| Oracle® Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド 11gリリース2 (11.1.2.1.0) B72797-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド 11gリリース2 (11.1.2.1.0) B72797-01 |
|
前 |
次 |
ここでは、IBM WebSphereでのOracle Entitlements Serverのインストールおよび管理について説明します。この章には次の項が含まれます:
Oracle Entitlements Serverは、アプリケーション・リソースの保護を精密に制御するために使用できる緻密な認可および権限管理ソリューションです。これにより、包括的で再利用可能な完全に監査可能な認可ポリシーと簡素で使用しやすい管理モデルが提供され、エンタープライズ・アプリケーションとSOAのセキュリティが簡略化され集中管理されます。詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のOracle Entitlements Serverの導入に関する項を参照してください。
Oracle Entitlements Server 11g リリース2 (11.1.2.1.0)には、次の2つの個別コンポーネントがあります。
Oracle Entitlements Server管理サーバー: このコンポーネントはOracle Identity and Access Management 11g リリース2 (11.1.2.1.0)インストールに含まれています。
Oracle Entitlements Serverクライアント(セキュリティ・モジュール): このコンポーネントは独自のインストーラがあり、Oracle Identity and Access Management 11g リリース2 (11.1.2.1.0)インストールには含まれていません。また、IBM WebSphereは必要ありません。
表10-1に、Oracle Entitlements Serverのインストールおよび構成のタスクを示します。
表10-1 Oracle Entitlements Serverのインストールおよび構成のフロー
| 手順 | タスク | 説明 |
|---|---|---|
|
1 |
システム要件および動作保証のドキュメントを読み、環境がインストールするコンポーネントの最低のインストール要件を満たしていることを確認します。 |
詳細は、第2.1項「タスク1: システム要件と動作保証情報の確認」を参照してください。 |
|
2 |
必要なソフトウェアを入手します。 |
詳細は、第2.2項「タスク2: 必要なソフトウェア・メディアまたはダウンロードの取得」を参照してください。 |
|
3 |
Oracle Entitlements Serverポリシー・ストアに対応したOracle Databaseをインストールし、Oracle Entitlements Server用の適切なスキーマを作成してロードします。 |
Oracle Entitlements Serverに対応するOracle Databaseを使用する場合には、Oracle Fusion Middlewareリポジトリ作成ユーティリティを使用してOracle Entitlements Serverに対応するスキーマを作成する必要があります。詳細は、第2.3項「タスク3: データベースの特定と必要なデータベース・スキーマのインストール」を参照してください。 |
|
4 |
IBM WebSphereをインストールします。 |
詳細は、第2.4項「タスク4: IBM WebSphereソフトウェアのインストール」を参照してください。 |
|
5 |
IBM WebSphereでのOracle Fusion Middlewareのインストールに関する特記事項を確認します。 |
詳細は、第2.6.1項「IBM WebSphereでのOracle Identity and Access Managementインストール時の特別な手順」を参照してください。 |
|
6 |
Oracle Identity and Access Managementソフトウェアを、Oracle Entitlements Serverも含めてインストールします。 |
Oracle Entitlements Serverは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management Suiteをインストールするには、Oracle Identity and Access Management 11gインストーラを使用します。 Oracle Entitlements Serverの場合、AS共通スキーマ - Oracle Platform Security Servicesスキーマを選択します。デフォルトで、AS共通スキーマ - メタデータ・サービス・スキーマも選択されます。 詳細は、第2.6項「タスク6: Oracle Identity and Access Management Suiteのインストール」を参照してください。 |
|
7 |
Oracle Fusion Middleware構成ウィザードを実行して、Oracle Entitlements Server管理サーバーを構成します。 |
詳細は、第10.3項「Oracle Entitlements Server管理サーバーの構成」を参照してください。 |
|
8 |
Oracle Entitlements Serverクライアント・ソフトウェアをインストールします。 |
詳細は、第10.4項「Oracle Entitlements Serverクライアントのインストール」を参照してください。 |
|
9 |
Oracle Entitlements Serverクライアントを構成します。 |
詳細は、第10.5項「IBM WebSphereセキュリティ・モジュールの構成」を参照してください。 |
|
10 |
Oracle Entitlements Serverを使い始めます。 |
詳細は、第10.8項「インストール後のOracle Entitlements Serverのスタート・ガイド」を参照してください。 |
