マルチデータ・センターの構成

18.1 マルチデータ・センターを設定する前に

マルチデータ・センター(MDC)の構成プロセスを続行する前に、システム・レベル要件が満たされていることを確認します。

適用可能なWebゲートがすべて構成された完全に機能するOracle Access Management環境があることを確認します。
パートナ(Webゲートまたはエージェント)は、単一のデータ・センターに固定されるため、パートナ登録は個別のデータ・センターで実行されます。
Access Managerおよびエージェントがデプロイされているマシンのクロックが同期している必要があります。MDCではないAccess Managerクラスタでは、Webゲート・エージェントのクロックがAccess Managerサーバーと同期している必要があります。この要件は、MDCにも適用されます。クロックが同期していない場合は、トークン検証の一貫性がなくなり、結果として、トークン失効までの期間、有効期間、タイムアウトなどに関する動作が期待どおりではなくなります。
マルチデータ・センター・トポロジ内のアイデンティティ・ストアの名前は同一であることが必要です。
WebLogic Serverドメインはデータ・センターにまたがることはありません。
マスターおよびクローン・データ・センターのOAM管理対象サーバーが、SSLで終了する単一のロード・バランサをフロント・エンドとしていることを確認します。このロード・バランサは、ユーザー・セッション内のすべてのリクエストを一貫して同じバックエンド・サーバーに送信する必要があり(永続性、固定性)、トラフィックを地理的にルーティングする必要があります(地理的アフィニティ)。サーバーを再起動する前に、このロード・バランサがマスター・データ・センターのOAM管理コンソールで構成されているかどうか確認します。
データ・センター間にファイアウォールがある場合は、Oracle Accessプロトコル(OAP)チャネル経由で通信を許可する必要があります。この場合、必要なポートを開き、接続の存続時間を考慮する必要があります。後者に関しては、Webゲート・プロファイルのMaxSessionTimeパラメータをファイアウォールのタイムアウト値未満に設定する必要があります。

マスターおよびクローン・データ・センターのOAM管理サーバーは、SSL対応である必要があります。
マスターおよびクローン・データ・センターの管理対象サーバーは、すべて同じセキュリティ・モードで構成する必要があります。
- 付属の証明書を使用してOAM ServersとWebゲートの間の通信を保護するには、SIMPLEモードを使用します。
- 信頼できるサード・パーティの認証局(CA)にアクセスする場合はCERTモードを使用します。
マスターおよびクローン・データ・センターにIDストアが構成され、同じ名前を持っていること。

18.2 主要なマルチデータ・センターのユースケース

プライマリMDCデプロイメントは、アクティブ/アクティブ、およびアクティブ/スタンバイのユースケースを含みます。

表18-1に、主要なMDCユースケースを示します。

表18-1 MDCユースケース

MDCデプロイメント	MDCポリシー	リモート・セッションの検証	リモートDCからのユーザーを処理するデータ・センターでのセッション同期	リモート・セッションの終了	ユーザーに対するチャレンジ
アクティブ/アクティブ	SessionMustBeAnchoredToDataCenterServicingUser=false SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds> SessionContinuationOnSyncFailure= false MDCGitoCookieDomain=<sub domain>	はい	はい	いいえ	有効なセッションがリモート・データ・センターで見つからないとき
アクティブ/スタンバイ	SessionMustBeAnchoredToDataCenterServicingUser=false SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds> SessionContinuationOnSyncFailure= true MDCGitoCookieDomain=<sub domain>	検証できない(リモート・データ・センターが停止しているため)	いいえ(リモート・データ・センターが停止しているため)	終了できない(リモート・データ・センターが停止しているため)	いいえ有効なCookie内の詳細情報を使用してローカル・セッションを作成することにより、シームレスなアクセスを提供

