4 IBM WebSphere上でのOracle Identity Managerの管理

この章では、IBM WebSphereアプリケーション・サーバー上でのOracle Identity Managerの管理について説明します。この章の内容は、次のとおりです。

このドキュメントで使用される表記法
システム要件と証明済コンポーネント
Oracle Identity Managerの単一ノード用の構成
IBM WebSphere上でのインストール後の構成の実行
IBM WebSphere上でのOracle Identity Managerのアップグレード
IBM WebSphere上でのライフサイクル管理の変更の処理
IBM WebSphere上でのOracle Identity Managerユーティリティの使用
IBM WebSphere上でのアイデンティティ証明の理解

4.1 このドキュメントで使用される表記法

表4-1 このドキュメントで使用される表記法について説明します。

表4-1 このドキュメントで使用される表記法

規則	説明
OIM_HOME	Oracle Identity Managerサーバーがインストールされるディレクトリを表します。
OIM_ORACLE_HOME	Oracle Identity Managerがインストールされるディレクトリを識別する環境変数を表します。この変数は、様々なOracle Identity Managerスクリプトで使用できます。
WAS_HOME	IBM WebSphereアプリケーション・サーバーがインストールされたディレクトリを表します。
WAS_CLIENT_HOME	IBM WebSphereアプリケーション・クライアントがインストールされたディレクトリを表します。
MW_HOME	Oracle Fusion Middlewareがインストールされたディレクトリを表します。
COMMON_COMPONENTS_HOME	これには、Fusion Middleware ControlおよびJava Required Files (JRF)に必要なバイナリおよびライブラリ・ファイルが含まれます。例: MW_HOME/oracle_common
Custom01 \| Custom02	カスタム・プロファイルの名前を表します。
Dmgr01 \| Dmgr02	デプロイメント・マネージャ・プロファイルの名前を表します。
OIM_DC_HOME	Oracle Identity Manager Design Consoleがインストールされたディレクトリを表します。
OIM_RM_HOME	Oracle Identity Managerリモート・マネージャがインストールされたディレクトリを表します。
OIM_CELL_NAME	Oracle Identity Manager Serverが格納されたIBM WebSphereアプリケーション・サーバー・セルを表します。
JAVA_HOME	Oracle Identity Managerサーバー用のIBM Javaランタイム・ディレクトリの場所を表します。プロシージャによっては、JAVA_HOMEがOracle Identity Managerリモート・マネージャ用のIBM Javaランタイム・ディレクトリを表すことがあります。
RBACX_HOME	Oracle Identity Analyticsがインストールされたディレクトリを表します。
ANT_HOME	Apache Antがインストールされたディレクトリを表します。

4.2 システム要件と証明済コンポーネント

Oracle Identity Managerをデプロイして使用する前に、使用する環境がインストールの最低要件を満たすことを確認する必要があります。ハードウェアおよびソフトウェア要件、最小ディスク・スペースおよびメモリー要件、必須のシステム・ライブラリ、パッケージおよびパッチについては、次のURLでシステム要件に関するドキュメントを参照してください。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-requirements-100147.html

次のURLでは、Oracle Fusion Middlewareでサポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品に関する情報を参照できます。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

Oracle Identity Managerが必要とするパッチの詳細は、『Oracle Fusion Middlewareリリース・ノート』のパッチの要件に関する項を参照してください。

注意:

IBM WebSphereアプリケーション・サーバー上でOracle Identity Managerをセットアップするために必要な最小メモリー要件は8GBです。
WebSphereに関するBI Publisherレポートは、Oracle Identity Manager 11g リリース2 (11.1.2.1.0)では認証されていません。

4.3 Oracle Identity Managerの単一ノード用の構成

Oracle Identity Managerのインストールの一環として、第2章「Oracle Identity and Access ManagementのIBM WebSphereでのインストールおよび構成」に従ってセル構成を実行した後に、Oracle Identity Managerを構成する必要があります。これを行うには:

第2.8項「タスク8: 新しいIBM WebSphereセルでのOracle Identity and Access Managementコンポーネントの構成」の手順に従い、Oracle Fusion Middleware構成ウィザードを使用してOracle Identity Managerセルを作成します。

copy_jars.shスクリプトを実行します。例:

cd $OIM_HOME/server/wasconfig
./copy_jars.sh

注意:

copy_jars.shスクリプトを実行する前に、変数WAS_HOME、COMMON_COMPONENTS_HOME、およびOIM_ORACLE_HOMEが設定されていることを確認します。COMMON_COMPONENTS_HOMEは、Oracle Fusion Middleware共通ディレクトリの場所を表します(例: MW_HOME/oracle_common)。また、OIM_ORACLE_HOMEは、Oracle Identity Manager Serverがインストールされたディレクトリを表します(MW_HOME/Oracle_IDM1)。WAS_HOMEは、WebSphereがインストールされたディレクトリを表します(例: IBM/WebSphere/AppServer)。

次のように、ノード・エージェントの起動、停止、および同期を実行します。

$WAS_HOME/profiles/Custom01/bin/stopNode.sh -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Dmgr01/bin/startManager.sh
$WAS_HOME/profiles/Custom01/bin/syncNode.sh DMGR_HOST DMGR_SOAP_PORT -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Custom01/bin/startNode.sh

注意:

ノード・マネージャとデプロイメント・マネージャが問題なく起動され、実行中であることを確認します。

次のようにDBポリシー・ストアを構成するために、ノード・マネージャとデプロイメント・マネージャを停止します。

$WAS_HOME/profiles/Custom01/bin/stopNode.sh -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Dmgr01/bin/stopManager.sh -username USER_NAME -password PASSWORD

第2.9項「タスク9: データベース・セキュリティ・ストアの構成」を参照して、データベース・ポリシーの移行を実行します。
デプロイメント・マネージャを起動します。これを行うには、IBM WebSphereホームで次のコマンドを実行します。

UNIXの場合は、次を実行します。
```
profiles/dmgr_profileName/bin/startManager.sh
```
Windowsの場合は、次を実行します。
```
profiles\dmgr_profileName\bin\startManager.bat
```
たとえば、UNIXオペレーティング・システムの場合は、次を実行します。
```
/disk01/IBM/WebSphere/AppServer/profiles/Dmgr01/bin/startManager.sh
```
次のコマンドを実行して、ノード・マネージャを起動します。
```
$WAS_HOME/profiles/Custom01/bin/startNode.sh
```

次のようにseed_opss_permission.shスクリプトを実行します。

cd OIM_HOME/server/wasconfig/
sh seed_opss_permission.sh

注意:

seed_opss_permission.shスクリプトを実行する前に、変数WAS_HOME、COMMON_COMPONENTS_HOMEおよびOIM_ORACLE_HOMEが設定されていることを確認します。COMMON_COMPONENTS_HOMEは、Oracle Fusion Middleware共通ディレクトリの場所を表します(例: IDM_HOME/oracle_common/)。OIM_ORACLE_HOMEは、Oracle Identity Manager Serverがインストールされたディレクトリを表します。

スクリプトにより、次の値の入力が求められます。

Enter Deployment Manager Profile Name [Ex: Dmgr01]:
Enter Deployment Manager host name:
Enter Deployment Manager SOAP Port:
Enter Webpshere Administrator username:
Enter the Webpshere Administrator password:

seed_opss_permission.shスクリプトを実行する際に、次の警告メッセージが表示されることがありますが、無視して構いません。
```
Failed to import script libraries modules: COMMON_COMPONENTS_HOME/common/wsadmin/wsmAgent.py; Examine the wsadmin log file to determine the problem.
```

ノードの停止、同期、起動を実行し、SOAサーバーを起動します。例:

$WAS_HOME/profiles/Custom01/bin/stopNode.sh -username WAS_ADMIN_USER_NAME -password WAS_ADMIN_PASSWORD
$WAS_HOME/profiles/Custom01/bin/syncNode.sh DMGR_HOST DMGR_SOAP_PORT WAS_ADMIN_USER_NAME -password WAS_ADMIN_PASSWORD
$WAS_HOME/profiles/Custom01/bin/startNode.sh 
$WAS_HOME/profiles/Custom01/bin/startServer.sh soa_server1

Oracle Universal Installer構成アシスタントを使用して、Oracle Identity Manager Server、Design Consoleおよびリモート・マネージャを構成します。

次のように構成アシスタントを起動します。

cd $OIM_HOME/bin
./config.sh -jreLoc LOCATION_OF_IBM_JRE -DSHOW_APPSERVER_TYPE_SCREEN=true

注意:

Oracle Identity Managerコンポーネントがインストールされたすべてのマシン上で構成アシスタントを実行する必要があります。たとえば、Oracle Identity Managerサーバーをホストするマシン、Oracle Identity Manager Design Consoleをホストするマシン、Oracle Identity Managerリモート・マネージャをホストするマシンのそれぞれに実行します。

「構成するコンポーネント」画面で、構成するコンポーネントを選択します。「データベース」画面で、Oracle Identity ManagerおよびMDSスキーマの接続文字列、ユーザー名およびパスワードを指定します。

表4-2に、具体的な構成アシスタント画面とそれぞれの画面に入力する情報を示します。この表には、説明を必要としない標準的な画面は含まれません。

表4-2 具体的な構成アシスタント画面の説明

画面名	入力内容
アプリケーション・サーバー	必ず、WebSphereを選択してください。
WebSphere ASの詳細	WASセル・ホームの場所は次のとおりです。 $WAS_HOME/profiles/Dmgr01/config/cells/CELL_NAME WAS Admin URLポートは、次のファイルの`Management bootstrap port`エントリから識別できます。 $WAS_HOME/profiles/Dmgr01/logs/AboutThisProfile.txt WAS Admin Soap Portは次のファイルから識別できます。 $WAS_HOME/profiles/Dmgr01/logs/AboutThisProfile.txt WAS Admin NameとWAS Admin Passwordセルの作成に使用したものと同じです。
OIMサーバー	OIM HTTP URLフィールドに指定されたデフォルト値を使用します。

OIMサーバーの詳細ページで、OIMサーバーの管理パスワード、キーストア・パスワードおよびURL情報を入力します。構成が完了するまで続けます。

wf_client_config.xml.templateを$OIM_HOME/server/wasconfig/ディレクトリから$WAS_HOME/lib/extにwf_client_config.xmlとしてコピーします。例:

cp $OIM_HOME/server/wasconfig/wf_client_config.xml.template $WAS_HOME/lib/ext/wf_client_config.xml

wf_client_config.xmlファイルの<serverURL>タグの下にSOAサーバーのホスト名とブートストラップ・ポートを指定して更新します。例:

<serverURL>corbaloc:iiop:localhost:2800</serverURL>

ヒント:

SOAブートストラップ・ポートは、次の手順を実行することにより識別できます。

IBM WebSphere管理コンソールにログインします。
「Servers」→「Server Type」→「Web Application Servers」を選択します。
SOAサーバー名をクリックします。
通信グループ領域で「Ports」をクリックします。

BOOTSTRAP_ADDRESSの値がSOAサーバー・ブートストラップ・ポートです。

サーバーが実行中の場合は、それを停止します。例:

$WAS_HOME/profiles/Custom01/bin/stopServer.sh soa_server1 -username WAS_ADMIN_USERNAME -password WAS_ADMIN_PASSWORD
$WAS_HOME/profiles/Custom01/bin/stopNode.sh -username WAS_ADMIN_USERNAME -password WAS_ADMIN_PASSWORD
$WAS_HOME/profiles/Dmgr01/bin/stopManager.sh -username WAS_ADMIN_USERNAME -password WAS_ADMIN_PASSWORD

サーバーを起動します。例:

注意:

必ずsyncNodeを実行してください。これによりxldatabasekeyがCustom01プロファイルに転送されます。

$WAS_HOME/profiles/Dmgr01/bin/startManager.sh
$WAS_HOME/profiles/Custom01/bin/syncNode.sh DMGR_HOST DMGR_SOAP_PORT -username WAS_ADMIN_USERNAME -password WAS_ADMIN_PASSWORD
$WAS_HOME/profiles/Custom01/bin/startNode.sh
$WAS_HOME/profiles/Custom01/bin/startServer.sh soa_server1
$WAS_HOME/profiles/Custom01/bin/startServer.sh oim_server1
$WAS_HOME/profiles/Custom01/bin/startServer.sh OracleAdminServer

Oracle Identity Manager管理者ユーザーがWebSphere管理者ユーザーと異なる場合は、次の手順を実行します。

Enterprise Fusion Middleware Controlのナビゲータ・ペインで、「WebSphereセル」を開き、セルを表示します。
Oracle Identity ManagerおよびSOAが構成されたセルを選択します。
セル名を右クリックして「Webサービス」→「プラットフォーム・ポリシー構成」を選択します。
「新規構成プロパティの追加」ウィンドウで、次の値を指定して「OK」をクリックします。
- 「名前」フィールドにjndi.lookup.csf.keyと入力します。
- 「値」フィールドにadmin-csf-keyと入力します。

.pyファイルを作成します。たとえば、次の内容のwas_admin.pyファイルを作成します。

Opss.createCred (map='oracle.wsm.security', key='admin-csf-key',
user='ADMIN_USER_NAME', password='ADMIN_PASSWORD',
desc='wsm-pm admin user csf-key')
AdminApp.edit ('wsm-pm', '[-MapRolesToUsers [[policy.Updater
AppDeploymentOption.No AppDeploymentOption.No ADMIN_USER_NAME ""
AppDeploymentOption.No "user:ADMIN_USER_NAME" "" ]]]')
AdminApp.edit('wsm-pm', '[ -MapRolesToUsers [[policy.Accessor
AppDeploymentOption.No AppDeploymentOption.No ADMIN_USER_NAME ""
AppDeploymentOption.No " |user:ADMIN_USER_NAME" "" ]]]' )
AdminApp.edit('wsm-pm', '[ -MapRolesToUsers [[policy.User
AppDeploymentOption.No AppDeploymentOption.No ADMIN_USER_NAME ""
AppDeploymentOption.No "user:ADMIN_USER_NAME" "" ]]]' )
AdminApp.edit('wsm-pm', '[ -MapRolesToUsers [[policyViewer
AppDeploymentOption.No AppDeploymentOption.No ADMIN_USER_NAME ""
AppDeploymentOption.No " |user:ADMIN_USER_NAME" "" ]]]' )
AdminConfig.save()

ADMIN_USER_NAMEとADMIN_PASSWORDを管理ユーザーの資格証明で置き換えます。

次のスクリプトを実行します。

$COMMON_COMPONENTS_HOME/common/bin/wsadmin.sh  
-profileName DMGR_PROFILE_NAME -conntype SOAP -host DMGR_HOSTNAME -port DMGR_SOAP_PORT -user WEBSPHERE_ADMIN -password WEBSPHERE_ADMIN_PASSWORD -f was_admin.py

すべてのサーバーを再起動します。

4.3.1 Design Consoleのインストールと構成

次の手順はDesign Consoleをインストールしてから起動するまでの間に実行します。

Microsoft Windows上にDesign Consoleをインストールするには:

IBMドキュメントを参照しながらAppクライアントをインストールします。
IBMドキュメントを参照しながらフィックス・パックをインストールします。
WAS_CLIENT_HOME/properties/sas.client.propsファイルで次のプロパティを更新します。

次のように値を編集します。com.ibm.CORBA.securityServerPortは、Oracle Identity Managerブートストラップ・ポートを表すことに注意してください。
```
com.ibm.CORBA.securityServerHost=OIM_HOSTNAME
com.ibm.CORBA.securityServerPort=OIM_BOOTSTRAP_PORT
com.ibm.CORBA.loginSource=none
```

Design ConsoleをMicrosoft Windows上にインストールします。これを行うには:

注意:

Appclientがインストールされていることを確認します。

インストーラを実行して、Oracle Identity Managerをインストールします。これを行うには、Windowsでコマンド・プロンプトを開き、次のようにOracle Identity Managerインストーラを実行します。
```
c:\setup.exe -jreLoc LOCATION_OF_IBM_JDK
```

次のように構成アシスタントを起動します。

cd $OIM_HOME/bin >config.bat -jreLoc LOCATION_OF_IBM_JDK -enableWAS

以下を構成します。

Design Consoleを選択します。

Oracle Identity Managerのホスト名とポート番号を入力します。

ヒント:

ポート番号は、Oracle Identity Managerサーバーのブートストラップ・アドレスです。これをチェックする方法は次のとおりです。

WebSphere Network Deployment Manager Consoleにログインします。
「Server」→「Server Type」→「WebSphere application server」→「oim_server」→「Expand Port」を選択します。
BOOTSTRAP_ADDRESSポートをチェックします。

ウィザードが終了するまで続けます。

4.3.2 (オプション)別のシステムへのOracle Identity Managerリモート・マネージャのインストール

Oracle Identity Managerのインストールの一環としてOracle Identity Managerリモート・マネージャをインストールするときに、リモート・マネージャはOracle Identity Managerと同じホストにインストールされます。典型的なOracle Identity Manager環境では、リモート・マネージャはOracle Identity Managerと同じホストでなく、別のホストに配備されます。

必要があれば、次の手順を実行してリモート・マネージャを別のシステムにインストールできます。

注意:

WebSphereアプリケーション・サーバーがインストールされていることを確認します。また、リモート・マネージャ用の別のシステムにIBM JREがインストールされていることを確認します。インストールされていない場合は、それをインストールします。

次のコマンドを使用してインストーラを起動します。

cd iamsuite/Disk1
./runInstaller -jreLoc LOCATION_OF_IBM_JRE

注意:

「ソフトウェア更新のインストール」インストーラ画面が表示されたら、「ソフトウェアの更新のスキップ」オプションを選択する必要があります。

次のように構成アシスタントを起動します。

cd $OIM_HOME/bin >./config.sh -jreLoc LOCATION_OF_IBM_JDK -DSHOW_APPSERVER_TYPE_SCREEN=true

「構成するコンポーネント」ページで、「リモート・マネージャ」を選択します。
アプリケーション・サーバーとしてWebSphereを選択します。
OIMサーバー・ホストおよびポート情報を指定します。「リモート名」、「リスニング・ポート」の番号、「RMIポート」の番号を指定します。
ウィザードが終了するまで続けます。

4.4 IBM WebSphereでのインストール後の構成の実行

この項では、IBM WebSphereで実行する次のインストール後の構成タスクについて説明します。

「Transaction Timeout」プロパティの構成
SOAサーバーのデフォルト・コンポジットの更新(クラスタのみ)
ダイナミック・モニタリング・サービス・アプリケーションへのアクセス(オプション)
LDAPリコンシリエーション・スケジュール済ジョブのデータベース・スキーマへのシード
Oracle Identity Managerのメモリー設定の変更

4.4.1 トランザクション・タイムアウト・プロパティの構成

トランザクション・タイムアウト・プロパティを10分に変更するには:

IBM WebSphere管理コンソールにログインします。
「Servers」→「Server Type」→「WebSphere application servers」→「oim_server_name」→「Container Services」→「Transaction service」の順に選択して、「Transaction service」パネルを表示します。
「Total transaction lifetime timeout」の値を600に変更します。

デフォルト値は120です。
「Maximum transaction timeout」の値を600秒に変更します。

デフォルト値は300です。
WebSphereアプリケーション・サーバーを停止し、再起動します。クラスタ・デプロイメントでは、これをすべてのOracle Identity Managerサーバーに実行する必要があります。

4.4.2 SOAサーバーのデフォルト・コンポジットの更新(クラスタのみ)

統合環境では、Oracle Identity ManagerはHTTPサーバーによってフロントエンド処理されます。このため、すべてのSOAサーバーのデフォルト・コンポジットを更新する必要があります。

SOAサーバーのデフォルト・コンポジットを更新するには:

Oracle Enterprise Manager Fusion Middleware Controlコンソールにログインします。
「SOA」→「soa-infra」 (SOAサーバー名)→「default」にナビゲートします。

使用可能なデフォルト・コンポジットは、DefaultRequestApproval、DefaultOperationalApproval、DefaultRoleApproval、DefaultSODApproval、BeneficiaryManagerApproval、RequesterManagerApproval、CertificationProcess、DisconnectedProvisioningです。
デフォルトのコンポジットごとに、次の手順を実行します。
1. コンポジット名をクリックします。
2. 「Component Metrics」から、「Human Workflow」のコンポーネント・タイプを持つタスクをクリックします。
3. 「Administration」タブを選択し、次のようにフィールドを更新します。
  
  Host Name: HTTP Serverホスト
  
  HTTP Port: SSLモードの場合、空白のままにします。SSL以外のモードの場合は、HTTPサーバー・ポートを入力します。
  
  HTTPS Port: SSLモードの場合は、HTTPSサーバー・ポートを入力します。SSL以外のモードの場合、空白のままにします。
4. 「Apply」をクリックします。

4.4.3 ダイナミック・モニタリング・サービス・アプリケーションへのアクセス(オプション)

IBM WebSphere上でダイナミック・モニタリング・サービス・アプリケーションにアクセスするには:

IBM WebSphere管理コンソールに管理者としてログインします。
左側のペインで、「Applications」→「Application Type」→「WebSphere enterprise applications」の順に進みます。
右側のペインで、「Dmgr DMS Application_11.1.1.1.0」をクリックします。
「Security role to user/group mapping」をクリックします。
「Admin」ロールを選択して、「Map Users」をクリックします。
検索文字列にwasadminと入力して、「Search」をクリックします。
「Available」ボックスで「wasadmin」を選択して、右矢印をクリックします。
「OK」クリックすると戻ります。再度「OK」をクリックします。
「Save directly to the master configuration」をクリックします。
Dmgr DMS Application_11.1.1.1.0を起動します。
DMS Application_11.1.1.1.0に手順3 - 10を繰り返します。
すべてのサーバーとデプロイメント・マネージャを停止します。デプロイメント・マネージャの起動、ノードの同期、ノードの起動、すべてのサーバーの起動を実行します。

次のURLからDMSアプリケーションにアクセスできます。

http://OIM_HOST:OIM_PORT/dms/Spy

4.4.4 LDAPリコンシリエーション・スケジュール済ジョブのデータベース・スキーマへのシード

インストール後のLDAP同期をOracle Identity Managerに対して構成している間に、次の手順を実行してLDAPリコンシリエーション・スケジュール済ジョブをOracle Identity Managerデータベース・スキーマのQuartz表にロードします。

パラメータ	説明
operationsDB.user	Oracle Identity Managerデータベース・スキーマの所有者
operationsDB.driver	oracle.jdbc.OracleDriverの定数値
operationsDB.host	Oracle Identity Managerデータベース・スキーマのホスト・アドレス
OIM.DBPassword	Oracle Identity Managerデータベース・スキーマの所有者のパスワード
operationsDB.serviceName	Oracle Identity Managerデータベース・スキーマ・サービス名(例: oimdb.regress.rdbms.mycompany.com)。
operationsDB.port	Oracle Identity Managerデータベース・スキーマのポート番号
ssi.provisioning	値はONでなければなりません。
jta.location	値は、WAS_INSTALLATION_DIRECTORY/plugins/javax.j2ee.jta.jarです。
ojdbc.location	JDBCがインストールされるディレクトリ。例: MW_HOME/oracle_common/inventory/Scripts/ext/jlib/ojdbc6.jar
work.dir	ログ・ファイルを作成する任意のディレクトリ。ターゲットの完了後に、$WORK_DIR/seed_logs/ldap/SeedSchedulerData.logファイルでログをチェックできます。

4.4.5 Oracle Identity Managerのメモリー設定の変更

Oracle Identity Managerのステージングおよびテスト・デプロイメントには、最大ヒープ・サイズとして2GBをお薦めします。本番デプロイメントの最大ヒープ・サイズは、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』を参照してください。

WebSphere上のOracle Identity Managerのヒープ・サイズを変更するには:

WebSphere管理コンソールにログインします。
「Servers」→「Server Type」→「WebSphere application servers」→「server_name」→「Java & Process Management」→「Process Definition」→「Java Virtual Machine」の順にナビゲートします。
最大ヒープ・サイズの値を2048に設定します。
変更を保存してサーバーを再起動します。

4.5 IBM WebSphere上でのOracle Identity Managerのアップグレード

この項では、IBM WebSphere上でOracle Identity Manager Release 9.xをOracle Identity Manager 11g リリース2 (11.1.2.1.0)にアップグレードし、構成するために必要な手順を説明します。この章の内容は、次のとおりです。

アップグレードのための前提条件
Oracle Identity Managerのインストール
Oracle Identity Managerスキーマのアップグレード
Oracle Identity Managerの構成
構成後モードでMTアップグレード・ユーティリティを使用したアップグレード機能
アップグレード後の構成の実行

4.5.1 アップグレードの前提条件

IBM WebSphere上でOracle Identity Managerリリース9.xを11gリリース2 (11.1.2.1.0)にアップグレードする前に、次の事項を確認します。

WAS_HOMEにIBM WebSphere Application Server 7.0.0修正パック19がインストールされている。
MiddlewareディレクトリにSOAがインストールされている。
Oracle Database 11gに、MDS、SOAINFRA、OPSS、ORASDPMなどのOracle Identity Manager依存スキーマが作成されている。

次の前提となる手順を実行します。

PreUpgradeReportユーティリティを実行します。

アップグレード・プロセスを開始する前にOracle Identity Manager環境を分析するには、PreUpgradeReportユーティリティを実行する必要があります。提供されたソリューションを使用してこのレポートの一部にリストされたすべての問題に対処します。問題の修正後は、レポートにリストされる未解決の問題がなくなるまでレポートを実行します。PreUpgradeReportユーティリティの実行は、『Oracle Fusion Middleware Oracle Identity and Access Managementアップグレードおよび移行ガイド』のアップグレード前に関する項を参照してください。
IBM WebSphereアプリケーション・サーバーのインストール

IBM WebSphere Application Server 7.0のインストールとIBM WebSphere 7.0用の最新の修正パックの適用は、第2.4項「タスク4: IBM WebSphereソフトウェアのインストール」を参照してください。
Oracle SOA Suite (11.1.1.6.0)をインストールします。

SOA Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle SOA Suite 11.1.1.6.0 (Oracle Identity Managerユーザーのみ)に関する項を参照してください。
データベース・スキーマを作成します。

Oracle Identity Managerのインストールと構成を実行する前に、リポジトリ作成ユーティリティ(RCU)を使用して適切なOracle Fusion Middlewareスキーマを作成し、データベースにロードする必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベースの作成に関する項を参照してください。

4.5.2 Oracle Identity Managerのインストール

Oracle Identity and Access Managementインストーラを実行して、Oracle Identity and Access Management 11gの一部としてOracle Identity Managerをインストールします。これを行うには、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の次の項に示された手順に従います。

Oracle Identity and Access Managementインストーラの起動
Oracle Identity and Access Management (11.1.2)のインストール

4.5.3 Oracle Identity Managerスキーマのアップグレード

始める前に

Oracle Identity Managerリリース9.xスキーマのバックアップを作成します。
OSIデータ・アップグレード・ユーティリティを使用してOSIデータ・アップグレードを実行します。OSIデータ・アップグレード・ユーティリティの実行の詳細は、次のURLの技術ノートID 1303215.1「OSI Data Upgrade Utility for Upgrading OIM 9.1.0.x to OIM 11g Version」を参照してください。

https://support.oracle.com
JAVA_HOME環境変数を設定します。

Oracle Identity Managerリリース9.xスキーマを11gリリース2 (11.1.2.1.0)にアップグレードするには:

次のコマンドを実行して、Oracle Fusion Middlewareのアップグレード・アシスタントを起動します。
```
./ua
```
Oracle Fusion Middlewareのアップグレード・アシスタント・ウィザードの「ようこそ」ページが表示されます。
「次へ」をクリックします。ウィザードの「操作の指定」ページが表示されます。
「Oracle Identity Managerスキーマのアップグレード」オプションを選択して、「次へ」をクリックします。
「前提条件」ページで、すべてのチェック・ボックスを選択して、前提条件を満たしていることを指定します。「次へ」をクリックします。
「OIMデータベースの指定」ページで、Oracle Identity Managerソース・データベースの接続情報を入力して、「次へ」をクリックします。
- ホスト: データベースのデプロイ先のホストの名前。
- ポート: ホスト・フィールドで識別されるホストに接続するポート番号。
- サービス名: インストールまたはデータベースの作成時に入力された、データベース名とドメイン名の組合せであるグローバル・データベース名の文字列。
- OIMスキーマ: Oracle Identity Manageスキーマの名前。
- SYSパスワード: データベース・システム管理者のパスワード。
「コンポーネントのアップグレード」ページの進捗バーに、スキーマのアップグレードの進捗状況が表示されます。アップグレード・コンポーネントのステータスも表示されます。終了したら、「次へ」をクリックします。
「アップグレード・サマリー」ページでアップグレード・コンポーネント名を開くとアップグレードのサマリー情報が表示されます。終了したら、「アップグレード」をクリックします。

注意:

スキーマのアップグレードが終了したら、次のステップに進む前にワークフローのアップグレードを無効にする必要があります。ワークフローのアップグレードを無効にするには、次のSQLコマンドを実行します。

update upgrade_feature_state set IS_FEATURE_UPGRADED='Y',FEATURE_UPGRADE_STATE='UPGRADED' where FEATURE_ID = 'OIM91UPG.Workflow'

4.5.4 Oracle Identity Managerの構成

次の手順を手動で実行して、Oracle Identity Managerを構成する必要があります。

セルの作成と構成
手動構成手順の実行
CSFシードのアップグレード
Oracle Identity Managerコンポーネントのアップグレード

4.5.4.1 セルの作成と構成

Oracle Identity Manager 11gリリース2 (11.1.2.1.0)コンポーネントでのセルの作成と拡張

次のコマンドを実行してFusion Middleware構成ウィザードを起動します。
```
cd $OIM_ORACLE_HOME/common/bin
./was_config.sh -log=config.log -log_priority=debug
```
Fusion Middleware構成ウィザードの「構成オプションの選択」ページが表示されます。
「セルの作成と構成」オプションを選択して、「次へ」をクリックします。
「セル、プロファイルおよびノード名の情報を指定してください」ページでデフォルト名または新しい名前を指定できます。次の値を入力して、「次へ」をクリックします。
- セル名: HOST_NAMECell01
- デプロイメント・マネージャ・プロファイル名: Dmgr01
- デプロイメント・マネージャ・ノード名: HOST_NAMECellManager01
- アプリケーション・サーバー・プロファイル名: Custom01
- アプリケーション・サーバー・ノード名: HOST_NAMENode01
「デプロイメント・マネージャ情報の指定」ページでWebSphere管理者のユーザー名とパスワードを入力します。ここに指定されたWebSphere管理者のユーザー名とパスワードは、Oracle Identity Manager UIへのログインと後の構成手順で使用されます。

「次へ」をクリックします。
「セルへの製品追加」ページでセルに追加する製品を選択します。WAS NDのインストールには、正しいWAS NDテンプレートを選択します。WAS ASテンプレートではありません。終了したら、「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」ページで、接続テストが成功したこと確認します。構成ウィザードがデータベースに接続できない場合は、エラーが表示されなくても、WASファイルが正しく生成されなかった可能性があります。

「次へ」をクリックします。
「JDBCコンポーネント・スキーマのテスト」ページが表示されるまで、「次へ」をクリックしてインストール手順を継続します。

Oracle Identity Managerテンプレートおよび依存テンプレートにより3つのサーバー、oim_server1、soa_server1、OracleAdminServerが作成されます。oim、Nexaweb、OIMMetadata、XIMDDアプリケーションがoim_server1にデプロイされます。

