Oracle® Fusion Middleware Oracle Identity and Access Managementアップグレード・ガイド 11gリリース2 (11.1.2.3.0) E69899-05 |
|
前 |
次 |
この章では、手動アップグレード手順を使用して、Oracle WebLogic Server上のOracle Privileged Account Manager (OPAM) 11gリリース2 (11.1.2.2.0)、11gリリース2 (11.1.2.1.0)および11gリリース2 (11.1.2)環境をOracle Privileged Account Manager 11gリリース2 (11.1.2.3.0)にアップグレードする方法を説明します。
注意: 既存のOracle Identity and Access Management環境がライフ・サイクル管理(LCM)ツールを使用してデプロイされた場合は、自動アップグレード手順を使用してOracle Identity and Access Management 11gリリース2 (11.1.2.3.0)にアップグレードする必要があります。自動アップグレード手順、サポートされる開始ポイントおよびトポロジの詳細は、第2章「Oracle Identity and Access Managementの自動アップグレードの理解」を参照してください。 |
注意: この章では、Oracle Privileged Account Manager 11gリリース2 (11.1.2)、11gリリース2 (11.1.2.1.0)および11gリリース2 (11.1.2.2.0)環境を、11.1.2.x.xと呼びます。 |
この章では、次の項目について説明します。
第7.13項「オプション: Oracle Privileged Account Manager 11.1.2.3.0セッション・マネージャの構成」
第7.14項「オプション: OPAM管理対象サーバー上のOracle Privileged Account Managerコンソール・アプリケーションの構成」
表7-1に、Oracle Privileged Account Manager 11.1.2.x.xをOracle Privileged Account Manager 11.1.2.3.0にアップグレードするために実行するタスクを示します。
表7-1 Oracle Privileged Account Manager 11.1.2.x.xの11.1.2.3.0へのアップグレード手順
Sl番号 | タスク | 詳細の参照先 |
---|---|---|
1 |
アップグレード・プロセスを開始する前に、必要なアップグレード前タスクを実行します。 |
|
2 |
Oracle Privileged Account Manager 11.1.2をOracle Privileged Account Manager 11.1.2.3.0にアップグレードしている場合、アップグレード前のデータをエクスポートする必要があります。 Oracle Privileged Account Manager 11.1.2.1.0をOracle Privileged Account Manager 11.1.2.3.0にアップグレードしている場合は、このタスクはスキップしてください。 |
第7.3項「アップグレード前データのエクスポート」を参照してください。 |
3 |
管理サーバーとすべての管理対象サーバーを停止します。 |
「管理サーバーおよび管理対象サーバーの停止」を参照してください。 |
4 |
Oracle WebLogic Server 10.3.6を使用しない場合は、Oracle WebLogic Serverを10.3.6にアップグレードする必要があります。 |
「Oracle WebLogic Serverの10.3.6へのアップグレード」を参照してください。 |
5 |
Oracle Privileged Account Managerバイナリを11.1.2.3.0にアップグレードします。 |
「Oracle Privileged Account Managerバイナリの11.1.2.3.0への更新」を参照してください。 |
6 |
11.1.2.x.xデータベース・スキーマをアップグレードします。 |
「データベース・スキーマのアップグレード」を参照してください。 |
7 |
すべてのサーバーを停止します。 |
「管理サーバーおよび管理対象サーバーの起動」を参照してください。 |
8 |
Oracle Privileged Account Managerコンソール・アプリケーション、Oracle Privileged Account ManagerアプリケーションおよびOracle Privileged Account Manager Session Managerアプリケーションを再デプロイします。 |
「アプリケーションの再デプロイ」を参照してください。 |
9 |
開始ポイントが11gリリース2 (11.1.2)の場合は、次のタスクを実行します。
開始ポイントが11gリリース2 (11.1.2.2.0)または11gリリース2 (11.1.2.1.0)の場合は、前述のタスクをスキップします。 |
関連項目: |
10 |
開始ポイントが11gリリース2 (11.1.2.1.0)または11gリリース2 (11.1.2)の場合は、次のタスクを実行します。
|
関連項目: |
11 |
アップグレードを確認します。 |
アップグレードを開始する前に、次の前提条件を満たす必要があります。
