Oracle OpenSSO Update 2 リリースノート

第 1 章 OpenSSO 8.0 Update 2 について

この章は次のトピックで構成されています。

OpenSSO 8.0 Update 2 の新機能

OpenSSO 8.0 Update 2 には、セキュリティートークンサービスおよび OpenSSO Fedlet の機能拡張が含まれています。

セキュリティトークンサービスの機能拡張

セキュリティートークンサービスに次の新機能が追加されました。

特定の Web サービスプロバイダのセキュリティートークンを生成するため、TokenType をサポートします。
要求者としての X509 およびユーザー名のセキュリティートークンに、非対称バインディングとトランスポートバインディングの両方をサポートします。
OpenSSO STS が SSL 経由のユーザー名で設定された場合の、ユーザー名セキュリティートークンを使用した SSL/トランスポートバインディングを強化します。
useKey を使用して、非対称 KeyType の SAML Holder-of-Key セキュリティートークンを、Web サービスクライアントの公開鍵および Web サービスクライアントの X509 セキュリティートークンとして発行します。
WSDL は、セキュリティートークンの設定に基づいて動的に更新されます。
Web サービスプロバイダの公開鍵による暗号化をサポートします。
静的なユーザー名およびパスワードを設定ストアに格納する前に暗号化します。
WS-Trust 要求を通じて、代理のセキュリティートークンとしての UserName トークンをサポートします。
SAML ベアラートークンの発行をサポートします。
新しい Web サービスセキュリティー認証モジュール WSSAuth がダイジェストパスワードの検証をサポートします。
新しい OAMAuth 認証モジュールは、Oracle Access Manager と OpenSSO を使用してシングルサインオンを実現します。

詳細については、第 3 章セキュリティートークンサービスの使用を参照してください。

Fedlet の機能拡張

Fedlet に次の新機能が追加されました。

.NET Fedlet での暗号化をサポートします
.NET Fedlet へのサインインをサポートします
.NET Fedlet は新たにシングルログアウトをサポートします
.NET Fedlet は、サービスプロバイダ開始のシングルサインオンおよびアーティファクトをサポートします
.NET Fedlet において複数のアイデンティティープロバイダおよびアイデンティティープロバイダのディスカバリサービスをサポートします
Fedlet のプロパティーおよび設定ファイルの中でバージョン情報を表示します
新しいパスワード SPI の実装
属性クエリーをサポートします
シングルログアウトをサポートします

詳細については、第 4 章Oracle OpenSSO Fedlet の使用を参照してください。

OpenSSO 8.0 Update 2 のハードウェアおよびソフトウェア要件

『Sun OpenSSO Enterprise 8.0 Update 1 Release Notes』の「Hardware and Software Requirements For OpenSSO Enterprise 8.0 Update 1」を参照してください

新しい Web コンテナのサポート

OpenSSO 8.0 Update 2 は、『Sun OpenSSO Enterprise 8.0 Update 1 Release Notes』の「Support for New Web Containers」で説明されている Web コンテナと、次の新しい Web コンテナをサポートします。

Oracle WebLogic Server 10g リリース 3 (10.3)

OpenSSO 8.0 Update 2 の問題点と回避方法

CR 6959610: OpenSSO 8.0 Update 2 のサンプルを本稼働環境から削除しなければならない

OpenSSO 8.0 Update 2 のサンプルは潜在的なセキュリティー問題を引き起こす可能性があります。

回避方法。OpenSSO 8.0 Update 2 を本稼働環境に配備する場合は、潜在的なセキュリティー問題を防止するためにサンプルを削除します。

CR 6964648: WebLogic Server 10.3.3 に新しい Java セキュリティー権限が必要

OpenSSO 8.0 Update 2 を、セキュリティーマネージャーを有効にした Oracle WebLogic Server 10.3.3 に配備する場合、追加の Java セキュリティー権限が必要です。

回避方法。WebLogic Server 10.3.3 の weblogic.policy ファイルに次の権限を追加します。

permission java.lang.RuntimePermission "getClassLoader";

CR 6939443: WebLogic Server 10.3.x で、LDAP チェックまたは OCSP チェックを使用した証明書認証が失敗する

Oracle WebLogic Server 10.3.0 や 10.3.1 などの前バージョンにあった問題のため、LDAP チェックまたは OSCP チェックのいずれかを有効にした証明書認証が失敗します。

