| Oracle® Fusion Middlewareリリース・ノート 11g リリース2 (11.1.2.1) B72796-03 |
|
 前 |
 次 |
この章では、Oracle Access Managementに関連する問題について説明します。次のトピックが含まれます:
|
注意: 最新の変更や情報は、My Oracle SupportのドキュメントID 1537796.1を参照してください。 |
この項では、特定のサービスに関してまとめた一般的な問題および回避策について説明します。説明を簡潔にするために、一般的な問題のあるサービスについてのみ説明します。サービス関連のトピック(セキュリティ・トークン・サービスなど)がなければ、この時点で一般的な問題はありません。
次のトピックが含まれます:
このトピックでは、Oracle Access Management Access Manager (Access Manager)の一般的な問題および回避策について説明します。次のトピックが含まれます:
5.1.1.1項「AIX 6.1および7.1環境のWebGateエージェントではLDR_PRELOAD64フラグが必要」
5.1.1.6項「StaticメソッドUserSession.getSessionAttributes()を取得できない」
5.1.1.8項「WebSphere Trust Association Interceptorでサポートされないアイテム」
5.1.1.14項「OSSO Agent for 11g OHSによって保護されている場合、"/"コンテキスト・ルートにアクセスできない」
5.1.1.15項「Oracle Entitlements Serverによって保護されているときにAccess Managerを起動すると例外がスローされる」
5.1.1.17項「認証の失敗: WNAチャレンジ、Active Directory、非ASCII文字が含まれるユーザー」
AIX 5.3、6.1および7.1環境でApache 2.2サーバーを使用するWebGateエージェントのサポートが追加されました。Apacheサーバーは、次のコマンドを使用してLDR_PRELOAD64フラグを設定しないかぎり起動も動作もしません(AIX 6.1および7.1での使用時)。
export LDR_PRELOAD64=libclntsh.so
11gR2 PS1 ASDKは、次のように間違ったバージョン情報を返します。
getSDKVersion() APIは、値11.1.2.1.0のかわりに11.1.2.0.0を返します。
ofm_oam_sdk_generic_11.1.2.1.0_disk1_1of1.zipディスクの名前がofm_oam_sdk_generic_11.1.2.0.0_disk1_1of1.zipになる場合があります。
次の無害な例外は、管理サーバーと管理対象サーバーで発生する可能性があります。これは無視できます。
java.lang.NoClassDefFoundError:
oracle/security/am/engines/rreg/common/RegistrationRequest
at java.lang.Class.getDeclaredMethods0(Native Method)
at java.lang.Class.privateGetDeclaredMethods(Class.java:2427)
at java.lang.Class.privateGetPublicMethods(Class.java:2547)
at java.lang.Class.getMethods(Class.java:1410)
at oracle.security.am.admin.config.mgmt.beanimpl.AMBootstrap.
isBootstrapCandidate (AMBootstrap.java:191)
at oracle.security.am.admin.config.mgmt.beanimpl.AMBootstrap.
invokeBootstrapMethods(AMBootstrap.java:146)
at oracle.security.am.admin.config.mgmt.beanimpl.AMBootstrap.
doServerBootstrap(AMBootstrap.java:106)
at oracle.security.am.admin.config.mgmt.beanimpl.AMBootstrap
load(AMBootstrap.java:247)
次の無害な例外は、AdminServer-diagnostic.logファイルに出力されます。これは、管理コンソールの機能に影響することはないため、無視できます。
oracle.mds.exception.ReadOnlyStoreException: MDS-01273:
The operation on the resource /oracle/oam/ui/adfm/DataBindings.cpx failed
because source metadata store mapped to the namespace / DEFAULT is read only.
