1. Oracle Identity Management Suite統合ガイド
  2. 中心的な統合
  3. Oracle Access ManagerとLDAPの統合

2 Oracle Access ManagerとLDAPの統合

Oracle Access ManagerとLDAPの統合では、IDStoreの準備、欠落しているオブジェクト・クラスの追加、および自動スクリプトを使用したOAMの構成を行います。

内容は次のとおりです。

2.1 自動スクリプトを使用したIDStoreの準備

OIG-OAM統合のためのOIGOAMIntegration.sh自動スクリプトを使用して、IDStoreを準備します。

グループを作成し、ACIを様々なコンテナに設定することで、アイデンティティ・ストアおよびポリシー・ストアを構成します。必要なユーザーおよびグループとの関連ユーザーをアイデンティティ・ストアに追加します。このステップは、idmConfigTool.sh -prepareIDStoreおよびidmConfigTool.sh -prepareIDStore -mode=ALLコマンドの実行に似ています。「prepareIDStoreコマンド」を参照してください。

  1. (ORACLE_HOME/idm/server/ssointg/configにある) OIG Oracleホーム・ディレクトリのprepareIDStore.all.configファイルをテキスト・エディタで開き、パラメータを更新します。

    prepareIDStore.all.configファイルの例 

    IDSTORE_DIRECTORYTYPE: OID
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 3060
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_BINDDN_PWD: <password>
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
IDSTORE_READONLYUSER: IDROUser
IDSTORE_READWRITEUSER: IDRWUser
IDSTORE_SUPERUSER: weblogic_fa
IDSTORE_OAMSOFTWAREUSER: oamLDAP
IDSTORE_OAMADMINUSER: oamAdmin
IDSTORE_OIMADMINUSER: oimLDAP
IDSTORE_OIMADMINGROUP: OIMAdministrators
IDSTORE_WLSADMINUSER: weblogic_idm
IDSTORE_WLSADMINGROUP: IDM Administrators
IDSTORE_OAAMADMINUSER: oaamAdminUser
## The domain for the email - e.g. user@example.com
IDSTORE_EMAIL_DOMAIN: company.com
POLICYSTORE_SHARES_IDSTORE: true
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
## If you are using OUD as the identity store, then the additional properties are:
#IDSTORE_ADMIN_PORT: 4444
#IDSTORE_KEYSTORE_FILE: /u01/config/instances/oud1/OUD/config/admin-keystore
## The value of the IDSTORE_KEYSTORE_PASSWORD parameter is the content of the /u01/config/instances/oud1/OUD/config/admin-keystore.pin
#IDSTORE_KEYSTORE_PASSWORD: <PASSWORD>

    次の表では、prepareIDStore.all.configファイルで設定できるパラメータについて説明します。

    表2-1 prepareIDStore.all.configファイルのパラメータ

    プロパティ 説明 値の例

    IDSTORE_DIRECTORYTYPE

    アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OID、OUDおよびADです。

    OID

    IDSTORE_HOST

    アイデンティティ・ストアのホスト名を入力します。

    idstore.example.com

    IDSTORE_PORT

    アイデンティティ・ストアのポートを入力します。

    3060

    IDSTORE_BINDDN

    Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。
    • OID: cn=orcladmin
    • OUD: cn=oudadmin
    • AD: CN=Administrator,CN=Users,DC=example.com,DC=example,dc=com

    IDSTORE_BINDDN_PWD

    Oracle Internet Directory、Oracle Unified DirectoryまたはMicrosoft Active Directory内の管理ユーザーのパスワードを入力します。

    password

    IDSTORE_USERNAMEATTRIBUTE

    アイデンティティ・ストア内のユーザーを設定および検索するために使用するusername属性を入力します。

    cn

    IDSTORE_LOGINATTRIBUTE

    ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性を入力します。

    uid

    IDSTORE_SEARCHBASE

    ユーザーおよびグループが保存されるディレクトリの場所を入力します。

    dc=example,dc=com

    IDSTORE_USERSEARCHBASE

    Access Managerがユーザーを検索するコンテナを入力します。

    cn=users,dc=example,dc=com

    IDSTORE_GROUPSEARCHBASE

    グループが保存されているディレクトリの場所を入力します。

    cn=groups,dc=example,dc=com

    IDSTORE_SYSTEMIDBASE

    システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは限られており、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。

    たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。

    cn=systemids,dc=example,dc=com

    IDSTORE_READONLYUSER

    アイデンティティ・ストアに対する読取り専用権限を持つユーザーを入力します。

    IDROUser

    IDSTORE_READWRITEUSER

    アイデンティティ・ストアに対する読取り/書込み権限を持つユーザーを入力します。

    IDRWUser

    IDSTORE_SUPERUSER

    アイデンティティ・ストア内のOracle Fusion Applicationsスーパーユーザーを入力します。

    weblogic_fa

    IDSTORE_OAMSOFTWAREUSER

    OAMがLDAPとの対話に使用するLDAPユーザーを入力します。

    oamLDAP

    IDSTORE_OAMADMINUSER

    Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。

    oamAdmin

    IDSTORE_OAMADMINUSER_PWD

    Oracle Access Managementコンソールへのアクセスに使用するユーザーのパスワードを入力します。

    ノート:

    パスワード・フィールドはすべてオプションです。ファイルに入力しない場合(セキュリティの問題)、スクリプトの実行時に入力を求められます。

    password

    IDSTORE_OIMADMINUSER

    アイデンティティ・ストアに接続するために、Oracle Identity Governanceにより使用されるユーザーを入力します。

    oimLDAP

    IDSTORE_OIMADMINUSER_PWD

    Oracle Identity Governanceがアイデンティティ・ストアに接続するために使用するユーザーのパスワードを入力します。

    password

    IDSTORE_OIMADMINGROUP

    Oracle Identity Governance管理ユーザーを保持するために作成するグループを入力します。

    OIMAdministrators

    IDSTORE_WLSADMINUSER

    Oracle WebLogic Serverのアイデンティティ・ストア管理者を入力します。
    weblogic_idm

    ノート:

    これは、管理者ユーザーのデフォルトのユーザー名です。

    IDSTORE_WLSADMINUSER_PWD

    Oracle WebLogic Serverのアイデンティティ・ストア管理者のパスワードを入力します。

    password

    IDSTORE_WLSADMINGROUP

    Oracle WebLogic Serverのアイデンティティ・ストア管理者グループを入力します。

    wlsadmingroup

    IDSTORE_OAAMADMINUSER

    Oracle Access Management管理者として作成するユーザーを入力します。このユーザーはツールによって作成されます。

    oaamAdminUser

    IDSTORE_XELSYSADMINUSER_PWD

    Oracle Identity Governanceのシステム管理者のパスワードを入力します。Oracle Identity Governanceの値と一致する必要があります

    password

    POLICYSTORE_SHARES_IDSTORE

    ポリシー・ストアとアイデンティティ・ストアが同じディレクトリ内にある場合はtrueに設定します。そうでない場合は、falseに設定します。

    TRUE

    IDSTORE_ADMIN_PORT

    Oracle Unified Directoryインスタンスの管理ポートを入力します。Oracle Unified Directoryを使用していない場合、このパラメータを無視できます。

    4444

    IDSTORE_KEYSTORE_FILE

    Oracle Unified Directoryキーストア・ファイルの場所を入力します。これは、Oracle Unified Directory管理ポートを使用したOracle Unified Directoryとの通信を有効にするために使用されます。これはadmin-keystoreと呼ばれ、OUD_ORACLE_INSTANCE/OUD/configにあります

    Oracle Unified Directoryを使用していない場合、このパラメータを無視できます。このファイルは、OIGOAMIntegration.shコマンドが実行されているホストと同じホストに配置する必要があります。コマンドは、このファイルを使用してOUDで自己認証します。

    /u01/config/instances/oud1/OUD/config/admin-keystore

    IDSTORE_KEYSTORE_PASSWORD

    Oracle Unified Directoryキーストアの暗号化されたパスワードを入力します。この値は、ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pinにあります。Oracle Unified Directoryを使用していない場合、このパラメータを無視できます。

    password
  2. OIG-OAM統合のための自動スクリプトを実行して、ユーザー、ロールおよびobスキーマ拡張をディレクトリにシードします。 
    OIGOAMIntegration.sh -prepareIDStore

