| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11gリリース1(11.1.1.5) B61378-02 |
|
前へ |
次へ |
Oracle Identity Managementは、アイデンティティ管理のあらゆる面に対応する総合的な製品スイートです。本ガイドでは、Oracle Fusion MiddlewareのOracle Identity Managementインフラストラクチャのコンポーネントに関連する、4つの参照用エンタープライズ・トポロジについて説明します。また、エンタープライズ・デプロイメントのガイドラインに沿ってトポロジを作成するための詳しい手順と推奨事項についても説明します。
この章の内容は次のとおりです。
エンタープライズ・デプロイメントは、定評のあるOracle高可用性テクノロジとOracle Fusion Middlewareに関する推奨事項に基づいた、Oracleベスト・プラクティスの青写真です。このマニュアルに示す高可用性ベスト・プラクティスは、Oracle Database、Oracle Fusion Middleware、Oracle Applications、Oracle Collaboration Suite、Oracle Grid Controlなど、技術スタック全体におよぶOracle製品を対象とした様々な高可用性ベスト・プラクティスの1つです。
Oracle Fusion Middlewareのエンタープライズ・デプロイメントの特長は、次のとおりです。
様々な業務のサービス・レベル合意(SLA)を考慮して、高可用性ベスト・プラクティスをできるかぎり広範囲に適用できるようにします。
データベース・グリッド・サーバーと低コストのストレージを使用したストレージ・グリッドを活用し、回復力に優れた低コストのインフラストラクチャを提供します。
様々な構成を対象とする広範なパフォーマンス影響調査の結果を利用し、ビジネス・ニーズに応じて実行およびスケールできるように高可用性アーキテクチャを最適に構成することができます。
停止状態からのリカバリ時間と自然災害時に許容可能なデータ損失量を制御できます。
各Oracleバージョンと共に内容が向上し、ハードウェアとオペレーティング・システムからは完全に独立しています。
高可用性ベスト・プラクティスの詳細は、次のWebサイトを参照してください。
http://www.oracle.com/technetwork/database/features/availability/maa-090890.html
表1-1に、Oracle Fusion Middleware環境のアーキテクチャを示すいくつかの用語の定義を示します。
表1-1 Oracle Fusion Middlewareアーキテクチャの用語
このマニュアルで取り上げるOracle Fusion Middleware構成は、すべてのトランザクションのセキュリティの確保、ハードウェア・リソースの最大化、および各種アプリケーションを使用するエンタープライズ・コンピューティングのための標準に準拠した信頼性の高いシステムの提供を目的としています。Oracle Fusion Middleware構成のセキュリティと高可用性のメリットは、ファイアウォール・ゾーンにおける分離とソフトウェア・コンポーネントのレプリケーションによって実現されます。
この項の内容は次のとおりです。
エンタープライズ・デプロイメント・アーキテクチャのセキュリティは、ソフトウェア・コンポーネントのすべての機能グループが各グループ固有のDMZに分離され、すべてのトラフィックがプロトコルとポートによって制限されることによって確保されます。次の特性によって、必要な全レベルのセキュリティが確保されるとともに、標準への高水準での準拠が保証されます。
ポート80で受信するすべての外部通信がポート443にリダイレクトされます。
外部との通信には、Secure Socket Layer (SSL)セキュアWebプロトコルを使用します。この通信はサイトのロード・バランサで終了します。
外部クライアントからの通信は、ロード・バランシング・ルーター・レベルを超えません。
ロード・バランシング・ルーターからデータ層DMZへの直接的な通信は許可されません。
コンポーネントは、Web層、アプリケーション層およびディレクトリ層の各DMZ間で分離されます。
2つのファイアウォール間の直接的な通信は常に禁止されます。
1つのファイアウォール・ゾーンで通信が開始された場合、その通信は次のファイアウォール・ゾーンで終了する必要があります。
Oracle Internet Directoryはディレクトリ層DMZに分離されます。
アイデンティティ管理コンポーネントはアプリケーション層DMZ内に配置されます。
DMZをまたぐすべてのコンポーネント間通信は、ファイアウォールのルールに従い、ポートとプロトコルによって制限されます。
Oracle Identity Managementは、個別または集合で使用できる多数のアプリケーションから構成されます。アイデンティティ管理のエンタープライズ・デプロイメント・ガイドでは、4種類のエンタープライズ・トポロジを構築できます。この項では、トポロジの図を示します。
|
関連項目: Oracle Fusion Applicationsのシステム要件とサポートされるプラットフォーム・ドキュメント。 |
図1-1は、Oracle Access Manager 11gトポロジのダイアグラムです。
図1-2は、Oracle Access Manager 11gおよびOracle Identity Manager 11gのトポロジの図です。
図1-3は、Oracle Adaptive Access Manager 11gトポロジのダイアグラムです。
図1-4は、Oracle Identity Federation 11gのトポロジの図です。
トポロジは3つの製品層で構成されます。この項では、次の項目について説明します。
この項の内容は次のとおりです。
ディレクトリ層はイントラネット・ゾーンにあります。ディレクトリ層は、すべてのLDAPサービスが配置されるデプロイメント層です。この層には、Oracle Internet DirectoryやOracle Virtual Directoryなどの製品が含まれています。ディレクトリ層は、エンタープライズLDAPサービスをサポートするディレクトリ管理者によって管理されます。ディレクトリ層はデータ層と密接に関連しています。データ層へのアクセスは、次の理由により重要です。
Oracle Internet Directoryは、そのバックエンドとしてOracle Databaseに依存しています。
Oracle Virtual Directoryでは、他のLDAPサービスまたはデータベース(あるいはその両方)において仮想化がサポートされています。
場合によっては、ディレクトリ層とデータ層は同じ管理者グループで管理することもあります。ただし、多くの企業ではデータベース管理者がデータ層を所有し、ディレクトリ管理者がディレクトリ層を所有しています。
ディレクトリ層より上にあるアプリケーションは一般的にファイアウォールにより保護されていますが、指定LDAPホスト・ポートによりLDAPサービスにアクセスします。標準的なLDAPポートは、非SSLポートでは389になり、SSLポートでは636になります。イントラネットの電子メール・クライアントなどのクライアントによりホワイト・ページが検索される際に、LDAPサービスが使用されることがあります。
ディレクトリ層は、次の2種類の情報を格納します。
アイデンティティ情報: ユーザーおよびグループに関する情報
Oracle Platform Security Services (OPSS): セキュリティ・ポリシーと構成に関する情報。
ポリシー情報は常にOracle Internet Directoryに格納する必要があります。アイデンティティ情報はOracle Internet Directoryに格納することも、Microsoft Active Directoryなど別のディレクトリに格納することもできます。
アイデンティティの詳細をOID以外のディレクトリに格納する場合は、Oracle Virtual Directoryを使用してその情報を提供するか、Oracle Directory Integration Platformを使用して、OID以外のディレクトリのユーザーとグループをOracle Internet Directoryと同期させることができます。
分割ディレクトリ構成は、アイデンティティ・データを複数のディレクトリ(場合によっては別々の場所にある)に格納する構成です。スキーマの拡張によって既存のアイデンティティ・ストアが変更されないようにする場合は、この種類のデプロイメントを使用します。この場合は、拡張属性を格納する新規のOracle Internet DirectoryインスタンスまたはODSEEインスタンスを配置します。また、ポリシー・ストア用に配置されたOracle Internet Directoryインスタンスをこの目的で使用することもできます。このシナリオでは、Oracle Virtual Directoryを使用して、Oracle Identity Managementの各コンポーネントが解釈できる単一の統合ビューにすべてのアイデンティティ・データを提供します。
|
関連項目: 分離ディレクトリ環境でのOracle Virtual Directoryの構成については、第10章「Oracle Internet Directory以外のディレクトリの準備」を参照してください。 |
単一のOracle Internet Directoryインスタンスを使用してアイデンティティとポリシーの両方の情報を格納できますが、場合によっては2つのOracle Internet Directoryを別個にインストールして使用する必要が生じることがあります(1つはポリシー・ストア用、もう1つはアイデンティティ・ストア用)。例には次のシナリオが含まれています。
スループットまたはエンタープライズ・ディレクトリの要件によって、2つのストアを分離するかどうかが決まります。
アイデンティティおよびポリシーの情報を分離する場合は、可用性の高いOracle Internet Directoryのクラスタを2つ別個に作成する必要があります。これらのOracle Internet Directoryクラスタは同じマシンを共有できますが、データ・ストアとして別個のReal Application Clustersデータベースを使用する必要があります。
Oracle Internet Directoryを排他的に使用している場合は、Oracle Virtual Directoryを使用する必要はありません。
本ガイドでは、2つの仮想名を作成することを想定しています。1つはポリシー・ストア用(policystore.mycompany.com)、もう1つはアイデンティティ・ストア用(idstore.mycompany.com)です。アイデンティティ情報とポリシー情報の両方に単一のOracle Internet Directoryを使用する場合は、2つの仮想ホスト名(両方とも同じディレクトリを指定)を作成するか、ロード・バランサ内で単一の適切な仮想ホスト名に組み合せることができます。
アプリケーション層は、Java EEアプリケーションが配置される層です。Oracle Identity Manager、Oracle Directory Integration Platform、Oracle Identity Federation、Oracle Directory Services Manager、Oracle Enterprise Manager Fusion Middleware Controlなどの製品が、この層に配置できる主要なJava EEコンポーネントです。この層にあるアプリケーションは、Oracle WebLogic Serverの高可用性サポートにおけるメリットを享受します。
アプリケーション層にあるアイデンティティ管理アプリケーションは、次に示すようにディレクトリ層と対話的に処理を行います。
場合によっては、企業アイデンティティ情報ではディレクトリ層が活用されます。
場合によっては、アプリケーション・メタデータではディレクトリ層(およびデータ層のデータベースの場合もある)が活用されます。
Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Directory Services Managerは、アプリケーション層だけでなくディレクトリ層にもあるコンポーネントに対して管理機能を提供する管理ツールです。
WebLogic Serverには、Webサーバーのサポートが組み込まれています。有効にされていると、HTTPリスナーはアプリケーション層にも配置されます。ただし、図1-1に示したエンタープライズ・デプロイメントでは、お客様はApacheやOracle HTTP ServerなどのWebサーバーに依存する別のWeb層を使用しています。
アプリケーション層:
IDMHOST1およびIDMHOST2は、管理コンソール、Oracle Enterprise Manager Fusion Middleware Control、Oracle Directory Integration Platform、Oracle Directory Services Manager、およびOracle Access Management ServerがインストールされたWebLogic Serverを使用しています。IDMHOST1とIDMHOST2は、WebLogic Serverの管理サーバーと管理対象サーバーの両方を実行します。管理サーバーはアクティブ/パッシブとして構成されることに注意してください。つまり、管理サーバーが両方のノードにインストールされていても、一度にアクティブになるインスタンスは一方のみです。アクティブ・インスタンスが停止すると、パッシブ・インスタンスが起動してアクティブ・インスタンスになります。
Oracle Access Managementサーバーは、ディレクトリ層と通信してユーザー情報を検証します。
アプリケーション層を保護するファイアウォール上では、HTTPポートとOAPポートが開いています。OAP(Oracle Accessプロトコル)ポートは、Web層のOracle HTTP Serverで実行されているWebゲート・モジュールが、Oracle Access Managerと通信してユーザー認証などの操作を実行するときに使用されます。
OAMおよびOIMトポロジでは、OIMHOST1とOIMHOST2にOracle Identity ManagerとOracle SOAがインストールされています。Oracle Identity Managerはユーザー・プロビジョニング・アプリケーションです。このトポロジに配置されるOracle SOAは、Oracle Identity Managerのワークフロー機能を提供するためにのみ使用されます。
OAAMトポロジでは、OAAMHOST1とOAAMHOST2のWebLogic Serverに、Oracle Adaptive Access Managerサーバーとコンソールがインストールされています。
OIFHOST1とOIFHOST2には、WebLogic Server(Oracle Identity Federationを含む)がインストールされています。
Oracle Enterprise Manager Fusion Middleware Controlは、Oracle Platform Security Services (OPSS)エージェントを使用してOracle Access Managerと統合されます。
Oracle WebLogic Serverコンソール、Oracle Enterprise Manager Fusion Middleware Control、およびOracle Access Managerコンソールは、常に管理サーバーのリスニング・アドレスにバインドされます。
管理サーバーはシングルトン・サービスです。一度に1つのノード上でのみ実行されます。障害が発生した場合は、正常なノード上で再起動されます。
IDMHOST1上のWLS_ODS1管理対象サーバーとIDMHOST2上のWLS_ODS2管理対象サーバーはクラスタに配置され、Oracle Directory Services ManagerとOracle Directory Integration Platformのアプリケーションはクラスタをターゲットとしています。
IDMHOST1上のWLS_OAM1管理対象サーバーとIDMHOST2上のWLS_OAM2管理対象サーバーはクラスタに配置され、Access Managerのアプリケーションはクラスタをターゲットとしています。
Oracle Directory Services ManagerとOracle Directory Integration Platformは、WLS_ODS1とWLS_ODS2の管理対象サーバーのリスニング・アドレスにバインドされます。デフォルトでは、これらの管理対象サーバーのリスニング・アドレスは、それぞれIDMHOST1とIDMHOST2に設定されます。
OAM + OIMトポロジでは、OIMHOST1上のWLS_OIM1管理対象サーバーとOIMHOST2上のWLS_OIM2管理対象サーバーはクラスタに配置され、Oracle Identity Managerのアプリケーションはクラスタをターゲットとしています。
OAM + OIMトポロジでは、OIMHOST1上のWLS_SOA1管理対象サーバーとOIMHOST2上のWLS_SOA2管理対象サーバーはクラスタに配置され、Oracle SOAのアプリケーションはクラスタをターゲットとしています。
OAAMHOST1上のWLS_OAAM1管理対象サーバーとOAAMHOST2上のWLS_OAAM2管理対象サーバーはクラスタに配置され、Oracle Adaptive Accessサーバーのアプリケーションはクラスタをターゲットとしています。
OAAMトポロジでは、OAAMHOST1上のWLS_OAAM_ADMIN1管理対象サーバーとOAAMHOST2上のWLS_OAAM_ADMIN2管理対象サーバーはクラスタに配置され、Oracle Adaptive Access管理コンソールのアプリケーションはクラスタをターゲットとしています。
OIFHOST1上のWLS_OIF1管理対象サーバーとOIFHOST2上のWLS_OIF2管理対象サーバーはクラスタに配置され、Oracle Identity Federationのアプリケーションはクラスタをターゲットとしています。
Oracle Access Managerサーバーのデプロイメントは、アクティブ/アクティブです。
Oracle Access ManagerとOracle Identity Managerのトポロジでは、アイデンティティ管理サーバーとSOAサーバーのデプロイメントはアクティブ/アクティブで、これらのサーバーは実行時にデータ層と通信します。
OAAMトポロジでは、Oracle Adaptive Accessサーバーのデプロイメントはアクティブ/アクティブで、これらのサーバーは実行時にデータ層と通信する場合があります。
WebLogic管理サーバーとOracle Enterprise Managerのデプロイメントは、アクティブ/パッシブです(他のコンポーネントはアクティブ/アクティブ)。
Identity Federationサーバーのデプロイメントはアクティブ/アクティブで、Oracle Identity Federationサーバーは実行時にデータ層と通信する場合があります。
WebLogic管理サーバーは、アクティブ/パッシブ構成でデプロイされるシングルトン・コンポーネントです。IDMHOST1に障害が発生したときや、IDMHOST1上の管理サーバーが起動しなかったときに、IDMHOST2上の管理サーバーを起動できます。IDMHOST1とIDMHOST2上にあるすべての管理対象サーバーとコンポーネントでは、管理サーバーの仮想IPアドレスを構成する必要があります。
Web層はDMZパブリック・ゾーンにあります。HTTPサーバーはWeb層にデプロイされます。
大半のアイデンティティ管理コンポーネントはWeb層なしで動作できますが、大半のエンタープライズ・デプロイメントではWeb層が望ましいです。Oracle Single Sign-OnやOracle Access Managerなどの製品を使用して全社レベルのシングル・サインオンをサポートするには、Web層が必要です。
Oracle Enterprise Manager Fusion Middleware ControlやOracle Directory Services ManagerなどのコンポーネントはWeb層なしで動作できますが、必要に応じてWeb層を使用するように構成できます。
Web層:
WEBHOST1とWEBHOST2には、Oracle HTTP Server、Webゲート(Oracle Access Managerコンポーネント)およびmod_wl_ohsプラグイン・モジュールがインストールされています。mod_wl_ohsプラグイン・モジュールにより、アプリケーション層で実行されているWebLogic ServerにOracle HTTP Serverからリクエストをプロキシすることができます。
Oracle HTTP ServerのWebゲート(Oracle Access Managerコンポーネント)は、Oracle Accessプロトコル(OAP)を使用して、アイデンティティ管理DMZ内のIDMHOST1とIDMHOST2で実行されているOracle Access Managerと通信します。WebゲートとOracle Access Managerは、ユーザー認証などの操作の実行に使用されます。
Web層を保護するファイアウォール上では、HTTPポート(HTTPS用の443とHTTP用の80)のみが開放されています。
WEBHOST1とWEBHOST2上のOracle HTTP Serverはmod_wl_ohsを使用して構成されており、これらのサーバーは、IDMHOST1とIDMHOST2上にあるWebLogic ServerにデプロイされたOracle Enterprise Manager、Oracle Directory Integration Platform、およびOracle Directory Services Manager Java EEアプリケーションのリクエストをプロキシします。
ソフトウェアをインストールし、環境に必要なコンポーネントを組み込んでドメインを拡張するには、次の手順で行います。
現在の章、第1章「エンタープライズ・デプロイメント概要」を読みます。
第2章「エンタープライズ・デプロイメントの前提条件」の説明に従い、前提条件ステップをすべて実行したことを確認します。
第3章「データベース・リポジトリの構成」の説明に従い、データベース・リポジトリを構成します。
第4章「ソフトウェアのインストール」の説明に従い、ソフトウェアをインストールします。
第5章「Web層の構成」の説明に従い、Web層を構成します。
第6章「アイデンティティ管理のためのWebLogicサーバー・ドメインの作成」の説明に従い、WebLogicドメインを作成します。
第7章「Oracle Internet Directoryでのドメインの拡張」の説明に従い、Oracle Internet Directoryを使用してドメインを拡張します。
第8章「Oracle Directory Integration PlatformとODSMでのドメインの拡張」の説明に従い、Oracle Directory Integration Platform (オプション)とODSMを使用してドメインを拡張します。
Oracle Internet Directory以外のディレクトリ、または分割ディレクトリにアイデンティティ・データを格納する場合は、第9章「Oracle Virtual Directoryでのドメインの拡張」、および第10章「Oracle Internet Directory以外のディレクトリの準備」で説明する手順を実行します。アイデンティティ・ストアにOracle Internet Directoryのみが含まれている場合は、このステップを飛ばします。
アイデンティティ・ストアとポリシー・ストアを準備します。第11章「アイデンティティ・ストアとポリシー・ストアの準備」を参照してください。
Oracle Access Managerを使用している場合は、第1章「エンタープライズ・デプロイメント概要」の手順に従います。そうでない場合は、このステップは無視します。
Oracle Adaptive Access Managerを使用している場合は、第13章「Oracle Adaptive Access Managerでのドメインの拡張」の手順に従います。それ以外の場合は、この手順はスキップします。
Oracle Identity Navigatorを使用している場合は、第14章「Oracle Identity Navigatorでのドメインの拡張」の手順に従います。それ以外の場合は、この手順はスキップします。
Oracle Identity Managerを使用している場合は、第12章「Oracle Access Manager 11gでのドメインの拡張」、および第18章「Oracle Identity Managerのサーバー移行の構成」の手順に従います。それ以外の場合は、この手順はスキップします。
Oracle Identity Federationを使用している場合は、第16章「Oracle Identity Federationでのドメインの拡張」の手順に従います。それ以外の場合は、この手順はスキップします。
ノード・マネージャを設定します。第17章「ノード・マネージャの設定」を参照してください。
第19章「コンポーネントの統合」の説明に従い、コンポーネントを統合します。
管理モジュールのシングル・サインオンを構成します。第20章「管理コンソールに対するシングル・サインオンの構成」を参照してください。
