19 Oracle Identity Governanceの構成
Oracle Identity Governanceを使用してエンタープライズ・デプロイメント・ドメインを拡張するには、特定のタスクを実行する必要があります。これには、Oracle Identity and Access Managementのインストール、Oracle Identity Governance用のドメインの拡張、構成後タスクと検証タスクの完了が含まれます。
この章では、Oracle Identity and Access Managementのインストール、Oracle Identity Governanceのドメイン拡張、および構成後タスクと検証タスクの完了について説明します。
- Oracle Identity Governanceの構成時に使用する変数
Oracle SOA Suiteを使用してドメインを拡張するときに、この項に示すディレクトリ変数を参照します。 - Oracle Identity Governance管理対象サーバーの起動と検証
ドメインの拡張、管理サーバーの起動、およびドメインの他のホストへの伝播を完了したので、新しく構成したOracle Identity Governance管理対象サーバーを起動できます。 - ブートストラップ・レポートの分析
Oracle Identity Governanceサーバーを起動すると、MSERVER_HOME/servers/WLS_OIM1/logs/BootStrapReportPreStart.html
でブートストラップ・レポートが生成されます。 - ドメイン用のWeb層の構成
Web層のWebサーバー・インスタンスを構成して、拡張したドメイン内の適切なクラスタにパブリックURLと内部URLの両方に対するリクエストをインスタンスでルーティングできるようにします。 - 通知サービスの管理
- メッセージング・ドライバの構成
- データベース接続プール・サイズの増加
Oracle Identity GovernanceをLDAPディレクトリとのインタラクションを許可するコネクタと組み合せて使用する場合には、デフォルトのデータベース接続プール・サイズを増加する必要があります。 - Oracle Identity Governanceに対する正しいマルチキャスト・アドレスの強制使用
- Oracle Identity GovernanceとLDAPとの統合
- Oracle Identity GovernanceとOracle Access Managerとの統合
- IAMGovernanceDomainの再起動
- LDAPユーザーを使用してSOAに接続するためのOIMの有効化
- 電子メールで送信するOIMワークフロー通知の構成
- Administratorsグループへのwsm-pmロールの追加
新しいLDAPベースの認可プロバイダを構成して管理サーバーを再起動したら、エンタープライズ・デプロイメント管理LDAPグループ(OIMAdministrators)をメンバーとしてwsm-pm
アプリケーション・ストライプのpolicy.Updater
ロールに追加します。 - IAMGovernanceDomainの再起動
- Oracle Identity ManagerとOracle Business Intelligence Publisherとの統合
Oracle Identity Managerでは、Oracle Identiy and Access Managementに関する情報の提供に、いくつかの事前作成されたレポートを使用できます。 - Exalogic最適化の有効化
上位トピック: 「エンタープライズ・ドメインの構成」
Oracle Identity Governanceの構成時に使用する変数
Oracle SOA Suiteを追加してドメインを拡張する際、この項にリストするディレクトリ変数を使用します。
いくつかのディレクトリ変数の値は、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されています。
-
IGD_ORACLE_HOME
-
IGD_ASERVER_HOME
-
IGD_MSERVER_HOME
-
APPLICATION_HOME
-
DEPLOY_PLAN_HOME
-
JAVA_HOME
-
DOMAIN_HOME
-
IDSTORE_DIRECTORYTYPE
-
IDSTORE_SEARCHBASE
-
IDSTORE_USERSEARCHBASE
-
IDSTORE_GROUPSEARCHBASE
-
IDSTORE_OIMADMINUSERDN
-
IDSTORE_OIMADMINUSER_PWD
-
IDSTORE_EMAIL_DOMAIN
-
OIM_HOST
-
OIM_PORT
-
WLS_OIM_SYSADMIN_USER
-
WLS_OIM_SYSADMIN_USER_PWD
-
OIM_WLS_HOST
-
OIM_WLS_PORT
-
OIM_WLS_ADMIN
-
OIM_SERVER_NAME
-
WL_HOME
-
OAM_HOST
-
OAM_PORT
-
ACCESS_SERVER_HOST
-
ACCESS_SERVER_PORT
-
ACCESS_GATE_ID
-
SSO_ACCESS_GATE_PASSWORD
-
COOKIE_DOMAIN
-
OAM_TRANSFER_MODE
-
OIM_LOGINATTRIBUTE
-
OAM11G_WLS_ADMIN_HOST
-
OAM11G_WLS_ADMIN_PORT
-
OIM_WLSHOST
-
OIM_WLSPORT
-
OIM_WLSADMIN
-
OIM_WLSADMIN_PWD
-
OIM_SERVER_NAME
-
IDSTORE_OAMADMINUSER
-
IDSTORE_OAMADMINUSER_PWD
-
OAM11G_WLS_ADMIN_USER
-
OAM11G_WLS_ADMIN_PASSWD
-
IDSTORE_HOST
-
IDSTORE_PORT
-
IDSTORE_BINDDN
-
IDSTORE_BINDPWD
さらに、「エンタープライズ・デプロイメント用の必須IPアドレスの予約」で定義されている次の仮想IP (VIP)アドレスを参照することになります。
-
ADMINVHN
この章のアクションは、次のホスト・コンピュータで実行します。
-
OIMHOST1
-
OIMHOST2
-
WEBHOST1
-
WEBHOST2
Oracle Identity Governance管理対象サーバーの起動と検証
ドメインの拡張、管理サーバーの起動、およびドメインの他のホストへの伝播を完了したので、新しく構成したOracle Identity Governance管理対象サーバーを起動できます。
このプロセスには、次の各項で説明する3つのタスクが含まれます。
- Oracle Identity Governance管理対象サーバーの起動とドメインのブートストラップ
前のリリースとは異なり、Oracle Identity Governance構成ウィザードを実行してOIMアーティファクトをドメインにデプロイする必要はありません。ただし、ドメインのブートストラップは必要になります。前のリリースのOIM構成ウィザードで実行していた多くのアクションをこれで自動的に実行できます。 - WLS_SOA1およびWLS_OIM1管理対象サーバーの起動
- アイデンティティ・コンソールへのログインによる管理対象サーバーの検証
- WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーの起動と検証
WLS_SOA1およびWLS_OIM1管理対象サーバーの構成および起動が正常に終了したことを検証した後で、WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーを起動および検証できます。
Oracle Identity Governance管理対象サーバーの起動とドメインのブートストラップ
前のリリースとは異なり、Oracle Identity Governance構成ウィザードを実行してOIMアーティファクトをドメインにデプロイする必要はありません。ただし、ドメインのブートストラップは必要になります。前のリリースのOIM構成ウィザードで実行していた多くのアクションをこれで自動的に実行できます。
IGD_ASERVER_HOME
ディレクトリから実行する必要があります。ただし、IGD_ASERVER_HOME
の外側で動作するノード・マネージャは、igdadmin
アドレスを使用して通信します。管理対象サーバーを一時的に再構成してこのアドレスを使用しなくても、ブートストラップ・プロセス向けにノード・マネージャの外側で管理対象サーバーを起動できます。プロセスが完了したら、管理対象サーバーをローカル・ストレージに移動すると、構成されたノード・マネージャで起動および停止できるようになります。
IGD_ASERVER_HOME
/bin
で次のコマンドを実行する必要があります。
-
Oracle SOA Suite管理対象サーバー起動のためのコマンド:
./startManagedWeblogic.sh WLS_SOA1
-
Oracle Identity Governance管理対象サーバー起動のためのコマンド:
./startManagedWeblogic.sh WLS_OIM1
これらのコマンドを実行すると、WebLogicユーザー名とパスワードの入力を要求されます。これらのコマンドは対話的に実行され、管理対象サーバーが起動しても、コントロールがコマンドラインに返されません。これは1回かぎりの操作であるため問題にはなりません。
ノート:
この時点ではノード・マネージャを使用してこれらのアクションを実行できません。アイデンティティ・コンソールへのログインによる管理対象サーバーの検証
