Oracle® Fusion Middleware Oracle Identity and Access Management高可用性ガイド 11g リリース2 (11.1.2.3) E61957-01 |
|
前 |
次 |
この章では、Oracle Access Management Mobile and Socialの高可用性フレームワークについて説明します。内容は次のとおりです。
Oracle Access Management Mobile and Social (Mobile and Social)は、既存のIdentity Managementインフラストラクチャをモバイルおよびソーシャル・ネットワークに接続する軽量のセキュリティおよびアイデンティティ・ソリューションです。Mobile and Socialは、OAMおよびIGFを含む既存のIDM製品と統合されます。Mobile and Socialの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のOracle Access Management Mobile and Socialに関する説明を参照してください。
図11-1は、Mobile and Socialコンポーネントのアーキテクチャを示しています。
Oracle Access Management Mobile and Socialサービスは、保護されているリソースへのアクセスを必要とするユーザーと、リソースを保護するバックエンドのアクセス管理サービスおよびアイデンティティ管理サービスの間の橋渡しの役割を果たします。Mobile and Socialには簡易なクライアント・ライブラリが用意されており、開発者はこれを使用して、機能豊富な認証、認可およびアイデンティティ機能を登録済アプリケーションに簡単に追加できます。バックエンドのMobile and Socialサーバーのプラガブルなアーキテクチャにより、システム管理者は、ユーザーがインストールしたソフトウェアをアップデートしなくても、アイデンティティ管理サービスおよびアクセス管理サービスを追加、変更および削除することができます。
モバイル・サービス・コンポーネントでは、セッション情報は記録されません。インターネット・アイデンティティ・サービスでは、短期間のトークンがメモリーに保持され、期限が切れると破棄されます。
Mobile and Socialは、Access Suite J2EEアプリケーション内のコンポーネントです。Mobile and SocialはAccess Suiteの一部としてデプロイおよび構成されるため、インストール、構成、サーバー・インスタンスはAccess Suiteと関連付けられます。
モバイル・サービスおよびインターネット・アイデンティティ・サービスの一部として、Mobile and Socialでは、クライアントで起動するHTTPインタフェースを提供しています。Mobile and Socialは、リクエストを処理してレスポンスを返しますが、クライアントはこれを使用して追加のリクエストを行う場合があります。Mobile and Socialはステートレスであり、クライアントから個別に送信されたすべてのリクエストを処理できます。Mobile and Socialでは、OAMなどの製品や、ソーシャル・ネットワーク認証およびディレクトリ・サーバーを使用したユーザー・プロファイル・サービスを使用した、モバイル・デバイスの登録サービスおよびユーザー認証サービスが提供されます。
Mobile and Socialは、Access Suiteサーバーの起動の一部として起動されます。MBeanサーバーは、Mobile and Socialの構成をロードします。
管理コンソールまたはWLSTコマンドを使用して、構成ファイルを編集します。表11-1に、Mobile and Socialの構成ファイルとその場所を示します。
A Mobile and Socialインストールでは、次のコンポーネントがoam-server.ear
の一部としてデプロイされます。
oic_rest.war
oic_rp.war
表11-2に、Mobile and Socialサービスのデプロイメントの場所を示します。
Mobile and Socialサービスは、モバイル・サービスとインターネット・アイデンティティ・サービスの2つのサブコンポーネントで構成されます。モバイル・サービスでは、認証、ユーザー・プロファイルおよび認可サービス用にRepresentational State Transfer (REST)インタフェースが提供されます。インターネット・アイデンティティ・サービスでは、ソーシャル・ネットワーク認証との統合が提供されます。
Mobile and Socialの詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のモバイル・サービスの概要に関する説明を参照してください。
この項では、Mobile and Socialの高可用性アーキテクチャおよびその要素について説明します。内容は次のとおりです。
図11-1は、アクティブ/アクティブ構成で高可用性アーキテクチャにデプロイされたMobile and Socialを示しています。
図11-2は、複数インスタンスのデプロイメントをサポートする標準的なクライアント・サーバー・アーキテクチャを示しています。ほとんどの場合、リクエストはステートレスで、永続性は必要ありません。Mobile and Socialサービスは、OAM/OIDなどの他の製品に依存しており、それらに独自の高可用性機能がある場合があります。状態が保持される場合(インターネット・アイデンティティ認証リクエスト)、高可用性はスティッキーなロード・バランシングを介して実現されます。
セッションのデータベース永続性やランタイム・データがないため、リクエストはどのサーバーにも送信されることができます。ロード・バランサは、Round Robinなどのポリシー・セットに基づいて、リクエストをMobile and Socialサービス1または2に返します。
