| Oracle® Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド 11gリリース2 (11.1.2.1.0) B72797-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド 11gリリース2 (11.1.2.1.0) B72797-01 |
|
前 |
次 |
この章では、IBM WebSphereでAccess Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerを統合する方法を説明します。次の統合について説明します。
この項では、IBM WebSphereでIBM HTTP Server (IHS) WebGate 11gを使用してAccess ManagerとOracle Identity Managerを統合する方法に関する情報を示しています。
この項の内容は次のとおりです。
IBM WebSphereでAccess ManagerをOracle Identity Managerに統合するプロセスには、次の高レベルのタスクが含まれます。
表14-1 IBM WebSphereでのAccess ManagerとOracle Identity Managerの統合フロー
| 手順 | タスク | 情報 |
|---|---|---|
|
1 |
WebSphereサーバーにOracle Identity Managerをインストールします。 |
詳細は、「Oracle Identity and Access ManagementのIBM WebSphereでのインストールおよび構成」を参照してください。 |
|
2 |
Oracle Identity Managementに対するLDAP同期を有効にします。 |
詳細は、次を参照してください。
(すべて『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』内) |
|
3 |
WebSphereサーバーにOracle Access Managementをインストールします。 |
詳細は、「Oracle Identity and Access ManagementのIBM WebSphereでのインストールおよび構成」を参照してください。 必要に応じて、Oracle Access ManagementをOracle Identity Managerと同じWebSphereセルにインストールできます。 |
|
4 |
IBM HTTP Server (IHS) 7.0をインストールします。 |
IBM WebサイトからIBM HTTP Serverバージョン7.0.0.0をダウンロードします。デフォルト値を使用してIHS 7をインストールします。 |
|
5 |
IHS 11g Webgate for OAMをインストールして構成します。 |
詳細は、WebGate for Oracle Access ManagementのインストールのIHS 11g Webgate for OAMのインストールおよび構成に関する項を参照してください。 IBM HTTP Server (IHS)ホストにIHS 11g Webgateをインストールします。 |
|
6 |
各WebSphere Application Serverマシンに、WebServer Application Server 7.0用のWebSphereプラグインをインストールします。 |
IBM Webサイトから、WebSphere Application Server 7.0用のWebServerプラグインをダウンロードします。デフォルト値を使用してこのソフトウェアをインストールします。 |
|
7 |
IHS Webサーバー・リバース・プロキシを追加します。 |
詳細は、「追加のIHS Webサーバー・リバース・プロキシの構成(オプション)」を参照してください。 |
|
8 |
アイデンティティ・ストアを構成します。 |
詳細は、「アイデンティティ・ストアの構成」を参照してください。 |
|
9 |
OAM TAI構成ファイルを構成します。 |
詳細は、「OAM TAI構成ファイルの構成」を参照してください。 |
|
10 |
OIM WebSphereセル内のすべてのサーバーを再起動します。 |
詳細は、「OIMサーバーの再起動」を参照してください。 |
|
11 |
OAM 11g SSOエージェント・アーティファクトをコピーします。 |
詳細は、「OAM 11g SSOエージェント・アーティファクトのコピー」を参照してください。 |
|
12 |
Oracle Identity ManagerにリクエストをルーティングするようIHSを構成します。 |
詳細は、「WebSphere上のOIMにリクエストをルーティングするようWebサーバーを構成する方法」を参照してください。 |
この項の次の手順を実行して、リバース・プロキシとして使用する追加のIHS Webサーバーを構成します。
adminctlコマンドを使用して、ルート・ユーザーとしてIBM HTTP Serverを起動します。
bin/adminctl start
WebSphere管理コンソールを開きます。
詳細は、IBM HTTP Serverに関するIBMのドキュメントを参照してください。
「Servers」→「Server Types」→「Web servers」を選択します。
「New」をクリックして、WebSphereに新規Webサーバーを追加します。
Webサーバー名、タイプ、ホスト名およびプラットフォームを指定して、「Next」をクリックします。
「Select a Web server template」画面でテンプレート名を選択します。
IBM HTTP ServerとIBM HTTP Server管理サーバーのプロパティを入力して、「Next」をクリックします。
新規Webサーバーのプロパティを確認して、「Finish」をクリックします。
新規作成したWebサーバーを選択して、「Generate Plug-in」をクリックします。
次に、「Propagate Plug-in」をクリックします。
「Save」をクリックして、構成をマスター構成に保存します。
新規Webサーバーを起動します。
アイデンティティ・ストアをAccess Manager、Oracle Identity ManagementおよびWebSphereで使用できるように構成する必要があります。必要なユーザーおよびグループがシードされる必要があります。
アイデンティティ・ストアの構成にはidmConfigToolを使用します。
|
注意:
|
idmConfigToolを実行する前に、次の環境変数を設定します。
Oracle Identity ManagerおよびOracle Access Managementが別々のWebSphereセルにインストールされている場合は、セルごとに環境変数を設定します。
| 変数 | 設定値 |
|---|---|
|
|
インストールのMiddlewareホームのフルパスに値を設定します。 |
|
|
Oracleホームのフルパスに設定します。IDM統合の場合は、 |
|
|
|
|
|
WebSphereアプリケーション・サーバー・ホーム・ディレクトリのフルパスに値を設定します。例: /WASSH/WebSphere/AppServer |
|
|
IBM JDKのフルパスに値を設定します。例: /WASSH/WebSphere/AppServer/java 重要: JDKではなく、IBM JDKを使用してください。 |
|
|
デプロイメント・マネージャ・プロファイルのホーム・ディレクトリに設定します。 デプロイメント・マネージャは、管理対象のアプリケーション・サーバーのセルにアプリケーションをデプロイします。プロファイルによって実行時環境が定義されます。プロファイルには、サーバーが実行時環境で処理するすべての構成可能ファイルが含まれます。 絶対パスを設定します。例: /WASSH/WebSphere/AppServer/profiles/Dmgr01 |
コマンド・プロンプトで、次のidmConfigToolコマンドをこの順序で実行します。
コマンド構文およびプロパティ・ファイル使用の詳細は、「idmConfigToolコマンドの使用」の章の構文と使用方法に関する項を参照してください。
Oracle Identity Manager、SOAおよびOracleAdminServerサーバー、さらにOIM WebSphereセルのNodeAgentを停止します。
この手順は、WebSphere Application Serverのドキュメントを参照してください。
idmCfgToolPropsディレクトリで、preConfigIDStore.propsファイルを見つけます。preConfigIDStore.propsプロパティ・ファイルの例は、「idmConfigToolコマンドの使用」の章を参照してください。
次のように、OAM WASからpreConfigIDStoreコマンドを実行します。
./idmConfigTool.sh -preConfigIDStore input_file=/idmCfgToolProps/preConfigIDStore.props
prepareIDStore mode=WASコマンドを実行して、wasadminユーザーを作成します。
このコマンドのプロパティは、IDSTORE_WASADMINUSERプロパティが指定されることを除いて、prepareIDStore=WLSコマンドのプロパティ・ファイルと同様です。
次にサンプルのプロパティ・ファイルを示します。
IDSTORE_HOST : xyz1234.us.example.com IDSTORE_PORT : 3060 IDSTORE_BINDDN : cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_WASADMINUSER: wasadmin IDSTORE_USERSEARCHBASE: cn=Users,dc=us,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=us,dc=example,dc=com IDSTORE_SEARCHBASE: dc=us,dc=example,dc=com
プロパティ・ファイルを作成して、OIM WASセルからこのコマンドを実行します。この例では、プロパティ・ファイルの名前はprepareIDStore.propsです。
./idmConfigTool.sh -prepareIDStore mode=WAS input_file=/idmCfgToolProps/prepareIDStore.props
