| Oracle® Exalogic Elastic Cloud Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド リリースEL X2-2、X3-2、X4-2およびX5-2 E51446-03 |
|
 前 |
 次 |
| Oracle® Exalogic Elastic Cloud Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド リリースEL X2-2、X3-2、X4-2およびX5-2 E51446-03 |
|
前 |
次 |
この章では、ドメインを拡張してOracle Identity Managementエンタープライズ・デプロイメントに Oracle Access Management Access Managerを含める方法について説明します。
この章には次のトピックが含まれます:
Access Managerを使用すると、ユーザーが企業内のWebアプリケーションや他のITリソースにシームレスにアクセスできます。拡張可能な認証メソッドのセットとワークフローの定義機能を含む、集中化され、自動化されたシングル・サインオン(SSO)ソリューションを提供します。また、アクセスをリクエストしているユーザーのプロパティや、リクエストが行われた環境に基づいて、特定のリソースへのアクセス権を付与または拒否する認可エンジンも含みます。ITインフラストラクチャの包括的なポリシー管理、監査および他のコンポーネントとの統合により、このコア機能が強化されます。
Access ManagerはOAMサーバー、Oracle Access ManagementコンソールおよびWebゲートなどの様々なコンポーネントで構成されます。OAMサーバーにはエンタープライズ・リソースへのアクセスを制限するために必要なすべてのコンポーネントが含まれています。Oracle Access ManagementコンソールはAccess Managerの管理コンソールです。WebゲートはAccess Managerの実際の強制ポイントとして動作するWebサーバー・エージェントです。この章と第15項「エンタープライズ・デプロイメントでの管理コンソールに対するシングル・サインオンの構成」の手順に従って、エンタープライズ・デプロイメントで必要なAccess Managerコンポーネントのインストールおよび構成を行ってください。
この章を完了すると、次のURLが使用可能になります。
表11-1 Web層の構成後のOAM URL
| コンポーネント | URL | ユーザー | SSOユーザー |
|---|---|---|---|
|
OAMコンソール |
|
|
|
|
Oracle Enterprise Manager Fusion Middleware Control |
|
|
|
|
Oracle Directory Services Manager |
|
|
|
|
Oracle Entitlements Server Policy Manager |
|
|
|
Access Managerを構成する前に、IDMHOST1とIDMHOST2で次のタスクが実行されていることを確認します。
アイデンティティ・ストアの準備(第10章「アイデンティティ・ストアの準備」を参照)
WEBHOST1とWEBHOST2でのOracle Web Tierディレクトリの構成(第7章「エンタープライズ・デプロイメント用のOracle Traffic Directorのインストールおよび構成」を参照)
第3.9項「ロード・バランサの構成」の説明に従って、ロード・バランサを構成します。
次のコマンドを実行して、IDMHOST1で構成ウィザードを起動します。
IAM_MW_HOME/oracle_common/common/bin/config.sh
続けて、次の手順を実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。「次へ」をクリックします。
「WebLogicドメインの選択」画面で、ナビゲータを使用してWebLogic管理サーバーのドメイン・ホーム(たとえばASERVER_HOME)を選択します。
「次へ」をクリックします。
「拡張ソースの選択」画面でOracle Access Management [iam]を選択します。
「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で次を実行します。
OAMインフラストラクチャを選択します。
コンポーネント・スキーマのためのOracle RACの構成では、「GridLinkへ変換」を選択します。
「次へ」をクリックします。
GridLink RACコンポーネント・スキーマ画面が表示されます。この画面で、次の各フィールドに値を入力して、RCUでシードされたOracle RACデータベースの接続情報を指定します。
ドライバ: 「OracleのGridLink接続用ドライバ(Thin)、バージョン10以降」を選択します。
「FANの有効化」を選択します。
次のいずれかを実行します。
ONS通知の暗号化でSSLが構成されていない場合は、「SSL」を選択解除します。
「SSL」を選択して適切なウォレットおよびウォレット・パスワードを指定します。
サービス・リスナー: 使用しているRACデータベースのSCANアドレスおよびポートを入力します。このアドレスは、データベースでパラメータremote_listenerの問合せを実行することで特定できます。
SQL>show parameter remote_listener; NAME TYPE VALUE ------------------------------------------------------------- remote_listener string DB-SCAN.MYCOMPANY.COM:1521
