Oracle® Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.2.0) B69541-08 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerを構成する方法について説明します。次のトピックが含まれます:
Oracle Privileged Account Managerの概要については、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のOracle Privileged Account Managerの理解に関する項を参照してください。
このガイドで説明されるいずれかのシナリオでOracle Identity and Access Management製品のインストールおよび構成が開始される前に、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Identity Navigator、Oracle Privileged Account ManagerおよびOracle Access Management Mobile and Socialを含むOracleホーム・ディレクトリを参照するために、IAM_Homeが使用されます。このOracleホーム・ディレクトリには任意の名前を指定できます。
表9-1は、Oracle Privileged Account Managerのインストールおよび構成のタスクを示します。
表9-1 Oracle Privileged Account Managerのインストールおよび構成のフロー
番号 | タスク | 説明 |
---|---|---|
1 |
インストレーション・プランニング・ガイドでインストール概念を確認します。 |
『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』を読みます。このドキュメントには、ユーザーの既存の環境に応じて、様々なユーザーがOracle Fusion Middleware 11g (11.1.2)をインストールまたはアップグレードする手順が記載されています。 |
2 |
システム要件および動作保証のドキュメントを読み、環境がインストールするコンポーネントの最低のインストール要件を満たしていることを確認します。 |
詳細は、第2.1項「システム要件および動作保証の確認」を参照してください。 |
3 |
Oracle Fusion Middlewareソフトウェアを入手します。 |
詳細は、第3.2.1項「Oracle Fusion Middlewareソフトウェアの入手」を参照してください。 |
4 |
データベース要件を確認します。 |
詳細は、第3.2.2項「データベース要件」を参照してください。 |
5 |
Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用して、Oracle Identity and Access Management製品に対する適切なスキーマを作成し、ロードします。 |
詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。 注意: Oracle Privileged Account Managerスキーマを作成するには、データベース・ユーザーに |
6 |
WebLogic Serverおよびミドルウェア・ホームの要件を確認します。 |
詳細は、第3.2.4項「WebLogic Serverおよびミドルウェア・ホーム要件」を参照してください。 |
7 |
Oracle Identity and Access Managementインストーラを起動します。 |
詳細は、第3.2.6項「Oracle Identity and Access Managementインストーラの起動」を参照してください。 |
8 |
Oracle Identity and Access Management 11gソフトウェアをインストールします。 |
Oracle Privileged Account Managerは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management Suiteをインストールするには、Oracle Identity and Access Management 11gインストーラを使用します。 詳細は、第3.2.7項「Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストール」を参照してください。 |
9 |
オプション: OPAMデータ・ストアでのTDEの有効化 |
詳細は、第9.4項「オプション: Oracle Privileged Account Managerデータ・ストアのTDEの有効化」を参照してください。 |
10 |
Oracle Fusion Middleware構成ウィザードを実行して、新規または既存のWebLogicドメイン内でOracle Identity and Access Management製品を構成します。 |
詳細は、第9.5項「新しいWebLogicドメインでのOracle Privileged Account ManagerおよびOracle Identity Navigatorの構成」を参照してください。 |
11 |
パッチ・セット・アシスタントを使用してOPSSスキーマをアップグレードします。 |
詳細は、第3.2.9項「パッチ・セット・アシスタントを使用したOPSSスキーマのアップグレード」を参照してください。 |
12 |
データベース・セキュリティ・ストアを構成します。 |
詳細は、第3.2.10項「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。 |
13 |
インストール後のタスクを実行してください。 |
次のインストール後のタスクを実行してください。 |
Oracle Privileged Account Managerは、Oracle Database等価的データ暗号化(TDE)モードで動作可能です。TDEモードは有効にすることも無効にすることもできます。セキュリティを強化するためにTDEモードを有効にすること強くお薦めします。
この項には次のトピックが含まれます:
Oracle Privileged Account ManagerのデータベースでのTDE(透過的データ暗号化)の有効化の詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化の有効化に関するトピックを参照してください。
詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化を使用したストアド・データの保護に関する項を参照してください。
Oracle Privileged Account ManagerのデータベースでTDEを有効化したら、OPAMスキーマの暗号化を有効にする必要があります。第9.4.2項「OPAMスキーマでの暗号化の有効化」を参照してください。
OPAMスキーマの暗号化を有効にするには、sqlplusまたはその他のクライアントを使用してOPAMスキーマ・ユーザーでopamxencrypt.sql
スクリプトを実行します。
IAM_HOME
/opam/sql/opamxencrypt.sql
次に例を示します。
sqlplus DEV_OPAM/welcome1 @IAM_HOME
/opam/sql/opamxencrypt.sql
このトピックでは、新しいWebLogic管理ドメインにOracle Privileged Account ManagerおよびOracle Identity Navigatorを構成する方法を説明します。次の項が含まれます:
新しいWebLogicドメインにOracle Identity NavigatorとともにOracle Privileged Account Managerを構成し、Oracle Identity Navigatorの検出機能を実行する場合、このトピックの構成を実行してください。この機能により、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account Managerの製品コンソールへのリンクが移入されます。これにより、個々の製品コンソールURLを覚えていなくても、Oracle Identity Navigatorインタフェースからこれらの製品コンソールにアクセスできます。
この項の構成を実行することで、Oracle Privileged Account ManagerおよびOracle Identity Navigatorアプリケーションが新しいWebLogicドメインにデプロイされます。
この項の構成は、次のものに依存しています。
Oracle WebLogic Server 11gリリース1 (10.3.6)
Oracle Identity and Access Management 11gソフトウェアのインストール。
Oracle Privileged Account Managerのデータベース・スキーマ。詳細は、第3.2.3項「Oracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用したデータベース・スキーマの作成」を参照してください。
新しいWebLogic管理ドメインにOracle Privileged Account ManagerおよびOracle Identity Navigatorを構成するには、次の手順を実行します。
IAM_HOME/
common/bin/config.sh
スクリプト(UNIXの場合)またはIAM_HOME\
common\bin\config.cmd
(Windowsの場合)を実行することでOracle Fusion Middleware構成ウィザードを起動します。
Oracle Fusion Middleware構成ウィザードの「ようこそ」画面が表示されます。
注意: ここでは例として、 |
「ようこそ」画面で「新しいWebLogicドメインの作成」を選択し、「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Privileged Account Manager - 11.1.2.0.0 [IAM_Home]を選択します。
注意: Oracle Privileged Account Manager - 11.1.2.0.0 [IAM_Home]オプションを選択すると、デフォルトで次のオプションも選択されます。
|
「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogic
です。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」を選択します。「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、OPAMスキーマまたはOPSSスキーマなど、変更するコンポーネント・スキーマを選択します。
スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、次を構成できます。
管理サーバー
管理対象サーバー、クラスタ、およびマシン
デプロイメントとサービス
RDBMSセキュリティ・ストア
任意のオプションを選択し、「次」を選択します。
オプション: 次の管理サーバー・パラメータを構成します。
名前
リスニング・アドレス
リスニング・ポート
SSLリスニング・ポート
SSLが有効か無効か
オプション: 必要に応じて、管理対象サーバーを構成します。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、『Oracle Fusion Middleware高可用性ガイド』のOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
ヒント: マシンを構成する前に、 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、デプロイメント、アプリケーションおよびサービスの構成のサマリーを確認できます。ドメインの構成を確認し、「作成」をクリックしてドメインの作成を開始します。
Oracle Privileged Account ManagerおよびOracle Identity Navigatorをサポートする新しいWebLogicドメインがMW_HOME
\user_projects\domains
ディレクトリに作成されます(Windowsの場合)。UNIXでは、ドメインはMW_HOME
/user_projects/domains
ディレクトリに作成されます。
注意: 新しいWebLogic管理ドメインでOracle Privileged Account Managerを構成したら、サーバーを起動する前に、次の項に説明されている手順を完了する必要があります。 |
Oracle Privileged Account Managerをインストールおよび構成した後、Oracle WebLogic管理サーバーを起動する必要があります。付録C「スタックの起動」を参照してください。
Oracle Privileged Account Managerをインストールおよび構成した後、opam-config.sh
スクリプト(UNIXの場合)またはopam-config.bat
スクリプト(Windowsの場合)を実行します。
スクリプトを実行する前に、WebLogic管理サーバーが稼働中であることを確認します。Oracle WebLogic管理サーバーの起動方法の詳細は、付録C「スタックの起動」を参照してください。
注意: ドメインを拡張する場合、 |
ANT_HOME
、ORACLE_HOME
、JAVA_HOME
およびpermgen
サイズを設定します。
例:
Windowsの場合:
set ORACLE_HOME= ##set Oracle_Home here## set ANT_HOME=MW_HOME\modules\org.apache.ant_1.7.1 set JAVA_HOME=MW_HOME\jdk160_14_R27.6.4-18 set ANT_OPTS=-Xmx512M -XX:MaxPermSize=512m
UNIXの場合:
set ORACLE_HOME ##set Oracle_Home here## set ANT_HOME $MW_HOME/modules/org.apache.ant_1.7.1 set JAVA_HOME $MW_HOME/jdk160_14_R27.6.5-32 set ANT_OPTS "-Xmx512M -XX:MaxPermSize=512m"
注意: 64ビットのプラットフォームで汎用jarファイルを使用してOracle WebLogic Serverをインストールすると、JDKはOracle WebLogic Serverと同時にインストールされません。Oracle WebLogic Serverをインストールする前に、JDKを個別にインストールする必要があります。この場合は、対応して |
IAM_HOME
/opam/bin
ディレクトリに移動し、opam-config.sh
スクリプト(UNIXの場合)またはopam-config.bat
スクリプト(Windowsの場合)を実行します。プロンプトが表示されたら、次の情報を入力します。
Oracle WebLogic管理ユーザー名
Oracle WebLogic管理パスワード
Oracle WebLogic管理サーバーURL
Oracle WebLogicドメイン名
注意: Oracle WebLogicドメイン名は大文字と小文字が区別されます。ドメインの作成時に定義した値と同じものを入力する必要があります。 |
Oracleミドルウェア・ホーム
注意: Oracleミドルウェア・ホームは大文字と小文字が区別されます。ドメインの作成時に定義した値と同じものを入力する必要があります。 |
opam-config
スクリプトのログ・ファイルがMW_HOME
/user_projects/domains/
Domain_Name
/opam-config.log
に作成されます。
前述のディレクトリが存在しない場合は、opam-config
スクリプトのためのログ・ファイルがIAM_HOME
/opam/config/opam-config.log
に作成されます。
ログ・ファイルの場所はスクリプトの実行後に画面に出力されます。
注意:
|
付録C「スタックの起動」の説明に従って、Oracle Privileged Account Manager管理対象サーバーを起動する必要があります。
インストール・プロセスを完了すると、管理者ロールを持つユーザーは存在しません。Oracle Identity Navigatorを使用して、ユーザーを選択し、そのユーザーにアプリケーション構成者ロールを付与することができます。
注意: 詳細は、『Oracle Fusion Middleware Oracle Identity Navigator管理者ガイド』の共通管理者ロールの割当てに関する項を参照してください。 アプリケーション構成者ユーザーが持つことができる管理ロールの詳細は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』の管理ロール・タイプに関する項を参照してください。 |
注意: Oracle Privileged Account Managerは、Oracle Database等価的データ暗号化(TDE)モードで動作可能です。TDEモードは有効にすることも無効にすることもできます。セキュリティを強化するためにTDEモードを有効にすること強くお薦めします。 |
TDEモードを無効にする場合は、tdemode
フラグをfalse
に設定する必要があります。
注意: このセクションに説明されている手順は、第9.4項「オプション: Oracle Privileged Account Managerデータ・ストアのTDEの有効化」をスキップした場合のみ必要です。 |
TDEモードを無効にするには、次の手順を実行します。
ORACLE_HOME
およびJAVA_HOME.
環境変数を設定します。
次のスクリプトを実行します。
Windowsの場合:
ORACLE_HOME
\opam\bin\opam.bat -urlOPAM_Server_URL
-x modifyglobalconfig -propertyname tdemode -propertyvalue false -uOPAM_APPLICATION_CONFIGURATOR_USER
-pPassword
ここでは、OPAM_Server_URL
にはhttps://
OPAM_Managed_Server_Hostname
:OPAM_Managed_Server_SSL_port
/opam
からのURLを指定します。
UNIXの場合:
ORACLE_HOME
/opam/bin/opam.sh -urlOPAM_Server_Url
-x modifyglobalconfig -propertyname tdemode -propertyvalue false -uOPAM_APPLICATION_CONFIGURATOR_USER
-pPassword
ここでは、OPAM_Server_URL
にはhttps://
OPAM_Managed_Server_Hostname
:OPAM_Managed_Server_SSL_port
/opam
からのURLを指定します。
注意: TDEモードは、Oracle Privileged Account Managerをインストールおよび構成した後、いつでも有効化または無効化できます。TDEモードを後から変更する方法の詳細は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のディスクへのデータ保存に関するトピックを参照してください。 |
アプリケーション構成者ユーザーが、次のURLを使用してログインした場合:
http://<opam-managedserver-host>:<opam-managedserver-nonsslport>/oinav/opam
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーの接続設定を自動検出し、Oracle Privileged Account Managerコンソールにコンテンツが移入されます。
アプリケーション構成者ユーザーは、サーバー接続設定を変更するために、左側のペインにある「構成」オプションに移動して、「サーバー接続」をクリックできます。このユーザーは、「サーバー接続」タブで、新しいホストとポートを指定できます。
インストール後手順を含め、インストール・プロセスの完了後、Oracle Privileged Account Managerのインストールと構成を次の方法で検証できます。
次のURLを使用して、Oracle Privileged Account Manager Serverが起動して稼働していることを確認します。
https://<opam-managedserver-host>:<opam-managedserver-sslport>/opam
ユーザー名とパスワードの入力が求められます。WebLogicのユーザー名とパスワードを入力します。次の結果が表示されます。
{
ServerState: {
Status: "Oracle Privileged Account Manager Server is up!",
StatusCode: 0
},
Requestor: "WebLogic_username
",
RequestorGroups: [
"Administrators"
]
}
次のURLを使用して、Oracle Privileged Account Managerの管理コンソールにログインします。
http://<opam-managedserver-host>:<opam-managedserver-nonsslport>/oinav/opam
OPAM管理対象サーバー上で稼動しているこの管理コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。管理者のロールと権限を持っている必要があります。
Oracle WebLogic Server管理コンソールを検証します。Oracle Privileged Account Managerのインストールおよび構成に成功すると、このコンソールに、デフォルトの管理対象サーバーであるopam_server1
が実行モードで表示されます。
「ドメイン構造」ペインで「デプロイメント」をクリックします。「デプロイメント」表に次のアプリケーションがリストされ、状態がActive
になる必要があります。
oinav
opam
opamsessionmgr
Oracle Privileged Account Managerのインストール後、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』の「OPAMの管理のスタート・ガイド」の章を参照ください。