| Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド 11gリリース1(11.1.1.7.0) B56245-05 |
|
 前 |
 次 |
| Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド 11gリリース1(11.1.1.7.0) B56245-05 |
|
前 |
次 |
この章では、既存の10g(10.1.4)Oracle Identity FederationをOracle Identity Federation 11gにアップグレードする方法について説明します。
この章の内容は次のとおりです。
Oracle Identity Federation 11gをインストールする前に、Oracle Application Server 10g(10.1.4)での現在のトポロジと、Oracle Fusion Middleware 11g環境の要件を確認します。
詳細は、第4章「Oracle Identity Federationのトポロジ」を参照してください。
Oracle Identity Federation 11gにアップグレードするには、サポートされているデータベースにOracle Identity Federationスキーマをインストールしておく必要があります。
詳細は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のデータベースのアップグレードと準備に関する項を参照してください。
Oracle Identity Federationスキーマのインストールの詳細は、次の項を参照してください。
インストールを実行する前に、システム要件や動作保証のドキュメントを読み、使用している環境が、インストールする製品のインストール最小要件を満たしているかどうかを確認する必要があります。
詳細は、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のシステム要件および仕様に関する項を参照してください。
リポジトリ作成ユーティリティを実行してデータベースにOracle Identity Federationスキーマをインストールするには、次のドキュメントを参照してください。
Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド
『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』
リポジトリ作成ユーティリティを起動した後、リポジトリ作成ユーティリティの画面の手順に従ってデータベースに接続し、必要なスキーマを作成します。
スキーマのインストール時は、次の点に注意してください。
「コンポーネントの選択」画面で、「Oracle Identity Federation」スキーマを選択します。
他のOracle Fusion Middleware 11gコンポーネントのインストールにこのデータベースを使用する予定がなければ、他のスキーマは必要ありません。
次の項では、Oracle Fusion Middleware 11gへのアップグレードの準備のため、新規のOracle Fusion Middleware 11g中間層インスタンスをインストールし、構成する方法について説明します。
タスク3b: Oracle Identity Federation 11gリリース1(11.1.1.7.0)のインストール
タスク3e: Oracle HTTP Serverインスタンスの作成およびOracle Identity Federation 11gへのリンク
Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』の「インストールの準備」および「グラフィカル・モードでのインストール・プログラムの実行」を参照してください。
Oracle Identity Managementをインストールする場合、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Identity Management (11.1.1.7.0)のインストールおよび構成に関する項を参照してください。
具体的な手順については、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle HTTP Serverの作成と管理に関する項を参照してください。
Oracle Fusion Middlewareアップグレード・アシスタントによって、Oracle Application Server 10g環境のアップグレードが多くの点で自動化されます。
アップグレード・アシスタントは、Oracle Fusion Middleware Oracleホームのbinディレクトリに自動的にインストールされます。
アップグレード・アシスタントは、アップグレードするそれぞれのOracle Application Server 10g Oracleホームに対して1回実行します。たとえば、同じ10gリリース2(10.1.2)ファームの一部である、2つの異なる10gリリース2(10.1.2)Oracleホームをアップグレードする場合、それぞれの10gリリース2(10.1.2)Oracleホームに対してそれぞれ1回ずつ、つまり2回アップグレード・アシスタントを実行します。
同様に、新しいOracle Fusion Middleware 11g環境に複数のOracleインスタンスを構成する場合、Oracleインスタンスごとにアップグレード・アシスタントを1回実行する必要があります。
|
注意: Oracle Identity Federation環境で複数のデータ・ストア、認証エンジンまたはSPエンジンを構成している場合、アップグレード・アシスタントでは、有効化されたリソースのみが11gにアップグレードされます。構成されていても、有効化されていない追加のデータ・ストア、認証エンジンまたはSPエンジンは、新しいOracle Identity Federation 11g環境にアップグレードされません。 アップグレード後に、アップグレードされなかったリソースを再構成できます。また、Oracle Identity Federation 10gとは異なり、11gでは複数のリソースを一度に有効化できます。 |
詳細は、次の項を参照してください。
グラフィカル・ユーザー・インタフェースを使用したアップグレード・アシスタントを起動する手順は、次のとおりです。
|
注意: Oracle Application Server 10g Oracleホームのアップグレードには、アップグレード・アシスタントのコマンドライン・インタフェースも使用できます。詳細は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のアップグレード・アシスタントのコマンドライン・インタフェースの使用に関する項を参照してください。 |
ディレクトリを、Oracle Fusion MiddlewareインストールのORACLE_HOME/binディレクトリに変更します。
次のコマンドを入力して、アップグレード・アシスタントを起動します。
UNIXシステムの場合:
./ua
Windowsシステムの場合:
ua.bat
図7-1に示すとおり、アップグレード・アシスタントの「ようこそ」画面が表示されます。
「次へ」をクリックして「操作の指定」画面(図7-2)を表示します。
アップグレード・アシスタントで使用可能なオプションは、アシスタントを起動したOracleホーム固有のものです。Oracle Application Server Identity ManagementのOracleホームからアップグレード・アシスタントを起動する場合、「操作の指定」画面に表示されるオプションが、Oracle Application Server Identity ManagementのOracleホームに対して有効なオプションです。
図7-2 Oracle Identity Federationアップグレードのためのアップグレード・アシスタントの「操作の指定」画面
Oracle Identity Federationをアップグレードする場合、アップグレード・アシスタントによって、Oracle Identity Federation中間層の構成ファイルがアップグレードされます。
Oracle Identity Federationが同一のOracleインスタンスにある場合にOracle Identity Federationをアップグレードするには、次のようにします。
「タスク4a: Oracle Identity Federationアップグレードのためのアップグレード・アシスタントの起動」に示すとおり、アップグレード・アシスタントを起動します。
「操作の指定」画面(図7-2)の「アイデンティティ管理インスタンスのアップグレード」を選択します。
Oracle Identity Federationのアップグレード中に入力を必要とするアップグレード・アシスタントの画面の説明は、表7-1を参照してください。
アップグレード・アシスタントでは、「アップグレード・オプションの指定」画面の後に次のタスクが実行され、それぞれのタスクの進行状況が表示されます。
アップグレード対象のコンポーネントとスキーマを調査し、アップグレード可能かどうかを確認します。
アップグレード対象のコンポーネントのサマリーを示します。これにより、アップグレード・アシスタントによってコンポーネントとスキーマが予測どおりにアップグレードされることを確認できます。
進行状況画面を表示します。これにより、アップグレードのステータスを進行に応じて確認できます。
アップグレード中に発生したエラーまたは問題について警告します。
|
関連項目: アップグレード・アシスタントの実行中に発生する問題のトラブルシューティングの具体的な方法は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のアップグレードのトラブルシューティングに関する項を参照してください。 |
アップグレードが完了したことを確認する「アップグレードの終了」画面を表示します。
アップグレード・アシスタントを終了します。
表7-1 Oracle Internet DirectoryおよびOracle Directory Integration Platformのアップグレード中に入力が必要なアップグレード・アシスタント画面
| アップグレード・アシスタント画面 | 説明 |
|---|---|
|
ソース・ホームの指定 |
10g(10.1.4)のソースOracleホームを選択します。 アップグレードするOracleホームがドロップダウン・リストに表示されない場合は、『Oracle Fusion Middlewareアップグレード・プランニング・ガイド』のOracleASアップグレード・アシスタントに一覧表示されないソースOracleホームに関する項を参照してください。 |
|
アップグレード先インスタンスの指定 |
ミドルウェア・ホーム内にインストールしたアップグレード先の11g Oracleインスタンスの完全パスを入力します。これは、Oracle Identity Federationソフトウェアが含まれるOracleホームです。 または、「参照」をクリックしてディレクトリを選択します。 |
|
WebLogic Serverの指定 |
第7.3項「タスク3: Oracle Fusion Middleware 11gのインストールおよび構成」で構成したOracle WebLogic Serverドメインのホスト、管理サーバーのポートおよび管理ユーザーの資格証明を入力します。 |
|
「警告」ダイアログ・ボックス |
ソースOracleホームに、ターゲットOracleインスタンスにインストールおよび構成されていないOracle Application Serverコンポーネントがある場合は、この警告ダイアログ・ボックスが表示されます。 この警告は、ソースOracleホームに11g Oracleホームで使用できないOracle HTTP Serverのインスタンスが含まれる場合などに表示されます。 ダイアログ・ボックス内の情報が正しく、どのコンポーネントがアップグレードされるかがわかっている場合は、「はい」をクリックして続行します。それ以外は、「いいえ」をクリックして、コンポーネントが各11g Oracleインスタンスでインストールおよび構成されていることを確認します。 |
|
