| Oracle® Fusion Middleware Oracle Identity Manager管理者ガイド 11g リリース2 (11.1.2) B69535-02 |
|
 前 |
 次 |
この付録では、Oracle Identity Managerでシングル・サインオン(SSO)を使用可能にするための構成手順について説明します。このためには、Oracle Identity ManagerでOpenSSO、IBM Tivoli Access ManagerおよびCA SiteMinderといったサードパーティのSSOプロバイダを使用できるようにします。
この付録には、次の項が含まれます。
この項の内容は次のとおりです。
Oracle Identity ManagerとOpenSSOとの統合の前提条件は次のとおりです。
Oracle Identity Manager 11g リリース2 (11.1.2)がインストールされ実行されていること。
OpenSSO 8.0がインストールされ構成されていること。
Oracle WebLogic Server/Portal 10用OpenSSO Enterpriseポリシー・エージェント3.0 (weblogic_v10_agent_3)がインストールされていること。
Oracle Identity Managerのアイデンティティ情報が、OpenSSOでユーザー・データ・ストアとして構成されているLDAPサーバーと同期されていること。これにはたとえば、Oracle Identity ManagerのLDAP同期機能を使用できます。
Oracle Identity Manager 11g リリース2 (11.1.2)をOracle WebLogic Server上のOpenSSO 8.0と統合するには:
OpenSSOを起動します。
Oracle Identity Managerを起動します。
OpenSSOポリシー・エージェントを、Oracle Identity Managerドメインの管理サーバーにインストールします。これを行うには、次のようにします。
OpenSSOにJ2EEエージェント・プロファイルを作成します。プロファイルの作成の詳細は、OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。
WebLogic管理サーバーにエージェントをインストールします。agentadminユーティリティを使用して、エージェントをインストールします。OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。
OpenSSOポリシー・エージェントを、Oracle Identity ManagerドメインのOracle Identity Manager管理対象サーバーにインストールします。そのためには、Oracle Identity Manager管理対象サーバーにエージェントをインストールします。管理対象サーバーへのエージェントのインストールの詳細は、OpenSSOのドキュメントのポリシー・エージェントに関する説明を参照してください。ステップ3.aで作成したエージェント・プロファイルと同じエージェント・プロファイルを使用します。
|
注意: Oracle Identity Managerのクラスタ化デプロイメントの場合、各Oracle Identity Manager管理対象サーバーにポリシー・エージェントをインストールします。 |
インストール後にOpenSSOポリシー・エージェントを構成するには:
|
注意: Oracle Identity Managerのクラスタ化デプロイメントの場合、OpenSSOポリシー・エージェントを各Oracle Identity Manager管理対象サーバーで構成する必要があります。 |
WebLogic Serverインスタンスを構成し、エージェントのクラスパスとJAVAオプションを設定します。
管理サーバーと管理対象サーバーにエージェント・アプリケーションをデプロイします。
エージェント認証プロバイダをデプロイして構成します。
WebLogic管理者をバイパス・リストに追加します。
OIM Webアプリケーションにエージェント・フィルタをインストールします。この手順では、OpenSSOエージェント・フィルタを、OIMユーザー・ログインをサポートするすべてのOracle Identity Manager Webアプリケーションに追加します。これを行うには、次のようにします。
|
注意: 対応するデプロイメント・ディスクリプタは次の場所にあります。
|
i) IDM_ORACLE_HOME/server/apps/ディレクトリに移動します。
ii) oim.ear/iam-consoles-faces.war/WEB-INF/web.xmlファイルのバックアップを作成し、これを編集してOpenSSOのドキュメントに記載されているフィルタ要素を追加します。変更を保存します。
iii) oracle.iam.console.identity.self-service.earファイルのバックアップを作成し、これを一時的な場所に抽出します。次にoracle.iam.console.identity.self-service.warファイルを抽出します。WEB-INF/web.xmlを編集してOpenSSOのドキュメントに記載されているフィルタ要素を追加します。oracle.iam.console.identity.self-service.warと変更されたweb.xmlを再パッケージし、oracle.iam.console.identity.self-service.earと変更されたoracle.iam.console.identity.self-service.warを再パッケージします。
iv) oracle.iam.console.identity.sysadmin.earのバックアップを作成し、これを一時的な場所に抽出します。次にoracle.iam.console.identity.sysadmin.warファイルを抽出します。WEB-INF/web.xmlを編集してOpenSSOのドキュメントに記載されているフィルタ要素を追加します。oracle.iam.console.identity.sysadmin.warと変更されたweb.xmlを再パッケージし、oracle.iam.console.identity.sysadmin.earと変更されたoracle.iam.console.identity.sysadmin.warを再パッケージします。
