Oracle® Fusion Middleware Oracle Identity Managementインストレーション・ガイド 11gリリース1(11.1.1.7.0) B55911-06 |
|
前 |
次 |
この章では、Oracle Identity Federation(OIF)を構成する方法について説明します。
この章の内容は次のとおりです。
Oracle Identity Federationには、様々に異なるデプロイメントがあります。次のトピックで説明するように、1つのOracle Identity Federationデプロイメントは、いくつかのコンポーネントと、そのコンポーネントのためのいくつかのオプションで構成されています。
この章では、可能なすべてのインストールと構成について説明しているわけではありません。この章を、Oracle Identity Federationデプロイ作業の出発点として役立ててください。『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』も参照してください。これには、この章の情報を補足するデプロイメントに関する追加情報や詳細情報が記載されています。
Oracle Identity Federation 11gリリース1(11.1.1)を構成する場合、WebLogic Managed Serverが作成され、Oracle Identity Federation J2EEアプリケーションはその上にインストールされます。「ドメインの作成」オプションを選択して、新しいOracle WebLogic Server管理ドメインにOracle Identity Federationを構成する場合、Fusion Middleware Control管理コンポーネントもデプロイされます。
Oracle Identity Federation機能は、いくつかのコンポーネントやモジュールに依存します。Oracle Identity Federationのインストール時、あるいはその後で、そのコンポーネントとモジュールを統合および構成することができます。
次に、Oracle Identity Federation機能を決定する一部のコンポーネントとモジュールのリストと簡単な説明を示します。詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』を参照してください。
認証エンジン: ユーザーがログインする際に、チャレンジするモジュール。
ユーザー・データ・ストア: Oracle Identity Federationシステムが認証するユーザーのアイデンティティ情報を含むリポジトリ。
フェデレーション・データ・ストア: フェデレーテッド・ユーザー・アカウントにリンクするデータを含むリポジトリ。
サービス・プロバイダ(SP)統合エンジン: 受信したフェデレーテッド・シングル・サインオン(SSO)トークンに基づいて、ユーザーのためにローカル認証セッションを作成するモジュール。
ユーザー・セッション・ストアとメッセージ・ストア: 一時的な実行時セッション状態データとプロトコル・メッセージを含むリポジトリ。
構成データ・ストア: Oracle Identity Federation構成データを含んでいるリポジトリ。
Oracle Identity Federation 11gリリース1(11.1.1)には、基本デプロイメントと拡張デプロイメントの2つのデプロイメント・タイプがあります。このトピックでは両方のデプロイメント・タイプを説明します。内容は次のとおりです。
基本デプロイメントには、最小限の機能が有効にされたOracle Identity Federationの次の構成が含まれます。
ユーザー・データ・ストアなし
フェデレーション・ストアなし
JAAS認証エンジン
テスト・サービス・プロバイダ(SP)エンジン
メモリー・セッション・データ・ストア
メモリー・メッセージ・データ・ストア
XMLファイルシステム構成ストア
拡張デプロイメントでは、様々なタイプのデータ・ストアと認証エンジンを選択することができます。次に、拡張インストールの際に選択することができるデータ・ストアおよび認証エンジンのリストとタイプの説明を示します。
JAAS: アプリケーション・サーバーへの認証を委任します。
LDAP: フォーム・ログインと、ユーザー提供の資格証明を使用するLDAPバインドを使用して、LDAPリポジトリに対する認証を行います。
なし: ユーザー・データ・ストアなし。通常、カスタム認証エンジンやJAAS認証エンジン、ユーザー属性のない環境、またはWindows CardSpaceで使用されます。
LDAP: ユーザー・データをLDAPリポジトリに格納する典型的構成です。
RDBMS: ユーザー名(オプションでユーザー属性)を列に含むデータベース・テーブルを使用します。
なし: フェデレーション・データ・ストアなし。通常、永続的なアカウントにリンクしているレコードがない場合に使用されます。「フェデレーション・データ・ストアなし」は、名前識別子(電子メール・アドレス、X.509 DN、KerberosまたはWindows名前識別子)の代替選択肢です。
LDAP: フェデレーションをLDAPリポジトリに格納します。一般に、ユーザー・データ・ストアがLDAPでもある場合にデプロイされます。
RDBMS: フェデレーションをリレーショナル・データベース・リポジトリに格納します。一般に、ユーザー・データ・ストアがRDBMSでもある場合にデプロイされます。
XML: フェデレーション・データをXMLファイルシステムに格納します。一般に、テスト目的で使用されます。
メモリー: 一時実行時セッション状態データとプロトコル・メッセージをメモリー内の表に格納します。一般に、単一のインスタンス・デプロイメントで使用されます。ユーザー・セッション・ストアに「メモリー」を選択すると、RDBMSの場合よりパフォーマンスがよくなりますが、実行時メモリー要件が増大します。
RDBMS: 一時実行時セッション状態データとプロトコル・メッセージをリレーショナル・データベースに格納します。高可用性クラスタ環境にお薦めします。
注意: ユーザー・セッション・ストアとメッセージ・ストアは、インストーラでは別々の構成項目として表示されますが、大部分のデプロイメントでは、両方のストアに同じタイプのリポジトリが使用されます。 |
ファイルシステム: Oracle Identity Federation構成データをローカル・ファイルシステムに格納します。一般に、単一インスタンス環境やテスト環境で使用されます。
RDBMS: Oracle Identity Federation構成データをリレーショナル・データベースに格納します。一般に、フェイルオーバー冗長性を持つ高可用性環境や単一インスタンス環境で使用されます。
Oracle Identity Federation(OIF)をインストールすると、Oracle HTTP Serverもインストールされます。エンタープライズ・レベルのシングル・サインオン用にOracle Identity Federationを、Oracle Single Sign-OnおよびOracle Access Managerと一緒に使用する場合、Oracle HTTP Serverが必要です。Oracle Identity FederationはOracle HTTP Serverがない場合も機能しますが、Oracle HTTP ServerをOracle Identity Federationのプロキシとして構成すると便利です。
Oracle HTTP Serverポートを介してOracle Identity FederationにアクセスできるようにOracle HTTP Serverを構成するには、次の作業を実行します。
「インストールのロードマップ」および「「インストールと構成」オプションを使用したOracle Identity Managementのインストール」の説明に従って、Oracle Identity Federationがインストールされていることを確認します。
<ORACLE_HOME>/bin/config.sh
(UNIXの場合)または<ORACLE_HOME>\bin\config.bat
を実行して、Oracle Identity Management構成ウィザードを起動します。「次へ」をクリックして続行します。
「コンポーネントの構成」画面で、Oracle HTTP ServerおよびOracle Identity Federationを選択します。
参照: Oracle Identity FederationとOracle HTTP Serverを統合する手順の詳細は、Oracle Fusion Middleware Oracle Identity Federation管理者ガイドの、Oracle HTTP ServerとともにOracle Identity Federationをデプロイする場合を扱った項を参照してください。 |
このトピックでは、Oracle Identity Federation(OIF)の基本構成を実行する方法を説明します。内容は、次のとおりです。
Oracle Identity Federationの基本構成は、次の場合に適しています。
インストール後に複合的な実装を構築するためのベースの作成
テスト環境のデプロイ
小規模な独立構成のデプロイ
Oracle Identity Federationの基本構成を実行すると、次のコンポーネントがデプロイされます。
Oracle Identity Federationを新しいドメインにインストールする場合:
WebLogic管理対象サーバー
Oracle Identity Federation
WebLogic管理サーバー
Fusion Middleware Control
オプション: Oracle HTTP Server
Oracle Identity Federationを既存のドメインにインストールする場合:
WebLogic管理対象サーバー
Oracle Identity Federation
オプション: Oracle HTTP Server
Oracle Identity Federationの基本構成は、Oracle WebLogic Serverに依存します。
Oracle Identity Federationの基本構成をデプロイするには、次の手順を実行します。
「インストールのロードマップ」および「「インストールと構成」オプションを使用したOracle Identity Managementのインストール」の説明に従って、Oracle Identity Federationがインストールされていることを確認します。
<ORACLE_HOME>/bin/config.sh
(UNIXの場合)または<ORACLE_HOME>\bin\config.bat
を実行して、Oracle Identity Management構成ウィザードを起動します。「次へ」をクリックして続行します。
「ドメインの選択」画面で、新しいドメインと既存のドメインのどちらにOracle Identity Federationを構成するかを選択します。
Oracle Identity Federationを新しいドメインに構成するには:
新規ドメインの作成を選択します。
「ユーザー名」フィールドに、新しいドメインでのユーザー名を入力します。
ユーザー・パスワード・フィールドに、新しいドメインでのパスワードを入力します。
「パスワードの確認」フィールドに、もう一度ユーザー・パスワードを入力します。
「ドメイン名」フィールドに、新しいドメインのドメイン名を入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
ステップ4に進んで、インストールを続行します。
Oracle Identity Federationを既存のドメインに構成するには:
既存ドメインの拡張を選択します。
「ホスト名」フィールドに、ドメインを含んでいるホストの名前を入力します。
「ポート」フィールドに、WebLogic Administration Serverのリスニング・ポートを入力します。
「ユーザー名」フィールドに、ドメインでのユーザー名を入力します。
「パスワード」フィールドに、ドメイン・ユーザーのパスワードを入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
2.6項「インストール・ディレクトリの特定」を参照して、ホーム、インスタンスおよびWebLogic Serverのディレクトリを特定します。
注意: Oracle Identity Managementコンポーネントを既存のOracle WebLogic Server管理ドメインに構成する場合、ドメイン内の各Oracle WebLogic Serverホーム、Oracleミドルウェア・ホームおよびOracleホーム・ディレクトリはディレクトリ・パスおよび名前が同一である必要があります。 |
各フィールドに情報を入力したら、「次へ」をクリックします。セキュリティ更新の指定画面が表示されます。
セキュリティ問題の通知方法を次の中から選択します。
電子メールでセキュリティ問題を通知する場合、「電子メール」フィールドにメール・アドレスを入力します。
セキュリティ問題の通知をMy Oracle Support(以前のメタリンク)から受けとる場合は、My Oracle Supportオプションを選択してMy Oracle Supportパスワードを入力します。
セキュリティ問題の通知を行わない場合は、すべてのフィールドを空のままにします。
「次へ」をクリックします。「コンポーネントの構成」画面が表示されます。
「Oracle Identity Federation」、およびオプションで「Oracle HTTP Server」を選択します。これら2つのコンポーネントを同時に構成する方法の詳細は、「OIF用のOracle HTTP Serverの構成」を参照してください。
Oracle Identity Federationを新しいドメインにインストールする場合、Fusion Middleware Controlコンポーネントが、インストール対象として自動的に選択されます。
他のコンポーネントが選択されていないことを確認し、「次へ」をクリックします。ポートの構成画面が表示されます。
インストーラによるポートの構成方法を選択します。
インストーラが、あらかじめ定められた範囲内のポートを構成するようにするには、自動ポート構成を選択します。
staticports.iniファイルを使用してポートを構成する場合は、「構成ファイルを使用してポートを指定」を選択します。「ファイルの表示/編集」をクリックして、staticports.iniファイルの設定を更新します。
「次へ」をクリックします。Oracle Identity Federation構成タイプの選択画面が表示されます。
「基本」を選択し、「次へ」をクリックします。OIF詳細の指定画面が表示されます。
次の情報を入力します。
PKCS12パスワード: Oracle Identity Federationが暗号化とウォレットの署名に使用するパスワードを入力します。自己署名証明書付きのウォレットが自動的に生成されます。ウォレットの使用は、テストの場合のみお薦めします。
パスワードの確認: PKCS12パスワードをもう一度入力します。
サーバーID: このOracle Identity Federationインスタンスを識別するために使用する文字列を入力します。入力した文字列の先頭に、oif
という接頭辞が追加されます。Oracle WebLogic Server管理ドメイン内の各論理Oracle Identity Federationインスタンスは、一意のサーバーIDを持つ必要があります。単一の論理インスタンスとして働くクラスタ化されたOracle Identity Federationインスタンスは、同じサーバーIDを持ちます。
