Oracle Fusion Middlewareリリース・ノート 11gリリース1(11.1.1) for Microsoft Windows x64 B55938-04 |
|
前 |
次 |
この章では、Oracle Access Manager 11g リリース1 (11.1.1)に関連する問題について説明します。次のトピックが含まれます:
この項では、Oracle Access Manager 11g リリース1 (11.1.1)のパッチ要件について説明します。内容は次のとおりです。
関連項目:
|
この問題を回避するには、次の操作を実行します。
次の場所にあるMy Oracle Supportに移動します:
「パッチと更新版」タブをクリックしてOracle Bug#9824531を検索します。関連するパッチをダウンロードして、パッチに含まれるREADME
ファイルの手順に従ってインストールします。
「パッチと更新版」タブでOracle Bug#9882205を検索します。関連するパッチをダウンロードして、パッチに含まれるREADME
ファイルの手順に従ってインストールします。
この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。
19.2.7項「登録ツールのユーザー資格証明ではネイティブ・サーバー・ロケールのASCII以外の文字がサポートされていない」
19.2.9項「UTF8以外のロケールのOracle Access Manager認証でASCII以外のパスワードがサポートされない」
19.2.18項「ナビゲーション・ツリーの「アプリケーション・ドメイン」サブツリーが描画されず、ユーザー・アクションに応答しない」
19.2.21項「オフライン・モードでWLSTコマンドdisplayWebgate11gAgentによってWebゲート・エージェント・エントリが2度表示される」
19.2.29項「証明書モードではエージェント・キー・パスワードをコンソールとリモート登録ツールの両方で必須にする必要がる」
19.2.30項「Oracle Access Manager監査レポートAUTHENTICATIONFROMIPBYUSERによって「FROMキーワードが指定の位置にありません」エラーがスローされる」
19.2.32項「Oracle Access ManagerのIAMSuiteAgentによってほとんどのIDMドメイン・コンソールにSSOが提供される」
19.2.35項「Fusion Middleware Controlの「アイデンティティおよびアクセス」ノードからOAMサーバーを起動および停止できない」
19.2.36項「ADFセキュリティを使用するADFアプリケーションがOracle Access Manager 11gで機能しない」
19.2.37項「WebLogic Serverのインストール時に不正なJavaパスが指定されると管理サーバーが起動しない」
IM_ORACLE_HOME/oam/server/rreg/bin
には、リモート登録を実行するためのスクリプト(oamreg.bat
およびoamreg.sh
)が含まれています。これらのスクリプトは、実行前に、属性OAM_REG_HOME
がRREG HOME
のファイルの絶対位置を指定するように編集する必要があります。
RREG_HOME
は、スクリプトがある場所の1つ上のディレクトリです。
次に例を示します。
たとえば、特定のLinux環境に次のIM_ORACLE_HOME
が存在するとします。
MW_HOME/Oracle_IDM
この場合、oamreg.sh
に含まれる属性OAM_REG_HOME
のエントリは次のようになります。
export OAM_REG_HOME=MW_HOME/Oracle_IDM/oam/server/rreg
「OAMエージェントの作成」ページのデフォルトの開始日は、Oracle Access Managerサーバーの日時に基づきます。エンド・ユーザーに表示される日時は、ユーザーのマシンではなく、Oracle Access Managerサーバーのタイムゾーンに基づきます。
初期設定では、Oracle Access Managerのインストール場所にあるoamreg.sh
およびoamreg.bat
ファイルの実行権限は設定されていません。リモート登録(rreg
)を実行する前に、次のコマンドを使用して、これらのスクリプトの実行権限を設定する必要があります。
chmod +x oamreg.sh OR chmod +x oamreg.bat
これに続いて、標準のリモート登録ステップを実行できます。
Webゲートの登録後、関連コンポーネントの初期メッセージの説明フィールドがユーザーのロケールで表示されません。
説明フィールドでは多言語サポート(MLS)がサポートされません。
「リソース・タイプ」タブの「リソース」表の参照中に、次のエラー・メッセージが表示されます。
<Error> <oracle.adfinternal.view.faces.model.binding.CurrencyRowKeySet> <BEA-000000> <ADFv: Rowkey does not have any primary key attributes. Rowkey: oracle.jbo.Key[], table: model.ResTypeVOImpl@620289.>
このメッセージは無害で、機能が損なわれることはありません。
ナビゲーション・ツリーで子ノードを開く際のシングルクリックはサポートされていませんが、ダブルクリックはサポートされています。
Oracle Access Manager登録ツールoamreg.sh
/oamreg.bat
のユーザー資格証明では、LinuxのUTF8以外のサーバー・ロケールおよびWindowsネイティブ・サーバーのASCII以外の文字はサポートされていません。
ユーザー名にトルコ語、ドイツ語またはギリシャ語の特殊文字が含まれており、ログイン名が特殊文字部分のみ異なる場合は、大/小文字が区別されないこと、および大/小文字のマッピングにより、ユーザーが認証を通過する可能性があります。
一部の国際化文字には特別な大文字化ルールを設定して、再び小文字に変換されないようにする必要があります。
たとえば、ドイツ語におけるSSとßの問題があります。この場合、ßは小文字としてのみ存在します。ßを大文字に変換しようとすると、ßはSSに変換されます。この後、この大文字テキストを小文字に戻すと、SSはssになり、元のßには戻りません。
サーバーのロケールがUTF-8ではなく、WebLogic Server組込みLDAPをアイデンティティ・ストアとして使用している場合は、「SSO認証」ページでASCII以外のパスワードがサポートされません。
管理者が既存のエージェントと同じ名前のエージェントを作成した場合、表示されるエラー・メッセージの言語は、ブラウザのロケールではなくサーバーのロケールに基づきます。
Oracle Access Manager 11gリリース1 (11.1.1)は、参照を戻すLDAPサーバーと直接連携して動作することはできません。
回避方法として、Oracle Virtual Directoryを使用します。
クラスタの1つ以上のノードが停止している場合、Oracle Access Managerコンソールにエージェント監視用の診断情報が表示されません。
この情報は、Oracle Dynamic Monitoring Service (DMS)を使用して取得できます。手順は次のとおりです。
WebLogic資格証明を使用して、次のDMSアプリケーションにログインします。
http://<adminserver-host>:<adminserver-port>/dms
ナビゲーション・ツリーで「DMSメトリック」ノードの下にあるOAMS.OAM_Server.OAM_Agentsをクリックします。
保護されている認証ポリシーにASCII以外の名前のリソースを追加する場合、11g OHSサーバーを再起動して保護を有効化する必要があります。一方、英文字のリソースを追加する場合は、OHSサーバーを再起動する必要はなく、即座に保護が有効になります。
認証ポリシー用に構成された成功/失敗URLの指定URLにASCII以外の文字が含まれる場合、そのURLがユーザー認証時に使用される際に、URLが文字化けします。これは、認証スキームがBasic認証で、エンドユーザーのブラウザが中国語バージョンのWindowsで稼働する簡体字中国語バージョンのIE8である場合のみ発生します。
