4 Oracle Identity Managerデプロイメント

この章には、LDAPを使用してOracle Identity Managerをデプロイする必要があるお客様のためのチェックリストが記載されています。

表4-1 Oracle Identity Managerデプロイメント・チェックリスト

要件	確認後チェックを記入
サポートされているOracle Database、Oracle MiddlewareホームおよびLDAPインストールが使用可能であることを確認します。
インストール・フェーズで、リポジトリ作成ユーティリティを実行してOracle Identity Managerおよびその依存スキーマを作成した後、APM-UIクラスタを使用して認可ポリシーまたはアプリケーション・ストライプが適切にシードされていることを確認します。
Oracle Identity ManagerおよびSOAのポートが使用されていないことを確認します。デフォルトでは、Oracle Identity Managerサーバーは`14000`を使用し、SOAサーバーは`8001`を使用します。
Oracle Identity Manager構成ウィザードを実行する前に、データベース・ベースのOPSSセキュリティ・ストアの構成が完了していることを確認します。
オペレーティング・システムで大きいページがサポートされ、有効化されている場合、JVMが次のように構成されていることを確認します。引数: `-XX:+UseLargePages` (HotSpot JVMの場合) `-XX:+UseLargePagesForHeap` `-XX:+ForceLargePagesForHeap` (JRockit JVMの場合) JRockit JVMでは、大きいページが有効化されている場合、引数を使用しないでください。 `-XX:+UseLargePagesForCode`
Oracle Identity Managerは、Oracle Web Logic ServerにデプロイされているApplicationDB、oimOperationsDBおよびoimJMSStoreDSのデータ・ソースを使用します。一般的なガイドラインとして、次のようにこれらのデータ・ソースの容量を増加してください。 Initial Capacity=50、Minimum Capacity=50、Max Capacity=150およびInactive time out=30 環境に適した容量値の決定の詳細は、My Oracle SupportのOracle Identity Manager (OIM)パフォーマンス・チューニング・ガイドラインおよび診断取集(ドキュメントID 1539554.1)を参照してください。
メッセージ・バッファ・サイズおよび最大メッセージのプロパティのデフォルト値が、推奨値の200MB (209715200バイト)および400000に変更されていることを確認します。
ワーク・マネージャOIMMDBWorkManagerおよびOIMUIWorkManagerの最大スレッド制約プロパティが、それぞれ`80`および`20`に設定されていることを確認します。
検索可能なユーザー定義属性(UDF)のためのデータベース索引が存在することを確認します。
『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のOracle Identity ManagerのJVMメモリー設定に関する項およびUNIXのオープン・ファイル・ディスクリプタ数の変更(オプション)に関する項に記載されたSOA JVMメモリー・チューニングの推奨事項を検討します。
クラスタOracle Identity Managerノード間のマルチキャストがサポートされ、`45566`および`3121`の各ポートが開いていることを確認します。
JMSファイル・ストアは、Oracle Identity Managerクラスタのすべての管理対象サーバーがアクセスできる共有記憶域またはファイル・システム上にあることを確認します。
`XMLConfig.cacheConfig`クラスタMBeanプロパティが`true`に設定されていることを確認します。 Fusion Middleware ControlのMBeanブラウザを使用して、`XMLConfig.CacheConfig` MBeanを見つけます。「アプリケーション定義のMBean」-->「oracle.iam」-->「XMLConfig.CacheConfig」-->「キャッシュ」-->「構成」-->「oim」-->「<version>」-->「属性」-->「クラスタ化」キャッシュ・チューニング・オプションの詳細は、Oracle Identity Managerパフォーマンス・チューニング・ガイドラインおよび診断取集(ドキュメントID 1539554.1)も参照してください。
`OimExternalFrontEndURL` (`oim-config.xml`のdiscoveryConfigセクション)が、`https://sso.mycompany.com:443`などの外部LBRのURLに設定されていることを確認します。`OimFrontEndURL`が、`http://idminternal.mycompany.com:80`などの内部URLに設定されていることを確認します。
Oracle Identity Managerの各ドメインが独自の一意のマルチキャスト・アドレスを持ち、同じサブネット内の他のインスタンスと共有されていないことを確認します。
LDAPがアイデンティティ・ストアとして事前構成されていることを確認します(『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照)。
アイデンティティ・ストアで必要なスキーマが拡張されていることを確認します。
