17 Oracle Identity Governanceの構成
Oracle Identity Governance (OIG)の構成は、OIGとOracle SOA Suiteの統合、Web層の構成、OAMとOIGの統合、OIGワークフロー通知の構成などの一連のステップで構成されます。最後に、構成をバックアップします。
この章の内容は次のとおりです。
- Oracle Identity Governanceの構成時に使用する変数
Oracle Identity Governanceの構成時に、この項に示すディレクトリ変数を参照します。 - Oracle Identity Governance管理対象サーバーの起動と検証
ドメインの拡張、管理サーバーの起動、およびドメインの他のホストへの伝播を完了したので、新しく構成したOracle Identity Governance管理対象サーバーを起動できます。 - ブートストラップ・レポートの分析
Oracle Identity Governanceサーバーを起動すると、$IGD_ASERVER_HOME/servers/WLS_OIM1/logs/BootStrapReportPreStart.html
でブートストラップ・レポートが生成されます。 - Fusion Middleware Controlアプリケーションの検証
ブートストラップ・プロセスが実行されて検証された後は、Fusion Middleware Controlアプリケーションへのアクセスが可能である必要があります。 - ドメイン用のWeb層の構成
Web層のWebサーバー・インスタンスを構成して、拡張したドメイン内の適切なクラスタにパブリックURLと内部URLの両方に対するリクエストをインスタンスでルーティングできるようにします。 - 通知サービスの管理
イベントとは、Oracle Identity Managerで発生する操作で、ユーザー作成、リクエスト開始またはユーザーが作成した任意のカスタム・イベントなどが含まれます。これらのイベントは、ビジネス操作の一部として、またはエラー生成を介して生成されます。イベント定義は、イベントを記述するメタデータです。 - メッセージング・ドライバの構成
各メッセージング・ドライバを構成する必要があります。OAMのパスワードを忘れた場合の機能を有効にする場合は、このサービスを構成する必要があります。 - データベース接続プール・サイズの増加
Oracle Identity GovernanceをLDAPディレクトリとのインタラクションを許可するコネクタと組み合せて使用する場合には、デフォルトのデータベース接続プール・サイズを増加する必要があります。 - Oracle Identity Governanceに対する正しいマルチキャスト・アドレスの強制使用
- Oracle Identity GovernanceとLDAPとの統合
- Oracle Identity GovernanceとOracle Access Managerとの統合
Oracle Identity GovernanceとOracle Access Managerを統合するには、いくつかのタスクを完了する必要があります。これらのタスクには、WLS認証プロバイダの作成、OIMSignatureAuthenticatorの削除とOUDAuthenticatorの再作成、新しい管理グループへの管理ロールの追加などが含まれます。 - リコンシリエーション・ジョブの実行
Oracle Identity Governanceドメインを実行して、LDAPユーザー名をOracle Identity Governanceデータベースにインポートします。 - SOA統合URLの更新
- 電子メールで送信するOIMワークフロー通知の構成
OIMでは、SOAワークフローと統合されたヒューマン・ワークフローが使用されます。SOAサーバーで電子メールを構成し、通知を受信してユーザーのメールボックスに配信します。ユーザーは、通知を承認または拒否できます。 - Administratorsグループへのwsm-pmロールの追加
新しいLDAPベースの認可プロバイダを構成して管理サーバーを再起動したら、エンタープライズ・デプロイメント管理LDAPグループ(OIMAdministrators)をメンバーとしてwsm-pm
アプリケーション・ストライプのpolicy.Updater
ロールに追加します。 - Oracleキーストア・サービスへのOracle Access Managerロード・バランサ証明書の追加
セルフ・サービス・アプリケーション内部のOracle Identity GovernanceからBusiness Intelligenceレポートへのリンクでは、ロード・バランサによって使用されるSSL証明書をOracleキーストア・サービスの信頼できる証明書に追加する必要があります。 - IAMGovernanceDomainの再起動
- チャレンジ質問の設定
OAMとOIMを統合した場合、環境の準備が整ったら、システム・ユーザーのチャレンジ質問を設定する必要があります。 - Oracle Identity ManagerとOracle Business Intelligence Publisherとの統合
Oracle Identity Managerでは、Oracle Identiy and Access Managementに関する情報を提供するために、いくつかの事前作成されたレポートを使用できます。
上位トピック: 「エンタープライズ・ドメインの構成」
Oracle Identity Governanceの構成時に使用する変数
Oracle Identity Governanceの構成時に、この項に示すディレクトリ変数を参照します。
いくつかのディレクトリ変数の値は、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されています。
-
IGD_ORACLE_HOME
-
IGD_ASERVER_HOME
-
IGD_MSERVER_HOME
-
APPLICATION_HOME
-
DEPLOY_PLAN_HOME
-
JAVA_HOME
-
DOMAIN_HOME
-
IDSTORE_DIRECTORYTYPE
-
IDSTORE_SEARCHBASE
-
IDSTORE_USERSEARCHBASE
-
IDSTORE_GROUPSEARCHBASE
-
IDSTORE_OIMADMINUSERDN
-
IDSTORE_OIMADMINUSER_PWD
-
IDSTORE_EMAIL_DOMAIN
-
OIM_HOST
-
OIM_PORT
-
WLS_OIM_SYSADMIN_USER
-
WLS_OIM_SYSADMIN_USER_PWD
-
OIM_WLS_HOST
-
OIM_WLS_PORT
-
OIM_WLS_ADMIN
-
OIM_SERVER_NAME
-
WL_HOME
-
OAM_HOST
-
OAM_PORT
-
ACCESS_SERVER_HOST
-
ACCESS_SERVER_PORT
-
ACCESS_GATE_ID
-
SSO_ACCESS_GATE_PASSWORD
-
COOKIE_DOMAIN
-
OAM_TRANSFER_MODE
-
OIM_LOGINATTRIBUTE
-
OAM11G_WLS_ADMIN_HOST
-
OAM11G_WLS_ADMIN_PORT
-
OIM_WLSHOST
-
OIM_WLSPORT
-
OIM_WLSADMIN
-
OIM_WLSADMIN_PWD
-
OIM_SERVER_NAME
-
