Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、Oracle Access Managementと連携する管理対象サーバー・インスタンスの登録方法を説明します。本書では、この管理対象サーバーをOAMサーバーと呼びます。このタスクはOracle Access Managementコンソールを使用して行います。
次のトピックが含まれます:
次の環境的な考慮事項が満たされていることを確認してください。
Oracle WebLogic Server管理コンソールまたはWLSTコマンドを使用して、新しい管理対象サーバーがドメインに追加されている。
必要に応じて、Oracle JRFテンプレートが管理対象サーバー(またはクラスタ)に適用されている。詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。
「OAMサーバー、登録および管理の概要」を確認することをお薦めします。
Oracle Access Managementコンソールは、WebLogic管理サーバーと同じコンピュータにインストールして実行する必要があるJava EEアプリケーションです。WebLogic管理サーバーで実行する他の重要なアプリケーションには、WebLogic Server管理コンソールとFusion Middleware Control用のEnterprise Managerがあります。
注意: Oracle Access Managementコンソールは、OAM管理サーバーと呼ぶこともあります。ただし、これはWebLogic管理対象サーバー上にデプロイされたOAMサーバーと同類ではありません。 |
Oracle WebLogic管理対象サーバーにデプロイされたOracle Access Management実行時インスタンスは、OAMサーバーと呼びます。OAMサーバーは、Access Managerに登録されている必要があります。これにより、認証時、認可時およびリソースへのアクセス時にエージェントとの通信が可能になります。
管理者はWebLogic Serverドメインを拡張して、別のOAMサーバー・インスタンスを必要に応じて次の方法で追加できます。
WebLogic Server管理コンソール。Oracle Access Managementコンソールを使用して、OAMサーバー・インスタンスを手動で登録した後で使用します。
WebLogic構成ウィザード
カスタマイズされたOracle WebLogicスクリプト・ツール(WLST)コマンド(Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンスを参照)
最後の2つの方法では、Oracle Access Managementコンソールに表示されるOAMサーバー・インスタンスが自動的に登録され、他に必要な手順はありません。
関連項目: 『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』。 |
この項では、Oracle Access Managementコンソールを使用した、OAMサーバー・インスタンスの登録と管理の概要について説明します。
管理者は、1つ以上の管理対象サーバーをOracle Access ManagementのWebLogic Serverドメインに追加できます。
WebLogic構成ウィザードを使用するときに、OAMサーバーは自動的に登録されます。ただし、構成ウィザードを使用しない場合は、通信チャネルを開くためにOAMサーバーを手動で登録する必要があります。
または、 OAM用のカスタムWLSTコマンドを使用して、サーバー登録を表示、編集または削除できます。すべての変更は自動的にOracle Access Managementコンソールおよびクラスタ内のすべてのOAMサーバーに伝播されます。
関連項目: Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス |
OAMサーバーのみがOracle Access Managementに登録されます。Oracle Access Managementコンソール(WebLogic管理サーバー上)は、自身には登録されません。
OAMサーバーの登録に使用された方法に関係なく、各インスタンスの詳細はOracle Access Managementコンソールの「システム構成」タブの「共通構成」セクションにあります。
サーバー名、ホスト、ポート
プロキシ: レガシー・アクセス・サーバーとして実行され、通信のセキュリティ・モードを定義します。詳細な情報は、次を参照してください:
Oracle Coherence: セッション・データを含む様々なOAMサービスに分散されたキャッシュを提供します。
管理者は特定のインスタンス登録を検索し、新しくインストールされたOAMサーバーを登録して、Oracle Access Managementコンソールを使用してサーバー登録を表示、変更または削除できます。詳細については、「OAMサーバー登録のページについて」を参照してください。
Oracle Access Managementのサーバー側コンポーネントには、Oracle Access Manager 10gポリシー強制エージェント(10g Webgateおよびアクセス・クライアント)およびOracleAS SSO 10g mod_osso (11gではOSSOエージェントと呼びます)に加え、OpenSSOエージェントとの下位互換性を維持するための、プロキシ・サーバーが含まれています。
