Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド 11gリリース2(11.1.2) B69539-01 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Access Manager 10gをOracle Access Management Access Manager (Access Manager) 11gリリース2(11.1.2)に移行する方法について説明します。内容は次のとおりです。
この章で説明する手順を使用して、Oracle Access Manager 10gの次のアーティファクトをAccess Manager 11.1.2に移行できます。
ホスト識別子
エージェント
データ・ストア
認証スキーム
リソース・タイプ
ポリシー・ドメイン
この移行では、Access Manager 11gリリース2(11.1.2)をインストールし、新しいOracleホーム(IAM_HOME)
を作成して、Oracle Access Manager 10gインストールから新しいAccess Manager 11gリリース2(11.1.2)のOracleホームにポリシー・データを移行する必要があります。
この項には次のトピックが含まれます:
この章で説明する手順を使用して、次の2つのモードで移行を実行できます。
この移行モードでは、11.1.2と互換性のあるOracle Access Manager 10gのすべてのアーティファクトがAccess Manager 11.1.2に移行されます。完全移行を実行できるのは1回のみです。完全移行の実行後に増分移行を実行することはできません。
増分移行は、Oracle Access Manager 10gの選択されたエージェント、ポリシー・ドメインとその関連アーティファクト(ホスト識別子など)、リソースのリソース・タイプ、および認証スキームがAccess Manager 11.1.2に移行される移行モードです。増分移行で、選択されたポリシー・ドメインを移行する際、移行ユーティリティにより、認証スキーム、ホスト識別子、リソース・タイプなどの依存アーティファクトの有無がチェックされ、まずそれらが移行されます。この移行の後、関連付けられているポリシー・ドメインの移行が行われます。
Access Manager 11.1.2環境に存在していないアーティファクトを移行することができます。移行対象のアーティファクトがすでにAccess Manager 11.1.2環境に存在している場合、そのアーティファクトは無視され、移行されません。
増分移行は複数回実行できます。増分移行の後に完全移行を実行することも可能です。または、増分移行を複数回実行して、すべてのアーティファクトを移行することができます。
増分移行の手順は、完全移行の手順と同じですが、加えて、「増分移行のための追加手順」で説明されている、増分移行で必要な追加手順を実行する必要があります。
表12-1は、Access Manager 11.1.2に移行できるOracle Access Manager 10gのアーティファクトのサマリーを示しています。
表12-1 アーティファクトの互換性
アーティファクト | 説明 |
---|---|
ホスト識別子 |
|
エージェント |
|
データ・ストア |
|
認証スキーム |
|
リソース・タイプ |
|
ポリシー・ドメイン |
|
図12-1は、Oracle Access Manager 10gとAccess Manager 11.1.2のトポロジを比較したものです。
図12-1 Oracle Access Manager 10gとAccess Manager 11.1.2のトポロジの比較
表12-2は、Oracle Access Manager 10gからAccess Manager 11.1.2への移行手順を示しています。
表12-2 移行タスク
タスク番号 | タスク | 参照先 |
---|---|---|
1 |
前提条件を満たします。 |
「移行の前提条件」を参照してください。 |
2 |
Oracle Identity and Access Management 11gリリース2(11.1.2)をインストールします。 |
「Oracle Identity and Access Management 11.1.2のインストール」を参照してください。 |
3 |
Access Manager 11.1.2を構成します。 |
「Oracle Access Management Access Manager 11.1.2の構成」を参照してください。 |
4 |
移行後、WebGateがAccess Manager 11.1.2との通信を開始したときに、Access Manager 11.1.2サーバーがエージェントからの接続を受け入れるように、Access Manager 11.1.2サーバー・インスタンスとWebGateのセキュリティ・モードを構成します。 |
「Access Manager 11.1.2サーバー用のトランスポート・セキュリティ・モードの構成」を参照してください。 |
5 |
管理サーバーおよびAccess Manager 11.1.2管理対象サーバーを起動します。 |
|
6 |
LDAP詳細および必要な情報を使用してプロパティ・ファイルを作成します。 |
「プロパティ・ファイルの作成」を参照してください。 |
7 |
評価レポートを生成し、どのエージェントとアーティファクトをAccess Manager 11.1.2に移行できるかを分析します。 Oracle Access Manager 10g環境を移行する前に、このタスクを複数回実行できます。 |
「評価レポートの生成」を参照してください。 |
8 |
Access Manager 11.1.2があるドメインの管理サーバーを再起動します。 |
「管理サーバーの再起動」を参照してください。 |
9 |
増分移行を実行する場合は、追加手順(入力ファイルの作成など)を実行します。 完全移行を実行する場合は、このタスクは無視してください。 |
「増分移行のための追加手順」を参照してください。 |
10 |
Oracle Access Manager 10gをAccess Manager 11.1.2に移行します。 |
「Access Manager 11.1.2へのOracle Access Manager 10gのアーティファクトの移行」を参照してください。 |
11 |
移行されたWebGateをOracle Access Management 11.1.2サーバーに関連付けます。 |
「Access Manager 11.1.2サーバーとWebGateの関連付け」を参照してください。 |
12 |
移行を確認します。 |
「移行の確認」を参照してください。 |
Oracle Access Manager 10gをAccess Manager 11.1.2に移行するには、次の前提条件を満たす必要があります。
Oracle Fusion Middlewareのシステム要件および仕様のドキュメントを読み、インストール、アップグレードおよび移行を行う製品の最小要件を環境が満たしていることを確認します。
注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。 |
使用しているOracle Access Manager 10gのバージョンで移行がサポートされていることを確認します。Oracle Access Manager 10gの移行がサポートされている開始ポイントについては、第11.2項「Oracle Access Manager 10gの移行がサポートされている開始ポイント」を参照してください。
Oracle Access Manager 10gデプロイメント内で構成されているすべてのユーザー・ストアが実行されていることを確認します。
注意: 移行ユーティリティでは、SSLポート経由で構成ストアに接続することはできません。 |
移行プロセスの一部として、Oracle Identity and Access Management 11gリリース2(11.1.2)をインストールする必要があります。Oracle Identity and Access Managementは、Oracle Access Management Access Manager 11.1.2を含むスイートです。これは、Oracle Access Manager 10gがインストールされているのと同じマシンにも異なるマシンにもインストールできます。
Oracle Identity and Access Management 11.1.2のインストールの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracle Identity and Access Management (11.1.2)のインストールに関する項を参照してください。
Oracle Identity and Access Management 11.1.2をインストールしたら、Access Manager 11.1.2を構成し、ドメインを作成する必要があります。
Access Manager 11.1.2の構成については、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracle Access Managementの構成に関する項を参照してください。
移行後、移行されたWebGateがAccess Manager 11.1.2サーバーと通信できるように、Access Manager 11.1.2サーバーのセキュリティ・モードを構成する必要があります。セキュリティ・モードは次のとおりです。これらのセキュリティ・モードは、セキュリティ・レベルの低いものから高いものへという順番で示されています。
Open
Simple
Cert
Open
がセキュリティ・レベルの最も低いモードであり、Cert
がセキュリティ・レベルの最も高いモードです。Open
は、デフォルトのセキュリティ・モードです。どのセキュリティ・モードでAccess Manager 11.1.2サーバーを構成する必要があるかは、移行対象のOracle Access Manager 10g WebGateのセキュリティ・モードによって異なります。
この項には次のトピックが含まれます:
移行するすべてのWebGateが同じセキュリティ・モードである場合は、Access Manager 11.1.2サーバーをそのモードで構成する必要があります。移行されたWebGateに異なるセキュリティ・モードのWebGateが混在する場合は、Access Manager 11.1.2サーバーを、よりセキュリティ・レベルの低いモードで構成する必要があります。表12-3は、様々なユースケースとAccess Manager 11.1.2サーバーを構成する必要のあるセキュリティ・モードを示しています。
表12-3 Access Manager 11.1.2サーバーのセキュリティ・モードの選択
Oracle Access Manager 10g WebGateのトランスポート・セキュリティ・モード | Access Manager 11.1.2インスタンスで構成する必要のあるセキュリティ・モード | 構成手順 |
---|---|---|
一部またはすべてが |
|
|
すべてが |
|
|
すべてが |
|
|
|
|
|
|
|
Access Manager 11.1.2用にCert
モード通信を構成するには、Oracle Fusion Middleware Oracle Access Management管理者ガイドのAccess Manager用のCertモード通信の構成に関する項の次の手順を実行します。
OAMサーバーとWebGate間の通信の保護の概要に関する項、およびCertモード暗号化とファイルに関する項を確認します。
このタスクで説明されているすべての手順を実行します。
OAMサーバー用の証明書リクエストおよび秘密鍵の生成に関する項
このタスクで説明されているすべての手順を実行します。
OAMキーストア別名およびパスワードの取得に関する項
このタスクで説明されているすべての手順を実行します。
信頼できる、署名された証明書チェーンの、キーストアへのインポートの項
このタスクでは、WebGateのCert
モード証明書の発行に使用される認証局(CA)証明書をインポートします。このCA証明書が、Access Manager 11.1.2サーバーが信頼済の証明書とは異なる場合は、このタスクの次の手順を実行します。そうでない場合は、これらのタスクは無視してください。
aaa_chain.pem: テキスト・エディタを使用してaaa_chain.pemファイルを変更して、CERTIFICATEブロック内に含まれるデータを除くすべてのデータを削除してからそのファイルを保存します。
次のコマンドと環境に応じた詳細を使用して、信頼された証明書チェーンをインポートします。
証明書を信頼するかどうか尋ねられたら、「yes」と入力します。
Access Manager設定への証明書詳細の追加に関する項
このタスクの、OAMサーバー登録ページを開き、「プロキシ」タブをクリックし、プロキシ・モードを「証明書」に変更して「適用」をクリックする手順は無視してください。
Access Manager 11.1.2サーバーのCert
モード証明書で使用されているルート認証局(CA)が、WebGate側のaaa_chain.pem
ファイルにあるCA証明書と異なる場合は、aaa_chain.pem
ファイルを、サーバーのCert
モード証明書の発行に使用されるルートCA証明書で更新する必要があります。次の手順を実行します。
Access Manager 11.1.2サーバー・インスタンス用のCert
モード証明書の生成に使用された、PEM形式のCA証明書を取得します。
任意のテキスト・エディタでこのCA証明書を開き、このファイルのコンテンツを、BEGIN、ENDマーカーを含めてコピーします。次に例を示します。
----BEGIN CERTIFICATE-----
...