OAM WASセルからprepareIDStore mode=OAMコマンドを実行します。
./idmConfigTool.sh -prepareIDStore mode=OAM input_file=/scratch/idmCfgToolProps/prepareIDStore.props.oam.template
プロパティ・ファイルを作成して、OIM WASセルからprepareIDStore mode=OIMコマンドを実行する準備を行います。
次にサンプルのプロパティ・ファイルを示します。
IDSTORE_HOST: xyz5678.us.example.com IDSTORE_PORT: 3060 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=us,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=us,dc=example,dc=com IDSTORE_SEARCHBASE: dc=us,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=us,dc=example,dc=com IDSTORE_OIMADMINUSER: oimLDAP IDSTORE_OIMADMINGROUP: OIMAdministrators OIM_DB_URL: jdbc:oracle:thin:@xyz5678.us.example.com:5522:wasdb1 OIM_DB_SCHEMA_USERNAME: dev_oim OIM_WAS_CELL_CONFIG_DIR: /wassh/WebSphere/AppServer/profiles/Dmgr04/config/cells/xyz5678Cell04/fmwconfig
prepareIDStore mode=OIMコマンドの次のプロパティは、WebSphereに固有です。
| パラメータ | 説明 |
|---|---|
|
|
OIM DB接続URL |
|
|
OIM DBスキーマ・ユーザー |
|
|
OIMセル内の |
プロパティ・ファイルを作成して保存します。
OIM WASセルからコマンドを実行します。この例では、プロパティ・ファイルの名前はprepareIDStore.props.oim.templateです。
./idmConfigTool.sh -prepareIDStore mode=OIM input_file=/idmCfgToolProps/prepareIDStore.props.oim.template
プロパティ・ファイルを作成して、OAM WASセルからconfigOAMコマンドを実行する準備を行います。
次にサンプルのプロパティ・ファイルを示します。
WLSHOST: abc1234.us.example.com WLSPORT: 9810 WLSADMIN: orcladmin WLSPASSWD: welcome1 IDSTORE_HOST: xyz5678.us.example.com IDSTORE_PORT: 3060 IDSTORE_DIRECTORYTYPE:OID IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_SYSTEMIDBASE: cn=systemids,dc=us,dc=example,dc=com IDSTORE_USERSEARCHBASE: cn=Users,dc=us,dc=example,dc=com IDSTORE_SEARCHBASE: dc=us,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=us,dc=example,dc=com IDSTORE_OAMSOFTWAREUSER: oimLDAP IDSTORE_OAMADMINUSER: oamadmin PRIMARY_OAM_SERVERS: abc1234.us.example.com:5575 WEBGATE_TYPE: ohsWebgate11g ACCESS_GATE_ID: oimwebgate OAM11G_IDM_DOMAIN_OHS_HOST:abc1234.us.example.com OAM11G_IDM_DOMAIN_OHS_PORT:7777 OAM11G_IDM_DOMAIN_OHS_PROTOCOL:http OAM11G_WG_DENY_ON_NOT_PROTECTED: false OAM_TRANSFER_MODE: open OAM11G_OAM_SERVER_TRANSFER_MODE:open OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp COOKIE_DOMAIN: .us.example.com OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators OAM11G_SSO_ONLY_FLAG: false OAM11G_OIM_INTEGRATION_REQ: true OAM11G_IMPERSONATION_FLAG:true OAM11G_SERVER_LBR_HOST:abc1234.us.example.com OAM11G_SERVER_LBR_PORT:14100 OAM11G_SERVER_LBR_PROTOCOL:http COOKIE_EXPIRY_INTERVAL: 120 OAM11G_OIM_OHS_URL:http://tx401alu.us.example.com:7777 OAM11G_SERVER_LOGIN_ATTRIBUTE: uid
次の表は、WebSphereに適用されるときのconfigOAMコマンドのプロパティを示しています。
| パラメータ | 説明 |
|---|---|
|
|
WebSphere Application Serverホスト |
|
|
WebSphere Application Serverブートストラップ・ポート |
|
|
OAM WebSphere管理コンソールのログインID |
|
|
(オプション)OAMコンソール/WebSphere管理コンソールのログイン・パスワード。セキュリティ上の理由から、プロパティ・ファイルにパスワードを保存しないでください。 |
プロパティ・ファイルを作成して保存します。
OAM WASセルからコマンドを実行します。この例では、プロパティ・ファイルの名前はoamcfg.propsです。
./idmConfigTool.sh -configOAM input_file=/oamcfg.props
仮想ホスト構成を更新します。
OAMホスト上のWebSphereコンソールで、「Environment」→「Virtual Hosts」→「default_host」→「Host Aliases」を選択します。
新規IBM HTTP Serverホストおよびポートを追加して、Oracle Access Management (OAM)サーバーを再起動します。
プロパティ・ファイルを作成して、idmConfigTool.sh -configOIMコマンドを実行する準備を行います。
次にサンプルのプロパティ・ファイルを示します。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: abc1234.us.example.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: oimwebgate
COOKIE_DOMAIN: .us.example.com
COOKIE_EXPIRY_INTERVAL: 120
OAM_TRANSFER_MODE: OPEN
WEBGATE_TYPE: ohsWebgate10g
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 3060
IDSTORE_HOST: xyz5678.us.example.com
IDSTORE_DIRECTORYTYPE: OID
IDSTORE_ADMIN_USER: cn=orcladmin
IDSTORE_USERSEARCHBASE: cn=Users,dc=us,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=us,dc=example,dc=com
MDS_DB_URL: jdbc:oracle:thin:@xyz5678.us.example.com:5522:wasdb1
MDS_DB_SCHEMA_USERNAME: dev_mds
WLSHOST: xyz5678.us.example.com
WLSPORT: 9809
WLSADMIN: wasadmin
DOMAIN_NAME: IDMDomain
OIM_MANAGED_SERVER_NAME: oim_server1
DOMAIN_LOCATION: /IDMPS2/user_projects/domains/IDMDomain
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_SEARCHBASE: dc=us,dc=example,dc=com
OIM_WEB_SERVER_HOST: tx401alu.us.example.com
OIM_WEB_SERVER_PORT: 7777
OAM11G_WLS_ADMIN_HOST: abc1234.us.example.com
OAM11G_WLS_ADMIN_PORT: 9810
OAM11G_WLS_ADMIN_USER: wasadmin
このプロパティ・ファイルには、次の注意事項があります。
ACCESS_SERVER_PORTは、Access ManagerのNAPポートである必要があります。
OAMサーバーが簡易モードを使用してリクエストを受け入れるように構成されている場合は、OAM_TRANSFER_MODEをSIMPLEに設定します。それ以外の場合は、OAM_TRANSFER_MODEをOPENに設定します。
WEBGATE_TYPEを、Webgateバージョン11を使用している場合はohsWebgate11gに、Webgateバージョン10を使用している場合はohsWebgate10gに設定します。
IDSTORE_PORTは、アイデンティティ・ストアとしてOracle Internet Directoryを使用している場合、Oracle Internet Directoryポートに設定します。それ以外の場合は、Oracle Virtual Directoryポートに設定します。