4.5.4.2 手動構成手順の実行

copy_jars.sh, seed_opss_permission.sh, and configure_nodeagent.shスクリプトを実行する前に、次の変数が設定されていることを確認します。これにより、環境変数の入力を求めるプロンプトを避けることができます。

DMGR_PROFILE_ROOT: WebSphereデプロイメント・マネージャのプロファイル・ディレクトリ。例: /opt/softwares/IBM/WebSphere/AppServer/profiles/Dmgr01/
OIM_ORACLE_HOME : 表4-1「このドキュメントで使用される表記法」を参照してください。
WEBSPHERE_ADMIN : WebSphere管理者のユーザー名。
WEBSPHERE_ADMIN_PASSWORD : WebSphere管理者のパスワード。
CELL_HOME_LOCATION : WebSphereセルのホーム・ディレクトリの場所。例: /opt/softwares/IBM/WebSphere/AppServer/profiles/Dmgr01/config/cells/HOST_NAMECell01
DMGR_PROFILE_NAME : WebSphereデプロイメント・マネージャのプロファイル名。例: Dmgr01
DMGR_HOSTNAME : WebSphereデプロイメント・マネージャのホスト名
DMGR_SOAP_PORT : WebSphereデプロイメント・マネージャのSOAPポート
WAS_HOME: 表4-1「このドキュメントで使用される表記法」を参照してください。
COMMON_COMPONENTS_HOME : Oracle Middleware共通ディレクトリ。例: /opt/softwares/IBM/WebSphere/oracle_common

構成アシスタントを使用する前に、手動の構成手順を実行するには:

次のコマンドを実行して、JARファイルを$WAS_HOME/lib/ext/にコピーします。
```
./copy_jars.sh
```
次のように、ノード・エージェントの起動、停止、および同期を実行します。
```
$WAS_HOME/profiles/Custom01/bin/stopNode.sh -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Dmgr01/bin/startManager.sh
$WAS_HOME/profiles/Custom01/bin/syncNode.sh DMGR_HOST DMGR_SOAP_PORT -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Custom01/bin/startNode.sh
```
セルの作成に使用したユーザー名とパスワードを使用します。ノードの同期中に使用されるポート番号は$WAS_HOME/profiles/DMGR/logs/AboutThisProfile.txtファイルから入手できます。

OIM_HOME/server/wasconfig/ディレクトリに移動して、次のコマンドを実行します。

sh seed_opss_permission.sh

および:

sh configure_nodeagent.sh

注意:

seed_opss_permission.shスクリプトの実行により次のエラー・メッセージが生成されます。

WASX7487E: Failed to import script libraries modules:
/u02/Oracle/Middleware/oracle_common/common/wsadmin/wsmAgent.py; Examine the wsadmin log file to determine the problem.

これは安全なエラーなので、無視できます。

次のようにノードの停止、同期、起動を実行します。

$WAS_HOME/profiles/Custom01/bin/stopNode.sh -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Custom01/bin/syncNode.sh DMGR_HOST DMGR_SOAP_PORT -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Custom01/bin/startNode.sh
$WAS_HOME/profiles/Custom01/bin/startServer.sh SOA_SERVER

セルの作成に使用した同一ユーザー名とパスワードを使用します。

4.5.4.3 CSFシードのアップグレード

構成前モードでMTアップグレード・スクリプトを実行して、CSFシードをアップグレードするには:

前提条件として以下を実行します。

.xldatabasekeyをWAS_HOME/profiles/Dmgr/config/cells/HOST_NAMECell/fmwconfig/ディレクトリにコピーします。

MW_HOME/Oracle_IDM1/server/bin/upgrade_was.propertiesファイルに正しい入力プロパティを指定します。表4-4には、入力プロパティとサンプル値がリストされています。

表4-4 upgrade_was.propertiesのサンプル入力値

入力プロパティ	サンプル値
Oracle Identity Managerリリース9.xホームの場所	oim91Home=/scratch/oim9101was/xellerate
Oracle Identity ManagerスキーマのJDBC URL	oimSchemaJDBCURL=HOST_NAME:PORT:oimdb
Oracle Identity Managerスキーマ名	oimSchemaName=oim91011
Oracle Identity Manager MDSスキーマのJDBC URL	mdsSchemaURL=HOST_NAME:PORT:oimdb
Oracle Identity Manager MDSスキーマ	mdsSchemaName=Sample_MDS
Oracle OIMホーム	oracleOIMHome=/scratch/wasr2install/mw/Oracle_IDM1
Middlewareホーム	middleWareHome=/scratch/wasr2install/mw
SOAホスト名	soaHost=soahost.mycompany.com
SOAポート番号	soaPort=PORT_NUMBER
SOAユーザー名	soaUserName=wasadmin
WASドメイン・マネージャ・セルのホーム	wasCellHome=/scratch/wasr2install/was/profiles/Dmgr03/config/cells/HOST_NAMECell02
構成前モードのMT	CSFSeed=true CSFSeed=trueの場合、MTは構成前モードで実行され、次のプロパティが設定されます。 PRE_OIM_CONFIG=true POST_OIMCONFIG=false

注意:

WAS_HOME/profiles/Dmgr03/properties/portdef.propsファイルには、特定のセルに適したすべてのポート番号が含まれています。

JAVA_HOMEおよびAPPSERVER_TYPE環境変数を設定します。JAVA_HOMEはIBM_JDKをポイントする必要があります。

MW_HOME/Oracle_IDM1/server/bin/ディレクトリに移動して、次のようにOIMMTUpgrade_WS.shを実行します。
```
export JAVA_HOME=/scratch/wasr2install/was/java/
export APPSERVER_TYPE='was'
./OIMMTUpgrade_WS.sh
```
注意:

このスクリプトのログ・ファイルは、MW_HOME/Oracle_IDM1/server/upgrade/logs/MT/ua-TIME_STAMP.logです。

4.5.4.4 Oracle Identity Managerコンポーネントのアップグレード

構成アシスタントを実行して、Oracle Identity Managerコンポーネントをアップグレードするには:

次のコマンドを実行して、構成アシスタントを起動します。

cd $OIM_HOME/bin
./config.sh -jreLoc LOCATION_OF_IBM_JDK -DSHOW_APPSERVER_TYPE_SCREEN=true

Oracle Identity Management構成ウィザードの「構成するコンポーネント」ページで、Oracle Identity Managerを開き、「OIMサーバー」を選択します。次に、「次へ」をクリックします。
「データベース」ページで、データベース接続文字列とスキーマ情報を入力します。終了したら、「次へ」をクリックします。

「アプリケーション・サーバー」ページで、WebSphereが選択されていることを確認します。次に、「次へ」をクリックします。

注意:

SOAホームがすでにインストールされ、タイプがWebSphereに設定されている場合、アプリケーション・サーバー・タイプがデフォルトで選択されます。そうでない場合は、アプリケーション・サーバー・タイプとしてWebSphereを選択します。

「WebSphereの詳細」ページで次の値を指定します。
- セル・パス: WebSphereセル・ホームの場所、つまり$WAS_HOME/profiles/Dmgr01/config/cells/CELL_NAMEです。デフォルトのセル名はHOST_NAMECell01です。
- 管理URL: WebSphere管理URLポートは、$WAS_HOME/profiles/Dmgr01/logs/AboutThisProfile.txtファイルのマネージメント・ブートストラップ・ポート・エントリから取得できます。
- 管理Soapポート: これはWebSphereアプリケーション・サーバーの管理SOAPポートです。
- 管理ユーザー名: ドメイン作成時に指定された同一ユーザー名です。
- 管理パスワード: ドメイン作成時に指定されたパスワードです。
「OIMサーバー」ページで、Oracle Identity Managerサーバーの管理パスワード、キーストア・パスワードおよびURL情報を指定します。次に、「次へ」をクリックします。
構成が終了するまで、「次へ」をクリックして、ウィザードの手順を継続します。
OIM_HOME/server/wasconfig/ディレクトリからWAS_HOME/lib/ext/ directory as wf_client_config.xmlにwf_client_config.xml.templateをコピーします。
wf_client_config.xmlファイルの<serverURL>タグの下にSOAサーバーのホスト名とブートストラップ・ポートを指定して更新します。タグの形式は次のとおりです。
```
<serverURL>corbaloc:iiop:SOA_SERVER_HOSTNAME:SOA_SERVER_BOOTSTRAP_PORT</serverURL>
```
例:
```
<serverURL>corbaloc:iiop:myhost.mycompany.com:2800</serverURL>
```

次のようにノードの停止、マネージャの起動、ノードの同期を実行します。

$WAS_HOME/profiles/Custom01/bin/stopServer.sh SOA_SERVER -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Custom01/bin/stopNode.sh -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Dmgr01/bin/stopManager.sh -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Dmgr01/bin/startManager.sh
$WAS_HOME/profiles/Custom01/bin/syncNode.sh DMGR_HOST DMGR_SOAP_PORT -username USER_NAME -password PASSWORD
$WAS_HOME/profiles/Custom01/bin/startNode.sh
$WAS_HOME/profiles/Custom01/bin/startServer.sh OracleAdminServer
$WAS_HOME/profiles/Custom01/bin/startServer.sh SOA_SERVER
$WAS_HOME/profiles/Custom01/bin/startServer.sh OIM_SERVER

注意:

ユーザー名とパスワードは、セル作成時に使用したものと同一です。

終了したら、それぞれの管理対象サーバーを起動してください。

4.5.5 構成後モードでMTアップグレード・ユーティリティを使用したアップグレード機能

Oracle Identity Managerの構成が完了し、OIMサーバーを含めてすべてのサーバーがデフォルトのメタデータを挿入する準備が整ったら、構成後モードのMTアップグレード・ユーティリティを使用してすべての機能をアップグレードできます。

構成後モードのMTアップグレード・ユーティリティを使用して機能をアップグレードするには:

次の前提条件を実行します。

デフォルトのメタデータを挿入したら、Oracle Identity Managerをシャットダウンします。
管理およびSOAサーバーが実行されていることを確認します。

$MW_HOME/Oracle_IDM1/server/bin/upgrade_was.propertiesファイルに正しい入力プロパティを挿入します。表4-5には、入力パラメータとサンプル値がリストされています。

表4-5 upgrade_was.propertiesの入力パラメータ

入力パラメータ	サンプル値
Oracle Identity Managerリリース9.xホームの場所	oim91Home=/scratch/oim9101was/xellerate
Oracle Identity ManagerスキーマのJDBC URL	oimSchemaJDBCURL=HOST_NAME:PORT:oimdb
Oracle Identity Managerスキーマ名	oimSchemaName=oim91011
Oracle Identity Manager MDSスキーマのJDBC URL	mdsSchemaURL=HOST_NAME:PORT:oimdb
Oracle Identity Manager MDSスキーマ名	mdsSchemaName=Sample_MDS
Oracle OIMホーム	oracleOIMHome=/scratch/wasr2install/mw/Oracle_IDM1
Middlewareホーム	middleWareHome=/scratch/wasr2install/mw
SOAホスト名	soaHost=soahost.mycompany.com
SOAポート番号	soaPort=SOA_PORT
SOAユーザー名	soaUserName=wasadmin
WebSphereドメイン・マネージャのセル・ホーム	wasCellHome=/scratch/wasr2install/was/profiles/Dmgr03/config/cells/HOST_NAMECell02
構成後モードのMT	CSFSeed=false CSFSeed=falseの場合、MTは構成前モードで実行され、次のプロパティが設定されます。 PRE_OIM_CONFIG=false POST_OIMCONFIG=true

注意:

WAS_HOME/profiles/Dmgr03/properties/portdef.propsファイルには、特定のセルに適したポート番号が含まれています。

JAVA_HOMEおよびAPPSERVER_TYPE環境変数を設定します。JAVA_HOMEはIBM_JDKをポイントする必要があります。

MW_HOME/Oracle_IDM1/server/bin/ディレクトリに移動して、次のようにOIMMTUpgrade_WS.shを実行します。
```
export JAVA_HOME=/scratch/wasr2install/was/java/
export APPSERVER_TYPE='was'
./OIMMTUpgrade_WS.sh
```
注意:

このスクリプトのログ・ファイルは、MW_HOME/Oracle_IDM1/server/upgrade/logs/MT/ua-TIME_STAMP.logです。
機能アップグレード・サマリー・レポートを解析します。Oracle Identity Manager管理対象サーバーを起動して、アプリケーションにアクセスします。

4.5.6 アップグレード後の構成の実行

Oracle Identity Managerリリース9.xをリリース11gリリース2 (11.1.2.1.0)にアップグレードしたら、次のアップグレード後の構成を実行します。

属性を必須としてマークするためのUIのカスタマイズ

4.5.6.1 属性を必須としてマークするためのUIのカスタマイズ

Oracle Identity Managerリリース9.xを11gリリース2 (11.1.2.1.0)にアップグレードすると、アップグレードされたメタデータ・ファイルは一部必須の属性を含みます。ただし、これらの属性はUIでは必須としてマークされません。たとえば、アップグレードされたユーザー作成操作のためのメタデータ・ファイル(CreateUserDataSet.xml、User.xmlなど)は名前属性とユーザー・ログイン属性が必須ですが、これらの属性はUIでは必須としてマークされません。

名前属性やユーザー・ログイン属性などの属性を画面上で必須としてマークする場合は、次の手順を実行します。

サンドボックスを作成し、アクティブにします。
特定の画面、たとえば「Create User」画面に移動して、既存の必須フィールドに値を入力して、上部の「Customize」をクリックします。
「Composer」メニューで、「View」→「Source」を選択します。
フィールドをクリックして確認し、タスクフローを編集します。「Edit」をクリックして、「Component Properties」ダイアログ・ボックスを開きます。
「Component Properties」ダイアログ・ボックスで、「Show Required」プロパティのオプションを選択します。
Requiredプロパティの場合は、「Expression Editor」を開いて値としてtrueを入力します。
「適用」をクリックした後、「OK」をクリックします。
「Composer」ツールバーで、「Close」をクリックし、変更をテストします。
サンドボックスのエクスポートと公開を実行します。

4.6 IBM WebSphere上でのライフサイクル管理の変更処理

Oracle Identity Managerと別のアプリケーション(例: Oracle Access Management (OAM))との統合デプロイメントのため、それらのアプリケーションの構成が変更されると、Oracle Identity ManagerおよびIBM WebSphereアプリケーション・サーバーにも様々な変更が必要になります。次の項では、これらの構成変更について説明します。

Oracle Identity Managerに関連するURL変更
Oracle Identity Managerに関連するパスワード変更
Oracle Identity ManagerのSSLの構成

4.6.1 Oracle Identity Managerに関連するURL変更

Oracle Identity Mangerでは、構造上およびミドルウェアの要件により、様々なホスト名とポートが構成に使用されています。この項では、統合された依存アプリケーションの変更に伴い、Oracle Identity ManagerおよびIBM WebSphereアプリケーション・サーバーの構成に必要な変更を実施する方法について説明します。

この項の内容は、次のとおりです。

Oracle Identity Managerのデータベース・ホストとポートの変更
Oracle Virtual Directoryのホストとポートの変更
Oracle Identity Managerのホストとポートの変更
SOAのホストとポートの変更
OAMのホストとポートの変更

4.6.1.1 Oracle Identity Managerデータベースのホストとポートの変更

この項では、データベースのホスト名とポート番号が使用される構成エリアについて説明します。

Oracle Identity Managerのインストール後に、データベースのホスト名またはポート番号を変更した場合は、次の変更が必要になります。

注意:

データベースのホストおよびポートを変更する前に、Oracle Identity Managerをホストする管理対象サーバーを停止してください。IBM WebSphere管理サーバーを停止する必要はありません。

