5 Sun OpenSSO Enterprise 8.0環境の移行

この章では、Sun OpenSSO Enterprise (OpenSSO Enterprise) 8.0をOracle Access Management Access Manager (Access Manager) 11gリリース2 (11.1.2.2.0)に移行する方法について説明します。

この章は次の項で構成されています。

• 第5.1項「移行の概要」

• 第5.2項「移行のモード」

• 第5.3項「移行のサマリー」

• 第5.4項「トポロジの比較」

• 第5.5項「移行ロードマップ」

• 第5.6項「移行の前提条件」

• 第5.7項「Oracle Identity and Access Management11.1.2.2.0のインストール」

• 第5.8項「Oracle Access Management Access Manager 11.1.2.2.0の構成」

• 第5.9項「評価レポートの生成」

• 第5.10項「WebLogic管理サーバーの起動」

• 第5.11項「増分移行のための追加手順」

• 第5.12項「プロパティ・ファイルの作成」

• 第5.13項「OpenSSO Enterprise 8.0のアーティファクトのAccess Manager 11.1.2.2.0への移行」

• 第5.14項「移行後タスクの実行」

• 第5.15項「移行の確認」

5.1 移行の概要

この項では、Sun OpenSSO Enterprise 8.0からOracle Access Manager 11.1.2.2.0への移行プロセスで使用される2つのツールを紹介します。

OpenSSOエージェント評価ツール

OpenSSOエージェント評価ツールは、OpenSSO Enterprise 8.0サーバーからエージェントとポリシーを読み取り、Access Manager 11.1.2.2.0に移行可能なエージェントとポリシー要素を分析して、評価レポートを生成します。生成されたレポートでは、エージェントを移行できるかどうかと、Access Manager 11.1.2.2.0ポリシー・モデルに基づいて、ポリシーの手動移行、自動移行または準移行のいずれが可能かについての情報が提供されます。

評価ツールは、OpenSSO Enterpriseのエージェント、プロファイル、ポリシー、ユーザー・ストアおよび認証ストアに関する情報を読み取り、表示します。このツールは、Access Manager 11.1.2.2.0でサポートされるアーティファクトに関する情報に基づいて、Access Manager 11.1.2.2.0に移行できるデータと移行できないデータを評価します。

OpenSSO Enterprise 8.0をAccess Manager 11.1.2.2.0に移行する前に、評価レポートを複数回生成できます。

移行ツール

移行ツールは、OpenSSO Enterprise 8.0の次のアーティファクトをAccess Manager 11.1.2.2.0に移行します。

• エージェントの構成

• ポリシー

• ユーザー・ストアの構成

• 認証ストアの構成

注意: 移行ツールと評価ツールでは、SSLポートを介した構成ストアへの接続はサポートされません。

他の移行シナリオの詳細は、第1.2項「移行および共存のシナリオ」を参照してください。

5.2 移行のモード

この項では、この章で説明する手順を使用して実行可能な移行の3つのモードについて説明します。移行のモードは次の2つになります。

• 完全移行

• 増分移行

• デルタ移行

5.2.1 完全移行

完全移行は、OpenSSO Enterprise 8.0の互換性のあるエージェント、ポリシー、ユーザー・ストアおよび認証ストアをすべてAccess Manager 11.1.2.2.0に移行します。初めて行う移行は完全移行になります。最初の移行後、次に行われるそれぞれの移行はデルタ移行になります。完全移行を実行できるのは最初の1回のみです。

新規移行では、Access Manager 11.1.2.2.0構成ストアで移行バージョンを設定します。

完全移行を実行するには、「移行ロードマップ」で説明する手順に従います。

注意: 完全移行が失敗した場合、完全移行の再実行を開始する前に、部分的に移行されたデータを手動で削除する必要があります。

5.2.2 増分移行

増分移行は、選択移行とも呼ばれます。Access Manager 11.1.2.2.0に移行するOpenSSO Enterprise 8.0のエージェントおよびポリシーを選択できるためです。この移行は、様々なエージェントおよびポリシーのセットを使用して複数回実行できるため、増分移行と呼ばれます。増分移行の対象としてユーザー・ストアおよび認証ストアのみを選択することはできません。増分移行の対象としてエージェントおよびポリシーを選択する際に、ユーザー・ストアおよび認証ストアは自動的に移行されます。

注意: 完全移行を実行した後、増分移行を実行できます。これは、増分デルタと呼ばれます。 複数の増分移行の後、完全移行を実行できます。この場合、完全移行では、以前の増分移行の一環としてすでに移行されているエージェントとポリシーは無視されます。 すでに移行されているアーティファクト(エージェントおよびポリシー)を選択して複数の増分移行を実行した場合、それらのアーティファクトは無視され、増分移行では、移行されていないアーティファクトのみが移行されます。

5.2.3 デルタ移行

デルタ移行は、OpenSSO Enterprise 8.0の新しく追加されたアーティファクト(エージェント、ポリシー、ユーザー・ストアおよび認証ストア)をAccess Manager 11.1.2.2.0に移行できる移行モードです。デルタ移行は、作成操作の場合のみサポートされます。

1回目の移行(完全移行)後、実行する移行はすべてデルタ移行になります。

デルタ移行を実行するたびに、完全移行によってAccess Manager 11.1.2.2.0構成ストアで設定される移行バージョンに関する情報が取得され、1ずつ増えて、Access Manager 11.1.2.2.0構成ストアに保存されます。

