| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.1) B71694-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.1) B71694-06 |
|
前 |
次 |
この章では、Oracle Identity Managementエンタープライズ・デプロイメントにOracle Access Management Access Managerを追加するためにドメインを拡張する方法について説明します。
この章の内容は次のとおりです。
Access Managerを使用すると、ユーザーは全社規模でWebアプリケーションおよびその他のITリソースにシームレスにアクセスできます。これによって、集中化および自動化したシングル・サインオン(SSO)ソリューションが実現し、拡張性のある認証手法とそれに関連するワークフローを定義する機能が得られます。また、これは、アクセスをリクエストするユーザーのプロパティとそのリクエストが発生した環境に基づいて、特定のリソースへのアクセス権を付与または拒否する認可エンジンも備えています。このコア機能は、包括的なポリシー管理、監査、ITインフラストラクチャの他のコンポーネントとの統合によって充実したものになります。
Access Managerは、OAMサーバー、Oracle Access Managementコンソール、Webゲートなどのいくつかのコンポーネントで構成されています。OAMサーバーには、エンタープライズ・リソースへのアクセスを制限するのに必要なすべてのコンポーネントが含まれています。Oracle Access ManagementコンソールはAccess Managerの管理コンソールです。Webゲートは、Access Managerの実際の強制ポイントとして機能するWebサーバー・エージェントです。エンタープライズ・デプロイメントに必要なAccess Managerコンポーネントをインストールして構成するには、この章の手順および第15章「エンタープライズ・デプロイメントにおける管理コンソールのシングル・サインオンの構成」の手順に従います。
この章を完了すると、次のURLが利用可能になります。
表11-1 Web層を構成した後のOAMのURL
| コンポーネント | URL | ユーザー | SSOユーザー |
|---|---|---|---|
|
OAMコンソール |
|
|
|
|
Oracle Enterprise Manager Fusion Middleware Control |
|
|
|
|
Oracle Directory Service Manager |
|
|
|
|
Oracle Entitlements Serverポリシー・マネージャ |
|
|
|
通常、Access Managerは単一のLDAPストアを使用してアイデンティティ情報を保持します。ただし、Oracle Access Management Access Managerを構成して、Oracle Virtual Directoryやサード・パーティのディレクトリなど、異なる種類の複数のディレクトリ・ストアを使用することもできます。
複数のディレクトリを使用する場合は、Oracle Virtual Directoryを使用して、それらのディレクトリを単一の統合されたディレクトリとしてAccess Managerに提示できます。または、それぞれのディレクトリに対して個別にアクセスするようにAccess Managerを構成することもできます。
詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』の次の章を参照してください。
「複数ディレクトリのアイデンティティ・ストアの構成」
「Oracle Internet DirectoryとOracle Access Managerとの統合」
Access Managerの各種ディレクトリ構成の詳細は、「はじめに」の「関連ドキュメント」に記載されているAccess Managerのドキュメントを参照してください。これらのバリエーションを検討するお客様は、バリエーションに応じてディレクトリとAccess Managerデプロイメントを調整する必要があります。
Access Managerを構成する前に、次の作業がIDMHOST1とIDMHOST2で行われたことを確認してください。
第9章「アイデンティティ・ストアの準備」の記述に従って、アイデンティティ・ストアを準備します。
第10章「エンタープライズ・デプロイメント用のOracle Web層のインストールおよび構成」の説明に従って、WEBHOST1とWEBHOST2でOracle Web Tierを構成します。
第3.3項「トポロジで使用する仮想サーバー名について」の説明に従って、ロード・バランサを構成します。
IDMHOST1で次のコマンドを実行して構成ウィザードを起動します。
IAM_MW_HOME/oracle_common/common/bin/config.sh
次のように実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。「次へ」をクリックします。
WebLogicドメインの選択画面で、ナビゲータを使用してWebLogic管理サーバーのドメイン・ホームを選択します。例: ASERVER_HOME
「次へ」をクリックします。
「拡張ソースの選択」画面で、Oracle Access Management [iam]を選択します。
