Oracle Access ManagementのパフォーマンスとAccess Managerのヘルスのモニタリング

11.1 パフォーマンス・モニタリングの概要

コンポーネント・パフォーマンス・メトリックは、特定のイベントを完了する間に、メモリー内で収集できます。これらのメトリックはメモリー内でのみ保持されるため、Oracle Enterprise Manager Fusion Middleware Control (FMW)、Oracle Dynamic Monitoring Service (DMS)、Oracle Process Manager and Notification Server (OPMN)など、メトリックを抽出して表示するメカニズムが複数用意されています。

FMW Controlは、監視オプションを備えたWebブラウザ・ベースのグラフィカル・ユーザー・インタフェースです。詳細は、「Fusion Middleware Controlによるパフォーマンスおよびログのモニタリング」を参照してください。
DMSでは、DMSスパイ・サーブレットを使用して、WebブラウザからDMSメトリック・データにアクセスします。情報はナウン・タイプ別に分類され、Oracle Access Managementの場合、接頭辞はOAMS.OAM_です。「DMSコンソールを使用したメトリックの監視」を参照してください。
dmsダンプはDMSによって提供され、dms構成ファイルの定義に基づいて、サーバーからメトリックを取得します。dmsダンプが生成されると、多くのOAMメトリックが表示されます。『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のOracle Dynamic Monitoring Service (DMS)に関する説明を参照してください。
OPMNでは、dmsダンプを使用してメトリックにアクセスします。

11.2 Oracle Access Managementコンソールを使用したサーバー・メトリックの監視

有効なOracle Access Management管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールにログインして、様々なパフォーマンス・メトリックを監視できます。

この項では次のトピックを記載しています:

11.2.1 サーバー・インスタンス・パフォーマンスのモニタリング

有効なOracle Access Management管理者の資格証明を持つユーザーは、Oracle Access Managementコンソールで「システム構成」タブの「アクション」メニューの「モニタリング」コマンドを使用して、Access Managerのパフォーマンスを監視できます。

詳細は、「Oracle Access Managementコンソールの理解」を参照してください。

開始する前に、OAMサーバーを実行している必要があります。

Oracle Access Managementコンソールで、「サーバー・インスタンス」をクリックし、目的のサーバー・インスタンスをクリックします。
サーバー・インスタンス:
1. ナビゲーション・ツリーの「アクション」メニューで、「モニター・メニュー」をクリックします。
2. 「モニター」ページで、必要なサブタブをクリックして、サーバー・インスタンスの結果を表示します。
  - サーバー・プロセス概要
  - セッション操作
  - サーバー操作
  - WebGates
3. 「Oracle Access Managerサーバー・メトリック」に進みます。
「OAMプロキシ・メトリックとチューニング」も参照してください。

11.2.2 Oracle Access Managerサーバー・メトリック

このトピックでは、コンソールの「構成」セクションにある「サーバー・インスタンス」タブの「モニター」オプションで選択できるサーバー・メトリックについて説明します。

図11-1は、サーバー・プロセスのページを示しています。

図11-1 「サーバー・プロセス概要」ページ

「図11-1 「サーバー・プロセス概要」ページ」の説明

「サーバー・プロセス概要」タブでは、次のOAMサーバー・イベントが各列に個別に整理されて表示されます。

次に、「サーバー・プロセス概要」タブ内のサーバー・メトリック列を示します。

認可プロセス
認可リクエスト
認証プロセス失敗
認証プロセス成功
認証前プロセス失敗
認証前プロセス成功

図11-2は、「セッション操作」タブを示しています。

図11-2 OAMサーバー・メトリック: 「セッション操作」の「モニター」ページ

「図11-2 OAMサーバー・メトリック: 「セッション操作」の「モニター」ページ」の説明

OAMサーバーの「セッション操作」のメトリックには、次のものが含まれます。

セッション検証チェック
セッション検証チェック失敗
セッション検証チェック成功
セッション作成
セッション作成失敗
セッション作成成功
セッション破棄
セッション破棄失敗
セッション破棄成功
クライアント・セッション削除
クライアント・セッション削除失敗

図11-3は、「サーバー操作」タブを示しています。

図11-3 OAMサーバー・メトリック: 「サーバー操作」タブ

「図11-3 OAMサーバー・メトリック: 「サーバー操作」タブ」の説明

次に、「サーバー操作」タブ内のOAMサーバー操作のメトリックを示します。

認証ポリシー・レスポンス失敗
認証ポリシー・レスポンス成功
認証スキーム・レスポンス失敗
認証スキーム・レスポンス成功
認証の失敗
認証失敗レスポンス
認証ポリシー・レスポンス
認証リクエスト
認証スキーム・レスポンス
認可の失敗
認可の失敗
認可プロセス失敗
認可プロセス成功

図11-4は、使用可能なメトリックがすべて表示されているOAMサーバー・メトリック: 「Webゲート」タブを示しています。

図11-4 OAMサーバー・メトリック: 「Webゲート」タブ

「図11-4 OAMサーバー・メトリック: 「Webゲート」タブ」の説明

Webゲートのパフォーマンス・メトリックには次のものがあります。

エージェント名
エージェント・ステータス
バージョン

11.3 Oracle Access Managementコンソールを使用したSSOエージェント・メトリックの監視

有効な資格証明を持つOracle Access Management管理者は、様々なコンポーネントのメトリックを確認してチューニングが必要かどうかを判断できます。

次の手順を使用して、Oracle Access Managementコンソールで様々なSSOエージェント・パフォーマンス・メトリックを表示できます。

開始する前に、サーバーとエージェントを実行している必要があります。

Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「アプリケーション・セキュリティ」コンソールで、「エージェント」をクリックします。
「SSOエージェントの検索」ページで、目的のエージェント・タイプのタブを選択します。
- WebGates
監視するエージェントを検索します。
「検索結果」表で、必要なエージェントの「シリアル番号」をハイライト表示して、「アクション」メニューから「モニター」を選択します。
必要に応じて先に進みます。
- Webゲート・メトリック

11.3.1 Webゲート・メトリック

Webゲート・メトリックは、様々なタブにまとめられています。

次のタブがあります。

接続性
操作の概要
操作の詳細
情報

11.4 OAMプロキシ・メトリックとチューニング

管理者は、Java EEコンテナ管理コンソールを通じてOAMプロキシのパフォーマンスをチューニングできます。

この項では次のトピックを記載しています:

11.4.1 OAMプロキシ・メトリック

スループットとは、1秒間に処理されるリクエスト数を言います。待機時間とは、特定のリクエストを処理するために必要な時間を言います。WebGateとOAMサーバーの間にプロキシを導入することによる待機時間の増加は20%未満です。

表11-1は、使用できる様々なOAMプロキシ・メトリックを示しています。

表11-1 OAMプロキシ・メトリック

メトリック	説明
handshakes.active	ハンドシェイクを行うアクティブ・スレッドの数
handshakes.avg	初期ハンドシェイクの実行に要した平均時間
handshakes.completed	初期ハンドシェイクが実行された回数
handshakes.maxTime	初期ハンドシェイクの実行に要した最大時間
handshakes.minTime	初期ハンドシェイクの実行に要した最小時間
handshakes.time	初期ハンドシェイクの実行に要した合計時間
failedHandshakes.count	失敗したハンドシェイク数
peerCompatibilityFailures.count	ピア互換性チェック失敗の発生回数
openSecurityMode.count	オープン・セキュリティ・モード・ハンドシェイクの発生回数
simpleSecurityMode.count	シンプル・セキュリティ・モード・ハンドシェイクの発生回数
SSLSecurityMode.count	SSLセキュリティ・モード・ハンドシェイクの発生回数
negotiateSecurityMode.active	セキュリティ・モード・ネゴシエーションを実行中のアクティブ・スレッド数

11.4.2 OAMプロキシ・サーバーのチューニング・パラメータ

OAMプロキシのパフォーマンスは、Java EEコンテナ管理コンソールを通じてその構成を変更することによってチューニングすることができます。

Java EEコンテナ管理者とOracle Access管理者はどちらも、Java EEコンテナ管理コンソール(このドキュメントでは取り上げません)を使用してパフォーマンスをチューニングできます。

OAMプロキシのチューニング・パラメータを表11-2に示します。

表11-2 OAMプロキシのチューニング・パラメータ

目的	パラメータ	タイプ	値	説明
サービス拒否攻撃	ConnectionValidationInterval	整数	120	サービス拒否攻撃に関して定期的に接続の検証を行う際の時間間隔(秒)
サービス拒否攻撃	BacklogQueue	整数	50	バックログ・キューの最大長さ
サービス拒否攻撃	MaxNAPHandShakeTime	整数	100	クライアント同士がNAPシェイクハンドを完了させるまでに使用できる最大時間(ミリ秒)。ある接続を介したNAPシェイクハンドがこの時間内に完了しなかった場合、その接続は悪意あるものとしてマークされます。

11.5 DMSコンソールを使用したメトリックの監視

Oracle Access Managementは、Oracle Dynamic Monitoring Systems (DMS)を使用し、OAMサーバーおよび登録されたエージェントについてアプリケーション固有のパフォーマンス情報を測定します。メトリックを使用すると、特定の領域内で経過した時間をモニターしたり、特定の発生事象や状態変化を追跡したりすることができます。

DMSコンソールにアクセスするには、次のURLをブラウザ・ウィンドウに入力し、Oracle Access Management管理者資格証明でログインします。

http:// <example_AdminServer:Port/dms/Spy

DMSコンソールにログインすると、次の項に説明されてるようにメトリックを監視できます。

OAMメトリックの監視

11.5.1 OAMメトリックの監視

OAMメトリックは、DMSメトリック表パネルで確認できます。

図11-9に示すように、OAMに関するメトリックにアクセスできます。表示されている必要なメトリックをクリックして、コンソールの右側に結果を表示します。

図11-9 OAMメトリック表

「図11-9 OAMメトリック表」の説明

11.6 Access Managerサーバーのヘルスのモニタリング

Access Managerサービスはビジネス上重要なものであり、保護されている組織のWebサービスやアプリケーションに対するユーザーのアクセス制御のために、常に利用可能であることが必要です。ハードウェアやネットワーク接続性の問題、およびその他の障害が発生することがあるため、ロード・バランサはハートビート・モニタリングを活用して、ユーザー・トラフィックが正常なOAMサーバーに確実にルーティングされるようにする場合があります。

たとえば、ユーザー・エージェントまたはWebGateとAccess Managerサーバーとの間にファイアウォールがインストールされている場合に、周辺装置は、ハートビートURLにアクセスすることによって、Access Managerサーバーの可用性(そのヘルス)をチェックできます。次の各項では、詳細を説明します。

11.6.1 WebGateとAccess Manager通信の理解

WebGateとAccess Managerサーバーの間にネットワーク・ファイアウォールをデプロイする場合、WebGateはメッセージ・チャネルを確立するために、Access ManagerとのTCPソケット接続を作成して、OAPプロトコルを使用して通信します。WebGateは、メッセージ・チャネルを使用して、リソース要求(isprotectedやisauthorizedなど)に応えるために必要な様々なOAPメッセージを送信します。ここで、WebGate/Oracle HTTP Serverがアイドル状態である状況を想定してみます。この場合には、WebGateはリソース要求を受け取っておらず、認証や認可のためにAccess Managerにメッセージを送信することもありません。また、ソケット接続上での読取り/書込み動作も行われません。

ファイアウォールでは、30-40分間アクティブではなかった場合(構成に依存します)に、この接続がアイドルであると判定してソケット接続を終了しますが、WebGateやAccess Managerサーバーには通知を行いません。このケースでは、WebGateがリソース要求を受け取ってAccess ManagerサーバーにOAPメッセージを送信する際には、既存の接続を使用してリプライを待ちます。接続はファイアウォールによって削除されているため、WebGateがリプライを受け取ることはなく、TCPタイムアウトを待つことになります。TCPタイムアウトの後、WebGateはメッセージ・チャネルが使用できないことを理解し、メッセージ・チャネルを新規に作成する処理を開始します。WebGateがユーザー要求を処理できなくなるTCPタイムアウトはOS固有の機能であり、数分から数時間までの幅があります。

ノート:

setKeepAlive WebGateパラメータによって、ロード・バランサによるOAP接続の削除を停止できます。詳細は、表15-2を参照してください。

11.6.2 Access Managerサーバーのヘルスのモニタリング

OAMモニタリング・モデルでは、既定の時間間隔にて、Web層コンポーネント(ロード・バランサ)がOAM管理対象サーバーのハートビート・エンドポイントに向けて、pingをHTTP(S)経由で送信できます。これによってWeb層コンポーネントは、受信HTTPトラフィックを異常なOAM管理対象サーバー以外にルーティングさせることが可能です。

すべてのOAM管理対象サーバーは、次のハートビートURLを公開しています。

Scheme://ManagedServerHost:ManagedServerPort/oam/server/HeartBeat

このURLの構成要素は次のとおりです。

scheme = https | http
ManagedServerHost = Access Manager WLS管理対象サーバーのホスト名
ManagedServerPort = Access Manager WLS管理対象サーバーが使用しているポート

ハートビートURLは次のように動作します。

Web層コンポーネントは、Access Manager管理対象サーバーのハートビート・エンドポイントにHTTPリクエストを送信します。
すると、Access Manager管理対象サーバーは、次の処理を実行します。
- Idストアの接続性を確認します。
- ポリシー・ストアの接続性を確認します。
- 資格証明コレクタURLがアクセス可能であることを確認します。
- コヒーレンス・レイヤーの動作の健全性チェックを行います。
- NAP接続性をチェックします。
前述のテストが成功した場合には、Access Managerサーバーは正常であるとみなされ、HTTP 200応答がロード・バランサに送信されます。それ以外のHTTPステータス・コードはすべて、Access Manager管理対象サーバーが異常であることを示します。
複数台のAccess Manager管理対象サーバーがデプロイメント中に存在する場合、Web層コンポーネントは各OAM管理対象サーバーに対してこの処理を繰り返します。

ノート:

ヘルス・ステータスのテスト結果またはチェック結果のいずれも、HTTP応答のボディ部で通信することはできません。ハートビート・チェックが成功すると、HTTPコード200が返されます。