Oracle® Fusion Middleware Oracle Identity and Access Management移行ガイド 11gリリース2 (11.1.2.2.0) E53415-02 |
|
前 |
次 |
この章では、Oracle Access Manager 10gをOracle Access Management Access Manager (Access Manager) 11gリリース2 (11.1.2.2.0)に移行する方法について説明します。
この章には次の項が含まれます:
第2.5項「Oracle Identity and Access Management11.1.2.2.0のインストール」
第2.6項「Oracle Access Management Access Manager 11.1.2.2.0の構成」
第2.13項「Access Manager 11.1.2.2.0へのOracle Access Manager 10gのアーティファクトの移行」
この章で説明する手順を使用して、Oracle Access Manager 10gの次のアーティファクトをAccess Manager 11.1.2.2.0に移行できます。
ホスト識別子
エージェント
データ・ストア
認証スキーム
リソース・タイプ
ポリシー・ドメイン
この移行では、Access Manager 11gリリース2 (11.1.2.2.0)をインストールし、新しいOracleホーム(IAM_HOME)
を作成して、Oracle Access Manager 10gインストールから新しいAccess Manager 11gリリース2 (11.1.2.2.0)のOracleホームにポリシー・データを移行する必要があります。
この項には次のトピックが含まれます:
この章で説明する手順を使用して、次の3つのモードで移行を実行できます。
この移行モードでは、11.1.2.2.0と互換性のあるOracle Access Manager 10gのすべてのアーティファクトがAccess Manager 11.1.2.2.0に移行されます。完全移行を実行できるのは1回のみです。完全移行を実行した後でデルタ移行を実行することはできますが、完全移行後の増分移行はサポートされていません。
増分移行は、Oracle Access Manager 10gの選択されたエージェント、ポリシー・ドメインとその関連アーティファクト(ホスト識別子など)、リソースのリソース・タイプ、および認証スキームがAccess Manager 11.1.2.2.0に移行される移行モードです。増分移行で、選択されたポリシー・ドメインを移行する際、移行ユーティリティにより、認証スキーム、ホスト識別子、リソース・タイプなどの依存アーティファクトの有無がチェックされ、まずそれらが移行されます。この移行の後、関連付けられているポリシー・ドメインの移行が行われます。
Access Manager 11.1.2.2.0環境に存在していないアーティファクトを移行できます。移行対象のアーティファクトがすでにAccess Manager 11.1.2.2.0環境に存在している場合、そのアーティファクトは無視され、移行されません。
増分移行は複数回実行できます。増分移行の後に完全移行を実行することも可能です。または、増分移行を複数回実行して、すべてのアーティファクトを移行できます。
増分移行の手順は、完全移行の手順と同じですが、加えて、「増分移行のための追加手順」で説明されている、増分移行で必要な追加手順を実行する必要があります。
デルタ移行を実行できるのは、完全移行の後のみです。デルタ移行とは、完全移行後に10gのアーティファクトに対して行った変更(デルタ)を移行することです。
デルタ移行を実行すると、ポリシー・ドメインで行われた変更が、依存アーティファクトにおける対応する変更とともに移行されます。たとえば、完全移行後に、新しく作成されたホスト識別子を使用する新しいリソースを追加した場合、次のデルタ移行では、新しく作成されたホスト識別子が最初に移行され、その後、リソースが移行されます。
新しく追加されたリソース・タイプおよびエージェントは、デルタ移行の一環として移行されません。リソース・タイプを移行するには、いずれかのポリシー・ドメインと関連付ける必要があります。
デルタ移行では、「追加」または「変更」タイプの変更が移行されます。つまり、10gデプロイメントで新しいアーティファクトを追加した場合やアーティファクトを変更した場合(リソース・タイプおよびエージェントを除く)、デルタ移行を使用して、それらの変更を移行できます。デルタ移行では、「削除」は移行されません。つまり、10gデプロイメントでアーティファクトを削除した場合、デルタ移行を使用しても、11gデプロイメントで同じアーティファクトが削除されるわけではありません。移行ツールを使用すると、特定の変更を移行できない場合でも、Access Manager 11gで既存のデータの整合性を確保できます。
デルタ移行後に完全移行および増分移行を実行することはできません。ただし、デルタ移行は複数回実行できます。
注意: Oracle Access Manager 10gからAccess Manager 11.1.2.2.0へのデルタ移行は、Oracle Access Manager 10gデプロイメントに行われた変更が使用可能かどうかによって決まります。Oracle Access Manager 10gでは、 |
表2-1は、Access Manager 11.1.2.2.0に移行可能なOracle Access Manager 10gのアーティファクトをまとめたものです。
表2-1 アーティファクトの互換性
アーティファクト | 説明 |
---|---|
ホスト識別子 |
|
エージェント |
|
データ・ストア |
|
認証スキーム |
|
リソース・タイプ |
|
ポリシー・ドメイン |
|
図2-1は、Oracle Access Manager 10gとAccess Manager 11.1.2.2.0のトポロジを比較したものです。
図2-1 Oracle Access Manager 10gとAccess Manager 11.1.2.2.0のトポロジの比較
表2-2は、Oracle Access Manager 10gからAccess Manager 11.1.2.2.0への移行手順を示しています。
表2-2 移行タスク
タスク番号 | タスク | 参照先 |
---|---|---|
1 |
前提条件を満たします。 |
「移行の前提条件」を参照してください。 |
2 |
Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)をインストールします。 |
「Oracle Identity and Access Management 11.1.2.2.0のインストール」を参照してください。 |
3 |
Access Manager 11.1.2.2.0を構成します。 |
「Oracle Access Management Access Manager 11.1.2.2.0の構成」を参照してください。 |
4 |
移行後、WebGateがAccess Manager 11.1.2.2.0との通信を開始したときに、Access Manager 11.1.2.2.0サーバーがエージェントからの接続を受け入れるように、Access Manager 11.1.2.2.0サーバー・インスタンスとWebGateのセキュリティ・モードを構成します。 |
「Access Manager 11.1.2.2.0サーバー用のトランスポート・セキュリティ・モードの構成」を参照してください。 |
5 |
管理サーバーおよびAccess Manager 11.1.2.2.0管理対象サーバーを起動します。 |
|
6 |
LDAP詳細および必要な情報を使用してプロパティ・ファイルを作成します。 |
「プロパティ・ファイルの作成」を参照してください。 |
7 |