MDCデプロイメント

MDCポリシー

リモート・セッションの検証

リモートDCからのユーザーを処理するデータ・センターでのセッション同期

リモート・セッションの終了

ユーザーに対するチャレンジ

アクティブ/アクティブ

SessionMustBeAnchoredToDataCenterServicingUser=false

SessionDataRetrievalOnDemand=true

Reauthenticate=false

SessionDataRetrievalOnDemandMax_retry_attempts=<number>

SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds>

SessionContinuationOnSyncFailure= false

MDCGitoCookieDomain=<sub domain>

はい

いいえ

有効なセッションがリモート・データ・センターで見つからないとき

アクティブ/スタンバイ

SessionMustBeAnchoredToDataCenterServicingUser=false

SessionDataRetrievalOnDemand=true

Reauthenticate=false

SessionDataRetrievalOnDemandMax_retry_attempts=<number>

SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds>

SessionContinuationOnSyncFailure= true

MDCGitoCookieDomain=<sub domain>

検証できない(リモート・データ・センターが停止しているため)

いいえ(リモート・データ・センターが停止しているため)

終了できない(リモート・データ・センターが停止しているため)

いいえ

有効なCookie内の詳細情報を使用してローカル・セッションを作成することにより、シームレスなアクセスを提供

18.3 マルチデータ・センターでのマスターおよびクローンの設定

MDC機能は、デフォルトでは無効になっています。Access Manager MDCを設定するには、最初にAccess Managerクラスタを1つ設定し、すべてのMDCグローバル構成を設定し、このクラスタをマスター・データ・センターとして指定します。

データ・センター1クラスタ、データ・センター2クラスタおよびその4つのノードが構成され、マルチデータ・センター構成用に準備されていることを確認します。「マルチデータ・センターを設定する前に」を参照してください。

マスター・データ・センターの設定

次のようにMDC ADMIN REST APIを使用して、MDC環境用のマスター・データ・センターを構成します。

マスター・データ・センターを構成するには、適切な値を使用して次のコマンドを実行します。
```
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"value", "masterMDCAgentID":"value","cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value","masterServerURL":"value", "cloneAdminUserNamePassword":"value","trustStorePath":"value", "keyStorePath":"value", "artifactsZipLocation":"value"}'
```
- mdcTopologyType: MDC構成で利用できる2つのトポロジ・タイプ(ACTIVE_ACTIVEまたはDISASTER_RECOVERY)の1つを選択します。
- masterMDCAgentID: マスター・データ・センターのMDC NAPエージェント名を入力します。
- cloneMDCAgentID: クローン・データ・センターのMDC NAPエージェント名を入力します。
- accessClientPassword: マスターおよびクローン・データ・センターでMDC NAPエージェントが使用するために必要なパスワードを提供します。
- artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
- cloneServerURL: クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
- (CERTモードのみ) agentKeyPassword: CERTモードでパートナの登録に使用したエージェント・キー・パスワードを入力します。
- (CERTモードのみ) certModeKeystorePassword: clientTrustStore.jksおよびclientKeyStore.jksを保護するために使用したキーストア・パスワードを入力します。
- (オプション) masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
- (オプション) cloneAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
- (オプション)trustStorePath: SIMPLEまたはCERTモードに応じて次のように入力します。
  - SIMPLEモードの場合: oamclient-truststore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/output/webgate-ssl-SHA-256/以外のフォルダにある場合)
  - CERTモードの場合: clientTrustStore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/以外のフォルダにある場合)
- (オプション)keyStorePath: SIMPLEまたはCERTモードに応じて次のように入力します。
  - SIMPLEモードの場合: oamclient-keystore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/output/webgate-ssl-SHA-256/以外のフォルダにある場合)
  - CERTモードの場合: clientKeyStore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/以外のフォルダにある場合)
- (オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを/tmp以外の場所に格納する必要がある場合にのみ指定します)
アクティブ/アクティブMDCトポロジを使用してSIMPLEおよびCERTモードでマスター・データ・センターを構成するためのサンプルCurlコマンドを次に示します。
- CERTモードの使用:
```
curl  -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password","agentKeyPassword":"password", "certModeKeystorePassword":"password"}'
```
- SIMPLEモードを使用する場合:
```
curl  -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'
```
Oracle Access Managerのマルチデータ・センターREST APIのMDC Master REST APIに関する項を参照してください。

