| Oracle® Fusion Middleware Oracle Identity Manager管理者ガイド 11g リリース2 (11.1.2.1.0) B69535-05 |
|
 前 |
 次 |
Oracle Identity ManagerをOracle Access Manager (OAM)などの他のアプリケーションと統合してデプロイし、これらのアプリケーションで構成変更を行うと、Oracle Identity ManagerやOracle WebLogic Serverで様々な構成変更が必要になります。次の項では、これらの構成変更について説明します。
Oracle Identity Managerでは、構造上およびミドルウェアの要件により、様々なホスト名とポートが構成に使用されています。この項では、統合された依存アプリケーションでの変更に対応して、Oracle Identity ManagerおよびOracle WebLogic Serverで構成変更を行う方法について説明します。
この項には次のトピックが含まれます:
この項の内容は次のとおりです。
|
注意: Oracle Identity Managerの追加ノードを追加または削除する場合は、この項で説明する手順を実行して、Oracle Identity Managerのホストとポートの変更を構成してください。 |
OimFrontEndURLは、Oracle Identity Manager UIにアクセスするために使用するURLです。これは、アプリケーション・サーバーでロード・バランサまたはWebサーバーが使用されている場合は、それに応じてロード・バランサURLまたはWebサーバーURL、そうでない場合は単一アプリケーション・サーバーURLです。これはOracle Identity Managerによって、通知メールやSOA呼び出しのコールバックURLに使用されます。
クラスタ環境でのOracle Identity ManagerデプロイメントのWebサーバー用ホスト名またはポートの変更、または非クラスタ環境でのOracle Identity ManagerデプロイメントのWebLogic管理対象サーバー用ホスト名またはポートの変更により、変更が必要になる場合があります。
Oracle Identity Manager構成のOimFronEndURLを変更するには:
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
OimFrontEndURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。たとえば次のような値を入力できます。
http://OIM_SERVER:OIM_PORT
https://myoim.mydomain.com
https://myoimserver.mydomain.com:14001
|
注意: SPMLクライアントには、SPMLの起動とコールバック・レスポンスの送信用にOracle Identity Manager URLが格納されています。そのため、これに対応した変更が必要になります。また、Oracle Identity ManagerがOAM、OAAMやOracle Identity Navigator (OIN)と統合されている場合は、これに対応した変更が必要になる場合もあります。詳細は、Oracle Technology Network (OTN) WebサイトにあるOAM、OAAMおよびOINのドキュメントを参照してください。 |
backOfficeURLの変更は、Oracle Identity Managerがフロントオフィス構成およびバックオフィス構成にデプロイされる場合のみ必要になります。この変更は、単純なクラスタ化デプロイメントまたは非クラスタ化デプロイメントには適用されません。このURLは、フロントオフィス・コンポーネントからバックオフィス・コンポーネントにアクセスするために、Oracle Identity Managerで内部的に使用されます。バックオフィスにサーバーを追加する場合や、バックオフィスからサーバーを削除する場合は、バックオフィス構成およびフロントオフィス構成の実装中にこの属性の値を変更します。
backOfficeURL属性の値を変更するには:
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
BackOfficeURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。たとえば次のような値を入力できます。
t3://mywls1.mydomain.com:8001
t3://mywls1.mydomain.com:8001,mywls2.mydomain.com:9001
|
注意: Oracle Identity Managerの非クラスタ化およびクラスタ化デプロイメントでは、BackOfficeURL属性の値を空にする必要があります。 |
この項では、データベースのホスト名とポート番号が使用される構成エリアについて説明します。
Oracle Identity Managerのインストール後に、データベースのホスト名またはポート番号を変更した場合は、次の変更が必要になります。
|
注意: データベースのホストおよびポートを変更する前に、Oracle Identity Managerをホストする管理対象サーバーを停止してください。ただし、Oracle WebLogic管理サーバーは稼動したままでかまいません。 |
データソースoimJMSStoreDSの構成を変更するには:
「サービス」→「JDBC」→「データソース」→oimJMSStoreDSに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
データソースoimOperationsDBの構成を変更するには:
「サービス」→「JDBC」→「データソース」→oimOperationsDBに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
Oracle Identity Managerのメタデータ・ストア(MDS)構成に関連するデータソースを変更するには:
「サービス」→「JDBC」→「データソース」→mds-oimに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
OIMAuthenticationProviderの構成を変更するには:
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→「プロバイダ」に移動します。
「OIMAuthenticationProvider」をクリックします。
「プロバイダ固有」をクリックします。
ホスト名とポートの変更に合わせて、DBUrlフィールドの値を変更します。
|
注意: サービス指向アーキテクチャ(SOA)やOracle Web Services Manager (OWSM)で構成変更を行うと、SOAまたはOWSMに関連するデータソースにも同様の変更を行う必要があります。 |
データソースの変更後、Oracle WebLogic管理サーバーを再起動し、Oracle Identity Managerの管理対象WebLogicサーバーを起動します。
|
注意: OIM App構成MBeansを使用してEnterprise Management (EM)コンソールからOracle Identity Managerアプリケーション構成情報を変更するには、1つ以上のOracle Identity Manager管理対象サーバーが実行されている必要があります。稼動していない場合、EMコンソールからOIM App Config MBeansを確認できません。 |
DirectDBの構成を変更するには:
次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「アプリケーション定義のMBeans」の下の「システムMBeanブラウザ」に移動します。
「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DirectDBConfig」→「DirectDB」に移動します。
ホストとポートの変更に合わせてURL属性に新しい値を入力し、変更を適用します。
|
注意: Oracle Identity Managerの単一インスタンスのデプロイメントをOracle Real Application Clusters (Oracle RAC)に変更する場合、またはOracle RACを単一インスタンスのデプロイメントに変更する場合は、oimJMSStoreDS、 oimOperationsDBおよびmds-oimデータソースを変更してください。これらのデータソースをマルチデータソース構成に変更するための一般的な変更に加えて、OIMAuthenticationProviderとドメイン資格証明ストア構成をOracle RACのURLに合わせて変更してください。これらの一般的な変更の詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。 データベースのポートの変更の詳細は、「Oracle Identity Managerデータベースのホストとポートの変更」を参照してください。 |
LDAP同期が有効な場合、Oracle Identity Managerは、Oracle Virtual Directory (OVD)を介してディレクトリ・サーバーに接続します。この接続は、LDAP/LDAPSプロトコルを使用して行われます。
OVDのホストとポートを変更するには:
Oracle Identity System Administrationにログインします。
「構成」で、「ITリソース」をクリックします。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ディレクトリ・サーバーのITリソースを編集します。これを行うには、次のようにします。
「SSLの使用」フィールドの値がFalseに設定されている場合は、サーバーURLフィールドを編集します。「SSLの使用」フィールドの値がTrueに設定されている場合は、サーバーSSLのURLフィールドを編集します。
「更新」をクリックします。
Oracle Identity Manager UIから単純なリンクをクリックすると、BI Publisherにレポート目的でアクセスできます。このURLは、Oracle Identity Manager側の構成値に基づいたものです。BI Publisherでホストとポートが変更されると、Oracle Identity Managerで次の変更を行う必要があります。
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
BIPublisherURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
|
注意: 追加のSOAノードを追加または削除したときには、この手順を実行してSOAのホストとポートを変更してください。 |
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SOAConfig」→「SOAConfig」に移動します。
Rmiurl属性の値を変更し、「適用」をクリックして変更を保存します。
Rmiurl属性は、SOA管理対象サーバーにデプロイされたSOA EJBにアクセスするために使用されます。これは、アプリケーション・サーバーのURLです。Oracle Identity Managerのクラスタ化デプロイメントの場合は、すべてのSOA管理対象サーバーURLのカンマ区切りのリストです。この属性の値は、たとえば次のようになります。
t3://mysoa1.mydomain.com:8001
t3s://mysoaserver1.mydomain.com:8002,mysoa2.mydomain.com:8002
t3://mysoa1.mydomain.com:8001,mysoa2.mydomain.com:8002,mysoa3.mydomain.com:8003
Soapurl属性の値を変更し、「適用」をクリックして変更を保存します。
Soapurl属性は、SOA管理対象サーバーにデプロイされたSOA Webサービスにアクセスするために使用されます。これは、Webサーバーおよびロード・バランサをフロントエンドに使用するSOAクラスタの場合は、WebサーバーURLおよびロード・バランサURLです。単一SOAサーバーの場合は、アプリケーション・サーバーURLです。
この属性の値は、たとえば次のようになります。
http://myoimsoa.mydomain.com
https://mysoaserver.mydomain.com:8002
SOA JNDIProviderのホストとポートを変更します。これを行うには、次のようにします。
WebLogic管理コンソールにログインします。
「ドメイン構造」セクションで、「OIM_DOMAIN」→「サービス」→「外部JNDIプロバイダ」に移動します。
「ForeignJNDIProvider-SOA」をクリックします。
「構成」タブで、「一般」サブタブがアクティブであることを確認します。
「プロバイダURL」の値をステップ5で指定したRmiurlに変更します。
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SSOConfig」→「SSOConfig」に移動します。
必要に応じて、AccessServerHost属性とAccessServerPort属性およびその他の属性の値を変更し、「適用」をクリックして変更を保存します。
Oracle Identity Manger構成では、構造上の要件やミドルウェア要件を満たすために、様々なパスワードが使用されます。この項では、デフォルトのパスワードと、依存製品または統合された製品でパスワードが変更された場合の、Oracle Identity MangerおよびOracle WebLogic構成のパスワードの変更方法について説明します。
この項の内容は次のとおりです。
Oracle WebLogic管理者パスワードを変更するには:
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」→「myrealm」→「ユーザーとグループ」→「weblogic」→「パスワード」に移動します。
「新規パスワード」フィールドに、新しいパスワードを入力します。
「新規パスワードの確認」フィールドに、新しいパスワードを再入力します。
「適用」をクリックします。
Weblogicの資格証明は、次のような場所で更新する必要があります。
外部JNDIプロバイダ。これを行うには、次のようにします。
WebLogic管理コンソールにログインします。
「ドメイン構造」セクションで、「OIM_DOMAIN」→「サービス」→「外部JNDIプロバイダ」に移動します。
「ForeignJNDIProvider-SOA」をクリックします。
「構成」タブで、「一般」サブタブがアクティブであることを確認します。
「パスワード」フィールドおよび「パスワードの確認」フィールドで、weblogicユーザーの新規パスワードを指定します。
CSF内のSOAAdminPassword。詳細は、「資格証明ストア・フレームワークのOracle Identity Managerパスワードの変更」を参照してください。
Oracle Identity Managerのインストール中に、インストーラによりOracle Identity Managerの管理者パスワードの入力を求められます。この管理者パスワードは、必要に応じてインストール完了後に変更できます。変更するには、Oracle Identity Managerセルフ・サービスにOracle Identity Manager管理者としてログインする必要があります。管理者のパスワードの変更方法については、『Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイド』のパスワードの変更に関する項目を参照してください。
Oracle Identity Managerのシステム管理者のパスワードを変更するときには、CSFのoracle.wsm.securityマップでOIMAdminキーのパスワードも更新する必要があります。
|
注意: OAMまたはOAAMがOracle Identity Managerに統合されている場合は、これらのアプリケーションで対応する変更を行う必要があります。詳細は、次のURLのOracle Technology Network (OTN) WebサイトにあるOAMおよびOAAMのドキュメントを参照してください。
|
この項では、次の各タイプのデプロイメントでの、Oracle Identity Managerのパスワードのリセットについて説明します。
LDAP同期のないOracle Identity Managerデプロイメント
LDAP同期が有効になっているOracle Identity Managerデプロイメント
Access Manager (OAM)と統合されているOracle Identity Managerデプロイメント
システム管理者のパスワードをリセットするには、OIM_HOME/server/bin/ディレクトリに格納されているoimadminpasswd_wls.shユーティリティを使用します。oimadminpasswd_wls.shユーティリティを実行するための手順は、LDAP同期が有効になっているOracle Identity Managerと、LDAP同期が有効になっていないOracle Identity Manager、どちらのタイプのデプロイメントでも同じです。
この項では、次の各トピックで、Oracle Identity Managerのパスワードのリセットについて説明します。
システム管理者のデータベース・パスワードをリセットする手順は次のとおりです。
oimadminpasswd_wls.shユーティリティを実行するための前提条件として、OIM_HOME/server/bin/oimadminpasswd_wls.propertiesファイルをテキスト・エディタで開き、次の各プロパティの値を設定します。
JAVA_HOME: これをjdk6以降に設定します。例:
JAVA_HOME=/opt/softwares/shiphome/jdk160_24
COMMON_COMPONENTS_HOME: これは、Oracle Middlewareの共通ホーム・ディレクトリです。例:
COMMON_COMPONENTS_HOME=/opt/softwares/shiphome/oracle_common
OIM_ORACLE_HOME: これは、Oracle Identity ManagerのOracleホーム・ディレクトリです。例:
OIM_ORACLE_HOME=/opt/softwares/shiphome/Oracle_IDM1
ORACLE_SECURITY_JPS_CONFIG: Oracle Identity Managerドメインに存在しているjps-config-jse.xmlファイルの場所を指定します。例:
ORACLE_SECURITY_JPS_CONFIG=/opt/softwares/shiphome/user_projects/domains/base_domain/config/fmwconfig/jps-config-jse.xml
DOMAIN_HOME: Weblogic Application ServerのOracle Identity Managerドメインのホームの場所を指定します。例:
DOMAIN_HOME=/opt/softwares/shiphome/user_projects/domains/base_domain
DBURL: Oracle Identity ManagerのデータベースURL。例:
DBURL=jdbc:oracle:thin:@dbhostname:5521:orclsid
DBSCHEMAUSER: Oracle Identity Managerのスキーマ・ユーザー名。例:
DBSCHEMAUSER=DEV_OIM
OIM_OAM_INTG_ENABLED: Oracle Identity ManagerデプロイメントがAccess Managerと統合されていない場合は、これをfalseに設定します。例:
OIM_OAM_INTG_ENABLED=false
|
注意: LDAPURL、LDAPADMINUSER、OIM_ADMIN_LDAP_DNなど、他のプロパティは無視してかまいません。これらのプロパティは、Oracle Identity ManagerとAccess Managerが統合されている環境でのみ使用されるからです。 |
OIM_HOME/server/bin/ディレクトリに移動し、次のコマンドを実行します。
sh oimadminpasswd_wls.sh oimadminpasswd_wls.properties
サンプル出力は次のようになります。
Enter OIM DB Schema Password : Enter OIM Adminstrator xelsysadm new Password: Re-enter OIM Adminstrator xelsysadm new Password: WARNING: Not able to fetch OIMPlatform instance for the given Platform. Hence defaulting to the OIMWebLogicPlatform OIM Admin user xelsysadm password reset successfully in OIMDB
|
注意: oimadminpasswd_wls.shスクリプトの実行中に表示された警告メッセージは、無視してかまいません。 |
Oracle Identity ManagerがOAMと統合されている場合は、Oracle Internet DirectoryなどのLDAPディレクトリが、すべての認証目的に使用されます。したがって、Oracle Identity Managerの管理者xelsysadmのパスワードがLDAPでリセットされます。Oracle Identity Managerデータベースに存在しているxelsysadmのパスワードはこのトポロジで使用されていませんが、LDAPディレクトリでもリセットされ、両方のリポジトリでパスワードが同期するようになります。
Oracle Identity ManagerデプロイメントがAccess Managerと統合されているときにシステム管理者のデータベース・パスワードをリセットする手順は次のとおりです。
oimadminpasswd_wls.shユーティリティを実行するための前提条件として、OIM_HOME/server/bin/oimadminpasswd_wls.propertiesファイルをテキスト・エディタで開き、次の各プロパティの値を設定します。
JAVA_HOME: これをjdk6以降に設定します。例:
JAVA_HOME=/opt/softwares/shiphome/jdk160_24
COMMON_COMPONENTS_HOME: これは、Oracle Middlewareの共通ホーム・ディレクトリです。例:
COMMON_COMPONENTS_HOME=/opt/softwares/shiphome/oracle_common
OIM_ORACLE_HOME: これは、Oracle Identity ManagerのOracleホーム・ディレクトリです。例:
OIM_ORACLE_HOME=/opt/softwares/shiphome/Oracle_IDM1
ORACLE_SECURITY_JPS_CONFIG: Oracle Identity Managerドメインに存在しているjps-config-jse.xmlファイルの場所を指定します。例:
ORACLE_SECURITY_JPS_CONFIG=/opt/softwares/shiphome/user_projects/domains/base_domain/config/fmwconfig/jps-config-jse.xml
DOMAIN_HOME: Weblogic Application ServerのOracle Identity Managerドメインのホームの場所を指定します。例:
DOMAIN_HOME=/opt/softwares/shiphome/user_projects/domains/base_domain
DBURL: Oracle Identity ManagerのデータベースURL。例:
DBURL=jdbc:oracle:thin:@dbhostname:5521:orclsid
DBSCHEMAUSER: Oracle Identity Managerのスキーマ・ユーザー名。例:
DBSCHEMAUSER=DEV_OIM
OIM_OAM_INTG_ENABLED: Oracle Identity ManagerデプロイメントがAccess Managerと統合されている場合は、これをtrueに設定します。例:
OIM_OAM_INTG_ENABLED=true
LDAPURL: LDAPディレクトリのURL。非SSLポートを指定する必要があります。例:
LDAPURL=ldap://LDAP_HOSTNAME:3060)
LDAPADMINUSER : LDAPディレクトリの管理ユーザー名。例:
LDAPADMINUSER=cn=orcladmin
OIM_ADMIN_LDAP_DN: Oracle Identity Managerの管理者xelsysadmの、LDAPディレクトリにおける完全DN。例:
OIM_ADMIN_LDAP_DN=cn=xelsysadm,cn=Users,dc=us,dc=mydomain,dc=com
OIM_HOME/server/bin/ディレクトリに移動し、次のコマンドを実行します。
sh oimadminpasswd_wls.sh oimadminpasswd_wls.properties
サンプル出力は次のようになります。
Enter OIM DB Schema Password : Enter OIM Adminstrator xelsysadm new Password: Re-enter OIM Adminstrator xelsysadm new Password: WARNING: Not able to fetch OIMPlatform instance for the given Platform. Hence defaulting to the OIMWebLogicPlatform OIM Admin user xelsysadm password reset successfully in OIMDB OIM Admin user cn=xelsysadm,cn=Users,dc=...,dc=...,dc=... password reset successfully in LDAP
|
注意: oimadminpasswd_wls.shスクリプトの実行中に表示された警告メッセージは、無視してかまいません。 |
Oracle Identity Managerは、2つのデータベース・スキーマを使用して、Oracle Identity Managerの操作および構成データを格納します。Oracle Identity Manager MDSスキーマを使用して構成関係の情報を格納し、Oracle Identity Managerスキーマを使用してその他の情報を格納します。スキーマ・パスワードを変更すると、Oracle Identity Manager構成も変更する必要があります。
Oracle Identity Managerデータベース・パスワードを変更すると、次の変更を行う必要があります。
|
注意: データベース・パスワードを変更する前に、Oracle Identity Managerをホストする管理対象サーバーを停止してください。ただし、Oracle WebLogic管理サーバーは稼動したままでかまいません。 |
データソースoimJMSStoreDSの構成を変更するには:
「サービス」→「JDBC」→「データソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
データソースoimOperationsDBの構成を変更するには:
「サービス」→「JDBC」→「データソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
Oracle Identity Manager MDSに関連するデータソースの構成を変更するには:
「サービス」→「JDBC」→「データソース」→「mds-oim」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Manager MDSデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
|
注意:
|
OIMAuthenticationProviderの構成を変更するには:
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→「プロバイダ」に移動します。
「OIMAuthenticationProvider」をクリックします。
「プロバイダ固有」をクリックします。
「DBPassword」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
ドメインの資格証明ストアの構成を変更するには:
次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「WebLogicドメイン」→DOMAIN_NAMEに移動します。
「OIM」を右クリックし、「セキュリティ」→「資格証明」→「OIM」に移動します。
「OIMSchemaPassword」を選択し、「編集」をクリックします。
「パスワード」フィールドに新しいパスワードを入力し、「OK」をクリックします。
Oracle Identity Managerデータベース・パスワードを変更したら、WebLogic管理サーバーを再起動します。またOracle Identity managerが管理するWebLogicサーバーも同様に起動します。
インストール・プロセスでは、Oracle Identity Managerインストーラによって複数のパスワードが格納されます。資格証明ストア・フレームワーク(CSF)には様々な値がキーおよび値として格納されています。表33-1にキーとその対応する値を示します。
表33-1 CSFキー
| キー | 説明 |
|---|---|
|
DataBaseKey |
データベースの暗号化に使用されるキーのパスワード。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
.xldatabasekey |
データベース暗号化キーを格納するキーストアのパスワード。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
xell |
xellキーのパスワードで、Oracle Identity Manager コンポーネント間の通信を保護するために使用されます。Oracle Identity Managerインストーラによって生成されるデフォルトのパスワードは、xellerateです。 |
|
default_keystore.jks |
JKSキーストアdefault_keystore.jksのパスワードで、DOMAIN_HOME/config/fmwconfig/ディレクトリにあります。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
SOAAdminPassword |
パスワードはインストーラで「SOA管理者パスワード」フィールドに入力されたユーザー入力値です。 |
|
OIMSchemaPassword |
Oracle Identity Managerデータベース・スキーマに接続するためのパスワードです。パスワードはインストーラで「OIMデータベース・スキーマのパスワード」フィールドに入力されたユーザー入力値です。 |
|
JMSKey |
パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
CSFキーの値を変更するには:
次のURLに移動して、Oracle Enterprise Managerにログインにします。
http://ADMIN_SERVER/em
「WebLogicドメイン」→「DOMAIN_NAME」に移動します。
「oim」を右クリックし、「セキュリティ」→「資格証明」を選択します。
ディレクトリ・サーバーのITリソースを編集します。これを行うには、「管理者パスワード」フィールドに新しいOVDパスワードを入力し、「更新」をクリックします。
Oracle Identity Manager管理にログインします。
「拡張」をクリックします。
「構成」の下の「ITリソースの管理」をクリックします。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択します。
「検索」をクリックします。
ディレクトリ・サーバーのITリソースを編集します。これを行うには、「管理者パスワード」フィールドに新しいOVDパスワードを入力し、「更新」をクリックします。
Oracle Identity Managerシステム管理者パスワードをLDAPにおいて変更するには:
次に示すように、LDAPからユーザーのdnを参照します。
$ORACLE_HOME/bin/ldapsearch -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -b dc=com "cn=SYS_ADMIN" orclaccountlocked dn
ここで、SYS_ADMINは、システム管理者ユーザー・ログインです。
次のようなファイルを作成します。
$ more /tmp/resetpassword_SYS_ADMIN dn: cn=SYS_ADMIN,cn=Users,dc=us,dc=mydomain,dc=com changetype: modify replace: userPassword userPassword: NEW_PASSWORD
ここで、NEW_PASSWORDは、クリアテキストにするパスワードです。
次に示すように、パスワードを変更します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -f /tmp/ resetpassword _SYS_ADMIN
次に示すように、ユーザーのパスワードが変更されていることを確認します。
$ORACLE_HOME/bin/ldapbind -D cn=SYS_ADMIN,cn=Users,dc=us,dc=mydomain,dc=com -w NEW_PASSWORD -h localhost -p 6501
Oracle Identity Managerシステム管理者パスワードをLDAPにおいてロック解除するには:
次に示すように、LDAPからユーザーのdnを参照します。
$ORACLE_HOME/bin/ldapsearch -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -b dc=com "cn=SYS_ADMIN" orclaccountlocked dn
orclaccountlockedの値が1の場合、ユーザーはロックされています。
次のようなファイルを作成します。
$ more /tmp/unlock_SYS_ADMIN dn: cn=SYS_ADMIN,cn=Users,dc=us,dc=mydomain,dc=com changetype: modify replace: orclaccountlocked orclaccountlocked: 0
次に示すように、ユーザーをロック解除します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -f /tmp/unlock_SYS_ADMIN
次に示すように、ユーザーがロック解除されていることを確認します。
$ORACLE_HOME/bin/ldapsearch -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -b dc=com "cn=SYS_ADMIN" orclaccountlocked dn
orcladdountlockedの値は、0である必要があります。
この項では、Oracle Identity Manager、およびOracle Identity Managerが相互作用して安全な通信を確立するコンポーネントの鍵の生成、証明書への署名およびエクスポート、SSL構成の設定について手順を説明します。内容は次のとおりです。
keytoolコマンドを使用して、秘密と公開の証明書のペアを生成できます。
次のコマンドでは、アイデンティティ・キーストア(support.jks)が作成されます。
$JAVA_HOME/jre/bin/keytool -genkey -alias support -keyalg RSA -keysize 1024 -dname "CN=localhost, OU=Identity, O=Oracle Corporation,C=US" -keypass KEYSTORE_PASSWORD -keystore support.jks -storepass weblogic1
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
作成した証明書に署名するには、次のkeytoolコマンドを使用します。
$JAVA_HOME/jre/bin/keytool -selfcert -alias support -sigalg MD5withRSA -validity 2000 -keypass weblogic1 -keystore support.jks -storepass KEYSTORE_PASSWORD
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
証明書をアイデンティティ・キーストアからファイル(supportcert.pemなど)にエクスポートするには、次のkeytoolコマンドを使用します。
$JAVA_HOME/jre/bin/keytool -export -alias support -file supportcert.pem -keypass weblogic1 -keystore support.jks -storepass KEYSTORE_PASSWORD
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
証明書をファイル(wlservercert.pemなど)からアイデンティティ・キーストアにインポートするには、次のkeytoolコマンドを使用します。
$JAVA_HOME/jre/bin/keytool -import -alias serverwl -trustcacerts -file D:\bea\user_projects\domains\mydomain\wlservercert.pem -keystore CLIENT_TRUST_STORE -storepass CLIENT_TRUST_STORE_PASSWORD
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
SSLを有効化するには、Oracle Identity ManagerおよびSOAサーバーで次の構成を実行する必要があります。
Oracle Identity ManagerのSSLの有効化について、次の各項で説明します。
デフォルト設定を使用してOracle Identity ManagerおよびSOAサーバーのSSLを有効化するには、次の手順を実行します。
WebLogic Server管理コンソールにログインし、「サーバー」→「OIM_SERVER1」→「一般」に移動します。「一般」セクションで、SSLポートに任意の値を設定して有効化できます。
サーバーはリスニングを開始し、HTTPSプロトコルを使用してURLにアクセスできるようになります。
