| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.2.0) B71104-05 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.2.0) B71104-05 |
|
前 |
次 |
IdM構成ツール(idmConfigTool)では、Oracle identity management (IdM)コンポーネントのインストール、構成および統合を支援するいくつかのタスクがサポートされています。この付録では、ツールの使用方法について説明します。
|
注意: この付録では、実際の統合手順についての記載はなく、 |
この付録では、次の内容を説明します。
この項の内容は次のとおりです。
次の場合にidmConfigToolを使用します。
Oracle Identity ManagerおよびOracle Access Management Access Managerをインストールする前。
Oracle Identity ManagerおよびOracle Access Management Access Managerをインストールした後。
IdMコンポーネント(Oracle Internet Directory、Oracle Virtual Directory、Oracle Identity ManagerおよびOracle Access Manager)の構成をダンプするため。
Oracle Internet Directory、Oracle Virtual Directory、Oracle Identity ManagerおよびOracle Access Managerの構成パラメータを検証するため。
第D.1.2項では、各状況においてこのツールによって実行されるタスクについて説明します。
idmConfigToolは、次のタスクを効率的に実行するために役立ちます。
Identity Managementコンポーネント(Oracle Internet Directory (OID)、Oracle Virtual Directory (OVD)、Oracle Access Management Access Manager (OAM-AM)およびOracle Identity Manager (OIM))を表す構成プロパティの検証。
Access ManagerやOracle Identity Managerなど、他のIdentity Managementコンポーネントをインストールするためのアイデンティティ・ストア・Storeコンポーネント(Oracle Internet DirectoryおよびOracle Virtual Directory)の事前構成。
Access Manager、Oracle Identity Managerコンポーネントの後構成、およびAccess ManagerとOracle Identity Managerの接続。
Identity Managementコンポーネント(Oracle Internet Directory、Oracle Virtual Directory、Access ManagerおよびOracle Identity Manager)の構成の抽出。
idmConfigToolでサポートされているコンポーネント・バージョンは次のとおりです。
Oracle Internet Directory 11g
Oracle Virtual Directory 11g
Oracle Access Management Access Manager 11g
Oracle Access Manager 10g
Oracle Identity Manager 11g
Oracle Unified Directory (OUD) 11g
idmConfigToolは次の場所にあります。
IAM_ORACLE_HOME/idmtools/bin
IAM_ORACLE_HOMEは、Oracle Identity ManagerおよびOracle Access Managerがインストールされているディレクトリです。
idmConfigToolでは、デフォルトでAccess Manager 11g Webゲートがサポートされています。10g Webゲートもサポートされています。
このツールでは、Weblogicドメインに関して次の2つのタイプのシナリオがサポートされています。
Access ManagerサーバーとOracle Identity Managerサーバーの両方が同じWeblogicドメイン内に構成されているシングル・ドメイン構成
Access ManagerサーバーとOracle Identity Managerサーバーが別々のWeblogicドメイン内に構成されているデュアルまたはクロス・ドメイン構成
IdM構成ツールを実行する前に、環境を構成する必要があります。
次の変数を設定します。
表D-1 IdM構成ツールの環境変数
| 変数 | 説明 |
|---|---|
|
|
インストールのMiddlewareホームのフルパスに値を設定します。 |
|
|
この値に次のディレクトリが含まれていることを確認します。 MW_HOME/jdk IBM WebSphereで実行する場合は、この変数はIBM JDKを指す必要があります。この値をJDKのフルパスに設定します。次に例を示します。
重要: IBM WebSphereでは、IBM JDK以外のJDKを使用しないでください。 |
|
|
|
|
|
Oracleホームのフルパスに設定します。IdMの統合の場合は、 |
|
|
IBM WebSphereでは必須。 |
|
|
IBM WebSphereでは必須。WebSphereアプリケーション・サーバー・ホーム・ディレクトリのフルパスに値を設定します。次に例を示します。
|
|
|
IBM WebSphereでは必須。デプロイメント・マネージャ・プロファイルのホーム・ディレクトリを指定します。デプロイメント・マネージャにより、その管理対象のアプリケーション・サーバーのセルにアプリケーションがデプロイされます。プロファイルとは、実行時の環境を定義するもので、ランタイム環境でサーバーが処理する、すべての構成可能なファイルを含みます。 絶対パスを設定します。例:
|
この項の内容は次のとおりです。
ツールがLinuxで使用する構文は次のとおりです。
idmConfigTool.sh -command
input_file=filename log_file=logfileName log_level=log_level
ツールがWindowsで使用する構文は次のとおりです。
idmConfigTool.bat -command
input_file=filename log_file=logfileName log_level=log_level
commandの値は次のとおりです。
| コマンド | コンポーネント名 | 説明 |
|---|---|---|
|
|
アイデンティティ・ストア |
グループを作成し、ACIを様々なコンテナに設定することで、アイデンティティ・ストアおよびポリシー・ストアを構成します。 |
|
|
アイデンティティ・ストア |
必要なユーザーを追加し、ユーザーをグループに関連付けることで、アイデンティティ・ストアを構成します。モードによって、特定のコンポーネントに対する構成が可能になります。 このコマンドは、Oracle WebLogic Server (mode=WLS)または、IBM WebSphere (mode=WAS)で実行できます。 |
|
|
ポリシー・ストア |
読取り/書込みユーザーを作成することでポリシー・ストアを構成し、グループに関連付けます。 |
|
|
Oracle Access Manager Oracle Identity Manager |
Oracle Identity Managerと統合できるようにAccess Managerを準備します。 |
|
|
Oracle Access Manager Oracle Identity Manager |
Access ManagerとOracle Identity Managerの間の接続を設定します。 |
|
|
Oracle Virtual Directory |
Oracle Virtual Directoryアダプタを作成します。 |
|
|
Oracle Virtual Directory |
Oracle Virtual Directoryサーバーへの匿名アクセスを無効化します。アップグレード後のコマンド。注意: このタスクは、 |
|
|
アイデンティティ・ストア |
アイデンティティ・ストアのプロビジョニング後の構成を実行します。 |
|
|
各種 |
指定したエンティティの一連の入力プロパティを検証します。 |
|
|
Oracle Virtual Directory |
分割プロファイルでアップグレード済Oracle Virtual Directoryの構成を更新します。 |
|
|
Oracle Identity Manager Access Manager |
Oracle Identity Manager-Access Managerの統合に必要な特定のオブジェクト・クラスを追加することによって、Oracle Internet Directory内の既存のユーザーを更新します。 |
|
|
Oracle Identity Manager Access Manager |
Webゲート11gを使用するために、統合されたOracle Identity Manager-Access Managerからなる既存の構成を、Webゲート10gを使用してアップグレードします。 |
