Oracle Identity Governanceコンポーネントの高可用性の構成

6 Oracle Identity Governanceコンポーネントの高可用性の構成

この章では、Oracle Identity Governanceの高可用性環境を設計およびデプロイする方法について説明します。

Oracle Identity Governance (OIG)は、アプリケーションおよびディレクトリからユーザー・アカウントを追加、更新および削除するプロセスを自動化するユーザー・プロビジョニングおよび管理ソリューションです。また、誰が何にアクセスしたかを示すきめ細かいレポートを提供することで、法規制コンプライアンスの向上にも寄与します。OIGは、スタンドアロン製品として、またはOracle Identity and Access Management Suiteの一部として使用可能です。

OIGの詳細については、『Oracle Fusion Middleware Oracle Identity Governanceの管理』のOracle Identity Governanceの製品の概要に関する項を参照してください。

ノート:

ドキュメント内のOracle Identity GovernanceおよびOracle Identity Managerの製品名のリファレンスは同じものを意味します。

Oracle Identity Governanceのアーキテクチャ

Oracle Identity Governanceのアーキテクチャは、そのコンポーネント、ランタイム・プロセス、プロセス・ライフサイクル、構成アーティファクト、外部依存性、およびログ・ファイルからなります。

図6-1は、Oracle Identity Governanceのアーキテクチャを示しています:

図6-1 Oracle Identity Governanceコンポーネントのアーキテクチャ

「図6-1 Oracle Identity Governanceコンポーネントのアーキテクチャ」の説明

Oracle Identity Governanceコンポーネントの特性

Oracle Identity Governanceサーバーは、スタンドアロンの自己完結型アイデンティティ管理ソリューションです。ユーザー管理、ワークフローおよびポリシー、パスワード管理、監査およびコンプライアンス管理、ユーザー・プロビジョニング、および組織およびロール管理機能を提供します。

Oracle Identity Governance (OIG)は、標準Java EEアプリケーションであり、WebLogic Server上にデプロイされ、データベースを使用してランタイムおよび構成データを格納します。MDSスキーマには構成情報が含まれ、OIGスキーマにはランタイムおよびユーザー情報が格納されます。

OIGは、RMIを使用してSOA管理対象サーバーに接続し、SOA EJBを呼び出します。

OIGは、Oracle SOA Suiteのヒューマン・ワークフロー・モジュールを使用して、そのリクエスト・ワークフローを管理します。OIGは、SOA用のフロントエンドURLであるSOAサーバーのT3 URLを使用してSOAに接続します。クラスタ化されたSOAサーバーでは、ロード・バランサまたはWebサーバーのURLを使用することをお薦めします。ワークフローが完了すると、SOAはOIGFrontEndURLを使用してOIM Webサービスをコールバックします。Oracle SOAは、OIGとともにデプロイされます。

いくつかのOIGモジュールはJMSキューを使用します。各キューは、個別のメッセージドリブンBean (MDB)によって処理されます。MDBもOIGアプリケーションの一部です。メッセージ・プロデューサもOIGアプリケーションの一部です。

OIGは、スケジュール済アクティビティのためにクォーツ・ベースのスケジューラを使用します。ユーザーの終了日後にそのユーザーを無効化するなど、バックグラウンドで様々なスケジュール済アクティビティが実行されます。

このリリースでは、BI PublisherはOIGに組み込まれていません。しかし、Oracle Identity Manager Governanceのためのアプリケーションの開発とカスタマイズのレポートの構成に関する項の手順に従って、BI PublisherとOIGを統合できます。

ランタイム・プロセス

Oracle Identity Governanceは、WebLogic Serverにno-stageアプリケーションとしてデプロイします。OIGサーバーは、それがデプロイされたWebLogic Serverの起動時に初期化されます。アプリケーションの初期化の一部として、クォーツ・ベースのスケジューラも起動されます。初期化が完了すると、システムはクライアントからリクエストを受信できるようになります。

Design Consoleはスタンドアロンのユーティリティとして別に起動する必要があります。

コンポーネントとプロセスのライフサイクル

Oracle Identity Managerは、外部的に管理されるアプリケーションとしてWebLogic Serverにデプロイされます。デフォルトでは、WebLogic Serverによって、OIMアプリケーションに対する他のライフサイクル・イベントの起動、停止、監視および管理が行われます。

OIMは、アプリケーション・サーバー・コンポーネントが起動した後に起動します。OIMコンポーネント・メカニズムの一部である認証システムが使用され、それはWebLogic JNDIが初期化されてアプリケーションが起動する前に起動します。

OIMは、すべてのWebLogic Serverインスタンスでスケジューラ・スレッドを起動するクォーツ・テクノロジ・ベースのスケジューラを使用します。データベースが、スケジュール済アクティビティの選択と実行のための中央記憶域として使用されます。1つのスケジューラ・インスタンスがジョブを選択した場合、その他のインスタンスがその同じジョブを選択することはありません。

ノード・マネージャは、サーバー・プロセスを監視し、障害発生時にそのプロセスを再起動するように構成できます。

Oracle Enterprise Manager Fusion Middleware Controlは、アプリケーションの監視および構成の変更に使用します。

Oracle Identity Governanceの起動および停止

OIMライフサイクル・イベントは、次のコマンド行ツールおよびコンソールを使用して管理します。

Oracle WebLogic Scripting Tool(WLST)
WebLogic Serverリモート・コンソール
Oracle Enterprise Manager Fusion Middleware Control。
Oracle WebLogicノード・マネージャ

構成アーティファクト

OIMサーバー構成は、MDSリポジトリ(/db/oim-config.xml)に格納されます。oim-config.xmlファイルがメイン構成ファイルです。OIM構成は、Oracle Enterprise Manager Fusion Middleware Controlまたはコマンド行MDSユーティリティを介してMBeanブラウザを使用して管理します。MDSユーティリティの詳細は、Oracle Fusion Middleware Oracle Identity Managerのためのアプリケーションの開発とカスタマイズのユーザー構成可能メタデータ・ファイルの移行に関する項を参照してください。

JMSは、インストーラによってすぐに使用可能な状態に構成されます。JMSキュー、接続プール、データ・ソースなど必要なものはすべて、WebLogicアプリケーション・サーバー上に構成されます。次のキューが、OIMをデプロイするときに作成されます。

oimAttestationQueue
oimAuditQueue
oimDefaultQueue
oimKernelQueue
oimProcessQueue
oimReconQueue
oimSODQueue

Design ConsoleおよびRemote Managerの構成は、xlconfig.xmlに格納されます。

外部依存性

Oracle Identity Managerは、Oracle SOA Suiteのワークリストおよびヒューマン・ワークフロー・モジュールを使用して、そのリクエスト・フローを管理します。OIMは、外部リポジトリと対話して、構成およびランタイム・データを格納するので、初期化および実行時に、これらのリポジトリが使用可能であることが必要です。OIMリポジトリには、OIMのすべての資格証明が格納されます。OIMに必要な外部コンポーネントは次のとおりです。

WebLogic Server
- 管理サーバー
- 管理対象サーバー
データ・リポジトリ
- 構成リポジトリ(MDSスキーマ)
- ランタイム・リポジトリ(OIMスキーマ)
- ユーザー・リポジトリ(OIMスキーマ)
- SOAリポジトリ(SOAスキーマ)
BI Publisher、これはオプションでOIMと統合できます

Design Consoleは、管理者が、開発とカスタマイズのために使用するツールです。Design Consoleは、OIMエンジンと直接通信し、OIMサーバーが依存するものと同じコンポーネントに依存します。

Remote Managerは、オプションの独立したスタンドアロン・アプリケーションであり、ローカル・システムのカスタムAPIを呼び出します。それには、カスタムAPIのJARファイルがそのクラスパスに含まれている必要があります。

Oracle Identity Governanceのログ・ファイルの場所

Java EEアプリケーションはWebLogic Serverにデプロイされるので、サーバー・ログ・メッセージはすべてサーバーのログ・ファイルに記録されます。OIM固有のメッセージは、アプリケーションがデプロイされるWebLogic Serverの診断ログ・ファイルに記録されます。

WebLogic Serverのログ・ファイルは、次のディレクトリにあります。

DOMAIN_HOME/servers/serverName/logs

主なログ・ファイルは、serverName.log、serverName.outおよびserverName-diagnostic.logの3つですが、ここでserverNameはWebLogic Serverの名前です。たとえば、WebLogic Server名がwls_OIM1の場合、診断ログ・ファイル名はwls_OIM1-diagnostic.logになります。ログ・ファイルを表示するには、Oracle Enterprise Manager Fusion Middleware Controlを使用します。

Oracle Identity Governanceの高可用性の概念

Oracle Identity Governanceの高可用性に関連する概念は、OIG高可用性アーキテクチャ、OIGクラスタの起動と停止、およびクラスタワイドの構成変更です。

ノート:

OIMはOracle RACデータベースにデプロイできますが、Oracle RACのフェイルオーバーは、このリリースではOIMに対して透過的ではありません。Oracle RACのフェイルオーバーが発生すると、エンド・ユーザーは、リクエストを再送信する必要がある場合があります。
OIMは常に、SOAクラスタ内で少なくとも1つのノードが使用可能であることを必要とします。SOAクラスタが使用可能でない場合、エンド・ユーザーのリクエストは失敗します。OIMは、失敗したSOA呼出しに対して再試行しません。そのため、SOA呼出しが失敗すると、エンド・ユーザーは再試行する必要があります。

Oracle Identity Governanceの高可用性アーキテクチャ

図6-2は、高可用性アーキテクチャにデプロイされたOIGを示しています。

図6-2 Oracle Identity Governanceの高可用性アーキテクチャ

「図6-2 Oracle Identity Governanceの高可用性アーキテクチャ」の説明

OIMHOST1では、次のインストールが実行されています。

OIMインスタンスはWLS_OIM1管理対象サーバーにインストールされており、SOAインスタンスはWLS_SOA1管理対象サーバーにインストールされています。
Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにGridLinkデータ・ソース内に構成されています。
WebLogic Serverの管理サーバーがインストールされています。通常の運用時は、これがアクティブ管理サーバーになります。

OIMHOST2では、次のインストールが実行されています。

OIMインスタンスはWLS_OIM2管理対象サーバーにインストールされており、SOAインスタンスはWLS_SOA2管理対象サーバーにインストールされています。
Oracle RACデータベースは、インスタンスをOracle RACノードの障害から保護するためにGridLinkデータ・ソース内に構成されています。
OIMHOST1およびOIMHOST2上のWLS_OIM1およびWLS_OIM2管理対象サーバーのインスタンスは、OIM_Clusterクラスタとして構成されています。
OIMHOST1およびOIMHOST2上のWLS_SOA1およびWLS_SOA2管理対象サーバーのインスタンスは、SOA_Clusterクラスタとして構成されています。
管理サーバーがインストールされています。通常の運用時は、これがパッシブ管理サーバーになります。OIMHOST1の管理サーバーが使用できなくなった場合は、この管理サーバーをアクティブにします。

DB-SCANは、Oracle Real Application Clusters (Oracle RAC)データベース・ホストのデータベースSCANアドレスを指します。

OIGクラスタの起動と停止

デフォルトでは、WebLogic Serverによって、このアプリケーションに対するライフサイクル・イベントの起動、停止、監視および管理が行われます。OIMアプリケーションは、クラスタの高可用性機能を利用します。ハードウェアまたは他の原因により失敗が発生した場合、他のクラスタ・ノードでセッション状態を利用でき、そのノードで障害の起きたノードの作業を再開できます。

OIMライフサイクル・イベントを管理するには、次のコマンド行ツールおよびコンソールを使用します。

WebLogic Serverリモート・コンソール
Oracle Enterprise Manager Fusion Middleware Control。
Oracle WebLogic Scripting Tool(WLST)

クラスタワイドの構成変更

高可用性環境では、すべてのOIMインスタンスが同じ構成リポジトリを共有するため、OIMの1つのインスタンスの構成を変更するとその他すべてのインスタンスの構成も変更されます。

高可用性のディレクトリ構造の前提条件

高可用性デプロイメントでは、製品インストールとファイルが特定のディレクトリに存在する必要があります。標準のディレクトリ構造を用いることで、ノード全体の構成および製品の統合が容易になります。

高可用性を構成する前に、「高可用性のディレクトリ構造の前提条件」で説明している要件を使用環境が満たしていることを確認してください。

Oracle Identity Governanceの高可用性の構成ステップ

Oracle Identity Governanceの高可用性の構成には、前提条件の設定、ドメインの構成、インストール後のステップ、サーバーの起動、SOA統合、管理対象サーバー・インスタンスの検証、Oracle Identity Governanceのスケール・アップおよびスケール・アウトが含まれます。

この項では、OIMの高可用性デプロイメントを設定する大まかな手順について説明し、次のトピックが含まれます。

Oracle Identity Governanceの構成のための前提条件

OIMを高可用性のために構成する前に、次の操作を実行しておく必要があります。

Oracle Databaseをインストールします。Oracle Fusion Middlewareのインストールのためのデータベース要件についてを参照してください。
OIMHOST1およびOIMHOST2にJDKをインストールします。『Oracle WebLogic ServerおよびCoherenceのインストールと構成』のインストールの準備に関する項を参照してください。
クイックスタート・インストーラを使用して、OIMHOST1およびOIMHOST2にWebLogic Server、Oracle SOA Suite、およびOracle Identity Managementソフトウェアをインストールします。「クイックスタート・インストーラを使用したOracle Identity Governanceのインストール」を参照してください。
データベースに OIMスキーマを作成するためにリポジトリ作成ユーティリティを実行します。「データベースにOIMスキーマを作成するためのRCUの実行」を参照してください。

データベースにOIMスキーマを作成するためのRCUの実行

作成するスキーマは、インストールおよび構成する製品により異なります。インストールする製品と互換性のあるバージョンのリポジトリ作成ユーティリティ(RCU)を使用します。「データベース・スキーマの作成」を参照。

ドメインの構成

構成ウィザードを使用して、ドメインを作成および構成します。

アイデンティティ管理ドメインの作成の詳細は、「ドメインの構成」、「構成後タスクの実行」を参照してください。

OIMHOST1におけるインストール後のステップ

この項では、OIMHOST1におけるインストール後のステップについて説明します。

オフライン構成コマンドの実行

Oracle Identity Governanceドメインを構成した後、offlineConfigManagerスクリプトを実行して、構成後のタスクを実行します。

必ずこのコマンドを実行してから、サーバーを起動します。offlineConfigManagerコマンドを実行するには、次を行います。

次の環境変数を正しい値に設定します。
- DOMAIN_HOME
- JAVA_HOME
ファイルOIM_HOME/server/bin/offlineConfigManager.shに対する実行権限を持っていることを確認します。
OIM_HOME/server/bin/から次のコマンドを実行します。
- UNIXの場合: ./offlineConfigManager.sh
- Windowsの場合: offlineConfigManager.bat

SSL有効サーバーのシステム・プロパティの更新

SSL有効サーバーの場合、ドメイン・ホームのsetDomainEnvファイルで必要なプロパティを設定する必要があります。

サーバーを起動する前に、DOMAIN_HOME/bin/setDomainEnv.sh (UNIXの場合)またはDOMAIN_HOME\bin\setDomainEnv.cmd (Windowsの場合)ファイルで次のプロパティを設定します。

-Dweblogic.security.SSL.ignoreHostnameVerification=true
-Dweblogic.security.TrustKeyStore=DemoTrust

管理サーバー、oim_server1およびsoa_server1の起動

管理サーバー、oim_server1およびsoa_server1を起動するには、次のようにします。

管理サーバーを起動するには、DOMAIN_HOME/binディレクトリに移動し、次のコマンドを実行します。

UNIXの場合: ./startWebLogic.sh

Windowsの場合: startWebLogic.cmd

「ドメイン・モードおよびJDK」画面で「本番モード」を選択した場合、「管理者アカウント」画面に表示されたように、管理者ユーザーのログイン資格証明のプロンプトが表示されます。
管理サーバー・コンソールにアクセスすることで、管理サーバーが稼働中であることを確認できます。URLは「構成の終了」画面に指定されます(http://administration_server_host:administration_server_port/console)。デフォルトの管理サーバーのポート番号は7001です。

ノート:
製品スキーマをホストしているデータベースが稼働中であり、管理サーバーからアクセスできることを確認してください。
HOST1でノード・マネージャを起動します。このためには、DOMAIN_HOME/binディレクトリから次のコマンドを実行します。

(UNIX) nohupと nm.outをサンプル出力ファイルとして使用します。

nohup ./startNodeManager.sh > LOG_DIR/nm.out&

ここで、LOG_DIRは、ログ・ファイルを格納するディレクトリの場所になります。

(Windows) startNodeManager.cmd
先にOracle SOA Suite管理対象マネージャを起動してからOracle Identity Governance管理対象サーバーを実行します。管理サーバーを起動するには:
1. Oracle Fusion Middleware Controlにログインします。
```
http://administration_server_host:administration_server_port/em
```
  Enterprise Managerのランディング・ページには、このドメインに構成されているサーバーのリストと、それらのステータスが表示されます(「実行中」または「停止」など)。新しく構成されたドメインでは、AdminServer(admin)のみが実行されています。
2. 「wls_soa1」を選択します。
3. 「コントロール」リストから「起動」を選択します。
4. ステップbおよびcを繰り返してwls_oim1を起動します。
  ノート:
  サーバーが次の順序で起動されることを確認します。
  1. ノード・マネージャ
  2. 管理サーバー
  3. Oracle SOA Suite管理対象サーバー
  4. Oracle Identity Manager管理対象サーバー
5. メインのランディング・ページで、すべての管理対象サーバーが稼働中であることを確認します。

Oracle Identity GovernanceとOracle SOA Suiteの統合

Oracle Identity GovernanceとOracle SOA Suiteを統合するには、次のようにします。

次のURLに移動してOracle Fusion Middleware Controlにログインします。

http://administration_server_host:administration_server_port/em
weblogic_domainをクリックし、「システムMBeanブラウザ」を選択します。
検索ボックスに、OIMSOAIntegrationMBeanと入力して、「検索」をクリックします。mbeanが表示されます。

ノート:
Oracle Identity Governanceがまだ起動している(起動中)または起動したばかり(RUNNING MODE)な場合、Enterprise ManagerはOIGにより定義されたMbeanを表示しません。サーバーが起動するのを2分間待ってから、Enterprise ManagerのシステムMbeanブラウザでMbeanの検索を試みます。
Mbeanの「操作」タブをクリックし、integrateWithSOAServerを選択します。
必要な属性を入力して、「呼出し」をクリックします。

OIMHOST2へのOracle Identity Governanceの伝播

OIMHOST1で構成を完了したら、OIMHOST1上のドメインをパックし、それをOIMHOST2上で解凍することにより、OIMHOST1の構成をOIMHOST2に伝播できます。

ノート:

構成をOIMHOST2に伝播する前に、OIMHOST1上の管理対象サーバーをすべてクリーン・シャット・ダウンすることをお薦めします。

OIMHOST1上のドメインをパックし、それをOIMHOST2上で解凍するには:

OIMHOST1上で、ORACLE_HOME/oracle_common/common/binディレクトリにあるpackユーティリティを呼び出します。

pack.sh -domain=ORACLE_HOME/user_projects/domains/OIM_Domain -
template =/u01/app/oracle/admin/templates/oim_domain.jar -
template_name="OIM Domain" -managed=true

前のステップで作成したoim_domain.jarファイルは、次のディレクトリにあります。
```
/u01/app/oracle/admin/templates
```
oim_domain.jarをOIMHOST1からOIMHOST2上の一時ディレクトリにコピーします。
OIMHOST2上で、ORACLE_HOME/oracle_common/common/binディレクトリにあるunpackユーティリティを呼び出し、その一時ディレクトリにあるoim_domain.jarファイルの場所を指定します。
```
unpack.sh -domain=ORACLE_HOME/user_projects/domains/OIM_Domain -
template=/tmp/oim_domain.jar
```

OIMHOST2におけるインストール後のステップ

OIMHOST2でのノード・マネージャの起動

次のディレクトリの下にあるstartNodeManager.shスクリプトを使用してOIMHOST2上のノード・マネージャを起動します。

DOMAIN_HOME/bin

OIMHOST2でのWLS_SOA2およびWLS_OIM2管理対象サーバーの起動

OIMHOST2で管理対象サーバーを起動するには:

リモート・コンソールを使用してWLS_SOA2管理対象サーバーを起動します。
リモート・コンソールを使用して、WLS_OIM2管理対象サーバーを起動します。WLS_OIM2管理対象サーバーを起動する前に、WLS_SOA2管理対象サーバーを起動してください。

SOAエンド・ポイントの構成

SOAエンド・ポイントを構成するには:

次のURLに移動して、Oracle Fusion Middleware Enterprise Manager Controlにログインします:

http://ADMINISTRATION_SERVER_HOST:ADMINISTRATION_SERVER_PORT/em
weblogic_domainをクリックし、「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBean」→「oracle.iam」→「Server: OIM_SERVER_NAME」→「Application: oim」→「XMLConfig:Config」→「XMLConfig.SOAConfig:SOAConfig」に移動します。
次の属性の値を入力します:

SOA構成RMI URL: cluster:t3://<SOA_cluster>

SOA構成SOAP URL: http://<OHS_hostname>:<OHS_PORT>

ノート:

Oracle HTTPサーバーの階層を上位のロード・バランサまたはWebホストとともに使用してシングル・ポイント障害を軽減している場合は、公開されているマシンのホストおよびポートを使用してOIMアイデンティティおよびsysadmin URLにアクセスします。
「呼出し」をクリックします。

OIMHOST2での管理対象サーバー・インスタンスの検証

OIMHOST2でOracle Identity Manager (OIM)インスタンスを検証します。

次のURLを使用してOIMコンソールを開きます。

http://identityvhn2.example.com:14000/identity

xelsysadmパスワードを使用してログインします。

OIGおよびSOA管理対象サーバーに対するサーバーの移行の構成

この高可用性トポロジでは、管理対象サーバーWLS_OIM1、WLS_SOA1、WLS_OIM2、WLS_SOA2に対してサーバー移行を構成することをお薦めします。サーバー全体の移行を使用する利点と推奨する理由については、第3.9項「サーバー全体の移行」を参照してください。

OIMHOST1上のWLS_OIM1およびWLS_SOA1管理対象サーバーは、OIMHOST1で障害が発生した場合に、OIMHOST2で自動的に再起動するように構成されます。
OIMHOST2上のWLS_OIM2およびWLS_SOA2管理対象サーバーは、OIMHOST2で障害が発生した場合に、OIMHOST1で自動的に再起動するように構成されます。

このような構成では、WLS_OIM1、WLS_SOA1、WLS_OIM2およびWLS_SOA2サーバーは、WebLogicサーバー移行によってフェイルオーバーされる特定の浮動IPをリスニングします。

次のトピックでは、WLS_OIM1、WLS_SOA1、WLS_OIM2、およびWLS_SOA2管理対象サーバーのサーバー移行を行うことができ、これにより、サーバーまたはプロセスの障害時に、管理対象サーバーは別のノードにフェイルオーバーできます。

ノード・マネージャのプロパティ・ファイルの編集

nodemanager.propertiesファイルを編集して、サーバー移行を構成するノードごとに次のプロパティを追加する必要があります。

Interface=eth0
eth0=*,NetMask=255.255.248.0
UseMACBroadcast=true

Interface: 浮動IPのインタフェース名(eth0など)を指定します。

ノート:

サブ・インタフェース(eth0:1、eth0:2など)を指定しないでください。このインタフェースは、:0または:1なしに使用されます。ノード・マネージャのスクリプトは、別の:X対応のIPを移動して、追加または削除するものを決定します。たとえば、Linux環境で有効な値は、構成済のインタフェースの数に応じて、eth0、eth1、eth2、eth3、ethnとなります。
NetMask: 浮動IPのインタフェースのネット・マスクを指定します。ネット・マスクは、インタフェース上のネット・マスクと同じである必要があります(255.255.255.0は一例です)。実際の値は、ネットワークにより異なります。
UseMACBroadcast: ARPパケットの送信時にノードのMACアドレスを使用するかどうか、つまり、arpingコマンドで-bフラグを使用するかどうかを指定します。

これらのプロパティが使用されているか、または移行中に問題が発生していないかを、ノード・マネージャの出力(ノード・マネージャが起動されているシェル)で確認します。(これを行うには、ノード・マネージャを再起動する必要があります。)ノード・マネージャの出力で、次のようなエントリが表示されることを確認します。

...
StateCheckInterval=500
Interface=eth0
NetMask=255.255.255.0
...

wlsifconfig.shスクリプトの環境およびスーパーユーザー権限の設定

サーバー移行を構成するノードごとにwlsifconfig.shスクリプトの環境とスーパーユーザー権限を設定するには:

ノード・マネージャの実行に使用するユーザー・アカウントのログイン・プロファイルを変更して、ノード・マネージャ・プロセスのPATH環境変数にwlsifconfig.shスクリプトとwlscontrol.shスクリプトおよびnodemanager.domains構成ファイルが格納されているディレクトリを必ず含めるようにします。PATH環境変数に次のファイルが含まれていることを確認します。

表6-1 PATH環境変数に必要なファイル

ファイル	格納されているディレクトリ
wlsifconfig.sh	DOMAIN_HOME/bin/server_migration
wlscontrol.sh	WL_HOME/common/bin
nodemanager.domains	WL_HOME/common

wlsifconfig.shスクリプトに対するsudo構成権限を付与します。
- パスワード・プロンプトを使用しないで機能するsudoを構成します。
- セキュリティ上の理由から、wlsifconfig.shスクリプトの実行に必要なコマンドのサブセットに限定することをお薦めします。たとえば、wlsifconfig.shスクリプトの環境とスーパーユーザー権限を設定するには、次のステップを実行します。
- WebLogicユーザー(oracle)に、パスワードによる制限なしのsudo権限を付与し、/sbin/ifconfigバイナリおよび/sbin/arpingバイナリの実行権限を付与します。
- WebLogicユーザーがこのスクリプトを実行できることを確認します。sudo実行権限をoracleおよびifconfigとarpingに付与するエントリを記述した/etc/sudoersの例を次に示します。
```
oracle ALL=NOPASSWD: /sbin/ifconfig,/sbin/arping
```
ノート:

このステップで使用できるsudoとシステム権限はシステム管理者にお問い合せください。

WEBHOST1およびWEBHOST2にOracle HTTP Serverをインストールします

WEBHOST1およびWEBHOST2にOracle HTTP Serverをインストールします。

Web Tierと連携するためのOracle Identity Governanceの構成

次の方法で、高可用性設定でOracle HTTP ServerとOracle Identity Governanceを同じ場所に配置できます。

ノート:

Oracle HTTP ServerとOracle Identity Governanceを同じドメインに配置しないことをお薦めします。

OIGドメインを作成し、Oracle HTTP Serverを使用して同じOIMドメインを拡張します。この場合、Oracle HTTP ServerとOIGの両方に同じスキーマを再使用できます。
Oracle HTTP ServerおよびOIG用の個別のドメインを作成します。この場合、Oracle HTTP ServerとOIGの両方に同じスキーマを再使用できません。2つの個別のスキーマが必要です。
サイレントまたはwlstを使用してOracle HTTP Server用とOIG用の個別のドメインを作成します。この場合、Oracle HTTP ServerとOIGの両方に同じスキーマを再使用できます。

次のトピックでは、Oracle Web Tierと連携するためのOIGの構成方法について説明します。

Web Tierと連携するためのOIGの構成の前提条件

次のタスクが実行済であることを確認します。

Oracle Web TierをWEBHOST1とWEBHOST2にインストールしました。
OIGがOIGHOST1およびOIGHOST2にインストールおよび構成されています。
ロード・バランサがWEBHOST1およびWEBHOST2のWebサーバーを指す仮想ホスト名(oig.example.com)で構成済であること。oig.example.comは顧客向けで、主要エントリ・ポイントです。通常はSSL終端です。
ロード・バランサがWebサーバーWEBHOST1およびWEBHOST2を指す仮想ホスト名(oiginternal.example.com)で構成済であること。oiginternal.example.comは内部コールバック用で、顧客向けではありません。

ロード・バランサのSSL証明書の構成

ロード・バランサを使用するSSL対応サーバーでは、Oracle Web TierをOIGExternalFrontendURLに使用する際にSSL証明書を構成する必要があります。

SSL証明書をロード・バランサからエクスポートします。
SSL証明書をDemoTrust / cacertsキーストアにインポートします。デフォルト・ストアを使用していない場合は、SSL証明書をカスタム・ストアにインポートします。
SOAサーバーとOIGサーバーの両方を停止します。
サーバー・キャッシュおよび一時ディレクトリをクリアします。
SOAサーバーとOIGサーバーの両方を再起動します。

ノート:
キーストアの詳細は、WebLogic Serverでのキーストアの構成に関する項を参照してください

OIMおよびSOA管理対象サーバーのフロントエンドに使用できるようにするためのOracle HTTP Serverの構成

WEBHOST1とWEBHOST2上の各Webサーバーで、ディレクトリOHS_DOMAIN_HOME /config/fmwconfig/components/OHS/instances/OHS_INSTANCE_NAMEにmod_wl_ohs.confという名前のファイルを作成します。

ノート: SSL対応サーバーがある場合は、mod_wl_ohs.confファイルSecureProxy ONの最初の行に追加します。

このファイルには次の情報が記載されている必要があります。

# oim admin console(idmshell based)
    <Location /admin>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
   </Location>
 
# oim self and advanced admin webapp consoles(canonic webapp)
 
  <Location /oim>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
   </Location>

  <Location /identity>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid 
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
    </Location>

  <Location /sysadmin>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
    </Location>

# SOA Callback webservice for SOD - Provide the SOA Managed Server Ports
  <Location /sodcheck>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid
    WebLogicCluster soavhn1.example.com:7003,soavhn2.example.com:7003
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
   </Location>

# Callback webservice for SOA. SOA calls this when a request is approved/rejected
# Provide the OIM Managed Server Port
  <Location /workflowservice>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
  </Location>
# used for FA Callback service.
  <Location /callbackResponseService>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
  </Location>

# spml xsd profile
  <Location /spml-xsd>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
  </Location>

  <Location /HTTPClnt>
    SetHandler weblogic-handler
    WLCookieName    oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
  </Location>
 

  <Location /reqsvc>
    SetHandler weblogic-handler
    WLCookieName oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
  </Location>
 
 
  <Location /integration>
    SetHandler weblogic-handler
    WLCookieName oimjsessionid
    WebLogicCluster soavhn1.example.com:7003,soavhn2.example.com:7003
    WLProxySSL ON
    WLProxySSLPassThrough ON
  </Location>

 
  <Location /provisioning-callback>
    SetHandler weblogic-handler
    WLCookieName oimjsessionid
    WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
    WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
    WLProxySSL ON
    WLProxySSLPassThrough ON
  </Location>
 
  <Location /CertificationCallbackService>
   SetHandler weblogic-handler
   WLCookieName JSESSIONID
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"
   WLProxySSL ON
   WLProxySSLPassThrough ON
 </Location>

  <Location /ucs>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster soavhn1.example.com:7003,soavhn2.example.com:7003
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON
  </Location>

  <Location /FacadeWebApp>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON
  </Location>

  <Location /iam/governance/configmgmt>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON
  </Location>

  <Location /iam/governance/scim/v1>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON>
  </Location>

  <Location /iam/governance/token/api/v1>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON
  </Location>

  <Location /OIGUI>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON
  </Location>

  <Location /iam/governance/applicationmanagement>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON
  </Location>

  <Location /iam/governance/adminservice/api/v1>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON
  </Location>

  <Location /iam/governance/selfservice/api/v1>
   SetHandler weblogic-handler
   WLCookieName oimjsessionid
   WebLogicCluster oimvhn1.example.com:14000,oimvhn2.example.com:14000
   WLLogFile /tmp/web_log.log
   WLProxySSL ON
   WLProxySSLPassThrough ON
  </Location>

ORACLE_INSTANCE/config/OHS/COMPONENT/moduleconfにoimvh.confというファイルを作成します。このファイルは、次の情報を含む必要があります。
ノート:

COMPONENTは通常、ohs1またはohs2です。ただし、この名前はOHSのインストール時の選択内容によって異なります。
```
NameVirtualHost *:7777
<VirtualHost *:7777>

  ServerName http://oig.example.com:7777
  RewriteEngine On
  RewriteOptions inherit
  UseCanonicalName On
  </VirtualHost>

<VirtualHost *:7777>
  ServerName http://oiginternal.example.com:80
  RewriteEngine On
  RewriteOptions inherit
  UseCanonicalName On
</VirtualHost>
```
WEBHOST1とWEBHOST2の両方でファイルを保存します。
WEBHOST1およびWEBHOST2の両方で、Oracle HTTP Serverインスタンスを停止および起動します。

Oracle HTTP Serverの構成の検証

Oracle HTTP Serverが適切に構成されていることを検証するステップは次のとおりです。

Webブラウザで、Oracle Identity Managerコンソール用の次のURLを入力します。
```
http://sso.example.com:7777/identity
```
Oracle Identity Managerコンソール・ログイン・ページが表示されます。
xelsysadmユーザーの資格証明を使用してOracle Identity Managerコンソールにログインします。

Oracle Identity Governanceのフェイルオーバーおよび予想される動作

高可用性環境では、Oracle WebLogic Serverを監視するようにノード・マネージャを構成します。障害発生時には、ノード・マネージャによってWebLogic Serverが再起動されます。

ハードウェア・ロード・バランサでは、複数のOIMインスタンス間のリクエストをロード・バランシングします。OIM管理対象サーバーのいずれかに障害が発生した場合は、ロード・バランサによって障害が検出され、障害が発生していないインスタンスにリクエストがルーティングされます。

高可用性環境では、状態情報と構成情報は、すべてのクラスタ・メンバーが共有するデータベースに格納されます。状態情報が共有データベースに格納されており、すべてのクラスタ・メンバーがこの情報を使用できるため、障害が発生していないOIMインスタンスでは、障害が発生したインスタンスで開始された未完了のトランザクションの処理をシームレスに継続します。

OIMインスタンスのいずれかで障害が発生すると、そのデータベースとLDAP接続は解放されます。アクティブ/アクティブ・デプロイメント内にある障害が発生していないインスタンスは、独自の接続を行い、障害が発生したインスタンス上にある未完了のトランザクションの処理を継続します。

OIMを高可用性構成にデプロイする場合は、次のことに注意してください。

OIMはOracle RACデータベースにデプロイできますが、Oracle RACのフェイルオーバーは、このリリースではOIMに対して透過的ではありません。Oracle RACのフェイルオーバーが発生すると、エンド・ユーザーは、各自のリクエストを再送信する必要がある場合があります。
Oracle Identity Managerは常に、SOAクラスタ内で少なくとも1つのノードが使用可能であることを必要とします。SOAクラスタが使用可能でない場合、エンド・ユーザーのリクエストは失敗します。OIMは、失敗したSOA呼出しに対して再試行しません。そのため、SOA呼出しが失敗すると、エンド・ユーザーは再試行する必要があります。

Oracle Identity Governanceのスケール・アップ

OIGの高可用性トポロジは、スケール・アウトやスケール・アップができます。トポロジのスケール・アップでは、管理対象サーバーを1つ以上すでに実行しているノードに新しい管理対象サーバーを追加します。トポロジのスケール・アウトでは、新しいノードに新しい管理対象サーバーを追加します。スケール・アウトするには、「Oracle Identity Governanceのスケール・アウト」を参照してください。

この場合は、SOAコンポーネントとともに構成された管理対象サーバーが実行されているノードが存在しています。ノードには次のものが含まれます。

Oracleホーム
既存の管理対象サーバーのドメイン・ディレクトリ

新しいWLS_OIGおよびWLS_SOA管理対象サーバーを作成するには、既存のインストール(Oracleホームとドメイン・ディレクトリ)を使用できます。OIGおよびSOAのバイナリを新しい場所にインストールしたり、packとunpackを実行する必要はありません。

この手順では、OIGおよびSOA管理対象サーバーのクローンを作成する方法について説明します。これらのコンポーネント・タイプの1つまたは2つでも、そのうちの1つがOIGであればクローンを作成できます。

次の点に注意してください。

この手順は、WLS_OIGおよびWLS_SOAについて説明しています。しかし、両方のコンポーネントをスケール・アップする可能性は少ないです。ステップごとに、使用環境でスケール・アップする対象のコンポーネントを選択してください。また、一部のコンポーネントには適用されないステップもあります
JMSサーバーの永続ストア用の共有記憶域ディレクトリは、管理対象サーバーを起動する前に存在する必要があります。存在しないと、起動操作は失敗します。
永続ストアのパスを指定するときは必ず、共有記憶域上のディレクトリを指定する必要があります

トポロジをスケール・アップするには:

管理コンソールで、WLS_OIG1またはWLS_SOA1のクローンを作成します。クローンを作成する管理対象サーバーは、新しい管理対象サーバーを実行するノードにすでに存在している必要があります。
1. 管理コンソールから「環境」→「サーバー」を選択します。
2. クローンを作成する管理対象サーバーを選択します。
3. 「クローン」を選択します。
4. 新しい管理対象サーバーにWLS_OIGn/WLS_SOAnという名前を付けます。nは新しい管理対象サーバーを識別する番号を示します。
この後のステップでは、すでにWLS_OIG1およびWLS_SOA1を実行しているOIGHOST1に新しい管理対象サーバーを追加することを想定しています。
リスニング・アドレスとして、新しい管理対象サーバーのホスト名またはIPを割り当てます。
新しい管理対象サーバーにOIM/SOA、BPM、UMS、JRFWSAsyncおよびSOAJMServerを作成します。
1. 管理コンソールで、OIM JMSサーバーの新しい永続ストアを作成し、名前を付けます。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms
```
2. OIMの新しいJMSサーバーを作成します。JMSServerに対して、JMSFileStore_nを使用します。JMSServer_nを新しい管理対象サーバーにターゲット指定します。
3. 新しいUMSJMSServerの永続ストアを作成します(たとえば、UMSJMSFileStore_n)。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms/UMSJMSFileStore_n
```
4. UMSの新しいJMSサーバーを作成します(たとえば、UMSJMSServer_n)。それを新しい管理対象サーバー(WLS_SOAn)にターゲット指定します。
5. 新しいBPMJMSServerの永続ストアを作成します(たとえば、BPMJMSFileStore_n)。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms/BPMJMSFileStore_n
```
6. BPMの新しいJMSサーバーを作成します(たとえば、BPMJMSServer_n)。それを新しい管理対象サーバー(WLS_SOAn)にターゲット指定します。
7. 新しいJRFWSAsyncJMSServerの新しい永続ストアを作成します(たとえば、JRFWSAsyncJMSFileStore_n)。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms/JRFWSAsyncJMSFileStore_n
```
8. JRFWSAsyncのJMSサーバーを作成します(たとえば、JRFWSAsyncJMSServer_n)。このJMSServerに対して、JRFWSAsyncJMSFileStore_nを使用します。JRFWSAsyncJMSServer_nを新しい管理対象サーバー(WLS_OIMn)にターゲット指定します。
  
  ノート:
  
  新しいJRFWSAsync JMSサーバーのストアとしてSOAJMSFileStore_nを割り当てることもできます。わかりやすさと独立性を保つために、以降のステップでは個別の永続ストアを使用します。
9. 新しいSOAJMSServerの永続ストアを作成します(たとえば、SOAJMSFileStore_auto_n)。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms/SOAJMSFileStore_auto_n
```
10. SOAの新しいJMSサーバーを作成します(たとえば、SOAJMSServer_auto_n)。このJMSServerに対して、SOAJMSFileStore_auto_nを使用します。SOAJMSServer_auto_nを新しい管理対象サーバー(WLS_SOAn)にターゲット指定します。
  
  ノート:
  
  新しいPS6 JMSサーバーのストアとしてSOAJMSFileStore_nを割り当てることもできます。わかりやすさと独立性を保つために、以降のステップでは個別の永続ストアを使用します。
11. 新しいSOA JMSサーバーが含まれるように、SOA JMSモジュールのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「SOAJMSModule」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。サブデプロイメント・モジュールで、SOAJMSServerXXXXXXサブデプロイメントをクリックし、SOAJMSServer_nを追加します。「保存」をクリックします。
  
  ノート:
  
  サブデプロイメント・モジュール名は、COMPONENTJMSServerXXXXXXという形式のランダム名です。これは、構成ウィザードにおける最初の2つの管理対象サーバー(WLS_COMPONENT1とWLS_COMPONENT2)のJMS構成から取得します。
12. 新しいUMS JMSサーバーが含まれるように、UMSJMSSystemResourceのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「UMSJMSSystemResource」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。サブデプロイメント・モジュールで、UMSJMSServerXXXXXXサブデプロイメントをクリックし、UMSJMSServer_nを追加します。「保存」をクリックします。
13. 新しいOIM JMSサーバーが含まれるように、OIMJMSModuleのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「OIMJMSModule」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。サブデプロイメント・モジュールで、OIMJMSServerXXXXXXとそのOIMJMSServer_nをクリックします。「保存」をクリックします。
14. 新しいJRFWSAsync JMSサーバーが含まれるように、JRFWSAsyncJmsModuleのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「JRFWSAsyncJmsModule」をクリックします(表の「名前」列内のハイパーリンク)。「設定」ページで「サブデプロイメント」タブをクリックします。JRFWSAsyncJMSServerXXXXXXサブデプロイメントをクリックし、このサブデプロイメントにJRFWSAsyncJMSServer_nを追加します。「保存」をクリックします
15. 新しいBPM JMSサーバーが含まれるように、BPM JMSモジュールのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「BPMJMSModule」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。サブデプロイメント・モジュールで、BPMJMSServerXXXXXXサブデプロイメントをクリックし、BPMJMSServer_nを追加します。「保存」をクリックします。
新しいサーバーのトランザクション永続ストアを、他のノードから参照可能な共有記憶域の場所に構成します。

管理コンソールから、「Server_name」→「サービス」タブを選択します。「デフォルト・ストア」の「ディレクトリ」に、デフォルトの永続ストアのパスを入力します。
新しい管理対象サーバーのホスト名検証を無効にします(WLS_SOAn管理対象サーバーの起動と検証を行う前に実行する必要があります)。SOAHOSTnで管理サーバーとノード・マネージャとの通信用のサーバー証明書を構成した後で、これを再度有効化できます。(新しい管理対象サーバーのクローン元となった)ソース・サーバーで、ホスト名の検証が無効化されている場合、これらのステップは不要です。ホスト名の検証の設定はクローンされたサーバーに伝播されます。

ホスト名の検証を無効化するには:
1. 管理コンソールの「ドメイン構造」ウィンドウで「環境」ノードを展開します。
2. 「サーバー」をクリックします。表の「名前」列で「WLS_SOAn」を選択します。
3. 「SSL」タブをクリックします。「詳細」をクリックします。
4. 「ホスト名の検証」を「なし」に設定します。「保存」をクリックします。

管理コンソールから新しい管理対象サーバーを起動して、テストします。

クラスタ内の既存の管理対象サーバーを停止します。
新たに作成した管理対象サーバーが起動していることを確認します。
新たに作成した管理対象サーバーのアプリケーションにアクセスし、それが動作していることを確認します。OIMのログイン・ページが開きます。SOAの場合は、HTTP基本認証が開きます。

表6-2 管理対象サーバーのテストURL

コンポーネント	管理対象サーバーのテストURL
SOA	http://vip:port/soa-infra
OIM	http://vip:port/identity

管理コンソールで、「サービス」→「外部JNDIプロバイダ」を選択します。ForeignJNDIProvider-SOAが、管理対象サーバーではなくcluster:t3://soa_clusterにターゲット指定されていることを確認します。クラスタにターゲット指定すると、新しい管理対象サーバーを構成する必要がありません。ForeignJNDIProvider-SOAのターゲットがクラスタでない場合は、クラスタにターゲット指定してください。
新しい管理対象サーバーに対してサーバー移行を構成します。

ノート:

スケール・アップの場合、ノードにはノード・マネージャ、サーバー移行に対して構成された環境、および新しい管理対象サーバーの浮動IPが必要です。

サーバー移行を構成するには:
1. 管理コンソールにログインします。
2. 左側のペインで、「環境」を開き、「サーバー」を選択します。
3. 移行を構成するサーバー(ハイパーリンク)を選択します。
4. 「移行」タブをクリックします。
5. 「移行の構成」セクションの「使用可能」フィールドで、移行を許可するマシンを選択し、右矢印をクリックします。ノードの既存のサーバーと同じ移行ターゲットを選択します。
  
  たとえば:
  
  SOAHOST1 (すでにWLS_SOA1を実行している)の新しい管理対象サーバーの場合、SOAHOST2を選択します。
  
  SOAHOST2(すでにWLS_SOA2を実行している)の新しい管理対象サーバーの場合、SOAHOST1を選択します。
  
  移行時に管理対象サーバーを同時に実行できるように、適切なリソースが使用可能になっていることを確認してください。
6. 「サーバーの自動移行を有効化」オプションを選択して、ノード・マネージャが、障害の発生したサーバーをターゲット・ノード上で自動的に起動できるようにします。
7. 「保存」をクリックします。
8. 管理サーバー、管理対象サーバーおよびノード・マネージャを再起動します。
9. これらのステップを繰り返し、新たに作成したWLS_OIMn管理対象サーバーに対してサーバー移行を構成します。
この新規サーバーのサーバー移行をテストするには、新規サーバーの追加先となったノードで、次のステップを実行します。
1. 管理対象サーバーを停止します。
  
  管理対象サーバーのPIDに対してkill -9 pidを実行します。ノードのPIDを特定するには、ps -ef | grep WLS_SOAnのように入力します。
2. ノード・マネージャのコンソールに、管理対象サーバーの浮動IPが無効になったことを示すメッセージが表示されます。
3. ノード・マネージャが管理対象サーバーの2回目の再起動を試行するのを待ちます。ノード・マネージャは30秒間待機してからこの再起動を試行します。
4. ノード・マネージャがサーバーを再起動した後で、そのサーバーをもう一度停止します。サーバーがローカルで再起動されないことを示すメッセージがノード・マネージャによってログに記録されます。
OHS構成ファイルを編集して、新しい管理対象サーバーを追加します。「新しい管理対象サーバーを認識するためのOracle HTTP Serverの構成」を参照してください。

Oracle Identity Governanceのスケール・アウト

トポロジのスケール・アウトでは、ソフトウェアで構成された新しい管理対象サーバーを新しいノードに追加します。

ノート:

この手順の各ステップは、WLS_OIGおよびWLS_SOAについて説明しています。しかし、両方のコンポーネントをスケール・アップする可能性は少ないです。ステップごとに、使用環境でスケール・アップする対象のコンポーネントを選択してください。一部のコンポーネントには適用されないステップもあります。

スケール・アウトする前に、次の要件を満たしていることを確認してください。

OIGおよびSOAで構成された管理対象サーバーを実行している既存のノードがトポロジ内に存在していること。
新しいノードがWebLogic Server、SOAおよびOIGの既存のホーム・ディレクトリにアクセスできること。(新しい管理対象サーバーを作成するには、共有記憶域内の既存のインストールを使用します。新しい場所にWebLogic Serverやコンポーネント・バイナリをインストールする必要はありませんが、packとunpackを実行して、新しいノードでドメイン構成をブートストラップする必要があります。)

ノート:

共有記憶域に既存のインストールが存在しない場合は、WebLogic Server、SOAおよびOIGを新しいノードにインストールする必要があります。

ノート:

ORACLE_HOMEまたはWL_HOMEが、異なるノードの複数のサーバーによって共有されている場合、これらのノードのOracleインベントリとMiddlewareホーム・リストを常に最新の状態にして、インストールとパッチ・アプリケーションの整合性を確保することをお薦めします。ノード内のoraInventoryを更新して共有記憶域内のインストールを追加する場合は、ORACLE_HOME/oui/bin/attachHome.shを使用します。

トポロジをスケール・アウトするには:

新しいノードで、SOAとOIGのインストールが格納されている既存のOracleホームをマウントし、ドメイン内の他のノードと同様に、新しいノードがこのディレクトリにアクセスできることを確認します。
共有記憶域内のORACLE_HOMEをローカルのOracleインベントリに追加します。たとえば:
```
cd /u01/oracle/products/fmw
./attachHome.sh -jreLoc u01/JRE-JDK_version>
```
管理コンソールにログインします。
新しいノード用の新しいマシンを作成します。このマシンをドメインに追加します。
このマシンのノード・マネージャのアドレスを更新して、スケール・アウトに使用されているノードのIPをマップします。
WLS_OIG1/WLS_SOA1のクローンを作成します。

OIGおよびSOAのクローンを作成するには:
1. 管理コンソールから「環境」→「サーバー」を選択します。
2. クローンを作成する管理対象サーバーを選択します。
3. 「クローン」を選択します。
4. 新しい管理対象サーバーにWLS_OIGn/WLS_SOAnという名前を付けます。nは新しい管理対象サーバーを識別する番号を示します。
ノート:

このステップでは、管理対象サーバーが1つも実行されていないノードnに、新しいサーバーを追加することを想定しています。
新しい管理対象サーバーでその管理対象サーバーのリスニング・アドレスに使用するホスト名またはIPを割り当てます。さらに、ステップ4で作成した新しいマシンで、「マシン」パラメータの値を更新します。

このサーバーに対してサーバー移行の使用を計画している場合(推奨)、これはサーバーのVIP (浮動IP)であることが必要です。このVIPは、既存の管理対象サーバーとは別のものを使用してください。
新しい管理対象サーバーにOIG (該当する場合)、UMS、BPM、JRFWSAsyncおよびSOAのJMSサーバーを作成します。
1. 管理コンソールで、OIG JMSサーバーの新しい永続ストアを作成し、名前を変更します。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms
```
2. OIGの新しいJMSサーバーを作成します。JMSServerに対して、JMSFileStore_nを使用します。JMSServer_nを新しい管理対象サーバーにターゲット指定します。
3. 新しいUMSJMSServerの永続ストアを作成します(たとえば、UMSJMSFileStore_n)。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms/UMSJMSFileStore_n
```
4. UMSの新しいJMSサーバーを作成します(たとえば、UMSJMSServer_n)。それを新しい管理対象サーバーWLS_SOAnにターゲット指定します(移行可能)。
5. 新しいBPMJMSServerの永続ストアを作成します(たとえば、BPMJMSFileStore_n)。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms/BPMJMSFileStore_n
```
6. BPMの新しいJMSサーバーを作成します(たとえば、BPMJMSServer_n)。それを新しい管理対象サーバーWLS_SOAnにターゲット指定します(移行可能)。
7. 新しいJRFWSAsyncJMSServerの新しい永続ストアを作成します(たとえば、JRFWSAsyncJMSFileStore_n)。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms/JRFWSAsyncJMSFileStore_n
```
8. JRFWSAsyncのJMSサーバーを作成します(たとえば、JRFWSAsyncJMSServer_n)。このJMSServerに対して、JRFWSAsyncJMSFileStore_nを使用します。JRFWSAsyncJMSServer_nを新しい管理対象サーバーWLS_OIGnにターゲット指定します(移行可能)。
  
  ノート:
  
  新しいJRFWSAsync JMSサーバーのストアとしてSOAJMSFileStore_nを割り当てることもできます。わかりやすさと独立性を保つために、以降のステップでは個別の永続ストアを使用します。
9. 新しいSOAJMSServerの永続ストアを作成します(たとえば、SOAJMSFileStore_auto_n)。ストアのパス(共有記憶域上のディレクトリ)を指定します。
```
ORACLE_BASE/admin/domain_name/cluster_name/jms/SOAJMSFileStore_auto_n
```
10. SOAの新しいJMSサーバーを作成します(たとえば、SOAJMSServer_auto_n)。このJMSServerに対して、SOAJMSFileStore_auto_nを使用します。SOAJMSServer_auto_nを新しい管理対象サーバーWLS_SOAnにターゲット指定します(移行可能)。
  
  ノート:
  
  新しいPS6 JMSサーバーのストアとしてSOAJMSFileStore_nを割り当てることもできます。わかりやすさと独立性を保つために、以降のステップでは個別の永続ストアを使用します。
11. 新しいSOA JMSサーバーが含まれるように、SOA JMSモジュールのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「SOAJMSModule」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。サブデプロイメント・モジュールで、SOAJMSServerXXXXXXサブデプロイメントをクリックし、SOAJMSServer_nを追加します。「保存」をクリックします。
  
  ノート:
  
  サブデプロイメント・モジュール名は、COMPONENTJMSServerXXXXXXという形式のランダム名です。これは、構成ウィザードにおける最初の2つの管理対象サーバー(WLS_COMPONENT1とWLS_COMPONENT2)のJMS構成から取得します。
12. 新しいUMS JMSサーバーが含まれるように、UMSJMSSystemResourceのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「UMSJMSSystemResource」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。サブデプロイメント・モジュールで、UMSJMSServerXXXXXXサブデプロイメントをクリックし、UMSJMSServer_nを追加します。「保存」をクリックします。
13. 新しいOIG JMSサーバーが含まれるように、OIGJMSModuleのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「OIGJMSModule」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。サブデプロイメント・モジュールで、OIGJMSServerXXXXXXとそのOIGJMSServer_nをクリックします。「保存」をクリックします。
14. 新しいJRFWSAsync JMSサーバーが含まれるように、JRFWSAsyncJmsModuleのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「JRFWSAsyncJmsModule」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。JRFWSAsyncJMSServerXXXXXXサブデプロイメントをクリックし、このサブデプロイメントにJRFWSAsyncJMSServer_nを追加します。「保存」をクリックします
15. 新しいBPM JMSサーバーが含まれるように、BPM JMSモジュールのSubDeploymentターゲットを更新します。「サービス」ノードを開いてから、「メッセージング」ノードを開きます。「ドメイン構造」ウィンドウで、「JMSモジュール」を選択します。「BPMJMSModule」(「名前」列のハイパーリンク)をクリックします。「設定」ページで「サブデプロイメント」タブをクリックします。サブデプロイメント・モジュールで、BPMJMSServerXXXXXXサブデプロイメントをクリックし、BPMJMSServer_nを追加します。「保存」をクリックします。

OIGHOST1でpackコマンドを実行してテンプレート・パックを作成します。たとえば:

cd ORACLE_HOME/oracle_common/common/bin
./pack.sh -managed=true/
-domain=/u01/oracle/config/domains/governance/
-template=oigdomaintemplateScale.jar -template_name='oigdomain_templateScale'

次のコマンドをHOST1で実行し、作成したテンプレート・ファイルをHOSTnにコピーします。

scp oigdomain_templateScale.jar oracle@OIGHOSTn:templates/
ORACLE_BASE/product/fmw/oig/common/bin

次のように、unpackコマンドをHOSTnで実行して、このテンプレートを管理対象サーバーのドメイン・ディレクトリに解凍します。たとえば、OIGの場合:

ORACLE_HOME/oracle_common/common/bin
/unpack.sh -domain=/u01oracle/config/domains/governance-template=templates/oigdomaintemplateScale.jar

新しい管理対象サーバーのホスト名の検証を無効化します。この操作は管理対象サーバーを起動して検証する前に実行しておく必要があります。管理サーバーとノード・マネージャとの通信用のサーバー証明書を構成した後で、これを再度有効化できます。(新しい管理対象サーバーのクローン元となった)ソース管理対象サーバーで、ホスト名の検証がすでに無効化されている場合、これらのステップは不要です。ホスト名の検証の設定はクローンされたサーバーに伝播されます。

ホスト名の検証を無効化するには:
1. 管理コンソールを開きます。
2. 「ドメイン構造」ウィンドウの「環境」ノードを開きます。
3. 「サーバー」をクリックします。
4. 表の「名前」列で「WLS_SOAn」を選択します。サーバーの「設定」ページが表示されます。
5. 「SSL」タブをクリックします。
6. 「詳細」をクリックします。
7. 「ホスト名の検証」を「なし」に設定します。
8. 「保存」をクリックします。
次に示すように、新しいノードでノード・マネージャを起動します。
```
u01/oracle/config/domains/governance/bin/startNodeManager.sh
```

管理コンソールから新しい管理対象サーバーを起動して、テストします。

クラスタ内の既存の管理対象サーバーを停止します。
新たに作成した管理対象サーバーが起動していることを確認します。
新たに作成した管理対象サーバーのアプリケーションにアクセスし、それが動作していることを確認します。OIGのログイン・ページが表示されます。SOAの場合は、HTTP基本認証が開きます。

表6-3 管理対象サーバーのテストURL

コンポーネント	管理対象サーバーのテストURL
SOA	http://vip:port/soa-infra
OIG	http://vip:port/identity

OHS構成ファイルを編集して、新しい管理対象サーバーを追加します。「新しい管理対象サーバーを認識するためのOracle HTTP Serverの構成」を参照してください。

新しい管理対象サーバーを認識するためのOracle HTTP Serverの構成

スケール・アップまたはスケール・アウトを完了するには、oim.confファイルを編集して、新しい管理対象サーバーを追加してから、Oracle HTTP Serverを再起動する必要があります。

ディレクトリOHS_DOMAIN_HOME/config/fmwconfig/components/OHS/instances/OHS_INSTANCE_NAMEに移動します。
oigvh.confを編集し、このサーバーを参照するすべてのWebLogicClusterディレクティブに新しい管理対象サーバーを追加します。このステップは、OIMまたはSOAに対して定義されているURLごとに実行する必要があります。製品ごとに個別の<Location>セクションが必要です。また、ポートは管理対象サーバーを参照している必要があります。たとえば:
```
<Location /oim
    SetHandler weblogic-handler
    WebLogicCluster
 host1.example.com:14200,host2.example.com:14200
</Location>
```

WEBHOST1およびWEBHOST2で、Oracle HTTP Serverを再起動します。

WEBHOST1>OHS_DOMAIN_HOME/bin/stopComponent.sh OHS_Instance_NAME
WEBHOST1>OHS_DOMAIN_HOME/bin/startComponent.sh OHS_Instance_NAME

WEBHOST2>OHS_DOMAIN_HOME/bin/stopComponent.sh OHS_Instance_NAME
WEBHOST2>OHS_DOMAIN_HOME/bin/startComponent.sh OHS_Instance_NAME

ノート:

共有記憶域システムを使用していない場合(推奨)、oim.confを他のOHSサーバーにコピーします。

ノート:

デプロイメントを容易にする他のパラメータについては、『Oracle Fusion Middleware Oracle WebLogic ServerにおけるWebサーバー1.1プラグインの使用』のWebLogic Serverプラグインの一般的なパラメータに関する項を参照してください。

共有記憶域の準備

Oracle Fusion Middlewareでは、1つのOracleホームから複数のWebLogic Serverドメインを構成できます。これにより、共有ボリューム上の1つの場所にOracleホームをインストールすることや、複数のホストのインストールにOracleホームを再利用することができます。

ご使用の環境で共有記憶域を使用する場合は、詳細について高可用性ガイドの共有記憶域の使用に関する説明を参照してください。

Managed File Transfer特有の構成要件の詳細は、Oracle Managed File Transferの使用の高可用性プロパティを参照してください。

ユニキャスト構成を使用したOracle Identity and Access Managementクラスタのデプロイ

デプロイメント環境でマルチキャストIPが無効になっている場合は、ユニキャスト構成でOracle Identity and Access Managementクラスタをデプロイできます。

デプロイメント環境で、セキュリティ上の理由からマルチキャストIPが無効になっている場合、またはデプロイメントにクラウド・インフラストラクチャを使用している場合、デフォルトの構成(マルチキャスト)でOracle Identity and Access Managementをデプロイすることはできません。Oracle Identity and Access Managementは、JavaGroupまたはJGroupライブラリに依存するEHキャッシュを使用していて、マルチキャスト構成をメッセージのブロードキャストのデフォルトとしてサポートしているため、実現できません。

EHキャッシュのユニキャスト構成を行うには、次のステップを実行します:

ホスト・マシンおよび使用可能なポートのリストを取得して、次のJGroup構成を準備します。

例:

connect=TCP(bind_port=7800): TCPPING(initial_hosts=<Node1 IP>[7800],<Node2 IP>[7800];port_range=10;timeout=3000; num_initial_members=3): pbcast.NAKACK(use_mcast_xmit=false;retransmit_timeout=10000):pbcast.GMS(print_local_addr=true;join_timeout=3000)

EMコンソールで、「アイデンティティとアクセス」を展開し、「OIM」をクリックします。
「oim(version_number)」を右クリックして「システムMBeanブラウザ」を選択します。

ここで、version_numberはOracle Identity and Access Managementの現在のバージョン番号です。
「oracle.iam」を展開し、「サーバー:oim」、「アプリケーション:oim」、「XMLConfig」、「構成」、「XMLConfig.CacheConfig」の順に選択し、「キャッシュ」をクリックします。
右ペインで、「属性」タブに移動し、「クラスタ化」属性値をtrueに設定します。
左ペインで、「キャッシュ」フォルダを展開し、「XMLConfig.CacheConfig.XLCacheProvider」を選択して、「XLCacheProvider」をクリックします。
右ペインで、「属性」タブに移動し、MulticastAddress:の値をemptyに設定し、MulicastConfig属性値をステップ1で識別した同等のJGroup文字列に設定します。
「oracle.iam」で、「Server:oim」をクリックして「Application:oim」を選択し、「XMLConfig」をクリックして「Config」を選択し、「XMLConfig.DeploymentConfig」をクリックして「DeploymentConfig」を選択し、「アプリケーション定義のMBean: XMLConfig.DeploymentConfig:DeploymentConfig」をクリックして、「デプロイメント構成デプロイメント・モード」の値をclusterとして指定します。
「適用」をクリックします。
ユニキャストIPV4を使用する場合は、JVMプロパティがすべてのノードのSetDomainEnvスクリプトで設定されているかどうかを確認します。そうでない場合は、JVMプロパティを設定し、SetDomainEnvスクリプトに次のパラメータを追加します:
```
EXTRA_JAVA_PROPERTIES="-Djava.net.preferIPv4Stack=true ${EXTRA_JAVA_PROPERTIES}"
```
```
export EXTRA_JAVA_PROPERTIES
```
すべてのOracle Identity and Access Management管理対象サーバーを再起動します。