1. Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイド
  2. エンタープライズ・デプロイメントの構成
  3. Oracle Access Managementの構成

18 Oracle Access Managementの構成

Oracle Access Managementを使用してエンタープライズ・デプロイメント・ドメインを拡張するには、特定のタスクを実行する必要があります。これには、Oracle Identity and Access Managementのインストール、Oracle Access Management用のドメインの拡張、構成後のタスクと検証タスクの完了が含まれます。

この章では、Oracle Identity and Access Managementのインストール、Oracle Access Management用ドメインの拡張、および構成後タスクと検証タスクの完了に関する情報を提供します。

上位トピック: 「エンタープライズ・ドメインの構成」

この章で使用される変数

このトピックでは、この章で使用される変数を示します。

変数

  • PRIMARY_OAM_SERVERS

  • WEBGATE_TYPE

  • ACCESS_GATE_ID

  • OAM11G_OIM_WEBGATE_PASSWD

  • COOKIE_DOMAIN

  • COOKIE_EXPIRY_INTERVAL

  • OAM11G_WG_DENY_ON_NOT_PROTECTED

  • OAM11G_IDM_DOMAIN_OHS_HOST

  • OAM11G_IDM_DOMAIN_OHS_PORT

  • OAM11G_IDM_DOMAIN_OHS_PROTOCOL

  • OAM11G_SERVER_LBR_HOST

  • OAM11G_SERVER_LBR_PORT

  • OAM11G_SERVER_LBR_PROTOCOL

  • OAM11G_OAM_SERVER_TRANSPORT_MODE

  • OAM_TRANSFER_MODE

  • OAM11G_SSO_ONLY_FLAG

  • OAM11G_IMPERSONATION_FLAG

  • OAM11G_IDM_DOMAIN_LOGOUT_URLS

  • OAM11G_OIM_INTEGRATION_REQ

  • OAM11G_OIM_OHS_URL

  • IDSTORE_PWD_OAMSOFTWAREUSER

  • IDSTORE_PWD_OAMADMINUSER

  • OAM11G_WLS_ADMIN_PASSWD

  • IAD_MSERVER_HOME

  • IAD_ASERVER_HOME

  • WLS_AMA

  • WebGate_IDM

  • COMMON_IDM_PASSWORD

  • WLS_OAM1

  • WLS_AMA1

  • WLS_OAM2

  • WLS_AMA2

  • JAVA_HOME

  • OAM_PROXY_PORT

  • IAD_HTTP_PORT

  • IAD_ORACLE_HOME

親トピック: Oracle Access Managementの構成

LDAPを使用した構成および統合

この項では、LDAPを使用してOracle Access Managerを構成および統合する方法について説明します。

この項には次のトピックが含まれます:

親トピック: Oracle Access Managementの構成

グローバル・パスフレーズの設定

Access Managerは、デフォルトでオープン・セキュリティ・モデルを使用するように構成されています。idmConfigToolを使用してこのモードを変更することを計画している場合は、グローバル・パスフレーズを設定する必要があります。グローバル・パスフレーズとWebゲートのアクセス・パスワードは同じにする必要はありませんが、同じにすることをお薦めします。

グローバル・パスフレーズを設定するには:

  1. WebLogic管理ユーザー(たとえばweblogic)として、URLを使用してOAMコンソールにログインします。
    http://iadadmin.example.com/oamconsole
  2. 「構成」タブをクリックします。
  3. 「表示」を選択し、次に「設定」起動パッドから「Access Manager」を選択します。
  4. 任意の値でグローバル・パスフレーズを更新し、ノートを取ります。
  5. 設定した値をグローバル・パスフレーズとして入力します。
  6. 「適用」をクリックします。

親トピック: LDAPを使用した構成および統合

LDAPディレクトリを使用するためのAccess Managerの構成

初期インストールを実行してセキュリティ・モデルを設定した後は、Access ManagerとLDAPディレクトリを関連付ける必要があります。このリリースではOracle Unified Directory (OUD)がサポートされます。

Access ManagerとLDAPディレクトリを関連付けるには、次のタスクを実行します。

親トピック: LDAPを使用した構成および統合

構成ファイルの作成

Oracle Access ManagementでLDAPを使用するように構成するには、idmConfigToolユーティリティを実行する必要があります。このため、oam.propsと呼ばれる構成ファイルを作成して、構成で使用する必要があります。このファイルの内容は、次の追加内容とともに、「構成ファイルの作成」で作成した構成ファイルの内容と同じになります。 

# OAM Properties
OAM11G_IDSTORE_NAME: OAMIDSTORE
PRIMARY_OAM_SERVERS: OAMHOST1.example.com:5575,OAMHOST2.example.com:5575
WEBGATE_TYPE: ohsWebgate12c
ACCESS_GATE_ID: Webgate_IDM
OAM11G_OIM_WEBGATE_PASSWD: Password
COOKIE_DOMAIN: .example.com
COOKIE_EXPIRY_INTERVAL: 120
OAM11G_WG_DENY_ON_NOT_PROTECTED: true
OAM11G_IDM_DOMAIN_OHS_HOST: login.example.com
OAM11G_IDM_DOMAIN_OHS_PORT: 443
OAM11G_IDM_DOMAIN_OHS_PROTOCOL: https
OAM11G_SERVER_LBR_HOST: login.example.com
OAM11G_SERVER_LBR_PORT: 443
OAM11G_SERVER_LBR_PROTOCOL: https
OAM11G_OAM_SERVER_TRANSFER_MODE: simple
OAM_TRANSFER_MODE: simple
OAM11G_SSO_ONLY_FLAG: false
OAM11G_IMPERSONATION_FLAG: false
OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp
OAM11G_OIM_INTEGRATION_REQ: false 
OAM11G_OIM_OHS_URL: https://prov.example.com:443/
# WebLogic Properties
WLSHOST: IADADMINVHN.example.com
WLSPORT: 7001
WLSADMIN: weblogic
IDSTORE_WLSADMINUSER: weblogic_iam
IDSTORE_WLSADMINGROUP: WLSAdministrators