CERTIFICATE
...
-----END CERTIFICATE-----
任意のテキスト・エディタを使用してOHS_INSTANCE_HOME
/config/OHS/ohs2/webgate/config
にあるaaa_chain.pem
ファイルを開き、サーバーCA証明書ベースの64エンコードのコンテンツをaaa_chain.pem
ファイルの最後に貼り付けます。
ファイルを保存して閉じます。
Access Manager 11.1.2サーバー用のSimple
モード通信を構成するには、次の手順を実行します。
次のURLを使用して、Oracle Access Management 11.1.2管理コンソールにログインします。
http://<host>:<port>/oamconsole
ここで、<host>
はAccess Manager 11.1.2が実行されているマシンであり、<port>
はポート番号です。
「システム構成」タブに移動します。
「Access Manager」を開き、「Access Managerの設定」をダブルクリックします。
「アクセス・プロトコル」セクションを開きます。
「グローバル・パスフレーズ」を、Oracle Access Manager 10gデプロイメントで使用されているのと同じ値に設定します。
Oracle Access Manager 10gをAccess Manager 11.1.2に移行する作業を開始する前に、WebLogic管理サーバーおよびAccess Manager 11.1.2管理対象サーバーが起動しており実行中であることを確認してから、Oracle Access Manager 10gの移行を開始してください。WebLogic管理サーバーおよびAccess Manager 11.1.2管理対象サーバーを起動していない場合は、次の手順を使用して起動します。
管理サーバーの起動
管理サーバーを起動するには、次を実行します。
UNIXの場合:
次のコマンドを使用して、現在の作業ディレクトリからMW_HOME
/user_projects/domains/
domain_name
/bin
ディレクトリに移動します。
cdMW_HOME
/user_projects/domains/domain_name
/bin/
次のコマンドを実行します:
./startWebLogic.sh
プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。
Windowsの場合:
コマンドラインで次のコマンドを使用して、現在の作業ディレクトリからMW_HOME
\user_projects\domains\
domain_name
\bin
ディレクトリに移動します。
cdMW_HOME
\user_projects\domains\domain_name
\bin\
次のコマンドを実行します:
startWebLogic.cmd
プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。
Access Manager 11.1.2管理対象サーバーの起動
Access Manager 11.1.2管理対象サーバーを起動するには、次の手順を実行します。
UNIXの場合:
次のコマンドを使用して、現在の作業ディレクトリからMW_HOME
/user_projects/domains/
domain_name
/bin
ディレクトリに移動します。
cdMW_HOME
/user_projects/domains/domain_name
/bin/
次のコマンドを実行します:
./startManagedWebLogic.shoam_managed_server
admin_url
このコマンドでは、次のように指定します。
oam_managed_server
は、起動するAccess Manager 11.1.2管理対象サーバーの名前です。
admin_url
は、WebLogic管理コンソールのURLです。http://
host
:
port
/console
という形式で指定する必要があります。
プロンプトが表示されたら、WebLogic管理サーバーのユーザー名およびパスワードを入力します。
Windowsの場合:
コマンドラインで次のコマンドを使用して、現在の作業ディレクトリからMW_HOME
\user_projects\domains\
domain_name
\bin
ディレクトリに移動します。
cdMW_HOME
\user_projects\domains\domain_name
\bin\
次のコマンドを実行します:
startManagedWebLogic.cmdoam_managed_server
admin_url
このコマンドでは、次のように指定します。
oam_managed_server
は、起動するAccess Manager 11.1.2管理対象サーバーの名前です。
admin_url
は、管理コンソールのURLです。http://
host
:
port
/console
という形式で指定する必要があります。
プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。
アクセス可能な任意の場所にプロパティ・ファイルを作成します。たとえば、oam_migration.properties
ファイルを作成します。
プロパティ・ファイルのコンテンツは、次のようなものです。
## Configuration store details config_store_ldap_url=ldap://<Host Name>:<Port>/ config_store_ldap_base=<Configuration store ldap base> config_store_principal=<Configuration store LDAP Principal> config_store_password=<Configuration store OAM 10g encrypted password> config_store_initial_context_factory=com.sun.jndi.ldap.LdapCtxFactory ## Policy store details policy_store_ldap_url=ldap://<Host Name>:<Port>/ policy_store_ldap_base=<Policy store ldap base> policy_store_principal=<Policy store LDAP Principal> policy_store_password=<Policy store OAM 10g encrypted password> policy_store_initial_context_factory=com.sun.jndi.ldap.LdapCtxFactory ## migration_mode indicates what type of migration does the administrator intends ## to perform. ## 1. COMPLETE : A full migration will be performed. Ideal for a new OAM 11g ## environment with a clean database. ## 2. INCREMENTAL: In case complete migration has already been performed and ## optimizations are done in the 10g environment, then ## incremental mode can be used to migrate selective artifacts ## from 10g enviroment. Incremental mode will be dictated by the ## include and exclude file properties. ## Defaults to COMPLETE if not specified. migration_mode=COMPLETE ## The include filename property indicates the absolute filename that would ## contain the list of artifacts that the administration wishes to selectively ## migrate to the 11g environment in incremental mode. For migration modes other ## than incremental, this property will be directly ignored. include_file=<include input filename> ## The exclude filename property indicates the absolute filename that would ## contain the list of artifacts that the administration wishes to selectively ## exclude from migrating to the 11g environment in incremental mode. For ## migration modes other than incremental, this property will be directly ignored. ## In incremental mode migration, if the administrator specifies both the include ## and exclude files then the include file wiil take precedence and exclude file ## will be ignored. exclude_file=<exclude input filename> ## This flag denotes whether the preview file should be created or not. If true, ## then preview report will be created irrespective of the value of the ## evaluate_only flag. If set to false, then preview report will not be created. ## Defaults to TRUE if not specified. preview_enabled=true ## Parameter to filter out preview report file based on the compatibility of an ## artifact. It can take values as COMPATIBLE, INCOMPATIBLE and ALL. ## If set to INCOMPATIBLE, it will include records with compatibility as ## INCOMPATIBLE,INCOMPATIBLE_WITH_LESS_FEATURES and IGNORE. If set to COMPATIBLE, ## it will include records with compatibility as COMPATIBLE. If set to ALL, ## it will include all types of record. ## Defaults to INCOMPATIBLE if not specified. preview_level=ALL ## Indicates the absolute path and filename of the evaluation preview record file. ## If not specified, defaults to ## <MW_Home>/user_projects/domains/base_domain/MigrationPreviewFile.txt evaluate_filename=<Preview report filename> ## Flag indicating whether the migration utility runs in evalute mode. If true, ## only preview records will be generated and actual migration to 11g environment ## will be skipped. If false, then actual migration will take place. ## Defaults to FALSE if not specified. evaluate_only=false ## Parameter for indicating the threashold limit for the artifacts processed in ## memory. Can be used on machines with less memory. If not provided, then ## defaults to 5000. If the migration utility is being used in 'evaluate only' ## mode, this value will be ignored. ## If you feel that the memory will not prove to be insufficient for the amount ## of data that is being migrated, set the value to "MAX". artifact_queue_limit=3000 ## Parameter to provide mode of an agent while migration. It will migrate all the ## agents in the mode specified here. The values can be, OPEN, SIMPLE, CERT ## and RETAIN_EXISTING. Defualt value will be RETAIN_EXISTING. This value will ## migrate agent in its existing mode. agent_mode_to_override=RETAIN_EXISTING
表12-4は、プロパティ・ファイル内の各プロパティに指定する必要のある値を示しています。
表12-4 プロパティ・ファイルの値
プロパティ | 説明 |
---|---|
|
Oracle Access Manager 10gデプロイメントで使用されている構成ストアのLDAPホストとポートを、 |
|
Oracle Access Manager 10gデプロイメントの構成ストア用のLDAP検索ベースを指定します。これは、Oracle Access Manager 10gのインストール時に指定したのと同じ検索ベースです。この値を取得するには、次の手順を実行します。
|
|
構成ストアの管理者のLDAP DNを指定します。 |
|
Oracle Access Manager 10gの構成LDAPストアの暗号化パスワードを指定します。暗号化パスワードを取得するには、次の手順を実行します。
|
|
このプロパティの値は、 |
|
Oracle Access Manager 10gデプロイメントで使用されているポリシー・ストアのLDAPホストとポートを、 |
|
Oracle Access Manager 10gデプロイメントのポリシー・ストア用のLDAP検索ベースを指定します。これは、Oracle Access Manager 10gのインストール時に指定したのと同じ検索ベースです。この値を取得するには、次の手順を実行します。
|
|
ポリシー・ストアの管理者のLDAP DNを指定します。 |
|
Oracle Access Manager 10gのポリシーLDAPストアの暗号化パスワードを指定します。暗号化パスワードを取得するには、次の手順を実行します。
|
|
このプロパティの値は、 |
|
このプロパティは、実行する移行のモードを示します。次の値のいずれかを設定します。
移行のモードの詳細は、「移行のモード」を参照してください。 |
|
増分移行を実行する場合、一部のアーティファクトをAccess Manager 11.1.2に移行するには、
増分移行の実行時に、 完全移行では、このプロパティは無視されます。 |
|
増分移行を実行する場合、一部のアーティファクトを移行から除外するには、
増分移行の実行時に、 完全移行では、このプロパティは無視されます。 |
|
このプロパティは、評価レポートを作成するかどうかを示します。このプロパティの値が
値を何も指定しないと、デフォルト値である |
|
このプロパティは、アーティファクトの互換性に基づいて評価レポートのデータをフィルタ処理します。このプロパティには、次のいずれかの値を指定できます。
このプロパティの値が このプロパティの値が このプロパティの値が 互換性のないアーティファクト、および互換性はあるが機能が低下するアーティファクトの詳細は、表12-6を参照してください。 |
|
生成する評価レポート・ファイルの絶対パスとファイル名を指定する必要があります。評価レポートのデフォルトのパスは |
|
このプロパティは、移行ユーティリティが評価モードで実行されるかどうかを示します。 このプロパティの値が このプロパティの値が このプロパティに値を何も指定しないと、デフォルト値である |
|
このプロパティは、メモリーで処理されるアーティファクトのしきい値の制限を示します。移行プロセスでメモリーが少ないマシンを使用している場合は、このプロパティを指定できます。 移行されるデータの量が多く、かつメモリーが十分である場合は、このプロパティの値を このプロパティのデフォルト値は |
|
このプロパティは、すべてのエージェントが移行されるモードを示します。このプロパティには、次のいずれかの値を指定できます。
デフォルト値は |
注意:
|
Oracle Access Manager 10gアーティファクトをAccess Manager 11.1.2に移行する前に、評価レポートを生成する必要があります。
評価レポートは、プロパティ・ファイルで該当するプロパティを設定することにより、移行ユーティリティの実行時に生成されるテキスト・ファイルです。このレポートには、Oracle Access Manager 10gのすべてのアーティファクトに関する情報と、Access Manager 11.1.2でのそれらの互換性に関する情報が含まれます。
このレポートには、次の3つのデータ・セクションがあります。
レポートの分析方法に関する注意事項、およびアーティファクトの互換性に関するいくつかの一般的な情報。
Access Manager 11.1.2で互換性のあるアーティファクト、互換性のないアーティファクト、互換性はあるが機能が低下するアーティファクト、および無視されるアーティファクトの数。
Oracle Access Manager 10gのすべてのアーティファクトに関する詳細情報(表形式)。
表12-5は、Oracle Access Manager 10gのアーティファクトに関する情報が表示される表の列を示しています。
表12-5 評価レポートの内容
列番号 | 列 | 説明 |
---|---|---|
1 |
ARTIFACT TYPE |
この列には、Oracle Access Manager 10g内のアーティファクトのタイプが表示されます。アーティファクトのタイプは次のとおりです。
|
2 |
ARTIFACT |
この列には、Oracle Access Manager 10gのすべてのアーティファクトの名前が表示されます。 ポリシー・ドメインの名前は、2つの部分に分かれています。最初の部分はポリシー・ドメインの名前を示し、2番目の部分はポリシー・ドメインのコンテンツを示します。 |
3 |
DETAILS |
この列には、各アーティファクトに関する情報が表示されます。
|
4 |
COMPATIBILITY |
この列には、Access Manager 11.1.2でのアーティファクトの互換性に関する情報(アーティファクトがAccess Manager 11.1.2と互換性があるかどうか)が表示されます。この列のすべてのアーティファクトの値は、次のいずれかです。
|
5 |
MESSAGE |
この列には、各アーティファクトの移行に関連するメッセージが表示されます。 |
6 |
ACTION REQUIRED |
この列には、ユーザーによって要求されたアクションが表示されます(ある場合)。 |
注意: 評価レポートで生成されるデータのレベルは、プロパティ・ファイルの Oracle Access Manager 10gのアーティファクトをAccess Manager 11.1.2に実際に移行する前に、評価レポートを複数回生成できます。 |
表12-6は、Access Manager 11.1.2で互換性がないOracle Access Manager 10gのアーティファクトのタイプ、および互換性はあるが機能が低下するアーティファクトのタイプを示しています。
表12-6 評価レポートのサマリー
アーティファクト | 説明 |
---|---|
INCOMPATIBLE |
|
COMPATIBLE_WITH_LESS_FEATURES |
|
評価レポートを生成するには、次の手順を実行します。
第12.9項「プロパティ・ファイルの作成」で作成したプロパティ・ファイルを次のように編集します。
migration_mode
プロパティの値をCOMPLETE
に設定します。
preview_enabled
プロパティの値をtrue
に設定します。
evaluate_only
プロパティの値をtrue
に設定します。
評価レポート・ファイルの絶対パスをevaluate_filename
プロパティに設定したことを確認します。
プロパティ・ファイルを保存して閉じます。
第12.13項「Access Manager 11.1.2へのOracle Access Manager 10gのアーティファクトの移行」の手順2から手順6を実行します。
これにより、作成したプロパティ・ファイルのevaluate_filename
プロパティで指定されている場所に評価レポートが作成されます。このレポートは、Microsoft Excelで開くこともできます。評価レポートに含まれるレコードは、プロパティ・ファイルのpreview_level
プロパティで設定された値に基づきます。
プロパティ・ファイルのevaluate_only
プロパティがtrue
に設定されているため、移行ユーティリティでは、評価レポートのみが生成され、Oracle Access Manager 10gのアーティファクトの移行は実行されません。
注意: 移行を開始する前に、評価レポートを分析し、Oracle Access Manager 10g環境に必要な変更を加えることができます。 |
評価レポートを作成し、かつOracle Access Manager 10gアーティファクトを移行する場合は、evaluate_only
プロパティの値をfalse
に設定し、第12.13項「Access Manager 11.1.2へのOracle Access Manager 10gのアーティファクトの移行」で説明されている手順に従います。
次のように、Access Manager 11.1.2があるドメインのWebLogic管理サーバーを再起動します。
管理サーバーの停止
管理サーバーを停止するには、次を実行します。
UNIXの場合:
次のコマンドを使用して、現在の作業ディレクトリからMW_HOME
/user_projects/domains/
domain_name
/bin
ディレクトリに移動します。
cdMW_HOME
/user_projects/domains/domain_name
/bin/
次のコマンドを実行します:
./stopWebLogic.shadmin_username
admin_password
admin_url
このコマンドでは、次のように指定します。
admin_username
は、WebLogic管理サーバーのユーザー名です。
admin_password
は、WebLogic管理サーバーのパスワードです。
admin_url
は、管理コンソールのURLです。http://
host
:
port
/console
という形式で指定する必要があります。
Windowsの場合:
コマンドラインで次のコマンドを使用して、現在の作業ディレクトリからMW_HOME
\user_projects\domains\
domain_name
\bin
ディレクトリに移動します。
cdMW_HOME
\user_projects\domains\domain_name
\bin\
次のコマンドを実行します:
stopWebLogic.cmd
プロンプトが表示されたら、管理サーバーのユーザー名およびパスワードを入力します。
管理サーバーの起動
WebLogic管理サーバーを起動するには、次の手順を実行します。
UNIXの場合:
次のコマンドを使用して、現在の作業ディレクトリからMW_HOME
/user_projects/domains/
domain_name
/bin
ディレクトリに移動します。
cdMW_HOME
/user_projects/domains/domain_name
/bin/
次のコマンドを実行します:
./startWebLogic.sh
プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。
Windowsの場合:
コマンドラインで次のコマンドを使用して、現在の作業ディレクトリからMW_HOME
\user_projects\domains\
domain_name
\bin
ディレクトリに移動します。
cdMW_HOME
\user_projects\domains\domain_name
\bin\
次のコマンドを実行します:
startWebLogic.cmd
プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。
増分移行を実行する場合のみ、次の手順を実行します。
移行プロセスで作成するプロパティ・ファイルでmigration_mode
プロパティをINCREMENTAL
に設定します(第12.9項「プロパティ・ファイルの作成」)。
増分移行を実行するには、移行するアーティファクト(エージェントとポリシー・ドメイン)のリスト、または移行から除外するアーティファクト(エージェントとポリシー・ドメイン)のリストを、入力ファイルと呼ばれるテキスト・ファイルで指定する必要があります。新しい入力ファイルを作成することも、評価レポートの生成時に作成される入力ファイル(第12.10項「評価レポートの作成」)を使用することも可能です。
アーティファクトを移行の対象とするには、次の手順を実行します。
入力ファイルの名前をinclude
ファイルとします。
次の例に示す形式で、移行するアーティファクトを指定します。
例: エージェント・プロファイルISAPI_OAM101430_WG
を移行するには、include
ファイル内のエントリを次のように設定する必要があります。
AGENT##ISAPI_OAM101430_WG##ISAPI_OAM10430##Y
説明は次のとおりです。
Y
は、アーティファクトが増分移行の対象として選択されることを示します。
プロパティ・ファイル(oam_migration.properties
)のinclude_file
プロパティを、include
ファイルへの絶対パスに設定します。
アーティファクトを移行から除外するには、次の手順を実行します。
入力ファイルの名前をexclude
ファイルとします。
次の例に示す形式で、移行から除外するアーティファクトを指定します。
例: エージェント・プロファイルISAPI_OAM101430_WG
を移行から除外するには、exclude
ファイル内のエントリを次のように設定する必要があります。
AGENT##ISAPI_OAM101430_WG##ISAPI_OAM10430##Y
説明は次のとおりです。
Yは、アーティファクトが増分移行の対象として選択されないことを示します。
除外ファイルにリストされているすべてのアーティファクトは移行されません。
プロパティ・ファイル(oam_migration.properties
)のexclude_file
プロパティを、exclude
ファイルへの絶対パスに設定します。
注意:
プロパティ・ファイルでこれらの入力ファイルを何も指定しないと、移行は中断されます。 増分移行は複数回実行できます。 |
Oracle Access Manager 10gをAccess Manager 11.1.2に移行する前に、(第15.9項「評価レポートの生成」の説明に従って)評価レポートを生成し、Access Manager 11.1.2で互換性のあるアーティファクトと互換性のないアーティファクトを分析することをお薦めします。
注意: 評価レポートの分析後、Oracle Access Manager 10gをAccess Manager 11.1.2に移行する場合は、この項の手順1から6を実行します。 増分移行を実行する場合は、プロパティ・ファイルで 完全移行を実行する場合は、プロパティ・ファイルで |
完全移行または増分移行を実行するには、次の手順を実行します。
「プロパティ・ファイルの作成」で作成したプロパティ・ファイルでevaluate_only
プロパティをfalse
に設定します。ファイルを保存して閉じます。
次のコマンドを実行して、WebLogic Scripting Tool(WLST)を起動します。
UNIXの場合:
コマンドラインで次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME
/common/bin
ディレクトリに移動します。
cd
IAM_HOME
/common/bin
次のコマンドを実行して、WebLogic Scripting Tool(WLST)を起動します。
./wlst.sh
Windowsの場合:
コマンドラインで次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME
\common\bin
ディレクトリに移動します。
cd
IAM_HOME
\common\bin
次のコマンドを実行して、WebLogic Scripting Tool(WLST)を起動します。
wlst.cmd
次のコマンドを実行して、WLSTをWebLogic Serverインスタンスに接続します。
connect('wls_admin_username
','wls_admin_password
','t3://hostname
:port
');
このコマンドでは、次のように指定します。
wls_admin_username
は、WebLogic管理サーバーのユーザー名です。
wls_admin_password
は、WebLogic管理サーバーのパスワードです。
hostname
は、WebLogic管理サーバーが実行されているホストです。
port
は、WebLogic管理サーバーのポートです。
次に例を示します。
connect('weblogic','password','t3://localhost:7001');
次のコマンドを実行します:
domainRuntime();
次のコマンドを実行します:
setLogLevel(logger="oracle.oam",level="TRACE:32",persist="0",target="AdminServer");
次のコマンドを実行して、Oracle Access Manager 10gのアーティファクトをAccess Manager 11.1.2に移行します。
oamMigrate(oamMigrateType="OAM10g",pathMigrationPropertiesFile="absolute_path_of_properties_file
");
説明は次のとおりです。
absolute_path_of_properties_file
は、手順1で作成したプロパティ・ファイルの絶対パスです。次に例を示します。
UNIXの場合: oamMigrate(oamMigrateType="OAM10g",pathMigrationPropertiesFile="
abc
/
def
/oam_migration.properties
"
Windowsの場合: oamMigrate(oamMigrateType="OAM10g",pathMigrationPropertiesFile="
abc
\\
def
\\oam_migration.properties"
移行が完了すると、WLSTコンソールに、移行の結果を示すメッセージが表示されます。次の場所にログ・ファイルが生成されます。
MW_HOME
/user_projects/domains/base_domain/servers/AdminServer/logs/
Adminserver-diagnostic*.log
移行プロセスでなんらかのエラーが発生した場合は、ログ・ファイルを参照してください。
Oracle Access Manager 10gをAccess Manager 11.1.2に移行した後、移行されたすべてのWebGateをAccess Manager 11.1.2 Serverに関連付ける必要があります。次の手順を実行します。
Access Manager 11.1.2サーバー・インスタンスのホスト名とポートの詳細を使用して、Oracle Access Manager 10gアクセス・システム・コンソール上に新しいサーバー・プロファイルを作成します。それには、次の手順を実行します。
Oracle Access Manager 10gアクセス・システム・コンソールにログインします。
「アクセス・システム構成」タブに移動します。
左側のナビゲーション・ペインの「アクセス・サーバー構成」をクリックします。
「追加」をクリックして、新しいサーバー・プロファイルを作成します。
次の詳細を指定します。
名前: このサーバーの名前を指定します。
ホスト名: Access Manager 11.1.2サーバー・インスタンスが実行されているマシンのホスト名を指定します。
ポート: Access Manager 11.1.2サーバー・インスタンスのプロキシ・ポートを指定します。Access Manager 11.1.2のデフォルトのプロキシ・ポートは5575
です。
トランスポート・セキュリティ: Access Manager 11.1.2サーバー・インスタンスと同じトランスポート・セキュリティ・モードを指定します。
他のパラメータについてはデフォルト値のままにします。
「保存」をクリックします。
関連付けの後でAccess Manager 11.1.2サーバーとの接続を確立できないWebGateのプロファイル内のWebGate (AccessGate)のMAX Connections
パラメータの値を設定します。
Oracle Access Manager 10gのプライマリ・サーバーがすべて起動している場合、MAX Connections
の値を、Oracle Access Manager 10gのすべてのプライマリ・サーバーへの接続数の合計と同じ数に設定します。
WebGateプロファイルの変更に関する詳細は、Oracle Access Managerアクセス管理ガイドリリース10g(10.1.4.3)のアクセス・ゲートの変更に関する項を参照してください。
既存のOracle Access Manager 10gサーバーを保持することで、各WebGateを1つ以上のプライマリ・サーバーとしてAccess Manager 11.1.2サーバーに関連付けます。Access Manager 11.1.2サーバーへの接続数を1以上に設定します。
非アクティブな再構成期間の後、WebGateは、サーバーの新しいリストで更新されます。
オプション: 各WebGateで、webgate_installation_directory
/oblix/lib/ObAccessClient.xml
にあるObAccessClient.xml
ファイルが、プライマリ・サーバーのリスト内のAccess Manager 11.1.2サーバーのホストとポートで更新されることを確認します。これを行うには、ObAccessClient.xml
ファイルを開き、プライマリ・サーバーのリストを探します。
次のタスクのいずれかを実行して、WebGateをAccess Manager 11.1.2サーバーにポイントします。
すべてのOracle Access Manager 10gサーバーを停止します。Oracle Access Manager 10gサーバーへの接続数が多い場合、WebGateがAccess Manager 11.1.2サーバーとの通信を開始するには数分かかります。WebGateをホストするWebサーバーを再起動すると、WebGateはただちに、Access Manager 11.1.2サーバーとの通信を開始します。
MAX Connections
パラメータの値を1つ増やして、WebGateがAccess Manager 11.1.2サーバーとの通信を確立できるようにします。WebGate上でのロードが大きいほど、Access Manager 11.1.2サーバーへの接続にかかる時間は短くなります。
WebGateは、Access Manager 11.1.2サーバーからの新しい構成情報を取得しますが、Access Manager 11.1.2サーバーのプライマリ・サーバーは1つのみです。そのため、WebGateは、Access Manager 11.1.2サーバーとのみ通信します。こうしておけば、サーバーは1つしかないので、MAX Connections
の値を減らすことができます。
移行を確認するには、次の手順を実行します。
移行が成功すると、WLSTコンソールに「移行が正常に完了しました。」というメッセージが表示されます。
次のディレクトリに生成されているoam-config.xml
ファイルで、アップグレードされたステータス、移行のタイプ、タイムスタンプなどの移行の詳細を確認します。
UNIXの場合:
MW_HOME
/user_projects/domains/
Domain_Name
/config/fmwconfig/
Windowsの場合:
MW_HOME
\user_projects\domains\
Domain_Name
\config\fmwconfig\
次のURLを使用してOracle Access Managementコンソールにログインします。
http://host
:port
/oamconsole
このURLで、host
はAccess Manager 11.1.2が実行されているマシン、およびport
はポート番号です。
Oracle Access Manager 10gのアーティファクトがAccess Manager 11.1.2に移行されたことを確認します。
この項では、Oracle Access Manager 10gをAccess Manager 11.1.2に移行するときに発生する可能性のある一般的な問題の解決策について説明します。内容は次のとおりです。
ログ・ファイルのサイズが小さすぎると、ログ・ファイルのローテーション時に移行データが失われるおそれがあります。この問題を解決するには、次の手順を実行して、WebLogicコンソールでログ・ファイルのサイズを増やす必要があります。
次のURLを使用してWebLogic管理コンソールにログインします。
http://host
:port
/console
このURLで、host
はWebLogic管理サーバーをホストするマシンのホスト名、およびport
は管理サーバーのポート番号です。
左側のナビゲーション・ペインの「ドメイン構造」で、それぞれのドメイン名の下の「環境」を開きます。
「サーバー」をクリックします。
「サーバーのサマリー」ページで、「構成」タブに移動し、管理サーバーの名前(たとえば、「AdminServer(admin」))をクリックします。
「ロギング」タブに移動し、「一般」タブをクリックします。
次のフィールドに適切な値を指定します。
ローテーション・ファイル・サイズ: ログ・ファイルのサイズをKB単位で指定します。指定できる最大値は65535 KBです。
保存するファイル数: 保存する、ローテーションされたログ・ファイルの数を指定します。
「保存」をクリックします。
Oracle Access Manager 10gのポリシー・データが(様々なポリシー関連アーティファクトの数という点で)大規模である場合、移行ツールで、処理のために大量のメモリーが必要になる可能性があります。WebLogic管理サーバーのヒープ・サイズが小さい場合は、次の手順を実行して、そのサイズを増やすことができます。
UNIXの場合:
ディレクトリMW_HOME
/user_projects/domains/
Domain_Name
/bin/
から、任意のテキスト・エディタでsetDomainEnv.sh
ファイルを開きます。
次の行を検索します。
if [ "${USER_MEM_ARGS}" != "" ]
前の手順で特定した行のすぐ前に、次の行を追加します。
USER_MEM_ARGS="new_heap_size
"
export USER_MEM_ARGS
ここで、new_heap_size
は、WebLogic管理サーバーの新たなヒープ・サイズ(MB単位)です。
たとえば、WebLogic管理サーバーのヒープ・サイズを2GBに増やすには、次のように指定します。
USER_MEM_ARGS="-Xms2048m -Xmx2048m" export USER_MEM_ARGS
Windowsの場合:
ディレクトリMW_HOME
\user_projects\domains\
Domain_Name
\bin\
から、任意のテキスト・エディタでsetDomainEnv.cmd
ファイルを開きます。
次の行を検索します。
if NOT "%USER_MEM_ARGS%"=="" (
前の手順で特定した行のすぐ前に、次の行を追加します。
set USER_MEM_ARGS="new_heap_size
"
ここで、new_heap_size
は、WebLogic管理サーバーの新たなヒープ・サイズ(MB単位)です。
たとえば、WebLogic管理サーバーのヒープ・サイズを2GBに増やすには、次のように指定します。
set USER_MEM_ARGS=-Xms2048m -Xmx2048m