| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11gリリース2 (11.1.2) B69541-02 |
|
 前 |
 次 |
| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11gリリース2 (11.1.2) B69541-02 |
|
前 |
次 |
この章では、Oracle Access Managementを構成する方法について説明します。内容は次のとおりです。
Oracle Identity and Access Management 11gリリース2(11.1.2)には、次のサービスを含むOracle Access Managementが含まれます。
Oracle Access Manager
Oracle Access Management Security Token Service
Oracle Access Management Identity Federation
Oracle Access Management Mobile and Social
|
注意: Oracle Access Managementの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle製品の概要に関する項を参照してください。 |
このガイドで説明されるいずれかのシナリオでOracle Identity and Access Management製品のインストールおよび構成が開始される前に、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Identity Navigator、Oracle Privileged Account ManagerおよびOracle Access Management Mobile and Socialを含むOracleホーム・ディレクトリを参照するために、IAM_Homeが使用されます。このOracleホーム・ディレクトリには任意の名前を指定できます。
表6-1で、Oracle Access Managementのインストールおよび構成の手順を説明します。
表6-1 Oracle Access Managementのインストールおよび構成のフロー
| 番号 | タスク | 説明 |
|---|---|---|
|
1 |
インストレーション・プランニング・ガイドでインストール概念を確認します。 |
『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』を読みます。このドキュメントには、ユーザーの既存の環境に応じて、様々なユーザーがOracle Fusion Middleware 11g(11.1.2)をインストールまたはアップグレードする手順が記載されています。 |
|
2 |
システム要件および動作保証のドキュメントを読み、環境がインストールするコンポーネントの最低のインストール要件を満たしていることを確認します。 |
詳細は、第2.1項「システム要件および動作保証の確認」を参照してください。 |
|
3 |
Oracle Fusion Middlewareソフトウェアを入手します。 |
詳細は、第3.2.1項「Oracle Fusion Middlewareソフトウェアの入手」を参照してください。 |
|
4 |
データベース要件を確認します。 |
詳細は、第3.2.2項「データベース要件」を参照してください。 |
|
5 |
Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用して、Oracle Identity and Access Management製品に対する適切なスキーマを作成し、ロードします。 |
詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。 |
|
6 |
WebLogic Serverおよびミドルウェア・ホームの要件を確認します。 |
詳細は、第3.2.4項「WebLogic Serverおよびミドルウェア・ホーム要件」を参照してください。 |
|
7 |
Oracle Identity and Access Managementインストーラを起動します。 |
詳細は、第3.2.6項「Oracle Identity and Access Managementインストーラの起動」を参照してください。 |
|
8 |
Oracle Identity and Access Management 11gソフトウェアをインストールします。 |
Oracle Access Managementは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management Suiteをインストールするには、Oracle Identity and Access Management 11gインストーラを使用します。 詳細は、第3.2.7項「Oracle Identity and Access Management(11.1.2)のインストール」を参照してください。 |
|
9 |
Oracle Fusion Middleware構成ウィザードを実行して、新規または既存のWebLogicドメイン内でOracle Identity and Access Management製品を構成します。 |
詳細は、第6.5項「新しいWebLogicドメインにおけるOracle Access Management」を参照してください。 |
|
10 |
データベース・セキュリティ・ストアを構成します。 |
詳細は、第3.2.9項「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。 |
|
11 |
サーバーを起動します。 |
管理サーバーとすべての管理対象サーバーを起動する必要があります。詳細は、第6.6項「サーバーの起動」を参照してください。 |
|
12 |
インストール後のタスクを実行してください。 |
次のインストール後のタスクを実行してください。 |
Oracle Access Managementの透過的データ暗号化(TDE)を設定するには、次の手順を完了します。
ENCRYPTION_WALLET_LOCATIONパラメータをデータベースのsqlnet.oraファイルに追加します。
ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA= (DIRECTORY=<DB_WALLET_DIRECTORY>)))
データベースを再起動します。
次のSQL問合せをSYSDBAとして実行して、暗号化された表領域を作成します。
ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "<PASSWORD>"
CREATE TABLESPACE <TABLESPACE_NAME> EXTENT MANAGEMENT LOCAL AUTOALLOCATE SEGMENT SPACE MANAGEMENT AUTO DATAFILE '<DATA_FILE_LOCATION>' SIZE 100M AUTOEXTEND ON NEXT 50M MAXSIZE UNLIMITED ENCRYPTION DEFAULT STORAGE(ENCRYPT);
|
注意:
|
Oracle Access Managementの透過的データ暗号化(TDE)を設定した後に、Oracle Fusion Middleware Repository Creation Utility(RCU)を実行してOracle Access Managementスキーマを作成します。詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
|
注意: RCUを使用してOracle Access Managementスキーマを作成する際には、「表領域のマップ」画面において、手順3bでOracle Access Management用に作成した表領域を使用してください。 詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』の表領域のマップに関する項を参照してください。 |
このトピックでは、新しいWebLogicドメインにOracle Access Managementを構成する方法を説明します。
内容は、次のとおりです。
後から同じドメインにOracle Identity Navigator、Oracle Identity Manager、Oracle Adaptive Access Managerなどの他のOracle Identity and Access Management 11gコンポーネントを追加する可能性がある環境にOracle Access Managementのみをインストールする場合、この項の構成を実行してください。
この項の構成を実行すると、次のOracle Access Managementコンポーネントがデプロイされます。
Oracle Access Manager
Oracle Access Management Security Token Service
Oracle Access Management Identity Federation
Oracle Access Management Mobile and Social
この項の構成は、次のものに依存しています。
Oracle WebLogic Server 11gリリース1(10.3.6)またはOracle WebLogic Server 11gリリース1(10.3.5)。
Oracle Identity and Access Management 11gソフトウェアのインストール。
Oracle Access Managementのデータベース・スキーマ。詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
新しいWebLogicドメインでOracle Access Managementを構成するには、次の手順を実行します。
Oracle Fusion Middleware構成ウィザードを起動するには、<IAM_Home>/common/bin/config.shスクリプト(UNIXの場合)または<IAM_Home>\common\bin\config.cmd(Windowsの場合)を実行します。
Oracle Fusion Middleware構成ウィザードが表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Access Management - 11.1.2.0.0 [IAM_Home]を選択し、「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。
|
注意: Oracle Access Management - 11.1.2.0.0 [IAM_Home]オプションを選択すると、次のオプションもデフォルトで選択されます。
|
作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
Oracle Fusion Middleware構成ウィザードの「サーバーの起動モードおよびJDKの構成」画面で、「JDK」と「本番モード」を選択します。「次へ」をクリックします。「JDBCコンポーネント・スキーマの構成」画面が表示されます。
「JDBCコンポーネント・スキーマの構成」画面で、OAMインフラストラクチャ・スキーマまたはOPSSスキーマなど、変更するコンポーネント・スキーマを選択します。
スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。JDBCコンポーネント・スキーマのテスト画面が表示されます。テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」および「管理対象サーバー、クラスタ、およびマシン」を構成できます。「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前
リスニング・アドレス
リスニング・ポート
SSLリスニング・ポート
SSLが有効か無効か
オプション: 必要に応じて、管理対象サーバーを構成します。
|
注意: 同じマシンに管理対象サーバーを構成する場合、必ず管理サーバーと異なるポートを使用してください。 |
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のIdentity Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
|
ヒント: マシンを構成する前に、 |
管理サーバーがマシンに割り当てられていない場合でも、マシンへの割当てが可能です。
特定のクラスタまたはサーバーをターゲットとしているアプリケーションおよびライブラリなどのデプロイメントおよびサービスは、デフォルトで選択されています。
oam_server1など、新たに作成された管理対象サーバーをマシンに割り当てます。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
Oracle Access Managementをサポートする新しいWebLogicドメインが<MW_HOME>\user_projects\domainsディレクトリ(Windowsの場合)に作成されます。UNIXでは、ドメインは<MW_HOME>/user_projects/domainsディレクトリに作成されます。
|
注意:
|
Oracle Access Managementをインストールおよび構成した後、Oracle WebLogic Administration Serverおよび様々な管理対象サーバーを実行する必要があります。付録C「スタックの起動」を参照してください。Oracle Access Management管理サーバーを起動してから、管理対象サーバーを起動してください。
Oracle Access Managementをインストールおよび構成した後、次のオプションの手順を実行できます。
デフォルトの埋込みLDAP(Oracle WebLogic Server付属)のかわりに、任意のLDAPの構成。
リソースの保護のためのポリシー・ストアの構成。
既存のドメインへの管理対象サーバーの追加。
管理対象サーバー・インスタンスの追加。
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
インストールを完了し、インストール後の手順も実行した後、次のようにしてOracle Access Managementのインストールおよび構成を検証できます。
管理サーバーと管理対象サーバーが起動しており、稼働中であることを確認します。
http://<adminserver-host>:<adminserver-port>/oamconsoleのURLを使用してOracle Access Managementの管理コンソールにログインします。
管理サーバー上で稼動しているこの管理コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。管理者のロールと権限を持っている必要があります。
Oracle WebLogic Server管理コンソールを検証します。Oracle Access Managementのインストールと構成が成功していれば、このコンソールに実行モードの管理サーバーが表示されます。
エージェントの設定には、次の手順があります。
Oracle Access Managerの次のエージェントを設定できます。
Oracle HTTP Server WebGate
OSSOエージェント(mod_osso)
OpenSSOエージェント
Oracle HTTP Server WebGateは、Oracle Access Managerで使用できるWebサーバー・プラグインです。Oracle HTTP Server WebGateは、ユーザーのWebリソースに対するHTTPリクエストを捕捉し、認証および認可のためにリクエストをアクセス・サーバーに転送します。Oracle HTTP Server WebGateのインストール・パッケージは、コア・コンポーネントとは別のメディアおよび仮想メディアに含まれています。
次のOracle HTTP Server WebGateエージェントをインストールできます。
Oracle HTTP Server 11g WebGate
Oracle HTTP Server 10g WebGate
Oracle HTTP Server 11g WebGateをインストールおよび構成するには、次の手順を実行します。
Oracle HTTP Server 11g WebGate for Oracle Access Managerをインストールします。第12章「Oracle HTTP Server 11g Webgate for Oracle Access Managerのインストールおよび構成」を参照してください。
インストール後の手順および登録の設定を実行します。第12.4項「インストール後の手順」および第12.6項「新しいOracle HTTP Server 11g Webgate Agent for Oracle Access Managerスタート・ガイド」を参照してください。
OSSOエージェント(mod_osso)は、Oracle HTTP Serverが既存の有効なOracle HTTP Server Cookieを確認するために使用されます。必要な場合、認証時にディレクトリと通信できるよう、Oracle Access Managerのランタイム・サーバーにリダイレクトします。さらに、OSSOサーバーによって移入された暗号化済ユーザー・アイデンティティを復号化し、ヘッダーにユーザー属性を設定します。
mod_ossoをインストールするには、次の手順を実行します。
最新バージョンのOracle HTTP Serverをインストールします。Web層(Oracle HTTP Serverを含む)の詳細は、第12.2.3項「Oracle HTTP Server 11gのインストールと構成」を参照してください。
Oracle Web Tierソフトウェアに最新バージョンのパッチを適用した後、構成ツールを実行してOracle HTTP Serverを構成します。
UNIXオペレーティング・システムでは、次のようにします。
<Web_Tier_ORACLE_HOME>/bin/config.sh
Windowsオペレーティング・システムの場合:
<Web_Tier_ORACLE_HOME>\bin\config.bat
完全な手順は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』のコンポーネントの構成に関する項を参照してください。
|
注意: Oracle HTTP Serverを構成すると、Oracle HTTP Serverの作業インスタンスがインスタンス・ホームに構成されます。 |
mod_osso.confファイルを<ORACLE_INSTANCE>/config/OHS/<OHS_INSTANCE>/disabledディレクトリから<ORACLE_INSTANCE>/config/OHS/<OHS_INSTANCE>/moduleconfディレクトリにコピーします。
mod_ossoをパートナ・アプリケーションとして登録します。
パートナ・アプリケーションとしてのmod_ossoの登録の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のコンソールを使用したOSSOエージェントの登録および管理に関する項を参照してください。mod_ossoをパートナ・アプリケーションとして登録する際、管理サーバーが起動され、稼働中である必要があります。
次の手順で、osso.confファイルの場所を更新するよう、mod_osso.confファイルを編集します。
<IfModule osso_module>
OssoIpCheck off
OssoIdleTimeout off
OssoSecureCookies off
OssoConfigFile <location of the osso.conf>
<Location>
require valid-user
AuthType Osso
</Location>
</IfModule osso_module>
Oracle Process Manager and Notification Server(OPMN)でrestartprocコマンドを実行するか、またはOracle Fusion Middleware Controlを使用して、Oracle HTTP Serverを再起動します。OracleインスタンスのすべてのOracle HTTP Serverコンポーネントを再起動するには、次のコマンドを使用します。
$ORACLE_INSTANCE/bin/opmnctl restartproc process-type=OHS
OpenSSOエージェントの設定については、次のリンク先で該当するガイドを参照してください。
http://docs.oracle.com/cd/E19681-01/index.html
|
注意: OpenSSOエージェント(バージョン2.2および3.0)は、Oracle Access Manager 11gR2でサポートされています。 |
コンソールを使用したエージェントおよびアプリケーションの登録の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の次に関する項を参照してください。
コンソールを使用したエージェントおよびアプリケーションの登録
コンソールを使用したWebgateの登録および管理
コンソールを使用したOSSOエージェントの登録および管理
コンソールを使用したOpenSSOポリシー・エージェントの登録および管理
|
注意: エージェントをパートナ・アプリケーションとして登録する際、管理サーバーが起動され、稼働中である必要があります。 |
管理対象サーバーの再起動方法の詳細は、付録C「スタックの起動」を参照してください。
Oracle Access ManagementとOracle Identity Manager (OIM)の統合の設定については、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess ManagerとOracle Identity Managerの統合に関する項を参照してください。
Oracle Access Managementのインストール後、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の「一般的な管理およびナビゲーションのスタート・ガイド」を参照してください。
|
注意: Oracle Access Managementテンプレートを使用してOracle Access Managementを構成すると、Oracle Access Managerのみがデフォルトで有効になります。Security Token Service、Identity Federation、Oracle Access Management Mobile and Socialなど、その他サービスを有効にするには、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の使用可能なサービスの有効化または無効化に関する項を参照してください。 |