Webブラウザで次の場所を指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
http://OIMHOST1.example.com:14000/identity/
http://OIMHOST11.example.com:14000/sysadmin/
xelsysadmユーザー名とパスワードを使用して、ログインします。
SOA構成を検証します。
http://OIMHOST1.example.com:8001/soa-infra
WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーの起動および検証
WLS_SOA1およびWLS_OIM1管理対象サーバーの正常な構成と起動を検証したら、WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーを起動して検証できます。
WLS_SOA2管理対象サーバーを起動および検証するには、WLS_SOA2管理対象サーバーに対して「WLS_SOA1管理対象サーバーの起動と検証」の手順を使用します。WLS_OIM2およびWLS_WSM2管理対象サーバーもこの手順を使用して起動および検証します。
検証URLとしてWebブラウザに次のURLを入力し、エンタープライズ・デプロイメント管理者ユーザーを使用してログインします。
http://OIMHOST2:14000/identity
http://OIMHOST2:14001/identity
ブートストラップ・レポートの分析
Oracle Identity Governanceサーバーを起動すると、MSERVER_HOME/servers/WLS_OIM1/logs/BootStrapReportPreStart.html
でブートストラップ・レポートが生成されます。
BootStrapReportPreStart.html
は、デプロイしたトポロジ、システム・レベルの詳細、使用するURLなど接続の詳細、接続チェック、タスク実行詳細に関する情報を含むhtmlファイルです。このレポートを使用して、システムが起動しているかどうかを確認し、問題のトラブルシューティングおよび構成後タスクを実行できます。
Oracle Identity Governanceサーバーを起動するたびに、ブートストラップ・レポートが更新されます。
ブートストラップ・レポートのセクション
-
トポロジの詳細
この項には、デプロイメントに関する情報が含まれます。クラスタ設定が構成されているかどうか、SSLが有効かどうか、Oracle Identity Manager環境が11gから12cにアップグレードされているかどうかを示します。
-
システム・レベルの詳細
この項には、JDKバージョン、データベース・バージョン、JAVA_HOME、DOMAIN_HOME、OIM_HOME、MIDDLEWARE_HOMEに関する情報が含まれます。
-
接続の詳細
この項には、管理URL、OIMフロント・エンドURL、SOA URL、RMI URLなど接続詳細に関する情報が含まれます。
管理サーバー、データベース、SOAサーバーが起動されているかどうかも示します。
-
実行の詳細
この項では、様々なタスクとそのステータスを示します。
ドメイン用のWeb層の構成
Web層のWebサーバー・インスタンスを構成して、拡張したドメイン内の適切なクラスタにパブリックURLと内部URLの両方に対するリクエストをインスタンスでルーティングできるようにします。
考えられるスケールアウト・シナリオの準備での追加のステップは、クロス・コンポーネント・ワイヤリング情報の更新を参照してください。
- ドメイン用のOracle Traffic Directorの構成
- Oracle Identity GovernanceとOracle SOA Suiteとの統合
Oracle Identity GovernanceをOracle SOA Suiteと統合する場合は、Enterprise Managerコンソールを使用して同じことを行います。 - ロード・バランサを使用したOracle SOA Suite URLの検証
ドメイン用のOracle Traffic Directorの構成
このドメインでOracle Traffic Directorを構成した場合、状況によっては、Oracle Traffic Director構成に別のオリジン・サーバー・プール、仮想サーバーまたはルートを追加する必要があります。各Oracle Fusion Middleware製品のOracle Traffic Directorの要件を理解するための情報と、オリジン・サーバー・プール、仮想サーバーおよびルートを追加する手順は、エンタープライズ・デプロイメント用のOracle Traffic Director仮想サーバーの定義を参照してください。
親トピック: ドメイン向けWeb階層の構成
Oracle Identity GovernanceとOracle SOA Suiteの統合
Oracle Identity GovernanceをOracle SOA Suiteと統合する場合は、Enterprise Managerコンソールを使用して同じことを行います。
親トピック: ドメイン向けWeb階層の構成
ロード・バランサを使用したOracle SOA Suite URLの検証
Oracle HTTP Server仮想ホストの構成を検証し、ハードウェア・ロード・バランサがOracle HTTP Serverインスタンスを経由してアプリケーション層にリクエストをルーティングできることを確認するには:
親トピック: ドメイン向けWeb階層の構成
通知サービスの管理
イベントとは、Oracle Identity Managerで発生する操作で、ユーザー作成、リクエスト開始またはユーザーが作成した任意のカスタム・イベントなどが含まれます。これらのイベントは、ビジネス操作の一部として、またはエラー生成を介して生成されます。イベント定義は、イベントを記述するメタデータです。イベントのメタデータを定義するには、機能コンポーネントでサポートされるすべてのイベント・タイプを識別することが重要です。たとえば、スケジューラ・コンポーネントの一部として、スケジュール済ジョブ実行の失敗とスケジューラの停止に対してメタデータを定義できます。ジョブの失敗またはスケジューラの停止のたびにイベントが発生し、イベントに関連付けられている通知が送信されます。
イベントで使用可能なデータを使用して、通知のコンテンツが作成されます。イベントに定義された様々なパラメータにより、システムは適切な通知テンプレートを選択できます。イベントに定義されている各種のパラメータは、テンプレート設計時に使用可能にできるイベント変数をシステムが決定する際に役立ちます。
通知テンプレートは、通知を送信するために使用されます。これらのテンプレートには、より詳細な通知を提供するために、使用可能なデータを参照する変数が含まれています。通知プロバイダを介して通知が送信されます。このようなチャネルの例には、電子メール、インスタント・メッセージ(IM)、ショート・メッセージ・サービス(SMS)、ボイスなどがあります。これらの通知プロバイダを使用するために、Oracle Identity ManagerではOracle User Messaging Service (UMS)が使用されます。
バックエンドでは、通知エンジンが通知の生成と通知プロバイダを利用した通知の送信を担当します。
通知へのSMTPの使用
通知のためにSMTPを使用するには、SMTP電子メール通知プロバイダ・プロパティを構成して、CSFキーを追加します。
SMTP電子メール通知プロバイダのプロパティの構成
EmailNotificationProviderMBean MBeanを使用してSMTP電子メール通知プロバイダのプロパティを構成するには:
親トピック: 通知サービスの管理
メッセージング・ドライバの構成
概要
各メッセージング・ドライバを構成する必要があります。ドライバの構成については次を参照してください。
SMSメッセージの送信については、ドライバのインストールおよび構成を参照してください。
OAMのパスワードを忘れた場合の機能を有効にしている場合は、このサービスIDを構成する必要があります。
データベース接続プール・サイズの増加
Oracle Identity GovernanceをLDAPディレクトリとのインタラクションを許可するコネクタと組み合せて使用する場合には、デフォルトのデータベース接続プール・サイズを増加する必要があります。
Oracle Identity Governanceに対する正しいマルチキャスト・アドレスの強制使用
Oracle Identity Governanceでは、特定の機能に対してマルチキャストを使用します。デフォルトでは、管理対象サーバーは、プライマリ・ホスト名に割り当てられたマルチキャスト・アドレスを使用して通信します。マルチキャストで別のネットワーク(たとえば、内部ネットワーク)を使用する場合は、次の追加ステップを実行する必要があります。
Oracle Identity GovernanceとLDAPとの統合
Oracle Identity Governanceの統合には次のトピックがあります。
コネクタ・バージョンの更新
-
アーティファクトリーからコネクタ・バンドルをダウンロードします: コネクタ・バンドルのダウンロード。
-
OIDまたはOUDの場合、Oracle Internet Directoryに対応するコネクタ・バンドルをダウンロードします。
ノート:
すべてのディレクトリ・タイプにおいて、OIG-OAM統合に必要なコネクタ・バージョンは12.2.1.3.0です。 -
-
$ORACLE_HOME/idm/server/ConnectorDefaultDirectory
