Oracle® Fusion Middlewareリリース・ノート 11gリリース1 (11.1.1) for Microsoft Windows (32-Bit) B55923-08 |
|
前 |
次 |
この章では、Oracle Adaptive Access Managerに関連する問題について説明します。次のトピックが含まれています。
この項では、一般的なユーザー・インタフェースの問題について説明します。次のトピックが含まれています。
OAAMセッションは、一部のヘッダー・ベースのIPアドレスでは記録されませんでした。
ヘッダー・ベースのIPアドレスはデフォルトでは受け入れられません。ヘッダーからのIPアドレスの読込みを有効にするには、vcrypt.tracker.ip.detectProxiedIP
をtrue
に設定します。ヘッダーのIPアドレスが有効になっている場合、有効なIPアドレスのみが使用されます。ヘッダーに不正なIPアドレスが含まれている場合、実際のリクエストIPアドレスが使用されます。
複数のトランザクションが同じセッションでトリガーされると、「セッション詳細」ページの「チェックポイント」ボックスに同じタイムスタンプが表示されます。この不具合はOAAMオンラインでは修正されています。
OAAMエージェント・ケースが「構成可能なアクション」から自動生成されるとき、「ユーザー詳細」ペインには、そのケースが作成されたセッションのユーザーの詳細が移入されます。自動生成されたエージェント・ケースにはユーザー固有データは含まれません。エスカレートされたエージェント・ケースのみが単一のエンド・ユーザー固有のケースであるため、このケースのみがユーザーの詳細を表示します。
この項では、ポリシー管理の問題および回避策について説明します。次のトピックが含まれています。
エンティティの2つのインスタンスがOAAMトランザクションに関連付けられていて、フィルタ条件が一方のエンティティ・インスタンスの属性を他方のエンティティ・インスタンスの対応する属性と比較するように設定されている場合、OAAM管理コンソールは、異なる属性間の比較のかわりに同じ属性間の比較のみを構成できます。
例:
Address
エンティティの2つのインスタンスは、トランザクションと関連付けられていて、一方のインスタンス名はBillingAddr
で他方のインスタンス名はShippingAddr
です。ルールを保存した後にユーザーが「フィルタ条件を使用して現在のトランザクションを確認します」
を構成してBilling.line1
とShippingAddr.line1
を比較すると、OAAM管理コンソールは、ユーザーが比較する属性のドロップダウンにインスタンス--- line1 of BillingAddr
および比較対象の属性のドロップダウンを常に表示します。
ルール条件「トランザクション: 特定期間中の連続トランザクションがフィルタ条件を満たすかどうかの確認」
はトリガーしません。この条件はFalse
を返し、エンティティ・チェックはデバッグ・ログに例外を表示して失敗します。
IPリストの除外
パラメータが次の条件に追加されました。
デバイス: 最後のログインからの速度
ユーザー: 最後のログインからの速度
このパラメータを使用すると、無視するIPアドレスのリストを指定できます。ユーザーのIPアドレスがこのリストに属している場合、この条件は常にfalse
に評価され、アクションまたはアラートはトリガーされません。ユーザーのIPアドレスがこのリストに含まれないか、リストがnullまたは空である場合、条件は、最後のログインからのユーザーまたはデバイスの速度を評価します。最後のログインからのユーザーまたはデバイスの速度がルールの構成値を超えている場合は、条件はtrue
と評価され、条件がトリガーされます。
複数のトランザクションが同じセッションで実行されている場合、最後のトランザクションでトリガーされたルールのみがOAAMオフラインに表示されます。以前のトランザクションのルールは上書きされます。この不具合を修正するには、パッチを適用し、データベース・スキーマを更新する必要があります。
「ユーザー: 初回ログイン時間の確認」
条件は、ユーザー・ログインに関係なく同じ値を返します。
この項では、OAAMトランザクションに関する問題について説明します。次のトピックが含まれています。
同じセッションで複数のトランザクションがトリガーされて複数のアラートおよびポリシーが実行されると、OAAMは、トリガーされた最新のアラートおよびポリシーのみを表示し、以前のトランザクションのアラートおよびポリシーを上書きします。
1つのトランザクションに25を超えるデータ要素を構成すると、「セッション詳細」には最初の25項目のトランザクション詳細のみが表示されます。ページにはスクロール用のスクロール・バーはありません。
25個目を超えるトランザクションのアラートは表示できません。アラートを含むチェックポイント・ボックスが25個を超えている場合、これらは、データがデータベースに表示されていても「セッション詳細」には表示できません。
