| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
次 |
Oracle Identity Managerは、アプリケーションおよびディレクトリからユーザー・アカウントを追加、更新および削除するプロセスを自動化するユーザー・プロビジョニングおよび管理ソリューションです。また、誰が何にアクセスしたかを示すきめ細かいレポートを提供することで、法規制コンプライアンスの向上にも寄与します。Oracle Identity Managerは、スタンドアロンの製品としても、Oracle Identity Managementの一部としても利用できます。
第15章「エンタープライズ・デプロイメント用のドメインの作成」でドメインIAMGovernanceDomainを作成した際に、Oracle Identity ManagerおよびOracle Business Intelligence Liteのソフトウェア部品を含むドメインを作成しました。ただし、これらの製品を使用できるようにするには、製品を構成する必要があります。この章では、その手順について説明します。
ユーザー・アイデンティティのプロビジョニングを自動化すると、情報テクノロジ(IT)の管理コストを削減でき、セキュリティを向上できます。プロビジョニングは、法規制コンプライアンスにおいても重要な役割を果たします。Oracle Identity Managerの主要機能には、パスワード管理、ワークフローとポリシーの管理、アイデンティティ調整、レポートと監査、アダプタによる拡張性などがあります。
Oracle Identity Managerの主な機能は、次のとおりです。
ユーザー管理
ワークフローおよびポリシー
パスワード管理
監査とコンプライアンスの管理
統合ソリューション
ユーザー・プロビジョニング
組織とロールの管理
ドメインのURLについて
表19-1は、ドメインのURLおよび対応するコンポーネントおよびSSOユーザーを示しています。
表19-1 ドメインURLの詳細
| コンポーネント | URL | SSOユーザー |
|---|---|---|
|
セルフサービス・コンソール |
|
xelsysadm |
|
OIM管理コンソール |
|
xelsysadm |
この章の構成は、次のとおりです。
コンポジットのデプロイではマルチキャスト通信がデフォルトで使用されますが、Oracle Identity and Access Managementエンタープライズ・デプロイメントではユニキャスト通信の使用をお薦めします。セキュリティ上の理由からマルチキャスト通信を無効にしている場合は、ユニキャストを使用します。
ユニキャスト通信を使用した場合、この方法ではノードから他のクラスタ・メンバーを検出できません。したがって、クラスタに属するノードを指定する必要があります。ただし、クラスタのすべてのノードを指定する必要はありません。クラスタに追加した新しいノードから既存ノードのいずれかを検出するために必要な数のノードを指定するだけでかまいません。この結果、クラスタに追加した新しいノードからクラスタにある他のすべてのノードを検出できます。また、同じシステムで複数のIPを使用できるOracle Identity and Access Managementエンタープライズ・デプロイメントなどの構成では、特定のホスト名を使用してOracle Coherenceクラスタを作成するようにOracle Coherenceを構成する必要があります。
|
注意: デプロイメントに使用するOracle Coherenceフレームワークの構成が正しくないと、Oracle Identity and Access Managementシステムを起動できないことがあります。システムを実行するネットワーク環境に応じて、デプロイメント・フレームワークを適切にカスタマイズする必要があります。この項で説明する構成をお薦めします。 |
この項では、次の項目について説明します。
tangosol.coherence.wka<n>システム・プロパティを使用してノードを指定します。<n>は、1から9の数字です。指定できるノードは最大9個です。番号は、1から開始します。この番号付けは、連続的で間隙を含まないようにする必要があります。また、Oracle Coherenceでクラスタを作成するために使用するホスト名をtangosol.coherence.localhostシステム・プロパティで指定します。このローカル・ホスト名には、SOAサーバーでリスナーのアドレスとして使用する仮想ホスト名を指定する必要があります(OIMHOST1VHN2とOIMHOST2VHN2)。このプロパティを設定するには、Oracle WebLogic Server管理コンソールの「サーバーの起動」タブにある「引数」フィールドに-Dtangosol.coherence.localhostパラメータを追加します。
|
ヒント: SOAコンポジットのデプロイメント時の高可用性を保証するためには、十分なノードを指定して、いつでも最低1つのコンポジットが実行されているようにします。 |
|
注意: OIMHOST1VHN2は、OIMHOST1でWLS_SOA1がリスニングする仮想IPにマップされる仮想ホスト名です。OIMHOST2VHN2は、OIMHOST2でWLS_SOA2がリスニングする仮想IPにマップされる仮想ホスト名です。 |
管理コンソールを使用して、Oracle Coherenceで使用するホスト名を指定します。
Oracle Coherenceで使用するホスト名を追加する手順は、次のとおりです。
Oracle WebLogic Server管理コンソールにログインします。
「ドメイン構造」ウィンドウで、「環境」ノードを開きます。
「サーバー」をクリックします。
「サーバーのサマリー」ページが表示されます。
表の「名前」列にハイパーリンクで表示されているサーバーの名前(WLS_SOA1またはWLS_SOA2)をクリックします。選択したサーバーの設定ページが表示されます。
「ロックして編集」をクリックします。
「サーバーの起動」タブをクリックします。
「引数」フィールドで、WLS_SOA1とWLS_SOA2について次のように入力します。
WLS_SOA1については次の値を入力します。
-Dtangosol.coherence.wka1=OIMHOST1VHN2 -Dtangosol.coherence.wka2=OIMHOST2VHN2 -Dtangosol.coherence.localhost=OIMHOST1VHN2
WLS_SOA2については次の値を入力します。
-Dtangosol.coherence.wka1=OIMHOST1VHN2 -Dtangosol.coherence.wka2=OIMHOST2VHN2 -Dtangosol.coherence.localhost=OIMHOST2VHN2
|
注意: 異なる-Dパラメータの間には、空白の行を入れないでください。パラメータが複数ある場合は空白文字で区切る必要があります。管理コンソールの引数テキスト・フィールドに、テキストをコピーまたは貼り付けないでください。Java引数にHTMLタグが挿入される可能性があります。このテキストには、前述の例に含まれているテキスト文字以外の文字を入れないでください。 |
|
注意: デプロイメントに使用されるCoherenceクラスタは、デフォルトでポート8088を使用します。このポートは、起動パラメータ-Dtangosol.coherence.wkan.portおよび-Dtangosol.coherence.localportで別のポート(8089など)を指定することで変更できます。例: WLS_SOA1(「引数」フィールドに、改行なしで1行で次のように入力):
-Dtangosol.coherence.wka1=OIMHOST1VHN2 -Dtangosol.coherence.wka2=OIMHOST2VHN2 -Dtangosol.coherence.localhost=OIMHOST1VHN2 -Dtangosol.coherence.localport=8089 -Dtangosol.coherence.wka1.port=8089 -Dtangosol.coherence.wka2.port=8089 WLS_SOA2(「引数」フィールドに、改行なしで1行で次のように入力): -Dtangosol.coherence.wka1=OIMHOST1VHN2 -Dtangosol.coherence.wka2=OIMHOST2VHN2 -Dtangosol.coherence.localhost=OIMHOST2VHN2 -Dtangosol.coherence.localport=8089 -Dtangosol.coherence.wka1.port=8089 -Dtangosol.coherence.wka2.port=8089 |
「保存」および「変更のアクティブ化」をクリックします。
WebLogic管理サーバーを再起動します。
SOA管理対象サーバー(wls_soa1およびwls_soa2)を起動します。
|
注意: これらの変数が管理対象サーバーに正しく渡されることを確認する必要があります。(これらの変数はサーバーの出力ログに記録されます)。Oracle Coherenceフレームワークに問題があると、soa-infraアプリケーションを起動できないことがあります。 |
|
