5 Oracle Access Managementの構成

この章では、Oracle Access Managementを構成する方法について説明します。

次のトピックが含まれます:

• 概要

• 開始前の重要な注意点

• Oracle Access Managementの構成ロードマップ

• 新規WebLogicドメインでのOracle Access Managementの構成

• データベース・セキュリティ・ストアの構成

• Oracle WebLogic管理サーバーの起動

• オプションのインストール後の手順

• オプション: Oracle Mobile Security Suiteの構成

• 管理対象サーバーの起動

• Oracle Access Managementのインストールの検証

• Oracle Access Manager WebGateエージェントの設定

• OIMとの統合の設定

• Oracle Access Managementのインストール後のスタート・ガイド

5.1 概要

Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)には、次のサービスを含むOracle Access Managementが含まれます。

• Oracle Access Manager

• Oracle Access Management Security Token Service

• Oracle Access Management Identity Federation

• Oracle Access Management Mobile and Social

注意: Oracle Access Managementの詳細は、Oracle Fusion Middleware Oracle Access Management管理者ガイドのOracle製品の概要に関する項を参照してください。

5.2 開始前の重要な注意点

Oracle Access Managementの構成を開始する前に、IAM_HOMEは、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracleホーム・ディレクトリを示すことに注意してください。このOracleホーム・ディレクトリには任意のパスを指定できます。

5.3 Oracle Access Managementの構成ロードマップ

表5-1に、Oracle Access Managementを構成するためのタスクを示します。

表5-1 Oracle Access Managementの構成フロー

番号	タスク	説明
1	Oracle Fusion Middleware構成ウィザードを実行して、新規または既存のWebLogicドメイン内でOracle Identity and Access Management製品を構成します。	詳細は、第5.4項「新規WebLogicドメインでのOracle Access Managementの構成」を参照してください。
2	データベース・セキュリティ・ストアを構成します。	詳細は、第5.5項「データベース・セキュリティ・ストアの構成」を参照してください。
3	Oracle WebLogic管理サーバーを起動します。	詳細は、第5.6項「Oracle WebLogic管理サーバーの起動」を参照してください。
4	インストール後のタスクを実行してください。	次のインストール後のタスクを実行してください。 第5.7項「オプションのインストール後の手順」 第5.8項「オプション: Oracle Mobile Security Suiteの構成」 5.9「管理対象サーバーの起動」 第5.10項「Oracle Access Managementのインストールの検証」 第5.11項「Oracle Access Manager WebGateエージェントの設定」 第5.12項「OIMとの統合の設定」 第5.13項「Oracle Access Managementのインストール後のスタート・ガイド」

5.4 新規WebLogicドメインでのOracle Access Managementの構成

このトピックでは、新しいWebLogicドメインにOracle Access Managementを構成する方法を説明します。

次の項が含まれます:

• 適切なデプロイメント環境

• デプロイされるコンポーネント

• 依存関係

• 手順

5.4.1 適切なデプロイメント環境

後から同じドメインにOracle Identity Manager、Oracle Mobile Security Suite、Oracle Adaptive Access Managerなどの他のOracle Identity and Access Management 11gコンポーネントを追加する可能性がある環境にOracle Access Managementのみをインストールする場合、この項の構成を実行してください。

5.4.2 デプロイされるコンポーネント

この項の構成を実行すると、次のコンポーネントがデプロイされます。

• Oracle Access Manager

• Oracle Access Management Security Token Service

• Oracle Access Management Identity Federation

• Oracle Access Management Mobile and Social

• Oracle WebLogic管理サーバー

• Oracle Access Manager、Oracleモバイル・セキュリティ・マネージャおよびOracle Access Managerポリシー・マネージャの管理対象サーバー

• 管理サーバー上のOracle Access Managementコンソール

• ポリシー・マネージャ管理対象サーバー上のOracle Access Managerポリシー・マネージャ・コンソール

5.4.3 依存性

この項の構成は、次のものに依存しています。

• Oracle WebLogic Server 11gリリース1 (10.3.6)

• Oracle Identity and Access Management 11gソフトウェアのインストール。

• Oracle Access ManagerおよびOracleモバイル・セキュリティ・マネージャのデータベース・スキーマ。詳細は、第3.2.5項「Oracle Fusion Middleware Repository Creation Utility (RCU)を使用したデータベース・スキーマの作成」を参照してください。

