プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド
11g リリース2 (11.1.2.3.0)
E61956-03
  目次へ移動
目次

前
 
次
 

18 Oracleモバイル・セキュリティ・サービスの構成

この章では、Oracleモバイル・セキュリティ・サービス(OMSS)を構成する方法について説明します。この項の手順を実行する前に、最新のMobile Security Suiteおよびモバイル・セキュリティ・アクセス・サーバーのバンドル・パッチが適用されていることを確認します。

Oracleモバイル・セキュリティ・サービス(OMSS)は、Oracle Access Managementの構成時にデプロイされます。ただし、その機能を使用するには、OMSSを構成する必要があります。

この章の内容は次のとおりです。

18.1 構成ファイルの作成

2つのプロパティ・ファイル(msm.propsおよびmsas.props)を作成します。これらのファイルの内容は、次の追加プロパティとともに、第13.2項「構成ファイルの作成」で作成したファイルの内容と同じである必要があります。


注意:

Exalogicに対するデプロイメントの場合は、IDSTORE_HOSTパラメータのOTDフェイルオーバー・グループ名を指定する必要があります。Exalogic以外の設定の場合は、IDSTORE_HOSTのLBRエントリ・ポイントを指定します。

  • msm.propsファイルの場合:

    # OMSS Properties

    OMSS_OMSM_IDSTORE_PROFILENAME: MSSProfile

    OMSS_DOMAIN_LOCATION: /u01/oracle/config/domains/IAMAccessDomain

    WLSHOST: iadadminvhn.example.com

    WLSPORT: 7001

    WLSADMIN: weblogic

    WLSPASSWD: password

    OMSS_SCEP_DYNAMIC_CHALLENGE_USER: msmadmin

    OMSS_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators

    OMSS_IDSTORE_ROLE_SECURITY_HELPDESK: MSMHelpDesk

    OMSS_MSAS_SERVER_HOST: msas.example.com

    OMSS_MSAS_SERVER_PORT: 9002

    OAM_SERVER_URL: http://iadinternal.example.com:7777

    OMSS_OMSM_SERVER_NAME: wls_msm1,wls_msm2

    OMSS_OAM_POLICY_MGR_SERVER_NAME: wls_ama1,wls_ama2

    OMSS_OMSM_SERVER_HOST:OAMHOST1.example.com,OAMHOST2.example.com

    OMSS_OMSM_FRONT_END_URL: http://iadinternal.example.com:7777

    OMSS_JDBC_URL: jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS=(PROTOCOL=TCP)(HOST=iaddb-scan.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=iadedg.example.com)))

    OMSS_OMSM_SCHEMA_USER: EDGIAD_OMSM

    OMSS_GATEWAY_INSTANCE_ID: EDGMSAS

  • msas.propsファイルの場合:

    # OMSS Properties

    OMSS_OMSM_IDSTORE_PROFILENAME: MSSProfile

    WLSHOST: iadadminvhn.example.com

    WLSPORT: 7001

    WLSADMIN: weblogic

    WLSPASSWD: password

    OMSS_DOMAIN_LOCATION: /u01/oracle/config/domains/IAMAccessDomain

    OMSS_SCEP_DYNAMIC_CHALLENGE_USER: msmadmin

    OMSS_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators

    OMSS_IDSTORE_ROLE_SECURITY_HELPDESK: MSMHelpDesk

    OMSS_MSAS_SERVER_HOST: msas.example.com

    OMSS_MSAS_SERVER_PORT: 9002

    OAM_SERVER_URL=http://iadinternal.example.com:7777

    OMSS_OMSM_SERVER_NAME: wls_msm1,wls_msm2

    OMSS_OAM_POLICY_MGR_SERVER_NAME: wls_ama1,wls_ama2

    OMSS_OMSM_FRONT_END_URL: http://iadinternal.example.com:7777

    OMSS_JDBC_URL: jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS=(PROTOCOL=TCP)(HOST=iaddb-scan.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=iadedg.example.com)))

    OMSS_OMSM_SCHEMA_USER: EDGIAD_OMSM

    OMSS_OMSAS_IDSTORE_PROFILENAME: msas-profile

    OMSS_GATEWAY_INSTANCE_ID: EDGMSAS

プロパティの説明:

表18-1では、Oracle Mobile Security Suiteの構成に使用するプロパティについて説明しています。


注意:

