5 Oracle Identity and Access Managementデプロイメントの実行

デプロイメント・レスポンス・ファイルを作成した後、そのファイルを使用してOracle Identity and Access Management環境をデプロイします。この章ではOracle Identity and Access Managementをデプロイする方法について説明します。

この章では次の項について説明します。

• 第5.1項「Oracle Identity Manager自動デプロイメントの各ステージについて」

• 第5.2項「各デプロイメント・フェーズで構成されるサービスとサーバーについて」

• 第5.3項「統合トポロジにMicrosoft Active Directoryを使用している場合の手動デプロイメント・タスク」

• 第5.4項「デプロイメント前のEnvironment Health Checkユーティリティの実行」

• 第5.5項「LCMツールを使用したOracle Identity and Access Managementのデプロイ」

• 第5.6項「デプロイメント後のEnvironment Health Checkユーティリティ・レポートおよびログのレビュー」

5.1 Oracle Identity Manager自動デプロイメントの各ステージについて

LCMツールを使用してOracle Identity and Access Management環境をデプロイするときには、ステージごとにデプロイメントを実行していきます。各ステージの最後に、そのステージが正常に完了したかどうかを次のステージに進む前に検証できます。

自動デプロイメント・プロセスを理解して準備を整えられるように、Oracle Identity Manager、Oracle Access ManagerおよびOracle Mobile Security Servicesの統合デプロイメントを行う場合の各デプロイメント・ステージを表5-1に示します。

各ステージの完了までにかかる時間がわかるように、統合環境をインストールおよびデプロイする場合の各ステージの予想所要時間も示されています。

注意: 各ステージに要する時間は、選択されたトポロジや、既存のLDAPディレクトリを使用するか新しいLDAPディレクトリを作成するか、および使用可能なシステム・リソースなどの他の要因によって異なります。

表5-1 統合OIM-OAM-OMSSデプロイメントの各フェーズの概要

フェーズ番号	フェーズ名	説明	予想所要時間
1	事前検査	最小限の前提条件が満たされているかどうかを検証します。 このフェーズでは、LCMツールはOracle Identity and Access Management Health Checkユーティリティを使用して、次のような各種システム要件をチェックします。 使用可能なポート データベースへの接続 空きディスク領域 物理および仮想メモリー Health Checkユーティリティで検証される項目の詳細は、『Oracle Identity and Access Management環境の確認』を参照してください。 いずれかの必須プラグイン(プロビジョニングが正常に完了するように環境の必須パラメータをチェックするプラグイン)が失敗した場合、プロビジョニングは先に進みません。 オプションのプラグイン(環境で推奨されるが必須ではないパラメータをチェックするプラグイン)が失敗した場合、警告が表示されますが、警告を無視することでプロビジョニングを進めることができます。 詳細は、『Oracle Fusion Middleware Oracle Identity and Access Management環境の確認』のHealth Checkレポートの分析に関する項を参照してください。	1分
2	インストール	ソフトウェア・リポジトリ内の必要なインストーラを起動して、必要なミドルウェア・ホーム・ディレクトリを作成し、ソフトウェアのバイナリ・ファイルをディスクにインストールし、必要なパッチをバイナリ・ファイルに適用します。	75分
3	事前構成	ソフトウェアを構成するための準備として次のタスクを実行します。 LCMツールを使用してスキーマをインストールする場合は、LCMツールがリポジトリ作成ユーティリティ(RCU)を実行し、必要なスキーマをデータベース内に作成します。 自動デプロイメントの一環として新しいLDAPディレクトリ・サービスを作成する場合は、LCMツールがOracle Unified DirectoryまたはOracle Internet Directoryインスタンスを構成します。 必要なユーザーおよびグループを、新しいLDAPディレクトリ・サービス・インスタンスに追加します。 Oracle WebLogic Serverの初期ドメイン(IAMAccessDomainおよびIAMGovernanceDomain)を作成します。 次の製品でAccessドメインを拡張します。 Oracle Access Manager(OAM) Oracleモバイル・セキュリティ・マネージャ(OMSM) 統合ユーザー・インタフェース Application Provisioning Manager (APM) 次の製品でGovernanceドメインを拡張します。 Oracle Identity Manager(OIM) Oracle SOA Suite Oracle Business Intelligence Publisher (BIP) Application Provisioning Manager (APM) Oracle HTTP Serverを構成します。	75分
4	構成	次の手順を実行してソフトウェアを構成します。 ドメインのノード・マネージャを構成します。 Oracle Identity Manager構成ウィザードを実行してOIMアーティファクトを作成します。 -configOAM引数を指定してidmConfigToolを実行し、次のタスクを実行します。 Oracle WebLogic Serverオーセンティケータを作成する LDAPアイデンティティ・ストアを作成する Webゲート・プロファイル(Webgate_IDM、Webgate_IDM_11g)を作成する -configOMSS mode=OMSM引数を指定してidmConfigToolを実行し、Oracle Mobile Security Services (OMSS)を構成します。 OMSASインスタンスを作成します。 -configOMSS mode=OMSAS引数を指定してidmConfigToolを実行します。	40分
5	構成-セカンダリ	必要なセカンダリ構成タスクを実行します。 OMSS証明書をGovernanceドメインにエクスポートします。 -configOIM引数を指定してidmConfigToolを実行し、それによってOracle Identity Managerに関する次のタスクを実行します。 Oracle WebLogic Serverオーセンティケータを作成する TAP登録を実行する 必要なCSFエントリをNAP構成のキーストアに追加する Oracle Identity ManagerとOracle Access Managerを統合する。	20分
6	事後構成	次の事後構成タスクを実行します。 パフォーマンスの基準にあわせてソフトウェアを調整します。 電子メール・サーバーを構成します(レスポンス・ファイル作成時にこのオプションを選択した場合)。 ドメインのデフォルトの管理アカウントとなるweblogic_idmユーザーを作成して構成します。 FederationソフトウェアをOracle Access Manager用に構成します。 Oracle HTTP ServerインスタンスをAccessドメインに登録します。 Webゲートを構成します。	40分
7	起動	すべてのサーバーおよびサービスを起動します。	45分
8	検証	Oracle Identity and Access Managementのヘルス・チェック・ユーティリティを使用してデプロイメントを検証します。 Health Checkユーティリティ・プラグインのインストール後のステータスは、次の場所で入手できます。 LCMDIR/provisioning/logs/<host name>/healthcheck-error/logs/healthchecker	2分

5.2 各デプロイメント・フェーズで構成されるサービスとサーバーについて

フェーズの1つでデプロイメントが失敗した場合は、クリーンアップおよびリストアを使用して、デプロイメントをインストール・フェーズの最後にロールバックできます。または、各フェーズの最後でデプロイメントを停止し、環境をバックアップすることもできます。このようにすると、次のフェーズが失敗した場合に、最後に成功したデプロイメント・フェーズの終わりの状態に環境を簡単にリストアできます。

ただし、環境をバックアップする前に、まず実行しているサーバーまたはプロセスを停止してから、バックアップの完了時にそれらを再起動する必要があります。

表5-2に、デプロイメントの各フェーズをバックアップする前に停止してから、バックアップの完了時に再度起動する必要のあるサーバーとプロセスのリストを示します。

表5-2の管理対象サーバーの名前は、サーバーごとに選択した名前によって異なる可能性があります。ただし、このガイドの目的で、管理対象サーバーは第1.3項「LCMツールでサポートされるOracle Identity and Access Managementトポロジ」のトポロジ図に示す名前を使用します。

表5-2 各プロビジョニング・フェーズ後、バックアップ前に停止するサーバーのリスト

	フェーズ	OIMデプロイメント	OUD脚注 1 があるOAMおよびOMSSデプロイメント	OIM、OAM、OMSSおよびOUDの統合デプロイメント
1	事前検査	なし	なし	なし
2	インストール	なし	なし	なし
3	事前構成	ノード・マネージャ 管理サーバー Oracle HTTP Server	Oracle Unified Directory (OUD)、ノード・マネージャ、管理サーバー、Oracle HTTP Server	OUD、ノード・マネージャ、アクセス管理サーバー ガバナンス管理サーバー Oracle HTTP Server
4	構成	ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oim1	OUD ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oam1 wls_msm1	OUD ノード・マネージャ アクセス管理サーバー wls_oam1 wls_msm1 ガバナンス管理サーバー wls_oim1 Oracle HTTP Server
5	構成-セカンダリ	ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oim1	OUD ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oam1 wls_msm1	OUD ノード・マネージャ アクセス管理サーバー wls_oam1 wls_msm1 ガバナンス管理サーバー wls_oim1 Oracle HTTP Server
6	事後構成	ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oim1 wls_soa1	OUD ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oam1 wls_msm1	OUD ノード・マネージャ アクセス管理サーバー wls_oam1 wls_msm1 ガバナンス管理サーバー wls_oim1 wls_soa1 Oracle HTTP Server
7	起動	ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oim1 wls_soa1 wls_bi1	OUD ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oam1 wls_msm1 wls_ama1 MSAS	OUD ノード・マネージャ アクセス管理サーバー wls_oam1 wls_msm1 wls_ama1 ガバナンス管理サーバー wls_oim1 wls_soa1 wls_bi1 MSAS Oracle HTTP Server
8	検証	ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oim1 wls_soa1 wls_bi1	OUD ノード・マネージャ 管理サーバー Oracle HTTP Server wls_oam1 wls_msm1 wls_ama1 MSAS	OUD ノード・マネージャ アクセス管理サーバー wls_oam1 wls_msm1 wls_ama1 ガバナンス管理サーバー wls_oim1 wls_soa1 wls_bi1 MSAS Oracle HTTP Server

