ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド
11
g
リリース2 (11.1.2)
B71104-01
索引
次
目次
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
新機能
11
g
リリース2 (11.1.2)の2012年11月のドキュメント改訂における更新
11
g
リリース2 (11.1.2)の2012年8月のドキュメント改訂における更新
11
g
リリース2 (11.1.2)の新機能と変更機能
11
g
リリース2 (11.1.2)に関するこのドキュメントにおけるその他の大きな変更
第I部 IdM統合トポロジとツール
1
概要
1.1
統合の前提条件
1.2
統合トポロジ
1.2.1
基本統合トポロジ
1.2.1.1
シングル・ドメイン・アーキテクチャ
1.2.1.2
ダブル(分割)ドメイン・アーキテクチャ
1.2.1.3
3層アーキテクチャ
1.2.1.4
Web層の理解
1.2.1.5
アプリケーション層の理解
1.2.1.6
データ層の理解
1.2.2
エンタープライズ統合トポロジ
1.2.3
アイデンティティ・ストアに対する複数ディレクトリの使用方法
1.2.4
統合の用語
1.3
Oracle Identity Managementのコンポーネントについて
1.3.1
Oracle Internet Directory
1.3.2
Oracle Virtual Directory
1.3.3
Oracle Access Management Access Manager
1.3.3.1
IDMDomainエージェントおよびWebゲートに関する注意
1.3.4
Oracle Identity Manager
1.3.5
Oracle Adaptive Access Manager
1.3.6
Oracle Access Management Identity Federation
1.3.7
Oracle Identity Navigator
1.4
統合のクイック・リンク
1.5
一般的な統合のシナリオ
1.5.1
リソース保護および資格証明収集のシナリオ(高度な統合)
1.5.1.1
ケース1: ユーザーはAccess Managerとステップアップ認証を実行するOracle Adaptive Access Managerによって認証される
1.5.1.2
ケース2: ユーザーはAccess Managerによって認証されない
1.5.1.3
ケース3: ユーザーはAccess Managerによって認証され、Oracle Adaptive Access Managerはステップアップ認証を実行しない
1.5.2
リソース保護および資格証明収集のシナリオ(基本統合)
1.5.3
パスワード管理シナリオ
1.5.3.1
Access ManagerをOracle Identity Managerと統合する場合
1.5.3.2
自己登録
1.5.3.3
パスワードの変更
1.5.3.4
パスワードを忘れた場合
1.5.3.5
アカウントのロックとロック解除
1.5.3.6
チャレンジの設定
1.5.3.7
チャレンジのリセット
1.6
システム要件および動作保証
1.7
My Oracle Supportを使用したその他のトラブルシューティング情報
2
idmConfigToolコマンドの使用方法
2.1
このツールについて
2.1.1
このツールはいつ使用するのか
2.1.2
このツールによって実行されるタスク
2.1.3
このツールによってサポートされるコンポーネント
2.1.4
場所
2.1.5
サポートされるWebゲートのタイプ
2.1.6
シングル・ドメインとクロス・ドメインのシナリオ
2.2
環境変数の設定
2.3
構文と使用方法
2.3.1
コマンド構文
2.3.2
要件
2.3.3
生成されるファイル
2.3.4
プロパティ・ファイルの使用方法
2.3.4.1
プロパティ・ファイルについて
2.3.4.2
プロパティのリスト
2.3.5
OUDアイデンティティ・ストアに対するこのツールの使用方法
2.3.5.1
OUDのグローバルACIの作成
2.3.5.2
OUDレプリカに対する索引の作成
2.4
コマンド・オプションとプロパティ
2.4.1
preConfigIDStoreコマンド
2.4.2
prepareIDStoreコマンド
2.4.2.1
prepareIDStore mode=OAM
2.4.2.2
prepareIDStore mode=OIM
2.4.2.3
prepareIDStore mode=OAAM
2.4.2.4
prepareIDStore mode=WLS
2.4.2.5
prepareIDStore mode=fusion
2.4.2.6
prepareIDStore mode=all
2.4.3
configPolicyStoreコマンド
2.4.4
configOAMコマンド
2.4.5
configOIMコマンド
2.4.6
postProvConfigコマンド
2.4.7
upgradeLDAPUsersForSSOコマンド
