| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
前へ |
次へ |
Oracle Identity Federationは、複数ドメインのアイデンティティ・ネットワークでシングル・サインオンと認証を可能にし、もっとも広範なフェデレーション標準セットをサポートする自己完結型のスタンドアロン・フェデレーション・サーバーです。これにより、ソリューション・セットでその他のOracle Identity Management製品が実装されているかどうかに関係なく、異機種環境間や企業間でのフェデレーションが可能になります。
これは、アイデンティティ・プロバイダ(IdP)およびサービス・プロバイダ(SP)両方の役割を果たすマルチプロトコル・ハブとしてデプロイできます。
Oracle Identity Federationは、SPとして機能することで、帯域外のセキュリティ・ドメイン間でユーザーを同期せずに、実際のユーザー認証をIdPにオフロードしている間のリソース管理を可能にします。IdPで認証されると、SPは、ローカル・アクセス・ポリシーに応じて、そのSPのアプリケーションに対するユーザーのアクセスを許可または拒否できます。
この章の内容は次のとおりです。
Oracle Identity Federationの構成を続行する前に、次が実行済であることを確認してください。
OIFHOST1およびOIFHOST2にドメイン・ディレクトリを作成します。たとえば、/u01/app/oracle/admin/IDMDomain/aserver/IDMDomainとします。Oracle Identity Federationでドメインを拡張する前に、このディレクトリが存在している必要があります。これは、ドライブ文字まで含めたパスをIDMHOST1のパスと同一にする必要のあるWindows環境で特に重要です。
第4.5.4項「Oracle WebLogic Serverのインストール」および第4.5.5項「Oracle Identity Managementのインストール」の手順に従って、OIFHOST1とOIFHOST2にソフトウェアをインストールし、アップグレードします。
第3章「データベース・リポジトリの構成」の手順に従い、リポジトリ作成ユーティリティ(RCU)を実行して、Oracle Identity Federationで使用するスキーマのコレクションを作成し、構成します。
第6章「アイデンティティ管理のためのWebLogicサーバー・ドメインの作成」の手順に従い、アイデンティティ管理ドメインを作成します。
第7章「Oracle Internet Directoryでのドメインの拡張」の手順に従い、Oracle Internet Directoryをインストールし、構成します。『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』は、ユーザー・ストアおよびフェデレーション・ストアとして使用します。
第5章「Web層の構成」の手順に従い、WEBHOST1およびWEBHOST2にOracle HTTP Serverをインストールし、構成します。
第11.3.2項「ポリシーおよび資格証明ストアの再関連付け」の手順に従い、作成したアイデンティティ管理ドメインを外部LDAPストアに関連付けます。Oracle Identity Federationは管理サーバーが実行されていないノード上で拡張されているため、これは必須です。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンに対応したOracle Fusion Middlewareドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
インスタンス・ホームや管理対象サーバー・ドメイン・ディレクトリを共有記憶域にプロビジョニングする場合、第2.4項「共有記憶域と推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームがIDMHOST1にマウントされていることを確認します。
UNIX:
使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート7499がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていない場合は、コマンドから出力は返されません。
UNIX:
netstat -an | grep "7499"
ポートが使用されている(コマンドからポートを識別する出力が返された)場合は、ポートを解放する必要があります。
UNIX:
/etc/servicesファイル内の7499ポートのエントリを削除して、第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってサービスを再起動するか、コンピュータを再起動します。
Disk1/stage/Responseディレクトリから一時ディレクトリにstaticports.iniファイルをコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集し、次のカスタム・ポートを割り当てます。
| ポート | 値 |
|---|---|
|
Oracle Identity Federationサーバー・ポート |
|
次のように、IDM_ORACLE_HOME/binディレクトリにあるOracle Identity Management 11gコンフィギュレーション・アシスタントを起動します。
UNIXでは、次のコマンドを発行します。
./config.sh
Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で、「次へ」をクリックします。
「ドメインの選択」画面で既存ドメインの拡張を選択し、次の値を指定します。
ホスト名: adminvhn.mycompany.com
ポート: 7001
ユーザー名: weblogic
ユーザー・パスワード: weblogic_user_password
「次へ」をクリックします。
ダイアログ・ボックスに次のメッセージが表示されます。
The selected domain is not a valid Identity Management domain or the installer cannot determine if it is a valid domain. If you created the domain using the Identity Management installer, you can ignore this message and continue. If you did not create the domain using the Identity Management installer, refer to the Identity Management documentation for information on how to verify the domain is valid.
この警告は無視してかまいません。
「はい」をクリックして、続行します。
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所: /u01/app/oracle/product/fmw
この値はあらかじめ設定されており、更新できません。
Oracleホーム・ディレクトリ: idm
この値はあらかじめ設定されており、更新できません。
Weblogicサーバー・ディレクトリ: /u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所: /u01/app/oracle/admin/instances/oif_inst1
インスタンス名: oif_inst1
「次へ」をクリックします。
セキュリティ更新の指定画面で、次の例に示す値を指定します。
電子メール・アドレス: My Oracle Supportアカウント用の電子メール・アドレスを指定します。
My Oracle Supportパスワード: My Oracle Supportアカウント用のパスワードを指定します。
「セキュリティ・アップデートをMy Oracle Support経由で受け取ります。」を選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、Oracle Identity Federationのコンポーネントを除くすべてのコンポーネントの選択を解除します。Oracle Identity Federationコンポーネントでは「Oracle Identity Federation」のみを選択します。Oracle HTTP Serverは選択しないでください。「クラスタ」を選択します。
「次へ」をクリックします。
「ポートの構成」画面で、構成ファイルを使用してポートの指定を選択します。一時ディレクトリにコピーしたstaticports.iniファイルへのパスを入力します。
「次へ」をクリックします。
OIF詳細の指定画面で、次の値を指定します。
PKCS12パスワード: Password
パスワードの確認: パスワードを確認するためのものです。
サーバーID: WLS_OIF1
「次へ」をクリックします。
OIF拡張フロー属性の選択画面で、次の値を指定します。
認証タイプ: LDAP
ユーザー・ストア: LDAP
フェデレーション・ストア: LDAP
ユーザー・セッション・ストア: RDBMS(デフォルトで選択されます。クラスタの場合は変更できません)
メッセージ・ストア: RDBMS(デフォルトで選択されます。クラスタの場合は変更できません)
構成ストア: RDBMS(デフォルトで選択されます。クラスタの場合は変更できません)
|
注意: 拡張インストール時にセッション・ストア、メッセージ・ストアおよび構成ストアに |
「次へ」をクリックします。
認証LDAPの詳細画面で、次の値を指定します。
LDAPタイプ: Oracle Virtual Directoryを使用せずにOracle Internet Directoryのみで構成したトポロジの場合は「Oracle Internet Directory」を選択します。それ以外の場合は「Oracle Virtual Directory」を選択します。
LDAP URL: ldaps://host:port形式の、LDAPストアに接続するためのLDAP URL。例: ldaps://idstore.mycompany.com:636
LDAPバインドDN: cn=orcladmin
LDAPパスワード: orcladmin_password
ユーザー資格証明ID属性: uid
ユーザーの一意ID属性: uid
個人オブジェクト・クラス: inetOrgPerson
ベースDN: dc=mycompany,dc=com
「次へ」をクリックします。
ユーザー・データ・ストアのLDAP属性画面で、次の値を指定します。
LDAPタイプ: Oracle Virtual Directoryを使用せずにOracle Internet Directoryのみで構成したトポロジの場合は「Oracle Internet Directory」を選択します。それ以外の場合は「Oracle Virtual Directory」を選択します。
LDAP URL: ldaps://host:port形式の、LDAPストアに接続するためのLDAP URL。例: ldaps://idstore.mycompany.com:636
LDAPバインドDN: cn=orcladmin
LDAPパスワード: orcladmin_password
ユーザーの説明属性: uid
ユーザーID属性: uid
個人オブジェクト・クラス: inetOrgPerson
ベースDN: dc=mycompany,dc=com
「次へ」をクリックします。
フェデレーション・データ・ストアのLDAP属性画面で、次の値を指定します。
|
注意: フェデレーション・データ・ストアは、ユーザーおよびローカル・ユーザー・アカウント・アイデンティティを参照するアイデンティティ・プロバイダ情報の格納に使用します。 この情報は、ユーザー情報とともにアイデンティティ・ストア・ディレクトリに格納する必要があります。複数のアイデンティティ・ストア・ディレクトリを使用している場合は、そのいずれか1つを選択します。 Oracle Virtual Directoryは選択できません。これは、コンフィギュレーション・アシスタントがオブジェクト・クラスをLDAPディレクトリに直接追加する必要があるからです。 |
LDAPタイプ: アイデンティティ情報を格納しているディレクトリに一致するディレクトリ・タイプを選択します。複数のディレクトリ・タイプがある場合は、高い可用性を備えたものを1つ選択します。
LDAP URL: ldaps://host:port形式の、LDAPストアに接続するためのLDAP URLを指定します。例: ldaps://oididstore.mycompany.com:636
LDAPバインドDN: ユーザー・ディレクトリの管理者のバインドDNを入力します。例: cn=orcladmin
LDAPパスワード: orcladmin_password
ユーザー・フェデレーション・レコード・コンテキスト: cn=myfed,dc=mycompany,dc=com
コンテナ・オブジェクト・クラス: LDAPコンテナがまだ存在していない場合に作成する際に、Oracle Identity Federationが使用するユーザー・フェデレーション・レコード・コンテキストのタイプ。このフィールドが空の場合は、この値はapplicationprocessに設定されます。Microsoft Active Directoryの場合は、このフィールドはcontainerに設定する必要があります。
「次へ」をクリックします。
一時ストア・データベースの詳細画面で、次の例に示す値を指定します。
ホスト名: データベースへの接続文字列。次に例を示します。
oiddbhost1-vip.mycompany.com:1521:idmdb1^oiddbhost2-vip.mycompany.com:1521:idmdb2@oidedg.mycompany.com
|
注意:
|
ユーザー名: OIFスキーマのユーザー名。たとえば、edg_oifです。
パスワード: oif_user_password
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認します。適切でない場合は、「戻る」をクリックしてそれまでの画面に戻り、選択内容を変更します。「構成」をクリックします。
「構成の進行状況」画面で、構成の進行状況を確認します。
「構成が完了しました」画面で「終了」をクリックして、終了を選択したことを確認します。
システム、パッチ、カーネルなどの要件が満たされていることを確認します。それらの一覧は、使用しているプラットフォームおよびバージョンのOracle Fusion Middlewareのドキュメント・ライブラリの『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』にあります。
インスタンス・ホームや管理対象サーバー・ドメイン・ディレクトリを共有記憶域にプロビジョニングする場合、第2.4項「共有記憶域と推奨ディレクトリ構造」の説明に従って、適切な共有記憶域ボリュームがIDMHOST1にマウントされていることを確認します。
使用しているオペレーティング・システムに対して次のコマンドを発行して、ポート7499がコンピュータ上の他のサービスに使用されていないことを確認します。ポートが使用されていない場合は、コマンドから出力は返されません。
UNIX:
netstat -an | grep "7499"
ポートが使用されている(コマンドからポートを識別する出力が返された)場合は、ポートを解放する必要があります。
UNIX:
/etc/servicesファイル内の7499ポートのエントリを削除して、第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってサービスを再起動するか、コンピュータを再起動します。
Disk1/stage/Responseディレクトリから一時ディレクトリにstaticports.iniファイルをコピーします。
一時ディレクトリにコピーしたstaticports.iniファイルを編集し、次のカスタム・ポートを割り当てます。
| ポート | 値 |
|---|---|
|
Oracle Identity Federationサーバー・ポート |
|
次のように、IDM_ORACLE_HOME/binディレクトリにあるOracle Identity Management 11gコンフィギュレーション・アシスタントを起動します。
UNIXでは、次のコマンドを発行します。
./config.sh
Windowsでは、config.exeをダブルクリックします。
「ようこそ」画面で、「次へ」をクリックします。
「ドメインの選択」画面で「クラスタを開く」オプションを選択し、これらの値を指定します。
ホスト名: ADMINVHN.mycompany.com
ポート: 7001
ユーザー名: weblogic
ユーザー・パスワード: weblogic_user_password
「次へ」をクリックします。
ダイアログ・ボックスに次のメッセージが表示されます。
The selected domain is not a valid Identity Management domain or the installer cannot determine if it is a valid domain. If you created the domain using the Identity Management installer, you can ignore this message and continue. If you did not create the domain using the Identity Management installer, refer to the Identity Management documentation for information on how to verify the domain is valid.