|
注意: ステップiiiおよびivの実行後に、変更されたEARファイルと元のEARファイルの差のみがweb.xmlファイルに含まれていることを確認してください。 |
v) Oracle Identity Managerインスタンスを停止します。
vi) OIM_DOMAIN_HOME/servers/OIM_SERVER_INSTANCE/tmp/_WL_user/ディレクトリに移動します。設定がMicrosoft Windows上の場合、OIM_DOMAIN_HOME\servers\OIM_SERVER_INSTANCE\tmp\_WL_user\ディレクトリに移動します。
vii) oracle.iam.console.identity.self-service.earとoracle.iam.console.identity.sysadmin.earのUIアプリケーションに固有のディレクトリを削除します。典型的なOracle Identity Manager設定では、削除対象ディレクトリはoracle.iam.console.identity.self-service.ear_V2.0とoracle.iam.console.identity.sysadmin.ear_V2.0です。
viii) Oracle Identity Manager管理対象サーバーのインスタンスを再起動してから、ステップviで示したディレクトリ・パスにディレクトリが再作成されていることを確認します。
Oracle Identity Manager管理対象サーバーのエージェント・プロファイルをOracle Identity ManagerのURL情報で更新します。これを行うには、次のようにします。
OpenSSOアプリケーションにログインし、Oracle Identity Manager管理対象サーバーのエージェント・プロファイルを選択します。
一般タブをクリックします。エージェント・フィルタ・モードを変更します。既存の値をすべて削除します。空のキーを持つ新しい値と、対応するマップ値としてJ2EE_POLICYを追加します。
アプリケーション・タブをクリックします。各セクションを次のように更新します。
ログイン・フォームURI。次の行を追加します。
/oim/faces/pages/Login.jspx /identity/faces/signin /sysadmin/faces/signin
ログイン・エラーURI。次の行を追加します。
/identity/faces/signin /sysadmin/faces/signin /oim/faces/pages/LoginError.jspx
非強制URI処理。次の行を追加します。
/identity/faces/register /identity/faces/forgotpassword /identity/faces/trackregistration /identity/faces/forgotuserlogin /identity/faces/accountlocked /identity/adfAuthentication /identity/afr/blank.html /sysadmin/adfAuthentication /sysadmin/afr/blank.html /sysadmin/faces/noaccess /oim/afr/blank.html /workflowservice/* /callbackResponseService/* /spml-xsd/*
Oracle Identity ManagerでSSOを構成します。これを行うには、次のようにします。
WebLogic認証者を設定します。これを行うには、次のようにします。
i) OpenSSOにより使用されるユーザー・データ・ストアに対応するLDAPサーバー用のWebLogic認証プロバイダを追加して構成します。たとえば、OpenSSOによりSun DSEEが使用される場合は、iPlanet認証プロバイダを構成します。制御フラグをSUFFICIENTに設定します。
|
注意: すべてのOracle Identity Managerユーザーが、認証者が指定するLDAPサーバーと同期されていることを確認してください。 |
ii) Oracle Identity Managerの署名認証プロバイダ(OIMSignatureAuthenticator)を追加して構成します。制御フラグをSUFFICIENTに設定します。
iii) 認証者チェーンを次の順序で並べます。
DefaultAuthenticator - SUFFICIENT
OIMSignatureAuthenticator - SUFFICIENT
AgentAuthenticator - OPTIONAL
LDAPAuthenticator - SUFFICIENT
DefaultIdentityAsserter
次のコマンドを実行して、OpenSSOログアウトURLを実行するようにOracle Identity Managerログアウトを変更します。
cd <IDM_ORACLE_HOME>/common/bin
./wlst.sh
connect()
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="http(s)://openssohost:openssoport/opensso/UI/Logout", autologinuri="/obrar.cgi")
exit()
Oracle Identity Manager ssoenabledフラグをtrueに設定します。これを行うには、次のようにします。
i) Enterprise Managerにログインします。システムMBeanブラウザを開きます。
ii) oracle.iam:Location=oim_server1,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.1.3.0 MBeanを開きます。
iii) ssoEnabledの値をtrueに設定します。
Oracle Identity Managerドメインを再起動します。
次のURLに移動して構成をテストします。