at
oracle.mds.core.MDSSession.checkAndSetWriteStoreInUse(MDSSession.java:2495)
at
oracle.mds.core.MDSSession.checkAndSetWriteStoreInUse(MDSSession.java:2548)
at oracle.mds.core.MDSSession.getMutableMO(MDSSession.java:3493)
at oracle.mds.core.MDSSession.getMutableMO(MDSSession.java:1660)
at oracle.mds.core.MDSSession.getMutableMO(MDSSession.java:1546)
at oracle.adfdt.model.mds.MDSApplicationService.findApplication
(MDSApplicationService.java:57)
at oracle.adfdt.model.mds.MDSModelDesignTimeContext.initServices
(MDSModelDesignTimeContext.java:232)
at oracle.adfdt.model.mds.MDSModelDesignTimeContext.<init>
(MDSModelDesignTimeContext.java:82)
at oracle.adfdt.mds.MDSDesignTimeContext.<init>
(MDSDesignTimeContext.java:66)
at oracle.adf.view.rich.dt.DtAtRtContext.<init>
(DtAtRtContext.java:22)
at oracle.adf.view.rich.dt.Page.<init>(Page.java:535)
at oracle.adf.view.rich.dt.Page.getInstance(Page.java:80)
at oracle.adf.view.page.editor.customize.ComposerPageResolver.getPageObject
(ComposerPageResolver.java:200)
at oracle.adfinternal.view.page.editor.contextual.event.ContextualResolver.
getPageDefinition(ContextualResolver.java:1229)
at oracle.adfinternal.view.page.editor.contextual.event.ContextualResolver.
<init>(ContextualResolver.java:129)
WLSTコマンドは、次の変更を手動でoam-config.xmlに加えないかぎり、フェデレーテッドSSOパスワード・ポリシー・プロファイルの追加、編集または削除に使用できません。
既存のoam-config.xmlファイルをバックアップします。
このファイル内で、Setting Name="UserProfileInstance"を探し、"UserProfileInstance"設定の子として、次のエントリを追加します。
<Setting Name=""NEW_PROFILE" Type="htf:map"> <Setting Name="PasswordPolicyAttributes" Type="htf:map"> <Setting Name="FORCED_PASSWORD_CHANGE" Type="xsd:boolean">true</Setting> <Setting Name="USER_ACCOUNT_DISABLED" Type="xsd:boolean">true</Setting> <Setting Name="PASSWORD_EXPIRED" Type="xsd:boolean">true</Setting> <Setting Name="TENANT_DISABLED" Type="xsd:boolean">true</Setting> <Setting Name="USER_ACCOUNT_LOCKED" Type="xsd:boolean">true</Setting> </Setting> </Setting>
編集や削除をする場合は、変更をoam-config.xml内の既存のプロファイル・エントリで行う必要があります。
oam-config.xmlのVersion設定の値を増やして、変更を保存します。
リソースへのアクセス時には、Access Manager診断ログにCertPathValidatorExceptionが記録されます。例:
[2013-03-12T21:39:09.281-07:00] [oam_server1] [ERROR] [OAMSSA-12117] [oracle.oam.engine.authn] [tid: WebContainer : 3] [ecid: disabled,0] [APP: oam_server_11.1.2.0.0] Cannot validate the user certificate.[[ java.security.cert.CertPathValidatorException: The certificate issued by O=My Company Ltd, L=Newbury, ST=Berkshire, C=GB is not trusted; internal cause is: java.security.cert.CertPathValidatorException: Certificate chaining error at com.ibm.security.cert.BasicChecker.<init>(BasicChecker.java:111) at
