17 Oracle Identity Governanceの構成

Oracle Identity Governance (OIG)の構成は、OIGとOracle SOA Suiteの統合、Web層の構成、OAMとOIGの統合、OIGワークフロー通知の構成などの一連のステップで構成されます。最後に、構成をバックアップします。

この章の内容は次のとおりです。

Oracle Identity Governanceの構成時に使用する変数

Oracle Identity Governanceの構成時に、この項に示すディレクトリ変数を参照します。

いくつかのディレクトリ変数の値は、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されています。

  • IGD_ORACLE_HOME

  • IGD_ASERVER_HOME

  • IGD_MSERVER_HOME

  • APPLICATION_HOME

  • DEPLOY_PLAN_HOME

  • JAVA_HOME

  • DOMAIN_HOME

  • IDSTORE_DIRECTORYTYPE

  • IDSTORE_SEARCHBASE

  • IDSTORE_USERSEARCHBASE

  • IDSTORE_GROUPSEARCHBASE

  • IDSTORE_OIMADMINUSERDN

  • IDSTORE_OIMADMINUSER_PWD

  • IDSTORE_EMAIL_DOMAIN

  • OIM_HOST

  • OIM_PORT

  • WLS_OIM_SYSADMIN_USER

  • WLS_OIM_SYSADMIN_USER_PWD

  • OIM_WLS_HOST

  • OIM_WLS_PORT

  • OIM_WLS_ADMIN

  • OIM_SERVER_NAME

  • WL_HOME

  • OAM_HOST

  • OAM_PORT

  • ACCESS_SERVER_HOST

  • ACCESS_SERVER_PORT

  • ACCESS_GATE_ID

  • SSO_ACCESS_GATE_PASSWORD

  • COOKIE_DOMAIN

  • OAM_TRANSFER_MODE

  • OIM_LOGINATTRIBUTE

  • OAM11G_WLS_ADMIN_HOST

  • OAM11G_WLS_ADMIN_PORT

  • OIM_WLSHOST

  • OIM_WLSPORT

  • OIM_WLSADMIN

  • OIM_WLSADMIN_PWD

  • OIM_SERVER_NAME

  • IDSTORE_OAMADMINUSER

  • IDSTORE_OAMADMINUSER_PWD

  • OAM11G_WLS_ADMIN_USER

  • OAM11G_WLS_ADMIN_PASSWD

  • IDSTORE_HOST

  • IDSTORE_PORT

  • IDSTORE_BINDDN

  • IDSTORE_BINDPWD

さらに、「エンタープライズ・デプロイメント用の必須IPアドレスの予約」で定義されている次の仮想IP (VIP)アドレスを参照することになります。

  • ADMINVHN

この章のアクションは、次のホスト・コンピュータで実行します。

  • OIMHOST1

  • OIMHOST2

  • WEBHOST1

  • WEBHOST2

Oracle Identity Governance管理対象サーバーの起動と検証

ドメインの拡張、管理サーバーの起動、およびドメインの他のホストへの伝播を完了したので、新しく構成したOracle Identity Governance管理対象サーバーを起動できます。

このプロセスには、次の各項で説明する3つのタスクが含まれます。

Oracle Identity Governance管理対象サーバーの起動とドメインのブートストラップ

前のリリースとは異なり、Oracle Identity Governance構成ウィザードを実行してOIMアーティファクトをドメインにデプロイする必要はありません。ただし、ドメインのブートストラップは必要になります。前のリリースのOIM構成ウィザードで実行していた多くのアクションをこれで自動的に実行できます。

ドメインのブートストラップはほぼ自動的に行われ、ドメインの管理対象サーバーを次の順序で自動的に起動および停止します。
  1. Oracle SOA Suite管理対象サーバーWLS_SOA1を起動します。
  2. Oracle Identity Governance管理対象サーバーWLS_OIM1を起動します。
    ブートストラップ・プロセスでは管理対象サーバーを自動的に起動し、自動的に停止します。「失敗」ステータスがWebLogicコンソールに表示されますが、無視して構いません。
  3. Oracle SOA Suite管理対象サーバーWLS_SOA1を停止します。
  4. WLS_OIM1を停止します。
  5. WebLogic管理サーバーを停止します。
  6. WebLogic管理サーバーを起動します。
  7. Oracle SOA Suite管理対象サーバーWLS_SOA1およびWLS_SOA2を起動します。
  8. Oracle Identity Governance管理対象サーバーWLS_OIM1およびWLS_OIM2を起動します。
ブートストラップ・プロセスを正常に完了させるには、OIMサーバー起動時にIGD_ASERVER_HOMEディレクトリから実行する必要があります。ただし、IGD_ASERVER_HOMEの外側で動作するノード・マネージャは、igdadminアドレスを使用して通信します。管理対象サーバーを一時的に再構成してこのアドレスを使用しなくても、ブートストラップ・プロセス向けにノード・マネージャの外側で管理対象サーバーを起動できます。プロセスが完了したら、管理対象サーバーをローカル・ストレージに移動すると、構成されたノード・マネージャで起動および停止できるようになります。
ノード・マネージャを使用せずに管理対象サーバーを起動するには、ディレクトリIGD_ASERVER_HOME/binで次のコマンドを実行する必要があります。
  • Oracle SOA Suite管理対象サーバー起動のためのコマンド: ./startManagedWeblogic.sh WLS_SOA1

  • Oracle Identity Governance管理対象サーバー起動のためのコマンド: ./startManagedWeblogic.sh WLS_OIM1

これらのコマンドを実行すると、WebLogicユーザー名とパスワードの入力を要求されます。これらのコマンドは対話的に実行され、管理対象サーバーが起動しても、コントロールがコマンドラインに返されません。これは1回かぎりの操作であるため問題にはなりません。

ノート:

この時点ではノード・マネージャを使用してこれらのアクションを実行できません。

WLS_SOA1およびWLS_OIM1管理対象サーバーの起動

WLS_SOA1およびWLS_OIM1管理対象サーバーを起動するには:

  1. ブラウザに次のURLを入力し、Fusion Middleware Controlログイン画面を表示します。
    http://igdadmin.example.com/em
    

    ノート:

    Web層がすでに構成されている場合は、http://igdadmin.example.com/emを使用します。

  2. 管理サーバー資格証明を使用してFusion Middleware Controlにログインします。
  3. 「ターゲット・ナビゲーション」ペインで、ドメインを開き、ドメイン内の管理対象サーバーを表示します。
  4. WLS_WSM1管理対象サーバーのみを選択し、Oracle WebLogic Serverツールバーで「起動」をクリックします。
  5. 起動操作が完了したら、「ドメイン」ホーム・ページに移動し、WLS_WSM1管理対象サーバーが稼働中であることを確認します。
  6. 管理対象サーバーを順番に起動します。1つが起動したことを確認してから、次を起動します。サーバーWLS_SOA1およびWLS_OIM1に対して手順を繰り返します。

アイデンティティ・コンソールへのログインによる管理対象サーバーの検証

Webブラウザで次の場所を指定してOracle Identity Managerコンソールを起動することによって、Oracle Identity Managerサーバー・インスタンスを検証します。

http://OIMHOST1.example.com:14000/identity/ 
http://OIMHOST11.example.com:14000/sysadmin/

xelsysadmユーザー名とパスワードを使用して、ログインします。

SOA構成を検証します。

http://OIMHOST1.example.com:8001/soa-infra

WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーの起動および検証

WLS_SOA1およびWLS_OIM1管理対象サーバーの正常な構成と起動を検証したら、WLS_SOA2、WLS_OIM2およびWLS_WSM2管理対象サーバーを起動して検証できます。

WLS_SOA2管理対象サーバーを起動および検証するには、WLS_SOA2管理対象サーバーに対して「WLS_SOA1管理対象サーバーの起動と検証」の手順を使用します。WLS_OIM2およびWLS_WSM2管理対象サーバーもこの手順を使用して起動および検証します。

検証URLとしてWebブラウザに次のURLを入力し、エンタープライズ・デプロイメント管理者ユーザーを使用してログインします。

静的クラスタの場合:
http://OIMHOST2:14000/identity
動的クラスタの場合:
http://OIMHOST2:14001/identity

ブートストラップ・レポートの分析

Oracle Identity Governanceサーバーを起動すると、$IGD_ASERVER_HOME/servers/WLS_OIM1/logs/BootStrapReportPreStart.htmlでブートストラップ・レポートが生成されます。

ブートストラップ・レポートBootStrapReportPreStart.htmlは、デプロイしたトポロジ、システム・レベルの詳細、使用するURLなど接続の詳細、接続チェック、タスク実行詳細に関する情報を含むhtmlファイルです。このレポートを使用して、システムが起動しているかどうかを確認し、問題のトラブルシューティングおよび構成後タスクを実行できます。

Oracle Identity Governanceサーバーを起動するたびに、ブートストラップ・レポートが更新されます。

ブートストラップ・レポートのセクション

  • トポロジの詳細

    この項には、デプロイメントに関する情報が含まれます。クラスタ設定が構成されているかどうか、SSLが有効かどうか、Oracle Identity Manager環境が11gから12cにアップグレードされているかどうかを示します。

  • システム・レベルの詳細

    この項には、JDKバージョン、データベース・バージョン、JAVA_HOME、DOMAIN_HOME、OIM_HOME、MIDDLEWARE_HOMEに関する情報が含まれます。

