| Oracle Identity Manager Oracle WebLogic Server用インストレーションおよび構成ガイド リリース9.1.0.1 B52973-03 |
|
 戻る |
 次へ |
Oracle Identity Managerをインストールした後で、場合によっては、アプリケーションを使用する前にインストール後のタスクを実行する必要があります。デプロイメントと要件によっては、インストール後のタスクの一部はオプションです。
この章では次の項目について説明します。
ここでは、Microsoft WindowsおよびUNIXでのOracle Identity Managerの起動方法について説明します。
Oracle Identity Managerを起動するには、次のようにします。
データベースが起動されて実行していることを確認します。
次のいずれかのスクリプトを実行して、Oracle Identity Managerを起動します。Oracle Identity Managerの起動スクリプトを実行すると、Oracle WebLogic Serverも起動されます。
Microsoft Windowsで管理サーバーを起動するには、OIM_HOME\xellerate\bin\xlStartServer.batスクリプトを実行します。
UNIXで管理サーバーを起動するには、OIM_HOME/xellerate/bin/xlStartServer.shスクリプトを実行します。
|
注意:
|
ここでは、Microsoft WindowsおよびUNIXでのOracle Identity Managerの停止方法について説明します。管理サーバーまたは管理対象サーバーを停止するには、次のようにします。
次のURLを使用して、WebLogic Server管理コンソールにログインします。
http://hostname:port/console
このURLのhostnameの箇所には、アプリケーション・サーバーのホスト・コンピュータの名前を指定します。portの箇所には、サーバーがリスニングしているポートを指定します。Oracle WebLogic Serverのデフォルト・ポート番号は7001です。
左側のペインの「ドメイン構造」ツリーで「環境」を開き、「サーバー」を選択します。
右側のペインで「制御」タブを選択します。
停止するサーバーのチェック・ボックスを選択します。
「停止」リスト(表の上または下)で、「作業完了時」または「ただちに強制停止」のいずれかを選択します。
|
注意: クラスタ環境では、まず管理対象サーバーを停止してから管理サーバーを停止します。 |
Oracle WebLogic ServerとOracle Identity Managerの起動後、次の手順で管理およびユーザー・コンソールにアクセスできます。
Webブラウザで次のURLにアクセスします。
http://hostname:port/xlWebApp
このURLのhostnameの箇所には、アプリケーション・サーバーのホスト・コンピュータの名前を指定します。portの箇所には、サーバーがリスニングしているポートを指定します。Oracle WebLogic Serverのデフォルト・ポート番号は7001です。
|
注意: アプリケーション名xlWebAppでは大文字と小文字が区別されます。 |
次に例を示します。
http://localhost:7001/xlWebApp
Oracle Identity Managerのログイン・ページが表示されたら、ユーザー名とパスワードを使用してログインします。
診断ダッシュボードでは、インストール後の環境で次の項目をテストして各コンポーネントを確認します。
信頼できるストア
シングル・サインオン構成
メッセージ機能
タスク・スケジューラ
Remote Manager
診断ダッシュボードは、パッケージと一緒にコンポーネントのサポート対象バージョンすべてについてもチェックします。
この項では、Oracle Identity Managerを次のサーバーにデプロイする場合のJVMメモリー設定の増加方法を説明します。
Oracle Identity ManagerをWebLogic管理サーバーにデプロイする場合、JVMメモリー設定を増加するには、次のようにします。
WebLogic Server管理コンソールを使用して、アプリケーション・サーバーを正常に停止します。
Weblogic DOMAIN_HOME/binに移動します。たとえば、C:\bea103\user_projects\domains\base_domain\binまたは/opt/bea103/user_projects/domains/base_domain/bin。
Microsoft Windowsの場合、xlStartWLS.cmdを開きます。UNIXの場合は、xlStartWLS.shを開きます。
Microsoft Windowsの場合:
SET JAVA_OPTIONS=....の前に、JVMのタイプに応じて次のいずれかの行を追加します。
SunおよびHP JVMの場合は、set USER_MEM_ARGS=-Xms1280m -Xmx1280m -XX:PermSize=128m -XX:MaxPermSize=256mを追加します。