IDSTORE_HOSTは、アイデンティティ・ストアとしてOracle Internet Directoryを使用している場合、そのOracle Internet Directoryホストまたはロード・バランサの名前に設定します。それ以外の場合は、Oracle Virtual Directoryホストまたはロード・バランサの名前に設定します。
IDSTORE_DIRECTORYTYPEは、Oracle Virtual Directoryサーバーを使用して非OIDディレクトリまたはOracle Internet Directoryに接続している場合、OVDに設定します。Oracle Internet Directory内にアイデンティティ・ストアがあり、Oracle Virtual Directoryを介さず直接これにアクセスしている場合は、OIDに設定します。
この場合のMDS_DB_URLは、単一インスタンス・データベースを表します。@記号の後に続く文字列は、使用している環境に合った正しい値にする必要があります。SIDは、サービス名ではなく実際のSIDにする必要があります。MDS_URLは、単一のインスタンス・データベースを使用している場合、jdbc:oracle:thin:@DBHOST:1521:SIDに設定します。
IDSTORE_ADMIN_USERの値には、ユーザーの完全なLDAP DNを含める必要があります。エントリは、"oamadmin"のみではなく、"cn=oamadmin,cn=Users,dc=myhost,dc=mycompany,dc=com"のように指定する必要があります。
WLSPORTを、Oracle Identity Manager (OIM)のWebSphereブートストラップ・ポートに設定します。
WLSADMINを、OIM WebSphereセルに構成されているプライマリ管理ユーザー名に設定します。これは、デフォルトでwasadminに設定されます。configOIMコマンドが再実行されている場合は、OIM WebSphereセルに構成されている現在のプライマリ管理ユーザー名を指定します。
DOMAIN_NAMEをWebSphereセル名に設定します。
DOMAIN_LOCATIONをセル・ホームに設定します。例:
<WAS_HOME>/profiles/Dmgr01/config/cells/<host name>
OAM11G_WLS_ADMIN_PORTを、Oracle Access Management (OAM)のWebSphereブートストラップ・ポートに設定します。
OAM11G_WLS_ADMIN_USERを、OAM WebSphereセルに構成されているプライマリ管理ユーザー名に設定します。
|
注意: Oracle Identity Manager (OIM)とOracle Access Management (OAM)が2つの異なるWebSphereセルに構成されている場合は、次のプロパティを指定する必要があります。
OIMとOAMが同じWebSphereセルに含まれている場合は、これらのプロパティを指定する必要はありません。 |
configOIMコマンドの次のプロパティは、WebSphereに固有です。
| パラメータ | 説明 |
|---|---|
|
|
IDストア検索ベース |
|
|
IBM HTTP Server (IHS)ホストまたはOracle HTTP Server (OHS)ホスト |
|
|
IBM HTTP Server (IHS)ポートまたはOracle HTTP Server (OHS)ポート |
プロパティ・ファイルを作成して保存します。
OIM WASセルからコマンドを実行します。この例では、プロパティ・ファイルの名前はoimcfg.propsです。
./idmConfigTool.sh -configOIM input_file=/oimcfg.props
OIM/OAMのWLSパスワードの入力を求められたら、対応するWebSphere dmgr管理者ユーザーのパスワードを入力してください。
WLSPASSWDを求められた場合は、OIM WebSphere管理者パスワードを入力します(例: welcome1)。
OAM11G_WLS_ADMIN_PASSWDを求められたら、OAM WebSphere管理者パスワードを入力します(例: welcome1)。
OIM WASセル内のすべてのサーバーを再起動します。OIM Dmgrおよび同期ノードを再起動して、nodeagentおよびその他のサーバーを次の順序で起動します。
注意: 次のサンプル・コマンドのホスト名、ポート、ユーザー名およびパスワードを適宜変更してください。
OIM Dmgrを停止してから起動します。
/WASSH/WebSphere/AppServer/profiles/Dmgr01/bin/stopManager.sh -username wasadmin -password welcome1 /WASSH/WebSphere/AppServer/profiles/Dmgr01/bin/startManager.sh
同期ノードを再起動します。
次のサンプル・コマンドで示されている値を、使用している環境の値に置き換えてください。
/WASSH/WebSphere/AppServer/profiles/Custom01/bin/syncNode.sh deploymgrHost.us.example.com 8881 -username wasadmin -password welcome1
deploymgrHost.us.example.com: OIMセルのデプロイメント・マネージャのホスト名を指定します。
8881: OIMセルのデプロイメント・マネージャのSOAPポート(SOAP_CONNECTOR_ADDRESS)を指定します。
wasadmin: OIM WebSphereセルに構成されているプライマリ管理ユーザー名を指定します。
password: プライマリ管理ユーザーのパスワードを指定します。
ノード・エージェントとサーバーを起動します。
次のようにサーバーを起動します。
/WASSH/WebSphere/AppServer/profiles/Custom01/bin/startNode.sh /WASSH/WebSphere/AppServer/profiles/Custom01/bin/startServer.sh soa_server1 /WASSH/WebSphere/AppServer/profiles/Custom01/bin/startServer.sh oim_server1 /WASSH/WebSphere/AppServer/profiles/Custom01/bin/startServer.sh OracleAdminServer
次の手順を実行します。
configOAMの実行後に作成されたOAM 11g SSOエージェント・アーティファクトをIHS WebGate構成の場所にコピーします。
たとえば、次のOAM 11g SSOエージェント・アーティファクトが、configOAMの実行後に作成されます。
<WAS_HOME>/profiles/Custom01/output/<webgate name>/
これらのアーティファクトを次の場所にコピーする必要があります。
<WebGate Instance Directory>/webgate/config
IBM HTTP Server (IHS)またはOracle HTTP Server (OHS)を再起動します。
IBM HTTP Server (IHS)またはOracle HTTP Server (OHS)のhttpd.confファイルを開いて、WebSpherePluginConfigエントリを見つけます。例:
WebSpherePluginConfig /scratch/mw/was-plugin/config/ohsSLC/plugin-cfg.xml
次のファイルを開きます。
/mw/was-plugin/config/ohsSLC/plugin-cfg.xml
このファイルを次のように編集します。
UriGroup要素を見つけ、次のエントリを追加します。
<Uri Name="/identity/">
<Uri Name="/sysadmin/">
<Uri Name="/oim/">
VirtualHostGroup要素を見つけ、default_hostのVirtualHostGroupに次のようなエントリが含まれていることを確認します。
<VirtualHost Name=":XXXX">
ここで、XXXXはHTTPサーバー・ポートです(例: 7777)。
ServerCluster要素を見つけ、Transport要素に、適切なOIMおよびOAMのWebSphereホストおよびポートのプロパティが構成されていることを確認します。
<Transport Hostname="sdf1234.us.example.com" Port="14000" Protocol="http"/> <Transport Hostname="sdf1234.us.example.com" Port="14001" Protocol="https"> <Property name="keyring" value="/scratch/aime1/ihs-webgate/Plugins/etc/plugin-key.kdb"/> <Property name="stashfile" value="/scratch/aime1/ihs-webgate/Plugins/etc/plugin-key.sth"/> </Transport> <Transport Hostname="jkl555.us.example.com" Port="14100" Protocol="http"/> <Transport Hostname="jkl555.us.example.com" Port="14101" Protocol="https"> <Property name="keyring" value="/scratch/aime1/ihs-webgate/Plugins/etc/plugin-key.kdb"/> <Property name="stashfile" value="/scratch/aime1/ihs-webgate/Plugins/etc/plugin-key.sth"/> </Transport>
説明:
"sdf1234.us.example.com"は、OIMホストです。
"14000"は、OIM HTTPポートです。
"14001"は、OIM HTTPSポートです。
"jkl555.us.example.com"は、OAMホストです。