第10.2項「IBM WebSphereでのOracle Entitlements Serverのインストールおよび構成ロードマップ」の手順に従って、Oracle Entitlements Server管理サーバーをインストールしておく必要があります。
IBM WebSphere環境でOracle Entitlements Server管理サーバーを構成するには、特定のバージョンのOracle Fusion Middleware構成ウィザードを使用します。詳細は、第2.8項「タスク8: 新しいIBM WebSphereセルでのOracle Identity and Access Managementコンポーネントの構成」を参照してください。
管理サーバーの構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の新しいWebLogicドメインでのOracle Entitlements Serverの構成に関する項を参照してください。IBM WebSphere環境で管理サーバーを構成するときは、次が適用されることに注意してください。
テンプレートOracle Entitlements Server for Admin Server - 11.1.1.0 [oracle_common]を選択します。Oracle Platform Security Service 11.1.1.0オプションとOracle JRF 11.1.1.0オプションもデフォルトで選択されます。
JDBCの構成画面で、OPSSデータソースの適切なservice_name、hostname、user_name、passwordおよびportを設定します。
Oracle Entitlements Server管理サーバーのセキュリティ・ストアを構成するには、configureSecurityStoreWas.pyスクリプトを実行する必要があります。configureSecurityStoreWas.pyスクリプトの詳細は、第2.9項「タスク9: データベース・セキュリティ・ストアの構成」を参照してください。ただし、Oracle Entitlements Serverの構成にスクリプトを使用する場合、--config IAMオプションは使用しません。
configureSecurityStoreWas.pyスクリプトは<IAM_HOME>\common\toolsディレクトリにあります。
たとえば、ヘルプを取得するには、次のような--helpオプションを使用します。
<IAM_HOME>\common\bin\wsadm.sh <IAM_HOME>\common\tools\configureSecurityStoreWas.py --help
次のようにして、Oracle Entitlements Server管理サーバーのセキュリティ・ストアを構成します。
Windowsの場合:
wsadmin.bat -lang jython -profileName DEPLOYMENT_MANAGER_PROFILE_NAME -f IAM_HOME\common\tools\configureSecurityStoreWas.py -d PATH_TO_DEPLOYMENT_MANAGER_CELL_DIRECTORY -t DB_ORACLE -j cn=jpsroot -m create --passcode OPSS_SCHEMA_PASSWORD --wasadmin WAS_ADMIN_USERNAME
例:
wsadmin.bat -lang jython -profileName Dmgr01 -f IAM_HOME\common\tools\configureSecurityStoreWas.py -d IAM_HOME\was\install\was6076\profiles\Dmgr01\config\cells\DefaultCell01 -t DB_ORACLE -j cn=jpsroot -m create --passcode opsschemapassword --wasadmin adminusername
UNIXの場合:
./wsadmin.sh -lang jython -profileName DEPLOYMENT_MANAGER_PROFILE_NAME -f IAM_HOME/common/tools/configureSecurityStoreWas.py -d PATH_TO_DEPLOYMENT_MANAGER_CELL_DIRECTORY -t DB_ORACLE -j cn=jpsroot -m create --passcode OPSS_SCHEMA_PASSWORD --wasadmin WAS_ADMIN_USERNAME
例:
./wsadmin.sh -lang jython -profileName Dmgr01 -f IAM_HOME/common/tools/configureSecurityStoreWas.py -d IAM_HOME/was/install/was6076/profiles/Dmgr01/config/cells/DefaultCell01 -t DB_ORACLE -j cn=jpsroot -m create --passcode opsschemapassword --wasadmin WAS_ADMIN_USERNAME
表10-2 に、IBM WebSphere環境で有効なconfigureSecurityStoreWasパラメータを示します。
表10-2 configureSecurityStoreWasパラメータ
| パラメータ | 説明 |
|---|---|
|
|
ドメインの構成モード。例:
|
|
|
ドメイン内に構成されているセキュリティ・ストアのデータ・ソース。デフォルト値は |
|
|
OES管理サーバー・ドメインの場所 |
|
|
セキュリティ・ストアのファーム名。これはオプションであり、デフォルト値はドメイン名です。 |
|
|
JSEツールによるアクセスに使用されるドメインのデータベース・セキュリティ・ストアの接続情報を更新するには、 |
|
|
使用方法が表示されます。 |
|
|
ドメインに既存のデータベース・セキュリティ・ストアを使用する場合、 |
|
|
|
|
|
暗号化鍵ファイル |
|
|
