| Oracle® Exalogic Elastic Cloud Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド リリースEL X2-2、X3-2、X4-2およびX5-2 E51446-03 |
|
 前 |
 次 |
| Oracle® Exalogic Elastic Cloud Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド リリースEL X2-2、X3-2、X4-2およびX5-2 E51446-03 |
|
前 |
次 |
この章では、Oracle Identity ManagerをOracle Identity Managementエンタープライズ・デプロイメント・トポロジで使用するためにインストールおよび構成する方法について説明します。
この章には次のトピックが含まれます:
第12.4項「WebLogic Serverライブラリ・ディレクトリの下のOIMログイン・モジュールのプロビジョニング」
第12.7項「Oracle Identity ManagerとOracle SOA Suiteの構成のためのドメイン拡張」
第12.8項「IDMHOST1およびIDMHOST2の管理対象サーバー・ドメイン・ディレクトリへのOracle Identity ManagerおよびOracle SOAのデプロイ」
第12.12項「IDMHOST1およびIDMHOST2でのSOAおよびOracle Identity Manager管理対象サーバーの起動」
第12.13項「IDMHOST1およびIDMHOST2のOracle Identity Managerインスタンスの検証」
第12.21項「Oracle Identity ManagerとOracle Access Management Access Managerの統合」
第12.22項「Oracle Identity ManagerのLDAPでプロビジョニングされた管理ユーザーを使用したSOAへの接続機能の有効化」
Oracle Identity Managerは、アプリケーションおよびディレクトリに対してユーザー・アカウントを追加、更新および削除するプロセスを自動化する、ユーザー・プロビジョニングおよび管理ソリューションです。また、アクセス権を持つユーザーとその対象についての詳細なレポートを提供することで、規制遵守を向上させます。Oracle Identity Managerは、スタンドアロン製品またはOracle Identity Managementの一部として使用できます。
ユーザー・アイデンティティ・プロビジョニングの自動化することで、情報テクノロジ(IT)の管理コストが削減され、セキュリティが向上します。また、プロビジョニングは規制遵守においても重要な役割を果たします。Oracle Identity Managerの主要機能には、パスワード管理、ワークフローとポリシー管理、アイデンティティ・リコンシリエーション、レポートと監査、およびアダプタを介した拡張性があります。
Oracle Identity Managerは、次の主要機能を提供します。
ユーザー管理
ワークフローとポリシー
パスワード管理
監査およびコンプライアンス管理
統合ソリューション
ユーザー・プロビジョニング
組織およびロール管理
Oracle Identity Managerの詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』を参照してください。
この章を完了すると、次のURLが使用可能になります。
Oracle Identity Managerでドメインを拡張する前に、次のタスクが実行されていることを確認します。
Oracle Identity ManagerとSOA管理対象サーバーの仮想IPアドレスがプロビジョニングされて有効になっていることを確認します。詳細は、第3項「エンタープライズ・デプロイメント用のネットワークの構成」を参照してください。
第12.5項「wlfullclient.jarファイルの作成」の説明に従って、wlfullclient.jarファイルを作成済であることを確認します。
アイデンティティ・ストアをインストールおよび構成済であることを確認します。
第10.4項「アイデンティティ・ストアの準備」の説明に従って、Oracle Identity Managementユーザーをプロビジョニングします。
Oracle Identity Managerでドメインを拡張する前に、第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメインで実行中のすべての管理対象サーバーを停止します。
|
注意: Oracle Identity ManagerとともにデプロイされたOracle SOAは、Oracle Identity Managerのワークフロー専用に使用されます。他の目的には使用できません。 |
構成ウィザードのバージョンの問題で、一部の環境変数はASERVER_HOME/bin/setDomainenv.shスクリプトに追加されません。このため、特定のインストール・シーケンスが失敗します。この項では、この問題に対する一時的な回避策を説明します。この項の手順は、Oracle Identity Manager (IAM_MW_HOME)をホストしているドメインに関連付けられた、すべてのMW_HOMEで実行する必要があります。
ドメイン内のすべてのWebLogic Serverホームに、次の手順を適用します。
IAM_ORACLE_HOME/server/loginmodule/wlsディレクトリにあるOIMAuthenticator.jar、oimmbean.jar、oimsigmbean.jarおよびoimsignaturembean.jarファイルを、IAM_MW_HOME/wlserver_10.3/server/lib/mbeantypesディレクトリにコピーします。
cp IAM_ORACLE_HOME/server/loginmodule/wls/* IAM_MW_HOME/wlserver_10.3/server/lib/mbeantypes
ディレクトリをMW_HOME/wlserver_10.3/server/lib/mbeantypes/に変更します。
cd IAM_MW_HOME/wlserver_10.3/server/lib/mbeantypes
chmodコマンドを使用して、これらのファイルに対する権限を750に変更します。
chmod 750 *
Oracle Identity Managerは、特定の操作でwlfullclient.jarライブラリを使用します。このライブラリは出荷されていないため、手動で作成する必要があります。このライブラリは、使用している環境のアプリケーション層でOracle Identity Managerをホストしているすべてのマシン(IAM_MW_HOMEやOIM_MW_HOMEなど)のIAM_MW_HOME/wlserver_10.3/server/libディレクトリの下に作成することをお薦めします。
次の手順を実行して、wlfullclient.jarファイルを作成します。
Oracle SOAは、データベース内のジョブとスケジュールの管理にQuartzを使用します。SOA WebLogicクラスタのシステム・クロックを同期させ、ジョブ、アダプタおよびOracle B2Bを適切に機能させます。
Oracle Identity Managerを含めるには、ドメインを拡張する必要があります。ドメインの拡張は、そのドメインの管理サーバーを実行しているホストから行う必要があります。これは、IDMHOST1上のドメインIDMDomainです。
Oracle Identity Managerでドメインを拡張するには、次のコマンドを実行してIDMHOST1で構成ウィザードを起動します。
ORACLE_COMMON_HOME/common/bin/config.sh
次の手順を実行してください。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。
「次へ」をクリックします。
「WebLogicドメイン・ディレクトリの選択」画面で、IDMDomainのドメイン・ディレクトリの場所(例: /u01/oracle/config/domains/IDMDomain)を選択します。
「次へ」をクリックします。
「拡張ソースの選択」画面で次の追加製品をサポートするために、自動的にドメインを拡張するを選択します。下に表示されているリストから、「Oracle Identity Manager」を選択します。
|
注意: Oracle SOA Suite、Oracle JRF Webservices Asynchronous ServicesおよびOracle WSM Policy Managerは、自動的に選択されます。Oracle WSM Policy Managerをインストール済の場合は、この選択肢は使用できません。 |
「次へ」を選択します。
「JDBCコンポーネント・スキーマの構成」画面で次を実行します。
ページに表示されているすべてのデータ・ソースを選択します。
SOAインフラストラクチャ
ユーザー・メッセージング・サービス
OIM MDSスキーマ
OWSM MDSスキーマ
SOA MDSスキーマ
OIMスキーマ
「GridLinkへ変換」を選択します。
「次へ」をクリックします。
GridLink RACコンポーネント・スキーマ画面が表示されます。この画面で、次の各フィールドに値を入力して、RCUでシードされたOracle RACデータベースの接続情報を指定します。
