15 Oracle Identity Governanceのインスラストラクチャの作成
完全なOracle Identity and Access Managementでは、ドメインを分割してデプロイします。つまり、Oracle Access Management用に1つのドメインがあり、Oracle Identity Governance用に別のドメインがあります。AccessとGovernanceには、別々のインフラストラクチャを作成する必要があります。
- システム・クロックの同期
Oracle Identity Governanceを含むようにドメインを拡張する前に、各ホスト・コンピュータのシステム・クロックが同期していることを確認します。これを行うには、各クラスタ内のすべてのホストでdate
コマンドを同時に実行します。 - 初期インフラストラクチャ・ドメインについて
初期インフラストラクチャ・ドメインの作成を開始する前に、次の重要な概念を確認してください。 - インフラストラクチャ・ドメインの作成時に使用する変数
この章のタスクを実行する際には、この項にリストされているディレクトリ変数を参照します。 - Infrastructureドメインでの動的クラスタのサポート
Infrastructureドメインは、静的クラスタベースのトポロジと動的クラスタベースのトポロジの2種類のトポロジをサポートしています。動的クラスタのトポロジを選択したときには、いくつかの点で従来型の静的クラスタ構成との違いが生じます。 - OIMHOST1へのOracle Fusion Middleware Infrastructureのインストール
エンタープライズ・デプロイメント用の新規ドメインを構成する準備として、次の各項を使用してOracle Fusion Middleware Infrastructureソフトウェアをインストールします。 - エンタープライズ・デプロイメント用のOracle Identity Governanceのインストール
この項では、エンタープライズ・デプロイメント用のOracle Identity Governanceおよび依存ソフトウェアをインストールする手順について説明します。 - Oracle Identity Governance用のデータベース・スキーマの作成
Oracle Fusion Middlewareコンポーネントでは、Fusion Middleware Infrastructureドメインを構成する前に、データベースにスキーマが存在していることが必要になります。このトピックの動作保証されたデータベースにリストされているスキーマを、このリリースのOracle Fusion Middlewareと組み合せて使用するためにインストールします。 - Oracle Identity Governanceドメインの構成
次の各項では、Fusion Middleware構成ウィザードを使用してOracle Identity Governanceドメインを作成する手順を説明します。 - Oracle Identity Managerオーセンティケータの作成
ドメインを起動する前に、ドメインにOracle Identity Manager (OIM)オーセンティケータを作成するためのスクリプトを実行する必要があります。 - ドメイン・ディレクトリの構成とサーバーの起動
ドメインを作成し、ノード・マネージャを構成したら、追加のドメイン・ディレクトリを構成し、管理サーバーおよびAdminHost上の任意の管理対象サーバーを起動できます。 - 動的クラスタの使用時のリスニング・アドレスの構成
- OIMHOST2でのドメインの伝播とサーバーの起動
OIMHOST1で管理サーバーとWLS_WSM1管理対象サーバーを起動して検証したら、OIMHOST2で次のタスクを実行できます。 - uploadおよびstageディレクトリの絶対パスへの変更
- サポートされている認証プロバイダについて
- 新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング
Oracle Fusion Middlewareドメインを構成すると、このドメインはデフォルトでWebLogic Server認証プロバイダ(DefaultAuthenticator
)を使用するよう構成されます。ただし、エンタープライズ・デプロイメントの場合は、専用の集中管理型のLDAP準拠の認証プロバイダを使用することをお薦めします。 - WebLogicプロキシ・プラグインの構成
- Exalogic最適化の有効化
- 構成のバックアップ
ベスト・プラクティスとして、ドメインの拡張が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。ここまでのインストールが正常に行われたことを確認したら、バックアップを作成します。これは、後のステップで問題が発生した場合に即座にリストアするための迅速なバックアップになります。 - 管理サーバーの手動フェイルオーバーの確認
上位トピック: 「エンタープライズ・ドメインの構成」
システム・クロックの同期
Oracle Identity Governanceを含むようにドメインを拡張する前に、各ホスト・コンピュータのシステム・クロックが同期していることを確認します。これを行うには、各クラスタ内のすべてのホストでdate
コマンドを同時に実行します。
また、そのために使用できるサードパーティおよびオープンソースのユーティリティもあります。
初期インフラストラクチャ・ドメインについて
初期インフラストラクチャ・ドメインの作成を開始する前に、次の重要な概念を確認してください。
インフラストラクチャ・ディストリビューションについて
エンタープライズ・デプロイメントの初期インフラストラクチャ・ドメインの作成には、Oracle Fusion Middleware Infrastructureディストリビューションを使用します。このディストリビューションには、Oracle WebLogic ServerソフトウェアとOracle JRFソフトウェアの両方が含まれています。
Oracle JRFソフトウェアは、Oracle Web Services Manager、Oracle Application Development Framework (Oracle ADF)、Oracle Enterprise Manager Fusion Middleware Control、リポジトリ作成ユーティリティ(RCU)およびOracle Fusion Middleware製品のサポートに必要なその他のライブラリおよびテクノロジで構成されています。
ノート:
Accessインフラストラクチャでは、Web Services Managerは使用しません。
このガイドの後のほうでは、エンタープライズ・デプロイメントに必要なOracle Fusion Middleware製品をサポートするために、このドメインを拡張できます。
『Oracle Fusion Middlewareの理解』のOracle Fusion Middlewareの理解に関する項を参照してください。
親トピック: 初期インフラストラクチャ・ドメインについて
ドメインの特徴
次の表に、作成するドメインの主な特徴を示します。これらの特徴を確認することで、ドメインの構成手順の目的やコンテキストに対する理解が深まります。
これらの特徴の多くについては、「標準的なエンタープライズ・デプロイメントの理解」で詳しく説明しています。
ドメインの特徴 | 参照先 |
---|---|
管理サーバーに別個の仮想IP (VIP)アドレスを使用。 |
|
ドメイン内の管理サーバーと管理対象サーバーに別個のドメイン・ディレクトリを使用。 |
|
Oracle Web Services Managerの専用クラスタを含む。 |
|
ドメインごとのノード・マネージャ構成を使用。 |
|
別途インストールされたLDAPベースの認証プロバイダが必要。 |
親トピック: 初期インフラストラクチャ・ドメインについて
インフラストラクチャ・ドメインの作成時に使用する変数
この章のタスクを実行する際には、この項にリストされているディレクトリ変数を参照します。
これらのディレクトリ変数については、「このガイドで使用するファイル・システムとディレクトリ変数」に定義されています。
-
ORACLE_HOME
-
ASERVER_HOME
-
MSERVER_HOME
-
APPLICATION_HOME
-
JAVA_HOME
ノート:
簡略化するために、前述の変数が使用されます。作成するドメインに応じて、前述の変数に、作成しているインフラストラクチャを示す接頭辞を付ける必要があります。たとえば:
-
アクセスのデプロイメントの場合は、IADを使用します。たとえば: IAD_ASERVER_HOME
-
ガバナンスの場合は、IGDを使用します。たとえば: IGD_ASERVER_HOME
さらに、「エンタープライズ・トポロジで必要とされる物理IPアドレスと仮想IPアドレス」で定義されている次の仮想IP (VIP)アドレスとホスト名も参照します。
-
ADMINVHN
-
OIMHOST1
-
OIMHOST2
-
DBHOST1
-
DBHOST2
-
Oracle RACデータベースのSCANアドレス(
DB-SCAN.example.com
)
ノート:
作成しているドメインによっては、ADMINVHNに接頭辞を追加する必要があります。たとえば、IAD_ADMINVHNのようになります。
ノート:
この項に示す手順では、OIMHOST1およびOIMHOST2へのインストールを例として使用します。Access用のインフラストラクチャ・ドメインを作成している場合は、適宜、OAMHOST1およびOAMHOST2を置き換えてください。
Infrastructureドメインでの動的クラスタのサポート
Infrastructureドメインは、静的クラスタベースのトポロジと動的クラスタベースのトポロジの2種類のトポロジをサポートしています。動的クラスタのトポロジを選択したときには、いくつかの点で従来型の静的クラスタ構成との違いが生じます。
静的クラスタは、構成済クラスタとも言い、各サーバー・インスタンスを手動で構成して追加する従来型のクラスタです。動的クラスタには、新しい"server-template"オブジェクトが含まれています。このオブジェクトは、すべての生成された(動的)サーバー・インスタンスの一元的な構成を定義するために使用します。動的クラスタを作成すると、動的サーバーが事前構成され、自動的に生成されます。この機能により、追加のサーバー容量が必要になったときに、動的クラスタ内のサーバー・インスタンスの数をスケール・アップできます。動的サーバーは、最初に手動で構成してそれをクラスタに追加する必要はなく、単に起動するだけで使用できます。
-
構成ウィザードのプロセスは、それぞれのケースに応じて異なることがあります。たとえば、サーバーではなく動的クラスタ用のサーバー・テンプレートの定義が必要になります。
-
動的クラスタの場合は、サーバー固有の構成(リスニング・アドレスの設定、アップロードとステージングのディレクトリの構成、キーストアの構成など)をサーバーではなくサーバー・テンプレートで実行する必要があります。
-
動的クラスタの場合は、サービス移行が異なる方法で構成されます。動的クラスタは移行可能ターゲットを使用しないかわりに、JMSリソースがクラスタをターゲットにします。動的クラスタのサービス移行を構成する際の具体的な手順は、このガイドに記載されています。
複合クラスタ(動的サーバー・インスタンスと構成済サーバー・インスタンスの両方を備えたクラスタ)は、Oracle Identity and Access Managementエンタープライズ・デプロイメントではサポートされません。
OIMHOST1へのOracle Fusion Middleware Infrastructureのインストール
エンタープライズ・デプロイメント用の新規ドメインを構成する準備として、次の各項を参照してOracle Fusion Middleware Infrastructureソフトウェアをインストールします。
- サポートされているJDKのインストール
- Infrastructureインストーラの起動
- Infrastructureインストール画面のナビゲート
- 他のホスト・コンピュータへのOracle Fusion Middleware Infrastructureのインストール
- ディレクトリ構造のチェック
Oracle Fusion Middleware Infrastructureをインストールし、Oracleホームを作成すると、このトピックにリストされているディレクトリおよびサブディレクトリが表示されます。インストールの内容は、インストール中に選択したオプションによって異なります。
サポートされているJDKのインストール
Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。
- JDKソフトウェアの検索とダウンロード
- JDKソフトウェアのインストール
Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。
JDKソフトウェアの検索とダウンロード
動作保証されているJDKを調べるには、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証ドキュメントを参照してください。
現在のOracle Fusion MiddlewareリリースのOracle JDKを特定したら、Oracle Technology Networkの次の場所からOracle JDKをダウンロードできます。
http://www.oracle.com/technetwork/java/index.html
Java SE JDKのダウンロードに必ず移動してください。
親トピック: サポートされているJDKのインストール
JDKソフトウェアのインストール
Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。
JDKを次の場所にインストールする必要があります。
-
共有ストレージ・デバイスで、JDKを
/u01/oracle/products/jdk
ディレクトリにインストールします。各アプリケーション層のホスト・コンピュータからJDKにアクセスできます。 -
Web層の各ホスト・コンピュータのローカル記憶域デバイスDMZに配置されるWeb層ホスト・コンピュータは、アプリケーション層の共有記憶域に必ずしもアクセスできるとはかぎりません。
-
ディレクトリ層の各ホスト・コンピュータのローカル記憶域デバイス(ディレクトリ・ホストが共有記憶域を使用していない場合)。
JDKソフトウェアの推奨場所の詳細は、「エンタープライズ・デプロイメント用の推奨ディレクトリ構造の理解」を参照してください。
親トピック: サポートされているJDKのインストール
Infrastructureインストーラの起動
インストール・プログラムを起動するには、次のステップを実行します。
インストール・プログラムが表示されると、インストールを開始する準備ができています。インストール・プログラムの各画面の説明は、「インストール画面への移動」を参照してください。
Infrastructureインストール画面のナビゲート
インストール・プログラムでは次の表に記載された順番で一連の画面が表示されます。
インストール画面についての詳細情報が必要な場合は、画面名をクリックするか、画面上で「ヘルプ」ボタンをクリックしてください。
表15-1 Infrastructureインストール画面のナビゲート
画面 | 説明 |
---|---|
UNIXオペレーティング・システムでは、このホストにOracle製品を初めてインストールする場合に、この画面が表示されます。中央インベントリを作成する場所を指定します。この画面で選択したオペレーティング・システム・グループ名には、中央インベントリの場所への書込み権限があることを確認してください。 『Oracle Universal Installerによるソフトウェアのインストール』のOracle中央インベントリに関する項を参照してください。 ノート: 中央インベントリ・ディレクトリを製品共有ボリューム内に構成することをお薦めします。例: また、インストーラが完了したら、 |
|
製品のインストーラの紹介画面です。 |
|
この画面を使用して、使用可能なパッチを「My Oracle Support」で自動的に検索するかユーザーの組織のためにすでにダウンロードされているパッチを、ローカル・ディレクトリで自動的に検索します |
|
この画面を使用してOracleホーム・ディレクトリの位置を指定します。 エンタープライズ・デプロイメントの場合は、表9-2に示すIGD_ORACLE_HOME変数の値を入力します。 |
|
この画面を使用してインストールのタイプと、それに従ってインストールされる製品および機能を選択します。 このトポロジの場合は、「Fusion Middleware Infrastructure」を選択します。 ノート: このドキュメントのトポロジにサーバーの例は含まれません。本番環境にサンプルをインストールしないことを強くお薦めします。 |
|
この画面では、ご使用のシステムが最小要件を満たしていることを検証します。 警告またはエラー・メッセージが表示される場合、Oracle Technology Network (OTN)のOracle Fusion Middlewareシステム要件と仕様を参照してください。 |
|
Oracle Supportアカウントをすでに所持している場合は、この画面を使用して、セキュリティ・アップデートの受取り方法を指定します。 アカウントを所持していないときに、このステップを省略してもかまわない場合は、チェック・ボックスをクリアして、その選択を後続のダイアログ・ボックスで確認します。 |
|
この画面を使用して、選択したインストール・オプションを検証できます。これらのオプションをレスポンス・ファイルに保存する場合は、「レスポンス・ファイルの保存」をクリックし、レスポンス・ファイルの場所と名前を指定します。レスポンス・ファイルは、今後、サイレント・インストールを実行する場合に使用できます。 サイレント・インストールまたはコマンドライン・インストールの詳細は、『Oracle Universal Installerによるソフトウェアのインストール』の「サイレント・モードでのOracle Universal Installerの使用」を参照してください。 |
