| Oracle® Fusion Middleware Oracle Identity and Access Management移行ガイド 11gリリース2 (11.1.2.3.0) E67359-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity and Access Management移行ガイド 11gリリース2 (11.1.2.3.0) E67359-01 |
|
前 |
次 |
この章では、メタデータの再配布またはURLの更新の要件なしに、データをOracle Identity Federation (OIF) 11gリリース1環境からOracle Access Management Identity Federation 11gリリース2 (11.1.2.3.0)に移行する方法について説明します。
Oracle Identity and Access Management 11gリリース2では、Oracle Identity Federationの新しいバージョンがOracle Access Managementスイートの統合されたコンポーネントとして導入されました。OIFのこのバージョンでは、Oracle Identity Federation 11gリリース1とは違う、SAMLプロバイダ・メタデータまたは新しいエンドポイントURL (OpenID、Ws-Fed用)が生成されます。
この章の内容は次のとおりです。
Oracle Identity Federation 11gリリース1からOracle Access Management Identity Federation 11.1.2.3.0への構成データの移行には、サーバーの構成データの移行とパートナの構成データの移行という2つの大きなタスクが含まれます。これはWLSTコマンドを実行することで行うことができます。アップグレード機能の一部として、移行スクリプトとともに、/fedサービスURLへのリクエストを検査し、それらをOracle Identity Federation 11.1.2.3.0サーバーでの対応するエンドポイントにルート変更するサーブレットが提供されます。
移行プロセスを開始する前に、この章で説明する手順を使用して、移行されない構成を確認します。
次の構成は、移行プロセスの一部として移行されません。
移行されないグローバル構成:
ユーザー・データ・ストア: アップグレードされたOracle Access Management Identity Federation 11.1.2.3.0のアイデンティティ・ストアは、アイデンティティ・ストアとして古いLDAPを使用するように構成できます。
フェデレーション・データ・ストア
フェデレーション・データ・ストアがデータベースの場合、Oracle Access Management Identity Federation 11.1.2.3.0は、フェデレーション・データ・ストアとして古いデータベースを使用するように構成できます。この変更には、Oracle Access Manager Server用のJNDI名を持つJDBCデータソースの作成と、JNDI名の指定によるJDBCデータソースを使用するOracle Identity Federationの構成が含まれます。
古いフェデレーション・データ・ストアがLDAPの場合、スクリプトでデータをLDAPフェデレーション・ストアから抽出し、レコードを新しいRDBMSフェデレーション・データ・ストアに作成する必要があります。さらに、Oracle Access Manager Server用のJNDI名を持つJDBCデータソースを作成し、JNDI名を指定することでJDBCデータソースを使用するOracle Identity Federationを構成します。
一時ストアまたはメッセージ・ストア
構成ストア: Oracle Access Management Identity Federation 11.1.2.3.0に必要なすべての構成データは、移行スクリプトにより新しい構成ストアにコピーされます。
認証エンジン(OOTBおよびカスタム): アップグレード後の唯一の認証エンジンはOracle Access Managerです。Oracle Identity Federation 11gリリース1で使用されたカスタム・エンジンは移行されません。
フェデレーション認証メソッド
サービス・プロバイダ統合モジュール(OOTBおよびカスタム): 移行後、Oracle Access ManagerはSPエンジンになります。Oracle Identity Federation 11gリリース1のSPエンジンで実行されたカスタマイズは移行されません。
証明書の検証
SSL設定(WebLogic Server、Oracle HTTP Server、SSLクライアントとして動作しているときのOracle Identity Federationのパスワード)。
ユーザー承諾ページの設定
属性値フィルタリングおよび属性値マッピング
一時ストアまたはメッセージ・ストアは移行されません。
移行されないIdP構成
SSOアサーションの属性は移行されません。Oracle Identity Federationセッション属性は11.1.2.3.0ではサポートされません。
Oracle Identity Federationセッション属性に基づくNameID
HTTPヘッダーから取得した属性およびOracle Identity Federationセッション属性として保存された属性は移行されません。
移行されないSP構成
カスタムの認証エンジン経由でのユーザー・プロビジョニングは移行されません。別のユーザー・プロビジョニングをOracle Access Management Identity Federation 11.1.2.3.0の移行後に構成できます。
カスタムの認証エンジン経由でのユーザー登録は移行されません。別のユーザー登録をOracle Access Management Identity Federation 11.1.2.3.0の移行後に構成できます。