評価レポートを生成し、どのエージェントとアーティファクトをAccess Manager 11.1.2.2.0に移行できるかを分析します。 Oracle Access Manager 10g環境を移行する前に、このタスクを複数回実行できます。 |
「評価レポートの生成」を参照してください。 |
8 |
Access Manager 11.1.2.2.0があるドメインの管理サーバーを再起動します。 |
「管理サーバーの再起動」を参照してください。 |
9 |
増分移行を実行する場合は、追加手順(入力ファイルの作成など)を実行します。 完全移行を実行する場合は、このタスクは無視してください。 |
「増分移行のための追加手順」を参照してください。 |
10 |
Oracle Access Manager 10gをAccess Manager 11.1.2.2.0に移行します。 |
「Access Manager 11.1.2.2.0へのOracle Access Manager 10gのアーティファクトの移行」を参照してください。 |
11 |
Access Manager 11.1.2.2.0で10g WebGateを使用する場合、Access Manager 11.1.2.2.0サーバーと連携するように10g WebGateの集中ログアウトを構成する必要があります。 |
「Access Manager 11.1.2.2.0使用時の10g WebGateの集中ログアウトの構成」を参照してください。 |
12 |
移行されたWebGateをOracle Access Management 11.1.2.2.0サーバーに関連付けます。 |
|
13 |
移行を確認します。 |
「移行の確認」を参照してください。 |
Oracle Access Manager 10gをAccess Manager 11.1.2.2.0に移行するには、次の前提条件を満たす必要があります。
システム要件および動作保証のドキュメントを読み、環境がインストールする製品の最小要件を満たしていることを確認します。
Oracle Fusion Middlewareのシステム要件と仕様
このドキュメントには、ハードウェアとソフトウェアの要件、最小ディスク領域とメモリーの要件、および必要なシステム・ライブラリ、パッケージまたはパッチに関する情報が含まれます。
Oracle Fusion Middlewareのサポートされるシステム構成
このドキュメントには、サポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品に関する情報が含まれます。
インストール時に発生する可能性がある相互運用性および互換性の問題については、『Oracle Fusion Middleware相互運用および互換性ガイド』を参照してください。
Oracle Fusion Middleware製品が旧バージョンの他のOracle Fusion Middleware、Oracleまたはサード・パーティ製品と機能するために重要な情報がこのドキュメントに記載されています。この情報は、既存の環境をアップグレードする既存ユーザーと新しいOracle Fusion Middlewareユーザーの両方に適用されます。
注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。 |
使用しているOracle Access Manager 10gのバージョンで移行がサポートされていることを確認します。Oracle Access Manager 10gの移行がサポートされている開始ポイントの詳細は、第1.4項「移行および共存がサポートされている開始ポイント」を参照してください。
Oracle Access Manager 10gデプロイメント内で構成されているすべてのユーザー・ストアが実行されていることを確認します。
移行プロセスの一部として、Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)をインストールする必要があります。Oracle Identity and Access Managementは、Oracle Access Management Access Manager 11.1.2.2.0を含むスイートです。これは、Oracle Access Manager 10gがインストールされているのと同じマシンにも異なるマシンにもインストールできます。
Oracle Identity and Access Management 11.1.2.2.0のインストールの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracle Identity and Access Management (11.1.2.2.0)のインストールに関する説明を参照してください。
Oracle Identity and Access Management 11.1.2.2.0をインストールしたら、Access Manager 11.1.2.2.0を構成し、ドメインを作成する必要があります。
Access Manager 11.1.2.2.0の構成については、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracle Access Managementの構成に関する項を参照してください。
移行後、移行されたWebGateがAccess Manager 11.1.2.2.0サーバーと通信できるように、Access Manager 11.1.2.2.0サーバーのセキュリティ・モードを構成する必要があります。セキュリティ・モードは次のとおりです。これらのセキュリティ・モードは、セキュリティ・レベルの低いものから高いものへという順番で示されています。
Open
Simple
Cert
Open
がセキュリティ・レベルの最も低いモードであり、Cert
がセキュリティ・レベルの最も高いモードです。Open
は、デフォルトのセキュリティ・モードです。どのセキュリティ・モードでAccess Manager 11.1.2.2.0サーバーを構成する必要があるかは、移行対象のOracle Access Manager 10g WebGateのセキュリティ・モードによって異なります。
この項には次のトピックが含まれます:
移行するすべてのWebGateが同じセキュリティ・モードである場合は、Access Manager 11.1.2.2.0サーバーをそのモードで構成する必要があります。移行されたWebGateに異なるセキュリティ・モードのWebGateが混在する場合は、Access Manager 11.1.2.2.0サーバーを、よりセキュリティ・レベルの低いモードで構成する必要があります。表2-3は、様々なユースケースとAccess Manager 11.1.2.2.0サーバーを構成する必要のあるセキュリティ・モードを示しています。
表2-3 Access Manager 11.1.2.2.0サーバーのセキュリティ・モードの選択
Oracle Access Manager 10g WebGateのトランスポート・セキュリティ・モード | Access Manager 11.1.2.2.0インスタンスで構成する必要のあるセキュリティ・モード | 構成手順 |
---|---|---|
一部またはすべてが |
|
|
すべてが |
|
|
すべてが |
|
|
|
|
|
|
|
Access Manager 11.1.2.2.0用にCert
モード通信を構成するには、Oracle Fusion Middleware Oracle Access Management管理者ガイドのAccess Manager用のCertモード通信の構成に関する項の次の手順を実行します。
OAMサーバーとWebGate間の通信の保護の概要に関する項、およびCertモード暗号化とファイルに関する項を確認します。
このタスクで説明されているすべての手順を実行します。
OAMサーバー用の証明書リクエストおよび秘密鍵の生成に関する項
このタスクで説明されているすべての手順を実行します。
OAMキーストア別名およびパスワードの取得に関する項
このタスクで説明されているすべての手順を実行します。
信頼できる、署名された証明書チェーンの、キーストアへのインポートの項
このタスクでは、WebGateのCert
モード証明書の発行に使用される認証局(CA)証明書をインポートします。このCA証明書が、Access Manager 11.1.2.2.0サーバーが信頼済の証明書とは異なる場合は、このタスクの次の手順を実行します。そうでない場合は、これらのタスクは無視してください。
aaa_chain.pem: テキスト・エディタを使用してaaa_chain.pemファイルを変更して、CERTIFICATEブロック内に含まれるデータを除くすべてのデータを削除してからそのファイルを保存します。
次のコマンドと環境に応じた詳細を使用して、信頼された証明書チェーンをインポートします。
証明書を信頼するかどうか尋ねられたら、「yes」と入力します。
Access Manager設定への証明書詳細の追加に関する項
このタスクの、OAMサーバー登録ページを開き、「プロキシ」タブをクリックし、プロキシ・モードを「証明書」に変更して「適用」をクリックする手順は無視してください。
Access Manager 11.1.2.2.0サーバーのCert
モード証明書で使用されているルート認証局(CA)が、WebGate側のaaa_chain.pem
ファイルにあるCA証明書と異なる場合は、aaa_chain.pem
ファイルを、サーバーのCert
モード証明書の発行に使用されるルートCA証明書で更新する必要があります。これを行うには、次の手順を実行します。
Access Manager 11.1.2.2.0サーバー・インスタンス用のCert
モード証明書の生成に使用された、PEM形式のCA証明書を取得します。
任意のテキスト・エディタでこのCA証明書を開き、このファイルのコンテンツを、BEGIN、ENDマーカーを含めてコピーします。次に例を示します。
----BEGIN CERTIFICATE-----
...
CERTIFICATE
...
-----END CERTIFICATE-----
任意のテキスト・エディタを使用してOHS_INSTANCE_HOME
/config/OHS/ohs2/webgate/config
にあるaaa_chain.pem
ファイルを開き、サーバーCA証明書ベースの64エンコードのコンテンツをaaa_chain.pem
ファイルの最後に貼り付けます。
ファイルを保存して閉じます。
Access Manager 11.1.2.2.0サーバー用のSimple
モード通信を構成するには、次の手順を実行します。
次のURLを使用して、Oracle Access Management 11.1.2.2.0管理コンソールにログインします。
http://<host>:<port>/oamconsole
ここで、<host>
はAccess Manager 11.1.2.2.0が実行されているマシンであり、<port>
はポート番号です。
「システム構成」タブに移動します。
「Access Manager」を開き、「Access Managerの設定」をダブルクリックします。
「アクセス・プロトコル」セクションを開きます。
「グローバル・パスフレーズ」を、Oracle Access Manager 10gデプロイメントで使用されているのと同じ値に設定します。
Oracle Access Manager 10gをAccess Manager 11.1.2.2.0への移行を開始する前に、WebLogic管理サーバーおよびAccess Manager 11.1.2.2.0管理対象サーバーが起動しており実行中であることを確認します。管理サーバーおよび管理対象サーバーの起動の詳細は、付録A「サーバーの起動」を参照してください。
アクセス可能な任意の場所にプロパティ・ファイルを作成します。たとえば、oam_migration.properties
ファイルを作成します。
プロパティ・ファイルのコンテンツは、次のようなものです。
## Configuration store details ## If the configuration store is SSL enabled, the LDAP url should begin with 'ldaps
'. config_store_ldap_url=ldap://<Host Name>:<Port>/ config_store_ldap_base=<Configuration store ldap base> config_store_principal=<Configuration store LDAP Principal> config_store_password=<Configuration store OAM 10g encrypted password> config_store_initial_context_factory=com.sun.jndi.ldap.LdapCtxFactory ## Policy store details ## If the policy store is SSL enabled, the LDAP url should begin with 'ldaps
'. policy_store_ldap_url=ldap://<Host Name>:<Port>/ policy_store_ldap_base=<Policy store ldap base> policy_store_principal=<Policy store LDAP Principal> policy_store_password=<Policy store OAM 10g encrypted password> policy_store_initial_context_factory=com.sun.jndi.ldap.LdapCtxFactory ## This property indicates the path of trust store file which is a collective ## store of CA certs of all directory serves viz. policy store, config store, ## identity store. ldap_trust_store=<path to ldap trust-store> ## This property is required if client authentication in directory ## server is enabled and it contains the path of file having client ## certificates client_keystore=<path to ketstore file in jks format> ## If ldap_trust_store_password and client_keystore_password are left empty, ## then wlst commandline prompts for these passwords after migration utility ## is run. ldap_trust_store_password=<plain text password of trust store file> client_keystore_password=<plain text password of keystore file> ## migration_mode indicates what type of migration does the administrator intends ## to perform. ## 1. COMPLETE : A full migration