idmConfigToolに渡される入力プロパティに基づいて、必要なユーザー、グループおよび権限がアイデンティティ・ストアにシードされていることを確認します。
『Oracle Identity and Access Managementインストレーション・ガイド』を参照して、LDAP同期構成のすべての前提条件が満たされていることを確認します。
Oracle Identity Managerで物理LDAPが直接使用されていないことを確認します。注意: Oracle Identity Managerを構成した後、またはITリソース・ディレクトリ・サーバー・インスタンスを手動で編集した後にLDAP同期を構成する場合、サーバーURLに対してOVDに対応するLDAP URLを使用するか、空白にします。後者の場合、libOVDを構成する必要があります。
`jpsContextName`属性値が、SOAおよびUMS構成MBeanでoimに設定されていることを確認します。
ロード・バランサまたはWebサーバーの背後にOracle Identity Managerをデプロイする場合、ロード・バランサまたはWebServerのURLでOracle Identity Managerフロント・エンドURLおよびSOA SOAP URLが構成されていることを確認します。
Oracle Identity ManagerおよびSOA間の通信にSSLを使用する場合、URLがHTTPSを使用するように構成され、使用するキーストアに適切な証明書が含まれていることを確認します。
SPMLコールが処理されない場合は、SPMLサービスを呼び出すクライアントが互換性のあるOracle Web Services Manager (Oracle WSM)クライアントおよびサーバー・セキュリティ・ポリシーを使用していることを確認します。
カスタム・スケジュール済タスクの作成、またはOracle Identity Managerスケジューラのデフォルト構成の変更を行う場合は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のカスタム・スケジュール済タスクの作成に関する項を参照してください。
「Display Certification or Attestation」システム・プロパティがCertificationまたはBothに設定され、認定が有効化されていることを確認します。
ログ・レベルがwarningまたはlowerに設定されていることを確認します。注意: デフォルトでは、Oracleログ出力のログ・レベルは通知に設定されています。多くの場合、このログ・レベルは不要で、警告(TRACE:32)以下に変更できます。
カタログがベース・エンティティと同期されていることを確認します。
スケジュール・タスク「ユーザー・ポリシーの評価」を実行する頻度が決定されていることを確認します。注意: デフォルトでは、このスケジュール済タスクは、10分おきに実行されます。
Oracle Identity Managerコネクタを使用する前に、ドキュメントに記載されている推奨の使用方法に関するガイドラインを参照してください。
接続に使用されるサービス・アカウントに、ターゲットで操作を実行する権限が付与されていることを確認します。
適切なファイアウォール・ポートが開いていることを確認します。
LDAPレプリケーションがSafe-Readモードで構成されていることを確認します。
Oracle Identity Managerのパスワード・ポリシーと比較した場合、LDAPのパスワード・ポリシーが緩やかであることを確認します。
本番環境のヒープ・サイズおよびpermgenメモリーを増加して、メモリー使用量パターンを監視することをお薦めします。使用状況に基づいて、これらのメモリー設定は増減できます。次は、メモリー関連のチューニング・パラメータの初回の推奨値です。 JVMパラメータ: HotSpot JVMおよびJRockit JVM 最小ヒープ・サイズ(Xms): 4GB 最大ヒープ・サイズ (Xmx): 4GB PermSize (-XX:PermSize): 500m (JRockit JVMには適用されません) PermGenサイズ(-XX:MaxPermSize): 1GB (JRockit JVMには適用されません)
CoherenceクラスタのSOA Coherence構成が適切に行われていることを確認します。 CoherenceクラスタのためのSOA Coherence構成の更新の詳細は、Oracle Fusion Middleware高可用性ガイドのCoherenceクラスタのためのCoherence構成の更新に関する項を参照してください。
通知のためのユーザー・メッセージング・サービス(UMS)のメール構成が適切に行われていることを確認します。通知のためのUMSの使用方法の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の通知へのUMSの使用に関する項を参照してください。
監査レベルのシステム・プロパティ`XL.UserProfileAuditDataCollection`が、適切な監査レベルに設定されていることを確認します。サポートされる監査レベルの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の監査レベルに関する項を参照してください。システム・プロパティ値の変更の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のシステム・プロパティの管理に関する項を参照してください。
スキーマ・パスワードの有効期限の問題を回避するには、データベースのパスワードの有効期限ポリシーが適切に設定されていることを確認します。詳細は、My Oracle SupportのOracle Database 11gの有効期限が切れたOIMスキーマ・パスワードの解決オプション(ドキュメントID 1326142.1)を参照してください。