ドメインの鍵ファイルが生成された場合に使用されるパスワード。 |
|
|
有効な値は、 |
|
|
OPSSスキーマ・パスワード。 |
|
|
ポリシー・ストア・タイプ。例: |
|
|
OPSSスキーマのユーザー名。 |
|
|
セキュリティ・ストアが正しく構成されたかどうかを確認するには、 |
|
|
セキュリティ・ストアに存在する診断データを修正するには、 |
|
|
WASドメインの管理者ユーザー名。 |
joinオプションを使用したデータベース・セキュリティ・ストアの構成
-m joinオプションを使用してデータベースを構成するときは、すでにデータベース・セキュリティ・ストアと連携するように構成された同じOracle Identity and Access Management論理デプロイメントのドメインからドメインの暗号化鍵をエクスポートし、configureSecurityStoreWas.pyスクリプトを実行する必要があります。このためには、exportEncryptionKeyを最初のドメインで実行し、-keyfileのパラメータとして生成されたewallet.p12ファイルを使用します。-keyfilepasswordのパラメータとして、パスワード(exportEncryptionKey内)が必要です。詳細および例は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のデータベース・セキュリティ・ストアの構成に関する項を参照してください。
コマンドラインで次のコマンドを実行して、管理サーバー(OracleAdminServer)を起動する必要があります。
Windows
profiles\profile_name\bin\startServer.bat OracleAdminServer
UNIX
profiles/profile_name/bin/startServer.sh OracleAdminServer
詳細は、第2.10項「タスク10: IBM WebSphereサーバーの起動」を参照してください。
Oracle Entitlements Server管理サーバーの構成が成功したことを確認するには、次のURLを使用してOracle Entitlements Server管理コンソールにログインします。
http://hostname:port/apm/
ここで、hostnameは管理サーバーのDNS名またはIPアドレス、portは管理サーバーがリクエストをリスニングしているポートのアドレスです。
詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』の管理コンソールへのアクセスに関する項を参照してください。
このセクションのトピックは次のとおりです:
Oracle Entitlements Serverクライアント・ソフトウェアをインストールする前に、第10.2項「IBM WebSphereでのOracle Entitlements Serverのインストールおよび構成管理」の説明に従って、Oracle Entitlements Server管理サーバーをインストールおよび構成する必要があります。
Oracle Entitlements Serverクライアント・ソフトウェアのダウンロード元の詳細は、Oracle Technology Network (OTN)のOracle Fusion Middlewareのダウンロード、インストールおよび構成に関するReadmeファイルを参照してください。 http://download.oracle.com/docs/cd/E23104_01/download_readme.htm.
Oracle Entitlements Serverクライアント11g リリース2 (11.1.2.1.0)をIBM WebSphereにインストールするには、Oracle WebLogic Serverのインストール手順に従ってください。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Entitlements Serverクライアントのインストールに関する項を参照してください。
Oracle Entitlements Serverクライアント・ソフトウェアがOracle Entitlements Server管理サーバーとは別のミドルウェア・ホームにインストールされている場合は、パッチを適用する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOPatchを使用したパッチの適用に関する項を参照してください。
JRF環境およびJRFではない環境で、WebSphereを構成できます。選択したオプションに応じて、次のいずれかを実行してください。
WebSphere Security ModuleでのSecurity Sockets Layer (SSL)接続およびサード・パーティのデジタル証明書の使用の詳細は、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』のデフォルトまたはサード・パーティのデジタル証明書の使用に関する項を参照してください。
JRFではない環境でWebSphereセキュリティ・モジュールを構成するには、次の手順を実行します。
IBM WebSphereコンソールを使用して新規アプリケーション・サーバーを作成し、それをOesServerと名付けます。
IBM WebSphereに対して作成したOracle Entitlements Server(OesServer)を起動します。
smconfig.prpファイルをテキスト・エディタで開き、pdクライアント・ポートおよびpd appクライアント・コンテキストを指定します。pdクライアント・ポート番号はIBM WebSphere Application ServerのSSLポート番号であり、pd appクライアント・コンテキストはwas-client.jarをデプロイする場所です。例:
oracle.security.jps.pd.was.client.appcontext=pd-client oracle.security.jps.pd.clientPort=8002
config.shコマンドを次のように実行します。
