| Oracle® Fusion Middleware Oracle Identity and Access Management移行ガイド 11gリリース2 (11.1.2.2.0) E53415-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Management移行ガイド 11gリリース2 (11.1.2.2.0) E53415-02 |
|
前 |
次 |
この章では、既存のOracle Single Sign-On 10gをOracle Access Management Access Manager (Access Manager) 11gリリース2 (11.1.2.2.0)に移行する方法について説明します。
この章には次の項が含まれます:
Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0への移行プロセスでは、Oracle Identity and Access Management 11.1.2.2.0をインストールしてOracle Access Management Access Manager 11.1.2.2.0を構成し、Access Manager中間層をアップグレードする必要があります。Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0に移行するには、次の3つのシナリオがあります。
Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0への移行後にOracle Delegated Administration Servicesが必要
Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0への移行後にOracle Delegated Administration Servicesが必要、ただしOracle Single Sign-On Adminは不要
Oracle Single Sign-On 10gから11.1.2.2.0への移行後にOracle Delegated Administration Servicesは不要
選択するシナリオに応じて、「移行ロードマップ」に示されている対応タスクを実行する必要があります。
他の移行シナリオの詳細は、第1.2項「移行および共存のシナリオ」を参照してください。
Oracle Fusion Middlewareのアップグレード・アシスタントを使用して次のものを移行できます。
Oracle Single Sign-On 10gの構成およびアーティファクト
Oracle Single Sign-On 10g Serverによって格納されるパートナ・メタデータ
Oracle Single Sign-On 10g Serverに登録されているパートナ
アップグレード・アシスタントを実行してOracle Single Sign-On 10gから移行する場合、次のコンポーネントはAccess Manager 11.1.2.2.0環境に移行されません。
Windowネイティブ認証を統合したOracle Single Sign-On 10g。詳細は、『Oracle Fusion Middleware Oracle Access Manager統合ガイド』のWindowsネイティブ認証を使用するためのOracle Access Managerの構成に関する章を参照してください。
ロギングの構成。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のコンポーネント・イベント・メッセージのロギングに関する項を参照してください。
Oracle Identity Federationを統合したOracle Single Sign-On 10g。詳細は、Oracle Fusion Middleware Oracle Access Manager統合ガイドのOracle Identity Federationの統合に関する項を参照してください。
カスタム認証。
X509構成。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
外部アプリケーション。
ポリシー・ストア。
マルチレルム構成。
図4-1は、Oracle Application Server 10gの一般的なOracle Single Sign-OnのトポロジとOracle Fusion Middleware 11gのAccess Manager 11.1.2.2.0のトポロジを比較したものです。
図4-1 Oracle Application Server 10gおよびOracle Fusion Middleware 11gの典型的なOracle Single Sign-Onのトポロジの比較
Oracle Single Sign-On 10gをAccess Manager 11.1.2.2.0に移行する前に、Oracle Single Sign-On 10gのインフラストラクチャ(図4-2)を検討し、保持することを選択した機能に応じて次のシナリオの1つを選択する必要があります。
移行前のOracle Single Sign-On 10gのインフラストラクチャ
図4-2に、Oracle Single Sign-On 10gのトポロジを示します。
このトポロジは次のもので構成されています。
Oracle Single Sign-Onのインフラストラクチャと通信するためのOracle HTTP Serverによってフロントエンド処理されるJava EEコンテナ内のパートナ・アプリケーション
Oracle HTTP Server 10gによってフロントエンド処理されるOracle Delegated Administration ServicesアプリケーションおよびOracle Single Sign-On Serverを含むOracle Identity Managementのインフラストラクチャ
ホスト名とポート番号で構成されているOracle Single Sign-Onエンドポイントは、Oracle Single Sign-OnユーザーがOracle Single Sign-On ServerおよびOracle Delegated Administration Servicesアプリケーションへのアクセスに使用できるURLを表します。
Oracle Single Sign-Onエンドポイントの例は、host.domain.com:portです。
|
注意: この例は、この項で様々な移行シナリオおよびそれらのOracle Single Sign-Onエンドポイントを表すために使用します。 |
Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0への移行後も、Oracle Delegated Administration Services (DAS)アプリケーションおよびOracle Single Sign-On Adminツールを引き続き使用する場合は、この移行シナリオを使用します。図4-3にこのシナリオを示します。
この移行シナリオを使用する場合は次の点に注意してください。
