと構成のストアとしてOracle Internet Directoryを使用し、ユーザーとグループについては、Microsoft Active Directoryのインスタンスを参照するという方法が可能です。
アイデンティティ・ストアのフロントエンドとしてOracle Virtual Directoryを使用し、データソースを仮想化することもできます。
Oracle Access Managerの各種ディレクトリ構成の詳細は、11g Oracle Access ManagerのドキュメントをOracle Technology Networkで参照してください。これらのバリエーションを検討するお客様は、バリエーションに応じてディレクトリ層とOracle Access Managerデプロイメントを調整する必要があります。
Oracle Access Managerを構成する前に、次の作業がIDMHOST1とIDMHOST2で行われたことを確認してください。
第4.5.4項の説明に従って、Oracle WebLogic Serverをインストールします。
第4.5.5項の説明に従って、Identity Managementをインストールします。
第4.5.8項の説明に従って、Oracle Identity and Access Managementをインストールします。
第7章「Oracle Internet Directoryでのドメインの拡張」または第10章「Oracle Internet Directory以外のディレクトリの準備」の説明に従って、アイデンティティ・ストアをインストールします。
必要に応じ、第9章「Oracle Virtual Directoryでのドメインの拡張」の説明に従って、Oracle Virtual Directoryをインストールします。
この項の内容は次のとおりです。
次のコマンドを実行して、構成ウィザードを起動します。
MW_HOME/oracle_common/common/bin/config.sh
次のように実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。「次へ」をクリックします。
WebLogicドメインの選択画面で、ナビゲータを使用して、WebLogic管理サーバーのドメイン・ホーム(たとえば、ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain)を選択します。
「次へ」をクリックします。
「拡張ソースの選択」画面で、データベース・ポリシー・ストアのあるOracle Access Managerを選択します。
「次へ」をクリックします。
Oracle Directory Integration Platformをドメインで構成している場合、「RACマルチ・データ・ソースの構成」画面には、schedulerDSのマルチ・データソースが表示されます。このデータソースは変更しないでください。
「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、データソース「OAM Infrastructure」を選択します。
「次のパネルで選択したデータ・ソースをRACマルチ・データ・ソースとして構成します。」を選択します。
「次へ」をクリックします。
「RACマルチ・データ・ソースの構成」画面:
サービス名: Oracle Access Managerリポジトリが含まれるデータベースのサービス名です(oamedg.mycompany.com)。
ユーザー名: EDG_OAM
パスワード: EDG_OAMユーザーのパスワードです。
右上部のボックスで、「追加」をクリックして、2番目のOracle RACノードを追加します。
ホスト名: OIDDBHOST1-VIP
インスタンス名: idmdb1
ポート: 1521
「追加」を再びクリックして、2番目のデータベース・ホストを追加します。
ホスト名: OIDDBHOST2-VIP
インスタンス名: idmdb2
ポート: 1521
Oracle Database 11.2を使用している場合は、vipのアドレスとポートを11.2 SCANのアドレスとポートに置き換えてください。
「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、ウィザードによりデータ・ソースを検証します。データ・ソースの検証が成功した場合、「次へ」をクリックします。失敗した場合、「前へ」をクリックして問題に対処してから、再試行します。
「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。
「次へ」をクリックします。
「管理対象サーバーの構成」画面を初めて表示すると、構成ウィザードによってデフォルトの管理対象サーバーが作成されます。この時点で、次に示す2つの作業を行う必要があります。
デフォルトの管理対象サーバーに関する値を変更します。
2番目の管理対象サーバーを追加して、値を指定します。
つまり、既存のエントリを変更して新しいエントリを1つ追加する必要があります。
以前のアプリケーション・デプロイメントの一部として構成されている管理対象サーバーの構成は変更しないでください。
デフォルトのOracle Access Managerサーバー(oam_server)のエントリで、次の値を変更します。
名前: WLS_OAM1
Listen address: IDMHOST1
2番目のOracle Access Managerサーバーを追加するには、「追加」をクリックしてから、次の値を入力します。
名前: WLS_OAM2
Listen address: IDMHOST2
Listen port:14100
他のフィールドはすべてデフォルト設定のままにします。
「次へ」をクリックします。
「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成します。次の情報を指定します。
名前: cluster_oam
クラスタのメッセージング・モード: unicast
他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。クラスタ名を右側のペインでクリックします。「サーバー」で管理対象サーバーをクリックしてから矢印をクリックして、これをクラスタに割り当てます。
cluster_oamには、管理対象サーバーWLS_OAM1とWLS_OAM2が割り当てられます。
|
注意: 以前のアプリケーション・デプロイメントの一部として構成されているクラスタの構成は変更しないでください。 |
「次へ」をクリックします。
「マシンの構成」画面で、トポロジにある各ホストに対してマシンを作成します。ホストでLinuxやUnixベースのオペレーティング・システムを使用している場合、「Unix」タブをクリックします。それ以外の場合は、「マシン」をクリックします。次を指定します。
