| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.3.0) E67361-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Identity Management Suite統合ガイド 11g リリース2 (11.1.2.3.0) E67361-04 |
|
前 |
次 |
IdM構成ツール(idmConfigTool)は、Oracle identity management (IdM)コンポーネントのインストール、構成および統合を支援するいくつかのタスクを実行します。この付録では、ツールの使用方法について説明します。
|
注意:
|
この付録では、次の内容を説明します。
この項の内容は次のとおりです。
idmConfigToolは次の11gコンポーネントをサポートしています。
Oracle Internet Directory
Oracle Virtual Directory
Oracle Access Management Access Manager
Oracle Identity Manager
Oracle Unified Directory (OUD)
Oracle Access Management Mobile and Social
次の場合にidmConfigToolを使用します。
Oracle Identity ManagerおよびOracle Access Management Access Managerをインストールする前
Oracle Identity ManagerおよびOracle Access Management Access Managerをインストールした後
Oracle Access Management Mobile and Socialをインストールした後
IdMコンポーネント(Oracle Internet Directory、Oracle Unified Directory、Oracle Virtual Directory、Oracle Identity ManagerおよびOracle Access Manager)の構成をダンプするとき
Oracle Internet Directory、Oracle Virtual Directory、Oracle Identity ManagerおよびOracle Access Managerの構成パラメータを検証するとき
第D.1.3項では、各状況においてこのツールによって実行されるタスクについて説明します。
idmConfigToolは、次のタスクを効率的に実行するために役立ちます。
Identity Managementコンポーネント(Oracle Internet Directory (OID)、Oracle Virtual Directory (OVD)、Oracle Unified Directory (OUD)、Oracle Access Management Access Manager (OAM)およびOracle Identity Manager (OIM))を表す構成プロパティの検証。
OAM、OIMおよびOracle Access Management Mobile and Socialなど、他のIdentity Managementコンポーネントをインストールするためのアイデンティティ・ストア・コンポーネント(OID、OVDおよびOUD)の事前構成。
OAM、OIMコンポーネントの事後構成と、そのコンポーネントのワイヤリング。
Identity Managementコンポーネント(OID、OVD、OUD、OAMおよびOIM)の構成の抽出。
idmConfigToolは次の場所にあります。
IAM_ORACLE_HOME/idmtools/bin
IAM_ORACLE_HOMEはOIMおよびOAMがインストールされているディレクトリです。
idmConfigToolをLinuxで実行する場合
cd <IAM_ORACLE_HOME>/idmtools/bin ./idmConfigTool.sh
idmConfigToolをWindowsで実行する場合
cd <IAM_ORACLE_HOME>\idmtools\bin idmConfigTool.cmd
idmConfigToolでは、デフォルトでOAM 11g Webゲートがサポートされています。10g Webゲートもサポートされています。
このツールでは、Weblogicドメインに関して次の2つのタイプのシナリオがサポートされています。
Access ManagerサーバーとOracle Identity Managerサーバーの両方が同じWeblogicドメイン内に構成されているシングル・ドメイン構成
Access ManagerサーバーとOracle Identity Managerサーバーが別々のWeblogicドメイン内に構成されているデュアルまたはクロス・ドメイン構成
IdM構成ツールを実行する前に、環境を構成する必要があります。
次の変数を設定します。
表D-1 IdM構成ツール(idmConfigTool)の環境変数
| 変数 | 説明 |
|---|---|
|
|
これはインストールのMiddlewareホームのフルパスです。Oracle WebLogic Serverをシステム上にインストールした際に作成されたOracleミドルウェア・ホームへのパスを入力します。 たとえば、
|
|
|
必須ではありません。デフォルトで 例については、 |
|
|
これはJDKディレクトリのフルパスです。 IBM WebSphereで実行する場合は、この変数はIBM JDKを指す必要があります。この値をJDKのフルパスに設定します。次に例を示します。
重要: IBM WebSphereでは、IBM JDK以外のJDKを使用しないでください。 |
|
|
|
|
|
Oracleホームのフルパスに設定します。IdMの統合の場合は、 |
|
|
IBM WebSphereでは必須。 |
|
|
IBM WebSphereでは必須。WebSphereアプリケーション・サーバー・ホーム・ディレクトリのフルパスに値を設定します。次に例を示します。
|
|
|
IBM WebSphereでは必須。デプロイメント・マネージャ・プロファイルのホーム・ディレクトリを指定します。デプロイメント・マネージャにより、その管理対象のアプリケーション・サーバーのセルにアプリケーションがデプロイされます。プロファイルとは、実行時の環境を定義するもので、ランタイム環境でサーバーが処理する、すべての構成可能なファイルを含みます。 絶対パスを設定します。例:
|
この項の内容は次のとおりです。
ツールがLinuxで使用する構文は次のとおりです。
idmConfigTool.sh -command
input_file=filename log_file=logfileName log_level=log_level
ツールがWindowsで使用する構文は次のとおりです。
idmConfigTool.bat -command
input_file=filename log_file=logfileName log_level=log_level
commandの値は次のとおりです。
| コマンド | コンポーネント名 | 説明 |
|---|---|---|
preConfigIDStore |
アイデンティティ・ストア | グループを作成し、ACIを様々なコンテナに設定することで、アイデンティティ・ストアおよびポリシー・ストアを構成します。 |
prepareIDStore mode= OAM OIM WLS FUSION OAAM APM all |
アイデンティティ・ストア | 必要なユーザーを追加し、ユーザーをグループに関連付けることで、アイデンティティ・ストアを構成します。モードによって、特定のコンポーネントに対する構成が可能になります。
このコマンドは、Oracle WebLogic Server (mode=WLS)または、IBM WebSphere (mode=WAS)で実行できます。 |
configPolicyStore |
ポリシー・ストア | 読取り/書込みユーザーを作成することでポリシー・ストアを構成し、グループに関連付けます。 |
configOAM |
Oracle Access Manager
Oracle Identity Manager |
Oracle Identity Managerと統合できるようにAccess Managerを準備します。 |
configOIM |
Oracle Access Manager
Oracle Identity Manager |
Access ManagerとOracle Identity Managerの間の接続を設定します。 |
configOMSS |
Oracle Access Management Mobile and Social |
Oracle Access Management Mobile and Socialのインストール後構成を実行します |
configOVD |
Oracle Virtual Directory |
OVDアダプタを作成します。 |
disableOVDAccessConfig |
Oracle Virtual Directory |
OVDサーバーへの匿名アクセスを無効化します。アップグレード後のコマンド。注意: このタスクは、configOVDの実行時に自動的に実行されます。 |
postProvConfig |
アイデンティティ・ストア | アイデンティティ・ストアのプロビジョニング後の構成を実行します。 |
validate IDSTORE POLICYSTORE OAM11g OAM10g OIM |
各種 | 指定したエンティティの一連の入力プロパティを検証します。 |
ovdConfigUpgrade |
Oracle Virtual Directory |
分割プロファイルでアップグレード済OVDの構成を更新します。 |
upgradeLDAPUsersForSSO |
Oracle Identity Manager
Access Manager |
Oracle Identity Manager-Access Managerの統合に必要な特定のオブジェクト・クラスを追加することによって、OID内の既存のユーザーを更新します。 |
upgradeOIMTo11gWebgate |
Oracle Identity Manager
Access Manager |
Webゲート11gを使用するために、統合されたOracle Identity Manager-Access Managerからなる既存の構成を、Webゲート10gを使用してアップグレードします。 |
アイデンティティ・ストアまたはポリシー・ストアを構成するときは、管理権限を持つユーザーとしてこのツールを実行する必要があります。
validateコマンドにはコンポーネント名が必要です。
|
注意: コマンドを分離して実行することはできません。コマンドは明示的な統合手順のコンテキストで実行します。この付録はコマンド・リファレンスとしてのみ使用してください。 |
idmConfigToolは、実行時に特定のファイルを作成または更新します。
パラメータ・ファイル
idmConfigToolを実行すると、ツールの実行元のディレクトリ内でidmDomainConfig.paramファイルがこのツールによって作成されるか、追加されます。このツールを実行するたびに必ず同じファイルに情報が追加されるようにするには、常に次のディレクトリでidmConfigToolを実行します。
IAM_ORACLE_HOME/idmtools/bin
ログ・ファイル
ログ・ファイルは、idmConfigToolのlog_file属性を使用して指定できます。
ログ・ファイルを明示的に指定しない場合、automation.logというファイルが、ツールを実行したディレクトリに作成されます。
ログ・ファイルを確認して、エラーや警告を修正します。
この項では、idmConfigToolファイルとともに使用できるプロパティ・ファイルについて説明します。
プロパティ・ファイルは、コマンド・プロパティを指定するための便利な方法であり、これによって参照したり、後で使用するためにプロパティを保存できます。実行プロパティが含まれているプロパティ・ファイルを、入力コマンド・オプションとして指定できます。プロパティ・ファイルは、単純なテキスト・ファイルであり、コマンドを実行するときには使用可能にしておく必要があります。
セキュリティ上の理由からプロパティ・ファイルにはパスワードを挿入しないことをお薦めします。実行時に関連するパスワードの入力を要求されます。
表D-2は、idmConfigToolコマンドの統合コマンド・オプションによって使用されるプロパティを示しています。プロパティは、アルファベット順に示されています。
|
警告: セキュリティ上の理由からプロパティ・ファイルにはパスワード値を挿入しないでください。idmConfigToolでは実行時にパスワードが要求されます。 |
表D-2 IdMConfigtoolプロパティ・ファイルで使用されるプロパティ
| パラメータ | 値の例 | 説明 |
|---|---|---|
|
|
|
Oracle Identity Managerが通信する必要があるAccess Managerアクセス・ゲートID。 |
|
|
|
Access Managerアクセス・サーバーのホスト名 |
|
|
|
Access Manager NAPポート。 |
|
|
/scratch/silent_omsm/keystores/APNS.p12 |
Appleサーバーへの安全な接続を確立して通知を送信するために使用されるApple Push Notification Service (APNS)キーストア・ファイル。 |
|
|
APNSのキーストア・パスワード。 |
|
|
|
|
AppleのルートCAファイルの場所。iOSデバイスをOracle Mobile Security Suite (OMSS)に登録するときに必要です。 |
|
|
|
Oracle Platform Security Services (OPSS)で必要とされるURI。デフォルト値は |
|
|
|
Oracle Identity Managerアプリケーションが常駐するWebドメイン。ドメインは、 |
|
|
-1 |
Cookieの有効期限。セッションが閉じたときにCookieも失効することを示すため、-1に設定します。 |
|
|
JDCB_URLと併用して使用される、データベース・パスワード。 |
|
|
|
|
Oracle Identity Managerドメイン(および、該当する場合はOMSM)の場所。 |
|
|
|
Oracle Identity Managerドメイン名。 |
|
|
admin@example.com |
電子メール管理ユーザー。電子メール・アドレスにしてください。 |
|
|
電子メール管理ユーザーのパスワード |
|
|
|
example.com |
Exchangeサーバーのドメイン名。 |
|
|
http://testuri.com |
ExchangeサーバーのURL。 |
|
|
http://testuri.com |
ExchangeリスナーのURL。 |
|
|
2.0 |
Exchangeサーバーのバージョン。 |
|
|
serviceuser |
Exchangeサーバーの管理ユーザー。 |
|
|
Exchangeサーバーの管理ユーザーのパスワード。 |
|
|
|
AIzaSyCh_JALj5Y |
GCM通知のAPIキー。 |
|
|
6.10046E+11 |
GCM通知の送信者ID。 |
|
|
|
Oracle Unified Directory (OUD)アイデンティティ・ストアの管理ポート。
|
|
|
|
LDAPアイデンティティ・ストア・ディレクトリのホスト名(IDSTORE_DIRECTORYTYPEに対応)。 アイデンティティ・ストアがOracle Unified DirectoryまたはOracle Unified Directoryにある場合、 |
|
|
|
LDAPアイデンティティ・ストアのポート番号(IDSTORE_DIRECTORYTYPEに対応)。 |
|
|
cn=orcladmin |
アイデンティティ・ストア・ディレクトリ内の管理ユーザー。 |
|
|
cn |
アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。 ユーザーDNの要素に設定します。たとえば、ユーザーDNが |
|
|
uidまたは |
ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。これはユーザーがログインに使用する属性です。 |
|
|
cn=Users,dc=us,dc=example,dc=com |
ユーザーが保存されるディレクトリ内の場所。このプロパティは、ユーザーを検索するディレクトリを示します。 |
|
|
dc=us,dc=example,dc=com |
アイデンティティ・ストアに含まれているユーザーおよびグループの検索ベース。
次に例を示します。 IDSTORE_SEARCHBASE: cn=oracleAccounts, dc=example,dc=com IDSTORE_USERSEARCHBASE: cn=Users,cn=oracleAccounts,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,cn=oracleAccounts,dc=example,dc=com |
|
|
cn=Groups,dc=us,dc=example,dc=com |
グループ(またはロール)が保存されているディレクトリの場所。このプロパティは、グループまたはロールを検索するディレクトリを示します。 |
|
|
oamLDAP |
Access Managerアイデンティティ・ストア接続の確立に使用されるユーザー名。このユーザーは |
|
|
oamadmin |
Access Managerのために作成するアイデンティティ・ストア管理者。アイデンティティ・ストアがシステム・アイデンティティ・ストアとして設定されている場合にのみ必要です。管理者は |
|
|
oaamadmin |
Oracle Adaptive Access Managerのアイデンティティ・ストア管理者。 |
|
|
idsprofile |
アイデンティティ・ストア・プロファイルの名前。 |
|
|
cn=system, dc=test |
システム・オペレーション・ユーザーを、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーと分離して格納するディレクトリ内のコンテナの場所。システム処理ユーザーは限られています。その一例としてOracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Managerリコンシリエーション・ユーザーがあげられます。 |
|
|
アイデンティティ・ストアに対する読取り専用権限を持つユーザー。 |
|
|
|
アイデンティティ・ストアに対する読取り/書込み権限を持つユーザー。 |
|
|
|
アイデンティティ・ストア内のOracle Fusion Applicationsスーパーユーザー。 |
|
|
|
xelsysadmシステム・アカウントの管理者。 |
|
|
|
Oracle Identity Managerのアイデンティティ・ストア管理者。アイデンティティ・ストアに接続するために、Oracle Identity Managerにより使用されるユーザー |
|
|
|
Oracle Identity Manager管理ユーザーを保持するために作成するOracle Identity Manager管理者グループ。 |
|
|
|
アイデンティティ・ストアへのSSLが有効化されているかどうか。 有効な値: true | false |
|
|
|
|
アイデンティティ・ストア資格証明が含まれているキーストア・ファイルの場所。 Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。 |
|
|
4VYGtJLG61V5OjDWKe94e601x7tgLFs |
アイデンティティ・ストア・ディレクトリ管理者のパスワード。プレーンテキストではありません。 Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。 この値は、ファイル |
|
|
アイデンティティ・ストアの検証に使用されます。 Oracle Fusion Applications環境で使用されます。 |
|
|
|
|
オーセンティケータを作成する必要のあるアイデンティティ・ストアのディレクトリ・タイプ。 非OIDディレクトリ、Oracle Internet DirectoryまたはOracle Unified Directoryのいずれかに接続するためにOracle Virtual Directoryサーバーを使用中の場合は、 Oracle Internet Directory内にアイデンティティ・ストアがあり、Oracle Virtual Directoryを介さず直接これにアクセスしている場合は、 Oracle Unified Directory内にアイデンティティ・ストアがあり、Oracle Virtual Directoryを介さず直接これにアクセスしている場合は、OUDに設定します。 有効な値: OID、OVD、OUD、AD |
|
|
cn=systemids,dc=example,dc=com |
アイデンティティ・ストア・ディレクトリの管理者。IDSTORE_OAMSOFTWAREUSERに対して指定された同じユーザーの完全なLDAP DNを指定します。ユーザー名のみでは不十分です。 |
|
|
weblogic_idm |
Oracle WebLogic Serverのアイデンティティ・ストア管理者。通常は |
|
|
Oracle WebLogic Serverのアイデンティティ・ストア管理者のパスワード。 |
|
|
|
|
Oracle WebLogic Serverのアイデンティティ・ストア管理者グループ。 |
|
|
wasadminユーザー(IBM WebSphere)。 |
|
|
|
jdbc:oracle:thin:@example.com:5521:msmdb |
APNS/GCMデータをシードするために使用されるJDBC URL。 |
|
|
. |
LDAPサーバーのホスト名 |
|
|
LDAPサーバーのポート番号。 |
|
|
|
. |
LDAPサーバーのバインドDN |
|
|
LDAPサーバーへの接続でSSLを使用するかどうかを示します。 有効な値はTrueまたはFalseです |
|
|
|
LDAPサーバーのベースDN。 |
|
|
|
LDAPサーバーのOVDベースDN。 |
|
|
|
LDAPサーバーのディレクトリ・タイプ。nは1、2などです。単一ノード構成の場合は、LDAP1を指定します。 |
|
|
|
/${app.context}/adfAuthentication |
OPSSによって必要とされるURI。デフォルト値は/${app.context}/adfAuthentication |
|
|
/oamsso/logout.html |
OPSSによって必要とされるURI。デフォルト値は/oamsso/logout.html |
|
|
jdbc:oracle:thin:@DBHOST:1521:SID |
MDSデータベースのURL。 単一インスタンス・データベースを表します。 |
|
|
edg_mds |
MDSスキーマ・ユーザーのユーザー名。Oracle Identity Managerが使用しているMDSスキーマ。 |
|
|
DEV87_OMSM |
Mobile Security Manager (MSM)データベース・スキーマのユーザー名。 |
|
|
2048 |
MSMサーバー用の自己署名付きCAおよび生成されたキーのキーの長さ。デフォルトは2048です。 |
|
|
omsm_server1 |
MSMサーバーの名前。これは、MSMサーバーの名前がドメインの構成時に別の名前に変更された場合にのみ指定します。 |
|
|
server1.example.com |
MSASサーバーのホスト名。 |
|
|
11001 |
MSASサーバーのSSLポート。 |
|
|
10g |
Oracle Access Manager 10gを使用している場合は Oracle Identity Manager-Access Manager統合において、Access Managerサーバーで11g Webゲートがサポートされていない場合は必須です。そのような場合は、値として10gを指定します。 有効な値は10g、11gです。 |
|
|
|
構成中のAccess Managerエージェントの転送モード。アクセス・マネージャ・サーバーが簡易モードを使用してリクエストを受け入れるように構成されている場合は、OAM_TRANSFER_MODEをSIMPLEに設定します。 有効な値はOPEN、SIMPLEまたはCERTです。 |
|
|
|
Access Manager 11gサーバーが機能するセキュリティ・モデル。 有効な値はOPENまたはSIMPLEです。 |
|
|
false |
認証専用モードまたは標準モード(認証と認可をサポート)としてAccess Manager 11gを構成します。デフォルト値は
この値を |
|
|
|
アイデンティティ・ストアのロール・セキュリティを管理するため、Oracle Access Management管理コンソールへのアクセスを可能にするために使用するグループの名前。 |
|
|
false |
Oracle Identity Managerと統合するのか、スタンドアロン・モードでAccess Managerを構成するのかを指定します。統合する場合、 有効な値: true(統合) | false |
|
|
sso.example.com |
Access ManagerサーバーのフロントエンドであるOracle HTTP (OHS)サーバーに対するロード・バランサのホスト名。この値と次の2つのパラメータを使用してログインURLを構成します。 |
|
|
443 |
Access ManagerサーバーのフロントエンドであるOHSサーバーに対するロード・バランサのポート番号。 |
|
|
https |
Access ManagerサーバーのフロントエンドであるOHSサーバーに対するロード・バランサのプロトコル。 有効な値: HTTP、HTTPS |
|
|
uid |
ログインが試みられたときに、アイデンティティ・ストアのこの属性に対してユーザー名が検証されます。 |
|
|
Access Managerサーバーにおけるセッションのグローバル・セッション・タイムアウト。 |
|
|
|
Access Managerサーバーにおけるセッションのグローバル・セッション有効期間。 |
|
|
|
Access Managerサーバーにおける1ユーザー当たりのグローバル最大セッション数。 |
|
|
|
アイデンティティ・ストア名。このツールでアイデンティティ・ストアを新規に作成せず、すでに運用中のアイデンティティ・ストアを再利用する場合は、このパラメータの値をそのアイデンティティ・ストアの名前に設定します。 デフォルト値は、OAMIDStoreです。 |
|
|
|
Access Managerサーバーにおける偽装を有効化または無効化します。 Oracle Fusion Applications環境に適用可能です。 有効な値: true(有効化) | false デフォルトはfalseです。偽装を使用している場合、この値をtrueに手動で設定する必要があります。 |
|
|
|
sso.example.com |
高可用性構成でOHSの前にあるロード・バランサのホスト名。 |
|
|
443 |
OAM11G_IDM_DOMAIN_OHS_HOSTとして指定されているロード・バランサがリスニングするポート番号。 |
|
|
https |
IDM OHSのプロトコル。ロード・バランサにリクエストを送るときに使用するプロトコル。 有効な値: HTTP | HTTPS |
|
|
https://sso.example.com:443/test |
OIMサーバーの前面に配置するロード・バランサまたはOHSのURL。 |
|
|
true |
10g Webゲートの保護されたフラグでの拒否。 有効な値: true | false |
|
|
simple |
IDMドメイン・エージェントの転送モード。 有効な値: OPEN | SIMPLE | CERT |
|
|
/console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp |
Access ManagerログアウトURLのカンマ区切りリスト。 |
|
|
myhost.example.com |
WebLogic Serverの場合: Access Managerドメイン管理サーバーのホスト名。 IBM WebSphereの場合: Access Managerアプリケーション・サーバーのホスト。 |
|
|
7001 |
WebLogic Serverの場合: Access Managerドメイン管理サーバーが実行されているポート。 IBM WebSphereの場合: Access Managerセル用のデプロイメント・マネージャのブートストラップ・ポート。 |
|
|
wlsadmin, wasadmin |
WebLogic Serverの場合: Access Managerドメイン管理者のユーザー名。 IBM WebSphereの場合: Access Managerセルに対するプライマリ管理ユーザー名。 |
|
|
1443 |
IBM WebSphereにおける、OAMノードのOracleAdminServerデフォルト・ポート番号 |
|
|
oam_policy_mgr1 |
Access Managerポリシー・マネージャ・サーバーの名前。これは、ポリシー・マネージャ・サーバーの名前がドメインの構成時に別の名前に変更された場合にのみ指定します。 |
|
|
Oracle Identity Managerデータベースの接続に必要なURL。 |
|
|
|
Oracle Identity Managerデータベースのスキーマのユーザー。 |
|
|
|
host123.example.com |
Oracle Identity ManagerのフロントエンドであるLBRサーバーのホスト名。 |
|
|
7011 |
Oracle Identity ManagerのフロントエンドであるLBRサーバーのポート番号。 |
|
|
|
Oracle Identity Manager管理対象サーバーの名前。クラスタの場合、管理対象サーバーを指定できます。 |
|
|
Oracle Identity Manager管理対象サーバーのホスト名。 |
|
|
|
Oracle Identity Manager管理対象サーバーのポート番号。 |
|
|
|
https://msm.example.com:1234/ |
Oracleモバイル・セキュリティ・マネージャ・サーバーのURL。MSM URLがOracle Identity Managerにシードされる必要があり、システム・プロパティのOMSS Enabledが設定される場合のみ必須です。OIM_MSM_REST_SERVER_URLはOracle Identity Managerコンソールでモバイル・セキュリティ・マネージャのタスク・フローを有効にします。設定されない場合、モバイル・セキュリティ・マネージャを構成せずに、configOIMが構成を続行します。OMSS Enabledの前提条件はOracle Identity Managerサーバーが稼働中であることです。 |
|
|
Oracle Identity Manager T3サーバーのホスト名。 |
|
|
|
Oracle Identity Manager T3サーバーのポート番号。 |
|
|
|
IBM WebSphere上のOracle Identity Managerセル内の |
|
|
|
OMSMキーストアおよびキーの生成に使用されるパスワード |
|
|
|
MSMAdmin |
OMSM操作の管理権限を持つメンバーで構成される、管理グループの名前。 デフォルトは"IDM Administrators"です。 |
|
|
MSMHelpDeskUsers |
OMSM操作のヘルプデスク取得権限を持つメンバーで構成される、MSMヘルプデスク・グループの名前。 デフォルトは"MSMHelpdeskUsers"です。 |
|
|
OVDサーバーのホスト名 |
|
|
|
OVDサーバーのポート番号 |
|
|
|
OVDサーバーのバインドDN |
|
|
|
接続でSSLを使用するかどうかを示します。 有効な値はTrueまたはFalseです |
|
|
|
Oracle Access Managerが有効化されているかどうかを示します。 有効な値はTrueまたはFalseです |
|
|
|
true |
ポリシー・ストアおよびアイデンティティ・ストアがディレクトリを共有するかどうかを示します。リリース11gでは常に 有効な値: true、false |
|
|
mynode.us.example.com |
ポリシー・ストア・ディレクトリのホスト名。 |
|
|
1234 |
ポリシー・ストア・ディレクトリのポート番号。 |
|
|
cn=orcladmin |
ポリシー・ストア・ディレクトリの管理ユーザー。 |
|
|
dc=example,dc=com |
ユーザーおよびグループが保存されるディレクトリの場所。 |
|
|
cn=systemids, dc=example,dc=com |
ポリシー・ストアの読取り専用および読取り/書込みユーザーは、この場所に作成されます。 デフォルト値は、cn=systemids, |
|
|
|
ポリシー・ストア内の読取り権限を持つユーザー。 |
|
|
|
ポリシー・ストア内の読取りおよび書込み権限を持つユーザー。 |
|
|
|
OPSSポリシー情報に使用されるコンテナの名前。 |
|
|
ポリシー・ストアがSSL有効であるかどうか。 |
|
|
|
SSL有効ポリシー・ストアのキーストア・ファイルの場所。 |
|
|
|
www-proxy.example.com |
プロキシ・サーバーのホスト名。 |
|
|
80 |
プロキシ・サーバーのポート。 |
|
|
proxyuserA |
プロキシのユーザー。 |
|
|
プロキシ・ユーザーのパスワード。 |
|
|
|
OMSMは、登録フェーズでの外部SCEP認証のため、Simple Certificate Enrollment Protocol(SCEP)の動的チャレンジを使用しています。このユーザー・アカウントが認証に使用されます。 |
|
|
|
SCEP動的チャレンジ・ユーザーのパスワード |
|
|
|
true |
有効な値はtrue、falseです。 分割ドメイン・シナリオでOracle Access Management管理コンソールの二重認証を抑制する場合、trueに設定する必要があります。 |
|
|
false |
SSOが有効かどうかを判断するフラグ。 有効な値はtrue、falseです。 |
|
|
|
作成するWebゲート・エージェントのタイプ。次の値に設定します。
|
|
|
idmhost1.example.com:5575,idmhost2.example.com:5575 |
Access Managerサーバーおよびそれらのプロキシ・ポートのカンマ区切りリスト。 Access Managerサーバーで使用されるプロキシ・ポートを特定する手順は、次のとおりです。
|
|
|
exchangeurl.us.example.com |
電子メール・ホスト。 |
|
|
80 |
電子メール・ポート。 |
|
|
com.apple.mgmt.External.2544264e-aa8a-4654-bfff-9d897ed39a87 |
AppleのAPNS証明書で使用されるトピック。APNS通知の送信に使用されます。 この値はAPNSキーのUIDに一致する必要があります。 |
|
|
true |
プロキシを使用するかどうかを示します。有効な値はtrue、falseです。 |
|
|
|
WebLogic Serverのホスト名(管理サーバーのホスト名)。 |
|
|
7001 |
WebLogic Serverのポート番号 |
|
|
wlsadmin |
アプリケーション・サーバーのコンテキストに応じた、管理者ログイン。 |
|
|
WebLogic Server管理者のパスワード。 |
idmConfigToolでは実行の詳細がautomation.logというファイルに記録されます。このファイルは実行結果の検証に役立ちます。
ログ・ファイルには、初期化および情報メッセージが含まれます。
Feb 18, 2015 8:38:14 PM oracle.idm.automation.util.Util setLogger
WARNING: Logger initialized in warning mode
Feb 18, 2015 8:38:19 PM oracle.idm.automation.impl.oim.handlers.OIMPreIntegrationHandler <init>
INFO: Appserver type: null
Feb 18, 2015 8:38:20 PM oracle.idm.automation.impl.oim.handlers.OIMPreIntegrationHandler <init>
WARNING: Cannot connect to the OUD Admin connector
Feb 18, 2015 8:38:29 PM oracle.idm.automation.impl.oim.handlers.OIMPreIntegrationHandler createOIMAdminUser
INFO: OIM Admin User has been created
Feb 18, 2015 8:38:29 PM oracle.idm.automation.impl.oim.handlers.OIMPreIntegrationHandler addPwdResetPrivilegeToOIMAdminUser
INFO: Password reset privilege added
実行後のWARNINGメッセージを確認すると、実行における問題の可能性を認識することができます。
idmConfigToolでは実行のたびにログ・ファイルに追加されます。元のエラーの詳細はエラーの修正後もログに存在するため、ログにエラーが表示されて修正する場合、古いエントリの存在が誤解を招く可能性があります。
|
警告: 古いログ・エントリによる混乱を防ぐために、既存のログ・ファイルを頻繁にバックアップします。 |
この項では、各コマンド・オプションのプロパティを示します。内容は次のとおりです。
|
注意:
|
構文
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -preConfigIDStore input_file=input_properties
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -preConfigIDStore input_file=input_properties
次に例を示します。
idmConfigTool.sh -preConfigIDStore input_file=extendOAMPropertyFile
|
注意: -preConfigIDStoreコマンド・オプションは、Oracle Internet Directory、Oracle Unified DirectoryおよびOracle Virtual Directoryをサポートします。 |
プロパティ
表D-3は、このモードのプロパティを示しています。
表D-3 preConfigIDStoreのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
このプロパティは、OUD構成構造への接続とその構成に必要です。
|
|
|
使用する形式: ここで、OUD-instance-pathはディレクトリ・インスタンスへのパスです。 OUDアイデンティティ・ストアへの接続を確立するには、 |
|
|
OUDアイデンティティ・ストアへの接続を確立するには、 |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
Oracle Unified Directoryをアイデンティティ・ストアとして使用している場合、プロパティ表に示された追加プロパティを含めます。次に、サンプル・プロパティ・ファイルに追加プロパティが含まれます。
IDSTORE_DIRECTORYTYPE: OUD IDSTORE_ADMIN_PORT : 4444 IDSTORE_KEYSTORE_FILE : /u01/config/instances/oud1/OUD/config/admin-keystore IDSTORE_KEYSTORE_PASSWORD : K8BYCoOFHBwDYa1F6vUBgcGr1TK1Rz26W9Bz7OF0UwsZ5XLGOb
Oracle Unified Directoryに対するprepareIDStoreの使用
Oracle Unified Directoryに対してprepareIDStoreを使用する場合は、プロパティ・ファイルで指定されたインスタンス内にのみ、グローバルACIおよび索引が再作成されます。Oracle Unified Directoryによるレプリケートは行われません。レプリケーション・ドメインのその他すべてのOracle Unified Directoryのインスタンスについて、グローバルACIおよび索引を手動で再作成(削除後、作成)する必要があります。
詳細は、第D.5項を参照してください。
構文
prepareIDStoreコマンドは、指定されたコンポーネントのタスクを実行するために引数としてmodeを使用します。
idmConfigTool.sh -prepareIDStore mode=mode input_file=filename_with_Configproperties
モードは次のいずれかになります。
OAM
OIM
OAAM
WLS
FUSION
WAS
APM
all (前述のモードのすべてのタスクを結合して実行します)
|
注意: WLSモードは、OAMの前に実行する必要があります。 |
このモードでは次のものが作成されます。
Access Managerコンポーネントで必要なスキーマ拡張の実行
oblixスキーマの作成
OAMSoftwareユーザーの作成
OblixAnonymousユーザーの作成
Access Manager管理ユーザーの作成(オプション)
ユーザーと対応する個々のグループとの関連付け
グループorclFAOAMUserWritePrivilegeGroupの作成
構文
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OAM input_file=filename_with_Configproperties
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OAM input_file=filename_with_Configproperties
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=OAM input_file=preconfigOAMPropertyFile
プロパティ
表D-4は、このモードのプロパティを示しています。
表D-4 prepareIDStore mode=OAMプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリを使用している場合、Oracle Virtual Directoryホストを指定します。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
このプロパティは、OUD構成構造への接続とその構成に必要です。
|
|
|
使用する形式: ここで、OUD-instance-pathはディレクトリ・インスタンスへのパスです。 OUDアイデンティティ・ストアへの接続を確立するには、 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。このパラメータのセットによって、OAMADMINUSERおよびOAMSOFTWAREユーザーがアイデンティティ・ストアに作成されます。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators IDSTORE_OAMSOFTWAREUSER:oamLDAP IDSTORE_OAMADMINUSER:oamadmin IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
このモードでは次のものが作成されます。
SystemIDコンテナの下でのOracle Identity Manager管理ユーザーの作成
Oracle Identity Manager管理グループの作成
Oracle Identity Manager管理グループへのOracle Identity Manager管理ユーザーの追加
Oracle Identity Manager管理グループへのACIの追加
予約コンテナの作成
xelsysadminユーザーの作成
構文
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=OIM input_file=filename_with_Configproperties
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=OIM input_file=filename_with_Configproperties
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=OIM input_file=preconfigOIMPropertyFile
プロパティ
表D-5は、このモードのプロパティを示しています。
表D-5 prepareIDStore mode=OIMプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
このプロパティは、OUD構成構造への接続とその構成に必要です。
|
|
|
OUDアイデンティティ・ストアへの接続を確立するには、 |
|
|
|
|
|
IBM WebSphereでは必須。 |
|
|
IBM WebSphereでは必須。 |
|
|
IBM WebSphereでは必須。 |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE:cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_OIMADMINUSER: oimadmin IDSTORE_OIMADMINGROUP:OIMAdministrators OIM_DB_URL: jdbc:oracle:thin:@xyz5678.us.example.com:5522:wasdb1 OIM_DB_SCHEMA_USERNAME: dev_oim OIM_WAS_CELL_CONFIG_DIR: /wassh/WebSphere/AppServer/profiles/Dmgr04/config/cells/xyz5678Cell04/fmwconfig
このモードでは次の操作が行われます。
Oracle Adaptive Access Manager管理ユーザーの作成
Oracle Adaptive Access Managerグループの作成
Oracle Adaptive Access Manager管理ユーザーをOracle Adaptive Access Managerグループのメンバーとして追加
構文
idmConfigTool.sh -prepareIDStore mode=OAAM
input_file=filename_with_Configproperties
プロパティ
D-6は、このモードのプロパティを示しています。
表D-6 prepareIDStore mode=OAAMプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
このプロパティは、OUD構成構造への接続とその構成に必要です。
|
|
|
使用する形式: ここで、OUD-instance-pathはディレクトリ・インスタンスへのパスです。 OUDアイデンティティ・ストアへの接続を確立するには、 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE:cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_OAAMADMINUSER: oaamadmin POLICYSTORE_SHARES_IDSTORE: true
このモードでは次の操作が行われます。
Weblogic管理ユーザーの作成
Weblogic管理グループの作成
Weblogic管理グループのメンバーとしてのWeblogic管理ユーザーの追加
構文
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -prepareIDStore mode=WLS input_file=filename_with_Configproperties
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -prepareIDStore mode=WLS input_file=filename_with_Configproperties
次に例を示します。
idmConfigTool.sh -prepareIDStore mode=WLS input_file=preconfigWLSPropertyFile
プロパティ
表D-7は、このモードのプロパティを示しています。
表D-7 prepareIDStore mode=WLSプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリを使用している場合、Oracle Virtual Directoryホストを指定します(これはIDSTORE. |
|
|
|
|
|
|
|
|
|
|
|
YES |
|
|
|
|
|
|
|
|
|
|
|
このプロパティには、weblogic/xelsysadmなどのデフォルトの既定ユーザーを設定しないでください。 |
|
|
|
|
|
このプロパティは、OUD構成構造への接続とその構成に必要です。
|
|
|
使用する形式: ここで、OUD-instance-pathはOUDインスタンスへのパスです。 OUDアイデンティティ・ストアへの接続を確立するには、 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。このセットのプロパティで、IDM管理者グループが作成されます。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users, dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_WLSADMINUSER: weblogic_idm IDSTORE_WLSADMINGROUP: wlsadmingroup
このモードでは次の操作が行われます。
WebSphere管理ユーザーの作成
WebSphere管理グループの作成
WebSphere管理グループのメンバーとしてのWebSphere管理ユーザーの追加
構文
idmConfigTool.sh -prepareIDStore mode=WAS
input_file=filename_with_Configproperties
プロパティ
表D-8は、このモードのプロパティを示しています。
表D-8 prepareIDStore mode=WASプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
このプロパティは、OUD構成構造への接続とその構成に必要です。
|
|
|
使用する形式: ここで、OUD-instance-pathはOUDインスタンスへのパスです。 OUDアイデンティティ・ストアへの接続を確立するには、 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってIDM管理者グループが作成されます。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users, dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_WASADMINUSER: websphere_idm
このモードでは次の操作が行われます。
Oracle Privileged Account Manager管理ユーザーの作成
Oracle Privileged Account Manager管理ユーザーのOracle Privileged Account Manager Groupsのメンバーとしての追加
アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。
構文
idmConfigTool.sh -prepareIDStore mode=APM
input_file=filename_with_Configproperties
プロパティ
D-9は、このモードのプロパティを示しています。
表D-9 prepareIDStore mode=APMプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_SHARES_IDSTORE: true IDSTORE_APMUSER: opamadmin
このモードでは次の操作が行われます。
Readonlyユーザーの作成
ReadWriteユーザーの作成
スーパーユーザーの作成
グループorclFAGroupReadPrivilegeGroupおよびorclFAUserWritePrefsPrivilegeGroupへのreadOnlyユーザーの追加
グループorclFAUserWritePrivilegeGroupおよびorclFAGroupWritePrivilegeGroupへのreadWriteユーザーの追加
構文
idmConfigTool.sh -prepareIDStore mode=fusion
input_file=filename_with_Configproperties
プロパティ
表D-10は、このモードのプロパティを示しています。
表D-10 prepareIDStore mode=fusionプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
このプロパティは、OUD構成構造への接続とその構成に必要です。
|
|
|
使用する形式: ここで、OUD-instance-pathはOUDインスタンスへのパスです。 OUDアイデンティティ・ストアへの接続を確立するには、 |
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってIDSTORE_SUPERUSERが作成されます。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 4389 IDSTORE_ADMIN_PORT: 1111 IDSTORE_BINDDN: cn=directory manager IDSTORE_READONLYUSER: IDROUser IDSTORE_READWRITEUSER: IDRWUser IDSTORE_USERSEARCHBASE:cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycomapny,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=us,dc=example,dc=com IDSTORE_SUPERUSER: weblogic_fa POLICYSTORE_SHARES_IDSTORE: true IDSTORE_SSL_ENABLED: false
このモードでは、モードOAM、OIM、WLS、WAS、OAAMおよびFUSIONで実行されるすべてのタスクが実行されます。
構文
idmConfigTool.sh -prepareIDStore mode=all
input_file=filename_with_Configproperties
プロパティ
表D-11は、このモードのプロパティを示しています。
表D-11 prepareIDStore mode=allプロパティ
| パラメータ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
このプロパティは、OUD構成構造への接続とその構成に必要です。
|
|
|
使用する形式: ここで、OUD-instance-pathはOUDインスタンスへのパスです。 OUDアイデンティティ・ストアへの接続を確立するには、 |
|
|
|
|
|
|
|
|
|
|
|
IBM WebSphereでは必須 |
|
|
IBM WebSphereでは必須 |
|
|
IBM WebSphereでは必須 |
|
|
IBM WebSphereでは必須 |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: node01.example.com IDSTORE_PORT: 2345 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_READONLYUSER: IDROUser IDSTORE_READWRITEUSER: IDRWUser IDSTORE_SUPERUSER: weblogic_fa IDSTORE_OAMSOFTWAREUSER:oamSoftwareUser IDSTORE_OAMADMINUSER:oamAdminUser IDSTORE_OIMADMINUSER: oimadminuser POLICYSTORE_SHARES_IDSTORE: true OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators IDSTORE_OIMADMINGROUP: OIMAdministrators IDSTORE_WLSADMINUSER: weblogic_idm IDSTORE_WLSADMINGROUP: wlsadmingroup IDSTORE_OAAMADMINUSER: oaamAdminUser OIM_DB_URL: jdbc:oracle:thin:@xyz5678.us.example.com:5522:wasdb1 OIM_DB_SCHEMA_USERNAME: dev_oim OIM_WAS_CELL_CONFIG_DIR: /wassh/WebSphere/AppServer/profiles/Dmgr04/config/cells/xyz5678Cell04/fmwconfig IDSTORE_WASADMINUSER: websphere_idm
構文
idmConfigTool.sh -configPolicyStore input_file=input_properties
プロパティ
表D-12は、このコマンドのプロパティを示しています。
表D-12 ConfigPolicyStoreのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってポリシー・ストアに読取り専用ユーザーおよび読取り書込みユーザーが作成されます。
POLICYSTORE_HOST: mynode.us.example.com POLICYSTORE_PORT: 3060 POLICYSTORE_BINDDN: cn=orcladmin POLICYSTORE_READONLYUSER: PolicyROUser POLICYSTORE_READWRITEUSER: PolicyRWUser POLICYSTORE_SEARCHBASE: dc=example,dc=com POLICYSTORE_CONTAINER: cn=jpsroot
前提条件
このコマンドを実行する前に、Oracle Access Managerをホストするドメインの管理サーバーが実行中であることを確認してください。
configOIMの実行後にOIMドメインのすべてのサーバーを再起動します。
構文
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOAM input_file=input_properties
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOAM input_file=input_properties
次に例を示します。
idmConfigTool.sh -configOAM input_file=OAMconfigPropertyFile
プロパティ
表D-13は、このコマンドのプロパティを示しています。
表D-13 configOAMのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリ・サーバーを使用している場合、Oracle Virtual Directoryホストおよびポートを指定します。 |
|
|
|
|
|
|
|
|
Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリ・サーバーを使用する場合は、Oracle Virtual Directory管理ユーザーを指定します。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Access Managerは通信モードとして |
|
|
|
|
|
|
|
|
|
|
|
この値をfalseに設定すると、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でAccess Managerサーバーに対する認可リクエストが1つ以上発生します。Webゲートは、Access Managerサーバーからの応答に基づいて、リクエストされたリソースへのアクセスを許可または拒否できます。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
クロス・ドメインのデプロイメントに
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってAccess Manager内にWebゲートのエントリが作成されます。
WLSHOST: adminvhn.example.com WLSPORT: 7001 WLSADMIN: weblogic IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_LOGINATTRIBUTE: uid IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_OAMSOFTWAREUSER: oamLDAP IDSTORE_OAMADMINUSER: oamadmin PRIMARY_OAM_SERVERS: oamhost1.example.com:5575,oamhost2.example.com:5575 WEBGATE_TYPE: ohsWebgate11g ACCESS_GATE_ID: Webgate_IDM OAM11G_IDM_DOMAIN_OHS_HOST:sso.example.com OAM11G_IDM_DOMAIN_OHS_PORT:443 OAM11G_IDM_DOMAIN_OHS_PROTOCOL:https OAM11G_OAM_SERVER_TRANSFER_MODE:simple OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp OAM11G_WG_DENY_ON_NOT_PROTECTED: false OAM11G_SERVER_LOGIN_ATTRIBUTE: uid OAM_TRANSFER_MODE: simple COOKIE_DOMAIN: .example.com OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators OAM11G_SSO_ONLY_FLAG: false OAM11G_OIM_INTEGRATION_REQ: true or false OAM11G_IMPERSONATION_FLAG:true OAM11G_SERVER_LBR_HOST:sso.example.com OAM11G_SERVER_LBR_PORT:443 OAM11G_SERVER_LBR_PROTOCOL:https COOKIE_EXPIRY_INTERVAL: -1 OAM11G_OIM_OHS_URL:https://sso.example.com:443/ SPLIT_DOMAIN: true OAM11G_IDSTORE_NAME: OAMIDStore IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
使用上の注意
このコマンドを実行すると、このツールによって次のものの入力が要求されます。
接続先のアイデンティティ・ストア・アカウントのパスワード
Access Manager管理者パスワード
Access Managerソフトウェア・ユーザー・パスワード
IBM WebSphere環境では、次のようにします。
Oracle Access ManagerのWebSphereセルからidmconfigtoolを実行します。
プロパティ・ファイルで次を指定し、IBM WebSphereサーバーの詳細を設定します。
WLSHOST: WebSphere Application Serverのホスト
WLSPORT: WebSphere Application Serverのブートストラップ・ポート
WLSADMIN: Oracle Access Manager管理コンソールのログインID
11g リリース2 (11.1.2)の時点では、configOIMはデフォルトで11g Webゲートをサポートしています。詳細は、WEBGATE_TYPEオプションを参照してください。
表に示すように、Oracle Identity ManagerとAccess Managerが別々のWebLogicドメインに構成されている場合は、特定のプロパティが必要です。
前提条件
configOIMを実行する前に、次の操作が必要です。
configOAMが正常に実行されている必要があります
OAMをホストする管理サーバーを再起動する必要があります
OIMおよびOAMをホストする管理サーバーが実行されている必要があります
OIM_MSM_REST_SERVER_URLプロパティを使用中の場合、前述した操作に加えて、URLが資格証明msmLoginConfigにシードされ、システム・プロパティ'OMSS Enabled'がtrueに設定されていることを確認します。
構文
Linuxの場合、このコマンドの構文は次のとおりです。
idmConfigTool.sh -configOIM input_file=configfile
Windowsの場合、このコマンドの構文は次のとおりです。
idmConfigTool.bat -configOIM input_file=configfile
次に例を示します。
idmConfigTool.sh -configOIM input_file=OIMconfigPropertyFile
プロパティ
表D-14は、このコマンドのプロパティを示しています。
表D-14 configOIMのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
Oracle Platform Security Services (OPSS)で必要です。 |
|
|
OPSSで必要です。 |
|
|
OPSSで必要です。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Oracle Unified DirectoryまたはOracle Internet Directoryをアイデンティティ・ストアとして使用中の場合は、 |
|
|
Oracle Unified DirectoryまたはOracle Internet Directoryをアイデンティティ・ストアとして使用中の場合は、 |
|
|
|
|
|
非OIDディレクトリ、Oracle Internet DirectoryまたはOracle Unified Directoryのいずれかに接続するためにOracle Virtual Directoryサーバーを使用中の場合は、 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Oracle Identity Manager-Access Manager統合において、Access Managerサーバーで11g Webゲートがサポートされていない場合にのみ必須です。そのような場合は、値として10gを指定します。 |
|
|
Access ManagerサーバーとOracle Identity Managerサーバーが別々のWeblogicドメインに構成されている(クロスドメイン・セットアップ)場合に必須です。 |
|
|
Access ManagerサーバーとOracle Identity Managerサーバーが別々のWeblogicドメインに構成されている(クロスドメイン・セットアップ)場合に必須です。 |
|
|
Access ManagerサーバーとOracle Identity Managerサーバーが別々のWeblogicドメインに構成されている(クロスドメイン・セットアップ)場合に必須です。 |
|
|
OMSM-OIMで必須です。 |
|
|
IBM WebSphereでは必須。 |
|
|
IBM WebSphereでは必須で、OAMノードのOracleAdminServerデフォルト・ポート番号である必要があります。このポート番号を特定する手順:
|
|
|
|
|
注意: Access ManagerとOracle Identity Managerが別々のWebLogicドメイン上にある場合、OAM11G_WLS_ADMIN_HOST、OAM11G_WLS_ADMIN_PORTおよびOAM11G_WLS_ADMIN_USERを設定します。OAM11G_WLS_ADMIN_HOST、OAM11G_WLS_ADMIN_PORTおよびOAM11G_WLS_ADMIN_USERの各プロパティはAccess Managerに関連します。分割ドメインの統合トポロジについては、第1章を参照してください。 |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりで、SSOAccessKey、SSOKeystoreKey、SSOGlobalPPのキーが資格証明ストア・フレームワーク(CSF)にシードされます。
LOGINURI: /${app.context}/adfAuthentication
LOGOUTURI: /oamsso/logout.html
AUTOLOGINURI: None
ACCESS_SERVER_HOST: OAMHOST1.example.com
ACCESS_SERVER_PORT: 5575
ACCESS_GATE_ID: Webgate_IDM
COOKIE_DOMAIN: .example.com
COOKIE_EXPIRY_INTERVAL: -1
OAM_TRANSFER_MODE: simple
WEBGATE_TYPE: ohsWebgate11g
SSO_ENABLED_FLAG: true
IDSTORE_PORT: 389
IDSTORE_HOST: idstore.example.com
IDSTORE_DIRECTORYTYPE: OVD
IDSTORE_ADMIN_USER: cn=oamLDAP,cn=systemids,dc=example,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
MDS_DB_URL: jdbc:oracle:thin:DB Hostname:DB portno.:SID
MDS_DB_SCHEMA_USERNAME: edg_mds
WLSHOST: adminvhn.example.com
WLSPORT: 7001
WLSADMIN: weblogic
DOMAIN_NAME: IDMDomain
OIM_MANAGED_SERVER_NAME: WLS_OIM1
DOMAIN_LOCATION: ORACLE_BASE/admin/IDMDomain/aserver/IDMDomain
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_SEARCHBASE: dc=us,dc=example,dc=com
IDSTORE_WLSADMINUSER: weblogic_idm
OIM_WEB_SERVER_HOST: tx401alu.us.example.com
OIM_WEB_SERVER_PORT: 7777
OAM11G_WLS_ADMIN_HOST: abc1234.us.example.com
OAM11G_WLS_ADMIN_PORT: 9810
OAM11G_WLS_ADMIN_USER: wasadmin
OAM_ADMIN_WAS_DEFAULT_PORT: 7443
使用上の注意
Oracle Mobile Security Suite (MSM)をOIMと統合する際、次のエラーが表示される場合があります。
SEVERE: System property OMSS Enabled could not be changed null
この問題を回避するには、MSM URLをシードするためのプロパティ・ファイルでWLSPASSWDの値を指定します。
IBM WebSphere環境では、次のようにします。
Oracle Identity Manager (OIM)とAccess Manager (OAM)が、2つの異なるWebSphereセルに構成されている場合は、次のプロパティを指定する必要があります。
OAM11G_WLS_ADMIN_HOST (Websphereアプリケーション・サーバー上のOAMホスト)
OAM11G_WLS_ADMIN_PORT (OAMセルのWebsphereデプロイメント・マネージャのブートストラップ・ポート)
OAM11G_WLS_ADMIN_USER (OAMのWebsphereセルに対するプライマリ管理ユーザー名(例: wasadmin))
OIMとOAMが、同一のWebSphereセルの一部である場合は、前述のプロパティを指定する必要はありません。
configOIMコマンドの次のプロパティは、WebSphereに固有です。
IDSTORE_SEARCHBASE: アイデンティティ・ストアの検索ベース
OIM_WEB_SERVER_HOST: IBM HTTP Server (IHS)ホストまたはOracle HTTP Server (OHS)ホスト
OIM_WEB_SERVER_PORT - IBM HTTP Server (IHS)ポートまたはOHSポート。
OAM_ADMIN_WAS_DEFAULT_PORT - OAMノードのOracleAdminServerデフォルト・ポート番号。ポート番号を決定する手順:
WebSphereのOAM管理コンソールにナビゲートします。
「Servers」→「Server Types」→「WebSphere application servers」をクリックします
「OracleAdminServer」をクリックします
「Communications」の下の「Ports」を開きます。
「WC_defaulthost」ポートはOAMノードのOracleAdminServerデフォルト・ポート番号です。
構文
idmConfigTool.sh -configOMSS input_file=input_file_with_path
スクリプトを実行するためのログが必要な場合は、コマンドを次のように実行することもできます。
idmConfigTool.sh -configOMSS input_file=input_file_with_path log_level=FINEST log_file=log_file_with_path
プロパティ
表D-15は、このコマンドのプロパティを示しています。
表D-15 configOMSSのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
注意: プロパティ・ファイル内でパスワードを指定しないことをお薦めします。実行時に、コマンドによってパスワードの入力が求められます。 |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
# LDAP IDSTORE_SSL_ENABLED: false IDSTORE_DIRECTORYTYPE: AD IDSTORE_HOST: qadc2.domain2.testqa1.com IDSTORE_PASSWD: IDSTORE_PORT: 389 IDSTORE_BINDDN: CN=Administrator,CN=Users,DC=domain2,DC=testqa1,DC=com IDSTORE_USERNAMEATTRIBUTE: cn IDSTORE_USERSEARCHBASE: OU=Users,OU=msm,DC=domain2,DC=testqa1,DC=com IDSTORE_GROUPSEARCHBASE: OU=Roles,OU=msm,DC=domain2,DC=testqa1,DC=com IDSTORE_SEARCHBASE: OU=msm,DC=domain2,DC=testqa1,DC=com IDSTORE_SYSTEMIDBASE: OU=SystemIDS,OU=msm,DC=domain2,DC=testqa1,DC=com IDSTORE_LOGINATTRIBUTE: cn OMSS_OMSM_IDSTORE_PROFILENAME: idsprofile_test2 # Weblogic WLSHOST: wlshost01.us.example.com WLSPORT: 7001 WLSADMIN: weblogic WLSPASSWD: OMSS_DOMAIN_LOCATION: /scratch/domains/base_domain # Keystore related config OMSS_KEYSTORE_PASSWORD: SCEP_DYNAMIC_CHALLENGE_USER: adminuser SCEP_DYNAMIC_CHALLENGE_PASSWD: OMSM_IDSTORE_ROLE_SECURITY_ADMIN: MSMAdmin # MSAS and PROXY OMSS_MSAS_SERVER_HOST:host02.us.example.com OMSS_MSAS_SERVER_PORT:14181 PROXY_SERVER_HOST:www-proxy.us.example.com PROXY_SERVER_PORT:80 #PROXY_USER: #PROXY_PASSWD: USE_PROXY:true # DB JDBC_URL:jdbc:oracle:thin:@host02.us.example.com:5521:msmdb MSM_SCHEMA_USER: DEV_OMSM DB_PASSWD: # APNS/GCM APNS_FILE: /scratch/APNS.p12 APNS_KEYSTORE_PASSWD: GCM_API_KEY:AIzaSyCh_JALj5YBAIy7Ekyw9LzovHqJ2YMGk2c GCM_SENDER_ID:610046050155 #TOPIC:com.apple.mgmt.External.2544264e-aa8a-4654-bfff-9d897ed39a87 #Exchange & Email settings EXCHANGE_SERVER_URL:http://testuri.com EXCHANGE_LISTENER_URL:http://testuri.com EXCHANGE_DOMAIN_NAME:test.com EXCHANGE_ADMIN_USER: serviceuser EXCHANGE_SERVER_VERSION:2.0 EXCHANGE_ADMIN_PASSWD: EMAIL_ADMIN_USER: admin@acme.com EMAIL_ADMIN_PASSWD: SMTP_HOST:exchangeurl.us.example.com SMTP_PORT:80
構文
idmConfigTool.sh -postProvConfig input_file=postProvConfig.props
プロパティ
このコマンドのプロパティは、preConfigIDStoreコマンドのものと同じです。
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: host01.example.com IDSTORE_PORT: 3060 IDSTORE_BINDDN: cn=orcladmin IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SEARCHBASE: dc=example,dc=com IDSTORE_USERSEARCHBASE: cn=systemids,dc=example,dc=com POLICYSTORE_CONTAINER: cn=FAPolicies POLICYSTORE_HOST: host01.ca.example.com POLICYSTORE_PORT: 3060 POLICYSTORE_BINDDN: cn=orcladmin POLICYSTORE_READWRITEUSER: cn=PolicyRWUser,cn=systemids,dc=example,dc=com ovd.host: host01.ca.example.com ovd.port: 6501 ovd.binddn: cn=orcladmin OIM_T3_URL: t3://host02.ca.example.com:14000 OIM_SYSTEM_ADMIN: abcdef
構文
idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=input_Properties
プロパティ
表D-16は、このコマンドのプロパティを示しています。
表D-16 upgradeLDAPUsersForSSOのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 389 IDSTORE_ADMIN_USER: cn=orcladmin IDSTORE_DIRECTORYTYPE:OVD IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com PASSWORD_EXPIRY_PERIOD: 7300 IDSTORE_LOGINATTRIBUTE: uid
構文
idmConfigTool.sh -validate component=IDSTORE input_file=input_Properties
プロパティ
表D-17は、このコマンドのプロパティを示しています。
表D-17 validate IDStoreのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
idstore.type: OID idstore.host: acb21005.us.example.com idstore.port: 3030 idstore.sslport: 4140 idstore.ssl.enabled: false idstore.super.user: cn=weblogic_fa,cn=systemids,dc=example,dc=com idstore.readwrite.username: cn=IDRWUser,cn=systemids,dc=example,dc=com idstore.readonly.username: cn=IDROUser,cn=systemids,dc=example,dc=com idstore.user.base: cn=Users,dc=example,dc=com idstore.group.base: cn=Groups,dc=example,dc=com idstore.seeding: true idstore.post.validation: false idstore.admin.group: cn=IDM Administrators,cn=Groups,dc=example,dc=com idstore.admin.group.exists: true
構文
idmConfigTool.sh -validate component=POLICYSTORE input_file=input_Properties
プロパティ
表D-18は、このコマンドのプロパティを示しています。
表D-18 validate policystoreのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
POLICYSTORE_HOST: node0316.example.com POLICYSTORE_PORT: 3067 POLICYSTORE_SECURE_PORT: 3110 POLICYSTORE_IS_SSL_ENABLED: FALSE POLICYSTORE_READ_WRITE_USERNAME: cn=PolicyRWUser,cn=systemids,dc=example,dc=com POLICYSTORE_SEEDING: true POLICYSTORE_JPS_ROOT_NODE: cn=jpsroot POLICYSTORE_DOMAIN_NAME: dc=example,dc=com
前提条件
このコマンドを実行する前に、Oracle Access Managerコンポーネントをホストする管理サーバーおよび管理対象サーバーが実行中であることを確認してください。
構文
idmConfigTool.sh -validate component=OAM11g input_file=input_Properties
|
注意: このツールでは、実行時にWebLogic管理サーバー・ユーザー・パスワードの入力が要求されます。 |
プロパティ
表D-19は、このコマンドのプロパティを示しています。
表D-19 validate component=OAM11gのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってAccess Managerサーバーが検証されます。
admin_server_host: abc5411405.ca.example.com admin_server_port: 17001 admin_server_user: weblogic IDSTORE_HOST:abc5411405.ca.example.com IDSTORE_PORT:3060 IDSTORE_IS_SSL_ENABLED:false OAM11G_ACCESS_SERVER_HOST:abc5411405.ca.example.com OAM11G_ACCESS_SERVER_PORT:5575 OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators OAM11G_OIM_OHS_URL: http://abc5411405.ca.example.com:7779/ OAM11G_OIM_INTEGRATION_REQ: true OAM11G_OAM_ADMIN_USER:oamadminuser OAM11G_SSO_ONLY_FLAG: false OAM11G_OAM_ADMIN_USER_PASSWD:
構文
idmConfigTool.sh -validate component=OAM10g input_file=input_Properties
プロパティ
表D-20は、このコマンドのプロパティを示しています。
表D-20 validate component=OAM10gのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
前提条件
このコマンドを実行する前に、Oracle Access Managerコンポーネントをホストする管理サーバーおよび管理対象サーバーが実行中であることを確認してください。
構文
idmConfigTool.sh -validate component=OIM11g input_file=input_Properties
|
注意: このツールでは、実行時にWebLogic管理サーバー・ユーザー・パスワードの入力が要求されます。 |
プロパティ
表D-21は、このコマンドのプロパティを示しています。
表D-21 validate component=OIM11gのプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。
admin_server_host: node06.example.com admin_server_port: 17111 admin_server_user: weblogic oam_host: node06.example.com oam_nap_port: 5575 idm.keystore.file: idm.keystore.file idstore.user.base: cn=Users,dc=example,dc=com idstore.group.base: cn=Groups,dc=example,dc=com oim_is_ssl_enabled: false OIM_FRONT_END_URL: http://node06.example.com:14000 OIM_T3_URL: t3://node06.example.com:14000
構文
idmConfigTool.sh -configOVD input_file=input_Properties
プロパティ
表D-22は、コマンド・プロパティを示しています(ldapnプロパティではn=1,2..)。
表D-22 configOVDプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
configOVDコマンドのプロパティ・ファイルの内容は、Oracle Virtual Directoryの構成によって異なります。この項では、いくつかのサンプル・ファイルを示します。
次のものは、単一サーバー構成用のsingle.txtという名前のファイルの例です。
ovd.host:myhost.us.example.com ovd.port:7000 ovd.binddn:cn=orcladmin ovd.ssl:true ldap1.type:OID ldap1.host:myhost.us.example.com ldap1.port:7000 ldap1.binddn:cn=oimadmin,cn=systemids,dc=example,dc=com ldap1.ssl:false ldap1.base:dc=example,dc=com ldap1.ovd.base:dc=example,dc=com usecase.type: single
ldap1.binddnで参照されるユーザー: パラメータは、アイデンティティ・ストアを事前構成する際に作成された、Oracle Identity Managerのプロキシ・ユーザーです。
このファイルを使用する場合、コマンドは次のように呼び出されます。
idmConfigTool -configOVD input_file=path/single.txt Enter OVD password: password Enter LDAP password: password
次のものは、分割プロファイル・サーバー構成用のsplit.txtという名前のファイルの例です。
ovd.host:myhost.us.example.com ovd.port:7000 ovd.binddn:cn=orcladmin ovd.ssl:true ldap1.type:AD ldap1.host:10.0.0.0 ldap1.port:7000 ldap1.binddn:administrator@idmqa.com ldap1.ssl:true ldap1.base:dc=idmqa,dc=com ldap1.ovd.base:dc=idmqa,dc=com usecase.type: split ldap2.type:OID ldap2.host:myhost.us.example.com ldap2.port:7000 ldap2.binddn:cn=oimadmin,cn=systemids,dc=example,dc=com ldap2.ssl:false ldap2.base:dc=example,dc=com ldap2.ovd.base:dc=example,dc=com
このファイルを使用する場合、コマンドは次のように呼び出されます。
idmConfigTool -configOVD input_file=path/split.txt Enter OVD password: password Enter LDAP1 password: password Enter LDAP2 password: password
構文
idmConfigTool.sh -ovdConfigUpgrade input_file=input_Properties
プロパティ
表D-23は、このコマンドのプロパティを示しています。
表D-23 ovdConfigUpgradeプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによって既存のアダプタがアップグレードされます。
ovd.host:abk005sjc.us.myhost.com ovd.port:8801 ovd.binddn:cn=orcladmin ovd.ssl:true
構文
idmConfigTool.sh -disableOVDAccessConfig input_file=input_Properties
プロパティ
表D-24は、このコマンドのプロパティを示しています。
表D-24 disableOVDAccessConfigプロパティ
| プロパティ | 必須かどうか |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
l |
プロパティ・ファイルの例
このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってOracle Virtual Directoryにおける匿名アクセスが無効化されます。
ovd.host:abc00def.ca.example.com ovd.port:8501 ovd.binddn:cn=orcladmin ovd.ssl:true
構文
idmConfigTool.sh -upgradeOIMTo11gWebgate input_file=input_Properties
プロパティ
このコマンドは、configOIMコマンドに必要なものと同じプロパティを使用するため、どちらにも同じプロパティ・ファイルを使用できます。表D-14を参照してください。
表に示すように、Oracle Identity ManagerとAccess Managerが別々のWebLogicドメインに構成されている場合は、特定のプロパティが必要です。
この項では、高可用性環境で、ターゲットのOracle Unified Directory (OUD)アイデンティティ・ストアに対してidmConfigToolを使用する際に実行する必要のある、その他のタスクについて説明します。内容は次のとおりです。
レプリカを含む高可用性(HA)環境で、Oracle Unified Directory (OUD)アイデンティティ・ストアに対してidmConfigToolを使用する場合は、グローバルACIおよび索引がレプリケートされません。グローバルACIおよび索引は、プロパティ・ファイルで指定されたインスタンス内にのみ作成されます。レプリケーション・ドメインのその他すべてのOUDインスタンスについて、これらを手動で再作成(削除後、作成)する必要があります。
したがって、最初に変更ログへのアクセス権を付与してから、ACIを作成する必要があります。次の手順を行います。
OUDに接続するために使用するパスワードが含まれているmypasswordというファイルを作成します。
レプリケートされたOUDホストの1つの既存の変更ログを削除します。コマンド構文は次のとおりです。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \ --remove \ global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" --hostname OUD Host \ --port OUD Admin Port \ --trustAll ORACLE_INSTANCE/config/admin-truststore \ --bindDN cn=oudadmin \ --bindPasswordFile mypassword \ --no-prompt
次に例を示します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--remove
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0;
acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)"
--hostname OUDHOST1.example.com \
--port 4444 \
--trustAll /u01/app/oracle/admin/oud1/OUD/config/admin-truststore \
--bindDN cn=oudadmin \
--bindPasswordFile mypassword \
--no-prompt
変更ログの新規ACIを追加します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version
3.0; acl \"External changelog access\"; allow
(read,search,compare,add,write,delete,export)
groupdn=\"ldap:///cn=oimAdminGroup,cn=groups,dc=example,dc=com\";)" \
--hostname OUD Host \
--port OUD Admin Port \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile password
--no-prompt
次に例を示します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add
--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version
3.0; acl \"External changelog access\"; allow
(read,search,compare,add,write,delete,export)
groupdn=\"ldap:///cn=oimAdminGroup,cn=groups,dc=example,dc=com\";)" \
--hostname OUDHOST1 \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile password
--no-prompt
次にACIを追加します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \ --add global-aci:"(targetcontrol=\"1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4\")(version 3.0; acl \"OIMAdministrators control access\"; allow(read) groupdn=\"<ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \ --hostname OUD_HOST \ --port OUD_ADMIN_PORT \ --trustAll \ --bindDN cn=oudadmin \ --bindPasswordFile passwordfile \ --no-prompt
次に例を示します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(targetcontrol=\"1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4\")(version 3.0; acl \"OIMAdministrators control access\"; allow(read) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \
--hostname IDMHOST1.mycompany.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile mypasswordfile \
--no-prompt
最後にACIを追加します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///\")(targetscope=\"base\")(targetattr=\"lastExternalChangelogCookie\")(version 3.0; acl \"User-Visible lastExternalChangelog\"; allow (read,search,compare) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \
--hostname OUD_HOST \
--port OUD_ADMIN_PORT \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile passwordfile \
--no-prompt
次に例を示します。
OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///\")(targetscope=\"base\")(targetattr=\"lastExternalChangelogCookie\")(version 3.0; acl \"User-Visible lastExternalChangelog\"; allow (read,search,compare) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \
--hostname IDMHOST1.mycompany.com \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile mypasswordfile \
--no-prompt
各OUDインスタンスに対して手順1から5までを繰り返します。
idmConfigToolによってアイデンティティ・ストアが準備される際に、そのデータに対していくつかの索引が作成されます。レプリカを含む高可用性(HA)環境でも、プロパティ・ファイルで指定されたインスタンス内にのみ、グローバルACIおよび索引が作成されます。レプリカには索引の変更が反映されないため、手動で追加する必要があります。
その手順は次のとおりです(LDAPHOST1.example.comは最初のOUDサーバーを表し、LDAPHOST2.example.comは2番目のサーバーを表すというようになっています)。
OUDに接続するために使用するパスワードが含まれているmypasswordというファイルを作成します。
2番目のOUDサーバーで次のように索引を構成します。
ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j mypassword -c -f /u01/app/oracle/product/fmw/iam/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif
および
ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j mypassword -c -f /u01/app/oracle/product/fmw/iam/idmtools/templates/oud/oud_indexes_extn.ldif
|
注意:
|
次のように、すべてのサーバーに対して作成を再構築します。
ORACLE_INSTANCE/OUD/bin/bin/rebuild-index -h localhost -p 4444 -X -D "cn=oudadmin" -j mypassword --rebuildAll -b "dc=example,dc=com"
|
注意: idmConfigToolが実行された最初のサーバー(LDAPHOST1.example.com)を含めてすべてのOUDサーバーに対してこのコマンドを実行する必要があります。 |
