| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.1) B71694-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.1) B71694-06 |
|
前 |
次 |
この章では、分割ドメイン・トポロジの展開に必要な追加手順および手順変更について説明します。
この章では、次の項目について説明します。
第2.2.2.3項「アーキテクチャに関する注意」で説明されているように、分割ドメイン構成では、Oracle Identity Managerは他のコンポーネントとは別のドメインにインストールされます。分割ドメイン・トポロジの使用を決定した場合、このガイドに記載されている手順に対していくつかの変更や追加が必要になります。この章では、これらの変更や追加について説明します。
分割ドメインの実装では、第3章で説明されているネットワークの準備に加えて次の追加準備を実行します。
この項には次のトピックが含まれます:
分割ドメイン・トポロジでは、第3.3項「トポロジで使用する仮想サーバー名について」に記載されている仮想サーバー名に加えて次の追加仮想サーバーが必要になります。
OIMADMIN.mycompany.com
この仮想サーバーが必要になるのは、分割ドメイン・トポロジが使用される場合のみです。
この仮想サーバーはLBR1上で有効になっています。これは、OIMドメイン内の管理サービスに送信されるすべての内部HTTPトラフィック用のアクセス・ポイントとして機能します。クライアントからの受信トラフィックはすべて非SSLに対応しています。このため、クライアントはアドレスOIMADMIN.mycompany.com:80 (HTTP_PORT)を使用してこのサービスにアクセスし、続いてトラフィックがWEBHOST1およびWEBHOST2のポート7777(OHS_PORT)に転送されます。この仮想ホスト上でアクセスされるサービスには、WebLogic管理サーバー・コンソール、Oracle Enterprise Manager Fusion Middleware Controlなどがあります。
ファイアウォールでルールを作成し、この仮想ホストを使用して外部トラフィックが/console URLおよび/em URLにアクセスすることを防止します。DMZ内部のトラフィックのみがOIMADMIN.mycompany.com仮想ホスト上のこれらのURLにアクセスできる必要があります。
第3.4.3項「ロード・バランサの構成」の表3-1には、ロード・バランサの構成が記載されています。分割ドメイン・トポロジでは、追加で次の仮想ホストを構成します。
第3.5項「IPアドレスおよび仮想IPアドレスについて」には、Oracle Identity Managementで必要な仮想IPアドレスが記載されています。分割ドメイン・トポロジでは、次の仮想IPアドレスが追加で必要になります。
OIMADMINVHN.mycompany.com
分割ドメイン・トポロジを使用する場合は、この仮想IPアドレスが必要になります。この機能はADMINVHN.mycompany.comと同様です。この仮想IPアドレスは、管理サーバーとともに、IDMHOST1からIDMHOST2に(またはIDMHOST2からIDMHOST1に)フェイルオーバーします。
第3.5項「IPアドレスおよび仮想IPアドレスについて」では、様々な仮想IPや物理IPをリスニングするように管理サーバーおよび管理対象サーバーを構成する方法も説明しています。それは図3-1に示されています。次の図は図3-1の修正バージョンであり、OIMDomainのものも含めすべてのIPアドレスおよびVIPアドレスが記載されています。
表3-2には、VIPアドレスと仮想ホストのマッピングが記載されています。その表に記載されているすべてのVIPアドレスが必要になります。分割ドメイン・トポロジでは、次に示すように、OIMADMINVHNにマッピングされるVIPアドレスであるVIP6を有効にする必要があります。
第3.6項「ファイアウォールとポートについて」の表3-3には、トポロジで使用されるファイアウォールのポートの一覧が記載されています。Oracle WebLogic管理サーバーにWeb層からアクセスするには、次の追加ポートが必要になります。
第4.4項「各種ディレクトリの推奨場所について」では、ディレクトリの使用について説明しています。様々な推奨事項の中に、複数のミドルウェア・ホーム(MW_HOME)を設定するという推奨事項があります。
分割ドメイン・トポロジを実装する場合は、さらに別のミドルウェア・ホーム(2番目のドメイン用のMW_HOME)が必要になります。これにより、個別のパッチ適用が可能になります。
共有およびローカルの記憶域の詳細は、次のように変更する必要があります。
第4.4.4.1項「共有記憶域」では、共有記憶域に格納する必要のあるボリュームについて説明しています。分割ドメイン・トポロジを使用する場合は、共有記憶域に格納される追加のボリュームがあります。表16-4にはお薦めされるレイアウトの説明が記載されており、図16-2にはそれが図で表されています。
第4.4.4.2項「ローカル記憶域」では、ローカル記憶域に作成されるディレクトリについて説明しています。
表4-1では、ローカル記憶域でお薦めされるレイアウトが説明されています。分割ドメインでは、図16-3で示すようにOIMDomainに追加のMSERVER_HOMEが含まれるという点が異なります。