$OES_CLIENT_HOME/oessm/bin/config.sh -smType was -smConfigId mySM_WAS -serverLocation WAS_HOME
WAS_HOMEは、IBM WebSphere Application Serverの場所です。
選択した配布モードに対して、ユーザー名とパスワードの入力を求められたら、IBM WebSphereサーバーのユーザー名とパスワードを指定する必要があります。
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められます。
制御されないモードや制御されたプル・モードでは、Oracle Entitlements Serverスキーマのユーザー名とパスワードの入力が求められます。
表10-3では、コマンドラインで指定するパラメータについて説明します。
表10-3 IBM WebSphereセキュリティ・モジュール・パラメータ
| パラメータ | 説明 |
|---|---|
|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
IBM WebSphere Serverの場所です。 |
|
注意: JRFではない環境でのIBM WebSphereセキュリティ・モジュールのデフォルトの配布モードは、制御されたプッシュ配布です。 |
IBM WebSphere Application ServerのSSLを次のように構成します。
次の例に示すように、keytoolを使用してWLSデモ信頼証明書をWLSデモ信頼キーストア・ファイルからエクスポートすることで、Oracle WebLogic Serverデモ信頼証明書をIBM WebSphereノードのデフォルト信頼キーストアおよびセルのデフォルト信頼キーストアにインポートします。または、OES trust.jksファイルを.derにインポートします。
keytool -exportcert -keystore $OES_CLIENT_HOME/oessm/enroll/DemoTrust.jks -alias wlscertgencab -file ~/was.der
次のように、was.derファイルをWASノードのデフォルト信頼キーストアとセルのデフォルト信頼キーストアにインポートします。
IBM WebSphere Administration Serverコンソールでインポートを確認できます。
「security」→「SSL certificate and key management」→「Key stores and certificates」→「<NodeDefaultTrustStore> <CellDefaultTrustStore>」(名前を1つ選択)→「Signer certificates」。
「Add」をクリックします。
別名を入力します。たとえば、WASです。
エクスポート済の.derファイルを選択し、データ型にはDERを選択します。
次のように、発行済の秘密鍵をIBM WebSphereノードのデフォルト・キーストアにインポートします。
IBM WebSphere Administration Serverコンソールでインポートする秘密鍵を確認できます。
「security」→「SSL certificate and key management」→「Key stores and certificates」→「NodeDefaultKeyStore」→「Personal certificates」。
「Import」をクリックします。
「Keystore」を選択し、キーストア・ファイルへのパスを入力します(格納場所はOES_CLIENT_HOME/oes_sm_instances/mySM_WAS/security/identity.jks)。
タイプとしてJKSを選択し、キーストア・ファイルの作成に使用したパスワードを入力します。
証明書の別名はホスト名と同じです。
|
注意: デモ信頼証明書をWAS NDエディションの2つの信頼ストアにインポートする必要があります。秘密鍵の場合、1つのキーストアをインポートする必要があります。 |
次のように、IBM WebSphereセキュリティ・モジュールが実行されているサーバーに対するインバウンドSSLを有効化します。
IBM WebSphere管理コンソールで、「Security」→「SSL certificate and key management」→「Manage endpoint security configurations」の順に移動します。
インバウンド・ツリーを展開して「Inbound」→「DefaultCell(CellDefaultSSLSettings)」→「nodes」→「DefaultCellFederatedNode」→「servers」→「<IBM WebSphereセキュリティ・モジュールを実行しているサーバー名>」を表示し、サーバーを選択します。
「General Properties」ページで、「Override inherited values」を選択します。
「SSL configuration」リストで、「NodeDefaultSSLSettings」を選択します。
「Update certificate alias list」ボタンをクリックし、「Certificate alias in key store」リストで新規インポート済の秘密鍵の別名を選択します。
「Apply」をクリックします。
次のように、IBM WebSphereセキュリティ・モジュールが実行されているサーバーに対するアウトバウンドSSLを有効化します。
IBM WebSphere管理コンソールで、「Security」→「SSL certificate and key management」→「Manage endpoint security configurations」の順に移動します。
インバウンド・ツリーを展開して「Outbound」→「DefaultCell(CellDefaultSSLSettings)」→「nodes」→「DefaultCellFederatedNode」→「servers」→「<IBM WebSphereセキュリティ・モジュールを実行しているサーバー名>」と表示し、サーバーを選択します。
「General Properties」ページで、「Override inherited values」を選択します。
