Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド 11g リリース2 (11.1.2.3.0) E61963-04 |
|
前 |
次 |
この章では、Oracle Mobile Security Suiteを構成する方法について説明します。次のトピックが含まれます:
Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)では、Oracle Mobile Security Suiteに次のコンポーネントが含まれます。
Oracleモバイル・セキュリティ・マネージャ
Oracle Mobile Security Access Server
注意: Oracleモバイル・セキュリティ・マネージャは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management 11g Release 2 (11.1.2.3.0)をインストールするときには、Oracleモバイル・セキュリティ・マネージャのみがインストールされます。Oracle Mobile Security Access Serverには独自のインストーラが付随しているため、Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)インストールには含まれません。モバイル・セキュリティ・マネージャは、Mobile Security Access Serverより前にインストールおよび構成する必要があります。Mobile Security Access Serverのインストール方法の詳細は、第10.12項「Oracle Mobile Security Access Serverのインストール」を参照してください。 |
Oracle Mobile Security Suiteの概要は、Oracle Fusion Middleware Oracle Mobile Security Suiteの管理のOracle Mobile Security Suiteの理解に関する項を参照してください。
Oracle Mobile Security Suiteの構成を開始する前に、IAM_HOMEは、Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Privileged Account Manager、Oracle Access Management Mobile and SocialおよびOracle Mobile Security Suiteが含まれるOracleホーム・ディレクトリを示すことに注意してください。このOracleホーム・ディレクトリには任意のパスを指定できます。
表10-1に、Oracle Mobile Security Suiteの構成タスクを示します。
表10-1 Oracle Mobile Security Suiteの構成フロー
番号 | タスク | 説明 |
---|---|---|
1 |
WebLogicドメインでOracle Access Managementを構成します。 |
詳細は、第10.4項「WebLogicドメインでのOracle Access Managementの構成」を参照してください。 |
2 |
LDAPディレクトリをOracle WebLogic Server、Oracle Access ManagerおよびOracle Mobile Security Suiteの共通アイデンティティ・ストアとして使用するために準備します。 |
詳細は、第10.6章「アイデンティティ・ストアとしてのLDAPディレクトリの準備」を参照してください。 |
3 |
Oracle Mobile Security Suiteと共に使用するOracle Access Managerサーバーを構成します。 |
Oracle Access Managerは |
4 |
Oracleモバイル・セキュリティ・マネージャ・サーバーのアイデンティティ・ストア、キーストアおよびトラスト・ストアを構成します。 |
Oracleモバイル・セキュリティ・マネージャは |
5 |
管理対象サーバーを起動します。 |
詳細は、第10.9項「管理対象サーバーの起動」を参照してください。 |
6 |
構成を確認します。 |
Oracle Mobile Security Suiteがポリシー・マネージャ・コンソールで有効になっていることを確認します。詳細は、第10.10項「Oracle Access ManagerおよびOracleモバイル・セキュリティ・マネージャの確認」を参照してください。 |
7 |
オプション: 構成の後で管理者グループをさらに作成して追加します。 |
詳細は、第10.11項「オプション: 構成後の追加管理者グループの作成」を参照してください。 |
8 |
Oracle Mobile Security Access Serverソフトウェアをインストールして構成します。 |
詳細は、第10.12項「Oracle Mobile Security Access Serverのインストール」を参照してください。 |
9 |
Oracle Mobile Security Suiteの使用を開始します。 |
詳細は、第10.13項「Oracle Mobile Security Suiteのインストール後のスタート・ガイド」を参照してください。 |
Oracle Mobile Security Suiteを実行して使用するにはOracle Access Managementが必要です。Oracle Mobile Security Suiteの構成を開始する前に、Oracle Access ManagementをWebLogicドメインにインストールして構成する必要があります。Oracle Access ManagementをWebLogicドメインにインストールして構成すると、デフォルトで、そのドメインにOracle Mobile Security Managerサーバーがインストールおよび構成されます。Oracle Access Managementを構成するには、第5章「Oracle Access Managementの構成」の手順に従います。
Oracle Mobile Security Suiteデプロイメントにより、WebLogic Server、Oracle Access ManagerおよびOracle Mobile Security Suiteコンポーネントに対して異なる管理者ロールが提供されます。Oracle Mobile Security Suiteの構成を開始する前に、これらのロールやその構成方法について理解することが重要です。
Oracle Mobile Security Suiteデプロイメントでは、次のタイプの管理者ロールに注意してください。
WebLogic管理者ロール。WebLogic Serverを構成する管理者権限を提供し、MBeanにアクセスする認可を与えます。特にMobile Security Access Server管理タスクはMBeanを使用して実行されるため、このロールが必要です。
Oracle Access Manager管理者ロール。Oracle Access Managerコンポーネントの管理者権限を提供します。このロールは、Oracle Access ManagementコンソールでOracle Access Management構成タスクを実行する認可を与えます。
Oracle Mobile Security Suite管理者ロール。Oracle Mobile Security Suiteタスク(モバイル・デバイスおよびポリシーの管理など)の管理者権限を提供します。すべてのOracle Mobile Security Suiteタスクは、ポリシー・マネージャ・サーバーで稼働するポリシー・マネージャ・コンソールで実行されます。Oracle Mobile Security SuiteをOracle Access Managerに対して完全に構成すると、Oracle Access Manager管理者がOracle Mobile Security Suite管理者としても構成されます。
これらのロールをOracle Mobile Security Suiteデプロイメントで構成するには、次の手順を実行する必要があります。
共通のアイデンティティ・ストアを構成します。通常はエンタープライズ・ディレクトリを使用します。
管理者ユーザーと管理者グループをディレクトリに作成し、ユーザーを管理者グループに割り当てます。
同じ管理者グループを使用するようにWebLogic Server、Oracle Access ManagerおよびOracle Mobile Security Suiteを構成します。
このような構成の手順を次のタスクで説明します。必須のOracle Mobile Security Suite管理者ユーザー、グループおよびロールを正常に構成するには、これらのタスクを完了する必要があります。
こうして、これらの手順に従って管理者ロール、ユーザーおよびグループを構成すると、WebLogic Server、Oracle Access ManagerおよびOracle Mobile Security Suiteに対するすべての管理権限を持つ1名の管理者ユーザーが作成されます。