静的なgetSessionAttributes()メソッドは、ユーザーの一部のSession属性を取得しません。取得するのはASDKを使用して設定されたもののみです。
複数タブ・ブラウザの動作をサポートするにはFORM Cache Modeを使用する必要があります。デフォルトではCOOKIE Modeに設定されています。
次のアイテムは、Access Manager WebLogic Server Id Asserterと比較してAccess Manager WebSphere Trust Association Interceptor (TAI)でサポートされていないものです。
Access Manager WAS TAIでは、OAM_IDENTITY_ASSERTIONヘッダーによるSAMLアサーションがサポートされていません。
OAM WAS TAIではアイデンティティ・コンテキストがサポートされていません。アイデンティティ・コンテキストは、OAM_IDENTITY_ASSERTIONヘッダーを基に、Access Manager WebLogic Server Identity Asserterによってサポートされています。
idmConfigTool.sh -configOAMの実行後、2つのWebGateプロファイルである、Webgate_IDMとWebgate_IDM_11gが生成されます。両方とも11gです。各Access Managerサーバーの構成をoamtestツールを使用して確認しているとき、管理コンソールには、正確に接続ステータスが表示されますが、Webgateごとに長いエラー/例外がログに記録されます。このエラー・ログは予想されたもので、無視できます。
完全移行の後に、新規の増分移行または差分の増分移行を実行するとき、単純ポリシーが移行されません。この問題は最大セッション時間の経過によるものです。管理サーバーを再起動するか、最大セッション時間の値を120分を超えるように変更します。
Internet Explorer 9を使用して、cnまたはjp用にローカライズされたOAM管理コンソールにアクセスするとき、「使用可能なサービス」のテキストをダブルクリックしても関連するページは開きません。このテキストに対応するフォルダ・アイコンをクリックすると正常に動作します。または、Internet Explorer 8やFirefoxを使用して回避します。Internet Explorer 7を使用したときに動作する場合は、OAMをExplorer 7互換モードで実行するように強制することもできます。Oracle Technology NetworkのIE 9でのIE 8互換モードによるADF Facesアプリケーションの実行に関するPDFの記事を参照してください。
RSAプラグインがシステム・プラグインから削除されました。この機能は、カスタムRSAプラグインをインストールおよび使用することでアクセスできます。
Oracle Access Management Access Managerの追加によりOracle Identity Managerドメインを拡張する場合は、OIMAuthenticationProviderが削除されます。OIMとOAMをidmConfigTool -configOIMを使用して統合したときには、プロバイダが必要に応じて自動的に再ロードされます。idmConfigTool -configOIMを使用していない場合は、プロバイダを手動で作成する必要があります。
11g OHSに付属のmod_ossoエージェントは、@コンテキスト・ルート'/'を保護するように構成できません。
Oracle Entitlements Serverによって保護されているAccess Managerのインスタンスを起動すると、実行時例外が発生します。この例外は無視してかまいません。
非ASCII名を使用してAccess ManagerにWebgateを登録します。アクセス・テスターで、有効なIPアドレス、ポートおよびエージェントID(非ASCII名)を入力し、「接続」をクリックします。
接続テストに失敗します。
WNAチャレンジ・メソッドが含まれるKerberos認証スキームを使用するようにAccess Managerを構成し、Microsoft Active Directoryに非ASCIIユーザーを作成します。
問題
ユーザー詳細を取得してサブジェクトにユーザーDNおよびGUID属性を移入しようとすると、例外が発生します。Active Directoryの非ASCIIユーザーがAccess Managerによって保護されたリソースにアクセスしようとすると、認証に失敗し、OAMサーバー・ログに次のエラーが記録されます。
... Failure getting users by attribute : cn, value ....
原因
属性のユーザー名はJava文字列としてそのまま渡されます。
解決策
非ASCIIユーザーは、次のJVMシステム・プロパティを$DOMAIN_HOME/binのstartManagedWeblogic.shスクリプトに適用することで、Kerberos WNAスキームによって保護されたリソースにアクセスできます。
-Dsun.security.krb5.msinterop.kstring=true
簡易モードは、JDK 1.6およびAIXプラットフォームではサポートされません。かわりに、オープンまたは証明書モードを使用します。
問題
外部資格証明コレクタ対応のWebgateとリソースWebgateを組み合せている場合、ユーザーは資格証明を2度提供する必要がある場合があります。これは、Oracle HTTP Serverによる内部フォワードが生じるURLでログインがトリガーされる場合に発生する可能性があります。
回避策
この問題を解決するには、次の回避策を使用できます。
httpd.confファイルを編集し、(Webgate構成にインクルードされる前に)ディレクトリ・アクセス用にブラウザをリダイレクトするリライト・ルールを追加します。例:
RewriteEngine On RewriteRule ^(.*)/$ "$1/welcome-index.html" [R]
SSL対応のWebサーバー: SSL構成でこれらのルールを繰り返します。
このトピックでは、Oracle Access Managementセキュリティ・トークン・サービス(セキュリティ・トークン・サービス)の一般的な問題および回避策について説明します。次のトピックが含まれます:
Security Token Serviceは、WS-TrustのRequestSecurityTokenメッセージで送信された存続時間を処理しません。一方、WS-Trust RequestSecurityTokenResponseでは、Oracle Security Token Serviceの発行テンプレートにある構成済のトークン有効期間に従った存続時間が格納されています。
Access Manager管理コンソールの「Security Token Service」セクションで新規リクエスタ・プロファイルを作成する際に、新しい属性名マッピングを追加するために、「行番号」というタイトルの列を2回クリックすると、サポートされていない操作例外を示すエラー・メッセージが表示される場合があります。
ブラウザの言語が英語以外の言語に設定されている場合、セキュリティ・トークン・サービス検索では期待した結果が返されないことがあります。たとえば、これは次の設定の場合に発生します。
「リクエスタ」、「リライイング・パーティ」または「発行局」画面で、「パートナ・タイプ」フィールドを「リクエスタ」、「リライイング・パーティ」または「発行局」に設定した場合。
Oracle Access Manager管理コンソールブラウザの設定が英語以外のときに、「トークン発行テンプレート」画面で、Token TypeをUsernameに設定した場合。
Oracle Access Manager管理コンソールブラウザの設定が英語以外のときに、「トークン検証テンプレート」画面で、Token TypeをUsernameに設定した場合。
ブラウザの言語が英語の場合、検索では期待した結果が返されます。
このトピックでは、Oracle Access Management Identity Federation (Identity Federation)の一般的な問題および回避策について説明します。次のトピックが含まれます:
この問題は、次の状況で発生します。
Webgateがリソースのフロンドエンド処理を行っている。
「資格証明コレクタ操作の許可」オプションがこのWebgateで選択されている。
リソースがFederationSchemeを使用するポリシーによって保護されている。
この問題により、リソースへのアクセスをリクエストすると、サーバーからはURLで200が返され、ここでブラウザはPOSTを使用してリクエストをそのURLにポストしますが、ブラウザは302を介してリダイレクトされる必要があります。
この問題を解決するには、FederationSchemeで保護されているリソースのフロンドエンド処理を行うWebgateエージェントに対して、「資格証明コレクタ操作の許可」オプションを無効にします。
このトピックでは、Oracle Access Management Mobile and Socialの一般的な問題および回避策について説明します。次のトピックが含まれます:
Mobile and Socialは、AndroidデバイスではMozilla FirefoxおよびGoogle Chromeをサポートしています。次の問題は、Android OSのネイティブ・ブラウザを使用した場合に発生することが確認されています。
ネイティブ・ブラウザでレンダリングされたログインWebページでは、ユーザーがユーザー名とパスワードを入力できない。
モバイル・クライアントにモバイル・シングル・サインオン・アプリケーションがインストールされていない場合、Androidのネイティブ・ブラウザでは、ユーザーが認証可能なページにリダイレクトされません。これは、ネイティブ・ブラウザのJavaScriptサポートの制限によるものです。
Internet Explorerユーザーは、保護モードを有効にしていない場合、インターネット・アイデンティティ・プロバイダにサイン・インできません。空白のページが表示されてしまいます。
Internet Explorerのバージョン8および9でこの問題を回避するには、保護モードを有効にします。