「SSL configuration」リストで、「NodeDefaultSSLSettings」を選択します。
「Update certificate alias list」をクリックし、「Certificate alias in key store」リストで新規インポート済の秘密鍵の別名を選択します。
「Apply」をクリックします。
JRF環境でWebSphereセキュリティ・モジュールを構成するには、次の手順を実行します。
Oracle Fusion Middleware IBM WebSphere Application Server構成ガイドの説明に従って、IBM WebSphere Application Serverを構成します。
|
注意: 「セルへの製品追加」画面で、Oracle JRF for WebSphere - 11.1.1.0 [oracle_common]を選択していることを確認してください。 |
config.shコマンドを次のように実行します。
$OES_CLIENT_HOME/oessm/bin/config.sh -smType was -smConfigId mySM_WAS -onJRF -conntype SOAP -host <websphere_host> -port <websphere_port> -user <username> -password <password> -serverLocation WAS_HOME
WAS_HOMEは、IBM WebSphere Application Serverの場所です。
選択した配布モードに対して、ユーザー名とパスワードの入力を求められたら、IBM WebSphereサーバーのユーザー名とパスワードを指定する必要があります。
制御されたプッシュ・モードでは、Oracle Entitlements Server管理サーバーのユーザー名とパスワード、および登録用の新規キーストアのパスワードの入力を求められます。
制御されないモードや制御されたプル・モードでは、Oracle Entitlements Serverスキーマのユーザー名とパスワードの入力が求められます。
表10-4では、コマンドラインで指定するパラメータについて説明します。
表10-4 IBM WebSphereセキュリティ・モジュール・パラメータ
| パラメータ | 説明 |
|---|---|
|
|
作成するセキュリティ・モジュール・インスタンスのタイプです。たとえば、 |
|
|
セキュリティ・モジュール・インスタンスの名前です。たとえば、 |
|
|
IBM WebSphere Serverの場所です。 |
|
|
WebSphereのホスト名を指定します。 |
|
|
WebSphereのノード・マネージャのポートを指定します。例: |
|
|
WebSphereのユーザー名を指定します。例: |
|
|
WebSphereのパスワードを指定します。 |
|
注意: JRF環境でのIBM WebSphereセキュリティ・モジュールのデフォルトの配布モードは、制御されない配布です。 |
JRF環境でWebSphereセキュリティ・モジュールを構成した後、Oracle Databaseへの接続を設定する必要があります。
Oracle Databaseへの接続の設定
Oracle Databaseへの接続を設定するには、次の手順を実行します。
WebLogic Server管理コンソールを使用して、JDBCデータ・ソースを作成します。詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプでJDBC汎用データ・ソースの作成に関する項を参照してください。
<OES_DOMAIN_HOME>/config/oeswlssmconfigディレクトリ(UNIXの場合)または<OES_DOMAIN_HOME>\config\oeswlssmconfigディレクトリ(Windowsの場合)にあるjps-config.xmlファイルを開きます。
pdp.serviceを見つけて、既存のjdbc.urlプロパティを次のプロパティと置き換えます。
<property value="jdbc/APMDBDS" name="datasource.jndi.name"/>
|
注意:
|
次のプロパティを削除します。
jdbc.driver
jdbc.url
bootstrap.security.principal.key
bootstrap.security.principal.map
jps-config.xmlファイルを保存します。
IBM WebSphere wsadminコマンドライン・インタフェースからOracle Entitlements Serverコマンドを実行できます。詳細は、第3.1.3項「Oracle Fusion Middlewareのwsadminコマンドの使用」を参照してください。
Oracle Entitlements Serverのコマンドは、『Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド』に記載されています。Oracle Entitlements Serverコマンドは、WebLogic ServerとWebSphere Serverでまったく同じように機能します。
IBM WebSphereセキュリティ・モジュールだけでなく、Oracle Entitlements Serverには、他のアプリケーション・サーバー用のセキュリティ・モジュールも含まれています。これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のセキュリティ・モジュールの構成に関する項を参照してください。
Oracle Entitlements Serverのインストール後、次のドキュメントを参照してください。
Oracle Fusion Middleware Oracle Entitlements Server管理者ガイド
Oracle Fusion Middleware Oracle Entitlements Server開発者ガイド
これら2つのドキュメントに記載されている情報は通常、Oracle WebLogic Server上でOracle Entitlements Serverを使用する場合の説明です。