Oracle Mobile Security Suiteは、他のOracle Identity and Access Management 11gリリース2 (11.1.2.3.0)コンポーネントと同様に、LDAPディレクトリに存在して正しく構成されているユーザーとグループの特定のセットを利用します。このため、Oracle WebLogic Server、Oracle Access ManagerおよびOracle Mobile Security Suiteのために共通のアイデンティティ・ストアや共通の管理者ユーザーとグループを構成できるように、LDAPディレクトリを準備しておく必要があります。
LDAPディレクトリを準備する方法の詳細は、使用しているLDAPディレクトリのタイプに応じて次のいずれかの手順を参照してください。
Oracle Internet Directory (OID)、Oracle Unified Directory (OUD)またはOracle Directory Server Enterprise Edition (ODSEE)を準備するには、Oracle Fusion Middleware Oracle Identity Management Suite統合ガイドの次のタスクを実行します。
Access Manager用のディレクトリ・スキーマの拡張
Access Manager用のユーザーおよびグループの作成
Oracle WebLogic Server用のユーザーおよびグループの作成
Microsoft Active Directoryを準備するには、Oracle Fusion Middleware Oracle Identity and Access Managementデプロイメント・ガイドのOracle Identity and Access Managementで使用するための既存のMicrosoft Active Directoryインスタンスの準備に関する項を参照してください。
LDAPディレクトリを準備した後で、idmConfigTool
コマンドに-configOAM
オプションを付けて使用し、Oracle Mobile Security Suiteと共に使用するようにOracle Access Managerサーバーを構成します。idmConfigTool
を実行するコマンドは、IAM_HOME
/idmtools/bin
ディレクトリにあります。
注意: 11gリリース2 (11.1.2.3.0)環境のアップグレード元の11gリリース2 (11.1.2.2.0)環境でOracle Access Managerが外部LDAPディレクトリを使用するように構成されていた場合は、idmConfigTool コマンドに-configOAM オプションを指定して実行しないでください。このケースでは第10.7項をスキップします。ただし、第10.8項の説明に従い、アップグレード済のOracle Access Managerにすでに構成されているのと同じユーザー、グループおよびLDAPディレクトリ・プロパティを使用して、Oracleモバイル・セキュリティ・マネージャを構成する必要があります。 |
次のタスクを実行してOracle Access Managerを構成します。
次のガイドラインに従って、Oracle Access Managerサーバーを構成するプロパティ・ファイルを作成してください。このファイルは、第10.7.2項「Oracle Access Managerを構成するidmConfigToolの実行」でidmConfigTool
コマンドに渡します。
表10-2のプロパティを含むoam.properties
という名前のファイルを、選択したディレクトリに作成します。
表10-2 Oracle Access Manager構成プロパティ
プロパティ | 説明 |
---|---|
Oracle WebLogic Serverに接続するためのプロパティ |
|
|
Oracle WebLogic管理サーバーのホスト名。 |
|
Oracle WebLogic管理サーバーのポート番号。 |
|
WebLogic管理コンソールにログインするために使用するOracle WebLogic Server管理者ユーザー。 |
LDAPディレクトリの構成と接続のためのプロパティ |
|
|
LDAPディレクトリのホスト名。 |
|
LDAPディレクトリのポート番号。この値は、SSLポートでも非SSLポートでもかまいません。 |
|
LDAPサーバーのディレクトリ・タイプ。次のいずれかの値を指定します。
|
|
LDAPディレクトリの管理ユーザー。 |
|
ユーザーが保存されるディレクトリの場所。このプロパティは、ユーザーを検索するディレクトリを示します。 |
|
ユーザーおよびグループが保存されるディレクトリの場所。 |
|
グループ(またはロール)が保存されているディレクトリの場所。このプロパティは、グループまたはロールを検索するディレクトリを示します。 |
|
システム・オペレーション・ユーザーを、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーと分離して格納するディレクトリ内のコンテナの場所。 ディレクトリ内で |
|
Oracle Access Management管理コンソールへのアクセスを可能にするために使用するグループの名前。 |
|
ログインが試みられたときに、アイデンティティ・ストア内のこの属性に基づいてユーザー名が検証されます。 |
|
アイデンティティ・ストア名。 このツールでアイデンティティ・ストアを新規に作成せず、すでに運用中のアイデンティティ・ストアを再利用する場合は、このパラメータの値を再利用するアイデンティティ・ストアの名前に設定します。 |
|
有効な値は |
|
アイデンティティ・ストア内のユーザーを検索するために使用するLDAPユーザー名属性。 |
|
ユーザーのログイン名が含まれている、アイデンティティ・ストア内のユーザーの属性。これはユーザーがログインに使用する属性です。 これには |
|
Oracle Access Managerアイデンティティ・ストア接続の確立に使用されるユーザー名。 第10.6項「アイデンティティ・ストアとしてのLDAPディレクトリの準備」で作成したユーザーの名前を指定します。このユーザーは、Oracle Access ManagerがディレクトリまたはLDAPサーバーに接続するために使用されます。 |
|
Oracle Access Managerのアイデンティティ・ストア管理者。Oracle Access Managementコンソールにアクセスする権限を持つユーザーの名前を指定します。 第10.6項「アイデンティティ・ストアとしてのLDAPディレクトリの準備」で作成したユーザーの名前を指定します。 |
WebGateを構成するためのプロパティ |
|
|
作成するWebGateエージェントのタイプ。次の値に設定します。
|
|
WebGateに割り当てる名前。 |
|
WebGateが動作するWebドメイン。ドメインは、 |
|
このプロパティを 有効な値は |
|
構成中のOracle Access Managerエージェントの転送モード。 有効な値は、 |
Oracle Access Managerサーバーを構成するためのプロパティ |
|
|
このプロパティは、認証専用モードまたは標準モード(認証と認可をサポート)としてAccess Managerを構成します。Oracle Access Managerサーバーが認可を実行できるかどうかを指定します。
有効な値は |
|
Oracle Access Manager 11gサーバーが機能するセキュリティ・モデル。 有効な値は |
|
Oracle Access Managerサーバーとそのプロキシ・ポートのカンマ区切りリスト。たとえば、 |
|
|
|
Oracle Access ManagerログアウトURLのカンマ区切りリスト。 |
|
Cookieの有効期限。 |
|
Oracle HTTP Serverの前にあるロード・バランサのホスト名。 |
|
ロード・バランサがリスニングするポートの番号。 |
|
Oracle HTTP Serverのプロトコル。 有効な値は、 |
|
Oracle Access Managerサーバーのフロントエンドとして使用されるロード・バランサのホスト名。この値と次の2つのパラメータを使用してログインURLを構成します。 |
|
Oracle Access Managerサーバーのフロントエンドとして使用されるロード・バランサがリスニングするポートの番号。 |
|
Oracle Access Managerサーバーのフロントエンドとして使用されるロード・バランサのプロトコル。 有効な値は、 |
|
Oracle Access Managerのみが所属するドメインを作成する場合や、Oracle Access ManagerがOracle Identity Managerとは別のドメインにある場合は(分割ドメイン)、 有効な値は |
Oracle Identity ManagerとOracle Access Managerを一緒に構成する場合に必要なプロパティ |
|
|
Oracle Identity ManagerサーバーのフロントエンドとなるOracle HTTP ServerのURLを入力します。このプロパティは、Oracle Access ManagerとOracle Identity Managerがトポロジに含まれている場合にのみ必要です。 |