第5章「エンタープライズ・デプロイメント用のサーバーの準備」の表5-2には、追加で有効にする必要のある仮想ホストの一覧が記載されています。分割ドメイン・トポロジでは、次に示すように仮想ホストOIMADMINVHN.mycompany.comも有効にする必要があります。
分割ドメイン・トポロジでは2つのドメインを作成する必要があります。1つはAccess Manager用で、もう1つはOracle Identity Manager用です。
|
注意: このドメイン用に個別のノード・マネージャを作成する必要はありません。配置されるノード・マネージャは各ホストに1つだけであり、それを使用して両方のドメインのWebLogicコンポーネントが管理されます。 |
第8.4項「構成ウィザードを実行してドメインを作成する方法」の手順を実行して、IDMDomainという名前のAccess Manager用のドメインを作成します。次に、この手順に次の変更を加えて再度実行し、Oracle Identity ManagerのコンポーネントをホストするためのOIMDomainという名前の第2のドメインを作成します。
手順5の「ドメイン・ソースの選択」画面で、次の製品のみを選択します。
Oracle Enterprise Manager [oracle_common]
Oracle Platform Security Service [iam]
Oracle JRF [oracle_common]
手順14の「管理サーバーの構成」画面で、「リスニング・アドレス」と「リスニング・ポート」に次の値を入力します。
リスニング・アドレス: OIMADMINVHN.mycompany.com
リスニング・ポート: 7101 (SPLIT_WLS_ADMIN_PORT)
SSLリスニング・ポート: 7102 (SPLIT_WLS_ADMIN_SSL_PORT)
SSL有効: 選択済
手順17の「マシンの構成」画面で、「名前」の値にADMINVHNではなくOIMADMINVHNを指定します。
Oracle Unified Directoryをアクティブ/アクティブ・モードで使用する場合は、第8.5.1項「OIMアダプタ・テンプレートのコピー」の説明に従って次の手順を実行する必要があります。
Oracle Identity and Access Managementをインストールした後、パッチ16943171を適用します。
ファイルadapter_template_oim.xmlをORACLE_COMMON_HOME/modules/oracle.ovd_11.1.1/templates/からIAM_ORACLE_HOME/libovd/に手動でコピーします。例:
cp ORACLE_COMMON_HOME/modules/oracle.ovd_11.1.1/templates/adapter_template_oim.xml IAM_ORACLE_HOME/libovd/
第8.5.3項「ドメインと既存のOPSSポリシー・ストアの再関連付け」では、最初のドメインをOPSSポリシー・ストアに関連付けます。分割ドメイン・トポロジでは、既存のポリシー・ストアに追加のドメインを関連付ける必要があります。これを行うには、最初にポリシー・ストアから暗号化鍵をエクスポートし、次に生成された暗号化鍵を使用して新しいドメインをポリシー・ストアに結合します。
既存のOPSSデータ・ストアを使用してOIMDomainを生成するには、次の手順を実行します。
次のコマンドを使用してwlstを起動します。
ORACLE_COMMON_HOME/common/bin/wlst.sh
次のコマンドを実行して暗号化鍵を生成します。
exportEncryptionKey (jpsConfigFile="wls-domain-path/config/fmwconfig/jps-config.xml",keyFilePath="opss-keyfile-path",keyFilePassword="opss-keyfile-password" )
例:
exportEncryptionKey(jpsConfigFile="ASERVER_HOME/config/fmwconfig/jps-config.xml",keyFilePath="/u01/oracle/opss_keystore", keyFilePassword="password" )
ここで、ASERVER_HOMEはIDMDomainのASERVER_HOMEです。これにより、opss-keyfile-pathで指定した場所に、ewallet.p12という名前のファイルが作成されます。
|
注意: このコマンドを実行する前に、 |
次のコマンドを実行し、OIMDomainをポリシー・ストアに関連付けます。
ORACLE_COMMON_HOME/common/bin/wlst.sh IAM_ORACLE_HOME/common/tools/configureSecurityStore.py -d ASERVER_HOME -c IAM -m join -p opss_schema_password -k opss-keyfile-path -w opss-keyfile-password
ここで、ASERVER_HOMEはOIMDomainのASERVER_HOME、opss_schema_passwordはスキーマEDG_OPSSのパスワード、opss-keyfile-pathおよびopss-keyfile-passwordはエクスポート・コマンドで指定した値です。例:
ORACLE_COMMON_HOME/common/bin/wlst.sh IAM_ORACLE_HOME/common/tools/configureSecurityStore.py -d ASERVER_HOME -c IAM -m join -p opss_schema_password -k /u01/oracle/opss_keystore -w password
既存のポリシー・ストアに後からドメインを関連付けるには、最初にポリシー・ストアから暗号化鍵をエクスポートし、次に生成された暗号化鍵を使用して新しいドメインをポリシー・ストアに結合します。
ドメインの作成後にバックアップを実行する場合、IDMDomainに加えてOIMDomainもバックアップします。第17.6.3項「インストール時および構成時のバックアップの実行」を参照してください。
第10.5項「管理コンソール用フロントエンドURLの設定」では、管理サーバーのフロントエンドURLを変更し、ユーザーのブラウザが適切なロード・バランサ・アドレスにリダイレクトされるようにする方法について説明しています。分割ドメイン・トポロジの場合は、手順8で、次に示すようにフロント・エンド・ホストとフロント・エンドHTTPポートの各フィールドをOIMADMINロード・バランサのアドレスに設定します。
フロント・エンド・ホスト: OIMADMIN.mycompany.com
フロント・エンドHTTPポート: 80 (HTTP_PORT)
第10.3.3.2項「仮想ホストの定義の作成」では、各WebホストのWEB_ORACLE_INSTANCE/config/OHS/component_name/moduleconfに作成されるファイルについて説明しています。分割ドメインを使用する場合は、次の変更を加える必要があります。
ADMIN.mycompany.comの仮想ホストを作成します。ファイルadmin_vh.confには、Oracle Identity Managerの構成を含めないようにする必要があります。このファイルには、次の行のみを含めるようにします。
<VirtualHost *:7777>
ServerName ADMIN.mycompany.com:80
RewriteEngine On
RewriteOptions inherit
ServerAdmin you@your.address
###################################
## General Domain Configuration
###################################
# Admin Server and EM
<Location /console>
SetHandler weblogic-handler
WebLogicHost ADMINVHN.mycompany.com
WebLogicPort 7001
</Location>
<Location /consolehelp>
SetHandler weblogic-handler
WebLogicHost ADMINVHN.mycompany.com
WebLogicPort 7001
</Location>
<Location /em>
SetHandler weblogic-handler
WebLogicHost ADMINVHN.mycompany.com
WebLogicPort 7001
</Location>
###################################################
## Entries Required by Oracle Entitlements Server
###################################################
# APM
<Location /apm>
SetHandler weblogic-handler
WebLogicHost ADMINVHN.mycompany.com
WebLogicPort 7001
</Location>
##################################################
## Entries Required by Oracle Unified Directory
##################################################
# OUD ODSM
<Location /odsm>
SetHandler weblogic-handler
WebLogicHost ADMINVHN.mycompany.com
WebLogicPort 7001
</Location>
##############################################
## Entries Required by Oracle Access Manager
##############################################
# OAM Console
<Location /oamconsole>
SetHandler weblogic-handler
WebLogicHost ADMINVHN
WebLogicPort 7001
</Location>
</VirtualHost>
OIMADMIN.mycompany.comの仮想ホストを作成します。分割ドメインの場合にかぎり、oimadmin_vh.confという名前のファイルを作成します。このファイルには、OIMADMIN.mycompany.comを使用してドメインにアクセスするクライアントによってサポートされる場所のリストが格納されます。これらのエントリは、OIMDomain内の管理コンポーネントにアクセスするクライアントによって使用されます。
