| Oracle® Fusion Middleware Oracle Identity Managementアップグレード・ガイド 11gリリース1(11.1.1) B56245-04 |
|
 前へ |
 次へ |
この章では、既存のOracle Adaptive Access Manager 10g(10.1.4.5)をOracle Adaptive Access Manager 11gリリース1(11.1.1.5.0)にアップグレードする方法を説明します。
この章の内容は次のとおりです。
タスク2: Oracle Adaptive Access Managerスキーマを含むOracle Databaseのアップグレード(必要な場合)
タスク5: アップグレード・アシスタントを使用したOracle Adaptive Access Managerスキーマのアップグレード
タスク6: 新規または既存のOracle WebLogicドメインでのOracle Adaptive Access Managerの構成
タスク9: アップグレード・アシスタントを使用したOracle Adaptive Access Manager中間層のアップグレード
アップグレード・アシスタントを実行してOracle Adaptive Access Manager 10gからアップグレードする場合、アップグレード・アシスタントによってOracle Adaptive Access Manager 10g構成の大部分はOracle Adaptive Access Manager 11gにアップグレードされます。場合によっては、アップグレード・アシスタントの実行後に手動でアップグレードする必要があります。
アップグレード・アシスタントを実行してOracle Adaptive Access Manager 10gからアップグレードする場合、アップグレード・アシスタントによって次のものがアップグレードされます。
Adaptive Risk Manager (ARM)のWebアプリケーションのキーストアsystem_config.keystoreおよびsystem_db.keystoreKeysの対称鍵(暗号化および復号化に使用される)は、資格証明マップoaamで同じ別名を持つ資格証明ストア・フレームワーク(CSF)に移行されます。
認証プロバイダWebアプリケーション(ASA)の次に示すOracle Adaptive Access Managerプロパティ・ファイル
bharosauio.properties
bharosa_client.properties
bharosa_common.properties
Adaptive Risk Manager (ARM)のWebアプリケーションの次に示すOracle Adaptive Access Managerプロパティ・ファイル
bharosa_server.properties
bharosa_common.properties
アップグレード・アシスタントを実行してOracle Adaptive Access Manager 10gからアップグレードする場合、次のコンポーネントはOracle Adaptive Access Manager 11g環境にアップグレードされません。
ARM WebAppユーザー・ロールおよびユーザー
Log4jの設定
ASA WebアプリケーションのクライアントサイドWebサービス構成および設定
SOAPユーザー・パスワードが設定されているクライアントサイドSOAPキーストア
次のようなすべてのカスタマイズ
カスタムWebコンテンツ(JSP、CSSなど)
カスタム・イメージ
カスタム動的アクション
カスタム・ローダー
カスタム・プロパティ・ファイル
このような構成は、アップグレード・アシスタントの実行後に手動でアップグレードする必要があります。詳細は、「タスク11: アップグレード後に必要なOracle Adaptive Access Managerタスクの完了」、Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド、およびOracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイドを参照してください。
Oracle Adaptive Access Manager 11g環境にアップグレードするには、次の前提条件を満たす必要があります。
Oracle Adaptive Access Manager 10g (10.1.4.5)およびOracle Databaseにバンドル・パッチ07を適用済であることを確認します。
データベースがシステム要件を満たしていることを確認します。詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。要件を満たしていない場合、Oracle Adaptive Access Manager 11gにアップグレードする前にデータベース・ソフトウェアをアップグレードする必要があります。
Oracle Adaptive Access Manager 10g Webアプリケーションが展開された形式になっていることを確認します。
アップグレード・アシスタントがOracle Adaptive Access Manager 10g webappフォルダおよびファイルにアクセスできることを確認します。
Oracle Adaptive Access Manager 11gをインストールする前に、バンドル・パッチ07を適用済のOracle Adaptive Access Manager 10g (10.1.4.5)の現在のトポロジおよびOracle Fusion Middleware 11g環境の要件を考慮してください。
詳細は、第10章「Oracle Adaptive Access Managerのトポロジ」を参照してください。
Oracle Adaptive Access Manager環境をアップグレードする場合は、Oracle Adaptive Access Managerスキーマをインストールする予定のデータベースのバージョンがOracle Fusion Middleware 11gによってサポートされていることを確認する必要があります。
データベースがOracle Fusion Middleware 11gの要件を満たしているかどうかを確認する手順については、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のデータベースのアップグレードと準備に関する項を参照してください。
リポジトリ作成ユーティリティを実行して、Oracle Meta Data Services (MDS)スキーマを、サポートされているデータベースに作成し、次の操作を完了します。
Oracle Adaptive Access Managerスキーマをインストールするためのリポジトリ作成ユーティリティの実行の詳細は、次のドキュメントを参照してください。
Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド
『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』
リポジトリ作成ユーティリティを起動した後、リポジトリ作成ユーティリティの画面の手順に従ってデータベースに接続し、必要なスキーマを作成します。
リポジトリ作成ユーティリティを使用して、スキーマを必要とするすべてのOracle Fusion Middlewareソフトウェア・コンポーネントに必要なスキーマをインストールできます。ただし、すべてのスキーマをインストールする必要があるのは、Oracle Fusion Middlewareの完全な環境をインストールし、すべてのOracle Fusion Middlewareコンポーネント・スキーマに同じデータベースを使用する計画がある場合にかぎられます。
Oracle Adaptive Access Managerのアップグレードでは、リポジトリ作成ユーティリティから入力を求められたときに、次のスキーマを選択する必要があります。
「AS共通スキーマ」を開き、「Metadata Services」および「監査サービス」を選択します。
このスキーマは、Oracle Adaptive Access Managerコンポーネントに必要とされるOracle Fusion Middlewareメタデータ・サービス(MDS)をサポートします。
|
注意: MDSスキーマは、Oracle Adaptive Access Managerスキーマがインストールされているデータベースとは異なるデータベースにインストールできます。ただし、Oracle Adaptive Access Manager管理対象サーバーがMDSスキーマにアクセスできることを確認します。 |
Oracle Fusion Middleware 11gにアップグレードする前に、Oracle Application Server 10gに対して設定したトポロジと同様のOracle Fusion Middleware環境をインストールおよび構成する必要があります。これを行うには、次の手順を完了します。
Oracle Identity and Access Management 11g リリース1(11.1.1)コンポーネントをインストールする前に、Oracle WebLogic Serverをインストールして、Oracleミドルウェア・ホーム・ディレクトリを作成する必要があります。
詳細は、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のOracle WebLogic Serverのインストールに関する項を参照してください。
また、Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。
Oracle Adaptive Access Manager 11g リリース1(11.1.1.5.0)のインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOAAMのインストールに関する項を参照してください。
|
注意: インストール・プロセス中にOracle Adaptive Access Managerドメインを構成しないでください。 |
アップグレード・アシスタントを使用してOracle Adaptive Access Managerスキーマをアップグレードするには、次の手順を実行します。
次のコマンドを入力して、アップグレード・アシスタントを起動します。
UNIXシステムの場合(MW_HOME/Oracle_<IDM_Home>/binにあります)
./ua
Windowsシステムの場合(MW_HOME\Oracle_<IDM_Home>\binにあります)
ua.bat
図12-1に示すようにOracle Fusion Middlewareのアップグレード・アシスタントの「ようこそ」画面が表示されます。
「次へ」をクリックします。
図12-2に示すように「操作の指定」画面が表示されます。
「Oracle Adaptive Access Managerスキーマのアップグレード」オプションを選択します。
「次へ」をクリックします。
「前提条件」画面が表示されます。
データベース・スキーマのバックアップを完了済および「Fusion Middlewareのアップグレードを行うデータベースのバージョンがOracleにより動作保証済」オプションを選択します。
|
注意:
|
「次へ」をクリックします。
「OAAMソース・データベースの指定」画面が表示されます。
次の情報を入力します。
データベース・タイプ: ドロップダウン・リストからデータベース・タイプを選択します。
接続文字列: データベースの接続文字列を入力します。
たとえば、次のようになります。
host:port:sid
OAAMスキーマ・ユーザー: Oracle Adaptive Access Manager 10gスキーマ・ユーザー名を指定します。
