Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレード・ガイド 11gリリース2 (11.1.2.2.0) E53413-02 |
|
前 |
次 |
この章では、Oracle WebLogic ServerでのOracle Privileged Account Manager (OPAM) 11gリリース2 (11.1.2.1.0)および11gリリース2 (11.1.2)の環境をOracle Privileged Account Manager 11gリリース2 (11.1.2.2.0)にアップグレードする方法を説明します。
注意: Oracle Privileged Account ManagerのIBM WebSphereでのアップグレードの詳細は、Oracle Fusion Middlewareサードパーティ・アプリケーション・サーバー・ガイドのOracle Privileged Account ManagerのIBM WebSphereでのアップグレードに関する項を参照してください。 |
注意: この章では、Oracle Privileged Account Manager 11gリリース2 (11.1.2)および11gリリース2 (11.1.2.1.0)環境を、11.1.2.x.xと呼びます。 |
この章では、次の項目について説明します。
第7.13項「オプション: Oracle Privileged Account Manager 11.1.2.2.0セッション・マネージャの構成」
第7.14項「オプション: OPAM管理対象サーバー上のOracle Identity Navigatorアプリケーションの構成」
表7-1に、Oracle Privileged Account Manager 11.1.2.x.xをOracle Privileged Account Manager 11.1.2.2.0にアップグレードするために実行するタスクを示します。
表7-1 Oracle Privileged Account Manager 11.1.2.x.xの11.1.2.2.0へのアップグレード手順
Sl番号 | タスク | 詳細の参照先 |
---|---|---|
1 |
システム要件および動作保証を確認します。 |
「システム要件および動作保証の確認」を参照してください。 |
2 |
Oracle Privileged Account Manager 11.1.2をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合、アップグレード前のデータをエクスポートする必要があります。 Oracle Privileged Account Manager 11.1.2.1.0をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合は、このタスクはスキップしてください。 |
第7.3項「アップグレード前データのエクスポート」を参照してください。 |
3 |
管理サーバーとすべての管理対象サーバーを停止します。 |
「管理サーバーおよび管理対象サーバーの停止」を参照してください。 |
4 |
Oracle WebLogic Server 10.3.6を使用しない場合は、Oracle WebLogic Serverを10.3.6にアップグレードする必要があります。 |
「Oracle WebLogic Serverの10.3.6へのアップグレード」を参照してください。 |
5 |
Oracle Privileged Account Managerバイナリを11.1.2.2.0にアップグレードします。 |
「Oracle Privileged Account Managerバイナリの11.1.2.2.0への更新」を参照してください。 |
6 |
11.1.2.x.xデータベース・スキーマをアップグレードします。 |
「データベース・スキーマのアップグレード」を参照してください。 |
7 |
すべてのサーバーを停止します。 |
「管理サーバーおよび管理対象サーバーの起動」を参照してください。 |
8 |
Oracle Identity NavigatorアプリケーションおよびOracle Privileged Account Managerアプリケーションを再デプロイします。 |
「アプリケーションの再デプロイ」を参照してください。 |
9 |
Oracle Privileged Account Manager 11.1.2をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合、OPAMデータ・ストア内でTDEモードまたは非TDEモードのいずれかを設定する必要があります。 Oracle Privileged Account Manager 11.1.2.1.0をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合は、このタスクはスキップしてください。 |
「OPAMデータ・ストアでのTDEまたは非TDEモードの有効化」を参照してください。 |
10 |
Oracle Privileged Account Manager 11.1.2をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合、アップグレード前のデータをインポートする必要があります。 Oracle Privileged Account Manager 11.1.2.1.0をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合は、このタスクはスキップしてください。 |
「アップグレード前データのインポート」を参照してください。 |
11 |
Oracle Privileged Account Manager 11.1.2をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合、アップグレード前のOPSSアーティファクトをクリアする必要があります。 Oracle Privileged Account Manager 11.1.2.1.0をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合は、このタスクはスキップしてください。 |
「アップグレード前のOPSSアーティファクトのクリア」を参照してください。 |
12 |
Oracle Privileged Account Managerセッション・マネージャを構成します(必要な場合)。 |