IDSTORE_OAMADMINUSER
-
IDSTORE_OAMADMINUSER_PWD
-
OAM11G_WLS_ADMIN_USER
-
OAM11G_WLS_ADMIN_PASSWD
-
IDSTORE_HOST
-
IDSTORE_PORT
-
IDSTORE_BINDDN
-
IDSTORE_BINDPWD
さらに、「エンタープライズ・デプロイメント用の必須IPアドレスの予約」で定義されている次の仮想IP (VIP)アドレスを参照することになります。
-
ADMINVHN
この章のアクションは、次のホスト・コンピュータで実行します。
-
OIMHOST1
-
OIMHOST2
-
WEBHOST1
-
WEBHOST2
Oracle Identity Governance管理対象サーバーの起動と検証
ドメインの拡張、管理サーバーの起動、およびドメインの他のホストへの伝播を完了したので、新しく構成したOracle Identity Governance管理対象サーバーを起動できます。
このプロセスには、次の各項で説明する3つのタスクが含まれます。
- Oracle Identity Governance管理対象サーバーの起動とドメインのブートストラップ
前のリリースとは異なり、Oracle Identity Governance構成ウィザードを実行してOIMアーティファクトをドメインにデプロイする必要はありません。ただし、ドメインのブートストラップは必要になります。前のリリースのOIM構成ウィザードで実行していた多くのアクションをこれで自動的に実行できます。 - WLS_SOA1およびWLS_OIM1管理対象サーバーの起動
- アイデンティティ・コンソールへのログインによる管理対象サーバーの検証
- WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーの起動と検証
WLS_SOA1およびWLS_OIM1管理対象サーバーの構成および起動が正常に終了したことを検証した後で、WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーを起動および検証できます。
Oracle Identity Governance管理対象サーバーの起動とドメインのブートストラップ
前のリリースとは異なり、Oracle Identity Governance構成ウィザードを実行してOIMアーティファクトをドメインにデプロイする必要はありません。ただし、ドメインのブートストラップは必要になります。前のリリースのOIM構成ウィザードで実行していた多くのアクションをこれで自動的に実行できます。
IGD_ASERVER_HOME
ディレクトリから実行する必要があります。ただし、IGD_ASERVER_HOME
の外側で動作するノード・マネージャは、igdadmin
アドレスを使用して通信します。管理対象サーバーを一時的に再構成してこのアドレスを使用しなくても、ブートストラップ・プロセス向けにノード・マネージャの外側で管理対象サーバーを起動できます。プロセスが完了したら、管理対象サーバーをローカル・ストレージに移動すると、構成されたノード・マネージャで起動および停止できるようになります。
IGD_ASERVER_HOME
/bin
で次のコマンドを実行する必要があります。
-
Oracle SOA Suite管理対象サーバー起動のためのコマンド:
./startManagedWeblogic.sh WLS_SOA1
-
Oracle Identity Governance管理対象サーバー起動のためのコマンド:
./startManagedWeblogic.sh WLS_OIM1
これらのコマンドを実行すると、WebLogicユーザー名とパスワードの入力を要求されます。これらのコマンドは対話的に実行され、管理対象サーバーが起動しても、コントロールがコマンドラインに返されません。これは1回かぎりの操作であるため問題にはなりません。
ノート:
この時点ではノード・マネージャを使用してこれらのアクションを実行できません。アイデンティティ・コンソールへのログインによる管理対象サーバーの検証
Webブラウザで次の場所を指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。
http://OIMHOST1.example.com:14000/identity/
http://OIMHOST11.example.com:14000/sysadmin/
xelsysadmユーザー名とパスワードを使用して、ログインします。
SOA構成を検証します。
http://OIMHOST1.example.com:8001/soa-infra
WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーの起動および検証
WLS_SOA1およびWLS_OIM1管理対象サーバーの正常な構成と起動を検証したら、WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーを起動して検証できます。
WLS_SOA2管理対象サーバーを起動および検証するには、WLS_SOA2管理対象サーバーに対して「WLS_SOA1管理対象サーバーの起動と検証」の手順を使用します。WLS_OIM2およびWLS_WSM2管理対象サーバーもこの手順を使用して起動および検証します。
検証URLとしてWebブラウザに次のURLを入力し、エンタープライズ・デプロイメント管理者ユーザーを使用してログインします。
http://OIMHOST2:14000/identity
http://OIMHOST2:14001/identity
ブートストラップ・レポートの分析
Oracle Identity Governanceサーバーを起動すると、$IGD_ASERVER_HOME/servers/WLS_OIM1/logs/BootStrapReportPreStart.html
でブートストラップ・レポートが生成されます。
BootStrapReportPreStart.html
は、デプロイしたトポロジ、システム・レベルの詳細、使用するURLなど接続の詳細、接続チェック、タスク実行詳細に関する情報を含むhtmlファイルです。このレポートを使用して、システムが起動しているかどうかを確認し、問題のトラブルシューティングおよび構成後タスクを実行できます。
Oracle Identity Governanceサーバーを起動するたびに、ブートストラップ・レポートが更新されます。
ブートストラップ・レポートのセクション
-
トポロジの詳細
この項には、デプロイメントに関する情報が含まれます。クラスタ設定が構成されているかどうか、SSLが有効かどうか、Oracle Identity Manager環境が11gから12cにアップグレードされているかどうかを示します。
-
システム・レベルの詳細
この項には、JDKバージョン、データベース・バージョン、JAVA_HOME、DOMAIN_HOME、OIM_HOME、MIDDLEWARE_HOMEに関する情報が含まれます。
-
接続の詳細
この項には、管理URL、OIMフロント・エンドURL、SOA URL、RMI URLなど接続詳細に関する情報が含まれます。
管理サーバー、データベース、SOAサーバーが起動されているかどうかも示します。
-
実行の詳細
この項では、様々なタスクとそのステータスを示します。
Fusion Middleware Controlアプリケーションの検証