アイデンティティ・ストアまたはポリシー・ストアを構成するときは、管理権限を持つユーザーとしてこのツールを実行する必要があります。
validateコマンドにはコンポーネント名が必要です。
idmConfigToolは、実行時に特定のファイルを作成または更新します。
パラメータ・ファイル
idmConfigToolを実行すると、このツールによってidmDomainConfig.paramファイルが作成されるか、このファイルに情報が追加されます。このファイルは、ツールを実行したディレクトリに生成されます。このツールを実行するたびに必ず同じファイルに情報が追加されるようにするには、常に次のディレクトリでidmConfigToolを実行します。
IAM_ORACLE_HOME/idmtools/bin
ログ・ファイル
ログ・ファイルは、idmConfigToolのlog_file属性を使用して指定できます。
ログ・ファイルを明示的に指定しない場合、automation.logというファイルが、ツールを実行したディレクトリに作成されます。
ログ・ファイルを確認して、エラーや警告を修正します。
この項では、idmConfigToolファイルとともに使用できるプロパティ・ファイルについて説明します。
プロパティ・ファイルは、コマンド・プロパティを指定するための便利な方法であり、これによって参照したり、後で使用するためにプロパティを保存できます。実行プロパティが含まれているプロパティ・ファイルを、入力コマンド・オプションとして指定できます。プロパティ・ファイルは、単純なテキスト・ファイルであり、コマンドを実行するときには使用可能にしておく必要があります。
セキュリティ上の理由からプロパティ・ファイルにはパスワードを挿入しないことをお薦めします。実行時に関連するプロパティの入力を要求されます。
表D-2は、idmConfigToolコマンドの統合コマンド・オプションに使用されるプロパティを示しています。プロパティは、アルファベット順に示されています。
表D-2 IdM Configtoolプロパティ・ファイルで使用されるプロパティ
| パラメータ | 値の例 | 説明 |
|---|---|---|
|
|
|
Oracle Identity Managerが通信する必要があるAccess Managerアクセス・ゲートID。 |
|
|
|
Access Managerアクセス・サーバーのホスト名 |
|
|
|
Access Manager NAPポート。 |
|
|
|
OPSSによって必要とされるURI。デフォルト値は/obrar.cgi |
|
|
|
Oracle Identity Managerアプリケーションが常駐するWebドメイン。.cc.example.comの形式でドメインを指定します。 |
|
|
-1 |
Cookieの有効期限。-1に設定します。 |
|
|
|
Oracle Identity Managerドメインの場所。 |
|
|
|
Oracle Identity Managerドメイン名。 |
|
|
|
Oracle Unified Directory (OUD)アイデンティティ・ストアの管理ポート。 |
|
|
|
LDAPアイデンティティ・ストア・ディレクトリのホスト名(IDSTORE_DIRECTORYTYPEに対応)。 |
|
|
|
LDAPアイデンティティ・ストアのポート番号(IDSTORE_DIRECTORYTYPEに対応)。 |
|
|
cn=orcladmin |
アイデンティティ・ストアの管理ユーザー。 |
|
|
cn |
アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。 |
|
|
uid |
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。 |
|
|
cn=Users,dc=us,dc=example,dc=com |
ユーザーが保存されるディレクトリの場所。 |
|
|
dc=us,dc=example,dc=com |
アイデンティティ・ストアに含まれているユーザーおよびグループの検索ベース。 |
|
|
cn=Groups,dc=us,dc=example,dc=com |
グループが保存されているディレクトリの場所 |
|
|
oamLDAP |
Access Managerアイデンティティ・ストア接続の確立に使用されるユーザー名。 |
|
|
oamadmin |
Access Managerのアイデンティティ・ストア管理者。アイデンティティ・ストアがシステム・アイデンティティ・ストアとして設定されている場合にのみ必要です。 |
|
|
oaamadmin |
Oracle Adaptive Access Managerのアイデンティティ・ストア管理者。 |
|
|
cn=system, dc=test |
すべてのシステム・ユーザーのベース。 |
|
|
アイデンティティ・ストアに対する読取り専用権限を持つユーザー。 |
|
|
|
アイデンティティ・ストアに対する読取り/書込み権限を持つユーザー。 |
|
|
|
アイデンティティ・ストア内のOracle Fusion Applicationsスーパーユーザー。 |
|
|
|
xelsysadmシステム・アカウントの管理者。 |
|
|
|
Oracle Identity Managerのアイデンティティ・ストア管理者。 |
|
|
|
Oracle Identity Manager管理者グループ。 |
|
|
|
アイデンティティ・ストアへのSSLが有効化されているかどうか。 有効な値: true | false |
|
|
|
アイデンティティ・ストア資格証明が含まれているキーストア・ファイルの場所。 Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。 |
|
|
|
アイデンティティ・ストアのパスワード。 Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。 |
|
|
|
アイデンティティ・ストアの検証に使用されます。 Oracle Fusion Applications環境で使用されます。 |
|
|
|
|
オーセンティケータを作成する必要のあるアイデンティティ・ストアのディレクトリ・タイプ。 Oracle Virtual Directoryサーバーを使用してOracle Internet Directoryまたは非OIDディレクトリに接続している場合、 Oracle Internet Directory内にアイデンティティ・ストアがあり、Oracle Virtual Directoryを介さず直接これにアクセスしている場合は、 ディレクトリ・ストアがOracle Unified Directoryである場合は、OUDに設定します。 有効な値: OID、OVD、OUD |
|
|
cn=systemids,dc=example,dc=com |
アイデンティティ・ストア・ディレクトリの管理者。IDSTORE_OAMSOFTWAREUSERに対して指定された同じユーザーの完全なLDAP DNを指定します。ユーザー名のみでは不十分です。 |
|
|
weblogic_idm |
Oracle WebLogic Serverのアイデンティティ・ストア管理者。 |
|
|
|
Oracle WebLogic Serverのアイデンティティ・ストア管理者グループ。 |
|
|
アイデンティティ・ストアのWebLogic管理者のパスワード。 |
|
|
|
wasadminユーザー(IBM WebSphere)。 |
|
|
|
. |
LDAPサーバーのホスト名 |
|
|
LDAPサーバーのポート番号。 |
|
|
|
. |
LDAPサーバーのバインドDN |
|
|
LDAPサーバーへの接続でSSLを使用するかどうかを示します。 有効な値はTrueまたはFalseです |
|
|
|
LDAPサーバーのベースDN。 |
|
|
|
LDAPサーバーのOVDベースDN。 |
|
|
|
LDAPサーバーのディレクトリ・タイプ。nは1、2などです。単一ノード構成の場合は、LDAP1を指定します。 |
|
|
|
/${app.context}/adfAuthentication |
OPSSによって必要とされるURI。デフォルト値は/${app.context}/adfAuthentication |
|
|
/oamsso/logout.html |
OPSSによって必要とされるURI。デフォルト値は/oamsso/logout.html |
|
|
jdbc:oracle:thin:@DBHOST:1521:SID |
MDSデータベースのURL。 |
|
|
edg_mds |
MDSスキーマ・ユーザーのユーザー名。 |
|
|
10g |
Oracle Identity Manager-Access Manager統合において、Access Managerサーバーで11g Webゲートがサポートされていない場合は必須です。そのような場合は、値として10gを指定します。 有効な値は10g、11gです。 |
|
|
|
構成中のAccess Managerエージェントの転送モード。アクセス・マネージャ・サーバーが簡易モードを使用してリクエストを受け入れるように構成されている場合は、OAM_TRANSFER_MODEをSIMPLEに設定します。 有効な値はOPEN、SIMPLEまたはCERTです。 |
|
|
|
