3 Oracle Identity and Access Management (11.1.2.2.0)のインストールおよび構成

この章の内容は次のとおりです。

• インストールおよび構成のロードマップ

• Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストールと構成

3.1 インストールおよび構成のロードマップ

表3-1には、Oracle Identity and Access Management 11g リリース2 (11.1.2.2.0)製品へ適用される一般的なインストールおよび構成のタスクがまとめられています。

表3-1 Oracle Identity and Access Managementのインストールおよび構成の流れ

番号	タスク	説明
1	インストレーション・プランニング・ガイドでインストール概念を確認します。	『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』を読みます。このドキュメントには、ユーザーの既存の環境に応じて、様々なユーザーがOracle Fusion Middleware 11g (11.1.2)をインストールまたはアップグレードする手順が記載されています。
2	システム要件および動作保証のドキュメントを読み、環境がインストールするコンポーネントの最低のインストール要件を満たしていることを確認します。	詳細は、第2.1項「システム要件および動作保証の確認」を参照してください。
3	Oracle Fusion Middlewareソフトウェアを入手します。	詳細は、第3.2.1項「Oracle Fusion Middlewareソフトウェアの入手」を参照してください。
4	データベース要件を確認します。	詳細は、第3.2.2項「データベース要件」を参照してください。 注意: Oracle Databaseバージョンの中にはパッチを必要とするものもあります。詳細は、第3.2.2.1項「Oracle Identity ManagerのOracle Databaseパッチ要件」を参照してください。
5	Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用して、Oracle Identity and Access Management製品に対する適切なスキーマを作成し、ロードします。	詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
6	WebLogic Serverおよびミドルウェア・ホームの要件を確認します。	詳細は、第3.2.4項「WebLogic Serverおよびミドルウェア・ホーム要件」を参照してください。
7	Oracle Identity Managerユーザーのみ: Oracle SOA Suite 11gリリース1 (11.1.1.7.0)をインストールします。	詳細は、第3.2.5項「Oracle SOA Suiteのインストール(Oracle Identity Managerユーザーのみ)」を参照してください。 注意: Oracle SOA Suite 11.1.1.7.0をインストールした後、Oracle Identity Managerをインストールする前に必須SOAパッチを適用する必要があります。詳細は、「Oracle Identity ManagerのSOAパッチ要件」を参照してください。
8	Oracle Identity and Access Managementインストーラを起動します。	詳細は、第3.2.6項「Oracle Identity and Access Managementインストーラの起動」を参照してください。
9	Oracle Identity and Access Management 11gソフトウェアをインストールします。	詳細は、第3.2.7項「Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストール」を参照してください。
10	Oracle Fusion Middleware構成ウィザードを実行して、新規または既存のWebLogicドメイン内でOracle Identity and Access Management製品を構成します。	詳細は、第3.2.8項「Oracle Identity and Access Management (11.1.2.2.0)製品の構成」を参照してください。
11	パッチ・セット・アシスタントを使用してOPSSスキーマをアップグレードします。	詳細は、第3.2.9項「パッチ・セット・アシスタントを使用したOPSSスキーマのアップグレード」を参照してください。
12	データベース・セキュリティ・ストアを構成します。	詳細は、第3.2.10項「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。
13	Oracle Identity Managerユーザーのみ: Oracle Identity Manager構成ウィザードを実行して、Oracle Identity Managerサーバーを構成します。 オプション: Oracle Identity Manager Design Consoleを構成します。 オプション: Oracle Identity Manager Remote Managerを構成します。	詳細は、3.2.11項「Oracle Identity Managerサーバー、Design ConsoleおよびRemote Managerの構成」を参照してください。
14	サーバーを起動します。	管理サーバーとすべての管理対象サーバーを起動する必要があります。詳細は、第C.1項「スタックの起動」を参照してください。

3.2 Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストールと構成

この項の手順に従い、最新のOracle Identity and Access Managementソフトウェアをインストールおよび構成します。

Oracle Identity and Access Management 11gコンポーネントの最新バージョンのインストールおよび構成は、次の手順で行います。

• Oracle Fusion Middlewareソフトウェアの入手

• データベース要件

• Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成

• WebLogic Serverおよびミドルウェア・ホーム要件

• Oracle SOA Suite (Oracle Identity Managerユーザーのみ)のインストール

• Oracle Identity and Access Managementインストーラの起動

• Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストール

• Oracle Identity and Access Management (11.1.2.2.0)製品の構成

• パッチ・セット・アシスタントを使用したOPSSスキーマのアップグレード

• Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成

• Oracle Identity Managerサーバー、Design ConsoleおよびRemote Managerの構成

• サーバーの起動

3.2.1 Oracle Fusion Middlewareソフトウェアの入手

Oracle Identity and Access Managementのインストールでは、次のソフトウェアを入手する必要があります。

• Oracle WebLogic Server 11gリリース1 (10.3.6)

• Oracle Database

• Oracleリポジトリ作成ユーティリティ

• Oracle Identity and Access Management Suite

• Oracle SOA Suite 11.1.1.7.0 (Oracle Identity Managerのみで必須)

• Oracle Entitlements Serverクライアント(Oracle Entitlements Serverのみで必須)

Oracle Fusion Middleware 11gソフトウェアの入手に関する詳細は、Oracle Fusion Middlewareのダウンロード、インストールおよび構成のReadMeを参照してください。

3.2.2 データベース要件

Oracle Identity and Access Managementコンポーネントによっては、Oracle Databaseが必要な場合があります。Oracle Identity and Access Managementをインストールする前に、Oracle Databaseがシステムにインストールされていることを確認してください。関連するOracle Identity and Access Managementコンポーネントをインストールするには、データベースが稼働している必要があります。データベースは、Oracle Identity and Access Managementコンポーネントのインストール先と同じシステム上にある必要はありません。