2.4.8
validate IDStoreコマンド
2.4.9
validate PolicyStoreコマンド
2.4.10
validate OAMコマンド(11g)
2.4.11
validate OAMコマンド(10g)
2.4.12
validate OIMコマンド
2.4.13
configOVDコマンド
2.4.14
ovdConfigUpgradeコマンド
2.4.15
disableOVDAccessConfigコマンド
2.4.16
upgradeOIMTo11gWebgate
2.5
例
第II部 中心的な統合
3
Oracle Identity ManagerにおけるLDAP同期の有効化
3.1
インストール後のLDAP同期の有効化
3.2
様々なカスタム・オブジェクト・クラスを使用したOracle Identity Managerを介したユーザー作成のカスタマイズ
3.3
Identity Virtualization Library (libOVD)アダプタの作成およびOracle Identity Managerとの統合
3.4
Identity Virtualization Library(libOVD)とディレクトリ・サーバーの間でのSSLの有効化
3.4.1
Identity Virtualization Library(libOVD)とMicrosoft Active Directoryの間でのSSLの有効化
3.4.2
Identity Virtualization Library(libOVD)とiPlanetの間でのSSLの有効化
3.4.3
Identity Virtualization Library(libOVD)とOIDの間でのSSLの有効化
3.5
LDAP同期を有効化する前に作成したユーザーおよびロールのLDAPへのプロビジョニング
3.6
LDAP同期の無効化
3.7
OVDアダプタの作成
3.8
Identity Virtualization Library(libOVD)アダプタの管理
3.9
Identity Virtualization Library (libOVD)に対するアクセス・ログの有効化
3.10
LDAP同期が有効な場合のLDAP認証の構成
4
Oracle Identity Managerと統合するためのOracle Virtual Directoryの構成
4.1
Oracle Internet DirectoryおよびActive Directoryに対するOracle Virtual Directoryアダプタの作成
4.2
UserManagementプラグインの使用方法
4.2.1
構成パラメータ
4.3
Changelogプラグインの使用方法
4.3.1
リリース11.1.1.4.0 Changelogプラグインのデプロイ
4.3.2
前のリリースからのChangelogプラグインのデプロイ
4.3.3
構成パラメータ
4.4
トラブルシューティングのヒント
5
Oracle Internet DirectoryとAccess Managerの統合
5.1
概要
5.2
前提条件
5.3
Access ManagerへのOracle Internet Directoryの登録
5.3.1
LDAPストアの登録ページについて
5.3.2
Access Managerへのユーザー・アイデンティティ・ストアの登録
5.3.3
システム・ストア、管理者またはデフォルト・ストアの指定
5.4
WebLogic Serverでの認証プロバイダのセットアップ
5.5
Access Managerとユーザー・アイデンティティ・ストアとの間の認証の構成
5.5.1
Access Manager認証モジュール、プラグインおよびスキーマについて
5.5.2
Access Managerでのユーザー・アイデンティティ・ストアに対する認証の定義
5.5.3
LDAPストアに依存するAccess Managerポリシーの管理
5.6
認証とアクセスの検証
6
Oracle Access Management Access Managerと統合するためのOracle Virtual Directoryの構成
6.1
Oracle Virtual Directoryのアダプタの作成および構成
6.1.1
LDAPアダプタの作成および構成
6.1.1.1
LDAPアダプタの作成
6.1.1.2
LDAPアダプタの構成
6.1.2
データベース・アダプタの作成および構成
6.1.2.1
データベース・アダプタの作成
6.1.2.2
データベース・アダプタの構成
6.1.3
カスタム・アダプタの作成および構成
6.1.3.1
カスタム・アダプタの作成
6.1.3.2
カスタム・アダプタの構成
6.2
OAMPolicyControlプラグインの使用方法
6.2.1
構成パラメータ
7
Access ManagerとOracle Identity Managerの統合
7.1
統合について
7.2
統合ロードマップ
7.3
統合の要件
7.4
アイデンティティ・ストアの構成
7.4.1
Access Manager用のディレクトリ・スキーマの拡張
7.4.2
Access Manager用のユーザーおよびグループの作成
7.4.3
Oracle Identity Manager用のユーザーとグループの作成
7.4.4
Oracle WebLogic Server用のユーザーとグループの作成
7.5
統合のためのAccess Managerの構成
7.6
Access ManagerとOracle Identity Managerの統合
7.7
Oracle HTTP Serverの構成
7.8
集中ログアウトの構成
7.9
ドメイン・エージェントが削除された状態でのサーバーの起動
7.10
その他の構成タスク
7.10.1
ドメイン・エージェントから10
g
WebゲートおよびOHS 11
g
への移行
7.10.1.1
WebゲートのタイプおよびIDの更新
7.10.1.2
Webゲートの優先ホストの設定
7.10.1.3
Oracle Identity ManagerのSSOキーストアの作成
7.10.2
SOAサーバーのデフォルト・コンポジットの更新
7.11
統合の検証
7.11.1
OIM SSOConfigの検証
7.11.2
セキュリティ・プロバイダ構成の検証
7.11.3
OIMドメイン資格証明ストアの検証
7.11.4
SSOのイベント・ハンドラの検証
7.11.5
SSOログアウト構成の検証
7.12
統合のテスト
7.13
一般的な問題のトラブルシューティング
7.13.1
シングル・サインオンの問題
7.13.1.1
HTTPヘッダーのチェック
7.13.1.2
ユーザーが誤ったログイン・ページにリダイレクトされる
7.13.1.3
ログイン失敗
7.13.1.4
Oracle Access Managementコンソールのログイン・ページが表示されない
7.13.1.5
認証されたユーザーがOracle Identity Managerログイン・ページにリダイレクトされる
7.13.1.6
ユーザーがOracle Identity Managerログイン・ページにリダイレクトされる
7.13.1.7
新しいユーザーがパスワード変更のためにリダイレクトされない
7.13.1.8
ユーザーがリダイレクトのループに入る
7.13.2
自動ログインの問題
7.13.2.1
TAPプロトコルの問題
7.13.2.2
NAPプロトコルの問題
7.13.3
セッションの終了の問題
7.13.4
アカウントのセルフロックの問題
7.13.5
その他の問題
7.13.5.1
Oracle Identity Managerへのクライアントベース・ログインに失敗する
7.13.5.2
ログアウトで404エラーがスローされる
8
Access ManagerとOracle Adaptive Access Managerの統合
8.1
Access ManagerとOracle Adaptive Access Managerの統合について
8.2
定義、頭文字および略語
8.3
OAAMとAccess Managerとの基本統合
8.3.1
前提条件
8.3.2
WebLogic Serverの起動
8.3.3
OAAMとAccess Managerとの基本統合の構成
8.4
OAAMとAccess Managerとの拡張統合
8.4.1
統合ロードマップ
8.4.2
統合の要件
8.4.3
サーバーの再起動
8.4.4
OAAM管理ユーザーおよびOAAMグループの作成
8.4.5
Oracle Adaptive Access Managerスナップショットのインポート
8.4.6
Access Managerの初期構成の検証
8.4.7
Oracle Adaptive Access Managerの初期構成の検証
8.4.8
Oracle Access Managementコンソールを使用したWebゲートの登録
8.4.8.1
Webゲート登録の前提条件
8.4.8.2
11
g
Webゲートの構成
8.4.8.3
Oracle Access Managementコンソールを使用したパートナとしての11
g
Webゲートの登録
8.4.8.4
OHS Webゲートの再起動
8.4.8.5
Webゲートの設定の検証
8.4.9
OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録
8.4.10
エージェント・パスワードの設定
8.4.10.1
Oracle Access ManagementコンソールでのIAMSuiteAgentプロファイルへのパスワードの追加
8.4.10.2
WebLogic管理コンソールでのIAMSuiteAgentの更新
8.4.11
TAPパートナ登録の検証
8.4.11.1
チャレンジURLの検証
8.4.11.2
MatchLDAPAttributeチャレンジ・パラメータのTAPSchemeへの追加
8.4.11.3
IAMSuiteAgentの設定の検証
8.4.12
OAAMでのAccess Manager TAP統合プロパティの設定
8.4.13
TAPSchemeにより保護されるリソースの構成
8.4.13.1
アプリケーション・ドメインでの新しいリソースの作成
