| Oracle® Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド 11gリリース2 (11.1.2.2.0) B71694-10 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド 11gリリース2 (11.1.2.2.0) B71694-10 |
|
前 |
次 |
この章では、Identity and Access Managementのドメインを拡張して、Oracle Adaptive Access Managerを追加する手順を説明します。
この章の内容は次のとおりです。
第12.12項「Oracle Adaptive Access ManagerとOracle Access Management Access Managerの統合」
第12.12項「Oracle Adaptive Access ManagerとOracle Access Management Access Managerの統合」
12.13項「Oracle Adaptive Access Manager 11gとOracle Identity Manager 11gの統合」
Oracle Adaptive Access Manager (OAAM)は、プラットフォームのプレゼンテーション層、ビジネス・ロジック層およびデータ層を独立させた、Java EEベースの複数層デプロイメント・アーキテクチャ上に構築されています。このように各層が独立しているので、OAAMは、お客様のパフォーマンス要件に合せてすばやく規模を調整できます。このアーキテクチャでは、Java、XMLおよびオブジェクト・テクノロジを組み合せた、最も柔軟でサポート対象となっているクロス・プラットフォームのJava EEサービスを利用できます。このアーキテクチャによって、OAAMはスケーラブルでフォルト・トレラントなソリューションとなっています。
Oracle Adaptive Access Managerは、次の2つのコンポーネントで構成されています。
OAAM管理アプリケーション
OAAMサーバー・アプリケーション
このワークシートを使用してOAAMの情報を記録します。
表12-1 OAAMの詳細
| 説明 | ドキュメント内での変数 | ドキュメント内での値 | 実際の値 |
|---|---|---|---|
|
OAAM管理対象サーバーの名前 |
wls_oaam1 wls_oaam2 |
||
|
OAAM管理対象サーバーのポート |
|
14300 |
|
|
OAAM管理対象サーバーのSSLポート |
|
14301 |
|
|
OAAM管理サーバーの名前 |
wls_oaam_admin1 wls_oaam_admin2 |
||
|
OAAM管理ポート |
|
14200 |
|
|
OAAM管理SSLポート |
|
14201 |
|
|
アイデンティティ・ストア・ホスト |
|
LDAPHOST1.mycompany.com |
|
|
アイデンティティ・ストア・ポート |
|
1389 |
|
|
アイデンティティ・ストア・バインドDN |
|
cn=oudadmin |
|
|
アイデンティティ・ストア管理者ポート |
|
4444 |
|
|
アイデンティティ・ストア・グループ検索ベース |
|
cn=Groups,dc=mycompany,dc=com |
|
|
OAAM管理ユーザー |
|
oaamadmin |
|
|
Access Managerホスト1(統合) |
|
|
|
|
Access Managerホスト2(統合) |
|
|
|
|
Access Managerホスト1(分散) |
|
|
|
|
Access Managerホスト2(分散) |
|
|
|
注意: 1つのLDAPHOSTのみを指定する必要があり、LDAPロード・バランサ名にしないでください。 |
次の各項では、分散モードについて説明します。統合デプロイメントを使用している場合、表12-1に示されたOAMHOST1およびOAMHOST2への参照はIAMHOST1およびIAMHOST2に置き換える必要があります。
Oracle Adaptive Access Manager (OAAM)を含めるようにドメインを拡張する前に、次の前提条件が完了していることを確認する必要があります。
IAMDBを使用していない場合、OAAMデータ格納用に高可用性データベースを作成します。第6.5項「RCUを使用したOracle RAC DatabaseへのIdentity and Access Managementスキーマのロード」に記載されているように、リポジトリ作成ユーティリティを使用して、OAAMデータ・オブジェクトとともにデータベースを事前生成してください。
OAAMユーザーとグループを次のように作成します。
次の内容を含む構成ファイルを作成します。
# Common IDSTORE_HOST: LDAPHOST1.mycompany.com IDSTORE_PORT: 1389 IDSTORE_ADMIN_PORT: 4444 IDSTORE_BINDDN: cn=oudadmin IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycompany,dc=com IDSTORE_SEARCHBASE: dc=mycompany,dc=com IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users, dc=mycompany,dc=com IDSTORE_OAAMADMINUSER: oaamadmin
説明:
IDSTORE_HOST (LDAP_HOST)およびIDSTORE_PORT (LDAP_PORT)は、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。たとえば、次のとおりです。
OUD: LDAPHOST1と1389
IDSTORE_ADMIN_PORT (LDAP_DIR_ADMIN_PORT)は、Oracle Unified Directoryインスタンスの管理ポートです。
IDSTORE_BINDDN (LDAP_ADMIN_USER)は、アイデンティティ・ストア・ディレクトリの管理ユーザーです。
IDSTORE_GROUPSEARCHBASEは、グループを格納するディレクトリ内の場所です。これは、第7.1項「Identity and Access Managementのデプロイメントのための情報収集」で定義されたREALM_DNと組み合されたcn=Groupsで構成されます(例: cn=Groups,dc=mycompany,dc=com)。
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリ内の場所です。これは、第7.1項「Identity and Access Managementのデプロイメントのための情報収集」で定義されたREALM_DNと同じです(例: cn=Users,dc=mycompany,dc=com)。
IDSTORE_USERNAMEATTRIBUTEは、ユーザーの名前を含むディレクトリ属性の名前です(例: cn)。これはログイン名とは異なります。
IDSTORE_LOGINATTRIBUTEはユーザーのログイン名を含むLDAP属性です(例: uid)。
IDSTORE_USERSEARCHBASEは、ユーザーを格納するディレクトリ内の場所です。これは、7.1項「Identity and Access Managementのデプロイメントのための情報収集」で定義されたREALM_DNと組み合されたcn=Usersで構成されます(例: dc=mycompany,dc=com)。
IDSTORE_OAAMADMINUSER (OAAMADMINUSER)は、Oracle Adaptive Access Managerの管理者として作成するユーザーの名前です。
idmConfigToolを使用してユーザーを作成します。
Identity and Access Managementコンポーネントで必要なユーザーとグループでアイデンティティ・ストアをシードする必要があります。アイデンティティ・ストアにユーザーおよびグループをシードするには、OAMHOST1で次のタスクを実行する必要があります。
環境変数を設定します。
MW_HOMEをIAD_MW_HOMEに設定します。
ORACLE_HOMEをIAD_ORACLE_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
IAD_ORACLE_HOME/idmtools/binにあるidmConfigToolコマンドを使用して、アイデンティティ・ストアを構成します。
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OAAM input_file=configfile
configfileは、この項の冒頭で作成した構成ファイルの名前です。
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。
コマンドの実行中に、作成するアカウントにパスワードを指定するように要求されます。全体で共通のパスワードを使用している場合は、簡単に使用できるように、COMMON_IDM_PASSWORDを指定することをお薦めします。
各コマンドを実行した後、ログ・ファイルでエラーまたは警告を確認し、修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
OAMHOST1で次のコマンドを実行して構成ウィザードを起動します。
IAD_MW_HOME/oracle_common/common/bin/config.sh
次のように実行します。
「ようこそ」画面で「既存のWebLogicドメインの拡張」を選択します。「次へ」をクリックします。
「WebLogicドメインの選択」画面で、ナビゲータを使用して管理サーバーのドメイン・ホームを選択します(例: IAD_ASERVER_HOME (IAMAccessDomain))。
「次へ」をクリックします。
「拡張ソースの選択」画面で、次を選択します。
Oracle Adaptive Access Manager - サーバー
Oracle Adaptive Access Manager - 管理サーバー
「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、次の手順を実行します。
次を選択します。
OAAM管理スキーマ
OAAM Serverスキーマ
OAAM管理MDSスキーマ
OWSM MDSスキーマ
「コンポーネント・スキーマのOracle RAC構成」については、「GridLinkへ変換」を選択します。
「次へ」をクリックします。
GridLink RACコンポーネント・スキーマ画面が表示されます。この画面で、次の各フィールドに値を入力して、RCUでシードされたOracle RACデータベースの接続情報を指定します。Exadata SDP接続の場合は、TCPパラメータを次に入力します。後で、これをSDP接続文字列に変換する必要があります。
ドライバ: OracleのGridLink接続用ドライバ(Thin)、バージョン:10以降を選択します。
「FANの有効化」を選択します。
次のいずれかを実行します。
ONS通知を暗号化するためのSSLが構成されていない場合は、「SSL」の選択を解除します。
SSLを選択し、適切なWalletおよびWalletのパスワードを指定します。
サービス・リスナー: 使用するRACデータベースのためのSCANアドレスとポートを入力します。このアドレスは、データベース内のパラメータremote_listenerを問い合せれば識別できます。
SQL>show parameter remote_listener; NAME TYPE VALUE ------------------------------------------------------------- remote_listener string iamdbscan.mycompany.com:1521
|
注意: Oracle Database 11gリリース1 (11.1)の場合は、各データベース・インスタンス・リスナーの仮想IPとポートを使用します。例: |
ONSホスト: Oracle RACデータベースのSCANアドレスおよびデータベースから報告されたONSリモート・ポートを入力します。
srvctl config nodeapps -s ONS exists: Local port 6100, remote port 6200, EM port 2016
|
注意: Oracle Database 11g リリース1 (11.1)では、次の例のように、各データベースのONSサービスのホスト名とポートを使用します。 DBHOST1.mycompany.com (port 6200) および DBHOST2.mycompany.com (port 6200) |
次のRACコンポーネント・スキーマ情報を入力します。
| スキーマの名前 | サービス名 | スキーマの所有者 | パスワード |
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
「コンポーネント・スキーマのテスト」画面で、構成ウィザードによりデータ・ソースを検証します。データ・ソースの検証が成功した場合、「次へ」をクリックします。失敗した場合、「前へ」をクリックして問題に対処してから、再試行します。
「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。「次へ」をクリックします。
「管理対象サーバーの構成」画面を初めて見る際には、Access Managerなどのすでに構成されているコンポーネントのエントリが表示されています。さらに、ウィザードによりOAAM用の2つの新しい管理対象サーバーが作成されます。
|
注意: 最初にこの画面を表示すると、構成ウィザードによってデフォルトの管理対象サーバーが作成されています。 このデフォルトの管理対象サーバーに関する詳細を変更して、次の詳細を反映させます。つまり、エントリを1つ変更し、新しいエントリを1つ追加します。 以前のアプリケーション・デプロイメントの一部として構成されている管理対象サーバーの構成は変更しないでください。 |
| デフォルト名 | 名前 | リスニング・アドレス | リスニング・ポート | SSLリスニング・ポート | SSL有効 |
|---|---|---|---|---|---|
|
oaam_server_server1 |
wls_oaam1脚注 1 |
OAMHOST1 |
14300 ( |
14301 ( |
選択 |
|
wls_oaam2 |
OAMHOST2 |
14300 ( |
14301 ( |
選択 |
|
|
oam_admin_server1 |
wls_oaam_admin1 |
OAMHOST1 |
14200 ( |
14201 ( |
選択 |
|
wls_oaam_admin2 |
OAMHOST2 |
14200 ( |
14201 ( |
選択 |
脚注 1 自動パッチ適用を行うには、表に一覧された名前を必ず使用してください。
脚注 2 第B.3項を参照してください。