プロパティIDSTORE_DIRECTORYTYPEの値は大文字で指定する必要があります。

プロパティOMSS_OMSM_SERVER_NAMEおよびOMSS_OAM_POLICY_MGR_SERVER_NAMEのWebLogic管理対象サーバー名は、WebLogicで構成されているのと同じ大文字/小文字で指定する必要があります。


表18-1 Oracle Mobile Security Suite構成プロパティ

プロパティ 説明

OMSS_OMSM_IDSTORE_PROFILENAME

Oracleモバイル・セキュリティ・マネージャのアイデンティティ・ストア・プロファイルの名前。

OMSS_DOMAIN_LOCATION

Oracle Mobile Security Suiteのドメインへの絶対パス。これは、ワークシートのIAD_ASERVER_HOMEの値です。

OMSS_SCEP_DYNAMIC_CHALLENGE_USER

認証で使用されるユーザー・アカウント。

OMSS_IDSTORE_ROLE_SECURITY_ADMIN

Oracleモバイル・セキュリティ・マネージャの操作に対する管理権限を持つメンバーで構成される管理者グループの名前。このグループは、ポリシー・マネージャ・コンソールでOracleモバイル・セキュリティ・マネージャ機能へのアクセスを許可するために使用されます。

これは、Oracle Access Manager構成プロパティ・ファイルでOAM11G_IDSTORE_ROLE_SECURITY_ADMINプロパティに設定した値と同じにする必要があります。

OMSS_IDSTORE_ROLE_SECURITY_HELPDESK

Oracleモバイル・セキュリティ・マネージャの操作に対するヘルプデスク権限を持つメンバーで構成される、Oracleモバイル・セキュリティ・マネージャ・ヘルプデスク・グループの名前。

このグループは、ポリシー・マネージャ・コンソールでセキュリティ・ヘルプ・デスクへのアクセスを許可するために使用されます。

OMSS_MSAS_SERVER_HOST

Oracle Mobile Security Access Serverのホスト名。

たとえば、oamhost1.example.comおよびoamhost2.example.comです。

Mobile Security Access Serverのインスタンスがロード・バランサの背後にある場合は、そのロード・バランサのホスト名を入力します。

OMSS_MSAS_SERVER_PORT

Oracle Mobile Security Access Serverインスタンスが実行するSSLポートこれは、ワークシートのMSAS_PORTの値です。

Mobile Security Access Serverのインスタンスがロード・バランサの背後にある場合は、そのロード・バランサのポート番号を入力します。

OAM_SERVER_URL

これは、OAM内部コール用の内部リンクです。次に例を示します。

http://iadinternal.example.com:7777

OMSS_OMSM_SERVER_NAME

モバイル・セキュリティ・マネージャ管理対象サーバー名のカンマ区切りリスト。

たとえば、wls_msm1,wls_msm2です。

OMSS_OAM_POLICY_MGR_SERVER_NAME

ポリシー・マネージャ管理対象サーバー名のカンマ区切りリスト。

たとえば、wls_ama1,wls_ama2です。

OMSS_OMSM_SERVER_HOST

Oracleモバイル・セキュリティ・マネージャ管理対象サーバーをホストするホスト名のカンマ区切りリスト。

たとえば、OAMHOST1.example.com, OAMHOST2.example.comです。

OMSS_OMSM_FRONT_END_URL

モバイル・セキュリティ・マネージャ管理対象サーバーにリクエストをルーティングするロード・バランサのURL。

次に例を示します。

http://igdinternal.example.com:7777

OMSS_JDBC_URL

次の形式のOracleモバイル・セキュリティ・マネージャ・データベース・リポジトリのJDBC URL (db_hostはデータベースが存在するマシンのホスト名、portはデータベースのリスナー・ポート、service_nameはデータベースで識別されるサービス名)。

jdbc:oracle:thin:@db_host:port/service_name

OMSS_OMSM_SCHEMA_USER

RCUでリポジトリについて構成された接頭辞の後に_OMSMが付いた、Oracleモバイル・セキュリティ・マネージャ・スキーマのユーザー名。

たとえば、EDGIAD_OMSMです。

OMSS_GATEWAY_INSTANCE_ID

Oracle Mobile Security Access Serverのゲートウェイ・インスタンスの名前。ゲートウェイ・インスタンスIDは、Oracleモバイル・セキュリティ・アクセス・サーバーを構成するときに使用するインスタンスIDと同じである必要があります。

このプロパティは、Oracleモバイル・セキュリティ・アクセス・サーバー・インスタンスの構成後にidmConfigTool -configOMSS mode=OMSASコマンドを実行する場合にのみ必要です。

Oracleモバイル・セキュリティ・マネージャを構成するためにidmConfigToolを実行する場合は、このプロパティを設定する必要があります。

OMSS_OMSAS_IDSTORE_PROFILENAME

Oracle Mobile Security Access Serverのアイデンティティ・ストア・プロファイルの名前。

このプロパティは、Oracleモバイル・セキュリティ・アクセス・サーバー・インスタンスの構成後にidmConfigTool -configOMSS mode=OMSASコマンドを実行する場合にのみ必要です。

Oracleモバイル・セキュリティ・マネージャを構成するためにidmConfigToolを実行する場合は、このプロパティを設定する必要があります。


Oracleモバイル・セキュリティ・マネージャでは、未読の電子メール数などの通知を送信できます。これを可能にするには、表18-2に示すプロパティを使用して、Exchange Serverおよび電子メール・サーバーの詳細を指定する必要があります。これらのプロパティはオプションで、必要に応じて構成後に指定できます。

表18-2 Oracle Mobile Security Suite構成用のオプションのプロパティ

プロパティ 説明

OMSS_EXCHANGE_SERVER_URL

Oracle Mobile Security Suiteが接続するExchange ServerのURL。

OMSS_EXCHANGE_LISTENER_URL

Oracle Mobile Security Suiteが接続するExchange ServerのリスナーURL。

OMSS_EXCHANGE_DOMAIN_NAME

Oracle Mobile Security Suiteが接続するExchangeサーバーのドメイン名。

OMSS_EXCHANGE_ADMIN_USER

Oracle Mobile Security Suiteが接続するExchangeサーバーの管理ユーザー名。

OMSS_EXCHANGE_ADMIN_PASSWORD

Exchange Server管理者のパスワード。

OMSS_EXCHANGE_SERVER_VERSION

Oracle Mobile Security Suiteが接続するExchange Serverのバージョン番号。

OMSS_EMAIL_ADMIN_USER

Oracle Mobile Security Suite管理者の電子メール・アドレス。

OMSS_EMAIL_ADMIN_PASSWORD

Oracle Mobile Security Suite管理者の電子メール・アドレスのパスワード。

OMSS_SMTP_HOST

Oracleモバイル・セキュリティ・マネージャがユーザーに招待電子メールを送信するために使用するSMTPサーバーのホスト名。

OMSS_SMTP_PORT

Oracleモバイル・セキュリティ・マネージャがユーザーに招待電子メールを送信するために使用するSMTPサーバーのポート番号。

OMSS_APPLE_CACERT_FILE

AppleのルートCAの場所。iOSデバイスをOracle Mobile Security Suiteに登録するときに必要です。

OMSS_APNS_FILE

Appleサーバーへのセキュアな接続を確立し、通知を送信するために使用されるApple Push Notificationサービス(APNs)のキーストア・ファイルのフルパスとファイル名。

すべてのホストで同じ場所にする必要があります。

たとえば、SHARED_CONFIG_DIR/keystores/ APNS.p12とします。

OMSS_APNS_KEYSTORE_TYPE

Apple Push Notification Service (APNs)キーストア・ファイル(OMSS_APNS_FILE)に使用するキーストアのタイプ。

有効なキーストア・タイプはJKSまたはPKCS12です。デフォルト値はJKSです。

OMSS_GCM_API_KEY

Google Cloud Messaging (GCM)通知のAPIキー値。

OMSS_GCM_SENDER_ID

Google Cloud Messaging (GCM)通知の送信者ID。


18.2 Oracleモバイル・セキュリティ・マネージャの構成

idmConfigツールを使用してOracleモバイル・セキュリティ・マネージャ (MSM)を構成します。これを行うには、OAMHOST1で次の手順を実行します。

  1. 次の環境変数を設定します。

    • MW_HOMEIAD_MW_HOMEに設定します。

    • JAVA_HOMEJAVA_HOMEに設定します。

    • ORACLE_HOMEIAD_ORACLE_HOMEに設定します。

    • WL_HOMEIAD_MW_HOME/wlserver_10.3に設定します。

  2. 次のコマンドを使用して、ディレクトリをIAD_ORACLE_HOME/idmtools/binに変更します。

    cd IAD_ORACLE_HOME/idmtools/bin

  3. 次のコマンドを実行します。

    idmConfigTool.sh -configOMSS mode=OMSM input_file=configfile

    このコマンドで、configfileは、「構成ファイルの作成」で作成したプロパティ・ファイル(msm.props)の絶対パスです。

    次に例を示します。

    idmConfigTool.sh -configOMSS mode=OMSM input_file=msm.props

    このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。次のパスワードの入力も求められます。

    • OMSS Keystore: OMSSのキーストアの作成時に割り当てられるパスワードを入力します。

    • SCEP Dynamic Challenge Password: SCEP動的チャレンジ・ユーザーのパスワードを入力します。

    • OMSM Schema User Password: RCUを使用して作成したOracleモバイル・セキュリティ・マネージャ・スキーマ(prefix_OMSM)のパスワードを入力します。

    次に、サンプル・コマンド出力を示します。

    (1/8) MSM Configurations                                  Success
    (2/8) Seeding User Notification Templates                 Success
    (3/8) Seeding CSF Credentials                             Success
    (4/8) Configuring IDS Profile                             Success
    (5/8) Configuring OMSS Authentication Provider            Success
    (6/8) Creating MSM Keystores                              Success
    (7/8) Configuring MSM Server's SSL                        Success
    (8/8) OAM Console Integration                             Success
    

    ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。

    このプロセスによって複数のオブジェクトがドメインに作成されます。これらのオブジェクトを表示するには、管理サーバーを再起動する必要があります。

  4. OAMHOST1でIAMAccessDomainを圧縮し、OAMHOST1およびOAMHOST2でそれを解凍します。

    IAMAccessDomainを圧縮するには、OAMHOST1で、次のコマンドをIAD_MW_HOME/oracle_common/common/binから実行します。

    ./pack.sh -managed=true -domain=IAD_ASERVER_HOME -template=domaintemplateMSM.jar -template_name=domain_template_MSM


    注意:

    packコマンドは既存のファイルを上書きしません。指定したファイル名が指定フォルダの既存ファイルと一致する場合、packコマンドは失敗します。packコマンドではテンプレート・ファイルに異なる名前を使用し、unpackコマンドではoverwrite_domain=trueオプションを使用する必要があります。

    unpackコマンドで-overwrite_domainオプションを使用すると、管理対象サーバーのテンプレートを、既存のドメインおよび既存のアプリケーション・ディレクトリに解凍できます。上書きされるファイルがあれば、上書き前のファイルのバックアップ・コピーが作成されます。管理対象サーバーのドメイン・ディレクトリにある起動スクリプトおよびearファイルになんらかの変更が適用されていた場合には、unpack処理の後に起動スクリプトおよびearファイルをリストアする必要があります。


    IAMAccessDomainを解凍するには、OAMHOST1とOAMHOST2の両方で、次のコマンドをIAD_MW_HOME/oracle_common/common/binから実行します。

    ./unpack.sh -domain=IAD_MSERVER_HOME -template=domaintemplateMSM.jar -app_dir=IAD_MSERVER_HOME/applications -overwrite_domain=true

    unpackコマンドを実行する前に、LOCAL_CONFIG_DIR/domains/ディレクトリに対する書込み権限があることを確認してください。

  5. WebLogic管理コンソールを再起動し、次のサーバーを起動します。

    • Oracle Access Manager管理対象サーバー(wls_oam1、wls_oam2)

    • Oracle Access Managerポリシー・マネージャ管理対象サーバー(wls_ama1、wls_ama2)

    • Oracleモバイル・セキュリティ・マネージャ管理対象サーバー(wls_msm1、wls_msm2)


注意:

OUDを使用している場合は、この段階で管理サーバーを起動します。

18.3 Oracle Unified Directoryのための追加タスクの実行

Oracle Unified Directory (OUD)をLDAPアイデンティティ・ストアとして使用しており、グループ・オブジェクト・クラスがgroupOfUniqueNamesの場合、次の追加手順を実行してください。

  1. IAD_ORACLE_HOME/common/binから次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。

    ./wlst.sh

  2. 次のコマンドを使用して、WebLogic管理サーバーに接続します。

    connect(username='weblogic', password='wls_admin_password', url='t3://IADADMINVHN:IAD_WLS_PORT')

    次に例を示します。

    connect(username='weblogic', password='wls_admin_password', url='t3://iadadminvhn.example.com:7001')
    
  3. 次のWLSTコマンドを同じ順序で実行します。

    • edit()

    • startEdit()

    • cd('/SecurityConfiguration/IAMAccessDomain/Realms/myrealm/AuthenticationProviders/OUDAuthenticator')

    • cmo.setStaticMemberDNAttribute('uniquemember')

    • cmo.setStaticGroupDNsfromMemberDNFilter('(&(uniquemember=%M)(objectclass=groupOfUniqueNames))')

    • cmo.setStaticGroupObjectClass('groupOfUniqueNames')

    • activate()

  4. WebLogic管理サーバーとすべての管理対象サーバーを再起動します。

18.4 Oracleモバイル・セキュリティ・マネージャ構成の確認

次の手順を完了して、Oracleモバイル・セキュリティ・マネージャおよびAccess Managerの構成を確認します。

  1. 次のサーバーが起動しており、稼働中であることを確認します。

    • Oracle WebLogic管理サーバー

    • Oracle Access Manager管理対象サーバー(例: wls_oam1)

    • Oracle Access Managerポリシー・マネージャ管理対象サーバー(例: wls_ama1)

    • Oracleモバイル・セキュリティ・マネージャ管理対象サーバー(例: wls_msm1)

  2. 次のURLを使用してOracle Access Managementの管理コンソールにログインします。

    http://iadadmin.example.com/oamconsole

  3. 次のURLを使用してアクセス・コンソールにログインします。

    http://iadadmin.example.com/access

  4. ポリシー・マネージャ・コンソール(http://iadadmin.example.com/access)で、「構成」タブに移動します。

    構成起動パッドが開きます。

  5. 構成起動パッドで「使用可能なサービス」をクリックします。

    「使用可能なサービス」ページが開きます。

  6. 「モバイル・セキュリティ・サービス」に緑色のチェックマークが付いていることを確認します。チェックマークが付いていない場合は、「モバイル・セキュリティ・サービス」の横にある「サービスの有効化」をクリックして、「モバイル・セキュリティ・サービス」のステータスを有効にします。

  7. モバイル・セキュリティ・サービスを有効にした後、ポリシー・マネージャ・コンソールからログアウトして、再度ログインします。

  8. モバイル・セキュリティ・マネージャ・コンソールのページにアクセスするには、画面の上部にある「モバイル・セキュリティ」をクリックします。モバイル・セキュリティ起動パッドが開きます。

    「モバイル・セキュリティ・マネージャ」「表示」をクリックし、メニューからモバイル・セキュリティ・マネージャ・コンソールのページを選択します。

  9. リソースhttp://iadinternal.example.com:7777/msm-mgmt/scim/v1/endpointsにアクセスします。

    ユーザー名とパスワードの入力を求められます。oamadminのユーザー名およびパスワードを使用します。ページがエラーなしで表示されます。

18.5 MSASゲートウェイ・インスタンスの構成

第11.2.3項「Oracleモバイル・セキュリティ・アクセス・サーバーのインストール」に従って、Oracleモバイル・セキュリティ・アクセス・サーバー(MSAS)がインストールされている必要があります。

Oracleモバイル・セキュリティ・マネージャの構成後は、Oracleモバイル・セキュリティ・アクセス・サーバーのゲートウェイ・インスタンスを構成する必要があります。各インスタンスは、クラスタとして機能できるように、同じインスタンスIDを使用して正確に同じに構成する必要があります。これは対話形式で実行できますが、各インスタンスの構成に使用できるプロパティ・ファイルを使用して実行することをお薦めします。