  • 接続の詳細

    この項には、管理URL、OIMフロント・エンドURL、SOA URL、RMI URLなど接続詳細に関する情報が含まれます。

    管理サーバー、データベース、SOAサーバーが起動されているかどうかも示します。

  • 実行の詳細

    この項では、様々なタスクとそのステータスを示します。

Fusion Middleware Controlアプリケーションの検証

ブートストラップ・プロセスが実行されて検証された後は、Fusion Middleware Controlアプリケーションへのアクセスが可能である必要があります。

Fusion Middleware Controlアプリケーションに移動するには、次のURLを入力し、Oracle WebLogic Server管理者の資格証明を使用してログインします:
http://IGDADMINVHN.example.com:7101/em

ドメイン用のWeb層の構成

Web層のWebサーバー・インスタンスを構成して、拡張したドメイン内の適切なクラスタにパブリックURLと内部URLの両方に対するリクエストをインスタンスでルーティングできるようにします。

考えられるスケールアウト・シナリオの準備での追加のステップは、クロス・コンポーネント・ワイヤリング情報の更新を参照してください。

Oracle Identity GovernanceとOracle SOA Suiteの統合

Enterprise Managerコンソールを使用して、Oracle Identity GovernanceをOracle SOA Suiteと統合します。

Oracle Identity GovernanceとOracle SOA Suiteを統合するには:
  1. 次のURLを使用してOracle Fusion Middleware Controlにログインします。
    http://igdadmin.example.com/em

    または

    http://IGDADMINVHN.example.com:7101/em

    管理サーバーのホストおよびポート番号は「構成の終了」画面のURLにありました(「ドメイン・ホームと管理サーバーURLの記録」)。デフォルトの管理サーバーのポート番号は7101です。

    ログイン資格証明は「管理者アカウントの構成」の「管理者アカウント」画面で指定されました。

  2. 「weblogic_domain」,をクリックし、「システムMBeanブラウザ」をクリックします。
  3. 検索ボックスに、OIMSOAIntegrationMBeanと入力して、「検索」をクリックします。mbeanが表示されます。

    ノート:

    Oracle Identity Governanceがまだ起動中(立ち上げ中)または起動したばかり(RUNNING MODE)の場合、Enterprise Managerに、OIMで定義されたMbeanは表示されません。サーバーが起動するまで2分間待ってから、Enterprise Managerの「システムMBeanブラウザ」でMbeanの検索を試みてください。

  4. MBeanの「操作」タブに移動して、integrateWithSOAServerを選択します。
  5. 次の情報を入力します。
    • Weblogic管理者ユーザー名: WebLogicドメイン管理者アカウントの名前を入力します。たとえば、weblogicです。
    • WebLogic管理者パスワード: 前述のアカウントのパスワードを入力します。
    • OIMフロント・エンドURL: 内部コールバックに対して使用するロード・バランサ仮想ホストに対してこれを設定します。たとえば:

      http://igdinternal.example.com:7777/

    • OIM外部フロント・エンドURL: Oracle Identity Governanceに対して使用するメイン・ロード・バランサ仮想ホストにこのURLを設定します。たとえば:

      https://prov.example.com:443/

    • SOA SOAP URL: 内部コールバックに対して使用するロード・バランサ仮想ホストにこのURLを設定します。たとえば:

      http://igdinternal.example.com:7777/

    • SOA RMI URL:このURLを、内部コールバックに使用されるロード・バランサ仮想ホストに設定します。たとえば:

      http://igdinternal.example.com:7777/

    • UMS WebサービスURL: 内部コールバックに対して使用するロード・バランサ仮想ホストにこのURLを設定します。たとえば:

      http://igdinternal.example.com:7777/ucs/messaging/webservice

  6. 「起動」をクリックします。

ロード・バランサを使用したOracle SOA Suite URLの検証

Oracle HTTP Server仮想ホストの構成を検証し、ハードウェア・ロード・バランサがOracle HTTP Serverインスタンスを経由してアプリケーション層にリクエストをルーティングできることを確認するには:

  1. 管理コンソールでサーバーの状態がRunningとして報告されていることを確認します。

    サーバーのステータスが「起動しています」または「再開中です」である場合は、「起動済み」になるまで待ちます。「管理」「失敗」などの別のステータスが表示される場合は、サーバーの出力ログ・ファイルを調べ、エラーがないか確認します。

  2. 次のURLにアクセスできることを確認します。

    ノート:

    この段階では個々のページへのログインを試行する必要はありません。ロード・バランサおよびWebサーバーを介してページにアクセスできることを確認します。
    • http://igdinternal.example.com:7777/soa-infra

    • http://igdinternal.example.com:7777/integration/worklistapp

    • http://igdinternal.example.com:7777/soa/composer

通知サービスの管理

イベントとは、Oracle Identity Managerで発生する操作で、ユーザー作成、リクエスト開始またはユーザーが作成した任意のカスタム・イベントなどが含まれます。これらのイベントは、ビジネス操作の一部として、またはエラー生成を介して生成されます。イベント定義は、イベントを記述するメタデータです。

イベントのメタデータを定義するには、機能コンポーネントでサポートされるすべてのイベント・タイプを識別する必要があります。たとえば、スケジューラ・コンポーネントの一部として、スケジュール済ジョブの実行の失敗とスケジューラの停止に対してメタデータが定義されます。ジョブが失敗するかスケジューラが停止するたびに、関連するイベントがトリガーされ、イベントに関連付けられた通知が送信されます。

イベントで使用可能なデータを使用して、通知のコンテンツが作成されます。イベントに定義された様々なパラメータにより、システムは適切な通知テンプレートを選択できます。イベントに定義されている各種のパラメータは、テンプレート設計時に使用可能にするイベント変数をシステムが決定する際に役立ちます。

通知テンプレートは、通知を送信するために使用されます。これらのテンプレートには、より詳細な通知を提供するために、使用可能なデータを参照する変数が含まれています。通知プロバイダを介して通知が送信されます。このようなチャネルの例には、電子メール、インスタント・メッセージ(IM)、ショート・メッセージ・サービス(SMS)、ボイスなどがあります。これらの通知プロバイダを使用するために、Oracle Identity ManagerではOracle User Messaging Service (UMS)が使用されます。

バックエンドでは、通知エンジンが通知の生成と通知プロバイダを利用した通知の送信を担当します。

通知へのSMTPの使用

通知のためにSMTPを使用するには、SMTP電子メール通知プロバイダ・プロパティを構成して、CSFキーを追加します。

SMTP電子メール通知プロバイダのプロパティの構成

EmailNotificationProviderMBean MBeanを使用してSMTP電子メール通知プロバイダのプロパティを構成するには:

  1. 次のURLを使用してOracle Fusion Middleware Controlにログインします。
    http://igdadmin.example.com/em

    または

    http://igdadmin.example.com:7101/em

    管理サーバーのホストおよびポート番号は「構成の終了」画面のURLにありました(「ドメイン・ホームと管理サーバーURLの記録」)。デフォルトの管理サーバーのポート番号は7001です。

    ログイン資格証明は「管理者アカウントの構成」の「管理者アカウント」画面で指定されました。

  2. 「weblogic_domain」,をクリックし、「システムMBeanブラウザ」をクリックします。
  3. 検索ボックスに、EmailNotificationProviderMBeanと入力して、「検索」をクリックします。mbeanが表示されます。

    ノート:

    Oracle Identity Governanceがまだ起動中(立ち上げ中)または起動したばかり(RUNNING MODE)の場合、Enterprise Managerに、OIMで定義されたMbeanは表示されません。サーバーが起動するまで2分間待ってから、Enterprise Managerの「システムMBeanブラウザ」でMbeanの検索を試みてください。
  4. 特に電子メール・サーバーに関しては正しい情報を入力するようにします。

    表17-1 SMTP電子メール通知プロバイダのプロパティ

    属性

    CSFKey

    CSF資格証明の名前を設定します。任意の名前を指定でき、CSFキーの追加時に使用されます。たとえば; mailUser

    Enabled

    trueに設定します。

    MailServerName

    電子メール・サーバーのホスト名を設定します。

    WSUrl

    http://igdinternal.example.com/ucs/messaging/webservice

  5. 「適用」をクリックして変更を保存します。

CSFキーの追加

CSFキーを追加するには:

  1. Oracle Enterprise Managerにログインします。
  2. WebLogicドメインをクリックし、「セキュリティ」→「資格証明」を選択します。
  3. oracle.wsm.securityを展開し、「キーの作成」をクリックします。
  4. 次の情報を入力します。

    表17-2 CSFキーのプロパティ

    属性

    キー名

    資格証明キーの値を入力します。これは「通知向けのSMTPの使用」で定義されたものと同じ値(たとえば、mailUser)である必要があります。

    ユーザー名

    電子メール・サーバーの認証に使用するユーザーの名前を入力します。

    パスワード/パスワードの確認

    電子メール・サーバーの認証に使用するユーザーのパスワードを入力します。

    説明

    作成するキーの説明を指定します。たとえば、メール・サーバーの資格証明

  5. 「OK」をクリックします。

メッセージング・ドライバの構成

各メッセージング・ドライバを構成する必要があります。OAMのパスワードを忘れた場合の機能を有効にする場合は、このサービスを構成する必要があります。

電子メール・ドライバの構成

ドライバを構成して電子メールを送信するには、次のステップを実行する必要があります。

  1. Oracle Fusion Middleware Controlにログインします。
  2. ドメイン名の隣の「ターゲット・ナビゲーション」アイコンをクリックします。
  3. 「ユーザー・メッセージング・サービス」の下のusermessagingserver (WLS_SOA1)をクリックします。すべてのドライバのリストが表示されます。
  4. 「ユーザー・メッセージング電子メール・ドライバ」の隣の「ドライバの構成」をクリックします。
  5. 構成が存在しない場合は、「作成」をクリックします。構成が存在する場合は、「編集」をクリックします。
  6. 必要な詳細情報を指定して属性を更新します。