他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成し、次の表のoaam_clusterの値を指定します。次に、「追加」をクリックして2つ目のクラスタを作成し、次の表のoaam_admin_clusterの値を指定します。
| 名前 | クラスタ・メッセージング・モード | マルチキャスト・アドレス | マルチキャスト・ポート | クラスタ・アドレス |
|---|---|---|---|---|
|
oaam_cluster |
ユニキャスト |
n/a |
n/a |
空白のままにします。 |
|
oaam_admin_cluster |
ユニキャスト |
n/a |
n/a |
空白のままにします。 |
他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。クラスタ名を右側のペインでクリックします。「サーバー」で管理対象サーバーをクリックしてから矢印をクリックして、その管理対象サーバーをクラスタに割り当てます。
次のように、サーバーをクラスタに割り当てます。
| クラスタ | サーバー |
|---|---|
|
oaam_cluster |
wls_oaam1 |
|
wls_oaam2 |
|
|
oaam_admin_cluster |
wls_oaam_admin1 |
|
wls_oaam_admin2 |
|
注意: 以前のアプリケーション・デプロイメントの一部として構成されているクラスタの構成は変更しないでください。 |
「次へ」をクリックします。
「マシンの構成」画面で「次へ」をクリックします。
|
注意: デプロイメントによりマシンが作成されます。 |
「サーバーのマシンへの割当」画面で、次のようにサーバーをマシンに割り当てます。
OAMHOST1: wls_oaam1, wls_oaam_admin1
OAMHOST2: wls_oaam2, wls_oaam_admin2
「次へ」をクリックして、続行します。
「構成のサマリー」画面で「拡張」をクリックして、ドメインを拡張します。
|
注意: 次に示す警告が出力された場合: CFGFWK: Server listen ports in your domain configuration conflict with ports in use by active processes on this host 「OK」をクリックします。 管理対象サーバーが以前のインストールの一部として定義されている場合、この警告が表示されますが、無視してかまいません。 |
OAMHOST1上でWebLogic管理サーバーを再起動します。第15.1項「コンポーネントの起動と停止」を参照してください。
構成が完了したら、OAMHOST1およびOAMHOST2の管理対象サーバーのディレクトリにOracle Adaptive Access Managerの構成を伝播する必要があります。
最初に共有記憶域の場所からドメインIAMAccessDomainを圧縮して、ローカル記憶域の管理対象サーバーのディレクトリに解凍し、Oracle Adaptive Access Managerを伝播します。
これを行うには、ドメインの圧縮と解凍を実行します。最初にOAMHOST1のIAMAccessDomainでドメインを圧縮し、次にOAMHOST1およびOAMHOST2でそれを解凍します。
次の手順を実行して、管理対象サーバーのドメイン・ディレクトリにドメインを伝播します。
OAMHOST1上で、ORACLE_COMMON_HOME/common/bin/からpackユーティリティを起動します。
./pack.sh -domain=IAD_ASERVER_HOME -template=iam_domain.jar -template_name="IAM Domain" -managed=true
これによってiam_domain.jarというファイルが作成されます。このファイルをOAMHOST2にコピーします。
OAMHOST1とOAMHOST2でunpackユーティリティを起動します。このユーティリティもORACLE_COMMON_HOME/common/bin/ディレクトリにあります。
./unpack.sh -domain=IAD_MSERVER_HOME -template=iam_domain.jar -overwrite_domain=true -app_dir=IAD_MSERVER_HOME/applications
次のようなメッセージが表示された場合、無視しても問題ありません。
-------------------------------------------------------- >> Server listen ports in your domain configuration conflict with ports in use by active processes on this host. Port 14100 on wls_oam2 ----------------------------------------------------------------
デプロイメントでは、ドメインで定義された管理対象サーバーを起動および停止する一連のスクリプトが作成されます。ドメインで新しい管理対象サーバーを作成するごとに、新しく作成された管理対象サーバーもこれらの起動および停止スクリプトで起動できるように、ドメイン構成を更新する必要があります。これを、各OAAM管理対象サーバーに対しても行う必要があります。
ドメイン構成を更新するには、SHARED_CONFIG_DIR/scriptsディレクトリにあるserverInstancesCustom.txtファイルを編集します。
新しいマシンでノード・マネージャを起動する場合には、次のようなエントリを追加します。
newmachine.mycompany.com NM nodemanager_pathname nodemanager_port
次に例を示します。
OAMHOST3.mycompany.com NM /u01/oracle/config/nodemanager/oamhost3.mycompany.com 5556
第12.4項「Oracle Adaptive Access Managerのドメインの拡張」、手順8 (「管理対象サーバーの構成」画面)の表のOAAM管理対象サーバーのそれぞれに対し、次のようなエントリを追加します。
newmachine.mycompany.com OAAM ManagedServerName
次に例を示します。
OAMHOST1 OAAM wls_oaam1 IADADMINVHN 7001 OAMHOST1 OAAM wls_oaam_admin1 IADADMINVHN 7001 OAMHOST2 OAAM wls_oaam2 IADADMINVHN 7001 OAMHOST2 OAAM wls_oaam_admin2 IADADMINVHN 7001
ファイルを保存します。
この項の内容は次のとおりです。
15.2項「Identity ManagementコンソールのURLについて」に記載されているURLを使用して、IAMAccessDomainのWebLogic管理コンソールを起動します。
ドメイン構造メニューから「環境」→「サーバー」を選択し、「コントロール」をクリックします。
サーバーwls_oaam_admin1およびwls_oaam1を選択し、「起動」をクリックします。
次の場所にあるOAAM管理サーバーに接続することによって実装を検証します。
http://OAMHOST1.mycompany.com:14200/oaam_admin
OAAMサーバー:
http://OAMHOST1.mycompany.com:14300/oaam_server
OAAMサーバーのログイン・ページが表示され、第12.3.2項「LDAPにおけるOAAMユーザーとグループの作成」で作成されたoaamadminアカウントを使用してログインできる場合、この実装は有効です。
この項では、Oracle Adaptive Access ManagerをOAMHOST2で構成する方法について説明します。
この項の内容は次のとおりです。
第15.1項「コンポーネントの起動と停止」のWebLogic管理対象サーバーwls_oaam2およびwls_oaam_admin2用の起動手順に従って、OAMHOST2のOracle Adaptive Access Managerを起動します。
http://OAMHOST2.mycompany.com:14200/oaam_adminでOAAM管理サーバーに接続することで、実装を検証します。OAAM管理コンソールのログイン・ページが表示され、第12.3.2項「LDAPにおけるOAAMユーザーとグループの作成」で作成されたoaamadminアカウントを使用してログインできる場合、この実装は有効です。
http://OAMHOST2.mycompany.com:14300/oaam_serverでOAAMサーバーに接続することで、実装を検証します。OAAMサーバーのログイン・ページが表示されると、実装は有効です。
この項では、Oracle Adaptive Access Managerを構成してOracle HTTP Serverと連携する方法について説明します。
この項の内容は次のとおりです。
WEBHOST1およびWEBHOST2上の次のファイルを更新して、OAAMをWeb層構成に含める必要があります。
次のものをWEB_ORACLE_INSTANCE/config/OHS/component_name/moduleconf/idmadmin_vh.confに追加します。
######################################################
## Entries Required by Oracle Adaptive Access Manager
######################################################
# OAAM Console
<Location /oaam_admin>
SetHandler weblogic-handler
WebLogicCluster OAMHOST1.mycompany.com:14200,OAMHOST2.mycompany.com:14200
</Location>
次のものをWEB_ORACLE_INSTANCE/config/OHS/component_name/moduleconf/sso_vh.confに追加します。
######################################################
## Entries Required by Oracle Adaptive Access Manager
######################################################
<Location /oaam_server>
SetHandler weblogic-handler
WebLogicCluster OAMHOST1.mycompany.com:14300,OAMHOST2.mycompany.com:14300
WLProxySSL ON
WLProxySSLPassThrough ON
</Location>
第15.1項「コンポーネントの起動と停止」の説明に従って、WEBHOST1およびWEBHOST2上のOracle HTTP Serverを再起動します。
第15.1項「コンポーネントの起動と停止」の説明に従って、管理対象サーバーwls_oaam1、wls_oaam2、wls_oaam_admin1およびwls_oaam_admin2を再起動します。
Oracle HTTP Serverは、WebLogicのプロキシとして機能するため、デフォルトでは、特定のCGI環境変数はWebLogicに渡されません。これらには、ホストとポートが含まれます。WebLogicには、内部URLを適切に生成できるように仮想サイト名およびポートを使用していることを指示する必要があります。
これを行うには、第15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、IAMAccessDomainのWebLogic管理コンソールにログインします。
次のように実行します。
「クラスタ」をホーム・ページで選択するか、「ドメイン」構造メニューで「環境」→「クラスタ」を選択します。
「チェンジ・センター」ウィンドウの「ロックして編集」をクリックして、編集を有効にします。
クラスタ名(oaam_cluster)をクリックします。
「HTTP」を選択し、(第7.1項「Identity and Access Managementのデプロイメントのための情報収集」より)次の値を入力します。
フロントエンド・ホスト: sso.mycompany.com (IAM_LOGIN_URI)
フロントエンドHTTPポート: 80 (HTTP_PORT)
フロントエンドHTTPSポート: 443 (HTTP_SSL_PORT)
これによって、WebLogicで作成されたHTTPS URLが、ロード・バランサでポート443に転送されるようになります。
「保存」をクリックします。
「クラスタ」をホーム・ページで選択するか、「ドメイン」構造メニューで「環境」→「クラスタ」を選択します。
クラスタ名(oaam_admin_cluster)をクリックします。
「HTTP」を選択し、(第7.1項「Identity and Access Managementのデプロイメントのための情報収集」より)次の値を入力します。
フロントエンド・ホスト: IADADMIN.mycompany.com (IAD_DOMAIN_ADMIN_LBRVHN)
フロントエンドHTTPポート: 80 (HTTP_PORT)
「保存」をクリックします。
「チェンジ・センター」ウィンドウの「変更のアクティブ化」をクリックして、編集を有効にします。
13.5.2項「WebLogicコンソールにおけるOAAM管理ユーザーの作成」で作成したoaamadminアカウントを使用して、15.2項「Identity and Access ManagementコンソールのURLについて」に示されたURLにあるOracle Adaptive Access Management管理コンソールにログインします。
また、oaamadminアカウントとtestパスワードを使用して、https://sso.mycompany.com/oaam_serverのOracle Adaptive Access Managerサーバーにログインします。
次のURLをアクセスできることを確認します。
https://sso.mycompany.com:443/oaam_server/oamLoginPage.jsp
この項では、シード・データをOracle Adaptive Access Managerにロードする方法について説明します。
|
注意: OAMHOST1から(ブラウザを実行している)ローカル・マシンにファイルをコピーするか、この手順をOAMHOST1で起動したブラウザから実行します。 |
15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、Oracle Adaptive Access Management管理コンソールにログインします。
