サーバー登録の管理

6 サーバー登録の管理

管理対象サーバー・インスタンスとOracle Access Managementとが相互作用するためには、管理対象サーバー・インスタンスを登録する必要があります。(このマニュアルでは、これらの管理対象サーバーをOAMサーバーと表記します。)この登録タスクは、Oracle Access Managementコンソールを使用して実行します。

サーバー登録を管理するには、次の各トピックについて理解を深める必要があります。

6.1 登録を開始する前に

登録の前に環境が要件を満たしていることを確認します。

次の環境的な考慮事項が満たされている必要があります。

Oracle WebLogic Server管理コンソールまたはWLSTコマンドを使用して、新しい管理対象サーバーがドメインに追加されている。
必要に応じて、Oracle JRFテンプレートが管理対象サーバー(またはクラスタ)に適用されている。

『Oracle Fusion Middleware管理者ガイド』を参照

次のトピックを確認することをお薦めします。

「OAMサーバーの登録および管理の理解」を参照してください。

6.2 OAMサーバーの登録および管理の理解

Oracle Access Managementコンソールは、WebLogic管理サーバーと同じコンピュータにインストールして実行する必要があるJava EEアプリケーションです。WebLogic管理サーバーで実行する他の重要なアプリケーションには、WebLogic Server管理コンソールとFusion Middleware Control用のEnterprise Managerがあります。

Oracle Access Managementコンソールは、OAM管理サーバーと呼ぶこともあります。ただし、これはWebLogic管理対象サーバー上にデプロイされたOAMサーバーと同類ではありません。

Oracle WebLogic管理対象サーバーにデプロイされたOracle Access Management実行時インスタンスは、OAMサーバーと呼びます。OAMサーバーは、Access Managerに登録されている必要があります。これにより、認証時、認可時およびリソースへのアクセス時にエージェントとの通信が可能になります。

管理者はWebLogic Serverドメインを拡張して、別のOAMサーバー・インスタンスを必要に応じて次の方法で追加できます。

WebLogic Server管理コンソール。Oracle Access Managementコンソールを使用して、OAMサーバー・インスタンスを手動で登録した後で使用します。
WebLogic構成ウィザード
カスタマイズしたOracle WebLogic Scripting Tool (WLST)コマンド。『WebLogic Server WLSTコマンド・リファレンス』のカスタマイズ・コマンドに関する項を参照してください。

最後の2つの方法では、Oracle Access Managementコンソールに表示されるOAMサーバー・インスタンスが自動的に登録され、他に必要なステップはありません。

この項では、Oracle Access Managementコンソールを使用したOAMサーバー・インスタンスの登録と管理の概要について説明します。

関連項目:

Access Manager 12.2.1.3.0でサポートされていない機能。

6.2.1 個々のOAMサーバー登録について

管理者は、1つ以上の管理対象サーバーをOracle Access ManagementのWebLogic Serverドメインに追加できます。

WebLogic構成ウィザードを使用するときに、OAMサーバーは自動的に登録されます。ただし、構成ウィザードを使用しない場合は、通信チャネルを開くためにOAMサーバーを手動で登録する必要があります。

または、 OAM用のカスタムWLSTコマンドを使用して、サーバー登録を表示、編集または削除できます。すべての変更は自動的にOracle Access Managementコンソールおよびクラスタ内のすべてのOAMサーバーに伝播されます。

関連項目:

『WebLogic Server WLSTコマンド・リファレンス』のカスタマイズ・コマンドに関する項

OAMサーバーのみがOracle Access Managementに登録されます。Oracle Access Managementコンソール(WebLogic管理サーバー上)は、自身には登録されません。

OAMサーバーの登録に使用された方法に関係なく、各インスタンスの詳細はOracle Access Managementコンソールの「システム構成」タブの「共通構成」セクションにあります。

サーバー名、ホスト、ポート

管理者は特定のインスタンス登録を検索し、新しくインストールされたOAMサーバーを登録して、Oracle Access Managementコンソールを使用してサーバー登録を表示、変更または削除できます。詳細は、「OAMサーバー登録のページ」を参照してください。

6.2.2 OAMサーバーとWebゲート間の通信について

OAMサーバーの通信モードは、エージェント登録が成功した後に変更できます。Webゲートのモードは、サーバーがエージェントと引き続き通信するためにOAMサーバーのモードと同じかそれより上のレベルである必要があります。