回避方法。この問題は WebLogic Server 10.3.3 で修正されました。LDAP チェックまたは OSCP チェックのいずれかを使用した証明書認証を利用するには、OpenSSO Update 2 と WebLogic Server 10.3.3 を使用します。

CR 6967026: コンフィギュレータが GlassFish 2.1.x から LDAPS を有効にしたディレクトリサーバーインスタンスに接続できない

GlassFish Enterprise Server v2.1.1 または v2.1.2 が OpenSSO 8.0 Update 2 の Web コンテナとして配備されている場合、コンフィギュレータは LDAPS を有効にしたディレクトリサーバーインスタンスに接続できません。

回避方法。GlassFish を Web コンテナとして LDAPS を有効にしたディレクトリサーバーを利用するには、GlassFish Enterprise Server v2.1 を配備します。

CR 6948937: WebLogic Server 10.3.3 の管理コンソールで OpenSSO 8.0 Update 2 を有効にすると例外が発生する

OpenSSO 8.0 Update 2 (opensso.war) を WebLogic Server 10.3.3 の管理コンソールに配備し、「Start」をクリックして OpenSSO 8.0 Update 2 で要求の受信を開始すると、WebLogic Server ドメインが起動したコンソールで例外が発生します。

注: OpenSSO 8.0 Update 2 を起動したあとは、ふたたび停止して再起動するまでは起動状態が保たれ、例外が発生することもありません。

回避方法。OpenSSO 8 Update 2 の opensso-client-jdk15.war ファイルから saaj-impl.jar ファイルを WebLogic Server 1.0.3.3 の設定 endorsed ディレクトリにコピーします。次にその手順を示します。

Oracle WebLogic Server 10.3.3 ドメインを停止します。
必要であれば、OpenSSO 8.0 Update 2 の opensso.zip ファイルを解凍します。
一時的なディレクトリを作成して、zip-root/opensso/samples/opensso-client.zip ファイルをそのディレクトリに解凍します。zip-root は opensso.zip ファイルを解凍した場所です。例:
```
cd zip-root/opensso/samples
mkdir ziptmp
cd ziptmp
unzip ../opensso-client.zip
```
一時的なディレクトリを作成して、opensso-client-jdk15.war から saaj-impl.jar ファイルを抽出します。例:
```
cd zip-root/opensso/samples/ziptmp/war
mkdir wartmp
cd wartmp
jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar
```
WEBLOGIC_JAVA_HOME/jre/lib ディレクトリの下に endorsed という名前のディレクトリを作成します (endorsed がまだ存在していない場合)。WEBLOGIC_JAVA_HOME は、WebLogic Server が使用するように設定した JDK です。
saaj-impl.jar ファイルを WEBLOGIC_JAVA_HOME/jre/lib/endorsed ディレクトリにコピーします。
WebLogic Server ドメインを起動します。

CR 6959373: `updateschema` スクリプトを実行したあと、Web コンテナの再起動が必要になる

updateschema.sh スクリプトまたは updateschema.bat スクリプトを実行したあと、OpenSSO 8.0 Update 2 の Web コンテナを再起動する必要があります。

CR 6961419: `updateschema.bat` スクリプトの実行にパスワードファイルが必要になる

updateschema.bat スクリプトは、複数の ssoadm コマンドを実行します。したがって、Windows システムで updateschema.bat を実行する前に、amadmin ユーザーのパスワードユーザーを平文で記載したパスワードファイルを作成しておく必要があります。 updateschema.bat スクリプトを実行すると、パスワードファイルへのパスを入力するよう求められます。スクリプトは終了する前にパスワードファイルを削除します。

OpenSSO 8.0 Update 2 のマニュアル

このマニュアル以外にも、次のコレクションからその他の OpenSSO 8.0 マニュアルを入手できます。

http://docs.sun.com/coll/1767.1

ドキュメントに関する問題

OpenSSO 8.0 Update 2 には、次に示すドキュメントに関する問題が含まれています。

CR 6958580: コンソールのオンラインヘルプにサポートされていない Discovery Agent が記載されている

OpenSSO 8.0 Update 2 の管理コンソールのオンラインヘルプには、サポートされてないディスカバリエージェントについて記載されています。

回避方法。なし。オンラインヘルプに記載されているディスカバリエージェントに関する情報を無視します。

CR 6967006 コンソールのオンラインヘルプでは、OAMAuth および WSSAuth の認証モジュールについて記載されていない

OpenSSO 8.0 Update 1 の管理コンソールのオンラインヘルプでは、Oracle Access Manager (OAM) および Web Service Security (WSS) の認証モジュールについて記載されていません。

回避方法。これらの認証モジュールについての詳細は、第 3 章セキュリティートークンサービスの使用を参照してください

CR 6953582: Fedlet の Java API リファレンスは公開されなければならない

Fedlet の Java API 公開リファレンスは、『Oracle OpenSSO 8.0 Update 2 Java API Reference』の一部として利用可能です。次のドキュメントコレクションから入手可能です。http://docs.sun.com/coll/1767.1。

注: この Java API リファレンスには getPolicyDecisionForFedlet メソッドが含まれていますが、OpenSSO 8.0 Update 2 はこのメソッドをサポートしていません。

CR 6953579: OpenSSO Fedlet の README ファイルには、シングルログアウト機能について記載がない

Fedlet の README ファイルには、シングルログアウト機能について記載がありません。

回避方法。Oracle OpenSSO 8.0 Update 2 の場合、Fedlet のシングルログアウト機能は第 4 章Oracle OpenSSO Fedlet の使用に記載されています。

その他の情報とリソース

次の場所から、その他の有用な情報やリソースを確認できます。

Oracle Advanced Customer Services for Systems:

http://www.oracle.com/us/support/systems/advanced-customer-services/index.html
ソフトウェア製品: http://www.oracle.com/us/sun/sun-products-map-075562.html
SunSolve: http://sunsolve.sun.com/
Sun Developer Network (SDN): http://developers.sun.com/
Sun 開発者サービス:http://developers.sun.com/services/

非推奨事項の通知

サービス管理サービス (SMS) API (com.sun.identity.sm パッケージ) および SMS モデルは、将来のリリースの OpenSSO には含まれなくなります。
Unix 認証モジュールおよび Unix 認証ヘルパー (amunixd) は、将来のリリースの OpenSSO には含まれなくなります。
『Sun Java System Access Manager 7.1 リリースノート』では、一般に Access Manager SDK (AMSDK) と呼ばれる Access Manager com.iplanet.am.sdk パッケージ、および関連するすべての API と XML テンプレートが将来のリリースの OpenSSO に含まれなくなると述べています。

AMSDK が削除されると、その結果としてレガシーモードのオプションおよびサポートも削除されます。

移行オプションは現時点で利用できません。また、将来利用可能になる予定もありません。Oracle Identity Manager に、AMSDK の代わりに利用できるユーザープロビジョニングソリューションが用意されています。Identity Manager の詳細については、http://www.oracle.com/products/middleware/identity-management/identity-manager.html を参照してください。

問題の報告とフィードバックの提供方法

OpenSSO 8.0 Update 2 または今後のパッチに関する質問や問題は、http://sunsolve.sun.com/ のサポートリソースまでご連絡ください。

このサイトは、メンテナンスプログラムやサポートの連絡先番号だけでなく、ナレッジベース、オンラインサポートセンター、Product Tracker へのリンクもあります。サポートを依頼する場合は、次の情報をご用意ください。

問題の説明。問題がいつ起きたか、状況や業務への影響など
マシンのタイプ、オペレーティングシステムのバージョン、Web コンテナとそのバージョン、JDK のバージョン、OpenSSO のバージョンに加え、問題に関係する可能性があるすべてのパッチ、その他のソフトウェア
問題を再現するための手順
エラーログまたはコアダンプ

障害を持つ方々向けのアクセシビリティー情報

このメディアの出版以降にリリースされたアクセシビリティー機能を入手するには、米国リハビリテーション法 508 条に関する製品評価資料を請求し、その内容を確認して、どのバージョンが、アクセシビリティーに対応したソリューションを配備するためにもっとも適しているかを特定してください。

アクセシビリティーに関する Oracle の取り組みについては、http://www.oracle.com/index.html をご覧ください。