Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.1) B71694-06 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Identity Managementエンタープライズ・デプロイメント・トポロジで使用するために、Oracle Identity Managerのインストールと構成を行う方法について説明します。
この章の内容は次のとおりです。
第12.7項「Oracle Identity ManagerおよびOracle SOA Suiteを構成するためのドメインの拡張」
第12.8項「IDMHOST1およびIDMHOST2の管理対象サーバーのドメイン・ディレクトリへのOracle Identity ManagerおよびOracle SOAの展開」
第12.12項「IDMHOST1およびIDMHOST2でのSOAおよびOracle Identity Managerの管理対象サーバーの起動」
第12.13項「IDMHOST1およびIDMHOST2におけるOracle Identity Managerインスタンスの確認」
第12.20項「LDAPでプロビジョニングした管理ユーザーを使用したOracle Identity ManagerからSOAへの接続の有効化」
第12.21項「Active DirectoryをサポートするためのOracle Identity Managerの変更」
第12.23項「Oracle Identity ManagerとOracle Access Management Access Managerの統合」
Oracle Identity Managerは、アプリケーションおよびディレクトリからユーザー・アカウントを追加、更新および削除するプロセスを自動化するユーザー・プロビジョニングおよび管理ソリューションです。また、誰が何にアクセスしたかを示すきめ細かいレポートを提供することで、法規制コンプライアンスの向上にも寄与します。Oracle Identity Managerは、スタンドアロンの製品としても、Oracle Identity Managementの一部としても利用できます。
ユーザー・アイデンティティのプロビジョニングを自動化すると、情報テクノロジ(IT)の管理コストを削減でき、セキュリティを向上できます。また、プロビジョニングは規制遵守においても重要な役割を果たします。Oracle Identity Managerの主要機能には、パスワード管理、ワークフローとポリシーの管理、アイデンティティ調整、レポートと監査、アダプタによる拡張性などがあります。
Oracle Identity Managerには、次の主要機能が用意されています。
ユーザー管理
ワークフローとポリシー
パスワード管理
監査とコンプライアンスの管理
統合ソリューション
ユーザー・プロビジョニング
組織とロールの管理
Oracle Identity Managerの詳細は、Oracle Fusion Middleware Oracle Identity Manager管理者ガイドを参照してください。
この章を完了すると、次のURLが利用可能になります。
ドメインをOracle Identity Managerで拡張する前に、次の作業が行われたことを確認してください。
Oracle Identity ManagerおよびSOAの管理対象サーバーの仮想IPアドレスがプロビジョニングされ、有効になっていることを確認します。詳細は、第3.5項「IPアドレスおよび仮想IPアドレスについて」を参照してください。
第12.5項「wlfullclient.jarファイルの作成」の説明に従ってwlfullclient.jarファイルが作成されていることを確認します。
アイデンティティ・ストアがインストールされ、構成されていることを確認します。
第9.4項「アイデンティティ・ストアの準備」の説明に従って、Oracle Identity Managementのユーザーをプロビジョニングします。
Oracle Identity Managerを使用してドメインを拡張する前に、第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、ドメイン内で動作しているすべての管理対象サーバーを停止します。
注意: Oracle Identity Managerとともに配置したOracle SOAは、Oracle Identity Managerのワークフロー専用に使用されます。他の目的では使用できません。 |
構成ウィザードのバージョンの問題のため、一部の環境変数はASERVER_HOME
/bin/setDomainenv.sh
スクリプトに追加されません。このため、特定のインストール・シーケンスが失敗します。この項は、この問題の一時的な回避策です。この項の手順は、Oracle Identity Managerをホストするドメインに関連付けられているすべてのMW_HOME(つまりIAM_MW_HOME)に対して実行する必要があります。
ドメインのすべてのWebLogic Serverホームで次の手順を適用します。
IAM_ORACLE_HOME
/server/loginmodule/wls
ディレクトリにあるOIMAuthenticator.jar
、oimmbean.jar
、oimsigmbean.jar
およびoimsignaturembean.jar
の各ファイルを、IAM_MW_HOME
/wlserver_10.3/server/lib/mbeantypes
ディレクトリにコピーします。
cp $IAM_ORACLE_HOME/server/loginmodule/wls/* $IAM_MW_HOME/wlserver_10.3/server/lib/mbeantypes
ディレクトリをMW_HOME
/wlserver_10.3/server/lib/mbeantypes/
に変更します。
cd $IAM_MW_HOME/wlserver_10.3/server/lib/mbeantypes
chmod
コマンドを使用して、これらのファイルに関する権限を750に変更します。
chmod 750 *
Oracle Identity Managerは、特定の操作にwlfullclient.jar
ライブラリを使用します。このライブラリは出荷されていないため、手動で作成する必要があります。環境のアプリケーション層でOracle Identity Managerをホストしているすべてのマシンで、IAM_MW_HOME
/wlserver_10.3/server/lib
ディレクトリの下にこのライブラリを作成することをお薦めします(IAM_MW_HOME、OIM_MW_HOMEなど)。
次の手順に従って、wlfullclient.jar
ファイルを作成します。
Oracle SOAは、クォーツを使用してそのジョブとスケジュールをデータベースで管理します。ジョブ、アダプタおよびOracle B2Bを正常に機能させるため、SOA WebLogicクラスタのシステム・クロックを同期させます。
Oracle Identity Managerを追加するにはドメインを拡張する必要があります。ドメインの拡張は、ドメインの管理サーバーを実行しているホストから行う必要があります。これは、IDMHOST1上のドメインIDMDomainです。
Oracle Identity Managerを使用してドメインを拡張するには、IDMHOST1上で次のコマンドを実行して構成ウィザードを開始します。
ORACLE_COMMON_HOME/common/bin/config.sh
次のように実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。
「次へ」をクリックします。
「WebLogicドメイン・ディレクトリの選択」画面で、IDMDomainのドメイン・ディレクトリの場所を選択します。例: /u01/oracle/config/domains/IDMDomain
「次へ」をクリックします。
「拡張ソースの選択」画面で、「以下の追加製品をサポートするために、自動的にドメインを拡張する:」を選択します。下にあるリストで、Oracle Identity Managerを選択します。
注意:
|
「次へ」を選択します。
「JDBCコンポーネント・スキーマの構成」画面で、次の手順を実行します。
ページに表示されているすべてのデータ・ソースを選択します。
SOAインフラストラクチャ
ユーザー・メッセージング・サービス
OIM MDSスキーマ
OWSM MDSスキーマ
SOA MDSスキーマ
OIMスキーマ
「GridLinkへ変換」を選択します。
「次へ」をクリックします。
GridLink RACコンポーネント・スキーマ画面が表示されます。この画面で、次の各フィールドに値を入力して、RCUでシードされたOracle RACデータベースの接続情報を指定します。
該当するコンポーネント用のすべてのスキーマを選択します。これまでに構成済のコンポーネントに指定しているスキーマは選択しないでください。
各エントリに対して次の共通の情報を指定します。
ドライバ: OracleのGridLink接続用ドライバ(Thin)、バージョン:10以降を選択します。
「FANの有効化」を選択します。
次のいずれかの操作を実行します。
ONS通知を暗号化するためのSSLが構成されていない場合は、「SSL」の選択を解除します。
SSLを選択し、適切なWalletおよびWalletのパスワードを指定します。
サービス・リスナー: 使用するRACデータベースのためのSCANアドレスとポートを入力します。このアドレスは、データベース内のパラメータremote_listener
を問い合せれば識別できます。
SQL>show parameter remote_listener; NAME TYPE VALUE ------------------------------------------------------------- remote_listener string DB-SCAN.mycompany.com:1521
注意: Oracle Database 11gリリース1 (11.1)の場合は、各データベース・インスタンス・リスナーの仮想IPとポートを使用します。例: DBHOST1-VIP.mycompany.com (port 1521) および
DBHOST2-VIP.mycompany.com (port 1521) (DB_LSNR_PORT)