DBAユーザー: データベースのユーザー名を入力します。
DBAパスワード: データベース・ユーザーのパスワードを入力します。
「次へ」をクリックします。
「コンポーネントの調査」画面が表示されます。
アップグレード・アシスタントは、コンポーネントを調べ、ソースおよびターゲットの各スキーマに予想される列が含まれていることを確認します。
「ステータス」列の下に、「成功」という言葉が表示されます。「失敗」という言葉が表示された場合は、ログ・ファイルで詳細を調べてください。
|
注意: 現在のセッションのログ・ファイルを表示する場合は、画面の下部にあるリンクをクリックし、ua.logファイルを表示します。 |
「次へ」をクリックします。
「アップグレード・サマリー」画面が表示されます。
「アップグレード」をクリックします。
「アップグレードの進行状況」画面が表示されます。この画面には次の情報が表示されます。
アップグレードのステータス
アップグレード中に発生したエラーまたは問題
|
関連項目: アップグレード・アシスタントの実行時に発生する問題のトラブルシューティング手順の詳細は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のアップグレードのトラブルシューティングに関する項を参照してください。 |
「次へ」をクリックします。
「アップグレード完了」画面が表示されます。この画面はアップグレードが完了していることを確認します。
「閉じる」をクリックします。
新規または既存のOracle WebLogicドメインでOracle Adaptive Access Managerを構成するには、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Adaptive Access Managerの構成に関する項を参照してください。Oracle Fusion Middleware構成ウィザードを実行するときに、必ず管理対象サーバーを構成してそれらをマシンに割り当ててください。
|
注意: Oracle Adaptive Access Manager 11gのデータベースの詳細の入力を求める画面では、必ずOracle Adaptive Access Manager 10gのデータベースの詳細を指定します。別の11gのデータベースはないため、10gの資格証明を入力する必要があります。Oracle Adaptive Access Manager 10gのデータベースには存在しないいくつかのシステム表についてデータベースがチェックされます。これらのエラーは無視して、Oracle Adaptive Access Manager 11gのインストールを完了できます。 |
ノード・マネージャの構成の詳細は、『Oracle Fusion Middleware管理者ガイド』の管理対象サーバーを起動するためのノード・マネージャの構成に関する項を参照してください。
Oracle Adaptive Access Manager管理サーバーおよびOracle Adaptive Access Manager管理対象サーバーを起動済である場合は、コマンドラインから次のコマンドを実行して、Oracle Adaptive Access Manager管理サーバーおよび管理対象サーバーを停止する必要があります。
Windows
stopManagedWebLogic.cmd oaam_admin_server1 stopManagedWebLogic.cmd oaam_server_server1
UNIX
stopManagedWebLogic.sh oaam_admin_server1 stopManagedWebLogic.sh oaam_server_server1
Oracle Adaptive Access Manager中間層をアップグレードする手順は次のとおりです。
|
注意: Oracle Application Server 10g Oracleホームのアップグレードには、アップグレード・アシスタントのコマンドライン・インタフェースも使用できます。詳細は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のアップグレード・アシスタントのコマンドライン・インタフェースの使用に関する項を参照してください。 |
Oracle Adaptive Access Manager管理対象サーバーを起動済である場合は、暗号化または復号化のために必要な対称鍵が自動的に生成されます。中間層のアップグレードを実行する前に、鍵を削除する必要があります。これを行うには、次の手順を完了します。
Oracle Enterprise Managerにログインします。
左側のペインでWebLogicドメインを開き、OAAMドメインを選択します。
OAAMドメインのページが表示されます。
OAAMドメインから「セキュリティ」を選択し、「資格証明」を選択します。
「資格証明」ページが表示されます。
oaamを開き、対称鍵関連のエントリを削除します。
次のコマンドを実行して、アップグレード・アシスタントを起動します。
UNIXシステムの場合(MW_HOME/Oracle_<IDM_Home>/binにあります)
./ua
Windowsシステムの場合(MW_HOME\Oracle_<IDM_Home>\binにあります)
ua.bat
図12-3に示すようにOracle Fusion Middlewareのアップグレード・アシスタントの「ようこそ」画面が表示されます。
「次へ」をクリックします。
図12-4に示すように「操作の指定」画面が表示されます。
「Oracle Adaptive Access Manager中間層のアップグレード」を選択します。
アップグレード・アシスタントで使用可能なオプションは、アシスタントを起動したOracleホーム固有のものです。Oracle Application Server Identity ManagementのOracleホームからアップグレード・アシスタントを起動する場合、「操作の指定」画面に表示されるオプションが、Oracle Application Server Identity ManagementのOracleホームに対して有効なオプションです。
