1. Oracle Identity Management Suite統合ガイド
  2. 付録
  3. idmConfigToolコマンドの使用

C idmConfigToolコマンドの使用

IdM構成ツール(idmConfigTool)は、Oracle identity management (IdM)コンポーネントのインストール、構成および統合を支援するいくつかのタスクを実行します。この付録では、ツールの使用方法について説明します。

ノート:

  • この付録では、実際の統合手順についての記載はなく、idmConfigToolコマンド構文と関連する詳細について説明しています。統合手順またはタスクの指示に従ってidmConfigToolを実行する場合、この付録を参照として使用します。

  • idmConfigToolを実行する前に、LDAPサーバー、ならびにOAM、OIMをホスティングする管理サーバーが稼働中であることを確認します

この付録の内容は次のとおりです。

C.1 idmConfigToolについて

この項には、次の項目が含まれます。

C.1.1 idmConfigToolとは

idmConfigToolは、次のタスクを効率的に実行するために役立ちます。

  • Identity Managementコンポーネント(Oracle Internet Directory (OID)、Oracle Virtual Directory (OVD)、Oracle Unified Directory (OUD)、Oracle Access Manager (OAM)およびOracle Identity Governance (OIG))を表す構成プロパティの検証。

  • OAM、OIGおよびOracle Access Management Mobile and Socialなど、他のIdentity Managementコンポーネントをインストールするためのアイデンティティ・ストア・コンポーネント(OID、OVDおよびOUD)の事前構成。

  • OAM、OIGコンポーネントの事後構成と、そのコンポーネントのワイヤリング。

  • Identity Managementコンポーネント(OID、OVD、OUD、OAMおよびOIG)の構成の抽出。

関連項目:

idmConfigToolコマンド構文

C.1.2 idmConfigToolでサポートされているコンポーネント

idmConfigToolは次の11gコンポーネントをサポートしています。

  • Oracle Internet Directory

  • Oracle Virtual Directory

  • Oracle Access Manager

  • Oracle Identity Management

  • Oracle Unified Directory (OUD)

  • Oracle Access Management Mobile and Social

C.1.3 idmConfigToolを使用するとき

次の場合にidmConfigToolを使用します。

  • Oracle Identity ManagementおよびOracle Access Managerをインストールする前

  • Oracle Identity ManagementおよびOracle Access Managerをインストールした後

  • Oracle Access Management Mobile and Socialをインストールした後

  • IdMコンポーネント(Oracle Internet DirectoryOracle Unified DirectoryOracle Virtual DirectoryOracle Identity Management、およびOracle Access Manager)の構成をダンプするとき

  • Oracle Internet DirectoryOracle Virtual DirectoryOracle Identity Management、およびOracle Access Managerの構成パラメータを検証するとき

idmConfigToolとはでは、各状況においてこのツールによって実行されるタスクについて説明します。

C.1.4 idmConfigToolの場所

idmConfigToolは次の場所にあります。

IAM_ORACLE_HOME/idmtools/bin

IAM_ORACLE_HOMEはOIMおよびOAMがインストールされているディレクトリです。

idmConfigToolをLinuxで実行する場合

cd <IAM_ORACLE_HOME>/idmtools/bin
./idmConfigTool.sh

idmConfigToolをWindowsで実行する場合

cd <IAM_ORACLE_HOME>\idmtools\bin
idmConfigTool.cmd

C.1.5 idmConfigToolでサポートされるWebゲート・タイプ

idmConfigToolでは、デフォルトでOAM 11g Webゲートがサポートされています。10g Webゲートもサポートされています。

C.1.6 シングル・ドメインとクロス・ドメインのシナリオでのidmConfigTool

このツールでは、Weblogicドメインに関して次の2つのタイプのシナリオがサポートされています。

  • Access ManagerサーバーとOracle Identity Managementサーバーの両方が同じWeblogicドメイン内に構成されているシングル・ドメイン構成

  • Access ManagerサーバーとOracle Identity Managementサーバーが別々のWeblogicドメイン内に構成されているデュアルまたはクロス・ドメイン構成

C.2 OIG-OAM統合のための環境変数の設定

idmConfigToolを実行する前に、環境を構成する必要があります。

次の変数を設定します。

OIGOAMIntegrationスクリプトについては、表C-1の環境変数を参照してください。

変数 説明

WL_HOME

必須ではありません。デフォルトでMW_HOME/wlserver_10.3に設定され、この設定が使用されます。

例については、MW_HOMEを参照してください。

JAVA_HOME

これはJDKディレクトリのフルパスです。

IBM WebSphereで実行する場合は、この変数はIBM JDKを指す必要があります。この値をJDKのフルパスに設定します。たとえば:

/WASSH/WebSphere/AppServer/java

重要: IBM WebSphereでは、IBM JDK以外のJDKを使用しないでください。

ORACLE_HOME

Oracleホームのフルパスに設定します。IdMの統合の場合は、IAM_ORACLE_HOMEに設定します。

C.3 idmConfigToolの構文および使用方法

この項には、次の項目が含まれます。

C.3.1 idmConfigToolコマンドの構文

ツールがLinuxで使用する構文は次のとおりです。

idmConfigTool.sh -command   input_file=filename log_file=logfileName log_level=log_level

ツールがWindowsで使用する構文は次のとおりです。

idmConfigTool.bat -command   input_file=filename log_file=logfileName log_level=log_level

commandの値は次のとおりです。

コマンド コンポーネント名 説明

preConfigIDStore

アイデンティティ・ストア

グループを作成し、ACIを様々なコンテナに設定することで、アイデンティティ・ストアおよびポリシー・ストアを構成します。

prepareIDStore mode= OAM OIM WLS WAS FUSION OAAM APM all

アイデンティティ・ストア

必要なユーザーを追加し、ユーザーをグループに関連付けることで、アイデンティティ・ストアを構成します。モードによって、特定のコンポーネントに対する構成が可能になります。

このコマンドは、Oracle WebLogic Server (mode=WLS)または、IBM WebSphere (mode=WAS)で実行できます。

configPolicyStore

ポリシー・ストア

読取り/書込みユーザーを作成することでポリシー・ストアを構成し、グループに関連付けます。

configOAM

Oracle Access Manager

Oracle Identity Management

Oracle Identity Governanceと統合できるようにAccess Managerを準備します。

configOIM

Oracle Access Manager

Oracle Identity Management

Access ManagerとOracle Identity Governanceの間の接続を設定します。

configOMSS

Oracle Access Management Mobile and Social

Oracle Access Management Mobile and Socialのインストール後構成を実行します

configOVD

Oracle Virtual Directory

OVDアダプタを作成します。

disableOVDAccessConfig

Oracle Virtual Directory

OVDサーバーへの匿名アクセスを無効化します。アップグレード後のコマンド。ノート: このタスクは、configOVDの実行時に自動的に実行されます。

postProvConfig

アイデンティティ・ストア

アイデンティティ・ストアのプロビジョニング後の構成を実行します。

validate   IDSTORE   POLICYSTORE   OAM11g   OAM10g   OIM

各種

指定したエンティティの一連の入力プロパティを検証します。

ovdConfigUpgrade

Oracle Virtual Directory

分割プロファイルでアップグレード済OVDの構成を更新します。

upgradeLDAPUsersForSSO

Oracle Identity Management

Access Manager

Oracle Identity Management-Access Managerの統合に必要な特定のオブジェクト・クラスを追加することによって、OID内の既存のユーザーを更新します。

upgradeOIMTo11gWebgate

Oracle Identity Management

Access Manager

Webゲート11gを使用するために、統合されたOracle Identity Management-Access Managerからなる既存の構成を、Webゲート10gを使用してアップグレードします。

C.3.2 idmConfigToolを実行するための要件

アイデンティティ・ストアまたはポリシー・ストアを構成するときは、管理権限を持つユーザーとしてこのツールを実行する必要があります。

validateコマンドにはコンポーネント名が必要です。

注意:

コマンドを分離して実行することはできません。コマンドは明示的な統合手順のコンテキストで実行します。この付録はコマンド・リファレンスとしてのみ使用してください。

C.3.3 idmConfigToolで生成されたファイル

idmConfigToolは、実行時に特定のファイルを作成または更新します。

  • パラメータ・ファイル

    idmConfigToolを実行すると、ツールの実行元のディレクトリ内でidmDomainConfig.paramファイルがこのツールによって作成されるか、追加されます。このツールを実行するたびに必ず同じファイルに情報が追加されるようにするには、常に次のディレクトリでidmConfigToolを実行します。 

    IAM_ORACLE_HOME/idmtools/bin

  • ログ・ファイル

    ログ・ファイルは、idmConfigToolのlog_file属性を使用して指定できます。

    ログ・ファイルを明示的に指定しない場合、automation.logというファイルが、ツールを実行したディレクトリに作成されます。

    ログ・ファイルを確認して、エラーや警告を修正します。

C.3.4 idmConfigToolのプロパティ・ファイルの使用

この項では、idmConfigToolファイルとともに使用できるプロパティ・ファイルについて説明します。

C.3.4.1 idmConfigToolプロパティ・ファイルについて

プロパティ・ファイルは、コマンド・プロパティを指定するための便利な方法であり、これによって参照したり、後で使用するためにプロパティを保存できます。実行プロパティが含まれているプロパティ・ファイルを、入力コマンド・オプションとして指定できます。プロパティ・ファイルは、単純なテキスト・ファイルであり、コマンドを実行するときには使用可能にしておく必要があります。

セキュリティ上の理由からプロパティ・ファイルにはパスワードを挿入しないことをお薦めします。実行時に関連するパスワードの入力を要求されます。

C.3.4.2 idmConfigToolプロパティのリスト

表C-2は、idmConfigToolコマンドの統合コマンド・オプションによって使用されるプロパティを示しています。プロパティは、アルファベット順に示されています。

警告:

セキュリティ上の理由からプロパティ・ファイルにはパスワード値を挿入しないでください。idmConfigToolでは実行時にパスワードが要求されます。

表C-2 IdMConfigtoolプロパティ・ファイルで使用されるプロパティ

パラメータ 値の例 説明

ACCESS_GATE_ID

IdentityManagerAccessGate

Oracle Identity Managementが通信する必要があるAccess Managerアクセス・ゲートID。

ACCESS_SERVER_HOST

mynode.us.example.com

Access Managerアクセス・サーバーのホスト名

ACCESS_SERVER_PORT

5575

Access Manager NAPポート。

APNS_FILE

/scratch/silent_omsm/keystores/APNS.p12

Appleサーバーへの安全な接続を確立して通知を送信するために使用されるApple Push Notification Service (APNS)キーストア・ファイル。

APNS_KEYSTORE_PASSWD

APNSのキーストア・パスワード。

APPLE_CACERT_FILE

/scratch/omss/keystores/applerootca.crt

AppleのルートCAファイルの場所。iOSデバイスをOracle Mobile Security Suite (OMSS)に登録するときに必要です。

AUTOLOGINURI

/obrar.cgi

Oracle Platform Security Services (OPSS)で必要とされるURI。デフォルト値は/obrar.cgi

COOKIE_DOMAIN

.us.example.com

Oracle Identity Managementアプリケーションが常駐するWebドメイン。ドメインは、.cc.example.comという形式で指定します。

COOKIE_EXPIRY_INTERVAL

-1

Cookieの有効期限。セッションが閉じたときにCookieも失効することを示すため、-1に設定します。

DB_PASSWD

JDCB_URLと併用して使用される、データベース・パスワード。

DOMAIN_LOCATION

ORACLE_BASE /admin/IDMDomain/aserver/IDMDomain

Oracle Identity Governanceドメイン(および、該当する場合はOMSM)の場所。

DOMAIN_NAME

IDM_Domain

Oracle Identity Governanceドメイン名。

EMAIL_ADMIN_USER

admin@example.com

電子メール管理ユーザー。電子メール・アドレスにしてください。

EMAIL_ADMIN_PASSWD

電子メール管理ユーザーのパスワード

EXCHANGE_DOMAIN_NAME

example.com

Exchangeサーバーのドメイン名。

EXCHANGE_SERVER_URL

http://testuri.com

ExchangeサーバーのURL。

EXCHANGE_LISTENER_URL

http://testuri.com

ExchangeリスナーのURL。

EXCHANGE_SERVER_VERSION

2.0

Exchangeサーバーのバージョン。

EXCHANGE_ADMIN_USER

serviceuser

Exchangeサーバーの管理ユーザー。

EXCHANGE_ADMIN_PASSWD

Exchangeサーバーの管理ユーザーのパスワード。

GCM_API_KEY

AIzaSyCh_JALj5Y

GCM通知のAPIキー。

GCM_SENDER_ID

6.10046E+11

GCM通知の送信者ID。

IDSTORE_ADMIN_PORT

4444

Oracle Unified Directory (OUD)アイデンティティ・ストアの管理ポート。

idmConfigToolは、次のようなOUD構成構造を変更するすべての操作に対してOUD管理ポート上で接続する必要があります。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_HOST

idstore.example.com

LDAPアイデンティティ・ストア・ディレクトリのホスト名(IDSTORE_DIRECTORYTYPEに対応)。

アイデンティティ・ストアがOracle Internet DirectoryまたはOracle Unified Directoryにある場合、IDSTORE_HOSTOracle Internet DirectoryまたはOracle Unified Directoryホストを直接、指し示します。アイデンティティ・ストアの前面にOracle Virtual Directoryを配置している場合、IDSTORE_HOSTOracle Virtual Directoryホストを指し、IDSTORE.example.comとなります。

IDSTORE_PORT

1389

LDAPアイデンティティ・ストアのポート番号(IDSTORE_DIRECTORYTYPEに対応)。

IDSTORE_BINDDN

cn=orcladmin

アイデンティティ・ストア・ディレクトリ内の管理ユーザー。

IDSTORE_USERNAMEATTRIBUTE

cn

アイデンティティ・ストア内のユーザーを設定および検索するために使用するユーザー名属性。

ユーザーDNの要素に設定します。たとえば、ユーザーDNがcn=orcladmin,cn=Users,dc=us,dc=example,dc=comの場合、このプロパティをcnに設定します。

IDSTORE_LOGINATTRIBUTE

uidまたはemail

ユーザーのログイン名が含まれているアイデンティティ・ストアのログイン属性。これはユーザーがログインに使用する属性です。

IDSTORE_USERSEARCHBASE

cn=Users,dc=us,dc=example,dc=com

ユーザーが保存されるディレクトリ内の場所。このプロパティは、ユーザーを検索するディレクトリを示します。

IDSTORE_SEARCHBASE

dc=us,dc=example,dc=com

アイデンティティ・ストアに含まれているユーザーおよびグループの検索ベース。

USERSEARCHBASEおよびGROUPSEARCHBASEを含む親の場所。

たとえば:

IDSTORE_SEARCHBASE: cn=oracleAccounts, dc=example,dc=com
IDSTORE_USERSEARCHBASE: cn=Users,cn=oracleAccounts,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,cn=oracleAccounts,dc=example,dc=com

IDSTORE_GROUPSEARCHBASE

cn=Groups,dc=us,dc=example,dc=com

グループ(またはロール)が保存されているディレクトリの場所。このプロパティは、グループまたはロールを検索するディレクトリを示します。

IDSTORE_OAMSOFTWAREUSER

oamLDAP

Access Managerアイデンティティ・ストア接続の確立に使用されるユーザー名。このユーザーはidmconfigtoolによって作成されます。

IDSTORE_OAMADMINUSER

oamadmin

Access Managerのために作成するアイデンティティ・ストア管理者。アイデンティティ・ストアがシステム・アイデンティティ・ストアとして設定されている場合にのみ必要です。管理者はidmconfigtoolによって作成されます。

IDSTORE_OAAMADMINUSER

oaamadmin

Oracle Adaptive Access Managerのアイデンティティ・ストア管理者。

IDSTORE_PROFILENAME

idsprofile

アイデンティティ・ストア・プロファイルの名前。

IDSTORE_SYSTEMIDBASE

cn=system, dc=test

システム・オペレーション・ユーザーを、メイン・ユーザー・コンテナに格納されているエンタープライズ・ユーザーと分離して格納するディレクトリ内のコンテナの場所。システム処理ユーザーは限られています。その一例としてOracle Virtual DirectoryアダプタのバインドDNユーザーにも使用されるOracle Identity Managementリコンシリエーション・ユーザーがあげられます。

IDSTORE_READONLYUSER

アイデンティティ・ストアに対する読取り専用権限を持つユーザー。

IDSTORE_READWRITEUSER

アイデンティティ・ストアに対する読取り/書込み権限を持つユーザー。

IDSTORE_SUPERUSER

アイデンティティ・ストア内のOracle Fusion Applicationsスーパーユーザー。

IDSTORE_XELSYSADMINUSER

xelsysadmシステム・アカウントの管理者。

IDSTORE_OIMADMINUSER

Oracle Identity Governanceのアイデンティティ・ストア管理者。アイデンティティ・ストアに接続するために、Oracle Identity Governanceにより使用されるユーザー

IDSTORE_OIMADMINGROUP

Oracle Identity Governance管理ユーザーを保持するために作成するOracle Identity Governance管理者グループ。

IDSTORE_SSL_ENABLED

アイデンティティ・ストアへのSSLが有効化されているかどうか。

有効な値: true | false

IDSTORE_KEYSTORE_FILE

OUD_ORACLE_INSTANCE /OUD/config/admin-keystore

アイデンティティ・ストア資格証明が含まれているキーストア・ファイルの場所。

Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。

IDSTORE_KEYSTORE_PASSWORD

4VYGtJLG61V5OjDWKe94e601x7tgLFs

アイデンティティ・ストア・ディレクトリ管理者のパスワード。プレーンテキストではありません。

Oracle Unified Directoryアイデンティティ・ストアに適用され、かつこれを必須とします。

この値は、ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pinにあります。

IDSTORE_NEW_SETUP

アイデンティティ・ストアの検証に使用されます。

Oracle Fusion Applications環境で使用されます。

IDSTORE_DIRECTORYTYPE

OVD

オーセンティケータを作成する必要のあるアイデンティティ・ストアのディレクトリ・タイプ。

非OIDディレクトリ、Oracle Internet DirectoryまたはOracle Unified Directoryのいずれかに接続するためにOracle Virtual Directoryサーバーを使用中の場合は、OVDに設定します。

Oracle Internet Directory内にアイデンティティ・ストアがあり、Oracle Virtual Directoryを介さず直接これにアクセスしている場合は、OIDに設定します。

Oracle Unified Directory内にアイデンティティ・ストアがあり、Oracle Unified Directoryを介さず直接これにアクセスしている場合は、OUDに設定します。

有効な値: OID、OVD、OUD、AD

IDSTORE_ADMIN_USER

cn=systemids,dc=example,dc=com

アイデンティティ・ストア・ディレクトリの管理者。IDSTORE_OAMSOFTWAREUSERに対して指定された同じユーザーの完全なLDAP DNを指定します。ユーザー名のみでは不十分です。

IDSTORE_WLSADMINUSER

weblogic_idm

Oracle WebLogic Serverのアイデンティティ・ストア管理者。通常はweblogic_idm

IDSTORE_WLSADMINUSER_PWD

Oracle WebLogic Serverのアイデンティティ・ストア管理者のパスワード。

IDSTORE_WLSADMINGROUP

WLS Administrators

Oracle WebLogic Serverのアイデンティティ・ストア管理者グループ。

IDSTORE_WASADMINUSER

wasadminユーザー(IBM WebSphere)。

JDBC_URL

jdbc:oracle:thin:@example.com:5521:msmdb

APNS/GCMデータをシードするために使用されるJDBC URL。

LDAPn_HOST

LDAPサーバーのホスト名

LDAPn_PORT

LDAPサーバーのポート番号。

LDAPn_BINDDN

LDAPサーバーのバインドDN

LDAPn_SSL

LDAPサーバーへの接続でSSLを使用するかどうかを示します。

有効な値はTrueまたはFalseです

LDAPn_BASE

LDAPサーバーのベースDN。

LDAPn_OVD_BASE

LDAPサーバーのOVDベースDN。

LDAPn_TYPE

LDAPサーバーのディレクトリ・タイプ。nは1、2などです。単一ノード構成の場合は、LDAP1を指定します。

LOGINURI

/${app.context}/adfAuthentication

OPSSによって必要とされるURI。デフォルト値は/${app.context}/adfAuthentication

LOGOUTURI

/oamsso/logout.html

OPSSによって必要とされるURI。デフォルト値は/oamsso/logout.html

MDS_DB_URL

jdbc:oracle:thin:@DBHOST:1521:SID

MDSデータベースのURL。

単一インスタンス・データベースを表します。@記号の後に続く文字列は、使用している環境に合った正しい値にする必要があります。SIDは、サービス名ではなく実際のSIDにする必要があります。MDS_URLは、単一のインスタンス・データベースを使用している場合、jdbc:oracle:thin:@DBHOST:1521:SIDに設定します。

MDS_DB_SCHEMA_USERNAME

edg_mds

MDSスキーマ・ユーザーのユーザー名。Oracle Identity Governanceが使用しているMDSスキーマ。

MSM_SCHEMA_USER

DEV87_OMSM

Mobile Security Manager (MSM)データベース・スキーマのユーザー名。

MSM_SERVER_KEY_LENGTH

2048

MSMサーバー用の自己署名付きCAおよび生成されたキーのキーの長さ。デフォルトは2048です。

MSM_SERVER_NAME

omsm_server1

MSMサーバーの名前。これは、MSMサーバーの名前がドメインの構成時に別の名前に変更された場合にのみ指定します。

MSAS_SERVER_HOST

server1.example.com

MSASサーバーのホスト名。

MSAS_SERVER_PORT

11001

MSASサーバーのSSLポート。

OAM_SERVER_VERSION

14c

有効な値は14cです

OAM_TRANSFER_MODE

SIMPLE

構成中のAccess Managerエージェントの転送モード。アクセス・マネージャ・サーバーが簡易モードを使用してリクエストを受け入れるように構成されている場合は、OAM_TRANSFER_MODEをSIMPLEに設定します。

有効な値はOPEN、SIMPLEまたはCERTです。

OAM11G_OAM_SERVER_TRANSFER_MODE

OPEN

Access Manager 11gサーバーが機能するセキュリティ・モデル。

有効な値はOPENまたはSIMPLEです。

OAM11G_SSO_ONLY_FLAG

false

認証専用モードまたは標準モード(認証と認可をサポート)としてAccess Manager 11gを構成します。デフォルト値はtrue (OAMは認可を実行しません)。

trueに設定される場合、Access Manager 11gサーバーは認証専用モードで動作します。この場合、デフォルトではすべての認可でポリシー検証が実行されずにtrueが戻されます。このモードでは、認可の処理に伴うオーバーヘッドがサーバーに発生しません。認可ポリシーに依存せず、Access Managerサーバーの認証機能のみを必要とするアプリケーションでは、このモードをお薦めします。

この値をfalseに設定すると、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でOAMサーバーに対する認可リクエストが1つ以上発生します。WebゲートはOAMサーバーからの応答に基づいて、リクエストされたリソースへのアクセスを許可または拒否します。

OAM11G_IDSTORE_ROLE_SECURITY_ADMIN

OAMAdministrators

アイデンティティ・ストアのロール・セキュリティを管理するため、Oracle Access Managementコンソールへのアクセスを可能にするために使用するグループの名前。

OAM11G_OIM_INTEGRATION_REQ

false

Oracle Identity Governanceと統合するのか、スタンドアロン・モードでAccess Managerを構成するのかを指定します。統合する場合、trueに設定します。

有効な値: true(統合) | false

OAM11G_SERVER_LBR_HOST

sso.example.com

Access ManagerサーバーのフロントエンドであるOracle HTTP (OHS)サーバーに対するロード・バランサのホスト名。この値と次の2つのパラメータを使用してログインURLを構成します。

OAM11G_SERVER_LBR_PORT

443

Access ManagerサーバーのフロントエンドであるOHSサーバーに対するロード・バランサのポート番号。

OAM11G_SERVER_LBR_PROTOCOL

https

Access ManagerサーバーのフロントエンドであるOHSサーバーに対するロード・バランサのプロトコル。

有効な値: HTTP、HTTPS

OAM11G_SERVER_LOGIN_ATTRIBUTE

uid

ログインが試みられたときに、アイデンティティ・ストアのこの属性に対してユーザー名が検証されます。uidに設定されると、ユーザーのログイン時にそのユーザー名がLDAPのuid属性に対して検証されます。

OAM11G_SERVER_GLOBAL_SESSION_TIMEOUT

Access Managerサーバーにおけるセッションのグローバル・セッション・タイムアウト。

OAM11G_SERVER_GLOBAL_SESSION_EXPIRY_TIME

Access Managerサーバーにおけるセッションのグローバル・セッション有効期間。

OAM11G_SERVER_GLOBAL_MAX_SESSION_PER_USER

Access Managerサーバーにおける1ユーザー当たりのグローバル最大セッション数。

OAM11G_IDSTORE_NAME

アイデンティティ・ストア名。このツールでアイデンティティ・ストアを新規に作成せず、すでに運用中のアイデンティティ・ストアを再利用する場合は、このパラメータの値をそのアイデンティティ・ストアの名前に設定します。

デフォルト値は、OAMIDStoreです。

OAM11G_IMPERSONATION_FLAG

Access Managerサーバーにおける偽装を有効化または無効化します。

Oracle Fusion Applications環境に適用可能です。

有効な値: true(有効化) | false

デフォルトはfalseです。偽装を使用している場合、この値をtrueに手動で設定する必要があります。

OAM11G_IDM_DOMAIN_OHS_HOST

sso.example.com

高可用性構成でOHSの前にあるロード・バランサのホスト名。

OAM11G_IDM_DOMAIN_OHS_PORT

443

OAM11G_IDM_DOMAIN_OHS_HOSTとして指定されているロード・バランサがリスニングするポート番号。

OAM11G_IDM_DOMAIN_OHS_PROTOCOL

https

IDM OHSのプロトコル。ロード・バランサにリクエストを送るときに使用するプロトコル。

有効な値: HTTP | HTTPS

OAM11G_OIM_OHS_URL

https://sso.example.com:443/test

OIGサーバーの前面に配置するロード・バランサまたはOHSのURL。

OAM11G_WG_DENY_ON_NOT_PROTECTED

true

10g Webゲートの保護されたフラグでの拒否。

有効な値: true | false

OAM11G_OAM_SERVER_TRANSFER_MODE

simple

IDMドメイン・エージェントの転送モード。

有効な値: OPEN | SIMPLE | CERT

OAM11G_IDM_DOMAIN_LOGOUT_URLS

/console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp

Access ManagerログアウトURLのカンマ区切りリスト。

OAM11G_WLS_ADMIN_HOST

myhost.example.com

WebLogic Serverの場合: Access Managerドメイン管理サーバーのホスト名。

IBM WebSphereの場合: Access Managerアプリケーション・サーバーのホスト。

OAM11G_WLS_ADMIN_PORT

7001

WebLogic Serverの場合: Access Managerドメイン管理サーバーが実行されているポート。

IBM WebSphereの場合: Access Managerセル用のデプロイメント・マネージャのブートストラップ・ポート。

OAM11G_WLS_ADMIN_USER

wlsadmin, wasadmin

WebLogic Serverの場合: Access Managerドメイン管理者のユーザー名。

IBM WebSphereの場合: Access Managerセルに対するプライマリ管理ユーザー名。

OAM_ADMIN_WAS_DEFAULT_PORT

1443

IBM WebSphereにおける、OAMノードのOracleAdminServerデフォルト・ポート番号

OAM_POLICY_MGR_SERVER_NAME

oam_policy_mgr1

Access Managerポリシー・マネージャ・サーバーの名前。これは、ポリシー・マネージャ・サーバーの名前がドメインの構成時に別の名前に変更された場合にのみ指定します。

OIM_DB_URL

Oracle Identity Managementデータベースの接続に必要なURL。

OIM_DB_SCHEMA_USERNAME

Oracle Identity Managementデータベースのスキーマのユーザー。

OIM_FRONT_END_HOST

host123.example.com

Oracle Identity GovernanceのフロントエンドであるLBRサーバーのホスト名。

OIM_FRONT_END_PORT

7011

Oracle Identity GovernanceのフロントエンドであるLBRサーバーのポート番号。

OIM_MANAGED_SERVER_NAME

WLS_OIM1

Oracle Identity Governance管理対象サーバーの名前。クラスタの場合、管理対象サーバーを指定できます。

OIM_MANAGED_SERVER_HOST

Oracle Identity Governance管理対象サーバーのホスト名。

OIM_MANAGED_SERVER_PORT

Oracle Identity Governance管理対象サーバーのポート番号。

OIM_MSM_REST_SERVER_URL

https://msm.example.com:1234/

Oracleモバイル・セキュリティ・マネージャ・サーバーのURL。MSM URLがOracle Identity Governanceにシードされる必要があり、システム・プロパティのOMSS Enabledが設定される場合のみ必須です。OIM_MSM_REST_SERVER_URLはOracle Identity Governanceコンソールでモバイル・セキュリティ・マネージャのタスク・フローを有効にします。設定されない場合、モバイル・セキュリティ・マネージャを構成せずに、configOIMが構成を続行します。OMSS Enabledの前提条件はOracle Identity Governanceサーバーが稼働中であることです。

OIM_T3_HOST

Oracle Identity Governance T3サーバーのホスト名。

OIM_T3_PORT

Oracle Identity Governance T3サーバーのポート番号。

OIM_WAS_CELL_CONFIG_DIR

IBM WebSphere上のOracle Identity Managementセル内のfmwconfigディレクトリの場所。

OMSS_KEYSTORE_PASSWORD

OMSMキーストアおよびキーの生成に使用されるパスワード

OMSM_IDSTORE_ROLE_SECURITY_ADMIN

MSMAdmin

OMSM操作の管理権限を持つメンバーで構成される、管理グループの名前。

デフォルトは"IDM Administrators"です。

OMSM_IDSTORE_ROLE_SECURITY_HELPDESK

MSMHelpDeskUsers

OMSM操作のヘルプデスク取得権限を持つメンバーで構成される、MSMヘルプデスク・グループの名前。

デフォルトはMSMHelpdeskUsersです。

ovd.host

OVDサーバーのホスト名

ovd.port

OVDサーバーのポート番号

ovd.binddn

OVDサーバーのバインドDN

ovd.ssl

接続でSSLを使用するかどうかを示します。

有効な値はTrueまたはFalseです

ovd.oamenabled

Oracle Access Managerが有効化されているかどうかを示します。

有効な値はTrueまたはFalseです

POLICYSTORE_SHARES_IDSTORE

true

ポリシー・ストアおよびアイデンティティ・ストアがディレクトリを共有するかどうかを示します。リリース11gでは常にtrueです。

有効な値: true、false

POLICYSTORE_HOST

mynode.us.example.com

ポリシー・ストア・ディレクトリのホスト名。

POLICYSTORE_PORT

1234

ポリシー・ストア・ディレクトリのポート番号。

POLICYSTORE_BINDDN

cn=orcladmin

ポリシー・ストア・ディレクトリの管理ユーザー。

POLICYSTORE_SEARCHBASE

dc=example,dc=com

ユーザーおよびグループが保存されるディレクトリの場所。

POLICYSTORE_SYSTEMIDBASE

cn=systemids, dc=example,dc=com

ポリシー・ストアの読取り専用および読取り/書込みユーザーは、この場所に作成されます。

デフォルト値は、cn=systemids, policy_store_search_baseです。

POLICYSTORE_READONLYUSER

PolStoreROUser

ポリシー・ストア内の読取り権限を持つユーザー。

POLICYSTORE_READWRITEUSER

PolStoreRWUser

ポリシー・ストア内の読取りおよび書込み権限を持つユーザー。

POLICYSTORE_CONTAINER

cn=jpsroot

OPSSポリシー情報に使用されるコンテナの名前。

POLICYSTORE_SSL_ENABLED

ポリシー・ストアがSSL有効であるかどうか。

POLICYSTORE_KEYSTORE_FILE

SSL有効ポリシー・ストアのキーストア・ファイルの場所。

PROXY_SERVER_HOST

www-proxy.example.com

プロキシ・サーバーのホスト名。

PROXY_SERVER_PORT

80

プロキシ・サーバーのポート。

PROXY_USER

proxyuserA

プロキシのユーザー。

PROXY_PASSWD

プロキシ・ユーザーのパスワード。

SCEP_DYNAMIC_CHALLENGE_USER

OMSMは、登録フェーズでの外部SCEP認証のため、Simple Certificate Enrollment Protocol(SCEP)の動的チャレンジを使用しています。このユーザー・アカウントが認証に使用されます。

SCEP_DYNAMIC_CHALLENGE_PASSWD

SCEP動的チャレンジ・ユーザーのパスワード

SPLIT_DOMAIN

true

configOAMの実行対象のドメイン内にセキュリティ・プロバイダを作成するように強制するフラグ。

有効な値はtrue、falseです。

分割ドメイン・シナリオでOracle Access Managementコンソールの二重認証を抑制する場合、trueに設定する必要があります。

SSO_ENABLED_FLAG

false

SSOが有効かどうかを判断するフラグ。

有効な値はtrue、falseです。

WEBGATE_TYPE

javaWebgate

作成するWebGateエージェントのタイプ。ohsWebgate14cに設定します。

PRIMARY_OAM_SERVERS

idmhost1.example.com:5575,idmhost2.example.com:5575

Access Managerサーバーおよびそれらのプロキシ・ポートのカンマ区切りリスト。

Access Managerサーバーで使用されるプロキシ・ポートを特定するには:

  1. http://admin.example.com:7001/oamconsoleOracle Access Managementコンソールにログインします。

  2. Oracle Access Managementコンソールの上部にある「構成」をクリックします。

  3. 「構成」コンソールで、「サーバー・インスタンス」をクリックします。

  4. 表示されるページで、「検索」をクリックし、ターゲット・インスタンスをダブルクリックしてその構成を表示します。たとえば、WLS_OAM1です。

    プロキシ・ポートが「ポート」として表示されます。

SMTP_HOST

exchangeurl.us.example.com

電子メール・ホスト。

SMTP_PORT

80

電子メール・ポート。

TOPIC

com.apple.mgmt.External.2544264e-aa8a-4654-bfff-9d897ed39a87

AppleのAPNS証明書で使用されるトピック。APNS通知の送信に使用されます。

この値はAPNSキーのUIDに一致する必要があります。

USE_PROXY

true

プロキシを使用するかどうかを示します。有効な値はtrue、falseです。

WLSHOST

node01.example.com

WebLogic Serverのホスト名(管理サーバーのホスト名)。

WLSPORT

7001

WebLogic Serverのポート番号

WLSADMIN

wlsadmin

アプリケーション・サーバーのコンテキストに応じた、管理者ログイン。

WLSPASSWD

WebLogic Server管理者のパスワード。

C.3.5 idmConfigToolログ・ファイルの操作

idmConfigToolでは実行の詳細がautomation.logというファイルに記録されます。このファイルは実行結果の検証に役立ちます。

C.3.5.1 idmConfigToolログ・ファイルの検索

ログ・ファイルには、初期化および情報メッセージが含まれます。

Feb 18, 2015 8:38:14 PM oracle.idm.automation.util.Util setLogger
WARNING: Logger initialized in warning mode
Feb 18, 2015 8:38:19 PM oracle.idm.automation.impl.oim.handlers.OIMPreIntegrationHandler <init>
INFO: Appserver type: null
Feb 18, 2015 8:38:20 PM oracle.idm.automation.impl.oim.handlers.OIMPreIntegrationHandler <init>
WARNING: Cannot connect to the OUD Admin connector
Feb 18, 2015 8:38:29 PM oracle.idm.automation.impl.oim.handlers.OIMPreIntegrationHandler createOIMAdminUser
INFO: OIM Admin User has been created
Feb 18, 2015 8:38:29 PM oracle.idm.automation.impl.oim.handlers.OIMPreIntegrationHandler addPwdResetPrivilegeToOIMAdminUser
INFO: Password reset privilege added

実行後のWARNINGメッセージを確認すると、実行における問題の可能性を認識することができます。

C.3.5.2 idmConfigToolログ・ファイルの保守

idmConfigToolでは実行のたびにログ・ファイルに追加されます。元のエラーの詳細はエラーの修正後もログに存在するため、ログにエラーが表示されて修正する場合、古いエントリの存在が誤解を招く可能性があります。

警告:

古いログ・エントリによる混乱を防ぐために、既存のログ・ファイルを頻繁にバックアップします。

C.4 HA環境におけるOUDアイデンティティ・ストアに対するその他のタスク

この項では、高可用性環境で、ターゲットのOracle Unified Directory (OUD)アイデンティティ・ストアに対してidmConfigToolを使用する際に実行する必要のある、その他のタスクについて説明します。内容は次のとおりです。

C.4.1 Oracle Unified Directory向けのグローバルACIの作成

レプリカを含む高可用性(HA)環境で、Oracle Unified Directory (OUD)アイデンティティ・ストアに対してidmConfigToolを使用する場合は、グローバルACIおよび索引がレプリケートされません。グローバルACIおよび索引は、プロパティ・ファイルで指定されたインスタンス内にのみ作成されます。レプリケーション・ドメインのその他すべてのOUDインスタンスについて、これらを手動で再作成(削除後、作成)する必要があります。

したがって、最初に変更ログへのアクセス権を付与してから、ACIを作成する必要があります。次のステップを実行します。

  1. OUDに接続するために使用するパスワードが含まれているpasswordというファイルを作成します。
  2. レプリケートされたOUDホストの1つの既存の変更ログを削除します。コマンドの構文は次のようになります。
    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--remove \
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0;
acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)"
--hostname OUD Host \
--port OUD Admin Port \
--trustAll ORACLE_INSTANCE/config/admin-truststore \
--bindDN cn=oudadmin \
--bindPasswordFile password \
--no-prompt

    たとえば:

    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--remove
global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0;
acl \"External changelog access\"; deny (all) userdn=\"ldap:///anyone\";)"
--hostname OUDHOST1.example.com \
--port 4444 \
--trustAll /u01/app/oracle/admin/oud1/OUD/config/admin-truststore \
--bindDN cn=oudadmin \
--bindPasswordFile password \
--no-prompt
  3. 変更ログの新規ACIを追加します。
    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version
3.0; acl \"External changelog access\"; allow
(read,search,compare,add,write,delete,export)
groupdn=\"ldap:///cn=oimAdminGroup,cn=groups,dc=example,dc=com\";)" \
--hostname OUD Host \
--port OUD Admin Port \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile password
--no-prompt

    たとえば:

    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add
--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version
3.0; acl \"External changelog access\"; allow
(read,search,compare,add,write,delete,export)
groupdn=\"ldap:///cn=oimAdminGroup,cn=groups,dc=example,dc=com\";)" \
--hostname OUDHOST1 \
--port 4444 \
--trustAll \
--bindDN cn=oudadmin \
--bindPasswordFile password
--no-prompt
  4. 次にACIを追加します。
    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(targetcontrol=\"1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4\")(version 3.0; acl \"OIMAdministrators control access\"; allow(read)  groupdn=\"<ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \
        --hostname OUD_HOST \
        --port OUD_ADMIN_PORT \
        --trustAll \
        --bindDN cn=oudadmin \
        --bindPasswordFile passwordfile \
        --no-prompt

    たとえば:

    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(targetcontrol=\"1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4\")(version 3.0; acl \"OIMAdministrators control access\"; allow(read) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \
        --hostname IDMHOST1.mycompany.com \
        --port 4444 \
        --trustAll \
        --bindDN cn=oudadmin \
        --bindPasswordFile passwordfile \
        --no-prompt
  5. 最後にACIを追加します。
    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///\")(targetscope=\"base\")(targetattr=\"lastExternalChangelogCookie\")(version 3.0; acl \"User-Visible lastExternalChangelog\"; allow (read,search,compare) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \
        --hostname OUD_HOST \
        --port OUD_ADMIN_PORT \
        --trustAll \
        --bindDN cn=oudadmin \
        --bindPasswordFile passwordfile \
        --no-prompt

    たとえば:

    OUD_ORACLE_INSTANCE/bin/dsconfig set-access-control-handler-prop \
--add global-aci:"(target=\"ldap:///\")(targetscope=\"base\")(targetattr=\"lastExternalChangelogCookie\")(version 3.0; acl \"User-Visible lastExternalChangelog\"; allow (read,search,compare) groupdn=\"ldap:///cn=OIMAdministrators,cn=groups,dc=mycompany,dc=com\";)" \
        --hostname IDMHOST1.mycompany.com \
        --port 4444 \
        --trustAll \
        --bindDN cn=oudadmin \
        --bindPasswordFile passwordfile \
        --no-prompt
  6. 各OUDインスタンスに対してステップ1から5までを繰り返します。

C.4.2 Oracle Unified Directoryのレプリカに対する索引の作成

idmConfigToolによってアイデンティティ・ストアが準備される際に、そのデータに対していくつかの索引が作成されます。レプリカを含む高可用性(HA)環境でも、プロパティ・ファイルで指定されたインスタンス内にのみ、グローバルACIおよび索引が作成されます。レプリカには索引の変更が反映されないため、手動で追加する必要があります。

そのステップは次のとおりです(LDAPHOST1.example.comは最初のOUDサーバーを表し、LDAPHOST2.example.comは2番目のサーバーを表すというようになっています)。

  1. OUDに接続するために使用するパスワードが含まれているmypasswordというファイルを作成します。
  2. 2番目のOUDサーバーで次のように索引を構成します。
    ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444
-a -D "cn=oudadmin" -j mypassword -c -f
/u01/app/oracle/product/fmw/iam/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif

    および

    ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444
-a -D "cn=oudadmin" -j  mypassword -c -f
/u01/app/oracle/product/fmw/iam/idmtools/templates/oud/oud_indexes_extn.ldif

    ノート:

    • 両方のコマンドを、idmConfigToolが実行されなかったすべてのOUDサーバーに対して繰り返します。

    • これらのコマンドは一度に1つのOUDインスタンスに実行してください。これらのコマンドの実行中はそのインスタンスを停止しないでください。

  3. 次のように、すべてのサーバーに対して作成を再構築します。
    ORACLE_INSTANCE/OUD/bin/bin/rebuild-index -h localhost -p 4444 -X -D
"cn=oudadmin" -j mypassword --rebuildAll -b "dc=example,dc=com"

    ノート:

    idmConfigToolが実行された最初のサーバー(LDAPHOST1.example.com)を含めてすべてのOUDサーバーに対してこのコマンドを実行する必要があります。

C.5 IdmConfigToolのオプションとプロパティ

この項では、各コマンド・オプションのプロパティを示します。内容は次のとおりです。

ノート:

  • コマンド・オプションは、Linux上のコマンド構文のみを示しています。Windowsの構文のガイドラインは、idmConfigToolのコマンド構文を参照してください。

  • このツールでは、パスワードの入力が要求されます。

C.6 preConfigIDStoreコマンド

構文

Linuxの場合、このコマンドの構文は次のとおりです。

idmConfigTool.sh -preConfigIDStore input_file=input_properties

Windowsの場合、このコマンドの構文は次のとおりです。

idmConfigTool.bat -preConfigIDStore input_file=input_properties

たとえば:

idmConfigTool.sh -preConfigIDStore input_file=extendOAMPropertyFile

ノート:

-preConfigIDStoreコマンド・オプションは、Oracle Internet DirectoryOracle Unified DirectoryおよびOracle Virtual Directoryをサポートします。

プロパティ

表C-3は、このモードのプロパティを示しています。

表C-3 preConfigIDStoreのプロパティ

プロパティ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。アイデンティティ・ストアがOracle Unified DirectoryまたはOracle Internet Directoryにある場合、IDSTORE_HOSTOracle Unified DirectoryまたはOracle Internet Directoryホストを直接、指し示します。アイデンティティ・ストアの前面にOracle Virtual Directoryを配置している場合、IDSTORE_HOSTはOracle Virtual Directoryホストを指し、IDSTORE.example.comとなります。

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_DIRECTORYTYPE

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

IDSTORE_LOGINATTRIBUTE

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_USERSEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_SYSTEMIDBASE

POLICYSTORE_SHARES_IDSTORE

IDSTORE_ADMIN_PORT

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

このプロパティは、OUD構成構造への接続とその構成に必要です。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_KEYSTORE_FILE

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。

使用する形式: OUD-instance-path/OUD/config/admin-keystore

ここで、OUD-instance-pathはディレクトリ・インスタンスへのパスです。

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

IDSTORE_KEYSTORE_PASSWORD

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。プレーンテキストではありません。ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pin内に存在します。

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。

IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com

Oracle Unified Directoryをアイデンティティ・ストアとして使用している場合、プロパティ表に示された追加プロパティを含めます。次に、サンプル・プロパティ・ファイルに追加プロパティが含まれます。

IDSTORE_DIRECTORYTYPE: OUD
IDSTORE_ADMIN_PORT : 4444
IDSTORE_KEYSTORE_FILE : /u01/config/instances/oud1/OUD/config/admin-keystore
IDSTORE_KEYSTORE_PASSWORD : K8BYCoOFHBwDYa1F6vUBgcGr1TK1Rz26W9Bz7OF0UwsZ5XLGOb

ノート:

Oracle Unified Directoryに対してprepareIDStoreを使用する場合は、プロパティ・ファイルで指定されたインスタンス内にのみ、グローバルACIおよび索引が再作成されます。Oracle Unified Directoryによるレプリケートは行われません。レプリケーション・ドメインのその他すべてのOracle Unified Directoryのインスタンスについて、グローバルACIおよび索引を手動で再作成(削除後、作成)する必要があります。

詳細は、HA環境におけるOUDアイデンティティ・ストアに対するその他のタスクを参照してください。

C.7 prepareIDStoreコマンド

構文

prepareIDStoreコマンドは、指定されたコンポーネントのタスクを実行するために引数としてmodeを使用します。 

idmConfigTool.sh -prepareIDStore mode=mode
input_file=filename_with_Configproperties

モードは次のいずれかになります。

  • OAM

  • OIM

  • OAAM

  • WLS

  • FUSION

  • WAS

  • APM

  • all (前述のモードのすべてのタスクを結合して実行します)

ノート:

WLSモードは、OAMの前に実行する必要があります。

関連項目:

プロパティの詳細は表C-2を参照してください。

C.7.1 prepareIDStore mode=OAM

このモードでは次のものが作成されます。

  • Access Managerコンポーネントで必要なスキーマ拡張の実行

  • oblixスキーマの作成

  • OAMSoftwareユーザーの作成

  • OblixAnonymousユーザーの作成

  • Access Manager管理ユーザーの作成(オプション)

  • ユーザーと対応する個々のグループとの関連付け

  • グループorclFAOAMUserWritePrivilegeGroupの作成

構文

Linuxの場合、このコマンドの構文は次のとおりです。

idmConfigTool.sh -prepareIDStore mode=OAM input_file=filename_with_Configproperties

Windowsの場合、このコマンドの構文は次のとおりです。

idmConfigTool.bat -prepareIDStore mode=OAM input_file=filename_with_Configproperties

たとえば:

idmConfigTool.sh -prepareIDStore mode=OAM input_file=preconfigOAMPropertyFile

プロパティ

表C-4は、このモードのプロパティを示しています。

表C-4 prepareIDStore mode=OAMプロパティ

パラメータ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。アイデンティティ・ストアがOracle Internet DirectoryまたはOracle Unified Directoryにある場合、Oracle Internet Directoryの前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTはOracle Internet DirectoryまたはOracle Unified Directoryを指し示します。

Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリを使用している場合、Oracle Virtual Directoryホストを指定します。

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_LOGINATTRIBUTE

OAM11G_IDSTORE_ROLE_SECURITY_ADMIN

IDSTORE_USERSEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_OAMSOFTWAREUSER

IDSTORE_OAMADMINUSER

IDSTORE_SYSTEMIDBASE

IDSTORE_ADMIN_PORT

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

このプロパティは、OUD構成構造への接続とその構成に必要です。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_KEYSTORE_FILE

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。

使用する形式: OUD-instance-path/OUD/config/admin-keystore

ここで、OUD-instance-pathはディレクトリ・インスタンスへのパスです。

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

IDSTORE_KEYSTORE_PASSWORD

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。プレーンテキストではありません。ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pin内に存在します。

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。このパラメータのセットによって、OAMADMINUSERおよびOAMSOFTWAREユーザーがアイデンティティ・ストアに作成されます。 

IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
POLICYSTORE_SHARES_IDSTORE: true
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators
IDSTORE_OAMSOFTWAREUSER:oamLDAP
IDSTORE_OAMADMINUSER:oamadmin
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com

関連項目:

プロパティの詳細は表C-2を参照してください。

C.7.2 prepareIDStore mode=OIM

このモードでは次のものが作成されます。

  • SystemIDコンテナの下でのOracle Identity Management管理ユーザーの作成

  • Oracle Identity Management管理グループの作成

  • Oracle Identity Management管理グループへのOracle Identity Management管理ユーザーの追加

  • Oracle Identity Management管理グループへのACIの追加

  • 予約コンテナの作成

  • xelsysadminユーザーの作成

構文

Linuxの場合、このコマンドの構文は次のとおりです。

idmConfigTool.sh -prepareIDStore mode=OIM input_file=filename_with_Configproperties

Windowsの場合、このコマンドの構文は次のとおりです。

idmConfigTool.bat -prepareIDStore mode=OIM input_file=filename_with_Configproperties

たとえば:

idmConfigTool.sh -prepareIDStore mode=OIM input_file=preconfigOIMPropertyFile

プロパティ

表C-5は、このモードのプロパティを示しています。

表C-5 prepareIDStore mode=OIMプロパティ

パラメータ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。アイデンティティ・ストアがOracle Internet DirectoryまたはOracle Unified Directoryにある場合、IDSTORE_HOSTOracle Internet DirectoryまたはOracle Unified Directoryホストを直接、指し示します。アイデンティティ・ストアの前面にOracle Virtual Directoryを配置している場合、IDSTORE_HOSTはOracle Virtual Directoryホストを指し、IDSTORE.example.comとなります。

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_LOGINATTRIBUTE

IDSTORE_USERSEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_OIMADMINUSER

IDSTORE_OIMADMINGROUP

IDSTORE_SYSTEMIDBASE

IDSTORE_ADMIN_PORT

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

このプロパティは、OUD構成構造への接続とその構成に必要です。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_KEYSTORE_FILE

YES (ターゲット・アイデンティティ・ストアがOUDのインスタンスである場合)

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

IDSTORE_KEYSTORE_PASSWORD

YES (ターゲット・アイデンティティ・ストアがOUDのインスタンスである場合。)プレーンテキストではありません。ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pin内に存在します。

OIM_DB_URL

IBM WebSphereでは必須。

OIM_DB_SCHEMA_USERNAME

IBM WebSphereでは必須。

OIM_WAS_CELL_CONFIG_DIR

IBM WebSphereでは必須。

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。

IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE:cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
POLICYSTORE_SHARES_IDSTORE: true
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
IDSTORE_OIMADMINUSER: oimadmin
IDSTORE_OIMADMINGROUP:OIMAdministrators
OIM_DB_URL: jdbc:oracle:thin:@xyz5678.us.example.com:5522:wasdb1
OIM_DB_SCHEMA_USERNAME: dev_oim
OIM_WAS_CELL_CONFIG_DIR: /wassh/WebSphere/AppServer/profiles/Dmgr04/config/cells/xyz5678Cell04/fmwconfig

関連項目:

プロパティの詳細は表C-2を参照してください。

C.7.3 prepareIDStore mode=OAAM

このモードでは次の操作が行われます。

  • Oracle Adaptive Access Manager管理ユーザーの作成

  • Oracle Adaptive Access Managerグループの作成

  • Oracle Adaptive Access Manager管理ユーザーをOracle Adaptive Access Managerグループのメンバーとして追加

構文

idmConfigTool.sh -prepareIDStore mode=OAAM
input_file=filename_with_Configproperties

プロパティ

表C-6は、このモードのプロパティを示しています。

表C-6 prepareIDStore mode=OAAMプロパティ

パラメータ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_LOGINATTRIBUTE

YES

IDSTORE_USERSEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_OAAMADMINUSER

YES

IDSTORE_ADMIN_PORT

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

このプロパティは、OUD構成構造への接続とその構成に必要です。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_KEYSTORE_FILE

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。

使用する形式: OUD-instance-path/OUD/config/admin-keystore

ここで、OUD-instance-pathはディレクトリ・インスタンスへのパスです。

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

IDSTORE_KEYSTORE_PASSWORD

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。プレーンテキストではありません。ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pin内に存在します。

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。

IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE:cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_OAAMADMINUSER: oaamadmin
POLICYSTORE_SHARES_IDSTORE: true

関連項目:

プロパティの詳細は表C-2を参照してください。

C.7.4 prepareIDStore mode=WLS

このモードでは次の操作が行われます。

  • Weblogic管理ユーザーの作成

  • Weblogic管理グループの作成

  • Weblogic管理グループのメンバーとしてのWeblogic管理ユーザーの追加

構文

Linuxの場合、このコマンドの構文は次のとおりです。

idmConfigTool.sh -prepareIDStore mode=WLS input_file=filename_with_Configproperties

Windowsの場合、このコマンドの構文は次のとおりです。

idmConfigTool.bat -prepareIDStore mode=WLS input_file=filename_with_Configproperties

たとえば:

idmConfigTool.sh -prepareIDStore mode=WLS input_file=preconfigWLSPropertyFile

プロパティ

表C-7は、このモードのプロパティを示しています。

表C-7 prepareIDStore mode=WLSプロパティ

パラメータ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。アイデンティティ・ストアがOracle Internet DirectoryまたはOracle Unified Directoryにある場合、Oracle Internet Directoryの前面にOracle Virtual Directoryを配置していても、IDSTORE_HOSTはOracle Internet DirectoryまたはOracle Unified Directoryホストを指し示します。

Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリを使用している場合、Oracle Virtual Directoryホストを指定します(これはIDSTORE.example.comとなります)。

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_LOGINATTRIBUTE

YES

IDSTORE_USERSEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_WLSADMINUSER

YES

このプロパティには、weblogic/xelsysadmなどのデフォルトの既定ユーザーを設定しないでください。

IDSTORE_WLSADMINGROUP

YES

ノート:

OAM管理者がIDM管理者グループに正常に追加されるためには、IDSTORE_WLSADMINGROUP: IDM Administratorsをプロパティ・ファイルに含める必要があります。

IDSTORE_ADMIN_PORT

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

このプロパティは、OUD構成構造への接続とその構成に必要です。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_KEYSTORE_FILE

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。

使用する形式: OUD-instance-path/OUD/config/admin-keystore

ここで、OUD-instance-pathはOUDインスタンスへのパスです。

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

IDSTORE_KEYSTORE_PASSWORD

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。プレーンテキストではありません。ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pin内に存在します。

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。このセットのプロパティで、IDM管理者グループが作成されます。

IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users, dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
POLICYSTORE_SHARES_IDSTORE: true
IDSTORE_WLSADMINUSER: weblogic_idm
IDSTORE_WLSADMINGROUP: wlsadmingroup

関連項目:

プロパティの詳細は表C-2を参照してください。

C.7.5 prepareIDStore mode=WAS

このモードでは次の操作が行われます。

  • WebSphere管理ユーザーの作成

  • WebSphere管理グループの作成

  • WebSphere管理グループのメンバーとしてのWebSphere管理ユーザーの追加

構文

idmConfigTool.sh -prepareIDStore mode=WAS
input_file=filename_with_Configproperties

プロパティ

表C-8は、このモードのプロパティを示しています。

表C-8 prepareIDStore mode=WASプロパティ

パラメータ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_LOGINATTRIBUTE

IDSTORE_USERSEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_WASADMINUSER

YES (wsadminユーザー)

IDSTORE_ADMIN_PORT

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

このプロパティは、OUD構成構造への接続とその構成に必要です。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_KEYSTORE_FILE

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。

使用する形式: OUD-instance-path/OUD/config/admin-keystore

ここで、OUD-instance-pathはOUDインスタンスへのパスです。

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

IDSTORE_KEYSTORE_PASSWORD

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。プレーンテキストではありません。ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pin内に存在します。

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってIDM管理者グループが作成されます。

IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users, dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
POLICYSTORE_SHARES_IDSTORE: true
IDSTORE_WASADMINUSER: websphere_idm

関連項目:

プロパティの詳細は表C-2を参照してください。

C.7.6 prepareIDStore mode=APM

このモードでは次の操作が行われます。

  • Oracle Privileged Account Manager管理ユーザーの作成

  • Oracle Privileged Account Manager管理ユーザーのOracle Privileged Account Manager Groupsのメンバーとしての追加

アイデンティティ・ストアへの接続に使用するアカウントのパスワードを入力するように要求されます。

構文

idmConfigTool.sh -prepareIDStore mode=APM
input_file=filename_with_Configproperties

プロパティ

表C-9は、このモードのプロパティを示しています。

表C-9 prepareIDStore mode=APMプロパティ

パラメータ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_USERNAMEATTRIBUTE

IDSTORE_LOGINATTRIBUTE

IDSTORE_USERSEARCHBASE

IDSTORE_GROUPSEARCHBASE

IDSTORE_SEARCHBASE

POLICYSTORE_SHARES_IDSTORE

YES

IDSTORE_APMUSER

YES

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。

IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
POLICYSTORE_SHARES_IDSTORE: true
IDSTORE_APMUSER: opamadmin

関連項目:

プロパティの詳細は表C-2を参照してください。

C.7.7 prepareIDStore mode=fusion

このモードでは次の操作が行われます。

  • Readonlyユーザーの作成

  • ReadWriteユーザーの作成

  • スーパーユーザーの作成

  • グループorclFAGroupReadPrivilegeGroupおよびorclFAUserWritePrefsPrivilegeGroupへのreadOnlyユーザーの追加

  • グループorclFAUserWritePrivilegeGroupおよびorclFAGroupWritePrivilegeGroupへのreadWriteユーザーの追加

構文

idmConfigTool.sh -prepareIDStore mode=fusion
input_file=filename_with_Configproperties

プロパティ

表C-10は、このモードのプロパティを示しています。

表C-10 prepareIDStore mode=fusionプロパティ

パラメータ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_LOGINATTRIBUTE

IDSTORE_USERSEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_READONLYUSER

IDSTORE_READWRITEUSER

IDSTORE_SUPERUSER

IDSTORE_SYSTEMIDBASE

POLICYSTORE_SHARES_IDSTORE

IDSTORE_ADMIN_PORT

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

このプロパティは、OUD構成構造への接続とその構成に必要です。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_KEYSTORE_FILE

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。

使用する形式: OUD-instance-path/OUD/config/admin-keystore

ここで、OUD-instance-pathはOUDインスタンスへのパスです。

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

IDSTORE_KEYSTORE_PASSWORD

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。プレーンテキストではありません。ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pin内に存在します。

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってIDSTORE_SUPERUSERが作成されます。 

IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_READONLYUSER: IDROUser
IDSTORE_READWRITEUSER: IDRWUser
IDSTORE_USERSEARCHBASE:cn=Users,dc=example,dc=com 
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=mycomapny,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
IDSTORE_SUPERUSER: weblogic_fa
POLICYSTORE_SHARES_IDSTORE: true

関連項目:

プロパティの詳細は表C-2を参照してください。

C.7.8 prepareIDStore mode=all

このモードでは、モードOAMOIMWLSWASOAAMおよびFUSIONで実行されるすべてのタスクが実行されます。

構文

idmConfigTool.sh -prepareIDStore mode=all
input_file=filename_with_Configproperties

プロパティ

表C-11は、このモードのプロパティを示しています。

表C-11 prepareIDStore mode=allプロパティ

パラメータ 必須かどうか。

IDSTORE_HOST

YES

IDSTORE_PORT

YES

IDSTORE_BINDDN

YES

IDSTORE_USERSEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_LOGINATTRIBUTE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_SYSTEMIDBASE

IDSTORE_READONLYUSER

YES

IDSTORE_READWRITEUSER

YES

IDSTORE_SUPERUSER

YES

IDSTORE_OAMSOFTWAREUSER

YES

IDSTORE_OAMADMINUSER

YES

IDSTORE_OIMADMINUSER

YES

IDSTORE_OIMADMINGROUP

YES

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_OAAMADMINUSER

YES

IDSTORE_WLSADMINUSER

YES

IDSTORE_WLSADMINGROUP

YES

IDSTORE_ADMIN_PORT

YES (ターゲット・アイデンティティ・ストアがOracle Unified Directory (OUD)のインスタンスである場合。)

このプロパティは、OUD構成構造への接続とその構成に必要です。

  • グローバルACIの作成

  • 索引の作成

IDSTORE_KEYSTORE_FILE

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。

使用する形式: OUD-instance-path/OUD/config/admin-keystore

ここで、OUD-instance-pathはOUDインスタンスへのパスです。

OUDアイデンティティ・ストアへの接続を確立するには、IDSTORE_KEYSTORE_FILEおよびIDSTORE_KEYSTORE_PASSWORDを設定する必要があります。

IDSTORE_KEYSTORE_PASSWORD

YES (ターゲット・アイデンティティ・ストアがOUDである場合)。プレーンテキストではありません。ファイルOUD_ORACLE_INSTANCE/OUD/config/admin-keystore.pin内に存在します。

OAM11G_IDSTORE_ROLE_SECURITY_ADMIN

POLICYSTORE_SHARES_IDSTORE

OIM_DB_URL

IBM WebSphereでは必須

OIM_DB_SCHEMA_USERNAME

IBM WebSphereでは必須

OIM_WAS_CELL_CONFIG_DIR

IBM WebSphereでは必須

IDSTORE_WASADMINUSER

IBM WebSphereでは必須

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。

IDSTORE_HOST: node01.example.com
IDSTORE_PORT: 2345
IDSTORE_BINDDN: cn=orcladmin
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com
IDSTORE_READONLYUSER: IDROUser
IDSTORE_READWRITEUSER: IDRWUser
IDSTORE_SUPERUSER: weblogic_fa
IDSTORE_OAMSOFTWAREUSER:oamSoftwareUser
IDSTORE_OAMADMINUSER:oamAdminUser
IDSTORE_OIMADMINUSER: oimadminuser
POLICYSTORE_SHARES_IDSTORE: true
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:OAMAdministrators
IDSTORE_OIMADMINGROUP: OIMAdministrators
IDSTORE_WLSADMINUSER: weblogic_idm
IDSTORE_WLSADMINGROUP: wlsadmingroup
IDSTORE_OAAMADMINUSER: oaamAdminUser
OIM_DB_URL: jdbc:oracle:thin:@xyz5678.us.example.com:5522:wasdb1
OIM_DB_SCHEMA_USERNAME: dev_oim
OIM_WAS_CELL_CONFIG_DIR: /wassh/WebSphere/AppServer/profiles/Dmgr04/config/cells/xyz5678Cell04/fmwconfig
IDSTORE_WASADMINUSER: websphere_idm

関連項目:

プロパティの詳細は表C-2を参照してください。

C.8 configOAM Command

前提条件

このコマンドを実行する前に、Oracle Access Managerをホストするドメインの管理サーバーが実行中であることを確認してください。

configOIMの実行後にOIMドメインのすべてのサーバーを再起動します。

構文

Linuxの場合、このコマンドの構文は次のとおりです。

idmConfigTool.sh -configOAM input_file=input_properties

Windowsの場合、このコマンドの構文は次のとおりです。

idmConfigTool.bat -configOAM input_file=input_properties

たとえば:

idmConfigTool.sh -configOAM input_file=OAMconfigPropertyFile

プロパティ

表C-12は、このコマンドのプロパティを示しています。

表C-12 configOAMのプロパティ

プロパティ 必須かどうか。

WLSHOST

YES

WLSHOSTおよびWLSPORTは、それぞれ管理サーバーのホストおよびポートです(これが仮想名になります)。

WLSPORT

YES

WLSADMIN

YES

IDSTORE_BINDDN

YES

IDSTORE_HOST

YES

IDSTORE_HOSTおよびIDSTORE_PORTは、それぞれアイデンティティ・ストア・ディレクトリのホストおよびポートです。

Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリ・サーバーを使用している場合、Oracle Virtual Directoryホストおよびポートを指定します。

IDSTORE_PORT

YES

IDSTORE_DIRECTORYTYPE

YES

IDSTORE_BINDDN

YES

IDSTORE_BINDDNOracle Internet DirectoryまたはOracle Unified Directory内の管理ユーザーです。

Oracle Internet DirectoryまたはOracle Unified Directory以外のディレクトリ・サーバーを使用する場合は、Oracle Virtual Directory管理ユーザーを指定します。

IDSTORE_USERNAMEATTRIBUTE

YES

IDSTORE_LOGINATTRIBUTE

YES

IDSTORE_USERSEARCHBASE

YES

IDSTORE_SEARCHBASE

YES

IDSTORE_GROUPSEARCHBASE

YES

IDSTORE_OAMSOFTWAREUSER

YES

IDSTORE_OAMADMINUSER

YES

IDSTORE_SYSTEMIDBASE

YES

PRIMARY_OAM_SERVERS

YES

WEBGATE_TYPE

YES

WEBGATE_TYPEは、作成するWebゲート・エージェントのタイプです。有効な値はohsWebgate12cです

ACCESS_GATE_ID

YES

ACCESS_GATE_IDは、Webゲートに割り当てる名前です。例に示されているプロパティ値を変更しないでください

OAM_TRANSFER_MODE

YES

デフォルトはOPENです

OAM_TRANSFER_MODEは、アクセス・サーバーが機能するセキュリティ・モデルです。

COOKIE_DOMAIN

YES

COOKIE_EXPIRY_INTERVAL

YES

OAM11G_WG_DENY_ON_NOT_PROTECTED

YES

OAM11G_IDM_DOMAIN_OHS_HOST

YES

OAM11G_IDM_DOMAIN_OHS_PORT

YES

OAM11G_IDM_DOMAIN_OHS_PROTOCOL

YES

デフォルトはhttpです

OAM11G_IDM_DOMAIN_OHS_PROTOCOLは、ロード・バランサにリクエストを送るときに使用するプロトコルです。

OAM11G_OAM_SERVER_TRANSFER_MODE

YES

OAM11G_OAM_SERVER_TRANSFER_MODEは、Access Managerサーバーのセキュリティ・モデルです。

Access Managerは通信モードとしてSIMPLEに対して構成される必要があります。

OAM11G_IDM_DOMAIN_LOGOUT_URLS

OAM11G_OIM_WEBGATE_PASSWD

YES

OAM11G_IDSTORE_ROLE_SECURITY_ADMIN

YES

OAM11G_SSO_ONLY_FLAG

YES

デフォルトはTRUEです

OAM11G_SSO_ONLY_FLAGは、認証専用モードまたは標準モード(認証と認可をサポート)としてAccess Manager 11gを構成します。デフォルト値はtrueです。

OAM11G_SSO_ONLY_FLAGtrueに設定すると、Access Manager 11gサーバーは認証専用モードで動作します。この場合、デフォルトではすべての認可でポリシー検証が実行されずにtrueが戻されます。このモードでは、認可の処理に伴うオーバーヘッドがサーバーに発生しません。認可ポリシーに依存せず、Access Managerサーバーの認証機能のみを必要とするアプリケーションでは、このモードをお薦めします。

この値をfalseに設定すると、サーバーはデフォルトのモードで実行されます。このモードでは、それぞれの認証の後でAccess Managerサーバーに対する認可リクエストが1つ以上発生します。Webゲートは、Access Managerサーバーからの応答に基づいて、リクエストされたリソースへのアクセスを許可または拒否できます。

OAM11G_OIM_INTEGRATION_REQ

YES

OAM11G_IMPERSONATION_FLAG

YES

OAM11G_IMPERSONATION_FLAGは、OAMサーバーの偽装機能を有効または無効にします。有効な値は、true (有効化)およびfalse (無効化)です。デフォルトはfalseです。偽装を使用している場合、この値をtrueに手動で設定する必要があります。

OAM11G_SERVER_LBR_HOST

YES

OAM11G_SERVER_LBR_PORT

YES

OAM11G_SERVER_LBR_PROTOCOL

YES

デフォルトはhttpです

OAM11G_SERVER_LBR_PROTOCOLは、使用するURL接頭辞です。

OAM11G_SERVER_LOGIN_ATTRIBUTE

YES

OAM11G_IDSTORE_NAME

YES

POLICYSTORE_SHARES_IDSTORE

YES

OAM11G_OIM_OHS_URL

http://sso.example.com:443/

OAM11G_OIM_OHS_URLは、OIMサーバーの前面に配置するロード・バランサまたはOHSのURLです。

SPLIT_DOMAIN

クロス・ドメインのデプロイメントにtrueを設定します。シングル・ドメインのデプロイメントには、設定をしません。

SPLIT_DOMAINは、分割ドメイン・シナリオでOracle Access Management管理コンソールの二重認証を抑制する場合、trueに設定する必要があります。

プロパティ・ファイルの例

このオプションのサンプル・プロパティ・ファイルは次のとおりです。これによってAccess Manager内にWebゲートのエントリが作成されます。 

WLSHOST: adminvhn.example.com
WLSPORT: 7001
WLSADMIN: weblogic
IDSTORE_HOST: idstore.example.com
IDSTORE_PORT: 389
IDSTORE_BINDDN: cn=orcladmin 
IDSTORE_USERNAMEATTRIBUTE: cn
IDSTORE_LOGINATTRIBUTE: uid
IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com
IDSTORE_SEARCHBASE: dc=example,dc=com
IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com
IDSTORE_OAMSOFTWAREUSER: oamLDAP
IDSTORE_OAMADMINUSER: oamadmin
PRIMARY_OAM_SERVERS: oamhost1.example.com:5575,oamhost2.example.com:5575
WEBGATE_TYPE: ohsWebgate11g
ACCESS_GATE_ID: Webgate_IDM
OAM11G_IDM_DOMAIN_OHS_HOST:sso.example.com
OAM11G_IDM_DOMAIN_OHS_PORT:443
OAM11G_IDM_DOMAIN_OHS_PROTOCOL:https
OAM11G_OAM_SERVER_TRANSFER_MODE:simple
OAM11G_IDM_DOMAIN_LOGOUT_URLS: /console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp
OAM11G_WG_DENY_ON_NOT_PROTECTED: false
OAM11G_SERVER_LOGIN_ATTRIBUTE: uid 
OAM_TRANSFER_MODE: simple
COOKIE_DOMAIN: .example.com
OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: OAMAdministrators
OAM11G_SSO_ONLY_FLAG: false
OAM11G_OIM_INTEGRATION_REQ: true or false
OAM11G_IMPERSONATION_FLAG:true
OAM11G_SERVER_LBR_HOST:sso.example.com
OAM11G_SERVER_LBR_PORT:443
OAM11G_SERVER_LBR_PROTOCOL:https
COOKIE_EXPIRY_INTERVAL: -1
OAM11G_OIM_OHS_URL:https://sso.example.com:443/
SPLIT_DOMAIN: true
OAM11G_IDSTORE_NAME: OAMIDStore
IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com

使用上のノート

このコマンドを実行すると、このツールによって次のものの入力が要求されます。

  • 接続先のアイデンティティ・ストア・アカウントのパスワード

  • Access Manager管理者パスワード

  • Access Managerソフトウェア・ユーザー・パスワード

IBM WebSphere環境では、次のようにします。

  • Oracle Access ManagerのWebSphereセルからidmconfigtoolを実行します。

  • プロパティ・ファイルで次を指定し、IBM WebSphereサーバーの詳細を設定します。

    • WLSHOST - WebSphere Application Serverのホスト

    • WLSPORT - WebSphere Application Serverのブートストラップ・ポート

    • WLSADMIN - Login ID for the Oracle Access ManagementコンソールのログインID。

関連項目:

プロパティの詳細は表C-2を参照してください。