OAPチャネルの通信モードには次のものがあります。

オープン: 通信のセキュリティがデプロイメントで問題にならない場合、この暗号化されていないモードを使用してください。
簡易: 認証局(CA)を自分で管理せずに証明書パスワードをプレーン・テキストとして送信するなど、セキュリティ上の考慮事項がある場合に、このオラクル社が署名する証明書モードを使用します。
証明書: OAMサーバーとWebゲートで異なる証明書を使用し、信頼できるサード・パーティの認証局にアクセスできる場合は、これを使用します。

個々のOAMサーバー登録で、セキュリティ・モードは「プロキシ」タブで定義されます("「OAMサーバー登録のページ」を参照してください)。

「簡易」と「証明書」のモードには以下が必要です。

すべてのOAMサーバーとWebゲートに共通のセキュリティ・パスワード(「OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理」を参照)。
適切に署名されたX.509デジタル証明書(「通信の保護」を参照)。

少なくとも1つのOAMサーバー・インスタンスが、エージェント登録時にエージェントと同じモードで実行中である必要があります。そうでなければ、エージェント登録が失敗します。ただし、エージェント登録の後に、OAMサーバーの通信モードは変更できます。エージェントとサーバー間の通信は、WebgateモードがOAMサーバーのモードと同じか、またはそれ以上であれば続けて機能します。エージェント・モードは高くでも問題ありませんが、低くすることはできません。たとえば、OAMサーバーのモードがオープンの場合、エージェントは3つのモードのどれでも通信することができます。OAMサーバー・モードが簡易の場合、エージェントは簡易または証明書を使用できます。OAMサーバー・モードが証明書の場合、エージェントは証明書モードを使用する必要があります。

関連項目:

通信の保護

6.2.3 サーバーの再起動が必要になる条件

Oracle Access Managementのほとんどの機能サービスは、OAMサーバーを再起動することなく、Oracle Access Managementコンソールから行った変更を反映します。

表6-1に、サーバーの再起動が必要になる条件を示します。

表6-1 サーバーの再起動が必要になる条件

イベント	説明
ロード・バランサ・サーバーの定義	変更すると、OAMサーバーの再起動が必要になります。
管理対象サーバーのポート番号	変更すると、OAMサーバーの再起動が必要になります。
新しい管理対象サーバー	新しい管理対象サーバーをクラスタに追加したときには、AdminServerを再起動してポリシーの取得を可能にする必要があります。

6.3 個々のOAMサーバー登録の管理

Oracle Access Managementコンソールを使用して、OAMサーバー・インスタンスを登録および管理できます。

内容は次のとおりです。

6.3.1 OAMサーバー登録のページ

有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用して、新しくインストールされた管理対象サーバー(OAMサーバー・インスタンス)を登録したり、既存のOAMサーバー登録を変更できます。

または、カスタムWLSTコマンドを使用して、OAMサーバー・インスタンスを登録および管理できます。変更はOracle Access Managementコンソールに反映されて、クラスタ内のすべてのOAMサーバーに自動的に伝播されます。

関連項目:

『WebLogic Scripting Tool Identity and Access Managementコマンド・リファレンス』の「Access Manager WLSTコマンド」

図6-1に、Oracle Access Managementコンソールに表示される一般的なOAMサーバーの登録ページを示します。Oracle Access Managementコンソールを使用してOAMサーバー登録ページにアクセスするには、コンソールの右上の「構成」をクリックして、「構成」ページの「サーバー・インスタンス」リンクをクリックします。表示されるサーバー・インスタンスの検索ページから、「検索結果」タブの「作成」をクリックして、「作成: OAMサーバー」ページを表示します。このページの構成方法の詳細は、「新しいOAMサーバー・インスタンスの登録」を参照してください。

図6-1 「プロキシ」タブが表示されたOAMサーバー登録ページ

「図6-1 「プロキシ」タブが表示されたOAMサーバー登録ページ」の説明

個々のサーバー登録設定の説明は、表6-2にあります。

表6-2 OAMサーバー・インスタンスの設定

要素	説明
サーバー名	このサーバー・インスタンス名を識別する名称。WebLogic Serverドメインの初回デプロイメント時に定義されています。
ホスト	サーバー・インスタンスをホストするコンピュータのフルDNS名(またはIPアドレス)。たとえば: host2.domain.com。
ポート	このサーバーが通信(リスニングと応答)するポート。デフォルト: 5575 ノート: 管理対象サーバーのSSLおよびオープン・ポートの両方が有効な場合、管理対象サーバーはデフォルトでSSLポートに設定されます。SSL以外のポートを使用する必要がある場合、認証スキームの資格証明コレクタのURLは、プロトコルとして`http`およびSSL以外のポートを指す絶対URLに設定する必要があります。関連項目: 「通信の保護」