クローン・データ・センターの設定

次のようにMDC ADMIN REST APIを使用して、MDC環境用のクローン・データ・センターを構成します。

クローン・データ・センターを構成するには、適切な値を使用して次のコマンドを実行します。
```
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone' -d '{"masterServerURL":"value","artifactPassword":"value","masterAdminUserNamePassword":"value", "artifactsZipLocation":"value", "masterArtifactsZipLocation":"value"}'
```
- masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
- artifactPassword: アーティファクトのクローン作成を保護する、マスター・データ・センターの設定時に使用されたのと同じパスワードを指定します
- (オプション) masterAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
- (オプション)artifactsZipLocation: バックアップ・アーティファクトをクローン・データ・センターに格納する場所を指定します(クローン・データ・センターに存在するアーティファクトは、マスター・アーティファクトに置換される前にバックアップされます)。バックアップ・アーティファクトを/tmp以外の場所に格納する必要がある場合にのみ指定します。
- (オプション) masterArtifactsZipLocation: クローニング・アーティファクトをマスター・データ・センターに配置する場所を指定します。マスター・データ・センターの構成中に、入力でartifactsZipLocationを使用した場合にのみ指定します。
クローン・データ・センターを構成するためのサンプルCurlコマンドを次に示します。
```
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone' -d '{"masterServerURL":"https://oamadmin1-dc1.poc.com:7002/","artifactPassword":"password","masterAdminUserNamePassword":"password"}'
```
Oracle Access Managerのマルチデータ・センターREST APIのMDC Clone REST APIに関する項を参照してください。
クローン・データ・センターを再構成するには、次のコマンドを実行します。
```
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST ' https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone/configuration'
```
ノート:
このコマンドに入力パラメータは不要です。フラグのDataCenterTypeがCloneに更新されます。クローンを上書き禁止にするには、WLSTコマンドのsetMultiDataCenterWrite(WriteEnabledFlag="false")を実行します。これで、クローン構成に対する更新はすべて無視されます。

Oracle Access Managerのマルチデータ・センターREST APIのMDC Reconfigure Clone REST APIに関する項を参照してください。

これで、1つのマスター・データ・センターと1つのクローン・データ・センターの設定に成功しました。

関連項目:

既存のマルチデータ・センター設定への他のクローン・データ・センターの追加

18.4 既存のマルチデータ・センター設定への他のクローン・データ・センターの追加

マスターおよびクローン・データ・センターで12.2.1.3.0バイナリを使用している場合、既存のMDC環境に他のクローン・データ・センターを追加できます。

ノート:

Oracle Access Managementマルチデータ・センター環境のアップグレード

オプションで、マスターおよびクローン・データ・センター上で診断REST APIを実行して、MDC構成設定を表示できます。
```
curl -k -u weblogic:password 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/configuration'
curl -k -u weblogic:password 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/configuration'
```
コマンドの出力で次のことを確認します。
- 診断REST APIがマスターで実行された場合
  
  dcConfigMapエントリで、MultiDataCenterEnabledがtrueであること、MultiDataCenterPartnersが既存のMDCパートナを含むこと、およびagentMapエントリがMDCパートナに関連付けられたエージェントの情報を含むことが必要です。
- 診断REST APIがクローンで実行された場合
  