Access Manager 11gサーバーが機能するセキュリティ・モデル。 有効な値はOPENまたはSIMPLEです。 |
|
|
Access Managerサーバーが認可を実行できるかどうかを指定します。trueの場合は、Access Manager 11gサーバーは認証専用モードで動作します。この場合、デフォルトではすべての認可でポリシー検証が実行されずにtrueが戻されます。falseの場合は、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でサーバーに対する認可リクエストが1つ以上発生します。 有効な値: true (認可なし) | false |
|
|
|
|
アイデンティティ・ストア内のロール・セキュリティを管理するためのアカウントを指定します。 |
|
|
false |
Oracle Identity Managerと統合するのか、スタンドアロン・モードでAccess Managerを構成するのかを指定します。統合する場合はtrueに設定します。 有効な値: true(統合) | false |
|
|
sso.example.com |
Access ManagerサーバーのフロントエンドであるOracle HTTP (OHS)サーバーに対するロード・バランサのホスト名。 |
|
|
443 |
Access ManagerサーバーのフロントエンドであるOHSサーバーに対するロード・バランサのポート番号。 |
|
|
https |
Access ManagerサーバーのフロントエンドであるOHSサーバーに対するロード・バランサのプロトコル。 有効な値: HTTP、HTTPS |
|
|
uid |
ログインが試みられたときに、アイデンティティ・ストアのこの属性に対してユーザー名が検証されます。 |
|
|
Access Managerサーバーにおけるセッションのグローバル・セッション・タイムアウト。 |
|
|
|
Access Managerサーバーにおけるセッションのグローバル・セッション有効期間。 |
|
|
|
Access Managerサーバーにおける1ユーザー当たりのグローバル最大セッション数。 |
|
|
|
アイデンティティ・ストア名。このツールでアイデンティティ・ストアを新規に作成せず、すでに運用中のアイデンティティ・ストアを再利用する場合は、このパラメータの値をそのアイデンティティ・ストアの名前に設定します。 デフォルト値は、OAMIDStoreです。 |
|
|
|
Access Managerサーバーにおける偽装を有効化または無効化します。Oracle Fusion Applications環境に適用可能です。 有効な値: true(有効化) | false |
|
|
|
sso.example.com |
OHSの前に配置されているロード・バランサのホスト名。 |
|
|
443 |
OAM11G_IDM_DOMAIN_OHS_HOSTとして指定されているロード・バランサがリスニングするポート番号。 |
|
|
https |
IDM OHSのプロトコル。 有効な値: HTTP | HTTPS |
|
|
https://sso.example.com:443/test |
|
|
|
true |
10g Webゲートの保護されたフラグでの拒否。 有効な値: true | false |
|
|
simple |
IDMドメイン・エージェントの転送モード。 有効な値: OPEN | SIMPLE | CERT |
|
|
/console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp |
Access ManagerログアウトURLのカンマ区切りリスト。 |
|
|
myhost.example.com |
WebLogic Serverの場合: Access Managerドメイン管理サーバーのホスト名。 IBM WebSphereの場合: Access Managerアプリケーション・サーバーのホスト。 |
|
|
7001 |
WebLogic Serverの場合: Access Managerドメイン管理サーバーが実行されているポート。 IBM WebSphereの場合: Access Managerセル用のデプロイメント・マネージャのブートストラップ・ポート。 |
|
|
wlsadmin, wasadmin |
WebLogic Serverの場合: Access Managerドメイン管理者のユーザー名。 IBM WebSphereの場合: Access Managerセルに対するプライマリ管理ユーザー名。 |
|
|
Oracle Identity Managerデータベースの接続に必要なURL。 |
|
|
|
Oracle Identity Managerデータベースのスキーマのユーザー。 |
|
|
|
host123.example.com |
Oracle Identity ManagerのフロントエンドであるLBRサーバーのホスト名。 |
|
|
7011 |
Oracle Identity ManagerのフロントエンドであるLBRサーバーのポート番号。 |
|
|
|
Oracle Identity Manager管理対象サーバーの名前。クラスタの場合、管理対象サーバーを指定できます。 |
|
|
Oracle Identity Manager管理対象サーバーのホスト名。 |
|
|
|
Oracle Identity Manager管理対象サーバーのポート番号。 |
|
|
|
Oracle Identity Manager T3サーバーのホスト名。 |
|
|
|
Oracle Identity Manager T3サーバーのポート番号。 |
|
|
|
IBM WebSphere上のOracle Identity Managerセル内の |
|
|
|
OVDサーバーのホスト名 |
|
|
|
OVDサーバーのポート番号 |
|
|
ovd.binddn |
OVDサーバーのバインドDN |
|
|
|
接続でSSLを使用するかどうかを示します。 有効な値はTrueまたはFalseです |
|
|
|
Oracle Access Managerが有効化されているかどうかを示します。 有効な値はTrueまたはFalseです |
|
|
|
true |
ポリシー・ストアおよびアイデンティティ・ストアがディレクトリを共有するかどうかを示します。リリース11gでは常にtrueです。 有効な値: true、false |
|
|
mynode.us.example.com |
ポリシー・ストア・ディレクトリのホスト名。 |
|
|
1234 |
ポリシー・ストア・ディレクトリのポート番号。 |
|
|
cn=orcladmin |
ポリシー・ストア・ディレクトリの管理ユーザー。 |
|
|
dc=example,dc=com |
ユーザーおよびグループが保存されるディレクトリの場所。 |
|
|
cn=systemids, dc=example,dc=com |
ポリシー・ストアの読取り専用および読取り/書込みユーザーは、この場所に作成されます。 デフォルト値は、cn=systemids, |
|
|
|
ポリシー・ストア内の読取り権限を持つユーザー。 |
|
|
|
ポリシー・ストア内の読取りおよび書込み権限を持つユーザー。 |
|
|
|
OPSSポリシー情報に使用されるコンテナの名前。 |
|
|
ポリシー・ストアがSSL有効であるかどうか。 |
|
|
|
SSL有効ポリシー・ストアのキーストア・ファイルの場所。 |
|
|
|
true |
有効な値はtrue、falseです。 |
|
|
false |
SSOが有効かどうかを判断するフラグ。 有効な値はtrue、falseです。 |
|
|
|
作成するWebゲート・エージェントのタイプ。次の値に設定します。
|
|
|
idmhost1.example.com:5575,idmhost2.example.com:5575 |
Access Managerサーバーおよびそれらのプロキシ・ポートのカンマ区切りリスト。 |
|
|
|
WebLogic Serverのホスト名 |
|
|
7001 |
WebLogic Serverのポート番号 |
|
|
wlsadmin |
アプリケーション・サーバーのコンテキストに応じた、管理者ログイン。 |
idmConfigToolでは、実行の詳細がautomation.logという名前のファイルに記録されます。実行のたびに、automation.logに追加されます。エラーの詳細は修正後もログに存在するため、ログにエラーが表示されて修正した場合、誤解される可能性があります。
古いログ・エントリによる混乱を防ぐために、既存のログ・ファイルを頻繁にバックアップします。
この項では、各コマンド・オプションのプロパティを示します。内容は次のとおりです。
|
注意:
|
構文
./idmConfigTool.sh -preConfigIDStore input_file=input_properties
プロパティ
表D-3は、このモードのプロパティを示しています。
表D-3 preConfigIDStoreのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
使用する形式: ここで、OUD-instance-pathはOracle Unified Directoryインスタンスへのパスです。 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST : idstore.example.com IDSTORE_PORT : 389 IDSTORE_BINDDN : cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
