| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.1.0) B71104-03 |
|
前 |
次 |
この章では、Oracle Access Management Access Manager (Access Manager)、Oracle Identity Manager、Oracle Virtual DirectoryおよびOracle Internet Directoryを統合する方法について説明します。次の構成手順は、第1章「概要」で説明したとおり、これらのコンポーネントが単一ノード・トポロジにインストールされていることを前提としています。
Access ManagerとOracle Identity Managerをエンタープライズ・デプロイメント用に統合する場合は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
この統合例で説明してるコンポーネントのインストール方法の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドを参照してください。
|
注意: この章の手順では、Oracle Internet Directoryがアイデンティティ・ストアとして構成され、Oracle Virtual Directoryがフロントエンドとなってデータ・ソースを仮想化していることを前提としています。他のコンポーネント構成も可能です。サポートされている構成の詳細は、Oracle Technology Networkにあるシステム要件と動作保証情報のドキュメントを参照してください。 |
この章では、次の内容を説明します。
この統合シナリオにより、Identity Managerでアイデンティティを管理し、Oracle Access Managerでリソースへのアクセスを制御できるようになります。Oracle Identity Managerは、ユーザー・アカウント管理を自動化する、ユーザーのプロビジョニングおよび管理ソリューションです。一方、Access Managerは集中管理された自動シングル・サインオン(SSO)ソリューションです。
Access Managerでは、ポリシーおよび構成データ用にデータベースを使用し、アイデンティティ・データ用に単一ディレクトリを使用します。この構成シナリオでは、Oracle Virtual Directoryが、単一のディレクトリ・サーバー、すなわちOracle Internet Directoryのフロントエンドとなっていることを前提としています。
Identity Managementコンポーネントは、単一のWebLogic Serverドメインにデプロイできます。これは開発環境やテスト環境の場合に便利です。クロス・ドメイン(分割ドメインとも呼ばれる)デプロイメント(Access ManagerとOracle Identity Managerが異なるWebLogic Serverドメインにインストールされる)になるようにコンポーネントを構成することもできます。
Access ManagerとOracle Identity Managerが統合されている場合のパスワード管理フローの詳細は、第1.5.3項「パスワード管理シナリオ」を参照してください。
表7-1は、Access ManagerおよびOracle Identity ManagerをOracle Virtual DirectoryおよびOracle Internet Directoryと統合するための大まかなタスクをリストしたものです。
表7-1 Oracle Access ManagerとOracle Identity Managerの統合フロー
| 番号 | タスク | 情報 |
|---|---|---|
|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「統合の要件」を参照してください。 |
|
2 |
Oracle Identity Managerに対してLDAP同期を有効にします。 |
詳細は、次のものを参照してください。
(すべて『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』内) Oracle Identity Managerの詳細は、表7-2「統合シナリオに必要なコンポーネント」を参照してください。 |
|
3 |
スキーマを拡張することによってアイデンティティ・ストアを構成します。 |
詳細は、「Access Manager用のディレクトリ・スキーマの拡張」を参照してください。 |
|
4 |
Access Managerにより必要とされるユーザーでアイデンティティ・ストアを構成します。 |
詳細は、「Access Manager用のユーザーおよびグループの作成」を参照してください。 |
|
5 |
Oracle Identity Managerにより必要とされるユーザーでアイデンティティ・ストアを構成します。 |
詳細は、「Oracle Identity Manager用のユーザーおよびグループの作成」を参照してください。 |
|
6 |
Oracle WebLogic Serverにより必要とされるユーザーでアイデンティティ・ストアを構成します。 |
詳細は、「Oracle WebLogic Server用のユーザーおよびグループの作成」を参照してください。 |
|
7 |
OVDユーザーおよび変更ログ・アダプタを編集し、 |
詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Virtual Directoryでのアダプタの作成に関する項を参照してください。 Oracle Virtual Directoryの詳細は、表7-2「統合シナリオに必要なコンポーネント」を参照してください。 |
|
8 |
Access ManagerおよびOracle Identity ManagerのOracle WebLogic Server管理対象サーバーを停止します。 |
詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle WebLogic Serverインスタンスの起動および停止に関する項を参照してください。 |
|
9 |
Oracle Identity ManagerをサポートするようにAccess Managerを拡張します。 |
詳細は、「統合のためのAccess Managerの構成」を参照してください。 |
|
10 |
Access ManagerとOracle Identity Managerを統合します。 |
詳細は、「Access ManagerとOracle Identity Managerの統合」を参照してください。 |
|
11 |
11g OAMサーバーを指すように、OHSサーバーでWebゲートを構成します。 |
詳細は、「OIM上のリソースをフロントエンドするためのOracle HTTP Serverの構成」を参照してください。 |
|
12 |
IDMドメイン・エージェントを削除し、Oracle WebLogic Serverの管理サーバーおよび管理対象サーバーを起動します。 |
詳細は、「ドメイン・エージェントが削除された状態でのサーバーの起動」を参照してください。 |
|
13 |
統合をテストします。 |
詳細は、「統合のテスト」を参照してください。 |
|
14 |
環境に応じて、ドメイン・エージェントをOHS 10g Webゲートに移行します。 |
詳細は、「ドメイン・エージェントから10g WebゲートおよびOHS 11gへの移行」を参照してください。 |
|
15 |
環境に応じて、SOAサーバーのデフォルト・コンポジットを更新します。 |
詳細は、「すぐに使用できるSOAサーバー・コンポジットの更新」を参照してください。 |
Access ManagerをOracle Identity Managerとともに構成する前に、この項にリストされている必須コンポーネント(依存関係を含む)をインストールし、環境を構成する必要があります。統合トポロジの詳細は、第1.2項「統合トポロジ」を参照してください。
|
注意: インストール情報については、次の文献の手順に従います。
|
表7-2は、Access ManagerおよびOracle Identity Managerの統合タスクを実行する前にインストールおよび構成する必要のあるコンポーネントをリストしたものです。
表7-2 統合シナリオに必要なコンポーネント
| コンポーネント | 情報 |
|---|---|
|
Oracleデータベース |
詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 |
|
Oracle WebLogic Server 10.3.6 |
詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 『Oracle Fusion Middleware Installation Guide for Oracle WebLogic Server』 |
|
Repository Creation Utility (RCU) |
Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)はOracle Technology Network (OTN) Webサイトで入手できます。RCUの使用方法の詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。 注意: 一部のOracle Identity and Access Managementコンポーネントをインストールする前に、必要なすべてのスキーマを作成する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 |
|
Access Manager |
詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementのインストールに関する項およびAccess Managerの構成に関する項を参照してください。 |
|
11g Webゲートまたは10g Webゲートを含むOracle HTTP Server |
詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項を参照してください。 Access Managerとの統合が完了した後で、Oracle Identity Manager管理ページが正しく起動されるように、OHSプロファイルを更新する必要があります。詳細は、「OIM上のリソースをフロントエンドするためのOracle HTTP Serverの構成」を参照してください。 |
|
Oracle Identity Manager |
詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementのインストールと構成に関する項およびOracle Identity Managerの構成に関する項を参照してください。 注意: Oracle Identity Managerの構成の際、LDAPディレクトリをアイデンティティ・ストアとして使用するには、あらかじめこれを構成する必要があります。LDAP同期の有効化の要件を含め、すべてのインストール指示に従ってください。詳細は、次のドキュメントを参照してください。
(すべて『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』内) 注意: Oracle Identity Managerのインストール時に、wlfullclient.jarを作成する必要があります。このファイルは統合手順を実行する前に存在している必要があります。慎重にインストール手順に従ってください。 |
|
Oracle Virtual Directory |
詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Virtual Directoryの構成に関する項を参照してください。 Oracle Virtual Directoryをアイデンティティ・ストアとともに使用し始める前に、使用する各ディレクトリのアダプタを作成する必要があります。この統合シナリオでは、アダプタごとに |
|
Oracle Internet Directory |
詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』のOracle Internet Directoryの構成に関する項を参照してください。 |
|
Oracle SOA Suite |
詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。 |
アイデンティティ・ストアは、Access Manager、Oracle Identity ManagerおよびOracle WebLogic Serverで使用できるように構成する必要があります。必要なユーザーおよびグループがシードされる必要があります。
この項の内容は次のとおりです。
idmConfigToolを使用して、Oracle Internet Directoryでスキーマを拡張するようアイデンティティ・ストアを構成します。idmConfigToolコマンドの詳細は、第2章「idmConfigToolコマンドの使用方法」を参照してください。
idmconfigtoolに必要な環境変数を設定します。詳細は、第2.2項「環境変数の設定」を参照してください。
たとえばextendOAMPropertyFileなどの名前のプロパティ・ファイルを、次のような内容で作成します。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
説明:
IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
Oracle Internet Directory以外のディレクトリを使用している場合は、Oracle Virtual Directoryホスト(IDSTORE.example.comになります)を指定します。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERNAMEATTRIBUTEは、アイデンティティ・ストア内のユーザーの設定および検索に使用されます。このプロパティは、ユーザーDNの一部に設定する必要があります。たとえば、ユーザーDNがcn=orcladmin,cn=Users,dc=us,dc=example,dc=comの場合、このプロパティをcnに設定する必要があります。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を含むアイデンティティ・ストアのログイン属性です。これは、ユーザーがログインに使用する属性です(たとえば、uid、email)。
IDSTORE_USERSEARCHBASEは、ユーザーを格納するディレクトリ内の場所に設定する必要があります。このプロパティは、ユーザーを検索するディレクトリを示します。
IDSTORE_GROUPSEARCHBASEは、グループ(またはロール)を格納するディレクトリ内の場所に設定する必要があります。このプロパティは、グループまたはロールを検索するディレクトリを示します。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリ内の場所に設定する必要があります。このプロパティは、USERSEARCHBASEおよびGROUPSEARCHBASEを含む親の場所です。
次に例を示します。
IDSTORE_SEARCHBASE: cn=oracleAccounts, dc=example,dc=com IDSTORE_USERSEARCHBASE: cn=Users,cn=oracleAccounts,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,cn=oracleAccounts,dc=example,dc=com