ブートストラップ・プロセスが実行されて検証された後は、Fusion Middleware Controlアプリケーションへのアクセスが可能である必要があります。
http://IGDADMINVHN.example.com:7101/em
ドメイン用のWeb層の構成
Web層のWebサーバー・インスタンスを構成して、拡張したドメイン内の適切なクラスタにパブリックURLと内部URLの両方に対するリクエストをインスタンスでルーティングできるようにします。
考えられるスケールアウト・シナリオの準備での追加のステップは、クロス・コンポーネント・ワイヤリング情報の更新を参照してください。
- Oracle Identity GovernanceとOracle SOA Suiteの統合
Enterprise Managerコンソールを使用して、Oracle Identity GovernanceをOracle SOA Suiteと統合します。 - ロード・バランサを使用したOracle SOA Suite URLの検証
Oracle Identity GovernanceとOracle SOA Suiteの統合
Enterprise Managerコンソールを使用して、Oracle Identity GovernanceをOracle SOA Suiteと統合します。
親トピック: ドメイン向けWeb階層の構成
ロード・バランサを使用したOracle SOA Suite URLの検証
Oracle HTTP Server仮想ホストの構成を検証し、ハードウェア・ロード・バランサがOracle HTTP Serverインスタンスを経由してアプリケーション層にリクエストをルーティングできることを確認するには:
親トピック: ドメイン向けWeb階層の構成
通知サービスの管理
イベントとは、Oracle Identity Managerで発生する操作で、ユーザー作成、リクエスト開始またはユーザーが作成した任意のカスタム・イベントなどが含まれます。これらのイベントは、ビジネス操作の一部として、またはエラー生成を介して生成されます。イベント定義は、イベントを記述するメタデータです。
イベントのメタデータを定義するには、機能コンポーネントでサポートされるすべてのイベント・タイプを識別する必要があります。たとえば、スケジューラ・コンポーネントの一部として、スケジュール済ジョブの実行の失敗とスケジューラの停止に対してメタデータが定義されます。ジョブが失敗するかスケジューラが停止するたびに、関連するイベントがトリガーされ、イベントに関連付けられた通知が送信されます。
イベントで使用可能なデータを使用して、通知のコンテンツが作成されます。イベントに定義された様々なパラメータにより、システムは適切な通知テンプレートを選択できます。イベントに定義されている各種のパラメータは、テンプレート設計時に使用可能にするイベント変数をシステムが決定する際に役立ちます。
通知テンプレートは、通知を送信するために使用されます。これらのテンプレートには、より詳細な通知を提供するために、使用可能なデータを参照する変数が含まれています。通知プロバイダを介して通知が送信されます。このようなチャネルの例には、電子メール、インスタント・メッセージ(IM)、ショート・メッセージ・サービス(SMS)、ボイスなどがあります。これらの通知プロバイダを使用するために、Oracle Identity ManagerではOracle User Messaging Service (UMS)が使用されます。
バックエンドでは、通知エンジンが通知の生成と通知プロバイダを利用した通知の送信を担当します。
通知へのSMTPの使用
通知のためにSMTPを使用するには、SMTP電子メール通知プロバイダ・プロパティを構成して、CSFキーを追加します。
SMTP電子メール通知プロバイダのプロパティの構成
EmailNotificationProviderMBean MBeanを使用してSMTP電子メール通知プロバイダのプロパティを構成するには:
親トピック: 通知サービスの管理
データベース接続プール・サイズの増加
Oracle Identity GovernanceをLDAPディレクトリとのインタラクションを許可するコネクタと組み合せて使用する場合には、デフォルトのデータベース接続プール・サイズを増加する必要があります。
Oracle Identity Governanceに対する正しいマルチキャスト・アドレスの強制使用
Oracle Identity Governanceでは、特定の機能に対してマルチキャストを使用します。デフォルトでは、管理対象サーバーは、プライマリ・ホスト名に割り当てられたマルチキャスト・アドレスを使用して通信します。マルチキャストで別のネットワーク(たとえば、内部ネットワーク)を使用する場合は、次の追加ステップを実行する必要があります。
Oracle Identity GovernanceとLDAPとの統合
Oracle Identity Governanceの統合には次のトピックがあります。
コネクタ・バンドルのインストール
-
アーティファクトリーからコネクタ・バンドルをダウンロードします: コネクタ・バンドルのダウンロード。
-
OIDまたはOUDの場合、Oracle Internet Directoryに対応するコネクタ・バンドルをダウンロードします。
ノート:
すべてのディレクトリ・タイプにおいて、OIG-OAM統合に必要なコネクタ・バージョンは12.2.1.3.0です。 -
-
$ORACLE_HOME/idm/server/ConnectorDefaultDirectory
の下の望ましいコネクタ・パスにコネクタ・バンドルを解凍します。たとえば:
$IGD_ORACLE_HOME/idm/server/ConnectorDefaultDirectory
LDAP用のOracleコネクタの構成
LDAP用のOracleコネクタを使用すると、認証されたLDAPディレクトリにユーザーおよびパスワードを格納できます。コネクタは構成してから使用します。コネクタは次のステップで構成します。
-
ディレクトリを
IGD_ORACLE_HOME/idm/server/ssointg/config
に変更します。 -
次に示すファイル
configureLDAPConnector.config
を編集します:##-----------------------------------------------------------## ## [configureLDAPConnector] IDSTORE_DIRECTORYTYPE=OUD IDSTORE_HOST=idstore.example.com IDSTORE_PORT=1389 IDSTORE_BINDDN=cn=oudadmin IDSTORE_OIMADMINUSERDN=cn=oimLDAP,cn=systemids,dc=example,dc=com IDSTORE_SEARCHBASE=dc=example,dc=com IDSTORE_USERSEARCHBASE=cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE=cn=Groups,dc=example,dc=com IDSTORE_USERSEARCHBASE_DESCRIPTION=Default user container IDSTORE_GROUPSEARCHBASE_DESCRIPTION=Default group container IDSTORE_EMAIL_DOMAIN=example.com OIM_HOST=OIMHOST1.example.com OIM_PORT=14000 WLS_OIM_SYSADMIN_USER=xelsysadm OIM_WLSHOST=IGDADMINVHN.example.com OIM_WLSPORT=7101 OIM_WLSADMIN=weblogic OIM_SERVER_NAME=oim_server1 CONNECTOR_MEDIA_PATH=IGD_ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0
