Oracle Access Managerの新機能

この項では、Oracle Access Managerリリース10.1.4の新機能について説明します。これには、10g（10.1.4.0.1）、10g（10.1.4.2.0）および10g（10.1.4.3）の詳細が含まれます。

次の項で構成されています。

製品名およびコンポーネント名の変更
10g（10.1.4.3）で使用可能な拡張機能
WebGateの更新
URL接頭辞およびURLパターン
ObSSOCookieの設定後の認証アクションのトリガー
フォーム・ベース認証
認証スキームの無効化
認証スキームの永続Cookie
HTTPヘッダー変数およびCookie
ログアウトの構成
特定の仮想ホスト、ディレクトリおよびファイルとのWebGateの関連付け
validate_passwordプラグインの構成
Windowsで有効な偽装のオーバーライド
Lotus DominoおよびWindows偽装のシングル・サインオンの構成
トラブルシューティング

注意:

Oracle Access Manager 10.1.4の新機能の全体的なリストとその説明箇所は、『Oracle Access Manager概要』の新機能に関する章を参照してください。

製品名およびコンポーネント名の変更

元の製品名Oblix NetPointは、Oracle Access Managerに変更されました。大部分のコンポーネント名は変わっていません。ただし、次の表に示すいくつかの重要な変更は把握しておく必要があります。

項目	旧名称	現在の名称
製品名	Oblix NetPoint Oracle COREid	Oracle Access Manager
製品名	Oblix SHAREid NetPoint SAMLサービス	Oracle Identity Federation
製品名	OctetString Virtual Directory Engine（VDE）	Oracle Virtual Directory
製品名	BEA WebLogic Application Server BEA WebLogic Portal Server	Oracle WebLogic Server Oracle WebLogic Portal
製品リリース	Oracle COREid 7.0.4	Oracle Application Server 10gリリース2（10.1.2）の一部として利用可能。
ディレクトリ名	COREid Data Anywhere	Data Anywhere
コンポーネント名	COREidサーバー	アイデンティティ・サーバー
コンポーネント名	Access Manager	ポリシー・マネージャ
コンソール名	COREidシステム・コンソール	アイデンティティ・システム・コンソール
アイデンティティ・システム・トランスポート・セキュリティ・プロトコル	NetPoint IDプロトコル	Oracle IDプロトコル
アクセス・システム・トランスポート・プロトコル	NetPoint Accessプロトコル	Oracle Accessプロトコル
管理者	NetPoint管理者 COREid管理者	マスター管理者
ディレクトリ・ツリー	Oblixツリー	構成ツリー
データ	Oblixデータ	構成データ
Software Developer Kit	アクセス・サーバーSDK ASDK	Access Manager SDK
API	アクセス・サーバーAPI Access API	Access Manager API
API	Access管理API Access Manager API	ポリシー・マネージャAPI
デフォルト・ポリシー・ドメイン	NetPoint Identityドメイン COREid Identityドメイン	Identityドメイン
デフォルト・ポリシー・ドメイン	NetPoint Access Manager COREid Access Manager	Accessドメイン
デフォルト認証スキーム	NetPoint None認証 COREid None認証	匿名認証
デフォルト認証スキーム	NetPoint Basic Over LDAP COREid Basic Over LDAP	Oracle Access and Identity Basic Over LDAP
デフォルト認証スキーム	AD Forest用NetPoint Basic Over LDAP AD Forest用COREid Basic Over LDAP	AD Forest用Oracle Access and Identity
アクセス・システム・サービス	AMサービス状態ポリシー・マネージャAPIサポート・モード	アクセス管理サービス注意: ポリシー・マネージャAPIサポート・モードとアクセス管理サービスは、どちらも同じものとして使用されます。

製品やドキュメントに残っている旧名称は、すべて新しい名前に読み替えてください。

10g（10.1.4.3）で使用可能な拡張機能

このリリースには、10g（10.1.4.2.0）のバンドル・パッチBP07に含まれる修正と拡張機能のすべてに加えて、10g（10.1.4.3）の新しい拡張機能と不具合の修正が含まれています。次のトピックでは、本書に記載する10g（10.1.4.3）の拡張機能について説明します。

アクセス管理サービスの明確化
カスタム認証とカスタム認可のプラグインを使用する場合のアクセス・テスターの使用方法
フォーム・ベース認証パラメータ
グローバル順序番号の破損のリカバリ
インターネット・プロトコル・バージョン6
マルチ言語のデプロイと英語のみのメッセージ
Native POSIX Thread Library（NPTL）for Linux
トラブルシューティングのヒント
WebGateユーザー定義の構成パラメータ

関連項目:

新機能の全体的なリストは、『Oracle Access Manager概要』を参照してください。

アクセス管理サービスの明確化

WebGateのアクセス管理サービスとアクセス・サーバー・プロファイルに関して、いくつかの点が明確化されました。この設定はデフォルトでは「オフ」です。「オン」に設定すると、アクセス・サーバーはアクセス・ゲートからのリクエストの処理を開始します。アクセス管理サービスは、関連付けられたアクセス・サーバーとアクセス・ゲートに対して「オン」にする必要があります。アクセス管理サービスは、関連付けられたアクセス・サーバーとアクセス・ゲートに対して「オン」にする必要があります。WebGateでは、関連付けられたアクセス・サーバーでアクセス管理サービスを使用しない場合、このサービスは必要ありません。