|
この画面では、インストールの進行状況を参照できます。 |
|
インストールが完了すると、この画面が表示されます。この画面の情報を確認してから、「終了」をクリックしてインストーラを終了します。 |
他のホスト・コンピュータへのOracle Fusion Middleware Infrastructureのインストール
セカンダリ・ホストに別の共有記憶域ボリュームまたはパーティションを構成している場合は、それらのホストにもソフトウェアをインストールする必要があります。
「エンタープライズ・デプロイメントをインストールおよび構成する場合の共有記憶域の推奨事項」を参照してください。
トポロジ内の他のホスト・コンピュータにソフトウェアをインストールするには、各ホストにログインして、「インフラストラクチャ・インストーラの起動」と「インフラストラクチャ・インストール画面のナビゲート」の手順に従って、適切な記憶域デバイスにOracleホームを作成します。
エンタープライズ・デプロイメント用のOracle Identity Governanceのインストール
この項では、エンタープライズ・デプロイメント用にOracle Identity Governanceおよび依存ソフトウェアをインストールする手順について説明します。
- OIMHOST1でのSOA Suiteインストーラの起動
- Oracle SOA Suiteのインストール画面のナビゲート
- Oracle Identity and Access Managementインストーラの起動
- Oracle Identity and Access Managementインストール画面のナビゲート
- インストールの確認
- Oracle Connectorバンドルのダウンロード
この項の説明に従って、Oracle Connectorバンドルをダウンロードします。 - Oracle Identity Governance Connectorのインストール
Oracle Connector for LDAPをダウンロードした後、それをORACLE_HOMEディレクトリにインストールします。
Oracle SOA Suiteのインストール画面のナビゲート
インストール・プログラムでは次の表に記載された順番で一連の画面が表示されます。
インストール画面に関して詳細な情報が必要な場合は、画面名をクリックしてください。
画面 | 説明 |
---|---|
製品のインストーラの紹介画面です。 |
|
この画面を使用して、使用可能なパッチをMy Oracle Supportで自動的に検索するか、組織のためにすでにダウンロードしたパッチをローカル・ディレクトリで自動的に検索します。 |
|
Oracle Identity Governanceの場合は、IGD_ORACLE_HOMEと入力します。 Oracle Fusion Middlewareのディレクトリ構造の詳細は、『Oracle Fusion Middlewareのインストールのプランニング』のインストールおよび構成用のディレクトリの選択に関する項を参照してください。 |
|
この画面を使用してインストールのタイプと、それに従ってインストールされる製品および機能を選択します。
|
|
この画面では、ご使用のシステムが最小要件を満たしていることを検証します。 警告メッセージまたはエラー・メッセージが表示された場合は、『Oracle Fusion Middleware Infrastructureのインストールと構成』のシステム環境の検証ロードマップに関する項に記載されているドキュメントのいずれかを参照してください。 |
|
この画面を使用して、選択したインストール・オプションを確認します。 「インストール」をクリックしてインストールを開始します。 |
|
この画面では、インストールの進行状況を参照できます。 進捗バーが100%完了になった後で、「次へ」をクリックします。 |
|
この画面の情報を確認してから、「終了」をクリックしてインストーラを終了します。 |
Oracle Identity and Access Managementインストーラの起動
インストール・プログラムを起動するには:
インストール・プログラムが表示されると、インストールを開始する準備ができています。
Oracle Identity and Access Managementインストール画面のナビゲート
インストール・プログラムでは次の表に記載された順番で一連の画面が表示されます。
インストール画面に関して詳細な情報が必要な場合は、画面名をクリックしてください。
画面 | 説明 |
---|---|
製品のインストーラの紹介画面です。 |
|
この画面を使用して、使用可能なパッチをMy Oracle Supportで自動的に検索するか、組織のためにすでにダウンロードしたパッチをローカル・ディレクトリで自動的に検索します。 |
|
この画面を使用してOracleホーム・ディレクトリの位置を指定します。 Oracle Identity Governanceの場合、これは Oracle Fusion Middlewareのディレクトリ構造の詳細は、『Oracle Fusion Middlewareのインストールのプランニング』のインストールおよび構成用のディレクトリの選択に関する項を参照してください。 |
|
この画面を使用して、デプロイするインストールのタイプを選択します。次の2つのオプションがあります。
|
|
この画面では、ご使用のシステムが最小要件を満たしていることを検証します。 警告メッセージまたはエラー・メッセージが表示された場合は、『Oracle Fusion Middleware Infrastructureのインストールと構成』のシステム環境の検証ロードマップに関する項に記載されているドキュメントのいずれかを参照してください。 |
|
この画面を使用して、選択したインストール・オプションを確認します。 「インストール」をクリックしてインストールを開始します。 |
|
この画面では、インストールの進行状況を参照できます。 進捗バーが100%完了になった後で、「次へ」をクリックします。 |
|
この画面の情報を確認してから、「終了」をクリックしてインストーラを終了します。 |
インストールの検証
インストールの完了後、次のタスクを正常に実行することでインストールを検証できます。
インストール・ログ・ファイルの確認
インストール・ログ・ファイルの内容を確認し、何も問題が発生していないことを確認します。ログ・ファイルとその場所の詳細は、『Oracle Universal Installerによるソフトウェアのインストール』のインストール・ログ・ファイルの理解に関する項を参照してください。
親トピック: インストールの確認
ディレクトリ構造のチェック
インストールの内容は、インストール中に選択するオプションによって異なります。
Oracle Identity Governanceを追加すると、次のディレクトリおよびサブディレクトリが追加されます。ls --format=single-column
コマンドを使用して、ディレクトリ構造を確認します。
IGD_ORACLE_HOME/
OPatch
cfgtoollogs
coherence
em
idm
inventory
jdeveloper
mft
oep
oraInst.loc
oracle_common
osb
oui
soa
wlserver
idm/ clone common connectors designconsole idmdiag idmtools jlib libovd mbeans modules oam oic opam-connectors plugins remote_manager schema server upgrade
インストール後のディレクトリ構造の詳細は、Oracle Fusion Middlewareの理解のOracle Fusion Middlewareの主要ディレクトリに関する項を参照してください。
親トピック: インストールの確認
Oracleホームの内容の表示
viewInventory
スクリプトを使用して、Oracleホームの内容を表示することもできます。『Oracle Universal Installerによるソフトウェアのインストール』のOracleホームの内容の表示に関する項を参照してください。
親トピック: インストールの確認
Oracle Connectorバンドルのダウンロード
この項の説明に従って、Oracle Connectorバンドルをダウンロードします。
Oracle Connectorバンドルを次の場所からダウンロードします。
http://www.oracle.com/technetwork/middleware/id-mgmt/downloads/connectors-101674.html
Oracle Internet Directory用のコネクタ・バンドル(OUDにも対応)を次のディレクトリにコピーします。
IGD_ORACLE_HOME/idm/server/ConnectorDefaultDirectory
Oracle Identity Governance用のデータベース・スキーマの作成
Oracle Fusion Middlewareコンポーネントでは、Fusion Middleware Infrastructureドメインを構成する前に、データベースにスキーマが存在していることが必要になります。このトピックの動作保証されたデータベースにリストされているスキーマを、このリリースのOracle Fusion Middlewareと組み合せて使用するためにインストールします。
-
Oracle Identity Manager
これにより、次のものとともにOracle SOA Suiteスキーマが自動的に選択されます。
-
メタデータ・サービス(MDS)
-
監査サービス(IAU)
-
監査サービスへの追加(IAU_APPEND)
-
監査サービス・ビューア(IAU_VIEWER)
-
OPSS (Oracle Platform Security Services)
-
ユーザー・メッセージング・サービス(UMS)
-
WebLogicサービス(WLS)
-
共通インフラストラクチャ・サービス(STB)
-
リポジトリ作成ユーティリティ(RCU)を使用して、スキーマを作成します。このユーティリティは各Oracle Fusion Middleware製品のOracleホームにインストールされています。RCUの詳細とスキーマを作成してデータベースに格納する方法の詳細は、リポジトリ作成ユーティリティによるスキーマの作成でスキーマ作成の準備に関する項を参照してください。
必要なスキーマをインストールするには、次のステップを実行します。
動作保証されたデータベースのインストールと構成
必ず動作保証されたデータベースをインストールおよび構成し、そのデータベースを確実に稼働させます。
「エンタープライズ・デプロイメント用のデータベースの準備」を参照してください。
スキーマ作成のためのRCU画面のナビゲート
スキーマ作成に必要なタスクは、次のとおりです。
- タスク1 RCUの導入
-
「ようこそ」画面でRCUのバージョン番号を確認します。「次へ」をクリックして開始します。
- タスク2 スキーマ作成の方法の選択
-
対象のデータベースに対するDBAアクティビティの実行に必要なパーミッションと権限が付与されている場合は、「システム・ロードおよび製品ロード」を選択します。この手順は、必要な権限が付与されていることを前提としています。
データベースに対するDBAアクティビティの実行に必要なパーミッションまたは権限が付与されていない場合は、この画面で、「システム・ロードに対するスクリプトの準備」を選択する必要があります。このオプションによってSQLスクリプトが生成され、これをデータベース管理者が必要なスキーマを作成するために利用できます。『リポジトリ作成ユーティリティによるスキーマの作成』のシステム・ロードと製品ロードの理解に関する項を参照してください。
- タスク3 データベース接続の詳細の指定
-
RCUがデータベースに接続できるようにするために、データベース接続の詳細を指定します。
-
「ホスト名」フィールドに、Oracle RACデータベースのSCANアドレスを入力します。
-
RACデータベース・スキャン・リスナーの「ポート」番号(1521など)を入力します。
-
データベースのRAC「サービス名」を入力します。
-
スキーマおよびスキーマ・オブジェクトを作成する権限を持つユーザーの「ユーザー名」(SYSなど)を入力します。
-
ステップ4で指定したユーザー名の「パスワード」を入力します。
-
SYSユーザーを選択した場合、ロールがSYSDBAに設定されていることを確認します。
-
「次へ」をクリックして先に進み、データベースへの接続が成功したことを確認するダイアログ・ウィンドウで、「OK」をクリックします。
ヒント:
この画面の選択内容の詳細は、リポジトリ作成ユーティリティによるスキーマの作成でデータベース接続の詳細に関する項を参照してください。
-
- タスク4 カスタム接頭辞の指定とスキーマの選択
-
-
Oracle Fusion Middlewareスキーマの識別に使用するカスタム接頭辞を指定します。
カスタム接頭辞は、これらのスキーマを論理的にグループ化して、このドメイン内で使用することを目的としています。複数のドメイン間でのスキーマの共有はサポートされていないため、ドメインごとに固有のスキーマのセットを作成する必要があります。
ヒント:
ここで入力したカスタム接頭辞をノートにとってください。これは後でドメインの作成時に必要になります。
カスタム接頭辞の詳細は、『リポジトリ作成ユーティリティによるスキーマの作成』のカスタム接頭辞の理解に関する項を参照してください。
マルチドメイン環境のスキーマを構成する方法の詳細は、『リポジトリ作成ユーティリティによるスキーマの作成』のスキーマの作成計画に関する項を参照してください。
-
グループIDMスキーマを展開して、「Oracle Identity Manager」スキーマを選択します。関連スキーマがすべて選択されます。
-
共通インフラストラクチャ・サービス
-
Oracle Platform Security Services
-
ユーザー・メッセージング・サービス
-
監査サービス
-
監査サービス・アペンド
-
監査サービス・ビューア
-
Metadata Services
-
SOAインフラストラクチャ
-
WebLogicサービス
-
デフォルトで選択される必須のスキーマが2つあります。「共通インフラストラクチャ・サービス」(STBスキーマ)と「WebLogicサービス」(WLSスキーマ)で、この2つの選択は解除できません。「共通インフラストラクチャ・サービス」スキーマを使用すると、ドメインの構成中にRCUから情報を取得できるようになります。『リポジトリ作成ユーティリティによるスキーマの作成』でサービス表スキーマの理解に関する項を参照してください。
ヒント:
マルチドメイン環境のスキーマを構成する方法の詳細は、『リポジトリ作成ユーティリティによるスキーマの作成』のスキーマの作成計画に関する項を参照してください。
「次へ」をクリックして先に進み、スキーマ作成の前提条件チェックが成功したことを確認するダイアログ・ウィンドウの「OK」をクリックします。
-
- タスク5 スキーマのパスワードの指定
-
スキーマのパスワードをデータベースに設定する方法を指定してから、パスワードの指定と確認を行います。パスワードが、データベースのセキュリティ要件を満たすくらい複雑であることを確認してから続行します。パスワード・ポリシーを満たしていない場合でも、この時点でRCUでは処理が続行されます。したがって、次のチェックはRCU以外で実行します。
ヒント:
この画面で設定するパスワードは、ノートにとっておく必要があります。このパスワードは、後述するドメイン作成のプロセスで必要になります。
- タスク6 必須スキーマの表領域の検証
-
残りの画面のデフォルト設定を受け入れるか、RCUでのOracle Fusion Middlewareスキーマの作成方法および必要な表領域の使用方法をカスタマイズできます。
ノート:
構成ウィザードを使用して、JMSサーバーのJDBCストアおよびトランザクション・ログを使用するようにFusion Middlewareコンポーネントを構成できます。これらのJDBCストアは、Weblogicサービス・コンポーネント表領域に配置されています。環境内でより高度なレベルのトランザクションおよび/またはJMSアクティビティが使用されることが予想される場合、<PREFIX>_WLS表領域のデフォルトのサイズを環境負荷により適したサイズに増大できます。
「次」をクリックして続行し、表領域作成の確認ダイアログで「OK」をクリックします。
RCUとその機能および概念の詳細は、『リポジトリ作成ユーティリティによるスキーマの作成』の「リポジトリ作成ユーティリティについて」を参照してください。
- タスク7 スキーマの作成
-
ロード対象のスキーマのサマリーをレビューし、「作成」をクリックし、スキーマの作成を完了します。
ノート:
障害が発生した場合、続行する前に、リストされたログ・ファイルをレビューして根本的原因を特定し、欠陥を解決してから、RCUを使用してスキーマを削除して再作成します。
- タスク8 完了サマリーのレビューおよびRCU実行の完了
-
「完了サマリー」画面に達したら、スキーマの作成がすべて正常に完了したことを確認してから、「閉じる」をクリックしてRCUを終了します。
スキーマ・アクセスの確認
RCUによって作成された新しいスキーマ・ユーザーとしてデータベースに接続することにより、スキーマのアクセスを確認します。接続にはSQL*Plusなどのユーティリティを使用し、RCUで入力した適切なスキーマ名とパスワードを指定します。
たとえば:
./sqlplus
SQL*Plus: Release 12.1.0.2.0 Production on Wed Aug 31 05:41:31 2016
Copyright (c) 1982, 2014, Oracle. All rights reserved.