^脚注 1 この表では、Oracle Unified Directory (OUD)インスタンスをデプロイしていることを想定しています。Oracle Internet Directory (OID)インスタンスをデプロイしている場合は、OUDの参照をOIDで置換してください。

5.3 統合トポロジにMicrosoft Active Directoryを使用している場合の手動デプロイメント・タスク

既存のMicrosoft Active DirectoryインスタンスをOracle Identity and Access Managementデプロイメントの一部として使用している場合は、Oracle Identity and Access Managementデプロイメント中およびその後に実行する必要のある2つの重要な手順があります。

これらの手順は、Active Directoryを使用していて、OIM、OAMおよびOMSSの統合トポロジをデプロイしている場合にのみ適用されます。

• 第5.3.1項「インストール・フェーズ後のActive Directory用のOIMスキーマの拡張」

• 第5.3.2項「構成フェーズ後のLDAPAddMissingObjectClassesイベント・ハンドラの無効化」

5.3.1 インストール・フェーズ後のActive Directory用のOIMスキーマの拡張

Active DirectoryをOIM、OAMおよびOMSS統合デプロイメントの一部として使用している場合は、インストール・フェーズが正常に完了した後、事前構成フェーズの前に次の手順を実行する必要があります。

1. ディレクトリを、インストール・フェーズ中に作成したMiddlewareホーム内の次のディレクトリに変更します。

   cd MW_HOME/oracle_common/modules/oracle.ovd_11.1.1/oimtemplates/
   

   このディレクトリには、oimtemplatesディレクトリにインストールされる次のLDIFファイルを自動的にロードするextendsadschemaスクリプトが含まれます。

   • adOAMDisable.ldif

   • adOAMEnable.ldif

   • adOIMLanguageSubtype.ldif

   • adOIMSchema.ldif

2. Active Directoryスキーマを拡張するには、次のコマンドを実行します。

   ./extendadschema.sh 
       -h AD_host 
       -p AD_port 
       -D administrator@example.com
       -AD dc=example,dc=com> 
       -OAM true
   

注意: extendadschemaスクリプトは、Active Directory 2003、2008、2008R2および2012でのみ動作保証されています。

5.3.2 構成フェーズ後のLDAPAddMissingObjectClassesイベント・ハンドラの無効化

Active DirectoryをOIM、OAMおよびOMSS統合デプロイメントの一部として使用している場合は、構成または構成 - セカンダリ・フェーズの後、事後構成フェーズの前にLDAPAddMissingObjectClasses Oracle Identity Managerイベント・ハンドラを無効にする必要があります。

詳細は、『Oracle Identity Management Suite統合ガイド』のユーザーおよびロールに対するLDAPAddMissingObjectClassesの無効化に関する項を参照してください。

このタスクの完了後に、OIM管理対象サーバーを再起動してください。

5.4 デプロイメント前のEnvironment Health Checkユーティリティの実行

デプロイメント・ウィザードを使用してOracle Identity and Access Managementをデプロイする前に、Environment Health Checkユーティリティを実行して、環境がデプロイメント・ウィザードの実行とソフトウェアのデプロイのための最小要件を満たしていることを検証することをお薦めします。

Oracle Identity and Access Managementをデプロイする前にシステム検証を実行する手順:

1. JAVA_HOME環境変数をJDKディレクトリのフルパスに設定します。

2. ディレクトリを、Environment Health Checkユーティリティをダウンロードおよび解凍した次のディレクトリに変更します。

   cd IDMLCM_HOME/healthcheck/bin
   

3. 次のコマンドを実行して、インストール前検証チェックを実行します。

   ./idmhc.sh -manifest ../config/PreInstallChecks_mandatory_manual.xml 
   

   
   

   注意: Environment Health Checkユーティリティで実行されるインストール前チェックの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Management環境の確認』のPreInstallChecks_mandatory_manual.xmlに関する項を参照してください。