コンポーネントのすべてのスキーマを選択します。以前構成したコンポーネントのスキーマは選択しないでください。
各エントリに対して、次の共通情報を指定します。
ドライバ: 「OracleのGridLink接続用ドライバ(Thin)、バージョン10以降」を選択します。
「FANの有効化」を選択します。
次のいずれかを実行します。
ONS通知の暗号化でSSLが構成されていない場合は、「SSL」を選択解除します。
「SSL」を選択して適切なウォレットおよびウォレット・パスワードを指定します。
サービス・リスナー: 使用しているRACデータベースのSCANアドレスおよびポートを入力します。このアドレスは、データベースでパラメータremote_listenerの問合せを実行することで特定できます。
SQL>show parameter remote_listener; NAME TYPE VALUE ------------------------------------------------------------- remote_listener string DB-SCAN.mycompany.com:1521
|
注意: Oracle Database 11g リリース1 (11.1)の場合、各データベース・インスタンス・リスナーの仮想IPおよびポートを使用します。次に例を示します。 DBHOST1-vip.mycompany.com (port 1521) および DBHOST2-vip.mycompany.com (port 1521) Oracle Database 10gの場合、マルチ・データ・ソースを使用してOracle RACデータベースに接続します。マルチ・データ・ソースの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のODSMを使用した複数ディレクトリ・アイデンティティ・ストアのアダプタの検証に関する項を参照してください。 |
ONSホスト: データベースから報告されるOracle RACデータベースおよびONSリモート・ポートのSCANアドレスを入力します。
srvctl config nodeapps -s ONS exists: Local port 6100, remote port 6200, EM port 2016
|
注意: Oracle Database 11gリリース1 (11.1)の場合、各データベースのONSサービスのホスト名およびポートを使用します。次に例を示します。 DBHOST1.mycompany.com (port 6200) および DBHOST2.mycompany.com (port 6200) |
次のRACコンポーネント・スキーマ情報を入力します。
表12-2 RACコンポーネント・スキーマ情報
| スキーマ名 | サービス名 | ユーザー名 | パスワード |
|---|---|---|---|
|
|
|
EDG_OIM |
|
|
|
|
EDG_SOAINFRA |
|
|
|
|
EDG_ORASDPM |
|
|
|
|
EDG_MDS |
|
|
|
|
EDG_MDS |
|
|
|
|
EDG_OPSS |
|
RACマルチ・データ・ソースを使用する場合は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のODSMを使用した複数ディレクトリ・アイデンティティ・ストアのアダプタの検証に関する項を参照してください。
「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、構成ウィザードがデータ・ソースの検証を試行します。データ・ソース検証に成功したら、「次へ」をクリックします。失敗したら、「前へ」をクリックして問題を修正し、再試行します。
「次へ」をクリックします。
「オプションの構成を選択」画面で、次を選択します。
JMS分散宛先
管理対象サーバー、クラスタ、およびマシン
JMSファイル・ストア
「次へ」をクリックします。
「JMS分散宛先」画面で、画面上のすべてのJMSシステム・リソースが共通分散宛先であることを確認します。そうではない場合、ドロップダウン・ボックスから「UDD」を選択します。エントリが次のようになっていることを確認します。
| JMSシステム・リソース | 共通/重み設定された分散宛先 |
|---|---|
|
UMSJMSSystemResource |
|
|
SOAJMSModule |
|
|
OIMJMSModule |
|
|
BPMJMSModule |
|
「次へ」をクリックします。
「オーバーライドの警告」ボックスが次のメッセージとともに表示されます。
CFGFWK-40915: At least one JMS system resource has been selected for conversion to a Uniform Distributed Destination (UDD). This conversion will take place only if the JMS System resource is assigned to a cluster
「オーバーライドの警告」ボックスで「OK」をクリックします。
「管理対象サーバーの構成」画面を最初に表示するときに、oim_server1とsoa_server1という2つの管理対象サーバーが自動的に作成されます。soa_server1をWLS_SOA1、oim_server1をWLS_OIM1に名前変更し、属性を次の表のように更新します。次に、WLS_OIM2とWLS_SOA2という2つの新しい管理対象サーバーを次の属性で追加します。
| 名前 | リスニング・アドレス | リスニング・ポート | SSLリスニング・ポート | SSL有効 |
|---|---|---|---|---|
|
WLS_SOA1 |
SOAHOST1VHN |
|
N/A |
いいえ |
|
WLS_SOA2 |
SOAHOST2VHN |
|
N/A |
いいえ |
|
WLS_OIM1 |
OIMHOST1VHN |
|
N/A |
いいえ |
|
WLS_OIM2 |
OIMHOST2VHN |
|
N/A |
いいえ |
ポート、ホスト名および他の詳細を追跡するには、付録A「アイデンティティ管理トポロジのワークシート」を参照してください。
|
注意:
|
「クラスタの構成」画面で、「追加」をクリックして各クラスタを作成します。次の情報を指定します。
表12-3 クラスタ構成
| 名前 | メッセージング・モード | マルチキャスト・アドレス | マルチキャスト・ポート | クラスタ・アドレス |
|---|---|---|---|---|
|
oim_cluster |
ユニキャスト |
n/a |
n/a |
OIMHOST1VHN:14000,OIMHOST2VHN:14000 |
|
soa_cluster |
ユニキャスト |
n/a |
n/a |
SOAHOST1VHN:8001,SOAHOST2VHN:8001 |
その他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
|
注意: 前述のデプロイメントの一部として構成済のクラスタの構成は、変更しないでください。 |
「サーバーのクラスタへの割当」画面で、管理対象サーバーとクラスタを関連付けます。右側のペインでクラスタ名をクリックします。「サーバー」の下の管理対象サーバーをクリックしてから矢印をクリックして、それをクラスタに割り当てます。次の値を割り当てます。
|
注意: 定義済のエントリを持つクラスタは、変更しないでください。 |
「次へ」をクリックします。
「マシンの構成」画面で、トポロジ内の各ホストのマシンを作成します。
「Unixマシン」タブをクリックします。
「名前」は、ホストの名前です。DNS名を使用することがベスト・プラクティスです。
「ノード・マネージャ・リスニング・アドレス」は、マシンのDNS名です。
「ノード・マネージャ・ポート」は、ノード・マネージャのポートです。
次の表の情報を指定します。
| 名前 | ノード・マネージャ・リスニング・アドレス | ノード・マネージャ・リスニング・ポート |
|---|---|---|
|
|
|
|
|
|
|
|
その他のフィールドはすべてデフォルト値のままにします。
「マシン」タブの下にある、デフォルトのローカル・マシン・エントリを削除します。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、サーバーを次のようにマシンに割り当てます。
IDMHOST1: WLS_OIM1およびWLS_SOA1
IDMHOST2: WLS_OIM2およびWLS_SOA2
「次へ」をクリックして続行します。
「JMSファイル・ストアの構成」画面で、JMSファイル・ストアのディレクトリの場所を更新します。次の表の情報を指定します。
| 名前 | ディレクトリ |
|---|---|
|
UMSJMSFileStore_auto_1 |
|
|
UMSJMSFileStore_auto_2 |
|
|
BPMJMSServer_auto_1 |
|
|
BPMJMSServer_auto_2 |
|
|
SOAJMSFileStore_auto_1 |
|
|
SOAJMSFileStore_auto_2 |
|
|
OIMJMSFileStore_auto_1 |
|
|
OIMJMSFileStore_auto_2 |
|