関連項目:

「個々のOAMサーバー登録の管理」

6.3.1.1 OAMプロキシ設定

統合されたプロキシ・サーバー(OAMプロキシ)が、OAMサーバーの各管理対象サーバーとともにインストールされます。

それぞれのOAMプロキシ・インスタンスには、異なるポートが必要です。プロキシは、アプリケーションが起動するとリスニングを開始します。登録されたアクセス・クライアントは、プロキシとすぐに通信することができます。

OAMプロキシは、構成と実行時のイベントを両方処理します。それぞれのOAMプロキシは、複数のアクセス・クライアントからのリクエストを同時に受け入れることができます。各OAMプロキシによって、アクセス・クライアントはAccess Managerとやり取りが可能になります。

ノート:

アクセス・クライアントについては、Access Managerは認証と認可の機能のみを提供します。アクセス・クライアントによるポリシーの変更はサポートされていません。

OAMプロキシ設定は、表6-3を参照してください。

表6-3 個別のOAMサーバーのOAMプロキシ設定

OAMプロキシ設定	値
ポート	このOAMプロキシ・インスタンスがリスニングする一意のポート。デフォルトのインストールでは、ポートは5575です。
プロキシ・サーバーID	OAMプロキシ(およびこのOAMサーバー・インスタンス)が存在するコンピュータの識別子。DNSホスト名が推奨ですが、有効かつ適切な任意の文字列を使用できます。デフォルトのインストールでは、プロキシ・サーバーIDはAccessServerConfigProxyです。
モード	OAMプロキシのOAMチャネル・トランスポート・セキュリティは、次のいずれかを使用できます(エージェント・モードは登録時に一致する必要があり、登録後に上げることができます)。オープン: 暗号化なし。簡易: OAMエージェントとOAMサーバー間で渡されるデータは、OAMの自己署名証明書を使用して暗号化されます。「簡易」モードを指定する前に、グローバル・パスフレーズを指定する必要があります。証明書: OAMエージェントとOAMサーバー間のデータは、認証局(CA)が署名したX.509証明書を使用して暗号化されます。ノート: 「証明書」モードを指定する前に、信頼できるサード・パーティの認証局から署名済証明書を取得する必要があります。デフォルトのインストールでは、モードは「オープン」です。ノート: 「簡易」および「証明書」のトランスポート・セキュリティ・モードは、「OAMサーバー共通プロパティ」の「OAMプロキシ」タブで定義された情報により制御されます(「OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理」を参照してください)。関連項目: 「通信の保護」(「簡易」および「証明書」トランスポート・セキュリティ・モードを構成する場合)

OAMプロキシ設定

値

ポート

このOAMプロキシ・インスタンスがリスニングする一意のポート。

デフォルトのインストールでは、ポートは5575です。

プロキシ・サーバーID

OAMプロキシ(およびこのOAMサーバー・インスタンス)が存在するコンピュータの識別子。DNSホスト名が推奨ですが、有効かつ適切な任意の文字列を使用できます。

デフォルトのインストールでは、プロキシ・サーバーIDはAccessServerConfigProxyです。

モード

OAMプロキシのOAMチャネル・トランスポート・セキュリティは、次のいずれかを使用できます(エージェント・モードは登録時に一致する必要があり、登録後に上げることができます)。

オープン: 暗号化なし。
簡易: OAMエージェントとOAMサーバー間で渡されるデータは、OAMの自己署名証明書を使用して暗号化されます。

「簡易」モードを指定する前に、グローバル・パスフレーズを指定する必要があります。
証明書: OAMエージェントとOAMサーバー間のデータは、認証局(CA)が署名したX.509証明書を使用して暗号化されます。

ノート: 「証明書」モードを指定する前に、信頼できるサード・パーティの認証局から署名済証明書を取得する必要があります。

デフォルトのインストールでは、モードは「オープン」です。

ノート: 「簡易」および「証明書」のトランスポート・セキュリティ・モードは、「OAMサーバー共通プロパティ」の「OAMプロキシ」タブで定義された情報により制御されます(「OAMプロキシの簡易および証明書モード・セキュリティのアクセス・プロトコルの管理」を参照してください)。

関連項目: 「通信の保護」(「簡易」および「証明書」トランスポート・セキュリティ・モードを構成する場合)

OAMプロキシ・ロギング: Oracle Access Managementサービスでは、他のOracle Fusion Middlewareコンポーネントと同じロギング・インフラストラクチャを使用します(「管理イベントおよびランタイム・イベントの監査」を参照してください)。しかし、OAMプロキシはロギングにApache log4jを使用します。

6.3.2 新しいOAMサーバー・インスタンスの登録

有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用して新しい管理対象サーバー(OAMサーバー)のインスタンスを登録できます。エージェントと通信するには、それぞれのOAMサーバーが登録されている必要があります。

開始する前に、新しい管理対象サーバーのインスタンスが、Oracle WebLogic Serverドメインで構成され、まだ起動されていない状態である必要があります。

新しい管理対象サーバー・インスタンスをOracle WebLogic Serverドメインにインストールして構成し、このインスタンスを起動しないでください。
Oracle Access Managementコンソールにログインし、上部のバーで「構成」をクリックします。
「構成」コンソールで、「サーバー・インスタンス」をクリックします。
表示されるタブで、「OAMサーバーの作成」をクリックします。

図6-1に示すOAMサーバーの登録ページが表示されます。
「作成: OAMサーバー」ページで、表6-2のとおりにインスタンスの詳細を入力します。
- サーバー名
- ホスト
- ポート
プロキシ: このOAMプロキシ・インスタンスの詳細を入力または選択します。
- ポート
- プロキシ・サーバーID
- モード(オープン、簡易、証明書)
  
  関連項目:
  
  「通信の保護」(「簡易」または「証明書」モードを使用する場合)
「適用」をクリックして、ナビゲーション・ツリーに表示される構成を送信します(または変更を適用しないでページを閉じます)。
新しく登録したサーバーを起動します。

関連項目:

6.3.3 個々のOAMサーバーの登録およびプロキシ設定の表示または編集

有効な管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールを使用して個々のサーバー・インスタンスの設定を表示または変更できます。たとえば、リスニング・ポートやプロキシ通信のトランスポート・セキュリティ・モードの変更が必要になる場合があります。

変更はすぐにOracle Access Managementコンソールに表示され、クラスタ内のすべてのOAMサーバーに伝播されます。

関連項目:

「OAMサーバー登録のページ」
『WebLogic Scripting Tool Identity and Access Managementコマンド・リファレンス』の「Access Manager WLSTコマンド」
『Oracle Fusion Middlewareの管理』の移動スクリプトに関する項

Oracle Access Managementコンソールの上部にある「構成」をクリックします。
「構成」コンソールで、「サーバー・インスタンス」をクリックします。
表示されるページで、「検索」をクリックし、ターゲット・インスタンスをダブルクリックしてその構成を表示した後、次の手順に進みます。
- 表示のみ: 詳細の閲覧が終わったら、ページを閉じます。
- 変更: 残りのステップを実行して、構成を編集します。
「OAMサーバー」ページで、表6-2に従ってインスタンスの詳細を変更します。
プロキシ: 表6-3に従ってこのOAMプロキシ・インスタンスの詳細を変更します。

関連項目:

「通信の保護」(「簡易」または「証明書」モードを使用する場合)
「適用」をクリックして、変更を送信します(または変更を適用しないでページを閉じます)。

6.3.4 個々のサーバー登録の削除

有効な管理者の資格証明を持つユーザーは、OAMサーバー登録を削除し、実質的に無効にできます。

削除するには、次のようにします。

Oracle Access Managementコンソールの上部にある「構成」をクリックします。
「構成」コンソールで、「サーバー・インスタンス」をクリックします。
表示されるタブで、ターゲット・インスタンスをダブルクリックしてその詳細を確認した後、タブを閉じます。
インスタンスのリストでターゲット・インスタンスを選択し、ツール・バーの「削除」をクリックして、表示されるダイアログで削除を確認します。
インスタンスがインスタンス・リストから削除されたことを確認します。
削除したインスタンスをWeblogicサーバー管理コンソールから削除します。

あとは管理対象サーバー・ホスト上のノード・マネージャが自動的に処理します。