Oracle® Fusion Middleware Oracle Identity and Access Management高可用性ガイド 11gリリース2 (11.1.2.2) B69538-05 |
|
前 |
次 |
この章では、Oracle Access Management Identity Federation 11gR2の高可用性について説明します。Identity Federationの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess Manager 11gR2との統合に関する項を参照してください。
この項には次のトピックが含まれます:
Identity Federationサービスは、複数ドメインのアイデンティティ・ネットワークのOracle Access Management Access Managerに対してシングル・サインオン機能を提供します。もっとも広範なフェデレーション標準のセットがサポートされ、これにより、ソリューション・セットでその他のOracle Identity Management製品が実装されているかどうかに関係なく、異種環境とビジネス結合に属するユーザーのフェデレーションが可能になります。
Identity Federation 11gリリース2のみで、サービス・プロバイダ(SP)機能がサポートされます。アイデンティティ・プロバイダ(IDP)サポートでは、Identity Federation 11gリリース1を使用してください。
Identity Federationは、SPとして機能することで、帯域外の複数のセキュリティ・ドメイン間でユーザー同期をせずに、ユーザー認証をIDPにオフロードする間もリソース管理を可能にします。IDPで認証されると、SPは、ローカル・アクセス・ポリシーに応じて、そのSPのアプリケーションに対するユーザーのアクセスを許可または拒否できます。
ユーザーがそのIDPに対するアカウントを持っていない場合、フェデレーションは終了し、そのユーザーのドメイン間でのシングル・サインオンは自動的に無効化されます。
Identity Federationの主要な機能には、次のサポートが含まれます。
SAML 1.x、SAML 2.0などの複数の主要なフェデレーション・プロトコル
プロトコルを超えたシングル・サインオンおよびサインアウト
X.509証明書検証
Access Managerとのネイティブ統合
Access ManagerによりサポートされるすべてのLDAPディレクトリとの統合
Identity FederationのAccess Managerとの統合方法の詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess Manager 11gR2との統合に関する項を参照してください。
Identity Federationは、クロス・ドメイン・シングル・サインオンにSP機能を提供するOracle Access Managementコンポーネントです。Oracle Access Managementによるリモートアイデンティティ・プロバイダ・パートナへのユーザー認証の委任が可能になります。SAML 1.x、SAML 2.0などの広範なフェデレーション標準のセットをサポートします。
Identity Federationは、WebLogic Server上にデプロイされるAccess Manager J2EEアプリケーションの一部です。
Identity FederationはAccess Server内で動作するため、ランタイム・プロセスはAccess Managerと同じです。詳細は、第6.1.1.2.1項「Access Managerプロセスのライフサイクル」を参照してください。
Identity FederationのプロセスのライフサイクルはAccess Managerと同じです。詳細は、第6.1.1.2.1項「Access Managerプロセスのライフサイクル」を参照してください。
Identity Federationのリクエスト・フローの詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のアーキテクチャに関する項を参照してください。
Identity Federationの構成アーティファクトには、次のファイルが含まれます。
DOMAIN_HOME/config/fmwconfig/oam-config.xml — インスタンス固有の情報を格納する構成ファイルです。
DOMAIN_HOME/config/fmwconfig/oam-policy.xml — OES Micro SMが使用されていない場合にのみ存在します。
DOMAIN_HOME/config/fmwconfig/servers/instanceName/logging.xml — ロギング構成です。
DOMAIN_HOME/config/fmwconfig/cwallet.sso — アイデンティティ・ストア、データベースおよびその他のエンティティへの接続に使用するパスワードを格納します。これは、エンド・ユーザー用のパスワードではありません。
