Oracle® Fusion Middleware Oracle Identity and Access Managementのインストールおよびデプロイ・チェックリスト 11g リリース2 (11.1.2.2.0) E53416-02 |
|
前 |
次 |
この章には、LDAPを使用してOracle Access Managerをデプロイする必要があるお客様のためのチェックリストが記載されています。
表3-1 Oracle Access Managerデプロイメント・チェックリスト
要件 | 確認後チェックを記入 |
---|---|
サポートされているOracle Database、Oracle MiddlewareホームおよびLDAPインストールが使用可能であることを確認します。 |
|
Oracle Access Manager、OPSSおよび監査スキーマが、リポジトリ作成ユーティリティ(RCU)を使用して作成されていることを確認します。 |
|
Oracle Access ManagerをホストしているWebLogicドメインが開発モードではなく、本番モードで実行されていることを確認します。 |
|
Oracle Access Managerポートが使用中でないことを確認し、Oracle Access Manager WebLogic Serverクラスタが使用するHTTP/HTTPSポートに加え、Oracle Access ManagerがOAPおよびCoherenceポート(デフォルト値はそれぞれ5575、9095)も使用していることを確認します。 |
|
エンタープライズ・デプロイメントのWebゲートの設定でシングル・サインオンを処理するため、Oracle Access Managerを実行しているWeblogicドメインからIDMDomainエージェントが削除されていることを確認します。 |
|
マシンの容量を最大限に利用するようにJVMがチューニングされていることを確認します。XMSおよびXMXが同レベルの値に設定されていることを確認します(マシンの容量に応じて、4-8GB)。 注意: |
|
LDAPがアイデンティティ・ストアとして事前構成されていることを確認します(『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照)。 |
|
アイデンティティ・ストアで必要なスキーマが拡張されていることを確認します。 注意: IDストアの準備ができたとき、特定のスキーマがロードされます。これらは、 |
|
idmConfigToolに渡される入力プロパティに基づいて、必要なユーザー、グループおよび権限がアイデンティティ・ストアにシードされていることを確認します。 |
|
idmConfigToolを使用してOracle Access Managerが構成されていることを確認します。 注意: idmConfigToolを使用してOracle Access Managerを構成すると、LDAPを使用するOracle Access Managerが構成され、Access Manager Webゲート・エージェントが作成されます。 |
|
Oracle Access Manager管理コンソールを使用してAccess Management SuiteにLDAPアイデンティティ・ストアが構成されていることを確認します。 |
|
Oracle Access ManagerサーバーへのWebゲート/エージェントの通信モードがSIMPLEまたはCERTのいずれかであることを確認します。 |
|
Oracle HTTP ServerがAccess Manager管理コンソールのフロント・エンドとして機能し、idmConfigToolによって作成されたWebゲート・エージェント・プロファイルを使用してWebゲートがAccess Managerに接続されることを確認します。 |
|
Oracle Access Management WebLogicドメインの構成後、すぐにセキュリティ・ストアが構成されることを確認します。これは、Oracle Access Managerサーバーを起動する前に行う必要があります。 |
|
OUD認証プロバイダまたはLDAP認証プロバイダがそれぞれOUDストアまたはLDAPストアを指し、WebLogic Serverプロバイダが正しく構成されていることを確認します。次の順序でWLSプロバイダを構成する必要があります。
|
|
WebLogic管理者のリストにWLSAdminsグループが追加されていることを確認します。これは、LDAPストアを準備したときに作成されたグループです。 |
|
Oracle Access Managerのパフォーマンスが、チューニング・ガイドラインに基づいてチューニングされていることを確認します。詳細は、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のOracle Access Managementパフォーマンスのチューニングに関する項を参照してください。 |
|
デプロイメント要件を満たすようにカスタム・ログインおよびエラー・ページを構成していることを確認します。 |
|
WebゲートのOracle Access Managerへの接続パラメータが適切な値に設定されていることを確認します。 しきい値タイムアウト: デフォルト値の-1ではなく10秒に設定します。 最大セッション時間: WebゲートとOracle Access Managerサーバー間のファイアウォール・タイムアウトの半分に設定します。 |
|
Oracle Access ManagerのLDAPへの接続パラメータが適切な値に設定されていることを確認します。 接続リフレッシュ時間が、Oracle Access ManagerとLDAPストア間のファイアウォール・タイムアウトの半分に設定されていることを確認します。 リクエスト・タイムアウトを2秒以上に設定します。 |
|
WebゲートがインストールされているWebサーバーの前にSSLターミネーションを設定する場合、ロード・バランサがIS_SSL=sslヘッダーを移入するように構成されていることを確認します。 |
|
ユーザー資格証明を収集するOracle Access Managerフロント・エンドURLがSSL用に構成されていることを確認します。 |
|
Oracle Access Managerの保護されたアプリケーションが、IAMSuiteAgentホストIDを使用していないことを確認します。 |
|
一般的な画像ファイル・パターンが、除外URLリスト(*.css、*.gif、*.png)に含まれていることを確認します。 |
|
アプリケーション・ドメインで'ルート'パターン'/*'、'/…/*'または'/**'を除外している場合、セキュリティへの影響を完全に理解していることを確認します。 |
|
Webゲート・プロファイルで'DenyOnNotProtected'をfalseに設定している場合、セキュリティへの影響を完全に理解していることを確認します。 |
|
Oracle Access Managerでパスワード・ポリシーを管理する場合、パスワード・ポリシーがLDAPレベルで使用するポリシーよりも厳格であることを確認します。これにより、ディレクトリ/LDAPパスワードが、Oracle Access Managementレベルでの実施に優先しないことが確実になります。 |
|
必要な監視データのみが生成されるように、本番のロード時に生成される監視データの量を確認し、設定(Low、Medium、High)が調整されていることを確認します。 |
|
監視データ・パージがスケジュールされ、データ保存ポリシーに準拠していることを確認します。 |