|
このプロパティは、Oracle Access ManagerをOracle Identity Managerと統合するのかスタンドアロン・モードで構成するのかを指定します。統合する場合、 有効な値は |
Oracle Access Managerサンプル・プロパティ・ファイル
WLSHOST: examplehost.example.com WLSPORT: 7001 WLSADMIN: weblogic IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389 IDSTORE_DIRECTORYTYPE: OUD IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators OAM11G_SERVER_LOGIN_ATTRIBUTE: cn OAM11G_CREATE_IDSTORE: true OAM11G_IDSTORE_NAME: OAMIDSTORE IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: cn IDSTORE_OAMSOFTWAREUSER: oamLDAP IDSTORE_OAMADMINUSER: oamadmin WEBGATE_TYPE: ohsWebgate11g ACCESS_GATE_ID: Webgate_IDM COOKIE_DOMAIN: .cc.example.com OAM11G_WG_DENY_ON_NOT_PROTECTED: true OAM_TRANSFER_MODE: open OAM11G_SSO_ONLY_FLAG: false OAM11G_OAM_SERVER_TRANSFER_MODE: open PRIMARY_OAM_SERVERS: examplehost.example.com:5575 OAM11G_IMPERSONATION_FLAG: false OAM11G_IDM_DOMAIN_LOGOUT_URLS: /oamsso/logout.html, /console/jsp/common/logout.jsp, /em/targetauth/emaslogout.jsp COOKIE_EXPIRY_INTERVAL: 120 OAM11G_IDM_DOMAIN_OHS_HOST: examplehost.example.com OAM11G_IDM_DOMAIN_OHS_PORT: 7777 OAM11G_IDM_DOMAIN_OHS_PROTOCOL: http OAM11G_SERVER_LBR_HOST: examplehost.example.com OAM11G_SERVER_LBR_PORT: 7777 OAM11G_SERVER_LBR_PROTOCOL: http SPLIT_DOMAIN: true OAM11G_OIM_OHS_URL: http://examplehost.example.com:7778 OAM11G_OIM_INTEGRATION_REQ: false
Oracle Access Managerを構成するには、次のようにidmConfigTool
コマンドに-configOAM
オプションを付けて実行します。
注意:
|
次の環境変数を設定します。
MW_HOME
に、Oracle Identity and Access Managementミドルウェア・ホームのフルパスを設定します。Oracle WebLogic Server 11gリリース1 (10.3.6)をシステム上にインストールした際に作成されたミドルウェア・ホームへのパスを入力します。たとえば、/u01/oracle/products/fmw_oam
です。
ORACLE_HOME
に、Oracle Access ManagerがインストールされているOracleホームのフルパスを設定します。IAM_HOME
ディレクトリの場所を設定します。たとえば、/u01/oracle/products/fmw_oam/Oracle_IDM1
です。
JAVA_HOME
をJDKディレクトリのフルパスに設定します。
ディレクトリをIAM_HOME
/idmtools/bin
ディレクトリに変更します。
cd IAM_HOME/idmtools/bin
次のコマンドを実行します。
idmConfigTool.sh -configOAM input_file=configfile log_level=level log_file=log_file
各パラメータの意味は次のとおりです。
(必須) input_file
は、第10.7.1項「Oracle Access Managerプロパティ・ファイルの作成」で作成したプロパティ・ファイルのフルパスまたは相対パスです。
(オプション) log_level
は、idmConfigTool
によって実行されるロギングのレベルです。設定可能な値は、ALL
、SEVERE
、WARNING
、INFO
、CONFIG
、FINE
、FINER
およびFINEST
です。指定しない場合、デフォルト値はINFO
です。
(オプション) log_file
は、idmConfigTool
がログ・ファイル・データを格納するファイルのフルパスまたは相対パスです。指定しない場合、idmConfigTool
によって、automation.log
という名前のログ・ファイルが、ツールを実行したディレクトリに作成されます。
例:
idmConfigTool.sh -configOAM input_file=oam.properties
ここで、oam.properties
は、環境に固有の構成パラメータを含むプロパティ・ファイルです。このファイルの作成方法の詳細は、第10.7.1項「Oracle Access Managerプロパティ・ファイルの作成」を参照してください。
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。次のパスワードの入力も求められます。
OAM11G_WLS_ADMIN_PASSWD
: WebLogic Server管理者ユーザー(WLSADMIN
)のパスワードを入力します。
OAM11G_IDM_DOMAIN_WEBGATE_PASSWD
: WebGateに割り当てられるパスワードを入力します。
IDSTORE_PWD_OAMSOFTWAREUSER
: IDSTORE_OAMSOFTWAREUSER
のパスワードを入力します。
IDSTORE_PWD_OAMADMINUSER
: IDSTORE_OAMADMINUSER
のパスワードを入力します。
Oracle Unified Directoryに対して実行した場合のコマンド出力例:
Enter ID Store Bind DN password: Enter User Password for OAM11G_WLS_ADMIN_PASSWD: Confirm User Password for OAM11G_WLS_ADMIN_PASSWD: Enter User Password for OAM11G_IDM_DOMAIN_WEBGATE_PASSWD: Confirm User Password for OAM11G_IDM_DOMAIN_WEBGATE_PASSWD: Enter User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Confirm User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Enter User Password for IDSTORE_PWD_OAMADMINUSER: Confirm User Password for IDSTORE_PWD_OAMADMINUSER: Connecting to t3://examplehost.example.com:7001 Connection to domain runtime mbean server established Starting edit session Edit session started Connected to security realm. Validating provider configuration Validated desired authentication providers Created OAMIDAsserter successfuly Created OUDAuthenticator successfuly Setting attributes for OUDAuthenticator All attributes set. Configured inOUDAuthenticatornow LDAP details configured in OUDAuthenticator Dec 19, 2014 6:40:38 AM oracle.idm.automation.impl.oam.handlers.WLSAuthnConfigHandler logInfo INFO: ControlFlag for OAMIDAsserter set to REQUIRED Dec 19, 2014 6:40:38 AM oracle.idm.automation.impl.oam.handlers.WLSAuthnConfigHandler