| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.1) B71694-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.1) B71694-06 |
|
前 |
次 |
この章では、Oracle Identity Managementエンタープライズ・デプロイメント・トポロジで使用するために、Oracle Identity Managerのインストールと構成を行う方法について説明します。
この章の内容は次のとおりです。
第12.7項「Oracle Identity ManagerおよびOracle SOA Suiteを構成するためのドメインの拡張」
第12.8項「IDMHOST1およびIDMHOST2の管理対象サーバーのドメイン・ディレクトリへのOracle Identity ManagerおよびOracle SOAの展開」
第12.12項「IDMHOST1およびIDMHOST2でのSOAおよびOracle Identity Managerの管理対象サーバーの起動」
第12.13項「IDMHOST1およびIDMHOST2におけるOracle Identity Managerインスタンスの確認」
第12.20項「LDAPでプロビジョニングした管理ユーザーを使用したOracle Identity ManagerからSOAへの接続の有効化」
第12.21項「Active DirectoryをサポートするためのOracle Identity Managerの変更」
第12.23項「Oracle Identity ManagerとOracle Access Management Access Managerの統合」
Oracle Identity Managerは、アプリケーションおよびディレクトリからユーザー・アカウントを追加、更新および削除するプロセスを自動化するユーザー・プロビジョニングおよび管理ソリューションです。また、誰が何にアクセスしたかを示すきめ細かいレポートを提供することで、法規制コンプライアンスの向上にも寄与します。Oracle Identity Managerは、スタンドアロンの製品としても、Oracle Identity Managementの一部としても利用できます。
ユーザー・アイデンティティのプロビジョニングを自動化すると、情報テクノロジ(IT)の管理コストを削減でき、セキュリティを向上できます。また、プロビジョニングは規制遵守においても重要な役割を果たします。Oracle Identity Managerの主要機能には、パスワード管理、ワークフローとポリシーの管理、アイデンティティ調整、レポートと監査、アダプタによる拡張性などがあります。
Oracle Identity Managerには、次の主要機能が用意されています。
ユーザー管理
ワークフローとポリシー
パスワード管理
監査とコンプライアンスの管理
統合ソリューション
ユーザー・プロビジョニング
組織とロールの管理
Oracle Identity Managerの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドを参照してください。
この章を完了すると、次のURLが利用可能になります。
ドメインをOracle Identity Managerで拡張する前に、次の作業が行われたことを確認してください。
Oracle Identity ManagerおよびSOAの管理対象サーバーの仮想IPアドレスがプロビジョニングされ、有効になっていることを確認します。詳細は、第3.5項「IPアドレスおよび仮想IPアドレスについて」を参照してください。
第12.5項「wlfullclient.jarファイルの作成」の説明に従ってwlfullclient.jarファイルが作成されていることを確認します。
アイデンティティ・ストアがインストールされ、構成されていることを確認します。
第9.4項「アイデンティティ・ストアの準備」の説明に従って、Oracle Identity Managementのユーザーをプロビジョニングします。
Oracle Identity Managerを使用してドメインを拡張する前に、第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内で動作しているすべての管理対象サーバーを停止します。
|
注意: Oracle Identity Managerとともに配置したOracle SOAは、Oracle Identity Managerのワークフロー専用に使用されます。他の目的では使用できません。 |
構成ウィザードのバージョンの問題のため、一部の環境変数はASERVER_HOME/bin/setDomainenv.shスクリプトに追加されません。このため、特定のインストール・シーケンスが失敗します。この項は、この問題の一時的な回避策です。この項の手順は、Oracle Identity Managerをホストするドメインに関連付けられているすべてのMW_HOME(つまりIAM_MW_HOME)に対して実行する必要があります。
ドメインのすべてのWebLogic Serverホームで次の手順を適用します。
IAM_ORACLE_HOME/server/loginmodule/wlsディレクトリにあるOIMAuthenticator.jar、oimmbean.jar、oimsigmbean.jarおよびoimsignaturembean.jarの各ファイルを、IAM_MW_HOME/wlserver_10.3/server/lib/mbeantypesディレクトリにコピーします。
cp $IAM_ORACLE_HOME/server/loginmodule/wls/* $IAM_MW_HOME/wlserver_10.3/server/lib/mbeantypes
ディレクトリをMW_HOME/wlserver_10.3/server/lib/mbeantypes/に変更します。
cd $IAM_MW_HOME/wlserver_10.3/server/lib/mbeantypes
chmodコマンドを使用して、これらのファイルに関する権限を750に変更します。
chmod 750 *
Oracle Identity Managerは、特定の操作にwlfullclient.jarライブラリを使用します。このライブラリは出荷されていないため、手動で作成する必要があります。環境のアプリケーション層でOracle Identity Managerをホストしているすべてのマシンで、IAM_MW_HOME/wlserver_10.3/server/libディレクトリの下にこのライブラリを作成することをお薦めします(IAM_MW_HOME、OIM_MW_HOMEなど)。
次の手順に従って、wlfullclient.jarファイルを作成します。
Oracle SOAは、クォーツを使用してそのジョブとスケジュールをデータベースで管理します。ジョブ、アダプタおよびOracle B2Bを正常に機能させるため、SOA WebLogicクラスタのシステム・クロックを同期させます。
Oracle Identity Managerを追加するにはドメインを拡張する必要があります。ドメインの拡張は、ドメインの管理サーバーを実行しているホストから行う必要があります。これは、IDMHOST1上のドメインIDMDomainです。
Oracle Identity Managerを使用してドメインを拡張するには、IDMHOST1上で次のコマンドを実行して構成ウィザードを開始します。
ORACLE_COMMON_HOME/common/bin/config.sh
次のように実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。
「次へ」をクリックします。
「WebLogicドメイン・ディレクトリの選択」画面で、IDMDomainのドメイン・ディレクトリの場所を選択します。例: /u01/oracle/config/domains/IDMDomain
「次へ」をクリックします。
「拡張ソースの選択」画面で、「以下の追加製品をサポートするために、自動的にドメインを拡張する:」を選択します。下にあるリストで、Oracle Identity Managerを選択します。
|
注意:
|
「次へ」を選択します。
「JDBCコンポーネント・スキーマの構成」画面で、次の手順を実行します。
ページに表示されているすべてのデータ・ソースを選択します。
SOAインフラストラクチャ
ユーザー・メッセージング・サービス
OIM MDSスキーマ
OWSM MDSスキーマ
SOA MDSスキーマ
OIMスキーマ
「GridLinkへ変換」を選択します。
「次へ」をクリックします。
GridLink RACコンポーネント・スキーマ画面が表示されます。この画面で、次の各フィールドに値を入力して、RCUでシードされたOracle RACデータベースの接続情報を指定します。
該当するコンポーネント用のすべてのスキーマを選択します。これまでに構成済のコンポーネントに指定しているスキーマは選択しないでください。
各エントリに対して次の共通の情報を指定します。
ドライバ: OracleのGridLink接続用ドライバ(Thin)、バージョン:10以降を選択します。
「FANの有効化」を選択します。
次のいずれかの操作を実行します。
ONS通知を暗号化するためのSSLが構成されていない場合は、「SSL」の選択を解除します。
SSLを選択し、適切なWalletおよびWalletのパスワードを指定します。
サービス・リスナー: 使用するRACデータベースのためのSCANアドレスとポートを入力します。このアドレスは、データベース内のパラメータremote_listenerを問い合せれば識別できます。
SQL>show parameter remote_listener; NAME TYPE VALUE ------------------------------------------------------------- remote_listener string DB-SCAN.mycompany.com:1521
|
注意: Oracle Database 11gリリース1 (11.1)の場合は、各データベース・インスタンス・リスナーの仮想IPとポートを使用します。例: DBHOST1-VIP.mycompany.com (port 1521) および
DBHOST2-VIP.mycompany.com (port 1521) (DB_LSNR_PORT)