「次へ」をクリックします。
「構成サマリー」画面で、「拡張」をクリックしてドメインを拡張します。
「インストール完了」画面で、「完了」をクリックします。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
構成の完了後、Oracle Identity Manager構成をIDMHOST1およびIDMHOST2上の管理対象サーバー・ディレクトリに伝播する必要があります。
これを実行するには、ドメインの圧縮と解凍を行います。最初に、IDMHOST1にあるIDMDomainのドメインを圧縮し、次にそれをIDMHOST1とIDMHOST2に解凍します。
次の手順を実行して、ドメインを管理対象サーバー・ドメイン・ディレクトリに伝播します。
IDMHOST1のORACLE_COMMON_HOME/common/bin/から、packユーティリティを起動します。
./pack.sh -domain=ASERVER_HOME -template=oim_domain.jar -template_name="OIM Domain" -managed=true
oim_domain.jarというファイルが作成されます。このファイルをIDMHOST2にコピーします。
IDMHOST1とIDMHOST2で、ORACLE_COMMON_HOME/common/bin/ディレクトリにあるunpackユーティリティを起動します。
./unpack.sh -domain=MSERVER_HOME -template=oim_domain.jar -overwrite_domain=true -app_dir=MSERVER_HOME/applications
コンポジットのデプロイには、デフォルトでマルチキャスト通信を使用しますが、SOAエンタープライズ・デプロイメントでユニキャスト通信を使用することをお薦めします。セキュリティ上の理由からマルチキャスト通信を無効にする場合は、ユニキャストを使用してください。
ユニキャスト通信では、ノードによる他のクラスタ・メンバーの検出ができません。このため、クラスタに属するノードを指定する必要があります。ただし、クラスタ内のすべてのノードを指定する必要はありません。クラスタに追加された新しいノードが既存のノードの1つを検出するために必要なノードのみを指定する必要があります。その結果、新しいノードは、クラスタに結合されると、クラスタ内の残りのノードをすべて検出できます。また、複数のIPを同一システム内で使用できるSOAエンタープライズ・デプロイメントなどの構成では、Oracle CoherenceがOracle Coherenceクラスタの作成に特定のホスト名を使用するよう構成する必要があります。
|
注意: デプロイメントに使用するOracle Coherenceフレームワークを正しく構成しないと、SOAシステムを起動できない場合があります。デプロイメント・フレームワークは、SOAシステムが実行されるネットワーク環境のために適切にカスタマイズする必要があります。この項で説明している構成をお薦めします。 |
この項の内容は次のとおりです。
tangosol.coherence.wka<n>システム・プロパティを使用してノードを指定します。<n>は1から9までの数字です。最大9ノードまで指定できます。番号付けは1から始めます。この番号は、間隔を空けず、連続している必要があります。また、tangosol.coherence.localhostシステム・プロパティで、クラスタの作成でOracle Coherenceが使用するホスト名を指定します。このローカル・ホスト名は、SOAサーバーがリスニング・アドレスとして使用する仮想ホスト名(SOAHOST1VHNおよびSOAHOST2VHN)にする必要があります。このプロパティを設定するには、Oracle WebLogic Server管理コンソールの「サーバーの起動」タブの「引数」フィールドに-Dtangosol.coherence.localhostパラメータを追加します。
管理コンソールを使用して、Oracle Coherenceで使用するホスト名を指定します。
Oracle Coherenceで使用するホスト名を追加する手順は、次のとおりです。
Oracle WebLogic Server管理コンソールにログインします。
「ドメイン構造」ウィンドウで、「環境」ノードを開きます。
「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
表の「名前」列で、サーバー名(ハイパーリンクとして表示されるWLS_SOA1またはWLS_SOA2)をクリックします。選択したサーバーの設定ページが表示されます。
「ロックして編集」をクリックします。
「サーバーの起動」タブをクリックします。
WLS_SOA1およびWLS_SOA2に対して、「引数」フィールドに次を入力します。
WLS_SOA1では、次を入力します。
-Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST1VHN
WLS_SOA2では、次を入力します。
-Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST2VHN
|
注意: 異なる |
|
注意: デプロイメントに使用されるCoherenceクラスタは、デフォルトでポート8088を使用します。このポートを変更するには、-Dtangosol.coherence.wkan.portおよび-Dtangosol.coherence.localport起動パラメータを使用して異なるポート(たとえば8089)を指定します。次に例を示します。 WLS_SOA1 (「引数」フィールドに改行せずに1行で入力してください): -Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST1VHN -Dtangosol.coherence.localport=8089 -Dtangosol.coherence.wka1.port=8089 -Dtangosol.coherence.wka2.port=8089 WLS_SOA2 (「引数」フィールドに改行せずに1行で入力してください): -Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST2VHN -Dtangosol.coherence.localport=8089 -Dtangosol.coherence.wka1.port=8089 -Dtangosol.coherence.wka2.port=8089 Coherenceクラスタの詳細は、『Oracle Coherence開発者ガイド』を参照してください。 |
「保存」→「変更のアクティブ化」をクリックします。
|
注意: これらの変数が、管理対象サーバーに正しく渡されていることを確認する必要があります。(これらはサーバーの出力ログに反映されます。)Oracle Coherenceフレームワークの障害により、soa-infraアプリケーションを起動できない場合があります。 |
|
注意: マルチキャスト・アドレスおよびユニキャスト・アドレスは、WebLogic Serverクラスタでクラスタ通信に使用されるアドレスとは異なります。SOAでは、2つのエンティティ(WebLogic Serverクラスタとコンポジットがデプロイされるグループ)の通信プロトコルが異なる場合でも、コンポジットが単一のWebLogic Serverクラスタのメンバーにデプロイされることを保証します。 |
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理コンソールを使用してIDMHOST1のWebLogic管理サーバーを停止します。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ノード・マネージャを使用してIDMHOST1の管理サーバーを起動します。
SOAサーバーWLS_SOA1を起動します。
必要に応じて、第12.3項「前提条件」で停止した他のサーバーを起動します。
Oracle Identity ManagerとSOA管理対象サーバーを起動する前に、Oracle Identity Managerサーバー・インスタンスを構成する必要があります。これは、IDMHOST1上で実行します。Oracle Identity Management構成ウィザードは、Oracle Identity Managerのメタデータをデータベースにロードし、インスタンスを構成します。
手順を進める前に、次に該当することを確認します。
管理サーバーが起動されていて実行中である。
環境変数MSERVER_HOMEおよびWL_HOMEが現在のシェルに設定されていない。
Oracle Identity Management構成ウィザードは、アイデンティティ管理Oracleホームの下にあります。構成ウィザードを起動するには、次を入力します。
IAM_ORACLE_HOME/bin/config.sh
次の手順を実行します。
「ようこそ」画面で「次へ」をクリックします。
「構成するコンポーネント」画面で、「OIMサーバー」を選択します。
「次へ」をクリックします。
「データベース」画面で、次の値を指定します。
接続文字列: 次のOracle Identity Managerデータベースの接続文字列です。
IDMDB1-VIP.mycompany.com:1521:OIMEDG1^IDMDB2-VIP.mycompany.com:1521:OIMEDG2@OIMEDG.mycompany.com
