Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
Oracle Access Managementには、Access Managerのポリシー・データ、パスワード管理データおよびAccess Managerセッションを本番環境で保存するデータベースが必要です。最大でも、デプロイメントに含まれるのは、1つのポリシー・ストア・データベース(パスワード管理の役割を果たす)と、1つのセッション・ストアです。デフォルトでは、単一のJDBCデータ・ストアが両方に使用されます。
この項には次のトピックが含まれます:
本番環境では、OracleデータベースにAccess Managerのポリシー・データ、パスワード管理データおよびセッションが格納されます。
デフォルトでは、ポリシー・ストア・データベースに次のデータが格納されます。
認証モジュール、スキーム、アプリケーション・ドメインおよびポリシーを含むポリシー・データ。
構成済のユーザー・アイデンティティ・ストアごとのパスワード・ポリシー・タイプ、およびパスワードの要件、失効、通知を制御するポリシーを含んだパスワード管理データ。
分散されたメモリー内のストレージに対する永続的なバックアップとしてのセッション・データ。
ノート:
本番環境での監査データ・ストレージの推奨モードは、スタンドアロンの監査データ専用RDBMSデータベースに監査レコードを書き込むことです。これは、個別に構成された監査ストアを使用して行います。ポリシー・ストアは監査データには使用されません。
Oracleには、本番環境のポリシー・ストアとして1つのデータベースが必要です。この単一のデータベースは、セッション・データを保存するためにも使用できます。
データベースをセッション・ストアとして使用すると、スケーラビリティおよびフォールトトレランス性が増します(すべてのサーバーをダウンさせる電源イベントに対して)。
ノート:
データベースは最大2つまで、1つのポリシー・データベースと1つのセッション・データベースを使用できます。Access Managerは、実際のバックエンド・リポジトリには非依存であり、このポリシー・ストアの構成を直接的に管理することはありません。
ポリシー・データベースは、ベンダーの指示に従ってインストールする必要があります。ポリシー・データベースはOracle WebLogic Serverドメインで使用するように構成します。この構成には、Oracle Fusion Middleware構成ウィザードと、ポリシー・ストアのデータベース構成テンプレートを使用します。
WebLogic構成ウィザードを使用した初回のデプロイメント中に、次のデータベース詳細が要求されます。
データベース・ログインIDとパスワード
データベース・サービス名と場所
管理者は、RCUを使用するAccess Manager固有のスキーマでデータベースを拡張する必要があります(Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドを参照してください)。基本的なスキーマの作成は、RCUが起動されたときに発生します。RCUは、データベースがAccess Managerポリシー、パスワード管理およびセッション・データを受け入れるように準備します。
WebLogic構成ウィザードを使用すると、データベースへの接続を登録およびテストできます。
実際のAccess Managerポリシー要素は、Oracle Access Managementコンソールがデプロイされて初めてWebLogic AdminServerが起動されたときに作成されます。
関連項目:
Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド
Access ManagerにはoamDS
というデータ・ソースが含まれており、これはAccess Managerスキーマで拡張されたデータベース・インスタンスに対して構成されます。
あらかじめ定義された次のJava Naming and Directory Interface (JNDI)名が、データ・ソースを参照するためにOAMサーバーにより使用されます。
jdbc/oamds (used by both the policy layer and session layer to access database)
次の手順を使用して、WebLogic管理コンソールを使用して個別のセッション・データのデータベース・インスタンスを作成できます。Oracle Access Managementコンソールでは、このアクションはサポートされていません。
ノート:
このまれなケースについては、ステップ2fの説明に従ってoam-config.xmlを慎重に編集することをお薦めします。
セッション・データのデータベースをインストールおよび構成して、RCUをAccess Manager固有のスキーマとともに使用し、セッション・データ・ストアとしてデータベースを設定します。
セッション・データに新しいデータ・ソース・インスタンスを作成します。
WebLogic管理コンソールからは、「ドメイン構造」パネルでドメイン名、「サービス」ノードを展開します。
JDBC、データ・ソースを展開します。
JNDI名jdbc/oamsession
というデータ・ソースを作成します。
変更を保存します。
次のステップでのデータ損失を防ぐために、OAMサーバーとAdminServerを停止します。
oam-config.xmlで、DataSourceName
属性の値を編集して、ステップ1で構成したものにします。次に例を示します。
domain-home/config/fmwconfig/oam-config.xml
変更前:
<Setting Name="SmeDb" Type="htf:map">
<Setting Name="URL" Type="xsd:string">jdbc:oracle:thin://amdb.example.
com:2001/AM</Setting>
<Setting Name="Principal" Type="xsd:string">amuser</Setting>
<Setting Name="Password" Type="xsd:string">password</Setting>
<Setting Name="DataSourceName" Type="xsd:string">jdbc/oamds</Setting>
</Setting>
変更後:
<Setting Name="SmeDb" Type="htf:map">
<Setting Name="URL" Type="xsd:string">jdbc:oracle:thin://amdb.example.
com:2001/AM</Setting>
<Setting Name="Principal" Type="xsd:string">amuser</Setting>
<Setting Name="Password" Type="xsd:string">password</Setting>
<Setting Name="DataSourceName" Type="xsd:string">jdbc/oamsession</Setting>
</Setting>
AdminServerとOAMサーバーを再起動します。