| Oracle® Fusion Middleware Oracle Fusion Middlewareリリース・ノート 11g リリース1 (11.1.1) for HP-UX Itanium B55937-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Fusion Middlewareリリース・ノート 11g リリース1 (11.1.1) for HP-UX Itanium B55937-06 |
|
前 |
次 |
この章では、Oracle Identity Federationに関連する問題について説明します。次のトピックが含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
データベース表を認証エンジンとして使用し、パスワードがMD5またはSHAのいずれかでハッシュされて格納されている場合、base64形式である必要があります。
ハッシュされたパスワードはbase64でエンコードされた形式であるか、{SHA}または{MD5}の接頭辞を持ちます。次に例を示します。
{SHA}qUqP5cyxm6YcTAhz05Hph5gvu9M=
相互にミラー化されている2つ以上のOracle Identity Federationサーバーがあり、フロントエンドにロード・バランサがある高可用性環境でSSLを設定する場合、次の2つの方法があります。
SSL接続がユーザーとロード・バランサの間をつなぐように、ロード・バランサでSSLを構成します。この場合、ロード・バランサによって使用されるキーストアおよび証明書には、ロード・バランサのアドレスを参照するCNが含まれます。
ロード・バランサとWLS/Oracle Identity Federation間の通信では、SSLの使用は任意です(SSLを使用する場合、Oracle WebLogic Serverでは、キーストアおよび証明書がロード・バランサによって信頼されているかぎり、どのキーストアや証明書でも使用できます)。
Oracle Identity FederationサーバーでSSLが構成されているため、SSL接続はユーザーとOracle Identity Federationサーバー間のものです。この場合、ユーザーがロード・バランサのホスト名を使用して接続するため、Oracle WebLogic Server/Oracle Identity Federationのキーストアおよび証明書のCNはロード・バランサのアドレスを参照する必要があり、証明書CNがロード・バランサのアドレスと一致している必要があります。
つまり、ユーザーに接続されるSSLエンドポイント(ロード・バランサまたはOracle WebLogic Server/Oracle Identity Federation)のキーストアおよび証明書には、ロード・バランサのホスト名に設定されたCNが含まれる必要があります。ユーザーは、そのアドレスを使用してOracle Identity Federationに接続するためです。
問題
セッションおよびメッセージ・データ・ストアにデータベース・ストアを使用するようOracle Identity Federationが構成されている場合、IDPPROVIDEDNAMEIDが200文字より長いと、次のエラーが表示されます。
ORA-12899: value too large for column "WDO_OIF"."ORAFEDTMPPROVIDERFED"."IDPPROVIDEDNAMEIDVALUE" (actual: 240, maximum: 200)\n]
回避策
表ORAFEDTMPPROVIDERFEDを変更してidpProvidedNameIDValueの列サイズを240に上げてください。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
27.2.7項「アーティファクト・プロファイルを使用して10gと11gのOracle Identity Federationが連携するよう構成」
27.2.8項「OAM 11gの鍵の再生成にOracle Identity Federationアップグレード・スクリプトが必要」
サイトで同じドメインにOracle SOA SuiteとOracle Identity Federationが含まれている場合、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のWLSTの設定手順は、WLSTでOracle Identity Federationコマンドを正常に実行するには不十分です。
このような事態になる可能性があるのは、IdMドメインをインストールしてからOracle SOAインストールを使用してこれを拡張した場合です。この場合、SOAインストーラによりORACLE_HOME環境変数が変更されます。これにより、Oracle Identity FederationのWLST環境が破損します。これは、この環境がORACLE_HOMEのIdM値に依存しているためです。
WLSTコマンドを使用できるようにするには、次の手順に従います。
『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のWLST環境の設定に関する項に記載されている手順を実行します。
OIF-ORACLE_HOME/fed/script/*.pyをWL_HOME/common/wlstへコピーします。
CLASSPATH環境変数をOIF-ORACLE_HOME/fed/scriptsに追加します。
Oracle Virtual DirectoryをOracle Identity Federationのユーザー・ストアまたは認証エンジンとして使用するには、ローカル・ストレージ・アダプタを構成し、インストール時またはインストール後の構成時に必要に応じてコンテキスト・ルートを作成する必要があります。
このタスクの詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』の「Oracle Virtual Directoryアダプタの作成と構成」を参照してください。
「フェデレーションの編集」ページで、リモートWS-Fedサービス・プロバイダのOracle Identity Federation (OIF)設定には、「SSOトークン・タイプ」と呼ばれるプロパティが含まれます。「IdP共通設定」ページから値を継承することも、これをここでオーバーライドすることもできます。OIF設定に表示されているプロパティの数は、「SSOトークン・タイプ」の値によって異なります。
「SSOトークン・タイプ」を別の値でオーバーライドする(SAML2.0からSAML1.1へ変更するなど)よう選択した場合、「OIFの設定」に表示されるプロパティの数は、「適用」ボタンをクリックするまで変わりません。
また、「デフォルト名前IDフォーマット」の値を永続識別子または一時/単発識別子にオーバーライドして「SSOトークン・タイプ」の値をSAML2.0からSAML1.1またはSAML1.0に変更した場合、「デフォルト名前IDフォーマット」の値が空になることに注意してください。続行するには、このプロパティをリストの有効な値に再設定します。
WSフェデレーションの信頼できるサービス・プロバイダを作成する場合、次の手順で「Microsoft Webブラウザ・フェデレーテッド・サインオンの使用」に値を設定する必要があります。
Fusion Middleware Controlで、「フェデレーション」→「フェデレーションの編集」と移動します。
WSフェデレーションの信頼できるサービス・プロバイダを新規に作成するよう選択し、「編集」をクリックします。
「信頼できるプロバイダ設定」セクションでチェック・ボックスを選択または選択解除して「Microsoft Webブラウザ・フェデレーテッド・サインオンの使用」に値を設定します。
「適用」をクリックします。
フェデレーション・ストアがXMLベースの場合、レコードの削除後、そのレコードがフェデレーテッド・アイデンティティ表に表示され続けます。
次のシナリオで問題について説明します。