Enter user-name: OIM
Enter password: OIM_schema_password
Connected to:
Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production
With the Partitioning, Real Application Clusters, Automatic Storage Management, OLAP, Advanced Analytics and Real Application Testing options
SQL>
トランザクション・リカバリ用のOIMスキーマの構成
Oracle Identity Governanceスキーマを正常にインストールしたら、この項の手順に従ってトランザクション・リカバリのスキーマを構成します。
この手順では、WebLogic Serverが予期せずに使用不可になった後、進行中のトランザクションをリカバリする際に、Oracle WebLogic Serverトランザクション・マネージャでトランザクション状態の情報を問い合せて該当するコマンド(commitやrollbackなど)を発行できるように適切なデータベース権限を設定します。
これらの権限は、リポジトリ作成ユーティリティでスキーマを作成したときに定義したOIMスキーマの所有者に付与する必要があります。
トランザクション・リカバリ権限のOIMスキーマを構成するには:
Oracle Identity Governanceドメインの構成
次の各項では、Fusion Middleware構成ウィザードを使用してOracle Identity Governanceドメインを作成するための手順を示します。
ドメイン作成に使用可能なその他の方法の詳細は、『構成ウィザードによるWebLogicドメインの作成』のWebLogicドメインの作成、拡張および管理のための追加ツールに関する項を参照してください。
構成ウィザードの起動
ドメインの構成を開始するには、Oracle Fusion Middleware Oracleホームで次のコマンドを実行します。
IAD_ORACLE_HOME/oracle_common/common/bin/config.sh
Oracle Identity Governanceドメインを構成するための構成ウィザード画面のナビゲート
次の各項に示す手順に従って、静的または動的クラスタを含むトポロジのドメインを作成および構成します。
静的クラスタを含めるドメインの作成
この項で説明する手順を実行して、目的のトポロジのドメインを作成して構成します。
ドメインを作成して構成するためのタスクは次のとおりです。- タスク1 ドメイン・タイプとドメイン・ホームの場所の選択
-
「構成タイプ」画面で、「新規ドメインの作成」を選択します。
「ドメインの場所」フィールドで、「このガイドで使用するファイル・システムとディレクトリ変数」の定義に従って、IGD_ASERVER_HOME変数の値を指定します。
ヒント:
構成ウィザードのこの画面に示されるその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の構成タイプに関する項を参照してください。
「次」をクリックします。
- タスク2 構成テンプレートの選択
-
Oracle Identity Manager - 12.2.1.3.0 [idm]を選択すると、次のテンプレートが自動的に選択されます。
-
Oracle SOA Suite -12.2.1.3.0 [soa]
-
Oracle Enterprise Manager - 12.2.1.3.0[em]
-
Oracle WSM Policy Manager - 12.2.1.3.0[oracle_common]
-
Oracle JRF - 12.2.1.3.0[oracle_common]
-
WebLogic Coherenceクラスタの拡張 - 12.2.1.3.0[wlserver]
ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のテンプレートに関する項を参照してください。
「次」をクリックします。
-
- タスク3 高可用性オプションの構成
-
この画面は、自動サービス移行またはJDBCストアあるいはその両方を使用するクラスタを初めて作成するときに表示されます。クラスタに対してHAオプションを選択した後、構成ウィザードを使用してドメインに追加される後続のすべてのクラスタで、HAオプションが自動的に適用されます(つまり、構成ウィザードにより、JDBCストアが作成され、これらに対してASMが構成されます)。
ノート:
JDBCストアは、Oracleデータベースの一貫性、データ保護および高可用性の機能を活用して、クラスタのすべてのサーバーでリソースを利用できるようにすることをお薦めします。そのため、構成ウィザードの各ステップでは、JDBC永続ストアと自動サービス移行を一緒に使用すると想定しています。
なんらかの理由により、ファイル・ストアを使用する必要がある場合、この画面のTLOGおよびJMS永続ストア・オプションのデフォルト値を保持し、後でこれらを共有の場所で構成できます。「共有フォルダでのTLOGファイル永続ストアの構成」を参照してください。共有場所は、フェイルオーバーのシナリオでJMSとHAを再開するために必要です。
事後ステップでTLOGおよびJMS永続ストアを手動で構成することもできます。JDBCストアとファイル・ストアの違いや、手動で構成する具体的な手順は、「JDBC永続ストアとファイル永続ストアの比較」を参照してください。
「高可用性のオプション」画面で、次を実行します。
-
「データベース・リーシング」で、「自動サービス移行の有効化」を選択します。
-
「JTAトランザクション・ログ永続性」を「JDBC TLogストア」に設定します。
-
「JMSサーバー永続性」を「JMS JDBCストア」に設定します。
-
「次」をクリックします。
-
- タスク4 アプリケーション・ホームの場所の選択
-
「アプリケーションの場所」フィールドで、「このガイドで使用するファイル・システムとディレクトリ変数」の定義に従って、APPLICATION_HOME変数の値を指定します。
ヒント:
この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のアプリケーションの場所に関する項を参照してください。
「次」をクリックします。
- タスク5 管理者アカウントの構成
-
「管理者アカウント」画面では、ドメインに対するデフォルトのWebLogic管理者アカウントにユーザー名とパスワードを指定します。
この画面で指定したユーザー名およびパスワードをノートにとっておいてください。これらの資格証明は後でドメインの管理サーバーを起動して接続する際に必要になります。
「次」をクリックします。
- タスク6 ドメイン・モードとJDKの指定
-
「ドメイン・モードおよびJDK」画面では、次の操作を実行します。
-
「ドメイン・モード」フィールドで、「本番」を選択します。
-
「JDK」フィールドで「Oracle Hotspot JDK」を選択します。
「本番モード」をこの画面で選択すると、環境で高度なセキュリティが実現され、アプリケーションのデプロイと管理サーバーの起動でユーザー名とパスワードが必要になります。
ヒント:
開発モードと本番モードの違いなど、この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のドメイン・モードとJDKに関する項を参照してください。
本番モードでは、起動アイデンティティ・ファイルを作成することで、管理サーバーの起動時に必要なユーザー名とパスワードの指定を省略できます。「boot.propertiesファイルの作成」を参照してください。
「次」をクリックします。
-
- タスク7 データベース構成タイプの指定
-
「データベース構成タイプ」画面で、次のようにします。
-
「RCUデータ」を選択して、この画面に示されるフィールドをアクティブ化します。
「RCUデータ」オプションによってデータベースおよびサービス表(STB)スキーマに接続し、ドメインの構成に必要なスキーマのスキーマ情報を自動的に受け取るように構成ウィザードで指定できます。
-
「ベンダー」が「Oracle」であり、「ドライバ」が「*Oracle's Driver (Thin) for Service Connections; Versions: Any」であることを確認します。
-
「接続パラメータ」が選択されていることを確認します。
ノート:
この画面の「手動構成」を選択した場合は、「JDBCコンポーネント・スキーマ」画面でスキーマのパラメータを手動で入力する必要があります。
「RCUデータ」を選択したら、次の表に示すフィールドに入力します。
フィールド 説明 ホスト名
Enterprise Deployment Workbookに入力したOracle RACデータベースのSingle Client Access Name (SCAN)アドレスを入力します。
エンタープライズ・デプロイメント・ワークブックの詳細は、「エンタープライズ・デプロイメント・ワークブックの使用」を参照してください。
DBMS/サービス
製品スキーマをインストールする、このドメインに適切なOracle RACデータベースのサービス名を入力します。たとえば:
iamedg.example.com
「エンタープライズ・デプロイメント用のデータベースの準備」の項ですでに構成している値に基づいて、サービス名を指定します。
ポート
データベースがリスニングするポート番号を入力します。たとえば、
1521
にします。スキーマ所有者
スキーマ・パスワード
データベースのサービス表スキーマに接続するためのユーザー名とパスワードを入力します。
これはRCUの「スキーマ・パスワード」画面でサービス表コンポーネントに指定したスキーマ(「データベース・スキーマの作成」を参照)のユーザー名およびパスワードです。
デフォルトのユーザー名は
prefix
_STB
であり、この場合prefix
はRCUで定義したカスタム接頭辞です。データベース接続情報の指定が完了したら、「RCU構成の取得」をクリックします。操作に成功すると、「接続結果ログ」に次の出力が示されます。
Connecting to the database server...OK Retrieving schema data from database server...OK Binding local schema components with retrieved data...OK Successfully Done.
データベースへの接続に成功したら、「次へ」をクリックします。
ヒント:
「RCUデータ」オプションの詳細は、『リポジトリ作成ユーティリティを使用したスキーマの作成』のサービス表スキーマの理解に関する項を参照してください。
この画面のその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のデータ・ソース・デフォルトに関する項を参照してください
-
- タスク8 JDBCコンポーネント・スキーマ情報の指定
-
「JDBCコンポーネント・スキーマ」画面に示される値が、すべてのスキーマに対して適切であることを確認します。
前の画面でRCUデータの取得を選択しているため、スキーマ表は移入済のはずです。その結果、構成ウィザードはこのドメインに必要なすべてのスキーマのデータベース接続値を見つけることができます。
この時点では、これらの値は単一インスタンスのデータベースに接続するように構成されています。ただし、エンタープライズ・デプロイメントの場合、「エンタープライズ・デプロイメント用のデータベースの準備」の説明のように、可用性の高いReal Application Clusters (RAC)データベースを使用する必要があります。
さらに、各コンポーネント・スキーマでアクティブなGridLinkデータ・ソースを使用することをお薦めします。GridLinkデータ・ソースを使用してRACデータベースに接続する利点の詳細は、 『高可用性ガイド』の「データベースに関する考慮事項」を参照してください。
データ・ソースをGridLinkに変換するには:
-
スキーマ表の最初のヘッダー行にあるチェック・ボックスを選択することですべてのスキーマを選択します。
-
「GridLinkへ変換」をクリックし、「次へ」をクリックします。
-
- タスク9 GridLink Oracle RACデータベース接続の詳細情報の指定
-
「GridLink Oracle RACコンポーネント・スキーマ」画面で、次の表に示すように、RACデータベースおよびコンポーネント・スキーマへの接続に必要な情報を入力します。
要素 説明と推奨値 SCAN、ホスト名とポート
「SCAN」チェック・ボックスを選択します。
「ホスト名」フィールドに、Oracle RACデータベースのSingle Client Access Name (SCAN)アドレスを入力します。
「ポート」フィールドには、データベースのSCANリスニング・ポートを入力します(
1521
など)「ONSホスト」と「ポート」
「ONSホスト」フィールドには、Oracle RACデータベースのSCANアドレスを入力します。
「ポート」フィールドには、ONSリモート・ポートを入力します(通常は
6200
)。FANの有効化
データベースがFANイベントを受信して処理できるように、「FANの有効化」チェック・ボックスが選択されていることを確認します。
この画面で情報を指定する方法および適切なSCANアドレスの特定方法の詳細は、『高可用性ガイド』のOracle RACでのアクティブなGridLinkデータ・ソースの構成に関する項を参照してください。
また、「ヘルプ」をクリックすると、画面の各フィールドの簡単な説明を表示できます。
「次」をクリックします。
- タスク10 JDBC接続のテスト
-
「JDBCコンポーネント・スキーマ・テスト」画面を使用して、構成したデータソース接続をテストします。
「ステータス」列に示される緑色のチェック・マークは、テストが成功したことを表します。問題が発生した場合は、この画面の「接続結果ログ」セクションに示されるエラー・メッセージを確認し、問題を修正してから接続テストを再試行してください。
ヒント:
この画面のその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のコンポーネント・スキーマのテストに関する項を参照してください
「次」をクリックします。
- タスク11 資格証明の入力
-
Oracle Identity Governanceコンポーネントに使用する資格証明を入力します。様々なオブジェクトに対して、ユーザー名とパスワードの両方を選択できます。
-
キーストア: ユーザー名はkeystoreに設定し、パスワードは自動的に作成されるすべてのキーストアに対して使用するパスワードに設定します。
-
OIMSchemaPassword: ユーザー名は、前述の項で作成したOIMスキーマに設定します。たとえば、
IGD_OIM
(ユーザー名)およびそれに関連付けられたパスワードです。 -
Sysadmin: これはOIMに使用する管理ユーザーです。通常、これは
xelsysadm
になりますが、任意に設定できます。パスワードは、このアカウントに使用する値に設定します。 -
WebLogicAdminKey: これはドメイン管理者のユーザー名およびパスワードです。たとえば、
weblogic
です。
「次」をクリックします。
-
- タスク12 キーストア
-
この画面を使用して、ドメインで使用されるキーストアの詳細を指定します。
標準的なエンタープライズ・デプロイメントの場合、デフォルト値をそのまま使用できます。
詳細は、構成ウィザードによるWebLogicドメインの作成のキーストアを参照してください。
「次」をクリックします。
- タスク13 拡張構成の選択
-
ノート:
これはアクセス・インフラストラクチャでは不要です。
目的のトポロジに応じたドメインの構成を完了するには、「拡張構成」画面で次のオプションを選択します。
-
管理サーバー
これは、管理サーバーのリスニング・アドレスを適切に構成するために必要です。
-
ノード・マネージャ
これは、ノード・マネージャを構成するために必要です。
-
トポロジ
サーバー・テンプレート、管理対象サーバー、クラスタ、仮想ターゲットおよびCoherenceの設定の追加、削除または変更に必要です。
-
ドメイン・フロントエンド・ホストのキャプチャ:
これにより、OIMのパブリック・エントリ・ポイントを指定できます。
ノート:
構成ウィザードの「拡張構成」を使用するとき、画面で前述のオプションのいずれかが使用可能でない場合は、「テンプレート」画面に戻り、このトポロジに必要なテンプレートが選択されていることを確認します。
「次」をクリックします。
-
- タスク14 管理サーバーのリスニング・アドレスの構成
-
「管理サーバー」画面で、次の手順を実行します。
-
「サーバー名」フィールドで、デフォルト値(AdminServer. )を維持します
-
「リスニング・アドレス」フィールドに、「エンタープライズ・デプロイメント用のリソースの取得」で取得して「エンタープライズ・デプロイメント用のホスト・コンピュータの準備」で有効化したADMINVHNのVIPに対応する仮想ホスト名を入力します。
ADMINVHN仮想ホストを使用する理由の詳細は、「エンタープライズ・デプロイメント用の必須IPアドレスの予約」を参照してください。
-
「リスニング・ポート」フィールドに、管理サーバーにアクセスするポート番号を入力します。このガイドでは、Governanceにはデフォルト・ポート
7101
を使用するよう推奨しています。他のフィールドでは、デフォルト値をそのまま使用します。特に、管理サーバーにサーバー・グループが割り当てられていないことを確認してください。
「次」をクリックします。
-
- タスク15 ノード・マネージャの構成
-
ノード・マネージャ・タイプとして「ドメインごとのデフォルトの場所」を選択し、ノード・マネージャへの接続に使用する次のノード・マネージャ資格証明を指定します。
-
ユーザー名: これは、ノード・マネージャへの接続に使用するユーザー名です。たとえば、
admin
などです。 -
パスワードとパスワードの確認: ノード・マネージャのユーザー名に関連付けるパスワードを入力します。
ヒント:
この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のノード・マネージャに関する項を参照してください。
ドメインごとおよびホストごとのノード・マネージャの実装の詳細は、「標準的なエンタープライズ・デプロイメントのノード・マネージャ構成について」を参照してください。
ノード・マネージャの構成については、『Oracle WebLogic Serverノード・マネージャの管理』の複数マシンでのノード・マネージャの構成に関する項を参照してください。
「次」をクリックします。
-
- タスク16 管理対象サーバーの構成
-
「管理対象サーバー」画面で、2台の管理対象サーバーを新規作成します。
-
「追加」ボタンをクリックして、1台の管理対象サーバーを新規作成します。
-
「サーバー名」列で
WLS_WSM1
を指定します。 -
「リスニング・アドレス」列にOIMHOST1と入力します。
OIMHOST1に対応するホスト名を必ず入力して、IPアドレスは使用しないでください。
-
「リスニング・ポート」列に
WSM_PORT – 7010
と入力します。 -
「サーバー・グループ」ドロップダウン・リストで、JRF-MAN-SVRおよびWSMPM-MAN-SVRを選択します。
これらのサーバー・グループによって、Oracle JRFとOracle Web Services Manager (OWSM)のサービスが、作成中の管理対象サーバーにターゲット設定されます。
サーバー・グループは、定義されたアプリケーション・サービスのグループをそれぞれに定義されたサーバー・グループにマッピングすることで、Fusion Middlewareアプリケーションおよびサービスを1つ以上のサーバーにターゲット設定します。特定のサーバー・グループにマップされた任意のアプリケーション・サービスは、そのグループに割り当てられたすべてのサーバーに自動的にターゲット指定されます。『ドメイン・テンプレート・リファレンス』のアプリケーション・サービス・グループ、サーバー・グループおよびアプリケーション・サービス・マッピングに関する項を参照してください。
ノート:
Oracle Web ServicesのNonceキャッシュは、WSM-CACHE-SVRサーバー・グループによって自動的に初期化され、ほとんどのアプリケーションに適しています。この初期化は、SOA、OSB、およびJRFを実行してCoherenceクラスタを作成する他のFMWサーバーで自動的に実行されます。Nonceは、SOAPリクエストで1回のみ使用できる一意の番号で、リプレイ攻撃を防止するために使用されます。Nonceキャッシュは、Webサービス・アプリケーションを実行する管理対象サーバーの追加された台数にあわせて自然に変化します。
拡張キャッシュ構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のOracle CoherenceでのNonceのキャッシュに関する項を参照してください。この項では、カスタムWLSサーバーでのNonceキャッシュとWSM-CACHE-SVRサーバー・グループの使用に関する追加のガイダンスを示します。
-
このプロセスを繰り返して、
WLS_WSM2
という名前の2つ目の管理対象サーバーを作成します。「リスニング・アドレス」にOIMHOST2と入力します。「リスニング・ポート」に7010と入力します。最初の管理対象サーバーに適用したものと同じサーバー・グループをWLS_WSM2に適用します。
この手順で推奨する管理対象サーバー名(WLS_WSM1およびWLS_WSM2)はこのドキュメント全体で参照します。別の名前を選択した場合は、必要に応じてそれらの名前に置き換えてください。
「管理対象サーバー」画面で、サーバーのリストにOracle SOA SuiteおよびOracle Identity Manger用の新しい管理対象サーバーが表示されます。このサーバーは、表9-3で選択したOracle SOA Suite構成テンプレートによって自動的に作成されました。
次のタスクを実行して、デフォルトのOracle SOA SuiteおよびOracle Identity Manager管理対象サーバーを変更して2つ目の管理対象サーバーを作成します。
-
デフォルトの管理対象サーバー
oim_server1
の名前をWLS_OIM1
に変更します。デフォルトの管理対象サーバー
soa_server1
の名前をWLS_SOA1
に変更します。 -
「追加」をクリックして新しいOracle Identity Governance管理対象サーバーを作成し、
WLS_OIM2
という名前を付けます。ヒント:
ここで推奨するサーバー名は、このドキュメント全体で使用します。別の名前を選択する場合は、必要に応じてそれらの名前に置き換えてください。
-
「追加」をクリックして新しいOracle SOA Suite管理対象サーバーを作成し、それに
WLS_SOA2
という名前を付けます。 -
Oracle Identity Governance管理対象サーバーの詳細に記載されている情報を参照して、各Oracle Identity Governance管理対象サーバーについて残りの列を入力します。
「管理対象サーバー」画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の管理対象サーバーに関する項を参照してください。
サーバー名 リスニング・アドレス リスニング・ポート SSLの有効化 SSLリスニング・ポート サーバー・グループ WLS_OIM1
OIMHOST1
14000
なし
無効
OIM-MGD-SVRS
WLS_OIM2
OIMHOST2
14000
なし
無効
OIM-MGD-SVRS
WLS_SOA1
OIMHOST1
8001
なし
無効
SOA-MGD-SVRS-ONLY
WLS_SOA2
OIMHOST2
8001
なし
無効
SOA-MGD-SVRS-ONLY
「次」をクリックします。
-
- タスク17 クラスタの構成
-
このタスクでは、管理対象サーバーの各セットに対してクラスタを作成します。その後、Oracle Identity GovernanceおよびOracle SOA Suiteコンポーネントを関連するクラスタにターゲット設定できます。
次のクラスタを作成します。
-
OIM_Cluster
-
SOA_Cluster
-
WSM-PM_Cluster
「クラスタ」画面を使用して、新しいクラスタを作成します。
-
「追加」ボタンをクリックします。
-
「クラスタ名」フィールドにクラスタ名を指定します。
-
「動的サーバー・グループ」ドロップダウン・リストで、
「未指定」
を選択します。 -
このステップを繰り返して、すべてのクラスタを作成します。
ノート:
デフォルトでは、クラスタ内のサーバー・インスタンスは、ユニキャストを使用して相互に通信します。マルチキャストを使用するようにクラスタの通信を変更する場合は、『Oracle WebLogic Serverクラスタの管理』のユニキャストかマルチキャストかを選択する際の考慮事項に関する項を参照してください。
「次」をクリックします。
この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のクラスタに関する項を参照してください。
-
- タスク18 サーバー・テンプレートの割当て
-
「次」をクリックします。
- タスク19 動的サーバーの構成
-
静的クラスタとして残そうとするクラスタに対して、動的サーバーのすべてのオプションが無効になっていることを確認します。
-
この画面の「動的クラスタ」、「計算済リスニング・ポート」および「計算済マシン名」チェック・ボックスの選択が解除されていることを確認します。
-
「サーバー・テンプレート」で「未指定」が選択されていることを確認します。
-
「次」をクリックします。
ノート:
アクセス・インフラストラクチャを作成している場合は、この画面は表示されません。 -
- タスク20 クラスタへの管理対象サーバーの割当て
-
「サーバーのクラスタへの割当」画面で、作成したクラスタに管理対象サーバーを割り当てます。これが完了すると、次の割当てが行われます。
クラスタ 管理対象サーバー OIM_Cluster
WLS_OIM1
WLS_OIM2
SOA_Cluster
WLS_SOA1
WLS_SOA2
WSM-PM_Cluster
WLS_WSM1
WLS_WSM2
-
「クラスタ」ペインで、サーバーを割り当てるクラスタを選択します。
-
「サーバー」ペインで、次のいずれかの方法を使用して、前述の表のように管理対象サーバーをクラスタに割り当てます。
-
管理対象サーバーをクリックして選択し、右矢印をクリックして「クラスタ」ペインで選択されているクラスタの下に移動します。
-
管理対象サーバーをダブルクリックして、「クラスタ」ペインで選択されているクラスタの下に移動します。
-
-
この手順を繰り返して、各管理対象サーバーを各クラスタに割り当てます。
-
「次」をクリックします。