Oracle Unified Directoryに対するpreconfigIDStoreの使用
Oracle Unified Directoryに対してpreconfigIDStoreを使用する場合は、プロパティ・ファイルで指定されたインスタンス内にのみ、グローバルACIおよび索引が再作成されます。Oracle Unified Directoryによるレプリケートは行われません。レプリケーション・ドメインのその他すべてのOracle Unified Directoryのインスタンスについて、グローバルACIおよび索引を手動で再作成(削除後、作成)する必要があります。
詳細は、第D.5項を参照してください。
構文
prepareIDStoreコマンドは、指定されたコンポーネントのタスクを実行するために引数としてmodeを使用します。モードを指定するための構文は次のとおりです。
./idmConfigTool.sh -prepareIDStore mode=mode input_file=filename_with_Configproperties
モードは次のいずれかである必要があります。
OAM
OIM
OAAM
WLS
FUSION
WAS
APM
all (前述のモードのすべてのタスクを結合して実行します)
|
注意: WLSモードは、OAMの前に実行する必要があります。 |
このモードでは次のものが作成されます。
Access Managerコンポーネントで必要なスキーマ拡張の実行
oblixスキーマの作成
OAMSoftwareユーザーの作成
OblixAnonymousユーザーの作成
Access Manager管理ユーザーの作成(オプション)
ユーザーと対応する個々のグループとの関連付け
グループorclFAOAMUserWritePrivilegeGroupの作成
構文
./idmConfigTool.sh -prepareIDStore mode=OAM
input_file=filename_with_Configproperties
プロパティ
表D-4は、このモードのプロパティを示しています。
表D-4 prepareIDStore mode=OAMプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
使用する形式: ここで、OUD-instance-pathはOracle Unified Directoryインスタンスへのパスです。 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。このパラメータのセットによって、OAMADMINUSERおよびOAMSOFTWAREユーザーがアイデンティティ・ストアに作成されます。
IDSTORE_HOST : idstore.example.com IDSTORE_PORT : 389 IDSTORE_BINDDN : cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators IDSTORE_OAMSOFTWAREUSER:oamLDAP IDSTORE_OAMADMINUSER:oamadmin IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
このモードでは次のものが作成されます。
SystemIDコンテナの下でのOracle Identity Manager管理ユーザーの作成
Oracle Identity Manager管理グループの作成
Oracle Identity Manager管理グループへのOracle Identity Manager管理ユーザーの追加
Oracle Identity Manager管理グループへのACIの追加
予約コンテナの作成
xelsysadminユーザーの作成
構文
./idmConfigTool.sh -prepareIDStore mode=OIM
input_file=filename_with_Configproperties
プロパティ
表D-5は、このモードのプロパティを示しています。
表D-5 prepareIDStore mode=OIMプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IBM WebSphereでは必須。 |
|
|
IBM WebSphereでは必須。 |
|
|
IBM WebSphereでは必須。 |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST : idstore.example.com IDSTORE_PORT : 389 IDSTORE_BINDDN : cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE:cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_OIMADMINUSER: oimadmin IDSTORE_OIMADMINGROUP:OIMAdministrators OIM_DB_URL: jdbc:oracle:thin:@xyz5678.us.example.com:5522:wasdb1 OIM_DB_SCHEMA_USERNAME: dev_oim OIM_WAS_CELL_CONFIG_DIR: /wassh/WebSphere/AppServer/profiles/Dmgr04/config/cells/xyz5678Cell04/fmwconfig
このモードでは次のものが作成されます。
Oracle Adaptive Access Manager管理ユーザーの作成
Oracle Adaptive Access Managerグループの作成
Oracle Adaptive Access Manager管理ユーザーをOracle Adaptive Access Managerグループのメンバーとして追加
構文
./idmConfigTool.sh -prepareIDStore mode=OAAM
input_file=filename_with_Configproperties
プロパティ
D-6は、このモードのプロパティを示しています。
表D-6 prepareIDStore mode=OAAMプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
使用する形式: ここで、OUD-instance-pathはOracle Unified Directoryインスタンスへのパスです。 |
|
|
|
WLS (Oracle WebLogic Server)モードでは次のものが作成されます。
Weblogic管理ユーザーの作成
Weblogic管理グループの作成
Weblogic管理グループのメンバーとしてのWeblogic管理ユーザーの追加
構文
./idmConfigTool.sh -prepareIDStore mode=WLS
input_file=filename_with_Configproperties
プロパティ
表D-7は、このモードのプロパティを示しています。
表D-7 prepareIDStore mode=WLSプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
使用する形式: ここで、OUD-instance-pathはOracle Unified Directoryインスタンスへのパスです。 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。このセットのプロパティで、IDM管理者グループが作成されます。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users, dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_WLSADMINUSER: weblogic_idm IDSTORE_WLSADMINGROUP: wlsadmingroup
WAS (IBM WebSphere)モードでは、次のアクションが発生します。
WebSphere管理ユーザーの作成
WebSphere管理グループの作成
WebSphere管理グループのメンバーとしてのWebSphere管理ユーザーの追加
構文
./idmConfigTool.sh -prepareIDStore mode=WAS
input_file=filename_with_Configproperties
プロパティ
表D-8は、このモードのプロパティを示しています。
表D-8 prepareIDStore mode=WASプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
使用する形式: ここで、OUD-instance-pathはOracle Unified Directoryインスタンスへのパスです。 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。このセットのプロパティで、IDM管理者グループが作成されます。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users, dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_WASADMINUSER: websphere_idm