関連項目:

第3章「WebGateおよびアクセス・サーバーの構成」

カスタム認証とカスタム認可のプラグインを使用する場合のアクセス・テスターの使用方法

カスタム認証またはカスタム認可のプラグインが構成されている場合のアクセス・テスターの使用方法に関する情報が新たに追加されました。

関連項目:

「アクセス・テスターの使用方法」

フォーム・ベース認証パラメータ

フォーム・ベース認証スキームのみで使用する、オプションの構成可能なチャレンジ・パラメータ（maxpostdatabytes）が新たに追加されました。maxpostdatabytesチャレンジ・パラメータの使用方法は、他のチャレンジ・パラメータ（form、creds、action、passthrough）と同様です。

関連項目:

付録A「フォーム・ベース認証」

グローバル順序番号の破損のリカバリ

ディレクトリ・サーバーのoblixGSNオブジェクト・クラスは、キャッシュ・フラッシュのメカニズムで使用されます。これには、フラッシュのリクエスト番号を表すグローバル順序番号（obSeqNo属性の値）が含まれています。しかし、複数のディレクトリ・サーバーに書込みを行う複数のアクセス・サーバーが存在する場合は、変更するとディレクトリ・サーバーのグローバル順序番号が同期しなくなる可能性があります。そのため、ディレクトリ・サーバーの対応するエントリが破損することがあり、これによってOracle Access Managerで動作に一貫性がなくなる可能性があります。

Oracle Access Managerには、コマンドライン・ツール（recovergsncorruption）により、ディレクトリ・サーバー内の破損したGSNを検出できる機能が用意されています。このツールは、パスPolicyManager_install_dir\access\oblix\toolsに格納されています。破損が検出されると、アイデンティティ・サーバーとアクセス・サーバー間のキャッシュ・フラッシュ操作を無効にした後、リカバリ処理を開始できます。

関連項目:

インターネット・プロトコル・バージョン6

Oracle Access Managerは、インターネット・プロトコル・バージョン4（IPv4）をサポートしています。ただし、リバース・プロキシ・サーバーを設定すれば、IPv6をサポートするクライアントでも機能するようにOracle Access Managerを構成できます。

マルチ言語のデプロイと英語のみのメッセージ

新機能用に追加されたマイナー・リリース（10g（10.1.4.2.0）および10g（10.1.4.3））のメッセージは、翻訳されず、英語のみの表示となります。

Native POSIX Thread Library（NPTL）for Linux

Oracle Access Manager for Linuxの以前のリリースでは、LinuxThreadsライブラリのみを使用していました。LinuxThreadsを使用するには、環境変数LD_ASSUME_KERNELを設定する必要がありました。これは、ダイナミック・リンカーでどのライブラリ実装を使用するかを決定するために使用されます。LD_ASSUME_KERNELを2.4.19に設定すると、/lib/i686のライブラリが動的に使用されます。

RedHat Linux v5以降のリリースでは、Native POSIX Thread Library（NPTL）のみをサポートするようになり、LinuxThreadsはサポート対象外となりました。この変更に対応するために、Oracle Access Manager 10g（10.1.4.3）は、NPTL仕様に準拠しています。ただし、Oracle HTTP Server 11gのOracle Access Manager Webコンポーネントを除くすべてのコンポーネントでは、LinuxThreadsがデフォルトで使用されています。

注意:

Linux上では、Oracle HTTP Server 11g用のOracle Access Manager WebコンポーネントではNPTLのみが使用され、LinuxThreadsライブラリは使用できません。この場合は、環境変数LD_ASSUME_KERNELを2.4.19に設定しないでください。

トラブルシューティングのヒント

このガイドのトラブルシューティングの詳細に、新しいヒントがいくつか追加されました。

関連項目:

付録E「Oracle Access Managerのトラブルシューティング」

WebGateユーザー定義の構成パラメータ

WebGate構成プロファイルで使用するユーザー定義パラメータが、新たにいくつか追加されました。

ContentLengthFor401Response
idleSessionTimeoutLogic
ProxySSLHeaderVar
RetainDownstreamPostData
SUN61HttpProtocolVersion

関連項目:

「ユーザー定義のアクセス・ゲート・パラメータの構成」

WebGateの更新

WebGateは、アクセス・システムと同じコードを使用するように更新され、以前はWebGateStatic.lstにあったWebGate構成パラメータが、アクセス・システムのユーザー・インタフェースに移動しました。

新しいWebGateのインストールが終了したら、アクセス・システムのGUIからIPValidationおよびIPValidationExceptionsなどのパラメータを構成できます。WebGateStatic.lstファイルは廃止されました。

