| Oracle® Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド 11gリリース2(11.1.2.2.0) B71702-05 |
|
 前 |
 次 |
この章では、Oracle Adaptive Access Manager (OAAM)のチューニングおよびサイズ設定のガイドラインを示します。内容は次のとおりです。
Oracle Adaptive Access Manager (OAAM)では、不正の予防を目的とした、リアルタイムまたはバッチ・リスク分析機能と、適応性のある認証機能が提供されます。Oracle Identity Manager (OIM)およびOracle Access Manager (OAM)と最初から統合されているため、適応性のある認証によって、Webシングル・サインオンおよびセルフサービス・パスワード管理フローが保護されます。
Oracle Adaptive Access Managerの詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』を参照してください。
Oracle Adaptive Access Managerのパフォーマンス・チューニングを効率的に行うには、まずその使用方法と一般的なパフォーマンスの問題を十分に理解します。Oracle Adaptive Access Managerのチューニングを開始する前に、この項と、「主なパフォーマンス分野」で説明した推奨事項に目を通してください。
表27-1 Oracle Adaptive Access Managerのパフォーマンスに関する考慮事項
|
ユーザー数 |
Oracle Adaptive Access Managerを適切にチューニングするには、全体のユーザー規模、グループ数、メンバーシップ数、属性数、データ型、およびLDAPとデータベースの構成パラメータを把握する必要があります。規模に関するデータを使用したパフォーマンスの向上の詳細は、「パフォーマンス計画」を参照してください。 |
|
毎日のアクティビティ使用量 |
24時間の間にアクティブになっているユーザー数、および予想されるトラフィックを把握することは重要です。使用量が急激に増加する時間帯がある場合、パフォーマンスの問題を回避するために、追加のチューニングが必要になることがあります。パフォーマンス・データの収集の詳細は、「Oracle Fusion Middlewareの監視」を参照してください。 |
|
ハードウェア・リソースおよびトポロジ |
負荷の高いリアルタイム環境にデプロイされるアプリケーションの場合と同様、許容されるOracle Adaptive Access Managerのパフォーマンスを実現するには、サーバーのサイズ設定および構成を適切に行うことが重要です。Oracle Adaptive Access Managerのパフォーマンス・チューニングにおける重要な要素は、使用するハードウェアでボトルネックを回避できるだけの処理能力を提供することです。ハードウェア・リソースの最適化の詳細は、「十分なハードウェア・リソースの確保」を参照してください。 |
|
保護されたアプリケーション |
どのアプリケーションがOracle Adaptive Access Managerによって保護されるか、およびその保護がどのようにモデル化されるかを知っておくことは、チューニング時の重要な考慮事項になります。特に、アプリケーションの保護方法を理解する必要があります。この方法には、WebGate (10g、11gまたは11gPS1)、mod_osso、カスタム・アクセス・ゲートまたはこれらの組合せがあります。 |
|
JVMおよびガベージ・コレクション |
Oracle Adaptive Access Managerの最適なパフォーマンスを実現するには、JVMヒープ・サイズおよびガベージ・コレクションを正しくチューニングする必要があります。詳細は、「Java仮想マシン(JVM)のチューニング」の「ガベージ・コレクションの構成」および「ヒープ・サイズ値の指定」を参照してください。 |
パフォーマンス・ボトルネックを特定するには、Oracle Adaptive Access Managerのリアルタイム・パフォーマンス・メトリックを監視する必要があります。次の項では、Oracle Adaptive Access Managerの監視方法と、Oracle Adaptive Access Managerがパフォーマンス要件を満たしていることを確認するための監視対象について説明します。
Dynamic Monitoring Service (DMS)パフォーマンス・インストゥルメンテーションを有効にして、機能と運用に関するメトリックの待機時間およびスループットを確認することを検討してください。DMSは、より高い負荷を処理しているコンポーネントや、リクエスト処理に通常よりも時間がかかっているコンポーネントを特定できます。様々なコンポーネントへのコールの処理にかかる全体的な時間の確認の詳細は、「DMSメトリックの表示」を参照してください。
Oracle Adaptive Access Manager管理コンソールでは、システムに入るトラフィックのパフォーマンスを示すパフォーマンス・ダッシュボードが提供されます。パフォーマンスに基づき、異なる種類のデータのトレンド・グラフが表示されます。Oracle Adaptive Access Manager管理コンソールへのアクセスおよびその使用の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAM管理コンソールおよびコントロールに関する項を参照してください。