の下の望ましいコネクタ・パスにコネクタ・バンドルを解凍します。たとえば:
$IGD_ORACLE_HOME/idm/server/ConnectorDefaultDirectory
-
OIDまたはOUDとの統合の場合、テンプレートXMLファイルのコネクタ・バージョンおよびバンドル・バージョンを更新します。
-
LDAPコネクタ・バージョン12.2.1.3.0のすぐに使用できる既存の
たとえば、LDAPコネクタ・バンドルをauth-template
、pre-config
およびtarget-template
の各xmlファイルを削除します。/u01/oracle/products/identity/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0
に展開する場合、/u01/oracle/products/identity/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0/xml/
にある次のファイルを移動します。-
ODSEE-OUD-LDAPV3-pre-config.xml
をODSEE-OUD-LDAPV3-pre-config.xml_bak
に移動します -
ODSEE-OUD-LDAPV3-target-template.xml
をODSEE-OUD-LDAPV3-target-template.xml_bak
に移動します -
ODSEE-OUD-LDAPV3-auth-template.xml
をODSEE-OUD-LDAPV3-auth-template.xml_bak
に移動します -
OID-pre-config.xml
をOID-pre-config.xml_bak
に移動します -
OID-target-template.xml
をOID-target-template.xml_bak
に移動します -
OID-auth-template.xml
をOID-auth-template.xml_bak
に移動します
-
-
次のように、ターゲット・テンプレートのコネクタ・バージョンおよびバンドル・バージョンを更新します。
<connectorVersion>12.2.1.3.0</connectorVersion> <advanceConfig name="Bundle Version" value="12.3.0" required="false"/>
ノート:
-
ディレクトリ・タイプがOUDである場合は、
${IGD_ORACLE_HOME}/idm/server/ssointg/connector/oud/OUD-OAM-Target-Template.xml
を更新します
-
-
次のように、認可テンプレートのコネクタ・バージョンおよびバンドル・バージョンを更新します。
<connectorVersion>12.2.1.3.0</connectorVersion> <advanceConfig name="Bundle Version" value="12.3.0" required="false"/>
ノート:
-
ディレクトリ・タイプがOUDの場合は、
${IGD_ORACLE_HOME}/idm/server/ssointag/connector/oud/OUD-auth-template.xml
を更新します
-
-
次のように、
pre-config
テンプレートのバンドル・バージョンを更新します。<LookupValue id="LKV2341" repo-type="RDBMS"> <LKV_COUNTRY>US</LKV_COUNTRY> <LKV_DECODED>12.3.0</LKV_DECODED> <LKV_DISABLED>0</LKV_DISABLED> <LKV_ENCODED>Bundle Version</LKV_ENCODED> <LKV_LANGUAGE>en</LKV_LANGUAGE> <LKV_UPDATE>1334606670000</LKV_UPDATE> </LookupValue>
ノート:
-
ディレクトリ・タイプがOUDである場合は、
${IGD_ORACLE_HOME}/idm/server/ssointg/connector/oud/OUD-OAM-pre-config.xml
を更新します
OUDの場合は、OUD-OAM-pre-config.xml
のNsuniqueID属性定義のmaxSizeを100に更新します。<AttributeDefinition repo-type="API" name="NsuniqueID" subtype="User Metadata"> ... <maxSize>100</maxSize> ... </AttributeDefinition>
-
重要:
OIG-OAM統合の後、他のITリソース用のターゲット・アプリケーション・インスタンスを作成するためにLDAPコネクタ・バンドルまたはActive Directoryコネクタ・バンドルが使用される場合、アプリケーション・インスタンスの作成に進む前に、ディレクトリ・タイプに対応するpre-config.xml
をSysadmin UIから手動でインポートする必要があります。-
OUD/ODSEE/LDAPV3の場合:
XML name: ODSEE-OUD-LDAPV3-pre-config.xml Location (example): $ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0/xml/ODSEE-OUD-LDAPV3-pre-config.xml
pre-config.xml
のインポートについては、コネクタXMLファイルのインポートを参照してください。 -
LDAP用のOracleコネクタの構成
LDAP用のOracleコネクタを使用すると、認証されたLDAPディレクトリにユーザーおよびパスワードを格納できます。コネクタは構成してから使用します。コネクタは次のステップで構成します。
-
ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します
-
ファイル
configureLDAPConnector.config
を編集し、次に示すプロパティを更新します。##-----------------------------------------------------------## ## [configureLDAPConnector] IDSTORE_DIRECTORYTYPE=OUD IDSTORE_HOST=idstore.example.com IDSTORE_PORT=1389 IDSTORE_BINDDN=cn=oudadmin IDSTORE_OIMADMINUSERDN=cn=oimLDAP,cn=systemids,dc=example,dc=com IDSTORE_OIMADMINUSER_PWD=<password> IDSTORE_BINDPWD=<password> IDSTORE_SEARCHBASE=dc=example,dc=com IDSTORE_USERSEARCHBASE=cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE=cn=Groups,dc=example,dc=com IDSTORE_USERSEARCHBASE_DESCRIPTION=Default user container IDSTORE_GROUPSEARCHBASE_DESCRIPTION=Default group container IDSTORE_EMAIL_DOMAIN=example.com OIM_HOST=OIMHOST1.example.com OIM_PORT=14000 WLS_OIM_SYSADMIN_USER=xelsysadm WLS_OIM_SYSADMIN_USER_PWD=<password> OIM_WLSHOST=IGDADMINVHN.example.com OIM_WLSPORT=7101 OIM_WLSADMIN=weblogic OIM_SERVER_NAME=oim_server1 CONNECTOR_MEDIA_PATH=IGD_ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0
終了後、ファイルを保存します。
説明:
表19-4 LDAPConnectorプロパティの構成
属性 説明 IDSTORE_HOST
LDAPディレクトリ向けのロード・バランサ名。たとえば: idstore.example.com
IDSTORE_PORT
ロード・バランサのLDAPポート。たとえば、OUDの場合は1389です。
IDSTORE_DIRECTORYTYPE
OUDを使用しているLDAPディレクトリのタイプ。
IDSTORE_BINDDN
ディレクトリに接続して管理アクションを実行するために使用する資格証明。たとえば、OUDの場合はoudadminです。
IDSTORE_BINDPWD
IDSTORE_BINDDNアカウントのパスワード。
IDSTORE_SEARCHBASE
ディレクトリのルート・ディレクトリ・ツリー。
IDSTORE_USERSEARCHBASE
ユーザーが格納されているディレクトリの場所。
IDSTORE_GROUPSEARCHBASE
グループが格納されているディレクトリの場所。
IDSTORE_OIMADMINUSERDN
OIMでLDAPへの接続に使用するユーザー名。
IDSTORE_OIMADMINUSER_PWD
前述のアカウントのパスワード。
IDSTORE_EMAIL_DOMAIN
電子メールのドメイン。
OIM_HOST
OIM管理対象WLS_OIM1サーバーがリスニング対象とするホスト名。たとえば、OIMHOST1です。