関連項目:
「アクセス・ゲートとWebGateの構成」、「ユーザー定義のアクセス・ゲート・パラメータの構成」

WebGateは、リバース・プロキシの背後で稼働できます。

WebGateをリバース・プロキシの背後に設定する方法の詳細が、このマニュアルに追加されました。

関連項目:
「リバース・プロキシの背後へのWebGateの配置」

優先HTTPホストが必須になり、仮想Webホスティングのサポートには特殊な構成が必要です。

このリリースでは、WebGateの構成時に優先HTTPホストを指定する必要があります。仮想ホスティングをサポートする環境で、仮想Webホスティングを使用する場合は、優先HTTPホストを指定するための新しいパラメータがあります。

関連項目:
「優先HTTPホスト、ホスト識別子および仮想Webホストの構成」および「仮想Webホスティングの構成」を参照してください。

URL接頭辞およびURLパターン

URL接頭辞およびURLパターンについての説明が、わかりやすく更新されました。

関連項目:
「URL接頭辞の概要」、「URLパターンの概要」

WebGateは、リバース・プロキシの背後で稼働できます。

WebGateをリバース・プロキシの背後に設定する方法の詳細が、このマニュアルに追加されました。

関連項目:
「リバース・プロキシの背後へのWebGateの配置」

ObSSOCookieの設定後の認証アクションのトリガー

ObSSOCookieが設定されてから認証アクションが実行されるようにできます。

通常、認証アクションは認証が処理された後にトリガーされ、その後でObSSOCookieが設定されます。しかし、複雑な環境では、ユーザーがリソースを含むページにリダイレクトされる前に、ObSSOCookieを設定できます。この場合、これらのイベントがトリガーされるように認証スキームを構成できます。

関連項目:
「ObSSOCookieの設定後の認証アクションのトリガー」

フォーム・ベース認証

Basic認証メソッド、およびフォーム・ベース認証メソッドは、グローバリゼーション・サポートの影響を大きく受けます。

関連項目:
「BasicおよびX.509証明書（クライアント証明書）の概要」、「サンプル・ログイン・フォーム」

WebGateが配置されているサーバーでフォームを構成することと、WebGateがホスティングされていないサーバーでフォームを構成することの相違点について、情報が追加されました。

関連項目:
「フォーム・ベース認証スキームの構成」、「WebGate以外のサーバーに設定するフォーム」
フォーム・ベース認証を使用するアプリケーションからのシングル・ログアウトの構成に関する情報が追加されました。

関連項目:
「ログアウトの構成」

認証スキームの無効化

認証スキームを、変更する前に無効化する必要がなくなりました。

関連項目:
「ユーザー認証の構成」

認証スキーム の永続Cookie

ユーザーがシングル・セッションだけでなく特定の期間の間ログインしていられるように認証スキームを構成できます。

関連項目:
「複数セッションにわたるObSSOCookieの保持」

HTTPヘッダー変数およびCookie

HTTPヘッダーまたはCookieではASCII以外の文字は使用できません。そのため、認証ルールのアクションを定義するとき、ヘッダー変数の「名前」フィールドおよび「戻り属性」フィールドではASCII以外の文字はサポートされません。

関連項目:
「HTTPヘッダー変数およびCookieの使用方法の概要」

ログアウトの構成

Oracle Access Managerのシングル・サインオン・ログアウトURLを、ユーザーのブラウザ言語でlogout.htmlファイルを指すように構成できます。

関連項目:
「シングル・サインオン・ログアウトURLの構成」
カスタムのシングル・サインオン・ログアウトURLおよびログアウト・ページの作成について項が追加されました。

関連項目:
「ログアウトの構成」

特定の仮想ホスト、ディレクトリおよびファイルとのWebGateの関連付け

特定の仮想ホスト、ディレクトリおよびファイルのみを使用するようにWebGateを構成できます。

関連項目:
「特定の仮想ホスト、ディレクトリまたはファイルとのWebGateの関連付け」

validate_passwordプラグインの構成

このプラグインに新しいパラメータが追加されました。このパラメータは、リクエストされたリソースを保護するWebGateとは異なるサーバー上にWebPassがあるとき、ロスト・パスワード管理で使用します。

関連項目:
「パスワード検証プラグイン」

Windowsで有効な偽装のオーバーライド

アクセス・システムを使用したWindowsで有効な偽装のオーバーライドに関する付録が移動しました。

関連項目:
『Oracle Access Manager統合ガイド』

Lotus DominoおよびWindows偽装のシングル・サインオンの構成

Lotus DominoおよびWindows偽装でのシングル・サインオン構成に関する情報は、このスイートの別のマニュアルに移動しました。

関連項目:
『Oracle Access Manager統合ガイド』

トラブルシューティング

このマニュアルの各所に分散していたトラブルシューティング情報を、独立した付録としてまとめました。

関連項目:
「Oracle Access Managerのトラブルシューティング」
ログ・ファイルへの診断情報の書込みが可能になりました。

関連項目:
「診断情報の取得」

トラブルシューティングに新しいトピックが追加されました。

関連項目: