| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド 11g リリース2 (11.1.2.3.0) E61956-03 |
|
前 |
次 |
この項では、Oracle Identity and Access Managementに使用するために既存LDAPディレクトリを手動で準備する方法について説明します。
|
注意: 手動手順およびIDM LCMツールの両方を使用してアイデンティティ・ストアを準備しないでください。このようにすると、エラーが発生するか、デプロイメント時に失敗する場合があります。 |
この章の内容は次のとおりです。
Oracle Identity and Access Managementに使用することを希望する既存LDAPディレクトリがある場合があります。新規ディレクトリを作成している場合は、LCMツールによって自動的に作成されるため、この項を無視してください。ただし、使用を希望する既存ディレクトリがある場合は、最初に、この章で説明されている手順を使用して準備する必要があります。
サポートされているLDAPディレクトリのタイプは、次のとおりです。
Oracle Unified Directory
Oracle Internet Directory
Microsoft Active Directory
アイデンティティ・ストアの準備時、または後で統合プロセスと構成プロセスのベースとして使用する、プロパティ・ファイルiam.propsを作成します。ファイルは、この項で説明する構造になります。ファイルの作成時に空白行は含めないでください。
この項のプロパティ・ファイルは完全な例です。ファイルで指定されているパラメータの一部は、ガイドの後半の構成手順まで使用されません。使用する予定の製品用のプロパティを含めるためにのみ必要です。
この項には次のトピックが含まれます:
次に、Oracle Internet Directoryの構成ファイルの例を示します。
# LDAP Properties IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 3060 IDSTORE_DIRECTORYTYPE: OID IDSTORE_BINDDN: cn=orcladmin IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid OAM11G_SERVER_LOGIN_ATTRIBUTE: uid IDSTORE_NEW_SETUP: true # OAM Properties IDSTORE_OAMADMINUSER: oamAdmin IDSTORE_OAMSOFTWAREUSER: oamLDAP OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators # OIM Properties IDSTORE_OIMADMINGROUP: OIMAdministrators IDSTORE_OIMADMINUSER: oimLDAP # WebLogic Properties IDSTORE_WLSADMINUSER: weblogic_idm IDSTORE_WLSADMINGROUP: IDM Administrators #Misc SPLIT_DOMAIN: true
次に、Oracle Unified Directoryの構成ファイルの例を示します。
# Common IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389 IDSTORE_ADMIN_PORT: 4444 IDSTORE_KEYSTORE_FILE: INSTANCE_HOME/OUD/config/admin-keystore IDSTORE_KEYSTORE_PASSWORD: Password key IDSTORE_BINDDN: cn=oudadmin IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid OAM11G_SERVER_LOGIN_ATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_NEW_SETUP: true POLICYSTORE_SHARES_IDSTORE: TRUE IDSTORE_DIRECTORYTYPE: OUD # OAM IDSTORE_OAMADMINUSER:oamAdmin IDSTORE_OAMSOFTWAREUSER:oamLDAP OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators # OAM and OIM IDSTORE_SYSTEMIDBASE: cn=SystemIDs,dc=example,dc=com # OIM IDSTORE_OIMADMINGROUP: OIMAdministrators IDSTORE_OIMADMINUSER: oimLDAP # WebLogic IDSTORE_WLSADMINUSER : weblogic_idm IDSTORE_WLSADMINGROUP : IDM Administrators #Misc SPLIT_DOMAIN: true
この項では、構成ファイルのプロパティ値について説明します。
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。アイデンティティ・ストアの準備時に、これらはLDAPインスタンスの1つを指す必要があります。OAMまたはOIMなどのコンポーネントの構成時に、これらはロード・バランサのエントリ・ポイントを指す必要があります。
Exalogic設定の場合は、このホストのOTDフェイルオーバー・グループ名を指定する必要があります。
IDSTORE_DIRECTORYTYPEは、使用しているディレクトリのタイプです。有効な値は、OIDおよびOUDです。
IDSTORE_BINDDNは、アイデンティティ・ストア・ディレクトリの管理ユーザーです
IDSTORE_SEARCHBASEは、ユーザーおよびグループを格納するディレクトリの場所です。
IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名を記述したLDAP属性です。
IDSTORE_USERSEARCHBASEは、ユーザーが格納されるディレクトリの場所です。
IDSTORE_GROUPSEARCHBASEは、グループが格納されるディレクトリの場所です。
IDSTORE_SYSTEMIDBASEは、メイン・ユーザー・コンテナに配置する必要のないシステム・ユーザーを配置できる、ディレクトリ内のコンテナの場所です。
IDSTORE_USERNAMEATTRIBUTEは、ユーザー名が格納されるLDAP属性の名前です。
IDSTORE_LOGIN_ATTRIBUTEは、ユーザーIDが格納されるLDAP属性の名前です。
IDSTORE_ADMIN_PORTは、Oracle Unified Directoryインスタンスの管理ポートです。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。
IDSTORE_KEYSTORE_FILEは、Oracle Unified Directoryのキーストア・ファイルの場所です。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、OUD_INSTANCE_HOME/OUD/configにあります。Oracle Unified Directoryを使用していない場合、このパラメータを省略できます。
IDSTORE_KEYSTORE_PASSWORDは、Oracle Unified Directoryのキーストアの暗号化されたパスワードです。この値は、ファイルOUD_INSTANCE_HOME/OUD/config/admin-keystore.pinにあります。
IDSTORE_NEW_SETUPは、ディレクトリを初めて準備するときに使用されます。
IDSTORE_HOSTおよびIDSTORE_PORTは、アイデンティティ・ストア・ディレクトリのホストおよびポートに対応します。アイデンティティ・ストアの準備時に、これらはLDAPインスタンスの1つを指す必要があります。OAMまたはOIMなどのコンポーネントの構成時に、これらはロード・バランサのエントリ・ポイントを指す必要があります。
Exalogic設定の場合は、このホストのOTDフェイルオーバー・グループ名を指定する必要があります。
IDSTORE_OAMADMINUSERは、Access Manager管理者として作成するユーザーの名前です。
IDSTORE_OAMSOFTWAREUSERは、LDAPに作成されるユーザーで、Access Managerが実行中にLDAPサーバーに接続するために使用されます。
OAM11G_IDSTORE_ROLE_SECURITY_ADMINは、OAMコンソールへのアクセスを許可するために使用するグループの名前です。このグループに割り当てられたユーザーのみがOAMコンソールにアクセスできます。
OAM11G_SERVER_LOGIN_ATTRIBUTEは、ユーザーIDが格納されるLDAP属性の名前であり、IDSTORE_LOGIN_ATTRIBUTEと同じである必要があります。
IDSTORE_OIMADMINGROUPは、Oracle Identity Manager管理ユーザーを保持するために作成するグループの名前です。
IDSTORE_OIMADMINUSERは、アイデンティティ・ストアに接続するためにOracle Identity Managerが使用するユーザーです。
idmConfigToolスクリプトには、LDAPディレクトリに接続するためのパスワードとWebLogic管理サーバーに接続するためのパスワードが必要です。LDAPディレクトリに作成するシステムおよび管理アカウントの新規パスワードも作成する必要があります。
これらのパスワードは2通りの方法のいずれかで指定できます。
idmConfigToolスクリプトでプロンプトが表示された場合は、パスワードを対話的に指定します。
idmConfigToolスクリプトへの入力ファイルとして指定されるパスワード・ファイルを作成します。
パスワード・ファイルを作成することに決めた場合は、人間との対話なしでidmConfigToolスクリプトを実行できます。
パスワード・ファイルを作成する手順:
テキスト・エディタを使用して、テキスト・ファイルを作成します。idmConfigToolスクリプトにアクセスできるかぎり、任意のファイル名または場所を使用できます。
ファイルに次のパスワード値を入力します(例: mypasswd.props)。
IDSTORE_PASSWD: your_value IDSTORE_PWD_READONLYUSER: your_value IDSTORE_PWD_READWRITEUSER: your_value IDSTORE_PWD_SUPERUSER: your_value IDSTORE_PWD_OAMSOFTWAREUSER: your_value IDSTORE_PWD_OAMADMINUSER: your_value IDSTORE_PWD_OAMOBLIXUSER: your_value IDSTORE_PWD_OIMADMINUSER: your_value IDSTORE_ADMIN_PASSWD: your_value WLSPASSWD: your_value IDSTORE_PWD_XELSYSADMINUSER: your_value IDSTORE_PWD_WEBLOGICADMINUSER: your_value
デプロイメント・ウィザードを使用して自動デプロイメントを作成している場合は、この章で説明されているidmtoolコマンドにアクセスできません。このような場合、Oracle Unified Directory (OUD)またはOracle Internet Directory (OID)を使用している場合は、次のいずれかを実行できます。
自動ツールによってディレクトリが準備されるようにします。この場合、この章の手順に従う必要はありません。
スタンドアロン・バージョンのidmConfigToolを使用してオブジェクトを作成します。
ソフトウェア・リポジトリに、このような状況で使用するためのスタンドアロン・バージョンのidmtoolが含まれています。このツールはidmConfigTool_STA.shという名前で、ディレクトリLCM_HOME/existing_directory/idmtools/bin/にあります。
ツールを使用する前に、第13.2項「構成ファイルの作成」で作成した構成ファイルに次のパラメータを追加する必要があります。
LDIF_FILES_DIR: LCM_HOME/existing_directory/idmtools/templates/oid
|
注意: 使用しているディレクトリ・タイプ(Oracle Unified Directory (OUD)またはOracle Internet Directory (OID))に関係なく、このパスを使用する必要があります。 |
構成ファイルにパラメータを追加した後で、環境変数ORACLE_HOMEがLCM_HOME/existing_directoryを指すように設定します。サンプルの構成ファイルは、LCM_HOME/existing_directory/idmtools/input_parameters.propertiesにあります。
idmConfigTool_STA.shをidmConfigTool.shのかわりに使用して、以降の項の手順に従います。
LDAPディレクトリをOracle Access Management用のアイデンティティ・ストアとして使用するには、製品に必要なオブジェクト・クラスを含めるように拡張する必要があります。一度拡張されると、ユーザーが後の使用のためにディレクトリ内にシードされます。
アイデンティティ・ストアを準備するには、次の手順を実行します。
アイデンティティ・ストアを事前構成すると、Oracle Internet Directory (OID)またはOracle Unified Directory (OUD)でスキーマが拡張されます。
これを実行するには、Oracle Internet Directoryを拡張している場合はLDAPHOST1、Oracle Unified Directoryを拡張している場合はLDAPHOST1で次のタスクを実行します。
|
注意: ディレクトリがIAD_ORACLE_HOMEと異なるホスト上にある場合は、idmconfigTool.shツールはそのホストから実行される必要があります。IAD_ORACLE_HOMEとディレクトリ・サーバーの間にファイアウォールがある場合、この手順の間はそのファイアウォールでLDAPポートを利用できるようにする必要があります。
OIMのみをインストールしていて、使用中のディレクトリの構成を希望する場合は、 |
環境変数MW_HOME、JAVA_HOMEおよびORACLE_HOMEを設定します。ORACLE_HOMEをIAD_ORACLE_HOMEまたはIGD_ORACLE_HOMEに設定し、MW_HOMEをIGD_MW_HOMEまたはIAD_MW_HOMEに設定していることを確認してください。
場所IAD_ORACLE_HOME/idmtools/binからidmConfigToolコマンドを使用して、アイデンティティ・ストアを構成します。
|
注意: idmConfigToolを実行すると、idmDomainConfig.paramファイルが作成されるか、既存のこのファイルに情報が追加されます。このファイルは、idmConfigToolを実行したディレクトリに作成されます。このツールを実行するたびに同じファイルに情報が追加されるようにするには、必ずディレクトリIAD_ORACLE_HOME/idmtools/binからidmConfigToolを実行します。 |
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -preConfigIDStore input_file=configfile
次に例を示します。
idmConfigTool.sh -preConfigIDStore input_file=iam.props
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。このコマンドの実行には時間を要する場合があります。
ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
Identity Managementコンポーネントで必要なユーザーとグループでアイデンティティ・ストアをシードする必要があります。
アイデンティティ・ストアをシードするには、OAMHOST1またはOIMHOST1で次のタスクを実行する必要があります。
環境変数MW_HOME、JAVA_HOMEおよびORACLE_HOMEを設定します。
Set ORACLE_HOME to IAM_ORACLE_HOME
|
注意: idmConfigToolがOIMHOST1またはOAMHOST1のどちらで実行されているかによって、IAM_ORACLE_HOMEをIGD_ORACLE_HOMEまたはIAD_ORACLE_HOMEのいずれかで置き換えます。 |
次の場所にあるidmConfigToolコマンドを使用してアイデンティティ・ストアを構成します。
IAM_ORACLE_HOME/idmtools/bin
|
注意: idmConfigToolを実行すると、idmDomainConfig.paramファイルが作成されるか、既存のこのファイルに情報が追加されます。このファイルは、idmConfigToolを実行したディレクトリに生成されます。このツールを実行するたびに同じファイルに情報が追加されるようにするには、必ず次のディレクトリでidmConfigToolを実行します。
IAM_ORACLE_HOME/idmtools/bin
|
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=MODE input_file=configfile pwd_file=passwordfile
MODEに選択する値によって、作成するユーザーのタイプが決まります。指定可能なMODEの値は、OAM、OIMおよびWLSです。
すべてのトポロジにおいて、管理コンソールに対するシングル・サインオンを有効にする場合は、WebLogic管理コンソールとOracle Enterprise Manager Fusion Middleware Controlにログインする権限を持つユーザーがアイデンティティ・ストアに存在することを確認する必要があります。次のように入力します。
idmConfigTool.sh -prepareIDStore mode=WLS input_file=iam.props
トポロジにAccess Managerが含まれている場合、Access Managerで必要なユーザーをアイデンティティ・ストアにシードしておく必要があります。次のように入力します。
idmConfigTool.sh -prepareIDStore mode=OAM input_file=iam.props
トポロジにOracle Identity Managerが含まれている場合、xelsysadmユーザーをアイデンティティ・ストアにシードし、Oracle Identity Manager管理グループにこのユーザーを割り当てる必要があります。また、リコンシリエーションを実行できるように、標準の場所cn=Users以外にもユーザーを作成します。このユーザーは、Oracle Virtual Directoryを使用してディレクトリに接続するときにバインドDNとして使用するユーザーにもなります。タイプ
idmConfigTool.sh -prepareIDStore mode=OIM input_file=iam.props
|
注意: このコマンドでは、アイデンティティ・ストアに予約用のコンテナも作成します。 |
|
注意: xelsysadm用のパスワードを入力する場合は、OIMポリシー(長さが8文字以上で、大文字と数字が1つ以上含まれている必要があります)と同じであることを確認します。 |
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。
各コマンドを実行した後、ログ・ファイルでエラーまたは警告を確認し、修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
Oracle Unified Directoryを使用している場合は、次の手順をLDAPHOST1およびLDAPHOST2で実行して、changelogに対するアクセス権を付与する必要があります。
OUDに接続するために使用するパスワードが含まれているpasswordfileというファイルを作成します。
コマンドを発行して、既存の変更ログを削除します。
OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
--remove \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \
--hostname OUD Host \
--port OUD Admin Port \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
次に例を示します。
OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
--remove
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \
--hostname LDAPHOST1.example.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
新規aciを追加します。
OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
--hostname OUD Host \
--port OUD Admin Port \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
次に例を示します。
OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
--hostname LDAPHOST1.example.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
次に、LDAP同期が有効な場合のOracle Unified Directory操作の失敗時の回避策を説明します。
すべてのOUDインスタンスのOUD_ORACLE_INSTANCE/OUD/config/config.ldifを次の変更で更新します。
次の行を探します。
ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.840.113556.1.4.319 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)
前述のaciからオブジェクト識別子(OID) 1.2.840.113556.1.4.319を削除し、次に示すaciに追加します。
ds-cfg-global-aci: (targetcontrol="2.16.840.1.113730.3.4.2 || 2.16.840.1.113730.3.4.17 || 2.16.840.1.113730.3.4.19 || 1.3.6.1.4.1.4203.1.10.2 || 1.3.6.1.4.1.42.2.27.8.5.1 || 2.16.840.1.113730.3.4.16 || 2.16.840.1.113894.1.8.31 || 1.2.840.113556.1.4.319") (version 3.0; acl "Anonymous control access"; allow(read) userdn="ldap:///anyone";)
オブジェクト識別子1.3.6.1.4.1.26027.1.5.4および1.3.6.1.4.1.26027.2.3.4を、次に示すaciに追加します。
ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.840.113556.1.4.319 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9 || 1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)
両方のLDAPHOSTでOracle Unified Directoryサーバーを再起動します。
idmConfigToolを実行してOUDアイデンティティ・ストアを準備すると、実行対象のインスタンスに関するデータの索引が作成されます。これらの索引は、LDAPHOST2の各OUDインスタンスに手動で作成する必要があります。
これを行うには、LDAPHOST2で次のコマンドを実行します。
OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j password -c \-f IAM_ORACLE_HOME/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j password -c \-f IAM_ORACLE_HOME/idmtools/templates/oud/oud_indexes_extn.ldif
IDMLCMインストール用の準備でこれを実行している場合は、次のコマンドを使用します。
OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j password -c \-f IDMLCM_HOME/existing_directory/idmtools/templates/oid/ojd_user_index_generic.ldif OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j password -c \-f IDMLCM_HOME/existing_directory/idmtools/templates/oud/oud_indexes_extn.ldif
索引の再作成
すべてのLDAPホストで索引が作成された後、コマンドを使用して索引を再作成する必要があります。
次のコマンドを発行してOUDを停止します。
OUD_ORACLE_INSTANCE/OUD/bin/stop-ds
次のコマンドを実行します。
OUD_ORACLE_INSTANCE/OUD/bin/rebuild-index --rebuildAll -b "dc=example,dc=com"
次のコマンドを発行して、OUDを再起動します。
OUD_ORACLE_INSTANCE/OUD/bin/start-ds
各LDAPHOST (idmToolの実行対象だったホストを含む)に対して繰り返して、可用性を維持し、索引を再作成しているディレクトリのみを停止します。
前の項で、Oracleコンポーネントのユーザーおよびアーティファクトをアイデンティティ・ストアにシードしました。アイデンティティ・ストアがMicrosoft Active DirectoryやOracle Directory Server Enterprise EditionなどのOracle Internet DirectoryまたはOracle Unified Directory以外の場合は、アクセス制御リスト(ACL)を設定して、作成したエンティティに適切な権限を指定する必要があり、これは、これらの前方でOracle Virtual Directoryを使用している場合でも該当します。この項では、作成されるアーティファクトおよびそのアーティファクトで必要な権限を示します。
システムID。すべてのシステム識別子を格納するためのシステムIDコンテナが作成されます。ユーザーの作成場所であるコンテナが他に存在する場合は、それが管理の中で指定されます。
Access Manager管理ユーザー。このユーザーは、OAM管理者グループに追加されます。このグループでは、Oracle Access Managementコンソールを管理する権限を提供します。このユーザーは単なるアプリケーション・ユーザーなので、LDAPスキーマ・レベルの権限は不要です。
Access Managerソフトウェア・ユーザー。このユーザーは、コンテナに対する読取り権限を提供するグループに追加されます。このユーザーにはスキーマ管理権限も付与されます。
システムIDコンテナに存在するOracle Identity ManagerユーザーoimLDAP: コンテナでは適宜パスワード・ポリシーが設定されます。システムIDコンテナのユーザーのパスワードは、期限切れにならないように設定する必要があります。
Oracle Identity Manager管理グループ: Oracle Identity Managerのユーザーがこのメンバーとして追加されます。Oracle Identity Manager管理グループには、ディレクトリ内のすべてのユーザー・エンティティおよびグループ・エンティティに対する完全な読取り/書込み権限が付与されます。
WebLogic管理者。Oracle Virtual DirectoryのIDMドメインの管理者です。
WebLogic管理者グループ。WebLogic管理者がメンバーとして追加されます。Oracle Virtual DirectoryのIDMドメインの管理者グループです。
予約コンテナ。読取り/書込み操作を実行するための権限がOracle Identity Manager管理グループに付与されます。
Active Directoryのディレクトリ・インスタンスを設定するには、次のタスクを実行します。
LCMツールを使用した自動デプロイメントに対して既存のActive Directoryインスタンスを準備する最初の手順は、ディレクトリへの必要なスキーマのロードです。
Oracleは、編集してActive DirectoryインスタンスにインポートできるLDIFファイルのセットとしてスキーマを提供します。
スキーマを既存のActive Directoryインスタンスにロードする手順:
ディレクトリをLCMツールのホーム・ディレクトリ(IDMLCM_HOME)内の次のディレクトリに変更します。
IAM_ORACLE_HOME/idmtools/templates/ad/
|
注意: LCMツールを使用せずにOracle Identity and Access Managementを手動でデプロイしている場合、スキーマLDIFファイルはソフトウェアのインストール後にOracle Identity and Access Management Oracleホームの次のディレクトリにあります。
IAM_ORACLE_HOME/oam/server/oim-intg/ldif/ad/schema/
|
トポロジに必要なLDIFファイルをテキスト・エディタで開き、<domain-dn>のすべてのオカレンスを組織の識別名(DN)で置換します。
OAMおよびOMSSトポロジのデプロイを計画している場合は、次のLDIFファイルを編集します。
AD_OracleSchema.ldif AD_OblixSchema.ldif
|
注意: OMSSおよびActive DirectoryをOAMパスワード管理機能なしで使用することを計画している場合、AD_OracleSchemaおよびAD_OblixSchema LDIFファイルを使用してActive Directoryスキーマを展開することは必須ではありません。 |
OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、次のLDIFファイルを編集します。
AD_OracleSchema.ldif AD_UserSchema.ldif AD_oam_pwd_schema_add.ldif
標準手順を使用して、該当するLDIFファイルをActive Directoryインスタンスにインポートします。
LDIFファイルのロードの詳細は、Active Directoryのドキュメントを参照してください。
既存のActive Directoryインスタンスに必要なスキーマをインストールした後で、ディレクトリ・インスタンス内に必要なコンテナを作成できます。
必要なコンテナを作成する手順:
トポロジに必要なコンテナの作成に使用できる新しいLDIFファイルを作成します。
OAMおよびOMSSトポロジのデプロイを計画している場合は、例13-1に示すように.ldifファイルを作成します。
OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、例13-2に示すように.ldifファイルを作成します。
両方のサンプル.ldifファイルは、組織の実際のドメイン・コンテナのプレースホルダとして次のプレースホルダを使用します。環境に適した情報で置換してください。
dc=example,dc=com
標準手順を使用して、LDIFファイルをActive Directoryインスタンスにインポートします。
例13-1 OAMおよびOMSSデプロイメントのコンテナの作成に使用されるサンプルLDIFファイル
dn: cn=Groups,dc=example,dc=com changetype: add cn: Groups objectclass: container dn: cn=SystemIDs,dc=example,dc=com changetype: add cn: SystemIDs objectclass: container dn: cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserReadPrivilegeGroup objectclass: group dn: cn=orclFAUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserWritePrivilegeGroup objectclass: group dn: cn=orclFAUserWritePrefsPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserWritePrefsPrivilegeGroup objectclass: group dn: cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAGroupReadPrivilegeGroup objectclass: group dn: cn=orclFAGroupWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAGroupWritePrivilegeGroup objectclass: group dn: cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAOAMUserWritePrivilegeGroup objectclass: group dn: cn=IDM Administrators,cn=Groups,dc=example,dc=com changetype: add cn: IDM Administrators objectclass: group dn: cn=OAMAdministrators,cn=Groups,dc=example,dc=com changetype: add cn: OAMAdministrators objectclass: group
例13-2 OIM、OAMおよびOMSS統合トポロジのコンテナを作成するためのサンプルLDIFファイル
dn: cn=Groups,dc=example,dc=com changetype: add cn: Groups objectclass: container dn: cn=SystemIDs,dc=example,dc=com changetype: add cn: SystemIDs objectclass: container dn: cn=reserve,cn=Groups,dc=example,dc=com changetype: add cn: reserve objectclass: container dn: cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserReadPrivilegeGroup objectclass: group dn: cn=orclFAUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAUserWritePrivilegeGroup objectclass: group dn: cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAGroupReadPrivilegeGroup objectclass: group dn: cn=orclFAGroupWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAGroupWritePrivilegeGroup objectclass: group dn: cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com changetype: add cn: orclFAOAMUserWritePrivilegeGroup objectclass: group dn: cn=IDM Administrators,cn=Groups,dc=example,dc=com changetype: add cn: IDM Administrators sAMAccountName: IDM Administrators objectclass: group dn: cn=OAMAdministrators,cn=Groups,dc=example,dc=com changetype: add cn: OAMAdministrators sAMAccountName: OAMAdministrators objectclass: group dn: cn=OIMAdministrators,cn=Groups,dc=example,dc=com changetype: add cn: OIMAdministrators sAMAccountName: OIMAdministrators objectclass: group dn: cn=BIReportAdministrator,cn=Groups,dc=example,dc=com changetype: add cn: BIReportAdministrator sAMAccountName: BIReportAdministrator objectclass: group
Active Directoryインスタンスに必要なコンテナを作成した後、アクセス制御リスト(ACL)を使用して各コンテナの権限を設定できます。
Microsoft TechNet Webサイトの次の記事の手順に従って、例13-3にリストされているACLを追加します。
http://technet.microsoft.com/en-us/library/cc757520%28v=ws.10%29.aspx
例13-3 必要なActive DirectoryコンテナのACLのリスト
orclFAUserReadPrivilegeGroup : Read privileges to users container orclFAUserWritePrivilegeGroup : Write privileges to users container orclFAGroupReadPrivilegeGroup : Read privileges to groups container orclFAGroupWritePrivilegeGroup : Write privileges to groups container orclFAOAMUserWritePrivilegeGroup : Write privileges to users and groups container
Active Directoryインスタンス内にコンテナを作成した後で、必要なユーザーを作成できます。
トポロジに必要なユーザーの作成に使用できる新しいLDIFファイルを作成します。
OAMおよびOMSSトポロジのデプロイを計画している場合は、例13-4に示すように.ldifファイルを作成します。
OIM、OAMおよびOMSS統合トポロジのデプロイを計画している場合は、例13-5に示すように.ldifファイルを作成します。
両方のサンプル.ldifファイルは、組織の実際のドメイン・コンテナのプレースホルダとして次のプレースホルダを使用します。環境に適した情報で置換してください。
dc=example,dc=com @example.com
標準手順を使用して、LDIFファイルをActive Directoryインスタンスにインポートします。
例13-4 OAMおよびOMSSトポロジのActive Directoryインスタンスにユーザーを追加するためのサンプルLDIFファイル
dn: cn=weblogic_idm,cn=Users,cd=example,dc=com changetype: add cn: weblogic_idm objectClass: user samAccountName: weblogic_idm givenName: weblogic_idm sn: weblogic_idm userPrincipalName: weblogic_idm@example.com dn: cn=oamadmin,cn=Users,cd=example,dc=com changetype: add cn: oamadmin objectClass: user samAccountName: oamadmin givenName: oamadmin sn: oamadmin userPrincipalName: oamadmin@example.com dn: cn=OblixAnonymous,cd=example,dc=com changetype: add cn: OblixAnonymous objectClass: user samAccountName: OblixAnonymous givenName: OblixAnonymous sn: OblixAnonymous userPrincipalName: oblixanonymous@example.com dn: cn=oamLDAP,cn=systemids,cd=example,dc=com changetype: add cn: oamLDAP objectClass: user samAccountName: oamLDAP givenName: oamLDAP sn: oamLDAP userPrincipalName: oamldap@example.com
例13-5 OIM、OAMおよびOMSS統合トポロジのActive Directoryインスタンスにユーザーを作成するためのサンプルLDIFファイル
dn: cn=weblogic_idm,cn=Users,dc=example,dc=com changetype: add objectClass: user samAccountName: weblogic_idm givenName: weblogic_idm sn: weblogic_idm cn: weblogic_idm userPrincipalName: weblogic_idm@example.com dn: cn=xelsysadm,cn=Users,dc=example,dc=com changetype: add objectClass: user samAccountName: xelsysadm givenName: xelsysadm sn: xelsysadm cn: xelsysadm userPrincipalName: xelsysadm dn: cn=oamadmin,cn=Users,dc=example,dc=com changetype: add objectClass: user samAccountName: oamadmin givenName: oamadmin sn: oamadmin cn: oamadmin userPrincipalName: oamadmin@example.com dn: cn=OblixAnonymous,dc=example,dc=com changetype: add objectClass: user samAccountName: OblixAnonymous givenName: OblixAnonymous sn: OblixAnonymous cn: OblixAnonymous userPrincipalName: oblixanonymous@example.com dn: cn=oamLDAP,cn=systemids,dc=example,dc=com changetype: add objectClass: user samAccountName: oamLDAP givenName: oamLDAP sn: oamLDAP cn: oamLDAP userPrincipalName: oamLDAP@example.com dn: cn=oimLDAP,cn=systemids,dc=example,dc=com changetype: add objectClass: user samAccountName: oimLDAP givenName: oimLDAP sn: oimLDAP cn: oimLDAP userPrincipalName: oimLDAP@example.com
Active Directoryインスタンスにユーザーを作成した後で、各ユーザーを適切なグループに追加します。
OAMおよびOMSSトポロジについて、グループとその関連ユーザーを第13.6.5.1項に示します。
OIM、OAMおよびOMSS統合デプロイメントについて、グループとその関連ユーザーを第13.6.5.2項に示します。
グループにユーザーを追加する手順は、Microsoft TechNet Webサイトの次の記事を参照してください。
https://technet.microsoft.com/en-us/library/cc737130%28v=ws.10%29.aspx
OAMおよびOMSSデプロイメントでは、次のリストを使用して、必要なユーザーを各グループに割り当てます。
cn=IDM Administrators,cn=Groups,dc=example,dc=com
cn=oamadministrators,cn=groups,dc=example,dc=com
cn=weblogic_idm,cn=users,dc=example,dc=com
cn=OAMAdministrators,cn=Groups,dc=example,dc=com
cn=oamadmin,cn=users,dc=example,dc=com
cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
OIM、OAMおよびOMSS統合トポロジでは、次のリストを使用して、必要なユーザーを各グループに割り当てます。
cn=IDM Administrators,cn=Groups,dc=example,dc=com
cn=oamadministrators,cn=groups,dc=example,dc=com
cn=weblogic_idm,cn=users,dc=example,dc=com
cn=OAMAdministrators,cn=Groups,dc=example,dc=com
cn=oamadmin,cn=users,dc=example,dc=com
cn=OIMAdministrators,cn=Groups,dc=example,dc=com
cn=oimldap,cn=systemids,dc=example,dc=com
cn=orclFAGroupReadPrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=orclFAOAMUserWritePrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=orclFAUserReadPrivilegeGroup,cn=Groups,dc=example,dc=com
cn=oamldap,cn=systemids,dc=example,dc=com
cn=BIReportAdministrator,cn=Groups,dc=example,dc=com
cn=xelsysadm,cn=Users,dc=example,dc=com
OIM、OAMおよびOMSS統合デプロイメントでは、次のようにOIMAdministorsグループを管理者グループに追加します。
「Active Directoryユーザーとコンピューター」で、「OIMAdministrators」グループを右クリックします。
ポップアップ・メニューの「プロパティ」を選択します。
「メンバー」タブを選択します。
「追加」をクリックし、「グループの選択」ダイアログ・ボックスを使用して「管理者」を追加します。
「OK」をクリックして「グループの選択」ダイアログ・ボックスを閉じます。
「適用」をクリックして変更を適用します。
必要なユーザーを作成し、それらを適切なグループに割り当てた後で、ユーザー・パスワードをリセットする必要があります。
ユーザー・パスワードをリセットするには、Microsoft TechNet Webサイトで次の記事を参照してください。
http://technet.microsoft.com/en-in/library/cc782255%28v=ws.10%29.aspx
ディレクトリ内の必要な各Oracle Identity and Access Managementユーザーのパスワードをリセットする場合は、「ユーザーは次回ログオン時にパスワードの変更が必要」チェック・ボックスをクリアします。
コンテナを作成し、ACLを設定し、ユーザーを追加し、それらを適切なグループに割り当て、ユーザー・パスワードをリセットした後で、ユーザー・アカウントを有効にできます。
「スタート」メニュー→「管理ツール」→「Active Directoryユーザーとコンピューター」を選択します。
作成したユーザーを含む各コンテナをクリックします。
「詳細」ペインから、各ユーザーを右クリックし、「アカウントの有効化」を選択します。
ユーザーが間違ったパスワードを複数回入力したときに適切な動作を保証するには、Oracle Identity and Access Managementソフトウェアのセキュリティ設定に合せてActive DirectoryのLockoutThreshold値を構成することが重要です。
ほとんどの場合、Active Directory LockoutThresholdは10に設定するのが最適です。ただし、Oracle Identity and Access Managementをデプロイした後で、次のOracle Identity and Access Management構成ファイルでpwdMaxFailure設定も10に設定されているかどうかを確認する必要があります。
DOMAIN_HOME/config/fmwconfig/ovd/oim/adapters.os_xml
一般に、Active Directory LockoutThresholdはpwdMaxFailure設定に合せて設定する必要があります。
LockoutThreshold設定の詳細は、Microsoft Technet Webサイトの次の記事を参照してください。
https://technet.microsoft.com/en-us/library/cc775412%28v=ws.10%29.aspx