名前: ホスト名です。DNS名を使用することをお薦めします。たとえば、最初のノードと2番目のノードはそれぞれidmhost1.mycompany.comとidmhost2.mycompany.comになります。
ノード・マネージャ・リスニング・アドレス: マシンのDNS名です。たとえば、最初のノードと2番目のノードはそれぞれidmhost1.mycompany.comとidmhost2.mycompany.comになります。
ノード・マネージャ・ポート: ノード・マネージャが使用するポート。
Oracle Directory Integration PlatformやODSMが構成されている場合、マシンにはそれらのホストが存在します。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、作成したマシンごとに実行する管理対象サーバーを指定します。
マシンを右側のペインでクリックします。
そのマシンで実行する管理対象サーバーを左側のペインでクリックします。
矢印をクリックして、管理対象サーバーをマシンに割り当てます。すべての管理対象サーバーをマシンに割り当てるまで、この手順を繰り返します。次に例を示します。
IDMHOST1: WLS_OAM1
IDMHOST2: WLS_OAM2
「次へ」をクリックして、続行します。
「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。
|
注意: 次に示す警告が出力された場合: CFGFWK: Server listen ports in your domain configuration conflict with ports in use by active processes on this host 「OK」をクリックします。 管理対象サーバーが以前のインストールの一部として定義されている場合、この警告が表示されますが、無視してかまいません。 |
「インストール 完了」画面で「完了」をクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってWebLogic管理サーバーを再起動します。
デフォルトでは、管理コンソールのシングル・サインオン機能はIDMDomainエージェントが提供しています。エンタープライズ・デプロイメントではWebゲートでシングル・サインオンを扱うので、IDMDomainエージェントを削除する必要があります。次の手順に従ってIDMDomainエージェントを削除します。
http://admin.mycompany.com/consoleのURLを使用してWebLogicコンソールにログインします。
次を実行します。
「セキュリティ・レルム」を「ドメイン構造」メニューで選択します。
myrealmをクリックします。
「プロバイダ」タブをクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
認証プロバイダのリストで「IAMSuiteAgent」を選択します。
「削除」をクリックします。
「はい」をクリックして、削除を確認します。
「変更のアクティブ化」を「チェンジ・センター」でクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーと実行されているすべての管理対象サーバーを再起動します。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、WebLogic管理サーバーWLS_OAM1を起動します。
起動スクリプトとクラスパス構成を管理サーバーのドメイン・ディレクトリから管理対象サーバーのドメイン・ディレクトリに伝播する手順は次のとおりです。
packコマンドをIDMHOST1で実行して、テンプレート・パックを作成します。次のコマンドを入力します。
IDMHOST1> cd MW_HOME/oracle_common/common/bin IDMHOST1> ./pack.sh -managed=true -domain=ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain -template=MW_HOME/templates/IDMDomain.jar -template_name=IDMDomain_Template
unpackコマンドをIDMHOST1で実行して、伝播されたテンプレートを管理対象サーバーのドメイン・ディレクトリに解凍します。次のコマンドを入力します。
IDMHOST1> ./unpack.sh -domain=ORACLE_BASE/admin/IDMDomain/mserver/IDMDomain/ -template=MW_HOME/templates/IDMDomain.jar -overwrite_domain=true -app_dir=ORACLE_BASE/admin/IDMDomain/mserver/applications
管理対象サーバーWLS_OAM1を再起動します。
この項の内容は次のとおりです。
IDMHOST1における構成が成功すると、構成をIDMHOST2に伝播できます。そのためには、packスクリプトを使用してIDMHOST1でドメインをパックしてから、unpackスクリプトを使用してIDMHOST2で解凍します。両方のスクリプトは、MW_HOME/oracle_common/common/binにあります。
第12.3.3項「管理対象サーバーのドメイン・ディレクトリへのドメイン変更の伝播」の手順1で、MW_HOME/templatesディレクトリにファイルIDMDomain.jarを作成しました。このファイルをIDMHOST2にコピーします。
unpackユーティリティを使用して、ファイルをIDMHOST2で解凍します。
./unpack.sh -domain=ORACLE_BASE/admin/IDMDomain/mserver/IDMDomain -template=MW_HOME/templates/IDMDomain.jar -overwrite_domain=true -app_dir=ORACLE_BASE/admin/IDMDomain/mserver/applications
まだIDMHOST2でノード・マネージャを起動していない場合は、次の手順でこれを起動します。
ノード・マネージャをIDMHOST2で起動して、nodemanager.propertiesファイルを作成します。そのためには、MW_HOME/wlserver_10.3/server/binディレクトリの下にあるstartNodemanager.shスクリプトを使用します。
コンソールを使用して管理対象サーバーを起動するには、ノード・マネージャでStartScriptEnabledプロパティをtrueに設定する必要があります。MW_HOME/oracle_common/common/binディレクトリの下にあるsetNMProps.shスクリプトを実行することで設定します。