データ移行を実行する手順は、完全移行の手順と同じで「移行ロードマップ」で説明します。

5.3 移行のサマリー

この項では、Access Manager 11.1.2.2.0と互換性のあるOpenSSO Enterprise 8.0のアーティファクトについてまとめています。この項には次のトピックが含まれます:

• エージェントの移行のサマリー

• ポリシーの移行のサマリー

• ユーザー・ストアの移行のサマリー

• 認証ストアの移行のサマリー

5.3.1 エージェントの移行のサマリー

この項では、OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0へのエージェントの移行についてまとめています。

• この移行ツールは、エージェント自体ではなくエージェント構成を移行します。移行では次のエージェントがサポートされます。

  Java EEエージェント3.0: WebLogic 10.3

  Webエージェント3.0: Internet Information Services (IIS) 7.5

• 中央管理エージェントはAccess Manager 11.1.2.2.0に移行されます。これらは中央管理構成モードで機能するエージェントです。それらはOpenSSO Enterprise 8.0サーバーにその構成の詳細をすべて保存し、エージェントのブートストラップ時にRESTコールによってOpenSSO Enterpriseサーバーから構成を読み取ります。これらのエージェントはローカルの構成ファイルを受け入れません。移行後、これらのエージェントの構成の詳細はAccess Manager 11.1.2.2.0に保存されます。

• ローカル・エージェントは、最小限の構成で移行されます。ローカル・エージェントはローカル構成モードで機能するエージェントです。これらのエージェントは、各自の構成のローカル構成ファイルのみを受け入れます。ローカル・エージェントのエージェントID、エージェント・パスワード、エージェント・ベースURLなどの基本構成プロパティのみがOpenSSO Enterprise 8.0サーバーに保存されます。移行後、このような構成の詳細はAccess Manager 11.1.2.2.0サーバーに保存されます。

• エージェントの移行には下位互換性があります。

• 異なるレルムに名前が同じエージェントが2つ以上存在する場合、エージェントは先頭にレルム名が付いた名前で移行されます。

  例: j2eeAgentという名前のエージェントがTopRealm(/)とSubRealm(/>SubRealm)の両方に存在する場合、これらのエージェントは、TopRealm_j2eeAgentおよびSubRealm_j2eeAgentという名前で移行されます。

5.3.2 ポリシーの移行のサマリー

この項では、OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0へのポリシーの移行についてまとめています。

OpenSSO Enterprise 8.0ポリシーは、次の4つのアーティファクトで構成されます。

• ルール(リソース + アクション)

• サブジェクト

• 条件

• レスポンス・プロバイダ

OpenSSOエージェント評価ツールの実行時に生成される評価レポート(PolicyInfo.txt)のポリシーは、Access Manager 11.1.2.2.0のアーティファクトの互換性に基づき、自動ポリシー、準ポリシーおよび手動ポリシーに分類されます。

• 自動ポリシー: 該当ポリシーのすべてのアーティファクトをAccess Manager 11.1.2.2.0のポリシーのアーティファクトにマップできる場合は、自動ポリシーとみなされます。自動ポリシーはすべてAccess Manager 11.1.2.2.0に移行できます。

• 準ポリシー: 該当ポリシーの一部のアーティファクトをAccess Manager 11.1.2.2.0のポリシーのアーティファクトにマップできる場合は、準ポリシーとみなされます。準ポリシーはAccess Manager 11.1.2.2.0に移行されません。

• 手動ポリシー: 該当ポリシーのどのアーティファクトもAccess Manager 11.1.2.2.0のポリシーのアーティファクトにマップできない場合は、手動ポリシーとみなされます。手動ポリシーはAccess Manager 11.1.2.2.0に移行されません。

OpenSSO Enterprise 8.0には次の2種類のポリシーがあります。

• 参照ポリシー: これらのポリシーは移行に適用されません。

• 非参照ポリシー: これらのポリシーは移行されます。

ルール

• ルールを使用しないOpenSSO Enterpriseポリシーは移行でサポートされません。このようなポリシーは無効とみなされます。

• 移行に適用できるのは、アクションGETおよびPOSTが含まれるルールのみです。これらのルールには、サービス・タイプURL Policy Agentがあります。

• その他のサービス・タイプ(LOOKUPおよびUPDATEアクションが含まれるDiscovery Serviceや、QUERYおよびMODIFYアクションが含まれるLiberty Personal Profile Serviceなど)は、移行に適用されません。これらのアクション(Access Manager 11.1.2.2.0でリソース操作と呼ばれる)はAccess Manager 11.1.2.2.0でサポートされていないためです。

サブジェクト

サブジェクト・タイプOpenSSO Identity Subject(ユーザーおよびグループ)とAuthenticated Usersのみが移行でサポートされます。これらのサブジェクトは、Access Manager 11.1.2.2.0でIdentity Conditionの一部として移行されます。

条件

• アクティブ・セッション時間

  • OpenSSO Enterpriseポリシーのこの条件は、Access Manager 11.1.2.2.0のAttributeConditionのSession Expiry Time属性にマップされます。

  • この条件の属性Terminate sessionは、この属性の適切なマッピングがAccess Manager 11.1.2.2.0に存在しないため、移行時に無視されます。

• モジュール・インスタンスごとの認証

  • OpenSSO Enterpriseポリシーのこの条件は、Access Manager 11.1.2.2.0に条件ではなくAuthNスキームとして移行されます。

  • 表5-1は、Access Manager 11.1.2.2.0に移行されてAuthNスキームでマップされるOpenSSO Enterprise 8.0の認証モジュールを示しています。

