Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
パフォーマンスのモニタリングとは、特定のコンポーネントの状態を把握するためにパフォーマンス・メトリックを観察(表示)することを指しています。ヘルス・モニタリングによって、周辺装置が管理対象サーバーのハートビートURLにアクセスして、Access Managerサーバー・インスタンスのヘルスをチェックできるようになります。この章には、Oracle Access ManagementのパフォーマンスおよびAccess Managerのヘルスのモニタリングに関する詳細が説明されています。この章には次の項目があります。
コンポーネント・パフォーマンス・メトリックは、特定のイベントを完了する間に、メモリー内で収集できます。これらのメトリックはメモリ内にのみ保存されるため、たとえばEM、dmsSpy、dmsDumpなど、これらを取り出して表示するためのメカニズムもいくつかあります。
注意: dmsSpyは、WASインスタンス固有の生のDMSデータを表示するWebLogic Application Server (WAS)ツールです。情報は名詞タイプによって分類され(Oracle Access ManagementではOAMS.OAM_ prefix)、WASインスタンスで実行中のすべてのDMSインストゥルメント・アプリケーションに関するメトリックが含まれます。WebLogicインスタンスのメトリックを参照するには、http://hostname:port/dms/にアクセスしてください。例:
http://samplehost:7001/dms/
Oracle Dynamic Monitoring Systems (DMS)によるアプリケーションのインストゥルメントの詳細は、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』を参照してください。 |
メトリックを使用すると、特定の領域内で経過した時間をモニターしたり、特定の発生事象や状態変化を追跡したりすることができます。Oracle Access Managementは、Oracle Dynamic Monitoring Systems (DMS)を使用し、OAMサーバーおよび登録されたエージェントについてアプリケーション固有のパフォーマンス情報を測定します。管理者は、「システム構成」タブで「アクション」メニューの「モニタリング」コマンドを使用して、Access Managerのパフォーマンスをモニターできます。
この手順を使用して、DMSコンソールにアクセスします。
DMSコンソールにアクセスする方法
ブラウザのウィンドウで、次のURLからDMSコンソールにアクセスします。
http:// <example_AdminServer:Port/dms/
Oracle Access Management管理者の資格情報を使用してログインします。
DMSメトリック表で、表示されている必要なメトリックをクリックして、コンソールの右側に結果を表示します。
この項では次のトピックを記載しています:
有効なOracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して、Oracle Access Managementコンソールを使用した様々なパフォーマンス・メトリックを表示できます。
前提条件
OAMサーバーが稼働している必要があります。
Oracle Access Managementコンソールを使用してパフォーマンスをモニターする方法
Oracle Access Managementコンソールで、「サーバー・インスタンス」をクリックし、目的のサーバー・インスタンスをクリックします。
サーバー・インスタンス:
ナビゲーション・ツリーの「アクション」メニューで、「モニター・メニュー」をクリックします。
「モニター」ページで、必要なサブタブをクリックして、サーバー・インスタンスの結果を表示します。
「OAMプロキシ・メトリックとチューニングの概要」も参照してください。
このトピックでは、ナビゲーション・ツリーでサーバー・インスタンスが選択されており、「システム構成」タブで「アクション」メニューの「モニタリング」メニュー・コマンドを選択すると表示されるサーバー・メトリックについて説明します。図12-1は、サーバー・プロセスのページを示しています。
「サーバー・プロセス概要」タブでは、次のOAMサーバー・イベントが各列に個別に整理されて表示されます。
表12-1 OAMサーバー・メトリック: 「サーバー・プロセス概要」タブ
サーバー・メトリックの列 |
---|
認可プロセス |
認可リクエスト |
認可プロセス失敗 |
認可プロセス成功 |
認証前プロセス失敗 |
認証前プロセス成功 |
図12-2は、個々の列のすべてのイベント・メトリックを表示するために表をデタッチした後の「セッション操作」の「モニタリング」タブを示しています。
OAMサーバーの「セッション操作」のメトリックには、次のものが含まれます。
図12-2 OAMサーバー・メトリック: 「セッション操作」
セッション操作 |
---|
セッション検証チェック |
セッション検証チェック失敗 |
セッション検証チェック成功 |
セッション作成 |
セッション作成失敗 |
セッション作成成功 |
セッション破棄 |
セッション破棄失敗 |
セッション破棄成功 |