prompt> MW_HOME/oracle_common/common/bin
prompt> ./setNMProps.sh
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、ノード・マネージャをいったん停止してから起動します。これによって、これらのプロパティが有効になります。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の起動手順を実行して、IDMHOST2上で次を対象としてOracle Access Managerを起動します。
ノード・マネージャ(起動していない場合)
WebLogic管理対象サーバーWLS_OAM1
この項では、Oracle Access Managerを構成してOracle Web Tierと連携する方法について説明します。
この項の内容は次のとおりです。
続行する前に、次の作業が行われたことを確認してください。
第5.1項「Oracle Web Tierの構成」の手順に従い、WEBHOST1とWEBHOST2でOracle Web Tierを構成します。
第12.3項「IDMHOST1におけるOracle Access Managerの構成」および第12.4項「IDMHOST2におけるOracle Access Managerの構成」の手順に従い、IDMHOST1とIDMHOST2でOracle Access Managerを構成します。
第2.2.2項「ロード・バランサの仮想サーバー名とポートの構成」の手順に従い、WEBHOST1とWEBHOST2のWebサーバーにトラフィックをルーティングするロード・バランサを仮想ホスト名(sso.mycompany.com)で構成します。
第2.2.2項「ロード・バランサの仮想サーバー名とポートの構成」の手順に従い、WebサーバーWEBHOST1とWEBHOST2にトラフィックをルーティングするロード・バランサを仮想ホスト名(admin.mycompany.com)で構成します。
WEBHOST1とWEBHOST2上の各Webサーバーで、oam.confと呼ばれるファイルをORACLE_INSTANCE/config/OHS/component/moduleconfディレクトリに作成します。
このファイルには次の情報が記載されている必要があります。
<Location /oam>
SetHandler weblogic-handler
WebLogicCluster idmhost1.mycompany.com:14100,idmhost2.mycompany.com:14100
</Location>
WEBHOST1とWEBHOST2上の各Webサーバーで、admin.confと呼ばれるファイルがORACLE_INSTANCE/config/OHS/component/moduleconfディレクトリに作成されました。(第6.9項「WebLogic管理サーバー用Oracle HTTP Serverの構成」を参照してください。)このファイルを編集して、次の行を仮想ホスト定義内に追加します。
<Location /oamconsole> SetHandler weblogic-handler WebLogicHost ADMINVHN WebLogicPort 7001 </Location>
ファイルを編集すると、次のようになります。
NameVirtualHost *:80
<VirtualHost *:80>
ServerName admin.mycompany.com:80
ServerAdmin you@your.address
RewriteEngine On
RewriteOptions inherit
RewriteRule ^/console/jsp/common/logout.jsp /oamsso/logout.html [PT]
RewriteRule ^/em/targetauth/emaslogout.jsp /oamsso/logout.html [PT]
# Admin Server and EM
<Location /console>
SetHandler weblogic-handler
WebLogicHost ADMINVHN
WeblogicPort 7001
</Location>
<Location /consolehelp>
SetHandler weblogic-handler
WebLogicHost ADMINVHN
WeblogicPort 7001
</Location>
<Location /em>
SetHandler weblogic-handler
WebLogicHost ADMINVHN
WeblogicPort 7001
</Location>
<Location /oamconsole>
SetHandler weblogic-handler
WebLogicHost ADMINVHN
WebLogicPort 7001
</Location>
</VirtualHost>
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。
URL: https://sso.mycompany.com/oamを使用して、Oracle Access Managerアプリケーションへのアクセスを試みます。
Oracle Access Managerの画面が表示されます。「Action Failed」というメッセージが表示されます。ここでテストしていることは、Oracle Access Managerサーバーがロード・バランサを介してアクセスできることのみので、このメッセージは無視してかまいません。
http://admin.mycompany.com/oamconsoleでOAMコンソールにアクセスします。
この項の内容は次のとおりです。
Oracle Access Managerは、デフォルトでオープン・セキュリティ・モデルを使用するように構成されています。多くのアプリケーションは、より高度なセキュリティを備えた、互いに異なるセキュリティ・モデルを必要とします。
セキュリティ・モデルを変更するには、次の手順を実行します。
次のURLでOAMコンソールにログインします。
http://admin.mycompany.com/oamconsole
ここではWebLogic管理ユーザーとしてログインします。次の手順を実行します。
「システム構成」タブをクリックします。
「共通構成」セクションで、「サーバー・インスタンス」を開きます。
Oracle Access Managerサーバー(WLS_OAM1など)をクリックして、「アクション」メニューで「開く」を選択します。
モードを目的のセキュリティ・モデル(「簡易」など)に変更します。
「適用」をクリックします。
「編集の確認」ダイアログが表示されます。
OAM Server instance wls_oam1 might be in use, are you sure you want to edit it?
