Access Manager 7 2005Q4 パッチ 7

Access Manager 7 パッチ 7 (リビジョン 07) により、いくつかの問題が修正されます。その一覧はパッチに含まれている README ファイルに記載されています。

パッチ 7 での新機能

• 「CR# 6637806: 再起動後に、Access Manager が無効なアプリケーション SSO トークンをエージェントに送信する」

• 「CR# 6612609: Session failover works if ネットワークケーブルが Message Queue サーバーから切り離されている場合に、セッションフェイルオーバーが動作する」

• 「CR# 6570409: ロードバランサの背後にある対話型サービスがアイデンティティープロバイダとして正しく動作する」

• 「CR# 6545176: 認証後処理 SPI プラグインで、リダイレクト URL を動的に設定できる」

CR# 6637806: 再起動後に、Access Manager が無効なアプリケーション SSO トークンをエージェントに送信する

Access Manager サーバーが再起動すると、Access Manager クライアント SDK はエージェントに重要な例外を送信するようになりました。これにより、エージェントは新しいアプリケーションセッションを取得するために、自身を再認証できます。Access Manager 7 2005Q4 パッチ 5 以後、これまで Access Manager クライアント SDK は、Access Manager サーバーの再起動後に無効なアプリケーション SSO トークンをエージェントに送信していました。

この問題は、重複している CR 6496115 で修正されています。パッチ 7 には、制限のあるコンテキストでアプリケーション SSO トークンを送信するオプション (comp.iplanet.dpro.session.dnRestrictionOnly プロパティー) もあります。デフォルトで、エージェントはエージェントがインストールされているサーバーの IP アドレスを送信しますが、DN の厳密なチェックが必要な場合は AMConfig.properties ファイルでこのプロパティーを次のように設定します。

com.iplanet.dpro.session.dnRestrictionOnly=true

CR# 6612609: Session failover works if ネットワークケーブルが Message Queue サーバーから切り離されている場合に、セッションフェイルオーバーが動作する

セッションフェイルオーバー配備で、それぞれの Access Manager インスタンスおよび Message Queue ブローカが同じサーバーにインストールされている場合、ネットワークケーブルがいずれかのサーバーから切り離されていればセッションフェイルオーバーが動作するようになりました。デフォルトでは、Message Queue imqAddressListBehavior 接続ファクトリ属性が PRIORITY に設定されているため、Message Queue はブローカアドレスリストの出現順にアドレスを試行します (例: localhost:7777,server2:7777,server3:7777)。この属性が RANDOM に設定されている場合は、ランダムな順序でアドレスが試行されます。

この属性を RANDOM に設定するには、amsessiondb スクリプトで次のパラメータを設定します。

-DimqAddressListBehavior=RANDOM

Message Queue PRIORITY 属性および RANDOM 属性については、『Sun Java System Message Queue 3.7 UR1 管理ガイド』の「ブローカのアドレスリスト」を参照してください。

CR# 6570409: ロードバランサの背後にある対話型サービスがアイデンティティープロバイダとして正しく動作する

ロードバランサで接続されている 2 台のサーバーが 1 つのアイデンティティープロバイダとして機能している配備では、AMConfig.properties ファイル内の次のプロパティーを設定する必要があります。

com.sun.identity.liberty.interaction.lbWspRedirectHandler
com.sun.identity.liberty.interaction.trustedWspRedirectHandlers

com.sun.identity.liberty.interaction.interactionConfigClass が現在サポートされている唯一のクラスです。そのためデフォルトでは、相互作用構成パラメータにアクセスするときには、Federation Liberty にバンドルされている相互作用構成クラスが使用されます。

CR# 6545176: 認証後処理 SPI プラグインで、リダイレクト URL を動的に設定できる

ログイン成功、ログイン失敗、およびログアウト用の認証後処理 SPI プラグインで、リダイレクト URL を動的に設定できるようになりました。事後処理プラグインが実行されていない場合、事後処理 SPI で設定されたリダイレクト URL は使用されず、その他の方法で設定されたリダイレクト URL が従来どおり実行されます。

詳細は、com.iplanet.am.samples.authentication.spi.postprocess.ISAuthPostProcessSample.java のサンプルを参照してください。