OIM_PORT
WLS_OIM1管理対象サーバーのポート番号。
WLS_OIM_SYSADMIN_USER
OIM管理者アカウント。たとえば、xelsysadmです。
WLS_OIM_SYSADMIN_USER_PWD
WLS_OIM_SYSADMIN_USERのパスワード
OIM_WLSHOST
IAMGovernanceDomain管理サーバーのリスニング・アドレス。たとえば、IGDADMINVHNです
OIM_WLSPORT
管理サーバーのポート。たとえば、7101です。
OIM_WLSADMIN
IAMGovernanceドメイン管理ユーザー名。
たとえば、weblogic CONNECTOR_MEDIA_PATHはコネクタをインストールした場所になります。
OIM_SERVER_NAME
実行中のOIM管理対象サーバー名。たとえば、wls_oim1です。
ノート:
構成ファイルの作成でこれらのパラメータに指定したものと同じ値を使用してください。 -
IGD_ORACLE_HOME/idm/server/ssointg/config/
にあるssointg-config.properties
プロパティ・ファイルを見つけ、configureLDAPConnector値をtrueに設定します。他の値はすべてfalseに設定してください。##-----------------------------------------------------------## generateIndividualConfigFiles=false prepareIDStore=false configOAM=false addMissingObjectClasses=false populateOHSRules=false configureWLSAuthnProviders=false configureLDAPConnector=true ## configureLDAPConnector takes care of updating container rules ## Additional option is provided in case rules need to be updated again updateContainerRules=false configureSSOIntegration=false enableOAMSessionDeletion=false
-
スクリプトOIGOAMIntegrationを実行してコネクタを構成します。
-
たとえば:
cd IGD_ORACLE_HOME/idm/server/ssointg/bin export JAVA_HOME=JAVA_HOME export ORACLE_HOME=IGD_ORACLE_HOME export WL_HOME=IGD_ORACLE_HOME/wlserver ./OIGOAMIntegration.sh -configureLDAPConnector
不足しているオブジェクト・クラスの追加
Oracle Identity Manager有効化前からLDAPにユーザーが存在する場合は、新しいユーザーにOIM/OAM統合の制御に使用するオブジェクト・クラスが不足する可能性があります。このような不足しているオブジェクト・クラスを新しいユーザーに追加するには、次のコマンドを実行します。
-
ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します
-
ファイル
addMissingObjectClasses.config
を編集し、次に示すプロパティを更新します。IDSTORE_DIRECTORYTYPE: OUD IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389 IDSTORE_BINDDN: cn=orcladmin IDSTORE_BINDDN_PWD: <password> IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
終了後、ファイルを保存します。
表19-5
addMissingObjectClasses.config
のプロパティ属性 説明 IDSTORE_HOST
LDAPディレクトリのロード・バランサ名。たとえば、idstore.example.comです
IDSTORE_PORT
ロード・バランサのLDAPポート。たとえば、OUDの場合は1389です。
IDSTORE_DIRECTORYTYPE
(OUD)を使用しているLDAPディレクトリのタイプ。
IDSTORE_BINDDN
ディレクトリに接続して管理アクションを実行するために使用する資格証明。たとえば、OUDの場合はoudadminです。
IDSTORE_BINDPWD
IDSTORE_BINDDNアカウントのパスワード。
IDSTORE_USERSEARCHBASE
ユーザー情報が格納されているディレクトリの場所。
-
スクリプトOIGOAMIntegrationを実行します。
-
たとえば:
cd IGD_ORACLE_HOME/idm/server/ssointg/bin export JAVA_HOME=JAVA_HOME export ORACLE_HOME=IGD_ORACLE_HOME export WL_HOME=IGD_ORACLE_HOME/wlserver ./OIGOAMIntegration.sh -addMissingObjectClasses
LDAPディレクトリ管理者アカウントのパスワード入力が要求されます。
ドメインの再起動
IAMAccessDomainおよびIAMGovernanceDomainの両方を再起動します。
Oracle Identity GovernanceとOracle Access Managerとの統合
Oracle Identity GovernanceとOracle Access Managerとの統合には次のトピックが含まれます。
IAMGovernanceDomainでのSSO統合の構成
コネクタをデプロイした後のプロセスのステップは、ドメインのSSOの構成です。そのためには、次のステップを実行する必要があります。
-
ディレクトリを
IGD_ORACLE_HOME/idm/server/ssointg/config
に変更します -
ファイル
configureSSOIntegration.config
を編集し、セクションconfigureSSOIntegrationのプロパティを次に示すように更新します。##-----------------------------------------------------------## ## [configureSSOIntegration] OAM_HOST: OAMHOST1.example.com OAM_PORT:14100 ACCESS_SERVER_HOST:OAMHOST1.example.com ACCESS_SERVER_PORT:5557 ACCESS_GATE_ID:Webgate_IDM SSO_ACCESS_GATE_PASSWORD:<password> COOKIE_DOMAIN:example.com OAM_TRANSFER_MODE:Simple OIM_LOGINATTRIBUTE:uid OAM11G_WLS_ADMIN_HOST:IADADMINVHN.example.com OAM11G_WLS_ADMIN_PORT:7001 OAM11G_WLS_ADMIN_USER:weblogic OAM11G_WLS_ADMIN_PASSWD:<password> IDSTORE_OAMADMINUSER:oamadmin IDSTORE_OAMADMINUSER_PWD:<password> OIM_WLSHOST:IGDADMINVHN.example.com OIM_WLSPORT:7101 OIM_WLSADMIN:weblogic IM_WLSADMIN_PWD:<password> OIM_SERVER_NAME:wls_oim1 SSO_KEYSTORE_JKS_PASSWORD:<password> SSO_GLOBAL_PASSPHRASE:<password> OIM_SERVER_NAME:oim_server1
終了後、ファイルを保存します。
説明:
表19-6 SSOIntegrationプロパティの構成
属性 説明 OAM_HOST
ドメインIAMAccessDomainの管理対象サーバーWLS_OAM1のリスニング・アドレス
OAM_PORT
管理対象サーバーWLS_OAM1がリスニング対象とするポート。
ACCESS_SERVER_HOST
常にOAM_HOSTと同じです。
ACCESS_SERVER_PORT
OAM PROXY PORTのポート番号。
ACCESS_GATE_ID
構成ファイルの作成で作成されたwebgateエージェント名。
SSO_ACCESS_GATE_PASSWORD
構成ファイルの作成で、パラメータOAM11G_OIM_WEBGATE_PASSWDに割り当てられた値。
COOKIE_DOMAIN
構成ファイルの作成で割り当てられた値。
OAM_TRANSFER_MODE
構成ファイルの作成で割り当てられた値。
OIM_LOGINATTRIBUTE
ユーザー・ログイン属性を含むLDAPフィールド(通常uidまたはcn)。
OAM11G_WLS_ADMIN_HOST
ドメインIAMAccessDomainの管理サーバーのリスニング・アドレス。たとえば、IADADMINVHNです
OAM11G_WLS_ADMIN_PORT
ドメインIAMAccessDomainの管理サーバーのリスニング・ポート。たとえば、7001です。
OIM_WLSHOST
OIM管理サーバーのリスニング・アドレス。たとえば
IGDADMINVHN.example.com
OIM_WLSPORT
OIM管理サーバーのリスニング・ポート。たとえば、7101です。
OIM_WLSADMIN
OIM管理サーバーの管理ユーザー。たとえば、weblogicです。
OIM_WLSADMIN_PWD
OIM_WLSADMINアカウントのパスワード。
OIM_SERVER_NAME
実行中のOIM管理対象サーバー名。たとえば、WLS_OIM1です。
IDSTORE_OAMADMINUSER
構成ファイルの作成でIDSTORE_OAMADMINUSERに割り当てられた値。
IDSTORE_OAMADMINUSER_PWD
IDSTORE_OAMADMINUSERアカウントのパスワード。
-
IGD_ORACLE_HOME/idm/server/ssointg/config/
にあるssointg-config.properties
プロパティ・ファイルを見つけ、configureSSOIntegration値をtrueに設定します。他の値はすべてfalseに設定してください。##-----------------------------------------------------------## generateIndividualConfigFiles=false prepareIDStore=false configOAM=false addMissingObjectClasses=false doPopulateOHSRules=false configureWLSAuthnProviders=false configureLDAPConnector=false ## configureLDAPConnector takes care of updating container rules ## Additional option is provided in case rules need to be updated again updateContainerRules=false configureSSOIntegration=true enableOAMSessionDeletion=false
-
スクリプトOIGOAMIntegrationを実行してSSO統合を構成します。
-
たとえば:
cd IGD_ORACLE_HOME/idm/servers/ssointg/bin export JAVA_HOME=JAVA_HOME export ORACLE_HOME=IGD_ORACLE_HOME export WL_HOME=IGD_ORACLE_HOME/wlserver ./OIGOAMIntegration.sh -configureSSOIntegration
-
ドメインIAMGovernanceDomainを再起動します。
OAM通知の有効化
コネクタをデプロイ後のプロセスでのステップは、ユーザーが期限切れまたは終了した後のユーザー・セッション終了のためのOAMとの対話方法をOIMに指示することです。そのためには、次のステップを実行する必要があります。
-
ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します。
-
ファイル
enableOAMSessionDeletion.config
を編集し、セクションenableOAMNotificationsのプロパティを次に示すように更新します。##-----------------------------------------------------------## ## [enableOAMNotifications] OIM_WLSHOST=IGDADMINVHN.example.com OIM_WLSPORT=7101 OIM_WLSADMIN=weblogic OIM_WLSADMIN_PWD=<password> IDSTORE_DIRECTORYTYPE: OUD IDSTORE_HOST=idstore.example.com IDSTORE_PORT=1389 IDSTORE_BINDDN=cn=oudadmin IDSTORE_BINDPWD=<password> IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_OAMADMINUSER: oamAdmin IDSTORE_OAMSOFTWAREUSER: oamLDAP IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com OIM_SERVER_NAME=WLS_OIM1
説明:
表19-7 enableOAMSessionDeletionのプロパティ
属性 説明 OIM_WLSHOST
ドメインIAMGovernanceDomainの管理サーバーのリスニング・アドレス。たとえば、IGDADMINVHN.example.comです
OIM_WLSPORT
ドメインIAMGovernanceDomainの管理サーバーのポート。たとえば、7101です
OIM_WLSADMIN
IAMGovernanceDomainのweblogic管理者名。たとえば、weblogicです。
OIM_WLSADMIN_PWD
OIM_WLSADMINアカウントのパスワード。
IDSTORE_HOST
LDAPディレクトリ向けのロード・バランサ名。たとえば: idstore.example.com
IDSTORE_PORT
ロード・バランサのLDAPポート。たとえば、OUDの場合は1389です。
IDSTORE_BINDDN
ディレクトリに接続して管理アクションを実行するために使用する資格証明。たとえば、OUDの場合はoudadminです。
IDSTORE_BINDPWD
IDSTORE_BINDDNアカウントのパスワード。
IDSTORE_GROUPSEARCHBASE
グループが格納されているディレクトリの場所。
IDSTORE_SYSTEMIDBASE
メイン・ユーザー・コンテナに配置する必要のないシステム・ユーザーを配置できる、ディレクトリ内のコンテナの場所。
IDSTORE_OAMADMINUSER
Access Manager管理者として作成するユーザーの名前。
IDSTORE_OAMSOFTWAREUSER
LDAPに作成され、Access Managerが実行中にLDAPサーバーに接続するために使用されるユーザー。
IDSTORE_USERSEARCHBASE
ユーザーが格納されているディレクトリの場所。
OIM_SERVER_NAME
OIMサーバー名。たとえば、
oim_server1
です。 -
IGD_ORACLE_HOME/idm/server/ssointg/config/
にあるssointg-config.properties
プロパティ・ファイルを見つけ、enableOAMSessionDeletion値をtrueに設定します。他の値はすべてfalseに設定してください。##-----------------------------------------------------------## generateIndividualConfigFiles=false prepareIDStore=false configOAM=false addMissingObjectClasses=false doPopulateOHSRules=false configureWLSAuthnProviders=false configureLDAPConnector=false ## configureLDAPConnector takes care of updating container rules ## Additional option is provided in case rules need to be updated again updateContainerRules=false configureSSOIntegration=false enableOAMSessionDeletion=true
-
スクリプトOIGOAMIntegrationを実行して通知を有効化します。
-
たとえば:
cd IGD_ORACLE_HOME/idm/servers/sointg/bin export JAVA_HOME=JAVA_HOME export ORACLE_HOME=IGD_ORACLE_HOME export WL_HOME=IGD_ORACLE_HOME/wlserver ./OIGOAMIntegration.sh -enableOAMSessionDeletion
oam-config.xmlの更新
Oracle 12cでは、oam構成ファイルoam-config.xml
を含む、すべての構成アーティファクトがデータベース内に格納されます。このファイルを変更するには、データベースからエクスポートして編集し、再度インポートする必要があります。このステップを次に示します。
oam-config.xmlのエクスポート
oamdb.props
という名前のファイルをOAMHOST1に作成し、次の値を指定します。
oam.entityStore.ConnectString=jdbc:oracle:thin:@//db-scan.example.com:1521/oam.example.com
oam.entityStore.schemaUser=IAD_OAM
oam.entityStore.schemaPassword=Password
oam.importExportDirPath=/tmp
oam.frontending=params=OAMHOST1.example.com;14100;http
ファイルを保存します。
表19-8 oamdb.props
のプロパティ
文字列 | 説明 |
---|---|
|
oamスキーマのホストとなるデータベースに接続するために使用される文字列。 |
|