    表17-3 電子メール・ドライバ属性の構成

    属性

    名前

    MyemailServer

    送信者アドレス

    電子メールの送信時に送信者として使用する電子メール・アドレスを、EMAIL:myuser@example.comの形式で入力します

    Capability

    電子メールを送信するか、それとも受信するかを選択します。

    次の電子メール・プロパティに組織固有の値を設定します。詳細は電子メール管理者にご確認ください。次の詳細は送信の場合にのみ必要になります。電子メール受信の詳細は、ドキュメントを参照してください。

    • 送信メール・サーバー。

    • 送信メール・サーバー・ポート

    • 送信電子メール・サーバー・セキュリティ

    • 送信で使用するユーザー名とパスワード(電子メール・サーバーから要求がある場合)。

  7. 「テスト」をクリックして、情報を検証します。
  8. 「OK」をクリックして、情報を保存します。

データベース接続プール・サイズの増加

Oracle Identity GovernanceをLDAPディレクトリとのインタラクションを許可するコネクタと組み合せて使用する場合には、デフォルトのデータベース接続プール・サイズを増加する必要があります。

これを行うには、次のステップを実行します:
  1. IAMGovernanceDomainのWebLogic Server管理コンソールにログインします。
  2. 「ロックして編集」をクリックします。
  3. 「サービス」をクリックして、次に「データソース」をクリックします。
  4. データソースmds-oimをクリックします。
  5. 「接続プール」タブに移動します。
  6. 次のプロパティを指定した値に変更します。
    • 初期容量: 50
    • 最大容量: 150
    • 最小容量: 50
    • 非アクティブ接続タイムアウトの値が30になっていなければ、30に設定します

    ノート:

    非アクティブ接続タイムアウトは「拡張」セクションにあります。
  7. 「保存」をクリックします。
  8. 「変更のアクティブ化」をクリックします。
  9. 次のメッセージが表示されます: 「すべての変更がアクティブ化されました。」再起動は不要です。

Oracle Identity Governanceに対する正しいマルチキャスト・アドレスの強制使用

Oracle Identity Governanceでは、特定の機能に対してマルチキャストを使用します。デフォルトでは、管理対象サーバーは、プライマリ・ホスト名に割り当てられたマルチキャスト・アドレスを使用して通信します。マルチキャストで別のネットワーク(たとえば、内部ネットワーク)を使用する場合は、次の追加ステップを実行する必要があります。

  1. 次のURLを使用してWebLogic管理コンソールにログインします。

    http://IGDADMIN.example.com/console

  2. 「ドメイン構造」で、「環境」をクリックして、「サーバー」を開きます。「サーバーのサマリー」ページが表示されます。
  3. 「ロックして編集」をクリックします。
  4. サーバーのリストで、OIM管理対象サーバー名(たとえばWLS_OIM1)をクリックします。「WLS_OIM1の設定」が表示されます。
  5. 「サーバーの起動」タブに移動します。
  6. 引数フィールドに次の行を追加します。

    -Dmulticast.bind.address=OIMHOST1

  7. 「保存」をクリックします。
  8. 管理対象サーバーWLS_OIM2についても同様に繰り返します。その際は、引数フィールドに次の行を追加していることを確認します。

    -Dmulticast.bind.address=OIMHOST2

  9. 「変更のアクティブ化」をクリックして、管理対象サーバーWLS_OIM1およびWLS_OIM2を再起動します。

Oracle Identity GovernanceとLDAPとの統合

Oracle Identity Governanceの統合には次のトピックがあります。

コネクタ・バンドルのインストール

  1. アーティファクトリーからコネクタ・バンドルをダウンロードします: コネクタ・バンドルのダウンロード

    • OIDまたはOUDの場合、Oracle Internet Directoryに対応するコネクタ・バンドルをダウンロードします。

    ノート:

    すべてのディレクトリ・タイプにおいて、OIG-OAM統合に必要なコネクタ・バージョンは12.2.1.3.0です。
  2. $ORACLE_HOME/idm/server/ConnectorDefaultDirectoryの下の望ましいコネクタ・パスにコネクタ・バンドルを解凍します。

    たとえば:

    $IGD_ORACLE_HOME/idm/server/ConnectorDefaultDirectory

LDAP用のOracleコネクタの構成

LDAP用のOracleコネクタを使用すると、認証されたLDAPディレクトリにユーザーおよびパスワードを格納できます。コネクタは構成してから使用します。コネクタは次のステップで構成します。

  1. ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します。

  2. 次に示すファイルconfigureLDAPConnector.configを編集します:

    ##-----------------------------------------------------------##
    ## [configureLDAPConnector]
    IDSTORE_DIRECTORYTYPE=OUD
    IDSTORE_HOST=idstore.example.com
    IDSTORE_PORT=1389
    IDSTORE_BINDDN=cn=oudadmin
    IDSTORE_OIMADMINUSERDN=cn=oimLDAP,cn=systemids,dc=example,dc=com
    IDSTORE_SEARCHBASE=dc=example,dc=com
    IDSTORE_USERSEARCHBASE=cn=Users,dc=example,dc=com
    IDSTORE_GROUPSEARCHBASE=cn=Groups,dc=example,dc=com
    IDSTORE_USERSEARCHBASE_DESCRIPTION=Default user container
    IDSTORE_GROUPSEARCHBASE_DESCRIPTION=Default group container
    IDSTORE_EMAIL_DOMAIN=example.com
    OIM_HOST=OIMHOST1.example.com
    OIM_PORT=14000
    WLS_OIM_SYSADMIN_USER=xelsysadm
    OIM_WLSHOST=IGDADMINVHN.example.com
    OIM_WLSPORT=7101
    OIM_WLSADMIN=weblogic
    OIM_SERVER_NAME=oim_server1
    CONNECTOR_MEDIA_PATH=IGD_ORACLE_HOME/idm/server/ConnectorDefaultDirectory/OID-12.2.1.3.0

    ノート:

    必要に応じて、ファイルに直接パスワードを指定することもできます。パスワードを指定しない場合、実行時にパスワードの入力を求められます。

    パラメータは次のとおりです:

    • OIM_WLSADMIN_PWD
    • IDSTORE_BINDDN_PWD
    • WLS_OIM_SYSADMIN_USER_PWD
    • ADMIN_USER_PWD
    • IDSTORE_OIMADMINUSER_PWD

    終了後、ファイルを保存します。

    この表は、LDAPConnector構成のためのプロパティのリストです。

    表17-4 LDAPConnectorプロパティの構成

    属性 説明

    IDSTORE_HOST

    LDAPディレクトリ向けのロード・バランサ名。たとえば: idstore.example.com

    IDSTORE_PORT

    ロード・バランサのLDAPポート。たとえば、OUDの場合は1389です。

    IDSTORE_DIRECTORYTYPE

    OUDを使用しているLDAPディレクトリのタイプ。

    IDSTORE_BINDDN

    ディレクトリに接続して管理アクションを実行するために使用する資格証明。たとえば、OUDの場合はoudadminです。

    IDSTORE_SEARCHBASE

    ディレクトリのルート・ディレクトリ・ツリー。

    IDSTORE_USERSEARCHBASE

    ユーザーが格納されているディレクトリの場所。

    IDSTORE_GROUPSEARCHBASE

    グループが格納されているディレクトリの場所。

    IDSTORE_OIMADMINUSERDN

    OIMでLDAPへの接続に使用するユーザー名。

    IDSTORE_EMAIL_DOMAIN

    電子メールのドメイン。

    OIM_HOST

    OIM管理対象WLS_OIM1サーバーがリスニング対象とするホスト名。たとえば、OIMHOST1です。

    OIM_PORT

    WLS_OIM1管理対象サーバーのポート番号。

    WLS_OIM_SYSADMIN_USER

    OIM管理者アカウント。たとえば、xelsysadmです。

    OIM_WLSHOST

    IAMGovernanceDomain管理サーバーのリスニング・アドレス。たとえば、IGDADMINVHNです

    OIM_WLSPORT

    管理サーバーのポート。たとえば、7101です。

    OIM_WLSADMIN

    IAMGovernanceドメイン管理ユーザー名。

    たとえば、weblogicです。

    CONNECTOR_MEDIA_PATH

    これは、コネクタをインストールした場所です。

    OIM_SERVER_NAME

    実行中のOIM管理対象サーバー名。たとえば、wls_oim1です。

    ノート:

    構成ファイルの作成でこれらのパラメータに指定したものと同じ値を使用してください。
  3. IGD_ORACLE_HOME/idm/server/ssointg/config/にあるssointg-config.propertiesプロパティ・ファイルを見つけ、configureLDAPConnector値をtrueに設定します。他の値はすべてfalseに設定してください。