Internet Explorerのメニューから「ツール」→「インターネット オプション」→「セキュリティ」を選択します。
「保護モードを有効にする」を選択して、ブラウザを再起動します。
Googleでサインインしたユーザーが画面上のメニューと異なる言語を選択した場合、Mobile and Socialが管理する要求フローの外部にページ要求がリダイレクトされます。このため、Googleが生成するログイン・ページは、Mobile and Socialが生成するページと異なる言語の場合があります。Mobile and Socialは、ブラウザの言語設定を基に翻訳したページを提供します。ページが異なる言語で表示されるのを回避するには、ユーザーが変更する場合にブラウザの言語設定のみを使用する必要があります。
Oracle Access Managementコンソールでは、ナビゲーション・ペインで「Mobile and Social設定」ツリーを表示しているときにこのペインの表示範囲外のコンテンツをクリックおよびドラッグできてしまいます。
この問題を回避するには、ページをリフレッシュするか、ログアウトして再度ログインします。
この項では、特定のサービスに関してまとめた構成の問題およびその回避策について説明します。説明を簡潔にするために、問題のあるサービスについてのみ説明します。たとえば、Identity Contextにはこの時点で既知の問題がないため、ここには含まれていません。次のトピックが含まれます:
このトピックでは、Oracle Access Management Access Manager (Access Manager)の構成の問題および回避策について説明します。次のトピックが含まれます:
OAM 10g環境を11gに移行しているとき、複数のデータベース・インスタンスがディレクトリ・サーバー・プロファイルで構成され、それらの一部が同じdisplayName値を共有している場合、データ・ソースにある一部のデータベース・インスタンスは移行プロセスで新しい環境へ変換されません。これを回避するには、ディレクトリ・サーバー・プロファイルで2つのインスタンスが同じdisplayNameの値を持たないように、10g環境のデータベース・インスタンスの名前を変更します。
Access Managerをバージョン11gR2 PS1にアップグレードした後に、パスワード検証スキームがパスワード・ポリシー検証モジュールに設定されていません。コンソールを使用して、パスワード検証スキームをパスワード・ポリシー検証モジュールに設定してください。
IBM HTTP Server (IHS)とWebSphere Application Server (WAS)間の通信は、IHSで用意されているプラグインをインストールおよび構成することで可能になります。次に、インストールと構成手順について説明します。
IHSのインストール時に、付属するプラグインをインストールします。
インストール後にIHSプラグイン・ディレクトリ(たとえば、$IHS_HOME\Plugins\config\webserver1)に移動し、plugin-cfg.xml構成ファイルがあることを確認します。
次のようにplugin-cfg.xmlを変更して、ファイルを保存します。
IHSにアクセスできる仮想ホスト・ポートを追加します。
<VirtualHostGroup Name="default_host">
<!-- Include active IHS port details required for connecting to OAM on WAS -->
<!-- <VirtualHost Name="*:9004"/> -->
<VirtualHost Name="*:8080"/>
<VirtualHost Name="*:17777"/>
</VirtualHostGroup>
<ServerCluster>と、リソースのデプロイ先である該当するサーバー・エントリを含んだ適切な詳細情報を追加します。
該当するサーバー・クラスタ用に<UriGroup>タグを追加します。
<UriGroup Name="oamserver1_Cluster_URIs">
<Uri Name="/oam/*"/>
</UriGroup>
<UriGroup>タグに対応する<Route>タグを追加します。
<Route ServerCluster="oamserver1_Cluster" UriGroup="oamserver1_Cluster_URIs" VirtualHostGroup="default_host"/>
WebSphereで、IBMコンソールを使用して「Environment」→「Virtual Hosts」→「default_hosts」→「Host Alias」の順に移動して、該当するVirtualHostエントリを追加します。
ObAccessClient (11.1.1.5.0 Access Managerコンソールによって作成)を使用して、11g ASDK (11.1.1.7.0、11.1.2.0.0およびこれら以上)用にAccessClientを作成すると次のエラーが発生します。これは、古いObAccessClient.xmlファイルには数値ではなくtrue/falseで表現されたブール設定があるためです。
oracle.security.am.asdk.AccessClient initialize SEVERE:
Oracle Access SDK initialization failed.