Oracle Database 10gの場合は、マルチ・データ・ソースを使用してOracle RACデータベースに接続します。複数のデータ・ソースの構成に関する情報は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のODSMを使用した複数のディレクトリ・アイデンティティ・ストア用のアダプタの検証に関する項を参照してください。 |
ONSホスト: Oracle RACデータベースのSCANアドレスおよびデータベースから報告されたONSリモート・ポートを入力します。
srvctl config nodeapps -s ONS exists: Local port 6100, remote port 6200, EM port 2016
|
注意: Oracle Database 11g リリース1 (11.1)では、次の例のように、各データベースのONSサービスのホスト名とポートを使用します。 DBHOST1.mycompany.com (port 6200) および DBHOST2.mycompany.com (port 6200) |
次のRACコンポーネント・スキーマ情報を入力します。
| スキーマの名前 | サービス名 | スキーマの所有者 | パスワード |
|---|---|---|---|
|
|
|
EDG_OIM |
|
|
|
|
EDG_SOAINFRA |
|
|
|
|
EDG_ORASDPM |
|
|
|
|
EDG_MDS |
|
|
|
|
EDG_MDS |
|
|
|
|
EDG_MDS |
|
RACマルチ・データソースを使用する場合は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のODSMを使用した複数のディレクトリ・アイデンティティ・ストア用のアダプタの検証に関する項を参照してください。
「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、構成ウィザードによりデータ・ソースを検証します。データ・ソースの検証が成功した場合、「次へ」をクリックします。失敗した場合、「前へ」をクリックして問題に対処してから、再試行します。
「次へ」をクリックします。
「オプションの構成を選択」画面で、次を選択します。
JMS分散宛先
管理対象サーバー、クラスタ、およびマシン
JMSファイル・ストア
「次へ」をクリックします。
「JMS分散宛先」画面で、画面にあるJMSシステム・リソースのすべてが共通分散宛先であることを確認します。そうでない場合、「UDD」をドロップダウンから選択します。エントリが次のようになることを確認します。
| JMSシステム・リソース | 共通/重み設定された分散宛先 |
|---|---|
|
UMSJMSSystemResource |
|
|
SOAJMSModule |
|
|
OIMJMSModule |
|
|
BPMJMSModule |
|
|
JRFWSAsyncjmsModule |
|
「次へ」をクリックします。
「オーバーライドの警告」ボックスに次のメッセージが表示されます。
CFGFWK-40915: At least one JMS system resource has been selected for conversion to a Uniform Distributed Destination (UDD). This conversion will take place only if the JMS System resource is assigned to a cluster
「OK」を「オーバーライドの警告」ボックスでクリックします。
「管理対象サーバーの構成」画面を初めて表示すると、oim_server1およびsoa_server1の2つの管理対象サーバーが自動的に作成されます。soa_server1をWLS_SOA1に、oim_server1をWLS_OIM1にそれぞれ名前変更し、その各属性を次の表のように更新します。さらに、次の属性を持つWLS_OIM2およびWLS_SOA2という2つの新しい管理対象サーバーを追加します。
| 名前 | Listen address | Listen port | ポート変数 | SSLリスニング・ポート | SSL有効 |
|---|---|---|---|---|---|
|
WLS_SOA1 |
SOAHOST1VHN |
|
|
N/A |
いいえ |
|
WLS_SOA2 |
SOAHOST2VHN |
|
|
N/A |
いいえ |
|
WLS_OIM1 |
OIMHOST1VHN |
|
|
N/A |
いいえ |
|
WLS_OIM2 |
OIMHOST2VHN |
|
|
N/A |
いいえ |
|
注意:
|
「クラスタの構成」画面で、「追加」をクリックして各クラスタを作成します。次の情報を指定します。
| 名前 | メッセージング・モード | マルチキャスト・アドレス | マルチキャスト・ポート | クラスタ・アドレス |
|---|---|---|---|---|
|
oim_cluster |
ユニキャスト |
n/a |
n/a |
OIMHOST1VHN:14000、OIMHOST2VHN:14000脚注 1 |
|
soa_cluster |
ユニキャスト |
n/a |
n/a |
SOAHOST1VHN:8001、SOAHOST2VHN:8001脚注 2 |
脚注 1 14000は第B.3項のOIM_PORTに相当します。
脚注 2 8001は第B.3項のSOA_PORTに相当します。
他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
|
注意: これまでのデプロイメントの過程で構成されたクラスタの構成は変更しないでください。 |
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタと関連付けます。クラスタ名を右側のペインでクリックします。「サーバー」で管理対象サーバーをクリックしてから矢印をクリックして、クラスタに割り当てます。次の値を割り当てます。
| クラスタ | サーバー |
|---|---|
|
oim_cluster |
WLS_OIM1 |
|
WLS_OIM2 |
|
|
soa_cluster |
WLS_SOA1 |
|
WLS_SOA2 |
|
注意: エントリがすでに定義されているクラスタは変更しないでください。 |
「次へ」をクリックします。
「マシンの構成」画面で、トポロジ内の各ホストに対してマシンがまだ作成されていない場合、マシンを作成します。
「Unixマシン」タブをクリックします。
名前: ホスト名です。DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのDNS名です。
ノード・マネージャ・ポート: ノード・マネージャのポートです。
次の表に示す情報を指定します。
| 名前 | ノード・マネージャのリスニング・アドレス | ノード・マネージャ・リスニング・ポート | ポート変数 |
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
他のフィールドはすべてデフォルト値のままとします。
「マシン」タブの下のデフォルトのローカル・マシン・エントリを削除します。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、次のようにサーバーをマシンに割り当てます。
IDMHOST1: WLS_OIM1およびWLS_SOA1
IDMHOST2: WLS_OIM2およびWLS_SOA2
「次へ」をクリックして、続行します。
「JMSファイル・ストアの構成」画面で、JMSファイル・ストアのディレクトリの場所を更新します。次の表に示す情報を指定します。
| 名前 | ディレクトリ |
|---|---|
|
UMSJMSFileStore_auto_1 |
|
|
UMSJMSFileStore_auto_2 |
|
|
BPMJMSServer_auto_1 |
|
|
BPMJMSServer_auto_2 |
|
|
SOAJMSFileStore_auto_1 |
|
|
SOAJMSFileStore_auto_2 |
|
|
OIMJMSFileStore_auto_1 |
|
|
OIMJMSFileStore_auto_2 |
|
|
JRFWSAsyncFileStore_auto_1 |
|
|
JRFWSAsyncFileStore_auto_2 |
|
「次へ」をクリックします。
「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。
「インストール 完了」画面で「完了」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
構成が完了したら、IDMHOST1およびIDMHOST2の管理対象サーバーのディレクトリにOracle Identity Managerの構成を伝播する必要があります。
これを行うには、ドメインのパックと解凍を実行します。最初にIDMHOST1のIDMDomainでドメインのパックを実行し、次にIDMHOST1およびIDMHOST2でそれを解凍します。
次の手順を実行して、管理対象サーバーのドメイン・ディレクトリにドメインを伝播します。
IDMHOST1上で、ORACLE_COMMON_HOME/common/bin/からpackユーティリティを起動します。
./pack.sh -domain=ASERVER_HOME -template=oim_domain.jar -template_name="OIM Domain" -managed=true
これによってoim_domain.jarというファイルが作成されます。このファイルをIDMHOST2にコピーします。
IDMHOST1とIDMHOST2でunpackユーティリティを起動します。このユーティリティもORACLE_COMMON_HOME/common/bin/ディレクトリにあります。
./unpack.sh -domain=MSERVER_HOME -template=oim_domain.jar -overwrite_domain=true -app_dir=MSERVER_HOME/applications
コンポジットのデプロイではマルチキャスト通信がデフォルトで使用されますが、SOAエンタープライズ・デプロイメントではユニキャスト通信の使用をお薦めします。セキュリティ上の理由からマルチキャスト通信を無効化した場合には、ユニキャスト通信を使用します。