Oracle Database 10gの場合は、マルチ・データ・ソースを使用してOracle RACデータベースに接続します。複数のデータ・ソースの構成に関する情報は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のODSMを使用した複数のディレクトリ・アイデンティティ・ストア用のアダプタの検証に関する項を参照してください。 |
ONSホスト: Oracle RACデータベースのSCANアドレスおよびデータベースから報告されたONSリモート・ポートを入力します。
srvctl config nodeapps -s ONS exists: Local port 6100, remote port 6200, EM port 2016
注意: Oracle Database 11g リリース1 (11.1)では、次の例のように、各データベースのONSサービスのホスト名とポートを使用します。 DBHOST1.mycompany.com (port 6200) および DBHOST2.mycompany.com (port 6200) |
次のRACコンポーネント・スキーマ情報を入力します。
スキーマの名前 | サービス名 | スキーマの所有者 | パスワード |
---|---|---|---|
|
|
EDG_OIM |
|
|
|
EDG_SOAINFRA |
|
|
|
EDG_ORASDPM |
|
|
|
EDG_MDS |
|
|
|
EDG_MDS |
|
|
|
EDG_MDS |
|
RACマルチ・データソースを使用する場合は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のODSMを使用した複数のディレクトリ・アイデンティティ・ストア用のアダプタの検証に関する項を参照してください。
「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、構成ウィザードによりデータ・ソースを検証します。データ・ソースの検証が成功した場合、「次へ」をクリックします。失敗した場合、「前へ」をクリックして問題に対処してから、再試行します。
「次へ」をクリックします。
「オプションの構成を選択」画面で、次を選択します。
JMS分散宛先
管理対象サーバー、クラスタ、およびマシン
JMSファイル・ストア
「次へ」をクリックします。
「JMS分散宛先」画面で、画面にあるJMSシステム・リソースのすべてが共通分散宛先であることを確認します。そうでない場合、「UDD」をドロップダウンから選択します。エントリが次のようになることを確認します。
JMSシステム・リソース | 共通/重み設定された分散宛先 |
---|---|
UMSJMSSystemResource |
|
SOAJMSModule |
|
OIMJMSModule |
|
BPMJMSModule |
|
JRFWSAsyncjmsModule |
|
「次へ」をクリックします。
「オーバーライドの警告」ボックスに次のメッセージが表示されます。
CFGFWK-40915: At least one JMS system resource has been selected for conversion to a Uniform Distributed Destination (UDD). This conversion will take place only if the JMS System resource is assigned to a cluster
「OK」を「オーバーライドの警告」ボックスでクリックします。
「管理対象サーバーの構成」画面を初めて表示すると、oim_server1およびsoa_server1の2つの管理対象サーバーが自動的に作成されます。soa_server1をWLS_SOA1に、oim_server1をWLS_OIM1にそれぞれ名前変更し、その各属性を次の表のように更新します。さらに、次の属性を持つWLS_OIM2およびWLS_SOA2という2つの新しい管理対象サーバーを追加します。
名前 | Listen address | Listen port | ポート変数 | SSLリスニング・ポート | SSL有効 |
---|---|---|---|---|---|
WLS_SOA1 |
SOAHOST1VHN |
|
|
N/A |
いいえ |
WLS_SOA2 |
SOAHOST2VHN |
|
|
N/A |
いいえ |
WLS_OIM1 |
OIMHOST1VHN |
|
|
N/A |
いいえ |
WLS_OIM2 |
OIMHOST2VHN |
|
|
N/A |
いいえ |
注意:
|
「クラスタの構成」画面で、「追加」をクリックして各クラスタを作成します。次の情報を指定します。
名前 | メッセージング・モード | マルチキャスト・アドレス | マルチキャスト・ポート | クラスタ・アドレス |
---|---|---|---|---|
oim_cluster |
ユニキャスト |
n/a |
n/a |
OIMHOST1VHN:14000、OIMHOST2VHN:14000脚注 1 |
soa_cluster |
ユニキャスト |
n/a |
n/a |
SOAHOST1VHN:8001、SOAHOST2VHN:8001脚注 2 |
脚注 1 14000は第B.3項のOIM_PORTに相当します。
脚注 2 8001は第B.3項のSOA_PORTに相当します。
他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
注意: これまでのデプロイメントの過程で構成されたクラスタの構成は変更しないでください。 |
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタと関連付けます。クラスタ名を右側のペインでクリックします。「サーバー」で管理対象サーバーをクリックしてから矢印をクリックして、クラスタに割り当てます。次の値を割り当てます。
クラスタ | サーバー |
---|---|
oim_cluster |
WLS_OIM1 |
WLS_OIM2 |
|
soa_cluster |
WLS_SOA1 |
WLS_SOA2 |
注意: エントリがすでに定義されているクラスタは変更しないでください。 |
「次へ」をクリックします。
「マシンの構成」画面で、トポロジ内の各ホストに対してマシンがまだ作成されていない場合、マシンを作成します。
「Unixマシン」タブをクリックします。
名前: ホスト名です。DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのDNS名です。
ノード・マネージャ・ポート: ノード・マネージャのポートです。
次の表に示す情報を指定します。
名前 | ノード・マネージャのリスニング・アドレス | ノード・マネージャ・リスニング・ポート | ポート変数 |
---|---|---|---|
|
|
|
|
|
|
|
|
他のフィールドはすべてデフォルト値のままとします。
「マシン」タブの下のデフォルトのローカル・マシン・エントリを削除します。
「次へ」をクリックします。
「サーバーのマシンへの割当」画面で、次のようにサーバーをマシンに割り当てます。
IDMHOST1: WLS_OIM1
およびWLS_SOA1
IDMHOST2: WLS_OIM2
およびWLS_SOA2
「次へ」をクリックして、続行します。
「JMSファイル・ストアの構成」画面で、JMSファイル・ストアのディレクトリの場所を更新します。次の表に示す情報を指定します。
名前 | ディレクトリ |
---|---|
UMSJMSFileStore_auto_1 |
|
UMSJMSFileStore_auto_2 |
|
BPMJMSServer_auto_1 |
|
BPMJMSServer_auto_2 |
|
SOAJMSFileStore_auto_1 |
|
SOAJMSFileStore_auto_2 |
|
OIMJMSFileStore_auto_1 |
|
OIMJMSFileStore_auto_2 |
|
JRFWSAsyncFileStore_auto_1 |
|
JRFWSAsyncFileStore_auto_2 |
|
「次へ」をクリックします。
「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。
「インストール 完了」画面で「完了」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
構成が完了したら、IDMHOST1およびIDMHOST2の管理対象サーバーのディレクトリにOracle Identity Managerの構成を伝播する必要があります。
これを行うには、ドメインのパックと解凍を実行します。最初にIDMHOST1のIDMDomainでドメインのパックを実行し、次にIDMHOST1およびIDMHOST2でそれを解凍します。
次の手順を実行して、管理対象サーバーのドメイン・ディレクトリにドメインを伝播します。
IDMHOST1上で、ORACLE_COMMON_HOME
/common/bin/
からpackユーティリティを起動します。
./pack.sh -domain=ASERVER_HOME -template=oim_domain.jar -template_name="OIM Domain" -managed=true
これによってoim_domain.jar
というファイルが作成されます。このファイルをIDMHOST2にコピーします。
IDMHOST1とIDMHOST2でunpackユーティリティを起動します。このユーティリティもORACLE_COMMON_HOME
/common/bin/
ディレクトリにあります。
./unpack.sh -domain=MSERVER_HOME -template=oim_domain.jar -overwrite_domain=true -app_dir=MSERVER_HOME/applications
コンポジットのデプロイではマルチキャスト通信がデフォルトで使用されますが、SOAエンタープライズ・デプロイメントではユニキャスト通信の使用をお薦めします。セキュリティ上の理由からマルチキャスト通信を無効化した場合には、ユニキャスト通信を使用します。
ユニキャスト通信を使用した場合、この方法ではノードから他のクラスタ・メンバーを検出できません。そのため、クラスタに属するノードを指定する必要があります。ただし、クラスタのすべてのノードを指定する必要はありません。クラスタに追加された新しいノードが既存ノードの1つを検出するために必要なノードを指定するだけで済みます。これによって、新しいノードがクラスタに追加されたときに、クラスタ内の他のすべてのノードを検出できるようになります。また、同じシステムで複数のIPを使用できるSOAエンタープライズ・デプロイメントなどの構成では、特定のホスト名を使用してOracle Coherenceクラスタを作成するようにOracle Coherenceを構成する必要があります。
