Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
この章では、既存の、プロビジョニングされたOracle Access Manager 11g (ソース)環境からレプリカ(ターゲット)のOracle Access Manager 11g環境を作成する場合について説明します。この方法は、テストしたロールアウトのアップグレードに使用できます。
この情報は、使用するソースがテスト環境か本番環境かに関係なく適用されます。この章には次のトピックが含まれます。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従い、ターゲット・コンポーネントをインストールおよび構成します。
関連項目: 詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。 |
ここでは、次の内容について説明します。
表B-1で、顧客の企業内のデプロイメント・タイプについて説明します。デプロイメント・タイプの名前は企業によって異なる可能性があります。
各デプロイメント内で、Oracle Access Manager 11gの構成データはファイルに保存されますが、Oracle Access Manager 11gのポリシー・データはデータベースに保存されます。ターゲット環境のデータベースは、ソース環境のデータベースと同じタイプである必要があります。
ポリシー構成側では、各アプリケーション・ドメインは次の共有コンポーネントを使用して構築されます。
認証モジュール
認証スキーム(1つの認証モジュールを含む)
ホスト識別子
リソース
システム構成側では、保護する必要があるのはエージェント、ホスト・リソース、またはパートナ・アプリケーションです。エージェントは、OAMエージェント(Webgateまたはアクセス・クライアント)である場合も、OSSOエージェントである場合もあります。各エージェントはホストされたリソースを保護するOAM 11gに登録される必要があります。エージェントの登録はレプリケーション時に自動的に行われ、さらに次のことも行われます。
エージェントとその特有の構成パラメータの定義
指定されたリソースのアプリケーション・ドメインの作成
パートナ・アプリケーションのデフォルトの認証スキームでの認証ポリシーの作成
指定されたリソースの認証ポリシーの作成
パートナ・アプリケーションの対象鍵の生成
ソース環境からターゲット環境へのポリシーおよびパートナ情報の移行は、ソース環境のAdminServerでMBeanを登録することで行われます。クライアントは、パートナおよびポリシー情報をソース・サーバーからフェッチしてターゲット・サーバーへ適用するために使用されます。
次の概要で、ポリシーおよびパートナ情報をソースOAMサーバーからターゲットへ移行するために実行する必要がある一般的なタスクの範囲を示します。
注意事項:
|
次のタスクは、一般にはソースからターゲットへの移行に含まれます。タスク1は、この章で説明します。残りのトピックは、実際の移行(タスク8)も含め、『Oracle Fusion Middleware管理者ガイド』で説明します。
タスク概要: ターゲット環境への移行には、通常は次の作業が含まれます。
ターゲット環境の準備
ターゲット環境でのデータベースのインストール
Middlewareホームおよびバイナリ・ファイルの移行
Javaコンポーネントの構成の移行
コンポーネントのユーザー、グループ、セキュリティ・ポリシーおよび資格証明ストアの構成
Oracle Fusion Middlewareコンポーネントの移行(Oracle Access Manager with Oracle Security Token Serviceを含む)
Oracle Access ManagerおよびOracle Identity ManagerはOracle Fusion Middleware 11gのコンポーネントです。
Oracle Access Manager 11gの移行は、より大きな作業の中の一部です。アイデンティティ管理環境全体をソースからターゲットに移動するのに必要なタスクの範囲における違いを、表B-2に示します。
表B-2 データの新しいターゲット環境への移行と既存のターゲット環境への移行の違い
新しいターゲット環境 | 既存のターゲット環境 |
---|---|
この例では、ソース環境の既存のアイデンティティ管理コンポーネントを、まだ存在しない新しいターゲット環境に移行します。 これには次のタスクが必要です(タスク1は必須ですが、他のタスクはデプロイメントに基づいて必要になります)。すべては、『Oracle Fusion Middleware管理者ガイド』で詳細に説明しています。 |
この例では、ソースのセキュリティ関連の構成を保持しながら、1つまたは複数のアプリケーションをソースから既存の環境のターゲットに移動します。 これにはアプリケーション固有のデータおよび増分変更をソースからターゲットに移行することが必要であり、詳細は『Oracle Fusion Middleware管理者ガイド』で説明しています。 |