OSSOエージェントでは、リソースURL全体がUTF-8形式にエンコードされないため、リソースを保護できません。
この問題を回避するには、SSOエージェントのかわりにWebゲート・エージェントを使用します。
Webゲートでは、リソースURL全体をUTF-8形式に変換できます。
Oracle Access Managerコンソールに管理者としてログインした後、新しいブラウザ・タブで管理者としてコンソールにログインすると、管理ログに次のエラーが表示されます。
------------------------------------------------------------ <May 20, 2010 10:12:47 AM PDT> <Error> <oracle.adfinternal.view.page.editor.utils.ReflectionUtility> <WCS-16178> <Error instantiating class - oracle.adfdtinternal.view.faces.portlet.PortletDefinitionDTFactory> ------------------------------------------------------------
このエラー・メッセージによる機能への影響はありません。
エージェントという用語はWebゲートに変更されています。
この問題は、この用語変更が最近行われたために翻訳パッケージが更新されておらず、推奨用語のWebゲートではなくエージェントが引き続き使用されているために発生しています。
ナビゲーション・ツリーの「アプリケーション・ドメイン」サブツリーが描画されない、またはユーザー・インタフェース・アクションに長時間応答がない場合は、複数のリフレッシュが起因する可能性があります。
この問題を回避するには、管理サーバーを再起動し、Oracle Access Managerコンソールに再度ログインします。
ヘルプ・トピック「シングル・サインオン要件の評価」の「シングル・サインオフの構成手順の確認」の下に、「OAM 11gサーバーを使用する10g Webゲートのシングル・ログアウトの構成」が2度出現します。
英語バージョンは次のように修正されています。
手順7 シングル・サインオフの構成手順の確認
OAM 11gサーバーを使用する10g Webゲートのシングル・ログアウトの構成。詳細。
OAM 11gサーバーを使用する11g Webゲートのシングル・ログアウトの構成。詳細。
Oracle ADFアプリケーションのシングル・ログアウトの構成。詳細
翻訳されたバージョンでは修正されます。
オンライン・モードとオフライン・モードの両方で、「状態」フィールドに無効な値を入力しても、WLSTコマンドeditWebgateAgent
はエラーになりません。「状態」は必須フィールドにもかかわらず、Oracle Access Managerコンソールでは、このフィールドの値は有効または無効のいずれとしても表示されません。
オフライン・モードでは、WLSTコマンドdisplayWebgate11gAgent
によって、11g Webゲート・エージェントのエントリが「システム構成」タブに2度表示されます。
クラスタ内のOracle Access Managerサーバーの起動時に、次のメッセージが表示されます。
<Jun 22, 2010 3:59:41 AM PDT> <Error> <oracle.jps.authorization.provider.pd> <JPS-10774> <arme can not find state.chk file.>
メッセージの正しいレベルは、Error
ではなくINFO
です。
HelpコマンドはWLSTコマンドregisteroifdappartner
には使用できません。
オンラインおよびオフラインのコマンドによって、Oracle Identity Federationは委任認証プロトコル(DAP)パートナとして登録されます。
詳細は、Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンスのregisterOIFDAPPartnerに関する項を参照してください。
構文
registerOIFDAPPartner(keystoreLocation="/scratch/keystore" logoutURL="http://<oifhost>:<oifport>/fed/user/sploosso?doneURL= http://<oamhost>:< oam port>/ngam/server/pages/logout.jsp", rolloverTime="526")
パラメータ名 | 定義 |
---|---|
keystoreLocation |
キーストア・ファイルの場所。OIFサーバーで生成されたファイル。(必須) |
logoutURL |
OIFサーバーのログアウトURL。<必須> |
rolloverInterval |
SASSOトークンの暗号化/復号化に使用されるキーのロールオーバー間隔(オプション) |
例
The following invocation illustrates use of all parameters. registerOIFDAPPartner(keystoreLocation="/scratch/keystore", logoutURL="http://<oifhost>:<oifport>/fed/user/sploosso?doneURL=http://<oamhost>: <oam port>/ngam/server/pages/logout.jsp", rolloverTime="526")
Oracle Adaptive Access Managerとのネイティブ統合では、リソースは、Oracle Adaptive Access ManagerのBasic認証スキームを使用するOracle Access Managerポリシーによって保護されます。
ユーザーがリソースにアクセスしようとすると、ユーザー名ページが表示されます。
ユーザー名を入力した後、パスワード・ページに進むためには、「続行」をクリックする必要があります。パスワード・ページは自動では表示されません。
回避方法として、ユーザーが「続行」をクリックすると、パスワード・ページに進むことを許可される可能性があります。
console/rreg
スクリプトを介してrreg
を実行した後、ユーザーは、ポリシー関連の変更を表示するために、「ポリシー構成」タブで「リフレッシュ」ボタンを2回クリックする必要があります。
次のOCSP関連フィールドは、X509認証モジュールでは必須ではなくなりました。
OCSPサーバー別名
OCSP応答者URL
OCSP応答者タイムアウト
OCSPが有効の場合
管理者がOCSP関連のフィールドに値を入力する必要があります。フィールドが入力されていない場合、コンソール側からのエラーはありません。
管理者の責任において、これらの値を指定する必要があります。
OCSPが無効の場合
OCSP関連のフィールドに値を入力する必要はありません。OCSP自体が有効化されていないため、これらのフィールドに値が入力されても重要性はありません。
デフォルトの即時利用可能な構成では、OCSPレスポンダのURLはhttp://ocspresponderhost:port
です。他のフィールドを変更し、これをそのままにすると、検証エラーが表示されます。この原因は、この値は依然としてバックエンドおよびコンソールに送信されますが、レイヤー・ポートは数値フィールドである必要があるためです。数値フィールドであるポートを使用してこのフィールドを変更することも、値全体を削除することもできます。
「システム構成」タブ(「共通構成」セクション)の「データソース」ノードで、Oracle Access Manager 11g (11.1.1.5)に「データベース」ノードが存在しません。
Oracle Access Managerコンソールではオンライン・ヘルプを使用できますが、最新の情報が使用されているかどうかを確認するにはOTNを確認する必要があります。
登録時のエージェント・キー・パスワードの入力は、Oracle Access Managerコンソールおよびリモート登録ツールの両方で必須にする必要があります。現在、一方は必須ですが他方は必須ではありません。
リモート登録ツールを介して11g Webゲートを証明書モードで登録する場合は、エージェント・キー・パスワードを入力する必要があります。そうしないと、証明書モードのパスワードはNULLにはできません。有効なパスワードを入力してください
というメッセージが表示されます。
Oracle Access Managerコンソールを介して11g Webゲートを証明書モードで登録する場合、エージェント・キー・パスワードは必須ではありません。エージェント・キー・パスワードを入力したかどうかにかかわらず、password.xml
が生成されます。
Oracle Access Manager監査レポートAuthenticationFromIPByUserは、Oracle Database 11.2.0の機能を使用するため、古いバージョンのデータベースでは機能しません。古いバージョンを使用した場合は次のエラーが表示されます。
ORA-00923 FROMキーワードが指定の位置にありません
Oracle Access Manager 11gの場合、カスタム・リソース・タイプは作成しないようにする必要があります。初期リリースでは、リソース・タイプを作成/編集/削除するためのボタンは使用できませんでした。
Oracle Access Manager 11g (11.1.1.5)では、これらのコマンド・ボタンは無効です。Oracle提供のリソース・タイプには、次が含まれます。
HTTP (HTTPSを含む)
TokenServiceRP(トークン・サービスのリライイング・パーティを表すリソース)
wl_authen (WebLogic認証スキームを表すリソース)
Oracle Access ManagerのIAMSuiteAgentがIDMドメイン・エージェントに取ってかわり、IAM SuiteがIDMDomainAgentアプリケーション・ドメインに取ってかわります。
IAMSuiteAgentは、Oracle Identity Manager、Oracle Adaptive Access Manager、およびドメインの作成時に作成されたその他のIdentity Managementサーバーを含むIDMドメイン・コンソールにシングル・サインオンを提供します。この場合、Fusion Middleware ControlおよびWebLogic Server管理コンソールに対するシングル・サインオン保護は除外されます。
OAMサーバーをWebゲートとともに使用し、WebゲートIDをASCII以外の名前で登録すると、認証リダイレクトが無効なリクエストとしてOAMサーバーに拒否されます。
このリダイレクトの問題を回避するには、WebゲートにASCIIの名前を使用します。
注意: 管理サーバーおよびOracle Access ServerをUTF-8ロケールで起動した場合、リソースは保護され、エラー・メッセージは表示されません。 リダイレクトの問題は、ネイティブ・サーバー・ロケール(WindowsおよびUTF8以外のLinuxサーバー・ロケール)でのみ発生します。 |
ユーザー・インタフェースの認証モジュールでは、認証/認可に使用できるのはプライマリ・アイデンティティ・ストアのみであるため、リストではプライマリ・アイデンティティ・ストアのみを選択する必要があります。現在、Oracle Access Managerコンソールでは、プライマリではないアイデンティティ・ストアを選択できます。
Fusion Middleware Controlでは、「Identity and Access」の下にあるoam_serverノードを使用した次のOracle Access Manager操作はサポートされていません。
起動
停止
ログ・メッセージの表示
一方、Oracle Access Managerの管理対象サーバー・インスタンスでは、これらの操作がサポートされています。Fusion Middleware Controlの「アプリケーション・デプロイメント」の下にある(特定のサーバーの)oam_serverノードを使用して実行できます。
不具合のため、エンコードされたURL文字列を含む問合せパラメータを使用して(11g Webゲートによって)保護されているリソースにアクセスすると、ブラウザに次のエラーが表示されます。
Action failed. Please try again
Windowsの64ビットのプラットフォームでは、32ビットのJAVA_HOME (jdk1.6.0_23)を使用してWebLogic Serverを正常にインストールできます。Windowsの64ビットのプラットフォームでは、32ビットのJAVA_HOME (c:\program files (x86)\java\jdkxxx)はstartWeblogic.cmdによって正しく処理されません。
setup.exeを使用してインストール・シールドを起動する場合、64ビットのJAVA_HOMEのパスを指定するよう求められます。32ビットのJAVA_HOME (jdk1.6.0_24)パスを指定すると、インストール・シールドは起動しません。
\Middleware\Oracle_IDM1\common\binからconfig.cmdを実行すると、32ビットのJAVA_HOME (jdk1.6.0_24)が使用されます。ただし、インストールが成功しても、管理サーバーを起動できません。
回避方法: SUN_JAVA_HOMEを短い名前のパス(c:\progra~2\java\jdkxxxx)を使用するよう置き換えることをお薦めします。
Windowsの場合、"dir /X"を実行することにより、短い名前を表示できます。
また、短い名前を使用してWindowsのコマンド・シェル変数JAVA_HOMEをパスに設定し、この中でstartWeblogic.cmdを実行することもできます。次に例を示します。
>set JAVA_HOME=c:\progra~2\java\jdkXX
X
>startweblogic.cmd
システム・ストアとして指定されているアイデンティティ・ストアを編集し、ストア・タイプを変更したり(たとえば、組込みLDAPからOIDへ)接続URLを変更しないようにする必要があります。
編集でのストア・タイプ変更を禁止するシステム・ストアとして指定されているアイデンティティ・ストアを変更する必要がある場合は、新規アイデンティティ・ストアを作成してから、この登録を編集してシステム・ストアとしてマークすることをお薦めします。
アラビア語およびヘブライ語のロケールでは、シングル・サインオン(SSO)の「ログイン・ページ」、「偽装承諾」ページ、「ログアウト・ページ」、偽装エラー・ページおよび「ログイン・エラー」ページのレイアウトは変更されません。
「セッション管理検索」ページの作成インスタントおよび「最新アクセス時間」の日付書式が正しくローカライズされません。
Internet Explorerブラウザの制限により、リソースURLを直接入力するか貼り付けると、ASCII以外の問合せ文字列でリソースが表示されます。
Oracle Virtual Directoryをユーザー・アイデンティティ・ストアとして使用する場合、SSLポートを使用するよう登録を変更した後、SSLボックスを確認した後、および接続をテストした場合(「接続テスト」ボタン)、エラーは表示されません。ただし、(SSL以外のポートが正常であっても)認証は失敗します。接続テストを初めて実行する場合やその後に実行する場合、Oracle Virtual Directory側からソケット・タイムアウト例外が発生します。
回避方法: 次のように、SSLポートのNIOを無効にします。
Oracle Virtual Directoryを停止します。次に例を示します。
$ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
次のように、listener.os_xmlのLDAP SSLリスナー・セクションを編集して<useNIO>false</useNIO>
を追加します。
$ORACLE_INSTANCE/config/OVD/ovd1/listener.os_xml
<ldap version="20" id="LDAP SSL Endpoint">
<port>7501</port>
<host>0.0.0.0</host>
.........