ユニキャスト通信を使用した場合、この方法ではノードから他のクラスタ・メンバーを検出できません。そのため、クラスタに属するノードを指定する必要があります。ただし、クラスタのすべてのノードを指定する必要はありません。クラスタに追加された新しいノードが既存ノードの1つを検出するために必要なノードを指定するだけで済みます。これによって、新しいノードがクラスタに追加されたときに、クラスタ内の他のすべてのノードを検出できるようになります。また、同じシステムで複数のIPを使用できるSOAエンタープライズ・デプロイメントなどの構成では、特定のホスト名を使用してOracle Coherenceクラスタを作成するようにOracle Coherenceを構成する必要があります。
|
注意: デプロイメントに使用するOracle Coherenceフレームワークの構成が正しくないと、SOAシステムを起動できないことがあります。SOAシステムが実行されるネットワーク環境に応じてデプロイメント・フレームワークを適切にカスタマイズする必要があります。この項で説明する構成をお薦めします。 |
この項には次のトピックが含まれます:
tangosol.coherence.wka<n>システム・プロパティを使用してノードを指定します。<n>は、1から9の数字です。最大9つのノードを指定できます。番号は、1から開始します。連続した番号を指定する必要があり、途切れていてはなりません。また、Oracle Coherenceでクラスタを作成するために使用するホスト名をtangosol.coherence.localhostシステム・プロパティで指定します。このローカル・ホスト名には、SOAサーバーでリスナーのアドレスとして使用する仮想ホスト名を指定する必要があります(SOAHOST1VHNとSOAHOST2VHN)。このプロパティを設定するには、Oracle WebLogic Server管理コンソールの「サーバーの起動」タブにある「引数」フィールドに-Dtangosol.coherence.localhostパラメータを追加します。
管理コンソールを使用して、Oracle Coherenceで使用するホスト名を指定します。
Oracle Coherenceで使用するホスト名を追加する手順は次のとおりです。
Oracle WebLogic Server管理コンソールにログインします。
「ドメイン構造」ウィンドウで「環境」ノードを開きます。
「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
表の「名前」列にハイパーリンクで表示されているサーバーの名前(WLS_SOA1またはWLS_SOA2)をクリックします。選択したサーバーの設定ページが表示されます。
「ロックして編集」をクリックします。
「サーバーの起動」タブをクリックします。
「引数」フィールドで、WLS_SOA1とWLS_SOA2について次のように入力します。
WLS_SOA1については次の値を入力します。
-Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST1VHN
WLS_SOA2については次の値を入力します。
-Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST2VHN
|
注意: 異なる |
|
注意: デプロイメントで使用されるCoherenceクラスタでは、ポート8088をデフォルトで使用します。このポートは、起動パラメータ-Dtangosol.coherence.wkan.portおよび-Dtangosol.coherence.localportで別なポート(8089など)を指定することで変更できます。例: WLS_SOA1(「引数」フィールドに、改行なしで1行で次のように入力): -Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST1VHN -Dtangosol.coherence.localport=8089 -Dtangosol.coherence.wka1.port=8089 -Dtangosol.coherence.wka2.port=8089 WLS_SOA2(「引数」フィールドに、改行なしで1行で次のように入力): -Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST2VHN -Dtangosol.coherence.localport=8089 -Dtangosol.coherence.wka1.port=8089 -Dtangosol.coherence.wka2.port=8089 Coherenceクラスタの詳細は、『Oracle Coherence開発者ガイド』を参照してください。 |
「保存」→「変更のアクティブ化」をクリックします。
|
注意:
|
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用してIDMHOST1上のWebLogic管理サーバーを停止します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、ノード・マネージャを使用してIDMHOST1上の管理サーバーを起動します。
SOAサーバーWLS_SOA1を起動します。
必要に応じて、第12.3項「前提条件」でシャットダウンした他のサーバーを起動します。
Oracle Identity ManagerおよびSOAの管理対象サーバーを起動する前に、Oracle Identity Managerサーバー・インスタンスを構成しておく必要があります。これはIDMHOST1で実行します。Oracle Identity Management構成ウィザードによって、Oracle Identity Managerメタデータがデータベースにロードされ、インスタンスが構成されます。
続行する前に、次の事項が正しいことを確認してください。
管理サーバーが起動されて、実行中であること。
SOA管理対象サーバーが起動されて、実行中であること。
環境変数DOMAIN_HOMEおよびWL_HOMEが現在のシェル内で設定されていないこと。
Oracle Identity Managementの構成ウィザードは、Identity ManagementのOracleホームの下にあります。構成ウィザードを起動するには、次のように入力します。
IAM_ORACLE_HOME/bin/config.sh
次のように実行します。
「ようこそ」画面で、「次へ」をクリックします。
構成するコンポーネント画面でOIMサーバーを選択します。
「次へ」をクリックします。
「データベース」画面で、次の値を入力します。
接続文字列: Oracle Identity Managerデータベースの接続文字列。
IDMDB1-VIP.mycompany.com:1521:OIMEDG1^IDMDB2-VIP.mycompany.com:1521:OIMEDG2@OIMEDG.mycompany.com、ここで1521は第B.3項のDB_LSNR_PORTポートに相当します。
Oracle Database 11.2を使用している場合は、vipのアドレスとポートを11.2 SCANのアドレスとポートに置き換えます。
OIMスキーマ・ユーザー名: EDG_OIM
OIMスキーマのパスワード: password
MDSスキーマ・ユーザー名: EDG_MDS
MDSスキーマのパスワード: password
「次へ」をクリックします。
WebLogic管理サーバー画面で、WebLogic管理サーバーについて次の詳細を入力します。
URL: WebLogic管理サーバーに接続するためのURLです。例:
t3://ADMINVHN.mycompany.com:7001、ここでポート7001はWLS_ADMIN_PORTです。
ユーザー名: weblogic
パスワード: weblogicユーザーのパスワードです。
「次へ」をクリックします。
OIMサーバー画面で、次の値を入力します。
OIM管理パスワード: Oracle Identity Manager管理者のパスワード。これはxelsysadmユーザーのパスワードです。このパスワードには、大文字と数字を使用する必要があります。ベスト・プラクティスは、第9.4項「アイデンティティ・ストアの準備」でユーザーxelsysadmに割り当てたパスワードと同じパスワードを使用することです。
パスワードの確認: パスワードを確認するためのものです。
OIM HTTP URL: Oracle Identity ManagerサーバーのプロキシURL。これは、Oracle Identity ManagerのOHSサーバーのフロントエンドに位置するハードウェア・ロード・バランサのURLです。例: http://IDMINTERNAL.mycompany.com:80
LDAP同期の有効化: 選択されています。
「次へ」をクリックします。
「LDAPサーバー」画面では、入力する情報が実際の実装によって異なります。次の詳細を指定します。
ディレクトリ・サーバー・タイプ:
アイデンティティ・ストアがOracle Unified Directoryの場合、OUD。
アイデンティティ・ストアがOracle Internet Directory内にある場合、OID。
Oracle Virtual Directoryを通じてアイデンティティ・ストアにアクセスする場合、OVD。
ディレクトリ・サーバーID: ディレクトリ・サーバーの名前。たとえば、IdStoreを指定します。これは、ディレクトリ・タイプがOIDまたはOUDである場合にのみ必要です。
サーバーURL: LDAPサーバーのURL。例: ldap://IDSTORE.mycompany.com:389
サーバーのユーザー: LDAPサーバーに接続するためのユーザー名。例: cn=oimLDAP,cn=systemids,dc=mycompany,dc=com
サーバーのパスワード: LDAPサーバーに接続するためのパスワード。
サーバー検索DN: Oracle Virtual Directoryサーバーを使用してIDストアにアクセスする場合の検索DN。たとえば、dc=mycompany,dc=comです。
「次へ」をクリックします。
LDAPサーバー(続き)画面で、次のLDAPサーバー詳細を入力します。