このモードでは次のものが作成されます。
Oracle Privileged Account Manager管理ユーザーの作成
Oracle Privileged Account Manager管理ユーザーのOracle Privileged Account Manager Groupsのメンバーとしての追加
アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。
構文
./idmConfigTool.sh -prepareIDStore mode=APM
input_file=filename_with_Configproperties
プロパティ
D-9は、このモードのプロパティを示しています。
表D-9 prepareIDStore mode=APMプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_APMUSER: opamadmin
このモードでは、次のアクションが実行されます。
読取り専用ユーザーの作成
読取り/書込みユーザーの作成
スーパーユーザーの作成
グループorclFAGroupReadPrivilegeGroupおよびorclFAUserWritePrefsPrivilegeGroupへのreadOnlyユーザーの追加
グループorclFAUserWritePrivilegeGroupおよびorclFAGroupWritePrivilegeGroupへのreadWriteユーザーの追加
構文
./idmConfigTool.sh -prepareIDStore mode=fusion
input_file=filename_with_Configproperties
プロパティ
表D-10は、このモードのプロパティを示しています。
表D-10 prepareIDStore mode=fusionプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
使用する形式: ここで、OUD-instance-pathはOracle Unified Directoryインスタンスへのパスです。 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってIDSTORE_SUPERUSERが作成されます。
IDSTORE_HOST : idstore.example.com IDSTORE_PORT : 389 IDSTORE_BINDDN : cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_READONLYUSER: IDROUser IDSTORE_READWRITEUSER: IDRWUser IDSTORE_USERSEARCHBASE:cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycomapny,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_SUPERUSER: weblogic_fa POLICYSTORE_SHARES_IDSTORE: true
このモードでは、モードOAM、OIM、WLS、WAS、OAAMおよびFUSIONで実行されるすべてのタスクが実行されます。
構文
./idmConfigTool.sh -prepareIDStore mode=all
input_file=filename_with_Configproperties
プロパティ
表D-11は、このモードのプロパティを示しています。
表D-11 prepareIDStore mode=allプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
使用する形式: ここで、OUD-instance-pathはOracle Unified Directoryインスタンスへのパスです。 |
|
|
|
|
|
|
|
|
|
|
|
IBM WebSphereでは必須 |
|
|
IBM WebSphereでは必須 |
|
|
IBM WebSphereでは必須 |
|
|
IBM WebSphereでは必須 |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST : node01.example.com IDSTORE_PORT : 2345 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_READONLYUSER: IDROUser IDSTORE_READWRITEUSER: IDRWUser IDSTORE_SUPERUSER: weblogic_fa IDSTORE_OAMSOFTWAREUSER:oamSoftwareUser IDSTORE_OAMADMINUSER:oamAdminUser IDSTORE_OIMADMINUSER: oimadminuser POLICYSTORE_SHARES_IDSTORE: true OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators IDSTORE_OIMADMINGROUP: OIMAdministrators IDSTORE_WLSADMINUSER: weblogic_idm IDSTORE_WLSADMINGROUP: wlsadmingroup IDSTORE_OAAMADMINUSER: oaamAdminUser OIM_DB_URL: jdbc:oracle:thin:@xyz5678.us.example.com:5522:wasdb1 OIM_DB_SCHEMA_USERNAME: dev_oim OIM_WAS_CELL_CONFIG_DIR: /wassh/WebSphere/AppServer/profiles/Dmgr04/config/cells/xyz5678Cell04/fmwconfig IDSTORE_WASADMINUSER: websphere_idm
構文
./idmConfigTool.sh -configPolicyStore input_file=input_properties
プロパティ
表D-12は、このコマンドのプロパティを示しています。
表D-12 ConfigPolicyStoreのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってポリシー・ストアに読取り専用ユーザーおよび読取り書込みユーザーが作成されます。
POLICYSTORE_HOST: mynode.us.example.com POLICYSTORE_PORT: 3060 POLICYSTORE_BINDDN: cn=orcladmin POLICYSTORE_READONLYUSER: PolicyROUser POLICYSTORE_READWRITEUSER: PolicyRWUser POLICYSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_CONTAINER: cn=jpsroot
構文
./idmConfigTool.sh -configOAM input_file=input_properties
プロパティ
表D-13は、このコマンドのプロパティを示しています。
表D-13 configOAMのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Oracle Fusion Applicationsのみ。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
クロス・ドメインのデプロイメントに |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってAccess Manager内にWebゲートのエントリが作成されます。
WLSHOST: adminvhn.example.com WLSPORT: 7001 WLSADMIN: weblogic IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_OAMSOFTWAREUSER: oamLDAP IDSTORE_OAMADMINUSER: oamadmin PRIMARY_OAM_SERVERS: oamhost1.example.com:5575,oamhost2.example.com:5575 WEBGATE_TYPE: ohsWebgate11g ACCESS_GATE_ID: Webgate_IDM OAM11G_IDM_DOMAIN_OHS_HOST:sso.example.com OAM11G_IDM_DOMAIN_OHS_PORT:443 OAM11G_IDM_DOMAIN_OHS_PROTOCOL:https OAM11G_OAM_SERVER_TRANSFER_MODE:simple OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp OAM11G_WG_DENY_ON_NOT_PROTECTED: false OAM11G_SERVER_LOGIN_ATTRIBUTE: uid OAM_TRANSFER_MODE: simple COOKIE_DOMAIN: .example.com OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators OAM11G_SSO_ONLY_FLAG: true OAM11G_OIM_INTEGRATION_REQ: true or false OAM11G_IMPERSONATION_FLAG:true OAM11G_SERVER_LBR_HOST:sso.example.com OAM11G_SERVER_LBR_PORT:443 OAM11G_SERVER_LBR_PROTOCOL:https COOKIE_EXPIRY_INTERVAL: -1 OAM11G_OIM_OHS_URL:https://sso.example.com:443/ SPLIT_DOMAIN: true OAM11G_IDSTORE_NAME: OAMIDStore IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