Oracle Portalパートナ・アプリケーションを使用している場合は、Oracle Delegated Administration ServicesおよびOracle Single Sign-On Adminが必要であるため、このシナリオを使用します。すべてのパートナ・アプリケーションを一度に移行します。
Oracle Single Sign-On 10gのフロントエンド処理を行っていたものと同じOracle HTTP Server 10gポートをOracle Access Manager 11.1.2.2.0の新しいポートとして使用しています。そのため、Oracle Single Sign-On 10gサーバーにアクセスすることはありません。かわりに、パートナ・アプリケーションではAccess Manager 11.1.2.2.0を使用します。
Oracle Delegated Administration Services (DAS)アプリケーションは新しいポート上で実行されます。
Oracle Portalなどのパートナ・アプリケーションからのOracle Delegated Administration Servicesのリクエストは、Oracle HTTP Server 11gに着信し、それからOracle HTTP Server 10gにリダイレクトされます。これがOracle Delegated Administration Services 10gアプリケーションのフロントエンド処理を行います。
|
注意: Oracle Delegated Administration ServicesおよびOracle Single Sign-On AdminをOracle Access Manager 11.1.2.2.0に再登録する必要があります。これは、それらのポートが変更されているためです。 |
Oracle Single Sign-On-Oracle Delegated Administration Servicesエンドポイント(same_host.domain.com:same_port)は、すべてのパートナ・アプリケーションに対して同じままです。
移行の実行後、Oracle Internet Directoryが自動的にユーザー・アイデンティティ・ストアとして選択されます。
図4-3 Oracle Single Sign-Onからの移行後にOracle Delegated Administration Servicesが必要
この移行シナリオを使用するには、表4-1に示す手順に従ってください。
Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0への移行後に、Oracle Single Sign-On Adminツール・アプリケーションは不要でOracle Delegated Administration Servicesアプリケーションが必要な場合は、この移行シナリオを使用します。図4-4にこのシナリオを示します。
この移行シナリオを使用する場合は次の点に注意してください。
Oracle Delegated Administration Services用にOHS 10gポートを使用しています。そのため、Access Manager 11.1.2.2.0を別のマシンにインストールする必要があります。
パートナ・アプリケーションは段階的に移行します。
移行後は、Oracle Single Sign-Onが機能しなくなります。ただし、Oracle Delegated Administration Servicesは引き続き機能します。
一連のパートナ・アプリケーションのフロント処理を行うOHSおよびmod_ossoごとに、移行中に生成されるosso.confファイルを手動でコピーする必要があります。この手順によって、これらのアプリケーションが新しいOracle Single Sign-OnプロバイダとしてAccess Manager 11.1.2.2.0と関連付けられます。この手順は、Oracle Delegated Administration Servicesに対しても必要です。
Oracle Delegated Administration Servicesエンドポイント(same_host.domain.com:same_port)は、すべてのパートナ・アプリケーションに対して同じままです。
Oracle Access Manager Oracle Single Sign-Onエンドポイントは、new_host.domain.com:new_portなどの新規です。
移行の実行後、Oracle Internet Directoryが自動的にユーザー・アイデンティティ・ストアとして選択されます。
この移行シナリオを使用するには、表4-1に示す手順に従ってください。
Oracle Delegated Administration ServicesアプリケーションまたはOracle Single Sign-On Adminツールが不要な場合は、この移行シナリオを使用します。図4-5にこのシナリオを示します。
この移行シナリオを使用する場合は次の点に注意してください。
移行後は、Oracle Single Sign-OnおよびOracle Delegated Administration Servicesは機能しなくなります。
すべてのパートナ・アプリケーションを一度に移行します。
Oracle Single Sign-On 10gのフロントエンド処理を行っていたものと同じOHS 10gポートをAccess Manager 11.1.2.2.0の新しいポートとして使用します。そのため、Oracle Single Sign-On 10gサーバーおよびOracle Delegated Administration Servicesアプリケーションにはアクセスできません。
Oracle Single Sign-Onエンドポイント(same_host.domain.com:same_port)は、すべてのパートナ・アプリケーションに対して同じままです。
移行の実行後、Oracle Internet Directoryが自動的にユーザー・アイデンティティ・ストアとして選択されます。
図4-5 Oracle Delegated Administration Servicesが不要
この移行シナリオを使用するには、表4-1に示す手順に従ってください。
表4-1は、Oracle Single Sign-On 10gの各移行シナリオで実行する必要があるタスクを示しています。
表4-1 移行シナリオとタスク
Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0に移行するには、次の前提条件を満たす必要があります。
システム要件および動作保証のドキュメントを読み、環境がインストールする製品の最小要件を満たしていることを確認します。
Oracle Fusion Middlewareのシステム要件と仕様
このドキュメントには、ハードウェアとソフトウェアの要件、最小ディスク領域とメモリーの要件、および必要なシステム・ライブラリ、パッケージまたはパッチに関する情報が含まれます。
Oracle Fusion Middlewareのサポートされるシステム構成
このドキュメントには、サポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品に関する情報が含まれます。
インストール時に発生する可能性がある相互運用性および互換性の問題については、『Oracle Fusion Middleware相互運用および互換性ガイド』を参照してください。
Oracle Fusion Middleware製品が旧バージョンの他のOracle Fusion Middleware、Oracleまたはサード・パーティ製品と機能するために重要な情報がこのドキュメントに記載されています。この情報は、既存の環境をアップグレードする既存ユーザーと新しいOracle Fusion Middlewareユーザーの両方に適用されます。
|
注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。 |
使用しているOracle Single Sign-On 10gのリリースが移行でサポートされていることを確認します。Oracle Single Sign-On 10gの移行がサポートされている開始ポイントの詳細は、第1.4項「移行および共存がサポートされている開始ポイント」を参照してください。
移行プロセスを開始する前に、Access Manager 11.1.2.2.0のトポロジに精通しておきます。
詳細は、第4.3項「トポロジの比較」を参照してください。
Oracle Single Sign-On環境をAccess Manager 11.1.2.2.0に移行する場合は、Access ManagerとOracle Platform Security Services (OPSS)のスキーマをインストールする予定のデータベースのリリースがOracle Fusion Middleware 11gによってサポートされていることを確認する必要があります。
新しいデータベースをインストールするか、または既存のデータベースをサポートされているバージョンにアップグレードできます。
Access Manager 11.1.2.2.0を構成するには、必要なスキーマをデータベースに作成する必要があります。スキーマを作成するには、リポジトリ作成ユーティリティ(RCU)を実行する必要があります。ただし、指定したすべてのスキーマをRCUに作成する必要があるのは、Oracle Fusion Middlewareの完全な環境をインストールし、すべてのOracle Fusion Middlewareコンポーネント・スキーマに同じデータベースを使用する計画がある場合にかぎられます。
RCUを実行してAccess Manager 11.1.2.2.0に必要なスキーマを作成する場合の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Fusion Middlewareのリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成に関する項を参照してください。
選択する移行シナリオに応じて、次のいずれかのタスクを完了する必要があります。
表4-2は、Oracle Single Sign-On 10gからOracle Access Manager 11.1.2.2.0への移行後に、Oracle Delegated Administration ServicesアプリケーションおよびOracle Single Sign-On Adminツールを使用するためのAccess Manager 11.1.2.2.0中間層のインストールおよび構成手順を示しています。
表4-2 Oracle Access Manager中間層のインストールおよび構成手順
| No | タスク | 参照先 |
|---|---|---|
|
1 |
Oracle WebLogic Server 10.3.6のインストールとOracleミドルウェア・ホームの作成 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のインストールの前提条件に関する項とグラフィカル・モードでのインストール・プログラムの実行に関する項を参照してください。 |
|
2 |
Oracle HTTP Server 10gの停止および構成 |
「Oracle HTTP Server 10gの再構成」を参照してください。 |
|
3 |
Oracle HTTP Server 11gのインストール |
Oracle HTTP Server 11gをインストールし、Oracle HTTP Server 10gのポート番号を指定します。詳細は、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』を参照してください。 |
|
4 |
Oracle Identity and Access Management 11.1.2.2.0のインストール |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management 11.1.2.2.0のインストールに関する項を参照してください。 |
|
5 |
Oracle Access Management Access Manager 11.1.2.2.0の構成 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementの構成に関する項を参照してください。 |
|
6 |
ノード・マネージャでの管理対象サーバーの起動の構成 |
Oracle Fusion Middleware管理者ガイドの管理対象サーバーを起動するためのノード・マネージャの構成に関する項を参照してください。 |
|
7 |
Oracle WebLogic Serverドメインの開始 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のスタックの起動に関する項を参照してください。 |
|
8 |
Oracle HTTP Server 11gによるAccess Manager 11.1.2.2.0管理対象サーバーのフロントエンド処理 |
「Oracle HTTP Server 11gによるAccess Manager 11.1.2.2.0管理対象サーバーのフロントエンド処理」を参照してください。 |
|
9 |
パートナ・アプリケーションとしてのOracle HTTP Server 10gの登録 |
「Oracle Access Manager 11gのパートナ・アプリケーションとしてのアプリケーションの登録」を参照してください。 |
|
10 |
Oracle HTTP Server 10gサーバーへのOIDDASリクエストのリダイレクト |
「Oracle HTTP Server 10gサーバーへのパートナ・アプリケーション・リクエストのリダイレクト」を参照してください。 |
|
11 |
インストールの確認 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementのインストールの確認に関する項を参照してください。 |
Oracle HTTP Server 10gの再構成
次の手順を実行してください。
テキスト・エディタでhttpd.confファイルをディレクトリORACLE_HOME\Apache\Apache\conf (Windowsの場合)、またはORACLE_HOME/Apache/Apache/conf (UNIXの場合)から開き、既存のポート番号を変更し、新しいポート番号を変更します。
opmnctlコマンド行ツール(ORACLE_HOME\opmn\binにある)を次のように実行することで、Oracle HTTP Server 10gを停止します。
opmnctl stopproc ias-component=<name_of_the_OHS_instance>
次のopmnctlコマンドを実行することでOracle HTTP Server 10gを再起動します。
OHS_INSTANCE_HOME/bin/opmnctl stopall OHS_INSTANCE_HOME/bin/opmnctl startall
Oracle HTTP Server 11gによるAccess Manager 11.1.2.2.0管理対象サーバーのフロントエンド処理
mod_wl_ohsを使用して、Oracle HTTP Server 11gでAccess Manager 11.1.2.2.0管理対象サーバーのフロントエンド処理を行う必要があります。これを行うには、次の手順を完了します。
テキスト・エディタでディレクトリOHS_INSTANCE_HOME/config/OHS/ohs_instance_name(UNIXの場合)、またはOHS_INSTANCE_HOME\config\OHS\ohs_instance_name(Windowsの場合)からmod_wl_ohs.confファイルを開き、次のように編集します。
<IfModule weblogic_module>
WebLogicHost <OAM Managed Server Host>
WebLogicPort <OAM Managed Server Port>
Debug ON
WLLogFile /tmp/weblogic.log
MatchExpression *.jsp
</IfModule>
<Location />
SetHandler weblogic-handler
PathTrim /
ErrorPage http://WEBLOGIC_HOST:WEBLOGIC_PORT/
</Location>
ORACLE_INSTANCE\binディレクトリ(Windowsの場合)、またはORACLE_INSTANCE/binディレクトリ(UNIXの場合)から次のopmnctlコマンドを実行することでOracle HTTP Server 11gを再起動します。
opmnctl stopall opmnctl startall
テキスト・エディタで、Windowsの場合はMW_HOME\user_projects\domains\domain_name\config\fmwconfigディレクトリ、UNIXの場合はMW_HOME/user_projects/domains/domain_name/config/fmwconfigディレクトリからoam-config.xmlファイルを開き、次の例に示すように、serverhostエントリとserverportエントリを編集します。
<Setting Name="OAMSERVER" Type="htf:map">
<Setting Name="serverhost" Type="xsd:string"><OHS 11G HOST></Setting>
<Setting Name="serverprotocol" Type="xsd:string">http</Setting>
<Setting Name="serverport" Type="xsd:string"><OHS 11G PORT></Setting>
<Setting Name="MaxRetryLimit" Type="xsd:integer">5</Setting>
</Setting>
WebLogic管理サーバーおよびAccess Manager 11.1.2.2.0管理対象サーバーを再起動します。サーバーを再起動するには、それらを停止してから再起動する必要があります。
管理サーバーおよび管理対象サーバーの停止の詳細は、付録A「サーバーの停止」を参照してください。
管理サーバーおよび管理対象サーバーの起動の詳細は、付録A「サーバーの起動」を参照してください。
Oracle Access Manager 11gのパートナ・アプリケーションとしてのアプリケーションの登録
Oracle HTTP Server 10gパートナにデプロイ済のOracle Internet DirectoryおよびOracle Delegated Administration ServicesをAccess Manager 11.1.2.2.0に登録する必要があります。これを行うには、次の手順を完了します。
Oracle Access Management 11.1.2.2.0コンソールにログインします。
「システム構成」タブをクリックします。
「ようこそ」ページでOSSOエージェントの追加を選択します。
OSSOエージェントの作成ページで、次の詳細を入力します。
エージェント名: mod_ossoエージェントの識別名。
エージェントのベースURL: 必要なプロトコル、ホスト、およびエージェントのWebサーバーがインストールされるコンピュータのポート。たとえば、http://ohs_host:ohs_portです。
「適用」をクリックします。
エージェントが作成され、osso.confファイルがDOMAIN_HOME/output/AGENT_NAME(UNIXの場合)とDOMAIN_HOME\output\AGENT_NAME(Windowsの場合)に作成されます。
新しく生成されたエージェント・ファイルをOracle HTTP Server 10gのOHS_Config\ossoにコピーします。
次のopmnctlコマンドを実行することでOracle HTTP Server 10gを再起動します。
OHS_INSTANCE_HOME/bin/opmnctl stopall OHS_INSTANCE_HOME/bin/opmnctl startall
Oracle HTTP Server 10gサーバーへのパートナ・アプリケーション・リクエストのリダイレクト
mod_proxyを使用して、Oracle Internet DirectoryおよびOracle Delegated Administration ServicesリクエストをOracle HTTP Server 10gにリダイレクトする必要があります。
テキスト・エディタでOracle HTTP Server 11gのhttpd.confファイルを開き、Oracle Internet DirectoryおよびOracle Delegated Administration Servicesのフロントエンド処理を行うOHS 10gのホスト名とポート名のエントリを次の例に示すように追加します。
ProxyPass /oiddas http://pdcasqa14-3.us.abc.com:8888/oiddas ProxyPassReverse /oiddas http://pdcasqa14-3.us.abc.com:8888/oiddas
|
注意: 前述の例では、OHS 10gポート番号を使用しています。 |
次のopmnctlコマンドを実行することでOracle HTTP Server 11gを再起動します。
ORACLE_HOME/opmn/bin/opmnctl stopall ORACLE_HOME/opmn/bin/opmnctl startall
Oracle HTTP Server 10gでSSLが有効化されている場合、次の事項を完了します。
プロキシのウォレットを作成します。
Oracle HTTP Server 10gのルート証明書が既知でない場合、それを前述の作成済ウォレットに信頼できる証明書としてインポートする必要があります。
テキスト・エディタでOracle HTTP Server 11gのssl.confファイル(<ORACLE_INSTANCE>/config/OHS/<COMPONENT_NAME>/にある)を開き、次の行を<VirtualHost *:PORTNUMBER><IfModule ossl_module>の下に追加します。
SSLProxyEngine On SSLProxyWallet <PATH of the wallet created above>
次のopmnctlコマンドを実行することでOracle HTTP Server 11gを再起動します。
OHS_INSTANCE_HOME/bin/opmnctl stopall OHS_INSTANCE_HOME/bin/opmnctl startall
表4-3は、Oracle Access Managerの新しいホスト名またはポート番号を使用してAccess Manager 11.1.2.2.0中間層をインストールおよび構成するときに実行する必要がある手順を示しています。
表4-3 Oracle Access Manager中間層のインストールおよび構成手順
| No | タスク | 参照先 |
|---|---|---|
|
1 |
Oracle WebLogic Server 10.3.6のインストールとOracleミドルウェア・ホームの作成 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のインストールの前提条件に関する項とグラフィカル・モードでのインストール・プログラムの実行に関する項を参照してください。 |
|
2 |
Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストール |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management 11.1.2.2.0のインストールに関する項を参照してください。 |
|
3 |
Oracle Access Management Access Manager 11.1.2.2.0の構成 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementの構成に関する項を参照してください。 |
|
4 |
ノード・マネージャでの管理対象サーバーの起動の構成 |
Oracle Fusion Middleware管理者ガイドの管理対象サーバーを起動するためのノード・マネージャの構成に関する項を参照してください。 |
|
5 |
Oracle WebLogic Serverドメインの開始 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のスタックの起動に関する項を参照してください。 |
|
6 |
インストールの確認 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managementのインストールの確認に関する項を参照してください。 |
Access Manager 11.1.2.2.0をインストールする場合、アップグレード・アシスタントがOracleホームのbinディレクトリに自動的にインストールされます。
アップグレード・アシスタントは、アップグレードするOracleホームごとに1回ずつ実行します。たとえば、同じ10gリリース2 (10.1.2)ファームの一部である、2つの異なる10gリリース2 (10.1.2) Oracleホームをアップグレードする場合、それぞれの10gリリース2 (10.1.2) Oracleホームに対して1回ずつ、つまり2回アップグレード・アシスタントを実行する必要があります。
中間層をアップグレードするには、次の手順を完了します。
次の操作を実行してアップグレード・アシスタントを起動します。
UNIXの場合:
次のコマンドを使用して、現在の作業ディレクトリからMW_HOME/IAM_HOME/binディレクトリに移動します。
cd MW_HOME/IAM_HOME/bin
次のコマンドを実行します。
./ua
Windowsの場合:
コマンド行で次のコマンドを使用して、現在の作業ディレクトリからMW_HOME\IAM_HOME\binディレクトリに移動します。
cd MW_HOME/IAM_HOME/bin
次のコマンドを実行します。
ua.bat
Oracle Fusion Middlewareのアップグレード・アシスタントの「ようこそ」画面が表示されます。
「次へ」をクリックします。
「操作の指定」画面が表示されます。
Oracle Access Manager中間層のアップグレードを選択します。
アップグレード・アシスタントで使用可能なオプションは、アシスタントを起動したOracleホーム固有のものです。Oracle Application Server Identity ManagementのOracleホームからアップグレード・アシスタントを起動する場合、「操作の指定」画面に表示されるオプションが、Oracle Application Server Identity ManagementのOracleホームに対して有効なオプションです。
「次へ」をクリックします。
「ソース詳細の指定」画面が表示されます。
次の情報を入力します。
プロパティ・ファイル: 「参照」をクリックし、Oracle Single Sign-On 10gのpolicy.propertiesファイルのパスを指定します。
Oracle Access Manager 11.1.2.2.0インストールが、Oracle Single Sign-On 10gインストールとは別のホスト上にある場合は、10gのpolicy.propertiesファイルをAccess Manager 11.1.2.2.0ホストの一時ディレクトリにコピーする必要があります。その後、一時フォルダ内にあるpolicy.propertiesファイルのパスを指定します。
データベース・ホスト: Oracle Single Sign-Onスキーマを含むデータベース・ホスト名を入力します。
データベース・ポート: データベース・ポート番号を入力します。
データベース・サービス: データベース・サービス名を入力します。
SYSパスワード: 「データベース」ドロップダウン・メニューから選択したデータベースのSYSデータベース・アカウントのパスワードを入力します。アップグレード・アシスタントでは、10gコンポーネント・スキーマをアップグレードする前にログイン資格証明が必要です。
|
注意: Oracle Single Sign-On 10gのデータベース構成のデータベースの詳細を必ず入力します。 |
「次へ」をクリックします。
「OIDの詳細の指定」画面が表示されます。
次の情報を入力します。
OIDホスト:: Oracle Internet Directoryサーバーのホスト名を入力します。
OID SSLポート:: 使用するOracle Internet Directoryのポート番号を入力します。
OIDパスワード: Oracle Internet Directoryの管理アカウント(cn=orcladmin)のパスワードを入力します。
「次へ」をクリックします。
「WebLogic Serverの指定」画面が表示されます。
次の情報を入力します。
ホスト: Oracle WebLogic Serverドメインのホスト名を入力します。
ポート: 管理サーバーのリスニング・ポートを入力します。デフォルト・サーバー・ポートは7001です。
ユーザー名: 管理サーバーへのログインに使用されるユーザー名。これは、ドメインの管理コンソールへのログインに使用するものと同じユーザー名です。
パスワード: 管理サーバーへのログインに使用される管理者アカウントのパスワード。これは、ドメインの管理コンソールへのログインに使用するパスワードと同じです。
「次へ」をクリックします。
「アップグレード・オプションの指定」画面が表示されます。
「アップグレード完了後にアップグレード先コンポーネントを起動」を選択し、「次へ」を選択します。
|
注意: 外部アプリケーションを使用している場合は、外部アプリケーションでもアップグレードを選択します。 |
「コンポーネントの調査」画面が表示されます。
「次へ」をクリックします。
「アップグレード・サマリー」画面が表示されます。
「アップグレード」をクリックします。
「アップグレードの進行状況」画面が表示されます。この画面には次の情報が表示されます。
アップグレードのステータス
アップグレード中に発生したエラーまたは問題
「次へ」をクリックします。
「アップグレード完了」画面が表示されます。この画面はアップグレードが完了していることを確認します。
「閉じる」をクリックします。
次の項では、Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0への移行後に手動で実行する必要がある手順について説明します。
Oracle HTTP Serverポートが変更された場合のAccess Manager 11.1.2.2.0サーバーを使用したOracle Portal 10gの構成
Access Manager 11.1.2.2.0でのOracle Business Intelligence Discoverer 11gの構成
Access Manager 11.1.2.2.0のデフォルト・ストアおよびシステム・ストアとしての移行アイデンティティ・ストアの設定
Oracle PortalのOracle Single Sign-OnサーバーをAccess Manager 11.1.2.2.0サーバーに移行した後、Oracle PortalスキーマをAccess Manager 11.1.2.2.0サーバーに関する情報で更新する必要があります。そのためには、wwsec_enabler_config_info$表を次のように更新する必要があります。
Portalスキーマのパスワードを取得するには、次のコマンドを実行します。
ldapsearch -v -D "cn=orcladmin" -w "orcladminpassword" -h OIDHost -p OIDPort -s sub -b "cn=IAS Infrastructure Databases, cn=IAS, cn=Products, cn=OracleContext" "orclresourcename=PORTAL" orclpasswordattribute
Oracle Portalスキーマをホストしているデータベースに接続し、そのPortalスキーマのユーザー名とパスワードを使用してログインします。
portal_post_upgrade.sqlスクリプト(<ORACLE_HOME>\oam\server\upgrade\sqlにある)を実行します。
入力を求められたら、ご使用のAccess Manager 11.1.2.2.0管理対象サーバーのホスト名およびポート番号を入力します。
移行後に、Oracle Access Management 11.1.2.2.0管理コンソールではランタイム認証および認可にシステム・アイデンティティ・ストアが使用されます。既存のロールを調整するには、次の手順を実行します。
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合:
コマンド行で次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME/common/binディレクトリに移動します。
cd IAM_HOME/common/bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
./wlst.sh
Windowsの場合:
コマンド行で次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME\common\binディレクトリに移動します。
cd IAM_HOME\common\bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
wlst.cmd
WLSTシェルで、次のコマンドを入力します。
editUserIdentityStore(name="UserIdentityStoreName",roleSecAdmin="SecurityAdminRoleName")
例:
(name="MigratedUserIdentityStore",roleSecAdmin="Administrators")
Oracle Access Management 11.1.2.2.0管理コンソールに対してAccess Manager 11.1.2.2.0管理者のグループを構成する場合は、次の手順を実行します。
Oracle Internet Directoryに例の管理者のグループを作成します。
Access Manager 11.1.2.2.0管理者権限の完全修飾ドメイン名を追加します。たとえば、グループの一意のメンバーとして次のものを入力します。
cn=orcladmin,cn=users,dc=us,dc=abc,dc=com
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合:
コマンド行で次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME/common/binディレクトリに移動します。
cd IAM_HOME/common/bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
./wlst.sh
Windowsの場合:
コマンド行で次のコマンドを実行し、現在の作業ディレクトリからIAM_HOME\common\binディレクトリに移動します。
cd IAM_HOME\common\bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
wlst.cmd
WLSTシェルで、次のコマンドを入力します。
editUserIdentityStore(name="MigratedUserIdentityStore",roleSecAdmin="SecurityAdminRoleName")
例:
editUserIdentityStore(name="MigratedUserIdentityStore",roleSecAdmin="Administrators")
選択したアップグレード・シナリオに応じて、Oracle Upgrade Assistantでは、パートナ・アプリケーションごとにosso.confという名前の新しいファイルがOracle_Home/upgrade/tempディレクトリに生成されることがあります。このosso.confファイルを、Oracle Access Manager 11.1.2.2.0に登録されているパートナ・アプリケーションの場所にコピーする必要があります。
パートナ・アプリケーションと関連付けられている正しいosso.confファイルを識別する必要があります。
例:
F78CFE57-dadvmb0097.us.abc.com_22776_769_osso.conf
正しいosso.confファイルを識別するには、oam-config.xmlファイル(IDM_HOME/oam/server/configにある)を調べます。oam-config.xmlファイルには、パートナ・アプリケーションの詳細とOracle HTTP Serverのホスト・アドレスおよびポート番号が指定されています。
Oracle Business Intelligence DiscovererのOracle Single Sign-OnサーバーをAccess Manager 11.1.2.2.0サーバーに移行した後、Oracle Business Intelligence Discovererのシングル・サインオン構成を次のように更新する必要があります。
テキスト・エディタでmod_osso.confファイル(Oracle Business Intelligence DiscovererインスタンスのORACLE_INSTANCE/config/OHS/<COMPONENT_NAME>/moduleconfにある)を開きます。
<IfModule mod_osso.c>に次の行を追加します。
OssoHTTPOnly Off
次のopmnctlコマンドを実行することでOracle HTTP Serverを再起動します。
OHS_INSTANCE_HOME/bin/opmnctl stopall OHS_INSTANCE_HOME/bin/opmnctl startall
移行後、Oracle Access Management 11.1.2.2.0コンソールを使用して、保護されるOracle Delegated Administration Servicesのヘッダーを認証ポリシーで設定する必要があります。これを行うには、次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2.2.0コンソールにログインします。
http://host:port/oamconsole
このURLの内容は、次のとおりです。
hostは、Oracle Access Management 11.1.2.2.0コンソールをホストするマシンの完全修飾ドメイン名を表します。
portは、Oracle Access Management 11.1.2.2.0コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
「ポリシー構成」タブに移動します。
「アプリケーション・ドメイン」を開きます。
「Oracle Access Manager 11gのパートナ・アプリケーションとしてのアプリケーションの登録」手順の実行中に作成したagentを開きます。
「認証ポリシー」を開きます。
保護されるリソースのポリシーをダブルクリックします。
保護されるリソースのポリシー・ページの「レスポンス」タブに移動します。
+記号をクリックしてレスポンスを追加します。
表4-4に記載されている3つのヘッダーを、表で指定されている名前、タイプおよび値の各フィールドの正しい値で追加します。各ヘッダーの追加後、「追加」をクリックします。
次の手順を実行して、WebLogic管理サーバーおよびAccess Manager管理対象サーバーを再起動します。サーバーを再起動するには、それらを停止してから再起動する必要があります。
管理サーバーおよび管理対象サーバーの停止の詳細は、付録A「サーバーの停止」を参照してください。
管理サーバーおよび管理対象サーバーの起動の詳細は、付録A「サーバーの起動」を参照してください。
移行後、デフォルトの認証スキームはLDAPSchemeのまま変わりません。これをSSOCoexistMigrateSchemeに変更する必要があります。そのため、移行後にOracle Access Management 11.1.2.2.0コンソールを使用して、SSOCoexistMigrateSchemeをデフォルトの認証スキームとして設定する必要があります。これを行うには、次の手順を実行します。
次のURLを使用してOracle Access Management 11.1.2.2.0コンソールにログインします。
http://host:port/oamconsole
このURLの内容は、次のとおりです。
hostは、Oracle Access Management 11.1.2.2.0管理コンソールをホストするマシンの完全修飾ドメイン名を表します。
portは、Oracle Access Management 11.1.2.2.0コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
「ポリシー構成」タブに移動します。
左のナビゲーション・ペインで「共有コンポーネント」を開きます。
「認証スキーム」を開きます。
SSOCoexistMigrateSchemeをダブルクリックします。
「デフォルトとして設定」をクリックして、「適用」をクリックします。
Oracle Single Sign-On 10gからAccess Manager 11.1.2.2.0への移行後、migratedUserIdentityStoreをAccess Manager 11.1.2.2.0のデフォルト・ストアおよびシステム・ストアとして明示的に設定する必要があります。これを設定するには、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のデフォルト・ストアとシステム・ストアの設定に関する項を参照してください。
Oracle Single Sign-On 10gで使用されているOracle Internet Directory (OID)がSSLサーバー認証モードで構成されている場合、次の手順を実行する必要があります。
次のコマンドを実行して、Access Manager 11.1.2.2.0サーバーを実行しているJVMのcacertsファイルにOracle Internet Directory自己署名証明書を追加します。
<JRE_HOME>/lib/security > ../../../bin/keytool -import -trustcacerts -keystore <location of cacerts in jvm> -storepass changeit -noprompt -alias <cert-name> -file <cert-file-path>
WebLogic管理サーバーおよびAccess Manager 11.1.2.2.0管理対象サーバーを再起動します。サーバーを再起動するには、それらを停止してから再起動する必要があります。
管理サーバーおよび管理対象サーバーの停止の詳細は、付録A「サーバーの停止」を参照してください。
管理サーバーおよび管理対象サーバーの起動の詳細は、付録A「サーバーの起動」を参照してください。
次のURLを使用してOracle Access Management 11.1.2.2.0コンソールにログインします。
http://host:port/oamconsole
「システム構成」タブに移動します。
左のナビゲーション・ペインで「共通構成」の「データソース」を開きます。
「ユーザー・アイデンティティ・ストア」をクリックし、「作成」をクリックします。
必要な詳細を指定し、「SSLの有効化」を選択していることを確認します。
「ロケーション」フィールドで適切なSSLポートを指定していることを確認します。
「適用」をクリックします。
図4-6は、新しいユーザー・アイデンティティ・ストアを作成するAccess Managerコンソールを示しています。
Access Manager 11.1.2.2.0への移行後に、次の移行後のタスクを追加で実行する必要があります。
宛先トポロジが、ソースと同じマシン上のOracle HTTP Server 11g (11gコンパニオンCDによってインストール済)によってフロントエンド処理されている場合、そのOracle HTTP Server 11gのインストール・ディレクトリからアップグレード・アシスタントを実行し、Oracle Single Sign-Onのフロントエンド処理を行うOracle HTTP Serverを移行できます。そのような場合、アップグレード・アシスタントのポート保持オプションを使用すると、mod_ossoパートナとOracle Access Managerの再関連付けは不要になります。
Oracle Portal 10gから移行したOracle Portal 11gを使用している場合、portal_post_upgrade.sqlスクリプト(Oracle_IDM1/oam/server/upgrade/sqlにある)を実行してOracle Single Sign-On構成を更新することと、シングル・サインオン認証にAccess Manager 11.1.2.2.0を使用するようにすることが必要です。
その他の場合は、移行後にmod_ossoパートナと新しく移行されたOracle Access Manager 11.1.2.2.0の再関連付けを実行する必要があります。移行の一部として生成されたmod_osso構成は、このために使用できます。
Oracle Portalにログインする前に、次のopmnctlコマンド(Windowsでは<ORACLE_INSTANCE>\binディレクトリに、UNIXでは<ORACLE_INSTANCE>/binディレクトリにある)を実行することでOracle Web Cacheを再起動する必要があります。
opmnctl stopall opmnctl startall
Access Manager 11.1.2.2.0に移行した後、Oracle Internet Directory 10gまたはOracle Delegated Administration Services 10gでOracle Single Sign-On 10gを使用していない場合は、Oracle Single Sign-On 10gを削除できます。それを行うには、コマンド行で次のコマンドを実行することで、Oracle Single Sign-On 10gサーバーをOracle Identity Management 10gサーバー(OC4J_SECURITY)からアンデプロイします。
java -jar admin_client.jar <uri> <adminId> <adminPassword> -undeploy sso
移行の完了後、Access Managerはデフォルトで共存モードになります。Oracle Access Managerの移行が正常に実行されたことを確認する手順は次のとおりです。
アップグレード・アシスタントを再度実行し、「操作の指定」画面で「インスタンスの検証」を選択します。
特定のOracle Fusion Middlewareコンポーネントが稼働していることを確認するには、画面の手順に従ってください。
Access Manager 11.1.2.2.0管理サーバーが起動され実行中であることを確認するには、次のURLを使用してOracle Access Management 11.1.2.2.0コンソールにログインします。
http://host:port/oamconsole
このURLの内容は、次のとおりです。
hostは、Oracle Access Management 11.1.2.2.0管理コンソールをホストするマシンの完全修飾ドメイン名を表します。
portは、Oracle Access Management 11.1.2.2.0コンソールの指定されたバインド・ポートを表します。これは管理サーバーのバインド・ポートと同じです。
Access Manager 11.1.2.2.0管理対象サーバーが起動され実行していることを確認するには、次のようにします。
必要な管理者資格証明を使用してOracle WebLogic Server管理コンソールにログインします。
左側のペインでドメイン構造を開き、「デプロイメント」を選択します。
ご使用の管理対象サーバーが「デプロイメントのサマリー」ページにリストされていることを確認します。
かわりに、エラー・メッセージがないか移行ログ・ファイルをチェックするか、Fusion Middleware Controlを使用してAccess Manager 11.1.2.2.0および他のOracle Identity ManagementコンポーネントがそのOracle Fusion Middleware環境で稼働していることを確認できます。
詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Enterprise Manager Fusion Middleware Controlの使用のスタート・ガイドを参照してください。