データソースoimJMSStoreDSの構成を変更するには:
1. 「Resources」→「JDBC」→「Data Sources」→「oimJMSStoreDS」の順にナビゲートします。
2. データベースのホストとポートの変更に合わせて、URLの値を変更します。
データソースApplicationDBの構成を変更する手順は次のとおりです。
1. 「Resources」→「JDBC」→「Data Sources」→「applicationDB」の順にナビゲートします。
2. データベースのホストとポートの変更に合わせて、URLの値を変更します。
データソースoimOperationsDBの構成を変更するには:
1. 「Resources」→「JDBC」→「Data Sources」→「oimOperationsDB」の順にナビゲートします。
2. データベースのホストとポートの変更に合わせて、URLの値を変更します。
Oracle Identity Managerのメタデータ・ストア(MDS)構成に関連するデータソースを変更するには:
1. 「サービス」→「JDBC」→「データソース」→mds-oimに移動します。
2. データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。

カスタム・レジストリ構成を変更する手順は、次のとおりです。

IBM WebSphere管理コンソールで、「Security」→「Global security」の順に選択します。
スタンドアロン・カスタム・レジストリの隣の「Configure」をクリックします。
「DBUrl」を選択して、「Edit」をクリックします。
ホスト名とポートの変更に合わせて、DBUrlフィールドの値を変更します。

注意:

サービス指向アーキテクチャ(SOA)やOracle Web Services Manager (OWSM)で構成変更を行うと、SOAまたはOWSMに関連するデータソースにも同様の変更を行う必要があります。

データソースの変更が済んだら、IBM WebSphereアプリケーション・サーバーを再起動して、Oracle Identity Manager管理対象WebSphereサーバーを起動します。

注意:

OIM App構成MBeansを使用してEnterprise Management (EM)コンソールからOracle Identity Managerアプリケーション構成情報を変更するには、1つ以上のOracle Identity Manager管理対象サーバーが実行されている必要があります。そうでない場合、EMコンソールからOIM App Config MBeansを確認できません。

DirectDBの構成を変更するには:

Enterprise Managerにログインするには、次のURLを使用します。

http://ORACLE_ADMIN_SERVER/em
「WebSphereセル」→「OIMサーバー」の順に選択します。
「OIMサーバー」を右クリックして「システムMBeanブラウザ」を選択します。
システムMBeanブラウザで、「アプリケーション定義のMBeans」を開きます。
「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DirectDBConfig」→「DirectDB」に移動します。
ホストとポートの変更に合わせてURL属性に新しい値を入力し、変更を適用します。

注意:

Oracle Identity Managerの単一インスタンスのデプロイメントをOracle Real Application Clusters (Oracle RAC)に変更する場合、またはOracle RACを単一インスタンスのデプロイメントに変更する場合は、oimJMSStoreDS、 oimOperationsDBおよびmds-oimデータソースを変更してください。これらのデータソースをマルチデータソース構成に変更するための一般的な変更に加えて、カスタム・レジストリとドメイン資格証明ストア構成をOracle RACのURLに合わせて変更してください。これらの一般的な変更の詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。

4.6.1.2 Oracle Virtual Directoryのホストとポートの変更

LDAP同期が有効な場合、Oracle Identity Managerは、Oracle Virtual Directory (OVD)を介してディレクトリ・サーバーに接続します。この接続は、LDAP/LDAPSプロトコルを使用して行われます。

OVDのホストとポートを変更するには:

Oracle Identity System Administrationにログインします。
「構成」の下の「ITリソースの管理」をクリックします。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ディレクトリ・サーバーのITリソースを編集します。これを行うには:
1. 「SSLの使用」フィールドの値がFalseに設定されている場合は、「サーバーURL」フィールドを編集します。「SSLの使用」フィールドの値がTrueに設定されている場合は、「サーバーSSLのURL」フィールドを編集します。
2. 「Update」をクリックします。

4.6.1.3 Oracle Identity Managerのホストとポートの変更

この項の内容は次のとおりです。

Oracle Identity Manager構成のOimFrontEndURLの変更
Oracle Identity Manager構成のbackOfficeURLの変更

注意:

Oracle Identity Managerの追加ノードを追加または削除する場合は、この項で説明する手順を実行して、Oracle Identity Managerのホストとポートの変更を構成してください。

4.6.1.3.1 Oracle Identity Manager構成のOimFrontEndURLの変更

OimFrontEndURLは、Oracle Identity Manager UIにアクセスするために使用するURLです。これは、アプリケーション・サーバーでロード・バランサまたはWebサーバーが使用されている場合は、それに応じてロード・バランサURLまたはWebサーバーURL、そうでない場合は単一アプリケーション・サーバーURLです。これはOracle Identity Managerによって、通知メールやSOA呼び出しのコールバックURLに使用されます。

クラスタ環境でのOracle Identity ManagerデプロイメントのWebサーバー用ホスト名またはポートの変更、または非クラスタ環境でのOracle Identity ManagerデプロイメントのWebSphere管理対象サーバー用ホスト名またはポートの変更により、変更が必要になる場合があります。

Oracle Identity Manager構成のOimFronEndURLを変更するには:

Oracle管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。

http://ORACLE_ADMIN_SERVER/em
「WebSphereセル」→「OIMサーバー」の順に選択します。
「OIMサーバー」を右クリックし、システムMBeanブラウザに移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。

OimFrontEndURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。たとえば次のような値を入力できます。

http://myoim.mydomain.com

https://myoim.mydomain.com

http://myserver.mydomain.com:7001

注意:

SPMLクライアントには、SPMLの起動とコールバック・レスポンスの送信用にOracle Identity Manager URLが格納されています。そのため、これに対応した変更が必要になります。また、Oracle Identity ManagerがOAM、OAAMやOracle Identity Navigator (OIN)と統合されている場合は、これに対応した変更が必要になる場合もあります。詳細は、Oracle Technology Network (OTN) WebサイトにあるOAM、OAAMおよびOINのドキュメントを参照してください。

4.6.1.3.2 Oracle Identity Manager構成のbackOfficeURLの変更

backOfficeURLの変更は、Oracle Identity Managerがフロントオフィス構成およびバックオフィス構成にデプロイされる場合のみ必要になります。この変更は、単純なクラスタ化デプロイメントまたは非クラスタ化デプロイメントには適用されません。このURLは、フロントオフィス・コンポーネントからバックオフィス・コンポーネントにアクセスするために、Oracle Identity Managerで内部的に使用されます。バックオフィスにサーバーを追加する場合や、バックオフィスからサーバーを削除する場合は、バックオフィス構成およびフロントオフィス構成の実装中にこの属性の値を変更します。

backOfficeURL属性の値を変更するには:

WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。

http://ADMIN_SERVER/em
「WebSphereセル」→「OIMサーバー」の順に選択します。
「OIMサーバー」を右クリックし、システムMBeanブラウザに移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
BackOfficeURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。たとえば次のような値を入力できます。
```
corbaloc:iiop:mywas1.mydomain.com:2800
corbaloc:iiop:mywas1.mydomain.com:2800,:mywas2.mydomain.com:2801
```
注意:

Oracle Identity Managerの非クラスタ化およびクラスタ化デプロイメントでは、BackOfficeURL属性の値を空にする必要があります。

4.6.1.4 SOAのホストとポートの変更

SOAのホストとポートを変更するには:

注意:

追加のSOAノードを追加または削除したときには、この手順を実行してSOAのホストとポートを変更してください。

Oracle管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。

http://ORACLE_ADMIN_SERVER/em
「WebSphereセル」→「OIMサーバー」の順に選択します。
「OIMサーバー」を右クリックし、システムMBeanブラウザに移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SOAConfig」→「SOAConfig」に移動します。
Rmiurl属性とSoapurl属性の値を変更し、「適用」をクリックして変更を保存します。

Rmiurl属性は、SOA管理対象サーバーにデプロイされたSOA EJBにアクセスするために使用されます。これは、アプリケーション・サーバーのURLです。Oracle Identity Managerのクラスタ化デプロイメントの場合は、すべてのSOA管理対象サーバーのSOAP URLのカンマ区切りのリストです。この属性の値は、たとえば次のようになります。
```
corbaloc:iiop:mysoa1.mydomain.com:2800
corbaloc:iiop:mysoa1.mydomain.com:2800,: mysoa2.mydomain.com:2801
corbaloc:iiop:mysoa1.mydomain.com:2800,: mysoa2.mydomain.com:2801,: mysoa3.mydomain.com:2802
```
Soapurl属性は、SOA管理対象サーバーにデプロイされたSOA Webサービスにアクセスするために使用されます。これは、Webサーバーおよびロード・バランサをフロントエンドに使用するSOAクラスタの場合は、WebサーバーURLおよびロード・バランサURLです。単一SOAサーバーの場合は、アプリケーション・サーバーURLです。

この属性の値は、たとえば次のようになります。

http://myoimsoa.mydomain.com

http://mysoa.mydomain.com:8001

4.6.1.5 OAMのホストとポートの変更

OAMのホストとポートを変更するには:

Oracle管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。

http://ORACLE_ADMIN_SERVER/em
「WebSphereセル」→「OIMサーバー」の順にナビゲートします。
「OIMサーバー」を右クリックし、システムMBeanブラウザに移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SSOConfig」→「SSOConfig」に移動します。
必要に応じて、AccessServerHost属性とAccessServerPort属性およびその他の属性の値を変更し、「適用」をクリックして変更を保存します。

4.6.2 Oracle Identity Managerに関連するパスワード変更

Oracle Identity Manger構成では、構造上の要件やミドルウェア要件を満たすために、様々なパスワードが使用されます。この項では、デフォルトのパスワードと、依存製品または統合された製品でパスワードが変更された場合の、Oracle Identity MangerおよびOracle WebLogic構成のパスワードの変更方法について説明します。

この項の内容は次のとおりです。

IBM WebSphere管理パスワードの変更
Oracle Identity Manager管理者パスワードの変更
Oracle Identity Managerデータベース・パスワードの変更
資格証明ストア・フレームワークのOracle Identity Managerパスワードの変更
OVDパスワードの変更

4.6.2.1 IBM WebSphere管理パスワードの変更

IBM WebSphere管理パスワードを変更するには:

システム管理者としてOracle Identityセルフ・サービスにログインします。
WebSphere管理ユーザーを検索します。
「パスワードのリセット」をクリックします。
新しいパスワードを入力して、確認します。
「パスワードのリセット」をクリックします。

4.6.2.2 Oracle Identity Manager管理者パスワードの変更

Oracle Identity Managerのインストール中に、インストーラによりOracle Identity Managerの管理者パスワードの入力を求められます。この管理者パスワードは、必要に応じてインストール完了後に変更できます。これを行うには、システム管理者としてOracle Identity Self Serviceにログインする必要があります。

注意:

OAMまたはOAAMがOracle Identity Managerに統合されている場合は、これらのアプリケーションで対応する変更を行う必要があります。詳細は、次のURLのOracle Documentation WebサイトにあるOAMおよびOAAMドキュメントを参照してください。

http://docs.oracle.com/

4.6.2.3 Oracle Identity Managerデータベース・パスワードの変更

Oracle Identity Managerは、2つのデータベース・スキーマを使用して、Oracle Identity Managerの操作および構成データを格納します。Oracle Identity Manager MDSスキーマを使用して構成関係の情報を格納し、Oracle Identity Managerスキーマを使用してその他の情報を格納します。スキーマ・パスワードを変更すると、Oracle Identity Manager構成も変更する必要があります。

Oracle Identity Managerデータベース・パスワードを変更すると、次の変更を行う必要があります。

注意:

データベース・パスワードを変更する前に、Oracle Identity Managerをホストする管理対象サーバーを停止してください。

データソースoimJMSStoreDSの構成を変更するには:
1. 「リソース」→「JDBC」→「データソース」→「oimJMSStoreDS」の順にナビゲートします。
2. JAAS - J2C認証データ・リンクをクリックします。
3. CELL_NAME/oimJMSStoreDS_aliasリンクをクリックします。
4. 「パスワード」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
5. 「適用」をクリックして変更を保存します。
データソースoimOperationsDBの構成を変更するには:
1. 「リソース」→「JDBC」→「データソース」→「oimJMSStoreDS」の順にナビゲートします。
2. JAAS - J2C認証データ・リンクをクリックします。
3. CELL_NAME/oimOperationDB_aliasリンクをクリックします。
4. 「パスワード」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
5. 「適用」をクリックして変更を保存します。

Oracle Identity Manager MDSに関連するデータソースの構成を変更するには:

「リソース」→「JDBC」→「データソース」→「mds-oim」の順にナビゲートします。
JAAS - J2C認証データ・リンクをクリックします。
CELL_NAME/oimJMSStoreDS_aliasリンクをクリックします。
「パスワード」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「適用」をクリックして変更を保存します。

注意:

Oracle Real Application Clusters (Oracle RAC)構成を使用したOracle Identity Managerのデプロイメントでは、各マルチデータソース構成の下にあるすべてのデータソースを変更する必要があります。
SOAまたはOWSMに関連するデータソースでも、必要に応じて同様の変更を行ってください。

セルの資格証明ストアの構成を変更する手順は次のとおりです。
1. Enterprise Managerにログインするには、次のURLを使用します。
  
  http://ADMIN_SERVER/em
2. 「WebSphereセル」→「セキュリティ」→「資格証明」の順にクリックします。
3. 「oim」を開いて、「OIMSchemaPassword」→「編集」を選択します。
4. 「パスワード」フィールドに新しいパスワードを入力し、「OK」をクリックします。

Oracle Identity Managerデータベース・パスワードを変更したら、WebSphere管理サーバーを再起動します。またOracle Identity managerが管理するWebSphereサーバーも同様に起動します。

4.6.2.4 資格証明ストア・フレームワークのOracle Identity Managerパスワードの変更

インストール・プロセスでは、Oracle Identity Managerインストーラによって複数のパスワードが格納されます。資格証明ストア・フレームワーク(CSF)には様々な値がキーおよび値として格納されています。表4-6にキーとその対応する値を示します。

表4-6 CSFキー

キー	説明
DataBaseKey	データベースの暗号化に使用されるキーのパスワード。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。
.xldatabasekey	データベース暗号化キーを格納するキーストアのパスワード。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。
xell	xellキーのパスワードで、Oracle Identity Manager コンポーネント間の通信を保護するために使用されます。Oracle Identity Managerインストーラによって生成されるデフォルトのパスワードは、xellerateです。
default_keystore.jks	JKSキーストアdefault_keystore.jksのパスワードで、DOMAIN_HOME/config/fmwconfig/ディレクトリにあります。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。
SOAAdminPassword	パスワードはインストーラで「SOA管理者パスワード」フィールドに入力されたユーザー入力値です。
OIMSchemaPassword	Oracle Identity Managerデータベース・スキーマに接続するためのパスワードです。パスワードはインストーラで「OIMデータベース・スキーマのパスワード」フィールドに入力されたユーザー入力値です。
JMSKey	パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。

CSFキーの値を変更するには:

Enterprise Managerにログインします。
「WebSphereセル」をクリックします。
「セキュリティ」→「資格証明」に移動します。
「oim」を開きます。Oracle Identity Managerのキーと値のすべてのペアのリストが表示されます。この値を編集して変更できます。

4.6.2.5 OVDパスワードの変更

OVDパスワードを変更するには:

Oracle Identity System Administrationにログインします。
「構成」の下の「ITリソースの管理」をクリックします。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択します。
「検索」をクリックします。
ディレクトリ・サーバーのITリソースを編集します。これを行うには、「管理者パスワード」フィールドに新しいOVDパスワードを入力し、「更新」をクリックします。