|
|
この項では、Oracle Security Token Serviceを使用したOracle Access Manager 11gを移行するための方法とツールの概要を説明します。
関連項目: Fusion Middlewareレプリケーション・ツールおよび方法の詳細は、『Oracle Fusion Middleware管理者ガイド』の手順「アイデンティティ管理の新しい本番環境への移行」のタスク5「Oracle Access Manager 11gの新しい本番環境への移行」を参照してください。 |
ソース・データを伝播するには、データ(ソースのユーザーおよびグループ、アイデンティティ・ストアおよびポリシー・ストア、資格証明)をエクスポートしてからターゲットにインポートする必要があります。新しい環境に固有の情報(たとえばホスト名またはポート)の変更も必要になる場合があります。
注意: エージェントはレプリケーション時に再登録されます。エージェントを再登録する必要はありません。 |
プロビジョニングされたOracle Access Manager 11gソース環境のデータをレプリケートするときは、次に示すいずれかの方法を使用できます。これらの方法には、Oracle Security Token Serviceのパートナおよびポリシーが含まれます。OAMパートナおよびエージェントのプライマリ・サーバーとセカンダリ・サーバーのリストは、差分移行の場合のみ役に立ちます。
注意: 完全レプリケーション方法では、ソースをコピーしてターゲットを作成します。ターゲットが存在する場合は、処理中に完全に消去されます。既存のターゲット環境を維持するためには、新しいターゲット環境を作成する必要があります(または、完全移行手順を使用しないでください)。いずれの方法を選択する場合も、次のことが適用されます。
|
完全レプリケーション
表B-3は、完全データ・レプリケーション(パートナおよびポリシー)について説明します。手動および自動化されたタスクを実行することで、Oracle Access Manager 11gソース設定をターゲットへレプリケートできます。完全な設定(Oracle Fusion Middleware)レプリケーションについては、『Oracle Fusion Middleware管理者ガイド』を参照してください。
表B-3 完全レプリケーション
要件 | 手動および自動化されたタスク | 不要または処理済 |
---|---|---|
|
次のWLSTコマンドが使用されます。
管理者は次のことも行う必要があります。
|
|
差分レプリケーション
表B-4で要件および増分転送(差分レプリケーションとも呼ばれる)の処理について説明します。ソースのすべての増分変更はターゲットに転送されます。選択的な転送は必要ありません。
Oracle Access Managerは、OAM Serverインスタンス間でのパートナの移行をサポートします。これは、パートナ情報を内部から外部のデプロイメントへコピーするGITシナリオでは必須です。
選択したパートナを移行するとき、パートナIDをソース・システムのoam-config.xmlから取得できます。たとえば、サイト名'TEST_OSSO_AGENT2'のOSSOエージェントのパートナIDが998AF964144D39BC2F
の場合は、次のとおりです。
<Setting Name="998AF964144D39BC2F" Type="htf:map"> <Setting Name="AdminId" Type="xsd:string"></Setting> <Setting Name="SiteName" Type="xsd:string">TEST_OSSO_AGENT2</Setting>
次のコマンドをWLSTプロンプトから実行できます。
exportSelectedPartners(pathTempOAMPartnerFile="<path where the temporary file need to be generated>",partnersNameList="998AF964144D39BC2F")
新しいターゲットへ移動する場合も既存のターゲットへ移動する場合も、Oracle Access Manager 11g AdminServerのMBeanを使用するWebLogic Scripting Tool (WLST)コマンドが提供され、それにより管理者は次のことを行うことができます。
必要な場合、ターゲット・ユーザー・アイデンティティ・ストアをソース・ユーザー・アイデンティティ・ストアと一致するように構成します。
アプリケーション・ドメインおよびポリシー・データ(すべてのまたは選択したドメインおよびポリシーのみ)をレプリケートおよび移動します。
ソースとターゲット・システム間のIDの競合を解決する方法を記述した競合解決プロファイルを(自動的に)提供します。
