この章では、Oracle Identity Federationの日常の管理タスクと、管理者が場合によって実行する必要があるその他のタスクについて説明します。内容は次のとおりです。
この項では、Oracle Identity Federationの基本的な管理について説明します。内容は次のとおりです。
Oracle Identity Federationの管理者は、次のような2つのロールを実行します。
サーバー実行時の基本管理。サーバーの起動、停止、監視など
フェデレーテッドID管理。ユーザー管理(ユーザーの作成、削除およびフェデレーション)、および信頼できるプロバイダやそのプロバイダと連携しているユーザーについての情報の維持
この項では、Oracle Identity Federationのデプロイメントを計画する際に参考となる情報を提供します。
この章の各項では、実行時の基本タスクとID管理について説明します。
信頼できるソースと宛先から構成されたネットワークにOracle Identity Federationをデプロイする場合、情報を他のサイト管理者と交換して、それに応じてアイデンティティ・プロバイダとサービス・プロバイダを構成する必要があります。
関連項目: サーバー・プロパティ、フェデレーション・プロトコルおよびトラスト・サークル・プロバイダ情報の管理の詳細は、第2章「Oracle Identity Federationデプロイメントの計画」の「アーキテクチャ・オプション」を参照してください。 |
ユーザーIDの交換
フェデレーテッド環境では、最も単純な場合、サービス・プロバイダはID情報のコンシューマ、アイデンティティ・プロバイダ(ユーザー・リクエストの発生源)はID情報のサプライヤになります。アイデンティティ・プロバイダも、必要な資格証明を取得するために認証および認可メカニズム(AAAシステム)と通信する場面では、コンシューマの立場をとることがあります。必須ではありませんが、サービス・プロバイダもユーザーを宛先のIDにマップすると好都合なことがあります。IDサプライヤとコンシューマは実行時にデータを交換できる必要があります。このため、プリンシパルを一意に識別する手段として宛先が信頼することができる、プリンシパルに関するなんらかのID情報をソースが宣言することになります。
アイデンティティ・プロバイダは、パートナ・サイト管理者と連携する中で、自ドメインの関連ユーザーのリストを提供する場合があります。これはオプションの情報交換です。
クロスドメインの信頼の確立
Oracle Identity Federationでは、ID-FF 1.1および1.2向けのLibertyメタデータの仕様、さらにSAML 2.0メタデータの仕様に準拠したプロバイダ・メタデータを生成し使用できます。さらに、Oracle Identity Federationでは、SAML 2.0クエリ・リクエスタ用のメタデータ拡張機能を使用するプロバイダ・メタデータをインポートする機能をサポートしています。
クロスドメインの信頼を確立するには、認証を設定し、信頼できるソースと宛先のネットワークでキーや証明書を交換する必要があります。
初回の設定とテストでは、アイデンティティ・プロバイダおよびサービス・プロバイダはどちらもデフォルトの自己署名証明書を使用できます。ただし、本番に移行する際は、使用タイプを検討して自己署名の証明書で十分かどうかを決定してください。エンティティ間に事前の信頼関係がない場合、たとえばインターネット経由でSSLを使用してWebサイトにアクセスする場合は、CA発行の証明書が最も有効です。しかし、フェデレーション・ピア間の信頼関係がメタデータまたは同等のもの(ピア証明書などで、通常はピア証明書が使用される)の交換を必要とする場合、ピア証明書の取得方法を信頼できるかぎり、本番デプロイメントでも自己署名証明書で十分です。CA発行の証明書は、メタデータの交換、たとえば署名された電子メールやSSL経由でのWebサーバーからのダウンロードで使用されることがあるので注意してください。
メタデータを使用すると、クロスドメインの信頼を設定するプロセスを簡単にできます。Oracle Identity Federationではプロバイダ固有のメタデータを格納できます。これにより、グローバルなIdPおよびSP設定が、各ピア・プロバイダとの通信に固有なデータに上書きされます。
注意: SAML1.xおよびWS-Federationプロトコルはメタデータ・フォーマットを指定していないため、それらのプロトコルを使用するピアは、証明書などの同等の情報を独自に交換する必要があります。 |
PKIおよびSSL暗号化
Oracle Identity Federationは、X.509クライアント証明書認証を使用する、セキュアな通信を提供します。
Oracle Identity Federationでは、公開鍵と秘密鍵のペアを使用する技術である公開鍵暗号を使用してデータの整合性を確保します。データは送信元で、秘密鍵を使用して署名され、受信者はその署名を、送信者の公開鍵を使用して検証します。
Oracle Identity Federationは、証明書と呼ばれるドキュメントを使用して、ピア・プロバイダ同士が信頼を確立できるようにします。認証局(CA)が証明書を発行してユーザーのアイデンティティを保証します。受信者が使用する公開鍵も証明書に含まれています。
キー・ペアと証明書は、ローカル・キーストアを使用して構成します。アイデンティティ・プロバイダは、POSTプロファイルを使用する場合、公開鍵と秘密鍵のペアと証明書を構成します。公開鍵は認証局(CA)により検証されます。IdPが公開鍵を提示し、SPが証明書を取り込む過程は、パートナ間の信頼関係を管理する上での重要な局面です。
SSL接続を実装することもできます。SSL接続とクライアント証明書を構成する方法の詳細は、「Oracle Identity FederationでのSSLの使用」を参照してください。
注意: SSL機能はOracle Identity Federationの外部から提供される機能です。 |
Oracle Identity Federation管理コンソールにログインするには、次の手順を実行します。
ログインURLを指定してログイン・プロセスを起動します。
http://machine-name:port/fedadmin
ログイン・ウィンドウが表示されます。
インストール時に入力したユーザー名とパスワードを使用してOracle Identity Federationにログインします。「サーバー構成」ホームページが表示されます。
ログアウトするには、ブラウザ・ウィンドウを閉じます。
Oracle Identity Federationサーバーは、Enterprise Managerのコンソールを使用するか、OC4J_FEDコンテナ上でopmnctl
コマンドライン・ツール(Oracle Process Manager and Notification Server Controlのユーティリティ)を使用して、起動および停止できます。
たとえば、Oracle Identity Federationを再起動するコマンドは次のとおりです。
opmnctl restartproc process-type=OC4J_FED
Oracle Identity FederationがRDMBSデータ・ストアを使用している場合、サーバーとデータベースの起動と停止は特定の順序に従う必要があります。
Oracle Identity Federationを起動する前に、RDBMSを起動する必要があります。
Oracle Identity Federationを停止してから、RDBMSを停止する必要があります。
この順序に従わないと、データ・ストアを利用できないため、Oracle Identity Federationは正しく動作しません。
関連資料:
|
次の手順を使用すると、Enterprise Managerコンソールを使用してフェデレーション・サーバーの管理パスワードを変更できます。
OC4J_FEDをクリックします。
「アプリケーション」をクリックします。
フェデレーションをクリックします。
「セキュリティ」をクリックします。
oif/oif_adminをクリックします。
注意: パスワード変更を有効にするには、OC4J_FED インスタンスを再起動する必要があります。 |
$ORACLE_HOME/fed/log
ディレクトリに置かれるSAML2.0/Liberty 1.xのメッセージのログなどのOracle Identity Federationのログ・ファイルは、サーバー・インスタンスの管理と監視に関する有用な情報を提供します。次のようなログ・ファイルがあります。
表5-1 Oracle Identity Federationのログ・ファイル
ログ・ファイル名 | 説明 |
---|---|
|
Oracle Identity Federationサーバーの実行時ログ・レコードが含まれます。 |
|
Oracle Identity Federationサーバーによって生成されたエラー・メッセージが含まれます。 |
|
Oracle Identity Federationとピア・プロバイダの間で交換されたSAML2.0/Liberty 1.xメッセージが含まれます。 |
|
インストール・セッションのログが含まれます。 |
|
アンインストール・セッションのログが含まれます。 |
システムの通常のバックアップに使用するツールを使用して、構成/システムを日常的にバックアップする必要があります。
Windowsの場合
次のバックアップ規則を使用します。
Windowsプラットフォーム上のバックアップとリストアのシステム・ツールを使用します。
Oracle Identity Federation構成の中の全コンポーネント上にあるすべてのものをバックアップします。
Linux/solarisの場合
次のバックアップ規則を使用します。
すべてのOracle Application ServerおよびOracle Identity Federationコンポーネントをシャットダウンします。
Oracle Application Server、Oracle Identity FederationおよびOracle Identity Federationが使用しているRDBMSデータ・ファイルを含む、すべてのコンポーネントに対してtar
コマンドを実行します。
次に例を示します。
tar cvzf oif10141_backup oif_folder
Oracle Identity Federation管理コンソールの「アイデンティティ・フェデレーション」タブをクリックすると、フェデレーションを管理できるページが表示されます。Oracle Identity Federationの信頼できるプロバイダとユーザーの構成詳細を編集するには、このページを使用します。
「信頼できるプロバイダ」(ページのロード時のデフォルト)をクリックすると、Oracle Identity Federationトラスト・サークルにあるすべてのプロバイダのリストが表示されます。
「ユーザー」をクリックすると、Oracle Identity Federationのこのインスタンスに関連付けられているアイデンティティ・フェデレーションを持つ、すべてのユーザーを検索できます。
この項の内容は次のとおりです。
このページには、Oracle Identity Federationサーバーのトラスト・サークルに所属するすべてのプロバイダが表示されます。
ページ上の情報は次のように使用します。
使用できるアイデンティティ・プロバイダの1つを選択し、「フェデレーションの表示」をクリックすると、選択されたプロバイダに対応する、このOracle Identity Federationサーバーに関連付けられたアイデンティティ・フェデレーションが表示されます。
使用できるサービス・プロバイダの1つを選択し、「フェデレーションの表示」をクリックすると、選択されたプロバイダに対応する、このOracle Identity Federationサーバーに関連付けられたアイデンティティ・フェデレーションが表示されます。
トラスト・サークルにあるアフィリエーションを選択します。
サーバーにより表示されるフェデレーションは、次のプロバイダ間のフェデレーションです。
SPとして動作するこのOracle Identity Federationサーバーと、表の「アイデンティティ・プロバイダ」セクションにあるリモートのIdPの間
IdPとして動作するこのOracle Identity Federationサーバーと、表の「サービス・プロバイダ」セクションにあるリモートのSPの間
IdPとして動作するこのOracle Identity Federationサーバーと、表の「アフィリエーション」セクションにあるアフィリエーションの間
このOracle Identity FederationサーバーがSPとして動作していて、アフィリエーションに参加している場合、リモートIdPとアフィリエーションの間のフェデレーションは表示されません。
プロバイダID
Oracle Identity Federationのトラスト・サークルにあるサービス・プロバイダまたはアイデンティティ・プロバイダのIDです。
説明
プロバイダの簡単な説明です。
バージョン
プロトコルのバージョンです。
1.1(Liberty 1.1)
1.2(Liberty 1.2)
2.0(SAML 2.0)
このページでは、任意の信頼できるプロバイダに関連付けられたアイデンティティ・フェデレーションを持つユーザーを検索、表示できます。
名前(の一部またはすべて)を「ユーザーの検索」ボックスに入力し、「実行」をクリックします。
この例では、ユーザーAliceを検索します。
注意: ユーザー検索では部分文字列を使用できます。この例では、al またはalice と入力するとユーザーalice が返されます。al を検索すると、それを部分文字列として含むすべてのユーザーが返されます。 |
ユーザー名
フェデレーション・ユーザーのローカル名です。
プロトコル
このユーザーのフェデレーション・プロトコルです。
IdP識別子
アイデンティティ・プロバイダがIdPの名前識別子として生成する値です。
SP識別子
サービス・プロバイダがSPの名前識別子として生成する値です。
フォーマット
NameID(名前識別子)フォーマットです。例1-2に、SAML 2.0での名前識別子の使用例が示されています。
修飾子
名前識別子のNameQualifier属性です。この修飾子は名前の競合、たとえばドメインの異なる2人のユーザーが同一のユーザー名を持つ事態を避けるために使用されます。(修飾子の目的はXML名前空間やJavaパッケージ名と同じです。)
アクション
注意: すべてのプロトコルで、「削除」ボタンは同じように機能します。ただし、「更新」アクションはプロトコルによって異なります。 |
ページにあるボタンの機能は次のとおりです。
削除: 「削除」をクリックすると、Oracle Identity Federationインスタンスと信頼できるプロバイダの間でフェデレーション終了プロトコル交換が開始されます。交換(FedTerm、RNI、MNI)が完了すると、このページの更新されたバージョンに導かれます。
更新: このボタンの動作は、関連付けられているプロトコルによって異なります。
Liberty 1.1およびLiberty 1.2
「更新」をクリックすると、Oracle Identity Federationと信頼できるプロバイダの間で名前識別子登録プロトコル交換が開始されます。フェデレーション・サーバーにより、名前識別子に新しい値が生成されます。
SAML 2.0
「更新」をクリックすると、Oracle Identity Federationと信頼できるプロバイダの間で名前識別子管理プロトコル交換が開始されます。名称識別子フォーマットがurn:oasis:names:tc:SAML:2.0:nameid-format:persistent
の場合、フェデレーション・サーバーにより、名前識別子に新しい値が生成されます。フォーマットがその他の、たとえばurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
など、不透明でないタイプのいずれかである場合は、フェデレーション・サーバーはユーザー・リポジトリにある対応する属性から名前識別子の新しい値を取得します。
「ユーザー」ページにアクセスするには、管理コンソールで「アイデンティティ・フェデレーション」タブから「ユーザー」を選択します。ユーザー名の一部またはすべてを「ユーザーの検索」ボックスに入力し、「実行」をクリックします。
このページには、Oracle Identity Federationユーザーに対して定義されている基本的なデータが表示されます。
名前(の一部またはすべて)を「ユーザーの検索」ボックスに入力し、「実行」をクリックします。
注意:
|
ユーザー情報を表示する場合、「フェデレーションの表示」ボタンをクリックすると、そのユーザーに関連付けられているフェデレーションを表示および更新できます。
ユーザー名
ユーザーに割り当てられるユーザー名です。
名
ユーザーの名です。
姓
ユーザーの姓です。
電子メール・アドレス
ユーザーの電子メール・アドレスです。
ユーザー情報を表示する場合、「フェデレーションの表示」ボタンをクリックすると、そのユーザーに関連付けられているフェデレーションを表示および更新できます。
指定されたユーザーに対してサーバーにより表示されるフェデレーションは、次のプロバイダ間のフェデレーションです。
SPとして動作するこのOracle Identity FederationサーバーとリモートIdPの間
IdPとして動作するこのOracle Identity FederationサーバーとリモートSPの間
IdPとして動作するこのOracle Identity Federationサーバーとアフィリエーションの間
このOracle Identity Federationサーバー(SPとして動作)がメンバーであるアフィリエーションとリモートIdPの間
プロバイダ
プロバイダ名です。
プロトコル
このユーザーに対するこのプロバイダのフェデレーション・プロトコルです。
IdP識別子
アイデンティティ・プロバイダがIdPの名前識別子として生成する値です。
SP識別子
サービス・プロバイダがIdPの名前識別子として生成する値です。
フォーマット
SAML NameID(名前識別子)フォーマットです。
修飾子
サービス・プロバイダに対して適用可能なプロバイダURLです。
ページにあるボタンの機能は次のとおりです。
削除: 「削除」をクリックすると、Oracle Identity Federationインスタンスと信頼できるプロバイダの間でフェデレーション終了プロトコル交換が開始されます。交換(FedTerm、RNI、MNI)が完了すると、このページの更新されたバージョンに導かれます。
更新: このボタンの動作は、関連付けられているプロトコルによって異なります。
Liberty 1.1およびLiberty 1.2
「更新」をクリックすると、Oracle Identity Federationと信頼できるプロバイダの間で名前識別子登録プロトコル交換が開始されます。Oracle Identity Federationにより、名前識別子に新しい値が生成されます。
SAML 2.0
「更新」をクリックすると、Oracle Identity Federationと信頼できるプロバイダの間で名前識別子管理プロトコル交換が開始されます。名称識別子フォーマットがurn:oasis:names:tc:SAML:2.0:nameid-format:persistent
の場合、フェデレーション・サーバーにより、名前識別子に新しい値が生成されます。フォーマットがその他の、たとえばurn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
など、不透明でないタイプのいずれかである場合は、フェデレーション・サーバーはユーザー・リポジトリにある対応する属性から名前識別子の新しい値を取得します。
いずれかの時点でOracle Identity Federationインスタンスに異なるInfrastructureを参照させる必要が生じることがあります。たとえば、現在テスト環境にデプロイされているOracle Identity Federationが、本番環境に投入できる状態になった場合です。この項では、再関連付けの主な作業を説明します。内容は次のとおりです。
注意: 再関連付けでは、既存のフェデレーション・データは移行されません。すべてのフェデレーション・データを確実に消去するには、再関連付けの最初の手順としてフェデレーション・データ・レコードを削除する必要があります。 |
関連項目: Oracle Identity FederationインスタンスがOracle Internet DirectoryやOracle Application Server Single Sign-Onの異なるインスタンスを示すようにする手順の詳細は、「サーバーの再関連付け」を参照してください。 |
Oracle Identity Federationインスタンスが使用するフェデレーション・データ・ストアを変更する手順は次のとおりです。
サーバーのLDAPスキーマを更新して、Oracle Identity FederationのLDAPデータ型との互換性を確保します。
サポートされているディレクトリのLDIFスキーマ・ファイルは、インストールされているOracle Identity Federationの$ORACLE_HOME/fed/setup/ldap
フォルダにあります。
ブラウザでOracle Identity Federation管理コンソールを参照します。
「IDMデータ・ストア」→「フェデレーション・データ・ストアの編集」を選択します。
フェデレーション・データ・ストア設定を更新します。
Oracle Identity Federationインスタンスが使用するユーザー・データ・ストアを変更する手順は次のとおりです。
ブラウザでOracle Identity Federation管理コンソールを参照します。
「IDMデータ・ストア」→「ユーザー・データ・ストアの編集」を選択します。
ユーザー・データ・ストア設定を更新します。
RDBMSは、IDデータの他に、一時データを格納するためにも使用できます。
Oracle Identity Federationインスタンスが使用するRDBMSデータ・ストアを変更するには、「コマンドライン・コンフィギュレーション・アシスタントによる一時データ・ストアの変更」で説明したコンフィギュレーション・アシスタントを実行する必要があります。
注意: コンフィギュレーション・アシスタントは、-transient rdbms 引数を付けて起動する必要があります。 |
Oracle Identity Federationインスタンスによって生成されたフェデレーション・データ・レコードや一時セッション・データは削除できます。フェデレーション・データ・ストアとして使用されたディレクトリ・サーバーからLDAPスキーマを削除することも可能です。
フェデレーション・データ、一時データまたはLDAPスキーマを削除するには、「コマンドライン・コンフィギュレーション・アシスタントを使用したアンインストール」で説明するコンフィギュレーション・アシスタントを実行する必要があります。
注意: このコンフィギュレーション・アシスタントではOracle Identity Federationはアンインストールされません。データ・ストアをクリーンアップするだけです。すべてのデータを確実に消去するには、このコンフィギュレーション・アシスタントを起動してから、既存のフェデレーションとユーザー・データ・ストアを変更する必要があります。 |
Oracle Identity Federationをテスト環境から本番環境のOracle Access Managerに移動するために必要な操作は、Oracle Access Managerの設定手順を繰り返すだけです。
Oracle Access Managerの本番インスタンスにAccessGateをデプロイし、Oracle Identity Federationおよび関連付けられているOracle Access Managerユーザー・データ・ストアを再構成して、再起動します。
なんらかの理由で、テスト環境でOracle Identity Federationにインストールされたアクセス・サーバーSDKが本番環境と互換性がない場合(たとえば、旧バージョンの場合)、SDKをアンインストールし、互換性があるSDKをインストールします。
この項では、Oracle Access ManagerインスタンスからOracle Identity Federation関連のポリシー・オブジェクトを削除する手順を説明します。この手順は、以前にインストールされたOracle Identity FederationがOracle Access Managerを使用している場合に必要です。Oracle Access Managerは、新しいOracle Identity Federationインスタンスによって異なるホストに再配置されます。
次の手順を実行します。
OC4J_FEDインスタンスがまだ実行されている場合は、古いOracle Identity FederationサーバーのOC4J_FEDインスタンスを停止します。
マスター・アクセス管理者としてアクセス・システム・コンソールにログインします。
「Access Manager」リンクをクリックして、ポリシー・マネージャのドメイン・ページを表示します。
「Fed Domain」という名前のポリシー・ドメインを削除します。
Fed SSOスキームを使用するすべてのポリシー・ドメインの認証スキームを変更します。各ドメインで、次の操作を行います。
ドメイン・ページで、ドメイン名をクリックしてドメイン・ページを表示します。
「デフォルト・ルール」タブをクリックして、ドメインのデフォルト認証ルールを表示します。
ルールの認証スキームがFed SSO - SAML 1.x、Fed SSO - WS-Federation、またはFed SSO - SAML 2.0/Liberty 1.2の場合は、次の操作を行います。
このドメインの認証スキームを記録します。
「変更」をクリックします。
ドロップダウン・リストから別の認証スキーム、できれば基本スキームを選択します。
「保存」をクリックしてドメイン・ページに戻ります。
「ポリシー」タブをクリックします。
ドメインに対して定義されたそれぞれのポリシーに対して、次の操作を行います。
ポリシー名をクリックしてポリシー・ページを表示します。
「認証ルール」タブをクリックします。
ルールの認証スキームがFed SSO - SAML 1.x、Fed SSO - WS-Federation、またはFed SSO - SAML 2.0/Liberty 1.2の場合は、次の操作を行います。
- このドメインのこのポリシーに対する認証スキームを記録します。
- 「変更」をクリックします。
- ドロップダウン・リストから別の認証スキーム、できれば基本スキームを選択します。
- 「保存」をクリックしてポリシー・ページに戻ります。
- 「ポリシー」をクリックします。
アクセス・システム・コンソールのリンクをクリックします。
「アクセス・システム構成」タブをクリックします。
「認証管理」リンクをクリックします。
「Fed」で始まるすべての認証スキームを削除します。これには、Fed SSO - SAML 1.x、Fed SSO - WS-FederationおよびFed SSO - SAML 2.0/Liberty 1.2の各スキームの他、Fed SASSOマッピングやFed Minimalマッピングなどの構成済SAML 1.xアサーション・マッピングも含まれます。
Oracleアクセス管理ユーザー・データ・ストアを構成し、新しいOracle Identity Federationサーバーを再起動します。Oracle Identity Federationにより、アクセス・ポリシー・オブジェクトが自動的に再作成されます。
ポリシー・ドメインのFed SSO認証スキームと、手順5で記録したポリシーをリストアします。記録された各ポリシーについて、次の操作を行います。
ドメイン・ページで、ドメイン名をクリックしてドメイン・ページを表示します。
ドメインがそのデフォルト認証ルールに対して最初からFed SSOスキームを使用していた場合、「デフォルト・ルール」タブをクリックします。
「変更」をクリックします。
ドロップダウン・リストから元のFed SSOスキームを選択します。
「保存」をクリックします。
「ポリシー」タブをクリックします。
最初から「Fed SSO」スキームを使用していたドメイン内の各ポリシーで、次の操作を行います。
ポリシー名をクリックしてポリシー・ページを表示します。
「認証ルール」タブをクリックします。
「変更」をクリックします。
ドロップダウン・リストから元のFed SSOスキームを選択します。
「保存」をクリックします。
「ポリシー」をクリックします。
この項では、Oracle Identity Federationインスタンスをアンインストールする方法を説明します。内容は次のとおりです。
Oracle Identity Federationのアンインストールには、次の上位レベル・アクションが必要です。
Oracle Identity Federationのuninstall
ツールを実行します。
Oracle Application Serverインスタンスのdeconfig
ツールを実行します。
製品をアンインストールする場合は、Oracle Universal Installerを実行します。
残りのファイルをクリーンアップします。
表5-2に、削除が必要な項目と、各項目の関連ツールを示します。
表5-2 削除するOracle Identity Federation項目
削除する項目 | 使用するツール |
---|---|
ファイルを |
Oracle Universal Installer インストーラですべてのファイルを削除できない場合は、 |
削除されたインスタンスの |
Oracle Universal Installer |
インスタンス名をファーム・ページから |
Oracle Universal Installer |
削除されたインスタンスの |
これらのエントリは手動で削除します。 |
削除されたインスタンスのOracle Internet Directory内のエントリ |
|
フェデレーション・レコード |
|
次の各項で、アンインストール手順と、これらのツールを使用してアンインストールを完了する方法を説明します。
Oracle Universal Installerには、製品を削除する機能があります。個別コンポーネントのカスタム・アンインストールはできません。
次のアンインストール手順に従ってください。
アンインストールするインスタンスをインストールしたオペレーティング・システム・ユーザーとしてログインします。
このインスタンスに関連付けられているプロセスをすべて停止します。
プロセスを停止する方法の詳細は、『Oracle Application Server管理者ガイド』を参照してください。
Oracle Identity Federationのuninstall
ツールを実行します。
java -jar ORACLE_HOME/fed/lib/uninstall.jar <parameters>
uninstall
ツールのパラメータについての説明やその他の詳細は、「コマンドライン・コンフィギュレーション・アシスタントを使用したアンインストール」を参照してください。
OracleAS Single Sign-OnのバックエンドがOracle Identity Federationインスタンスに関連付けられている場合は、Oracle Application Serverのdeconfig
ツールを実行します。
cd $ORACLE_HOME/bin
$ORACLE_HOME/perl/bin/perl deconfig.pl <parameters>
Oracle Universal Installerを起動します。
$ORACLE_HOME/oui/bin/runInstaller
この方法でOracle Universal Installerを起動できない場合、または「スタート」→「プログラム」→「Oracle - OracleHomeName」→「Oracle Installation Products」→「Universal Installer」を選択した場合は、システム・プロンプトで次のコマンドを実行してインストーラを起動します。
% cd ORACLE_HOME\oui\bin
% setup.exe -J-Dsun.java2d.noddraw=true -Dsun.awt.nopixfmt=true
Oracle Universal Installerでは、次の手順に従ってください。
ようこそ画面で、「製品の削除」をクリックします。
「インベントリ」画面でアンインストールするインスタンスを選択し、「削除」をクリックします。
「確認」画面で、アンインストール対象として選択したコンポーネントを検証します。「はい」をクリックして続行します。
アンインストールの進捗状況画面で進捗を監視します。
アンインストールが完了したら、インストーラを終了します。
適切なオペレーティング・システム・コマンドを使用して、削除されたインスタンスのORACLE_HOME
ディレクトリに残っているファイルをすべて削除します。次に例を示します。
rm -rf $ORACLE_HOME
/var/opt/oracle/oratab
ファイルからアンインストールされた中間層に関する行を削除します。
ファイルの末尾の方向に、ORACLE_HOME
ディレクトリを指定している行を確認します。アンインストールしたORACLE_HOME
に対応する行を削除します。たとえば、ORACLE_HOME
が/private1/oif
の場合、その行は次のようになります。
*:/private1/oif:N
Oracle Identity Federationサーバー・インスタンスをアンインストールした後で、oraInstalltimestamp.err
ファイルに「unable to delete file
」や「unable to find make file
」というエラーが表示されることがあります。次に例を示します。
Ignoring Exception during de-install oracle.sysman.oii.oiil.OiilDeinstallException: An error occurred during runtime. oracle.sysman.oii.oiil.OiilDeinstallException: An error occurred during runtime. ... Ignoring Exception during de-install oracle.sysman.oii.oiil.OiilDeinstallException: Unable to delete file /home/j2ee/sysman/emd/targets.xml oracle.sysman.oii.oiil.OiilDeinstallException: Unable to delete file /home/j2ee/sysman/emd/targets.xml at instantiateFileEx.deinstallAction(instantiateFileEx.java:935) ... Ignoring Exception during de-installoracle.sysman.oii.oiil.OiilDeinstallException: Unable to find make file: /home/j2ee/network/lib/ins_net_client.mk oracle.sysman.oii.oiil.OiilDeinstallException: Unable to find make file: /home/j2ee/network/lib/ins_net_client.mk at ssmakeux.deinstallAction(ssmakeux.java:246) ...