具体的には、次のパフォーマンスの監視にダッシュボードを使用する必要があります。
チェックポイント(1番目)およびルール(2番目)の平均実行時間、およびそれらの傾向データ
APIのレスポンス時間およびそれらの傾向データ
ログイン数やトランザクション数などの統計から、システムでいつ大量のユーザーが処理されているかがわかります。この情報から、パフォーマンスに関する全体的な方針を決定できます。
Oracle Adaptive Access Managerサーバー・ログを監視して、実行速度の遅いSQL文およびエラーに関するメッセージがあるかどうかを確認することを検討してください。たとえば、SQL文のレスポンス時間が長いことに関する大量のメッセージが見つかった場合、通常はデータベースに問題があります。この場合、DBAはデータベースに着目し、調査を進めて問題を絞り込みます。
サーバー・ログ・ファイルを確認するには、Oracle Enterprise Manager Fusion Middleware Controlを使用するか、Oracle Adaptive Access Managerホーム・ディレクトリに移動してこれらの問題を見つけるOracle Adaptive Access Managerサーバー・ログ・ファイルを表示します。
Oracle Adaptive Access Managerサーバー・ログの使用の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のロギング出力の構成に関する項を参照してください。
この項では、Oracle Adaptive Access Managerのチューニングに関する基本的な考慮事項について説明します。チューニングに関する次の推奨事項が含まれます。
OAAMは、パージ・スクリプトを使用して、OAAMデータベースに含まれるトランザクション表の様々なセットをアーカイブおよびパージします。パージによって、データベース内のディスク領域が現在のデータ用に解放され、不要なデータが削除されます。パージ・プロセスの基準には、データの存続期間またはデータの型を使用できます。デフォルトでは、OAAMパージ・スクリプトはパージ・プロセス中に削除されるデータをアーカイブします。OAAM 11.1.2では、OAAM管理コンソールを使用した、ターゲット・トランザクションおよびエンティティ・データのアーカイブおよびパージを実行できます。
Oracle Adaptive Access Managerをチューニングする場合、まずデータベースのベースライン・チューニング・パラメータを確認する必要があります。詳細は、第2.6項「データベース・パラメータのチューニング」を参照してください。
Oracle Adaptive Access Managerが最適なレベルで実行されるようにするには、第23章「Oracle Internet Directoryのパフォーマンス・チューニング」の説明に従って、Oracle Internet Directoryをチューニングすることが重要です。
Oracle Adaptive Access Managerのパフォーマンスは、次のアプリケーション・パラメータを設定したときに最適になります。
Oracle Adaptive Access Managerを最適化するには、第2.4項「Java仮想マシン(JVM)のチューニング」で説明されている、Java仮想マシンのチューニングに関する推奨事項を参照してください。
JDBCデータソースOAAM_ADMIN_DSは、構成を行うためにOracle Adaptive Access Manager管理サーバーによって使用されます。JDBCデータソースOAAM_SERVER_DSは、顧客の認証およびその他のトランザクションを行うためにOracle Adaptive Access Manager管理サーバーによって使用されます。JDBC接続プールの容量を増やすには、次のことを検討します。
| パラメータ | 説明 |
|---|---|
|
|
「初期容量」に「最大容量」の半分の値を設定します。たとえば、「初期容量」に50、「最大容量」に100を設定することを検討します。 |
|
|
「初期容量」と「最大容量」に、同じ値を設定します。たとえば、「初期容量」および「最大容量」に100を設定することを検討します。 |
Oracle WebLogic管理コンソールを使用した接続プールの変更の詳細は、Oracle WebLogic管理コンソール・オンライン・ヘルプに含まれる、JDBC汎用データ・ソースの構成に関する項を参照してください。
Oracle Adaptive Access Managerパフォーマンスのテストおよび本番環境では、できるだけ許容されている最も低いロギング・レベルを使用することを検討してください。
デフォルトでは、ロギングがNOTIFICATION:1に設定されている場合にのみ、ログ・メッセージがaccess.logファイルに書き込まれます。パフォーマンスを確保するために、デフォルトのログ・レベルERROR:1 (SEVERE)をそのまま使用するか、WARNING:1 (WARNING)を使用して、access.logファイルに書き込まれる情報の量を制限することを検討してください。
Oracle WebLogic Serverログ・ファイルのチューニングの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverパフォーマンスおよびチューニング』を参照してください。
Oracle Adaptive Access Managerのチューニングに関する次の考慮事項は、ガイドとして提供されます。必ず各自のユースケース・シナリオを検討して、これらの構成をデプロイメントで使用できるかどうかを判断してください。
