Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
次 |
この章では、Identity and Access Managementデータベース・リポジトリをインストールし、構成する方法について説明します。
この章では、次の項目について説明します。
Identity and Access Managementエンタープライズ・デプロイメント用のデータベースの準備の概要
RCUを使用したOracle RAC DatabaseへのIdentity and Access Managementスキーマのロード
エンタープライズ・デプロイメントのIdentity and Access Managementコンポーネントはデータベース・リポジトリを使用します。この章では、次の手順を実行する方法について説明します。
第10.2項「エンタープライズ・デプロイメントのデータベース要件の検証」で説明されているデータベース要件の検証。
Oracleデータベース・リポジトリのインストールと構成。「はじめに」の「関連ドキュメント」にリストされているインストレーション・ガイドおよび第10.3項「エンタープライズ・デプロイメント用のデータベースのインストール」を参照してください。
第10.4項「データベース・サービスの作成」で説明されているデータベース・サービスの作成。
リポジトリ作成ユーティリティ(RCU)を使用したデータベースで必要なOracleスキーマの作成。第10.7項「RCUを使用したOracle RAC DatabaseへのIdentity and Access Managementスキーマのロード」を参照してください。
メタデータ・リポジトリをデータベースにロードする前に、次の各項で説明されている要件をデータベースが満たしていることを確認してください。
Oracle Identity and Access Managementでは、多数の別個のデータベースを使用すること推奨します。表10-1に、これらのデータベースの概要を示します。どのデータベースを使用するかは、実装しているトポロジによって異なります。
Oracle Metadata Services (MDS)リポジトリは、一部のOracle Fusion Middlewareコンポーネントのメタデータを含む特定のリポジトリのタイプです、ユーザーの組織で開発したカスタムJava EEアプリケーションを含むこともできます。
このリリースのIAMでは、各ドメインで個別のRCUスキーマ接頭辞を使用する必要があります。これにより、必要な場合、製品ごとに異なるデータベースを使用できます。
表10-1 データベースとスキーマ間のマッピング
データベース名 | データベース・ホスト | SCANアドレス | サービス名 | RCU接頭辞 | データベースのスキーマ |
---|---|---|---|---|---|
IADDB |
IADDBHOST1 IADDBHOST2 |
|
|
EDGIAD |
OAM、IAU、MDS、OPSS、MSM、OIF |
IGDDB |
IGDDBHOST1 IGDDBHOST2 |
|
|
EDGIGD |
OIM、SOAINFRA、MDS、OPSS、ORASDPM、BI、ODS |
注意: 表10-1には、マルチ・データ・センター・デプロイメントへの遷移を簡略化するために、2つの別個のデータベースが記載されています。必要に応じて、2つのデータベースを単一データベースに結合できます。 |
注意: ODSは、OIDを使用している場合のみ必要です。必要に応じて、これを専用データベースに配置できます。 |
次の各項は、表10-1にリストされたデータベースすべてに適用されます。
メタデータ・リポジトリを格納するために使用するデータベースは、可用性を最大化するために本質的に高可用性を実現する必要があります。Oracleは、Oracle Real Application Clusters (RAC)データベースの使用をお薦めします。
データベースにデータを格納するにはOracle Automatic Storage Management (ASM)を使用することが理想的ですが、必須ではありません。
ASMを使用する場合、ASMを独自のOracleホームにインストールし、ASMに2つのディスク・グループを備える必要があります。
1つはデータベース・ファイル用です。
1つはフラッシュ・リカバリ領域用です。
Oracle ASMを使用している場合、Oracle管理対象ファイルも使用することをお薦めします。
デプロイメント・ツールでは、Oracle RACデプロイメントにOracle Database 11.2.0.0以上が必要です。
ご使用のデータベースが動作保証されているかどうかの確認または動作保証済データベースすべての表示を行うには、動作保証ドキュメントの動作保証済データベースの項を参照してください。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
インストール済Oracle Databaseのバージョンを判別するには、SQLプロンプトで次の問合せを実行します。
select version from sys.product_component_version where product like 'Oracle%';
Oracle Database 11g (11.2.0.2.0)を使用する場合は、必ずRDBMSパッチ番号10259620に適した(プラットフォームに基づく)バージョンをダウンロードしてインストールしてください。これは、Oracle Identity Managerスキーマをインストールするための前提条件です。
表10-2に、Oracle Database 11gリリース2 (11.2.0.2.0)を使用するOracle Identity Managerの構成に必要なパッチをリストします。Oracle Identity Managerスキーマを作成する前に、必ず次のパッチをダウンロードしてインストールしてください。
表10-2 Oracle Database 11g (11.2.0.2.0)に必要なパッチ
プラットフォーム | My Oracle Supportでのパッチ番号および説明 |
---|---|
Linux x86 (32ビット) Linux x86 (64ビット) |
RDBMS個別パッチ番号10259620。 |
このパッチが適用されない場合、ユーザーおよびロールの検索やマネージャのルックアップで問題が発生する可能性があります。また、検索結果として空の結果が戻されることもあります。
注意:
|
Oracle Databaseでは、いくつかの最小要件を満たす必要があります。
文字セット - 文字セットはUnicode準拠(AL32UTF8など)である必要があります。
データベース・オプション – 次のデータベース・オプションがデータベースにインストールされている必要があります。
Oracle JVM
Oracle Text
データベース・ビュー – 次のデータベース・ビューがデータベースに作成されている必要があります。
XAVIEWS
データベース・パッケージ – 次のデータベース・パッケージがデータベースに存在している必要があります。
DBMS_SHARED_POOL
透過的データ暗号化 - これはOracle Privileged Account Managerで必須です。
データベースは、次の最小初期化パラメータを定義済である必要があります。
表10-3 Oracleデータベースの最小初期化パラメータ
パラメータ | 値 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
データベースの作成時に、これらのパラメータをデータベース構成アシスタントに設定することお薦めします。これをまだ行っていない場合は、alter system
データベース・コマンドを使用して、作成後に調整できます。例:
sqlplus / as sysdba alter system set aq_tm_processes=1 scope=spfile;
spfile
で変更を行ったら、データベースを再起動します。たとえば、次のようになります。
srvctl stop database -d iaddb srvctl start database -d iaddb
注意: データベースの最適なパラメータを設定するためのガイドラインについては、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』を参照してください。 |
次のようにデータベース・リポジトリをインストールして構成します。
Oracle Clusterware
11gリリース1 (11.1)については、Oracle Clusterwareインストレーション・ガイドを参照してください。
自動ストレージ管理
11gリリース1 (11.1)については、Oracle Clusterwareインストレーション・ガイドを参照してください。
インストーラの実行時に構成の選択画面で「自動ストレージ管理(ASM)の構成」オプションを選択して、独立した自動ストレージ管理ホームを作成します。
Oracle Real Application Cluster
11gリリース1 (11.1)については、Oracle Real Application Clustersインストレーション・ガイドを参照してください。
Oracle Real Application Clustersデータベース
次の特性を持つReal Applications Clustersデータベースを作成します。
バックアップおよびリカバリを容易にするために、データベースはアーカイブ・ログ・モードにする必要がある。
オプションで、フラッシュバック・データベースを有効にできる。
Oracle Identity Managerのリコンシリエーション・プロセス時のロールバック要件に対応できるように、十分なサイズのUNDO表領域を作成する。
データベースは、ALT32UTF8文字セットで作成されている。
複数のOracle Fusion Middleware製品が同じデータベースを共有する場合は、個別の専用のデータベース・サービスに接続するように、各製品を構成する必要があります。
注意: この項に示す手順は、Oracle Database 12c (12.1)リリースを対象としています。これ以外のサポートされているデータベースをご使用の場合は、該当するドキュメント・ライブラリで最新のリリース別の情報を参照してください。 |
サービスを使用したOracleデータベースへの接続の詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』の動的なデータベース・サービスを使用したOracleデータベースへの接続に関する項を参照してください。
また、データベース・サービスはデフォルトのデータベース・サービスとは別のものにしてください。Oracle Database 12cデータベースのデータベース・サービスを作成および管理する完全な手順は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』の動的データベース・サービスによる自動ワークロード管理の概要に関する項を参照してください。
実行時接続ロード・バランシングでは、ロード・バランシングが有効になっている各サービスのサービス・レベルの目標を使用してOracle RACロード・バランシング・アドバイザを構成する必要があります。
この項には次のトピックが含まれます:
srvctl
を使用して、トポロジ内のコンポーネント用のデータベース・サービスを作成します。作成されるサービスの一覧は、表10-1「データベースとスキーマ間のマッピング」に示されています。
SQL*Plusにログインして、サービスを作成します。
sqlplus "sys/password as sysdba"
SQL> EXECUTE DBMS_SERVICE.CREATE_SERVICE (SERVICE_NAME => 'iadedg.example.com', NETWORK_NAME => 'iadedg.example.com' );
注意: Oracle RACデータベースのサービス名には小文字を使用し、続けてドメイン名を指定します。例:
示した
|
次のコマンドを使用して、データベースにサービスを追加し、それをインスタンスに割り当てます。
srvctl add service -d iaddb -s iadedg.example.com -r iaddb1,iaddb2 -q FALSE -m NONE -e SELECT -w 0 -z 0
コマンド行引数の意味は、次のとおりです。
オプション | 引数 |
---|---|
-d | データベースの一意の名前 |
-s | サービス名 |
-r | 優先インスタンスのカンマ区切りリスト |
-q | AQ HA通知(TRUEまたはFALSE) |
-e | フェイルオーバー・タイプ(NONE、SESSIONまたはSELECT) |
-m | フェイルオーバー方式(NONEまたはBASIC) |
-w | フェイルオーバー遅延(整数) |
-z | フェイルオーバー再試行回数(整数) |
srvctl start service
を使用してサービスを開始します。
srvctl start service -d iaddb -s iadedg.example.com
次のようにsrvctl status service
を使用して、開始したサービスを検証します。
srvctl status service -d iaddb -s iadedg.example.com Service iadedg.example.com is running on instance(s) iaddb1,iaddb2
srvctl config service
を使用して、サービスが正しく作成されたことを検証します。
srvctl config service -d iaddb -s iadedg.example.com Service name: iadedg.example.com Service is enabled Server pool: IADDB_iadedg.example.com Cardinality: 2 Disconnect: false Service role: PRIMARY Management policy: AUTOMATIC DTP transaction: false AQ HA notifications: false Failover type: SELECT Failover method: NONE TAF failover retries: 0 TAF failover delay: 0 Connection Load Balancing Goal: LONG Runtime Load Balancing Goal: NONE TAF policy specification: NONE Edition: Preferred instances: iaddb1,iaddb2 Available instances:
注意: SRVCTLコマンドの詳細は、Oracle Real Application Clusters管理およびデプロイメント・ガイドを参照してください。 |
OIDの再試行ロジックはWeblogic GridLinkデータソースと同じではありません。ただし、TAF (透過アプリケーション・フェイルオーバー)対応のOIDに対して特にデータベース・サービスを作成すると、このロジックをシミュレートできるため、データベースRACインスタンスの障害発生後に速やかに再開できます。
TAF対応のデータベース・サービスを作成するには、次のコマンドを発行します。
srvctl add service -d igddb -s oidedg.example.com -r igddb1,igddb2 -q TRUE -m BASIC -e SELECT -w 5 -z 5 srvctl start service -d igddb -s oidedg.example.com srvctl status service -d igddb -s oidedg.example.com
注意: 前述のコマンドで、iamdb 、oidedg.example.com 、iamdb1 、iamdb2 およびidmdb はサンプルの値です。これらは適切な値に置き換える必要があります。 |
Oracle Database 11gリリース1以降、新しいLOB記憶域アーキテクチャであるSecureFilesが導入されました。Oracle Fusion Middlewareスキーマ、特にOracle SOA SuiteスキーマにはSecureFilesの使用をお薦めします。詳細は、『Oracle Database SecureFilesおよびラージ・オブジェクト開発者ガイド』のSecureFilesのLOB記憶域に関する項を参照してください。
Oracle 12cデータベースでは、SecureFilesを使用するためのデフォルト設定はPREFERRED
です。これは、LOBまたは親LOB (LOBがパーティションまたはサブパーティション内にある場合)でBasicFiles LOBが明示的に指定されていなければ、データベースがSecureFiles LOBの作成を試みることを意味します。Oracle Fusion MiddlewareスキーマではBasicFilesを明示的に指定しません。したがって、Oracle 12cデータベースがインストールされている場合、Oracle Fusion MiddlewareのLOBはデフォルトでSecureFilesになります。
Oracle 11gデータベースでは、db_securefile
システム・パラメータによってSecureFiles使用ポリシーが制御されます。このパラメータは動的に変更できます。SecureFilesを使用するには次のオプションがあります。
PERMITTED
: このオプションはSecureFilesの作成を許可します。これがdb_securefileのデフォルト設定です。デフォルトの格納方式ではBasicFilesが使用されます
FORCE
: このオプションは、すべての新規LOBをSecureFilesとして作成します。
ALWAYS
: このオプションは、LOBをSecureFilesとして作成しようと試みますが、作成できない場合(ASSMが無効の場合)はBasicFilesに戻します。
IGNORE
: このオプションは、SecureFilesを作成する試行を無視します。
NEVER
: このオプションは、新しいSecureFilesの作成を許可しません。
Oracle 11gデータベースの場合、リポジトリ作成ユーティリティ(RCU)を使用してOracle Fusion Middlewareスキーマを作成する前に、db_securefile
パラメータをFORCE
に設定することをお薦めします。
注意: SecureFilesセグメントは、表領域を自動セグメント領域管理(ASSM)によって管理する必要があります。つまり、ASSMが有効でない場合は、SecureFilesでのLOB作成が失敗します。ただし、Oracle Fusion Middlewareの表領域は、デフォルトではASSMが有効な状態で作成されます。したがって、デフォルトの構成では、Oracle Fusion Middlewareスキーマに対してSecureFilesを有効にするために何かを変更する必要はありません。 |
10.2.5.2項「最小初期化パラメータ」で定義したデータベース・パラメータは単なる見本です。システムの使用後、追加のチューニングを実行する必要が生じることがあります。詳細は、データベース・パフォーマンス・チューニング・ガイドを参照してください。
データベースを最初にロードした後、継続的に、データベース統計をリフレッシュしてください。このためには、スキーマごとにSQL*Plusコマンドを発行します。次の例は、スキーマEDGIGD_OIMの場合です。
exec DBMS_STATS.GATHER_SCHEMA_STATS(OWNNAME=> 'EDGIGD_OIM', ESTIMATE_PERCENT=>DBMS_STATS.AUTO_SAMPLE_SIZE, DEGREE=>8, OPTIONS=>'GATHER AUTO', NO_INVALIDATE=>FALSE);
この項では、Identity and Access Managementのデプロイに必要なスキーマのリスト、およびスキーマを手動で作成する手順について説明します。この項には次のトピックが含まれます:
Oracle Identity and Access Managementソフトウェアを構成する前に、表10-4にリストされているデータベース・スキーマをインストールする必要があります。
IDMLCMプロビジョニング・ツールを使用してソフトウェアを自動的に構成する場合は、自動デプロイメントの中でこれらのスキーマを作成できます。
スキーマを手動で作成する場合は、第10.7.2項「データベース・スキーマの手動作成」で説明されている手順に従ってください。
表10-4 Oracle Identity and Access Managementで必要なデータベース・スキーマ
データベース | RCU接頭辞 | 製品 | RCUオプション | コメント |
---|---|---|---|---|
IADDB |
EDGIAD |
Oracle Platform Security Services for IAMAccessDomain |
AS共通スキーマ: Oracle Platform Security Service |
監査サービスとメタデータ・サービスも選択されます。 |
IADDB |
EDGIAD |
Oracle Access Management Access Manager |
Identity Management–Oracle Access Manager |
監査サービスも選択されます。 |
IADDB |
EDGIAD |
Oracle Adaptive Access Manager |
Oracle Identity Management – Oracle Adaptive Access Manager |
必要に応じて。 |
IGDDB |
EDGIGD |
Oracle Platform Security Services for IAMGovernanceDomain |
AS共通スキーマ: Oracle Platform Security Service |
監査サービスとメタデータ・サービスも選択されます。 |
IGDDB |
EDGIGD |
Oracle Identity Manager |
Identity Management–Oracle Identity Manager |
メタデータ・サービス、SOAインフラストラクチャおよびユーザー・メッセージングも選択されます。 |
IGDDB |
EDGIGD |
Oracle Privileged Account Manager |
Oracle Identity Management - Oracle Privileged Account Manager |
|
IGDDB |
EDGIGD |
Oracle Business Intelligence |
Oracle Identity Management - Oracle Business Intelligence Manager |
|
IGDDB |
EDGIGD |
Oracle Internet Directory |
Oracle Identity Management - Oracle Internet Directory |
インターネット・ディレクトリを使用する場合。 |
注意: OIDに対して接頭辞を指定しますが、実際にはOIDで接頭辞は使用しません。これはツールによる制限です。 |
注意: 将来のマルチ・データ・センター・デプロイメントのために複数のスキーマを別々のデータベースに分離することをお薦めしますが、これは必須ではありません。マルチ・データ・センターを使用する計画がない場合は、すべてのスキーマを単一データベースに配置するほうが適切な場合があります。 |
リポジトリ作成ユーティリティ(RCU)を使用してスキーマを手動で作成する場合は、RCUの「コンポーネントの選択」画面で次の製品を選択する必要があります。
Oracle Identity Managerの場合は、Identity Management - Oracle Identity Managerを選択します。
Oracle Access Managerの場合は、次を選択します。
Identity Management - Oracle Access Manager
Identity Management - Oracle Mobile Security Manager
Identity Management - Oracle Adaptive Access Manager - デプロイメントにOracle Adaptive Access Manager (OAAM)が含まれる場合。
注意: Identity Managementに対してOracle Identity ManagementまたはOracle Access Managementを選択すると、選択した製品で必要なすべてのスキーマ・コンポーネントが自動的に選択されます。 |
この項では、リポジトリ作成ユーティリティを使用してスキーマを手動で作成する方法について説明します。
リポジトリ作成ユーティリティ(RCU)は、2回実行する必要があります(異なる接頭辞を指定するドメインごとに1回ずつ)。スキーマを作成するには、次の手順を実行します。
このコマンドを発行して、リポジトリ作成ユーティリティ(RCU)を起動します。
RCU_ORACLE_HOME/bin/rcu
「ようこそ」画面で、「次へ」をクリックします。
「リポジトリの作成」画面で、「作成」操作を選択して、コンポーネント・スキーマをデータベースにロードします。「次へ」をクリックします。
「データベース接続の詳細」画面で、既存のデータベースに接続するために必要な情報を入力します。例:
データベース・タイプ: Oracle Database
ホスト名: RACデータベース・ノードの1つのVIPアドレスまたはデータベースSCANアドレスを入力します(たとえば、IAMDBSCAN.mycompany.com
)
ポート: データベース・リスナーのポート番号((DB_LSNR_PORT))。たとえば、1521
です。
サービス名: データベースのサービス名。たとえば、OAMEDG.mycompany.com
です。
手順6で表から選択するコンポーネントのサービス名を使用します。
ユーザー名: sys
パスワード: sysユーザーのパスワード
ロール: SYSDBA
「次へ」をクリックします。
「前提条件の確認」画面で前提条件を確認したら、「OK
」をクリックします。
「コンポーネントの選択」画面で、次の値を入力します。
新規接頭辞の作成: データベース・スキーマに追加する接頭辞を入力します。すべてのスキーマに接頭辞を付ける必要があります。RCU接頭辞については、表10-1「データベースとスキーマ間のマッピング」または表10-4「Oracle Identity and Access Managementで必要なデータベース・スキーマ」を参照してください。
コンポーネント: 表10-4から、使用するトポロジに対して適切なコンポーネントを選択します。
「次へ」をクリックします。
注意: ご使用のトポロジが複数のデータベースを必要とする場合、次の重要な考慮事項が適用されます。
|
「前提条件の確認」画面で前提条件を確認したら、「OK」をクリックします。
「スキーマ・パスワード」画面で、スキーマのパスワードを入力します。すべてのスキーマに同じパスワードを使用するか、またはスキーマそれぞれに異なるパスワードを使用することを選択できます。デプロイメント・ウィザードでは、特定の接頭辞のパスワードはすべて同じである必要があります。
「次へ」をクリックします。
「表領域のマップ」画面でデフォルトを受け入れ、「次へ」をクリックします。
「確認」画面で「OK」をクリックして、表領域の作成を許可します。
「表領域の作成中」画面で「OK」をクリックして、表領域の作成を確認します。
「サマリー」画面で、入力した詳細情報が正確であることを確認します。「作成」をクリックして、スキーマ作成プロセスを開始します。
「完了サマリー」画面で、スキーマが作成されたことを確認します。
他のサービス名に対して、これらの手順を繰り返します。
「閉じる」をクリックして終了します。
データベースの準備が完了したら、第31.5.3.3項「データベースのバックアップ」の説明に従ってバックアップを作成します。