   
   

4. ヘルス・チェックが失敗した場合は、Health Checkユーティリティ・のログ・ファイルおよびレポート出力を確認して解決策を見つけてください。ログ・ファイルの場所はユーティリティの実行後に画面に出力されます。

   レポートには、それぞれのチェックごとのステータスと検証に失敗したチェックに対する解決策が一覧で示されます。手動で問題を解決し、すべてのチェックが成功するまでユーティリティを実行できます。ログ・ファイルとレポートの詳細は、Oracle Fusion Middleware Oracle Identity and Access Management環境の検証のヘルス・チェック・レポートの分析に関する項を参照してください。

5.5 LCMツールを使用したOracle Identity and Access Managementのデプロイ

レスポンス・ファイルを作成すると、デプロイメント・ツールのコマンド行またはOracle Identity and Access Managementデプロイメント・ウィザードを使用してOracle Identity and Access Managementソフトウェアをデプロイできるようになります。

注意: デプロイメントを開始する前に、すべての不要なプロセスがホストで停止されていることを確認します。これを行う1つの方法は、Oracle Identity and Access Managementデプロイメントを実行する前にホストを再起動することです。

この項には次のトピックが含まれます:

• 第5.5.1項「デプロイメント・ウィザードを使用したOracle Identity and Access Managementのデプロイ」

• 第5.5.2項「LCMツールのコマンド行を使用したOracle Identity and Access Managementのデプロイ」

5.5.1 デプロイメント・ウィザードを使用したOracle Identity and Access Managementのデプロイ

Oracle Identity and Access Managementデプロイメント・ウィザードを使用してデプロイメントを実行する場合は、次の手順に従います。

1. 環境変数JAVA_HOMEが、ソフトウェア・リポジトリのinstallersディレクトリからjdk.zipファイルを解凍したディレクトリに設定されていることを確認します。

   たとえば、次のようになります。

   REPOS_HOME/jdk.

2. 次のようにOracle Identity and Access Managementデプロイメント・ウィザードを起動します。

   cd IDMLCM_HOME/provisioning/bin
   ./iamDeploymentWizard.sh
   

3. 「IAMインストール・オプションの選択」画面で、

   1. 「Identity and Access Management環境をデプロイ」を選択します。

   2. 「レスポンス・ファイル」フィールドにパス名を入力するか、「参照」ボタンをクリックして目的の場所に移動して選択するか、いずれかの方法で使用するファイルのパス名を指定します。

      これは第4章「デプロイメント・レスポンス・ファイルの作成」で作成したデプロイメント・レスポンス・ファイルです。

4. 「レスポンス・ファイルの説明」画面で、デプロイメント・プロファイルの一部として作成したレスポンス・ファイルに関する情報を確認します。

   詳細は、「Oracle Identity Manager (OIM)トポロジ用デプロイメント・レスポンス・ファイルの作成」の5を参照してください。

5. 「インストールと構成の場所の選択」画面で、デプロイメント・プロファイルの作成時に指定したOracle Identity and Access Managementのインストール・ディレクトリと構成ディレクトリに関する情報を確認します。

   詳細は、「Oracle Identity Manager (OIM)トポロジ用デプロイメント・レスポンス・ファイルの作成」の9を参照してください。

6. デプロイメント構成の確認画面で、確認する構成を選択します。

   これはオプションの手順です。いずれかのコンポーネントの構成の詳細を表示または変更する場合は、そのコンポーネントを選択し、「次へ」をクリックします。選択するオプションに基づいて、対応する構成画面が表示されます。

   • OUD構成

   • OHS構成

   • SOA構成

   • OIM構成

   • OAM構成

   • OIM DB構成

   • OAM DB構成

7. 「サマリー」画面で、選択した内容をチェックしてインストールの詳細が意図したとおりになっていることを確認します。

   「次」をクリックしてデプロイメント・プロセスを開始します。ウィザードに、デプロイメント・プロセスの各フェーズの画面が表示されます。これらの画面は、それぞれ第5.1項で説明している各フェーズに対応しています。

8. ウィザード画面を監視して、デプロイメント・プロセスの進行状況を追跡します。

   画面の上部にあるステータス・アイコンは、ステージのステータスを示します。

   
   