    表5-1 認証モジュールのマッピング

    OpenSSO Enterprise 8.0の認証モジュール	Access Manager 11.1.2.2.0の認証プラグイン
    証明書認証モジュール	X509認証プラグイン
    WindowsDesktopSSO認証モジュール	Kerberos認証プラグイン
    LDAP認証モジュール	LDAP認証プラグイン

    
    

• 認証レベル(less than or equal to)および認証レベル(greater than or equal to)

  • OpenSSO Enterpriseポリシーのどちらの条件も、ネームスペースがSESSIONで属性名がAuthentication LevelのAttributeConditionのセッション属性にマップされます。

  • Access Manager 11.1.2.2.0にはgreater than or equal toおよびless than or equal toに対応するマッピングがないため、どちらの条件もAttributeOperatorのEQUALSにマップされます。このマッピングは、OpenSSO Enterprise 8.0のポリシー条件のequalsファクタが原因で行われます。そのため、greater than or equal toとless than or equal toのどちらの条件もAccess Manager 11.1.2.2.0では同様になります。

    たとえば、認証レベルの条件がless than or equal to 5のOpenSSO Enterprise 8.0ポリシーを移行する場合、Access Manager 11.1.2.2.0に移行後のポリシーの認証レベルはequal to 5になります。

• 現在のセッション・プロパティ

  • この条件は、ネームスペースがSESSIONで属性名がOtherのAttributeConditionのセッション属性にマップされ、キーと値がこの条件の属性として追加されます。OpenSSO Enterprise 8.0のこの条件の値は複数になります。そのため、Access Manager 11.1.2.2.0のこの条件には、名前は同じでも値が異なる複数の属性があります。

• アイデンティティ・メンバーシップ

  • OpenSSO Enterpriseポリシーのこの条件は、Access Manager 11.1.2.2.0のIdentity conditionにマップされます。

  • すべてのサブジェクトの一意のユーザーまたはグループ、およびOpenSSO Enterprise 8.0のすべてのアイデンティティ・メンバーシップ条件の一意のユーザーまたはグループは、Access Manager 11.1.2.2.0の1つのアイデンティティ条件にユーザーまたはグループのセットとして作成されます。

  • 実行時の検証では、ユーザーまたはグループのこのセット間でORが実行されます。

• IPアドレスおよびDNS名

  • OpenSSO Enterprise 8.0ポリシーのIP Address条件は、Access Manager 11.1.2.2.0のIP conditionにマップされます。

  • 条件DNS nameはAccess Manager 11.1.2.2.0ではサポートされません。

• LDAPフィルタ条件

  • OpenSSO Enterpriseポリシーのこの条件は、Access Manager 11.1.2.2.0のIdentity conditionにマップされます。

  • OpenSSO Enterprise 8.0のすべてのLDAPフィルタ条件の一意のLDAPフィルタはすべて、Access Manager 11.1.2.2.0の1つのアイデンティティ条件にLDAPフィルタのセットとして作成されます。

• 時間(曜日、日付、時刻およびタイムゾーン)

  • OpenSSO Enterprise 8.0ポリシーのこの条件は、Access Manager 11.1.2.2.0のTime conditionにマップされます。

  • OpenSSO Enterprise 8.0のTime条件には、日付、時刻、曜日またはタイムゾーンのいずれかの値が含まれます。Access Manager 11.1.2.2.0のTime条件には、時刻または曜日が含まれます。そのため、時刻(開始および終了時刻)と曜日のみを含むOpenSSO Enterprise 8.0のTime条件をAccess Manager 11.1.2.2.0のTime条件にマップできます。それ以外の場合はすべて無視されます。

レスポンス・プロバイダ

• OpenSSO Enterpriseサーバーまたはポリシー・サーバーは、アイデンティティまたはユーザー・リポジトリ属性(ユーザー・ストアのユーザー属性)をレスポンス・プロバイダとしてエージェントに送信します。OpenSSOエージェントは、これらの属性を、エージェントの構成に従ってHttpヘッダー、リクエスト属性またはHttp Cookieを介してリソースまたはアプリケーションに戻します。

  レスポンス・プロバイダ(静的および動的)はすべて、Httpヘッダー・タイプでOpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0に移行されます。

5.3.3 ユーザー・ストアの移行のサマリー

この項では、OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0へのユーザー・ストアの移行についてまとめています。

OpenSSO Enterprise 8.0には次の3種類のユーザー・ストアがあります。

• アクティブ・ディレクトリ: このユーザー・ストアはAccess Manager 11.1.2.2.0に移行できます。

• 汎用LDAPv3: このユーザー・ストアはAccess Manager 11.1.2.2.0に移行できます。

• OpenSSOスキーマのSun DS: 11.1.2.2.0ではサポートされるデータ・ストアのタイプがないため、このユーザー・ストアは、Access Manager 11.1.2.2.0に移行できません。

5.3.4 認証ストアの移行のサマリー

この項では、OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0への認証ストアの移行についてまとめています。

Access Manager 11.1.2.2.0の対応する認証モジュールに移行およびマップ可能なOpenSSO Enterprise 8.0の認証ストアは、次のとおりです。

• OpenSSO Enterprise 8.0のLDAPは、Access Manager 11.1.2.2.0のOAM LDAPにマップされます。

• OpenSSO Enterprise 8.0の証明書は、Access Manager 11.1.2.2.0のX509にマップされます。

• OpenSSO Enterprise 8.0のWindows Desktop SSOは、Kerberos Access Manager 11.1.2.2.0にマップされます。

LDAPタイプの認証ストアはすべて、名前AS_レルム名_モジュール名でAccess Manager 11.1.2.2.0に移行されます。LDAP以外のタイプの認証ストアは移行されません。

5.4 トポロジの比較

図5-1は、Sun OpenSSO Enterprise 8.0とAccess Manager 11.1.2.2.0のトポロジを比較したものです。

図5-1 OpenSSO Enterprise 8.0とAccess Manager 11.1.2.2.0のトポロジ

「図5-1 OpenSSO Enterprise 8.0とAccess Manager 11.1.2.2.0のトポロジ」の説明

5.5 移行ロードマップ

表5-2に、Sun OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0への移行手順を示します。

表5-2 タスク・ロードマップ

タスク番号	タスク	参照先
1	前提条件を満たします。	「移行の前提条件」を参照してください。
2	Oracle Identity and Access Management 11.1.2.2.0をインストールします。	「Oracle Identity and Access Management 11.1.2.2.0のインストール」を参照してください。
3	Oracle Access Management Access Manager 11.1.2.2.0を構成します。	「Oracle Access Management Access Manager 11.1.2.2.0の構成」を参照してください。
4	評価レポートを生成し、Access Manager 11.1.2.2.0にどのアーティファクトを移行できるかを分析します。 このタスクは複数回実行できます。	「評価レポートの生成」を参照してください。
5	WebLogic管理サーバーを起動します。	「WebLogic管理サーバーの起動」を参照してください。
6	増分移行を実行する場合は、追加手順を実行します。	「増分移行のための追加手順」を参照してください。
7	プロパティ・ファイルを作成します。	「プロパティ・ファイルの作成」を参照してください。
8	移行ツールを実行して、OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0に移行します。	「OpenSSO Enterprise 8.0のアーティファクトのAccess Manager 11.1.2.2.0への移行」を参照してください。
9	移行後の手順を完了します。	「移行後タスクの実行」を参照してください。
10	移行を確認します。	「移行の確認」を参照してください。

5.6 移行の前提条件

OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0に移行するには、次の前提条件を満たす必要があります。

1. システム要件および動作保証のドキュメントを読み、環境がインストールする製品の最小要件を満たしていることを確認します。

   • Oracle Fusion Middlewareのシステム要件と仕様

     このドキュメントには、ハードウェアとソフトウェアの要件、最小ディスク領域とメモリーの要件、および必要なシステム・ライブラリ、パッケージまたはパッチに関する情報が含まれます。

   • Oracle Fusion Middlewareのサポートされるシステム構成

     このドキュメントには、サポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品に関する情報が含まれます。

   • インストール時に発生する可能性がある相互運用性および互換性の問題については、『Oracle Fusion Middleware相互運用および互換性ガイド』を参照してください。

     Oracle Fusion Middleware製品が旧バージョンの他のOracle Fusion Middleware、Oracleまたはサード・パーティ製品と機能するために重要な情報がこのドキュメントに記載されています。この情報は、既存の環境をアップグレードする既存ユーザーと新しいOracle Fusion Middlewareユーザーの両方に適用されます。

   
   

   注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。

   
   

2. 使用しているOpenSSO Enterpriseのリリースが移行でサポートされていることを確認します。OpenSSO Enterprise 8.0の移行がサポートされている開始ポイントの詳細は、第1.4項「移行および共存がサポートされている開始ポイント」を参照してください。

5.7 Oracle Identity and Access Management 11.1.2.2.0のインストール

移行プロセスの一環として、Oracle Identity and Access Management 11.1.2.2.0を新規でインストールしておく必要があります。この11.1.2.2.0のインストールは、Sun OpenSSO Enterprise 8.0をインストールする同じマシンか、別のマシンで行うことができます。

Oracle Identity and Access Management 11.1.2.2.0のインストールの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracle Identity and Access Management (11.1.2.2.0)のインストールに関する説明を参照してください。

5.8 Oracle Access Management Access Manager 11.1.2.2.0の構成

Access Manager 11.1.2.2.0を構成してドメインを作成します。

Access Manager 11.1.2.2.0の構成については、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracle Access Managementの構成に関する項を参照してください。

5.9 評価レポートの生成

この項では、OpenSSOエージェント評価ツールを使用して評価レポートを生成する方法について説明します。評価レポートには、OpenSSO Enterprise 8.0サーバーで利用可能なエージェント、ポリシー、ユーザー・ストアおよび認証ストアのプレビューが表示され、Access Manager 11.1.2.2.0に移行可能なアーティファクトが示されます。

移行プロセスを開始する前に、評価レポートを複数回生成できます。

この項には次のトピックが含まれます:

• 評価ツールの入手

• LDAP接続の詳細の指定

• OpenSSOエージェント評価ツールの実行

• 評価レポートの分析

注意: OpenSSOエージェント評価ツールを実行する前に、次の前提条件を満たす必要があります。 OpenSSO Enterprise 8.0をデプロイするコンテナを起動します。 JDKは必ず1.6以上のバージョンを使用してください。 JDK 1.6をインストールする適切な場所に、変数JAVA_HOMEを設定します。

5.9.1 評価ツールの入手

次のコマンドを使用して、現在の作業ディレクトリからIAM_HOME/oam/server/tools/opensso_assessmentディレクトリに移動します。

UNIXの場合:

cd IAM_HOME/oam/server/tools/opensso_assessment/

Windowsの場合:

cd IAM_HOME\oam\server\tools\opensso_assessment\

OpenssoAgentdiscTool.zipフォルダの内容を、選択したディレクトリに抽出します。解凍したフォルダには名前OpenssoAgentdiscToolを使用することをお薦めします。

5.9.2 LDAP接続の詳細の指定

OpenSSOエージェント評価ツールを実行する前に、LDAP接続の詳細をプロパティ・ファイルで指定する必要があります。手順は次のとおりです。

1. 次の場所にあるOpenSSOAgentDiscTool.propertiesファイルを開きます。

   UNIXの場合: unzipped_folder/resources/

   Windowsの場合: unzipped_folder\resources\

2. 次のプロパティについて適切な値を設定します。

   • openSSOLDAPServerURL=host:port

     このプロパティでは、hostおよびportは、OpenSSO Enterprise 8.0で使用される構成ストアのLDAPホストとポートを表します。

   • openSSOLDAPBindDN=login_id

     ここで、login_idは、LDAPサーバーのバインドDNになります。OpenSSO Enterprise 8.0の構成ディレクトリ・サーバーの管理権限またはルート権限が必要です。

   • openSSOLDAPSearchBase=LDAP_search_base

     ここで、LDAP_search_baseは、構成ストアのLDAP検索ベースになります。

3. ファイルを保存して閉じます。

注意: LDAP接続の詳細を指定しない場合、メッセージがUserStoresInfo.txtファイルとAuthnStoreInfo.txtファイルに表示されます。このメッセージは、情報を入手できないことを示します。同じメッセージがDashBoardInfo.txtファイルのユーザー・ストアと認証ストアのセクションに表示されます。正しいLDAP接続の詳細をOpenSSOAgentDiscTool.propertiesファイルに指定してファイルを保存し、評価ツールを再実行する必要があります。 これらのパラメータについて不適切な値を指定した場合、評価ツールを実行できず、エラーが表示されます。

5.9.3 OpenSSOエージェント評価ツールの実行

OpenSSOエージェント評価ツールを実行するには、次の操作を行います。

1. 第5.9.1項「評価ツールの入手」の説明に従い、次のコマンドを使用して、内容を抽出したフォルダにディレクトリを変更します。

   cd <path to the unzipped folder>
   

2. 次のコマンドを実行します。

   java -jar openssoagentdisc.jar OpenSSO_server_URL username debugLevel
   

   このコマンドでは、次のように指定します。

   OpenSSO_server_URLは、OpenSSO Enterprise 8.0サーバーのURLです。URLはhttp://host:port/openssoの形式で指定する必要があります。hostおよびportは、OpenSSO Enterprise 8.0サーバーが動作しているマシンのホスト名とポートを表します。

   usernameは、OpenSSO Enterprise 8.0サーバーのユーザー名です。

   debugLevelパラメータはオプションです。このパラメータの値は、errorまたはmessageのいずれかにします。コマンドでこのパラメータを指定しない場合、デフォルト値errorを取ります。

   次の入力が求められます。

   1. Enter server login password:

      OpenSSO Enterprise 8.0サーバーの管理ユーザーのパスワードを入力します。

   2. Enter LDAP login password:

      LDAPサーバーのログイン・パスワードを入力します。

   
   

   注意: このコマンドで使用される引数の詳細は、解凍したディレクトリで次のコマンドを実行します。 java -jar openssoagentdisc.jar -help

   
   

5.9.4 評価レポートの分析

OpenSSOエージェント評価ツールは、次の場所に5つのカンマ区切りの値(CSV)ファイルを生成します。

unzipped_folder/consoleOutput/

これらのレポートには、Access Manager 11.1.2.2.0でサポートされる、OpenSSO Enterprise 8.0のエージェント、ポリシー、ユーザー・ストアおよび認証ストアに関する情報があります。

表5-3は、OpenSSOエージェント評価ツールの実行時に生成されるCSVファイルを示しています。

表5-3 生成されるレポート・ファイル

ファイル	説明
AgentInfo.csv	Sun OpenSSO Enterprise 8.0に登録されているJ2EEおよびWebエージェントに関する情報と、Access Manager 11.1.2.2.0でサポートされるエージェントのリストが含まれます。
AuthnStoreInfo.csv	認証ストアに関する情報が含まれます。
DashBoardInfo.csv	エージェント、ポリシー、ユーザー・ストアおよび認証ストアに関する簡単な情報が含まれます。
PolicyInfo.csv	ポリシーに関する情報が含まれます。
UserStoreInfo.csv	ユーザー・ストアに関する情報が含まれます。

注意: CSVファイルは、CSVとして直接開くことも、Microsoft Excelを使用して開くこともできます。レポート内のデータは階層構造で表示されます。最上部にレルム名またはサブレルム名が表示され、エージェント、ポリシー、認証ストアおよびユーザー・ストアに関連するデータがその後に続きます。

5.10 WebLogic管理サーバーの起動

移行ツールを実行する前に、WebLogic管理サーバーを起動する必要があります。

WebLogic管理サーバーを起動するには、次の手順を実行します。

UNIXの場合:

1. コマンドを使用して、現在の作業ディレクトリからMW_HOME/user_projects/domains/domain_name/binディレクトリに移動します。

   cd MW_HOME/user_projects/domains/domain_name/bin/
   

2. 次のコマンドを実行します。

   ./startWebLogic.sh
   

   プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。

Windowsの場合:

1. コマンド行で次のコマンドを使用して、現在の作業ディレクトリからMW_HOME\user_projects\domains\domain_name\binディレクトリに移動します。

   cd MW_HOME\user_projects\domains\domain_name\bin\
   

2. 次のコマンドを実行します。

   startWebLogic.cmd
   

   プロンプトが表示されたら、WebLogic管理サーバーのユーザー名とパスワードを入力します。

5.11 増分移行のための追加手順

この項では、増分移行を行う場合に実行する追加手順について説明します。完全移行やデルタ移行などの他の移行モードの場合、この項は無視してください。

評価レポートを生成すると(「評価レポートの生成」を参照)、IncrementalMigrationIncludeFile.txtというファイルがAssessmentToolUnzippedFolder/consoleOutput/に生成されます。このファイルの内容は次のとおりです。

REALM#TopRealm##AGENT#j2eeAgent_1##N

REALM#TopRealm##AGENT#j2eeAgent_2##N

REALM#TopRealm##POLICY#Policy1##N

REALM#TopRealm##POLICY#Policy2##N

各行には、OpenSSO Enterprise 8.0のレルム名、エージェントまたはポリシーの名前、およびデフォルトでNに設定されているフラグが含まれます。フラグの値Yは「Yes」を表し、Nは「No」を表します。指定されたフラグによって、エージェントまたはポリシーが増分移行に含まれるか、除外されるかが決まります。

注意: 前述の値では大文字と小文字が区別されません。

一部のエージェントおよびポリシーを増分移行に含める場合は、IncrementalMigrationIncludeFile.txtファイルでそれらのエージェントおよびポリシーのフラグをYに設定します。また、第5.12項「プロパティ・ファイルの作成」で作成するプロパティ・ファイルのopenSSOSMIncludeFilePathプロパティで、このファイルの絶対パスを指定します。これにより、フラグがYに設定されているすべてのエージェントおよびポリシーが移行に含まれます。

注意: IncrementalMigrationIncludeFile.txtファイルの内容が空の場合、プロパティ・ファイルのopenSSOSMIncludeFilePathプロパティでこのファイルの絶対パスを指定しても、Open Single Sign-On 8.0のアーティファクトはAccess Manager 11.1.2.2.0に移行されません。

一部のエージェントおよびポリシーを増分移行から除外する場合は、IncrementalMigrationIncludeFile.txtファイルでそれらのエージェントおよびポリシーのフラグをYに設定します。また、第5.12項「プロパティ・ファイルの作成」で作成するプロパティ・ファイルのopenSSOSMExcludeFilePathプロパティで、このファイルの絶対パスを指定します。これにより、フラグがYに設定されているすべてのエージェントおよびポリシーが移行から除外されます。

注意: IncrementalMigrationIncludeFile.txtファイルの内容が空の場合、プロパティ・ファイルのopenSSOSMExcludeFilePathプロパティでこのファイルの絶対パスを指定していれば、Open Single Sign-On 8.0のすべてのアーティファクトがAccess Manager 11.1.2.2.0に移行されます。つまり、完全移行が実行されます。

5.12 プロパティ・ファイルの作成

アクセス可能な場所でプロパティ・ファイルを作成します。たとえば、oam_migration.propertiesという名前でプロパティ・ファイルを作成します。

プロパティ・ファイルで次のプロパティについて適切な値を入力します。

• openSSOServerURL=OpenSSO_server_URL

• openSSOAdminUser=OpenSSO_admin_username

• openSSOAdminPassword=

• openSSOServerDebugLevel=error/message

• openSSOLDAPServerURL=LDAP host:port

• openSSOLDAPBindDN=LDAP_bind_DN

• openSSOLDAPBindPwd=

• openSSOLDAPSearchBase=LDAP_searchBase

• openSSOMigrationMode=Complete/Incremental

• openSSOSMIncludeFilePath=absolute_path_to_include_file

• openSSOSMExcludeFilePath=absolute_path_to_exclude_file

表5-4は、プロパティ・ファイルの各プロパティに指定する必要がある値の説明です。

表5-4 プロパティ・ファイルの値

プロパティ	説明
openSSOServerURL	OpenSSO Enterprise 8.0管理サーバーのURLを指定します。これは次の形式で指定してください。 http://<host>:<port>/opensso 各項目は次のとおりです。 <host>は、OpenSSO Enterprise 8.0管理サーバーが動作しているマシンです。 <port>は、OpenSSO Enterprise管理サーバーのポート番号です。
openSSOAdminUser	OpenSSO Enterprise 8.0管理サーバーのユーザー名を指定します。
openSSOAdminPassword	このプロパティの値を指定しないでください。手順4の説明に従い、移行コマンドを実行すると、移行ツールによってOpenSSO Enterprise管理パスワードの入力が求められます。
openSSOServerDebugLevel	次のいずれかの値を指定します。 error message この値はデバッグ・レベルを表します。
openSSOLDAPServerURL	LDAPサーバーのURLを指定します。これは次の形式で指定してください。 host:port 各項目は次のとおりです。 hostは、OpenSSO Enterprise 8.0で使用される構成ストアのLDAPホストを表します。 portは、OpenSSO Enterprise 8.0で使用される構成ストアのLDAPポートを表します。 hostおよびportの値はコロンで区切る必要があります。
openSSOLDAPBindDN	LDAPサーバーのバインドDNを指定します。このユーザーには、OpenSSO Enterpriseの構成ディレクトリ・サーバーの管理権限またはルート権限が必要です。
openSSOLDAPBindPwd	このプロパティの値を指定しないでください。手順4の説明に従い、移行コマンドを実行すると、移行ツールによってLDAPバインド・パスワードの入力が求められます。
openSSOLDAPSearchBase	構成ストアのLDAP検索ベースを指定します。
openSSOMigrationMode	このプロパティに次のいずれかの値を設定して、移行のモードを指定します。 Complete 完全移行を実行する場合、この値を設定します。 Incremental 増分移行を実行する場合、この値を設定します。増分移行は、openSSOSMIncludeFilePathおよびopenSSOSMExcludeFilePathプロパティによって決まります。 DELTA デルタ移行を実行する場合、この値を設定します。 このプロパティに値を指定しなかった場合は、完全移行が実行されます。また、値CompleteまたはIncrementalに誤りがあった場合、移行モードはCompleteとみなされ、完全移行が実行されます。 これらの値では、大/小文字が区別されます。 移行のモードの詳細は、「移行のモード」を参照してください。
openSSOSMIncludeFilePath	増分移行を実行する場合、OpenSSO Enterprise 8.0の一部のエージェントおよびポリシーを移行に含めるには、openSSOSMIncludeFilePathプロパティを使用する必要があります。 openSSOSMIncludeFilePathプロパティの値は、移行に含めるエージェントおよびポリシーのフラグがYに設定されているIncrementalMigrationIncludeFile.txtの絶対パスである必要があります。IncrementalMigrationIncludeFile.txtファイルの詳細は、「増分移行のための追加手順」を参照してください。 openSSOSMIncludeFilePathプロパティを指定して増分移行を実行する場合は、openSSOSMExcludeFilePathプロパティをコメント・アウトします。 増分移行の実行時にopenSSOSMIncludeFilePathとopenSSOSMExcludeFilePathの両方のプロパティを指定した場合、openSSOSMIncludeFilePathプロパティがopenSSOSMExcludeFilePathプロパティより優先され、openSSOSMExcludeFilePathプロパティは無視されます。 完全移行の場合、このプロパティは無視してください。
openSSOSMExcludeFilePath	増分移行を実行する場合、OpenSSO Enterprise 8.0の一部のエージェントおよびポリシーを移行から除外するには、openSSOSMExcludeFilePathプロパティを使用する必要があります。 openSSOSMExcludeFilePathプロパティの値は、移行から除外するエージェントおよびポリシーのフラグがYに設定されているIncrementalMigrationIncludeFile.txtの絶対パスである必要があります。IncrementalMigrationIncludeFile.txtファイルの詳細は、「増分移行のための追加手順」を参照してください。 openSSOSMExcludeFilePathプロパティを指定して増分移行を実行する場合は、openSSOSMIncludeFilePathプロパティをコメント・アウトします。 増分移行の実行時にopenSSOSMExcludeFilePathとopenSSOSMIncludeFilePathの両方のプロパティを指定した場合、openSSOSMIncludeFilePathプロパティがopenSSOSMExcludeFilePathプロパティより優先され、openSSOSMExcludeFilePathプロパティは無視されます。 完全移行の場合、このプロパティは無視してください。

注意: openSSOAdminPasswordおよびopenSSOLDAPBindPwdプロパティの値を指定しないでください。 openSSOSMExcludeFilePathまたはopenSSOSMExcludeFilePathで指定したファイル・パスが正しくない場合や、指定したファイル・パスが権限の問題のために読取り可能でない場合、該当するエラー・メッセージが表示されます。これをログ・ファイルで確認することもできます。 増分移行を実行する際にIncrementalMigrationIncludeFile.txtファイルが空の場合は、モードがCompleteに変更され、完全移行が実行されます。

5.13 OpenSSO Enterprise 8.0のアーティファクトのAccess Manager 11.1.2.2.0への移行

OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0,にアーティファクトを実際に移行する前に、評価レポートを生成して(第5.9項「評価レポートの生成」を参照)、Access Manager 11gにどのアーティファクトを移行できるかを分析したことを確認します。

Sun OpenSSO Enterprise 8.0をAccess Manager 11.1.2.2.0に移行するには、次の手順を実行します。

1. 増分移行を実行する場合は、第5.11項「増分移行のための追加手順」に記載されている追加手順を実行していることを確認します。

2. 第5.12項「プロパティ・ファイルの作成」の説明に従ってプロパティ・ファイルを作成していることを確認します。

3. 次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。

   UNIXの場合:

   1. コマンド行で次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME/common/binディレクトリに移動します。

      cd IAM_HOME/common/bin

   2. 次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。

      ./wlst.sh

   Windowsの場合:

   1. コマンド行で次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME\common\binディレクトリに移動します。

      cd IAM_HOME\common\bin

   2. 次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。

      wlst.cmd

4. 次のコマンドを実行して、WLSTをWebLogic Serverインスタンスに接続します。

   connect('wls_admin_username','wls_admin_password','t3://hostname:port');
   

   このコマンドでは、次のように指定します。

   wls_admin_usernameは、WebLogic管理サーバーのユーザー名です。

   wls_admin_passwordは、WebLogic管理サーバーのパスワードです。

   hostnameは、WebLogic管理サーバーが動作しているマシンです。

   portは、管理サーバーのポートです。

5. 次のコマンドを実行して、OpenSSO Enterprise 8.0のアーティファクトをAccess Manager 11.1.2.2.0に移行します。

   oamMigrate(oamMigrateType="OpenSSO",pathMigrationPropertiesFile="absolute_path_of_properties_file");
   

   このコマンドでは、次のように指定します。

   absolute_path_of_properties_fileは、手順1で作成したプロパティ・ファイルの絶対パスです。次に例を示します。

   UNIXの場合: oamMigrate(oamMigrateType="OpenSSO",pathMigrationPropertiesFile="abc/def/oam_migration.properties"

   Windowsの場合: oamMigrate(oamMigrateType="OpenSSO",pathMigrationPropertiesFile="abc\\def\\oam_migration.properties

   次の入力が求められます。

   1. Enter value for property : openSSOAdminPassword :

      OpenSSO Enterprise 8.0管理サーバーのパスワードを入力します。

   2. Enter value for property : openSSOLDAPBindPwd :

      LDAPサーバーへのバインド・パスワードを入力します。

   
   

   注意: 初めてoamMigrate()コマンドを実行すると、完全移行が行われます。 最初の移行(完全移行)後、このコマンドを再実行してデルタ移行を行うことができます。 完全移行とデルタ移行の詳細は、第5.2項「移行のモード」を参照してください。

   
   

移行が完了すると、WLSTコンソールには、移行の結果を示すメッセージが表示されます。

5.14 移行後タスクの実行

OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0に移行した後、次の移行後のタスクを完了する必要があります。

1. エージェントのアーティファクト(プロパティ・ファイル)は、移行を実行すると生成されます。次の2つのプロパティ・ファイルが、domain_home/output/OpenSSOMigration/OpenSSO8.0/Realm_Name/Agent_Name/*.propertiesに生成されます。

   • OpenSSOAgentBootstrap.properties

   • OpenSSOAgentConfiguration.properties

   これらのプロパティ・ファイルをエージェントの構成場所にコピーする必要があります。エージェントごとに、次の手順を完了します。

   1. エージェントを停止します。

   2. 既存のプロパティ・ファイル(移行プロセスを開始する前にエージェント・ホストに存在したプロパティ・ファイル)をバックアップします。

   3. エージェントのアーティファクト(プロパティ・ファイル)をエージェントのデプロイメントの場所にコピーします。

      /agent_install_dir/weblogic_v10_agent/Agent_001/config

   4. OpenSSOAgentBootstrap.propertiesファイルのコンテナ固有のプロパティを次のように変更します。

      Glassfishエージェントの場合、次のプロパティを設定します。

      com.sun.identity.agents.config.service.resolver=com.sun.identity.agents.appserver.v81.AmASAgentServiceResolver
      

      WebLogicエージェントの場合、次のプロパティを設定します。

      com.sun.identity.agents.config.service.resolver=com.sun.identity.agents.weblogic.v10.AmWLAgentServiceResolver
      

   5. エージェントを再起動します。

   6. ブラウザのCookieとキャッシュを消去します。

2. 移行ツールは、OpenSSO Enterprise 8.0からAccess Manager 11.1.2.2.0に移行されるユーザー・ストアのパスワードを取得しません。そのため、移行後は、移行されるすべてのユーザー・ストアのパスワードを手動で更新する必要があります。これを行うには、次の手順を実行します。

   1. 次のURLを使用してOracle Access Management 11.1.2.2.0コンソールにログインします。

      http://host:port/oamconsole
      

      このURLでは、hostは、Oracle Access Managementサーバーをホストするマシンの完全修飾ドメイン名を表し、portは、Oracle Access Managementコンソールの指定のバインド・ポート(管理サーバーのバインド・ポートと同じ)を表します。

   2. 「システム構成」タブに移動します。

   3. 「共通構成」の左ナビゲーション・ペインで「データソース」を開きます。

   4. 「ユーザー・アイデンティティ・ストア」を開き、存在する移行後のすべてのLDAPユーザーのパスワードを手動で更新します。

3. 移行後、移行した認証ストアの最小および最大プール・サイズはデフォルトで0に設定されます。そのため、Oracle Access Management 11.1.2.2.0コンソールで認証ストアの「最小プール・サイズ」と「最大プール・サイズ」に適切な値を手動で設定する必要があります。これを行うには、次の手順を実行します。

   1. 次のURLを使用してOracle Access Management 11.1.2.2.0コンソールにログインします。

      http://host:port/oamconsole
      

   2. 「システム構成」タブに移動します。

   3. 左のナビゲーション・ペインで「共通構成」を開きます。

   4. 「データソース」→「ユーザー・アイデンティティ・ストア」を開きます。

   5. 編集する認証ストアを選択します。

   6. 「接続の詳細」にスクロール・ダウンして、「最小プール・サイズ」と「最大プール・サイズ」の値を設定します。たとえば、最小プール・サイズを10、最大プール・サイズを50にします。

   7. 「適用」をクリックします。

4. 次の手順を実行して、Access Manager管理対象サーバーおよび移行したエージェントのWebインスタンスを再起動します。

   1. 移行されているエージェントのWebコンテナ・インスタンスを停止します。

   2. Access Manager管理対象サーバーを停止します。

      管理対象サーバーの停止の詳細は、付録A「管理対象サーバーの停止」を参照してください。

   3. Access Manager管理対象サーバーを起動します。

      管理対象サーバーの起動の詳細は、付録A「管理対象サーバーの起動」を参照してください。

   4. 移行されているエージェントのWebコンテナ・インスタンスを起動します。

5.15 移行の確認

移行を確認するには、次の手順を実行します。

1. 次のURLを使用してOracle Access Management 11.1.2.2.0コンソールにログインします。

   http://host:port/oamconsole
   

   このURLの内容は、次のとおりです。

   • hostは、Oracle Access Management 11.1.2.2.0コンソールをホストするマシンの完全修飾ドメイン名を表します。

   • portは、Oracle Access Management 11.1.2.2.0コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。

   OpenSSO Enterpriseのエージェント、ユーザー・ストア、認証ストア、認証モジュール、ホスト識別子、リソース、および正しい認証モジュールを備えた正しい認証スキームのポリシーがAccess Manager 11.1.2.2.0に移行されていることを確認します。

2. URLを使用して、保護されているページにアクセスします。このURLにより、Oracle Access Managementサーバーの「ログイン」ページにリダイレクトされるようになっています。認証が成功すると、正常な認可が実行され、リソースに正常にアクセスできます。