「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、次の手順を実行します。
OAMインフラストラクチャを選択します。
「コンポーネント・スキーマのOracle RAC構成」については、「GridLinkへ変換」を選択します。
「次へ」をクリックします。
GridLink RACコンポーネント・スキーマ画面が表示されます。この画面で、次の各フィールドに値を入力して、RCUでシードされたOracle RACデータベースの接続情報を指定します。
ドライバ: OracleのGridLink接続用ドライバ(Thin)、バージョン:10以降を選択します。
「FANの有効化」を選択します。
次のいずれかの操作を実行します。
ONS通知を暗号化するためのSSLが構成されていない場合は、「SSL」の選択を解除します。
SSLを選択し、適切なWalletおよびWalletのパスワードを指定します。
サービス・リスナー: 使用するRACデータベースのためのSCANアドレスとポートを入力します。このアドレスは、データベース内のパラメータremote_listenerを問い合せれば識別できます。
SQL>show parameter remote_listener; NAME TYPE VALUE ------------------------------------------------------------- remote_listener string DB-SCAN.MYCOMPANY.COM:1521
|
注意:
|
ONSホスト: Oracle RACデータベースのSCANアドレスおよびデータベースから報告されたONSリモート・ポートを入力します。
srvctl config nodeapps -s ONS exists: Local port 6100, remote port 6200, EM port 2016
|
注意: Oracle Database 11g リリース1 (11.1)では、次の例のように、各データベースのONSサービスのホスト名とポートを使用します。 DBHOST1.mycompany.com (port 6200) および DBHOST2.mycompany.com (port 6200) |
次のRACコンポーネント・スキーマ情報を入力します。
| スキーマの名前 | サービス名 | スキーマの所有者 | パスワード |
|---|---|---|---|
|
Access Management |
|
|
password |
「JDBCデータ・ソースのテスト」画面で、すべての接続が正常であることを確認します。
接続のテストは自動的に行われます。「ステータス」列に結果が表示されます。正常でない接続がある場合は、「前へ」をクリックして前の画面に戻り、入力を訂正します。
すべての接続が正常になったら「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、ウィザードによりデータ・ソースを検証します。データ・ソースの検証が成功した場合、「次へ」をクリックします。失敗した場合、「前へ」をクリックして問題に対処してから、再試行します。
「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。
「次へ」をクリックします。
「管理対象サーバーの構成」画面を初めて表示するときは、oam_server1という名前の管理対象サーバーが自動的に作成されます。oam_server1の名前をWLS_OAM1に変更し、次の表に示すように属性を更新します。次に、WLS_OAM2という名前の新しい管理対象サーバーを追加し、次のように属性を設定します。
| 名前 | Listen address | Listen port | ポート変数 | SSLリスニング・ポート | SSL有効 |
|---|---|---|---|---|---|
|
WLS_OAM1 |
IDMHOST1.mycompany.com |
|
|
N/A |
いいえ |
|
WLS_OAM2 |
IDMHOST2.mycompany.com |
|
|
N/A |
いいえ |
|
注意:
|
「次へ」をクリックします。
「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成します。次の情報を指定します。
| 名前 | クラスタ・メッセージング・モード |
|---|---|
|
|
|
他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。クラスタ名を右側のペインでクリックします。「サーバー」で管理対象サーバーをクリックしてから矢印をクリックして、これをクラスタに割り当てます。
次のように、サーバーをクラスタに割り当てます。
| クラスタ | サーバー |
|---|---|
|
oam_cluster |
WLS_OAM1 |
|
WLS_OAM2 |
|
注意: 以前のアプリケーション・デプロイメントの一部として構成されているクラスタの構成は変更しないでください。 |
「次へ」をクリックします。
「マシンの構成」画面で、トポロジにある各ホストに対してマシンを作成します。「UNIXマシン」タブをクリックし、「追加」をクリックして次のマシンを追加します。
|
注意: 「名前」には任意の一意な文字列を指定できます。「ノード・マネージャ・リスニング・アドレス」には解決可能なホスト名を指定する必要があります。 |