この警告は無視してかまいません。
「はい」をクリックして、続行します。
「インストール場所の指定」画面で、次の値を指定します。
Oracle Middlewareホームの場所: /u01/app/oracle/product/fmw (この値はあらかじめ設定されており、更新できません。)
Oracleホーム・ディレクトリ: idm (この値はあらかじめ設定されており、更新できません。)
Weblogicサーバー・ディレクトリ: /u01/app/oracle/product/fmw/wlserver_10.3
Oracleインスタンスの場所: /u01/app/oracle/admin/instances/oif_inst2
インスタンス名: oif_inst2
「次へ」をクリックします。
「Oracle Configuration Manager詳細の指定」画面で、次の値を指定します。
電子メール・アドレス: My Oracle Supportアカウント用の電子メール・アドレスです。
My Oracle Supportパスワード: My Oracle Supportアカウント用のパスワードです。
「セキュリティ・アップデートをMy Oracle Support経由で受け取ります。」を選択します。
「次へ」をクリックします。
「コンポーネントの構成」画面で、Oracle Identity Federationのコンポーネントを除くすべてのコンポーネントを選択解除します。Oracle Identity Federationコンポーネントでは「Oracle Identity Federation」のみを選択します。Oracle HTTP Serverは選択しないでください。
「次へ」をクリックします。
「インストール・サマリー」画面で、選択内容が正しいことを確認します。適切でない場合は、「戻る」をクリックしてそれまでの画面に戻り、選択内容を変更します。「構成」をクリックします。
「構成の進行状況」画面で、構成の進行状況を確認します。
「インストール 完了」画面で「終了」をクリックして、終了を選択したことを確認します。
制限上の理由から、Oracle構成ウィザードにより、ドメイン構成がIdentity Management Oracleホームに作成されます。このデプロイメント・ガイドでは、Oracleホームは共有ディスク上にあるので、ドメイン構成をOracleホームと分離することをお薦めしています。この項では、ドメインを分離する方法について説明します。次のように実行します。
OIFHOST1のMW_HOME/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/servers/wls_oif1ディレクトリにあるアプリケーション・ディレクトリを、IDMHOST1上にあるMW_HOME/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/servers/wls_oif1ディレクトリおよびMW_HOME/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/servers/wls_oif2ディレクトリにコピーします。
scp -rpMW_HOME/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/servers/wls_oif1/applicationsuser@IDMHOST1:/ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/servers/wls_oif1/ scp -rpMW_HOME/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/servers/wls_oif1/applicationsuser@IDMHOST1:/ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain/config/fmwconfig/servers/wls_oif2/
IDMHOST1で、ORACLE_COMMON_HOME/common/binディレクトリにあるpackコマンドを使用して、管理対象サーバー・ドメインをパックします。-managed=trueフラグを渡し、管理対象サーバーを必ずパックしてください。次を入力します。
ORACLE_COMMON_HOME/common/bin/pack.sh -managed=true \
-domain=path_to_adminServer_domain -template=templateName.jar \
-template_name=templateName
次に例を示します。
ORACLE_COMMON_HOME/common/bin/pack.sh -managed=true \ -domain=/u01/app/oracle/admin/IDMDomain/aserver/IDMDomain \ -template=/u01/app/oracle/product/fmw/templates/managedServer.jar \ -template_name=ManagedServer_Template
管理対象サーバーのテンプレート・ディレクトリをIDMHOST1からOIFHOST1とOIFHOST2の両方にコピーします。次に例を示します。
OIFHOST1にコピーします。
scp -rp /u01/app/oracle/products/fmw/templates user@OIFHOST1:/u01/app/oracle/products/fmw/templates
OIFHOST2にコピーします。
scp -rp /u01/app/oracle/products/fmw/templates user@OIFHOST2:/u01/app/oracle/products/fmw/templates
ORACLE_COMMON_HOME/common/binディレクトリにあるunpackコマンドを使用して、管理対象サーバーをOIFHOST1上のローカル・ディスクに解凍します。
ORACLE_COMMON_HOME/common/bin/unpack.sh -domain=path_to_domain_on_localdisk \
-template=templateName.jar -app_dir=path_to_appdir_on_localdisk
次に例を示します。
ORACLE_COMMON_HOME/common/bin/unpack.sh \-domain=/u01/app/oracle/admin/IDMDomain/mserver/IDMDomain \ -template=/u01/app/oracle/product/fmw/templates/managedServer.jar \ -app_dir=/u01/app/oracle/admin/IDMDomain/mserver/applications
ORACLE_COMMON_HOME/binディレクトリにあるunpackコマンドを使用して、管理対象サーバーをOIFHOST2上のローカル・ディスクに解凍します。
ORACLE_COMMON_HOME/common/bin/unpack.sh -domain=path_to_domain_on_localdisk \
-template=templateName.jar -app_dir=path_to_appdir_on_localdisk \
-overwrite_domain=true
次に例を示します。
ORACLE_COMMON_HOME/common/bin/unpack.sh \ -domain=/u01/app/oracle/admin/IDMDomain/mserver/IDMDomain \ -template=/u01/app/oracle/product/fmw/templates/managedServer.jar \ -app_dir=/u01/app/oracle/admin/IDMDomain/mserver/applications \ -overwrite_domain=true
OIFHOST1とOIFHOST2の両方で、次のようにsetNMProps.shコマンドを実行します。
cd MW_HOME/oracle_common/common/bin
./setNMProps.sh
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、OIFHOST1とOIFHOST2でノード・マネージャを再起動します。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従って、管理サーバーを再起動します。
ブラウザを起動してhttp://ADMINVHN.mycompany.com:7001/consoleで管理コンソールにアクセスし、管理サーバーが正常に起動したことを確認します。
さらに、ブラウザを起動してhttp://ADMINVHN.mycompany.com:7001/emでOracle Enterprise Manager Fusion Middleware Controlにアクセスし、Enterprise Managerを確認します。
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、管理コンソールを使用してOIFHOST1およびOIFHOST2で管理対象サーバーを再起動します。
OIFHOST1およびOIFHOST2でMW_HOME/admin/IDMDomain/aserverディレクトリを削除します。このディレクトリは、ドメインが最初に構成されたときに、Oracle Universal Installerによって作成されますが、管理対象サーバーをローカル・ディスクにプロビジョニングすると不要になります。
OIFHOST1およびOIFHOST2で、各ホストのSPメタデータとIdPメタデータにアクセスして、Oracle Identity Federationの構成を検証します。
OIFHOST1で次の手順を実行します。
次のURLに移動し、SPメタデータにアクセスします。
http://oifhost1.mycompany.com:7499/fed/sp/metadata
次のURLに移動し、IdPメタデータにアクセスします。
http://oifhost1.mycompany.com:7499/fed/idp/metadata
OIFHOST2で次の手順を実行します。
次のURLに移動し、SPメタデータにアクセスします。
http://oifhost2.mycompany.com:7499/fed/sp/metadata
次のURLに移動し、IdPメタデータにアクセスします。
http://oifhost2.mycompany.com:7499/fed/idp/metadata
このエンタープライズ・デプロイメントでデプロイされたOracle Fusion Middlewareコンポーネントはすべて、Oracle Enterprise Manager Fusion Middleware Controlを使用して管理します。このツールでOracle Identity Federationを管理するには、正しい監視資格証明でEMエージェントを構成する必要があります。OIFHOST1およびOIFHOST2に関連付けられているEMエージェントの資格証明を更新します。次の手順に従って、このタスクを完了します。
Webブラウザを使用して、http://ADMINVHN.mycompany.com:7001/emのOracle Enterprise Manager Fusion Middleware Controlにアクセスします。WebLogicユーザーとしてログインします。
「ファーム」→「エージェントの監視中のターゲット」の下のメニューを使用して、「ドメイン・ホーム」ページから「エージェントの監視中のターゲット」ページに移動します。
ターゲット・タイプIdentity Federationサーバーの「構成」リンクをクリックして「ターゲットの構成」ページに移動します。
「ターゲットの構成」ページで、「エージェントの変更」をクリックして、ホストで適切なエージェントを選択します。
「WebLogic監視ユーザー名」および「WebLogic監視パスワード」を更新します。「WebLogic監視ユーザー名」としてweblogicを入力し、「WebLogic監視パスワード」としてWebLogicユーザーのパスワードを入力します。
「OK」をクリックして変更内容を保存します。
デフォルトでは、Oracle Identity Federationは、高可用性構成で配置されたLDAPサーバーと統合されるようには構成されていません。Oracle Identity Federationを、ユーザー・データ・ストア、フェデレーション・データ・ストアまたは認証エンジンとして機能する高可用性を備えたLDAPサーバーと統合するには、LDAPサーバーの機能に基づいてOracle Identity Federationを構成する必要があります。
次のように実行して、高可用性の構成にデプロイしたLDAPサーバーにOracle Identity Federationを統合します。
IDMHOST1で、環境変数DOMAIN_HOMEおよびIDM_ORACLE_HOMEを管理サーバー・ドメイン・ホームに設定します。
IDMHOST1で、setOIFEnv.shスクリプトを使用して環境を設定します。このスクリプトはIDM_ORACLE_HOME/fed/scriptsディレクトリにあります。
次に例を示します。
IDMHOST1> export DOMAIN_HOME=/u01/app/oracle/admin/IDMDomain/aserver/IDMDomain IDMHOST> export IDM_ORACLE_HOME=IDM_ORACLE_HOME IDMHOST1> cd $IDM_ORACLE_HOME/fed/scripts IDMHOST1> . setOIFEnv.sh
IDMHOST1で、ORACLE_COMMON_HOME/binディレクトリにあるWLSTスクリプトを実行します。
IDMHOST1> cd ORACLE_COMMON_HOME/common/bin
IDMHOST1> ./wlst.sh
いずれかのOracle Identity Federation管理対象サーバーに接続します。
wls:/offline> connect()
そのOracle Identity Federation管理対象サーバーに接続するためのユーザー名とパスワードを入力します。これは、WebLogic管理ユーザーのユーザー名とパスワードと同じです。
このOracle Identity Federation管理対象サーバーに接続するために、次のURLを入力します。
t3://OIFHOST1.mycompany.com:7499
次に、必要に応じて次のプロパティを入力します。
ユーザー・データ・ストアを高可用性を備えたLDAPサーバーと統合するには、datastoreグループのuserldaphaenabledブール型プロパティをtrueに設定します。
wls:/IDMDomain/serverConfig> setConfigProperty('datastore','userldaphaenabled', 'true', 'boolean')
Update was successful for: userldaphaenabled
次を実行して、ユーザー・データ・ストアが高可用性を備えたLDAPストアと統合されたことを検証します。
wls:/IDMDomain/serverConfig> getConfigProperty('datastore', 'userldaphaenabled')
Value(s) for property: true
userldaphaenabledプロパティはtrueを戻す必要があります。
フェデレーション・データ・ストアを高可用性を備えたLDAPサーバーと統合するには、datastoreグループのfedldaphaenabledブール型プロパティをtrueに設定します。
wls:/IDMDomain/serverConfig> setConfigProperty('datastore', 'fedldaphaenabled','true', 'boolean')
Update was successful for: fedldaphaenabled
次を実行して、フェデレーション・データ・ストアが高可用性を備えたLDAPストアと統合されたことを検証します。
wls:/IDMDomain/serverConfig> getConfigProperty('datastore', 'fedldaphaenabled')
Value(s) for property: true
fedldaphaenabledプロパティはtrueを戻す必要があります。
LDAP認証エンジンを高可用性を備えたLDAPサーバーと統合するには、authnenginesグループのldaphaenabledブール型プロパティをtrueに設定します。
wls:/IDMDomain/serverConfig> setConfigProperty('authnengines','ldaphaenabled', 'true', 'boolean')
Update was successful for: ldaphaenabled
次を実行して、LDAP認証エンジンが高可用性を備えたLDAPストアと統合されたことを検証します。
wls:/IDMDomain/serverConfig> getConfigProperty('authnengines','ldaphaenabled')
Value(s) for property: true