エクスポートは、アプリケーション・ドメインおよびパートナ情報を一時ダンプ・ファイルにレプリケートしてエクスポートします。この機密情報を保護するために、ダンプ・ファイルを使用してキーストアが生成されます。キーストア内のキーを使用してダンプ・ファイルを暗号化します。
表B-5に、エクスポートするパートナをホストするソースOAMサーバー上で実行する、エクスポート・モード・コマンドの情報を示します。
表B-5 パートナおよびポリシーのエクスポート・コマンド
コマンド | 説明 | 例 |
---|---|---|
exportPartners() |
パートナのエクスポートにより、すべてのパートナ情報を含むオブジェクトが、各パートナのキーとともに作成されます。 このコマンドはパラメータとして一時oam-partnersファイルへのパスを受け取ります。 |
exportPartners(pathTempOAMPartnerFile=' <pathTempOAMPartnerFile>) |
exportPolicy() |
アプリケーション・ドメインおよびポリシー・データをソースからエクスポートします。OAMアプリケーション・ドメインはすべての依存関係とともにエクスポートされます。 このコマンドはパラメータとして一時oam-policyファイルへのパスを受け取ります。 |
exportPolicy(pathTempOAMPolicyFile=' <pathTempOAMPolicyFile >') |
インポートにより、キーストア内のキーを使用して生成されたダンプ・ファイルの暗号解除が行われ、ダンプ・ファイルの内容がターゲットOAMサーバーにインポートされます。表B-6の説明に従い、パートナ、ポリシーまたはポリシーの差異をインポートできます。インポート・コマンドはターゲットOAMサーバーで実行されます。
表B-6 パートナ、ポリシー、および差分のインポート・コマンド
コマンド | 説明 | 例 |
---|---|---|
importPartners() |
キーストア内のキーを使用してパートナ・データを暗号解除してインポートします。 このコマンドはパラメータとしてエクスポート操作中に作成された一時oam-partnersファイルへのパスを入力として受け取ります。 |
importPartners (pathTempOAMPartnerFile=' <pathTempOAMPartnerFile>') |
importPolicy() |
アプリケーション・ドメインおよびポリシー・データを暗号解除してインポートします。 注意: このコマンドはターゲット上のすべてのポリシー・データを上書きします。 このコマンドはエクスポート操作中に作成された一時oam-policyファイルへのパスを入力として受け取ります。 |
importPolicy(pathTempOAMPolicyFile=' <pathTempOAMPolicyFile >') |
importPolicyDelta() |
ターゲット上の変更されていないポリシー・データを上書きすることなく、ソースからターゲットOAMサーバーへの変更のみを暗号解除します。 注意: このコマンドは変更されたポリシー・データのみをターゲットに書き込みます。 このコマンドはエクスポート操作中に作成された一時oam-policyファイルへのパスを入力として受け取ります。 |
importPolicyDelta(pathTempOAMPolicyFile=' <pathTempOAMPolicyFile >' |
図B-1に、ソースとターゲット・システム間に発生する処理を示します。
ポリシー競合は、処理中に自動的に解決されます。データの移行中、ソース・システムが唯一の真のソースであると見なされます。ソースとターゲット間で検出された競合は処理中に解決される必要があります。
OAM 11gアプリケーション・ドメインを移行する前に、移行する各アプリケーション・ドメインに対して依存関係を構築する必要があります。
依存関係は図B-2に示すように表すことができます。
図B-2に示す依存関係の例では、アプリケーション・ドメインが3つの認証ポリシーと2つのリソースから構成されています。各認証ポリシーは認証スキームで構成され、各認証スキームには認証モジュールが構成されています。このサンプルのアプリケーション・ドメインは2つのリソース(各リソースはホスト識別子およびリソースURLとして定義されている)に適用されます。
アプリケーション・ドメインのデータを移行するには、共有コンポーネント(モジュール、スキームおよびホスト識別子)を最初に移行する必要があります(まだ移行されていない場合)。共有コンポーネントのデータ移行に続いて、アプリケーション・ドメイン・データを移行します。
計画と準備は、方針が成功するための重要な要素です。
この項では、移行を成功させるために、作成する必要のあるインベントリ項目と計画の考慮点について説明します。