フェデレーション・データ・ストアはXMLです。
「フェデレーテッド・アイデンティティによるユーザーのマップ」を使用してフェデレーテッドSSOを実行します。
Fusion Middleware ControlでOracle Identity Federationインスタンスを特定し、「管理」→「アイデンティティ」→「フェデレーテッド・アイデンティティ」と移動します。
作成されたフェデレーション・レコードをクリックし、削除します。
削除後も、フェデレーテッド・レコードが表にあります。レコードの削除をさらに試みると、エラーになります。
回避策は、「検索」をクリックして表を手動でリフレッシュすることです。
問題
この問題は、Fusion Middleware ControlでOracle Access Managerをサービス・プロバイダ統合モジュールとして構成した場合に起こります。スキーム(OIF-password-protectedなど)にデフォルトが設定されていますが、ラジオ・ボタンが無効なため、デフォルト認証スキームを設定できません。
解決策
優先使用するデフォルトの認証スキームを設定するには、次の手順に従います。
現在デフォルトとして設定されているが、無効なスキームの「作成」チェック・ボックスを選択します。
作成する認証スキームの「作成」チェック・ボックスを選択します。
デフォルトとして設定するスキームのラジオ・ボタンをクリックします。
スキームを作成しない場合のみステップ1のスキームの「作成」チェック・ボックスを選択解除します。
ページで、すべての必要なプロパティを指定します。
「Oracle Access Managerの構成」ボタンをクリックして変更を適用します。
これで、デフォルト認証スキームが選択したものに設定されました。
|
注意: また、認証スキームを削除する場合、デフォルト・スキームを削除しないようにしてください。スキームを削除する必要がある場合、削除前にデフォルトを別の認証スキームに変更します。 |
SAML 1.xプロトコルで、アーティファクト・プロファイルを使用して10g Oracle Identity Federationサーバーと11g Oracle Identity Federationサーバーを連携させるには、2つのサーバーの間にBasic認証またはクライアント証明書認証を設定する必要があります。
手順は次を参照してください。
11gリリース1 (11.1.1)の『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のSOAPエンドポイントの保護に関する項
10g (10.1.4.0.1)の『Oracle Identity Federation管理者ガイド』のOracle Identity FederationがSPである場合に関する項
Oracle Enterprise Manager Fusion Middleware Controlでは、Oracle Access Manager 11gのSP統合モジュールを構成する場合、「再生成」ボタン(「サービス・プロバイダ統合モジュール」ページ、「Oracle Access Manager 11g」タブ)をクリックして秘密鍵を再生成できます。
アップグレードされた11.1.1.7.0環境では、OAM 11gの秘密鍵をこのページで再生成する前にOracle Identity Federationアップグレード・スクリプトを実行する必要があります。このスクリプトの実行方法の詳細は、『Oracle Fusion Middlewareパッチ適用ガイド』を参照してください。
この項では、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』の訂正箇所を示します。
|
注意: Oracle Identity FederationとOracle Access Manager 11gの統合に関するドキュメントの訂正箇所および他のリリース・ノートは、「Oracle Access Manager」を参照してください。 |
この項には次のトピックが含まれます:
『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』(原本部品番号E13400-06)の6.8.2項「BAE直接属性交換プロファイルの構成」のサブセクション「パートナへのBAE直接属性交換プロファイルの設定」の手順で、誤ってWLSTコマンドsetPartnerPropertyが記載されていますが、正しくはsetFederationPropertyコマンドです。
そのサブセクションで説明されている2つのコマンドを次のように置き換えます。
setFederationProperty("PARTNER_PROVIDER_ID", "attributebaeenabled" ,
"true","boolean")
setFederationProperty("PARTNER_PROVIDER_ID", "attributebaeenabled" ,
"false","boolean")
それぞれ、BAEプロパティを設定および設定解除するものです。
『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』(原本部品番号E13400-06)の12.5.2項「プラグイン用のOracle Identity Federationの構成」に、Oracle Access Manager 11gの構成に必要なプロパティが欠落しています。
表12-3 後処理プラグインに対するSPエンジンの構成の末尾に次の行を追加します。この行は、Oracle Access Manager 11gで必要なプロパティを示しています。
| SPエンジン | Webコンテキスト・プロパティ | 相対パス・プロパティ |
|---|---|---|
|
OAM 11g |
oam11g-login-context |
oam11g-login |
『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』(原本部品番号E13400-06)の3.2.2.2項「Oracle Single Sign-OnとOHSの統合」で(これより前のエディションの同じ項でも同様です)、項の最後に記載されているコメント(#で始まる行)内のコードを、mod_rewrite構成を使用するように修正する必要があります。
次のテキストを
# # If you would like to have short hostnames redirected to # fully qualified hostnames to allow clients that need # authentication via mod_osso to be able to enter short # hostnames into their browsers uncomment out the following # lines # #PerlModule Apache::ShortHostnameRedirect #PerlHeaderParserHandler Apache::ShortHostnameRedirect
次のテキストに置き換えます。
#
# To have short hostnames redirected to fully qualified
# hostnames for clients that need authentication via
# mod_osso to be able to enter short hostnames into their
# browsers use a mod_rewrite configuration such as the following.
#
# e.g
#RewriteEngine On
#RewriteCond %{HTTP_HOST} !www.example.com
#RewriteRule î.*$ http://%{SERVER_NAME}%{REQUEST_URI} [R]
#where www.example.com is the fully qualified domain name.