ここで、1521は第A.3項のDB_LSNR_PORTポートです。
Oracle Database 11.2を使用している場合、vipアドレスとポートを、11.2 SCANアドレスとポートに置き換えてください。
OIM Schema User Name: EDG_OIM
OIMスキーマ・パスワード: password
MDS Schema User Name: EDG_MDS
MDSスキーマ・パスワード: password
「次へ」をクリックします。
「Weblogic管理サーバー」画面で、WebLogic管理サーバーに関する次の詳細を指定します。
URL: WebLogic管理サーバーに接続するためのURL。次に例を示します。
t3://ADMINVHN.mycompany.com:7001
ここで、ポート7001はWLS_ADMIN_PORTです。
ユーザー名: weblogic
パスワード: weblogicユーザーのパスワード
「次へ」をクリックします。
「OIMサーバー」画面で、次の値を指定します。
OIM管理者パスワード: Oracle Identity Manager管理者のパスワードです。これは、xelsysadmユーザーのパスワードです。パスワードには、大文字と数字を含める必要があります。ベスト・プラクティスは、第10.4項「アイデンティティ・ストアの準備」でユーザーxelsysadmに割り当てたものと同じパスワードを使用することです。
パスワードの確認: パスワードを確認します。
OIM HTTP URL: Oracle Identity ManagerサーバーのプロキシURLです。たとえば、http://IDMINTERNAL.mycompany.com:7777です。
LDAP同期の有効化: 選択します。
「次へ」をクリックします。
「LDAPサーバー」画面に入力する情報は、実装によって異なります。次の詳細を指定します。
ディレクトリ・サーバー・タイプ: OUD (アイデンティティ・ストアがOracle Unified Directoryの場合)
ディレクトリ・サーバーID: ディレクトリ・サーバーの名前です。たとえば、IdStoreです。ディレクトリ・タイプがOUDの場合にのみ必要です。
サーバーURL: LDAPサーバーのURLです。たとえば、ldap://OUDINTERNAL.mycompany.com:1489です。
サーバーのユーザー: LDAPサーバーに接続するためのユーザー名です。たとえば、cn=oimLDAP,cn=systemids,dc=mycompany,dc=comです。
サーバー・パスワード: LDAPサーバーに接続するためのパスワードです。
サーバー検索DN: 検索DN (Oracle Unified Directoryサーバーを使用してIDStoreにアクセスしている場合)たとえば、dc=mycompany,dc=comです。
「次へ」をクリックします。
「LDAPサーバーの続行」画面で、次のLDAPサーバーの詳細を指定します。
LDAPロール・コンテナ: ロール・コンテナのDNです。Oracle Identity Managerロールが格納されているコンテナです。たとえば、cn=Groups,dc=mycompany,dc=comです。
LDAPユーザー・コンテナ: ユーザー・コンテナのDNです。Oracle Identity Managerユーザーが格納されているコンテナです。たとえば、cn=Users,dc=mycompany,dc=comです。
ユーザー予約コンテナ: ユーザー予約コンテナのDNです。たとえば、cn=Reserve,dc=mycompany,dc=comです。
「次へ」をクリックします。
「構成サマリー」画面で、サマリー情報を検証します。
「構成」をクリックしてOracle Identity Managerインスタンスを構成します。
構成に成功したら、「構成の進行状況」画面で「次へ」をクリックします。
「構成が完了しました」で、構成したOracle Identity Managerインスタンスの詳細を参照します。
「終了」をクリックして構成ウィザードを終了します。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
IDMHOST1のASERVER_HOMEの下にあるsoaディレクトリを、IDMHOST1とIDMHOST2のMSERVER_HOMEディレクトリにコピーします。
次に例を示します。
scp -rp ASERVER_HOME/soa user@IDMHOST2:MSERVER_HOME
次の一連の手順を実行して、IDMHOST1上のWLS_OIM1とWLS_SOA1の管理対象サーバーを起動します。
Oracle WebLogic管理コンソールを起動し、管理サーバーの起動に成功したことを確認します。
まだ起動していない場合、第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理コンソールを使用してWLS_SOA1管理対象サーバーを起動します。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理コンソールを使用してWLS_OIM1管理対象サーバーを起動します。
次の一連の手順を実行して、IDMHOST2上のWLS_OIM2とWLS_SOA2の管理対象サーバーを起動します。
Oracle WebLogic管理コンソールを起動し、管理サーバーの起動に成功したことを確認します。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理コンソールを使用してWLS_SOA2管理対象サーバーを起動します。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理コンソールを使用してWLS_OIM2管理対象サーバーを起動します。
Webブラウザで次の場所にあるOracle Identity Managerコンソールを起動して、Oracle Identity Managerサーバー・インスタンスを検証します。
http://OIMHOST1VHN.mycompany.com:14000/identity
http://OIMHOST1VHN.mycompany.com:14000/sysadmin
http://OIMHOST2VHN.mycompany.com:14000/identity
http://OIMHOST2VHN.mycompany.com:14000/sysadmin
xelsysadmのユーザー名とパスワードを使用してログインします。
|
注意: 最初のログイン時に、「チャレンジ質問」の設定を求められます。それを行ってから次に進んでください。 |
次のURLを使用してOracle SOA Suiteを検証します。
http://SOAHOST1VHN.mycompany.com:8001/soa-infra
http://SOAHOST2VHN.mycompany.com:8001/soa-infra
weblogicユーザーとしてログインします。
現行リリースでは、LDAPConfigPostSetupスクリプトによって、デフォルトで無効になっているすべてのLDAP同期関連の増分リコンシリエーション・スケジューラ・ジョブが有効になります。LDAP構成設定後スクリプトは、IAM_ORACLE_HOME/server/ldap_config_utilディレクトリの下にあります。IDMHOST1でスクリプトを実行する手順は、次のとおりです。
IAM_ORACLE_HOME/server/ldap_config_utilディレクトリの下にあるldapconfig.propsファイルを編集し、次の値を指定します。
| パラメータ | 値 | 説明 |
|---|---|---|
|
|
|
Oracle Identity Manager管理対象サーバーのリスト。 |
|
|
|
Oracle Virtual Directoryを使用してアイデンティティ・ストアにアクセスしない場合に必要です。 |
脚注 1 14000は、第A.3項のOIM_PORTです。
|
注意:
|
ファイルを保存します。
MW_HOMEをIAM_MW_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
WL_HOMEをMW_HOME/wlserver_10.3に設定します。
APP_SERVERをweblogicに設定します。
OIM_ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
DOMAIN_HOMEをMSERVER_HOMEに設定します。
LDAPConfigPostSetup.shを実行します。スクリプトにより、LDAP管理パスワードおよびOracle Identity Manager管理パスワードの入力を求められます。次に例を示します。
IAM_ORACLE_HOME/server/ldap_config_util/LDAPConfigPostSetup.sh path_to_property_file
次に例を示します。
IAM_ORACLE_HOME/server/ldap_config_util/LDAPConfigPostSetup.sh IAM_ORACLE_HOME/server/ldap_config_util
出力例:
Successfully Enabled Changelog based Reconciliation schedule jobs.