JRockit JVMの場合は、set USER_MEM_ARGS=-Xms1280m -Xmx1280m -XnoOptを追加します。
IBM JVMの場合は、set USER_MEM_ARGS=-Xms1280m -Xmx1280を追加します。
UNIXの場合:
JAVA_OPTIONS=...の前に、JVMのタイプに応じて次のいずれかの行を追加します。
SunおよびHP JVMの場合は、USER_MEM_ARGS=-Xms1280m -Xmx1280m -XX:PermSize=128m -XX:MaxPermSize=256mを追加します。
JRockit JVMの場合は、USER_MEM_ARGS=-Xms1280m -Xmx1280 -XnoOptを追加します。
IBM JVMの場合は、USER_MEM_ARGS=-Xms1280m -Xmx1280を追加します。
次の行を追加します。
export USER_MEM_ARGS
Oracle Identity Managerは、WebLogic管理対象サーバーにデプロイできます。クラスタ・インストールの場合は、これが唯一のオプションです。管理対象サーバーの起動方法(WebLogic管理コンソールまたはノード・マネージャを使用するか、スクリプトを実行するか)に応じて、異なる場所で変更を行う必要があります。
xlStartManagedServerスクリプトを実行して管理対象サーバーを起動する場合は、Oracle Identity ManagerをWeblogic管理サーバーにデプロイする場合のJVMメモリー設定の増加手順を、スクリプトDOMAIN_HOME/bin/xlStartManagedServer.shまたはDOMAIN_HOME/bin/xlStartManagedServer.cmdで繰り返します。詳細は、「WebLogic管理サーバーへのデプロイ」を参照してください。
Oracle Identity Managerのキーストアのパスワードは、インストール時にxellerateに設定されます。インストーラ・スクリプトおよびインストール・ログには、このデフォルトのパスワードが含まれています。本番用のインストールにおいては、必ずこのキーストア・パスワードを変更することをお薦めします。
キーストアのパスワードを変更するには、.xlkeystoreのストアパスと.xlkeystoreのxellエントリのキーパスを変更する必要があります。これら2つの値は同一である必要があります。keytoolユーティリティを使用して、次のようにキーストアのパスワードを変更します。
Oracle Identity Managerのホスト・コンピュータでコマンド・プロンプトを開きます。
OIM_HOME\xellerate\configディレクトリに移動します。
次のオプションを使用してkeytoolユーティリティを実行し、ストアパスを変更します。
JAVA_HOME\jre\bin\keytool -storepasswd -new new_password -storepass xellerate -keystore .xlkeystore -storetype JKS
次のオプションを使用してkeytoolを実行し、.xlkeystoreのxellエントリのキーパスを変更します。
JAVA_HOME\jre\bin\keytool -keypasswd -alias xell -keypass xellerate -new new_password -keystore .xlkeystore -storepass new_password
|
注意: 手順3で入力したパスワードでnew_passwordを置き換えます。 |
表9-1に、このkeytoolの例で使用したオプションを示します。
OIM_HOME\xellerate\config\xlconfig.xmlファイルをテキスト・エディタで開きます。
<xl-configuration>.<Security>.<XLPKIProvider>.<KeyStore>セクション、<xl-configuration>.<Security>.<XLPKIProvider>.<Keys>セクションおよび<RMSecurity>.<KeyStore>セクションを編集し、次のようにキーストア・パスワードを指定します。
|
注意: データベースのキーストア(.xldatabasekey)のパスワードを更新するには、構成ファイルの<XLSymmetricProvider>.<KeyStore>セクションを変更します。 |
パスワード・タグをencrypted="false"に変更します。
パスワードを次のように入力します。
<Security>
<XLPKIProvider>
<KeyStore>
<Location>.xlkeystore</Location>
<Password encrypted="false">new_password</Password>
<Type>JKS</Type>
<Provider>sun.security.provider.Sun</Provider>
</KeyStore>
<Keys>
<PrivateKey>
<Alias>xell</Alias>
<Password encrypted="false">new_password</Password>
</PrivateKey>
</Keys>
<RMSecurity>
<KeyStore>