<VirtualHost *:7777> ServerName http://OIMADMIN.mycompany.com:80 RewriteEngine On RewriteOptions inherit ServerAdmin you@your.address ########################### ## Generic Entries ########################### # Admin Server and EM <Location /console> SetHandler weblogic-handler WebLogicHost OIMADMINVHN.mycompany.com WebLogicPort 7101 </Location> <Location /consolehelp> SetHandler weblogic-handler WebLogicHost OIMADMINVHN.mycompany.com WebLogicPort 7101 </Location> <Location /em> SetHandler weblogic-handler WebLogicHost OIMADMINVHN.mycompany.com WebLogicPort 7101 </Location> ################################################# ## Entries required by Oracle Identity Manager ################################################# # OIM self and advanced admin webapp consoles(canonic webapp) <Location /oim> SetHandler weblogic-handler WLProxySSL ON WLProxySSLPassThrough ON WLCookieName oimjsessionid WebLogicCluster OIMHOST1VHN:14000,OIMHOST2VHN:14000 WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/OHS/oim_component.log" </Location> # OIM, xlWebApp - Legacy 9.x webapp (struts based) <Location /xlWebApp> SetHandler weblogic-handler WLProxySSL ON WLProxySSLPassThrough ON WLCookieName oimjsessionid WebLogicCluster OIMHOST1VHN:14000,OIMHOST2VHN:14000 WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/OHS/oim_component.log" </Location> # OIM self service console <Location /identity> SetHandler weblogic-handler WLProxySSL ON WLProxySSLPassThrough ON WLCookieName oimjsessionid WebLogicCluster OIMHOST1VHN:14000,OIMHOST2VHN:14000 WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/OHS/oim_component.log" </Location> # OIM Nexaweb WebApp - used for workflow designer and DM <Location /Nexaweb> SetHandler weblogic-handler WLProxySSL ON WLProxySSLPassThrough ON WLCookieName oimjsessionid WebLogicCluster OIMHOST1VHN:14000,OIMHOST2VHN:14000 WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/OHS/oim_component.log" </Location> # OIM System Admin Console <Location /sysadmin> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicCluster OIMHOST1VHN:14000,OIMHOST2VHN:14000 WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/OHS/oim_component.log" </Location> </VirtualHost>
OAMエージェントを更新する場合、第11.6.5項「新規作成エージェントの更新」の説明に従いますが、その際に手順16の「ホスト名」と「ポート」に記載されている値に加えて、次の値を入力します。
ホスト名: OIMADMIN.mycompany.com
ポート: 80 (HTTP_PORT)
第12章「Oracle Identity Managerを追加するためのドメインの拡張」では、シングル・ドメイン・トポロジでOracle Identity Managerをインストールし、構成する方法が説明されています。全体として、分割ドメイン・トポロジを構築する場合でも手順は同様です。ただし、IDMDomainではなくOIMDomainを指定し、仮想ホストADMINVHNではなくOIMADMINVHNを指定します。次の項では、特定の変更事項について説明します。
この項には次のトピックが含まれます:
第12.2項「ドメインのURLについて」の表12-1には、インストールと構成が完了した後に利用可能になるOracle Identity ManagerのURLが記載されています。分割ドメイン・トポロジを構成する場合、Oracle Identity ManagerのURLは表12-1ではなく次のようになります。
分割ドメイン・トポロジでは、第12.4項「WebLogic Serverライブラリ・ディレクトリへのOIMログイン・モジュールのプロビジョニング」の手順を実行しますが、その際にIAM_MW_HOMEではなくOIM_MW_HOMEで実行します。
第12.5項「wlfullclient.jarファイルの作成」で説明しているように、構築環境のアプリケーション層でOracle Identity ManagerをホストしているすべてのマシンのIAM_MW_HOME/wlserver_10.3/server/libディレクトリの下にwlfullclient.jarライブラリを作成する必要があります。分割ドメイン・トポロジでは、IAM_MW_HOMEではなくOIM_MW_HOMEにライブラリを作成します。具体的には、手順1でOIM_MW_HOME/wlserver_10.3/server/libディレクトリに移動する必要があります。
第12.7項「Oracle Identity ManagerおよびOracle SOA Suiteを構成するためのドメインの拡張」の説明に従って、Oracle Identity Managerのコンポーネントを含めるためにドメインを拡張する必要があります。分割ドメイン・トポロジを作成する場合は、IDMDomainではなくOIMDomainを拡張します。
手順2の「WebLogicドメイン・ディレクトリの選択」画面で、OIMDomainのドメイン・ディレクトリの場所(ASERVER_HOME)を選択します。例: /u01/oracle/config/domains/domain_name
Oracle Identity Managerを構成する際には、第12.10項「Oracle Identity Managerの構成」の説明に従って、手順4のWebLogic管理サーバー画面で、WebLogic管理サーバーに接続するためのURLを次のように指定します。
t3://OIMADMINVHN.mycompany.com:7101
ここで、7101は第B.3項のWLS_ADMIN_PORTに相当します。
第12.8項「IDMHOST1およびIDMHOST2の管理対象サーバーのドメイン・ディレクトリへのOracle Identity ManagerおよびOracle SOAの展開」で説明されているように、構成が完了したら、IDMHOST1およびIDMHOST2の管理対象サーバーのディレクトリにOracle Identity Managerの構成を伝播する必要があります。ドメインIDMDomainをパックするのではなく、OIMDomainでパックを実行します。
第12.20項「LDAPでプロビジョニングした管理ユーザーを使用したOracle Identity ManagerからSOAへの接続の有効化」では、中央のLDAPストアでプロビジョニングしたOracle WebLogic Server管理者ユーザーとOracle Identity Managerが連携できるようにするためのインストール後手順を実行します。次の手順の中で正しいドメインを指定してください。
第12.23.4項「idmConfigToolを使用したOracle Identity ManagerとOracle Access Managerの統合」では、Oracle Identity ManagerのコンポーネントはAccess Managerのコンポーネントとは別のドメインに存在するということを反映して構成を行う必要があります。次の変更が必要になります。
手順2でプロパティ・ファイルoimitg.propsを作成するときに、第12.23.4項で示されているコンテンツではなく、次のコンテンツを使用します。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: IDMHOST1.mycompany.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .mycompany.com
COOKIE_EXPIRY_INTERVAL: 120
OAM_TRANSFER_MODE: simple
WEBGATE_TYPE: ohsWebgate11g
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 389
IDSTORE_HOST: IDSTORE.mycompany.com
IDSTORE_DIRECTORYTYPE: OUD, OID or OVD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=Users,dc=mycompany,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=mycompany,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com
IDSTORE_LOGINATTRIBUTE: uid
MDS_DB_URL: jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=tcp)(host=OIDDBHOST1-VIP.mycompany.com)(port=1521))(ADDRESS=(protocol=tcp)(host=OIDDBHOST2-VIP.mycompany.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=OIDEDG.mycompany.com)))
MDS_DB_SCHEMA_USERNAME: edg_mds
OIM_MANAGED_SERVER_NAME: WLS_OIM1
WLSADMIN: weblogic
WLSPORT: 7101
WLSHOST: OIMADMINVHN.mycompany.com
OAM11G_WLS_ADMIN_HOST: ADMINVHN.mycompany.com
OAM11G_WLS_ADMIN_PORT: 7001
OAM11G_WLS_ADMIN_USER: weblogic
DOMAIN_NAME: OIMDomain
DOMAIN_LOCATION: ASERVER_HOME
第12.23.4項の手順2に対して追加された値、および変更された値は太字で示されています。プロパティ定義は同じですが、1点、次の追加があります。
Oracle Identity ManagerのコンポーネントがAccess Managerのコンポーネントとは別のドメインにある場合、OAM11G_WLS_ADMIN_HOST、OAM11G_WLS_ADMIN_PORTおよびOAM11G_WLS_ADMIN_USERによってOAMドメインの詳細を指定します。
スクリプトの実行時に、手順3で説明されているように情報の入力が求められます。Access ManagerとOracle Identity Managerが別のドメインにある場合は、さらに次の情報の入力が求められます。
Access Managerのドメイン・ユーザーのパスワード
第12.23.4項の手順の最後に、両方のドメインのWebLogic管理サーバーを再起動します。
Oracle Identity Managerの構成後にバックアップを行う場合、IDMDomainに加えてOIMDomainもバックアップします。第17.6.3項「インストール時および構成時のバックアップの実行」を参照してください。
シングル・サインオンの構成後にバックアップを行う場合、IDMDomainに加えてOIMDomainもバックアップします。第17.6.3項「インストール時および構成時のバックアップの実行」を参照してください。
第13.3.1項「utils.CertGenユーティリティを使用した自己署名証明書の生成」の手順4で、utils.CertGenツールを実行するときにOIMADMINVHN.mycompany.comに関する追加の証明書を作成します。次に例を示します。
java utils.CertGen Key_Passphrase OIMADMINVHN.mycompany.com_cert OIMADMVHN.mycompany.com_key domestic OIMADMINVHN.mycompany.com
また、第13.3.2項「utils.ImportPrivateKeyユーティリティを使用したIDキーストアの作成」でも、OIMADMINVHN.mycompany.comに関する手順を実行します。
分割ドメイン・トポロジを使用する場合は、次の管理タスクを追加で実行します。
この項には次のトピックが含まれます:
第17.7.2項「Identity and Access Managementへのパッチ適用」では、シングル・ドメイン・トポロジ内のIdentity and Access managementにパッチを適用する方法について説明しています。
分割ドメイン・トポロジでは、Oracle Identity Managerは他のコンポーネントとは別のドメインにあるため、次のようにパッチを適用します。
IDMDomainのMW_HOME
共通のパッチ
Oracle Access Managerのパッチ
IDMツールのパッチ
OIMDomain MW_HOME
共通のパッチ
Oracle Identity Managerのパッチ
IDMツールのパッチ
Identity Management MW_HOME
共通のパッチ
Oracle Internet Directoryのパッチ
Oracle Virtual Directoryのパッチ
OIMDomainにパッチを適用する間、IDMDomain内のプロセスを停止する必要はありません。同様に、IDMDomainにパッチを適用する間、OIMDomain内のプロセスを停止する必要はありません。
ドメインの作成後、Oracle Identity Managerの構成後、およびシングル・サインオンの構成後にバックアップを行う場合、IDMDomain内のディレクトリに加えてOIMDomainもバックアップします。第17.6.3項「インストール時および構成時のバックアップの実行」を参照してください。