第12.3.2項「LDAPにおけるOAAMユーザーとグループの作成」で作成したoaamadminアカウントを使用して接続します。
「ナビゲーション」→「環境」メニューにあるシステムのスナップショットをクリックします。
「開く」をクリックします。
「ファイルからロード」をクリックします。
次の情報を入力します。
名前: Default Snapshot
ノート: Default Snapshot
現在のシステムを今すぐにバックアップを選択します。
「続行」をクリックします。
「OK」をクリックして、バックアップの作成を確認します。
「ファイルの選択」をクリックします。
次の場所にあるファイル「oaam_base_snapshot.zip」を選択します。
IAD_ORACLE_HOME/oaam/init
「ロード」をクリックします。
スナップショットのファイルが正常にロードされたことを通知するメッセージが表示されます。「OK」をクリックして、このメッセージを確認します。
右上近くの「リストア」をクリックします。
ロードが完了するとメッセージが表示されます。「OK」をクリックします。
この項では、OAAMとAccess ManagerおよびOracle Identity Managerの統合方法について説明します。OAAMがAccess Managerと統合されると、標準のAccess ManagerログインではなくOAAMを使用して、リソースへのアクセスを検証できます。OAAMは認証を実行しますが、それはAccess Managerの中のユーザーに対する認証です。
OAAMをOracle Identity Managerと統合すると、ユーザー名やパスワードを忘れたユーザーをOracle Identity Managerを使用して補助できます。
この項の内容は次のとおりです。
Access Managerは「簡易」モード通信用のランダムなグローバル・パスフレーズを、インストール中に生成します。次の手順では、このパスフレーズの取得方法について説明します。これはこの章の後半で必要になります。
簡易モードの通信用にランダムなグローバル・パスフレーズを取得するには、OAMHOST1でIAM_ORACLE_HOME/common/binにあるWebLogic Scripting Toolを起動します。wlstシェルで、接続のコマンドを入力します。
./wlst.sh wls:/offline> connect()
次のようにプロンプトに応答します。
Please enter your username [weblogic] : weblogic
Please enter your password [weblogic] : COMMON_IDM_PASSWORD
Please enter your server URL [t3://localhost:7001] : t3://IADADMINVHN:7001
wls:/IAMAccessDomain/serverConfig>
次のコマンドを入力して、場所を読取り専用のdomainRuntimeツリーに変更します。ヘルプを表示するにはhelp(domainRuntime)を使用します。
wls:/IAMAccessDomain/domainRuntime>domainRuntime()
次のコマンドを入力して、グローバル・パスフレーズを表示します。
wls:/IAMAccessDomain/domainRuntime> displaySimpleModeGlobalPassphrase()
このパスフレーズをメモして、exitコマンドを使用してwlstを終了します。
wls:/IAMAccessDomain/domainRuntime> exit()
Access Managerを簡易セキュリティ・トランスポート・プロトコルを使用するように構成した場合は、OAAMをサード・パーティ・アプリケーションとして登録する必要があります。
OAAMをサード・パーティ・アプリケーションとして登録する手順:
OAAMキーストアを保持するディレクトリを作成します。このディレクトリをIAD_ASERVER_HOMEに配置すると、すべてのOAAMホストがこれを使用できるようになります。
mkdir -p IAD_ASERVER_HOME/keystores
OAMHOST1で、IAD_ORACLE_HOME/common/binディレクトリからWLSTシェルを起動します。たとえば、Linuxで次のように入力します。
./wlst.sh
次のwlst connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect('AdminUser',"AdminUserPassword",t3://hostname:port')
次に例を示します。
connect("weblogic","admin_password","t3://IADADMINVHN.mycompany.com:7001")
registerThirdPartyTAPPartnerコマンドを次のように実行します。
registerThirdPartyTAPPartner(partnerName = "partnerName", keystoreLocation= "path to keystore" , password="keystore password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="OAAM login URL")
次に例を示します。
registerThirdPartyTAPPartner(partnerName = "OAAMTAPPartner", keystoreLocation= "IAD_ASERVER_HOME/keystores/oaam_keystore.jks" , password="password", tapTokenVersion="v2.0", tapScheme="TAPScheme", tapRedirectUrl="https://sso.mycompany.com/oaam_server/oamLoginPage.jsp")
説明:
partnerNameは一意の名前です。Access Managerにパートナが存在する場合は、その構成が上書きされます。
keystoreLocationは、既存のキー・ストアの場所です。指定したディレクトリ・パスが存在しない場合、エラーが発生します。
passwordは、キー・ストアを暗号化するために指定されるパスワードです。これは、後で必要になるため覚えておいてください。
tapTokenVersionは常にv2.0です。
tapSchemeは更新される認証スキームです。
tapRedirectUrlはアクセス可能なURLです。そうではない場合、Error! Hyperlink reference not validというメッセージが表示され登録は失敗します。
|
注意: 不具合のため、 |
tapRedirectUrlは次のとおりです。
https://sso.mycompany.com/oaam_server/oamLoginPage.jsp
WLSTを終了します。
exit()
15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、Access Management管理コンソールにログインします。
「Access Manager」セクションの「認証スキーム」をクリックします。
「認証スキームの検索」ページが表示されます。
「検索名」ボックスにTAPSchemeと入力し、「検索」をクリックします。
「TAPScheme」をクリックします。
「チャレンジURL」が次のように設定されていることを確認します。