ノート:
必要に応じて、ファイルに直接パスワードを指定することもできます。パスワードを指定しない場合、実行時にパスワードの入力を求められます。
パラメータは次のとおりです:
- OIM_WLSADMIN_PWD
- IDSTORE_BINDDN_PWD
- WLS_OIM_SYSADMIN_USER_PWD
- ADMIN_USER_PWD
- IDSTORE_OIMADMINUSER_PWD
終了後、ファイルを保存します。
この表は、LDAPConnector構成のためのプロパティのリストです。
表17-4 LDAPConnectorプロパティの構成
属性 説明 IDSTORE_HOST
LDAPディレクトリ向けのロード・バランサ名。たとえば: idstore.example.com
IDSTORE_PORT
ロード・バランサのLDAPポート。たとえば、OUDの場合は1389です。
IDSTORE_DIRECTORYTYPE
OUDを使用しているLDAPディレクトリのタイプ。
IDSTORE_BINDDN
ディレクトリに接続して管理アクションを実行するために使用する資格証明。たとえば、OUDの場合はoudadminです。
IDSTORE_SEARCHBASE
ディレクトリのルート・ディレクトリ・ツリー。
IDSTORE_USERSEARCHBASE
ユーザーが格納されているディレクトリの場所。
IDSTORE_GROUPSEARCHBASE
グループが格納されているディレクトリの場所。
IDSTORE_OIMADMINUSERDN
OIMでLDAPへの接続に使用するユーザー名。
IDSTORE_EMAIL_DOMAIN
電子メールのドメイン。
OIM_HOST
OIM管理対象WLS_OIM1サーバーがリスニング対象とするホスト名。たとえば、OIMHOST1です。
OIM_PORT
WLS_OIM1管理対象サーバーのポート番号。
WLS_OIM_SYSADMIN_USER
OIM管理者アカウント。たとえば、xelsysadmです。
OIM_WLSHOST
IAMGovernanceDomain管理サーバーのリスニング・アドレス。たとえば、IGDADMINVHNです
OIM_WLSPORT
管理サーバーのポート。たとえば、7101です。
OIM_WLSADMIN
IAMGovernanceドメイン管理ユーザー名。
たとえば、weblogicです。
CONNECTOR_MEDIA_PATH
これは、コネクタをインストールした場所です。 OIM_SERVER_NAME
実行中のOIM管理対象サーバー名。たとえば、wls_oim1です。
ノート:
構成ファイルの作成でこれらのパラメータに指定したものと同じ値を使用してください。 -
IGD_ORACLE_HOME/idm/server/ssointg/config/
にあるssointg-config.properties
プロパティ・ファイルを見つけ、configureLDAPConnector値をtrueに設定します。他の値はすべてfalseに設定してください。##-----------------------------------------------------------## generateIndividualConfigFiles=false prepareIDStore=false configOAM=false addMissingObjectClasses=false populateOHSRules=false configureWLSAuthnProviders=false configureLDAPConnector=true ## configureLDAPConnector takes care of updating container rules ## Additional option is provided in case rules need to be updated again updateContainerRules=false configureSSOIntegration=false enableOAMSessionDeletion=false
-
スクリプトOIGOAMIntegrationを実行してコネクタを構成します。
-
たとえば:
cd IGD_ORACLE_HOME/idm/server/ssointg/bin export JAVA_HOME=JAVA_HOME export ORACLE_HOME=IGD_ORACLE_HOME export WL_HOME=IGD_ORACLE_HOME/wlserver chmod 750 _OIGOAMIntegration.sh OIGOAMIntegration.sh ./OIGOAMIntegration.sh -configureLDAPConnector
不足しているオブジェクト・クラスの追加
ノート:
このプロセスを正常に実行するには、ldapsearch
バイナリがユーザーのPATHに存在し、screen
パッケージがホストにインストールされている必要があります。
-
ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します
-
ファイル
addMissingObjectClasses.config
を編集し、次に示すプロパティを更新します。IDSTORE_DIRECTORYTYPE: OUD IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389 IDSTORE_BINDDN: cn=oudadmin IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
終了後、ファイルを保存します。
表17-5
addMissingObjectClasses.config
のプロパティ属性 説明 IDSTORE_HOST
LDAPディレクトリのロード・バランサ名。たとえば、idstore.example.comです
IDSTORE_PORT
ロード・バランサのLDAPポート。たとえば、OUDの場合は1389です。
IDSTORE_DIRECTORYTYPE
(OUD)を使用しているLDAPディレクトリのタイプ。
IDSTORE_BINDDN
ディレクトリに接続して管理アクションを実行するために使用する資格証明。たとえば、OUDの場合はoudadminです。
IDSTORE_USERSEARCHBASE
ユーザー情報が格納されているディレクトリの場所。
-
スクリプトOIGOAMIntegrationを実行します。
-
たとえば:
cd IGD_ORACLE_HOME/idm/server/ssointg/bin export JAVA_HOME=JAVA_HOME export ORACLE_HOME=IGD_ORACLE_HOME export WL_HOME=IGD_ORACLE_HOME/wlserver ./OIGOAMIntegration.sh -addMissingObjectClasses
LDAPディレクトリ管理者アカウントのパスワード入力が要求されます。
