26 Identity and Access Managementのデプロイ

この章では、Identity Managementをデプロイする方法について説明します。

次の項で構成されます。

• 第26.1項「デプロイメント処理の概要」

• 第26.2項「Exalogicでのデプロイメントの前提条件」

• 第26.3項「デプロイメント手順」

• 第26.4項「チェック・リスト」

• 第26.5項「共通のLCM_HOMEのないIdentity and Access Managementのデプロイメント」

26.1 デプロイメント処理の概要

この項では、デプロイメント処理について説明します。この項には次のトピックが含まれます:

• 第26.1.1項「デプロイ・ステージ」

• 第26.1.2項「処理順序」

26.1.1 デプロイ・ステージ

デプロイには、8つのステージがあります。これらのステージは次のとおりです。

1. 事前検査: トポロジで使用しているサーバーのそれぞれが、インストールおよび構成されているソフトウェアの最低要件を満たしていることを確認します。また、スキーマおよびポート可用性のためのデータベース接続についても確認します。

2. インストール: インストールで必要なソフトウェアをすべてインストールします。また、これには、リポジトリに含まれるすべてのパッチに対するバイナリ・パッチも含まれます。

3. 事前構成: 次のことを行います。

   • Oracle Unified Directoryインスタンスを作成し、それらをユーザーまたはグループでシードします。

   • WebLogicドメインを作成し、ドメインを各種製品向けに拡張します。

   • OHSインスタンスを作成します。

   • データベースにポリシー・ストアを移行します。

4. 構成: 次のことを行います。

   • 必要に応じて管理対象サーバーを起動します。

   • Access ManagerをOracle Unified Directoryと関連付けます。

   • Oracle Identity Managerを構成します。

5. セカンダリの構成: 次のことを行います。

   • WeblogicドメインをWeb層に統合します。

   • ドメインにWeb層を登録します。

   • Access ManagerとOracle Identity Managerを統合します。

6. 事後構成: 次のことを行います。

   • Oracle Identity Managerのリコンシリエーションを実行します。

   • UMSメール・サーバーを構成します。

   • Access Managerキーストアを生成します。

   • Webゲートを構成します。

7. 起動: トポロジ内のすべてのコンポーネントを起動し、必要なアーティファクト・パッチを適用します。

8. 検証: 構築されたトポロジ上で数多くのチェックを行い、すべてが期待どおりに機能していることを確認します。

各ステージは、次の項で説明するように、特定の順序ですべてのホストで完了する必要があります。各ステージは、次のステージを開始する前に、トポロジ内の各ホストで完了している必要があります。ステージが失敗すると、クリーンアップおよび再起動が必要になります。

26.1.2 処理順序

デプロイメントでは次の順序でホストを処理します。

1. アイデンティティ・ガバナンス・ホスト1

2. アイデンティティ・ガバナンス・ホスト2

3. Access Managementホスト1

4. Access Managementホスト2

5. Webホスト1

6. Webホスト2

これは、このガイドのホストの次の順序と同様です。

統合トポロジの処理順序

1. IAMHOST1

2. IAMHOST2

分散トポロジの処理順序

1. OIMHOST1

2. OIMHOST2

3. OAMHOST1

4. OAMHOST2

5. WEBHOST1

6. WEBHOST2

注意: Exalogic物理デプロイメントには、統合トポロジの手順を使用します。 Exalogic仮想デプロイメントには、分散トポロジの手順を使用します。

26.2 Exalogicでのデプロイメントの前提条件

Exalogicでのデプロイメントを開始する前に、次の前提条件を満たす必要があります。

1. Oracle Traffic Director (OTD)をインストールして構成します。

   Oracle Traffic Directorのインストールの詳細は、第11.2.2項「Oracle Traffic Directorのインストール」を参照してください。

   Oracle Traffic Directorの構成の詳細は、第14.2項「Oracle Traffic Directorの構成」を参照してください。

2. OTDにダミー・ポート番号を使用します。詳細は、第14.2.3項「構成の作成」の注意を参照してください。

3. ホスト・ファイルにダミー・エントリが作成されていることを確認します。

   Exalogicで、内部リクエストがOTDによってロード・バランスされます。ライフ・サイクル管理ツールを使用してデプロイメントを実行する場合は、OTDがロード・バランサのエントリ・ポイントiadinternal.example.com:7777およびigdinternal.example.com:7777を管理します。ダミー・ポート番号を使用するようにOTDを設定すると、これらのURLはアクセスできなくなります。これによってOracle Identity Managerに問題が発生することはありませんが、Oracle MSASでは構成時にWebLogicのwls_msm管理対象サーバーにアクセスする必要があるため、その構成が失敗となります。

   この問題を回避するには、/etc/hostsファイルでエントリを変更し、iadinternalがOTDホストを指すようにする必要があります。これによって、iadinternal.example.comが存在して機能しているかのようになります。次に例を示します。

   WEBHOST1では、/etc/hostsファイルは次のようになっています。

   10.10.10.1 webhost1.example.com
   192.168.50.1 iadinternal.example.com
   

   これを次のように変更します。

   10.10.10.1 webhost1.example.com
   10.10.10.1 iadinternal.example.com
   

   これによって、MSAS構成はOTD host1のOHSサーバーにアクセスすることになり、リクエストをwls_msm管理対象サーバーに渡せるようになります。

   これらの変更は両方のWEBHOSTに対して実行する必要があります。値がローカルWEBHOSTに割り当てられていることを確認します。デプロイメントの完了後、ダミー・エントリを削除します。

26.3 デプロイメント手順

前のリリースの構成ウィザードでは、プロセスの各フェーズをトポロジの各ホストで手動で開始する必要がありました。この方法は引き続きサポートされています。ただし、このリリースでは単純な2つのコマンドを使用して環境全体をプロビジョニングできます。完全を期して、両方のオプションを示します。

• 第26.3.1項「デプロイメント・コマンドの自動実行」

• 第26.3.2項「デプロイメント・コマンドの手動実行」

• 第26.3.3項「バックアップの作成」

26.3.1 デプロイメント・コマンドの自動実行

プロビジョニングを開始するホストを選択します。アプリケーション層のいずれかのホストであることが必要で、これ以降ではマスター・ホストという別名を使用します。マスター・ホストはデプロイメントを実行しているノードです。

このプロセスは、各ノードのSSH等価を設定します。これはデプロイメント期間を通して必要です。必要に応じて後で無効にできます。

26.3.1.1 自動デプロイメント用のホストの準備

マスター・ノードから、次のディレクトリにあるコマンドprov_setup_ssh.shを実行します。

IDMLCM_HOME/provisioning/bin

次のコマンドを実行します。

./prov_setup_ssh.sh -responseFile <Absolute_Path_to_the_deployment_file>

次に例を示します。

cd IDMLCM_HOME/provisioning/bin

./prov_setup_ssh.sh -responseFile /u01/lcm/tools/idmlcm/provisioning/bin/provisioning.rsp

SSHを有効にするかどうかの質問が表示された場合は、「はい」を入力して「戻る」を押します。

スクリプトによってトポロジの各ホストに接続されます。その場合はホストの信憑性の検証を求めるプロンプトが表示され、ホストRSAフィンガープリントと、接続を続行するかどうかの質問が表示されます。「はい」を入力して「戻る」を押します。

リモート・ホストで使用しているアカウントのパスワードを求めるプロンプトが表示されます。トポロジの各ホストに対してこのプロセスが繰り返されます。スクリプトが終了するまで、求めに応じてパスワードを入力します。その場合、それらのホストに対してパスワード不要でコマンドをリモートで実行できます。これはSSH等価です。

デプロイメントの完了後、SSH等価は削除されます。

26.3.1.2 Identity and Access Managementの自動デプロイ

ホストにSSHが設定され、デプロイメントを開始します。同じディレクトリからprov_run.shコマンドを実行することで、デプロイメントを開始できます。次に例を示します。

set JAVA_HOME to JAVA_HOME

cd IDMLCM_HOME/provisioning/bin

./prov_run.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp

26.3.2 デプロイメント・コマンドの手動実行

Identity and Access Managementをデプロイするには、次の場所からトポロジ内の各ホストでrunIAMDeployment.shを複数回実行します。

IDMLCM_HOME/provisioning/bin

デプロイメント処理を開始する前に、この項全体をお読みください。処理中に実行する必要のある、さらに詳しい手順を次に説明します。

注意: デプロイメントのすべてのターゲットおよびすべてのホストにおいて、同じバージョンのデプロイメント・プロファイル(IDMLCM_HOME/provisioning/bin/provisioning.rsp)を使用する必要があります。 次のコマンドを実行する前に、トポロジ内の各ホストで各コマンドを指定された順序で実行する必要があります。

デプロイメント・ツールを実行する前に、次の環境変数を設定します。

• JAVA_HOMEをREPOS_HOME/jdkに設定します。

実行する必要のあるコマンドは次のとおりです。

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target preverify

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target install

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target preconfigure

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target configure

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target configure-secondary

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target postconfigure

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target startup

runIAMDeployment.sh -responseFile IDMLCM_HOME/provisioning/bin/provisioning.rsp -target validate

26.3.3 バックアップの作成

次の時点でファイル・システムおよびデータベースのバックアップを取ることが大切です。

1. デプロイメントの開始前。

2. インストール・フェーズの最後。

3. デプロイメントの完了後。

これら3つのフェーズ以外でバックアップをリストアすることはサポートされていません。

26.4 チェック・リスト

デプロイメント処理を記録するために、このガイドのPDF版からこのチェック・リストを印刷して利用できます。示されているホストで各ステージを実行し、実行が完了したら対応する行にチェック・マークを付けてください。

仮想

デプロイ・ステージ	ホスト	完了
事前検査	OIMHOST1
	OIMHOST2
	OAMHOST1
	OAMHOST2
	WEBHOST1
	WEBHOST2
インストール	OIMHOST1
	OIMHOST2
	OAMHOST1
	OAMHOST2
	WEBHOST1
	WEBHOST2
事前構成	OIMHOST1
	OIMHOST2
	OAMHOST1
	OAMHOST2
	WEBHOST1
	WEBHOST2
構成	OIMHOST1
	OIMHOST2
	OAMHOST1
	OAMHOST2
	WEBHOST1
	WEBHOST2
セカンダリの構成	OIMHOST1
	OIMHOST2
	OAMHOST1
	OAMHOST2
	WEBHOST1
	WEBHOST2
事後構成	OIMHOST1
	OIMHOST2
	OAMHOST1
	OAMHOST2
	WEBHOST1
	WEBHOST2
起動	OIMHOST1
	OIMHOST2
	OAMHOST1
	OAMHOST2
	WEBHOST1
	WEBHOST2
検証	OIMHOST1
	OIMHOST2
	OAMHOST1
	OAMHOST2
	WEBHOST1
	WEBHOST2

26.5 共通のLCM_HOMEのないIdentity and Access Managementのデプロイメント

前述のデプロイメント手順は、デプロイメント処理中にLCM_HOMEディレクトリがトポロジ内の各ホスト間で共有されていることを前提としています。

組織でこの共有が許可されていない場合でも、各ホストでLCM_HOMEをローカルで使用可能にしてデプロイメントを実行できます。追加で次の手動の手順が必要になります。

1. ソフトウェア・リポジトリを含むLCM_HOMEディレクトリのローカル・バージョンを作成します。

2. 第25章「デプロイメント・レスポンス・ファイルの作成」で作成したデプロイメント・レスポンス・ファイル、responsefilename_dataフォルダおよびサマリーを各ホストの同じ場所にコピーします。

3. デプロイメント・ツールは、LCM_HOME/provisioningにあるディレクトリの内容を使用して、正常に実行されたステージを判断します。したがって、各コマンドの実行後、runIAMDeployment.shコマンドを実行する前に、このディレクトリの内容をすべてのノードにコピーします。

4. OIMHOST1で事前構成を実行する前に、OAMHOST1からOIMHOST1にLCM_HOME/keystoresをコピーします。

5. LCM_HOMEがWEBHOST1およびWEBHOST2 (または、外部Oracle HTTP Serverを使用するトポロジでは、OHSHOST1/OHSHOST2)にマウントされていない場合は、WEBHOST1に対する事後構成フェーズの実行前に、LCM_HOME/keystores/webgate_artifactsをOAMHOST1からWEBHOST1およびWEBHOST2にコピーします。

   OAMHOST1に対する構成セカンダリ・フェーズの後にLCM_HOME/keystores/webgate_artifactsが作成されます。