"14100"は、OAM HTTPポートです。
"14101"は、OAM HTTPSポートです。
IBM HTTP Server (IHS)またはOracle HTTP Server (OHS)を再起動します。
Access ManagerとOAAMの統合の概要は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』の「Access ManagerとOracle Adaptive Access Managerの統合」および「Access Manager、OAAMおよびOIMの統合」の章を参照してください。IBM WebSphereとWebLogicにおける設定の相違については、この項に記載してあります。
Access ManagerとのOAAMの基本統合は、ネイティブ統合です。Access Managerは、共有ライブラリを通してOracle Adaptive Access Managerと統合されます。共有ライブラリでは、Oracle Adaptive Access Managerのルール・エンジンおよびランタイム機能が提供されます。ライブラリを通してOAAMランタイム機能を使用できるため、このデプロイメントにOAAMサーバーは必要ありません。
Access ManagerをOracle Adaptive Access Managerとともに構成する前に、依存コンポーネントを含めて、必要なコンポーネントをすべてインストールし、統合タスクに備えて環境を構成しておく必要があります。統合タスクを実行する前にインストールおよび構成が必要なコンポーネントの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess ManagerとのOAAMの基本統合の前提条件に関する項を参照してください。
WebLogicではなく、IBM WebSphereを使用してOracle Fusion Middlewareをインストールおよび構成します。先にIBM WebSphereをインストールして(構成はしない)、IBM WebSphereの最新の修正パックを適用しておく必要があります。
IDMDomainAgentは、IBM WebSphereでは使用されません。新規Webゲート・エージェントを登録する必要があります。認証スキームの管理の詳細は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』の「認証および共有ポリシー・コンポーネントの管理」の章を参照してください。エージェントの登録に関して、より詳細な説明へのリンクが含まれる一般情報は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』の「エージェントと登録の概要」の章を参照してください。
デフォルトで、OAAM管理コンソールにログインする適切な権限を持つユーザーはありません。OAAM管理コンソールにログインするための適切な権限があるユーザーを作成し、必要なグループをそのユーザーに付与する必要があります。IBM WebSphereでのユーザーおよびグループの作成の詳細は、IBM WebSphereのドキュメントを参照してください。ユーザーおよびグループは、IBM WebSphereセルに構成されているLDAPディレクトリに定義する必要があります。OAAMユーザーの例として、oaamadminがあります。OAAMのロールの詳細は、第8.1.3項「OAAM管理コンソールにログインする権限を持つユーザーの作成」を参照してください。
oam-config.xmlファイルを見つけて、手動で変更します。oam-config.xmlファイルは、Access Manager関連のシステム構成データをすべて含んでおり、was_profile_dir/config/cells/cell_name/fmwconfigディレクトリにあります。たとえば、次のようなディレクトリです。
/scratch/xyz/IBM/WebSphere/AppServer/profiles/Dmgr04/config/cells/adc2170813Cell02/fmwconfig
次の例に示されているように、OAAMEnabledプロパティをtrueに設定します。
<Setting Name="OAAM" Type="htf:map"> <Setting Name="OAAMEnabled" Type="xsd:boolean">true</Setting> <Setting Name="passwordPage" Type="xsd:string">/pages/oaam/password.jsp</Setting> <Setting Name="challengePage" Type="xsd:string">/pages/oaam/challenge.jsp</Setting> <Setting Name="registerImagePhrasePage" Type="xsd:string">/pages/oaam/registerImagePhrase.jsp</Setting> <Setting Name="registerQuestionsPage" Type="xsd:string">/pages/oaam/registerQuestions.jsp</Setting>
OAAM管理サーバーを起動して、新たに作成した管理対象サーバーをドメインに登録します。
コマンド・プロンプトを開き、次のbinディレクトリに変更します。
例:
WAS_HOME/profiles/Custom01/bin
次のコマンドを入力します。
./startServer.sh oaam_admin_server
OAAM管理サーバーのデフォルトのサーバー名は、oaam_admin_server1です。
Oracle Adaptive Access Managerには、ポリシー、ルール、チャレンジ質問、依存コンポーネントおよび構成のフル・スナップショットが付属しています。このスナップショットは、OAAMの最小構成で必要となります。『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』の手順に従って、システムにスナップショットをインポートします。
OAAM管理サーバーをシャットダウンします。
コマンド・プロンプトを開いて、アプリケーション・サーバーのbinディレクトリに変更します。
例:
WAS_HOME/profiles/Custom01/bin
次のコマンドを入力します。
./stopServer.sh oaam_admin_server -username username -password password
OAAM管理サーバーのデフォルトのサーバー名は、oaam_admin_server1です。
IBM WebSphere管理コンソールを使用して、JNDI名がjdbc/OAAM_SERVER_DB_DSのJDBCデータソースを作成します。データソースは、セル・レベルで作成する必要があります。必ずセルの有効範囲内でOAAM管理対象サーバーを選択します。IBM WebSphereでのデータソース作成の詳細は、第3.2.6項「IBM WebSphereセルでのデータソースの作成」を参照してください。
共有ライブラリは、複数のアプリケーションで使用されるファイルです。Access Managerでは、Access ManagerとのOAAMの基本統合内の共有ライブラリが使用されるため、Access Managerがデプロイされているアプリケーションまたは管理対象サーバーの有効範囲内に共有ライブラリを作成する必要があり、Access Managerからこの共有ライブラリを参照する必要があります。
複数のアプリケーションでライブラリ・ファイルを使用できるようにするには、次の手順に従って共有ライブラリを作成します。
IBM WebSphere管理コンソールにログインします。
コンソールのナビゲーション・ツリーで、「Environment」を開き、「Shared libraries」を選択します。
「Shared Libraries」ページで、「Show scope selection drop-down list with the all scopes」オプションを選択し、共有ライブラリの有効範囲を選択して「Apply」をクリックします。たとえば、Access Managerの場合、サーバーの有効範囲としてOracle Access Managerの有効範囲を選択します。
表の上の「Preferences」で「New」ボタンをクリックし、手順4で選択した有効範囲に新規共有ライブラリを作成します。
共有ライブラリの設定ページの「Name」フィールドで、共有ライブラリの名前を指定します。たとえば、oaam_native_shared_libraryと指定します。
「Classpath」テキスト・ボックスで、次のディレクトリに存在するすべてのJARファイルの絶対パスを指定します。
MW_HOME/Oracle_IDM1/oaam/oaam_libs/was_native_jar
これらは、製品で共有ライブラリのクラスおよびリソースの検索に使用するパスです。
|
注意: エントリごとに新規行を使用する必要があり、";"や":"のようなパス・セパレータを使用しないでください。 |
「OK」をクリックして、「Save」をクリックします。
アプリケーションに共有ライブラリ参照を追加するには:
IBM WebSphere管理コンソールにログインします。
コンソールのナビゲーション・ツリーで、「Applications」を開き、「Application Types」を選択して、「WebSphere enterprise applications」をクリックし、アプリケーションのリストを開きます。
「Enterprise Applications」ページで、共有ライブラリを関連付けるアプリケーションをクリックします。
「Configurations」で、「Shared library references」をクリックして、「Shared library references」ページにアクセスします。
「Shared Library Mapping for Modules」セクションで、共有ライブラリに関連付けるアプリケーションの横のチェック・ボックスを選択して、表の上の「Reference Shared Libraries」ボタンをクリックします。
「Available」リストで、アプリケーションで使用する1つ以上の共有ライブラリを選択して、「Selected」リストに追加します。「OK」をクリックします。
構成に加えた変更を保存します。
構成をテストするには:
構成を確認するために、それぞれ1つのリソースを保護している2つのエージェントをリモート登録します。
Oracle Access Managementコンソールを使用して、認証フロー用に1つ目のリソースをOAAMBasicに関連付けます。2つ目のリソースをLDAPSchemeに関連付けます。
|
関連資料: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の認証スキームの管理に関する項 |
これまでに構成済の保護されたリソースにアクセスして、構成を検証します。
ユーザー名を入力するプロンプトが表示されます。さらに別画面でパスワードを入力するプロンプトが表示されます。
ユーザー名およびパスワードが検証されたら、3つのチャレンジ質問を選択し、これらに回答するように求められます。完了後に、保護されたアプリケーションが表示されます。
Oracle Adaptive Access ManagerをOracle Access Managerと統合すると、企業は、アプリケーションの保護のレベルを大幅に向上させる高度なアクセス・セキュリティ機能を使用できるようになります。OAAMとAccess Managerとの拡張統合シナリオには、Oracle Identity Managerがあるものとないものがあります。
Oracle Identity Managerとの統合により、パスワードを忘れた場合やパスワードの変更フローなど、より豊富なパスワード管理機能をユーザーが利用できるようになります。Oracle Identity Managerとの統合の詳細は、第14.3項「IBM WebSphereでのAccess Manager、OAAMおよびOIMの統合」を参照してください。
環境にOracle Identity Managerが含まれていない場合は、この項で説明されている統合手順に従います。
表14-2には、IBM WebSphereでAccess ManagerとのOAAMの拡張統合を構成する手順がまとめられています。
表14-2 Access ManagerとOracle Adaptive Access Managerとの統合フロー
| 手順 | タスク | 情報 |
|---|---|---|
|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、「Access ManagerとのOAAMの拡張統合の前提条件」を参照してください。 |
|
2 |
Oracle Access ManagementとOAAMの管理コンソールおよび管理対象サーバーが実行されていることを確認します。 |
詳細は、「サーバーの再起動」を参照してください。 |
|
3 |
OAAMユーザーを作成します。OAAM管理コンソールにアクセスする前に、管理ユーザーを作成する必要があります。 |
詳細は、「ユーザーとグループの作成」を参照してください。 |
|
4 |
OAAMベース・スナップショットをインポートします。Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。Oracle Adaptive Access Managerを動作させるには、ベースOAAMスナップショットをシステムにインポートする必要があります。 |
詳細は、「OAAMでのベース・スナップショットのインポート」を参照してください。 |
|
5 |
Access Managerが正しく設定されたことを確認します。Oracle Access Managementコンソールに正常にログインできる必要があります。 |
詳細は、「Access Managerの初期構成の検証」を参照してください。 |
|
6 |
OAAMが正しく設定されたことを確認します。 |
詳細は、「Oracle Adaptive Access Managerの初期構成の検証」を参照してください。 |
|
7 |
Webゲートを登録します。Webゲートは、すぐに使用できるアクセス・クライアントです。このWebサーバー・アクセス・クライアントは、Webリソースに対するHTTPリクエストをインターセプトし、これらのリクエストをOAMサーバー11gに転送します。 |
詳細は、「Oracle Access Managementコンソールを使用したWebゲートのプロビジョニング」を参照してください。 |
|
8 |
OAAMサーバーを信頼できるパートナ・アプリケーションとして動作するようにAccess Managerに登録します。パートナ・アプリケーションは、認証機能をAccess Manager 11gに委任するアプリケーションです。 |
詳細は、「OAAMとの統合用にAccess Managerを設定し、Access ManagerでOAAMをサード・パーティとして登録する手順」を参照してください。 |
|
9 |
エージェント・パスワードを複数の場所に指定します。OAAMでは、統合でエージェント・プロファイルを使用するために、このエージェント・パスワードを必要とします。 |
詳細は、「エージェント・パスワードの設定」を参照してください。 |
|
10 |
Oracle Access Managementテスターを使用してTAPパートナ登録を検証します。 |
詳細は、「TAPパートナ登録の検証」を参照してください。 |
|
11 |
OAAMでTAP統合プロパティを設定します。 |
詳細は、「TAP統合用のOAAMの設定」を参照してください。 |
|
12 |
ポリシーで保護されたリソースのポリシーでOAAM TAPSchemeを使用してリソースが保護されるように認証スキームを更新します。 |
詳細は、「ポリシーで保護されたリソースのポリシーの認証スキームの更新」を参照してください。 |
|
13 |
Access ManagerとOracle Adaptive Access Managerの統合を検証します。 |
詳細は、「Access ManagerとOracle Adaptive Access Managerの統合の検証」を参照してください。 |
Access ManagerをOracle Adaptive Access Managerとともに構成する前に、依存コンポーネントを含めて、必要なコンポーネントをすべてインストールし、統合タスクに備えて環境を構成しておく必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess ManagerとのOAAMの拡張統合の前提条件に関する項を参照してください。
WebLogicではなくIBM WebSphereをインストールします。システム要件と動作保証、必要なソフトウェア・メディアとダウンロード、およびOracle Fusion MiddlewareをIBM WebSphereとともにインストールして構成するインストール手順の詳細は、第2章「Oracle Identity and Access ManagementのIBM WebSphereでのインストールおよび構成」を参照してください。
IBM Deployment Managerを起動します。
Deployment Managerを起動するには、IBM WebSphereホームの次のディレクトリに移動して、次のコマンドを入力します。
(UNIX) WAS_HOME/profiles/deployment_mgr_profile_name/bin/startManager.sh (Windows) WAS_HOME\profiles\deployment_mgr_profile_name\bin\startManager.cmd
たとえば、UNIXオペレーティング・システムでは次のようになります。
/opt/IBM/WebSphere/AppServer/profiles/Dmgr01/bin/startManager.sh
WAS_HOMEは、IBM WebSphereがインストールされているAppServerディレクトリへのパスです。
Access ManagerとOAAMを統合しており、OAAMが別のIBM WebSphereセルにインストールされている場合は、OAAMがインストールされているIBM WebSphereプロファイルに配置されているDeployment Managerも起動する必要があります。
OAMサーバーをホストしている管理対象サーバーを起動します。
OAM_PROFILE/bin/startServer.sh oam_server1
OAM_PROFILEは、OAMがインストールされているIBM WebSphereプロファイルです。
例:
OAM_PROFILE - $WAS_HOME/profiles/Custom01
OAAM管理サーバーをホストしている管理対象サーバーを起動します。
OAAM管理サーバーを起動するには、IBM WebSphereホームの次のディレクトリに移動して、次のコマンドを入力します。
(UNIX) OAAM_PROFILE/bin/startServer.sh oaam_admin_server (Windows) OAAM_PROFILE\bin\startServer.cmd oaam_admin_server
OAAM管理サーバーのデフォルトのサーバー名は、oaam_admin_server1です。
たとえば、UNIXオペレーティング・システムでは次のようになります。
/opt/IBM/WebSphere/AppServer/profiles/Custom01/bin/startServer.sh oaam_admin_server1
OAAM_PROFILEは、OAAM管理サーバーがインストールされているIBM WebSphereプロファイルです。
たとえば、UNIXオペレーティング・システムでは、OAAM_PROFILEは次のようになります。
WAS_HOME/profiles/profile_name
OAAMランタイム・サーバーをホストしている管理対象サーバーを起動します。
OAAMランタイム・サーバーを起動するには、IBM WebSphereホームの次のディレクトリに移動して、次のコマンドを入力します。
(UNIX) OAAM_PROFILE/bin/startServer.sh oaam_server_server (Windows) OAAM_PROFILE\bin\startServer.cmd oaam_server_server
OAAMランタイム・サーバーのデフォルトのサーバー名は、oaam_server_server1です。
OAAM_Profileは、OAAMサーバーがインストールされているIBM WebSphereプロファイルです。
たとえば、UNIXオペレーティング・システムでは次のようになります。
/opt/IBM/WebSphere/AppServer/profiles/Custom01/bin/startServer.sh oaam_server_server1