IDSTORE_SYSTEMIDBASEは、システム処理ユーザーを、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーと分離されるように格納するディレクトリ内のコンテナの場所です。システム処理ユーザーは限られています。その一例としてOracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Managerリコンシリエーション・ユーザーがあげられます。
次の場所にあるidmConfigToolコマンドを-preConfigIDStoreを指定して使用し、アイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
-preConfigIDStoreコマンドは、Oracle Internet Directory、Oracle Unified DirectoryおよびOracle Virtual Directoryをサポートします。
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -preConfigIDStore input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -preConfigIDStore input_file=configfile
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。
Oracle Virtual Directoryに対して実行した場合のコマンド出力例:
Enter ID Store Bind DN password: May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/idm_idstore_groups_template.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/idm_idstore_groups_acl_template.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/systemid_pwdpolicy.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/idstore_tuning.ldif May 25, 2011 2:37:18 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oid_schema_extn.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/OID_oblix_pwd_schema_add.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/OID_oim_pwd_schema_add.ldif May 25, 2011 2:37:19 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/OID_oblix_schema_add.ldif May 25, 2011 2:37:34 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/schema/OID_oblix_schema_index_add.ldif The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.logファイルが作成されます。ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
idmConfigToolでは、ユーザーのほか、グループOrclPolicyAndCredentialWritePrivilegeGroupおよびOrclPolicyAndCredentialReadPrivilegeGroupも作成されます。
idmConfigToolを使用し、次のようにしてAccess Managerで必要なユーザーをアイデンティティ・ストアにシードします。idmConfigToolコマンドの詳細は、第2章「idmConfigToolコマンドの使用方法」を参照してください。
idmconfigtoolに必要な環境変数を設定します。
たとえばpreconfigOAMPropertyFileなどの名前のプロパティ・ファイルを、次のような内容で作成します。このファイルは、アイデンティティ・ストアの事前構成に使用されます。
IDSTORE_HOST : idstore.example.com
IDSTORE_PORT : 389
IDSTORE_BINDDN : cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
POLICYSTORE_SHARES_IDSTORE: true
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators
IDSTORE_OAMSOFTWAREUSER:oamLDAP
IDSTORE_OAMADMINUSER:oamadmin
説明:
IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
Oracle Internet Directory以外のディレクトリを使用する場合は、Oracle Virtual Directoryホストを指定します。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERNAMEATTRIBUTEは、アイデンティティ・ストア内のユーザーの設定および検索に使用されます。このプロパティは、ユーザーDNの一部に設定する必要があります。たとえば、ユーザーDNがcn=orcladmin,cn=Users,dc=us,dc=example,dc=comの場合、このプロパティをcnに設定する必要があります。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を含むアイデンティティ・ストアのログイン属性です。これは、ユーザーがログインに使用する属性です(たとえば、uid、email)。
IDSTORE_USERSEARCHBASEは、ユーザーを格納するディレクトリ内の場所に設定する必要があります。このプロパティは、ユーザーを検索するディレクトリを示します。
IDSTORE_GROUPSEARCHBASEは、グループ(またはロール)を格納するディレクトリ内の場所に設定する必要があります。このプロパティは、グループまたはロールを検索するディレクトリを示します。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリ内の場所に設定する必要があります。このプロパティは、USERSEARCHBASEおよびGROUPSEARCHBASEを含む親の場所です。
POLICYSTORE_SHARES_IDSTOREは、ポリシー・ストアとアイデンティティ・ストアが同じディレクトリに存在する場合はtrueに設定します。そうでない場合は、falseに設定します。
OAM11G_IDSTORE_ROLE_SECURITY_ADMINは、Oracle Access Management管理コンソールへのアクセスを可能にするために使用するグループの名前です。
IDSTORE_OAMSOFTWAREUSERは、Access ManagerがディレクトリまたはLDAPサーバーとの対話に使用するディレクトリの名前です。このユーザーはツールによって作成されます。
IDSTORE_OAMADMINUSERは、Oracle Access Management管理者として作成するユーザーの名前です。このユーザーはツールによって作成されます。
次の場所にあるidmConfigToolコマンドを-prepareIDStoreを指定して使用し、アイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OAM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OAM input_file=configfile
このコマンドでは、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。その後、次の3つのアカウントのパスワードを作成するように要求されます。
Oblix匿名ユーザー・アカウント
OAM管理者アカウント
OAM LDAPアカウント
コマンドの出力例:
Enter ID Store Bind DN password: May 25, 2011 2:44:59 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_schema_extn.ldif *** Creation of Oblix Anonymous User *** May 25, 2011 2:44:59 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_10g_anonymous_user_template.ldif Enter User Password for oblixanonymous: Confirm User Password for oblixanonymous: *** Creation of oamadmin *** May 25, 2011 2:45:08 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_user_template.ldif Enter User Password for oamadmin: Confirm User Password for oamadmin: *** Creation of oamLDAP *** May 25, 2011 2:45:16 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_user_template.ldif Enter User Password for oamLDAP: Confirm User Password for oamLDAP: May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/common/oam_user_group_read_acl_template.ldif May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_group_template.ldif May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_group_member_template.ldif May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_config_acl.ldif May 25, 2011 2:45:21 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oid_schemaadmin.ldif The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.logファイルが作成されます。ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
idmConfigToolを使用し、次のようにしてOracle Identity Managerで必要なユーザーをアイデンティティ・ストアにシードします。idmConfigToolコマンドの詳細は、第2章「idmConfigToolコマンドの使用方法」を参照してください。
Oracle Identity ManagerのかわりにOracle Internet Directoryで操作を実行するにはシステム・ユーザーが必要です。システム・コンテナでこのユーザーを作成し、Oracle Identity Managerが通信するすべてのコンテナを制御するのに適した権限を付与します。Oracle Virtual Directoryは、これらの資格証明を使用してバックエンド・ディレクトリに接続します。
idmconfigtoolに必要な環境変数を設定します。
たとえばpreconfigOIMPropertyFileなどの名前のプロパティ・ファイルを、次のような内容で作成します。このファイルは、アイデンティティ・ストアの事前構成に使用されます。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_OIMADMINUSER: oimLDAP IDSTORE_OIMADMINGROUP: OIMAdministrators
説明:
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
OID以外のディレクトリを使用している場合は、Oracle Virtual Directoryのホスト(IDSTORE.example.com)を指定します。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERNAMEATTRIBUTEは、アイデンティティ・ストア内のユーザーの設定および検索に使用されます。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を含むアイデンティティ・ストアのログイン属性です。
IDSTORE_USERSEARCHBASEは、ユーザーを配置するアイデンティティ・ストアの場所です。
IDSTORE_GROUPSEARCHBASEは、グループを配置するアイデンティティ・ストアの場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリ内の場所です。
POLICYSTORE_SHARES_IDSTOREは、ポリシー・ストアとアイデンティティ・ストアが同じディレクトリに存在する場合はtrueに設定します。そうでない場合は、falseに設定します。
IDSTORE_SYSTEMIDBASEは、Oracle Identity Managerリコンシリエーション・ユーザーを配置するディレクトリの場所です。
IDSTORE_OIMADMINUSERは、アイデンティティ・ストアに接続するためにOracle Identity Managerが使用するユーザーです。
IDSTORE_OIMADMINGROUPは、Oracle Identity Manager管理ユーザーを保持するために作成するグループの名前です。
次の場所にあるidmConfigToolコマンドを-prepareIDStoreを指定して使用し、アイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OIM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OIM input_file=configfile
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。このコマンドでは、次の2つのアカウントのパスワードも作成するように要求されます。
IDSTORE_OIMADMINUSER
xelsysadm。この値は、Oracle Identity Managerを構成するときに作成した値と一致する必要があります。
コマンドの出力例:
Enter ID Store Bind DN password: *** Creation of oimLDAP *** Apr 5, 2011 4:58:51 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_user_template.ldif Enter User Password for oimLDAP: Confirm User Password for oimLDAP: Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_group_template.ldif Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_group_member_template.ldif Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_groups_acl_template.ldif Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oim_reserve_template.ldif *** Creation of Xel Sys Admin User *** Apr 5, 2011 4:59:01 AM oracle.ldap.util.LDIFLoader loadOneLdifFileINFO: -> LOADING: /u01/app/oracle/product/fmw/iam/idmtools/templates/oid/oam_user_template.ldif Enter User Password for xelsysadm: Confirm User Password for xelsysadm: The tool has completed its operation. Details have been logged to /home/oracle/idmtools/oim.log
このツールを実行したディレクトリにautomation.logファイルが作成されます。ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
管理コンソールに対するシングル・サインオンを有効にするには、WebLogic Server管理コンソールとOracle Enterprise Manager Fusion Middleware Controlにログインする権限を持つユーザーがアイデンティティ・ストアに存在することを確認する必要があります。idmConfigToolを使用し、次のようにしてWebLogic Serverで必要なユーザーをアイデンティティ・ストアにシードします。idmConfigToolコマンドの詳細は、第2章「idmConfigToolコマンドの使用方法」を参照してください。
idmconfigtoolに必要な環境変数を設定します。
たとえばpreconfigWLSPropertyFileという名前のプロパティ・ファイルを、次のような内容で作成します。このファイルは、アイデンティティ・ストアの事前構成に使用されます。
IDSTORE_HOST : idstore.example.com IDSTORE_PORT : 389 IDSTORE_BINDDN : cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_WLSADMINUSER: weblogic_idm IDSTORE_WLSADMINGROUP: wlsadmingroup IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true
説明:
IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。Oracle Internet Directoryにアイデンティティ・ストアがある場合は、その前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTがOracle Internet Directoryを指している必要があります。
Oracle Internet Directory以外のディレクトリを使用している場合は、Oracle Virtual Directoryホスト(IDSTORE.example.comになります)を指定します。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_USERNAMEATTRIBUTEは、アイデンティティ・ストア内のユーザーの設定および検索に使用されます。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を含むアイデンティティ・ストアのログイン属性です。
IDSTORE_WLSADMINUSERは、Oracle WebLogic Serverのアイデンティティ・ストア管理者です。
IDSTORE_WLSADMINGROUPは、Oracle WebLogic Serverのアイデンティティ・ストア管理者グループです。
IDSTORE_USERSEARCHBASEは、ユーザーを格納するディレクトリ内の場所です。
IDSTORE_GROUPSEARCHBASEは、グループを格納するディレクトリ内の場所です。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリ内の場所です。
POLICYSTORE_SHARES_IDSTOREは、ポリシー・ストアとアイデンティティ・ストアが同じディレクトリに存在する場合はtrueに設定します。そうでない場合は、falseに設定します。
次の場所にあるidmConfigToolコマンドを-prepareIDStoreを指定して使用し、アイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=WLS input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=WLS input_file=configfile
このコマンドでは、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。その後、次のアカウントのパスワードを作成するように要求されます。
WebLogic管理ユーザー(weblogic_idm)
コマンドの出力例:
Enter ID Store Bind DN password : *** Creation of Weblogic Admin User *** Jul 28, 2013 10:16:30 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/binojose/Oracle/ipftest/Oracle_IDM1/idmtools/templates/oid/oam_user_template.ldif Enter User Password for weblogic_idm: Confirm User Password for weblogic_idm: Jul 28, 2013 10:16:38 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/binojose/Oracle/ipftest/Oracle_IDM1/idmtools/templates/oid/fa_add_pwdpolicy.ldif Jul 28, 2013 10:16:38 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/binojose/Oracle/ipftest/Oracle_IDM1/idmtools/templates/oid/weblogic_admin_group.ldif Jul 28, 2013 10:16:39 PM oracle.ldap.util.LDIFLoader loadOneLdifFile INFO: -> LOADING: /scratch/binojose/Oracle/ipftest/Oracle_IDM1/idmtools/templates/common/group_member_template.ldif The tool has completed its operation. Details have been logged to automation.log
このツールを実行したディレクトリにautomation.logファイルが作成されます。ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
Oracle Identity ManagerとAccess Manager 11gを統合する前に、Oracle Identity Managerをサポートするように、Access Manager 11gを拡張する必要があります。idmConfigToolコマンドの詳細は、第2章「idmConfigToolコマンドの使用方法」を参照してください。
idmconfigtoolに必要な環境変数を設定します。
グローバル・パスフレーズを設定します。
Oracle Access Managerは、デフォルトでオープン・セキュリティ・モデルを使用するように構成されています。次の手順では、idmConfigToolを使用してセキュリティ・モデルを変更し、その結果としてグローバル・パスフレーズを設定する必要があります。グローバル・パスフレーズとWebゲートのアクセス・パスワードは同じにする必要はありませんが、同じにすることをお薦めします。次のようにします。
WebLogic管理ユーザーとしてOracle Access Management管理コンソールにログインします。
http://oam_adminserver_host:port/oamconsole
「システム構成」タブをクリックします。
「Access Manager」セクションの「Access Managerの設定」をクリックします。
「オープン」を「アクション」メニューで選択します。Access Managerの設定が表示されます。
OAMサーバーで簡易セキュリティ・モードを使用することを計画している場合は、グローバル・パスフレーズを指定します。
「適用」をクリックします。
たとえばOAMconfigPropertyFileなどの名前のプロパティ・ファイルを、次のような内容で作成します。
|
注意: このツールで作成されたデフォルト以外のアイデンティティ・ストアがすでに設定されている場合、 |
WLSHOST: adminvhn.example.com WLSPORT: 7001 WLSADMIN: weblogic IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_OAMSOFTWAREUSER: oamLDAP IDSTORE_OAMADMINUSER: oamadmin IDSTORE_DIRECTORYTYPE: OVD POLICYSTORE_SHARES_IDSTORE: true PRIMARY_OAM_SERVERS: oamhost1.example.com:5575 WEBGATE_TYPE: ohsWebgate10g ACCESS_GATE_ID: Webgate_IDM OAM11G_IDM_DOMAIN_OHS_HOST: sso.example.com OAM11G_IDM_DOMAIN_OHS_PORT: 443 OAM11G_IDM_DOMAIN_OHS_PROTOCOL: https OAM11G_WG_DENY_ON_NOT_PROTECTED: false OAM11G_IMPERSONATION_FLAG: true OAM_TRANSFER_MODE: simple OAM11G_OAM_SERVER_TRANSFER_MODE: simple OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp,/oamsso/logout.html,/cgi-bin/logout.pl OAM11G_SERVER_LOGIN_ATTRIBUTE: uid COOKIE_DOMAIN: .example.com OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators OAM11G_SSO_ONLY_FLAG: false OAM11G_OIM_INTEGRATION_REQ: true OAM11G_SERVER_LBR_HOST: sso.example.com OAM11G_SERVER_LBR_PORT: 443 OAM11G_SERVER_LBR_PROTOCOL: https COOKIE_EXPIRY_INTERVAL: 120 OAM11G_OIM_OHS_URL: https://sso.example.com:443/ SPLIT_DOMAIN: true
説明:
WLSHOSTおよびWLSPORTは、それぞれ管理サーバーのホストおよびポートです(これが仮想名になります)。
WLSADMINは、WebLogic Server管理コンソールへのログインに使用するWebLogic Server管理ユーザー・アカウントです。
IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。
|
注意: Oracle Internet Directory以外のディレクトリ・サーバーを使用する場合は、Oracle Virtual Directoryのホストおよびポートを指定します。 |
IDSTORE_BINDDNは、Oracle Internet Directory内の管理ユーザーです。
|
注意: Oracle Internet Directory以外のディレクトリ・サーバーを使用する場合は、Oracle Virtual Directory管理ユーザーを指定します。 |
IDSTORE_USERNAMEATTRIBUTEは、アイデンティティ・ストア内のユーザーの設定および検索に使用されます。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を含むアイデンティティ・ストアのログイン属性です。
IDSTORE_USERSEARCHBASEは、Access Managerがユーザーを検索する対象となるコンテナです。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリ内の場所です。
IDSTORE_GROUPSEARCHBASEは、グループを格納するディレクトリ内の場所です。
IDSTORE_OAMSOFTWAREUSERは、LDAPサーバーとのやりとりに使用するユーザーの名前です。
IDSTORE_OAMADMINUSERは、Oracle Access Management管理コンソールへのアクセスに使用するユーザーの名前です。
IDSTORE_DIRECTORYTYPEは、アイデンティティ・ストアのディレクトリ・タイプです。
PRIMARY_OAM_SERVERSは、Access Managerサーバーとそこで使用されるプロキシ・ポートのカンマ区切りリストです。
|
注意: Access Managerサーバーで使用されるプロキシ・ポートを特定する手順は、次のとおりです。
|
WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。有効な値は、Webゲート・バージョン11が使用されている場合は、ohsWebgate11g、Webゲート・バージョン10が使用されている場合は、ohsWebgate10gです。
ACCESS_GATE_IDは、Webゲートに割り当てる名前です。前述のプロパティ値を変更しないでください。
OAM11G_IDM_DOMAIN_OHS_HOSTは、高可用性構成でOHSの前にあるロード・バランサの名前です。
OAM11G_IDM_DOMAIN_OHS_PORTは、ロード・バランサでリスニングするポートです。
OAM11G_IDM_DOMAIN_OHS_PROTOCOLは、ロード・バランサにリクエストを送るときに使用するプロトコルです。
OAM11G_WG_DENY_ON_NOT_PROTECTEDは、10g Webゲートの保護されたフラグの場合に拒否するように設定します。有効な値は、trueとfalseです。
OAM11G_IMPERSONATION_FLAGは、OAMサーバーの偽装機能を有効または無効にします。有効な値は、true (有効化)およびfalse (無効化)です。
OAM_TRANSFER_MODEは、アクセス・サーバーが機能するセキュリティ・モデルです。
OAM11G_OAM_SERVER_TRANSFER_MODEは、Access Managerサーバーのセキュリティ・モデルです。
OAM11G_IDM_DOMAIN_LOGOUT_URLSは、様々なログアウトURLに設定されます。
OAM11G_SERVER_LOGIN_ATTRIBUTEをuidに設定することで、ユーザーのログイン時にそのユーザー名がLDAPのuid属性に対して検証されます。
COOKIE_DOMAINは、Webゲートが機能するドメインです。
OAM11G_IDSTORE_ROLE_SECURITY_ADMINアイデンティティ・ストアのロール・セキュリティを管理するアカウントです。
OAM11G_SSO_ONLY_FLAGは、認証専用モードまたは標準モード(認証と認可をサポート)としてAccess Manager 11gを構成します。
OAM11G_SSO_ONLY_FLAGをtrueに設定すると、Access Manager 11gサーバーは認証専用モードで動作します。この場合、デフォルトではすべての認可でポリシー検証が実行されずにtrueが戻されます。このモードでは、認可の処理に伴うオーバーヘッドがサーバーに発生しません。認可ポリシーに依存せず、Access Managerサーバーの認証機能のみを必要とするアプリケーションでは、このモードをお薦めします。
この値をfalseに設定すると、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でAccess Managerサーバーに対する認可リクエストが1つ以上発生します。Webゲートは、Access Managerサーバーからの応答に基づいて、リクエストされたリソースへのアクセスを許可または拒否できます。
OAM11G_OIM_INTEGRATION_REQは、Oracle Identity Managerと統合するのか、Access Managerをスタンドアロン・モードで構成するのかを指定します。統合する場合、trueに設定します。
OAM11G_SSO_ONLY_FLAGは、Access Managerを認証のみのモードで使用するかどうかを決定します。
OAM11G_SERVER_LBR_HOSTは、サイトの前面に配置するOAMサーバーの名前です。この値と次の2つのパラメータを使用してログインURLを構成します。
OAM11G_SERVER_LBR_PORTは、ロード・バランサでリスニングするポートです。
OAM11G_SERVER_LBR_PROTOCOLは、使用するURL接頭辞です。
COOKIE_EXPIRY_INTERVALは、Cookieの有効期限です。
OAM11G_OIM_OHS_URLは、OIMサーバーの前面に配置するロード・バランサまたはOHSのURLです。
SPLIT_DOMAINは、分割ドメイン・シナリオでOracle Access Management管理コンソールの二重認証を抑制する場合、trueに設定する必要があります。
次の場所にあるidmConfigToolコマンドを-configOAMを指定して使用し、アイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOAM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOAM input_file=configfile
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。次の3つのアカウントのパスワードも作成するように要求されます。
OAM11G_WLS_ADMIN_PASSWD
IDSTORE_PWD_OAMSOFTWAREUSER
IDSTORE_PWD_OAMADMINUSER
コマンドの出力例:
Enter ID Store Bind DN password: Enter User Password for OAM11G_WLS_ADMIN_PASSWD: Confirm User Password for OAM11G_WLS_ADMIN_PASSWD: Enter User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Confirm User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Enter User Password for IDSTORE_PWD_OAMADMINUSER: Confirm User Password for IDSTORE_PWD_OAMADMINUSER: The tool has completed its operation. Details have been logged to automation.log
ログ・ファイルを確認して、エラーや警告を修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
WebLogic管理サーバーを再起動します。
次の手順を実行して、Oracle Identity ManagerをOracle Access Managerと統合します。idmConfigToolコマンドの詳細は、第2章「idmConfigToolコマンドの使用方法」を参照してください。
idmconfigtoolに必要な環境変数を設定します。
OIMconfigPropertyFileという名前のプロパティ・ファイルを、次のような内容で作成します。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: OAMHOST1.example.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .example.com
COOKIE_EXPIRY_INTERVAL: 120
OAM_TRANSFER_MODE: SIMPLE
WEBGATE_TYPE: ohsWebgate10g
OAM_SERVER_VERSION: 11g
OAM11G_WLS_ADMIN_HOST: wlsadmin.example.com
OAM11G_WLS_ADMIN_PORT: 17001
OAM11G_WLS_ADMIN_USER: weblogic
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 389
IDSTORE_HOST: idstore.example.com
IDSTORE_DIRECTORYTYPE: OVD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=Users,dc=example,dc=com
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
MDS_DB_URL: jdbc:oracle:thin:@DBHOST:PORT:SID
MDS_DB_SCHEMA_USERNAME: idm_mds
WLSHOST: adminvhn.example.com
WLSPORT: 7001
WLSADMIN: weblogic
DOMAIN_NAME: IDM_Domain
OIM_MANAGED_SERVER_NAME: WLS_OIM1
DOMAIN_LOCATION: ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain
説明:
ACCESS_SERVER_PORTは、Access ManagerのNAPポートである必要があります。
OAMサーバーが簡易モードを使用してリクエストを受け入れるように構成されている場合は、OAM_TRANSFER_MODEをSIMPLEに設定します。それ以外の場合は、OAM_TRANSFER_MODEをOPENに設定します。
WEBGATE_TYPEを、Webゲート・バージョン11を使用している場合はohsWebgate11gに、Webゲート・バージョン10を使用している場合はohsWebgate10gに設定します。
OAM_SERVER_VERSIONは、Oracle Access Manager 10gを使用している場合は10g、Access Manager 11gを使用している場合は11gに設定します。
OAMとOIMが個別のWebLogicドメイン上にある場合は、OAM11G_WLS_ADMIN_HOST、OAM11G_WLS_ADMIN_PORTおよびOAM11G_WLS_ADMIN_USERを設定します。分割ドメインの統合トポロジについては、第1章「概要」を参照してください。
IDSTORE_PORTは、アイデンティティ・ストアとしてOracle Internet Directoryを使用している場合、Oracle Internet Directoryポートに設定します。それ以外の場合は、Oracle Virtual Directoryポートに設定します。
IDSTORE_HOSTは、アイデンティティ・ストアとしてOracle Internet Directoryを使用している場合、そのOracle Internet Directoryホストまたはロード・バランサの名前に設定します。それ以外の場合は、Oracle Virtual Directoryホストまたはロード・バランサの名前に設定します。
IDSTORE_DIRECTORYTYPEは、Oracle Virtual Directoryサーバーを使用して非OIDディレクトリまたはOracle Internet Directoryに接続している場合、OVDに設定します。Oracle Internet Directory内にアイデンティティ・ストアがあり、Oracle Virtual Directoryを介さず直接これにアクセスしている場合は、OIDに設定します。
IDSTORE_ADMIN_USERを、アイデンティティ・ストア・ディレクトリの管理者の完全なLDAP DNに設定します。これは、IDSTORE_OAMSOFTWAREUSERに対して指定された同じユーザーである必要があります(指定されている場合)。
この場合のMDS_DB_URLは、単一インスタンス・データベースを表します。@記号の後に続く文字列は、使用している環境に合った正しい値にする必要があります。SIDは、サービス名ではなく実際のSIDにする必要があります。MDS_URLは、単一のインスタンス・データベースを使用している場合、jdbc:oracle:thin:@DBHOST:1521:SIDに設定します。
次の場所にあるidmConfigToolコマンドを-configOIMを指定して使用し、アイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOIM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOIM input_file=configfile
コマンドを実行すると、次の情報を入力するように求められます。
アクセス・ゲートのパスワード
シングル・サインオン(SSO)キーストアのパスワード
グローバル・パスフレーズ
Idstore管理パスワード
MDSデータベース・スキーマのパスワード
管理サーバーのユーザー・パスワード
Oracle Access Management管理ユーザーに使用するパスワード
出力例:
Enter sso access gate password: Enter mds db schema password: Enter idstore admin password: Enter admin server user password: ********* Seeding OAM Passwds in OIM ********* Enter ssoKeystore.jks Password: Enter SSO Global Passphrase: Completed loading user inputs for - CSF Config Updating CSF with Access Gate Password... WLS ManagedService is not up running. Fall back to use system properties for configuration. Updating CSF ssoKeystore.jks Password... Updating CSF for SSO Global Passphrase Password... ********* ********* ********* ********* Activating OAM Notifications ********* Completed loading user inputs for - MDS DB Config Initialized MDS resources Apr 11, 2011 4:57:45 AM oracle.mds NOTIFICATION: transfer operation started. Apr 11, 2011 4:57:46 AM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed: 1, total number of documents failed: 0. Upload to DB completed Releasing all resources Notifications activated. ********* ********* ********* ********* Seeding OAM Config in OIM ********* Completed loading user inputs for - OAM Access Config Validated input values Initialized MDS resources Apr 11, 2011 4:57:46 AM oracle.mds NOTIFICATION: transfer operation started. Apr 11, 2011 4:57:47 AM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed: 1, total number of documents failed: 0. Download from DB completed Releasing all resources Updated /u01/app/oracle/product/fmw/iam/server/oamMetadata/db/oim-config.xml Initialized MDS resources Apr 11, 2011 4:57:47 AM oracle.mds NOTIFICATION: transfer operation started. Apr 11, 2011 4:57:47 AM oracle.mds NOTIFICATION: transfer is completed. Total number of documents successfully processed: 1, total number of documents failed: 0. Upload to DB completed Releasing all resources OAM configuration seeded. Please restart oim server. ********* ********* ********* ********* Configuring Authenticators in OIM WLS ********* Completed loading user inputs for - Dogwood Admin WLS Completed loading user inputs for - LDAP connection info Connecting to t3://adminvhn.example.com:7001 Connection to domain runtime mbean server established Starting edit session Edit session started Connected to security realm. Validating provider configuration Validated desired authentication providers Validated authentication provider state successfuly.Created OAMIDAsserter successfulyCreated OIDAuthenticator successfulyCreated OIMSignatureAuthenticator successfulySetting attributes for OID AuthenticatorAll attributes set. Configured in OID Authenticator nowlDAP details configured in OID authenticatorControl flags for authenticators set sucessfullyReordering of authenticators done sucessfullySaving the transactionTransaction savedActivating the changesChanges Activated. Edit session ended.Connection closed sucessfully********* ********* *********
ログ・ファイルを確認し、必要に応じてエラーを修正します。ツールは再入可能であり、再び安全に呼び出すことができます。
Oracle Identity Manager管理対象サーバーおよびWebLogic管理サーバーを再起動します。
Oracle HTTP Serverを11g Webゲートとともにインストールする必要があります。詳細は、『Oracle Fusion Middleware WebGates for Oracle Access Managerのインストール』のOAMのためのOracle HTTP Server 11g Webゲートのインストールと構成に関する項を参照してください。
Oracle HTTP Serverと10g Webゲートのインストールの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のAccess Manager 11gによる10g Webゲートの登録および管理に関する項および10g Webゲート用のApache、OHSおよびIHSの構成に関する項を参照してください。
|
注意: Webゲートのインストールおよび構成が必要です。 |
Oracle HTTP Server (OHS)プロファイルを編集してOHSサーバーがAccess Managerにより保護されているOIMサーバーを指すようにする必要があります。プロファイル・ファイルは次の場所にあります。
$IAM_HOME/server/setup/templates/oim.conf
このファイルをテンプレート・ファイルとして使用します。OHSプロファイルを編集した後、OHS moduleconfの場所にコピーします。
INSTANCE_LOCATION/config/OHS/ohs1/moduleconf/
OHSプロファイルを編集し、次の行を追加します。
<Location /identity> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> <Location /sysadmin> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> <Location /oam> SetHandler weblogic-handler WLCookieName jsessionid WebLogicHost <OAM managed server host> WebLogicPort <OAM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> <Location /admin> SetHandler weblogic-handler WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLCookieName oimjsessionid WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # oim self and advanced admin webapp consoles(canonic webapp) <Location /oim> SetHandler weblogic-handler WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLCookieName oimjsessionid WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # SOA Callback webservice for SOD - Provide the SOA Managed Server Ports <Location /sodcheck> SetHandler weblogic-handler WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLCookieName oimjsessionid WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # Callback webservice for SOA. SOA calls this when a request is approved/rejected # Provide the SOA Managed Server Port <Location /workflowservice> SetHandler weblogic-handler WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLCookieName oimjsessionid WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # xlWebApp - Legacy 9.x webapp (struts based) <Location /xlWebApp> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # Nexaweb WebApp - used for workflow designer and DM <Location /Nexaweb> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # used for FA Callback service. <Location /callbackResponseService> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> # spml xsd profile <Location /spml-xsd> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location> <Location /HTTPClnt> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost <OIM managed server host> WebLogicPort <OIM managed server port> WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log" </Location>
OHSインスタンスは、後で再起動する必要があります。
管理コンソールのシングル・サインオン機能はIDMDomainエージェントが提供しています。Webゲートがシングル・サインオンを処理するため、IDMDomainエージェントは削除し、Oracle WebLogic Server管理サーバーと実行中のすべての管理対象サーバーを再起動する必要があります。
URL http://admin.example.com/consoleを使用して、WebLogic Server管理コンソールにログインします。
「ドメイン構造」メニューで「セキュリティ・レルム」を選択します。
myrealmをクリックします。
「プロバイダ」タブをクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
認証プロバイダのリストで「IAMSuiteAgent」を選択します。
「削除」をクリックします。
「はい」をクリックして削除を確認します。
「チェンジ・センター」で「変更のアクティブ化」をクリックします。
WebLogic管理サーバーおよび実行中のすべての管理対象サーバーを再起動します。
詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle WebLogic Serverインスタンスの起動および停止に関する項を参照してください。
この項では、各自の要件に基づき必要に応じて実行する、追加の構成について説明します。
この項の内容は次のとおりです。
このタスクは、Oracle Identity ManagerとOracle Access Managerとの間の統合を設定した後にOracle HTTP Server 10g WebGate for Oracle Access Managerを使用する場合のみ、実行する必要があります。『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のドメイン・エージェントからOracle HTTP Server 10g Webgate for OAMへの移行に関する項の手順に従ってください。
その後、次の項の手順を実行して、Access ManagerとOracle Identity Managerを統合するためのキーストアを作成します。
シンプル・トランスポート・プロトコルを使用して動作するようにAccess Managerを構成すると、Access Managerへのすべてのトラフィックが暗号化されます。Access Managerと他のコンポーネント(Oracle Identity Managerなど)を統合する場合は、統合される製品がこの暗号化を理解できるようにする必要があります。(トランスポート・モデルがオープンの場合、これは必要ありません。)このためには、キーストアを使用します。
シンプル・プロトコルを使用するようにAccess Managerを変更すると、ディレクトリASERVER_HOME/output/webgate-ssl内にキーストアが自動的に作成されます。このディレクトリには、次のファイルが含まれています。
oamclient-keystore.jks: 秘密鍵が格納されます。
oamclient-truststore.jks: Access Managerの簡易モードのCA証明書が格納されます。
これらのファイルには、簡易モードのAccess Managerを有効にしたときに定義されるグローバル・パスフレーズを使用してアクセスします。
一部の製品では、前述の両方のファイルの構成が必要になります。また、一部の製品(Oracle Identity Managerなど)では、統合された単一のキーストアが必要になります。
Oracle Identity Managerでの使用に適したキーストアを作成するには、次の手順を実行します。
次の例に示すように、ディレクトリをASERVER_HOME/output/webgate-sslに変更します。
cd ASERVER_HOME/output/webgate-ssl
次の例に示すように、ファイルoamclient-keystore.jksをssoKeystore.jksとしてコピーします。
cp oamclient-keystore.jks ssoKeystore.jks
次のコマンドを使用して、新しいキーストアssoKeystore.jksにトラスト・ストアをインポートします。
keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore PathName_to_keystore -storetype JKS
キーストア・パスワードを、求められたら入力します。
次に例を示します。
keytool -importcert -file IAM_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore ssoKeystore.jks -storetype JKS
|
注意:
|
統合環境では、Oracle Identity ManagerはOracle HTTP Server (OHS)によってフロントエンド処理されます。すべてのSOAサーバーのデフォルト・コンポジットを更新する必要があります。次の手順を実行してください。
|
関連項目: Fusion Middleware Controlのオンライン・ヘルプおよびSOA Suiteのドキュメント |
Oracle Enterprise Manager Fusion Middleware Controlコンソールにログインします。
「SOA」→「soa-infra」(SOAサーバー名)→「デフォルト」にナビゲートします。
環境に適したコンポジット・タイプを更新します。たとえば、ApprovalTask、Human Workflow、DisconnectedProvisioningなどとなります。
デフォルトのコンポジットごとに、次の手順を実行します。
コンポジット名をクリックします。
「コンポーネント・メトリック」からコンポジット・タイプを選択します。たとえば、「ApprovalTask」をクリックします。
「管理」タブを選択し、次のようにフィールドを更新します。
ホスト名: OHSホスト名
HTTPポート: SSLモードの場合、空白のままにします。SSL以外のモードの場合、OHS HTTPポートを入力します。
HTTPSポート: SSLモードの場合、OHS HTTPSポートを入力します。SSL以外のモードの場合、空白のままにします。
「適用」をクリックします。
|
注意: 値が正しく更新されない場合、Oracle Identity Managerのコンポジット・ページは空白のページとして開かれます。 |
この項では、統合環境の検証手順について説明します。次の健全性チェックを実行することにより、実行時に発生する可能性のあるいくつかの一般的な問題を回避できます。
このリリースでは、Oracle Identity Managerは、idmconfigコマンドがconfigOIMオプションとともに実行された場合に、Access Managerと統合されます。このコマンドが実行されると、次の構成設定およびファイルが更新されます。
OIMメタデータ・ストアに格納されているoim-config.xmlファイル内のSSOConfigセクション。第7.10.1項「OIM SSOConfigの検証」を参照してください。
OIM_DOMAIN_HOME/config.xml内のレルム・セキュリティ・プロバイダ。第7.10.2項「セキュリティ・プロバイダ構成の検証」を参照してください。
OIM_DOMAIN_HOME/config/fmwconfig/cwallet.sso内のOIMドメイン資格証明ストア。第7.10.3項「OIMドメイン資格証明ストアの検証」を参照してください。
OIMメタデータ・ストアに格納されているEventhandler.xml内の、SSO統合に必要となる編成イベント・ハンドラ。第7.10.4項「SSOのイベント・ハンドラの検証」を参照してください。
OIM_DOMAIN_HOME/config/fmwconfig/jps-config.xml内のSSOログアウト構成。第7.10.5項「SSOログアウト構成の検証」を参照してください。
oim-config.xmlでSSOConfig設定を検証する手順は、次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
「WebLogicドメイン」を選択し、ドメイン名を右クリックします。
システムMBeanブラウザを開き、ssoconfig Mbeanを検索します。
詳細は、『Oracle Fusion Middleware管理者ガイド』のFusion Middleware Control MBeanブラウザの使用のスタート・ガイドを参照してください。
idmconfig configOIMの実行後に次の属性設定が正しいことを確認します。必要に応じて値を更新します。
SsoEnabled属性は、trueに設定されます。
TAP通信を使用している場合、TapEndpoinURL属性が存在します。
NAP通信を使用している場合、AccessGateID、AccessServerHost、AccessServerPort、CookieDomain、CookieExpiryInterval、NapVersion、TransferModeおよびWebgateTypeの属性が存在します。
Versionが11gに設定されている場合、TapEndpointURL属性が有効なURLに設定されていることを確認してください。。新しいブラウザでアクセスすることにより、URLを検証してください。
Versionが10gに設定されている場合、他の属性が正しく構成されていることを確認してください。
セキュリティ・プロバイダ構成を検証する手順は、次のとおりです。
WebLogic Server管理コンソールで、OIMドメインにナビゲートします。
「セキュリティ・レルム」→「myrealm」→「プロバイダ」にナビゲートします。
認証プロバイダが次のように構成されていることを確認します。
| 認証プロバイダ | 制御フラグ |
|---|---|
|
OAM IDアサータ |
REQUIRED |
|
DefaultAuthenticator |
SUFFICIENT |
|
OIMシグネチャ・オーセンティケータ |
SUFFICIENT |
|
OIMオーセンティケータ |
OPTIONAL |
|
LDAPオーセンティケータ |
SUFFICIENT |
OIMオーセンティケータ→「プロバイダ固有」にナビゲートします。「SSOMode」チェック・ボックスが選択されていることを確認します。
LDAPオーセンティケータは、使用されているLDAPプロバイダによって異なります。「ユーザーとグループ」タブを選択し、「ユーザー」タブにLDAPユーザーがリストされていることを確認することで、これが正しく構成されていることを検証します。
Oracle Identity ManagerとAccess Manager間の通信の際に使用されるすべてのパスワードと資格証明は、ドメイン資格証明ストア内に格納されています。
通信に使用されるパスワードと資格証明を検証する手順は、次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlにログインし、「WebLogicドメイン」を選択します。
ドメイン名を右クリックします。「セキュリティ」→「資格証明」にナビゲートします。
「oim」インスタンスを開きます。次の資格証明を検証します。
SSOAccessKey: OPENモードのみ
SSOKeystoreKey: SIMPLEモードのみ
SSOGobalPP: SIMPLEモードのみ
OIM_TAP_PARTNER_KEY
ユーザーステータスの変更後、セッションの終了をサポートするため、イベント・ハンドラ・セットがOracle Identity Manager MDSにアップロードされます。これらのイベント・ハンドラは、ユーザー・ステータスが変更されるとAccess Managerに通知し、これによってユーザー・セッションが終了します。これらは、EventHanlders.xmlファイル(/db/ssointg/EventHandlers.xml)の一部としてMDSにアップロードされます。
すべてのイベント・ハンドラが正しく構成されていることを確認するには、次を実行します。
OIM MDSスキームに接続し、/db/ssointg/EventHandlers.xmlのMDS_PATHS表で、PATH_FULLNAME列を検索します。
EventHandlers.xmlファイルをエクスポートします。詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のカスタマイズのデプロイおよびアンデプロイに関する項を参照してください。
Oracle Identity Managerログアウトは、統合の完了後、シングル・ログアウトを使用するように構成されます。ユーザーは、Oracle Identity Managerからログアウトすると、Access Managerで保護されたすべてのアプリケーションからもログアウトされます。
次に、OIM_DOMAIN_HOME/config/fmwconfig/jps-config.xmlファイル内のシングル・ログアウト構成の例を示します。
<propertySet name="props.auth.uri.0">
<property name="logout.url" value="/oamsso/logout.html"/>
<property name="autologin.url" value="None"/>
<property name="login.url.BASIC" value="/${app.context}/adfAuthentication"/>
<property name="login.url.FORM" value="/${app.context}/adfAuthentication"/>
<property name="login.url.ANONYMOUS" value="/${app.context}/adfAuthentication"/>
</propertySet>
最後のタスクでは、表7-3に示す順番で各手順を実行して統合を検証します。
表7-3 Access ManagerとOracle Identity Managerの統合の検証
| 手順 | 説明 | 予想される結果 |
|---|---|---|
|
1 |
次のURLを使用して、Oracle Access Management管理コンソールにアクセスします。 http://admin_server_host:admin_server_port/oamconsole |
管理コンソールにアクセスします。 |
|
2 |
次のURLを使用して、Oracle Identity Manager管理ページにアクセスします。
ここで、hostname:portは、ドメイン・エージェントを使用しているのか、Webゲートを使用しているのかによって、OIMまたはOHS用にすることもできます。 |
Oracle Access Managementのログイン・ページが表示されます。 ログイン・ページに「パスワードを忘れた場合」、「自己登録」および「登録のトラッキング」機能のリンクが表示されていることを確認してください。これらの機能の詳細は、第1.5.3項「パスワード管理シナリオ」を参照してください。 |
|
3 |
Oracle Identity Manager管理者としてログインします。 |
Oracle Identity Managerの管理ページにアクセスできます。 |
|
4 |
Oracle Identity Self Serviceを使用して新しいユーザーを作成します。 ブラウザを閉じ、OIMアイデンティティ・ページにアクセスしてみます。ログインのプロンプトが表示されたら、新しく作成したユーザーの有効な資格証明を指定します。 |
Oracle Identity Managerにリダイレクトされ、パスワードを再設定するように求められます。 パスワードを再設定し、チャレンジ質問を設定すると、自動的にアプリケーションにログインされます。自動ログインが機能します。 |
|
5 |
ブラウザを閉じ、Oracle Identity Self Serviceにアクセスします。 |
Access Manager管理対象サーバーのOracle Access Managementログイン・ページが表示されます。 ログイン・ページに「パスワードを忘れた場合」、「自己登録」および「登録のトラッキング」機能のリンクが表示されていることを確認してください。各リンクが機能することを確認してください。これらの機能の詳細は、第1.5.3項「パスワード管理シナリオ」を参照してください。 |
|
6 |
ブラウザを開き、テスト・ユーザーとしてログインすることで、ロック/無効化機能が機能することを検証します。 別のブラウザ・セッションでテスト・ユーザーとしてログインし、テスト・ユーザー・アカウントをロックします。OIMコンソールで「ログアウト」リンクをクリックします。 |
ユーザーがログアウトし、最初のログイン・ページにリダイレクトされます。 |
|
7 |
テスト・ユーザーまたはシステム管理者としてOracle Identity Self Serviceにログインすることによって、SSOログアウト機能が機能することを検証します。 |
ページからログアウトすると、SSOログアウト・ページにリダイレクトされます。 |
この項では、Oracle Identity ManagerとAccess Managerとの統合環境で発生する可能性のある一般的な問題について示し、これらの解決方法を説明します。一般的な問題のタイプごとにまとめられており、その内容は次のとおりです。。
表示される可能性のあるエラー・メッセージの詳細は、この項およびOracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
その他のリソースのトラブルシューティングについては、第1.7項「My Oracle Supportを使用したその他のトラブルシューティング情報」を参照してください。
この項では、統合環境でのシングル・サインオンに関連した一般的な問題と解決方法を説明します。シングル・サインオンを使用することにより、ユーザーは、Access Managerに正常に認証されると、Oracle Identity Managerリソースにアクセスできます。Access Managerにより保護されたOracle Identity Managerリソースにアクセスすると、ユーザーは、Oracle Access Managementコンソールのログイン・ページを使用してAccess Managerにより資格証明に対してチャレンジされます。
この項では、次のシングル・サインオンの問題について説明します。
HTTPヘッダーのチェックによってログインの問題に関する診断情報が得られる場合があります。問題のトラブルシューティング用に、HTTPヘッダーから情報を収集することが可能です。このためには、WebブラウザでHTTPトレースを有効にし、新しいユーザーとしてAccess Managerにログインして、ヘッダーで役に立つ情報を調べます。
OHS (http://OHS_HOST:OHS_PORT/identityなど)を使用してOracle Identity Managerリソースにアクセスすると、ユーザーはOracle Access Managementコンソールのログイン・ページではなく、Oracle Identity Managerのログイン・ページにリダイレクトされます。
原因
Access Manager Webゲートがデプロイされていないか、正しく構成されていません。
解決策
httpd.confファイルの最後に次のエントリが含まれていることを確認してください。
include "<ORACLE_WEBTIER_INST_HOME>/config/OHS/ohs1/webgate.conf"
ここで、webgate.confには、11g Webゲート構成が含まれています。
エントリが見つからない場合、11g Webゲートの構成手順を見なおし、見落としているものがないか確認します。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』および『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
次のエラーでユーザー・ログインに失敗します。
An incorrect Username or Password was specified.
原因
ユーザー認証はAccess Managerが担当していますが、認証に失敗しています。アイデンティティ・ストアの構成が誤っている可能性があります。
解決策
Oracle Access Managementコンソールでアイデンティティ・ストアが正しく構成されていることを確認してください。
この問題を解決するには、次のようにします。
Oracle Access Managementコンソールにログインします。
「システム構成」→「データソース」→「OIMIDStore」にナビゲートします。
デフォルト・ストアおよびシステム・ストアの構成を確認します。
「接続テスト」をクリックして接続を確認します。
ユーザーにログインのためのOracle Access Managementコンソールが表示されず、次のエラー・メッセージが表示されます。
Oracle Access Manager Operation Error.
原因1
OAMサーバーが実行されていません。
解決策1
OAMサーバーを再起動します。
原因2
WebゲートがOHSに正しくデプロイされておらず、OAMサーバー上の10gまたは11gエージェントに対して正しく構成されていません。
The AccessGate is unable to contact any Access Serversなどのエラー・メッセージが表示されます。
問題は、SSOエージェントに関係している可能性があります。
解決策2
この問題を解決するには、次のようにします。
oamtest.jar (ORACLE_HOME/oam/server/tester)を実行し、AgentIDを指定することにより接続をテストします。
AgentIDは、WEBSERVER_HOMEのwebgate/configディレクトリ内のObAccessClient.xmlファイルにあります。次に例を示します。
<SimpleList>
<NameValPair
ParamName="id"
Value="IAMAG_11g"></NameValPair>
</SimpleList>
テスターが接続に失敗した場合、OAMサーバーのSSOエージェント構成(パスワード/ホスト/ポート)に問題があることが確実となります。
10gまたは11gのSSOエージェントを再作成し、このエージェントを使用するようにWebゲートを再構成します。
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の説明に従ってください。
Oracle Access Managementコンソールを使用して認証されたユーザーが、資格証明を入力するためのOracle Identity Managerログイン・ページにリダイレクトされます。
原因1
OIMドメインのセキュリティ・プロバイダが、Oracle WebLogic Serverで正しく構成されていません。
解決策1
WebLogicセキュリティ・プロバイダが、OIMドメインのセキュリティ・レルムに対して正しく構成されていることを確認します。LDAPオーセンティケータの設定をチェックしてください。詳細は、第7.10.2項を参照してください。
原因2
OAMIDAsserterがOracle WebLogic Serverで正しく構成されていません。
解決策2
この問題を解決するには、次のようにします。
Oracle WebLogic Server管理コンソールにログインします。
「共通」タブにナビゲートし、「アクティブなタイプ」にWebゲート・タイプの正しいヘッダーが含まれていることを確認します。
OAM_REMOTE_USER (11g Webゲートの場合)。
ObSSOCookie (10g Webゲートの場合)
Access Managerは、パスワード管理をOracle Identity Managerに依存しています。ユーザーが初めてログインする場合、またはユーザー・パスワードが失効している場合、Access ManagerはユーザーをOracle Identity Managerの「初回ログイン」ページにリダイレクトします。
Access Managerのログイン画面から、ユーザーはOracle Identity Managerの「パスワードを忘れた場合」フロー、「自己登録」フローまたは「登録のトラッキング」フローにナビゲートできます。
原因
これらのフローを実行した際になんらかの逸脱やエラーが発生した場合には、oam-config.xml (OAM_DOMAIN_HOME/config/fmwconfig)の構成が正しくありません。
解決策
oam-config.xmlの内容が、次の例に類似していることを確認してください。特に、HOSTおよびPORTが、Oracle Identity Managerリソースのフロントエンドとなるように構成されたOHS (またはサポートされている任意のWebサーバー)に対応していることを確認します。
Setting Name="IdentityManagement" Type="htf:map">
<Setting Name="IdentityServiceConfiguration" Type="htf:map">
<Setting Name="IdentityServiceProvider" Type="xsd:string">oracle.security.am.engines.idm.provider.OracleIdentityServiceProvider</Setting>
<Setting Name="AnonymousAuthLevel" Type="xsd:integer">0</Setting>
<Setting Name="IdentityServiceEnabled" Type="xsd:boolean">true</Setting>
<Setting Name="IdentityServiceProviderConfiguration" Type="htf:map">
<Setting Name="AccountLockedURL" Type="xsd:string">/identity/faces/accountlocked</Setting>
<Setting Name="ChallengeSetupNotDoneURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
<Setting Name="DateFormatPattern" Type="xsd:string">yyyy-MM-dd'T'HH:mm:ss'Z'</Setting>
<Setting Name="ForcedPasswordChangeURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
<Setting Name="IdentityManagementServer" Type="xsd:string">OIM-SERVER-1</Setting>
<Setting Name="PasswordExpiredURL" Type="xsd:string">/identity/faces/firstlogin</Setting>
<Setting Name="LockoutAttempts" Type="xsd:integer">5</Setting>
<Setting Name="LockoutDurationSeconds" Type="xsd:long">31536000</Setting>
</Setting>
</Setting>
<Setting Name="RegistrationServiceConfiguration" Type="htf:map">
<Setting Name="RegistrationServiceProvider" Type="xsd:string">oracle.security.am.engines.idm.provider.DefaultRegistrationServiceProvider</Setting>
<Setting Name="RegistrationServiceEnabled" Type="xsd:boolean">true</Setting>
<Setting Name="RegistrationServiceProviderConfiguration" Type="htf:map">
<Setting Name="ForgotPasswordURL" Type="xsd:string">/identity/faces/forgotpassword</Setting>
<Setting Name="NewUserRegistrationURL" Type="xsd:string">/identity/faces/register</Setting>
<Setting Name="RegistrationManagementServer" Type="xsd:string">OIM-SERVER-1</Setting>
<Setting Name="TrackUserRegistrationURL" Type="xsd:string">/identity/faces/trackregistration</Setting>
</Setting>
</Setting>
<Setting Name="ServerConfiguration" Type="htf:map">
<Setting Name="OIM-SERVER-1" Type="htf:map">
<Setting Name="Host" Type="xsd:string">myhost1.example.com</Setting>
<Setting Name="Port" Type="xsd:integer">7777</Setting>
<Setting Name="SecureMode" Type="xsd:boolean">false</Setting>
</Setting>
</Setting>
</Setting>
Oracle Identity Managerで作成された新しいユーザーが初めてOracle Identity Managerにログインしても、「初回ログイン」ページにリダイレクトされず、パスワードを変更するように要求されます。
原因
Oracle Virtual Directoryアダプタが正しく構成されていません。
解決策
該当するadapters.or_xmlファイルを検索し、UserManagementとchangelogの両方のアダプタに対してoamEnabled属性がtrueに設定されていることを確認してください。次に例を示します。
<param name="oamEnabled" value="true"/>
さらに、oam-config.xmlでIdentityServiceEnabledがtrueに設定されていることを確認してください(第7.12.1.5項を参照)。次に例を示します。
<Setting Name="IdentityServiceEnabled" Type="xsd:boolean">true</Setting>
新しいユーザーがOracle Identity Manager Self-Serviceへのアクセスを試み、正常に認証された後に、リダイレクトのループに入ります。サービス・ページがロードされず、ブラウザはスピンまたはリフレッシュし続けます。
原因
フロントエンドidentityのWLCookieNameのOHS構成設定が正しくありません。
解決策
フロントエンドidentityのOHS構成をチェックし、WLCookieNameディレクティブがoimjsessionidに設定されていることを確認します。設定されていない場合、Oracle Identity ManagerリソースのLocationエントリごとに、このディレクティブをoimjsessionidとして設定してください。次に例を示します。
<Location /identity> SetHandler weblogic-handler WLCookieName oimjsessionid WebLogicHost myhost1.example.com WebLogicPort 8003 WLLogFile "$ Unknown macro: {ORACLE_INSTANCE} /diagnostics/logs/mod_wl/oim_component.log" </Location>
自動ログイン機能では、ユーザーがパスワードを忘れた場合のフローまたは強制パスワード変更のフローが正常終了した後で、新しいパスワードを使用して認証するよう要求されることなく、Oracle Identity Managerにログインできます。
Oracle Identity ManagerとAccess Manager間の通信を、NAPまたはTAPチャネルを使用するように構成できます。自動ログインの問題のデバッグは、使用されているチャネルが特定される場合、単純になります。Oracle Enterprise Manager Fusion Middleware ControlのシステムMBeanブラウザを使用して、Oracle Identity Manager SSOConfig Mbean (バージョン属性)を調べることにより、チャネルを特定してください。詳細は、『Oracle Fusion Middleware管理者ガイド』のシステムMBeanブラウザの使用に関する項を参照してください。
使用しているAccess Managerバージョンに応じて、次のようになります。
バージョンが10gの場合は、自動ログインの際、NAPチャネルが使用されます。第7.12.2.1項「TAPプロトコルの問題」を参照してください。
パスワードがLDAP同期によりOracle Identity ManagerとLDAPで再設定されると、Oracle Identity Managerは、リクエストされたリソースにリダイレクトすることによってユーザーを自動ログインします。
バージョンが11gの場合は、自動ログインの際、TAPチャネルが使用されます。第7.12.2.2項「NAPプロトコルの問題」を参照してください。
パスワードがLDAP同期によりOracle Identity ManagerとLDAPで再設定されると、Oracle Identity Managerは、ユーザーをAccess Manager TAPエンドポイントURL (SSOConfig: TAPEndpointUrl)にリダイレクトします。Access Managerでは、リクエストされたリソースにリダイレクトすることで、ユーザーを自動ログインします。
|
注意: 11gR2のOracle Identity ManagerとAccess Manager統合環境では、デフォルトで自動ログイン用にTAPプロトコルが構成されています。 |
次のいずれかのエラー・メッセージがないか、OIMサーバーおよびOAMサーバーのログを確認してください。
パスワードを再設定した後に、ユーザーが「404 見つかりません」エラー・ページにリダイレクトされます。
原因
Access Manager TAPエンドポイントURL (SSOConfig: TAPEndpointUrl)が正しく構成されていません。
解決策
Oracle Identity Manager SSOConfigで、TAPEndpointUrlが正しく構成され、アクセス可能であることを確認してください。次に例を示します。
http://OAM_HOST:OAM_PORT/oam/server/dap/cred_submit
または
http://OHS_HOST:OHS_PORT/oam/server/dap/cred_submit
ここで、Access ManagerのフロントエンドはOHSとなります。
パスワードの再設定後に、ユーザーがAccess ManagerのTapEndpointUrl (Oracle Identity Manager SSOConfigで構成)にリダイレクトされ、次のエラーがUIに表示されます。
System error. Please re-try your action. If you continue to get this error, please contact the Administrator.
原因1
次のようなメッセージがOAMサーバーのログに表示されます。
Sep 19, 2012 4:29:45 PM EST> <Warning> <oracle.oam.engine.authn> <BEA-000000> <DAP Token not received> <Sep 19, 2012 4:29:45 PM EST> <Error> <oracle.oam.binding> <OAM-00002> <Error occurred while handling the request. java.lang.NullPointerException at oracle.security.am.engines.enginecontroller.token.DAPTokenEncIssuerImpl.issue(DAPTokenEncIssuerImpl.java:87)
解決策1
このエラーは、Access ManagerのTAPResponseOnlySchemeでの誤った構成が原因である可能性があります。oam-config.xml (OAM_DOMAIN_HOME/config/fmwconfigにあります)に、次のエントリが含まれていることを確認してください。
<Setting Name="DAPModules" Type="htf:map">
<Setting Name="7DASE52D" Type="htf:map">
<Setting Name="MAPPERCLASS" Type="xsd:string">oracle.security.am.engine.authn.internal.executor.DAPAttributeMapper</Setting>
<Setting Name="MatchLDAPAttribute" Type="xsd:string">uid</Setting>
<Setting Name="name" Type="xsd:string">DAP</Setting>
</Setting>
</Setting>
MatchLDAPAttributeの値はuidである必要があります。そうでない場合は、値を変更してください。
問題を解決するには、次のようにします。
Oracle Access Managementコンソールにログインします。
TapResponseOnlySchemeにナビゲートします。Challengeパラメータとして次を追加します。
MatchLDAPAttribute=uid
変更内容を保存します。
原因2
次のエラーがOAMサーバーのログに表示されます。
javax.crypto.BadPaddingException: Given final block not properly padded
これは、OIM_TAP_PARTNER_KEYが資格証明ストア内のOIM資格証明マップに含まれていない場合、または無効な鍵が存在する場合に発生する可能性があります。
解決策2
idmConfigTool -configOIMオプションを再実行することにより、Oracle Identity ManagerをTAPパートナとしてAccess Managerに再登録してください。-configOIMオプションを実行したら、OIMドメインすべてを再起動する必要があります。
原因3
パスワードの再設定後に、自動ログインに成功しない場合、OIMサーバーのログには次のエラーが表示されます。
Error occured while retrieving TAP partner key from Credential store
解決策3
問題を解決するには、次のようにします。
Fusion Middleware Controlを使用して、OIM_TAP_PARTNER_KEY汎用資格証明が、資格証明ストア内のOIM資格証明マップに存在することを確認します。
OIM_TAP_PARTNER_KEYが存在する場合、LDAP同期が正しく構成されていること、およびパスワードがLDAPプロバイダで再設定されていることを確認します。これは、ユーザーと新しいまたは再設定したパスワードでldapbindコマンドを発行することによって確認します。
原因4
パスワードの再設定後に、自動ログインに成功しない場合、OIMサーバーのログには次のエラーが表示されます。
Error occured while retrieving DAP token from OAM due to invalid TAP partner key
資格証明ストアのOIM資格証明マップにあるOIM_TAP_PARTNER_KEYが有効ではありません。
解決策4
idmConfigTool -configOIMオプションを再実行することにより、Oracle Identity ManagerをTAPパートナとしてAccess Managerに再登録してください。-configOIMオプションを実行したら、OIMドメインすべてを再起動する必要があります。
次のいずれかのタイプのエラー・メッセージがないか、OIMサーバーのログを確認してください。
原因1
リソースURLが保護されていません。
解決策1
Access Managerホスト識別子構成で、host:portの正しい組合せが構成されていることを確認します。
この問題を解決するには、次のようにします。
Oracle Access Managementコンソールにログインします。
「IAMSuiteAgent」にナビゲートします。
ホスト識別子で、識別子のhost:portの組合せを確認します。たとえば、IAMSuiteAgent:/oimなどです。
host:portの組合せが正しい場合、OIMログでSetting web resource urlを確認します。この記述はResource not protected URL文の上にあります。
一般に、ホスト識別子には、Oracle Identity ManagerのフロントエンドとなるOHS (Webサーバー)のhost:portの組合せが必要です。
原因2
aaaClientが初期化されません。
解決策2
OIMドメイン資格証明ストアにシードされたパスワードが正しいことを確認してください。OPENモードの場合、Webゲートのパスワードを確認します。SIMPLEモードの場合は、SSOキーストア・パスワードとSSOグローバル・パスフレーズが正しくシードされていることを確認します。詳細は、第7.10.3項を参照してください。
原因3
構成済のどのOAMサーバーとも通信できません。これが起動され実行していることを確認してください。
解決策3
OIMドメイン資格証明ストアにシードされたパスワードが正しいことを確認してください。OPENモードの場合、Webゲートのパスワードを確認します。SIMPLEモードの場合は、SSOキーストア・パスワードとSSOグローバル・パスフレーズも正しくシードされていることを確認します。詳細は、第7.10.3項を参照してください。
原因4
SSOKeystoreが改ざんされているかパスワードが正しくありません。
解決策4
キーストア・ファイルssoKeystore.jksがOIM_DOMAIN_HOME/config/fmwconfigに存在することを確認します。存在する場合は、キーストア・パスワードがOIMドメイン資格証明ストアに適切にシードされていることを確認してください。詳細は、第7.10.3項を参照してください。
原因5
Oracle Identity Managerのログに障害に関する情報がありません。
解決策5
この問題を解決するには、次のようにします。
HTTPヘッダーを有効にし、初回ログイン、パスワードを忘れた場合のフローを実行しながらヘッダーを取得します。第7.12.1.1項を参照してください。
HTTPヘッダーで、「初回ログイン」、「パスワードを忘れた場合」ページのPOSTメソッドの後のSet-Cookie: ObSSOCookieを探します。Cookieのドメインを確認してください。これは、保護対象リソースのURLのドメインと一致している必要があります。
Cookieドメインが異なる場合は、Fusion Middleware Controlを使用して、Oracle Identity Manager SSO構成内のCookieDomainを更新します。第7.10.1項を参照してください。
Cookieドメインが正しい場合は、OIMとOAMサーバーをホストするマシンで時刻に相違がないか確認します。
セッションの終了機能では、Oracle Identity Manager管理者によりユーザー・ステータスが変更されると、アクティブなユーザー・セッションをすべて終了できます。セッションが終了となるOracle Identity Manager操作には、ユーザーのロックまたはロック解除、有効化または無効化、変更または削除があります。
セッションの終了はOracle Identity Managerによってトリガーされ、Access Manager NAP APIを呼び出してセッションを終了します。通信はNAPチャネル上で行われます。
セッションの終了の問題のトラブルシューティング手順は、次のとおりです。
NAP関連の構成がOracle Identity ManagerのSSOConfigに格納されていることを確認します。第7.10.1項を参照してください。
/db/sssointg/EvenHandlers.xmlがOracle Identity Manager MDSにあることを確認します。第7.10.4項を参照してください。
Oracle Identity ManagerのSSOConfigのAccessGateID属性が、OAMサーバーによりホストされている10g SSOエージェントを指していることを確認します。
SSOConfigが11gエージェントIDを指している場合、次の手順を実行します。
新しい10g SSOエージェントを作成します。
そのIDをAccessGateID属性に設定します。
OIMドメイン資格証明ストアで、エージェント・パスワード(SSOAccessKey)を更新します。
通信モードがSIMPLEの場合、エージェントのaaa_cert.pemおよびaaa_key.pemを使用して、新しいキーストア・ファイル(ssoKeystore.jks)を作成し、OIM_DOMAIN_HOME/config/fmwconfigディレクトリにコピーする必要があります。
SIMPLEモードでは、OIMドメイン資格証明ストア内のSSOキーストア鍵(SSOKeystoreKey)およびSSOグローバル・パスフレーズ(SSOGobalPP)を更新します。
新しい10g SSOエージェントまたはssoKeyStore.jksの作成については、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
ユース・ケース1
ログインの試行に複数回失敗したため、Oracle Internet Directory (OID)とAccess Manager (OAM)の両方がユーザーをロックアウトしました。ユーザーは、Oracle Identity Manager (OIM)の「パスワードを忘れた場合」ページを使用して自分のパスワードをリセットしようとしますが、リセット操作は失敗します。
考えられる説明
ユーザーのロック済ステータスがOracle Identity Managerにまだ伝播されていません。
Oracle Identity Managerでユーザーがロックされているかどうか確認します。
Oracle Identity Manager管理者としてIdentity Self Serviceアプリケーションにログインします。
「ユーザー」セクションにナビゲートし、ユーザーを検索します。
アイデンティティ・ステータスがlockedであるかどうか確認します。
ステータスがlockedでない場合、LDAPユーザーの作成とリコンシリエーションの更新のスケジュール済ジョブを実行し、ユーザー・ステータスがlockedとなっていることを確認します。
ユース・ケース2
複数の無効な資格証明によってログインが複数回試行されたため、ユーザー・アカウントがセルフロックされました。その後、ユーザーは正しい資格証明でログインしようとしますが、ログインできません。ユーザーは初めてログインするつもりで、パスワードを変更しますが、ログインは引き続き失敗します。
考えられる説明
Oracle Internet DirectoryとAccess Managerの両方がユーザー・アカウントをロックしている可能性があります。この場合、ユーザーはOracle Identity Managerおよび保護されたページにはログインできません。ユーザーは「パスワードを忘れた場合」フローを使用して、パスワードをリセットする必要があります。
Access Managerのみがユーザーをロックアウトしている場合、ユーザーはOracle Identity Managerにログインしてパスワードをただちに変更できます。
ユース・ケース3
Oracle Internet DirectoryのpwdMaxFailureの数の3が、oblogintrycountの値の5を下回っています。複数の無効な資格証明によってログインが複数回試行された(この場合は3回)ため、Oracle Internet Directoryはユーザーをロックアウトしました。その後、ユーザーは正しい資格証明でログインしようとしますが、4回目の試行でもログインできません。ユーザーは初めてログインするつもりで、パスワードを変更しますが、ログインは引き続き失敗します。
考えられる説明
Oracle Internet Directoryはユーザーをロックアウトしましたが、Access Managerはロックアウトしていません。oblogintrycountが5未満でもユーザーは正しいパスワードでログインできませんが、次の「パスワードを忘れた場合」フローは機能し、パスワードはリセットされます。
Oracle Identity Managerは、Oracle Internet Directoryでロックされたユーザー・アカウントを調整しないため、Oracle Internet Directoryがユーザーをロックアウトしても、OIMにあわせて調整されるものはありません。Oracle Internet Directoryがユーザーをロックアウトすると、Oracle Identity Managerではユーザーがアクティブとして表示されます。パスワードをリセットする方法は、「パスワードを忘れた場合」フローの実行のみです。
ユース・ケース4
Oracle Internet DirectoryのpwdMaxFailureの回数の7が、oblogintrycountの値の5を下回っています。複数の無効な資格証明によってログインが複数回試行されたため、Access Managerはユーザーをロックアウトしました。その後、ユーザーが正しい資格証明でログインしようとすると、ログインに成功し、パスワードの変更がリダイレクトされますが、パスワードのリセット操作が失敗します。
考えられる説明
ユーザーのロック済ステータスがOracle Identity Managerにまだ伝播されていません。
Oracle Identity Managerでユーザーがロックされているかどうか確認します。
Oracle Identity Manager管理者としてIdentity Self Serviceアプリケーションにログインします。
「ユーザー」セクションにナビゲートし、ユーザーを検索します。
アイデンティティ・ステータスがlockedであるかどうか確認します。
ステータスがlockedでない場合、LDAPユーザーの作成とリコンシリエーションの更新のスケジュール済ジョブを実行し、ユーザー・ステータスがlockedとなっていることを確認します。
ユース・ケース1とこのユース・ケースは非常に似ていることに注意してください。ユース・ケース1では、Oracle Internet DirectoryとAccess Managerの両方がユーザー・アカウントをロックアウトしましたが、このユース・ケースではAccess Managerのみがユーザーをロックします。ただし、両方のユース・ケースの修正は同じです。
ユース・ケース5
ユーザーは自分のパスワードを思い出せないため、「パスワードを忘れた場合」フローを使用してパスワードをリセットしようとします。ユーザーは自分のユーザー・ログインを指定し、新しいパスワードを指定して間違ったチャレンジ応答を指定します。3回の試行に失敗した後、Oracle Internet DirectoryとAccess Managerの両方がユーザー・アカウントをロックします。oblogintrycountの値が5であるため、ユーザーは3回ではなく5回の試行後にロックアウトされると予想しています。
考えられる説明
Oracle Identity Managerの「リセット」/「パスワードを忘れた場合」フローでのパスワード・リセットの試行は、Oracle Identity Managerのシステム・プロパティXL.MaxPasswordResetAttemptsによって管理されており、デフォルト値は3です。したがって、ユーザーは3回の試行後ただちにロックアウトされます。Oracle Identity Managerは、Oracle Internet DirectoryおよびAccess Managerでユーザーをネイティブにロックします。
パスワード・リセットの試行は、ログイン試行とは異なることに注意してください。ログインの試行はAccess Manager (oblogintrycount=5)によって管理され、パスワード・リセットの試行はOracle Identity Manager (XL.MaxPasswordResetAttempts=3)によって管理されます。
ユース・ケース6
一定のLDAPバインディングが間違った資格証明を使用したため、Oracle Internet Directoryはユーザーをロックします。Access Managerはユーザーをロックアウトしていません。ユーザーは正しい資格証明でログインしようとしますが、ログインできません。
考えられる説明
このユース・ケースでは、Access ManagerではなくOracle Internet Directoryがユーザーをロックアウトします。oblogintrycountが5未満でもユーザーは正しいパスワードでログインできませんが、「パスワードを忘れた場合」フローに従うことでパスワードをリセットできます。
ユーザーがOracle Internet Directoryによってのみロックアウトされている場合、ユーザーのロックアウト・ステータスはOracle Identity Managerにあわせて調整されることはありません。したがって、ユーザーはOracle Internet Directoryでロックされていても、Oracle Identity Managerでは引き続きアクティブとして表示されます。
ここでは、次のようなその他の問題の解決策を適用します。
Oracle Identity Managerへのクライアントベース・ログインに成功するには、次のようにします。
クライアントベース・ログイン・ユーザーがLDAPプロバイダに存在する必要があります。
ユーザーが存在するLDAPプロバイダに応じて、OIMドメインセキュリティ・レルムでLDAPオーセンティケータを構成する必要があります。第7.10.2項を参照してください。
Oracle Identity Managerの保護されたアプリケーションからのログアウトで404エラーがスローされた場合は、jps-config.xmlにログアウト構成が存在することを確認します。第7.10.5項を参照してください。
必要に応じて、$DOMAIN_HOME/config/fmwconfigにあるjps構成ファイルを編集し、すべてのサーバーを再起動することにより、JPS構成を修正できます。
jps-config.xmlで不適切な構成を解決する手順は次のとおりです。
ターミナル・ウィンドウで、次のコマンドを発行します: cd $DW_ORACLE_HOME/common/bin
./wlst.sh
connect()
addOAMSSOProvider(loginuri="/${app.context}/adfAuthentication", logouturi="/oamsso/logout.html", autologinuri="/obrar.cgi")
exit
ドメイン内のすべてのサーバーを再起動します。
