| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース1 (11.1.1.7.0) E64850-01 |
|
 前 |
 次 |
| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース1 (11.1.1.7.0) E64850-01 |
|
前 |
次 |
この章では、Oracle Adaptive Access Managerを構成する方法について説明します。次のトピックが含まれます:
Oracle Identity and Access Management 11.1.1.7.0では、Oracle Adaptive Access Managerに次の2つのコンポーネントが含まれます。
Oracle Adaptive Access Manager(オンライン)
Oracle Adaptive Access Manager (オフライン)
|
注意: Oracle Adaptive Access Manager(オフライン)は、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management 11.1.1.7.0をインストールすると、Oracle Adaptive Access ManagerとともにOracle Adaptive Access Manager (オフライン)もインストールされます。Oracle Adaptive Access Manager(オフライン)の構成は、「Oracle Adaptive Access Manager(オフライン)の構成」を参照してください。 |
この章で説明されているいずれかのシナリオでOracle Identity and Access Management製品のインストールおよび構成を開始する前に、Oracle Identity Manager、Oracle Access Manager、Oracle Adaptive Access Manager、Oracle Entitlements ServerおよびOracle Identity Navigatorを含むOracleホーム・ディレクトリを示すのにIAM_Homeが使用されていることに注意してください。このOracleホーム・ディレクトリには任意の名前を指定できます。
このトピックでは、新しいWebLogic管理ドメインでOracle Adaptive Access Managerを構成する方法について説明します。次の項が含まれます:
他のOracle Identity and Access Management 11gコンポーネント(Oracle Identity Navigator、Oracle Access Manager、Oracle Identity Managerなど)を後から同じドメインにインストールする可能性のある環境にOracle Adaptive Access Managerをインストールする場合は、この項で説明されている構成を実行します。
Oracle Identity Navigatorのインタフェースおよびダッシュボードを使用して、Oracle Identity Navigator内からOracle Adaptive Access Managerにアクセスし、起動できます。
この項の構成を実行すると、次のコンポーネントがデプロイされます。
WebLogic管理サーバー
選択したOracle Adaptive Access Manager Domain Configurationテンプレートによっては、Oracle Adaptive Access Managerの管理対象サーバー。
管理サーバー上のOracle Adaptive Access ManagerコンソールおよびOracle Identity Navigatorアプリケーション。
この項の構成は、次のものに依存しています。
Oracle WebLogic Server 11gリリース1 (10.3.6)またはOracle WebLogic Server 11gリリース1 (10.3.5)。
Oracle Identity and Access Management 11gソフトウェアのインストール。
Oracle Adaptive Access Managerのデータベース・スキーマ。Oracle Adaptive Access Managerに固有のスキーマの詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
次の手順を実行して、新しいWebLogicドメインにOracle Adaptive Access Managerのみを構成します。
<IAM_HOME>/common/bin/config.shスクリプト(UNIXの場合)または<IAM_HOME>\common\bin\config.cmd (Windowsの場合)を実行し、Oracle Fusion Middleware構成ウィザードを起動します。Oracle Fusion Middleware構成ウィザードの「ようこそ」画面が表示されます。
|
注意: ここでは、例として |
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「以下の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Adaptive Access Manager Admin Server - 11.1.1.3.0 [Oracle_IDM2]を選択します。これは必須です。
さらに、Oracle Adaptive Access Manager - サーバー・オフライン - 11.1.1.3.0も選択できます。これはオプションです。「次へ」をクリックします。ドメイン名と場所の選択画面が表示されます。
|
注意: Oracle Adaptive Access Manager Admin Server - 11.1.1.3.0 [Oracle_IDM2]を選択すると、デフォルトで次のオプションも選択されます。
|
作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、OAAM管理サーバー・スキーマまたはOAAM管理MDSスキーマなどの変更するコンポーネント・スキーマを選択します。
スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面で、「管理サーバー」および「管理対象サーバー」、「クラスタ」、および「マシン」、「デプロイメントとサービス」、および「RDBMSセキュリティ・ストア」を構成できます。「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前
リスニング・アドレス
リスニング・ポート
SSLリスニング・ポート
SSLが有効か無効か
