| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.3.0) E61963-04 |
|
 前 |
 次 |
| Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.3.0) E61963-04 |
|
前 |
次 |
この章では、Oracle Adaptive Access Managerを構成する方法について説明します。
次のトピックが含まれます:
Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)では、Oracle Adaptive Access Managerに次の2つのコンポーネントが含まれます。
Oracle Adaptive Access Manager(オンライン)
Oracle Adaptive Access Manager (オフライン)
|
注意: Oracle Adaptive Access Manager(オフライン)は、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)をインストールすると、Oracle Adaptive Access ManagerとともにOracle Adaptive Access Manager (オフライン)もインストールされます。Oracle Adaptive Access Manager(オフライン)の構成は、第6.5項「Oracle Adaptive Access Manager(オフライン)の構成」を参照してください。 |
Oracle Adaptive Access Managerの構成を開始する前に、IAM_HOMEは、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracleホーム・ディレクトリを示すことに注意してください。このOracleホーム・ディレクトリには任意のパスを指定できます。
表6-1に、Oracle Adaptive Access Managerの構成ロードマップを構成するためのタスクを示します。
表6-1 Oracle Adaptive Access Managerの構成フロー
| 番号 | タスク | 説明 |
|---|---|---|
|
1 |
Oracle Fusion Middleware構成ウィザードを実行して、新規または既存のWebLogicドメイン内でOracle Identity and Access Management製品を構成します。 |
この章では、次の構成シナリオについて説明します。 |
|
2 |
データベース・セキュリティ・ストアを構成します。 |
詳細は、第6.6項「データベース・セキュリティ・ストアの構成」を参照してください。 |
|
3 |
サーバーを起動します。 |
管理サーバーとすべての管理対象サーバーを起動する必要があります。詳細は、第6.7項「サーバーの起動」を参照してください。 |
|
4 |
インストール後のタスクを実行してください。 |
次のインストール後のタスクを実行してください。 |
このトピックでは、新しいWebLogic管理ドメインでOracle Adaptive Access Managerを構成する方法について説明します。次の項が含まれます:
他のOracle Identity and Access Management 11gコンポーネント(Oracle Access ManagementまたはOracle Identity Managerなど)を後から同じドメインにインストールする可能性のある環境にOracle Adaptive Access Managerをインストールする場合は、この項で説明されている構成を実行します。
この項の構成を実行すると、次のコンポーネントがデプロイされます。
WebLogic管理サーバー
選択したOracle Adaptive Access Manager Domain Configurationテンプレートによっては、Oracle Adaptive Access Managerの管理対象サーバー。
Oracle Adaptive Access Managerコンソール(管理サーバー上)
この項の構成は、次のものに依存しています。
Oracle WebLogic Server 11gリリース1 (10.3.6)
Oracle Identity and Access Management 11gソフトウェアのインストール。
Oracle Adaptive Access Managerのデータベース・スキーマ。詳細は、第3.2.5項「Oracle Fusion Middleware Repository Creation Utility (RCU)を使用したデータベース・スキーマの作成」を参照してください。
次の手順を実行して、新しいWebLogicドメインにOracle Adaptive Access Managerのみを構成します。
IAM_HOME/common/bin/config.shスクリプト(LinuxまたはUNIXの場合)またはIAM_HOME\common\bin\config.cmd(Windowsの場合)を実行することでOracle Fusion Middleware構成ウィザードを起動します。
Oracle Fusion Middleware構成ウィザードの「ようこそ」画面が表示されます。
|
注意: IAM_HOMEがこの例で使用されます。Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracle Identity and Access Managementホーム・ディレクトリから、このスクリプトを実行する必要があります。 |
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Adaptive Access Manager Admin Server - 11.1.2.0.0 [IAM_HOME]を選択します。
さらに、次を選択できます。
Oracle Adaptive Access Manager - Server - 11.1.2.0.0 [IAM_HOME]
Oracle Adaptive Access Manager Offline - 11.1.2.0.0 [IAM_HOME]
|
注意: Oracle Adaptive Access Manager Admin Server - 11.1.2.0.0 [IAM_HOME]を選択すると、デフォルトで次のオプションも選択されます。
Oracle Adaptive Access Manager - Server - 11.1.2.0.0 [IAM_HOME]オプションを選択すると、前述のテンプレートに加えて、Oracle WSM Policy Manager - 11.1.1.0 [oracle_common]オプションもデフォルトで選択されます。 |
「次へ」をクリックします。ドメイン名と場所の選択画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。
|
注意: ドメイン・ホームとアプリケーション・ホームのデフォルトの場所は、それぞれMW_HOME/user_projects/domainsとMW_HOME/user_projects/applicationsです。ただし、ドメイン・ホームとアプリケーション・ホームのディレクトリは、ミドルウェア・ホームとOracleホーム両方の外部に作成することをお薦めします。 |
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面が表示されます。「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」の下でモードを選択します。「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、変更するコンポーネント・スキーマ(OAAM管理スキーマ、OPSSスキーマまたはOAAM管理MDSスキーマなど)を選択します。
スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。
テストが失敗した場合は、「前へ」をクリックし、問題を修正して、やり直します。
テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面で、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」を構成できます。該当するチェック・ボックスを選択して、「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前
リスニング・アドレス
リスニング・ポート
SSLリスニング・ポート
SSLが有効か無効か
オプション: 必要に応じて、管理対象サーバーを構成します。
|
注意: 詳細は、Oracle Fusion Middleware構成ウィザードによるドメインの作成の管理対象サーバーの構成に関する項を参照してください。 |
オプション: 必要に応じて、クラスタを構成します。
|
注意: Oracle Identity and Access Managementコンポーネントのクラスタを構成する方法の詳細は、Oracle Fusion Middleware Oracle Identity and Access Management高可用性ガイドのOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。 |
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
|
ヒント: マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: 新たに作成した管理対象サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストアを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
デフォルトでは、Oracle Adaptive Access Managerをサポートする新しいWebLogicドメインが、MW_HOME\user_projects\domainsディレクトリ(Windowsの場合)に作成されます。LinuxまたはUNIXの場合、ドメインはデフォルトでMW_HOME/user_projects/domainsディレクトリに作成されます。
この項では、新しいWebLogicドメインにOracle Adaptive Access Manager(オフライン)を構成する方法を説明します。次のトピックが含まれます:
この項の構成を実行すると、次のコンポーネントがデプロイされます。
WebLogic管理サーバー
Oracle Adaptive Access Manager管理対象サーバー上のOracle Adaptive Access Manager (オフライン)アプリケーション
この項の構成は、次のものに依存しています。
Oracle WebLogic Server 11gリリース1 (10.3.6)
Oracle Identity and Access Management 11gソフトウェアのインストール。
Oracle Adaptive Access Managerのデータベース・スキーマ。詳細は、第3.2.5項「Oracle Fusion Middleware Repository Creation Utility (RCU)を使用したデータベース・スキーマの作成」を参照してください。
新しいWebLogicドメインでOracle Adaptive Access Manager(オフライン)を構成するには、次の手順を実行します。
IAM_HOME/common/bin/config.shスクリプト(LinuxまたはUNIXの場合)またはIAM_HOME\common\bin\config.cmd(Windowsの場合)を実行することでOracle Fusion Middleware構成ウィザードを起動します。
Oracle Fusion Middleware構成ウィザードの「ようこそ」画面が表示されます。
「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。
「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Adaptive Access Manager Offline - 11.1.2.0.0 [IAM_HOME]を選択します。
|
注意: Oracle Adaptive Access Manager Offline - 11.1.2.0.0 [IAM_HOME]オプションを選択すると、デフォルトで次のオプションも選択されます。
|
「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。
作成するドメインの名前と場所を入力して「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。
管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。「サーバーの起動モードおよびJDKの構成」画面が表示されます。
「サーバーの起動モードおよびJDKの構成」画面で「JDK」と「本番モード」を選択します。「次へ」をクリックします。「JDBCコンポーネント・スキーマの構成」画面が表示されます。
「JDBCコンポーネント・スキーマの構成」画面で、変更するコンポーネント・スキーマ(OAAMオフライン・スキーマ、OPSSスキーマまたはOAAM管理MDSスキーマなど)を選択します。スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。
テストが失敗した場合は、「前へ」をクリックし、問題を修正して、やり直します。
テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。
「オプションの構成を選択」画面では、「管理サーバー」、「管理対象サーバー」、「クラスタ」、「マシン」、「デプロイメントとサービス」および「RDBMSセキュリティ・ストア」を構成できます。該当するチェック・ボックスを選択して、「次へ」をクリックします。
オプション: 次の管理サーバー・パラメータを構成します。
名前
リスニング・アドレス
リスニング・ポート
SSLリスニング・ポート
SSL有効
オプション: 必要に応じて、管理対象サーバーを追加して構成します。
オプション: 必要に応じて、クラスタを構成します。
Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、Oracle Fusion Middleware Oracle Identity and Access Management高可用性ガイドのOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。
オプション: 必要に応じて管理対象サーバーをクラスタに割り当てます。
オプション: 必要に応じて、マシンを構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。
|
ヒント: マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。 |
オプション: 管理サーバーをマシンに割り当てます。
オプション: 新たに作成した管理対象サーバーをマシンに割り当てます。
オプション: デプロイメント(アプリケーションやライブラリなど)およびサービスを選択し、それらを特定のクラスタまたはサーバーにターゲット指定します。
オプション: 必要に応じてRDBMSセキュリティ・ストア・データベースを構成します。
「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。
デフォルトでは、Oracle Adaptive Access Manager (オフライン)をサポートする新しいWebLogicドメインが、MW_HOME\user_projects\domainsディレクトリ(Windowsの場合)に作成されます。LinuxまたはUNIXの場合、ドメインはデフォルトでMW_HOME/user_projects/domainsディレクトリに作成されます。
新しいWebLogic管理ドメインでOracle Adaptive Access Managerを構成した後で、Oracle WebLogic管理サーバーを起動する前に、configureSecurityStore.pyスクリプトを実行してデータベース・セキュリティ・ストアを構成する必要があります。詳細は、第11章「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。
Oracle Adaptive Access Managerをインストールおよび構成した後、Oracle WebLogic Administration Serverおよび様々な管理対象サーバーを実行する必要があります。付録C「スタックの起動」を参照してください。管理対象サーバーを起動する前に、Oracle Adaptive Access Manager管理サーバーを起動していることを確認します。
Oracle Adaptive Access Managerをインストールおよび構成した後、次の手順を実行する必要があります。
次の手順で、Oracle WebLogic Serverのユーザーを作成します。
WebLogic管理ドメインのOracle WebLogic管理コンソールにログインします。
「セキュリティ・レルム」をクリックし、使用するセキュリティ・レルムをクリックします。
「ユーザーとグループ」タブをクリックし、その下の「ユーザー」タブをクリックします。
セキュリティ・レルムにuser1などのユーザーを作成します。
ユーザーuser1をルール管理者グループおよび環境管理者グループに割り当てます。
Oracle Adaptive Access Managerの暗号化鍵を設定し、バックアップします。Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイドのOAAMの暗号化およびデータベース資格証明の設定に関する項を参照してください。必ずOracle Adaptive Access Managerの暗号化鍵をバックアップしてください。Oracle Adaptive Access Managerドメインを再作成する場合に必要です。
次の手順でポリシーのスナップショットをインポートします。
Oracle Adaptive Access Managerには、ポリシー、依存コンポーネントおよび構成のフル・スナップショットが付属しています。スナップショットはoaam_base_snapshot.zipファイルに格納され、IAM_HOME/oaam/initディレクトリに置かれています。
これには、Oracle Adaptive Access Managerにインポートする必要のある次の項目が含まれています。
英語(アメリカ合衆国)のチャレンジ質問
登録、新規アカウントのオープン、またはリセットなどの別のイベントの際、ユーザーは質問のリストから様々な質問を選択し、回答を入力します。チャレンジ質問と呼ばれるこれらの質問は、ユーザーを認証するために使用されます。
ユーザーが登録のための質問に回答できるようにするには、サポート対象の言語での質問がシステムに存在している必要があります。これらの質問は、Oracle Adaptive Access Managerサーバーへのログインでも必要となる場合があります。
エンティティの定義
認証の際に追跡されるアクターは認証エンティティと呼ばれ、ユーザー、市区町村、デバイスなどが含まれます。これらのベース・エンティティは、パターンに使用される条件を有効にする際に必要となります。
すぐに使用できるパターン
パターンは、1つのバケットを定義したり、複数のバケットを動的に作成する際に、Oracle Adaptive Access Managerによって使用されます。Oracle Adaptive Access Managerでデータが収集され、パターン・パラメータに基づいてこれらのバケットにメンバーが移入されると、動的に変化するメンバーシップとバケットの分散についてルールによるリスク評価が実行されます。
すぐに使用できる構成可能なアクション
構成可能なアクションとは、チェックポイント実行後に結果アクションまたはリスク・スコアリングあるいはその両方に基づいてトリガーされるアクションです。構成可能なアクションは、アクション・テンプレートを使用して作成されます。
|
注意: Oracle Adaptive Access Manager 10.1.4.5からOracle Adaptive Access Manager 11gにアップグレードする場合、Oracle Adaptive Access Manager 11gのアクション・テンプレートがグローバル化されたことにより違いが生じたため、すぐに使用できるアクション・テンプレートの名前や説明が多少異なっています。 |
すぐに使用できるポリシー
ポリシーは、ビジネス・アクティビティや日常操作において発生する潜在的に危険なアクティビティを評価して対処できるように作成されています。
任意のグループ
Oracle Adaptive Access Managerには、ルール、ユーザー・グループ、およびアクションとアラート・グループに使用されるアイテムのコレクションが付属しています。
|
注意:
|
ポリシー、コンポーネント、および構成のアップグレードの場合は、バックアップを実行してから個別のファイルをインポートします。指定可能なベンダーは、次のとおりです。
デフォルトの質問はoaam_kba_questions_<locale>.zipファイルに納められており、このファイルはIAM_HOME/oaam/init/kba_questionsディレクトリにあります。ロケール識別子<locale>は言語バージョンを指定します。
ベース・ポリシーはoaam_sample_policies_for_uio_integration.zipファイルに納められており、このファイルはIAM_HOME/oaam/initディレクトリにあります。
構成可能なアクション・テンプレートはOOTB_Configurable_Actions.zipファイルに納められており、このファイルはIAM_HOME/oaam/initディレクトリにあります。
ベース認証を必要とするエンティティは、Auth_EntityDefinition.zipファイルに納められており、このファイルはIAM_HOME/oaam/initディレクトリにあります。
|
注意: ポリシーの詳細は、Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイドのOAAMスナップショットのインポートおよびポリシー、ルールおよび条件の管理に関する項を参照してください。 |
次の手順で、Oracle Adaptive Access Managerデータベースに場所データをロードします。
IPロケーション・ローダー・スクリプトを構成します。Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイドのOAAMコマンド行インタフェース・スクリプトおよびIPロケーション・データのインポートに関する項を参照してください。
IAM_HOME/oaam/cliディレクトリ(LinuxまたはUNIXの場合)にあるsample.bharosa_location.propertiesファイルをコピーします。Windowsの場合、sample.bharosa_location.propertiesファイルはIAM_HOME\oaam\cliディレクトリにあります。
次の例のように、場所データの詳細をlocation.dataプロパティに入力します。
Windowsの場合:
location.data.provider=quova
location.data.file=\\tmp\\quova\\EDITION_Gold_2008-07-22_v374.dat.gz
location.data.ref.file=\\tmp\\quova\\EDITION_Gold_2008-07-22_v374.ref.gz
location.data.anonymizer.file=\\tmp\\quova\\anonymizers_2008-07-09.dat.gz
LinuxまたはUNIXの場合:
location.data.provider=quova
location.data.file=/tmp/quova/EDITION_Gold_2008-07-22_v374.dat.gz
location.data.ref.file=/tmp/quova/EDITION_Gold_2008-07-22_v374.ref.gz
location.data.anonymizer.file=/tmp/quova/anonymizers_2008-07-09.dat.gz
次のように、ローダーをコマンド行で実行します。
Windowsの場合: loadIPLocationData.cmd
LinuxまたはUNIXの場合: ./loadIPLocationData.sh
loadIPLocationDataスクリプトの実行前にOracleミドルウェア・ホーム(MW_HOME)環境変数が設定されていることを確認します。
|
注意: CSFキーまたはパスワードを手動で生成する場合、『Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイド』のOAAMの暗号化およびデータベース資格証明の設定に関する項を参照してください。 |
インストール後手順を含め、インストール・プロセスの完了後、Oracle Adaptive Access Managerのインストールと構成を次の方法で検証できます。
管理サーバーを起動して、新たに作成した管理対象サーバーをドメインに登録します。管理サーバーを起動するには、次のコマンドを実行します。
Windowsの場合: 次の例のように、コマンド・プロンプトでstartWebLogicスクリプトを実行して管理サーバーを起動します。
DOMAIN_HOME\bin\startWebLogic
LinuxまたはUNIXの場合: 次の例のように、startWebLogic.shスクリプトを実行して管理サーバーを起動します。
DOMAIN_HOME/bin/startWebLogic.sh
管理対象サーバーを起動します。付録C「スタックの起動」を参照してください。
管理サーバーと管理対象サーバーが起動するまで待機します。
管理サーバーのユーザー名とパスワードを使用して、Oracle Adaptive Access Managerの管理サーバーにログインします。次のURLを使用して、管理サーバーにログインします。
http://host:oaam_admin_server1_port/oaam_admin
次のURLを使用して、Oracle Adaptive Access Manager管理対象サーバーにログインします。
https://host:oaam_server_server1_sslport/oaam_server
次のURLを使用して、Oracle Adaptive Access Managerオフライン・サーバーにログインします。
https://host:oaam_offline_server1_port/oaam_offline
Oracle Adaptive Access Managerをインストールした後で、Oracle Fusion Middleware Oracle Adaptive Access Manager管理者ガイドを参照してください。