.........
<tcpNoDelay>true</tcpNoDelay>
<readTimeout>180000</readTimeout>
</socketOptions>
<useNIO>false</useNIO>
</ldap>
ファイルを保存します。
接続を複数回テストし、正常に動作していることを確認します。
Windowsでは、$DOMAIN_HOME/servers/felix-cache_oamの下にあるファイルがロックされ、サーバーによって使用されているため、ソース・ドメインで障害が発生します。この回避方法は、次のとおりです。
次のように、$DOMAIN_HOME/managed_server_name/serversの下にfelixキャッシュを作成するJAVA_OPTIONSを設定します。次に例を示します。
setenv JAVA_OPTIONS -Dorg.osgi.framework.storage=<domain_home_path>/
managed_server_name/servers/felix-cache_oam
felix-cache_oamディレクトリが存在しない場合は作成されます。
OAMサーバーを再起動します。
有効なURLエスケープ・シーケンスとなる文字のシーケンスが%の後ろにない場合、Webゲートからの問合せ文字列のエンコードは行われません。この場合、%はデコード済文字列内の%として保持され、次のエラーが発生します。
No message for The Access Server has returned a status that is unknown to the Access Gate .Contact your website administrator to remedy this problem.
回避方法:
11g Webゲート: 問合せ文字列内に%文字を指定するには、%のかわりに%25を指定する必要があります。
10g Webゲート: 11g Webgateの回避方法は匿名スキームに対してのみ適用されます。他の認証スキームの場合、現在、回避方法は存在しません。
この項では、構成に関する問題およびその回避方法について説明します。次のトピックが含まれます:
19.3.2項「Oracle Identity Manager管理コンソールのログアウト後に、ユーザーに対して誤ってセルフユーザー・ログインが表示される」
19.3.4項「リソースがBasic認証スキームを使用して保護されている場合は認証失敗に関連する情報が監査で取得されない」
19.3.10項「Oracle Access Manager 11gサーバーでのAccess SDKバージョン10.1.4.3.0の使用」
Webゲートで長いURLをサポートするために、oam-config.xml
の下に次のコード・サンプルが追加されています。
<Setting Name="AgentConfig" Type="htf:map"> <Setting Name="OSSO" Type="htf:map"> <Setting Name="RedirectMethod"Type="xsd:string">GET</Setting> <Setting Name="Delimiter" Type="xsd:string">AND</Setting> </Setting>
mod-osso
の場合、RedirectMethod
の値をPOST
にする必要がありますが、即時利用可能な値として用意されている値はGET
です。次の手順に従い、変更を実行してください。これは、この変更は手動で実行する必要があり、この作業を行うためのユーザー・インタフェースやWLSTコマンドがないためです。
Oracle Access Managerコンソールおよび管理対象サーバーを停止します。
cd DOMAIN_HOME/config/fmwconfig
を入力します。
vi oam-config.xml
を入力します。
oam-config.xml
の次の行に移動します。
<Setting Name="AgentConfig" Type="htf:map"> <Setting Name="OSSO" Type="htf:map"> <Setting Name="RedirectMethod"Type="xsd:string">GET</Setting>
次のようにGET
をPOST
に変更します。
<Setting Name="RedirectMethod"Type="xsd:string">POST</Setting>
変更を保存して、管理サーバーおよび管理対象サーバーを起動します。
Oracle Identity Manager管理コンソールからログアウトした後、ユーザーに対してセルフユーザー・ログインが表示されます。
リダイレクトを修正するには、ログアウトを正常に機能させる必要があります。
10g Webゲートでのログアウトに関する回避方法は次のとおりです。
logout.html
を(たとえば、Oracle_IDM1/oam/server/oamsso/logout.html
から)webgate_install_dir/oamsso
へコピーします。
ファイル内のログアウトURLをhttp://oam_server:oam_server/ngam/server/logout
に更新します。
ログアウト後に特定のページにリダイレクトする必要がある場合は、ログアウトURLをhttp://oam_server:oam_server/ngam/server/logout?doneURL=http://host:port/specifipage.html
に変更します。
コンパクト構成では、ハードウェア能力に制限があるマシンに、アイデンティティ管理の全コンポーネントがインストールされます。
11g Webゲートをコンパクト構成でインストールしようとすると、構成ステップで次のエラーが発生します。
Configuring WebGate... There is an error. Please try again. Preparing to connect to Access Server. Please wait. Client authentication failed, please verify your WebGate ID. cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_key.pem': No such file or directory cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_cert.pem': No such file or directory cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_chain.pem':
このエラーは、インストール時にoam-config.xml
の次のエントリが初期化されていないことが原因で発生します。
<Setting Name="oamproxy" Type="htf:map"> <Setting Name="sslGlobalPassphrase" Type="xsd:string">changeit</Setting> <Setting Name="SharedSecret" Type="xsd:string">1234567812345678</Setting> </Setting>
oam-config.xml
を正しく初期化するには、次のようにします。
次の手順を実行して、CSFリポジトリからOAM
エントリを削除します。
次のWebLogic Scripting Toolを起動します。
oracle_common/oracle_common/common/bin/wlst.sh
WLSTシェルで、ドメインに接続するためのコマンドを入力し、要求された情報を入力します。
次にサンプルを示します。
wls:/offline> connect () Please enter your username [weblogic] : Please enter your password [welcome1] : Please enter your server URL [t3://localhost:7001] : Connecting to t3://localhost:7001 with userid weblogic ... Successfully connected to Admin Server 'AdminServer' that belongs to domain 'imdomain86'.
domainRuntime
に変更します。
次にサンプルを示します。
wls:/imdomain86/serverConfig> domainRuntime () Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root.
