ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド
11
g
リリース2 (11.1.2.1.0)
B71104-03
索引
次
目次
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
新機能
11
g
リリース2 (11.1.2.1.0)の2013年9月のドキュメント改訂における更新
11
g
リリース2 (11.1.2.1.0)の2013年7月のドキュメント改訂における更新
11
g
リリース2 (11.1.2.1.0)の2013年5月のドキュメント改訂における更新
11
g
リリース2 (11.1.2.1.0)の新機能と変更機能
11
g
リリース2 (11.1.2)の2012年11月のドキュメント改訂における更新
11
g
リリース2 (11.1.2)の2012年8月のドキュメント改訂における更新
11
g
リリース2 (11.1.2)の新機能と変更機能
11
g
リリース2 (11.1.2)に関するこのドキュメントにおけるその他の大きな変更
第I部 IdM統合トポロジとツール
1
概要
1.1
統合の前提条件
1.2
統合トポロジ
1.2.1
基本統合トポロジ
1.2.1.1
シングル・ドメイン・アーキテクチャ
1.2.1.2
ダブル(分割)ドメイン・アーキテクチャ
1.2.1.3
3層アーキテクチャ
1.2.1.4
Web層の理解
1.2.1.5
アプリケーション層の理解
1.2.1.6
データ層の理解
1.2.2
エンタープライズ統合トポロジ
1.2.3
アイデンティティ・ストアに対する複数ディレクトリの使用方法
1.2.4
統合の用語
1.3
Oracle Identity Managementのコンポーネントについて
1.3.1
Oracle Internet Directory
1.3.2
Oracle Virtual Directory
1.3.3
Oracle Access Management Access Manager
1.3.3.1
IDMDomainエージェントおよびWebゲートに関する注意
1.3.4
Oracle Identity Manager
1.3.5
Oracle Adaptive Access Manager
1.3.6
Oracle Access Management Identity Federation
1.3.7
Oracle Identity Navigator
1.4
統合のクイック・リンク
1.5
一般的な統合のシナリオ
1.5.1
リソース保護および資格証明収集のシナリオ(高度な統合)
1.5.1.1
ケース1: ユーザーはAccess Managerとステップアップ認証を実行するOracle Adaptive Access Managerによって認証される
1.5.1.2
ケース2: ユーザーはAccess Managerによって認証されない
1.5.1.3
ケース3: ユーザーはAccess Managerによって認証され、Oracle Adaptive Access Managerはステップアップ認証を実行しない
1.5.2
リソース保護および資格証明収集のシナリオ(基本統合)
1.5.3
パスワード管理シナリオ
1.5.3.1
Access ManagerをOracle Identity Managerと統合する場合
1.5.3.2
自己登録
1.5.3.3
パスワードの変更
1.5.3.4
パスワードを忘れた場合
1.5.3.5
アカウントのロックとロック解除
1.5.3.6
チャレンジの設定
1.5.3.7
チャレンジのリセット
1.6
システム要件および動作保証
1.7
My Oracle Supportを使用したその他のトラブルシューティング情報
2
idmConfigToolコマンドの使用方法
2.1
このツールについて
2.1.1
このツールはいつ使用するのか
2.1.2
このツールによって実行されるタスク
2.1.3
このツールによってサポートされるコンポーネント
2.1.4
場所
2.1.5
サポートされるWebゲートのタイプ
2.1.6
シングル・ドメインとクロス・ドメインのシナリオ
2.2
環境変数の設定
2.3
構文と使用方法
2.3.1
コマンド構文
2.3.2
要件
2.3.3
生成されるファイル
2.3.4
プロパティ・ファイルの使用方法
2.3.4.1
プロパティ・ファイルについて
2.3.4.2
プロパティのリスト
2.3.5
ログ・ファイルのクリーン・アップ
2.4
コマンド・オプションとプロパティ
2.4.1
preConfigIDStoreコマンド
2.4.2
prepareIDStoreコマンド
2.4.2.1
prepareIDStore mode=OAM
2.4.2.2
prepareIDStore mode=OIM
2.4.2.3
prepareIDStore mode=OAAM
2.4.2.4
prepareIDStore mode=WLS
2.4.2.5
prepareIDStore mode=WAS
2.4.2.6
prepareIDStore mode=APM
2.4.2.7
prepareIDStore mode=fusion
2.4.2.8
prepareIDStore mode=all
2.4.3
configPolicyStoreコマンド
2.4.4
configOAMコマンド
2.4.5
configOIMコマンド
2.4.6
postProvConfigコマンド
2.4.7