リポジトリ作成ユーティリティの実行で作成されたスキーマの名前 |
|
スキーマのパスワード。 |
|
抽出されたファイルの置き場所。 |
|
oam管理対象サーバーのホスト、ポート、プロトコル(host:port:protocol)。この管理対象サーバーは稼働中である必要があります。 |
次のコマンドを使用して、oam-config.xml
ファイルを抽出します。
$JAVA_HOME/bin/java -cp $IAD_ORACLE_HOME/idm/oam/server/tools/config-utility/config-utility.jar:$IAD_ORACLE_HOME/oracle_common/modules/oracle.jdbc/ojdbc8.jar oracle.security.am.migrate.main.ConfigCommand $IAD_ASERVER_HOME export /tmp/oamdb.props
oam-config.xmlの変更
抽出されたoam-config.xml
を編集します。MatchLDAPAttributeを検索し、値uidを設定します。たとえば:
<Setting Name="MAPPERCLASS" Type="xsd:string">oracle.security.am.engine.authn.internal.executor.DAPAttributeMapper</Setting>
<Setting Name="MatchLDAPAttribute" Type="xsd:string">uid</Setting>
<Setting Name="name" Type="xsd:string">DAP</Setting>
ノート:
ファイルのVersionタグに1を加算しないでください。oam-config.xmlのインポート
ファイルの変更が終了しました。oamデータベースに再び保存する必要があります。前述のプロパティ・ファイルと同じものを使用できます。次のコマンドを実行します。
$JAVA_HOME/bin/java -cp $IAD_ORACLE_HOME/idm/oam/server/tools/config-utility/config-utility.jar:$IAD_ORACLE_HOME/oracle_common/modules/oracle.jdbc/ojdbc8.jar oracle.security.am.migrate.main.ConfigCommand $IAD_ASERVER_HOME import /tmp/oamdb.props
TapEndpoint URLの更新
OAM/OIM統合を有効にするには、次のステップを実行してOAM TapEndpoint URLを更新する必要があります。
-
次のURLを使用してOracle Fusion Middleware Controlにログインします。
http://igdadmin.example.com/em
または
http://IGDADMINVHN.example.com:7101/em
管理サーバーのホストおよびポート番号は「構成の終了」画面のURLにありました(「ドメイン・ホームと管理サーバーURLの記録」)。デフォルトの管理サーバーのポート番号は7101です。
-
「WebLogicドメイン」をクリックし、「システムMBeanブラウザ」をクリックします。
検索ボックスに、SSOIntegrationMXBeanと入力して、「検索」をクリックします。mbeanが表示されます。
-
TapEndpointURLに次の値を設定します
https://login.example.com/oam/server/dap/cred_submit
-
「適用」をクリックします。
LDAPユーザーを使用してSOAに接続するためのOIMの有効化
Oracle Identity Managerは、デフォルトではweblogic
というユーザー名を使用して、SOA管理者としてSOAに接続します。前の項では、Identity Management WebLogicドメインを管理するために、新しい管理者ユーザーを中央のLDAPストアでプロビジョニングしました。
次のインストール後のステップを実行して、Oracle Identity Managerが、中央のLDAPストアでプロビジョニングしたOracle WebLogic Server管理者ユーザーを使用できるようにします。これによって、Oracle Identity ManagerはSOAに接続できるようになります。
ノート:
SOAConfig Mbeanを表示するには、最低1つのOIM管理対象サーバーが稼働している必要があります。
-
調整プロセスを実行して、Oracle WebLogic Serverの管理者であるweblogic_iamをOIMアイデンティティ・コンソールで表示できるようにします。次のステップを実行します。
-
OIMシステム管理コンソールにユーザー
xelsysadm
としてログインします。 -
「システム構成」の下の「スケジューラ」をクリックします。
-
検索ボックスに
SSO*
と入力します。 -
「スケジュール済ジョブの検索」の矢印をクリックして、すべてのスケジューラを一覧表示します。
-
SSOユーザーの完全リコンシリエーションを選択します。
-
「即時実行」をクリックしてジョブを実行します。
-
SSOグループ作成および更新の完全リコンシリエーションを繰り返します。
-
OIMアイデンティティ・コンソールにログインして、ユーザーweblogic_iamが表示されることを確認します。
-
-
IAMGovernanceDomainのEnterprise Manager Fusion Middleware Controlに
weblogic
ユーザーとしてログインします。 -
「WebLogicドメイン」をクリックし、「システムMBeanブラウザ」をクリックします。
-
「検索」を選択し、
SOAConfig
を入力して「検索」をクリックします。 -
ユーザー名属性を、アイデンティティ・ストアの準備でプロビジョニングしたOracle WebLogic Server管理者ユーザー名に変更します。たとえば:
weblogic_iam
「適用」をクリックします。
-
「WebLogicドメイン」→「セキュリティ」→「資格証明」をドロップダウン・メニューから選択します。
-
キーoimを開きます。
-
「SOAAdminPassword」をクリックして、「編集」をクリックします。
-
ユーザー名を
weblogic_iam
に変更し、そのパスワードをアカウントのパスワードに設定して、「OK」をクリックします。 -
ナビゲータで「WebLogicドメイン」をクリックし、「アプリケーション・ロール」を「セキュリティ」メニューから選択します。
-
アプリケーション・ストライプをドロップダウン・リストから選択し、soa-infraに設定します。「検索」をクリックします。
-
「SOAAdmin」をクリックします。メンバーシップ・ボックスに「Administrators」が表示されることを確認します。
-
「編集」をクリックします。「編集」ページが表示されます。
-
メンバー・ボックスで「追加」をクリックします。「プリンシパルの追加」検索ボックスが表示されます。
次のように入力します。
-
タイプ: グループ
-
プリンシパル名: 次で始まる: WLS
「検索」をクリックします。
-
-
結果ボックスからWLSAdministratorsを選択し、「OK」をクリックします。
「編集」画面にリダイレクトされます。メンバーがAdministratorsおよびWLSAdministratorsであることを確認します。
「OK」をクリックします。
-
OIMセルフ・サービス・コンソールにユーザー
xelsysadm
としてログインします。要求されたら、チャレンジ質問を設定します。これは、Oracle Identity Managerアイデンティティ・コンソールへの最初のログイン時に発生します。
-
「管理」→「ロールとアクセス・ポリシー」→「ロール」をクリックします。
-
管理者ロールを検索します。
Administrators
と「表示名」検索ボックスに入力し、「検索」をクリックします。 -
Administratorsロールをクリックします。
このロールの「プロパティ」ページが表示されます。
-
「組織」タブをクリックします
-
「追加」をクリックします。
xelsysadm
が属する組織(例: Xellerate Users)を検索して選択します。 -
「選択した項目の追加」をクリックします。「選択」をクリックします。
-
「メンバー」タブをクリックして、「追加」をクリックします。
-
ユーザーweblogic_iamを検索して選択します。
-
「選択した項目の追加」をクリックします。
-
「選択」をクリックして、「適用」をクリックします。
電子メールで送信するOIMワークフロー通知の構成
OIMでは、SOAワークフローを統合したヒューマン・ワークフローが使用されます。SOAサーバーで電子メールを構成し、通知を受信してユーザーのメールボックスに配信します。ユーザーは通知を承認または拒否できます。
すべての機能を使用するには、ポータル・ワークフロー専用の送受信メール・アドレスおよびメールボックスが必要になります。Oracle SOA SuiteおよびOracle Business Process Management Suiteの管理の、ヒューマン・ワークフロー通知プロパティの構成に関する説明を参照してください。
- 管理者のアカウントを使用してFusion Middleware Controlにログインします。たとえば、
weblogic_iam
です。 - 「ターゲット・ナビゲーション」パネルを開き、「SOA」→「soa-infra (WLS_SOA1)」サービスに移動します。