マップ名がOAM
でキーがjks
のCSFリポジトリにエントリが存在するかどうかを確認します。
次にサンプルを示します。
wls:/imdomain86/domainRuntime> listCred(map="OAM_STORE",key="jks") {map=OAM_STORE, key=jks} Already in Domain Runtime Tree . [Name : jks, Description : null, expiry Date : null] PASSWORD:1qaldrk3eoulhlcmfcqasufgj2 .
CSFリポジトリからOAM
マップ・エントリを削除します。
wls:/imdomain86/domainRuntime> deleteCred(map="OAM_STORE",key="jks") {map=OAM_STORE, key=jks} Already in Domain Runtime Tree .
wlstシェルを終了します。
次にサンプルを示します。
wls:/imdomain86/domainRuntime> exit () . . .
DOMAIN_HOME/config/fmwconfigに移動してファイル.oamkeystore
を削除します。
次に(linuxの)サンプルを示します。
[aime@pdrac09-5 fmwconfig]$ rm .oamkeystore .
管理対象サーバーおよび管理サーバーを停止します。
管理サーバーを起動します。
oam-config.xml
を確認します。
管理対象サーバーを起動します。
oam-config.xml
の確認手順は次のとおりです。
DOMAIN_HOME/config/fmwconfig/oam-config.xmlに移動します。
DeployedComponent→Server→NGAMServer→Instanceの下で、WebLogic Serverのすべてのサーバー・インスタンスが構成されていることを確認します。
OAM管理対象サーバーのプロトコル、ホストおよびポートが、次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→OAMServerProfile→OAMSERVER
SSO CipherKeyが生成済で次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→ssoengine→CipherKey
SharedSecret
およびsslGlobalPassphrase
のoamproxy
エントリが生成済で、次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→oamproxy
SharedSecret
には1234567812345678
とは異なる値、およびsslGlobalPassphrase
にはchangeit
とは異なる値がそれぞれ指定されている必要があります。
リソースはBasicスキームを使用して保護できますが、WebLogic Serverには、最初にユーザーを認証してからサーバーへ送信するという機能があります。
config.xml
の<security-configuration>
の下にフラグ<enforce-valid-basic-auth-credentials>false</enforce-valid-basic-auth-credentials>
を追加してサーバーを再起動すると、WebLogic Serverの認証をバイパスできます。資格証明は、送信されてOAMサーバーに戻されると監査されます。
WebLogic Server管理コンソールでは、enforce-valid-basic-auth-credentials
設定は表示されず、ログにも記録されません。一方、WLSTを使用すると稼働中のサーバーで値をチェックできます。config.xml
でこの設定行い、この値を変更する必要があります。
手順は、次のドキュメントを参照してください。
次の場所にある「セキュアなWebアプリケーションの開発」:
http://download.oracle.com/docs/cd/E13222_01/wls/docs103/security/thin_client.html#wp1037337
Oracle Access Manager 10g Webゲートのインストール時にプロンプトが表示された際に、現在のバージョンのmsvcirt.dll
をより新しいバージョンに置き換えないでください。置き換えると非互換性の問題が発生します。後でOSSO 10g (10.1.4.3)をインストールする際に、必要な.dll
ファイルが見つからないためにopmn.exe
コマンドが起動せず、OracleCSService
がタイムアウトになる可能性があります。
Oracle Access Manager 11gに対してサポートされているトポロジは、次のとおりです。
サポートされているトポロジ
Webゲート10gまたはWebゲート11gおよび保護されているアプリケーション(IPv4 (Internet Protocol Version 4)プロトコル・ホスト上)
OHS (Oracle HTTP Server)リバース・プロキシ(デュアルスタック・ホスト上)
クライアント(IPv6 (Internet Protocol Version 6)プロトコル・ホスト上)
デュアルスタックでは、1つのオペレーティング・システムに2つのInternet Protocolソフトウェア実装(一方はIPv4用、他方はIPv6用)が存在します。
IPv6クライアントは、IPv4/IPv6デュアル・スタック上のリバース・プロキシを介してWebgate (10gまたは11g)にアクセスできます。
この項には、Oracle Access Manager構成で注意する必要があるシナリオおよび項目が含まれています。
Oracle Access Manager 10gおよびOracle Access Manager 11g Webゲート用のWLSTスクリプトでは、エージェントのセキュリティ・モードの変更をサポートしていません。
Oracle Access ManagerコンソールおよびWLSTでサポートされていない操作を次の下位項目に示します。
OAMサーバー
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOAMサーバー・インスタンスを編集モードで開きます。
別のブラウザ(ブラウザ2)でOracle Access Managerコンソールを使用するか、WLSTスクリプトを使用して、このサーバー・インスタンスを削除します。
ブラウザ1に戻ります(サーバー・インスタンスが編集モードで開いています)。
ブラウザ1で「適用」ボタンをクリックします。
現在の動作
Oracle Access Manager管理コンソールに、「サーバー・インスタンスserver_nameは使用中の可能性があります。編集しますか。」というメッセージとともに更新成功の確認が表示されます。
「はい」をクリックすると、予想どおりに次のメッセージが表示され、OAMサーバー・インスタンス・ページが閉じます(正しい動作)。
"Error while reading your_server-name OAM Server Instance Configuration."
ただし、ナビゲーション・ツリーの「リフレッシュ」コマンド・ボタンをクリックするまでナビゲーション・ツリー・ノードにOAMサーバー・インスタンスが表示され続ける可能性があります。
ユース・ケース: 同じホストを使用する2つのOAMサーバー・インスタンスに同じプロキシ・ポートを設定できない。
説明
このユース・ケースでは、oam_server1およびoam_server2というOAMサーバーの2つのインスタンスがあるとします。
編集モードでoam_server1を開き、ホストおよびOAMプロキシ・ポートを指定します。
次に、編集モードでoam_server2を開き、oam_server1と同じホストおよびプロキシ・ポートを指定します。
変更を保存してもエラー・メッセージは表示されません。
現在の動作
Oracle Access Managerコンソールはエラーを表示せず、この更新を許可します。
この動作は不正です。
ユース・ケース: サーバー・インスタンスの作成、更新および削除の詳細を含むログ文がOracle Access Managerコンソールに表示されない
説明
Oracle Access ManagerコンソールからOAMサーバー・インスタンスを作成、編集または削除した場合、作成、編集および削除に対応するログ文がコンソールによって表示されません。
LDAP認証モジュール:
ユース・ケース: ユーザー・アイデンティティ・ストアの同時削除/作成が、LDAP認証モジュールの作成および編集のアイデンティティ・ストア・リストに反映されない
説明
作成/編集を行うためにLDAP認証モジュールを開きます。
リストに、システムに存在するアイデンティティ・ストアが表示されます。
次に、別のタブを使用してユーザー・アイデンティティ・ストアを作成します。
LDAP認証モジュールの作成/編集タブに戻り、リストでユーザー・アイデンティティ・ストアを確認します。
現在の動作
Oracle Access Managerコンソールに予想どおりエラー・メッセージが表示され、認証モジュール・ページが閉じます(正しい動作)。
"Error while reading module-name Authentication Module Configuration."