この項では、Oracle Web Tierを使用するためにOracle Identity Managerを構成する方法を説明します。
この項の内容は次のとおりです。
OIMを既存のドメインに追加する場合、Web層構成にOIMを含める必要があります。詳細は、第7.7項「エンタープライズ・デプロイメントで必要なOracle Traffic Director仮想サーバーの定義」を参照してください。
Oracle HTTP ServerはWebLogicのプロキシとして動作するため、デフォルトでは特定のCGI環境変数がWebLogicに渡されません。これらにはホストとポートが含まれます。内部URLを適切に生成できるよう、WebLogicに仮想サイト名とポートを使用していることを伝える必要があります。
そのためには、第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、WebLogic管理コンソールにログインします。次の手順を実行します。
ホームページから「クラスタ」を選択するか、「ドメイン」構造メニューから「環境」→「クラスタ」を選択します。
チェンジ・センター・ウィンドウで「ロックして編集」をクリックして編集を有効にします。
クラスタ名(soa_cluster)をクリックします。
「構成」タブで、「HTTP」サブタブを選択します。
次のように入力します。
フロントエンド・ホスト: IDMINTERNAL.mycompany.com
フロントエンドHTTPポート: 7777 (HTTP_PORT)
「保存」をクリックします。
チェンジ・センター・ウィンドウで「変更のアクティブ化」をクリックして編集を有効にします。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WLS_SOA1とWLS_SOA2を再起動します。
SOAエンドポイントを更新する手順は次のとおりです。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているアドレスから、Oracle Enterprise Manager Fusion Middleware Controlにログインします。
ナビゲーション・ペインの「SOA」フォルダを開き、「soa-infra」を右クリックします。
「SOA管理」→「共通プロパティ」を選択します。
「詳細SOAインフラ拡張構成プロパティ」リンクをクリックします。
次のプロパティを編集し、変更を適用します。
ServerURL: http://idminternal.mycompany.com:7777
CallbackServerURL: http://idminternal.mycompany.com:7777
HttpServerURL: http://idminternal.mycompany.com:7777
「適用」をクリックします。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WLS_SOA1とWLS_SOA2を再起動します。
WLS_OIMおよびWLS_SOA管理対象サーバーには、完了できなかった可能性のある、サーバーによって調整されたコミット済トランザクションについての情報を格納するトランザクション・ログがあります。WebLogic Serverは、システム・クラッシュまたはネットワーク障害からの回復に、このトランザクション・ログを使用します。クラスタ内のサーバーに対してトランザクション回復サービスの移行機能を利用する場合は、サーバーと、そのバックアップ・サーバーからアクセス可能な場所にトランザクション・ログを保管します。
|
注意: この場所は、できればデュアルポートSCSIディスク上またはストレージ・エリア・ネットワーク(SAN)上にすることをお薦めします。 |
次の手順を実行して、Oracle Identity ManagerとSOAサーバーのデフォルトの永続ストアの場所を設定します。
共有記憶域に次のディレクトリを作成します。
ASERVER_HOME/tlogs
Oracle WebLogic Server管理コンソールにログインします。
「ロックして編集」をクリックします。
「ドメイン構造」ウィンドウで、「環境」ノードを開いて「サーバー」ノードをクリックします。
「サーバーのサマリー」ページが表示されます。
表の「名前」列で、ハイパーリンクで表示されるOracle Identity ManagerまたはSOAサーバーの名前をクリックします。
選択したサーバーの「設定」ページが表示され、デフォルトで「構成」タブが表示されます。
「サービス」サブタブを開きます。
ページの「デフォルト・ストア」セクションの下に、共有記憶域上のデフォルトの永続性ストアへのパスを入力します。このパスのディレクトリ構造は次のとおりです。
Oracle Identity Managerサーバーの場合: ASERVER_HOME/tlogs
SOAサーバーの場合: ASERVER_HOME/tlogs
|
注意: トランザクション回復サービスの移行を有効にするには、クラスタ内のその他のサーバーから使用できる永続ソリューションの場所を指定します。クラスタに属するすべてのサーバーは、このディレクトリにアクセスできる必要があります。 |
保存してアクティブ化をクリックします。
「サーバーのサマリー」ページ上の別のSOAサーバーを選択し、これらの手順を繰り返します。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle Identity ManagerとSOA管理対象サーバーを再起動して変更を有効にします。
この項では、UMS電子メール通知を構成する方法を説明します。これはオプションです。次の手順は、電子メール・サーバーが設定済で、Oracle Identity Managementがこれを使用して電子メール通知を送信できるようになっていることを前提としています。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、Oracle Identity Managerに関連付けられたOracle Enterprise Manager Fusion Middleware Controlインスタンスにログインします。
「ユーザー・メッセージング・サービス」を開きます。
「usermessagingdriver-email (wls_soa1)」を右クリックして「電子メール・ドライバ・プロパティ」を選択します。
次の情報を入力します。
OutgoingMailServer: SMTPサーバーの名前(SMTP.mycompany.comなど)
OutgoingMailServerPort: SMTPサーバーのポート(SSL送信メール・サーバーは465、非SSLは25など)
OutgoingMailServerSecurity: SMTPサーバーが使用するセキュリティ設定。指定できる値はNone/TLS/SSLです。SSLリクエストを受け入れるようメール・サーバーを構成している場合は、次の追加の手順を実行してSOA環境からDemoTrustストア参照を削除します。
ASERVER_HOME/bin/setDomainEnv.shファイルを変更して、DemoTrust参照-Djavax.net.ssl.trustStore=WL_HOME/server/lib/DemoTrust.jksをEXTRA_JAVA_PROPERTIESから削除します。
IDMHOST1とIDMHOST2上のstartManagedWeblogic.shファイルを変更します。このファイルからJAVA_OPTIONSにあるweblogic.security.SSL.trustedCAKeyStoreプロパティ設定を削除します。つまり、次のような行を削除します。
JAVA_OPTIONS="-Dweblogic.security.SSL.trustedCAKeyStore="{MW_HOME}/server/server/lib/cacerts" ${JAVA_OPTIONS}"
Oracle Identity Managerと、OIMおよびSOAの管理対象サーバーを再起動します。
OutgoingUsername: 任意の有効なユーザー名
OutgoingPassword:
「間接パスワード」、「新規ユーザーの作成」を選択します。
「間接ユーザー名/キー」に一意の文字列(たとえばOIMEmailConfig)を指定します。これによって構成ファイル内でパスワードがマスクされ、クリア・テキストで公開されないようになります。
このアカウントに対する有効なパスワードを入力します。
「適用」をクリックします。
各SOAサーバーに対して手順3と4を繰り返します。
ナビゲータで、「WebLogicドメイン」→「ドメイン名」を選択します。
メニューから「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBean」→「oracle.iam」→「サーバー: wls_oim1」→「アプリケーション: oim」→「IAMAppRuntimeMBean」を開きます。
「UMSEmailNotificationProviderMBean」をクリックします。
次のように入力します。
WSUrl: http://IDMINTERNAL.mycompany.com:7777/ucs/messaging/webservice
Policies: 空白のままにします。
CSFKey: Notification.Provider.Key
「適用」をクリックします。
ブラウザを使用して、SSO.mycompany.comの証明書を取得します。(これを行う方法を特定するには、ブラウザのドキュメントを参照してください。)ファイルをIDMHOST1に.pem形式(/tmp/sso.pemなど)で保存します。
次に、JDK (Java Development Kit)の一部として提供されるkeytoolコマンドを使用して、証明書をSOAキーストアにインポートします。次の手順を実行します。
環境変数を設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
PATHをJAVA_HOME/bin:$PATHに設定します。
ディレクトリをWL_HOME/server/libに変更します。
cd WL_HOME/server/lib
次のコマンドを使用して、証明書をSOAキーストアに追加します。
keytool -import -file /tmp/sso.pem -alias SSOAlias -keystore DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase
CLIコマンドを使用してこの証明書を追加するには、次を実行します。
openssl x509 -in <(openssl s_client -connect SSO.mycompany.com:443 -prexit 2>/dev/null) > /tmp/sso.pem
デフォルトで、Oracle Identity Managementは、LDAPにあるすべてのユーザーを調整します。これらのユーザーは、調整された後は、Oracle Identity Managerで定義された通常のパスワード・エージング・ポリシーの対象となります。これは、システム・アカウントでは望ましくありません。このリコンシリエーションから次のアカウントを除外することをお薦めします。
コンテナcn=Users内:
xelsysadm
コンテナcn=systemids内:
oimLDAP
oamLDAP
これらのユーザーをリコンシリエーションから除外して失敗したリコンシリエーション・イベントを破棄するには、ODSMおよびOIMコンソールを使用して、次の手順を実行します。
オブジェクト・クラスorclAppIDUserを各ユーザーにアタッチすることで、OIMリコンシリエーションからユーザーを除外できます。