| 名前 | ノード・マネージャのリスニング・アドレス | ノード・マネージャ・リスニング・ポート | ポート変数 |
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
その他すべてのフィールドはデフォルト値のままにします。
|
注意: マシン名は有効なホスト名またはリスニング・アドレスである必要はありません。これはノード・マネージャの場所を示す一意の識別子です。 |
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、次のようにサーバーをマシンに割り当てます。
IDMHOST1: WLS_OAM1
IDMHOST2: WLS_OAM2
「次へ」をクリックして、続行します。
「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。
|
注意: 次に示す警告が出力された場合: CFGFWK: Server listen ports in your domain configuration conflict with ports in use by active processes on this host 「OK」をクリックします。 管理対象サーバーが以前のインストールの一部として定義されている場合、この警告が表示されますが、無視してかまいません。 |
「インストール 完了」画面で「完了」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってWebLogic管理サーバーを再起動します。
この項には次のトピックが含まれます:
デフォルトでは、管理コンソールのシングル・サインオン機能はIDMDomainAgentが提供しています。エンタープライズ・デプロイメントではWebゲートでシングル・サインオンを扱うので、IDMDomainAgentを削除する必要があります。次の手順に従ってIDMDomainAgentを削除します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、WebLogicコンソールにログインします。
次を実行します。
「セキュリティ・レルム」を「ドメイン構造」メニューで選択します。
myrealmをクリックします。
「プロバイダ」タブをクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
認証プロバイダのリストで「IAMSuiteAgent」を選択します。
「削除」をクリックします。
「はい」をクリックして、削除を確認します。
「チェンジ・センター」で「変更のアクティブ化」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーと実行されているすべての管理対象サーバーを再起動します。
Access Managerは、デフォルトでオープン・セキュリティ・モデルを使用するように構成されています。idmConfigToolを使用してこのモードを変更することを計画している場合は、グローバル・パスフレーズを設定する必要があります。グローバル・パスフレーズとWebゲートのアクセス・パスワードは同じにする必要はありませんが、同じにすることをお薦めします。これを行うには、次の手順を実行します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、OAMコンソールにログインします。
ここではWebLogic管理ユーザーとしてログインします。
「システム構成」タブをクリックします。
「Access Manager」セクションの「Access Managerの設定」をクリックします。
「オープン」を「アクション」メニューで選択します。Access Managerの設定が表示されます。
OAMサーバーで簡易セキュリティ・モードを使用することを計画している場合は、グローバル・パスフレーズを指定します。
「適用」をクリックします。
初期インストールが完了したら、次のタスクを実行する必要があります。
外部のLDAPディレクトリ(IDSTORE.mycompany.com)を使用するようにAccess Managerを構成します。
Access Manager Webゲート・エージェントを作成します。
idmConfigToolを使用して、次のタスクを実行します。
|
注意: Access ManagerとOracle Identity Managerの統合の構成、またはAccess Managerの単独構成のいずれを行うかについては、2つのパラメータ設定によって決定します。
これらのパラメータを使用することによって、Access Managerの資格証明コレクション・ページにパスワードを忘れた場合などのリンクが追加されます。 Oracle Identity Managerを使用せずにAccess Managerを構成し、後になってOracle Identity Managerを追加することを決定した場合は、このコマンドを再度実行してAccess ManagerとOracle Identity Managerの統合を構成する必要があります。 |
IDMHOST1で次のタスクを実行します。
MW_HOMEをIAM_MW_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
次の内容でプロパティ・ファイルconfig_oam1.propsを作成します。
WLSHOST: ADMINVHN.mycompany.com