注意: マルチキャスト・アドレスとユニキャスト・アドレスは、クラスタ通信においてWebLogic Serverクラスタで使用するアドレスとは異なります。2つのエンティティ(コンポジットの配置先となるグループとWebLogic Serverクラスタ)における通信プロトコルが異なっていても、1つのWebLogic Serverクラスタに属するメンバーにコンポジットが配置されることがSOAで保証されます。 |
Oracle Identity Manager管理対象サーバーを起動する前に、Oracle Identity Managerサーバー・インスタンスを構成しておく必要があります。統合トポロジの場合、これはIAMHOST2で実行します。分散トポロジの場合、これはOIMHOST1で実行します。Oracle Identity Management構成ウィザードによって、Oracle Identity Managerメタデータがデータベースにロードされ、インスタンスが構成されます。
続行する前に、次の事項が正しいことを確認してください。
管理サーバーが起動されて、実行中であること。
SOA管理対象サーバーが起動されて、実行中であること。
環境変数DOMAIN_HOMEおよびWL_HOMEが現在のシェル内で設定されていないこと。
Oracle Identity Managementの構成ウィザードは、Identity ManagementのOracleホームの下にあります。
Oracle Identity Managerを構成する手順は、次のとおりです。
IGD_ORACLE_HOME/bin/から次のコマンドを実行して、構成ウィザードを起動します。
./config.sh
「ようこそ」画面で、「次へ」をクリックします。
構成するコンポーネント画面でOIMサーバーを選択します。
「次へ」をクリックします。
「データベース」画面で、次の値を入力します。
接続文字列: Oracle Identity Managerデータベースの接続文字列。
igddb-scan.example.com:1521:igdedg1^igddb-scan.example.com:1521:igdedg2@igdedg.example.com
OIMスキーマ・ユーザー名: edgigd_oim
OIMスキーマのパスワード: password
MDSスキーマ・ユーザー名: edgigd_mds
MDSスキーマのパスワード: password
「次へ」をクリックします。
WebLogic管理サーバー画面で、WebLogic管理サーバーについて次の詳細を入力します。
URL: WebLogic管理サーバーに接続するためのURLです。次に例を示します。
t3://IGDADMINVHN.example.com:7101
ここで、7101はワークシートのIGD_WLS_PORTです。
ユーザー名: weblogic
パスワード: weblogicユーザーのパスワードです。
「次へ」をクリックします。
OIMサーバー画面で、次の値を入力します。
OIM管理パスワード: Oracle Identity Manager管理者のパスワード。これはxelsysadmユーザーのパスワードです。このパスワードには、大文字と数字を使用する必要があります。ベスト・プラクティスは、アイデンティティ・ストアの準備でユーザーxelsysadmに割り当てたパスワードと同じパスワードを使用することです。
パスワードの確認: パスワードを確認するためのものです。
OIM HTTP URL: Oracle Identity ManagerサーバーのプロキシURL。これは、Oracle Identity ManagerのOHSサーバーのフロントエンドに位置するハードウェア・ロード・バランサのURLです。次に例を示します。
http://igdinternal.example.com:7777
OIM外部フロントエンドURL:
https://prov.example.com:IGD_HTTPS_PORT
キー・ストア・パスワード: キー・ストア・パスワードです。パスワードには大文字と数字をそれぞれ1文字含める必要があります。
OIM Suiteの統合の有効化: 選択
OIMをOAMと統合する場合に、このオプションを選択します。
「次へ」をクリックします。
「LDAPサーバー」画面では、入力する情報が実際の実装によって異なります。次の詳細を指定します。
ディレクトリ・サーバー・タイプ:
OID(アイデンティティ・ストアがOracle Internet Directory内にある場合)。
OUD(アイデンティティ・ストアがOracle Unified Directoryの場合)。
ACTIVE_DIRECTORY(アイデンティティ・ストアがMicrosoft Active Directoryの場合)。
ディレクトリ・サーバーID: ディレクトリ・サーバーの名前。たとえば、IdStoreです。これは、ディレクトリ・タイプがOIDまたはOUDである場合にのみ必要です
サーバーURL: LDAPサーバーのURL。次に例を示します。
ldap://idstore.example.com:1389 for OUD ldap://idstore.example.com:3060 for OID
サーバーのユーザー: LDAPサーバーに接続するためのユーザー名。これは、ワークシートのOIMLDAPUSERです。次に例を示します。
cn=oimLDAP,cn=systemids,dc=example,dc=com
サーバーのパスワード: LDAPサーバーに接続するためのパスワード。
サーバー検索DN: 検索DN。これは、ワークシートのREALM_DNです。次に例を示します。
dc=example,dc=com
「次へ」をクリックします。
|
注意: ドキュメントに従ってディレクトリが構成されていることを確認し、表示されるポップアップ・メッセージ「サポートされているディレクトリ・サーバーを使用し、ドキュメントどおりにディレクトリを事前構成してインストーラに使用可能であることを確認してください。」に対して「OK」をクリックします。 |
LDAPサーバー(続き)画面で、次のLDAPサーバー詳細を入力します。
LDAPロールコンテナ: ロール・コンテナのDNです。これは、Oracle Identity Managerのロールが保存されるコンテナです。これは、ワークシートのGROUPS_CONTAINERです。次に例を示します。
cn=Groups,dc=example,dc=com
LDAPユーザーコンテナ: ユーザー・コンテナのDNです。これは、Oracle Identity Managerユーザーが保存されるコンテナです。これは、ワークシートのUSERS_CONTAINERです。次に例を示します。
cn=Users,dc=example,dc=com
ユーザー予約コンテナ: ユーザー予約コンテナのDNです。これは、ワークシートのRESERVE_CONTAINERです。次に例を示します。
cn=Reserve,dc=example,dc=com
「次へ」をクリックします。
「構成サマリー」画面で、サマリー情報を確認します。
「構成」をクリックして、Oracle Identity Managerインスタンスを構成します。
「構成の進行状況」画面で、構成が正常に完了すると、「次へ」をクリックします。
「構成が完了しました」画面で、構成されたOracle Identity Managerインスタンスの詳細を確認します。
構成ウィザードを終了するには、「終了」をクリックします。
SOAを最初に起動したとき、IGD_ASERVER_HOME/soaディレクトリにある複数のアプリケーションが自動的にデプロイされます。packおよびunpackの実行ではこのディレクトリが作成されないため、手動で作成する必要があります。
soaディレクトリをIGD_ASERVER_HOME/IAMGovernanceDomain/soaからIGD_MSERVER_HOME/IAMGovernanceDomainにコピーします。
次に例を示します。
cp -rp /u01/oracle/config/domains/IAMGovernanceDomain/soa /u02/private/oracle/config/domains/IAMGovernanceDomain/soa
すべてのOIMHOSTでこれらの手順を実行します。
WLS_SOA1およびWLS_SOA2サーバーを再起動します。
最初にインストールした時点で、Oracle Identity Managerには、その操作に必要な一連のデフォルト・システム・プロパティがあります。
アイデンティティ・ストアがActive Directoryに存在する場合は、システム・プロパティXL.DefaultUserNamePolicyImplをoracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForADまたはoracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicyForADに変更する必要があります。
その方法の詳細は、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のシステム・プロパティの管理に関する項を参照してください。
OIMHOST1で、Oracle Identity Manager管理対象サーバーを起動します。これには、次のタスクが含まれます。
OIMHOST1で、ノード・マネージャを起動します(実行されていない場合)。
OIMHOST1で、WebLogic管理サーバーを再起動します。
OIMHOST1で、SOA管理対象サーバーwls_soa1を再起動します。
OIMHOST1で、OIM管理対象サーバーwls_oim1を起動します。
起動と停止の詳細は、第31.1.6項「IAMGovernanceDomainサービスの起動と停止」を参照してください。
Webブラウザで次の場所を指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
http://OIMHOST1VHN1.example.com:14000/identity/ http://OIMHOST1VHN1.example.com:14000/sysadmin/
xelsysadmユーザー名とパスワードを使用して、ログインします。
次の場所でSOA構成を検証します。
http://OIMHOST1VHN2.example.com:8001/soa-infra
weblogicユーザーとしてログインします。
OIMHOST2で、Oracle Identity Manager管理対象サーバーを起動します。これには、次のタスクが含まれます。
OIMHOST2で、ノード・マネージャを起動します(実行されていない場合)。
OIMHOST2で、SOA管理対象サーバーwls_soa2を再起動します。
OIMHOST2で、OIM管理対象サーバーwls_oim2を起動します。
起動と停止の詳細は、第31.1.6項「IAMGovernanceDomainサービスの起動と停止」を参照してください。
Webブラウザで次の場所を指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
http://OIMHOST2VHN1.example.com:14000/identity/ http://OIMHOST2VHN1.example.com:14000/sysadmin/
xelsysadmユーザー名とパスワードを使用して、ログインします。
次の場所でSOA構成を検証します。
http://OIMHOST2VHN2.example.com:8001/soa-infra
weblogicユーザーとしてログインします。
現在のリリースでは、LDAPConfigPostSetupスクリプトを使用すると、LDAPSync関連の増分リコンシリエーション・スケジューラ・ジョブがすべて有効になります。これらのジョブはデフォルトでは無効です。LDAP構成の事後設定スクリプトは、IGD_ORACLE_HOME/server/ldap_config_utilディレクトリの下にあります。スクリプトをOIMHOST1で次のように実行します。
IDG_ORACLE_HOME/server/ldap_config_utilディレクトリの下にあるldapconfig.propsファイルを編集し、次の値を設定します。
| パラメータ | 値 | 説明 |
|---|---|---|
OIMProviderURL |
t3://OIMHOST1VHN1.example.com:14000,OIMHOST2VHN1.example.com:14000 |
Oracle Identity Manager管理対象サーバーのリスト |
LIBOVD_PATH_PARAM |
IGD_ASERVER_HOME/config/fmwconfig/ovd/oim |
LIBOVD構成ファイルの場所。 |
ファイルを保存します。
次のように、JAVA_HOME、WL_HOME、MW_HOME、APP_SERVER、OIM_ORACLE_HOMEおよびDOMAIN_HOME環境変数を設定します。
JAVA_HOMEをIGD_MW_HOME/jdkに設定
WL_HOMEをIGD_MW_HOME/wlserver_10.3に設定
APP_SERVERをweblogicに設定
OIM_ORACLE_HOMEをIGD_ORACLE_HOMEに設定
DOMAIN_HOMEをIGD_ASERVER_HOMEに設定
MW_HOMEをIGD_MW_HOMEに設定
LDAPConfigPostSetup.shを実行します。このスクリプトでは、Oracle Internet Directoryの管理者パスワードとOracle Identity Managerの管理者パスワードが要求されます。次に例を示します。
IGD_ORACLE_HOME/server/ldap_config_util/LDAPConfigPostSetup.sh path_to_property_file
次に例を示します。
cd IGD_ORACLE_HOME/server/ldap_config_util/ ./LDAPConfigPostSetup.sh IGD_ORACLE_HOME/server/ldap_config_util
スクリプトが正常に実行されると、次のような成功メッセージが表示されます。
"Successfully Enabled Changelog based Reconciliation schedule jobs. Successfully Updated Changelog based Reconciliation schedule jobs with last change number:"
次のエラーは無視してください。
java.lang.ClassNotFoundException: oracle.as.jmx.framework.standardmbeans.spi.JMXFrameworkProviderImpl
管理対象サーバーWLS_OIMとWLS_SOAには、サーバーがコーディネートする、完了していない可能性のあるコミット済トランザクションに関する情報を格納するトランザクション・ログがあります。WebLogic Serverは、システム・クラッシュやネットワーク障害のリカバリでこのトランザクション・ログを使用します。クラスタ内のサーバーでトランザクション回復サービスの移行機能を活用するには、サーバーとそのバックアップ・サーバーからアクセス可能な場所にトランザクション・ログを格納します。
|
注意: この場所は、デュアル・ポート型SCSIディスクまたはストレージ・エリア・ネットワーク(SAN)にすることをお薦めします。 |
Oracle Identity ManagerおよびSOAサーバーのデフォルトの永続ストアの場所を設定する手順は次のとおりです。
共有記憶域に次の各ディレクトリを作成します。
RT_HOME/domains/IAMGovernanceDomain/tlogs/cluster_soa RT_HOME/domains/IAMGovernanceDomain/tlogs/cluster_oim
Oracle WebLogic Server管理コンソールにログインします。
「ロックして編集」をクリックします。
「ドメイン構造」ウィンドウで、「環境」ノードを開いて「サーバー」ノードをクリックします。
「サーバーのサマリー」ページが表示されます。
表の「名前」列で、Oracle Identity Manager (wls_oimn)またはSOAサーバー (wls_soan)の名前(ハイパーリンクで表示されています)をクリックします。
選択したサーバーの「設定」ページが表示されます。
「構成」タブに移動します。
「一般」をクリックし、次に「サービス」タブに移動します。
ページの「デフォルト・ストア」セクションで、共有記憶域にあるデフォルトの永続ストアへのパスを指定します。
このパスのディレクトリ構造は次のとおりです。
Oracle Identity Managerサーバーの場合:
RT_HOME/domains/IAMGovernanceDomain/tlogs/cluster_oim
SOAサーバーの場合:
RT_HOME/domains/IAMGovernanceDomain/tlogs/cluster_soa
|
注意: トランザクション・リカバリ・サービスの移行機能を有効にするには、クラスタにある他のサーバーで使用可能な永続記憶域ソリューションの場所を指定します。クラスタに属するすべてのサーバーは、このディレクトリにアクセスできる必要があります。 |
「保存」をクリックします。
前述の手順を繰り返して、OIMおよびSOA管理対象サーバーのすべてのデフォルト・ストア・ディレクトリを更新します。
変更をアクティブ化します。
この項では、UMSの電子メール通知の構成方法について説明します。これはオプションです。次の手順では、電子メール・サーバーが設定済で、それを使用してOracle Identity Managementで電子メール通知を送信できることを前提としています。
Oracle Identity Managerに関連付けられたOracle Enterprise Manager Fusion Middleware Controlインスタンスにログインします。
「ユーザー・メッセージング・サービス」を開きます。
「usermessagingdriver-email (wls_soa1)」を右クリックし、「電子メール・ドライバ・プロパティ」を選択します。
次の情報を入力します。
OutgoingMailServer: SMTPサーバーの名前、例: smtp.example.com
OutgoingMailServerPort: SMTPサーバーのポート、例: SSL送信メール・サーバーの場合は465、SSLを使用しない場合は25
OutgoingMailServerSecurity: SMTPサーバーで使用されるセキュリティ設定。設定可能な値は「なし」/「TLS」/「SSL」です。SSLリクエストを受け付けるようにメール・サーバーを構成する場合は、次の追加手順を実行してSOA環境からDemoTrustストアの参照を削除します。
IGD_ASERVER_HOME/domain_name/bin/setDomainEnv.shファイルを変更して、次のDemoTrust参照を削除します。