「Oracle Access Managerソース・データを伝播する方法について」の内容を確認して、最も適した方法を選択してください。
関連項目: 『Oracle Fusion Middleware管理者ガイド』の手順「アイデンティティ管理の新しい本番環境への移行」のタスク5「Oracle Access Manager 11gの新しい本番環境への移行」 |
Oracle Access Manager構成データをソースからターゲットに転送するときに、次に示す、2つの環境間の相違のタイプに必ず注意してください。
OAMサーバー・インスタンスの名前および実装詳細
エージェントが指すOAMサーバーへの変更を含む、OAMエージェント(Webgateおよびアクセス・クライアント)の名前および実装詳細
エージェントが指すOAMサーバーへの変更を含む、OSSOエージェント(mod_osso)の名前および実装詳細
ホスト識別子の定義
チャレンジ・リダイレクト・パラメータを含む、認証スキーマの定義
認証ポリシー、制約、レスポンスおよびリソースの定義
認証および認可ポリシーに定義されたすべてのリダイレクトURLを含む、アプリケーション・ドメインの定義
転送アクティビティを開始する前に、既存のOracle Access Manager 11g Release 1(11.1.1)デプロイメントのインベントリを取得することをお薦めします。既存のインストール・レコードから詳細を収集、またはデプロイメントから直接新しい情報を収集できます。
転送前にデータをバックアップし、必要な場合は転送後にバックアップをリストアすることをお薦めします。
転送前にデータの正確性を確認するために、ソース・デプロイメントにおける構成を評価する特定のテストを作成することをお薦めします。
転送後、ターゲット・デプロイメントで同じテストを使用して、すべてが予想通りに動作することを確認できます。
すべての変更はOracle Access Managerコンソールに反映され、クラスタの各OAMサーバーへ、エージェント登録も含めて自動的に伝播されます。
1つのOAMサーバーと1つのOracle Access Managerコンソールが異なるコンピュータで実行されている場合、変更は管理されたランタイムOAMサーバーに伝播されます。
移動を開始する前に、特定の転送期間をスケジューリングし、他の管理者に、その担当するデプロイメントでの計画されたアクティビティについて通知することを強くお薦めします。
この項は次のトピックに分かれており、これらのトピックは、プロビジョニングされたOracle Access Manager 11gデプロイメントをレプリケートする手順にも含まれています。
次の手順を必要に応じて使用して、パートナおよびポリシー・データをソース環境からエクスポートします。
前提条件
ソース・データをエクスポートする手順
パートナ・データのエクスポート: OAM 11gパートナをホストしているソースOAMサーバーで、自分の一時OAMパートナ・ファイルへのパスを使用して次のコマンドを実行します。次に例を示します。
exportPartners(pathTempOAMPartnerFile=', <pathTempOAMPartnerFile>>')
ポリシー・データのエクスポート: OAM 11gポリシー・データをホストしているソースOAMサーバーで、自分の一時OAMポリシー・ファイルへのパスを使用して次のコマンドを実行します。次に例を示します。
exportPolicy(pathTempOAMPolicyFile=', <pathTempOAMPolicyFile >')
パートナおよびポリシー・データをホストしている各ソースOAMサーバーで繰り返します。
次の手順を必要に応じて使用して、パートナおよびポリシー・データをソース環境からインポートします。
前提条件
Oracle Access Manager 11gソース・データのエクスポート
データをターゲットにインポートする手順
パートナ・データのインポート: ターゲットOAMサーバーで、一時ソース・パートナ・ファイルへのパスを使用して次のコマンドを実行します。次に例を示します。
importPartners(pathTempOAMPartnerFile=', <pathTempOAMPartnerFile>>')
全ポリシー・データのインポート: ターゲットOAMサーバーで、一時ソース・ポリシー・ファイルへのパスを使用して次のコマンドを実行します。次に例を示します。
importPolicy(pathTempOAMPolicyFile=', <pathTempOAMPolicyFile >')
ポリシー差分のみのインポート: ターゲットOAMサーバーで、一時ソース・ポリシー・ファイルへのパスを使用して次のコマンドを実行します。次に例を示します。
importPolicyDelta(pathTempOAMPolicyFile=', <pathTempOAMPolicyFile >')
パートナおよびポリシー・データをホストしている各ソースOAMサーバーで繰り返します。