使用上の注意
このコマンドを実行すると、このツールによって次のものの入力が要求されます。
接続先のアイデンティティ・ストア・アカウントのパスワード
Access Manager管理者パスワード
Access Managerソフトウェア・ユーザー・パスワード
IBM WebSphere環境では、次のようにします。
Oracle Access ManagerのWebSphereセルからidmconfigtoolを実行します。
プロパティ・ファイルで次を指定し、IBM WebSphereサーバーの詳細を設定します。
WLSHOST: WebSphere Application Serverのホスト
WLSPORT: WebSphere Application Serverのブートストラップ・ポート
WLSADMIN: Oracle Access Manager管理コンソールのログインID
11g リリース2 (11.1.2)の時点では、configOIMはデフォルトで11g Webゲートをサポートしています。詳細は、WEBGATE_TYPEオプションを参照してください。
表に示すように、Oracle Identity ManagerとAccess Managerが別々のWebLogicドメインに構成されている場合は、特定のプロパティが必要です。
構文
./idmConfigTool.sh -configOIM input_file=input_file_with_path
プロパティ
表D-14は、このコマンドのプロパティを示しています。
表D-14 configOIMのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
Oracle Platform Security Services (OPSS)で必要です。 |
|
|
OPSSで必要です。 |
|
|
OPSSで必要です。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Oracle Identity Manager-Access Manager統合において、Access Managerサーバーで11g Webゲートがサポートされていない場合にのみ必須です。そのような場合は、値として10gを指定します。 |
|
|
Access ManagerサーバーとOracle Identity Managerサーバーが別々のWeblogicドメインに構成されている(つまり、クロスドメイン・セットアップである)場合に必須です。 |
|
|
Access ManagerサーバーとOracle Identity Managerサーバーが別々のWeblogicドメインに構成されている(つまり、クロスドメイン・セットアップである)場合に必須です。 |
|
|
Access ManagerサーバーとOracle Identity Managerサーバーが別々のWeblogicドメインに構成されている(つまり、クロスドメイン・セットアップである)場合に必須です。 |
|
|
IBM WebSphereでは必須。 |
|
|
IBM WebSphereでは必須。 |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。SSOAccessKey、SSOKeystoreKey、SSOGlobalPPのキーが資格証明ストア・フレームワーク(CSF)にシードされます。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: OAMHOST1.example.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .example.com
COOKIE_EXPIRY_INTERVAL: -1
OAM_TRANSFER_MODE: simple
WEBGATE_TYPE: ohsWebgate11g
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 389
IDSTORE_HOST: idstore.example.com
IDSTORE_DIRECTORYTYPE: OVD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=Users,dc=example,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
MDS_DB_URL: jdbc:oracle:thin:DB Hostname:DB portno.:SID
MDS_DB_SCHEMA_USERNAME: edg_mds
WLSHOST: adminvhn.example.com
WLSPORT: 7001
WLSADMIN: weblogic
DOMAIN_NAME: IDMDomain
OIM_MANAGED_SERVER_NAME: WLS_OIM1
DOMAIN_LOCATION: ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_SEARCHBASE: dc=us,dc=example,dc=com
OIM_WEB_SERVER_HOST: tx401alu.us.example.com
OIM_WEB_SERVER_PORT: 7777
OAM11G_WLS_ADMIN_HOST: abc1234.us.example.com
OAM11G_WLS_ADMIN_PORT: 9810
OAM11G_WLS_ADMIN_USER: wasadmin
使用上の注意
IBM WebSphere環境では、次のようにします。
Oracle Identity ManagerとOracle Access Managerが2つの異なるWebSphereセルに構成されている場合は、次のプロパティを指定する必要があります。
OAM11G_WLS_ADMIN_HOST (Websphereアプリケーション・サーバー上のOracle Access Managerホスト)
OAM11G_WLS_ADMIN_PORT (Oracle Access ManagerセルのWebsphereデプロイメント・マネージャのブートストラップ・ポート)
OAM11G_WLS_ADMIN_USER (Oracle Access ManagerのWebsphereセルに対するプライマリ管理ユーザー名(例: wasadmin)
Oracle Identity ManagerとOracle Access Managerが同じWebSphereセルの一部である場合、前述のプロパティを指定する必要はありません。
configOIMコマンドの次のプロパティは、WebSphereに固有です。
IDSTORE_SEARCHBASE: アイデンティティ・ストアの検索ベース
OIM_WEB_SERVER_HOST: IBM HTTP Server (IHS)ホストまたはOracle HTTP Server (OHS)ホスト
OIM_WEB_SERVER_PORT: IBM HTTP Server (IHS)ポートまたはOracle HTTP Server (OHS)ポート
構文
./idmConfigTool.sh -postProvConfig input_file=postProvConfig.props
プロパティ
このコマンドのプロパティは、preConfigIDStoreコマンドのものと同じです。
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: host01.example.com IDSTORE_PORT: 3060 IDSTORE_BINDDN: cn=orcladmin IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_USERSEARCHBASE: cn=systemids,dc=example,dc=com POLICYSTORE_CONTAINER: cn=FAPolicies POLICYSTORE_HOST: host01.ca.example.com POLICYSTORE_PORT: 3060 POLICYSTORE_BINDDN: cn=orcladmin POLICYSTORE_READWRITEUSER: cn=PolicyRWUser,cn=systemids,dc=example,dc=com ovd.host: host01.ca.example.com ovd.port: 6501 ovd.binddn: cn=orcladmin OIM_T3_URL : t3://host02.ca.example.com:14000 OIM_SYSTEM_ADMIN : abcdef