LDAPロールコンテナ: ロール・コンテナのDNです。これは、Oracle Identity Managerのロールが保存されるコンテナです。例: cn=Groups,dc=mycompany,dc=com
LDAPユーザーコンテナ: ユーザー・コンテナのDNです。これは、Oracle Identity Managerユーザーが保存されるコンテナです。たとえば、cn=Users,dc=mycompany,dc=comです。
ユーザー予約コンテナ: ユーザー予約コンテナのDNです。例: cn=Reserve,dc=mycompany,dc=com
「次へ」をクリックします。
「構成サマリー」画面で、サマリー情報を確認します。
「構成」をクリックして、Oracle Identity Managerインスタンスを構成します。
「構成の進行状況」画面で、構成が正常に完了すると、「次へ」をクリックします。
「構成が完了しました」画面で、構成されたOracle Identity Managerインスタンスの詳細を確認します。
「終了(F)」をクリックして、構成ウィザードを終了します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
IDMHOST1のASERVER_HOMEの下にあるsoaディレクトリを、IDMHOST1およびIDMHOST2のMSERVER_HOMEディレクトリにコピーします。
例:
scp -rp ASERVER_HOME/soa user@IDMHOST2:MSERVER_HOME
次の一連の手順に従って、IDMHOST1上で管理対象サーバーWLS_OIM1とWLS_SOA1を起動します。
Oracle WebLogic管理コンソールを起動することで、管理サーバーが正常に起動することを確認します。
管理対象サーバーWLS_SOA1が実行中である場合は、第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従っていったん停止し、再起動します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用して管理対象サーバーWLS_OIM1を起動します。
次の一連の手順に従って、IDMHOST2上で管理対象サーバーWLS_OIM2とWLS_SOA2を起動します。
Oracle WebLogic管理コンソールを起動することで、管理サーバーが正常に起動することを確認します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用して管理対象サーバーWLS_SOA2を起動します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用して管理対象サーバーWLS_OIM2を起動します。
Webブラウザで次のURLを指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
http://OIMHOST1VHN.mycompany.com:14000/identity
http://OIMHOST1VHN.mycompany.com:14000/sysadmin
http://OIMHOST2VHN.mycompany.com:14000/identity/
http://OIMHOST2VHN.mycompany.com:14000/sysadmin/
xelsysadmユーザー名とパスワードを使用して、ログインします。
|
注意: 初めてログインする際に、チャレンジ質問を設定するように求められます。続行する前に、これを行ってください。 |
次のURLを使用してOracle SOA Suiteを検証します。
http://SOAHOST1VHN.mycompany.com:8001/soa-infra
http://SOAHOST2VHN.mycompany.com:8001/soa-infra
ここで、8001は第B.3項のSOA_PORTになります。
weblogicユーザーとしてログインします。
現在のリリースでは、LDAPConfigPostSetupスクリプトを使用すると、LDAPSync関連の増分リコンシリエーション・スケジューラ・ジョブがすべて有効になります。これらのジョブはデフォルトでは無効です。LDAP構成ポストセットアップ・スクリプトは、IAM_ORACLE_HOME/server/ldap_config_utilディレクトリにあります。スクリプトをIDMHOST1で次のように実行します。
IAM_ORACLE_HOME/server/ldap_config_utilディレクトリの下にあるldapconfig.propsファイルを編集して、次の値を指定します。
| パラメータ | 値 | 説明 |
|---|---|---|
|
|
|
Oracle Identity Manager管理対象サーバーのリスト。 |
|
|
次の例のような、Oracle Virtual DirectoryインスタンスのURLを指定します。 |
アイデンティティ・ストアのURL。Oracle Virtual Directoryを使用してIDストアにアクセスする場合のみ必要です。 |
|
|
|
アイデンティティ・ストアへの接続に使用するユーザーの名前。アイデンティティ・ストアがOracle Virtual Directoryに存在する場合のみ必要です。このユーザーは、 |
|
|
|
Oracle Virtual Directoryを使用してアイデンティティ・ストアにアクセスしない場合は必要です。 |
脚注 1 14000は第B.3項のOIM_PORTに相当します。
|
注意:
|
ファイルを保存します。
MW_HOMEをIAM_MW_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
WL_HOMEをMW_HOME/wlserver_10.3に設定します。
APP_SERVERをweblogicに設定します。
OIM_ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
DOMAIN_HOMEをMSERVER_HOMEに設定します。
LDAPConfigPostSetup.shを実行します。このスクリプトでは、LDAPの管理者パスワードとOracle Identity Managerの管理者パスワードが要求されます。例:
IAM_ORACLE_HOME/server/ldap_config_util/LDAPConfigPostSetup.sh path_to_property_file
例:
IAM_ORACLE_HOME/server/ldap_config_util/LDAPConfigPostSetup.sh IAM_ORACLE_HOME/server/ldap_config_util
この項では、Oracle Identity Managerを構成してOracle Web Tierと連携する方法について説明します。
この項には次のトピックが含まれます:
既存のドメインにOIMを追加する場合、第10.3項「構成後のタスク」で説明されているように、Web層の構成にOIMを忘れずに含める必要があります。
Oracle HTTP Serverは、WebLogicのプロキシとして機能するため、デフォルトでは、特定のCGI環境変数はWebLogicに渡されません。これらには、ホストとポートが含まれます。WebLogicには、内部URLを適切に生成できるように仮想サイト名およびポートを使用していることを指示する必要があります。
これを行うには、第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、WebLogic管理コンソールにログインします。
「クラスタ」をホーム・ページで選択するか、「ドメイン」構造メニューで「環境」→「クラスタ」を選択します。
「チェンジ・センター」ウィンドウの「ロックして編集」をクリックして、編集を有効にします。
「クラスタ名」(soa_cluster)をクリックします。
「構成」タブで、「HTTP」サブタブを選択します。
次を入力します。
フロントエンド・ホスト: IDMINTERNAL.mycompany.com
フロントエンドHTTPポート: 80 (HTTP_PORT)
「保存」をクリックします。
「チェンジ・センター」ウィンドウの「変更のアクティブ化」をクリックして、編集を有効にします。
次の手順に従ってSOAエンドポイントを更新します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているアドレスを使用して、Oracle Enterprise Manager Fusion Middleware Controlにログインします。
ナビゲーション・ペインでSOAフォルダを展開し、「soa-infra」を右クリックします。
「SOA管理」→「共通プロパティ」を選択します。
「詳細SOAインフラ拡張構成プロパティ」リンクをクリックします。
次のプロパティを編集し、変更を適用します。
ServerURL: http://IDMINTERNAL.mycompany.com:80
CallbackServerURL: http://IDMINTERNAL.mycompany.com:80
HttpServerURL: http://IDMINTERNAL.mycompany.com:80
「適用」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WLS_SOA1とWLS_SOA2を再起動します。
次に示すようにWeb層の統合を検証します。
Webブラウザで次のURLを指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
https://SSO.mycompany.com:443/identity
および
http://ADMIN.mycompany.com/sysadmin
xelsysadmユーザー名とパスワードを使用して、ログインします。
管理対象サーバーWLS_OIMとWLS_SOAには、サーバーがコーディネートする、完了していない可能性のあるコミット済トランザクションに関する情報を格納するトランザクション・ログがあります。WebLogic Serverは、システム・クラッシュやネットワーク障害のリカバリでこのトランザクション・ログを使用します。クラスタ内のサーバーでトランザクション回復サービスの移行機能を活用するには、サーバーとそのバックアップ・サーバーからアクセス可能な場所にトランザクション・ログを格納します。