<Location>.xlkeystore</Location>
<Password encrypted="false">new_password</Password>
<Type>JKS</Type>
<Provider>sun.security.provider.Sun</Provider>
</KeyStore>
xlconfig.xmlファイルを保存して閉じます。
|
注意: 「Oracle Identity Managerの起動」および「Oracle Identity Managerの停止」の手順を実行すると、構成ファイルのバックアップが作成されます。その際、構成ファイル内の新しいパスワードも読み込まれ、ファイル内で暗号化されます。バックアップ・ファイルの削除は、ここまでの手順がすべて正常に終了した後で行うことができます。UNIXの場合は、次のコマンドを使用してシェルのコマンド履歴もクリアできます。 history -c |
アダプタをコンパイルする、あるいはアダプタを持つデプロイメント・マネージャのXMLファイルをインポートするには、コンパイラ・パスを設定する必要があります。アダプタ・コンパイル用のコンパイラ・パスを設定するには、先にDesign Consoleをインストールしておく必要があります。Design Consoleのインストールおよびアダプタ・コンパイル用コンパイラ・パスの設定方法は、第8章「Oracle Identity Manager Design Consoleのインストールと構成」を参照してください。
Oracle Identity Managerの任意のコンポーネントを初めて起動するか、またはxlconfig.xmlファイル内のパスワードを変更した後で起動すると、Oracle Identity Managerによってパスワードの暗号化と保存が行われます。その際、変更がファイルに保存される前に、xlconfig.xmlのバックアップ・コピーも作成されます。これらのバックアップ・ファイルには、旧来のプレーンテキストを使用したパスワードが保存されます。このバックアップ・ファイルには、xlconfig.xml.xという形式で名前が付けられます。xの箇所には、xlconfig.xml.0、xlconfig.xml.1といった順に、最新の番号が付けられていきます。
|
注意: Oracle Identity Managerのいずれかのコンポーネントを最初に起動した後、またはxlconfig.xmlのパスワードを変更して再起動した後には、新しいパスワードが正常に機能していることを確認したうえで、これらのバックアップ・ファイルを必ず削除してください。 |
デフォルトでは、Oracle Identity Managerは次のWebアプリケーションURLを使用します。場合によっては、次のURLへのアクセスを許可するためにプロキシを構成する必要があります。
/xlWebApp
/xlScheduler
/Nexaweb
/spmlws
Oracle Identity Managerでは、ロギングにlog4jが使用されます。ログ・レベルは、ロギング・プロパティ・ファイルOIM_HOME/xellerate/config/log.propertiesで構成されます。
次に、サポートされるログ・レベルを、ロギングされる情報量の降順で示します。DEBUGでは最も多くの情報がロギングされ、FATALでは最も少ない情報がロギングされます。
DEBUG
INFO
WARN
ERROR
FATAL
デフォルトでは、Oracle Identity Managerは警告レベル(WARN)で出力するように構成されています。ただし、デバッグ・レベル(DEBUG)で出力するように構成されているDDMを除きます。すべてのコンポーネント、または1つ以上の特定のコンポーネントについてログ・レベルを変更することもできます。
Oracle Identity Managerコンポーネントは、OIM_HOME\xellerate\config\log.propertiesファイルのXELLERATEセクションに指定されます。次に例を示します。
log4j.logger.XELLERATE=WARN log4j.logger.XELLERATE.DDM=DEBUG log4j.logger.XELLERATE.ACCOUNTMANAGEMENT=DEBUG log4j.logger.XELLERATE.SERVER=DEBUG log4j.logger.XELLERATE.RESOURCEMANAGEMENT=DEBUG log4j.logger.XELLERATE.REQUESTS=DEBUG log4j.logger.XELLERATE.WORKFLOW=DEBUG log4j.logger.XELLERATE.WEBAPP=DEBUG log4j.logger.XELLERATE.SCHEDULER=DEBUG log4j.logger.XELLERATE.SCHEDULER.Task=DEBUG log4j.logger.XELLERATE.ADAPTERS=DEBUG log4j.logger.XELLERATE.JAVACLIENT=DEBUG log4j.logger.XELLERATE.POLICIES=DEBUG log4j.logger.XELLERATE.RULES=DEBUG log4j.logger.XELLERATE.DATABASE=DEBUG log4j.logger.XELLERATE.APIS=DEBUG log4j.logger.XELLERATE.OBJECTMANAGEMENT=DEBUG log4j.logger.XELLERATE.JMS=DEBUG log4j.logger.XELLERATE.REMOTEMANAGER=DEBUG log4j.logger.XELLERATE.CACHEMANAGEMENT=DEBUG log4j.logger.XELLERATE.ATTESTATION=DEBUG log4j.logger.XELLERATE.AUDITOR=DEBUG