WLSPORT: 7001
WLSADMIN: weblogic
WLSPASSWD: Admin Password
IDSTORE_DIRECTORYTYPE: OUD
IDSTORE_HOST: IDSTORE.mycompany.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=oudadmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com
IDSTORE_SEARCHBASE: dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=mycompany,dc=com
IDSTORE_OAMSOFTWAREUSER: oamLDAP
IDSTORE_OAMADMINUSER: oamadmin
PRIMARY_OAM_SERVERS: IDMHOST1.mycompany.com:5575,IDMHOST2.mycompany.com:5575
WEBGATE_TYPE: ohsWebgate11g
ACCESS_GATE_ID: Webgate_IDM
OAM11G_OIM_WEBGATE_PASSWD: password to be assigned to WebGate
COOKIE_DOMAIN: .mycompany.com
OAM11G_WG_DENY_ON_NOT_PROTECTED: true
OAM11G_IDM_DOMAIN_OHS_HOST: SSO.mycompany.com
OAM11G_IDM_DOMAIN_OHS_PORT: 443
OAM11G_IDM_DOMAIN_OHS_PROTOCOL: https
OAM11G_SERVER_LBR_HOST: SSO.mycompany.com
OAM11G_SERVER_LBR_PORT: 443
OAM11G_SERVER_LBR_PROTOCOL: https
OAM11G_OAM_SERVER_TRANSFER_MODE: simple
OAM_TRANSFER_MODE: simple
OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
OAM11G_SSO_ONLY_FLAG: false
COOKIE_EXPIRY_INTERVAL: 120
OAM11G_IMPERSONATION_FLAG: false
OAM11G_OIM_INTEGRATION_REQ: false
OAM11G_OIM_OHS_URL:https://SSO.mycompany.com:443
SPLIT_DOMAIN:true
ここで:
WLSHOST (ADMINVHN)は管理サーバーのホストです。これは仮想名です。
WLSPORTは管理サーバーのポートであり、第B.3項のWLS_ADMIN_PORTに相当します。
WLSADMINは、WebLogicコンソールへのログインで使用するWebLogic管理ユーザーです。
WLSPASSWDはWebLogic管理者のパスワードです。
IDSTORE_DIRECTORYTYPEはOUD、OIDまたはOVDです。
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストアのディレクトリにロード・バランサを通じてアクセスする際のホストおよびポートです。これらは、第B.3項のワークシートのLDAP_LBR_HOSTおよびLDAP_LBR_PORTに相当します。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
IDSTORE_SYSTEMIDBASEは、ディレクトリ内でユーザーのoamLDAPが格納されるコンテナの場所です。
IDSTORE_OAMSOFTWAREUSERは、第9.4項「アイデンティティ・ストアの準備」で作成され、LDAPとの通信で使用されるユーザーの名前です。
IDSTORE_OAMADMINUSERは、第9.4項「アイデンティティ・ストアの準備」で作成され、OAMコンソールへのアクセスで使用されるユーザーの名前です。
PRIMARY_OAM_SERVERSは、OAMサーバーとそれらのサーバーが使用するプロキシ・ポートのカンマ区切りリストです。例: IDMHOST1:OAM_PROXY_PORT
|
注意: OAMサーバーが使用しているプロキシ・ポートを確認する手順は次のとおりです。
|
ACCESS_GATE_IDは、Webゲートに割り当てる名前です。
OAM11G_OIM_WEBGATE_PASSWDは、Webゲートに割り当てるパスワードです。
OAM11G_IDM_DOMAIN_OHS_HOSTは、OHSの前に配置したロード・バランサの名前です。
OAM11G_IDM_DOMAIN_OHS_PORTは、ロード・バランサでリスニングするポートです(HTTP_SSL_PORT)。
OAM11G_IDM_DOMAIN_OHS_PROTOCOLは、ロード・バランサでリクエストを送るときに使用するプロトコルです。
OAM11G_WG_DENY_ON_NOT_PROTECTEDは、falseに設定すると、ログイン・ページを表示できます。webgate11gを使用する場合は、trueに設定する必要があります。
OAM_TRANSFER_MODEは、Oracle Access Managerサーバーが機能するセキュリティ・モデルです。有効な値はsimpleおよびopenです。simpleモードを使用する場合は、第11.6.2項「グローバル・パスフレーズの設定」に従ってグローバル・パスフレーズを定義する必要があります。