DOMAIN_HOME/config/fmwconfig/.oamkeystore — OAM/Identity Federationが所有する鍵と証明書を格納するキーストアです。
DOMAIN_HOME/config/fmwconfig/amtruststore — X509証明書の検証に使用されるトラスト・アンカーを格納するキーストアです。
DOMAIN_HOME/config/fmwconfig/amcrl.jar — 証明書失効に使用するCRLを格納するzipファイルです。
DOMAIN_HOME/config/fmwconfig/default-keystore.jks — OWSMエージェントが使用する鍵と証明書を格納するOWSMキーストアです。また、WSS操作のためのX.509証明書の検証に使用されるトラステッド・アンカーも格納されます。
DOMAIN_HOME/config/fmwconfig/servers/servername/dms_config.xml — イベント構成ファイルです。
DOMAIN_HOME/config/fmwconfig/component_events.xml — 監査定義です。
DOMAIN_HOME/config/fmwconfig/system-jazn-data.xml — 管理コンソールの権限です。
DOMAIN_HOME/config/fmwconfig/cacerts.jks — 認証局証明書を格納するキーストアです。
Identity Federationサーバーの機能に必要な外部コンポーネントは次のとおりです。
WebLogic Server
管理サーバー
管理対象サーバー
LDAPベースのアイデンティティ・ストア
ユーザー・アイデンティティ・リポジトリ
ユーザー/ロールAPIによって抽象化されるLDAPアクセス
注意: Access Managerは、常に1つのアイデンティティ・ストアに接続しますが、そのアイデンティティ・ストアは物理サーバーまたはロード・バランサIPです。プライマリが停止した場合、Access Managerはロード・バランサに再接続し、ロード・バランサによってセカンダリに接続します。 |
OCSPレスポンダ・サービス
リアルタイムX.509認証検証
RDBMSポリシー・ストア/Coherenceストア
ポリシー(認証および認可)リポジトリ
Access Managerポリシー・エンジンによって抽象化されるRDBMSアクセス
Oracle Entitlements Server (OAM経由)
フェデレーション・データ・キャッシュ
セッションおよびランタイム情報用。このために、メモリー・ストアまたはRDBMSストアを使用するようにIdentity Federationを構成できます。ただし、高可用性環境では、RDBMSストアを使用する必要があります。
データ・リポジトリ
フェデレーションに関連するセッション情報、ユーザーがサイン・インしたパートナおよびプロトコル・データはセッションおよびキャッシュに格納されます。このデータのために、メモリー・ストアまたはRDBMSストアを使用するようにIdentity Federationを構成できます。高可用性環境では、RDBMSストアを使用する必要があります。
WebLogic Serverのログ・ファイルのデフォルトの場所は次のとおりです。
WEBLOGIC_SERVER_HOME
/user_projects/domains/domainName
/servers/serverName
/logs/serverName
-diagnostic.log
ログ・ファイルを表示するには、Oracle Enterprise Manager Fusion Middleware Controlを使用します。
この項では、Identity Federationを2ノードのクラスタ構成による高可用性で使用する場合の概要について説明します。
この項には次のトピックが含まれます:
図9-2は、Identity Federationのアクティブ/アクティブ構成での高可用性アーキテクチャを示しています。
図9-2では、ハードウェアのロード・バランサが着信認証リクエストを受信し、それらをWeb層のWebサーバーにルーティングしています。これらのホストにはOracle HTTP Serverがインストールされています。Oracle HTTP Serverによって、WebLogicプラグインmod_wl_ohs.conf
が使用されてWebLogic管理対象サーバーにリクエストが転送されます。
ロード・バランシング・ルーターは、HTTPトラフィックに対してのみセッション・スティックネスを使用する必要があります。
Oracle Access Serverアプリケーションをホストする2つの管理対象サーバーは、アクセス・サーバーがアクティブ/アクティブ・モードで動作できるように、クラスタで構成されます。
