| Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド 11gリリース2(11.1.2) B69539-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド 11gリリース2(11.1.2) B69539-01 |
|
前 |
次 |
この章では、Sun Java System Access Manager 7.1をOracle Access Management Access Manager(Access Manager)11gリリース2(11.1.2)に移行する方法について説明します。
内容は次のとおりです。
この項では、Sun Java System Access Manager 7.1からAccess Manager 11.1.2への移行プロセスで使用される2つのツールを紹介します。
OpenSSOエージェント評価ツール
OpenSSOエージェント評価ツールは、Sun Java System Access Manager 7.1サーバーからポリシーを読み取り、どのポリシー要素をAccess Manager 11.1.2に移行できるかを分析して、評価レポートを生成します。生成されたレポートには、Access Manager 11.1.2ポリシー・モデルに基づいて、ポリシー要素の手動移行、自動移行または準移行のどの移行が可能かに関する情報が提供されます。
評価ツールは、Sun Java System Access Manager 7.1のエージェント、プロファイル、ポリシー、ユーザー・ストアおよび認証ストアに関する情報を読み取り、表示します。これは、Access Manager 11.1.2でサポートされるアーティファクトの概要に基づき、Access Manager 11.1.2に移行できるデータと移行できないデータを評価します。
Sun Java System Access Manager 7.1環境を移行する前に、評価ツールを使用して評価レポートを複数回生成できます。
移行ツール
移行ツールは、Sun Java System Access Manager 7.1の次のアーティファクトをAccess Manager 11.1.2に移行します。
エージェントの構成
ポリシー
ユーザー・ストアの構成
認証ストアの構成
|
注意: 移行ツールと評価ツールでは、SSLポートを介した構成ストアへの接続はサポートされません。 |
他の移行シナリオの詳細は、第1.3項「移行および共存のシナリオ」を参照してください。
この項では、この章で説明する手順を使用して実行可能な移行の2つのモードについて説明します。移行のモードは次の2つになります。
完全移行は、Sun Java System Access Manager 7.1の互換性のあるエージェント、ポリシー、ユーザー・ストアおよび認証ストアをすべてAccess Manager 11.1.2に移行します。初めて行う移行は完全移行になります。最初の移行後、次に行われるそれぞれの移行はデルタ移行になります。完全移行を実行できるのは最初の1回のみです。
新規移行では、移行フレームワークによってAccess Manager 11.1.2構成ストアで移行バージョンが設定されます。
完全移行を実行するには、「移行ロードマップ」で説明する手順に従います。
|
注意: 完全移行が失敗した場合、完全移行の再実行を開始する前に、部分的に移行されたデータを手動で削除する必要があります。 |
デルタ移行は、Sun Java System Access Manager 7.1の新たに追加されたアーティファクト(エージェント、ポリシー、ユーザー・ストアおよび認証ストア)をAccess Manager 11.1.2に移行できる移行モードです。デルタ移行は、作成操作の場合のみサポートされます。
1回目の移行(完全移行)後、実行する移行はすべてデルタ移行になります。
デルタ移行を実行するたびに、完全移行によってAccess Manager 11.1.2構成ストアで設定される移行バージョンに関する情報が取得され、1ずつ増えて、Access Manager 11.1.2構成ストアに保存されます。
データ移行を実行する手順は、完全移行の手順と同じで「移行ロードマップ」で説明します。
この項では、Access Manager 11.1.2と互換性のあるSun Java System Access Manager 7.1のアーティファクトについてまとめています。この項には次のトピックが含まれます:
この項では、Sun Java System Access Manager 7.1からAccess Manager 11.1.2へのエージェントの移行についてまとめています。
この移行ツールは、エージェント自体ではなくエージェント構成を移行します。移行でサポートされるWebエージェント2.2はSun Java System Web Server 7.0です。移行ツールは、J2EEエージェントの移行をサポートしません。
中央管理エージェントはAccess Manager 11.1.2に移行されます。これらは中央管理構成モードで機能するエージェントです。これらは、Sun Java System Access Manager 7.1サーバーにその構成の詳細をすべて保存し、エージェントのブートストラップ時にRESTコールによってSun Java System Access Manager 7.1サーバーから構成を読み取ります。これらのエージェントはローカルの構成ファイルを受け入れません。移行後、これらのエージェントの構成の詳細はAccess Manager 11.1.2に保存されます。