MSASゲートウェイ・インスタンスを構成するには、次の手順を実行します。

  1. 次のプロパティを含むmsas_instance.propsという名前のプロパティ・ファイルを作成します。

    MSM_URL: http://iadinternal.example.com:7777

    MSM_USER_NAME: weblogic

    MSAS_INSTANCE_ID: EDGMSAS

    MSAS_INSTANCE_ROOT_DIR: LOCAL_CONFIG_DIR/instances/

    MSAS_INSTANCE_SSL_PORT: 9002

    MSAS_LBR_URL: https://msas.example.com:9002

    OAM_HOST: iadadminvhn.example.com

    OAM_PORT: 7001

    OAM_USER_NAME: oamadmin

    OAM_PROTECT: /

    OAUTH_HOST: login.example.com

    OAUTH_PORT: 443

    OAUTH_IS_SSL: true

    OAUTH_SP_ENDPOINT: /oauthservice

    OAM_COOKIE_DOMAIN: .example.com

    表18-3では、MSASゲートウェイ・インスタンスの構成に使用するプロパティについて説明しています。

    表18-3 MSASゲートウェイ・インスタンスを構成するためのプロパティ

    プロパティ 説明

    MSM_URL

    このMSASインスタンスを登録するMSMサーバーのURL。MSMサーバーのURLを次の形式で入力します(hostはMSMサーバーのホスト名またはIPアドレスです。また、ポート番号はMSMサーバーのリスニング・ポートです)。

    http://host:port_number

    次に例を示します。

    http://iadinternal.example.com:7777

    MSM_USER_NAME

    MSMドメインのWebLogic Server管理者ユーザー名。

    MSAS_INSTANCE_ID

    MSASインスタンスを識別するための一意の名前。任意の文字列を指定できますが、インスタンス全体で一貫している必要があります。これは、OMSS_GATEWAY_INSTANCE_IDの値と同じである必要があります。

    MSAS_INSTANCE_ROOT_DIR

    インスタンスの構成ファイルが作成される場所。

    次に例を示します。

    LOCAL_CONFIG_DIR/instances

    MSAS_INSTANCE_PORT

    MSASがリクエストをリスニングするポート。このポートはSSL対応です。

    これは、ワークシートのMSAS_PORTの値です。

    MSAS_LBR_URL

    モバイル・セキュリティ・アクセス・サーバーに対するロード・バランサ・エントリ・ポイントです。

    次に例を示します。

    https://msas.example.com:9002

    OAM_HOST

    IAMAccessDomain管理サーバーの仮想ホスト。

    次に例を示します。

    IADADMINVHN.example.com

    OAM_PORT

    IAMAccessDomain管理サーバーが使用するポート。たとえば、7001です。

    OAM_USER_NAME

    作成した前述のOAMAdminアカウント。

    OAM_PROTECT

    保護された各アプリケーションのリソース・パターン。次に例を示します。

    /myapp/login

    入力するパターンは、Access Managerゲートウェイのホストおよびポートに対する相対パスです。このエントリは「/」で始まる必要があります。

    /」を入力した場合は、「/」で終わるリクエストURLが保護されます。

    OAUTH_HOST

    エンタープライズ・デプロイメントのOAUTHエントリ・ポイント。これは、ロード・バランサの名前となります。

    次に例を示します。

    login.example.com

    OAUTH_PORT

    エンタープライズ・デプロイメントでOAM管理対象サーバーが使用するポート。これは、ロード・バランサのポートとなります。

    次に例を示します。

    443

    OAUTH_IS_SSL

    このプロパティには、oauthがSSLまたは非SSLポートのいずれを使用しているかを指定します。有効な値はtrueおよびfalseです。エンタープライズ・デプロイメントの場合、この値はtrueである必要があります。

    OAUTH_SP_ENDPOINT

    これは、OAuthサーバーからクライアントにアクセスするエンドポイント。

    次に例を示します。

    /oauthservice


  2. WEBHOST1で、次のコマンドをMSAS_ORACLE_HOME/omsas/binから実行して、MSASゲートウェイ・インスタンスを構成します。

    ./configMSAS.sh -properties msas_instance.props

    コマンドを実行すると、次のパスワードが要求されます。

    • モバイル・セキュリティ・マネージャ・パスワード: IAMAccessDomainのWebLogic管理者のパスワードです。

    • OAM管理者パスワード: Access Manager管理者のパスワードです。

    構成が完了すると、MSASインスタンスがLOCAL_CONFIG_DIR/instances/gateway-idディレクトリに作成されます(gateway-idはプロパティ・ファイルに指定した値です)。このディレクトリが存在していることを確認してください。

  3. WEBHOST2でもこの手順を繰り返します。

  4. 次の手順を実行して、MSASゲートウェイ・インスタンスがMSMに登録されていることを確認します。

    1. oamadminユーザーでアクセス・コンソールにログインします。

    2. 起動パッドで「モバイル・セキュリティ」をクリックします。

    3. 「モバイル・セキュリティ・アクセス・サーバー」セクションで、「環境」をクリックします。MSASインスタンスが表示されます。

18.6 アイデンティティ・ストアとのMSASの統合

MSASをアイデンティティ・ストアと統合するには、OAMHOST1で次の手順を実行します。

  1. 次の環境変数を設定します。

    • MW_HOMEIAD_MW_HOMEに設定します。

    • JAVA_HOMEJAVA_HOMEに設定します。

    • ORACLE_HOMEIAD_ORACLE_HOMEに設定します。

    • WL_HOMEIAD_MW_HOME/wlserver_10.3に設定します。

  2. 次のコマンドを使用して、ディレクトリをIAD_ORACLE_HOME/idmtools/binに変更します。

    cd IAD_ORACLE_HOME/idmtools/bin

  3. 次のコマンドを実行します。

    idmConfigTool.sh -configOMSS mode=OMSAS input_file=configfile

    このコマンドで、configfileは、「構成ファイルの作成」で作成したプロパティ・ファイル(msas.props)の絶対パスです。

    次に例を示します。

    idmConfigTool.sh -configOMSS mode=OMSAS input_file=msas.props

    このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。次のパスワードの入力も求められます。

    • OMSS Keystore: OMSSのキーストアの作成時に割り当てられるパスワードを入力します。

    • SCEP Dynamic Challenge Password: SCEP動的チャレンジ・ユーザーのパスワードを入力します。

    • OMSM Schema User Password: RCUを使用して作成したOracleモバイル・セキュリティ・マネージャ・スキーマ(prefix_OMSM)のパスワードを入力します。

    ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。

    このプロセスによって複数のオブジェクトがドメインに作成されます。これらのオブジェクトを表示するには、管理サーバーを再起動する必要があります。

  4. OAMHOST1でIAMAccessDomainを圧縮し、OAMHOST1およびOAMHOST2でそれを解凍します。

    IAMAccessDomainを圧縮するには、OAMHOST1で、次のコマンドをIAD_MW_HOME/oracle_common/common/binから実行します。

    ./pack.sh -managed=true -domain=IAD_ASERVER_HOME -template=domaintemplateMSAS.jar -template_name=domain_template_MSAS


    注意:

    packコマンドは既存のファイルを上書きしません。指定したファイル名が指定フォルダの既存ファイルと一致する場合、packコマンドは失敗します。packコマンドではテンプレート・ファイルに異なる名前を使用し、unpackコマンドではoverwrite_domain=trueオプションを使用する必要があります。

    unpackコマンドで-overwrite_domainオプションを使用すると、管理対象サーバーのテンプレートを、既存のドメインおよび既存のアプリケーション・ディレクトリに解凍できます。上書きされるファイルがあれば、上書き前のファイルのバックアップ・コピーが作成されます。管理対象サーバーのドメイン・ディレクトリにある起動スクリプトおよびearファイルになんらかの変更が適用されていた場合には、unpack処理の後に起動スクリプトおよびearファイルをリストアする必要があります。


    IAMAccessDomainを解凍するには、OAMHOST1とOAMHOST2の両方で、次のコマンドをIAD_MW_HOME/oracle_common/common/binから実行します。

    ./unpack.sh -domain=IAD_MSERVER_HOME -template=domaintemplateMSAS.jar -app_dir=IAD_MSERVER_HOME/applications -overwrite_domain=true

    unpackコマンドを実行する前に、LOCAL_CONFIG_DIR/domains/ディレクトリに対する書込み権限があることを確認してください。

  5. WebLogic管理コンソールを再起動し、次のサーバーを起動します。

    • Oracle Access Manager管理対象サーバー(wls_oam1、wls_oam2)

    • Oracle Access Managerポリシー・マネージャ管理対象サーバー(wls_ama1、wls_ama2)

    • Oracleモバイル・セキュリティ・マネージャ管理対象サーバー(wls_msm1、wls_msm2)

18.7 MSAS証明書へのロード・バランサ別名の追加

MSASの高可用性を準備するには、MSASゲートウェイSSL証明書をロード・バランサの別名を使用して更新する必要があります。これを行うには、OAMHOST1で次の手順を実行します。

  1. IAD_ORACLE_HOME/common/binから次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。

    ./wlst.sh

  2. 次のコマンドを使用して、WebLogic管理サーバーに接続します。

    connect(username='wls_admin_username', password='wls_admin_password', url='t3://IADADMINVHN.example.com:7001')

    このコマンドで、7001はワークシートのIAD_WLS_PORTです。

  3. 次のコマンドを実行します。

    • svc = getOpssService(name='KeyStoreService')

    • svc.exportKeyStore(appStripe='EDGMSAS', name='sslkeystore', password='password', aliases='EDGMSAS_msasidentity', keypasswords='keypassword', type='JKS',filepath='SHARED_CONFIG_DIR/keystores/EDGMSAS.jks')

    このコマンドの説明は次のとおりです。

    EDGMSASは、OMSS_GATEWAY_INSTANCE_IDプロパティに対して指定した値です。

    Passwordは、IAMAccessDomainのWebLogic管理者のパスワードです。

    keypasswordは、エクスポートしたキーストアに割り当てるパスワードです。

  4. 次のコマンドを使用して、新しい証明書リクエストを生成します。

    keytool -keystore SHARED_CONFIG_DIR/keystores/EDGMSAS.jks -storepass password -alias EDGMSAS_msasidentity -certreq -file SHARED_CONFIG_DIR/keystores/msasidentity.csr -keypass keypassword

  5. 新しい証明書リクエストに認証局鍵で署名し、ロード・バランサのホスト名を証明書のサブジェクト代替名(SAN)に追加します。ロード・バランサのDNS拡張機能(msas.example.comなど)を使用します。これを行うには、次のコマンドを実行します。

    keytool -gencert -keystore IAD_ASERVER_HOME/config/fmwconfig/server-identity.jks -storepass password -alias ca -ext san=dns:msas.example.com -infile SHARED_CONFIG_DIR/keystores/msasidentity.csr -outfile SHARED_CONFIG_DIR/keystores/msasidentity.crt

  6. 次の手順を実行して、サーバー上のMSAS証明書を更新します。

    1. 次のコマンドを実行してルートCAをエクスポートします。

      keytool -export -alias ca -file SHARED_CONFIG_DIR/keystores/ca.crt -keystore IAD_ASERVER_HOME/config/fmwconfig/server-identity.jks -storepass password

    2. 次のコマンドを実行して、前の手順で作成したEDGMSAS JKSキーストアに証明書をインポートします。

      keytool -keystore SHARED_CONFIG_DIR/keystores/EDGMSAS.jks -import -file SHARED_CONFIG_DIR/keystores/ca.crt -alias ca -storepass password

      このコマンドを実行すると、証明書を信頼するかどうかを尋ねられます。「Yes」を入力します。

    3. 次のコマンドを実行します。

      keytool -keystore EDGMSAS.jks -import -file SHARED_CONFIG_DIR/keystores/msasidentity.crt -alias 'EDGMSAS_msasidentity' -storepass password

      このコマンドで、EDGMSASは、OMSS_GATEWAY_INSTANCE_IDプロパティに対して指定した値です。

    4. 次のWLSTコマンドを実行して、MSAS SSLキーストア(KSSキーストア)に新しい証明書をインポートします。

      svc = getOpssService(name='KeyStoreService')

      svc.deleteKeyStoreEntry(appStripe='EDGMSAS',name='sslkeystore',password='password', alias='EDGMSAS_msasidentity', keypassword='keypassword')

      svc.importKeyStore(appStripe='EDGMSAS', name='sslkeystore', password='password', aliases='EDGMSAS_msasidentity', keypasswords='keypassword', type='JKS',permission=true, filepath='SHARED_CONFIG_DIR/keystores/EDGMSAS.jks')

18.8 MSASインスタンスの起動

WEBHOST1およびWEBHOST2で、MSASインスタンスを起動します。MSASインスタンスを起動するには、次のコマンドを実行します。

MSAS_ORACLE_INSTANCE/bin/startServer.sh

MSASインスタンスがエラーなしで起動します。

18.9 Oracle Mobile Security Suite構成の確認

次のURLにアクセスして、Mobile Security Suiteが起動して実行中であることを確認します。

https://msas.example.com:9002/msm/register/ios

ログイン・ページにリダイレクトされます。