これらは問題のないエラー・メッセージで、無視してもかまいません。
Oracle Application Serverのdeconfig
ツールは、アンインストールするOracle Application ServerインスタンスのOracleAS Metadata RepositoryのエントリやOracle Internet Directoryを削除します。OracleAS Single Sign-OnのバックエンドがOracle Identity Federationインスタンスに関連付けられている場合は、Oracle Universal Installerを使用して削除する前に、deconfig
ツールを実行します。
deconfig
ツールを実行するには、ORACLE_HOME/bin/deconfig.pl
スクリプト上でPerlインタプリタを実行します。Oracle Identity Federation付属のPerlインタプリタを使用してください。
cd $ORACLE_HOME/bin
$ORACLE_HOME/perl/bin/perl deconfig.pl <parameters>
パラメータを付けずに実行すると、ツールにより必要な情報の入力を求められます。
deconfig
ツールの構文は、次のとおりです。
$ORACLE_HOME/perl/bin/perl deconfig.pl [-u oid_user] [-w password] [-r realm] [-dbp sys_db_password]
deconfig
ツールに-h
または-help
パラメータを付けて実行すると、ヘルプを表示できます。
$ORACLE_HOME/perl/bin/perl deconfig.pl -h
または
$ORACLE_HOME/perl/bin/perl deconfig.pl -help
パラメータは次のとおりです。
-u
は、Oracle Internet Directoryのユーザーを指定します。
ユーザーの単純名またはユーザーの識別名(DN)を使用して値を指定できます。たとえば、ユーザーの単純名がjdoe@mycompany.comの場合、DNはcn=jdoe,l=us,dc=mycompany,dc=com
になります。
Oracle Internet Directoryユーザーは、アンインストールするOracle Application Serverインスタンスに構成されているコンポーネントをアンインストールする権限を持っている必要があります。この権限は、コンポーネントのインストールや構成のための権限と同じです。
Oracle Internet Directoryスーパーユーザーとしてツールを実行する場合は、必ず、ただのorcladmin
でなく、cn=orcladmin
を使用します。この2つは異なるユーザーですので注意してください。どちらのユーザーも、Oracle Internet Directoryのインストール時に作成されます。cn=orcladmin
がOracle Internet Directoryスーパーユーザーです。このトピックの詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
-w
は、そのOracle Internet Directoryユーザーのパスワードを指定します。
-r
は、ユーザーを認証するレルムを指定します。この値が必要なのは、Oracle Internet Directoryが複数のレルムを持っている場合だけです。
-dbp
は非推奨であり、不要です。指定しないでください。
インストールしたOracleASコールド・フェイルオーバー・クラスタをアンインストールするには、次の手順に従ってください。
環境を監視し、フェイルオーバーしているクラスタウェア・エージェントまたはパッケージを停止します。詳細はクラスタウェアのマニュアルを参照してください。
「アンインストール手順」で説明した手順を実行します。
この順序に従わず、リソースを先にオフラインにすると、アンインストールの途中でインストーラが停止します。これは、クラスタウェア・エージェントがそのリソースをフェイルオーバーしようとするためです。
インストールを開始する前にOracle Identity Federationサーバー・プロセスをシャットダウンすることを忘れた場合は、プロセスを手動で中断する必要があります。これは、それらのプロセスで使用するファイルが削除されているためです。実行中のプロセスを確認するには、UNIXのps
コマンドなどのオペレーティング・システム・コマンドを実行します。
% ps -ef
このコマンドから取得したprocess_idを書きとめ、UNIXのkill
コマンドなどのコマンドを使用してそのプロセスを中断します。
kill -9 process_id
dcmctl
シェル・プロセスをシャットダウンする必要がある場合は、exit
と入力してシェルを終了してください。