    ##-----------------------------------------------------------##
    
    generateIndividualConfigFiles=false
    prepareIDStore=false
    configOAM=false
    addMissingObjectClasses=false
    populateOHSRules=false
    configureWLSAuthnProviders=false
    configureLDAPConnector=true
    ## configureLDAPConnector takes care of updating container rules
    ## Additional option is provided in case rules need to be updated again
    updateContainerRules=false
    configureSSOIntegration=false
    enableOAMSessionDeletion=false
  4. スクリプトOIGOAMIntegrationを実行してコネクタを構成します。

  5. たとえば:

    cd IGD_ORACLE_HOME/idm/server/ssointg/bin
    export JAVA_HOME=JAVA_HOME
    export ORACLE_HOME=IGD_ORACLE_HOME
    export WL_HOME=IGD_ORACLE_HOME/wlserver
    chmod 750 _OIGOAMIntegration.sh OIGOAMIntegration.sh
    ./OIGOAMIntegration.sh -configureLDAPConnector

不足しているオブジェクト・クラスの追加

Oracle Identity Manager有効化前からLDAPにユーザーが存在する場合は、新しいユーザーにOIM/OAM統合の制御に使用するオブジェクト・クラスが不足する可能性があります。このような不足しているオブジェクト・クラスを新しいユーザーに追加するには、次のコマンドを実行します:

ノート:

このプロセスを正常に実行するには、ldapsearchバイナリがユーザーのPATHに存在し、screenパッケージがホストにインストールされている必要があります。
  1. ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します

  2. ファイルaddMissingObjectClasses.configを編集し、次に示すプロパティを更新します。

    IDSTORE_DIRECTORYTYPE: OUD
    IDSTORE_HOST: idstore.example.com
    IDSTORE_PORT: 1389
    IDSTORE_BINDDN: cn=oudadmin
    IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com

    終了後、ファイルを保存します。

    表17-5 addMissingObjectClasses.configのプロパティ

    属性 説明

    IDSTORE_HOST

    LDAPディレクトリのロード・バランサ名。たとえば、idstore.example.comです

    IDSTORE_PORT

    ロード・バランサのLDAPポート。たとえば、OUDの場合は1389です。

    IDSTORE_DIRECTORYTYPE

    (OUD)を使用しているLDAPディレクトリのタイプ。

    IDSTORE_BINDDN

    ディレクトリに接続して管理アクションを実行するために使用する資格証明。たとえば、OUDの場合はoudadminです。

    IDSTORE_USERSEARCHBASE

    ユーザー情報が格納されているディレクトリの場所。

  3. スクリプトOIGOAMIntegrationを実行します。

  4. たとえば:

    cd IGD_ORACLE_HOME/idm/server/ssointg/bin
    export JAVA_HOME=JAVA_HOME
    export ORACLE_HOME=IGD_ORACLE_HOME
    export WL_HOME=IGD_ORACLE_HOME/wlserver
    ./OIGOAMIntegration.sh -addMissingObjectClasses

    LDAPディレクトリ管理者アカウントのパスワード入力が要求されます。

ドメインの再起動

IAMAccessDomainIAMGovernanceDomainのドメインを再起動します。

Oracle Identity GovernanceとOracle Access Managerとの統合

Oracle Identity GovernanceとOracle Access Managerを統合するには、いくつかのタスクを完了する必要があります。これらのタスクには、WLS認証プロバイダの作成、OIMSignatureAuthenticatorの削除とOUDAuthenticatorの再作成、新しい管理グループへの管理ロールの追加などが含まれます。

IAMGovernanceDomainでのSSO統合の構成

コネクタをデプロイした後のプロセスのステップは、ドメインのSSOの構成です。そのためには、次のステップを実行する必要があります。

  1. ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します

  2. ファイルconfigureSSOIntegration.configを編集し、セクションconfigureSSOIntegrationのプロパティを次に示すように更新します。

    ##-----------------------------------------------------------##
    ## [configureSSOIntegration]
    OAM_HOST: login.example.com
    OAM_PORT: 443
    OAM_PORT: 80
    ACCESS_SERVER_HOST:OAMHOST1.example.com
    ACCESS_SERVER_PORT: 5575
    OAM_SERVER_VERSION: 12c
    WEBGATE_TYPE: ohsWebgate12c
    COOKIE_DOMAIN: example.com
    OAM_TRANSFER_MODE: open
    OIM_LOGINATTRIBUTE: uid
    SSO_INTEGRATION_MODE: CQR
    OAM11G_WLS_ADMIN_HOST: IADADMINVHN.example.com
    OAM11G_WLS_ADMIN_PORT: 7001
    OAM11G_WLS_ADMIN_USER: weblogic
    OAM11G_WLS_ADMIN_PASSWD: <PASSWORD>
    OAM11G_IDSTORE_NAME: OAMIDSTORE
    ## Required if OAM_TRANSFER_MODE is not OPEN
    OIM_WLSHOST:IGDADMINVHN.example.com
    OIM_WLSPORT: 7101
    OIM_WLSADMIN: weblogic
    IDSTORE_OAMADMINUSER_PWD: <password>
    OIM_SERVER_NAME: WLS_OIM1
    IDSTORE_OAMADMINUSER: oamadmin
    

    終了後、ファイルを保存します。

    説明:

    表17-6 SSOIntegrationプロパティの構成

    属性 説明

    OAM_HOST

    これは、OAMクラスタのフロントエンド・ロード・バランサのリスニング・アドレスです。

    OAM_PORT

    これは、OAMクラスタのフロントエンド・ロード・バランサのポートです。

    ACCESS_SERVER_HOST

    常にOAM_HOSTと同じです。

    ACCESS_SERVER_PORT

    OAM PROXY PORTのポート番号。

    ACCESS_GATE_ID

    「構成ファイルの作成」で作成されたWebゲート・エージェント名です。

    COOKIE_DOMAIN

    構成ファイルの作成で割り当てられた値。

    OAM_TRANSFER_MODE

    構成ファイルの作成で割り当てられた値。

    OIM_LOGINATTRIBUTE

    ユーザー・ログイン属性を含むLDAPフィールド(通常uidまたはcn)。

    OAM11G_WLS_ADMIN_HOST

    ドメインIAMAccessDomainの管理サーバーのリスニング・アドレス。たとえば、IADADMINVHNです。

    OAM11G_WLS_ADMIN_PORT

    ドメインIAMAccessDomainの管理サーバーのリスニング・ポート。たとえば、7001です。

    OAM11G_WLS_ADMIN_PASSWD

    OAM11G_WLS_ADMIN_USERのオプションのパスワード。

    OAM11G_WLS_ADMIN_USER

    IAD管理サーバーの管理ユーザーです。

    OIM_WLSHOST

    OIM管理サーバーのリスニング・アドレス。たとえばIGDADMINVHN.example.com

    OIM_WLSPORT

    OIM管理サーバーのリスニング・ポート。たとえば、7101です。

    OIM_WLSADMIN

    OIM管理サーバーの管理ユーザー。たとえば、weblogicです。

    OIM_SERVER_NAME

    これは、実行中のOIM管理対象サーバーの名前です。たとえば: WLS_OIM1

    IDSTORE_OAMADMINUSER

    「構成ファイルの作成」IDSTORE_OAMADMINUSERに割り当てた値。

    IDSTORE_OAMADMINUSER_PWD

    これはオプションです。これには、IDSTORE_OAMADMINUSERアカウントのパスワードが含まれています。

    OAM_SERVER_VERSION

    これは、統合に使用されるOAMのバージョンです。

    WEBGATE_TYPE

    統合に使用されるWebゲートのタイプです。

    OAM11G_IDSTORE_NAME

    OAMで構成されたIDStoreの名前で、デフォルト名はOAMIDSTOREです。

  3. スクリプトOIGOAMIntegrationを実行してSSO統合を構成します。

    たとえば:

    cd IGD_ORACLE_HOME/idm/servers/ssointg/bin
    export JAVA_HOME=JAVA_HOME
    export ORACLE_HOME=IGD_ORACLE_HOME
    export WL_HOME=IGD_ORACLE_HOME/wlserver
    ./OIGOAMIntegration.sh -configureSSOIntegration
  4. IAMAccessDomainIAMGovernanceDomainのドメインを再起動します。

OAM通知の有効化

コネクタをデプロイ後のプロセスでのステップは、ユーザーが期限切れまたは終了した後のユーザー・セッション終了のためのOAMとの対話方法をOIMに指示することです。そのためには、次のステップを実行する必要があります。

  1. ディレクトリをIGD_ORACLE_HOME/idm/server/ssointg/configに変更します。

  2. ファイルenableOAMSessionDeletion.configを編集し、セクションenableOAMNotificationsのプロパティを次に示すように更新します。

    ##-----------------------------------------------------------##
    
    ## [enableOAMNotifications]
    OIM_WLSHOST: IGDADMINVHN.example.com
    OIM_WLSPORT: 7101
    OIM_WLSADMIN: weblogic
    IDSTORE_DIRECTORYTYPE: OUD
    IDSTORE_HOST: idstore.example.com
    IDSTORE_PORT: 1389
    IDSTORE_BINDDN: cn=oudadmin
    IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com 
    IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com 
    IDSTORE_OAMADMINUSER: oamAdmin 
    IDSTORE_OAMSOFTWAREUSER: oamLDAP
    IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
    OIM_SERVER_NAME: WLS_OIM1

    説明:

