Oracle® Fusion Middleware Oracle Identity and Access Managementデプロイメント・ガイド 11gリリース2 (11.1.2.3.0) E61954-03 |
|
前 |
次 |
この章を使用して、Oracle Identity and Access Managementで使用される既存のサポートされるLDAPディレクトリを準備します。
この章の手順をいつ実行する必要があるかの詳細は、第2.3項「Oracle Identity and Access Managementのディレクトリ・サーバー要件について」を参照してください。
この章の構成は、次のとおりです。
第3.1項「自動化されたOracle Identity and Access Managementデプロイメントで使用される既存のOUDまたはOIDディレクトリ・サービスの準備」
第3.2項「Oracle Identity and Access Managementで使用される既存のMicrosoft Active Directoryインスタンスの準備」
ディレクトリ・インスタンスを設定するには、次のタスクを実行します。
既存のディレクトリ・サービスをOracle Identity and Access Managementデプロイメントの一部として使用する前に、必要なユーザー、グループ、コンテナおよびその他の必須アーティファクトを追加して、ディレクトリを準備する必要があります。
このタスクを実行するには、LCMツールの一部としてパッケージ化されている特別なスタンドアロン・バージョンのidmConfigTool
スクリプトを使用します。
idmConfigTool_STA
スクリプトのスタンドアロン・バージョンはidmConfigTool_STA
という名前で、LCMツールのインストール時にLCMツールのOracleホーム(IDMLCM_HOME)の次の場所にインストールされます。
IDMLCM_HOME/existing_directory/idmtools/bin
このディレクトリとidmConfigTool_STA
スクリプトの検索の詳細は、次の項を参照してください。
idmConfigTool_STA
スクリプトを実行する前に、次のオペレーティング・システム環境変数を設定する必要があります。これらの変数は、idmConfigTool_STA
スクリプトの実行に使用するのと同じターミナル・ウィンドウで設定します。
ORACLE_HOME
この変数は、次のディレクトリに設定します。
IDMLCM_HOME/existing_directory
この例では、IDMLCM_HOMEを第2.5項「デプロイメント・リポジトリおよびLCMツール・ディレクトリ構造について」のIDMLCM_HOME変数の値で置換します。
ほとんどのLCMツール操作では、通常、OracleホームはIDMLCM_HOMEの値と見なされますが、idmConfigTool_STAスクリプトを実行するには、この値をIDMLCM_HOME内のexisting_directory
サブディレクトリに設定する必要があります。
JAVA_HOME
サポートされるJava Development Kit (JDK)の完全パス。JDKはIDMLCMに出荷されたリポジトリから取得できます。
LCMツールは、idmConfigTool_STA
スクリプトへの入力を指定するために使用するプロパティ・ファイルを提供します。ファイルは、LCM Oracleホーム内の次の場所にインストールされます。
IDMLCM_HOME/existing_directory/idmtools/input_parameters.properties
テキスト・エディタでinput_parameters.properties
ファイルを開き、ファイルの指示に従います。
各パラメータに値を指定し、idmConfigTool_STA
スクリプトがディレクトリ・サービスを特定して接続し、ディレクトリに対して必要な変更を行えるようにします。
input_parameters.properties
ファイルには、2つの特定のセクションが含まれます。
preConfigIDStore
プロパティ
prepareIDStore
プロパティ
ファイルのpreConfigIDStore
セクションのプロパティの多くにはデフォルト値がありますが、ホスト名などの一部のプロパティは変更する必要があるため、すべての値をレビューしてください。その他については、デフォルト値が適用される場合はデフォルト値を使用できます。
ファイルのprepareIDStore
セクションの値の大部分はそのままにすることができます。これらは、各Oracle Identity and Access Managementコンポーネントで必要なディレクトリ・サービス・データの標準値を表します。たとえば、Oracle Access Managerに期待されるデフォルト値は#OAM
でマークされたセクションに示されています。
idmConfigTool_STA
スクリプトには、LDAPディレクトリに接続するためのパスワードとWebLogic管理サーバーに接続するためのパスワードが必要です。LDAPディレクトリに作成するシステムおよび管理アカウントの新規パスワードも作成する必要があります。
これらのパスワードは2通りの方法のいずれかで指定できます。
idmConfigTool_STA
スクリプトでプロンプトが表示された場合は、パスワードを対話的に指定できます。
または
idmConfigTool_STA
スクリプトへの入力ファイルとして指定されるパスワード・ファイルを作成できます。
パスワード・ファイルを作成することに決めた場合は、人間との対話なしでidmConfigTool
スクリプトを実行できます。
パスワード・ファイルを作成する手順:
テキスト・エディタを使用して、テキスト・ファイルを作成します。
idmConfigTool_STA
スクリプトにアクセスできるかぎり、任意のファイル名または場所を使用できます。
次のパスワード値をファイルに入力します。
IDSTORE_PASSWD: your_value IDSTORE_PWD_READONLYUSER: your_value IDSTORE_PWD_READWRITEUSER: your_value IDSTORE_PWD_SUPERUSER: your_value IDSTORE_PWD_OAMSOFTWAREUSER: your_value IDSTORE_PWD_OAMADMINUSER: your_value IDSTORE_PWD_OAMOBLIXUSER: your_value IDSTORE_PWD_OIMADMINUSER: your_value IDSTORE_ADMIN_PASSWD: your_value WLSPASSWD: your_value IDSTORE_PWD_XELSYSADMINUSER: your_value IDSTORE_PWD_WEBLOGICADMINUSER: your_value
このパスワード・ファイルに入力した値は、idmConfigTool_STA
スクリプトを実行するときにセキュリティ目的で暗号化されます。
preConfigIDStore
コマンドを実行すると、必要なobjectclasses
がLDAPディレクトリにシードされます。
このタスクを実行するには次のコマンドを実行します。
ディレクトリをIDM LCMツールのOracleホーム内の次の場所に変更します。
cd IDMLCM_HOME/existing_directory/idmtools/bin/
idmConfigTool_STA
スクリプトを次のように実行します。
./idmConfigTool_STA.sh -preConfigIDStore \ input_file=input_parameters.properties \ pwd_file=password_input_file \ log_file=log_file_name
注意: この例では、idmConfigTool_STA スクリプトで作成されるログ・ファイルの名前と場所を必ず指定します。スクリプトでは、実行時にエラーは提供されません。スクリプトの正常完了を検証する唯一の方法は、ログ・ファイルを確認し、SEVEREログ・エントリを検索することです。 |
prepareIDStore
コマンドを実行すると、必要なユーザー、グループ、コンテナおよびその他の必須アーティファクトがLDAPディレクトリに作成されます。
このタスクを実行するには次のコマンドを実行します。
ディレクトリをIDM LCMツールのOracleホーム内の次の場所に変更します。
cd IDMLCM_HOME/existing_directory/idmtools/bin
特定のトポロジに該当する場合はidmConfigTool_STA
スクリプトをプライマリ・コンポーネントのOracle WebLogic Server、Oracle Access ManagerおよびOracle Identity Managerごとに1回実行します。
Oracle WebLogic Server (WLS)に対してはスクリプトを常に実行しますが、Oracle Access Manager (OAM)およびOracle Identity Managerコマンドはトポロジに適用される場合にのみ実行します。
./idmConfigTool_STA.sh -prepareIDStore \ mode=WLS \ input_file=input_parameters.properties \ pwd_file=password_input_file \ log_file=log file ./idmConfigTool_STA.sh -prepareIDStore \ mode=OAM \ input_file=input_parameters.properties \ pwd_file=password_input_file \ log_file=log file ./idmConfigTool_STA.sh -prepareIDStore \ mode=OIM \ input_file=input_parameters.properties \ pwd_file=password_input_file \ log_file=log_file
この例では、idmConfigTool
スクリプトで作成されるログ・ファイルの名前と場所を必ず指定します。スクリプトでは、実行時にエラーは提供されません。スクリプトの正常完了を検証する唯一の方法は、ログ・ファイルを確認することです。
Active Directoryのディレクトリ・インスタンスを設定するには、次のタスクを実行します。
LCMツールを使用した自動デプロイメントに対して既存のActive Directoryインスタンスを準備する最初の手順は、ディレクトリへの必要なスキーマのロードです。
Oracleは、編集してActive DirectoryインスタンスにインポートできるLDIFファイルのセットとしてスキーマを提供します。
スキーマを既存のActive Directoryインスタンスにロードする手順:
ディレクトリをLCMツールのホーム・ディレクトリ(IDMLCM_HOME)内の次のディレクトリに変更します。
IDMLCM_HOME/existing_directories/idmtools/templates/ad/
注意: LCMツールを使用せずにOracle Identity and Access Managementを手動でデプロイしている場合、スキーマLDIFファイルはソフトウェアのインストール後にOracle Identity and Access Management Oracleホームの次のディレクトリにあります。
IAM_ORACLE_HOME/oam/server/oim-intg/ldif/ad/schema/
|
トポロジに必要なLDIFファイルをテキスト・エディタで開き、<domain-dn>
のすべてのオカレンスを組織の識別名(DN)で置換します。
OAMおよびOMSSトポロジのデプロイを計画している場合は、次のLDIFファイルを編集します。
AD_OracleSchema.ldif AD_OblixSchema.ldif
注意: OMSSおよびActive DirectoryをOAMパスワード管理機能なしで使用することを計画している場合、AD_OracleSchema およびAD_OblixSchema LDIFファイルを使用してActive Directoryスキーマを展開することは必須ではありません。 |
OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、次のLDIFファイルを編集します。
AD_OracleSchema.ldif AD_UserSchema.ldif AD_oam_pwd_schema_add.ldif
標準手順を使用して、該当するLDIFファイルをActive Directoryインスタンスにインポートします。
LDIFファイルのロードの詳細は、Active Directoryのドキュメントを参照してください。
既存のActive Directoryインスタンスに必要なスキーマをインストールした後で、ディレクトリ・インスタンス内に必要なコンテナを作成できます。
必要なコンテナを作成する手順:
トポロジに必要なコンテナの作成に使用できる新しいLDIFファイルを作成します。
OAMおよびOMSSトポロジのデプロイを計画している場合は、例3-1に示すように.ldifファイルを作成します。
OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、例3-2に示すように.ldifファイルを作成します。
両方のサンプル.ldifファイルは、組織の実際のドメイン・コンテナのプレースホルダとして次のプレースホルダを使用します。環境に適した情報で置換してください。
dc=example,dc=com
標準手順を使用して、LDIFファイルをActive Directoryインスタンスにインポートします。
例3-1 OAMおよびOMSSデプロイメントのコンテナの作成に使用されるサンプルLDIFファイル
dn: cn=Groups,dc=example,dc=com changetype: add cn: Groups objectclass: container dn: cn=SystemIDs,dc=example,dc=com changetype: add cn: SystemIDs objectclass: container dn: cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserReadPrivilegeGroup objectclass: group dn: cn=orclFAUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserWritePrivilegeGroup objectclass: group dn: cn=orclFAUserWritePrefsPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserWritePrefsPrivilegeGroup objectclass: group dn: cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAGroupReadPrivilegeGroup objectclass: group dn: cn=orclFAGroupWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAGroupWritePrivilegeGroup objectclass: group dn: cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAOAMUserWritePrivilegeGroup objectclass: group dn: cn=IDM Administrators,cn=Groups,dc=example,dc=com changetype: add cn: IDM Administrators objectclass: group dn: cn=OAMAdministrators,cn=Groups,dc=example,dc=com changetype: add cn: OAMAdministrators objectclass: group
例3-2 OIM、OAMおよびOMSS統合トポロジのコンテナを作成するためのサンプルLDIFファイル
dn: cn=Groups,dc=example,dc=com changetype: add cn: Groups objectclass: container dn: cn=SystemIDs,dc=example,dc=com changetype: add cn: SystemIDs objectclass: container dn: cn=reserve,cn=Groups,dc=example,dc=com changetype: add cn: reserve objectclass: container dn: cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserReadPrivilegeGroup objectclass: group dn: cn=orclFAUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserWritePrivilegeGroup objectclass: group dn: cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAGroupReadPrivilegeGroup objectclass: group dn: cn=orclFAGroupWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAGroupWritePrivilegeGroup objectclass: group dn: cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAOAMUserWritePrivilegeGroup objectclass: group dn: cn=IDM Administrators,cn=Groups,dc=example,dc=com changetype: add cn: IDM Administrators sAMAccountName: IDM Administrators objectclass: group dn: cn=OAMAdministrators,cn=Groups,dc=example,dc=com changetype: add cn: OAMAdministrators sAMAccountName: OAMAdministrators objectclass: group dn: cn=OIMAdministrators,cn=Groups,dc=example,dc=com changetype: add cn: OIMAdministrators sAMAccountName: OIMAdministrators objectclass: group dn: cn=BIReportAdministrator,cn=Groups,dc=example,dc=com changetype: add cn: BIReportAdministrator sAMAccountName: BIReportAdministrator objectclass: group
Active Directoryインスタンスに必要なコンテナを作成した後、アクセス制御リスト(ACL)を使用して各コンテナの権限を設定できます。
Microsoft TechNet Webサイトの次の記事の手順に従って、例3-3にリストされているACLを追加します。
http://technet.microsoft.com/en-us/library/cc757520%28v=ws.10%29.aspx
例3-3 必要なActive DirectoryコンテナのACLのリスト
orclFAUserReadPrivilegeGroup : Read privileges to users container orclFAUserWritePrivilegeGroup : Write privileges to users container orclFAGroupReadPrivilegeGroup : Read privileges to groups container orclFAGroupWritePrivilegeGroup : Write privileges to groups container orclFAOAMUserWritePrivilegeGroup : Write privileges to users and groups container
Active Directoryインスタンス内にコンテナを作成した後で、必要なユーザーを作成できます。
トポロジに必要なユーザーの作成に使用できる新しいLDIFファイルを作成します。
OAMおよびOMSSトポロジのデプロイを計画している場合は、例3-4に示すように.ldifファイルを作成します。
OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、例3-5に示すように.ldifファイルを作成します。
両方のサンプル.ldifファイルは、組織の実際のドメイン・コンテナのプレースホルダとして次のプレースホルダを使用します。環境に適した情報で置換してください。
dc=example,dc=com @example.com
標準手順を使用して、LDIFファイルをActive Directoryインスタンスにインポートします。
例3-4 OAMおよびOMSSトポロジのActive Directoryインスタンスにユーザーを追加するためのサンプルLDIFファイル
dn: cn=weblogic_idm,cn=Users,cd=example,dc=com changetype: add cn: weblogic_idm objectClass: user samAccountName: weblogic_idm givenName: weblogic_idm sn: weblogic_idm userPrincipalName: weblogic_idm@example.com dn: cn=oamadmin,cn=Users,cd=example,dc=com changetype: add cn: oamadmin objectClass: user samAccountName: oamadmin givenName: oamadmin sn: oamadmin userPrincipalName: oamadmin@example.com dn: cn=OblixAnonymous,cd=example,dc=com changetype: add cn: OblixAnonymous objectClass: user samAccountName: OblixAnonymous givenName: OblixAnonymous sn: OblixAnonymous userPrincipalName: oblixanonymous@example.com dn: cn=oamLDAP,cn=systemids,cd=example,dc=com changetype: add cn: oamLDAP objectClass: user samAccountName: oamLDAP givenName: oamLDAP sn: oamLDAP userPrincipalName: oamldap@example.com
例3-5 OIM、OAMおよびOMSS統合トポロジのActive Directoryインスタンスにユーザーを作成するためのサンプルLDIFファイル
dn: cn=weblogic_idm,cn=Users,dc=example,dc=com changetype: add objectClass: user samAccountName: weblogic_idm givenName: weblogic_idm sn: weblogic_idm cn: weblogic_idm userPrincipalName: weblogic_idm@example.com dn: cn=xelsysadm,cn=Users,dc=example,dc=com changetype: add objectClass: user samAccountName: xelsysadm givenName: xelsysadm sn: xelsysadm cn: xelsysadm userPrincipalName: xelsysadm dn: cn=oamadmin,cn=Users,dc=example,dc=com changetype: add objectClass: user samAccountName: oamadmin givenName: oamadmin sn: oamadmin cn: oamadmin userPrincipalName: oamadmin@example.com dn: cn=OblixAnonymous,dc=example,dc=com changetype: add objectClass: user samAccountName: OblixAnonymous givenName: OblixAnonymous sn: OblixAnonymous cn: OblixAnonymous userPrincipalName: oblixanonymous@example.com dn: cn=oamLDAP,cn=systemids,dc=example,dc=com changetype: add objectClass: user samAccountName: oamLDAP givenName: oamLDAP sn: oamLDAP cn: oamLDAP userPrincipalName: oamLDAP@example.com dn: cn=oimLDAP,cn=systemids,dc=example,dc=com changetype: add objectClass: user samAccountName: oimLDAP givenName: oimLDAP sn: oimLDAP cn: oimLDAP userPrincipalName: oimLDAP@example.com
Active Directoryインスタンスにユーザーを作成した後で、各ユーザーを適切なグループに追加します。
OAMおよびOMSSトポロジについて、グループとその関連ユーザーを第3.2.5.1項に示します。
OIM、OAMおよびOMSS統合デプロイメントについて、グループとその関連ユーザーを第3.2.5.2項に示します。
グループにユーザーを追加する手順は、Microsoft TechNet Webサイトの次の記事を参照してください。
https://technet.microsoft.com/en-us/library/cc737130%28v=ws.10%29.aspx
OAMおよびOMSSデプロイメントでは、次のリストを使用して、必要なユーザーを各グループに割り当てます。
cn=IDM Administrators,cn=Groups,dc=example,dc=com
cn=oamadministrators,cn=groups,dc=example,dc=com
cn=weblogic_idm,cn=users,dc=example,dc=com
cn=OAMAdministrators,cn=Groups,dc=example,dc=com
cn=oamadmin,cn=users,dc=example,dc=com
cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
OIM、OAMおよびOMSS統合トポロジでは、次のリストを使用して、必要なユーザーを各グループに割り当てます。
cn=IDM Administrators,cn=Groups,dc=example,dc=com
cn=oamadministrators,cn=groups,dc=example,dc=com
cn=weblogic_idm,cn=users,dc=example,dc=com
cn=OAMAdministrators,cn=Groups,dc=example,dc=com
cn=oamadmin,cn=users,dc=example,dc=com
cn=OIMAdministrators,cn=Groups,dc=example,dc=com
cn=oimldap,cn=systemids,dc=example,dc=com
cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=BIReportAdministrator,cn=Groups,dc=example,dc=com
cn=xelsysadm,cn=Users,dc=example,dc=com
OIM、OAMおよびOMSS統合デプロイメントでは、次のようにOIMAdministors
グループを管理者グループに追加します。
「Active Directoryユーザーとコンピューター」で、「OIMAdministrators」グループを右クリックします。
ポップアップ・メニューの「プロパティ」を選択します。
「メンバー」タブを選択します。
「追加」をクリックし、「グループの選択」ダイアログ・ボックスを使用して「管理者」を追加します。
「OK」をクリックして「グループの選択」ダイアログ・ボックスを閉じます。
「適用」をクリックして変更を適用します。
必要なユーザーを作成し、それらを適切なグループに割り当てた後で、ユーザー・パスワードをリセットする必要があります。
ユーザー・パスワードをリセットするには、Microsoft TechNet Webサイトで次の記事を参照してください。
http://technet.microsoft.com/en-in/library/cc782255%28v=ws.10%29.aspx
ディレクトリ内の必要な各Oracle Identity and Access Managementユーザーのパスワードをリセットする場合は、「ユーザーは次回ログオン時にパスワードの変更が必要」チェック・ボックスをクリアします。
コンテナを作成し、ACLを設定し、ユーザーを追加し、それらを適切なグループに割り当て、ユーザー・パスワードをリセットした後で、ユーザー・アカウントを有効にできます。
「スタート」メニュー→「管理ツール」→「Active Directoryユーザーとコンピューター」を選択します。
作成したユーザーを含む各コンテナをクリックします。
「詳細」ペインから、各ユーザーを右クリックし、「アカウントの有効化」を選択します。
ユーザーが間違ったパスワードを複数回入力したときに適切な動作を保証するには、Oracle Identity and Access Managementソフトウェアのセキュリティ設定に合せてActive DirectoryのLockoutThreshold
値を構成することが重要です。
ほとんどの場合、Active Directory LockoutThreshold
は10に設定するのが最適です。ただし、Oracle Identity and Access Managementをデプロイした後で、次のOracle Identity and Access Management構成ファイルでpwdMaxFailure
設定も10に設定されているかどうかを確認する必要があります。
DOMAIN_HOME/config/fmwconfig/ovd/oim/adapters.os_xml
一般に、Active Directory LockoutThreshold
はpwdMaxFailure
設定に合せて設定する必要があります。
LockoutThreshold
設定の詳細は、Microsoft Technet Webサイトの次の記事を参照してください。
https://technet.microsoft.com/en-us/library/cc775412%28v=ws.10%29.aspx
OAMおよびOMSS環境をデプロイしている場合は、SSLモードでのActive Directoryの構成はオプションのステップです。
一方、OIM、OAMおよびOMSS統合環境をデプロイしている場合は、Active DirectoryインスタンスをSSLモードで構成する必要があります。
Active Directoryのドキュメントを使用して、ディレクトリ・インスタンスをSSLモードで構成します。
Active DirectoryをSSLモードで構成する場合は、生成するRootCA証明書をメモします。
この証明書は、LCMツールを使用してソフトウェアをデプロイする際に入力として必要になります。