アプリケーションでインターネット・アイデンティティ・サービスが起動されると、リクエストを処理するために、Google、Facebookまたはインターネット・アイデンティティ・プロバイダに制御が移ります。アイデンティティ・プロバイダからレスポンスが返されるときは、そのリクエストを開始した同じサーバーにレスポンスが返される必要があります。複数のMobile and Socialノード・デプロイメントがあり、アクセスがロード・バランサを介して行われる場合は、Mobile and Socialへのリクエストは、ロード・バランサのスティッキー・セッション機能を使用して同じサーバーに固定される必要があります。IDPへのリクエストを開始したMobile and SocialがIDPレスポンスを受信した後に、Mobile and Socialは、そのリクエストに対してさらに処理を行うことができます。
Mobile and Socialアプリケーションは、クラスタ内のすべてのメンバーにデプロイされます。クラスタでのデプロイ成功時に、Mobile and Socialアプリケーションは他のクラスタ・メンバーに通知はしません。
この項では、ノード障害からの保護を提供するMobile and Socialアーキテクチャの要素について説明します。
ノード・フェイルオーバーが発生した場合、Mobile and Socialは、WebLogic Serverの標準のフェイルオーバー手順に従うことに注意してください。クライアントから受信したリクエストをMobile and Socialで完了する前にノード障害が発生した場合、クライアントは、HTTP接続タイムアウトを介してエラーを受信します。
この項には次のトピックが含まれます:
Mobile and Socialコンポーネントは、WebLogic Server 10.3にデプロイされる標準のJ2EEアプリケーションで、ロード・バランシング向けの標準に準拠しています。次の点に注意してください。
Mobile and Social/RPのリクエストではスティッキーなセッション・ルーティングを使用する必要がありますが、外部ロード・バンランサはサポートされています。
コンポーネント間のロード・バランシングはありません。
永続接続がないため、タイムアウト要件はありません。
Mobile and Socialの高可用性アーキテクチャは、フェイルオーバー要件についてはWebLogic Serverの標準のクラスタ・サポートに依存します。このアーキテクチャでは、セッション状態はレプリケートされません。
Mobile and Socialは、Oracle Access Managerと同一の管理対象サーバーの一部です。
Mobile and Socialは個別に、あるいはOAM、STSおよびIdentity Federationなどの別のコンポーネントとともにデプロイできます。
この項では、Mobile and Socialの高可用性の構成方法を、次のような内容で説明します。
次のMobile and Social構成の前提条件に注意してください。
Mobile and Socialを高可用性に構成するには、複数のホストにOAMをインストールして、高可用性設定に構成する必要があります。第6章「Oracle Access Management Access Managerコンポーネントの高可用性の構成」を参照してください。
無効になっている場合は、Mobile and Socialを有効化する必要があります。Oracle Access Managementコンソールにログインし、「システム構成」タブを選択して、「使用可能なサービス」を開き、Mobile and Socialのステータスに緑色のチェックが表示されていることを確認します。
ORACLE_INSTANCE
/config/OHS/ohs1/moduleconf
のoam.conf
ファイルに次のマッピングを追加することによって、oic_restおよびoic_rp
にOHSを構成する必要があります。
<Location /oic_rest> SetHandler weblogic-handler WebLogicCluster oamhost1.example.com:14100,oamhost2.example.com:14100 </Location> <Location /oic_rp> SetHandler weblogic-handler WebLogicCluster oamhost1.example.com:14100,oamhost2.example.com:14100 </Location>
Mobile and Socialの高可用性を設定するには、WebGateプロファイル構成を変更する必要があります。
WebGateプロファイル構成を変更するには、次の手順を実行します。
OAMコンソールにログインします。
起動パッドに移動します。「エージェント」、「検索」の順にクリックします。
「accessgate-oic」を選択して編集します。
注意: このクラスタに複数のインスタンスをインストールした場合、プライマリ・サーバー・リストには複数のエントリが表示されるはずです。 |
プライマリ・サーバー・リストのエントリをすべて削除します。
「アクセス・サーバー」に「その他」
のエントリを追加して、「ホスト名」には「localhost」
を指定します。ポート番号は既存のポート番号と一致する必要があります。
「適用」をクリックして、変更内容を保存します。
Mobile and Socialの高可用性を設定するには、トークン・サービス・プロバイダ構成を変更する必要があります。
OAMコンソールにログインします。
「モバイル・セキュリティ」タブを選択します
起動パッドに移動します。「モバイル認証」を選択します。
OAMに依存する任意のサービス・プロバイダ(次を参照)をクリックします。
OAMAuthentication
OAMAuthorization
MobileOAMAuthentication
JWTOAMAuthentication
MobileJWTOAMAuthentication
oam.OAM_SERVER_1
とoam.OAM_SERVER_2
をlocalhost
に変更します。ポート番号は既存のポート番号と同じであることが必要です。
FederationでのOAuthサービス・プロバイダ構成を変更する必要があります。
OAMコンソールにログインします。
「フェデレーション」タブを選択します。
起動パッドに移動します。「OAuth」、「アイデンティティ・ドメイン」、「デフォルト・ドメイン」の順に選択します。「サービス・プロバイダ」、「OAuthServiceProvider」の順に選択します。
oam.OAM_SERVER_1
とoam.OAM_SERVER_2
をlocalhost
に変更します。ポート番号は既存のポート番号と同じであることが必要です。