「はい」を選択します。
Oracle Access Managerサーバーごとにこの手順を繰り返します。
「Access Managerの設定」セクションの「Access Managerの設定」をクリックします。
「オープン」を「アクション」メニューで選択します。Access Managerの設定が表示されます。
セキュリティ・モードを「簡易」に変更した場合は、グローバル・パスフレーズを指定します。
セキュリティ・モードを「証明書モード構成」に変更した場合は、キーストアの詳細を指定します。
「適用」をクリックします。
「システム構成」タブをクリックします。
「Access Managerの設定」→「SSOエージェント」を開きます。
「OAMエージェント」をクリックし、「アクション」メニューで「開く」を選択します。
「検索」ウィンドウで「検索」をクリックします。
検索結果で「IAMSuiteAgent」をクリックします。エージェントのプロパティが表示されます。
「セキュリティ」の値を新しいセキュリティ・モデルに設定します。
「適用」をクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、管理対象サーバーWLS_OAM1およびWLS_OAM2を再起動します。
これで初期インストールとセキュリティ・モデルの設定が完了したので、次のタスクを実行する必要があります。
外部LDAPディレクトリ(idstore.mycompany.com)を使用するようにOracle Access Managerを構成する必要があります。
Oracle Access Manager Webゲート・エージェントを作成する必要があります。
idmConfigToolを使用して、次のタスクを実行します。
IDMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOME、IDM_HOMEおよびORACLE_HOMEを設定します。
IDM_HOMEをIDM_ORACLE_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
次の内容でプロパティ・ファイルconfig_oam1.propsを作成します。
WLSHOST: adminvhn.mycompany.com WLSPORT: 7001 WLSADMIN: weblogic IDSTORE_HOST: idstore.mycompany.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_OAMSOFTWAREUSER: oamLDAP IDSTORE_OAMADMINUSER: oamadmin PRIMARY_OAM_SERVERS: idmhost1.mycompany.com:5575,idmhost2.mycompany.com:5575 WEBGATE_TYPE: ohsWebgate10g ACCESS_GATE_ID: Webgate_IDM OAM11G_IDM_DOMAIN_OHS_HOST:sso.mycompany.com OAM11G_IDM_DOMAIN_OHS_PORT:443 OAM11G_IDM_DOMAIN_OHS_PROTOCOL:https OAM11G_OAM_SERVER_TRANSFER_MODE:simple OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp OAM11G_WG_DENY_ON_NOT_PROTECTED: false OAM11G_SERVER_LOGIN_ATTRIBUTE: uid OAM_TRANSFER_MODE: simple COOKIE_DOMAIN: .mycompany.com OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators OAM11G_SSO_ONLY_FLAG: false OAM11G_OIM_INTEGRATION_REQ: false OAM11G_SERVER_LBR_HOST:sso.mycompany.com OAM11G_SERVER_LBR_PORT:443 OAM11G_SERVER_LBR_PROTOCOL:https OAM11G_OIM_WEBGATE_PASSWD: password to be assigned to WebGate COOKIE_EXPIRY_INTERVAL: 120
変数の意味は次のとおりです。
WLSHOSTおよびWLSPORTは、それぞれ管理サーバーのホストとポートです。これは仮想名です。
WLSADMINは、WebLogicコンソールへのログインで使用するWebLogic管理ユーザーです。
IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
IDSTORE_OAMSOFTWAREUSERは、LDAPとの対話処理で使用するために第11.4.2項「Oracle Access Manager用のユーザーとグループの作成」で作成したユーザーの名前です。
IDSTORE_OAMADMINUSERは、OAMコンソールにアクセスするために第11.4.2項「Oracle Access Manager用のユーザーとグループの作成」で作成したユーザーの名前です。
PRIMARY_OAM_SERVERSは、Oracle Access Managerサーバーとそれが使用するプロキシ・ポートのカンマ区切りリストです。
|
注意: OAMサーバーが使用しているプロキシ・ポートを確認する手順は次のとおりです。
|
ACCESS_GATE_IDは、Webゲートに割り当てる名前です。
OAM11G_OIM_WEBGATE_PASSWDは、Webゲートに割り当てるパスワードです。
OAM11G_IDM_DOMAIN_OHS_HOSTは、OHSの前に配置したロード・バランサの名前です。
OAM11G_IDM_DOMAIN_OHS_PORTは、ロード・バランサでリスニングするポートです。
OAM11G_IDM_DOMAIN_OHS_PROTOCOLは、ロード・バランサでリクエストを送るときに使用するプロトコルです。
OAM11G_WG_DENY_ON_NOT_PROTECTEDは、falseに設定すると、ログイン・ページを表示できます。
OAM_TRANSFER_MODEは、Oracle Access Managerサーバーが機能するセキュリティ・モデルです。これは、第12.6.1項「Oracle Access Managerのセキュリティ・モデルの変更」で定義されます。