Oracle Unified DirectoryにODSMを使用したOracle Unified Directoryの例を次に示します。Oracle Unified Directory以外のディレクトリの場合にこれを行う方法については、使用しているシステムのドキュメントを参照してください。
ODSMにログインします。
http://admin.mycompany.com/odsm
除外するユーザーをホストするいずれかのLDAPインスタンスに接続します。
サーバー: Oracle Unified Directoryホストの1つ(IDMHOST1.mycompany.comなど)
管理ポート: Oracle Unified Directory管理ポート(4444など)
ユーザー名: ディレクトリ管理者(cn=oudadminなど)
要求されたら、サーバー証明書を信頼します。
「データ・ブラウザ」を選択します。
データ・ツリーで除外するユーザーに移動します。次に例を示します。
「Root」→「dc=mycompany,dc=com」→「cn=systemids」→「cn=UserId」
ユーザーをクリックして「編集」ウィンドウを起動します。
「属性」をクリックします。
「オブジェクト・クラス」の「+」をクリックして新しいクラスを追加します。
「Advanced Search」をクリックし、検索ボックスにorclAppIDUserと入力して、「Search」をクリックします。
属性「orclAppIDUser」→「OK」をクリックします。
「適用」をクリックします。
除外する各ユーザーに対して、手順2から10を繰り返します。
失敗したリコンシリエーション・イベントを消去するには、次の手順を実行する必要があります。失敗したリコンシリエーション・イベントは、繰り返し再試行されます。このため、システムに不要な負荷がかかります。
URL http://admin.mycompany.com/sysadminを使用して、OIM管理コンソールにxelsysadmユーザーとしてログインします。
「イベント管理」の下の「リコンシリエーション」をクリックします。
「拡張検索」をクリックします。
「現行のステータス」フィールドで、「次と等しい」を選択します。「検索」ボックスで、リストから「作成に失敗しました」を選択します。
「検索」をクリックします。
各イベントを選択します。
「アクション」メニューから「イベントのクローズ」を選択します。
「確認」ウィンドウで、Close Failed Reconciliation Eventsなどの理由を入力します。
「クローズ」をクリックします。
「OK」をクリックして確認メッセージを承諾します。
この時点で、Oracle Identity Manager構成のバックアップを実行します。第16.6項「Oracle IDMエンタープライズ・デプロイメントのバックアップ」の説明に従って、データベース、WebLogicドメインおよびLDAPディレクトリをバックアップします。
この項では、Oracle Identity ManagerとOracle Access Management Access Managerの統合方法について説明します。
|
注意: Oracle Identity ManagerをAccess Managerを持つ既存のドメインに追加する予定で、まだこれを行っていない場合は、第11.5.3項「IDM構成ツールを使用したAccess Managerの構成」で説明したコマンドをOracle Identity Manager統合パラメータを使用して実行してください。 |
この項の内容は次のとおりです。
第12章「Oracle Identity Managerを含めるためのドメイン拡張」の説明に従って、OIM11gがインストールおよび構成されていることを確認します。
第11章「Oracle Access Managementを含めるためのドメイン拡張」の説明に従って、Oracle Access Managementがインストールおよび構成されていることを確認します。
Oracle Traffic Directorが第7章「エンタープライズ・デプロイメント用のOracle Traffic Directorのインストールおよび構成」の説明に従ってインストールおよび構成されていることを確認します。または、Oracle Traffic Directorが第7.2項「WEBHOST1およびWEBHOST2でのOracle Traffic Directorのインストール」の説明に従ってインストールおよび構成されていることを確認します。
第11.5.3項「IDM構成ツールを使用したAccess Managerの構成」のidmConfigToolを、パラメータOAM11G_OIM_INTEGRATION_REQをtrueに設定して実行済である場合は、この手順は省略できます。
OAM11G_INTEGRATION_FLAGをfalseに設定してコマンドを実行済である場合は、今度はOAM11G_OIM_INTEGRATION_REQをtrueに設定し、OAM11G_OIM_OHS_URLの値を指定して、このコマンドを再実行する必要があります。
Access Managerを簡易セキュリティ・トランスポート・モデルで使用している場合は、第11.9項「Access Managerとその他のコンポーネントの統合のための単一キーストアの作成」で生成されたOAMキーストア・ファイルをIDMHOST1とIDMHOST2にコピーする必要があります。キーストア・ファイルのssoKeystore.jksとoamclient-truststore.jksを、IDMHOST1とIDMHOST2上のディレクトリASERVER_HOME/output/webgate-ssltoからディレクトリMSERVER_HOME/config/fmwconfigにコピーします。
Webゲート・プロファイルを使用したOracle Identity ManagerとAccess Managerの統合では、Access ManagerのTrusted Authentication Protocol (TAP)スキームを採用しています。以前のリリースで使用したNetwork Assertion Protocol (NAP)とは異なります。
Access ManagerとOracle Identity Managerを統合するには、IDMHOST1で次の手順を実行します。
MW_HOMEをIAM_MW_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
統合のためのoimitg.propsというプロパティ・ファイルを作成します。内容は次のとおりです。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: IDMHOST1.mycompany.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .mycompany.com
COOKIE_EXPIRY_INTERVAL: 120
OAM_TRANSFER_MODE: simple
WEBGATE_TYPE: ohsWebgate11g
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 1489
IDSTORE_HOST: oudinternal.mycompany.com
IDSTORE_DIRECTORYTYPE: OUD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=systemids,dc=mycompany,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com
IDSTORE_LOGINATTRIBUTE: uid
MDS_DB_URL: jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=tcp)(host=IDMDBHOST1-VIP.mycompany.com)(port=1521))(ADDRESS=(protocol=tcp)(host=IDMDBHOST2-VIP.mycompany.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=OIMEDG.mycompany.com)))
MDS_DB_SCHEMA_USERNAME: EDG_MDS
OIM_MANAGED_SERVER_NAME: WLS_OIM1
WLSADMIN: weblogic
WLSPORT: 7001
WLSHOST: ADMINVHN.mycompany.com
DOMAIN_NAME: IDMDomain
DOMAIN_LOCATION: ASERVER_HOME
各パラメータの意味は次のとおりです。
ACCESS_SERVER_PORTは、アクセス・サーバーのプロキシ・ポートです。これは、第A.3項のOAM_PROXY_PORTです。
OAM_TRANSFER_MODEは、Access Managerサーバーが簡易モードを使用してリクエストを受信するよう構成されている場合は、simpleに設定します。それ以外の場合、OAM_TRANSFER_MODEはopenに設定します。
SSO_ENABLED_FLAGは常にtrueに設定します。
WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。有効な値はotdWebgate11gおよびotdWebgate10です。
IDSTORE_HOSTは、アイデンティティ・ストア(LDAP_LBR_HOST)の前面にあるロード・バランサの仮想ホストです。
IDSTORE_PORTは、アイデンティティ・ストア(LDAP_LBR_PORT)の前面にあるロード・バランサの仮想ポートです。
IDSTORE_DIRECTORYTYPEはOUDに設定します。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されているディレクトリ内の場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されているディレクトリ内の場所です。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名などのLDAP属性です。
MDS_DB_URLには、データベースのJDBC接続情報がjdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=tcp)(host=IDMDBHOST1-VIP.mycompany.com)(port=1521))(ADDRESS=(protocol=tcp)(host=IDMDBHOST2-VIP.mycompany.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=OIMEDG.mycompany.com)))という形式で含まれます。1521は第A.3項のDB_LSNR_PORTです。
MDS_DB_SCHEMA_USERNAMEは、MDSデータを保有するアイデンティティ管理データベース内のスキーマの名前です。第6.5項「RCUを使用したOracle RACデータベースでのアイデンティティ管理スキーマのロード」を参照してください。
OIM_MANAGED_SERVER_NAMEはOIM管理対象サーバーのうちの1つの名前です。どれを使用してもかまいません。
WLSHOST (ADMINVHN)は、第A.3項で説明している管理サーバーのホストWLS_ADMIN_HOSTです。これは、仮想名です。
WLSPORTは、第A.3項で説明している管理サーバーのポートWLS_ADMIN_PORTです。
WLSADMINは、WebLogicコンソールへのログインで使用するWebLogic管理ユーザーです。
DOMAIN_NAMEは、Oracle Identity Managerをホストしているドメインの名前です。
DOMAIN_LOCATIONは、ディスク上のドメインへのパス、つまりASERVER_HOMEです。
次の場所にあるコマンドidmConfigToolを使用して、Access ManagerとOracle Identity Managerを統合します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOIM input_file=configfile
次に例を示します。
IAM_ORACLE_HOME/idmtools/bin/idmConfigTool.sh -configOIM input_file=oimitg.props
スクリプトが実行されると、次の情報の入力を求められます。
アクセス・ゲートのパスワード
SSOキーストアのパスワード
グローバル・パスフレーズ
IDstoreの管理パスワード
MDSデータベース・スキーマのパスワード
管理サーバーのユーザー・パスワード
サンプル出力:
Enter sso access gate password : Enter sso keystore jks password : Enter sso global passphrase : Enter mds db schema password : Enter idstore admin password : Enter admin server user password : ********* Seeding OAM Passwds in OIM ********* Completed loading user inputs for - CSF Config Completed loading user inputs for - Dogwood Admin WLS Connecting to t3://ADMINVHN.mycompany.com:7001 Connection to domain runtime mbean server established Seeding credential :SSOAccessKey Seeding credential :SSOGlobalPP Seeding credential :SSOKeystoreKey ********* ********* ********* ********* Activating OAM Notifications ********* Completed loading user inputs for - MDS DB Config Apr 3, 2012 11:56:09 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Initialized MDS resources Apr 3, 2012 11:56:09 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources Notifications activated. ********* ********* ********* ********* Seeding OAM Config in OIM ********* Completed loading user inputs for - OAM Access Config Validated input values Initialized MDS resources Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Download from DB completed Releasing all resources Updated /u01/oracle/products/access/iam/server/oamMetadata/db/oim-config.xml Initialized MDS resources Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources OAM configuration seeded. Please restart oim server. ********* ********* ********* ********* Configuring Authenticators in OIM WLS ********* Completed loading user inputs for - LDAP connection info Connecting to t3://ADMINVHN.mycompany.com:7001 Connection to domain runtime mbean server established Starting edit session Edit session started Connected to security realm. Validating provider configuration Validated desired authentication providers Created OAMIDAsserter successfuly OAMIDAsserter is already configured to support 11g webgate Created OIMSignatureAuthenticator successfuly Control flags for authenticators set sucessfully Reordering of authenticators done sucessfully Saving the transaction Transaction saved Activating the changes Changes Activated. Edit session ended. Connection closed sucessfully ********* ********* ********* The tool has completed its operation. Details have been logged to automation.log
|
注意: 第13.3項「ノード・マネージャのホスト名検証証明書の有効化」の説明に従ってWebLogic管理コンソールのシングル・サインオンをすでに有効にしている場合、このスクリプトの実行時に次のエラーが表示されることがあります。 ERROR: Desired authenticators already present. [Ljava.lang.String;@7fdb492] ERROR: Error occurred while configuration. Authentication providers to be configured already present. ERROR: Rolling back the operation.. これらのエラーは無視できます。 |
ログ・ファイルでエラーを確認し、必要に応じて修正します。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーを再起動します。
既存のLDAPユーザーをオブジェクト・クラスOblixPersonPwdPolicy、OIMPersonPwdPolicyおよびOblixOrgPersonにより更新する必要があります。
|
注意: 既存のユーザーがいない新規の設定の場合は、この作業は必要ありません。 |
IDMHOST1上で、user.propsという統合のためのプロパティ・ファイルを作成します。内容は次のとおりです。
IDSTORE_HOST: oudinternal.mycompany.com IDSTORE_PORT: 1489 IDSTORE_ADMIN_USER: cn=oudadmin IDSTORE_DIRECTORYTYPE: OUD IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com PASSWORD_EXPIRY_PERIOD: 7300 IDSTORE_LOGINATTRIBUTE: uid
各パラメータの意味は次のとおりです。
OUDINTERNAL_HOSTはLDAPサーバーの名前です。次に例を示します。
oudinternal.mycompany.com
IDSTORE_PORTはLDAPサーバーのポートです。
IDSTORE_ADMIN_USERは管理ユーザーのバインドDNです。次に例を示します。
cn=oudadmin
IDSTORE_DIRECTORYTYPEはディレクトリのタイプです。有効な値はOUDです。
IDSTORE_USERSEARCHBASEはディレクトリ内のユーザーの場所です。次に例を示します。
cn=Users,dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASEはディレクトリ内のグループの場所です。次に例を示します。
cn=Groups,dc=mycompany,dc=com
IDSTORE_LOGINATTRIBUTEはディレクトリのログイン属性名です。次に例を示します。
uid
PASSWORD_EXPIRY_PERIODはパスワードの有効期間です。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
MW_HOMEをMW_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
IAM_ORACLE_HOME/idmtools/binにある既存のidmConfigToolコマンドを使用して、既存のLDAPを更新します。
|
注意:
|
このコマンドの構文は次のとおりです。
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=configfile
次に例を示します。
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=user.props
要求されたら、アイデンティティ・ストアへの接続に使用しているユーザーのパスワードを入力します。
サンプル出力:
Enter IDSTORE_ADMIN_PASSWD : ********* Upgrading LDAP Users With OAM ObjectClasses ********* Completed loading user inputs for - LDAP connection info Completed loading user inputs for - LDAP Upgrade Upgrading ldap users at - cn=Users,dc=mycompany,dc=com Parsing - cn=weblogic_idm,cn=Users,dc=mycompany,dc=com objectclass OIMPersonPwdPolicy not present in cn=weblogic_idm,cn=Users,dc=mycompany,dc=com. Seeding it obpasswordexpirydate added in cn=weblogic_idm,cn=Users,dc=mycompany,dc=com Parsing - cn=oamadmin,cn=Users,dc=mycompany,dc=com objectclass OIMPersonPwdPolicy not present in cn=oamadmin,cn=Users,dc=mycompany,dc=com. Seeding it obpasswordexpirydate added in cn=oamadmin,cn=Users,dc=mycompany,dc=com Finished parsing LDAP LDAP Users Upgraded.
|
関連項目:
|
Oracle Access Management Access ManagerとOracle Identity Managerの統合後は、LDAP属性uidを使用してユーザー検証を実行するためのTAP認証スキームを更新する必要があります。
次の手順を実行します。
http://ADMIN.mycompany.com/oamconsoleからOAMコンソールにログインします。
「ポリシー構成」をクリックします。
「認証スキーム」の下の「TAPResponseOnlyScheme」をクリックします。
「開く」をクリックします。
「チャレンジ・パラメータ」フィールドにMatchLDAPAttribute=uidを追加します。
「適用」をクリックします。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとAccess Manager管理対象サーバーを再起動します。
Oracle Identity ManagerとAccess Managerの統合後は、2つのxelsysadmアカウントが存在します。1つはOracle Identity Managerによって作成された内部アカウントです。もう1つは第10.4項「アイデンティティ・ストアの準備」でアイデンティティ・ストアで作成したアカウントです。
LDAPストアにあるxelsysadmアカウントは、OIMコンソールへのアクセスに使用されます。このアカウントのパスワードは、LDAP内で変更します。これを行うには、ODSMを使用します。OIMコンソールを使用して変更しないでください。
後でWebアプリケーションをデプロイする先となるWebLogicクラスタ内の管理対象サーバーに対するセッション・レプリケーション拡張機能を有効にできます。
oim_clusterに対してセッション・レプリケーション拡張機能を有効にするには、次の手順を実行します。
http://ADMIN.mycompany.com/oamconsoleからOracle WebLogicコンソールにログインします。
oim_clusterクラスタ内の管理対象サーバーが稼働していることを確認します(詳細は第12.12項「IDMHOST1およびIDMHOST2でのSOAおよびOracle Identity Manager管理対象サーバーの起動」を参照)。
管理対象サーバー(WLS_OIM1など)用のレプリケーション・ポートを設定するには、次の手順を実行します。
「ドメイン構造」で、「環境」および「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
「ロックして編集」をクリックします。
サーバーのリストで「WLS_OIM1」をクリックします。WLS_OIM1の設定が表示されます。
「クリック」タブをクリックします。
「レプリケーション・ポート」フィールドに、複数のレプリケーション・チャネルを構成するためのポートの範囲を入力します。たとえば、oim_cluster内の管理対象サーバーのレプリケーション・チャネルは、7005から7015のポート上でリスニングできます。このポート範囲を指定するには、7005-7015と入力します。
「保存」をクリックします。
「プロトコル」を選択し、「チャネル」を選択します。
「新規」をクリックします。
新しいネットワーク・チャネルの名前としてReplicationChannelと入力して、プロトコルとしてt3を選択してから、「次へ」をクリックします。
次の情報を入力します。
Listen address: OIMHOST1VHN.mycompany.com
|
注意: これは、WebLogic Serverに割り当てられるWLS_OIM1のフローティングIPアドレスです。 |
リスニング・ポート: 7005
「次へ」をクリックして、「ネットワーク・チャネルのプロパティ」ページで、「有効」と「アウトバウンドの有効化」を選択します。
「終了」をクリックします。
「保存」をクリックします。
これらの手順を繰り返して、クラスタ内の残りの各管理対象サーバー用のネットワーク・チャネルを作成する必要があります。表12-5の説明に従って、必要なプロパティを入力します。
クラスタ内の各管理対象サーバーのネットワーク・チャネルを作成したら、「環境」→「クラスタ」をクリックします。「クラスタのサマリー」ページが表示されます。
oim_clusterをクリックします。
「Settings for oim_cluster」ページが表示されます。
「レプリケーション」タブをクリックします。
「レプリケーション・チャネル」フィールドで、レプリケーション・トラフィック用に使用されるチャネルの名前としてReplicationChannelが設定されていることを確認します。
「詳細」セクションで、「レプリケーションの一方向RMIの有効化」オプションを選択します。
「保存」をクリックします。
soa_clusterについて前述の手順を繰り返します。
管理コンソールのチェンジ・センターでこれらの変更をアクティブ化するには、変更のアクティブ化をクリックします。
ASERVER_HOMEのbinディレクトリにあるstartWebLogic.shスクリプトに、次の手順でテキスト・エディタを使用して、手動でシステム・プロパティ-Djava.net.preferIPv4Stack=trueを追加します。
startWebLogic.shスクリプト内で次の行を探します。
. ${DOMAIN_HOME/bin/setDomainEnv.sh $*
前述のエントリのすぐ後に次のプロパティを追加します。
JAVA_OPTIONS="${JAVA_OPTIONS} -Djava.net.preferIPv4Stack=true"
ファイルを保存して、閉じます。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとAccess Manager管理対象サーバーを再起動します。
統合を検証するには、第15章「エンタープライズ・デプロイメントでの管理コンソールに対するシングル・サインオンの構成」の説明に従って、アイデンティティ管理の管理者をWebLogicセキュリティ・グループに割り当ててWebゲートをインストールする必要があります。
Access ManagerとOracle Identity Manager 11gの統合が成功したことを確認するには、次の手順を実行してOracle Identity Managerセルフ・サービス・コンソールにログインします。
ブラウザを使用して、次の場所に移動します。
https://SSO.mycompany.com/identity
OAM11gのシングル・サインオン・ページにリダイレクトされます。
第10.4項「アイデンティティ・ストアの準備」で作成したxelsysadmユーザー・アカウントを使用してログインします。
OIMセルフ・サービス・コンソール・ページが表示されれば、統合は成功しています。
追加の検証を行う手順は次のとおりです。
xelsysadmユーザーとしてOIMコンソールにログインします。
新しいユーザーを作成します。
xelsysadmユーザーとしてログアウトします。
作成したばかりの新しいユーザーでログインします。新しいユーザーとして「パスワード管理」ページにリダイレクトされます。
資格証明を入力して「送信」をクリックします。統合が正しく行われている場合は、アクセスしようとしているページに移動できます。
Oracle Identity Managerは、デフォルトでユーザー名weblogicを使用して、SOA管理者としてSOAに接続します。前述の項で説明したように、新しい管理者ユーザーが、アイデンティティ管理WebLogicドメインを管理するため、中央LDAPストアでプロビジョニングされます。
次のインストール後手順を実行して、Oracle Identity Managerが中央LDAPストアでプロビジョニングされたOracle WebLogic Server管理者ユーザーを使用できるようにします。これにより、問題なくOracle Identity ManagerがSOAに接続できるようになります。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、Enterprise Managerにログインします。
「Farm_IDMDomain」→「Identity and Access」→「OIM」→「oim(11.1.2.0.0)」を選択します。
メニューから「システムMBeanブラウザ」を選択するか、右クリックして選択します。
「アプリケーション定義のMBean」→「oracle.iam」→「サーバー: wls_oim1」→「アプリケーション: oim」→XML構成→「構成」→「XMLConfig.SOAConfig」→「SOAConfig」を選択します。
username属性を第10.4項「アイデンティティ・ストアの準備」でプロビジョニングされたOracle WebLogic Server管理者ユーザー名(weblogic_idmなど)に変更します。
「SOA構成RMI URL」を次に変更します。
cluster:t3://soa_cluster
「SOA構成SOAP URL」を次に変更します。
http://IDMINTERNAL.mycompany.com:7777
「適用」をクリックします。
ナビゲータから「WebLogicドメイン」→「IDMDomain」を選択します。
ドロップダウン・メニューから「セキュリティ」→「資格証明」を選択します。
キー「oim」を開きます。
「SOAAdminPassword」をクリックします。
「編集」をクリックします。
ユーザー名をweblogic_idmに変更して、パスワードをアカウントのパスワードに設定します。
「OK」をクリックします。
次のWLSTコマンドを使用して、SOAAdminアプリケーション・ロールのメンバーとしてWLSAdminsグループを追加します。
ORACLE_COMMON_HOME/wlst.sh MW_HOME/oracle_common/modules/oracle.jps_11.1.1/common/wlstscripts/grantAppRole.py -principalClass weblogic.security.principal.WLSGroupImpl -appStripe soa-infra -appRoleName SOAAdmin -principalName "WLSAdmins"
ここで、WLSADMINSは、第10.4項「アイデンティティ・ストアの準備」で作成されたグループ(IDSTORE_WLSADMINGROUP)です。
リコンシリエーション・プロセスを実行して、Oracle WebLogic Server管理者のweblogic_idmをOIMアイデンティティ・コンソールに表示できるようにします。次の手順を実行します。
URL http://ADMIN.mycompany.com/sysadminを使用して、OIM管理コンソールにxelsysadmユーザーとしてログインします。
「システム管理」の下の「スケジューラ」をクリックします。
検索ボックスにLDAP*と入力します。
「スケジュール済ジョブの検索」の矢印をクリックしてすべてのスケジューラをリストします。
LDAPユーザー作成および更新の完全リコンシリエーションを選択します。
「即時実行」をクリックしてジョブを実行します。
追加およびLDAPロール・メンバーシップ完全リコンシリエーションのジョブについて繰り返します。
第16.2項「アイデンティティ管理コンソールのURLについて」にリストされているURLから、OIMアイデンティティ・コンソールにログインします。検索を実行してユーザーweblogic_idmが表示されていることを確認します。
第16.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WLS_SOA1とWLS_SOA2を再起動します。
WebLogicコンソールにログインします。
チェンジ・センターで「ロックして編集」をクリックします。
「IDMDomain」→「サービス」→「外部JNDIプロバイダ」に移動します。
「ForeignJNDIProvider-SOA」をクリックします。
「Configuration」→「General」タブの下で、usernameをweblogic_idmに変更し、対応するパスワードを指定します。
「保存」→「変更のアクティブ化」をクリックします。