アップグレード・オプションの指定 |
この画面は、これらのアップグレード・オプションを示します。
この画面のアップグレード・オプションの詳細を表示するには、「ヘルプ」をクリックします。 |
次の項では、Oracle Identity Federation 11gにアップグレードする際に必要な手動によるアップグレード手順について説明します。
以前にOracle Identity Federation 10gをOracle Access Managerと一緒に使用していた場合、次の手順を使用して、既存のOracle Access Manager 10gソフトウェアで正常に機能するようにOracle Identity Federation 11gを構成できます。
ここに示す手順は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle Access ManagerでのOracle Identity Federationのデプロイに関する項の手順に基づいています。
Oracle Identity Federation 11gをOracle Access Manager 10gとともに使用するには、次のようにします。
この章の前項の手順を使用して、Oracle Identity Federation 11gにアップグレードします。
具体的には、Oracle Identity Federation 11gをインストールして構成し、アップグレード・アシスタントを使用してOracle Identity Federationインスタンスを11gにアップグレードします。
オプションで、Oracle Identity Federation 11gの認証エンジンとしてOracle Access Manager 10gを使用します。
具体的な手順については、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』の認証エンジンとしてのOracle Access Managerの統合に関する項を参照してください。
オプションで、Oracle Access Manager 10gをSP統合モジュールとして統合します。
具体的な手順については、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のSP統合モジュールとしてのOracle Access Managerの統合に関する項を参照してください。
オプションで、保護されたリソースが新しいOracle Identity Federation 11gの認証スキームを使用するように、Oracle Access Manager 10gを構成します。
このタスクを実行するため、Oracle Access Managerでのポリシー・オブジェクトと認証スキームの作成をOracle Identity Federation 11gに許可することにより、Oracle Access Managerの適切な統合の確認に役立つ手順を使用します。
これらの手順は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle Identity FederationとOracle Access Managerの統合に関する項にあります。
Oracle Access Managerとの統合が完了したら、Oracle Identity Federation 10gの古いアクセス・ゲート、認証スキームおよびポリシーをOracle Access Manager 10gから削除します。
詳細は、Oracle Identity Management 10g(10.1.4)ドキュメント・ライブラリのOracle Access Managerドキュメントを参照してください。これは、次のOracle Technology Network(OTN)から入手できます。
http://www.oracle.com/technology/documentation
Oracle Identity Federation 10gインスタンスをカスタム認証エンジンに統合する場合、次の項の情報を使用して、カスタム認証エンジンをOracle Identity Federation 11gで構成します。
Oracle Identity Federation 11gの認証エンジンで使用可能なHTTPServletRequestAttributesは、10gのものとは異なります。そのため、新しいパラメータ名から属性値を読み取ることができるように認証エンジン・コードを変更する必要があります。
詳細は、次の項を参照してください。
Oracle Identity Federation 11gで受信するパラメータと属性の変更
表7-2に、Oracle Identity Federation 11gの認証エンジンに使用される新規パラメータと変更されたパラメータを示します。
表7-2Oracle Identity Federationから受信するパラメータと属性
| パラメータまたは属性 | Oracle Identity Federation 11gでの変更 |
|---|---|
|
|
これらの問合せパラメータは11gでは使用できません。 11gでは、認証エンジンによる識別後に、これらのパラメータを参照してユーザーの転送先を検索する必要はありません。11gの場合、認証が成功すると、ユーザーはエンジンによってOracle Identity Federationに転送されます。 ユーザーを転送するには、ルート・コンテキスト |
|
|
この10gの問合せパラメータは、11gでは次の属性に変更されました。 oracle.security.fed.authn.authnmech そのため、カスタム・エンジンで
request.getAttribute("oracle.security.fed.authn.authnmech")
10gでは、 oracle:fed:authentication:password-protected 11gでは、 |
|
|
この10gの問合せパラメータは、11gでは次の属性に変更されました。 oracle.security.fed.authn.refid そのため、カスタム・エンジンで
request.getAttribute("oracle.security.fed.authn.refid")
|
Oracle Identity Federation 11gでサポートされる新しい受信属性
表7-2で説明する変更に加えて、Oracle Identity Federation 11gでは、次の新しい受信属性を使用できます。Oracle Identity Federation 10gにはこれらに対応する属性はありません。これらの属性は11gの認証エンジンで使用できます。
oracle.security.fed.authn.providerid
oracle.security.fed.authn.providerdescription
oracle.security.fed.authn.engineid
oracle.security.fed.authn.userid
oracle.security.fed.authn.forceauthn
oracle.security.fed.authn.passive
oracle.security.fed.authn.attributes
oracle.security.fed.sessionid
これらの新規属性の詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービスの実装に関する項を参照してください。
Oracle Identity Federation 11gに送信されるパラメータと属性の変更
次の属性名は、Oracle Identity Federation 11gへのアップグレード後に変更する必要があります。
oracle.security.sso.sasso.uidをoracle.security.fed.authn.useridに変更
oracle.security.sso.sasso.refIDをoracle.security.fed.authn.refidに変更
oracle.security.sso.sasso.authnMechをoracle.security.fed.authn.authnmechに変更
oracle.security.sso.sasso.authnInstをoracle.security.fed.authn.authntimeに変更
たとえば、Oracle Identity Federation 11gに次の属性があるとします。
request.setAttribute("oracle.security.sso.sasso.uid", userID)
Oracle Identity Federation 11gでは、この属性を次のように変更する必要があります。
request.setAttribute("oracle.security.fed.authn.userid". userID);
Oracle Identity Federation 11gへの内部転送の前に認証エンジンで設定する必要がある値の詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービスの実装に関する項を参照してください。
Oracle Identity Federation 11gへのリクエストに含める追加属性
既存の10g属性に加えて、Oracle Identity Federation 11gの各リクエストでは、表7-3に示す追加属性が求められます。
表7-3 Oracle Identity Federation 11gへのリクエストに含める追加属性
| 属性 | 説明 |
|---|---|
|
oracle.security.fed.authn.expirationtime |
認証されたセッションの日付オブジェクトとしての有効期限 |
|
oracle.security.fed.authn.engineid |
ユーザーの認証に使用するエンジンを参照する識別子。 エンジンは、Oracle Identity Federation 11gの構成で作成されます。詳細は、7.5.2.5項「Oracle Identity Federation 11gの認証エンジンの作成」を参照してください。 |
|
oracle.security.fed.authn.attributes |
この属性のオプション・マップは、ユーザー・セッションに保存されます。文字列オブジェクトをキーとして、オブジェクト・セットを値として指定します。 |
|
oracle.security.fed.sessionid |
このオプション文字列には、Oracle Identity Federationがユーザー・セッションの参照に使用するOracle Identity Federationのセッション識別子が含まれます。 これにより、エンジンとOracle Identity Federationサーバーは、同じ識別子を共有してユーザー・セッションを参照できます。後からログアウト・フローを実行する場合、Oracle Identity Federationは、ログアウトする |
認証エンジンに対するその影響と同様に、Oracle Identity Federation 11gのSPエンジンで使用可能なHTTPServletRequestAttributesは、10gのものとは異なります。そのため、新しいパラメータ名から属性値を読み取ることができるようにSPエンジン・コードを変更する必要があります。
詳細は、次の項を参照してください。
フェデレーションSSO操作の開始
Oracle Identity Federation 10gでは、サービス・プロバイダ・エンジンが有効なユーザーを検出しなかった場合、サービス・プロバイダとして機能するOracle Identity Federationサーバーにリダイレクトすることでシングル・サインオンを開始していました。リダイレクト先のURLは次のとおりです。
http://SP_HOST_NAME:SP_PORT/fed/sp/initiatesso
次の値は、問合せパラメータとしてOracle Identity Federationに設定されます。
providerid - シングル・サインオンに使用するIdPのプロバイダID
returnurl - シングル・サインオンの後、Oracle Identity Federationがユーザーに送信するURL
Oracle Identity Federation 11gでは、次の問合せパラメータが変更されました。
providerIdは、HTTPServletRequestの属性oracle.security.fed.sp.provideridとして指定するようになりました。
returnurl問合せパラメータはなくなりました。かわりに、HTTPServeletリクエストの属性oracle.security.fed.sp.relaystateで指定できます。
Oracle Identity Federation 11gには、シングル・サインオンを開始する際にOracle Identity Federationサーバーに渡すことができる追加属性があります。追加属性は次のとおりです。
oracle.security.fed.sp.authnmech
oracle.security.fed.sp.federationid
oracle.security.fed.sp.engineid
oracle.security.fed.sp.localauthn
oracle.security.fed.sp.usedefault
oracle.security.fed.sp.forceauthn
oracle.security.fed.sp.allowfedcreation
oracle.security.fed.sp.passive
oracle.security.fed.sp.requestbinding
oracle.security.fed.sp.responsebinding
oracle.security.fed.sp.authnmechcomparison
oracle.security.fed.sp.nameidformat
詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービスの実装に関する項を参照してください。
フェデレーション・サーバーからのリクエストの処理
Oracle Identity Federation 11gでは、SPエンジンの次の受信パラメータ名が変更されています。
oracle.security.sso.sasso.uid属性がoracle.security.fed.sp.useridに変更されました。
oracle.security.sso.sasso.authnInstがoracle.security.fed.sp.authntimeに変更されました。
oracle.security.sso.sasso.expiryInstがoracle.security.fed.sp.expirationtimeに変更されました。
oracle.security.sso.sasso.targetURLは、Oracle Identity Federation 11gで使用できなくなりました。
SPエンジンでは、targetURL(ユーザーの転送先)をOracle Identity Federationに転送してシングル・サインオン操作を開始する前に、これをoracle.security.fed.sp.relaystateに保存できます。Oracle Identity Federationでは、シングル・サインオンの実行後、このパラメータをSPに戻します。
Oracle Identity Federation 11gでは、SPエンジンで使用するために次の追加の新しいパラメータを使用できます。新しいパラメータは次のとおりです。
oracle.security.fed.sp.authnresult
oracle.security.fed.sp.authnmech
oracle.security.fed.sp.attributesoracle.security.fed.sp.topstatus
oracle.security.fed.sp.lowstatus
oracle.security.fed.sp.statusmessage
oracle.security.fed.sp.providerid
oracle.security.fed.sp.engineid
oracle.security.fed.sp.sessionid
詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービスの実装に関する項を参照してください。
認証エンジンまたはSPエンジンのログアウト・サービスをOracle Identity Federation 11gで使用する場合、次の項の情報を確認します。
エンジンがログアウトを開始するタイミングの変更
Oracle Identity Federation 11gでは、認証エンジンまたはSPエンジンでログアウト操作を実行できます。詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のログアウトに関する項を参照してください。
Oracle Identity Federationがログアウトのためエンジンに転送する際の変更
認証エンジンまたはSPエンジンのログアウト・サービスが存在する場合、そのサービスに次の変更を行う必要があります。
invokeOSFSLogoutパラメータとdoneUrlパラメータがエンジンに送信されなくなりました。Oracle Identity Federation 11gでは、エンジンは常に相対パス/fed web contextおよび/user/logoutretssoへの内部転送を実行します。
起動したエンジンのengineIdは、httpリクエストの属性oracle.security.fed.authn.engineidを介してログアウト・サービスで使用できます。
HTTPリクエストの属性oracle.security.fed.sessionidには、ログアウトするセッションのセッション識別子をオプションで含めることができます。
Oracle Identity Federation 11gでは、ログアウト後にログアウト・サービスが/fed/user/logoutsso URLではなく/fed/user/logoutretssoにユーザーをリダイレクトします。
oracle.security.fed.authn.engineid(エンジンが認証エンジンの場合)またはoracle.security.fed.sp.engineid(エンジンがSPエンジンの場合)で参照される属性にengineIdを指定します。
認証エンジンまたはSPエンジンは、Java EEアプリケーションのデプロイと同様にデプロイします。詳細は、『Oracle Fusion Middleware管理者ガイド』のアプリケーションのデプロイに関する項を参照してください。
Oracle Identity Federation 11gの認証エンジンを作成するには、次のようにします。
Oracle Enterprise Manager Fusion Middleware Controlで、Oracle Identity Federationホームページに移動します。
詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Enterprise Manager Fusion Middleware Controlの使用に関するスタート・ガイドの項を参照してください。
「Oracle Identity Federation」メニューから、「管理」→「認証エンジン」を選択します。
「カスタム認証エンジン」タブで、「追加」をクリックして新しい認証エンジンを作成し、次のフィールドに値を入力します。
名前 - エンジンの名前
有効 - 選択済
Webコンテキスト - エンジンがデプロイされるルート・コンテキスト
認証相対パス - エンジンの相対パス
ログアウト有効 - ログアウト操作を実行する際に、エンジンによるログアウトの実行が必要な場合はこのチェック・ボックスを選択します。
ログアウト相対パス - エンジンのログアウト・サービスの相対パス
「保存」をクリックします。
Oracle Identity Federationサーバーで、新しいエンジンのエンジンIDが生成されます。エンジンIDは、ユーザーの認証後、カスタム・エンジンがOracle Identity Federationサーバーに送信する必要のあるoracle.security.fed.authn.engineid属性の値です。
Oracle Identity Federation 11gのSPエンジンを作成するには、次のようにします。
Oracle Enterprise Manager Fusion Middleware Controlで、Oracle Identity Federationホームページに移動します。
詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Enterprise Manager Fusion Middleware Controlの使用に関するスタート・ガイドの項を参照してください。
「Oracle Identity Federation」メニューから、「管理」→「サービス・プロバイダ統合モジュール」を選択します。
「カスタムSPエンジン」タブで、「追加」をクリックして新しい認証エンジンを作成し、次のフィールドに値を入力します。
名前 - エンジンの名前
有効 - 選択済
Webコンテキスト - エンジンがデプロイされるルート・コンテキスト
認証相対パス - エンジンの相対パス
ログアウト有効 - ログアウト操作を実行する際に、エンジンによるログアウトの実行が必要な場合はこのチェック・ボックスを選択します。
ログアウト相対パス - エンジンのログアウト・サービスの相対パス
「保存」をクリックします。
Oracle Identity Federationサーバーで、新しいエンジンのエンジンIDが生成されます。エンジンIDは、ユーザーの認証後、カスタム・エンジンがOracle Identity Federationサーバーに送信する必要のあるoracle.security.fed.sp.engineid属性の値です。
Oracle Single Sign-OnをOracle Identity Federation 10gで使用している場合、Oracle Identity Federation 11gへのアップグレード後、Oracle Single Sign-Onを再構成する必要があります。
この手順は、プロパティSASSOAuthnUrlおよびSASSOLogoutUrlに必要な値がOracle Identity Federation 11gで変更されたため必要になります。
詳細は、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』のシングル・サインオンの構成に関する項を参照してください。
Oracle Identity Federation 10gでは、SHAREid/COREid Federation 2.xと同様に、SAML 1.xおよびWS-Federationプロトコル・サポートのサービスURLを提供していました。これらは、SAML 2.0およびLiberty 1.xサービスURLとは異なります。
これらのURLは、SAML 2.0およびLiberty 1.xサービスURLとの一貫性を保つために、11gのOracle Identity Federationサーバーで変更されました。つまり、Oracle Identity Federation 11gにアップグレードするカスタマがSAML 1.xまたはWS-Federationを使用する場合、パートナ・プロバイダに新しいシングル・サインオンのサービスURLを知らせる必要があります。
そのトランジションを容易にするために、Oracle Identity Federation 11gは、SHAREidサービスURLとの下位互換性を実現する別のモジュールを提供しています。このモジュールは、インストール可能なJ2EEアプリケーションであり、Oracle Identity Federationと同時にデプロイされます。これはShareID/Oracle Identity Federation 10gサービスURL宛てのリクエストを処理し、それらを対応するOracle Identity Federation 11gサービスURLにリダイレクトまたは転送します。
このアプリケーションの設定方法の詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のOracle Identity Federation 10gとShareIDサービスURL用の下位互換性の設定に関する項を参照してください。
Oracle Virtual Directory 10gでSSLサポートにshareIdキーストアを使用している場合、アップグレード・アシスタントによって、キーストアがOracle Identity Federation 10gに自動でインポートされます。
Oracle Virtual Directory 10gで使用するSSLのIDキーストアと信頼キーストアが次の場所に格納されている場合、実行する追加タスクはありません。
ORACLE_HOME/fed/shareid/oblix/config /keystore
ただし、キーストアがその他の場所に格納されている場合は、次のタスクを実行する必要があります。
IDキーストアと信頼キーストアを、次のディレクトリ内のサブディレクトリにコピーします。
WLS_HOME/user_projects/domains/domain_name/servers/server_name/stage/OIF
新しいキーストアの場所を指し示すように、Oracle WebLogic Serverを次のように構成します。
Oracle WebLogic Server管理コンソールにログインして、「環境」→「サーバー」を選択します。
SSLを設定するサーバーを選択します。
「キーストア」セクションで「カスタムIDとカスタム信頼」を選択します。
「ID」セクションで、次のようにプロパティを入力します。
カスタムIDキーストア: location_of_keystore_containing_SSL_private key_and_certificate
カスタムIDキーストアのタイプ: jks
カスタムIDキーストアのパスフレーズ: storepassword
「信頼」セクションで、次のようにプロパティを入力します。
カスタムIDキーストア: location_of_keystore_containing_the_trusted certificate_entries
カスタムIDキーストアのタイプ: jks
カスタムIDキーストアのパスフレーズ: storepassword
システム・プロパティを設定してOracle Identity Federation 10gを構成した場合、アップグレードしたOracle Identity Federation 11gインスタンスで該当するシステム・プロパティを手動で構成する必要があります。アップグレード・アシスタントでは、これらの設定は11gインスタンスに適用されません。
表7-4にアップグレードされないシステム・プロパティを示し、Oracle Identity Federation 11gの対応するプロパティの設定方法について説明します。多くの場合、手順は、Oracle Fusion Middleware11gコンポーネントの管理に使用されるOracle Enterprise Manager Fusion Middleware Control、Oracle WebLogic Server管理コンソールまたはWebLogicスクリプト・ツール(WLST)を参照しています。
詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Fusion Middlewareの管理ツールの概要に関する項を参照してください。
これらのプロパティについては、10g(10.1.4.0.1)の『Oracle Identity Federation管理者ガイド』のOracle Identity Federationのパフォーマンスの管理に関する項で説明しています。このドキュメントは、Oracle Technology Network(OTN)のOracle Application Server 10g(10.1.4.0.1)ドキュメント・ライブラリにあります。
http://www.oracle.com/technology/documentation/
表7-4 Oracle Identity Federation 11gでのOracle Identity Federation 10gシステム・プロパティの設定
| Oracle Identity Federation 10gシステム・プロパティ | Oracle Identity Federation 11gでのプロパティの設定方法 |
|---|---|
|
-Dhttp.fed.host=VALUE |
Fusion Middleware Controlでは、このプロパティを次のように設定できます。
|
|
-Dhttp.fed.max.conn=VALUE |
Fusion Middleware Controlでは、このプロパティを次のように設定できます。
|
|
-Dfed.ldap.ha=[true | false] |
Oracle Identity Federation 10gでは、このシステム・プロパティを使用して、すべてのデータストアに対して1つのフラグを設定していました。 11gでは、LDAPユーザー・データストア、LDAPフェデレーション・データストアおよびLDAP認証エンジンに対して個別のフラグを設定できます。 Oracle Identity FederationインスタンスのWLSTスクリプト環境を入力し、 LDAP認証エンジンに対してこのプロパティを有効にするには、次のようにします。
setConfigProperty('authnengines', 'ldaphaenabled',
'true', 'boolean')
LDAPユーザー・データストアに対してこのプロパティを有効にするには、次のようにします。
setConfigProperty('datastore', 'userldaphaenabled',
'true', 'boolean')
LDAPフェデレーション・データストアに対してこのプロパティを有効にするには、次のようにします。
setConfigProperty('datastore', 'fedldaphaenabled',
'true', 'boolean')
|
|
-Dfed.jdbc.min.conn=VALUE -Dfed.jdbc.max.conn=VALUE -Dfed.jdbc.max.usage=VALUE |
Oracle WebLogic Server管理コンソールを使用して、Oracle Identity Federation 11gデータストアまたは認証エンジンに使用する適切な値をJDBCデータストアで設定します。 |