表7-1で、Oracle Identity Federation 11gリリース1の機能とOracle Access Management Identity Federation 11gリリース2 (11.1.2.3.0)の機能を比較します。
表7-1 機能の比較
| Oracle Identity Federation 11gリリース1 | Oracle Access Management Identity Federation 11.1.2.3.0 |
|---|---|
|
Oracle Identity Federation 11gリリース1はその構成データを固有のファイルまたはデータベース・スキーマに保持するスタンドアロン製品です。サーバー構成およびパートナ・データ用に別の記憶域を持ちます。 |
Identity FederationはOracle Access Managementインフラストラクチャの重要な部分で、そのインフラストラクチャで提供されるすべての共有サービスを利用します |
|
Oracle Identity Federation 11gリリース1のURLには、コンテキスト・ルートとして |
Oracle Access Management Identity FederationのURLには、使用するエンドポイントに応じて |
|
Oracle Identity Federation 11gリリース1で使用される証明書には、署名に使用できる1つの証明書と暗号化用に構成可能な別の証明書が含まれます。 |
Oracle Access Management Identity Federation 11.1.2.3.0では、キーストアの異なる別名を選択することで、異なる証明書を異なるパートナ用に使用することができます。 |
|
Oracle Identity Federation 11gリリース1では、 |
Oracle Access Management Identity Federation 11.1.2.3.0では、 |
Oracle Identity Federationの11gリリース1と11gリリース2 (11.1.2.3.0)間でのメタデータの違いには次のものがあります。
ホストおよびポートの情報
EntityID/ProviderID
署名証明書と暗号化証明書
OIFサーバーのエンドポイントとして使用されるディスクリプタのURL
表7-2は、Oracle Identity Federation 11gリリース1からOracle Access Management Identity Federation 11.1.2.3.0へのデータの移行手順を示しています。
表7-2 移行ロードマップ
| Sl番号 | タスク | 参照先 |
|---|---|---|
|
1 |
Oracle Identity Federation 11.1.2.3.0の機能を確認します。 |
「機能の比較」を参照 |
|
2 |
移行プロセスを開始する前にシステム要件と動作保証を確認します。 |
|
|
3 |
まだ行っていない場合、Oracle Access Management 11.1.2.3.0をインストールおよび構成します。 |
|
|
4 |
サーバーの構成データをOracle Identity Federation 11gリリース1からOracle Access Management Identity Federation 11.1.2.3.0へ移行します。 |
|
|
5 |
パートナの構成データをOracle Identity Federation 11gリリース1からOracle Access Management Identity Federation 11.1.2.3.0へ移行します。 |
|
|
6 |
Oracle HTTP Serverの |
「Oracle Identity Federation ServerからOracle Access Manager Serverへの/fed URLのリダイレクト」を参照 |
|
7 |
移行後のタスクの一部として、パートナのプロパティ |
「移行後のタスク」を参照 |
Oracle Identity Federation 11gリリース1からOracle Access Management Identity Federation 11.1.2.3.0へ移行する前に、次の要件を満たす必要があります。
システム要件および動作保証のドキュメントを読み、環境がインストールする製品の最小要件を満たしていることを確認します。
Oracle Fusion Middlewareのシステム要件と仕様
このドキュメントには、ハードウェアとソフトウェアの要件、最小ディスク領域とメモリーの要件、および必要なシステム・ライブラリ、パッケージまたはパッチに関する情報が含まれます。
Oracle Fusion Middlewareのサポートされるシステム構成
このドキュメントには、サポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品に関する情報が含まれます。
インストール時に発生する可能性がある相互運用性および互換性の問題については、『Oracle Fusion Middleware相互運用および互換性ガイド』を参照してください。
Oracle Fusion Middleware製品が旧バージョンの他のOracle Fusion Middleware、Oracleまたはサード・パーティ製品と機能するために重要な情報がこのマニュアルに記載されています。この情報は、既存の環境をアップグレードする既存ユーザーと新しいOracle Fusion Middlewareユーザーの両方に適用されます。
|
注意: Oracle Fusion Middlewareの概念とディレクトリ構造の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイド』のOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する項を参照してください。 |
使用しているOracle Identity Federationのバージョンが移行でサポートされていることを確認します。OpenSSO Enterprise 8.0の移行がサポートされている開始ポイントの詳細は、第1.4項「移行および共存がサポートされている開始ポイント」を参照してください。
Oracle Access Management Identity FederationはOracle Access Managementスイートにより提供されるサービスです。したがって、構成データをOracle Identity Federation 11gリリース1からOracle Access Management Identity Federation 11.1.2.3.0に移行するために、Oracle Access Management 11.1.2.3.0をインストールおよび構成する必要があります。Oracle Access ManagementはOracle Identity and Access Managementスイートのコンポーネントです。Oracle Access ManagementはOracle Identity and Access Management 11.1.2.3.0のインストーラを使用してインストールし、Oracle Fusion Middlewareの構成ウィザードを使用して構成できます。
|
注意: すでにOracle Access Management 11.1.2.3.0を構成している場合は、このタスクはスキップします。 |
Oracle Identity and Access Management 11.1.2.3.0のインストールおよび構成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.2.3.0)のインストールおよび構成に関する項を参照してください。
サーバーの構成データをOracle Identity Federation 11gリリース1からOracle Access Management Identity Federation 11.1.2.3.0へ移行するには、次のことを実行します。
ORACLE_HOME/common/binの場所から次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合: ./wlst.sh
Windowsの場合: wlst.cmd
次のコマンドを実行してサーバーの構成を移行します。
migrate11gR1To11gR23FedServerConfig(mode, migrateKeyAndCertificates)
前述のコマンドでは、次のとおりです。
modeの値は、"idp"、"sp"または"idsp"のいずれかです。サーバーがIdPとして動作する場合、"idp"を指定します。サーバーがSPとして動作する場合、"sp"を指定します。サーバーがIdPまたはSPとして動作する場合、"idpsp"を指定します。
idpを指定すると、IdP構成のみがOracle Identity Federation 11.1.2.3.0に移行されます。
spを指定すると、SP構成のみがOracle Identity Federation 11.1.2.3.0に移行されます。
idpspを指定すると、IdPおよびSP構成の両方がOracle Identity Federation 11.1.2.3.0に移行されます。
migrateKeysAndCertificatesの値は、"true"または"false"のいずれかです。
trueを指定すると、 Oracle Identity Federation 11gリリース1の証明書がOracle Identity Federation 11.1.2.3.0に移行されます。
falseを指定すると、Oracle Identity Federation 11gリリース1の証明書はOracle Identity Federation 11.1.2.3.0に移行されません。
入力を求められたら、WebLogic Server 11gリリース1管理対象サーバー、管理サーバーおよび11.1.2.3.0管理サーバーの接続の詳細を入力します。
次に、サーバー構成を移行するコマンドを実行する例を示します。
ORACLE_HOME/common/bin/wlsh.sh
wls:/offline>migrate11gR1To11gR23FedServerConfig("idpsp","true")
前述の例のコマンドは、サーバーの構成データをidpおよびspモードで移行します。鍵および証明書もOracle Identity Federation 11gリリース1から11.1.2.3.0へ移行します。
パートナの構成データをOracle Identity Federation 11gリリース1からOracle Access Management Identity Federation 11.1.2.3.0へ移行するには、次のことを実行します。
ORACLE_HOME/common/binの場所から次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合: ./wlst.sh
Windowsの場合: wlst.cmd
次のコマンドを実行してサーバーの構成を移行します。
migrate11gR1To11gR23FedPartners(mode, promptForPartnerName, promptForNameIDSettings, createAttrProfilePerPartner)
前述のコマンドでは、次のとおりです。
modeの値は、"idp"、"sp"または"idsp"のいずれかです。
idpを指定すると、IdP構成のみがOracle Access Management Identity Federation 11.1.2.3.0に移行されます。
spを指定すると、SP構成のみがOracle Access Management Identity Federation 11.1.2.3.0に移行されます。
idpspを指定すると、IdPおよびSP構成の両方がOracle Access Management Identity Federation 11.1.2.3.0に移行されます。
promptForPartnerNameの値は、"true"または"false"のいずれかです。
trueを指定すると、Oracle Access Management Identity Federation 11.1.2.3.0に作成する前に、スクリプトによりパートナ名を求められます。
falseを指定すると、スクリプトはprovideridに基づく名前を、接頭辞http(s)://を削除し、"."、"/"、"~"および":"文字を"-"に置き換えることで作成します。
promptForNameIDSettingsの値は、"true"または"false"のいずれかです。
trueを指定すると、スクリプトによりユーザー・マッピング設定を求められます。
falseを指定すると、スクリプトはOracle Identity Federation 11gリリース1の構成からユーザー・マッピング設定を導出します。
createAttrProfilePerPartnerの値は、"true"または"false"のいずれかです。
trueを指定すると、スクリプトは各パートナに対し1つの属性プロファイルを作成します。
falseを指定すると、スクリプトは設定データに対しデフォルトの属性プロファイルを使用します。
入力を求められたら、WebLogic Server 11gリリース1管理対象サーバー、管理サーバーおよび11.1.2.3.0管理サーバーの接続の詳細を入力します。
次に、サーバー構成を移行するコマンドを実行する例を示します。
ORACLE_HOME/common/bin/wlsh.sh
wls:/offline>migrate11gR1To11gR23FedPartners("idsp","true")
前述の例のコマンドは、新しいパートナ名およびnameid設定を求めることなく、すべてのパートナにデフォルトの属性プロファイルを使用して、すべてのパートナをOracle Access Management Identity Federation 11.1.2.3.0に移行します。
プロキシまたはロード・バランサでの変更には、Oracle Identity Federation管理対象サーバー・ホストおよびポートからOracle Access Manager管理対象サーバーのホストおよびポートへの/fed URLのリダイレクトが含まれます。これを実行するには、エントリWebLogicHostのOracle Identity Federation Serverのホスト名をOracle Access Manager Serverのホスト名で置き換え、エントリWebLogicPortのOracle Identity Federation ServerのポートをOracle Access Manager Serverのポートで置き換えることで、Oracle HTTP Server (OHS)ホストのmod_wl_ohsファイルを更新します。可用性の高い環境の場合、エントリWebLogicClusterのすべてのOracle Access Manager管理対象サーバーのホスト名およびポートを指定します。
次に例を示します。
1つのノードの設定の場合:
<Location /fed> SetHandler weblogic-handler WebLogicHost OAM_HOST (Before update, this would be OIF_HOST) WebLogicPort OAM_PORT (Before update, this would be OIF_PORT) </Location>
高可用性(HA)設定の場合:
<Location /fed> WebLogicCluster OAM_HOST1:OAM_PORT1,OAM_HOST2:OAM_PORT2 SetHandler weblogic-handler </Location>
移行後、すべてのパートナとのシングル・サインオン(SSO)は、更新していないパートナとシームレスに動作し、新しいサーバーと相互作用します。
パートナのメタデータ(SAML用)またはエンドポイントURL (OpenID 2.0、WS-Fed用)の更新の準備ができたら、Oracle Access Management Identity Federation 11.1.2.3.0サーバーはそれを示すために更新される必要があります。これは、Oracle Identity Federation 11gリリース1とOracle Access Management Identity Federation 11.1.2.3.0に構成されたprovideridの違いを避けるために、移行中にlocalprovideridというプロパティが移行されるすべてのIdPパートナに対して設定されるからです。これはIdPが最新のURLまたはOracle Identity Federation 11.1.2.3.0 SPのメタデータで更新された時点で、削除される必要があります。
パートナが新しいURLを含む新しいSAML 2.0メタデータを受信した、または新しいOracle Identity Federation URLを使用するように構成を更新したら(SAML 2.0メタデータが使用されない場合)、wlstコマンドdeletePartnerPropertyを実行して、パートナ・プロパティlocalprovideridを削除する必要があります。これを行うには、次の手順を実行します。
ORACLE_HOME/common/binの場所から次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合: ./wlst.sh
Windowsの場合: wlst.cmd
次のコマンドを実行してパートナ・プロパティlocalprovideridを削除します。
deletePartnerProperty(partnerName, partnertype, "localproviderid")
このコマンドでは、次のように指定します。
partnerNameはパートナの名前です。
partnerTypeはパートナのタイプです。