Oracle Identity Managerのログ・レベルを設定するには、OIM_HOME\xellerate\config\log.propertiesファイルのロギング・プロパティを次のように編集します。
|
注意: クラスタ・インストールでは、クラスタのすべてのノードでこの手順を実行します。 |
OIM_HOME\xellerate\config\log.propertiesファイルをテキスト・エディタで開きます。
このファイルには、Oracle Identity Managerの一般的な設定と、Oracle Identity Managerを構成するコンポーネントやモジュールの個別の設定が含まれます。
デフォルトでは、Oracle Identity ManagerはWARNレベルの出力を提供するように構成されます。
log4j.logger.XELLERATE=WARN
これはOracle Identity Managerの一般的な設定の値です。個々のコンポーネントとモジュールの値は、プロパティ・ファイルの一般的な値の後に指定されます。個々のコンポーネントとモジュールは様々なログ・レベルに設定できます。特定のコンポーネントのログ・レベルが一般設定よりも優先されます。
一般設定の値を必要なログ・レベルに設定します。
要件に応じてその他のコンポーネントのログ・レベルを設定します。
個々のコンポーネントまたはモジュールには、様々なログ・レベルを指定できます。たとえば、次の値を指定すると、Account Managementモジュールのログ・レベルがINFO、サーバーはDEBUGレベル、その他のOracle Identity ManagerはWARNレベルに設定されます。
log4j.logger.XELLERATE=WARN log4j.logger.XELLERATE.ACCOUNTMANAGEMENT=INFO log4j.logger.XELLERATE.SERVER=DEBUG
変更内容を保存します。
次の手順では、ASCII文字のログインに対してシングル・サインオンを有効にする方法について説明します。非ASCII文字のログインに対応するシングル・サインオンを有効にする場合も、次の手順を使用しますが、手順4で説明する追加の構成設定が必要です。
|
関連項目: Oracle Access Managerを使用する場合のシングル・サインオンの構成の詳細は、『Oracle Identity Managerベスト・プラクティス・ガイド』を参照してください。 |
|
注意: ヘッダー名には、英字、ダッシュ文字(-)およびアンダースコア文字(_)のみを使用できます。ヘッダー名には特殊な文字や数字を使用しないことをお薦めします。 |
Oracle Identity Managerのためにシングル・サインオンを有効にするには、次のようにします。
アプリケーション・サーバーを正常に停止します。
OIM_HOME\xellerate\config\xlconfig.xmlファイルをテキスト・エディタで開きます。
次のシングル・サインオン構成を特定します。次は、シングル・サインオンなしのデフォルト設定です。
<web-client>
<Authentication>Default</Authentication>
<AuthHeader>REMOTE_USER</AuthHeader>
</web-client>
次のようにシングル・サインオン構成を編集し、シングル・サインオン・システムで構成した適切なヘッダーでSSO_HEADER_NAMEを置き換えます。
<web-client>
<Authentication>SSO</Authentication>
<AuthHeader>SSO_HEADER_NAME</AuthHeader>
</web-client>
非ASCII文字のログインに対応するシングル・サインオンを有効にするには、非ASCIIのヘッダー値をデコードするようにデコード・クラス名を指定する必要があります。デコード・クラス名を追加し、シングル・サインオン構成を次のように編集します。
<web-client>
<Authentication>SSO</Authentication>
<AuthHeader>SSO_HEADER_NAME</AuthHeader>
<AuthHeaderDecoder>com.thortech.xl.security.auth.CoreIDSSOAuthHeaderDecoder</AuthHeaderDecoder>
</web-client>
シングル・サインオン・システムで構成した適切なヘッダーでSSO_HEADER_NAMEを置き換えます。