ドメインの再起動
IAMAccessDomainとIAMGovernanceDomainのドメインを再起動します。
Oracle Identity GovernanceとOracle Access Managerとの統合
Oracle Identity GovernanceとOracle Access Managerを統合するには、いくつかのタスクを完了する必要があります。これらのタスクには、WLS認証プロバイダの作成、OIMSignatureAuthenticatorの削除とOUDAuthenticatorの再作成、新しい管理グループへの管理ロールの追加などが含まれます。
IAMGovernanceDomainでのSSO統合の構成
コネクタをデプロイした後のプロセスのステップは、ドメインのSSOの構成です。そのためには、次のステップを実行する必要があります。
-
ディレクトリを
IGD_ORACLE_HOME/idm/server/ssointg/config
に変更します -
ファイル
configureSSOIntegration.config
を編集し、セクションconfigureSSOIntegrationのプロパティを次に示すように更新します。##-----------------------------------------------------------## ## [configureSSOIntegration] OAM_HOST: login.example.com OAM_PORT: 443 OAM_PORT: 80 ACCESS_SERVER_HOST:OAMHOST1.example.com ACCESS_SERVER_PORT: 5575 OAM_SERVER_VERSION: 12c WEBGATE_TYPE: ohsWebgate12c COOKIE_DOMAIN: example.com OAM_TRANSFER_MODE: open OIM_LOGINATTRIBUTE: uid SSO_INTEGRATION_MODE: CQR OAM11G_WLS_ADMIN_HOST: IADADMINVHN.example.com OAM11G_WLS_ADMIN_PORT: 7001 OAM11G_WLS_ADMIN_USER: weblogic OAM11G_WLS_ADMIN_PASSWD: <PASSWORD> OAM11G_IDSTORE_NAME: OAMIDSTORE ## Required if OAM_TRANSFER_MODE is not OPEN OIM_WLSHOST:IGDADMINVHN.example.com OIM_WLSPORT: 7101 OIM_WLSADMIN: weblogic IDSTORE_OAMADMINUSER_PWD: <password> OIM_SERVER_NAME: WLS_OIM1 IDSTORE_OAMADMINUSER: oamadmin
終了後、ファイルを保存します。
説明:
表17-6 SSOIntegrationプロパティの構成
属性 説明 OAM_HOST
これは、OAMクラスタのフロントエンド・ロード・バランサのリスニング・アドレスです。
OAM_PORT
これは、OAMクラスタのフロントエンド・ロード・バランサのポートです。
ACCESS_SERVER_HOST
常にOAM_HOSTと同じです。
ACCESS_SERVER_PORT
OAM PROXY PORT
のポート番号。ACCESS_GATE_ID
「構成ファイルの作成」で作成されたWebゲート・エージェント名です。
COOKIE_DOMAIN
構成ファイルの作成で割り当てられた値。
OAM_TRANSFER_MODE
構成ファイルの作成で割り当てられた値。
OIM_LOGINATTRIBUTE
ユーザー・ログイン属性を含むLDAPフィールド(通常uidまたはcn)。
OAM11G_WLS_ADMIN_HOST
ドメイン
IAMAccessDomain
の管理サーバーのリスニング・アドレス。たとえば、IADADMINVHN
です。OAM11G_WLS_ADMIN_PORT
ドメイン
IAMAccessDomain
の管理サーバーのリスニング・ポート。たとえば、7001です。OAM11G_WLS_ADMIN_PASSWD
OAM11G_WLS_ADMIN_USERのオプションのパスワード。
OAM11G_WLS_ADMIN_USER
IAD管理サーバーの管理ユーザーです。
OIM_WLSHOST
OIM管理サーバーのリスニング・アドレス。たとえば
IGDADMINVHN.example.com
OIM_WLSPORT
OIM管理サーバーのリスニング・ポート。たとえば、7101です。
OIM_WLSADMIN
OIM管理サーバーの管理ユーザー。たとえば、weblogicです。
OIM_SERVER_NAME
これは、実行中のOIM管理対象サーバーの名前です。たとえば: WLS_OIM1。
IDSTORE_OAMADMINUSER
「構成ファイルの作成」でIDSTORE_OAMADMINUSERに割り当てた値。
IDSTORE_OAMADMINUSER_PWD
これはオプションです。これには、IDSTORE_OAMADMINUSERアカウントのパスワードが含まれています。
OAM_SERVER_VERSION
これは、統合に使用されるOAMのバージョンです。
WEBGATE_TYPE
統合に使用されるWebゲートのタイプです。
OAM11G_IDSTORE_NAME
OAMで構成されたIDStoreの名前で、デフォルト名は
OAMIDSTORE
です。 -
スクリプトOIGOAMIntegrationを実行してSSO統合を構成します。
たとえば:
cd IGD_ORACLE_HOME/idm/servers/ssointg/bin export JAVA_HOME=JAVA_HOME export ORACLE_HOME=IGD_ORACLE_HOME export WL_HOME=IGD_ORACLE_HOME/wlserver ./OIGOAMIntegration.sh -configureSSOIntegration
-
IAMAccessDomainとIAMGovernanceDomainのドメインを再起動します。
OAM通知の有効化
コネクタをデプロイ後のプロセスでのステップは、ユーザーが期限切れまたは終了した後のユーザー・セッション終了のためのOAMとの対話方法をOIMに指示することです。そのためには、次のステップを実行する必要があります。
-
ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します。
-
ファイル
enableOAMSessionDeletion.config
を編集し、セクションenableOAMNotificationsのプロパティを次に示すように更新します。##-----------------------------------------------------------## ## [enableOAMNotifications] OIM_WLSHOST: IGDADMINVHN.example.com OIM_WLSPORT: 7101 OIM_WLSADMIN: weblogic IDSTORE_DIRECTORYTYPE: OUD IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389 IDSTORE_BINDDN: cn=oudadmin IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_OAMADMINUSER: oamAdmin IDSTORE_OAMSOFTWAREUSER: oamLDAP IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com OIM_SERVER_NAME: WLS_OIM1