「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択して、管理対象サーバーを構成します。詳細は、『Oracle Fusion Middleware構成ウィザードによるドメインの作成』の管理対象サーバーの構成に関する説明を参照してください。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のIdentity Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
|
ヒント: マシンを構成する前に、 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
Oracle Adaptive Access Managerをサポートする新しいWebLogicドメインが、<MW_HOME>\user_projects\domainsディレクトリ(Windowsの場合)に作成されます。UNIXでは、ドメインは<MW_HOME>/user_projects/domainsディレクトリに作成されます。
この項では、新しいWebLogicドメインにOracle Adaptive Access Manager(オフライン)を構成する方法を説明します。次のトピックが含まれます:
この項の構成を実行すると、次のコンポーネントがデプロイされます。
WebLogic管理サーバー
管理サーバー上のOracle Adaptive Access Manager(オフライン)アプリケーション
この項の構成は、次のものに依存しています。
Oracle WebLogic Server 11gリリース1 (10.3.6)またはOracle WebLogic Server 11gリリース1 (10.3.5)。
Oracle Identity and Access Management 11gソフトウェアのインストール。
Oracle Adaptive Access Manager(オフライン)のデータベース・スキーマ。
新しいWebLogicドメインでOracle Adaptive Access Manager(オフライン)を構成するには、次の手順を実行します。
<IAM_HOME>/common/bin/config.shスクリプト(UNIXの場合)または<IAM_HOME>\common\bin\config.cmd (Windowsの場合)を実行し、Oracle Fusion Middleware構成ウィザードを起動します。Oracle Fusion Middleware構成ウィザードの「ようこそ」画面が表示されます。
|
注意: ここでは、例として |
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。
Oracle Adaptive Access Manager Offline - 11.1.3.0 [Oracle_IDM2]オプションを選択します。このオプションを選択すると、デフォルトで次のオプションも選択されます。
Oracle Enterprise Manger - 11.1.1.0 [oracle_common]
Oracle Identity Navigator - 11.1.1.3.0 [Oracle_IDM2]
Oracle JRF - 11.1.1.0 [oracle_common]
「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。「サーバーの起動モードおよびJDKの構成」画面が表示されます。
「サーバーの起動モードおよびJDKの構成」画面で「JDK」と「本番モード」を選択します。「次へ」をクリックします。「JDBCコンポーネント・スキーマの構成」画面が表示されます。
「JDBCコンポーネント・スキーマの構成」画面で、OAAMオフラインMDSスキーマまたはOAAMオフライン・スキーマなど、変更するコンポーネント・スキーマを選択します。スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー」、「クラスタ」、「マシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」を構成できます。該当するチェック・ボックスを選択して、「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前
リスニング・アドレス
リスニング・ポート
SSLリスニング・ポート
SSL有効
オプション: 必要に応じて、管理対象サーバーを追加して構成します。Oracle Entitlements Serverでは、アプリケーションがWebLogic管理サーバー上にデプロイされるため、管理対象サーバーを必要としません。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のIdentity Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
|
ヒント: マシンを構成する前に、 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストア・データベースを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
Oracle Adaptive Access Manager(オフライン)をサポートする新しいWebLogicドメインが<MW_HOME>\user_projects\domainsディレクトリに作成されます(Windowsの場合)。UNIXでは、ドメインは<MW_HOME>/user_projects/domainsディレクトリに作成されます。
Oracle Adaptive Access Managerをインストールおよび構成した後、Oracle WebLogic Administration Serverおよび様々な管理対象サーバーを実行する必要があります。付録C「スタックの起動」を参照してください。
Oracle Adaptive Access Managerをインストールおよび構成した後、次の手順を実行する必要があります。
次の手順で、Oracle WebLogic Serverのユーザーを作成します。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
「セキュリティ・レルム」をクリックし、使用するセキュリティ・レルムをクリックします。
「ユーザーとグループ」タブをクリックし、その下の「ユーザー」タブをクリックします。
セキュリティ・レルムにuser1などのユーザーを作成します。
ユーザーuser1をルール管理者グループおよび環境管理者グループに割り当てます。
Oracle Adaptive Access Managerの暗号化鍵を設定し、バックアップします。『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMの暗号化およびデータベース資格証明の設定に関する項を参照してください。必ずOracle Adaptive Access Managerの暗号化鍵をバックアップしてください。Oracle Adaptive Access Managerドメインを再作成する場合に必要です。
次の手順でポリシーのスナップショットをインポートします。
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。スナップショットは、oaam_base_snapshot.zipファイルに格納され、MW_HOME/IAM_ORACLE_HOME/oaam/initディレクトリに置かれています。
これには、Oracle Adaptive Access Managerにインポートする必要のある次の項目が含まれています。
英語(アメリカ合衆国)のチャレンジ質問
登録、新規アカウントのオープン、またはリセットなどの別のイベントの際、ユーザーは質問のリストから様々な質問を選択し、回答を入力します。チャレンジ質問と呼ばれるこれらの質問は、ユーザーを認証するために使用されます。
ユーザーが登録のための質問に回答できるようにするには、サポート対象の言語での質問がシステムに存在している必要があります。これらの質問は、Oracle Adaptive Access Managerサーバーへのログインでも必要となる場合があります。
エンティティの定義
認証の際に追跡されるアクターは認証エンティティと呼ばれ、ユーザー、市区町村、デバイスなどが含まれます。これらのベース・エンティティは、パターンに使用される条件を有効にする際に必要となります。
すぐに使用できるパターン
パターンは、1つのバケットを定義したり、複数のバケットを動的に作成する際に、Oracle Adaptive Access Managerによって使用されます。Oracle Adaptive Access Managerでデータが収集され、パターン・パラメータに基づいてこれらのバケットにメンバーが移入されると、動的に変化するメンバーシップとバケットの分散についてルールによるリスク評価が実行されます。
すぐに使用できる構成可能なアクション
構成可能なアクションとは、チェックポイント実行後に結果アクションまたはリスク・スコアリングあるいはその両方に基づいてトリガーされるアクションです。構成可能なアクションは、アクション・テンプレートを使用して作成されます。
|
注意: Oracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gにアップグレードする場合、Oracle Adaptive Access Manager 11gのアクション・テンプレートがグローバル化されたことにより違いが生じたため、すぐに使用できるアクション・テンプレートの名前や説明が多少異なっています。 |
すぐに使用できるポリシー
ポリシーは、ビジネス・アクティビティや日常操作において発生する潜在的に危険なアクティビティを評価して対処できるように作成されています。
任意のグループ
Oracle Adaptive Access Managerには、ルール、ユーザー・グループ、およびアクションとアラート・グループに使用されるアイテムのコレクションが付属しています。
|
注意: いずれかのプロパティをカスタマイズする必要がある場合には、そのスナップショットを新しいテスト・システムにインポートし、変更を加えてエクスポートし、新しいシステムにインポートします。または、スナップショットを新しいシステムにインポートしてプロパティを直接変更することで、テスト・システムを完全に除外できます。 |
ポリシー、コンポーネント、および構成のアップグレードの場合は、バックアップを実行してから個別のファイルをインポートします。指定可能なベンダーは、次のとおりです。
デフォルトの質問は、<MW_HOME>/<IAM_ORACLE_HOME>/oaam/init/kba_questionsディレクトリにあるoaam_kba_questions_<locale>.zipに含まれています。ロケール識別子<locale>は言語バージョンを指定します。
ベース・ポリシーは、<MW_HOME>/<IAM_ORACLE_HOME>/oaam/initディレクトリにあるoaam_sample_policies_for_uio_integration.zipファイルに含まれています。
構成可能なアクション・テンプレートは、<MW_HOME>/<IAM_ORACLE_HOME>/oaam/initディレクトリにあるOOTB_Configurable_Actions.zipファイルに含まれています。
ベース認証を必要とするエンティティは、<MW_HOME>/<IAM_ORACLE_HOME>/oaam/initディレクトリにあるAuth_EntityDefinition.zipファイルに含まれています。
|
注意: ポリシーの詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMスナップショットのインポートおよびポリシー、ルールおよび条件の管理に関する項を参照してください。 |
次の手順で、Oracle Adaptive Access Managerデータベースに場所データをロードします。
IPロケーション・ローダー・スクリプトを構成します。『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMコマンド行インタフェース・スクリプトおよびIPロケーション・データのインポートに関する項を参照してください。
<MW_HOME>/<IAM_Home>/oaam/cliディレクトリ内にあるsample.bharosa_location.propertiesファイルのコピーを作成します。次の例のように、場所データの詳細をlocation.dataプロパティに入力します。
location.data.provider=quova
location.data.file=/tmp/quova/EDITION_Gold_2008-07-22_v374.dat.gz
location.data.ref.file=/tmp/quova/EDITION_Gold_2008-07-22_v374.ref.gz
location.data.anonymizer.file=/tmp/quova/anonymizers_2008-07-09.dat.gz
次のように、ローダーをコマンド行で実行します。
Windowsの場合: loadIPLocationData.cmd
UNIXの場合: ./loadIPLocationData.sh
loadIPLocationDataスクリプトの実行前にOracleミドルウェア・ホーム(MW_HOME)環境変数が設定されていることを確認します。
|
注意: CSFキーまたはパスワードを手動で生成する場合、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMの暗号化およびデータベース資格証明の設定に関する項を参照してください。 |
インストール後手順を含め、インストール・プロセスの完了後、Oracle Adaptive Access Managerのインストールと構成を次の方法で検証できます。
管理サーバーを起動して、新たに作成した管理対象サーバーをドメインに登録します。管理サーバーを起動するには、次のコマンドを実行します。
Windowsの場合: 次の例のように、コマンド・プロンプトでstartWebLogicスクリプトを実行して管理サーバーを起動します。
\middleware\user_projects\domains\base_domain\bin\startWebLogic
UNIXの場合: 次の例のように、$プロンプトでstartWebLogic.shスクリプトを実行します。
sh /MW_HOME/user_projects/domains/base_domain/bin/startWebLogic.sh
管理対象サーバーを起動します。付録C「スタックの起動」を参照してください。
管理サーバーと管理対象サーバーが起動するのを待ちます。
管理サーバーのユーザー名とパスワードを使用して、Oracle Adaptive Access Managerの管理サーバーにログインします。次のURLを使用して、管理サーバーにログインします。
http://<host>:<oaam_admin_server1_port>/oaam_admin
次のURLを使用して、Oracle Adaptive Access管理対象サーバーにログインします。
https://<host>:<oaam_server_server1_sslport>:oaam_server
ポリシーおよび資格証明ストアを移行するには、まずJPSルートを作成し、その後ポリシーと資格証明ストアをOracle Internet Directoryに再関連付けします。
ポリシーおよび資格証明ストアの移行には、次の手順があります。
次の手順で示すように、Oracle Internet Directoryにjpsrootを作成するには、コマンドラインでldapaddコマンドを使用します。
次のようなldifファイルを作成します。
dn: cn=jpsroot_iam cn: jpsroot_iam_iam objectclass: top objectclass: orclcontainer
ORACLE_HOME/bin/ldapaddを使用してこれらのエントリをOracle Internet Directoryに追加します。次に例を示します。
ORACLE_HOME/bin/ldapadd -h oid.mycompany.com -p 389 -D cn="orcladmin" -w
welcome1 -c -v -f jps_root.ldif
ポリシー・ストアおよび資格証明ストアをOracle Internet Directoryに再関連付けするには、WLSTのreassociateSecurityStoreコマンドを使用します。次の手順に従ってください。
IAMHOST1で、ORACLE_HOME/common/binディレクトリからwlstシェルを起動します。次に例を示します。
./wlst.sh
wlst connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect('AdminUser',"AdminUserPassword",t3://hostname:port')
次に例を示します。
connect("weblogic_iam,"welcome1","t3://iamhost-vip.mycompany.com:7001")
次のようにreassociateSecurityStoreコマンドを実行します。
次に構文を示します。
reassociateSecurityStore(domain="domainName",admin="cn=orcladmin", password="orclPassword",ldapurl="ldap://LDAPHOST:LDAPPORT",servertype="OID", jpsroot="cn=jpsRootContainer")
次に例を示します。
wls:/IAMDomain/serverConfig> reassociateSecurityStore(domain="IAMDomain",
admin="cn=orcladmin",password="password",
ldapurl="ldap://oid.mycompany.com:389",servertype="OID",
jpsroot="cn=jpsroot_iam_iamhost1")
コマンドの出力は次のようになります。
{servertype=OID, jpsroot=cn=jpsroot_iam, admin=cn=orcladmin,
domain=IAMDomain, ldapurl=ldap://oid.mycompany.com:389, password=password}
Location changed to domainRuntime tree. This is a read-only tree with
DomainMBean as the root.
For more help, use help(domainRuntime)
Starting Policy Store reassociation.
LDAP server and ServiceConfigurator setup done.
Schema is seeded into LDAP server
Data is migrated to LDAP server
Service in LDAP server after migration has been tested to be available
Update of jps configuration is done
Policy Store reassociation done.
Starting credential Store reassociation
LDAP server and ServiceConfigurator setup done.
Schema is seeded into LDAP server
Data is migrated to LDAP server
Service in LDAP server after migration has been tested to be available
Update of jps configuration is done
Credential Store reassociation done
Jps Configuration has been changed. Please restart the server.
コマンドが正しく実行されたら、管理サーバーを再起動します。管理サーバーの再起動方法の詳細は、付録C「サーバーの再起動」を参照してください。
Oracle Adaptive Access Managerをインストールした後、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』を参照してください。