ローカル・エージェントは、最小限の構成で移行されます。ローカル・エージェントはローカル構成モードで機能するエージェントです。これらのエージェントは、各自の構成のローカル構成ファイルのみを受け入れます。ローカル・エージェントのエージェントID、エージェント・パスワード、エージェント・ベースURLなどの基本構成プロパティのみがSun Java System Access Manager 7.1サーバーに保存されます。移行後、このような構成の詳細はAccess Manager 11.1.2サーバーに保存されます。
エージェントの移行には下位互換性があります。
異なるレルムに名前が同じエージェントが2つ以上存在する場合、エージェントは先頭にレルム名が付いた名前で移行されます。
例: j2eeAgentという名前のエージェントがTopRealm(/)とSubRealm(/>SubRealm)の両方に存在する場合、これらのエージェントは、TopRealm_j2eeAgentおよびSubRealm_j2eeAgentという名前で移行されます。
この項では、Sun Java System Access Manager 7.1からAccess Manager 11.1.2へのポリシーの移行についてまとめています。
Sun Java System Access Manager 7.1のポリシーは、次の4つのアーティファクトで構成されます。
ルール(リソース + アクション)
サブジェクト
条件
レスポンス・プロバイダー
OpenSSOエージェント評価ツールの実行時に生成される評価レポート(PolicyInfo.txt)のポリシーは、Access Manager 11.1.2のアーティファクトの互換性に基づき、自動ポリシー、準ポリシーおよび手動ポリシーに分類されます。
自動ポリシー: 該当ポリシーのすべてのアーティファクトをAccess Manager 11.1.2のポリシーのアーティファクトにマップできる場合は、自動ポリシーとみなされます。自動ポリシーはすべてAccess Manager 11.1.2に移行できます。
準ポリシー: 該当ポリシーの一部のアーティファクトをAccess Manager 11.1.2のポリシーのアーティファクトにマップできる場合は、準ポリシーとみなされます。準ポリシーはAccess Manager 11.1.2に移行されません。
手動ポリシー: 該当ポリシーのどのアーティファクトもAccess Manager 11.1.2のポリシーのアーティファクトにマップできない場合は、手動ポリシーとみなされます。手動ポリシーはAccess Manager 11.1.2に移行されません。
Sun Java System Access Manager 7.1には次の2種類のポリシーがあります。
参照ポリシー: これらのポリシーは移行に適用されません。
非参照ポリシー: これらのポリシーは移行されます。
ルール
ルールを使用しないSun Java System Access Manager 7.1のポリシーは移行でサポートされません。このようなポリシーは無効とみなされます。
移行に適用できるのは、アクションGETおよびPOSTが含まれるルールのみです。これらのルールには、サービス・タイプURL Policy Agentがあります。
その他のサービス・タイプ(LOOKUPおよびUPDATEアクションが含まれるDiscovery Serviceや、QUERYおよびMODIFYアクションが含まれるLiberty Personal Profile Serviceなど)は、移行に適用されません。これらのアクション(Access Manager 11.1.2でリソース操作と呼ばれる)はAccess Manager 11.1.2でサポートされていないためです。
サブジェクト
移行でサポートされるサブジェクト・タイプは、AM Identity Subject(ユーザーおよびグループ)とAuthenticated Usersのみです。これらのサブジェクトは、Access Manager 11.1.2でIdentity Conditionの一部として移行されます。
条件
アクティブ・セッション時間
Sun Java System Access Manager 7.1ポリシーのこの条件は、Access Manager 11.1.2のAttributeConditionのSession Expiry Time属性にマップされます。
この条件の属性Terminate sessionは、この属性の適切なマッピングがAccess Manager 11.1.2に存在しないため、移行時に無視されます。
モジュール・インスタンスごとの認証
Sun Java System Access Manager 7.1ポリシーのこの条件は、Access Manager 11.1.2に条件ではなくAuthNスキームとして移行されます。
表16-1に、Access Manager 11.1.2に移行されてAuthNスキームでマップされるSun Java System Access Manager 7.1の認証モジュールを示します。
認証レベル(less than or equal to)および認証レベル(greater than or equal to)
Sun Java System Access Manager 7.1ポリシーのどちらの条件も、ネームスペースがSESSIONで属性名がAuthentication LevelのAttributeConditionのセッション属性にマップされます。
Access Manager 11.1.2にはgreater than or equal toおよびless than or equal toに対応するマッピングがないため、どちらの条件もAttributeOperatorのEQUALSにマップされます。このマッピングは、Sun Java System Access Manager 7.1のポリシー条件のequalsファクタが原因で行われます。そのため、greater than or equal toとless than or equal toのどちらの条件もAccess Manager 11.1.2では同様になります。
