Identity Management 11.1.2...Oracle Identity and Access Management のトポロジ.....12 ディレクトリ層について ... 101 Oracle Unified Directoryの索引の作成 .....102

Identity Management 11.1.2.3 エンタープライズ・デプロイメントのブループリント Oracleホワイト・ペーパー | 2015年6月

1 | Identity Management 11.1.2.3エンタープライズ・デプロイメントのブループリント

目次概要 ........................................................................................................................................................... 10 はじめに ................................................................................................................................................. 10

高可用性データベース ............................................................................................................ 10 高可用性ディレクトリ ............................................................................................................ 11 高可用性Identity Managementのデプロイメント ................................................. 11 エンタープライズ・デプロイメントのハードウェア要件 ................................ 11

デプロイメント・トポロジ ......................................................................................................... 12 Oracle Identity and Access Managementのトポロジ .......................................... 12

ディレクトリ層について ................................................................................................. 12 高可用性プロビジョニング ............................................................................................ 13 アプリケーション層について ....................................................................................... 13 高可用性プロビジョニング ............................................................................................ 14 Web層について ..................................................................................................................... 14 Oracle Mobile Security Access Server（Oracle MSAS）について ............ 15

エンタープライズ・デプロイメントのネットワークの準備 .................................. 16 仮想サーバー ................................................................................................................................ 16

ids tore.example.com ........................................................................................................ 17 iadadmin.example.com .................................................................................................... 17 igdadmin.example.com ................................................................................................... 17 igdinternal.example.com ................................................................................................. 17 iadinternal.example.com ................................................................................................. 18 login.example.com .............................................................................................................. 18 pro v.e xample.com ............................................................................................................. 19 ms as .example.com ........................................................................................................... 19

ハードウェア・ロードバランサの構成 ........................................................................ 19 ロードバランサの要件 ...................................................................................................... 20 ロードバランサの構成手順 ............................................................................................ 21 ロードバランサの構成 ...................................................................................................... 22

IPアドレスと仮想IPアドレスについて .......................................................................... 23


IPとVIPのマッピング .......................................................................................................... 24 仮想IPアドレスの有効化 .................................................................................................. 25

ファイアウォールとポートの構成について .............................................................. 25 エンタープライズ・デプロイメントのストレージの準備 ....................................... 28

ディレクトリとディレクトリ変数の用語 ................................................................... 28 ファイル・システムについて ............................................................................................. 29 さまざまなディレクトリの推奨場所について ......................................................... 29

バイナリ（ミドルウェア・ホーム）ディレクトリの推奨事項 ................ 29 ドメイン構成ファイルの推奨事項 ............................................................................. 31 管理サーバーのドメイン構成ファイルの、共有ストレージの要件 ...... 32 管理対象サーバーのドメイン構成ファイルのローカル・ストレージの要件 ................................................................................................................ 32 JMSファイル・ストアおよびトランザクション・ログの共有ストレージの推奨事項 ............................................................................................ 32

共有ストレージ ........................................................................................................................... 33 プライベート・ストレージ .................................................................................................. 34

エンタープライズ・デプロイメントのサーバーの構成 ............................................ 35 サーバー構成の概要 ................................................................................................................. 35 サーバーとオペレーティング・システムの確認 .................................................... 35 最小ハードウェア要件への適合........................................................................................ 36

オペレーティング・システム要件への適合 ......................................................... 36 カーネル・パラメータの構成 ....................................................................................... 36 開くことができるファイルの制限の設定 .............................................................. 37 シェルの制限の設定 ........................................................................................................... 37

ローカル・ホスト・ファイルの構成 ............................................................................. 38 Unicodeサポートの有効化 ............................................................................................. 38

仮想IPアドレスの有効化 ........................................................................................................ 38 必要な仮想IPアドレスのサマリー .............................................................................. 38 既存のネットワーク・インタフェースでの仮想IPアドレスの有効化 .. 39

ホストへの共有ストレージのマウント ........................................................................ 39 共有ストレージのサマリー ............................................................................................ 39


ホスト上の共有ストレージの接続 ............................................................................. 40 共有ストレージ構成の検証 ............................................................................................ 41

サーバー上のクロックの同期化........................................................................................ 41 ユーザーとグループの構成 .................................................................................................. 41

グループ .................................................................................................................................... 41 ユーザー .................................................................................................................................... 41

ソフトウェアの入手について .................................................................................................... 42 Repository Creation Utilityの解凍 ..................................................................................... 42 ソフトウェア・バージョン .................................................................................................. 42

エンタープライズ・デプロイメント用のデータベースの準備 ............................. 43 データベース要件の確認 ....................................................................................................... 43

必要なデータベース ........................................................................................................... 43 データベース・ホストの要件 ....................................................................................... 43 サポートされているデータベース・バージョン .............................................. 43 Oracle Databaseのパッチ適用 ...................................................................................... 44 Oracle Databaseの最小要件 ........................................................................................... 44

データベース・サービスの作成........................................................................................ 45 11.2.xデータベースのデータベース・サービスの作成 .................................. 45

データベースのバックアップ ............................................................................................. 47 エンタープライズ・デプロイメントのソフトウェアのインストール ............. 48

インストールするソフトウェア........................................................................................ 48 Oracleホームのサマリー ....................................................................................................... 48 Oracle HTTP Serverのインストール ................................................................................ 49

インストーラの実行 ........................................................................................................... 49 インストールのバックアップ ....................................................................................... 50

Oracle Fusion Middlewareのインストール ................................................................. 50 Oracle Mobile Security Access Serverのインストール ......................................... 50

インストーラの実行 ........................................................................................................... 50 インストールのバックアップ ....................................................................................... 51

Oracle Fusion Middlewareのインストール ................................................................. 51 Oracle Fusion Middlewareコンポーネントのインストール ........................ 51


Oracle Fusion Middlewareホームのインストール ............................................ 52 JDKのインストール ............................................................................................................. 52 Oracle Internet Directoryのインストール .............................................................. 53 Oracle Unified Directoryのインストール ................................................................ 54 Oracle SOA Suiteのインストール ............................................................................... 55 Oracle Identity and Access Managementのインストール ........................... 55 wlfullclient.jarファイルの作成 ...................................................................................... 56

インストールのバックアップ ............................................................................................. 57 Web層の構成 ....................................................................................................................................... 57

構成の検証 ..................................................................................................................................... 58 Oracle HTTP Serverの構成 ..................................................................................................... 58

仮想ホストの構成 ................................................................................................................ 58 Oracle HTTP Serverの再起動 .......................................................................................... 67 ソフトウェア所有者として、Oracle HTTP Serverの実行を構成する .... 67 Oracle HTTP Serverランタイム・パラメータの更新 ....................................... 68

エンタープライズ・デプロイメントのドメインの作成 ............................................ 69 作成するドメインの選択 ....................................................................................................... 69 構成ウィザードの実行によるドメインの作成 ......................................................... 70 ドメインとOracle Platform Security Services（OPSS）ポリシー・ストアの関連付け ...................................................................................................................... 77

ドメインとOracle Platform Security Services（OPSS）ポリシー・ストアの関連付け................................................................................................................. 77 手動でのシステム・プロパティの追加 ................................................................... 77 メモリ・パラメータの設定 ............................................................................................ 77 WebLogic管理サーバーのboot.propertiesの作成............................................. 78 ノード・マネージャの起動 ............................................................................................ 78 ノード・マネージャの資格証明の更新 ................................................................... 80 ホスト名の検証の無効化 ................................................................................................. 80

管理サーバーを再起動します。........................................................................................ 81 WebLogic管理サーバーの検証 .......................................................................................... 81 管理対象サーバー用の別のドメイン・ディレクトリの作成 ........................... 82


リモート・サーバーへの変更の伝播 ........................................................................ 82 リモート・ホスト上でのノード・マネージャの起動 .................................... 82 Web Logic ServerによるOracle HTTP Serverの登録 ......................................... 83 管理コンソールのフロントエンドURLの設定 ..................................................... 83 WebLogicプラグインの有効化 .................................................................................... 84

WebLogic管理サーバーの手動によるフェイルオーバー................................... 84 WebLogicドメインのバックアップ ................................................................................ 85

Oracle Unified Directory（OUD）の構成 ............................................................................ 85 Oracle Unified Directoryの検証 ......................................................................................... 88 Oracle Unified Directoryのオブジェクト作成制限の緩和 .................................. 89 Oracle Unified Directoryでのパスワード・ポリシーの構成 ............................. 90 ロードバランサ経由のOracle Unified Directoryの検証 ....................................... 90 Oracle Unified Directoryのインストールのバックアップ .................................. 90

Oracle Internet Directory（OID）の構成 ............................................................................ 91 LDAPHOST1でのInternet Directoryの構成 .................................................................. 91

LDAPHOST1でのOracle Internet Directoryのインストールの検証 ......... 92 LDAPHOST2でのOracle Internet Directoryの構成 .................................................. 93

LDAPHOST2でのOracle Internet Directoryのインストールの検証 ......... 94 構成ファイルの作成 ........................................................................................................................ 95

プロパティ値の説明 ................................................................................................................. 96 LDAPプロパティ ................................................................................................................... 96 Oracle Unified Directoryのプロパティ ..................................................................... 96 Oracle Access Managerのプロパティ ...................................................................... 97 Oracle Identity Managerのプロパティ .................................................................... 97 WebLogicのプロパティ .................................................................................................... 97 Oracle Adaptive Access Managerのプロパティ ................................................. 97 その他のプロパティ ........................................................................................................... 97

IDストアの準備 .................................................................................................................................. 98 Oracle Internet DirectoryとOracle Unified Directoryの構成 ............................. 98 ユーザーとグループの作成 .................................................................................................. 99 Oracle Unified Directoryの変更ログのアクセス権の付与 ............................... 100


LDAPの同期のためのOracle Unified Directory ACIの更新 .............................. 101 Oracle Unified Directoryの索引の作成 ....................................................................... 102

索引の再構築 ....................................................................................................................... 102 Oracle以外のディレクトリでのアクセス制御リストの作成 ......................... 102

Oracle Access Management Access Managerの構成 ............................................... 103 ドメインURLについて .......................................................................................................... 103 oamadminインストール後の作業 ................................................................................ 104

管理コンソールのフロントエンドURLの設定 .................................................. 104 Oracle IDMドメイン・エージェントの削除 ...................................................... 104

LDAPの構成とLDAPとの統合 .......................................................................................... 105 グローバル・パスフレーズの設定 .......................................................................... 105 Access ManagerでのLDAPディレクトリの使用の構成 .............................. 105 構成の検証 ............................................................................................................................ 108 エージェントの更新 ........................................................................................................ 108 ホスト識別子の更新 ........................................................................................................ 109

WebLogic管理者へのLDAPグループの追加 ............................................................ 109 Oracle Access Managerへの不足しているポリシーの追加............................ 110 Access Managerの検証 ........................................................................................................ 111 Access Managerのキーストアの作成 ......................................................................... 111 アプリケーション層の構成のバックアップ ........................................................... 112

Oracle Mobile Security Suiteの構成..................................................................................... 113 構成ファイルの作成 .............................................................................................................. 113

Oracle Mobile Security Suiteのプロパティ ........................................................ 114 idmConfigToolを使用したMobile Security Managerの構成 .......................... 115

Oracle Unified Directoryの追加タスク .................................................................. 116 Oracle Mobile Security Managerの検証 ............................................................... 117

Oracle MSASゲートウェイ・インスタンスの構成 .............................................. 117 Oracle MSAS構成プロパティ・ファイルの作成 ............................................. 118 configMSAS.shを使用したOracle MSASインスタンスの構成 ................. 119 Oracle MSASの検証 .......................................................................................................... 119

Oracle MSASとIDストアの統合....................................................................................... 119


Oracle MSAS証明書へのロードバランサ・エイリアスの追加 ..................... 120 Oracle MSASインスタンスへのロードバランサURLの追加 ........................... 121 OHSHOST1とOHSHOST2で、Oracle MSASインスタンスを起動します。122 Mobile Security Suiteの検証 ............................................................................................. 122

Oracle Identity Managerの構成 ............................................................................................. 122 ユニキャスト通信を使用した、デプロイメントの通信の有効化 ........ 123 OIMHOST1VHN2は、WLS_SOA1が（OIMHOST1で）リスニングしている仮想IPにマッピングされている仮想ホスト名です。OIMHOST2VHN2は、WLS_SOA2が（OIMHOST2で）リスニングしている仮想IPにマッピングされている仮想ホスト名です。 ........................................................................................................ 123

Oracle Identity Managerの構成 ...................................................................................... 125 Oracle SOAコンポジットへの管理対象サーバー・ディレクトリのコピー ................................................................................................... 127 OIMHOST1でのOracle Identity Managerの起動 .............................................. 127 OIMHOST1でのノード・マネージャの起動 ...................................................... 127 OIMHOST1でのOracle Identity Managerインスタンスの検証 ............... 127 OIMHOST2でのノード・マネージャの起動 ...................................................... 128 Oracle SOAとOracle Identity Managerの管理対象サーバーの起動 ..... 128 OIMHOST2でのOracle Identity Managerインスタンスの検証 ............... 128

IDストアからリコンシリエーションを実行するための Oracle Identity Managerの構成 ...................................................................................... 128 トランザクション・リカバリ用のデフォルト永続ストアの構成 .............. 129 Oracle User Messaging Serviceの電子メールの構成 .......................................... 130 Oracle Identity Managerを構成したら、Oracle BI Publisherを構成します。 ............................................................................................................................. 131

Oracle BI Serverの検証.................................................................................................... 132 Oracle BI Serverの構成の検証 .................................................................................... 132 Oracle BI Schedulerの構成 ........................................................................................... 132 スケジューラの構成オプションの設定 ................................................................ 132 Oracle BI PublisherのJMSの構成 ............................................................................... 132 Oracle BI Publisherスケジューラの構成の検証 ............................................... 133


WebLogicでのホスト・アサーションの変更 ................................................... 134 Web層からのOracle Identity Managerインスタンスの検証 ......................... 134

Web層からのOracle SOAインスタンスの検証 ................................................ 134 Web層からのOracle BIインスタンスの検証 ...................................................... 135 OIMHOST1とOIMHOST2へのOracle Access Managerキーストア・ファイルのコピー ....................................................................................................................... 135 必要なオブジェクト・クラスによる、既存のLDAPユーザーの更新 ........................................................................................................................................... 135 Mobile Security SuiteへのOracle Identity Manager証明書のインポート ............................................................................................................................ 136 Access ManagerおよびMobile Security Suiteと、 Oracle Identity Manager 11gの統合 ....................................................................... 137 コマンドidmConfigToolを使用したAccess ManagerとOracle Identity Managerの統合 .................................................................................................................. 138 IAMGovernanceドメインの再起動 ......................................................................... 139 xelsysadmユーザーのパスワードの管理 ............................................................. 140 統合の検証 ............................................................................................................................ 140

LDAPユーザーを使用した、Oracle Identity Managerから Oracle SOAへの接続 .............................................................................................................. 140 Active Directoryのユーザー名生成ポリシーの更新 ............................................ 142 Oracle Identity Managerリコンシリエーションからのユーザーの除外 ................................................................................................................................................. 142

Oracle Identity Managerコンソールを使用した、失敗したリコンシリエーション・イベントの終了 ........................................................... 143

アプリケーション層の構成のバックアップ ........................................................... 143 ノード・マネージャの設定 ...................................................................................................... 143

推奨事項 ....................................................................................................................................... 144 ノード・マネージャ・ログの場所の変更 ................................................................ 144 ノード・マネージャのホスト名の検証の証明書の有効化 ............................. 144

utils.CertGenユーティリティを使用した、自己署名証明書の生成 ..... 144 utils.ImportPrivateKeyユーティリティを使用したIDストアの作成 ..... 146 keytoolユーティリティを使用した、信頼キーストアの作成 ................. 146


カスタム・キーストアを使用するためのノード・マネージャの構成 ........................................................................................................................................... 147 カスタム・キーストアを使用するためのWebLogic管理対象サーバーの構成 .................................................................................................................. 148 管理対象サーバーの、ホスト名の検証設定の変更 ...................................... 149

ノード・マネージャの起動 ............................................................................................... 149 サーバー移行の構成 ..................................................................................................................... 150

リース用のGridLinkデータソースの作成 .................................................................. 151 ノード・マネージャのプロパティ・ファイルの編集 ....................................... 152 wlsifconfig.shスクリプトの権限の設定 ..................................................................... 153 サーバー移行ターゲットの構成..................................................................................... 154 サーバー移行のテスト ......................................................................................................... 155

OIMHOST1からテストするには、次の手順を実行します。 ................... 155 OIMHOST2からテストするには、次の手順を実行します。 ................... 155 管理コンソールからの検証 ......................................................................................... 156

シングル・サインオンの構成 ................................................................................................. 156 WebLogicセキュリティ・プロバイダの構成 ................................................... 157 補助的ドメインのセキュリティ・プロバイダの作成 ................................. 157 セキュリティ・プロバイダの更新 .......................................................................... 159 Oracle Unified Directory認証者の更新 .................................................................. 159 セキュリティ・プロバイダの並べ替え ................................................................ 160

WebLogic管理グループへのIDMAdministratorsグループの割当て .......... 160 すべてのドメインでの管理サーバーの更新 ...................................................... 161 サーバーの再起動 ............................................................................................................. 162

WebGate 11gのインストールと構成 .......................................................................... 162 OHSHOST1とOHSHOST2へのOracle WebGateのインストール ............ 162 OHSHOST1およびOHSHOST2へのWebGateのデプロイメント............. 162

Oracle Access Managementのシングル・サインオン設定の検証 ............ 163 結論 ........................................................................................................................................................ 163


概要このホワイト・ペーパーでは、Oracle Identity and Access Managementを一般的な企業でデプロイする方法について説明します。以下に含まれるソリューションには、次の機能があります。

» デプロイされるコンポーネント：Oracle Access Manager（OAM）、Oracle Identity Manager（OIM）、Oracle Business Intelligence Publisher Lite（Oracle BI Publisher Lite（Oracle BI Publisher））、Oracle Service-Oriented Architecture（Oracle SOA）Suite（Oracle Identity Managerのワークフロー専用）。

» さまざまなIDストアのサポート：Oracle Unified DirectoryやOracle Internet Directoryなど。

» すべてのコンポーネントは高可用性です。

» SSLはロードバランサで終了します。

» Oracle Access ManagerとOracle Identity Managerは、管理タスクと運用タスクを分けるため、異なるドメインにデプロイされます。

» 柔軟なデプロイメントを推進するため、ドメインごとにエントリ・ポイントが異なります。

» ディレクトリはドメインにデプロイされません。ドメインは、管理機能で、またはOracle Internet DirectoryでOracle Directory Integration Platform（DIP）を使用できるようにする場合にのみ必要です。ディレクトリ・ソフトウェアは、別々のミドルウェア・ホームにインストールされます。このため、Oracle Access Managementコンポーネントとは別に、ディレクトリにパッチを適用できます。また、企業が再利用可能なエンタープライズIDストア（LDAP）をインストール済みである可能性もあります。

» デプロイメントは、『Oracle Enterprise Deployment Guide』に記載されているすべてのベスト・プラクティスに従います。

はじめにこのホワイト・ペーパーでは、以下のリファレンス・アーキテクチャのステップ・バイ・ステップの構築手順を説明します。これは、サポートされている唯一の実装ではありませんが、もっとも汎用的な実装の1つです。アーキテクチャは、次の3つのコンポーネントで構成されます。

» Oracle Fusion Middleware Identity and Access Managementの高可用性デプロイメント

» ID情報用の高可用性LDAPディレクトリ

» 高可用性データベース

高可用性データベースポリシーと状態の情報を保存するには、データベースが必要です。データベースは高可用性であり、データベースの障害によってID管理システムが停止しないようにする必要があります。

将来的に柔軟性を向上させ、近日中にサポート予定の統合マルチ・データセンター・ソリューションを促進するには、ドメインごとに異なるデータベースを使用することをお勧めします。

注：高可用性データベースの作成については、このドキュメントでは説明しません。


高可用性ディレクトリこのホワイト・ペーパーでは、次の種類のディレクトリをサポートします。

» Oracle Unified Directory（OUD）

» Oracle Internet Directory（OID）

ディレクトリは常に使用可能である必要があります。これは、Oracle Access Managementがディレクトリを参照して、ユーザーが特定のソースにアクセスできるかどうかを決定できるようにするためです。

ディレクトリをデプロイ済みである可能性は高いですが、そうでない場合は、このホワイト・ペーパーでディレクトリの作成方法を参照してください。

高可用性Identity Managementのデプロイメント Oracle Identity Managementには、ユーザー・プロビジョニングとアクセス管理という2つの機能があります。ユーザーがアプリケーションにアクセスできるようにするには、これらの機能が高可用性である必要があります。

可能であれば、管理機能（ユーザー・プロビジョニング）と運用機能（アクセス管理）を分けることが望まれます。これらの機能の可用性とパッチ適用の要件が異なる場合があるためです。このため、このホワイト・ペーパーでは、これらの機能を異なるドメインにデプロイして、個別に管理できるようにする方法を説明します。

また、Oracle Identity and Access Management のデプロイメントをサポートするための、ネットワーク、ファイル・システム、データベース、およびディレクトリの準備方法について説明します。さらに、この準備した環境にソフトウェアをインストールし、ドメインを作成および構成して各種コンポーネントをサポートし、すべてのコンポーネントを接続する方法についても説明します。

このホワイト・ペーパーでは構成手順の実行方法を示すために、例としての名前を使用しています。これらの名前は、自身のデプロイメントに適した名前に変更する必要があります。

エンタープライズ・デプロイメントのハードウェア要件 Linuxオペレーティング・システムでのエンタープライズ・デプロイメントのハードウェアの最小要件については、エンタープライズ・デプロイメントのハードウェア要件に関するドキュメントを参照してください。

注：以下のトポロジは、各コンポーネントが別々のサーバーに存在する、完全に分散したトポロジを示しています。より少ない台数のサーバーにコンポーネントを統合する場合は、これを簡単に実行でき、完全にサポートされています。

層ごとにロード、スループット、レスポンス・タイム、およびその他の要件を慎重に検討して、実際に必要な容量を計画します。必要なノード、CPU、メモリの数は、デプロイメント・プロファイルに基づいて、層ごとに異なる可能性があります。本番環境での要件は、アプリケーションとユーザー数によって変わる可能性があります。

このガイドで説明するエンタープライズ・デプロイメントの構成では、フェイルオーバー機能を実現するため、各層で2台のサーバーを使用します。ただし、このサーバー数は、あらゆるアプリケーションやユーザー数に適したコンピューティング・リソースを前提としたものではありません。システムのワークロードが増えてパフォーマンスが低下した場合は、2台目のサーバー（OHSHOST2、LDAPHOST2、LDAPHOST2、OIDDBHOST2）の手順を繰り返して構成にサーバーを追加し、必要に応じて追加のサーバーをインストールおよび構成できます。

http://docs.oracle.com/html/E38978_01/r2_im_requirements.htm


デプロイメント・トポロジ

Oracle Identity and Access Managementのトポロジ

図1.Oracle Identity and Access Managementのトポロジ

ディレクトリ層について

ディレクトリ層は、イントラネット・ゾーンにあります。ディレクトリ層は、すべてのLDAPサービスが存在するデプロイメント層です。この層には、Oracle Unified DirectoryやOracle Internet Directoryなどの製品が含まれます。ディレクトリ層はディレクトリ管理者によって管理され、エンタープライズLDAPサービスをサポートします。


ディレクトリ層は、データ層と緊密に関連しています。データ層へのアクセスが重要な理由は、次のとおりです。

» Oracle Internet Directoryは、そのバックエンドとしてOracle Databaseに依存しています。

場合によっては、同じ管理者グループがディレクトリ層とデータ層を管理します。ただし多くの企業では、データベース管理者はデータ層を、ディレクトリ管理者はディレクトリ層を担当します。

通常、ディレクトリ層上のアプリケーションはファイアウォールで保護され、所定のLDAPホスト・ポート経由でLDAPサービスにアクセスします。標準的なOracle Internet Directoryポートは、SSL以外のポートで3060、SSLポートで3061です。標準的なOracle Unified Directoryポートは、SSL以外のポートで1389、SSLポートで1636です。

LDAPサービスは、クライアント（イントラネット内の電子メール・クライアントなど）によるホワイト・ページの検索によく使用されます。このような場合は、業界標準ポートである389や636（ロードバランサで有効であり、通常は個々のディレクトリ・インスタンス用の特権のないポートにリダイレクトされます）を使用したい場合もあります。

ディレクトリには、ユーザーとグループに関するID情報が保存されます。

トポロジ図には、Oracle Unified DirectoryとOracle Internet Directory以外のLDAPディレクトリは表示されていませんが、Microsoft Active Directoryを使用してID情報を保存できます。これらの設定については、このホワイト・ペーパーでは説明しません。

Oracle Unified DirectoryにID情報を保存すると、この情報はBerkeleyデータベースのローカルに保存されます。高可用性を実現するため、この情報はOracle Unified Directoryレプリケーションによって他のOracle Unified Directoryインスタンスにレプリケートされます。

Oracle Unified DirectoryやOracle Internet Directoryは、LDAPHOST1とLDAPHOST2にインストールされます。LDAPリクエストは、ハードウェア・ロードバランサによって、これらのサーバー間で分散されます。

Oracle Directory Services Manager（ODSM）を使用してOracle Unified DirectoryまたはOracle Internet Directoryを管理する場合、Oracle Unified Directoryの場合はODSMをIAMAccessDomainに追加し、Oracle Internet Directoryの場合は別のドメインをLDAPHOST1とLDAPHOST2にインストールします。

このドキュメントでは、高可用性のOracle Unified DirectoryまたはOracle Internet Directoryの構成方法を説明します。

高可用性プロビジョニング

» Oracle Internet Directoryインスタンスは、アクティブ/アクティブ・デプロイメントです。

» Oracle Unified Directoryインスタンスは、アクティブ/アクティブ・デプロイメントです。

» LDAPHOSTでOracle Internet Directoryに障害が発生すると、Oracle Process Management and Notification（OPMN）サーバーによって再起動が試行されます。

LDAPHOSTでOracle Unified Directoryに障害が発生しても、自動的に再起動されることはありません。Oracle Unified Directoryは、存続しているインスタンスにリダイレクトされるリクエストに依存します。

アプリケーション層について

アプリケーション層は、Java EEアプリケーションがデプロイされる層です。Oracle Identity Manager、Oracle Access Managerなどの製品は、この層でデプロイできる主要なJava EEコンポーネントです。この層のアプリケーションは、Oracle WebLogic Serverの高可用性サポートによる利点を享受できます。


アプリケーション層のIdentity Managementアプリケーションは、ディレクトリ層と次のようにやり取りを行います。

» 企業ID情報のディレクトリ層を利用します。

» アプリケーション・メタデータのデータベース層を利用します。

» Oracle WebLogic Serverには、Webサーバーのサポートが組み込まれています。アプリケーション層にはHTTPリスナーも存在します（有効な場合）。ただし、ここに示されているエンタープライズ・デプロイメントの場合、顧客にはOracle HTTP ServerなどのWebサーバーに依存する別のWeb層があります。

アプリケーション層の状態は、次のとおりです。

» OAMHOST1とOAMHOST2には、インフラストラクチャの操作コンポーネントが含まれます。これらのコンポーネントは、Oracle Access Management Access Manager（OAM）です。これらのコンポーネントは、Oracle WebLogic Server内で実行されるJ2EEアプリケーションです。Oracle Access Managerは、ディレクトリ層と通信します。

» OIMHOST1とOIMHOST2には、Oracle Identity Managerや（ユーザー・プロビジョニング用の）Oracle BI Publisherなどの、Identity Managementの管理コンポーネントが含まれます。注：これらのサーバーでは、Oracle Identity Manager専用のOracle SOAも実行されます。

» Oracle Identity Manager（OIM）は、ディレクトリ層と通信します。

» OAMHOST1、LDAPHOST1、およびOIMHOST1（オプション）では、Oracle WebLogic管理サーバーが実行されます。管理サーバー内部は、Oracle WebLogic Console、Oracle Enterprise Manager Fusion Middleware Control、Oracle Access Managementコンソール、Oracle Unified DirectoryのODSM、およびOracle Identity Navigatorなどのドメインの管理コンポーネントです。WebLogic管理サーバーは、シングルトン・プロセスです。つまり、この管理サーバーは、同時に1台のサーバーでのみ起動できます。可用性を維持するため、OAMHOST2とOIMHOST2などのペアのホスト上で管理サーバーを起動できます。

» アプリケーション層を保護するファイアウォール上では、HTTPポートとOracle Access Protocol（OAP）ポートは開いています。Oracle Access Protocolポートによって、Web層のOracle HTTP Serverで実行されるOracle WebGateモジュールがAccess Managerと通信して、ユーザー認証などの操作を実行できます。

高可用性プロビジョニング

» Oracle Access Managerサーバーは、アクティブ-アクティブ・デプロイメントです。

» Oracle Access Managerサーバー、Oracle Identity Manager、およびOracle SOAは、アクティブ-アクティブ・デプロイメントです。これらのサーバーは、実行時にデータ層と通信します。

» WebLogic管理サーバーとOracle Enterprise Managerデプロイメントは、アクティブ-パッシブ（他のコンポーネントはアクティブ-アクティブ）です。ドメインごとに、1台の管理サーバーがあります。

» WebLogic管理サーバーは、アクティブ-パッシブ構成でデプロイされるシングルトン・コンポーネントです。プライマリ・ホストで障害が発生したり、LDAPHOST1上の管理サーバーが起動されなかったりした場合は、セカンダリ・ホスト上の管理サーバーを起動できます。WebLogicの管理対象サーバーで障害が発生すると、そのホスト上で実行されているノード・マネージャによって、そのサーバーの再起動が試行されます。

Web層について

Web層は、DMZパブリック・ゾーンにあります。HTTPサーバーはWeb層にデプロイされます。


多くののIdentity ManagementコンポーネントはWeb層なしで機能できますが、ほとんどのエンタープライズ・デプロイメントでは、Web層がある方が望まれます。Oracle Single Sign-OnやAccess Managerなどの製品を使用したエンタープライズ・レベルのシングル・サインオンをサポートするには、Web層が必要です。

Oracle Enterprise Manager Fusion Middleware ControlやOracle Directory Services ManagerなどのコンポーネントはWeb層なしで機能できますが、必要に応じてWeb層を使用するように構成できます。

Web層の状態は、次のとおりです。

» OHSHOST1とOHSHOST2には、Oracle HTTP Server、WebGate（Access Managerコンポーネント）、およびmod_wl_ohsプラグイン・モジュールがインストールされています。mod_wl_ohsプラグイン・モジュールによって、Oracle HTTP Serverからアプリケーション層で実行されるWebLogicサーバーに、リクエストをプロキシ処理できます。

» Oracle HTTP ServerのWebGate（Access Managerコンポーネント）では、Oracle Access Protocol（OAP）を使用して、Identity Management DMZのOAMHOST1とOAMHOST2で実行されるAccess Managerと通信します。WebGateとAccess Managerは、ユーザー認証などの操作の実行に使用されます。

» Web層を保護するファイアウォールでは、HTTPSのHTTPポートは443、HTTPのHTTPポートは80です。ポート443は開いています。

Oracle Mobile Security Access Server（Oracle MSAS）について

Mobile Security Access Serverを使用して、Oracle Mobile Securityクライアントとやり取りできます。

モバイル・クライアントは、httpsプロトコルを使用してロードバランサにアクセスします。次にロードバランサが、httpsを使用するMobile Security Access Serverにリクエストを転送します。その後Mobile Security Serverは、Oracle HTTP Server経由で、Oracle Mobile Securityの管理対象サーバーとやり取りします。これらのリクエストは、httpで送信されます。

図は、主要なOracle HTTP Server経由で送信されるこれらのリクエストを示しています。（WebGateが構成されていない）専用のOracle HTTP Serverにリクエストを転送するか、Mobile Securityの管理対象サーバーに別のロードバランサ経由で直接リクエストを転送して、パフォーマンスを上げることができます。

» Oracle MSASは、Oracle Mobile Security Manager（Oracle MSM）が停止しても、引き続き動作できます。これは、動作の切断モードと呼ばれます。このモードの場合、Oracle MSMのUIまたはWebLogic Scripting Tool（WLST）経由での管理/アーチファクトの変更を、Oracle MSASで取得することはできません。ただし、セキュリティは引き続き適用できます。

» 注：configMSASを実行してインスタンスを作成する場合、Oracle MSASでOracle MSMを常に実行しておく必要があります。したがって、Oracle MSASとOracle MSMを1回以上接続する必要があります。

» Oracle MSASには、ローカル・ファイル・ベースの永続キャッシュがあります。このため、Oracle MSASを停止してから再開しても、引き続き動作します。

» 認証（KINIT/PKINIT/OAuth）中に、Secure Mobile ContainerとOracle MSASの間で多くのメッセージがやり取りされます。認証プロセスでは最終的に、セッション・トークン（STOKEN）が作成されます。認証プロセス中（通常は1つのSSL接続）はLBRセッションがスティッキーである必要がありますが、その後のリクエストではスティッキーである必要はありません。

» Oracle MSASには専用の認証URLがあるため、Oracle MSASの認証URLはスティッキーです。

» 注：認証プロセス中にLBRがスティッキーでないと、認証が成功しない場合があります。

» Oracle MSASの物理インスタンス間には、セッション同期があります。このため、最初にHost#1で実行さ


れるOracle MSASインスタンスによってSTOKEN（セッション・トークン）が作成され、その後のロードバランシングによってモバイル・トラフィックがHost#2にルーティングされた場合、Host#2で実行されるOracle MSASインスタンスはSTOKENのHost#1に自動的に接続します。

» 注：（元のSTOKENがHost#1で作成された場合）Host#2はHost#1に1回以上接続する必要があるため、接続時にHost#1が稼働している必要があります。ただし、Host#2がHost#1に1回接続してしまえば、Host#1に障害が発生しても問題ありません。

» セッション同期を実行できるようにするには、ユーザーは再度ログインする必要があります。

» Oracle MSASの複数の物理インスタンス間のセッション同期は、HTTP（S）経由で実行されます。

» 認証の使用例によっては、Mobile Secure ContainerとOracle MSASの間で、一方向または双方向のSSLが必要です。Oracle MSASの物理インスタンスが、同じOracle MSASインスタンスID（1つの論理インスタンス）で構成されている場合は、すべての物理インスタンスに対して、SSLの証明書や鍵が自動的にレプリケートされます。

» Oracle MSASは、Oracle MSASの物理インスタンス・レベルで、障害からの自動リカバリをサポートしています。このため、Oracle MSASインスタンス（物理）を作成して実行すると、バックグラウンドで作成および実行されるハートビート・プロセスが開始されます。このハートビート・プロセスはインスタンスに対してローカルであり、Oracle MSASインスタンスの監視/pingによって、このインスタンスが有効であるかどうかの確認が行われます。有効でない場合は、Oracle MSASインスタンスの再起動が試行されます。Oracle MSASインスタンスの再起動の試行回数は構成できます。ハートビート・プロセスでは、UDPを使用してOracle MSASのpingが実行されます。

エンタープライズ・デプロイメントのネットワークの準備ロードバランサでは、さまざまな種類のネットワーク・トラフィックと監視用に、いくつかの仮想サーバーと関連ポートを構成する必要があります。これらの仮想サーバーは、実行するサービスの、適切なリアル・ホストとリアル・ポート用に構成する必要があります。また、リアル・ホストとリアル・ポートの可用性を監視できるようにロードバランサを構成し、サービスが停止した場合はこれらのホストやポートへのトラフィックをできるだけ早く停止できるようにすることも必要です。このように構成すれば、特定の仮想ホスト上の受信トラフィックが、他の層の使用できないサービスに転送されるのを防ぐことができます。

仮想サーバー Identity Managementのエンタープライズ・トポロジでは、次の仮想サーバー名を使用します。

» idstore.example.com

» iadadmin.example.com

» igdadmin.example.com

» igdinternal.example.com

» iadinternal.example.com

» login.example.com

» prov.example.com

» msas.example.com

仮想サーバー名はIPアドレスに関連付けて、DNSの一部となるようにしてください。Oracle Fusion


Middlewareが実行されるコンピュータで、これらの仮想サーバー名を解決できる必要があります。

ids tore.example.com

» この仮想サーバーは、LBR2で有効です。このサーバーは、すべてのIDストアのLDAPトラフィックのアクセス・ポイントとして機能します。SSLおよびSSL以外へのトラフィックが構成されています。クライアントは、アドレスを使用してこのサービスにアクセスします。

Oracle Unified Directoryのディレクトリ：

idstore.example.com:1636（SSL）およびidstore.example.com:1389（SSL以外）Oracle Internet Directoryのディレクトリ：

idstore.example.com:3060（SSL）およびidstore.example.com:3061（SSL以外）

» IDストアがOracle Internet Directoryにあって直接アクセスされる場合は、Oracle Internet DirectoryホストのOracle Internet Directoryプロセスのハートビートを監視します。Oracle Internet Directoryプロセスが1つのLDAPHOSTで停止したり、1つのLDAPHOSTが停止したりした場合は、ロードバランサが引き続き、使用可能なコンピュータにLDAPトラフィックをルーティングする必要があります。

» IDストアがOracle Internet Directoryにあって直接アクセスされる場合は、Oracle Internet DirectoryホストのOracle Unified Directoryプロセスのハートビートを監視します。Oracle Unified Directoryプロセスが1つのLDAPHOSTで停止したり、1つのLDAPHOSTが停止したりした場合は、ロードバランサが引き続き、使用可能なコンピュータにLDAPトラフィックをルーティングする必要があります。

iadadmin.example.com

» この仮想サーバーは、LBR1で有効です。IAMAccessDomainの管理サービスに転送されるすべての内部HTTPトラフィックのアクセス・ポイントとして機能します。クライアントからの受信トラフィックは、SSLに対応していません。このためクライアントは、アドレスiadadmin.example.com:80を使用してこのサービスにアクセスしてから、これらのトラフィックをOHSHOST1とOHSHOST2のポート7777に転送します。この仮想ホストでアクセスされるサービスには、WebLogic Administration Server Console、Oracle Enterprise Manager Fusion Middleware Control、およびOracle Unified DirectoryのOracle Directory Services Managerが含まれます。

» 外部トラフィックがこの仮想ホストを使用して/consoleと/emのURLにアクセスしないようにするルールを、ファイアウォール内で作成します。iadadmin.example.com仮想ホストでは、DMZ内のトラフィックのみが、これらのURLにアクセスできる必要があります。

igdadmin.example.com

» この仮想サーバーは、LBR1で有効です。IAMGovernanceDomainの管理サービスに転送されるすべての内部HTTPトラフィックのアクセス・ポイントとして機能します。クライアントからの受信トラフィックは、SSLに対応していません。このためクライアントは、アドレスigdadmin.example.com:80を使用してこのサービスにアクセスしてから、これらのトラフィックをOHSHOST1とOHSHOST2のポート7777に転送します。この仮想ホストでアクセスされるサービスには、WebLogic Administration Server Console、Oracle Enterprise Manager Fusion Middleware Controlが含まれます。

» 外部トラフィックがこの仮想ホストを使用して/consoleと/emのURLにアクセスしないようにするルールを、ファイアウォール内で作成します。igdadmin.example.com仮想ホストでは、DMZ内のトラフィックのみが、これらのURLにアクセスできる必要があります。

igdinternal.example.com

» この仮想サーバーは、LBR1で有効です。クライアントからの受信トラフィックは、SSLに対応していませ


ん。このためクライアントは、アドレスigdinternal.example.com:80を使用してこのサービスにアクセスしてから、これらのトラフィックをOHSHOST1とOHSHOST2のポート7777に転送します。Oracle SOAの管理対象サーバーは、この仮想ホストにアクセスして、Oracle Identity ManagerのWebサービスをコールバックします。

» 外部トラフィックがこの仮想ホストにアクセスしないようにするルールを、ファイアウォール内で作成します。igdinternal.example.com仮想ホストでは、DMZ内のトラフィックのみが、これらのURLにアクセスできる必要があります。

iadinternal.example.com

» この仮想サーバーは、LBR1で有効です。クライアントからの受信トラフィックは、SSLに対応していません。このためクライアントは、アドレスiadinternal.example.com:80を使用してこのサービスにアクセスしてから、これらのトラフィックをOHSHOST1とOHSHOST2のポート7777に転送します。Mobile Security Access Serverは、この仮想ホストを使用してOracle Mobile Security Managerにコールバックします。

» 外部トラフィックがこの仮想ホストにアクセスしないようにするルールを、ファイアウォール内で作成します。igdinternal.example.com仮想ホストでは、DMZ内のトラフィックのみが、これらのURLにアクセスできる必要があります。

login.example.com

» これは、 IAMAccessDomain 内のすべての Identity Management コンポーネント（ Oracle Access Managementなど）に対する仮想名です。

» この仮想サーバーは、LBR1で有効です。サービス上のシングル・サインオンに転送されるすべてのHTTPトラフィックのアクセス・ポイントとして機能します。クライアントからの受信トラフィックは、SSLに対応しています。このためクライアントは、アドレスlogin.example.com:443を使用してこのサービスにアクセスしてから、これらのトラフィックをOHSHOST1とOHSHOST2のポート7777に転送します。有効な保護リソースでのシングル・サインオンは、すべてこの仮想ホストでアクセスされます。

» ポート80とポート443の両方を使用して、ロードバランサでこの仮想サーバーを構成します。

» この仮想ホストは、リクエストのクライアントIPアドレスを保持するように構成する必要があります。一部のロードバランサでは、ロードバランサがリクエストの元のクライアントIPアドレスをX-Forwarded-ForのHTTPヘッダーに挿入できるようにすることで、この構成を実現します。

» この仮想ホスト名は、ガバナンス・ドメイン内のすべてのIDコンポーネントとガバナンス・コンポーネントに対するものです。

» この仮想サーバーは、サービス上のシングル・サインオンに転送されるすべてのHTTPトラフィックのアクセス・ポイントとして機能します。クライアントからの受信トラフィックは、SSLに対応しています。このためクライアントは、アドレスlogin.example.com:443を使用してこのサービスにアクセスしてから、これらのトラフィックをWEBHOST1とWEBHOST2のポート7777（WEB_HTTP_PORT）、またはOracle ExalogicのOracle HTTP ServerトポロジのOHSHOST1とOHSHOST2に転送します。有効な保護リソースでのシングル・サインオンは、すべてこの仮想ホストでアクセスされます。

» ポート80（HTTP_PORT）とポート443（HTTP_SSL_PORT）の両方を使用して、ロードバランサでこの仮想サーバーを構成します。

» この仮想サーバーは、ローカルまたは企業DNSで解決できる必要があります。

» この仮想ホストは、リクエストのクライアントIPアドレスを保持するように構成する必要があります。一部のロードバランサでは、ロードバランサがリクエストの元のクライアントIPアドレスをX-Forwarded-


ForのHTTPヘッダーに挿入できるようにすることで、この構成を実現します。

pro v.e xample.com

» これは、IAMGovernanceDomain内のすべてのIdentity Managementコンポーネント（Oracle Identity Managerなど）に対する仮想名です。

» この仮想サーバーは、LBR1で有効です。サービス上のシングル・サインオンに転送されるすべてのHTTPトラフィックのアクセス・ポイントとして機能します。クライアントからの受信トラフィックは、SSLに対応しています。このためクライアントは、アドレスlogin.example.com:443を使用してこのサービスにアクセスしてから、これらのトラフィックをOHSHOST1とOHSHOST2のポート7777に転送します。有効な保護リソースでのシングル・サインオンは、すべてこの仮想ホストでアクセスされます。

» ポート80とポート443の両方を使用して、ロードバランサでこの仮想サーバーを構成します。


» この仮想ホスト名は、ガバナンス・ドメイン内のすべてのIDコンポーネントとガバナンス・コンポーネントに対するものです。

» この仮想サーバーは、サービス上のシングル・サインオンに転送されるすべてのHTTPトラフィックのアクセス・ポイントとして機能します。クライアントからの受信トラフィックは、SSLに対応しています。このためクライアントは、アドレスlogin.example.com:443を使用してこのサービスにアクセスしてから、これらのトラフィックをWEBHOST1とWEBHOST2のポート7777（WEB_HTTP_PORT）、またはOracle ExalogicのOracle HTTP ServerトポロジのOHSHOST1とOHSHOST2に転送します。有効な保護リソースでのシングル・サインオンは、すべてこの仮想ホストでアクセスされます。

» ポート80（HTTP_PORT）とポート443（HTTP_SSL_PORT）の両方を使用して、ロードバランサでこの仮想サーバーを構成します。



ms as .example.com

» これは、Oracle Mobile Security Suiteとのすべての通信に対する仮想名です。

» この仮想サーバーは、すべてのOracle MSASプロキシ・トラフィックのアクセス・ポイントとして機能します。クライアントからの受信トラフィックは、SSLに対応しています。このためクライアントは、アドレスmsas.example.com:443を使用してこのサービスにアクセスしてから、これらのトラフィックをWEBHOST1とWEBHOST2のポート9001（MSAS_PROXY_PORT）に転送します。


ハードウェア・ロードバランサの構成ハードウェア・ロードバランサは、アプリケーション（この場合はOracle Identity and Access Management）へのリクエストを、アプリケーション・コンポーネントを構成する個々のホストに転送します。

ロードバランサは、仮想ホストで構成されます。各仮想ホストは、ロードバランサによって提供される異なるIPアドレスに関連付けられます。次に、ロードバランサの仮想ホストが、デプロイメント内のWebサー


バーを構成する元のサーバーのプールに関連付けられます。

ロードバランサを構成する場合は、前述のように、仮想サーバーごとに仮想ホストを設定する必要があります。

推奨トポロジ内には、ロードバランサ・デバイスが2台あります。1台のロードバランサは外部HTTPトラフィック用に、もう1台のロードバランサは内部LDAPトラフィック用に設定します。さまざまな理由から、デプロイメント内のロードバランサ・デバイスを1台にすることもできます。この構成はサポートされていますが、デプロイメントにおいては、この構成でセキュリティ上の問題がないかどうかを検討する必要があります。適切と判断できたら、関連するファイアウォール・ポートを開いて、さまざまなゾーン間でトラフィックを送信できるようにします。いずれの場合も、このロードバランサ・デバイスをフォルト・トレラント・モードでデプロイすることを強くお勧めします。

ロードバランサの要件

エンタープライズ・トポロジでは、外部ロードバランサを使用します。この外部ロードバランサには、次の機能が必要です。

» 仮想サーバー名を使って、リアル・サーバー・プールへのトラフィックのロードバランシングを行う機能：クライアントは、（実際のサーバー名の代わりに）仮想サーバー名を使用してサービスにアクセスします。その後、ロードバランサはプール内のサーバーに対するリクエストのロードバランシングを実行できます。

» ポート変換の構成。

» ポート（HTTPとHTTPS）の監視。

» 仮想サーバーとポートの構成：外部ロードバランサで仮想サーバー名とポートを構成する機能、および仮想サーバー名とポートは、次の要件を満たす必要があります。

» ロードバランサでは、複数の仮想サーバーを構成できる必要があります。仮想サーバーごとに、ロードバランサで複数のポートのトラフィック管理を構成できる必要があります。たとえばOracle WebLogicクラスタの場合、HTTPとHTTPSのトラフィック用の仮想サーバーとポートを使用して、ロードバランサを構成する必要があります。

» 仮想サーバー名はIPアドレスに関連付けて、DNSの一部にする必要があります。クライアントは、仮想サーバー名を使用して外部ロードバランサにアクセスできる必要があります。

» ノード障害を検出し、障害の発生したノードへのトラフィックのルーティングをすぐに停止する機能。

» リソースの監視/ポートの監視/プロセス障害の検出：ロードバランサは、（通知やその他の方法で）サービスとノードの障害を検出して、障害の発生したノードに対するOracle Net以外のトラフィックの転送を停止できる必要があります。外部ロードバランサで障害を自動的に検出できる場合は、この機能を使用してください。

» フォルト・トレラント・モード：ロードバランサをフォルト・トレラント・モードに構成することを強くお勧めします。

» スティッキーなルーティング機能：CookieやURLに基づいてコンポーネントとのスティッキーな接続を維持する機能。

» その他：ロードバランサの仮想サーバーは、トラフィックの転送先のバックエンド・サービスが使用できない場合は、呼出し元のクライアントにすぐ戻るように構成することを強くお勧めします。これは、クライアント・マシンのTCP/IP設定に基づくタイムアウト後にクライアントが自然に切断するよりも望ましい設定です。


» SSLアクセラレーション。これは、SSLトランザクションに含まれる公開鍵暗号化アルゴリズムをハードウェア・アクセラレータにオフロードすることを意味します。これは推奨機能ですが、必須ではありません。

» SSLリクエストをロードバランサで終了し、SSL以外の同等のプロトコルを使用して、バックエンド・リアル・サーバーにトラフィックを転送する機能。たとえばロードバランサでは、HTTPSリクエストをHTTPとして転送できる必要があります。この機能は、"SSL終了"とも呼ばれており、このエンタープライズ・デプロイメントで必要です。

» クライアントIPアドレスを保持する機能：ロードバランサには、リクエストの元のクライアントIPアドレスをX-Forwarded-For HTTPヘッダーに挿入して、クライアントIPアドレスを保持する機能が必要です。

» WL-Proxy-SSL: trueをHTTPリクエスト・ヘッダーに追加する機能：一部のロードバランサでは、この処理が自動的に実行されます。

ロードバランサの構成手順

ロードバランサの構成手順は、特定の種類のロードバランサによって異なります。実際の手順については、ベンダーが提供するドキュメントを参照してください。次の手順では、一般的な構成フローを説明します。

1. サーバーのプールを作成します。このプールには、ロードバランシングの定義に含まれるサーバーと

ポートのリストが含まれます。たとえば、Webホスト間のロードバランシングの場合、ポート7777上の

ホストOHSHOST1とOHSHOST2にリクエストを転送するサーバー・プールを作成します。

2. 特定のホストとサービスが使用可能であるかどうかを特定するルールを作成して、手順1のサーバー・

プールに割り当てます。

3. ロードバランサ上に仮想サーバーを作成します。これは、アプリケーションで使用されるリクエストを

受信するアドレスとポートです。たとえば、Web層のリクエストのロードバランシングを実行するには、

login.example.com:80の仮想ホストを作成します。

4. ロードバランサが仮想サーバーをサポートしている場合は、仮想サーバーを内部、外部、またはその両

方で使用できるかどうかを指定します。内部アドレスを、ネットワーク内部からのみ解決できることを

確認します。

5. 仮想サーバーにSSL終了を適用できる場合は、これを構成します。

6. 手順1で作成したサーバー・プールを仮想サーバーに割り当てます。

7. タイムアウト設定を調整します。この設定には、サービスが停止しているかどうかを検出する時間も含

まれます。


ロードバランサの構成

Identity Managementのデプロイメントの場合は、ロードバランサを次のように構成します。

表1：ロードバランサの構成

仮想ホストサーバー・プールプロトコル SSL終了外部コメント

login.example.com:443 OHSHOST1.example.com:7777 OHSHOST2.example.com:7777

HTTPS ありあり Identity Managementでは、次のコマンドをHTTPヘッダーに追加する必要

があります。

Header Name:IS_SSL Header Value: ssl Header Name:

WL-Proxy-SSL

Header Value: true

prov.example.com:443 OHSHOST1.example.com:7777 OHSHOST2.example.com:7777

HTTPS ありあり Identity Managementでは、次のコマンドをHTTPヘッダーに追加する必要

があります。

Header Name:IS_SSL Header Value: ssl Header Name:

WL-Proxy-SSL

Header Value: true

msas.example.com OHSHOST1.example.com:1491

OHSHOST2.example.com:14191

HTTPS なしあり

igdinternal.example.com:80 OHSHOST1.example.com:7777 OHSHOST2.example.com:7777

HTTP なしなし

iadinternal.example.com:80 OHSHOST1.example.com:7777 OHSHOST2.example.com:7777

HTTP なしなし

iadadmin.example.com:80 OHSHOST1.example.com:7777 OHSHOST2.example.com:7777

HTTP なしなし

igdadmin.example.com:80 OHSHOST1.example.com:7777 OHSHOST2.example.com:7777

HTTP なしなし

idstore.example.com:1389 (OUD)

LDAPHOST1.example.com:1389 LDAPHOST2.example.com:1389

LDAP なしなし Identity Managementユー

ザーがOracle Unified Directoryに保存されてい

る場合にのみ必要です

idstore.example.com:1636 (OUD)



ザーがOracle Unified Directoryに保存されてい


idstore.example.com:3060 (OID)



ザーがOracle Internet Directoryに保存されてい


idstore.example.com:3061 (OID)


LDAP なしなし Identity ManagementユーザーがOracle Internet Directoryに保存

されている場合にのみ必

要です


idmadmin.example.com:80 OHSHOST1.example.com:7777 OHSHOST2.example.com:7777

HTTP なしなし Oracle HTTP Server経由で、Oracle Internet Directory管理ドメインに

アクセスする場合にのみ

必要です。これは例外的

なケースです

IS_SSLの構成については、『Oracle Fusion Middleware Administrator's Guide for Oracle Access Manager with Oracle Security Token Service』を参照してください。

IPアドレスと仮想IPアドレスについて仮想IPアドレスは、ホストのプライマリIPアドレスと同じサブネットに属する、使用されないIPアドレスです。これはホストに手動で割り当てられ、Oracle WebLogicの管理対象サーバーは、このIPアドレスをリスニングするように構成されます。IPアドレスの割当て先のノードで障害が発生すると、そのIPアドレスは同じサブネット内の別のノードに割り当てられ、この新しいノードで、割り当てられた管理対象サーバーを実行できます。

Oracle Identity Managementで必要な仮想IPアドレスのリストは、次のとおりです。

» iadadminvhn.example.com エンタープライズ・デプロイメントでは、WebLogic管理サーバーが存在するホストで障害が発生しても、この管理サーバーで処理を継続できる必要があります。アプリケーション層で仮想IPアドレスをプロビジョニングして、アプリケーション層のすべてのホストのネットワーク・インタフェースにバインドできるようにします。後でWebLogic管理サーバーを構成して、この仮想IPアドレスをリスニングするようにします。この方法については、後で説明します。仮想IPアドレスのフェイルオーバーは、OAMHOSTからOAMHOST2（またはその逆）の管理サーバーと一緒に実行されます。

» idmadminvhn.example.com エンタープライズ・デプロイメントでは、WebLogic管理サーバーが存在するホストで障害が発生しても、この管理サーバーで処理を継続できる必要があります。アプリケーション層で仮想IPアドレスをプロビジョニングして、アプリケーション層のすべてのホストのネットワーク・インタフェースにバインドできるようにします。後でWebLogic管理サーバーを構成して、この仮想IPアドレスをリスニングするようにします。この方法については、後で説明します。仮想IPアドレスのフェイルオーバーは、LDAPHOSTからLDAPHOST2（またはその逆）の管理サーバーと一緒に実行されます。

» igdadminvhn.example.comエンタープライズ・デプロイメントでは、WebLogic管理サーバーが存在するホストで障害が発生しても、この管理サーバーで処理を継続できる必要があります。アプリケーション層で仮想IPアドレスをプロビジョニングして、アプリケーション層のすべてのホストのネットワーク・インタフェースにバインドできるようにします。後でWebLogic管理サーバーを構成して、この仮想IPアドレスをリスニングするようにします。この方法については、後で説明します。仮想IPアドレスのフェイルオーバーは、OIMHOST1からOIMHOST2（またはその逆）の管理サーバーと一緒に実行されます。

» oimhostxvhnx.example.com 以下のサーバーごとに、仮想IPアドレスが1つ必要です。

» Oracle Identity Managerの管理対象サーバー

» Oracle SOAの管理対象サーバー

» Oracle BIの管理対象サーバー

これで、サーバーをサーバー移行に加えることができます。アプリケーション層で仮想IPアドレスをプロビジョニングして、アプリケーション層のすべてのホストのネットワーク・インタフェースにバインドできるようにします。

» 管理サーバーと管理対象サーバーを構成して、以下のように、さまざまな仮想IPや物理IPをリスニングす


るようにします。

IPとVIPのマッピング

図2.IPとVIPのマッピング

表2：仮想ホスト/IPアドレスの説明

仮想IP 仮想IPのマッピング先説明

VIP1 IADADMINVHN IADADMINVHNは、管理サーバーのリスニング・アドレスである仮想ホスト名であり、管理サーバーの手動フェイル

オーバーによってフェイルオーバーされます。IADADMINVHNは、管理サーバー・プロセスが実行されているノード

（デフォルトではOAMHOST1）で有効です。

VIP2 IGDADMINVHN IGDADMINVHNは、Oracle Identity Managerの管理サーバーのリスニング・アドレスである仮想ホスト名であり、管

理サーバーの手動フェイルオーバーによってフェイルオーバーされます。 IGDADMINVHNは、Oracle Identity Managerの管理サーバー・プロセスが実行されているノード（デフォルトではOIMHOST1）で有効です。

VIP3 OIMHOST1VNH1 OIMHOST1VNH1は、WLS_OIM1サーバーのリスニング・アドレスにマッピングされている仮想ホスト名であり、こ

のサーバーのサーバー移行によってフェイルオーバーされます。OIMHOST1VNH1は、WLS_OIM1プロセスが実行さ

れているノード（デフォルトではOIMHOST1）で有効です。

VIP4 OIMHOST1VHN2 OIMHOST1VHN2は、WLS_SOA1のリスニング・アドレスにマッピングされている仮想ホスト名であり、この管理対

象サーバーのサーバー移行によってフェイルオーバーされます。OIMHOST1VHN2は、WLS_SOA1プロセスが実行さ


VIP5 OIMHOST1VHN3 OIMHOST2VHN3は、WLS_BI1のリスニング・アドレスにマッピングされている仮想ホスト名であり、この管理対象

サーバーのサーバー移行によってフェイルオーバーされます。OIMHOST1VHN3は、WLS_BI1プロセスが実行されて

いるノード（デフォルトではOIMHOST1）で有効です。

VIP6 OIMHOST2VNH1 OIMHOST2VHN1は、WLS_OIM2サーバーのリスニング・アドレスにマッピングされている仮想ホスト名であり、こ

のサーバーのサーバー移行によってフェイルオーバーされます。OIMHOST2VNH1は、WLS_OIM2プロセスが実行さ


VIP7 OIMHOST2VHN2 OIMHOST2VHN2は、WLS_SOA2のリスニング・アドレスにマッピングされている仮想ホスト名であり、この管

理対象サーバーのサーバー移行によってフェイルオーバーされます。OIMHOST2VHN2は、WLS_SOA2プロセス

が実行されているノード（デフォルトではOIMHOST2）で有効です。

VIP8 OIMHOST2VHN3 OIMHOST2VHN3は、WLS_BI2のリスニング・アドレスにマッピングされている仮想ホスト名であり、この管理

対象サーバーのサーバー移行によってフェイルオーバーされます。OIMHOST2VHN3は、WLS_BI2プロセスが実

行されているノード（デフォルトではOIMHOST2）で有効です。


インストールを開始する前に、次のように自分のVIPを作成して割り当てます。

VIP 有効であるホスト

IADADMINVHN.example.com. OAMHOST1

IGDADMINVHN.example.com. OIMHOST1

OIMHOST1VHN1.example.com OIMHOST1






表3：ホストへの仮想IPアドレスのマッピング

注：

» これらの名前は、DNSにある必要があります。

» れは、浮動IPアドレスに関連付けられたDNS名です。ロードバランサで構成された仮想ホストのDNS名ではありません。

仮想IPアドレスの有効化

特定のサーバーで仮想IPアドレスを有効にするには、以下の手順に従います。

Linux

仮想IPアドレスを有効にするには、rootとして次のコマンドを実行します。 /sbin/ifconfig interface:index IPAddress netmask

/sbin/arping -q -U -c 3 -I interface IPAddress

ここでインタフェースはeth0、eth1など、インデックスは0、1、2などです。例： /sbin/ifconfig eth0:1 100.200.140.206 netmask 255.255.255.0

ネットワークで仮想IPアドレスの新しい場所を登録できるように、次のようなコマンドを実行します。 /sbin/arping -q -U -c 3 -I eth0 100.200.140.206

別のノードからpingを実行してアドレスが利用可能であることを確認するために、次のようなコマンドを実行します。

/bin/ping 100.200.140.206

ファイアウォールとポートの構成について Oracle Fusion Middlewareの多くのコンポーネントやサービスで、ポートが使用されます。管理者として、これらのサービスで使用されるポート番号を把握しておく必要があります。また、1つのホスト上の2つのサービスで、同じポート番号が使用されないようにしてください。

ほとんどのポート番号は、インストール中に割り当てられます。ここで示すポート番号は一例です。このガイドでは、一貫してこれらの番号を使用します。別のポート番号を使用する場合は、使用時には必ず、その値を表中の値と置き換える必要があります。


次の表は、Oracle Identity Managementトポロジで使用するポートを示しています。トポロジ中のファイアウォールで開く必要があるポートも含まれます。

ファイアウォールの表記法：

FW0は、一番外側のファイアウォールを示しています。

FW1は、Web層とアプリケーション層の間のファイアウォールを示しています。FW2は、アプリケーション層とディレクトリ層の間のファイアウォールを示しています。

表4：Oracle Identity Managementのエンタープライズ・デプロイメント・トポロジで使用されるポート

種類ファイアウォールポートとポート範囲

プロトコル/アプリケーションインバウンド/ アウトバウンド

タイムアウト

ブラウザ・リクエスト FW0 80 HTTP/ロードバランサ両方タイムアウトは、Oracle Identity Managementで使用されるすべての

HTMLコンテンツとプロセス・モデルの

種類によって異なります。

ブラウザ・リクエスト FW0 443 HTTPS/ロードバランサ両方タイムアウトは、Oracle Identity Managementで使用されるすべての

HTMLコンテンツとプロセス・モデルの

種類によって異なります。

ブラウザ・リクエスト FW1 80 HTTP/ロードバランサアウトバウンド（イ

ントラネット・クラ

イアントの場合）

タイムアウトは、Oracle Identity Management（Oracle IDM）で使用される

すべてのHTMLコンテンツとプロセス・モ

デルの種類によって異なります。

ブラウザ・リクエスト FW1 443 HTTPS/ロードバランサアウトバウンド（イ

ントラネット・クラ

イアントの場合）

タイムアウトは、Oracle IDMで使用され

るすべてのHTMLコンテンツとプロセ

ス・モデルの種類によって異なります。

Oracle HTTP Serverへのロードバランサ

N/A 7777 HTTP N/A

Mobile Security Access Serverへの

ロードバランサ

N/A 9001 HTTPS

管理サーバーを使った

Oracle HTTP Serverの登録

FW1 7001 HTTP/t3 インバウンドタイムアウトは、短時間（5～10秒）に

設定します。

Web層からの、Oracle WebLogic管理サーバー

のアクセス

FW1 7001 HTTP/Oracle HTTP Serverおよび管理サー

バー

インバウンド N/A

Web層からの、Oracle WebLogic管理サーバー

のアクセス

FW1 7101 HTTP/Oracle HTTP Serverおよび管理サー

バー

インバウンド N/A

Enterprise Managerエー

ジェント - Enterprise ManagerへのWeb層

FW1 5160 HTTP/Enterprise Managerエージェントと

Enterprise Manager

両方 N/A

WLS_OAMへのOracle HTTP Server

FW1 14100 WebLogic Serverへの

HTTP/Oracle HTTP Server

インバウンドタイムアウトは、使用する

mod_weblogicパラメータによって異な

ります。

WLS_AMAへのOracle HTTP Server





ります。

Oracle HTTP Server WLS_OIM





ります。


Oracle HTTP Server WLS_SOA



両方タイムアウトは、使用する


ります。

Oracle HTTP Server WLS_BI





ります。

管理サーバーによる

Oracle HTTP Serverの管理

FW1 OPMN

リモート・

ポート

（6701）と

Oracle HTTP Server管理

ポート

（7779）

（個別）

TCPとHTTP

アウトバウンドタイムアウトは、短時間（5～10秒な

ど）に設定します。

Oracle Access Managerサーバー

FW1 5574-5575 Oracle Access Protocol 両方 N/A

Access Manager Coherenceポート

FW1 9095 TCMP 両方 N/A

Oracle Coherence ポート

FW1 8000～8088

TCMP 両方 N/A

IAMAccessDomainの、

ディレクトリ層からの

Oracle WebLogic管理

サーバーのアクセス

FW2 7001 HTTP/Oracle Internet Directory、Oracle Virtual Directory、管理サーバー

アウトバウンド N/A

Enterprise Manager Agent - Enterprise Managerへのディレクト

リ層

FW2 5160 HTTP/Enterprise Manager AgentとEnterprise Manager

両方 N/A

IAMGovernanceDomainの、ディレクトリ層か

らのOracle WebLogic管理サーバーのアクセス

FW2 7101 HTTP/Oracle Internet Directory、Oracle Virtual Directory、管理サーバー

アウトバウンド N/A

ディレクトリ層での

OPMNのアクセス FW2 OPMN

リモート・

ポート

OPMN への HTTP/ 管理

サーバーインバウンド N/A

データベース・アクセス

FW2 1521 SQL*Net 両方タイムアウトは、 Oracle Identity Managementで使用されるすべてのデー

タベース・コンテンツとプロセス・モ

デルの種類によって異なります。

Oracle Internet Directoryアクセス

FW2 3060 LDAP インバウンドロードバランサに基づいてディレクト

リ・サーバーのパラメータを調整しま

す（その逆はありません）。これらの

接続は、タイムアウトしないように構

成するのが理想的です。

Oracle Internet Directoryアクセス

FW2 3061 LDAP SSL インバウンドロードバランサに基づいてディレクト





Oracle Unified Directoryアクセス

FW2 1389 LDAP インバウンドロードバランサに基づいてディレクト






Oracle Unified Directoryアクセス

FW2 1636 LDAP SSL インバウンドロードバランサに基づいてディレクト





WebLogic Serverクラス

タ内のセッション・レ

プリケーション

N/A N/A N/A N/A デフォルトでは、この通信ではサー

バーのリスニング・アドレスと同じ

ポートが使用されます。

ノード・マネージャ N/A 5556 TCP/IP N/A N/A

注：外部ドメイン（Oracle SOAドメインやOracle WebCenter Portalドメインなど）で、アプリケーションがこのIdentity Managementドメインに対して認証できるようにするには、ファイアウォール間で追加のポートを開くことが必要な場合があります。

エンタープライズ・デプロイメントのストレージの準備エンタープライズ・デプロイメントを理解、構成、管理しやすくなるようにファイル・システムを設定することが重要です。この章の情報に従ってファイル・システムを設定することをお勧めします。この章で定義されている用語は、ガイド全体の図と手順で使用されます。

インストールと構成の手順で使用するディレクトリ変数については、この章を参照してください。その他のディレクトリ・レイアウトも可能でサポートされています。ただし、このガイドで採用しているモデルは可用性が最高となるように選択したもので、コンポーネントの最高の独立性と構成の対称性、および簡単なバックアップとディザスタ・リカバリを同時に実現できます。このドキュメントでは、以後、このディレクトリ構造とディレクトリ用語を使用します。

ディレクトリとディレクトリ変数の用語ここでは、このガイド全体で使用するOracle Identity Managementエンタープライズ・デプロイメントの構成用のディレクトリ変数について説明します。これらの変数を、環境変数として設定する必要はありません。次のディレクトリ変数は、このガイドでインストールおよび構成するディレクトリの説明に使用します。

» ORACLE_BASE：この環境変数および関連するディレクトリ・パスは、Oracle製品のインストール先のベース・ディレクトリを示します。例：u01/oracle

» MW_HOME：この変数および関連するディレクトリ・パスは、Oracle Fusion Middlewareが存在する場所を示します。 MW_HOME には 1 つの WL_HOME 、 ORACLE_COMMON_HOME 、および 1 つ以上のORACLE_HOMEがあります。

» 製品スイートごとに、異なるMW_HOMEがあります。

» このガイドでは、製品スイートの略語の後にこの値が付く場合があります。たとえば、DIR_MW_HOME、IAD_MW_HOME、IGD_MW_HOME、WEB_MW_HOMEのようになります。

» WL_HOME：この変数および関連するディレクトリ・パスには、WebLogicサーバーをホストするのに必要なインストール済みファイルが含まれます。WL_HOMEディレクトリは Oracleホーム・ディレクトリのピアであり、MW_HOME内に存在します。

» ORACLE_HOME：この変数は、Oracle Fusion Middleware製品が存在する場所を示します。たとえば、Oracle HTTP ServerやOracle SOA Suiteがインストールされていて、その製品のバイナリが現在のプロシージャで使用されている場所などです。このガイドでは、製品スイートの略語の後にこの値が付く場合があります。たとえば、 IAD_ORACLE_HOME 、 IGD_ORACLE_HOME 、 WEB_ORACLE_HOME 、


WEBGATE_ORACLE_HOME、SOA_ORACLE_HOME、OUD_ORACLE_HOMEのようになります。

» ORACLE_COMMON_HOME：この変数および関連するディレクトリ・パスは、Oracle Fusion Middlewareの一般的なJava Required Files（JRF）ライブラリとOracle Fusion Middleware Enterprise Managerのライブラリがインストールされている場所です。たとえば、MW_HOME/oracle_commonなどです。

» ORACLE_INSTANCE：Oracleインスタンスには、Oracle Web CacheやOracle HTTP Serverなどのシステム・コンポーネントが1つ以上含まれます。Oracleインスタンス・ディレクトリには、構成ファイル、ログ・ファイル、一時ファイルなどの更新可能なファイルが含まれます。

» このガイドでは、製品スイートの略語の後にこの値が付く場合があります。たとえば、WEB_ORACLE_INSTANCEのようになります。

» JAVA_HOME：これは、Oracle JDKがインストールされている場所です。

» ASERVER_HOME：このパスは、Oracle WebLogicのドメイン情報（構成アーチファクト）が保存されているファイル・システムの場所を示します。

» 使用するドメインごとに、異なるASERVER_HOMEがあります。具体的には、IGD_ASERVER_HOMEやIAD_ASERVER_HOMEなどです。

» MSERVER_HOME：このパスは、Oracle WebLogicのドメイン情報（構成アーチファクト）が保存されているローカル・ファイル・システムの場所を示します。このディレクトリは、パック/アンパック・ユーティリティで生成される、ASERVER_HOMEのサブセットです。これは、管理対象サーバーの起動と停止に使用されます。管理サーバーは、引き続きASERVER_HOMEディレクトリから起動されます。

» 使用するドメインごとに、異なるMSERVER_HOMEがあります。これは、必要に応じて管理対象サーバーの起動と停止に使用できます。

» WEBGATE_ORACLE_HOME：WebGateのインストール場所です。

» REPOS_HOME：ソフトウェア・リポジトリの場所です。

ファイル・システムについてストレージにパーティションを作成した後は、パーティション上にファイル・システムを置いて、Oracleファイルを保存できるようにする必要があります。ローカル接続または直接接続の共有ストレージの場合、ファイル・システム・タイプはオペレーティング・システムのデフォルト・タイプである可能性が高くなります。たとえば、Linuxの場合はEXT3です。

共有ストレージがネットワーク接続ストレージ（NAS）であり、複数のホストによって排他的または同時にアクセスされる場合、サポートされているクラスタ・ファイル・システム（NFSバージョン3または4など）を使用する必要があります。このようなファイル・システムには、競合を解消およびロックする機能があります。

さまざまなディレクトリの推奨場所について

バイナリ（ミドルウェア・ホーム）ディレクトリの推奨事項

バイナリ（ミドルウェア・ホーム）ディレクトリについて

Oracle Fusion Middleware製品をインストールする場合は、ミドルウェア・ホームに製品バイナリをインストールします。ミドルウェア・ホームにインストールされるバイナリ・ファイルは読取り専用であり、ミドルウェア・ホームのパッチ適用や新しいバージョンへのアップグレードが実行されない限り、変更されるこ


とはありません。

一般的な本番環境では、Oracle Fusion Middleware構成ウィザードを使用して作成するミドルウェア・ホーム・ファイルは、ドメイン構成ファイルとは別の場所に保存されます。

Oracle Fusion Middlewareインストールのミドルウェア・ホームには、Oracle WebLogic Serverのバイナリ、Oracle Fusion Middlewareインフラストラクチャ・ファイル、およびOracle Fusion Middleware製品固有のディレクトリが含まれます。

LDAPHOSTがアプリケーション・ホストとは別のゾーンにある場合、ゾーン間でバイナリのインストール場所を共有しないでください。このモデルでは、まだ共有可能なLDAPバイナリ用に別の場所を用意して、SAN上にバイナリ用の共有を2つ（アプリケーション層バイナリとディレクトリ・バイナリ用）を作成することをお勧めします。1つ目の共有はアプリケーション層サーバーに、2つ目の共有はディレクトリ層サーバーにマウントされます。異なる共有でも、同じマウント・ポイントを使用してサーバーにマウントされます。例：/u01/oracle/products

Web層のバイナリは共有されません。これらのバイナリはローカル・ストレージに配置されるため、SANストレージをDMZにマウントする必要はありません。

1つのミドルウェア・ホームの共有について

Oracle Fusion Middlewareを使用すると、Oracle WebLogic Serverの複数のドメインを1つのミドルウェア・ホームから構成できます。このため、共有ボリュームの1つの場所にミドルウェア・ホームをインストールして、そのミドルウェア・ホームを複数のホストのインストールで再利用できます。

別々のホストの複数のサーバーでミドルウェア・ホームを共有している場合は、いくつかのベスト・プラクティスを覚えておいてください。特に、各ホストのOracle Inventoryが一貫性とパッチ適用のために更新されるようにしてください。

ホストのoraInventoryを更新して、共有ストレージのミドルウェア・ホームを接続するには、次のコマンドを使用します。

ORACLE_HOME/oui/bin/attachHome.sh

冗長バイナリ（ミドルウェア・ホーム）ディレクトリの使用について

可用性を最大化するには、共有ストレージで冗長バイナリ・インストールを使用することをお勧めします。

このモデルでは、Oracle Fusion Middlewareソフトウェアの2つの同じミドルウェア・ホームを、2つの異なる共有ボリュームにインストールします。その後、このミドルウェア・ホームの1つを1つのサーバー・セットにマウントし、もう1つのミドルウェア・ホームを残りのサーバーにマウントします。各ミドルウェア・ホームのマウント・ポイントは同じであるため、サーバーがどのミドルウェア・ホームを使用しているかに関わらず、ミドルウェア・ホームのパスは常に同じです。

1つのミドルウェア・ホームが破損したり使用できなくなったりした場合、半数のサーバーのみが影響を受けます。保護を強化するため、これらのボリュームのディスクをミラー化することをお勧めします。

共有ストレージの別々のボリュームが使用できなくなった場合は、同じボリューム内の異なるディレクトリを使用して個別のボリュームをシミュレートし、これらのボリュームをホスト側の同じマウント場所にマウントすることをお勧めします。

この方法では、複数ボリュームによる保護は保証できませんが、ユーザーの削除や個々のファイルの破損が発生しないように保護することはできます。

通常は、次の手順を実行してデプロイメント後に設定できます。


1. バイナリの新しい共有ボリュームを作成します。

2. マウント済みの元のボリュームは、そのまま奇数番号のサーバー（OAMHOST1、OIMHOST1など）に置

いておきます。

3. 新しいボリュームを、マウント済みの偶数サーバー（OAMHOST2、OIMHOST2など）の同じ場所にマウ

ントします。

4. 奇数番号のホストから偶数番号のホストにファイルをコピーすることで、ボリューム1のファイルをボ

リューム2にコピーします。

ライフサイクル・リポジトリについて

ライフサイクル・リポジトリには、デプロイメント・ツールやパッチ適用ツールなどのライフサイクル管理ツールが含まれます。また、インストールするソフトウェアと適用するパッチが含まれる、ソフトウェア・リポジトリも含まれます。このガイドでは自動デプロイメント・ツールは使用しませんが、ソフトウェア・リポジトリは使用します。ライフサイクル管理ツールを使用したい場合は、『エンタープライズ・デプロイメント・ガイド』を参照してください。

プロビジョニング中は、トポロジ内のすべてのホストにライフサイクル・リポジトリをマウントすることをお勧めします。この操作を実行すると、別のホストで実行されている可能性がある別のプロセス手順が使用できるこの場所に、デプロイメント・プロセスでファイルを置くことができます。リポジトリを一元化すると、プロビジョニング・プロセス中にファイルを手動でコピーする必要がなくなります。

また、リポジトリの一元化は、パッチ適用でも重要です。リポジトリが必要なのは、プロビジョニングやパッチ適用の実行時だけです。それ以外の場合は、ゾーン間のセキュリティを維持しながら、このディスク共有をいずれかの（またはすべての）ホストからアンマウントできます。

共有ライフサイクル・リポジトリの利点は次のとおりです。

1. ソフトウェアの場所が1つになります。

2. デプロイメント・プロビジョニングが簡単になります。

3. パッチ適用が簡単になります。

組織によっては、（初期のプロビジョニング中やパッチ適用のためだけであっても）ゾーン間のファイル・システムのマウントを禁止している場合があります。この場合は、デプロイメント・プロビジョニングの開始時にソフトウェア・リポジトリを複製して、デプロイメント・プロセス中に多くのファイルを手動でコピーする必要があります。

このガイドでは、簡素化のために、単一の共有ライフサイクル・リポジトリの使用をお勧めします。これができない場合は、ソフトウェアのインストール先の各ノードに、ソフトウェア・リポジトリをコピーします。

ドメイン構成ファイルの推奨事項

Oracle WebLogic Serverの管理サーバーおよび管理対象サーバーのドメイン構成ファイルについて

Oracle Fusion Middleware製品を構成する場合は、Oracle WebLogic Serverドメインを作成または拡張します。Oracle WebLogic Serverドメインは、それぞれ1台の管理サーバーと1台以上の管理対象サーバーで構成されます。

エンタープライズ・デプロイメントでは、ドメイン内の管理対象サーバーを、アクティブ-アクティブの高可用性で構成できることを理解することが重要です。ただし、管理サーバーをこのように構成することはできません。管理サーバーは、シングルトン・サービスです。つまり、管理サーバーがアクティブになれるのは、常に1つのホスト上のみです。


ASERVER_HOMEは、ドメイン構成のプライマリ・ロケーションです。MSERVER_HOMEは、管理対象サーバーの起動および停止用のドメイン構成のコピーです。WebLogic管理サーバーでは、ASERVER_HOMEドメイン構成に適用される構成変更が、ドメインの一部として登録済みのすべてのMSERVER_HOME構成ディレクトリに自動的にコピーされます。ただし、MSERVER_HOMEディレクトリには、管理対象サーバー固有のデプロイメントとデータも含まれます。このため、バックアップの実行時には、ASERVER_HOMEとMSERVER_HOMEの両方を含める必要があります。

管理サーバーのドメイン構成ファイルの、共有ストレージの要件

管理サーバーの構成ファイルは、共有ストレージに存在する必要があります。これで、プライマリ・ホストが使用できなくなっても、管理サーバーを別のホストで起動できます。管理サーバー・ファイルが置かれているディレクトリは、ASERVER_HOMEディレクトリと呼ばれます。このディレクトリは共有ストレージにあり、アプリケーション層の各ホストにマウントされます。

管理対象サーバーの構成ファイルは、競合に関連するパフォーマンスの問題を防ぐために、ローカル・ストレージに存在する必要があります。管理対象サーバーの構成ファイルが置かれているディレクトリは、MSERVER_HOMEディレクトリと呼ばれます。管理対象サーバーのドメイン構成ファイルは、ローカル・ストレージに置くことを強くお勧めします。

管理対象サーバーのドメイン構成ファイルのローカル・ストレージの要件

共有ストレージを使用する必要がある場合は、ノードごとにストレージ・パーティションを作成して、そのストレージをそのノードに排他的にマウントすることをお勧めします。

このエンタープライズ・デプロイメント・トポロジの構成手順では、各ノードのローカル・ドメイン・ディレクトリを各管理対象サーバーで使用することを前提としています。

JMSファイル・ストアおよびトランザクション・ログの共有ストレージの推奨事項

JMSファイル・ストアとJTAトランザクション・ログは、共有ストレージに置く必要があります。サーバーの障害発生時や移行時に、複数のホストからリカバリに使用できるようにするためです。

Oracle BI Publisherの構成ファイルの共有ストレージの推奨事項

Oracle BIの構成リポジトリと、スケジューラ構成のJMS一時ディレクトリは、共有ストレージに置く必要があります。これらのディレクトリは、Oracle BI Publisherのすべてのノード間のデータおよびドキュメント情報のやり取りに使用されるため、Oracle BI Publisherのすべてのノードからアクセスできる必要があります。構成リポジトリには、Oracle BI Publisherで設定するすべての構成、セキュリティ、データソースなどが含まれます。また、構成リポジトリ・フォルダには、レポートとデータ・モデルも含まれます。

Oracle BI Scheduler構成の共有ディレクトリは、ジョブの実行中にスケジューラで使用されるデータやファイルを一時的に保存するためのものです。ジョブが完了すると、ジョブの一時データは削除されます。

推奨されるディレクトリの場所

ライフサイクル管理およびデプロイメント・リポジトリ

ライフサイクル管理ツールとデプロイメント・リポジトリを保持するには、別々の共有が必要です。この共有は、デプロイメントとその後のパッチ適用の間のみ必要となります。デプロイメントが完了すれば、各ホストからこの共有をアンマウントできます。

プロビジョニング中は、この共有をすべてのホストにマウントすることが理想的です。こうしておけば、プロビジョニング・プロセスが簡単になります。Web層で必要なキーストアなどのファイルを手動でコピーする必要がないためです。（デプロイメント中でも）Web層のホストでLCM_HOMEを共有することが禁止されている組織の場合は、DMZホスト上でこの共有のコンテンツのローカル・コピーを作成し、デプロイメン


ト中にファイルを手動でコピーする必要があります。

図3.デプロイメント・リポジトリ

共有ストレージエンタープライズ・デプロイメントでは、以下の表のボリュームを、共有ストレージで作成することをお勧めします。共有ストレージは、排他的また共有でマウントできます。共有ストレージを排他的にマウントすると、同時に1つのホストにのみマウントされます（これは通常、アクティブ/パッシブ・フェイルオーバーに使用されます）。

スケール・アウトまたはスケール・アップする場合は、追加のソフトウェアをインストールせずに、同じ種類の追加サーバーに共有MW_HOMEを使用できます。

表4：共有ストレージ上のボリューム

環境変数ボリュームマウント・ポイントマウント先のホスト排他

SW_ROOT バイナリ /u01/oracle/products OAMHOST1 OAMHOST2 OIMHOST1

OIMHOST2

なし

SHARED_CONFIG_DIR sharedConfig /u01/oracle/config OAMHOST1 OAMHOST2 OIMHOST1 OIMHOST2 なし

DIR_MW_HOME dirBinaries /u01/oracle/products LDAPHOST1 LDAPHOST2 なし


図4.共有ストレージ

プライベート・ストレージエンタープライズ・デプロイメントでは、プライベート・ストレージに次のディレクトリを作成することをお勧めします。プライベート・ストレージはローカル・ディスク、またはホストに排他的にマウントされたSAN上のディスク・ボリュームです。

表5：プライベート・ストレージ・ディレクトリ

層環境変数ディレクトリホスト

Web層 WEB_MW_HOME /u01/oracle/products OHSHOST1 OHSHOST2

Web WEB_ORACLE_INSTANCE /u02/private/oracle/config/instances/ohsn OHSHOST1 OHSHOST2

ディレクトリ LDAP_ORACLE_INSTANCE /u02/private/oracle/config/instances/oidn

/u02/private/oracle/config/instances/oudn

LDAPHOST1 LDAPHOST2

アプリケーション IAD_MSERVER_HOME /u02/private/oracle/config/domains/IAMAccess Domain

OAMHOST1 OAMHOST2 OAMHOST1 OAMHOST2

アプリケーション IGD_MSERVER_HOME /u02/private/oracle/config/domains/IAMGovernanceDomain

OIMHOST1 OIMHOST2


図5：プライベート・ストレージ

図6：プライベート・バイナリ・ストレージ

エンタープライズ・デプロイメントのサーバーの構成

サーバー構成の概要新しいハードウェアにOracle Fusion Middlewareをデプロイする前に、使用予定のサーバーを設定して、Oracleソフトウェアが最適な状態で動作できるようにする必要があります。特に、次の点を確認してください。

» サーバーが、必要なソフトウェア・パッチがインストールされた認定済みオペレーティング・システムで動作している。

» UNIXカーネルが正しく構成されている。

» Oracleソフトウェアを所有するユーザーやグループを作成済みである。

この章で説明する設定は、あくまで一例として参照してください。Oracleソフトウェアを使用した後で、オペレーティング・システム・ユーティリティを使用して構成を調整し、サーバーの潜在能力を最大限に活用できるようにする必要があります。

サーバーとオペレーティング・システムの確認使用予定のサーバーおよびオペレーティング・システムが、使用予定の製品で認定済みの組み合わせであることを確認します。詳しくは、オラクルの認定マトリックスを参照してください。


最小ハードウェア要件への適合 Oracleエンタープライズ・デプロイメントでサーバーを使用するには、このサーバーが『Oracle® Fusion Middleware System Requirements and Specifications for Oracle Identity and Access Management』の最小限の仕様に適合していることを確認して、これらのサーバーにデプロイ予定の製品をサポートできる最小限の仕様を満たしていることを確認します。

仮想サーバー環境にデプロイする場合は、各仮想サーバーが最小要件を満たしていることを確認してください。

「ストレージの準備」を参照して、十分なローカル・ディスクと共有ストレージが構成されていることを確認してください。

十分なスワップ領域と一時領域を確保します。具体的には、次のとおりです。

» スワップ領域 – システムには512MB以上が必要です。

» 一時領域 – /tmpには、2GB以上の空き領域が必要です。

オペレーティング・システム要件への適合

Identity and Access Managementのデプロイメントの前に、次のタスクを実行する必要があります。

» 認定済みオペレーティング・システムをインストールします。

» リリース・ノートに記載されている必要なパッチとパッケージをすべてインストールします。

カーネル・パラメータの構成

以下のカーネル・パラメータとシェルの制限値は、単なる推奨値です。本番システムではこれらの値をチューニングして、システムのパフォーマンスを最適化することをお勧めします。カーネル・パラメータのチューニングについて詳しくは、オペレーティング・システムのドキュメントを参照してください。

カーネル・パラメータは、トポロジ内のすべてのノードで、以下の値以上に設定する必要があります。

以下の表の値は、Linuxの現在の推奨事項です。Linuxやその他のオペレーティング・システムの最新の推奨事項については、Oracle Fusion Middlewareのシステム要件と仕様を参照してください。

データベースをホストにデプロイしている場合は、追加カーネル・パラメータの変更が必要な場合があります。お使いのプラットフォームの、11g Release 2の『Oracle Grid Infrastructure Installation Guide』を参照してください。

表6：Unixカーネル・パラメータ

パラメータ値

kernel.sem 256 32000 100 142

kernel.shmmax 2147483648以上

これらのパラメータを設定するには、次の手順に従います。

» rootとしてログインして、/etc/sysctl.confのファイルのエントリを追加または変更します。

» ファイルを保存します。

» 次のコマンドを発行して、変更をアクティブ化します。

/sbin/sysctl -p


開くことができるファイルの制限の設定

すべてのUNIXオペレーティング・システムでは、開くことができるファイル数の最小制限値は4096です。

注：

次の例は、Linuxオペレーティング・システムのものです。システムで使用するコマンドを決定するには、オペレーティング・システムのドキュメントを参照してください。

次のコマンドで、開いているファイル数を確認できます。

/usr/sbin/lsof | wc -l

C shell:

limit descriptors

Bash:

ulimit –n

シェルの制限の設定

注：

制限値の設定がこれらの値より大きい場合は、変更する必要はありません。

Linuxのほとんどのバージョンの場合

シェルの制限を変更するには、rootとしてログインして、/etc/security/limits.confファイルを編集します。

次の行を追加します。

* soft nofile 65536

* hard nofile 150000

* soft nproc 4096

* hard nproc 16384

Oracle Linux 6およびRed Hat Enterprise Linux 6のみ

シェルの制限を変更するには、rootとしてログインして、/etc/security/limits.confファイルを編集します。次の行を追加します。

* soft nofile 65536

* hard nofile 150000

また、/etc/security/limits.d/90-nproc.confも編集します。

次の行を追加します。

* soft nproc 2048

* hard nproc 16384

最新の推奨値については、Oracle Fusion Middlewareのシステム要件と仕様を参照してください。

ファイルを編集したら、マシンを再起動します。


ローカル・ホスト・ファイルの構成 Oracleソフトウェアのインストールを開始する前に、ローカルの/etc/hostsファイルが以下の形式であることを確認します。

IP_Address Fully_Qualified_Name Short_Name

例：

192.168.30.1 oamhost1.mycompany.com oamhost1

Unicodeサポートの有効化

オペレーティング・システムの構成が、Oracle Fusion Middleware製品でサポートされている文字の動作に影響する場合があります。

UNIXオペレーティング・システムでは、LANG環境変数をUTF-8キャラクタ・セットが含まれるロケールに設定して、Unicodeのサポートを有効にすることを強くお勧めします。このように設定すると、オペレーティング・システムであらゆる文字をUnicodeで処理できます。たとえば、Oracle SOA SuiteテクノロジーはUnicodeに基づいています。

LANGUAGE環境変数を次のように設定します。

LANG=en_GB.UTF-8

オペレーティング・システムがUTF-8以外のエンコーディングを使用するように構成されている場合、Oracle SOA Suiteコンポーネントが正しく機能しない場合があります。たとえば、非ASCIIファイル名によって、ファイルがアクセスできなくなったり、エラーの原因になったりします。

オラクルは、オペレーティング・システムの制約が原因で発生する問題についてはサポートしていません。

仮想IPアドレスの有効化エンタープライズ・デプロイメントでは、特定のホスト（WebLogic管理サーバーやOracle SOAの管理対象サーバーなど）で仮想IPアドレスを使用する必要があります。サーバーごとに適切なIPアドレスを有効にする必要があります。

必要な仮想IPアドレスのサマリー

WebLogic 管理サーバーのフェイルオーバーには、仮想 IP アドレスが必要です。他の Oracle Fusion Middlewareコンポーネントが後でインストールされるかどうかは関係ありません。

管理サーバーと仮想IPアドレスを関連付けます。これで、プライマリ・ホストに障害が発生しても、管理サーバーを別のホストで起動できます。

次のように、仮想ホストが有効であることを確認します。

VIP 有効であるホスト

IADADMINVHN.mycompany.com OAMHOST1

IGDADMINVHN.mycompany.com OIMHOST1

OIMHOST1VHN1.mycompany.com OIMHOST1







表7：ホストへのVIPアドレスのマッピング

注：

これは、浮動IPアドレスに関連付けられたDNS名です。ロードバランサで構成された仮想ホストのDNS名ではありません。

既存のネットワーク・インタフェースでの仮想IPアドレスの有効化

OAMHOST1に表示されている仮想IPアドレスを有効にするには

1. ifconfig コマンドを使用して、仮想 IP アドレス ifconfig subinterface virtual_ip_address netmask

netmask_valueを作成します。

たとえばIAMHOST1では、次のように入力します。

ifconfig bond0:1 192.168.20.3 netmask 255.255.240.0

2. 定義する仮想IPアドレスごとに、次のコマンドを使用してARPキャッシュを更新します。

arping -b -A -c 3 -I bond0 192.168.20.3

ホストへの共有ストレージのマウント

共有ストレージのサマリー

共有ストレージを使用するホストごとに、共有ストレージを使用可能にする必要があります。

ストレージは、次のようにマウントされます。

ボリュームマウント・ポイントマウント先のホストディレクトリ層一時的

binaries /u01/oracle/products OAMHOST1 OAMHOST2 OIMHOST1 OIMHOST2

なし

dirBinaries /u01/oracle/products LDAPHOST1 LDAPHOST2

ありなし

sharedConfig /u01/oracle/config OAMHOST1 OAMHOST2 OIMHOST1

なしなし

OIMHOST2

LCM /u01/lcm WEBHOST1 WEBHOST2 OAMHOST1 OAMHOST2 OIMHOST1 OIMHOST2 LDAPHOST1 LDAPHOST2

あり

表8：共有ストレージのマウント


次の点に注意してください。

» NAS内やSAN内では、ホストごとに適切な権限を設定して、共有ストレージに書き込めるようにする必要があります。

» 一時マウントは、プロビジョニング中とパッチ適用中にのみ必要です。

» ディレクトリ層が専用ゾーンに配置されている場合は、分散トポロジ内の2つのディレクトリ・ホスト間でORACLE_BASEを共有する必要があります。

» WEBHOST1とWEBHOST2がDMZにある場合、ORACLE_BASEはこれら2つのホスト間では共有されません。

» 共有ストレージのマウントについては、組織のベスト・プラクティスに従ってください。ここでは、UNIXまたはLinuxでの、NFSストレージを使用した共有ストレージのマウント方法の例を説明します。

注：

共有ストレージ・ファイル・システムの作成用のユーザーIDは、これらのファイル読取り、書込み、実行の権限を所有しており、それらの動作を終了しています。オペレーティング・システム・グループ内の他のユーザーは、ファイルの読取りと実行はできますが、書込みの権限はありません。

ホスト上の共有ストレージの接続

共有ストレージの場所を作成およびマウントして、各アプリケーション層のホストがバイナリ・インストールで同じ場所を参照できるようにする必要があります。

次のコマンドを使用して、NASストレージ・デバイスからLinuxホストに共有ストレージをマウントします。別の種類のストレージ・デバイスやオペレーティング・システムを使用する場合は、メーカーのドキュメントでこの方法を参照してください。

ホストに共有ストレージをマウントするには、次のようなコマンドを使用します。

mount -t nfs nasfiler:volume mountpoint

例：

mount -t nfs nasfiler:VOL1/binaries /u01/oracle/products

ここで、nasfilerは共有ストレージ・デバイスの名前です。

上記のようにmountコマンドを使用すると、ホストが再起動されるまで共有ストレージがマウントされます。ホストが再起動されたら、ストレージをホストに再マウントする必要があります。

ホストの再起動後にストレージを使用できるようにするには、ファイル/etc/fstabに次のようにエントリを配置します。

nasfiler:VOL1/OracleIAM /u01/oracle nfs

auto,rw,bg,hard,nointr,proto=tcp,vers=3,timeo=300,rsize=32768,wsize=32768

注：

共有ストレージは、NASデバイスかSANデバイスです。次の例では、OAMHOST1からNASデバイスのストレージを作成しています。オプションは、特定のストレージ・デバイスによって異なる可能性があります。

mount -t nfs -o rw,bg,hard,nointr,proto=tcp,vers=3,timeo=300,rsize=32768,wsize=32768

nasfiler:VOL1/OracleIAM/u01/oracle

使用する環境に適したオプションについては、ストレージ・ベンダーやマシン管理者に問い合わせてください。


共有ストレージ構成の検証

構成した共有ストレージの場所にテスト・ファイルを作成して、新しくマウントしたディレクトリとの間でファイルの読取りと書込みを実行できることを確認します。

例：

cd /u01/oracle/products

touch testfile

所有者とアクセス権が正しいことを確認します。

ls -l testfile

次に、ファイルを削除します。

rm testfile

サーバー上のクロックの同期化 Identity ManagerとAccess Managerの各ノードで、グリニッジ標準時を使用して時刻を同期化し、これらのノード間の不一致が60秒以内となるようにします。

ユーザーとグループの構成ローカル、またはNISサーバーやLDAPサーバーで、次のユーザーとグループを作成します。このユーザーは、Oracleソフトウェアの所有者です。

以下の手順は、ユーザーをローカルで作成するためのものです。NISサーバーでのこれらのユーザー/グループの作成については、NISのドキュメントを参照してください。

グループ

ノードごとに次のグループを作成する必要があります。

• oinstall

• dba

グループを作成するには、rootとして次のコマンドを使用します。

groupadd groupname

例：

groupadd -g 500 oinstall

groupadd -g 501 dba

ユーザー

ノードごとに次のユーザーを作成する必要があります。

oracle – Oracleソフトウェアの所有者です。別の名前を使用することもできます。このアカウントのプライマリ・グループは、oinstallである必要があります。また、アカウントもdbaグループにある必要があります。

注：

グループoinstallは、Oracleソフトウェアで使用される共有ストレージとローカル・ストレージ上のすべてのファイル・システムへの書込み権限を持つ必要があります。


» 各グループのグループIDは、すべてのノードで同じである必要があります。

» 各ユーザーのユーザーIDは、すべてのノードで同じである必要があります。

» ユーザーとグループは、NFSv4のマウント要件により、NISサーバーに存在する必要があります。

» ユーザーを作成するには、rootとして次のコマンドを使用します。

useradd -g primary group -G optional groups -u userid username

例：

useradd -g oinstall -G dba -u 500 oracle

ソフトウェアの入手について Oracle Identity and Access Management 11g Release 3（11.1.2.3）の自動インストールを実行するには、以下の場所からOracle Identity and Access Management Deployment Repository 11.1.2.3.0をダウンロードします。

» Oracle Software Delivery Cloud：http://edelivery.oracle.com/

» Oracle Identity and Access Managementのダウンロード・ページ：

http://www.oracle.com/technetwork/middleware/id-mgmt/downloads/oid-11gr2-2104316.html ソフトウェア・リポジトリは、ディレクトリREPOS_HOMEにコピーする必要があります。

Repository Creation Utilityの解凍リポジトリの最初のダウンロード時には、Repository Creation Utilityは展開されません。Repository Creation Utility を実行するには、展開する必要があります。この操作を行うには、ファイルREPOS_HOME/installers/fmw_rcu/<OS>/rcuHome.zipをディレクトリRCU_ORACLE_HOMEに解凍します。

注：必要に応じて、最初にディレクトリを作成します。

ソフトウェア・バージョン以下の表には、このホワイト・ペーパーの手順を開始する前に取得する必要があるOracleソフトウェアを記載しています。

表9：使用するソフトウェア・バージョン

短縮名製品バージョン

OHS11G Oracle HTTP Server 11.1.1.9

JRockit Oracle JRockit 1.7

WLS Oracle WebLogic Server 10.3.6.0

IAM Oracle Identity and Access Management 11.1.2.3

SOA Oracle SOA Suite 11.1.1.9

IDM Oracle Identity Management 11.1.1.9

WebGate 11g Oracle Webgate 11.1.1.9

RCU Repository Creation Assistant 11.1.2.3


エンタープライズ・デプロイメント用のデータベースの準備

データベース要件の確認メタデータ・リポジトリをデータベースにロードする前に、データベースがこれらのサブセクションに記載されている要件を満たしていることを確認します。

必要なデータベース

Oracle Identity Managementの場合、柔軟性を上げるために、多くの個別のデータベースを使用することをお勧めします。ただし必要に応じて、すべてのデータベースを1つのデータベースに統合できます。

表10：トポロジ、データベース、スキーマのマッピング

データベース名データベース・ホストサービス名データベース中のスキーマ

IADDB IDMDBHOST1 IDMDBHOST2

iadedg.example.com OPSS、OAM、IAU、MDS、OMSM

IGDDB IDMDBHOST1 IDMDBHOST2

igdedg.example.com OPSS 、 OIM 、 IAU 、 MDS 、 SOAINFRA 、 BIPLATFORM 、

ORASDPM

注：これは、IGDドメインと同じデータベースにあるOracle Internet Directory（ODS）を示しています。このデータベースは、後で複数のデータセンターの実装を予定している場合に、Oracle Internet Directory

（ODS）を配置するための論理的な場所です。または、専用データベースに配置することもできます。ODSが必要なのは、Oracle Internet Directoryを使用している場合のみです。

データベース・ホストの要件

メタデータ・リポジトリの保存用のデータベースは、それ自体が高可用性である必要があります。可用性を最大化するには、Oracle Real Application Clusters（Oracle RAC）データベースの使用をお勧めします。

データベースでのデータ保管には、Oracle Automatic Storage Management（Oracle ASM）を使用するのが理想的ですが、必須ではありません。

Oracle ASMを使用する場合は、Oracle ASMをそれ自体のOracleホームにインストールして、2つのディスク・グループを持つことが必要です。

» 1つはデータベース・ファイル用

» もう1つはフラッシュ・リカバリ領域用

Oracle ASMを使用している場合は、Oracle Managed Filesも使用することがベスト・プラクティスです。

サポートされているデータベース・バージョン

使用しているデータベースが認定されているかどうかをチェックしたり、すべての認定済みデータベースを確認したりするには、認定ドキュメントの「Certified Databases」の項を参照してください。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-

100350.html

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html


Oracle Databaseのパッチ適用

Oracle Databaseの一部のバージョンではパッチが必要です。以下を参照してください。

表11：Oracle Database 11g（11.2.0.2.0）のパッチ要件

プラットフォーム My Oracle Support上のパッチ番号と説明

Linux x86（32ビット） Linux x86（64ビット）

RDBMS Interim Patch#10259620

このパッチを適用しないと、ユーザー、ロール、マネージャの検索で問題が発生する場合があります。また、検索結果として空の結果が返される場合があります。

このパッチは、オンライン・モードで適用します。この後の手順については、パッチにバンドルされているreadme.txtファイルを参照してください。

環境によってはRDBMS個別パッチで問題を解決できなかった場合もありますが、公開済みの回避策で解決できます。回避策については、http://support.oracle.comのノート"Wrong Results on 11.2.0.2 with Function-Based Index and OR Expansion due to fix for Bug:8352378 [Metalink Note ID 1264550.1]"を参照してください。このノートに従ってパラメータを設定できます。ただし、 ALTER SYSTEM SET <param>=<value> scope=<memory>または<both>を使用して、データベース・インスタンス・レベルでパラメータを変更する必要があるという点のみが異なります。

Oracle Databaseの最小要件

Oracle Databaseは、いくつかの最小要件を満たす必要があります。

一般的なデータベース特性

» キャラクタ・セット - キャラクタ・セットは、AL32UTF8などのように、Unicodeに準拠している必要があります。

» データベース・オプション - データベースには、次のデータベース・オプションをインストールする必要があります。

» Oracle JVM

» Oracle Text

» データベース・ビュー - データベースには、次のデータベース・ビューを作成する必要があります。

» XAVIEWS

» データベース・パッケージ – データベースには、次のデータベース・パッケージが存在する必要があります。

» DBMS_SHARED_POOL

» 透過的データ暗号化 - Oracle Privileged Account Managerでは必須です。

初期化パラメータについて

データベースでは、次の最小初期化パラメータが定義されている必要があります。

表12：データベースの初期化パラメータ

パラメータ値

aq_tm_processes 1

dml_locks 200


job_queue_processes 10

open_cursors 1600

session_max_open_files 50

Sessions 500

Processes 500

sga_target 512M

pga_aggregate_target 100M

sga_max_size 4G

session_cached_cursors 500

Oracle Internet Directoryでデータベースを使用している場合は、次の最小初期化パラメータが定義されている必要があります。

データベースを構成する場合は、データベース構成アシスタントでこれらのパラメータを設定することをお勧めします。この設定を行わなくても、alter systemデータベース・コマンドを使用すれば、作成後にパラメータを調整できます。例：

sqlplus / as sysdba

alter system set aq_tm_processes=1 scope=spfile;

spfileを変更した後で、データベースを再起動します。たとえば、次のコマンドを使用します。

srvctl stop database -d iaddb

srvctl start database -d iaddb

上記のパラメータは一例ですが、データベースをチューニングして、データベースの統計情報を定期的に収集する必要があります。

データベース・サービスの作成

11.2.xデータベースのデータベース・サービスの作成

srvctlを使用して、トポロジ内のコンポーネントのデータベース・サービスを作成します。作成されるサービスのリストは、以下の方法で表示されます。

1. 次のように、コマンドsrvctl add serviceを使用してサービスを作成します。

srvctl add service -d oiddb -s iadedg.example.com -r idmdb1,idmdb2 -q TRUE -m BASIC -e SELECT -w 5 -

z 5

注：透過的アプリケーション・フェイルオーバー（TAF）の設定は、Oracle Internet Directoryのサービスを作成する場合にのみ必要です。

2. srvctl start serviceを使用して、サービスを開始します。 srvctl

start service -d iaddb -s iadedg.example.com

3. 次のように、srvctl status serviceを使用して、サービスが開始されたことを検証します。

srvctl status service -d iaddb -s iadedg.example.com


Service iadedg.example.com is running on instance(s) idmdb1,idmdb2

4. srvctl config serviceを使用して、サービスが正しく作成されたことを検証します。srvctlconfig service -d

iaddb -s iadedg.example.com

Service name: iadedg.example.com

Service is enabled

Server pool: iaddb_iadedg.example.com

Cardinality:2

Disconnect: false

Service role:PRIMARY

Management policy:AUTOMATIC

DTP transaction: false

AQ HA notifications: true Failover type:SELECT

Failover method:BASIC

TAF failover retries:5

TAF failover delay:5

Connection Load Balancing Goal:LONG

Runtime Load Balancing Goal:NONE

TAF policy specification:NONE

Edition:

Preferred instances: idmdb1,idmdb2

Available instances:

データベースへのIdentity Managementスキーマのロード

Repository Creation Utility（RCU）を実行して、Identity ManagementおよびOracle Management Serviceで使用されるスキーマ・コレクションを作成します。

1. 次のコマンドを発行して、RCUを起動します。

RCU_HOME/bin/rcu &

2. Welcome画面で、「Next」をクリックします。

3. Create Repository画面で「Create」の操作を選択し、コンポーネント・スキーマをデータベースにロー

ドします。次に、「Next」をクリックします。

4. Database Connection Details画面で、既存のデータベースとの接続に必要な情報を入力します。たとえ

ば、次のとおりです。

» Database Type:Oracle Database

» Host Name:Oracle RACノードの1つを入力します。仮想IP名を指定します。たとえば、IADDBHOST1- vip.example.comなどです。Port:データベース・リスナーのポート番号です。たとえば、1521などです。

» Service Name:データベースのサービス名です。たとえば、iadedg.example.comなどです。上記の表から選択する予定のコンポーネントのサービス名を使用します。

» Username: sys

» Password:sysのユーザー・パスワード

» Role:SYSDBA


「Next」をクリックします。

5. Check Prerequisites画面で、前提条件を検証してから「OK」をクリックします。

6. Select Components画面で、次の値を入力します。 » Create a New Prefix:データベース・スキーマに追加するプリフィックスを入力します。ODSスキーマ以外の

すべてのスキーマには、プリフィックスを付ける必要があります。たとえば、EDGと入力します。

» Components:以下の表から、適切なコンポーネントを選択します。

Identiy Mangementでは、OIM、OAM、OMSMを選択します。依存するすべてのコンポーネント・スキーマは、自動的に選択されます。

表13：コンポーネント・スキーマ

RCUプリフィックス製品 RCUオプションコメント

EDGIAD Oracle Platform Security Services

AS Common Schemas–Oracle Platform Security Service

ポリシー・ストア情報の保持に必要。

Audit Services AS Common services-Audit Services

EDGIAD Oracle Access Management Access Manager

Identity Management–Access Manager オプション

EDGIAD Oracle Access Mobile Security Suite

Identity Management-Mobile Security Suite

EDGIGD Oracle Platform Security Services

AS Common Schemas–Oracle Platform Security Service

ポリシー・ストア情報の保持に必要。

EDGIGD Oracle Identity Manager Identity Management–Oracle Identity Manager

Metadata Services、SOA infrastructure、BIPLATFORM、およびUser Messagingも選択されます。

Audit Services AS Common services-Audit Services

EDGIGD Oracle Business Intelligence

Oracle Identity Management – Oracle Business Intelligence Manager


7. Check Prerequisites画面で、前提条件を検証してから「OK」をクリックします。

8. Schema Passwords画面で、スキーマのパスワードを入力します。すべてのスキーマに同じパスワード

を使用することも、スキーマごとに異なるパスワードを使用することもできます。セキュリティ向上の

ため、スキーマごとに異なるパスワードを使用することをお勧めします。「Next」をクリックします。

9. Map Tablespaces画面で、デフォルト値を変更せずに「Next」をクリックします。

10. 確認画面で「OK」をクリックして、表領域を作成できるようにします。

11. Creating tablespaces画面で「OK」をクリックして、表領域の作成を通知します。

12. Summary画面で、表示されるサマリーと詳細が正しいことを確認します。「Create」をクリックして、

スキーマ作成プロセスを開始します。

13. Completion summary画面で、スキーマが作成されたことを確認します。「Close」をクリックして終了

します。

データベースのバックアップデータベースの準備が完了したら、これをバックアップします。環境に適したRMANコマンドを使用して、データベースをバックアップできます。


エンタープライズ・デプロイメントのソフトウェアのインストールインストールするソフトウェア "インストールするソフトウェア"の表は、各ホストにインストールする必要があるソフトウェアを、トポロジごとに示しています。次の項では、この操作方法について説明します。

Oracleバイナリ・ソフトウェアの2種類の要素（OIM11gとSOA11gなど）を同じホストにインストールする場合、このソフトウェアは同じミドルウェア・ホームの場所の、異なるOracleホームにインストールされます。

注：

共有ストレージを使用する場合は、そのストレージを使用するすべてのホストで、インストールで使用するユーザーとグループのIDが同じになるようにしてください。このように設定しないと、ホストによっては、一部またはすべてのファイルの参照や実行ができない場合があります。

Oracle Internet Directoryなどの一部の製品では、一部のファイルの権限をrootに設定するスクリプトを実行する必要があります。

表14：インストールするソフトウェア

ミドルウェア・ホーム OHS WEBGATE MSAS JDK WLS IDM OUD IAM SOA

WEB_MW_HOME X X X X

IAD_MW_HOME X X X

IGD_MW_HOME X X X X

DIR_MW_HOME X X X X

DIR_MW_HOME X X X X

各種のミドルウェア・ホーム（MW_HOMEn）について詳しくは、「エンタープライズ・デプロイメントのストレージの準備」を参照してください。

Oracle Identity Management 製品は、 Oracle Identity Management と Oracle Identity and Access Managementの2つの製品セットとしてバンドルされています（ソフトウェア・バージョンを確認してください）。関連するIdentity Managementソフトウェアは、別々のOracleホームにインストールされます。

Oracleホームのサマリー Oracleバイナリは、Oracle Fusion Middlewareホームにインストールされます。個々の製品は、ミドルウェア・ホーム内のOracleホームにインストールされます。表15は、このドキュメントで使用するミドルウェア・ホームとOracleホームのサマリーです。

表15：Oracleホームのサマリー

ホーム名ホームの説明インストールされる製品

IAD_MW_HOME Oracle Identity Managerで必要なORACLE_HOMEが含まれるOracleミドルウェア・

ホームです。

IGD_MW_HOME Oracle Access Managerで必要なORACLE_HOMEが含まれるOracleミドルウェア・

ホームです。

DIR_MW_HOME Oracle Unified Directoryで必要なORACLE_HOMEが含まれるOracleミドルウェア・

ホームです。


WL_HOME Oracle WebLogic Serverのインストール先のルート・ディレクトリです。WL_HOME

ディレクトリは Oracleホーム・ディレクトリのピアであり、MW_HOME内に存在しま

す。

Oracle WebLogic Server

IAD_ORACLE_HOME Oracle Identity and Access Managementに必要なバイナリ・ファイルとライブラリ・

ファイルが含まれており、IAD_MW_HOME/iamにあります。 Access Manager

IGD_ORACLE_HOME Oracle Identity and Access Managementに必要なバイナリ・ファイルとライブラリ・ファイル

が含まれており、IGD_MW_HOME/iamにあります。 Oracle Identity Manager

OUD_ORACLE_HOME Oracle Unified Directoryに必要なバイナリ・ファイルとライブラリ・ファイルが含まれてお

り、DIR_MW_HOME/oudにあります。 Oracle Unified Directory

OID_ORACLE_HOME Oracle Unified Directoryに必要なバイナリ・ファイルとライブラリ・ファイルが含まれてお

り、DIR_MW_HOME/oidにあります。

WEBGATE_ORACLE_HOME Oracle WebGateのバイナリが含まれており、WEB_MW_HOME/webにあります。 Oracle WebGate

SOA_ORACLE_HOME Oracle SOA Suiteで必要なバイナリ・ファイルとライブラリ・ファイルが含まれており、

IGD_MW_HOME/soaにあります。

Oracle SOA Suite

ORACLE_COMMON_HOME Oracleホームの汎用ファイルが含まれます。このOracleホームはすべての製品のインストール

で自動的に作成されるもので、MW_HOME/oracle_commonにあります。汎用コマンド

LCM_HOME ライフサイクル・リポジトリです。

REPOS_HOME ソフトウェア・リポジトリです。

WEB_MW_HOME Web層で必要なORACLE_HOMEが含まれるOracleミドルウェア・ホームです。

WEB_ORACLE_HOME Oracle HTTP Serverで必要なバイナリ・ファイルとライブラリ・ファイルが含まれます。

MSAS_ORACLE_HOME Mobile Security Access Serverで必要なバイナリ・ファイルとライブラリ・ファイルが含まれ

ます。

Oracle HTTP Serverのインストール以後の項では、Oracle Fusion Middlewareソフトウェアのインストール方法の簡単な概要を説明します。詳しくは、『Oracle Fusion Middleware Installation Guide』を参照してください。

この項では、OHSHOST1とOHSHOST2にOracle HTTP Serverをインストールする方法を説明します。

インストーラの実行

ファイル・システムの準備に関する章で説明したように、Oracle HTTP Serverをプライベート・ディスクにインストールします。次の手順で、Oracle Universal Installerを起動します。

インストールを開始する前に、Linuxプラットフォームで次の環境変数が設定されていないことを確認します。

» LD_ASSUME_KERNEL

» ORACLE_INSTANCE

Linuxで、次のコマンドを発行します。

cd REPOS_HOME/installers/webtier/Disk1

./runInstaller

Specify Inventory Directory画面で、次の操作を実行します。

HOME/oraInventoryと入力します。HOMEは、インストールを実行するユーザーのホーム・ディレクトリです（この場所をお勧めします）。

» インストールを実行するユーザーのOSグループを入力します。


» 「Next」をクリックします。

画面の指示に従って、rootとしてcreateCentralInventory.shを実行します。

「OK」をクリックします。

以下の手順を実行します。


2. install Software Updates画面で、My Oracle Supportのアカウントの詳細情報を入力して更新を検索する

か「Skip Software Updates」を選択して、「Next」をクリックします。

3. Select Installation Type画面で、

「Install Software」→「Do Not Configure。」を選択します。


4. Prerequisite Checks画面で、「Next」をクリックします。

5. Specify Installation Location画面で、Fusion Middlewareホームの場所（インストール場所）の値を指定し

ます。たとえば、/u01/oracle/products/webなどです。

Oracleホームの場所のディレクトリ：ohs 「Next」をクリックします。

6. Specify SecurityUpdates画面で、Oracleサポートからセキュリティ更新を受け取るかどうかを選択しま

す。「Next」をクリックします。

7. Installation Summary画面で選択内容が正しいことを確認して（正しくない場合は、「Back」をクリック

して前の画面で選択内容を変更します）、「Install」をクリックします。

インストールのバックアップ

Fusion Middlewareホームを、ここでバックアップする必要があります（この時点でサーバーが実行されていないことを確認します）。

Oracle Fusion Middlewareのインストールここでは、Oracle Fusion Middlewareのインストール方法を説明します。

注：

Oracle Identity Management製品は、Oracle Identity Management（Oracle IDM）とOracle Identity and Access Management（Oracle IAM）の2つの製品セットとしてバンドルされています。

Oracle Mobile Security Access Serverのインストールここでは、OHSHOST1とOHSHOST2にOracle Mobile Security Access Server（Oracle MSAS）をインストールする方法を説明します。

インストーラの実行

ファイル・システムの準備に関する章で説明したように、Oracle MSASをプライベート・ディスクにインストールします。次の手順で、Oracle Universal Installerを起動します。

インストールを開始する前に、Linuxプラットフォームで次の環境変数が設定されていないことを確認します。

» LD_ASSUME_KERNEL

» ORACLE_INSTANCE


Linuxで、次のコマンドを発行します。

cd REPOS_HOME/installers/omsas/Disk1

./runInstaller –jreLoc JAVA_HOME

Specify Inventory Directory画面で、次の操作を実行します。

» HOME/oraInventoryと入力します。HOMEは、インストールを実行するユーザーのホーム・ディレクトリです（この場所をお勧めします）。



画面の指示に従って、rootとしてcreateCentralInventory.shを実行します。「OK」をクリックします。



2. install Software Updates画面で、My Oracle Supportのアカウントの詳細情報を入力して更新を検索する

か「Skip Software Updates」を選択して、「Next」をクリックします。

3. Prerequisite Checks画面ですべての事前チェックが問題なく完了していれば、「Next」をクリックします。

4. Specify Installation Location画面で、Fusion Middlewareホームの場所（インストール場所）の値を指

定します。たとえば、/u01/oracle/products/webなどです。

Oracleホームの場所のディレクトリ：omsas


5. Installation Summary画面で選択内容が正しいことを確認して（正しくない場合は、「Back」をクリック

して前の画面で選択内容を変更します）、「Install」をクリックします。

6. Installation Complete画面で、「Finish」をクリックします。

インストールのバックアップ

Fusion Middlewareホームを、ここでバックアップする必要があります。

Oracle Fusion Middlewareのインストールここでは、Oracle Fusion Middlewareのインストール方法を説明します。

注：

Oracle Identity Management製品は、Oracle Identity Management（Oracle IDM）とOracle Identity and Access Management（Oracle IAM）の2つの製品セットとしてバンドルされています。

Oracle Fusion Middlewareコンポーネントのインストール

ここでは、ミドルウェア・ホーム（MW_HOME）、Oracle WebLogic Serverホーム（WL_HOME）、Oracle SOA SuiteのOracleホーム（SOA_ORACLE_HOME）、およびOracle Identity and Access ManagementのOracleホーム（IAD_ORACLE_HOMEとIGD_ORACLE_HOME）の作成に必要なバイナリのインストール方法を説明します。

ホームのサマリー設定プロセスを開始する前に、リリース・ノートでインストールとデプロイメントに関する追加の考慮事項を確認することを強くお勧めします。


Oracle Fusion Middlewareホームのインストール

ファイル・システムの準備で説明したように、Oracle Fusion Middlewareソフトウェアは2つ以上のストレージの場所にインストールして、冗長性を確保することをお勧めします。

Oracle Fusion Middlewareの次のコンポーネントをインストールして、ミドルウェア・ホーム（MW_HOME）を作成する必要があります。

JDKのインストール

JDKのインストールは、ファイルREPOS_HOME/installers/jdk/jdk.zipをMW_HOMEディレクトリに解凍するだけです。最初にディレクトリを作成する必要があります。

このインストールを、次のMW_HOMEディレクトリに実行する必要があります。

» OAMHOST1からのIAD_MW_HOMEのインストール

» OIMHOST1からのIAG_MW_HOMEのインストール

» LDAPHOST1からのDIR_MW_HOMEのインストール

Oracle WebLogic ServerのインストールとFusion Middlewareホームの作成

Oracle WebLogic Serverをインストールするには、以下の手順を実行します。このインストールを、次のMW_HOMEディレクトリに実行する必要があります。

» OAMHOST1からのIAD_MW_HOMEのインストール

» OIMHOST1からのIAG_MW_HOMEのインストール

» LDAPHOST1からのDIR_MW_HOMEのインストール

Oracle WebLogic Serverをインストールするには、次の手順を実行します。次のコマンドを発行して、システム・パスにjavaを追加します。

export PATH=$MW_HOME/jdk/bin:$PATH

MW_HOMEは、ソフトウェアのインストール先のMW_HOME（IAM_MW_HOMEなど）です。

1. 次のコマンドを発行して、javaのバージョンを確認します。

java –version

64ビットのオペレーティング・システムを使用している場合は、64ビット・バージョンが表示されていることを確認します。

2. 次のコマンドを使用して、WebLogicインストーラを起動します。

cd REPOS_HOME/installers/weblogic

java -d64 -jar wls_generic.jar


4. Choose Middleware Home画面で、「Create a New Middleware Home」を選択します。

ミドルウェア・ホーム・ディレクトリの場合は、次のようなIAD_MW_HOMEのパスを入力します。

/u01/oracle/products/access


5. Register for Security Updates画面で、My Oracle Supportのユーザー名とパスワードを入力して、セキュ


リティ更新の通知を受けられるようにします。「Next」をクリックします。

6. Choose Install Type画面で、「Typical」を選択します。

注：Oracle WebLogic ServerとOracle Coherenceがインストールされます。

7. JDK Selection画面で、上記のパスに追加したjdkを選択します。これは、デフォルトで表示されるはずです。


8. Choose Product Installation Directories画面の次の内容は変更しません。

Middleware Home Directory:IAM_MW_HOME

Product Installation Directories for WebLogic Server:IAD_MW_HOME/wlserver_10.3

Oracle Coherence:IAD_MW_HOME/wlserver_10.3/coherence_3.7


9. Installation Summary画面で「Next」をクリックして、インストール・プロセスを開始します。

10. Installation complete画面で、「Run Quickstart」を選択解除します。

11. 「Done」をクリックして、WebLogic Serverインストーラを終了します。ミドルウェア・ホームごとに、

上記の手順を繰り返します。

Oracle Internet Directoryのインストール

次の手順を実行して、ホストLDAPHOST1上のディレクトリDIR_MW_HOMEにOracle Internet Directoryをインストールします（この操作は、共有ごとに1回だけ実行します）。

以下を入力して、Oracle Fusion Middleware 11g Oracle Unified Directoryのインストーラを起動します。

cd REPOS_HOME/installers/idm/Disk1

./runInstaller -jreLoc JAVA_HOME

JAVA_HOMEはJava JDKの場所です（DIR_MW_HOME/jdkなど）。Specify Inventory Directory画面が表示されたら、次の手順を実行します。








2. Install Software Updates画面で、更新をスキップするか検索するかを選択し、Oracle Supportで更新を

確認するか、ローカルで更新を検索します。

3. 「Next」をクリックします。

4. Installation Type画面で「Install Software」→「Do Not Configure」を選択して、「Next」をクリック

します。


5. Prerequisite Checks画面で、チェックが問題なく完了していることを確認して「Next」をクリックします。

6. specify Installation画面で、以下のとおりに入力します。 » Oracle Middleware Home:/u01/oracle/products/dir

» Oracle Home Directory: oid


7. specify security画面で、Oracle Supportからセキュリティ更新を受け取るかどうかを選択して、「Next」

をクリックします。

8. installation Summary画面で、「Install」をクリックします。

9. Installation Progress画面で、「Next」をクリックします。

10. installation complete画面で、「Finish」をクリックします。

11. インストールが完了したら、スクリプトOID_ORACLE_HOME/oracleRoot.shの実行を求められます。

rootユーザーとして、このスクリプトを実行します。このスクリプトは、LDAPHOST1とLDAPHOST2で

実行する必要があります。

Oracle Unified Directoryのインストール

次の手順を実行して、ホストLDAPHOST1上のディレクトリDIR_MW_HOMEにOracle Unified Directoryをインストールします（この操作は、共有ごとに1回だけ実行します）。

以下を入力して、Oracle Fusion Middleware 11g Oracle Unified Directoryのインストーラを起動します。


JAVA_HOMEはJava JDKの場所です（DIR_MW_HOME/jdkなど）。

Specify Inventory Directory画面が表示されたら、次の手順を実行します。








9. nstall Software Updates画面で、更新をスキップするか検索するかを選択し、Oracle Supportで更新を確認するか、ローカルで更新を検索します。



12. specify Installation画面で、以下のとおりに入力します。 » OUD Base Location Home:/u01/oracle/products/dir

» Oracle Home Directory: oud



13. installation Summary画面で、「Install」をクリックします。


15. installation complete画面で、「Finish」をクリックします。

Oracle SOA Suiteのインストール

次の手順を実行して、LinuxシステムのホストOIMHOST1上のディレクトリIGD_MW_HOME にOracle SOA Suiteをインストールし、次のようにOracle Fusion Middleware 11g SOA Suiteインストーラを起動します。

cd REPOS_HOME/installers/soa/Disk1


JAVA_HOMEはJava JDKの場所です（IGD_MW_HOME/jdkなど）。続いて、次のインストール手順を実行します。

Specify Inventory Directory画面が表示されたら、次の操作を実行します。






1. Install Software Updates画面で、更新をスキップするかどうかを選択し、Oracle Supportで更新を確認

するか、ローカルで更新を検索します。


3. Install Software Updates画面で、Oracle Supportで更新を登録するか、ローカルで更新を検索するかを

選択します。


5. Specify Installation Location画面で、次の値を入力します。 Oracle Middleware Home:ドロップダウン・リストから、以前にインストールしたミドルウェア・ホームを選

択します。たとえば/u01/oracle/products/identityなどです。

Oracle Home Directory:Oracleホーム・ディレクトリ名として、soaと入力します。「Next」をクリックします。

6. Application Server画面が表示されたら、「Next」をクリックします。

7. Installation Summary画面で、「Install」をクリックします。

8. Installation Process画面で、「Next」をクリックします。


Oracle Identity and Access Managementのインストール

Oracle Identity and Access Managementは、次の製品で構成されます。

» Oracle Access Management Access Manager

» Oracle Identity Manager


この項の手順を実行して、Oracle Identity and Access ManagementをホストOAMHOST1およびOIMHOST1のディレクトリIAD_MW_HOMEおよびIGD_MW_HOMEにインストールします。

cd REPOS_HOME/installers/iamsuite/Disk1


JAVA_HOMEはJava JDKの場所です（IGD_MW_HOME/jdkなど）。続いて、次のインストール手順を実行します。

Specify Inventory Directory画面が表示されたら、次の操作を実行します。








3. Specify Installation Location画面で、次の値を入力します。 » Oracle Middle Ware Home:ドロップダウン・リストから、以前にインストールしたミドルウェア・ホーム

（/u01/oracle/products/accessなど）を選択します。

» Oracle Home Directory:Oracleホーム・ディレクトリ名として、iamと入力します。


5. Application Server画面で、「WebLogic Server」を選択して「Next」をクリックします。

6. Installation Summary画面で、「Install」をクリックします。



9. MW_HOMEごとに上記の手順を繰り返します。

wlfullclient.jarファイルの作成

Oracle Identity Managerでは、特定の操作にwlfullclient.jarライブラリを使用します。オラクルはこのライブラリを提供していないので、手動で作成する必要があります。ご使用の環境のアプリケーション層でOracle Identity ManagerをホストするすべてのマシンのIGD_MW_HOME/wlserver_10.3/server/libディレクトリに、このライブラリを作成することをお勧めします。

次の手順に従って、wlfullclient.jarファイルを作成します。

1. IGD_MW_HOME/wlserver_10.3/server/libディレクトリに移動します。

2. JAVA_HOME環境変数を設定して、JAVA_HOME/binディレクトリがパスに含まれることを確認します。

3. 次のコマンドを実行して、wlfullclient.jarファイルを作成します。

java -jar wljarbuilder.jar


インストールのバックアップミドルウェア・ホームとOracleホームのバックアップは、ベスト・プラクティスの推奨事項です。

Web層の構成ここでは、Oracle Web TierとWebLogic Serverドメインを関連付ける方法を説明します。このWeb層をWebLogic Serverと関連付けると、Oracle Fusion Middlewareコンソールを使用して監視できます。

次に、ロードバランサを構成して、すべてのHTTPリクエストをOHSHOST1とOHSHOST2にルーティングします。構成ウィザードの実行によるHTTPサーバーの構成

Oracle Web Tierの構成手順は、OHSHOST1とOHSHOST2で同じです。Web層の構成を開始する前に、次の手順を実行します。

ポート7777が使用中でないことを確認します。Oracle HTTP Serverはデフォルトでポート7777にインストールされるため、ノード上の他のサービスによってポート7777が使用されていないことを確認する必要があります。このポートが使用中かどうかをチェックするには、Oracle HTTP Serverのインストール前に次のコマンドを実行します。ポートが使用中の場合は、解放します。

netstat -an | grep 7777

Oracle HTTP Server用のポートが含まれるファイルを作成します。インストール・メディアのディスク1で、ファイルstage/Response/staticports.iniを見つけます。このファイルを、ohs_ports.iniｔというファイルにコピーします。ohs_ports.ini内のすべてのエントリ（OHS PORTとOPMN Local Portを除く）を削除します。これらのポートの値を、それぞれ7777と6700に変更します。または、標準以外の

ポートを使用したい場合は、別のポートに変更します。

注：ファイル中のポート名がOHS PORTやOPMN Local Portと少し異なる場合は、ファイル中の名前を使用します。

Oracle Web Tierを構成するには、次の手順を実行します。

Oracle Fusion Middleware構成ウィザードの場所に、ディレクトリを変更します。

cd WEB_ORACLE_HOME/bin

» 構成ウィザードを起動します。

./config.sh

構成ウィザードに次の情報を入力します。

1. Welcome画面で、「Next」をクリックします。 2. Configure Component画面で、「Oracle HTTP Server」を選択します。

Oracle Web Cacheが選択されていないことを確認します。

Associate Selected Components with WebLogic Domainが選択されていないことを確認します。


3. Specify Component Details画面で、次の値を指定します。

OHSHOST1に次の値を入力します。

Instance Home Location:LOCAL_CONFIG_DIR/instances/ohs1などのインスタンスの場所


Instance Name: ohs1

OHS Component Name: ohs1


4. Configure Ports画面で、上記の手順で作成したohs_ports.iniファイルを使用して、使用するポートを指定

します。この操作によって、自動ポート構成を迂回できます。

「Specify Ports using a Configuration File」を選択します。

ファイル名フィールドで、ohs_ports.iniと指定します。

「Browse」をクリックします。


5. Specify Security Updates画面で、更新をスキップするか、Oracle Supportの詳細情報を入力してセキュ

リティ更新の通知を受けるかを選択します。


6. Installation Summary画面で選択内容が正しいことを確認します。正しくない場合は、「Back」をクリッ

クして前の画面で選択内容を変更します。

「Configure」をクリックします。

7. Configuration画面では、ウィザードで複数の構成アシスタントが起動されます。このプロセスには、時

間がかかる場合があります。完了したら、「Next」をクリックします。

8. Installation Complete画面で、「Finish」をクリックして選択内容を確認して終了します。

9. OHSHOST2で、インスタンス/コンポーネント名であるohs2を使用して同じ手順を繰り返します。

構成の検証 10. インストールが完了したら、次のURLを使用してOracle HTTP Serverホーム・ページにアクセスできるこ

とを確認します。

http://OHSHOST1.example.com:7777/


Oracle HTTP Serverの構成次の手順は、Oracle HTTP Serverのインストールごとに実行する必要があります。

仮想ホストの構成

この項には、エンタープライズ・デプロイメントのブループリントで説明するすべての製品のWeb層の構成がすべて含まれます。トポロジのサブセットを構成するだけの場合は、トポロジに適したエントリのみを含めます。

デプロイメント内の各仮想ホストのOracle HTTP Server構成ファイルを、

OHS_ORACLE_INSTANCE/config/OHS/<component>/moduleconfの場所に作成します。

これらのファイルは、次のように表示されます。

注：

次の項では、すべてのコンポーネントのすべてのエントリを表示しています。コンポーネントのサブセット


をデプロイするだけの場合は、これらのエントリを含めるだけです。NameVirtualHostは、読み込まれる最初のファイルでのみ必要です。このエントリを最初のファイル名にアルファベット順で入れるか、httpd.confファイルに直接入れることができます。

iadadmin_vh.conf

このファイルには、次のコンテンツが含まれます。

NameVirtualHost *:7777

<VirtualHost *:7777>

ServerName http://iadadmin.example.com:80

RewriteEngine On

RewriteOptions inherit

RewriteRule ^/console/jsp/common/logout.jsp "/oamsso/logout.html?end_url=/console" [R]

RewriteRule ^/em/targetauth/emaslogout.jsp "/oamsso/logout.html?end_url=/em" [R] UseCanonicalName

On

ServerAdmin [email protected]

#Weblogic related entries

# Admin Server and EM

<Location /console>

SetHandler weblogic-handler

WebLogicHost iadadminvhn.example.com

WeblogicPort 7001

</Location>

<Location /consolehelp>



WeblogicPort 7001

</Location>

<Location /em>



WeblogicPort 7001

</Location>

<Location /oamconsole>



WeblogicPort 7001

</Location>

<Location /apm>



WeblogicPort 7001

</Location>

mailto:[email protected]


<Location /access>


WebLogicCluster oamhost1.example.com:14150,oamhost2.example.com:14150

WLCookieName OAMJSESSIONID

</Location>

<Location /gms-rest>



WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/msm_component.log"

</Location>

<Location /msm-mgmt>





</Location>

</VirtualHost>

igdadmin_vh.conf




ServerName http://igdadmin.example.com:80

RewriteEngine On



RewriteRule ^/em/targetauth/emaslogout.jsp "/oamsso/logout.html?end_url=/em" [R]

UseCanonicalName On


# Weblogic Admin Server and EM

<Location /console>

SetHandler weblogic-handler WebLogicHost igdadminvhn.example.com

WeblogicPort 7101

</Location>

<Location /consolehelp>


WebLogicHost igdadminvhn.example.com

WeblogicPort 7101

</Location>

<Location /em>





WeblogicPort 7101

</Location>

################################################### ## Entries Required by Oracle Entitlements Server

################################################### # APM

<Location /apm>



WeblogicPort 7101

</Location>

################################################

## Entries Required by Oracle Identity Manager

################################################

<Location /oim>


WLCookieName oimjsessionid

WebLogicCluster oimhost1vhn1.example.com:14000,oimhost2vhn1.example.com:14000

WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/oim_component.log"

</Location>

<Location /sysadmin> SetHandler weblogic-handler




</Location>

# xlWebApp - Legacy 9.x webapp (struts based)

<Location /xlWebApp>





</Location>

# OIM self service console

<Location /identity>





</Location>


# Nexaweb WebApp - used for workflow designer and DM

<Location /Nexaweb>





</Location>

# Scheduler webservice URL

<Location /SchedulerService-web>





</Location>

# Oracle BIP console

<Location /xmlpserver>

SetHandler weblogic-handler WLCookieName JSESSIONID



</Location>

</VirtualHost>

login_vh.conf




ServerName https://login.example.com:443

RewriteEngine On




UseCanonicalName On


#OAM Entries

<Location /oam>


WLProxySSL ON WLProxySSLPassThrough ON



</Location>



<Location /oamfed>




WLProxySSL ON

WLProxySSLPassThrough ON

</Location>

<Location /ms_oauth >




WLProxySSL ON WLProxySSLPassThrough ON

</Location>

</VirtualHost>

prov_vh.conf




ServerName https://prov.example.com:443

RewriteEngine On




UseCanonicalName On


<Location /identity>





WLProxySSL ON


</Location>

# xlWebApp - Legacy 9.x webapp (struts based)

<Location /xlWebApp>





WLProxySSL ON


</Location>



<Location /HTTPClnt>





WLProxySSL ON


</Location>

# Requests webservice URL

<Location /reqsvc>




WLProxySSL ON



</Location>

</VirtualHost>

iadinternal_vh.conf




ServerName http://iadinternal.example.com:80

RewriteEngine On




UseCanonicalName On


#MSM Entries

<Location /msm>





</Location>

# MSM runtime services for MAM

<Location /ecp>





</Location>

http://iadinternal.example.com/


# Mobile File manager

<Location /mfm>





</Location>

# MSAS management services

<Location /gms-rest>





</Location>

# MSM management rest services

<Location /msm-mgmt>





</Location>

</VirtualHost>

igdinternal_vh.conf




ServerName http://igdinternal.example.com:80 RewriteEngine On


RewriteRule ^/console/jsp/common/logout.jsp

"/oamsso/logout.html?end_url=/console" [R]


UseCanonicalName On


##################################################

## Entries Required by Oracle Identity Manager

#################################################

#SOA Callback webservice for SOD - Provide the SOA Managed Server Ports

<Location /sodcheck> SetHandler weblogic-handler



WLLogFile "${ORACLE_INSTANCE}/diagnostics/logs/mod_wl/soa_component.log"



</Location>

# OIM, role-sod profile

<Location /role-sod> SetHandler weblogic-handler




</Location>

# Callback webservice for SOA. SOA calls this when a request is approved/rejected

# Provide the SOA Managed Server Port

<Location /workflowservice> SetHandler weblogic-handler




</Location>

# used for FA Callback service.

<Location /callbackResponseService>





</Location>

# spml xsd profile

<Location /spml-xsd>





</Location>

# OIM, spml dsml profile

<Location /spmlws>

SetHandler weblogic-handler PathTrim /weblogic




</Location>

<Location /reqsvc>





</Location>


<Location /integration>




</Location>

# SOA Infra

<Location /soa-infra>



WebLogicCluster OIMHOST1VHN2.example.com:8001,OIMHOST2VHN2.example.com:8001

WLLogFile “${ORACLE_INSTANCE}/diagnostics/logs/OHS/component/oim_component.log"

</Location>

# UMS Email Support

<Location /ucs>



WebLogicCluster OIMHOST1VHN2.example.com:8001,OIMHOST2VHN2.example.com:8001

WLLogFile “${ORACLE_INSTANCE}/diagnostics/logs/OHS/component/oim_component.log"

</Location>

<Location /provisioning-callback>





</Location>

<Location /CertificationCallbackService>





</Location>

</VirtualHost>

Oracle HTTP Serverの再起動

OHSHOST1とOHSHOST2でOracle HTTP Serverを再起動します。

ソフトウェア所有者として、Oracle HTTP Serverの実行を構成する

デフォルトでは、 Oracle HTTP Serverはユーザーnobodyとして実行されます。Identity Managementのインストールでは、Oracle HTTP Serverはソフトウェアの所有者およびグループとして実行されます。

適切なユーザーおよびグループとして実行されるようにするには、

OHS_ORACLE_INSTANCE/config/OHS/component_nameにあるファイルhttpd.confを編集します。


httpd.confで、ユーザーが定義されているセクションを見つけます。

このセクションを変更して、次の内容を読み取ります。

User User_who_installed_the_software

Group Group_under_which_the_HTTP_server_runs

通常、グループはデフォルト・ユーザー・グループ（oinstallなど）です。

たとえば、次のとおりです。

<IfModule !mpm_winnt_module>

#

# If you wish httpd to run as a different user or group, you must run

# httpd as root initially and it will switch.

#

# User/Group: The name (or #number) of the user/group to run httpd as.

# . On SCO (ODT 3) use "User nouser" and "Group nogroup".

# . On HPUX you may not be able to use shared memory as nobody, and the

# suggested workaround is to create a user www and use that user.

# NOTE that some kernels refuse to setgid(Group) or semctl(IPC_SET)

# when the value of (unsigned)Group is above 60000;

# don't use Group #-1 on these systems!

#

User oracle

Group oinstall

</IfModule>

Oracle HTTP Serverランタイム・パラメータの更新

Oracle HTTP Serverにはデフォルトで、ほとんどのアプリケーションに適したパラメータ値が含まれます。ただしこれらの値は、Oracle IDMのデプロイメントでは調整が必要です。


次の場所にあるhttpd.confファイルを編集します。

OHS_ORACLE_INSTANCE/config/OHS/component_name

次のようなエントリを見つけます。

<IfModule mpm_worker_module>

このセクションの値を次のように更新します。

<IfModule mpm_worker_module>

ServerLimit 20

StartServers 10

MaxClients 1000

MinSpareThreads 200

MaxSpareThreads 800

ThreadsPerChild 50


ThreadLimit 50

MaxRequestsPerChild 1000

AcceptMutex fcntl

LockFile "${ORACLE_INSTANCE}/diagnostics/logs/${COMPONENT_TYPE}/${COMPONENT_NAME}/http_lock"

</IfModule>

ファイルを保存します。

次のコマンドを発行して、Oracle HTTP Serverを再起動します。

ORACLE_INSTANCE/bin/opmnctl stopall

ORACLE_INSTANCE/bin/opmnctl startall

構成の検証

インストールが完了したら、次のURLでOracle HTTP Serverにアクセスできることを確認します。



https://login.example.com

https://prov.example.com

http://iadadmin.example.com

http://igdadmin.example.com

http://igdinternal.example.com

Web層の構成のバックアップ

ベスト・プラクティスとして、各層のインストールと構成を完了した後、またはその他の論理ポイントでバックアップを作成することをお勧めします。その時点までのインストールが成功していることを確認してから、バックアップを作成します。

エンタープライズ・デプロイメントのドメインの作成ここでは、さまざまなドメインを作成して、分割されたドメイン・トポロジと（オプションで）ディレクトリ・トポロジをサポートする方法を説明します。

作成するドメインの選択作成が必要なドメインは、実装しているトポロジによって異なります。次の表では、Oracle Access ManagerとOracle Identity Managerに必要なドメインを示しています。

表16：各製品で作成するドメイン

ドメイン仮想ホスト

IAMAccessDomain IADADMINVHN.example.com

IAMGovernanceDomain IGDADMINVHN.example.com

ドメインとURL

以下のリストは、上記のドメインに関連するコンポーネントURLと、そのURLにアクセスするためのユーザー名です。また、Web層の構成後には、シングル・サインオンへの統合後にコンソールへのアクセスに使用するユーザー名を示しています。


このURLは、次の2つのセクションに分かれています。

» Web統合の前

» Web統合の後

このドキュメントの以後の内容は、これらのURLに関連しています。たとえば、WebLogicコンソールへのログインを確認する場合、対象のドメインでは、以下のWebLogicコンソールのURLを使用する必要があります。

表17：Web層の統合前に使用できるURL

ドメインコンポーネント URL ユーザー

IAMAccessDomain WebLogicコンソール http://IADADMINVHN.example.com:7001/console weblogic

IAMAccessDomain OAMコンソール http://IADADMINVHN.example.com:7001/oamconsole weblogic

IAMAccessDomain Fusion Middleware Control http://IADADMINVHN.example.com:7001/em weblogic

IAMGovernanceDomain WebLogicコンソール http://IGDADMINVHN.example.com:7101/console weblogic

IAMGovernanceDomain Fusion Middleware Control http://IADADMINVHN.example.com:7101/em weblogic

表18：Web層の統合後に使用できるURL

ドメインコンポーネント URL ユーザー SSOユーザー

IAMAccessDomain WebLogicコンソール http://iadadmin.example.com/console weblogic weblogic_idm

Fusion Middleware Control http://iadadmin.example.com/em weblogic weblogic_idm

OAMコンソール http://iadadmin.example.com/oamconsole weblogic oamadmin

IAMAccessDomain Policy Manager

http://iamadminvhn.example.com/access weblogic oamadmin

IAMGovernanceDomain WebLogicコンソール http://igdadmin.example.com/console weblogic weblogic_idm

Fusion Middleware Control http://igdadmin.example.com/em weblogic weblogic_idm

構成ウィザードの実行によるドメインの作成

作成するドメインごとに、WebLogic構成ウィザードを1回実行します。

表19：作成するドメイン

ドメイン名ホストリスニング・アドレスリスニング・ポート

IAMAccessDomain OAMHOST1 IADADMINVHN.example.com 7001

IAMGovernanceDomain OIMHOST1 IGDADMINVHN.example.com 7101

ドメインを作成するには、次の手順を実行します。

1. リポジトリをインストールしたデータベースが実行中であることを確認します。Oracle RACデータベー

スの場合、すべてのインスタンスが実行中である必要があります。後の手順で実行する妥当性チェック

の信頼性が上がるためです。

2. 構成ウィザードの場所に、ディレクトリを変更します。これは、Oracle共通ホーム・ディレクトリ内に

あります。

cd IAD_MW_HOME/oracle_common/common/bin

http://iadadmin.example.com/console

http://iadadmin.example.com/em

http://iadadmin.example.com/oamconsole

http://iamadminvhn.example.com/access

http://igdadmin.example.com/console

http://igdadmin.example.com/em


3. 以下のように入力して、Oracle Fusion Middleware構成ウィザードをLinuxで起動します。

./config.sh

4. Welcome画面で、「Create a New WebLogic Domain」を選択して「Next」ををクリックします。

5. Select Domain Source画面で、次の製品を選択します。ドメイン名製品

IAMAccessDomain Oracle Access ManagementおよびMobile Security Suite（これを選択すると、すべての依存コンポーネントが自動的に選

択されます）

Oracle Enterprise Manager [oracle_common]

Oracle JRF [oracle_common]

Oracle WSM Policy Manager [oracle_common] Oracle Platform Security Service

Oracle OPSS Metadata for JRF[oracle_common]

Oracle Entitlements Server for Admin Server

IAMGovernanceDomain Oracle Identity Manager [IAM_HOME]（これを選択すると、すべての依存コンポーネントが自動的に選択されます） Oracle Enterprise Manager [oracle_common]

Oracle JRF [oracle_common]

Oracle JRF WebServices Asynchronous services[oracle_common] Oracle BI Publisher[oracle_bip]

Oracle BI JDBC[oracle_bip]

Oracle OPSS Metadata for JRF[oracle_common] Oracle Platform Security Service[IAM_HOME] Oracle Entitlements Server for Admin Server [iam] Oracle SOA Suite [Oracle_SOA1]

Oracle WSM Policy Manager

表20：ドメイン・コンポーネント情報


6. Specify Domain Name and Location画面で、次のように入力します。

Domain name：作成するドメインの名前（IAMAccessDomainなど）

Domain location：SHARED_CONFIG_DIR/domains

Application location：SHARED_CONFIG_DIR/domains/IAMAccessDomain/application

ドメイン・ディレクトリがディレクトリおよび共有ストレージのマウント・ポイントが一致することを確認します。


7. Configure Administrator Username and Password画面で、ドメイン管理者用のユーザー名（デフォルト

でweblogic）とパスワードを入力します。たとえば、次のとおりです。

Name：weblogic

User Password：WebLogicユーザーのパスワード

Confirm User Password：WebLogicユーザーのパスワード

Description：このユーザーはデフォルトの管理者です。



8. JDK Selectionの場合は、MW_HOME/jdkのJDK（作成しているドメイン。たとえば、IAD_MW_HOME/

jdk）を選択します。


注：次の手順と手順12の"Test Component Schema画面"でのすべての操作は、作成中のドメインがIAMAccessDomainまたはIAMGovernanceDomainの場合にのみ関連します。

9. Configure JDBC Component Schema画面で、ページに表示されるすべてのデータソースを選択します。

「Convert to GridLink」を選択します。


10. Gridlink RAC Component Schema画面が表示されます。この画面で次のフィールドの値を入力して、

RCUでシードされたOracle RACデータベースの接続情報を指定します。

Driver：「Oracle's driver (Thin) for GridLink Connections,Versions:10」以降を選択します。

「Enable FAN」を選択します。

次のいずれかの手順を実行します。

» ONS通知の暗号化用にSSLが構成されていない場合は、「SSL」を選択解除します。

» 「SSL」を選択して、適切なウォレットとウォレット・パスワードを入力します。

Service Listener：使用中のOracle RACデータベースのSCANアドレスとポートを入力します。このアドレスは、次のようにデータベースでパラメータremote_listenerの問合せを実行すると特定できます。

SQL>show parameter remote_listener;

NAME TYPE VALUE

-------------------------------------------------------------

remote_listener string db-scan.example.com:1521

注：

» Oracle Database 11g Release 1（11.1）の場合、各データベース・インスタンス・リスナーの仮想IPとポート（DBHOST1-vip.example.com（ポート1521）やDBHOST2-vip.example.com（ポート1521）など）を使用しま

す。

» Oracle Database 10gの場合は、マルチ・データソースを使用してOracle RACデータベースに接続します。マルチ・データソースの構成については、付録Aの「Oracle RACでのマルチ・データソースの使用」を参照してください。

ONS Host：次のコマンドを呼び出したときにデータベースからレポートされる、Oracle RACデータベースとONSリモート・ポートのSCANアドレスを入力します。

srvctl config nodeapps –s

ONS exists:Local port 6100, remote port 6200, EM port 2016

注：Oracle Database 11g Release 1（11.1）の場合、各データベースのONSサービスのホスト名とポート（DBHOST1.example.com（ポート6200）やDBHOST2.example.com（ポート6200）など）を使用します。

表21：Oracle RACコンポーネント・スキーマの情報

ドメインスキーマ名サービス名ユーザー名パスワード

IAMAccessDomain OAMインフラストラクチャ

iadedg.example.com EDGIAD_OAM パスワード


OPSSスキーマ iadedg.example.com EDGIAD_OPSS パスワード

OMSM MDSスキーマ iadedg.example.com EDGIAD_MDS パスワード

OMSMスキーマ iadedg.example.com EDGIAD_OMSM パスワード

IAMGovernanceDomain OIMスキーマ igdedg.example.com EDGIGD_OIM パスワード

SOAインフラストラクチャ

igdedg.example.com EDGIGD_SOAINFRA パスワード

User Messaging Service igdedg.example.com EDGIGD_ORASDPM パスワード

BIPスキーマ igdedg.example.com EDGIGD_BIPLATFORM パスワード

OIM MDSスキーマ igdedg.example.com EDGIGD_MDS パスワード

OWSM MDSスキーマ iadedg.example.com EDGIGD_MDS パスワード

SOA MDSスキーマ igdedg.example.com EDGIGD_MDS パスワード

OPSSスキーマ igdedg.example.com EDGIGD_OPSS パスワード


11. Test Component Schema画面では、ウィザードによってデータソースが検証されます。データソースの

検証が成功したら、「Next」をクリックします。失敗した場合、「Previous」をクリックして問題を修正

し、再試行します。

12. Select Optional Configuration画面で、次の内容を選択します。 » Administration Server

» JMS Distributed Destination（IAMGovernanceDomainのみ）

» Managed Servers、Clusters、Machines

» JMS File Store（IAMGovernanceDomainのみ）


13. Configure the Administration Server画面で、次の値を入力します。

Name：AdminServer

Listen Address：作成するドメインの表を参照してください。

Listen Port：作成するドメインの表を参照してください。

SSL listen port：N/A

SSL enabled：オフ


14. JMS Distributed Destination画面（IAMGovernanceDomainのみ）で、画面に表示されるすべてのJMSシ

ステム・リソースがUniform Distributed Destinationであることを確認します。そうでない場合は、ド

ロップダウン・ボックスから「UDD」を選択します。エントリが次のように表示されていることを確認

します。 JMS SYSTEM RESOURCE UNIFORM/WEIGHTED DISTRIBUTED DESTINATION

JRFWSASYNCJMSMODULE BIPJMSRESOURCE

UDD UDD

UMSJMSSYSTEMRESOURCE UDD


SOAJMSMODULE UDD

OIMJMSMODULE UDD

BPMJMSMODULE UDD

表22：JMS Distributed Destinationの情報


次のメッセージが含まれるOverride Warningボックスが表示されます。

CFGFWK-40915:At least one JMS system resource has been selected for conversion to a Uniform Distributed Destination (UDD).This conversion will take place only if the JMS System resource is assigned to a cluster

Override Warningボックスで「OK」をクリックします。

15. Configure Managed Servers画面を初めて表示すると、多くの管理対象サーバーが作成されています。こ

れらのエントリは、削除しないでください。以下のように、既存のエントリの編集と新しいエントリの

追加を行います。既存のエントリは、ポート経由で適合させることができます。ドメイン名前リスニング・アドレスリスニング・ポート SSLリスニング・ポート SSL有効化

IAMAccessDomain WLS_OAM1 OAMHOST1.example.com 14100 N/A いいえ

WLS_OAM2 OAMHOST2.example.com 14100 N/A いいえ

WLS_AMA1 OAMHOST1.example.com 14150 N/A いいえ

WLS_AMA2 OAMHOST2.example.com 14150 N/A いいえ

WLS_MSM1 OAMHOST1.example.com 14180 14181 はい

WLS_MSM2 OAMHOST2.example.com 14180 14181 はい

IAMGovernanceDomain WLS_OIM1 OIMHOST1VHN1.example.com 14000 N/A いいえ

WLS_OIM2 OIMHOST2VHN1.example.com 14000 N/A いいえ

WLS_SOA1 OIMHOST1VNH2.example.com 8001 N/A いいえ

WLS_SOA2 OIMHOST2VNH2.example.com 8001 N/A いいえ

WLS_BI1 OIMHOST1VHN3.example.com 9704 N/A いいえ

WLS_BI2 OIMHOST2VHN3.example.com 9704 N/A いいえ

表22：WebLogic管理対象サーバーの情報


16. Configure Clusters画面で、以下のようにクラスタを作成します。「Add」をクリックして次の情報を入

力します。

ドメイン名名前クラスタ・メッセージン

グ・モード

マルチキャスト・

アドレスマルチキャスト・

ポートクラスタ・アドレス

IAMAccessDomain cluster_oam unicast N/A N/A

cluster_ama unicast N/A N/A

cluster_msm unicast N/A N/A

IAMGovernanceDomain cluster_oim unicast N/A N/A OIMHOST1VHN1:14000、OIMHOST2VHN1:14000

cluster_soa cluster_bi

unicast unicast

N/A N/A

N/A N/A

OIMHOST1VHN2:8001 、 OIMHOST2VHN2:8001 OIMHOST1VHN3:9704、OIMHOST2VHN3:9704


表23：WebLogicクラスタの情報


17. Assign Servers to Clusters画面で、以下のように管理対象サーバーとクラスタを関連付けます。右ペイン

のクラスタ名をクリックします。Serversの管理対象サーバーをクリックしてから、矢印をクリックして

このサーバーとクラスタを関連付けます。クラスタドメイン管理対象サーバー

cluster_oam IAMAccessDomain WLS_OAM1 WLS_OAM2

cluster_ama IAMAccessDomain WLS_AMA1 WLS_AMA2

cluster_msm IAMAccessDomain WLS_MSM1 WLS_MSM2

cluster_oim IAMGovernanceDomain WLS_OIM1 WLS_OIM2

cluster_soa

cluster_bi

IAMGovernanceDomain IAMGovernanceDomain

WLS_SOA1 WLS_SOA2 WLS_BI1 WLS_BI2

表24：WebLogicクラスタの詳細


18. Configure Machines画面で、「Unix Machine」タブ（Windowsでは「Machine」タブ）をクリックして

から「Add」をクリックして、次のマシンを追加します。マシン名は、有効なホスト名やリスニング・

アドレスである必要はありません。これは、ノード・マネージャの場所の単なる一意の識別子です。

注：LocalMachineというマシンが表示されたら、これを削除します。

ドメイン名前ノード・マネージャのリスニング・アドレスノード・マネージャの

リスニング・ポート

IAMAccessDomain ADMINHOST LOCALHOST 5556

OAMHOST1.example.com OAMHOST1.example.com 5556

OAMHOST2.example.com OAMHOST2.example.com 5556

IAMGovernanceDomain ADMINHOST LOCALHOST 5556

OIMHOST1.example.com OIMHOST1.example.com 5556

OIMHOST2.example.com OIMHOST2.example.com 5556

表25：WebLogicのマシン情報


19. Assign Servers to Machines画面で、次のようにサーバーをマシンに割り当てます。マシン名管理対象サーバー

ADMINHOST AdminServer

OAMHOST1.example.com WLS_OAM1 WLS_AMA1 WLS_MSM1


OAMHOST2.example.com WLS_OAM2 WLS_AMA2 WLS_MSM2

OIMHOST1.example.com WLS_SOA1

WLS_OIM1

WLS_BI1

OIMHOST2.example.com WLS_SOA2 WLS_OIM2

WLS_BI2

表26：WebLogic Serverとマシンのマッピング情報


20. Configure JMS File Stores画面（IAMGovernanceDomainのみ）で、JMSファイル・ストアのディレクト

リの場所を更新します。次の表の情報を入力します。

表27：JMSファイル・ストアの情報

名前ディレクトリ

BipJmsStore SHARED_CONFIG_DIR/domains/IAMGovernanceDomain/jms/BipJmsStore

UMSJMSFileStore_auto_1 SHARED_CONFIG_DIR/domains/IAMGovernanceDomain/jms/UMSJMSFileStore_a uto_1

UMSJMSFileStore_auto_2 SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/UMSJMSFileStore_auto_2

BPMJMSServer_auto_1 / SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/BPMJMSServer_auto_1

BPMJMSServer_auto_2 SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/BPMJMSServer_auto_2

SOAJMSFileStore_auto_1 SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/SOAJMSFileStore_auto_1

SOAJMSFileStore_auto_2 SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/SOAJMSFileStore_auto_2

OIMJMSFileStore_auto_1 SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/OIMJMSFileStore_auto_1

OIMJMSFileStore_auto_2 SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/OIMJMSFileStore_auto_2

JRFWSASYNCFILESTORE_AUTO_1

SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/JRFWSAsyncFileStore_auto_1

JRFWSASYNCFILESTORE_AUTO_2

SHARED_CONFIG_DIR/domains/IAMGovernanceDomain

/jms/JRFWSAsyncFileStore_auto_2

注：上記のディレクトリの場所は、共有ストレージ上にあり、OIMHOST1とOIMHOST2からアクセスできる必要があります。



21. Configuration Summary画面で、選択内容が正しいことを検証してから「Create」をクリックします。

22. Create Domain画面で、「Done」をクリックします。構成後および検証のタスク構成ウィザードでドメ

インを構成した後、次の構成後と検証の手順を実行します。

ドメインとOracle Platform Security Services（OPSS）ポリシー・ストアの関

連付けデータベース内で、ドメインとOracle Platform Security Servicesポリシー・ストアを関連付ける必要があります。この手順は、ドメインの起動前に実行する必要があります。

ドメインとOracle Platform Security Services（OPSS）ポリシー・ストアの関連付け

データベース内で、ドメインとOracle Platform Security Servicesポリシー・ストアを関連付ける必要があります。この手順は、ドメインの起動前に実行する必要があります。

ドメインIAMAccessDomainをOracle Platform Security Servicesセキュリティ・ストアと関連付けるには、次のコマンドを使用します。

ORACLE_COMMON_HOME/common/bin/wlst.sh IAD_ORACLE_HOME/common/tools/configureSecurityStore.py -d

IAD_ASERVER_HOME -c IAM -m create -p opss_schema_password

To associate the domain IAMGovernanceDomain with the OPSS security store use the following command:

ORACLE_COMMON_HOME/common/bin/wlst.sh IGD_ORACLE_HOME/common/tools/configureSecurityStore.py -d

IGD_ASERVER_HOME -c IAM -m create -p opss_schema_password

次のコマンドを発行して、上記のコマンドが正しく実行されたことを検証します。

ORACLE_COMMON_HOME/common/bin/wlst.sh IAD_ORACLE_HOME/common/tools/configureSecurityStore.py -d

IAD_ASERVER_HOME -m validate

OR

ORACLE_COMMON_HOME/common/bin/wlst.sh IGD_ORACLE_HOME/common/tools/configureSecurityStore.py -d

IGD_ASERVER_HOME -m validate

手動でのシステム・プロパティの追加

次のようにテキスト・エディタを使用して、ASERVER_HOMEのbinディレクトリにあるstartWebLogic.shスクリプトに、システム・プロパティ-Djava.net.preferIPv4Stack=trueを手動で追加します。

1. startWebLogic.shスクリプトで次の行を見つけます。

. ${DOMAIN_HOME}/bin/setDomainEnv.sh $*

2. 上記のエントリのすぐ後に、次のプロパティを追加します。

JAVA_OPTIONS="${JAVA_OPTIONS} -Djava.net.preferIPv4Stack=true"

3. ファイルを保存して閉じます。

ドメインごとに、この手順を完了します。

メモリ・パラメータの設定

IAMAccessDomainでは、メモリ使用量を定義する初期の起動パラメータが不十分です。これらのパラメータは、増やす必要があります。この操作を行うには、次の手順を実行します。


setDomainEnv.shファイルを編集してメモリ割当ての設定を変更するには、次の手順を実行します。

1. テキスト・エディタを使用して、次のディレクトリにあるsetDomainEnv.shファイルを見つけます。

ASERVER_HOME/bin

2. Javaの最大メモリ割当てプール（Xmx）を3072mに、初期のメモリ割当てプール（Xms）を1024mに更

新して、次のメモリ割当てを変更します。たとえば、次のとおりです。

WLS_MEM_ARGS_64BIT="-Xms1024m -Xmx3072m"

この操作を行うには、次のパラメータ値を変更します。

XMS_JROCKIT_64BIT="1024"

XMX_JROCKIT_64BIT="3072"

XMS_SUN_64BIT="1024"

XMX_SUN_64BIT="3072"

終了したら、ファイルを閉じます。

WebLogic管理サーバーのboot.propertiesの作成

ホストOAMHOST1、OIMHOST1で、それぞれ管理サーバーのboot.propertiesファイルを作成します。ファイルがすでに存在する場合は、そのファイルを編集します。boot.propertiesファイルを使用すると、管理者のユーザー名とパスワードを入力せずに管理サーバーを起動できます。

管理サーバーごとに、次の手順を実行します。

1. 次のディレクトリを作成します。

mkdir -p ASERVER_HOME/servers/AdminServer/security

ASERVER_HOMEは、その管理サーバー（IAMAccessDomainまたはIAMGovernanceDomain）とやり取りを行うSHARED_CONFIG_DIRドメイン・ディレクトリです。

2. テキスト・エディタで、前の手順で作成した最新のディレクトリにboot.propertiesというファイルを作

成し、そのファイルにユーザー名とパスワードを入力します。たとえば、次のとおりです。

username=weblogic

password=password for weblogic user

3. ファイルを保存してエディタを閉じます。

注：

ファイル内のユーザー名とパスワードのエントリは、管理サーバーを起動するまでは暗号化されません。セキュリティ上の理由から、ファイル内のエントリが暗号化されないままとなる時間は、できるだけ短くしてください。ファイルを編集したら、できるだけ早くサーバーを起動して、エントリが暗号化されるようにしてください。

ノード・マネージャの起動

WLSTを使用してノード・マネージャと接続して、管理サーバーを起動します。ただし、ノード・マネージャを使用して最初に管理サーバーを起動するときには、構成ウィザードがノード・マネージャ用に設定したデフォルトのユーザー名とパスワードを変更する必要があります。このため、管理サーバーを最初に起動するときは、起動スクリプトを使用する必要があります。次の手順に従って、ノード・マネージャを使用し


て管理サーバーを起動します。最初の起動操作でのみ、メモリ・パラメータの設定が必要です。

次の手順を実行して、管理ホスト上でノード・マネージャを起動します。

1. MW_HOME/wlserver_10.3/server/bin/ディレクトリにあるstartNodeManager.shスクリプトを実行します。

2. setNMProps.shスクリプトを実行して、StartScriptEnabledプロパティをtrueに設定します。

cd MW_HOME/oracle_common/common/bin

./setNMProps.sh

注：クラスのローディング障害やその他の問題を回避するには、StartScriptEnabledプロパティを使用する必要があります。

3. ノード・マネージャのプロセスを停止して、ノード・マネージャを停止します。

4. 構成ファイルを共有ストレージに移動します。また必須ではありませんが、構成ファイルをミドルウェ

ア・ホームから削除することをお勧めします。この操作を行うには、次の手順を実行します。

1. コマンドmkdir –p SHARED_CONFIG_DIR/nodemanager/hostname.domainを使用して、ノード・

マネージャのディレクトリを作成します。

2. ディレクトリMW_HOME/wlserver_10.3/common/nodemanager内のすべてのファイルを、ディレクトリ

SHARED_CONFIG_DIR/nodemanager/hostname.domainにコピーします。

3. ファイル SHARED_CONFIG_DIR/nodemanager/hostname.domain/nodemanager.properties を編集し、

DomainsFile、NodeManagerHome、LogFileのエントリでディレクトリ・パスを更新して、ディレクトリ

SHARED_CONFIG_DIR/nodemanager/hostname.domainを参照するようにします。

4. このホストに管理サーバーが含まれる場合は、nodemanage.propertiesでさらに次のプロパティを

設定します。

DomainRegistrationEnabled=true

5. 次のコンテンツを使用して、startNodeManagerWrapper.shというファイルを作成します。

#!/bin/sh

#

# This is a wrapper script that simply invokes "startNodeManager.sh"

# script after setting the appropriate JAVA_OPTIONS environment

# variable.

#

# Note: This script is provided as a convenience since we now have

# host specific node manager home directories and we need to specify

# the -DNodeManagerHome property prior to invoking "startNodeManager.sh"

# script to start an instance of node manager process manually.

#

# $Header:

faprov/modules/provisioning/framework/src/java/oracle/apps/fnd/provisioning/ant/taskdefs/util/star

tnodema nagerwrapper.template /main/3 2012/04/23 21:37:51 jjiembac Exp $

#

WLS_HOME=IAD_MW_HOME/wlserver_10.3 NM_HOME=SHARED_CONFIG_DIR/nodemanager/hostname.domain


# set an environment variable to allow node manager

# to read it's host specific configuration

JAVA_OPTIONS="-DNodeManagerHome=$NM_HOME $JAVA_OPTIONS"

export JAVA_OPTIONS

exec $WLS_HOME/server/bin/startNodeManager.sh

6. ファイルを保存して、このファイルに実行権限を付与します。

chmod 755 startNodeManagerWrapper.sh

5. この手順を、OAMHOST1、OAMHOST2、OIMHOST1、OIMHOST2の各ホストで繰り返します。

6. コマンドstartNodeManagerWrapper.shを使用して、ノード・マネージャを再起動します。

ノード・マネージャの資格証明の更新

WLSTを使用してノード・マネージャと接続して、管理サーバーを起動します。ただし、ノード・マネージャを使用して最初に管理サーバーを起動するときには、構成ウィザードがノード・マネージャ用に設定したデフォルトのユーザー名とパスワードを変更する必要があります。このため、管理サーバーを最初に起動するときは、起動スクリプトを使用する必要があります。次の手順に従って、ノード・マネージャを使用して管理サーバーを起動します。

1. ドメイン・ディレクトリで起動スクリプトを使用して、管理サーバーを起動します。

cd ASERVER_HOME/bin

./startWebLogic.sh

7. 管理コンソールを使用して、ドメインのノード・マネージャの資格証明を更新します。

a. ブラウザで、WebLogic管理コンソールにアクセスします。

http://IADADMINVHN.example.com:7001/console.

b. 管理者としてログインします。

c. 「Lock and Edit」をクリックします。

d. 「domain_name」をクリックします。

e. 「Security」タブ、「General」タブを選択します。

f. 「Advanced Options」を開きます。

g. ノード・マネージャの新しいユーザー名を入力するか、既存のユーザー名をメモしてノード・マ

ネージャのパスワードを更新します。

h. 「Save」をクリックします。

i. 「Activate Changes」をクリックします。

ホスト名の検証の無効化

この手順は、管理サーバーでさまざまなノードを認証するための適切な証明書を設定していない場合に必要です。「ノード・マネージャの設定」」を参照してください。サーバー証明書を構成していない状態で別のOracle WebLogic Serverを管理しようとすると、エラーが発生します。これらのエラーを回避するには、トポロジの設定と確認を行っている間はホスト名の検証を無効にし、「ノード・マネージャの設定」に記載されているEDGトポロジの構成が完了した時点で再び有効にします。


ホスト名の検証を無効にするには、以下の手順を実行します。

1. Oracle WebLogic Server管理にログインします。

2. インストール中に指定したパスワードを使用して、ユーザーweblogicとしてログインします。

3. 「Lock」と「Edit」をクリックします。

4. Domain Structureウィンドウで、「Environment」ノードを開きます。

5. 「Servers」をクリックします。Summary of Serversページが表示されます。

6. 表のName列で「AdminServer(admin)」を選択します。AdminServer(admin)のSettingsページが表示されます。

7. 「SSL」タブをクリックします。

8. 「Advanced」をクリックします。

9. Hostname Verificationを「None」に設定します。

10. 「Save」をクリックします。

11. 仮想IPアドレスをリスニングするドメイン内の管理対象サーバーごとに、この手順を繰り返します。

12. 「Activate Changes」をクリックします。

管理サーバーを再起動します。 1. コマンドstopWebLogic.sh（ASERVER_HOME/binディレクトリにあります）を発行して、WebLogic管理

サーバーを停止します。

2. WLSTを起動し、nmconnectと更新した資格証明を使用して、ノード・マネージャに接続します。次に、

nmstartを使用してWebLogic管理サーバーを起動します。

cd ORACLE_COMMON_HOME/common/bin

./wlst.sh

WLSTシェル内で、次のコマンドを1回実行します。

nmConnect('Admin_User','Admin_Pasword', 'ADMINHOST1','5556' domain_name','ASERVER_HOME’)

nmStart('AdminServer')

domain_nameはドメインの名前、Admin_userとAdmin_Passwordは手順2で入力したノード・マネージャのユーザー名とパスワードです。たとえば、次のとおりです。

nmConnect('weblogic','password', 'OAMHOST1','5556', 'IAMAccessDomain','ASERVER_HOME’)

nmStart('AdminServer')

WebLogic管理サーバーの検証次の手順を実行して、管理サーバーが適切に構成されていることを確認します。

1. ブラウザで、Oracle WebLogic Server管理コンソールにログインします。たとえば、次のとおりです。

http://IADADMINVHN.example.com:7001/console

2. WebLogic管理者（weblogicなど）としてログインします。

3. Oracle Enterprise Manager Fusion Middleware Controlにアクセスできることを確認します。たとえば、

次のとおりです。

http://IADADMINVHN.example.com:7001/em


4. Oracle Enterprise Manager Fusion Middleware Controlに、WebLogic管理者（weblogicなど）としてロ

グインします。

管理対象サーバー用の別のドメイン・ディレクトリの作成 packコマンドとunpackコマンドを使用して、管理サーバー用のドメイン・ディレクトリと管理対象サーバー用のドメイン・ディレクトリを分けます。解凍スクリプトを実行する前に、次のディレクトリが存在することを確認します。

IAD_MSERVER_HOME

IGD_MSERVER_HOME

ドメインIAMAccessDomain用に別のディレクトリを作成するには

1. 次のように、packコマンドを実行して、テンプレート・パックを作成します。


./pack.sh -managed=true -domain=IAD_ASERVER_HOME -template=domaintemplate.jar -

template_name=domain_template

2. 次のように、unpackコマンドを実行して、テンプレートを管理対象サーバー・ドメイン・ディレ

クトリに解凍します。


./unpack.sh -domain= IAD_MSERVER_HOME

-template=domaintemplate.jar -app_dir=IAD_MSERVER_HOME/applications

注：

unpackコマンドを実行するには、次のディレクトリに対する書込み権限を持っている必要があります。

LOCAL_CONFIG_DIR/domains/

リモート・サーバーへの変更の伝播

リモート・ホスト上の管理対象サーバーを起動するには、まずこれらのサーバー上で解凍を実行する必要があります。

IAMAccessDomainはOAMHOST2で、IAMGovernanceDomainはホストOIMHOST2で解凍する必要があります。

次の手順を実行します。

以上で作成したファイルdomaintemplate.jarを使用して、次のコマンドを使用してターゲット・ホストで解凍を実行します。


./unpack.sh -domain= IAD_MSERVER_HOME

-template=domaintemplate.jar -app_dir=IAD_MSERVER_HOME/applications

ファイルnodemanager.domainsをディレクトリSHARED_CONFIG/nodemanager/hostnameに再コピーします。

リモート・ホスト上でのノード・マネージャの起動

ホストOIMHOST1、OIMHOST2、OAMHOST1、OAMHOST2で次の手順を実行します。

ノード・マネージャがまだ起動されていない場合は、前述の「ノード・マネージャの起動」の手順を実行して起動します。Web層の構成


ここでは、WebLogicドメイン用のOracle HTTP Serverを構成し、その構成を確認するタスクについて説明します。

Oracle HTTP Serverの構成エントリは、このドキュメントの「Oracle HTTP Serverの構成」の項にあります。

Web Logic ServerによるOracle HTTP Serverの登録

Oracle Enterprise Manager Fusion Middleware ControlでOracle HTTP Serverを監視および管理できるようにするには、IAMAccessDomainを使用してOracle HTTP Serverを登録する必要があります。この操作を行うには、次のコマンドを使用して、WebLogic ServerでOracle HTTP Serverを登録する必要があります。

cd OHS_ORACLE_INSTANCE/bin

./opmnctl registerinstance -adminHost IADADMINVHN.example.com \

-adminPort 7001 -adminUsername WebLogic

また、ohs2の場合は、このコマンドをOHSHOST2から実行する必要があります。

注：この手順は任意です。各Oracle HTTP Serverは、1つのドメインでのみ登録できます。

管理コンソールのフロントエンドURLの設定

Oracle WebLogic Server管理コンソールでは、コンソールを使用してポート、チャネル、セキュリティの変更を追跡します。コンソール経由の変更がアクティブ化されると、コンソールで現在リスニングしているアドレス、ポート、プロトコルが検証されます。リスニングしているアドレス、ポート、プロトコルが引き続き有効な場合は、コンソールによってHTTPリクエストがリダイレクトされ、ホストとポートの情報が管理サーバーのリスニングのアドレスとポートに置き換えられます。ロードバランサを使用して管理コンソールにアクセスする場合は、管理サーバーのフロントエンドURLを変更して、ユーザーのブラウザが適切なロードバランサ・アドレスにリダイレクトされるようにする必要があります。この変更を行うには、次の手順を実行します。

1. Oracle WebLogic Serverコンソールにログインします。

2. 「Lock and Edit」をクリックします。


4. 「Servers」をクリックして、Summary of Serversページを開きます。

5. 表のNames列で「Admin Server」を選択します。AdminServer(admin)のSettingsページが表示されます。

6. 「Protocols」タブをクリックします。

7. 「HTTP」タブをクリックします。

8. Front End HostフィールドとFront End HTTP PORTフィールドを、以下のようにロードバランサのアドレスに

設定します。表28：フロントエンドURLの情報

ドメインフロントエンド・ホストフロントエンドHTTPポート

IAMAccessDomain iadadmin.example.com 80

IAMGovernanceDomain igdadmin.example.com 80

9. 保存して変更内容をアクティブ化します。

リダイレクションを削除するためのベスト・プラクティスは、管理コンソールの変更のフォロー機能を無効にすることです。この操作を実行するには、管理コンソールにログインして「Preferences」→「Shared Preferences」をクリックします。「Follow Configuration Changes」を選択解除して、「Save」をクリックします。


WebLogicプラグインの有効化

エンタープライズ・デプロイメントでは、Oracle WebLogic Serverの前にOracle HTTP Serverが配置されます。また、HTTP Serverの前には、SSL変換を実行するロードバランサが配置されます。httpsプリフィックス付きの内部ループバックURLを生成するには、Oracle WebLogic Serverに対して、Oracle HTTP Server WebLogicプラグイン経由でリクエストを受信することを通知する必要があります。

このプラグインは、ドメイン、クラスタ、または管理対象サーバーのレベルで設定できます。Oracle WebLogic ServerへのリクエストはすべてOracle Http Serverプラグイン経由であるため、ドメイン・レベルで設定します。

この操作を行うには、次の手順を実行します。

1. Oracle WebLogic Server管理コンソールにログインします。 2. 「Lock and Edit」をクリックします。

3. 「domain_name」（Domain Structureメニューの「IAMAccessDomain」など）をクリックします。

4. 「Configuration」タブをクリックします。

5. 「Web Applications」サブ・タブをクリックします。

6. 「WebLogic Plugin Enabled」を選択します。


8. 「Activate the Changes」をクリックします。

9. WebLogic管理サーバーを再起動します。

管理コンソールで、サーバーのステータスがRunningと報告されていることを確認します。サーバーの状態がStartingまたはResumingと表示される場合は、Startedに変わるまで待ちます。その他のステータス

（AdminやFailed）が報告されている場合は、サーバーの出力ログ・ファイルでエラーがないかどうかを確認します。

Oracle HTTP Server経由で、管理コンソールとOracle Enterprise Manager Fusion Middleware Controlを検証します。この場合、Web層の統合後に使用できるURLとともに、consoleやemを使用します。たとえば、次のとおりです。



http://iadadmin.example.com/apm


http://igdadmin.example.com/em

WebLogic管理サーバーの手動によるフェイルオーバー管理サーバーを実行するノードで障害が発生した場合は、管理サーバーを別のノードにフェイルオーバーできます。この操作を行うには、次の手順を実行します。

» 障害の発生したサーバーで、管理サーバーの仮想IPアドレスを無効にします（無効になっていない場合）。

» 障害の発生したサーバーから、ASERVER_HOME共有ファイル・システムをアンマウントします（マウント解除されていない場合）。

» ASERVER_HOME共有ファイル・システムを新しいノードにマウントします。

» 新しいサーバーで、管理サーバーの仮想IPアドレスを有効にします。

» 管理サーバーを起動します。



http://iadadmin.example.com/apm



WebLogicドメインのバックアップベスト・プラクティスとして、各層のインストールと構成を完了した後、または、その他の論理ポイントでバックアップを作成することをお勧めします。その時点までのインストールが成功していることを確認してから、バックアップを作成します。これは、後の手順で問題が発生した場合に迅速にリストアするための、クイック・バックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了したら、このバックアップを破棄できます。エンタープライズ・デプロイメントの設定が完了したら、通常のデプロイメント固有のバックアップとリカバリのプロセスを開始できます。

データベースのバックアップについては、データベースのドキュメントを参照してください。この時点でインストールをバックアップするには、次の手順を実行します。

1. Web層をバックアップします。

2. データベースをバックアップします。これは、データベース全体のバックアップ（ホット・バッ

クアップまたはコールド・バックアップ）です。使用するツールは、Oracle Recovery Managerを

お勧めします。

3. ノード・マネージャと、ドメインで実行中のすべてのプロセスを停止します。

4. 管理サーバーのドメイン・ディレクトリをバックアップします。これで、ドメイン構成が保存さ

れます。構成ファイルは、すべてORACLE_BASE/admin/domainName/aserverディレクトリにあり

ます。

Oracle Unified Directory（OUD）の構成ここでは、Oracle Unified Directoryレプリケーションを使用して、高可用性デプロイメントでOracle Unified Directoryを構成する方法を説明します。

構成を開始する前に、各LDAPHOSTでグリニッジ標準時を使用して時刻を同期化し、LDAPHOST間の不一致が250秒以内となるようにします。

使用しているオペレーティング・システムで次のコマンドを発行して、ポート1389、1636、4444、8989がコンピュータ上のサービスで使用されていないことを確認します。ポートが使用中でない場合は、コマンドから出力が返されません。

Linuxの場合：

netstat -an | grep "1389"

ポートが使用中の場合（いずれかのポートを識別する出力がコマンドから返された場合）は、ポートを解放する必要があります。Linuxの場合：

/etc/servicesファイル中のポート1389、1636、4444、8989のエントリを削除して、サービスまたはコンピュータを再起動します。

LDAPHOST1でのOracle Unified Directoryの構成

環境変数JAVA_HOMEを設定します。

環境変数のINSTANCE_NAMEを../../admin/oud1に設定します。

E.g. :INSTANCE_NAME=../../../../u02/private/oracle/config/instances/oud1


ツールではOUD_ORACLE_HOMEに関連するインスタンス・ホームが作成されるため、LOCAL_CONFIG_DIR/ instancesに作成したインスタンスを取得するには、前のディレクトリを含める必要があります。

ディレクトリをOUD_ORACLE_HOMEに変更します。

次のコマンドを実行して、Oracle Unified Directory構成アシスタントを起動します。

Linux

./oud-setup


2. Server Settings画面で、次のように入力します。

Host Name：Oracle Unified Directoryが実行されているホストの名前（LDAPHOST1.example.comなど）です。

LDAP Listener Port：1389 Administration Connector Port：4444 LDAP Secure Access：「Configure」をクリックします。Security Optionsページで、次のように入力します。

SSL Access：選択します。

E Enable SSL on Port：1636

Certificate：自己署名証明書を生成するか、自分の証明書の詳細情報を入力します。


Root User DN：cn=oudadminなどの管理ユーザーを入力します。

P Password：ouadminユーザーに割り当てるパスワードを入力します。

Password (Confirm)：パスワードを再入力します。


3. Topology Options画面で、次のように設定します。

次を選択します。This will server will be part of a replication topology

次のように入力します。Replication Port：8989

次を選択します。Configure As Secure。レプリケーション・トラフィックを暗号化する場合。そうでない場合は、選択しないまま残します。There is already a server in the topology：選択しないまま残します。


4. Directory Data画面で、次のように入力します。

Directory Base DN：dc=example、dc=com

Directory Data：ベース・エントリを作成するだけです。


5. Oracle Components Integration画面で、「Next」をクリックします。

6. Runtime Options画面で、「Next」をクリックします。

7. Review画面で、表示されている情報が正しいことを確認して「Finish」をクリックします。

8. Finished画面で、「Close」をクリックします。

構成後に、簡単な検索を実行して、Oracle Unified Directoryが動作していることを検証できます。この操作


を行うには、次のコマンドを発行します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST1.example.com -p 1389 -D cn=oudadmin -b "" -s base

"(objectclass=*)" supportedControl

Oracle Unified Directoryが正しく動作している場合は、supportedControlエントリのリストが返されます。LDAPHOST2でのOracle Unified Directoryの構成

環境変数JAVA_HOMEを設定します。

環境変数のINSTANCE_NAMEを../../admin/oud2に設定します。

INSTANCE_NAME=../../../../u02/private/oracle/config/instances/oud2

ツールでは OUD_ORACLE_HOME に関連するインスタンス・ホームが作成されるため、LOCAL_CONFIG_DIR/instancesに作成したインスタンスを取得するには、前のディレクトリを含める必要があります。

ディレクトリをOUD_ORACLE_HOMEに変更します。

次のコマンドを実行して、Oracle Unified Directory構成アシスタントを起動します。

Linux

./oud-setup


2. Server Settings画面で、次のように入力します。

Host Name：Oracle Unified Directoryが実行されているホストの名前です。たとえば、次のとおりです。LDAPHOST2.example.com

LDAP Listener Port：1389

Administration Connector Port：4444

LDAP Secure Access：

「Configure」をクリックします。

「SSL Access」を選択します。

Enable SSL on Port：1636

Certificate：自己署名証明書を生成するか、自分の証明書の詳細情報を入力します。


Root User DN：cn=oudadminなどの管理ユーザーを入力します。

Password：ouadminユーザーに割り当てるパスワードを入力します。

Password (Confirm)：パスワードを再入力します。


3. Topology Options画面で、次のように入力します。

This server will be part of a replication topology Replication Port：8989

レプリケーション・トラフィックを暗号化する場合は、「Configure As Secure」を選択します。


There is already a server in the topology：選択します。

次のように入力します。

Host Name：Oracle Unified Directoryの既存のサーバー・ホストの名前（LDAPHOST1.example.comなど）です。

Administrator Connector Port：4444

Admin User：LDAPHOST1上のOracle Unified Directory管理ユーザーの名前（cn=oudadminなど）です。

Admin Password：管理者パスワードです。

「Next」をクリックします。Not Trusted Dialogueという証明書が表示された場合、その理由は自己署名証明書を使用しているためです。「Accept Permanently」をクリックします。


4. Create Global Administrator画面で、次のように入力します。

Global Administrator ID：Oracle Unified Directoryレプリケーションの管理に使用するアカウント名（oudmanagerなど）を入力します。

Global Administrator Password / Confirmation：このアカウントのパスワードを入力します。


5. Data Replication画面で、「dc=example.com」を選択して「Next」をクリックします。

6. Oracle Components Integration画面で、「Next」をクリックします。

7. Runtime Options画面で、「Next」をクリックします。

8. Review画面で、表示されている情報が正しいことを確認して「Finish」をクリックします。

9. Finished画面で、「Close」をクリックします。

Oracle Unified Directoryの検証構成後に、簡単な検索を実行して、Oracle Unified Directoryが動作していることを検証できます。この操作を行うには、次のコマンドを発行します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAPHOST2.example.com -p 1389 -D cn=oudadmin -b "" -s base


Oracle Unified Directoryが正しく動作している場合は、supportedControlエントリのリストが返されます。

また、次のコマンドを発行して、ロードバランサ経由でOracle Unified Directoryにアクセスできることを検証します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h idstore.example.com -p 1389 -D cn=oudadmin -b "" -s base


Oracle Unified Directoryレプリケーションが有効であることを確認するには、次のコマンドを発行します。

OUD_ORACLE_INSTANCE/OUD/bin/status

管理者のバインドDN（cn=oudadmin）とそのパスワードの入力を求められます。すると、次のような出力が表示されます。レプリケーションが有効に設定されます。

--- Server Status ---


Server Run Status:

Started Open Connections: 2

--- Server Details ---

Host Name: slc01fnv

Administrative Users: cn=oudadmin

Installation Path: /u01/oracle/product/fmw/oud

Instance Path: /u01/oracle/admin/oud1/OUD

Version: Oracle Unified Directory 11.1.2.0.0

Java Version: 1.6.0_29

Administration Connector: Port 4444 (LDAPS)

--- Connection Handlers --- Address:Port : Protocol : State

-------------:-------------:----------- :

LDIF : Disabled

8989 : Replication : Enabled

0.0.0.0:161 : SNMP : Disabled

0.0.0.0:1389 : LDAP : Enabled

0.0.0.0:1636 : LDAPS : Enabled

0.0.0.0:1689 : JMX : Disabled

--- Data Sources ---

Base DN: dc=example ,dc=com

Backend ID: userRoot

Entries: 1

Replication: Enabled

Missing Changes: 0

Age Of Oldest Missing Change: <not available>

Status

Oracle Unified Directoryのオブジェクト作成制限の緩和 Oracle Identity Managementでは、Oracle Unified Directoryに多くのオブジェクト・クラスを作成する必要があります。次の手順を実行して、Oracle Unified Directoryで必要なオブジェクト・クラスを作成できるようにします。

Oracle Unified Directoryのインスタンス（LDAPHOST2.example.comなど）ごとに、次のコマンドを実行します。

OUD_ORACLE_INSTANCE/OUD/dsconfig -h LDAPHOST1.example.com -p 4444 -D "cn=oudadmin" –j./password_file

-n \

set-global-configuration-prop \

--set single-structural-objectclass-behavior:warn \

--trustAll


Oracle Unified Directoryでのパスワード・ポリシーの構成 Oracle Identity Manager（OIM）を有効にしてユーザー・アカウントをロックしたい場合は、Oracle Unified Directoryサーバーでパスワード・ポリシーを有効にする必要があります。

パスワード・ポリシーでは、ソースLDAPディレクトリ・サーバーでアカウントがロックされるまでの、ログイン失敗の上限回数を定義する必要があります。

次のコマンドを使用して、Oracle Unified Directoryのパスワード・ポリシーを構成します。

OUD_ORACLE_INSTANCE/OUD/bin/dsconfig -h LDAPHOST1.example.com -p <OUD Admin SSL port> -D <OUD Admin

id> -j

./password_file -n set-password-policy-prop --policy-name “Default Password Policy” \

--set “lockout-failure-count:10”

Oracle Unified Directoryのインスタンス（LDAPHOST2など）ごとに、次のコマンドを繰り返します。

ロードバランサ経由のOracle Unified Directoryの検証また、次のコマンドを発行して、ロードバランサ経由でOracle Unified Directoryにアクセスできることを検証します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h LDAP_LBR_HOST -p LDAP_LBR_PORT -D OUD_Adminisitrator -b ""

-s base "(objectclass=*)" supportedControl


OUD_ORACLE_INSTANCE/OUD/bin/ldapsearch -h IDSTORE.mycompany.com -p 1389 -D cn=oudadmin -b "" -s base


Oracle Unified Directoryのインストールのバックアップ各層のインストールと構成を完了してインストールが成功したことを確認した後、またはその他のいずれかの論理ポイントで、バックアップを作成します。これは、後の手順で問題が発生した場合にすぐにリストアを実行できるようにするための、クイック・バックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了したら、このバックアップを破棄できます。その時点で、通常のデプロイメント固有のバックアップおよびリカバリ・プロセスの使用を開始できます。

Oracle Unified Directoryデータベースのバックアップについては、『Oracle Unified Directory Administrator's Guide』を参照してください。

この時点でインストールをバックアップするには、次の手順を実行します。

Oracle Unified Directoryインスタンスをディレクトリ層にバックアップします。

1. リンク中のコマンドを使用してインスタンスを停止し、コマンドを停止します。

2. ディレクトリ層にミドルウェア・ホームのバックアップを作成します。Linuxでは、rootユーザーとして

次のように入力します。

tar -cvpf BACKUP_LOCATION/dirtier.tar MW_HOME

3. rootユーザーとして、ディレクトリ層にインスタンス・ホームのバックアップを作成します。次のよう

に入力します。

tar -cvpf BACKUP_LOCATION/instance_backup.tar ORACLE_INSTANCE


Oracle Internet Directory（OID）の構成この項では、高可用性を確保できるようにOracle Internet Directoryをインストールする方法を説明します。Oracle Unified DirectoryをLDAPディレクトリとして使用している場合は、この操作を行う必要はありません。

LDAPHOST1でのInternet Directoryの構成注：構成を開始する前に、ロードバランサでのOracle Internet Directoryの監視を無効にしてください（構成されている場合）。この操作を行わないと、構成中にOracle Internet Directoryの管理者アカウントがロックされ、構成が失敗します。

1. 使用しているオペレーティング・システムで次のコマンドを発行して、ポート3060と3061がコン

ピュータ上のサービスで使用されていないことを確認します。ポートが使用中でない場合は、コマンド

から出力が返されません。

UNIXの場合：



ポートが使用中の場合（いずれかのポートを識別する出力がコマンドから返された場合）は、ポートを解放する必要があります。

2. インストール・メディアのREPOS_HOME/installers/idm/Disk1/stage/Responseディレクトリから一時

ディレクトリに、staticports.iniファイルをコピーします。

3. 一時ディレクトリにコピーしたstaticports.iniファイルを編集して、次のようにポート3060と3061を割り

当て、以下のエントリに対応するファイル中のエントリのコメントを解除して、適切に値を設定します。

表29：Oracle Internet Directoryポートの情報

エントリ値

Oracle Internet Directoryのポート番号 3060

Oracle Internet Directory（SSL）のポート番号 3061

4. 次のコマンドを実行して、Oracle Identity Management 11gの構成アシスタントを起動します。

DIR_MW_HOME/oid/bin/config.sh


6. Select Domain画面で、「Configure without a Domain」を選択します。「Next」をクリックします。

7. Specify Installation Location画面で、次の値を指定します。

Oracle Instance Location：LOCAL_CONFIG_DIR/instances/oid1

Oracle Instance Name：oid1



す。



9. Configure Components画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントを

選択解除します。次に、「Next」をクリックします。

10. Configure Ports画面で、「Specify Ports Using Configuration File」を選択して、一時ディレクトリで編集した

staticports.iniファイルのフルパス名を入力します。「Next」をクリックします。

11. Specify Schema Database画面で、「Use Existing Schema」を選択して、次の値を指定します。

Connect String：igddb-scan.example.com:1521:igddb1^ igddb- scan.example.com:1521:[email protected]

User Name：ODS

Password：RCUで作成したOracle Internet Directoryスキーマのパスワードを入力します。


12. Configure Oracle Internet Directory画面で、次のように指定します。

Realm：会社情報の保存先（dc=example,dc=comなど）

Administrator Password：Oracle Internet Directoryの管理者アカウントcn=orcladminに割り当てるパスワード

Confirm Password：管理者パスワードを再入力します。


13. Installation Summary画面で、選択内容が正しいことを確認します。正しくない場合は、「Back」をク

リックして前の画面で選択内容を変更します。正しい場合は、「Configure」をクリックします。

14. LinuxシステムとUNIXシステムでは、ダイアログ・ボックスが表示され、oracleRoot.shスクリプトの実

行を求められる場合があります。次のプロンプトが表示されたら、rootユーザーとしてoracleRoot.shス

クリプトを実行します。

Do you want to run oidRoot.sh to configure OID for privileged ports?(yes/no)

yesと入力します。

15. Configuration Progress画面では、複数の構成アシスタントが連続して起動されます。このプロセスには、

時間がかかる場合があります。構成プロセスが終了するまで待機します。

終了したら、「Next」をクリックします。


LDAPHOST1でのOracle Internet Directoryのインストールの検証

LDAPHOST1でOracle Internet Directoryインスタンスのインストールを検証するには、次のコマンドを発行します。

export ORACLE_HOME=OID_ORACLE_HOME

$ORACLE_HOME/bin/ldapbind -h ldaphost1.example.com -p 3060 -D "cn=orcladmin" –q

$ORACLE_HOME/bin/ldapbind -h ldapdhost1.example.com -p 3061 -D "cn=orcladmin" -q -U 1


管理者パスワードの入力を求められます。

Oracle Internet DirectoryのOracleホームからldapbindを起動することが重要です。多くのLinuxシステムには、Oracle Internet Directoryと互換性のないldapbindのopenldapバージョンが付属しています。

LDAPHOST2でのOracle Internet Directoryの構成注：構成を開始する前に、ロードバランサでのOracle Internet Directoryの監視を無効にしてください（構成されている場合）。この操作を行わないと、構成中にOracle Internet Directoryの管理者アカウントがロックされ、構成が失敗します。

1. 使用しているオペレーティング・システムで次のコマンドを発行して、ポート3060と3061がコン

ピュータ上のサービスで使用されていないことを確認します。ポートが使用中でない場合は、コマンド

から出力が返されません。

UNIXの場合：



ポートが使用中の場合（いずれかのポートを識別する出力がコマンドから返された場合）は、ポートを解放するか、別のポートを選択する必要があります。

2. 前に作成したstaticports.ini一時ファイルを、LDAPHOST2で使用できるようにします。

3. 次のコマンドを実行して、Oracle Identity Management 11gの構成アシスタントを起動します。

DIR_MW_HOME/oid/bin/config.sh


5. Select Domain画面で、「Configure without a Domain」を選択します。「Next」をクリックします。

6. Specify Installation Location画面で、次の値を指定します。

Oracle Instance Location：LOCAL_CONFIG_DIR/instances/oid2

Oracle Instance Name：oid2



す。「Next」をクリックします。

8. Configure Components画面で、「Oracle Internet Directory」を選択し、その他のすべてのコンポーネントを

選択解除します。次に、「Next」をクリックします。

9. Configure Ports画面で、「Specify Ports Using Configuration File」を選択して、一時ディレクトリで編集した

staticports.iniファイルのフルパス名を入力します。「Next」をクリックします。

10. Specify Schema Database画面で、「Use Existing Schema」を選択して、次の値を指定します Connect String：igddb-scan.example.com:1521:igddb1^ igddb- scan.example.com:1521:[email protected]

User Name：ODS

Password：RCUで作成したOracle Internet Directoryスキーマのパスワードを入力します。



ODS Schema in useというメッセージが表示されます。選択したODSスキーマは、既存のOracle Internet Directoryインスタンスですでに使用中です。このため、構成中の新しいOracle Internet Directoryインスタンスでは、同じスキーマが再利用されます。

「Yes」をクリックして次に進みます。

ポップアップ・ウィンドウに、次のメッセージが表示されます。

"Please ensure that the system time on this Identity Management Node is in sync with the time on other Identity management Nodes that are part of the Oracle Application Server Cluster (Identity Management) configuration.Failure to ensure this may result in unwanted instance failovers, inconsistent operational attributes in directory entries and potential inconsistent behavior of password state policies."

LDAPHOST1とLDAPHOST2の間で、システム時間が同期化されていることを確認します。「OK」をクリックして次に進みます。

11. Specify OID Admin Password画面で、最初のOracle Internet Directoryインスタンスの作成時に指定した

Oracle Internet Directoryの管理者パスワードを指定します。


12. Installation Summary画面で、選択内容が正しいことを確認します。正しくない場合は、「Back」をク

リックして前の画面で選択内容を変更します。正しい場合は、「Configure」をクリックします。

13. LinuxシステムとUNIXシステムでは、ダイアログ・ボックスが表示され、oracleRoot.shスクリプトの実

行を求められる場合があります。次のプロンプトが表示されたら、rootユーザーとしてoracleRoot.shス

クリプトを実行します。

Do you want to run oidRoot.sh to configure OID for privileged ports?(yes/no)

yesと入力します。

14. Configuration Progress画面では、複数の構成アシスタントが連続して起動されます。このプロセスには、

時間がかかる場合があります。構成プロセスが終了するまで待機します。終了したら、「Next」をク

リックします。。


LDAPHOST2でのOracle Internet Directoryのインストールの検証

LDAPHOST2でOracle Internet Directoryインスタンスのインストールを検証するには、次のコマンドを発行します。

export ORACLE_HOME=OID_ORACLE_HOME

$ORACLE_HOME/bin/ldapbind -h ldaphost2.example.com -p 3060 -D "cn=orcladmin" –q

$ORACLE_HOME/bin/ldapbind -h ldapdhost2.example.com -p 3061 -D "cn=orcladmin" -q -U 1

ロードバランサ上でOracle Internet Directory仮想ホストを再度有効にして、ロードバランサ経由でOracle Internet Directoryにアクセスできることを確認します。

$ORACLE_HOME/bin/ldapbind -h idstore.example.com -p 3060 -D "cn=orcladmin" -q

$ORACLE_HOME/bin/ldapbind -h idstore.example.com -p 3061 -D "cn=orcladmin" -q -U 1


管理者パスワードの入力を求められます。

Oracle Internet DirectoryのOracleホームからldapbindを起動することが重要です。多くのLinuxシステムには、Oracle Internet Directoryと互換性のないldapbindのopenldapバージョンが付属しています。

構成ファイルの作成プロパティ・ファイルiam.propsを作成します。このファイルは、IDストアの準備時と、後の統合プロセスおよび構成プロセスの基盤として使用します。このファイルの構造は次のとおりです。ファイルの作成時には、空の行を含めないでください。

以下のプロパティ・ファイルは完全実例です。このファイルで指定するパラメータの一部は、このガイドで後述する構成手順までは使用しません。

使用予定の製品のプロパティを含めることだけが必要です。

Oracle Internet Directoryの例

# LDAP Properties

IDSTORE_HOST: idstore.example.com

IDSTORE_PORT: 3060 IDSTORE_DIRECTORYTYPE: OID

IDSTORE_BINDDN: cn=orcladmin

IDSTORE_SEARCHBASE: dc=example,dc=com

IDSTORE_USERSEARCHBASE: cn=Users, dc=example,dc=com

IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com

IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com IDSTORE_USERNAMEATTRIBUTE: cn

IDSTORE_LOGINATTRIBUTE: uid OAM11G_SERVER_LOGIN_ATTRIBUTE: uid IDSTORE_NEW_SETUP: true

# OAM Properties IDSTORE_OAMADMINUSER:oamadmin

IDSTORE_OAMSOFTWAREUSER:oamLDAP

OAM11G_IDSTORE_ROLE_SECURITY_ADMIN: Oamadministrators

# OIM Properties

IDSTORE_OIMADMINGROUP: OIMAdministrators

IDSTORE_OIMADMINUSER: oimLDAP

# WebLogic Properties

IDSTORE_WLSADMINUSER : weblogic_idm

IDSTORE_WLSADMINGROUP : IDMAdministrators

# OAAM Properties

IDSTORE_OAAMADMINUSER: oaamadmin

Oracle Unified Directoryの例

# Common

IDSTORE_HOST: idstore.example.com IDSTORE_PORT: 1389

IDSTORE_ADMIN_PORT: 4444

IDSTORE_KEYSTORE_FILE: INSTANCE_HOME/OUD/config/admin-keystore

IDSTORE_KEYSTORE_PASSWORD: Password key IDSTORE_BINDDN: cn=oudadmin


IDSTORE_SEARCHBASE: dc=example,dc=com

IDSTORE_USERNAMEATTRIBUTE: cn


IDSTORE_LOGINATTRIBUTE: uid

IDSTORE_USERSEARCHBASE: cn=Users, dc=example,dc=com

IDSTORE_NEW_SETUP: true

POLICYSTORE_SHARES_IDSTORE: true IDSTORE_DIRECTORYTYPE: OUD

# OAM

IDSTORE_OAMADMINUSER:oamadmin

IDSTORE_OAMSOFTWAREUSER:oamLDAP

OAM11G_IDSTORE_ROLE_SECURITY_ADMIN:Oamadministrators

# OAM and OIM

IDSTORE_SYSTEMIDBASE: cn=systemids,dc=example,dc=com

# OIM

IDSTORE_OIMADMINGROUP: OIMAdministrators

IDSTORE_OIMADMINUSER: oimLDAP

# WebLogic



# OAAM

IDSTORE_OAAMADMINUSER: oaamadmin

#Misc SPLIT_DOMAIN: true

プロパティ値の説明

LDAPプロパティ

» IDSTORE_HOSTとIDSTORE_PORTはそれぞれ、IDストア・ディレクトリのホストとポートです。IDストアの準備時には、これらがLDAPインスタンスの1つをポイントする必要があります。Oracle Access ManagerやOracle Identity Managerなどのコンポーネントの構成時には、これらがロードバランサのエントリ・ポイントをポイントする必要があります。

» IDSTORE_DIRECTORYTYPE は、使用しているディレクトリの種類です。有効な値はOID、OUDです。

» IDSTORE_BINDDNは、IDストア・ディレクトリ内の管理ユーザーです。

» IDSTORE_SEARCHBASEは、ユーザーとグループが保存されているディレクトリの場所です。

» IDSTORE_LOGINATTRIBUTEは、ユーザーのログイン名が含まれるLDAP属性です。

» IDSTORE_USERSEARCHBASEは、ユーザーが保存されているディレクトリの場所です。

» IDSTORE_GROUPSEARCHBASEは、グループが保存されているディレクトリの場所です。

» IDSTORE_SYSTEMIDBASEは、メイン・ユーザー・コンテナでシステム・ユーザーが不要な場合に、これらのユーザーを配置できるディレクトリ内のコンテナの場所です。 IDSTORE_USERNAMEATTRIBUTEは、ユーザー名が保存されているLDAP属性の名前です。

» IDSTORE_LOGIN_ATTRIBUTEは、ユーザーIDが保存されているLDAP属性の名前です。

» OAM11G_SERVER_LOGIN_ATTRIBUTEは、ユーザーIDが保存されているLDAP属性の名前です。これは、IDSTORE_LOGIN_ATTRIBUTEと同じです。

Oracle Unified Directoryのプロパティ

» IDSTORE_ADMIN_PORTは、Oracle Unified Directoryインスタンスの管理ポートです。Oracle Unified


Directoryを使用していなければ、このパラメータを設定する必要はありません。

» IDSTORE_KEYSTORE_FILEは、Oracle Unified Directoryキーストア・ファイルの場所です。これは、Oracle Unified Directory管理ポートを使用してOracle Unified Directoryと通信できるようにするために使用します。これは管理キーストアと呼ばれ、OUD_INSTANCE_HOME/OUD/configにあります。Oracle Unified Directoryを使用していなければ、このパラメータを設定する必要はありません。

» IDSTORE_KEYSTORE_PASSWORDは、Oracle Unified Directoryキーストアの暗号化されたパスワードです。この値は、ファイルOUD_INSTANCE_HOME/OUD/config/admin-keystore.pinにあります。

» IDSTORE_NEW_SETUPは、初めてディレクトリを準備するときに使用するパラメータです。

Oracle Access Managerのプロパティ

» IDSTORE_OAMADMINUSERは、Access Managerの管理者として作成するユーザーの名前です。

» IDSTORE_OAMSOFTWAREUSERはLDAPで作成されるユーザーで、Access Managerを実行してLDAPサーバーと接続するときに使用します。

» OAM11G_IDSTORE_ROLE_SECURITY_ADMINは、Oracle Access Managerコンソールへのアクセスの許可に使用されるグループの名前です。このグループに割り当てられるユーザーのみが、Oracle Access Managerコンソールにアクセスできます。

Oracle Identity Managerのプロパティ

» IDSTORE_OIMADMINGROUPは、Oracle Identity Managerの管理ユーザーを保持するために作成するグループの名前です。

» IDSTORE_OIMADMINUSERは、Oracle Identity ManagerでIDストアとの接続に使用するユーザーです。

WebLogicのプロパティ

» IDSTORE_WLSADMINUSERは、WebLogicドメインでSSOが有効になった場合に、このドメインへのログイン用に作成されるユーザー名です。

» IDSTORE_WLSADMINGROUPは、WebLogicシステム・コンポーネント（Oracle WLSコンソールやOracle EMなど）にログインできるユーザーが属するグループの名前です。

Oracle Adaptive Access Managerのプロパティ

IDSTORE_OAAMADMINUSERは、Oracle Adaptive Access Manager管理コンソールのユーザーの作成に使用します。

その他のプロパティ

» SPLIT_DOMAINは、Oracle Access ManagerとOracle Identity Managerが別々のドメインにある場合に使用します。このプロパティは、必ずtrueに設定する必要があります。


IDストアの準備 LDAPディレクトリをOracle Access ManagementのIDストアとして使用できるようにするには、このディレクトリを拡張して、製品に必要なオブジェクト・クラスを含める必要があります。このディレクトリを拡張すると、後で使用できるようにユーザーがディレクトリにシードされます。

この項では、以前に作成した構成ファイルを、次のように変更して使用する必要があります。IDSTORE_HOSTは、ロードバランサではなくLDAPインスタンスの1つに設定します。

IDSTORE_PORTは、ロードバランサ・ポートではなくLDAPインスタンスの1つのポートに設定します。


Oracle Internet Directory

IDSTORE_HOST: LDAPHOST1.example.com

IDSTORE_PORT:3060

Oracle Unified Directory

IDSTORE_HOST: LDAPHOST1.example.com

IDSTORE_PORT:1389

IDストアを準備するには、次の手順を実行します。

Oracle Internet DirectoryとOracle Unified Directoryの構成 IDストアを事前構成すると、Oracle Internet Directory内とOracle Unified Directory内のスキーマが拡張されます。

この操作を行うには、LDAPHOST1（Oracle Internet Directoryを拡張している場合）またはLDAPHOST1（Oracle Unified Directoryを拡張している場合）で次のタスクを実行します。

注：ディレクトリがIAM_ORACLE_HOMEとは別のホストにある場合は、そのホストからidmconfigTool.shを実行する必要があります。IAM_ORACLE_HOMEとディレクトリ・サーバーの間にファイアウォールがある場合は、この手順の間、そのファイアウォールでLDAPポートを開く場合があります。

1. 環境変数 MW_HOME 、 JAVA_HOME 、 ORACLE_HOME を設定します。 ORACLE_HOME を IAM_ ORACLE_HOMEに設定します。

2. コマンドidmConfigToolを使用して、IDストアを構成します。このコマンドはIAM_ORACLE_HOME/

idmtools/binにあります。

注：idmConfigToolを実行すると、ファイルidmDomainConfig.paramに対して作成または追加が実行されます。このファイルは、idmConfigToolの実行元のディレクトリに生成されます。ツールを実行するたびに同じファイルが追加されるようにするには、必ずディレクトリ IAM_ORACLE_HOME/idmtools/bin からidmConfigToolを実行します。

Linuxでのコマンドの構文は、次のとおりです。

idmConfigTool.sh -preConfigIDStore input_file=configfile


たとえば、次のようになります。

idmConfigTool.sh -preConfigIDStore input_file=iam.props

コマンドを実行すると、IDストアに接続しているアカウントのパスワードの入力を求められます。このコマンドは、完了までに時間がかかる場合があります。

ログ・ファイルでエラーや警告を確認して修正します。ツールの実行元のディレクトリに、automation.logという名前のファイルが作成されます。

ユーザーとグループの作成 Identity Managementコンポーネントに必要なユーザーとグループで、IDストアをシードする必要があります。IDストアをシードするには、OAMHOST1またはOIMHOST1で次のタスクを実行します。

a. 環境変数MW_HOME、JAVA_HOME 、およびORACLE_HOMEを設定します。

Set ORACLE_HOME to IAM_ORACLE_HOME.

b. コマンドidmConfigToolを使用して、IDストアを構成します。このコマンドはIAM_ORACLE_HOME/

idmtools/binにあります。

注：idmConfigToolを実行すると、ファイルidmDomainConfig.paramに対して作成または追加が実行されます。このファイルは、idmConfigToolの実行元のディレクトリに生成されます。ツールを実行するたびに同じファイルが追加されるようにするには、必ずディレクトリIAM_ORACLE_HOME/idmtools/binからidmConfigToolを実行します。

Linuxでのコマンドの構文は、次のとおりです。

idmConfigTool.sh -prepareIDStore mode=MODE input_file=configfile

MODEで選択した値によって、作成するユーザーの種類が決まります。MODEで選択できる値はOAM、OIM、WLSです。

トポロジ内のコンポーネントごとに、コマンドを1回実行します。

» すべてのトポロジで、管理コンソールのシングル・サインオンを有効にした場合、WebLogic管理コンソールとOracle Enterprise Manager Fusion Middleware Controlへのログイン権限を持つユーザーが、IDストア内に存在することを確認する必要があります。次のように入力します。

idmConfigTool.sh -prepareIDStore mode=WLS input_file=iam.props

» トポロジにAccess Managerが含まれる場合は、Access Managerに必要なユーザーでIDストアをシードする必要があります。次のように入力します。

idmConfigTool.sh -prepareIDStore mode=OAM input_file=iam.props

» トポロジにOracle Identity Managerが含まれる場合は、xelsysadmユーザーでIDストアをシードしてから、Oracle Identity Manager管理グループに割り当てます。また、リコンシリエーションを実行できるようにするには、cn=Usersの標準以外の場所にユーザーを作成することも必要です。また、このユーザーは、Oracle Virtual Directoryが含まれるディレクトリと接続する場合に、バインドDNとしても使用します。次のように入力します。

idmConfigTool.sh -prepareIDStore mode=OIM input_file=iam.props


注：このコマンドを実行すると、IDストアに予約用のコンテナも作成されます。

注：xelsysadmのパスワードを入力する場合は、Oracle Identity Managerのポリシー（大文字と数字が含まれており、8文字以上である必要がある）に従っていることを確認してください。

コマンドを実行すると、IDストアに接続しているアカウントのパスワードの入力を求められます。

c. コマンドを実行するたびに、ログ・ファイルでエラーや警告を確認して修正します。ツールの実行

元のディレクトリに、automation.logという名前のファイルが作成されます。

Oracle Unified Directoryの変更ログのアクセス権の付与 Oracle Unified Directoryを使用している場合は、変更ログへのアクセス権を付与する必要があります。この操作を行うには、LDAPHOST1とLDAPHOST2で次の手順を実行します。

1. Oracle Unified Directoryへの接続用のパスワードが含まれる、passwordfileというファイルを作成します。

2. 次のコマンドを発行して、既存の変更ログを削除します。

OUD_ORACLE_INSTANCE/OUD/bin/dsconfig set-access-control-handler-prop \

--remove \

global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External

changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \

--hostname OUD Host \

--port OUD Admin Port \

--trustAll \

--bindDN cn=oudadmin \

--bindPasswordFile passwordfile \

--no-prompt



--remove

global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External

changelog access\"; deny (all) userdn=\"ldap:///anyone\";)" \

--hostname LDAPHOST1.example.com \

--port 4444 \

--trustAll \



--no-prompt

3. 次に、新しいaciを追加します。


--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External

changelog access\"; allow (read,search,compare,add,write,delete,export)

groupdn=\"ldap:///cn=igdadminGroup,cn=groups,dc=example,dc=com\";)" \

--hostname OUD Host \

--port OUD Admin Port \


--trustAll \



--no-prompt


OUD_ORACLE_INSTANCE/OUD/bin/dsconfig/dsconfig set-access-control-handler-prop \

--add global-aci:"(target=\"ldap:///cn=changelog\")(targetattr=\"*\")(version 3.0; acl \"External

changelog access\"; allow (read,search,compare,add,write,delete,export)

groupdn=\"ldap:///cn=igdadminGroup,cn=groups,dc=example,dc=com\";)" \

--hostname LDAPHOST1.example.com \

--port 4444 \

--trustAll \



--no-prompt

LDAPの同期のためのOracle Unified Directory ACIの更新 LDAPの同期が有効な場合に、Oracle Unified Directoryの動作障害を回避する方法は、次のとおりです。

すべてのOracle Unified Directoryインスタンスで、OUD_ORACLE_INSTANCE/OUD/config/config.ldifを次のように変更して更新します。。

1. (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)を見つけます。

ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 ||

1.2.840.113556.1.4.319

|| 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 ||

1.2.840.113556.1.4.473

|| 1.3.6.1.4.1.42.2.27.9.5.9") (version 3.0; acl "Authenticated users control access"; allow(read)

userdn="ldap:///all";)

2. 上記のaciからオブジェクト識別子（OID）1.2.840.113556.1.4.319を削除して、次のaciに追加します。

ds-cfg-global-aci: (targetcontrol="2.16.840.1.113730.3.4.2 || 2.16.840.1.113730.3.4.17 ||

2.16.840.1.113730.3.4.19 || 1.3.6.1.4.1.4203.1.10.2 || 1.3.6.1.4.1.42.2.27.8.5.1 ||

2.16.840.1.113730.3.4.16

|| 2.16.840.1.113894.1.8.31 || 1.2.840.113556.1.4.319 ") (version 3.0; acl "Anonymous control

access"; allow(read) userdn="ldap:///anyone";)

3. オブジェクト識別子1.3.6.1.4.1.26027.1.5.4と1.3.6.1.4.1.26027.2.3.4を、以下のaciに追加します。

ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 ||

1.2.840.113556.1.4.319

|| 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 ||

1.2.840.113556.1.4.473

|| 1.3.6.1.4.1.42.2.27.9.5.9 || 1.3.6.1.4.1.26027.1.5.4 || 1.3.6.1.4.1.26027.2.3.4 ") (version

3.0; acl


"Authenticated users control access"; allow(read) userdn="ldap:///all";)

両方のLDAPHOSTで、Oracle Unified Directoryサーバーを再起動します。

Oracle Unified Directoryの索引の作成「IDストアの準備」で、idmConfigToolを実行してOracle Unified DirectoryのIDストアを準備したときに、実

行対象のインスタンス上のデータの索引が作成されています。これらの索引は、構成内のOracle Unified Directoryの残りの各インスタンスでは、手動で作成する必要があります。

この操作を行うには、LDAPHOST2で次のコマンドを発行します。

OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j

password -c \

-f IAM_ORACLE_HOME/oam/server/oim-intg/ldif/ojd/schema/ojd_user_index_generic.ldif

OUD_ORACLE_INSTANCE/OUD/bin/ldapmodify -h LDAPHOST2.example.com -Z -X -p 4444 -a -D "cn=oudadmin" -j

password -c \

-f IAM_ORACLE_HOME/idmtools/templates/oud/oud_indexes_extn.ldif

索引の再構築

すべてのLDAPホストで索引が作成されたら、次のコマンドを使用して索引を再構築する必要があります。

1. 次のコマンドを発行して、Oracle Unified Directoryをシャットダウンします。

OUD_ORACLE_INSTANCE/OUD/bin/stop-ds

2. 次のコマンドを実行します。

OUD_ORACLE_INSTANCE/OUD/bin/rebuild-index --rebuildAll -b "dc=example,dc=com"

3. 次のコマンドを発行して、Oracle Unified Directoryを再起動します。

OUD_ORACLE_INSTANCE/OUD/bin/start-ds

idmToolの実行対象のホストが含まれるすべてのLDAPHOSTで同じ手順を繰り返し、索引を再構築しているディレクトリのみを停止して、可用性が維持されるようにします。

Oracle以外のディレクトリでのアクセス制御リストの作成 » 前の項では、OracleコンポーネントのユーザーとアーチファクトでIDストアをシードしました。IDストア

がOracle Internet DirectoryやOracle Unified Directoryでない場合（Microsoft Active DirectoryやOracle Directory Server Enterprise Editionである場合）は、アクセス制御リスト（ACL）を設定して、作成したエンティティに適切な権限を与える必要があります。これは、エンティティの前でOracle Virtual Directoryを使用する場合も同様です。ここでは、作成したアーチファクトと、これらのアーチファクトに必要な権限を示します。

» システムID：システムIDコンテナは、すべてのシステム識別子の保存用に作成されます。ユーザーの作成先として別のコンテナがある場合、そのコンテナは管理の一部として指定されます。

» Access Manager管理ユーザー：このユーザーは、Oracle Access Managementコンソールの管理権限を提供するOracle Access Manager管理グループに追加されます。これは単なるアプリケーション・ユーザーであるため、LDAPスキーマ・レベルの権限は不要です。


» Access Managerソフトウェア・ユーザー：このユーザーは、ユーザーがコンテナの読取り権限を持つグループに追加されます。スキーマの管理権限も付与されます。

» システムIDコンテナの下のOracle Identity ManagerユーザーのoimLDAP：パスワード・ポリシーは、コンテナ内で適切に設定されます。システムIDコンテナ内のユーザーのパスワードは、期限切れにならないように設定する必要があります。

» Oracle Identity Manager管理グループ：Oracle Identity Managerユーザーは、そのメンバーとして追加されます。Oracle Identity Manager管理グループには、ディレクトリ内のすべてのユーザー・エンティティとグループ・エンティティに対する、すべての読取り/書込み権限が与えられます。

» WebLogic管理者：Oracle Virtual DirectoryのOracle IDMドメインの管理者です。

» WebLogic管理グループ：WebLogic管理者がメンバーとして追加されます。これは、Oracle Virtual DirectoryのOracle IDMドメインの管理者グループです。

» 予約コンテナ：Oracle Identity Managerの管理グループに対して、読取り/書込み操作の権限が与えられます。

Oracle Access Management Access Managerの構成 Access Managerを使用すると、企業全体のWebアプリケーションやその他のITリソースに対するアクセス権を、ユーザーがシームレスに取得できます。Access Managerによって、拡張可能な一連の認証方式とそのワークフローの定義機能が含まれる、一元的かつ自動的なシングル・サインオン（SSO）ソリューションを実現できます。また、Access Managerには認可エンジンも含まれており、アクセスをリクエストするユーザーのプロパティと、リクエストが出される環境に基づいて、特定のリソースへのアクセス権が付与および定義されます。ITインフラストラクチャの包括的なポリシー管理、監査、および他のコンポーネントとの統合によって、この主要機能が強化されます。

Access Managerは、Oracle Access Managerサーバー、Oracle Access Managementコンソール、WebGateなどの、いくつかのコンポーネントで構成されています。Oracle Access Managerサーバーには、エンタープライズ・リソースへのアクセスの制限に必要なすべてのコンポーネントが含まれます。Oracle Access Managementコンソールは、Access Managerの管理コンソールです。WebGateは、Access Managerの実際の実施ポイントとして機能するWebサーバー・エージェントです。

ドメインURLについてこの章を完了すると、次のURLを使用できるようになります。

表30：Web層の統合前のOracle Access Manager URL

コンポーネント URL ユーザー

OAMコンソール http://oamhost1.example.com:14150/oamconsole weblogic

表31：Web層の統合後のOracle Access Manager URL

コンポーネント URL ユーザー SSOユーザー

OAMコンソール http://iadadmin.example.com/oamconsole Weblogic oamadmin

アクセス・コンソール

http://iadadmin.example.com/access Weblogic oamadmin


http://iadadmin.example.com/access


oamadminインストール後の作業

管理コンソールのフロントエンドURLの設定

Oracle WebLogic Server管理コンソールでは、コンソールを使用してポート、チャネル、セキュリティの変更を追跡します。コンソール経由の変更がアクティブ化されると、コンソールでその現在のリスニングのアドレス、ポート、プロトコルが検証されます。リスニングのアドレス、ポート、プロトコルが引き続き有効な場合は、コンソールによってHTTPリクエストがリダイレクトされ、ホストとポートの情報が管理サーバーのリスニングのアドレスとポートに置き換えられます。ロードバランサを使用して管理コンソールにアクセスする場合は、管理サーバーのフロントエンドURLを変更して、ユーザーのブラウザが適切なロードバランサ・アドレスにリダイレクトされるようにする必要があります。この変更を行うには、次の手順を実行します。

1. Oracle WebLogic Serverコンソールにログインします。



4. 「Clusters」をクリックして、Summary of Serversページを開きます。

5. 表のNames列で「cluster_ama」を選択します。Settingsページが表示されます。

6. 「Configuration」タブをクリックします。

7. 「HTTP」タブをクリックします。

8. Front End HostフィールドとFront End HTTP PORTフィールドを、以下のようにロードバランサのアドレスに

設定します。表32：フロントエンドURLの情報

ドメインフロントエンド・ホストフロントエンドHTTPポート

IAMAccessDomain iadadmin.example.com 80

9. 保存して変更内容をアクティブ化します。

Oracle IDMドメイン・エージェントの削除

デフォルトでは、IDMDomainAgentが管理コンソールのシングル・サインオン機能を提供します。エンタープライズ・デプロイメントでは、 WebGate によってシングル・サインオンが処理されるため、IDMDomainagentは削除する必要があります。次の手順を実行して、IDMDomainAgentを削除します。

1. WebLogicコンソールにログインします。

2. Domain Structureメニューから「Security Realms」を選択します。

3. 「myrealm」をクリックします。

4. 「Providers」タブをクリックします。

5. Change Centerで、「Lock and Edit 」をクリックします。

6. 認証プロバイダのリストで、「IAMSuiteAgent」を選択します。

7. 「Delete」をクリックします。

8. 「Yes」をクリックして、削除を確定します。

9. Change Centerで、「Activate Changes」をクリックします。



LDAPの構成とLDAPとの統合

グローバル・パスフレーズの設定

Access Managerは、デフォルトではオープン・セキュリティ・モデルを使用するように構成されています。idmConfigToolを使用してこの設定を変更する予定がある場合は、グローバル・パスフレーズを設定する必要があります。グローバル・パスフレーズとWebGateのアクセス・パスワードを同一に設定することは、必須ではありませんが推奨されます。この設定を行うには、次の手順を実行します。

1. WebLogic管理ユーザーとして、Oracle Access Managerコンソールにログインします。

2. 画面上部の「Configuration」タブをクリックします。

3. Settings起動パッドから、「View」→「Access Manager」を選択します。

4. セキュリティ・モードをSimpleに変更する予定がある場合は、グローバル・パスフレーズを入力します。

5. 「Apply」をクリックします。

Access ManagerでのLDAPディレクトリの使用の構成

初期インストールを完了してセキュリティ・モデルを設定したら、次のタスクを実行して、Access ManagerとLDAPディレクトリを関連付ける必要があります。

構成ファイルの作成

構成中に使用する、oam.propsという構成ファイルを作成します。このファイルは、「構成ファイルの作成」で説明したファイルに次の内容を追加したものです。

# Miscellaneous Properties

SPLIT_DOMAIN:true

# OAM Properties OAM11G_IDSTORE_NAME: OAMIDSTORE

PRIMARY_OAM_SERVERS: oamhost1.example.com:5575,oamhost2.example.com:5575 WEBGATE_TYPE: ohsWebgate11g

ACCESS_GATE_ID: Webgate_IDM

OAM11G_OIM_WEBGATE_PASSWD:Password

COOKIE_DOMAIN: .example.com

COOKIE_EXPIRY_INTERVAL: 120

OAM11G_WG_DENY_ON_NOT_PROTECTED: true

OAM11G_IDM_DOMAIN_OHS_HOST: login.example.com

OAM11G_IDM_DOMAIN_OHS_PORT :443

OAM11G_IDM_DOMAIN_OHS_PROTOCOL:https

OAM11G_SERVER_LBR_HOST:login.example.com

OAM11G_SERVER_LBR_PORT:443

OAM11G_SERVER_LBR_PROTOCOL:https

OAM11G_OAM_SERVER_TRANSFER_MODE: simple

OAM_TRANSFER_MODE: simple

OAM11G_SSO_ONLY_FLAG: false

OAM11G_IMPERSONATION_FLAG:false

OAM11G_IDM_DOMAIN_LOGOUT_URLS:/console/jsp/common/logout.jsp,/em/targetauth/emaslogout.jsp

OAM11G_OIM_INTEGRATION_REQ:true

OAM11G_OIM_OHS_URL:https://prov.us.oracle.com:443/

# WebLogic Properties

WLSHOST: IADADMINVHN.example.com


WLSPORT: 7001

WLSADMIN: weblogic



Oracle Access Managerプロパティの説明

» OAM11G_IDSTORE_NAMEは、Oracle Access ManagerのIDストアに割り当てる名前です。

» PRIMARY_OAM_SERVERSは、デプロイメントに含まれるすべてのOracle Access Manager管理対象サーバーの、カンマで区切られたリストです。この形式は、Oracle Access Manager管理対象サーバーを実行するサーバー:Oracle Access Managerプロキシ・ポートのものです。Oracle Access Manager管理対象サーバーのリスニング・ポートではないプロキシ・ポートが使用される点に注意してください。

» WEBGATE_TYPEは、作成するWebGateプロファイルの種類です。これは必ずohsWebgate11gとなります。

» ACCESS_GATE_IDは、作成するWebGateエージェントです。

» OAM11G_OIM_WEBGATE_PASSWDは、作成しているWebGateエージェントに割り当てるパスワードです。

» COOKIE_DOMAINは、Oracle Access ManagerのCookieを関連付けるドメインで、通常はドメイン形式のIDSTORE_SEARCH_BASEと同じです。

» COOKIE_EXPIRY_INTERVALは、Cookieが期限切れになるまでの時間です。

» OAM11G_WG_DENY_ON_NOT_PROTECTEDは、必ずtrueに設定する必要があります。この設定の場合、Oracle Access Managerリソース・リストに明示されていないリソースにアクセスしようとしても拒否されます。

» OAM11G_IDM_DOMAIN_OHS_HOSTは、IAMAccessDomainに面しているOracle HTTP Serverのサーバー名です。エンタープライズ・デプロイメントの場合、これはロードバランサ名になります。

» OAM11G_IDM_DOMAIN_OHS_PORTは、IAMAccessDomainに面しているOracle HTTP Serverのサーバーがリスニングするポートです。エンタープライズ・デプロイメントの場合、これはロードバランサ・ポートになります。

» OAM11G_IDM_DOMAIN_OHS_PROTOCOL によって、 IAMAccessDomain に面している Oracle HTTP Serverのサーバーへのアクセス時に使用されているプロセスが特定されます。エンタープライズ・デプロイメントの場合、これはロードバランサ・プロトコルになります。エンタープライズ・デプロイメント・ブループリントSSLは、ロードバランサで終了されます。ただし、URLには常にhttpsプリフィックスが付くため、この値はhttpsに設定する必要があります。

» OAM11G_SERVER_LBR_HOSTは、ロードバランサ上でログイン用に構成する仮想ホストの名前です。通常は、OAM11G_IDM_DOMAIN_OHS_HOSTと同じです。

» OAM11G_SERVER_LBR_PORTは、ロードバランサ上でログイン用に構成する仮想ホストのポートです。通常は、OAM11G_IDM_DOMAIN_OHS_PORTと同じです。

» OAM11G_SERVER_LBR_PROTOCOLは、ロードバランサ上でログイン用に構成する仮想ホストのプロトコルです。通常は、OAM11G_IDM_DOMAIN_OHS_PROTOCOLと同じです。

» OAM11G_OAM_SERVER_TRANSPORT_MODEは、使用するOracle Access Managerセキュリティ・トランスポートの種類です。

通常はSimpleです。


» OAM _TRANSFER_MODEは、使用するOracle Access Managerセキュリティ・トランスポートの種類です。これは、OAM11G_OAM_SERVER_TRANSPORT_MODEと同じです。

» OAM11G_SSO_ONLY_FLAGでは、認証モードを使用するかどうかを決定します。エンタープライズ・デプロイメントでは、falseに設定します。

» OAM11G_IMPERSONATION_FLAGでは、Oracle Access Managerで偽装を構成するかどうかを決定します。偽装は通常、サポート・ユーザーがサポート提供のために実際のユーザーを"偽装する"ヘルプデスクなどのアプリケーションで使用します。

» OAM11G_IDM_DOMAIN_LOGOUT_URLSは、さまざまな製品がログアウトのために呼び出すことができるURLのリストです。

» OAM11G_OIM_INTEGRATION_REQでは、Oracle Identity ManagerとOracle Access Managerを統合するかどうかを指定します。Oracle Access ManagerとOracle Identity Managerの両方が含まれるトポロジを作成している場合は、このパラメータをtrueに設定する必要があります。それ以外の場合は、falseに設定します。後日、Oracle Identity Managerのトポロジへの追加を決定する場合は、このフラグをtrueに設定して、Oracle Access Managerの構成を再実行します。

» OAM11G_OIM_OHS_URLは、Oracle Access ManagerとOracle Identity Managerが統合されている場合に使用します。これは、Oracle Access Managerからのリクエストの送信先となるOracle Identity ManagerのURLです。

» WLS_HOST は、管理サーバーのリスニング・アドレスです。 Oracle Access Manager の場合は、IADADMINVHN.example.comとなります。

» WLS_PORTは、管理サーバーのリスニング・ポートです。

idmConfigToolを使用したAccess ManagerとLDAPの統合

OAMHOST1で次のタスクを実行します。

1. 環境変数MW_HOME、JAVA_HOME、ORACLE_HOMEを設定します。

Set ORACLE_HOME to IAD_ORACLE_HOME.

MW_HOME to IAD_MW_HOME

2. idmConfigToolユーティリティを実行して統合します。Linuxでのコマンド構文は、次のとおりです。

Cd IAD_ORACLE_HOME/idmtools/bin

idmConfigTool.sh -configOAM input_file=configfile


idmConfigTool.sh -configOAM input_file=oam.props

コマンドを実行すると、IDストアに接続しているアカウントのパスワードの入力を求められます。また、これらのアカウントに割り当てるパスワードの指定も求められます。

» IDSTORE_PWD_OAMSOFTWAREUSER

» IDSTORE_PWD_IADADMINUSER

» OAM11G_IDM_DOMAIN_WEBGATE_PASSWD

3. ログ・ファイルでエラーや警告を確認して修正します。ツールの実行元のディレクトリに、

automation.logという名前のファイルが作成されます。


4. WebLogic管理コンソールWLS_OAM1、WLS_OAM2、WLS_AMA1、WLS_AMA2を再起動します。

注：

idmConfigToolを実行すると、その後のタスクに必要ないくつかのファイルが作成されます。これらのファイルは、安全な場所に保存してください。

次のファイルは、ディレクトリIAD_ASERVER_HOME/output/Webgate_IDMにあります。これらのファイルは、WebGateソフトウェアのインストール時に必要です。

» cwallet.sso

» ObAccessClient.xml

» password.xml

» aaa_cert.pem

» aaa_key.pem

注：configOAMの実行時にwls_amaサーバーを実行していた場合は、WEBGATE_IDMアーチファクトがIAD_MSERVER_HOME/outputに作成されている可能性があります。この場合は、これらのアーチファクトをIAD_ASERVER_HOME/outputに戻します。

構成の検証

構成が正常に完了したことを検証するには、次の手順を実行します。

1. Oracle Access Managerコンソールにアクセスします。


2. 「IDストアの準備」で作成したAccess Managerの管理ユーザー（oamadminなど）としてログインします。

3. Application Security画面で、「Agents起動パッド」をクリックします。

4. Search SSO Agents画面が表示されたら、「Search」をクリックします。

5. WebGateエージェントWebgate_IDMとWebgate_IDM_11gが表示されます。

エージェントの更新

初期構成の生成後に、構成を編集して詳細な構成エントリを追加します。この操作は、アクセス・コンソールではなくOracle Access Managerコンソールから実行する必要があります。そうでないと、アーチファクトの作成でエラーが発生します。

1. エージェント「Webgate_IDM」をクリックします。

2. プライマリ・サーバー・リストのすべてのOracle Access ManagerサーバーのMax Connectionsを4

に設定します。


4. エージェントWebgate_IDM_11gで、同じ手順を繰り返します。

idmConfigToolを使用してOracle Access Managerのセキュリティ・モデルを変更した場合は、この変更が反映されるように、既存のWebGateで使用されるセキュリティ・モデルを変更する必要があります。


1. 「SSO Agents」タブをクリックして、Agents Searchページに戻ります。

2. idmconfigToolで作成されなかった各エージェント（IAMSuiteAgentなど）をクリックします。


3. Securityの値を新しいセキュリティ・モデル（SimpleやOpenなど）に設定します。

4. プライマリ・サーバー・リストにすべてのOracle Access Managerサーバーが表示されていること

を確認し、表示されていない場合は追加します。


6. 他のエージェントでも同じ手順を繰り返します。

7. 管理対象サーバーWLS_OAM1とWLS_OAM2を再起動します。

ホスト識別子の更新

ドメインにアクセスするときは、ロードバランサの別のエントリ・ポイントを使用してアクセスします。これらの各エントリ・ポイント（仮想ホスト）を、ポリシー・リストに追加する必要があります。これで、login.example.comまたはprov.example.com経由でリソースへのアクセスをリクエストした場合に、同じポリシー・ルール・セットにアクセスできます。

1. Oracle Access Managerコンソールにアクセスします。

2. 「IDストアの準備」で作成したAccess Managerの管理ユーザー（oamadminなど）としてログイン

します。

3. メインの起動パッド画面（タブとして表示されます）に戻ります。

4. Access Managerで「Host Identifiers」をクリックします。

5. 「Search」をクリックします。

6. 「IAMSuiteAgent」をクリックします。

7. 操作ボックスの「+」をクリックします。

8. 以下の情報を入力します。

表33：ホスト名とポート値

ホスト名ポート

iadadmin.example.com 80

igdadmin.example.com 80

prov.example.com 443


WebLogic管理者へのLDAPグループの追加 Access Managerには、管理サーバー内に保存されているMBeanへのアクセス権が必要です。Access Managerで、これらのOracle Access Manager管理グループ内のMbeanユーザーを起動するには、WebLogicの管理権限が必要です。

シングル・サインオンが実装されている場合は、LDAPグループのOracle IDM管理者にWebLogicの管理権限を与え、これらのアカウントの1つを使用してログインして、WebLogicの管理アクションを実行できるようにする必要があります。

LDAPグループOamadministratorsとIDMAdministratorsをWebLogic管理者に追加するには、次の手順を実行します。

1. WebLogic管理サーバー・コンソールにログインします。

2. コンソールの左ペインで、「Security Realms」をクリックします。


3. Summary of Security Realmsページで、Realms表の下の「myrealm」をクリックします。

4. myrealmのSettingsページで、「Roles & Policies」タブをクリックします。

5. Realm Rolesページで、Roles表の下の「Global Roles」エントリを開きます。Rolesのエントリが表

示されます。

6. 「Roles」リンクをクリックして、Global Rolesページに移動します。

7. Global Rolesページで、「Admin」ロールをクリックしてEdit Global Roleページに移動します。

8. Edit Global RolesページのRole Conditions表で、「Add Conditions」ボタンをクリックします。

9. Choose a Predicateページで、条件のドロップダウン・リストから「Group」を選択して「Next」

をクリックします。

10. Edit ArgumentsページのGroup Argumentフィールドで「Oamadministrators」を指定して、「Add」をク

リックします。

11. グループIDMAdministratorsで同じ手順を繰り返します。

12. 「Finish」をクリックしてEdit Global Rolesページに戻ります。

13. Role Conditions表に、OamadministratorsとIDMAdministratorsのグループがエントリとして表示さ

れます。

14. 「Save」をクリックして、OamadministratorsとIDMAdministratorsのグループへの管理ロールの

追加を終了します。

Oracle Access Managerへの不足しているポリシーの追加 Mobile Security SuiteまたはOracle Identity Managerを使用している場合は、Oracle Access Managerにいくつかのポリシーを手動で追加する必要があります。追加する必要があるポリシーは次のとおりです。

表34：Oracle Access Managerのポリシー情報

製品リソース・タイプホスト識別子リソースURL 保護レベル認証ポリシー認可ポリシー

すべて http IAMSuiteAgent /consolehelp/** Excluded

OMSS http IAMSuiteAgent /msmconsole/** Protected 高レベル・ポリシー

で保護リソース・ポリシー

で保護

OMSS http IAMSuiteAgent /gms-rest/** Excluded

OMSS http IAMSuiteAgent /msm-mgmt/** Excluded

OMSS http IAMSuiteAgent /ecp/** Excluded

OMSS http IAMSuiteAgent /mfm/** Excluded

これらのポリシーを追加するには、次の手順に従います。

1. ユーザーoamadminを使用して、oamコンソールにログインします。

2. 起動パッドから、Access Managerセクションの「Application Domains」をクリックします。

3. Searchページの「Search」をクリックすると、アプリケーション・ドメインのリストが表示され

ます。 4. ドメイン「IAM Suite」をクリックします。

5. 「Resources」タブをクリックします。

6. 「Create」をクリックします。

7. 上の表のとおりに情報を入力します。



Access Managerの検証 oamtestツールを使用して、Access Managerを検証できます。この操作を行うには、次の手順を実行します。

1. 環境でJAVA_HOMEが設定されていることを確認します。JAVA_HOME/binをPATHに追加します。たとえば、

次のとおりです。 export PATH=$JAVA_HOME/bin:$PATH

2. ディレクトリを次のように変更します。

IAD_ORACLE_HOME/oam/server/tester

3. 次のコマンドを使用して、ターミナル・ウィンドウでテスト・ツールを起動します。

java -jar oamtest.jar

4. Oracle Access Managerテスト・ツールが起動したら、ページのServer Connectionセクションに次の情

報を入力します。 » Primary IP Address：OAMHOST1.example.com

» Port：5575

» Agent ID：Webgate_IDM

» Agent Password：WebGateのパスワード

注：Simpleモードを構成した場合は、「Simple」を選択してグローバル・パスフレーズを入力する必要があります。「Connect」をクリックします。

ステータス・ウィンドウに、次のように表示されます。[reponse] Connected to primary access server

5. Protected Resource URIセクションで、次のように入力します。 » Scheme：http

» Host：iadadmin.example.com

» Port：80

» Resource：/oamconsole

「Validate」をクリックします。

ステータス・ウィンドウに、次のように表示されます。[request][validate] yes

6. 「User Identity」ウィンドウで、次のように入力します。 » Username：oamadmin

» Password：oamadminのパスワード

» 「Authenticate」をクリックします。

» ステータス・ウィンドウに、次のように表示されます。[request] [authenticate] yes

» 「Authorize」をクリックします。

» ステータス・ウィンドウに、次のように表示されます。[request] [authenticate] yes

Access Managerのキーストアの作成その他のコンポーネント（Oracle Identity ManagerやOracle Adaptive Access Managerなど）とAccess Managerと統合しており、Access Managerがシンプルなセキュリティ・トランスポート・モデルを使用して


いる場合は、それらのコンポーネントで使用できるキーストアを生成する必要があります。

Access Managerには自己署名の認証局が付属しています。これは、Simpleモードの場合にAccess Clientの証明書の発行に使用します。この証明書は、次のようにキーストアに追加する必要があります。

次の例では、システムで生成されたキーストアに信頼ストアを追加して、共通の場所に配置します。

1. キーストアの配置用のディレクトリ（SHARED_CONFIG_DIR/keystoresなど）を作成します。

mkdir SHARED_CONFIG_DIR/keystores

2. システムで生成されたキーストアをこの場所にコピーして、一意の名前を付けます。

cp IGD_ASERVER_HOME/output/webgate-ssl/oamclient-keystore.jks

SHARED_CONFIG_DIR/keystores/ssoKeystore.jks

3. 信頼ストアをキーストア・ファイルに追加するには、まずダミー・エントリを追加してキーストア・

ファイルを作成し、JDK（Java Development Kit）に付属しているkeytoolというツールを使用します。

次のコマンドを実行する前には、JDKがパスに含まれていることを確認します。たとえば、次のとおり

です。

export PATH=$IAD_MW_HOME/jdk:$PATH

証明書は、ディレクトリIAD_MW_HOME/iam/oam/server/configのファイルcacert.derにあります。次のコマンドを実行して、PEM/DER形式のCA証明書を信頼ストアにインポートします。Linuxでは、次のように入力します。

keytool -importcert -file IAD_ORACLE_HOME/oam/server/config/cacert.der –trustcacerts –keystore

SHARED_CONFIG_KEY/keystores/ssoKeystore.jks -storetype JKS

指示に従って、キーストア・パスワードを入力します。

パスワードは、グローバル・パスフレーズで使用する共通パスワードになります。

注： Simple モードで実行されている Access Manager とOracle Identity Management またはOracle Adaptive Access Managerを統合する場合は、ファイルssoKeystore.jksが必要です。

アプリケーション層の構成のバックアップベスト・プラクティスとして、各層のインストールと構成を完了した後、またはその他の論理ポイントでバックアップを作成することをお勧めします。その時点までのインストールが成功していることを確認してから、バックアップを作成します。これは、後の手順で問題が発生した場合に迅速にリストアするための、クイック・バックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了したら、このバックアップを破棄できます。エンタープライズ・デプロイメントの設定が完了したら、通常のデプロイメント固有のバックアップとリカバリのプロセスを開始できます。

データベースのバックアップについては、データベースのドキュメントを参照してください。この時点でインストールをバックアップするには、次の手順を実行します。

» Web層をバックアップします。

» Access Managerデータベースをバックアップします。

» 管理サーバーのドメイン・ディレクトリをバックアップします。

» 管理対象サーバーのドメイン・ディレクトリをバックアップします。


» LDAPディレクトリをバックアップします。

» 作成したキーストアをバックアップします。

Oracle Mobile Security Suiteの構成 Oracle Access Managerを構成した場合は、Oracle Mobile Security Suiteがデプロイされています。ただし、その機能を使用できるようにするには、構成が必要です。ここでは、その方法を説明します。

構成ファイルの作成 msm.propsとmsas.propsという2つのプロパティ・ファイルを作成します。このファイルは、「構成ファイルの作成」で説明したファイルに次の内容を追加したものです。

msm.props

# OMSS Properties

OMSS_OMSM_IDSTORE_PROFILENAME : MSSProfile

OMSS_DOMAIN_LOCATION: IAD_ASERVER_HOME

WLSHOST: iadadminvhn.example.com

WLSPORT: 7001

WLSADMIN: weblogic

WLSPASSWD: password

OMSS_SCEP_DYNAMIC_CHALLENGE_USER : msmadmin

OMSS_IDSTORE_ROLE_SECURITY_ADMIN : Oamadministrators

OMSS_IDSTORE_ROLE_SECURITY_HELPDESK : MSMHelpDesk

OMSS_MSAS_SERVER_HOST:msas.example.com OMSS_MSAS_SERVER_PORT:14191

OMSS_OMSM_SERVER_NAME: wls_msm1,wls_msm2

OMSS_OAM_POLICY_MGR_SERVER_NAME: wls_ama1,wls_ama2

OMSS_OMSM_SERVER_HOST:OAMHOST1.example.com,OAMHOST2.example.com

OMSS_OMSM_FRONT_END_URL: http://iadinternal.example.com:80

OMSS_JDBC_URL: jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS=(PROTOCOL=TCP)(HOST=iaddb-

scan.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=iadedg.example.com)))

OMSS_OMSM_SCHEMA_USER: EDGIAD_OMSM

OMSS_GATEWAY_INSTANCE_ID:EDGMSAS

msas.props

# OMSS Properties OMSS_OMSM_IDSTORE_PROFILENAME : MSSProfile

WLSHOST: iadadminvhn.example.com WLSPORT: 7001

WLSADMIN: weblogic WLSPASSWD: password

OMSS_DOMAIN_LOCATION: IAD_ASERVER_HOME

OMSS_SCEP_DYNAMIC_CHALLENGE_USER : msmadmin

OMSS_IDSTORE_ROLE_SECURITY_ADMIN : Oamadministrators

OMSS_IDSTORE_ROLE_SECURITY_HELPDESK : MSMHelpDesk

OMSS_MSAS_SERVER_HOST:msas.example.com

OMSS_MSAS_SERVER_PORT:14191

OMSS_OMSM_SERVER_NAME: wls_msm1,wls_msm2

OMSS_OAM_POLICY_MGR_SERVER_NAME: wls_ama1,wls_ama2


OMSS_OMSM_FRONT_END_URL: http://iadinternal.us.oracle.com/msm

OMSS_JDBC_URL: jdbc:oracle:thin:@(DESCRIPTION = (ADDRESS=(PROTOCOL=TCP)(HOST=iaddb-

scan.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=iadedg.example.com)))

OMSS_OMSM_SCHEMA_USER: EDGIAD_OMSM

OMSS_OMSAS_IDSTORE_PROFILENAME:msas-profile

OMSS_GATEWAY_INSTANCE_ID:EDGMSAS

Oracle Mobile Security Suiteのプロパティ » OMSS_OMSM_IDSTORE_PROFILENAME ：MSSProfile

» OMSS_DOMAIN_LOCATION：IAD_ASERVER_HOME

» OMSS_SCEP_DYNAMIC_CHALLENGE_USERは、認証用のユーザー・アカウントです。

» OMSS_IDSTORE_ROLE_SECURITY_ADMINは、メンバーがOracle Mobile Security Manager操作の管理権限を持っている管理グループの名前です。このグループを使用して、Policy ManagerコンソールでOracle Mobile Security Managerの機能へのアクセスを許可します。

これは、Oracle Access Managerの構成プロパティ・ファイルのOAM11G_IDSTORE_ROLE_SECURITY_ ADMINで入力した値と同じです。

» OMSS_IDSTORE_ROLE_SECURITY_HELPDESKは、メンバーがOracle Mobile Security Manager操作のヘルプデスク権限を持っているOracle Mobile Security Managerヘルプデスク・グループの名前です。

このグループを使用して、Policy ManagerコンソールでSecurity Help Desk権限へのアクセスを許可します。

OMSS_MSAS_SERVER_HOSTは、Oracle MSASサーバーの前に配置されているロードバランサの名前です。

» OMSS_MSAS_SERVER_PORTは、Oracle MSASサーバーの前に配置されているロードバランサのポー

トです。 » OMSS_OMSM_SERVER_NAMEは、wls_msm1、wls_msm2などをホストする、WebLogic管理対象サーバー名

のカンマで区切られたリストです。

» OMSS_OAM_POLICY_MGR_SERVER_NAMEは、wls_ama1、wls_ama2などをホストする、WebLogic管理対象サーバー名のカンマで区切られたリストです。

» OMSS_OMSM_FRONT_END_URLは、Oracle MSM管理対象サーバーにリクエストをルーティングするロードバランサのURL（例：http://igdinternal.us.oracle.com/）です。

» OMSS_JDBC_URLは、Oracle Mobile Security Suiteスキーマが保持されているデータベースとのデータベース接続情報です。

» OMSS_OMSM_SCHEMA_USERは、RCUで作成されるOracle MSMユーザーの名前（例：EDGIAD_OMSM）です。

» OMSS_GATEWAY_INSTANCE_IDは、Oracle Mobile Security Access Serverのゲートウェイ・インスタンスの名前です。

» idmConfigToolの-configOMSS mode=OMSMコマンドを実行してOracle Mobile Security Managerを構成している場合は、このプロパティを設定しないでください。

» このプロパティは、Oracle Mobile Security Access Serverインスタンスを構成した後に、idmConfigToolの-configOMSS mode=OMSASコマンドを実行する場合にのみ必要です。

» OMSS_OMSAS_IDSTORE_PROFILENAMEは、Oracle Mobile Security Access ServerのIDストア・プロファイルの名前です。

idmConfigToolの-configOMSS mode=OMSMコマンドを実行してOracle Mobile Security Managerを構成している場合は、このプロパティを設定しないでください。

このプロパティは、idmConfigToolの-configOMSS mode=OMSASを実行する場合にのみ必要です。

http://igdinternal.us.oracle.com/


オプションのOracle Mobile Security Suiteプロパティ

Mobile Security Managerでは、未読の電子メール数などの通知を送信できます。このためには、Oracle MSMでExchange/電子メール・サーバーの詳細情報が認識されている必要があります。これらの詳細情報はオプションであり、必要に応じて構成後に入力できます。

» OMSS_EXCHANGE_SERVER_URLは、Exchange ServerのURLです。

» OMSS_EXCHANGE_SERVER_URLは、Exchange ServerのURLです。

» OMSS_EXCHANGE_LISTENER_URLは、ExchangeリスナーのURLです。

» OMSS_EXCHANGE_DOMAIN_NAMEは、ExchangeドメインのURLです。

» OMSS_EXCHANGE_ADMIN_USERは、Exchange管理ユーザーの名前です。

» OMSS_EXCHANGE_ADMIN_PASSWORDは、管理ユーザーのパスワードです。

» OMSS_EXCHANGE_SERVER_VERSIONは、使用中のExchangeのバージョンです。

» OMSS_EMAIL_ADMIN_USERは、管理ユーザーの電子メール・アドレスです。

» OMSS_EMAIL_ADMIN_PASSWORDは、管理ユーザーの電子メール・アドレスのパスワードです。

» OMSS_SMTP_HOSTは、SMTP電子メール・ホストの名前です。

» OMSS_SMTP_PORTは、SMTPサーバー・ポートです。

» OMSS_APPLE_CACERT_FILEは、AppleルートCAの場所です。Oracle Mobile Security SuiteでのiOSデバイスの登録中に必要になります。

» OMSS_APNS_FILEは、Apple Push Notification Service（APNs）のキーストア・ファイルのフルパスとファイル名です。このファイルを使用して、Appleサーバーとのセキュアな接続の構築と通知の送信を行います。これは、すべてのホストで同じ場所（例：SHARED_CONFIG_DIR/keystores/ APNS.p12）です。

» » OMSS_APNS_KEYSTORE_TYPE は、Apple Push Notification Service（APNs）のキーストア・ファイル（OMSS_APNS_FILE）で使用されるキーストアの種類です。

有効なキーストアの種類はJKSまたはPKCS12です。デフォルト値はJKSです。

» OMSS_GCM_API_KEYは、Google Cloud Messaging（GCM）通知のAPIキーの値です。

» OMSS_GCM_SENDER_IDは、Google Cloud Messaging（GCM）通知の送信IDです。

idmConfigToolを使用したMobile Security Managerの構成 OAMHOST1で次のタスクを実行します。

1. 環境変数MW_HOME、JAVA_HOME、ORACLE_HOME、WL_HOMEを設定します。

Set MW_HOME to IAD_MW_HOME.

Set JAVA_HOME to JAVA_HOME.


Set WL_HOME to IAD_MW_HOME/wlserver_10.3

2. idmConfigToolユーティリティを実行して統合します。Linuxでのコマンド構文は、次のとおりです。

cd IAD_ORACLE_HOME/idmtools/bin

idmConfigTool.sh -configOMSS mode=OMSM input_file=configfile


idmConfigTool.sh -configOMSS mode=OMSM input_file=msm.props

コマンドを実行すると、IDストアに接続しているアカウントのパスワードの入力を求められます。また、次の内容に割り当てるパスワードの指定も求められます。


» Oracle Mobile Security Suiteキーストア。作成時にOracle Mobile Security Suiteキーストアへ割り当てられるパスワードです。

» SCEP動的チャレンジのパスワード

RCUで作成したデータベース・スキーマEDGIAD_OMSMのスキーマ・パスワードです。サンプル出力は次のとおりです。

(1/8) MSM Configurations Success

(2/8) Seeding User Notification Templates Success

(3/8) Seeding CSF Credentials Success

(4/8) Configuring IDS Profile Success

(5/8) Configuring OMSS Authentication Provider Success

(6/8) Creating MSM Keystores Success

(7/8) Configuring MSM Server's SSL Success

(8/8) OAM Console Integration Success

3. ログ・ファイルでエラーや警告を確認して修正します。ツールの実行元のディレクトリ

に、automation.logという名前のファイルが作成されます。

4. このプロセスによって、ドメインにオブジェクトが作成されます。これらのオブジェクトを表示するに

は、管理サーバーの再起動が必要です。

5. 「管理対象サーバー用の別のドメイン・ディレクトリの作成」の説明に従って、IAMAccessDomainの

パック/解凍を実行します。OAMHOST1とOAMHOST2の両方に解凍する必要があります。

注：packコマンドを実行しても、既存のファイルが上書きされることはありません。指定するファイル名が指定したフォルダ内の既存のファイル名と一致すると、packコマンドが失敗します。packコマンドの場合は別のテンプレート・ファイル名を使用し、 unpack コマンドの場合はオプション‘overwrite_domain=true’を使用する必要があります。

unpackコマンドで-overwrite_domainオプションを使用すると、管理対象サーバー・テンプレートを既存のドメインと既存のアプリケーション・ディレクトリに解凍できます。上書きされるすべてのファイルで、元のファイルのバックアップ・コピーが作成されます。管理対象サーバーのドメイン・ディレクトリで起動スクリプトやearファイルに変更が適用された場合は、この解凍操作の後にリストアする必要があります。

6. WebLogic 管理コンソール WLS_OAM1 、 WLS_OAM2 、 WLS_AMA1 、 WLS_AMA2 、 WLS_MSM1 、

WLS_MSM2を再起動/起動します。

Oracle Unified Directoryの追加タスク

Oracle Unified Directory（OUD）をLDAP IDストアとして使用しており、グループ・オブジェクト・クラスがgroupOfUniqueNamesである場合は、次の追加手順を実行します。

1. WLSTのconnectコマンドを使用して、WebLogic管理サーバーに接続します。

IAD_ORACLE_HOME/common/bin/wlst.sh

connect(username='weblogic', password='password', url='t3://iadadminvhn.example.com:7001')

2. 次のWLSTコマンドを、この順序で実行します。

edit() startEdit()


cd('/SecurityConfiguration/IAMAccessDomain/Realms/myrealm/AuthenticationProviders/OUDAuthentica

tor')

cmo.setStaticMemberDNAttribute('uniquemember')

cmo.setStaticGroupDNsfromMemberDNFilter('(&(uniquemember=%M)(objectclass=groupOfUniqueNames))')

cmo.setStaticGroupObjectClass('groupOfUniqueNames')

activate()

3. WebLogic管理サーバーとすべての管理対象サーバーを再起動します。

Oracle Mobile Security Managerの検証

Oracle Mobile Security ManagerとOracle Access Managerの構成は、次の手順で確認できます。

1. 次のサーバーが動作中であることを確認します。 » Oracle WebLogic管理サーバー

» Oracle Access Managerの管理対象サーバー（例：wls_oam1）

» Oracle Access Manager Policy Managerの管理対象サーバー（例：wls_ama1）

» Oracle Mobile Security Managerの管理対象サーバー（例：wls_msm1）

2. 次のURLを使用して、Oracle Access Managementの管理コンソールにログインします。

http:/iadadmin.example.com/oam console

3. 次のURLを使用して、アクセス・コンソールにログインします。

http://iadadmin.example.com/access

4. Policy Managerコンソール（http://iadadmin.example.com/access）で、右上隅の「Configuration」

タブをクリックします。Configuration起動パッドが開きます。

5. Configuration起動パッドで、「Available Services」をクリックします。「Available Services」ペー

ジが開きます。

6. 「Mobile Security Service」のステータスが、緑色のチェック・マークであることを確認します。

このステータスでない場合は、「Mobile Security Service」の横の「Enable Service」をクリックし

て、「Mobile Security Service」のステータスを有効にします。

7. 「Mobile Security Service」を有効にしたら、Policy Managerコンソールからログアウトして、再

度ログインします。

8. Mobile Security Managerコンソール・ページにアクセスするには、右上隅の「Mobile Security」

タブをクリックします。Mobile Security起動パッドが開きます。Mobile Security Managerで

「View」をクリックし、メニューのMobile Security Managerコンソール・ページから選択します。

9. リソースhttp://iadinternal.example.com/msm-mgmt/scim/v1/endpointsにアクセスすると、ユー

ザー名とパスワードの入力を求められます。oamadminのユーザー名とそのパスワードを使用しま

す。ページがエラーなしで表示されます。

Oracle MSASゲートウェイ・インスタンスの構成インストール後に、Oracle MSASゲートウェイ・インスタンスを構成する必要があります。各インスタンスは、クラスタとして機能できるように、同じインスタンスIDを使用して完全に同じに構成する必要があります。この操作は対話的に実行できますが、後で各インスタンスの構成に使用できるプロパティ・ファイルを使用することをお勧めします。

http://iadinternal.example.com/msm-mgmt/scim/v1/endpoints


Oracle MSAS構成プロパティ・ファイルの作成

次の情報を使用して、msas_instance.propsというプロパティ・ファイルを作成します。

MSM_URL: http://iadinternal.example.com:80

MSM_USER_NAME: weblogic

MSAS_INSTANCE_ID: EDGMSAS

MSAS_INSTANCE_DIR: LOCAL_CONFIG_DIR/instances/

MSAS_INSTANCE_SSL_PORT: 14191

OAM_HOST: iadadminvhn.example.com

OAM_PORT: 7001

OAM_USER_NAME: oamadmin

OAM_PROTECT: /

OAUTH_HOST: login.example.com

OAUTH_PORT: 443

OAUTH_IS_SSL: true

OAUTH_SP_ENDPOINT: /oauthservice

OAM_COOKIE_DOMAIN: .example.com

プロパティの説明：

» MSM_URL は、 MSM 管理対象サーバーにリクエストを送る Oracle HTTP Server の URL（例：http://iadinternal.us.oracle.com:80）です。これは、内部コールバック用のURLです。

» MSM_USER_NAMEは、ドメイン管理者（例：weblogic）です。

» MSAS_INSTANCE_IDは、インスタンスの集合名です。任意の文字列を使用できますが、インスタンス間で一貫している必要があります。これは、OMSS_GATEWAY_INSTANCE_IDの値と同じである必要があります。

» MSAS_INSTANCE_DIRは、インスタンス構成ファイルが作成される場所（例：LOCAL_CONFIG_DIR/ instances）です。

» MSAS_INSTANCE_PORTは、Oracle MSASでリクエストがリスニングされるポートです。このポートはSSL対応です。

» OAM_HOSTは、IAMAccessDomain管理サーバーの仮想ホスト（例：IADADMINVHN.example.com）です。

» OAM_PORTは、IAMAccessDomain管理サーバーで使用されるポート（例：7001）です。

» OAM_USER_NAMEは、上記で作成したOAMAdminアカウントです。

» OAM_PROTECTでは、保護対象の各アプリケーションのリソース・パターン（例：/myapp/login）を指定します。入力するパターンは、Oracle Access Managerゲートウェイのホストとポートに関連します。このエントリの先頭には、/を付ける必要があります。

/を入力すると、末尾に/が付くリクエストしたURLが保護されることを示します。

» OAUTH_HOSTは、エンタープライズ・デプロイメントのOAUTHエントリ・ポイントであり、ロードバランサ名（例：login.example.com）になります。

» OAUTH_PORTは、Oracle Access Managerの管理対象サーバーで使用されるポートであり、エンタープライズ・デプロイメントではロードバランサ名（例：443）です。

http://iadinternal.example.com/

http://iadinternal.us.oracle.com/


» OAUTH_IS_SSLでは、OAuthがSSLポートやSSL以外のポートを使用している場所を指定します。有効な値は、true/falseです。エンタープライズ・デプロイメントでは、trueになります。

» OAUTH_SP_ENDPOINTは、OAuthサーバーからクライアントにアクセスしているエンドポイント（例：/oauthservice）です。

configMSAS.shを使用したOracle MSASインスタンスの構成

プロパティ・ファイルを作成したら、スクリプトconfigMSAS.shを実行してインスタンスを構成します。このスクリプトは、ディレクトリMSAS_ORACLE_HOME/binにあります。

スクリプトを実行するには、次のコマンドを実行します。

MSAS_ORACLE_HOME/bin/configMSAS.sh –properties msas_instance.props

実行すると、次の内容の入力を求められます。

» Mobile Security Managerのパスワード。これは、IAMAccessDomainのWebLogic管理者パスワードです。

» Oracle Access Managerの管理者パスワード。

OHSHOST1とOHSHOST2でこの手順を繰り返します。

Oracle MSASの検証

コマンドが完了すると、Oracle MSASインスタンスがディレクトリLOCAL_CONFIG_DIR/instances/gateway-idに作成されています。gateway-idは、プロパティ・ファイルに入力した値です。このディレクトリが存在することを検証します。

ディレクトリが存在する場合は、次のアクションを実行して、Oracle MSMでインスタンスが登録されていることを検証できます。

1. oamadminユーザーとして、アクセス・コンソールにログインします。

2. 起動パッドで、画面上部の「Mobile Security」ボタンをクリックします。

3. Mobile Security Access Serverセクションの「Environments」をクリックすると、Oracle MSASイ

ンスタンスが表示されます。

4. 「MSAS」というタイトルをクリックすると、EDGMSASインスタンスが表示されます。

注：2つめのインスタンスを登録すると、バグのためOracle MSASインスタンスが1つだけ表示され、それが2つめのインスタンスになります。これは表示上のエラーであり、システムの機能に影響はありません。

Oracle MSASとIDストアの統合 OAMHOST1で次のタスクを実行します。

1. 環境変数MW_HOME、JAVA_HOME、ORACLE_HOME、WL_HOMEを設定します。

Set MW_HOME to IAD_MW_HOME.

Set JAVA_HOME to JAVA_HOME.


Set WL_HOME to IAD_MW_HOME/wlserver_10.3

2. idmConfigToolユーティリティを実行して統合します。

Linuxでのコマンド構文は、次のとおりです。

cd IAD_ORACLE_HOME/idmtools/bin


idmConfigTool.sh -configOMSS mode=OMSAS input_file=configfile


idmConfigTool.sh -configOMSS mode=OMSAS input_file=msas.props

コマンドを実行すると、IDストアに接続しているアカウントのパスワードの入力を求められます。また、次の内容に割り当てるパスワードの指定も求められます。

» Oracle Mobile Security Suiteキーストア。Oracle Mobile Security Suiteキーストアの作成時に割り当てられるパスワードです。

» SCEP動的チャレンジのパスワード

» RCUスキーマEDGIAD_OMSMのスキーマ・パスワード。

3. ログ・ファイルでエラーや警告を確認して修正します。ツールの実行元のディレクトリに、

automation.logという名前のファイルが作成されます。

4. このプロセスによって、ドメインにオブジェクトが作成されます。これらのオブジェクトを表示するに

は、管理サーバーの再起動が必要です。

5. 「管理対象サーバー用の別のドメイン・ディレクトリの作成」の説明に従って、IAMAccessDomainの

パック/解凍を実行します。OAMHOST1とOAMHOST2の両方に解凍する必要があります。

6. WebLogic管理コンソールWLS_OAM1、WLS_OAM2、WLS_AMA1、WLS_AMA2を再起動します。

Oracle MSAS証明書へのロードバランサ・エイリアスの追加 Oracle MSASで高可用性の準備をするには、ロードバランサ・エイリアスを使用して、Oracle MSASゲートウェイのSSL証明書を更新する必要があります。OAMHOST1で、次の手順を実行する必要があります。

ロードバランサ・エイリアスを使用してSSL証明書を更新するには、次の手順を実行します。

1. 次のコマンドを実行して、既存のキーストア・エントリをエクスポートします。

IAD_ORACLE_HOME/common/bin/wlst.sh

connect(username='weblogic', password='adminpassword', url=t3://iadadminvhn.example.com:7001')

svc = getOpssService(name='KeyStoreService')

svc.exportKeyStore(appStripe='EDGMSAS', name='sslkeystore', password='password',

aliases='EDGMSAS_msasidentity', keypasswords='keypassword',

type='JKS',filepath='SHARED_CONFIG_DIR/keystores/EDGMSAS.jks')

ここで、

» EDGMSASは、パラメータOMSS_GATEWAY_INSTANCE_IDの値です。

» パスワードは、IAMAccessDomainのWebLogic管理者パスワードの値です。

» keypasswordは、エクスポートしたキーストアに割り当てるパスワードの値です。

2. 次のコマンドを使用して、新しい証明書リクエストを生成します。

keytool -keystore SHARED_CONFIG_DIR/keystores/EDGMSAS.jks -storepass password –alias

EDGMSAS_msasidentity -certreq -file SHARED_CONFIG_DIR/keystores/msasidentity.csr -keypass

keypassword

3. 認証局の鍵で新しい証明書リクエストに署名し、証明書のサブジェクトの別名（SAN）にロードバ

ランサのホスト名を追加します。ロードバランサのDNS拡張子（msas.example.comなど）を使用

します。


以下のコマンドを入力します。

keytool -gencert -keystore IAD_ASERVER_HOME/config/fmwconfig/server-identity.jks -storepass

password -alias

ca -ext san=dns:msas.example.com –infile SHARED_CONFIG_DIR/keystores/msasidentity.csr -outfile

SHARED_CONFIG_DIR/keystores/msasidentity.crt

4. サーバー上のOracle MSAS証明書を更新します。

次のコマンドを実行して、ルートCAをエクスポートします。

keytool -export -alias ca -file SHARED_CONFIG_DIR/keystores/ca.crt –keystore

IAD_ASERVER_HOME/config/fmwconfig/server-identity.jks -storepass password

次のコマンドを実行して、手順1で作成したEDGMSAS JKSキーストアに証明書をインポートします。

keytool -keystore SHARED_CONFIG_DIR/keystores/EDGMSAS.jks -import -file

SHARED_CONFIG_DIR/keystores/ca.crt - alias ca -storepass password

このコマンドを実行して、証明書を信頼するかどうかを確認されたら、yesと入力します。

keytool -keystore EDGMSAS.jks -import -file SHARED_CONFIG_DIR/keystores/msasidentity.crt -alias

gateway- id_msasidentity -storepass password

次のコマンドを実行して、Oracle MSASのSSLキーストア（KSSキーストア）に新しい証明書をインポートします。

IAD_MW_HOME/common/bin/wlst.sh

connect(username='weblogic', password='password', url='t3://iadadminvhn.example.com:7001')

svc = getOpssService(name='KeyStoreService')

svc.deleteKeyStoreEntry(appStripe='EDGMSAS',name='sslkeystore',password='',

alias='EDGMSAS_msasidentity', keypassword='')

svc.importKeyStore(appStripe='EDGMSAS', name='sslkeystore', password='password',

aliases='EDGMSAS_msasidentity', keypasswords='keypassword', type='JKS',permission=true,

filepath='SHARED_CONFIG_DIR/keystores/EDGMSAS.jks')

Oracle MSASインスタンスへのロードバランサURLの追加現在のところ、構成ツールによってロードバランサURLがOracle MSASの構成に移入されることはありません。この操作は、手動で行う必要があります。この移動を行うには、以下の手順を実行します。

1. Oracle Access Manager管理ユーザーとして、アクセス・コンソールにログインします。

2. 起動パッドで、画面上部の「Mobile Security」ボタンをクリックします。

3. Mobile Security Access Serverセクションの「Environments」をクリックすると、Oracle MSASイ

ンスタンスが表示されます。

4. 「MSAS」というタイトルをクリックすると、EDGMSASインスタンスが表示されます。

5. 「Configure」をクリックします。

6. Oracle MSASインスタンスのプロパティが表示されます。「System Settings」タブをクリックしま

す。

7. 「Server Settings」を開きます。


8. Load Balancer SSL URLのフィールドにhttps://msas.example.comと入力して、「Apply」をクリック

します。

OHSHOST1とOHSHOST2で、Oracle MSASインスタンスを起動します。インスタンスを構成したら、起動できるようになります。インスタンスを起動するには、次のコマンドを発行します。

MSAS_INSTANCE_HOME/bin/startServer.sh

Oracle MSASインスタンスが、エラーなしで起動されます。

Mobile Security Suiteの検証 https://msas.example.com/msm/register/iosにアクセスすることで、Mobile Security Suiteが稼働中であることを検証できます。このURIでは、ログイン・ページが表示されます。

Oracle Identity Managerの構成 Oracle Identity Managerは、アプリケーションやディレクトリからのユーザー・アカウントの追加、更新、削除のプロセスを自動化する、ユーザーのプロビジョニングと管理のソリューションです。また、アクセスするユーザーとその対象を証明する詳細レポートを提供して、規制遵守を強化します。Oracle Identity Managerは、スタンドアロン製品として、または、Oracle Identity Managementの一部として使用できます。

ユーザーIDのプロビジョニングを自動化すると、情報テクノロジー（IT）の管理コストを削減して、セキュリティを向上させることができます。また、プロビジョニングは、規制遵守でも重要な役割を果たします。Oracle Identity Managerの主要な機能には、パスワード管理、ワークフローとポリシーの管理、IDのリコンシリエーション、レポート、監査、およびアダプタ経由の拡張性が含まれます。

» Oracle Identity Managerの主要な機能は次のとおりです。

» ユーザー管理

» ワークフローとポリシー

» パスワード管理

» 監査とコンプライアンスの管理

» 統合ソリューション

» ユーザー・プロビジョニング

» 組織とロールの管理


表35：ドメインURLについて

コンポーネント URL SSOユーザー

セルフサービス・コンソール https://prov.example.com/identity xelsysadm

Oracle Identity Manager管理

コンソール http://igdadmin.example.com/sysadmin xelsysadm

Oracle Coherenceのコンポジットのデプロイメントの構成

コンポジットのデプロイメントにはデフォルトでマルチキャスト通信が使用されますが、Oracle SOAエンタープライズ・デプロイメントでは、ユニキャスト通信を使用することをお勧めします。セキュリティ上の理由でマルチキャスト通信を無効にする場合は、ユニキャスト通信を使用します。

ユニキャスト通信では、マルチキャスト通信のようにノードで他のクラスタ・メンバーを検出できません。このため、クラスタに属するノードを指定する必要があります。ただし、クラスタのすべてのノードを指定する必要はありません。クラスタに追加される新しいノードで既存のノードの1つを検出できるように、ノードを指定すれば十分です。この結果、クラスタに新しいノードが追加されると、クラスタ内の他のノードをすべて検出できます。また、同一システム内で複数のIPを使用できるOracle SOAエンタープライズ・デプロイメントのような構成では、 Oracle Coherence を構成して、特定のホスト名を使用してOracle Coherenceクラスタを作成する必要があります。

注：

デプロイメント用のOracle Coherenceフレームワークを正しく構成しないと、Oracle SOAシステムを起動できない場合があります。デプロイメント・フレームワークは、Oracle SOAシステムが実行されるネットワーク環境用に、正しくカスタマイズする必要があります。この項の説明に従って構成することをお勧めします。

ユニキャスト通信を使用した、デプロイメントの通信の有効化

tangosol.coherence.wka<n>システム・プロパティを使用してノードを指定します。<n>は1～9の数字です。

9. ノードは9台まで指定できます。ナンバリングは1から開始します。ナンバリングは抜けのない連続的なものである必要があります。また、 Oracle Coherence で使用されるホスト名を指定して、tangosol.coherence.localhostシステム・プロパティを使用してクラスタを作成します。このローカル・ホスト名は、Oracle SOAサーバーでリスナー・アドレスとして使用される仮想ホスト名です（OIMHOST1VHN2およびOIMHOST2VHN2）。Oracle WebLogic Server管理コンソールのServer StartタブのArgumentsフィールドに、- Dtangosol.coherence.localhostパラメータを追加して、このプロパティを設定します。

ヒント：

Oracle SOAコンポジットのデプロイメント中の高可用性を保証するには、十分な数のノードを指定して、どの時点でも1台以上のノードが必ず実行中となるようにしてください。

注：

OIMHOST1VHN2は、WLS_SOA1が（OIMHOST1で）リスニングしている仮想IPにマッピングされている仮

想ホスト名です。OIMHOST2VHN2は、WLS_SOA2が（OIMHOST2で）リスニングしている仮想IPにマッピ

ングされている仮想ホスト名です。

Oracle Coherenceで使用されるホスト名の指定

管理コンソールを使用して、Oracle Coherenceで使用されるホスト名を指定します。Oracle Coherenceで使用されるホスト名を追加するには、次の手順を実行します。

http://igdadmin.example.com/sysadmin


1. Oracle WebLogic Server管理コンソールにログインします。



4. 表のName列で、サーバー名（ハイパーリンクとして表示されるWLS_SOA1またはWLS_SOA2）をク

リックします。選択したサーバーの設定ページが表示されます。

5. 「Lock & Edit」をクリックします。

6. 「Server Start」タブをクリックします。

7. WLS_SOA1とWLS_SOA2のArgumentsフィールドに、次の内容を入力します。WLS_SOA1の場合は、次

のように入力します。

-Dtangosol.coherence.wka1=OIMHOST1VHN2


-Dtangosol.coherence.localhost=OIMHOST1VHN2

WLS_SOA2の場合は、次のように入力します。




注：異なる-Dパラメータの間の行に、改行を入れないでください。管理コンソールの引数のテキスト・フィールドに、テキストのコピーや貼付けを行わないでください。Javaの引数にHTMLタグが挿入される可能性があります。テキストには、上記の例に含まれるテキスト文字以外は含めないようにしてください。

注：デプロイメント用のCoherenceクラスタでは、デフォルトでポート8088が使用されます。このポートは、起動パラメータ-Dtangosol.coherence.wkan.portと- Dtangosol.coherence.localportを使用して別のポート

（例：8089）を指定することで変更できます。たとえば、次のとおりです。WLS_SOA1の場合（次の内容を、Argumentsフィールドに改行なしの1行で入力します）：




-Dtangosol.coherence.localport=8089

-Dtangosol.coherence.wka1.port=8089


WLS_SOA2の場合（次の内容を、Argumentsフィールドに改行なしの1行で入力します）：




-Dtangosol.coherence.localport=8089



8. 「Save」→「Activate Changes」の順にクリックします。


10. Oracle SOAの管理対象サーバーであるwls_soa1とwls_soa2を起動します。

注：


» これらの変数が管理対象サーバーに正しく渡されていることを確認する必要があります（サーバーの出力ログに反映されます）。Oracle Coherenceフレームワークに障害が発生すると、soa-infraアプリケーションを起動できない場合があります。

» マルチキャスト・アドレスとユニキャスト・アドレスは、WebLogic Serverクラスタのクラスタ通信用のアドレスとは異なります。Oracle SOAでは、コンポジットが1つのWebLogic Serverクラスタのメンバーにデプロイされることが保証されます。これは、2つのエンティティ（WebLogic Serverクラスタと、コンポジットのデプロイ先のグループ）の通信プロトコルが異なる場合も同様です。

Oracle Identity Managerの構成 Oracle Identity ManagerとOracle SOA管理対象サーバーを起動するには、Oracle Identity Managerサーバー・インスタンスを構成する必要があります。シングル・ドメイン・トポロジの場合は、この構成をOAMHOST1で実行します。分割ドメイン・トポロジの場合は、OIMHOST1で実行します。Oracle Identity Managementの構成ウィザードでは、Oracle Identity Managerメタデータがデータベースにロードされ、インスタンスが構成されます。

続行する前に、次の条件が満たされていることを確認します。

管理サーバーが稼働中である。

» Oracle SOA管理対象サーバーが稼働中である。

» 現在のシェルで、環境変数DOMAIN_HOMEとWL_HOMEが設定されていない。

» Oracle Identity Managementの構成ウィザードが、Identity ManagementのOracleホームにある。

構成ウィザードを起動するには、次のように入力します。

IGD_ORACLE_HOME/bin/config.sh



2. Components to Configure画面で、「OIM Server」を選択します。 3. 「Next」をクリックします。

4. Database画面で、次の値を入力します。

Connect String：Oracle Identity Managerデータベースの接続文字列：

idmdb1-vip.example.com:1521:igdedg1^idmdb2-vip.example.com:1521:[email protected]

Oracle Database 11.2を使用している場合は、VIPアドレスとポートを11.2 SCANアドレスとポートに置き換えます。

OIM Schema User Name：edgigd_oim

OIM Schema password：パスワード

MDS Schema User Name：edgigd_mds

MDS Schema Password：パスワード


5. WebLogic Administration Server画面で、WebLogic管理サーバーの次の詳細情報を入力します。

URL：WebLogic管理サーバーの接続用URLです。たとえば、次のとおりです。




t3://IGDADMINVHN.example.com:7101

UserName：weblogic

Password：weblogicユーザーのパスワード


6. OIM Server画面で、次の値を入力します。

OIM Administrator Password：Oracle Identity Manager管理者のパスワード。これは、xelsysadmユーザーのパスワードです。パスワードには、大文字と数字が含まれる必要があります。IDストアの準備でユーザーxelsysadmに割り当てたパスワードを使用するのがベスト・プラクティスです。

Confirm Password：パスワードを再入力します。

OIM HTTP URL：Oracle Identity ManagerサーバーのプロキシURL。これは、Oracle Identity ManagerのOracle HTTP Serverサーバーのフロント・エンドのハードウェア・ロードバランサのURLです。たとえば、次のとおりです。

http://igdinternal.example.com:80

OIM External FrontEnd URL：

https://prov.example.com

Key Store Password：キーストアのパスワード。パスワードには、大文字と数字が含まれる必要があります。

Enable OIM for Suite Integration：選択します（Oracle Identity ManagerをOracle Access ManagerまたはOracle Adaptive Access Managerと統合する予定の場合は、このオプションを選択します）。


7. LDAP Server画面で入力する情報は、実装によって異なります。次の詳細情報を入力します。

Directory Server Type：

» OID（IDストアがOracle Internet Directoryに含まれる場合）。 » OUD（IDストアがOracle Unified Directoryに含まれる場合）。 » ACTIVE_DIRECTORY（IDストアがMicrosoft Active Directoryに含まれる場合）。

Directory Server ID：Oracle Internet Directoryサーバーの名（例：IdStore）です。これは、ディレクトリの種類がOIDまたはOUDの場合にのみ必要です。

Server URL：LDAPサーバーのURLです。たとえば、次のとおりです。

ldap://idstore.example.com:1389 for OUD

ldap://idstore.example.com:3060 for OID

Server User：LDAPサーバーに接続するためのユーザー名です。たとえば、次のとおりです。

cn=oimLDAP,cn=systemids,dc=example,dc=com

Server Password：LDAPサーバーに接続するために使用するパスワードです。

Server Search DN：検索DN（例：dc=example,dc=com）です。


注：ドキュメントに従ってディレクトリを構成したことを確認し、次のポップアップ・メッセージが表示


されたら「ok」を押します。“Ensure that you have a supported Directory server and that you have pre- configured the Directory as per the documentation and it is available for the installer”

8. LDAP Server Continued画面で、LDAPサーバーの次の詳細情報を入力します。

LDAP Role Container：ロール・コンテナのDN。これは、Oracle Identity Managerロールが保存されているコンテナ（例：cn=Groups,dc=example,dc=com）です。

LDAP User Container：ユーザー・コンテナのDNです。これは、Oracle Identity Managerユーザーが保存されているコンテナ（例：cn=Users,dc=example,dc=com）です。

User Reservation Container：ユーザー予約コンテナのDN（例：cn=Reserve,dc=example,dc=com）です。


9. Configuration Summary画面で、サマリー情報を確認します。「Configure」をクリックして、

Oracle Identity Managerインスタンスを構成します。

10. Configuration Progress画面で、構成が正常に完了したら「Next」をクリックします。

11. Configuration Complete画面で、構成したOracle Identity Managerインスタンスの詳細情報を確認

します。

12. 「Finish」をクリックして、構成ウィザードを終了します。

13. 管理サーバーとwls_soa1を再起動します。

Oracle SOAコンポジットへの管理対象サーバー・ディレクトリのコピー

Oracle SOAを初めて起動すると、IGD_ASERVER_HOME/soaディレクトリにある多くのアプリケーションが自動的にデプロイされます。このディレクトリはパックと解凍を実行しても移入されないため、手動で作成する必要があります。

Copy the soa directory from IGD_ASERVER_HOME/IAMGovernanceDomain/soa to

IGD_MSERVER_HOME/IAMGovernanceDomain


cp -rp /u01/oracle/config/domains/IAMGovernanceDomain/soa \

/u02/private/oracle/config/domains/IAMGovernanceDomain/soa

すべてのOIMHOSTで、この手順を実行します。

OIMHOST1でのOracle Identity Managerの起動

OIMHOST1でのノード・マネージャの起動

OIMHOST1でノード・マネージャを起動します。Oracle SOAサーバーとOracle Identity Managerサーバーの起動

WebLogic管理コンソールを使用して、管理対象サーバーWLS_SOA1、WLS_OIM1を起動します。Oracle Identity Managerの前にOracle SOAを起動します。

OIMHOST1でのOracle Identity Managerインスタンスの検証

次のURLを使用してWebブラウザでOracle Identity Managerコンソールを表示し、Oracle Identity Managerサーバー・インスタンスを検証します。

http://OIMHOST1VHN1.example.com:14000/identity/

http://OIMHOST1VHN1.example.com:14000/sysadmin/


ユーザー名xelsysadmとパスワードを使用してログインします。次のURLで、Oracle SOAを検証します。

http://OIMHOST1VHN2.example.com:8001/soa-infra

weblogicユーザーとしてログインします。

OIMHOST2でOracle Identity Managerを起動します。

OIMHOST2でのノード・マネージャの起動

OIMHOST2でノード・マネージャを起動します。

Oracle SOAとOracle Identity Managerの管理対象サーバーの起動

管理対象サーバーWLS_SOA2とWLS_OIM2を起動します。

OIMHOST2でのOracle Identity Managerインスタンスの検証

次のURLを使用してWebブラウザでOracle Identity Managerコンソールを表示し、Oracle Identity Managerサーバー・インスタンスを検証します。

http://OIMHOST2VHN1.example.com:14000/identity/

http://OIMHOST2VHN1.example.com:14000/sysadmin/

ユーザー名xelsysadmとパスワードを使用してログインします。

次のURLで、Oracle SOAを検証します。

http://OIMHOST2VHN2.example.com:8001/soa-infra

weblogicユーザーとしてログインします。

Active Directoryをサポートするためのプロパティの変更

Oracle Identity Managerを初めてインストールすると、その動作に関する一連のデフォルト・システム・プロパティが設定されます。

IDストアがActive Directoryにある場合は、システム・プロパティXL.DefaultUserNamePolicyImplを、oracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePolicyForADか、oracle.iam.identity.usermgmt.impl.plugins.LastNameFirstNamePolicyForADに変更する必要があります。

この方法については、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Manager』の「Administering System Properties」の章を参照してください。

IDストアからリコンシリエーションを実行するためのOracle Identity Manager

の構成現在のリリースでは、LDAPConfigPostSetupスクリプトを使用して、LDAPSync関連のリコンシリエーション・スケジューラの増分ジョブをすべて有効にできます。これらのジョブは、デフォルトでは無効です。LDAP構成の設定後スクリプトは、IGD_ORACLE_HOME/server/ldap_config_utilディレクトリにあります。OIMHOST1で、次のようにスクリプトを実行します。

1. IGD_ORACLE_HOME/server/ldap_config_utilディレクトリのldapconfig.propsファイルを編集して、次

の値を入力します。

表36：LDAP構成プロパティの情報

パラメータ値説明


OIMProviderURL t3://OIMHOST1VHN1.example.com:14000,OIMHOST2VHN

1.example.com:14000

Oracle Identity Managerの管理対象

サーバーのリストです。

LIBOVD_PATH_PARAM

IGD_ASERVER_HOME/config/fmwconfig/ovd/oim

LIBOVD構成ファイルの場所です。

2. ファイルを保存します。

3. JAVA_HOME、WL_HOME、MW_HOME、APP_SERVER、OIM_ORACLE_HOME、DOMAIN_HOMEの環境変数を

設定します。ここで » JAVA_HOMEはIGD_MW_HOME/jdk_versionに設定します。

» WL_HOMEはIGD_MW_HOME/wlserver_10.3に設定します。

» APP_SERVERはweblogicに設定します。

» OIM_ORACLE_HOMEはIGD_ORACLE_HOMEに設定します。

» DOMAIN_HOMEはIGD_ASERVER_HOMEに設定します。

» MW_HOMEはIGD_MW_HOMEに設定します。

4. LDAPConfigPostSetup.shを実行します。このスクリプトを実行すると、Oracle Internet Directoryと

Oracle Identity Managerの管理パスワードの入力を求められます。たとえば、次のとおりです。

IGD_ORACLE_HOME/server/ldap_config_util/LDAPConfigPostSetup.sh path_to_property_file


cd IGD_ORACLE_HOME/server/ldap_config_util/

./LDAPConfigPostSetup.sh IAM_ORACLE_HOME/server/ldap_config_util

注：次のようなエラーは、すべて無視してください。

java.lang.ClassNotFoundException:

oracle.as.jmx.framework.standardmbeans.spi.JMXFrameworkProviderImpl

トランザクション・リカバリ用のデフォルト永続ストアの構成管理対象サーバーWLS_OIMとWLS_SOAには、コミット済みトランザクションに関する情報が保存されているトランザクション・ログがあります。このトランザクション情報は、サーバーによって調整されていて、完了していない可能性があります。Oracle WebLogic Serverでは、システム・クラッシュまたはネットワーク障害からのリカバリに、このトランザクション・ログが使用されます。トランザクション・リカバリ・サービスの移行機能をクラスタ内にあるサーバーで活用するには、サーバーおよびそのバックアップ・サーバーからアクセスできる場所にトランザクション・ログを格納します。

注：

この場所として理想的なのは、デュアル・ポートSCSIディスクまたはストレージ・エリア・ネットワーク（SAN）上です。

次の手順を実行して、Oracle Identity ManagerサーバーとOracle SOAサーバーのデフォルトの永続ストアの場所を設定します。

1. 共有ストレージに、次のディレクトリを作成します。

IGD_ASERVER_HOME/cluster_soa/tlogs

IGD_ASERVER_HOME/cluster_oim/tlogs




4. Domain Structureウィンドウで、「Environment」ノードを開いて「Servers」ノードをクリックします。

Summary of Serversページが表示されます。

5. 表のName列で、Oracle Identity ManagerサーバーまたはOracle SOAサーバーの名前（ハイパーリンク

として表示されます）をクリックします。

6. 選択したサーバーのSettingsページが表示され、デフォルトでConfigurationタブが選択されます。

7. 「Services」サブタブを開きます。

8. ページのDefault Storeセクションに、共有ストレージ上のデフォルト永続ストアのパスを入力します。

パスのディレクトリ構造は次のとおりです。

Oracle Identity Managerサーバーの場合：

IGD_ASERVER_HOME/cluster_oim/tlogs

Oracle SOAサーバーの場合：

IGD_ASERVER_HOME/cluster_soa/tlogs

注：トランザクション・リカバリ・サービスの移行機能を有効にするには、クラスタ内にある他のサーバーから利用できる永続ストレージ・ソリューション上の場所を指定します。クラスタの一部であるすべてのサーバーは、このディレクトリにアクセスできる必要があります。


10. Oracle Identity ManagerとOracle SOAのすべての管理対象サーバーで、上記の手順を繰り返してデフォ

ルト・ストア・ディレクトリを更新します。

11. 変更をアクティブ化します。

12. Oracle Identity Managerの管理対象サーバー（wls_oim1、wls_oim2）とOracle SOAの管理対象サーバー

（wls_soa1、wls_soa2）を再起動して、変更を有効にします。

Oracle User Messaging Serviceの電子メールの構成ここでは、Oracle UMSの電子メール通知の構成方法を説明します。この手順は任意です。次の手順は、電子メール・サーバーが設定済みであり、Oracle Identity Managementでこの電子メール・サーバーを使用して電子メール通知を送信できることを前提としています。

1. Oracle Identity Managerに関連付けられているOracle Enterprise Manager Fusion Middleware Controlイ

ンスタンスにログインします。 2. 「User Messaging Service」を開きます。

3. 「usermessagingdriver-email (wls_soa1)」を右クリックして、「email driver properties」を選択します。

4. 以下の情報を入力します。

i. OutgoingMailServer：SMTPサーバーの名前です（例：smtp.example.com）。

ii. OutgoingMailServerPort：SMTPサーバーのポートです（例：SSL送信電子メール・サーバーの場合

は465、SSL以外の場合は25）。

iii. OutgoingMailServerSecurity：SMTPサーバーで使用されるセキュリティ設定です。設定できる値は、

None/TLS/SSLです。電子メール・サーバーがSSLリクエストを受け付けるように構成されている場

合は、次の手順を実行して、Oracle SOA環境からDemoTrustストア・リファレンスを削除します。


a. IGD_ASERVER_HOME/domain_name/bin/setDomainEnv.shファイルを変更して、DemoTrustリファ

レンス- Djavax.net.ssl.trustStore=IGD_WL_HOME/server/lib/DemoTrust.jksをEXTRA_JAVA_PROPERTIES

から削除します。

b. 管理サーバーと管理対象サーバーの両方を再起動します。

iv. OutgoingUsername：有効なユーザー名です。

v. OutgoingPassword：

a. 「Indirect Password」→「Create New User」を選択します。

b. Indirect Username/Keyに、一意の文字列（例：OIMEmailConfig）を入力します。これでパス

ワードがマスキングされ、構成ファイルのクリアテキストに表示されなくなります。

c. このアカウントの有効なパスワードを入力します。

「Apply」をクリックします。

各Oracle SOAサーバーで、手順3と4を繰り返します。

1. ナビゲータから、「WebLogic Domain」→「DomainName」を選択します。

2. メニューから、「System Mean Browser」を選択します。

3. 「Application Defined MBeans 」→「oracle.iam」→「Server: wls_oim1」→「Application: oim」→

「IAMAppRuntimeMBean」を選択します。

4. 「UMSEmailNotificationProviderMBean」をクリックします。次の情報を入力します。

Web service URL：http://igdinternal.example.com:80/ucs/messaging/webservice

Policies：空白のままにします。

CSFKey：Notification.Provider.Key


Oracle Identity Managerを構成したら、Oracle BI Publisherを構成します。 Oracle BIの構成は、ドメイン構成ディレクトリにあります。以下の手順を実行してOracle BIの管理対象サーバーを構成し、IGD_ASERVER_HOMEにあるOracle BIの構成を使用するようにします。

WebLogic管理サーバーでは、プライマリ・ドメイン構成の場所に適用される構成変更が、ドメインの一部として登録済みのすべての管理対象サーバー・ドメインの構成ディレクトリに自動的にコピーされます。

Oracle BI Publisherのサーバー構成オプションを設定するには、次の手順を実行します。

1. weblogic管理コンソール経由で、Oracle BIの管理対象サーバーwls_bi1とwls_bi2をシャットダウンしま

す。

2. ファイルxmlp-server-config.xmlを編集します。

IGD_ASERVER_HOME/config/bipublisher/xmlp-server-config.xml

共有構成フォルダの場所が反映されるように、xmlp-server-config.xmlファイルのパラメータ‘パス’を更新します。

<?xml version = '1.0' encoding = 'UTF-8'?>

<xmlpConfig xmlns="http://xmlns.oracle.com/oxp/xmlp">

<resource>

<file path="IGD_ASERVER_HOME/config/bipublisher/repository"/>


</resource>

<config>

<file path="IGD_ASERVER_HOME/config/bipublisher/repository"/>

</config>

</xmlpConfig>

3. wls_bi1とwls_bi2を起動します。

Oracle BI Serverの検証

次のURLで、Oracle BI Publisherを検証します。

http://OIMHOST1VHN3.example.com:9704/xmlpserver


xelsysadmユーザーとしてログインします。

Oracle BI Serverの構成の検証 1. OIMHOST1で、xelsysadmの資格証明でOracle BI Publisherにログインし、「Administration」タブを選択

します。

2. System Maintenanceで、「Server Configuration」を選択します。

3. ConfigurationフォルダのPathフィールドで、Configurationフォルダの共有の場所を確認します。この場

所は、xmlp-server-config.xmlファイルに入力した場所である必要があります。

4. Catalogの下のBI Publisher Repositoryフィールドで、Oracle BI Publisherリポジトリの共有の場所を確認

します。この場所は、xmlp-server-config.xmlファイルに入力した場所である必要があります。

5. 手順1～4に従って、すべてのOIMHOSTのサーバー構成で、Catalogの下のPathフィールドとBI Publisher

Repositoryフィールドの値を検証します。両方のフィールドに、Oracle BI Publisherリポジトリの共有の

場所が含まれる必要があります。

Oracle BI Schedulerの構成

スケジューラの構成オプションの設定

次の手順を実行して、スケジューラのオプションを構成します。

1. OIMHOST1で、Oracle BI PublisherのURLにアクセスして、xelsysadminとしてログインします。


2. 「Administration」タブを選択します。

3. System Maintenanceで、「Scheduler Configuration」を選択します。

4. Scheduler Selectionで「Quartz Clustering」を選択して、「Apply」をクリックします。

Oracle BI PublisherのJMSの構成

Oracle BIを構成すると、バグのため、永続ストアが1つだけ作成されます。回避策は、次の手順を使用して、新しい永続ストアを作成することです。この手順では、管理対象サーバーごとにOracle BIのJMSストアを作成します。weblogicドメインの作成中に、1つのJMSストア構成がすでに作成されています。すべての永続ストアの場所は、すべてのOracle BIノードから表示できるディレクトリに設定する必要があります。

1. Oracle BIの管理対象サーバーをすべてシャットダウンします。


2. ディレクトリIGD_ASERVER_HOME/jms/BipJmsStore1を作成します。

3. 管理コンソールにログインします。Domain Structureウィンドウで、「Services」ノードを開いて「Persistent

Stores」ノードをクリックします。

4. Change Centerで、「Lock & Edit」をクリックします。既存のファイル・ストア（例：BipJmsStore）を

クリックして、ターゲットを確認します。これがWLS_BI2である場合は、新しいファイル・ストアの

ターゲットをWLS_BI1にする必要があります。

5. 「New」→「Create File Store」をクリックします。

6. BipJmsStore1などの名前を入力して、WLS_BI1をターゲットにします。共有ストレージにあるディレク

トリを入力して、OIMHOST1とOIMHOST2がアクセスできるようにします。たとえば、次のとおりです。

IGD_ASERVER_HOME/jms/BipJmsStore1

Domain Structureウィンドウで「Services」ノードを開き、「Messaging」を開いて「JMS Servers」ノードをクリックします。

7. Domain Structureウィンドウで「Services」ノードを開き、「Messaging」を開いて「JMS Servers」

ノードをクリックします。

8. 「New」をクリックします。

BipJmsServer1などの名前を入力します。

Persistence Storeドロップダウン・リストで、「BipJmsStore1」を選択して「Next」をクリックします。

ターゲットとしてWLS_BI1を選択します。「Finish」をクリックします。

9. Domain Structureウィンドウで「Services」ノードを開き、「Messaging」を開いて「JMS Modules」

ノードをクリックします。

「BipJmsResource」をクリックして、「Subdeployments」タブをクリックします。Subdeploymentsで「BipJmsSubDeployment」を選択します。

サブデプロイメントの追加ターゲットとして、新しい Oracle BI Publisher JMS サーバーである「BipJmsServer1」を追加します。

10. 「Save」→「Activate Changes」をクリックします。

11. wls_bi1とwls_bi2を起動します。

Oracle BI Publisherスケジューラの構成の検証

次の手順に従って、Oracle BI PublisherスケジューラのJMS共有一時ディレクトリを検証します。この手順は、両方のOIMHOST（OIMHOST1とOIMHOST2）で実行します。

1. 次のいずれかのURLで、Oracle BI Publisherにログインします。

http://OIMHOST1VHN3:9704/xmlpserver

http://OIMHOST2VHN3:9704/xmlpserver

2. System Maintenanceの「Administration」→「Scheduler Configuration」をクリックして、Scheduler

Configurationページを開きます。

3. 共有ストレージにあるディレクトリを入力して、共有ディレクトリを更新します。

IGD_ASERVER_HOME/reports

4. JNDI URLを次のように更新します。


cluster:t3://cluster_bi

5. 「Test JMS」をクリックします。

6. 「Apply」をクリックします。スケジューラのDiagnosticsタブで、スケジューラのステータスを確認し

ます。スケジューラのステータスは、successfulである必要があります。

7. Oracle BIのすべての管理対象サーバーで、上記の構成を確認します。

8. Oracle BIの管理対象サーバーをすべて再起動します。

WebLogicでのホスト・アサーションの変更

Oracle HTTP ServerはWebLogicのプロキシとして機能するため、デフォルトでは特定のCGI環境変数はWebLogicに渡されません。これらの環境変数には、ホストやポートも含まれます。WebLogicで仮想サイト名およびポートを使用しているため、内部URLを適切に生成できることを、WebLogicに対して通知する必要があります。


1. WebLogic管理コンソールにログインします。

2. ホーム・ページから「 Clusters 」を選択するか、 Domain 構造メニューから「 Environment 」 →

「Clusters」を選択します。

3. Change Centerウィンドウで「Lock and Edit」をクリックして、編集を有効にします。

4. 「Cluster Name」（cluster_soa）をクリックします。

5. Configurationタブで、「HTTP」サブタブを選択します。次の情報を入力します。

Frontend Host：igdinternal.example.com

Frontend HTTP Port：80


7. Change Centerウィンドウで「Activate Changes」をクリックして、編集を有効にします。

8. 管理対象サーバーWLS_SOA1とWLS_SOA2を再起動します。

Web層からのOracle Identity Managerインスタンスの検証次のWebブラウザでOracle Identity Managerコンソールを表示して、Oracle Identity Managerサーバー・インスタンスを検証します。

https://prov.example.com:443/identity

および

http://igdadmin.example.com/sysadmin

ユーザー名xelsysadmとパスワードを使用してログインします。

Web層からのOracle SOAインスタンスの検証

次のURLにアクセスして、Oracle SOAを検証します。

http://igdinternal.example.com:80/soa-infra

WebLogic管理ユーザーとしてログインします。


Web層からのOracle BIインスタンスの検証

次のURLにアクセスして、Oracle BIを検証します。

http://igdadmin.example.com/xmlpserver

ユーザー名xelsysadmとパスワードを使用してログインします。Identity ManagerとAccess Managerを統合します。

OIMHOST1とOIMHOST2へのOracle Access Managerキーストア・ファイルのコピー

Simple Security TransportモデルでAccess Managerを使用している場合は、「Oracle Access Management Access Manager の構成」で生成したOracle Access Manager キーストア・ファイルを、OIMHOST1とOIMHOST2 にコピーする必要があります。キーストア・ファイル SHARED_CONFIG_DIR/keystores /ssoKeystore.jks と IAD_ASERVER_HOME/output/webgate-ssl/oamclient-truststore.jks を、 OIMHOST1 とOIMHOST2のディレクトリIGD_MSERVER_HOME/config/fmwconfigにコピーします。

必要なオブジェクト・クラスによる、既存のLDAPユーザーの更新

オブジェクト・クラスOblixPersonPwdPolicy、OIMPersonPwdPolicy、およびOblixOrgPersonを使用して、既存のLDAPユーザーを更新する必要があります。

注：

既存のユーザーのない新規設定の場合、この操作は不要です。この操作を行うには、次の手順を実行します。

1. OAMHOST1で、次のコンテンツが含まれるuser.propsという統合用のプロパティ・ファイルを作成

します。


IDSTORE_PORT: 1389

IDSTORE_ADMIN_USER: cn=orcladmin

IDSTORE_DIRECTORYTYPE:OUD, OID

IDSTORE_USERSEARCHBASE: cn=Users,dc=example,dc=com


PASSWORD_EXPIRY_PERIOD: 7300


ここで、

» IDSTORE_HOSTは、LDAPサーバーの名前（例：repl-1-interface）です。

» IDSTORE_PORTは、LDAPサーバーのポートです。

» IDSTORE_ADMIN_USERは、管理ユーザーのバインドDN（例：cn=orcladminまたはcn=oudadmin）です。

» IDSTORE_DIRECTORYTYPEはディレクトリの種類で、有効な値はOUD、OIDです。

» IDSTORE_USERSEARCHBASEは、ディレクトリ内のユーザーの場所（例：cn=Users,dc=example,dc=com）です。

» IDSTORE_GROUPSEARCHBASE は、ディレクトリ内のグループの場所（例： cn=Groups,dc=example, dc=com）です。

» IDSTORE_LOGINATTRIBUTEは、ディレクトリのログイン属性名（例：uid）です。

» PASSWORD_EXPIRY_PERIODは、パスワードの有効期限です。

2. 環境変数MW_HOME、JAVA_HOME、およびORACLE_HOMEを設定します。


Set ORACLE_HOME to IAM_ORACLE_HOME

3. コマンドidmConfigToolを使用して、既存のLDAPをアップグレードします。このコマンドは、

IAM_ORACLE_HOME/idmtools/binにあります。

4. コマンドの構文は次のとおりです。

Linux

idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=configfile


idmConfigTool.sh -upgradeLDAPUsersForSSO input_file=iam.props

指示に従って、IDストアとの接続時に使用するユーザーのパスワードを入力します。注：コマンドの実行時に次のようなエラーが表示された場合は、無視してください。

java.lang.ClassNotFoundException:

oracle.as.jmx.framework.standardmbeans.spi.JMXFrameworkProviderImpl

at java.net.URLClassLoader$1.run(URLClassLoader.java:202)

Mobile Security SuiteへのOracle Identity Manager証明書のインポート

Mobile Security Suiteでは、Oracle Identity Managerを信頼できる必要があります。このためには、IAMGovernanceDomain証明書をOracle MSASにインポートする必要があります。この操作を行うには、次の手順を実行します。

IAMAccessDomainのJPS資格証明ストアのパスワードの取得

1. URL http://iadadmin.example.com/em を使用して、 IAMAccessDomain の Enterprise Manager

Fusion Middleware Controlにログインします。WebLogic管理者アカウントを使用してログインし

ます。

2. Farm_IAMAccessDomain – WebLogic Domain – IAMAccessDomainに移動します。

3. 右クリックして「System MBean Browser」をクリックします。

4. 「search」ボタンをクリックしてJpsCredentialStoreと入力し、「search」をクリックします。

5. 「search」ボタンをクリックしてJpsCredentialStoreと入力し、「search」をクリックします。

6. 「Operations」タブをクリックします。

7. 「getPortableCredential」をクリックします。

P1：oracle.wsm.security

P2：keystore-csf-key

8. 「Invoke」をクリックします。パスワードが返されたらメモします。

IAMGovernanceDomain証明書のエクスポート

keytoolコマンドを使用して、IAMGovernanceDomain証明書をエクスポートします。

keytool -keystore IGD_ASERVER_HOME/config/fmwconfig/default-keystore.jks -storepass <<PASSWORD>> -


exportcert - alias xell -file SHARED_CONFIG_DIR/keystores/xell.crt

ここでのパスワードは、IAMGovernanceDomainの作成時に入力したパスワードです。

IAMAccessDomainへの証明書のインポート

keytoolコマンドを使用して、上記の手順で抽出した証明書をIAMAccessDomainにインポートします。

keytool -keystore IAD_ASERVER_HOME/config/fmwconfig/default-keystore.jks -storepass <<PASSWORD>> -

importcert -alias xell –file SHARED_CONFIG/keystores/xell.crt

ここでのパスワードは、上記の手順でEnterprise Manager Fusion Middleware Controlから取得したパスワードです。

Access ManagerおよびMobile Security Suiteと、Oracle Identity Manager 11gの統合

WebGate 11gプロファイルを使用してOracle Identity ManagerとAccess Managerを統合するには、Access ManagerのTrusted Authentication Protocol（TAP）スキームを使用します。これは、Network Assertion Protocol（NAP）を使用していたWebGate 10gとは異なります。

Access ManagerをOracle Identity Managerと統合するには、OAMHOST1またはOIMHOST1で次の手順を実行します。

1. 環境変数MW_HOME、JAVA_HOME、およびORACLE_HOMEを設定します。たとえば、次のとおりです。 set ORACLE_HOME to IAM_ORACLE_HOME

2. oimitg.propsという統合用のプロパティ・ファイルを作成します。このファイルには、「構成ファ

イルの作成」のファイルと同じ値が多く含まれます。このファイルには、次の内容が含まれます。

LOGINURI: /${app.context}/adfAuthentication

LOGOUTURI: /oamsso/logout.html

AUTOLOGINURI: None

ACCESS_SERVER_HOST: OAMHOST1.example.com

ACCESS_SERVER_PORT: 5575

ACCESS_GATE_ID: Webgate_IDM

COOKIE_DOMAIN: .example.com

COOKIE_EXPIRY_INTERVAL: 120


OAM_TRANSFER_MODE: simple

WEBGATE_TYPE: ohsWebgate11g

SSO_ENABLED_FLAG: true IDSTORE_PORT: 1389


IDSTORE_DIRECTORYTYPE: OUD, OID or AD

IDSTORE_ADMIN_USER: cn=oamLDAP,cn=systemids,dc=example,dc=com IDSTORE_USERSEARCHBASE:

cn=Users,dc=example,dc=com IDSTORE_GROUPSEARCHBASE: cn=Groups,dc=example,dc=com

IDSTORE_WLSADMINUSER: weblogic_idm

MDS_DB_URL:

jdbc:oracle:thin:@(DESCRIPTION=(LOAD_BALANCE=on)(FAILOVER=on)(ADDRESS_LIST=(ADDRESS=(protocol=t

cp)(host=IDMBH OST1-vip.mycomapny.com)(port=1521))(ADDRESS=(protocol=tcp)(host=IDMDBHOST2-


vip.example.com)(port=1521)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=iadedg.example.com))

) MDS_DB_SCHEMA_USERNAME: edgigd_mds

WLSHOST: igdadminvhn.example.com

WLSPORT: 7101

WLSADMIN: WebLogic

WLSPASSWD: password

OAM11G_WLS_ADMIN_HOST:

IADADMINVHN.example.com OAM11G_WLS_ADMIN_PORT: 7001

OAM11G_WLS_ADMIN_USER: weblogic

DOMAIN_NAME: IAMGovernanceDomain

OIM_MANAGED_SERVER_NAME: WLS_OIM1

DOMAIN_LOCATION: IGD_ASERVER_HOME

OIM_MSM_REST_SERVER_URL: http://iadinternal.example.com/

1) Oracle Identity Managerプロパティの説明

» WLS_HOSTは、管理サーバーのリスニング・アドレスです。Oracle Access Managerの構成の場合は、IAMAccessDomainに関連付けられたホストとなります。Oracle Access Manager/Oracle Identity Managerの統合の場合は、IAMGovernanceDomainに関連付けられたホストとなります。

» WLS_PORT は、管理サーバーのリスニング・ポートです。 Oracle Access Manager の構成の場合は、IAMAccessDomainに関連付けられたポートとなります。Oracle Access Manager/Oracle Identity Managerの統合の場合は、IAMGovernanceDomainに関連付けられたホストとなります。

» WLS_ADMINは、管理サーバーとの接続用のユーザーです。

» WLSPASSWDは、WLS_ADMINアカウントのパスワードです。

» OAM11G_WLS_ADMIN_HOSTは、IAMAccessDomain管理サーバーのリスニング・アドレスです。

» OAM11G_WLS_ADMIN_PORTは、IAMAccessDomain管理サーバーのリスニング・ポートです。

» OAM11G_WLS_ADMIN_Userは、IAMAccessDomain管理ユーザーです。

» SPLIT_DOMAINは、Oracle Access ManagerとOracle Identity Managerが別々のドメインにある場合に使用します。このプロパティは、必ずtrueに設定する必要があります。

» IDSTORE_HOSTは、LDAPディレクトリに面しているロードバランサの名前です。

» IDSTORE_PORTは、LDAPリクエストにアクセスしているロードバランサ上のポート（例：3060または1389）に設定します。

» IDSTORE_DIRECTORYTYPE は、 Oracle Internet DirectoryにIDストアがある場合はOIDに、Oracle Unified Directoryに接続している場合はOUDに、Active DirectoryにIDストアがある場合はADに設定します。

» Access Managerサーバーがsimpleモードを使用してリクエストを受け付けるように構成されている場合は、

» OAM_TRANSFER_MODEをsimpleに設定します。それ以外の場合は、OAM_TRANSFER_MODEをopenに設定します。

» IDSTORE_WLSADMINUSERは、IDストアの準備時に使用した値（例：weblogic_idm）です。

» シングル・インスタンス・データベースを使用している場合は、MDS_URLをjdbc:oracle:thin:@DBHOST: 1521:SIDに設定します。

コマンドidmConfigToolを使用したAccess ManagerとOracle Identity Managerの統合

このツールは、次の場所にあります。

IAM_ORACLE_HOME/idmtools/bin

コマンドの構文は、次のとおりです。

Linux


idmConfigTool.sh -configOIM input_file=configfile


IAM_ORACLE_HOME/idmtools/bin/idmConfigTool.sh -configOIM input_file=oimitg.props

スクリプトの実行時に、次の情報の入力を求められます。

» IAMAccessDomainの管理ユーザーのパスワード

» SSOアクセス・ゲートのパスワード

» SSOキーストアのパスワード

» グローバル・パスフレーズ

» IDストアの管理パスワード

» MDSデータベース・スキーマのパスワード

» Oracle Access Manager 11gのドメイン・ユーザー・パスワード（weblogic_idmユーザーのパスワード）

IAMGovernanceドメインの再起動

管理サーバーwls_soan、wls_oimn、wls_binを再起動します。この操作が必要なのは、configOIMによってドメインのセキュリティ設定が変更されるためです。これらの変更を有効にするには、再起動が必要です。

Oracle Mobile Security Suiteヘルプデスクのユーザーとロールの作成

Oracle Access ManagerとOracle Identity Managerを統合したら、Oracle Mobile Security Suiteのユーザーを作成する必要があります。この操作を行うには、次の手順を実行します。

1. Oracle Identity Managerのセルフサービス・コンソールに、ユーザーxelsysadmとしてログインし

ます。

2. 画面上部の「Manage」ボタンをクリックします。

3. 起動パッドから「Users」をクリックします。


5. 画面に情報を入力してユーザーを作成します。このユーザーは、Oracle Mobile Security Suiteヘル

プデスクで使用します。

6. 「Submit」をクリックします。

7. ユーザーの作成タブを閉じます。

8. 画面上部の「Manage」ボタンをクリックします。

9. 起動パッドから「Administration Roles」をクリックします。


11. Basic Information画面で、次の情報を入力します。

Name：helpdesk

Display Name：helpdesk


12. Capabilities画面で、「Add Capabilities」をクリックします。

13. Display NameフィールドにUser – Viewを入力して、「Search」をクリックします。

14. 検索結果から「User – View / Search」を選択して、「Add Selected」をクリックします。

15. 手順13と14を繰り返して、Role – View / Searchの機能を追加します。


16. 「Select」をクリックします。


18. Members画面で、「Assign Users」をクリックします。

19. 検索ボックスにヘルプデスク・ユーザーの名前を入力して、「Search」をクリックします。

20. 検索結果からヘルプデスク・ユーザーを選択して、「Add Selected」をクリックします。



23. scope of control画面で、「Add Organisations」をクリックします。

24. 検索ボックスに組織を入力して、「Search」をクリックします。

25. 必要な組織を選択して、「Add Selected」をクリックします。



28. Organizations画面で、「Next」をクリックします。

29. Summary画面で、「Finish」をクリックします。

xelsysadmユーザーのパスワードの管理

Oracle Identity ManagerとAccess Managerの統合後には、2つのxelsysadmアカウントが存在します。1つはOracle Identity Managerによって作成された内部アカウント、もう1つは自分がIDストアで作成したアカウントです。

LDAPストアにあるxelsysadmアカウントは、Oracle Identity Managerコンソールへのアクセスに使用されるアカウントです。このアカウントのパスワードを変更する場合は、LDAPで変更します。この操作には、Oracle Directory Services Managerを使用します。Oracle Identity Managerコンソールでパスワードを変更しないでください。

統合の検証

統合を検証するには、「シングル・サインオンの構成」の手順に従って、Identity Managementの管理者をWebLogicセキュリティ・グループに割り当てて、WebGateをインストールする必要があります。

Access ManagerとOracle Identity Manager 11gの接続が成功したことを検証するには、次の手順に従って、Oracle Identity Managerのセルフサービス・コンソールにログインしてみます。

1. ブラウザを使用して、https://prov.example.com/identityに移動します。

Oracle Identity Manager 11gのシングル・サインオン・ページにリダイレクトされます。

2. 「IDストアの準備」で作成したxelsysadmユーザー・アカウントを使用してログインします。

3. OIM Self Service Consoleページが表示されたら、統合は成功しています。

LDAPユーザーを使用した、Oracle Identity ManagerからOracle SOAへの接続 Oracle Identity Managerは、Oracle SOA管理者としてOracle SOAに接続します。このとき、デフォルトでユーザー名weblogicが使用されます。前の項で説明したとおり、新しい管理者ユーザーは、中央LDAPストアでプロビジョニングされてIdentity ManagementのWebLogicドメインを管理します。

インストール後に次の手順を実行して、Oracle Identity Managerと、中央LDAPストアでプロビジョニングしたOracle WebLogic Server管理者ユーザーが連携できるようにします。これで、Oracle Identity ManagerがOracle SOAに問題なく接続できます。


1. IAMGovernanceDomainのEnterprise Manager Fusion Middleware Controlに、weblogicユーザーと

してログインします。

2. 「Farm_IAMGovernanceDomain」→「WebLogic Domain」→「IAMGovernanceDomain」を

選択します。

3. 右クリックしてメニューから「System MBean Browser」を選択するか、右クリックして選択します。

4. 「Search」を選択してSOAConfigと入力し、「search」をクリックします。

5. username属性を、「IDストアの準備」でプロビジョニングしたOracle WebLogic Server管理者の

ユーザー名に変更します。たとえば、次のとおりです。

weblogic_idm

「Apply」をクリックします。

6. 「Weblogic Domain」→「IAMGovernanceDomain」を選択します。

7. ドロップダウン・メニューから、「Security」→「Credentials」を選択します。

8. 「oim」という鍵を開きます。

9. 「SOAAdminPassword」をクリックします。

10. 「Edit」をクリックします。

11. ユーザー名をweblogic_idmに変更して、パスワードをアカウント・パスワードに設定します。

12. 「OK」をクリックします。

13. リコンシリエーション・プロセスを実行して、 Oracle WebLogic Server 管理者である

weblogic_idmを、Oracle Identity ManagerのIDコンソールで表示できるようにします。次の手順

を実行します。 » Oracle Identity Managerのシステム管理コンソールに、ユーザーxelsysadmとしてログインします。

» System Managementで「Scheduler」をクリックします。

» 検索ボックスにLDAP*と入力します。

» Search Scheduled Jobsの矢印をクリックして、すべてのスケジューラを表示します。

» 「LDAP User Create and Update Full Reconciliation」を選択します。

» 「Run Now」をクリックして、ジョブを実行します。

14. Oracle Identity Managerのセルフサービス・コンソールに、ユーザーxelsysadmとしてログインし

ます。

指示に従って、チャレンジ質問を設定します。この指示は、Oracle Identity ManagerのIDコンソールへの最初のログイン時に表示されます。

15. Administrationで「Roles」をクリックします

16. Administratorsロールを検索します。

Display Name検索ボックスにAdministratorsと入力して、「Search」をクリックします。

17. 「Administrators」ロールをクリックします。そのロールのPropertiesページが表示されます。

18. 「Organizations」タブをクリックします。

19. 「Add」をクリックします。xelsysadmが属する組織（例：Xellerate Users）を検索して選択します。

20. 「Add Selected」をクリックします。「Select」をクリックします。


21. 「Members」タブをクリックします。

22. 「Add」をクリックします。

23. ユーザーweblogic_idmを検索します。weblogic_idmユーザーを選択します。

24. 「Add Selected」をクリックします。



Active Directoryのユーザー名生成ポリシーの更新バックエンド・ディレクトリがActive Directoryの場合は、Oracle Identity Managerを更新して、20文字以内のユーザー名のみが許可されるようにする必要があります。これは、Active Directoryの制限です。次のように、ユーザー名生成ポリシーをDefaultComboPolicyからFirstnameLastnamepolicyforADに変更します。

1. Oracle Identity Manager管理コンソールにログインします。

2. System Configurationの「Configuration Properties」をクリックします。

3. SearchボックスにDefault Policy for Username Generationと入力して、「Search」をクリックします。

4. 「Default Policy for Username Generation」をクリックします。

5. Valueフィールドで、エントリを

oracle.iam.identity.usermgmt.impl.plugins.DefaultComboPolicyか

らoracle.iam.identity.usermgmt.impl.plugins.FirstNameLastNamePol icyForAD

に変更します。


Oracle Identity Managerリコンシリエーションからのユーザーの除外 Oracle Identity Managementでは、LDAPコンテナcn=Usersにあるすべてのユーザーのリコンシリエーションが、デフォルトで行われます。リコンシリエーションが実行されると、これらのユーザーは、Oracle Identity Managerで定義される通常のパスワード有効期限ポリシーの対象になります。これは、システム・アカウントにとって望ましいことではありません。次のアカウントは、このリコンシリエーションから除外することをお勧めします。

» xelsysadm

» oimLDAP

» oamLDAP

また、場合によっては次のアカウントも除外します。

» IDROUser

» IDRWUser

» PolicyROUser

» PolicyRWUser

これらのユーザーをリコンシリエーションから除外し、失敗したリコンシリエーション・イベントを破棄するには、次の手順を実行します。

1. orclAppIDUserオブジェクト・クラスを上記の各ユーザーに追加して、リコンシリエーションから


除外されるようにします。

Oracle Identity Managerコンソールを使用した、失敗したリコンシリエーション・イベントの終了

1. Oracle Identity Managerの管理コンソールに、xelsysadmユーザーとしてログインします。

2. Provisioning Configurationで「Reconciliation」をクリックします。 3. 「Advanced Search」をクリックします。

4. Current Statusフィールドで、「Equals」を選択します。Searchボックスで、リストから「Creation

Failed」を選択します。

5. 「Search」をクリックします。

6. 各イベントを選択します。

7. Actionsメニューから「Close Event」を選択します。

8. Confirmationウィンドウで、Close Failed Reconciliation Eventsなどの理由を入力します。

9. 「Closed」をクリックします。

10. 「OK」をクリックして、この確認メッセージを受け入れます。

アプリケーション層の構成のバックアップベスト・プラクティスとして、各層のインストールと構成を完了した後、またはその他の論理ポイントでバックアップを作成することをお勧めします。その時点までのインストールが成功していることを確認してから、バックアップを作成します。これは、後の手順で問題が発生した場合に迅速にリストアするための、クイック・バックアップです。バックアップ先はローカル・ディスクです。エンタープライズ・デプロイメントの設定が完了したら、このバックアップを破棄できます。エンタープライズ・デプロイメントの設定が完了したら、通常のデプロイメント固有のバックアップとリカバリのプロセスを開始できます。この時点でインストールをバックアップするには、次の手順を実行します。

» Webをバックアップして、Oracle Identity Managerデータベースをバックアップします。これは、データベース全体のバックアップ（ホット・バックアップまたはコールド・バックアップ）です。使用するツールは、Oracle Recovery Managerをお勧めします。

» ディレクトリ・サーバーをバックアップします。

» 管理サーバーのドメイン・ディレクトリをバックアップします。

» 管理対象サーバーのドメイン・ディレクトリをバックアップします。

ノード・マネージャの設定ノード・マネージャを使用して、管理サーバーと管理対象サーバーを起動および停止できます。

本章の手順は、このガイドの「デプロイメント・トポロジ」の項で説明しているエンタープライズ・デプロイメントの各種コンポーネントで実行する必要があります。本章では、変数を使用してコンポーネント固有の項目を区別しています。

» WLS_SERVERは、エンタープライズ・デプロイメント・コンポーネントのWebLogic管理対象サーバーを示しています（例：WLS_OIM1）。

» HOSTは、エンタープライズ・デプロイメント・コンポーネントのホスト・マシンを示しています（例：OIMHOST1）。

» VIPは、エンタープライズ・デプロイメント・コンポーネントの仮想IPを示しています（例：


OIMHOST1VHN1）。

これらの変数に使用する値は、このEDGのコンポーネント固有の章で提供されます。本章の手順は、コンポーネント固有の章で提供される情報を使用して、VIPとIPのペアごとに、複数回実行する必要があります。

「ドメインの作成」の章で作成したノード・マネージャ・ディレクトリSHARED_CONFIG_DIR/nodemanager/hostname.domainは、個々のノード・マネージャの構成で使用します。

推奨事項エンタープライズ・デプロイメント・トポロジでのノード・マネージャの構成には、2つの主要な推奨事項があります。

1. ノード・マネージャのログ・ファイルは、デフォルトの場所（ノード・マネージャのあるミドル

ウェア・ホーム内）以外の場所に置くことをお勧めします。

2. また、ノード・マネージャとサーバー間のドメイン内の通信では、ホスト名の検証を使用するこ

ともお勧めします。この操作には、ドメイン内で使用されるさまざまなアドレスの証明書を使用

する必要があります。本章では、ホスト名の検証用に、ホストで証明書を構成する手順について

説明します。

注：

このガイドで使用するパスワードは、単なる一例です。本番環境では、セキュアなパスワードを使用してください。たとえば、ランダムな順序の大文字と小文字、および数字で構成されるパスワードを使用します。

ノード・マネージャ・ログの場所の変更ノード・マネージャ・ログの場所を更新していない場合は、これを更新します。SHARED_CONFIG_DIR/ nodemanager/hostname.domain/nodemanager.propertiesにあるノード・マネージャのプロパティ・ファイルを編集します。次の行を使用して、ログ・ファイルの新しい場所を追加します。

LogFile= SHARED_CONFIG_DIR/nodemanager/hostname.domain/nodemanager.log

オラクルのベスト・プラクティスは、MW_HOMEディレクトリ外でOracleベース・ディレクトリ内の、すべてのOracle製品のインストール先である場所を使用することです。

ノード・マネージャを再起動して、変更を有効にします。

ノード・マネージャのホスト名の検証の証明書の有効化ここでは、ノード・マネージャと管理サーバー間の通信用に、ホスト名の検証の証明書を設定する方法を説明します。次の手順で構成されます。

utils.CertGenユーティリティを使用した、自己署名証明書の生成

本章で（例として）追加する証明書は、ノード・マネージャが物理ホスト名（HOST.example.com）をリスニングし、WebLogic管理対象サーバーが仮想ホスト名（VIP.example.com）をリスニングする構成に対応します。サーバーが仮想ホスト名を使用している場合は、ノード間でそのサーバーを移行できるということです。つまり、キーストアと信頼キーストアを保存するディレクトリは、フェイルオーバーからアクセスできる共有ストレージ上に存在する必要があります。追加のホスト名を同じノードや別のノードで使用する場合は、この例の手順を次のように拡張する必要があります。

1. 必要なホスト名を証明書ストアに追加する（ホスト名がHOST.example.comやVIP.example.comで


はない場合）。

2. ノード・マネージャ（ノード・マネージャで追加のホスト名を使用する場合）またはサーバー

（管理対象サーバーで追加のホスト名を使用する場合）の、IDストアと信頼ストアの場所情報を変

更する。

次の手順に従って、HOSTで自己署名証明書を作成します。これらの証明書は、ネットワーク名かエイリアスを使用して作成する必要があります。次の例では、HOST.example.comとVIP.example.comの証明書を構成します。つまり、HOSTで物理ホスト名（HOST)と仮想ホスト名（VIP）の両方が使用されることが前提となります。また、HOST.example.comがノード・マネージャで使用されるアドレスであり、VIP.example.comが管理対象サーバーか管理サーバーで使用されるアドレスであることも前提となります。これは、管理サーバーとFusion Middlewareコンポーネントをホストするノードでも、2台の管理対象サーバーが物理ホスト名をリスニングする1台のサーバーおよび仮想ホスト名を使用する1台のサーバーと共存する（移行サーバーを使用するサーバーの場合）ノードでも同じです。

1. WL_HOME/server/bin/setWLSEnv.shスクリプトを実行して、環境を設定します。Bourneシェルで、

HOST上で次のコマンドを実行します。

cd WL_HOME/server/bin

./setWLSEnv.sh

CLASSPATH環境変数が、次のように設定されていることを確認します。

echo $CLASSPATH

2. 証明書のユーザー定義ディレクトリを作成します。たとえば、SHARED_CONFIG_DIRディレクトリ

に'certs'というディレクトリを作成します。証明書は、WebLogicドメイン間で共有できます。

cd SHARED_CONFIG_DIR

mkdir certs

注：キーストアと信頼キーストアを保存するディレクトリは、すべてのノードからアクセスできる共有ストレージ上に存在する必要があります。これは、（手動またはサーバー移行による）サーバーのフェイルオーバー時に、フェイルオーバー・ノードから適切な証明書にアクセスできるようにするためです。さまざまな用途（HTTPを呼び出すためのSSLの設定など）の証明書には、中央ストアか共有ストアを使用することをお勧めします。

3. ディレクトリを、上記で作成したディレクトリに変更します。

cd certs

4. HOST 上のユーザー定義ディレクトリから utils.CertGen ツールを実行して、すべての

HOST.example.comとVIP.example.comの証明書を作成します。

構文は、次のとおりです（すべてを1行に含めます）。

java utils.CertGen Key_Passphrase Cert_File_Name Key_File_Name

[export | domestic] [Host_Name]

例：

java utils.CertGen Key_Passphrase OIMHOST1.example.com_cert OIMHOST1.example.com_key domestic

OIMHOST1.example.com

java utils.CertGen Key_Passphrase OIMHOST1VHN1.example.com_cert OIMHOST1VHN1.example.com_key

domestic

OIMHOST1VHN1.example.com


管理サーバーの仮想ホストの証明書も作成します。

java utils.CertGen Key_Passphrase IGDADMINVHN.example.com_cert IADADMINVHN.example.com_key

domestic IGDADMINVHN.example.com

utils.ImportPrivateKeyユーティリティを使用したIDストアの作成

次の手順に従って、HOSTでIDキーストアを作成します。

1. utils.ImportPrivateKeyユーティリティを使用して、appIdentityKeyStoreという新しいIDキーストア

を作成します。このキーストアは、証明書と同じディレクトリ（SHARED_CONFIG_DIR/certs）に

作成します。

注：utils.ImportPrivateKeyユーティリティを使用して、証明書と対応する鍵をIDストアにインポートすると、（IDストアがない場合は）IDストアが作成されます。

2. HOST上で、上記で作成したHOST.example.comとVIP.example.comの証明書と秘密鍵を、IDストア

にインポートします。インポートした証明書/鍵のペアごとに、異なるエイリアスを使用してくだ

さい。構文は、次のとおりです（すべてを1行に含めます）。

java utils.ImportPrivateKey Keystore_File Keystore_Password

Certificate_Alias_to_Use Private_Key_Passphrase

Certificate_File

Private_Key_File

[Keystore_Type]

例：

java utils.ImportPrivateKey appIdentityKeyStore.jks Key_Passphrase appIdentityOIMHOST1

Key_Passphrase SHARED_CONFIG_DIR/certs/OIMHOST1.example.com_cert.pem

SHARED_CONFIG_DIR/certs/OIMHOST1.example.com_key.pem

java utils.ImportPrivateKey appIdentityKeyStore.jks Key_Passphrase appIdentityOIMVHN1

Key_Passphrase

SHARED_CONFIG_DIR/certs/OIMHOST1VHN1.example.com_cert.pem

SHARED_CONFIG_DIR/certs/OIMHOST1VHN1.example.com_key.pem

java utils.ImportPrivateKey appIdentityKeyStore.jks Key_Passphrase appIdentityIGDADMINVHN

Key_Passphrase

SHARED_CONFIG_DIR/certs/igdadminvhn.example.com_cert.pem

SHARED_CONFIG_DIR/certs/igdadminvhn.example.com_key.pem

keytoolユーティリティを使用した、信頼キーストアの作成

HOSTで信頼キーストアを作成するには、次の手順を実行します。

1. 標準Javaキーストアをコピーして、新しい信頼キーストアを作成します。標準Javaキーストアには、

必要なほとんどのルートCA証明書が含まれているためです。標準Java信頼キーストアを直接変更

することはお勧めしません。WL_HOME/server/libディレクトリにある標準JavaキーストアのCA証

明書を、証明書と同じディレクトリにコピーします。たとえば、次のとおりです。

cp WL_HOME/server/lib/cacerts SHARED_CONFIG_DIR/certs/appTrustKeyStoreOIMHOST1.jks


2. 標準Javaキーストアのデフォルト・パスワードは、changeitです。デフォルト・パスワードは、常

に変更してください。keytoolユーティリティを使用して、次の手順を実行します。構文は、次の

とおりです。

keytool -storepasswd -new New_Password -keystore Trust_Keystore -storepass Original_Password


keytool -storepasswd -new Key_Passphrase -keystore appTrustKeyStoreOIMHOST1.jks -storepass

changeit

3. CA証明書CertGenCA.derを使用して、utils.CertGenツールで生成されるすべての証明書に署名しま

す。この証明書は、WL_HOME/server/libディレクトリにあります。keytoolユーティリティを使用

して、このCA証明書をappTrustKeyStoreにインポートする必要があります。構文は、次のとおり

です。

keytool -import -v -noprompt -trustcacerts -alias Alias_Name

-file CA_File_Location -keystore Keystore_Location -storepass Keystore_Password


keytool -import -v -noprompt -trustcacerts -alias clientCACert -file

WL_HOME/server/lib/CertGenCA.der - keystore appTrustKeyStoreOIMHOST1.jks -storepass

Key_Passphrase

カスタム・キーストアを使用するためのノード・マネージャの構成

ノード・マネージャでカスタム・キーストアの使用を構成するには、 SHARED_CONFIG_DIR/ nodemanager/HOSTNAME.DOMAINディレクトリにあるnodemanager.propertiesファイルの末尾に、次の行を追加します。

KeyStores=CustomIdentityAndCustomTrust

CustomIdentityKeyStoreFileName=Identity_Keystore

CustomIdentityKeyStorePassPhrase=Identity_Keystore_Password

CustomIdentityAlias=Identity_Keystore_Alias

CustomIdentityPrivateKeyPassPhrase=Private_Key_Used_When_Creating_Certificate

For example:

KeyStores=CustomIdentityAndCustomTrust

CustomIdentityKeyStoreFileName=SHARED_CONFIG_DIR/certs/appIdentityKeyStore.jks

CustomIdentityKeyStorePassPhrase=Key_Passphrase

CustomIdentityAlias=appIdentityOIMHOST1

CustomIdentityPrivateKeyPassPhrase=Key_Passphrase

ノード・マネージャを起動すると、nodemanager.propertiesファイルのパスフレーズ・エントリが暗号化されます。セキュリティ上の理由から、nodemanager.propertiesファイル内のエントリが暗号化されない状態である時間は、できるだけ短くしてください。ファイルを編集したら、できるだけ早くノード・マネージャを起動して、エントリが暗号化されるようにしてください。


注：管理サーバーに正しい証明書を送信するには、ノード・マネージャごとに異なるIDエイリアスをポイントする必要があります。WL_HOME/server/binディレクトリを使用してノード・マネージャを起動しており、このドキュメントの説明に従って別のnodemanagerディレクトリを構成していない場合は、別のノードでノード・マネージャを起動する前に、別の環境変数を設定する必要があります。


export JAVA_OPTIONS=-DCustomIdentityAlias=appIdentityOIMHOST1


export JAVA_OPTIONS=-DCustomIdentityAlias=appIdentityOIMHOST2

各ホストに特別に割り当てられたカスタムIDエイリアスを指定してください。たとえば、...HOST1の場合はappIdentity1、...HOST2の場合はappIdentity2です。

カスタム・キーストアを使用するためのWebLogic管理対象サーバーの構成

次の手順に従って、WLS_SERVERのIDキーストアと信頼キーストアを構成します。



3. Domain Structureウィンドウで、「Environment」ノードを開きます。。


5. IDキーストアと信頼キーストアを構成するサーバーの名前（WLS_SERVER）をクリックします。選

択したサーバーの設定ページが表示されます。

6. 「Configuration」→「Keystores」を選択します。

7. Keystoresフィールドで、秘密鍵/デジタル証明書のペアと信頼できるCA証明書を保存および管理す

るための「Custom Identity and Custom Trust」メソッドを選択します。

8. Identityセクションで、IDキーストアの属性を定義します。

Custom Identity Keystore：IDキーストアの完全修飾パス

（SHARED_CONFIG_DIR/certs/appIdentityKeyStore.jks）です。

Custom Identity Keystore Type：空白のままにします。デフォルトでJKSに設定されます。

Custom Identity Keystore Passphrase：keytoolユーティリティを使用して信頼キーストアを作成したときに入力したパスワード（Keystore_Password）です。この属性がオプションであるか必須であるかは、キーストアの種類によって決まります。キーストアへの書込みには、すべてのキーストアでパスフレーズが必要です。ただし、キーストアによっては、キーストアからの読取りにパスフレーズが不要な場合があります。WebLogic Serverではキーストアからの読取りだけが行われます。このため、このプロパティを定義するかどうかは、キーストアの要件によって異なります。

9. Trustセクションで、信頼キーストアのプロパティを定義します。

Custom Trust Keystore：信頼キーストアの完全修飾パス

（例：SHARED_CONFIG_DIR/certs/appTrustKeyStoreOIMHOST1.jks）です。

Custom Trust Keystore Type：空白のままにします。デフォルトでJKSに設定されます。

Custom Trust Keystore Passphrase：keytoolユーティリティを使用して信頼キーストアを作成したときに


入力したパスワード（New_Password）です。この属性がオプションであるか必須であるかは、キーストアの種類によって決まります。キーストアへの書込みには、すべてのキーストアでパスフレーズが必要です。ただし、キーストアによっては、キーストアからの読取りにパスフレーズが不要な場合があります。WebLogic Serverではキーストアからの読取りだけが行われます。このため、このプロパティを定義するかどうかは、キーストアの要件によって異なります。


11. 管理コンソールのChange Centerで「Activate Changes」をクリックして、変更を有効にします。

12. 「Configuration」→「SSL」を選択します。


14. Private Key Aliasフィールドに、管理対象サーバーがリスニングするホスト名で使用したエイリア

スを入力します。たとえば、次のとおりです。 » wls_oim1では、appIdentityOIMHOST1を使用します。

» wls_ods2では、appIdentityOIMHOST2を使用します。

» ADMINSERVERユーザーの場合は、appIdentityIGDADMINVHNを使用します。

Private Key PassphraseフィールドとConfirm Private Key Passphraseフィールドに、IDキーストアの作成時にutils.ImportPrivateKeyユーティリティを使用して作成したキーストアのパスワードを入力します。


16. 管理コンソールのChange Centerで「Activate Changes」をクリックして、変更を有効にします。

17. 変更が適用されたサーバーを再起動します。

管理対象サーバーの、ホスト名の検証設定の変更

前の手順を実行したら、影響を受ける管理対象サーバーのホスト名の検証をBea Hostname Verifierに設定します。この操作を行うには、次の手順を実行します。


2. Change Centerで、「Lock and Edit」を選択します。



5. 表のNames列で「Managed Server」を選択します。サーバーの設定ページが表示されます。

6. 「SSL」タブを開きます。

7. ページの「Advanced」セクションを開きます。

8. ホスト名の検証をBea Hostname Verifierに設定します。



ノード・マネージャの起動次のコマンドを実行して、ノード・マネージャを起動します。

cd SHARED_CONFIG_DIR/nodemanager/HOSTNAME.DOMAIN

./startNodeManagerWrapper.sh

注：


ノード・マネージャの出力から、ノード・マネージャが適切なストアとエイリアスを使用していることを確認します。ノード・マネージャが起動したら、次の内容を確認します。

<Loading identity key store:

FileName= SHARED_CONFIG_DIR/certs/appIdentityKeyStore.jks, Type=jks, PassPhraseUsed=true>

テストの構成変更をサーバーに適用して、ノード・マネージャからSSLエラーが報告されずに成功した場合に、ホスト名の検証が機能します。

サーバー移行の構成サーバー移行によって、Oracle SOAやOracle Identity Managerの管理対象サーバーをホスト間で移行できます。このため、いずれかのサーバーをホストするノードで障害が発生しても、他のノードでサービスを継続できます。

管理対象サーバーWLS_OIM1、WLS_SOA1、WLS_OIM2、WLS_SOA、WLS_BI1、WLS_BI2のサーバー移行を構成します。管理対象サーバーWLS_OIM1、WLS_BI1、WLS_SOA1は、障害発生時に

OIMHOST2で再起動するように構成されています。管理対象サーバーWLS_OIM2、WLS_BI2、WLS_SOA2は、障害発生時にOIMHOST1で再起動するように構成されています。サーバーWLS_OIM1 、WLS_SOA1、WLS_OIM2、WLS_BI1、WLS_BI2、WLS_SOA2は、WebLogic Serverの移行によってフェイルオーバーされる特定の浮動IPをリスニングします。

次の項の手順を実行して、管理対象サーバーWLS_OIM1、WLS_SOA1、WLS_OIM2、WLS_BI1、WLS_BI2、WLS_SOA2のサーバー移行を構成します。

サーバーのユーザーと表領域の設定

ここでは、サーバー移行のリース表のユーザーと表領域を設定します。

注：

同じドメイン内の他のサーバーでサーバー移行がすでに構成されている場合は、同じ表領域とデータソースを使用できます。その場合、データベースのリース用にデータソースとマルチ・データソースを再作成する必要はありませんが、サーバー移行で構成されるクラスタに再ターゲットする必要があります。

1. リースと呼ばれる表領域を作成します。たとえば、sysdbaユーザーとしてSQL*Plusにログオンし

て、次のコマンドを実行します。

create tablespace leasing

logging datafile 'DB_HOME/oradata/orcl/leasing.dbf'

size 32m autoextend on next 32m maxsize 2048m extent management local;

2. leasingという名前のユーザーを作成して、リース表領域に割り当てます。

create user leasing identified by password;

grant create table to leasing;

grant create session to leasing;

alter user leasing default tablespace leasing;

alter user leasing quota unlimited on LEASING;

3. leasing.ddlスクリプトを使用して、リース表を作成します。 » 次のいずれかのディレクトリにあるleasing.ddlファイルを、データベース・ノードにコピーします。


WL_HOME/server/db/oracle/817

WL_HOME/server/db/oracle/920

» データベースにleasingユーザーとして接続します。

» SQL*Plusで、leasing.ddlスクリプトを実行します。

@Copy_Location/leasing.ddl;

リース用のGridLinkデータソースの作成ここでは、Oracle WebLogic Server管理コンソールから、リース表のGridLinkデータソースを作成します。

GridLinkデータソースを作成するには、次の手順を実行します。


2. 作成していない場合は、Change Centerで「Lock & Edit」をクリックします。

3. Domain Structureツリーで、「Services」→「Data Sources」の順に開きます。

4. Summary of Data Sourcesページで、「New」をクリックして「GridLink Data Source」を選択し、次の内容を

入力します。 Name：データソースの名前（例：Leasing）です。

JNDI Name：データソースにアクセスするためのJNDI名（例：jdbc/leasing）です。Database Driver：「Oracle's Driver (Thin) for GridLink Connections Versions:11 and later」を選択します。「Next」をクリック

します。

5. Transaction Optionsページで、「Supports Global Transactions」の選択を解除して「Next」をクリック

します。

6. GridLink Data Source Connection Properties Options画面で、「Enter individual listener information」

を選択して「Next」をクリックします。

7. 次の接続プロパティを入力します。

Service Name：データベースのサービス名を小文字で入力します。GridLinkデータソースの場合、Oracle RACサービス名（例：igdedg.example.com）を入力する必要があります。

Host Name and Port：使用中のOracle RACデータベースのSCANアドレスとポートを入力します。TCPプロトコルを使用してデータベース中の適切なパラメータの問合せを実行すると、このアドレスを特定できます。

SQL>show parameter remote_listener;

NAME TYPE VALUE

--------------------------------------------------

remote_listener string db-scan.example.com

注：Oracle Database 11g Release 1（11.1）の場合、各データベース・インスタンス・リスナーの仮想IPとポートを使用します。たとえば、次のとおりです。

IGDDBHOST1-vip.example.com (port 1521)

および



Port：データベース・サーバーが接続リクエストをリスニングするポートを入力します。

Database User Name：Leasing

Password：パスワード

Confirm Password：パスワードを再入力して、「Next」をクリックします。

8. Test GridLink Database Connectionページで接続パラメータを確認し、「Test All Listeners」をクリック

します。


9. ONS Client Configurationページで、次の手順を実行します。

「FAN Enabled」を選択して、Oracle FANイベントにサブスクライブして処理します。

ここに、（以下の例のように）データベースから報告されるOracle RACデータベースとOracle Notification Service（ONS）リモート・ポートのSCANアドレスも入力して、「ADD」をクリックします。

srvctl config nodeapps -s

ONS exists: Local port 6100, remote port 6200, EM port 2016


注：Oracle Database 11g Release 1（11.1）の場合、各データベースのOracle Notification Serviceのホスト名とポートを使用します。たとえば、次のとおりです。


および

IGDDBHOST1-vip.example.com (6200)

10. Test ONS Client Configurationページで接続パラメータを確認して、「Test All ONS Nodes」をクリック

します。


11. Select Targetsページで、「cluster_oim, cluster_bi」と「cluster_soa」をターゲットとして選択し、「All

Servers in the cluster」を選択します。

12. 「Finish」をクリックします。


ノード・マネージャのプロパティ・ファイルの編集ここでは、ノード・マネージャのプロパティ・ファイルを編集します。この操作は、サーバーが実行されているノード（OIMHOST1とOIMHOST2）上のノード・マネージャで実行する必要があります。

nodemanager.propertiesファイルは、次のディレクトリにあります。

SHARED_CONFIG_DIR/nodemanager/HOSTNAME.DOMAIN

次のプロパティを追加して、サーバー移行が適切に実行されるようにします。

Interface=eth0


このプロパティでは、浮動IPのインタフェース名(例：eth0）を指定します。

注：サブインタフェース（eth0:1やeth0:2など）は指定しないでください。このインタフェースは、:0や:1を付けずに使用します。ノード・マネージャのスクリプトは、追加/削除の対象を特定するため、さまざまな:X対応のIPを横断します。たとえば、Linux環境での有効な値はeth0、eth1、eth2、eth3、ethnです。これらの値は、構成したインタフェース数に応じて変わります。

NetMask=255.255.255.0

このプロパティでは、浮動IPのインタフェースのネット・マスクを指定します。このネット・マスクは、インタフェース上のネット・マスクと同じにしてください。

UseMACBroadcast=true

このプロパティでは、ARPパケットの送信時にノードのMACアドレスを使用するかどうか（arpingコマンドで-bフラグを使用するかどうか）を指定します。

ノード・マネージャの出力（ノード・マネージャが起動されているシェル）で、これらのプロパティが使用されていることや、移行中に問題が発生していないかどうかを確認します。ノード・マネージャの出力内容は、次のようになります。

StateCheckInterval=500

eth0=*,NetMask=255.255.248.0

UseMACBroadcast=true

注：

サーバー・プロパティ（起動プロパティ）が適切に設定されており、ノード・マネージャでサーバーをリモートで起動できる場合、次の手順は不要です。

SHARED_CONFIG_DIR/nodemanager/HOSTNAME.DOMAINにあるstartNodeManagerWrapper.shスクリプトを実行して、OIMHOST1とOIMHOST2でノード・マネージャを起動します。

注：

共有ストレージのインストールからノード・マネージャを実行すると、同じnodemanager.propertiesファイルを使用して複数のノードが起動されます。ただし、各ノードで必要なNetMaskプロパティやInterfaceプロパティは異なる場合があります。この場合は、環境変数を使用して、ノードごとに個別のパラメータを指定します。たとえば、HOSTnで別のインタフェース（eth3）を使用するには、Interface環境変数を次のように使用します。

export JAVA_OPTIONS=-DInterface=eth3

シェルで変数を設定したら、ノード・マネージャを起動します。

wlsifconfig.shスクリプトの権限の設定ここで説明する内容は、Windowsでは不要です。Linuxでは、wlsifconfig.shスクリプトの環境とスーパーユーザー権限を設定します。

PATH環境変数に、以下のファイルが含まれることを確認します。

表37：PATH環境変数に必要なファイル

ファイルファイルが含まれるディレクトリ


wlsifconfig.sh ASERVER_HOME/bin/server_migration

wlscontrol.sh WL_HOME/common/bin

nodemanager.domains WL_HOME/common/nodemanager

WebLogicユーザー（'oracle'）に対して、パスワード制限なしのsudo権限と、/sbin/ifconfigバイナリと/sbin/arpingバイナリの実行権限を付与します。

セキュリティ上の理由から、sudoはwlsifconfig.shスクリプトの実行に必要なコマンドのサブセットに限定する必要があります。たとえば、次の手順を実行して、wlsifconfig.shスクリプトの環境とスーパーユーザー権限を設定します。

注：

この手順を実行するための、適切なsudo権限とシステム権限については、システム管理者にお問い合わせください。

WebLogicユーザー（oracle）に対して、パスワード制限なしのsudo権限と、/sbin/ifconfigバイナリと/sbin/arpingバイナリの実行権限を付与します。

スクリプトが、WebLogicユーザー（'oracle'）によって実行できることを確認してください。次に示すのは、

oracle、およびifconfigとarpingに対してsudo実行権限を付与する/etc/sudoers内のエントリの例です。

WebLogicユーザー（'oracle'）に対して、パスワード制限なしのsudo権限と、/sbin/ifconfigバイナリと/sbin/arpingバイナリの実行権限を付与するには、次のコマンドを使用します。

Defaults:oracle !requiretty

oracle ALL=NOPASSWD: /sbin/ifconfig,/sbin/arping

サーバー移行ターゲットの構成ここでは、サーバー移行ターゲットを構成します。クラスタ移行を構成すると、DataSourceForAutomatic Migrationプロパティがtrueに設定されます。

クラスタで移行を構成するには、次の手順を実行します。

1. Oracle WebLogic Server管理にログインします。

2. Domain Structureウィンドウで、「Environment」を開き、「Clusters」を選択します。Summary of

Clustersページが表示されます。

3. 表のName列で、移行を構成するクラスタ（cluster_oim）をクリックします。

4. 「Migration」タブをクリックします。


6. Availableフィールドで、移行先として許可するマシンを選択し、右矢印をクリックします。この

場合は、「OIMHOST1」と「OIMHOST2」を選択します。

7. 自動移行に使用するデータソースを選択します。この場合は、リース・データソースを選択します。



10. Oracle SOAおよびOracle BIのクラスタで、手順2～9を繰り返します。

11. サーバー移行の候補マシンを設定します。このタスクは、すべての管理対象サーバーで次のよう


に実行する必要があります。 • 「Lock and Edit」をクリックします。

• Oracle WebLogic Server管理コンソールのDomain Structureウィンドウで、「Environment」を開いて「Servers」を選択します。

• 移行を構成するサーバーを選択します。

• 「Migration」タブをクリックします。

• Migration ConfigurationセクションのAvailable フィールドで、移行先として許可するマシンを選択し、右矢印をクリックします。WLS_OIM1の場合は、「OIMHOST2」を選択します。WLS_OIM2の場合は、「OIMHOST1」を選択します。

• 「Automatic Server Migration Enabled」を選択して、「Save」をクリックします。これで、ターゲット・ノード上の障害が発生したサーバーをノード・マネージャで自動的に起動できるようになります。

• 「Activate Changes」をクリックします。

• 上記の手順を、管理対象サーバーWLS_SOA1とWLS_SOA2、WLS_BI1とWLS_BI2で繰り返します。

12. Restart WebLogic管理サーバー、ノード・マネージャ、およびサーバー移行が構成されたサーバー

を再起動します。

ヒント：

Summary of Serversページで「Customize this table」をクリックし、AvailableウィンドウからChosenウィンドウにCurrent Machineを移動して、サーバーが実行されているマシンを表示します。これは、サーバーが自動的に移行される場合の構成とは異なります。

サーバー移行のテストここでは、サーバー移行をテストします。次の手順を実行して、サーバー移行が正しく動作していることを確認します。

OIMHOST1からテストするには、次の手順を実行します。

1. WLS_OIM1管理対象サーバーを停止します。この操作を行うには、次のコマンドを実行します。

kill -9 pid

pidでは、管理対象サーバーのプロセスIDを指定します。次のコマンドを実行して、ノード内のpidを識別します。

ps -ef | grep WLS_OIM1

2. ノード・マネージャ・コンソールを確認します。WLS_OIM1の浮動IPが無効になっていることを示

すメッセージが表示されます。

3. ノード・マネージャで、WLS_OIM1の2回目の再起動が試行されるまで待機します。この再起動の

試行まで、30秒のフェンス期間は待機します。

4. ノード・マネージャでサーバーを再起動したら、再度停止します。ノード・マネージャのログに、

サーバーが再度ローカルで再起動されることはないというメッセージが記録されます。

OIMHOST2からテストするには、次の手順を実行します。

1. ローカルのノード・マネージャ・コンソールを確認します。OIMHOST1で最後にWLS_OIM1の再起

動を試行してから30秒後に、OIMHOST2上のノード・マネージャに、WLS_OIM1の浮動IPが呼び出

されており、このノードでサーバーが起動中であることを示すメッセージが表示されます。


2. 仮想ホスト名（例：OIMVH1）を使用して、Oracle Identity Managerコンソールにアクセスします。

前の手順を繰り返して、管理対象サーバーWLS_OIM2、WLS_SOA1、WLS_SOA2、WLS_BI1、WLS_BI2でサーバー移行をテストします。

次の表は、管理対象サーバーと、その障害発生時の移行先のホストを示しています。

表38：管理対象サーバーの移行ターゲットの情報

管理対象サーバー移行元移行先

WLS_OIM1 OIMHOST1 OIMHOST2

WLS_OIM2 OIMHOST2 OIMHOST1

WLS_SOA1 OIMHOST1 OIMHOST2

WLS_SOA2 OIMHOST2 OIMHOST1

WLS_BI1 OIMHOST1 OIMHOST2

WLS_BI2 OIMHOST2 OIMHOST1

管理コンソールからの検証

移行は、管理コンソールからでも検証できます。

1. 管理コンソールにログインします。

2. 左のコンソールで「Domain」をクリックします。

3. 「Monitoring」タブをクリックしてから、「Migration」サブタブをクリックします。Migration

Status表に、移行のステータスに関する情報が表示されます。

注：

サーバーの移行後に、このサーバーを元のノード/マシンにフェイルバックするには、Oracle WebLogic管理コンソールから管理対象サーバーを停止してから再起動します。適切なノード・マネージャによって、管理対象サーバーが元の割当て先のマシンで起動されます。

シングル・サインオンの構成ここでは、シングル・サインオンを使用して、管理コンソールを両方のドメインで保護できます。

この操作の手順は、次のとおりです。WebLogic管理グループにLDAPグループを割り当てていない場合は割当てを行い、boot.propertieを更新して、サーバーを再起動します。次に、WebGateをインストールおよび構成して、設定を検証します。WebGateをインストールして構成すると、Oracle HTTP Serverによってコンソールのリクエストがインターセプトされ、検証のためにAccess Managerに転送されます。

章タイトルとして表示する管理コンソールは次のとおりです。

» Oracle Enterprise Manager Fusion Middleware Control

» Oracle WebLogic Server管理コンソール

» Oracle Access Managementコンソール

» Oracle Access Manager Policy Manager

» Oracle Identity Managerシステム管理コンソール

» Oracle Identity Managerセルフサービス・コンソール


WebLogicセキュリティ・プロバイダの構成

configOAMまたはconfigOIMを実行すると、ドメインIAMAccessDomainとIAMGovernanceDomainにセキュリティ・プロバイダが作成され、Oracle Access Managerのセキュリティ・ポリシーに基づいて、これらのドメイン内のコンソールへのアクセスが制限されます。他のドメインがある場合は、それらのドメイン内に手動でセキュリティ・プロバイダを作成する必要があります（以下を参照）。セキュリティ・プロバイダを作成したら、次の項の説明に従って更新する必要があります。

管理コンソールのシングル・サインオンを有効にしたら、1台以上のOracle Access Managerサーバーが実行されており、コンソールにアクセスできることを確認します。

その後、Oracle Adaptive Access Managerを有効にして、ドメイン全体を保護したり、Oracle Adaptive Access ManagerとOracle Identity Managerを統合したりする場合は、Oracle Adaptive Access Managerサーバーも実行してコンソールにアクセスできるようにする必要があります。

Oracle Weblogicコンソールを使用してAccess Managerの管理対象サーバーをすべてシャットダウンしていた場合は、コンソールを再使用する前に、管理対象サーバーのうちの1台を手動で再起動します。

WLS_OAM1を手動で起動するには、次のコマンドを使用します。

MSERVER_HOME/bin/startManagedWeblogic.sh WLS_OAM1 t3://IADADMINVHN:7001

補助的ドメインのセキュリティ・プロバイダの作成

この保護状態でOUDomainなどの他のドメインを呼び出す場合は、これらのドメインでセキュリティ・プロバイダを手動で作成する必要があります。この操作を行うには、次の手順を実行します。

Oracleディレクトリ認証者の作成

ここでは、ディレクトリ認証者を設定して、LDAPディレクトリでユーザーを使用して管理コンソールにアクセスできるようにします。


2. Domain Structureメニューから「Security Realms」をクリックします。

3. Change Centerで、「Lock and Edit」をクリックします。


5. 「Providers」タブを選択します。

6. 「DefaultAuthenticator」をクリックします。

7. Control FlagをSUFFICIENTに設定します。






13. 次の情報を入力します。

Oracle Microsoft Active Directoryの場合：

Name：ADAuthenticator

Type：ActiveDirectoryAuthenticator

Oracle Internet Directoryの場合：


Name：OIDAuthenticator

Type：OracleInternetDirectoryAuthenticator

Oracle Unified Directoryの場合：

Name：OUDAuthenticator

Type：OpenLDAPAuthenticator


14. 「OUDAuthenticator 」、「ActiveDirectoryAuthenticator 」、または「OIDAuthenticator 」をク

リックします。

Control Flagを「SUFFICIENT」に設定します。「Save」をクリックします。

15. 「Provider Specific」タブを選択します。

次の詳細詳細を入力します。

Host：idstore.example.com

Port：1389（OUD）、3060（OID）、またはADアクセス・ポート

Principal：cn=oamLDAP,cn=systemids,dc=example,dc=com

Credential：oamLDAPのパスワード

Confirm Credential：oamLDAPのパスワード

User Base DN：cn=Users,dc=example,dc=com

All Users Filter：(&(uid=*)(objectclass=person))

User From Name Filter：(&(uid=%u)(objectclass=person))

User Name Attribute：uid

Group Base DN：cn=Groups,dc=example,dc=com

GUID Attribute：orclguid


17. Change Centerで、「Activate Changes」をクリックします。

18. 18.管理サーバーを再起動します。

構成の検証

LDAPユーザーおよびグループがWebLogic管理コンソールに表示されていることを確認して、構成を検証します。


2. Domain Structureメニューから「Security Realms」を選択します。


4. 「Users and Groups」タブをクリックします。

5. 「Users」をクリックします。


LDAPユーザーが表示されます。

Oracle Access Manager IDアサータの作成

ここでは、Oracle Access Managerのアサータを設定して、資格証明の収集機能をOracle Access Managerに委任できるようにします。







7. 次の情報を入力します。

Name：OAMIDAsserter

Type：OAMIdentityAsserter


「OAMIdentityAsserter」をクリックします。

Control Flagを「REQUIRED」に設定します。「Save」をクリックします。


セキュリティ・プロバイダの更新

ここでは、セキュリティ・プロバイダを更新して、管理コンソールへのシングル・サインオン・アクセスを有効にする方法を説明します。この項の手順は、セキュリティ・プロバイダがあるすべてのドメイン（手動で作成した補助的ドメインを含む）で実行する必要があります。

Oracle Unified Directory認証者の更新

Oracle Unified Directory認証者の作成時には、いくつかの情報が不足しているため、追加する必要があります。Oracle Unified DirectoryをIDストアとして使用している場合は、次の手順を実行してこの情報を追加する必要があります。





5. 「Providers」をクリックします。

6. 「OUDAuthenticator」をクリックします。

7. 「Provider Specific」タブをクリックします。

8. Provider Specific画面で、次の値を更新します。

All Users Filter：(&(uid=*)(objectclass=person))

User From Filter：(&(uid=%u)(objectclass=person))

User Name Attribute：uid


Static Group Object Class：groupofuniquenames

Static Member DN Attribute：uniquemember

Static Group DNs from Member DN Filter：(&(uniquemember=%M)(objectclass=groupofuniquenames))

Dynamic Group Name Attribute：cn

Dynamic Group Object Class：groupOfURLs

Dynamic Group Member URL Attribute：memberURL



セキュリティ・プロバイダの並べ替え

ここでは、Access Managerのアサータを設定して、資格証明の収集機能をAccess Managerに委任できるようにします。





5. 「Providers」をクリックします。

6. 「Reorder」をクリックします。

7. 右側の矢印を使用して、プロバイダを次の順序で並べ替えます。

OAMIDAsserter

OIM Signature Authenticator（存在する場合）

OIMAuthenticationProvider（存在する場合）

OUDAuthenticator、OVDAuthenticator、またはOIDAuthenticator Default Authenticator

Default Identity Asserter

8. 「OK」をクリックします。


10. WebLogic管理サーバーとすべての管理対象サーバーを再起動します。

WebLogic管理グループへのIDMAdministratorsグループの割当て企業には通常、一元的なIdentity Managementドメインがあります。このドメインですべてのユーザー、グループ、ロールと複数のアプリケーション・ドメイン（Oracle SOAドメインやOracle WebCenter Portalドメインなど）がプロビジョニングされます。アプリケーション・ドメインは、Identity Managementの中央ドメインを使用して認証するように構成されています。

「IDストアの準備」の項では、weblogic_idmというユーザーを作成して、グループIDMAdministratorsに割り当てました。このアカウントを使用してWebLogicを管理できるようにするには、IDMAdministratorsグループをWeblogic管理グループのリストに追加する必要があります。ここでは、IDMAdministratorsグループをWebLogic管理者のリストに追加する方法を説明します。

トポロジ内の各ドメインで、次の手順を実行します。


1. WebLogic管理サーバー・コンソールにログインします。

2. コンソールの左ペインで、「Security Realms」をクリックします。

3. Summary of Security Realmsページで、Realmsの下の「myrealm」をクリックします。

4. myrealmのSettingsページで、「Roles & Policies」タブをクリックします。

5. Realm Rolesページで、Roles表の下の「Global Roles 」エントリを開きます。Rolesのエントリが

表示されます。「Roles」リンクをクリックして、Global Rolesページに移動します。

6. Global Rolesページで、「Admin」ロールをクリックしてEdit Global Roleページに移動します。 » Edit Global RolesページのRole Conditions表で、「Add Conditions」ボタンをクリックします。

» Choose a Predicateページで、条件のドロップダウン・リストから「Group」を選択して「Next」をクリックします。

» Edit ArgumentsページのGroup Argumentフィールドで「IDMAdministrators」を指定して、「Add」をクリックします。

» 「save」をクリックします。

7. 「Finish」をクリックしてEdit Global Rolesページに戻ります。

8. Role Conditions表に、IDMAdministratorsグループがエントリとして表示されます。

9. 「Save」をクリックして、IDMAdministratorsグループへの管理ロールの追加を終了します。

10. WebブラウザでWebLogic管理サーバー・コンソールを表示して、問題なく変更されていることを

検証します。weblogic_idmユーザーの資格証明を使用してログインします。

11. すべての管理サーバーを再起動します。

boot.propertiesファイルの更新

Oracle Internet Directoryで作成したWebLogic管理ユーザーを使用して、管理サーバーと管理対象サーバーのboot.propertiesファイルを更新します。

boot.propertiesは、管理サーバー・ノードごとに更新する必要があります。次の項の手順に従って、このファイルを更新します。

すべてのドメインでの管理サーバーの更新

1. トポロジ内の各サーバーで、ディレクトリASERVER_HOME/servers/serverName/securityに移動し

ます。たとえば、次のとおりです。

cd IAD_ASERVER_HOME/servers/AdminServer/security

2. 既存のboot.propertiesファイルの名前を変更します。

3. テキスト・エディタを使用して、セキュリティ・ディレクトリにboot.propertiesというファイルを

作成します。ファイルに次の行を入力します。

username=adminUser

password=adminUserPassword


username=weblogic_idm

password=Password for weblogic_idm user

注：管理サーバーを起動すると、ファイル中のユーザー名とパスワードのエントリが暗号化されます。セキュリティ上の理由から、ファイル内のエントリが暗号化されないままとなる時間は、できるだけ短くし


てください。ファイルを編集したら、できるだけ早くサーバーを起動して、エントリが暗号化されるようにしてください。

サーバーの再起動

WebLogic管理サーバーとすべての管理対象サーバーを再起動します。

WebGate 11gのインストールと構成ここでは、WebGateのインストールと構成の方法を説明します。

OHSHOST1とOHSHOST2へのOracle WebGateのインストール

インストーラを起動する前に、マシンにJavaがインストールされていることを確認します。

1. 次のコマンドを発行して、WebGateインストーラを起動します。

REPOS_HOME/installers/webgate/Disk1/runInstaller

2. Java Development Kitの場所の指定を求められます。たとえば、次のとおりです。

REPOS_HOME/jdk


4. Install Software Updates画面でソフトウェアの更新をインストールするかどうかを選択し、必要に

応じてmyoraclesupportの資格証明を入力します。


6. Prerequisites画面ですべてのチェックを問題なく完了したら、「Next」をクリックします。

7. Installation Location画面で、次の情報を入力します。

Oracle Middleware Home：WEB_MW_HOME

Oracle Home Directory：webgate_ohs

WEB_MW_HOME/webgate_ohsは、WEBGATE_ORACLE_HOMEと定義されます。


9. Installation summary画面で、「Install」をクリックします。


11. 「Finish」をクリックします。

OHSHOST1およびOHSHOST2へのWebGateのデプロイメント

1. WEBGATE_ORACLE_HOME/webgate/ohs/tools/deployWebGateにあるコマンドdeployWebGateInstance

を実行します。

このコマンドを実行すると、次の引数が返されます。

Oracle HTTPインスタンス構成ディレクトリWebGateホーム・ディレクトリ。


./deployWebGateInstance.sh -w OHS_ORACLE_INSTANCE/config/OHS/ohs1 -oh WEBGATE_ORACLE_HOME

2. ライブラリ・パスを設定してディレクトリを変更します。 Linux システムでは、

WEB_ORACLE_HOME/libディレクトリを含めるようにライブラリ・パスを設定します。たとえば、

次のとおりです。


export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:WEB_ORACLE_HOME/lib

ディレクトリを次のように変更します。

WEBGATE_ORACLE_HOME/webgate/ohs/tools/setup/InstallTools

3. 次のコマンドを実行して、ファイルapache_webgate.templateをWebGateホーム・ディレクトリ

からWebGateインスタンスの場所（webgate.confという名前に変更されています）にコピーし、

httpd.confファイルを更新して1行を追加して、webgate.confの名前を含めます。

Linuxでは、次のように入力します。

./EditHttpConf -w OHS_ORACLE_INSTANCE/config/OHS/ohs1 -oh WEBGATE_ORACLE_HOME

4. OAMHOST1のディレクトリIAD_ASERVER_HOME/ output/Webgate_IDM_11gからのエージェント

の作成時に生成されたファイル ObAccessClient.xml と password.xml を、ディレクトリ

OHS_ORACLE_INSTANCE/config/OHS/ohs1/webgate/configにコピーします。

5. OAMHOST1のディレクトリIAD_ASERVER_HOME/output/Webgate_IDM_11gからのエージェント

の作成時に生成されたディレクトリ・ウォレットを、ディレクトリOHS_ORACLE_INSTANCE/

config/OHS/ohs1/webgate/configにコピーします。

6. ディレクトリIAD_ASERVER_HOME/ output/Webgate_IDM_11gからのエージェントの作成時に生

成されたファイル aaa_key.pem と aaa_cert.pem を、 WebGate インスタンス・ディレクトリ

OHS_ORACLE_INSTANCE/config/OHS/ohs1/webgate/config/simpleにコピーします。

7. Oracle HTTP Serverを再起動します。

Oracle Access Managementのシングル・サインオン設定の検証 WebGateが正しく機能していることを検証するには、Webブラウザを開いてOracle Access Managerコンソールに移動します。

Oracle Access Management Loginページが表示されます。Oracle Access Manager管理者のユーザー名（例：oamadmin）とパスワードを入力して、「Login」をクリックします。Oracle Access Managementコン

ソールが表示されます。

シングル・サインオンの設定を検証するには、Webブラウザを開いて、WebLogic管理コンソールとOracle Enterprise Manager Fusion Middleware Controlに移動します。

Oracle Access Management Single Sign-Onページが表示されます。weblogic_idmユーザーの資格証明を入力してログインします。

結論以上の手順に従って構成すれば、一般的な企業での使用に適したID管理アプリケーションを構築できます。

Michael Rhys、Firdaus Fraz、バージョン1.0

Copyright © 2015, Oracle and/or its affiliates.All rights reserved.

本文書は情報提供のみを目的として提供されており、ここに記載されている内容は予告なく変更されることがあります。本文書は一切間違いがな

いことを保証するものではなく、さらに、口述による明示または法律による黙示を問わず、特定の目的に対する商品性もしくは適合性についての

黙示的な保証を含み、いかなる他の保証や条件も提供するものではありません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、

本文書によって直接的または間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得ることなく、

いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または送信することはできません。

OracleおよびJavaはOracleおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会社の商標です。

IntelおよびIntel XeonはIntel Corporationの商標または登録商標です。すべてのSPARC商標はライセンスに基づいて使用されるSPARC International,

Inc.の商標または登録商標です。AMD、Opteron、AMDロゴおよびAMD Opteronロゴは、Advanced Micro Devicesの商標または登録商標です。

UNIXは、The Open Groupの登録商標です。0615

海外からのお問い合わせ窓口：電話：+1.650.506.7000

ファクシミリ：+1.650.506.7200

Documents

Identity Management 11.1.2...Oracle Identity and Access Management のトポロジ.....12 ディレクトリ層について ... 101 Oracle Unified Directoryの索引の作成 .....102