OAM11G_OAM_SERVER_TRANSFER_MODEは、Oracle Access Managerサーバーが機能するセキュリティ・モデルです。これは、第12.6.1項「Oracle Access Managerのセキュリティ・モデルの変更」で定義されます。
OAM11G_IDM_DOMAIN_LOGOUT_URLSは、様々なログアウトURLに設定されます。
OAM11G_SSO_ONLY_FLAGは、認証専用モードまたは標準モード(認証と認可をサポート)としてOracle Access Manager 11gを構成します。
OAM11G_SSO_ONLY_FLAGをtrueに設定すると、Oracle Access Manager 11gサーバーは認証専用モードで動作します。この場合、デフォルトではすべての認可でポリシー検証が実行されずにtrueが戻されます。このモードでは、認可の処理に伴うオーバーヘッドがサーバーに発生しません。認可ポリシーに依存せず、Oracle Access Managerサーバーの認証機能のみを必要とするアプリケーションでは、このモードをお薦めします。
この値をfalseに設定すると、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でOracle Access Managerサーバーに対する認可リクエストが1つ以上発生します。Webゲートを使用すると、Oracle Access Managerサーバーからの応答に基づいて、リクエストされたリソースへのアクセスを許可または拒否できます。
OAM11G_SERVER_LBR_HOSTは、サイトの前面に配置するロード・バランサの名前です。この値と次の2つのパラメータを使用してログインURLを構成します。
OAM11G_SERVER_LBR_PORTは、ロード・バランサでリスニングするポートです。
OAM11G_SERVER_LBR_PROTOCOLは、使用するURL接頭辞です。
OAM11G_OIM_INTEGRATION_REQは、現時点ではfalseに設定します。この値はOracle Access ManagerとOracle Identity Managerとの統合を実行するときにのみtrueに設定され、その統合段階の間値が維持されます。
COOKIE_DOMAINは、Webゲートが機能するドメインです。
WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。
OAM11G_IDSTORE_NAMEは、アイデンティティ・ストアの名前です。このツールでアイデンティティ・ストアを新規に作成せず、すでに運用中のアイデンティティ・ストアを再利用する場合は、このパラメータの値をその再利用するアイデンティティ・ストアの名前に設定します。
次の場所のidmConfigToolコマンドを使用してOracle Access Managerを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOAM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOAM input_file=configfile
次に例を示します。
idmConfigTool.sh -configOAM input_file=config_oam1.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、次のアカウントに割り当てるパスワードも指定するよう求められます。
IDSTORE_PWD_OAMSOFTWAREUSER
IDSTORE_PWD_OAMADMINUSER
コマンドの出力例:
Enter ID Store Bind DN password: Enter User Password for WLSPASSWD: Confirm User Password for WLSPASSWD: Enter User Password for OAM11G_IDM_DOMAIN_WEBGATE_PASSWD: Confirm User Password for OAM11G_IDM_DOMAIN_WEBGATE_PASSWD: Enter User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Confirm User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Enter User Password for IDSTORE_PWD_OAMADMINUSER: Confirm User Password for IDSTORE_PWD_OAMADMINUSER: The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってWebLogic管理サーバーを再起動します。
|
注意:
|
Oracle Access Managerで構成したデータ・ストアが、Oracle Virtual Directoryで使用している検索ベースdc=mycompany,dc=comを参照することを確認します。
次の手順に従って、この検索ベースを更新します。
http://admin.mycompany.com/oamconsoleのOAMコンソールにログインします。
「システム構成」をクリックします。
「共通構成」を開きます。
「データソース」を開きます。
「ユーザー・アイデンティティ・ストア」を開きます。
Oracle Virtual Directoryで使用しているストアをダブルクリックします。
「ユーザー検索ベース」フィールドと「グループ検索ベース」フィールドの値がdc=mycompany,dc=comであることを確認します。
ここまでの操作が正しいことを確認する手順は次のとおりです。
次のURLでOAMコンソールにアクセスします。
http://admin.mycompany.com/oamconsole
第11.4.2項「Oracle Access Manager用のユーザーとグループの作成」で作成した、Oracle Access Managerの管理ユーザーとしてログインします。
「システム構成」タブをクリックします。
「Access Managerの設定」→「SSOエージェント」→「OAMエージェント」を開きます。
フォルダを開くアイコンをクリックして「検索」をクリックします。
第12.6.2項「IDM自動化ツールを使用したOracle Access Managerの構成」で作成したWebゲート・エージェントWebgate_IDMが表示されます。
最初の構成を作成した後に、その構成を編集して、高度な構成エントリを追加します。
「システム構成」タブを選択します。
ディレクトリ・ツリーで「Access Managerの設定」→「SSOエージェント」→「OAMエージェント」を選択します。フォルダを開くアイコンをダブルクリックするか選択します。
表示された検索ページで、「検索」をクリックして空の検索を実行します。
エージェントWebgate_IDMをクリックします。
「アクション」メニューで「開く」を選択します。
次の情報を更新します。
保護されていない場合に拒否: 選択を解除します。
プライマリ・サーバーのリストに表示されているすべてのOracle Access Managerサーバーについて、「最大接続数」を4に設定します。
「適用」をクリックします。
「ポリシー構成」タブをクリックします。
「ホスト識別子」にある「IAMSuiteAgent」をダブルクリックします。
「操作」ボックスの中の「+」をクリックします。
次の情報を入力します。
ホスト名: admin.mycompany.com
ポート: 80
「適用」をクリックします。
デフォルトのOracle Access Managerでは、LDAPで属性cnの値をチェックすることでユーザー名を検証します。ほとんどの場合、Oracle Access Managerではかわりにuidフィールドを使用してユーザーを検証する必要があります。
cnフィールドではなく、uidフィールドを使用して検証するようにOracle Access Managerを変更するには、次の手順を実行します。
次のURLでOAMコンソールにログインします。
http://admin.mycompany.com/oamconsole
「システム構成」タブをクリックします。
「データソース」→「ユーザー・アイデンティティ・ストア」を開きます。
「OIMIDStore」をクリックします。
「開く」をクリックします。
「ユーザー名」属性をuidに変更します。
「適用」をクリックします。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、管理対象サーバーwls_oam1とwas_oam2を再起動します。
oamadminグループはOracle Access Manager管理者グループに割り当てられ、さらにOracle Access Manager管理者グループはアクセス・システム管理者グループに割り当てられます。一方、Fusionアプリケーションでは、oamadminユーザーが明示的に該当のロールに追加されていることが必要です。これを行うには、次の手順を実行します。
次のURLでOAMコンソールにログインします。
http://admin.mycompany.com/oamconsole
「システム構成」タブをクリックします。
「データソース」→「ユーザー・アイデンティティ・ストア」を開きます。
「OIMIDStore」をクリックします。
「開く」をクリックします。
「アクセス・システム管理者」の隣にある「+」記号をクリックします。
検索ボックスにoamadminと入力して「検索」をクリックします。
戻された「oamadmin」の行をクリックして、「選択済の追加」をクリックします。
「適用」をクリックします。
oamtestツールを使用してOracle Access Managerを検証できます。このためには、次の手順を実行します。
環境にJAVA_HOMEが設定されていることを確認します。
PATHにJAVA_HOME/binを追加します。たとえば、次のように指定します。
export PATH=$JAVA_HOME/bin:$PATH
次のディレクトリに移動します。
IAM_HOME/oam/server/tester
次のコマンドを使用して、ターミナル・ウィンドウでこのテスト・ツールを起動します。
java -jar oamtest.jar
OAMテスト・ツールが起動したら、ページの「サーバー接続」セクションで次の情報を入力します。
プライマリIPアドレス: idmhost1.mycompany.com
ポート: 5575
エージェントID: Webgate_IDM
エージェント・パスワード: webgate password
|
注意: 簡易モードを構成している場合は、「簡易」を選択してグローバル・パスフレーズを指定する必要があります。 |
「接続」をクリックします。
ステータスのウィンドウには次のように表示されます。
[reponse] Connected to primary access server
保護されているリソースのURIセクションで次の情報を入力します。
スキーム: http
ホスト: admin.mycompany.com
ポート: 80
リソース: /oamconsole
「検証」をクリックします。
ステータスのウィンドウには次のように表示されます。
[request][validate] yes
「ユーザー・アイデンティティ」ウィンドウで次の情報を入力します。
ユーザー名: oamadmin
パスワード: oamadmin password
認証をクリックします。
ステータスのウィンドウには次のように表示されます。
[response][authenticate] yes
「認可」をクリックします。
ステータスのウィンドウには次のように表示されます。
[response][authenticate] yes
テストの実行例を次に示します。
トポロジにあるすべてのアクセス・サーバーで、サーバーごとに接続の詳細を変更して、このテストを繰り返します。
Oracle Identity ManagerやOracle Adaptive Access Managerなどその他のコンポーネントをOracle Access Managerに統合し、Oracle Access Managerで簡易セキュリティ・トランスポート・モデルを使用している場合は、これらのコンポーネントで使用できるキーストアを生成する必要があります。この項では、そのための方法を簡単に説明します。ここではIDMHOST1でこれを実行します。
この項の内容は次のとおりです。
このファイルを作成するには、JDK(Java Development Kit)に付属しているkeytoolというツールを使用します。次のコマンドを実行する前に、JDKがパスにあることを確認します。次に例を示します。
export JAVA_HOME=MW_HOME/jrockit_160_24_D1.1.2-4 export PATH=$JAVA_HOME/bin:$PATH
まず、次のコマンドを実行します。
keytool -genkey -alias alias_name -keystore PathName_to_Keystore -storetype JKS
このコマンドでは、キーストアのパスワードが要求されます。このパスワードは、Oracle Access Managerサーバーで使用しているグローバル・パスフレーズと同じであることが必要です。このコマンドでは、ユーザーと組織の情報も要求されます。該当の情報を入力します。
例:
keytool -genkey -alias oam -keystore oamclient-truststore.jks -storetype JKS
出力例:
Enter keystore password: Re-enter new password: What is your first and last name? [Unknown]: John Doe What is the name of your organizational unit? [Unknown]: MAA What is the name of your organization? [Unknown]: Oracle What is the name of your City or Locality? [Unknown]: Redwood Shores What is the name of your State or Province? [Unknown]: CA What is the two-letter country code for this unit? [Unknown]: US Is CN=John Doe, OU=MAA, O=Oracle, L=Redwood Shores, ST=CA, C=US correct? [no]: yes Enter key password for <oam> (RETURN if same as keystore password): Re-enter new password:
続いて、次のコマンドを実行します。
keytool -delete -alias alias_name -keystore oamclient-truststore.jks -storetype JKS
次に例を示します。
keytool -delete -alias oam -keystore oamclient-truststore.jks -storetype JKS
このコマンドでは、前に入力したキーストアのパスワードが要求されます。
Oracle Access Manager 11gには自己署名の認証局が付属しており、これを簡易モードで使用して、アクセス・クライアント向けの証明書を発行します。ここで作成したキーストアに、この証明書を追加する必要があります。
この証明書は、IAM_ORACLE_HOME/oam/server/configディレクトリにあるcacert.derファイルに収められています。次のコマンドを実行して、PEM/DER形式のCA証明書をトラスト・ストアにインポートします。LinuxおよびUNIXベースのシステムでは次のように入力します。
keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
Windowsでは次のように入力します。
keytool -import -file IAM_ORACLE_HOME\oam\server\config\cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
要求されたらキーストアのパスワードを入力します。
例:
keytool -importcert -file /IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore oamclient-truststore.jks -storetype JKS
出力例:
Enter keystore password: Owner: CN=NetPoint Simple Security CA - Not for General Use, OU=NetPoint, O="Oblix, Inc.", L=Cupertino, ST=California, C=US Issuer: CN=NetPoint Simple Security CA - Not for General Use, OU=NetPoint, O="Oblix, Inc.", L=Cupertino, ST=California, C=US Serial number: 0 Valid from: Wed Apr 01 05:57:22 PDT 2009 until: Thu Mar 28 05:57:22 PDT 2024 Certificate fingerprints: MD5: 05:F4:8C:84:85:37:DB:E3:66:87:EF:39:E0:E6:B2:3F SHA1: 97:B0:F8:19:7D:0E:22:6B:40:2A:73:73:1B:27:B2:7B:8D:64:82:21 Signature algorithm name: MD5withRSA Version: 1 Trust this certificate? [no]: yes Certificate was added to keystore
第12.6.2項「IDM自動化ツールを使用したOracle Access Managerの構成」でidmConfigToolコマンドを実行したときに、SSL証明書と秘密鍵が生成されています。このSSL証明書と鍵は、クライアントがOracle Access Managerと簡易モードで通信するために必要です。これらのファイルの名前は、それぞれaaa_cert.pemおよびaaa_key.pemです。これらは、IDMHOST1のDOMAIN_HOME/output/Webgate_IDMディレクトリにあります。DOMAIN_HOMEは、管理サーバーのドメイン・ホームです。
次のコマンドを実行して、証明書と鍵のファイルをキーストアoamclient-truststore.jskにインポートします。
次のディレクトリにあるファイルimportcert.zipを解凍します。
IAM_ORACLE_HOME/oam/server/tools/importcert
次に例を示します。
cd IAM_ORACLE_HOME/oam/server/tools/importcert
unzip importcert.zip
次のコマンドを実行します。