8.4.13.2
TAPSchemeを使用してリソースを保護する新しい認証ポリシーの作成
8.4.14
Access ManagerとOracle Adaptive Access Managerの統合の検証
8.5
Access ManagerとOAAMとの統合のその他のタスク
8.5.1
IAMスイート・アプリケーション・ドメインでTAPSchemeを使用してIDM製品のリソースを保護する統合の構成
8.5.2
TAPScheme認証スキームの認証レベルの変更
8.5.3
Access Managerが簡易モードの場合のOracle Adaptive Access ManagerとAccess Managerとの統合の設定
8.5.3.1
Access Managerの簡易モード通信の構成
8.5.3.2
簡易モードのAccess ManagerのOAAMプロパティの設定
8.5.4
Access ManagerとOAAMとのTAP統合におけるアイデンティティ・コンテキスト・クレームの構成
8.5.5
OAAM管理コンソールの保護の無効化
8.5.6
ステップアップ認証の無効化
8.6
リソース保護のユースケース
8.6.1
TAPSchemeの認証レベルの変更
8.6.2
保護された上位ポリシーからのOAAM管理コンソールの削除
8.6.3
TAPSchemeを使用してリソースを保護する新しいポリシーの作成
8.6.4
新しいOAAMユーザーの作成
8.6.5
ログイン・フローの例
8.6.6
ステップアップ認証フロー
8.7
一般的な問題のトラブルシューティング
8.7.1
OAAMとAccess Managerとの基本統合
8.7.1.1
Internet Explorer 7およびOAAMとAccess Managerとの基本統合
8.7.1.2
コンソールでのAccess ManagerとOAAMの統合および変更
8.7.1.3
OTPチャレンジがOAAMとAccess Managerとの基本統合でサポートされない
8.7.1.4
OAAMとAccess Managerとの基本統合におけるconfigureOAAMのWLSTを使用したデータソースの作成
8.7.2
ログインの失敗
8.7.2.1
非ASCII資格証明
8.7.2.2
大文字/小文字混合のログイン
8.7.2.3
Cookieドメインの定義
8.7.3
アイデンティティ・ストア
8.7.3.1
ユーザー名属性の誤った設定
8.7.3.2
Access ManagerとOAAMの統合でTAPによりユーザー属性を変更できない
8.7.3.3
データベースとLDAPとの間の同期が行われない
8.7.4
その他
8.7.4.1
ネットワーク遅延による統合の失敗
8.7.4.2
TAPトークン・バージョンの2.1への変更
8.7.4.3
Access Manager 11.1.1.4.0とOAAM 11.1.1.5.0との統合でOAAMAdvancedスキームによって保護されたリソースにアクセスできない
8.7.4.4
OAAMAdvancedスキームを使用している場合に設定する追加プロパティ
8.7.4.5
LDAPで保護されたリソースへのテストとしてのアクセス
9
Access Manager、OAAMおよびOIMの統合
9.1
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合について
9.1.1
厳密認証のデプロイメント・オプション
9.1.2
パスワード管理のデプロイメント・オプション
9.2
定義、頭文字および略語
9.3
統合ロードマップ
9.4
統合の要件
9.5
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerのインストール
9.6
Access ManagerとOracle Identity Managerの統合
9.7
Oracle Identity Managerに対するLDAP同期の有効化
9.8
Access ManagerとOracle Adaptive Access Managerの統合
9.9
Oracle Identity ManagerとOracle Adaptive Access Managerの統合
9.9.1
Oracle Adaptive Access Manager用のOracle Identity Managerプロパティの設定
9.9.2
Oracle Identity ManagerとOAAMの統合を有効化するためのOAAMプロパティの更新
9.9.3
資格証明ストア・フレームワークでのOracle Identity Manager資格証明の構成
9.9.4
Oracle Identity ManagerとOracle Adaptive Access Manager間のクロス・ドメインの信頼の構成
9.10
その他の構成タスク
9.11
一般的な問題のトラブルシューティング
9.11.1
ユーザーが機能しないURLに遭遇する
9.11.2
正しくないパスワードの入力後に、ユーザーがリダイレクトのループに入る
9.11.3
認証の成功時に2つのユーザー・セッションが作成される
