Oracle Identity Managerをインストールした後、アプリケーションを使用する前に、インストール後のタスクをいくつか実行する必要があります。デプロイによって異なりますが、これらのタスクの一部は実行しないことも可能です。
この章では次の項目について説明します。
注意: この章の例はWindowsのものですが、インストール後のタスクはUNIXにも適用されます。 |
9.1.0より前のリリースのOracle Identity Managerでは、リクエスト、リコンシリエーション、アテステーションおよびオフライン・タスクを含むすべての非同期操作に対して、xlQueueという1つのJMSキューを使用します。リリース9.1.0以降のOracle Identity Managerでは、デフォルトで、特定の操作に対して異なるJMSキューを使用してJMSキュー処理を最適化します。次のリストは、デフォルト構成でのJMS問合せと、各問合せに関連する操作を示したものです。
xlQueue
(リクエスト処理用)
xlReconQueue
(リコンシリエーション処理用)
xlAuditQueue
(監査処理用)
xlAttestationQueue
(アテステーション処理用)
xlProcessQueue
(今後のリリースで使用されます)
Oracle Application ServerにOracle Identity Managerをインストールした後、次のタスクを実行する必要があります。
インストール時にOracle Identity Managerキーストアのパスワードはxellerate
に設定されます。各インストーラ・スクリプトとインストール・ログには、このデフォルト・パスワードが含まれます。本番用のインストールにおいては、必ずこのキーストア・パスワードを変更することをお薦めします。
キーストア・パスワードを変更するには、.xlkeystoreのstorepassおよび.xlkeystoreのxellエントリのkeypassを変更する必要があります。これら2つの値は同一である必要があります。keytoolを使用し、次の手順に従ってキーストアのパスワードを変更します。
Oracle Identity Managerのホスト・コンピュータでコマンド・プロンプトを開きます。
OIM_HOME
\xellerate\config
ディレクトリに移動します。
次のオプションを指定してkeytoolを実行し、storepassを変更します。
JAVA_HOME\jre\bin\keytool -storepasswd -new new_password -storepass xellerate -keystore .xlkeystore -storetype JKS
次のオプションを指定してkeytoolを実行し、.xlkeystoreのxellエントリのkeypassを変更します。
JAVA_HOME\jre\bin\keytool -keypasswd -alias xell -keypass xellerate -new new_password -keystore .xlkeystore -storepass new_password
注意: 手順3で入力したパスワードでnew_password を置き換えます。 |
表7-1に、このkeytoolの例で使用したオプションを示します。
テキスト・エディタでOIM_HOME
\xellerate\config\xlconfig.xml
を開きます。
<xl-configuration>.<Security>.<XLPKIProvider>.<KeyStore>セクション、<xl-configuration>.<Security>.<XLPKIProvider>.<Keys>セクションおよび<RMSecurity>.<KeyStore>セクションを編集して、キーストア・パスワードを次のように指定します。
注意: データベースのキーストア(.xldatabasekey)のパスワードを更新するには、構成ファイルの<XLSymmetricProvider>.<KeyStore>セクションを変更します。 |
パスワード・タグをencrypted
="false
"に変更します。
(通常の文字で)パスワードを入力します。次に例を示します。
<Security> <XLPKIProvider> <KeyStore> <Location>.xlkeystore</Location> <Password encrypted="false">new_password</Password> <Type>JKS</Type> <Provider>sun.security.provider.Sun</Provider> </KeyStore> <Keys> <PrivateKey> <Alias>xell</Alias> <Password encrypted="false">new_password</Password> </PrivateKey> </Keys> <RMSecurity> <KeyStore> <Location>.xlkeystore</Location> <Password encrypted="false">new_password</Password> <Type>JKS</Type> <Provider>sun.security.provider.Sun</Provider> </KeyStore>
xlconfig.xmlファイルを保存して閉じます。
アプリケーション・サーバーを再起動します。
アプリケーション・サーバーを停止して起動すると、構成ファイルのバックアップが作成されます。構成ファイル(新しいパスワードを含む)が読み込まれ、ファイル内でパスワードは暗号化されます。
ここまでの手順がすべて正常に終了したら、バックアップ・ファイルを削除することができます。
注意: UNIXでは、次のコマンドを使用してshellコマンドの履歴を消去してもかまいません。
|
PurgeCache
スクリプト内のjgroups-core.jar
ファイルのパスを、次のようにして設定します。
関連項目: PurgeCache スクリプトの詳細は、『Oracle Identity Managerグローバリゼーション・ガイド』を参照してください。 |
Oracle Application Serverインストール・ディレクトリでjgroups-core.jar
ファイルを検索します。
PurgeCache
ファイルをテキスト・エディタで開きます。
UNIXの場合:
OIM_HOME/xellerate/bin/PurgeCache.sh
Microsoft Windowsの場合:
OIM_HOME\xellerate\bin\PurgeCache.bat
PurgeCache
ファイルでCLASSPATH
変数を検索します。
CLASSPATH
変数に割り当てられた値で、%XEL_EXT%\javagroups-all.jar
の前に、jgroups-core.jar
ファイルのフルパスおよび名前を追加します。
Oracle Identity Managerインストーラにより、JMSメッセージのファイル・ベース記憶域のためのJMSキューが作成されます。これはOracle Identity ManagerのJMSキューに対するデフォルトの記憶域メカニズムです。ただし、本番環境およびクラスタ・インストールでは、この項で説明する手順を実行して、JMSキューのデータベース・ベース記憶域を設定することをお薦めします。
注意:
|
JMSキューのデータベース・ベース記憶域の設定方法は、次のURLのNote 554624.1を参照してください。
アダプタをコンパイルする、またはアダプタを保持するデプロイメント・マネージャのXMLファイルをインポートするには、コンパイラ・パスを設定する必要があります。アダプタ・コンパイル用のコンパイラ・パスを設定するには、先にDesign Consoleをインストールしておく必要があります。Design Consoleをインストールしてアダプタ・コンパイル用のコンパイラ・パスを設定する手順は、第10章「Oracle Identity Manager Design Consoleのインストールと構成」を参照してください。
Oracle Identity Managerで使用されるJDBC接続プールのチューニングを実装するには、ORACLE_HOME
/j2ee/
INSTANCE_NAME
/config/data-sources.xml
ファイルを開き、次の変更を実行します。
注意: Oracle Identity Managerで使用されるJDBC接続プール用に推奨されたチューニングを実装することを強くお薦めします。これは、アプリケーションの使用方法に基づいてさらにチューニングできます。 |
xlConnectionPoolの最大および最小接続プール値は、次のとおりです。
min-connections="10" max-connections="50"
xlXAConnectionPool
の最大および最小接続プール値は、次のとおりです。
min-connections="30" max-connections="100"
変更を実装した後、Oracle Application Serverインスタンスを再起動して、変更内容を有効にします。
注意: Oracle Application Server上のOracle Identity Managerのクラスタ・インストールでは、手順1〜3で示した変更はすべてOracle Application Serverインスタンスに実装されます。また、増加した接続数がデータベースでサポートされていることを確認してください。 |
Oracle Application ServerにOracle Identity Managerをインストールした後で、本番環境用に、あるいは本番以外の環境で大量のデータを処理する際に、JVMメモリー設定を変更する必要があります。
次の手順を実行してOracle Application Serverヒープ・サイズを増やします。
ORACLE_HOME
\opmn\conf\opmn.xml
ファイルをテキスト・エディタで開きます。
Oracle Identity ManagerをインストールしたOC4Jインスタンスのメモリー設定を変更します。
-ms512M -mx1024M
この行を次のように変更します。
-ms1280m -mx1280m
ORACLE_HOME
\opmn\conf\opmn.xml
ファイルを保存して閉じます。
Oracle Application Serverを再起動します。
Oracle Identity Managerをインストールしたら、アプリケーションを使用する前に、この項で説明する次に示すインストール後のオプション・タスクの実行について検討してください。Oracle Identity Managerのデプロイによって異なりますが、タスクの一部は実行しないことも可能です。
Oracle Identity Managerでは、ロギングにlog4jが使用されます。ログ・レベルは、ロギング・プロパティ・ファイルOIM_HOME
/xellerate/config/log.properties
で構成されます。ログ・レベルは、デフォルトで警告に設定されています。ただし、DDMのログ・レベルはデフォルトでデバッグに設定されています。すべてのコンポーネントを一括して、または個別のコンポーネントごとにログ・レベルを変更できます。
たとえば、Oracle Identity Managerコンポーネントは、OIM_HOME
\xellerate\config\log.properties
ファイルのXELLERATEセクションに次のように指定されます。
log4j.logger.XELLERATE=WARN log4j.logger.XELLERATE.DDM=DEBUG log4j.logger.XELLERATE.ACCOUNTMANAGEMENT=DEBUG log4j.logger.XELLERATE.SERVER=DEBUG log4j.logger.XELLERATE.RESOURCEMANAGEMENT=DEBUG log4j.logger.XELLERATE.REQUESTS=DEBUG log4j.logger.XELLERATE.WORKFLOW=DEBUG log4j.logger.XELLERATE.WEBAPP=DEBUG log4j.logger.XELLERATE.SCHEDULER=DEBUG log4j.logger.XELLERATE.SCHEDULER.Task=DEBUG log4j.logger.XELLERATE.ADAPTERS=DEBUG log4j.logger.XELLERATE.JAVACLIENT=DEBUG log4j.logger.XELLERATE.POLICIES=DEBUG log4j.logger.XELLERATE.RULES=DEBUG log4j.logger.XELLERATE.DATABASE=DEBUG log4j.logger.XELLERATE.APIS=DEBUG log4j.logger.XELLERATE.OBJECTMANAGEMENT=DEBUG log4j.logger.XELLERATE.JMS=DEBUG log4j.logger.XELLERATE.REMOTEMANAGER=DEBUG log4j.logger.XELLERATE.CACHEMANAGEMENT=DEBUG log4j.logger.XELLERATE.ATTESTATION=DEBUG log4j.logger.XELLERATE.AUDITOR=DEBUG
Oracle Identity Managerのログ・レベルを設定するには、OIM_HOME
\xellerate\config\log.properties
ファイルのロギング・プロパティを次のように編集します。
OIM_HOME
\xellerate\config\log.properties
ファイルをテキスト・エディタで開きます。このファイルには、Oracle Identity Managerの一般的な設定と、Oracle Identity Managerを構成するコンポーネントやモジュールの個別の設定が含まれます。
デフォルトでは、Oracle Identity Managerのログ・レベルは、次のように警告(WARN)に設定されています。
log4j.logger.XELLERATE=WARN
これはOracle Identity Managerの一般的な設定の値です。個々のコンポーネントとモジュールの値は、プロパティ・ファイルの一般的な値の後に指定されます。個々のコンポーネントとモジュールは様々なログ・レベルに設定できます。特定のコンポーネントのログ・レベルが一般設定よりも優先されます。
一般設定の値を必要なログ・レベルに設定します。次に、サポートされるログ・レベルのリストを、ロギング情報の多い順に示します(DEBUGでは最も多くの情報がロギングされ、FATALでは最も少ない情報がロギングされます)。
DEBUG
INFO
WARN
ERROR
FATAL
他のコンポーネントのログ・レベルを必要に応じて設定します。個々のコンポーネントまたはモジュールには、様々なログ・レベルを指定できます。たとえば、次の値を指定すると、Account Managementモジュールのログ・レベルがINFO、サーバーはDEBUGレベル、その他のOracle Identity ManagerはWARNレベルに設定されます。
log4j.logger.XELLERATE=WARNlog4j.logger.XELLERATE.ACCOUNTMANAGEMENT=INFOlog4j.logger.XELLERATE.SERVER=DEBUG
変更内容を保存します。
アプリケーション・サーバーを起動して、変更を有効にします。
この後の手順では、ASCII文字ログインを使用してOracle Identity Managerでのシングル・サインオンを有効化する方法を説明します。非ASCII文字のログインに対応するシングル・サインオンを有効にする場合も、次の手順を使用しますが、手順4で説明する追加の構成が必要です。
関連項目: Oracle Access Managerを利用するOracle Identity Managerでのシングル・サインオンの構成の詳細は、『Oracle Identity Managerベスト・プラクティス・ガイド』を参照してください。 |
注意: 英字のみのヘッダー名しか認証されません。ヘッダー名には特殊な文字や数字を使用しないことをお薦めします。 |
Oracle Identity Managerのためにシングル・サインオンを有効にするには、次のようにします。
アプリケーション・サーバーを正常に停止します。
テキスト・エディタでOIM_HOME
/xellerate/config/xlconfig.xml
を開きます。
次のようなシングル・サインオンの構成を探します(次に示すのは、シングル・サインオンを含まないデフォルト設定です)。
<web-client> <Authentication>Default</Authentication> <AuthHeader>REMOTE_USER</AuthHeader> </web-client>
次のようにシングル・サインオン構成を編集し、シングル・サインオン・システムで構成した適切なヘッダーでSSO_HEADER_NAME
を置き換えます。
<web-client>
<Authentication>SSO</Authentication>
<AuthHeader>SSO_HEADER_NAME</AuthHeader>
</web-client>
非ASCII文字のログインに対してシングル・サインオンを有効にするには、非ASCIIのヘッダー値をデコードするようにデコード・クラス名を指定する必要があります。デコード・クラス名を追加し、シングル・サインオン構成を次のように編集します。
<web-client>
<Authentication>SSO</Authentication>
<AuthHeader>SSO_HEADER_NAME</AuthHeader>
<AuthHeaderDecoder>com.thortech.xl.security.auth.CoreIDSSOAuthHeaderDecoder</AuthHeaderDecoder>
</web-client>
シングル・サインオン・システムで構成した適切なヘッダーでSSO_HEADER_NAME
を置き換えます。
アプリケーション・サーバーとWebサーバーの構成を変更して、シングル・サインオンを有効にします。アプリケーション・サーバーおよびWebサーバーのベンダーのドキュメントを参照してください。
アプリケーション・サーバーを再起動します。
組織は、ユーザー・アカウントの変更情報を交換する複数のプロビジョニング・システムを持つ場合があります。また、複数のプロビジョニング・システムとやり取りするアプリケーションがある場合もあります。SPML Webサービスは、Oracle Identity Managerに対してレイヤーを提供し、SPMLリクエストを解析してOracle Identity Managerコールに変換できるようにします。
SPML Webサービスは、デプロイ可能なエンタープライズ・アーカイブ(EAR)ファイルにパッケージ化されています。このファイルは、Oracle Identity Managerのインストール時に生成されます。
EARファイルはOracle Identity Managerのインストール時に生成されるため、SPML WebサービスをOracle Identity Managerの実行元アプリケーション・サーバーにデプロイするためのスクリプトは、Oracle Identity Managerホーム・ディレクトリにある別のバッチ・ファイルによって実行されます。SPML Webサービスをデプロイするには、このバッチ・ファイルを実行する必要があります。
SPML Webサービスの詳細は、『Oracle Identity Manager Toolsリファレンス・ガイド』の第12章「SPML Webサービス」を参照してください。
インポートおよびエクスポート操作のトランザクション・タイムアウトのデフォルト値は、600秒です。このタイムアウトは、デフォルトのグローバル・トランザクション・タイムアウトの1200秒を上書きします。エクスポートおよびインポート操作のトランザクション・タイムアウトを大きくする、または変更するには、次のようにします。
OIM_HOME
/xellerate/DDTemplates/DO
ディレクトリに移動します。
orion-ejb-jar.xml
ファイルを開きます。
orion-ejb-jar.xml
ファイルで、transaction-timeoutを検索します。トランザクション・タイムアウトは、ファイル内の2つの場所(インポートとエクスポート)にあります。
トランザクション・タイムアウトの値を大きくする、または変更します。
OIM_HOME
/xellerate/setup
ディレクトリに移動します。
Oracle Identity Managerをインストールしたオペレーティング・システム別に、patch_oc4j.sh
またはpatch_oc4j.cmd
を実行します。
注意:
|