- 「SOAインフラストラクチャ」ドロップダウンから、「SOA管理」→「ワークフロー・プロパティ」の順に選択します。
- 通知モードを「電子メール」に設定します。通知サービスに正しい電子メール・アドレスを指定します。
- 「適用」をクリックし、要求に応じて確認します。
- 変更を確認します。
- 「「メッセージング・ドライバ」ページに移動」リンクをクリックします。
- 「関連ドライバ」セクションで、「ユーザー・メッセージング電子メール・ドライバ」の「ドライバの構成」をクリックします。
- 電子メール・ドライバが存在しない場合は、「作成」をクリックします。
- 「テスト」をクリックして変更を検証します。
- 「OK」をクリックして電子メール・ドライバ構成を保存します。
- SOAクラスタを再起動します。OIMの場合、構成または再起動は不要です。
Administratorsグループへのwsm-pmロールの追加
新しいLDAPベースの認可プロバイダを構成して管理サーバーを再起動したら、エンタープライズ・デプロイメント管理LDAPグループ(OIMAdministrators)をメンバーとしてwsm-pm
アプリケーション・ストライプのpolicy.Updater
ロールに追加します。
Oracle Identity ManagerとOracle Business Intelligence Publisherとの統合
Oracle Identity Managerでは、Oracle Identiy and Access Managementに関する情報の提供に、いくつかの事前作成されたレポートを使用できます。
Oracle Identity Managerレポートは、アクセス・ポリシー・レポート、リクエストおよび承認レポート、パスワード・ポリシー・レポートなどの機能領域に基づいて分類されます。「操作レポート」や「履歴レポート」という名前は使用しなくなりました。これらのレポートは、Oracle Identity ManagerではなくOracle Business Intelligence Publisher (BIP)で生成されます。Oracle Identity Managerレポートには、Oracle BI Publisherに関する制約があります。
Oracle BI Publisherの高可用性エンタープライズ・デプロイメントのセットアップについては、このドキュメントでは説明していません。詳細は、『Business Intelligenceエンタープライズ・デプロイメント・ガイド』12.2.1.3.0のBusiness Intelligence Enterpriseデプロイメント・トポロジの理解に関する項を参照してください。
- BI Publisher使用のためのOracle Identity Managerの構成
Oracle BI Publisherをセットアップして、Oracle Identity Managerレポートを生成できます。 - BIServiceAdministratorロールのxelsysadmへの割当て
LDAPをBusiness Intelligence (BI)ドメインのアイデンティティ・ストアとして使用している場合は、BIドメインでLDAP認証を作成する必要があります。これを作成するとLDAP内に格納されているユーザーおよびグループを表示できます。レポートを生成するには、Oracle Identity Manager (OIM)システム管理アカウント(たとえば、xelsysadm
)をBIServiceAdministratorロールに割り当てる必要があります。 - Oracle Identity GovernanceのBI資格証明の格納
- BIPでのOIMおよびBPELデータソースの作成
レポートを実行するには、Oracle BIPをOIMおよびSOAデータベース・スキーマに接続する必要があります。 - Oracle Identity GovernanceレポートのBIへのデプロイ
- OBIEE環境でのOracle Identity Governanceレポートのデプロイ
- 証明レポートの有効化
- レポートの検証
BI Publisherを使用するOracle Identity Managerの構成
Oracle BI PublisherをセットアップしてOracle Identity Managerレポートを生成できます。
BIServiceAdministratorロールのxelsysadmへの割当て
LDAPをBusiness Intelligence (BI)ドメインのアイデンティティ・ストアとして使用している場合は、BIドメインでLDAP認証を作成する必要があり、これを作成するとLDAP内に格納されているユーザーおよびグループを表示できます。レポートを生成するには、Oracle Identity Manager (OIM)システム管理アカウント(たとえば、xelsysadm
)をBIServiceAdministratorロールに割り当てる必要があります。
BIPでのOIMおよびBPELデータ・ソースの作成
レポートを実行するには、Oracle BIPをOIMおよびSOAデータベース・スキーマに接続する必要があります。
OIMデータソースの作成
そのためには、次の手順でBIPデータソースを作成する必要があります。
-
URL
https://bi.example.com/xmlpserver
を使用して、BI Publisherホーム・ページにログインします -
BI Publisherのホーム・ページの上部にある「管理」リンクをクリックします。 BI Publisherの「管理」ページが表示されます。
-
「データ・ソース」で、「JDBC接続」リンクをクリックします。「Data Sources」ページが表示されています。
-
「JDBC」タブで、「データソースの追加」をクリックして、データベースへのJDBC接続を作成します。 「データソースの追加」ページが表示されます。
-
次のフィールドに値を入力します。
表19-10 OIM追加データ・ソース属性
属性 値 データ・ソース名
Oracle Identity Governance JDBC接続名を指定します。たとえば、OIM JDBCです。
ドライバ・タイプ
11gデータベースの場合はOracle 11gを選択し、12cデータベースの場合はOracle 12cを選択します
データベース・ドライバ・クラス
データベースに適したドライバ・クラス(
oracle.jdbc.OracleDriver
など)を指定します接続文字列
データベース接続の詳細を、jdbc:oracle:thin:@HOST_NAME:PORT_NUMBER:SIDの形式で指定します。
たとえば、jdbc:oracle:thin:@igddbscan:1521:oim.example.comです
ユーザー名
Oracle Identity Governanceのデータベース・ユーザー名を指定します。たとえば、IGD_OIMです
パスワード
Oracle Identity Governanceのデータベース・ユーザーのパスワードを指定します。
-
「接続テスト」をクリックして接続を確認します。
-
「適用」をクリックして接続を確立します。
-
データベースへの接続が確立されると、成功を示す確認メッセージが表示されます。
-
「適用」をクリックします。
「JDBC」ページのJDBCデータソースのリストに、新しく定義されたOracle Identity Governance JDBC接続が表示されます。
BPELデータソースの作成
-
URL
https://bi.example.com/xmlpserver
を使用して、BI Publisherホーム・ページにログインします。 -
BI Publisherホーム・ページの「管理」リンクをクリックします。BI Publisherの「管理」ページが表示されます。
-
-
「データ・ソース」で、「JDBC接続」リンクをクリックします。 「Data Sources」ページが表示されています。
-
-
「JDBC」タブで、「データソースの追加」をクリックして、データベースへのJDBC接続を作成します。 「データソースの追加」ページが表示されます。
-
次のフィールドに値を入力します。
表19-11 JDBC追加データソース属性
属性 値 データ・ソース名
Oracle Identity Governance JDBC接続名を指定します。たとえば、BPEL JDBCです。
ドライバ・タイプ
Oracle 12c
データベース・ドライバ・クラス
データベースに適したドライバ・クラス(
oracle.jdbc.OracleDriver
など)を指定します接続文字列
データベース接続の詳細を、jdbc:oracle:thin:@HOST_NAME:PORT_NUMBER:SIDの形式で指定します。
たとえば、jdbc:oracle:thin:@igddbscan:1521:oim.example.comです
ユーザー名
Oracle Identity Governanceのデータベース・ユーザー名を指定します。たとえば、IGD_SOAINFRAです。
パスワード
Oracle Identity Governanceのデータベース・ユーザーのパスワードを指定します。
-
「接続テスト」をクリックして接続を確認します。
-
「適用」をクリックして接続を確立します。
-
データベースへの接続が確立されると、成功を示す確認メッセージが表示されます。
-
「適用」をクリックします。
「JDBC」ページのJDBCデータソースのリストに、新しく定義されたOracle Identity Governance JDBC接続が表示されます。
Oracle Identity GovernanceレポートのBIへのデプロイ
証明レポートの有効化
- URL:
https://prov.example.com/identity