/oaam_server/oamLoginPage.jsp
パラメータTAPPartnerId=OAAMTAPPartnerおよびSERVER_HOST_ALIAS=OAMSERVERは、チャレンジ・パラメータとして、すでにリストされている必要があります。次のチャレンジ・パラメータを追加します。
MatchLDAPAttribute=uid
TAPOverrideResource=https://sso.mycompany.com:443/oamTAPAuthenticate
「適用」をクリックします。
第15.1項「コンポーネントの起動と停止」で説明されているようにwls_oaam1およびwls_oaam2を再起動します。
この統合が正常に完了したことを確認するには、OAM Access Testerツールを使用します。
この統合が正常に完了したことを確認する手順:
環境にJAVA_HOMEが設定されていることを確認します。
PATHにJAVA_HOME/binを追加します。たとえば、次のように指定します。
export PATH=$JAVA_HOME/bin:$PATH
次のディレクトリに移動します。
IAD_ORACLE_HOME/oam/server/tester
次のコマンドを使用して、ターミナル・ウィンドウでこのテスト・ツールを起動します。
java -jar oamtest.jar
次の値を使用して接続します。
プライマリOAMホスト: OAMHOST1
ポート: 5575 (OAM_PROXY_PORT)
エージェントID: IAMSuiteAgent
エージェント・パスワード: IAMSuiteAgentプロファイルに割り当てたパスワード。
モード: AIXプラットフォームには「オープン」を選択します。それ以外には「簡易」を選択します。
グローバル・パスフレーズ: 簡易モードを選択した場合、第12.12.1項「簡易モード用のグローバル・パスフレーズの取得」で取得したAccess Managerのグローバル・パスフレーズを入力します。
「接続」をクリックします。
保護されたリソースのURIを指定します。
スキーム: http
ホスト: IAMSuiteAgent
ポート: 空白のままにします。
リソース: /oamTAPAuthenticate
「検証」をクリックします。
ユーザーID oamadminとoamadminのパスワードを指定します。
認証をクリックします。認証に成功すれば、統合は正常に完了しています。
OAMHOST2についても同じ検証を実行します。
oaam_cli.propertiesファイルを編集して、Access ManagerのOAAMプロパティを設定します。
OAMHOST1上でOAAMプロパティを設定する手順:
IAD_ORACLE_HOME/oaam/cliを一時的な場所にコピーします。次に例を示します。
cp -r IAD_ORACLE_HOME/oaam/cli /u01/oracle/oaam
次のディレクトリにあるファイルoaam_cli.propertiesを編集します。
/u01/oracle/oaam/conf/bharosa_properties.
ファイル内の次のプロパティ値を設定します。
| パラメータ | 値 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
OAAMデータベースのDBC URL。形式: j |
|
|
第12.12.2項「サード・パーティ・アプリケーションとしてのOAAMの登録」で作成されたキーストアの場所。例:
|
|
|
|
|
|
|
|
|
Access Managerサーバー・プロキシ・ポート |
|
|
|
|
|
|
|
|
2番目のAccess ManagerサーバーのAccess Managerサーバー・プロキシ・ポート |
|
|
これは、使用しているAccess Managerトランスポート・セキュリティ・モードにより異なります。これがAIXビルドの場合値は |
|
|
ルート証明書用に生成されたキーストア・ファイルの場所。
これは、セキュリティ・モードが |
|
|
秘密鍵用に生成されたキーストア・ファイルの場所。
これは、セキュリティ・モードが |
ファイルを保存します。
次のディレクトリにあるコマンドsetupOAMTapIntegration.shを発行することによって、OAAM CLIツールを実行します。
/u01/oracle/oaam
次のようにします。
ORACLE_MW_HOMEをIAD_MW_HOMEに設定します。
JAVA_HOMEをJAVA_HOMEに設定します。
WLS_HOMEをIAD_MW_HOME/wlserver_10.3に設定します。
APP_SERVER_TYPEをweblogicに設定します。
次のコマンドを実行します。
chmod +x /u01/oracle/oaam/setupOAMTapIntegration.sh /u01/oracle/oaam/setupOAMTapIntegration.sh /u01/oracle/oaam/conf/bharosa_properties/oaam_cli.properties
コマンドが実行されると、次の情報の入力を求められます。
OAAM AdminServerユーザー名: weblogic
OAAM AdminServerパスワード: weblogicアカウントのパスワード
OAAM DBユーザー名: EDG_OAAM
OAAM DBパスワード: OAAMデータベース・ユーザーのパスワード。
CSFに格納されるOAM Webゲートの資格証明: Webゲートのパスワード(COMMON_IDM_PASSWORD)を入力します。
OAM TAPキー・ストア・ファイルのパスワード: 12.12.2項「サード・パーティ・アプリケーションとしてのOAAMの登録」でサード・パーティ・アプリケーションとしてOAAMを登録したときに割り当てたパスワード(COMMON_IDM_PASSWORD)。
OAM秘密鍵証明書キー・ストア・ファイルのパスワード: 第12.12.1項「簡易モード用のグローバル・パスフレーズの取得」で取得したAccess Managerのグローバル・パスフレーズ。
OAMグローバル・パスフレーズ: OAAM簡易セキュリティ・モデルを使用している場合、これは第12.12.1項「簡易モード用のグローバル・パスフレーズの取得」で取得した値となります。
この検証を実行するには、まずテスト・リソースを作成します。
WEBHOST1とWEBHOST2で、テスト・ページoaam_sso.htmlを作成します。最も簡単な方法は、WEB_ORACLE_INSTANCE/config/OHS/component/htdocsディレクトリで、次の内容のoaam_sso.htmlファイルを作成する方法です。
<html> <body> <center> <p> <h2> OAAM Protected Resource </h2> </p> </center> </body> </html>
IAMSuiteアプリケーション・ドメインのOAAM保護リソース用のグループを作成します。
前に作成したoamadminアカウントを使用して、15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLにある、Access Managementコンソールにログインします。
「アプリケーション・ドメイン」をクリックします。
「検索」をクリックします。
「IAMスイート」をクリックします。「IAMスイート・ドメイン」ページが表示されます。
「認証ポリシー」タブをクリックします。
「認証ポリシーの作成」をクリックし、次の情報を入力します。
名前: OAAM Protected Resources
説明: Resources protected by OAAM
認証スキーム: TAPScheme
「適用」をクリックします。
手順1から7を繰り返しますが、「認証ポリシーの作成」をクリックした後、次の値を入力します。
名前: LDAP Protected Resource
説明: Resources protected by LDAPScheme
認証スキーム: LDAPScheme
保護されるものを作成したので、今度はリソースをAccess Managerで作成してから、前に作成したポリシー・グループのいずれかに割り当てる必要があります。
第15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、Access Managementコンソールにログインします。
「アプリケーション・ドメイン」をクリックします。
「検索」をクリックします。
「IAMスイート」をクリックします。
「リソース」タブをクリックします。
「新規リソース」をクリックし、次の情報を入力します。
タイプ: http
説明: OAAM Test Page
ホスト識別子: IAMSuiteAgent
リソースURL: /oaam_sso.html
保護レベル: Protected
認証ポリシー: OAAM Protected Resources
認可ポリシー: Protected Resource Policy
「適用」をクリックします。
https://sso.mycompany.com:443/oaam_sso.htmlのURLを使用して、保護されているリソースにアクセスします。登録およびチャレンジのため、OAAMにリダイレクトされます。Access Managerログイン・ページのかわりにOAAMログイン・ページが表示されます。oamadminなどの認可されたAccess Managerユーザーを使用してログインします。ログインすると、oaamで保護されているリソースが表示されます。
前に作成したoamadminアカウントを使用して、15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLにある、Access Managementコンソールにログインします。
「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメイン検索」画面が表示されます。
「検索」をクリックします。
「IAMスイート」をクリックし、「IAMスイート・ドメイン」ページを開きます。
「認証ポリシー」サブタブをクリックします。
より上位の保護されているポリシーをクリックします。
「リソース」サブタブをクリックします。
リソース・ウィンドウで「/oamTAPAuthenticate」をクリックします。
「削除」をクリックします。
「適用」をクリックします。
「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
「アプリケーション・ドメイン検索」画面が表示されます。
「検索」をクリックします。
「IAMスイート」をクリックし、「IAMスイート・ドメイン」ページを開きます。
「認証ポリシー」サブタブをクリックします。
「LDAP保護リソース」をクリックします。
「参照」タブの下にあるツールバーの「開く」をクリックします。
リソース・ウィンドウで「追加」をクリックします。
「検索」ボックスが表示されたら、次のように入力します。
リソースURL: /oamTAPAuthenticate
「検索」をクリックします。
検索結果から「/oamTAPAuthenticate」をクリックします。
「選択済の追加」をクリックします。
リソース「/oamTAPAuthenticate」を選択します。
「適用」をクリックします。
OAAMには広範なチャレンジ質問が用意されています。これには次のような機能があります。
必要に応じて認証の前後に一連の質問でユーザーにチャレンジします。
質問をイメージとして提示し、多様な入力装置により回答を求めます。
1つずつ順に質問し、正しい答えが指定された場合のみ次の質問が表示されます。
Oracle Identity Managerにも基本的なチャレンジ質問機能があります。これによりユーザーは、パスワードを忘れた場合に、一連の構成可能な質問に答え、パスワードを再設定できます。OAAMとは異なり、Oracle Identity Managerには豊富なパスワード検証機能も用意されており、これにより、簡単な属性に加えて、所有するアカウントに基づいてポリシーを設定できます。
Identity and Access Managementのデプロイメントでは、単一セットのチャレンジ質問を登録し、単一セットのパスワード・ポリシーを使用することをお薦めします。OAAMをOracle Identity Managerと統合することで、OAAMではチャレンジ質問が処理され、Oracle Identity Managerではパスワードの検証、保管および伝播が処理されます。これによりOAAMの不正防止機能を使用すると同時にパスワード検証にOracle Identity Managerを使用できます。OAAMをOracle Identity Managerと統合すると、ユーザー名やパスワードを忘れたユーザーをOracle Identity Managerを使用して補助できます。
この項の内容は次のとおりです。
第12.13.2項「Oracle Identity ManagerとOracle Adaptive Access Manager間のクロス・ドメインの信頼の構成」
第12.13.3項「Oracle Identity Manager用のOracle Adaptive Access Managerプロパティの設定」
第15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、ドメインIAMAccessDomain用のOracle Enterprise Manager Fusion Middleware Controlに移動します。
WebLogic管理者アカウント(たとえば、weblogic_idm)を使用して、ログインします。
左側ペインのナビゲーション・ツリーで「WebLogicドメイン」アイコンを展開します。
「IAMAccessDomain」を選択して右クリックします。メニュー・オプション「セキュリティ」を選択し、サブ・メニューでオプション「資格証明」を選択します。
「oaam」をクリックしてマップを選択します。次に「キーの作成」をクリックします。
ポップアップ・ウィンドウで「マップの選択」が「oaam」に設定されていることを確認します。
次を入力します。
キー名: oim.credentials
タイプ: Password
ユーザー名: xelsysadm
パスワード: xelsysadmアカウントのパスワード、COMMON_IDM_PASSWORD
「OK」をクリックして、秘密鍵を資格証明ストア・フレームワークに保存します。
Oracle Adaptive Access Managerをデプロイする際に、Oracle Identity ManagerおよびOracle Adaptive Access Managerが別々のドメインにある場合、クロス・ドメインの信頼を構成する必要があります。
IAMAccessDomainドメインでクロス・ドメインの信頼を次のように構成します。
IAMAccessDomainのWebLogic管理コンソールにログインします。
「ロックして編集」をクリックします。
「ドメイン構造」で「IAMAccessDomain」をクリックし、「セキュリティ」タブを選択します。
「拡張」セクションを展開します。