第III部 外部SSOソリューション
10
Identity Federationとの統合
10.1
背景および統合の概要
10.1.1
Oracle Access Management Identity Federationについて
10.1.2
Identity Federationのデプロイメント・オプション
10.1.3
参照
10.2
Access Manager 11gR2との統合
10.2.1
アーキテクチャ
10.2.2
統合タスクの概要
10.2.3
前提条件
10.2.4
追加の設定
10.2.5
Access ManagerへのOracle HTTP Serverの登録
10.2.6
Oracle Identity Federationの構成
10.2.6.1
ユーザー・データ・ストアの検証
10.2.6.2
Oracle Identity Federation認証エンジンの構成
10.2.6.3
Oracle Identity Federation SP統合モジュールの構成
10.2.7
Access Managerの構成
10.2.7.1
OIFSchemeの構成
10.2.7.2
信頼できるAccess ManagerパートナとしてのOracle Identity Federationの登録
10.2.8
OIFSchemeによるリソースの保護
10.2.9
構成のテスト
10.2.9.1
SPモード構成のテスト
10.2.9.2
認証モード構成のテスト
第IV部 監視
11
Oracle Identity Navigatorとの統合
11.1
シングル・サインオンの有効化
11.1.1
エージェント用の新しいリソースの構成
11.1.2
Access Managerドメイン用のOracle HTTP Serverの構成
11.1.3
新しいアイデンティティ・プロバイダの追加
11.1.4
複数のアプリケーションに対するアクセスの構成
第V部 アイデンティティ・ストアの追加構成
12
複数ディレクトリのアイデンティティ・ストアの構成
12.1
アイデンティティ・ストアとしての複数ディレクトリの構成の概要
12.2
アイデンティティ・ストアとしての複数ディレクトリの構成: 分割プロファイル
12.2.1
前提条件
12.2.2
リポジトリの説明
12.2.3
Oracle Internet Directoryのシャドウ・ディレクトリとしての設定
12.2.4
ディレクトリ構造の概要-シャドウ結合
12.2.5
分割プロファイルのOracle Virtual Directoryアダプタの構成
12.2.6
グローバル統合変更ログ・プラグインの構成
12.2.7
Oracle Virtual Directory変更ログの検証
12.3
アイデンティティ・ストアとしての複数ディレクトリの構成: 複数ディレクトリに別個のユーザーおよびグループを格納
12.3.1
複数ディレクトリに別個のユーザーおよびグループを格納するためのディレクトリ構造の概要
12.3.2
複数ディレクトリに別個のユーザーおよびグループを格納するためのOracle Virtual Directoryアダプタの構成
12.3.2.1
エンタープライズ・ディレクトリ・アダプタの作成
12.3.2.2
アプリケーション・ディレクトリ・アダプタの作成
12.3.3
グローバル・プラグインの作成
12.4
その他の構成タスク
第VI部 付録
A
ODSMを使用した複数ディレクトリ・アイデンティティ・ストアのアダプタの検証
A.1
ODSMを使用した分割プロファイルのOracle Virtual Directoryアダプタの検証
A.1.1
Active Directoryサーバー用のユーザー・アダプタの検証
A.1.2
Shadowjoinerユーザー・アダプタの検証
A.1.3
JoinViewアダプタの検証
A.1.4
Oracle Internet Directory用のユーザー/ロール・アダプタの検証
A.1.5
Active Directoryサーバー用の変更ログ・アダプタの検証
A.1.6
Oracle Internet Directory用の変更ログ・アダプタの検証
A.1.7
グローバル統合変更ログ・プラグインの構成
A.1.8
Oracle Virtual Directory変更ログの検証
A.2
ODSMを使用した複数ディレクトリに別個のユーザーおよびグループを格納するためのアダプタの検証
A.2.1
ユーザー/ロール・アダプタA1
A.2.2
ユーザー/ロール・アダプタA2
A.2.3
変更ログ・アダプタC1
A.2.4
Active Directory用の変更ログ・アダプタ
A.2.5
変更ログ・アダプタC2
A.2.6
Oracle Virtual Directoryグローバル・プラグインの検証
A.2.7
グローバル統合変更ログ・プラグインの構成
B
idm.confファイル
B.1
idm.confファイルについて
B.1.1
デフォルト・アクセス・ゾーン
B.1.2
外部アクセス・ゾーン
B.1.3
内部サービス・ゾーン
B.1.4
管理サービス・ゾーン
B.2
idm.confファイルの例
索引