注意: 保証されたデータベースの詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントのデータベース要件に関するトピックを参照してください。 Oracle DatabaseのRCU要件の詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントでOracle DatabaseのRCU要件に関する項を参照してください。

3.2.2.1 Oracle Identity ManagerのOracle Databaseパッチ要件

Oracle Databaseバージョンの中にはパッチを必要とするものもあります。Oracle Databaseを使用するOracle Identity Manager 11.1.2構成に必要なパッチを特定するには、11gリリース2の『Oracle Fusion Middlewareリリース・ノート』のOracle Identity Managerに関する説明を参照してください。

3.2.3 Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成

次のOracle Identity and Access Managementコンポーネントをインストールして構成する前に、RCUを使用し、データベースに適切なOracle Fusion Middlewareスキーマを作成してロードする必要があります。

• Oracle Identity Manager

• Oracle Access Management

• Oracle Adaptive Access Manager

• Oracle Entitlements Server

• Oracle Privileged Account Manager

注意: Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)コンポーネントのデータベース・スキーマを作成するには、11gリリース2 (11.1.2.2.0)のバージョンのOracle Fusion Middlewareリポジトリ作成ユーティリティを使用する必要があります。 RCUデータベースの詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)の「Oracle Fusion Middlewareのシステム要件と仕様」ドキュメントのRepository Creation Utility (RCU)の要件に関するトピックを参照してください。 RCUの使用方法の概要は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』を参照してください。使用するRCUバージョンがインストールするMiddleware製品のOracle Fusionのバージョン番号と一致することを確認してください。 スキーマの作成の詳細は、『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』のスキーマの作成に関する項を参照してください。 このガイドでは、Identity and Access Managementソフトウェア用にインストールする必要のあるスキーマを示します。RCUの使用方法の詳細は、最新のOracle Fusion Middleware 11gリリース1 (11.1.1)ドキュメント・ライブラリにあるRCUのマニュアルを参照してください。 RCUの使用方法の概要は、Oracle Software Delivery CloudのOracle Identity and Access Management 11gリリース2 (11.1.2)のメディア・パックの一部として入手可能な特定のRCUバージョンをダウンロードして使用する場合にかぎり、有効です。

RCUを実行する前に、データベース接続文字列、ポート、管理者の資格証明およびサービス名を用意してください。

RCUを実行する場合、インストールするOracle Identity and Access Managementコンポーネントに対して、次のスキーマのみを作成してロードします。RCUで利用できる他のいずれのスキーマも選択しないでください。

• Oracle Identity Managerの場合、Identity Management - Oracle Identity Managerスキーマを選択します。Identity Management - Oracle Identity Managerスキーマを選択した場合、次のスキーマもデフォルトで選択されます。

  • SOAインフラストラクチャ

  • ユーザー・メッセージング・サービス

  • AS共通スキーマ - Oracle Platform Security Services

  • AS共通スキーマ - メタデータ・サービス

• Oracle Adaptive Access Managerの場合、Identity Management - Oracle Adaptive Access Managerスキーマを選択します。Identity Management - Oracle Adaptive Access Managerスキーマを選択した場合、次のスキーマもデフォルトで選択されます。

  • AS共通スキーマ - Oracle Platform Security Services

  • AS共通スキーマ - メタデータ・サービス

  • AS共通スキーマ - 監査サービス

  パーティション・スキーマ・サポート付きのOracle Adaptive Access Managerの場合、Identity Management - Oracle Adaptive Access Manager(パーティション・サポート)スキーマを選択します。Identity Management - Oracle Adaptive Access Manager (Partition Supp...)スキーマを選択した場合、次のスキーマもデフォルトで選択されます。

  • AS共通スキーマ - Oracle Platform Security Services

  • AS共通スキーマ - メタデータ・サービス

  • AS共通スキーマ - 監査サービス

  
  

  注意: Oracle Adaptive Access Managerのスキーマ・パーティションの詳細は、付録L「Oracle Adaptive Access Managerパーティション・スキーマ・リファレンス」を参照してください。

  
  

• Oracle Access Managementの場合、Identity Management - Oracle Access Managerスキーマを選択します。Identity Management - Oracle Access Managerスキーマを選択した場合、次のスキーマもデフォルトで選択されます。

  • AS共通スキーマ - Oracle Platform Security Services

  • AS共通スキーマ - メタデータ・サービス

  • AS共通スキーマ - 監査サービス

  
  

  注意: Oracle Access Managementに透過型データ暗号化(TDE)を使用する場合は、Oracle Access Managementスキーマを作成する前に、Oracle Access ManagementにTDEを設定する必要があります。詳細は、第6.4項「オプション: データベースのTDEの有効化」を参照してください。

  
  

• Oracle Entitlements Serverの場合、AS共通スキーマ - Oracle Platform Security Servicesスキーマを選択します。

• Oracle Privileged Account Managerの場合、Identity Management - Oracle Privileged Account Managerスキーマを選択します。デフォルトでは、AS共通スキーマ - Oracle Platform Security Servicesスキーマも選択されます。

  
  

  注意: Oracle Privileged Account Managerスキーマを作成するには、データベース・ユーザーにSYSDBA権限が必要となります。

  
  

注意: スキーマを作成する場合、RCUに表示されるスキーマ・オーナーとパスワードを決して忘れないでください。Oracle Identity and Access Management製品を構成する場合、スキーマ所有者とパスワードの情報を指定する必要があります。 Oracle Database Vaultがインストールされているデータベースにスキーマを作成する場合、CREATE USER、ALTER USER、DROP USER、CREATE PROFILE、ALTER PROFILEおよびDROP PROFILEなどの文は、DV_ACCTMGRロールを持つユーザーのみが発行できます。「アカウント/プロファイルを保守可能」ルール・セットを変更して発行できるようにした場合にかぎり、SYSDBAがこれらの文を発行できます。

3.2.4 WebLogic Serverおよびミドルウェア・ホーム要件

Oracle Identity and Access Management 11g リリース2 (11.1.2.2.0)コンポーネントをインストールする前に、Oracle WebLogic Serverをインストール済でミドルウェア・ホームを作成済であることを確認する必要があります。

注意: 64ビットのプラットフォームで汎用jarファイルを使用してOracle WebLogic Serverをインストールすると、JDKはOracle WebLogic Serverと同時にインストールされません。Oracle WebLogic Serverをインストールする前に、JDKを個別にインストールする必要があります。 選択しているJDKバージョンがJava SE 6 Update 24以上であることを確認してください。

Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。

注意: WebLogicドメインは、ミドルウェア・ホームの下のuser_projectsディレクトリ内にあるdomainsというディレクトリ内にデフォルトで作成されます。WebLogic管理ドメインでOracle Identity and Access Management製品を構成すると、ドメインの新しいディレクトリがdomainsディレクトリに作成されます。また、applicationsというディレクトリがuser_projectsディレクトリに作成されます。このapplicationsディレクトリには、ドメインにデプロイされたアプリケーションが含まれます。

3.2.5 Oracle SOA Suite (Oracle Identity Managerユーザーのみ)のインストール

Oracle Identity Managerをインストールしている場合、Oracle SOA Suite 11gリリース1 (11.1.1.7.0)をインストールする必要があります。Oracle Identity Managerのみ、Oracle SOA Suiteを必要とします。この手順が必要な理由は、Oracle Identity ManagerはOracle SOA Suiteのプロセス・ワークフローを使用してリクエスト承認を管理するためです。

Oracle SOA Suiteのインストールの詳細は、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suiteインストレーション・ガイド』を参照してください。

注意: Oracle Identity and Access Managementコンポーネントをインストールする前に、すでにミドルウェア・ホームが作成されている場合、再度ミドルウェア・ホームを作成する必要はありません。Oracle SOA Suiteのインストールには、同じミドルウェア・ホームを使用する必要があります。

Oracle Identity ManagerのSOAパッチ要件

Oracle SOA Suite 11.1.1.7.0をインストールした後、Oracle Identity Managerをインストールする前に必須SOAパッチを適用する必要があります。パッチの詳細は、11gリリース2『Oracle Fusion Middlewareリリース・ノート』のOracle Identity Managerのインストールに必要な必須パッチに関する項を参照してください。

3.2.6 Oracle Identity and Access Managementインストーラの起動

この項では、Oracle Identity and Access Managementインストーラの起動方法について説明します。

次のいずれかのコマンドを実行して、インストーラを起動します。

UNIXの場合:

cd unpacked_archive_directory/Disk1
./runInstaller -jreLoc JRE_LOCATION

Windowsの場合:

cd unpacked_archive_directory\Disk1
setup.exe -jreLoc JRE_LOCATION

注意: インストーラにより、システム上にインストールされているJREへの絶対パスの入力が求められます。Oracle WebLogic Serverのインストール時に、ミドルウェア・ホームの下にjdkディレクトリが作成されます。インストーラを起動するときに、このJDKの中にあるJREフォルダの絶対パスを入力する必要があります。たとえば、Windowsで、JDKがC:\MW_HOME\jdkに存在する場合、次のようにしてインストーラをコマンド・プロンプトから起動します。 <full path to the setup.exe directory>\setup.exe -jreLoc C:\MW_HOME\jdk\jre Oracle JRockit JDKの使用時にコマンド行で-jreLocオプションを指定しないと、次の警告メッセージが表示されます。 -XX:MaxPermSize=512mは有効なVMオプションではありません。無視します。 この警告メッセージは、インストールには影響しません。インストールを続行できます。 64ビットのプラットフォームで汎用jarファイルを使用してOracle WebLogic Serverをインストールすると、jdkディレクトリはミドルウェア・ホームの下には作成されません。JDKが格納されているJREフォルダの絶対パスを入力する必要があります。

3.2.7 Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストール

この項では、Oracle Identity and Access Management 11gソフトウェアのインストール方法を説明します。このソフトウェアには、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Identity Navigator、Oracle Entitlements Server、Oracle Privileged Account ManagerおよびOracle Access Management Mobile and Socialが付属しています。

次の項が含まれます:

• インストールされる製品

• 依存関係

• 手順

• インストール後のディレクトリ構造の理解

3.2.7.1 インストールされる製品

この項のインストールを実行すると、次の製品がインストールされます。

• Oracle Identity Manager

• Oracle Access Management

  
  

  注意: Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)には、次のサービスを含むOracle Access Managementスイートが含まれます。 Oracle Access Manager Oracle Access Management Security Token Service Oracle Access Management Identity Federation Oracle Access Management Mobile and Social アイデンティティ・コンテキスト これらのサービスの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle Access Management Servicesの理解に関する項を参照してください。 Oracle Access Management Mobile and Socialの概要については、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の「Mobile and Socialの理解」の章を参照してください。

  
  

• Oracle Adaptive Access Manager

  
  

  注意: Oracle Identity and Access Management 11.1.2.2.0では、Oracle Adaptive Access Managerに次の2つのコンポーネントが含まれます。 Oracle Adaptive Access Manager(オンライン) Oracle Adaptive Access Manager (オフライン)

  
  

• Oracle Identity Navigator

• Oracle Entitlements Server

  
  