|
注意:
|
ONSホスト: データベースから報告されるOracle RACデータベースおよびONSリモート・ポートのSCANアドレスを入力します。
srvctl config nodeapps -s ONS exists: Local port 6100, remote port 6200, EM port 2016
|
注意: Oracle Database 11gリリース1 (11.1)の場合、各データベースのONSサービスのホスト名およびポートを使用します。次に例を示します。 DBHOST1.mycompany.com (port 6200) および DBHOST2.mycompany.com (port 6200) |
次のRACコンポーネント・スキーマ情報を入力します。
「JDBCデータ・ソースのテスト」画面で、すべての接続が成功したことを確認します。
接続は自動的にテストされます。「ステータス」列に結果が表示されます。すべての接続が成功していない場合、「前へ」をクリックして前の画面に戻り、エントリを修正します。
すべての接続が成功したら、「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、ウィザードがデータ・ソースの検証を試行します。データ・ソース検証に成功したら、「次へ」をクリックします。失敗したら、「前へ」をクリックして問題を修正し、再試行します。
「オプション構成の選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。
「次へ」をクリックします。
「管理対象サーバーの構成」画面を最初に表示するときに、oam_server1という管理対象サーバーが自動的に作成されます。oam_server1をWLS_OAM1に名前変更し、属性を次の表のように更新します。次に、WLS_OAM2という新しい管理対象サーバーを次の属性で追加します。
| 名前 | リスニング・アドレス | リスニング・ポート | SSLリスニング・ポート | SSL有効 |
|---|---|---|---|---|
|
WLS_OAM1 |
IDMHOST1.mycompany.com |
|
N/A |
いいえ |
|
WLS_OAM2 |
IDMHOST2.mycompany.com |
|
N/A |
いいえ |
|
注意:
|
「次へ」をクリックします。
「クラスタの構成」画面で「追加」をクリックしてクラスタを作成します。次の情報を指定します。
その他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーとクラスタを関連付けます。右側のペインでクラスタ名をクリックします。「サーバー」の下の「管理対象サーバー」をクリックしてから矢印をクリックして、それをクラスタに割り当てます。
次のようにサーバーをクラスタに割り当てます。
|
注意: 前述のアプリケーション・デプロイメントの一部として構成済のクラスタの構成は、変更しないでください。 |
「次へ」をクリックします。
「マシンの構成」画面で、トポロジ内の各ホストのマシンを作成します。「Unixマシン」タブ→「追加」をクリックして、次のマシンを追加します。
|
注意: 「名前」には一意の文字列を指定できます。「ノード・マネージャ・リスニング・アドレス」は解決可能なホスト名にする必要があります。 |
表11-5 マシン
| 名前 | ノード・マネージャ・リスニング・アドレス | ノード・マネージャ・リスニング・ポート | ポート変数 |
|---|---|---|---|
|
|
|
5556 |
|
|
|
|
5556 |
|
その他のフィールドはすべてデフォルト値のままにします。
|
注意: マシン名は単にノード・マネージャの場所の一意の識別子で、有効なホスト名やリスニング・アドレスである必要はありません。 |
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、サーバーを次のようにマシンに割り当てます。
IDMHOST1: WLS_OAM1
IDMHOST2: WLS_OAM2
「次へ」をクリックして続行します。
「構成サマリー」画面で、「拡張」をクリックしてドメインを拡張します。
|
注意: 次のような警告を受け取ったら、 CFGFWK: Server listen ports in your domain configuration conflict with ports in use by active processes on this host 「OK」をクリックします。 この警告は、管理対象サーバーが前のインストールの一部として定義済の場合に表示されますが、無視しても問題ありません。 |
「インストール完了」画面で、「完了」をクリックします。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
この項の内容は次のとおりです。
IDMDomainAgentは、デフォルトで管理コンソールにシングル・サインオン機能を提供します。エンタープライズ・デプロイメントでは、Webゲートがシングル・サインオンを処理するため、IDMDomainAgentを削除する必要があります。IDMDomainAgentを削除する手順は次のとおりです。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、WebLogicコンソールにログインします。
その後、次のようにします。
「ドメイン構造」メニューから「セキュリティ・レルム」を選択します。
「myrealm」をクリックします。
「プロバイダ」タブをクリックします。
チェンジ・センターで「ロックして編集」をクリックします。
認証プロバイダのリストから、「IAMSuiteAgent」を選択します。
「削除」をクリックします。
「はい」をクリックして削除を確認します。
チェンジ・センターで「変更のアクティブ化」をクリックします。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーとすべての稼働中の管理対象サーバーを再起動します。
Access Managerは、デフォルトでオープン・セキュリティ・モデルを使用するように構成されています。idmConfigToolを使用してこのモードを変更する場合は、グローバル・パスフレーズを設定する必要があります。グローバル・パスフレーズとWebゲートのアクセス・パスワードを同一にする必要はありませんが、そうすることをお薦めします。そのためには、次の手順を実行します。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、OAMコンソールにログインします。
WebLogic管理ユーザーとしてログインします。
「システム構成」タブをクリックします。
「Access Manager」セクションにある「Access Manager」をクリックします。
「アクション」メニューから「開く」を選択します。Access Managerの設定が表示されます。
OAMサーバーで簡易セキュリティ・モードを使用する場合は、グローバル・パスフレーズを指定します。
「適用」をクリックします。
これで初期インストールが完了したので、次のタスクを実行します。
外部LDAPディレクトリ(oudinternal.mycompany.com)を使用するようAccess Managerを構成します。
Access Manager Webゲート・エージェントを作成します。
これらのタスクを実行するには、idmConfigToolを使用します。
|
注意: Access ManagerとOracle Identity Managerの統合を構成するか、Access Managerを単独で構成するかは、2つのパラメータ設定によって決定します。
これらのパラメータは、「パスワードを忘れた場合」などの追加リンクをAccess Managerの資格証明コレクション・ページに追加する際に使用されます。 Access ManagerをOracle Identity Managerなしで構成し、後日Oracle Identity Managerを追加することにした場合は、Access ManagerとOracle Identity Managerの統合を構成するためにこのコマンドを再度実行する必要があります。 |
IDMHOST1で次のタスクを実行します。
MW_HOMEをIAM_MW_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
config_oam1.propsというプロパティ・ファイルを次の内容で作成します。
WLSHOST: ADMINVHN.mycompany.com
WLSPORT: 7001
WLSADMIN: weblogic
WLSPASSWD: Admin Password
IDSTORE_DIRECTORYTYPE: OUD
IDSTORE_HOST: oudinternal.mycompany.com
IDSTORE_PORT: 1489
IDSTORE_BINDDN: cn=oudadmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com
IDSTORE_SEARCHBASE: dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=mycompany,dc=com
IDSTORE_OAMSOFTWAREUSER: oamLDAP
IDSTORE_OAMADMINUSER: oamadmin
PRIMARY_OAM_SERVERS: IDMHOST1.mycompany.com:5575,IDMHOST2.mycompany.com:5575
WEBGATE_TYPE: ohsWebgate11g
ACCESS_GATE_ID: Webgate_IDM
OAM11G_OIM_WEBGATE_PASSWD: password to be assigned to WebGate
COOKIE_DOMAIN: .mycompany.com
OAM11G_WG_DENY_ON_NOT_PROTECTED: true
OAM11G_IDM_DOMAIN_OHS_HOST: sso.mycompany.com
OAM11G_IDM_DOMAIN_OHS_PORT: 443
OAM11G_IDM_DOMAIN_OHS_PROTOCOL: https
OAM11G_SERVER_LBR_HOST: sso.mycompany.com
OAM11G_SERVER_LBR_PORT: 443
OAM11G_SERVER_LBR_PROTOCOL: https
OAM11G_OAM_SERVER_TRANSFER_MODE: simple
OAM_TRANSFER_MODE: simple
OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
OAM11G_SSO_ONLY_FLAG: false
COOKIE_EXPIRY_INTERVAL: 120
OAM11G_IMPERSONATION_FLAG: false
OAM11G_OIM_INTEGRATION_REQ: false
OAM11G_OIM_OHS_URL:https://SSO.mycompany.com:443
SPLIT_DOMAIN: false
各パラメータの意味は次のとおりです。
WLSHOST (ADMINVHN)は管理サーバーのホストです。これは、仮想名です。
WLSPORTは、第A.3項「ポート・マッピング」で説明している管理サーバーのポートWLS_ADMIN_PORTです。
WLSADMINは、WebLogicコンソールへのログインで使用するWebLogic管理ユーザーです。
WLSPASSWDはWebLogic管理者パスワードです。
IDSTORE_DIRECTORYTYPEはOUDです。
IDSTORE_HOSTとIDSTORE_PORTは、Oracle Traffic Directorを介してアクセスするときのアイデンティティ・ストア・ディレクトリのホストとポートです。これらは、第A.3項「ポート・マッピング」のワークシートにあるLDAP_LBR_HOSTとLDAP_LBR_PORTです。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されているディレクトリ内の場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されているディレクトリ内の場所です。
IDSTORE_SEARCHBASEは、ユーザーとグループが格納されているディレクトリ内の場所です。
IDSTORE_SYSTEMIDBASEは、ユーザーoamLDAPが格納されているディレクトリ内のコンテナの場所です。
IDSTORE_OAMSOFTWAREUSERは、LDAPとの相互作用に使用するために第10.4項「アイデンティティ・ストアの準備」で作成したユーザーの名前です。
IDSTORE_OAMADMINUSERは、OAMコンソールにアクセスするために第10.4項「アイデンティティ・ストアの準備」で作成したユーザーの名前です。
PRIMARY_OAM_SERVERSは、OAMサーバーとそのOAMサーバーで使用するプロキシ・ポートのカンマ区切りリストです。たとえば、IDMHOST1:OAM_PROXY_PORTとなります。
|
注意: OAMサーバーで使用するプロキシ・ポートを特定する手順は次のとおりです。
|
ACCESS_GATE_IDは、Webゲートに割り当てる名前です。
OAM11G_OIM_WEBGATE_PASSWDは、Webゲートに割り当てられるパスワードです。
OAM11G_IDM_DOMAIN_OHS_HOSTは、OTDの前にあるロード・バランサの名前です。
OAM11G_IDM_DOMAIN_OHS_PORTは、ロード・バランサがリスニングしているポート(HTTP_SSL_PORT)です。
OAM11G_IDM_DOMAIN_OHS_PROTOCOLは、ロード・バランサでのリクエストの転送で使用するプロトコルです。
OAM11G_WG_DENY_ON_NOT_PROTECTEDをfalseに設定すると、ログイン・ページを表示できます。Webゲート 11gを使用するときは、trueに設定する必要があります。
OAM_TRANSFER_MODEは、Oracle Access Managerサーバーが機能するセキュリティ・モデルです。有効な値はsimpleおよびopenです。simpleモードを使用する場合は、第11.5.2項「グローバル・パスフレーズの設定」の説明に従ってグローバル・パスフレーズを定義する必要があります。
OAM11G_OAM_SERVER_TRANSFER_MODEは、第11.5.2項「グローバル・パスフレーズの設定」で定義した、OAMサーバーが機能するセキュリティ・モデルです。
OAM11G_IDM_DOMAIN_LOGOUT_URLSは、様々なログアウトURLに設定されます。
OAM11G_SSO_ONLY_FLAGは、認証のみのモードまたは認証および認可をサポートする標準モードでAccess Managerを構成します。
OAM11G_SSO_ONLY_FLAGがtrueの場合、認証のみのモードでOAMサーバーが動作します。このモードでは、デフォルトで、すべての認証でポリシー検証を行わずtrueを返します。このモードでは、サーバーは認証処理によるオーバーヘッドがありません。これは、認証ポリシーに依存せず、OAMサーバーの認証機能のみが必要なアプリケーションにお薦めします。
この値がfalseの場合、サーバーはデフォルト・モードで実行されます。このモードでは、各認証の後に、OAMサーバーに対して1つ以上の認可リクエストが行われます。Webゲートは、OAMサーバーからのレスポンスに基づいて、リクエストされたリソースへのアクセスを許可または拒否します。
OAM11G_IMPERSONATION_FLAGは、OAM偽装を構成している場合はtrueに設定されます。
OAM11G_SERVER_LBR_HOSTは、サイトの前にあるロード・バランサの名前です。このパラメータと次の2つのパラメータは、ログインURLの構築に使用されます。
OAM11G_SERVER_LBR_PORTは、ロード・バランサがリスニングしているポート(HTTP_SSL_PORT)です。
OAM11G_SERVER_LBR_PROTOCOLは、使用するURL接頭辞です。
OAM11G_OIM_INTEGRATION_REQは、OAMとOIMの両方を含むトポロジを構築している場合はtrueに設定する必要があります。それ以外の場合は、この時点ではfalseに設定します。この値は、統合フェーズでAccess ManagerとOracle Identity Managerの統合の実行が設定されている場合にのみ、trueに設定されます。
ロード・バランサのURLには、OAM11G_OIM_OHS_URLを設定する必要があります。このパラメータは、トポロジにOAMとOIMを含む場合にのみ必要です。
COOKIE_DOMAINは、Webゲートが機能するドメインです。
WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。
OAM11G_IDSTORE_NAMEは、アイデンティティ・ストアの名前です。アイデンティティ・ストアがすでに存在し、(ツールで新しいアイデンティティ・ストアを作成するのではなく)それを再利用する場合は、このパラメータ値を、再利用するアイデンティティ・ストアの名前に設定します。
OAM11G_SERVER_LOGIN_ATTRIBUTEにuidが設定されている場合、ユーザーのログイン時に、そのユーザー名がLDAPのuid属性に対して検証されるようにします。
OAMのみのトポロジを構築している場合、SPLIT_DOMAINをtrueに設定します。それ以外の場合は、falseに設定します。
次の場所にあるコマンドidmConfigToolを使用して、Access Managerを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
idmConfigTool.sh -configOAM input_file=configfile
次に例を示します。
idmConfigTool.sh -configOAM input_file=config_oam1.props
コマンドが実行されると、アイデンティティ・ストアに接続しているアカウントのパスワードを入力するよう求められます。また、次のアカウントに割り当てるパスワードを指定するようにも求められます。
IDSTORE_PWD_OAMSOFTWAREUSER
IDSTORE_PWD_OAMADMINUSER
ログ・ファイルでエラーや警告を確認し、修正します。automation.logという名前のファイルが、ツールを実行したディレクトリに作成されます。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
|
注意:
コンポーネント間通信に使用される 次のファイルは、ディレクトリ
ディレクトリ |
正しく完了したことを検証する手順は次のとおりです。
http://admin.mycompany.com/oamconsoleからOAMコンソールにアクセスします。
第10.4項「アイデンティティ・ストアの準備」で作成したAccess Manager管理ユーザー(oamadminなど)としてログインします。
「システム構成」タブをクリックします。
「Access Manager」→「SSOエージェント」→「OAMエージェント」を開きます。
フォルダを開くアイコンをクリックし、「検索」をクリックします。
第11.5.3項「IDM構成ツールを使用したAccess Managerの構成」で作成したWebゲート・エージェントWebgate_IDMおよびWebgate_IDM_11gが表示されます。
初期構成の生成後、構成を編集して詳細な構成エントリを追加する必要があります。
「システム構成」タブを選択します。
ディレクトリ・ツリーから「Access Manager」→「SSOエージェント」→「OAMエージェント」を選択します。フォルダを開くアイコンをダブルクリックするか選択します。
表示された検索ページで「検索」をクリックして、空の検索を実行します。
エージェントWebgate_IDMをクリックします。
「アクション」メニューから「開く」を選択します。
プライマリ・サーバー・リストのすべてのOAMサーバーに対して、「最大接続数」を4に設定します。
次の「ログアウトURL」がリストされていない場合は追加します。
/oamsso/logout.html
/console/jsp/common/logout.jsp
/em/targetauth/emaslogout.jsp
「適用」をクリックします。
Webゲート・エージェントWebgate_IDM_11gについて、手順4から7を繰り返します。
「ポリシー構成」タブをクリックします。
「ホスト識別子」をクリックします。
「開く」をクリックします。
「検索」をクリックします。
「IAMSuiteAgent」をクリックします。
「ホスト名組合せ」ボックスの「+」をクリックします。
次の情報を入力します。
ホスト名: ADMIN.mycompany.com
ポート: 80(HTTP_PORT)
「適用」をクリックします。
Oracle Access Managementをインストールすると、保護レベルが設定された多数のリソースが作成されます。Oracle Identity Managementが正しく機能するには、これらのリソースの1つを変更したり、別のリソースを作成する必要があります。
リソースを変更し、別のリソースを作成するには、次を実行します。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLからOAMコンソールにログインして、Access Managerでリソースを作成します。
「Application Domains」、「Open」の順にクリックします。
「Search」、「IAM Suite」の順にクリックし、「Resource」タブをクリックします。
「New Resource」をクリックし、次の情報を入力します。
Type: http
Description: provisioning-callback
Host Identifier: IAMSuiteAgent
Resource URL: /provisioning-callback/**
Protection Level: Excluded
Authentication Policy: n/a
Authorization Policy: n/a
「適用」をクリックします。
「Search Results」ウィンドウで、リソース/identity/**をクリックします。
「編集」をクリックします。
「Protection Level」をExcludedに変更します。
「適用」をクリックします。
デフォルトでは、OAMアイドル・タイムアウトは2時間に設定されています。これにより、ユーザーがセッションのタイムアウト後にログアウトしていないという問題が発生する可能性があります。この値を15分に更新します。
この値を更新するには、次を実行します。
次のURLからOAMコンソールにログインします。
http://admin.mycompany.com/oamconsole
第10.4項「アイデンティティ・ストアの準備」で作成したAccess Manager管理ユーザー(oamadminなど)としてログインします。
「System Configuration」タブを選択します。
「Common configuration」の下の「Common Settings」をクリックします。
「開く」をクリックします。
「Idle Time Out (minutes)」を15に変更します。
「適用」をクリックします。
idmConfigToolを使用してOAMセキュリティ・モデルを変更した場合、既存のWebゲートで使用されるセキュリティ・モデルを変更して、この変更を反映させる必要があります。
そのための手順は次のとおりです。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、第10.4項「アイデンティティ・ストアの準備」で作成したAccess Managerの管理ユーザーとしてOracle Access Managementコンソールにログインします。
「システム構成」タブをクリックします。
「Access Manager」→「SSOエージェント」を開きます。
「OAMエージェント」をクリックして、「アクション」メニューから「開く」を選択します。
「検索」ウィンドウで「検索」をクリックします。
第11.5.3項「IDM構成ツールを使用したAccess Managerの構成」でidmconfigToolが作成していないIAMSuiteAgentなどのエージェントをそれぞれクリックします。
「セキュリティ」の値を新しいセキュリティ・モデルに設定します。表示されているリストに不足しているAccess Managerサーバーを追加します。
「適用」をクリックします。
既知の問題に対処するには、WebLogic管理サーバー・コンソールを使用して、条件を管理ロールに追加します。
|
注意:
|
セキュリティ・レルムで条件を管理ロールに追加するには、次を実行します。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、WebLogic管理サーバー・コンソールにログインします。
コンソールの左側のペインで、「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表の下の「myrealm」をクリックします。
myrealmの「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページで、「ロール」表の下の「グローバル・ロール」エントリを開きます。これにより、「ロール」のエントリが表示されます。
「ロール」リンクをクリックして「グローバル・ロール」ページに移動します。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
「グローバル・ロールの編集」ページで、「ロール条件」表の下の「条件の追加」をクリックします。
「述部の選択」ページで、述部リストから「グループ」を選択して「次へ」をクリックします。
「引数の編集」ページで、グループ引数フィールドにOAMAdministratorsを指定して「追加」をクリックします。
「終了」をクリックしてグローバル・ルールの編集ページに戻ります。
これで、「ロール条件」表にエントリとしてOAMAdministratorsグループが表示されるようになりました。
「保存」をクリックして、OAMAdministratorsグループへの管理ロールの追加を終了します。
構成の完了後、Oracle Identity Manager構成をIDMHOST1およびIDMHOST2上の管理対象サーバー・ディレクトリに伝播する必要があります。
ドメインの圧縮と解凍によってこれを行います。最初に、IDMHOST1にあるIDMDomainのドメインを圧縮し、次にそれをIDMHOST1とIDMHOST2に解凍します。
次の手順を実行して、ドメインを管理対象サーバー・ドメイン・ディレクトリに伝播します。
IDMHOST1のORACLE_COMMON_HOME/common/bin/から、packユーティリティを起動します。
./pack.sh -domain=ASERVER_HOME -template=iam_domain.jar -template_name="IAM Domain" -managed=true
iam_domain.jarというファイルが作成されます。このファイルをIDMHOST2にコピーします。
IDMHOST1とIDMHOST2で、ORACLE_COMMON_HOME/common/bin/ディレクトリにあるunpackユーティリティを起動します。
./unpack.sh -domain=MSERVER_HOME -template=iam_domain.jar -overwrite_domain=true -app_dir=MSERVER_HOME/applications
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理対象サーバーのWLS_OAM1とWLS_OAM2を起動します。
oamtestツールを使用して、Access Managerを検証できます。
|
注意: 最新のOAMバンドル・パッチを適用していない場合、OAMテスト・ツールがNullポインタ例外をスローする場合があります。 その場合は、このテストを無視します。この問題は、基礎となる構成ではなく、OAMテスト・ツール自体に関連するものです。 |
Access Managerを検証するには、次の手順を実行します。
使用している環境でJAVA_HOMEが設定されていることを確認します。
JAVA_HOME/binを、PATHに追加します。次に例を示します。
export PATH=$JAVA_HOME/bin:$PATH
ディレクトリを次に変更します。
IAM_ORACLE_HOME/oam/server/tester
次のコマンドを使用して、ターミナル・ウィンドウでテスト・ツールを起動します。
java -jar oamtest.jar
OAMテスト・ツールの起動後、ページの「サーバー接続」セクションに次の情報を入力します。
プライマリIPアドレス: IDMHOST1.mycompany.com
ポート: 5575 (OAM_PROXY_PORT)
エージェントID: Webgate_IDM_11g
エージェント・パスワード: webgate password
|
注意: 簡易モードを構成している場合、「簡易」を選択してグローバル・パスフレーズを指定する必要があります。 |
「接続」をクリックします。
ステータス・ウィンドウに次が表示されます。
[reponse] Connected to primary access server
保護されているリソースURIセクションで、次を入力します。
スキーム: http
ホスト: ADMIN.mycompany.com
ポート: 80 (HTTP_PORT)
リソース: /oamconsole
「検証」をクリックします。
ステータス・ウィンドウに次が表示されます。
[request][validate] yes
「ユーザー・アイデンティティ」ウィンドウで、次を入力します。
ユーザー名: oamadmin
パスワード: oamadmin password
「認証」をクリックします。
ステータス・ウィンドウに次が表示されます。
[request] [authenticate] yes
「認可」をクリックします。
ステータス・ウィンドウに次が表示されます。
[request] [authorize] yes
次にテストの例を示します。
トポロジ内の各アクセス・サーバーに対してこのテストを繰り返します。サーバーごとに接続の詳細を変更します。
簡易転送プロトコルを使用して動作するようAccess Managerを構成する場合、Access Managerへのすべてのトラフィックが暗号化されます。Access ManagerとOracle Identity Managerなどの他のコンポーネントの統合時には、統合する製品がこの暗号を理解できるようにする必要があります(転送モデルがオープンの場合には不要です)。これを実行するには、キーストアを使用します。
簡易プロトコルを使用するようAccess Managerを変更すると、ディレクトリASERVER_HOME/output/webgate-sslにキーストアが自動的に作成されます。このディレクトリには次のファイルが含まれます。
oamclient-keystore.jks: 秘密鍵が含まれます。
oamclient-truststore.jks: Access Managerの簡易モードのCA証明書が含まれます。
これらのファイルには、Access Managerを簡易モードで有効化したときに定義したグローバル・パスフレーズを使用してアクセスします。
一部の製品は、前述の両方のファイルを構成する必要があります。また、Oracle Identity Managerなどの製品は、単一の統合されたキーストアが必要です。
Oracle Identity Managerでの使用に適したキーストアを作成する手順は、次のとおりです。
ディレクトリをASERVER_HOME/output/webgate-sslに変更します。次に例を示します。
cd ASERVER_HOME/output/webgate-ssl
ファイルoamclient-keystore.jksをssoKeystore.jksにコピーします。次に例を示します。
cp oamclient-keystore.jks ssoKeystore.jks
次のコマンドを使用して、新しいキーストアssoKeystore.jksに信頼ストアをインポートします。
keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
要求に応じて、キーストア・パスワードを入力します。次に例を示します。
keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore ssoKeystore.jks -storetype JKS
|
注意: 簡易モードで実行されているAccess ManagerとOracle Identity Managerを統合するには、ファイル |
第16.6項「Oracle IDMエンタープライズ・デプロイメントのバックアップ」の説明に従って、データベース、WebLogicドメインおよびLDAPディレクトリをバックアップします。