「次へ」をクリックします。
「ソース詳細の指定」画面が表示されます。
次の情報を入力します。
「参照」をクリックして、Oracle Adaptive Access Manager Adaptive Strong Authenticator Webアプリケーション(ASA)10gおよびAdaptive Risk Manager Webアプリケーション(ARM)10gの各アプリケーションのディレクトリの場所を入力します。
データベース・タイプ: ドロップダウン・リストからデータベース・タイプを選択します。
接続文字列: データベースが稼働しているサーバーの名前を入力します。Oracle Databaseについては、次のいずれかの形式を使用します。
//host:port/service or host:port:sid
スキーマ・ユーザー名: スキーマのユーザー名を入力します。
スキーマ・パスワード: スキーマのパスワードを入力します。
「次へ」をクリックします。
「WebLogic Serverの指定」画面が表示されます。
Oracle WebLogic Serverドメインについて次の情報を入力します。
ホスト: Oracle WebLogic Serverドメインのホスト名。
ポート: 管理サーバーのリスニング・ポート。デフォルトの管理サーバー・ポートは7001です。
ユーザー名: 管理サーバーへのログインに使用されるユーザー名。これは、ドメインの管理コンソールへのログインに使用するユーザー名と同じです。
パスワード: 管理サーバーへのログインに使用される管理者アカウントのパスワード。これは、ドメインの管理コンソールへのログインに使用するパスワードと同じです。
「次へ」をクリックします。
「アップグレード・オプションの指定」画面が表示されます。
「アップグレード完了後にアップグレード先コンポーネントを起動」を選択し、「次へ」を選択します。
「コンポーネントの調査」画面が表示されます。
|
注意: 「アップグレード完了後にアップグレード先コンポーネントを起動」を選択する前に、ノード・マネージャが稼動していることを確認します。 |
「次へ」をクリックします。
「アップグレード・サマリー」画面が表示されます。
「アップグレード」をクリックします。
「アップグレードの進行状況」画面が表示されます。この画面には次の情報が表示されます。
アップグレードのステータス
アップグレード中に発生したエラーまたは問題
|
関連項目: アップグレード・アシスタントの実行中に発生する問題のトラブルシューティングの具体的な方法は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のアップグレードのトラブルシューティングに関する項を参照してください。 |
「次へ」をクリックします。
「アップグレード完了」画面が表示されます。この画面はアップグレードが完了していることを確認します。
「閉じる」をクリックします。
コマンドラインから次のコマンドを実行して、Oracle Adaptive Access Manager管理サーバーおよびOracle Adaptive Access Manager管理対象サーバーを起動する必要があります。
Windows
startManagedWebLogic.cmd oaam_admin_server1 startManagedWebLogic.cmd oaam_server_server1
UNIX
startManagedWebLogic.sh oaam_admin_server1 startManagedWebLogic.sh oaam_server_server1
Oracle Adaptive Access Manager 10g環境をOracle Adaptive Access Manager 11gにアップグレードした後、次の追加のアップグレード後のタスクを実行する必要があります。
Oracle Adaptive Access Manager 10gにカスタマイズがある場合は、Oracle Adaptive Access Managerのカスタマイズまたは拡張共有ライブラリを使用してそれらのカスタマイズを移行できます。詳細は、Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイドを参照してください。
log4jがOracle Adaptive Access Manager 11gでは使用されないため、Javaロギング設定は手動で構成する必要があります。
Oracle Fusion Middleware Enterprise Managerを使用してアプリケーション・ロギングを構成するか、サーバーによって使用されるロギング・プロパティ・ファイルを構成します。
Oracle WebLogic管理コンソールを使用して、Oracle Adaptive Access Managerドメイン内の関連するOracle Adaptive Access Managerグループでユーザーを再構成する必要があります。それにより、これらのユーザーはoaam_adminアプリケーションを使用できるようになります。Oracle Adaptive Access Manager 10gで使用されているユーザー・グループ・ロールは、Oracle Adaptive Access Manager 11gでは異なるセットの名前を使用します。表12-1は、10gから11gへのロール・マッピングを示しています。
表12-1 ユーザー・グループのマッピング
| Oracle Adaptive Access Manager 10.1.4.5のユーザー・グループ | Oracle Adaptive Access Manager 11gのユーザー・グループ |
|---|---|
|
CSRGroup |
OAAMCSRGroup |
|