たとえば、UNIXオペレーティング・システムでは、OAAM_PROFILEは次のようになります。
WAS_HOME/profiles/profile_name
デフォルトで、OAAM管理コンソールにログインする適切な権限を持つユーザーはありません。OAAM管理コンソールにログインするための適切な権限があるユーザーを作成し、必要なグループをそのユーザーに付与する必要があります。IBM WebSphereでのユーザーおよびグループの作成の詳細は、IBM WebSphereのドキュメントを参照してください。ユーザーおよびグループは、IBM WebSphereセルに構成されているLDAPディレクトリに定義する必要があります。OAAMユーザーの例として、oaamadminがあります。OAAMのロールの詳細は、第8.1.3項「OAAM管理コンソールにログインする権限を持つユーザーの作成」を参照してください。
Oracle Adaptive Access Managerには、ポリシー、ルール、チャレンジ質問、依存コンポーネントおよび構成のフル・スナップショットが付属しています。このスナップショットは、OAAMの最小構成で必要となります。『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』の手順に従って、システムにスナップショットをインポートします。
「Oracle Access Managementへようこそ」ページにアクセスして、Access Managerが正しく設定されていることを確認します。
次のOracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ログインのため、OAMサーバーにリダイレクトされます。
管理者ユーザーの名前とパスワードを指定します。
ログインに成功すると、「Oracle Access Managementへようこそ」ページが表示されます。
OAAMサーバーにアクセスして、Oracle Adaptive Access Managerが正しく設定されていることを確認します。
OAAMサーバーにログインします。
http://host:port/oaam_server
ユーザー名を指定し、「続行」をクリックします。
Access ManagerとOracle Adaptive Access Managerの統合がまだ実行されていないため、パスワードとしてtestと入力します。このパスワードは、統合後すぐに変更する必要があります。
仮想認証デバイス上の「入力」ボタンをクリックします。
「続行」をクリックし、新しいユーザーを登録します。
「続行」をクリックして、セキュリティ・デバイス、イメージおよびフレーズを受け入れます。
質問を選択し、回答を指定して、ナレッジベース認証(KBA)の登録を行います。
ログインに成功すれば、初期構成が正しく行われたことになります。
エージェントは、OAMサーバーと通信して、保護されているリソースおよび構成されているアクセス・ポリシーを確認します。エージェントを登録すると、エージェントとOAMサーバーとの間で必要な信頼メカニズムが設定されます。
Webゲートを登録する前に、次のものがインストールされ、構成されていることを確認します。
IBM HTTP Serverおよびそれに必要なプラグイン
IBM HTTP (IHS)のインストールと構成の詳細は、IBM HTTP製品のドキュメントを参照してください。
IHS WebGate
IHS 11g WebGate for Access Managerのインストールの詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』のIHS 11g WebGate for Oracle Access Managerのインストールに関する項を参照してください。
IHS 11g WebGateの登録の詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』の新規IHS 11g WebGateの登録に関する項を参照してください。
エージェントを登録したら、Access Management 11g SSOエージェント・アーティファクトをIHS WebGate構成の場所にコピーします。詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』の生成されたファイルおよびアーティファクトのHTTP Server WebGateインスタンスの場所へのコピーに関する項を参照してください。
IHS Serverを起動します。詳細は、『Oracle Fusion Middleware WebGate for Oracle Access Managerのインストール』のIHS Serverの起動およびIHSリソースへのアクセスに関する項を参照してください。
IHS Webサーバーを起動したら、IHS Webサーバーにログインします。例:
http://machine_name.my.company.com:port
Webゲートによってリクエストがインターセプトされ、Oracle Access Managementコンソールにリダイレクトされます。ユーザー名とパスワードを入力すると、IBM HTTP Serverにリダイレクトされます。
OAAMサーバーを信頼できるパートナ・アプリケーションとしてAccess Managerに登録するには、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』の手順に従います。
|
注意: Access ManagerがインストールされているIBM WebSphere Deployment Managerが稼働していることを確認します。 |
WSADMIN用に環境を設定します。
IAM_ORACLE_HOME/common/binディレクトリに移動します。
wsadmin.shを実行して、wsadminと入力します。
例:
./wsadmin.sh -port 8879 -user wasadmin -password some-value -conntype soap -lang jython
portは、Deployment ManagerのSOAP PORTです。
SOAPポートの指定の詳細は、IBM WebSphereのドキュメントを参照してください。
別のターミナル・ウィンドウで、次を実行してkeystoreディレクトリを作成します。
mkdir IAM_ORACLE_HOME/TAP/TapKeyStore
WSADMINシェルを使用して、Oam.registerThirdPartyTAPPartnerコマンドを実行します。
Oam.registerThirdPartyTAPPartner(partnerName="partnerName", keystoreLocation= "path_to_keystore" , password="keystore_password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="OAAM login URL")
このコマンドは、サード・パーティをTrusted Authentication Protocol (TAP)パートナとして登録します。
次に例を示します。
Oam.registerThirdPartyTAPPartner(partnerName = "OAAMTAPPartner", keystoreLocation= "IAM_ORACLE_HOME/TAP/TapKeyStore/mykeystore.jks" , password="password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="http://OAAM_ Managed_server_host:14300/ oaam_server/oamLoginPage.jsp")
表14-3 TAPパートナの設定
| パラメータ | 詳細 |
|---|---|
|
partnerName |
パートナの名前は一意である必要があります。これは、サード・パーティ・パートナの識別に使用する任意の名前にできます。Access Managerにパートナが存在する場合は、その構成が上書きされます。 |
|
keystoreLocation |
キーストアの場所は既存の場所です。指定したディレクトリ・パスが存在しない場合は、エラーが表示されます。キーストア・ファイル名を含む完全なパスを指定する必要があります。前に示した例では、キーストアの場所は "C:\\oam-oaam\\tap\\tapkeystore\\mykeystore.jks" |
|
password |
キーストアの暗号化に使用するキーストア・パスワード。キーストアは、パラメータkeystoreLocation用に指定した場所でコマンドregisterThirdPartyTAPPartnerを実行することにより作成されます。後で必要になるため、このパスワードをメモします。 |
|
tapTokenVersion |
Trusted Authentication Protocolのバージョン |
|
tapScheme |
Trusted Authentication Protocol認証スキーム(すぐに使用できるTAPScheme)。これは更新される認証スキームです。異なるtapRedirectUrlを持つ2つのTAPパートナが必要な場合は、Oracle Access Managementコンソールを使用して新しい認証スキームを作成し、そのスキームをここで使用します。 この認証スキームは、前述の手順で |
|
tapRedirectUrl |
サード・パーティのアクセスURL。TAPリダイレクトURLはアクセス可能である必要があります。アクセスできない場合、パートナの登録は失敗し、
OAAMサーバーが実行されていることを確認してください。実行されていない場合、登録は失敗します。資格証明コレクタのページは、OAAMサーバーによって提供されます。 |
複数の場所でエージェント・パスワードを指定する必要があります。OAAMでは、統合でエージェント・プロファイルを使用するために、このエージェント・パスワードを必要とします。
Access Managerがインストールされると、IAMSuiteAgentというデフォルトのエージェント・プロファイルが作成されます。このプロファイルは、Access Managerとの統合の際にOAAMによって使用されます。IAMSuiteAgentプロファイルが最初に作成されるときには、パスワードはありません。プロファイルがOAAMで統合に使用される前に、パスワードを設定する必要があります。これを行うには、次のようにします。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