logInfo INFO: ControlFlag for OUDAuthenticator set to SUFFICIENT Dec 19, 2014 6:40:38 AM oracle.idm.automation.impl.oam.handlers.WLSAuthnConfigHandler logInfo INFO: ControlFlag for DefaultAuthenticator set to SUFFICIENT Control flags for authenticators set sucessfully Dec 19, 2014 6:40:38 AM oracle.idm.automation.impl.oam.handlers.WLSAuthnConfigHandler logInfo INFO: Total providers - 5 Reordering of authenticators done sucessfully Saving the transaction Transaction saved Activating the changes Changes Activated. Edit session ended. Connection closed sucessfully The tool has completed its operation. Details have been logged to automation.log
Microsoft Active Directoryに対して実行した場合のコマンド出力例:
Enter ID Store Bind DN password: Enter User Password for OAM11G_WLS_ADMIN_PASSWD: Confirm User Password for OAM11G_WLS_ADMIN_PASSWD: Enter User Password for OAM11G_IDM_DOMAIN_WEBGATE_PASSWD: Confirm User Password for OAM11G_IDM_DOMAIN_WEBGATE_PASSWD: Enter User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Confirm User Password for IDSTORE_PWD_OAMSOFTWAREUSER: Enter User Password for IDSTORE_PWD_OAMADMINUSER: Confirm User Password for IDSTORE_PWD_OAMADMINUSER: Connecting to t3://examplehost.example.com:7001 Connection to domain runtime mbean server established Starting edit session Edit session started Connected to security realm. Validating provider configuration Validated desired authentication providers OAM Asserter already exists in the security realm Created ADAuthenticator successfuly Setting attributes for ADAuthenticator All attributes set. Configured inADAuthenticatornow LDAP details configured in ADAuthenticator Control flags for authenticators set sucessfully Reordering of authenticators done sucessfully Saving the transaction Transaction saved Activating the changes Changes Activated. Edit session ended. Connection closed sucessfully The tool has completed its operation. Details have been logged to oam.log
ログ・ファイルを確認し、続行する前にエラーや警告を修正します。
Oracle WebLogic管理サーバーを再起動します。付録C「サーバーの再起動」を参照してください。
インストール・プロセスを完了した時点では、WebLogic管理者ロールを持つユーザーまたはグループは存在しません。次の手順を実行して、WebLogic管理者ロールをOracle Access Manager管理者グループまたはWebLogic Server管理者グループに付与します。
WebLogic Server管理コンソールにログインします。
「ドメイン構造」メニューで「セキュリティ・レルム」をクリックします。
「レルム」表の「myrealm」をクリックします。
「ロールとポリシー」タブをクリックします。
「ロール」表の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。
「グローバル・ロール」エントリの下の「ロール」をクリックします。
「グローバル・ロール」表の「管理」ロールをクリックします。
「ロール条件」の下にある「条件の追加」をクリックします。
述語リストで「グループ」を選択して、「次へ」をクリックします。
「グループ引数名」フィールドに、第10.6項「アイデンティティ・ストアとしてのLDAPディレクトリの準備」で作成したOracle Access Manager管理者グループ(OAM11G_IDSTORE_ROLE_SECURITY_ADMIN
)の名前を入力します。たとえば、OAMAdministrators
です。
「追加」をクリックします。
「終了」をクリックします。
これで「ロール条件」にOracle Access Manager管理者グループがエントリとして表示されます。
「ロール条件」の下にある「条件の追加」をクリックします。
述語リストで「グループ」を選択して、「次へ」をクリックします。
「グループ引数名」フィールドに、第10.6項「アイデンティティ・ストアとしてのLDAPディレクトリの準備」で作成したWebLogic Server管理者グループ(IDSTORE_WLSADMINGROUP
)の名前を入力します。たとえば、IDM Administrators
です。
「追加」をクリックします。
「終了」をクリックします。
これで「ロール条件」にWebLogic Server管理者グループがエントリとして表示されます。
「保存」をクリックしてから管理サーバーを再起動します。
Oracle Unified Directory (OUD)をLDAPアイデンティティ・ストアとして使用しており、グループ・オブジェクト・クラスがgroupOfUniqueNames
の場合、次の追加手順を実行してください。
WLST connect
コマンドを使用して、WebLogic管理サーバーに接続します。
IAM_HOME/common/bin/wlst.sh
connect()
次のWLSTコマンドをこの順序で実行します。
edit()
startEdit()
cd('/SecurityConfiguration/domain_name/Realms/myrealm/AuthenticationProviders/OUDAuthenticator')
cmo.setStaticMemberDNAttribute('uniquemember')
cmo.setStaticGroupDNsfromMemberDNFilter('(&(uniquemember=%M)(objectclass=groupOfUniqueNames))')
cmo.setStaticGroupObjectClass('groupOfUniqueNames')
activate()
idmConfigTool -configOAM
コマンドを実行してOracle Access Managerを構成したら、Oracleモバイル・セキュリティ・マネージャ・サーバーのidmConfigTool
を使用してアイデンティティ・ストア、キーストアおよびトラスト・ストアを構成します。
次のタスクを実行してOracleモバイル・セキュリティ・マネージャを構成します。
次のガイドラインに従って、Oracleモバイル・セキュリティ・マネージャ・サーバーを構成するプロパティ・ファイルを作成してください。このファイルは、第10.8.2項「Oracleモバイル・セキュリティ・マネージャを構成するidmConfigToolの実行」でidmConfigTool
コマンドに渡します。
表10-3のプロパティを含むomss.properties
という名前のファイルを、選択したディレクトリに作成します。「(オプション)」と示されていないかぎり、プロパティはすべて必須です。
注意:
|
表10-3 Oracle Mobile Security Suite構成プロパティ
プロパティ | 説明 |
---|---|
LDAPディレクトリの構成と接続のためのプロパティ |
|
|
(オプション) LDAPディレクトリとSSLを使用して通信する場合は、 |
|
LDAPサーバーのディレクトリ・タイプ。次のいずれかの値を指定します。
|
|
LDAPディレクトリのホスト名。 第10.7.1項「Oracle Access Managerプロパティ・ファイルの作成」でOracle Access Managerプロパティ・ファイルを作成したときにこのプロパティに指定した値と同じにする必要があります。 |
|
LDAPディレクトリのポート番号。この値は、SSLポートでも非SSLポートでもかまいません。 第10.7.1項「Oracle Access Managerプロパティ・ファイルの作成」でOracle Access Managerプロパティ・ファイルを作成したときにこのプロパティに指定した値と同じにする必要があります。 |
|
(オプション)ディレクトリ固有のSSL証明書を含む場所の絶対パスを指定します。 このプロパティが適用されるのは、LDAPディレクトリがSSLポートを介して通信する場合のみです。指定すると、 これらの証明書は、 |
|
LDAPディレクトリの管理ユーザー。 |
|
アイデンティティ・ストア内のユーザーを検索するために使用するLDAPユーザー名属性。 |
|
ユーザーが保存されるディレクトリの場所。このプロパティは、ユーザーを検索するディレクトリを示します。 |
|
グループ(またはロール)が保存されているディレクトリの場所。このプロパティは、グループまたはロールを検索するディレクトリを示します。 |
|
ユーザーおよびグループが保存されるディレクトリの場所。 |
|
ユーザーのログイン名が含まれている、アイデンティティ・ストア内のユーザーの属性。これはユーザーがログインに使用する属性です。 |
|
Oracleモバイル・セキュリティ・マネージャのアイデンティティ・ストア・プロファイルの名前。
|
Oracle WebLogic Serverに接続するためのプロパティ |
|
|
Oracle WebLogic管理サーバーのホスト名。 |
|
WebLogic管理コンソールにログインするために使用するWebLogic Server管理者ユーザー。 |
|
WebLogic管理サーバーのポート番号。 |
|
第10.4項「WebLogicドメインでのOracle Access Managementの構成」で作成したOracleモバイル・セキュリティ・マネージャ・ドメインの絶対パス。 |
Oracle Mobile Security Suiteのユーザー、グループおよびロールを構成するためのプロパティ |
|
|
(オプション) Oracleモバイル・セキュリティ・マネージャの操作に対する管理権限を持つメンバーで構成される管理者グループの名前。このグループは、ポリシー・マネージャ・コンソールでOracleモバイル・セキュリティ・マネージャ機能へのアクセスを許可するために使用されます。 これは、Oracle Access Managerプロパティ・ファイルで デフォルト値は |
|
(オプション) Oracleモバイル・セキュリティ・マネージャの操作に対するヘルプデスク権限を持つメンバーで構成される、Oracleモバイル・セキュリティ・マネージャ・ヘルプデスク・グループの名前。 このグループは、ポリシー・マネージャ・コンソールでセキュリティ・ヘルプ・デスクへのアクセスを許可するために使用されます。 デフォルト値は |
|
(オプション) Oracleモバイル・セキュリティ・マネージャは、登録フェーズでの外部Simple Certificate Enrollment Protocol (SCEP)認可にSCEP動的チャレンジを使用します。 モバイル・セキュリティ・マネージャはこのユーザーを認証で使用します。 |
モバイル・セキュリティ・マネージャ・サーバーおよびポリシー・マネージャ・サーバーを構成するためのプロパティ |
|
|
モバイル・セキュリティ・マネージャ管理対象サーバーの名前。デフォルトでは このプロパティは、ドメイン構成時に指定されたモバイル・セキュリティ・マネージャ名と一致する必要があります。 複数のモバイル・セキュリティ・マネージャ・サーバーがある場合は、管理対象サーバー名のカンマ区切りリストを指定します。たとえば、 |
|
(オプション) モバイル・セキュリティ・マネージャ・サーバーが割り当てられているホストのカンマ区切りリスト。
プロパティ・ファイルの中にこのプロパティが指定されていない場合、 |
|
ポリシー・マネージャ管理対象サーバーの名前。デフォルトでは このプロパティは、ドメイン構成時に指定されたポリシー・マネージャ名と一致する必要があります。 |
クラスタ・デプロイメントのプロパティ |
|
|
(オプション)クラスタ・デプロイメントの場合は、Oracleモバイル・セキュリティ・マネージャ・クラスタのフロントエンドとなるロード・バランサのURLを入力します。 このプロパティは、モバイル・セキュリティ・マネージャがクラスタにデプロイされない場合は必要ありません。モバイル・セキュリティ・マネージャ・サーバーのクラスタがある場合のみ必要です。
|
プロキシ・サーバーの構成と接続のためのプロパティ |
|
|
(オプション)プロキシ・サーバーを使用している場合は、そのプロキシ・サーバーのホスト名を指定します。 このプロパティとこの後の3つのプロパティが必要になるのは、モバイル・セキュリティ・マネージャ・サーバーが内部ネットワークで実行し、外部ネットワークとの通信にプロキシ・サーバーを必要とする場合です。 |
|
(オプション)プロキシ・サーバーを使用している場合は、そのプロキシ・サーバーのポート番号を指定します。 |
|
(オプション)プロキシ・サーバーへの接続に使用するユーザー名。 プロキシ・サーバーが認証されていない場合、 |
|
(オプション)有効な値は |
データベースに接続するためのプロパティ |
|
|
Oracleモバイル・セキュリティ・マネージャデータベース・リポジトリのJDBC URLを次の形式で指定します。db_hostはデータベースが存在するマシンのホスト名、portはデータベースのリスナー・ポート、service_nameはデータベースとして識別されるサービス名です。このURLは、Apple Push Notification Service (APNs)およびGoogle Cloud Messaging (GCM)のデータをシードするために使用されます。 jdbc:oracle:thin:@db_host:port/service_name 次に例を示します。 jdbc:oracle:thin:@examplehost.exampledomain.com:1521/orcl.example.com |
|
RCUでリポジトリについて構成された接頭辞の後に |
GCMとAPNsを構成するためのプロパティ |
|
|
(オプション) Google Cloud Messaging (GCM)通知の送信者ID。 このプロパティは、Androidモバイル・デバイス管理(MDM)機能で必要です。モバイル・セキュリティ・マネージャでは、GCMに接続してAndroidデバイスにプッシュ通知をを送信するためにGCM資格証明が必要です。MDMを使用する予定がある場合、構成時に このプロパティには、作成したGoogle APIプロジェクトのプロジェクト番号を設定します。Google APIプロジェクトの作成方法やGCM APIキーの取得方法の詳細は、Oracle Fusion Middleware Oracle Mobile Security Suiteの管理のGCMエントリの構成に関する項を参照してください。 |
|
(オプション) Appleサーバーへの安全な接続を確立して通知を送信するために使用されるApple Push Notification Service (APNs)キーストア・ファイルのフルパスとファイル名。 APNsキーストア・ファイルは、iOSモバイル・デバイス管理(MDM)機能で必要です。モバイル・セキュリティ・マネージャでは、iOSデバイスを管理するためにApple MDM証明書が必要です。この証明書によって、Appleプッシュ通知サービス(APNs)を使用してセキュアな通信を行うことができます。MDMを使用する予定がある場合、構成時に APNs証明書ファイルの取得方法など、詳細は、Oracle Fusion Middleware Oracle Mobile Security Suiteの管理のAPNs証明書の構成に関する項を参照してください。 |
Exchangeサーバーおよび電子メール設定を構成するためのプロパティ |
|
|
(オプション)Oracle Mobile Security Suiteが接続するExchangeサーバーのドメイン名を指定します。 これを指定した場合は、次の4つの |
|
(オプション)Oracle Mobile Security Suiteが接続するExchangeサーバーのURLを指定します。 これを指定した場合は、他のすべての |
|
(オプション)Oracle Mobile Security Suiteが接続するExchangeサーバーのリスナーURLを指定します。 これを指定した場合は、他のすべての |
|
(オプション)Oracle Mobile Security Suiteが接続するExchangeサーバーのバージョン番号を指定します。 これを指定した場合は、他のすべての |
|
(オプション)Oracle Mobile Security Suiteが接続するExchangeサーバーの管理ユーザー名を指定します。 これを指定した場合は、他のすべての |
|
(オプション) Oracle Mobile Security Suite電子メール管理者のユーザー名を電子メール・アドレスで指定します。 これを指定した場合は、次の2つのプロパティの値も入力する必要があります。これらは、モバイル・セキュリティ・マネージャがユーザーを招待する電子メールを送信するために使用されます。 |
|
(オプション) Oracleモバイル・セキュリティ・マネージャがユーザーに招待電子メールを送信するために使用するSMTPサーバーのホスト名を指定します。 これを指定した場合は、 |
|
(オプション) Oracleモバイル・セキュリティ・マネージャがユーザーに招待電子メールを送信するために使用するSMTPサーバーのポート番号を指定します。 これを指定した場合は、 |
|
(オプション) Oracleモバイル・セキュリティ・マネージャ・サーバーの自己署名CAの鍵および生成される鍵の長さ(ビット数)。デフォルト値は、 |
Mobile Security Access Serverを構成するためのプロパティ |
|
|
Oracle Mobile Security Access Serverのホスト名。 Mobile Security Access Serverのインスタンスがロード・バランサの背後にある場合は、そのロード・バランサのホスト名を入力します。 このプロパティと |
|
Oracle Mobile Security Access Serverインスタンスが実行するSSLポート Mobile Security Access Serverのインスタンスがロード・バランサの背後にある場合は、そのロード・バランサのポート番号を入力します。 |
idmConfigTool -configOMSS mode=OMSASコマンドを使用してMobile Security Access Serverを構成するために必要なプロパティ |
|
|
(オプション)この値にはディレクトリの場所を指定する必要があります。この場所に格納されている証明書は、モバイル・セキュリティ・マネージャが外部ディレクトリまたは認証サーバーとやりとりする際に、認証と信頼を確立するために使用されます。 この場所に存在するすべての証明書ファイルは、Mobile Security Access Serverトラスト・ストアに追加されます。 このプロパティとこの後の2つのプロパティはMobile Security Access Serverの構成に必要です。これらのプロパティは |
|
Oracle Mobile Security Access Serverのアイデンティティ・ストア・プロファイルの名前。 |
|
Oracle Mobile Security Access Serverのゲートウェイ・インスタンスの名前。 Mobile Security Access Serverゲートウェイ・インスタンスを作成および構成できるのは、Mobile Security Access Serverをインストールした後です。詳細は、Oracle Fusion Middleware Oracle Mobile Security Access Serverのインストールを参照してください。 |
Oracle Mobile Security Suiteサンプル・プロパティ・ファイル
IDSTORE_SSL_ENABLED: false
IDSTORE_DIRECTORYTYPE: OUD
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 1389
#IDSTORE_SSL_CERT_PATH: path_to_directory_containing_ssl_certificates
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_LOGINATTRIBUTE: cn
OMSS_OMSM_IDSTORE_PROFILENAME: msmprofile
WLSHOST: examplehost.example.com
WLSADMIN: weblogic
WLSPORT: 7001
OMSS_DOMAIN_LOCATION: /u01/oracle/admin/oam/user_projects/domains/oam_domain
OMSS_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
OMSS_IDSTORE_ROLE_SECURITY_HELPDESK: MSMHelpdeskUsers
OMSS_SCEP_DYNAMIC_CHALLENGE_USER: adminuser
OMSS_OMSM_SERVER_NAME: WLS_MSM1
OMSS_OMSM_SERVER_HOST: examplehost1.example.com
OMSS_OAM_POLICY_MGR_SERVER_NAME: WLS_AMA1
OMSS_OMSM_FRONT_END_URL: http://lbr-machine:7777
OMSS_PROXY_SERVER_HOST: www-proxy.example.com
OMSS_PROXY_SERVER_PORT: 80
OMSS_PROXY_USER: proxyuser
OMSS_USE_PROXY: false
OMSS_JDBC_URL: jdbc:oracle:thin:@examplehost.example.com:1521/msmdb.example.com
OMSS_OMSM_SCHEMA_USER: DEV3_OMSM
OMSS_GCM_SENDER_ID: 610046050155
OMSS_APNS_FILE: /scratch/keystores/APNS.p12
OMSS_EXCHANGE_DOMAIN_NAME: test.com
OMSS_EXCHANGE_SERVER_URL: http://testuri.com
OMSS_EXCHANGE_LISTENER_URL: http://testuri.com
OMSS_EXCHANGE_SERVER_VERSION: 2.0
OMSS_EXCHANGE_ADMIN_USER: serviceuser
OMSS_EMAIL_ADMIN_USER: admin@acme.com
OMSS_SMTP_HOST: exchangeurl.example.com
OMSS_SMTP_PORT: 80
OMSS_OMSM_SERVER_KEY_LENGTH: 2048
OMSS_MSAS_SERVER_HOST: examplehost.example.com
OMSS_MSAS_SERVER_PORT: 9001
OMSS_OMSAS_AUX_CERTIFICATES_LOCATION:
OMSS_OMSAS_IDSTORE_PROFILENAME: msasprofile
OMSS_GATEWAY_INSTANCE_ID: msas_gateway-1
この項の手順を実行して、idmConfigTool -configOMSS mode=OMSM
コマンドを実行します。このコマンドは、Oracleモバイル・セキュリティ・マネージャのアイデンティティ・ストア、キーストアおよびトラスト・ストアを構成します。
注意:
|
次の環境変数を設定します。
MW_HOME
に、Oracle Identity and Access Managementミドルウェア・ホームのフルパスを設定します。Oracle WebLogic Server 11gリリース1 (10.3.6)をシステム上にインストールした際に作成されたOracleミドルウェア・ホームへのパスを入力します。たとえば、/u01/oracle/products/fmw_oam
です。
ORACLE_HOME
を、Oracle Access ManagerとOracleモバイル・セキュリティ・マネージャがインストールされているOracleホームのフルパスに設定します。IAM_HOME
ディレクトリの場所を設定します。たとえば、/u01/oracle/products/fmw_oam/Oracle_IDM1
です。
WL_HOME
を、Oracle WebLogic Serverの最上位のインストール・ディレクトリに設定します。たとえば、/u01/oracle/products/fmw_oam/wlserver_10.3
です。
JAVA_HOME
をJDKディレクトリのフルパスに設定します。
ディレクトリをIAM_HOME
/idmtools/bin
ディレクトリに変更します。
cd IAM_HOME/idmtools/bin
次のコマンドを実行します。
idmConfigTool.sh -configOMSS mode=OMSM input_file=configfile log_level=level log_file=log_file
各パラメータの意味は次のとおりです。
(必須) input_file
は、第10.8.1項「Oracle Mobile Security Suiteプロパティ・ファイルの作成」で作成したプロパティ・ファイルのフルパスまたは相対パスです。
(オプション) log_level
は、idmConfigTool
によって実行されるロギングのレベルです。設定可能な値は、ALL
、SEVERE
、WARNING
、INFO
、CONFIG
、FINE
、FINER
およびFINEST
です。指定しない場合、デフォルト値はINFO
です。
(オプション) log_file
は、idmConfigTool
がログ・ファイル・データを格納するファイルのフルパスまたは相対パスです。指定しない場合、idmConfigTool
によって、automation.log
という名前のログ・ファイルが、ツールを実行したディレクトリに作成されます。
例:
idmConfigTool.sh -configOMSS mode=OMSM input_file=omss.properties
ここで、omss.properties
は、環境に固有の構成パラメータを含むプロパティ・ファイルです。ファイルの作成方法の詳細は、第10.8.1項「Oracle Mobile Security Suiteプロパティ・ファイルの作成」を参照してください。
注意: このコマンドは、次のファイルを、Oracleモバイル・セキュリティ・マネージャ・サーバーのDOMAIN_HOME /config/fmwconfig ディレクトリ内に作成します。
|
このコマンドを実行すると、アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。次のパスワードの入力も求められます。
OMSSキーストアのパスワードを入力してください:
モバイル・セキュリティ・マネージャのキーストアとキーを生成するために使用されるパスワードを入力します。
電子メール・ユーザー・パスワードを入力してください:
このプロンプトが表示されるのは、プロパティ・ファイルにOMSS_EMAIL_ADMIN_USER
の値を入力した場合のみです。Oracle Mobile Security Suite電子メール管理者(OMSS_EMAIL_ADMIN_USER
)のパスワードを入力します。
Exchangeユーザー・パスワードを入力してください:
このプロンプトが表示されるのは、プロパティ・ファイルにOMSS_EXCHANGE_ADMIN_USER
の値を入力した場合のみです。Exchangeサーバーの管理ユーザー(OMSS_EXCHANGE_ADMIN_USER
)のパスワードを入力します。
プロキシ・ユーザー・パスワードを入力してください:
このプロンプトが表示されるのは、プロパティ・ファイルにOMSS_PROXY_USER
の値を入力した場合のみです。プロキシ・サーバーへの接続に使用するパスワードを入力します。
SCEP動的チャレンジ・パスワードを入力してください:
このプロンプトが表示されるのは、プロパティ・ファイルにOMSS_SCEP_DYNAMIC_CHALLENGE_USER
の値を入力した場合のみです。SCEP動的チャレンジ・ユーザー(OMSS_SCEP_DYNAMIC_CHALLENGE_USER
)のパスワードを入力します。
OMSMスキーマ・ユーザー・パスワードを入力してください:
Oracleモバイル・セキュリティ・マネージャ・スキーマのパスワードを入力します。
APNSキーストアのパスワードを入力してください:
このプロンプトが表示されるのは、プロパティ・ファイルにOMSS_APNS_FILE
の値を入力した場合のみです。Apple Push Notification Service (APNs)キーストアのパスワードを入力します。
GCM APIキーを入力してください:
このプロンプトが表示されるのは、プロパティ・ファイルにOMSS_GCM_SENDER_ID
の値を入力した場合のみです。Google Cloud Messaging (GCM)通知のAPIキー値を入力します。
Weblogicパスワードを入力してください:
WebLogic Server管理者ユーザー(WLSADMIN
)のパスワードを入力します。
次に、コマンドの出力例を示します。
Enter ID Store Bind DN Password: Enter OMSS Keystore Password: Enter Email User Password: Enter Exchange User Password: Enter Proxy User Password: Enter SCEP Dynamic Challenge Password: Enter OMSM Schema User Password: Enter APNS Keystore Password: Enter GCM API Key: Enter Weblogic Password: (1/8) MSM Configurations Success (2/8) Seeding User Notification Templates Success (3/8) Seeding CSF Credentials Success (4/8) Configuring IDS Profile Success (5/8) Configuring OMSS Authentication Provider Success (6/8) Creating MSM Keystores Success (7/8) Configuring MSM Server's SSL Success (8/8) OAM Console Integration Success
ログ・ファイルを確認し、続行する前にエラーや警告を修正します。
WebLogic管理サーバーを再起動して、変更した部分を有効にします。
注意: 「Oracle Mobile Security Suiteの構成ロードマップ」に従って必要な構成手順をすべて完了すると、Oracle Mobile Security Suiteデプロイメントのデフォルトの管理者ロール、ユーザーおよびグループが次のように構成されています。
これら5つの説明文をまとめると、次の2名のユーザー
構成の後でさらに管理者グループを作成して追加する場合は、第10.11項「オプション: 構成後の追加管理者グループの作成」を参照してください。 |
注意: idmConfigTool -configOMSS mode=OMSM コマンドを実行した後で、pack およびunpack コマンドを使用してリモート・マシン上に管理対象サーバーを作成できます。詳細は、PackおよびUnpackコマンドによるテンプレートとドメインの作成のリモート・マシンでの管理対象サーバーの作成および起動を参照してください。 |
idmConfigTool -configOMSS mode=OMSM
コマンドを正常に実行した後で、Oracle Access Managerの管理対象サーバー(WLS_OAM1
)、Access Managerポリシー・マネージャの管理対象サーバー(WLS_AMA1
)およびOracleモバイル・セキュリティ・マネージャの管理対象サーバー(WLS_MSM1
)を起動します。詳細は、付録C「スタックの起動」を参照してください。
次の手順でOracleモバイル・セキュリティ・マネージャおよびOracle Access Managerの構成を確認します。
次のサーバーが起動しており、稼働中であることを確認します。
Oracle WebLogic管理サーバー
Oracle Access Manager管理対象サーバー(WLS_OAM1
)
Oracle Access Managerポリシー・マネージャ管理対象サーバー(WLS_AMA1
)
Oracleモバイル・セキュリティ・マネージャ管理対象サーバー(WLS_MSM1
)
Oracle WebLogic Server管理コンソールを検証します。インストールと構成が成功していれば、このコンソールに実行モードの管理サーバーが表示されます。
次のURLを使用してOracle Access Managementの管理コンソールにログインします。
http://adminserver_host:adminserver_port/oamconsole
管理サーバー上で稼動しているこの管理コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。第10.6項「アイデンティティ・ストアとしてのLDAPディレクトリの準備」で作成したOracle Access Manager管理者ユーザー(IDSTORE_OAMADMINUSER
)としてログインします。管理者のロールと権限を持つ必要があることに注意してください。
次のURLを使用してOracle Access Managerポリシー・マネージャ・コンソールにログインします。
http://oam_policy_mgr_host:oam_policy_mgr_port/access
ポリシー・マネージャ・サーバー上で動作しているポリシー・マネージャ・コンソールにアクセスすると、ユーザー名とパスワードの入力を求められます。第10.6項「アイデンティティ・ストアとしてのLDAPディレクトリの準備」で作成したOracle Access Manager管理者ユーザー(IDSTORE_OAMADMINUSER
)としてログインします。
ポリシー・マネージャ・サーバーの詳細は、Oracle Fusion Middleware Oracle Mobile Security Suiteの管理のアクセス・コンソールの統一に関する項を参照してください。
ポリシー・マネージャ・コンソールで、右上隅の「構成」をクリックします。
「構成」起動パッドで「使用可能なサービス」をクリックします。
「使用可能なサービス」ページで、「モバイル・セキュリティ・サービス」に緑色のチェックマークが付いていることを確認します。チェックマークが付いていない場合は、「モバイル・セキュリティ・サービス」の横にある「サービスの有効化」をクリックして、「モバイル・セキュリティ・サービス」のステータスを有効にします。
「モバイル・セキュリティ・サービス」を有効にすると、ポリシー・マネージャ・コンソールの「モバイル・セキュリティ・マネージャ」ページにアクセスできます。
モバイル・セキュリティ・マネージャ・コンソールのページにアクセスするには、右上隅の「モバイル・セキュリティ」タブをクリックします。
モバイル・セキュリティ起動パッドが開きます。「モバイル・セキュリティ・マネージャ」で「表示」をクリックし、メニューからモバイル・セキュリティ・マネージャ・コンソールのページを選択します。
これらのページの詳細は、Oracle Fusion Middleware Oracle Mobile Security Suiteの管理のモバイル・セキュリティ・マネージャ・コンソール・ページの使用に関する項を参照してください。
インストールおよび構成プロセスの後で、Oracle Mobile Security Suiteデプロイメントに対して特定のユーザー、グループおよびロールがデフォルトでLDAPディレクトリに設定されます。Oracle Access ManagerおよびOracle Mobile Security Suite管理のためにさらに管理者グループを作成して追加する場合は、次の項を参照してください。
構成の後では、Oracle Access Manager管理者グループOAM11G_IDSTORE_ROLE_SECURITY_ADMIN
が、Oracle Access ManagerとOracle Mobile Security Suiteの両方に対して管理者権限を持つデフォルト管理者グループとして構成されています。
Oracle Access ManagerおよびOracle Mobile Security Suiteの完全な管理者権限を追加のLDAPグループに割り当てるには、次の手順を実行します。
LDAPディレクトリにグループを作成するか、すでに作成した既存のグループを使用します。
Oracle Access Manager管理者ユーザーIDSTORE_OAMADMINUSER
としてポリシー・マネージャ・コンソールにログインします。
http://oam_policy_mgr_host:oam_policy_mgr_port/access
Oracle Access Manager管理者グループの権限を新しいグループに付与します。
右上隅の「構成」タブをクリックします。
「構成」起動パッドで「管理」をクリックします。
「管理」ページで、「付与」をクリックします。
「名前」フィールドにグループの名前を入力し、「検索」をクリックします。
検索結果でグループの名前を選択します。
「ロール」で「システム管理者」を選択します。
「選択済の追加」をクリックします。
第10.8項「Oracleモバイル・セキュリティ・マネージャの構成」の説明に従ってOracleモバイル・セキュリティ・マネージャの構成がすでに完了している場合、この新しいグループも自動的にOracle Mobile Security Suite管理者グループとして追加されます。
ただし、Oracleモバイル・セキュリティ・マネージャがまだ構成されていない場合は、このグループを手動でOracle Mobile Security Suite管理者グループに割り当てる必要があります。これを行うには、次の手順を実行します:
「構成」タブの「構成」起動パッドにナビゲートします。
「設定」の下で「表示」をクリックし、「モバイル・セキュリティ・マネージャ設定」を選択します。
「モバイル・セキュリティ・マネージャ設定」ページでアイデンティティ・ストア設定を選択します。
システム管理グループの下で「追加」をクリックします。
「グループ名」フィールドに、Oracle Mobile Security Suite管理者グループとして追加するLDAPグループの名前を入力します。
「適用」をクリックします。
WebLogic管理者権限を新しい管理者グループに付与します。
これを行うには、このグループをWebLogic Server管理者グループIDSTORE_WLSADMINGROUP
のメンバーにします。
または
WebLogic Server管理コンソールで次のようにWebLogic管理者権限を付与できます。
WebLogic Server管理コンソールにログインします。
「ドメイン構造」メニューで「セキュリティ・レルム」をクリックします。
「レルム」表の「myrealm」をクリックします。
「ロールとポリシー」タブをクリックします。
「ロール」表の「グローバル・ロール」エントリを開きます。これにより、ロールのエントリが表示されます。
「グローバル・ロール」エントリの下の「ロール」をクリックします。
「グローバル・ロール」表の「管理」ロールをクリックします。
「ロール条件」の下にある「条件の追加」をクリックします。
述語リストで「グループ」を選択して、「次へ」をクリックします。
「グループ引数名」フィールドに、新しいグループの名前を入力します。
「追加」をクリックします。
「終了」をクリックします。
これで「ロール条件」に新しい管理者グループがエントリとして表示されます。
「保存」をクリックしてから管理サーバーおよび管理対象サーバーを再起動します。
構成の後では、一部のOracle Mobile Security Suite操作に関するヘルプ・デスク管理権限を提供するデフォルト管理者ロールとして、Oracle Mobile Security Suiteヘルプデスク・ロールOMSS_IDSTORE_ROLE_SECURITY_HELPDESK
が構成されています。ヘルプ・デスク・ロールはディレクトリ・グループに関連付けられており、管理者権限は制限されています。このグループは手動で作成する必要があります。
ヘルプ・デスク権限をLDAPグループに割り当てるには、次の手順を実行します。
LDAPディレクトリにグループを作成するか、すでに作成した既存のグループを使用します。
Oracle Access Manager管理者ユーザーIDSTORE_OAMADMINUSER
としてポリシー・マネージャ・コンソールにログインします。
http://oam_policy_mgr_host:oam_policy_mgr_port/access
Oracle Access Managerヘルプ・デスク管理者権限をグループに付与します。
右上隅の「構成」タブをクリックします。
「構成」起動パッドで「管理」をクリックします。
「管理」ページで、「付与」をクリックします。
「名前」フィールドにグループの名前を入力し、「検索」をクリックします。
検索結果でグループの名前を選択します。
「ロール」で「ヘルプ・デスク管理者」を選択します。
「選択済の追加」をクリックします。
第10.8項「Oracleモバイル・セキュリティ・マネージャの構成」の説明に従ってOracleモバイル・セキュリティ・マネージャの構成がすでに完了している場合、この新しいグループも自動的にOracle Mobile Security Suiteヘルプ・デスク管理者グループとして追加されます。
ただし、Oracleモバイル・セキュリティ・マネージャがまだ構成されていない場合は、このグループを手動でOracle Mobile Security Suiteヘルプ・デスク・グループに割り当てる必要があります。これを行うには、次の手順を実行します:
「構成」タブの「構成」起動パッドにナビゲートします。
「設定」の下で「表示」をクリックし、「モバイル・セキュリティ・マネージャ設定」を選択します。
「モバイル・セキュリティ・マネージャ設定」ページでアイデンティティ・ストア設定を選択します。
ヘルプ・デスク・グループの下で「追加」をクリックします。
「グループ名」フィールドに、Oracle Mobile Security Suiteヘルプ・デスク管理者グループとして追加するLDAPグループの名前を入力します。
「適用」をクリックします。
Oracleモバイル・セキュリティ・マネージャとOracle Access Managerをインストールして構成した後、Oracle Mobile Security Access Serverコンポーネントをインストールして構成する必要があります。このドキュメントには、Mobile Security Access Serverのインストールに関する情報は記載されていません。Mobile Security Access Serverをインストールするには、Oracle Fusion Middleware Oracle Mobile Security Access Serverのインストールの指示に従ってください。
Oracle Mobile Security Suiteのインストールが完了したら、次のリンクを参照してOracle Mobile Security Suiteコンポーネントの使用を開始してください。
Oracle Mobile Security Suiteの管理
モバイル・セキュリティ・アクセス・サーバーの管理