7 Oracle Identity ManagerおよびOracle Application Serverのインストール後の構成

Oracle Identity Managerをインストールした後、アプリケーションを使用する前に、インストール後のタスクをいくつか実行する必要があります。デプロイによって異なりますが、これらのタスクの一部は実行しないことも可能です。

この章では次の項目について説明します。

• デフォルトのJMSキュー構成

• 必要なインストール後のタスク

• インストール後のオプション・タスク

注意: この章の例はWindowsのものですが、インストール後のタスクはUNIXにも適用されます。

7.1 デフォルトのJMSキュー構成

9.1.0より前のリリースのOracle Identity Managerでは、リクエスト、リコンシリエーション、アテステーションおよびオフライン・タスクを含むすべての非同期操作に対して、xlQueueという1つのJMSキューを使用します。リリース9.1.0以降のOracle Identity Managerでは、デフォルトで、特定の操作に対して異なるJMSキューを使用してJMSキュー処理を最適化します。次のリストは、デフォルト構成でのJMS問合せと、各問合せに関連する操作を示したものです。

• xlQueue（リクエスト処理用）

• xlReconQueue（リコンシリエーション処理用）

• xlAuditQueue（監査処理用）

• xlAttestationQueue（アテステーション処理用）

• xlProcessQueue（今後のリリースで使用されます）

7.2 必要なインストール後のタスク

Oracle Application ServerにOracle Identity Managerをインストールした後、次のタスクを実行する必要があります。

• キーストア・パスワードの変更

• PurgeCacheスクリプト内のjgroups-core.jarファイルのパスの設定

• JMSキューのデータベース・ベース記憶域の設定

• アダプタ・コンパイル用コンパイラ・パスの設定

• JDBC接続プールのチューニング

• Oracle Application Serverヒープ・サイズの増加

7.2.1 キーストア・パスワードの変更

Oracle Identity Managerのキーストアのパスワードは、インストール時にxellerateに設定されます。インストーラ・スクリプトおよびインストール・ログには、このデフォルトのパスワードが含まれています。本番用のインストールにおいては、必ずこのキーストア・パスワードを変更することをお薦めします。

キーストア・パスワードを変更するには、.xlkeystoreのstorepassおよび.xlkeystoreのxellエントリのkeypassを変更する必要があります。これら2つの値は同一である必要があります。keytoolを使用し、次の手順に従ってキーストアのパスワードを変更します。

1. Oracle Identity Managerのホスト・コンピュータでコマンド・プロンプトを開きます。

2. OIM_HOME\xellerate\configディレクトリに移動します。

3. テキスト・エディタでOIM_HOME\xellerate\config\xlconfig.xmlを開き、<Discovery><CoreServer>タグ下のormiで始まる4つのURLエントリを確認します。これらすべてのエントリのRMIポートが正しく指定されている必要があります。

   使用しているOracle Application ServerインスタンスのRMIポートを確認するには、次のコマンドを実行します。

   ORACLE_HOME/opmn/bin/opmnctl status -l
   

4. 次のオプションを指定してkeytoolを実行し、ストアパスを変更します。

   JAVA_HOME\jre\bin\keytool -storepasswd -new new_password -storepass xellerate
   -keystore .xlkeystore -storetype JKS
   

5. 次のオプションを使用してkeytoolを実行し、.xlkeystoreのxellエントリのキーパスを変更します。

   JAVA_HOME\jre\bin\keytool -keypasswd -alias xell -keypass xellerate -new new_password
   -keystore .xlkeystore -storepass new_password
   

   
   

   注意: 手順3で入力したパスワードでnew_passwordを置き換えます。

   
   

   表7-1に、このkeytoolの例で使用したオプションを示します。

   表7-1 keytoolユーティリティのコマンド・オプション

   オプション	説明
   JAVA_HOME	アプリケーション・サーバーに関連するJavaディレクトリの場所
   new_password	キーストアの新しいパスワード
   -keystore option	パスワードを変更するキーストア（Oracle Identity Managerでは.xlkeystore、データベースでは.xldatabasekey）
   -storetype option	.xlkeystoreの場合はJKS、.xldatabasekeyの場合はJCEKS

   
   

6. OIM_HOME\xellerate\config\xlconfig.xmlファイルで、<xl-configuration>.<Security>.<XLPKIProvider>.<KeyStore>セクション、<xl-configuration>.<Security>.<XLPKIProvider>.<Keys>セクション、および<RMSecurity>.<KeyStore>セクションを編集して、次のようにキーストア・パスワードを指定します。

   
   

   注意: データベースのキーストア（.xldatabasekey）のパスワードを更新するには、構成ファイルの<XLSymmetricProvider>.<KeyStore>セクションを変更します。

   
   

   • パスワード・タグをencrypted="false"に変更します。

   • （通常の文字で）パスワードを入力します。次に例を示します。

     <Security>
     <XLPKIProvider>
     <KeyStore>
           <Location>.xlkeystore</Location>
           <Password encrypted="false">new_password</Password>
           <Type>JKS</Type>
           <Provider>sun.security.provider.Sun</Provider>
     </KeyStore>
     <Keys>
     <PrivateKey>
     <Alias>xell</Alias>
     <Password encrypted="false">new_password</Password>
     </PrivateKey>
     </Keys>
     <RMSecurity>
     <KeyStore>
     <Location>.xlkeystore</Location>
     <Password encrypted="false">new_password</Password>
     <Type>JKS</Type>
     <Provider>sun.security.provider.Sun</Provider>
     </KeyStore>
     

7. xlconfig.xmlファイルを保存して閉じます。

8. アプリケーション・サーバーを再起動します。これには、次のコマンドを実行します。

   Oracle Application Serverの停止:

   ORACLE_HOME/opmn/bin/opmnctl stopall
   

   Oracle Application Serverの起動:

   ORACLE_HOME/opmn/bin/opmnctl startall
   

   アプリケーション・サーバーを停止して起動すると、構成ファイルのバックアップが作成されます。構成ファイル（新しいパスワードを含む）が読み込まれ、ファイル内でパスワードは暗号化されます。

9. ここまでの手順がすべて正常に終了したら、バックアップ・ファイルを削除することができます。

   
   

   注意: UNIXでは、次のコマンドを使用してshellコマンドの履歴を消去してもかまいません。 history -c

   
   

7.2.2 PurgeCacheスクリプト内のjgroups-core.jarファイルのパスの設定

PurgeCacheスクリプト内のjgroups-core.jarファイルのパスを、次のようにして設定します。

関連項目: PurgeCacheスクリプトの詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。

1. Oracle Application Serverインストール・ディレクトリでjgroups-core.jarファイルを検索します。

2. PurgeCacheファイルをテキスト・エディタで開きます。

   UNIXの場合:

   OIM_HOME/xellerate/bin/PurgeCache.sh
   

   Microsoft Windowsの場合:

   OIM_HOME\xellerate\bin\PurgeCache.bat
   

3. PurgeCacheファイルでCLASSPATH変数を検索します。

4. CLASSPATH変数に割り当てられた値で、%XEL_EXT%\javagroups-all.jarの前に、jgroups-core.jarファイルのフルパスおよび名前を追加します。

7.2.3 JMSキューのデータベース・ベース記憶域の設定

Oracle Identity Managerインストーラにより、JMSメッセージのファイル・ベース記憶域のためのJMSキューが作成されます。これはOracle Identity ManagerのJMSキューに対するデフォルトの記憶域メカニズムです。ただし、本番環境およびクラスタ・インストールでは、この項で説明する手順を実行して、JMSキューのデータベース・ベース記憶域を設定することをお薦めします。

注意: アドバンスト・キューイングを使用したOracle Enterprise Messaging Services JMSの操作の詳細は、『Oracle Containers for J2EEサービス・ガイド』の第4章「Oracle Enterprise Messaging Serviceの使用」を参照してください。 JMSキューのデータベース・ベース記憶域を設定する前に、Oracle Application Server構成のバックアップを作成してください。詳細は、「Oracle Application Server構成のバックアップの作成」を参照してください。 管理およびユーザー・コンソールを使用して、すべてのスケジュール済タスクを停止することをお薦めします。停止しないと、AQ手順の実装とサーバーの再起動の間のサーバー・ログにAuthenticationExceptionが表示される場合があります。この例外によるOracle Identity Managerの機能への影響はないため、この例外は無視してかまいません。 AIXオペレーティング・システムを使用している場合、patch_oc4j.cmdまたはpatch_oc4j.shスクリプトを実行する前に、Oracle Application Server管理コンソールを使用してXellerateアプリケーションを手動でアンデプロイする必要があります。

JMSキューのデータベース・ベース記憶域の設定方法は、次のURLのNote 554624.1を参照してください。

http://metalink.oracle.com

7.2.4 アダプタ・コンパイル用コンパイラ・パスの設定

アダプタをコンパイルする、あるいはアダプタを持つデプロイメント・マネージャのXMLファイルをインポートするには、コンパイラ・パスを設定する必要があります。アダプタ・コンパイル用のコンパイラ・パスを設定するには、先にDesign Consoleをインストールしておく必要があります。Design Consoleをインストールしてアダプタ・コンパイル用のコンパイラ・パスを設定する手順は、第10章「Oracle Identity Manager Design Consoleのインストールと構成」を参照してください。

7.2.5 JDBC接続プールのチューニング

Oracle Identity Managerで使用されるJDBC接続プールのチューニングを実装するには、ORACLE_HOME/j2ee/INSTANCE_NAME/config/data-sources.xmlファイルを開き、次の変更を実行します。

注意: Oracle Identity Managerで使用されるJDBC接続プール用に推奨されたチューニングを実装することを強くお薦めします。これは、アプリケーションの使用方法に基づいてさらにチューニングできます。

1. xlConnectionPoolの最大および最小接続プール値は、次のとおりです。

   min-connections="10"
   max-connections="50"
   

2. xlXAConnectionPoolの最大および最小接続プール値は、次のとおりです。

   min-connections="30"
   max-connections="100"
   

3. Oracle Application Serverのヒープ・サイズを増やし（「Oracle Application Serverヒープ・サイズの増加」の項を参照）、変更内容を有効にするためにOracle Application Serverを再起動します。

   Oracle Application Serverを再起動するには、次のコマンドを実行します。

   Oracle Application Serverの停止:

   ORACLE_HOME/opmn/bin/opmnctl stopall
   

   Oracle Application Serverの起動:

   ORACLE_HOME/opmn/bin/opmnctl startall
   

   
   

   注意: Oracle Application Server上のOracle Identity Managerのクラスタ・インストールでは、手順1〜3で示した変更はすべてOracle Application Serverインスタンスに実装されます。また、増加した接続数がデータベースでサポートされていることを確認してください。

   
   

7.2.6 Oracle Application Serverヒープ・サイズの増加

Oracle Application ServerにOracle Identity Managerをインストールした後で、本番環境用に、あるいは本番以外の環境で大量のデータを処理する際に、JVMメモリー設定を変更する必要があります。

次の手順を実行してOracle Application Serverヒープ・サイズを増やします。

1. ORACLE_HOME\opmn\conf\opmn.xmlファイルをテキスト・エディタで開きます。

2. Oracle Identity ManagerをインストールしたOC4Jインスタンスのメモリー設定を変更します。

   -ms512M -mx1024M

   この行を次のように変更します。

   -ms1280m -mx1280m

3. ORACLE_HOME\opmn\conf\opmn.xmlファイルを保存して閉じます。

4. Oracle Application Serverを再起動します。これには、次のコマンドを実行します。

   Oracle Application Serverの停止:

   ORACLE_HOME/opmn/bin/opmnctl stopall
   

   Oracle Application Serverの起動:

   ORACLE_HOME/opmn/bin/opmnctl startall
   

7.3 インストール後のオプション・タスク

Oracle Identity Managerをインストールしたら、アプリケーションを使用する前に、この項で説明する次に示すインストール後のオプション・タスクの実行について検討してください。Oracle Identity Managerのデプロイによって異なりますが、タスクの一部は実行しないことも可能です。

• ログ・レベルの設定

• Oracle Identity Managerでのシングル・サインオン（SSO）の有効化

• SPML Webサービスのデプロイ

• トランザクション・タイムアウトの変更

7.3.1 ログ・レベルの設定

Oracle Identity Managerでは、ロギングにlog4jが使用されます。ログ・レベルは、ロギング・プロパティ・ファイルOIM_HOME/xellerate/config/log.propertiesで構成されます。ログ・レベルは、デフォルトで警告に設定されています。ただし、DDMのログ・レベルはデフォルトでデバッグに設定されています。すべてのコンポーネントを一括して、または個別のコンポーネントごとにログ・レベルを変更できます。

たとえば、Oracle Identity Managerコンポーネントは、OIM_HOME\xellerate\config\log.propertiesファイルのXELLERATEセクションに次のように指定されます。

log4j.logger.XELLERATE=WARN
log4j.logger.XELLERATE.DDM=DEBUG
log4j.logger.XELLERATE.ACCOUNTMANAGEMENT=DEBUG
log4j.logger.XELLERATE.SERVER=DEBUG
log4j.logger.XELLERATE.RESOURCEMANAGEMENT=DEBUG
log4j.logger.XELLERATE.REQUESTS=DEBUG
log4j.logger.XELLERATE.WORKFLOW=DEBUG
log4j.logger.XELLERATE.WEBAPP=DEBUG
log4j.logger.XELLERATE.SCHEDULER=DEBUG
log4j.logger.XELLERATE.SCHEDULER.Task=DEBUG
log4j.logger.XELLERATE.ADAPTERS=DEBUG
log4j.logger.XELLERATE.JAVACLIENT=DEBUG
log4j.logger.XELLERATE.POLICIES=DEBUG
log4j.logger.XELLERATE.RULES=DEBUG
log4j.logger.XELLERATE.DATABASE=DEBUG
log4j.logger.XELLERATE.APIS=DEBUG
log4j.logger.XELLERATE.OBJECTMANAGEMENT=DEBUG
log4j.logger.XELLERATE.JMS=DEBUG
log4j.logger.XELLERATE.REMOTEMANAGER=DEBUG
log4j.logger.XELLERATE.CACHEMANAGEMENT=DEBUG
log4j.logger.XELLERATE.ATTESTATION=DEBUG
log4j.logger.XELLERATE.AUDITOR=DEBUG

Oracle Identity Managerのログ・レベルを設定するには、OIM_HOME\xellerate\config\log.propertiesファイルのロギング・プロパティを次のように編集します。

1. OIM_HOME\xellerate\config\log.propertiesファイルをテキスト・エディタで開きます。このファイルには、Oracle Identity Managerの一般的な設定と、Oracle Identity Managerを構成するコンポーネントやモジュールの個別の設定が含まれます。

   デフォルトでは、Oracle Identity Managerのログ・レベルは、次のように警告（WARN）に設定されています。

   log4j.logger.XELLERATE=WARN

   これはOracle Identity Managerの一般的な設定の値です。個々のコンポーネントとモジュールの値は、プロパティ・ファイルの一般的な値の後に指定されます。個々のコンポーネントとモジュールは様々なログ・レベルに設定できます。特定のコンポーネントのログ・レベルが一般設定よりも優先されます。

2. 一般設定の値を必要なログ・レベルに設定します。次に、サポートされるログ・レベルのリストを、ロギング情報の多い順に示します（DEBUGでは最も多くの情報がロギングされ、FATALでは最も少ない情報がロギングされます）。

   • DEBUG

   • INFO

   • WARN

   • ERROR

   • FATAL

3. 他のコンポーネントのログ・レベルを必要に応じて設定します。個々のコンポーネントまたはモジュールには、様々なログ・レベルを指定できます。たとえば、次の値を指定すると、Account Managementモジュールのログ・レベルがINFO、サーバーはDEBUGレベル、その他のOracle Identity ManagerはWARNレベルに設定されます。

   log4j.logger.XELLERATE=WARNlog4j.logger.XELLERATE.ACCOUNTMANAGEMENT=INFOlog4j.logger.XELLERATE.SERVER=DEBUG

4. 変更内容を保存します。

5. 変更内容を有効にするためにアプリケーション・サーバーを再起動します。これには、次のコマンドを実行します。

   Oracle Application Serverの停止:

   ORACLE_HOME/opmn/bin/opmnctl stopall
   

   Oracle Application Serverの起動:

   ORACLE_HOME/opmn/bin/opmnctl startall
   

7.3.2 Oracle Identity Managerでのシングル・サインオン（SSO）の有効化

この後の手順では、ASCII文字ログインを使用してOracle Identity Managerでのシングル・サインオンを有効化する方法を説明します。非ASCII文字のログインに対応するシングル・サインオンを有効にする場合も、次の手順を使用しますが、手順4で説明する追加の構成が必要です。

関連項目: Oracle Access Managerを利用するOracle Identity Managerでのシングル・サインオンの構成の詳細は、『Oracle Identity Managerベスト・プラクティス・ガイド』を参照してください。

注意: 英字のみのヘッダー名しか認証されません。ヘッダー名には特殊な文字や数字を使用しないことをお薦めします。

Oracle Identity Managerのためにシングル・サインオンを有効にするには、次のようにします。

1. アプリケーション・サーバーを正常に停止します。

2. テキスト・エディタでOIM_HOME/xellerate/config/xlconfig.xmlを開きます。

3. 次のようなシングル・サインオンの構成を探します（次に示すのは、シングル・サインオンを含まないデフォルト設定です）。

   <web-client>
   <Authentication>Default</Authentication>
   <AuthHeader>REMOTE_USER</AuthHeader>
   </web-client>
   

4. 次のようにシングル・サインオン構成を編集し、シングル・サインオン・システムで構成した適切なヘッダーでSSO_HEADER_NAMEを置き換えます。

   <web-client>
   <Authentication>SSO</Authentication>
   <AuthHeader>SSO_HEADER_NAME</AuthHeader>
   </web-client>
   

   非ASCII文字のログインに対応するシングル・サインオンを有効にするには、非ASCIIのヘッダー値をデコードするようにデコード・クラス名を指定する必要があります。デコード・クラス名を追加し、シングル・サインオン構成を次のように編集します。

   <web-client>
   <Authentication>SSO</Authentication>
   <AuthHeader>SSO_HEADER_NAME</AuthHeader>
   <AuthHeaderDecoder>com.thortech.xl.security.auth.CoreIDSSOAuthHeaderDecoder</AuthHeaderDecoder>
   </web-client>
   

   シングル・サインオン・システムで構成した適切なヘッダーでSSO_HEADER_NAMEを置き換えます。

5. アプリケーション・サーバーおよびWebサーバーのベンダーのドキュメントを参照して、アプリケーション・サーバーおよびWebサーバーの構成を変更します。

6. アプリケーション・サーバーを再起動します。これには、次のコマンドを実行します。

   Oracle Application Serverの停止:

   ORACLE_HOME/opmn/bin/opmnctl stopall
   

   Oracle Application Serverの起動:

   ORACLE_HOME/opmn/bin/opmnctl startall
   

7.3.3 SPML Webサービスのデプロイ

組織では、ユーザー・レコードの変更情報を交換する複数のプロビジョニング・システムを使用できます。また、複数のプロビジョニング・システムとやり取りするアプリケーションがある場合もあります。SPML Webサービスは、Oracle Identity Managerに対してレイヤーを提供し、SPMLリクエストを解析してOracle Identity Managerコールに変換できるようにします。

SPML Webサービスは、デプロイ可能なエンタープライズ・アーカイブ（EAR）ファイルにパッケージ化されています。このファイルは、Oracle Identity Managerのインストール時に生成されます。

EARファイルはOracle Identity Managerのインストール時に生成されるため、SPML WebサービスをOracle Identity Managerの実行元アプリケーション・サーバーにデプロイするためのスクリプトは、Oracle Identity Managerホーム・ディレクトリにある別のバッチ・ファイルによって実行されます。SPML Webサービスをデプロイするには、このバッチ・ファイルを実行する必要があります。

SPML Webサービスの詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』の第12章「SPML Webサービス」を参照してください。

7.3.4 トランザクション・タイムアウトの変更

インポートおよびエクスポート操作のトランザクション・タイムアウトのデフォルト値は、600秒です。このタイムアウトは、デフォルトのグローバル・トランザクション・タイムアウトの1200秒を上書きします。エクスポートおよびインポート操作のトランザクション・タイムアウトを増加または変更するには、次のようにします。

1. HTTPタイムアウトを増やします。これには、次のようにします。

   1. ORACLE_HOME/Apache/Apache/confディレクトリに移動します。

   2. テキスト・エディタでhttpd.confファイルを開きます。

   3. "Timeout"を検索します。

   4. Timeoutプロパティの値を変更します。

   5. http.confファイルを保存して閉じます。

2. グローバル・トランザクション・タイムアウトを増やします。これには、次のようにします。

   1. OIM_HOME/j2ee/ORACLE_HOME/config/transaction-manager.xmlファイルを開きます。

   2. transaction-timeoutプロパティを検索し、値を増やします。

3. インポートとエクスポートのトランザクション・タイムアウトを増やします。これには、次のようにします。

   1. OIM_HOME/xellerate/DDTemplates/DOディレクトリに移動します。

   2. orion-ejb-jar.xmlファイルを開きます。

   3. orion-ejb-jar.xmlファイルで、transaction-timeoutを検索します。トランザクション・タイムアウトは、ファイル内の2つの場所（インポートとエクスポート）にあります。

   4. transaction-timeoutの値を変更します。

   5. OIM_HOME/xellerate/setupディレクトリに移動します。

   6. Oracle Application Serverを再起動します。これには、次のコマンドを実行します。

      Oracle Application Serverの停止:

      ORACLE_HOME/opmn/bin/opmnctl stopall
      

      Oracle Application Serverの起動:

      ORACLE_HOME/opmn/bin/opmnctl startall
      

   7. Oracle Identity Managerをインストールしたオペレーティング・システム別に、patch_oc4j.shまたはpatch_oc4j.cmdを実行します。

      
      

      注意: Oracle Identity Managerのクラスタ・インストールでは、エクスポートおよびインポート操作のトランザクション・タイムアウトを大きくする、または変更する手順を、すべてのOracle Application Serverインスタンスで繰り返す必要があります。 HTTPサーバー・タイムアウトが、Oracle Identity Managerに設定した値よりも低い場合、HTTPサーバー・タイムアウトの値を大きくします。HTTPサーバーのタイムアウト値は、Oracle Identity Managerのタイムアウト値よりも高くする必要があります。