ただし、ナビゲーション・ツリーの「リフレッシュ」コマンド・ボタンをクリックするまでナビゲーション・ツリー・ノードに認証モジュール・ノードが表示され続ける可能性があります。
LDAP、KerberosおよびX509認証モジュール
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOracle Access Managerコンソールを使用して、LDAP/Kerberos/X509認証モジュールを編集モードで開きます。
別のブラウザ(ブラウザ2)でOracle Access Managerコンソールを使用するか、WLSTスクリプトを使用して、この認証モジュールを削除します。
ブラウザ1に戻ります(認証モジュールが編集モードで開いています)。
「適用」ボタンをクリックします。
現在の動作
Oracle Access Managerコンソールは、この認証モジュール構成を更新し、バックエンドに書き込みます。
この動作は不正です。
ユース・ケース: サーバー・インスタンスの作成、更新および削除の詳細を含むログ文がOracle Access Managerコンソール側に表示されない
説明
Oracle Access Managerコンソールから認証モジュールを作成、編集または削除した場合、作成、編集および削除に対応するログ文がコンソールによって書き込まれません。
OAM 11G Webゲート
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOracle Access Managerコンソールを使用して、OAM 11g Webゲート・インスタンスを編集モードで開きます。
別のブラウザ(ブラウザ2)でOracle Access Managerコンソールを使用するか、WLSTスクリプトを使用して、このOAM 11g Webゲートを削除します。
次に、ブラウザ1に戻ります(サーバー・インスタンスが編集モードで開いています)。
「適用」ボタンをクリックします。
現在の動作
OAM11g Webゲート編集用のOracle Access Managerコンソールは変化せず、タブは閉じません。
Oracle Access Managerコンソールによって、OAM11g Webゲートの構成が見つからないというエラー・ダイアログが表示されます。
ただし、ナビゲーション・ツリーは空白で、いずれかの操作を実行しようとすると、javax.faces.model.NoRowAvailableExceptionと表示されます。
この動作は不正です。
OSSOエージェント
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOracle Access Managerコンソールを使用して、OSSOエージェント・インスタンスを編集モードで開きます。
別のブラウザ(ブラウザ2)でOracle Access Managerコンソールを使用するか、WLSTスクリプトを使用して、このOSSOエージェントを削除します。
次に、ブラウザ1に戻ります(OSSOエージェント・インスタンスが編集モードで開いています)。
「適用」ボタンをクリックします。
現在の動作
Oracle Access ManagerコンソールでOSSOエージェントを編集すると、Nullポインタ例外が発生します。
この動作は不正です。
シングル・サインオンはOracle Access Managerのインストール後に有効になります。即時利用可能なシングル・サインオンの構成を完了するには、集中管理されたログアウトをインストール後に構成する必要があります。次の項の指示に従って、集中管理されたログアウトを構成してください。
Oracle Access Manager 11gでのADFコード化されたアプリケーションの集中ログアウトの構成
ADFログアウトが正常に機能するには、シングル・サインオン・サーバーのパッチ9824531が必要です。パッチに含まれるreadme
ファイルの説明に従って、このパッチをインストールします。
「IDMドメイン・エージェントの集中ログアウトの構成」(パッチ・セット内では、これは現在、IAMSuiteAgentです)
アイデンティティ・ストアの停止時に、構成イベント・トリガーによりNullポインタ例外が発生します。アップグレードは成功しますが、管理サーバー・コンソールにエラー・メッセージが表示されます。サービスは失われません。
アップグレード中にNULLポインタが表示された場合、サービスは失われないため、このエラーを無視して構いません。
WLSTコマンドの実行中にNULLポインタが表示された場合は、管理サーバーを再起動する必要があります。
一般的に、Sun Microsystems JDK 1.4.xコンパイラは、Access SDKバージョン10.1.4.3.0のJavaインタフェースで使用されるJDKバージョンです。
例外として、(Linuxオペレーティング・システム・プラットフォームの)64ビットAccess SDKバージョン10.1.4.3.0のJavaインタフェースでは、Sun Microsystems JDK 1.5.xコンパイラを使用する必要があります。
Oracle Access Manager 11gに含まれるセッション管理エンジンの新機能は、認証のためのAccess SDKバージョン10.1.4.3.0のコールごとに、セッションを作成します。
そのため、Access SDKを使用して自動のプロセスをプログラムで認証する場合には、問題が発生します。問題とは、Access SDK内で生成されたシステムのセッション数が劇的に増加して、大量のメモリー消費を引き起こすことです。
セッション検索基準が一般的なものである場合(たとえば、ワイルドカード(*)のみを使用する場合など)、大きなセッション・リストからセッションを削除する際に制限があります。
セッション検索基準を十分に細分化することによって比較的小さな結果セット(理想的には20以下)を取得することをお薦めします。
ASCII以外のユーザーがチャレンジ・メソッドとしてWNAを使用してKerberos認証スキームで保護されているリソースにアクセスしようとすると、失敗します。
ユーザー詳細を取得してサブジェクトにユーザーDNおよびGUID属性を移入しようとすると、例外が発生します。
ここでは、次の内容について説明します。
次の特性がある新規検証テンプレートのトークン・マッピング・ページで、
WS-Security
トークン・タイプSAML 1.1
デフォルト・パートナ・プロファイル: リクエスタ・プロファイル
警告が表示されません。
属性ベースのユーザー・マッピングを有効化するボックスを選択したときに必要な「ユーザー属性」フィールドを空のままにした場合
「ユーザー属性」フィールドが空である場合、新規行は保存されません。ただし、両フィールドが入力されている場合、これは保存されます。ユーザーが追加した行内の「ユーザー属性」フィールドの値を削除すると、変更を適用したときに行が削除されます。
組込みの名前識別子マッピング行を削除しようとした場合
名前識別子マッピング行は削除できません。
Internet Explorerバージョン7で日本語ロケールを使用する場合、新規リクエスタというタイトルがページの1行に表示されません。「パートナ」、「名前」、パートナ・タイプ、パートナ・プロファイルの各フィールドがページ上で折り返されない可能性があります。
これは、パートナ(リクエスタ、リライイング・パーティおよび発行局)を作成または変更しているかどうかとは関係なく発生します。
次の表内に削除対象の行がなくても、「削除」ボタンが有効です。
属性名マッピング表(パートナ・プロファイル(リクエスタ、リライイング・パーティおよび発行局プロファイル)の「トークンおよび属性」ページ)。
発行局パートナ・プロファイルの値マッピング表
表内に行がない場合、「削除」ボタンはデフォルトでは無効である必要があります。