「オプション: Oracle Privileged Account Manager 11.1.2.2.0セッション・マネージャの構成」を参照してください。 |
13 |
Oracle Identity Navigatorアプリケーションを構成します(必要な場合)。 |
「オプション: OPAM管理対象サーバー上のOracle Identity Navigatorアプリケーションの構成」を参照してください。 |
14 |
アップグレードを確認します。 |
アップグレード・プロセスを開始する前に、システム要件および動作保証のドキュメントを読み、インストールまたはアップグレードする製品の最小要件をシステムが満たしていることを確認する必要があります。詳細は、第2.1項「システム要件および動作保証の確認」を参照してください。
Oracle Privileged Account Manager 11.1.2を11.1.2.2.0にアップグレードしている場合、アップグレード・プロセスを開始する前にアップグレード前のOracle Privileged Account Managerデータをエクスポートする必要があります。
注意: Oracle Privileged Account Manager 11.1.2.1.0を11.1.2.2.0にアップグレードしている場合は、このタスクをスキップしてください。 |
Oracle Privileged Account Manager 11.1.2を11.1.2.2.0にアップグレードする前に、ターゲット、アカウント、ユーザーなどのアップグレード前のOPAMデータをエクスポートする必要があります。この項で示されている各手順は、OPAMデータをXMLファイルにエクスポートするためのプロセスを説明しています。新しいバージョンではバックエンド・データ・ストアがOPSSスキーマからネイティブのOPAMデータ・ストアに移行しているため、エクスポートは手動で行う必要があります。
次の手順を使用して、OPAMデータをエクスポートします。
次の環境変数を設定します。
変数 | 説明 |
---|---|
|
Oracle Privileged Account Managerがインストールされている場所。 |
|
WebLogicインストールに使用されるJDKの場所。 |
ORACLE_HOME
/opam/bin
に移動します。
次のコマンドを、示されているすべてのパラメータを使用して実行します。
UNIXの場合:
./opam.sh [-url <OPAM server url>]] (defaults to https://localhost:18102/opam) -u [user name] (the user should have OPAM_SECURITY_ADMIN and OPAM_USER_MANAGER roles) -p <password> -x export -f [export xml file] [-encpassword <encryption/decryption password>] (provide a value for encpassword for better security) [-enckeylen <Key Length for encryption/decryption of password>] (defaults to 128) [-log <log file Location>] (defaults to opamlog_<timestamp>.txt)
Windowsの場合:
./opam.bat [-url <OPAM server url>]] (defaults to https://localhost:18102/opam) -u [user name] (the user should have OPAM_SECURITY_ADMIN and OPAM_USER_MANAGER roles) -p <password> -x export -f [export xml file] [-encpassword <encryption/decryption password>] (provide a value for encpassword for better security) [-enckeylen <Key Length for encryption/decryption of password>] (defaults to 128) [-log <log file Location>] (defaults to opamlog_<timestamp>.txt)
注意: 暗号パスワードなしでデータがエクスポートされている場合は、データのインポート時にパラメータ「 |
このアップグレード・プロセスには、バイナリおよびスキーマへの変更が含まれます。したがって、アップグレード・プロセスを開始する前に、WebLogic管理サーバーおよびOracle Privileged Account Manager管理対象サーバーを停止する必要があります。
WebLogic管理サーバーの停止の詳細は、第2.8項「サーバーの停止」を参照してください。
Oracle Identity and Access Management 11.1.2.2.0は、Oracle WebLogic Server 11gリリース1 (10.3.6)で動作保証されています。したがって、既存のOracle Privileged Account Manager環境でOracle WebLogic Server 10.3.5またはそれより前のバージョンを使用している場合、Oracle WebLogic Serverを10.3.6にアップグレードする必要があります。
Oracle WebLogic Serverの10.3.6へのアップグレードの詳細は、第2.3項「Oracle WebLogic Server 10.3.6へのアップグレード」を参照してください。
Oracle Privileged Account Manager 11.1.2.x.xバイナリを11.1.2.2.0に更新するには、Oracle Identity and Access Management 11.1.2.2.0インストーラを使用する必要があります。この手順では、ミドルウェア・ホームが既存の11.1.2.x.x Oracle Privileged Account Managerミドルウェア・ホームを指すようにします。Oracleホームは11.1.2.x.xから11.1.2.2.0にアップグレードされます。
Oracle Privileged Account Managerバイナリの11.1.2.2.0への更新の詳細は、第2.4項「Oracle Identity and Access Managementバイナリの11gリリース2 (11.1.2.2.0)への更新」を参照してください。
パッチ・セット・アシスタントを使用して、次のスキーマをアップグレードします。
OPAM
OPSS: OPSSは、OPAMの選択時に依存として選択されます。
パッチ・セット・アシスタントを使用したスキーマのアップグレードの詳細は、第2.6「パッチ・セット・アシスタントを使用したスキーマのアップグレード」を参照してください。
OPAMスキーマとOPSSスキーマをアップグレードすると、OPAMスキーマのバージョンは11.1.2.2.0になります。
スキーマのアップグレード後に、WebLogic Administration ServerおよびOracle Privileged Account Manager管理対象サーバーを起動します。
WebLogic管理サーバーおよび管理対象サーバーの起動の詳細は、第2.9項「サーバーの起動」を参照してください。
WebLogic Administration ServerおよびOracle Privileged Account管理対象サーバーの起動後に、Oracle Identity NavigatorアプリケーションおよびOracle Privileged Account Managerアプリケーションを再デプロイする必要があります。このためには、次のタスクを実行します。
注意: 実際のOracle Identity Navigatorのバージョン番号は11.1.2.2.0ですが、Oracle Identity Navigatorのバージョン番号は11.1.1.3.0となっています。 これはエラーではありません。この不一致は、Oracle Identity NavigatorとOracle Identity and Access Managementのリリースを内部でトラックする方法に違いがあるために生じます。 |
Oracle Identity Navigatorのアップグレードでは、Oracle Identity Navigator 11.1.2.2.0リリースのoinav.ear
を使用してOracle Identity Navigatorを再デプロイします。oinav.ear
の再デプロイには、WebLogic管理コンソールの使用とWebLogic Scripting Toolの使用の2つの方法があります。
次のいずれかの方法で、Oracle Identity Navigatorアプリケーションを再デプロイします。
WebLogic Server管理コンソールを使用したoinavのアップグレード
WebLogic管理コンソールを使用してOracle Identity Navigatorをアップグレードするには、次の手順を実行します。
WebLogic管理コンソールにログインします。
http://
admin_server_host
:
admin_server_port
/console
「ドメイン構造」の下で、「デプロイメント」をクリックします。
「名前」表からoinav (11.1.1.3.0)を選択します。
「アプリケーション更新アシスタント」画面でソース・パスを確認した後、「更新」をクリックし、「終了」をクリックします。
注意: WebLogicを本番モードで実行している場合は、「更新」をクリックする前に「ロックして編集」をクリックします。 |
WebLogic Scripting Tool (WLST)を使用したoinavのアップグレード
WLSTコンソールを使用してOracle Identity Navigatorをアップグレードするには、次の手順を実行します。
UNIXの場合
コマンド行で次のコマンドを実行して、現在の作業ディレクトリからMW_HOME
/wlserver_10.3/common/bin
ディレクトリに移動します。
cd
MW_HOME
/wlserver_10.3/common/bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
./wlst.sh
次のコマンドを使用して管理サーバーに接続します。
connect('
weblogic-username
','
weblogic-password
','
weblogic-url
')
WLSTプロンプトで、次のコマンドを実行します。
redeploy('oinav#11.1.1.3.0')
exit()
コマンドを使用してWLSTコンソールを終了します。
Windowsの場合
コマンド行で次のコマンドを実行して、現在の作業ディレクトリからMW_HOME
\wlserver_10.3\common\bin
ディレクトリに移動します。
cd
MW_HOME
\wlserver_10.3\common\bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
wlst.cmd
次のコマンドを使用して管理サーバーに接続します。
connect('
weblogic-username
','
weblogic-password
','
weblogic-url
')
WLSTプロンプトで、次のコマンドを実行します。
redeploy('oinav#11.1.1.3.0')
exit()
コマンドを使用してWLSTコンソールを終了します。
注意: 実際のOracle Privileged Account Managerのバージョン番号は11.1.2.2.0ですが、OPAMアプリケーションのバージョン番号は11.1.2.0.0になっています。 これはエラーではありません。この不一致は、OPAMリリースとIdentity Access Managementリリースの内部的な追跡方法の違いによるものです。 |
Oracle Privileged Account Managerをアップグレードすると、Oracle Privileged Account Manager 11.1.2.2.0リリース用のopam.ear
を使用してOracle Privileged Account Managerが再デプロイされます。opam.ear
の再デプロイには、WebLogic管理コンソールの使用とWebLogic Scripting Toolの使用の2つの方法があります。
次のいずれかの方法で、Oracle Privileged Account Managerアプリケーションを再デプロイします。
WebLogic Server管理コンソールを使用したopamのアップグレード
次の手順を実行して、WebLogic管理コンソールからOracle Privileged Account Managerをアップグレードします。
WebLogic管理コンソールにログインします。
http://
admin_server_host
:
admin_server_port
/console
「ドメイン構造」の下で、「デプロイメント」をクリックします。
「名前」表からopam (11.1.2.0.0)を選択します。
「アプリケーション更新アシスタント」画面でソース・パスを確認した後、「更新」をクリックし、「終了」をクリックします。
注意: WebLogicを本番モードで実行している場合は、「更新」をクリックする前に「ロックして編集」をクリックします。 |
WebLogic Scripting Tool (WLST)を使用したopamのアップグレード
次の手順を実行して、WLSTコンソールからOracle Privileged Account Managerをアップグレードします。
UNIXの場合
コマンド行で次のコマンドを実行して、現在の作業ディレクトリからMW_HOME
/wlserver_10.3/common/bin
ディレクトリに移動します。
cd
MW_HOME
/wlserver_10.3/common/bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
./wlst.sh
次のコマンドを使用して管理サーバーに接続します。
connect('
weblogic-username
','
weblogic-password
','
weblogic-url
')
WLSTプロンプトで、次のコマンドを実行します。
redeploy('opam#11.1.2.0.0')
exit()
コマンドを使用してWLSTコンソールを終了します。
Windowsの場合
コマンド行で次のコマンドを実行して、現在の作業ディレクトリからMW_HOME
\wlserver_10.3\common\bin
ディレクトリに移動します。
cd
MW_HOME
\wlserver_10.3\common\bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
wlst.cmd
次のコマンドを使用して管理サーバーに接続します。
connect('
weblogic-username
','
weblogic-password
','
weblogic-url
')
WLSTプロンプトで、次のコマンドを実行します。
redeploy('opam#11.1.2.0.0')
exit()
コマンドを使用してWLSTコンソールを終了します。
Oracle Privileged Account Manager 11.1.2をOracle Privileged Account Manager 11.1.2.2.0にアップグレードしている場合、Oracle Privileged Account Managerデータ・ストア内でTDEモードまたは非TDEモードを有効化する必要があります。
注意: Oracle Privileged Account Manager 11.1.2.1.0を11.1.2.2.0にアップグレードしている場合は、このタスクをスキップしてください。 |
Oracle Privileged Account ManagerはOracle Database TDE(透過的データ暗号化)モードで操作できます。TDEモードを有効または無効にするよう選択できます。セキュリティ強化のために、TDEモードを有効にしておくことを強くお薦めします。有効化するモードに応じて、次のいずれかのタスクを実行します。
Oracle Privileged Account Managerデータ・ストアでTDEモードを有効化するには、次の手順を実行します。
Oracle Privileged Account Managerのデータベースにおける透過的データ暗号化(TDE)の有効化の詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化の有効化に関する項を参照してください。
詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化を使用したストアド・データの保護に関する項を参照してください。
Oracle Privileged Account ManagerのデータベースでTDEを有効にした後は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOPAMスキーマの暗号化の有効化に関する項の説明に従って、OPAMスキーマで暗号化を有効にする必要があります。
OPAMスキーマで暗号化を有効にするには、sqlplusまたは他のクライアントを使用して、opamxencrypt.sql
スクリプトをOPAMスキーマとともに実行します。
IAM_HOME
/opam/sql/opamxencrypt.sql
次に例を示します。
sqlplus DEV_OPAM/welcome1 @IAM_HOME
/opam/sql/opamxencrypt.sql
非推奨ですが、ユーザーが非TDEモードを必要とする場合はフラグ「tdemode」をfalse
に設定する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の非TDEモードの設定に関する項を参照してください。
注意: 常に透過的データ暗号化(TDE)を使用するようにお薦めしています。TDEがないと、データの保護が低下します。 2つのモードの切り替えの詳細は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のディスク上のデータの保護に関する項を参照してください。 |
Oracle Privileged Account Manager 11.1.2を11.1.2.2.0にアップグレードしている場合、11.1.2.2.0にアップグレードした後、アップグレード前のOracle Privileged Account Managerデータをエクスポートする必要があります。
注意: Oracle Privileged Account Manager 11.1.2.1.0を11.1.2.2.0にアップグレードしている場合は、このタスクをスキップしてください。 |