OAM11G_OAM_SERVER_TRANSFER_MODEは、OAMサーバーが機能するセキュリティ・モデルです(第11.6.2項「グローバル・パスフレーズの設定」を参照)。
OAM11G_IDM_DOMAIN_LOGOUT_URLSは、様々なログアウトURLに設定されます。
OAM11G_SSO_ONLY_FLAGは、認証専用モードまたは標準モード(認証と認可をサポート)としてAccess Managerを構成します。
OAM11G_SSO_ONLY_FLAGをtrueに設定すると、OAMサーバーは認証専用モードで動作します。この場合、デフォルトではすべての認可でポリシー検証が実行されずにtrueが戻されます。このモードでは、認可の処理に伴うオーバーヘッドがサーバーに発生しません。認可ポリシーに依存せず、OAMサーバーの認証機能のみを必要とするアプリケーションでは、このモードをお薦めします。
この値をfalseに設定すると、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でOAMサーバーに対する認可リクエストが1つ以上発生します。WebゲートはOAMサーバーからの応答に基づいて、リクエストされたリソースへのアクセスを許可または拒否します。
OAMの偽装を構成する場合は、OAM11G_IMPERSONATION_FLAGをtrueに設定します。
OAM11G_SERVER_LBR_HOSTは、サイトの前面に配置するロード・バランサの名前です。この値と次の2つのパラメータを使用してログインURLを構成します。
OAM11G_SERVER_LBR_PORTは、ロード・バランサでリスニングするポートです(HTTP_SSL_PORT)。
OAM11G_SERVER_LBR_PROTOCOLは、使用するURL接頭辞です。
OAMとOIMの両方が含まれるトポロジを構築する場合は、OAM11G_OIM_INTEGRATION_REQをtrueに設定する必要があります。それ以外の場合は、この時点ではfalseに設定します。この値はAccess ManagerとOracle Identity Managerとの統合を実行するときにのみtrueに設定され、その統合段階の間値が維持されます。
OAM11G_OIM_OHS_URLはロード・バランサのURLに設定する必要があります。このパラメータは、トポロジにOAMとOIMの両方が含まれる場合のみ必要です。
COOKIE_DOMAINは、Webゲートが機能するドメインです。
WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。
OAM11G_IDSTORE_NAMEは、アイデンティティ・ストアの名前です。このツールでアイデンティティ・ストアを新規に作成せず、すでに運用中のアイデンティティ・ストアを再利用する場合は、このパラメータの値をその再利用するアイデンティティ・ストアの名前に設定します。
OAM11G_SERVER_LOGIN_ATTRIBUTEをuidに設定することで、ユーザーのログイン時にそのユーザー名がLDAPのuid属性に対して検証されます。
OAMのみのドメインを作成する場合、またはOIMとは別のドメインにOAMを置く場合(分割ドメイン)、SPLIT_DOMAINをtrueに設定する必要があります。それ以外の場合はこのパラメータを指定する必要はありません。
次の場所のidmConfigToolコマンドを使用してAccess Managerを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOAM input_file=configfile
例:
idmConfigTool.sh -configOAM input_file=config_oam1.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、次のアカウントに割り当てるパスワードも指定するよう求められます。
IDSTORE_PWD_OAMSOFTWAREUSER
IDSTORE_PWD_OAMADMINUSER
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従ってWebLogic管理サーバーを再起動します。
|
注意:
2つの11g Webゲート・プロファイルが作成されます。コンポーネント間の通信に使用される
加えて、ファイル |
ここまでの操作が正しいことを確認する手順は次のとおりです。
OAMコンソール(http://ADMIN.mycompany.com/oamconsole)にアクセスします。
第9.4項「アイデンティティ・ストアの準備」で作成したAccess Manager管理ユーザー(例: oamadmin)としてログインします。
「システム構成」タブをクリックします。
「Access Manager」→「SSOエージェント」→「OAMエージェント」を開きます。
フォルダを開くアイコンをクリックして「検索」をクリックします。
第11.6.3項「IDM構成ツールを使用したAccess Managerの構成」で作成したWebゲート・エージェントWebgate_IDMおよびWebgate_IDM_11gが表示されます。
最初の構成を作成した後に、その構成を編集して、高度な構成エントリを追加します。
「システム構成」タブを選択します。
ディレクトリ・ツリーで「Access Manager」→「SSOエージェント」→「OAMエージェント」を選択します。フォルダを開くアイコンをダブルクリックするか選択します。
表示された検索ページで、「検索」をクリックして空の検索を実行します。
エージェントWebgate_IDMをクリックします。
「アクション」メニューで「開く」を選択します。
プライマリ・サーバーのリストに表示されているすべてのOAMサーバーについて、「接続の最大数」を10に設定します。
次のログアウトURLがリストにない場合は、追加します。
/oamsso/logout.html
/console/jsp/common/logout.jsp
/em/targetauth/emaslogout.jsp
「適用」をクリックします。
Webゲート・エージェントWebgate_IDM_11gに対しても手順4から手順7までを繰り返します。
「ポリシー構成」タブをクリックします。
「ホスト識別子」をクリックします。
「開く」をクリックします。
「検索」をクリックします。
「IAMSuiteAgent」をクリックします。
「ホスト名組合せ」ボックスの+記号をクリックします。
次の情報を入力します。
ホスト名: ADMIN.mycompany.com
ポート: 80 (HTTP_PORT)
「適用」をクリックします。
idmConfigToolを使用してOAMセキュリティ・モデルを変更した場合、この変更を反映するためにすべての既存のWebゲートで使用されるセキュリティ・モデルを変更する必要があります。
このためには、次の手順を実行します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用し、第9.4項「アイデンティティ・ストアの準備」で作成したAccess Manager管理ユーザーとしてOracle Access Managementコンソールにログインします。
「システム構成」タブをクリックします。
「Access Manager」→「SSOエージェント」を開きます。
「OAMエージェント」をクリックし、「アクション」メニューで「開く」を選択します。
「検索」ウィンドウで「検索」をクリックします。
第11.6.3項「IDM構成ツールを使用したAccess Managerの構成」でidmconfigToolによって作成されたエージェント以外の各エージェントをクリックします(例: IAMSuiteAgent)。
「セキュリティ」の値を新しいセキュリティ・モデルに設定します。表示されているリストに、必要なAccess Managerサーバーを追加します。
「適用」をクリックします。
バグ13824816に対する次の回避策を実行します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、WebLogic管理サーバー・コンソールにログインします。
コンソールの左ペインで「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページで、「レルム」表の下の「myrealm」をクリックします。
「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。
「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
「グローバル・ロールの編集」ページで、「ロール条件」の下の「条件の追加」をクリックします。
「述部の選択」ページで、述部のリストから「グループ」を選択し、「次へ」をクリックします。
「引数の編集」ページのグループ引数フィールドにOAMAdministratorsを指定し、「追加」をクリックします。
「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
「ロール条件」に、OAMAdministratorsグループというエントリが表示されます。
「保存」をクリックして、OAMAdministratorsグループへの管理ロールの追加を終了します。
既存のドメインにAccess Managerを追加する場合、第10.3.3項「Identity Managementをサポートするための仮想ホストの作成」で説明されているように、Web層の構成にOAMを忘れずに含める必要があります。
構成が完了したら、IDMHOST1およびIDMHOST2の管理対象サーバーのディレクトリにOracle Identity Managerの構成を伝播する必要があります。
これを行うには、ドメインのパックと解凍を実行します。最初にIDMHOST1のIDMDomainでドメインのパックを実行し、次にIDMHOST1およびIDMHOST2でそれを解凍します。
次の手順を実行して、管理対象サーバーのドメイン・ディレクトリにドメインを伝播します。
IDMHOST1上で、ORACLE_COMMON_HOME/common/bin/からpackユーティリティを起動します。
./pack.sh -domain=ASERVER_HOME -template=iam_domain.jar -template_name="IAM Domain" -managed=true
これによってiam_domain.jarというファイルが作成されます。このファイルをIDMHOST2にコピーします。
IDMHOST1とIDMHOST2でunpackユーティリティを起動します。このユーティリティもORACLE_COMMON_HOME/common/bin/ディレクトリにあります。