トランザクション・フィールドで16桁を超える数値を定義すると、トランザクションの作成は失敗します。その際のサーバーのエラーは「ORA-01438: この列では指定した精度より大きい値が許可されます」です。
「セッション詳細」の「セッション・トランザクション」セクションにリストされているトランザクションは、セッションで25個目より後のトランザクションでは複製されます。
アラートとのトランザクションID関連付けは、transactionId
をprocessRules
APIに渡した後でも動作しません。この不具合は、サーバー側で修正されました。
トランザクション・ステータスはOAAM管理の「トランザクション詳細」ページに表示されて、トランザクションを試行したが完了しなかったかどうかを不正チームがわかるようにする必要があります。これは、顧客と不正ユーザー両方の動作の情報を提供し、またルールの機能も提供します。不正チームは、トランザクション・ステータスがわからない場合、作業を効果的に実行できないと誤解します。この回避策は、「名前」、「トランザクションID」、「説明」および「タイムスタンプ」とともに「セッション・トランザクション」パネルに各トランザクションのステータス値を表示することです。表示される値は、プロパティtracker.transaction.status.enum
からマップされます(たとえば、1
=Success, 99
=Pending)。
タイプSubString
のトランザクション・マッピングを実行すると、oaam.transaction.mapping.startindex.min
プロパティが1
に設定されるため、値の最初の文字がマッピング結果から欠落します。このプロパティを1
に設定すると、サブ文字列操作が文字列の2番目の文字から始まります。このプロパティを0に割り当ててサブ文字列操作が文字列の最初の文字から開始されるようにして修正されました。
トランザクションの「トランザクション定義」にマップするエンティティを使用すると、エンティティ・データに変更がなくてもエンティティの更新時刻がOAAMサーバーによって更新されます(他のフィールドは更新されません)。これが発生するとデータベースのパフォーマンスが影響を受けます。
この項では、ナレッジベース認証の問題について説明します。次のトピックが含まれています。
以前の即時利用可能なスナップショットに「KBA登録ロジック」ページのプロパティが含まれていなかったため、「KBA登録ロジック」ページはKBAロジック(メニューごとの質問、メニューごとのカテゴリ、ユーザーが登録する質問数)を表示しません。この問題は、このパッチで修正されます。この修正を有効にするには、新しい即時利用可能なスナップショット・ファイル(oaam_base_snapshot.zip
)をインポートする必要があります。このファイルをインポートすると、サーバー内の既存のコンテンツが上書きされます。
スナップショット・ファイルをインポートせずに登録ロジック関連の問題を修正するために、次のプロパティ(次に示すデフォルト値を指定)を作成できます。
challenge.question.registration.groups.categories.count=5 challenge.question.registration.groups.count=3 challenge.question.registration.groups.minimum.questions.per.category.count=1 challenge.question.registration.groups.questions.count=5
このパッチは、ユーザーがOTPチャレンジに失敗した場合にチャレンジがKBAをフォールバックとして使用するようにポリシーの上書きも修正します。コンテンツを上書きせずに単に新しいポリシーをインポートするには、oaam_policies.zip
をポリシー・インポートとしてインポートできます。ポリシーをインポートしても登録ロジック関連の不具合は修正されません。
回答ロジックにより、ユーザーが指定した回答が登録時に指定された回答と厳密に一致するかどうかがチェックされます。「回答ロジック」は略語を使用します。
OAAM 11.1.1.5では更新した「回答ロジック」の略語リソース・バンドルを使用できます。新しいリソース・バンドルでは、次の略語が一致とみなされます。
登録済の回答 | 指定された回答 |
---|---|
Missus |
Mrs |
Mister |
Mr |
Sergeant |
Sgt |
Mrs |
Missus |
Mr |
Mister |
Sgt |
Sergeant |
以前のリリースの次のKBA質問は、米国連邦金融機関検査協議会(FFIEC)に準拠するために、kba_questions.zip
(英語)ファイルおよびoaam_base_snapshot.zip
ファイルから削除されました。
子カテゴリ
次の10の質問を削除または非アクティブ化します。
一番年上のお子さんの誕生は何年でしたか。
一番年上のお子さんの小学校入学は何年でしたか。
一番年下のお子さんの小学校入学は何年でしたか。
一番年上のお子さんのミドル・ネームは何ですか。
一番年下のお子さんは何という名ですか。
一番年下のお子さんの誕生は何年でしたか。
一番年上のお子さんは何という名ですか。
一番年下のお子さんの誕生日はいつですか。
一番年下のお子さんのミドル・ネームは何ですか。
一番年上のお子さんの誕生日はいつですか。
教育カテゴリ
次の18の質問を削除または非アクティブ化します。
高校卒業は何年でしたか。
中学校卒業は何年でしたか。
高校があったのは何市でしたか。
大学のスクール・カラーは何色でしたか。
小学校卒業は何年でしたか。
大学のマスコットは何でしたか。
高校のスクール・カラーは何色でしたか。
高校のマスコットは何でしたか。
出願したが入学しなかった大学の名前は何ですか。
最初の小学校があったのは何市でしたか。
高校入学は何年でしたか。
中学校入学は何年でしたか。
小学校入学は何年でしたか。
大学卒業は何年でしたか。
大学入学は何年でしたか。
大学での専攻は何でしたか。
最初に通った学校は何でしたか。
大学があったのは何市でしたか。
その他のカテゴリ
次の2つの質問を削除または非アクティブ化します。
子供時代に一番親しかった友人は何という名ですか。
身長はどれくらいですか。
父母、祖父母、兄弟姉妹カテゴリ
次の17の質問を削除または非アクティブ化します。
父親が生まれたのは何年でしたか。
父親の誕生日はいつですか。
一番年上の兄弟姉妹の愛称は何ですか。
父親が生まれたのは何市ですか。
母親が生まれたのは何市ですか。
両親の現住所の番地は何番ですか。
両親の現住所は何町ですか。
一番年下の兄弟姉妹の愛称は何ですか。
両親の現住所の郵便番号は何番ですか。
母親が生まれたのは何年でしたか。
両親の電話番号の下4桁は何番ですか。
母方の祖母は何という名ですか。
父方の祖母は何という名ですか。
一番年下の兄弟姉妹は何という名ですか。
父方の祖父は何という名ですか。
母親の誕生日はいつですか。
一番年上の兄弟姉妹は何という名ですか。
重要なその他のカテゴリ
次の18の質問を削除または非アクティブ化します。
新婚旅行はどこに行きましたか。
あなたが結婚したのは何年ですか。
あなたの大切な人が生まれたのは何年ですか。
あなたの大切な人の誕生日はいつですか。
結婚記念日はいつですか。
初めて奥様/ご主人と知り合ったのは何市ですか。
あなたの大切な人が生まれたのは何市でしたか。
あなたの大切な人の母親は何という名ですか。
あなたの大切な人の父親は何という名ですか。
あなたの大切な人の一番年上の兄弟姉妹は何という姓ですか。
あなたの大切な人の一番年下の兄弟姉妹は何という名ですか。
あなたの大切な人はどの高校に通っていましたか。
あなたの花婿/花嫁付添人は何という姓でしたか。
あなたの花婿/花嫁付添人は何という名でしたか。
結婚披露宴会場の名称。
奥様/ご主人を何と呼んでいますか。
あなたの大切な人が生まれたのは何県でしたか。
あなたの大切な人の一番年下の兄弟姉妹は何という姓ですか。
スポーツ・カテゴリ
次の4つの質問を削除または非アクティブ化します。
好きなスポーツ・チームのマスコットは何ですか。
好きなスポーツ・チームのチーム・カラーは何色ですか。
好きなスポーツ・チームの最大のライバルはどのチームですか。
これまでで一番お気に入りのスポーツ・チームはどこですか。
出生カテゴリ
次の9つの質問を削除または非アクティブ化します。
育った場所の郵便番号は何番ですか。
あなたが生まれたとき米国大統領は誰でしたか。
あなたが生まれたとき父親は何歳でしたか。
あなたが生まれたとき母親は何歳でしたか。
あなたが生まれた病院の名前は何ですか。
生まれた場所の郵便番号は何番ですか。
誕生日に一番近い祝日は何ですか。
生まれたのは何県でしたか。
生まれたのは何市でしたか。
ユーザーが初めておよびプロセス中にセキュリティ・イメージおよびフレーズを登録しようとする場合、登録に関するブラウザ・ウィンドウおよびユーザー・プリファレンス・ページを閉じる場合、またはログイン・ページに戻る場合、表示された最後のイメージおよびフレーズがデフォルトとして受け入れられます。これは、「続行」ボタンをクリックしてこれらを明示的に選択しなかった場合も同様です。
登録ページおよびプリファレンス・ページでユーザーが「続行」をクリックした後にのみ、イメージおよびフレーズの登録でイメージおよびフレーズが登録されるように修正が行われました。
OAAMとOIMの統合の「OAAMパスワード変更」ページは、「パスワード」フィールドの検証を表示しません。この問題は次のとおりです。
ユーザーがパスワードを入力せずに「送信」をクリックすると、フィールドが空であるという検証が表示されません。
ユーザーが新規パスワードを入力してから確認パスワードを入力すると、これらが同じか異なっているかにかかわらず、パスワードが受け入れられます。
ユーザーがパスワードを変更する場合、古いパスワードが正しいことを確認する検証が行われません。
新しいチャレンジ質問を追加すると、ORA-01722
エラーが発生することがあります。
ユーザーの質問セットに削除した質問が含まれている場合、ユーザーの登録した質問に削除した質問が含まれている場合、またはKBA登録ロジックがユーザーの登録した質問および質問セット(質問数、カテゴリなど)とアライメントが取られていない場合(あるいはこれらの複数が当てはまる場合)、ユーザーが質問セットを更新しようとしたがキャンセルまたはブラウザ・ウィンドウを閉じる、あるいは保存せずにセッションがタイムアウトになると、そのユーザーの既存の質問はデータベースから削除されます。後続のチャレンジは、既存の質問が削除されたため、成功しません。
この問題は、ユーザーの登録した質問が質問のリセットのプロセスで削除された場合に次のログイン時に新しい質問を再登録することをユーザーに求めるように修正されました。
この項では、OAAMの統合に関する問題について説明します。次のトピックが含まれています。
setupOAMTapIntegration.shは、Oracle Access ManagerとOracle Adaptive Access Managerの統合のためのOracle Adaptive Access Managerの構成中にセカンダリOAMホスト情報(oaam.uio.oam.secondary.host.port値)を設定しません。回避策として、プロパティ・エディタを使用してプロパティ値を設定します。
OAAM認証フローは、Juniper SSLとの統合時に起動されません。OAAMを起動すると、この統合は、認証フロー中の不正行為を検出し、リスクを識別できます。このことによって、チャレンジ、ブロックなどのアクションのようなOAAM機能を使用してユーザーを強力に認証します。Juniper SSLとOAAMの統合フローは、次のようになります。
ユーザーは、Juniper SSLにより保護されているWebアプリケーションまたはURLにアクセスしようと試み、Juniper SSLはユーザーが認証されているかどうかを検出します。
認証されている場合、ユーザーはWebアプリケーションにアクセスできます。
認証されていない場合、ユーザーはOAAMサーバーにリダイレクトされます。OAAMサーバーは「ユーザーID」ページを表示し、ユーザーIDの入力をユーザーに求めます。ユーザーIDが入力されると、OAAMは認証前チェックポイント・ポリシーを評価して、ユーザーをブロックする必要があるかどうかを確認します。
次に、OAAMはユーザーが認証パッドを登録しているかどうかを確認します。そうであれば、登録された認証パッドが表示され、確認されない場合は、汎用テキスト・パッドが表示されます。
OAAMサーバーは認証パッドのある「パスワード」ページを表示し、パスワードの入力をユーザーに求めます。パスワードが入力されると、そのパスワードはユーザー・ストアと照合されます(ユーザー・ストアにはLDAP、Active Directoryまたは任意のアクティブ・ユーザー・ストアが使用できます)。デバイス識別プロセスを実行してデバイスの識別も行われます。
資格証明が正しくない場合は、エラー・ページが表示されて、資格証明を再入力するようユーザーに要求します。
資格証明が正しい場合は、認証後チェックポイント・ポリシーが評価されます。ポリシーの結果に基づいて、OAAMはユーザーをチャレンジまたはブロックします。
認証後の結果がALLOWの場合は、ユーザーを登録する必要があるかどうかが判別されます。登録のタイプに基づいて、登録ページが順次に表示されます。
認証後の結果がCHALLENGEであり、ユーザーが1つ以上のチャレンジ・メカニズムにすでに登録されている場合、OAAMはユーザーにチャレンジします。チャレンジに回答できる場合、ユーザーは次の手順に送られます。次の手順として、OAAMは、ユーザー・ストアからユーザー属性をフェッチし、SAMLレスポンスを作成し、それに署名して、Juniper SSLのリダイレクションURLにポストします。Juniper SSLは、制御可能になり、SAMLペイロードを検証し、ユーザーのWebアプリケーションへのアクセスを可能にします。
認証後の結果がBLOCKの場合は、ユーザーはブロックされ、Webアプリケーションにアクセスできません。
OAAMではステップアップ認証機能を使用できます。ステップアップ認証では、OAMに下位レベルで認証されたユーザーは、比較的高い認証レベルで構成されたOAAMTAPScheme
で保護されたリソースにアクセスできます。高レベルで構成された保護されたリソースにユーザーがアクセスしようとすると、OAAMは、ポリシーを実行し、この保護されたリソースにアクセスするために必要な認証レベルを取得するためにユーザーをさらに認証する方法を判別します。ユーザーは、すでに認証されているため、通常のログイン・フローを行うことを求められません。
TAP統合のステップアップ認証モードを有効または無効にするプロパティ: デフォルトでは、ステップアップ認証モードは有効になっています。ただし、この機能を無効にする場合、プロパティoaam.uio.oam.integration.stepup.enabled
をfalse
に設定します。
エンド・ユーザーの動作の変更: Access ManagerとOAAM TAPの統合を使用するエンド・ユーザーの場合、動作の変更は次のとおりです。
ユーザーがAccess Managerによってすでに認証されていて、OAAMでTAPパートナとしてTAPScheme
によって保護されているリソースにアクセスしようとすると、ユーザーはOAAMログイン・フローを要求されることはありません(ユーザーはすでに認証されているため)。ただし、OAAMは不正行為検出ポリシーを実行し、ポリシーによって評価されたリスクに応じてユーザーにチャレンジ質問をしたり、ユーザーをブロックしたりします。
Access ManagerとOAAM TAPの統合で、不正なユーザー名またはパスワードが入力されると、OAAMは次のエラーを表示します。
There was some technical error processing your request. Please try again
この問題はパッチによって修正されます: エラーメッセージは、技術的エラーではなく不正なユーザー名またはパスワードのエラーを示すようになります。
Webサービスをコールするクライアントは、タイムアウトの例外の対象になりません。この結果、クライアントは、例外がSOAPタイムアウトかその他のエラーかを判別できないため、正しい方法でSOAPタイムアウトを処理できません。タイムアウト固有のエラー・コードがクライアントに渡されるように修正が実装されました。したがって、クライアントは、例外に含まれている情報に応じてエラーを処理できます。
メソッドhandleException()
は、ビジネスの要求に基づいて含めるエラー・コードを増やせるように、上書きできるクラスVCryptSOAPGenericImpl
を導入しました。現在、これはsoaptimeout
エラーとして設定されています。
protected String handleException(String requestName, Exception ex, String resultXml) {
Oracle Identity ManagerとAccess Managerの統合でOAAMによって実行されるパスワードを忘れた場合のフローにおいて、ユーザーは、パスワードを変更するときにロック解除されません。これは、OAAMが、ユーザーを自動的にロック解除しないOracle Identity ManagerのchangePassword()
APIのみを実行するためです。
パスワードを忘れた場合のフローでOracle Identity Manager側のユーザーのロックを自動的に解除できるようにするには、次の手順が必要です。
OAAM管理コンソールにログインします。
ナビゲーション・ペインで、「環境」をクリックしてから、「プロパティ」をダブルクリックします。「プロパティ」検索ページが表示されます。
oaam.oim.passwordflow.unlockuser
をtrue
に設定します。
デフォルトでは、このプロパティ値はfalse
に設定されています。このプロパティをtrue
に設定することによって、OAAMは、パスワード変更タスク・フローでOracle Identity Managerのunlock
APIをコールします。
この項では、OAAM BI Publisherレポートおよびセッションの問題および回避策について説明します。次のトピックが含まれています。
「セッションの詳細」ページのアラート・メッセージ・リンクから「アラート詳細」ページにアクセスしようとしてもページが開きません。
この問題を回避するには、「セッション検索」ページのアラート・メッセージ・リンクを使用します。
BI Publisher Rules Breakdown
レポートは、チェックポイントおよびポリシーによってトリガーされたルールのまとめを提供しません。与えられる値は、完全ではないまたは正確ではありません。
レポートを正しくするには、次のスクリプトを実行します。
create or replace view OAAM_FIRED_RULES_VIEW as (
select actionMap.create_time, ruleMaps.rule_map_id, actionMap.request_id,
actionMap.runtime_type,
sessions.user_id, sessions.node_id, actionMap.action_list
from (select substr(attr_name, 7) ruleInstanceId, case when
length(trim(translate(attr_value, '+-.0123456789', ' '))) is null then
CAST(attr_value AS NUMBER(16)) else null end rule_map_id, fprint_id from
v_fp_map where attr_name like 'RLD_ID%') ruleMaps
inner join vt_session_action_map actionMap on actionMap.rule_trace_fp_id =
ruleMaps.fprint_id
inner join vcrypt_tracker_usernode_logs sessions on sessions.request_id =
actionMap.request_id
inner join (select substr(attr_name, 11) ruleInstanceId, case when
length(trim(translate(attr_value, '+-.0123456789', ' '))) is null then
CAST(attr_value AS NUMBER(16)) else null end attr_value, fprint_id from
v_fp_map where attr_name like 'RLD_STATUS%') ruleStatus
on ruleStatus.ruleInstanceId = ruleMaps.ruleInstanceId and
ruleStatus.fprint_id = ruleMaps.fprint_id
where ruleStatus.attr_value=1
union select ruleLogs.create_time, ruleLogs.rule_map_id,
policySetLogs.request_id, policySetLogs.runtime_type,
userNodeLogs.user_id, userNodeLogs.node_id, ruleLogs.action_list
from VR_RULE_LOGS ruleLogs
inner join VR_MODEL_LOGS modelLogs on ruleLogs.MODEL_LOG_ID =
modelLogs.MODEL_LOG_ID
inner join VR_POLICY_LOGS policyLogs on modelLogs.POLICY_LOG_ID =
policyLogs.POLICY_LOG_ID
inner join VR_POLICYSET_LOGS policySetLogs on policyLogs.POLICYSET_LOG_ID =
policySetLogs.POLICYSET_LOG_ID
inner join VCRYPT_TRACKER_USERNODE_LOGS userNodeLogs on
policySetLogs.REQUEST_ID = userNodeLogs.REQUEST_ID
where ruleLogs.status=1);
commit;
この項では、次の構成に関する問題とその回避策について説明します。
OAAMは、Unbreakable Enterprise Kernel (UEK)に含まれているOracle Linux 6 (OEL6)、Red Hat Compatible Kernelに含まれているOracle Linux 6 (OEL6)およびRed Hat Enterprise Linux 6 (RHEL6)で認証されます。OAAM 11gはOracle Linux 6で認証されますが、Oracle Identity Management (Oracle IdM)のインストール中の前提条件確認中にアラート・メッセージが表示されます。このエラーはインストールに影響せず、無視できます。ユーザーは「OK」をクリックしてインストールを続行できます。
不具合15833450: OAAM 11.1.1.5は、Unbreakable Enterprise Kernel (UEK)に含まれているOracle Linux 6 (OEL6)、Red Hat Compatible Kernelに含まれているOracle Linux 6 (OEL6)およびRed Hat Enterprise Linux 6 (RHEL6)で認証されます。
ケース・データと監視データのパージ・スクリプトがoaam_db_purging_scripts.zip
ファイルから欠落しています。
ケース・データをパージするには、次のスクリプトを含める必要があります。
create_case_purge_proc.sql
Oracleデータベースのアーカイブ・ルーチンおよびパージ・ルーチンを設定するためには、create_case_purge_proc.sql
スクリプトが必要です。
exec_sp_purge_case_data.sql
ケース・データのアーカイブおよびパージを実行するには、exec_sp_purge_case_data.sql
が必要です。
監視データをパージするには、次のスクリプトを含める必要があります。
drop_monitor_partition.sql
Oracle表パーティション化オプションを使用し、レポート・データベースを持っていないカスタマは、drop_monitor_partition.sql
スクリプトを実行してから監視データのパージ・ルーチンを設定する必要があります。
exec_v_monitor_purge_proc.sq
l
exec_v_monitor_purge_proc.sql