  注意: Oracle Identity and Access Managementをインストールする際にインストールされるのは、Oracle Entitlements Serverの管理サーバーのみです。 Oracle Entitlements Serverクライアントをインストールおよび構成する方法は、第8.5項「Oracle Entitlements Serverクライアントのインストール」を参照してください。

  
  

• Oracle Privileged Account Manager

  
  

  注意: Oracle Privileged Account Managerの概要については、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のOracle Privileged Account Managerの理解に関する項を参照してください。

  
  

3.2.7.2 依存関係

この項のインストールは、次のものに依存しています。

• Oracle WebLogic Server 11gリリース1 (10.3.6)

• Oracle Databaseとそれに必要なパッチ

• Oracle SOA Suite 11.1.1.7.0 (Oracle Identity Managerのみで必須)

• JDK (Java SE 6 Update 24以降)またはJRockit

3.2.7.3 手順

Oracle Identity and Access Management Suiteと付属のOracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Identity Navigator、Oracle Entitlements Server、Oracle Privileged Account ManagerおよびOracle Access Management Mobile and Socialをインストールするには、次の手順を実行します。

1. 第3.2.6項「Oracle Identity and Access Managementインストーラの起動」のすべての手順を実行してインストールを開始します。手順を完了すると、「ようこそ」画面が表示されます。

2. 「ようこそ」画面で「次へ」をクリックします。ソフトウェア更新のインストール画面が表示されます。更新を検索するかどうかを選択します。「次へ」をクリックします。「前提条件のチェック」画面が表示されます。すべての前提条件の確認が完了したら、「次へ」をクリックします。「インストール場所の指定」画面が表示されます。

3. 「インストール場所の指定」画面で、Oracle WebLogic Server 11gリリース1 (10.3.6)をシステム上にインストールした際に作成されたOracleミドルウェア・ホームへのパスを入力します。

   
   

   注意: 「インストール場所の指定」画面で有効なミドルウェア・ホーム・ディレクトリを指定しなかった場合、インストーラにより、Oracle Identity Manager Design ConsoleおよびOracle Identity Manager Remote Managerのみのインストールを続行することを確認するメッセージおよびプロンプトが表示されます。Oracle Identity Managerのこれらの2つのコンポーネントには、ミドルウェア・ホーム・ディレクトリは必要ありません。 Oracle Identity Manager Design ConsoleまたはRemote Managerのみをインストールする場合、Oracle WebLogic Serverをインストールしたり、Design ConsoleまたはRemote Managerが構成されるマシンにミドルウェア・ホーム・ディレクトリを作成する必要はありません。 Oracle Identity Manager Design ConsoleまたはRemote Managerを使用する前に、管理サーバーが実行されているマシン上でOracle Identity Managerサーバーを構成する必要があります。Design ConsoleまたはRemote Managerを別のマシンに構成する際に、Oracle Identity ManagerサーバーのホストおよびURL情報を指定できます。

   
   

4. 「Oracleホーム・ディレクトリ」フィールドで、ミドルウェア・ホームの下に作成されるOracleホーム・フォルダの名前を入力します。このドキュメントでは、このディレクトリをIAM_HOMEとも呼びます。

   
   

   注意: Oracle Identity and Access Management Suiteのインストールで入力するOracleホームの名前は、Oracle Identity Management Suiteで入力するOracleホームの名前とは異なっている必要があります。 Oracle Identity Management 11gリリース1はOracle Fusion Middlewareの一部であり、Oracle Internet Directory、Oracle Virtual Directory、Oracle Directory Services Manager、Oracle Directory Integration PlatformおよびOracle Identity Federationなどのコンポーネントが含まれます。

   
   

   「次へ」をクリックします。「インストール・サマリー」画面が表示されます。

5. 「インストール・サマリー」画面には、選択内容のサマリーが表示されます。このサマリーを確認し、インストールを開始するかどうかを決定します。この段階でいずれかの構成設定を変更する場合は、左のナビゲーション・ページでトピックを選択し、選択内容を変更します。

   「保存」をクリックして、インストールのレスポンス・ファイルを保存します。このファイルには、インストーラのプロンプトとフィールドに対するレスポンスが含まれます。このレスポンス・ファイルを使用して、サイレント・インストールを実行できます。

   Oracle Identity and Access Managementのインストールを続行するには、「インストール」をクリックします。

6. 「インストールの進行状況」画面が表示されます。インストールの進行状況をモニターします。インストール・ログ・ファイルの場所が参照用にリストされます。インストールの進行状況が100%に達したら、「OK」をクリックします。

   
   

   注意: インストールの進行中にインストールを取り消した場合または中断した場合は、Oracle Identity and Access Managementソフトウェアを再インストールする前に、まずIAM_HOMEディレクトリを手動で削除する必要があります。 インストール処理のいずれかの段階でオンライン・ヘルプを起動するには、インストール・ウィザード画面の「ヘルプ」をクリックします。

   
   

7. 「インストール 完了」画面が表示されます。「保存」をクリックして、インストールのサマリー・ファイルを保存します。このファイルには、インストール・ディレクトリの場所など、インストールに関する情報が含まれ、構成および管理を開始する際に役立ちます。

   
   

   注意: インストールのサマリー・ファイルは、デフォルトでは保存されません。保持するには「保存」をクリックしてください。

   
   

   「終了」をクリックしてインストーラを終了します。

   このインストール処理により、Identity Managementソフトウェアがシステムにコピーされ、ミドルウェア・ホームの下にIAM_HOMEディレクトリが作成されます。

   Oracle Identity and Access Managementソフトウェアのインストール後、第3.2.8項「Oracle Identity and Access Management (11.1.2.2.0)製品の構成」に進み、新規または既存のWebLogicドメインでOracle Identity and Access Management製品を構成する必要があります。

3.2.7.4 インストール後のディレクトリ構造の理解

この項では、Oracle WebLogic ServerおよびOracle Identity and Access Managementのインストール後のディレクトリ構造を説明します。

Oracle Identity and Access Management Suiteをインストールすると、Oracle_IDM1などのOracle Identity and Access ManagementのOracleホーム・ディレクトリがミドルウェア・ホームの下に作成されます。このドキュメントでは、このホーム・ディレクトリをIAM_HOMEとも呼びます。

インストール・ディレクトリの特定の詳細は、第2.3項「インストール・ディレクトリの特定」を参照してください。

3.2.8 Oracle Identity and Access Management (11.1.2.2.0)製品の構成

Oracle Identity and Access Management 11gがインストールされた後はいつでも、Oracle Identity and Access Managementコンポーネント向けのWebLogic Server管理ドメインを構成できます。ドメインには、管理サーバーと呼ばれる特別なWebLogic Serverインスタンスが含まれます。これは、ドメイン内のすべてのリソースを構成、管理する中心ポイントです。

Oracle Identity and Access Management 11.1.2.2.0コンポーネントを構成する際に、次のいずれかの構成オプションを選択できます。

• 新規ドメインの作成

• 既存ドメインの拡張

注意: Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)製品をサポートするために、Oracle Identity Management 11gリリース1 (11.1.1.6.0)のドメインは拡張しないでください。

Oracle Fusion Middleware構成ウィザードを使用して、WebLogicドメインを作成するか、既存のドメインを拡張します。

IAM_HOME/common/bin/config.shスクリプト(UNIXの場合)またはIAM_HOME\common\bin\config.cmd (Windowsの場合)を実行することでOracle Fusion Middleware構成ウィザードを起動します。

新規ドメインの作成

新規WebLogic Serverドメインを作成するには、Oracle Fusion Middleware構成ウィザードの「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。

既存ドメインの拡張

既存のWebLogic Server管理ドメインにOracle Identity and Access Managementコンポーネントを追加するには、Oracle Fusion Middleware構成ウィザードの「ようこそ」画面で「既存のWebLogicドメインの拡張」オプションを選択します。

参照: Oracle WebLogic Server管理ドメインの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverドメイン構成の理解』の「Oracle WebLogic Serverドメインの理解」の章を参照してください。 また、構成ウィザードを使用してWebLogic Serverドメインを作成または拡張する方法の詳細は、『Oracle Fusion Middleware構成ウィザードによるドメインの作成』ガイドを参照してください。このドキュメントでは、Oracle Fusion Middleware構成ウィザード画面についても説明します。

Oracle Identity and Access Management製品に関するコンポーネント固有の構成情報は、次の章を参照してください。

• 第4章「Oracle Identity Navigatorの構成」

• 第5章「Oracle Identity Managerの構成」

• 第6章「Oracle Access Managementの構成」

• 第7章「Oracle Adaptive Access Managerの構成」

• 第8章「Oracle Entitlements Serverのインストールと構成」

• 第9章「Oracle Privileged Account Managerの構成」

• 第10章「Oracle Access Management Mobile and Socialの構成」

3.2.9 パッチ・セット・アシスタントを使用したOPSSスキーマのアップグレード

Oracle Identity and Access Management (11.1.2.2.0)のコンポーネントを構成したら、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」のRCUを使用して作成したOracle Platform Security Services (OPSS)スキーマをアップグレードする必要があります。

スキーマをアップグレードするには、次の手順を完了します。

• パッチ・セット・アシスタントの起動

• パッチ・セット・アシスタントのグラフィカル・インタフェースの使用

• スキーマのアップグレードの確認

3.2.9.1 パッチ・セット・アシスタントの起動

パッチ・セット・アシスタントを起動するには、次を実行します。

UNIXの場合:

1. コマンド行で次のコマンドを実行して、現在の作業ディレクトリからMW_HOME/oracle_common/binディレクトリに移動します。

   cd <MW_HOME>/oracle_common/bin
   

2. 次のコマンドを実行します。

   ./psa
   

Windowsの場合:

1. コマンド行で次のコマンドを実行して、現在の作業ディレクトリからMW_HOME\oracle_common\binディレクトリに移動します。

   cd <MW_HOME>\oracle_common\bin
   

2. 次のコマンドを実行します。

   psa.bat
   

3.2.9.2 パッチ・セット・アシスタントのグラフィカル・インタフェースの使用

パッチ・セット・アシスタント・インストーラを起動した後は、表3-2の手順に従ってスキーマを更新します。

表3-2 パッチ・セット・アシスタントの画面

画面	説明
ようこそ	このページがパッチ・セット・アシスタントの最初の画面です。
コンポーネントの選択	「コンポーネントの選択」画面で、Oracle Platform Security Servicesスキーマのみを選択する必要があります。 注意: 「コンポーネントの選択」画面にリストされている他のコンポーネントを選択しないでください。
前提条件	データベースの前提条件を満たしていることを確認します。
スキーマ	データベースに接続するためのデータベース資格証明を指定して、更新するスキーマを選択します。 この画面は、「コンポーネントの選択」画面で選択したコンポーネントに応じて、更新が必要なスキーマごとに1回表示されます。
調査	このページには、各コンポーネント・スキーマを調査する際のパッチ・セット・アシスタントのステータスが表示されます。スキーマの「ステータス」列に「成功」のインジケータが表示されていることを確認します。
アップグレード・サマリー	更新が必要なスキーマであることを確認します。
アップグレードの進行状況	この画面には、スキーマの更新の進行状況が表示されます。
アップグレード成功	アップグレードに成功すると、この画面が表示されます。

3.2.9.3 スキーマのアップグレードの確認

ログ・ファイルをチェックすることでスキーマのアップグレードを確認できます。パッチ・セット・アシスタントでは、次の場所にログ・ファイルが作成されます。

UNIXの場合:

MW_HOME/oracle_common/upgrade/logs/psa/psatimestamp.log

Windowsの場合:

MW_HOME\oracle_common\upgrade\logs\psa\psatimestamp.log

コンポーネントによっては、同じ場所にpsatimestamp.outという2次ログ・ファイルが作成されます。

timestampには、パッチ・セット・アシスタントが実行された実際の日時が反映されます。

パッチ・セット・アシスタントの実行時にいずれかの障害が発生した場合は、これらのログ・ファイルを使用して問題を診断し、修正できます。削除しないでください。ログ・ファイルの内容は、コマンド行から別の-logLevelを指定することで変更できます。

パッチ・セット・アシスタントで実行される処理のいくつかは、他の処理より時間がかかる場合があります。時間のかかるこれらの処理の進行状況を確認するには、ログ・ファイルでこの情報を確認するか、次の問合せを使用できます。

SELECT VERSION, STATUS, UPGRADED FROM SCHEMA_VERSION_REGISTRY WHERE OWNER='schema_name';

問合せ結果のSTATUSフィールドは、スキーマへのパッチ適用処理中はUPGRADINGまたはUPGRADEDに、処理が終了するとVALIDになります。

3.2.10 Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成

このセクションのトピックは次のとおりです:

• 概要

• データベース・セキュリティ・ストアを構成する前に

• データベース・セキュリティ・ストアの構成

• データベース・セキュリティ・ストアの構成のシナリオの例

3.2.10.1 概要

データベース・セキュリティ・ストアのみがOracle Identity & Access Management 11gリリース2 (11.1.2.2.0)によってサポートされるセキュリティ・ストア・タイプであるため、configureSecurityStore.pyスクリプトを実行してデータベース・セキュリティ・ストアを構成する必要があります。

configureSecurityStore.pyスクリプトはIAM_HOME\common\toolsディレクトリにあります。スクリプトの使用方法のヘルプ情報は、-hを使用して参照できます。すべての引数がデータベース・セキュリティ・ストアの構成に適用されるわけではありません。

例:

Windowsの場合:

<MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -h

UNIXの場合:

<MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -h

表3-3では、コマンド行で指定できるパラメータについて説明します。

表3-3 データベース・セキュリティ・ストアの構成パラメータ

パラメータ	説明
-d domaindir	ドメインが含まれているディレクトリの場所。
-m mode	create: 新しいデータベース・セキュリティ・ストアを作成する場合、createを使用します。 join: ドメインに既存のデータベース・セキュリティ・ストアを使用する場合、joinを使用します。 validate: セキュリティ・ストアが正しく構成されたかどうかを確認するには、validateを使用します。このコマンドにより、セキュリティ・ストアの初期作成時に作成された診断データを確認します。 validate_fix: セキュリティ・ストアに含まれる診断データを修正するには、validate_fixを使用します。 fixjse: JSEツールによるアクセスに使用されるドメインのデータベース・セキュリティ・ストアの接続情報を更新するには、fixjseを使用します。
-c configmode	ドメインの構成モード。データベース・セキュリティ・ストアを構成する場合、この値をIAMに指定する必要があります。 OESインストールに対する特別な指示: OESユーザーの場合は、-cパラメータはオプションです。この場合、デフォルト値はNoneです。 注意: -c <config>オプションが選択されている場合、OES管理サーバーは複合モードで構成され、制御されないモードおよび制御されたプル・モードのみでセキュリティ・モジュールにポリシーの配布ができます。 例: その他のOracle Identity and Access Managementコンポーネント(OIM、OAM、OAAM、OPAMまたはOIN)がデプロイされたドメインにOES管理サーバーがデプロイされた場合、ドメインは複合モードで構成されます。この場合、OES管理サーバーは、Oracle Identity and Access Managementポリシーの管理にのみ使用されます。OESセキュリティ・モジュールにより保護されている他のアプリケーションのポリシーの管理に使用できません。 -c <config>オプションが指定されていない場合、OES管理サーバーは制御されないモードで構成され、制御されたプッシュ・モードでセキュリティ・モジュールにポリシーを配布できます。 例: OESセキュリティ・モジュールにより保護されているカスタム・アプリケーションの管理にOES管理サーバーを使用する場合、OES管理サーバーは、制御されない配布モードでドメインにデプロイされる必要があります。
-p password	OPSSスキーマ・パスワード。
-k keyfilepath	暗号化鍵ファイルewallet.p12が含まれているディレクトリ。-m joinが指定されている場合、このオプションは必須です。
-w keyfilepassword	ドメインの鍵ファイルが生成された場合に使用されるパスワード。-m joinが指定されている場合、このオプションは必須です。
-u username	OPSSスキーマのユーザー名。-m fixjseが指定されている場合、このオプションは必須です。

3.2.10.2 データベース・セキュリティ・ストアを構成する前に

Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)の各ドメインには、データベース・セキュリティ・ストアを構成する必要があります。Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)ドメインのデータベース・セキュリティ・ストアを構成する前に、単一ドメイン・シナリオまたは複数ドメイン・シナリオで構成される製品を特定する必要があります。

注意: Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)の論理デプロイメント(論理デプロイメントとは、1つ以上のドメインで実行され、単一のデータベースを使用して製品スキーマを保持するOracle Identity and Access Management製品の集合体です)のドメイン数にかかわらず、すべてのドメインは同じデータベース・セキュリティ・ストアを共有し、同じドメインの暗号化鍵を使用します。 データベース・セキュリティ・ストアは最初のドメインの作成時に作成され、新しく作成される各ドメインはすでに作成されているデータベース・セキュリティ・ストアと結合されます。

3.2.10.3 データベース・セキュリティ・ストアの構成

ドメインを構成してデータベース・セキュリティ・ストアを使用するには、次のconfigureSecurityStore.pyオプションを使用できます。

• -m create

• -m join

createオプションを使用したデータベース・セキュリティ・ストアの構成

-m createオプションを使用してデータベース・セキュリティ・ストアを使用するドメインを構成するには、次のようにconfigureSecurityStore.pyを実行する必要があります。

Windowsの場合:

<MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <domaindir> -c IAM -p <opss_schema_password> -m create

例:

<MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <MW_Home>\user_projects\domains\base_domain -c IAM -p welcome1 -m create

UNIXの場合:

<MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <domaindir> -c IAM -p <opss_schema_password> -m create

例:

<MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <MW_Home>/user_projects/domains/base_domain -c IAM -p welcome1 -m create

joinオプションを使用したデータベース・セキュリティ・ストアの構成

-m joinオプションを使用してデータベース・セキュリティ・ストアを使用するドメインを構成するには、次のように最初に、すでにデータベース・セキュリティ・ストアと連携するように構成された同じOracle Identity and Access Management論理デプロイメントのドメインからドメインの暗号化鍵をエクスポートし、configureSecurityStore.pyスクリプトを実行する必要があります。

注意: すでにデータベース・セキュリティ・ストアと連携するように構成されたドメインから暗号化鍵をエクスポートするには、次のWLSTコマンドを使用します。 exportEncryptionKey(jpsConfigFile=<jpsConfigFile>,keyFilePath=<keyFilePath>,keyFilePassword=<keyFilePassword>) 各パラメータの意味は次のとおりです。 <jpsConfigFile> - 暗号化鍵のエクスポート元ドメインのjps-config.xmlファイルの絶対位置です。 <keyFilePath> - ewallet.p12ファイルが作成されるディレクトリです。このファイルの中身は暗号化され、keyFilePasswordによって保護されます。 <keyFilePassword> - ewallet.p12ファイルを保護するパスワードです。ファイルのインポート時にこのパスワードと同じものを使用する必要があります。

Windowsの場合:

1. 次に示すように、すでにデータベース・セキュリティ・ストアと連携するように構成されたドメインから暗号化鍵をエクスポートします。

   <MW_HOME>\oracle_common\common\bin\wlst.cmd exportEncryptionKey(jpsConfigFile=<jpsConfigFile>, keyFilePath=<keyFilePath>, keyFilePassword=<keyFilePassword>)
   

2. -m joinオプションを使用してconfigureSecurityStore.pyスクリプトを実行します。

   <MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <domaindir> -c IAM -p <opss_schema_password> -m join -k <keyfilepath> -w <keyfilepassword>
   

例:

<MW_HOME>\oracle_common\common\bin\wlst.cmd exportEncryptionKey(jpsConfigFile="<MW_HOME>\\user_projects\\domains\\base_domain\\config\\fmwconfig\\jps-config.xml", keyFilePath="myDir\\key" , keyFilePassword="password")

<MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <MW_Home>\user_projects\domains\base_domain1 -c IAM -p welcome1 -m join -k myDir -w password

UNIXの場合:

1. 次に示すように、すでにデータベース・セキュリティ・ストアと連携するように構成されたドメインから暗号化鍵をエクスポートします。

   <MW_HOME>/oracle_common/common/bin/wlst.cmd exportEncryptionKey(jpsConfigFile=<jpsConfigFile>, keyFilePath=<keyFilePath>, keyFilePassword=<keyFilePassword>)
   

2. -m joinオプションを使用してconfigureSecurityStore.pyスクリプトを実行します。

   <MW_HOME>/oracle_common/common/bin/wlst.cmd <IAM_HOME>/common/tools/configureSecurityStore.py -d <domaindir> -c IAM -p <opss_schema_password> -m join -k <keyfilepath> -w <keyfilepassword>
   

例:

<MW_HOME>/oracle_common/common/bin/wlst.cmd exportEncryptionKey(jpsConfigFile="<MW_HOME>/user_projects/domains/base_domain/config/fmwconfig/jps-config.xml", keyFilePath="myDir" , keyFilePassword="password")

<MW_HOME>/oracle_common/common/bin/wlst.cmd <IAM_HOME>/common/tools/configureSecurityStore.py -d <MW_Home>/user_projects/domains/base_domain1 -c IAM -p welcome1 -m join -k myDir -w password

データベース・セキュリティ・ストアの構成の確認

セキュリティ・ストアが適切に作成または結合されているかどうかを確認するには、次のように-m validateオプションを使用してconfigureSecurityStore.pyスクリプトを実行します。

Windowsの場合:

<MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <domaindir> -m validate

例:

<MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <MW_Home>\user_projects\domains\base_domain -m validate

UNIXの場合:

<MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <domaindir> -m validate

例:

<MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <MW_Home>/user_projects/domains/base_domain -m validate

3.2.10.4 データベース・セキュリティ・ストアの構成のシナリオの例

例として、次のシナリオについて考えてみます。

• 同じドメインに1つ以上のOracle Identity and Access Management製品がある場合のシナリオの例

• 異なるドメインにOracle Identity and Access Management製品がある場合のシナリオの例

3.2.10.4.1 同じドメインに1つ以上のOracle Identity and Access Management製品がある場合のシナリオの例

注意: 単一ドメインのシナリオでは、ドメインの作成後、ドメインが初回起動される前にデータベース・セキュリティ・ストアを作成するコマンドが一度実行されます。

シナリオ1: 同じデータベース・セキュリティ・ストアを共有する同じWebLogic管理ドメイン内のOracle Identity Manager、Oracle Access ManagementおよびOracle Adaptive Access Manager

このシナリオでは、次のタスクを完了する必要があります。

1. 表5-1「Oracle Identity Managerのインストールおよび構成フロー」で説明している手順を完了して、Oracle Identity ManagerおよびSOAの新しいWebLogicドメイン(例: oim_dom)を作成します。

   Oracle Identity ManagerおよびSOAの新しいWebLogicドメインを作成したら、次のようにconfigureSecurityStore.pyスクリプトを実行し、データベース・セキュリティ・ストアを構成します。

   Windowsの場合:

   <MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <MW_Home>\user_projects\domains\oim_dom -c IAM -p welcome1 -m create
   

   UNIXの場合:

   <MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <MW_Home>/user_projects/domains/oim_dom -c IAM -p welcome1 -m create
   

2. Oracle Identity Managerドメイン(oim_dom)を拡張し、Oracle Access ManagementおよびOracle Adaptive Access Managerを追加します。詳細は、「既存ドメインの拡張」を参照してください。

   Oracle Access ManagementおよびOracle Adaptive Access Managerは、Oracle Identity Managerドメイン(oim_dom)に追加され、Oracle Identity Managerドメインによって使用されているデータベース・セキュリティ・ストアと同じものを共有します。

3.2.10.4.2 異なるドメインにOracle Identity and Access Management製品がある場合のシナリオの例

注意: 複数ドメインのシナリオでは、最初のドメインの作成後、ドメインが初回起動される前にデータベース・セキュリティ・ストアを作成するコマンドが一度実行されます。 後続の各ドメインでは、ドメインの作成後、ドメインが初回起動される前に既存のデータベース・セキュリティ・ストアを連結するコマンドが一度実行されます。

• シナリオ1: 同じデータベース・セキュリティ・ストアを共有する異なるWebLogic管理ドメイン内のOracle Identity ManagerおよびOracle Access Management

  このシナリオでは、次のタスクを完了する必要があります。

  1. 表5-1「Oracle Identity Managerのインストールおよび構成フロー」で説明している手順を完了して、Oracle Identity ManagerおよびSOAの新しいWebLogicドメイン(例: oim_dom)を作成します。

     Oracle Identity ManagerおよびSOAの新しいWebLogicドメインを作成したら、次のようにconfigureSecurityStore.pyスクリプトを実行し、データベース・セキュリティ・ストアを構成します。

     Windowsの場合:

     <MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <MW_Home>\user_projects\domains\oim_dom -c IAM -p welcome1 -m create
     
     

     UNIXの場合:

     <MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <MW_Home>/user_projects/domains/oim_dom -c IAM -p welcome1 -m create
     

  2. 表6-1「Oracle Access Managementのインストールおよび構成のフロー」で説明している手順を完了して、Oracle Access Managementの新しいWebLogicドメイン(例:oam_dom)を作成します。

     Oracle Identity Managementの新しいWebLogicドメインを作成したら、次のようにOracle Identity Manager/SOAドメインからドメインの暗号化鍵をエクスポートし、configureSecurityStore.pyスクリプトを実行してデータベース・セキュリティ・ストアを構成します。

     Windowsの場合:

     <MW_HOME>\oracle_common\common\bin\wlst.cmd exportEncryptionKey(jpsConfigFile="<MW_Home>\\user_projects\\domains\\oim_dom\\config\\fmwconfig\\jps-config.xml", keyFilePath="myDir" ,keyFilePassword="password")
     
     <MW_HOME>\oracle_common\common\bin\wlst.cmd <IAM_HOME>\common\tools\configureSecurityStore.py -d <MW_Home>\user_projects\domains\oam_dom -c IAM -p welcome1 -m join -k myDir -w password
     

     UNIXの場合:

     <MW_HOME>/oracle_common/common/bin/wlst.sh exportEncryptionKey(jpsConfigFile="<MW_Home>/user_projects/domains/oim_dom/config/fmwconfig/jps-config.xml", keyFilePath="myDir" ,keyFilePassword="password")
     
     <MW_HOME>/oracle_common/common/bin/wlst.sh <IAM_HOME>/common/tools/configureSecurityStore.py -d <MW_Home>/user_projects/domains/oam_dom -c IAM -p welcome1 -m join -k myDir -w password
     

• シナリオ2: 以前データベース・セキュリティ・ストアに結合されたOracle Access Managementドメインを拡張してOracle Adaptive Access Managerを追加する

  このシナリオでは、Oracle Access Managementドメイン(oam_dom)を拡張して、Oracle Adaptive Access Managerを追加します。詳細は、「既存ドメインの拡張」を参照してください。

  Oracle Adaptive Access Managerは、Oracle Access Managementドメイン(oam_dom)に追加され、両方ともOracle Access Managerドメインによって使用されているデータベース・セキュリティ・ストアと同じものを共有します。

3.2.11 Oracle Identity Managerサーバー、Design ConsoleおよびRemote Managerの構成

Oracle Identity Managerを構成する場合、Oracle Identity Manager構成ウィザードを実行してOracle Identity Managerサーバーを構成する必要があります。詳細は、第5.9項「Oracle Identity Managerサーバーの構成」を参照してください。

必要に応じて、Oracle Identity Manager Design ConsoleおよびOracle Identity Manager Remote Managerも構成できます。詳細は、次の項を参照してください。

• 第5.10項「オプション: Oracle Identity Manager Design Consoleの構成」

• 第5.11項「オプション: Oracle Identity Manager Remote Managerの構成」

3.2.12 サーバーの起動

Oracle Identity and Access Managementをインストールおよび構成した後、Oracle WebLogic Administration Serverおよび様々な管理対象サーバーを実行する必要があります。第C.1項「スタックの起動」を参照してください。

注意: WebLogicドメインは、データベース・セキュリティ・ストアが構成されるまで起動しません。