    ノート:

    Active Directoryの場合、OIGOAMIntegration.sh -prepareIDStoreコマンドの実行後にACLを手動で付与します。Active DirectoryのためのACLの手動による付与を参照してください

    IDStoreの準備のための自動スクリプトが正常に実行されました。

アイデンティティ・ストアおよびポリシー・ストアの構成の確認

LDAPディレクトリで次を実行します:

  • prepareIDStore.all.configファイルで指定したユーザーおよびグループの検索ベースが、LDAPディレクトリに存在します。

  • ユーザー・コンテナ、グループ・コンテナおよびシステムIDコンテナが、LDAPディレクトリに存在します。

  • systemidsコンテナに、ユーザーIDROuserIDRWUseroamSoftwareUserおよびoimadminuserが含まれます。これらは、prepareIDStore.all.configで提供されるサンプル値です。独自の値を指定して使用できます。

  • ユーザー・コンテナに、ユーザーoamadminuserweblogic_faweblogic_idmおよびxelsysadmが含まれます。これらは、prepareIDStore.all.configで提供されるサンプル値です。独自の値を指定して使用できます。

  • グループ・コンテナに、OAMadministreatrsOIMadminsitratorsBIReportAdminnistratorSession REST APIと、グループwlsadmingrouporclFAGroupおよびOAAMが含まれます。

  • OUDの変更ログへのアクセス権が付与されます:

    Oracle Unified Directoryを使用している場合は、次のステップを単一ノードのLDAPホストで実行するか、マルチノードのLDAPインスタンスのLDAPHOST1およびLDAPHOST2で実行して、changelogに対するアクセス権を付与する必要があります:

    1. OUDへの接続に使用するパスワードが含まれるpasswordfileというファイルを作成します。 

      OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop --remove \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)"  \
				--hostname OUD Host \
				--port OUD Admin Port \
				--trustAll \
				--bindDN cn=oudadmin \
                           --bindPasswordFile passwordfile \
				--no-prompt

      たとえば:

      OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop --remove \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \
				--hostname LDAPHOST1.example.com \
			       --port 4444 \
				--trustAll \
				--bindDN cn=oudadmin \
				--bindPasswordFile passwordfile \
				--no-prompt

    2. 新しいactを追加します:

      OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop --add \

global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
				--hostname OUD Host \
				--port OUD Admin Port \
				--trustAll \
				--bindDN cn=oudadmin \
				--bindPasswordFile passwordfile \
				--no-prompt

      たとえば:

      OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop --add \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External changelog access\"; allow (read,search,compare,add,write,delete,export) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=example,dc=com\";)" \
                      --hostname LDAPHOST1.example.com \
			  --port 4444 \
			  --trustAll \
			  --bindDN cn=oudadmin \
			  --bindPasswordFile passwordfile \
			  --no-prompt

  • 追加のOUD権限が作成されます:

    すべてのOUDインスタンスのOUD_ORACLE_INSTANCE/OUD/config/config.ldifを次の変更で更新します:

    1. 次の行に注目してください:

      ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.840.113556.1.4.319 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)

      前述のaciからオブジェクト識別子1.2.840.113556.1.4.319を削除し、次に示すaciに追加します。 

      ds-cfg-global-aci: (targetcontrol="2.16.840.1.113730.3.4.2 || 2.16.840.1.113730.3.4.17 || 2.16.840.1.113730.3.4.19 || 1.3.6.1.4.1.4203.1.10.2 || 1.3.6.1.4.1.42.2.27.8.5.1 || 2.16.840.1.113730.3.4.16 || 2.16.840.1.113894.1.8.31 || 1.2.840.113556.1.4.319") (version 3.0; acl "Anonymous control access"; allow(read) userdn="ldap:///anyone";)

    2. オブジェクト識別子1.3.6.1.4.1.26027.1.5.4および1.3.6.1.4.1.26027.2.3.4を、次に示すaciに追加します。 

      ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9 || 1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)

    3. 両方のLDAPHOSTでOracle Unified Directoryサーバーを再起動します。

  • 追加のOUD索引が作成されます:

    OUDアイデンティティ・ストアを準備するためにOIGOAMIntegration.sh -prepareIDStoreスクリプトを実行すると、実行対象のインスタンスにデータの索引が作成されます。これらの索引は、LDAPHOST2の各OUDインスタンスに手動で作成する必要があります。これを行うには、LDAPHOST2で次のコマンドを実行します。 

    OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j passwordfile -c \-f IAD_ORACLE_HOME/idm/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif
    OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j  passwordfile -c \-f IAD_ORACLE_HOME/idm/idmtools/templates/oud/oud_indexes_extn.ldif

Active DirectoryのACLの手動付与

Active Directoryの場合、OIGOAMIntegration.sh -prepareIDStoreを実行した後に、ADサーバー・マシンで次の手順を実行します。

  1. ACLを追加します。

    dsacls /G cn=orclFAUserReadPrivilegeGroup,<IDSTORE_GROUPSEARCHBASE>:GR
dsacls /G cn=orclFAUserWritePrivilegeGroup,<IDSTORE_GROUPSEARCHBASE>:GW
dsacls /G cn=orclFAGroupReadPrivilegeGroup,<IDSTORE_GROUPSEARCHBASE>:GR
dsacls /G cn=orclFAGroupWritePrivilegeGroup,<IDSTORE_GROUPSEARCHBASE>:GW
dsacls /G cn=orclFAOAMUserWritePrivilegeGroup,<IDSTORE_GROUPSEARCHBASE>:GW

  2. ユーザー・パスワードを再設定します。

    dsmod user "CN=weblogic_idm,<IDSTORE_USERSEARCHBASE>" -pwd <password> -mustchpwd no
dsmod user "CN=xelsysadm,<IDSTORE_USERSEARCHBASE>" -pwd <password> -mustchpwd no
dsmod user "CN=oamadmin,<IDSTORE_USERSEARCHBASE>" -pwd <password> -mustchpwd no
dsmod user "CN=OblixAnonymous,DC=interop,DC=example,DC=com" -pwd <password> -mustchpwd no
dsmod user "CN=oamLDAP,<IDSTORE_SYSTEMIDBASE>" -pwd <password> -mustchpwd no
dsmod user "CN=oimLDAP,<IDSTORE_SYSTEMIDBASE>" -pwd <password> -mustchpwd no

  3. ユーザー・アカウントを有効にします。

    dsmod user "CN=weblogic_idm,<IDSTORE_USERSEARCHBASE>" -disabled no
dsmod user "CN=xelsysadm,<IDSTORE_USERSEARCHBASE>" -disabled no
dsmod user "CN=oamadmin,<IDSTORE_USERSEARCHBASE>" -disabled no
dsmod user "CN=OblixAnonymous,DC=interop,DC=example,DC=com" -disabled no
dsmod user "CN=oamLDAP,<IDSTORE_SYSTEMIDBASE>" -disabled no
dsmod user "CN=oimLDAP,<IDSTORE_SYSTEMIDBASE>" -disabled no

2.2 自動スクリプトを使用した不足オブジェクト・クラスの追加

OIGOAMIntegration.sh自動スクリプトを使用して、不足しているオブジェクト・クラスを追加します。

Oracle Access Managerで使用するためにLDAPディレクトリを準備すると、Oracle Access Managerで使用される複数の特定のオブジェクト・クラスが含まれるようにディレクトリ・スキーマを拡張します。

オブジェクト・クラスが追加されると、ディレクトリ内に作成された新しいユーザーには、これらのオブジェクト・クラスが自動的に割り当てられます。オブジェクト・クラスをディレクトリに追加したら、Oracle Access Managerで正常に管理できるように、既存のユーザーにもこれらの新しいオブジェクト・クラスがあることを確認することが重要です。

OIGOAMIntegration.shスクリプトは、LDAPディレクトリの各ユーザーをチェックして、推奨オブジェクト・クラスがすべてあることを確認します。

不足しているオブジェクト・クラスを追加するには:

ノート:

追加できるのは、Oracle Internet DirectoryまたはOracle Unified Directoryの既存のユーザーに対するオブジェクト・クラスのみです。この機能は、Active Directoryではサポートされていません。