スクリプトは、ストアド・プロシージャをコールし、デバイスのフィンガープリント表からデータをアーカイブおよびパージします。
create_v_monitor_purge_proc.sql
create_v_monitor_purge_proc.sql
スクリプトは、V_MONITOR_DATA_PURGE
表およびストアド・プロシージャSP_V_MON_DATA_PURGE_PROC
を作成し、トランザクション表からデータをアーカイブおよびパージします。
認証に成功した後、OAAMは、ユーザー・ストアからユーザー属性を取得し、SAMLアサーションのユーザー属性をJuniperに送信します。Juniperは、SAMLアサーションから読み込む属性を探し、そのリポジトリのユーザーと照合するように設定されます。次に、リクエストしたターゲットのページまたはWebアプリケーションにユーザーをログインします。
この不具合では、Juniperがユーザーを識別できなかったため、ユーザーはOAAMを介してJuniperにログインできませんでした。OAAMは、正しいcn
(共通名)値をフェッチせず、SAMLレスポンスのuid
(ユーザーID)属性を設定しませんでした。
この項では、カスタマ・ケアおよび調査に関する問題について説明します。次のトピックが含まれています。
ユーザーにInvestigatorアクセス・ロールとCSRアクセス・ロールの両方が付与されると、前者が後者のアクセス権限に対して優先され、ユーザーにはInvestigatorアクセス権のみが付与され、CSRアクセス権は付与されません。予期される動作は、ユーザーがInvestigatorアクセス権とCSRアクセス権の両方を持ち、InvestigatorタスクとCSRタスクの両方を実行できることです。
解像度が低いモニターを使用しているユーザーは、「ケース詳細」ページに詳細を完全に表示できません。詳細とは、ユーザーのロールに基づいて使用できるものを指します。解像度が低いモニターを使用しているユーザーがすべての詳細を表示できるようにするには、「ケース詳細」ページにスクロール・バーが必要です。
OAAMエージェント・ケースが「確認済不正」
の処置で閉じられた後、エージェントは、処置によって検索することによってケースを探すことができますが、「確認済不正」
は、ケース検索ページに表示されません。これは、「処置」を表示する列として追加した後でも同様です。同じケースの「ケース詳細」が開いている場合、「処置」のフィールドは空です。
OAAMでは、2人のエージェントが同時にケースにアクセスできますが、2人のエージェントがノートをケースに追加すると、OAAMは両方のエージェントのノートを保存しますが、2番目のエージェントのノートは1番目のユーザーによって追加されたものとして表示されます。ケースへの同時書込みアクセスはサポートされています。2人のエージェントが同時にケースにアクセスしている場合、2番目のエージェントは、他のエージェントがケースで作業していることを警告メッセージによって通知されます。2番目のエージェントは、続行する場合にはケースの所有者になります。ノートは、正しいエージェントに帰属します。
OAAMエージェント・ケースが「構成可能なアクション」から自動生成されるとき、「ユーザー詳細」パネルには、そのケースが作成されたセッションのユーザーの詳細が移入されます。ケースを手動で作成し、セッションにリンクすると、ユーザーの詳細は移入されません。その後のUsername
またはUser ID
によるケースの検索では、自動的に作成されたケースのみを探します。
oaam.customercare.agent.case.allow.userinfo
プロパティがtrue
に設定されている場合、エージェント・ケース作成ページが有効なUsername
およびUser ID
(またはこれらのいずれか)のエントリをオプションで受け入れることができるように拡張が行われました。Username
およびUser ID
(またはこれらのいずれか)が入力されると、エージェント・ケースにマップされます。マップされたUsername
およびUser ID
(あるいはこれらのいずれか)を持つエージェント・ケースは、Username
およびUser ID
(あるいはこれらのいずれか)によって検索可能です。これらのケースは、ケース検索ページのUsername列およびUser ID列(あるいはこれらのいずれか)にマップされたユーザーIDを表示します。CSRケースからエスカレートされたエージェント・ケースのみがケース詳細サマリー・タブの下の「ユーザー詳細」セクションを表示します。
エージェント・ケースが閉じられた後でも、別のユーザーがアクセスするとケース所有権を変更できます。このケース所有者は、ケースにアクセスしたユーザーに変更されます。また、OAAMは、ケースが閉じられた後でもノートの追加および編集を許可します。エージェント・ケースが閉じられた後には、変更は許可されません。
構成可能アクションは、「エージェント・ケースの作成」
アクションをトリガーすると、アクション・グループに追加されるときにアクションの名前と説明の両方のAdd to IP Watch list