./unpack.sh -domain=MSERVER_HOME -template=iam_domain.jar -overwrite_domain=true -app_dir=MSERVER_HOME/applications
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の手順に従い、管理対象サーバーWLS_OAM1およびWLS_OAM2を起動します。
oamtestツールを使用してAccess Managerを検証できます。このためには、次の手順を実行します。
環境にJAVA_HOMEが設定されていることを確認します。
PATHにJAVA_HOME/binを追加します。たとえば、次のように指定します。
export PATH=$JAVA_HOME/bin:$PATH
次のディレクトリに移動します。
IAM_ORACLE_HOME/oam/server/tester
次のコマンドを使用して、ターミナル・ウィンドウでこのテスト・ツールを起動します。
java -jar oamtest.jar
OAMテスト・ツールが起動したら、ページの「サーバー接続」セクションで次の情報を入力します。
プライマリIPアドレス: IDMHOST1.mycompany.com
ポート: 5575 (OAM_PROXY_PORT)
エージェントID: Webgate_IDM_11g
エージェント・パスワード: webgate password
|
注意: 簡易モードを構成している場合は、「簡易」を選択してグローバル・パスフレーズを指定する必要があります。 |
「接続」をクリックします。
ステータスのウィンドウには次のように表示されます。
[reponse] Connected to primary access server
保護されているリソースのURIセクションで次の情報を入力します。
スキーム: http
ホスト: ADMIN.mycompany.com
ポート: 80 (HTTP_PORT)
リソース: /oamconsole
「検証」をクリックします。
ステータスのウィンドウには次のように表示されます。
[request][validate] yes
「ユーザー・アイデンティティ」ウィンドウで次の情報を入力します。
ユーザー名: oamadmin
パスワード: oamadmin password
認証をクリックします。
ステータスのウィンドウには次のように表示されます。
[request] [authenticate] yes
「認可」をクリックします。
ステータスのウィンドウには次のように表示されます。
[request] [authorize] yes
テストの実行例を次に示します。
トポロジにあるすべてのアクセス・サーバーで、サーバーごとに接続の詳細を変更して、このテストを繰り返します。
シンプル・トランスポート・プロトコルを使用して動作するようにAccess Managerを構成すると、Access Managerへのすべてのトラフィックが暗号化されます。Access Managerと他のコンポーネント(Oracle Identity Managerなど)を統合する場合は、統合される製品がこの暗号化を理解できるようにする必要があります。(トランスポート・モデルがオープンの場合、これは必要ありません。)このためには、キーストアを使用します。
シンプル・プロトコルを使用するようにAccess Managerを変更すると、ディレクトリASERVER_HOME/output/webgate-ssl内にキーストアが自動的に作成されます。このディレクトリには次のファイルが含まれます。
oamclient-keystore.jks: 秘密鍵が格納されます。
oamclient-truststore.jks: Access Managerの簡易モードのCA証明書が格納されます。
これらのファイルには、簡易モードのAccess Managerを有効にしたときに定義されるグローバル・パスフレーズを使用してアクセスします。
一部の製品では、前述の両方のファイルの構成が必要になります。また、一部の製品(Oracle Identity Managerなど)では、統合された単一のキーストアが必要になります。
Oracle Identity Managerでの使用に適したキーストアを作成するには、次の手順を実行します。
次の例に示すように、ディレクトリをASERVER_HOME/output/webgate-sslに変更します。
cd ASERVER_HOME/output/webgate-ssl
次の例に示すように、ファイルoamclient-keystore.jksをssoKeystore.jksとしてコピーします。
cp oamclient-keystore.jks ssoKeystore.jks
次のコマンドを使用して、新しいキーストアssoKeystore.jksにトラスト・ストアをインポートします。
keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
キーストア・パスワードを、求められたら入力します。
例:
keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore ssoKeystore.jks -storetype JKS
|
注意:
|
第17.6.3項「インストール時および構成時のバックアップの実行」で説明されているように、データベース、WebLogicドメインおよびLDAPディレクトリをバックアップします。