クライアント・セッション削除 |
クライアント・セッション削除失敗 |
図12-3は、デタッチされたOAMの「サーバー操作」のモニタリング・ページを示しています。
OAMの「サーバー操作」のメトリックには、表12-3に示すものが含まれます。
表12-3 OAMサーバー・メトリック: 「サーバー操作」タブ
OAMサーバー: 操作のメトリック |
---|
認証ポリシー・レスポンス失敗 |
認証ポリシー・レスポンス成功 |
認証スキーム・レスポンス失敗 |
認証スキーム・レスポンス成功 |
認証の失敗 |
認証失敗レスポンス |
認証ポリシー・レスポンス |
認証リクエスト |
認証スキーム・レスポンス |
認証の失敗 |
認証の失敗 |
認可プロセスの失敗 |
認可プロセスの成功 |
図12-4は、使用可能なメトリックがすべて表示されているOAMサーバー・メトリック: 「OAMエージェント」タブを示しています。
「OAMエージェント」のパフォーマンス・メトリックには、次のものが含まれます。
エージェント名
エージェント・ステータス
バージョン
この項では、様々なコンポーネントのメトリックの確認方法と、チューニングが必要かどうかの判断方法を説明します。次のトピックが含まれます:
有効なOracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して、Oracle Access Managementコンソールを使用した様々なSSOエージェント・パフォーマンス・メトリックを表示できます。
前提条件
サーバーおよびエージェントが稼働している必要があります。
Oracle Access Managementコンソールを使用してSSOエージェント・パフォーマンスをモニターする方法
Oracle Access Managementコンソールで、「SSOエージェント」をクリックします。
必要なエージェント・タイプのノードを開きます。
OAMエージェント
OSSOエージェント
OpenSSOエージェント: エージェント・リクエストに対するOpenSSOプロキシの動作以外に、このエージェントをモニターする方法はありません。「DMSコンソールによるOpenSSOメトリックの確認」を参照してください。
通常どおり、モニターする必要のあるエージェントを検索します。
「検索結果」表で、必要なエージェントの「シリアル番号」をハイライト表示して、「アクション」メニューから「モニター」を選択します。
必要に応じて先に進みます。
表12-3に示すように、OAMエージェント・メトリックは次のタブにまたがって編成されています。
接続性
操作の概要
操作の詳細
情報
関連項目: Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド |
次の図は、1つのOAMエージェントに対するデタッチされた表を示しており、それぞれについて可能なメトリックがすべて表示されています。
この項では次のトピックを記載しています:
スループットとは、1秒間に処理されるリクエスト数を言います。待機時間とは、特定のリクエストを処理するために必要な時間を言います。WebgateとOAMサーバーの間にプロキシを導入することによる待機時間の増加は20%未満です。
表12-4は、使用できる様々なOAMプロキシ・メトリックを示しています。
表12-4 OAMプロキシ・メトリック
メトリック | 説明 |
---|---|
handshakes.active |
ハンドシェイクを行うアクティブ・スレッドの数 |
handshakes.avg |
初期ハンドシェイクの実行に要した平均時間 |
handshakes.completed |
初期ハンドシェイクが実行された回数 |
handshakes.maxTime |
初期ハンドシェイクの実行に要した最大時間 |
handshakes.minTime |
初期ハンドシェイクの実行に要した最小時間 |
handshakes.time |
初期ハンドシェイクの実行に要した合計時間 |
failedHandshakes.count |
失敗したハンドシェイク数 |
peerCompatibilityFailures.count |
ピア互換性チェック失敗の発生回数 |
openSecurityMode.count |
オープン・セキュリティ・モード・ハンドシェイクの発生回数 |
simpleSecurityMode.count |
シンプル・セキュリティ・モード・ハンドシェイクの発生回数 |
SSLSecurityMode.count |
SSLセキュリティ・モード・ハンドシェイクの発生回数 |
negotiateSecurityMode.active |
セキュリティ・モード・ネゴシエーションを実行中のアクティブ・スレッド数 |
OAMプロキシのパフォーマンスは、Java EEコンテナ管理コンソールを通じてその構成を変更することによってチューニングすることができます。
注意: Java EEコンテナ管理者とOracle Access管理者はどちらも、Java EEコンテナ管理コンソール(このドキュメントでは取り上げません)を使用してパフォーマンスをチューニングできます。 |
OAMプロキシのチューニング・パラメータを表12-5に示します。
この項では次のトピックを記載しています:
スループットとは、1秒間に処理されるリクエスト数を言います。待機時間とは、特定のリクエストを処理するために必要な時間を言います。モニター可能なイベントについては、表12-6を参照してください。
表12-6 OpenSSOプロキシ・サーバー・イベント
イベント | 説明 |
---|---|
ネーミング・サービスのリクエスト |
ネーミングのルックアップに対するリクエスト。OpenSSOプロキシによるこのリクエストの処理にかかるレスポンス時間をモニターできます。 |
エージェント認証プロセス |
エージェント認証は次の2つのフェーズで取得されています。
|
エージェント・セッション検証 |
エージェント・セッション検証 |
ユーザー認証 |
このイベントはクライアントSDKに対してのみ取得されます。この診断イベントを通して、クライアントSDKの認証にかかるレスポンス時間をモニターできます。 |
ユーザー・セッション認証 |
ユーザー・セッションの認証にかかる時間 |
ユーザー認可 |
特定のリソース用に構成されたポリシーによる認証にかかる時間 |
表12-7は、名前付きサーバーに対して使用できる様々なOpenSSOプロキシ・メトリックを示しています。
表12-7 OpenSSOプロキシ・メトリック: サーバー
メトリック | 説明 |
---|---|
AgentAuthentication_Login |
ログイン・フェーズ中に認証のためにエージェントから送信された認証リクエストに対するレスポンス時間の詳細 |
AgentAuthentication_LoginFailures |
ログイン・フェーズ中のエージェント認証リクエストの失敗数 |
AgentAuthentication_SubmitRequirements |
要求の送信フェーズ中に認証のためにエージェントから送信された認証リクエストに対するレスポンス時間の詳細 |
AgentAuthentication_SubmitRequirementsFailures |
送信要求フェーズ中のエージェント認証リクエストの失敗数 |
NamingServiceRequest |
ネーミング・サービス・リクエスト操作に対するレスポンス時間の詳細 |
NamingServiceRequestFailures |
ネーミング・サービス・リクエスト操作の失敗数 |
UserAuthentication_SDK |
ユーザー認証リクエストに対するレスポンス時間の詳細 |
UserAuthentication_SDKFailures |
ユーザー認証リクエストの失敗数 |
UserAuthorization |
ユーザー認可操作に対するレスポンス時間の詳細 |
UserAuthorizationFailures |
ユーザー認可操作の失敗数 |
ValidateAgentSession |
エージェント・セッションの検証操作に対するレスポンス時間の詳細 |
ValidateAgentSessionFailures |
エージェント・セッションの検証操作の失敗数 |
ValidateUserSession |
ユーザー・セッションの検証操作に対するレスポンス時間の詳細 |
ValidateUserSessionFailures |
ユーザー・セッションの検証操作の失敗数 |
表2は、各OpenSSOエージェントに対して使用できる様々なOpenSSOプロキシ・メトリックを示しています。
表12-8 OpenSSOプロキシ・メトリック: エージェント
メトリック | 説明 |
---|---|
AgentAuthentication_SubmitRequirements |
エージェントごとに収集された送信要求フェーズ中の認証リクエストに対するレスポンス時間の詳細 |
AgentCacheMode |
クライアント・ポリシー評価者のキャッシュ・モードを指定します。値は、subtreeまたはselfのいずれかです。 |
AgentFilterMode |
保護されたWebアプリケーションに対してエージェントがリクエストをフィルタする方法を指定します。デフォルトではグローバル値が機能し、保護されたアプリケーションで独自のフィルタ設定を持たないものに適用されます。 |
AgentHostName |
OpenSSOエージェントのホスト名 |
AgentIPAddress |
OpenSSOエージェントのIPアドレス |
AgentMappingMode |
ユーザーIDの決定に使用されるメカニズムを指定します。 |
AgentState |
OpenSSOエージェントの状態: 有効または無効。 |
UserAttributeName |
ユーザーIDを格納するユーザー・ストア属性を指定します。 |
UserAuthorization |
エージェントごとに収集されたユーザー認可操作に対するレスポンス時間の詳細 |
UserIdentity |
認証ユーザーのIDに対するセッション・プロパティ名を指定します。デフォルトは「UserToken」です。 |
ValidateAgentSession |
エージェントごとに収集されたエージェント・セッションの検証操作に対するレスポンス時間の詳細 |
agentType |
OpenSSOエージェントのタイプ: J2EEまたはWebエージェント。 |
有効なOracle Access Management管理者の資格証明を持つユーザーは、次の手順を使用して、DMSコンソールでOpenSSOプロキシ・メトリックを表示できます。
前提条件
OAMサーバーが稼働している必要があります。
DMSコンソールにアクセスする方法