デバイスの履歴が不要である場合、Oracle Adaptive Access Manager管理コンソールを使用し、プロパティbharosa.trackernodehistory.enableをfalseに設定することによって、デバイスの履歴ロギングを無効にできます。
デフォルトでは、ルールの実行時間が2000ミリ秒(2秒)を超える場合、詳細なルール・ロギングが発生します。これはvcrypt.tracker.rulelog.detailed.minMillisプロパティを通じて制御されます。
自動学習機能を使用すると、様々なアクターが実行するトランザクションおよび認証を、作成したパターンに基づいて追跡できます。このプロセスで、個人または集団の正常または平均的な動作が確立されます。デフォルトの自動学習は、すぐに使用可能なパターンによって使用されない時間単位または日単位の頻度のデータを収集します。時間単位または日単位のデータを使用するカスタム・パターンがない場合、次のプロパティをfalseに設定することによって、そのデータ収集を無効にできます。
tracker.wf.createHourlyEntries tracker.wf.createDailyEntries
|
注意: 自動学習を無効にすると、パターンベースのリスク分析が実行されなくなります。リスク分析はデータ収集の重要な部分であるため、このことを検討してから自動学習を無効にしてください。 |
この項では、追加のチューニングによってメリットを得られる可能性がある、いくつかの特殊なユースケースについて説明します。
Oracle Access Managerのクライアント・オブジェクト・プールの作成には、次のプロパティとデフォルト値が使用されます。ログイン数が多い場合は、これらのパラメータに高い値を設定できます。これらのプロパティに変更を加えると、その新しい設定で接続プールを再構築するためにOAAMサーバーの再起動が必要になります。
| パラメータ | 説明 | チューニングに関する考慮事項 |
|---|---|---|
|
プライマリOAMサーバーの設定: oaam.uio.oam.num_of_connections |
プール内の最大接続数。 デフォルト値は20です。 |
使用の要件を満たすために、デフォルト値を増やすことを検討してください。 |
|
セカンダリOAMサーバーの設定(使用する場合): oaam.uio.oam.secondary.host.num_of_connections |
セカンダリ・サーバーのプール内の最大接続数。 |
使用の要件を満たすために、デフォルト値を増やすことを検討してください。 |
|
oaam.oam.oamclient.minConInPool |
プール内の最小接続数。 デフォルト値は20です。 |
この値を、oaam.uio.oam.num_of_connectionsで設定した最大接続数と同じにすることを検討してください。 |
|
oaam.oam.oamclient.initDelayForWatcher |
プール・ウォッチャ・スレッドによるプールの監視を始める前の初期遅延。 デフォルトは300秒です。 |
所定の要件に基づいて、この遅延を秒単位で指定します。 |
|
oaam.oam.oamclient.periodForWatcher |
プール・ウォッチャ・スレッドのスリープ期間(秒)。 デフォルトは300秒です。 |
接続が頻繁に中断される場合は、これを低い値に保ちます。 |
|
oaam.oam.oamclient.timeout |
プール内に使用可能な接続がない場合の接続待機時間(秒)。 デフォルトは60秒です。 |
この値は、可能なかぎり低い数値に保ちます。 |
Oracle RACを使用してOracle Adaptive Access Managerデータベースをホストする場合、次のパラメータを設定してOracle Adaptive Access Managerデータベースのパフォーマンスを向上させることを検討します。
表の主キーの競合を削減するには、次の逆引きキー索引を使用します。
VCRYPT_TRACKER_USERNODE_LOGS
VCRYPT_TRACKER_NODE
VT_SESSION_ACTION_MAP
索引の競合を削減するには、アクセス数の多い表にパーティション化された索引を作成します。
SOAP (Simple Object Access Protocol)オプションによってアプリケーションがOracle Adaptive Access Managerと統合されているデプロイメントでパフォーマンスを最適化するには、次のことを検討する必要があります。
SOAPクライアントとOracle Adaptive Access Managerサーバーとの間にネットワークに関する問題が発生していないことを確認します。
DNSの解決に関する問題を削減するには、SOAPサービスがホストされるOracle Adaptive Access ManagerサーバーのIPアドレスを、vcrypt.tracker.soap.urlプロパティに含まれるOracle Adaptive Access Managerホストの値に指定します。
Oracle Adaptive Access Managerをオフラインで使用して、ログインやトランザクションに関する履歴データまたは非リアルタイム・データのリスク評価を実行する場合、パフォーマンスを維持するために、いくつかの追加構成を行うことが必要になる可能性があります。オフラインでのOracle Adaptive Access Managerの使用の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMオフラインに関する項を参照してください。