5.4.4 手順

新しいWebLogicドメインでOracle Access Managementを構成するには、次の手順を実行します。

1. IAM_HOME/common/bin/config.shスクリプト(LinuxまたはUNIXの場合)またはIAM_HOME\common\bin\config.cmd(Windowsの場合)を実行することでOracle Fusion Middleware構成ウィザードを起動します。

   Oracle Fusion Middleware構成ウィザードの「ようこそ」画面が表示されます。

   
   

   注意: IAM_HOMEがこの例で使用されます。Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracle Identity and Access Managementホーム・ディレクトリから、このスクリプトを実行する必要があります。

   
   

2. 「ようこそ」画面で「新しいWebLogicドメインの作成」オプションを選択します。「次へ」をクリックします。「ドメイン・ソースの選択」画面が表示されます。

3. 「ドメイン・ソースの選択」画面で、「次の製品をサポートするために、自動的に構成されたドメインを生成する」オプションが選択されていることを確認します。Oracle Access Management And Mobile Security Suite - 11.1.2.3.0 [IAM_HOME]を選択し、「次へ」をクリックします。「ドメイン名と場所の指定」画面が表示されます。

   
   

   注意: Oracle Access Management And Mobile Security Suite - 11.1.2.3.0 [IAM_HOME]オプションを選択すると、次の各オプションもデフォルトで選択されます。 Oracle Platform Security Service 11.1.1.0 [IAM_HOME] Oracle JRF - 11.1.1.0 [oracle_common] Oracle OPSS Metadata for JRF 11.1.1.0 [oracle_common] Oracle Enterprise Manager - 11.1.1.0 [oracle_common] Oracle WSM Policy Manager - 11.1.1.0 [oracle_common]

   
   

   Oracle Access Management Mobile and Socialの構成を計画しているとき、Oracle Adaptive Access ManagerをOracle Access Management Mobile and Socialと同じWebLogic管理ドメインに追加したい場合は、オプションでOracle Adaptive Access Manager Admin Server - 11.1.2.0.0 [IAM_HOME]を選択できます。デバイスの登録機能を使用するためにOracle Adaptive Access Managerを選択することをお薦めします。

4. 作成するドメインの名前と場所を入力します。

   例:

   • ドメイン名: oam_domain

   • ドメインの場所: ORACLE_BASE/admin/oam/user_projects/domains

   • アプリケーションの場所: ORACLE_BASE/admin/oam/user_projects/applications

   
   

   注意: ORACLE_BASEは、Oracle製品のインストール先であるベース・ディレクトリです。たとえば、/u01/oracleです ドメイン・ホームとアプリケーション・ホームのデフォルトの場所は、それぞれMW_HOME/user_projects/domainsとMW_HOME/user_projects/applicationsです。ただし、ドメイン・ホームとアプリケーション・ホームのディレクトリは、ミドルウェア・ホームとOracleホーム両方の外部に作成することをお薦めします。

   
   

   「次へ」をクリックします。「管理者ユーザー名およびパスワードの構成」画面が表示されます。

5. 管理者のユーザー名とパスワードを構成します。デフォルトのユーザー名はweblogicです。「次へ」をクリックします。

6. 「サーバーの起動モードおよびJDKの構成」画面が表示されます。「使用可能なJDK」から「JDK」を選択し、「WebLogicドメインの起動モード」の下でモードを選択します。「次へ」をクリックします。

7. 「JDBCコンポーネント・スキーマの構成」画面が表示されます。この画面には、次のコンポーネント・スキーマのリストが表示されています。

   • OAM MDSスキーマ

   • OWSM MDSスキーマ

   • OAMインフラストラクチャ

   • OMSMスキーマ

   • OPSSスキーマ

   「JDBCコンポーネント・スキーマの構成」画面で、OAMインフラストラクチャ・スキーマまたはOPSSスキーマなど、変更するコンポーネント・スキーマを選択します。

   スキーマ所有者、スキーマ・パスワード、データベースとサービス、ホスト名およびポートの値を設定できます。「次へ」をクリックします。「JDBCコンポーネント・スキーマのテスト」画面が表示されます。

   テストが失敗した場合は、「前へ」をクリックし、問題を修正して、やり直します。

   テストが成功したら、「次へ」をクリックします。「オプションの構成を選択」画面が表示されます。

8. 「オプションの構成を選択」画面で、「管理サーバー」と「管理対象サーバー、クラスタ、およびマシン」を選択します。

   「次へ」をクリックします。

9. 「管理サーバーの構成」画面を使用して、管理サーバーの次のパラメータを構成します。

   • 名前

   • リスニング・アドレス

   • リスニング・ポート

   • SSLリスニング・ポート

   • SSLが有効か無効か

   「次へ」をクリックします。

10. 管理対象サーバーを構成します。

    「管理対象サーバーの構成」画面を初めて表示すると、デフォルトの3つの管理対象サーバー(oam_server1、omsm_server1およびoam_policy_mgr1)が作成されており、デフォルト・ポートが自動的に割り当てられています。デフォルトの管理対象サーバー名を次のように変更します。

    • Oracle Access Managerサーバーのエントリ(oam_server1)で、名前をWLS_OAM1に変更します。

    • Oracleモバイル・セキュリティ・マネージャ・サーバーのエントリ(omsm_server1)で、名前をWLS_MSM1に変更します。

    • Access Managerポリシー・マネージャ・サーバーのエントリ(oam_policy_mgr1)では、名前をWLS_AMA1に変更します。

    このドキュメントではこれらのサーバー名を使用します。別の名前を選択した場合は、必要に応じて置き換えてください。

    
    

    注意: 管理サーバーと同じマシン上に管理対象サーバーを構成する場合は、管理サーバーとは異なるポートが管理対象サーバーに割り当てられていることを確認してください。必要に応じてポート番号を変更します。 Oracle Access Management OAuthサービスは、Oracle Access Managerサーバー(WLS_OAM1)にデプロイされます。OAuthサービスをSSLモードで構成する場合は、Oracle Access ManagerサーバーのSSLポートを有効にする必要があります。 詳細は、Oracle Fusion Middleware構成ウィザードによるドメインの作成の管理対象サーバーの構成に関する項を参照してください。

    
    

    「次へ」をクリックします。

11. 「クラスタの構成」画面で、「追加」をクリックして、Oracle Access Manager、Oracleモバイル・セキュリティ・マネージャおよびOracle Access Managerポリシー・マネージャに対して次の名前の3つのクラスタを作成します。

    • oam_cluster

    • msm_cluster

    • ama_cluster

    他のフィールドはすべてデフォルト設定のままにして、「次へ」をクリックします。

    
    

    注意: Oracle Identity and Access Management製品のクラスタを構成する方法の詳細は、Oracle Fusion Middleware Oracle Identity and Access Management高可用性ガイドのOracle Identity and Access Managementコンポーネントの高可用性の構成に関する項を参照してください。

    
    

12. 「サーバーのクラスタへの割当」画面で、次のように管理対象サーバーをクラスタに割り当てます。

    • Oracle Access Manager管理対象サーバー(WLS_OAM1)をoam_clusterに割り当てます。

    • Oracleモバイル・セキュリティ・マネージャ管理対象サーバー(WLS_MSM1)をmsm_clusterに割り当てます。

    • ポリシー・マネージャ管理対象サーバー(WLS_AMA1)をama_clusterに割り当てます。

    「次へ」をクリックします。

13. 「マシンの構成」画面で、必要に応じてドメインにマシンを作成して構成します。この手順は、あるマシンで管理サーバーを実行し、別の物理マシンで管理対象サーバーを実行する場合に便利です。

    
    

    ヒント: マシンを構成する前に、pingコマンドを使用して、マシンまたはホスト名がアクセス可能かどうかを検証します。

    
    
    
    

    注意: この画面に示されるオプションの詳細は、Oracle Fusion Middleware構成ウィザードによるドメインの作成のマシンの構成に関する項を参照してください。

    
    

    複数のマシンにドメインを拡張している場合、基本マシン(管理サーバーが稼働しているマシン)ですべての構成タスクが完了しないかぎり、ドメインをリモート・マシンに移行しないでください。

    「次へ」をクリックします。

14. 「サーバーのマシンへの割当」画面で、次のように管理サーバーをマシンに割り当てます。

    特定のクラスタまたはサーバーをターゲットとしているアプリケーションおよびライブラリなどのデプロイメントおよびサービスは、デフォルトで選択されています。

15. WLS_OAM1、WLS_MSM1、WLS_AMA1などの新しく作成した管理対象サーバーをマシンに割り当てます。

    「次へ」をクリックします。

16. 「構成のサマリー」画面で、ドメイン構成を確認し、「作成」をクリックしてドメインを作成します。

    デフォルトでは、Oracle Access Managementをサポートする新しいWebLogicドメインはMW_HOME\user_projects\domainsディレクトリに作成されます。