  dcConfigMapエントリで、MultiDataCenterEnabledがfalseであること、MultiDataCenterPartnersリストが空であること、およびagentMapエントリが空であることが必要です。
Oracle Access Managerのマルチデータ・センターREST APIのMDC Diagnostic REST APIに関する項を参照してください。
適切な値を使用して次のコマンドを実行し、新しいクローンをマスター・データ・センターに追加します。
```
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master/clone' -d '{"cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value", "cloneAdminUserNamePassword":"value","trustStorePath":"value", "keyStorePath":"value", "artifactsZipLocation":"value"}'
```
- cloneMDCAgentID: 新しいクローン・データ・センターのMDC NAPエージェント名を入力します。
- accessClientPassword: 新しいクローン・データ・センターでMDC NAPエージェントを使用するために必要なパスワードを提供します。
- artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
- cloneServerURL: 新しいクローン管理サーバーのURLまたは新しいクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
- (CERTモードのみ) agentKeyPassword: CERTモードで新しいクローン・パートナの登録に使用したエージェント・キー・パスワードを入力します。
- (CERTモードのみ) certModeKeystorePassword: clientTrustStore.jksおよびclientKeyStore.jksを保護するために使用したキーストア・パスワードを入力します。
- (オプション) cloneAdminUserNamePassword: マスターおよび新しいクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、新しいクローン・データ・センターの管理者のユーザー資格証明を入力します。
- (オプション) trustStorePath: SIMPLEまたはCERTモードに応じて次のように入力します。
  - SIMPLEモードの場合、oamclient-truststore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/output/webgate-ssl-SHA-256/以外のフォルダにある場合)。
  - CERTモードの場合、clientTrustStore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/以外のフォルダにある場合)。
- (オプション)keyStorePath: SIMPLEまたはCERTモードに応じて次のように入力します。
  - SIMPLEモードの場合、oamclient-keystore.jksファイルへのパスを指定します(このファイルがDOMAIN_HOME/output/webgate-ssl-SHA-256/以外のフォルダにある場合)。
  - CERTモードの場合、clientKeyStore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/以外のフォルダにある場合)。
- (オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを/tmp以外の場所に格納する必要がある場合にのみ指定します)
SIMPLEおよびCERTモードで管理対象サーバーを構成するためのサンプルCurlコマンドを次に示します。
- CERTモードの使用:
```
curl -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master/clone' -d '{"cloneMDCAgentID":"CloneNAPAgent2","accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","agentKeyPassword":"password","certModeKeystorePassword":"password"}' 
```
- SIMPLEモードを使用する場合:
```
curl -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master/clone' -d '{"cloneMDCAgentID":"CloneNAPAgent2","accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002"}'
```
Oracle Access Managerのマルチデータ・センターREST APIのMDC Clone REST APIに関する項を参照してください。
クローン・データ・センターを構成するには、適切な値を使用して次のコマンドを実行します。
```
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone' -d '{"masterServerURL":"value","artifactPassword":"value","masterAdminUserNamePassword":"value", "artifactsZipLocation":"value", "masterArtifactsZipLocation":"value"}'
```
- masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
- artifactPassword: アーティファクトのクローン作成を保護する、マスター・データ・センターの設定時に使用されたのと同じパスワードを指定します
- (オプション) masterAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
- (オプション) artifactsZipLocation: バックアップ・アーティファクトをクローン・データ・センターに格納する場所を指定します(クローン・データ・センターに存在するアーティファクトは、マスター・アーティファクトに置換される前にバックアップされます)。バックアップ・アーティファクトを/tmp以外の場所に格納する必要がある場合にのみ指定します。
- (オプション)masterArtifactsZipLocation: クローニング・アーティファクトをマスター・データ・センターに配置する場所を指定します。マスター・データ・センターの構成中に、入力でartifactsZipLocationを使用した場合にのみ指定します。
クローン・データ・センターを構成するためのサンプルCurlコマンドを次に示します。
```
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone' -d '{"masterServerURL":"https://oamadmin1-dc1.poc.com:7002/","artifactPassword":"password","masterAdminUserNamePassword":"password"}'
```
クローン・データ・センターを再構成するには、次のコマンドを実行します。
```
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST ' https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone/configuration'
```
ノート:
このコマンドに入力パラメータは不要です。フラグのDataCenterTypeがCloneに更新されます。クローンを上書き禁止にするには、WLSTコマンドのsetMultiDataCenterWrite(WriteEnabledFlag="false")を実行します。これで、クローン構成に対する更新はすべて無視されます。
Oracle Access Managerのマルチデータ・センターREST APIのMDC Reconfigure Clone REST APIに関する項を参照してください。
クローン管理および管理対象サーバーを再起動します。

MDC構成を検証するには、マスターおよびクローン・データ・センター上で次の診断REST APIを実行します。

curl -k -u weblogic:password 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/configuration'
curl -k -u weblogic:password 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/configuration'

