Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.3.0) E61963-04 |
|
前 |
次 |
この章では、Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアを構成する方法を説明します。
この章の内容は次のとおりです。
Oracle Identity and Access Managementコンポーネント用のWebLogic Server管理ドメインを構成した後で、Oracle WebLogic管理サーバーを起動する前に、configureSecurityStore.py
スクリプトを実行してデータベース・セキュリティ・ストアを構成する必要があります。このセキュリティ・ストア・タイプのみがOracle Identity and Access Management 11gリリース2 (11.1.2.3.0)でサポートされます。
注意: 2つの異なるドメインに同じ製品をインストールする場合、異なるセキュリティ・ストアを作成する必要があります。 |
configureSecurityStore.py
スクリプトはIAM_HOME
\common\tools
ディレクトリ(Windowsの場合)およびIAM_HOME
/common/tools
ディレクトリ(LinuxまたはUNIXの場合)にあります。スクリプトの使用方法のヘルプ情報は、-h
を使用して参照できます。すべての引数がデータベース・セキュリティ・ストアの構成に適用されるわけではありません。
次に例を示します。
Windowsの場合:
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -h
LinuxまたはUNIXの場合:
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -h
表11-1に、コマンド行で指定できるパラメータを示します。
表11-1 データベース・セキュリティ・ストアの構成パラメータ
パラメータ | 説明 |
---|---|
|
ドメインが含まれているディレクトリの場所。 |
|
|
|
ドメインの構成モード。データベース・セキュリティ・ストアを構成する場合、この値を Oracle Entitlements Serverをインストールするための特別な手順: 自分がOracle Entitlements Serverユーザーである場合、 注意: 例: Oracle Entitlements Server管理サーバーがデプロイされているドメインに、他のOracle Identity and Access Managementコンポーネント(Oracle Identity Manager、Oracle Access Manager、Oracle Adaptive Access Manager、Oracle Privileged Account Managerなど)がデプロイされると、そのドメインは複合モードで構成されます。このケースでは、Oracle Entitlements Server管理サーバーはOracle Identity and Access Managementポリシーのみを管理するために使用されます。Oracle Entitlements Serverセキュリティ・モジュールにより保護されている他のアプリケーションのポリシーの管理に使用できません。
例: Oracle Entitlements Server管理サーバーを使用して、Oracle Entitlements Serverセキュリティ・モジュールで保護されるカスタム・アプリケーションを管理する場合は、Oracle Entitlements Server管理サーバーをドメインに制御されない配布モードでデプロイする必要があります。 |
|
OPSSスキーマ・パスワード。 |
|
暗号化鍵ファイル |
|
ドメインの鍵ファイルが生成された場合に使用されるパスワード。 |
|
OPSSスキーマのユーザー名。 |
Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)の各ドメインには、データベース・セキュリティ・ストアを構成する必要があります。Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)ドメインのデータベース・セキュリティ・ストアを構成する前に、単一ドメイン・シナリオまたは複数ドメイン・シナリオで構成される製品を特定する必要があります。
ドメインを構成してデータベース・セキュリティ・ストアを使用するには、次のconfigureSecurityStore.py
オプションを使用できます。
-m create
-m join
createオプションを使用したデータベース・セキュリティ・ストアの構成
-m create
オプションを使用してデータベース・セキュリティ・ストアを使用するドメインを構成するには、次のようにconfigureSecurityStore.py
を実行する必要があります。
Windowsの場合:
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d DOMAIN_HOME -c IAM -p opss_schema_password -m create
例:
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d \u01\oracle\admin\domains\base_domain -c IAM -p welcome1 -m create
LinuxまたはUNIXの場合:
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d DOMAIN_HOME -c IAM -p opss_schema_password -m create
例:
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d /u01/oracle/admin/domains/base_domain -c IAM -p welcome1 -m create
joinオプションを使用したデータベース・セキュリティ・ストアの構成
-m join
オプションを使用してデータベース・セキュリティ・ストアを使用するドメインを構成するには、次のように最初に、すでにデータベース・セキュリティ・ストアと連携するように構成された同じOracle Identity and Access Management論理デプロイメントのドメインからドメインの暗号化鍵をエクスポートし、configureSecurityStore.py
スクリプトを実行する必要があります。
注意: すでにデータベース・セキュリティ・ストアと連携するように構成されたドメインから暗号化鍵をエクスポートするには、次のWLSTコマンドを使用します。exportEncryptionKey(jpsConfigFile=jpsConfigFile,keyFilePath=keyFilePath, keyFilePassword=keyFilePassword) 各パラメータの意味は次のとおりです。
|
Windowsの場合:
次に示すように、すでにデータベース・セキュリティ・ストアと連携するように構成されたドメインから暗号化鍵をエクスポートします。
MW_HOME\oracle_common\common\bin\wlst.cmd exportEncryptionKey(jpsConfigFile=jpsConfigFile, keyFilePath=keyFilePath, keyFilePassword=keyFilePassword)
-m join
オプションを使用してconfigureSecurityStore.py
スクリプトを実行します。
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d DOMAIN_HOME -c IAM -p opss_schema_password -m join -k keyfilepath -w keyfilepassword
例:
MW_HOME\oracle_common\common\bin\wlst.cmd
exportEncryptionKey(jpsConfigFile="\\u01\\oracle\\admin\\domains\\base_domain\\config\\fmwconfig\\jps-config.xml",
keyFilePath="myDir\\key" , keyFilePassword="password")
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d \u01\oracle\admin\domains\base_domain -c IAM -p welcome1 -m join -k myDir -w password
LinuxまたはUNIXの場合:
次に示すように、すでにデータベース・セキュリティ・ストアと連携するように構成されたドメインから暗号化鍵をエクスポートします。
MW_HOME/oracle_common/common/bin/wlst.sh exportEncryptionKey(jpsConfigFile=jpsConfigFile, keyFilePath=keyFilePath, keyFilePassword=keyFilePassword)
-m join
オプションを使用してconfigureSecurityStore.py
スクリプトを実行します。
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d DOMAIN_HOME -c IAM -p opss_schema_password -m join -k keyfilepath -w keyfilepassword
例:
MW_HOME/oracle_common/common/bin/wlst.sh
exportEncryptionKey(jpsConfigFile="/u01/oracle/admin/domains/base_domain/config/fmwconfig/jps-config.xml",
keyFilePath="myDir" , keyFilePassword="password")
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d /u01/oracle/admin/domains/base_domain -c IAM -p welcome1 -m join -k myDir -w password
データベース・セキュリティ・ストアの構成の確認
セキュリティ・ストアが適切に作成または結合されているかどうかを確認するには、次のように-m validate
オプションを使用してconfigureSecurityStore.py
スクリプトを実行します。
Windowsの場合:
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d DOMAIN_HOME -m validate
例:
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d \u01\oracle\admin\domains\base_domain -m validate
LinuxまたはUNIXの場合:
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d DOMAIN_HOME -m validate
例:
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d /u01/oracle/admin/domains/base_domain -m validate
例として、次のシナリオについて考えてみます。
注意: 単一ドメインのシナリオでは、ドメインの作成後、ドメインが初回起動される前にデータベース・セキュリティ・ストアを作成するコマンドが一度実行されます。 |
シナリオ1: 同じデータベース・セキュリティ・ストアを共有する同じWebLogic管理ドメイン内のOracle Identity Manager、Oracle Access ManagementおよびOracle Adaptive Access Manager
このシナリオでは、次のタスクを完了する必要があります。
表4-1「Oracle Identity Managerの構成フロー」の手順を実行して、Oracle Identity ManagerとSOAのために新しいWebLogicドメインを作成します(たとえばoim_dom
)。
Oracle Identity ManagerおよびSOAの新しいWebLogicドメインを作成したら、次のようにconfigureSecurityStore.py
スクリプトを実行し、データベース・セキュリティ・ストアを構成します。
Windowsの場合:
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d \u01\oracle\admin\domains\oim_dom -c IAM -p welcome1 -m create
LinuxまたはUNIXの場合:
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d /u01/oracle/admin/domains/oim_dom -c IAM -p welcome1 -m create
Oracle Identity Managerドメイン(oim_dom
)を拡張し、Oracle Access ManagementおよびOracle Adaptive Access Managerを追加します。詳細は、「既存ドメインの拡張」を参照してください。
Oracle Access ManagementおよびOracle Adaptive Access Managerは、Oracle Identity Managerドメイン(oim_dom
)に追加され、Oracle Identity Managerドメインによって使用されているデータベース・セキュリティ・ストアと同じものを共有します。
注意: 複数ドメインのシナリオでは、最初のドメインの作成後、ドメインが初回起動される前にデータベース・セキュリティ・ストアを作成するコマンドが一度実行されます。後続の各ドメインでは、ドメインの作成後、ドメインが初回起動される前に新しいデータベース・セキュリティ・ストアを作成するコマンドが一度実行されます。 |
シナリオ1: 異なるデータベース・セキュリティ・ストアを使用する異なるWebLogic管理ドメイン内のOracle Identity ManagerおよびOracle Access Management
このシナリオでは、次のタスクを完了する必要があります。
表4-1「Oracle Identity Managerの構成フロー」の手順を実行して、Oracle Identity ManagerとSOAのために新しいWebLogicドメインを作成します(たとえばoim_dom
)。
Oracle Identity ManagerおよびSOAの新しいWebLogicドメインを作成したら、次のようにconfigureSecurityStore.py
スクリプトを実行し、Oracle Identity Managerドメインのデータベース・セキュリティ・ストアを構成します。
Windowsの場合:
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d \u01\oracle\admin\domains\oim_dom -c IAM -p welcome1 -m create
LinuxまたはUNIXの場合:
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d /u01/oracle/admin/domains/oim_dom -c IAM -p welcome1 -m create
表5-1「Oracle Access Managementの構成フロー」の手順を実行して、Oracle Access Managementの新しいWebLogicドメイン(例: oam_dom
)を作成します。
Oracle Access Managementの新しいWebLogicドメインを作成したら、次のようにconfigureSecurityStore.py
スクリプトを実行し、Oracle Access Managementドメインに対して別のデータベース・セキュリティ・ストアを構成します。
Windowsの場合:
MW_HOME\oracle_common\common\bin\wlst.cmd IAM_HOME\common\tools\configureSecurityStore.py -d \u01\oracle\admin\domains\oam_dom -c IAM -p welcome1 -m create
LinuxまたはUNIXの場合:
MW_HOME/oracle_common/common/bin/wlst.sh IAM_HOME/common/tools/configureSecurityStore.py -d /u01/oracle/admin/domains/oam_dom -c IAM -p welcome1 -m create
シナリオ2: Oracle Access Managementドメインと前に作成したデータベース・セキュリティ・ストアを拡張してOracle Adaptive Access Managerを追加する
このシナリオでは、Oracle Access Managementドメイン(oam_dom
)を拡張して、Oracle Adaptive Access Managerを追加します。詳細は、「既存ドメインの拡張」を参照してください。
Oracle Adaptive Access Managerは、Oracle Access Managementドメイン(oam_dom
)に追加され、両方ともOracle Access Managementドメインによって使用されているデータベース・セキュリティ・ストアを共有します。