|
注意: この場所は、デュアル・ポート型SCSIディスクまたはストレージ・エリア・ネットワーク(SAN)にすることをお薦めします。 |
Oracle Identity ManagerおよびSOAサーバーのデフォルトの永続ストアの場所を設定する手順は次のとおりです。
共有記憶域に次のディレクトリを作成します。
ASERVER_HOME/tlogs
Oracle WebLogic Server管理コンソールにログインします。
「ロックして編集」をクリックします。
「ドメイン構造」ウィンドウで、「環境」ノードを開いてから、「サーバー」ノードをクリックします。
「サーバーのサマリー」ページが表示されます。
表の「名前」列で、Oracle Identity ManagerまたはSOAサーバーの名前(ハイパーリンクで表示されています)をクリックします。
選択したサーバーの「設定」ページが表示され、「構成」タブにデフォルト設定されます。
「サービス」サブタブを開きます。
ページの「デフォルト・ストア」セクションで、共有記憶域にあるデフォルトの永続ストアへのパスを指定します。パスのディレクトリ構造は次のとおりです。
Oracle Identity Managerサーバー: ASERVER_HOME/tlogs
SOAサーバー: ASERVER_HOME/tlogs
|
注意: トランザクション・リカバリ・サービスの移行機能を有効にするには、クラスタにある他のサーバーで使用可能な永続記憶域ソリューションの場所を指定します。クラスタに属するすべてのサーバーは、このディレクトリにアクセスできる必要があります。 |
保存してアクティブ化するをクリックします。
「サーバーのサマリー」ページで他のSOAサーバーを選択し、これらの手順を繰り返します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle Identity ManagerとSOAの管理対象サーバーを再起動します。これによって、変更が有効になります。
この項では、UMSの電子メール通知の構成方法について説明します。これはオプションです。次の手順では、電子メール・サーバーが設定済で、それを使用してOracle Identity Managementで電子メール通知を送信できることを前提としています。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、Oracle Identity Managerに関連付けられているOracle Enterprise Manager Fusion Middleware Controlのインスタンスにログインします。
「ユーザー・メッセージング・サービス」を開きます。
「usermessagingdriver-email (WLS_SOA1)」を右クリックし、「電子メール・ドライバ・プロパティ」を選択します。
次の情報を入力します。
OutgoingMailServer: SMTPサーバーの名前、例: SMTP.mycompany.com
OutgoingMailServerPort: SMTPサーバーのポート、例: SSL送信メール・サーバーの場合は465、SSLを使用しない場合は25
OutgoingMailServerSecurity: SMTPサーバーによって使用されるセキュリティ設定。使用可能な値はNone/TLS/SSL。SSLリクエストを受け付けるようにメール・サーバーを構成する場合は、次の追加手順を実行してSOA環境からDemoTrustストアの参照を削除します。
MSERVER_HOME/bin/setDomainEnv.shファイルを変更し、DemoTrustの参照である-Djavax.net.ssl.trustStore=WL_HOME/server/lib/DemoTrust.jksをEXTRA_JAVA_PROPERTIESから削除します。
IDMHOST1とIDMHOST2にあるstartManagedWeblogic.shファイルを変更します。このファイルのJAVA_OPTIONSにあるプロパティ・セットweblogic.security.SSL.trustedCAKeyStoreを削除します。削除するのは、次のような行です。
JAVA_OPTIONS="-Dweblogic.security.SSL.trustedCAKeyStore="{MW_HOME}/server/server/lib/cacerts" ${JAVA_OPTIONS}"
Oracle Identity Manager、OIMサーバー、SOA管理対象サーバーを再起動します。
OutgoingUsername: 任意の有効なユーザー名
OutgoingPassword:
「間接パスワード、新規のユーザーの作成」を選択します。
「間接ユーザー名/キー」に一意の文字列を入力します(OIMEmailConfigなど)。これによりパスワードがマスクされ、構成ファイルにクリア・テキストで公開されません。
このアカウントの有効なパスワードを指定します。
「適用」をクリックします。
各SOAサーバーで手順3、4を繰り返します。
ナビゲータで、「WebLogicドメイン」→「Domain@Name」を選択します。
メニューからシステムMeanブラウザを選択します。
「アプリケーション定義のMBean」→「oracle.iam」→「サーバー: WLS_OIM1」→「アプリケーション: oim」→「IAMAppRuntimeMBean」を展開します。
「UMSEmailNotificationProviderMBean」をクリックします。
次を入力します。
WSUrl: http://IDMINTERNAL.mycompany.com:80/ucs/messaging/webservice
ポリシー: 空白のままにします。
CSFKey: Notification.Provider.Key
「適用」をクリックします。
ブラウザを使用してSSO.mycompany.comの証明書を取得します。(この方法については、使用するブラウザのドキュメントを参照してください。)ファイルを.pemフォーマットでIDMHOST1に保存します(例: /tmp/sso.pem)。
次に、JDK (Java Development Kit)の一部として提供されているkeytoolコマンドを使用して、証明書をSOAキーストアにインポートします。次のように実行します。
環境変数を設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
PATHをJAVA_HOME/bin:$PATHに設定します。
ディレクトリをWL_HOME/server/libに変更します。
cd WL_HOME/server/lib
次のコマンドを使用して、証明書をSOAキーストアに追加します。
keytool -import -file /tmp/sso.pem -alias SSOAlias -keystore DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase
デフォルトでは、Oracle Identity ManagementはLDAP container cn=Usersに属するすべてのユーザーを調整します。調整後、これらのユーザーはOracle Identity Managerで定義されている通常のパスワード・エイジング・ポリシーに従います。これらの処置は、システム・アカウントにとっては適切でありません。このリコンシリエーションから次のアカウントを除外することをお薦めします。
xelsysadm
oimLDAP
oamLDAP
リコンシリエーションからこれらのユーザーを除外し、失敗したリコンシリエーション・イベントを破棄するには、ODSMおよびOIMコンソールを使用して次の項に記載されている手順を実行します。
この項には次のトピックが含まれます:
ユーザーにオブジェクト・クラスorclAppIDUserをアタッチすることによって、OIMリコンシリエーションからそのユーザーを除外できます。
次の例はOracle Unified Directoryの例であり、Oracle Unified Directory用のODSMを使用します。Oracle Internet DirectoryまたはOracle Virtual Directoryを使用する場合は、OID/OVD用のODSMを使用してこれを実行できます。Oracle Unified Directory、Oracle Internet DirectoryまたはOracle Virtual Directory以外のディレクトリについては、システム・ドキュメントを参照してこの処理を行う方法を参照してください。
次のURLからODSMにログインします。
http://ADMIN.mycompany.com/odsm
除外するユーザーをホストしているいずれかのLDAPインスタンスに接続します。
サーバー: Oracle Unified Directoryのいずれかのホスト、例: IDMHOST1.mycompany.com
管理ポート: Oracle Unified Directoryの管理ポート(LDAP_DIR_ADMIN_PORT)、例: 4444
ユーザー名: ディレクトリ管理者、例: cn=oudadmin
サーバー証明書を信頼するかを尋ねられたら、信頼するように指定します。
「データ・ブラウザ」を選択します。
ディレクトリ・ツリーで除外対象のユーザーまで移動し、そのユーザーをクリックします。例: ルート→「dc=mycompany,dc=com」→「cn=systemids」→「cn=UserId」
「属性」タブをクリックします。
「オブジェクト・クラス」リスト(必須プロパティ内)で+記号をクリックします。
プロパティ名orclAppIDUserを入力します。
「適用」をクリックします。
除外対象のすべてのユーザーに対して手順1-8を繰り返します。
この手順は、失敗したリコンシリエーション・イベントをクリアするために必要です。失敗したリコンシリエーション・イベントは繰り返し再試行され、システムに不必要な負荷をかけます。
次のURLを使用して、OIM管理コンソールにxelsysadmユーザーでログインします: http://ADMIN.mycompany.com/sysadmin
「イベント管理」の下の「リコンシリエーション」をクリックします。
「拡張検索」をクリックします。
「現行のステータス」フィールドで「次と等しい」を選択します。「検索」ボックスで、リストから「作成に失敗しました」を選択します。
「検索」をクリックします。