パートナおよびポリシー情報をデータ・センター1のノード1からエクスポートし、データ・センター2のノード1にインポートします。
1. エクスポートするには、$MW_HOME/oracle_common/common/binディレクトリに移動し、WLSTを実行してデータ・センター1のノード1からエクスポートします。
```
./wlst.sh
connect()
exportAccessStore(toFile=”<name and location of the master metadata ZIP file>”, namePath=”/”)
exit()
```
2. エクスポートしたファイル(つまり、<マスター・メタデータZIPファイルの名前と場所>)をデータ・センター1、ノード1から、データ・センター2、ノード1にコピーします。インポートするには、$MW_HOME/oracle_common/common/binディレクトリに移動し、WLSTを実行してデータ・センター2のノード1にインポートします。
```
./wlst.sh
connect()
importAccessStore(fromFile=”<name and location of master metadata ZIP file>”, namePath=”/”)
exit()
```

パートナおよびポリシー情報をマスター・データ・センターからクローン・データ・センターにエクスポートした後、引き続き「自動ポリシー同期の有効化」の説明に従ってAPSの有効化のステップを実行します。

18.5 マルチデータ・センターのセキュリティ・モード

マルチデータ・センターは、Oracle Accessプロトコル(OAP)チャネルを使用してデータ・センター間セッション管理操作とバック・チャネル通信を行います。MDCパートナ・プロファイルのセキュリティ・モードは、Access Managerサーバーに対して定義されているセキュリティ・モードと一致している必要があります(OPEN、SIMPLEまたはCERT)。

次の各項では、セキュリティ・モードについて詳しく説明します。

18.5.1 OPENセキュリティ・モード

OPENセキュリティ・モードは、Access Managerデプロイメントのデフォルトのモードです。構成は必要ありません。セキュリティ上の問題を避けるため、SIMPLEまたはCERTモードをお薦めします。マルチデータ・センター環境では、すべての管理および管理対象サーバーが同じセキュリティ・モードで構成されている必要があります。

MDC Admin RESTコマンドを使用してマスター・データ・センターをOPENモードで設定し、例に示すように次の必須およびオプションのMDCパラメータを提供します。

curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"value", "masterMDCAgentID":"value","cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value","masterServerURL":"value", "cloneAdminUserNamePassword":"value", "artifactsZipLocation":"value"}'

mdcTopologyType: MDC構成で利用できる2つのトポロジ・タイプ(ACTIVE_ACTIVEまたはDISASTER_RECOVERY)の1つを選択します。
masterMDCAgentID: マスター・データ・センターのMDC NAPエージェント名を入力します。
cloneMDCAgentID: クローン・データ・センターのMDC NAPエージェント名を入力します。
accessClientPassword: マスターおよびクローン・データ・センターでMDC NAPエージェントを使用するために必要なパスワードを提供します。
artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
cloneServerURL: クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
(オプション) masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
(オプション) cloneAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
(オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを/tmp以外の場所に格納する必要がある場合にのみ指定します)

アクティブ/アクティブおよびDisaster_Recoveryの各MDCトポロジを使用してOPENモードでマスター・データ・センターを構成するためのサンプルCurlコマンドを次に示します。

アクティブ/アクティブMDCトポロジを使用する場合:

curl  -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'

Disaster Recovery MDCトポロジを使用する場合:

curl  -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"DISASTER_RECOVERY", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'

関連項目:

マルチデータ・センターの設定

自動ポリシー同期の有効化

18.5.2 SIMPLEセキュリティ・モード

Access ManagerサーバーをSIMPLEモードで設定するには、「Access Managerの簡易モード通信の構成」の手順に従います。マルチデータ・センター環境では、すべての管理および管理対象サーバーが同じセキュリティ・モードで構成されている必要があります。付属の証明書を使用してOAM ServersとWebゲートの間の通信を保護するには、SIMPLEモードを使用します。

MDC Admin RESTコマンドを使用してマスター・データ・センターをSIMPLEモードで設定し、例に示すように次の必須およびオプションのMDCパラメータを提供します。

curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"value", "masterMDCAgentID":"value","cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value","masterServerURL":"value", "cloneAdminUserNamePassword":"value","trustStorePath":"value", "keyStorePath":"value", "artifactsZipLocation":"value"}'

mdcTopologyType: MDC構成で利用できる2つのトポロジ・タイプ(ACTIVE_ACTIVEまたはDISASTER_RECOVERY)の1つを選択します。
masterMDCAgentID: マスター・データ・センターのMDC NAPエージェント名を入力します。
cloneMDCAgentID: クローン・データ・センターのMDC NAPエージェント名を入力します。
accessClientPassword: マスターおよびクローン・データ・センターでMDC NAPエージェントを使用するために必要なパスワードを提供します。
artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
cloneServerURL: クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
(オプション) masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
(オプション) cloneAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
(オプション) trustStorePath: このファイルが%DOMAIN_HOME%/output/webgate-ssl-SHA-256以外のフォルダにある場合、oamclient-truststore.jksファイルへのパスを指定します
(オプション) keyStorePath: このファイルが%DOMAIN_HOME%/output/webgate-ssl-SHA-256以外のフォルダにある場合、oamclient-keystore.jksファイルへのパスを指定します
(オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを/tmp以外の場所に格納する必要がある場合にのみ指定します)

アクティブ/アクティブおよびDisaster_Recoveryの各MDCトポロジを使用してSIMPLEモードでマスター・データ・センターを構成するためのサンプルcurlコマンドを次に示します。

アクティブ/アクティブMDCトポロジを使用する場合:

curl  -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'

Disaster Recovery MDCトポロジを使用する場合:

curl  -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"DISASTER_RECOVERY", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'

関連項目:

マルチデータ・センターの設定

自動ポリシー同期の有効化

18.5.3 CERTセキュリティ・モード

Access ManagerサーバーをCERTモードで設定するには、「Access Manager用の証明書モード通信の構成」の手順に従います。マルチデータ・センター環境では、すべての管理および管理対象サーバーが同じセキュリティ・モードで構成されている必要があります。信頼できるサード・パーティの認証局(CA)にアクセスする場合はCERTモードを使用します。

CERTモードの各メンバー・データ・センターでMDCパートナを作成します。パートナがCERTモードで通信できるように、clientTrustStore.jksおよびclientKeyStore.jksキーストアを生成します。

MDC設定で、各クローン・データ・センターは、マスター・データ・センターのレプリカです。新しいクローン・データ・センターが既存のデータ・センターとCERTモードで通信できるように、生成されたキーストアを複数のデータ・センター間で再利用できます。ただし、複数のノード間でドメインを構成する場合(新しいホストに新しいOAMサーバーを追加する場合など)、新しいホストのファイル・システムで、必要なアーティファクトがAdminServerノードと同じディレクトリ構造に格納されていることを確認してください。

次のopensslコマンドをLinuxコマンド・プロンプトから実行して、aaa_key.pemおよびaaa_req.pemを生成します。

openssl req -new -keyout aaa_key.pem -out aaa_req.pem -utf8 -sha256

証明書の生成には、certreqコマンドを使用します。
次の手順を使用してaaa_cert.pemを作成します。
1. aaa_req.pemをテキスト・エディタで開いて内容をコピーします。
  
  末尾のスペースは除外して選択します。
2. コピーしたテキストをSigncsrに貼り付けます。
  
  「-----BEGIN CERTIFICATE REQUEST-----および-----END CERTIFICATE REQUEST-----」も含めます。
3. 出力をテキスト・エディタにコピーし、aaa_cert.pemとして保存します。
次の手順を使用してaaa_chainを作成します。
1. certreqを開きます。
2. chain.pemをクリックし、内容をコピーしてテキスト・エディタに貼り付け、aaa_chain.pemとして保存します。
  
  先頭と末尾のスペースは除外して選択します。
次のコマンドを使用して秘密キー(aaa_key.pem)を暗号化します。
```
openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass:Welcome1 -des
```
このコマンドで使用されるパスワードは、アクセス・クライアント・パスワードまたはエージェント・キー・パスワードとしてMDCパートナの登録時に定義される必要があります。
aaa_key.pem、aaa_cert.pemおよびaaa_chain.pemを一時的な場所にコピーします。

たとえば、/tmp/clientCertArtifacts/です

次のコマンドのいずれかを使用してaaa_cert.pemおよびaaa_key.pemをDER形式に変換します。

-openssl x509 -in /tmp/clientCertArtifatcs/aaa_cert.pem -inform PEM -out 
 /tmp/clientCertArtifatcs/aaa_cert.der -outform DER;

-openssl pkcs8 -topk8 -nocrypt -in /tmp/clientCertArtifatcs/aaa_key.pem 
 -inform PEM -out /tmp/clientCertArtifatcs/aaa_key.der -outform DER;

次のステップを使用して、aaa_key.derおよびaaa_cert.derをclientKeyStore.jksにインポートし、aaa_chain.pemをclientTrustStore.jksにインポートします

-cd $MW_HOME/idm/oam/server/tools/importcert/;

-unzip importcert.zip;

-java -cp importcert.jar 
 oracle.security.am.common.tools.importcerts.CertificateImport -keystore 
 /tmp/clientCertArtifatcs/clientKeyStore.jks -privatekeyfile 
 /tmp/clientCertArtifatcs/aaa_key.der -signedcertfile 
 /tmp/clientCertArtifatcs/aaa_cert.der -storetype jks -genkeystore yes

-keytool -importcert -file /tmp/clientCertArtifatcs/aaa_chain.pem -trustcacerts 
 -keystore /tmp/clientCertArtifatcs/clientTrustStore.jks -storetype JKS

指示に従ってキーストアのパスワードを入力します。パスワードは、マスター・データ・センターの設定時に入力パラメータのcertModeKeystorePasswordに設定する必要があります。

Webゲートの証明書作成時に行わなかった場合は、前のステップで使用したのと同じ、Oracle提供のimportcert.jarを使用して、aaa_key.derおよびaaa_cert.der形式の証明書を.oamkeystoreにインポートします。

-java -cp importcert.jar 
 oracle.security.am.common.tools.importcerts.CertificateImport 
 -keystore /scratch/Oracle/Middleware/domains/
 base_domain/config/fmwconfig/.oamkeystore -privatekeyfile 
 /tmp/clientCertArtifacts/aaa_key.der -signedcertfile 
 /tmp/clientCertArtifacts/aaa_cert.der -alias mycertmode1 -storetype JCEKS

aliasは、Access ManagerでCERTモード設定時に定義された別名です

MDC Admin RESTコマンドを使用してマスター・データ・センターをCERTモードで設定し、例に示すように次の必須およびオプションのMDCパラメータを提供します。

curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"value", "masterMDCAgentID":"value","cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value","masterServerURL":"value", "cloneAdminUserNamePassword":"value","trustStorePath":"value", "keyStorePath":"value", "artifactsZipLocation":"value"}'

mdcTopologyType: MDC構成で利用できる2つのトポロジ・タイプ(ACTIVE_ACTIVEまたはDISASTER_RECOVERY)の1つを選択します。
masterMDCAgentID: マスター・データ・センターのMDC NAPエージェント名を入力します。
cloneMDCAgentID: クローン・データ・センターのMDC NAPエージェント名を入力します。
accessClientPassword: マスターおよびクローン・データ・センターでMDC NAPエージェントを使用するために必要なパスワードを提供します。
artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
cloneServerURL: クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
(CERTモードのみ) agentKeyPassword: CERTモードでパートナの登録に使用したエージェント・キー・パスワードを入力します。
(オプション) masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
(オプション) cloneAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
(オプション) trustStorePath: clientTrustStore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/以外のフォルダにある場合)
(オプション) keyStorePath: clientKeyStore.jksファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/以外のフォルダにある場合)
(オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを/tmp以外の場所に格納する必要がある場合にのみ指定します)

アクティブ/アクティブおよびDisaster_Recoveryの各MDCトポロジを使用してCERTモードでマスター・データ・センターを構成するためのサンプルcurlコマンドを次に示します。

アクティブ/アクティブMDCトポロジを使用する場合:

curl  -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password","agentKeyPassword":"password", "certModeKeystorePassword":"password"}'

Disaster Recovery MDCトポロジを使用する場合:

curl  -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"DISASTER_RECOVERY", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password","agentKeyPassword":"password", "certModeKeystorePassword":"password"}'

関連項目:

マルチデータ・センターの設定

自動ポリシー同期の有効化