構成ファイルを更新するには、次の手順を完了します。
次のコマンドを実行することで、WLST環境をセットアップします。
UNIXの場合:
bash export $DOMAIN_HOME=PATH_TO_DOMAIN_HOME source $ORACLE_HOME/fed/scripts/setOIFEnv.sh
ORACLE_HOMEを、ご使用の環境の正しいパスに置換します。
Windowsの場合:
set DOMAIN_HOME=PATH_TO_DOMAIN_HOME ORACLE_HOME\fed\scripts\setOIFEnv.cmd
次のコマンドを実行します:
java weblogic.WLST oif-upgrade-11.1.1.2.0-11.1.1.7.0.py
Oracle Identity Federation 11gへのアップグレード後、『Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイド』に記載されているタスクに加え、次のアップグレード後の追加タスクを実行する必要があります。
SAML 1.x/WS-FEDプロトコルを使用するようにOracle Identity Federation 10gを構成している場合、Oracle Identity Federation 11gへのアップグレード後にデフォルトのシングル・サインオン・アイデンティティ・プロバイダを設定する必要があります。
詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービス・プロバイダの構成に関する項を参照してください。
サービス・プロバイダにアイデンティティ・プロバイダの自己署名証明書をエクスポートします。
このタスクの実行に使用する手順は、現在のサービス・プロバイダが10gまたは11gのどちらのサービス・プロバイダかによって次のように変化します。
10gのサービス・プロバイダを使用している場合、次のURLにあるOracle Technology Network(OTN)のOracle Application Server 10g(10.1.4.0.1)ドキュメント・ライブラリに含まれる『Oracle Identity Federation管理者ガイド』のIdPの自己署名証明書のSPへのエクスポートに関する項を参照してください。
http://www.oracle.com/technology/documentation/
11gのサービス・プロバイダを使用している場合、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のSAML 1.xおよびWS-Federationのシングル・サインオンの設定に関する項を参照してください。
11gのアイデンティティ・プロバイダと10gのサービス・プロバイダを使用しており、SAML 1.x/WS-FEDプロトコルを使用している場合、10gのサービス・プロバイダを構成します。
具体的には、10gのサービス・プロバイダで、「署名証明書サブジェクトDN」と「署名証明書発行者DN」を11gのIdP形式(CN=<host>署名証明書の形式)に変更する必要があります。
詳細は、Oracle Technology Network(OTN)のOracle Application Server 10g(10.1.4.0.1)ドキュメント・ライブラリに含まれる『Oracle Identity Federation管理者ガイド』のソースおよびアイデンティティ・プロバイダとしてのドメインの構成に関する項を参照してください。
Oracle Identity Federation 10gでは、「署名付アサーションの送信」を有効化します。または、Oracle Identity Federation 11gでは、「署名付アサーションが必要」を無効化します。
10gではデフォルトで署名付きアサーションが無効化され、11gではデフォルトで署名付きアサーションが有効化されるため、この操作が必要です。
この操作を10gと11gのどちらで実行するかに応じて、次のいずれかを参照してください。
『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のサービス・プロバイダの構成に関する項。
Oracle Technology Network(OTN)のOracle Application Server 10g(10.1.4.0.1)ドキュメント・ライブラリに含まれる『Oracle Identity Federation管理者ガイド』のアサーション・プロファイルの追加に関する項。
Oracle Internet DirectoryおよびOracle Directory Integration Platformのアップグレード完了を確認するには、次のようにします。
アップグレード・アシスタントを再度実行し、「操作の指定」ページで「インスタンスの検証」を選択します。
特定のOracle Fusion Middlewareコンポーネントが稼働していることを確認するには、画面の手順に従ってください。
次のURLで、Oracle Identity Federation 11gが稼働していることを確認します。
http://<host>:<port>/fed/sp/metadata
たとえば、次のようになります。
http://host42.exmaple.com:7001/fed/sp/metadata
あるいは、Fusion Middleware Controlを使用して、Oracle Identity Federationとその他のOracle Identity ManagementコンポーネントがOracle Fusion Middleware環境で稼働していることを確認できます。
詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Enterprise Manager Fusion Middleware Controlの使用に関するスタート・ガイドの項を参照してください。
|
注意: 一部の構成では、アップグレードが成功する場合でも、アップグレード・アシスタントの確認手順で |