will be performed. Ideal for a new OAM 11g ## environment with a clean database. ## 2. INCREMENTAL: Incremental mode can be used to migrate selective artifacts ## from 10g enviroment. Incremental mode will be dictated by the ## include and exclude file properties. Incremental Migration ## cannot be performed after Complete Migration. ## 3. DELTA : When the administrator intends to migrate the changes performed to the 10g artifacts ## then delta migration can be performed. This will include all the artifacts depending upon ## the GSN number. ## Defaults to COMPLETE if not specified. migration_mode=COMPLETE ## The include filename property indicates the absolute filename that would ## contain the list of artifacts that the administration wishes to selectively ## migrate to the 11g environment in incremental mode. For migration modes other ## than incremental, this property will be directly ignored. include_file=<include input filename> ## The exclude filename property indicates the absolute filename that would ## contain the list of artifacts that the administration wishes to selectively ## exclude from migrating to the 11g environment in incremental mode. For ## migration modes other than incremental, this property will be directly ignored. ## In incremental mode migration, if the administrator specifies both the include ## and exclude files then the include file wiil take precedence and exclude file ## will be ignored. exclude_file=<exclude input filename> ## This flag denotes whether the preview file should be created or not. If true, ## then preview report will be created irrespective of the value of the ## evaluate_only flag. If set to false, then preview report will not be created. ## Defaults to TRUE if not specified. preview_enabled=true ## Parameter to filter out preview report file based on the compatibility of an ## artifact. It can take values as COMPATIBLE, INCOMPATIBLE and ALL. ## If set to INCOMPATIBLE, it will include records with compatibility as ## INCOMPATIBLE,INCOMPATIBLE_WITH_LESS_FEATURES and IGNORE. If set to COMPATIBLE, ## it will include records with compatibility as COMPATIBLE. If set to ALL, ## it will include all types of record. ## Defaults to INCOMPATIBLE if not specified. preview_level=ALL ## Indicates the absolute path and filename of the evaluation preview record file. ## If not specified, defaults to ## <MW_Home>/user_projects/domains/base_domain/MigrationPreviewFile.txt evaluate_filename=<Preview report filename> ## Flag indicating whether the migration utility runs in evalute mode. If true, ## only preview records will be generated and actual migration to 11g environment ## will be skipped. If false, then actual migration will take place. ## Defaults to FALSE if not specified. evaluate_only=false ## Parameter for indicating the threashold limit for the artifacts processed in ## memory. Can be used on machines with less memory. If not provided, then ## defaults to 5000. If the migration utility is being used in 'evaluate only' ## mode, this value will be ignored. ## If you feel that the memory will not prove to be insufficient for the amount ## of data that is being migrated, set the value to "MAX". artifact_queue_limit=3000 ## Parameter to provide mode of an agent while migration. It will migrate all the ## agents in the mode specified here. The values can be, OPEN, SIMPLE, CERT ## and RETAIN_EXISTING. Defualt value will be RETAIN_EXISTING. This value will ## migrate agent in its existing mode. agent_mode_to_override=RETAIN_EXISTING
表2-4は、プロパティ・ファイル内の各プロパティに指定する必要のある値を示しています。
表2-4 プロパティ・ファイルの値
プロパティ | 説明 |
---|---|
|
Oracle Access Manager 10gデプロイメントで使用されている構成ストアのLDAPホストとポートを、 構成ストアでSSLが有効化されている場合、LDAPのURLは' |
|
Oracle Access Manager 10gデプロイメントの構成ストア用のLDAP検索ベースを指定します。これは、Oracle Access Manager 10gのインストール時に指定したのと同じ検索ベースです。この値を取得するには、次の手順を実行します。
|
|
構成ストアの管理者のLDAP DNを指定します。 |
|
Oracle Access Manager 10gの構成LDAPストアの暗号化パスワードを指定します。暗号化パスワードを取得するには、次の手順を実行します。
|
|
このプロパティの値は、 |
|
Oracle Access Manager 10gデプロイメントで使用されているポリシー・ストアのLDAPホストとポートを、 ポリシー・ストアでSSLが有効化されている場合、LDAPのURLは' |
|
Oracle Access Manager 10gデプロイメントのポリシー・ストア用のLDAP検索ベースを指定します。これは、Oracle Access Manager 10gのインストール時に指定したのと同じ検索ベースです。この値を取得するには、次の手順を実行します。
|
|
ポリシー・ストアの管理者のLDAP DNを指定します。 |
|
Oracle Access Manager 10gのポリシーLDAPストアの暗号化パスワードを指定します。暗号化パスワードを取得するには、次の手順を実行します。
|
|
このプロパティの値は、 |
|
|
|
|
|
プロパティ このプロパティの値が空の場合、移行ユーティリティの実行時にWLSTのコマンド行でパスワードの入力を要求されます。 |
|
プロパティ このプロパティを指定する必要があるのは、 このプロパティの値が空の場合、移行ユーティリティの実行時にWLSTのコマンド行でパスワードの入力を要求されます。 |
|
このプロパティは、実行する移行のモードを示します。次の値のいずれかを設定します。
移行のモードの詳細は、「移行のモード」を参照してください。 |
|
増分移行を実行する場合、一部のアーティファクトをAccess Manager 11.1.2.2.0に移行するには、
増分移行の実行時に、 完全移行では、このプロパティは無視されます。 |
|
増分移行を実行する場合、一部のアーティファクトを移行から除外するには、
増分移行の実行時に、 完全移行では、このプロパティは無視されます。 |
|
このプロパティは、評価レポートを作成するかどうかを示します。このプロパティの値が
値を何も指定しないと、デフォルト値である |
|
このプロパティは、アーティファクトの互換性に基づいて評価レポートのデータをフィルタ処理します。このプロパティには、次のいずれかの値を指定できます。
このプロパティの値が このプロパティの値が このプロパティの値が 互換性のないアーティファクト、および互換性はあるが機能が低下するアーティファクトの詳細は、表2-6を参照してください。 |
|
生成する評価レポート・ファイルの絶対パスとファイル名を指定する必要があります。評価レポートのデフォルトのパスは |
|
このプロパティは、移行ユーティリティが評価モードで実行されるかどうかを示します。 このプロパティの値が このプロパティの値が このプロパティに値を何も指定しないと、デフォルト値である |
|
このプロパティは、メモリーで処理されるアーティファクトのしきい値の制限を示します。移行プロセスでメモリーが少ないマシンを使用している場合は、このプロパティを指定できます。 移行されるデータの量が多く、かつメモリーが十分である場合は、このプロパティの値を このプロパティのデフォルト値は |
|
このプロパティは、すべてのエージェントが移行されるモードを示します。このプロパティには、次のいずれかの値を指定できます。
デフォルト値は |
注意:
|
Oracle Access Manager 10gアーティファクトをAccess Manager 11.1.2.2.0に移行する前に、評価レポートを生成する必要があります。
評価レポートは、プロパティ・ファイルで該当するプロパティを設定することにより、移行ユーティリティの実行時に生成されるテキスト・ファイルです。評価レポートは、プロパティ・ファイルのevaluate_filename
プロパティで指定した場所に生成されます。
このレポートには、Oracle Access Manager 10gのすべてのアーティファクトに関する情報と、Access Manager 11.1.2.2.0でのそれらの互換性に関する情報が含まれます。
このレポートには、次の3つのデータ・セクションがあります。
レポートの分析方法に関する注意事項、およびアーティファクトの互換性に関するいくつかの一般的な情報。
Access Manager 11.1.2.2.0で互換性のあるアーティファクト、互換性のないアーティファクト、互換性はあるが機能が低下するアーティファクト、および無視されるアーティファクトの数。
Oracle Access Manager 10gのすべてのアーティファクトに関する詳細情報(表形式)。
表2-5は、Oracle Access Manager 10gのアーティファクトに関する情報が表示される表の列を示しています。
表2-5 評価レポートの内容
列番号 | 列 | 説明 |
---|---|---|
1 |
ARTIFACT TYPE |
この列には、Oracle Access Manager 10g内のアーティファクトのタイプが表示されます。アーティファクトのタイプは次のとおりです。
|
2 |
ARTIFACT |
この列には、Oracle Access Manager 10gのすべてのアーティファクトの名前が表示されます。 ポリシー・ドメインの名前は、2つの部分に分かれています。最初の部分はポリシー・ドメインの名前を示し、2番目の部分はポリシー・ドメインのコンテンツを示します。 |
3 |
DETAILS |
この列には、各アーティファクトに関する情報が表示されます。
|
4 |
COMPATIBILITY |
この列には、Access Manager 11.1.2.2.0でのアーティファクトの互換性に関する情報(アーティファクトがAccess Manager 11.1.2.2.0と互換性があるかどうか)が表示されます。この列のすべてのアーティファクトの値は、次のいずれかです。
|
5 |
MESSAGE |
この列には、各アーティファクトの移行に関連するメッセージが表示されます。 |
6 |
ACTION REQUIRED |
この列には、ユーザーによって要求されたアクションが表示されます(ある場合)。 |
注意: 評価レポートで生成されるデータのレベルは、プロパティ・ファイルの Oracle Access Manager 10gのアーティファクトをAccess Manager 11.1.2.2.0に実際に移行する前に、評価レポートを複数回生成できます。 |
表2-6は、Access Manager 11.1.2.2.0で互換性のないOracle Access Manager 10gのアーティファクトのタイプ、および互換性はあるが機能が低下するアーティファクトのタイプを示しています。
表2-6 評価レポートのサマリー
アーティファクト | 説明 |
---|---|
INCOMPATIBLE |
|
COMPATIBLE_WITH_LESS_FEATURES |
|
評価レポートを生成するには、次の手順を実行します。
第2.9項「プロパティ・ファイルの作成」で作成したプロパティ・ファイルを次のように編集します。
migration_mode
プロパティの値をCOMPLETE
に設定します。
preview_enabled
プロパティの値をtrue
に設定します。
evaluate_only
プロパティの値をtrue
に設定します。
評価レポート・ファイルの絶対パスをevaluate_filename
プロパティに設定したことを確認します。
プロパティ・ファイルを保存して閉じます。
第2.13項「Access Manager 11.1.2.2.0へのOracle Access Manager 10gのアーティファクトの移行」の手順2から手順6を実行します。
これにより、作成したプロパティ・ファイルのevaluate_filename
プロパティで指定されている場所に評価レポートが作成されます。このレポートは、Microsoft Excelで開くこともできます。評価レポートに含まれるレコードは、プロパティ・ファイルのpreview_level
プロパティで設定された値に基づきます。
プロパティ・ファイルのevaluate_only
プロパティがtrue
に設定されているため、移行ユーティリティでは、評価レポートのみが生成され、Oracle Access Manager 10gのアーティファクトの移行は実行されません。
注意: 移行を開始する前に、評価レポートを分析し、Oracle Access Manager 10g環境に必要な変更を加えることができます。 |
評価レポートを生成し、Oracle Access Manager 10gのアーティファクトを移行する場合は、evaluate_only
プロパティの値をfalse
に設定し、第2.13項「Access Manager 11.1.2.2.0へのOracle Access Manager 10gのアーティファクトの移行」に記載されている手順を実行します。
注意: 評価レポートを生成すると、移行ユーティリティによって、評価レポートが生成される場所と同じ場所に |
次の手順を実行して、Access Manager 11.1.2.2.0でドメインのWebLogic管理サーバーを再起動します。
WebLogic管理サーバーを停止します。
WebLogic管理サーバーを起動します。
管理サーバーの停止の詳細は、付録A「WebLogic管理サーバーの停止」を参照してください。
管理サーバーの起動の詳細は、付録A「WebLogic管理サーバーの起動」を参照してください。
増分移行を実行する場合のみ、次の手順を実行します。
移行プロセスで作成するプロパティ・ファイル(第2.9項「プロパティ・ファイルの作成」)でmigration_mode
プロパティをINCREMENTAL
に設定します。
評価レポートを生成すると(「評価レポートの生成」を参照)、評価レポートが生成される場所と同じ場所にIncludeFile.txt
という入力ファイルが生成されます。このテキスト・ファイルには、Oracle Access Manager 10gデプロイメントのエージェントおよびアプリケーション・ドメインが格納されています。エージェントとアプリケーション・ドメインは、次の例のようにIncludeFile.txt
にリストされます。
AGENT##ag_one_12752##ag_one_12752##N AGENT##temp##temp##N APPLICATION_DOMAIN##20120304T01055680323##my_domain##N APPLICATION_DOMAIN##20120306T03491413638##Finance##N APPLICATION_DOMAIN##20120306T04155393859##HR##N APPLICATION_DOMAIN##20120319T0255014722##Domain With Resources Only##N APPLICATION_DOMAIN##20120319T03241993733##Domain with Policy##N APPLICATION_DOMAIN##20120319T03300047441##Domain with policy and authn rule##N APPLICATION_DOMAIN##20120319T03324669347##domain with policy and authz rule##N
増分移行を実行するには、移行するアーティファクト(エージェントとアプリケーション・ドメイン)のリスト、または移行から除外するアーティファクト(エージェントとアプリケーション・ドメイン)のリストを指定する必要があります。そのため、次のいずれかのファイルを作成する必要があります。
包含ファイル: 移行するエージェントおよびアプリケーション・ドメインのリストが格納されたテキスト・ファイルです。移行するエージェントおよびアプリケーション・ドメインをY
としてマークして、自動生成されるIncludeFile.txt
をinclude
ファイルとして使用することも、新しいinclude
ファイルを手動で作成することもできます。ただし、IncludeFile.txt
を使用してinclude
ファイルを作成することをお薦めします。
IncludeFile.txt
を使用してinclude
ファイルを作成するには、次の手順を実行します。
a. アクセス可能な任意の場所にIncludeFile.txt
をコピーし、必要に応じて、名前をinclude.txt
に変更します。
b. 移行するエージェントおよびアプリケーション・ドメインをY
としてマークします。Y
は、アーティファクトが増分移行の対象として選択されることを示します。
c. プロパティ・ファイル(oam_migration.properties
)のinclude_file
プロパティを、include
ファイルへの絶対パスに設定します。
注意: 手動で
|
除外ファイル: 移行から除外するエージェントおよびアプリケーション・ドメインのリストが格納されたテキスト・ファイルです。移行から除外するエージェントおよびアプリケーション・ドメインをY
としてマークして、自動生成されるIncludeFile.txt
をexclude
ファイルとして使用することも、新しいexclude
ファイルを手動で作成することもできます。ただし、IncludeFile.txt
を使用してexclude
ファイルを作成することをお薦めします。
IncludeFile.txt
を使用してexclude
ファイルを作成するには、次の手順を実行します。
a. アクセス可能な任意の場所にIncludeFile.txt
をコピーし、必要に応じて、名前をexclude.txt
に変更します。
b. 移行から除外するエージェントおよびアプリケーション・ドメインをY
としてマークします。Y
は、アーティファクトが増分移行の対象として選択されないことを示します。
c. プロパティ・ファイル(oam_migration.properties
)のexclude_file
プロパティを、exclude
ファイルへの絶対パスに設定します。
注意: 手動で
|
注意: includeファイルとexcludeファイルの両方を作成し、プロパティ・ファイルで両方のファイルのパスを指定した場合、 プロパティ・ファイルでこれらの入力ファイルを何も指定しないと、移行は中断されます。 増分移行は複数回実行できます。 |
Oracle Access Manager 10gをAccess Manager 11.1.2.2.0に移行する前に、(第2.10項「評価レポートの生成」の説明に従って)評価レポートを生成し、Access Manager 11.1.2.2.0で互換性のあるアーティファクトと互換性のないアーティファクトを分析することをお薦めします。
注意: 評価レポートの分析後、Oracle Access Manager 10gをAccess Manager 11.1.2.2.0に移行する場合は、この項の手順1から6を実行します。 増分移行を実行する場合は、プロパティ・ファイルで 完全移行を実行する場合は、プロパティ・ファイルで |
完全移行または増分移行を実行するには、次の手順を実行します。
「プロパティ・ファイルの作成」で作成したプロパティ・ファイルでevaluate_only
プロパティの値をfalse
に設定します。ファイルを保存して閉じます。
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合:
コマンド行で次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME
/common/bin
ディレクトリに移動します。
cd
IAM_HOME
/common/bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
./wlst.sh
Windowsの場合:
コマンド行で次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME
\common\bin
ディレクトリに移動します。
cd
IAM_HOME
\common\bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
wlst.cmd
次のコマンドを実行して、WLSTをWebLogic Serverインスタンスに接続します。
connect('wls_admin_username
','wls_admin_password
','t3://hostname
:port
');
このコマンドでは、次のように指定します。
wls_admin_username
は、WebLogic管理サーバーのユーザー名です。
wls_admin_password
は、WebLogic管理サーバーのパスワードです。
hostname
は、WebLogic管理サーバーが実行されているホストです。
port
は、WebLogic管理サーバーのポートです。
次に例を示します。
connect('weblogic','password','t3://localhost:7001');
次のコマンドを実行します。
domainRuntime();
次のコマンドを実行します。
setLogLevel(logger="oracle.oam",level="TRACE:32",persist="0",target="AdminServer");
次のコマンドを実行して、Oracle Access Manager 10gのアーティファクトをAccess Manager 11.1.2.2.0に移行します。
oamMigrate(oamMigrateType="OAM10g",pathMigrationPropertiesFile="absolute_path_of_properties_file
");
各項目は次のとおりです。
absolute_path_of_properties_file
は、「プロパティ・ファイルの作成」で作成したプロパティ・ファイルの絶対パスです。次に例を示します。
UNIXの場合: oamMigrate(oamMigrateType="OAM10g",pathMigrationPropertiesFile="
abc
/
def
/oam_migration.properties
"
Windowsの場合: oamMigrate(oamMigrateType="OAM10g",pathMigrationPropertiesFile="
abc
\\
def
\\oam_migration.properties"
移行が完了すると、WLSTコンソールに、移行の結果を示すメッセージが表示されます。ログ・ファイルは次の場所に生成されます。
UNIXの場合: MW_HOME
/user_projects/domains/base_domain/servers/AdminServer/logs/
Adminserver-diagnostic*.log
Windowsの場合: MW_HOME
\user_projects\domains/base_domain\servers\AdminServer\logs/
Adminserver-diagnostic*.log
移行プロセスでなんらかのエラーが発生した場合は、ログ・ファイルを参照してください。
Access Manager 11.1.2.2.0で10g WebGateを使用する場合、Oracle Access Manager 10gをAccess Manager 11.1.2.2.0に移行した後、Access Manager 11.1.2.2.0サーバーと連携するように10g WebGateの集中ログアウトの設定を構成する必要があります。
10g WebGateの集中ログアウトの構成の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の11g OAMサーバー使用時の10g WebGateの集中ログアウトの構成に関する項を参照してください。
注意: Access Manager 11.1.2.2.0で10g WebGateを使用しない場合は、この手順をスキップしてください。 |
Oracle Access Manager 10gをAccess Manager 11.1.2.2.0に移行した後、移行されたすべてのWebGateをAccess Manager 11.1.2.2.0サーバーに関連付ける必要があります。これを行うには、次の手順を実行します。
Access Manager 11.1.2.2.0サーバー・インスタンスのホスト名とポートの詳細を使用して、Oracle Access Manager 10gアクセス・システム・コンソール上に新しいサーバー・プロファイルを作成します。それには、次の手順を実行します。
Oracle Access Manager 10gアクセス・システム・コンソールにログインします。
「アクセス・システム構成」タブに移動します。
左側のナビゲーション・ペインの「アクセス・サーバー構成」をクリックします。
「追加」をクリックして、新しいサーバー・プロファイルを作成します。
次の詳細を指定します。
名前: このサーバーの名前を指定します。
ホスト名: Access Manager 11.1.2.2.0サーバー・インスタンスが実行されているマシンのホスト名を指定します。
ポート: Access Manager 11.1.2.2.0サーバー・インスタンスのプロキシ・ポートを指定します。Access Manager 11.1.2.2.0のデフォルトのプロキシ・ポートは5575
です。
トランスポート・セキュリティ: Access Manager 11.1.2.2.0サーバー・インスタンスと同じトランスポート・セキュリティ・モードを指定します。
他のパラメータについてはデフォルト値のままにします。
「保存」をクリックします。
関連付けの後でAccess Manager 11.1.2.2.0サーバーとの接続を確立できないWebGateのプロファイル内のWebGate (AccessGate)のMAX Connections
パラメータの値を設定します。
Oracle Access Manager 10gのプライマリ・サーバーがすべて起動している場合、MAX Connections
の値を、Oracle Access Manager 10gのすべてのプライマリ・サーバーへの接続数の合計と同じ数に設定します。
WebGateプロファイルの変更に関する詳細は、Oracle Access Managerアクセス管理ガイドリリース10g (10.1.4.3)のアクセス・ゲートの変更に関する項を参照してください。
既存のOracle Access Manager 10gサーバーを保持することで、各WebGateを1つ以上のプライマリ・サーバーとしてAccess Manager 11.1.2.2.0サーバーに関連付けます。Access Manager 11.1.2.2.0サーバーへの接続数を1
以上に設定します。
非アクティブな再構成期間の後、WebGateは、サーバーの新しいリストで更新されます。
オプション: 各WebGateで、webgate_installation_directory
/oblix/lib/ObAccessClient.xml
にあるObAccessClient.xml
ファイルが、プライマリ・サーバーのリスト内のAccess Manager 11.1.2.2.0サーバーのホストとポートで更新されることを確認します。これを行うには、ObAccessClient.xml
ファイルを開き、プライマリ・サーバーのリストを探します。
次のタスクのいずれかを実行して、WebGateをAccess Manager 11.1.2.2.0サーバーにポイントします。
すべてのOracle Access Manager 10gサーバーを停止します。Oracle Access Manager 10gサーバーへの接続数が多い場合、WebGateがAccess Manager 11.1.2.2.0サーバーとの通信を開始するには数分かかります。WebGateをホストするWebサーバーを再起動すると、WebGateはただちに、Access Manager 11.1.2.2.0サーバーとの通信を開始します。
MAX Connections
パラメータの値を1つ増やして、WebGateがAccess Manager 11.1.2.2.0サーバーとの通信を確立できるようにします。WebGate上でのロードが大きいほど、Access Manager 11.1.2.2.0サーバーへの接続にかかる時間は短くなります。
WebGateは、Access Manager 11.1.2.2.0サーバーからの新しい構成情報を取得しますが、Access Manager 11.1.2サーバーのプライマリ・サーバーは1つのみです。そのため、WebGateは、Access Manager 11.1.2.2.0サーバーとのみ通信します。こうしておけば、サーバーは1つしかないので、MAX Connections
の値を減らすことができます。
移行を確認するには、次の手順を実行します。
移行が成功すると、WLSTコンソールに「移行が正常に完了しました。」というメッセージが表示されます。
次のディレクトリに生成されているoam-config.xml
ファイルで、アップグレードされたステータス、移行のタイプ、タイムスタンプなどの移行の詳細を確認します。
UNIXの場合:
MW_HOME
/user_projects/domains/
Domain_Name
/config/fmwconfig/
Windowsの場合:
MW_HOME
\user_projects\domains\
Domain_Name
\config\fmwconfig\
次のURLを使用してOracle Access Managementコンソールにログインします。
http://host
:port
/oamconsole
このURLで、host
はAccess Manager 11.1.2.2.0が実行されているマシン、およびport
はポート番号です。
Oracle Access Manager 10gのアーティファクトがAccess Manager 11.1.2.2.0に移行されたことを確認します。
注意: これで、移行は完了です。Oracle Access Management Access Manager 11.1.2.2.0の管理の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。 |
この項では、Oracle Access Manager 10gをAccess Manager 11.1.2.2.0に移行するときに発生する可能性のある一般的な問題の解決策について説明します。内容は次のとおりです。
ログ・ファイルのサイズが小さすぎると、ログ・ファイルのローテーション時に移行データが失われるおそれがあります。この問題を解決するには、次の手順を実行して、WebLogicコンソールでログ・ファイルのサイズを増やす必要があります。
次のURLを使用してWebLogic管理コンソールにログインします。
http://host
:port
/console
このURLで、host
はWebLogic管理サーバーをホストするマシンのホスト名、およびport
は管理サーバーのポート番号です。
左側のナビゲーション・ペインの「ドメイン構造」で、それぞれのドメイン名の下の「環境」を開きます。
「サーバー」をクリックします。
「サーバーのサマリー」ページで、「構成」タブに移動し、管理サーバーの名前(たとえば、「AdminServer(admin」))をクリックします。
「ロギング」タブに移動し、「一般」タブをクリックします。
次のフィールドに適切な値を指定します。
ローテーション・ファイル・サイズ: ログ・ファイルのサイズをKB単位で指定します。指定できる最大値は65535 KBです。
保存するファイル数: 保存する、ローテーションされたログ・ファイルの数を指定します。
「保存」をクリックします。
Oracle Access Manager 10gのポリシー・データが(様々なポリシー関連アーティファクトの数という点で)大規模である場合、移行ツールで、処理のために大量のメモリーが必要になる可能性があります。WebLogic管理サーバーのヒープ・サイズが小さい場合は、次の手順を実行して、そのサイズを増やすことができます。
UNIXの場合:
ディレクトリMW_HOME
/user_projects/domains/
Domain_Name
/bin/
から、任意のテキスト・エディタでsetDomainEnv.sh
ファイルを開きます。
次の行を検索します。
if [ "${USER_MEM_ARGS}" != "" ]
前の手順で特定した行のすぐ前に、次の行を追加します。
USER_MEM_ARGS="new_heap_size
"
export USER_MEM_ARGS
ここで、new_heap_size
は、WebLogic管理サーバーの新たなヒープ・サイズ(MB単位)です。
たとえば、WebLogic管理サーバーのヒープ・サイズを2GBに増やすには、次のように指定します。
USER_MEM_ARGS="-Xms2048m -Xmx2048m" export USER_MEM_ARGS
Windowsの場合:
ディレクトリMW_HOME
\user_projects\domains\
Domain_Name
\bin\
から、任意のテキスト・エディタでsetDomainEnv.cmd
ファイルを開きます。
次の行を検索します。
if NOT "%USER_MEM_ARGS%"=="" (
前の手順で特定した行のすぐ前に、次の行を追加します。
set USER_MEM_ARGS="new_heap_size
"
ここで、new_heap_size
は、WebLogic管理サーバーの新たなヒープ・サイズ(MB単位)です。
たとえば、WebLogic管理サーバーのヒープ・サイズを2GBに増やすには、次のように指定します。
set USER_MEM_ARGS=-Xms2048m -Xmx2048m
一部のディレクトリまたは特別な構成では、Oracle Access Manager 10gの移行時にLDAPページング機能が動作しない場合があります。このような場合は、プロパティenable_ldap_paging
を第2.9項「プロパティ・ファイルの作成」で作成したoam_migration.properties
ファイルに追加し、このプロパティの値をfalse
に設定して、LDAPページングを無効化します。
プロパティenable_ldap_paging
をfalse
に設定すると、移行ツールによってすべてのLDAPエントリが一度に取得されます。データ・サイズが大きい場合にこのプロパティをfalse
に取得するときは、Oracle Access Manager管理サーバー・プロセスのヒープ・サイズを増やすことをお薦めします。