| Oracle Identity Manager IBM WebSphere Application Server用インストレーションおよび構成ガイド リリース9.1.0.1 B53901-01 |
|
 戻る |
 次へ |
| Oracle Identity Manager IBM WebSphere Application Server用インストレーションおよび構成ガイド リリース9.1.0.1 B53901-01 |
|
戻る |
次へ |
Oracle Identity Managerをインストールした後で、アプリケーションを使用する前にこの章で説明するデプロイに応じたインストール後のタスクを実行します。Oracle Identity Managerのデプロイによって異なりますが、タスクの一部は実行しないことも可能です。
インストール後のタスクについて、次の項目に分けて説明します。
これまで、Oracle Identity Managerでは、すべての非同期操作(リクエスト、リコンシリエーション、アテステーションおよびオフラインのタスクなど)に対してxlQueueという単一のJMSキューが使用されていました。Oracle Identity Managerリリース9.1.0以降では、JMSキューの処理を最適化するために、デフォルトで、特定の操作に対して別々のJMSキューが使用されます。デフォルト構成のJMSキューおよびそれぞれのキューに関連する操作のリストを次に示します。
xlQueue(リクエスト操作)
xlReconQueue(リコンシリエーション操作)
xlAuditQueue(監査操作)
xlAttestationQueue(アテステーション操作)
xlProcessQueue(将来のリリースで使用)
すべてのJMSキューで、JMSメッセージのしきい値をデフォルトの50000から999999に増やす必要があります。
各JMSキューのデフォルトJMSメッセージしきい値を増やすには、次のようにします。
WebSphere管理コンソールにログインします。
「Service Integration」、「Buses」、「XellerateBus」、「Destinations」、「QUEUE_NAME」、「Queue Points」、「QUEUE_POINT_NAME」の順にクリックします。
「High Message Threshold」フィールドに999999を入力します。
すべてのJMSキューに対して手順2〜3を繰り返します。
デフォルト以外(80、443または9080以外)のポートを使用してIBM WebSphere Application ServerでOracle Identity Managerを実行するには、WebSphere管理コンソールを使用してサーバーのポート・マッピング情報を追加する必要があります。次の項で説明されているように、WebSphere管理コンソールを使用してデフォルト以外のサーバーに対するHTTP転送のポート・マッピングを追加します。
デフォルト以外のHTTPポートを使用するには、次のようにします。
「Environment」→「Virtual Host」→「default_host」→「Host Alias」を選択します。
「New」をクリックします。
ホスト名とポート番号を入力します。
|
注意: デフォルトでは、仮想ホストの設定にWebSphere構成の標準以外のポートは含まれません。標準以外のサーバー・インストールおよびクラスタ環境インストールには、仮想ホストを設定する必要があります。 |
xlclient\config\xlconfig.xmlの<ApplicationURL>タグを適切なHTTPポートに変更します。
Oracle Identity Managerのインストールに使用したアプリケーション・サーバーを再起動します。
デフォルト以外のネーミング・サービス・ポートを使用するには、次のようにします。
WebSphere管理コンソールで、「Server」、「Application Server」、「SERVER_NAME」の順に選択し、「Communication」の下にある「Ports」を選択します。BOOTSTRAP_ADDRESSをメモします。
ページにホスト名とポート番号が表示されます。デフォルト・ポートは2809です。
デフォルト以外のポートでインストールするときは、インストールがserver1上にあってもxlconfig.xmlファイルを変更する必要があります。クラスタ・インストールでは、xlconfig.xmlファイルは常に変更する必要があります。
|
注意: デフォルト・サーバーserver1には、同じセキュリティ情報を共有するために、セル内の他のすべてのサーバー(デフォルト以外)と同様に構成ファイルxlconfig.xmlが必要です。 |
次のファイルのディスカバリ・ポート設定を編集します。
xellerate\config\xlconfig.xml
xlclient\config\xlconfig.xml
業務トランザクション(複数のリクエストまたはユーザーの検索など)から大規模なデータセット・オブジェクト(500KB超)が返されると、システムから例外がスローされる原因となります。WebSphereを使用してこのような状況が発生すると、CORBA_NO_MEMORYがWebSphereのログ・ファイルに記録され、システム・エラーがエラー・メッセージ・ウィンドウとしてOracle Identity Manager管理およびユーザー・コンソールに表示されます。WebSphereのドキュメントでは、Java仮想マシンがラージ・オブジェクトを割り当てるためにヒープでブロックが連続した領域を割り当てることができないときに、割当てリクエストを満たすためのヒープ領域がまったくない、またはヒープ領域が不足しているとアプリケーション・サーバーが記録するため、この例外がスローされると説明しています。この例外を回避するには、WebSphereでORBを使用した参照によるパラメータの引渡しを有効にする必要があります。有効にすると、ORBは値ではなく参照によってパラメータを渡すため、オブジェクトのコピーは作成されなくなります。参照渡しを有効にしないと、すべてのリモート・メソッド・コールが行われる前にパラメータはスタックにコピーされます。次の手順を実行して、ORBサービスのPass by referenceパラメータを有効にします。
Oracle Identity Managerのキーストアのパスワードは、インストール時にxellerateに設定されます。インストーラ・スクリプトおよびインストール・ログには、このデフォルトのパスワードが含まれています。すべての本番インストールでキーストア・パスワードを変更することをお薦めします。
キーストアのパスワードを変更するには、.xlkeystoreのストアパスおよび.xlkeystoreのxellエントリのキーパスを変更し、これらの2つの値を同じにする必要があります。keytoolを使用し、次の手順でキーストア・パスワードを変更します。
Oracle Identity Managerのホスト・コンピュータでコマンド・プロンプトを開きます。
OIM_HOME\xellerate\configディレクトリに移動します。
次のオプションを指定してkeytoolを実行し、ストアパスを変更します。
JAVA_HOME\jre\bin\keytool -storepasswd -new new_password -storepass xellerate -keystore .xlkeystore -storetype JKS
次のオプションを指定してkeytoolを実行し、.xlkeystoreのxellエントリのキーパスを変更します。
JAVA_HOME\jre\bin\keytool -keypasswd -alias xell -keypass xellerate -new new_password -keystore .xlkeystore -storepass new_password
|
注意: new_passwordを手順3で入力したパスワードに置き換えてください。 |
表7-1に、このkeytoolの例で使用したオプションを示します。
テキスト・エディタでOIM_HOME\xellerate\config\xlconfig.xmlファイルを開きます。
<xl-configuration>.<Security>.<XLPKIProvider>.<KeyStore>セクション、<xl-configuration>.<Security>.<XLPKIProvider>.<Keys>セクションおよび<RMSecurity>.<KeyStore>セクションを編集し、キーストア・パスワードを次のように指定します。
|
注意: データベースのキーストア(.xldatabasekey)のパスワードを更新するには、構成ファイルの<XLSymmetricProvider>.<KeyStore>セクションを変更します。 |
パスワード・タグをencrypted="false"に変更します。
パスワードを入力します。次に例を示します。
<Security>
<XLPKIProvider>
<KeyStore>
<Location>.xlkeystore</Location>
<Password encrypted="false">new_password</Password>
<Type>JKS</Type>
<Provider>com.ibm.crypto.provider.IBMJCE</Provider>
</KeyStore>
<Keys>
<PrivateKey>
<Alias>xell</Alias>
<Password encrypted="false">new_password</Password>
</PrivateKey>
</Keys>
<RMSecurity>
<KeyStore>
<Location>.xlkeystore</Location>
<Password encrypted="false">new_password</Password>
<Type>JKS</Type>
<Provider>com.ibm.crypto.provider.IBMJCE</Provider>
</KeyStore>
xlconfig.xmlファイルを保存して閉じます。
アプリケーション・サーバーを再起動します。
アプリケーション・サーバーを停止して起動すると、構成ファイルのバックアップが作成されます。新しいパスワードを含む構成ファイルが読み込まれ、ファイル内でパスワードは暗号化されます。
ここまでの手順がすべて正常に終了したら、バックアップ・ファイルを削除することができます。
|
注意: UNIXまたはLinuxでは、次のコマンドを使用してシェルのコマンド履歴を消去することもできます。history -c |
Oracle Identity Managerでは、ロギングにlog4jが使用されます。ログ・レベルは、ロギング・プロパティ・ファイルOIM_HOME/xellerate/config/log.propertiesで構成されます。デフォルトでは、Oracle Identity Managerは警告レベル(WARN)で出力を提供するように構成されています。ただし、デバッグ・レベルで出力を提供するようにデフォルトで構成されているDDMは除きます。すべてのコンポーネントを一括して、または個別のコンポーネントごとにログ・レベルを変更できます。
次に、サポートされるログ・レベルのリストを、ロギング情報の多い順に示します。DEBUGでは最も多くの情報がロギングされ、FATALでは最も少ない情報がロギングされます。
DEBUG
INFO
WARN
ERROR
FATAL
たとえば、Oracle Identity Managerコンポーネントは、OIM_HOME\xellerate\config\log.propertiesファイルのXELLERATEセクションに次のように指定されます。
log4j.logger.XELLERATE=WARN log4j.logger.XELLERATE.DDM=DEBUG log4j.logger.XELLERATE.ACCOUNTMANAGEMENT=DEBUG log4j.logger.XELLERATE.SERVER=DEBUG log4j.logger.XELLERATE.RESOURCEMANAGEMENT=DEBUG log4j.logger.XELLERATE.REQUESTS=DEBUG log4j.logger.XELLERATE.WORKFLOW=DEBUG log4j.logger.XELLERATE.WEBAPP=DEBUG log4j.logger.XELLERATE.SCHEDULER=DEBUG log4j.logger.XELLERATE.SCHEDULER.Task=DEBUG log4j.logger.XELLERATE.ADAPTERS=DEBUG log4j.logger.XELLERATE.JAVACLIENT=DEBUG log4j.logger.XELLERATE.POLICIES=DEBUG log4j.logger.XELLERATE.RULES=DEBUG log4j.logger.XELLERATE.DATABASE=DEBUG log4j.logger.XELLERATE.APIS=DEBUG log4j.logger.XELLERATE.OBJECTMANAGEMENT=DEBUG log4j.logger.XELLERATE.JMS=DEBUG log4j.logger.XELLERATE.REMOTEMANAGER=DEBUG log4j.logger.XELLERATE.CACHEMANAGEMENT=DEBUG log4j.logger.XELLERATE.ATTESTATION=DEBUG log4j.logger.XELLERATE.AUDITOR=DEBUG
Oracle Identity Managerのログ・レベルを設定するには、OIM_HOME\xellerate\config\log.propertiesファイルのロギング・プロパティを次の手順のように編集します。
ログ・レベルを構成するには、次のようにします。
テキスト・エディタでOIM_HOME\xellerate\config\log.propertiesファイルを開きます。
このファイルには、Oracle Identity Managerの一般的な設定と、Oracle Identity Managerを構成するコンポーネントやモジュールの個別の設定が含まれます。
デフォルトでは、Oracle Identity Managerは、次のように警告レベル(WARN)で出力するように構成されています。
log4j.logger.XELLERATE=WARN
これはOracle Identity Managerの一般的な設定の値です。個々のコンポーネントとモジュールの値は、プロパティ・ファイルの一般的な値の後に指定されます。個々のコンポーネントとモジュールは様々なログ・レベルに設定できます。特定のコンポーネントのログ・レベルが一般設定よりも優先されます。
一般設定の値を必要なログ・レベルに設定します。
他のコンポーネントのログ・レベルを必要に応じて設定します。
個々のコンポーネントまたはモジュールには、様々なログ・レベルを指定できます。たとえば、次の値を指定すると、Account Managementモジュールのログ・レベルがINFO、サーバーはDEBUGレベル、その他のOracle Identity ManagerはWARNレベルに設定されます。
log4j.logger.XELLERATE=WARN log4j.logger.XELLERATE.ACCOUNTMANAGEMENT=INFO log4j.logger.XELLERATE.SERVER=DEBUG
変更内容を保存します。
アプリケーション・サーバーを起動して、変更を有効にします。
次の手順で、ASCII文字のログインを使用するOracle Identity Managerに対してシングル・サインオンを有効にする方法を示します。非ASCII文字のログインに対応するシングル・サインオンを有効にする場合も、次の手順を使用しますが、手順4で説明する追加の構成が必要です。
|
関連項目: Oracle Access Managerを利用するOracle Identity Managerでのシングル・サインオンの構成の詳細は、『Oracle Identity Managerベスト・プラクティス・ガイド』を参照してください。 |
|
注意: 英字のみのヘッダー名しか認証されません。ヘッダー名には特殊な文字や数字を使用しないことをお薦めします。 |
Oracle Identity Managerのためにシングル・サインオンを有効化するには、次のようにします。
アプリケーション・サーバーを正常に停止します。
テキスト・エディタでOIM_HOME\xellerate\config\xlconfig.xmlファイルを開きます。
次のシングル・サインオン構成を探します。ここに示しているのは、シングル・サインオン構成を含まないデフォルト設定です。
<web-client>
<Authentication>Default</Authentication>
<AuthHeader>REMOTE_USER</AuthHeader>
</web-client>
次のようにシングル・サインオン構成を編集し、シングル・サインオン・システムで構成した適切なヘッダーでSSO_HEADER_NAMEを置き換えます。
<web-client>
<Authentication>SSO</Authentication>
<AuthHeader>SSO_HEADER_NAME</AuthHeader>
</web-client>
非ASCII文字のログインに対応するシングル・サインオンを有効にするには、非ASCIIのヘッダー値をデコードするようにデコード・クラス名を指定する必要があります。デコード・クラス名を追加し、シングル・サインオン構成を次のように編集します。
<web-client>
<Authentication>SSO</Authentication>
<AuthHeader>SSO_HEADER_NAME</AuthHeader>
<AuthHeaderDecoder>com.thortech.xl.security.auth.CoreIDSSOAuthHeaderDecoder</AuthHeaderDecoder>
</web-client>
シングル・サインオン・システムで構成した適切なヘッダーでSSO_HEADER_NAMEを置き換えます。
アプリケーション・サーバーとWebサーバーの構成を変更して、シングル・サインオンを有効にします。アプリケーション・サーバーおよびWebサーバーのベンダーのドキュメントを参照してください。
アプリケーション・サーバーを再起動します。
ここでは、Oracle Identity Managerでカスタム認証ソリューションを使用する方法について説明します。
Oracle Identity Managerは、Java Authentication and Authorization Service(JAAS)モジュールをデプロイしてユーザーを認証します。オフラインのメッセージ処理およびスケジュール済タスクの実行を必要とする不在ログインの場合、Oracle Identity Managerは署名ベースの認証を使用します。署名ベースの認証はJAASを使用して処理できますが、カスタム認証ソリューションを作成して標準の認証リクエストを処理することができます。
|
注意: Oracle Identity ManagerのJAASモジュールは、アプリケーション・サーバーにデプロイする必要があり、最初に起動される認証としてください。 |
WebSphere Application Serverでカスタム認証を有効にするには、次のように、WebSphere管理コンソールを使用して「Custom User Registry」の「Custom Properties」セクションでcustomAuthenticationプロパティを定義します。
WebSphere管理コンソールにログインします。
「Security」および「User Registries」を開き、「Custom」クリックします。「Custom Properties」ページが表示されます。
「Custom Properties」ページで、「New」をクリックしてcustomAuthenticationプロパティを定義します。プロパティを定義するときに、com.ibm.websphere.security.UserRegistryを実装するカスタム認証クラスの名前を指定し、必要な初期化パラメータも指定します。
WebSphere Application Serverを再起動します。
カスタム認証ソリューションを指定するときに、Java Naming and Directory Interface(JNDI)ネームスペースを保護して、指定のユーザーのみがリソースを表示する権限を持っているようにする必要もあります。JNDIネームスペースを保護する主要な目的は、同じアプリケーション・サーバー・インスタンスにインストールされている可能性がある悪質なアプリケーションからOracle Identity Managerを保護することです。悪質であろうとなかろうと他のアプリケーションがOracle Identity Managerと同じアプリケーション・サーバー・インスタンスにインストールされていない場合でも、通常のセキュリティ方法としてJNDIネームスペースを保護する必要があります。
保護されたJNDIネームスペースにアクセスするようにOracle Identity Managerを構成するには、次の手順を実行します。
OIM_HOME/config/xlconfig.xmlファイルをテキスト・エディタで開き、次の要素を<Discovery>要素に追加します。
<java.naming.security.principal> <java.naming.security.credentials>
オプションとしてJNDIパスワードを暗号化するには、次のように、true値を割り当てたencrypted属性を<java.naming.security.credentials>要素に追加し、パスワードを要素の値として割り当てます。
<java.naming.security.credentials
encrypted="true">password</java.naming.security.credentials>
次の要素を<Scheduler>要素に追加します。
<CustomProperties> <org.quartz.dataSource.OracleDS.java.naming.security.principal>user </org.quartz.dataSource.OracleDS.java.naming.security.principal> <org.quartz.dataSource.OracleDS.java.naming.security.credentials>pwd </org.quartz.dataSource.OracleDS.java.naming.security.credentials></CustomProperties>
サーバーを再起動します。
WebSphere Application Serverのトランザクション・タイムアウト値を増やす必要があります。これは、デフォルト値が特定のトランザクションに対して低すぎる可能性があるためです。次の手順で指定している値は推奨値です。
|
注意: この値は、将来、特定の要件に応じて見直しが必要になる可能性があります。 |
WebSphere管理コンソールにログインします。
「Servers」、「Application Servers」、「SERVER_NAME」の順に選択し、「Container Services」の下にある「Transaction Services」を選択します。
トランザクション存続期間タイムアウトの合計値として1200を入力します。
トランザクション・タイムアウトの最大値として1200を入力します。
サービス設定を保存します。
サーバーを再起動します。
|
注意: クラスタ環境では、クラスタ内で使用可能なすべてのWebSphereサーバーに対して、これらの手順を繰り返す必要があります。 |
WebSphereでは、デフォルトで、タイムアウト構成に基づいて認証情報が期限切れになります。タイムアウト値はデフォルトで120分に設定されています。長時間のリコンシリエーション・アクティビティやその他のスケジュール済タスクを実行する予定がある場合は、この値では短すぎる可能性があります。そのため、タイムアウト値を適切な値(分単位)まで増やす必要があります。
認証の有効期限を延長するには、次のようにします。
WebSphere管理コンソールにログオンします。
「Security」をクリックします。
「Secure administration, applications, and infrastructure」をクリックします。
「Authentication mechanisms and expiration」を選択します。
「Timeout value for forwarded credentials between servers」の値を分単位で入力します。
次の手順を実行し、デフォルトのOracle 9iデータ・ストア・ヘルパー・クラスをOracle 10gヘルパー・クラスに変更します。
WebSphere管理コンソールにログオンします。
「Resources」、「JDBC」、「Data Sources」の順に選択し、「Non XA DataSource」を選択します。
「Data store helper class name」フィールドで「Oracle 10g data store helper」を選択します。
「OK」、「Save」の順にクリックします。
「Resources」、「JDBC」、「Data Sources」の順に選択し、「XA DataSource」を選択します。
「Data store helper class name」フィールドで「Oracle 10g data store helper」を選択します。
「OK」、「Save」の順にクリックします。
アダプタのコンパイル、またはアダプタを含むDeployment Manager XMLファイルのインポートを行うには、コンパイラ・パスを設定する必要があります。アダプタ・コンパイルのコンパイラ・パスを設定するには、まず、Design Consoleをインストールする必要があります。Design Consoleのインストール手順およびアダプタ・コンパイルのためのコンパイル・パスの設定手順は、第10章「Oracle Identity Manager Design Consoleのインストールと構成」を参照してください。
組織では、ユーザー・レコードの変更情報を交換する複数のプロビジョニング・システムを使用できます。また、複数のプロビジョニング・システムとの対話するアプリケーションを使用することもできます。SPML Webサービスでは、SPMLリクエストの解釈およびOracle Identity Managerコールへの変換を行うために、Oracle Identity Managerの上のレイヤーが用意されています。
SPML Webサービスは、デプロイ可能なエンタープライズ・アーカイブ(EAR)ファイルにパッケージされています。このファイルは、Oracle Identity Managerのインストール時に生成されます。
EARファイルはOracle Identity Managerのインストール中に生成されるため、Oracle Identity Managerホーム・ディレクトリの別個のバッチ・ファイルが、Oracle Identity Managerが稼働しているアプリケーション・サーバーにSPML Webサービスをデプロイするスクリプトを実行します。このバッチ・ファイルを実行してSPML Webサービスをデプロイする必要があります。
SPML Webサービスの詳細は、『Oracle Identity Manager Toolsリファレンス』の第12章「SPML Webサービス」を参照してください。
次のようにして、Oracle Identity Managerで使用するJDBC接続プールのチューニングを実装します。
|
注意: Oracle Identity Managerで使用する指示されたJDBC接続プールのチューニングを実装することを強くお薦めします。これは、アプリケーションの使用方法に基づいてさらにチューニングできます。 |
WebSphere管理コンソールにログオンします。
「Resources」、「JDBC」、「Data Sources」の順に選択し、「Non XA DataSource」を選択します。「Additional」プロパティの下の「Connection pool」プロパティを選択します。次の値を入力して確認します。
Minimum connections: 30 Maximum connections: 50
「OK」、「Save」の順にクリックします。
「Resources」、「JDBC」、「Data Sources」の順に選択し、「XA DataSource」を選択します。「Additional」プロパティの下の「Connection pool」プロパティを選択します。次の値を入力して確認します。
Minimum connections: 30 Maximum connections: 50
「OK」、「Save」の順にクリックします。
sqljdbc.jarファイルを、C:\jdbc_install_folder\ディレクトリからWEBSPHERE_HOME/lib/ディレクトリにコピーします。
|
注意:
|