たとえば、認証レベルの条件がless than or equal to 5のSun Java System Access Manager 7.1ポリシーを移行する場合、Access Manager 11.1.2の移行後のポリシーの認証レベルはequal to 5になります。
現在のセッション・プロパティ
この条件は、ネームスペースがSESSIONで属性名がOtherのAttributeConditionのセッション属性にマップされ、キーと値がこの条件の属性として追加されます。Sun Java System Access Manager 7.1のこの条件の値は複数になります。そのため、Access Manager 11.1.2のこの条件には、名前は同じでも値が異なる複数の属性があります。
アイデンティティ・メンバーシップ
Sun Java System Access Manager 7.1ポリシーのこの条件は、Access Manager 11.1.2のIdentity conditionにマップされます。
Sun Java System Access Manager 7.1のすべてのサブジェクトの一意のユーザーまたはグループ、およびすべてのアイデンティティ・メンバーシップ条件の一意のユーザーまたはグループは、Access Manager 11.1.2の1つのアイデンティティ条件にユーザーまたはグループのセットとして作成されます。
実行時の検証では、ユーザーまたはグループのこのセット間でORが実行されます。
IPアドレスおよびDNS名
Sun Java System Access Manager 7.1ポリシーの条件IP Addressは、Access Manager 11.1.2のIP conditionにマップされます。
条件DNS nameはAccess Manager 11.1.2ではサポートされません。
LDAPフィルタ条件
Sun Java System Access Manager 7.1ポリシーのこの条件は、Access Manager 11.1.2のIdentity conditionにマップされます。
Sun Java System Access Manager 7.1のすべてのLDAPフィルタ条件の一意のLDAPフィルタはすべて、Access Manager 11.1.2の1つのアイデンティティ条件にLDAPフィルタのセットとして作成されます。
時間(曜日、日付、時刻およびタイムゾーン)
Sun Java System Access Manager 7.1ポリシーのこの条件は、Access Manager 11.1.2のTime conditionにマップされます。
Access Manager 11.1.2のTime conditionには、日付、時刻、曜日またはタイムゾーンのいずれかの値が含まれます。
レスポンス・プロバイダー
Sun Java System Access Manager 7.1サーバーまたはポリシー・サーバーは、アイデンティティまたはユーザー・リポジトリ属性(ユーザー・ストアのユーザー属性)をレスポンス・プロバイダとしてエージェントに送信します。OpenSSOエージェントは、これらの属性を、エージェントの構成に従ってHttpヘッダー、リクエスト属性またはHttp Cookieを介してリソースまたはアプリケーションに戻します。
レスポンス・プロバイダ(静的および動的)はすべて、Httpヘッダー・タイプでSun Java System Access Manager 7.1からAccess Manager 11.1.2に移行されます。
この項では、Sun Java System Access Manager 7.1からAccess Manager 11.1.2へのユーザー・ストアの移行についてまとめています。
OpenSSO Enterprise 8.0には次の3種類のユーザー・ストアがあります。
アクティブ・ディレクトリ: このユーザー・ストアはAccess Manager 11.1.2に移行できます。
汎用LDAPv3: このユーザー・ストアはAccess Manager 11.1.2に移行できます。
OpenSSOスキーマのSun DS: 11.1.2ではサポートされるデータ・ストアのタイプがないため、このユーザー・ストアは、Access Manager 11.1.2に移行できません。
この項では、Sun Java System Access Manager 7.1からAccess Manager 11.1.2への認証ストアの移行についてまとめています。
次に、Access Manager 11.1.2の対応する認証モジュールへの移行およびマップが可能なSun Java System Access Manager 7.1の認証ストアを示します。
Sun Java System Access Manager 7.1のLDAPは、Access Manager 11.1.2のOAM LDAPにマップされます。
Sun Java System Access Manager 7.1の証明書は、Access Manager 11.1.2のX509にマップされます。
Sun Java System Access Manager 7.1のWindows Desktop SSOは、Kerberos Access Manager 11.1.2にマップされます。
LDAPタイプの認証ストアはすべて、名前AS_レルム名_モジュール名でAccess Manager 11.1.2に移行されます。LDAP以外のタイプの認証ストアは移行されません。
図16-1は、Sun Java System Access Manager 7.1とAccess Manager 11.1.2のトポロジを比較した図です。
図16-1 Sun Java System Access Manager 7.1とAccess Manager 11.1.2のトポロジ
表16-2に、Sun Java System Access Manager 7.1からAccess Manager 11.1.2への移行手順を示します。
表16-2 タスク・ロードマップ
| タスク番号 | タスク | 参照先 |
|---|---|---|
|
1 |
前提条件を満たします。 |
「移行の前提条件」を参照してください。 |
|
2 |
Oracle Identity and Access Management 11.1.2をインストールします。 |
「Oracle Identity and Access Management 11.1.2のインストール」を参照してください。 |
|
3 |
Oracle Access Management Access Manager 11.1.2を構成します。 |
「Oracle Access Manager 11.1.2の構成」を参照してください。 |
|
4 |
評価レポートを生成し、Access Manager 11.1.2にどのアーティファクトを移行できるかを分析します。 このタスクは複数回実行できます。 |
「評価レポートの生成」を参照してください。 |
|
5 |
WebLogic管理サーバーを起動します。 |
「WebLogic管理サーバーの起動」を参照してください。 |
|
6 |
移行ツールを実行して、Sun Java System Access Manager 7.1からAccess Manager 11.1.2に移行します。 |
「Sun Java System Access Manager 7.1のアーティファクトのOAM 11.1.2への移行」を参照してください。 |
|
7 |
移行後の手順を完了します。 |
「移行後のタスク」を参照してください。 |
|
8 |
移行を確認します。 |
「移行の確認」を参照してください。 |
Sun Java System Access Manager 7.1からAccess Manager 11.1.2に移行するには、次の前提条件を満たす必要があります。
Oracle Fusion Middlewareのシステム要件および仕様のドキュメントを読み、インストール、アップグレードおよび移行を行う製品の最小要件を環境が満たしていることを確認します。
|
注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。 |
使用しているSun Java System Access Managerのリリースが移行でサポートされていることを確認します。Sun Java System Access Manager 7.1の移行がサポートされている開始ポイントの詳細は、第11.6項「Sun Java System Access Managerの移行がサポートされている開始ポイント」を参照してください。
移行プロセスの一環として、Oracle Identity and Access Management 11.1.2を新規でインストールする必要があります。この11.1.2のインストールは、Sun Java System Access Manager 7.1をインストールするマシンまたは別のマシンで行うことができます。
Oracle Identity and Access Management 11.1.2のインストールの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracle Identity and Access Management (11.1.2)のインストールに関する項を参照してください。
Oracle Identity and Access Management 11.1.2のインストール後、ドメインでAccess Manager 11.1.2を構成する必要があります。
Access Manager 11.1.2の構成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementの構成に関する項を参照してください。
この項では、OpenSSOエージェント評価ツールを使用して評価レポートを生成する方法について説明します。この評価レポートには、Sun Java System Access Manager 7.1サーバーで利用可能なエージェント、ポリシーおよびユーザー・ストアのプレビューが表示され、どのアーティファクトをAccess Manager 11.1.2に移行できるかが示されます。
移行プロセスを開始する前に、評価レポートを複数回生成できます。
この項には次のトピックが含まれます:
|
注意: 評価ツールを実行する前に、次の前提条件を満たす必要があります。
|
次のコマンドを使用して、現在の作業ディレクトリからIAM_HOME/oam/server/tools/opensso_assessmentに移動します。
UNIXの場合:
cd IAM_HOME/oam/server/tools/opensso_assessment/
Windowsの場合:
cd IAM_HOME\oam\server\tools\opensso_assessment\
OpenssoAgentdiscTool.zipフォルダの内容を、選択したディレクトリに抽出します。解凍したフォルダには名前OpenssoAgentdiscToolを使用することをお薦めします。
評価ツールを実行する前に、LDAP接続の詳細をプロパティ・ファイルで指定する必要があります。これを指定するには、解凍したフォルダ/resources/でOpenSSOAgentDiscTool.propertiesファイルを開き、次のパラメータの値を設定します。
openSSOLDAPServerURL=host:port
このプロパティでは、hostおよびportは、Sun Java System Access Manager 7.1で使用される構成ストアのLDAPホストとポートを表します。
openSSOLDAPBindDN=login_id
ここで、login_idは、LDAPサーバーのバインドDNになります。Sun Java System Access Manager 7.1の構成ディレクトリ・サーバーの管理権限またはルート権限が必要です。
openSSOLDAPSearchBase=LDAP_search_base
ここで、LDAP_search_baseは、構成ストアのLDAP検索ベースになります。
前述のすべてのパラメータに値を設定したら、ファイルを保存します。
|
注意: LDAP接続の詳細を指定しない場合、メッセージが これらのパラメータに不正な値を指定した場合、評価ツールを実行できません。それに応じてエラーが表示されます。 |
OpenSSOエージェント評価ツールを実行する前に、移行する2.2エージェントのエージェント・プロファイルを、エージェント・キーの値でエージェントの属性agentRootURLおよびtypeに適切な値を指定して更新する必要があります。次の手順を実行します。
次のURLを使用してSun Java System Access Manager 7.1管理コンソールにログインします。
http://host:port/amserver
「アクセス制御」タブに移動し、2.2エージェントをインストールするレルムをクリックします。
「サブジェクト」タブに移動して、「エージェント」タブをクリックします。
移行するエージェントのリンクをクリックします。
エージェント・キーの値で、属性agentRootURLおよびtypeの値がすでにない場合は、これらの属性の適切な値を次の形式で「新規の値」フィールドに入力します。
agentRootURL=agent_webcontainer_URL
type=WebAgent/J2EEAgent
各属性の入力後、「追加」をクリックします。
「保存」をクリックします。
|
注意: エージェントのプロファイルでこれらの属性の値を指定しない場合、エージェントは評価レポートに表示されません。 |
OpenSSOエージェント評価ツールを実行するには、次の操作を行います。
第16.9.1項「評価ツールの入手」の説明に従い、次のコマンドを使用して、内容を抽出したフォルダにディレクトリを変更します。
cd <path to the unzipped folder>
次のコマンドを実行します:
java -jar openssoagentdisc.jar <sam server URL> <username> <debugLevel>
説明は次のとおりです。
<sam server URL>は、Sun Java System Access Manager 7.1サーバーのURLです。これはhttp://<host>:<port>/amserver形式で指定します。<host>および<port>は、Sun Java System Access Manager 7.1サーバーが動作しているマシンのホスト名とポートを表します。
<username>は、Sun Java System Access Manager 7.1サーバーのユーザー名です。
<debugLevel>はオプションです。この引数の値は、errorまたはmessageのいずれかにします。コマンドでこの引数を指定しない場合、デフォルト値errorを取ります。
次の入力が求められます。
Enter server login password:
Sun Java System Access Manager 7.1サーバーの管理ユーザーのパスワードを入力します。このユーザーは、通常amadminになります。
Enter LDAP login password:
LDAPサーバーのログイン・パスワードを入力します。
|
注意: このコマンドで使用される引数の詳細は、解凍したディレクトリで次のコマンドを実行します。 java -jar openssoagentdisc.jar -help |
評価ツールは、次の場所に5つのレポート・ファイルを生成します。
unzipped_folder/consoleOutput/
これらのレポートには、Access Manager 11.1.2でサポートされる、Sun Java System Access Manager 7.1のエージェント、ポリシー、ユーザー・ストアおよび認証ストアに関する情報があります。
表16-3に、評価ツールの実行時に生成されるレポート・ファイルを示します。
移行ツールを実行する前に、WebLogic管理サーバーを起動する必要があります。
管理サーバーを起動するには、次を実行します。
UNIXの場合:
コマンドを使用して、現在の作業ディレクトリからMW_HOME/user_projects/domains/domain_name/binディレクトリに移動します。
cdMW_HOME/user_projects/domains/domain_name/bin/
次のコマンドを実行します:
startWebLogic.sh
プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。
Windowsの場合:
コマンドラインで次のコマンドを使用して、現在の作業ディレクトリからMW_HOME\user_projects\domains\domain_name\binディレクトリに移動します。
cdMW_HOME\user_projects\domains\domain_name\bin\
次のコマンドを実行します:
startWebLogic.cmd
プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。
Sun Java System Access Manager 7.1からAccess Manager 11.1.2にアーティファクトを実際に移行する前に、評価レポートを生成して(第16.9項「評価レポートの生成」を参照)、Access Manager 11.1.2にどのアーティファクトを移行できるかを分析したことを確認します。
Sun Java System Access Manager 7.1をAccess Manager 11.1.2に移行するには、次の手順を実行します。
アクセス可能な場所でプロパティ・ファイルを作成します。たとえば、oam_migration.propertiesファイルを作成します。
プロパティ・ファイルで次のプロパティの値を入力します。
openSSOServerURL=<sam server URL>
openSSOAdminUser=<sam admin username>
openSSOAdminPassword=
openSSOServerDebugLevel=error/message
openSSOLDAPServerURL=<LDAP host:port>
openSSOLDAPBindDN=<LDAP bind DN>
openSSOLDAPBindPwd=
openSSOLDAPSearchBase=<LDAP searchBase>
表16-4は、プロパティ・ファイルの各プロパティに指定する必要がある値の説明です。
表16-4 プロパティ・ファイルの値
| プロパティ | 説明 |
|---|---|
|
|
Sun Java System Access Manager 7.1管理サーバーのURLを指定します。これは次の形式で指定してください。
説明は次のとおりです。
|
|
|
Sun Java System Access Manager 7.1管理サーバーのユーザー名を指定します。 |
|
|
このプロパティの値を指定しないでください。手順4の説明に従い、移行コマンドを実行すると、移行ツールによってSun Java System Access Manager 7.1管理パスワードの入力が求められます。 |
|
|
次のいずれかの値を指定します。
この値はデバッグ・レベルを表します。 |
|
|
LDAPサーバーのURLを指定します。これは次の形式で指定してください。
ここで、
|
|
|
LDAPサーバーのバインドDNを指定します。Sun Java System Access Manager 7.1の構成ディレクトリ・サーバーの管理権限またはルート権限が必要です。 |
|
|
このプロパティの値を指定しないでください。手順4の説明に従い、移行コマンドを実行すると、移行ツールによってLDAPバインド・パスワードの入力が求められます。 |
|
|
構成ストアのLDAP検索ベースを指定します。 |
|
注意:
|
次のコマンドを実行して、WebLogic Scripting Tool(WLST)を起動します。
UNIXの場合:
コマンドラインで次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME/common/binディレクトリに移動します。
cd IAM_HOME/common/bin
次のコマンドを実行して、WebLogic Scripting Tool(WLST)を起動します。
./wlst.sh
Windowsの場合:
コマンドラインで次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME\common\binディレクトリに移動します。
cd IAM_HOME\common\bin
次のコマンドを実行して、WebLogic Scripting Tool(WLST)を起動します。
wlst.cmd
次のコマンドを実行して、WLSTをWebLogic Serverインスタンスに接続します。
connect('wls_admin_username','wls_admin_password','t3://hostname:port');
このコマンドでは、次のように指定します。
wls_admin_usernameは、WebLogic管理サーバーのユーザー名です。
wls_admin_passwordは、WebLogic管理サーバーのパスワードです。
hostnameは、WebLogic管理サーバーが動作しているマシンです。
portは管理サーバーのポートです。
次のコマンドを実行して、OpenSSO Enterprise 8.0のアーティファクトをAccess Manager 11.1.2に移行します。
oamMigrate(oamMigrateType="OpenSSO",pathMigrationPropertiesFile="<absolute_path_of_properties_file>");
説明は次のとおりです。
<absolute_path_of_properties_file>は、手順1で作成したプロパティ・ファイルの絶対パスです。次に例を示します。
UNIXの場合: oamMigrate(oamMigrateType="OpenSSO",pathMigrationPropertiesFile="abc/def/oam_migration.properties"
Windowsの場合: oamMigrate(oamMigrateType="OpenSSO",pathMigrationPropertiesFile="abc\\def\\oam_migration.properties
次の入力が求められます。
Enter value for property : openSSOAdminPassword :
Sun Java System Access Manager 7.1管理サーバーのパスワードを入力します。
Enter value for property : openSSOLDAPBindPwd :
LDAPサーバーへのバインド・パスワードを入力します。
|
注意: 初めて 最初の移行(完全移行)後、このコマンドを再実行してデルタ移行を行うことができます。 完全移行とデルタ移行の詳細は、第16.2項「移行のモード」を参照してください。 |
移行が完了すると、WLSTコンソールには、移行の結果を示すメッセージが表示されます。
Sun Java System Access Manager 7.1からAccess Manager 11.1.2に移行した後、次の移行後のタスクを完了する必要があります。
移行ツールは、次の場所にAMAgent.propertiesファイルを作成します。
<domain_home>/<domain_name>/output/OpenSSOMigration/AM7.1/<realm_name>/<agent_name>/AMAgent.properties
AMAgent.propertiesファイルで、@DEBUG_LOGS_DIR@タグをエージェント・ホスト上のデバッグ・ログの有効なディレクトリ・パスに置き換える必要があります。次の手順を実行します。
AMAgent.propertiesファイルを開きます。
プロパティcom.sun.am.policy.agents.config.local.log.file =@DEBUG_LOGS_DIR@/amAgentで、タグ@DEBUG_LOGS_DIR@を、エージェント・ホスト上のデバッグ・ログの有効なディレクトリ・パスに置き換えます。
エージェント・ホスト上にある既存のプロパティ・ファイルをバックアップして、新たに作成されたAMAgent.propertiesファイルをエージェント・ホストにコピーする必要があります。次の手順を実行します。
エージェントのWebコンテナ・インスタンスを停止します。
既存のプロパティ・ファイル(移行プロセスを開始する前にエージェント・ホストに存在したプロパティ・ファイル)をバックアップします。
新たに作成されたAMAgent.propertiesファイルを次の場所からエージェント・ホストにコピーします。
<domain_home>/<domain_name>/output/OpenSSOMigration/AM7.1/<realm_name>/<agent_name>/AMAgent.properties
エージェントのWebコンテナ・インスタンスを起動します。
この実行後、保護されているリソースにアクセスすると、ユーザーはAccess Manager 11.1.2サーバーにリダイレクトされ認証が行われます。
移行ツールは、Sun Java System Access Manager 7.1からAccess Manager 11.1.2に移行されるユーザー・ストアのパスワードを取得しません。そのため、移行後は、移行されるすべてのユーザー・ストアのパスワードを手動で更新する必要があります。次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2コンソールにログインします。
http://host:port/oamconsole
ここで、hostはAccess Manager 11.1.2が動作しているマシンを表し、portはポート番号を表します。
「システム構成」タブに移動します。
左のナビゲーション・ペインで「共通構成」の「データソース」を開きます。
「ユーザー・アイデンティティ・ストア」を開き、存在する移行後のすべてのLDAPユーザーのパスワードを手動で更新します。
移行後、移行した認証ストアの最小および最大プール・サイズはデフォルトで0に設定されます。そのため、Oracle Access Management 11.1.2コンソールで認証ストアの「最小プール・サイズ」と「最大プール・サイズ」に適切な値を手動で設定する必要があります。次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2コンソールにログインします。
http://host:port/oamconsole
「システム構成」タブに移動します。
左のナビゲーション・ペインで「共通構成」を開きます。
「データソース」→「ユーザー・アイデンティティ・ストア」を開きます。
編集する認証ストアを選択します。
「接続の詳細」にスクロール・ダウンして、「最小プール・サイズ」と「最大プール・サイズ」の値を設定します。たとえば、最小プール・サイズを10、最大プール・サイズを50にします。
「適用」をクリックします。
移行を確認するには、次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2コンソールにログインします。
http://host:port/oamconsole
このURLの内容は、次のとおりです。
hostは、Oracle Access Management 11.1.2コンソールをホストするマシンの完全修飾ドメイン名を表します。
portは、Oracle Access Management 11.1.2コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
Sun Java System Access Manager 7.1のエージェント(2.2エージェント)、ユーザー・ストア、認証ストア、認証モジュール、ホスト識別子、リソース、および正しい認証モジュールを備えた正しい認証スキームのポリシーがAccess Manager 11.1.2に移行されていることを確認します。
URLを使用して、保護されているページにアクセスします。このURLにより、Oracle Access Management 11.1.2サーバーの「ログイン」ページにリダイレクトされるようになっています。認証が成功すると、正常な認可が実行され、リソースに正常にアクセスできます。