説明:
表17-7 enableOAMSessionDeletionのプロパティ
属性 説明 OIM_WLSHOST
これは、ドメイン
IAMGovernanceDomain
の管理サーバーのリスニング・アドレスです。たとえば、IGDADMINVHN.example.com
です。OIM_WLSPORT
これは、ドメイン
IAMGovernanceDomain
の管理サーバーのポートです。たとえば、7101です。OIM_WLSADMIN
これは、
IAMGovernanceDomain
のWebLogic管理者の名前です。たとえば、weblogicです。IDSTORE_HOST
これは、LDAPディレクトリのロード・バランサ名です。たとえば、
idstore.example.com
です。IDSTORE_PORT
これは、ロード・バランサのLDAPポートです。たとえば: 1389 (OUDの場合)。
IDSTORE_BINDDN
これは、ディレクトリに接続して管理アクションを実行するために使用する資格証明です。たとえば: oudadmin (OUDの場合)。
IDSTORE_GROUPSEARCHBASE
グループが格納されているディレクトリの場所。
IDSTORE_SYSTEMIDBASE
メイン・ユーザー・コンテナに配置する必要のないシステム・ユーザーを配置できる、ディレクトリ内のコンテナの場所。
IDSTORE_OAMADMINUSER
Access Manager管理者として作成するユーザーの名前。
IDSTORE_OAMSOFTWAREUSER
LDAPに作成され、Access Managerが実行中にLDAPサーバーに接続するために使用されるユーザー。
IDSTORE_USERSEARCHBASE
ユーザーが格納されているディレクトリの場所。
OIM_SERVER_NAME
OIMサーバーの名前。たとえば:
oim_server1
。 -
スクリプト
OIGOAMIntegration
を実行して通知を有効にします。たとえば:
cd IGD_ORACLE_HOME/idm/servers/sointg/bin export JAVA_HOME=JAVA_HOME export ORACLE_HOME=IGD_ORACLE_HOME export WL_HOME=IGD_ORACLE_HOME/wlserver ./OIGOAMIntegration.sh -enableOAMSessionDeletion
oam-config.xmlのMatchLDAPAttributeの値の更新
Oracle Access ManagerとのOracle Identity Governanceの統合を完了するには、Oracle Access Managerのoam-config.xml
ファイルの設定の1つを変更する必要があります。バージョン12cでは、このファイルはデータベースに格納され、直接編集することはできません。
oam-config.xml
ファイルの値の1つを変更する方法を示します:
ノート:
コマンド行でwhich curl
を実行し、cURLパッケージがホストに追加されていることを確認します。パッケージがインストールされていない場合、管理者はyum install curl
を実行してパッケージをインストールする必要があります。
TapEndpoint URLの更新
OAM/OIM統合を有効にするには、次のステップを実行してOAM TapEndpoint URLを更新する必要があります。
-
次のURLを使用してOracle Fusion Middleware Controlにログインします。
http://igdadmin.example.com/em
または
http://IGDADMINVHN.example.com:7101/em
管理サーバーのホストおよびポート番号は「構成の終了」画面のURLにありました(「ドメイン・ホームと管理サーバーURLの記録」)。デフォルトの管理サーバーのポート番号は7101です。
-
「WebLogicドメイン」をクリックし、「システムMBeanブラウザ」をクリックします。
検索ボックスに、SSOIntegrationMXBeanと入力して、「検索」をクリックします。mbeanが表示されます。
-
TapEndpointURLに次の値を設定します
https://login.example.com/oam/server/dap/cred_submit
-
「適用」をクリックします。
リコンシリエーション・ジョブの実行
Oracle Identity Governanceドメインを実行して、LDAPユーザー名をOracle Identity Governanceデータベースにインポートします。
リコンシリエーション・ジョブを実行するには:
- OIMシステム管理コンソールにユーザー
xelsysadm
としてログインします。 - 「システム構成」の下の「スケジューラ」をクリックします。
- 検索ボックスに
SSO*
と入力します。 - 「スケジュール済ジョブの検索」の矢印をクリックして、すべてのスケジューラを一覧表示します。
- SSOユーザー完全リコンシリエーションを選択します。
- 「即時実行」をクリックしてジョブを実行します。
- SSOグループ作成および更新完全リコンシリエーションに対して繰り返します。
- OIMシステム管理コンソールにログインして、ユーザー
weblogic_iam
が表示されることを確認します。
SOA統合URLの更新
Oracle Identity Managerは、weblogic
というユーザー名を使用して、SOA管理者としてSOAに接続します。
次のインストール後のステップを実行して、Oracle Identity ManagerがOracle WebLogic Server管理者ユーザーを使用できるようにします。これによって、Oracle Identity ManagerはSOAに接続できるようになります。
ノート:
SOAConfig Mbeanを表示するには、最低1つのOIM管理対象サーバーが稼働している必要があります。
-
IAMGovernanceDomainのEnterprise Manager Fusion Middleware Controlに
weblogic
ユーザーとしてログインします。 -
「WebLogicドメイン」をクリックし、「システムMBeanブラウザ」をクリックします。
-
「検索」を選択し、
SOAConfig
を入力して「検索」をクリックします。 -
ユーザー名が
weblogic
に設定されていることを確認します。 - SOAP URLを次のように更新します:
http://igdinternal.example.com:7777/
- SOA構成RMI URLを次のように更新します:
http://igdinternal.example.com:7777/
-
「適用」をクリックします。
電子メールで送信するOIMワークフロー通知の構成
OIMでは、SOAワークフローと統合されたヒューマン・ワークフローが使用されます。SOAサーバーで電子メールを構成し、通知を受信してユーザーのメールボックスに配信します。ユーザーは、通知を承認または拒否できます。