アクセスされるリソースがフェデレーション・スキームによって保護される場合、OAMはフェデレーション・エンジンを使用してユーザーを認証します。
フェデレーション・エンジンによって使用されるLDAPディレクトリは、クラスタ内にデプロイされます。
Oracle RACデータベースは、データ層における高可用性を提供します。
WebLogic管理サーバーは、管理対象サーバーの1つと同じホスト上で実行され、WebLogic管理コンソール、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle Access Managementコンソールをデプロイします。2つ目の管理対象サーバーが動作するホスト・マシン上で、管理サーバーをアクティブ/パッシブ・モードで実行するように構成できます。この構成では、最初の管理サーバーが使用できなくなった場合に、2番目のホスト上の管理サーバーを手動で起動できます。
Identity Federationクラスタは、OAMクラスタと同じ方法で起動および停止します。詳細は、第9.2.1.1項「クラスタの起動と停止」を参照してください。
1つのクラスタ・メンバーによって加えられた構成変更は、その構成が共有データベースに格納されているため、すべてのメンバーに自動的に伝播されます。詳細は、第9.2.1.2項「クラスタワイドの構成変更」を参照してください。
Identity FederationはOAMの一部のため、前提条件はOAMと同じです。詳細は、第9.2.1.2項「クラスタワイドの構成変更」を参照してください。
注意: Identity Federationを高可用性デプロイメントで使用する場合は、クラスタ・ノードのシステム・クロックを同期する必要があります。 |
OAMサーバー上で動作する機能として、Identity Federationの高可用性をOAMの高可用性の一部として構成します。OAMの高可用性を構成するには、第6.3項「Access Managerの高可用性の構成手順」を参照してください。Identity Federationの高可用性の構成時には、次の特別な考慮事項に注意してください。
OAMとIdentity Federation構成のホスト名とポートには、ロード・バランサのホストとポートを設定することをお薦めします。このように設定しない場合、シングル・サインオンおよびログアウト操作でエラーが発生します。また、別のホスト上にリストアされた後に、対応するエージェントの構成を更新する必要がないように、OAM構成で仮想化されたホスト名を使用することをお薦めします。
ProviderIdは、SPを一意に識別する文字列です。クラスタ内のすべてのサーバーのProviderIdは同一である必要があります。インストール時のProviderIdのデフォルトは、http://host:port/oam/fed/
です。必要に応じて、インストール後にこの値を変更または設定しますが、運用時には変更しないでください。
セッション・データが格納されているRACデータベースへの接続を調整できます。
アーティファクト・プロファイルを使用する場合は、WLSTを使用してSOAP接続の詳細を調整します。
設定可能なIdentity Federationパラメータは次のとおりです。
発信SOAP接続
チューニング可能な発信SOAP接続のパラメータは次のとおりです。
最大合計接続数
ホスト当たりの最大接続数
RDBMS一時ストアの非同期設定
表9-0は、RDBMS一時ストアの非同期設定を示します。
表9-1 RDBMS一時ストアの非同期設定
設定 | 説明 |
---|---|
rdbmsasynchronousmanagerinterval |
非同期のスレッド・マネージャに対する実行間隔 |
rdbmsasynchronousmanagersleep |
非同期のスレッド・マネージャのスリープ間隔で、実行が発生したかどうかを確認します。 |
rdbmsasynchronousqueuesize |
同じタイプのRDBMS操作(セッションの作成、アーティファクトの作成)が含まれるキューのサイズ |
rdbmsasynchronousqueuesleep |
キューがいっぱいの場合に、コール元スレッドがキューに操作の追加をリトライできるまでのスリープ時間 |
rdbmsasynchronousqueueretries |
キューがいっぱいの場合に、キューに操作の追加を試みる際のリトライ数 |
rdbmsasynchronousthreadcore |
RDBMS非同期操作に対するRDBMSスレッドのエグゼキュータ・モジュールでのデフォルトのスレッド数 |
rdbmsasynchronousthreadkeepalive |
RDBMS非同期操作に対するRDBMSスレッドのエグゼキュータ・モジュールでの外部スレッドの最大保持時間 |
rdbmsasynchronousthreadmax |
RDBMS非同期操作に対するRDBMSスレッドのエグゼキュータ・モジュールでの最大スレッド数 |
rdbmsasynchronousthreadpolicy |
RDBMS非同期操作に対するRDBMSスレッドのエグゼキュータ・モジュールのスレッド・ポリシー |
rdbmsasynchronousthreadqueuesize |
RDBMS非同期操作に対するRDBMSスレッドのエグゼキュータ・モジュールのスレッドのキュー・サイズ |
RDBMSアーティファクトのメモリー・キャッシュ設定
表9-0は、RDBMS非同期モジュールとともに使用されるRDBMSアーティファクトのメモリー・キャッシュ設定を示します。
表9-2 RDBMSアーティファクトのメモリー・キャッシュ設定
設定 | 説明 |
---|---|
artifactrdbmscachetimeout |
メモリー・キャッシュでの存続時間 |
artifactrdbmsretries |
失敗を返すまでのRDBMSでのエントリ検出の最大リトライ数 |
artifactrdbmssleep |
操作の参照をリトライする間のスリープ時間 |
RDBMSのメモリー・キャッシュ設定
表9-3は、RDBMSのメモリー・キャッシュ設定(アーティファクト設定を除く)を示します(表9-2を参照)。
表9-3 RDBMSのメモリー・キャッシュ設定
設定 | 説明 |
---|---|
transientrdbmscachesize |
キャッシュ・サイズ |
transientrdbmscachetimeout |
無効になるか、オブジェクトの検索時にRDBMSの参照操作が強制されるまでのキャッシュ・オブジェクトの存続時間 |
RDBMSクリーン・アップ・スレッドの間隔
RDBMSクリーンアップのスレッド間隔の設定はrdbmscleanupinterval
で、これは、Identity Federationデータベース表から期限切れのエントリを削除するスレッドのスリープ間隔を示します。
この項では、高可用性環境にデプロイされたIdentity Federationインスタンスのフェイルオーバー操作の実行手順と、予想される動作について説明します。
Identity Federationインスタンスのフェイルオーバーのテストを実行し、Identity Federationのステータスを確認するには、次の手順に従います。
管理サーバーのコンソールにログインします。「ホーム」→「セキュリティ・レルムのサマリー」→「myrealm」→「ユーザーとグループ」→「レルム・ロール」→「グローバル・ロールの編集」の順に移動します。グループOAMAdminstrators
を追加します。
OAM管理コンソールにログインします。「システム構成」→「共通設定」→「使用可能なサービス」の順に移動して、Identity Federationを有効化します。
IDPインスタンス(Oracle Identity Federation 11gリリース1インスタンス)とSPとして機能するこのIdentity Federation 11gリリース2インスタンス間に、Identity Federationを設定します。
OAM 11gR2と統合し、OIFSchemeでリソースを保護します。『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』のAccess Manager 11gR2との統合に関する項の手順に従います。
2つの管理対象サーバーのうちの1つを停止し、保護されたリソースへのアクセスを試みます。
IDPログイン・ページが表示されたら、前述の手順で停止した管理対象サーバーを再起動して、動作中の管理対象サーバーを停止し、操作の完了を試みます。
Identity Federationに関する問題をトラブルシューティングするには、次のヒントを使用します。
Identity Federationのメッセージは、次のような管理対象サーバーのログ・ファイルに記録されます。
WEBLOGIC_SERVER_HOME
/user_projects/domains/domainName
/servers/serverName
/logs/serverName
-diagnostic.log
Identity Federationサーバー構成のホスト名とポートには、ロード・バランサのホストとポートが設定されていることを確認します(このように設定しない場合、シングル・サインオン操作でエラーが発生します)。
IDPとSPを実行する各コンピュータのシステム・クロックの時間が異なると、シングル・サインオンの際にエラーが発生します。これを修正するには、同じ時間になるようにシステム・クロックの時間を設定するか、Oracle Enterprise Manager Fusion Middleware Controlの「サーバー・プロパティ」ページを使用してサーバー・ドリフトを調整します。
ProviderId
はIDP/SPを一意に識別する文字列であり、クラスタ内のすべてのサーバーで同一である必要があります。インストール時のProviderId
文字列のデフォルトは、http://
host
:
port
/oam/fed
です。ProviderId
を変更する必要がある場合は、運用時ではなく、インストール後に変更してください。