  1. (ORACLE_HOME/idm/server/ssointg/configにある) OIG Oracleホーム・ディレクトリのaddMissingObjectClasses.configファイルをテキスト・エディタで開き、パラメータを更新します。

    addMissingObjectClasses.configファイルの例

    IDSTORE_DIRECTORYTYPE: OID
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 3060
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_BINDDN_PWD: <password>
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com

    次の表では、addMissingObjectClasses.configファイルで設定できるパラメータについて説明します。

    表2-2 addMissingObjectClasses.configファイルのパラメータ

    パラメータ 説明 値の例

    IDSTORE_DIRECTORYTYPE

    アイデンティティ・ストアのディレクトリ・タイプを入力します。有効なオプションは、OIDまたはOUDです。

    OUD

    IDSTORE_HOST

    アイデンティティ・ストアのホスト名を入力します。

    idstore.example.com

    IDSTORE_PORT

    アイデンティティ・ストアのポートを入力します。

    389

    IDSTORE_BINDDN

    Oracle Internet DirectoryまたはOracle Unified Directory内の管理ユーザー。
    • OID: cn=orcladmin
    • OUD: cn=oudadmin

    IDSTORE_BINDDN_PWD

    Oracle Internet DirectoryまたはOracle Unified Directory内の管理ユーザーのパスワードを入力します。

    password

    IDSTORE_USERSEARCHBASE

    ユーザーが保存されているディレクトリの場所を入力します。

    cn=users,dc=example,dc=com

  2. (ORACLE_HOME/idm/server/ssointg/binにある) OIG Oracleホーム・ディレクトリのOIGOAMIntegration.shスクリプトを実行して、OAM通知を有効にします: 

    OIGOAMIntegration.sh -addMissingObjectClasses
LDAPディレクトリ内の既存のユーザーのオブジェクト・クラスを追加するための自動スクリプトが正常に実行されました。

ノート:

このステップは、LDAPディレクトリ内のユーザー数によって異なります。LDAPディレクトリ内の10000ユーザーにつき10分かかると予測されます。

LDAPにオブジェクト・クラスが存在しない場合、既存のLDAPユーザーに対して次が追加されます:

  • OIMPersonPwdPolicy
  • OblixOrgPerson
  • OblixPersonPwdPolicy
  • obpasswordexpirydate

2.3 自動スクリプトを使用したOAMの構成

OIGOAMIntegration.sh自動スクリプトを使用してOracle Access Managerを構成します。

  1. (ORACLE_HOME/idm/server/ssointg/configにある) OIG Oracleホーム・ディレクトリのconfigOAM.configファイルをテキスト・エディタで開き、パラメータを更新します。

    configOAM.configファイルの例

    WLSHOST: oamadminhost.example.com
WLSPORT: 7001
WLSADMIN: weblogic
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 3060
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_OAMSOFTWAREUSER: oamLDAP
IDSTORE_OAMADMINUSER: oamAdmin
PRIMARY_OAM_SERVERS: oamhost1.example.com:5575,oamhost2.example.com:5575
WEBGATE_TYPE: ohsWebgate11g
ACCESS_GATE_ID: Webgate_IDM
OAM11G_IDM_DOMAIN_OHS_HOST: sso.example.com
OAM11G_IDM_DOMAIN_OHS_PORT: 443
OAM11G_IDM_DOMAIN_OHS_PROTOCOL: https
OAM11G_OAM_SERVER_TRANSFER_MODE: Open
OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp
OAM11G_WG_DENY_ON_NOT_PROTECTED: false
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid 
OAM_TRANSFER_MODE: Open
COOKIE_DOMAIN: .example.com
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
OAM11G_SSO_ONLY_FLAG: true
OAM11G_OIM_INTEGRATION_REQ: true
OAM11G_IMPERSONATION_FLAG: true
OAM11G_SERVER_LBR_HOST: sso.example.com
OAM11G_SERVER_LBR_PORT: 443
OAM11G_SERVER_LBR_PROTOCOL: https
COOKIE_EXPIRY_INTERVAL: 120
OAM11G_OIM_OHS_URL: https://sso.example.com:443/
SPLIT_DOMAIN: true
OAM11G_IDSTORE_NAME: OAMIDSTORE
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com

    次の表では、configOAM.configファイルで設定できるパラメータについて説明します。

    表2-3 configOAM.configファイルのパラメータ

    プロパティ 説明 値の例

    ACCESS_GATE_ID

    名前。これを使用してWebGateプロファイルが作成されます。そのアーティファクトは<DOMAIN_HOME>/Output/<ACCESS_GATE_ID>にあります

    これはOAM構成時に指定した値です。

    Webgate_IDM

    COOKIE_DOMAIN

    Webゲートが機能するドメインを入力します。

    .example.com

    COOKIE_EXPIRY_INTERVAL

    Cookieの有効期限を入力します。

    120

    IDSTORE_BINDDN

    Oracle Internet Directory、Oracle Unified Directory、またはActive Directory内の管理ユーザー。
    • OID: cn=orcladmin
    • OUD: cn=oudadmin
    • Active Directory: CN=Administrator,CN=Users,DC=example.com,DC=example,dc=com

    IDSTORE_GROUPSEARCHBASE

    グループが保存されているディレクトリの場所を入力します。

    cn=groups,dc=example,dc=com

    IDSTORE_HOST

    アイデンティティ・ストアのホスト名を入力します。

    idstore.example.com

    IDSTORE_LOGINATTRIBUTE

    ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性を入力します。

    uid

    IDSTORE_OAMADMINUSER

    Oracle Access Managementコンソールへのアクセスに使用するユーザーを入力します。

    oamAdmin

    IDSTORE_OAMSOFTWAREUSER

    LDAPサーバーとの対話に使用するユーザーを入力します。

    oamLDAP

    IDSTORE_PORT

    アイデンティティ・ストアのポートを入力します。

    389

    IDSTORE_SEARCHBASE

    ユーザーおよびグループが保存されるディレクトリの場所を入力します。

    dc=example,dc=com

    IDSTORE_SYSTEMIDBASE

    システム処理ユーザーが保存されるディレクトリ内のコンテナの場所を入力します。システム処理ユーザーは限られており、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーとは区別しておきます。

    たとえば、Oracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Governanceリコンシリエーション・ユーザーがあげられます。

    cn=systemids,dc=example,dc=com

    IDSTORE_USERNAMEATTRIBUTE

    アイデンティティ・ストア内のユーザーを設定および検索するために使用するusername属性を入力します。

    cn

    IDSTORE_USERSEARCHBASE

    Access Managerがユーザーを検索するコンテナを入力します。

    cn=users,dc=example,dc=com

    OAM_TRANSFER_MODE

    アクセス・サーバーが機能するセキュリティ・モードを入力します。サポートされている値は、OPENおよびSIMPLEです。SIMPLEを使用することをお薦めします。

    ノート:

    セキュリティ・モードをOpenから変更した場合は、新しいモードを使用するように既存のエージェントを更新してください。

    SIMPLE

    OAM11G_IDM_DOMAIN_LOGOUT_URLS

    各種のログアウトURLに設定されます。

    /console/jsp/common/logout.jsp、/em/targetauth/emaslogout.jsp

    OAM11G_IDM_DOMAIN_OHS_HOST

    高可用性構成でOracle HTTP Server (OHS)の前面にあるロード・バランサを入力します。

    login.example.com

    OAM11G_IDM_DOMAIN_OHS_PORT

    ロード・バランサのポートを入力します。

    443
    OAM11G_IDM_DOMAIN_OHS_PROTOCOL ロード・バランサにリクエストを送るときに使用するプロトコルを入力します。

    https

    OAM11G_IDSTORE_NAME

    OAMで構成されたアイデンティティ・ストアの名前を入力します。これはOAMのデフォルト/システムIDストアとして設定されます。

    OAMIDSTORE

    OAM11G_IDSTORE_ROLE_SECURITY_ADMIN

    アイデンティティ・ストア内のロール・セキュリティを管理するためのアカウント。

    OAMAdministrators

    OAM11G_IMPERSONATION_FLAG

    OAMサーバーの偽装機能を有効または無効にします。

    true

    OAM11G_OAM_SERVER_TRANSFER_MODE

    アクセス・サーバーが機能するセキュリティ・モードを入力します。サポートされている値はOPENおよびSIMPLEです

    Open

    OAM11G_OIM_INTEGRATION_REQ

    Oracle Identity Governanceと統合するのか、スタンドアロン・モードでAccess Managerを構成するのかを指定します。統合する場合、trueに設定します。

