| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
次 |
Access Managerを使用すると、ユーザーは全社規模でWebアプリケーションおよびその他のITリソースにシームレスにアクセスできます。これによって、集中化および自動化したシングル・サインオン(SSO)ソリューションが実現し、拡張性のある認証手法とそれに関連するワークフローを定義する機能が得られます。また、これは、アクセスをリクエストするユーザーのプロパティとそのリクエストが発生した環境に基づいて、特定のリソースへのアクセス権を付与または拒否する認可エンジンも備えています。このコア機能は、包括的なポリシー管理、監査、ITインフラストラクチャの他のコンポーネントとの統合によって充実したものになります。
Access Managerは、OAMサーバー、Oracle Access Managementコンソール、Webゲートなどのいくつかのコンポーネントで構成されています。OAMサーバーには、エンタープライズ・リソースへのアクセスを制限するのに必要なすべてのコンポーネントが含まれています。Oracle Access ManagementコンソールはAccess Managerの管理コンソールです。Webゲートは、Access Managerの実際の強制ポイントとして機能するWebサーバー・エージェントです。
第15章「エンタープライズ・デプロイメント用のドメインの作成」でドメインIAMAccessDomainを作成した際に、Oracle Access Managementのすべてのコンポーネントを含むドメインを作成しました。この章では、ドメインの作成後にOracle Access Managementを構成する方法について説明します。
この章の内容は次のとおりです。
この章を完了すると、次のURLが利用可能になります。
表17-1 Web層を統合する前のOAMのURL
| コンポーネント | URL | ユーザー |
|---|---|---|
|
OAMコンソール |
|
weblogic |
|
アクセス・コンソール |
|
weblogic |
この章を完了すると、次のURLが利用可能になります。
この項では、Oracle Access Managerのインストール後に完了するタスクについて説明します。
この項では、次の項目について説明します。
Oracle WebLogic Server管理コンソールでは、コンソールを使用して、ポート、チャネルおよびセキュリティに対する変更を追跡します。コンソールを使用して行われた変更をアクティブ化するとき、コンソールは現在のリスニング・アドレス、ポートおよびプロトコルを検証します。このリスニング・アドレス、ポートおよびプロトコルがまだ有効の場合、コンソールはHTTPリクエストをリダイレクトし、ホストとポートの情報を管理サーバーのリスニング・アドレスとポートに置き換えます。管理コンソールがロード・バランサを使用してアクセスされる場合、管理サーバーのフロントエンドURLを変更し、ユーザーのブラウザが適切なロード・バランサ・アドレスにリダイレクトされるようにする必要があります。
この変更を行う手順は、次のとおりです。
Oracle WebLogic Server管理コンソールにログインします。
「ロックして編集」をクリックします。
「ドメイン構造」ウィンドウの「環境」ノードを開きます。
「クラスタ」をクリックして、「サーバーのサマリー」ページを開きます。
表の「名前」列で「cluster_ama」を選択します。
設定ページが表示されます。
「構成」タブをクリックします。
「HTTP」タブをクリックします。
「フロントエンド・ホスト」フィールドおよび「フロントエンドHTTPポート」フィールドを次のように使用中のロード・バランサ・アドレスに設定します。
変更を保存してアクティブ化します。
デフォルトでは、管理コンソールのシングル・サインオン機能はIDMDomainAgentが提供しています。エンタープライズ・デプロイメントではWebゲートでシングル・サインオンを扱うので、IDMDomainAgentを削除する必要があります。
IDMDomainAgentを削除する手順は、次のとおりです。
第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、WebLogicコンソールにログインします。
その後、次の手順を実行します。
「セキュリティ・レルム」を「ドメイン構造」メニューで選択します。
「myrealm」をクリックします。
「プロバイダ」タブをクリックします。
「チェンジ・センター」で「ロックして編集」をクリックします。
認証プロバイダのリストで「IAMSuiteAgent」を選択します。
「削除」をクリックします。
「はい」をクリックして削除を確認します。
「チェンジ・センター」で「変更のアクティブ化」をクリックします。
第31.1.5.1項「WebLogic管理サーバーの起動と停止」の説明に従って、WebLogic管理サーバーと実行されているすべての管理対象サーバーを再起動します。
この項では、LDAPを使用してOracle Access Managerを構成および統合する方法について説明します。
この項では、次の項目について説明します。
Access Managerは、デフォルトでオープン・セキュリティ・モデルを使用するように構成されています。idmConfigToolを使用してこのモードを変更することを計画している場合は、グローバル・パスフレーズを設定する必要があります。グローバル・パスフレーズとWebゲートのアクセス・パスワードは同じにする必要はありませんが、同じにすることをお薦めします。
グローバル・パスフレーズを設定する手順は、次のとおりです。
第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、OAMコンソールにWebLogic管理ユーザーとしてログインします。
「構成」タブをクリックします。
「表示」を選択し、次に「設定」起動パッドから「Access Manager」を選択します。
セキュリティ・モードをSimpleに変更する場合は、グローバル・パスフレーズを指定します。
「適用」をクリックします。
初期インストールを実行してセキュリティ・モデルを設定した後は、Access ManagerとLDAPディレクトリを関連付ける必要があります。このリリースでは、次のLDAPディレクトリがサポートされています。
Oracle Unified Directory (OUD)
Oracle Internet Directory(OID)
Microsoft Active Directory (AD)
Access ManagerとLDAPディレクトリを関連付けるには、次のタスクを実行します。
Oracle Access ManagementでLDAPを使用するように構成するには、idmConfigToolユーティリティを実行する必要があります。このため、oam.propsと呼ばれる構成ファイルを作成して、構成で使用する必要があります。このファイルの内容は、次の追加内容とともに、第13.2項「構成ファイルの作成」で作成した構成ファイルの内容と同じになります。
# Miscellaneous Properties SPLIT_DOMAIN: true # OAM Properties OAM11G_IDSTORE_NAME: OAMIDSTORE PRIMARY_OAM_SERVERS: oamhost1.example.com:5575,oamhost2.example.com:5575 WEBGATE_TYPE: ohsWebgate11g ACCESS_GATE_ID: Webgate_IDM OAM11G_OIM_WEBGATE_PASSWD: Password COOKIE_DOMAIN: .example.com COOKIE_EXPIRY_INTERVAL: 120 OAM11G_WG_DENY_ON_NOT_PROTECTED: true OAM11G_IDM_DOMAIN_OHS_HOST: login.example.com OAM11G_IDM_DOMAIN_OHS_PORT: 443 OAM11G_IDM_DOMAIN_OHS_PROTOCOL: https OAM11G_SERVER_LBR_HOST: login.example.com OAM11G_SERVER_LBR_PORT: 443 OAM11G_SERVER_LBR_PROTOCOL: https OAM11G_OAM_SERVER_TRANSFER_MODE: simple OAM_TRANSFER_MODE: simple OAM11G_SSO_ONLY_FLAG: false OAM11G_IMPERSONATION_FLAG: false OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp OAM11G_OIM_INTEGRATION_REQ: true OAM11G_OIM_OHS_URL: https://prov.example.com:443/ # WebLogic Properties WLSHOST: IADADMINVHN.example.com WLSPORT: 7001 WLSADMIN: weblogic IDSTORE_WLSADMINUSER: weblogic_idm IDSTORE_WLSADMINGROUP: IDM Administrators
OAMプロパティの説明:
OAM11G_IDSTORE_NAMEは、OAMのIDストアに割り当てる名前です。これはオプションのパラメータです。
PRIMARY_OAM_SERVERS: デプロイメントするすべてのOAM管理対象サーバーのカンマ区切りリスト。形式は「OAM管理対象サーバーを実行するサーバー: OAMプロキシ・ポート」です。使用するプロキシ・ポートは、OAM管理対象サーバーのリスニング・ポートではないことに注意してください。OAMプロキシ・ポートはワークシートに記載されています(OAM_PROXY_PORT)。
WEBGATE_TYPE: 作成するWebゲート・プロファイルのタイプ。これは常にohsWebgate11gにする必要があります。
ACCESS_GATE_IDは、作成するWebゲート・エージェントの名前です。
OAM11G_OIM_WEBGATE_PASSWDは、作成するWebゲート・エージェントに割り当てるパスワードです。
COOKIE_DOMAINは、OAM Cookieを関連付けるドメインで、通常は、IDSTORE_SEARCH_BASE(ドメイン形式)と同じです。検索ベースはワークシートに記載されています(REALM_DN)。
COOKIE_EXPIRY_INTERVAL: Cookieが期限切れになるまでの期間。
OAM11G_WG_DENY_ON_NOT_PROTECTED: これは常にtrueに設定する必要があります。これによって、OAMリソース・リストに明示的に記載されていないリソースへのアクセスが拒否されます。
OAM11G_IDM_DOMAIN_OHS_HOST: IAMAccessDomainの前面に位置するOracle HTTP Server (OHS)サーバーの名前です。エンタープライズ・デプロイメントの場合は、ロード・バランサの名前となります。
OAM11G_IDM_DOMAIN_OHS_PORT: IAMAccessDomainの前面に位置するOHSサーバーがリスニングするポートです。エンタープライズ・デプロイメントの場合は、ロード・バランサのポートとなります。これは、ワークシートのIAD_HTTPS_PORTです。
OAM11G_IDM_DOMAIN_OHS_PROTOCOL: IAMAccessDomainの前面に位置するOHSサーバーへのアクセス時に使用するプロセスを決定します。エンタープライズ・デプロイメントの場合は、ロード・バランサのプロトコルとなります。エンタープライズ・デプロイメントのブルー・プリントでは、SSLはロード・バランサで終了します。ただし、URLには常に接頭辞HTTPSが指定されるため、この値はhttpsに設定する必要があります。
OAM11G_SERVER_LBR_HOST: ログインの際にロード・バランサ上で構成される仮想ホストの名前です。通常はOAM11G_IDM_DOMAIN_OHS_HOSTと同じです。
OAM11G_SERVER_LBR_PORT: ログインの際にロード・バランサ上で構成される仮想ホストのポートです。通常はOAM11G_IDM_DOMAIN_OHS_PORTと同じです。
OAM11G_SERVER_LBR_PROTOCOL: ログインの際にロード・バランサ上で構成される仮想ホストのプロトコルです。通常はOAM11G_IDM_DOMAIN_OHS_PROTOCOLと同じです。
OAM11G_OAM_SERVER_TRANSPORT_MODE: 使用するOAMセキュリティ・トランスポートのタイプです。AIX以外のすべてのプラットフォームではSimpleを指定する必要があります(AIXの場合はOpen)。追加セキュリティが必要な場合は、certを指定できます。certを使用する場合は、Oracle Access Managerのドキュメントでその構成方法を参照してください。
OAM_TRANSFER_MODE: 使用するOAMセキュリティ・トランスポートのタイプです。これは、OAM11G_OAM_SERVER_TRANSPORT_MODEと同じにする必要があります。
OAM11G_SSO_ONLY_FLAG: 認証モードを使用するかどうかを決定するために使用します。エンタープライズ・デプロイメントの場合はfalseに設定する必要があります。
OAM11G_IMPERSONATION_FLAGは、OAMの偽装を構成するかどうかを決定します。偽装は通常、サポート・ユーザーがサポート提供の目的で実際のユーザーを偽装する、ヘルプ・デスク・タイプのアプリケーションで使用されます。
OAM11G_IDM_DOMAIN_LOGOUT_URLSは、ログアウトの目的で様々な製品を呼び出すURLのリストです。
OAM11G_OIM_INTEGRATION_REQは、Oracle Identity ManagerをOracle Access Managerと統合するかどうかを指定します。Oracle Access ManagerとOracle Identity Managerの両方を含むトポロジを作成する場合は、このパラメータをtrueに設定する必要があります。それ以外の場合はfalseに設定します。
後日、Oracle Identity Managerをトポロジに追加することを決定した場合は、このフラグをtrueに設定してOAM構成を再実行します。
OAM11G_OIM_OHS_URL: OAMとOIMが統合されている場合に使用します。これは、OAMによるリクエストの送信先となるOIMのURLです。このURLは、ワークシートの次の値で構成されます。
https://prov.example.com:IAG_HTTPS_PORT/
WLS_HOST: 管理サーバーのリスニング・アドレスです。OAM構成の場合、これはIADADMINVHN.example.comになります。
WLS_PORT: 管理サーバーのリスニング・ポートです。これは、ワークシートのIAD_WLS_PORTです。
WLS_ADMIN: 管理サーバーへの接続に使用するユーザーです。
SPLIT_DOMAIN: OAMとOIMが異なるドメインにある場合に使用します。これは、常にtrueに設定する必要があります。
この項では、idmConfigToolを使用してOracle Access ManagerとLDAPを統合する方法について説明します。
OAMHOST1で次のタスクを実行します。
環境変数MW_HOME、JAVA_HOMEおよびORACLE_HOMEを設定します。
Set ORACLE_HOME to IAD_ORACLE_HOME. MW_HOME to IAD_MW_HOME
idmConfigToolユーティリティを実行して統合を実施します。
Linuxの場合、このコマンドの構文は次のとおりです。
cd IAD_ORACLE_HOME/idmtools/bin
idmConfigTool.sh -configOAM input_file=configfile
次に例を示します。
idmConfigTool.sh -configOAM input_file=oam.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、次のアカウントに割り当てるパスワードも指定するよう求められます。
IDSTORE_PWD_OAMSOFTWAREUSER
IDSTORE_PWD_IADADMINUSER
OAM11G_IDM_DOMAIN_WEBGATE_PASSWD
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
WebLogic管理コンソール、WLS_OAM1、WLS_OAM2、WLS_AMA1、WLS_AMA2を再起動します。
|
注意: idmConfigToolを実行した後は、後続のタスクで必要になるファイルがいくつか作成されます。これらのファイルは安全な場所に格納してください。次のファイルは、次のディレクトリにあります。
IAD_ASERVER_HOME/output/Webgate_IDM_11g
これらは、Webゲート・ソフトウェアをインストールする際に必要になります。
|
|
注意: configOAMの実行時にwls_amaサーバーが実行されていた場合は、WebGate_IDMアーティファクトがIAD_MSERVER_HOME/outputに作成されている可能性があります。この場合は、それらをIAD_ASERVER_HOME/outputに移動してください。 |
ここまでの操作が正しいことを確認する手順は、次のとおりです。
次のURLを使用して、OAMコンソールにアクセスします。
http://iadadmin.example.com/oamconsole
IDストアを準備した場合は、作成したAccess Manager管理ユーザーとしてログインします。たとえばoamadminです。
「アプリケーション・セキュリティ」画面からエージェント起動パッドをクリックします。
「SSOエージェントの検索」画面が表示された後、「検索」をクリックします。
Webゲート・エージェントWebgate_IDMおよびWebgate_IDM_11gが表示されます。
Access Managerでは、管理サーバー内に格納されているMBeanへのアクセスが必要です。Access ManagerでこれらのMbeanを呼び出すために、OAM管理グループのユーザーにはWebLogic管理権限が必要です。
シングル・サインオンが実装されている場合は、LDAPグループのIDM AdministratorsにWebLogic管理権限を提供することで、これらのアカウントの1つを使用してログインして、WebLogic管理アクションを実行できます。
LDAPグループのOAMAdministratorsおよびIDM AdministratorsをWebLogic管理者に追加する手順は、次のとおりです。
WebLogic管理サーバー・コンソールにログインします。
コンソールの左ペインで「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページの表「レルム」で「myrealm」をクリックします。
「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。
「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
「述部の選択」ページで、条件のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
「引数の編集」ページのグループ引数フィールドにOAMAdministratorsを指定し、「追加」をクリックします。
グループIDM Administratorsについても同様に繰り返します。
「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
「ロール条件」表には、OAMAdministratorsおよびIDM Administratorsがロール条件として表示されます。
「保存」をクリックして、OAMAdministratorsおよびIDM Administratorsグループへの管理ロールの追加を終了します。
idmConfigToolを実行すると、デフォルトのOAMセキュリティ・モデルが変更されて、2つの新しいWebゲート・プロファイルが作成されます。ただし、既存のWebゲート・プロファイルが新しいセキュリティ・モデルに変更されることはありません。idmConfigToolの実行後に、既存のWebゲート・エージェントを更新する必要があります。これを行うには次の手順が必要になります。
セキュリティ・モードを、OAMサーバーのモードと一致するように変更します。このようにしないと、セキュリティ不一致エラーになります。
最初のインストールで作成されたWebゲートは、高可用性(HA)インストールが実施されていることを認識しません。HAを有効化した後で、すべてのOAMサーバーがエージェント構成に含まれていることを確認して、システム継続性を確保する必要があります。
最初のインストールで作成されたWebゲートは、高可用性(HA)インストールが実施されていることを認識しません。ログアウトURLが、ローカルのOAMサーバーの1つではなく、ハードウェア・ロード・バランサにリダイレクトされることを確認する必要があります。
IAMSuiteAgentと呼ばれるWebゲートが出荷時に作成されています。これは、パスワード保護を使用せずに作成されているため、パスワード保護を追加する必要があります。
これらのアクションを実行するには、次の手順を実行します。
OAMコンソールにAccess Management管理ユーザーとしてログインします。たとえば、次のURLを使用します。
http://iadadmin.example.com:7101/oamconsole
「アプリケーション・セキュリティ」画面でエージェント起動パッドをクリックします。
「Webゲート」タブが選択されていることを確認します。
「検索」をクリックします。
たとえば、「IAMSuiteAgent」などのエージェントをクリックします。
レスポンス・ファイルの作成時に「Access Manager構成」画面の「OAM転送モード」に定義した値と同じセキュリティ値を設定します。
デフォルトの設定は、AIXデプロイメントの場合は「Open」で、それ以外のすべてについては「Simple」です。
idmConfigToolを使用してOAMセキュリティ・モデルを変更した場合は、この変更を反映するためにすべての既存のWebゲートで使用されるセキュリティ・モデルを変更します。
「適用」をクリックします。
「プライマリ・サーバー」リストで、「+」をクリックし、不足しているAccess Managerサーバーを追加します。
まだパスワードを割り当てていない場合は、「アクセス・クライアント・パスワード」フィールドにパスワードを入力し、「適用」をクリックします。
レスポンス・ファイルの作成時に使用した共通のIAMパスワード(COMMON_IDM_PASSWORD)、またはAccess Manager固有のパスワード(設定した場合)などのアクセス・クライアント・パスワードを割り当てます。
「接続の最大数」を20に設定します。これはプライマリ・サーバーの合計の最大接続数で、10 x WLS_OAM1接続プラス10 x WLS_OAM2接続となります。
「ユーザー定義パラメータ」に次のように表示されている場合、
logoutRedirectUrl=http://OAMHOST1.example.com:14100/oam/server/logout
これを次のように変更します。
logoutRedirectUrl=https://login.example.com/oam/server/logout
「適用」をクリックします。
Webゲートごとに手順を繰り返します。
セキュリティ設定が、使用しているAccess Managerサーバーの設定と一致していることを確認します。
ドメインにアクセスするときは、様々なロード・バランサ・エントリ・ポイントを使用して入ります。これらのエントリ・ポイント(仮想ホスト)をそれぞれポリシー・リストに追加する必要があります。これによって、login.example.comまたはprov.example.comを使用したリソースへのアクセスをリクエストする場合に、同じポリシー・ルール・セットにアクセスできます。
OAMコンソールにアクセスします。
IDストアを準備した場合は、作成したAccess Manager管理ユーザーとしてログインします。たとえばoamadminです。
「起動パッド」を選択します(表示されていない場合)。
「Access Manager」の下にある「ホスト識別子」をクリックします。
「検索」をクリックします。
「IAMSuiteAgent」をクリックします。
「操作」ボックスの中の「+」をクリックします。
次の情報を入力します。
「適用」をクリックします。
Oracle Mobile Security Suite (OMSS)またはOIMを使用している場合は、表17-5にリストされているポリシーをOAMに手動で追加します。
表17-5 OAMポリシー情報
| 製品 | リソース・タイプ | ホスト識別子 | リソースURL | 保護レベル | 認証ポリシー | 認可ポリシー |
|---|---|---|---|---|---|---|
|
すべて |
HTTP |
IAMSuiteAgent |
|
除外 |
||
|
OMSS |
HTTP |
IAMSuiteAgent |
|
除外 |
||
|
HTTP |
IAMSuiteAgent |
|
除外 |
|||
|
HTTP |
IAMSuiteAgent |
|
除外 |
|||
|
HTTP |
IAMSuiteAgent |
|
除外 |
|||
|
HTTP |
IAMSuiteAgent |
|
保護 |
保護対象上位レベル・ポリシー |
保護対象リソース・ポリシー |
|
|
HTTP |
IAMSuiteAgent |
|
除外 |
これらのポリシーを追加する手順は、次のとおりです。
ユーザーoamadminを使用してOAMコンソールにログインします。
起動パッドから、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
「検索」ページで「検索」をクリックします。
アプリケーション・ドメインのリストが表示されます。
ドメイン「IAMスイート」をクリックします。
「リソース」タブをクリックします。
「作成」をクリックします。
表17-5に従って情報を入力します。
「適用」をクリックします。
oamtestツールを使用してAccess Managerを検証できます。これを行うには、次の手順を実行します:
wls_oam管理対象サーバーが起動して実行中であることを確認します。
JAVA_HOME/binをパスに追加することで、環境にJAVA_HOMEが設定されていることを確認します。次に例を示します。
export PATH=$JAVA_HOME/bin:$PATH
次のディレクトリに移動します。
IAD_ORACLE_HOME/oam/server/tester
次のコマンドを使用して、ターミナル・ウィンドウでこのテスト・ツールを起動します。
java -jar oamtest.jar
OAMテスト・ツールが起動したら、ページの「サーバー接続」セクションで次の情報を入力します。
プライマリIPアドレス: OAMHOST1.example.com
ポート: 5575 (OAM_PROXY_PORT)
エージェントID: Webgate_IDM_11g
エージェント・パスワード: webgate password
|
注意: simpleモードを構成している場合は、「簡易」を選択してグローバル・パスフレーズを指定します。 |
「接続」をクリックします。
ステータス・ウィンドウにresponse] Connected to primary access serverと表示されます。
「保護対象のリソースURI」セクションで次の情報を入力します。
スキーム: http
ホスト: iadadmin.example.com
ポート: 80 (IAD_HTTP_PORT)
リソース: /oamconsole
「検証」をクリックします。
ステータス・ウィンドウに[request] [validate] yesと表示されます。
「ユーザー・アイデンティティ」ウィンドウで次の情報を入力します。
ユーザー名: oamadmin
パスワード: oamadmin password
「認証」をクリックします。
ステータス・ウィンドウに[request] [authenticate] yesと表示されます。
「認可」をクリックします。
ステータス・ウィンドウに[request] [authorize] yesと表示されます。
Oracle Identity Managerなどその他のコンポーネントをAccess Managerに統合し、Access Managerで簡易セキュリティ・トランスポート・モデルを使用している場合は、これらのコンポーネントで使用できるキーストアを生成する必要があります。
Access Managerには自己署名の認証局が付属しており、これを簡易モードで使用して、アクセス・クライアント向けの証明書を発行します。この証明書を次のようにキーストアに追加する必要があります。
次の例では、トラスト・ストアをシステム生成のキーストアに追加し、共通の場所に配置します。
キーストアを配置するディレクトリを作成します(まだ作成していない場合)。たとえば、SHARED_CONFIG_DIR/keystoresとします。
システム生成のキーストアをこの場所にコピーし、次のコマンドを使用して一意の名前を付けます。
cp IAD_ASERVER_HOME/output/webgate-ssl/oamclient-keystore.jks SHARED_CONFIG_DIR/keystores/ssoKeystore.jks
トラスト・ストアをキーストア・ファイルに追加するには、最初にキーストア・ファイルを作成するためにダミー・エントリを追加し、JDK (Java Development Kit)に付属しているkeytoolというツールを使用します。次のコマンドを実行する前に、JDKがパスにあることを確認します。次に例を示します。
PATH=$IAD_MW_HOME/jdk:$PATH
証明書は、次のディレクトリにあるファイルcacert.der内に存在します。
IAD_MW_HOME/iam/oam/server/config
JAVA_HOMEをJAVA_HOMEに設定し、JAVA_HOME/binをPATHに追加します。
次のコマンドを実行して、PEM/DER形式のCA証明書をトラスト・ストアにインポートします。
keytool -importcert -file IAD_ORACLE_HOME/oam/server/config/cacert.der -trustcacerts -keystore SHARED_CONFIG_DIR/keystores/ssoKeystore.jks -storetype JKS
プロンプトが表示されたら、キーストアのパスワードを入力します。
このパスワードは、グローバル・パスフレーズに使用した共通のパスワードです。
|
注意: ssoKeystore.jksファイルは、Simpleモードで実行されるAccess ManagerをOracle Identity ManagementやOracle Access Managerと統合するときに必要です。 |
通常、Access Managerに設定されているデフォルトのタイムアウト値は長すぎ、セッションのタイムアウト後はセッションをログアウトできないなどの問題が発生する場合があります。したがって、この値を15分に減らすことをお薦めします。
アイドル・タイムアウト値を更新する手順:
第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、OAMコンソールにログインします。
レスポンス・ファイルの作成時に作成したAccess Manager管理者ユーザーとしてログインします。次に例を示します。
oamadmin
「構成」をクリックします。
「設定」の下にある「共通設定」を選択します。
「アイドル・タイムアウト(分)」を15に変更します。
「適用」をクリックします。
ESSOアイデンティティ・ストア・リポジトリは、デフォルトでSSL対応として作成されます。LDAP接続がSSL対応でない場合は、次を実行することで、SSLフラグの選択を解除するようにIDSリポジトリを更新します。
第31.2項「Identity and Access ManagementコンソールのURLについて」に記載されているURLを使用して、OAMコンソールにログインします。
レスポンス・ファイルの作成時に作成したAccess Manager管理者ユーザーとしてログインします。たとえばoamadminです。
「構成」をクリックします。
「ユーザー・アイデンティティ・ストア」をクリックします。
「IDSリポジトリ」セクションの下にある「ESSOIDSRepository」を選択し、「編集」をクリックします。
「SSL」フラグの選択を解除します。
「保存」をクリックします。
「ユーザー・アイデンティティ・ストア」ページで「適用」をクリックします。
この項では、デプロイ後のExalogic実装の手順について説明します。
この項には次のトピックが含まれます:
OAM Exalogic最適化を有効にすることでOAM永続性を高速化するには、各OAM管理対象サーバーのサーバー起動オプションに新しいパラメータを追加します。
OPMS最適化を有効化する手順は、次のとおりです。
IAMAccessDomainのWebLogicコンソールにログインします。
コンソールのURLについては、第31.2項「Identity and Access ManagementコンソールのURLについて」を参照してください。
「環境」→「サーバー」にナビゲートします。
「ロックして編集」をクリックします。
サーバーWLS_OAM1をクリックします。
「サーバーの起動」サブタブをクリックします。
引数フィールドに次の追加を行います。
-Doracle.oam.sme.elo=true
「保存」をクリックします。
管理対象サーバーWLS_OAM2について、手順4から7を繰り返します。
「変更のアクティブ化」をクリックします。
ベスト・プラクティスとしては、インストールと各層の構成が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。インストールが正常に行われたことを確認したら、バックアップを作成します。これは、後の手順で問題が発生した場合に即座にリストアするための迅速なバックアップになります。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます
データベース・バックアップの詳細は、データベースのドキュメントを参照してください。
インストールをこのポイントにバックアップするには、次をバックアップします。
Web層
Access Managerのデータベース
管理サーバー・ドメイン・ディレクトリ
管理対象サーバーのドメイン・ディレクトリ
LDAPディレクトリ
作成したキーストア
