A installOAA.propertiesパラメータの理解
次の各項に、デフォルトのinstallOAA.propertiesファイル内のすべてのパラメータの完全なリストを示します。
A.1 共通のデプロイメント構成
この項では、installOAA.propertiesで設定できる共通のデプロイメント構成プロパティについて詳しく説明します。
共通のデプロイメント構成
| プロパティ | 必須/オプション | インストール・タイプ | 説明 |
|---|---|---|---|
common.dryrun |
オプション | すべて | 有効にしてtrueに設定すると、helmインストールでは生成された値のみが表示され、KubernetesクラスタでのOAA/OARM/OUAインストールは実際には実行されません。
これは、helmコマンドの |
common.deployment.name |
必須 | すべて | OAAインストールの名前。これは、helm installコマンドの実行時にはkubernetesクラスタおよびネームスペースごとに一意です。
指定する値は小文字にする必要があります。 |
common.deployment.overridefile |
オプション | すべて | チャート・パラメータのオーバーライドに関するオーバーライド・ファイル。helmチャートは、管理コンテナ内のhelmchartsディレクトリにあります。values.yamlに定義されているすべてのパラメータは、有効になっていれば、このファイルでオーバーライドできます。このファイルの形式は、必ずYAMLにする必要があります。管理コンテナ内の~/installsettingsディレクトリに、サンプルのoaaoverride.yamlファイルが存在します。「OAAオーバーライド・ファイルを使用した拡張構成」を参照してください。
|
common.kube.context |
オプション | すべて | 使用するKubernetesコンテキストの名前。
コンテキストを指定しない場合、デフォルトのKubernetesコンテキストが使用されます。 |
common.kube.namespace |
オプション | すべて | デプロイメントを作成するネームスペース。これは、「Kubernetesネームスペースおよびシークレットの作成」で作成したネームスペースである必要があります。パラメータが設定されていない場合は、デフォルト・ネームスペースにデプロイされます。 |
common.deployment.sslcert |
必須 | すべて | インストールで使用されるサーバー証明書のPKCS12ファイル。ファイル名(cert.p12など)は、「サーバー証明書および信頼証明書の生成」で生成したものと同じファイル名です。これはコンテナ内でマップされる内部パスであるため、PATHは変更しないでください。
ファイルはボールトにシードされ、すべてのOAA/OARM/OUAマイクロサービスによってダウンロードされます |
common.deployment.trustcert |
必須 | すべて | インストールで使用される信頼できる証明書のPKCS12ファイル。ファイル名(trust.p12など)は、「サーバー証明書および信頼証明書の生成」で生成したものと同じファイル名です。これはコンテナ内でマップされる内部パスであるため、PATHは変更しないでください。
ファイルはボールトにシードされ、すべてのOAA/OARM/OUAマイクロサービスによってダウンロードされます |
common.deployment.importtruststore |
必須 | すべて | 有効になっている場合、信頼証明書がJREトラストストアにインポートされます。 |
common.deployment.keystorepassphrase |
必須 | すべて | 証明書PKCS12ファイルのパスフレーズ。これは、「サーバー証明書および信頼証明書の生成」でキーストアを作成するときに使用したパスフレーズです。
ここに値を指定しない場合、インストール時に値の入力を求めるプロンプトが表示されます |
common.deployment.truststorepassphrase |
必須 | すべて | 信頼証明書のPKCS12ファイルのパスフレーズ。これは、「サーバー証明書および信頼証明書の生成」で信頼キーストアを作成するときに使用したパスフレーズです ここに値を指定しない場合、インストール時に値の入力を求めるプロンプトが表示されます。 |
common.deployment.generate.secret |
必須 | すべて | trueに設定すると、インストールによって3つの対称キーが生成され、パラメータcommon.deployment.sslcertが参照するcert.p12に追加されます。
次の暗号化キーが生成されます:
これらのキーを手動で作成する場合は、値を
falseに設定する必要があります。キーを作成するには、次のコマンドを実行します: |
common.deployment.mode |
必須 | すべて | 次の値をinstallOAA.propertiesに設定できます
|
common.migration.configkey |
オプション | すべて | Base64でエンコードされた移行システムの構成キー。有効にすると、値がボールトに配置され、レガシー・データの移行に使用されます。これは、Oracle Adaptive Access Manager 11gR2PS3から移行する場合にのみ使用します。 |
common.migration.dbkey |