各イベントを選択します。
「アクション」メニューから、「イベントのクローズ」を選択します。
「確認」ウィンドウで理由を入力します。たとえば、「失敗したリコンシリエーション・イベントを閉じる」などと入力します。
「クローズ」をクリックします。
「OK」をクリックし、確認メッセージを承認します。
Oracle Identity Managerは、デフォルトではweblogicというユーザー名を使用して、SOA管理者としてSOAに接続します。前の項では、Identity Management WebLogicドメインを管理するために、新しい管理者ユーザーを中央のLDAPストアでプロビジョニングしました。
次のインストール後の手順を実行して、Oracle Identity Managerが、中央のLDAPストアでプロビジョニングしたOracle WebLogic Server管理者ユーザーを使用できるようにします。これにより、Oracle Identity Managerは問題なくSOAに接続できるようになります。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、Enterprise Managerにログインします。
「Farm_IDMDomain」→「Identity and Access」→「OIM」→「oim(11.1.2.0.0)」を選択します。
メニューから「システムMBeanブラウザ」を選択するか、または右クリックしてこの項目を選択します。
「アプリケーション」を選択し、定義済Mbean→「oracle.iam」を選択します。「サーバー」には「WLS_OIM1」、「アプリケーション」には「oim」を選択します。XML構成→「構成」を選択し、「XMLConfig.SOAConfig」→「SOAConfig」を選択します。
username属性を、第9.4項「アイデンティティ・ストアの準備」でプロビジョニングしたOracle WebLogic Server管理者のユーザー名(例: weblogic_idm)に変更します。
「SOA構成RMI URL」を次のように変更します。
cluster:t3://soa_cluster
「SOA構成SOAP URL」を次のように変更します。
http://IDMINTERNAL.mycompany.com:80
「適用」をクリックします。
ナビゲータで「WebLogicドメイン」→「IDMDomain」を選択します。
ドロップダウン・メニューで「セキュリティ」→「資格証明」を選択します。
キーoimを開きます。
「SOAAdminPassword」をクリックします。
「編集」をクリックします。
ユーザー名をweblogic_idmに変更し、そのパスワードをアカウントのパスワードに設定します。
「OK」をクリックします。
調整プロセスを実行して、Oracle WebLogic Serverの管理者であるweblogic_idmをOIMアイデンティティ・コンソールで表示できるようにします。次の手順に従います。
URL http://ADMIN.mycompany.com/sysadminを使用して、OIM管理コンソールにxelsysadmユーザーでログインします。
「システム管理」の下の「スケジューラ」をクリックします。
検索ボックスにLDAP*と入力します。
「スケジュール済ジョブの検索」の矢印をクリックして、すべてのスケジューラを一覧表示します。
LDAPユーザー作成および完全なリコンシリエーションの更新を選択します。
「即時実行」をクリックしてジョブを実行します。
LDAPロール作成および完全なリコンシリエーションの更新のジョブを繰り返します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、OIMアイデンティティ・コンソールにログインします。検索を実行し、ユーザーweblogic_idmが表示されるかどうかを確認します。
URL https://SSO.mycompany.com:443/identityを使用して、OIMアイデンティティ・コンソールにユーザーxelsysadmでログインします。
要求されたら、チャレンジ質問を設定します。これは、Oracle Identity Managerアイデンティティ・コンソールへの最初のログイン時に発生します。
「管理」の下の「ロール」をクリックします。
管理者ロールを検索します。
「表示名」検索ボックスにAdministratorsと入力し、「検索」をクリックします。
「管理者」ロールをクリックします。
このロールの「プロパティ」ページが表示されます。
「メンバー」タブをクリックします。
「ルールの追加」をクリックします。
「オペランド値の選択」セクションから「ユーザー・ログイン」を選択し、「追加」をクリックします。
「値」ボックスにweblogic_idmと入力します。
「追加(A)」をクリックします。
「保存」をクリックします。
WebLogicコンソールにログインします。
「チェンジ・センター」で「ロックして編集」をクリックします。
「IDMDomain」→「サービス」→「外部JNDIプロバイダ」と移動します。
「ForeignJNDIProvider-SOA」をクリックします。
「構成」→「一般」タブの下で、ユーザーweblogicをweblogic_idmに変更し、対応するパスワードを指定します。
「保存」→「変更のアクティブ化」をクリックします。
次の各項の説明に従ってOracle Identity Managerを変更します。
この項には次のトピックが含まれます:
バック・エンド・ディレクトリがActive Directoryである場合は、長さが20文字までのユーザー名のみを許可するようにOracle Identity Managerを更新する必要があります。これはActive Directoryによる制限です。次の手順で、ユーザー名生成ポリシーをDefaultComboPolicyからFirstnameLastnamepolicyforADに更新します。
第12.2項「ドメインのURLについて」に記載されているURLを使用して、OIM管理コンソールにログインします。
「システム管理」の下の「システム構成」をクリックします。
「検索」ボックスに「ユーザー名の生成に関するデフォルト・ポリシー」と入力し、「検索」をクリックします。
「ユーザー名の生成に関するデフォルト・ポリシー」をクリックします。
「値」フィールドで、エントリをoracle.iam.identity.usermgmt.impl.plugins.DefaultComboPolicyからoracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForADに更新します。
「保存」をクリックします。
最初にインストールした時点で、Oracle Identity Managerには、その操作に必要な一連のデフォルト・システム・プロパティがあります。
アイデンティティ・ストアがActive Directoryに存在する場合は、システム・プロパティXL.DefaultUserNamePolicyImplをoracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForADまたはoracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicyForADに変更する必要があります。
その方法の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のシステム・プロパティの管理に関する項を参照してください。
この時点で、Oracle Identity Managerの構成をバックアップします。第17.6.3項「インストール時および構成時のバックアップの実行」で説明されているように、データベース、WebLogicドメインおよびLDAPディレクトリをバックアップします。
この項では、Oracle Identity ManagerとOracle Access Management Access Managerの統合方法について説明します。
この項には次のトピックが含まれます:
第12章「Oracle Identity Managerを追加するためのドメインの拡張」の説明に従ってOIM11gのインストールと構成が行われていることを確認します。
第11章「Oracle Access Managementを追加するためのドメインの拡張」の説明に従ってOracle Access Managementのインストールと構成が行われていることを確認します。
第10.2.3項「Oracle HTTP Serverのインストール」の説明に従ってOHSのインストールと構成が行われていることを確認します。
第11.6.3項「IDM構成ツールを使用したAccess Managerの構成」でパラメータOAM11G_OIM_INTEGRATION_REQをtrueに設定してidmConfigToolを実行した場合、この手順はスキップできます。
OAM11G_INTEGRATION_FLAGをfalseに設定してこのコマンドを実行した場合は、OAM11G_OIM_INTEGRATION_REQをtrueに設定し、OAM11G_OIM_OHS_URLに値を指定してこのコマンドを再実行する必要があります。
Access Managerをシンプル・セキュリティ・トランスポートで使用している場合は、第11.11項「Access Managerと他のコンポーネントを統合するための単一のキーストアの作成」で生成したOAMキーストア・ファイルをIDMHOST1およびIDMHOST2にコピーする必要があります。キーストア・ファイルssoKeystore.jksおよびoamclient-truststore.jksを、IDMHOST1およびIDMHOST2のMSERVER_HOME/config/fmwconfigにコピーします。
Webゲート・プロファイルを使用したOracle Identity ManagerとAccess Managerの統合では、Access Manager Trusted Authentication Protocol (TAP)スキームを利用します。これは以前のリリースとは異なる点です。以前のリリースでは、Network Assertion Protocol (NAP)を使用していました。
Access ManagerとOracle Identity Managerを統合するには、IDMHOST1で次の手順を実行します。
MW_HOMEをIAM_MW_HOMEに設定します。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
oimitg.propsという統合用のプロパティ・ファイルを、次の内容で作成します。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: IDMHOST1.mycompany.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .mycompany.com
COOKIE_EXPIRY_INTERVAL: 120
OAM_TRANSFER_MODE: simple
WEBGATE_TYPE: ohsWebgate11g
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 389
IDSTORE_HOST: IDSTORE.mycompany.com
IDSTORE_DIRECTORYTYPE: OUD, OID or OVD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=systemids,dc=mycompany,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com
IDSTORE_LOGINATTRIBUTE: uid
MDS_DB_URL: jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=tcp)(host=IDMDBHOST1-VIP.mycompany.com)(port=1521))(ADDRESS=(protocol=tcp)(host=IDMDBHOST2-VIP.mycompany.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=OIMEDG.mycompany.com)))
MDS_DB_SCHEMA_USERNAME: EDG_MDS
OIM_MANAGED_SERVER_NAME: WLS_OIM1
WLSADMIN: weblogic
WLSPORT: 7001
WLSHOST: ADMINVHN.mycompany.com
DOMAIN_NAME: IDMDomain
DOMAIN_LOCATION: ASERVER_HOME
ここで:
ACCESS_SERVER_PORTはアクセス・サーバーのプロキシ・ポートです。これは、第B.3項のOAM_PROXY_PORTに相当します。
OAM_TRANSFER_MODEは、簡易モードを使用してリクエストを受け入れるようにアクセス・マネージャ・サーバーが構成されている場合、simpleに設定します。それ以外の場合は、OAM_TRANSFER_MODEをopenに設定します。
SSO_ENABLED_FLAGは常にtrueに設定します。
WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。有効な値はohsWebgate11gおよびohsWebgate10です。
IDSTORE_HOSTは、アイデンティティ・ストアからの接続を受け付けるロード・バランサの仮想ホストです(LDAP_LBR_HOST)。
IDSTORE_PORTは、アイデンティティ・ストアからの接続を受け付けるロード・バランサの仮想ポートです(LDAP_LBR_PORT)。
IDSTORE_DIRECTORYTYPEは、Oracle Virtual Directoryを使用してOID以外のディレクトリまたはOracle Internet Directoryのいずれかに接続する場合にOVDに設定します。アイデンティティ・ストアがOracle Internet Directory内にある場合はOIDに設定します。Oracle Unified Directoryに接続する場合はOUDに設定します。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を記述したLDAP属性です。
MDS_DB_URLには、データベースのJDBC接続情報を次の形式で格納します: jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=tcp)(host=IDMDBHOST1-VIP.mycompany.com)(port=1521))(ADDRESS=(protocol=tcp)(host=IDMDBHOST2-VIP.mycompany.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=OIMEDG.mycompany.com)))、ここで1521は第B.3項のDB_LSNR_PORTに相当します。
MDS_DB_SCHEMA_USERNAMEは、MDSデータが格納されるアイデンティティ管理データベースのスキーマの名前です。第6.6項「RCUを使用したOracle RAC DatabaseへのIdentity Managementスキーマのロード」を参照してください。
OIM_MANAGED_SERVER_NAMEは、いずれかのOIM管理対象サーバーの名前です。いずれを使用しても問題ありません。
WLSHOST (ADMINVHN)は管理サーバーのホストであり、第B.3項のWLS_ADMIN_HOSTに相当します。これは仮想名です。
WLSPORTは管理サーバーのポートであり、第B.3項のWLS_ADMIN_PORTに相当します。
WLSADMINは、WebLogicコンソールへのログインで使用するWebLogic管理ユーザーです。
DOMAIN_NAMEは、Oracle Identity Managerをホストするドメインの名前です。
DOMAIN_LOCATIONは、ディスク上でのドメインのパス、つまりASERVER_HOMEです。
次の場所にあるコマンドidmConfigToolを使用して、Access ManagerとOracle Identity Managerを統合します。
IAM_ORACLE_HOME/idmtools/bin
|
注意:
|
このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOIM input_file=configfile
例:
IAM_ORACLE_HOME/idmtools/bin/idmConfigTool.sh -configOIM input_file=oimitg.props
スクリプトを実行すると、次の情報を求められます。
アクセス・ゲートのパスワード
SSOキーストアのパスワード
グローバル・パスフレーズ
Idstore管理パスワード
MDSデータベース・スキーマのパスワード
管理サーバーのユーザー・パスワード
出力例:
Enter sso access gate password : Enter sso keystore jks password : Enter sso global passphrase : Enter mds db schema password : Enter idstore admin password : Enter admin server user password : ********* Seeding OAM Passwds in OIM ********* Completed loading user inputs for - CSF Config Completed loading user inputs for - Dogwood Admin WLS Connecting to t3://ADMINVHN.mycompany.com:7001 Connection to domain runtime mbean server established Seeding credential :SSOAccessKey Seeding credential :SSOGlobalPP Seeding credential :SSOKeystoreKey ********* ********* ********* ********* Activating OAM Notifications ********* Completed loading user inputs for - MDS DB Config Apr 3, 2012 11:56:09 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Initialized MDS resources Apr 3, 2012 11:56:09 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources Notifications activated. ********* ********* ********* ********* Seeding OAM Config in OIM ********* Completed loading user inputs for - OAM Access Config Validated input values Initialized MDS resources Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Download from DB completed Releasing all resources Updated /u01/oracle/products/access/iam/server/oamMetadata/db/oim-config.xml Initialized MDS resources Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources OAM configuration seeded. Please restart oim server. ********* ********* ********* ********* Configuring Authenticators in OIM WLS ********* Completed loading user inputs for - LDAP connection info Connecting to t3://ADMINVHN.mycompany.com:7001 Connection to domain runtime mbean server established Starting edit session