ユーザー名とパスワードを入力します。
「システム構成」タブを選択します。
「Access Managerの設定」→「SSOエージェント」を開きます。
OAMエージェントをダブルクリックします。
右側のペインに「Webゲート」ページが開かれます。
「検索」をクリックすると、IAMSuiteAgentを含むすべてのWebゲート・エージェントがリストされます。
「IAMSuiteAgent」をダブルクリックし、プロパティを編集します。
「アクセス・クライアント・パスワード」でパスワードを指定し、「適用」をクリックして変更を保存します。
これは必須の手順です。
TAPパートナ登録を検証するには、次の手順に従います。
Access Managerの構成を検証するには、次の手順を実行します。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
資格証明を入力します。
コンソールの左側のペインの「ポリシー構成」をクリックします。
左側のペインで、「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
「チャレンジ・メソッド」が「DAP」で、「認証モジュール」が「DAP」であることを確認します。
「チャレンジURL」が、OAAMがパートナ・アプリケーションとしてAccess Managerに登録されたときに指定されたtapRedirectUrlの値の一部を示していることを確認します。たとえば、tapRedirectUrlがhttp://OAAM_Managed_server_host:14300/oaam_server/oamLoginPage.jspの場合、「チャレンジURL」は/oaam_server/oamLoginPage.jspとなります。URLのホストおよびポート番号部分は、チャレンジ・パラメータでパラメータ化されます。「チャレンジ・パラメータ」フィールドに、TAPPartnerId=OAAMPartnerとSERVER_HOST_ALIAS=HOST_ALIAS_1の両方が表示されます。
チャレンジ・パラメータが正しく設定されていることを確認します。
MatchLDAPAttributeチャレンジ・パラメータを追加し、これをLDAPアイデンティティ・ストアで指定されたUser Name Attributeに設定する必要があります。
Oracle Access Managementコンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
資格証明を入力します。
画面の左側で「ポリシー構成」タブをクリックします。
「認証スキーム」ノードを開きます。
TAPScheme認証スキームをダブルクリックします。
既存のパラメータに別のパラメータを追加するには、カーソルを「チャレンジ・パラメータ」フィールドに置き、キーボードを使用して[Enter]キーを押します。
新しい行で、チャレンジ・パラメータのエントリを追加します。
たとえば、MatchLDAPAttribute=uidなどです。
MatchLDAPAttributeを、LDAPアイデンティティ・ストアで指定されたUser Name Attributeに設定する必要があります。たとえば、uid、mail、cnなどとなります。
|
注意: 「チャレンジ・パラメータ」では大/小文字を区別します。 |
詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のユーザー・アイデンティティ・ストアの管理に関する項を参照してください。
「適用」をクリックして変更を送信します。
確認ウィンドウを閉じます。
IAMSuiteAgentの設定を検証するには、次の手順を実行します。
Oracle Access Managementテスターを起動します。
IAM_ORACLE_HOME/../jdk_version/bin/java -jar IAM_ORACLE_ HOME/oam/server/tester/oamtest.jar
Oracle Access Managementテスター・コンソールが表示されます。
「サーバー接続」セクションで、サーバー接続の詳細を指定します。
IPアドレス: Access Manager管理対象サーバーのホスト
ポート: Oracle Access Management Oracle Access Protocol (OAP)ポート
エージェントID: IAMSuiteAgent
エージェント・パスワード: 第14.2.2.10項「エージェント・パスワードの設定」で指定したPassword
「サーバー接続」セクションには、OAMサーバーへの接続の確立に必要な情報についてのフィールドが示されます。
「接続」をクリックします。
サーバーに接続できる場合は、次のセクションの保護されているリソースのURIが有効になります。
「保護されたリソースのURI」セクションには、保護状態を検証する必要のあるリソースに関する情報が表示されます。
このセクションでは、次のように保護されたリソースのURIを指定します。
ホスト: IAMSuiteAgent
ポート: 80
リソース: /oamTAPAuthenticate
|
注意:
|
「検証」をクリックします。
リソース検証サーバー・リクエストを送信するには、「検証」ボタンを使用します。検証に成功すると、次のセクションのユーザー・アイデンティティが有効になります。
「ユーザー・アイデンティティ」セクションで、User Identityを指定し、「認証」をクリックします。認証に成功した場合は、設定が正常に行われています。
このセクションには、資格証明を認証する必要のあるユーザーに関する情報が表示されます。「ユーザーの認証」サーバー・リクエストの送信には「認証」ボタンを使用します。
『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のOAAMでのAccess Manager TAP統合プロパティの設定に関する項で説明されているように、setupOAMTapIntegration.shを実行して、TAP統合用にAccess Managerを構成します。
CLIスクリプト実行の詳細は、第8.1.4項「IBM WebSphere上のOAAMに対するCLI環境の設定」を参照してください。
OAAM TAPSchemeでリソースを保護するには、ポリシーで保護されたリソースのポリシーを編集して、認証スキームを更新する必要があります。この項では、これを実行するための一般的な手順を示します。
詳細な手順は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。
Oracle Access Management管理コンソールにログインします。
http://oam_adminserver_host:oam_adminserver_port/oamconsole
11g WebGate登録の一環として作成されたアプリケーション・ドメインを確認します。
認証ポリシーで保護されたリソースのポリシーを編集します。
認証スキームを、registerThirdPartyTAPPartnerコマンドでtapSchemeパラメータとして指定されたTAPSchemeに更新します。
「適用」をクリックして、変更を保存します。
保護されたリソースにアクセスしてみます。登録およびチャレンジのため、OAAMにリダイレクトされます。Access Managerログイン・ページのかわりにOAAMログイン・ページが表示されます。
Oracle Identity Managerとの統合により、パスワードを忘れた場合やパスワードの変更フローなど、より豊富なパスワード管理機能をユーザーが利用できるようになります。
表14-4は、Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合のための大まかなタスクをリストしたものです。
表14-4 Access Manager、OAAMおよびOIMの統合フロー
| 手順 | タスク | 情報 |
|---|---|---|
|
1 |
統合の前に必要なすべてのコンポーネントがインストールおよび構成されていることを確認します。 |
詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』およびIBM WebSphereのドキュメントを参照してください。 |
|
2 |
Access Manager、Oracle Adaptive Access ManagerおよびIBM WebSphereサーバーをインストールします。 |
詳細は、第2章「Oracle Identity and Access ManagementのIBM WebSphereでのインストールおよび構成」を参照してください。 |
|
3 |
Access ManagerとOracle Identity Managerを統合します。 |
詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。 |
|
4 |
Oracle Identity Managerに対してLDAP同期を有効にします。これは、Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合に必要となります。 |
詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。 |
|
5 |
Access ManagerとOracle Adaptive Access Managerを統合します。 |
詳細は、第14.2.2項「Access ManagerとのOAAMの拡張統合の構成」を参照してください。 |
|
6 |
Oracle Adaptive Access ManagerとOIMの統合を設定します。 |
詳細は、第14.3.7項「Oracle Identity ManagerとOracle Adaptive Access Managerの統合」を参照してください。 |
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managementを統合する前に、依存コンポーネントを含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managementの統合タスクを実行する前にインストールして構成しておく必要のあるコンポーネントの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。
次の手順は、すぐに使用できる統合によりAccess ManagerとOracle Identity Managerが統合されていることを前提としています。
Access Manager、OAAMおよびOIMのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
|
注意: この統合では、Oracle Identity ManagerとOAAMは同一セル内に含まれている必要があります。 |
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity ManagerおよびAccess Managerの間の統合が必要です。詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの間の統合には、Oracle Identity Manager用のLDAP同期の有効化が必要です。詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。
|
注意: Access Manager、Oracle Identity ManagementおよびOracle Adaptive Access Managerの統合では、 |
Access ManagerとOracle Adaptive Access Managerの統合は、OAAMサーバーが信頼できるパートナ・アプリケーションとして動作するように構成します。Oracle Adaptive Access ManagerとAccess Managerの統合の詳細は、「IBM WebSphereでのAccess ManagerとOAAMの統合」を参照してください。
この項では、Access Manager、Oracle Identity ManagementおよびOracle Adaptive Access Managerの3方向統合のために、Oracle Identity ManagementとOracle Adaptive Access Managerを統合する方法について説明します。
OAAM管理コンソールにアクセスできるようにするには、OIMが指しているアイデンティティ・ストアにOAAMユーザーおよびOAAMロールを作成する必要があります。Oracle Identity Managerシステム管理コンソールからユーザーとグループを追加できます。詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のユーザーの管理に関する項とロールの管理に関する項を参照してください。
Oracle Identity ManagerのかわりにOracle Adaptive Access Managerがチャレンジ質問機能を提供するためには、Oracle Identity Managerで、OIM.ChangePasswordURLプロパティおよびOIM.ChangePasswordURLプロパティが有効なOAAM URLに設定され、OIM.DisableChallengeQuestionsがtrueに設定される必要があります。
Oracle Identity Managerプロパティを変更するには、次の手順を実行します。
Oracle Identity Managerシステム管理コンソールにログインします。
「システム管理」で「構成」をクリックし、「システム管理」の下で「システム構成」リンクをクリックします。
ポップアップ・ウィンドウで、「拡張検索」をクリックします。
次のプロパティを設定し、「保存」をクリックします。
|
注意: これらのURLでは、Access Managerで構成したホスト名を使用します。たとえば、Access Managerの構成中に完全なホスト名(ドメイン名あり)を指定した場合は、URLに完全なホスト名を使用します。 |
表14-5 Oracle Identity Managerのリダイレクト
| プロパティ | 説明と値 |
|---|---|
|
OIM.DisableChallengeQuestions |
TRUE |
|
OIM.ChangePasswordURL |
Oracle Adaptive Access Managerにあるパスワード変更ページのURLは次のとおりです。 http://oaam_server_managed_server_host:oaam_server_managed_server_port/oaam_server/oimChangePassword.jsp 高可用性(HA)環境では、OAAMサーバーの仮想IP URLを指すようにこのプロパティを設定します。 |
|
OIM.ChallengeQuestionModificationURL |
Oracle Adaptive Access Managerにあるチャレンジ質問変更ページのURLは次のとおりです。 http://oaam_server_managed_server_host:oaam_server_managed_server_port/oaam_server/oimResetChallengeQuestions.jsp |
Oracle Identity Managerの管理対象サーバーを再起動します。
Oracle Identity Manager用にOAAMプロパティを設定するには:
次のOAAM管理コンソールにログインします。
http://oaam_managed_server_host:oaam_admin_managed_server_port/oaam_admin
プロパティ・エディタへのアクセスが可能なユーザーとしてログインします。
ナビゲーション・ツリーで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。現在値が検索結果ウィンドウに表示されます
|
注意: プロパティの検索でレコードが何も表示されない場合は、プロパティを作成する必要があります。プロパティの作成手順は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』の新規データベース・タイプ・プロパティの作成に関する項を参照してください。 |
「値」をクリックします。新しい値を入力し「保存」をクリックします。
次のプロパティについて、デプロイ内容に従って値を設定します。
表14-6 Oracle Identity Manager統合プロパティ
| プロパティ名 | プロパティ値 |
|---|---|
|
bharosa.uio.default.user.management.provider.classname |
com.bharosa.vcrypt.services.OAAMUserMgmtOIM |
|
oaam.oim.auth.login.config |
${oracle.oaam.home}/../designconsole/config/authws.conf
注意: |
|
oaam.oim.url |
corbaloc:iiop:host:port portはOIMサーバーのブートストラップ・ポートです。 |
|
oaam.oim.xl.homedir |
${oracle.oaam.home}/../designconsole
|
|
bharosa.uio.default.signon.links.enum.selfregistration.url |
自己登録のURLは次のとおりです。 http://OIM_managed_server_host:OIM_managed_server_port/identity/faces/register?&backUrl=back-URL |
|
bharosa.uio.default.signon.links.enum.trackregistration.url |
登録のトラッキングのURLは次のとおりです。 http://OIM_managed_server_host:OIM_managed_server_port/identity/faces/trackregistration?&backUrl=back-URL |
|
bharosa.uio.default.signon.links.enum.trackregistration.enabled |
true |
|
bharosa.uio.default.signon.links.enum.selfregistration.enabled |
true |
|
oaam.oim.csf.credentials.enabled |
true このプロパティにより、資格証明をプロパティ・エディタを使用して管理するのではなく資格証明ストア・フレームワークで構成するように有効化できます。この手順は、資格証明をCSFに安全に保存するために実行します。 |
|
oaam.oim.passwordflow.unlockuser |
true このプロパティは、パスワードを忘れた場合のフローでユーザーの自動ロック解除を有効にします。 |
|
oaam.oim.initial.context.factory |
com.ibm.websphere.naming.WsnInitialContextFactory |
様々なアクティビティを実行するには、Oracle Adaptive Access ManagerにOIM管理者の資格証明が必要です。Oracle Identity Manager Webゲートの資格証明の鍵は、MAPのoaamに作成されます。OIMの資格証明を資格証明ストア・フレームワークに安全に保存できるように、次の手順に従ってパスワード資格証明をOAAMドメインに追加します。
Oracle Fusion Middleware Enterprise Managerコンソールにログインします。
http://websphere_host:OracleAdminServer_port/em
ここで、portはOracleAdminServer HTTPポートです。
IBM WebSphere管理者としてログインする必要があります。たとえば、wasadminとしてログインします。
左ペインのナビゲーション・ツリーの「WebSphereセル」アイコンを開きます。
使用しているIBM WebSphereセルを選択して、右クリックし、メニュー・オプションの「セキュリティ」を選択し、サブメニューのオプション「資格証明」を選択します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ダイアログで「マップの選択」が「oaam」に設定されていることを確認します。
次のプロパティを指定し、「OK」をクリックします。