注意: デプロイメントに使用するOracle Coherenceフレームワークの構成が正しくないと、SOAシステムを起動できないことがあります。SOAシステムが実行されるネットワーク環境に応じてデプロイメント・フレームワークを適切にカスタマイズする必要があります。この項で説明する構成をお薦めします。 |
この項には次のトピックが含まれます:
tangosol.coherence.wka
<n>
システム・プロパティを使用してノードを指定します。<n>
は、1から9の数字です。最大9つのノードを指定できます。番号は、1から開始します。連続した番号を指定する必要があり、途切れていてはなりません。また、Oracle Coherenceでクラスタを作成するために使用するホスト名をtangosol.coherence.localhost
システム・プロパティで指定します。このローカル・ホスト名には、SOAサーバーでリスナーのアドレスとして使用する仮想ホスト名を指定する必要があります(SOAHOST1VHNとSOAHOST2VHN)。このプロパティを設定するには、Oracle WebLogic Server管理コンソールの「サーバーの起動」タブにある「引数」フィールドに-Dtangosol.coherence.localhost
パラメータを追加します。
管理コンソールを使用して、Oracle Coherenceで使用するホスト名を指定します。
Oracle Coherenceで使用するホスト名を追加する手順は次のとおりです。
Oracle WebLogic Server管理コンソールにログインします。
「ドメイン構造」ウィンドウで「環境」ノードを開きます。
「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
表の「名前」列にハイパーリンクで表示されているサーバーの名前(WLS_SOA1またはWLS_SOA2)をクリックします。選択したサーバーの設定ページが表示されます。
「ロックして編集」をクリックします。
「サーバーの起動」タブをクリックします。
「引数」フィールドで、WLS_SOA1とWLS_SOA2について次のように入力します。
WLS_SOA1については次の値を入力します。
-Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST1VHN
WLS_SOA2については次の値を入力します。
-Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST2VHN
注意: 異なる |
注意: デプロイメントで使用されるCoherenceクラスタでは、ポート8088をデフォルトで使用します。このポートは、起動パラメータ-Dtangosol.coherence.wkan.portおよび-Dtangosol.coherence.localportで別なポート(8089など)を指定することで変更できます。例: WLS_SOA1(「引数」フィールドに、改行なしで1行で次のように入力): -Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST1VHN -Dtangosol.coherence.localport=8089 -Dtangosol.coherence.wka1.port=8089 -Dtangosol.coherence.wka2.port=8089 WLS_SOA2(「引数」フィールドに、改行なしで1行で次のように入力): -Dtangosol.coherence.wka1=SOAHOST1VHN -Dtangosol.coherence.wka2=SOAHOST2VHN -Dtangosol.coherence.localhost=SOAHOST2VHN -Dtangosol.coherence.localport=8089 -Dtangosol.coherence.wka1.port=8089 -Dtangosol.coherence.wka2.port=8089 Coherenceクラスタの詳細は、『Oracle Coherence開発者ガイド』を参照してください。 |
「保存」→「変更のアクティブ化」をクリックします。
注意:
|
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用してIDMHOST1上のWebLogic管理サーバーを停止します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、ノード・マネージャを使用してIDMHOST1上の管理サーバーを起動します。
SOAサーバーWLS_SOA1
を起動します。
必要に応じて、第12.3項「前提条件」でシャットダウンした他のサーバーを起動します。
Oracle Identity ManagerおよびSOAの管理対象サーバーを起動する前に、Oracle Identity Managerサーバー・インスタンスを構成しておく必要があります。これはIDMHOST1で実行します。Oracle Identity Management構成ウィザードによって、Oracle Identity Managerメタデータがデータベースにロードされ、インスタンスが構成されます。
続行する前に、次の事項が正しいことを確認してください。
管理サーバーが起動されて、実行中であること。
SOA管理対象サーバーが起動されて、実行中であること。
環境変数DOMAIN_HOME
およびWL_HOME
が現在のシェル内で設定されていないこと。
Oracle Identity Managementの構成ウィザードは、Identity ManagementのOracleホームの下にあります。構成ウィザードを起動するには、次のように入力します。
IAM_ORACLE_HOME
/bin/config.sh
次のように実行します。
「ようこそ」画面で、「次へ」をクリックします。
構成するコンポーネント画面でOIMサーバーを選択します。
「次へ」をクリックします。
「データベース」画面で、次の値を入力します。
接続文字列: Oracle Identity Managerデータベースの接続文字列。
IDMDB1-VIP.mycompany.com:1521:OIMEDG1^IDMDB2-VIP.mycompany.com:1521:OIMEDG2@OIMEDG.mycompany.com
、ここで1521
は第B.3項のDB_LSNR_PORT
ポートに相当します。
Oracle Database 11.2を使用している場合は、vip
のアドレスとポートを11.2 SCANのアドレスとポートに置き換えます。
OIMスキーマ・ユーザー名: EDG_OIM
OIMスキーマのパスワード: password
MDSスキーマ・ユーザー名: EDG_MDS
MDSスキーマのパスワード: password
「次へ」をクリックします。
WebLogic管理サーバー画面で、WebLogic管理サーバーについて次の詳細を入力します。
URL: WebLogic管理サーバーに接続するためのURLです。例:
t3://ADMINVHN.mycompany.com:7001
、ここでポート7001
はWLS_ADMIN_PORT
です。
ユーザー名: weblogic
パスワード: weblogic
ユーザーのパスワードです。
「次へ」をクリックします。
OIMサーバー画面で、次の値を入力します。
OIM管理パスワード: Oracle Identity Manager管理者のパスワード。これはxelsysadm
ユーザーのパスワードです。このパスワードには、大文字と数字を使用する必要があります。ベスト・プラクティスは、第9.4項「アイデンティティ・ストアの準備」でユーザーxelsysadm
に割り当てたパスワードと同じパスワードを使用することです。
パスワードの確認: パスワードを確認するためのものです。
OIM HTTP URL: Oracle Identity ManagerサーバーのプロキシURL。これは、Oracle Identity ManagerのOHSサーバーのフロントエンドに位置するハードウェア・ロード・バランサのURLです。例: http://IDMINTERNAL.mycompany.com:80
LDAP同期の有効化: 選択されています。
「次へ」をクリックします。
「LDAPサーバー」画面では、入力する情報が実際の実装によって異なります。次の詳細を指定します。
ディレクトリ・サーバー・タイプ:
アイデンティティ・ストアがOracle Unified Directoryの場合、OUD
。
アイデンティティ・ストアがOracle Internet Directory内にある場合、OID
。
Oracle Virtual Directoryを通じてアイデンティティ・ストアにアクセスする場合、OVD
。
ディレクトリ・サーバーID: ディレクトリ・サーバーの名前。たとえば、IdStore
を指定します。これは、ディレクトリ・タイプがOID
またはOUD
である場合にのみ必要です。
サーバーURL: LDAPサーバーのURL。例: ldap://IDSTORE.mycompany.com:389
サーバーのユーザー: LDAPサーバーに接続するためのユーザー名。例: cn=oimLDAP,cn=systemids,dc=mycompany,dc=com
サーバーのパスワード: LDAPサーバーに接続するためのパスワード。
サーバー検索DN: Oracle Virtual Directoryサーバーを使用してIDストアにアクセスする場合の検索DN。たとえば、dc=mycompany,dc=com
です。
「次へ」をクリックします。
LDAPサーバー(続き)画面で、次のLDAPサーバー詳細を入力します。
LDAPロールコンテナ: ロール・コンテナのDNです。これは、Oracle Identity Managerのロールが保存されるコンテナです。例: cn=Groups,dc=mycompany,dc=com
LDAPユーザーコンテナ: ユーザー・コンテナのDNです。これは、Oracle Identity Managerユーザーが保存されるコンテナです。たとえば、cn=Users,dc=mycompany,dc=com
です。
ユーザー予約コンテナ: ユーザー予約コンテナのDNです。例: cn=Reserve,dc=mycompany,dc=com
「次へ」をクリックします。
「構成サマリー」画面で、サマリー情報を確認します。
「構成」をクリックして、Oracle Identity Managerインスタンスを構成します。
「構成の進行状況」画面で、構成が正常に完了すると、「次へ」をクリックします。
「構成が完了しました」画面で、構成されたOracle Identity Managerインスタンスの詳細を確認します。
「終了(F)」をクリックして、構成ウィザードを終了します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WebLogic管理サーバーを再起動します。
IDMHOST1のASERVER_HOME
の下にあるsoa
ディレクトリを、IDMHOST1およびIDMHOST2のMSERVER_HOME
ディレクトリにコピーします。
例:
scp -rp ASERVER_HOME/soa user@IDMHOST2:MSERVER_HOME
次の一連の手順に従って、IDMHOST1上で管理対象サーバーWLS_OIM1とWLS_SOA1を起動します。
Oracle WebLogic管理コンソールを起動することで、管理サーバーが正常に起動することを確認します。
管理対象サーバーWLS_SOA1が実行中である場合は、第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従っていったん停止し、再起動します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用して管理対象サーバーWLS_OIM1を起動します。
次の一連の手順に従って、IDMHOST2上で管理対象サーバーWLS_OIM2とWLS_SOA2を起動します。
Oracle WebLogic管理コンソールを起動することで、管理サーバーが正常に起動することを確認します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用して管理対象サーバーWLS_SOA2を起動します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従い、WebLogic管理コンソールを使用して管理対象サーバーWLS_OIM2を起動します。
Webブラウザで次のURLを指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
http://OIMHOST1VHN.mycompany.com:14000/identity
http://OIMHOST1VHN.mycompany.com:14000/sysadmin
http://OIMHOST2VHN.mycompany.com:14000/identity/
http://OIMHOST2VHN.mycompany.com:14000/sysadmin/
xelsysadm
ユーザー名とパスワードを使用して、ログインします。
注意: 初めてログインする際に、チャレンジ質問を設定するように求められます。続行する前に、これを行ってください。 |
次のURLを使用してOracle SOA Suiteを検証します。
http://SOAHOST1VHN.mycompany.com:8001/soa-infra
http://SOAHOST2VHN.mycompany.com:8001/soa-infra
ここで、8001
は第B.3項のSOA_PORT
になります。
weblogic
ユーザーとしてログインします。
現在のリリースでは、LDAPConfigPostSetup
スクリプトを使用すると、LDAPSync関連の増分リコンシリエーション・スケジューラ・ジョブがすべて有効になります。これらのジョブはデフォルトでは無効です。LDAP構成ポストセットアップ・スクリプトは、IAM_ORACLE_HOME
/server/ldap_config_util
ディレクトリにあります。スクリプトをIDMHOST1で次のように実行します。
IAM_ORACLE_HOME
/server/ldap_config_util
ディレクトリの下にあるldapconfig.props
ファイルを編集して、次の値を指定します。
パラメータ | 値 | 説明 |
---|---|---|
|
|
Oracle Identity Manager管理対象サーバーのリスト。 |
|
次の例のような、Oracle Virtual DirectoryインスタンスのURLを指定します。 |
アイデンティティ・ストアのURL。Oracle Virtual Directoryを使用してIDストアにアクセスする場合のみ必要です。 |
|
|
アイデンティティ・ストアへの接続に使用するユーザーの名前。アイデンティティ・ストアがOracle Virtual Directoryに存在する場合のみ必要です。このユーザーは、 |
|
|
Oracle Virtual Directoryを使用してアイデンティティ・ストアにアクセスしない場合は必要です。 |
脚注 1 14000
は第B.3項のOIM_PORT
に相当します。
注意:
|
ファイルを保存します。
MW_HOME
をIAM_MW_HOME
に設定します。
ORACLE_HOME
をIAM_ORACLE_HOME
に設定します。
JAVA_HOME
をJAVA_HOME
に設定します。
WL_HOME
をMW_HOME
/wlserver_10.3
に設定します。
APP_SERVER
をweblogic
に設定します。
OIM_ORACLE_HOME
をIAM_ORACLE_HOME
に設定します。
DOMAIN_HOME
をMSERVER_HOME
に設定します。
LDAPConfigPostSetup.shを実行します。このスクリプトでは、LDAPの管理者パスワードとOracle Identity Managerの管理者パスワードが要求されます。例:
IAM_ORACLE_HOME/server/ldap_config_util/LDAPConfigPostSetup.sh path_to_property_file
例:
IAM_ORACLE_HOME/server/ldap_config_util/LDAPConfigPostSetup.sh IAM_ORACLE_HOME/server/ldap_config_util
この項では、Oracle Identity Managerを構成してOracle Web Tierと連携する方法について説明します。
この項には次のトピックが含まれます:
既存のドメインにOIMを追加する場合、第10.3項「構成後のタスク」で説明されているように、Web層の構成にOIMを忘れずに含める必要があります。
Oracle HTTP Serverは、WebLogicのプロキシとして機能するため、デフォルトでは、特定のCGI環境変数はWebLogicに渡されません。これらには、ホストとポートが含まれます。WebLogicには、内部URLを適切に生成できるように仮想サイト名およびポートを使用していることを指示する必要があります。
これを行うには、第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、WebLogic管理コンソールにログインします。
「クラスタ」をホーム・ページで選択するか、「ドメイン」構造メニューで「環境」→「クラスタ」を選択します。
「チェンジ・センター」ウィンドウの「ロックして編集」をクリックして、編集を有効にします。
「クラスタ名」(soa_cluster)をクリックします。
「構成」タブで、「HTTP」サブタブを選択します。
次を入力します。
フロントエンド・ホスト: IDMINTERNAL.mycompany.com
フロントエンドHTTPポート: 80
(HTTP_PORT)
「保存」をクリックします。
「チェンジ・センター」ウィンドウの「変更のアクティブ化」をクリックして、編集を有効にします。
次の手順に従ってSOAエンドポイントを更新します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているアドレスを使用して、Oracle Enterprise Manager Fusion Middleware Controlにログインします。
ナビゲーション・ペインでSOAフォルダを展開し、「soa-infra」を右クリックします。
「SOA管理」→「共通プロパティ」を選択します。
「詳細SOAインフラ拡張構成プロパティ」リンクをクリックします。
次のプロパティを編集し、変更を適用します。
ServerURL: http://IDMINTERNAL.mycompany.com:80
CallbackServerURL: http://IDMINTERNAL.mycompany.com:80
HttpServerURL: http://IDMINTERNAL.mycompany.com:80
「適用」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、WLS_SOA1とWLS_SOA2を再起動します。
次に示すようにWeb層の統合を検証します。
Webブラウザで次のURLを指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
https://SSO.mycompany.com:443/identity
および
http://ADMIN.mycompany.com/sysadmin
xelsysadm
ユーザー名とパスワードを使用して、ログインします。
管理対象サーバーWLS_OIMとWLS_SOAには、サーバーがコーディネートする、完了していない可能性のあるコミット済トランザクションに関する情報を格納するトランザクション・ログがあります。WebLogic Serverは、システム・クラッシュやネットワーク障害のリカバリでこのトランザクション・ログを使用します。クラスタ内のサーバーでトランザクション回復サービスの移行機能を活用するには、サーバーとそのバックアップ・サーバーからアクセス可能な場所にトランザクション・ログを格納します。
注意: この場所は、デュアル・ポート型SCSIディスクまたはストレージ・エリア・ネットワーク(SAN)にすることをお薦めします。 |
Oracle Identity ManagerおよびSOAサーバーのデフォルトの永続ストアの場所を設定する手順は次のとおりです。
共有記憶域に次のディレクトリを作成します。
ASERVER_HOME
/tlogs
Oracle WebLogic Server管理コンソールにログインします。
「ロックして編集」をクリックします。
「ドメイン構造」ウィンドウで、「環境」ノードを開いてから、「サーバー」ノードをクリックします。
「サーバーのサマリー」ページが表示されます。
表の「名前」列で、Oracle Identity ManagerまたはSOAサーバーの名前(ハイパーリンクで表示されています)をクリックします。
選択したサーバーの「設定」ページが表示され、「構成」タブにデフォルト設定されます。
「サービス」サブタブを開きます。
ページの「デフォルト・ストア」セクションで、共有記憶域にあるデフォルトの永続ストアへのパスを指定します。パスのディレクトリ構造は次のとおりです。
Oracle Identity Managerサーバー: ASERVER_HOME
/tlogs
SOAサーバー: ASERVER_HOME
/tlogs
注意: トランザクション・リカバリ・サービスの移行機能を有効にするには、クラスタにある他のサーバーで使用可能な永続記憶域ソリューションの場所を指定します。クラスタに属するすべてのサーバーは、このディレクトリにアクセスできる必要があります。 |
保存してアクティブ化するをクリックします。
「サーバーのサマリー」ページで他のSOAサーバーを選択し、これらの手順を繰り返します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、Oracle Identity ManagerとSOAの管理対象サーバーを再起動します。これによって、変更が有効になります。
この項では、UMSの電子メール通知の構成方法について説明します。これはオプションです。次の手順では、電子メール・サーバーが設定済で、それを使用してOracle Identity Managementで電子メール通知を送信できることを前提としています。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、Oracle Identity Managerに関連付けられているOracle Enterprise Manager Fusion Middleware Controlのインスタンスにログインします。
「ユーザー・メッセージング・サービス」を開きます。
「usermessagingdriver-email (WLS_SOA1)」を右クリックし、「電子メール・ドライバ・プロパティ」を選択します。
次の情報を入力します。
OutgoingMailServer: SMTPサーバーの名前、例: SMTP.mycompany.com
OutgoingMailServerPort: SMTPサーバーのポート、例: SSL送信メール・サーバーの場合は465、SSLを使用しない場合は25
OutgoingMailServerSecurity: SMTPサーバーによって使用されるセキュリティ設定。使用可能な値はNone/TLS/SSL。SSLリクエストを受け付けるようにメール・サーバーを構成する場合は、次の追加手順を実行してSOA環境からDemoTrustストアの参照を削除します。
MSERVER_HOME
/bin/setDomainEnv.sh
ファイルを変更し、DemoTrustの参照である-Djavax.net.ssl.trustStore=
WL_HOME
/server/lib/DemoTrust.jks
をEXTRA_JAVA_PROPERTIES
から削除します。
IDMHOST1とIDMHOST2にあるstartManagedWeblogic.sh
ファイルを変更します。このファイルのJAVA_OPTIONS
にあるプロパティ・セットweblogic.security.SSL.trustedCAKeyStore
を削除します。削除するのは、次のような行です。
JAVA_OPTIONS="-Dweblogic.security.SSL.trustedCAKeyStore="{MW_HOME}/server/server/lib/cacerts" ${JAVA_OPTIONS}"
Oracle Identity Manager、OIMサーバー、SOA管理対象サーバーを再起動します。
OutgoingUsername: 任意の有効なユーザー名
OutgoingPassword:
「間接パスワード、新規のユーザーの作成」を選択します。
「間接ユーザー名/キー」に一意の文字列を入力します(OIMEmailConfig
など)。これによりパスワードがマスクされ、構成ファイルにクリア・テキストで公開されません。
このアカウントの有効なパスワードを指定します。
「適用」をクリックします。
各SOAサーバーで手順3、4を繰り返します。
ナビゲータで、「WebLogicドメイン」→「Domain@Name」を選択します。
メニューからシステムMeanブラウザを選択します。
「アプリケーション定義のMBean」→「oracle.iam」→「サーバー: WLS_OIM1」→「アプリケーション: oim」→「IAMAppRuntimeMBean」を展開します。
「UMSEmailNotificationProviderMBean」をクリックします。
次を入力します。
WSUrl: http://IDMINTERNAL.mycompany.com:80/ucs/messaging/webservice
ポリシー: 空白のままにします。
CSFKey: Notification.Provider.Key
「適用」をクリックします。
ブラウザを使用してSSO.mycompany.comの証明書を取得します。(この方法については、使用するブラウザのドキュメントを参照してください。)ファイルを.pem
フォーマットでIDMHOST1に保存します(例: /tmp/sso.pem
)。
次に、JDK (Java Development Kit)の一部として提供されているkeytool
コマンドを使用して、証明書をSOAキーストアにインポートします。次のように実行します。
環境変数を設定します。
JAVA_HOME
をJAVA_HOME
に設定します。
PATH
をJAVA_HOME/bin:$PATH
に設定します。
ディレクトリをWL_HOME
/server/lib
に変更します。
cd WL_HOME/server/lib
次のコマンドを使用して、証明書をSOAキーストアに追加します。
keytool -import -file /tmp/sso.pem -alias SSOAlias -keystore DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase
デフォルトでは、Oracle Identity ManagementはLDAP container cn=Users
に属するすべてのユーザーを調整します。調整後、これらのユーザーはOracle Identity Managerで定義されている通常のパスワード・エイジング・ポリシーに従います。これらの処置は、システム・アカウントにとっては適切でありません。このリコンシリエーションから次のアカウントを除外することをお薦めします。
xelsysadm
oimLDAP
oamLDAP
リコンシリエーションからこれらのユーザーを除外し、失敗したリコンシリエーション・イベントを破棄するには、ODSMおよびOIMコンソールを使用して次の項に記載されている手順を実行します。
この項には次のトピックが含まれます:
ユーザーにオブジェクト・クラスorclAppIDUser
をアタッチすることによって、OIMリコンシリエーションからそのユーザーを除外できます。
次の例はOracle Unified Directoryの例であり、Oracle Unified Directory用のODSMを使用します。Oracle Internet DirectoryまたはOracle Virtual Directoryを使用する場合は、OID/OVD用のODSMを使用してこれを実行できます。Oracle Unified Directory、Oracle Internet DirectoryまたはOracle Virtual Directory以外のディレクトリについては、システム・ドキュメントを参照してこの処理を行う方法を参照してください。
次のURLからODSMにログインします。
http://ADMIN.mycompany.com/odsm
除外するユーザーをホストしているいずれかのLDAPインスタンスに接続します。
サーバー: Oracle Unified Directoryのいずれかのホスト、例: IDMHOST1.mycompany.com
管理ポート: Oracle Unified Directoryの管理ポート(LDAP_DIR_ADMIN_PORT
)、例: 4444
ユーザー名: ディレクトリ管理者、例: cn=oudadmin
サーバー証明書を信頼するかを尋ねられたら、信頼するように指定します。
「データ・ブラウザ」を選択します。
ディレクトリ・ツリーで除外対象のユーザーまで移動し、そのユーザーをクリックします。例: ルート→「dc=mycompany,dc=com」→「cn=systemids」→「cn=UserId」
「属性」タブをクリックします。
「オブジェクト・クラス」リスト(必須プロパティ内)で+記号をクリックします。
プロパティ名orclAppIDUser
を入力します。
「適用」をクリックします。
除外対象のすべてのユーザーに対して手順1-8を繰り返します。
この手順は、失敗したリコンシリエーション・イベントをクリアするために必要です。失敗したリコンシリエーション・イベントは繰り返し再試行され、システムに不必要な負荷をかけます。
次のURLを使用して、OIM管理コンソールにxelsysadm
ユーザーでログインします: http://ADMIN.mycompany.com/sysadmin
「イベント管理」の下の「リコンシリエーション」をクリックします。
「拡張検索」をクリックします。
「現行のステータス」フィールドで「次と等しい」を選択します。「検索」ボックスで、リストから「作成に失敗しました」を選択します。
「検索」をクリックします。
各イベントを選択します。
「アクション」メニューから、「イベントのクローズ」を選択します。
「確認」ウィンドウで理由を入力します。たとえば、「失敗したリコンシリエーション・イベントを閉じる」
などと入力します。
「クローズ」をクリックします。
「OK」をクリックし、確認メッセージを承認します。
Oracle Identity Managerは、デフォルトではweblogic
というユーザー名を使用して、SOA管理者としてSOAに接続します。前の項では、Identity Management WebLogicドメインを管理するために、新しい管理者ユーザーを中央のLDAPストアでプロビジョニングしました。
次のインストール後の手順を実行して、Oracle Identity Managerが、中央のLDAPストアでプロビジョニングしたOracle WebLogic Server管理者ユーザーを使用できるようにします。これにより、Oracle Identity Managerは問題なくSOAに接続できるようになります。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、Enterprise Managerにログインします。
「Farm_IDMDomain」→「Identity and Access」→「OIM」→「oim(11.1.2.0.0)」を選択します。
メニューから「システムMBeanブラウザ」を選択するか、または右クリックしてこの項目を選択します。
「アプリケーション」を選択し、定義済Mbean→「oracle.iam」を選択します。「サーバー」には「WLS_OIM1」、「アプリケーション」には「oim」を選択します。XML構成→「構成」を選択し、「XMLConfig.SOAConfig」→「SOAConfig」を選択します。
username属性を、第9.4項「アイデンティティ・ストアの準備」でプロビジョニングしたOracle WebLogic Server管理者のユーザー名(例: weblogic_idm
)に変更します。
「SOA構成RMI URL」を次のように変更します。
cluster:t3://soa_cluster
「SOA構成SOAP URL」を次のように変更します。
http://IDMINTERNAL.mycompany.com:80
「適用」をクリックします。
ナビゲータで「WebLogicドメイン」→「IDMDomain」を選択します。
ドロップダウン・メニューで「セキュリティ」→「資格証明」を選択します。
キーoimを開きます。
「SOAAdminPassword」をクリックします。
「編集」をクリックします。
ユーザー名をweblogic_idm
に変更し、そのパスワードをアカウントのパスワードに設定します。
「OK」をクリックします。
調整プロセスを実行して、Oracle WebLogic Serverの管理者であるweblogic_idm
をOIMアイデンティティ・コンソールで表示できるようにします。次の手順に従います。
URL http://ADMIN.mycompany.com/sysadmin
を使用して、OIM管理コンソールにxelsysadm
ユーザーでログインします。
「システム管理」の下の「スケジューラ」をクリックします。
検索ボックスにLDAP*と入力します。
「スケジュール済ジョブの検索」の矢印をクリックして、すべてのスケジューラを一覧表示します。
LDAPユーザー作成および完全なリコンシリエーションの更新を選択します。
「即時実行」をクリックしてジョブを実行します。
LDAPロール作成および完全なリコンシリエーションの更新のジョブを繰り返します。
第17.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、OIMアイデンティティ・コンソールにログインします。検索を実行し、ユーザーweblogic_idm
が表示されるかどうかを確認します。
URL https://SSO.mycompany.com:443/identity
を使用して、OIMアイデンティティ・コンソールにユーザーxelsysadm
でログインします。
要求されたら、チャレンジ質問を設定します。これは、Oracle Identity Managerアイデンティティ・コンソールへの最初のログイン時に発生します。
「管理」の下の「ロール」をクリックします。
管理者ロールを検索します。
「表示名」検索ボックスにAdministratorsと入力し、「検索」をクリックします。
「管理者」ロールをクリックします。
このロールの「プロパティ」ページが表示されます。
「メンバー」タブをクリックします。
「ルールの追加」をクリックします。
「オペランド値の選択」セクションから「ユーザー・ログイン」を選択し、「追加」をクリックします。
「値」ボックスにweblogic_idm
と入力します。
「追加(A)」をクリックします。
「保存」をクリックします。
WebLogicコンソールにログインします。
「チェンジ・センター」で「ロックして編集」をクリックします。
「IDMDomain」→「サービス」→「外部JNDIプロバイダ」
と移動します。
「ForeignJNDIProvider-SOA」
をクリックします。
「構成」→「一般」タブの下で、ユーザーweblogic
をweblogic_idm
に変更し、対応するパスワードを指定します。
「保存」→「変更のアクティブ化」をクリックします。
次の各項の説明に従ってOracle Identity Managerを変更します。
この項には次のトピックが含まれます:
バック・エンド・ディレクトリがActive Directoryである場合は、長さが20文字までのユーザー名のみを許可するようにOracle Identity Managerを更新する必要があります。これはActive Directoryによる制限です。次の手順で、ユーザー名生成ポリシーをDefaultComboPolicy
からFirstnameLastnamepolicyforAD
に更新します。
第12.2項「ドメインのURLについて」に記載されているURLを使用して、OIM管理コンソールにログインします。
「システム管理」の下の「システム構成」をクリックします。
「検索」ボックスに「ユーザー名の生成に関するデフォルト・ポリシー」と入力し、「検索」をクリックします。
「ユーザー名の生成に関するデフォルト・ポリシー」をクリックします。
「値」フィールドで、エントリをoracle.iam.identity.usermgmt.impl.plugins.DefaultComboPolicy
からoracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForAD
に更新します。
「保存」をクリックします。
最初にインストールした時点で、Oracle Identity Managerには、その操作に必要な一連のデフォルト・システム・プロパティがあります。
アイデンティティ・ストアがActive Directoryに存在する場合は、システム・プロパティXL.DefaultUserNamePolicyImpl
をoracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForAD
またはoracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicyForAD
に変更する必要があります。
その方法の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のシステム・プロパティの管理に関する項を参照してください。
この時点で、Oracle Identity Managerの構成をバックアップします。第17.6.3項「インストール時および構成時のバックアップの実行」で説明されているように、データベース、WebLogicドメインおよびLDAPディレクトリをバックアップします。
この項では、Oracle Identity ManagerとOracle Access Management Access Managerの統合方法について説明します。
この項には次のトピックが含まれます:
第12章「Oracle Identity Managerを追加するためのドメインの拡張」の説明に従ってOIM11gのインストールと構成が行われていることを確認します。
第11章「Oracle Access Managementを追加するためのドメインの拡張」の説明に従ってOracle Access Managementのインストールと構成が行われていることを確認します。
第10.2.3項「Oracle HTTP Serverのインストール」の説明に従ってOHSのインストールと構成が行われていることを確認します。
第11.6.3項「IDM構成ツールを使用したAccess Managerの構成」でパラメータOAM11G_OIM_INTEGRATION_REQ
をtrue
に設定してidmConfigTool
を実行した場合、この手順はスキップできます。
OAM11G_INTEGRATION_FLAG
をfalseに設定してこのコマンドを実行した場合は、OAM11G_OIM_INTEGRATION_REQ
をtrueに設定し、OAM11G_OIM_OHS_URL
に値を指定してこのコマンドを再実行する必要があります。
Access Managerをシンプル・セキュリティ・トランスポートで使用している場合は、第11.11項「Access Managerと他のコンポーネントを統合するための単一のキーストアの作成」で生成したOAMキーストア・ファイルをIDMHOST1およびIDMHOST2にコピーする必要があります。キーストア・ファイルssoKeystore.jks
およびoamclient-truststore.jks
を、IDMHOST1およびIDMHOST2のMSERVER_HOME
/config/fmwconfig
にコピーします。
Webゲート・プロファイルを使用したOracle Identity ManagerとAccess Managerの統合では、Access Manager Trusted Authentication Protocol (TAP)スキームを利用します。これは以前のリリースとは異なる点です。以前のリリースでは、Network Assertion Protocol (NAP)を使用していました。
Access ManagerとOracle Identity Managerを統合するには、IDMHOST1で次の手順を実行します。
MW_HOME
をIAM_MW_HOME
に設定します。
ORACLE_HOME
をIAM_ORACLE_HOME
に設定します。
JAVA_HOME
をJAVA_HOME
に設定します。
oimitg.props
という統合用のプロパティ・ファイルを、次の内容で作成します。
LOGINURI: /${app.context}/adfAuthentication LOGOUTURI: /oamsso/logout.html AUTOLOGINURI: None ACCESS_SERVER_HOST: IDMHOST1.mycompany.com ACCESS_SERVER_PORT: 5575 ACCESS_GATE_ID: Webgate_IDM COOKIE_DOMAIN: .mycompany.com COOKIE_EXPIRY_INTERVAL: 120 OAM_TRANSFER_MODE: simple WEBGATE_TYPE: ohsWebgate11g SSO_ENABLED_FLAG: true IDSTORE_PORT: 389 IDSTORE_HOST: IDSTORE.mycompany.com IDSTORE_DIRECTORYTYPE: OUD, OID or OVD IDSTORE_ADMIN_USER: cn=oamLDAP,cn=systemids,dc=mycompany,dc=com IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_LOGINATTRIBUTE: uid MDS_DB_URL: jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=tcp)(host=IDMDBHOST1-VIP.mycompany.com)(port=1521))(ADDRESS=(protocol=tcp)(host=IDMDBHOST2-VIP.mycompany.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=OIMEDG.mycompany.com))) MDS_DB_SCHEMA_USERNAME: EDG_MDS OIM_MANAGED_SERVER_NAME: WLS_OIM1 WLSADMIN: weblogic WLSPORT: 7001 WLSHOST: ADMINVHN.mycompany.com DOMAIN_NAME: IDMDomain DOMAIN_LOCATION: ASERVER_HOME
ここで:
ACCESS_SERVER_PORT
はアクセス・サーバーのプロキシ・ポートです。これは、第B.3項のOAM_PROXY_PORT
に相当します。
OAM_TRANSFER_MODE
は、簡易モードを使用してリクエストを受け入れるようにアクセス・マネージャ・サーバーが構成されている場合、simple
に設定します。それ以外の場合は、OAM_TRANSFER_MODE
をopen
に設定します。
SSO_ENABLED_FLAG
は常にtrue
に設定します。
WEBGATE_TYPE
は、作成するWebゲート・エージェントのタイプです。有効な値はohsWebgate11g
およびohsWebgate10
です。
IDSTORE_HOST
は、アイデンティティ・ストアからの接続を受け付けるロード・バランサの仮想ホストです(LDAP_LBR_HOST
)。
IDSTORE_PORT
は、アイデンティティ・ストアからの接続を受け付けるロード・バランサの仮想ポートです(LDAP_LBR_PORT
)。
IDSTORE_DIRECTORYTYPE
は、Oracle Virtual Directoryを使用してOID以外のディレクトリまたはOracle Internet Directoryのいずれかに接続する場合にOVD
に設定します。アイデンティティ・ストアがOracle Internet Directory内にある場合はOID
に設定します。Oracle Unified Directoryに接続する場合はOUDに設定します。
IDSTORE_USERSEARCHBASE
は、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASE
は、グループが格納されるディレクトリの場所です。
IDSTORE_LOGINATTRIBUTE
は、ユーザーのログイン名を記述したLDAP属性です。
MDS_DB_URL
には、データベースのJDBC接続情報を次の形式で格納します: jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=tcp)(host=IDMDBHOST1-VIP.mycompany.com)(port=1521))(ADDRESS=(protocol=tcp)(host=IDMDBHOST2-VIP.mycompany.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=OIMEDG.mycompany.com)))
、ここで1521
は第B.3項のDB_LSNR_PORT
に相当します。
MDS_DB_SCHEMA_USERNAME
は、MDSデータが格納されるアイデンティティ管理データベースのスキーマの名前です。第6.6項「RCUを使用したOracle RAC DatabaseへのIdentity Managementスキーマのロード」を参照してください。
OIM_MANAGED_SERVER_NAME
は、いずれかのOIM管理対象サーバーの名前です。いずれを使用しても問題ありません。
WLSHOST
(ADMINVHN
)は管理サーバーのホストであり、第B.3項のWLS_ADMIN_HOST
に相当します。これは仮想名です。
WLSPORT
は管理サーバーのポートであり、第B.3項のWLS_ADMIN_PORT
に相当します。
WLSADMIN
は、WebLogicコンソールへのログインで使用するWebLogic管理ユーザーです。
DOMAIN_NAME
は、Oracle Identity Managerをホストするドメインの名前です。
DOMAIN_LOCATION
は、ディスク上でのドメインのパス、つまりASERVER_HOME
です。
次の場所にあるコマンドidmConfigTool
を使用して、Access ManagerとOracle Identity Managerを統合します。
IAM_ORACLE_HOME
/idmtools/bin
注意:
|
このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOIM input_file=configfile
例:
IAM_ORACLE_HOME/idmtools/bin/idmConfigTool.sh -configOIM input_file=oimitg.props
スクリプトを実行すると、次の情報を求められます。
アクセス・ゲートのパスワード
SSOキーストアのパスワード
グローバル・パスフレーズ
Idstore管理パスワード
MDSデータベース・スキーマのパスワード
管理サーバーのユーザー・パスワード
出力例:
Enter sso access gate password : Enter sso keystore jks password : Enter sso global passphrase : Enter mds db schema password : Enter idstore admin password : Enter admin server user password : ********* Seeding OAM Passwds in OIM ********* Completed loading user inputs for - CSF Config Completed loading user inputs for - Dogwood Admin WLS Connecting to t3://ADMINVHN.mycompany.com:7001 Connection to domain runtime mbean server established Seeding credential :SSOAccessKey Seeding credential :SSOGlobalPP Seeding credential :SSOKeystoreKey ********* ********* ********* ********* Activating OAM Notifications ********* Completed loading user inputs for - MDS DB Config Apr 3, 2012 11:56:09 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Initialized MDS resources Apr 3, 2012 11:56:09 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources Notifications activated. ********* ********* ********* ********* Seeding OAM Config in OIM ********* Completed loading user inputs for - OAM Access Config Validated input values Initialized MDS resources Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Download from DB completed Releasing all resources Updated /u01/oracle/products/access/iam/server/oamMetadata/db/oim-config.xml Initialized MDS resources Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: PManager instance is created without multitenancy support as JVM flag "oracle.multitenant.enabled" is not set to enable multitenancy support. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer operation started. Apr 3, 2012 11:56:10 PM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed : 1, total number of documents failed : 0. Upload to DB completed Releasing all resources OAM configuration seeded. Please restart oim server. ********* ********* ********* ********* Configuring Authenticators in OIM WLS ********* Completed loading user inputs for - LDAP connection info Connecting to t3://ADMINVHN.mycompany.com:7001 Connection to domain runtime mbean server established Starting edit session Edit session started Connected to security realm. Validating provider configuration Validated desired authentication providers Created OAMIDAsserter successfuly OAMIDAsserter is already configured to support 11g webgate Created OIMSignatureAuthenticator successfuly Created OVDAuthenticator successfuly Setting attributes for OVDAuthenticator All attributes set. Configured inOVDAuthenticatornow LDAP details configured in OVDAuthenticator Control flags for authenticators set sucessfully Reordering of authenticators done sucessfully Saving the transaction Transaction saved Activating the changes Changes Activated. Edit session ended. Connection closed sucessfully ********* ********* ********* The tool has completed its operation. Details have been logged to automation.log
注意: このスクリプトの実行時にすでに第15.3項「WebLogicセキュリティ・プロバイダの構成」の説明に従ってWebLogic管理コンソールでシングル・サインオンを有効にしている場合、実行時に次のエラーが表示されることがあります。 ERROR: Desired authenticators already present. [Ljava.lang.String;@7fdb492] ERROR: Error occurred while configuration. Authentication providers to be configured already present. ERROR: Rolling back the operation.. これらのエラーは無視できます。 |
ログ・ファイルを確認し、必要に応じてエラーを修正します。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーを再起動します。
既存のLDAPユーザーを、オブジェクト・クラスOblixPersonPwdPolicy
、OIMPersonPwdPolicy
、およびOblixOrgPerson
で更新する必要があります。
注意: これは、既存のユーザーを持たない新規設定の場合、必要ありません。 |
IDMHOST1で、user.props
という統合用のプロパティ・ファイルを次の内容で作成します。
IDSTORE_HOST: IDSTORE.mycompany.com IDSTORE_PORT: 389 IDSTORE_ADMIN_USER: cn=oudadmin IDSTORE_DIRECTORYTYPE: OUD, OID, or OVD IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com PASSWORD_EXPIRY_PERIOD: 7300 IDSTORE_LOGINATTRIBUTE: uid
ここで:
IDSTORE_HOST
はLDAPサーバーの名前です。例:
IDSTORE.mycompany.com
IDSTORE_PORT
はLDAPサーバーのポートです。
IDSTORE_ADMIN_USER
は、管理ユーザーのバインドDNです。例:
cn=orcladminまたはcn=oudadmin
IDSTORE_DIRECTORYTYPE
はディレクトリのタイプです。有効な値はOUD、OIDおよびOVDです。
IDSTORE_USERSEARCHBASE
は、ディレクトリ内でのユーザーの場所です。例:
cn=Users,dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASE
は、ディレクトリ内でのグループの場所です。例:
cn=Groups,dc=mycompany,dc=com
IDSTORE_LOGINATTRIBUTE
はディレクトリのログイン属性名です。例:
uid
PASSWORD_EXPIRY_PERIOD
はパスワードの有効期間です。
ORACLE_HOME
をIAM_ORACLE_HOME
に設定します。
MW_HOME
をMW_HOME
に設定します。
JAVA_HOME
をJAVA_HOME
に設定します。
IAM_ORACLE_HOME
/idmtools/bin
にあるコマンドidmConfigTool
を使用して、既存のLDAPを更新します。
注意:
|
このコマンドの構文は次のとおりです。
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=configfile
例:
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=user.props
アイデンティティ・ストアへの接続で使用するユーザーのパスワードの入力を求められたら、そのパスワードを入力します。
出力例:
Enter IDSTORE_ADMIN_PASSWD : ********* Upgrading LDAP Users With OAM ObjectClasses ********* Completed loading user inputs for - LDAP connection info Completed loading user inputs for - LDAP Upgrade Upgrading ldap users at - cn=Users,dc=mycompany,dc=com Parsing - cn=weblogic_idm,cn=Users,dc=mycompany,dc=com objectclass OIMPersonPwdPolicy not present in cn=weblogic_idm,cn=Users,dc=mycompany,dc=com. Seeding it obpasswordexpirydate added in cn=weblogic_idm,cn=Users,dc=mycompany,dc=com Parsing - cn=oamadmin,cn=Users,dc=mycompany,dc=com objectclass OIMPersonPwdPolicy not present in cn=oamadmin,cn=Users,dc=mycompany,dc=com. Seeding it obpasswordexpirydate added in cn=oamadmin,cn=Users,dc=mycompany,dc=com Finished parsing LDAP LDAP Users Upgraded.
関連項目:
|
Oracle Access Management Access ManagerとOracle Identity Managerを統合した後は、LDAP属性uid
を使用してユーザー検証を実行するようにTAP認証スキームを更新する必要があります。
次のように実行します。
http://ADMIN.mycompany.com/oamconsole
からOAMコンソールにログインします。
「ポリシー構成」をクリックします。
「認証スキーム」の下でTAPResponseOnlySchemeをクリックします。
「開く」をクリックします。
「チャレンジ・パラメータ」フィールドにMatchLDAPAttribute=uid
を追加します。
「適用」をクリックします。
第17.1項「Oracle Identity Managementコンポーネントの起動と停止」の説明に従って、管理サーバーとAccess Managerの管理対象サーバーを再起動します。
Oracle Identity ManagerとAccess Managerを統合した後は、2つのxelsysadm
アカウントが存在します。1つはOracle Identity Managerで作成された内部アカウントです。もう1つは、第9.4項「アイデンティティ・ストアの準備」でアイデンティティ・ストア内に作成したアカウントです。
LDAPストアにあるxelsysadm
アカウントは、OIMコンソールへのアクセスに使用するアカウントです。このアカウントのパスワードを変更する場合は、LDAPでこれを変更します。これはODSMを使用して行うことができます。OIMコンソールを介してこれを変更しないでください。
統合を検証するには、第15章「エンタープライズ・デプロイメントにおける管理コンソールのシングル・サインオンの構成」の説明に従って、Identity Management管理者をWebLogicセキュリティ・グループに割り当て、Webゲートをインストールする必要があります。
Access ManagerとOracle Identity Manager 11gが正常に接続されていることを検証するには、次のようにしてOracle Identity Managerセルフ・サービス・コンソールへのログインを試みます。
ブラウザを使用して次のアドレスにアクセスします。
https://SSO.mycompany.com/identity
これにより、OAM11gシングル・サインオン・ページにリダイレクトされます。
第9.4項「アイデンティティ・ストアの準備」で作成したxelsysadm
ユーザー・アカウントを使用してログインします。
「OIMセルフ・サービス・コンソール」ページが表示されれば、統合は成功です。
次の手順に従って追加の検証を実行します。
OIMコンソールにxelsysadm
ユーザーとしてログインします。
新規ユーザーを作成します。
xelsysadm
ユーザーとしてログアウトします。
新しく作成したユーザーでログインします。新規ユーザーであるため、「パスワード管理」ページにリダイレクトされます。
資格証明を入力し、「送信」をクリックします。統合が正しく実行されているならば、アクセスしようとしているページに転送されます。