「クロス・ドメイン・セキュリティの有効化」を選択します。
クロス・ドメインの信頼の確認に使用するパスワードを選択し、それを「資格証明と資格証明の確認」フィールドに入力します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
IAMGovernanceDomainドメインでクロス・ドメインの信頼を次のように構成します。
IAMGovernanceDomainのWebLogic管理コンソールにログインします。
「ロックして編集」をクリックします。
「ドメイン構造」で「IAMGovernanceDomain」をクリックし、「セキュリティ」タブを選択します。
「拡張」セクションを展開します。
「クロス・ドメイン・セキュリティの有効化」を選択します。
IAMAccessDomainの資格証明フィールドに入力したパスワードを「資格証明と資格証明の確認」フィールドに入力します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
第15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、OAAM管理コンソールに移動します。
第12.3.2項「LDAPにおけるOAAMユーザーとグループの作成」で作成したoaamadminアカウントを使用してログインします。
次のように実行します。
ナビゲーション・ツリーで、「環境」見出しの「プロパティ」をクリックしてから、「開く」をクリックします。プロパティ検索ページが表示されます。
プロパティ値を設定するには、「名前」フィールドに名前を入力して「検索」をクリックします。現在値が検索結果ウィンドウに表示されます
エントリをクリックします。「値」フィールドが表示されます。新しい値を入力し「保存」をクリックします。
Oracle Adaptive Access ManagerとOracle Identity Managerの統合のため、次のプロパティを設定します。
bharosa.uio.default.user.management.provider.classname: com.bharosa.vcrypt.services.OAAMUserMgmtOIM
bharosa.uio.default.signon.links.enum.selfregistration.url: https://sso.mycompany.com:443/identity/faces/register?&backUrl=https://sso.mycompany.com:443/identity
bharosa.uio.default.signon.links.enum.trackregistration.enabled: true
bharosa.uio.default.signon.links.enum.selfregistration.enabled: true
bharosa.uio.default.signon.links.enum.trackregistration.url: https://sso.mycompany.com:443/identity/faces/trackregistration?&backUrl=https://sso.mycompany.com:443/identity
oaam.oim.passwordflow.unlockuser: true
oaam.oim.url: t3://oimhost1vhn.mycompany.com:14000,oimhost2vhn.mycompany.com:14000
15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、Oracle Identity Managerシステム管理コンソールにログインします。
「システム管理」見出しの「システム構成」をクリックします。「システム構成」ウィンドウが開きます。
「システム・プロパティの検索」で「検索」をクリックします。
表示されたプロパティをそれぞれクリックして、「編集」を選択します。次のように各プロパティの値を設定して、「保存」をクリックします。
|
注意: プロパティ名が「キーワード」列に表示されます。 |
OIM.DisableChallengeQuestions: TRUE
OIM.ChangePasswordURL: https://sso.mycompany.com:443/oaam_server/oimChangePassword.jsp
OIM.ChallengeQuestionModificationURL: https://sso.mycompany.com:443/oaam_server/oimResetChallengeQuestions.jsp
第15章「コンポーネントの起動と停止」の説明に従い、次の管理サーバーおよび管理対象サーバーを再起動します。
WebLogic管理サーバー
wls_oam1およびwls_oam2
wls_oim1およびwls_oim2
wls_oaam1およびwls_oaam2
前の説明で作成したテスト・ページ(例: http://sso.mycompany.com/oaam_sso.html)にアクセスします。OAAMログイン・ページが表示されます。「登録」または「登録の追跡」のリンクをクリックします。統合が機能している場合には、OIMに移動します。
Oracle Identity ManagerがOAAMと統合されていることを次のように検証します。
Oracle Identity Managerセルフ・サービス・コンソールにxelsysadmユーザーとしてログインします。
チャレンジ質問とOAAM固有のセキュリティ・ポリシーを設定するように求められます。
OAAMでの特定のリソースの保護は、12.12.5.2項「Access Manager.でのリソースの作成」で作成したOAAM保護リソース認可ポリシーを追加すると可能になります。
すべてに対してOAAM認可を使用する手順:
第15.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、Access Managementコンソールにログインします。
「アプリケーション・ドメイン」をクリックします。
「検索」をクリックします。
「IAMスイート」をクリックします。
「認証ポリシー」タブをクリックします。
「保護された上位レベル・ポリシー」ポリシーをクリックします。
「認証スキーム」の値をTAPSchemeに変更します。
「適用」をクリックします。
ベスト・プラクティスとしては、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。インストールが正常に行われたことを確認したら、バックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
インストールをこのポイントにバックアップする手順は次のとおりです。
第15.5.3.6項「Web層のバックアップ」の説明に従って、Web層をバックアップします。
データベースをバックアップします。これは全データベースのバックアップで、ホット・バックアップかコールド・バックアップになります。お薦めするツールはOracle Recovery Managerです。
15.5.3.4項「WebLogicドメインIAMGovernanceDomainのバックアップ」の説明に従って、管理サーバー・ドメイン・ディレクトリをバックアップします。
第15.5.3.2項「LDAPディレクトリのバックアップ」の説明に従って、ディレクトリをバックアップします。
アプリケーション層の構成をバックアップする方法の詳細は、第15.5項「バックアップとリカバリの実行」を参照してください。