4.6.3 Oracle Identity ManagerのSSLの構成

この項では、Oracle Identity Manager、およびOracle Identity Managerが相互作用して安全な通信を確立するコンポーネントの鍵の生成、証明書への署名およびエクスポート、SSL構成の設定について手順を説明します。含まれる内容は、次のとおりです。

Oracle Identity ManagerおよびSOAサーバーのSSLの有効化
Oracle Identity Manager DBのSSLの有効化
LDAP同期のSSLの有効化
SSLによるリモート・マネージャの保護

注意:

Oracle Identity Manager用にSSLを構成する前に、鍵の生成、証明書の署名、証明書のエクスポートとインポートを実行する必要があります。これらの手順の詳細は、IBM WebSphereドキュメントを参照するか、IBMのサポートに問い合わせてください。

4.6.3.1 Oracle Identity ManagerおよびSOAサーバーのSSLの有効化

SSLを有効化するには、Oracle Identity ManagerおよびSOAサーバーで次の構成を実行する必要があります。

Oracle Identity ManagerのSSLの有効化
デフォルト設定を使用したOracle Identity ManagerのSSLの有効化
SOAサーバーURLをSSLポートを使用するように変更
Oracle Identity Manager ユーティリティのSSLの構成
MDSユーティリティのSSLの構成

4.6.3.1.1 Oracle Identity ManagerのSSLの有効化

Oracle Identity ManagerのSSLの有効化について、次の各項で説明します。

デフォルト設定を使用したOracle Identity ManagerのSSLの有効化
カスタム・キーストアを使用したOracle Identity ManagerのSSLの有効化

4.6.3.1.2 デフォルト設定を使用したOracle Identity ManagerのSSLの有効化

Oracle Identity ManagerではSSLがデフォルトで有効になっています。

SSLポートを確認するには:

IBM WebSphere管理コンソールにログインします。
「Servers」→「Server Type」の順にナビゲートして、WebSphereアプリケーション・リンクをクリックします。
oimサーバー・リンクをクリックします。
Portsリンクを開きます。WC_defaulthost_secureはSSLポートです。

4.6.3.1.3 カスタム・キーストアを使用したOracle Identity ManagerのSSLの有効化

デフォルト・キーストアの変更については、WebSphereマニュアルを参照してください。もしくは、IBM社のサポートに問い合せてください。

Oracle Identity ManagerとSOAサーバーでSSLを有効にした後、これらの間での安全な通信を確立するために、次の変更を行います。

OimFrontEndURLをSSLポートを使用するように変更
SOAサーバーURLをSSLポートを使用するように変更

4.6.3.1.4 OimFrontEndURLをSSLポートを使用するように変更

OimFrontEndURLは、oimアプリケーションのUIへのアクセスに使用されます。これはロード・バランサURLかWebサーバーURL (アプリケーション・サーバーでロード・バランサまたはWebサーバーが使用されている場合)、または単一アプリケーション・サーバーURLになります。これは、通常、Oracle Identity Managerによって、通知メール、またはSOAからOracle Identity ManagerへのコールバックWebサービスの送信に使用されます。

OimFrontEndURLをSSLポートを使用するように変更するには:

WebSphere管理サーバーおよびOracle Identity Manager管理対象サーバー(クラスタの場合は少なくとも1つのサーバー)が稼動しているときに、Enterprise Manager (EM)にログインします。

例:

http://ADMIN_SERVER/em
「WebSphereセル」→「OIMサーバー」の順に選択します。
「OIMサーバー」を右クリックして、「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。

OimFrontEndURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。

例:

http://myoim.mydomain.com

https://myoim.mydomain.com

http://myserver.mydomain.com:7001

注意:

Fusion AppsやSPMLクライアントには、SPMLの起動やコールバック・レスポンスの送信のために、Oracle Identity Manager URLが格納されています。そのため、これに対応する変更が必要になります。また、Oracle Identity ManagerにOAM/OAAM/OINが統合されている場合は、これに対応する変更も必要になります。他のコンポーネントとの統合の詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。

4.6.3.1.5 SOAサーバーURLをSSLポートを使用するように変更

SOAサーバーURLをSSLポートを使用するように変更するには:

管理サーバーおよびOracle Identity Manager管理対象サーバーが稼動しているときに、Enterprise Manager (EM)にログインします。

例:

http://ADMINISTRATIVE_SERVER/em
「WebSphereセル」→「OIMサーバー」の順に選択します。
「OIMサーバー」を右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SOAConfig」→「SOAConfig」に移動します。

Rmiurl属性とSoapurl属性の値を変更し、「適用」をクリックして変更を保存します。

注意:

Rmiurlは、SOA管理対象サーバーにデプロイされたSOA EJBにアクセスするために使用されます。

これは、アプリケーション・サーバーのURLです。(クラスタ・インストールの場合は、すべてのSOA管理対象サーバーURLのカンマ区切りのリストです)

例:

corbalocs:iiop:mysoa1.mydomain.com:2800
corbalocs:iiop:mysoa1.mydomain.com:2800,: mysoa2.mydomain.com:2801
corbalocs:iiop:mysoa1.mydomain.com:2800,: mysoa2.mydomain.com:2801,: mysoa3.mydomain.com:2802

注意:

Soapurlは、SOA管理対象サーバーにデプロイされたSOA Webサービスにアクセスするために使用されます。これは、Webサーバーまたはロード・バランサをフロントエンドとするSOAクラスタでは、WebサーバーURLまたはロード・バランサURLです。単一SOAサーバーでは、アプリケーション・サーバーURLです。

たとえば、次のようなディレクトリです。

http://myoimsoa.mydomain.com

https://mysoa.mydomain.com: 8001

4.6.3.1.6 SSLによるDesign Consoleの保護

SSLでDesign Consoleを保護するには:

WAS_CLIENT_HOME/properties/sas.client.propsファイルを開きます。

次のプロパティの値としてtrueが設定されていることを確認します。それらがtrueに設定されていない場合は、trueに更新します。

com.ibm.CSI.performTransportAssocSSLTLSRequired
com.ibm.CSI.performTransportAssocSSLTLSSupported

注意:

com.ibm.CSI.performTransportAssocSSLTLSRequiredをtrueに設定すると、SSLによるサーバー通信がDesign Consoleで構成されます。
IBM WebSphereのデフォルト・キーストアを変更するには、IBMが提供するWebSphereドキュメントを参照してください。

OIM_DC_HOME/xlclient/Config/xlconfig.xmlファイルを開きます。
SSLを使用するようにアプリケーションURLの値を編集します。例:

変更前:
```
http://OIM_SERVER_HOST:OIM_PORT/xlWebApp/loginWorkflowRenderer.do
```
変更後:
```
https://OIM_SERVER_HOST:OIM_SSL_PORT/xlWebApp/loginWorkflowRenderer.do
```
Oracle Identity Manager SSLポートを識別するには:
1. IBM WebSphere管理コンソールにログインします。
2. 「Servers」→「Server Type」→「Websphere Enterprise Servers」→「SERVER_NAME」→「Communications」→「Ports」の順にクリックします。
3. SSLポート、WC_defaulthost_secureを探します。WC_defaulthostは、アプリケーション・サーバー用の非SSLポートです。

4.6.3.1.7 Oracle Identity ManagerユーティリティのSSLの構成

Oracle Identity Managerクライアント・ユーティリティには、PurgeCache、GenerateSnapshot、UploadJars、およびUploadResourcesがあります。

Oracle Identity ManagerユーティリティでSSLを構成するには:

WAS_SERVER_HOME/profiles/DMGR_PROFILE/properties/sas.client.propsファイルを開きます。
次のプロパティの値がtrueに設定されていることを確認します。

com.ibm.CSI.performTransportAssocSSLTLSRequired

com.ibm.CSI.performTransportAssocSSLTLSSupported

例:

setenv TRUSTSTORE_LOCATION/scratch/user1/dogwoodsh100520/beahome/wlserver_10.3/server/lib/DemoTrust.jks

4.6.3.1.8 MDSユーティリティのSSLの構成

wsadminスクリプトを含むすべてのOracle Identity Manager MDSユーティリティに次のオプションを追加する必要があります。

-Dcom.ibm.SSL.ConfigURL=file:DMGR_PROFILE\properties\ssl.client.props

注意:

このプロパティを設定すると、WLSTは正常に動作するようになります。情報/注意メッセージが表示されますが、これは無視してかまいません。

4.6.3.2 Oracle Identity Manager DBのSSLの有効化

Oracle Identity Manager DBのSSLを有効化するには、次の構成を実行する必要があります。

サーバー認証SSLモードでのDBの設定
キーストアと証明書の作成
Oracle Identity Managerの更新
WebSphereサーバーの更新

4.6.3.2.1 サーバー認証SSLモードでのDBの設定

サーバー認証SSLモードでDBを設定するには:

DBサーバーとリスナーを停止します。

listener.oraファイルを次のように構成します。

次のパスに移動します。

$DB_ORACLE_HOME/network/adminディレクトリ

例:

/scratch/user1/production-database/product/11.1.0/db_1/network/admin

listener.oraファイルを編集してSSLリスニング・ポートとサーバー・ウォレット・ロケーションを含めます。

次にlistener.oraファイルのサンプルを示します。

# listener.ora Network Configuration File: /scratch/rbijja/production-database/product/11.1.0/db_1/network/admin/listener.ora
# Generated by Oracle configuration tools.
 
SSL_CLIENT_AUTHENTICATION = FALSE
 
WALLET_LOCATION =
  (SOURCE =
    (METHOD = FILE)
    (METHOD_DATA =
      (DIRECTORY = /scratch/rbijja/production-database/product/11.1.0/db_1/bin/server_keystore_ssl.p12)
    )
  )
 
LISTENER =
  (DESCRIPTION_LIST =
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCPS)(HOST = server1.mycompany.com)(PORT = 2484))
    )
    (DESCRIPTION =
      (ADDRESS = (PROTOCOL = TCP)(HOST = server1.mycompany.com)(PORT = 1521))
    )
  )
 
TRACE_LEVEL_LISTENER = SUPPORT

sqlnet.oraファイルを次のように構成します。
1. 次のパスに移動します。
  
  $DB_ORACLE_HOME/network/adminディレクトリ
  
  例:
  
  /scratch/user1/production-database/product/11.1.0/db_1/network/admin
2. sqlnet.oraファイルを編集して次の内容を含めます。
  - TCPS認証サービス
  - SSL_VERSION
  - サーバー・ウォレットの場所
  - SSL_CLIENT_AUTHENTICATIONタイプ(trueまたはfalse)
  - 通信で許可されるSSL_CIPHER_SUITES(オプション)
  次にsqlnet.oraファイルのサンプルを示します。
```
# sqlnet.ora Network Configuration File: /scratch/rbijja/production-database/product/11.1.0/db_1/network/admin/sqlnet.ora
# Generated by Oracle configuration tools.
 
SQLNET.AUTHENTICATION_SERVICES= (BEQ, TCPS)
 
SSL_VERSION = 3.0
 
SSL_CLIENT_AUTHENTICATION = FALSE
 
WALLET_LOCATION =
  (SOURCE =
    (METHOD = FILE)
    (METHOD_DATA =
      (DIRECTORY = /scratch/rbijja/production-database/product/11.1.0/db_1/bin/server_keystore_ssl.p12)
    )
  )
```

tnsnames.oraファイルを次のように構成します。

次のパスに移動します。

$DB_ORACLE_HOME/network/adminディレクトリ

例:

/scratch/user1/production-database/product/11.1.0/db_1/network/admin

tnsnames.oraファイルを編集してサービスの説明リストにSSLリスニング・ポートを含めます。

次にtnsnames.oraファイルのサンプルを示します。

# tnsnames.ora Network Configuration File: /scratch/user1/production-database/product/11.1.0/db_1/network/admin/tnsnames.ora
# Generated by Oracle configuration tools.

PRODDB =
 (DESCRIPTION_LIST =
  (DESCRIPTION =
    (ADDRESS = (PROTOCOL = TCPS)(HOST = server1.mycompany.com)(PORT = 2484))
    (CONNECT_DATA =
      (SERVER = DEDICATED)
      (SERVICE_NAME = proddb)
    )
  )
  (DESCRIPTION =
    (ADDRESS = (PROTOCOL = TCP)(HOST = server1.mycompany.com)(PORT = 1521))
    (CONNECT_DATA =
      (SERVER = DEDICATED)
      (SERVICE_NAME = proddb)
    )
  )
 )

DBサーバーのユーティリティを起動および停止します。
DBサーバーを起動します。

4.6.3.2.2 キーストアと証明書の作成

orapkiユーティリティを使用して、サーバー側とクライアント側のキーストアを作成できます。このユーティリティは、Oracle DBインストールの一部として出荷されます。

キーストアは、JKSやPKCS12などの任意の形式にすることができます。キーストアの形式は、プロバイダの実装によって異なります。たとえば、JKSはSun Oracleが提供する実装で、PKCS12はOraclePKIProviderが提供する実装です。

Oracle Identity Managerでは、DBサーバーにJKSクライアント・キーストアのみを使用します。これは、PKCS12などのJKS以外のキーストア形式を使用するには、リリースが差し迫っているときにインストーラ側に大きな変更を加える必要があったためです。ただし、Oracle Identity Managerにはdefault-KeyStore.jksという名前のJKS形式のキーストアがあらかじめ含まれています。

orapkiユーティリティを使用して、次のキーストアを作成できます。

ルートCAウォレットの作成
DBサーバー側ウォレットの作成

クライアント側ウォレットの作成

注意:

ウォレットとキーストアは置き換え可能で、どちらも同じ意味です。これらは公開鍵および秘密鍵のリポジトリと自己署名証明書および信頼できる証明書を参照します。

ルートCAウォレットの作成

ルート認証局(CA)ウォレットを作成するには:

次のパスに移動します。

$DB_ORACLE_HOME/binディレクトリ
次のコマンドを使用してウォレットを作成します。
```
./orapki wallet create -wallet CA_keystore.p12 -pwd welcome1
```

次のコマンドを使用して、自己署名証明書をCAウォレットに追加します。

./orapki wallet add -wallet CA_keystore.p12 -dn 'CN=root_test,C=US' -keysize 2048 -self_signed -validity 3650 -pwd welcome1

次のコマンドを使用してウォレットを表示します。
```
./orapki wallet display -wallet CA_keystore.p12 -pwd welcome1
```

次のコマンドを使用してCAウォレットから自己署名証明書をエクスポートします。

./orapki wallet export -wallet CA_keystore.p12 -dn 'CN=root_test,C=US' -cert self_signed_CA.cert -pwd welcome1

DBサーバー側ウォレットの作成

DBサーバー側ウォレットを作成するには:

次のコマンドを使用してサーバー・ウォレットを作成します。
```
./orapki wallet create -wallet server_keystore_ssl.p12 -auto_login -pwd welcome1
```

次のコマンドを使用して、証明書リクエストをサーバー・ウォレットに追加します。

./orapki wallet add -wallet server_keystore_ssl.p12/ -dn 'CN=Customer,OU=Customer,O=Customer,L=City,ST=NY,C=US' -keysize 2048 -pwd welcome1

次のコマンドを使用して、証明書リクエストをファイルにエクスポートします。これは後でルートCA署名を使用して署名を受けるために使用されます。
```
./orapki wallet export -wallet server_keystore_ssl.p12/ -dn 'CN=Customer,OU=Customer,O=Customer,L=City,ST=NY,C=US' -request server_creq.csr -pwd welcome1
```
次のコマンドを使用して、サーバー・ウォレットの証明書リクエストにCA署名を使用して署名を受けます。
```
./orapki cert create -wallet CA_keystore.p12 -request server_creq.csr -cert server_creq_signed.cert -validity 3650 -pwd welcome1
```
次のコマンドを使用して、署名された証明書を表示します。
```
/orapki cert display -cert server_creq_signed.cert -complete
```
次のコマンドを使用して、信頼された証明書をサーバー・ウォレットにインポートします。
```
./orapki wallet add -wallet server_keystore_ssl.p12 -trusted_cert -cert self_signed_CA.cert -pwd welcome1
```
次のコマンドを使用して、この新規作成された署名証明書(ユーザー証明書)をサーバー・ウォレットにインポートします。
```
./orapki wallet add -wallet server_keystore_ssl.p12 -user_cert -cert server_creq_signed.cert -pwd welcome1
```

クライアント側ウォレットの作成

クライアント側(Oracle Identity Managerサーバー)ウォレットを作成するには:

次のパスに移入されているdefault-keystore.jksキーストアを使用して、クライアント・キーストアを作成します。

DMGR_PROFILE/config/cells/CELL_NAME/fmwconfig

注意:

Oracle PKCS12ウォレットをクライアント・キーストアとして使用することもできます。
次のコマンドを使用して、サーバー側コマンドを使用してすでにエクスポートされている自己署名付きの信頼されたCA証明書を、クライアント・キーストア(default-keystore.jks)にインポートします。
```
keytool -import -trustcacerts -alias dbtrusted -noprompt -keystore default-keystore.jks -file self_signed_CA.cert -storepass xellerate
```

4.6.3.2.3 Oracle Identity Managerの更新

Oracle Identity ManagerおよびOracle Identity Manager DBでSSLモードを有効にして安全な通信を確保するには、Oracle Identity Managerで次の手順を実行する必要があります。

信頼された証明書をOracle Identity Managerのdefault-keystore.jksキーストアにインポートします。
Enterprise Managerにログインします。
「WebSphereセル」をクリックして、「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DirectDBConfig」→「DirectDB」に移動します。
Sslenabled属性とUrl属性の値を変更して、「適用」をクリックします。DBでSSLモードが有効な場合は、Url属性にTCPS有効化とSSLポートを含める必要があります。

例:

url="jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=my.domain.com)(PORT=2484))(CONNECT_DATA=(SERVICE_NAME=proddb)))"
Oracle Identity Managerサーバーを再起動します。

4.6.3.2.4 WebSphereサーバーの更新

Oracle Identity Manager DBのSSLを有効にした後で、DB SSLポートを使用してOracle Identity Managerの次のデータソースと認証者を変更する必要があります。

データソースの構成
データソースoimJMSStoreDSの構成の更新
データソースoimOperationsDBの構成の更新
Oracle Identity Manager MDSに関連するデータソースの構成の更新
Oracle Identity Managerのカスタム・レジストリの更新

データソースの構成

データソースを構成するには:

Enterprise Managerにログインします。

ホストおよびポートの変更を行います。

注意:

データベースのホストまたはポートの変更を行う前に、Oracle Identity Managerアプリケーションをホストする管理対象サーバーを停止する必要があります。ただし、WebLogic管理サーバーは稼動させたままでかまいません。

データソースoimJMSStoreDSの構成の更新

データソースoimJMSStoreDSの構成を更新するには:

IBM WebSphere管理コンソールにログインします。
「リソース」→「JDBC」→「データソース」→「oimJMSStoreDS」の順にナビゲートします。
URLの値を変更します。
「Apply」をクリックして、変更を保存します。

データソースoimOperationsDBの構成の更新

データソースoimOperationsDBの構成を更新するには:

IBM WebSphere管理コンソールにログインします。
「リソース」→「JDBC」→「データソース」→「oimJMSStoreDS」の順にナビゲートします。
URLの値を変更します。
「Apply」をクリックして、変更を保存します。

Oracle Identity Manager MDSに関連するデータソースの構成の更新

Oracle Identity Manager MDSに関連するデータソースの構成を更新するには:

IBM WebSphere管理コンソールにログインします。
「リソース」→「JDBC」→「データソース」→「mds-oim」の順にナビゲートします。
URLの値を変更します。
「Apply」をクリックして、変更を保存します。

注意:

必要に応じて、SOA/OWSMに関連するデータソースにも同様の更新を行ってください。

Oracle Identity Managerのカスタム・レジストリの更新

WebSphereアプリケーション・サーバー内の既存のOracle Identity Managerのカスタム・レジストリは、非SSL DB詳細に対して構成されています。SSL DB詳細を使用するには、次の操作を実行する必要があります。

IBM WebSphere管理コンソールにログインします。
「Security」をクリックします。
「Global security」リンクをクリックします。
「Configure」をクリックします。
DBUrlを編集します。
「Apply」をクリックして、変更を保存します。

4.6.3.3 LDAP同期のSSLの有効化

Oracle Identity ManagerでSSL有効化されたOracle Virtual Directory (OVD)を使用できるようにするには、次の構成を実行する必要があります。

OVD-OIDでのSSLの有効化
Oracle Identity ManagerのOVDホスト/ポートの更新

4.6.3.3.1 OVD-OIDでのSSLの有効化

OVD-OIDでSSLを有効化するには:

OVD EMコンソールにログインします。
「Identity and Access」を展開し、「ovd1」→「管理」→「リスナー」に移動します。
「作成」をクリックし、必要なフィールドすべてに入力します。

注意:

「リスナー・タイプ」にはLDAPを選択してください。
「OK」をクリックします。
新規作成されたLDAPリスナーを選択し、「編集」をクリックします。
「リスナーの編集 - OIM SSL ENDPOINT」ページで、新規作成されたLDAPリスナーを編集します。
「OK」をクリックします。「SSL構成」ページが開きます。
「SSLの有効化」チェック・ボックスを選択します。
「拡張SSL設定」セクションで、SSL認証に対して、「認証なし」を選択します。
「OK」をクリックします。
OVDサーバーを停止してから起動し、変更を有効にします。

注意:

再起動オプションは使用しないでください。

4.6.3.3.2 Oracle Identity ManagerのOVDホスト/ポートの更新

Oracle Identity Manager上でLDAP同期を有効にすると、Oracle Identity ManagerはOVDを通してディレクトリ・サーバーに接続します。この接続にはLDAP/LDAPSプロトコルを使用します。

OVDのホストおよびポートを変更するには:

Oracle Identity Manager管理およびユーザー・コンソールにログインします。
「詳細」に移動し、「ITリソースの管理」をクリックします。
「ITリソース・タイプとして「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ITリソース・ディレクトリ・サーバーで、サーバーURLを編集してSSLプロトコルとSSLポート詳細を含めます。
「SSLの使用」がtrueに設定されていることを確認し、「更新」をクリックします。

4.6.3.4 SSLによるリモート・マネージャの保護

この項では、IBM WebSphere上のOracle Identity Managerリモート・マネージャでSSLを構成する方法を説明します。この項の内容は次のとおりです。

概要
一方向SSL認証の構成
双方向SSL認証の構成

4.6.3.4.1 概要

SSLには一方向と双方向があります。

一方向: Oracle Identity Managerサーバー(SSLクライアント・アプリケーション)は、Oracle Identity Managerリモート・マネージャ(SSLサーバー・アプリケーション)のIDを検証します。
双方向: Oracle Identity Managerサーバー(SSLクライアント・アプリケーション)は、Oracle Identity Managerリモート・マネージャ(SSLサーバー・アプリケーション)のIDを検証しし、さらに、リモート・マネージャは、Oracle Identity ManagerサーバーのIDを検証します。

SSL信頼関係を確立するには、SSLサーバーの(CA署名済)証明書をSSLクライアントのキーストアにインポートします。リモート・マネージャをインストールすると、キーストアと公開証明書が作成されます。リモート・マネージャのキーストアは、OIM_RM_HOME/config/default-keystore.jksファイルに指定されています。証明書は、OIM_RM_HOME/config/xlserver.certファイルに指定されています。

注意:

リモート・マネージャは、非SSL通信をサポートしません。デフォルトで一方向SSL認証がサポートされています。双方向SSL認証を有効にするには、次の該当する項に示された手順を実行します。

4.6.3.4.2 一方向SSL認証の構成

一方向SSL認証によりOracle Identity Managerサーバーは、リモート・マネージャのIDを検証できます。一方向SSL認証を構成するには、リモート・マネージャの証明書が次の場所にあるOracle Identity Managerサーバーのキーストアで信頼される必要があります。

WAS_HOME/profiles/Dmgr01/config/cells/OIM_CELL_NAME/fmwconfig/default-keystore.jks

CA証明書を使用して一方向SSL認証を構成するには:

リモート・マネージャの証明書、OIM_RM_HOME/config/xlserver.certをOracle Identity Managerサーバー・システムにコピーします。

注意:

Oracle Identity Managerサーバー証明書もxlserver.certという名前です。サーバーの証明書をうっかり上書きすることがないように注意します。
手順1でOracle Identity Managerサーバーのシステムにコピーしたリモート・マネージャの証明書を、次のコマンドを実行してサーバーのキーストアにインポートします。
```
JAVA_HOME/jre/bin/keytool –import –alias TRUSTED_SERVER_CERTIFICATE \
–file RM_CERT_LOCATION/xlserver.cert \
–keystore WAS_HOME/profiles/Dmgr01/config/cells/OIM_CELL_NAME/fmwconfig/default-keystore.jks \
–trustcacerts –storepass OIM_SERVER_KEYSTORE_PASSWORD
```
JAVA_HOMEがOracle Identity ManagerサーバーのIBM Java Runtimeディレクトリを表し、RM_CERT_LOCATIONが手順1でリモート・マネージャの証明書をコピーした場所を表すことに注意します。
確認を求められたら、Y (Yes)を押してインポートされた証明書を信頼します。
デプロイメント・マネージャを含めて、アプリケーション・サーバーを再起動します。

4.6.3.4.3 双方向SSL認証の構成

双方向SSL認証により、Oracle Identity Managerサーバーとリモート・マネージャは互いのIDを検証できます。双方向SSL認証を構成するには、リモート・マネージャの証明書がOracle Identity Managerサーバーのキーストアで信頼され、Oracle Identity Managerサーバーの証明書がリモート・マネージャのキーストアで信頼される必要があります。

Oracle Identity Managerサーバーの場所は次のとおりです。

WAS_HOME/profiles/Dmgr01/config/cells/OIM_CELL_NAME/fmwconfig/default-keystore.jks

Oracle Identity Managerサーバーの証明書の場所は次のとおりです。

WAS_HOME/profiles/Dmgr01/config/cells/OIM_CELL_NAME/fmwconfig/xlserver.cert

リモート・マネージャのキーストアの場所は次のとおりです。

OIM_RM_HOME/config/default-keystore.jks

リモート・マネージャの(CA署名済)証明書の場所は次のとおりです。

OIM_RM_HOME/config/xlserver.cert

CA証明書を使用して双方向SSL認証を構成するには:

リモート・マネージャの証明書、OIM_RM_HOME/config/xlserver.certをOracle Identity Managerサーバー・システムにコピーします。

注意:

Oracle Identity Managerサーバー証明書もxlserver.certという名前です。サーバーの証明書をうっかり上書きすることがないように注意します。
手順1でOracle Identity Managerサーバーのシステムにコピーしたリモート・マネージャの証明書を、次のコマンドを実行してサーバーのキーストアにインポートします。
```
JAVA_HOME/jre/bin/keytool –import –alias TRUSTED_SERVER_CERTIFICATE \
–file RM_CERT_LOCATION/xlserver.cert \
–keystore WAS_HOME/profiles/Dmgr01/config/cells/OIM_CELL_NAME/fmwconfig/default-keystore.jks \
–trustcacerts –storepass OIM_SERVER_KEYSTORE_PASSWORD
```
JAVA_HOMEがOracle Identity ManagerサーバーのIBM Java Runtimeディレクトリを表し、RM_CERT_LOCATIONが手順1でリモート・マネージャの証明書をコピーした場所を表すことに注意します。
確認を求められたら、Y (Yes)を押してインポートされた証明書を信頼します。
デプロイメント・マネージャを含めて、アプリケーション・サーバーを再起動します。
Oracle Identity Managerサーバー証明書をリモート・マネージャ・システムにコピーします。Oracle Identity Managerサーバーの場所は次のとおりです。
```
WAS_HOME/profiles/Dmgr01/config/cells/OIM_CELL_NAME/fmwconfig/xlserver.cert
```
注意:

リモート・マネージャの証明書もxlserver.certという名前です。サーバーの証明書をうっかり上書きすることがないように注意します。
手順5でリモート・マネージャにコピーしたOracle Identity Managerサーバーのシステムの証明書を、次のシェル・コマンドを実行してリモート・マネージャのキーストアにインポートします。
```
JAVA_HOME/jre/bin/keytool –import –alias TRUSTED_SERVER_CERTIFICATE \
–file OIM_SERVER_CERT_LOCATION/xlserver.cert \
–keystore OIM_RM_HOME/config/default-keystore.jks –trustcacerts \
–storepass RM_KEYSTORE_PASSWORD
```
JAVA_HOMEがリモート・マネージャのIBM Java Runtimeディレクトリを表し、OIM_SERVER_CERT_LOCATIONが手順5でOracle Identity Managerサーバーの証明書をコピーした場所を表すことに注意します。
確認を求められたら、Y (Yes)を押してインポートされた証明書を信頼します。
リモート・マネージャの構成ファイル、OIM_RM_HOME/config/xlconfig.xmlを開きます。
<RMSecurity>.<ClientAuth>構成パラメータの値をtrueに変更して、ファイルを保存します。
Remote Managerを再起動します。

4.7 IBM WebSphere上でのOracle Identity Managerユーティリティの使用

この項では、IBM WebSphere上でOracle Identity Managerユーティリティを使用する方法を説明します。

IBM WebSphere上でOracle Identity Managerユーティリティを使用するための前提条件
Oracle Enterprise Managerを使用したMDSデータベースからのメタデータ・ファイルのエクスポート
Oracle Enterprise Managerを使用したMDSデータベースへのメタデータ・ファイルのインポート
PurgeCache、UploadJars、DownloadJars、DeleteJars、UploadResourceBundlesおよびDownLoadResourceBundlesユーティリティの使用
プラグイン登録および登録解除ユーティリティの使用
IBM WebSphere上でのOracle Identity ManagerによるSOAコンポジットの登録

4.7.1 IBM WebSphere上でOracle Identity Managerユーティリティを使用するための前提条件

WebSphere上でOracle Identity Managerユーティリティを実行する前に、次の環境変数を設定します。

OIM_ORACLE_HOME: Oracle Identity Managerがインストールされたディレクトリを識別するための環境変数。
JAVA_HOME: Oracle Identity Managerサーバー用IBM Java Runtimeディレクトリの場所。
WAS_HOME: WebSphereアプリケーション・サーバーがインストールされたディレクトリ。
APP_SERVER: 指定可能な値は、weblogicまたはwebsphereです。ここでは、これをwebsphereに設定する必要があります。
MW_HOME: Middlewareホームのディレクトリ・パス。
PROFILE_NAME: プロファイルの名前。
WAS_CELL_HOME: Oracle Identity Managerがデプロイされるセルの場所。

4.7.2 Oracle Enterprise Managerを使用したメタデータ・ファイルのMDSデータベースからのエクスポート

Oracle Enterprise Managerを使用してメタデータ・ファイルをMDSデータベースからエクスポートするには:

IBM WebSphere管理者の資格証明を使用してOracle Enterprise Managerにログインします。
WebSphereセル・リストから「システムMBeanブラウザ」を選択します。
次のエントリ、「アプリケーション定義のMBeans」→「oracle.mds.lcm」→「サーバー:」「NAME_OF_OIM_SERVER」→「アプリケーション: oim」→「MDSAppRuntime」を開きます。
MDSAppRuntimeをクリックします。
「操作」タブをクリックします。
exportMetadataをクリックします。
toLocationプロパティの値を入力します。これによりXMLファイルのエクスポート先ディレクトリを識別できます。例: /home/user/temp
Docsパラメータに対して「編集」をクリックします。
「追加」をクリックして、エクスポートするメタデータ・ファイルへのパスを入力します。例: /db/oim-config.xml.
「起動」をクリックします。

4.7.3 Oracle Enterprise Managerを使用したメタデータ・ファイルのMDSデータベースへのインポート

Oracle Enterprise Managerを使用してメタデータ・ファイルをMDSデータベースにインポートするには:

インポートするメタデータ・ファイルを一時ディレクトリにコピーします。例:
```
/home/user/temp/file/ProvisionResourceADUser.xml
/home/user/temp/file/ModifyResourceADUser.xml
```
IBM WebSphere管理者の資格証明を使用してOracle Enterprise Managerにログインします。
WebSphereセル・リストから「システムMBeanブラウザ」を選択します。
次のエントリ、「アプリケーション定義のMBeans」→「oracle.mds.lcm」→「サーバー:」「NAME_OF_OIM_SERVER」→「アプリケーション: oim」→「MDSAppRuntime」を開きます。
MDSAppRuntimeをクリックします。
「操作」タブをクリックします。
importMetadataをクリックします。
fromLocationプロパティに値を入力します。これはXMLファイルのインポート元のディレクトリを識別します。例: /home/user/temp
Docsパラメータに対して「編集」をクリックします。
「追加」をクリックして、インポートするメタデータ・ファイルの場所を入力します。例: /file/*.xml
「起動」をクリックします。

4.7.4 PurgeCache、UploadJars、DownloadJars、DeleteJars、UploadResourceBundlesおよびDownLoadResourceBundlesユーティリティの使用

この項では、IBM WebSphere上で次のOracle Identity Managerユーティリティを使用する方法について説明します。

PurgeCache.sh: キャッシュ内のすべての要素をパージします。
UploadJars.sh: JARファイルをデータベースにアップロードします。
DownloadJars.sh: JARファイルをデータベースからダウンロードします。
DeleteJars.sh: JARファイルをデータベースから削除します。
UploadResourceBundles.sh: コネクタまたはカスタム・リソース・バンドルをデータベースにアップロードします。
DownLoadResourceBundles.sh: リソース・バンドルをデータベースからダウンロードします。

IBM WebSphere上でこれらのOracle Identity Managerユーティリティを使用するには:

次の環境変数を設定します:
- OIM_ORACLE_HOME: Oracle Identity Managerサーバーをインストールしたディレクトリを識別します。
- WAS_HOME: IBM Websphere Network Deployment Managerをインストールしたディレクトリを識別します。
- JAVA_HOME: Oracle Identity ManagerサーバーのIBM Java Runtimeディレクトリを識別します。

表4-7は、ユーティリティを使用する前にOIM_ORACLE_HOME/server/bin/websphere.propertiesファイルに設定する必要がある値を示します。

表4-7 ユーティリティを使用するためにwebsphere.propertiesファイルに設定する値

プロパティ	値
com.ibm.ws.scripting.port	Oracle Identity ManagerがインストールされたIBM WebsphereサーバーのSOAPポート。 SOAPポートを識別するには: WebSphere管理コンソールにログインします。「Server」→「Server Type」→「WebSphere application servers」→「NAME_OF_OIM_SERVER」の順にクリックします。「Communications」セクションで「Ports」エントリを開きます。 SOAP_CONNECTOR_ADDRESSエントリにリストされた値を使用します。
com.ibm.ws.scripting.host	Oracle Identity Managerがインストールされたシステムのホスト名です。
was_servername	Oracle Identity ManagerがインストールされたIBM Websphereサーバーの名前です。
was_nodename	Oracle Identity ManagerがインストールされたIBM WebSphereノードの名前です。ノード名を識別するには: WebSphere管理コンソールにログインします。「System Administration」→「Nodes」をクリックします。
application_name	アプリケーション名。`oim`と入力します。

エディタを使用してOIM_ORACLE_HOME/server/bin/setEnv.shファイルを開きます。
APP_SERVER=@appserverパラメータを次のように編集します: APP_SERVER=websphere
正しいプロファイルをポイントするようにPROFILE_NAME=@profilenameパラメータを編集します(例: PROFILE_NAME=Dmgr01)。
エディタを使用して、Oracle Identity Managerがインストールされたプロファイルのsas.client.propsファイルを開きます。例:

WAS_HOME/profiles/Dmgr01/properties/sas.client.props

プロパティを次のように編集します。

注意:

Oracle Identity Managerのブートストラップ・アドレスを識別するには、次の手順を実行します。

WebSphere管理コンソールにログインします。
「Server」→「Server Type」→「WebSphere application servers」→「NAME_OF_OIM_SERVER」の順にクリックします。
「Communications」セクションで「Ports」エントリを開きます。
BOOT_STRAP_ADDRESSエントリにリストされた値を使用します。

com.ibm.CORBA.securityServerHost=OIM_HOSTNAME
com.ibm.CORBA.securityServerPort=OIM_BOOTSTRAP_ADDRESS
com.ibm.CORBA.loginSource=none

ユーティリティを実行します。例:

./PurgeCache.sh CATEGORY_NAME
./UploadJars.sh
./DownloadJars.sh
./DeleteJars.sh
./UploadResourceBundles.sh
./DownLoadResourceBundles.sh

画面の指示に従って次の情報を入力します。

Oracle Identity Manager管理者のユーザー名
Oracle Identity Manager管理者のパスワード
サービスのURL。例:

corbaloc:iiop:OIM_HOSTNAME:OIM_SERVER_BOOTSTRAP_ADDRESS
コンテキスト・ファクトリ:

com.ibm.websphere.naming.WsnInitialContextFactory

注意:

JARのアップロード、ダウンロード、削除ユーティリティの一部やUploadResourceBundlesは、実行するJARファイルのタイプや名前、実行対象のカスタム・リソース・バンドルの場所など、追加情報の入力を求めます。

4.7.5 プラグイン登録および登録解除ユーティリティの使用

プラグイン登録ユーティリティを使用して、関連タスクの登録および登録解除できます。プラグイン登録ユーティリティは、OIM_HOME/plugin_utility/ディレクトリにあり、次のファイルを使用します。

pluginregistration.xml
ant.properties

プラグイン登録ユーティリティを使用する前に

次の環境変数を設定します:
- JAVA_HOME: Oracle Identity ManagerサーバーのIBM Java Runtimeディレクトリを識別します。
- ANT_HOME: Apache Antバージョン1.7以上がインストールされているディレクトリを識別します。
  
  注意:
  
  プラグイン登録ユーティリティには、Apache Antバージョン1.7以上が必要です。
- WAS_CELL_HOME: WebSphereセルを表します。
- PROFILE_NAME: カスタム・プロファイル名を表します。

WAS_HOMEおよびOIM_HOMEのant.propertiesを編集します。例:

was.home=/test/WAS110912/IBM/WebSphere/AppServer
oim.home=/test/WAS110912/Oracle_IDM1/server
login.config=${oim.home}/config/authws.conf

プラグインの登録

プラグインを登録するには、antターゲット登録コマンドを実行します。例:

ant -f  pluginregistration.xml register

次の情報の入力が求められます。

Oracle Identity Manager管理者のユーザー名およびパスワード。

サービスURL。例:

corbaloc:iiop:OIM_HOSTNAME:OIM_SERVER_BOOTSTRAP_ADDRESS

コンテキスト・ファクトリ。例:

com.ibm.websphere.naming.WsnInitialContextFactory

プラグイン・ファイルのフル・パスおよび完全名。例:
```
/test/pluginsfolder/plugins.zip
```
注意:

プラグイン・ファイルに関する情報を指定した後に、oimrealmなどの追加情報の入力を求められます。

プラグインの登録解除

プラグインの登録を解除するには、antターゲット登録解除コマンドを実行します。例:

ant -f  pluginregistration.xml unregister

次の情報の入力が求められます。

Oracle Identity Manager管理者のユーザー名およびパスワード。

サービスURL。例:

corbaloc:iiop:OIM_HOSTNAME:OIM_SERVER_BOOTSTRAP_ADDRESS

コンテキスト・ファクトリ。例:

com.ibm.websphere.naming.WsnInitialContextFactory

プラグイン・パッケージの完全クラス名例:
```
oracle.iam.scheduler.LongJob
```
注意:

パッケージのクラス名を入力すると、oimrealmなどの追加情報の入力を求められます。

4.7.6 IBM WebSphere上でのOracle Identity ManagerによるSOAコンポジットの登録

Oracle SOAスイートは、Oracle Identity Managerに登録してから承認プロセスとして使用する必要があります。SOAコンポジットを登録する手順は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のOracle Identity ManagerによるSOAコンポジットの登録に関する項を参照してください。ただし、この手順はOracle WebLogic Server上のOracle Identity Manager用に開発されました。その情報をIBM WebSphere上のOracle Identity Managerに使用するには:

登録する前に

エディタを使用してOIM_ORACLE_HOME/server/bin/setEnv.shファイルを開きます。
APP_SERVER=@appserverパラメータを次のように編集します: APP_SERVER=websphere
Oracle Fusion MiddlewareがインストールされたディレクトリをポイントするようにMW_HOME=@mwhomeパラメータを編集します。

antスクリプトの実行

WAS_HOME/bin/ws_ant.shを実行します。例:

$WAS_HOME/bin/ws_ant.sh -f registerworkflows-mp.xml register

4.8 IBM WebSphere上でのアイデンティティ証明の理解

この項では、Oracle Identity Managerの証明の管理者が実行する必要があるアイデンティティ証明タスクについて説明します。証明書を作成する前に、アクセス・カタログ内のアーティファクトのビジネス・メタデータの構成について、第4.8.8項「アイデンティティ証明の前提条件」およびアクセス・カタログ管理に関する章を参照してください。

この項では、IBM WebSphereアプリケーション・サーバー上のOracle Identity Managerに関する証明情報について説明します。内容は次のとおりです。

アイデンティティ証明の構成
マルチフェーズ・レビューと高度な委任機能
リスクの総括および計算方法の理解
証明書の作成
証明書のスケジュール設定
クローズド・ループ是正および是正の追跡の理解
Excelベースの証明サインオフのためのADFDiプラグインのインストール
アイデンティティ証明の前提条件

4.8.1 アイデンティティ証明の構成

証明書を新規作成する前に、作成されるすべての証明書に適用されるグローバル構成の設定を適用できます。これらの構成の設定は、チェック・ボックスをクリックしてから「Save」ボタンを選択することにより適用できます。表4-8は、一般構成の設定を示します。表4-9は、グローバル構成の設定を示します。

注意:

一般構成の設定が変更されても、既存の証明書は影響を受けません。

表4-8 一般構成の設定

名前	説明
Password required on sign-off	このオプションを選択すると、証明書の確認者はサインオフ・ボタンをクリックするか証明書の確認を完了するときに資格証明を入力する必要があります。
Allow comments on certify operations	このオプションを選択すると、レビューアは、証明対象ユーザーのアクセス詳細について証明決定の後に、テキスト・ボックスにコメントを入力できます。
Allow comments on all non-certify operations	このオプションを選択すると、レビューアは、証明対象ユーザーのアクセス詳細について非証明決定(つまり、失効、不明、許可された例外など)の後に、テキスト・ボックスにコメントを入力できます。
Verify employee access	このオプションを選択すると、ユーザー証明ページ1サマリー・ビューが表示されます。選択しないと、ページ1はレビューアに表示されず、デフォルトですべてのユーザーにクレームが付きます。
Prevent self certification	このオプションを選択すると、レビューアのアクセス権限は証明の移入に含まれなくなります。実際にレビューアが証明の移入の一部である場合、そのレビューアのアクセス権限は別のレビューアを選択することにより自動的に新しい証明を受け取るレビューアにルーティングされます。
User and Account Selections	このオプションは、証明内でのユーザーとアカウントのプレゼンテーションを、選択可能な3つのオプションによって制御します。 Include only active users and active accounts Include any user with active accounts Include all users and all accounts
Allow advanced delegation	このオプションを選択すると、証明のレビューアはユーザーを別のレビューアに委任できます。このオプションの選択しないと、レビューアは委任などの高度な委任オプションを使用できません。詳細は、第4.8.2.2項「高度な委任機能」を参照してください。
Allow multi-phased review	このオプションを選択すると、マルチフェーズ証明書レビュー・キャンペーンを生成できます。このオプションは、ユーザー証明にのみ適用されます。詳細は、第4.8.2項「マルチフェーズ・レビューと高度な委任機能」を参照してください。
Allow reassignment	このオプションを選択すると、証明のレビューアは別のレビューアにユーザーを再割当てできます。このオプションを選択しないと、レビューアは再割当てなどの高度な委任オプションを使用できません。
Allow auto-claim	このオプションを選択すると、証明の最初の段階で自動的にすべてのユーザーにクレームを付けます。これはユーザーだけでなく、ロール証明のロール、アプリケーション・インスタンス証明のアプリケーション・インスタンス、エンタイトルメント証明のエンタイトルメント、ユーザー証明のユーザーに適用されます。
Perform closed loop remediation	このオプションを選択すると、証明書の完了後に、証明内で取り消されたユーザーのすべてのアクセス権限が、すべての接続または非接続アプリケーションおよびリソースに対してOracle Identity Managerを使用して直接プロビジョニング解除されます。このオプションを選択しないと、自動是正処理は行われません。

注意:

グローバル構成設定は、変更時に既存の証明に適用されます。

表4-9 グローバル設定

名前	説明
Enable Interactive Excel	このオプションを選択すると、レビューアによる証明のサインオフ中に「Actions」メニューに「Download to Editable Excel」リンクが表示されます。このボタンをクリックすることにより、レビューアは編集可能なEXCELファイルに証明全体をダウンロードして、オフラインで完成させることができます。

4.8.2 マルチフェーズ・レビューと高度な委任機能

このリリースの証明に関する最も顕著な改善は、共同証明またはマルチフェーズ・レビューの導入です。共同証明には2つの主要な側面があります。

マルチフェーズ・レビュー
高度な委任機能

4.8.2.1 マルチフェーズ・レビュー

マルチフェーズ・レビューでは、ビジネス分野のレビューアとテクニカル・レビューアの両方の観点を組合せるために、両分野の専門知識が駆使されます。マルチフェーズ・レビューには3つのフェーズが含まれます。

フェーズ1: ビジネス・レビューは必須の第1フェーズです。通常、ビジネス・レビューアは、各ユーザーの管理者で、そのユーザーのすべての(証明可能な)アクセス権限を表示できます。管理者は最初に、ユーザーが権限の有効な保持者であること、たとえば、ユーザーが会社の従業員であることを確認します。次に、ユーザーの社内でのポジションがユーザーのアクセス権限、つまり、ロールの割当て、アカウントおよびエンタイトルメントの割当てを正当化することを確認します。
フェーズ2: テクニカル・レビューはオプションの第2フェーズです。テクニカル・レビューアは、各権限の証明者であり、権限のメンバーを検査します。
最終検査はオプションの最終フェーズです。証明で最終検査が有効に設定されている場合、第1フェーズのプライマリ・レビューアは、最初の2つのフェーズでの決定を表示し、必要に応じてそれらの決定を無効にできます。

4.8.2.2 高度な委任機能

高度な委任により、全体的責任を保持しながら、決定を他のユーザーに委任することができます(帯域幅の理由により)。

フェーズ1またはフェーズ2のプライマリ・レビューアは、作業を他のユーザーに広げることができます。これは委任または再割当てを通して可能になります。プライマリ・レビューアは、明細項目の任意のセット(証明のページ1の任意の項目)を、自身が選択した任意のユーザーに委任することができます。プライマリ・レビューアは、明細項目の任意のセットに対する責任を別のユーザーに再割当てすることもできます。再割当てされた項目は現在の証明書から削除され、それらの項目によって新しい証明書が生成されます。委任された項目に対する責任はまだ、プライマリ・レビューアにあります。

4.8.3 リスク・サマリーの計算方法の理解

ロール、アプリケーション・インスタンス、エンタイトルメント、および定義済のリスク要因に対して、高、中、低のリスク・レベルを直接割り当てることができます。リスク集約ジョブは、アイデンティティ証明機能をサポートするために必要な残りの上位データ・オブジェクトのためのリスク・サマリーを計算します。これらのオブジェクトには、アクセス・カタログの中のすべてのユーザー、ユーザー・ロールの割当て、アカウントおよびエンタイトルメントの割当てが含まれます。アイデンティティ証明の間に、証明者またはレビューアはリスク・サマリーを使用して高リスク証明項目を中および低リスク項目から分別します。

この項では、システムがリスク・レベルからリスク・サマリーを生成するプロセスについて説明します。手動または定期的に実行できるリスク集約ジョブについても説明します。

注意:

Oracle Identity Managerでは、ロール、アプリケーション・インスタンス、およびエンタイトルメント(エンタイトルメントの定義)はメタデータ・オブジェクトであり、ユーザー、アカウント、エンタイトルメントの割当てはインスタンスデータ・オブジェクトです。「構造」オブジェクトなどのメタデータ・オブジェクトは、Oracle Identity Manager内でユーザーの情報システムを表し、説明します。インスタンスデータ・オブジェクトは、その情報システムに挿入されるアプリケーション・データの個別インスタンスです。たとえば、ユーザーにトラブル・チケット(エンタイトルメント)の作成を可能にする定義済ロールを持つ顧客サービス・アプリケーション(リソース)を考えてみてください。この例では、単一のリソース・オブジェクトはアプリケーションを表し、単一のエンタイトルメント・オブジェクトはそのアプリケーション内の特定の権限を表します。このリソース上には何千ものユーザー・アカウントがある可能性があります。その一部のサブセットはユーザーにトラブル・チケットの作成を可能にするエンタイトルメントの割当てを持っているものとします。アクセス・カタログの中の、アカウント・オブジェクトは各ユーザー・アカウントを表し、エンタイトルメントの割当てオブジェクトはエンタイトルメントの割当ての各インスタンスを表します。これは、メタデータ・オブジェクトとインスタンス・データ・オブジェクトとの間に存在する1対多の関係を示しています。単一リソース(メタデータ・オブジェクト)は複数のアカウント(インスタンスデータ・オブジェクト)を持つことができ、単一エンタイトルメント(メタデータ・オブジェクト)は、複数の割当てインスタンス(インスタンスデータ・オブジェクト)を持つことができます。アクセス・カタログ内のすべてのユーザー、アカウント、およびエンタイトルメントの割当てのリスク・レベルを手作業で繰り返し計算するのは現実的ではありません。その代わりとして、Oracle Identity Managerソリューションがインスタンスデータ・オブジェクトのリスク・レベルを計算します。

項目のリスクは、システム管理者がアクセス・カタログ内の特定のロール、アプリケーション・インスタンス、およびエンタイトルメントに割り当てられるリスク・レベルを意味します。項目のリスクをメタデータ・オブジェクトに割り当てる方法は他にもありますが、直接割り当てる方法が最も一般的です。

UIの中のメタデータ・オブジェクトに対する項目のリスク・レベルの割当ては簡単です。それには、アクセス・カタログ内でオブジェクトを見つけて開き、下の詳細ペインから「High」、「Medium」または「Low」のリスク設定を選択します。アクセス・カタログ内のメタデータ・オブジェクトに項目のリスク・レベルを直接割り当てない場合は、システムによってデフォルトの項目のリスク・レベルが割り当てられます。ロール、アプリケーション・インスタンス、およびエンタイトルメントは、それぞれにデフォルト値を持ちます。項目のリスク・レベルのデフォルト値は、「Risk Mapping」ページを使用して設定できます。

一般的に、非常に限定された権限をユーザーに与えるメタデータ・オブジェクトに対して、高レベルの項目のリスクを予約しておくことをお薦めします。高レベルの項目のリスクをオブジェクトに設定すると、その親オブジェクトのリスク・サマリーも高い値に設定されることに注意してください。同様に、中レベルの項目のリスクをオブジェクトに設定すると、その親オブジェクトのリスク・サマリーも中程度の値に設定されます。システム階層内の上位オブジェクトのリスク・サマリーを低い値に設定するには、そのオブジェクトより下のオブジェクトのリスクを低く設定する必要があります。

リスク・ファクタ・マッピングは、Oracle Identity Manager内でリスク・レベルを特定の定義済条件にマップさせる設定です。一般的に、非正規または危険なユーザーに権限が適用される可能性がある条件に対して、高レベルのリスク・ファクタを予約しておくことをお薦めします。Oracle Identity Managerには2つのリスク・ファクタ・カテゴリがあり、それぞれのカテゴリが複数の設定を含みます。リスク・ファクタ・カテゴリについて以下に説明します。

プロビジョニング・シナリオは、Oracle Identity Managerによるロール、アカウント、またはエンタイトルメントのユーザーへの割当てに使用されるメソッドまたはメカニズムと関連付けられるリスク・レベルを定義します。たとえば、システム管理者によって直接プロビジョニングされたオブジェクトに高いリスク・レベルを設定し、ロールと関連するポリシーに基づいてプロビジョニングされたオブジェクトに低いリスク・レベルを設定できます。

前回の証明アクションは、アカウント、エンタイトルメントの割当てまたはユーザーロールの割当ての前回の証明のステータスに基づいてリスク・レベルを定義します。たとえば、前回の証明決定が承認されたすべての項目に低リスク・レベルを設定し、前回の証明決定が条件付きで承認されたすべての項目に中リスク・レベルを設定します。最後に、前回の証明決定が棄権または失効だったすべての項目に高リスク・レベルを設定します。

リスク集約ジョブは、項目のリスク・レベルとリスク・ファクタ・レベルを処理し、アイデンティティ証明をサポートする各上位オブジェクトのリスク・サマリーを計算します。

リスク集約の第1段階で、リスク集約ジョブは個別オブジェクトの項目のリスク・レベルと、その3つのリスク・ファクタ・レベルを評価し、4つのレベルの内の最高レベルをオブジェクトのリスク・サマリー・プロパティに割り当てます。リスク・サマリー値は、ユーザー・オブジェクト、ユーザーロール割当てオブジェクト、アカウント・オブジェクト、およびエンタイトルメントの割当てオブジェクトのそれぞれについて個別に計算されます。

アクセス・カタログ内のすべてのオブジェクトについてリスク・サマリーが計算されると、リスク集約の第2段階が始まります。各オブジェクトのリスク・サマリーが、そのオブジェクトを含む親オブジェクトのリスク・サマリーへとロール・アップされます。

エンタイトルメントの割当てレベル以上で、各データ・オブジェクトのリスク・サマリー値は、そのオブジェクトを含む親オブジェクトのリスク・サマリーに貢献します。たとえば、アカウント・オブジェクトは、エンタイトルメントの割当てオブジェクトより1レベル上の階層に上り、ユーザー・オブジェクトは従来より1レベル上の階層に上がります。このため、アカウント・オブジェクト内のすべてのエンタイトルメントの割当てオブジェクトのリスク・サマリーは、そのアカウントのリスク・サマリーに貢献し、同様に、ユーザー・オブジェクト内のすべてのアカウント・オブジェクトのリスク・サマリーはそのユーザーのリスク・サマリーに貢献します。

ユーザー・オブジェクトも、ユーザーロール割当てオブジェクトの1レベル上の階層に上がります。すべてのユーザーロール割当てオブジェクトのリスク・サマリーがそのユーザーのリスク・サマリーに貢献します。リスク・ジョブはデフォルトで有効になっていないため、リスクは評価されません。有効にするには、スケジューラ・メニューを表示し、リスク・ジョブを見つけて有効にする必要があります。ジョブは定義された期間に実行されます。

4.8.4 証明の作成

すべての証明定義は、Oracle Identity Manager管理コンソールで一元管理されます。

証明定義を新規作成するには:

Oracleアイデンティティ・システム管理に管理権限でログインします。
「証明」→「証明の定義」→「作成」の順に選択します。
ウィザードに従って次の手順を実行します。

ウィザードに従って実行する手順は次のとおりです。

証明のタイプ
基本選択
コンテンツ選択
構成
レビューア
増分
サマリー

4.8.4.1 証明のタイプ

証明の名前、種類、および説明を入力します。レビューア別に4種類の証明オプションがあります。

ユーザー: ビジネス・マネージャが彼らの直属の部下のレポートおよび彼らのアクセス権限を証明できるようにします。
アプリケーション・インスタンス: アプリケーション・インスタンス所有者が、所有するアプリケーション・インスタンス内のアカウントを持つユーザーを証明できるようにします。
エンタイトルメント: エンタイトルメントの所有者が、所有するエンタイトルメントにアクセスするユーザーを審査できるようにします。
ロール: ロール所有者が、ロール・メンバーシップおよび関連するロール定義(つまり、アクセス・ポリシー)を証明できるようにします。

4.8.4.2 基本選択

これらのオプションは、選択された証明の種類により異なります。ユーザー証明の場合、企業に属すユーザーや特定の検索条件に基づくユーザーを選択できます。ユーザーの移入が完了すると、選択の制約を異なるリスク・レベルのユーザーや、ユーザー、ユーザーがアクセスできるロール、アプリケーション・インスタンス、およびエンタイトルメントに関するリスク・サマリーに適用できます。

4.8.4.3 コンテンツ選択

一度移入が選択されると、コンテンツ選択オプションにより、次の対象を含めたり、除外することができます: すべてのアカウントを持つユーザー、多様なリスク・レベルのロールまたは選択されたロールのみ、多様なリスク・レベルのアプリケーション・インスタンスまたは選択されたアプリケーションのみ、多様なリスク・レベルのエンタイトルメントまたはロール外部のエンタイトルメントおよび選択されたエンタイトルメントのみ。これらのオプションはレビュー中にレビューアに提供されるアクセス権限を制御します。

4.8.4.4 構成

これらは各証明定義に関する構成設定です。表4-8「一般的な構成設定」で説明されているグローバル構成設定とは無関係です。これらはレイアウトと各証明定義に関連する特定のアクションを制御する一般設定であり、その証明定義のみに適用されます。

4.8.4.5 レビューア

これはレビューアの選択に関する手順です。証明の種類により、レビューアの選択オプションが異なります。ユーザー証明の場合は、ユーザー・マネージャ、組織証明者または選択されたユーザー(検索を使用)を使用して証明定義にレビューアを指定することができます。マルチフェーズ・レビューの詳細は、第4.8.2項「マルチフェーズ・レビューと高度な委任機能」を参照してください。

4.8.4.6 増分

この手順では、証明の種類が「増分」かどうかを制御します。「有効」が選択されると、証明定義で以前の証明サイクル以降に変更されたユーザー・アクセス権限が考慮されます。「以前の値を表示」が「有効」だと、以前に証明されたユーザー・アクセス権限も表示されますが、それらは自動的に証明済になります。「増分日付範囲」も指定できます。

4.8.4.7 サマリー

管理者がレビュー目的でウィザードをナビゲートすると、このページに選択された多様な構成オプションの概要が示されます。「戻る」ボタンをクリックすると、構成アクションを変更できます。「作成」をクリックすると、証明定義が生成され、定義を実行するためのジョブがスケジュール設定され、そのジョブが実行されます。これにより、レビューの直後に定義に基づいて証明が作成されます。

4.8.5 証明のスケジュール設定

証明定義が作成されると、ジョブが自動的にスケジュールされ、ただちに実行が設定されます。これにより、定義に基づく最初の証明が作成されます。後で再度定義を実行して証明を再作成したり、定義の実行スケジュールを設定するには、「スケジューラ」ページを使用できます。

証明定義の実行を特定の時間にスケジュールするには:

「システム管理」→「スケジューラ」の順に選択して、証明定義を見つけます。
証明定義を選択します。右側のペインに、設定可能な様々なスケジュール・オプションが表示されます。スケジュール・オプションは次のとおりです。
1. 周期的: 周期的に証明を実行します。
2. cron: 管理者が希望する時間に証明を実行するためのcron式を設定できるようにします。
3. 1回: 証明を1回実行します。
4. 事前定義済スケジュールなし: 証明を実行しません。
5. 即時実行: 証明定義ジョブをただちに実行します。
「適用」をクリックして、証明定義ジョブ・スケジューラに変更を適用します。

4.8.6 クローズド・ループ是正および是正の追跡の理解

クローズド・ループ是正は、証明プロセスで取り消されたロールやエンタイトルメントの結果として、Oracle Identity Managerプロビジョニング・ソリューションからロールやエンタイトルメントを直接取り消すことができる機能です。是正ステータスは、監査目的のため是正追跡モジュールで追跡することができます。

是正の自動化のためにクローズド・ループ是正を有効にする方法は、第4.8.1項「アイデンティティ証明の構成」を参照してください。

完了した証明で無効にされたすべてのアクセス権限の是正ステータスは、追跡IDを使用して証明ダッシュボードで追跡できます。追跡IDをクリックすると、Oracle Identity Manager (リクエスト追跡)での証明の是正ステータスが表示されます。

切断されたすべてのアプリケーション・インスタンスについて、Oracle Identity Managerでワークフローを構成し、無効にされたアクセス権限をチケット・システムか管理者にルーティングして手動で無効にできます。

4.8.7 Excelベースの証明サインオフのためのADFDiプラグインのインストール

アイデンティティ証明をオフライン・サインオフのためにExcelファイルにエクスポートするには、Microsoft ExcelをサポートするADFデスクトップ統合プラグインがクライアント・システム上にインストールされている必要があります。プラグインのダウンロード、インストールおよび構成の手順は以下を参照してください。

DIランタイム・エディションのセットアップ手順:

http://docs.oracle.com/cd/E26098_01/web.1112/b66718/ap_enduseractions.htm#CIHJABEJ

DIデザインタイム・エディションのセットアップ手順:

http://docs.oracle.com/cd/E26098_01/web.1112/b66718/inst_conf_dev_env.htm#CHDHJIIG

4.8.8 アイデンティティ証明の前提条件

ユーザー・アカウントおよびエンタイトルメントを含む証明を作成するには、Oracle Identity Managerにインストールされた各コネクタに次の前提手順を実行する必要があります。

Oracle Identity Manager Design Consoleにログインします。
「開発ツール」の下で、「フォーム・デザイナ」をクリックします。
「検索」をクリックします。これにより使用可能なすべてのフォームがリストされたフォーム・デザイナ表が表示されます。
システムにインストールされたコネクタのそれぞれに親フォームを選択します。親フォームには、ターゲット・システム内のアカウント名を格納する「ユーザーID」フィールドがあります。たとえば、UD_ADUSER、UD_EBS_USERなど。
フォームを選択すると、新しく「フォーム・デザイナ」タブが開きます。
「新しいバージョンの作成」をクリックします。ポップアップ・ウィンドウに、たとえば「v2」などの名前を入力します。
「保存」をクリックして、ポップアップ・ウィンドウを閉じます。
「現行バージョン」ドロップ・ダウンで、新しく作成されたバージョン「v2」が選択されていることを確認し、「プロパティ」タブをクリックします。
ターゲット・システム内でアカウントを一意に識別するフィールドを見つけます。つまり、UserID、UserName、AccountNameは定義済コネクタ内の典型的なフィールドです。
「プロパティの追加」をクリックして、AccountName = trueプロパティ設定を追加します。
ITResourceフィールド(大半のコネクタはこれをITResourceLookupFieldプロパティで識別します)を見つけて、「プロパティの追加」をクリックし、ITResource = trueプロパティ設定を追加します。
親フォームを保存して、「バージョンのアクティブ化」をクリックします。
各リソースに繰り返します。