この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のサーバーのクラスタへの割当てに関する項を参照してください。
-
- タスク21 Coherenceクラスタの構成
-
「Coherenceクラスタ」画面を使用して、ドメインに自動的に追加されるCoherenceクラスタを構成します。
「クラスタ・リスニング・ポート」に
9991
と入力します。ノート:
Coherenceライセンス情報については、Oracle Fusion Middlewareライセンス情報ユーザー・マニュアルのOracle Coherence製品に関する項を参照してください。
「次」をクリックします。
- タスク22 マシンの作成
-
「マシン」画面を使用して、ドメイン内に新規マシンを作成します。マシンは、ノード・マネージャでサーバーを起動または停止できるようにするために必要です。
トポロジに管理サーバーのみが含まれている場合でも、マシンを作成する必要があります。
-
「Unixマシン」タブを選択します。
-
「追加」ボタンをクリックし、新しいUNIXマシンを作成します。
「Unixマシンの作成時に使用する値」の値を使用して、各マシンの名前およびノード・マネージャ・リスニング・アドレスを定義します。
-
「ノード・マネージャ・リスニング・ポート」フィールドのポート番号を確認します。
この例に示されているポート番号
5556
は、このドキュメントの別の例でも引用されることがあります。このポート番号は、必要に応じて各自のポート番号に置換してください。
表15-2 Unixマシンの作成時に使用する値
名前 ノード・マネージャのリスニング・アドレス ノード・マネージャのリスニング・ポート ADMINHOST
ADMINVHN変数の値を入力します。
5556
OIMHOST1
OIMHOST1ホスト名変数またはOIMHOST1別名の値。たとえば、
OIMHOST1.example.com
となります。5556
OIMHOST2
OIMHOST2ホスト名変数またはOIMHOST2別名の値。たとえば、
OIMHOST2.example.com
となります。5556
ノート:
OIMをOracle Access Management (OAM)と同じホストにインストールしている場合は、ノード・マネージャのポートが各デプロイメントに対して一意であることを確認してください。ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のマシンに関する項を参照してください。
「次」をクリックします。
-
- タスク23 マシンへのサーバーの割当て
-
「サーバーのマシンへの割当」画面を使用して、Oracle Identity Governance管理対象サーバーをドメイン内の対応するマシンに割り当てます。
次の表に示すように、マシンを割り当てます。
サーバー マシン AdminHost AdminServer WLS_OIM1
WLS_SOA1
WLS_WSM1
OIMHOST1
WLS_OIM2
WLS_SOA2
WLS_WSM2
OIMHOST2
-
「マシン」ペインで、サーバーを割り当てるマシンを選択します。
-
「サーバー」ペインで、次のいずれかの方法を使用して、前述の表のように管理対象サーバーをマシンに割り当てます。
-
管理対象サーバーをクリックして選択し、右矢印をクリックして「マシン」ペインで選択されているマシンの下に移動します。
-
管理対象サーバーをダブルクリックして、「マシン」ペインで選択されているマシンの下に移動します。
-
-
この手順を繰り返して、各管理対象サーバーを各マシンに割り当てます。
-
「次」をクリックします。
この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のサーバーのマシンへの割当てに関する項を参照してください。
-
- タスク24 仮想ターゲットの作成
-
「次」をクリックします。
- タスク25 パーティションの作成
-
「次」をクリックします。
- タスク26 ドメイン・フロントエンド・ホストの構成
-
「ドメイン・フロントエンド・ホスト」画面で、OIMのメイン・エントリ・ポイントを指定します。これは、ロード・バランサの名前と同じになります。たとえば、「プレーン」を
http://prov.example.com
に設定します。ノート:
この値は指定しますが、使用することはありません。SSL: https://prov.example.com
デフォルト: SSL
「次」をクリックします。
- タスク27 構成の仕様の確認とドメインの構成
-
「構成サマリー」画面には、これから作成するドメインに関する詳細な構成情報が表示されます。この画面に示された各項目の詳細を調べて、情報に間違いがないことを確認します。
変更が必要な場合は、「戻る」ボタンを使用するか、ナビゲーション・ペインで画面を選択することで任意の画面に戻れます。
ドメイン作成は、「作成」をクリックするまでは開始されません。
ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の構成サマリーに関する項を参照してください。
「次」をクリックします。
- タスク28 ドメイン・ホームと管理サーバーURLのメモ
-
「構成に成功しました」画面には、構成したばかりのドメインについて、次の項目が表示されます。
-
ドメインの場所
-
管理サーバーURL
どちらの項目も後で必要になるため、ノートにとっておく必要があります。ドメインの場所は、管理サーバーの起動に使用するスクリプトへのアクセスで必要になります。
「終了」をクリックして、構成ウィザードを閉じます。
-
静的クラスタを含めるドメインの作成が完了したら、「Oracle Identity Managerオーセンティケータの作成」に進みます。
動的クラスタを含めるドメインの作成
この項で説明する手順を実行して、目的のトポロジのドメインを作成して構成します。
- タスク1 ドメイン・タイプとドメイン・ホームの場所の選択
-
「構成タイプ」画面で、「新規ドメインの作成」を選択します。
「ドメインの場所」フィールドで、「このガイドで使用するファイル・システムとディレクトリ変数」の定義に従って、ASERVER_HOME変数の値を指定します。
ヒント:
構成ウィザードのこの画面に示されるその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の構成タイプに関する項を参照してください。
「次」をクリックします。
- タスク2 構成テンプレートの選択
-
「テンプレート」画面では、「製品テンプレートを使用してドメインを作成」が選択されていることを確認し、次のテンプレートを選択します。
-
Oracle Identity Manager - 12.2.1.3.0 [oim]
「Oracle SOA Suite」も選択されます。
-
Oracle Enterprise Manager -12.2.1.3.0[em]
このテンプレートを選択すると、次の依存性が自動的に選択されます。
-
Oracle JRF -12.2.1.3.0[oracle_common]
-
WebLogic Coherenceクラスタの拡張 -12.2.1.3.0 [wlserver]
-
-
Oracle WSM Policy Manager -12.2.1.3.0[oracle_common]
ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のテンプレートに関する項を参照してください。
「次」をクリックします。
-
- タスク3 高可用性オプションの構成
-
この画面は、自動サービス移行またはJDBCストアあるいはその両方を使用するクラスタを初めて作成するときに表示されます。クラスタに対してHAオプションを選択した後、構成ウィザードを使用してドメインに追加される後続のすべてのクラスタで、これらのHAオプションが自動的に適用されます。
「高可用性のオプション」画面で、次のステップを実行します。
-
「自動サービス移行の有効化」が選択されていないことを確認します。
-
「JTAトランザクション・ログ永続性」オプションとして「デフォルトの永続ストア」が選択されていることを確認します。
-
JMSサービス永続性オプションとして「JDBCストア」を選択します。
構成ウィザードを使用して動的クラスタに構成できるのは、JMSサーバー永続性のみです。構成ウィザードを使用して、サービス移行とJTAトランザクション・ログ永続性を動的クラスタに構成することはできません。手動で構成する必要があります。手順は、このガイドで後述します。
「次」をクリックします。
-
- タスク4 アプリケーション・ホームの場所の選択
-
「アプリケーションの場所」フィールドで、「このガイドで使用するファイル・システムとディレクトリ変数」の定義に従って、APPLICATION_HOME変数の値を指定します。
ヒント:
この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のアプリケーションの場所に関する項を参照してください。
「次」をクリックします。
- タスク5 管理者アカウントの構成
-
「管理者アカウント」画面では、ドメインに対するデフォルトのWebLogic管理者アカウントにユーザー名とパスワードを指定します。
この画面で指定したユーザー名およびパスワードをノートにとっておいてください。これらの資格証明は後で管理サーバー・ドメインを起動して接続する際に必要です。
「次」をクリックします。
- タスク6 ドメイン・モードとJDKの指定
-
「ドメイン・モードおよびJDK」画面では、次の操作を実行します。
-
「ドメイン・モード」フィールドで、「本番」のみを選択します。
-
「JDK」フィールドで「Oracle Hotspot JDK」を選択します。
「本番モード」をこの画面で選択すると、環境で高度なセキュリティが実現され、アプリケーションのデプロイと管理サーバーの起動でユーザー名とパスワードが必要になります。
ヒント:
開発モードと本番モードの違いなど、この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のドメイン・モードとJDKに関する項を参照してください。
本番モードでは、起動アイデンティティ・ファイルを作成することで、管理サーバーの起動時に必要なユーザー名とパスワードの指定を省略できます。「boot.propertiesファイルの作成」を参照してください。
「次」をクリックします。
-
- タスク7 データベース構成タイプの指定
-
「データベース構成タイプ」画面で、次のようにします。
-
「RCUデータ」を選択して、この画面に示されるフィールドをアクティブ化します。
「RCUデータ」オプションは、構成ウィザードでデータベースとサービス表(STB)スキーマに接続するよう指示します。この接続は、スキーマがドメインを構成するためのスキーマ情報を自動的に取得します。
-
「ベンダー」が「Oracle」であり、「ドライバ」が「*Oracle's Driver (Thin) for Service Connections; Versions: Any」であることを確認します。
-
「接続パラメータ」が選択されていることを確認します。
ノート:
この画面の「手動構成」を選択した場合は、「JDBCコンポーネント・スキーマ」画面でスキーマのパラメータを手動で入力する必要があります。
「RCUデータ」を選択したら、次の表に示すフィールドに入力します。
フィールド 説明 ホスト名
Enterprise Deployment Workbookに入力したOracle RACデータベースのSingle Client Access Name (SCAN)アドレスを入力します。
DBMS/サービス
製品スキーマをインストールするOracle RACデータベースのサービス名を入力します。たとえば:
orcl.example.com
必ずOracle RACデータベース内のすべてのインスタンスの識別に使用される共通サービス名を指定してください。ホスト固有のサービス名は使用しないでください。
ポート
データベースがリスニングするポート番号を入力します。たとえば、
1521
にします。スキーマ所有者
スキーマ・パスワード
データベースのサービス表スキーマに接続するためのユーザー名とパスワードを入力します。
RCUの「スキーマ・パスワード」画面でサービス表コンポーネントに指定したスキーマ(「データベース・スキーマの作成」を参照)のユーザー名およびパスワードを、ここで使用します。
デフォルトのユーザー名は
prefix
_STB
であり、この場合prefix
はRCUで定義したカスタム接頭辞です。データベース接続情報の指定が完了したら、「RCU構成の取得」をクリックします。操作に成功すると、「接続結果ログ」に次の出力が示されます。
Connecting to the database server...OK Retrieving schema data from database server...OK Binding local schema components with retrieved data...OK Successfully Done.
データベースへの接続に成功したら、「次へ」をクリックします。
ヒント:
「RCUデータ」オプションの詳細は、『リポジトリ作成ユーティリティを使用したスキーマの作成』のサービス表スキーマの理解に関する項を参照してください。
この画面のその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のデータ・ソース・デフォルトに関する項を参照してください
-
- タスク8 JDBCコンポーネント・スキーマ情報の指定
-
「JDBCコンポーネント・スキーマ」画面に示される値が、すべてのスキーマに対して適切であることを確認します。
前の画面でRCUデータの取得を選択しているため、スキーマ表は移入済です。その結果、構成ウィザードはこのドメインに必要なすべてのスキーマのデータベース接続値を見つけることができます。
この時点では、これらの値は単一インスタンスのデータベースに接続するように構成されています。ただし、エンタープライズ・デプロイメントの場合、「エンタープライズ・デプロイメント用のデータベースの準備」の説明のように、可用性の高いReal Application Clusters (RAC)データベースを使用する必要があります。
さらに、各コンポーネント・スキーマでアクティブなGridLinkデータ・ソースを使用することをお薦めします。GridLinkデータ・ソースを使用してRACデータベースに接続する利点の詳細は、『高可用性ガイド』の「データベースに関する考慮事項」を参照してください。
データ・ソースをGridLinkに変換するには:
-
スキーマ表の最初のヘッダー行にあるチェック・ボックスを選択することですべてのスキーマを選択します。
-
「GridLinkへ変換」をクリックし、「次へ」をクリックします。
-
- タスク9 GridLink Oracle RACデータベース接続の詳細情報の指定
-
「GridLink Oracle RACコンポーネント・スキーマ」画面で、次の表に示すように、RACデータベースおよびコンポーネント・スキーマへの接続に必要な情報を入力します。
要素 説明と推奨値 SCAN、ホスト名とポート
「SCAN」チェック・ボックスを選択します。
「ホスト名」フィールドに、Oracle RACデータベースのSingle Client Access Name (SCAN)アドレスを入力します。
「ポート」フィールドには、データベースのSCANリスニング・ポートを入力します(
1521
など)「ONSホスト」と「ポート」
「ONSホスト」フィールドには、Oracle RACデータベースのSCANアドレスを入力します。
「ポート」フィールドには、ONSリモート・ポートを入力します(通常は
6200
)。FANの有効化
データベースがFANイベントを受信して処理できるように、「FANの有効化」チェック・ボックスが選択されていることを確認します。
この画面で情報を指定する方法および適切なSCANアドレスの特定方法の詳細は、『高可用性ガイド』のOracle RACでのアクティブなGridLinkデータ・ソースの構成に関する項を参照してください。
また、「ヘルプ」をクリックすると、画面の各フィールドの簡単な説明を表示できます。
「次」をクリックします。
- タスク10 JDBC接続のテスト
-
「JDBCコンポーネント・スキーマ・テスト」画面を使用して、構成したデータソース接続をテストします。
「ステータス」列に示される緑色のチェック・マークは、テストが成功したことを表します。問題が発生した場合は、この画面の「接続結果ログ」セクションに示されるエラー・メッセージを確認し、問題を修正してから接続テストを再試行してください。
ヒント:
この画面のその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のコンポーネント・スキーマのテストに関する項を参照してください
「次」をクリックします。
- タスク11 資格証明の入力
-
Oracle Identity Governanceコンポーネントに使用する資格証明を入力します。様々なオブジェクトに対して、ユーザー名とパスワードの両方を選択できます。
-
キーストア: ユーザー名はkeystoreに設定し、パスワードは自動的に作成されるすべてのキーストアに対して使用するパスワードに設定します。
-
OIMSchemaPassword: ユーザー名は、前述の項で作成したOIMスキーマに設定します。たとえば、
IGD_OIM
(ユーザー名)およびそれに関連付けられたパスワードです。 -
Sysadmin: これはOIMに使用する管理ユーザーです。通常、これは
xelsysadm
になりますが、任意に設定できます。パスワードは、このアカウントに使用する値に設定します。 -
WebLogicAdminKey: これはドメイン管理者のユーザー名およびパスワードです。たとえば、
weblogic
です。
「次」をクリックします。
-
- タスク12 キーストア
-
この画面を使用して、ドメインで使用されるキーストアの詳細を指定します。
標準的なエンタープライズ・デプロイメントの場合、デフォルト値をそのまま使用できます。
詳細は、構成ウィザードによるWebLogicドメインの作成のキーストアを参照してください。
「次」をクリックします。
- タスク13 拡張構成の選択
-
目的のトポロジに応じたドメインの構成を完了するには、「拡張構成」画面で次のオプションを選択します。
-
管理サーバー
これは、管理サーバーのリスニング・アドレスを構成するために必要です。
-
ノード・マネージャ
これは、ノード・マネージャを構成するために必要です。
-
トポロジ
サーバー・テンプレート、管理対象サーバー、クラスタ、仮想ターゲットおよびCoherenceの設定の追加、削除または変更に必要です。
ノート:
構成ウィザードの「拡張構成」画面を使用するときは、次のようにします。
-
この画面で前述のオプションのいずれかが使用可能でない場合は、「テンプレート」画面に戻り、このトポロジに必要なテンプレートが選択されていることを確認します。
-
「ドメイン・フロントエンド・ホストのキャプチャ」拡張構成オプションを選択しないでください。後で、ドメインに対してではなく特定のクラスタに対してフロントエンド・ホスト・プロパティを構成します。
「次」をクリックします。
-
- タスク14 管理サーバーのリスニング・アドレスの構成
-
「管理サーバー」画面で、次の手順を実行します。
-
「サーバー名」フィールドで、デフォルト値(
AdminServer
)を維持します。 -
「リスニング・アドレス」フィールドに、「エンタープライズ・デプロイメント用のリソースの取得」で取得して「エンタープライズ・デプロイメント用のホスト・コンピュータの準備」で有効化したADMINVHNのVIPに対応する仮想ホスト名を入力します。
ADMINVHN仮想ホストを使用する理由の詳細は、「エンタープライズ・デプロイメント用の必須IPアドレスの予約」を参照してください。
-
「リスニング・ポート」フィールドに、管理サーバーにアクセスするポート番号を入力します。このガイドでは、Accessにはデフォルト・ポート7001、Governanceには7101を使用するよう推奨しています。
他のフィールドでは、デフォルト値をそのまま使用します。特に、管理サーバーにサーバー・グループが割り当てられていないことを確認してください。
「次」をクリックします。
-
- タスク15 ノード・マネージャの構成
-
ノード・マネージャ・タイプとして「ドメインごとのデフォルトの場所」を選択し、ノード・マネージャへの接続に使用する次のノード・マネージャ資格証明を指定します。
-
ユーザー名: これは、ノード・マネージャへの接続に使用するユーザー名です。たとえば、
admin
などです。 -
パスワードとパスワードの確認: ノード・マネージャのユーザー名に関連付けるパスワードを入力します。
ヒント:
この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のノード・マネージャに関する項を参照してください。
ドメインごとおよびホストごとのノード・マネージャの実装の詳細は、「標準的なエンタープライズ・デプロイメントのノード・マネージャ構成について」を参照してください。
詳細は、『Oracle WebLogic Serverノード・マネージャの管理』の複数マシンでのノード・マネージャの構成に関する項を参照してください。
「次」をクリックします。
-
- タスク16 管理対象サーバーの構成
-
「管理対象サーバー」画面で、サーバーのリストにOracle Identity Governance用の新しい管理対象サーバーが表示されます。これらのサーバーは、「このガイドで使用するファイル・システムとディレクトリ変数」で選択したOracle Identity Governance構成テンプレートによって自動的に作成されたものです。
動的クラスタ構成に静的管理対象サーバー定義は必要ありません。デフォルトの管理対象サーバーを削除するには、次のステップを実行します。
-
管理対象サーバー_をクリックします。
-
「削除」をクリックします。
-
管理対象サーバーごとに、この手順を繰り返します。
-
「次」をクリックします。
-
- タスク17 クラスタの構成
-
このタスクでは、Oracle Identity Governanceソフトウェアのターゲットとすることができる管理対象サーバーのクラスタを作成します。
「クラスタ」画面を使用して、新しいクラスタを作成します。
-
「追加」ボタンをクリックします。
-
「クラスタ名」フィールドに
OIM_Cluster
と指定します。 -
「動的サーバー・グループ」ドロップダウン・リストで、
OIM-DYN-CLUSTER
を選択します。 -
SOA_Cluster
という名前の2つ目のクラスタを作成し、動的サーバー・グループSOA-DYN-CLUSTER
を割り当てます。 -
WSM-PM_Clusterという名前の3つ目のクラスタを作成し、動的サーバー・グループWSMPM-DYN-CLUSTERを割り当てます。
ノート:
デフォルトでは、クラスタ内のサーバー・インスタンスは、ユニキャストを使用して相互に通信します。マルチキャストを使用するようにクラスタの通信を変更する場合は、『Oracle WebLogic Serverクラスタの管理』のユニキャストかマルチキャストかを選択する際の考慮事項に関する項を参照してください。
ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のクラスタに関する項を参照してください。
ヒント:
この画面に示されるオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のクラスタに関する項を参照してください。
「次」をクリックします。
-
- タスク18 サーバー・テンプレートの割当て
-
「サーバー・テンプレート」画面を使用して、テンプレートを構成します。
-
「名前」フィールドで
wsmpm-server-template
が選択されていることを確認します。 -
「リスニング・ポート」フィールドで、
7009
を指定します。 -
「SSLの有効化」 オプションは未選択のままにしておきます。
-
「名前」フィールドに
OIM-server-template
がリストされていることを確認します。 -
「リスニング・ポート」フィールドで、
13999
を指定します。 -
「SSLの有効化」オプションは未選択のままにしておきます。
-
テンプレートsoa-server-templateの「リスニング・ポート」に
8000
を指定します。 -
「次」をクリックします。
-
- タスク19 動的サーバーの構成
-
「動的クラスタ」画面を使用して、次のクラスタを構成します。
クラスタ名 サーバー名の接頭辞 サーバー・テンプレート 動的クラスタ・サイズ マシン名マッチング式 計算済マシン名 oim_cluster WLS_OIM oim-server-template 2 OIMHOST* 選択済 soa_cluster WLS_SOA soa-server-template 2 OIMHOST* 選択済 WSM-PM_Cluster WLS_WSM wsmpm-server-template 2 OIMHOST* 選択済 この画面で、次のステップを完了します。
-
「クラスタ名」フィールドに
OIM_Cluster
がリストされていることを確認します。 -
「サーバー名の接頭辞」フィールドに
WLS_OIM
を指定します。 -
「サーバー・テンプレート」ドロップダウン・リストで、
OIM-server-template
を選択します。 -
動的サーバー数フィールドに
2
を指定します。 -
「マシン名マッチング式」フィールドに
OIMHOST*
を指定します。 -
「計算済マシン名」、「計算済リスニング・ポート」および「動的クラスタ」の各フィールドを選択します。
ノート:
「計算済リスニング・ポート」オプションが選択された動的クラスタの場合、自動的に作成される動的管理対象サーバーごとに増分ポート番号が使用されます。つまり、動的サーバー1にはリスニング・ポート+1、動的サーバー2にはリスニング・ポート+2が使用されます。
構成済のリスニング・ポートは
13999
で、計算済のポートがチェックされるので、OIM動的サーバーは次のポートを使用します。-
WLS_OIM1:14000
-
WLS_OIM2:14001
構成済のSOAリスニング・ポートは
8000
で、計算済のポートがチェックされるので、SOA動的サーバーは次のポートを使用します。-
WLS_SOA1:8001
-
WLS_SOA2:8002
構成されたリスニング・ポートは7009で、計算済のポートが選択されているので、WSMPM動的サーバーは次のポートを使用します。
-
WLS_WSM1: 7010
-
WLS_WSM2: 7011
-
-
作成する各クラスタに対して、ステップ1から6を繰り返します。
-
「次」をクリックします。
ノート:
構成ウィザードでは、動的サーバー用の特定のリスニング・アドレスを指定することはできません。動的クラスタのメンバーであるWebLogicサーバーの特定のリスニング・アドレスの設定の詳細は、「動的クラスタ・サーバー・テンプレートのリスニング・アドレスの構成」を参照してください。
-
- タスク20 Coherenceクラスタの構成
-
「Coherenceクラスタ」画面を使用して、ドメインに自動的に追加されるCoherenceクラスタを構成します。
「クラスタ・リスニング・ポート」に
9991
と入力します。ノート:
Coherenceライセンス情報については、Oracle Fusion Middlewareライセンス情報ユーザー・マニュアルのOracle Coherence製品に関する項を参照してください。
「次」をクリックします。
- タスク21 マシンの作成
-
「マシン」画面を使用して、ドメイン内に新規マシンを作成します。マシンは、ノード・マネージャでサーバーを起動または停止できるようにするために必要です。
-
「Unixマシン」タブを選択します。
-
「追加」ボタンをクリックし、新しいUNIXマシンを作成します。
表15-3の値を使用して、各マシンの名前およびノード・マネージャ・リスニング・アドレスを定義します。
-
「ノード・マネージャ・リスニング・ポート」フィールドのポート番号を確認します。
この例に示されているポート番号
5556
は、このドキュメントの別の例でも引用されることがあります。このポート番号は、必要に応じて各自のポート番号に置換してください。
表15-3 Unixマシンの作成時に使用する値
名前 ノード・マネージャのリスニング・アドレス ノード・マネージャのリスニング・ポート ADMINHOST
ADMINVHN変数の値を入力します。
5556
OIMHOST1
OIMHOST1ホスト名変数またはOIMHOST1別名の値。たとえば、
OIMHOST1.example.com
となります。5556
OIMHOST2
OIMHOST2ホスト名変数またはOIMHOST2別名の値。たとえば、
OIMHOST2.example.com
となります。5556
ノート:
マシンの名前は、「マシン・マッチング式」フィールドで指定した値に連番が付いた名前になります。つまり、「マシン・マッチング式」フィールドに
OIMHOST*
を指定しておくと、マシンの名前はOIMHOST1、OIMHOST2のようになります。ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のマシンに関する項を参照してください。
「次」をクリックします。
-
- タスク22 マシンへのサーバーの割当て
-
「サーバーのマシンへの割当」画面を使用して、静的に定義された管理対象を適切なマシンに割り当てます。動的クラスタの一部であるサーバーは、計算済マシン名に自動的に割り当てられます。
AdminServerをADMINHOSTマシンに割り当てます。
「次」をクリックします。
- タスク23 仮想ターゲットの作成
-
「次」をクリックします。
- タスク24 パーティションの作成
-
「次」をクリックします。
- タスク25 構成の仕様の確認とドメインの構成
-
「構成サマリー」画面には、これから作成するドメインに関する詳細な構成情報が表示されます。この画面に示された各項目の詳細を調べて、情報に間違いがないことを確認します。
変更が必要な場合は、「戻る」ボタンを使用するか、ナビゲーション・ペインで画面を選択することで任意の画面に戻れます。
「更新」をクリックして、ドメインの拡張を実行します。
ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の構成サマリーに関する項を参照してください。
「次」をクリックします。
- タスク26 構成の仕様の確認とドメインの構成
-
「構成サマリー」画面には、これから作成するドメインに関する詳細な構成情報が表示されます。この画面に示された各項目の詳細を調べて、情報に間違いがないことを確認します。
変更が必要な場合は、「戻る」ボタンを使用するか、ナビゲーション・ペインで画面を選択することで任意の画面に戻れます。
「作成」をクリックすると、ドメインの作成が開始されます。
ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の構成サマリーに関する項を参照してください。
「次」をクリックします。
- タスク27 ドメイン・ホームと管理サーバーURLのメモ
-
「構成に成功しました」画面には、構成したドメインに関する次の項目が表示されます。
-
ドメインの場所
-
管理サーバーURL
どちらの項目も後で必要になるため、ノートにとっておく必要があります。ドメインの場所は、管理サーバーの起動に使用するスクリプトへのアクセスで必要になります。
「終了」をクリックして、構成ウィザードを閉じます。
-
Oracle Identity Managerオーセンティケータの作成
ドメインを起動する前に、ドメインにOracle Identity Manager (OIM)オーセンティケータを作成するためのスクリプトを実行する必要があります。
ドメイン・ディレクトリの構成とサーバーの起動
ドメインを作成してノード・マネージャを構成したら、追加のドメイン・ディレクトリを構成し、管理サーバーおよびAdminHost上の任意の管理対象サーバーを起動できます。
- 管理サーバー・ドメイン・ホームでのノード・マネージャの起動
IAD_ASERVER_HOMEドメイン・ディレクトリのドメインごとのノード・マネージャを起動するには、次のステップを使用します。 - boot.propertiesファイルの作成
管理サーバー資格証明を要求されずに管理サーバーを起動する場合は、boot.properties
を作成する必要があります。このステップは、エンタープライズ・デプロイメントで必要です。管理サーバーを起動すると、このファイルに入力した資格証明は暗号化されます。 - Derbyデータベースの無効化
- 管理対象サーバーでのIPv4ネットワーキングの使用の有効化
管理対象サーバーがIPv6ネットワーキングを使用するように構成されている場合、管理対象サーバーの起動時に問題が発生する可能性があります。このため、管理対象サーバーでIPv4ネットワーキングの使用を有効化する必要があります。 - IAMGovernanceDomainでのメモリー・パラメータの設定
- ノード・マネージャを使用した管理サーバーの起動
ドメインを構成し、ノード・マネージャを構成したら、ノード・マネージャを使用して管理サーバーを起動できます。エンタープライズ・デプロイメントでは、ドメイン内の管理サーバーおよびすべての管理対象サーバーの起動および停止にノード・マネージャが使用されます。 - 管理サーバーの検証
構成ステップに進む前に、管理サーバーが正常に起動していることを検証するために、管理サーバーにインストールおよび構成されているOracle WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlにアクセスできることを確認します。 - 管理対象サーバーの個別ドメイン・ディレクトリの作成
エンタープライズ・デプロイメント用にドメインを初期作成すると、ドメイン・ディレクトリは共有ディスクにあります。このデフォルトのドメイン・ディレクトリは、管理サーバーを実行するために使用されます。各管理対象サーバー・ホスト用に、ローカル記憶域にドメインのコピーを作成できます。ローカル(またはプライベート)記憶域上のドメイン・ディレクトリは、管理対象サーバーの実行に使用されます。 - OIMHOST1上の管理対象サーバー・ドメイン・ディレクトリでのノード・マネージャの起動
- 動的クラスタの使用時のリスニング・アドレスの構成
- OIMHOST1でのWLS_WSM1管理対象サーバーの起動と検証
ノード・マネージャを構成して管理対象サーバー・ドメイン・ディレクトリを作成したら、Oracle Enterprise Manager Fusion Middleware Controlを使用してOIMHOST1でWLS_WSM1管理対象サーバーを起動できます。
管理サーバー・ドメイン・ホームでのノード・マネージャの起動
これらのステップを実行して、IAD_ASERVER_HOMEドメイン・ディレクトリのドメインごとのノード・マネージャを起動します。
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
boot.propertiesファイルの作成
管理サーバー資格証明を求められることなく管理サーバーを起動する場合は、boot.properties
を作成する必要があります。このステップは、エンタープライズ・デプロイメントで必要です。管理サーバーを起動すると、このファイルに入力した資格証明は暗号化されます。
管理サーバーのboot.properties
ファイルを作成するには:
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
Derbyデータベースの無効化
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
管理対象サーバーでのIPv4ネットワーキングの使用の有効化
管理対象サーバーがIPv6ネットワーキングを使用するように構成されている場合、管理対象サーバーの起動時に問題が発生する可能性があります。このため、管理対象サーバーでIPv4ネットワーキングの使用を有効化する必要があります。
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
IAMGovernanceDomainでのメモリー・パラメータの設定
メモリー使用量を定義するIAMGovernanceDomain内の初期起動パラメータは、本番システムには不十分です。本番用にデプロイメントを使用している場合は、このパラメータの値を大きくすることをお薦めします。
次の例では、最小ヒープ・サイズを4GB、最大ヒープ・サイズを8GBに設定しています。メモリー割当てを変更するには、次のことを行います。
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
ノード・マネージャを使用した管理サーバーの起動
ドメインを構成し、ノード・マネージャを構成したら、ノード・マネージャを使用して管理サーバーを起動できます。エンタープライズ・デプロイメントでは、ドメイン内の管理サーバーおよびすべての管理対象サーバーの起動および停止にノード・マネージャが使用されます。
ノード・マネージャを使用して管理サーバーを起動するには:
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
管理サーバーの検証
構成ステップに進む前に、管理サーバーにインストールおよび構成されている、Oracle WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlにアクセスできることを確認し、管理サーバーが正常に起動したことを確認します。
Fusion Middleware Controlに移動するには、次のURLを入力し、Oracle WebLogic Server管理者の資格証明を使用してログインします。
http://IGDADMINVHN.example.com:7101/console
Oracle WebLogic Server管理コンソールに移動するには、次のURLを入力し、同じ管理者資格証明を使用してログインします。
http://IGDADMINVHN.example.com:7101/em
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
管理対象サーバーの個別ドメイン・ディレクトリを作成します
最初にエンタープライズ・デプロイメント用のドメインを作成すると、そのドメイン・ディレクトリは共有ディスク上に配置されます。このデフォルトのドメイン・ディレクトリは、管理サーバーを実行するために使用されます。各管理対象サーバー・ホスト用に、ローカル記憶域にドメインのコピーを作成できます。ローカル(またはプライベート)記憶域上のドメイン・ディレクトリは、管理対象サーバーの実行に使用されます。
ノート:
Oracle Access Management用のドメインを作成している場合は、このステップをこの時点で実行する必要はありません。これは、インフラストラクチャの作成時には、まだ管理対象サーバーが存在していないためです。
サーバーが共有記憶域にログを書き込むことによって発生する潜在的な競合とオーバーヘッドを排除するために、IGD_MSERVER_HOMEをローカル記憶域に配置することをお薦めします。また、必要なクラスおよびjarをドメイン・ディレクトリからロードするほうが高速であるため、管理対象サーバーがドメイン・ディレクトリから使用する一時データまたはキャッシュのデータのほうがより迅速に処理されます。
「エンタープライズ・デプロイメント用のファイル・システムの準備」で説明しているように、管理サーバー・ドメイン・ホームのパスはIGD_ASERVER_HOME変数によって表され、管理対象サーバー・ドメイン・ホームのパスはIGD_MSERVER_HOME変数によって表されます。
管理対象サーバーのドメイン・ディレクトリを作成するには:
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
OIMHOST1上の管理対象サーバー・ドメイン・ディレクトリでのノード・マネージャの起動
管理対象サーバーのドメイン・ディレクトリを作成した後は、2つのドメイン・ホーム・ディレクトリと、それに対応する2つの対応するノード・マネージャ・インスタンスがOIMHOST1上に存在します。1つのノード・マネージャは、管理サーバー・ドメイン・ホームから実行される管理サーバーの制御に使用します。もう1つのノード・マネージャは、管理対象サーバー・ドメイン・ホームから実行される管理対象サーバーの制御に使用します。
2つのノード・マネージャを別々に起動する必要があります。
ノート:
ドメイン構成が解凍されるたびに、管理対象サーバーのMSERVER_HOMEのノード・マネージャがリセットされます。ListenAddress
は、正しいホスト名ではなくADMINVHNに変更されます。これは、解凍が実行された後、ノード・マネージャ・サービスを開始する前に正しい値に変更する必要があります。
次のステップに従って、管理対象サーバー・ホームからノード・マネージャを更新および起動します。
追加ノード・マネージャの構成オプションの詳細は、『Oracle WebLogic Serverノード・マネージャの管理』を参照してください。
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
動的クラスタを使用する際のリスニング・アドレスの構成
動的クラスタ内の動的管理対象サーバーのデフォルトの構成では、すべての使用可能なネットワーク・インタフェースをリスニングします。ほとんどの場合、デフォルトの構成は望ましくありません。動的クラスタを使用する際に、リスニング・アドレスを特定のアドレスに限定するには、「動的クラスタ・サーバー・テンプレートでのリスニング・アドレスの構成」を参照してください。リスニング・アドレスを変更した後に前の項で指定したテストURLを再確認し、クラスタ化された管理対象サーバーを再起動します。
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
OIMHOST1でのWLS_WSM1管理対象サーバーの起動と検証
ノード・マネージャを構成して管理対象サーバー・ドメイン・ディレクトリを作成したら、Oracle Enterprise Manager Fusion Middleware Controlを使用してOIMHOST1でWLS_WSM1管理対象サーバーを起動できます。
ノート:
Oracle Access Management用のドメインを作成している場合は、Oracle Access ManagementにはWLS_WSM管理対象サーバーが存在しないため、このステップは実行しないでください。
親トピック: ドメイン・ディレクトリの構成とサーバーの起動
動的クラスタを使用する際のリスニング・アドレスの構成
動的クラスタ内の動的管理対象サーバーのデフォルトの構成では、すべての使用可能なネットワーク・インタフェースをリスニングします。ほとんどの場合、デフォルトの構成は望ましくありません。動的クラスタを使用する際に、リスニング・アドレスを特定のアドレスに限定するには、「動的クラスタ・サーバー・テンプレートでのリスニング・アドレスの構成」を参照してください。リスニング・アドレスを変更した後に前の項で指定したテストURLを再確認し、クラスタ化された管理対象サーバーを再起動します。
OIMHOST2でのドメインの伝播とサーバーの起動
OIMHOST1で管理サーバーとWLS_WSM1管理対象サーバーを起動して検証したら、OIMHOST2で次のタスクを実行できます。
OIMHOST2でのドメイン構成の解凍
OIMHOST1で管理サーバーと1つ目のWLS_WSM1管理対象サーバーを実行したので、OIMHOST2でドメインを構成できます。
親トピック: OIMHOST2でのドメインの伝播とサーバーの起動
管理対象サーバー・ドメイン・ディレクトリOIMHOST2でのノード・マネージャの起動
次のステップに従って、管理対象サーバー・ホームからノード・マネージャを更新および起動します。
追加ノード・マネージャの構成オプションの詳細は、『Oracle WebLogic Serverノード・マネージャの管理』を参照してください。
親トピック: OIMHOST2でのドメインの伝播とサーバーの起動
uploadおよびstageディレクトリの絶対パスへの変更
ドメインを構成し、すべてのホスト上の管理対象サーバー・ドメイン・ディレクトリにそのドメインを解凍した後、新しいクラスタ内の管理対象サーバーのuploadディレクトリとstageディレクトリを検証および更新します。「エンタープライズ・デプロイメントでのuploadおよびstageディレクトリの絶対パスへの変更」を参照してください。
サポートされている認証プロバイダについて
Oracle Fusion Middlewareでは、様々なLDAP認証プロバイダをサポートしています。『Oracle Platform Security Servicesによるアプリケーションの保護』のアイデンティティ・ストア・タイプおよびWebLogicオーセンティケータに関する項を参照してください。
このガイドの手順では、Oracle Unified Directoryを使用していることを前提としています。
ノート:
ここに示す手順では、デフォルトで、暗号化されていない接続を使用して、単一のLDAPアイデンティティ・ストアに対する問合せをサポートするようにアイデンティティ・サービス・インスタンスを構成する方法を説明します。
アイデンティティ・プロバイダへの接続をSSLで保護する必要がある場合、正しく機能するには、Enterprise Manager Fusion Middleware Controlでのロール管理に追加のキーストーン構成が必要です。構成の詳細は、support.oracle.comでDoc ID 1670789.1を参照してください。
また、LibOVDを使用して、複数のLDAPアイデンティティ・ストアに問合せを行う仮想アイデンティティ・ストアをサポートするようにサービスを構成できます。
複数LDAP参照の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。
新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング
Oracle Fusion Middlewareドメインを構成すると、このドメインはデフォルトでWebLogic Server認証プロバイダ(DefaultAuthenticator
)を使用するよう構成されます。ただし、エンタープライズ・デプロイメントの場合は、専用の集中管理型のLDAP準拠の認証プロバイダを使用することをお薦めします。
次のトピックでは、Oracle WebLogic Server管理コンソールを使用してエンタープライズ・デプロイメント・ドメイン用の新しい認証プロバイダを作成する方法について説明します。この手順では、サポートされているLDAPディレクトリ(Oracle Unified Directoryなど)をすでにインストールおよび構成していることを想定しています。
エンタープライズ・デプロイメント・ユーザーおよびグループについて
次の各項では、エンタープライズ・デプロイメント管理ユーザーおよびグループの用途と特性に関する重要な情報を提供します。
各ドメインで一意の管理ユーザーの使用について
集中LDAPユーザー・ストアを使用すると、複数のOracle WebLogic Serverドメインで使用するユーザーおよびグループをプロビジョニングできます。その結果、あるWebLogic管理ユーザーがエンタープライズ内のすべてのドメインにアクセスできてしまうことにもなります。
Oracle Fusion Middlewareドメインの管理用にプロビジョニングするユーザーおよびグループにディレクトリ・ツリー内で一意の識別名(DN)を作成して割り当てる方法をお薦めします。
たとえば、WebLogicドメインをLDAPに接続するために使用する、oamLDAP
およびoimLDAP
という名前の2人のユーザーを作成します。これにより、ディレクトリ内に存在するユーザーおよびグループをドメインが参照できるようになります。ドメインごとに異なるユーザーを作成したり、複数のドメインに対して単一のユーザーを使用したりできます。この目的のためにデフォルトのLDAP管理ユーザーは決して使用しないでください。これらのユーザーは、systemids
コンテナ内に作成する必要があります。このコンテナは、通常はユーザーに表示されないシステム・ユーザーに使用されます。このユーザーをsystemids
コンテナに配置することで、Oracle Identity Governanceを所有する顧客がこのユーザーをリコンサイルしないようにします。
Oracle Access Management (OAM)とOracle Identity Manager (OIM)のLDAP接続用にそれぞれ異なるユーザーを使用することにより、OAMでLDAPに接続するために使用されるユーザーに、制限された権限セットを割り当てることができます。
weblogic_iam
と呼ばれるユーザー、およびWLSAdministrators
と呼ばれる管理グループを作成します。WLSAdministrators
グループ内のユーザーは、次へのアクセスが許可されます。
-
Oracle Fusion Middleware Control
-
Oracle WebLogic管理コンソール
oamadmin
という名前のユーザーとOAMAdministrators
という名前の管理グループを作成します。OAMAdministrators
グループ内のユーザーは、次へのアクセスが許可されます。
-
Oracle Access Policy Manager
-
Oracle Access Managerコンソール
ドメイン・コネクタ・ユーザーについて
LDAPディレクトリで個別のドメイン・コネクタ・ユーザー(たとえばoimLDAP
)を作成することをお薦めします。このユーザーを使用して、ドメインがユーザー認証の目的でLDAPディレクトリに接続できます。このユーザーは管理ユーザー以外にすることをお薦めします。
標準的なOracle Identity and Access Managementデプロイメントで、このユーザーをsystemids
コンテナに作成します。このコンテナは、通常はユーザーに表示されないシステム・ユーザーに使用されます。このユーザーをsystemids
コンテナに配置することで、Oracle Identity Governanceを所有する顧客がこのユーザーをリコンサイルしないようにします。
中央LDAPディレクトリへのユーザーの追加について
集中LDAPディレクトリをエンタープライズ・ドメインのオーセンティケータとして構成した後は、すべての新規ユーザーをデフォルトのWebLogic Serverオーセンティケータではなく新しいオーセンティケータに追加する必要があります。
ユーザーは、idmConfigTool
を使用してディレクトリに追加されます。「既存LDAPディレクトリの準備」を参照してください。
複数のオーセンティケータを使用している場合(エンタープライズ・デプロイメントの要件)、ログインと認証は機能しますが、ロールの取得は機能しません。ロールは最初のオーセンティケータのみで取得されます。その他のオーセンティケータを使用してロールを取得しようとする場合は、ドメインの仮想化を有効にする必要があります。
Oracle Identity and Access Managementの製品固有のロールおよびグループについて
Oracle Fusion Middleware製品ごとに、管理および監視のために事前定義された独自のロールおよびグループが実装されます。
-
WeblogicまたはFusion Middlewareコンソールへのアクセス
-
Oracle Access Managerコンポーネントへのアクセス
-
Oracle Identity Managerコンポーネントへのアクセス
-
• Weblogic管理者: グループ名の例 —
WLSAdministrators
-
• Access/OIM管理者: グループ名の例 —
IAMAdministrators
WLSAdministrators
グループに他のロールを追加する手順については、「エンタープライズ・デプロイメントの共通の構成および管理タスク」を参照してください。
このガイドで使用するサンプル・ユーザーとサンプル・グループ
「既存LDAPディレクトリの準備」の一部として、次のユーザーが作成されます。
-
管理ユーザーDN:
cn=
weblogic_iam
,cn=users,dc=example,dc=com -
管理グループDN:
cn=
WLSAdministrators
,cn=groups,dc=example,dc=com -
製品固有のLDAPコネクタ・ユーザー:
cn=
これは、WebLogic管理対象サーバーをLDAP認証プロバイダに接続する際に使用するユーザーです。このユーザーには、ディレクトリ・ツリーに対する読取りおよび書込み権限が必要です。oimLDAP
,cn=systemids,dc=example,dc=comcn=users,dc=example,dc=com cn=groups,dc=example,dc=com
cn=reserve,dc=example,dc=com
ノート:
読取りおよび書込みアクセスを提供するために、このユーザーに次のグループのメンバーシップを付与する必要があります。
cn=orclFAUserReadPrivilegeGroup,cn=groups,dc=example,dc=com
cn=orclFAUserWritePrivilegeGroup,cn=groups,dc=example,dc=com
cn=orclFAGroupReadPrivilegeGroup,cn=groups,dc=example,dc=com
cn=orclFAGroupWritePrivilegeGroup,cn=groups,dc=example,dc=com
新しい認証プロバイダの作成
新しいLDAPベースの認証プロバイダを構成するには:
-
次のURLを使用して、WebLogic Server管理コンソールにログインします。
http://IGDADMINVHN.example.com:7101/console
-
左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
-
myrealmというデフォルト・レルム・エントリをクリックします。
-
「プロバイダ」タブをクリックします。
このレルムに対して
DefaultAuthenticator
というプロバイダが構成されていることに注目してください。これは、デフォルトのWebLogic Server認証プロバイダです。 -
「チェンジ・センター」で「ロックして編集」をクリックします。
-
「認証プロバイダ」表の下の「新規」ボタンをクリックします。
-
プロバイダの名前を入力します。
資格証明ストアとして使用する予定のLDAPディレクトリ・サービスに基づいて、次のいずれかの名前を使用します。
OUDAuthenticator
(Oracle Unified Directoryの場合) -
「タイプ」ドロップダウン・リストでオーセンティケータ・タイプを選択します。
資格証明ストアとして使用する予定のLDAPディレクトリ・サービスに基づいて、次のいずれかのタイプを選択します。
-
OracleUnifiedDirectoryAuthenticator
(Oracle Unified Directoryの場合)
-
-
「OK」をクリックして「プロバイダ」画面に戻ります。
-
「プロバイダ」画面の表で、新しく作成したオーセンティケータをクリックします。
-
「制御フラグ」ドロップダウン・メニューで「SUFFICIENT」を選択します。
制御フラグをSUFFICIENTに設定すると、そのオーセンティケータがユーザーを正常に認証できる場合はその認証を受け入れ、それ以上のオーセンティケータを起動しません。
正常に認証できない場合は、チェーン内の次のオーセンティケータに引き継がれます。以降のすべてのオーセンティケータの制御フラグもSUFFICIENTに設定されていることを確認してください。特に
DefaultAuthenticator
をチェックして、その制御フラグがSUFFICIENTに設定されていることを確認します。 -
「保存」をクリックして、制御フラグ設定の変更を確定します。
-
「プロバイダ固有」タブをクリックし、次の表に示すように、使用するLDAPサーバーに固有の詳細を入力します。
この手順では、必須フィールドのみを説明しています。このページのすべてのフィールドの詳細は、次のリソースを参照してください。
-
各フィールドの説明を表示するには、「プロバイダ固有」タブの「ヘルプ」をクリックします。
-
「ユーザー・ベースDN」、「名前指定によるユーザー・フィルタ」、「ユーザー属性」の各フィールドの設定に関する詳細は、『Oracle WebLogic Serverセキュリティの管理』のOracle Internet DirectoryおよびOracle Virtual Directory認証プロバイダでのユーザーおよびグループの構成に関する項を参照してください。
パラメータ サンプル値 値の説明 ホスト
たとえば:
idstore.example.com
LDAPサーバーのサーバーIDです。
ポート
たとえば:
1389
LDAPサーバーのポート番号です。
プリンシパル
たとえば:
cn=
oimLDAP
, cn=systemids,dc=example,dc=comLDAPサーバーに接続するために使用するLDAPユーザーDNです。
資格証明
LDAPパスワードを入力します。
LDAPサーバーへの接続に使用されるパスワード。
SSL有効
未選択(クリア)
LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。
ユーザー・ベースDN
たとえば:
cn
=users,dc=example,dc=com
ユーザーが開始時に使用するDNを指定します。
すべてのユーザーのフィルタ
(&(uid=*)(objectclass=person))
すべてのユーザーのフィルタのデフォルトの検索条件のかわりに
uid
値に基づいてすべてのユーザーを検索します。LDAPディレクトリ構造のユーザー・オブジェクト・クラスの「ユーザー名属性」が
uid
以外のタイプである場合は、「名前指定によるユーザー・フィルタ」フィールドでそのタイプを変更します。たとえば、「ユーザー名属性」のタイプが
cn
である場合は、このフィールドを次のように設定する必要があります。(&(cn=*)(objectclass=person)))
名前指定によるユーザー・フィルタ
たとえば:
(&(uid=%u)(objectclass=person))
LDAPディレクトリ構造のユーザー・オブジェクト・クラスの「ユーザー名属性」が
uid
以外のタイプである場合は、「名前指定によるユーザー・フィルタ」の設定で、そのタイプを変更します。たとえば、「ユーザー名属性」のタイプが
cn
である場合は、このフィールドを次のように設定する必要があります。(&(cn=%u)(objectclass=person)))
ユーザー名属性
たとえば:
uid
グループの名前を指定するLDAPユーザー・オブジェクトの属性。
取得したユーザー名をプリンシパルとして使用する
選択済
有効にする必要があります。
グループ・ベースDN
たとえば:
cn
=groups,dc=example,dc=com
お使いのグループ・ノードを指すDNを指定します。
GUID属性
entryuuid
OUDに
OracleUnifiedDirectoryAuthenticator
が使用される場合、この値にはentryuuid
が事前に移入されます。認証プロバイダとしてOracle Unified Directoryを使用している場合はこの値を入力します。 -
-
「保存」をクリックして、変更を保存します。
-
右のナビゲーション・ペインで「セキュリティ・レルム」をクリックして、デフォルトのレルム名(myrealm)をクリックし、「プロバイダ」をクリックして「プロバイダ」ページに戻ります。
-
「並替え」をクリックし、表示されたページを使用して、作成したプロバイダを認証プロバイダのリストの先頭に配置します。
認証プロバイダのリスト
-
OUDAuthenticator
-
DefaultAuthenticator
-
OIMAuthenticationProvider
-
信頼サービスIDアサータ
-
DefaultIdentityAsserter
図15-1 使用可能な認証プロバイダのリスト
-
-
「OK」をクリックします。
-
「プロバイダ」ページで、DefaultAuthenticatorをクリックします。
-
「制御フラグ」ドロップダウンから、SUFFICIENTを選択します。
-
「保存」をクリックしてDefaultAuthenticatorの設定を更新します。
-
「チェンジ・センター」で、「変更のアクティブ化」をクリックします。
-
管理サーバーとすべての管理対象サーバーを再起動します。
管理対象サーバーを停止するには、Fusion Middleware Controlにログインし、ターゲットのナビゲータで管理対象サーバーを選択して、ツールバーで「停止」をクリックします。
ノード・マネージャを使用して管理サーバーを停止および起動するには:
-
WLSTを起動します。
cd ORACLE_COMMON_HOME/common/bin ./wlst.sh
-
構成ウィザードでドメインを作成したときに定義した、次のノード・マネージャ資格証明を使用してノード・マネージャに接続します。
wls:/offline>nmConnect('nodemanager_username','nodemanager_password', 'ADMINVHN','5556','domain_name', 'ASERVER_HOME')
-
管理サーバーを停止します。
nmKill('AdminServer')
-
管理サーバーを起動します。
nmStart('AdminServer')
-
WLSTを終了します。
exit()
管理対象サーバーを起動するには、Fusion Middleware Controlにログインし、管理対象サーバーを選択して、ツールバーで「起動」をクリックします。
-
-
再起動後に、次のログ・ファイルの内容を確認します。
ASERVER_HOME/servers/AdminServer/logs/AdminServer.log
LDAP接続エラーが発生していないことを確認します。たとえば、次のようなエラーを探します。
The LDAP authentication provider named "OUDAuthenticator" failed to make connection to ldap server at ...
ログ・ファイルでこのようなエラーが見つかった場合は、認可プロバイダ接続の詳細をチェックして、それらが適切であることを確認し、管理サーバーの保存と再起動をもう一度試みます。
-
再起動後、LDAP接続エラーがログ・ファイルに記述されていないことを確認し、LDAPプロバイダ内に存在するユーザーとグループの参照を試みます。
管理コンソールで、「セキュリティ・レルム」→「myrealm」→「ユーザーとグループ」ページに移動します。LDAPプロバイダ構造内に存在するすべてのユーザーおよびグループを表示できるようになります。
新しい管理グループへの管理ロールの追加
ユーザーおよびグループをLDAPに追加した後、Weblogicドメイン・セキュリティ・レルム内でWLSAdministratorsグループを管理ロールに割り当てる必要があります。これにより、そのグループに属するすべてのユーザーがそのドメインの管理者になれるようになります。
管理ロールを新しいエンタープライズ・デプロイメント管理グループに割り当てるには:
WebLogicプロキシ・プラグインの構成
リクエストがOracle HTTP Serverインスタンスを介して正しくルーティングされたことを検証するには、「WebLogicプラグインの有効化」
パラメータを設定しておく必要があります。ドメイン・レベルで「WebLogicプラグインの有効化」
パラメータを設定することをお薦めします。Web層経由でプラグインを使用していないクラスタまたはサーバーは、必要に応じて例外ベースで「WebLogicプラグインの有効化」
パラメータ値をno
に設定できます。
- Oracle WebLogic Server管理コンソールにログインします。
- 「ドメイン構造」ペインで、トップレベル・ドメイン・ノードをクリックします。
- 「チェンジ・センター」で「ロックして編集」をクリックします。
- 「ドメイン名」をクリックします。
- 「Webアプリケーション」タブをクリックします。
- 「WebLogicプラグインの有効化」オプションを見つけて選択します。
- 「保存」をクリックします。
- 「チェンジ・センター」の「変更のアクティブ化」をクリックします。
- 管理サーバーを再起動します。
Exalogic最適化の有効化
この項では、Exalogic最適化に固有のタスクについて説明します。この項の内容は次のとおりです。
WebLogicドメインExalogic最適化の有効化
この項では、Exalogic最適化に固有のタスクについて説明します。WebLogicドメインExalogic最適化を有効にするには、次のステップを実行します。
- Oracle WebLogic Server管理コンソールにログインします。
- 左側のナビゲーション・ペインで、ドメイン名IAMGovernanceDomainを選択します。
- 「ロックして編集」をクリックします。
- 設定ページで「一般」タブをクリックします。
- 「Exalogic最適化の有効化」を選択します。
- 「保存」および「変更のアクティブ化」をクリックします。
- WebLogic管理サーバーを再起動します。
親トピック: Exalogic最適化の有効化
構成のバックアップ
ベスト・プラクティスとして、ドメインの拡張が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。ここまでのインストールが正常に行われたことを確認したら、バックアップを作成します。これは、後のステップで問題が発生した場合に即座にリストアするための迅速なバックアップになります。
バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。
構成をバックアップする方法の詳細は、「エンタープライズ・デプロイメントのバックアップとリカバリの実行」を参照してください。