レガシー10g SSO: OAMプロキシは複数のアクセス・クライアントから同時にリクエストを受け入れることが可能で、すべてのWebゲートおよびアクセス・ゲート(11gではアクセス・クライアントと呼びます)がAccess Managerと情報交換できるようにします。詳細については、「「OAMプロキシ」ページ」を参照してください。
レガシーOracleAS 10g (OSSO): 統合されたOSSOプロキシは、Access Manager使用時のOSSOエージェントを使用した認証中に、トークン生成およびトークン・リクエストに応じた検証を処理します。OSSOプロキシに構成は必要ありません。第15章および第16章の説明に従って、OSSOエージェントを登録するのみです。
古いデプロイメントにOracle Access Manager 10gが統合され、OracleAS (OSSO) 10gとともに使用されている場合、OracleAS SSOをアップグレードして、Access Manager SSOを使用できます。
Access Manager 11gを使用するためにOSSOをアップグレードすると、10g Webgatesを同じデプロイメント内のAccess Manager 11g SSOとともに動作させることができます。この場合は、OAMプロキシが必要に応じてOAM 10gアクセス・サーバーまたはAccess Manager 11gのどちらかにリクエストを転送します。
Oracle Access Manager 10g ObSSOCookieは、暗号化されたセッション・ベースのシングル・サインオンcookieで、ユーザーの認証が成功すると生成されます。10g ObSSOCookieはユーザー・アイデンティティ・ストア情報を格納し、必要があればユーザーはそれをキャッシュ化できます。
統合されたOAMプロキシは、10g ObSSOCookieのAES暗号化アルゴリズムをサポートして、リリース10g Webgateとの下位互換性を可能にします。10g Accessサーバーは、OAMプロキシによって作成されたCookieを復号化できます(その逆も可)。これにより、Access Manager 11gで認証を実行し、Oracle Access Manager 10gで認可を実施できます(さらにこの逆も可能です)。
注意: OAMプロキシによって作成されたAccess Manager 11g ObSSOCookieは、アクセス・サーバーによって作成された10g ObSSOCookieと互換性があります。 |
詳細については、「「OAMプロキシ」ページ」を参照してください。
OAPチャネルの通信モードには次のものがあります。
オープン: 通信のセキュリティがデプロイメントで問題にならない場合、この暗号化されていないモードを使用してください。
簡易: 認証局(CA)を自分で管理せずに証明書パスワードをプレーン・テキストとして送信するなど、セキュリティ上の考慮事項がある場合に、このオラクル社が署名する証明書モードを使用します。
証明書: OAMサーバーとWebgateで異なる証明書を使用し、信頼できるサード・パーティの認証局にアクセスがある場合に、これを使用します。
個々のOAMサーバー登録で、セキュリティ・モードは「プロキシ」タブで定義されます。この詳細は「OAMサーバー登録のページについて」にあります。
「簡易」と「証明書」のモードには以下が必要です。
すべてのOAMサーバーとWebgateに共通のセキュリティ・パスワード(「OAMプロキシの「簡易」および「証明書」モード・セキュリティのアクセス・プロトコルの管理」を参照してください)。
適切に署名されたX.509デジタル証明書。詳細は付録C「通信の保護」を参照してください。
少なくとも1つのOAMサーバー・インスタンスが、エージェント登録時にエージェントと同じモードで実行中である必要があります。そうでなければ、エージェント登録が失敗します。ただし、エージェント登録の後に、OAMサーバーの通信モードは変更できます。エージェントとサーバー間の通信は、WebgateモードがOAMサーバーのモードと同じか、またはそれ以上であれば続けて機能します。エージェント・モードは高くでも問題ありませんが、低くすることはできません。たとえば、OAMサーバーのモードがオープンの場合、エージェントは3つのモードのどれでも通信することができます。OAMサーバー・モードが簡易の場合、エージェントは簡易または証明書を使用できます。OAMサーバー・モードが証明書の場合、エージェントは証明書モードを使用する必要があります。
Oracle Access Managementのほとんどの機能サービスは、OAMサーバーを再起動することなく、Oracle Access Managementコンソールから行った変更を反映します。表6-1に、サーバーの再起動が必要になる条件を示します。
表6-1 サーバーの再起動が必要になる条件
イベント | 説明 |
---|---|
セッション永続性の変更 |
セッションの永続性をデータベースからメモリー内(またはその逆)に変更すると、OAMサーバーの再起動が必要になります。 |
Oracle Coherenceのポート番号 |
ポート番号を変更すると、OAMサーバーの再起動が必要になります。 |
ロード・バランサ・サーバーの定義 |
変更すると、OAMサーバーの再起動が必要になります。 |
管理対象サーバーのポート番号 |
変更すると、OAMサーバーの再起動が必要になります。 |
新しい管理対象サーバー |
新しい管理対象サーバーをクラスタに追加したときには、AdminServerを再起動してポリシーの取得を可能にする必要があります。 Oracle Coherenceのセキュリティ構成を新しく組み込んだサーバーを含めて再初期化するために、OAMサーバーを再起動する必要があります。 |
この項では、Oracle Access Managementコンソールを使用して、OAMサーバー・インスタンスを登録および管理する方法を説明します。ここでのトピックには次が含まれます:
有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用して、新しくインストールされた管理対象サーバー(OAMサーバー・インスタンス)を登録したり、既存のOAMサーバー登録を変更できます。
または、カスタムWLSTコマンドを使用して、OAMサーバー・インスタンスを登録および管理できます。変更はOracle Access Managementコンソールに反映されて、クラスタ内のすべてのOAMサーバーに自動的に伝播されます。
関連項目: Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス |
図6-1は、Oracle Access Managementコンソールから見た一般的なOAMサーバーの登録ページを示します。
個々のサーバー登録設定の説明は、表6-2にあります。
表6-2 OAMサーバー・インスタンスの設定
要素 | 定義 |
---|---|
サーバー名 |
このサーバー・インスタンス名を識別する名称。WebLogic Serverドメインの初回デプロイメント時に定義されています。 |
ホスト |
サーバー・インスタンスをホストするコンピュータのフルDNS名(またはIPアドレス)。例: host2.domain.com。 |
ポート |
このサーバーが通信(リスニングと応答)するポート。 デフォルト: 5575 注意: 管理対象サーバーのSSLおよびオープン・ポートの両方が有効な場合、管理対象サーバーはデフォルトでSSLポートに設定されます。SSL以外のポートを使用する必要がある場合、認証スキームの資格証明コレクタのURLは、プロトコルとして 関連項目: 付録C「通信の保護」 |
プロキシ |
「「OAMプロキシ」ページ」を参照してください。 |
コヒーレンス |
「個々のサーバーの「コヒーレンス」ページ」を参照してください。 |
統合されたプロキシ・サーバー(OAMプロキシ)が、OAMサーバーの各管理対象サーバーとともにインストールされます。OAMプロキシはレガシー・アクセス・サーバーとして使用され、Access Manager 11gに登録された10gエージェントの下位互換性を提供します。エージェントは新しくインストールするか、Oracle Access Manager 10g SSOデプロイメント内で現在動作中でもかまいません。
それぞれのOAMプロキシ・インスタンスには、異なるポートが必要です。プロキシは、アプリケーションが起動するとリスニングを開始します。登録されたアクセス・クライアントは、プロキシとすぐに通信することができます。
OAMプロキシは、構成と実行時のイベントを両方処理します。それぞれのOAMプロキシは、複数のアクセス・クライアントからのリクエストを同時に受け入れることができます。各OAMプロキシによって、アクセス・クライアントはAccess Manager 11gとやり取りが可能になります。内容は次のとおりです。
10g (10.1.4.3) Webgate
10g (10.1.4.2.0) Webgate
10g (10.1.4.0.1) Webgate
11g Webgate(プロキシ不要)
注意: アクセス・クライアントについては、Access Manager 11gは認証と認可の機能のみを提供します。アクセス・クライアントによるポリシーの変更はサポートされていません。 |
OAMプロキシ設定は、表6-3の詳細から構成されます。
表6-3 個別のOAMサーバーのOAMプロキシ設定
OAMプロキシ設定 | タイプ | 値 |
---|---|---|
ポート |
int(整数) |
このOAMプロキシ・インスタンスがリスニングする一意のポート。 |
プロキシ・サーバーID |
OAMプロキシ(およびこのOAMサーバー・インスタンス)が存在するコンピュータの識別子。DNSホスト名が推奨ですが、有効かつ適切な任意の文字列を使用できます。 |
|
モード |
OAMプロキシのOAMチャネル・トランスポート・セキュリティは、次のいずれかを使用できます(エージェント・モードは登録時に一致する必要があり、登録後に上げることができます)。
注: 「簡易」および「証明書」のトランスポート・セキュリティ・モードは、「OAMサーバー共通プロパティ」の「OAMプロキシ」タブで定義された情報により制御されます(「OAMプロキシの「簡易」および「証明書」モード・セキュリティのアクセス・プロトコルの管理」を参照してください)。 関連項目: 付録C(「簡易」および「証明書」トランスポート・セキュリティ・モードを構成する場合) |
OAMプロキシ・ロギング: Oracle Access Managementサービスは、他のOracle Fusion Middleware 11gコンポーネントと同じロギング・インフラストラクチャを使用します(第9章を参照してください)。しかし、OAMプロキシはロギングにApache log4jを使用します。
Coherenceは、信頼性があり、スケーラビリティの高いピアツーピア・クラスタリング・プロトコルの上に、レプリケートおよび分散(パーティション)されたデータ管理およびキャッシング・サービスを提供します。Coherenceには単一障害点がなく、サーバーが動作不能になった場合やネットワークから切断された場合に、クラスタ化データ管理サービスを自動的および透過的にフェイルオーバーおよび再分散します。
新しいサーバーが追加されたり、障害の起きたサーバーが再起動されると、サーバーは自動的にクラスタに加わってCoherenceはサービスをそのサーバーにフェイルバックして、クラスタ・ロードを透過的に再分散します。Coherenceには、サーバーが自己修復できるようにするネットワーク・レベルの耐故障性機能と透過的なソフト再起動の機能があります。
Coherenceモジュールは、図6-1に示すように、値と個々のサーバー・インスタンスのタイプから構成されます。
警告: Oracleサポートから指示がないかぎり、個々のサーバーのOracle Coherenceの設定を変更しないようお薦めします。 |
表6-4 個別のOAMサーバーのデフォルトのCoherence設定
Coherenceモジュール | エントリのタイプ | 説明とデフォルト値 |
---|---|---|
LogLevel |
文字列 |
OAMサーバー・イベントのCoherenceログ・レベル(0から9)。 |
LogPort |
int(整数) |
WebLogic Serverでロギングを行うCoherenceのリスニング・ポート。 |
LogLimit |
文字列 |
Coherenceのログ制限 |
Coherenceのロギング: WebLogic Serverログにのみ表示されます。Oracle CoherenceロギングからOracle Access Managementのロギングへの橋渡しはありません。Oracle Fusion Middleware 11gロギング・インフラストラクチャの詳細については、第8章を参照してください。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access Managementコンソールを使用して新しい管理対象サーバー(OAMサーバー)のインスタンスを登録できます。
注意: エージェントと通信するには、それぞれのOAMサーバーが登録されている必要があります。 |
前提条件
新しい管理対象サーバーのインスタンスが、Oracle WebLogic Serverドメインで構成され、まだ起動されていない状態である必要があります。
関連項目:
|
OAMサーバー・インスタンスの登録の手順
新しい管理対象サーバー・インスタンスをOracle WebLogic Serverドメインにインストールして構成し、このインスタンスを起動しないでください。
Oracle Access Managementコンソールにログインします。
「サーバー・インスタンス」→「作成」をクリックして新しいページを開きます。
「作成: OAMサーバー」ページで、表6-2のとおりにインスタンスの詳細を入力します。
サーバー名
ホスト
ポート
プロキシ: このOAMプロキシ・インスタンスの詳細を入力または選択します。詳細は表6-3にあります。
ポート
プロキシ・サーバーID
モード(オープン、簡易、証明書)
Coherence: Oracleサポートから指示がないかぎり、個々のサーバー・インスタンスのOracle Coherenceの設定を変更しないようお薦めします。
構成を送信するには「適用」をクリックます。構成はナビゲーション・ツリーに表示されます。または、変更を適用せずにページを閉じてください。
新しく登録したサーバーを起動します。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行して、Oracle Access Managementコンソールを使用して個々のサーバー・インスタンスの設定を表示または変更できます。たとえば、リスニング・ポートやプロキシ通信のトランスポート・セキュリティ・モードの変更が必要になる場合があります。
変更はすぐにOracle Access Managementコンソールに表示され、クラスタ内のすべてのOAMサーバーに伝播されます。
関連項目:
|
サーバー・インスタンスの登録を表示または変更する手順
Oracle Access Managementコンソールで、「サーバー・インスタンス」をクリックします。
希望するインスタンス名をダブルクリックして構成を表示し、次のように処理を続けます。
表示のみ: 詳細の閲覧が終わったら、ページを閉じます。
変更: 残りの手順を実行して、構成を編集します。
「OAMサーバー」ページで、表6-2に従ってインスタンスの詳細を変更します。
プロキシ: 表6-3に従ってこのOAMプロキシ・インスタンスの詳細を変更します。
Coherence: Oracleサポートから指示がないかぎり、個々のサーバー・インスタンスのOracle Coherenceの設定を変更しないようお薦めします。
「適用」をクリックして、変更を送信します(または変更を適用しないでページを閉じます)。
有効な管理者の資格証明を持つユーザーは、次のタスクを実行してサーバー登録を削除できます。削除すると、OAMサーバーが無効になります。
前提条件
サーバー登録を削除する手順
「システム構成」タブの「共通構成」セクションから、ナビゲーション・ツリーで「サーバー・インスタンス」ノードをクリックして展開します。
希望するインスタンス名をダブルクリックして詳細を確認してから、ページを閉じます。
希望するインスタンス名をクリックして、ツール・バーで「削除」ボタンをクリックし、「確認」ウィンドウで削除を確認します。
インスタンスがナビゲーション・ツリーから削除されたことを確認します。
WebLogic Server管理consoleからインスタンスを削除して、サーバー・インスタンスの削除を完了します。
あとは管理対象サーバー・ホスト上のノード・マネージャが自動的に処理します。