authnenginesグループのldaphaenabledプロパティはtrueを戻す必要があります。
|
注意:
|
この項では、Oracle Access Managerを構成してOracle Web Tierと連携する方法について説明します。
この項の内容は次のとおりです。
続行する前に、次の作業が行われたことを確認してください。
Oracle Web TierをWEBHOST1とWEBHOST2にインストールしました。
Oracle Access ManagerをIDMHOST1とIDMHOST2にインストールして構成しました。
WEBHOST1とWEBHOST2のWebサーバーを指すように仮想ホスト名(sso.mycompany.com)でロード・バランサを構成しました。
WEBHOST1とWEBHOST2のWebサーバーを指すように仮想ホスト名(admin.mycompany.com)でロード・バランサを構成しました。
ロード・バランサVIPを使用するようにOracle Identity Federationアプリケーションを構成するには、次の手順に従います。
管理ユーザー(weblogicなど)の資格証明を使用してOracle Enterprise Manager Fusion Middleware Controlコンソールにログインします。
Oracle Enterprise Manager Fusion Middleware ControlでOIFノードに移動します。OIFノードは、ナビゲーション・ツリーの「Identity and Access」にあります。
OIFメニューで、「管理」を選択し、「サーバー・プロパティ」を選択します。
ホスト名をsso.mycompany.comに、ポートを443に変更します。
「SSL有効」を選択します。
「適用」をクリックします。
Oracle Enterprise Manager Fusion Middleware ControlのOIFメニューで、「管理」を選択し、「アイデンティティ・プロバイダ」を選択します。
URLをhttps://sso.mycompany.com:443/fed/idpに変更します。
「適用」をクリックします。
Oracle Fusion Middleware Enterprise Manager ControlのOIFメニューで、「管理」を選択し、「サービス・プロバイダ」を選択します。
URLをhttps://sso.mycompany.com:443/fed/spに変更します。
「適用」をクリックします。
WEBHOST1とWEBHOST2上の各Webサーバーで、oif.confと呼ばれるファイルをORACLE_INSTANCE/config/OHS/component/moduleconfディレクトリに作成します。このファイルを編集し、次の行を追加します。
<Location /fed>
SetHandler weblogic-handler
WLProxySSL ON
WLProxySSLPassThrough ON
WebLogicCluster oifhost1.mycompany.com:7499,oifhost2.mycompany.com:7499
</Location>
第21.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle HTTP Serverを再起動します。
構成が正しい場合は、Webブラウザから次のURLにアクセスできます。
https://sso.mycompany.com/fed/sp/metadata
https://sso.mycompany.com/fed/idp/metadata
アクセスするとメタデータが表示されます。
ベスト・プラクティスとしては、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。インストールが正常に行われたことを確認したら、バックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
インストールをこのポイントにバックアップする手順は次のとおりです。
第5.5項「Web層の構成のバックアップ」の説明に従って、Web層をバックアップします。
データベースをバックアップします。これは全データベースのバックアップで、ホット・バックアップかコールド・バックアップになります。お薦めするツールはOracle Recovery Managerです。
次の手順に従って、アプリケーション層のインスタンスをバックアップします。
ORACLE_INSTANCE/binディレクトリにあるopmnctlを使用してインスタンスを停止します。
ORACLE_INSTANCE/bin/opmnctl stopall
アプリケーション層でMiddlewareホームのバックアップを作成します。Linuxでは、rootユーザーとして次のように入力します。
tar -cvpf BACKUP_LOCATION/apptier.tar MW_HOME
rootユーザーとしてアプリケーション層のインスタンス・ホームのバックアップを作成します。
tar -cvpf BACKUP_LOCATION/instance_backup.tar ORACLE_INSTANCE
ORACLE_INSTANCE/binディレクトリにあるopmnctlを使用してインスタンスを起動します。
ORACLE_INSTANCE/bin/opmnctl startall
第6.15項「WebLogicドメインのバックアップ」の説明に従って、管理サーバー・ドメイン・ディレクトリをバックアップします。
第7.7項「Oracle Internet Directory構成のバックアップ」の手順に従い、Oracle Internet Directoryをバックアップします。
第9.10項「Oracle Virtual Directory構成のバックアップ」の説明に従って、Oracle Virtual Directoryをバックアップします。