アプリケーション・サーバーとWebサーバーの構成を変更して、シングル・サインオンを有効にします。アプリケーション・サーバーおよびWebサーバーのベンダーのドキュメントを参照してください。
アプリケーション・サーバーを再起動します。
ここでは、カスタム認証ソリューションをOracle Identity Managerで使用する方法について説明します。
Oracle Identity Managerは、ユーザーを認証するためにJava Authentication and Authorization Service(JAAS)モジュールをデプロイしています。オフライン・メッセージ処理およびスケジュール済タスクの実行を必要とするような認証のいらないログインに対して、Oracle Identity Managerは署名ベースの認証を使用します。署名ベースの認証を取り扱う場合はJAASを使用する必要がありますが、標準の認証リクエストを取り扱う場合はカスタム認証ソリューションの使用が可能です。
|
注意: Oracle Identity Manager JAASモジュールはアプリケーション・サーバーにデプロイして、認証機能として最初に起動する必要があります。 |
Oracle WebLogic Serverでカスタム認証を有効にするには、WebLogicサーバー・コンソールを使用します。ここでは、複数の認証プロバイダを追加でき、それらのプロバイダを特定の順序で起動することができます。指定するカスタム認証プロバイダが標準認証リクエストを処理し、Oracle Identity Manager JAASモジュールは署名ベース認証の処理を引き続き行います。
|
注意: 指定するカスタム認証プロバイダは、WebLogicサーバー・コンソールの認証プロバイダのリストで、Oracle Identity Manager JAASモジュールよりも後にあることが必要です。 |
Oracle WebLogic Serverに対してカスタム認証プロバイダを指定するには、次のようにします。
WebLogicサーバー・コンソールを起動し、domain/Security/Realms/realm name/Providers/Authenticationの「認証プロバイダ」ページを開きます。
「認証プロバイダ」ページで、ページ下部の表から「Oracle Identity Manager Authenticator」を選択します。Oracle Identity Manager Authenticatorページが表示されます。
Oracle Identity Manager Authenticatorページで、「詳細」タブのカスタム認証を許可オプションを選択し、「適用」をクリックします。
「認証プロバイダ」ページで、追加するカスタム認証プロバイダの新規のコンフィグレーション・リンクをクリックして新しい認証プロバイダを構成します。
新しい認証プロバイダの構成が終了したら、そのプロバイダが認証プロバイダのリストでOracle Identity Manager Authenticator(つまりOracle Identity Manager JAASモジュール)の後にあることを確認します。リストでOracle Identity Manager Authenticatorがカスタム認証プロバイダよりも上にない場合は、「コンフィグレーション済み認証プロバイダの並べ替え」をクリックしてください。
カスタム認証ソリューションを指定する場合は、Java Naming and Directory Interface(JNDI)ネームスペースを保護して、指定ユーザーのみがリソースの表示権限を持つようにすることも必要です。JNDIネームスペースを保護する主要な目的は、同じアプリケーション・サーバー・インスタンスにインストールされている可能性がある悪質なアプリケーションからOracle Identity Managerを保護することです。悪質かどうかにかかわらず他のアプリケーションがOracle Identity Managerと同じアプリケーション・サーバー・インスタンスにインストールされていなくても、標準のセキュリティ対策としてJNDIネームスペースを保護する必要があります。
JNDIネームスペースを保護し、Oracle Identity ManagerがJNDIネームスペースにアクセスするように構成するには、次のようにします。
WebLogicサーバー・コンソールから、次の手順を実行します。
「環境」→「サーバー」→「AdminServer」をクリックします。
「JNDIツリーの表示」リンクをクリックします。
表示されるページで、「セキュリティ」タブをクリックします。
「セキュリティ」タブで「ポリシー」タブをクリックします。
「ポリシー条件」セクションで「条件の追加」をクリックします。「述部の選択」ページが表示されます。
「述部リスト」から、セキュリティ条件ポリシーを作成するための述部を選択する必要があります。Oracle Identity Managerの場合は、このリストから「ユーザー」を選択し、「次へ」をクリックします。
「ユーザー引数名」フィールドに、要件に応じてInternalまたはxelsysadmを入力し、「追加」をクリックします。
「終了」をクリックします。
|
注意: クラスタ・インストールでは、Oracle Identity Managerがインストールされているドメイン内のすべての使用可能なサーバーについて手順を繰り返します。 |
テキスト・エディタでOIM_HOME/config/xlconfig.xmlファイルを開き、次の要素を<Discovery>要素に追加します。
<java.naming.security.principal>user</java.naming.security.principal> <java.naming.security.credentials>user_password</java.naming.security.credentials>
userにはInternalを指定します。user_passwordにはInternalのパスワードを入力します。
オプションとしてJNDIパスワードを暗号化するには、次のように、値trueを割り当てたencrypted属性を<java.naming.security.credentials>要素に追加し、要素の値としてパスワードを割り当てます。
<java.naming.security.credentials encrypted="true">password</java.naming.security.credentials>
|
注意: プレーンテキストのパスワードを保護するために、encrypted="true"属性を追加することを強くお薦めします。 |
次の要素を<Scheduler>要素に追加します。
<CustomProperties> <org.quartz.dataSource.OracleDS.java.naming.security.principal>user </org.quartz.dataSource.OracleDS.java.naming.security.principal> <org.quartz.dataSource.OracleDS.java.naming.security.credentials>user_password </org.quartz.dataSource.OracleDS.java.naming.security.credentials></CustomProperties>
サーバーを再起動します。
組織では、ユーザー・レコードの変更情報を交換する複数のプロビジョニング・システムを使用できます。また、複数のプロビジョニング・システムとやりとりするアプリケーションがある場合もあります。SPML Webサービスは、Oracle Identity Managerに対してレイヤーを提供し、SPMLリクエストを解析してOracle Identity Managerコールに変換できるようにします。
SPML Webサービスは、デプロイ可能なエンタープライズ・アーカイブ(EAR)ファイルにパッケージ化されています。このファイルは、Oracle Identity Managerのインストール時に生成されます。
EARファイルはOracle Identity Managerのインストール時に生成されるため、SPML WebサービスをOracle Identity Managerの実行元アプリケーション・サーバーにデプロイするためのスクリプトは、Oracle Identity Managerホーム・ディレクトリにある別のバッチ・ファイルによって実行されます。SPML Webサービスをデプロイするには、このバッチ・ファイルを実行する必要があります。
詳細は、『Oracle Identity Manager Toolsリファレンス』の第12章「SPML Webサービス」を参照してください。
Oracle WebLogic Serverクラスタ上のOracle Identity Managerは、デフォルトでは、メモリー間のセッション・レプリケーションおよびフェイルオーバーを提供するように構成されます。ただし、データベースベースのレプリケーションを使用することもできます。データベースベース・レプリケーションを有効にするには、次のようにします。
アプリケーション・サーバー・ホストのOIM_HOME/ProfilesにあるプロファイルWebLogic.profileを編集し、レプリケーション・メカニズムをInMemoryからDatabaseに変更します。
OIM_HOME\xellerate\OIMApplicationsディレクトリを削除します。
アプリケーションにパッチを適用するには、OIM_HOME\xellerate\setupディレクトリにあるpatch_weblogicスクリプトを実行します。
|
注意: セッションの保持に必要なデータベース表は手動で作成する必要があります。これらの表の作成については、Oracle WebLogic Serverのドキュメントを参照してください。 |
Oracle WebLogic Serverでは他のタイプのフェイルオーバー・メカニズムを使用することも可能です。その場合は、OIM_HOME/DDTemplates/xlWebAppディレクトリにあるデプロイ記述子(weblogic.xml)を修正して、Webアプリケーション記述子に応じた設定を挿入します。変更したら、既存のアプリケーションを修正するためにpatch_weblogicスクリプトを実行してください。
|
注意: デプロイ記述子がアップグレード中などに変更された場合には、これと同じ変更をデプロイ記述子に対してもう一度行う必要があります。 |