OAMプロパティの説明:

  • OAM11G_IDSTORE_NAMEは、OAMのIDストアに割り当てる名前です。これはオプションのパラメータです。

  • PRIMARY_OAM_SERVERS: デプロイメントするすべてのOAM管理対象サーバーのカンマ区切りリスト。形式は「OAM管理対象サーバーを実行するサーバー: OAMプロキシ・ポート」です。使用するプロキシ・ポートは、OAM管理対象サーバーのリスニング・ポートではないことに注意してください。OAMプロキシ・ポートはワークシートに記載されています(OAM_PROXY_PORT)。

  • WEBGATE_TYPE: 作成するWebゲート・プロファイルのタイプ。これは常にohsWebgate12cにする必要があります

  • ACCESS_GATE_IDは、作成するWebゲート・エージェントの名前です。

  • OAM11G_OIM_WEBGATE_PASSWDは、作成するWebゲート・エージェントに割り当てるパスワードです。

  • COOKIE_DOMAINは、OAM Cookieを関連付けるドメインで、通常は、IDSTORE_SEARCH_BASE(ドメイン形式)と同じです。検索ベースはワークシートに記載されています(REALM_DN)。

  • COOKIE_EXPIRY_INTERVAL: Cookieが期限切れになるまでの期間。

  • OAM11G_WG_DENY_ON_NOT_PROTECTED: これは常にtrueに設定する必要があります。これによって、OAMリソース・リストに明示的に記載されていないリソースへのアクセスが拒否されます。

  • OAM11G_IDM_DOMAIN_OHS_HOST: IAMAccessDomainの前面に位置するOracle HTTP Server (OHS)サーバーの名前です。エンタープライズ・デプロイメントの場合は、ロード・バランサの名前となります。

  • OAM11G_IDM_DOMAIN_OHS_PORT: IAMAccessDomainの前面に位置するOHSサーバーがリスニングするポートです。エンタープライズ・デプロイメントの場合は、ロード・バランサのポートとなります。これは、ワークシートのIAD_HTTPS_PORTです。

  • OAM11G_IDM_DOMAIN_OHS_PROTOCOL: IAMAccessDomainの前面に位置するOHSサーバーへのアクセス時に使用するプロセスを決定します。エンタープライズ・デプロイメントの場合は、ロード・バランサのプロトコルとなります。エンタープライズ・デプロイメントのブルー・プリントでは、SSLはロード・バランサで終了します。ただし、URLには常に接頭辞HTTPSが指定されるため、この値はhttpsに設定する必要があります。

  • OAM11G_SERVER_LBR_HOST: ログインの際にロード・バランサ上で構成される仮想ホストの名前です。通常はOAM11G_IDM_DOMAIN_OHS_HOSTと同じです。

  • OAM11G_SERVER_LBR_PORT: ログインの際にロード・バランサ上で構成される仮想ホストのポートです。通常はOAM11G_IDM_DOMAIN_OHS_PORTと同じです。

  • OAM11G_SERVER_LBR_PROTOCOL: ログインの際にロード・バランサ上で構成される仮想ホストのプロトコルです。通常はOAM11G_IDM_DOMAIN_OHS_PROTOCOLと同じです。

  • OAM11G_OAM_SERVER_TRANSPORT_MODE: 使用するOAMセキュリティ・トランスポートのタイプです。AIX以外のすべてのプラットフォームではSimpleを指定する必要があります(AIXの場合はOpen)。追加セキュリティが必要な場合は、certを指定できます。certを使用する場合は、Oracle Access Managerのドキュメントでその構成方法を参照してください。

  • OAM_TRANSFER_MODE: 使用するOAMセキュリティ・トランスポートのタイプです。これは、OAM11G_OAM_SERVER_TRANSPORT_MODEと同じにする必要があります。

  • OAM11G_SSO_ONLY_FLAG: 認証モードを使用するかどうかを決定するために使用します。エンタープライズ・デプロイメントの場合はfalseに設定する必要があります。

  • OAM11G_IMPERSONATION_FLAGは、OAMの偽装を構成するかどうかを決定します。偽装は通常、サポート・ユーザーがサポート提供の目的で実際のユーザーを偽装する、ヘルプ・デスク・タイプのアプリケーションで使用されます。

  • OAM11G_IDM_DOMAIN_LOGOUT_URLSは、ログアウトの目的で様々な製品を呼び出すURLのリストです。

  • OAM11G_OIM_INTEGRATION_REQ: Oracle Identity Governanceでパスワードを忘れた場合の機能に対応する場合は、このパラメータをtrueに設定してください。パスワードを忘れた場合のOAMの新機能を使用する場合は、この値をfalseに設定してください。

  • OAM11G_OIM_OHS_URL: パスワードを忘れた場合の機能にOIMを使用する予定の場合、OIGの外部エントリ・ポイントを指定する必要があります。これは、OAMがリクエストを送信するOIGのURLです。このURLは、ワークシートの次の値で構成されます。

    https://prov.example.com:IAG_HTTPS_PORT/

  • WLSHOST: 管理サーバーのリスニング・アドレスです。OAM構成の場合、これはIADADMINVHN.example.comになります。

  • WLSPORT: 管理サーバーのリスニング・ポートです。これは、ワークシートのIAD_WLS_PORTです。

  • WLSADMIN: 管理サーバーへの接続に使用するユーザーです

idmConfigToolを使用したAccess ManagerとLDAPの統合

この項では、idmConfigToolを使用してOracle Access ManagerとLDAPを統合する方法について説明します。

ノート:

idmconfigToolを実行する前に、WLS_OAM1およびWLS_OAM2管理対象サーバーが停止されていることを確認します。

OAMHOST1で次のタスクを実行します。

  1. 環境変数MW_HOME、JAVA_HOMEおよびORACLE_HOMEを設定します。
    Set ORACLE_HOME to IAD_ORACLE_HOME/idm.
MW_HOME to IAD_ORACLE_HOME
  2. idmConfigToolユーティリティを実行して統合を実施します。

    Linuxの場合、このコマンドの構文は次のとおりです。

    cd IAD_ORACLE_HOME/idm/idmtools/bin
idmConfigTool.sh -configOAM input_file=configfile

    たとえば:

    idmConfigTool.sh -configOAM input_file=oam.props

    このコマンドを実行すると、アイデンティティ・ストアへの接続に使用しているアカウントのパスワードを入力するように要求されます。また、次のアカウントに割り当てるパスワードも指定するよう求められます。

    • IDSTORE_PWD_OAMSOFTWAREUSER

    • IDSTORE_PWD_OAMADMINUSER

    • OAM11G_WLS_ADMIN_PASSWD

  3. ログ・ファイルを確認して、エラーや警告を修正します。このツールを実行したディレクトリにautomation.logというファイルが作成されます。
  4. 管理コンソールを再起動します。

    ノート:

    idmConfigToolを実行した後は、後続のタスクで必要になるファイルがいくつか作成されます。これらのファイルは安全な場所に格納してください。

    次のファイルは、次のディレクトリにあります。

    IAD_ASERVER_HOME/output/Webgate_IDM

    これらは、Webゲート・ソフトウェアをインストールする際に必要になります。

    • cwallet.sso

    • ObAccessClient.xml

    • password.xml

    • aaa_cert.pem

    • aaa_key.pem

    ノート:

    configOAMの実行時にWLS_AMAサーバーが実行されていた場合は、WebGate_IDMアーティファクトがIAD_MSERVER_HOME/outputに作成されている可能性があります。この場合は、それらをIAD_ASERVER_HOME/outputに再度移動してください。

OAM LDAP構成の検証

ここまでの操作が正しいことを確認するには:

  1. 次のURLを使用して、OAMコンソールにアクセスします。
    http://iadadmin.example.com/oamconsole
  2. IDストアを準備した場合は、作成したAccess Manager管理ユーザーとしてログインします。たとえば、oamadminです。
  3. 「アプリケーション・セキュリティ」画面から「エージェント」をクリックします。
  4. 「SSOエージェントの検索」画面が表示された後、「検索」をクリックします。
  5. Webゲート・エージェントWebgate_IDMが表示されます。
  6. WebLogic管理サーバー・コンソールにデフォルト管理ユーザーとしてログインします。たとえば、weblogicです。
  7. 左のナビゲーション・ペインにある「セキュリティ・レルム」をクリックします。
  8. 「セキュリティ・レルムのサマリー」ページで、「レルム」表のmyrealmをクリックします。
  9. myrealmの「設定」ページで、「ユーザーとグループ」タブに移動します。
  10. 「ユーザー」タブで、ディレクトリ・コネクタからのLDAPユーザーが表示されていることを確認してください。たとえば、OUDAuthenticatorです。
  11. 「グループ」タブで、ディレクトリ・コネクタからのLDAPグループが表示されていることを確認してください。たとえば、OUDAuthenticatorです。

WebLogic管理者へのLDAPグループの追加

Access Managerでは、管理サーバー内に格納されているMBeanへのアクセスが必要です。LDAPユーザーがWebLogicコンソールとFusion Middleware Controlにログインできるようにするには、WebLogic管理権限をユーザーに割り当てる必要があります。Access ManagerでこれらのMbeanを呼び出すには、OAMAdministratorsグループのユーザーにはWebLogic管理権限が必要です。

シングル・サインオンが実装されている場合は、LDAPグループのIDM AdministratorsにWebLogic管理権限を提供することで、これらのアカウントの1つを使用してログインして、WebLogic管理アクションを実行できます。

LDAPグループOAMAdministratorsおよびWLSAdministratorsをWebLogic管理者に追加するには:

  1. WebLogic管理サーバー・コンソールにデフォルト管理ユーザーとしてログインします。たとえば、weblogicです。
  2. コンソールの左ペインで「セキュリティ・レルム」をクリックします。
  3. 「セキュリティ・レルムのサマリー」ページで、「レルム」表のmyrealmをクリックします。
  4. 「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
  5. 「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。
  6. 「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
  7. 「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
  8. 「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
  9. 「述部の選択」ページで、条件のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
  10. 「引数の編集」ページのグループ引数フィールドにOAMAdministratorsを指定し、「追加」をクリックします。
  11. グループWLSAdministratorsについても同様に繰り返します。
  12. 「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
  13. 「ロール条件」表には、グループOAMAdministratorsまたはWLSAdministratorsがロール条件として表示されます。
  14. 「保存」をクリックして、OAMAdministratorsおよびIDM Administratorsグループへの管理ロールの追加を終了します。

親トピック: LDAPを使用した構成および統合

Webゲート・エージェントの更新

idmConfigToolを実行すると、デフォルトのOAMセキュリティ・モデルが変更されて、新しいWebゲートSSOエージェントが作成されます。ただし、既存のWebゲートSSOエージェントが新しいセキュリティ・モデルに変更されることはありません。idmConfigToolの実行後に、既存のWebゲート・エージェントを更新する必要があります。これを行うには次のステップが必要になります。

  • セキュリティ・モードを、OAMサーバーのモードと一致するように変更します。このようにしないと、セキュリティ不一致エラーになります。

  • 最初のインストールで作成されたWebゲートは、高可用性(HA)インストールが実施されていることを認識しません。HAを有効化した後で、すべてのOAMサーバーがエージェント構成に含まれていることを確認して、システム継続性を確保する必要があります。

  • 最初のインストールで作成されたWebゲートは、高可用性(HA)インストールが実施されていることを認識しません。ログアウトURLが、ローカルのOAMサーバーの1つではなく、ハードウェア・ロード・バランサにリダイレクトされることを確認する必要があります。

  • IAMSuiteAgentと呼ばれるWebゲートが出荷時に作成されています。これは、パスワード保護を使用せずに作成されているため、パスワード保護を追加する必要があります。

これらのアクションを実行するには、次のステップを実行します。

  1. OAM管理ユーザー(oamadmin)を使用して、http://iadadmin.example.com/oamconsoleのOAMコンソールにログインします。
  2. 「アプリケーション・セキュリティ」画面で「エージェント」をクリックします。
  3. 「Webゲート」タブが選択されていることを確認します。
  4. 「検索」をクリックします。
  5. たとえば、「IAMSuiteAgent」などのエージェントをクリックします。
  6. レスポンス・ファイルの作成時に「Access Manager構成」画面の「OAM転送モード」に定義した値と同じセキュリティ値を設定します。

    idmConfigToolを使用してOAMセキュリティ・モデルを変更した場合は、この変更を反映するためにすべての既存のWebゲートで使用されるセキュリティ・モデルを変更します。

    「適用」をクリックします。

  7. 「プライマリ・サーバー」リストで、「+」をクリックし、不足しているAccess Managerサーバーを追加します。
  8. まだパスワードを割り当てていない場合は、「アクセス・クライアント・パスワード」フィールドにパスワードを入力し、「適用」をクリックします。

    レスポンス・ファイルの作成時に使用した共通のIAMパスワード(COMMON_IDM_PASSWORD)、またはAccess Manager固有のパスワード(設定した場合)などのアクセス・クライアント・パスワードを割り当てます。

  9. 最大接続数を20に設定します。これはプライマリ・サーバーの合計の最大接続数で、10 x WLS_OAM1接続プラス10 x WLS_OAM2接続となります。
  10. 「ユーザー定義パラメータ」または「ログアウト・リダイレクトURL」に次のものが表示される場合:
    logoutRedirectUrl=http://OAMHOST1.example.com:14100/oam/server/logout

    これを次のように変更します:

    logoutRedirectUrl=https://login.example.com/oam/server/logout
  11. 「適用」をクリックします。
  12. Webゲートごとにステップを繰り返します。
  13. セキュリティ設定が、使用しているAccess Managerサーバーの設定と一致していることを確認します。

親トピック: Oracle Access Managementの構成

ホスト識別子の更新

ドメインにアクセスするときは、様々なロード・バランサ・エントリ・ポイントを使用して入ります。これらのエントリ・ポイント(仮想ホスト)をそれぞれポリシー・リストに追加する必要があります。これによって、login.example.comまたはprov.example.comを使用したリソースへのアクセスをリクエストする場合に、同じポリシー・ルール・セットにアクセスできます。

  1. OAMコンソール(http://iadadmin.example.com/oamconsole)にアクセスします。
  2. IDストアを準備した場合は、作成したAccess Manager管理ユーザーとしてログインします。たとえば、oamadminです。
  3. 「起動パッド」を選択します(表示されていない場合)。
  4. 「Access Manager」の下にある「ホスト識別子」をクリックします。
  5. 「検索」をクリックします。
  6. 「IAMSuiteAgent」をクリックします。
  7. 「操作」ボックスの中の「+」をクリックします。
  8. 次の情報を入力します。

    表18-1 ホスト名とポート値

    ホスト名 ポート

    iadadmin.example.com

    80

    igdadmin.example.com

    80

    igdinternal.example.com

    7777

    prov.example.com

    443

    login.example.com

    443
  9. 「適用」をクリックします。

親トピック: Oracle Access Managementの構成

OAMへの不足ポリシーの追加

Oracle Identity Governanceを使用している場合は、次のポリシーをOAMに追加する必要があります。

表18-2 OAMポリシー情報

製品 リソース・タイプ ホスト識別子 リソースURL 保護レベル 認証ポリシー 認可ポリシー

すべて

HTTP

IAMSuiteAgent

/consolehelp/**

除外

すべて

HTTP

IAMSuiteAgent

/otpfp/**

除外

OIG

HTTP

IAMSuiteAgent

/OIGUI/**

保護

保護対象上位レベル・ポリシー

保護対象リソース・ポリシー

OIG

HTTP

IAMSuiteAgent

/iam/**

保護

保護対象上位レベル・ポリシー

保護対象リソース・ポリシー

OIG

HTTP

IAMSuiteAgent

/iam/governance/token/**

除外

OIG

HTTP

IAMSuiteAgent

/FacadeWebApp/**

保護

保護対象上位レベル・ポリシー

保護対象リソース・ポリシー

OIG

HTTP

IAMSuiteAgent

/IdentityAuditCallbackService/**

除外

ノート:

/otpfpが必要なのは、パスワードを忘れた場合のOAM機能を実装してある場合のみです。

これらのポリシーを追加するには:

  1. ユーザーoamadminを使用して、http://iadadmin.example.com/oamconsoleのOAMコンソールにログインします。
  2. 起動パッドから、「Access Manager」セクションの「アプリケーション・ドメイン」をクリックします。
  3. 「検索」ページで「検索」をクリックします。

    アプリケーション・ドメインのリストが表示されます。

  4. ドメイン「IAMスイート」をクリックします。
  5. 「リソース」タブをクリックします。
  6. 「作成」をクリックします。
  7. 上の表で指定されている情報を入力します。
  8. 「適用」をクリックします。

親トピック: Oracle Access Managementの構成

フェデレーション・サービス更新の詳細

Oracle Access Management (OAM)が構成されたので、ロード・バランサURL経由でフェデレーションにアクセスするために、フェデレーション・サービスを更新する必要があります。

これを行うには:
  1. http://iadadmin.example.com/oamconsoleのOAMコンソールにログインします。
  2. 「構成」をクリックします。
  3. 設定ペインで「表示」をクリックして、ドロップダウンから「フェデレーション」を選択します。
  4. 「フェデレーション設定」ペインで、「プロバイダID」https://login.example.com/oam/fedに更新します。
  5. 「適用」をクリックします。

親トピック: Oracle Access Managementの構成

アイドル・タイムアウト値の更新

通常、Access Managerに設定されているデフォルトのタイムアウト値は長すぎ、セッションのタイムアウト後はセッションをログアウトできないなどの問題が発生する場合があります。したがって、この値を15分に減らすことをお薦めします。

アイドル・タイムアウト値を更新するには:

  1. http://iadadmin.example.com/oamconsoleのOAMコンソールにログインします。
  2. レスポンス・ファイルの作成時に作成したAccess Manager管理者ユーザーとしてログインします。
  3. 「構成」をクリックします。
  4. 「設定」の下にある「共通設定」を選択します。
  5. 「アイドル・タイムアウト(分)」15に変更します。
  6. 「適用」をクリックします。

親トピック: Oracle Access Managementの構成

認証プロバイダの検証

WebLogic Server管理コンソールを使用してIDアサーション・プロバイダと認証プロバイダを設定します。

  1. WebLogic Server管理コンソールにログインしていない場合は、ログインします。
  2. 「ロックして編集」をクリックします。
  3. 左側のナビゲーションから、「セキュリティ・レルム」を選択します。
  4. myrealmというデフォルト・レルム・エントリをクリックします。
  5. 「プロバイダ」タブをクリックします。
  6. プロバイダの表で、DefaultAuthenticatorをクリックします。
  7. 「制御フラグ」をSUFFICIENTに設定します。
  8. 「保存」をクリックして設定を保存します。
  9. ナビゲーション・ブレッドクラムから、「プロバイダ」をクリックして、プロバイダのリストに戻ります。
  10. 「並替え」をクリックします。
  11. プロバイダをソートして、OAMアイデンティティ・アサーション・プロバイダが最初で、DefaultAuthenticatorプロバイダが最後になるようにします。

    表18-3 ソート順

    ソート順序 プロバイダ 制御フラグ

    1

    OAMIDAsserter

    REQUIRED

    2

    LDAP認証プロバイダ

    SUFFICIENT

    3

    DefaultIdentityAsserter

    該当なし

    4

    信頼サービスIDアサータ

    該当なし

    5

    DefaultAuthenticator

    SUFFICIENT
  12. 「OK」をクリックします。
  13. 「変更のアクティブ化」をクリックして変更を伝播します。
  14. 必要に応じて、管理サーバー、管理対象サーバーおよびシステム・コンポーネントを停止します。
  15. 管理サーバーを再起動します。
  16. SSOによりADFコンソールを構成する場合は、管理対象サーバーを停止したままにして後から再開できます。そうでない場合は、ここで管理対象サーバーを再起動する必要があります。

親トピック: Oracle Access Managementの構成

ドメイン内の管理対象サーバーの起動

次の順序で管理対象サーバーを起動します。

親トピック: Oracle Access Managementの構成

WLS_OAM1管理対象サーバーの起動

WLS_OAM1管理対象サーバーを起動するには:
  1. Oracle WebLogic Server管理コンソールにログインします。
    http://iadadmin.example.com/console
  2. 次の手順に従い、WebLogic Server管理コンソールを使用してWLS_OAM1管理対象サーバーを起動します。
    1. 左側の「ドメイン構造」ツリーの「環境」ノードを開きます。
    2. 「サーバー」をクリックします。
    3. 「サーバーのサマリー」ページで、「制御」タブを開きます。
    4. 「WLS_OAM1」を選択して「起動」をクリックします。
  3. 管理コンソールでサーバーの状態がRunningとして報告されていることを確認します。サーバーのステータスが「起動しています」または「再開中です」である場合は、「起動済み」になるまで待ちます。「管理」「失敗」などの別のステータスが表示される場合は、サーバーの出力ログ・ファイルを調べ、エラーがないか確認します。

親トピック: ドメイン内の管理対象サーバーの起動

WLS_AMA1管理対象サーバーの起動

WLS_AMA1管理対象サーバーを起動するには:
  1. Oracle WebLogic Server管理コンソールにログインします。
    http://iadadmin.example.com/console
  2. 次の手順に従い、WebLogic Server管理コンソールを使用してWLS_AMA1管理対象サーバーを起動します。
    1. 左側の「ドメイン構造」ツリーの「環境」ノードを開きます。
    2. 「サーバー」をクリックします。
    3. 「サーバーのサマリー」ページで、「制御」タブを開きます。
    4. 「WLS_AMA1」を選択して、「起動」をクリックします。
  3. 管理コンソールでサーバーの状態がRunningとして報告されていることを確認します。サーバーのステータスが「起動しています」または「再開中です」である場合は、「起動済み」になるまで待ちます。「管理」「失敗」などの別のステータスが表示される場合は、サーバーの出力ログ・ファイルを調べ、エラーがないか確認します。

親トピック: ドメイン内の管理対象サーバーの起動

WLS_OAM2管理対象サーバーの起動

WLS_OAM2管理対象サーバーを起動するには:
  1. Oracle WebLogic Server管理コンソールにログインします。
    http://iadadmin.example.com/console
  2. 次の手順に従い、WebLogic Server管理コンソールを使用してWLS_OAM2理対象サーバーを起動します。
    1. 左側の「ドメイン構造」ツリーの「環境」ノードを開きます。
    2. 「サーバー」をクリックします。
    3. 「サーバーのサマリー」ページで、「制御」タブを開きます。
    4. 「WLS_OAM2」を選択して「起動」をクリックします。
  3. 管理コンソールでサーバーの状態がRunningとして報告されていることを確認します。サーバーのステータスが「起動しています」または「再開中です」である場合は、「起動済み」になるまで待ちます。「管理」「失敗」などの別のステータスが表示される場合は、サーバーの出力ログ・ファイルを調べ、エラーがないか確認します。

親トピック: ドメイン内の管理対象サーバーの起動

WLS_AMA2管理対象サーバーの起動

WLS_AMA2管理対象サーバーを起動するには:
  1. Oracle WebLogic Server管理コンソールにログインします。
    http://iadadmin.example.com/console
  2. 次の手順に従い、WebLogic Server管理コンソールを使用してWLS_AMA2管理対象サーバーを起動します。
    1. 左側の「ドメイン構造」ツリーの「環境」ノードを開きます。
    2. 「サーバー」をクリックします。
    3. 「サーバーのサマリー」ページで、「制御」タブを開きます。
    4. 「WLS_AMA2」を選択して、「起動」をクリックします。
  3. 管理コンソールでサーバーの状態がRunningとして報告されていることを確認します。サーバーのステータスが「起動しています」または「再開中です」である場合は、「起動済み」になるまで待ちます。「管理」「失敗」などの別のステータスが表示される場合は、サーバーの出力ログ・ファイルを調べ、エラーがないか確認します。

親トピック: ドメイン内の管理対象サーバーの起動

Access Managerの検証

oamtestツールを使用してAccess Managerを検証できます。これを行うには、次のステップを実行します:

  1. wls_oam管理対象サーバーが起動して実行中であることを確認します。
  2. JAVA_HOME/binをパスに追加することで、環境にJAVA_HOMEが設定されていることを確認します。たとえば:
    export PATH=$JAVA_HOME/bin:$PATH
  3. 次のディレクトリに移動します。
    IAD_ORACLE_HOME/idm/oam/server/tester
  4. 次のコマンドを使用して、ターミナル・ウィンドウでこのテスト・ツールを起動します。
    java -jar oamtest.jar
  5. OAMテスト・ツールが起動したら、ページの「サーバー接続」セクションで次の情報を入力します。

    • プライマリIPアドレス: OAMHOST1.example.com

    • ポート: 5575 (OAM_PROXY_PORT)

    • エージェントID: Webgate_IDM

    • エージェント・パスワード: webgate password

    • モード: Simple

    • グローバル・パスフレーズ: 「グローバル・パスフレーズの設定」でグローバル・パスワードとして設定した値を入力します。

  6. 「接続」をクリックします。
    ステータス・ウィンドウにresponse] Connected to primary access serverと表示されます。
  7. 「保護対象のリソースURI」セクションで次の情報を入力します。

    • スキーム: http

    • ホスト: iadadmin.example.com

    • ポート: 80 (IAD_HTTP_PORT)

    • リソース: /oamconsole

      「検証」をクリックします。

      ステータス・ウィンドウに[request] [validate] yesと表示されます。

  8. 「ユーザー・アイデンティティ」ウィンドウで次の情報を入力します。

    • ユーザー名: oamadmin

    • パスワード: oamadmin password

    • 「認証」をクリックします。

    • ステータス・ウィンドウに[request] [authenticate] yesと表示されます。

    • 「認可」をクリックします。

    • ステータス・ウィンドウに[request] [authorize] yesと表示されます。

親トピック: Oracle Access Managementの構成

パスワードを忘れた場合の有効化

Oracle Identity Management 12cでは、パスワードを忘れた場合の機能は、以前のリリースのようにOracle Identity Governanceではなく、Oracle Access Managementによってサポートされます。この項には次のトピックが含まれます:

親トピック: Oracle Access Managementの構成

パスワードを忘れた場合の有効化の前提条件

Oracle Access Managerでは、パスワードを忘れた場合の管理は、パスワードをリセットするためのリンクを電子メールまたはSMSメッセージで送信するという形で行われます。

電子メールまたはSMSは、Oracle User Messaging Serviceを使用して送信されます。Oracleのパスワードを忘れた場合の機能を有効化する前に、まずOracle User Messagingのデプロイメントが必要です。多くの場合はOracle Governance Domain内に存在しますが、インストールされているのがAccess Domainのみの場合は、Access Domain内に存在することもあります。または、完全に独立したドメインの可能性もあります。

パスワードを忘れた場合の機能が動作するのは、「エンタープライズ・デプロイメント用のシングル・サインオンの構成」で説明したとおり、シングル・サインオンを構成してある場合のみです。

ユーザー・メッセージング・サービスをAccess Domainに追加することや、ユーザー・メッセージング・サービス・ドメインを作成することは、このEDGの範囲外です。Oracle User Messaging Serviceのインストールと構成の詳細は、『Oracle User Messaging Serviceの管理』ユーザー・メッセージング・サービスのインストールに関する項および「Oracle User Messaging Serviceの構成」を参照してください。

親トピック: パスワードを忘れた場合の有効化

oamLDAPユーザーへの権限の追加

最初から作成した場合、oamLDAPユーザー(OAMをLDAPにリンクするのに使用したユーザー)はLDAPディレクトリを読み取る権限を付与されます。しかし、これらのユーザーを更新する権限は付与されません。パスワードを忘れた場合のOAMの機能が動作するには、これらの権限を追加する必要があります。

これを行うには、任意のテキスト・エディタを使用して、ldifファイルを作成する必要があります。このファイルの内容は次のとおりです。

add_aci.ldif 

dn: cn=oamLDAP,cn=systemids,dc=example,dc=com  changetype: modify add: ds-privilege-name ds-privilege-name: password-reset
dn: cn=Users,dc=example,dc=com changetype: modify add: aci aci: (targetattr = "*")(targetfilter= "(objectclass=inetorgperson)")(targetscope = "subtree") (version 3.0; acl "iam admin changepwd"; allow (compare,search,read,selfwrite,add,write,delete) userdn = "ldap:///cn=oamLDAP,cn=systemids,dc=example,dc=com";)

ファイルを保存します。

LDAPHOST1で次のコマンドを使用して、ファイルに対してアクションを行います。

OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -D cn=oudadmin -h LDAPHOST1 -p 1389 -f ./add_aci.ldif

親トピック: パスワードを忘れた場合の有効化

LDAPでのOTP管理グループの作成

oamadminグループがパスワードを忘れた場合のシステム・コールを呼び出せるようにするには、グループOTPRestUserGroupのメンバーであることが必要です。このグループはidmConfigToolでは作成されないため、手動で作成する必要があります。

これを行うには、次のステップを実行します。

  1. 次の内容でcreate_otp_group.ldifというファイルを作成します。
    dn: cn=OTPRestUserGroup,cn=Groups,dc=example,dc=com
changetype: add
objectClass: top
objectClass: orclgroup
objectClass: groupofuniquenames
cn: OTPRestUserGroup
description: Forgotten Password Admin group
displayName: OTPRestUserGroup
uniquemember: cn=oamadmin,cn=Users,dc=example,dc=com
  2. ldapmodifyコマンドを使用して、グループをLDAPに追加します。たとえば: 
    OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -D cn=oudadmin -h LDAPHOST1 -p 1389 -f create_otp_group.ldif

親トピック: パスワードを忘れた場合の有効化

アダプティブ認証サービスの有効化

パスワードを忘れた場合には、次のサービスを有効化する必要があります。

アダプティブ認証サービスを有効化するには、次のステップを実行します。

  1. 次のURLを使用して、oamadminユーザーとしてOracle Access Management管理コンソールにログインします。
    http://iadadmin.example.com/oamconsole
  2. 「構成」をクリックします。
  3. 「使用可能なサービス」をクリックします。
  4. アダプティブ認証サービスの隣にある「サービスの有効化」をクリックします。
  5. 要求された場合は、サービスを有効化することを確認します。

親トピック: パスワードを忘れた場合の有効化

アダプティブ認証プラグインの構成

認証サービスを有効化したので、ユーザー・メッセージング・サービスについて認証サービスに通知する必要があります。

アダプティブ認証プラグインを構成するには、次のステップを実行します。

  1. 次のURLを使用して、oamadminユーザーとしてOracle Access Management管理コンソールにログインします。
    http://iadadmin.example.com/oamconsole
  2. 「アプリケーション・セキュリティ」起動パッドから、「プラグイン」パネルの「認証プラグイン」をクリックします。「認証プラグイン」タブから、「プラグイン名」列の上のクイック検索ボックスにAdaptiveと入力して[Enter]を押します。
    「AdaptiveAuthenticationPlugin」が表示されます。
  3. 次のプラグイン・プロパティを入力します。

    表18-4 アダプティブ認証プラグインのプロパティ

    属性

    UmsAvailable

    True

    UmsClientURL

    ユーザー・メッセージング・サービスのエントリ・ポイントを指定します。Oracle Identity Managerを構成してある場合、これはhttp://igdinternal.example.com:7777/ucs/messaging/webserviceになります
  4. 「保存」をクリックします。

親トピック: パスワードを忘れた場合の有効化

ディレクトリ内のパスワード管理の有効化

デフォルトでは、OAMはパスワード管理を許可するようには設定されません。これはOAMコンソール経由で有効化される必要があります。

ディレクトリ内でパスワード管理を有効化するには、次のステップを実行します。

  1. 次のURLを使用して、oamadminユーザーとしてOracle Access Management管理コンソールにログインします。
    http://iadadmin.example.com/oamconsole
  2. 「構成」をクリックします。
  3. 「ユーザー・アイデンティティ・ストア」をクリックします。
  4. OAMアイデンティティ・ストア・セクションのLDAPアイデンティティ・ストアをクリックします。たとえば、OAMIDSTOREです
  5. 「編集」をクリックします
  6. 「パスワード管理の有効化」を選択します。
  7. ユーザー情報フィールドに詳細を入力します。

    表18-5 ユーザー情報の詳細

    属性 説明

    グローバル共通ID

    ユーザーのLDAPにおける一意の識別子。たとえばuidです。

    ユーザー名を保持するLDAP属性。たとえばcnです。

    ユーザーの姓を保持するLDAP属性。たとえばsnです。

    電子メール・アドレス

    これは送信された電子メールの「差出人」セクションに表示される電子メール・アドレスです。

  8. 「適用」をクリックします。

親トピック: パスワードを忘れた場合の有効化

CSFへのユーザー・メッセージング資格証明の格納

ユーザー・メッセージング・サービスにアクセスするには、その前にWebLogic資格証明ストアに資格証明を格納する必要があります。

これを行うには、次のWLSTコマンドのセットを実行します。

IAD_ORACLE_HOME/oracle_common/common/bin/wlst.sh
connect()
Please Enter your username: weblogic
Please Enter your password: COMMON_IDM_PASSWORD
Please enter your server URL [t3://localhost:7001] :t3://IADADMINVHN.example.com:7001
You will now be connected to the domain. Execute the following commands:
createCred(map="OAM_CONFIG", key="umsKey", user="weblogic", password="password")
createCred(map="OAM_CONFIG", key="oam_rest_cred", user="oamadmin", password="password")
exit ()

umsKeyは、電子メールまたはSMS通知を送信する統合メッセージング・サーバーに資格証明を提供するために使用されます。

oam_rest_credは、RestサービスをOAMサーバーで起動するのを許可されたユーザーです。

上のコマンドでは、weblogicはドメイン管理ユーザーであり、passwordは関連付けられたパスワードです。

親トピック: パスワードを忘れた場合の有効化

ログイン・ページ上のパスワードを忘れた場合のリンクの設定

次のREST APIコマンドを実行すると、OAMのデフォルト・ログイン・ページ上のパスワードを忘れた場合のOTPリンクが有効になります。

 curl -X PUT \
  https://login.example.com/oam/services/rest/access/api/v1/config/otpforgotpassword/ \
  -u oamadmin:Password \
  -H 'content-type: application/json' \
  -d '{"displayOTPForgotPassworLink":"true","defaultOTPForgotPasswordLink":"false","localToOAMServer":"true","forgotPasswordURL":"https://login.example.com/otpfp/pages/fp.jsp", "mode":"userselectchallenge"}'

必要な属性と値を入力します。

表18-6 ログイン・ページ上のパスワードを忘れた場合のリンク

属性

base_url

OAMのメイン・エントリ・ポイント。たとえば、https://login.example.com

mode

distribution_mode

配布モードによって、パスワード・リセットurlをエンド・ユーザーに送信する方法が決定されます。有効な値はemail、sms、userchoose、userselectchallengeです。最後のエントリを指定すると、ユーザーはマスクされた値から選択できるようになります。

  • Email -- mailフィールドに構成した電子メールに、OTPが送信されます。

  • SMS -- mobileフィールドに構成したモバイル番号に、OTPが送信されます。

  • Userchoose -- ユーザーが厳密な値を使用せずにemailまたはmobileオプションを選択でき、OTPが送信されます。

  • Userselectchallenge -- ユーザーにマスクされた値としてemailまたはmobileが表示され、そのオプションのいずれかを選択できます。

ノート:

ロード・バランサで自己署名証明書を使用している場合、curlコマンドを実行すると、次のようなメッセージが表示される場合があります。

デフォルトでは、curlは認証局(CA)公開キー(CA cert)のバンドルを使用して、SSL証明書検証を実行します。デフォルトのバンドル・ファイルが適切でない場合、--cacertオプションを使用して代替ファイルを指定できます。バンドルで表されるCAが署名した証明書がこのHTTPSサーバーで使用される場合、証明書の問題が原因で証明書検証が失敗した可能性があります(期限が切れたか、名前がURLのドメイン名と一致しない可能性があります)。curlによる証明書の検証をオフにするには、-k (または--insecure)オプションを使用します。

このメッセージが表示され、問題がないことがわかっている場合は、-u oamadmin:Passwordの後に-kを追加します。

ブラウザで次のURLにアクセスして、成功したことを検証します。

https://login.example.com/oam/services/rest/access/api/v1/config/otpforgotpassword

要求された場合は、oamadminアカウントとパスワードを入力します。

ノート:

このコマンドが成功するには、OAM管理対象サーバーのいずれかが実行されている必要があります。

親トピック: パスワードを忘れた場合の有効化

ドメインの再起動

管理サーバーとすべての管理対象サーバー(WLS_AMA1、WLS_AMA2、WLS_OAM1、WLS_OAM2)を停止し、再起動します。

親トピック: パスワードを忘れた場合の有効化

パスワードを忘れた場合の機能の検証

構成を検証する手順

パスワードを忘れた場合を検証するには、次のコマンドを実行して、パスワード・ポリシーを強制的に表示できます。

curl -X GET https://login.example.com/oam/services/rest/access/api/v1/pswdmanagement/UserPasswordPolicyRetriever/oamadmin?description=true  -u oamadmin:<password> -k

これを行うと、パスワード・ポリシーが表示されます。

これが動作する場合、次に示す保護されたURLへのアクセスを試行してください。(シングル・サインオンを有効化した後)ログイン・ページ上でパスワードを忘れた場合のリンクが表示されます。このリンクをクリックして、パスワードをリセットするユーザーのユーザー名を入力します。「PINの生成」をクリックします。メールボックスを確認すると、パスワードの変更を許可する電子メールを受信しています。

http://iadadmin.example.com/console

親トピック: パスワードを忘れた場合の有効化

Exalogic最適化の有効化

この項では、Exalogic最適化に固有のタスクについて説明します。この項の内容は次のとおりです。

親トピック: Oracle Access Managementの構成

Oracle Access Managementの永続的最適化の有効化

Oracle Access Management (OAM)の永続化を高速化するために、各OAM管理対象サーバーのサーバー起動オプションに新しいパラメータを追加して、OAM Exalogic最適化を有効化できます。

OPMS最適化を有効化するには:

  1. 次のURLを使用してIAMAccessDomainのWebLogicコンソールにログインします。
    http://iadadmin.example.com/console
  2. 「環境」「サーバー」にナビゲートします。
  3. 「ロックして編集」をクリックします。
  4. サーバーWLS_OAM1をクリックします。
  5. 「サーバーの起動」サブタブをクリックします。
  6. 引数フィールドに次の追加を行います。
    -Doracle.oam.sme.elo=true
  7. 「保存」をクリックします。
  8. 管理対象サーバーWLS_OAM2について、ステップ4から7を繰り返します。
  9. 「変更のアクティブ化」をクリックします。

親トピック: Exalogic最適化の有効化

構成のバックアップ

ベスト・プラクティスとして、ドメインの拡張が正常に完了した後や別の論理ポイントでバックアップを作成することをお薦めします。ここまでのインストールが正常に行われたことを確認したら、バックアップを作成します。これは、後のステップで問題が発生した場合に即座にリストアするための迅速なバックアップになります。

バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメント設定が完了すると、このバックアップは破棄できます。エンタープライズ・デプロイメント設定が完了したら、バックアップとリカバリの通常のデプロイメント固有プロセスを開始できます。

構成をバックアップする方法の詳細は、「エンタープライズ・デプロイメントのバックアップとリカバリの実行」を参照してください。

親トピック: Oracle Access Managementの構成