    この値をfalseに設定し、後でOracle Identity Governanceを追加した場合は、値をtrueに設定してこのスクリプトを再実行できます。

    このパラメータは、Oracle Identity Governanceの「ユーザーの登録」、「リクエストのトラッキング」および「パスワードを忘れた場合」リンクをOracle Access Managerのログイン・ページに含めるかどうかを制御します。

    true

    OAM11G_OIM_OHS_URL

    OIMサーバーの前面に配置するロード・バランサまたはOracle HTTP Server (OHS)のURLを入力します。

    https://oig.example.com:443/

    OAM11G_SERVER_LBR_HOST

    サイトの前面にあるOAMサーバーを入力します。

    login.example.com

    OAM11G_SERVER_LBR_PORT

    ロード・バランサがリスニングするポート(HTTP_SSL_PORT)を入力します。

    443

    OAM11G_SERVER_LBR_PROTOCOL

    ロード・バランサにリクエストを送るときに使用するプロトコルを入力します。

    https

    OAM11G_SERVER_LOGIN_ATTRIBUTE

    uidに設定すると、ユーザーがログインするときにLDAPのuid属性に対してユーザー名の検証が行われます。

    uid

    OAM11G_SSO_ONLY_FLAG

    認証専用モードまたは標準モード(認証と認可をサポート)としてAccess Manager 11gを構成するために設定します。デフォルト値はtrueです。

    値がfalseに設定されている場合、すべてのユーザーについて、保護されたリソースへのアクセスが拒否されます。

    true

    OAM11G_WG_DENY_ON_NOT_PROTECTED

    10g Webゲートの保護されたフラグで拒否に設定されます。有効な値は、trueおよびfalseです。ベスト・プラクティスとして、値をtrueに設定します。

    true

    PRIMARY_OAM_SERVERS

    Access Managerサーバーとそこで使用されるプロキシ・ポートのカンマ区切りリストを入力します。

    oamhost1.example.com:5575、oamhost2.example.com:5575

    SPLIT_DOMAIN

    Oracle Access Managementコンソールの二重認証を抑制する場合、trueに設定する必要があります。

    true

    WEBGATE_TYPE

    作成するWebゲート・エージェントのタイプを入力します。10gは12cではサポートされなくなりました。

    ohsWebgate12c

    WLSADMIN

    OAMドメイン内のWebLogic Server管理コンソールへのログインに使用するWebLogic Server管理ユーザー・アカウントを入力します。

    weblogic

    WLSHOST

    OAMドメイン内の管理サーバーのホスト名を入力します。

    oamadminhost.example.com

    WLSPORT

    OAMドメインの管理サーバーのポートを入力します。

    7001

  2. ポリシー・サーバーを停止します。「管理対象WebLogic ServerおよびAccess Managerサーバーの起動と停止」を参照してください。

  3. MW_HOME環境変数をOIG Middlewareに設定します。
  4. OIG-OAM統合のための自動スクリプトを実行してOAMを構成します。
    OIGOAMIntegration.sh -configOAM
    Oracle Access Managerを構成するための自動スクリプトが正常に実行されました。
  5. OAMドメイン・サーバーを再起動します。「管理対象WebLogic ServerおよびAccess Managerサーバーの起動と停止」を参照してください。

OAM構成の確認

次のステップを実行して、OAM構成を確認できます:

  1. シングル・サインオンが実装されている場合は、LDAPグループのIDM AdministratorsにWebLogic管理権限を提供することで、これらのアカウントの1つを使用してログインして、WebLogic管理アクションを実行できます。LDAPグループOAMAdministratorsおよびWLSAdministratorsをWebLogic管理者に追加するには:

    1. WebLogic管理サーバー・コンソールにデフォルト管理ユーザーとしてログインします。たとえば、weblogicなどです。
    2. コンソールの左ペインで「セキュリティ・レルム」をクリックします。
    3. 「セキュリティ・レルムのサマリー」ページの表「レルム」で「myrealm」をクリックします。
    4. 「myrealm」の「設定」ページで、「ロールとポリシー」タブをクリックします。
    5. 「レルム・ロール」ページの表「ロール」の「グローバル・ロール」エントリを開きます。
    6. 「ロール」リンクをクリックして、「グローバル・ロール」ページに移動します。
    7. 「グローバル・ロール」ページで、「管理」ロールをクリックして「グローバル・ロールの編集」ページに移動します。
    8. 「グローバル・ロールの編集」ページで、「ロール条件」表の「条件の追加」ボタンをクリックします。
    9. 「述部の選択」ページで、条件のドロップダウン・リストから「グループ」を選択し、「次へ」をクリックします。
    10. 「引数の編集」ページのグループ引数フィールドにOAMAdministratorsを指定し、「追加」をクリックします。
    11. グループWLSAdministratorsについても同様に繰り返します。
    12. 「終了」をクリックして、「グローバル・ロールの編集」ページに戻ります。
    13. 「ロール条件」表には、グループOAMAdministratorsまたはWLSAdministratorsがロール条件として表示されます。
    14. 「保存」をクリックして、OAMAdministratorsおよびIDM Administratorsグループへの管理ロールの追加を終了します。
  2. configOAM.configプロパティ・ファイルで指定したWebGate名を検索します:

    1. OAM管理ユーザーとしてOracle Access Managementコンソールにログインします:

      http://oam_adminserver_host:oam_adminserver_port/oamconsole

    2. 「アプリケーション・セキュリティ」起動パッドから、「エージェント」をクリックします。

      「SSOエージェントの検索」ページが表示されます。

    3. 「検索」フィールドにWebGate名を入力します。

      ノート:

      これは、configOAM.configプロパティ・ファイルでACCESS_GATE_IDに指定した値です。

    4. 「検索結果」表にエージェントが表示されます。

  3. configOAM.configファイルで指定したアイデンティティ・ストアの名前が、デフォルト・ストアとして自動的に選択されていることを確認します:

    • 「構成」起動パッドをクリックし、「ユーザー・アイデンティティ・ストア」を選択します。

    • 「デフォルトとシステム・ストア」セクションで、「デフォルト・ストア」および「システム・ストア」として、configOAM.configファイルで指定したアイデンティティ・ストアの名前(OAMIDSTOREなど)が選択されていることを確認します。

  4. クラスタ化されたデプロイメントの場合は、次のステップを実行します:

    1. OAMコンソールの「アプリケーション・セキュリティ」画面で、「エージェント」パッドをクリックします。

    2. 「Webゲート」タブが選択されていることを確認します。

    3. 「検索」をクリックします。

    4. たとえば、「IAMSuiteAgent」などのエージェントをクリックします。

    5. レスポンス・ファイルの作成時に「Access Manager構成」画面の「OAM転送モード」に定義した値と同じセキュリティ値を設定します。

      OIGOAMIntegrationツールを使用してOAMセキュリティ・モデルを変更した場合は、この変更を反映するためにすべての既存のWebゲートで使用されるセキュリティ・モデルを変更します。

      「適用」をクリックします。

    6. 「プライマリ・サーバー」リストで、「+」,をクリックし、不足しているAccess Managerサーバーを追加します。

    7. まだパスワードを割り当てていない場合は、「アクセス・クライアント・パスワード」フィールドにパスワードを入力し、「適用」をクリックします。

      レスポンス・ファイルの作成時に使用した共通のIAMパスワード(COMMON_IDM_PASSWORD)、またはAccess Manager固有のパスワード(設定した場合)などのアクセス・クライアント・パスワードを割り当てます。

    8. 最大接続数を20に設定します。これはプライマリ・サーバーの合計の最大接続数で、10 x WLS_OAM1接続プラス10 x WLS_OAM2接続となります。

    9. 「ユーザー定義パラメータ」または「ログアウト・リダイレクトURL」に次のものが表示される場合: 

      logoutRedirectUrl=http://OAMHOST1.example.com:14100/oam/server/logout

      これを次のように変更します:

      logoutRedirectUrl=https://login.example.com/oam/server/logout

    10. 「適用」をクリックします。

    11. Webゲートごとに、ステップaからjまでを繰り返します。

    12. セキュリティ設定が、使用しているAccess Managerサーバーの設定と一致していることを確認します。