「次へ」をクリックします。
「インストール・サマリー」画面が表示されます。画面の情報を検証します。「構成」をクリックして構成を開始します。
「構成の進行状況」画面が表示されます。「次へ」をクリックして続行します。
「インストール 完了」画面が表示されます。「保存」をクリックして構成情報をファイルに保存し、「終了」をクリックしてインストーラを終了します。
このトピックは、Oracle Identity Federationの拡張構成を実行する方法を、一般的に説明します。個別の拡張Oracle Identity Federation構成の実行に関する詳細は、この章の、次の2つのトピックを参照してください。
このトピックには、次の項があります。
Oracle Identity Federationの拡張構成では、不可欠なコンポーネントが統合、構成され、Oracle Identity Federationが高速、簡単にデプロイされます。
Oracle Identity Federationの拡張構成を実行すると、次のコンポーネントがデプロイされます。
Oracle Identity Federationを新しいドメインに構成する場合:
WebLogic管理対象サーバー
Oracle Identity Federation
WebLogic管理サーバー
Fusion Middleware Control
オプション: Oracle HTTP Server
Oracle Identity Federationを既存のドメインに構成する場合:
WebLogic管理対象サーバー
Oracle Identity Federation
オプション: Oracle HTTP Server
Oracle Identity Federationの拡張構成は、次のコンポーネントに依存します。
Oracle WebLogic Server
ユーザー・ストア、フェデレーション・ストア、セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用する場合は、Oracle Database
フェデレーション・ストア、セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用する場合は、データベース内に存在する新しい「Identity Management - Oracle Identity Federation」 スキーマ
RDBMSをユーザー・ストアに使用してユーザー・データを格納するデータベース表
認証、ユーザー・ストアまたはフェデレーション・ストアにLDAPを使用する場合は、LDAPリポジトリ
Oracle Identity Federationの拡張構成をデプロイするには、次の手順を実行します。
ユーザー・ストア、フェデレーション・ストア、セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用するかどうかを決定します。使用する場合は、次のステップaおよびbを実行します。
Oracle Identity Federationのデータベースをインストールします。詳細は、「Oracle Databaseのインストール」を参照してください。
データベースにIdentity Management - Oracle Identity Federationスキーマを作成します。詳細は、「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
注意: RDBMSユーザー・ストアにはスキーマは必要ありません。 |
認証、ユーザー・ストアまたはフェデレーション・ストアにLDAPリポジトリを使用するかどうかを決定します。使用する場合、Oracle Identity Federationをインストールする前に、LDAPリポジトリをインストールする必要があります。
「インストールのロードマップ」および「「インストールと構成」オプションを使用したOracle Identity Managementのインストール」の説明に従って、Oracle Identity Federationがインストールされていることを確認します。
<ORACLE_HOME>/bin/config.sh
(UNIXの場合)または<ORACLE_HOME>\bin\config.bat
を実行して、Oracle Identity Management構成ウィザードを起動します。「次へ」をクリックして続行します。
ドメインの選択画面で、新しいドメインと既存のドメインのどちらにOracle Identity Federationをインストールするかを選択します。
Oracle Identity Federationを新しいドメインに構成するには:
新規ドメインの作成を選択します。
「ユーザー名」フィールドに、新しいドメインでのユーザー名を入力します。
ユーザー・パスワード・フィールドに、新しいドメインでのパスワードを入力します。
「パスワードの確認」フィールドに、もう一度ユーザー・パスワードを入力します。
「ドメイン名」フィールドに、新しいドメインのドメイン名を入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
ステップ6に進んで、インストールを続行します。
Oracle Identity Federationを既存のドメインに構成するには:
既存ドメインの拡張を選択します。
「ホスト名」フィールドに、ドメインを含んでいるホストの名前を入力します。
「ポート」フィールドに、WebLogic Administration Serverのリスニング・ポートを入力します。
「ユーザー名」フィールドに、ドメインでのユーザー名を入力します。
「パスワード」フィールドに、ドメイン・ユーザーのパスワードを入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
2.6項「インストール・ディレクトリの特定」を参照して、ホーム、インスタンスおよびWebLogic Serverのディレクトリを特定します。
注意: Oracle Identity Managementコンポーネントを既存のOracle WebLogic Server管理ドメインにインストールする場合、ドメイン内の各Oracle WebLogic Serverホーム、Oracleミドルウェア・ホームおよびOracleホーム・ディレクトリはディレクトリ・パスおよび名前が同一である必要があります。 |
各フィールドに情報を入力したら、「次へ」をクリックします。セキュリティ更新の指定画面が表示されます。
セキュリティ問題の通知方法を次の中から選択します。
電子メールでセキュリティ問題を通知する場合、「電子メール」フィールドにメール・アドレスを入力します。
セキュリティ問題の通知をMy Oracle Support(以前のメタリンク)から受けとる場合は、My Oracle Supportオプションを選択してMy Oracle Supportパスワードを入力します。
セキュリティ問題の通知を行わない場合は、すべてのフィールドを空のままにします。
「次へ」をクリックします。「コンポーネントの構成」画面が表示されます。
「Oracle Identity Federation」、およびオプションで「Oracle HTTP Server」を選択します。これら2つのコンポーネントを同時に構成する方法の詳細は、「OIF用のOracle HTTP Serverの構成」を参照してください。
Oracle Identity Federationを新しいドメインにインストールする場合、Fusion Middleware Controlコンポーネントが、インストール対象として自動的に選択されます。
他のコンポーネントが選択されていないことを確認し、「次へ」をクリックします。ポートの構成画面が表示されます。
インストーラによるポートの構成方法を選択します。
インストーラが、あらかじめ定められた範囲内のポートを構成するようにするには、自動ポート構成を選択します。
staticports.iniファイルを使用してポートを構成する場合は、「構成ファイルを使用してポートを指定」を選択します。「ファイルの表示/編集」をクリックして、staticports.iniファイルの設定を更新します。
「次へ」をクリックします。Oracle Identity Federation構成タイプの選択画面が表示されます。
「詳細」を選択し、「次へ」をクリックします。OIF詳細の指定画面が表示されます。
次の情報を入力します。
PKCS12パスワード: Oracle Identity Federationが暗号化とウォレットの署名に使用するパスワードを入力します。自己署名証明書付きのウォレットが自動的に生成されます。ウォレットの使用は、テストの場合のみお薦めします。
パスワードの確認: PKCS12パスワードをもう一度入力します。
サーバーID: このOracle Identity Federationインスタンスを識別するために使用する文字列を入力します。入力した文字列の先頭に、oif
という接頭辞が追加されます。Oracle WebLogic Server管理ドメイン内の各論理Oracle Identity Federationインスタンスは、一意のサーバーIDを持つ必要があります。単一の論理インスタンスとして働くクラスタ化されたOracle Identity Federationインスタンスは、同じサーバーIDを持ちます。
「次へ」をクリックします。OIF拡張フロー属性の選択画面が表示されます。
各構成項目に適切なオプションを選択し、「次へ」をクリックします。
注意: ユーザー・セッション・ストアとメッセージ・ストアは、インストーラでは別々の構成項目として表示されますが、大部分のデプロイメントでは、両方のストアに同じタイプのリポジトリが使用されます。 |
次に表示される画面は、OIF拡張フロー属性の選択画面で、構成項目に対して選択したオプションにより異なります。次の情報は、表示される可能性があるすべての画面の説明です。表示される可能性があるすべての画面に関するこの情報は、順番に表示されるとは限らず、インストールで画面のすべてが表示されないこともあります。適切な画面に情報を入力して、ステップ13まで進みます。
認証タイプにLDAPを選択した場合、LDAP認証の詳細の指定画面が表示されます。次の情報を入力します。
LDAPタイプ: 適切なLDAPリポジトリを選択します。
LDAP URL: LDAPリポジトリのURL接続文字列を、protocol://hostname:portという形式で入力します。
注意: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合、SSL LDAPのURL(ldaps://hostname:port)を指定する必要があります。 |
LDAPバインドDN: LDAPリポジトリのバインドDNを入力します。
LDAPパスワード: バインドDNのパスワードを入力します。
ユーザー資格証明ID属性: Oracle Identity Federationがユーザーを認証するために使用するLDAP属性を入力します。たとえば、「mail」と入力した場合、そのユーザーのmail属性の値がjane.doe@domain.comであれば、Jane Doeは、チャレンジされたときに「jane.doe.@domain.com」と入力する必要があります。ユーザー資格証明ID属性の値は、すべてのユーザーで一意である必要があります。
ユーザーの一意ID属性: Oracle Identity Federationに対してユーザーを一位に識別するLDAP属性を入力します。入力する値は、ユーザー・データ・ストアのユーザーID属性パラメータに対して入力する値と同一である必要があります。たとえば、ユーザーの一意ID属性に「mail」と入力し、ユーザー・データ・ストアのユーザーID属性パラメータに値EmailAddressを構成した場合、認証エンジン・リポジトリのmailの値は、ユーザー・データ・ストアのEmailAddressの値と同一である必要があります。ユーザーの一意ID属性の値は、すべてのユーザーで一意である必要があります。
個人オブジェクト・クラス: LDAPリポジトリでユーザーを表すLDAPオブジェクト・クラスを入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はinetOrgPerson、Microsoft Active Directoryの場合はuserです。
ベースDN: 検索が開始されるルートDNを入力します。
ユーザー・ストアにLDAPを選択した場合、ユーザー・データ・ストアのLDAP属性の指定画面が表示されます。次の情報を入力します。
LDAPタイプ: 適切なLDAPリポジトリを選択します。
LDAP URL: LDAPリポジトリのURL接続文字列を、protocol://hostname:portという形式で入力します。
注意: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合、SSL LDAPのURL(ldaps://hostname:port)を指定する必要があります。 |
LDAPバインドDN: LDAPリポジトリのバインドDNを入力します。
LDAPパスワード: バインドDNのパスワードを入力します。
ユーザーの説明属性: フェデレーション・レコードの所有者を識別する、読取り可能なLDAP属性を入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はuid、Microsoft Active Directoryの場合はsAMAccountNameです。
ユーザーID属性: 認証の際、ユーザーを一意に識別するLDAP属性を入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はuid、Microsoft Active Directoryの場合はsAMAccountNameです。
個人オブジェクト・クラス: LDAPリポジトリでユーザーを表すLDAPオブジェクト・クラスを入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はinetOrgPerson、Microsoft Active Directoryの場合はuserです。
ベースDN: 検索が開始されるルートDNを入力します。
ユーザー・ストアにRDBMSを選択した場合、ユーザー・ストア・データベースの詳細の指定画面が表示されます。次の情報を入力します。
HostName: データベース・ホストに対する接続文字列をhostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列の形式は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameにします。
ユーザー名: データベース・ユーザー名を入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
ログイン表: ユーザー・データを格納する表の名前を入力します。入力する値は、有効なテーブル名である必要があります。ユーザーID属性とユーザーの説明属性に入力する値は、指定した表の有効な列名である必要があります。
ユーザーID属性: Oracle Identity FederationユーザーIDに使用する表の列の名前を入力します。入力する値は、ログイン表パラメータに指定した表の有効な列名である必要があります。
ユーザーの説明属性: ユーザー説明のために使用する表の列の名前を入力します。入力する値は、ログイン表パラメータに指定した表の有効な列名である必要があります。
フェデレーション・ストアにLDAPを選択した場合、フェデレーション・データ・ストアのLDAP属性の指定画面が表示されます。次の情報を入力します。
