6 Oracle Access Managementの構成

この章では、Oracle Access Managementを構成する方法について説明します。内容は次のとおりです。

• 概要

• 開始前の重要な注意点

• Oracle Access Managementのインストールおよび構成ロードマップ

• オプション: データベースのTDEの有効化

• 新しいWebLogicドメインにおけるOracle Access Management

• サーバーの起動

• オプションのインストール後の手順

• Oracle Access Managementのインストールの検証

• Oracle Access Managerエージェントの設定

• OIMとの統合の設定

• Oracle Access Managementのインストール後のスタート・ガイド

6.1 概要

Oracle Identity and Access Management 11gリリース2 (11.1.2.1.0)には、次のサービスを含むOracle Access Managementが含まれます。

• Oracle Access Manager

• Oracle Access Management Security Token Service

• Oracle Access Management Identity Federation

• Oracle Access Management Mobile and Social

注意: Oracle Access Managementの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle製品の概要に関する項を参照してください。

6.2 開始前の重要な注意点

このガイドで説明されるいずれかのシナリオでOracle Identity and Access Management製品のインストールおよび構成が開始される前に、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Identity Navigator、Oracle Privileged Account ManagerおよびOracle Access Management Mobile and Socialを含むOracleホーム・ディレクトリを参照するために、IAM_Homeが使用されます。このOracleホーム・ディレクトリには任意の名前を指定できます。

6.3 Oracle Access Managementのインストールおよび構成ロードマップ

表6-1で、Oracle Access Managementのインストールおよび構成の手順を説明します。

表6-1 Oracle Access Managementのインストールおよび構成のフロー

番号	タスク	説明
1	インストレーション・プランニング・ガイドでインストール概念を確認します。	『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』を読みます。このドキュメントには、ユーザーの既存の環境に応じて、様々なユーザーがOracle Fusion Middleware 11g(11.1.2)をインストールまたはアップグレードする手順が記載されています。
2	システム要件および動作保証のドキュメントを読み、環境がインストールするコンポーネントの最低のインストール要件を満たしていることを確認します。	詳細は、第2.1項「システム要件および動作保証の確認」を参照してください。
3	Oracle Fusion Middlewareソフトウェアを入手します。	詳細は、第3.2.1項「Oracle Fusion Middlewareソフトウェアの入手」を参照してください。
4	データベース要件を確認します。	詳細は、第3.2.2項「データベース要件」を参照してください。 第6.4項「オプション: データベースのTDEの有効化」も参照してください。
5	Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用して、Oracle Identity and Access Management製品に対する適切なスキーマを作成し、ロードします。	詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
6	WebLogic Serverおよびミドルウェア・ホームの要件を確認します。	詳細は、第3.2.4項「WebLogic Serverおよびミドルウェア・ホーム要件」を参照してください。
7	Oracle Identity and Access Managementインストーラを起動します。	詳細は、第3.2.6項「Oracle Identity and Access Managementインストーラの起動」を参照してください。
8	Oracle Identity and Access Management 11gソフトウェアをインストールします。	Oracle Access Managementは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management Suiteをインストールするには、Oracle Identity and Access Management 11gインストーラを使用します。 詳細は、第3.2.7項「Oracle Identity and Access Management 11gリリース2 (11.1.2.1.0)」を参照してください。
9	Oracle Fusion Middleware構成ウィザードを実行して、新規または既存のWebLogicドメイン内でOracle Identity and Access Management製品を構成します。	詳細は、第6.5項「新しいWebLogicドメインにおけるOracle Access Management」を参照してください。
10	データベース・セキュリティ・ストアを構成します。	詳細は、第3.2.9項「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。
11	サーバーを起動します。	管理サーバーとすべての管理対象サーバーを起動する必要があります。詳細は、第6.6項「サーバーの起動」を参照してください。
12	インストール後のタスクを実行してください。	次のインストール後のタスクを実行してください。 第6.7項「オプションのインストール後の手順」 第6.8項「Oracle Access Managementのインストールの検証」 第6.9項「Oracle Access Managerエージェントの設定」 第6.10項「OIMとの統合の設定」 第6.11項「Oracle Access Managementのインストール後のスタート・ガイド」

6.4オプション: データベースのTDEの有効化

Oracle Access Managementのデータベースに透過的データ暗号化(TDE)を設定するには、次の手順を完了します。

1. ENCRYPTION_WALLET_LOCATIONパラメータをデータベースのsqlnet.oraファイルに追加します。

   ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA= (DIRECTORY=<DB_WALLET_DIRECTORY>)))

2. データベースを再起動します。

3. 次のSQL問合せをSYSDBAとして実行して、暗号化された表領域を作成します。

   1. ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY "<PASSWORD>"

   2. CREATE TABLESPACE <TABLESPACE_NAME> EXTENT MANAGEMENT LOCAL AUTOALLOCATE SEGMENT SPACE MANAGEMENT AUTO DATAFILE '<DATA_FILE_LOCATION>' SIZE 100M AUTOEXTEND ON NEXT 50M MAXSIZE UNLIMITED ENCRYPTION DEFAULT STORAGE(ENCRYPT);

      
      

      注意: ENCRYPTIONパラメータについては、DEFAULTを使用することも、他のオプションを指定することもできます。

      
      

Oracle Access Managementの透過的データ暗号化(TDE)を設定した後に、Oracle Fusion Middleware Repository Creation Utility (RCU)を実行してOracle Access Managementスキーマを作成します。詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。

注意: RCUを使用してOracle Access Managementスキーマを作成する際には、「表領域のマップ」画面において、手順3bでOracle Access Management用に作成した表領域を使用してください。 詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』の表領域のマップに関する項を参照してください。

6.5 新しいWebLogicドメインにおけるOracle Access Management

このトピックでは、新しいWebLogicドメインにOracle Access Managementを構成する方法を説明します。

内容は、次のとおりです。

• 適切なデプロイメント環境

• デプロイされるコンポーネント

• 依存関係

• 手順

6.5.1 適切なデプロイメント環境

後から同じドメインにOracle Identity Navigator、Oracle Identity Manager、Oracle Adaptive Access Managerなどの他のOracle Identity and Access Management 11gコンポーネントを追加する可能性がある環境にOracle Access Managementのみをインストールする場合、この項の構成を実行してください。

6.5.2 デプロイされるコンポーネント

この項の構成を実行すると、次のOracle Access Managementコンポーネントがデプロイされます。

• Oracle Access Manager

• Oracle Access Management Security Token Service

• Oracle Access Management Identity Federation

• Oracle Access Management Mobile and Social

6.5.3 依存性

この項の構成は、次のものに依存しています。

• Oracle WebLogic Server 11gリリース1 (10.3.6)またはOracle WebLogic Server 11gリリース1 (10.3.5)。

• Oracle Identity and Access Management 11gソフトウェアのインストール。

• Oracle Access Managementのデータベース・スキーマ。詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。

6.5.4 手順

新しいWebLogicドメインでOracle Access Managementを構成するには、次の手順を実行します。

1. Oracle Fusion Middleware構成ウィザードを起動するには、<IAM_Home>/common/bin/config.shスクリプト(UNIXの場合)または<IAM_Home>\common\bin\config.cmd(Windowsの場合)を実行します。

   Oracle Fusion Middleware構成ウィザードが表示されます。

2. 「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。

3. 「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Access Management - 11.1.2.0.0 [IAM_Home]を選択し、「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。

   
   

   注意: Oracle Access Management - 11.1.2.0.0 [IAM_Home]オプションを選択すると、次のオプションもデフォルトで選択されます。 Oracle Platform Security Service 11.1.1.0 [IAM_Home] Oracle JRF - 11.1.1.0 [oracle_common]

   
   

4. 作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。

5. 管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。

6. 「サーバーの起動モードおよびJDKの構成」画面が表示されます。「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。

7. 「JDBCコンポーネント・スキーマの構成」画面で、OAMインフラストラクチャ・スキーマまたはOPSSスキーマなど、変更するコンポーネント・スキーマを選択します。

   スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。JDBCコンポーネント・スキーマのテスト画面が表示されます。テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。

8. 「オプションの構成を選択」画面では、「管理サーバー」および「管理対象サーバー、クラスタ、およびマシン」を構成できます。「次へ」をクリックします。

9. オプション: 次の管理サーバー・パラメータを構成します。

   • 名前

   • リスニング・アドレス

   • リスニング・ポート

   • SSLリスニング・ポート

   • SSLが有効か無効か

10. オプション: 必要に応じて、管理対象サーバーを構成します。

    
    

    注意: 同じマシンに管理対象サーバーを構成する場合、必ず管理サーバーと異なるポートを使用してください。

    
    

11. オプション: 必要に応じて、クラスタを構成します。

    Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のIdentity Managementコンポーネントの高可用性の構成に関する項を参照してください。

12. オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。

13. 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。

    
    

    ヒント: マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。

    
    

14. 管理サーバーがマシンに割り当てられていない場合でも、マシンへの割当てが可能です。

    特定のクラスタまたはサーバーをターゲットとしているアプリケーションおよびライブラリなどのデプロイメントおよびサービスは、デフォルトで選択されています。

15. oam_server1など、新たに作成された管理対象サーバーをマシンに割り当てます。

16. 「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。

Oracle Access Managementをサポートする新しいWebLogicドメインが<MW_HOME>\user_projects\domainsディレクトリ(Windowsの場合)に作成されます。UNIXでは、ドメインは<MW_HOME>/user_projects/domainsディレクトリに作成されます。

注意: Oracle Access Managementを新しいWebLogic管理ドメインに構成した後、データベース・セキュリティ・ストアを構成する必要があります。詳細は、第3.2.9項「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。 Oracle Access Managementを構成した後、Oracle Access Managerのみがデフォルトで有効になります。OSTS、OIF、Oracle Access Management Mobile and Socialなどの他のOracle Access Managementコンポーネントを有効にするには、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の使用可能なサービスの有効化または無効化に関する項を参照してください。

6.6 サーバーの起動

Oracle Access Managementをインストールおよび構成した後、Oracle WebLogic Administration Serverおよび様々な管理対象サーバーを実行する必要があります。付録C「スタックの起動」を参照してください。Oracle Access Management管理サーバーを起動してから、管理対象サーバーを起動してください。

6.7 オプションのインストール後の手順

Oracle Access Managementをインストールおよび構成した後、次のオプションの手順を実行できます。

• デフォルトの埋込みLDAP (Oracle WebLogic Server付属)のかわりに、任意のLDAPの構成。

• リソースの保護のためのポリシー・ストアの構成。

• 既存のドメインへの管理対象サーバーの追加。

• 管理対象サーバー・インスタンスの追加。

詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。

6.8 Oracle Access Managementのインストールの検証

インストールを完了し、インストール後の手順も実行した後、次のようにしてOracle Access Managementのインストールおよび構成を検証できます。

1. 管理サーバーと管理対象サーバーが起動しており、稼働中であることを確認します。

2. http://<adminserver-host>:<adminserver-port>/oamconsoleのURLを使用してOracle Access Managementの管理コンソールにログインします。

   管理サーバー上で稼動しているこの管理コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。管理者のロールと権限を持っている必要があります。

3. Oracle WebLogic Server管理コンソールを検証します。Oracle Access Managementのインストールと構成が成功していれば、このコンソールに実行モードの管理サーバーが表示されます。

6.9 Oracle Access Managerエージェントの設定

Oracle Access Managerエージェントの設定の詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』を参照してください。

6.10 OIMとの統合の設定

Oracle Access ManagementとOracle Identity Manager (OIM)の統合の設定については、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess ManagerとOracle Identity Managerの統合に関する項を参照してください。

6.11 Oracle Access Managementのインストール後のスタート・ガイド

Oracle Access Managementのインストール後、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の「一般的な管理およびナビゲーションのスタート・ガイド」を参照してください。

注意: Oracle Access Managementテンプレートを使用してOracle Access Managementを構成すると、Oracle Access Managerのみがデフォルトで有効になります。Security Token Service、Identity Federation、Oracle Access Management Mobile and Socialなど、その他サービスを有効にするには、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の使用可能なサービスの有効化または無効化に関する項を参照してください。