発行テンプレートの類似コピー機能では、ネストした表はコピーされません(属性マッピングおよびフィルタリング表、およびカスタムトークン属性表)。
回避方法: 目的の発行テンプレートにナビゲートし、ナビゲーション・ツリー内の名前をクリックし、類似コピー・ボタンをクリックします。元の表(「属性マッピング」またはカスタム属性表)から不足情報を手動で入力します。
適用すべき変更や前のバージョンに戻すべき保存済の変更がなくても、Oracleセキュリティ・トークン・サービスの各ページで「適用」および「元に戻す」ボタンが有効です。
Oracle WSMエージェントのエラーのログにコンテンツが書き込まれません。一般フォルト・エラーのみが存在します。
回避方法: ホストOAMサーバーでOracle WSMエージェントのメッセージ・ロギングを有効にします。
$DOMAIN/config/fmwconfig/server/oam_server1/logging.xmlファイルを検索します。
logging.xmlファイルのWSMブロックを次のように変更します。
<logger name="oracle.wsm" level="TRACE:32" useParentHandlers="false"> <handler name="odl-handler"/> </logger> <logger name="oracle.wsm.msg.logging" level="TRACE:32" useParentHandlers="false"> <handler name="owsm-message-handler"/> <handler name="wls-domain"/> </logger>
OSTSポリシー: Oracleセキュリティ・トークン・サービス・ポリシーが(Oracle提供のWSMポリシーのかわりに)使用されている場合、次の手順を実行します。
Oracle_IDM1/oam/server/policyを検索します。
sts-policies.jarを解凍します。
すべてのポリシーを変更してEnforcedをtrueに設定します: META-INF/polices/sts。
<oralgp:Logging orawsp:name="Log Message1" orawsp:Silent="true orawsp:Enforced="true" orawsp:category="security/logging"> <oralgp:msg-log> <oralgp:request>all</oralgp:request> <oralgp:response>all</oralgp:response> <oralgp:fault>all</oralgp:fault> </oralgp:msg-log> </oralgp:Logging>
更新したsts-policies.jarを再度圧縮します。
管理サーバーおよび管理対象サーバーを再起動します。
u18より上位のSun JDK6を使用してWebLogic 10.3.5が構成されている場合、Kerberosトークンの認証の例外が発生します。
Oracleセキュリティ・トークン・サービスからセキュリティ・トークンを要求する認証トークンとしてKerberosトークンを使用する場合:
検証テンプレートで構成されているキー・タブ・ファイルは常に、KDCサーバーの最新バージョンである必要があります。
KVNOは常に、サーバー上で使用可能な最新のものである必要があります。
『Oracle Access Managerアクセス管理ガイド』には、次の記述があります: 「トークン・プロトコルをWS-TrustからWS-Securityに切り替える場合、「トークン・タイプ」リスト内のオプションは変更されません。ただし、必要なデフォルト・パートナ・プロファイル・リストが表示され、ここからWS-Securityのプロファイルの1つを選択する必要があります。」
修正: トークン・プロトコルをWS-TrustからWS-Securityに切り替えると、必須フィールドのデフォルト・パートナ・プロファイルが表示されます。このフィールドの値を選択する必要があります。このフィールドの値を選択せずにWS-Trustに戻すと、「トークン・タイプ」リスト内のオプションが正しく更新されず、WS-Trustのトークン・タイプ値が設定されません。
NameIdentifierユーザー属性の値がnullまたは空であっても、エラー・メッセージが戻されるのではなく、「NameIdentifier」フィールドが空の状態で発行されたアサーションを発行できます。次に例を示します。
<saml:NameIdentifier Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"/>
回避方法: 発行テンプレート内の「名前識別子ユーザー属性」フィールドにはユーザー・ストアの値が必要です。
ここでは、次の内容について説明します。
Windows 2008サーバーおよびWindows 2007マシンでサポートされているデフォルトのKerberos暗号化は、AES256-CTS-HMAC-SHA1-96、AES128-CTS-HMAC-SHA1-96およびRC4-HMACです。
クライアントがDESのみの暗号化を使用するように構成されている場合、ユーザーはKerberos認証を使用して保護されているリソースにアクセスできません。エラー・メッセージAn incorrect username and password was specified
が表示されます。
初期のKerberosトークンが存在しないため、ブラウザはOAMサーバーでは認識されないNTLMトークンを送信します。このため、ユーザー認証が失敗します。
回避方法として、暗号化メカニズムを有効化し、次に記述されている手順に従います:
http://technet.microsoft.com/en-us/library/dd560670%28WS.10%29.aspx
ここでは、次の内容について説明します。
Internet Explorerブラウザの制限により、偽装先のユーザーIDにASCII以外の文字が含まれるときに偽装が失敗して「承諾」ページに移動できない場合があります。
ブラウザ内で偽装を開始するURLを直接入力したり貼り付けると、かわりにfailure_urlに移動します。
Oracle Access Manager 10gでは、ORA_FUSION_PREFS Cookieドメインには次の形式(2つのドット)が使用されていました。
10g形式: .oracle.com
しかし、Oracle Access Manager 11gでローカライズされたログインでは、ORA_FUSION_PREFS Cookieドメインに対して次の形式(3つのドット)のみが受け入れられます。
11g形式: .us.oracle.com
たとえば、ホスト名がgcsptf.us.oracle.com
である場合、Oracle Access Manager 11gは、ドメイン名.us.oracle.com
を使用してCookieを作成します。
しかし、アプリケーション・セッションは、ドメイン名.oracle.com
を使用してCookieを作成するため、このCookieを使用するアプリケーションとFusion Middlewareの間で相互運用性に関する問題が発生します。
回避方法: 次の例に示すように、11gの要件に応じてFACookieDomain
パラメータを更新し、oam-config.xml内のVersion xsd:integer
を増分します。
DOMAIN_HOME/config/fmwconfig/oam-config.xmlをバックアップします。
編集するためにファイルを開き、変更には細心の注意を払ってください。
FACookieDomain
を自分のドメインに設定します(3つのドット区切りを使用)。