構文
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=input_Properties
プロパティ
表D-15は、このコマンドのプロパティを示しています。
表D-15 upgradeLDAPUsersForSSOのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_ADMIN_USER: cn=orcladmin IDSTORE_DIRECTORYTYPE:OVD IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com PASSWORD_EXPIRY_PERIOD: 7300 IDSTORE_LOGINATTRIBUTE: uid
構文
./idmConfigTool.sh -validate component=IDSTORE input_file=input_Properties
プロパティ
表D-16は、このコマンドのプロパティを示しています。
表D-16 validate IDStoreのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
idstore.type: OID idstore.host: acb21005.us.example.com idstore.port: 3030 idstore.sslport: 4140 idstore.ssl.enabled: false idstore.super.user: cn=weblogic_fa,cn=systemids,dc=example,dc=com idstore.readwrite.username: cn=IDRWUser,cn=systemids,dc=example,dc=com idstore.readonly.username: cn=IDROUser,cn=systemids,dc=example,dc=com idstore.user.base: cn=Users,dc=example,dc=com idstore.group.base: cn=Groups,dc=example,dc=com idstore.seeding: true idstore.post.validation: false idstore.admin.group: cn=IDM Administrators,cn=Groups,dc=example,dc=com idstore.admin.group.exists: true
構文
./idmConfigTool.sh -validate component=POLICYSTORE input_file=input_Properties
プロパティ
表D-17は、このコマンドのプロパティを示しています。
表D-17 validate policystoreのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
POLICYSTORE_HOST: node0316.example.com POLICYSTORE_PORT: 3067 POLICYSTORE_SECURE_PORT : 3110 POLICYSTORE_IS_SSL_ENABLED: FALSE POLICYSTORE_READ_WRITE_USERNAME : cn=PolicyRWUser,cn=systemids,dc=example,dc=com POLICYSTORE_SEEDING: true POLICYSTORE_JPS_ROOT_NODE : cn=jpsroot POLICYSTORE_DOMAIN_NAME: dc=example,dc=com
構文
./idmConfigTool.sh -validate component=OAM11g input_file=input_Properties
|
注意: このツールでは、実行時にWebLogic管理サーバー・ユーザー・パスワードの入力が要求されます。 |
プロパティ
表D-18は、このコマンドのプロパティを示しています。
表D-18 validate component=OAM11gのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってAccess Managerサーバーが検証されます。
admin_server_host: abc5411405.ca.example.com admin_server_port: 17001 admin_server_user: weblogic IDSTORE_HOST:abc5411405.ca.example.com IDSTORE_PORT:3060 IDSTORE_IS_SSL_ENABLED:false OAM11G_ACCESS_SERVER_HOST:abc5411405.ca.example.com OAM11G_ACCESS_SERVER_PORT:5575 OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators OAM11G_OIM_OHS_URL: http://abc5411405.ca.example.com:7779/ OAM11G_OIM_INTEGRATION_REQ: true OAM11G_OAM_ADMIN_USER:oamadminuser OAM11G_SSO_ONLY_FLAG: true OAM11G_OAM_ADMIN_USER_PASSWD:
構文
./idmConfigTool.sh -validate component=OAM10g input_file=input_Properties
プロパティ
表D-19は、このコマンドのプロパティを示しています。
構文
./idmConfigTool.sh -validate component=OIM11g input_file=input_Properties
|
注意: このツールでは、実行時にWebLogic管理サーバー・ユーザー・パスワードの入力が要求されます。 |
プロパティ
表D-20は、このコマンドのプロパティを示しています。
表D-20 validate component=OIM11gのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
admin_server_host: node06.example.com admin_server_port: 17111 admin_server_user: weblogic oam_host : node06.example.com oam_nap_port : 5575 idm.keystore.file: idm.keystore.file idstore.user.base: cn=Users,dc=example,dc=com idstore.group.base: cn=Groups,dc=example,dc=com oim_is_ssl_enabled: false OIM_FRONT_END_URL: http://node06.example.com:14000 OIM_T3_URL: t3://node06.example.com:14000
構文
./idmConfigTool.sh -configOVD input_file=input_Properties
プロパティ
表D-21は、コマンド・プロパティを示しています(ldapnプロパティではn=1,2..)。
表D-21 configOVDのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Oracle Unified Directoryを使用する場合は、入力ファイルに |
プロパティ・ファイルの例
configOVDコマンドのプロパティ・ファイルの内容は、Oracle Virtual Directoryの構成によって異なります。この項では、いくつかのサンプル・ファイルを示します。
次のものは、単一サーバー構成用のsingle.txtという名前のファイルの例です。
ovd.host:myhost.us.example.com ovd.port:7000 ovd.binddn:cn=orcladmin ovd.ssl:true ldap1.type:OID ldap1.host:myhost.us.example.com ldap1.port:7000 ldap1.binddn:cn=oimadmin,cn=systemids,dc=example,dc=com ldap1.ssl:false ldap1.base:dc=example,dc=com ldap1.ovd.base:dc=example,dc=com usecase.type: single
ldap1.binddnで参照されるユーザー: パラメータは、アイデンティティ・ストアを事前構成する際に作成された、Oracle Identity Managerのプロキシ・ユーザーです。
このファイルを使用する場合、コマンドは次のように呼び出されます。
idmConfigTool -configOVD input_file=path/single.txt Enter OVD password: password Enter LDAP password: password
次のものは、分割プロファイル・サーバー構成用のsplit.txtという名前のファイルの例です。