すべての機能を使用するには、ポータル・ワークフロー専用の送受信メール・アドレスおよびメールボックスが必要になります。『Oracle SOA SuiteおよびOracle Business Process Management Suiteの管理』のヒューマン・ワークフロー通知プロパティの構成に関する項を参照してください。
OIMワークフロー通知を構成するには:
- 管理者のアカウントを使用してFusion Middleware Controlにログインします。たとえば、
weblogic_iam
です。 - 「ターゲット・ナビゲーション」パネルを展開して、「SOA」→「soa-infra (soa_server1)」サービスに移動します。
- 「SOAインフラストラクチャ」ドロップダウンから、「SOA管理」→「ワークフロー・プロパティ」の順に選択します。
- 通知モードを「電子メール」に設定します。通知サービスに正しい電子メール・アドレスを指定します。
- 「適用」をクリックし、要求に応じて確認します。
- 変更を確認します。
- 「ターゲット・ナビゲーション」を展開して、「ユーザー・メッセージング・サービス」→「usermessagingdriver-email (soa_servern)」の順に選択します。実行中のSOA管理対象サーバーごとに、1つのドライバがあります。これらのエントリの1つのみを選択する必要があります。
- 「ユーザー・メッセージング電子メール・ドライバ」ドロップダウン・リストから、「電子メール・ドライバ・プロパティ」を選択します。
- 電子メール・ドライバが存在しない場合は、「作成」をクリックします。
- 「テスト」をクリックして変更を検証します。
- 「OK」をクリックして電子メール・ドライバ構成を保存します。
- SOAクラスタを再起動します。OIMの場合、構成または再起動は不要です。
Administratorsグループへのwsm-pmロールの追加
新しいLDAPベースの認可プロバイダを構成して管理サーバーを再起動したら、エンタープライズ・デプロイメント管理LDAPグループ(OIMAdministrators)をメンバーとしてwsm-pm
アプリケーション・ストライプのpolicy.Updater
ロールに追加します。
Oracleキーストア・サービスへのOracle Access Managerロード・バランサ証明書の追加
セルフ・サービス・アプリケーション内部のOracle Identity GovernanceからBusiness Intelligenceレポートへのリンクでは、ロード・バランサによって使用されるSSL証明書をOracleキーストア・サービスの信頼できる証明書に追加する必要があります。
チャレンジ質問の設定
OAMとOIMを統合した場合、環境の準備が整ったら、システム・ユーザーのチャレンジ質問を設定する必要があります。
チャレンジ質問を設定するには、URL: https://prov.example.com/identityを使用してアイデンティティ・セルフ・サービスにログインします。
ユーザー名を使用してログインし、プロンプトが表示されたら、チャレンジ質問を追加します。次のユーザーにこれらの質問を設定する必要があります:
xelsysadm
weblogic_iam
oamadmin
Oracle Identity ManagerとOracle Business Intelligence Publisherとの統合
Oracle Identity Managerでは、Oracle Identiy and Access Managementに関する情報を提供するために、いくつかの事前作成されたレポートを使用できます。
Oracle Identity Managerレポートは、アクセス・ポリシー・レポート、リクエストおよび承認レポート、パスワード・レポートなどの機能領域に基づいて分類されます。「操作レポート」や「履歴レポート」という名前は使用しなくなりました。これらのレポートは、Oracle Identity ManagerではなくOracle Business Intelligence Publisher (BIP)で生成されます。Oracle Identity Managerレポートには、Oracle BI Publisherに関する制約があります。
Oracle BI Publisherの高可用性エンタープライズ・デプロイメントのセットアップについては、このドキュメントでは説明していません。詳細は、『Business Intelligenceエンタープライズ・デプロイメント・ガイド』の「Business Intelligenceエンタープライズ・デプロイメント・トポロジの理解」を参照してください。
ノート:
Oracle Identity Manager用にBIを構成する際は、Business Intelligence Publisherのみを構成する必要があります。BI Publisherの構成時にBusiness Intelligence Enterprise EditionやEssbaseなど他のコンポーネントを選択した場合は、Oracle Identity Managerとの統合が機能しないことがあります。『Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』のレポートの構成に関する項を参照してください- BIレポートを実行するユーザーの作成
- BI Publisherを使用するOracle Identity Managerの構成
Oracle BI PublisherをセットアップしてOracle Identity Managerレポートを生成できます。 - BIServiceAdministratorロールのidm_reportへの割当て
- Oracle Identity GovernanceのBI資格証明の格納
- BIPでのOIMおよびBPELデータ・ソースの作成
- Oracle Identity GovernanceレポートのBIへのデプロイ
- 証明レポートの有効化
- レポートの検証
BIレポートを実行するユーザーの作成
Business Intelligenceドメインでレポートを実行するためのユーザーがすでに存在する場合、この項は無視できます。
BI Publisherドメインでレポートを実行するユーザーを作成する必要がある場合は、次のLDIF
コマンドを使用してLDAPディレクトリにユーザーを作成します。
BI Publisherを使用するOracle Identity Managerの構成
Oracle BI PublisherをセットアップしてOracle Identity Managerレポートを生成できます。
BIServiceAdministratorロールのidm_reportへの割当て
LDAPをBusiness Intelligence (BI)ドメインのアイデンティティ・ストアとして使用している場合は、BIドメインでLDAPオーセンティケータを作成しておく必要があります。LDAP内に格納されているユーザー名とグループ名を表示できます。
レポートを生成するには、Oracle Identity Manager (OIM)システム管理アカウント(idm_report
など)をBIServiceAdministrator
ロールに割り当てる必要があります。
このロールを割り当てるには:
BIPでのOIMおよびBPELデータ・ソースの作成
OIMデータソースの作成
レポートを実行するには、Oracle BIPをOIMおよびSOAデータベース・スキーマに接続する必要があります。
そのためには、次の手順でBIPデータソースを作成する必要があります。
