| Oracle® Fusion Middleware Oracle Identity Manager管理者ガイド 11g リリース1 (11.1.1) B62264-04 |
|
 前 |
 次 |
Oracle Identity ManagerをOracle Access Manager (OAM)などの他のアプリケーションと統合してデプロイし、これらのアプリケーションで構成変更を行うと、Oracle Identity ManagerやOracle WebLogic Serverで様々な構成変更が必要になります。次の項では、これらの構成変更について説明します。
Oracle Identity Mangerでは、構造上およびミドルウェアの要件により、様々なホスト名とポートが構成に使用されています。この項では、統合された依存アプリケーションでの変更に対応して、Oracle Identity ManagerおよびOracle WebLogicで構成変更を行う方法について説明します。
この項には次のトピックが含まれます:
この項では、データベースのホスト名とポート番号が使用される構成エリアについて説明します。
Oracle Identity Managerのインストール後に、データベースのホスト名またはポート番号を変更した場合は、次の変更が必要になります。
|
注意: データベースのホストおよびポートを変更する前に、Oracle Identity Managerをホストする管理対象サーバーを停止してください。ただし、Oracle WebLogic管理サーバーは稼動したままでかまいません。 |
データソースoimJMSStoreDSの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→oimJMSStoreDSに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
データソースoimOperationsDBの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→oimOperationsDBに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
Oracle Identity Managerのメタデータ・ストア(MDS)構成に関連するデータソースを変更するには:
「サービス」→「JDBC」→「データ・ソース」→mds-oimに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
OIMAuthenticationProviderの構成を変更するには:
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→「プロバイダ」に移動します。
「OIMAuthenticationProvider」をクリックします。
「プロバイダ固有」をクリックします。
ホスト名とポートの変更に合わせて、DBUrlフィールドの値を変更します。
|
注意: サービス指向アーキテクチャ(SOA)やOracle Web Services Manager (OWSM)で構成変更を行うと、SOAまたはOWSMに関連するデータソースにも同様の変更を行う必要があります。 |
データソースの変更後、Oracle WebLogic管理サーバーを再起動し、Oracle Identity Managerの管理対象WebLogicサーバーを起動します。
|
注意: Enterprise Management(EM)コンソールからOIM App Config MBeansを使用してOracle Identity Managerアプリケーションの構成情報を変更する場合は、少なくとも1つのOracle Identity Manager管理対象サーバーが稼動している必要があります。稼動していない場合、EMコンソールからOIM App Config MBeansを確認できません。 |
DirectDBの構成を変更するには:
次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「アプリケーション定義のMBeans」の下の「システムMBeanブラウザ」に移動します。
「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DirectDBConfig」→「DirectDB」に移動します。
ホストとポートの変更に合わせてURL属性に新しい値を入力し、変更を適用します。
|
注意: Oracle Identity Managerの単一インスタンスのデプロイメントをOracle Real Application Clusters (Oracle RAC)に変更する場合、またはOracle RACを単一インスタンスのデプロイメントに変更する場合は、oimJMSStoreDS、 oimOperationsDBおよびmds-oimデータソースを変更してください。これらのデータソースをマルチデータソース構成に変更するための一般的な変更に加えて、OIMAuthenticationProviderとドメイン資格証明ストア構成をOracle RACのURLに合わせて変更してください。これらの一般的な変更の詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。 |
LDAP同期が有効な場合、Oracle Identity Managerは、Oracle Virtual Directory (OVD)を介してディレクトリ・サーバーに接続します。この接続は、LDAP/LDAPSプロトコルを使用して行われます。
OVDのホストとポートを変更するには:
Oracle Identity Manager管理にログインします。
「拡張」をクリックします。
「構成」の下の「ITリソースの管理」をクリックします。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ディレクトリ・サーバーのITリソースを編集します。これを行うには、次のようにします。
「SSLの使用」フィールドの値がFalseに設定されている場合は、サーバーURLフィールドを編集します。「SSLの使用」フィールドの値がTrueに設定されている場合は、「サーバーSSLのURL」フィールドを編集します。
「更新」をクリックします。
この項の内容は次のとおりです。
|
注意: Oracle Identity Managerの追加ノードを追加または削除する場合は、この項で説明する手順を実行して、Oracle Identity Managerのホストとポートの変更を構成してください。 |
OimFrontEndURLは、Oracle Identity Manager UIにアクセスするために使用するURLです。これは、アプリケーション・サーバーでロード・バランサまたはWebサーバーが使用されている場合は、それに応じてロード・バランサURLまたはWebサーバーURL、そうでない場合は単一アプリケーション・サーバーURLです。これはOracle Identity Managerによって、通知メールやSOA呼び出しのコールバックURLに使用されます。
クラスタ化環境でのOracle Identity ManagerデプロイメントのWebサーバー用ホスト名またはポートの変更、または非クラスタ化環境でのOracle Identity ManagerデプロイメントのWebLogic管理対象サーバー用ホスト名またはポートの変更により、変更が必要になる場合があります。
Oracle Identity Manager構成のOimFronEndURLを変更するには:
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
OimFrontEndURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。たとえば次のような値を入力できます。
http://myoim.oracle.com
https://myoim.oracle.com
http://myserver.oracle.com:7001
|
注意: SPMLクライアントには、SPMLの起動とコールバック・レスポンスの送信用にOracle Identity Manager URLが格納されています。そのため、これに対応した変更が必要になります。また、Oracle Identity ManagerがOAM、OAAMやOracle Identity Navigator (OIN)と統合されている場合は、これに対応した変更が必要になる場合もあります。詳細は、Oracle Technology Network (OTN) WebサイトにあるOAM、OAAMおよびOINのドキュメントを参照してください。 |
backOfficeURLの変更は、Oracle Identity Managerがフロントオフィス構成およびバックオフィス構成にデプロイされる場合のみ必要になります。この変更は、単純なクラスタ化デプロイメントまたは非クラスタ化デプロイメントには適用されません。このURLは、フロントオフィス・コンポーネントからバックオフィス・コンポーネントにアクセスするために、Oracle Identity Managerで内部的に使用されます。バックオフィスにサーバーを追加する場合や、バックオフィスからサーバーを削除する場合は、バックオフィス構成およびフロントオフィス構成の実装中にこの属性の値を変更します。
backOfficeURL属性の値を変更するには:
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
BackOfficeURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。たとえば次のような値を入力できます。
t3://mywls1.oracle.com:8001
t3://mywls1.oracle.com:8001,mywls2.oracle.com:9001
|
注意: Oracle Identity Managerの非クラスタ化およびクラスタ化デプロイメントでは、BackOfficeURL属性の値を空にする必要があります。 |
Oracle Identity Manager管理コンソールまたはユーザー・コンソールから単純なリンクをクリックすると、BI Publisherにレポート目的でアクセスできます。このURLは、Oracle Identity Manager側の構成値に基づいたものです。BI Publisherでホストとポートが変更されると、Oracle Identity Managerで次の変更を行う必要があります。
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
BIPublisherURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
|
注意: 追加のSOAノードを追加または削除したときには、この手順を実行してSOAのホストとポートを変更してください。 |
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SOAConfig」→「SOAConfig」に移動します。
Rmiurl属性とSoapurl属性の値を変更し、「適用」をクリックして変更を保存します。
Rmiurl属性は、SOA管理対象サーバーにデプロイされたSOA EJBにアクセスするために使用されます。これは、アプリケーション・サーバーのURLです。Oracle Identity Managerのクラスタ化デプロイメントの場合は、すべてのSOA管理対象サーバーURLのカンマ区切りのリストです。この属性の値は、たとえば次のようになります。
t3://mysoa1.oracle.com:8001
t3s://mysoa1.oracle.com:8001,mysoa2.oracle.com:8002
t3://mysoa1.oracle.com:8001,mysoa2.oracle.com:8002,mysoa3.oracle.com:8003
Soapurl属性は、SOA管理対象サーバーにデプロイされたSOA Webサービスにアクセスするために使用されます。これは、Webサーバーおよびロード・バランサをフロントエンドに使用するSOAクラスタの場合は、WebサーバーURLおよびロード・バランサURLです。単一SOAサーバーの場合は、アプリケーション・サーバーURLです。
この属性の値は、たとえば次のようになります。
http://myoimsoa.oracle.com
http://mysoa.oracle.com:8001
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SSOConfig」→「SSOConfig」に移動します。
必要に応じて、AccessServerHost属性とAccessServerPort属性およびその他の属性の値を変更し、「適用」をクリックして変更を保存します。
Oracle Identity Manger構成では、構造上の要件やミドルウェア要件を満たすために、様々なパスワードが使用されます。この項では、デフォルトのパスワードと、依存製品または統合された製品でパスワードが変更された場合の、Oracle Identity MangerおよびOracle WebLogic構成のパスワードの変更方法について説明します。
この項の内容は次のとおりです。
Oracle WebLogic管理者パスワードを変更するには:
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」→「myrealm」→「ユーザーとグループ」→「weblogic」→「パスワード」に移動します。
「新規パスワード」フィールドに、新しいパスワードを入力します。
「新規パスワードの確認」フィールドに、新しいパスワードを再入力します。
「適用」をクリックします。
Oracle Identity Managerのインストール中に、インストーラによりOracle Identity Managerの管理者パスワードの入力を求められます。この管理者パスワードは、必要に応じてインストール完了後に変更できます。変更するには、Oracle Identity Managerセルフ・サービスにOracle Identity Manager管理者としてログインする必要があります。管理者パスワードの変更方法については、Oracle Fusion Middleware Oracle Identity Managerユーザーズ・ガイドの認証ユーザーのセルフ・サービスに関する項を参照してください。
|
注意: OAMまたはOAAMがOracle Identity Managerに統合されている場合は、これらのアプリケーションで対応する変更を行う必要があります。詳細は、次のURLのOracle Technology Network (OTN) WebサイトにあるOAMおよびOAAMのドキュメントを参照してください。
|
Oracle Identity Managerは、2つのデータベース・スキーマを使用して、Oracle Identity Managerの操作および構成データを格納します。Oracle Identity Manager MDSスキーマを使用して構成関係の情報を格納し、Oracle Identity Managerスキーマを使用してその他の情報を格納します。スキーマ・パスワードを変更すると、Oracle Identity Manager構成も変更する必要があります。
Oracle Identity Managerデータベース・パスワードを変更すると、次の変更を行う必要があります。
|
注意: データベース・パスワードを変更する前に、Oracle Identity Managerをホストする管理対象サーバーを停止してください。ただし、Oracle WebLogic管理サーバーは稼動したままでかまいません。 |
データソースoimJMSStoreDSの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
データソースoimOperationsDBの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
Oracle Identity Manager MDSに関連するデータソースの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→「mds-oim」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Manager MDSデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
|
注意:
|
OIMAuthenticationProviderの構成を変更するには:
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→「プロバイダ」に移動します。
「OIMAuthenticationProvider」をクリックします。
「プロバイダ固有」をクリックします。
「DBPassword」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
ドメインの資格証明ストアの構成を変更するには:
次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「WebLogicドメイン」→DOMAIN_NAMEに移動します。
「OIM」を右クリックし、「セキュリティ」→「資格証明」→「OIM」に移動します。
「OIMSchemaPassword」を選択し、「編集」をクリックします。
「パスワード」フィールドに新しいパスワードを入力し、「OK」をクリックします。
Oracle Identity Managerデータベース・パスワードを変更したら、WebLogic管理サーバーを再起動します。またOracle Identity managerが管理するWebLogicサーバーも同様に起動します。
インストール・プロセスでは、Oracle Identity Managerインストーラによって複数のパスワードが格納されます。資格証明ストア・フレームワーク(CSF)には様々な値がキーおよび値として格納されています。表12-1にキーとその対応する値を示します。
表12-1 CSFキー
| キー | 説明 |
|---|---|
|
DataBaseKey |
データベースの暗号化に使用されるキーのパスワード。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
.xldatabasekey |
データベース暗号化キーを格納するキーストアのパスワード。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
xell |
xellキーのパスワードで、Oracle Identity Manager コンポーネント間の通信を保護するために使用されます。Oracle Identity Managerインストーラによって生成されるデフォルトのパスワードは、xellerateです。 |
|
default_keystore.jks |
JKSキーストアdefault_keystore.jksのパスワードで、DOMAIN_HOME/config/fmwconfig/ディレクトリにあります。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
SOAAdminPassword |
パスワードはインストーラで「SOA管理者パスワード」フィールドに入力されたユーザー入力値です。 |
|
OIMSchemaPassword |
Oracle Identity Managerデータベース・スキーマに接続するためのパスワードです。パスワードはインストーラで「OIMデータベース・スキーマのパスワード」フィールドに入力されたユーザー入力値です。 |
|
JMSKey |
パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
CSFキーの値を変更するには:
Enterprise Managerにログインします。
ドメインを右クリックします。
「セキュリティ」→「資格証明」に移動します。
「OIM」を展開します。Oracle Identity Managerのキーと値のすべてのペアのリストが表示されます。この値を編集して変更できます。
この項では、Oracle Identity Manager、およびOracle Identity Managerが相互作用して安全な通信を確立するコンポーネントの鍵の生成、証明書への署名およびエクスポート、SSL構成の設定について手順を説明します。内容は次のとおりです。
keytoolコマンドを使用して、秘密と公開の証明書のペアを生成できます。
次のコマンドでは、アイデンティティ・キーストア(support.jks)が作成されます。
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
keytool -genkey -alias support -keyalg RSA -keysize 1024 -dname "CN=localhost, OU=Identity, O=Oracle Corporation,C=US" -keypass weblogic1 -keystore support.jks -storepass weblogic1
作成した証明書に署名するには、次のkeytoolコマンドを使用します。
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
./keytool -selfcert -alias support -sigalg MD5withRSA -validity 2000 -keypass weblogic1 -keystore support.jks -storepass weblogic1
証明書をアイデンティティ・キーストアからファイル(supportcert.pemなど)にエクスポートするには、次のkeytoolコマンドを使用します。
./keytool -export -alias support -file supportcert.pem -keypass weblogic1 -keystore support.jks -storepass weblogic1
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
証明書をファイル(wlservercert.pemなど)からアイデンティティ・キーストアにインポートするには、次のkeytoolコマンドを使用します。
keytool -import -alias serverwl -trustcacerts -file D:\bea\user_projects\domains\mydomain\wlservercert.pem
-keystore CLIENT_TRUST_STORE -storepass CLIENT_TRUST_STORE_PASSWORD
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
SSLを有効化するには、Oracle Identity ManagerおよびSOAサーバーで次の構成を実行する必要があります。
Oracle Identity ManagerのSSLの有効化について、次の各項で説明します。
デフォルト設定を使用してOracle Identity ManagerおよびSOAサーバーのSSLを有効化するには、次の手順を実行します。
WebLogic Server管理コンソールにログインし、「サーバー」→「OIM_SERVER1」→「一般」に移動します。「一般」セクションで、SSLポートに任意の値を設定して有効化できます。
サーバーはリスニングを開始し、HTTPSプロトコルを使用してURLにアクセスできるようになります。
Oracle Identity ManagerはSSLが有効化されたSOAサーバーと相互作用する必要があるため、管理サーバーおよびSOAサーバーで同じ手順を実行します。
カスタム・キーストアを使用してOracle Identity ManagerのSSLを有効化するには、次の手順を実行します。
|
注意:
|
WebLogic Server管理コンソールで、「環境」→「サーバー」→Server_Name (OIM_Server1)→「構成」をクリックし、「一般」をクリックします。
「ロックして編集」をクリックします。
「SSLリスニング・ポートの有効化」を選択します。デフォルトのポートは14001です。
「キーストア」タブを選択します。
「キーストア」リストから、「カスタムIDとJava標準信頼」を選択します。
「カスタムIDキーストア」フィールドに、カスタムIDキーストア・ファイル名の絶対パスを入力します。例:
DOMAIN_HOME/config/fmwconfig/support.jks
カスタムIDキーストア・タイプとして、JKSを指定します。
「カスタムIDキーストアのパスフレーズ」および「カスタムIDキーストアのパスフレーズを確認」のフィールドにパスワード(weblogic1)を入力します。
「保存」をクリックします。
「SSL」タブをクリックします。
秘密鍵のエイリアスとして、supportと入力します。
「秘密鍵のパスフレーズ」および「秘密鍵のパスフレーズを確認」のフィールドにパスワード(weblogic1)を入力します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
変更内容を有効にするためにすべてのサーバーを再起動します。
「証明書のエクスポート」でエクスポートした証明書をSPMLクライアントのトラストストアにインポートします。
証明書のインポートの詳細は、「証明書のインポート」を参照してください。
Oracle Identity ManagerとSOAサーバーでSSLを有効にした後、これらの間での安全な通信を確立するために、次の変更を行います。
OimFrontEndURLは、oimアプリケーションのUIへのアクセスに使用されます。これはロード・バランサURLかWebサーバーURL (アプリケーション・サーバーでロード・バランサまたはWebサーバーが使用されている場合)、または単一アプリケーション・サーバーURLになります。これは、通常、Oracle Identity Managerによって、通知メール、またはSOAからOracle Identity ManagerへのコールバックWebサービスの送信に使用されます。
OimFrontEndURLをSSLポートを使用するように変更するには:
WebLogic管理サーバーおよびOracle Identity Manager管理対象サーバー(クラスタの場合は少なくとも1つのサーバー)が稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://<AdminServer>/em
「Identity and Access」→「Oracle Identity Manager」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
OimFrontEndURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
例:
http://myoim.oracle.com
https://myoim.oracle.com
http://myserver.oracle.com:7001
|
注意: Fusion AppsやSPMLクライアントには、SPMLの起動やコールバック・レスポンスの送信のために、Oracle Identity Manager URLが格納されています。そのため、これに対応する変更が必要になります。また、Oracle Identity ManagerにOAM/OAAM/OINが統合されている場合は、これに対応する変更も必要になります。他のコンポーネントとの統合の詳細は、第11章「他のOracleコンポーネントとの統合」を参照してください。 |
backOfficeURLを変更する必要があるのは、Oracle Identity Managerがフロントオフィス/バックオフィス構成でデプロイされている場合のみです。単純なクラスタまたは非クラスタ・インストールの場合は、次の内容は適用されません。このURLは、フロントオフィス・コンポーネントからバックオフィス・コンポーネントにアクセスするために、Oracle Identity Managerで内部的に使用されます。バックオフィスにサービスを追加したり、バックオフィスからサービスを削除するには、バックオフィス/フロントオフィス構成の実装中にこの値を内部的に変更する必要があります。
backOfficeURLをSSLポートを使用するように変更するには:
WebLogic管理サーバーおよびOracle Identity Manager管理対象サーバー(クラスタの場合は少なくとも1つのサーバー)が稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://<AdminServer>/em
「Identity and Access」→「Oracle Identity Manager」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
backOfficeURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
例:
t3://mywls1.oracle.com:8001
t3://mywls1.oracle.com:8001,mywls2.oracle.com:9001
|
注意: 単純なクラスタおよび非クラスタ・インストールの場合は、値は空にする必要があります。 |
SOAサーバーURLをSSLポートを使用するように変更するには:
管理サーバーおよびOracle Identity Manager管理対象サーバーが稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://ADMINISTRATIVE_SERVER/em
「Identity and Access」→「Oracle Identity Manager」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→構成→「XMLConfig.SOAConfig」→「SOAConfig」に移動します。
Rmiurl属性とSoapurl属性の値を変更し、「適用」をクリックして変更を保存します。
|
注意: Rmiurlは、SOA管理対象サーバーにデプロイされたSOA EJBにアクセスするために使用されます。 |
これは、アプリケーション・サーバーのURLです。(クラスタ・インストールの場合は、すべてのSOA管理対象サーバーURLのカンマ区切りのリストです)
例:
t3://mysoa1.oracle.com:8001
t3s://mysoa1.oracle.com:8001,mysoa2.oracle.com:8002
t3://mysoa1.oracle.com:8001,mysoa2.oracle.com:8002,mysoa3.com:8003
|
注意: Soapurlは、SOA管理対象サーバーにデプロイされたSOA Webサービスにアクセスするために使用されます。これは、Webサーバーまたはロード・バランサをフロントエンドとするSOAクラスタでは、WebサーバーURLまたはロード・バランサURLです。単一SOAサーバーでは、アプリケーション・サーバーURLです。 |
例:
http://myoimsoa.oracle.com
https://mysoa.oracle.com: 8001
Oracle Identity ManagerとDesign Console間に安全な接続を確立するようにDesign Consoleを変更するには:
webserviceclient+ssl.jarを次の場所から追加します。
$WL_HOME/server/lib
次へ
$OIM_HOME/designconsole/ext
$DESIGN_CONSOLE_HOME/config/xlconfig.xmlファイルを編集します。次の変更を加えます。
変更前:
<Discovery>
<CoreServer>
<java.naming.provider.url>t3://HOST_NAME:PORT_NUMBER/oim</java.naming.provider.url>
<java.naming.factory.initial>weblogic.jndi.WLInitialContextFactory</java.naming.factory.initial>
</CoreServer>
</Discovery>
変更後:
<Discovery>
<CoreServer>
<java.naming.provider.url>t3s://HOST_NAME:OIM_SSL_PORT/oim</java.naming.provider.url>
<java.naming.factory.initial>weblogic.jndi.WLInitialContextFactory</java.naming.factory.initial>
</CoreServer>
</Discovery>
変更前:
<ApplicationURL>http://HOST_NAME:PORT_NUMBER/xlWebApp/loginWorkflowRenderer.do</ApplicationURL>
変更後:
<ApplicationURL>https://HOST_NAME:OIM_SSL_PORT/xlWebApp/loginWorkflowRenderer.do</ApplicationURL>
Design consoleでサーバー信頼ストアを使用します。これにアクセスするには、次のようにします。
WebLogic Server管理コンソールで、「環境」→「サーバー」に移動します。
<OIM_SERVER_NAME>をクリックして、Oracle Identity Mangerサーバーの詳細を表示します。
「キーストア」タブをクリックし、「信頼」セクションに表示される信頼キーストアの場所を書き留めておきます。
|
注意: 次のようにして、CLASSPATHをweblogic.jarに設定します。 setenv CLASSPATH "../../wlserver_10.3/server/lib/weblogic.jar" |
Design ConsoleがOracle Identity Managerホストにデプロイされている場合
TRUSTSTORE_LOCATION環境変数を上記で書き留めた信頼キーストアの場所に設定します。
例:
setenv TRUSTSTORE_LOCATION /scratch/user1/dogwoodsh100520/beahome/wlserver_10.3/server/lib/DemoTrust.jks
Design ConsoleがOracle Identity Managerとは別のコンピュータにデプロイされている場合
信頼キーストアをDesign consoleが表示されているボックスにコピーし、TRUSTSTORE_LOCATION環境変数を信頼キーストアをコピーしたローカル・ボックスの場所に設定します。
Oracle Identity Managerクライアント・ユーティリティには、PurgeCache、GenerateSnapshot、UploadJars、およびUploadResourcesがあります。
TRUSTSTORE_LOCATION環境変数を信頼キーストアの場所に設定します。
例:
setenv TRUSTSTORE_LOCATION/scratch/user1/dogwoodsh100520/beahome/wlserver_10.3/server/lib/DemoTrust.jks
WLSTスクリプトを含むすべてのOracle Identity Manager MDSユーティリティでは、スクリプトを実行しているシェルで次の環境変数を設定する必要があります。
WLST_PROPERTIES=-Dweblogic.security.SSL.ignoreHostnameVerification=true-Dweblogic.security.TrustKeyStore=DemoTrust
|
注意: このプロパティを設定すると、WLSTは正常に動作するようになります。情報/注意メッセージが表示されますが、これは無視してかまいません。 |
SPML/コールバック・ドメインのSSLを構成するには:
Oracle Identity ManagerのポートがSSL有効で、「ホスト名の検証」が「false」に設定されていることを確認します。
コールバック・ドメインを含むFusion ApplicationsでSSLを有効化します。
|
関連項目: カスタム・キーストアを使用したOracle Identity ManagerのSSLの有効化の詳細は、「カスタム・キーストアを使用したOracle Identity ManagerのSSLの有効化」を参照してください。 |
WebLogicのデフォルトの信頼ストアを使用している場合は、SSLモードの有効化以外の変更は行わないでください。
デフォルト以外の証明書がある場合は、信頼できる証明書を交換して双方向の信頼を確立する必要があります。証明書への署名およびエクスポートの詳細は、「証明書への署名」および「証明書のエクスポート」を参照してください。
|
関連項目: Oracle WebLogic ServerのSSLの構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のSSLの構成に関する説明を参照してください。 |
スタンドアロン・クライアントを使用して、テスト目的でSPMLリクエストを送信する場合は、次のようにする必要があります。
SSL対応のOIMポートにリクエストを送信するには、SPMLクライアントのコマンドに次のシステム・プロパティを追加します。
Djavax.net.ssl.trustStore=D:\Oracle\Middleware1\wlserver_10.3\server\lib\DemoTrust.jks
|
注意: Djavax.net.ssl.trustStoreパラメータの値をSSLの構成に使用されるトラストストアを指すように変更します。 WebLogicでSSLの構成に使用されるトラストストアの場所は、「Design ConsoleのSSLの構成」を参照してください。 |
-Djava.protocol.handler.pkgs=weblogic.net
-Dweblogic.security.TrustKeyStore=DemoTrust
webserviceclient+ssl.jarをクライアント・クラスパスに追加します。
Oracle Identity ManagerはWebサービスを介してSOAと接続できます。Webサービスの起動が失敗した場合、SOAはOracle Identity Managerに接続できません。その結果、リクエストがスタック状態になることがあります。たとえば、ユーザーの作成リクエストがリクエスト・レベルで承認された後、対応するSOAコンポジットが、SSL対応のOracle Identity ManagerサーバーにデプロイされたリクエストWebサービスを起動できないためにリクエストがスタック状態になる場合があります。このような問題を回避するには、JAVA_OPTIONSに-Djavax.net.ssl.trustStore=/scratch/aime1/DWPS2/Oracle/Middleware/wlserver_10.3/server/lib/DemoTrust.jks in setDomainEnv.shなどを設定します。
Oracle Identity Manager DBのSSLを有効化するには、次の構成を実行する必要があります。
サーバー認証SSLモードでDBを設定するには:
DBサーバーとリスナーを停止します。
listener.oraファイルを次のように構成します。
次のパスに移動します。
$DB_ORACLE_HOME/network/adminディレクトリ
例:
/scratch/user1/production-database/product/11.1.0/db_1/network/admin
listener.oraファイルを編集してSSLリスニング・ポートとサーバー・ウォレット・ロケーションを含めます。
次にlistener.oraファイルのサンプルを示します。
# listener.ora Network Configuration File: /scratch/rbijja/production-database/product/11.1.0/db_1/network/admin/listener.ora
# Generated by Oracle configuration tools.
SSL_CLIENT_AUTHENTICATION = FALSE
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /scratch/rbijja/production-database/product/11.1.0/db_1/bin/server_keystore_ssl.p12)
)
)
LISTENER =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myhost.mycompany.com)(PORT = 2484))
)
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(HOST = myhost.mycompany.com)(PORT = 1521))
)
)
TRACE_LEVEL_LISTENER = SUPPORT
sqlnet.oraファイルを次のように構成します。
次のパスに移動します。
$DB_ORACLE_HOME/network/adminディレクトリ
例:
/scratch/user1/production-database/product/11.1.0/db_1/network/admin
sqlnet.oraファイルを編集して次の内容を含めます。
TCPS認証サービス
SSL_VERSION
サーバー・ウォレット・ロケーション
SSL_CLIENT_AUTHENTICATIONタイプ(trueまたはfalse)
通信で許可されるSSL_CIPHER_SUITES(オプション)
次にsqlnet.oraファイルのサンプルを示します。
# sqlnet.ora Network Configuration File: /scratch/rbijja/production-database/product/11.1.0/db_1/network/admin/sqlnet.ora
# Generated by Oracle configuration tools.
SQLNET.AUTHENTICATION_SERVICES= (BEQ, TCPS)
SSL_VERSION = 3.0
SSL_CLIENT_AUTHENTICATION = FALSE
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /scratch/rbijja/production-database/product/11.1.0/db_1/bin/server_keystore_ssl.p12)
)
)
tnsnames.oraファイルを次のように構成します。
次のパスに移動します。
$DB_ORACLE_HOME/network/adminディレクトリ
例:
/scratch/user1/production-database/product/11.1.0/db_1/network/admin
tnsnames.oraファイルを編集してサービスの説明リストにSSLリスニング・ポートを含めます。
次にtnsnames.oraファイルのサンプルを示します。
# tnsnames.ora Network Configuration File: /scratch/user1/production-database/product/11.1.0/db_1/network/admin/tnsnames.ora
# Generated by Oracle configuration tools.
PRODDB =
(DESCRIPTION_LIST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCPS)(HOST = myhost.mycompany.com)(PORT = 2484))
(CONNECT_DATA =
(SERVER = DEDICATED)
(SERVICE_NAME = proddb)
)
)
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCP)(HOST = myhost.mycompany.com)(PORT = 1521))
(CONNECT_DATA =
(SERVER = DEDICATED)
(SERVICE_NAME = proddb)
)
)
)
DBサーバーのユーティリティを起動および停止します。
DBサーバーを起動します。
orapkiユーティリティを使用して、サーバー側とクライアント側のキーストアを作成できます。このユーティリティは、Oracle DBインストールの一部として出荷されます。
キーストアは、JKSやPKCS12などの任意の形式にすることができます。キーストアの形式は、プロバイダの実装によって異なります。たとえば、JKSはSun Oracleが提供する実装で、PKCS12はOraclePKIProviderが提供する実装です。
Oracle Identity Managerでは、DBサーバーにJKSクライアント・キーストアのみを使用します。これは、PKCS12などのJKS以外のキーストア形式を使用するには、リリースが差し迫っているときにインストーラ側に大きな変更を加える必要があったためです。ただし、Oracle Identity Managerにはdefault-KeyStore.jksという名前のJKS形式のキーストアがあらかじめ含まれています。
orapkiユーティリティを使用して、次のキーストアを作成できます。
|
注意: ウォレットとキーストアは置き換え可能で、どちらも同じ意味です。これらは公開鍵および秘密鍵のリポジトリと自己署名証明書および信頼できる証明書を参照します。 |
ルートCAウォレットの作成
ルート認証局(CA)ウォレットを作成するには:
次のパスに移動します。
$DB_ORACLE_HOME/binディレクトリ
次のコマンドを使用してウォレットを作成します。
./orapki wallet create -wallet CA_keystore.p12 -pwd welcome1
次のコマンドを使用して、自己署名証明書をCAウォレットに追加します。
./orapki wallet add -wallet CA_keystore.p12 -dn 'CN=root_test,C=US' -keysize 2048 -self_signed -validity 3650 -pwd welcome1
次のコマンドを使用してウォレットを表示します。
./orapki wallet display -wallet CA_keystore.p12 -pwd welcome1
次のコマンドを使用してCAウォレットから自己署名証明書をエクスポートします。
./orapki wallet export -wallet CA_keystore.p12 -dn 'CN=root_test,C=US' -cert self_signed_CA.cert -pwd welcome1
DBサーバー側ウォレットの作成
DBサーバー側ウォレットを作成するには:
次のコマンドを使用してサーバー・ウォレットを作成します。
./orapki wallet create -wallet server_keystore_ssl.p12 -auto_login -pwd welcome1
次のコマンドを使用して、証明書リクエストをサーバー・ウォレットに追加します。
./orapki wallet add -wallet server_keystore_ssl.p12/ -dn 'CN=Customer,OU=Customer,O=Customer,L=City,ST=NY,C=US' -keysize 2048 -pwd welcome1
次のコマンドを使用して、証明書リクエストをファイルにエクスポートします。これは後でルートCA署名を使用して署名を受けるために使用されます。
./orapki wallet export -wallet server_keystore_ssl.p12/ -dn 'CN=Customer,OU=Customer,O=Customer,L=City,ST=NY,C=US' -request server_creq.csr -pwd welcome1
次のコマンドを使用して、サーバー・ウォレットの証明書リクエストにCA署名を使用して署名を受けます。
./orapki cert create -wallet CA_keystore.p12 -request server_creq.csr -cert server_creq_signed.cert -validity 3650 -pwd welcome1
次のコマンドを使用して、署名された証明書を表示します。
/orapki cert display -cert server_creq_signed.cert -complete
次のコマンドを使用して、信頼された証明書をサーバー・ウォレットにインポートします。
./orapki wallet add -wallet server_keystore_ssl.p12 -trusted_cert -cert self_signed_CA.cert -pwd welcome1
次のコマンドを使用して、この新規作成された署名証明書(ユーザー証明書)をサーバー・ウォレットにインポートします。
./orapki wallet add -wallet server_keystore_ssl.p12 -user_cert -cert server_creq_signed.cert -pwd welcome1
クライアント側ウォレットの作成
クライアント側(Oracle Identity Managerサーバー)ウォレットを作成するには:
次のパスに移入されているdefault-keystore.jksキーストアを使用して、クライアント・キーストアを作成します。
DOMAIN_HOME/config/fmwconfig
|
注意: Oracle PKCS12ウォレットをクライアント・キーストアとして使用することもできます。 |
次のコマンドを使用して、サーバー側コマンドを使用してすでにエクスポートされている自己署名付きの信頼されたCA証明書を、クライアント・キーストア(default-keystore.jks)にインポートします。
keytool -import -trustcacerts -alias dbtrusted -noprompt -keystore default-keystore.jks -file self_signed_CA.cert -storepass xellerate
Oracle Identity ManagerおよびOracle Identity Manager DBでSSLモードを有効にして安全な通信を確保するには、Oracle Identity Managerで次の手順を実行する必要があります。
信頼された証明書をOracle Identity Managerのdefault-keystore.jksキーストアにインポートします。
Enterprise Managerにログインします。
「Identity and Access」→「OIM」に移動します。
右クリックして「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→構成→「XMLConfig.DirectDBConfig」→「DirectDB」に移動します。
Sslenabled属性とUrl属性の値を変更して、「適用」をクリックします。DBでSSLモードが有効な場合は、Url属性にTCPS有効化とSSLポートを含める必要があります。
次に例を示します。
url="jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=my.domain.com)(PORT=2484))(CONNECT_DATA=(SERVICE_NAME=proddb)))"
Oracle Identity Managerサーバーを再起動します。
Oracle Identity Manager DBのSSLを有効にした後で、DB SSLポートを使用してOracle Identity Managerの次のデータソースとオーセンティケータを変更する必要があります。
データソースの構成
データソースを構成するには:
WebLogic管理サーバーにログインします。
ホストおよびポートの変更を行います。
|
注意: データベースのホストまたはポートの変更を行う前に、Oracle Identity Managerアプリケーションをホストする管理対象サーバーを停止する必要があります。ただし、WebLogic管理サーバーは稼動させたままでかまいません。 |
データソースoimJMSStoreDSの構成の更新
データソースoimJMSStoreDSの構成を更新するには:
WebLogic Serverにログインします。
「サービス」→「JDBC」→「データ・ソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックして、DBのホストおよびポートの変更に合わせてURLの値とプロパティを変更します。
URLは次のようになります。
"jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=my.domain.com)(PORT=2484))(CONNECT_DATA=(SERVICE_NAME=proddb)))"
接続プールで次のプロパティを設定します。
javax.net.ssl.trustStore、javax.net.ssl.trustStoreType、EncryptionMethod, oracle.net.ssl_version、javax.net.ssl.trustStorePassword
次に例を示します。
javax.net.ssl.trustStore= /scratch/aime1/AUTO_WORK/mw4709/user_projects/domains/imdomain1939/config/fmwconfig/default-keystore.jks javax.net.ssl.trustStoreType=JKS EncryptionMethod=SSL oracle.net.ssl_version=3.0 javax.net.ssl.trustStorePassword=welcome1
データソースoimOperationsDBの構成の更新
データソースoimOperationsDBの構成を更新するには:
WebLogic管理サーバーにログインします。
「サービス」→「JDBC」→「データ・ソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックして、DBのホストおよびポートの変更に合わせてURLの値とプロパティを変更します。
Oracle Identity Manager MDSに関連するデータソースの構成の更新
Oracle Identity Manager MDSに関連するデータソースの構成を更新するには:
WebLogic管理サーバーにログインします。
「サービス」→「JDBC」→「データ・ソース」→「mds-oim」に移動します。
「接続プール」タブをクリックして、DBのホストおよびポートの変更に合わせてURLの値とプロパティを変更します。
|
注意:
|
Oracle Identity Managerオーセンティケータの更新
WebLogicサーバーの既存のOracle Identity Managerオーセンティケータは、非SSL DB詳細に対して構成されており、Oracle Identity Manager DBとの通信にデータソースを使用しません。オーセンティケータでSSL DB詳細を使用するには、次の手順を実行する必要があります。
データソースがSSLに構成されていることを確認します。
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→ 「プロバイダ」に移動します。
OIMAuthenticationProviderを削除します。
OIMAuthenticatorタイプの認証プロバイダを作成し、制御フラグをSUFFICIENTに設定します。
OIMSignatureAuthenticatorタイプの認証プロバイダを作成し、制御フラグをSUFFICIENTに設定します。
オーセンティケータを次の順に並べ替えます。
DefaultAuthenticator
OIMAuthenticator
OIMSignatureAuthenticator
その他のプロバイダ(あれば)
すべてのサーバーを再起動します。
Oracle Identity ManagerでSSL有効化されたOracle Virtual Directory (OVD)を使用できるようにするには、次の構成を実行する必要があります。
OVD-OIDでSSLを有効化するには:
OVD EMコンソールにログインします。
「Identity and Access」を展開し、「ovd1」→「管理」→「リスナー」に移動します。
「作成」をクリックし、必要なフィールドすべてに入力します。
|
注意: 「リスナー・タイプ」にはLDAPを選択してください。 |
「OK」をクリックします。
新規作成されたLDAPリスナーを選択し、「編集」をクリックします。
「リスナーの編集 - OIM SSL ENDPOINT」ページで、新規作成されたLDAPリスナーを編集します。
「OK」をクリックします。「SSL構成」ページが開きます。
「SSLの有効化」チェック・ボックスを選択します。
「拡張SSL設定」セクションで、SSL認証に対して、「認証なし」を選択します。
「OK」をクリックします。
OVDサーバーを停止してから起動し、変更を有効にします。
|
注意: 再起動オプションは使用しないでください。 |
Oracle Identity ManagerでLDAPSyncが有効な場合、Oracle Identity ManagerはOVDを介してディレクトリ・サーバーに接続します。この接続にはLDAP/LDAPSプロトコルを使用します。
OVDのホストおよびポートを変更するには:
Oracle Identity Manager管理およびユーザー・コンソールにログインします。
「詳細」に移動し、「ITリソースの管理」をクリックします。
「ITリソース・タイプ」として「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ITリソース・ディレクトリ・サーバーで、サーバーURLを編集してSSLプロトコルとSSLポート詳細を含めます。
ITリソース・ディレクトリ・サーバーで、「サーバーURL」フィールドを空にします。次のように、「サーバーSSL URL」にディレクトリ・サーバー詳細を移入します。
ldaps://LDAP_HOSTNAME:LDAP_SSL_PORT
「SSLの使用」がtrueに設定されていることを確認し、「更新」をクリックします。
