プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド
11g リリース2 (11.1.2.3.0)
E61956-03
  目次へ移動
目次

前
 
次
 

13 アイデンティティ・ストアの準備

この項では、Oracle Identity and Access Managementに使用するために既存LDAPディレクトリを手動で準備する方法について説明します。


注意:

手動手順およびIDM LCMツールの両方を使用してアイデンティティ・ストアを準備しないでください。このようにすると、エラーが発生するか、デプロイメント時に失敗する場合があります。

この章の内容は次のとおりです。

13.1 既存LDAPディレクトリの準備の概要

Oracle Identity and Access Managementに使用することを希望する既存LDAPディレクトリがある場合があります。新規ディレクトリを作成している場合は、LCMツールによって自動的に作成されるため、この項を無視してください。ただし、使用を希望する既存ディレクトリがある場合は、最初に、この章で説明されている手順を使用して準備する必要があります。

サポートされているLDAPディレクトリのタイプは、次のとおりです。

  • Oracle Unified Directory

  • Oracle Internet Directory

  • Microsoft Active Directory

13.2 構成ファイルの作成

アイデンティティ・ストアの準備時、または後で統合プロセスと構成プロセスのベースとして使用する、プロパティ・ファイルiam.propsを作成します。ファイルは、この項で説明する構造になります。ファイルの作成時に空白行は含めないでください。

この項のプロパティ・ファイルは完全な例です。ファイルで指定されているパラメータの一部は、ガイドの後半の構成手順まで使用されません。使用する予定の製品用のプロパティを含めるためにのみ必要です。

この項には次のトピックが含まれます:

13.2.1 Oracle Internet Directoryの例

次に、Oracle Internet Directoryの構成ファイルの例を示します。

# LDAP Properties
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 3060 
IDSTORE_DIRECTORYTYPE: OID
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com 
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid
IDSTORE_NEW_SETUP: true
# OAM Properties
IDSTORE_OAMADMINUSER: oamAdmin
IDSTORE_OAMSOFTWAREUSER: oamLDAP
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
# OIM Properties
IDSTORE_OIMADMINGROUP: OIMAdministrators
IDSTORE_OIMADMINUSER: oimLDAP
# WebLogic Properties
IDSTORE_WLSADMINUSER: weblogic_idm
IDSTORE_WLSADMINGROUP: IDM Administrators
#Misc
SPLIT_DOMAIN: true

13.2.2 Oracle Unified Directoryの例

次に、Oracle Unified Directoryの構成ファイルの例を示します。

# Common
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 1389
IDSTORE_ADMIN_PORT: 4444
IDSTORE_KEYSTORE_FILE: INSTANCE_HOME/OUD/config/admin-keystore
IDSTORE_KEYSTORE_PASSWORD: Password key
IDSTORE_BINDDN: cn=oudadmin
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_NEW_SETUP: true
POLICYSTORE_SHARES_IDSTORE: TRUE
IDSTORE_DIRECTORYTYPE: OUD
# OAM
IDSTORE_OAMADMINUSER:oamAdmin
IDSTORE_OAMSOFTWAREUSER:oamLDAP
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators
# OAM and OIM
IDSTORE_SYSTEMIDBASE: cn=SystemIDs,dc=example,dc=com
# OIM
IDSTORE_OIMADMINGROUP: OIMAdministrators
IDSTORE_OIMADMINUSER: oimLDAP
# WebLogic
IDSTORE_WLSADMINUSER : weblogic_idm
IDSTORE_WLSADMINGROUP : IDM Administrators
#Misc
SPLIT_DOMAIN: true

13.2.3 プロパティ値の説明

この項では、構成ファイルのプロパティ値について説明します。

13.2.3.1 LDAPプロパティ

  • IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。アイデンティティ・ストアの準備時に、これらはLDAPインスタンスの1つを指す必要があります。OAMまたはOIMなどのコンポーネントの構成時に、これらはロード・バランサのエントリ・ポイントを指す必要があります。

    Exalogic設定の場合は、このホストのOTDフェイルオーバー・グループ名を指定する必要があります。

  • IDSTORE_DIRECTORYTYPEは、使用しているディレクトリのタイプです。有効な値は、OIDおよびOUDです。

  • IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです

  • IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。

  • IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を記述したLDAP属性です。

  • IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。

  • IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。

  • IDSTORE_SYSTEMIDBASEは、メイン・ユーザー・コンテナに配置する必要のないシステム・ユーザーを配置できる、ディレクトリ内のコンテナの場所です。

  • IDSTORE_USERNAMEATTRIBUTEは、ユーザー名が格納されるLDAP属性の名前です。

  • IDSTORE_LOGIN_ATTRIBUTEは、ユーザーIDが格納されるLDAP属性の名前です。

13.2.3.2 OUDプロパティ

  • IDSTORE_ADMIN_PORTは、Oracle Unified Directoryインスタンスの管理ポートです。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。

  • IDSTORE_KEYSTORE_FILEは、Oracle Unified Directoryのキーストア・ファイルの場所です。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、OUD_INSTANCE_HOME/OUD/configにあります。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。

  • IDSTORE_KEYSTORE_PASSWORDは、Oracle Unified Directoryのキーストアの暗号化されたパスワードです。この値は、ファイルOUD_INSTANCE_HOME/OUD/config/admin-keystore.pinにあります。

  • IDSTORE_NEW_SETUPは、ディレクトリを初めて準備するときに使用されます。

13.2.3.3 OAMプロパティ

  • IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。アイデンティティ・ストアの準備時に、これらはLDAPインスタンスの1つを指す必要があります。OAMまたはOIMなどのコンポーネントの構成時に、これらはロード・バランサのエントリ・ポイントを指す必要があります。

    Exalogic設定の場合は、このホストのOTDフェイルオーバー・グループ名を指定する必要があります。

  • IDSTORE_OAMADMINUSERは、Access Manager管理者として作成するユーザーの名前です。

  • IDSTORE_OAMSOFTWAREUSERは、LDAPに作成されるユーザーで、Access Managerが実行中にLDAPサーバーに接続するために使用されます。

  • OAM11G_IDSTORE_ROLE_SECURITY_ADMINは、OAMコンソールへのアクセスを許可するために使用するグループの名前です。このグループに割り当てられたユーザーのみがOAMコンソールにアクセスできます。

  • OAM11G_SERVER_LOGIN_ATTRIBUTEは、ユーザーIDが格納されるLDAP属性の名前であり、IDSTORE_LOGIN_ATTRIBUTEと同じである必要があります。

13.2.3.4 OIMプロパティ

  • IDSTORE_OIMADMINGROUPは、Oracle Identity Manager管理ユーザーを保持するために作成するグループの名前です。

  • IDSTORE_OIMADMINUSERは、アイデンティティ・ストアに接続するためにOracle Identity Managerが使用するユーザーです。

13.2.3.5 WebLogicプロパティ

  • IDSTORE_WLSADMINUSER: SSOによって有効化された後にWeb Logicドメインへのログイン用に作成されるユーザー名。

  • IDSTORE_WLSADMINGROUP: WebLogicシステム・コンポーネント(WLSコンソール、EMなど)へのログインを許可されたユーザーが属するグループの名前。

13.2.3.6 その他のプロパティ

  • SPLIT_DOMAINは、OAMとOIMが異なるドメインにある場合に使用します。これは、常にtrueに設定しておく必要があります。

13.3 パスワード・ファイルの準備

idmConfigToolスクリプトには、LDAPディレクトリに接続するためのパスワードとWebLogic管理サーバーに接続するためのパスワードが必要です。LDAPディレクトリに作成するシステムおよび管理アカウントの新規パスワードも作成する必要があります。

これらのパスワードは2通りの方法のいずれかで指定できます。

  • idmConfigToolスクリプトでプロンプトが表示された場合は、パスワードを対話的に指定します。

  • idmConfigToolスクリプトへの入力ファイルとして指定されるパスワード・ファイルを作成します。

パスワード・ファイルを作成することに決めた場合は、人間との対話なしでidmConfigToolスクリプトを実行できます。

パスワード・ファイルを作成する手順:

テキスト・エディタを使用して、テキスト・ファイルを作成します。idmConfigToolスクリプトにアクセスできるかぎり、任意のファイル名または場所を使用できます。

ファイルに次のパスワード値を入力します(例: mypasswd.props)。

IDSTORE_PASSWD: your_value
IDSTORE_PWD_READONLYUSER: your_value
IDSTORE_PWD_READWRITEUSER: your_value
IDSTORE_PWD_SUPERUSER: your_value
IDSTORE_PWD_OAMSOFTWAREUSER: your_value
IDSTORE_PWD_OAMADMINUSER: your_value
IDSTORE_PWD_OAMOBLIXUSER: your_value
IDSTORE_PWD_OIMADMINUSER: your_value
IDSTORE_ADMIN_PASSWD: your_value
WLSPASSWD: your_value
IDSTORE_PWD_XELSYSADMINUSER: your_value
IDSTORE_PWD_WEBLOGICADMINUSER: your_value

13.4 LCM用の既存LDAPディレクトリの準備

デプロイメント・ウィザードを使用して自動デプロイメントを作成している場合は、この章で説明されているidmtoolコマンドにアクセスできません。このような場合、Oracle Unified Directory (OUD)またはOracle Internet Directory (OID)を使用している場合は、次のいずれかを実行できます。

  • 自動ツールによってディレクトリが準備されるようにします。この場合、この章の手順に従う必要はありません。

  • スタンドアロン・バージョンのidmConfigToolを使用してオブジェクトを作成します。

    ソフトウェア・リポジトリに、このような状況で使用するためのスタンドアロン・バージョンのidmtoolが含まれています。このツールはidmConfigTool_STA.shという名前で、ディレクトリLCM_HOME/existing_directory/idmtools/bin/にあります。

    ツールを使用する前に、第13.2項「構成ファイルの作成」で作成した構成ファイルに次のパラメータを追加する必要があります。

    LDIF_FILES_DIR: LCM_HOME/existing_directory/idmtools/templates/oid


    注意:

    使用しているディレクトリ・タイプ(Oracle Unified Directory (OUD)またはOracle Internet Directory (OID))に関係なく、このパスを使用する必要があります。

    構成ファイルにパラメータを追加した後で、環境変数ORACLE_HOMELCM_HOME/existing_directoryを指すように設定します。サンプルの構成ファイルは、LCM_HOME/existing_directory/idmtools/input_parameters.propertiesにあります。

    idmConfigTool_STA.shidmConfigTool.shのかわりに使用して、以降の項の手順に従います。

13.5 アイデンティティ・ストアとしてのOIDおよびOUDの準備

LDAPディレクトリをOracle Access Management用のアイデンティティ・ストアとして使用するには、製品に必要なオブジェクト・クラスを含めるように拡張する必要があります。一度拡張されると、ユーザーが後の使用のためにディレクトリ内にシードされます。

アイデンティティ・ストアを準備するには、次の手順を実行します。

13.5.1 Oracle Internet DirectoryおよびOracle Unified Directoryの構成

アイデンティティ・ストアを事前構成すると、Oracle Internet Directory (OID)またはOracle Unified Directory (OUD)でスキーマが拡張されます。

これを実行するには、Oracle Internet Directoryを拡張している場合はLDAPHOST1、Oracle Unified Directoryを拡張している場合はLDAPHOST1で次のタスクを実行します。


注意:

ディレクトリがIAD_ORACLE_HOMEと異なるホスト上にある場合は、idmconfigTool.shツールはそのホストから実行される必要があります。IAD_ORACLE_HOMEとディレクトリ・サーバーの間にファイアウォールがある場合、この手順の間はそのファイアウォールでLDAPポートを利用できるようにする必要があります。

OIMのみをインストールしていて、使用中のディレクトリの構成を希望する場合は、IAD_ORACLE_HOMEではなくIGD_ORACLE_HOMEを使用します。idmtoolは両方の場所で同じです。


  1. 環境変数MW_HOMEJAVA_HOMEおよびORACLE_HOMEを設定します。ORACLE_HOMEIAD_ORACLE_HOMEまたはIGD_ORACLE_HOMEに設定し、MW_HOMEIGD_MW_HOMEまたはIAD_MW_HOMEに設定していることを確認してください。

  2. 場所IAD_ORACLE_HOME/idmtools/binからidmConfigToolコマンドを使用して、アイデンティティ・ストアを構成します。


    注意:

    idmConfigToolを実行すると、idmDomainConfig.paramファイルが作成されるか、既存のこのファイルに情報が追加されます。このファイルは、idmConfigToolを実行したディレクトリに作成されます。このツールを実行するたびに同じファイルに情報が追加されるようにするには、必ずディレクトリIAD_ORACLE_HOME/idmtools/binからidmConfigToolを実行します。

    Linuxの場合、このコマンドの構文は次のとおりです。

    idmConfigTool.sh -preConfigIDStore input_file=configfile

    次に例を示します。

    idmConfigTool.sh -preConfigIDStore input_file=iam.props

    このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。このコマンドの実行には時間を要する場合があります。

    ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。

13.5.2 ユーザーとグループの作成

Identity Managementコンポーネントで必要なユーザーとグループでアイデンティティ・ストアをシードする必要があります。

アイデンティティ・ストアをシードするには、OAMHOST1またはOIMHOST1で次のタスクを実行する必要があります。

  1. 環境変数MW_HOMEJAVA_HOMEおよびORACLE_HOMEを設定します。

    Set ORACLE_HOME to IAM_ORACLE_HOME
    

    注意:

    idmConfigToolがOIMHOST1またはOAMHOST1のどちらで実行されているかによって、IAM_ORACLE_HOMEIGD_ORACLE_HOMEまたはIAD_ORACLE_HOMEのいずれかで置き換えます。

  2. 次の場所にあるidmConfigToolコマンドを使用してアイデンティティ・ストアを構成します。

    IAM_ORACLE_HOME/idmtools/bin
    

    注意:

    idmConfigToolを実行すると、idmDomainConfig.paramファイルが作成されるか、既存のこのファイルに情報が追加されます。このファイルは、idmConfigToolを実行したディレクトリに生成されます。このツールを実行するたびに同じファイルに情報が追加されるようにするには、必ず次のディレクトリでidmConfigToolを実行します。
    IAM_ORACLE_HOME/idmtools/bin
    

    Linuxの場合、このコマンドの構文は次のとおりです。

    idmConfigTool.sh -prepareIDStore mode=MODE input_file=configfile  pwd_file=passwordfile
    

    MODEに選択する値によって、作成するユーザーのタイプが決まります。指定可能なMODEの値は、OAMOIMおよびWLSです。

    • すべてのトポロジにおいて、管理コンソールに対するシングル・サインオンを有効にする場合は、WebLogic管理コンソールとOracle Enterprise Manager Fusion Middleware Controlにログインする権限を持つユーザーがアイデンティティ・ストアに存在することを確認する必要があります。次のように入力します。

      idmConfigTool.sh -prepareIDStore mode=WLS input_file=iam.props
      
    • トポロジにAccess Managerが含まれている場合、Access Managerで必要なユーザーをアイデンティティ・ストアにシードしておく必要があります。次のように入力します。

      idmConfigTool.sh -prepareIDStore mode=OAM input_file=iam.props
      
    • トポロジにOracle Identity Managerが含まれている場合、xelsysadmユーザーをアイデンティティ・ストアにシードし、Oracle Identity Manager管理グループにこのユーザーを割り当てる必要があります。また、リコンシリエーションを実行できるように、標準の場所cn=Users以外にもユーザーを作成します。このユーザーは、Oracle Virtual Directoryを使用してディレクトリに接続するときにバインドDNとして使用するユーザーにもなります。タイプ

      idmConfigTool.sh -prepareIDStore mode=OIM input_file=iam.props
      

注意:

このコマンドでは、アイデンティティ・ストアに予約用のコンテナも作成します。


注意:

xelsysadm用のパスワードを入力する場合は、OIMポリシー(長さが8文字以上で、大文字と数字が1つ以上含まれている必要があります)と同じであることを確認します。

このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。

各コマンドを実行した後、ログ・ファイルでエラーまたは警告を確認し、修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。

13.5.3 OUD changelogアクセス権の付与

Oracle Unified Directoryを使用している場合は、次の手順をLDAPHOST1およびLDAPHOST2で実行して、changelogに対するアクセス権を付与する必要があります。

  1. OUDに接続するために使用するパスワードが含まれているpasswordfileというファイルを作成します。

  2. コマンドを発行して、既存の変更ログを削除します。

    OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
    --remove \
    global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)"  \
            --hostname OUD Host \
            --port OUD Admin Port \
    --trustAll \
            --bindDN cn=oudadmin \
            --bindPasswordFile passwordfile \
            --no-prompt
    

    次に例を示します。

    OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
    --remove
    global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \
            --hostname LDAPHOST1.example.com \
            --port 4444 \
    --trustAll \
            --bindDN cn=oudadmin \
            --bindPasswordFile passwordfile \
            --no-prompt
    
  3. 新規aciを追加します。

    OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
    --add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
            --hostname OUD Host \
            --port OUD Admin Port \
            --trustAll \
            --bindDN cn=oudadmin \
            --bindPasswordFile passwordfile \
            --no-prompt
    

    次に例を示します。

    OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
    --add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
            --hostname LDAPHOST1.example.com \
            --port 4444 \
            --trustAll \
            --bindDN cn=oudadmin \
            --bindPasswordFile passwordfile \
            --no-prompt
    

13.5.4 LDAP同期化のためのOracle Unified Directory ACIの更新

次に、LDAP同期が有効な場合のOracle Unified Directory操作の失敗時の回避策を説明します。

すべてのOUDインスタンスのOUD_ORACLE_INSTANCE/OUD/config/config.ldifを次の変更で更新します。

  1. 次の行を探します。

    ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.840.113556.1.4.319 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)
    

    前述のaciからオブジェクト識別子(OID) 1.2.840.113556.1.4.319を削除し、次に示すaciに追加します。

    ds-cfg-global-aci: (targetcontrol="2.16.840.1.113730.3.4.2 || 2.16.840.1.113730.3.4.17 || 2.16.840.1.113730.3.4.19 || 1.3.6.1.4.1.4203.1.10.2 || 1.3.6.1.4.1.42.2.27.8.5.1 || 2.16.840.1.113730.3.4.16 || 2.16.840.1.113894.1.8.31 || 1.2.840.113556.1.4.319") (version 3.0; acl "Anonymous control access"; allow(read) userdn="ldap:///anyone";)
    
  2. オブジェクト識別子1.3.6.1.4.1.26027.1.5.4および1.3.6.1.4.1.26027.2.3.4を、次に示すaciに追加します。

    ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.840.113556.1.4.319 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9 || 1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)
    
  3. 両方のLDAPHOSTでOracle Unified Directoryサーバーを再起動します。

13.5.5 OUD索引の作成

idmConfigToolを実行してOUDアイデンティティ・ストアを準備すると、実行対象のインスタンスに関するデータの索引が作成されます。これらの索引は、LDAPHOST2の各OUDインスタンスに手動で作成する必要があります。

これを行うには、LDAPHOST2で次のコマンドを実行します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j password -c \-f IAM_ORACLE_HOME/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif

OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j  password -c \-f IAM_ORACLE_HOME/idmtools/templates/oud/oud_indexes_extn.ldif

IDMLCMインストール用の準備でこれを実行している場合は、次のコマンドを使用します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j password -c \-f IDMLCM_HOME/existing_directory/idmtools/templates/oid/ojd_user_index_generic.ldif

OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j password -c \-f IDMLCM_HOME/existing_directory/idmtools/templates/oud/oud_indexes_extn.ldif

索引の再作成

すべてのLDAPホストで索引が作成された後、コマンドを使用して索引を再作成する必要があります。

  1. 次のコマンドを発行してOUDを停止します。

    OUD_ORACLE_INSTANCE/OUD/bin/stop-ds
    
  2. 次のコマンドを実行します。

    OUD_ORACLE_INSTANCE/OUD/bin/rebuild-index --rebuildAll -b "dc=example,dc=com"
    
  3. 次のコマンドを発行して、OUDを再起動します。

    OUD_ORACLE_INSTANCE/OUD/bin/start-ds
    
  4. 各LDAPHOST (idmToolの実行対象だったホストを含む)に対して繰り返して、可用性を維持し、索引を再作成しているディレクトリのみを停止します。

13.5.6 Oracle以外のディレクトリでのアクセス制御リストの作成

前の項で、Oracleコンポーネントのユーザーおよびアーティファクトをアイデンティティ・ストアにシードしました。アイデンティティ・ストアがMicrosoft Active DirectoryやOracle Directory Server Enterprise EditionなどのOracle Internet DirectoryまたはOracle Unified Directory以外の場合は、アクセス制御リスト(ACL)を設定して、作成したエンティティに適切な権限を指定する必要があり、これは、これらの前方でOracle Virtual Directoryを使用している場合でも該当します。この項では、作成されるアーティファクトおよびそのアーティファクトで必要な権限を示します。

  • システムID。すべてのシステム識別子を格納するためのシステムIDコンテナが作成されます。ユーザーの作成場所であるコンテナが他に存在する場合は、それが管理の中で指定されます。

  • Access Manager管理ユーザー。このユーザーは、OAM管理者グループに追加されます。このグループでは、Oracle Access Managementコンソールを管理する権限を提供します。このユーザーは単なるアプリケーション・ユーザーなので、LDAPスキーマ・レベルの権限は不要です。

  • Access Managerソフトウェア・ユーザー。このユーザーは、コンテナに対する読取り権限を提供するグループに追加されます。このユーザーにはスキーマ管理権限も付与されます。

  • システムIDコンテナに存在するOracle Identity ManagerユーザーoimLDAP: コンテナでは適宜パスワード・ポリシーが設定されます。システムIDコンテナのユーザーのパスワードは、期限切れにならないように設定する必要があります。

  • Oracle Identity Manager管理グループ: Oracle Identity Managerのユーザーがこのメンバーとして追加されます。Oracle Identity Manager管理グループには、ディレクトリ内のすべてのユーザー・エンティティおよびグループ・エンティティに対する完全な読取り/書込み権限が付与されます。

  • WebLogic管理者。Oracle Virtual DirectoryのIDMドメインの管理者です。

  • WebLogic管理者グループ。WebLogic管理者がメンバーとして追加されます。Oracle Virtual DirectoryのIDMドメインの管理者グループです。

  • 予約コンテナ。読取り/書込み操作を実行するための権限がOracle Identity Manager管理グループに付与されます。

13.6 Oracle Identity and Access Managementで使用される既存のMicrosoft Active Directoryインスタンスの準備

Active Directoryのディレクトリ・インスタンスを設定するには、次のタスクを実行します。

13.6.1 Active Directoryインスタンスへの必要なスキーマの追加

LCMツールを使用した自動デプロイメントに対して既存のActive Directoryインスタンスを準備する最初の手順は、ディレクトリへの必要なスキーマのロードです。

Oracleは、編集してActive DirectoryインスタンスにインポートできるLDIFファイルのセットとしてスキーマを提供します。

スキーマを既存のActive Directoryインスタンスにロードする手順:

  1. ディレクトリをLCMツールのホーム・ディレクトリ(IDMLCM_HOME)内の次のディレクトリに変更します。

    IAM_ORACLE_HOME/idmtools/templates/ad/
    

    注意:

    LCMツールを使用せずにOracle Identity and Access Managementを手動でデプロイしている場合、スキーマLDIFファイルはソフトウェアのインストール後にOracle Identity and Access Management Oracleホームの次のディレクトリにあります。
    IAM_ORACLE_HOME/oam/server/oim-intg/ldif/ad/schema/
    

  2. トポロジに必要なLDIFファイルをテキスト・エディタで開き、<domain-dn>のすべてのオカレンスを組織の識別名(DN)で置換します。

    • OAMおよびOMSSトポロジのデプロイを計画している場合は、次のLDIFファイルを編集します。

      AD_OracleSchema.ldif
      AD_OblixSchema.ldif
      

      注意:

      OMSSおよびActive DirectoryをOAMパスワード管理機能なしで使用することを計画している場合、AD_OracleSchemaおよびAD_OblixSchema LDIFファイルを使用してActive Directoryスキーマを展開することは必須ではありません。

    • OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、次のLDIFファイルを編集します。

      AD_OracleSchema.ldif
      AD_UserSchema.ldif
      AD_oam_pwd_schema_add.ldif
      
  3. 標準手順を使用して、該当するLDIFファイルをActive Directoryインスタンスにインポートします。

    LDIFファイルのロードの詳細は、Active Directoryのドキュメントを参照してください。

13.6.2 Active Directoryインスタンスでの必要なコンテナの作成

既存のActive Directoryインスタンスに必要なスキーマをインストールした後で、ディレクトリ・インスタンス内に必要なコンテナを作成できます。

必要なコンテナを作成する手順:

  1. トポロジに必要なコンテナの作成に使用できる新しいLDIFファイルを作成します。

    • OAMおよびOMSSトポロジのデプロイを計画している場合は、例13-1に示すように.ldifファイルを作成します。

    • OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、例13-2に示すように.ldifファイルを作成します。

    両方のサンプル.ldifファイルは、組織の実際のドメイン・コンテナのプレースホルダとして次のプレースホルダを使用します。環境に適した情報で置換してください。

    dc=example,dc=com
    
  2. 標準手順を使用して、LDIFファイルをActive Directoryインスタンスにインポートします。

例13-1 OAMおよびOMSSデプロイメントのコンテナの作成に使用されるサンプルLDIFファイル

dn: cn=Groups,dc=example,dc=com
changetype: add
cn: Groups
objectclass: container

dn: cn=SystemIDs,dc=example,dc=com
changetype: add
cn: SystemIDs
objectclass: container

dn: cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAUserReadPrivilegeGroup
objectclass: group

dn: cn=orclFAUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAUserWritePrivilegeGroup
objectclass: group

dn: cn=orclFAUserWritePrefsPrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAUserWritePrefsPrivilegeGroup
objectclass: group

dn: cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAGroupReadPrivilegeGroup
objectclass: group

dn: cn=orclFAGroupWritePrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAGroupWritePrivilegeGroup
objectclass: group

dn: cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAOAMUserWritePrivilegeGroup
objectclass: group

dn: cn=IDM Administrators,cn=Groups,dc=example,dc=com
changetype: add
cn: IDM Administrators
objectclass: group

dn: cn=OAMAdministrators,cn=Groups,dc=example,dc=com
changetype: add
cn: OAMAdministrators
objectclass: group

例13-2 OIM、OAMおよびOMSS統合トポロジのコンテナを作成するためのサンプルLDIFファイル

dn: cn=Groups,dc=example,dc=com
changetype: add
cn: Groups
objectclass: container

dn: cn=SystemIDs,dc=example,dc=com
changetype: add
cn: SystemIDs
objectclass: container

dn: cn=reserve,cn=Groups,dc=example,dc=com
changetype: add
cn: reserve
objectclass: container

dn: cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAUserReadPrivilegeGroup
objectclass: group

dn: cn=orclFAUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAUserWritePrivilegeGroup
objectclass: group

dn: cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAGroupReadPrivilegeGroup
objectclass: group

dn: cn=orclFAGroupWritePrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAGroupWritePrivilegeGroup
objectclass: group

dn: cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com
changetype: add
cn: orclFAOAMUserWritePrivilegeGroup
objectclass: group

dn: cn=IDM Administrators,cn=Groups,dc=example,dc=com
changetype: add
cn: IDM Administrators
sAMAccountName: IDM Administrators
objectclass: group

dn: cn=OAMAdministrators,cn=Groups,dc=example,dc=com
changetype: add
cn: OAMAdministrators
sAMAccountName: OAMAdministrators
objectclass: group

dn: cn=OIMAdministrators,cn=Groups,dc=example,dc=com
changetype: add
cn: OIMAdministrators
sAMAccountName: OIMAdministrators
objectclass: group

dn: cn=BIReportAdministrator,cn=Groups,dc=example,dc=com
changetype: add
cn: BIReportAdministrator
sAMAccountName: BIReportAdministrator
objectclass: group

13.6.3 Active Directoryのコンテナへのアクセス制御リスト(ACL)の追加

Active Directoryインスタンスに必要なコンテナを作成した後、アクセス制御リスト(ACL)を使用して各コンテナの権限を設定できます。

Microsoft TechNet Webサイトの次の記事の手順に従って、例13-3にリストされているACLを追加します。

http://technet.microsoft.com/en-us/library/cc757520%28v=ws.10%29.aspx

例13-3 必要なActive DirectoryコンテナのACLのリスト

orclFAUserReadPrivilegeGroup : Read privileges to users container
orclFAUserWritePrivilegeGroup : Write privileges to users container
orclFAGroupReadPrivilegeGroup : Read privileges to groups container
orclFAGroupWritePrivilegeGroup : Write privileges to groups container
orclFAOAMUserWritePrivilegeGroup : Write privileges to users and groups container

13.6.4 Active Directoryインスタンスでのユーザーの作成

Active Directoryインスタンス内にコンテナを作成した後で、必要なユーザーを作成できます。

  1. トポロジに必要なユーザーの作成に使用できる新しいLDIFファイルを作成します。

    • OAMおよびOMSSトポロジのデプロイを計画している場合は、例13-4に示すように.ldifファイルを作成します。

    • OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、例13-5に示すように.ldifファイルを作成します。

    両方のサンプル.ldifファイルは、組織の実際のドメイン・コンテナのプレースホルダとして次のプレースホルダを使用します。環境に適した情報で置換してください。

    dc=example,dc=com
    @example.com
    
  2. 標準手順を使用して、LDIFファイルをActive Directoryインスタンスにインポートします。

例13-4 OAMおよびOMSSトポロジのActive Directoryインスタンスにユーザーを追加するためのサンプルLDIFファイル

dn: cn=weblogic_idm,cn=Users,cd=example,dc=com
changetype: add
cn: weblogic_idm
objectClass: user
samAccountName: weblogic_idm
givenName: weblogic_idm
sn: weblogic_idm
userPrincipalName: weblogic_idm@example.com
  
dn: cn=oamadmin,cn=Users,cd=example,dc=com
changetype: add
cn: oamadmin
objectClass: user
samAccountName: oamadmin
givenName: oamadmin
sn: oamadmin
userPrincipalName: oamadmin@example.com
 
dn: cn=OblixAnonymous,cd=example,dc=com
changetype: add
cn: OblixAnonymous
objectClass: user
samAccountName: OblixAnonymous
givenName: OblixAnonymous
sn: OblixAnonymous
userPrincipalName: oblixanonymous@example.com
 
dn: cn=oamLDAP,cn=systemids,cd=example,dc=com
changetype: add
cn: oamLDAP
objectClass: user
samAccountName: oamLDAP
givenName: oamLDAP
sn: oamLDAP
userPrincipalName: oamldap@example.com

例13-5 OIM、OAMおよびOMSS統合トポロジのActive Directoryインスタンスにユーザーを作成するためのサンプルLDIFファイル

dn: cn=weblogic_idm,cn=Users,dc=example,dc=com
changetype: add
objectClass: user
samAccountName: weblogic_idm
givenName: weblogic_idm
sn: weblogic_idm
cn: weblogic_idm
userPrincipalName: weblogic_idm@example.com
 
dn: cn=xelsysadm,cn=Users,dc=example,dc=com
changetype: add
objectClass: user
samAccountName: xelsysadm
givenName: xelsysadm
sn: xelsysadm
cn: xelsysadm
userPrincipalName: xelsysadm
 
dn: cn=oamadmin,cn=Users,dc=example,dc=com
changetype: add
objectClass: user
samAccountName: oamadmin
givenName: oamadmin
sn: oamadmin
cn: oamadmin
userPrincipalName: oamadmin@example.com
 
dn: cn=OblixAnonymous,dc=example,dc=com
changetype: add
objectClass: user
samAccountName: OblixAnonymous
givenName: OblixAnonymous
sn: OblixAnonymous
cn: OblixAnonymous
userPrincipalName: oblixanonymous@example.com
 
dn: cn=oamLDAP,cn=systemids,dc=example,dc=com
changetype: add
objectClass: user
samAccountName: oamLDAP
givenName: oamLDAP
sn: oamLDAP
cn: oamLDAP
userPrincipalName: oamLDAP@example.com
 
dn: cn=oimLDAP,cn=systemids,dc=example,dc=com
changetype: add
objectClass: user
samAccountName: oimLDAP
givenName: oimLDAP
sn: oimLDAP
cn: oimLDAP
userPrincipalName: oimLDAP@example.com

13.6.5 Active Directoryインスタンスのグループへのユーザー・メンバーシップの追加

Active Directoryインスタンスにユーザーを作成した後で、各ユーザーを適切なグループに追加します。

  • OAMおよびOMSSトポロジについて、グループとその関連ユーザーを第13.6.5.1項に示します。

  • OIM、OAMおよびOMSS統合デプロイメントについて、グループとその関連ユーザーを第13.6.5.2項に示します。

グループにユーザーを追加する手順は、Microsoft TechNet Webサイトの次の記事を参照してください。

https://technet.microsoft.com/en-us/library/cc737130%28v=ws.10%29.aspx

13.6.5.1 OAMおよびOMSSデプロイメントのグループおよびユーザーのサマリー

OAMおよびOMSSデプロイメントでは、次のリストを使用して、必要なユーザーを各グループに割り当てます。

  • cn=IDM Administrators,cn=Groups,dc=example,dc=com

    • cn=oamadministrators,cn=groups,dc=example,dc=com

    • cn=weblogic_idm,cn=users,dc=example,dc=com

  • cn=OAMAdministrators,cn=Groups,dc=example,dc=com

    • cn=oamadmin,cn=users,dc=example,dc=com

  • cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com

    • cn=oamldap,cn=systemids,dc=example,dc=com

  • cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com

    • cn=oamldap,cn=systemids,dc=example,dc=com

  • cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com

    • cn=oamldap,cn=systemids,dc=example,dc=com

13.6.5.2 OIM、OAMおよびOMSS統合デプロイメントのグループおよびユーザーのサマリー

OIM、OAMおよびOMSS統合トポロジでは、次のリストを使用して、必要なユーザーを各グループに割り当てます。

  • cn=IDM Administrators,cn=Groups,dc=example,dc=com

    • cn=oamadministrators,cn=groups,dc=example,dc=com

    • cn=weblogic_idm,cn=users,dc=example,dc=com

  • cn=OAMAdministrators,cn=Groups,dc=example,dc=com

    • cn=oamadmin,cn=users,dc=example,dc=com

  • cn=OIMAdministrators,cn=Groups,dc=example,dc=com

    • cn=oimldap,cn=systemids,dc=example,dc=com

  • cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com

    • cn=oamldap,cn=systemids,dc=example,dc=com

  • cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com

    • cn=oamldap,cn=systemids,dc=example,dc=com

  • cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com

    • cn=oamldap,cn=systemids,dc=example,dc=com

  • cn=BIReportAdministrator,cn=Groups,dc=example,dc=com

    • cn=xelsysadm,cn=Users,dc=example,dc=com

13.6.6 OIMAdministratorsグループへの管理者権限の割当て

OIM、OAMおよびOMSS統合デプロイメントでは、次のようにOIMAdministorsグループを管理者グループに追加します。

  1. 「Active Directoryユーザーとコンピューター」で、「OIMAdministrators」グループを右クリックします。

  2. ポップアップ・メニューの「プロパティ」を選択します。

  3. 「メンバー」タブを選択します。

  4. 「追加」をクリックし、「グループの選択」ダイアログ・ボックスを使用して「管理者」を追加します。

  5. 「OK」をクリックして「グループの選択」ダイアログ・ボックスを閉じます。

  6. 「適用」をクリックして変更を適用します。

13.6.7 Active Directoryインスタンスでのユーザー・パスワードのリセット

必要なユーザーを作成し、それらを適切なグループに割り当てた後で、ユーザー・パスワードをリセットする必要があります。

ユーザー・パスワードをリセットするには、Microsoft TechNet Webサイトで次の記事を参照してください。

http://technet.microsoft.com/en-in/library/cc782255%28v=ws.10%29.aspx

ディレクトリ内の必要な各Oracle Identity and Access Managementユーザーのパスワードをリセットする場合は、「ユーザーは次回ログオン時にパスワードの変更が必要」チェック・ボックスをクリアします。

13.6.8 Active Directoryインスタンスでのユーザー・アカウントの有効化

コンテナを作成し、ACLを設定し、ユーザーを追加し、それらを適切なグループに割り当て、ユーザー・パスワードをリセットした後で、ユーザー・アカウントを有効にできます。

  1. 「スタート」メニュー→「管理ツール」「Active Directoryユーザーとコンピューター」を選択します。

  2. 作成したユーザーを含む各コンテナをクリックします。

  3. 「詳細」ペインから、各ユーザーを右クリックし、「アカウントの有効化」を選択します。

13.6.9 Active DirectoryでのLockoutThresholdの設定

ユーザーが間違ったパスワードを複数回入力したときに適切な動作を保証するには、Oracle Identity and Access Managementソフトウェアのセキュリティ設定に合せてActive DirectoryのLockoutThreshold値を構成することが重要です。

ほとんどの場合、Active Directory LockoutThresholdは10に設定するのが最適です。ただし、Oracle Identity and Access Managementをデプロイした後で、次のOracle Identity and Access Management構成ファイルでpwdMaxFailure設定も10に設定されているかどうかを確認する必要があります。

DOMAIN_HOME/config/fmwconfig/ovd/oim/adapters.os_xml

一般に、Active Directory LockoutThresholdpwdMaxFailure設定に合せて設定する必要があります。

LockoutThreshold設定の詳細は、Microsoft Technet Webサイトの次の記事を参照してください。

https://technet.microsoft.com/en-us/library/cc775412%28v=ws.10%29.aspx