-
URL
https://bi.example.com/xmlpserver
を使用して、BI Publisherホーム・ページにログインします -
BI Publisherのホーム・ページの上部にある「管理」リンクをクリックします。 BI Publisherの「管理」ページが表示されます。
-
「データ・ソース」で、「JDBC接続」リンクをクリックします。「Data Sources」ページが表示されています。
-
「JDBC」タブで、「データソースの追加」をクリックして、データベースへのJDBC接続を作成します。 「データソースの追加」ページが表示されます。
-
次のフィールドに値を入力します。
表17-9 OIM追加データ・ソース属性
属性 値 データ・ソース名
Oracle Identity Governance JDBC接続名を指定します。たとえば、OIM JDBCです。
ドライバ・タイプ
11gデータベースの場合はOracle 11gを選択し、12cデータベースの場合はOracle 12cを選択します
データベース・ドライバ・クラス
データベースに適したドライバ・クラス(
oracle.jdbc.OracleDriver
など)を指定します接続文字列
データベース接続の詳細を、
jdbc:oracle:thin:@HOST_NAME:PORT_NUMBER/SID
の形式で指定します。たとえば、
jdbc:oracle:thin:@igddbscan:1521/oim.example.com
ですユーザー名
Oracle Identity Governanceのデータベース・ユーザー名を指定します。たとえば、IGD_OIMです
パスワード
Oracle Identity Governanceのデータベース・ユーザーのパスワードを指定します。
-
「接続テスト」をクリックして接続を確認します。
-
「適用」をクリックして接続を確立します。
-
データベースへの接続が確立されると、成功を示す確認メッセージが表示されます。
-
「適用」をクリックします。
「JDBC」ページのJDBCデータソースのリストに、新しく定義されたOracle Identity Governance JDBC接続が表示されます。
BPELデータソースの作成
-
URL
https://bi.example.com/xmlpserver
を使用して、BI Publisherホーム・ページにログインします。 -
BI Publisherホーム・ページの「管理」リンクをクリックします。BI Publisherの「管理」ページが表示されます。
-
「データ・ソース」で、「JDBC接続」リンクをクリックします。 「Data Sources」ページが表示されています。
-
「JDBC」タブで、「データソースの追加」をクリックして、データベースへのJDBC接続を作成します。 「データソースの追加」ページが表示されます。
-
次のフィールドに値を入力します。
表17-10 JDBC追加データソース属性
属性 値 データ・ソース名
Oracle Identity Governance JDBC接続名を指定します。たとえば、BPEL JDBCです。
ドライバ・タイプ
Oracle 12c
データベース・ドライバ・クラス
データベースに適したドライバ・クラス(
oracle.jdbc.OracleDriver
など)を指定します接続文字列
データベース接続の詳細を、
jdbc:oracle:thin:@HOST_NAME:PORT_NUMBER/SID
の形式で指定します。たとえば、
jdbc:oracle:thin:@igddbscan:1521/oim.example.com
ですユーザー名
Oracle Identity Governanceのデータベース・ユーザー名を指定します。たとえば、IGD_SOAINFRAです。
パスワード
Oracle Identity Governanceのデータベース・ユーザーのパスワードを指定します。
-
「接続テスト」をクリックして接続を確認します。
-
「適用」をクリックして接続を確立します。
-
データベースへの接続が確立されると、成功を示す確認メッセージが表示されます。
-
「適用」をクリックします。
「JDBC」ページのJDBCデータソースのリストに、新しく定義されたOracle Identity Governance JDBC接続が表示されます。
Oracle Identity GovernanceレポートのBIへのデプロイ
証明レポートの有効化
- URL:
https://prov.example.com/identity
を使用してOracle Identity Self Serviceにログインします。 - 「コンプライアンス」タブをクリックします。
- 「アイデンティティの証明」ボックスをクリックします。
- 「証明構成」を選択します。 「証明構成」ページが表示されます。
- 「証明レポートの有効化」を選択します。
- 「保存」をクリックします。
ノート:
デフォルトでは、「コンプライアンス」タブは表示されません。コンプライアンス機能を有効にする場合は、最初にSysadminコンソールでOIGIsIdentityAuditorEnabled
プロパティをtrueに設定する必要があります(「構成プロパティ」セクションにあります)。
レポートの検証
サンプル・データソースに関するレポートを生成するには、そのサンプル・データ・ソースを作成する必要があります。
サンプル・レポートの作成
本番JDBCデータ・ソースに対してレポートを実行せずにレポート・データの例を表示するには、サンプル・データ・ソースに対してサンプル・レポートを生成します。サンプル・レポートを生成するには、まずサンプル・データ・ソースを作成します。
サンプル・データ・ソースに対するレポートの生成
- URL:
https://bi.example.com/xmlpserver
を使用して、Oracle BI Publisherにログインします。 - 「共有フォルダ」をクリックします。
- Oracle Identity Managerレポートをクリックします。
- 「サンプル・レポート」を選択します。
- 生成するサンプル・レポートについて「表示」をクリックします。
- サンプル・レポートの出力フォーマットを選択して「表示」をクリックします。
サンプル・レポートが生成されます。
親トピック: レポートの検証
Oracle Identity Manager JDBCデータソースに対するレポートの生成
親トピック: レポートの検証
BPELベースのJDBCデータソースに対するレポートの生成
セカンダリ・データソースを使用したレポート
次の4つのレポートには、BPELデータベースに接続してBPELデータを取得するセカンダリ・データソースがあります。
-
タスク割当て履歴
-
リクエストの詳細
-
リクエスト・サマリー
-
承認アクティビティ
これらのレポートには、BPEL JDBC (BPELベースのJDBCデータ・ソース)と呼ばれるセカンダリ・データ・ソースがあります。BPELベースのJDBCデータソースに対してレポートを生成するには:
Oracleキーストア信頼サービスへのBusiness Intelligenceロード・バランサ証明書の追加
セルフ・サービス・アプリケーション内部のOracle Identity GovernanceからBusiness Intelligenceレポートへのリンクでは、ロード・バランサによって使用されるSSL証明書をOracleキーストア・サービスの信頼できる証明書に追加する必要があります。
証明書を追加するには: