ヘッダーをスキップ
Oracle Access Managerデプロイメント・ガイド
10
g
(10.1.4.2.0)
E05806-01
索引
次へ
目次
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
サポートおよびサービス
Oracle Access Managerの新機能
製品およびコンポーネントの名前の変更
デプロイメントの概要
キャパシティ・プランニング
ディレクトリのチューニング
アクセス・サーバーのチューニング
アイデンティティ・システムのチューニング
ワークフローのチューニング
ネットワークのチューニング
アクセス・システム操作のパフォーマンスのチューニング
フェイルオーバーとロード・バランシング
Oracle Access Managerの再構成
データの移行
1
Oracle Access Managerデプロイメントの概要
1.1
Oracle Access Managerデプロイメントのタイプおよび層の概要
1.2
デプロイメントのシナリオおよび環境
1.3
デプロイメントのカテゴリ
1.3.1
エクストラネット・デプロイメント・カテゴリ
1.3.2
イントラネット・デプロイメント・カテゴリ
1.4
一般的な推奨事項
1.4.1
セキュリティの推奨事項
1.4.2
標準化の推奨事項
1.4.3
Oracle Access Managerサーバーの推奨事項
1.4.4
Webサーバーの推奨事項
1.4.5
LDAPディレクトリおよびデータの推奨事項
1.4.6
監査データの使用性の推奨事項
1.4.7
デプロイメント全体に対する単一のアイドル・タイムアウトの構成
1.4.8
カスタマイズの推奨事項
1.4.9
テストおよびパフォーマンスの推奨事項
1.5
アイデンティティ・システムの推奨事項
1.5.1
埋込み可能なユーザー・インタフェース要素の外観のカスタマイズ
1.5.2
アイデンティティ・サーバー・インスタンス名の再利用
1.6
アクセス・システムの推奨事項
1.6.1
IP検証、HTTPSおよびセキュアなCookieを使用したCookieリプライ攻撃の危険性の緩和
1.6.2
認可フィルタではなく動的グループの構成による認可管理の単純化
1.6.3
リバース・プロキシへのWebGateのデプロイによる管理の単純化
1.6.4
ドキュメント保護ポリシーの開発によるWebGateからアクセス・サーバーへのコールの最小化
1.6.5
フォーム・ベース認証の構成によるログイン・エラーの回避
1.7
Oracle Access Managerデプロイメント・プランニングの概要
1.7.1
プランニング・デリバラブル
1.8
デプロイメントのベスト・プラクティスの概要
2
キャパシティ・プランニング
2.1
キャパシティ・プランニングについて
2.2
サーバー・サイズ設定のためのシステムの予想負荷ピークの見積り
2.2.1
負荷の測定
2.2.1.1
デプロイメント内の負荷の測定
2.2.1.2
複数サイトのデプロイメントのアクティブなユーザー・セッションの測定
2.2.2
システム使用量の測定
2.3
コンポーネント固有のキャパシティ・プランニングおよびサイズ設定の考慮事項
2.3.1
アイデンティティ・サーバーおよびアクセス・サーバーの推奨事項
2.3.2
WebPassの考慮事項および推奨事項
2.3.3
アクセス・システムの考慮事項および推奨事項
2.3.3.1
アクセス・サーバーの推奨事項
2.3.3.2
アクセス・サーバーとWebGateの比率
2.3.3.3
WebGateによるWebサーバーのパフォーマンスへの影響
2.4
Oracle Access Managerのパフォーマンスとスケーラビリティの特徴
2.4.1
スケールアップの特徴
2.4.2
スケールアウトの特徴
2.4.3
デプロイメントおよび構成によるパフォーマンスへの影響
2.4.4
アイデンティティ・サーバーおよびアクセス・サーバーのベースライン・パフォーマンス
2.5
Oracle Access Manager参照サーバーのフットプリント
2.5.1
小規模から中規模のデプロイメントのハードウェア
2.5.2
大規模デプロイメントのハードウェア
2.6
LDAPディレクトリ・サーバーの考慮事項
2.6.1
小規模から中規模のデプロイメントのLDAPサーバー要件
2.6.2
大規模デプロイメントのLDAPサーバー要件
2.7
中規模から大規模のサンプル・デプロイメント
2.8
ベースライン・パフォーマンス・データのテスト・ケース
2.8.1
アイデンティティ・サーバーのベースライン・パフォーマンスのテスト・ケース
2.8.1.1
自己登録のテスト・ケース
2.8.1.2
ロスト・パスワードのテスト・ケース
2.8.1.3
パスワード変更のテスト・ケース
2.8.1.4
アカウント・ロックアウトのテスト・ケース
2.8.2
アクセス・サーバーのベースライン・パフォーマンスのテスト・ケース
2.8.2.1
ログインのテスト・ケース
2.8.2.2
LoginNaviのテスト・ケース
2.8.3
統合されたベースライン・パフォーマンスのテスト・ケース
3
パフォーマンス・チューニング
3.1
ディレクトリ・チューニングのガイドライン
3.1.1
ディレクトリのパフォーマンスの確認
3.1.2
ディレクトリ接続プール・サイズ
3.1.2.1
構成済接続プール・サイズと実際の接続プール・サイズとの違い
3.1.2.2
接続プールの構成
3.1.3
ワークフロー・チケットのディレクトリへの保存
3.1.3.1
ワークフロー・チケットのディレクトリへの書込み
3.1.4
ディレクトリ内の索引属性
3.1.4.1
索引に関する制限事項
3.1.4.2
索引処理とユーザーの非アクティブ化
3.1.4.3
索引処理とワークフロー
3.1.4.4
索引処理とグループ
3.1.4.5
索引処理と検索に関する制約
3.1.5
アクセス・サーバーに対するディレクトリ・サーバーの接続数の変更
3.1.6
ワークフローの削除とアーカイブ
3.1.7
管理者用の読取り権限と書込み権限の設定
3.1.8
検索ベースの構成
3.1.8.1
検索ベース・フィルタの設定
3.1.9
検索に関する制約の適用
3.1.10
アイデンティティ・システムにおけるディレクトリに対する接続数の増加
3.1.11
ディレクトリ内容の変更
3.1.11.1
検索結果リストの列の並び替え
3.1.11.2
バインドDNの変更
3.1.12
キャッシュ設定の調整
3.1.13
ObSyncRecordエントリのディレクトリからの削除
3.1.14
Microsoft Active Directoryのパフォーマンスの考慮事項
3.1.14.1
ドメイン・コントローラを直接ポイントすることによるデータ非一貫性問題の回避
3.1.14.2
ADSIではなくLDAP over SSLを使用したMicrosoft Active Directoryへの接続
3.1.14.3
適切なActive Directory構成パラメータの詳細なチューニングによるパフォーマンスの最適化
3.2
LDAPツールの概要
3.2.1
LDIFファイル内のディレクトリ内容の表示
3.2.1.1
LDAPSEARCHのコマンドライン形式
3.2.1.2
LDAPSEARCHのコマンドライン・パラメータ
3.2.1.3
LDAPSEARCHの例
3.2.2
LDAPMODIFYによるディレクトリ内容の変更
3.2.2.1
LDAPMODIFYのコマンドライン形式
3.2.2.2
LDAPMODIFYのコマンドライン・パラメータ
3.2.2.3
LDAPMODIFYの例
3.3
アイデンティティ・システムのチューニング
3.3.1
アイデンティティ・システム検索のチューニング
3.3.1.1
検索で使用される演算子の制限
3.3.1.2
ユーザーが検索フィールドに入力する必要がある最小文字数の指定
3.3.1.3
検索で返されるエントリ数の制限
3.3.2
スレッド・セーフ・プラグインの作成
3.3.3
アイデンティティ・サーバーのプーリングの検討
3.3.4
ファイル・システム・レベルからのアイデンティティ・サーバーの構成
3.3.5
3GBの仮想メモリーを使用するためのアイデンティティ・サーバーの構成
3.4
アイデンティティ・システムでのグループのチューニング
3.4.1
アイデンティティ・システムでのグループのチューニングに関する一般的な推奨事項
3.4.1.1
静的グループではなく動的グループを使用する
3.4.1.2
ネストされたグループは注意して使用する
3.4.2
大規模な静的グループの扱い方のガイドライン
3.4.2.1
パネルおよび検索結果表からのグループ・メンバーシップ属性の除外
3.4.2.2
属性アクセス制御ポリシーからのメンバー・ロールの除外
3.4.2.3
大規模な静的グループの評価のパフォーマンス・チューニング
3.4.3
グループ・マネージャ・アプリケーションのチューニング
3.4.3.1
「グループ」ページのチューニング
3.4.3.2
「メンバーの表示」ページのチューニング
3.4.3.3
「グループ拡張」ページのチューニング
3.4.4
ユーザーIDキャッシュのチューニング
3.5
ワークフローのチューニング
3.5.1
workflowdbparams.xmlのチューニング
3.5.2
ワークフローの検索パラメータの構成
3.6
アクセス・システムのチューニング
3.6.1
アクセス・サーバーによるパスワード検証の構成
3.6.1.1
ObCredValidationByASパラメータ
3.6.2
リクエスト・キューとスレッドの数の変更
3.6.2.1
スレッドとキューについて
3.6.2.2
現在のスレッド数の見積り
3.6.2.3
必要なスレッドとキューの数の見積り
3.6.3
WebGateからの認可問合せ数の制限
3.6.4
アクセス・サーバーの不安定さの軽減
3.6.5
アクセス・ゲート・クライアントの保護
3.6.6
アクセス・システムでのグループの処理のチューニング
3.6.6.1
静的グループではなく動的グループを使用する
3.6.6.2
ネストされたグループの考慮事項
3.6.6.3
ObMyGroupsの考慮事項
3.7
キャッシュのチューニング
3.7.1
ポリシー・キャッシュのチューニング
3.7.1.1
ポリシー・キャッシュ内の最大要素数の算出
3.7.1.2
ポリシー・キャッシュ要素に対するメモリー要件の算出
3.7.1.3
ポリシー・キャッシュのタイムアウトの算出
3.7.2
ユーザー・キャッシュのチューニング
3.7.2.1
ユーザー・キャッシュのタイムアウト値の算出
3.7.2.2
ユーザー・キャッシュ内の最大要素数の算出
3.7.2.3
ユーザー・キャッシュに対するメモリー要件の算出
3.7.3
URL接頭辞キャッシュのチューニング
3.7.4
WebGateキャッシュのチューニング
3.7.5
キャッシュ内の最大要素数の算出
3.8
ネットワークのチューニング
3.8.1
マシンの稼働状況の確認
3.9
リソースに負荷が集中する操作
3.9.1
様々なコンポーネントへのコールの処理時間
3.9.2
ログイン・フォーム
3.9.3
パスワード管理
3.9.4
プラグイン
4
フェイルオーバーとロード・バランシング
4.1
Oracle Access Managerによるロード・バランシング
4.1.1
LDAPデータのロード・バランシング
4.2
Webコンポーネントのロード・バランシングの構成
4.2.1
単純なラウンド・ロビンのロード・バランシングの構成
4.2.2
重み付けラウンド・ロビンのロード・バランシングの構成
4.3
Oracle Access Managerとディレクトリ・サーバー間のロード・バランシングの構成
4.3.1
ユーザー・データのロード・バランシングの構成
4.3.2
構成データおよびポリシー・データのロード・バランシングの構成
4.3.3
ディレクトリ・サーバー・インスタンスの接続プーリングの調整
4.4
Oracle Access Managerによるフェイルオーバー
4.4.1
プライマリ・サーバーとセカンダリ・サーバー
4.5
Oracle Access Managerとディレクトリ・サーバー間のフェイルオーバー
4.6
Webコンポーネントのフェイルオーバーの構成
4.7
ユーザー・データ用ディレクトリのフェイルオーバーの構成
4.8
構成データおよびポリシー・データ用ディレクトリのフェイルオーバーの構成
4.8.1
構成データに対するアイデンティティ・サーバーのフェイルオーバーの構成
4.8.2
構成データおよびポリシー・データに対するアクセス・サーバー・ディレクトリのフェイルオーバーの構成
4.9
ディレクトリ・サーバーの可用性に基づくフェイルオーバーの構成
4.10
ディレクトリ・サーバーのレスポンス時間に基づくフェイルオーバーの構成
4.10.1
ディレクトリ・サーバーのレスポンス時間に基づくフェイルオーバーの構成のガイドライン
4.10.2
LDAPOperationTimeoutパラメータおよびLDAPMaxNoOfRetriesパラメータの構成
4.10.3
LDAPOperationTimeout値のテスト
5
キャッシングとクローニング
5.1
クローニングされ同期化されたコンポーネント
5.2
最新情報のキャッシングについて
5.2.1
キャッシュ・フラッシュ・イベントのトリガー
5.2.2
キャッシュ・タイムアウト
5.3
システム情報のキャッシング
5.3.1
グループ・オブジェクトのキャッシング
5.3.2
資格情報マッピング・キャッシュのオフ設定
5.4
アクセス・システム情報のキャッシング
5.4.1
アクセス・サーバーのキャッシュ構成
5.4.1.1
ポリシー・キャッシュの情報
5.4.1.2
ユーザー情報のキャッシング
5.4.2
アクセス・サーバーのユーザー・キャッシュの無効化
5.4.3
アクセス・サーバー・キャッシュの自動フラッシュ
5.4.4
アクセス・サーバー・キャッシュの手動フラッシュ
5.4.5
レプリケートされたディレクトリを使用したキャッシュ構成
5.4.5.1
正確な動作を確保するタイムアウト
5.4.6
アクセス・ゲート・キャッシュ構成
6
システムの再構成
6.1
再構成可能なもの
6.2
設定の再実行が必要な再構成の実行
6.3
LDAPバインド・パスワードの更新
6.3.1
ModifyLDAPBindPasswordツールのパラメータ
6.3.2
ModifyLDAPBindPasswordツールの実行
6.3.3
ADSIモードで実行している場合のLDAPバインド・パスワードの変更
7
タイムゾーンをまたがるシステム・クロックの同期化
7.1
同期化について
7.2
NTPを使用する同期
7.3
GPSベースのシステムとの同期化
7.4
夏時間の概要
8
データのアップグレードおよび異なるデプロイメントへの移行
8.1
Oracle Access Managerの新しいリリースへのアップグレードの概要
8.2
Oracle Access Manager構成データの移行の概要
9
Oracle Access Managerのバックアップおよびリカバリの方法
9.1
バックアップ方法およびリカバリ方法の概要
9.2
バックアップの推奨事項
9.3
デプロイメント・イベントのバックアップ方法
9.3.1
Oracle Access Managerのインストール前のバックアップ
9.3.2
Oracle Access Managerのインストール後のバックアップ
9.3.3
Oracle Access Managerのカスタマイズ後のバックアップ
9.3.4
アップグレード前のバックアップ
9.3.5
アップグレード後のバックアップ
9.4
リカバリ方法
9.4.1
インストール後のリカバリ方法
9.4.2
アップグレード中のリカバリ方法
索引