CSRManagerGroup |
OAAMCSRManagerGroup |
|
CSRInvestigator |
OAAMCSRInvestigatorGroup |
|
Investigator |
OAAMInvestigatorGroup |
|
InvestigationManager |
OAAMInvestigationManagerGroup |
|
RuleAdministratorsGroup |
OAAMRuleAdministratorGroup |
|
EnvAdminGroup |
OAAMEnvAdminGroup |
|
AuditorsGroup |
Not Available |
|
SOAPServicesGroup |
OAAMSOAPServicesGroup |
基本的な必須エンティティは、Oracle Adaptive Access Managerに同梱されています(MW_HOME/IDM_ORACLE_HOME/oaam/initディレクトリにあるAuth_EntityDefinition.zipファイル内)。次の手順を完了することでシステムにこれらの基本エンティティをインポートする必要があります。
Oracle Adaptive Access Manager管理コンソールにログインします。
ナビゲーション・ツリーの「エンティティ」をクリックして「エンティティ」検索ページに移動するか、ナビゲーション・ツリーの「エンティティ」を右クリックして表示されるコンテキスト・メニューから「オープン」を選択します。
「エンティティ」検索ページで、「インポート」をクリックします。
エンティティのインポート画面で、「参照」をクリックし、Auth_EntityDefinition.zipファイルを見つけます。
「OK」をクリックします。
暗号化と復号化に使用する対称鍵をバックアップする必要があります。Oracle Adaptive Access Manager 11gドメインの再作成が必要な場合にこれらの鍵が必要になることがあります。これらの鍵にアクセスする手順は次のとおりです。
Oracle Enterprise Managerにログインします。
左側のペインでWebLogicドメインを開き、OAAMドメインを選択します。
OAAMドメインのページが表示されます。
OAAMドメインから「セキュリティ」を選択し、「資格証明」を選択します。
「資格証明」ページが表示されます。
oaamを開き、タイプ「汎用」に関連付けられた対称鍵関連のエントリを選択します。
「編集」をクリックします。
「資格証明」セクションに移動し、対称鍵関連のエントリをコピーし、鍵の名前を書き留めます。
|
注意: 前述の手順を繰り返し、データベースおよび構成の鍵をバックアップします。 |
Oracle Adaptive Access Managerのアップグレードが正常に実行されたことを確認する手順は次のとおりです。
アップグレード・アシスタントを再度実行し、「操作の指定」ページで「インスタンスの検証」を選択します。
特定のOracle Fusion Middlewareコンポーネントが稼働していることを確認するには、画面の手順に従ってください。
次のURLを使用して、Oracle Adaptive Access Manager 11gが稼動していることを確認します。
Oracle Adaptive Access Manager管理サーバー:
http://hostname:oaam_admin_port/oaam_admin/ping
Oracle Adaptive Access Manager管理対象サーバー:
http://hostname:oaam_server_port/oaam_server/ping
かわりに、エラー・メッセージがないかアップグレード・ログ・ファイルをチェックするか、Fusion Middleware Controlを使用してOracle Adaptive Access Managerおよび他のOracle Identity ManagementコンポーネントがそのOracle Fusion Middleware環境で稼動していることを確認できます。
詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Enterprise Manager Fusion Middleware Controlの使用に関するスタート・ガイドの項を参照してください。
対称鍵がCSFに作成されていることを確認するには、次のように実行します。
Oracle Enterprise Managerにログインします。
左側のペインでWebLogicドメインを開き、OAAMドメインを選択します。
OAAMドメインのページが表示されます。
OAAMドメインから「セキュリティ」を選択し、「資格証明」を選択します。
「資格証明」ページが表示されます。
oaamが「資格証明ストア・プロバイダ」表にリストされていることを確認します。oaamを開き、それに、DESede_db_key_aliasおよびDESede_config_key_aliasのエントリが含まれていることを確認します。
Oracle Adaptive Access Managerスキーマのバージョンをチェックして、スキーマのアップグレードが正常に終了したことを確認します。
既存のユーザーとしてOracle Adaptive Access Manager管理コンソールにログインし、それにアクセスできることを確認します。
既存のセッションを検索および表示できることを確認するには、次のように実行します。
Oracle Adaptive Access Manager管理コンソールにログインします。
ナビゲーション・ツリーで「セッション」を選択します。「セッション」検索ページが表示されます。
関心がある詳細別にセッションを検索します。
詳細は、Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイドの「セッションの詳細の使用」の章を参照してください。