ovd.host:myhost.us.example.com ovd.port:7000 ovd.binddn:cn=orcladmin ovd.ssl:true ldap1.type:AD ldap1.host:10.0.0.0 ldap1.port:7000 ldap1.binddn:administrator@idmqa.com ldap1.ssl:true ldap1.base:dc=idmqa,dc=com ldap1.ovd.base:dc=idmqa,dc=com usecase.type: split ldap2.type:OID ldap2.host:myhost.us.example.com ldap2.port:7000 ldap2.binddn:cn=oimadmin,cn=systemids,dc=example,dc=com ldap2.ssl:false ldap2.base:dc=example,dc=com ldap2.ovd.base:dc=example,dc=com
このファイルを使用する場合、コマンドは次のように呼び出されます。
idmConfigTool -configOVD input_file=path/split.txt Enter OVD password: password Enter LDAP1 password: password Enter LDAP2 password: password
構文
./idmConfigTool.sh -ovdConfigUpgrade input_file=input_Properties
プロパティ
表D-22は、このコマンドのプロパティを示しています。
表D-22 ovdConfigUpgradeのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
ovd.port |
|
|
ovd.binddn |
|
|
ovd.ssl |
|
|
ldapn.binddn |
|
|
ldapn.ssl |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによって既存のアダプタがアップグレードされます。
ovd.host:abk005sjc.us.myhost.com ovd.port:8801 ovd.binddn:cn=orcladmin ovd.ssl:true
構文
./idmConfigTool.sh -disableOVDAccessConfig input_file=input_Properties
プロパティ
表D-23は、このコマンドのプロパティを示しています。
表D-23 disableOVDAccessConfigのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
ovd.host |
|
|
ovd.port |
|
|
ovd.binddn |
|
|
ovd.ssl |
|
|
|
|
|
ldapn.ssl |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってOracle Virtual Directoryにおける匿名アクセスが無効化されます。
ovd.host:abc00def.ca.example.com ovd.port:8501 ovd.binddn:cn=orcladmin ovd.ssl:true
構文
./idmConfigTool.sh -upgradeOIMTo11gWebgate input_file=input_Properties
プロパティ
このコマンドは、configOIMコマンドに必要なものと同じプロパティを使用するため、どちらにも同じプロパティ・ファイルを使用できます。表D-14を参照してください。
表に示すように、Oracle Identity ManagerとAccess Managerが別々のWebLogicドメインに構成されている場合は、特定のプロパティが必要です。
この項では、高可用性環境で、ターゲットのOracle Unified Directory (OUD)アイデンティティ・ストアに対してidmConfigToolを使用する際に実行する必要のある、その他のタスクについて説明します。内容は次のとおりです。
レプリカを含む高可用性(HA)環境で、OUDアイデンティティ・ストアに対してidmConfigToolを使用する場合は、プロパティ・ファイルで指定されたインスタンス内にのみ、グローバルACIおよび索引が作成されます。これらはレプリケートされません。レプリケーション・ドメインのその他すべてのOUDインスタンスについて、これらのグローバルACIおよび索引を手動で再作成(削除後、作成)する必要があります。
したがって、最初に変更ログへのアクセス権を付与してから、ACIを作成する必要があります。次の手順を行います。
OUDに接続するために使用するパスワードが含まれているmypasswordというファイルを作成します。
レプリケートされたOUDホストの1つの既存の変更ログを削除します。コマンド構文は次のとおりです。
ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \ --remove \ global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" --hostname OUD Host \ --port OUD Admin Port \ --trustAll ORACLE_INSTANCE/config/admin-truststore \ --bindDN cn=oudadmin \ --bindPasswordFile mypassword \ --no-prompt
次に例を示します。
ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \ --remove global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" --hostname OUDHOST1.example.com \ --port 4444 \ --trustAll /u01/app/oracle/admin/oud1/OUD/config/admin-truststore \ --bindDN cn=oudadmin \ --bindPasswordFile mypassword \ --no-prompt
次のようにして新しいACIを追加します。
dsconfig set-access-control-handler-prop \ --add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=oimAdminGroup,cn=groups,dc=example,dc=com\";)" \ --hostname OUD Host \ --port OUD Admin Port \ --trustAll \ --bindDN cn=oudadmin \ --bindPasswordFile password --no-prompt
次に例を示します。
dsconfig set-access-control-handler-prop \ --add --add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=oimAdminGroup,cn=groups,dc=example,dc=com\";)" \ --hostname OUDHOST1 \ --port 4444 \ --trustAll \ --bindDN cn=oudadmin \ --bindPasswordFile password --no-prompt
各OUDインスタンスに対して手順1から3までを繰り返します。
idmConfigToolによってアイデンティティ・ストアが準備される際に、そのデータに対していくつかの索引が作成されます。レプリカを含む高可用性(HA)環境でも、プロパティ・ファイルで指定されたインスタンス内にのみ、グローバルACIおよび索引が作成されます。レプリカには索引の変更が反映されないため、手動で追加する必要があります。
その手順は次のとおりです(LDAPHOST1.example.comは最初のOUDサーバーを表し、LDAPHOST2.example.comは2番目のサーバーを表すというようになっています)。
OUDに接続するために使用するパスワードが含まれているmypasswordというファイルを作成します。
2番目のOUDサーバーで次のように索引を構成します。
ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j mypassword -c -f /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif
および
ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j mypassword -c -f /u01/app/oracle/product/fmw/iam/idmtools/templates/oud/oud_indexes_extn.ldif
|
注意:
|
次のように、すべてのサーバーに対して作成を再構築します。
ORACLE_INSTANCE/OUD/bin/bin/rebuild-index -h localhost -p 4444 -X -D "cn=oudadmin" -j mypassword --rebuildAll -b "dc=example,dc=com"
|
注意:
|