    表17-7 enableOAMSessionDeletionのプロパティ

    属性 説明

    OIM_WLSHOST

    これは、ドメインIAMGovernanceDomainの管理サーバーのリスニング・アドレスです。たとえば、IGDADMINVHN.example.comです。

    OIM_WLSPORT

    これは、ドメインIAMGovernanceDomainの管理サーバーのポートです。たとえば、7101です。

    OIM_WLSADMIN

    これは、IAMGovernanceDomainのWebLogic管理者の名前です。たとえば、weblogicです。

    IDSTORE_HOST

    これは、LDAPディレクトリのロード・バランサ名です。たとえば、idstore.example.comです。

    IDSTORE_PORT

    これは、ロード・バランサのLDAPポートです。たとえば: 1389 (OUDの場合)。

    IDSTORE_BINDDN

    これは、ディレクトリに接続して管理アクションを実行するために使用する資格証明です。たとえば: oudadmin (OUDの場合)。

    IDSTORE_GROUPSEARCHBASE

    グループが格納されているディレクトリの場所。

    IDSTORE_SYSTEMIDBASE

    メイン・ユーザー・コンテナに配置する必要のないシステム・ユーザーを配置できる、ディレクトリ内のコンテナの場所。

    IDSTORE_OAMADMINUSER

    Access Manager管理者として作成するユーザーの名前。

    IDSTORE_OAMSOFTWAREUSER

    LDAPに作成され、Access Managerが実行中にLDAPサーバーに接続するために使用されるユーザー。

    IDSTORE_USERSEARCHBASE

    ユーザーが格納されているディレクトリの場所。

    OIM_SERVER_NAME

    OIMサーバーの名前。たとえば: oim_server1

  3. スクリプトOIGOAMIntegrationを実行して通知を有効にします。

    たとえば:

    cd IGD_ORACLE_HOME/idm/servers/sointg/bin
    export JAVA_HOME=JAVA_HOME
    export ORACLE_HOME=IGD_ORACLE_HOME
    export WL_HOME=IGD_ORACLE_HOME/wlserver
    ./OIGOAMIntegration.sh -enableOAMSessionDeletion

oam-config.xmlのMatchLDAPAttributeの値の更新

Oracle Access ManagerとのOracle Identity Governanceの統合を完了するには、Oracle Access Managerのoam-config.xmlファイルの設定の1つを変更する必要があります。バージョン12cでは、このファイルはデータベースに格納され、直接編集することはできません。

次の手順では、REST APIを使用してoam-config.xmlファイルの値の1つを変更する方法を示します:

ノート:

コマンド行でwhich curlを実行し、cURLパッケージがホストに追加されていることを確認します。パッケージがインストールされていない場合、管理者はyum install curlを実行してパッケージをインストールする必要があります。
  1. 次を実行して、DAPModuleのコンポーネント番号を見つけます:
    curl -i -u weblogic:<password> http://IADADMINVHN:7001/iam/admin/config/api/v1/config?path=/DeployedComponent/Server/NGAMServer/Profile/AuthenticationModules/DAPModules

    説明:

    • weblogic: OUDに構成されたWebLogic管理ユーザー。
    • <password>: 前述のユーザーのパスワード。
    • IADADMINVHN: Access Managerドメイン管理コンソールが実行されるVIP。
    • 7001: Access Managerドメイン管理コンソールが実行されるポート。

    出力例:

    HTTP/1.1 200 OK
    Date: Tue, 09 Jul 2019 20:30:33 GMT
    Content-Length: 625
    Content-Type: text/xml
    X-ORACLE-DMS-ECID: 6f9baf65-751b-4fc9-b2e1-ade5b38063ff-00000427
    X-ORACLE-DMS-RID: 0
    Set-Cookie: JSESSIONID=g3LYbkLA2bs5-9zfoMBqKTBbk0mky_8URGgzFnbNkm8n3tK63tq4!1064195705; path=/; HttpOnly
    <Configuration xmlns="http://www.w3.org/2001/XMLSchema" schemaLocation="http://higgins.eclipse.org/sts/Configuration Configuration.xsd" Path="/DeployedComponent/Server/NGAMServer/Profile/AuthenticationModules/DAPModules">
    <Setting Name="DAPModules" Type="htf:map">
        <Setting Name="7DASE52D" Type="htf:map">
          <Setting Name="MAPPERCLASS" Type="xsd:string">oracle.security.am.engine.authn.internal.executor.DAPAttributeMapper</Setting>
          <Setting Name="MatchLDAPAttribute" Type="xsd:string”>User Name</Setting>
          <Setting Name="name" Type="xsd:string">DAP</Setting>
        </Setting>
      </Setting>

    ノート:

    "<Setting Name="DAPModules" Type="htf:map">"という行の下のコンポーネント番号を、構成の変更に使用する必要があります。前述の例では、"7DASE52D"がコンポーネント番号です。変更する必要がある値は、MatchLDAPAttributeの値です。前述の例では、"User Name"が現在の値です。
  2. /tmpディレクトリに移動して、次の内容の構成ファイルMatchLDAPAttribute_input.xmlを作成します:
    <Configuration>
      <Setting Name="MatchLDAPAttribute" Type="xsd:string" Path="/DeployedComponent/Server/NGAMServer/Profile/AuthenticationModules/DAPModules/7DASE52D/MatchLDAPAttribute">uid</Setting>
    </Configuration>

    ノート:

    前述のコンポーネント番号は、パスのDAPModulesMatchLDAPAttributeの部分の間に挿入されます。構成ファイルにより、MatchLDAPAttributeの値がUser Nameからuidに変更されます。
  3. 次を実行して、OAM構成に戻って変更を挿入します:
    curl -u weblogic:<password> -H 'Content-Type: text/xml' -X PUT http://IAMADMINVHN:7001/iam/admin/config/api/v1/config -d @MatchLDAPAttribute_input.xml
  4. MatchLDAPAttributeタグの値に注意し、最初にコンポーネントの問合せに使用したものと同じコマンドで、変更を検証します:
    curl -i -u weblogic:<password> http://IADADMINVHN:7001/iam/admin/config/api/v1/config?path=/DeployedComponent/Server/NGAMServer/Profile/AuthenticationModules/DAPModules

    出力例:

    HTTP/1.1 200 OK
    Date: Tue, 09 Jul 2019 20:30:33 GMT
    Content-Length: 625
    Content-Type: text/xml
    X-ORACLE-DMS-ECID: 6f9baf65-751b-4fc9-b2e1-ade5b38063ff-00000427
    X-ORACLE-DMS-RID: 0
    Set-Cookie: JSESSIONID=g3LYbkLA2bs5-9zfoMBqKTBbk0mky_8URGgzFnbNkm8n3tK63tq4!1064195705; path=/; HttpOnly
    <Configuration xmlns="http://www.w3.org/2001/XMLSchema" schemaLocation="http://higgins.eclipse.org/sts/Configuration Configuration.xsd" Path="/DeployedComponent/Server/NGAMServer/Profile/AuthenticationModules/DAPModules">
    <Setting Name="DAPModules" Type="htf:map">
        <Setting Name="7DASE52D" Type="htf:map">
          <Setting Name="MAPPERCLASS" Type="xsd:string">oracle.security.am.engine.authn.internal.executor.DAPAttributeMapper</Setting>
          <Setting Name="MatchLDAPAttribute" Type="xsd:string”>uid</Setting>
          <Setting Name="name" Type="xsd:string">DAP</Setting>
        </Setting>
      </Setting>

TapEndpoint URLの更新

OAM/OIM統合を有効にするには、次のステップを実行してOAM TapEndpoint URLを更新する必要があります。

  1. 次のURLを使用してOracle Fusion Middleware Controlにログインします。

    http://igdadmin.example.com/em

    または

    http://IGDADMINVHN.example.com:7101/em

    管理サーバーのホストおよびポート番号は「構成の終了」画面のURLにありました(「ドメイン・ホームと管理サーバーURLの記録」)。デフォルトの管理サーバーのポート番号は7101です。

  2. 「WebLogicドメイン」をクリックし、「システムMBeanブラウザ」をクリックします。

    検索ボックスに、SSOIntegrationMXBeanと入力して、「検索」をクリックします。mbeanが表示されます。

  3. TapEndpointURLに次の値を設定します

    https://login.example.com/oam/server/dap/cred_submit
  4. 「適用」をクリックします。

リコンシリエーション・ジョブの実行

Oracle Identity Governanceドメインを実行して、LDAPユーザー名をOracle Identity Governanceデータベースにインポートします。

リコンシリエーション・ジョブを実行するには:

  1. OIMシステム管理コンソールにユーザーxelsysadmとしてログインします。
  2. 「システム構成」の下の「スケジューラ」をクリックします。
  3. 検索ボックスにSSO*と入力します。
  4. 「スケジュール済ジョブの検索」の矢印をクリックして、すべてのスケジューラを一覧表示します。
  5. SSOユーザー完全リコンシリエーションを選択します。
  6. 即時実行」をクリックしてジョブを実行します。
  7. SSOグループ作成および更新完全リコンシリエーションに対して繰り返します。
  8. OIMシステム管理コンソールにログインして、ユーザーweblogic_iamが表示されることを確認します。

SOA統合URLの更新

Oracle Identity Managerは、weblogicというユーザー名を使用して、SOA管理者としてSOAに接続します。

次のインストール後のステップを実行して、Oracle Identity ManagerがOracle WebLogic Server管理者ユーザーを使用できるようにします。これによって、Oracle Identity ManagerはSOAに接続できるようになります。

ノート:

SOAConfig Mbeanを表示するには、最低1つのOIM管理対象サーバーが稼働している必要があります。

  1. IAMGovernanceDomainのEnterprise Manager Fusion Middleware Controlにweblogicユーザーとしてログインします。

  2. 「WebLogicドメイン」をクリックし、「システムMBeanブラウザ」をクリックします。

  3. 「検索」を選択し、SOAConfigを入力して「検索」をクリックします。

  4. ユーザー名がweblogicに設定されていることを確認します。

  5. SOAP URLを次のように更新します:
    http://igdinternal.example.com:7777/
  6. SOA構成RMI URLを次のように更新します:
    http://igdinternal.example.com:7777/
  7. 「適用」をクリックします。

電子メールで送信するOIMワークフロー通知の構成

OIMでは、SOAワークフローと統合されたヒューマン・ワークフローが使用されます。SOAサーバーで電子メールを構成し、通知を受信してユーザーのメールボックスに配信します。ユーザーは、通知を承認または拒否できます。

すべての機能を使用するには、ポータル・ワークフロー専用の送受信メール・アドレスおよびメールボックスが必要になります。『Oracle SOA SuiteおよびOracle Business Process Management Suiteの管理』ヒューマン・ワークフロー通知プロパティの構成に関する項を参照してください。

OIMワークフロー通知を構成するには:

  1. 管理者のアカウントを使用してFusion Middleware Controlにログインします。たとえば、weblogic_iamです。
  2. 「ターゲット・ナビゲーション」パネルを展開して、「SOA」「soa-infra (soa_server1)」サービスに移動します。
  3. 「SOAインフラストラクチャ」ドロップダウンから、「SOA管理」「ワークフロー・プロパティ」の順に選択します。
  4. 通知モードを「電子メール」に設定します。通知サービスに正しい電子メール・アドレスを指定します。
  5. 「適用」をクリックし、要求に応じて確認します。
  6. 変更を確認します。
  7. 「ターゲット・ナビゲーション」を展開して、「ユーザー・メッセージング・サービス」「usermessagingdriver-email (soa_servern)」の順に選択します。実行中のSOA管理対象サーバーごとに、1つのドライバがあります。これらのエントリの1つのみを選択する必要があります。
  8. 「ユーザー・メッセージング電子メール・ドライバ」ドロップダウン・リストから、「電子メール・ドライバ・プロパティ」を選択します。
  9. 電子メール・ドライバが存在しない場合は、「作成」をクリックします。
  10. 「テスト」をクリックして変更を検証します。
  11. 「OK」をクリックして電子メール・ドライバ構成を保存します。
  12. SOAクラスタを再起動します。OIMの場合、構成または再起動は不要です。

Administratorsグループへのwsm-pmロールの追加

新しいLDAPベースの認可プロバイダを構成して管理サーバーを再起動したら、エンタープライズ・デプロイメント管理LDAPグループ(OIMAdministrators)をメンバーとしてwsm-pmアプリケーション・ストライプのpolicy.Updaterロールに追加します。

  1. 管理者のアカウントを使用してFusion Middleware Controlにサインインします。たとえば、weblogic_iamです。
  2. 「WebLogicドメイン」メニューから、「セキュリティ」「アプリケーション・ロール」を選択します。
  3. 「アプリケーション・ストライプ」ドロップダウン・メニューからwsm-pmアプリケーション・ストライプを選択します。
  4. ロール名テキスト・ボックスの隣にある三角形のアイコンをクリックし、wsm-pmアプリケーション・ストライプのロール名をすべて検索します。
  5. 編集するpolicy.Updater の行を選択します。
  6. アプリケーション・ロールの「編集」アイコンをクリックして、ロールを編集します。
  7. 「アプリケーション・ロールの編集」ページで、アプリケーション・ロールの「追加」アイコンをクリックします。
  8. 「プリンシパルの追加」ダイアログ・ボックスで、「タイプ」ドロップダウン・メニューから「グループ」を選択します。
  9. エンタープライズ・デプロイメントの管理者グループを検索するには、「プリンシパル名」の「次で始まる」フィールドにグループ名WLSAdministratorsを入力し、右矢印をクリックして検索を開始します。
  10. 検索結果で適切な管理者グループを選択し、「OK」をクリックします。
  11. 「アプリケーション・ロールの編集」ページで、「OK」をクリックします。

Oracleキーストア・サービスへのOracle Access Managerロード・バランサ証明書の追加

セルフ・サービス・アプリケーション内部のOracle Identity GovernanceからBusiness Intelligenceレポートへのリンクでは、ロード・バランサによって使用されるSSL証明書をOracleキーストア・サービスの信頼できる証明書に追加する必要があります。

証明書を追加する手順は、次のとおりです。
  1. ユーザーが作成したキーストアと証明書を格納するディレクトリを作成します。
    たとえば:
    mkdir SHARED_CONFIG_DIR/keystores
  2. ロード・バランサから証明書を取得します。ロード・バランサの証明書は、Firefoxなどのブラウザを使用して取得できます。ただし、証明書を取得する最も簡単な方法は、opensslコマンドを使用します。コマンドの構文は、次のとおりです。
    openssl s_client -connect LOADBALANCER -showcerts </dev/null 2>/dev/null|openssl x509 -outform PEM>SHARED_CONFIG_DIR/keystores/LOADBALANCER.pem
    たとえば:
    openssl s_client -connect login.example.com:443 -showcerts </dev/null 2>/dev/null|openssl x509 -outform PEM >SHARED_CONFIG_DIR/keystores/login.example.com.pem

    opensslコマンドにより、証明書が SHARED_CONFIG_DIR/keystoreslogin.example.com.pemというファイルに保存されます。

  3. WLSTを使用して、証明書をOracleキーストア・サービスにロードします。
    1. 次のコマンドを使用して、WLSTに接続します:
      ORACLE_HOME/oracle_common/common/bin/wlst.sh
    2. 次のコマンドを使用して管理サーバーに接続します。
      connect('<AdminUser>','<AdminPwd>','t3://<Adminserverhost>:<Adminserver port>')
    3. 次のコマンドを使用して、証明書をロードします:
      svc = getOpssService(name='KeyStoreService')
      svc.importKeyStoreCertificate(appStripe='system',name='trust',password='', keypassword='',alias='<CertificateName>',type='TrustedCertificate', filepath='/<SHARED_CONFIG_DIR>/keystores/<LOADBALANCER>.pem')
    4. 次のコマンドを使用して、キーストア・サービスとファイル・システムを同期します:
      syncKeyStores(appStripe='system', keystoreFormat='KSS')

      たとえば:

      connect('weblogic','password','t3://IGDADMINVHN.example.coml:7101')
      svc = getOpssService(name='KeyStoreService')
      svc.importKeyStoreCertificate(appStripe='system',name='trust',password='', keypassword='',alias='login.example.com',type='TrustedCertificate', filepath='/u01/oracle/config/keystores/login.example.com.pem')
      syncKeyStores(appStripe='system',keystoreFormat='KSS')
      exit()
変更を有効にするには、ドメインを再起動する必要があります。ノード・マネージャ・キーストアのデフォルト・パスワードは、COMMON_IAM_PASSWORDです。証明書が有効であることを確認するよう求められます。

IAMGovernanceDomainの再起動

前述の変更を有効にするには、ドメインを再起動する必要があります。

  1. 管理対象サーバーWLS_OIM1およびWLS_OIM2を停止します。
  2. 管理対象サーバーWLS_SOA1およびWLS_SOA2を停止します。
  3. 管理対象サーバーWLS_WSM1およびWLS_WSM2を停止します。
  4. 管理サーバーを停止します。
  5. 管理サーバーを再起動します。
  6. 管理対象サーバーWLS_SOA1およびWLS_SOA2を起動します。
  7. 管理対象サーバーWLS_OIM1およびWLS_OIM2を起動します。
  8. 管理対象サーバーWLS_WSM1およびWLS_WSM2を起動します。

    「oam-config.xmlのMatchLDAPAttributeの値の更新」で説明した回避策を実行している場合は、OAMドメインも再起動する必要があります。

    管理サーバーおよびすべての管理対象サーバー(WLS_AMA1、WLS_AMA2、WLS_OAM1、WLS_OAM2)を停止して再起動します。

チャレンジ質問の設定

OAMとOIMを統合した場合、環境の準備が整ったら、システム・ユーザーのチャレンジ質問を設定する必要があります。

チャレンジ質問を設定するには、URL: https://prov.example.com/identityを使用してアイデンティティ・セルフ・サービスにログインします。

ユーザー名を使用してログインし、プロンプトが表示されたら、チャレンジ質問を追加します。次のユーザーにこれらの質問を設定する必要があります:

  • xelsysadm
  • weblogic_iam
  • oamadmin

Oracle Identity ManagerとOracle Business Intelligence Publisherとの統合

Oracle Identity Managerでは、Oracle Identiy and Access Managementに関する情報を提供するために、いくつかの事前作成されたレポートを使用できます。

Oracle Identity Managerレポートは、アクセス・ポリシー・レポート、リクエストおよび承認レポート、パスワード・レポートなどの機能領域に基づいて分類されます。「操作レポート」や「履歴レポート」という名前は使用しなくなりました。これらのレポートは、Oracle Identity ManagerではなくOracle Business Intelligence Publisher (BIP)で生成されます。Oracle Identity Managerレポートには、Oracle BI Publisherに関する制約があります。

Oracle BI Publisherの高可用性エンタープライズ・デプロイメントのセットアップについては、このドキュメントでは説明していません。詳細は、『Business Intelligenceエンタープライズ・デプロイメント・ガイド』「Business Intelligenceエンタープライズ・デプロイメント・トポロジの理解」を参照してください。

ノート:

Oracle Identity Manager用にBIを構成する際は、Business Intelligence Publisherのみを構成する必要があります。BI Publisherの構成時にBusiness Intelligence Enterprise EditionやEssbaseなど他のコンポーネントを選択した場合は、Oracle Identity Managerとの統合が機能しないことがあります。『Oracle Identity Managerのためのアプリケーションの開発とカスタマイズ』レポートの構成に関する項を参照してください

BIレポートを実行するユーザーの作成

Business Intelligenceドメインでレポートを実行するためのユーザーがすでに存在する場合、この項は無視できます。

BI Publisherドメインでレポートを実行するユーザーを作成する必要がある場合は、次のLDIFコマンドを使用してLDAPディレクトリにユーザーを作成します。

  1. 次の内容を含むreport_user.ldifというファイルを作成します:
    dn: cn=idm_report,cn=Users,dc=example,dc=com
    changetype: add
    orclsamaccountname: idm_report
    givenname: idm_report
    sn: idm_report
    userpassword: <password>
    mail: idm_report
    objectclass: top
    objectclass: person
    objectclass: organizationalPerson
    objectclass: inetorgperson
    objectclass: orcluser
    objectclass: orcluserV2
    uid: idm_report
    cn: idm_report
  2. ファイルを保存します。
  3. 次のコマンドを使用して、ファイルをLDAPディレクトリにロードします:
    ldapmodify -D cn=oudadmin -h idstore.example.com -p 1389 report_user.ldif

BI Publisherを使用するOracle Identity Managerの構成

Oracle BI PublisherをセットアップしてOracle Identity Managerレポートを生成できます。

BI Publisherを使用するようにOracle Identity Managerを構成するには:
  1. URLを使用して、Oracle Enterprise Manager Fusion Middleware Controlにログインします。:
    http://igdadmin.example.com/em
  2. 「WebLogicドメイン」をクリックして、「システムMBeanブラウザ」を選択します。
  3. XMLConfig.DiscoveryConfigを検索基準として入力し、「検索」をクリックします。
    XMLConfig.DiscoveryConfig MBeanが表示されます。
  4. 「検出構成BI Publisher URL」の値をBIP URLに更新します。たとえば、http://bi.example.comなどです
  5. 「適用」をクリックします。

BIServiceAdministratorロールのidm_reportへの割当て

LDAPをBusiness Intelligence (BI)ドメインのアイデンティティ・ストアとして使用している場合は、BIドメインでLDAPオーセンティケータを作成しておく必要があります。LDAP内に格納されているユーザー名とグループ名を表示できます。

レポートを生成するには、Oracle Identity Manager (OIM)システム管理アカウント(idm_reportなど)をBIServiceAdministratorロールに割り当てる必要があります。

このロールを割り当てるには:

  1. 次のURLを使用してBI Publisher WebLogicコンソールにログインし、OIM管理者ユーザーがドメインから参照できることを確認します:

    http://biadmin.example.com/console

  2. 「セキュリティ・レルム」をクリックし、myrealmをクリックします。
  3. 「ユーザーとグループ」タブに移動します。
  4. ユーザー・リストを参照し、OIM管理ユーザー(idm_report)がそのユーザー・リストに含まれていることを確認します。
  5. URL http://biadmin.example.com/emおよび管理者のアカウントを使用して、BI Fusion Middleware Controlにサインインします。たとえば、weblogic_biです。
  6. 「WebLogicドメイン」メニューから、「セキュリティ」「アプリケーション・ロール」を選択します。
  7. 「アプリケーション・ストライプ」ドロップダウン・リストから、「obi」を選択します。
  8. ロール名テキスト・ボックスの隣にある三角形のアイコンをクリックし、obiアプリケーション・ストライプのロール名をすべて検索します。
  9. 編集するBIServiceAdministratorロールの行を選択します。
  10. アプリケーション・ロールの「編集」アイコンをクリックして、ロールを編集します。
  11. 「アプリケーション・ロールの編集」ページで、アプリケーション・ロールの「追加」アイコンをクリックします。
  12. 「プリンシパルの追加」ダイアログ・ボックスで、「タイプ」ドロップダウン・メニューから「ユーザー」を選択します。
  13. idm_reportユーザーを検索するには、「プリンシパル名」の「次で始まる」フィールドにユーザー名idm_reportを入力し、右矢印をクリックして検索を開始します。
  14. 検索結果で適切なユーザーを選択し、「OK」をクリックします。
  15. 「アプリケーション・ロールの編集」ページで、「OK」をクリックします。

Oracle Identity GovernanceのBI資格証明の格納

Oracle Identity ManagerでBIPの資格証明を構成するには:
  1. URLを使用して、Oracle Enterprise Managerにログインします
    http://igdadmin.example.com/em
  2. 左側のペインで、「WebLogicドメイン」を展開します。ドメイン名が表示されます。
  3. ドメイン名を右クリックし、「セキュリティ」「資格証明」に移動します。oimマップなど、資格証明ストアにおけるマップのリストが表示されます。
  4. oimマップを開きます。Passwordタイプのエントリのリストが表示されます。
  5. BIPWSKeyキーを編集するか(すでに存在する場合)、次の値を使用して新しいキーを作成します:

    表17-8 新規CSFエントリのプロパティ

    属性

    Select Map

    oim

    Key

    BIPWSKey

    タイプ

    Password

    ユーザー名

    idm_report

    Password

    idm_reportのパスワード

    説明

    BI Publisher webサービスのログイン資格証明

BIPでのOIMおよびBPELデータ・ソースの作成

OIMデータソースの作成

レポートを実行するには、Oracle BIPをOIMおよびSOAデータベース・スキーマに接続する必要があります。

そのためには、次の手順でBIPデータソースを作成する必要があります。

  1. URL https://bi.example.com/xmlpserverを使用して、BI Publisherホーム・ページにログインします

  2. BI Publisherのホーム・ページの上部にある「管理」リンクをクリックします。 BI Publisherの「管理」ページが表示されます。

  3. 「データ・ソース」で、「JDBC接続」リンクをクリックします。「Data Sources」ページが表示されています。

  4. 「JDBC」タブで、「データソースの追加」をクリックして、データベースへのJDBC接続を作成します。 「データソースの追加」ページが表示されます。

  5. 次のフィールドに値を入力します。

    表17-9 OIM追加データ・ソース属性

    属性

    データ・ソース名

    Oracle Identity Governance JDBC接続名を指定します。たとえば、OIM JDBCです。

    ドライバ・タイプ

    11gデータベースの場合はOracle 11gを選択し、12cデータベースの場合はOracle 12cを選択します

    データベース・ドライバ・クラス

    データベースに適したドライバ・クラス(oracle.jdbc.OracleDriverなど)を指定します

    接続文字列

    データベース接続の詳細を、 jdbc:oracle:thin:@HOST_NAME:PORT_NUMBER/SIDの形式で指定します。

    たとえば、jdbc:oracle:thin:@igddbscan:1521/oim.example.comです

    ユーザー名

    Oracle Identity Governanceのデータベース・ユーザー名を指定します。たとえば、IGD_OIMです

    パスワード

    Oracle Identity Governanceのデータベース・ユーザーのパスワードを指定します。

  6. 「接続テスト」をクリックして接続を確認します。

  7. 「適用」をクリックして接続を確立します。

  8. データベースへの接続が確立されると、成功を示す確認メッセージが表示されます。

  9. 「適用」をクリックします。

「JDBC」ページのJDBCデータソースのリストに、新しく定義されたOracle Identity Governance JDBC接続が表示されます。

BPELデータソースの作成

  1. URL https://bi.example.com/xmlpserverを使用して、BI Publisherホーム・ページにログインします。

  2. BI Publisherホーム・ページの「管理」リンクをクリックします。BI Publisherの「管理」ページが表示されます。

  3. 「データ・ソース」で、「JDBC接続」リンクをクリックします。 「Data Sources」ページが表示されています。

  4. 「JDBC」タブで、「データソースの追加」をクリックして、データベースへのJDBC接続を作成します。 「データソースの追加」ページが表示されます。

  5. 次のフィールドに値を入力します。

    表17-10 JDBC追加データソース属性

    属性

    データ・ソース名

    Oracle Identity Governance JDBC接続名を指定します。たとえば、BPEL JDBCです。

    ドライバ・タイプ

    Oracle 12c

    データベース・ドライバ・クラス

    データベースに適したドライバ・クラス(oracle.jdbc.OracleDriverなど)を指定します

    接続文字列

    データベース接続の詳細を、 jdbc:oracle:thin:@HOST_NAME:PORT_NUMBER/SIDの形式で指定します。

    たとえば、jdbc:oracle:thin:@igddbscan:1521/oim.example.comです

    ユーザー名

    Oracle Identity Governanceのデータベース・ユーザー名を指定します。たとえば、IGD_SOAINFRAです。

    パスワード

    Oracle Identity Governanceのデータベース・ユーザーのパスワードを指定します。

  6. 「接続テスト」をクリックして接続を確認します。

  7. 「適用」をクリックして接続を確立します。

  8. データベースへの接続が確立されると、成功を示す確認メッセージが表示されます。

  9. 「適用」をクリックします。

「JDBC」ページのJDBCデータソースのリストに、新しく定義されたOracle Identity Governance JDBC接続が表示されます。

Oracle Identity GovernanceレポートのBIへのデプロイ

BI PublisherをOracle Identity Governanceと統合した後、それらの使用に関する事前定義済レポートをデプロイできます。Oracle Identity Managerレポートをデプロイするには:
  1. OIMHOST1ファイルにある事前定義済レポートIGD_ORACLE_HOME/idm/server/reports/oim_product_BIPReports_12c.zipを、ディレクトリShared_Storage_location/biconfig/bidataにコピーし、解凍します。

    ノート:

    Shared_Storage_Locationが、ASERVER_HOME/config/fmwconfig/bienv/core/bi-environment.xmlファイルに定義されています。
  2. 事前定義済のOracle Identity Governanceレポートを表示して実行できるように、フォルダ・レベルの権限をBIServiceAdministrator BIアプリケーション・ロールに追加します。これを行うには:
    • WebLogic管理資格証明を使用して、Oracle BI Publisher https://bi.example.com/xmlpserverにログインします。

    • 右上の「カタログ」リンクをクリックします。共有フォルダの下にあるOracle Identity Managerという名前のフォルダが左側のペインに表示されます。 Oracle Identity Managerという名前のフォルダを選択します。

    • 「タスク」ウィンドウで左下の「権限」オプションをクリックします。

    • プラス記号をクリックし、使用可能なロールで空白検索を実行します。

    • BIサービス管理者ロールを選択して、右側のパネルに追加します。

    • 「OK」をクリックします。

  3. WebLogicユーザーとしてログアウトします。
  4. Oracle Identity Managerシステム管理者ユーザーとしてBI Publisherコンソールにログインします。
  5. Oracle Identity Managerレポートを実行します。

証明レポートの有効化

「証明レポートの有効化」オプションを選択または選択を解除して、証明レポートを有効または無効にします。証明レポートの生成を有効にするには、BI Publisher資格証明およびURLの構成後に次を実行します。
  1. URL: https://prov.example.com/identityを使用してOracle Identity Self Serviceにログインします。
  2. 「コンプライアンス」タブをクリックします。
  3. 「アイデンティティの証明」ボックスをクリックします。
  4. 「証明構成」を選択します。 「証明構成」ページが表示されます。
  5. 「証明レポートの有効化」を選択します。
  6. 「保存」をクリックします。

ノート:

デフォルトでは、「コンプライアンス」タブは表示されません。コンプライアンス機能を有効にする場合は、最初にSysadminコンソールでOIGIsIdentityAuditorEnabledプロパティをtrueに設定する必要があります(「構成プロパティ」セクションにあります)。

レポートの検証

サンプル・データソースに関するレポートを生成するには、そのサンプル・データ・ソースを作成する必要があります。

サンプル・レポートの作成

本番JDBCデータ・ソースに対してレポートを実行せずにレポート・データの例を表示するには、サンプル・データ・ソースに対してサンプル・レポートを生成します。サンプル・レポートを生成するには、まずサンプル・データ・ソースを作成します。

サンプル・データ・ソースに対するレポートの生成
サンプル・データ・ソースを作成したら、次のステップを実行してサンプル・レポートを生成できます:
  1. URL: https://bi.example.com/xmlpserverを使用して、Oracle BI Publisherにログインします。
  2. 「共有フォルダ」をクリックします。
  3. Oracle Identity Managerレポートをクリックします。
  4. 「サンプル・レポート」を選択します。
  5. 生成するサンプル・レポートについて「表示」をクリックします。
  6. サンプル・レポートの出力フォーマットを選択して「表示」をクリックします。

サンプル・レポートが生成されます。

Oracle Identity Manager JDBCデータソースに対するレポートの生成
OIM JDBCデータソースに対してレポートを生成するには、Oracle BI PublisherにログインしてOracle Identity Managerレポートに移動し、生成するレポートの出力形式を選択します。
Oracle Identity Manager JDBCデータソースに対してレポートを生成するには:
  1. URL: https://bi.example.com/xmlpserverを使用して、Oracle BI Publisherにログインします。
  2. Oracle Identity Managerレポートに移動します。これを行うには:
    • BI Publisherホーム・ページの「参照/管理」で、「カタログ・フォルダ」をクリックします。 または、ページの上部で「カタログ」をクリックすることもできます。

      「カタログ」ページでは、ページの左側にはツリー構造が、右側には詳細が表示されます。

    • 左側のペインで「共有フォルダ」を展開し、Oracle Identity Managerに移動します。 Oracle Identity Managerフォルダのすべてのオブジェクトが表示されます。

      BI Publisher 12cに移動して、Oracle Identity Manager BI Publisherレポートを使用できます。

  3. 生成するレポートの下で「表示」をクリックします。
  4. レポートの出力フォーマットを選択して「表示」をクリックします。
レポートが生成されます。
BPELベースのJDBCデータソースに対するレポートの生成
一部のレポートには、セカンダリ・データ・ソース(BPELベースのJDBCデータソース)があります。この項では、BPELベースのJDBCデータソースに対してレポートを生成する方法について説明します。

セカンダリ・データソースを使用したレポート

次の4つのレポートには、BPELデータベースに接続してBPELデータを取得するセカンダリ・データソースがあります。

  • タスク割当て履歴

  • リクエストの詳細

  • リクエスト・サマリー

  • 承認アクティビティ

これらのレポートには、BPEL JDBC (BPELベースのJDBCデータ・ソース)と呼ばれるセカンダリ・データ・ソースがあります。BPELベースのJDBCデータソースに対してレポートを生成するには:

  1. URL: https://bi.example.com/xmlpserverを使用して、Oracle BI Publisherにログインします。
  2. Oracle Identity Managerレポートに移動します。これを行うには:
    • BI Publisherホーム・ページの「参照/管理」で、「カタログ・フォルダ」をクリックします。 または、ページの上部で「カタログ」をクリックすることもできます。

      「カタログ」ページでは、ページの左側にはツリー構造が、右側には詳細が表示されます。

    • 左側のペインで「共有フォルダ」を展開し、Oracle Identity Managerに移動します。Oracle Identity Managerフォルダのすべてのオブジェクトが表示されます。

      BI Publisher 12cに移動して、Oracle Identity Manager BI Publisherレポートを使用します。

  3. 生成するレポートを選択して、「オープン」をクリックします。
  4. レポートの出力フォーマットを選択して「適用」をクリックします。
BPELベースのJDBCデータソースに基づいてレポートが生成されます。
Oracleキーストア信頼サービスへのBusiness Intelligenceロード・バランサ証明書の追加

セルフ・サービス・アプリケーション内部のOracle Identity GovernanceからBusiness Intelligenceレポートへのリンクでは、ロード・バランサによって使用されるSSL証明書をOracleキーストア・サービスの信頼できる証明書に追加する必要があります。

証明書を追加するには:

  1. ユーザーが作成したキーストアと証明書を格納するディレクトリを作成します。
    たとえば:
    mkdir SHARED_CONFIG_DIR/keystores
  2. ロード・バランサから証明書を取得します。ロード・バランサの証明書は、Firefoxなどのブラウザを使用して取得できます。ただし、証明書を取得する最も簡単な方法は、opensslコマンドを使用します。コマンドの構文は、次のとおりです。
    openssl s_client -connect LOADBALANCER -showcerts </dev/null 2>/dev/null|openssl x509 -outform PEM>SHARED_CONFIG_DIR/keystores/LOADBALANCER.pem
    たとえば:
    openssl s_client -connect bi.example.com:443 -showcerts </dev/null 2>/dev/null|openssl x509 -outform PEM>SHARED_CONFIG_DIR/keystores/bi.example.com.pem

    opensslコマンドは、証明書をSHARED_CONFIG_DIR/keystoresにあるbi.example.com.pemという名前のファイルに保存します。

  3. WLSTを使用して、証明書をOracleキーストア・サービスにロードします。
    1. 次のコマンドを使用して、WLSTに接続します:
      ORACLE_HOME/oracle_common/common/bin/wlst.sh
    2. 次のコマンドを使用して管理サーバーに接続します。
      connect('<AdminUser>','<AdminPwd>','t3://<Adminserverhost>:<Adminserver port>')
    3. 次のコマンドを使用して、証明書をロードします:
      svc = getOpssService(name='KeyStoreService')
      svc.importKeyStoreCertificate(appStripe='system',name='trust',password='', keypassword='',alias='<CertificateName>',type='TrustedCertificate', filepath='/<SHARED_CONFIG_DIR>/keystores/<LOADBALANCER>.pem')
    4. 次のコマンドを使用して、キーストア・サービスとファイル・システムを同期します:
      syncKeyStores(appStripe='system', keystoreFormat='KSS')

      たとえば:

      connect('weblogic','password','t3://IGDADMINVHN.example.coml:7101')
      svc = getOpssService(name='KeyStoreService')
      svc.importKeyStoreCertificate(appStripe='system',name='trust',password='', keypassword='',alias='bi.example.com',type='TrustedCertificate', filepath='/u01/oracle/config/keystores/bi.example.com.pem')
      syncKeyStores(appStripe='system',keystoreFormat='KSS')
      exit()
変更を有効にするには、ドメインを再起動する必要があります。JDKのデフォルトのパスワードはchangeitです。ノード・マネージャ・キーストアのデフォルト・パスワードは、COMMON_IAM_PASSWORDです。証明書が有効であることを確認するよう求められます。