upgradeLDAPUsersForSSOコマンド
2.4.8
validate IDStoreコマンド
2.4.9
validate PolicyStoreコマンド
2.4.10
validate OAMコマンド(11g)
2.4.11
validate OAMコマンド(10g)
2.4.12
validate OIMコマンド
2.4.13
configOVDコマンド
2.4.14
ovdConfigUpgradeコマンド
2.4.15
disableOVDAccessConfigコマンド
2.4.16
upgradeOIMTo11gWebgate
2.5
HA環境におけるOUDアイデンティティ・ストアに対するその他のタスク
2.5.1
Oracle Unified Directory向けのグローバルACIの作成
2.5.2
Oracle Unified Directoryのレプリカに対する索引の作成
第II部 中心的な統合
3
Oracle Identity ManagerにおけるLDAP同期の有効化
3.1
インストール後のLDAP同期の有効化
3.2
様々なカスタム・オブジェクト・クラスを使用したOracle Identity Managerを介したユーザー作成のカスタマイズ
3.3
Identity Virtualization Library (libOVD)アダプタの作成およびOracle Identity Managerとの統合
3.4
Identity Virtualization Library (libOVD)とディレクトリ・サーバーの間でのSSLの有効化
3.4.1
Identity Virtualization Library (libOVD)とMicrosoft Active Directoryの間でのSSLの有効化
3.4.2
Identity Virtualization Library (libOVD)とiPlanetの間でのSSLの有効化
3.4.3
Identity Virtualization Library (libOVD)とOIDの間でのSSLの有効化
3.5
LDAP同期を有効化する前に作成したユーザーおよびロールのLDAPへのプロビジョニング
3.6
LDAP同期の無効化
3.7
OVDアダプタの作成
3.8
Identity Virtualization Library (libOVD)アダプタの管理
3.9
Identity Virtualization Library (libOVD)に対するアクセス・ログの有効化
3.10
LDAP同期が有効な場合のLDAP認証の構成
4
Oracle Identity Managerと統合するためのOracle Virtual Directoryの構成
4.1
Oracle Internet DirectoryおよびActive Directoryに対するOracle Virtual Directoryアダプタの作成
4.2
UserManagementプラグインの使用方法
4.2.1
構成パラメータ
4.3
Changelogプラグインの使用方法
4.3.1
リリース11.1.1.4.0 Changelogプラグインのデプロイ
4.3.2
前のリリースからのChangelogプラグインのデプロイ
4.3.3
構成パラメータ
4.4
トラブルシューティングのヒント
5
Oracle Internet DirectoryとAccess Managerの統合
5.1
概要
5.2
前提条件
5.3
Access ManagerへのOracle Internet Directoryの登録
5.3.1
LDAPストアの登録ページについて
5.3.2
Access Managerへのユーザー・アイデンティティ・ストアの登録
5.3.3
システム・ストア、管理者またはデフォルト・ストアの指定
5.4
WebLogic Serverでの認証プロバイダのセットアップ
5.5
Access Managerとユーザー・アイデンティティ・ストアとの間の認証の構成
5.5.1
Access Manager認証モジュール、プラグインおよびスキームについて
5.5.2
Access Managerでのユーザー・アイデンティティ・ストアに対する認証の定義
5.5.3
LDAPストアに依存するAccess Managerポリシーの管理
5.6
認証とアクセスの検証
6
Oracle Access Management Access Managerと統合するためのOracle Virtual Directoryの構成
6.1
Oracle Virtual Directoryのアダプタの作成および構成
6.1.1
LDAPアダプタの作成および構成
6.1.1.1
LDAPアダプタの作成
6.1.1.2
LDAPアダプタの構成
6.1.2
データベース・アダプタの作成および構成
6.1.2.1
データベース・アダプタの作成
6.1.2.2
データベース・アダプタの構成
6.1.3
カスタム・アダプタの作成および構成
6.1.3.1
カスタム・アダプタの作成
6.1.3.2
カスタム・アダプタの構成
6.2
OAMPolicyControlプラグインの使用方法
6.2.1
構成パラメータ
7
Access ManagerとOracle Identity Managerの統合
7.1
統合について
7.2
統合ロードマップ
7.3
統合の要件
7.4
アイデンティティ・ストアの構成
7.4.1
Access Manager用のディレクトリ・スキーマの拡張
7.4.2
Access Manager用のユーザーおよびグループの作成
7.4.3
Oracle Identity Manager用のユーザーとグループの作成
7.4.4
Oracle WebLogic Server用のユーザーとグループの作成
7.5
統合のためのAccess Managerの構成
7.6
Access ManagerとOracle Identity Managerの統合
7.7
OIM上のリソースをフロントエンドするためのOracle HTTP Serverの構成
7.8
ドメイン・エージェントが削除された状態でのサーバーの起動
7.9
その他の構成タスク
7.9.1
ドメイン・エージェントから10
g
WebゲートおよびOHS 11
g
への移行
7.9.1.1
Access ManagerとOracle Identity Managerを統合するための単一キーストアの作成
7.9.2
すぐに使用できるSOAサーバー・コンポジットの更新
7.10
統合の検証
7.10.1
OIM SSOConfigの検証
7.10.2
セキュリティ・プロバイダ構成の検証
7.10.3
OIMドメイン資格証明ストアの検証
7.10.4
SSOのイベント・ハンドラの検証
7.10.5
SSOログアウト構成の検証
7.11
統合のテスト
7.12
一般的な問題のトラブルシューティング
7.12.1
シングル・サインオンの問題
7.12.1.1
HTTPヘッダーのチェック
7.12.1.2
ユーザーが誤ったログイン・ページにリダイレクトされる
7.12.1.3
ログイン失敗
7.12.1.4
Oracle Access Managementコンソールのログイン・ページが表示されない
7.12.1.5
認証されたユーザーがOracle Identity Managerログイン・ページにリダイレクトされる
7.12.1.6
ユーザーがOracle Identity Managerログイン・ページにリダイレクトされる
7.12.1.7
新しいユーザーがパスワード変更のためにリダイレクトされない
7.12.1.8
ユーザーがリダイレクトのループに入る
7.12.2
自動ログインの問題
7.12.2.1
TAPプロトコルの問題
7.12.2.2
NAPプロトコルの問題
7.12.3
セッションの終了の問題
7.12.4
アカウントのセルフロックの問題
7.12.5
その他の問題
7.12.5.1
Oracle Identity Managerへのクライアントベース・ログインに失敗する
7.12.5.2
ログアウトで404エラーがスローされる
8
Oracle Adaptive Access ManagerとAccess Managerの統合
8.1
Access ManagerとOracle Adaptive Access Managerの統合について
8.2
定義、頭文字および略語
8.3
OAAMとAccess Managerとの基本統合
8.3.1
OAAMとAccess Managerとの基本統合の前提条件
8.3.2
WebLogic Serverの起動
8.3.3
OAAMとAccess Managerとの基本統合の構成
8.4
OAAMとAccess Managerとの拡張統合
8.4.1
OAAMとAccess Managerとの拡張統合のロードマップ
8.4.2
OAAMとAccess Managerとの拡張統合の前提条件
8.4.3
サーバーの再起動
8.4.4
OAAM管理ユーザーおよびOAAMグループの作成
8.4.5
Oracle Adaptive Access Managerスナップショットのインポート
8.4.6
Access Managerの初期構成の検証
8.4.7
Oracle Adaptive Access Managerの初期構成の検証
8.4.8
Oracle Access Managementコンソールを使用したWebゲートのAccess Manager 11
g
への登録
8.4.8.1
Webゲート登録の前提条件
8.4.8.2
WebGateを使用したOracle HTTP Serverの構成
8.4.8.3
Oracle Access Managementコンソールを使用したパートナとしてのWebゲートのAccess Manager 11
g
への登録
8.4.8.4
Oracle HTTP Server WebGateの再起動
8.4.8.5
Webゲートの設定の検証
8.4.9
OAAM Serverのパートナ・アプリケーションとしてのAccess Managerへの登録
8.4.10
IAMSuiteAgentプロファイルへのパスワードの追加
8.4.11
別のコンソールのドメイン・エージェントを使用した場合のドメイン・エージェント定義の更新
8.4.12
TAPパートナ登録の検証
8.4.12.1
チャレンジURLの検証
8.4.12.2
MatchLDAPAttributeチャレンジ・パラメータのTAPSchemeへの追加
8.4.12.3
IAMSuiteAgentの設定の検証
8.4.13
OAAMでのAccess Manager TAP統合プロパティの設定
8.4.14
TAPSchemeを使用してIAMSuiteAgentアプリケーション・ドメイン内のIdentity Management製品リソースを保護するための統合の構成
8.4.15
TAPSchemeにより保護されるリソースの構成
8.4.15.1
アプリケーション・ドメインでの新しいリソースの作成
8.4.15.2
TAPSchemeを使用してリソースを保護する新しい認証ポリシーの作成
8.4.16
Access ManagerとOracle Adaptive Access Managerの統合の検証
8.5
Access ManagerとOAAMとの統合のその他のタスク
8.5.1
TAPScheme認証スキームの認証レベルの変更
8.5.2
Access Managerが簡易モードの場合のOracle Adaptive Access ManagerとAccess Managerとの統合の設定
8.5.2.1
Access Managerの簡易モード通信の構成
8.5.2.2
簡易モードのAccess ManagerのOAAMプロパティの設定
8.5.3
Access ManagerとOAAMとのTAP統合におけるアイデンティティ・コンテキスト・クレームの構成
8.5.4
Oracle Adaptive Access ManagerによるHTTPポストベース・フロント・チャネル経由のAccess Managerへのデータ転送の有効化
8.5.5
OAAM管理コンソールの保護の無効化
8.5.6
ステップアップ認証の無効化
8.5.7
Oracle Adaptive Access Managerのパスワード長制限の変更
8.5.8
OAAM拡張共有ライブラリの使用によるカスタマイズの追加
8.5.9
シングル・ログイン・ページ・フローの有効化
8.6
リソース保護シナリオ
8.6.1
リソース保護シナリオ: TAPSchemeの認証レベルの変更
8.6.2
リソース保護シナリオ: 保護された上位レベル・ポリシーからのOAAM管理コンソールの削除
8.6.3
リソース保護シナリオ: TAPSchemeを使用してリソースを保護する新しいポリシーの作成
8.6.4
リソース保護シナリオ: 新規OAAMユーザーの作成
8.6.5
リソース保護シナリオ: ログイン・フロー
8.6.6
リソース保護シナリオ: ステップアップ認証フロー
8.7
一般的な問題のトラブルシューティング
8.7.1
OAAMとAccess Managerとの基本統合
8.7.1.1
Internet Explorer 7およびOAAMとAccess Managerとの基本統合
8.7.1.2
コンソールでのAccess ManagerとOracle Adaptive Access Managerの統合および変更
8.7.1.3
OTPチャレンジがOAAMとAccess Managerとの基本統合でサポートされない
8.7.1.4
OAAMとAccess Managerとの基本統合におけるconfigureOAAMのWLSTコマンドを使用したデータソースの作成
8.7.2
ログインの失敗
8.7.2.1
非ASCII資格証明
8.7.2.2
大文字/小文字混合のログイン
8.7.2.3
Cookieドメインの定義
8.7.2.4
OAAMのテスト・ログインURL/Access ManagerとOracle Adaptive Access Managerの統合後のoaam_serverでの障害
8.7.3
アイデンティティ・ストア
8.7.3.1
ユーザー名属性の誤った設定
8.7.3.2
Access ManagerとOracle Adaptive Access Managerの統合でTAPによりユーザー属性を変更できない
8.7.3.3
データベースとLDAPとの間の同期が行われない
8.7.4
その他
8.7.4.1
ネットワーク遅延による統合の失敗
8.7.4.2
TAPトークン・バージョンの2.1への変更
8.7.4.3
Access Manager 11.1.1.4.0とOAAM 11.1.1.5.0との統合でOAAMAdvancedスキームによって保護されたリソースにアクセスできない
8.7.4.4
OAAMAdvancedスキームを使用している場合に設定する追加プロパティ
8.7.4.5
LDAPで保護されたリソースへのテストとしてのアクセス
9
Access Manager、OAAMおよびOIMの統合
9.1
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合について
9.1.1
厳密認証のデプロイメント・オプション
9.1.2
パスワード管理のデプロイメント・オプション
9.2
定義、頭文字および略語
9.3
統合ロードマップ
9.4
統合の要件
9.5
Access ManagerとOracle Identity Managerの統合
9.6
Oracle Identity Managerに対するLDAP同期の有効化
9.7
Access ManagerとOracle Adaptive Access Managerの統合
9.8
Oracle Identity ManagerとOracle Adaptive Access Managerの統合
9.8.1
Oracle Adaptive Access Manager用のOracle Identity Managerプロパティの設定
9.8.2
Oracle Identity ManagerとOAAMの統合を有効化するためのOAAMプロパティの更新
9.8.3
資格証明ストア・フレームワークでのOracle Identity Manager資格証明の構成
9.8.4
Oracle Identity ManagerとOracle Adaptive Access Manager間のクロス・ドメインの信頼の構成
9.9
その他の構成タスクの実行
9.10
一般的な問題のトラブルシューティング
9.10.1
ユーザーが機能しないURLに遭遇する
9.10.2
正しくないパスワードの入力後に、ユーザーがリダイレクトのループに入る
9.10.3
認証の成功時に2つのユーザー・セッションが作成される
9.10.4
パスワードを忘れた場合のフローが、シングル・ログイン・ページのデプロイメントで使用できない
9.10.5
Access ManagerとOAAMの統合後、OAAMのテスト・ログインURLが失敗する
第III部 外部SSOソリューション
10
Identity Federationとの統合
10.1
背景および統合の概要
10.1.1
Oracle Access Management Identity Federationについて
10.1.2
Identity Federationのデプロイメント・オプション
10.1.3
参照
10.2
Access Manager 11gR2との統合
10.2.1
アーキテクチャ
10.2.2
統合タスクの概要
10.2.3
前提条件
10.2.4
追加の設定
10.2.5
Access ManagerへのOracle HTTP Serverの登録
10.2.6
Oracle Identity Federationの構成
10.2.6.1
ユーザー・データ・ストアの検証
10.2.6.2
Oracle Identity Federation認証エンジンの構成
10.2.6.3
Oracle Identity Federation SP統合モジュールの構成
10.2.7
Access Managerの構成
10.2.7.1
OIFSchemeの構成
10.2.7.2
信頼できるAccess ManagerパートナとしてのOracle Identity Federationの登録
10.2.8
OIFSchemeによるリソースの保護
10.2.9
構成のテスト
10.2.9.1
SPモード構成のテスト
10.2.9.2
認証モード構成のテスト
第IV部 監視
11
Oracle Identity Navigatorとの統合
11.1
シングル・サインオンの有効化
11.1.1
エージェント用の新しいリソースの構成
11.1.2
Access Managerドメイン用のOracle HTTP Serverの構成
11.1.3
新しいアイデンティティ・プロバイダの追加
11.1.4
複数のアプリケーションに対するアクセスの構成
第V部 アイデンティティ・ストアの追加構成
12
複数ディレクトリのアイデンティティ・ストアの構成
12.1
アイデンティティ・ストアとしての複数ディレクトリの構成の概要
12.2
アイデンティティ・ストアとしての複数ディレクトリの構成: 分割プロファイル
12.2.1
前提条件
12.2.2
リポジトリの説明
12.2.3
Oracle Internet Directoryのシャドウ・ディレクトリとしての設定
12.2.4
ディレクトリ構造の概要-シャドウ結合
12.2.5
分割プロファイルのOracle Virtual Directoryアダプタの構成
12.2.6
グローバル統合変更ログ・プラグインの構成
12.2.7
Oracle Virtual Directory変更ログの検証
12.3
アイデンティティ・ストアとしての複数ディレクトリの構成: 複数ディレクトリに別個のユーザーおよびグループを格納
12.3.1
複数ディレクトリに別個のユーザーおよびグループを格納するためのディレクトリ構造の概要
12.3.2
複数ディレクトリに別個のユーザーおよびグループを格納するためのOracle Virtual Directoryアダプタの構成
12.3.2.1
エンタープライズ・ディレクトリ・アダプタの作成
12.3.2.2
アプリケーション・ディレクトリ・アダプタの作成
12.3.3
グローバル・プラグインの作成
12.4
その他の構成タスク
第VI部 付録
A
ODSMを使用した複数ディレクトリ・アイデンティティ・ストアのアダプタの検証
A.1
ODSMを使用した分割プロファイルのOracle Virtual Directoryアダプタの検証
A.1.1
Active Directoryサーバー用のユーザー・アダプタの検証
A.1.2
Shadowjoinerユーザー・アダプタの検証
A.1.3
JoinViewアダプタの検証
A.1.4
Oracle Internet Directory用のユーザー/ロール・アダプタの検証
A.1.5
Active Directoryサーバー用の変更ログ・アダプタの検証
A.1.6
Oracle Internet Directory用の変更ログ・アダプタの検証
A.1.7
グローバル統合変更ログ・プラグインの構成
A.1.8
Oracle Virtual Directory変更ログの検証
A.2
ODSMを使用した複数ディレクトリに別個のユーザーおよびグループを格納するためのアダプタの検証
A.2.1
ユーザー/ロール・アダプタA1
A.2.2
ユーザー/ロール・アダプタA2
A.2.3
変更ログ・アダプタC1
A.2.4
Active Directory用の変更ログ・アダプタ
A.2.5
変更ログ・アダプタC2
A.2.6
Oracle Virtual Directoryグローバル・プラグインの検証
A.2.7
グローバル統合変更ログ・プラグインの構成
B
idm.confファイル
B.1
idm.confファイルについて
B.1.1
デフォルト・アクセス・ゾーン
B.1.2
外部アクセス・ゾーン
B.1.3
内部サービス・ゾーン
B.1.4
管理サービス・ゾーン
B.2
idm.confファイルの例
索引