LDAPタイプ: 適切なLDAPリポジトリを選択します。
LDAP URL: LDAPリポジトリのURL接続文字列を、protocol://hostname:portという形式で入力します。
注意: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合、SSL LDAPのURL(ldaps://hostname:port)を指定する必要があります。 |
LDAPバインドDN: LDAPリポジトリのバインドDNを入力します。
LDAPパスワード: バインドDNのパスワードを入力します。
ユーザー・フェデレーション・レコード・コンテキスト: Oracle Identity Federationがフェデレーション・レコードを格納するコンテナの場所を入力します。指定したコンテナが存在しない場合、実行時に作成されます。ただし、ユーザー・フェデレーション・レコード・コンテキストとして「cn=example,dc=test,dc=com」を指定した場合、「dc=test,dc=com」がLDAPリポジトリに存在する必要があります。
LDAPコンテナ・オブジェクト・クラス: オプション。ストア・フェデレーションを格納するコンテナのオブジェクト・クラスを入力します。このフィールドが空欄の場合、デフォルト値のapplicationProcessが使用されます。
Active Directoryドメイン: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合のみ表示されます。Microsoft Active Directoryドメインの名前を入力します。
フェデレーション・ストアにRDBMSを選択した場合、フェデレーション・ストア・データベースの詳細の指定画面が表示されます。次の情報を入力します。
HostName: データベース・ホストに対する接続文字列をhostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列の形式は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameにします。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
ユーザー・セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを選択した場合、一時ストア・データベースの詳細の指定画面が表示されます。次の情報を入力します。
HostName: データベース・ホストに対する接続文字列をhostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列の形式は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameにします。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
「次へ」をクリックします。
「インストール・サマリー」画面が表示されます。画面の情報を検証します。「構成」をクリックして構成を開始します。
「構成の進行状況」画面が表示されます。「次へ」をクリックして続行します。
「インストール 完了」画面が表示されます。「保存」をクリックして構成情報をファイルに保存し、「終了」をクリックしてインストーラを終了します。
この項では、LDAP認証、ユーザー・ストア、フェデレーション・ストア用に新しいWebLogic管理ドメインでOracle Identity Federation (OIF)とOracle Internet Directoryを構成する方法について説明します。
注意: Oracle Identity FederationをOracle Internet Directoryとともに構成する場合、インストーラは自動的に、Oracle Internet Directoryの構成を使用して、接続、資格証明、属性およびコンテナの設定を構成します。 |
この項には、この構成に関する次の情報が含まれます。
このトピックの構成を実行して、Oracle Identity Federationを、LDAP認証、ユーザー・ストアおよびフェデレーション・ストア用のLDAPリポジトリとなるOracle Internet Directoryとともに短時間でデプロイします。
この項の構成を実行すると、次のコンポーネントがデプロイされます。
WebLogic管理対象サーバー
Oracle Identity Federation
Oracle Internet Directory
Oracle Directory Service Manager
WebLogic管理サーバー
Fusion Middleware Control
オプション: Oracle HTTP Server
この項の構成は、次のコンポーネントに依存しています。
Oracle WebLogic Server
Oracle Internet Directory用のOracle Database
Oracle Internet Directory用のデータベースにある「Identity Management - Oracle Internet Directory」スキーマ。
セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用する場合は、Oracle Identity Federation用のOracle Database
セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用する場合は、Oracle Identity Federation用のデータベース内に存在する「Identity Management - Oracle Identity Federation」スキーマ
LDAP認証、ユーザー・ストアおよびフェデレーション・ストア用に、新しいドメインにOracle Identity FederationをOracle Internet Directoryとともに構成するには、次の手順を実行します。
セッション・ストア、メッセージ・ストアまたは構成ストアにRDBMSを使用するかどうかを決定します。使用する場合は、次のステップaおよびbを実行します。
Oracle Identity Federationのデータベースをインストールします。詳細は、「Oracle Databaseのインストール」を参照してください。
データベースにIdentity Management - Oracle Identity Federationスキーマを作成します。詳細は「Oracle Fusion Middleware Repository Creation Utility (RCU)を使用したデータベース・スキーマの作成」を参照してください。
Oracle Internet Directory用のOracle Databaseをインストールします。詳細は、「Oracle Databaseのインストール」を参照してください。
Oracle Internet DirectoryのデータベースにIdentity Management - Oracle Internet Directoryスキーマを作成します。詳細は、「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
「インストールのロードマップ」および「「インストールと構成」オプションを使用したOracle Identity Managementのインストール」の説明に従って、Oracle Identity Federationがインストールされていることを確認します。
<ORACLE_HOME>/bin/config.sh
(UNIXの場合)または<ORACLE_HOME>\bin\config.bat
を実行して、Oracle Identity Management構成ウィザードを起動します。「次へ」をクリックして続行します。
ドメインの選択画面で、新規ドメインの作成を選択して、次の情報を入力します。
ユーザー名: 新しいドメインでのユーザー名を入力します。
ユーザー・パスワード: 新しいドメインのパスワードを入力します。
「パスワードの確認」フィールドに、もう一度ユーザー・パスワードを入力します。
ドメイン名: 新しいドメインの名前を入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
2.6項「インストール・ディレクトリの特定」を参照して、ホーム、インスタンスおよびWebLogic Serverのディレクトリを特定します。各フィールドに情報を入力したら、「次へ」をクリックします。セキュリティ更新の指定画面が表示されます。
セキュリティ問題の通知方法を次の中から選択します。
電子メールでセキュリティ問題を通知する場合、「電子メール」フィールドにメール・アドレスを入力します。
セキュリティ問題の通知をMy Oracle Support(以前のメタリンク)から受けとる場合は、My Oracle Supportオプションを選択してMy Oracle Supportパスワードを入力します。
セキュリティ問題の通知を行わない場合は、すべてのフィールドを空のままにします。
「次へ」をクリックします。「コンポーネントの構成」画面が表示されます。
「Oracle Internet Directory」、「Oracle Identity Federation」、およびオプションで「Oracle HTTP Server」を選択します。Oracle HTTP ServerをOracle Identity Federationとともに構成する方法の詳細は、「OIF用のOracle HTTP Serverの構成」を参照してください。
このインストールでは、Oracle Directory Services ManagerとFusion Middleware Controlの管理コンポーネントが自動的に選択されます。
他のコンポーネントが選択されていないことを確認し、「次へ」をクリックします。ポートの構成画面が表示されます。
インストーラによるポートの構成方法を選択します。
インストーラが、あらかじめ定められた範囲内のポートを構成するようにするには、自動ポート構成を選択します。
staticports.iniファイルを使用してポートを構成する場合は、「構成ファイルを使用してポートを指定」を選択します。「ファイルの表示/編集」をクリックして、staticports.iniファイルの設定を更新します。
「次へ」をクリックします。「スキーマ・データベースの指定」画面が表示されます。
既存のスキーマの使用を選択し、次の情報を入力することによって、ステップ3で作成したOracle Internet Directory用のODSスキーマを識別します。
「接続文字列」フィールドにデータベース接続情報を入力します。接続文字列は、hostname:port:servicenameという形式である必要があります。Oracle Real Application Clusters(RAC)の場合、接続文字列は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameという形式である必要があります。
「パスワード」フィールドに、ODSスキーマのパスワードを入力し、「次へ」をクリックします。
注意: 既存のODSスキーマとODSSMスキーマのパスワードが異なる場合、「次へ」をクリックすると、ODSSMパスワードの指定画面が表示されます。既存のODSSMスキーマのパスワードを入力して、「次へ」をクリックします。 |
Oracle Internet Directoryの作成画面が表示されます。
Oracle Internet Directoryに関する、次の情報を入力します。
レルム: レルムの場所を入力します。
管理者パスワード: Oracle Internet Directory管理者のパスワードを指定します。
パスワードの確認: 管理者パスワードをもう一度入力します。
「次へ」をクリックします。OIF詳細の指定画面が表示されます。
次の情報を入力します。
PKCS12パスワード: Oracle Identity Federationが暗号化とウォレットの署名に使用するパスワードを入力します。自己署名証明書付きのウォレットが自動的に生成されます。ウォレットの使用は、テストの場合のみお薦めします。
パスワードの確認: PKCS12パスワードをもう一度入力します。
サーバーID: このOracle Identity Federationインスタンスを識別するために使用する文字列を入力します。入力した文字列の先頭に、oif
という接頭辞が追加されます。Oracle WebLogic Server管理ドメイン内の各論理Oracle Identity Federationインスタンスは、一意のサーバーIDを持つ必要があります。単一の論理インスタンスとして働くクラスタ化されたOracle Identity Federationインスタンスは、同じサーバーIDを持ちます。
「次へ」をクリックします。OIF拡張フロー属性の選択画面が表示されます。
注意:
|
各構成項目に適切なオプションを選択し、「次へ」をクリックします。
注意: ユーザー・セッション・ストアとメッセージ・ストアは、インストーラでは別々の構成項目として表示されますが、大部分のデプロイメントでは、両方のストアに同じタイプのリポジトリが使用されます。 |
ユーザー・セッション・ストア: 「メモリー」またはRDBMS
一時実行時セッション状態データをメモリー内の表に格納するには、「メモリー」を選択します。
一時実行時セッション状態データをリレーショナル・データベースに格納するには、RDBMSを選択します。
メッセージ・ストア: 「メモリー」またはRDBMS
プロトコル・メッセージをメモリー内の表に格納するには、「メモリー」を選択します。
プロトコル・メッセージをリレーショナル・データベースに格納するには、RDBMSを選択します。
構成ストア: 「ファイル」またはRDBMS
Oracle Identity Federation構成データをローカル・ファイルシステムに格納するには、「ファイル」を選択します。
Oracle Identity Federation構成データをリレーショナル・データベースに格納するには、RDBMSを選択します。
注意: 次に表示される画面は、構成項目で選択したオプションにより、異なります。
|
一時ストア・データベースの詳細の指定画面で、次の情報を入力します。
HostName: データベース・ホストに対する接続文字列をhostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列の形式は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameにします。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
「次へ」をクリックします。
「インストール・サマリー」画面が表示されます。画面の情報を検証します。「構成」をクリックして構成を開始します。
「構成の進行状況」画面が表示されます。「次へ」をクリックして続行します。
「インストール 完了」画面が表示されます。「保存」をクリックして構成情報をファイルに保存し、「終了」をクリックしてインストーラを終了します。
このトピックでは、新規または既存のWebLogic管理ドメインに、RDBMSデータ・ストアとともにOracle Identity Federation(OIF)を構成する方法を説明します。内容は、次のとおりです。
このトピックの構成を実行して、Oracle Identity Federationを、RDBMSユーザー・ストア、フェデレーション・ストア、セッション・ストア、メッセージ・ストアおよび構成ストアとともに短時間でデプロイします。
この項の構成を実行すると、次のコンポーネントがデプロイされます。
Oracle Identity Federationを新しいドメインに構成する場合:
WebLogic管理サーバー
Fusion Middleware Control
WebLogic管理対象サーバー
Oracle Identity Federation
オプション: Oracle HTTP Server
Oracle Identity Federationを既存のドメインに構成する場合:
WebLogic管理対象サーバー
Oracle Identity Federation
オプション: Oracle HTTP Server
この項の構成は、次のものに依存しています。
Oracle WebLogic Server
ユーザー・ストア、フェデレーション・ストア、セッション・ストア、メッセージ・ストアまたは構成ストア用のOracle Database
フェデレーション・ストア、セッション・ストア、メッセージ・ストアおよび構成ストア用のデータベース内に存在する新しい「Identity Management - Oracle Identity Federation」 スキーマ
ユーザー・データをユーザー・ストア・データベースに格納するための表
認証にLDAPを使用する場合は、LDAPリポジトリ
新規または既存のドメインに、RDBMSユーザー・ストア、フェデレーション・ストア、ユーザー・セッション・ストア、メッセージ・ストアおよび構成ストアとともにOracle Identity Federationを構成するには、次の手順を実行します。
RDBMSユーザー・ストア、フェデレーション・ストア、ユーザー・セッション・ストア、メッセージ・ストアおよび構成ストア用のデータベースをインストールします。詳細は、「Oracle Databaseのインストール」を参照してください。
データベースに「Identity Management - Oracle Identity Federation」スキーマを作成します。詳細は「Oracle Fusion Middleware Repository Creation Utility (RCU)を使用したデータベース・スキーマの作成」を参照してください。
認証にLDAPリポジトリを使用するかどうかを決定します。使用する場合、Oracle Identity Federationをインストールする前に、LDAPリポジトリをインストールする必要があります。
「インストールのロードマップ」および「「インストールと構成」オプションを使用したOracle Identity Managementのインストール」の説明に従って、Oracle Identity Federationがインストールされていることを確認します。
<ORACLE_HOME>/bin/config.sh
(UNIXの場合)または<ORACLE_HOME>\bin\config.bat
を実行して、Oracle Identity Management構成ウィザードを起動します。「次へ」をクリックして続行します。
ドメインの選択画面で、新しいドメインと既存のドメインのどちらにOracle Identity Federationをインストールするかを選択します。
Oracle Identity Federationを新しいドメインに構成するには:
新規ドメインの作成を選択します。
「ユーザー名」フィールドに、新しいドメインでのユーザー名を入力します。
ユーザー・パスワード・フィールドに、新しいドメインでのパスワードを入力します。
「パスワードの確認」フィールドに、もう一度ユーザー・パスワードを入力します。
「ドメイン名」フィールドに、新しいドメインのドメイン名を入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
ステップ7に進んで、インストールを続行します。
Oracle Identity Federationを既存のドメインにインストールするには:
既存ドメインの拡張を選択します。
「ホスト名」フィールドに、ドメインを含んでいるホストの名前を入力します。
「ポート」フィールドに、WebLogic Administration Serverのリスニング・ポートを入力します。
「ユーザー名」フィールドに、ドメインでのユーザー名を入力します。
「パスワード」フィールドに、ドメイン・ユーザーのパスワードを入力します。
「次へ」をクリックします。「インストール場所の指定」画面が表示されます。
2.6項「インストール・ディレクトリの特定」を参照して、ホーム、インスタンスおよびWebLogic Serverのディレクトリを特定します。
注意: Oracle Identity Managementコンポーネントを既存のOracle WebLogic Server管理ドメインにインストールする場合、ドメイン内の各Oracle WebLogic Serverホーム、Oracleミドルウェア・ホームおよびOracleホーム・ディレクトリはディレクトリ・パスおよび名前が同一である必要があります。 |
各フィールドに情報を入力したら、「次へ」をクリックします。セキュリティ更新の指定画面が表示されます。
セキュリティ問題の通知方法を次の中から選択します。
電子メールでセキュリティ問題を通知する場合、「電子メール」フィールドにメール・アドレスを入力します。
セキュリティ問題の通知をMy Oracle Support(以前のメタリンク)から受けとる場合は、My Oracle Supportオプションを選択してMy Oracle Supportパスワードを入力します。
セキュリティ問題の通知を行わない場合は、すべてのフィールドを空のままにします。
「次へ」をクリックします。「コンポーネントの構成」画面が表示されます。
「Oracle Identity Federation」、およびオプションで「Oracle HTTP Server」を選択します。これら2つのコンポーネントを同時に構成する方法の詳細は、「OIF用のOracle HTTP Serverの構成」を参照してください。
Oracle Identity Federationを新しいドメインにインストールする場合、Fusion Middleware Controlコンポーネントが、インストール対象として自動的に選択されます。
他のコンポーネントが選択されていないことを確認し、「次へ」をクリックします。ポートの構成画面が表示されます。
インストーラによるポートの構成方法を選択します。
インストーラが、あらかじめ定められた範囲内のポートを構成するようにするには、自動ポート構成を選択します。
staticports.iniファイルを使用してポートを構成する場合は、「構成ファイルを使用してポートを指定」を選択します。「ファイルの表示/編集」をクリックして、staticports.iniファイルの設定を更新します。
「次へ」をクリックします。Oracle Identity Federation構成タイプの選択画面が表示されます。
「詳細」を選択し、「次へ」をクリックします。OIF詳細の指定画面が表示されます。
次の情報を入力します。
PKCS12パスワード: Oracle Identity Federationが暗号化とウォレットの署名に使用するパスワードを入力します。自己署名証明書付きのウォレットが自動的に生成されます。ウォレットの使用は、テストの場合のみお薦めします。
パスワードの確認: PKCS12パスワードをもう一度入力します。
サーバーID: このOracle Identity Federationインスタンスを識別するために使用する文字列を入力します。入力した文字列の先頭に、oif
という接頭辞が追加されます。Oracle WebLogic Server管理ドメイン内の各論理Oracle Identity Federationインスタンスは、一意のサーバーIDを持つ必要があります。単一の論理インスタンスとして働くクラスタ化されたOracle Identity Federationインスタンスは、同じサーバーIDを持ちます。
「次へ」をクリックします。OIF拡張フロー属性の選択画面が表示されます。
次のオプションを選択し、「次へ」をクリックします。
認証タイプ: JAASまたは「LDAP」
JAAS: アプリケーション・サーバーへの認証を委任します。
LDAPリポジトリに照会して認証するには、「LDAP」を選択します。
ユーザー・ストア: 「RDBMS」
フェデレーション・ストア: 「RDBMS」
ユーザー・セッション・ストア: RDBMS
「メッセージ・ストア」: 「RDBMS」
構成ストア: 「RDBMS」
認証を実行するLDAPリポジトリを指定するには、LDAP認証の詳細の指定画面で、次の情報を入力します。
LDAPタイプ: 適切なLDAPリポジトリを選択します。
LDAP URL: LDAPリポジトリのURL接続文字列を、protocol://hostname:portという形式で入力します。
注意: 「LDAPタイプ」に「Microsoft Active Directory」を選択した場合、SSL LDAPのURL(ldaps://hostname:port)を指定する必要があります。 |
LDAPバインドDN: LDAPリポジトリのバインドDNを入力します。
LDAPパスワード: バインドDNのパスワードを入力します。
ユーザー資格証明ID属性: Oracle Identity Federationがユーザーを認証するために使用するLDAP属性を入力します。たとえば、「mail」と入力した場合、そのユーザーのmail属性の値がjane.doe@domain.comであれば、Jane Doeは、チャレンジされたときに「jane.doe.@domain.com」と入力する必要があります。ユーザー資格証明ID属性の値は、すべてのユーザーで一意である必要があります。
ユーザーの一意ID属性: Oracle Identity Federationに対してユーザーを一位に識別するLDAP属性を入力します。入力する値は、ユーザー・データ・ストアのユーザーID属性パラメータに対して入力する値と同一である必要があります。たとえば、ユーザーの一意ID属性に「mail」と入力し、ユーザー・データ・ストアのユーザーID属性パラメータに値EmailAddressを構成した場合、認証エンジン・リポジトリのmailの値は、ユーザー・データ・ストアのEmailAddressの値と同一である必要があります。ユーザーの一意ID属性の値は、すべてのユーザーで一意である必要があります。
個人オブジェクト・クラス: LDAPリポジトリでユーザーを表すLDAPオブジェクト・クラスを入力します。たとえば、Oracle Internet DirectoryとSun Java System Directory Serverの場合はinetOrgPerson、Microsoft Active Directoryの場合はuserです。
ベースDN: 検索が開始されるルートDNを入力します。
「次へ」をクリックします。ユーザー・ストア・データベースの詳細の指定画面が表示されます。
ユーザー・データを格納するデータベースを指定するには、次の情報を入力します。
HostName: データベース・ホストに対する接続文字列をhostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列の形式は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameにします。
ユーザー名: データベース・ユーザー名を入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
ログイン表: ユーザー・データを格納する表の名前を入力します。入力する値は、有効なテーブル名である必要があります。ユーザーID属性とユーザーの説明属性に入力する値は、指定した表の有効な列名である必要があります。
ユーザーID属性: Oracle Identity FederationユーザーIDに使用する表の列の名前を入力します。入力する値は、ログイン表パラメータに指定した表の有効な列名である必要があります。
ユーザーの説明属性: ユーザー説明のために使用する表の列の名前を入力します。入力する値は、ログイン表パラメータに指定した表の有効な列名である必要があります。
「次へ」をクリックします。フェデレーション・ストア・データベースの詳細の指定画面が表示されます。
フェデレーテッド・ユーザー・アカウントにリンクするデータを格納するデータベースを指定するには、次の情報を入力します。
HostName: データベース・ホストに対する接続文字列をhostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列の形式は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameにします。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
「次へ」をクリックします。一時ストア・データベースの詳細の指定画面が表示されます。
一時実行時セッション状態データ、プロトコル・メッセージおよびOracle Identity Federation構成データを格納するデータベースを指定するには、次の情報を入力します。
HostName: データベース・ホストに対する接続文字列をhostname:port:servicenameの形式で入力します。Oracle Real Application Clusters(RAC)の場合、接続文字列の形式は、hostname1:port1:instance1^hostname2:port2:instance2@servicenameにします。
ユーザー名: RCUによって作成されるスキーマ所有者の名前を、PREFIX_OIFの形式で入力します。
パスワード: データベース・ユーザーのパスワードを入力します。
「次へ」をクリックします。
「インストール・サマリー」画面が表示されます。画面の情報を検証します。「構成」をクリックして構成を開始します。
「構成の進行状況」画面が表示されます。「次へ」をクリックして続行します。
「インストール 完了」画面が表示されます。「保存」をクリックして構成情報をファイルに保存し、「終了」をクリックしてインストーラを終了します。
次のようにして、Oracle Identity Federation(OIF)インストールを検証します。
次のURLでOracle Identity Federationメタデータにアクセスします。メタデータにアクセスできる場合は、Oracle Identity Federationがインストールされ、Oracle Identity Federationサーバーが実行されています。
http://host:port/fed/sp/metadata
注意: hostは、Oracle Identity FederationがインストールされたWebLogic Managed Serverの名前を表します。portは、そのWebLogic Managed Server上のリスニング・ポートを表します。 |
Fusion Middleware Controlにアクセスして、Oracle Identity Federationが使用可能で実行されていることを確認します。詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Enterprise Manager Fusion Middleware Controlを使用するスタート・ガイドに関する項を参照してください。
Oracle Identity Federation(OIF)をインストールした後で、Oracle Fusion Middleware Oracle Identity Federation管理者ガイドの、一般的なタスクの項を参照してください。