-Djavax.net.ssl.trustStore=IGD_WL_HOME/server/lib/DemoTrust.jks
(EXTRA_JAVA_PROPERTIESから)。
管理サーバーおよび管理対象サーバーの両方を再起動します。
OutgoingUsername: 任意の有効なユーザー名
OutgoingPassword:
「間接パスワード、新規のユーザーの作成」を選択します。
「間接ユーザー名/キー」に一意の文字列を入力します(OIMEmailConfigなど)。これにより、パスワードにはマスクが適用され、構成ファイルのクリアテキストでパスワードが公開されることはありません。
このアカウントの有効なパスワードを指定します。
「適用」をクリックします。
各SOAサーバーで手順3、4を繰り返します。
ナビゲータで、「WebLogicドメイン」→「Domain@Name」を選択します。
メニューからシステムMeanブラウザを選択します。
「アプリケーション定義のMBean」→「oracle.iam」→「サーバー」→「wls_oim1」→「アプリケーション: oim」→「IAMAppRuntimeMBean」を展開します。
「UMSEmailNotificationProviderMBean」をクリックします。
次の内容を入力します。
WebサービスURL: http://igdinternal.example.com:80/ucs/messaging/webservice
ポリシー: 空白のままにします。
CSFKey: Notification.Provider.Key
「適用」をクリックします。
Oracle HTTP Serverは、WebLogicのプロキシとして機能するため、デフォルトでは、特定のCGI環境変数はWebLogicに渡されません。これらには、ホストとポートが含まれます。WebLogicには、内部URLを適切に生成できるように仮想サイト名およびポートを使用していることを指示する必要があります。
WebLogic管理コンソールにログインします。
「クラスタ」をホーム・ページで選択するか、「ドメイン構造」メニューで「環境」→「クラスタ」を選択します。
「チェンジ・センター」ウィンドウで「ロックして編集」をクリックして、編集可能にします。
クラスタ名(cluster_soa)をクリックします。
「構成」タブで「HTTP」サブタブを選択し、次を入力します。
フロントエンド・ホスト: igdinternal.example.com
フロントエンドHTTPポート: 7777
「保存」をクリックします。
「チェンジ・センター」ウィンドウの「変更のアクティブ化」をクリックします。
OIMHOST1およびOIMHOST2で、WebLogic管理サーバー、Oracle SOA Suite管理対象サーバーおよびOracle Identity Manager管理対象サーバーを起動します。
起動と停止の詳細は、第31.1.6項「IAMGovernanceDomainサービスの起動と停止」を参照してください。
Webブラウザで次の場所を指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
https://prov.example.com:443/identity
および
http://igdadmin.example.com/sysadmin
xelsysadmユーザー名とパスワードを使用して、ログインします。
この項では、Identity ManagerとAccess Managerの統合方法について説明します。
この項では、次の項目について説明します。
簡易セキュリティ・トランスポート・モデルでAccess Managerを使用している場合、第17.4項「Access Managerキー・ストアの作成」で生成されたOAMキーストア・ファイルをコピーします。キーストア・ファイルSHARED_CONFIG_DIR/keystores/ssoKeystore.jksおよびIAD_ASERVER_HOME/output/webgate-ssl/oamclient-truststore.jksをOIMHOST1およびOIMHOST2のディレクトリIGD_MSERVER_HOME/config/fmwconfigにコピーします。
既存のLDAPユーザーを、オブジェクト・クラスOblixPersonPwdPolicy、OIMPersonPwdPolicy、およびOblixOrgPersonで更新する必要があります。
|
注意: この手順は、既存のユーザーがいない新規設定の場合は不要です。 |
既存のLDAPユーザーを更新するには、次の手順を実行します。
OAMHOST1で、user.propsという統合用のプロパティ・ファイルを次の内容で作成します。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389 IDSTORE_ADMIN_USER: cn=orcladmin IDSTORE_DIRECTORYTYPE:OUD, OID IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com PASSWORD_EXPIRY_PERIOD: 7300 IDSTORE_LOGINATTRIBUTE: uid
この例の説明は、次のとおりです。
IDSTORE_HOSTはLDAPサーバーの名前です。たとえば、idstore.example.comです。
IDSTORE_PORTはLDAPサーバーのポートです。
IDSTORE_ADMIN_USERは、管理ユーザーのバインドDNです。たとえば、cn=orcladminまたはcn=oudadminなどです。
IDSTORE_DIRECTORYTYPEは、ディレクトリのタイプです。有効な値は、OUDおよびOIDです。
IDSTORE_USERSEARCHBASEは、ディレクトリ内でのユーザーの場所です。たとえば、cn=Users,dc=example,dc=comです。
IDSTORE_GROUPSEARCHBASEは、ディレクトリ内でのグループの場所です。たとえば、cn=Groups,dc=example,dc=comです。
IDSTORE_LOGINATTRIBUTEはディレクトリのログイン属性名です。たとえば、uidです。
PASSWORD_EXPIRY_PERIODはパスワードの有効期間です
環境変数MW_HOME、JAVA_HOME,およびORACLE_HOMEを設定します。次に例を示します。
set ORACLE_HOME to IAM_ORACLE_HOME
IAM_ORACLE_HOME/idmtools/binから次のコマンドを実行して、既存のLDAPをアップグレードします。
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=configfile
次に例を示します。
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=user.props
アイデンティティ・ストアへの接続で使用するユーザーのパスワードの入力を求められたら、そのパスワードを入力します。
|
注意: コマンドの実行時に次のエラーが表示された場合は、そのエラーを無視してください。java.lang.ClassNotFoundException: oracle.as.jmx.framework.standardmbeans.spi.JMXFrameworkProviderImpl at java.net.URLClassLoader$1.run(URLClassLoader.java:202) |
Mobile Security SuiteがOracle Identity Managerを信頼できる必要があります。そのためには、IAMGovernanceDomain証明書をMSASにインポートします。これを行うには、次の手順を実行します
IAMAccessDomainのJPS資格証明ストア・パスワードを取得する手順は、次のとおりです。
次のURLでWebLogic管理者アカウントを使用して、IAMAccessDomain用のEnterprise Manager Fusion Middleware Controlに移動します。
http://iadadmin.example.com/em
「Farm_IAMAccessDomain」→「WebLogicドメイン」→「IAMAccessDomain」に移動します。
右クリックして「システムMBeanブラウザ」をクリックします。
「検索」ボタンをクリックしてJpsCredentialStoreと入力し、「検索」をクリックします。
「操作」タブをクリックします。
「getPortableCredential」をクリックします。
次の値を入力します。
P1: oracle.wsm.security
P2: keystore-csf-key
「呼出し」をクリックします。
返されたパスワードを書き留めます。
次のkeytoolコマンドを使用して、IAMGovernanceDomain証明書をエクスポートします。
keytool -keystore IGD_ASERVER_HOME/config/fmwconfig/default-keystore.jks -storepass <<PASSWORD>> -exportcert -alias xell -file SHARED_CONFIG_DIR/keystores/xell.crt
passwordはIAMGovernanceDomainの作成時に指定したパスワードです。
次のコマンドを使用して、抽出した前述の証明書をIAMAccessDomainにインポートします。
keytool -keystore IAD_ASERVER_HOME/config/fmwconfig/default-keystore.jks -storepass <<PASSWORD>> -importcert -alias xell -file SHARED_CONFIG/keystores/xell.crt
passwordは、Enterprise Manager Fusion Middleware Controlから取得した前述のパスワードです。
Webゲート11gプロファイルを使用したOracle Identity ManagerとAccess Managerの統合では、Access Manager Trusted Authentication Protocol (TAP)スキームを利用します。これはWebゲート10gとは異なる点です。Webゲート10gでは、Network Assertion Protocol (NAP)を使用していました。
Access ManagerとOracle Identity Managerを統合するには、OIMHOST1で次の手順を実行します。
環境変数MW_HOME、JAVA_HOMEおよびORACLE_HOMEを設定します。次に例を示します。
set ORACLE_HOME to IGD_ORACLE_HOME set MW_HOME to IGD_MW_HOME
oimitg.propsという統合用のプロパティ・ファイルを作成します。このファイルに含まれる多くの値は、構成ファイルの作成で使用するファイルの値と同じで、このファイルには次の内容が含まれます。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: OAMHOST1.example.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .example.com
COOKIE_EXPIRY_INTERVAL: 120
IDSTORE_LOGINATTRIBUTE: uid
OAM_TRANSFER_MODE: simple
WEBGATE_TYPE: ohsWebgate11g
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 1389
IDSTORE_HOST: idstore.example.com
IDSTORE_DIRECTORYTYPE: OUD, OID or AD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=systemids,dc=example,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_WLSADMINUSER: weblogic_idm
MDS_DB_URL: jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS=(PROTOCOL=TCP)(HOST=IGDDBSCAN.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=oimedg.example.com)))
MDS_DB_SCHEMA_USERNAME: edgigd_mds
WLSHOST: igdadminvhn.example.com
WLSPORT: 7101
WLSADMIN: weblogic
WLSPASSWD: password
OAM11G_WLS_ADMIN_HOST: IADADMINVHN.example.com
OAM11G_WLS_ADMIN_PORT: 7001
OAM11G_WLS_ADMIN_USER: weblogic
DOMAIN_NAME: IAMGovernanceDomain
OIM_MANAGED_SERVER_NAME: WLS_OIM1
DOMAIN_LOCATION: IGD_ASERVER_HOME
OIM_MSM_REST_SERVER_URL: http://iadinternal.example.com:7777/
プロパティの説明:
LOGINURI: Oracle Platform Security Services (OPSS)で必要であり、常に/${app.context}/adfAuthenticationに設定する必要があります。
LOGOUTURI: Oracle Platform Security Services (OPSS)で必要であり、常に/oamsso/logout.htmlに設定する必要があります。
AUTOLOGINURI: Oracle Platform Security Services (OPSS)で必要であり、常にNoneに設定する必要があります。
ACCESS_SERVER_HOST: いずれかのアクセス・サーバー・ホストの名前です。Oracle Access Manager管理対象サーバーの前にロード・バランサがある場合、このプロパティにはロード・バランサの名前を指定します。たとえば、OAMHOST1.example.comです。
ACCESS_SERVER_PORT: OAMプロキシ・ポート(OAM_PROXY_PORT)です。たとえば、5575です。
ACCESS_GATE_ID: Oracle Access Managerで作成されたエージェントの名前です。任意の値を指定できます。たとえば、Webgate_IDMです。
COOKIE_DOMAIN: Oracle Access ManagerのCookieドメインで、先頭にピリオド(.)を付ける必要があります。たとえば、example.comです。
COOKIE_EXPIRY_INTERNAL: Cookieが期限切れになり、ユーザーを強制的に再ログインさせるまでの秒数です。デフォルト値は120です。Cookieを無期限にする場合は、この値を-1に設定します。
IDSTORE_LOGINATTRIBUTE: ログインの検証に使用するLDAP属性です。通常はuidです。
OAM_TRANSFER_MODE: Oracle Access Managerが使用するように構成するセキュリティ・モードです。通常はSimpleです。Oracle Access Managerのプロパティ・ファイルに配置した値と同じである必要があります。
WEBGATE_TYPE: 作成するWebゲート・エージェントのタイプです。有効な値はohsWebgate10gまたはohsWebgate11gです。
Oracle Identity and Access Management 11.1.2.3.0の場合は通常、ohsWebgate11gです。Oracle HTTP ServerのかわりにOracle Traffic Directorを使用している場合は、ohsWebgate11gにする必要があります。
SSO_ENABLED_FLAG: この値はtrueに設定する必要があります。
IDSTORE_PORT: LDAPリクエストを受け入れるロード・バランサのポートです。たとえば、3060または1389などです。
IDSTORE_HOST: LDAPディレクトリの前面に位置するロード・バランサの名前です。
IDSTORE_DIRECTORYTYPE: このプロパティは、Oracle Internet Directory内にアイデンティティ・ストアがある場合はOID、Oracle Unified Directoryに接続している場合はOUD、Active Directory内にアイデンティティ・ストアがある場合はADに設定します。
IDSTORE_ADMIN_USER: IDストアの管理ユーザーです。
IDSTORE_USERSEARCHBASE: ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASE: グループが格納されるディレクトリの場所です。
IDSTORE_WLSADMINUSER: アイデンティティ・ストアを準備するときに使用した値です。たとえば、weblogic_idmです。
MDS_DB_URL: これをOIMデータベースのJDBC接続詳細に設定します。次に例を示します。
jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS=(PROTOCOL=TCP)(HOST=IGDDBSCAN.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=oimedg.example.com)))
MDS_DB_SCHEMA_USERNAME: MDSスキーマのユーザー名です。
WLS_HOST: 管理サーバーのリスニング・アドレスです。OAM構成の場合、これはIAMAccessDomainに関連付けられたホストとなります。OAM/OIM統合の場合、これはIAMGovernanceDomainに関連付けられたホストとなります。
WLS_PORT: 管理サーバーのリスニング・ポートです。OAM構成の場合、これはIAMAccessDomainに関連付けられたポートとなります。OAM/OIM統合の場合、これはIAMGovernanceDomainに関連付けられたホストとなります。
WLS_ADMIN: 管理サーバーへの接続に使用するユーザーです。
WLSPASSWD: WLS_ADMINアカウントのパスワードです。
OAM11G_WLS_ADMIN_HOST: IAMAccessDomain管理サーバーのリスニング・アドレスです。
OAM11G_WLS_ADMIN_PORT: IAMAccessDomain管理サーバーのリスニング・ポートです。
OAM11G_WLS_ADMIN_USER: IAMAccessDomain管理ユーザーです。
DOMAIN_NAME: ドメイン名です。たとえば、IAMGovernanceDomainです。
OIM_MANAGED_SERVER_NAME: Oracle Identity Manager管理対象サーバーの名前です。たとえば、wls_oim1です。
DOMAIN_LOCATION: ドメインの場所です。たとえば、IGD_ASERVER_HOMEです。
OIM_MSM_REST_SERVER_URL: MSASプロキシ・サーバーがMSM RESTサービスを呼び出すために使用するURLです。Identity Accessドメインのコールバックに対するエントリ・ポイントです。たとえば、iadinternal.example.com:7777です。
SPLIT_DOMAIN: OAMとOIMが異なるドメインにある場合に使用します。これは、常にtrueに設定する必要があります。
IGD_ORACLE_HOME/idmtools/binから次のコマンドを実行して、Access ManagerとOracle Identity Managerを統合します。
idmConfigTool.sh -configOIM input_file=configfile
次に例を示します。
idmConfigTool.sh -configOIM input_file=oimitg.props
要求された場合、次の情報を入力します。
IAMAccessDomainの管理ユーザーのパスワード
SSOアクセス・ゲートのパスワード
SSOキーストアのパスワード
グローバル・パスフレーズ
IDStore管理者のパスワード
MDSデータベース・スキーマのパスワード
OAM 11gドメイン・ユーザーのパスワード
これは、weblogic_idmユーザーのパスワードです。
IAMGovernanceDomain管理サーバーおよび管理対象サーバー(WLS_SOA1、WLS_SOA2、WLS_OIM1およびWLS_OIM2)を再起動します。
OAMとOIMを統合した後、Oracle Mobile Security Suiteのユーザーを作成します。
ユーザーを作成するには:
次のURLを使用して、ユーザーxelsysadmとしてOIMセルフ・サービス・コンソールにログインします。
https://prov.example.com/identity
画面上部にある「管理」ボタンをクリックします。
起動パッドで「ユーザー」をクリックして、「作成」をクリックします。
OMSSヘルプデスクで使用するユーザーを作成する画面で情報を入力し、「送信」をクリックします。
「ホーム」タブに移動します。
起動パッドで「管理ロール」をクリックして、「作成」をクリックします。
「基本情報」画面に次の情報を入力します。
名前: helpdesk
表示名: helpdesk
「次」をクリックします。
「機能」画面で、「機能の追加」をクリックします。
「表示名」フィールドに「ユーザー - 表示」と入力し、「検索」をクリックします。
検索結果から「ユーザー-表示/検索」を選択し、「選択した項目の追加」をクリックします。
手順10と11を繰り返して、機能「ロール-表示/検索」を追加します。
「選択」をクリックして、「次」をクリックします。
「メンバー」画面で、「ユーザーの割当て」をクリックします。
「検索」ボックスにヘルプデスクの名前を入力して、「検索」をクリックします。
検索結果からヘルプデスク・ユーザーを選択し、「選択した項目の追加」、「選択」、「次」を順にクリックします。
「制御の範囲」画面で、「組織の追加」をクリックします。
「検索」ボックスに組織を入力して、「検索」をクリックします。
必要な組織を選択し、「選択した項目の追加」、「選択」、「次」を順にクリックします。
「組織」画面で、「次」をクリックします。
「サマリー」画面で、「終了」をクリックします。
Oracle Identity ManagerとAccess Managerを統合した後は、2つのxelsysadmアカウントが存在します。1つはOracle Identity Managerで作成された内部アカウントです。もう1つはアイデンティティ・ストアに作成したアカウントです。
LDAPストアにあるxelsysadmアカウントは、OIMコンソールへのアクセスに使用するアカウントです。このアカウントのパスワードを変更する場合は、LDAPでこれを変更します。Oracle Directory Service Manager (ODSM)を使用してこれを実行できます。OIMコンソールを介してこれを変更しないでください。
統合を検証するには、第22章「シングル・サインオンの構成」の説明に従って、Identity Management管理者をWebLogicセキュリティ・グループに割り当て、Webゲートをインストールする必要があります。
Access ManagerとOracle Identity Manager 11gが正常に接続されていることを検証するには、次を実行してOracle Identity Managerセルフ・サービス・コンソールへのログインを試みます。
ブラウザを起動して次のURLに移動します。
https://prov.example.com/identity
これによって、Oracle Access Manager 11gシングル・サインオン・ページにリダイレクトされます。
第13章「アイデンティティ・ストアの準備」で作成したxelsysadmユーザー・アカウントを使用してログインします。
「OIMセルフ・サービス・コンソール」ページが表示されれば、統合は成功です。
Oracle Identity Managerは、デフォルトではweblogicというユーザー名を使用して、SOA管理者としてSOAに接続します。前の項では、Identity Management WebLogicドメインを管理するために、新しい管理者ユーザーを中央のLDAPストアでプロビジョニングしました。
次のインストール後の手順を実行して、Oracle Identity Managerが、中央のLDAPストアでプロビジョニングしたOracle WebLogic Server管理者ユーザーを使用できるようにします。これによって、Oracle Identity ManagerはSOAに接続できるようになります。
|
注意: SOAConfig Mbeanを表示するには、最低1つのOIM管理対象サーバーが稼働している必要があります。 |
IAMGovernanceDomainのEnterprise Manager Fusion Middleware Controlにweblogicユーザーとしてログインします。
「Farm_IAMGovernanceDomain」→「WebLogic Domain」→「IAMGovernanceDomain」を選択します。
右クリックしてメニューから「システムMBeanブラウザ」を選択するか、または右クリックしてこの項目を選択します。
「検索」を選択して、SOAConfigと入力し、次に「検索」をクリックします。
ユーザー名属性を、アイデンティティ・ストアの準備でプロビジョニングしたOracle WebLogic Server管理者ユーザー名に変更します。次に例を示します。
weblogic_idm
「適用」をクリックします。
「Weblogic Domain」→IAMGovernanceDomain」を選択します。
ドロップダウン・メニューで「セキュリティ」→「資格証明」を選択します。
キーoimを開きます。
「SOAAdminPassword」をクリックして、「編集」をクリックします。
ユーザー名をweblogic_idmに変更し、そのパスワードをアカウントのパスワードに設定して、「OK」をクリックします。
ナビゲータで、「Farm_IAMGovernanceDomain」をクリックして、「WebLogicドメイン」をクリックします。「IAMGovernanceDomain」を右クリックして、「セキュリティ」メニューから「アプリケーション・ロール」を選択します。
アプリケーション・ストライプをドロップダウン・リストから選択することで、soa-infrに設定します。「検索」をクリックします。
「SOAAdmin」をクリックします。メンバーシップ・ボックスに「Administrators」が表示されることを確認します。
「編集」をクリックします。「編集」ページが表示されます。
メンバー・ボックスで「追加」をクリックします。「プリンシパルの追加」検索ボックスが表示されます。
次の内容を入力します。
タイプ: グループ
プリンシパル名: 次で始まる: IDM
「検索」をクリックします。
結果ボックスから「IDM Administrators」を選択し、「OK」をクリックします。
「編集」画面にリダイレクトされます。メンバーがAdministratorsおよびIDM Administratorsであることを確認します。
「OK」をクリックします。
調整プロセスを実行して、Oracle WebLogic Serverの管理者であるweblogic_idmをOIMアイデンティティ・コンソールで表示できるようにします。次の手順を実行します。
OIMシステム管理コンソールにユーザーxelsysadmとしてログインします。
「システム構成」の下の「スケジューラ」をクリックします。
検索ボックスにLDAP*と入力します。
「スケジュール済ジョブの検索」の矢印をクリックして、すべてのスケジューラを一覧表示します。
LDAPユーザーの作成および完全調整の更新を選択します。
「即時実行」をクリックしてジョブを実行します。
LDAPロール作成および完全なリコンシリエーションの更新のジョブを繰り返します。
OIMアイデンティティ・コンソールにログインして、ユーザーweblogic_idmが表示されることを確認します。
OIMセルフ・サービス・コンソールにユーザーxelsysadmとしてログインします。
要求されたら、チャレンジ質問を設定します。これは、Oracle Identity Managerアイデンティティ・コンソールへの最初のログイン時に発生します。
「管理」タブの下にある「ロール」タブをクリックします。
管理者ロールを検索します。
「表示名」検索ボックスにAdministratorsと入力し、「検索」をクリックします。
管理者ロールをクリックします。
このロールの「プロパティ」ページが表示されます。
「組織」タブをクリックします。
「追加」をクリックします。xelsysadmが属する組織(例: Xellerate Users)を検索して選択します。
「選択した項目の追加」をクリックします。「選択」をクリックします。
「メンバー」タブをクリックして、「追加」をクリックします。
ユーザーweblogic_idmを検索します。weblogic_idmユーザーを選択します。
「選択した項目の追加」をクリックします。
「選択」をクリックして、「適用」をクリックします。
PIM LDAPリコンシリエーション・ジョブを更新するには、次の手順を実行します。
ブラウザを開いて、次の場所に移動します。
http://igdadmin.example.com/sysadmin
COMMON_IDM_PASSWORDを使用して、xelsysadmとしてログインします。
「システム管理」で「スケジューラ」をクリックします。
「スケジュール済ジョブの検索」で、LDAP * (*の前にスペースあり)と入力し[Enter]を押します。
検索結果のジョブごとに、左側のジョブ名をクリックし、右側の「無効化」をクリックします。
すべてのジョブに対してこれを行います。ジョブがすでに無効化されている場合には何もしません。
LDAPHOST1で次のコマンドを実行します。
cd LDAP_ORACLE_INSTANCE/OUD/bin
./ldapsearch -h ldaphost1 -p 1389 -D "cn=oudadmin" -b "" -s base "objectclass=*" lastExternalChangelogCookie
Password for user 'cn=oudadmin': <OudAdminPwd>
dn: lastExternalChangelogCookie: dc=example,dc=com:00000140c682473c263600000862;
lastExternalChangelogCookie:に続く出力文字列をコピーします。この値は次の手順で必要になります。たとえば、次のようにします。
dc=example,dc=com:00000140c682473c263600000862;
16進数部は28文字の長さである必要があります。値が2つ以上の16進数部を持つ場合、28文字部分をスペースで分けます。次に例を示します。
dc=example,dc=com:00000140c4ceb0c07a8d00000043 00000140c52bd0b9104200000042 00000140c52bd0ba17b9000002ac 00000140c3b290b076040000012c;
次の各LDAPリコンシリエーション・ジョブを1回ずつ実行し、最後の変更番号をリセットします。
LDAPロール削除のリコンシリエーション
LDAPユーザー削除のリコンシリエーション
LDAPロール作成および更新のリコンシリエーション
LDAPユーザー作成および更新のリコンシリエーション
LDAPロール階層のリコンシリエーション
LDAPロール・メンバーシップのリコンシリエーション
ジョブを実行する手順:
OIMシステム管理コンソールにユーザーxelsysadmとしてログインします。
「システム構成」で、「スケジューラ」をクリックします。
「スケジュール済ジョブの検索」で、LDAP * (*の前にスペースあり)と入力し[Enter]を押します。
実行するジョブをクリックします。
パラメータ「最終変更番号」を手順6で取得した値に設定します。
次に例を示します。
dc=example,dc=com:00000140c4ceb0c07a8d00000043 00000140c52bd0b9104200000042 00000140c52bd0ba17b9000002ac 00000140c3b290b076040000012c;
「即時実行」をクリックします。
リストのジョブごとに、この手順の最初から繰り返します。
最後の変更ログ番号がリセットされている増分リコンシリエーション・ジョブごとに、ジョブを実行し、ジョブが正常に完了したことを確認します。
ジョブが正常に実行されたら、要件に従い、ジョブの定期的な実行を再有効化します。
バック・エンド・ディレクトリがActive Directoryである場合は、長さが20文字までのユーザー名のみを許可するようにOracle Identity Managerを更新する必要があります。これはActive Directoryによる制限です。次の手順を実行して、ユーザー名生成ポリシーをDefaultComboPolicyからFirstnameLastnamepolicyforADに更新します。
OIM管理コンソールにログインします。
「システム構成」タブに移動し、「構成プロパティ」をクリックします。
「検索」ボックスに「ユーザー名の生成に関するデフォルト・ポリシー」と入力し、「検索」をクリックします。
「ユーザー名の生成に関するデフォルト・ポリシー」をクリックします。
「値」フィールドで、エントリを更新します。
変更前
oracle.iam.identity.usermgmt.impl.plugins.DefaultComboPolicy
変更後
oracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForAD
「保存」をクリックします。
デフォルトでは、Oracle Identity ManagementはLDAP container cn=Usersに属するすべてのユーザーを調整します。調整後、これらのユーザーはOracle Identity Managerで定義されている通常のパスワード・エイジング・ポリシーに従います。これらの処置は、システム・アカウントにとっては適切でありません。このリコンシリエーションから次のアカウントを除外することをお薦めします。
xelsysadm
oimLDAP
oamLDAP
さらに、次も除外できます。
IDRUser
IDRWUser
PolicyROUser
PolicyRWUser
リコンシリエーションからこれらのユーザーを除外し、失敗したリコンシリエーション・イベントを破棄するには、orclAppIDUserオブジェクト・クラスを前述の各ユーザーに追加することで、リコンシリエーションから除外されます。
失敗したリコンシリエーション・イベントをOIMコンソールを使用して閉じる
OIM管理コンソールにxelsysadmユーザーとしてログインします。
「プロビジョニング構成」の下の「リコンシリエーション」をクリックします。
「拡張検索」をクリックします。
「現行のステータス」フィールドで「次と等しい」を選択します。「検索」ボックスで、リストから「作成に失敗しました」を選択し、「検索」をクリックします。
各イベントを選択します。
「アクション」メニューから、「イベントのクローズ」を選択します。
「確認」ウィンドウで理由を入力します。たとえば、「失敗したリコンシリエーション・イベントを閉じる」などと入力し、「クローズ」をクリックします。
「OK」をクリックし、確認メッセージを受け入れます。
失敗したリコンシリエーション・イベントを閉じるには、次の手順を実行します。
OIM管理コンソールにxelsysadmユーザーとしてログインします。
「プロビジョニング構成」の下の「リコンシリエーション」をクリックします。
「拡張検索」をクリックします。
「現行のステータス」フィールドで「次と等しい」を選択します。「検索」ボックスで、リストから「作成に失敗しました」を選択します。
「検索」をクリックします。
各イベントに対して、「アクション」メニューから「イベントのクローズ」を選択します。
「確認」ウィンドウで理由を入力します。たとえば、「失敗したリコンシリエーション・イベントを閉じる」とします。
「クローズ」をクリックします。
「OK」をクリックし、確認メッセージを受け入れます。
トランザクション・ログ(TLOG)およびJMSでのJDBC永続ストアの使用時期、およびOracle Identity Manager管理対象サーバーに対するTLOGおよびJMSの永続ストアの構成手順は、第15.4.10項「エンタープライズ・デプロイメントのTLOGおよびJMSでのJDBC永続ストアの使用」を参照してください。
この項では、デプロイ後のExalogic実装の手順について説明します。
この項には次のトピックが含まれます:
この項は、Oracle Identity ManagerサーバーにExalogicマシンの外部から直接アクセスする必要がある場合にのみ必要です。つまり、外部Oracle HTTP Serverが構成に含まれている場合です。
次のように、新しいネットワーク・チャネルを作成します。
IAMGovernanceDomainのWebLogicコンソールにログインします。
「ロックして編集」をクリックします。
「環境」→「サーバー」に移動して、「サーバーのサマリー」を開きます。
「サーバー」表で、「WLS_OIM1」をクリックします。
「プロトコル」、「チャネル」の順に選択します。
「新規」をクリックして、新しいチャネルを作成します
名前には「OIMHOST1VHN-EXTCHAN」と入力します。プロトコルに「HTTP」を選択して、「次へ」をクリックします。
「ネットワーク・チャネルのアドレス指定」画面で、次の情報を入力します。
リスニング・アドレス: OIMHOST1VHN-EXT
これは、OIMHOST1VHN-EXTに割り当てられるbond1アドレスです。
リスニング・ポート: 8001
「次へ」をクリックして、「ネットワーク・チャネルのプロパティ」ページで次を選択します。
有効
このプロトコルでHTTPを有効化
「終了」をクリックします。
「変更のアクティブ化」をクリックします。
「サーバー」と「リスニング・アドレス」を、それぞれWLS_OIM2とOIMHOST2VHN-EXTに置き換えて、前の手順を繰り返します。
後でWebアプリケーションをデプロイするWebLogicクラスタ内の管理対象サーバーに対して、セッション・レプリケーション拡張機能を有効にできます。
ドメインIAMGovernanceDomain内のoim_clusterに対してセッション・レプリケーション拡張機能を有効にするには、表19-2の値を使用します。
表19-2 ネットワーク・チャネルのプロパティ
| 管理対象サーバー | 名前 | プロトコル | リスニング・アドレス | リスニング・ポート | その他のチャネル・ポート |
|---|---|---|---|---|---|
|
WLS_OIM1 |
|
t3 |
OIMHOST1VHN1.example.com |
7005 |
7006 - 7014 |
|
WLS_OIM2 |
|
t3 |
OIMHOST2VHN1.example.com |
7005 |
7006 - 7014 |
|
WLS_SOA1 |
|
t3 |
OIMHOST1VHN2.example.com |
7005 |
7006 - 7014 |
|
WLS_SOA2 |
|
t3 |
OIMHOST2VHN2.example.com |
7005 |
7006 - 7014 |
次のように実行します。
http://IGDADMIN.example.com/consoleでWebLogic管理コンソールにログインします。
第31.1項「エンタープライズ・デプロイメント・コンポーネントの起動と停止」の説明に従って、oim_clusterクラスタ内の管理対象サーバーが稼働していることを確認します。
管理対象サーバーに対してレプリケーション・ポートを設定するには、表19-2の値を使用します。
たとえば、WLS_OIM1の値を設定するには、次の手順を実行します。
「ドメイン構造」で、「環境」および「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
「ロックして編集」をクリックします。
サーバーのリストで、「WLS_OIM1」をクリックします。「WLS_OIM1の設定」が表示されます。
「クラスタ」タブをクリックします。
「レプリケーション・ポート」フィールドに、複数のレプリケーション・チャネルを構成するためのポートの範囲を入力します。たとえば、oim_cluster内の管理対象サーバーのレプリケーション・チャネルは、7005から7015のポート上でリスニングできます。このポート範囲を指定するには、「7005-7015」と入力します。
表19-2の他の各管理対象サーバーについて、手順aからeを繰り返します。
次の手順では、管理対象サーバーWLS_OIM1のネットワーク・チャネルを作成する方法について説明します。
Oracle WebLogic Server管理コンソールにログインします。
「チェンジ・センター」で「ロックして編集」をクリックします(まだ行っていない場合)。
管理コンソールの左側のペインで、「環境」を展開し、「サーバー」を選択します。
「サーバーのサマリー」ページが表示されます。
「サーバー」表で、「WLS_OIM1」管理対象サーバー・インスタンスをクリックします。
「プロトコル」、「チャネル」の順に選択します。
「新規」をクリックします。
新しいネットワーク・チャネルの名前として「ReplicationChannel」と入力し、プロトコルとして「t3」を選択してから、「次へ」をクリックします。
次の情報を入力します。
リスニング・アドレス: OIMHOST1VHN1
|
注意: これは、WebLogic Serverに割り当てられるWLS_OIM1の浮動IPアドレスです。 |
リスニング・ポート: 7005
「次へ」をクリックし、「ネットワーク・チャネルのプロパティ」ページで、「有効」および「アウトバウンドの有効化」を選択します。
「終了」をクリックします。
「保存」をクリックします。
「ネットワーク・チャネル」表で、「ReplicationChannel」(WLS_OIM1管理対象サーバーに対して作成したネットワーク・チャネル)を選択します。
「詳細」を開いて「SDPプロトコルの有効化」を選択し、「保存」をクリックします。
管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックしてこれらの変更をアクティブ化します。
前述の手順を繰り返して、クラスタ内の残りの各管理対象サーバー用のネットワーク・チャネルを作成する必要があります。表19-2の説明に従って、必要なプロパティを入力します。
クラスタ内の各管理対象サーバーのネットワーク・チャネルを作成したら、「環境」→「クラスタ」をクリックします。「クラスタのサマリー」ページが表示されます。
「oim_cluster」をクリックします。「oim_clusterの設定」ページが表示されます。
「レプリケーション」タブをクリックします。
「レプリケーション・チャネル」フィールドで、レプリケーション・トラフィック用に使用されるチャネルの名前として「ReplicationChannel」が設定されていることを確認します。
「詳細」セクションで、「レプリケーションの一方向RMIの有効化」オプションを選択します。
「保存」をクリックします。
SOAクラスタおよびBIクラスタについて、これらの手順を繰り返します。
管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックしてこれらの変更をアクティブ化します。
次のようにテキスト・エディタを使用して、IGD_ASERVER_HOMEのbinディレクトリにあるstartWebLogic.shスクリプトに、システム・プロパティ-Djava.net.preferIPv4Stack=trueを手動で追加します。
startWebLogic.shスクリプト内で次の行を探します。
. ${DOMAIN_HOME}/bin/setDomainEnv.sh $*
前述のエントリのすぐ後に次のプロパティを追加します。
JAVA_OPTIONS="${JAVA_OPTIONS} -Djava.net.preferIPv4Stack=true"
ファイルを保存して閉じます。
IAMGovernanceDomainの管理サーバーおよび管理対象サーバー(WLS_OIM1、WLS_OIM2、WLS_SOA1、WLS_SOA2)を再起動します。
Oracle Identity Managerでは、特定の機能に対してマルチキャストを使用します。デフォルトでは、管理対象サーバーは、プライマリ・ホスト名に割り当てられたマルチキャスト・アドレスを使用して通信します。マルチキャストで別のネットワーク(例: 内部ネットワーク)を使用する場合は、次の追加手順を実行する必要があります。
次のURLを使用してWebLogic管理コンソールにログインします。
http://IGDADMIN.example.com/console
「ドメイン構造」で、「環境」をクリックして、「サーバー」を開きます。「サーバーのサマリー」ページが表示されます。
「ロックして編集」をクリックします。
サーバーのリストで、OIM管理対象サーバー名(たとえばWLS_OIM1)をクリックします。「WLS_OIM1の設定」が表示されます。
「サーバーの起動」タブに移動します。
引数フィールドに次の行を追加します。
-Dmulticast.bind.address=oimhost1vhn1
「保存」をクリックします。
管理対象サーバーWLS_OIM2についても同様に繰り返します。その際は、引数フィールドに次の行を追加していることを確認します。
-Dmulticast.bind.address=oimhost2vhn1
「変更のアクティブ化」をクリックして、管理対象サーバーWLS_OIM1およびWLS_OIM2を再起動します。
ベスト・プラクティスとしては、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。インストールが正常に行われたことを確認したら、バックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます
データベース・バックアップの詳細は、データベースのドキュメントを参照してください。
インストールをこのポイントにバックアップするには、次をバックアップします。
Web層
Access Managerのデータベース
管理サーバー・ドメイン・ディレクトリ
管理対象サーバーのドメイン・ディレクトリ
LDAPディレクトリ
作成したキーストア