を使用してOracle Identity Self Serviceにログインします。 - 「コンプライアンス」タブをクリックします。
- 「アイデンティティの証明」ボックスをクリックします。
- 「証明構成」を選択します。 「証明構成」ページが表示されます。
- 「証明レポートの有効化」を選択します。
- 「保存」をクリックします。
レポートの検証
サンプル・データソースに関するレポートを生成するには、そのサンプル・データ・ソースを作成する必要があります。
サンプル・レポートの作成
本番JDBCデータソースに対してレポートを実行せずにレポート・データの例を表示して外観を確認するには、サンプル・データソースに対してサンプル・レポートを生成します。サンプル・レポートを生成するには、まずサンプル・データソースを作成します。
サンプル・データソースに対するレポートの生成
- URL:
https://bi.example.com/xmlpserver
を使用して、Oracle BI Publisherにログインします。 - 「共有フォルダ」をクリックします。
- Oracle Identity Managerレポートをクリックします。
- 「サンプル・レポート」を選択します。
- 生成するサンプル・レポートについて「表示」をクリックします。
- サンプル・レポートの出力フォーマットを選択して「表示」をクリックします。
サンプル・レポートが生成されます。
親トピック: レポートの検証
Oracle Identity Manager JDBCデータソースに対するレポートの生成
親トピック: レポートの検証
BPELベースのJDBCデータソースに対するレポートの生成
セカンダリ・データソースを使用したレポート
次の4つのレポートには、BPELデータベースに接続してBPELデータを取得するセカンダリ・データソースがあります。
-
タスク割当て履歴
-
リクエストの詳細
-
リクエスト・サマリー
-
承認アクティビティ
これらのレポートには、BPEL JDBC (BPELベースのJDBCデータソース)と呼ばれるセカンダリ・データソースがあります。BPELベースのJDBCデータソースに対してレポートを生成するには:
親トピック: レポートの検証
Exalogic最適化の有効化
この項では、Exalogic最適化に固有のタスクについて説明します。この項の内容は次のとおりです。
EoIBでリスニングするようにOracle Identity Governanceサーバーを構成する方法
この項は、Oracle Identity GovernanceサーバーにExalogicマシンの外部から直接アクセスする必要がある場合にのみ必要です。つまり、外部Oracle HTTP Serverが構成に含まれている場合です。
次のように、新しいネットワーク・チャネルを作成します。
「サーバー」と「リスニング・アドレス」を、それぞれWLS_OIM2とOIMHOST2-EXT
に置き換えて、前のステップを繰り返します。
親トピック: Exalogic最適化の有効化
Oracle Identity ManagerおよびSOAのクラスタ・レベルのセッション・レプリケーション拡張機能の有効化
後でWebアプリケーションをデプロイするWebLogicクラスタ内の管理対象サーバーに対して、セッション・レプリケーション拡張機能を有効にできます。
ドメインIAMGovernanceDomain内のoim_cluster
に対してセッション・レプリケーション拡張機能を有効にするには、表19-12の値を使用します。
表19-12 ネットワーク・チャネルのプロパティ
管理対象サーバー | 名前 | プロトコル | リスニング・アドレス | リスニング・ポート | 追加のチャネル・ポート |
---|---|---|---|---|---|
WLS_OIM1 |
|
t3 |
OIMHOST1.example.com |
7005 |
7006から7014 |
WLS_OIM2 |
|
t3 |
OIMHOST2.example.com |
7005 |
7006から7014 |
WLS_SOA1 |
|
t3 |
OIMHOST1.example.com |
7005 |
7006から7014 |
WLS_SOA2 |
|
t3 |
OIMHOST2.example.com |
7005 |
7006から7014 |
次のように実行します。
-
http://IGDADMIN.example.com/console
でWebLogic管理コンソールにログインします。 -
クラスタ
oim_cluster
の管理対象サーバーが、configuring-infrastructure-oracle-identity-governance.html#GUID-EB131B7B-1013-4043-839C-0CD933851C4A__BABGJJFCでの説明どおりに稼働していることを確認します。 -
管理対象サーバーに対してレプリケーション・ポートを設定するには、表19-12の値を使用します。
たとえば、
WLS_OIM1
の値を設定するには、次のステップを実行します。-
「ドメイン構造」で、「環境」および「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
-
「ロックして編集」をクリックします。
-
サーバーのリストで、
「WLS_OIM1」
をクリックします。「WLS_OIM1の設定」が表示されます。 -
「クラスタ」タブをクリックします。
-
「レプリケーション・ポート」フィールドに、複数のレプリケーション・チャネルを構成するためのポートの範囲を入力します。たとえば、
oim_cluster
内の管理対象サーバーのレプリケーション・チャネルは、7005
から7015
のポート上でリスニングできます。このポート範囲を指定するには、「7005-7015
」と入力します。 -
表19-12の他の各管理対象サーバーについて、ステップaからeを繰り返します。
-
-
次のステップでは、管理対象サーバーWLS_OIM1のネットワーク・チャネルを作成する方法について説明します。
-
Oracle WebLogic Server管理コンソールにログインします。
-
「チェンジ・センター」で「ロックして編集」をクリックします(まだ行っていない場合)。
-
管理コンソールの左側のペインで、「環境」を展開し、「サーバー」を選択します。
「サーバーのサマリー」ページが表示されます。
-
「サーバー」表で、「WLS_OIM1」管理対象サーバー・インスタンスをクリックします。
-
「プロトコル」、「チャネル」の順に選択します。
-
「新規」をクリックします。
-
新しいネットワーク・チャネルの名前としてReplicationChannelと入力して、プロトコルとしてt3を選択してから、「次へ」をクリックします。
-
次の情報を入力します。
リスニング・アドレス: OIMHOST1
ノート:
これは、WebLogic Serverに割り当てられるWLS_OIM1の浮動IPアドレスです。
リスニング・ポート: 7005
-
「次へ」をクリックし、「ネットワーク・チャネルのプロパティ」ページで、「有効」および「アウトバウンドの有効化」を選択します。
-
「終了」をクリックします。
-
「保存」をクリックします。
-
「ネットワーク・チャネル」表で、「ReplicationChannel」(WLS_OIM1管理対象サーバーに対して作成したネットワーク・チャネル)を選択します。
「詳細」を開いて「SDPプロトコルの有効化」を選択し、「保存」をクリックします。
-
管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックしてこれらの変更をアクティブ化します。
前述のステップを繰り返して、クラスタ内の残りの各管理対象サーバー用のネットワーク・チャネルを作成する必要があります。表19-12の説明に従って、必要なプロパティを入力します。
-
-
クラスタ内の各管理対象サーバーのネットワーク・チャネルを作成したら、「環境」→「クラスタ」をクリックします。「クラスタのサマリー」ページが表示されます。
-
「oim_cluster」をクリックします。「oim_clusterの設定」ページが表示されます。
-
「レプリケーション」タブをクリックします。
-
「レプリケーション・チャネル」フィールドで、レプリケーション・トラフィック用に使用されるチャネルの名前として「
ReplicationChannel
」が設定されていることを確認します。 -
「詳細」セクションで、「レプリケーションの一方向RMIの有効化」オプションを選択します。
-
「保存」をクリックします。
-
SOAクラスタについて、これらのステップを繰り返します。
-
管理コンソールのチェンジ・センターで「変更のアクティブ化」をクリックしてこれらの変更をアクティブ化します。
-
次のようにテキスト・エディタを使用して、
IGD_ASERVER_HOME
のbin
ディレクトリにあるstartWebLogic.shスクリプトに、システム・プロパティ-Djava.net.preferIPv4Stack=true
を手動で追加します。-
startWebLogic.sh
スクリプト内で次の行を探します。. ${DOMAIN_HOME}/bin/setDomainEnv.sh $*
-
前述のエントリのすぐ後に次のプロパティを追加します。
JAVA_OPTIONS="${JAVA_OPTIONS} -Djava.net.preferIPv4Stack=true"
-
ファイルを保存して閉じます。
-
-
IAMGovernanceDomainの管理サーバー、および管理対象サーバーのWLS_OIM1、WLS_OIM2、WLS_SOA1、WLS_SOA2、WLS_WSM1、WLS_WSM2を再起動します。
親トピック: Exalogic最適化の有効化