Oracle Fusion Middlewareのシステム要件と仕様およびOracle Fusion Middlewareのサポートされるシステム構成ドキュメントを参照して、インストールまたはアップグレードする製品の最小要件をシステムが満たしていることを確認します。詳細は、第24.1.1項「動作保証、システム要件および相互運用性の確認」を参照してください。
使用しているJava Development Kit (JDK)のバージョンが、Oracle Identity and Access Management 11.1.2.3.0でサポートおよび動作保証されていることを確認します。
Oracle Fusion Middlewareのサポートされるシステム構成のページで動作保証情報を確認して、必要なJDKバージョンを確認できます。
JDKは、Oracle Technology Network (OTN)の「Java SE Development Kit 7 Downloads」ページからダウンロードできます。
注意: JDKバージョン要件の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementのシステム要件と仕様11gリリース2 (11.1.2)ドキュメントのOracle WebLogic ServerとJDKの考慮事項に関するトピックを参照してください。 |
Oracle Privileged Account Manager 11.1.2を11.1.2.3.0にアップグレードしている場合、アップグレード・プロセスを開始する前にアップグレード前のOracle Privileged Account Managerデータをエクスポートする必要があります。
注意: Oracle Privileged Account Manager 11.1.2.1.0を11.1.2.3.0にアップグレードしている場合は、このタスクをスキップしてください。 |
Oracle Privileged Account Manager 11.1.2を11.1.2.3.0にアップグレードする前に、ターゲット、アカウント、ユーザーなどのアップグレード前のOPAMデータをエクスポートする必要があります。この項で示されている各手順は、OPAMデータをXMLファイルにエクスポートするためのプロセスを説明しています。新しいバージョンではバックエンド・データ・ストアがOPSSスキーマからネイティブのOPAMデータ・ストアに移行しているため、エクスポートは手動で行う必要があります。
次の手順を使用して、OPAMデータをエクスポートします。
次の環境変数を設定します。
変数 | 説明 |
---|---|
ORACLE_HOME |
Oracle Privileged Account Managerがインストールされている場所。 |
JAVA_HOME |
WebLogicインストールに使用されるJDKの場所。 |
ORACLE_HOME
/opam/bin
に移動します。
次のコマンドを、示されているすべてのパラメータを使用して実行します。
UNIXの場合:
./opam.sh [-url <OPAM server url>]] (defaults to https://localhost:18102/opam) -u [user name] (the user should have OPAM_SECURITY_ADMIN and OPAM_USER_MANAGER roles) -p <password> -x export -f [export xml file] [-encpassword <encryption/decryption password>] (provide a value for encpassword for better security) [-enckeylen <Key Length for encryption/decryption of password>] (defaults to 128) [-log <log file Location>] (defaults to opamlog_<timestamp>.txt)
Windowsの場合:
./opam.bat [-url <OPAM server url>]] (defaults to https://localhost:18102/opam) -u [user name] (the user should have OPAM_SECURITY_ADMIN and OPAM_USER_MANAGER roles) -p <password> -x export -f [export xml file] [-encpassword <encryption/decryption password>] (provide a value for encpassword for better security) [-enckeylen <Key Length for encryption/decryption of password>] (defaults to 128) [-log <log file Location>] (defaults to opamlog_<timestamp>.txt)
注意: 暗号パスワードなしでデータがエクスポートされている場合は、データのインポート時にパラメータ「-noencrypt true 」でこれを指定します。 |
このアップグレード・プロセスには、バイナリおよびスキーマへの変更が含まれます。したがって、アップグレード・プロセスを開始する前に、WebLogic管理サーバーおよびOracle Privileged Account Manager管理対象サーバーを停止する必要があります。
WebLogic管理サーバーの停止の詳細は、第24.1.9項「サーバーの停止」を参照してください。
Oracle Identity and Access Management 11.1.2.3.0は、Oracle WebLogic Server 11gリリース1 (10.3.6)で動作保証されています。したがって、既存のOracle Privileged Account Manager環境でOracle WebLogic Server 10.3.5またはそれより前のバージョンを使用している場合、Oracle WebLogic Serverを10.3.6にアップグレードする必要があります。
注意: Oracle WebLogic Server 10.3.6をすでに使用している場合は、必須パッチを適用して、Oracle WebLogic Server 10.3.6の特定の問題を解決してください。Oracle WebLogic Server 10.3.6に適用する必要がある必須パッチを特定するには、『Oracle Fusion Middleware Infrastructureリリース・ノート』の必須パッチのダウンロードと適用に関する項を参照してください。 リリース・ノートにリストされているパッチはMy Oracle Supportで入手できます。パッチ適用手順は、各パッチに付属する |
Oracle WebLogic Serverの10.3.6へのアップグレードの詳細は、第24.1.5項「Oracle WebLogic Serverの11gリリース1 (10.3.6)へのアップグレード」を参照してください。
Oracle Privileged Account Manager 11.1.2.x.xバイナリを11.1.2.3.0に更新するには、Oracle Identity and Access Management 11.1.2.3.0インストーラを使用する必要があります。この手順では、ミドルウェア・ホームが既存の11.1.2.x.x Oracle Privileged Account Managerミドルウェア・ホームを指すようにします。Oracleホームは11.1.2.x.xから11.1.2.3.0にアップグレードされます。
Oracle Privileged Account Managerバイナリの11.1.2.3.0への更新の詳細は、第24.1.6項「Oracle Identity and Access Managementバイナリの11gリリース2 (11.1.2.3.0)への更新」を参照してください。
パッチ・セット・アシスタントを使用して、次のスキーマをアップグレードします。
OPAM
OPSS: OPSSは、OPAMの選択時に依存として選択されます。
パッチ・セット・アシスタントを使用したスキーマのアップグレードの詳細は、第24.1.4「パッチ・セット・アシスタントを使用したスキーマのアップグレード」を参照してください。
OPAMスキーマとOPSSスキーマをアップグレードすると、OPAMスキーマのバージョンは11.1.2.3.0になります。
スキーマのアップグレード後に、WebLogic Administration ServerおよびOracle Privileged Account Manager管理対象サーバーを起動します。
WebLogic管理サーバーおよび管理対象サーバーの起動の詳細は、第24.1.8項「サーバーの起動」を参照してください。
WebLogic Administration ServerおよびOracle Privileged Account管理対象サーバーの起動後に、Oracle Privileged Account Managerコンソール・アプリケーションおよびOracle Privileged Account Managerアプリケーションを再デプロイする必要があります。このためには、次のタスクを実行します。
oinav.ear
を更新すると、Oracle Privileged Account Managerコンソール・アプリケーションが再デプロイされます。oinav.ear
の更新には、WebLogic管理コンソールの使用とWebLogic Scripting Toolの使用の2つの方法があります。
次のいずれかの方法で、Oracle Privileged Account Managerコンソール・アプリケーションを再デプロイします。
WebLogic Server管理コンソールを使用したOPAMコンソール・アプリケーションの再デプロイ
次の手順を実行して、WebLogic管理コンソールからOracle Privileged Account Managerコンソール・アプリケーションを再デプロイします。
WebLogic管理コンソールにログインします。
http://
admin_server_host
:
admin_server_port
/console
「ドメイン構造」の下で、「デプロイメント」をクリックします。
「名前」表からoinav (11.1.1.3.0)を選択します。
「アプリケーション更新アシスタント」画面でソース・パスを確認した後、「更新」をクリックし、「終了」をクリックします。
注意: WebLogicを本番モードで実行している場合は、「更新」をクリックする前に「ロックして編集」をクリックします。 |
WebLogic Scripting Tool (WLST)を使用したOPAMコンソール・アプリケーションの再デプロイ
次の手順を実行して、WLSTコンソールからOracle Privileged Account Managerコンソール・アプリケーションを再デプロイします。
UNIXの場合
MW_HOME
/wlserver_10.3/common/bin
の場所から次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合: ./wlst.sh
Windowsの場合: wlst.cmd
次のコマンドを使用して管理サーバーに接続します。
connect('
weblogic-username
','
weblogic-password
','
weblogic-url
')
WLSTプロンプトで、次のコマンドを実行します。
redeploy('oinav#11.1.1.3.0')
exit()
コマンドを使用してWLSTコンソールを終了します。
注意: 実際のOracle Privileged Account Managerのバージョン番号は11.1.2.3.0ですが、OPAMアプリケーションのバージョン番号は11.1.2.0.0になっています。これはエラーではありません。この不一致は、OPAMリリースとIdentity Access Managementリリースの内部的な追跡方法の違いによるものです。 |
opam.ear
を更新すると、Oracle Privileged Account Managerが再デプロイされます。opam.ear
の更新には、WebLogic管理コンソールの使用とWebLogic Scripting Toolの使用の2つの方法があります。
次のいずれかの方法で、Oracle Privileged Account Managerアプリケーションを再デプロイします。
WebLogic Server管理コンソールを使用したOPAMアプリケーションの再デプロイ
次の手順を実行して、WebLogic管理コンソールからOracle Privileged Account Managerをアップグレードします。
WebLogic管理コンソールにログインします。
http://
admin_server_host
:
admin_server_port
/console
「ドメイン構造」の下で、「デプロイメント」をクリックします。
「名前」表からopam (11.1.2.0.0)を選択します。
「アプリケーション更新アシスタント」画面でソース・パスを確認した後、「更新」をクリックし、「終了」をクリックします。
注意: WebLogicを本番モードで実行している場合は、「更新」をクリックする前に「ロックして編集」をクリックします。 |
WebLogic Scripting Tool (WLST)を使用したOPAMアプリケーションの再デプロイ
次の手順を実行して、WLSTコンソールからOracle Privileged Account Managerをアップグレードします。
MW_HOME
/wlserver_10.3/common/bin
の場所から次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合: ./wlst.sh
Windowsの場合: wlst.cmd
次のコマンドを使用して管理サーバーに接続します。
connect('
weblogic-username
','
weblogic-password
','
weblogic-url
')
WLSTプロンプトで、次のコマンドを実行します。
redeploy('opam#11.1.2.0.0')
exit()
コマンドを使用してWLSTコンソールを終了します。
opamsessionmgr.ear
を更新すると、Oracle Privileged Account Managerセッション・マネージャが再デプロイされます。opamsessionmgr.ear
の更新には、WebLogic管理コンソールの使用とWebLogic Scripting Toolの使用の2つの方法があります。
次のいずれかの方法で、Oracle Privileged Account Managerセッション・マネージャ・アプリケーションを再デプロイします。
WebLogic Server管理コンソールを使用したOPAMセッション・マネージャの再デプロイ
次の手順を実行して、WebLogic管理コンソールからOracle Privileged Account Managerセッション・マネージャをアップグレードします。
WebLogic管理コンソールにログインします。
http://
admin_server_host
:
admin_server_port
/console
「ドメイン構造」の下で、「デプロイメント」をクリックします。
「名前」表からopamsessionmgrを選択します。
「アプリケーション更新アシスタント」画面でソース・パスを確認した後、「更新」をクリックし、「終了」をクリックします。
注意: WebLogicを本番モードで実行している場合は、「更新」をクリックする前に「ロックして編集」をクリックします。 |
WebLogic Scripting Tool (WLST)を使用したOPAMセッション・マネージャの再デプロイ
次の手順を実行して、WLSTコンソールからOracle Privileged Account Managerセッション・マネージャをアップグレードします。
MW_HOME
/wlserver_10.3/common/bin
の場所から次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
UNIXの場合: ./wlst.sh
Windowsの場合: wlst.cmd
次のコマンドを使用して管理サーバーに接続します。
connect('
weblogic-username
','
weblogic-password
','
weblogic-url
')
WLSTプロンプトで、次のコマンドを実行します。
redeploy('opamsessionmgr')
exit()
コマンドを使用してWLSTコンソールを終了します。
Oracle Privileged Account Manager 11.1.2をOracle Privileged Account Manager 11.1.2.3.0にアップグレードしている場合、Oracle Privileged Account Managerデータ・ストア内でTDEモードまたは非TDEモードを有効化する必要があります。
注意: Oracle Privileged Account Manager 11.1.2.1.0を11.1.2.3.0にアップグレードしている場合は、このタスクをスキップしてください。 |
Oracle Privileged Account ManagerはOracle Database TDE(透過的データ暗号化)モードで操作できます。TDEモードを有効または無効にするよう選択できます。セキュリティ強化のために、TDEモードを有効にしておくことを強くお薦めします。有効化するモードに応じて、次のいずれかのタスクを実行します。
Oracle Privileged Account Managerデータ・ストアでTDEモードを有効化するには、次の手順を実行します。
Oracle Privileged Account ManagerのデータベースでのTDE (透過的データ暗号化)の有効化の詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化の有効化に関する項を参照してください。
詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化を使用した保存済データの保護に関する項を参照してください。
Oracle Privileged Account ManagerのデータベースでTDEを有効にした後は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOPAMスキーマの暗号化の有効化に関する項の説明に従って、OPAMスキーマで暗号化を有効にする必要があります。
OPAMスキーマで暗号化を有効にするには、sqlplusまたは他のクライアントを使用して、opamxencrypt.sql
スクリプトをOPAMスキーマとともに実行します。
IAM_HOME
/opam/sql/opamxencrypt.sql
次に例を示します。
sqlplus DEV_OPAM/welcome1 @IAM_HOME
/opam/sql/opamxencrypt.sql
非推奨ですが、ユーザーが非TDEモードを必要とする場合はフラグ「tdemode」をfalse
に設定する必要があります。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の非TDEモードの設定に関する項を参照してください。
注意: 常に透過的データ暗号化(TDE)を使用するようにお薦めしています。TDEがないと、データの保護が低下します。2つのモードの切り替えの詳細は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のディスク上のデータの保護に関する項を参照してください。 |
Oracle Privileged Account Manager 11.1.2を11.1.2.3.0にアップグレードしている場合、11.1.2.3.0にアップグレードした後、アップグレード前のOracle Privileged Account Managerデータをエクスポートする必要があります。
注意: Oracle Privileged Account Manager 11.1.2.1.0を11.1.2.3.0にアップグレードしている場合は、このタスクをスキップしてください。 |
アップグレード前のOPAMデータをインポートするには、次の手順を実行します。
次の環境変数を設定します。
変数 | 説明 |
---|---|
ORACLE_HOME |
Oracle Privileged Account Managerがインストールされている場所。 |
JAVA_HOME |
WebLogicインストールに使用されるJDKの場所。 |
ORACLE_HOME
/opam/bin
に移動します。
次のパラメータを指定して、opam.shスクリプトを実行します。
./opam.sh -url <OPAM server url> (defaults tohttps://localhost:18102/opam
) -u <user name> (the user should haveOPAM_SECURITY_ADMIN
andOPAM_USER_MANAGER
roles) -p <password> -x import -f <import xml file> -encpassword <encryption/decryption password> -enckeylen <Key Length for encryption/decryption of password> (Defaults to 128) -log <log file Location> (defaults to opamlog_<timestamp>.txt)
Oracle Privileged Account Manager 11.1.2を11.1.2.3.0にアップグレードしている場合、11.1.2.3.0にアップグレードした後、アップグレード前のOPSSアーティファクトをクリアする必要があります。
注意: Oracle Privileged Account Manager 11.1.2.1.0を11.1.2.3.0にアップグレードしている場合は、このタスクをスキップしてください。 |
アップグレード前インスタンスのOPSSアーティファクトをクリアするには、次の手順を実行します。
UNIXの場合:
$ORACLE_HOME/common/bin/wlst.sh $ORACLE_HOME/opam/config/clean-opss.py <WebLogic Administrator Username> <WebLogic Administrator Password> <t3://<adminserver-host>:<adminserver-port>
Windowsの場合:
$ORACLE_HOME\common\bin\wlst.cmd $ORACLE_HOME\opam\config\clean-opss.py <WebLogic Administrator Username> <WebLogic Administrator Password> <t3://<adminserver-host>:<adminserver-port>
Oracle Privileged Account Manager 11gリリース2 (11.1.2.2.0)を11.1.2.3.0にアップグレードしている場合、この手順は不要です。
Oracle Privileged Account Manager 11.1.2.3.0セッション・マネージャを構成する場合は、次の手順を実行します。
WebLogic管理サーバーおよびOracle Privileged Account Manager管理対象サーバーを停止します。
サーバーの停止の詳細は、第7.4項「管理サーバーおよび管理対象サーバーの停止」を参照してください。
次の例に示すように、WLSTスクリプトconfigureSessionManager.py
をORACLE_HOME
/opam/tools
から実行します。
UNIXの場合:
./wlst.sh
ORACLE_HOME
/opam/tools/configureSessionManager.py
-d
<Path_to_WebLogic_Domain_Directory>
-o
<Path_to_Oracle_Home_Directory>
Windowsの場合:
wlst.cmd
ORACLE_HOME
\opam\tools\configureSessionManager.py
-d
<Path_to_WebLogic_Domain_Directory>
-o
<Path_to_Oracle_Home_Directory>
Oracle Privileged Account Manager 11gリリース2 (11.1.2.2.0)を11.1.2.3.0にアップグレードしている場合、この手順は不要です。
Oracle Privileged Account Managerコンソール・アプリケーションをOracle Privileged Account Manager管理対象サーバー上で構成する場合は、次の手順を実行します。
WebLogic管理サーバーおよびOracle Privileged Account Manager管理対象サーバーを停止します。サーバーの停止の詳細は、第24.1.9項「サーバーの停止」を参照してください。
MW_HOME
/oracle_common/common/bin
から次のWLSTコマンドを実行します。
UNIXの場合:
./wlst.sh
ORACLE_HOME
/opam/tools/configureOPAMConsole.py -d
DOMAIN_HOME
-o
ORACLE_HOME
Windowsの場合:
wlst.cmd
ORACLE_HOME
/opam/tools/configureOPAMConsole.py -d
DOMAIN_HOME
-o
ORACLE_HOME
次の手順を実行して、Oracle Privileged Account Managerのアップグレードを確認します。
次のURLを使用して、Oracle Privileged Account Manager 11.1.2.3.0のコンソールにログインします。
http://
adminserver_host
:
adminserver_port
/oinav/opam
Oracle Privileged Account Manager管理対象サーバー上でOracle Identity Navigatorを構成した場合は、次のURLを使用してOracle Privileged Account Manager 11.1.2.3.0コンソールにログインすることも可能です。
http://
opamserver_host
:
opamserver_nonssl_port
/oinav/opam
アップグレード前のデータ、ターゲット、アカウント、権限が存在しており、想定どおりに機能することを確認します。