Edit session started Connected to security realm. Validating provider configuration Validated desired authentication providers Created OAMIDAsserter successfuly OAMIDAsserter is already configured to support 11g webgate Created OIMSignatureAuthenticator successfuly Created OVDAuthenticator successfuly Setting attributes for OVDAuthenticator All attributes set. Configured inOVDAuthenticatornow LDAP details configured in OVDAuthenticator Control flags for authenticators set sucessfully Reordering of authenticators done sucessfully Saving the transaction Transaction saved Activating the changes Changes Activated. Edit session ended. Connection closed sucessfully ********* ********* ********* The tool has completed its operation. Details have been logged to automation.log
|
注意: このスクリプトの実行時にすでに第15.3項「WebLogicセキュリティ・プロバイダの構成」の説明に従ってWebLogic管理コンソールでシングル・サインオンを有効にしている場合、実行時に次のエラーが表示されることがあります。 ERROR: Desired authenticators already present. [Ljava.lang.String;@7fdb492] ERROR: Error occurred while configuration. Authentication providers to be configured already present. ERROR: Rolling back the operation.. これらのエラーは無視できます。 |
ログ・ファイルを確認し、必要に応じてエラーを修正します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーを再起動します。
既存のLDAPユーザーを、オブジェクト・クラスOblixPersonPwdPolicy、OIMPersonPwdPolicy、およびOblixOrgPersonで更新する必要があります。
|
注意: これは、既存のユーザーを持たない新規設定の場合、必要ありません。 |
IDMHOST1で、user.propsという統合用のプロパティ・ファイルを次の内容で作成します。
IDSTORE_HOST: IDSTORE.mycompany.com IDSTORE_PORT: 389 IDSTORE_ADMIN_USER: cn=oudadmin IDSTORE_DIRECTORYTYPE: OUD, OID, or OVD IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com PASSWORD_EXPIRY_PERIOD: 7300 IDSTORE_LOGINATTRIBUTE: uid
ここで:
IDSTORE_HOSTはLDAPサーバーの名前です。例:
IDSTORE.mycompany.com
IDSTORE_PORTはLDAPサーバーのポートです。
IDSTORE_ADMIN_USERは、管理ユーザーのバインドDNです。例:
cn=orcladminまたはcn=oudadmin
IDSTORE_DIRECTORYTYPEはディレクトリのタイプです。有効な値はOUD、OIDおよびOVDです。
IDSTORE_USERSEARCHBASEは、ディレクトリ内でのユーザーの場所です。例:
cn=Users,dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASEは、ディレクトリ内でのグループの場所です。例:
cn=Groups,dc=mycompany,dc=com
IDSTORE_LOGINATTRIBUTEはディレクトリのログイン属性名です。例:
uid
PASSWORD_EXPIRY_PERIODはパスワードの有効期間です。
ORACLE_HOMEをIAM_ORACLE_HOMEに設定します。
MW_HOMEをMW_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
IAM_ORACLE_HOME/idmtools/binにあるコマンドidmConfigToolを使用して、既存のLDAPを更新します。
|
注意:
|
このコマンドの構文は次のとおりです。
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=configfile
例:
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=user.props
アイデンティティ・ストアへの接続で使用するユーザーのパスワードの入力を求められたら、そのパスワードを入力します。
出力例:
Enter IDSTORE_ADMIN_PASSWD : ********* Upgrading LDAP Users With OAM ObjectClasses ********* Completed loading user inputs for - LDAP connection info Completed loading user inputs for - LDAP Upgrade Upgrading ldap users at - cn=Users,dc=mycompany,dc=com Parsing - cn=weblogic_idm,cn=Users,dc=mycompany,dc=com objectclass OIMPersonPwdPolicy not present in cn=weblogic_idm,cn=Users,dc=mycompany,dc=com. Seeding it obpasswordexpirydate added in cn=weblogic_idm,cn=Users,dc=mycompany,dc=com Parsing - cn=oamadmin,cn=Users,dc=mycompany,dc=com objectclass OIMPersonPwdPolicy not present in cn=oamadmin,cn=Users,dc=mycompany,dc=com. Seeding it obpasswordexpirydate added in cn=oamadmin,cn=Users,dc=mycompany,dc=com Finished parsing LDAP LDAP Users Upgraded.
|
関連項目:
|
Oracle Access Management Access ManagerとOracle Identity Managerを統合した後は、LDAP属性uidを使用してユーザー検証を実行するようにTAP認証スキームを更新する必要があります。
次のように実行します。
http://ADMIN.mycompany.com/oamconsoleからOAMコンソールにログインします。
「ポリシー構成」をクリックします。
「認証スキーム」の下でTAPResponseOnlySchemeをクリックします。
「開く」をクリックします。
「チャレンジ・パラメータ」フィールドにMatchLDAPAttribute=uidを追加します。
「適用」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとAccess Managerの管理対象サーバーを再起動します。
Oracle Identity ManagerとAccess Managerを統合した後は、2つのxelsysadmアカウントが存在します。1つはOracle Identity Managerで作成された内部アカウントです。もう1つは、第9.4項「アイデンティティ・ストアの準備」でアイデンティティ・ストア内に作成したアカウントです。
LDAPストアにあるxelsysadmアカウントは、OIMコンソールへのアクセスに使用するアカウントです。このアカウントのパスワードを変更する場合は、LDAPでこれを変更します。これはODSMを使用して行うことができます。OIMコンソールを介してこれを変更しないでください。
統合を検証するには、第15章「エンタープライズ・デプロイメントにおける管理コンソールのシングル・サインオンの構成」の説明に従って、Identity Management管理者をWebLogicセキュリティ・グループに割り当て、Webゲートをインストールする必要があります。
Access ManagerとOracle Identity Manager 11gが正常に接続されていることを検証するには、次のようにしてOracle Identity Managerセルフ・サービス・コンソールへのログインを試みます。
ブラウザを使用して次のアドレスにアクセスします。
https://SSO.mycompany.com/identity
これにより、OAM11gシングル・サインオン・ページにリダイレクトされます。
第9.4項「アイデンティティ・ストアの準備」で作成したxelsysadmユーザー・アカウントを使用してログインします。
「OIMセルフ・サービス・コンソール」ページが表示されれば、統合は成功です。
次の手順に従って追加の検証を実行します。
OIMコンソールにxelsysadmユーザーとしてログインします。
新規ユーザーを作成します。
xelsysadmユーザーとしてログアウトします。
新しく作成したユーザーでログインします。新規ユーザーであるため、「パスワード管理」ページにリダイレクトされます。
資格証明を入力し、「送信」をクリックします。統合が正しく実行されているならば、アクセスしようとしているページに転送されます。