アップグレード前のOPAMデータをインポートするには、次の手順を実行します。
次の環境変数を設定します。
変数 | 説明 |
---|---|
|
Oracle Privileged Account Managerがインストールされている場所。 |
|
WebLogicインストールに使用されるJDKの場所。 |
ORACLE_HOME
/opam/bin
に移動します。
次のパラメータを指定して、opam.shスクリプトを実行します。
./opam.sh -url <OPAM server url> (defaults tohttps://localhost:18102/opam
) -u <user name> (the user should haveOPAM_SECURITY_ADMIN
andOPAM_USER_MANAGER
roles) -p <password> -x import -f <import xml file> -encpassword <encryption/decryption password> -enckeylen <Key Length for encryption/decryption of password> (Defaults to 128) -log <log file Location> (defaults to opamlog_<timestamp>.txt)
Oracle Privileged Account Manager 11.1.2を11.1.2.2.0にアップグレードしている場合、11.1.2.2.0にアップグレードした後、アップグレード前のOPSSアーティファクトをクリアする必要があります。
注意: Oracle Privileged Account Manager 11.1.2.1.0を11.1.2.2.0にアップグレードしている場合は、このタスクをスキップしてください。 |
アップグレード前インスタンスのOPSSアーティファクトをクリアするには、次の手順を実行します。
UNIXの場合:
$ORACLE_HOME/common/bin/wlst.sh $ORACLE_HOME/opam/config/clean-opss.py <WebLogic Administrator Username> <WebLogic Administrator Password> <t3://<adminserver-host>:<adminserver-port>
Windowsの場合:
$ORACLE_HOME\common\bin\wlst.cmd $ORACLE_HOME\opam\config\clean-opss.py <WebLogic Administrator Username> <WebLogic Administrator Password> <t3://<adminserver-host>:<adminserver-port>
Oracle Privileged Account Manager 11.1.2.2.0セッション・マネージャを構成する場合は、次の手順を実行します。
WebLogic管理サーバーおよびOracle Privileged Account Manager管理対象サーバーを停止します。
サーバーの停止の詳細は、第7.4項「管理サーバーおよび管理対象サーバーの停止」を参照してください。
次の例に示すように、WLSTスクリプトconfigureSessionManager.py
をORACLE_HOME
/opam/tools
から実行します。
UNIXの場合:
./wlst.sh
ORACLE_HOME
/opam/tools/configureSessionManager.py
-d
<Path_to_WebLogic_Domain_Directory>
-o
<Path_to_Oracle_Home_Directory>
Windowsの場合:
wlst.cmd
ORACLE_HOME
\opam\tools\configureSessionManager.py
-d
<Path_to_WebLogic_Domain_Directory>
-o
<Path_to_Oracle_Home_Directory>
Oracle Privileged Account Manager管理対象サーバー上でOracle Identity Navigatorを構成する場合は、次の手順を実行します。
サーバーを停止します。
コマンド行で次のコマンドを実行して、現在の作業ディレクトリから<IAM_HOME>/common/bin
ディレクトリに移動します。
cd<IAM_HOME>/common/bin
次のコマンドを実行して、Oracle Fusion Middleware構成ウィザードを起動します。
UNIXの場合:
./config.sh
Windowsの場合:
config.cmd
「既存のWebLogicドメインの拡張」オプションを選択して、OPAMドメインを選択します。
製品から、「Oracle Identity Navigator for Managed Server」を選択します。ウィザードで競合が検出された場合は、常に「既存のコンポーネントを保持」オプションを選択します。
構成を完了します。Oracle Privileged Account Manager管理対象サーバーの起動後に、このサーバー上でOracle Identity Navigatorが実行されます。
次の手順を実行して、Oracle Privileged Account Managerのアップグレードを確認します。
次のURLを使用して、Oracle Privileged Account Manager 11.1.2.2.0のコンソールにログインします。
http://
adminserver_host
:
adminserver_port
/oinav/opam
Oracle Privileged Account Manager管理対象サーバー上でOracle Identity Navigatorを構成した場合は、次のURLを使用してOracle Privileged Account Manager 11.1.2.2.0コンソールにログインすることも可能です。
http://
opamserver_host
:
opamserver_nonssl_port
/oinav/opam
アップグレード前のデータ、ターゲット、アカウント、権限が存在しており、想定どおりに機能することを確認します。