<Setting Name="FAAppsConfig" Type="htf:map"> <Setting Name="FACookieDomain" Type="xsd:string">.us.oracle.com</Setting> <Setting Name="FAAuthnLevel" Type="xsd:integer">2</Setting> <Setting Name="consentPage" Type="xsd:string">/oam/pages/impconsent.jsp </Setting> </Setting>
構成バージョン: 次に示すように、Version xsd:integer
をこの例の最終行の値まで増分します(既存の値(ここでは26) + 1)。
例:
<Setting Name="Version" Type="xsd:integer">
<Setting xmlns="http://www.w3.org/2001/XMLSchema"
Name="NGAMConfiguration" Type="htf:map:>
<Setting Name="ProductRelease" Type="xsd:string">11.1.1.3</Setting>
<Setting Name="Version" Type="xsd:integer">26</Setting>
</Setting>
oam-config.xmlを保存します。
この項では、次のガイドに関するドキュメントの訂正箇所を示します。
19.7.1項『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』
19.7.2項『Oracle Fusion Middleware Oracle Access ManagerおよびOracle Security Token Service開発者ガイド』
19.7.3項『Oracle Fusion Middleware Oracle Access Manager統合ガイド』
このガイドにはドキュメントの訂正箇所はありません。
このガイドにはドキュメントの訂正箇所はありません。
この項には、『Oracle Fusion Middleware Oracle Access Manager統合ガイド』部品番号E15740-04にのみに適用される訂正箇所が含まれます。
このガイドには次のドキュメントの訂正箇所が含まれています。
『Oracle Fusion Middleware Oracle Access Manager統合ガイド』部品番号E15740-04の第5章「Oracle Access ManagerとOracle Identity Managerの統合」5.2項「前提条件」の手順8aでは、Oracle Identity Managerが実行しているドメインでLDAP同期(LDAP sync)の構成を準備するように指示しています。
手順8aでは、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』(B55911-04)の14.8.5項「LDAP同期を有効にするための前提条件の完了」を参照するように指示しています。この項のいくつかの手順(OIMユーザーおよびグループの作成など)はすでに完了しているため、混乱が生じる可能性があります。
このかわりに、手順8aで、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の14.8.5.2項「Oracle Virtual Directoryのアダプタの作成」を参照するように指示して、Oracle Internet Directoryに対するOracle Virtual Directoryアダプタを構成できるようにします。
さらに、5.2項「前提条件」の手順8cでは、Oracle Identity Managerが実行しているドメインでLDAP同期(LDAP sync)を構成する構成ウィザードを実行するように指示しています。この手順は、LDAP同期が有効でない状態でOracle Identity Managerがインストールされた場合には動作しません。
このかわりに、手順8cで、『Oracle Fusion Middleware Oracle Identity Managerシステム管理者ガイド』部品番号E14308-08の10.1項「インストール後のLDAP同期の有効化」で、インストール後のLDAP同期を有効化する正しい手順を参照するように指示する必要があります。
5.4項「Oracle Identity Managerでの統合タスクの実行」に、手順3の-configOIM
コマンドの実行時にプロパティ・ファイルに指定されるすべてのパラメータの定義が提供されていません。
次のパラメータ定義を使用して、プロシージャのプロパティ・ファイルの構成に役立ててください。
表19-1 configOIMコマンドのパラメータ
LOGINURI |
JPSが必要とするURI。デフォルト値は/${app.context}/adfAuthentication |
LOGOUTURI |
JPSが必要とするURI。デフォルト値は/oamsso/logout.html |
AUTOLOGINURI |
JPSが必要とするURI。デフォルト値は/obrar.cgi |
ACCESS_SERVER_HOST |
Oracle Access Managerホスト名。 |
ACCESS_SERVER_PORT |
Oracle Access Manager NAPポート。 |
ACCESS_GATE_ID |
OIMが通信する必要のあるOAMアクセス・ゲートID。 |
OIM_MANAGED_SERVER_NAME |
Oracle Identity Manager管理対象サーバーの名前。クラスタの場合、管理対象サーバーを指定できます。 |
COOKIE_DOMAIN |
OIMアプリケーションが存在するWebドメイン。.cc.mycorp.comの形式でドメインを指定します。 |
COOKIE_EXPIRY_INTERVAL |
Cookieの有効期限。-1に設定します。 |
OAM_TRANSFER_MODE |
アクセス・サーバーが機能するセキュリティ・モデル。選択肢はOPENとSIMPLEです。 |
WEBGATE_TYPE |
作成するWebGateエージェントのタイプ。ドメイン・エージェントを使用する場合は |
SSO_ENABLED_FLAG |
SSOが有効かどうかを判断するフラグ。 |
IDSTORE_PORT |
アイデンティティ・ストアのポート番号(IDSTORE_DIRECTORYTYPEに対応)。 |
IDSTORE_HOST |
アイデンティティ・ストアのホスト名(IDSTORE_DIRECTORYTYPEに対応)。 |
IDSTORE_DIRECTORYTYPE |
認証者が作成される必要のあるディレクトリのタイプ。Oracle Internet Directoryの場合は |
IDSTORE_ADMIN_USER |
管理者権限のあるユーザー。エントリにはユーザーの完全なLDAP DNを含める必要があります。 |
IDSTORE_USERSEARCHBASE |
ユーザーが保存されるディレクトリの場所。 |
IDSTORE_GROUPSEARCHBASE |
グループが保存されるディレクトリの場所 |
MDS_DB_URL |
MDSデータベースのURL。 |
MDS_DB_SCHEMA_USERNAME |
MDSデータベースのスキーマ名。 |
WLSHOST |
WebLogicサーバーのホスト名。 |
WLSPORT |
WebLogicサーバーのポート番号。 |
WLSADMIN |
WebLogicサーバーの管理者。 |
DOMAIN_NAME |
Oracle Identity Managerドメイン名。 |
DOMAIN_LOCATION |
Oracle Identity Managerドメインの場所。 |