http://OIM_HOST:OIM_PORT/identity/
ページはOpenSSOログイン・ページにリダイレクトされます。有効なOracle Identity Managerユーザーとしてログインします。
次の検証手順を実行して、Oracle Identity ManagerとOpenSSOとの統合が正常に行われたかどうかを検証します。
SSOを使用したOracle Identity Managerへのユーザー・ログイン
前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。
手順: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。
期待される結果: ログインは正常に行われます。
Oracle Identity Managerへのクライアントベース・ログイン
前提条件: Oracle Identity Manager Design Consoleがインストールされ構成されていることを確認します。
手順: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。
期待される結果: LDAPAuthenticatorがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。
署名ベースの認証
署名ベースの認証をテストするには:
スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。
http://OIM_HOST:OIM_PORT/SchedulerService-web
SSOパスワードを使用して、システム管理者としてログインします。
ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。
スケジューラの現在のステータス: 起動済
最後のエラー: なし
次の内容が表示された場合は、そのページで「開始」をクリックします。
スケジューラの現在のステータス: 停止済
ページにエラーが表示されていない場合、署名ログインは成功しています。
この項の内容は次のとおりです。
Oracle Identity ManagerとOpenSSOとの統合の前提条件は次のとおりです。
Oracle Identity Manager 11g リリース2 (11.1.2)がインストールされていること。
IBM Tivoli Access Manager (TAM) for e-business 6.1がインストールされていること。
TAM 6.1対応Oracle WebLogic Server用のIBM Tivoli Access Manager AdapterおよびOracle WebLogic Server 10gまたは11gがインストールされていること。
Oracle Identity Managerのアイデンティティ情報が、TAMにより使用されるLDAPレジストリのアイデンティティ情報と同期されていること。これにはたとえば、Oracle Identity ManagerのLDAP同期機能を使用できます。
フォーム・ベースのログインがTAMで有効になっていること。
Oracle Identity Manager 11g リリース2 (11.1.2)をIBM Tivoli Access Manager for e-business 6.1と統合するには:
IBM Tivoli Access Managerを起動します。
Oracle Identity Managerを起動します。
websealおよびWebLogic間の接続を設定します。これを行うには、次のようにします。
websealをOracle Identity Manager WebLogic Serverに接続するためのジャンクションを作成します。
websealのログアウトおよびログイン・ページを構成します。
weblogicセキュリティ・プロバイダをデプロイします。
Oracle WebLogic Server用IBM Tivoli Access Manager Adapterに付属の、TAMとweblogicの統合に関するドキュメントを参照してください。詳細を次に示します。
ジャンクションの作成時には、Oracle Identity Manager上の非SSLポートとSSLポートの両方を考慮してください。
保護されたリソースにwebsealジャンクションを作成する場合は、必ず「-c iv-user」(iv-user HTTPヘッダーの挿入)オプションを使用してください。
保護する/保護しない必要があるリソースのリストを次に示します。
次のリソースは保護します。
/oim
/xlWebApp
/Nexaweb
/identity
/sysadmin
次のURIは保護しません。
/identity/faces/register
/identity/faces/forgotpassword
/identity/faces/trackregistration
/identity/faces/forgotuserlogin
/identity/faces/accountlocked
/identity/adfAuthentication
/identity/afr/blank.html
/sysadmin/adfAuthentication
/sysadmin/afr/blank.html
/sysadmin/faces/noaccess
/oim/afr/blank.html
次のリソースは保護しません。
/workflowservice
/callbackResponseService
/spml-xsd
Tivolli Access Managerアイデンティティ・アサーション・プロバイダ(AMIdentityAsserterLite)のみを構成します。構成時に「iv-user」オプションを選択します。
Tivolli Access Managerアイデンティティ認証プロバイダは構成しません。
TAMにより使用されるLDAPレジストリに対応するLDAPサーバー用のWebLogic認証プロバイダを構成します。たとえば、TAMによりSun DSEEが使用される場合は、iPlanet認証プロバイダを構成します。制御フラグをSUFFICIENTに設定します。Oracle Identity Managerのすべてのユーザーが、このLDAPサーバーに同期されていることを確認します。LDAPサーバーに存在しないOracle Identity Managerユーザーは、Oracle Identity Managerにログインできません。
Oracle Identity Managerの署名認証プロバイダ(OIMSignatureAuthenticationProvider)を構成します。構成時にOracle Identity Managerデータベースの詳細を指定します。OIMAuthenticationProviderで指定したものと同じ詳細を使用できます。制御フラグをSUFFICIENTに設定します。
認証者チェーンを次の順序で並べます。
TAMIdentityAsserter
OIMSignatureAuthenticator - SUFFICIENT
LDAPAuthenticator - SUFFICIENT
DefaultAuthenticator - SUFFICIENT
DefaultIdentityAsserter
次のコマンドを使用して、TAMログアウトURLを実行するようにOracle Identity Managerログアウトを変更します。
cd <IDM_ORACLE_HOME>/common/bin
./wlst.sh
connect()
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="http(s)://<webseal-host:port>/pkmslogout", autologinuri="/obrar.cgi")
exit()
OIM ssoenabledフラグをtrueに設定します。これを行うには、次のようにします。
Enterprise Managerにログインします。システムMBeanブラウザを開きます。
oracle.iam:Location=oim_server1,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.1.3.0 MBeanを開きます。
ssoEnabledの値をtrueに設定します。
Oracle Identity Managerを再起動します。
次のURLに移動して構成をテストします。
http(s)://WEBSEAL_HOST:WEBSEAL_PORT/identity/faces/home
TAMログイン・ページが表示されます。有効なOracle Identity Managerユーザーとしてログインすると、ログインが成功します。
次の検証手順を実行して、Oracle Identity ManagerとTAMとの統合が正常に行われたかどうかを検証します。
SSOを使用したOracle Identity Managerへのユーザー・ログイン
前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。
手順: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。
期待される結果: ログインは正常に行われます。
Oracle Identity Managerへのクライアントベース・シングル・ログイン
前提条件: Oracle Identity Manager Design Consoleがインストールされ構成されていることを確認します。
手順: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。
期待される結果: LDAPAuthenticatorがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。
署名ベースの認証
署名ベースの認証をテストするには:
スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。
http://OIM_HOST:OIM_PORT/SchedulerService-web
SSOパスワードを入力して、システム管理者としてログインします。
ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。
スケジューラの現在のステータス: 起動済
最後のエラー: なし
次の内容が表示された場合は、そのページで「開始」をクリックします。
スケジューラの現在のステータス: 停止済
ページにエラーが表示されていない場合、署名ログインは成功しています。
この項の内容は次のとおりです。
Oracle Identity ManagerとCA SiteMinderとの統合の前提条件は次のとおりです。
Oracle Identity Managerがインストールされていること。
Oracle Identity Managerのアイデンティティ情報が、Siteminderにより使用されるLDAPレジストリのアイデンティティ情報と同期されていること。これには、Oracle Identity ManagerのLDAP同期機能を使用できます。
Oracle Identity ManagerをCA SiteMinderと統合するには:
Siteminderのインストール・ドキュメントを参照して、Siteminder WebLogicエージェントをインストールします。インストールGUIの指示に従います。
setDomainEnv.shファイルを編集して、次のように変数を設定します。
ASA_HOME='PATH_TO_SITEMINDER_AGENT_HOME' export ASA_HOME SMASA_CLASSPATH="$ASA_HOME/conf:$ASA_HOME/lib/smagentapi.jar:$ASA_HOME/lib/smjavasdk2.jar:$ASA_HOME/lib/sm_jsafe.jar:$ASA_HOME/lib/smclientclasses.jar:$ASA_HOME/lib/sm_jsafeJCE.jar" export SMASA_CLASSPATH SM_JAVA_OPTIONS=" -Dsmasa.home=$ASA_HOME" export SM_JAVA_OPTIONS CLASSPATH=${SMASA_CLASSPATH}:${CLASSPATH} export CLASSPATH
startWebLogic.shファイルを編集して、次のようにSM_JAVA_OPTIONSをJAVAコマンドに追加します。
$JAVA_HOME/bin/java ${JAVA_VM} ${MEM_ARGS} -Dweblogic.Name=${SERVER_NAME} -Djava.security.policy=${WL_HOME}/server/lib/weblogic.policy ${JAVA_OPTIONS} ${SM_JAVA_OPTIONS} ${PROXY_SETTINGS} ${SERVER_CLASS}
ASA_HOME/conf/WebAgent.confファイルを編集して、EnableWebAgentパラメータの値をYESに変更します。
管理対象サーバーおよび管理サーバーをすべて再起動します。
Weblogic認証チェーンで、SiteminderIdentityAsserterおよびSiteminderAuthenticationProviderを追加/構成します。アイデンティティ・アサータの共通構成で、SMSESSIONを選択します。
「プロバイダ固有」サブタブで、「SMアイデンティティ・アサータ構成ファイル:」フィールドをASA_HOME/conf/WebAgent.confに設定します。
SiteminderAuthenticationProvider 'ProviderSpecific'で、「SM認証プロバイダ構成ファイル:」をASA_HOME/conf/WebAgent.confに更新します。
認証チェーンから既存のOIMAuthenticationProviderを削除します。
OIMSignatureAuthenticatorを認証チェーンに追加します。制御フラグをSUFFICIENTに設定します。
表A-1に示すように認証チェーンを並べ替えます。
表A-1 認証チェーン
| 認証プロバイダ | 制御フラグ |
|---|---|
|
SiteminderIdentityAsserter |
|
|
DefaultAuthenticator |
SUFFICIENT |
|
OIMSignatureAuthenticator |
SUFFICIENT |
|
SiteminderAuthenticationProvider |
SUFFICIENT |
|
DefaultIdentityAsserter |
SUFFICIENT |
|
注意: 表A-1に示されている順序では、OIMAuthenticationProviderが削除されています。そのため、ブラウザ(http/https)またはDesign Consoleログインやt3/t3sルーティングなどの非HTTPのいずれかを使用するすべての認証をSiteminder SSOで処理する必要があります。Oracle Identity Managerでは署名認証のみが処理されます。 |
ドメイン内の管理サーバーおよびすべての管理対象サーバーを再起動します。
次のコマンドを使用して、OIMのSSOログアウトを構成します。
cd <IDM_ORACLE_HOME>/common/bin
./wlst.sh
connect()
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="SITEMINDER_LOGOUT_URL", autologinuri="/obrar.cgi")
exit()
|
注意: connect()呼出しにより、管理サーバーのURLとWebLogic管理ユーザー名およびパスワードを求められます。 |
Oracle Identity Managerのssoenabledフラグをtrueに設定します。これを行うには、次のようにします。
Enterprise Managerにログインし、システムMBeanブラウザを開きます。
oracle.iam:Location=oim_server1,name=SSOConfig,type=XMLConfig.SSOConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.1.3.0 MBeanを開きます。
ssoEnabledの値をtrueに設定します。
ドメイン内の管理サーバーおよびすべての管理対象サーバーを再起動します。
保護する/保護しないOracle Identity Managerリソースを次に示します。
次のリソースは保護します。
/identity
/sysadmin
/oim
/xlWebApp
/Nexaweb
次のURIは保護しません。
/identity/faces/register
/identity/faces/forgotpassword
/identity/faces/trackregistration
/identity/faces/forgotuserlogin
/identity/faces/accountlocked
/identity/adfAuthentication
/identity/afr/blank.html
/sysadmin/adfAuthentication
/sysadmin/afr/blank.html
/sysadmin/faces/noaccess
/oim/afr/blank.html
次のリソースは保護しません。
/workflowservice
/callbackResponseService
/spml-xsd
Oracle Identity Managerへのクライアントベース・ログインをサポートするには、smclientclasses.jarをクライアントのクラスパスに追加する必要があります。クライアントのクラスパスを設定するには:
cdコマンドを使用して、OIM_ORACLE_HOME/server/bin/ディレクトリに移動します。
VIエディタでsetEnv.shファイルを開きます。
smclientclasses.jarを、最後にあるCLASSPATH変数に追加します。この設定によって、OIM_ORACLE_HOME/server/binにあるほとんどのクライアント・ユーティリティを実行しながら、Oracle Identity Managerへのクライアント・ログインを正常に実行できます。
ただし、Design Consoleログインを行えるようにするには、このログイン用に別個にクライアントのクラスパスを設定する必要があります。これを行うには、次のようにします。
OIM_ORACLE_HOME/designconsoleディレクトリに移動します。
VIエディタでclasspath.shファイルを開きます。
smclientclasses.jarを、最後にあるCLASSPATH変数に追加します。
次の検証手順を実行して、Oracle Identity ManagerとCA SiteMinderとの統合が正常に行われたかどうかを検証します。
SSOを使用したOracle Identity Managerへのユーザー・ログイン
前提条件: Oracle Identity ManagerとLDAPにユーザー(ENDUSER001など)を作成します。
手順: 作成したユーザー(ENDUSER001など)として、SSOを使用してOracle Identity Managerにログインし、問題なくログインできるかどうかを確認します。
期待される結果: ログインは正常に行われます。
Oracle Identity Managerへのクライアントベース・ログイン
前提条件: Oracle Identity Manager Design Consoleがインストールされ構成されていることを確認します。
手順: SSOパスワードを使用してシステム管理者としてDesign Consoleにログインします。
期待される結果: SiteminderAuthenticationProviderがSSOログインに関して適切に構成されていれば、Design Consoleに問題なくログインできます。
署名ベースの認証
署名ベースの認証をテストするには:
スケジューラ・サービスURLにアクセスします。これは、次に示すOracle Identity Manager管理対象サーバー・ポート上で実行されている必要があります。
http://OIM_HOST:OIM_PORT/SchedulerService-web
SSOパスワードを入力して、システム管理者としてログインします。
ログインが成功し、次の詳細が画面に表示されている場合、署名ログインは成功です。
スケジューラの現在のステータス: 起動済
最後のエラー: なし
次の内容が表示された場合は、そのページで「開始」をクリックします。
スケジューラの現在のステータス: 停止済
ページにエラーが表示されていない場合、署名ログインは成功しています。
SSOをXIMDD用に構成するには:
web.xmlファイルをXIMDDで編集します。これを行うには、次のようにします。
XIMDD.earファイルをサーバーで特定します。場所はOIM_ORACLE_HOME/server/webapp/optional/XIMDD.earです。
XIMDD.earファイルを一時的な場所でjarにより解凍します。これには、XIMDD.warが含まれています。
XIMDD.warファイルをtarにより解凍し、WEB-INF/web.xmlファイルを編集します。
web.xmlファイルの末尾にlogin-configセクションがあります。ここで、<auth-method>の場合、次に示すように、現在値のFORMに加えてCLIENT-CERTを追加します。
<auth-method>CLIENT-CERT, FORM</auth-method>
更新したweb.xmlでJARを再作成してから、XIMDD.earにパックします。
XIMDD.earをデプロイします。これを行うには、次のようにします。
XIMDD.earを「デプロイメント」画面から選択し、「起動」をクリックして、アプリケーションを起動します。
Oracle WebLogic管理コンソールにログインします。
左側のナビゲーション・ペインで、「デプロイメント」をクリックします。サーバーにデプロイされているすべてのアプリケーションがリストされます。
「インストール」をクリックします。
EARファイルをデプロイする場所に移動します。通常、EARファイルは次のディレクトリに格納されています。
OIM_ORACLE_HOME/server/webapp/optional/
「現在の場所」パネルから「XIMDD.ear」を選択します。
「ターゲット指定スタイルの選択」ページで、「次へ」をクリックします。
「XIMDDに指定可能なターゲット」パネルからOimServer(Oracle Identity Managerサーバー)を選択し、「次へ」をクリックします。
「終了」をクリックします。次のメッセージが表示されます。
All changes have been activated. No restarts are necessary. The deployment has been successfully installed.
「デプロイメント」ページにあるアプリケーションのリストからXIMDD.earを選択します。「起動」をクリックして、アプリケーションを起動します。
/u01/ohsauth/ohsauth11g_inst/config/OHS/ohs1/moduleconf/idm.confファイルを更新して、新規セクションを/XIMDD用に追加します。仮想ホストは複数あります。次に示すように、Admin仮想ホストのセクションを追加します。
<Location /XIMDD>
SetHandler weblogic-handler
WLCookieName oimjsessionid
WebLogicHost myhost.mycompany.com
WebLogicPort 14000
WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
</Location>
保護されているリソースに/XIMDDを/oamconsoleから変更します。これを行うには、次のようにします。
/oamconsoleにoamAdminUserとしてログインします。
「ポリシー構成」→「アプリケーション・ドメイン」→IAMSuiteAgent→「リソース」に移動します。画面が図A-1のようになるように、エントリを/XIMDD用に編集します。
「保護レベル」リストから、「保護」を選択して「適用」をクリックします。
/XIMDDにログインします。そのためには、Oracle Identity System Administrationにシステム管理者としてログインします。そして、http://HOST:PORT/XIMDDにナビゲートします。診断ダッシュボードが自動ログイン後に表示されます。
診断ダッシュボードでテストを実行します。診断ダッシュボードの様々なテストの詳細は、「診断ダッシュボードの使用」を参照してください。