オプション | すべて | Base64でエンコードされた移行システムのデータベース・キー。有効にすると、値がボールトに配置され、データベース・データの移行に使用されます。これは、Oracle Adaptive Access Manager 11gR2PS3から移行する場合にのみ使用します。 |
common.oim.integration |
オプション | OARMのみを除くすべてのインストール | OIMと統合するには、プロパティをtrueに設定します。これにより、パスワードを忘れた場合の機能も有効になります。これは、Oracle Adaptive Access Manager 11gR2PS3から移行する場合にのみ使用します。 |
common.deployment.push.apnsjksfile |
オプション | OARMのみを除くすべてのインストール | Appleプッシュ通知サービスのプッシュ・ファクタを有効化する際に使用されるファイル。これを設定する必要があるのは、インストール前にJKSファイルの構成が済んでいる場合のみです。それ以外の場合は、インストール後に構成できます。JKSファイルを<NFS_VAULT_PATH>/ChallengeOMAPUSH/apns/ディレクトリにコピーする必要があります。値は/u01/oracle/service/store/oaa/ChallengeOMAPUSH/apns/APNSCertificate.jksに設定する必要があります。詳細は、「iOSでのOracle Mobile Authenticatorのプッシュ通知の構成」を参照してください。
|
common.deployment.push.gcmjsonfile |
オプション | OARMのみを除くすべてのインストール | Androidデバイスのプッシュ通知を有効にするときに使用するファイル。これを設定する必要があるのは、インストール前にGoogle Firebaseプロジェクトを作成し、サービス・アカウントjsonファイルをダウンロードした場合のみです。それ以外の場合は、インストール後に構成できます。service-account.jsonファイルを<NFS_VAULT_PATH>/ChallengeOMAPUSH/gcm/ディレクトリにコピーする必要があります。値は、/u01/oracle/service/store/oaa/ChallengeOMAPUSH/gcm/service-account.jsonに設定する必要があります。詳細は、「AndroidでのOracle Mobile Authenticatorのプッシュ通知の構成」を参照してください。
|
A.2 データベース構成
この項では、installOAA.propertiesで設定できるデータベース構成プロパティについて詳しく説明します。
データベース構成
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
database.createschema |
必須 |
インストール時にスキーマの作成を可能にします。 これが |
database.host |
必須 | データベースのホスト名またはIPアドレスを指定します。 |
database.port |
必須 | データベース・ポートを指定します |
database.sysuser |
必須 | データベースのsysdbaユーザーを指定します
|
database.syspassword |
必須 | sysパスワードを指定します。
ここに値を指定しない場合、インストール時に値の入力を求めるプロンプトが表示されます。 |
database.schema |
必須 | インストールに使用するデータベース・スキーマの名前を指定します。
ノート: スキーマ名は12文字以下で、大文字にする必要があります。 |
database.tablespace |
必須 | インストールに使用する表領域名を指定します。 |
database.schemapassword |
必須 | スキーマ・パスワードを指定します。
ここに値を指定しない場合、インストール時に値の入力を求めるプロンプトが表示されます。 |
database.svc |
必須 | データベース・サービス名を指定します |
database.name |
必須 | データベース名を指定します。データベース・サービス名と同じでもかまいません
RACデータベースを使用している場合、このパラメータは必要ありません。 |
ノート:
SSLを介してOracle Databaseへのセキュアな接続を使用する場合は、追加の構成ステップが必要です。これらのステップは、管理コンテナの起動後、OAA、OARMおよびOUAのデプロイの前に実行する必要があります:- データベースのOracleウォレットを取得します:
- 標準のOracleデータベースの場合、Oracle Databaseウォレットの検索方法の詳細は、データベース固有のドキュメントを参照してください。
- Oracle Autonomous Database on Shared Exadata Infrastructure (ATP-S)データベースの場合、クライアント資格証明のダウンロードに関する項に従います。
- OAAデプロイメントで使用される
<NFS_CONFIG_PATH>にdb_walletディレクトリを作成します。ウォレット・ファイルを<NFS_CONFIG_PATH>/db_walletディレクトリにコピーします。 - OAA管理ポッドのbashシェルに入ります:
たとえば:kubectl exec -n <namespace> -ti <oaamgmt-pod> -- /bin/bashkubectl exec -n oaans -ti oaamgmt-oaa-mgmt-7dfccb7cb7-lj6sv9 -- /bin/bash - コンテナ内で
TNS_ADMIN環境変数を設定します:export TNS_ADMIN=<NFS_CONFIG_PATH>/db_walletdb_walletディレクトリには、コンテナ内からアクセスできるように、正しい読取りおよび書込みアクセス権限が必要です。 - 「OAA、OARMおよびOUAのデプロイ」に従ってOAAをデプロイします。
A.3 OAM OAuth構成
この項では、installOAA.propertiesで設定できるOAM OAuth構成プロパティについて詳しく説明します。
OAM OAuth構成
OAuth用にOAMを構成するための前提条件ステップを実行したことを確認してください。詳細は、「OAuthおよびOracle HTTP Serverの構成」を参照してください。
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
oauth.enabled |
必須 |
管理コンソールおよびセルフサービス・ポータルを使用する場合は、OAuthが必要です。 管理コンソールおよびセルフサービス・ポータルへのアクセスが必要な場合は、これを 管理コンソールおよびセルフサービス・ポータルにアクセスしない場合は、これを
falseに設定します。oauth.enabled=falseを設定した場合、次のプロパティもfalseに設定し、インストールが失敗しないようにする必要があります:
oauth.enabled=falseの場合、Optional Configurationで次のパラメータをfalseに設定する必要もあります:
|
install.global.service.security.oauth.enabled |
オプション | REST APIコールに対してOAuthをオンにするかどうかを制御します。デフォルト値はfalseで、初期インストール時に変更しないでください。インストール後、「REST API用のOAuth JWTの構成」を読んで理解するまでは、この値をtrueに設定しないでください。 |
install.global.service.security.basic.enabled |
オプション | REST APIコールにBasic認証を使用するかどうかを制御します。デフォルト値はtrueです。この値は、初期インストール時に変更しないでください。インストール後、「REST API用のOAuth JWTの構成」を読んで理解するまでは、この値をfalseに設定しないでください。 |
oauth.createdomain |
オプション | OAuthドメインを作成します。
OAuthドメインは、OAuthリソースおよびクライアントの作成に必要です。 |
oauth.createresource |
オプション | OAuthリソースを作成します。
OAuthリソースは、OAuthクライアントの作成に必要です。 |
oauth.domainname |
|
OAuthドメイン名を指定します。これは、「OAuthおよびOracle HTTP Serverの構成」で指定した<DomainName>と同じである必要があります。
|
oauth.identityprovider |
oauth.createdomainがtrueに設定されている場合は必須 |
OAM OAuthドメインのアイデンティティ・プロバイダを指定します。これは、OAMで使用されるユーザー・アイデンティティ・ストアの名前です。 |
oauth.resourcename |
oauth.enabled=trueの場合は必須 |
インストール時に作成されるOAuthリソース名を指定します。OAuth設定の検証にも使用されます。 |
oauth.resourcescope |
oauth.enabled=trueの場合は必須 |
インストール時に作成されるOAuthリソース・スコープを指定します。OAuth設定の検証にも使用されます。 |
oauth.redirecturl |
oauth.createclientがtrueに設定されている場合は必須 |
クライアント・リダイレクトURLを指定します。認証後のリダイレクトURLが必要です。これは、アクセス・トークンを生成してOAMのOAuthサービスの構成を検証するために使用されます。 |
oauth.applicationid |
oauth.createclientがtrueに設定されている場合は必須 |
OAuthによって保護されるOAAのアプリケーションID。値には、有効な任意の文字列を指定できます。OAAインストール後のOAMとOAA間のランタイム統合を設定する必要があります。「OAAとOAMとの統合」を参照してください。 |
oauth.adminurl |
oauth.enabled=trueの場合は必須 |
OAuth管理URLを指定します。これはOAM管理サーバーのURLです(例: http://oam.example.com:7001)。
|
oauth.basicauthzheader |
oauth.enabled=trueの場合は必須 |
OAM管理サーバーのBase64でエンコードされた認可ヘッダー。値は、echo -n weblogic:<password> | base64を実行して確認できます。
|
oauth.identityuri |
oauth.enabled=trueの場合は必須 |
アイデンティティ・サーバーのURLで、/.well-known/openid-configurationエンドポイントを使用したOIDCメタデータの取得に使用されます。これは、OAuthサービスのランタイム・サポートを提供するOAM管理対象サーバーのフロントエンドURLです。例: http://ohs.example.com:7777。
|
oauth.createclient |
オプション | OAuthクライアントを作成します。
|
oauth.clientname |
|
インストール時に作成されるOAuthクライアント名を指定します。 |
oauth.clientgrants |
oauth.createclientがtrueに設定されている場合は必須 |
OAuthクライアントのクライアント権限付与を指定します。OAuthクライアントにはCLIENT_CREDENTIALSが必要です。これは、OAuthステータスを確認するために検証ステージで使用されます。使用できるのは次の値です:
"PASSWORD"、"CLIENT_CREDENTIALS"、"JWT_BEARER"、"REFRESH_TOKEN"、"AUTHORIZATION_CODE"、"IMPLICIT"。 |
oauth.clienttype |
oauth.createclientがtrueに設定されている場合は必須 |
OAuthクライアント・タイプを指定します。OAM OAuthでは、次のクライアント・タイプがサポートされます:
PUBLIC_CLIENT、CONFIDENTIAL_CLIENT、MOBILE_CLIENT。 OAA管理コンソールおよびユーザー・プリファレンス・コンソールではOAuthが使用されるため、PUBLIC_CLIENTを使用する必要があります。 |
oauth.clientpassword |
oauth.enabled=trueの場合は必須 |
OAuthクライアントに使用するパスワードを指定します。クライアント・パスワードは正規表現^[a-zA-Z0-9.\-\/+=@_ ]*$に準拠する必要があり、最大長は500です。
|
oauth.tokenexpiry |
次の両方のプロパティが、install.global.service.security.oauth.enabled=true およびinstall.global.service.security.basic.enabled=falseに設定されている場合は必須です。
|
UI OAuthトークンの有効期限(秒)。デフォルト値は3600秒(1時間)です。この構成は、インストール後にのみ行ってください。「REST API用のOAuth JWTの構成」を参照してください。 |
api.oauth.tokenexpiry |
次の両方のプロパティが、install.global.service.security.oauth.enabled=true およびinstall.global.service.security.basic.enabled=falseに設定されている場合は必須です。
|
API OAuthトークンの有効期限(秒)。デフォルト値は3600秒(1時間)です。この構成は、インストール後にのみ行ってください。「REST API用のOAuth JWTの構成」を参照してください。 |
oauth.adminname |
次の両方のプロパティが、install.global.service.security.oauth.enabled=true およびinstall.global.service.security.basic.enabled=falseに設定されている場合は必須です。
|
値は、OAA-Admin-Roleグループのメンバーである管理ユーザーに設定する必要があります。この構成は、インストール後にのみ行ってください。「REST API用のOAuth JWTの構成」を参照してください。
|
oauth.adminpassword |
次の両方のプロパティが、install.global.service.security.oauth.enabled=true およびinstall.global.service.security.basic.enabled=falseに設定されている場合は必須です。
|
値は、oauth.adminnameに設定された管理ユーザーのbase64パスワードに設定する必要があります。この構成は、インストール後にのみ行ってください。「REST API用のOAuth JWTの構成」を参照してください。
|
oauth.appusername |
次の両方のプロパティが、install.global.service.security.oauth.enabled=true およびinstall.global.service.security.basic.enabled=falseに設定されている場合は必須です。
|
値は、OAA-App-Userグループのメンバーであるすべてのユーザーに設定する必要があります。この構成は、インストール後にのみ行ってください。「REST API用のOAuth JWTの構成」を参照してください。
|
oauth.appuserpassword |
次の両方のプロパティが、install.global.service.security.oauth.enabled=true およびinstall.global.service.security.basic.enabled=falseに設定されている場合は必須です。
|
値は、oauth.appuserpasswordに設定された管理ユーザーのbase64パスワードに設定する必要があります。この構成は、インストール後にのみ行ってください。「REST API用のOAuth JWTの構成」を参照してください。
|
oauth.provider |
必須 | OAuthプロバイダ。有効な値はOAMのみです。
|
A.4 ボールト構成
この項では、installOAA.propertiesで設定できるボールト構成プロパティについて詳しく説明します。
ボールト構成
OCIボールトを使用している場合は、ファイルベースのボールトに設定するプロパティは無視できます。
| プロパティ | 説明 |
|---|---|
vault.deploy.name |
このデプロイメントのボールトに使用する名前。名前がボールトにすでに存在する場合は、再利用されます。 |
vault.create.deploy |
値がtrueに設定された場合、ボールトの作成が実行されます。ただし、vault.deploy.nameに指定された名前のボールトがすでに存在する場合、ボールトの作成はスキップされます。
|
vault.provider |
ボールトがOCIかファイルベースかを指定します
次のいずれかの値を指定します。
|
vault.provider=ociを設定した場合、OCIベースのボールト構成には、次のプロパティが必須です。OCIボールトの作成の詳細は、 ボールトの管理に関する項を参照してください次のパラメータを設定するには、OCIボールトが存在している必要があります。
|
|
vault.oci.uasoperator |
OCIボールトに対する読取りおよび書込み権限を持つユーザーのBase64でエンコードされた秘密キーを指定します。 |
vault.oci.tenancyId |
テナンシIDのBase64でエンコードされたOCI IDを指定します。 |
vault.oci.userId |
OCIボールトに対する読取りおよび書込み権限を持つユーザーのBase64でエンコードされたOCIDを指定します。 |
vault.oci.fpId |
OCIボールトに対する読取りおよび書込み権限を持つユーザーのBase64でエンコードされたフィンガープリントを指定します。 |
vault.oci.compartmentId |
OCIにボールトが存在するコンパートメントのBase64でエンコードされたOCIDを指定します。 |
vault.oci.vaultId |
OCI上のボールトのBase64でエンコードされたOCIDを指定します。 |
vault.oci.keyId |
ボールトのシークレットの暗号化に使用されるOCIボールト内のマスター秘密キーのBase64でエンコードされたOCIDを指定します。 |
vault.provider=fksを設定した場合、ファイルベースのボールト構成には、次のプロパティが必須です
|
|
vault.fks.server |
<NFS_VAULT_PATH>にNFSサーバーのホスト名またはIPアドレスを指定します。
詳細は、「NFSボリュームの構成」を参照してください。 |
vault.fks.path |
ファイル・ベースのボールトを格納する<NFS_VAULT_PATH>を指定します。
詳細は、「NFSボリュームの構成」を参照してください。 |
vault.fks.key |
ファイル・ベースのボールトのBase64でエンコードされたパスワードを指定します。パスワードのBase64でエンコードされたバージョンを検索するには、echo -n weblogic:<password> | base64を使用します。
|
vault.fks.mountpath |
管理コンテナのマウント・パスと、ボールトが存在するインストール済サービスのマウント・パス。このプロパティの値は、helmチャートから渡された値と同一にする必要があります。この値は変更しないでください: /u01/oracle/service/store/oaa。
|
A.5 Helmチャート構成
この項では、installOAA.propertiesで設定できるhelmチャート構成プロパティについて詳しく説明します。
Helmチャート構成
これらのプロパティは、インストール時にhelmチャートへの入力として渡されます。
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
install.global.repo |
必須 |
OAAコンテナ・イメージが存在するコンテナ・イメージ・レジストリを指定します。 詳細は、「コンテナ・イメージ・レジストリ(CIR)の設定」を参照してください |
install.global.testrepo |
オプション | コンテナ・イメージをプルできる代替コンテナ・イメージ・レジストリを指定します。たとえば、OAAは、外部サイト(https://ghcr.io/oracle)からoraclelinux:8-slimおよびoraclelinux7-instantclientイメージをインストールします。Kubernetesクラスタがインターネットにアクセスできない場合は、イメージをプルしてコンテナ・レジストリに格納する必要があります。次に、install.global.testrepoをコンテナ・レジストリの場所に設定する必要があります。
|
install.riskdb.service.type |
必須 | データベースがOAAインストールの外部にあるため、このプロパティの値は常にExternalNameに設定する必要があります
|
install.global.imagePullSecrets\[0\].name |
必須 | 保護されたコンテナ・イメージ・レジストリからコンテナ・イメージをプルするときに使用する必要があるKubernetesシークレット参照を指定します。
ノート: これは、先に設定したKubernetesシークレット(dockersecretなど)に設定する必要があります。詳細は、「Kubernetesネームスペースおよびシークレットの作成」を参照してください。
|
install.global.image.tag |
必須 | グローバル・イメージ・タグをコンテナ・イメージ・レジストリのイメージ・タグに更新します。
ノート: installOAA.properties.templateをinstallOAA.propertiesにコピーした場合、このタグはすでに設定されています。
|
install.global.oauth.logouturl |
オプション | OAuthで保護されたリソースのログアウトURLを指定します。これは、OAM管理対象サーバーのフロントエンドURLです。例: http://ohs.example.com:7777/oam/server/logout。oauth.enabledがtrueに設定されている場合にのみ必要です。
|
install.global.uasapikey |
必須 | OAAマイクロサービスのRESTエンドポイントの保護に使用されるREST APIキーを指定します。 |
install.global.policyapikey |
必須 | OAAポリシー・マイクロサービスのRESTエンドポイントの保護に使用されるREST APIキーを指定します。 |
install.global.factorsapikey |
必須 | OAAファクタ・マイクロサービスのRESTエンドポイントの保護に使用されるREST APIキーを指定します。 |
install.global.riskapikey |
OARMをインストールするインストール・タイプの場合は必須です。 | OAAリスク・マイクロサービスのRESTエンドポイントの保護に使用されるREST APIキーを指定します。
OAA-OARMインストール、OARMのみ、またはOAA-OARM-OUAインストールを実行する場合、このパラメータは必須です。 |
install.global.drssapikey |
OAA-OARM-OUAインストールの場合は必須です。 | OAA DRSSマイクロサービスのRESTエンドポイントの保護に使用されるREST APIキーを指定します。
OAA-OARM-OUAインストールを実行する場合、このパラメータは必須です。 |
| OCIボールトの場合、helmのインストール時に読取り専用ユーザーに対して指定すると、次の構成をオーバーライドできます。次のプロパティに値を指定しない場合、値はボールト構成から選択されます。 | ||
install.global.vault.mapId |
オプション | 既存のボールトの場合は、Base64 mapIdを指定できます。プロパティが設定されている場合は、ボールト内のデプロイ情報に対して検証されます。 |
install.global.vault.oci.uasoperator |
オプション | ボールトに対する読取り専用権限を持つユーザーのBase64でエンコードされた秘密キーを指定します。 |
install.global.vault.oci.tenancyId |
オプション | OCIからのBase64でエンコードされたテナンシIDを指定します |
install.global.vault.oci.userId |
オプション | OCIからのBase64でエンコードされたユーザーIDを指定します。 |
install.global.vault.oci.fpId |
オプション | OCIからのユーザーのBase64でエンコードされたフィンガープリントIDを指定します。 |
A.6 オプションの構成
この項では、installOAA.propertiesで設定できるオプションの構成プロパティについて詳しく説明します。
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
install.global.ingress.enabled |
オプション | このプロパティは、デプロイメントでイングレスを有効化するかどうかを指定するために使用します。値がtrueに設定されている場合、デプロイメントのKubernetesクラスタ内のイングレス・リソースが生成されます。純粋なNodePortベースのデプロイメントが必要な場合は、値をfalseに設定する必要があります。 |
install.global.ingress.runtime.host |
オプション | ランタイム・ホストのイングレス定義に使用するホスト名を指定できます。プロパティの値がない場合、イングレス定義は'*'ホストを使用して作成されます。
ランタイム・ホストは、すべてのfactors、oaa、spuiおよびriskを含むランタイム・サービスへのアクセスに使用されます。 |
install.global.ingress.admin.host |
オプション | 管理ホストのイングレス定義に使用するホスト名を指定できます。プロパティの値がない場合、イングレス定義は'*'ホストを使用して作成されます。
管理ホストは、admin、policyおよびrisk-ccサービスへのアクセスに使用されます。 |
install.global.dbhost
|
オプション | これらのプロパティはデータベースに関連しています。ここでプロパティを指定しない場合は、データベース構成で指定された値が使用されます。 |
install.global.oauth.oidcidentityuri
|
オプション | 次のプロパティはOAuthに関連しています。ここで指定されない場合は、OAuth構成で指定された値が使用されます。 |
install.global.serviceurl |
オプション | ロード・バランサ/イングレスURLが存在する場合は、URLをここで構成します。すべてのUIサービスは、このロード・バランサ/イングレスの背後に位置します。イングレス・インストールがtrueに設定されている場合、イングレスのインストール後に適切なサービスURLがフェッチされて、サービスURLとして使用されます。install.global.serviceurlを指定すると、このプロパティのサービスURLの優先度が高くなり、元の値がオーバーライドされます。
|
install.oaa-admin-ui.serviceurl |
オプション | oaa管理のサービスURL (install.global.serviceurlと異なる場合)。
|
install.spui.enabled=false
|
オプション | oauth.enabled=falseの場合、管理コンソール(oaa-admin-ui)、セルフサービス・ポータル(spui)、FIDO (fido)およびKBA (oaa-kba)ファクタは使用できません。oauth.enabled=falseの場合、これらのプロパティをコメント解除する必要があります。
|
install.totp.enabled=false
|
認証ファクタ・サービスはデフォルトで有効になっています。無効にするには、行をコメント解除します。
|
|
install.service.type=ClusterIP
|
オプション | サービスのデフォルト・サービス・タイプはClusterIPです。
デプロイメント・モードがRiskの場合、次のサービスはデプロイされません: fido、push、yotp、email、sms、totpおよびkba。
|
イングレスを使用したインストールの詳細は、「NGINXイングレス・コントローラのインストール」を参照してください
A.7 イングレス構成
この項では、installOAA.propertiesで設定できるイングレス構成プロパティについて詳しく説明します。
表A-1 イングレス構成
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
ingress.install |
必須 |
OAAまたはOARMインストールでイングレス・コントローラをインストールする場合は、値を イングレス・コントローラをインストールしない場合は、 これが |
ingress.namespace |
inress.install=trueの場合は必須です | イングレスのインストールに使用されるKubernetesネームスペース。このネームスペースは、インストール時にKubernetesに作成されます。たとえば、ingress-nginxです。
|
ingress.admissions.name=ingress-nginx-controller-admission |
inress.install=trueの場合はオプションです |
アドミッション・コントローラの名前。 アドミッション・コントローラは個別にインストールできます。イングレスのアドミッション名が存在しない場合は、NGINXイングレス・チャートで |
ingress.class.name=nginx |
inress.install=trueの場合は必須です | インストールに使用する必要があるイングレス・クラス名。既存のクラス名にはできません。 |
ingress.service.type |
inress.install=trueの場合は必須です |
ベア・メタルKubernetesクラスタを使用している場合は、値を |
ingress.install.releaseNameOverride=base |
inress.install=trueの場合はオプションです | ingress.installで始まるあらゆるものは、イングレス・チャートの値を設定するために追加で指定できます。
|
イングレスを使用したインストールの詳細は、「NGINXイングレス・コントローラのインストール」を参照してください
A.8 管理コンテナ構成
この項では、installOAA.propertiesで設定できる管理コンテナ構成プロパティについて詳しく説明します。
表A-2 管理構成
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
install.mount.config.path |
必須 |
|
install.mount.config.server |
必須 | <NFS_CONFIG_PATH>のNFSサーバーのIPアドレス。
|
install.mount.creds.path |
必須 |
|
install.mount.creds.server |
必須 | <NFS_CREDS_PATH>のNFSサーバーのIPアドレス。
|
install.mount.logs.path |
必須 |
|
install.mount.logs.server |
必須 | <NFS_LOGS_PATH>のNFSサーバーのIPアドレス。
|
install.mgmt.release.name |
オプション | helm installコマンドの実行時に使用されるOAA管理コンテナ・インストールの名前。設定しない場合、インストール時に名前の入力を求めるプロンプトが表示されます。
指定する値は小文字にする必要があります。 |
install.kube.creds |
オプション | この値は、kubeconfigが存在するローカルPATHに設定します。設定しない場合、管理コンテナはKubernetes資格証明に$KUBECONFIGまたは~/.kube/configを使用します。
|
common.local.sslcert |
必須 | この値は、サーバー証明書PKCS12ファイル(cert.p12)が存在するローカルPATHに設定します。
これを設定する必要があるのは、「サーバー証明書および信頼証明書の生成」に従って独自の証明書を生成した場合のみです。自己署名証明書を使用する場合は、これを設定しないでください。 |
common.local.trustcert |
必須 | この値は、信頼証明書PKCS12ファイル(trust.p12)が存在するローカルPATHに設定します。
これを設定する必要があるのは、「サーバー証明書および信頼証明書の生成」に従って独自の証明書を生成した場合のみです。自己署名証明書を使用する場合は、これを設定しないでください。 |
NFSマウントの詳細は、「NFSボリュームの構成」を参照してください
A.9 Oracle Universal Authenticatorの構成
この項では、installOAA.propertiesで設定できるOracle Universal Authenticator (OUA)構成プロパティについて説明します。
表A-3 Oracle Universal Authenticatorの構成
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
oua.tapAgentName |
OUAの場合は必須 |
デフォルト値は これは、「OAM TAPパートナの登録」の「OAMでのOUAのTAPパートナとしての登録」の項で作成したTAPパートナ名の値に設定する必要があります。 |
oua.tapAgentFileLocation |
OUAの場合は必須 | 値を、「OAM TAPパートナの登録」の「OAMでのOUAのTAPパートナとしての登録」の項で作成したOAM OAA TAPパートナのキーストアのローカルPATHおよびファイル名に設定します。
ノート: PATHにはOAA管理コンテナからアクセスできる必要があります。 |
oua.tapAgentFilePass |
OUAの場合は必須 |
値を、「OAM TAPパートナの登録」の「OAMでのOUAのTAPパートナとしての登録」の項で生成されたTAPパートナ・キーストアのBase64エンコード・パスワードに設定します。 |
oua.oamRuntimeEndpoint |
OUAの場合は必須 | OAMのエントリ・ポイントとして使用されるOHS URL。ロード・バランサがOHSのフロント・エンドになっている場合、この値はロード・バランサURLです。 |
A.10 LDAP構成
この項では、installOAA.propertiesで設定できるLDAP構成プロパティについて詳しく説明します。
表A-4 LDAP構成
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
ldap.server |
OAAの場合は必須 | OAMで使用されるLDAPサーバーのLDAPサーバー・プロトコル、ホスト名およびポート。 |
ldap.username |
OAAの場合は必須 | ディレクトリ管理者のユーザー名。 |
ldap.password |
OAAの場合は必須 | ディレクトリ管理者のパスワード。 |
ldap.oaaAdminUser |
OAAの場合は必須 | LDAPユーザー検索ベースに作成されるOAA管理ユーザー。 |
ldap.adminRole |
OAAの場合は必須 | LDAPグループ検索ベースに作成されるOAA-Admin-Roleグループ。 |
ldap.userRole |
OAAの場合は必須 | LDAPグループ検索ベースに作成されるOAA-App-Userグループ。 |
ldap.oaaAdminUserPwd |
OAAの場合は必須 | 任意のパスワードに設定します。これはldap.oaaAdminUserのパスワードになります。
|
ldap.addExistingUsers |
OAAの場合は必須 | OAAインストールで<LDAP_USER_SEARCHBASE>内のすべての既存のユーザーをOAA-App-Userグループに追加する場合は、この値をyesに設定します。詳細は、「LDAPストアでのユーザーとグループの作成」を参照してください。
|
A.11 Oracle Advanced Authentication TAP構成
この項では、installOAA.propertiesで設定できるOracle Advanced Authentication TAP構成プロパティについて詳しく説明します。
表A-5 Oracle Advanced Authentication TAP構成
| プロパティ | 必須/オプション | 説明 |
|---|---|---|
oaa.tapAgentName |
OAAの場合は必須 |
デフォルト値は これは、「OAM TAPパートナの登録」の「OAMでのOAAのTAPパートナとしての登録」の項で作成したTAPパートナ名の値に設定する必要があります。 12月24日より前のリリースからのアップグレードを実行する場合は、アップグレード前に「OAA、OARMおよびOUAのアップグレード」を参照してください。 |
oaa.tapAgentFileLocation |
OAAの場合は必須 | 値を、「OAM TAPパートナの登録」の「OAMでのOAAのTAPパートナとしての登録」の項で作成したTAPパートナのキーストアのローカルPATHおよびファイル名に設定します。
ノート: PATHにはOAA管理コンテナからアクセスできる必要があります。 |
oaa.tapAgentFilePass |
OAAの場合は必須 |
値を、「OAM TAPパートナの登録」の「OAMでのOAAのTAPパートナとしての登録」の項で生成されたTAPパートナ・キーストアのBase64エンコード・パスワードに設定します。 |
oaa.authFactors |
OAAの場合は必須 | 新規インストール中にOAA OAM統合エージェント用に作成される認証ファクタ。デフォルト値はChallengeEmail,ChallengeSMS,ChallengeOMATOTP,ChallengeYubicoOTP,ChallengeOMAPUSH,ChallengeFIDO2です。
|