注意: Oracle Access Managementテンプレートを使用してOracle Access Managementを構成すると、Oracle Access Managerのみがデフォルトで有効になります。Security Token Service、Identity Federation、Oracle Access Management Mobile and Socialなど、その他サービスを有効にするには、Oracle Fusion Middleware Oracle Access Management管理者ガイドの使用可能なサービスの有効化または無効化に関する項を参照してください。

5.5 データベース・セキュリティ・ストアの構成

新しいWebLogic管理ドメインでOracle Access Managementを構成した後で、Oracle WebLogic管理サーバーを起動する前に、configureSecurityStore.pyスクリプトを実行してデータベース・セキュリティ・ストアを構成する必要があります。詳細は、第11章「Oracle Identity and Access Managementドメインのデータベース・セキュリティ・ストアの構成」を参照してください。

5.6 Oracle WebLogic管理サーバーの起動

Oracle Access Managementをインストールおよび構成した後、Oracle WebLogic管理サーバーを起動する必要があります。付録C「スタックの起動」を参照してください。Oracle Access Management管理サーバーを起動してから、管理対象サーバーを起動してください。

5.7 オプションのインストール後の手順

Oracle Access Managementをインストールおよび構成した後、次のオプションの手順を実行できます。

• デフォルトの埋込みLDAP (Oracle WebLogic Server付属)のかわりに、任意のLDAPの構成。

• リソースの保護のためのポリシー・ストアの構成。

• 既存のドメインへの管理対象サーバーの追加。

• 管理対象サーバー・インスタンスの追加。

詳細は、『Oracle Access Management管理者ガイド』を参照してください。

5.8 オプション: Oracle Mobile Security Suiteの構成

デフォルトでは、Oracle Mobile Security SuiteがOracle Access Managementと一緒にインストールされます(ただし完全には構成されません)。Oracle Access Managementに対してOracle Mobile Security Suiteを完全に構成するには、第10章「Oracle Mobile Security Suiteの構成」を参照してください。

5.9 管理対象サーバーの起動

Oracle Access Managerの管理対象サーバー(WLS_OAM1)、Access Managerポリシー・マネージャの管理対象サーバー(WLS_AMA1)およびOracleモバイル・セキュリティ・マネージャの管理対象サーバー(WLS_MSM1)を起動する必要があります。詳細は、付録C「スタックの起動」を参照してください。

5.10 Oracle Access Managementのインストールの検証

インストールを完了し、インストール後の手順も実行した後、次のようにしてOracle Access Managementのインストールおよび構成を検証できます。

1. 管理サーバーと管理対象サーバーが起動しており、稼働中であることを確認します。

2. 次のURLを使用してOracle Access Managementの管理コンソールにログインします。

   http://adminserver_host:adminserver_port/oamconsole
   

   次にリダイレクトされます。

   http://oamserver_host:oamserver_port/oam/server
   

   管理サーバー上で稼動しているこの管理コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。管理者のロールと権限を持っている必要があります。

3. 次のURLを使用してOracle Access Managerポリシー・マネージャ・コンソールにログインします。

   http://oam_policy_mgr_host:oam_policy_mgr_port/access
   

   ポリシー・マネージャ・サーバー上で動作しているポリシー・マネージャ・コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。管理者のロールと権限を持っている必要があります。

4. Oracle WebLogic Server管理コンソールを検証します。Oracle Access Managementのインストールと構成が成功していれば、このコンソールに実行モードの管理サーバーが表示されます。

5.11 Oracle Access Manager WebGateエージェントの設定

Oracle Access Manager WebGateエージェントの設定の詳細は、Oracle Fusion Middleware WebGates for Oracle Access Managerのインストールを参照してください。

5.12 OIMとの統合の設定

Oracle Access ManagementとOracle Identity Manager間の統合の設定の詳細は、Oracle Fusion Middleware Oracle Identity Management Suite統合ガイドのOracle Access ManagerとOracle Identity Managerとの統合に関する項を参照してください。

5.13 Oracle Access Managementのインストール後のスタート・ガイド

Oracle Access Managementのインストール後、Oracle Fusion Middleware Oracle Access Management管理者ガイドの「一般的な管理およびナビゲーションのスタート・ガイド」の章を参照してください。

注意: Oracle Access Managementテンプレートを使用してOracle Access Managementを構成すると、Oracle Access Managerのみがデフォルトで有効になります。Security Token Service、Identity Federation、Oracle Access Management Mobile and Socialなど、その他サービスを有効にするには、Oracle Fusion Middleware Oracle Access Management管理者ガイドの使用可能なサービスの有効化または無効化に関する項を参照してください。