Oracle Identity ManagerはSSLが有効化されたSOAサーバーと相互作用する必要があるため、管理サーバーおよびSOAサーバーで同じ手順を実行します。
カスタム・キーストアを使用してOracle Identity ManagerのSSLを有効化するには、次の手順を実行します。
WebLogic Server管理コンソールで、「環境」→「サーバー」→Server_Name (OIM_Server1)→「構成」をクリックし、「一般」をクリックします。
「ロックして編集」をクリックします。
「SSLリスニング・ポートの有効化」を選択します。デフォルトのポートは14001です。
「キーストア」タブを選択します。
「キーストア」リストから、「カスタムIDとJava標準信頼」を選択します。
「カスタムIDキーストア」フィールドに、カスタムIDキーストア・ファイル名の絶対パスを入力します。例:
DOMAIN_HOME/config/fmwconfig/support.jks
|
注意: Oracle Identity Managerによってインストール中にDOMAIN_HOME/config/fmwconfig/に作成されるキーストアはdefault-keystore.jksです。 |
カスタムIDキーストア・タイプとして、JKSを指定します。
「カスタムIDキーストアのパスフレーズ」および「カスタムIDキーストアのパスフレーズを確認」のフィールドにパスワード(weblogic1)を入力します。
「保存」をクリックします。
「SSL」タブをクリックします。
秘密鍵のエイリアスとして、supportと入力します。
「秘密鍵のパスフレーズ」および「秘密鍵のパスフレーズを確認」のフィールドにパスワード(weblogic1)を入力します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
変更内容を有効にするためにすべてのサーバーを再起動します。
「証明書のエクスポート」でエクスポートした証明書をSPMLクライアントのトラストストアにインポートします。
証明書のインポートの詳細は、「証明書のインポート」を参照してください。
Oracle Identity ManagerとSOAサーバーでSSLを有効にした後、これらの間での安全な通信を確立するために、次の変更を行います。
OimFrontEndURLは、oimアプリケーションのUIへのアクセスに使用されます。これはロード・バランサURLかWebサーバーURL (アプリケーション・サーバーでロード・バランサまたはWebサーバーが使用されている場合)、または単一アプリケーション・サーバーURLになります。これは、通常、Oracle Identity Managerによって、通知メール、またはSOAからOracle Identity ManagerへのコールバックWebサービスの送信に使用されます。
OimFrontEndURLをSSLポートを使用するように変更するには:
WebLogic管理サーバーおよびOracle Identity Manager管理対象サーバー(クラスタの場合は少なくとも1つのサーバー)が稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://<AdminServer>/em
「Identity and Access」→「Oracle Identity Manager」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
OimFrontEndURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
例:
http://myoim.mydomain.com
https://myoim.mydomain.com
http://myoimserver.mydomain.com:14002
|
注意: Fusion AppsやSPMLクライアントには、SPMLの起動やコールバック・レスポンスの送信のために、Oracle Identity Manager URLが格納されています。そのため、これに対応する変更が必要になります。また、Oracle Identity ManagerにOAM/OAAM/OINが統合されている場合は、これに対応する変更も必要になります。他のコンポーネントとの統合の詳細は、第32章「他のOracleコンポーネントとの統合」を参照してください。 |
backOfficeURLを変更する必要があるのは、Oracle Identity Managerがフロントオフィス/バックオフィス構成でデプロイされている場合のみです。単純なクラスタまたは非クラスタ・インストールの場合は、次の内容は適用されません。このURLは、フロントオフィス・コンポーネントからバックオフィス・コンポーネントにアクセスするために、Oracle Identity Managerで内部的に使用されます。バックオフィスにサービスを追加したり、バックオフィスからサービスを削除するには、バックオフィス/フロントオフィス構成の実装中にこの値を内部的に変更する必要があります。
backOfficeURLをSSLポートを使用するように変更するには:
WebLogic管理サーバーおよびOracle Identity Manager管理対象サーバー(クラスタの場合は少なくとも1つのサーバー)が稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://<AdminServer>/em
「Identity and Access」→「Oracle Identity Manager」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
backOfficeURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
例:
t3://mywls1.mydomain.com:8001
t3://mywls1.mydomain.com:8001,mywls2.mydomain.com:9001
|
注意: 単純なクラスタおよび非クラスタ・インストールの場合は、値は空にする必要があります。 |
SOAサーバーURLをSSLポートを使用するように変更するには:
管理サーバーおよびOracle Identity Manager管理対象サーバーが稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://ADMINISTRATIVE_SERVER/em
「Identity and Access」→「Oracle Identity Manager」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→構成→「XMLConfig.SOAConfig」→「SOAConfig」に移動します。
Rmiurl属性の値を変更します。
|
注意: Rmiurlは、SOA管理対象サーバーにデプロイされたSOA EJBにアクセスするために使用されます。 |
これは、アプリケーション・サーバーのURLです。クラスタ・インストールの場合は、すべてのSOA管理対象サーバーURLのカンマ区切りのリストです。
例:
t3://mysoa1.mydomain.com:8001
t3s://mysoaserver1.mydomain.com:8002
t3://mysoa1.mydomain.com:8001,mysoa2.mydomain.com:8002,mysoa3.com:8003
Soapurl属性の値を変更します。例:
http://myoimsoa.mydomain.com
https://mysoa.mydomain.com: 8001
|
注意: Soapurlは、SOA管理対象サーバーにデプロイされたSOA Webサービスにアクセスするために使用されます。これは、Webサーバーまたはロード・バランサをフロントエンドとするSOAクラスタでは、WebサーバーURLまたはロード・バランサURLです。単一SOAサーバーでは、アプリケーション・サーバーURLです。 |
「適用」をクリックして変更を保存します。
Oracle Identity ManagerとDesign console間に安全な接続を確立するようにDesign consoleを変更するには:
wlfullclient.jarを生成し、$OIM_HOME/designconsole/ext/ディレクトリに配置します。これを行うには、次のようにします。
WL_HOME/server/lib/ディレクトリに移動します。
次のコマンドを実行します。
java -jar wlfullclient.jar
次のようにwlfullclient.jarをコピーします。
$WL_HOME/server/lib/から$OIM_HOME/designconsole/ext/
webserviceclient+ssl.jarを次のコピー元からコピーします:
$WL_HOME/server/lib
次へ
$OIM_HOME/designconsole/ext/
OIMlMiddleware/modules/cryptoj.jarをOIM_HOME/designconsole/ext/ディレクトリにコピーします。
$DESIGN_CONSOLE_HOME/config/xlconfig.xmlファイルを編集します。次の変更を加えます。
変更前:
<Discovery>
<CoreServer>
<java.naming.provider.url>t3://HOST_NAME:PORT_NUMBER/oim</java.naming.provider.url>
<java.naming.factory.initial>weblogic.jndi.WLInitialContextFactory</java.naming.factory.initial>
</CoreServer>
</Discovery>
変更後:
<Discovery>
<CoreServer>
<java.naming.provider.url>t3s://HOST_NAME:OIM_SSL_PORT/oim</java.naming.provider.url>
<java.naming.factory.initial>weblogic.jndi.WLInitialContextFactory</java.naming.factory.initial>
</CoreServer>
</Discovery>
変更前:
<ApplicationURL>http://HOST_NAME:PORT_NUMBER/xlWebApp/loginWorkflowRenderer.do</ApplicationURL>
変更後:
<ApplicationURL>https://HOST_NAME:OIM_SSL_PORT/xlWebApp/loginWorkflowRenderer.do</ApplicationURL>
Design consoleでサーバー信頼ストアを使用します。これにアクセスするには、次のようにします。
WebLogic Server管理コンソールで、「環境」→「サーバー」に移動します。
<OIM_SERVER_NAME>をクリックして、Oracle Identity Mangerサーバーの詳細を表示します。
「キーストア」タブをクリックし、「信頼」セクションに表示される信頼キーストアの場所を書き留めておきます。
Design ConsoleがOracle Identity Managerホストにデプロイされている場合は、TRUSTSTORE_LOCATION環境変数を上記で書き留めた信頼キーストアの場所に設定します。例:
setenv TRUSTSTORE_LOCATION WL_HOME//server/lib/DemoTrust.jks
Design ConsoleがOracle Identity Managerとは違うホストにデプロイされている場合は、信頼キーストアをDesign Consoleがデプロイされているホストにコピーし、TRUSTSTORE_LOCATION環境変数を信頼キーストアをコピーしたローカル・ホストの場所に設定します。例:
setenv TRUSTSTORE_LOCATION OIM_HOME/designconsole/DemoTrust.jks
$DESIGN_CONSOLE_HOME/config/xl.policyに、すべてに対するデフォルトの付与ポリシーが含まれていない場合は、次に示すようにcryptoj.jarファイルの最後に権限を追加します。
grant codeBase "file:DIRECTORY_PATH_TO_cryptoj.jar"{ permission java.security.AllPermission;};
$MW_HOME/modules/cryptoj.jarを$OIM_HOME/designconsole/ext/ディレクトリにコピーします。
|
注意: ここでは、$MW_HOME/modules/cryptoj.jarを$OIM_HOME/designconsole/ext/ディレクトリにコピーする手順は必須です。xl.policyにすべてに対するデフォルトの付与ポリシーが含まれていない場合は、権限の設定が必要です。 |
Oracle Identity Managerクライアント・ユーティリティには、PurgeCache、GenerateSnapshot、UploadJars、およびUploadResourcesがあります。
TRUSTSTORE_LOCATION環境変数を信頼キーストアの場所に設定します。
例:
setenv TRUSTSTORE_LOCATION WL_HOME/server/lib/DemoTrust.jks
SPML/コールバック・ドメインのSSLを構成するには:
Oracle Identity ManagerのポートがSSL有効で、「ホスト名の検証」が「false」に設定されていることを確認します。
コールバック・ドメインを含むFusion ApplicationsでSSLを有効化します。
|
関連項目: カスタム・キーストアを使用したOracle Identity ManagerのSSLの有効化の詳細は、「カスタム・キーストアを使用したOracle Identity ManagerのSSLの有効化」を参照してください。 |
WebLogicのデフォルトの信頼ストアを使用している場合は、SSLモードの有効化以外の変更は行わないでください。
デフォルト以外の証明書がある場合は、信頼できる証明書を交換して双方向の信頼を確立する必要があります。証明書への署名およびエクスポートの詳細は、「証明書への署名」および「証明書のエクスポート」を参照してください。
|
関連項目: Oracle WebLogic ServerのSSLの構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のSSLの構成に関する説明を参照してください。 |
スタンドアロン・クライアントを使用して、テスト目的でSPMLリクエストを送信する場合は、次のようにする必要があります。
SSL対応のOIMポートにリクエストを送信するには、SPMLクライアントのコマンドに次のシステム・プロパティを追加します。
Djavax.net.ssl.trustStore=D:\Oracle\Middleware1\wlserver_10.3\server\lib\DemoTrust.jks
|
注意: Djavax.net.ssl.trustStoreパラメータの値をSSLの構成に使用されるトラストストアを指すように変更します。 WebLogicでSSLの構成に使用されるトラストストアの場所は、「Design ConsoleのSSLの構成」を参照してください。 |
-Djava.protocol.handler.pkgs=weblogic.net
-Dweblogic.security.TrustKeyStore=DemoTrust
webserviceclient+ssl.jarをクライアント・クラスパスに追加します。
SOAはWebサービスを介してOracle Identity Managerと接続できます。Webサービスの起動が失敗した場合、SOAはOracle Identity Managerに接続できません。その結果、リクエストがスタック状態になることがあります。たとえば、ユーザーの作成リクエストがリクエスト・レベルで承認された後、対応するSOAコンポジットが、SSL対応のOracle Identity ManagerサーバーにデプロイされたリクエストWebサービスを起動できないためにリクエストがスタック状態になる場合があります。このような問題を防ぐには、setDomainEnv.shにJAVA_OPTIONSを設定します。例:
-Djavax.net.ssl.trustStore=WL_HOME/server/lib/DemoTrust.jks
Oracle Identity Manager DBのSSLを有効化するには、次の構成を実行する必要があります。
サーバー認証SSLモードでDBを設定するには:
DBサーバーとリスナーを停止します。
listener.oraファイルを次のように構成します。
次のパスに移動します。
$DB_ORACLE_HOME/network/adminディレクトリ
例:
/scratch/user1/production-database/product/11.1.0/db_1/network/admin
listener.oraファイルを編集してSSLリスニング・ポートとサーバー・ウォレット・ロケーションを含めます。
次にlistener.oraファイルのサンプルを示します。
# listener.ora Network Configuration File: DB_HOME/listener.ora # Generated by Oracle configuration tools. SSL_CLIENT_AUTHENTICATION = FALSE WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = DB_HOME/server_keystore_ssl.p12) ) ) LISTENER = (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = server1.mycompany.com)(PORT = 2484)) ) (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = server1.mycompany.com)(PORT = 1521)) ) ) TRACE_LEVEL_LISTENER = SUPPORT
sqlnet.oraファイルを次のように構成します。
次のパスに移動します。
$DB_ORACLE_HOME/network/adminディレクトリ
例:
/scratch/user1/production-database/product/11.1.0/db_1/network/admin
sqlnet.oraファイルを編集して次の内容を含めます。
TCPS認証サービス
SSL_VERSION
サーバー・ウォレット・ロケーション
SSL_CLIENT_AUTHENTICATIONタイプ(trueまたはfalse)
通信で許可されるSSL_CIPHER_SUITES(オプション)
次にsqlnet.oraファイルのサンプルを示します。
# sqlnet.ora Network Configuration File: DB_HOME/sqlnet.ora # Generated by Oracle configuration tools. SQLNET.AUTHENTICATION_SERVICES= (BEQ, TCPS) SSL_VERSION = 3.0 SSL_CLIENT_AUTHENTICATION = FALSE WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = DB_HOME/server_keystore_ssl.p12) ) )
tnsnames.oraファイルを次のように構成します。
次のパスに移動します。
$DB_ORACLE_HOME/network/adminディレクトリ
例:
/scratch/user1/production-database/product/11.1.0/db_1/network/admin
tnsnames.oraファイルを編集してサービスの説明リストにSSLリスニング・ポートを含めます。
次にtnsnames.oraファイルのサンプルを示します。
# tnsnames.ora Network Configuration File: DB_HOME/tnsnames.ora
# Generated by Oracle configuration tools.
PRODDB =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCPS)(HOST = server1.mycompany.com)(PORT = 2484))
(CONNECT_DATA =
(SERVER = DEDICATED)
(SERVICE_NAME = proddb)
)
)
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(HOST = server1.mycompany.com)(PORT = 1521))
(CONNECT_DATA =
(SERVER = DEDICATED)
(SERVICE_NAME = proddb)
)
)
)
DBサーバーのユーティリティを起動および停止します。
DBサーバーを起動します。
orapkiユーティリティを使用して、サーバー側とクライアント側のキーストアを作成できます。このユーティリティは、Oracle DBインストールの一部として出荷されます。
キーストアは、JKSやPKCS12などの任意の形式にすることができます。キーストアの形式は、プロバイダの実装によって異なります。たとえば、JKSはSun Oracleが提供する実装で、PKCS12はOraclePKIProviderが提供する実装です。
Oracle Identity Managerでは、DBサーバーにJKSクライアント・キーストアのみを使用します。これは、PKCS12などのJKS以外のキーストア形式を使用するには、リリースが差し迫っているときにインストーラ側に大きな変更を加える必要があったためです。ただし、Oracle Identity Managerにはdefault-KeyStore.jksという名前のJKS形式のキーストアがあらかじめ含まれています。
orapkiユーティリティを使用して、次のキーストアを作成できます。
|
注意: ウォレットとキーストアは置き換え可能で、どちらも同じ意味です。これらは公開鍵および秘密鍵のリポジトリと自己署名証明書および信頼できる証明書を参照します。 |
ルートCAウォレットの作成
ルート認証局(CA)ウォレットを作成するには:
次のパスに移動します。
$DB_ORACLE_HOME/binディレクトリ
次のコマンドを使用してウォレットを作成します。
./orapki wallet create -wallet CA_keystore.p12 -pwd KEYSTORE_PASSWORD
次のコマンドを使用して、自己署名証明書をCAウォレットに追加します。
./orapki wallet add -wallet CA_keystore.p12 -dn 'CN=root_test,C=US' -keysize 2048 -self_signed -validity 3650 -pwd KEYSTORE_PASSWORD
次のコマンドを使用してウォレットを表示します。
./orapki wallet display -wallet CA_keystore.p12 -pwd KEYSTORE_PASSWORD
次のコマンドを使用してCAウォレットから自己署名証明書をエクスポートします。
./orapki wallet export -wallet CA_keystore.p12 -dn 'CN=root_test,C=US' -cert self_signed_CA.cert -pwd KEYSTORE_PASSWORD
DBサーバー側ウォレットの作成
DBサーバー側ウォレットを作成するには:
次のコマンドを使用してサーバー・ウォレットを作成します。
./orapki wallet create -wallet server_keystore_ssl.p12 -auto_login -pwd KEYSTORE_PASSWORD
次のコマンドを使用して、証明書リクエストをサーバー・ウォレットに追加します。
./orapki wallet add -wallet server_keystore_ssl.p12/ -dn 'CN=Customer,OU=Customer,O=Customer,L=City,ST=NY,C=US' -keysize 2048 -pwd KEYSTORE_PASSWORD
次のコマンドを使用して、証明書リクエストをファイルにエクスポートします。これは後でルートCA署名を使用して署名を受けるために使用されます。
./orapki wallet export -wallet server_keystore_ssl.p12/ -dn 'CN=Customer,OU=Customer,O=Customer,L=City,ST=NY,C=US' -request server_creq.csr -pwd KEYSTORE_PASSWORD
次のコマンドを使用して、サーバー・ウォレットの証明書リクエストにCA署名を使用して署名を受けます。
./orapki cert create -wallet CA_keystore.p12 -request server_creq.csr -cert server_creq_signed.cert -validity 3650 -pwd KEYSTORE_PASSWORD
次のコマンドを使用して、署名された証明書を表示します。
/orapki cert display -cert server_creq_signed.cert -complete
次のコマンドを使用して、信頼された証明書をサーバー・ウォレットにインポートします。
./orapki wallet add -wallet server_keystore_ssl.p12 -trusted_cert -cert self_signed_CA.cert -pwd KEYSTORE_PASSWORD
次のコマンドを使用して、この新規作成された署名証明書(ユーザー証明書)をサーバー・ウォレットにインポートします。
./orapki wallet add -wallet server_keystore_ssl.p12 -user_cert -cert server_creq_signed.cert -pwd KEYSTORE_PASSWORD
クライアント側ウォレットの作成
クライアント側(Oracle Identity Managerサーバー)ウォレットを作成するには:
次のパスに移入されているdefault-keystore.jksキーストアを使用して、クライアント・キーストアを作成します。
DOMAIN_HOME/config/fmwconfig
|
注意: Oracle PKCS12ウォレットをクライアント・キーストアとして使用することもできます。 |
次のコマンドを使用して、サーバー側コマンドを使用してすでにエクスポートされている自己署名付きの信頼されたCA証明書を、クライアント・キーストア(default-keystore.jks)にインポートします。
JAVA_HOME/jre/bin/keytool -import -trustcacerts -alias dbtrusted -noprompt -keystore default-keystore.jks -file self_signed_CA.cert -storepass xellerate
Oracle Identity ManagerおよびOracle Identity Manager DBでSSLモードを有効にして安全な通信を確保するには、Oracle Identity Managerで次の手順を実行する必要があります。
信頼された証明書をOracle Identity Managerのdefault-keystore.jksキーストアにインポートします。
Enterprise Managerにログインします。
「Identity and Access」→「OIM」に移動します。
右クリックして「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→構成→「XMLConfig.DirectDBConfig」→「DirectDB」に移動します。
Sslenabled属性とUrl属性の値を変更して、「適用」をクリックします。DBでSSLモードが有効な場合は、Url属性にTCPS有効化とSSLポートを含める必要があります。
例:
url="jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=my.domain.com)(PORT=2484))(CONNECT_DATA=(SERVICE_NAME=proddb)))"
Oracle Identity Managerサーバーを再起動します。
Oracle Identity Manager DBのSSLを有効にした後で、DB SSLポートを使用してOracle Identity Managerの次のデータソースとオーセンティケータを変更する必要があります。
|
注意: データベースのホストまたはポートの変更を行う前に、Oracle Identity Managerアプリケーションをホストする管理対象サーバーを停止する必要があります。ただし、WebLogic管理サーバーは稼動させたままでかまいません。 |
データソースoimJMSStoreDSの構成の更新
データソースoimJMSStoreDSの構成を更新するには:
WebLogic Serverにログインします。
「サービス」→「JDBC」→「データソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックします。
次の例に示すように、URLの値を変更してSSl DBのホスト/ポートに対する変更を反映します。
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=myhost.mydomain.com)(PORT=2484))(CONNECT_DATA=(SERVICE_NAME=myhost1.mydomain.com)))
「プロパティ」を更新して、次のSSL関連プロパティを追加します。
javax.net.ssl.trustStore=DOMAIN_HOME/default-keystore.jks javax.net.ssl.trustStoreType=JKS EncryptionMethod=SSL oracle.net.ssl_version=3.0 javax.net.ssl.trustStorePassword=PASSWORD
データソースoimOperationsDBの構成の更新
データソースoimOperationsDBの構成を更新するには:
WebLogic Serverにログインします。
「サービス」→「JDBC」→「データソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックします。
次の例に示すように、URLの値を変更してSSl DBのホスト/ポートに対する変更を反映します。
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=myhost.mydomain.com)(PORT=2484))(CONNECT_DATA=(SERVICE_NAME=myhost1.mydomain.com)))
「プロパティ」を更新して、次のSSL関連プロパティを追加します。
javax.net.ssl.trustStore=DOMAIN_HOME/default-keystore.jks javax.net.ssl.trustStoreType=JKS EncryptionMethod=SSL oracle.net.ssl_version=3.0 javax.net.ssl.trustStorePassword=PASSWORD
Oracle Identity Manager MDSに関連するデータソースの構成の更新
Oracle Identity Manager MDSに関連するデータソースの構成を更新するには:
WebLogic Serverにログインします。
「サービス」→「JDBC」→「データソース」→「mds-oim」に移動します。
「接続プール」タブをクリックします。
次の例に示すように、URLの値を変更してSSl DBのホスト/ポートに対する変更を反映します。
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=myhost.mydomain.com)(PORT=2484))(CONNECT_DATA=(SERVICE_NAME=myhost1.mydomain.com)))
「プロパティ」を更新して、次のSSL関連プロパティを追加します。
javax.net.ssl.trustStore=DOMAIN_HOME/default-keystore.jks javax.net.ssl.trustStoreType=JKS EncryptionMethod=SSL oracle.net.ssl_version=3.0 javax.net.ssl.trustStorePassword=PASSWORD
|
注意: 必要に応じて、SOA/OWSMに関連するデータソースにも同様の更新を行ってください。 |
Oracle Identity Managerオーセンティケータの更新
WebLogicサーバーの既存のOracle Identity Managerオーセンティケータは、非SSL DB詳細に対して構成されており、Oracle Identity Manager DBとの通信にデータソースを使用しません。オーセンティケータでSSL DB詳細を使用するには、次の手順を実行する必要があります。
データソースがSSLに構成されていることを確認します。
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→ 「プロバイダ」に移動します。
OIMAuthenticationProviderを削除します。
OIMAuthenticatorタイプの認証プロバイダを作成し、制御フラグをSUFFICIENTに設定します。
OIMSignatureAuthenticatorタイプの認証プロバイダを作成し、制御フラグをSUFFICIENTに設定します。
オーセンティケータを次の順に並べ替えます。
DefaultAuthenticator
OIMAuthenticator
OIMSignatureAuthenticator
その他のプロバイダ(あれば)
すべてのサーバーを再起動します。
Oracle Identity ManagerでSSL有効化されたOracle Virtual Directory (OVD)を使用できるようにするには、次の構成を実行する必要があります。
OVD-OIDでSSLを有効化するには:
OVD EMコンソールにログインします。
「Identity and Access」を展開し、「ovd1」→「管理」→「リスナー」に移動します。
「作成」をクリックし、必要なフィールドすべてに入力します。
|
注意: 「リスナー・タイプ」にはLDAPを選択してください。 |
「OK」をクリックします。
新規作成されたLDAPリスナーを選択し、「編集」をクリックします。
「リスナーの編集 - OIM SSL ENDPOINT」ページで、新規作成されたLDAPリスナーを編集します。
「OK」をクリックします。「SSL構成」ページが開きます。
「SSLの有効化」チェック・ボックスを選択します。
「拡張SSL設定」セクションで、SSL認証に対して、「認証なし」を選択します。
「OK」をクリックします。
OVDサーバーを停止してから起動し、変更を有効にします。
|
注意: 再起動オプションは使用しないでください。 |
LDAPSyncが有効な場合、Oracle Identity ManagerはOVDを介してディレクトリ・サーバーに接続します。この接続にはLDAP/LDAPSプロトコルを使用します。
OVDのホストおよびポートを変更するには:
Oracle Identity System Administrationにログインします。
「詳細」に移動し、「ITリソースの管理」をクリックします。
「ITリソース・タイプ」として「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ITリソース・ディレクトリ・サーバーで、サーバーURLを編集してSSLプロトコルとSSLポート詳細を含めます。
「SSLの使用」がtrueに設定されていることを確認し、「更新」をクリックします。
管理対象WebLogic ServerでSSLを有効化するには:
テキスト・エディタで、startManagedWebLogic.shファイルを開きます。
次の例に示すように、SSLのURLを指すようにADMIN_URLの値を変更します。
ADMIN_URL="https://myhost.mydomain.com:7002"
startManagedWebLogic.shファイルを保存します。
すべてのサーバーを起動します。