openssl pkcs8 -topk8 -nocrypt -in DOMAIN_HOME/output/Webgate_IDM/aaa_key.pem -inform PEM -out aaa_key.der -outform DER
このコマンドではパスフレーズが要求されます。パスワードとしてグローバル・パスフレーズを入力します。このコマンドでは、その実行場所であるディレクトリにaaa_key.derファイルが作成されます。
例:
openssl pkcs8 -topk8 -nocrypt -in /u01/app/oracle/admin/IDMDomain/aserver/IDMDomain/output/Webgate_IDM/aaa_key.pem -inform PEM -out aaa_key.der -outform DER Enter pass phrase for oamclient-truststore.jks:
続いて、次のコマンドを実行します。
openssl x509 -in /u01/app/oracle/admin/IDMDomain/aserver/IDMDomain/output/Webgate_IDM/aaa_cert.pem -inform PEM -out aaa_cert.der -outform DER
このコマンドでは、その実行場所であるディレクトリにaaa_cert.derファイルが作成されます。このコマンドでは出力が生成されません。
次のコマンドを実行します。
java -cp IAM_ORACLE_HOME/oam/server/tools/importcert/importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore ssoKeystore.jks -privatekeyfile aaa_key.der -signedcertfile aaa_cert.der -storetype jks -genkeystore yes
このコマンドでは、その実行場所であるディレクトリにssoKeystore.jksファイルが作成されます。
このコマンドで、aaa_key.derとaaa_cert.derは、それぞれDER形式の秘密鍵と証明書のペアです。
出力例:
Enter keystore password as prompted. This MUST be same as global pass phrase. The files ssoKeystore.jks and oamclient-truststore.jks can now be used to allow clients to connect to OAM.
新しく生成したssoKeystore.jksにCA証明書を追加します。LinuxまたはUNIXでは次のように入力します。
keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
Windowsでは次のように入力します。
keytool -import -file IAM_ORACLE_HOME\oam\server\config\cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
要求されたらキーストアのパスワードを入力します。次に例を示します。
keytool -importcert -file /IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore ssoKeystore.jks -storetype JKS
|
注意:
|
ベスト・プラクティスとしては、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。インストールが正常に行われたことを確認したら、バックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
インストールをこのポイントにバックアップする手順は次のとおりです。
第5.5項「Web層の構成のバックアップ」の説明に従って、Web層をバックアップします。
Oracle Access Managerデータベースをバックアップします。これは全データベースのバックアップで、ホット・バックアップかコールド・バックアップになります。お薦めするツールはOracle Recovery Managerです。
第6.15項「WebLogicドメインのバックアップ」の説明に従って、管理サーバー・ドメイン・ディレクトリをバックアップします。
第7.7項「Oracle Internet Directory構成のバックアップ」の手順に従い、Oracle Internet Directoryをバックアップします。
第9.10項「Oracle Virtual Directory構成のバックアップ」の説明に従って、Oracle Virtual Directoryをバックアップします。
アプリケーション層の構成をバックアップする方法の詳細は、第21.4項「バックアップとリカバリの実行」を参照してください。
Oracle Identity Navigatorの保護されたリソースを作成するには、oamadminアカウントを使用してhttp://admin.mycompany.com/oamconsoleにあるOracle Access Managerコンソールにログインします。次のように実行します。
「ナビゲーション」ウィンドウで「アプリケーション・ドメイン」→「IDMDomainAgent」を開きます。
「リソース」をクリックします。
ツールバーの「作成」(「参照」タブの下)をクリックします。
次の情報を入力します。
タイプ: http
ホスト識別子: IDMDomain
リソースURL: /oinav
「適用」をクリックします。
ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→「IDMDomainAgent」→「認証ポリシー」を展開します。
より上位の保護されているポリシーをクリックします。
「参照」タブの下でツールバーの「編集」をクリックします。
「リソース」ボックスで、「+」をクリックします。
リストからリソース「/oinav」を選択します。
「適用」をクリックします。
ナビゲーション・ウィンドウで、「アプリケーション・ドメイン」→「IDMDomainAgent」→「認可ポリシー」を展開します。
保護されているリソース・ポリシーをクリックします。
「参照」タブの下でツールバーの「編集」をクリックします。
「リソース」ボックスで、「+」をクリックします。
リストからリソース「/oinav」を選択します。
「適用」をクリックします。