として表示されます。
チャレンジ失敗カウンタは、詳細ページと同様にCSRケース詳細に表示されません。失敗カウンタは、KBAおよびOTPならびに新規またはカスタムのチャレンジ・プロセッサに表示される必要があります。また、Reset
アクションはすべてのカウンタをリセットするわけではありません。Unlock
アクションは、すべてのカウンタ(KBAおよびOTP)をリセットする必要があります。Unlock
アクションを実行すると、カウンタで次のアクションが発生する必要があります。
KBAをロック解除すると、KBAおよびOTPの失敗カウンタが0にリセットされます。
OTPをロック解除すると、KBAおよびOTPの失敗カウンタが0にリセットされます。
Reset
アクションを実行すると、失敗カウンタで次のアクションが発生する必要があります。
KBAをリセットすると、KBAおよびOTPの失敗カウンタが0にリセットされます。ユーザーは、チャレンジ質問を再登録する必要があります。
CSR KBAをリセットすると、KBAおよびOTPの失敗カウンタが0にリセットされます。ユーザーは、チャレンジ質問を再登録する必要があります。
OTPをリセットすると、KBAおよびOTPの失敗カウンタが0にリセットされます。ユーザーは、OTPを再登録する必要があります。
次の拡張が行われました。
OAAM管理コンソール・ケースの詳細のページは、KBA、OTPおよびその他のカスタム・チャレンジ・メカニズムに関する失敗カウンタ、登録およびその他の情報を表示します。
異なるチャネルのOTP失敗カウンタは失敗を統合します。たとえば、複数のチャネルを使用している場合、まとめられたOTPカウンタがしきい値を上回ると、OTPステータスがLocked
と表示されます。ユーザーがSMSを2回、電子メールを1回失敗し、しきい値が3の場合、ユーザーは、統合されたOTPカウンタを使用してロックされます。
Reset
アクションによりすべてのチャレンジ失敗カウンタがリセットされます。
Unlock
アクションは、KBAおよびOTPをロック解除する別々のアクションのかわりにUnlock User
アクションに統合されます。Unlock User
アクションによりすべての失敗カウンタがリセットされます。
ユーザー名は、ケースIDのかわりにまたはケースIDとともに「ケース詳細」タブに表示されます。
失敗カウンタのしきい値は、ルール条件(「ユーザー: チャレンジ・チャネル失敗」
)で設定できます。
この項では、パフォーマンスに関する問題について説明します。内容は次のとおりです。
セッション検索ページで上下にスクロールすると、空またはnullの入力リストが渡される場合があり、その結果データベースから数百万行が取得され、エラーjava.lang.OutOfMemoryError:GC overhead limit exceeded
が発生する場合があります。
この項では、デバイスのフィンガープリント処理に関する問題について説明します。内容は次のとおりです。
.Net APIを使用して、ログイン・フローの一部としてカスタム・ロケールを使用するブラウザのフィンガープリントを生成すると、エラー(カルチャーID 4096 (0x1000)はサポートされているカルチャーではありません。\r\nパラメータ名: culture。
)が発生します。この問題は、アプリケーションがカスタム・カルチャーを使用する場合に発生ます。これは、ロケールがMicrosoft .NETフレームワークに登録されていて、OAAM .NET APIクラスがCultureInfo
をHttpSession
に格納されたLCIDから構築しようとすると、Microsoft .NETフレームワークによる例外が発生するためです。回避策として、oaam/src/dotNET/Bharosa/vCrypt/Common/Util/HttpUtil.cs
の行162
をCultureInfo ci = new CultureInfo(context.Session.LCID);
からCultureInfo ci = new CultureInfo(context.Current.Request.UserLanguages[0]);
に変更します。
こうすることによって、LCIDによってではなくロケール名によって.NETがロケールを検索します。
この項では、地理的位置ローダーに関する問題について説明します。次のトピックが含まれています。
同じ位置データ・ファイルを再ロードするまたは更新した位置データ・ファイルをロードすると、データは正しくロードされますが、ログ・ファイルに一意性制約違反に関する多数の警告が表示され、パフォーマンスが低下します。
データ・ファイルに空白行があると、OAAMデータ・ローダーはIP位置データをロードできず、その行番号をレポートしません。期待される結果は、OAAMデータ・ローダーが空白行をスキップし、行番号を含む警告メッセージを表示することです。
IP位置データ・ファイルを開き、空白行を削除してファイルを保存することによって、この問題を回避できます。この問題は、将来のリリースで修正される予定です。