これを回避するには、元の(古い)ObAccessClient.xmlをDOMAIN_HOME/output/AGENT_NAMEからASDK構成ディレクトリ(configLocation)へコピーします。または、新しいObAccessClient.xmlのブール値(true/false)を数値(0/1)に変更するために手動で編集します。
1つのWebSphereインスタンスには、oamtai.xmlファイルが1つのみ存在します。デプロイメントに複数のWebGateプロファイルがあり、同じWebSphere Application Serverにデプロイされているアプリケーションを保護している場合(たとえば、10gおよび11g WebGateが混在する場合)、OAM Trust Association Interceptorを次のように構成する必要があります。
デプロイメントでのWebgateの数に関係なく、ファイル内に定義されるエージェント・プロファイルはOAM10gタイプにする必要があります。
アサーション・タイプは、HeaderBasedAssertionとして定義する必要があります。
Access Managerを11gR2から11gR2 PS1にアップグレードすると、obLockedOn属性がOracle Internet Directoryからなくなります。この属性をOIDに追加するには、次の手順を使用します。
obLockedOn属性を手動でスキーマに追加します。
ldapmodifyコマンドでLDIFをOIDにインポートします。
obLockedOnを変更するoamSoftwareUser権限を与えるように、oam_user_write_acl_users_oblockedon_template.ldifを編集します。
%s_UsersContainerDN%をユーザー検索ベースで置換し、%s_GroupsContainerDN%をグループ検索ベースで置換します。
変更したoam_user_write_acl_users_oblockedon_template.ldifをインポートします。
Oracle Access Manager 10g WebgateをOracle Access Management 11gとともに使用する場合、webgate_install_directory/oamsso/logout.htmlページでは、Oracle Access Management 11gサーバー・ログアウト・ページへのリダイレクトを開始するためのJavaScriptコードが必要になります。このページで、Webgate Cookieによってログアウトした場合、11gセッションもクリアされます。Oracle Access Manager 10g Webgateを移行する場合は、『Oracle Fusion Middleware Oracle Access Manager管理者ガイド』に記載されている手順に従ってください。
OpenSSOエージェント構成のホットスワップを有効にするには、OAMサーバーのOpenSSOプロキシで、openssoエージェントの登録の「その他」プロパティ・セクションに次のプロパティが設定され、エージェント・サーバーが再起動されることを確認します。
J2eeエージェント: com.sun.identity.client.notification.url =http://<AGENT_SERVER_HOST>:<AGENT_SERVER_PORT>/agentapp/notification
Webエージェント:
com.sun.identity.client.notification.url=http://<AGENT_SERVER_HOST>:<AGENT_SERVER_PORT>/UpdateAgentCacheServlet?shortcircuit=false
Webエージェントではサポートされていません: com.sun.identity.agents.config.change.notification.enable=true
エージェントをホストしているOAMサーバーを再起動します。
このトピックでは、Oracle Access Managementセキュリティ・トークン・サービス(セキュリティ・トークン・サービス)の構成の問題およびその回避策について説明します。次のトピックが含まれます:
セキュリティ・トークン・サービスの類似作成(複製)ボタンを使用しても、元の「発行局プロファイル」テンプレートの一部のプロパティ(「セキュリティ」セクションや「属性マッピング」セクションなど)はコピーされません。
管理者は、新しく作成した「発行局プロファイル」に必要な構成項目を手動で入力する必要があります。
Oracle Access Managementコンソールの「システム構成」タブの「セキュリティ・トークン・サービス」セクションから、「発行テンプレート」に移動します。
既存の「発行テンプレート」を選択し、類似作成(複製)ボタンをクリックします。
新しいコピーした「発行テンプレート」を作成し、新しく作成したテンプレートに必要な構成項目を手動で入力します。
Oracle Access Managementコンソールは、セキュリティ・トークン・サービスのパートナ用に設定された、署名証明書または暗号化証明書を削除する方法を用意していません。
管理者は、次のWLSTコマンドを使用して、これらを手動で削除する必要があります。
セキュリティ・トークン・サービスのパートナの署名証明書を削除するには:
deletePartnerSigningCert
セキュリティ・トークン・サービスのパートナの暗号化証明書を削除するには:
deletePartnerEncryptionCert
このトピックでは、Oracle Access Management Identity Federation (Identity Federation)の構成の問題およびその回避策について説明します。次のトピックが含まれます:
Oracle Access Managementコンソールでは、アイデンティティ・プロバイダの検索画面は、ProviderIdフィールドおよび「パートナ名」フィールドで、「含む」検索ではなく、完全一致(==)を実行することを認識しておく必要があります。
これは完全一致ですが、ユーザーは検索で*をワイルド・カードとして使用できます。
IdPを作成/編集するとき、署名証明書に不正なファイルをアップロードすると、ファイルに証明書が含まれていないことを示す適切なメッセージではなく、NULLポインタ例外エラー・メッセージが表示されます。
このトピックでは、Oracle Access Management Mobile and Social (Mobile and Social)の構成の問題およびその回避策について説明します。次のトピックが含まれます:
次の手順では、Mobile and Socialをテスト環境から本番環境にコピーする方法について説明します。
|
重要: これらの手順は、Access Managerのテスト環境から本番環境への移行が終わった後に行ってください。詳細は、Oracle Fusion Middlewareサードパーティ・アプリケーション・サーバー・ガイドのAccess Managerをテスト環境からIBM WebSphereの本番環境へ移行する方法に関する項を参照してください。 |
本番環境のoam-config.xmlを、テスト環境のsecretKey値で更新します。
テスト環境で、テキスト・エディタを使用してfmwconfigディレクトリのoam-config.xmlを開き、accessgate-oicオブジェクトのsecretKey属性の値をコピーします。
例:
<Setting Name="accessgate-oic" Type="htf:map"> <Setting Name="ConfigurationProfile" Type="xsd:string">DefaultProfile</Setting> <Setting Name="aaaTimeoutThreshold" Type="xsd:string">-1</Setting>
...
<Setting Name="secretKey" Type="xsd:string">A686408D1020B93EAA8B411EE0137847FD2968D1285A2A37BB0BE0B00238F50464E9C01EB3E5319AED6D7CAC81BD9FF7</Setting>
本番環境で、テキスト・エディタを使用してfmwconfigディレクトリのoam-config.xmlを開き、accessgate-oicオブジェクトのsecretKey属性の値をテスト・ホストの値で置き換えます。
idaas.xml、oauth.xmlおよびoic_rp.xmlファイルを、テスト環境のfmwconfigディレクトリから本番環境のfmwconfigディレクトリへコピーします。
本番環境で、oic_rp.xmlのホストおよびポート情報を適切な値に編集します。
テスト・ホストの名前を検索し、本番ホストの名前で置換します。ポート番号がホストURLに対して正しいかどうかを確認します。
例:
<SystemConfiguration>
<hostURL>https://prod123.example.com:14101</hostURL>
ノード・マネージャを停止します。
ノードを同期して、ノード・マネージャを起動します。
oam_server1とOracleAdminServerアプリケーションを再起動します。
設計変更により、登録ページの属性名は英語になり、他の言語にローカライズされていません。このページを翻訳するには、次の手順でOracle Access Managementコンソールを使用して属性名の値を変更します。
Oracle Access Managementコンソールの「インターネット・アイデンティティ・サービス」で、OAMApplicationなどの「アプリケーション・プロファイル」を開きます。
「登録サービス詳細とアプリケーション・ユーザー属性のマッピング」セクションの「ユーザー属性表示名」リストに移動します。
英語の値をローカライズした値で置き換えます。
OAMApplicationページで「適用」をクリックして変更を保存します。
「登録」ページを開いて、正しいローカライズ値が表示されていることを確認します。
Mobile and Socialサーバーは、サーバーのローカル言語設定で構成されている言語でエラー・メッセージをモバイル・クライアントに送信します。モバイル・クライアントでは、サーバーのエラー・メッセージを別の言語に翻訳できません。
Yahooインターネット・アイデンティティ・プロバイダが、ユーザー認証の後にfirstnameとlastnameの値を返しません。この問題を回避するには、Oracle Access Managementコンソールで、次のMobile and Socialのマッピングを変更します。
アプリケーション・プロファイルを開いて編集します。
「インターネット・アイデンティティ・プロバイダ」ページが開くまで「次へ」をクリックします。
「アプリケーション・ユーザー属性とインターネット・アイデンティティ・プロバイダ・ユーザー属性のマッピング」セクションを開きます。
「属性マッピング」セクションで、「インターネット・アイデンティティ・プロバイダ」リストの「Yahoo」をクリックします。
次のように値を構成します。
「アプリケーション・ユーザー属性」列でfirstnameを見つけ、対応する「インターネット・アイデンティティ・プロバイダ・ユーザー属性」列でnicknameを選択します。
「アプリケーション・ユーザー属性」列でlastnameを見つけ、対応する「インターネット・アイデンティティ・プロバイダ・ユーザー属性」列でfullnameを選択します。
アプリケーション・プロファイルを保存します。
「ジェイルブレーク検出ポリシー」の「最高OSバージョン」設定に一度値を割り当てると、値を削除してフィールドを空のままにできません。ドキュメントによると、「最高OSバージョン」フィールドは、ジェイルブレーク・ポリシーを適用する最高iOSバージョンを構成するために使用されます。値が空の場合、最高iOSバージョン番号が確認されず、ポリシーは、「最低OSバージョン」で指定した値よりも上位の任意のiOSバージョンに適用されます。ただし、一度設定すると、値を空に戻せません。この問題を回避するには、「最高OSバージョン」フィールドに値を設定します。
Mobile and Socialをテスト環境から本番環境に移行するとき、テストから本番に移行するスクリプトを実行した後に各本番マシンで次の構成ステップを実行します。
Oracle Access Managementコンソールを起動します。
「ポリシー構成」タブで、「共有コンポーネント」→「認証スキーム」→OICスキームの順に選択してから、「開く」をクリックします。
「認証スキーム」構成ページが開きます。
テスト・マシンではなく本番マシンを指すように「チャレンジ・リダイレクトURL」値を更新し、「適用」をクリックします。
例: https://production_machine:port/oic_rp/login.jsp
テスト・マシンから本番マシンを指すようにMobile and Social資格証明ストア・フレームワーク(CSF)エントリを更新します。これを行うには、次のWLSTコマンドを実行します。
createCred(map="OIC_MAP", key=" https://<production machine host>:<production machine port>/oam/server/dap/cred_submit ", user="="<description>", password=" DCC5332B4069BAB4E016C390432627ED", desc="<description>");
passwordに、本番マシンのdomain home/config/fmwconfigディレクトリにあるoam-config.xmlの値を使用します。RPPartnerエントリの値、TapCipherKey属性を使用します。
Oracle Access Managementコンソールで、次の手順を実行します。
「システム構成」タブを選択します。
「Mobile and Social」→「インターネット・アイデンティティ・サービス」の順に選択します。
「アプリケーション・プロファイル」セクションで、OAMApplicatonを選択し、「編集」をクリックします。(OAMApplication以外のアプリケーション・プロファイル名を使用している場合、かわりにそれを編集します。)
本番マシンを指すように、「登録URL」フィールドのホスト名およびポートを更新します。
「適用」をクリックします。
この項では、Oracle Access Managementコンソールに影響する問題について説明します。次のトピックが含まれます:
OAMサーバーおよびOracle Access Managementコンソールのクライアントが別のロケール用に構成されていると、サーバーは、サーバーで構成されている言語が何であってもクライアントにエラー・メッセージを報告します。
Oracle Access Management 11.1.2および関連サービスを説明するOracleマニュアル(このリリース・ノートを含む)には、OAMサーバー(Access Managerサーバーの旧称)という用語が間違って記載されています。ただし、Oracle 11.1.2マニュアルの次回リリースでは、OAMサーバーがAMサーバー(Access Managerサーバー)に置き換えられます。
ここでは、Oracle Access Management固有のマニュアルに関するドキュメントの訂正箇所について説明します。内容は次のとおりです。
5.4.1項「Oracle Fusion Middleware Oracle Access Management管理者ガイド」
5.4.2項「Oracle Fusion Middleware Oracle Access Management開発者ガイド」
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のドキュメントの訂正箇所は次のとおりです。
creds=チャレンジ・パラメータが、11gのマニュアルに10gのフォーマット(creds:source$name)で記載されています。10gのフォーマットは削除され、11gのフォーマットを説明する文章が追加されました。
間違った構成ディレクトリ・パスWebTier_Middleware_Home/Oracle_WT1/instances1/config/OHS/ohs1/config/が、正しいパスPolicyAgent-base/AgentInstance-Dir/configに置き換えられました。
『Oracle Fusion Middleware Oracle Access Management開発者ガイド』について、ドキュメントの訂正箇所はありません。