   • ブロック・アイコンは、現在のステージの処理がまだ始まっていないことを示します。

   • 時計アイコンは、現在のステージが進行中であることを示します。

   • 緑色のチェック・マークは、現在のステージが正常に完了したことを示します。

     ステージが正常に終了すると、「次」をクリックして次のステージに進むまでウィザードが一時停止します。

   • 赤い丸で囲まれたxアイコンは、現在のステージが失敗したことを示します。続行する前に、エラーを訂正する必要があります。

     失敗に関する情報を表示するには、xアイコンをクリックします。ステージ固有の詳細を表示するには、ログ・ファイルをクリックします。

     失敗したステージからのリカバリ方法の詳細は、付録A「IAMデプロイメント再実行の前に環境をクリーンアップする」を参照してください。

9. 成功した各ステージの最後に、環境のバックアップを検討してください。

   各フェーズの後で環境をバックアップすると、ステージが失敗した場合に、最後に成功したステージの後の状態に環境を簡単にリストアできます。詳細は、第5.2項「各デプロイメント・フェーズで構成されるサービスとサーバーについて」を参照してください。

   
   

   注意: Microsoft Active Directoryを統合デプロイメントに使用している場合は、インストール・フェーズと構成フェーズの後にディレクトリで実行する必要のある必須の手順があります。 詳細は、第5.3項「統合トポロジにMicrosoft Active Directoryを使用している場合の手動デプロイメント・タスク」を参照してください。

   
   

10. すべてのデプロイメント・ステージが成功すると「インストール完了」画面が表示され、インストールされ構成された製品の概要が示されます。

    「終了」をクリックし、サマリーを保存してOracle Identity and Access Managementデプロイメント・ウィザードを終了します。

5.5.2 LCMツールのコマンド行を使用したOracle Identity and Access Managementのデプロイ

コマンド行デプロイメント・ツールを使用するには、-targetオプションでデプロイ・ステージを指定しながらrunIAMDeployment.shスクリプトを何回でも実行する必要があります。各コマンドを順序に従って終了してから、次のコマンドを実行する必要があります。

注意: Microsoft Active Directoryを統合デプロイメントに使用している場合は、インストール・フェーズと構成フェーズの後にディレクトリで実行する必要のある必須の手順があります。 詳細は、第5.3項「統合トポロジにMicrosoft Active Directoryを使用している場合の手動デプロイメント・タスク」を参照してください。

デプロイメント・ツールを実行する前に、環境変数JAVA_HOMEが、REPOS_HOME/installers/jdk/jdk.zipが抽出されたディレクトリに設定されていることを確認してください。例: REPOS_HOME/jdk

UNIXでのデプロイメント・ツールのコマンド構文は次のとおりです。

runIAMDeployment.sh -responseFile RESPONSE_FILE -target STAGE

この例では、次のことに注意してください。

• RESPONSE_FILEはデプロイメント・レスポンス・ファイルの場所の完全修飾パスです。デプロイメント・レスポンス・ファイルを作成するためにウィザードを起動したときに、「サマリー」画面で指定したファイル名とディレクトリ名です。

  UNIXの場合、デフォルト値は次のとおりです。

  IDMLCM_HOME/provisioning/bin/provisioning.rsp
  

• 各デプロイメント・フェーズのデプロイメント・コマンドを正しい順序で実行することが重要です。

  たとえば、デプロイメント・フェーズでの各コマンドを適切な順序で示す例5-1を確認します。

例5-1 完全なデプロイメントのためのLCMツール・コマンド行アクションの実行例

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target preverify

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target install

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target preconfigure

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target configure

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target configure-secondary

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target postconfigure

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target startup

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target validate

5.6 デプロイメント後のEnvironment Health Checkユーティリティ・レポートおよびログのレビュー

LCMツールを使用してOracle Identity and Access Managementの自動デプロイメントを完了した後、Oracle Identity and Access Environment Health Checkユーティリティで生成されたログ・ファイルとレポートを確認します。

ログ・ファイルとHTMLレポートは、LCMツールでのデプロイメント中に次の場所に保存されます。

IDMLCM_HOME/healthcheck/bin/logs/healthchecker/

レポートには、それぞれのチェックごとのステータスと検証に失敗したチェックに対する解決策が一覧で示されます。手動で問題を解決し、すべてのチェックが成功するまでユーティリティを実行できます。

ログ・ファイルとレポートの詳細は、Oracle Fusion Middleware Oracle Identity and Access Management環境の検証のヘルス・チェック・レポートの分析に関する項を参照してください。

HP-UXユーザーに注意してください。 ログまたはHTMLレポートの次のエラーは無視しても安全です。 ERROR: OIMHC-20024: SOAConfigCheck plugin failed. OIMHC-20137: Error occurred while trying to authenticate the user "weblogic_idm". Ensure that the configuration is correct. デプロイメントを検証するには、第7章で示す標準検証URLを使用します