ブラウザ・ウィンドウで、次のURLを使用してDMSコンソールに移動します。
http:// <example_AdminServer:Port/dms/Spy
Oracle Access Management管理者の資格情報を使用してログインします。
OpenSSOエージェント・メトリック: DMSメトリック表で、OAMS.OAM_Server.OPENSSO_Agentsをクリックします。
OpenSSOプロキシ・メトリック: DMSメトリック表で、OAMS.OAM_OpenSSOProxyをクリックして、コンソールの右側に結果を表示します。
Access Managerサービスはビジネス上重要なものであり、保護されている組織のWebサービスやアプリケーションに対するユーザーのアクセス制御のために、常に利用可能であることが必要です。ハードウェアやネットワーク接続性の問題、およびその他の障害が発生することがあるため、ロード・バランサはハートビート・モニタリングを活用して、ユーザー・トラフィックが正常なOAMサーバーに確実にルーティングされるようにする場合があります。たとえば、ユーザー・エージェントまたはWebGate (10または11g)と、10gまたは11gのAccess Managerサーバーとの間にファイアウォールがインストールされている場合に、周辺装置は、ハートビートURLにアクセスすることによって、Access Managerサーバーの可用性(そのヘルス)をチェックできます。次の各項では、詳細を説明します。
WebGateとAccess Managerサーバーの間にネットワーク・ファイアウォールをデプロイする場合、WebGateはメッセージ・チャネルを確立するために、Access ManagerとのTCPソケット接続を作成して、OAPプロトコルを使用して通信します。WebGateは、メッセージ・チャネルを使用して、リソース要求(isprotectedやisauthorizedなど)に応えるために必要な様々なOAPメッセージを送信します。ここで、WebGate/Oracle HTTP Serverがアイドル状態である状況を想定してみます。この場合には、WebGateはリソース要求を受け取っておらず、認証や認可のためにAccess Managerにメッセージを送信することもありません。また、ソケット接続上での読取り/書込み動作も行われません。
ファイアウォールでは、30-40分間アクティブではなかった場合(構成に依存します)に、この接続がアイドルであると判定してソケット接続を終了しますが、WebGateやAccess Managerサーバーには通知を行いません。このケースでは、WebGateがリソース要求を受け取ってAccess ManagerサーバーにOAPメッセージを送信する際には、既存の接続を使用してリプライを待ちます。接続はファイアウォールによって削除されているため、WebGateがリプライを受け取ることはなく、TCPタイムアウトを待つことになります。TCPタイムアウトの後、WebGateはメッセージ・チャネルが使用できないことを理解し、メッセージ・チャネルを新規に作成する処理を開始します。WebGateがユーザー要求を処理できなくなるTCPタイムアウトはOS固有の機能であり、数分から数時間までの幅があります。
OAMモニタリング・モデルでは、既定の時間間隔にて、Web層コンポーネント(ロード・バランサ)がOAM管理対象サーバーのハートビート・エンドポイントに向けて、pingをHTTP(S)経由で送信できます。これによってWeb層コンポーネントは、受信HTTPトラフィックを異常なOAM管理対象サーバー以外にルーティングさせることが可能です。すべてのOAM管理対象サーバーは、次のハートビートURLを公開しています。
Scheme://ManagedServerHost:ManagedServerPort/oam/server/HeartBeat
このURLの構成要素は次のとおりです。
scheme: https | http
ManagedServerHost: Access Manager WLS管理対象サーバーのホスト名
ManagedServerPort: Access Manager WLS管理対象サーバーが使用しているポート
ハートビートURLは次のように動作します。
Web層コンポーネントは、Access Manager管理対象サーバーのハートビート・エンドポイントにHTTPリクエストを送信します。
すると、Access Manager管理対象サーバーは、次の処理を実行します。
Idストアの接続性を確認します。
ポリシー・ストアの接続性を確認します。
資格証明コレクタURLがアクセス可能であることを確認します。
コヒーレンス・レイヤーの動作の健全性チェックを行います。
NAP接続性をチェックします。
前述のテストが成功した場合には、Access Managerサーバーは正常であるとみなされ、HTTP 200応答がロード・バランサに送信されます。それ以外のHTTPステータス・コードはすべて、Access Manager管理対象サーバーが異常であることを示します。
複数台のAccess Manager管理対象サーバーがデプロイメント中に存在する場合、Web層コンポーネントは各OAM管理対象サーバーに対してこの処理を繰り返します。
注意: ヘルス・ステータスのテスト結果またはチェック結果のいずれも、HTTP応答のボディ部で通信することはできません。 |