この章では、Oracle Access Manager 11g リリース1 (11.1.1)に関連する問題について説明します。次の項目が含まれます。
この項では、Oracle Access Manager 11g リリース1 (11.1.1)のパッチ要件について説明します。内容は次のとおりです。
関連項目:
|
この問題を回避するには、次の操作を実行します。
次の場所にあるMy Oracle Supportに移動します:
「パッチと更新版」タブをクリックしてOracle Bug#9824531を検索します。関連するパッチをダウンロードして、パッチに含まれるREADME
ファイルの手順に従ってインストールします。
「パッチと更新版」タブでOracle Bug#9882205を検索します。関連するパッチをダウンロードして、パッチに含まれるREADME
ファイルの手順に従ってインストールします。
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
3.2.5項「PasteConfig IDM (T2P)後に表示されるRemoteRegistrationServerException」
3.2.13項「登録ツールのユーザー資格証明ではネイティブ・サーバー・ロケールのASCII以外の文字がサポートされていない」
3.2.15項「UTF8以外のロケールのOracle Access Manager認証でASCII以外のパスワードがサポートされない」
3.2.22項「ナビゲーション・ツリーの「アプリケーション・ドメイン」サブツリーが描画されず、ユーザー・アクションに応答しない」
3.2.24項「オフライン・モードでWLSTコマンドdisplayWebgate11gAgentによってWebゲート・エージェント・エントリが2度表示される」
3.2.31項「Oracle Access Manager監査レポートAUTHENTICATIONFROMIPBYUSERによって「FROMキーワードが指定の位置にありません」エラーがスローされる」
3.2.35項「Fusion Middleware Controlの「アイデンティティおよびアクセス」ノードからOAMサーバーを起動および停止できない」
3.2.36項「WebLogic Serverのインストール時に不正なJavaパスが指定されると管理サーバーが起動しない」
新しいOracle Access Manager統合フェデレーション機能によって保護されたページにInternet Explorerブラウザでアクセスすると、ブラウザのCookieの削除オプションがCookieを削除しないため、認証が要求されません。これはブラウザに固有の問題です。回避策: 「ツール」→「インターネット オプション」→「参照履歴」(Cookieを選択していることを確認)を使用して参照履歴を削除し、Internet Explorerのすべてのインスタンスを閉じます。OAM保護ページに再びアクセスすると、認証が要求されます。
ポリシーが定義されている場合、ホスト識別子属性は、保護されているリソースの名前と同じ値を取ります。WebGateは、リソースへのアクセスのリクエストを捕捉すると、リクエストのアドレスをチェックします。アドレスは、ホスト識別子リストにある場合はホスト識別子名にマップされ、適用可能なすべてのポリシーおよびルールを適用できます。この状況では、Oracle HTTP ServerがOracle Traffic Director (ロード・バランサ)を経由する場合、すべての必要なホストおよびポートがリストに追加されなかったことを承認する例外がスローされます。次の手順を使用してホスト識別子リストを更新します。
Oracle Access Managerコンソールを起動します。
左側の「ポリシー構成」タブをクリックします。
「ポリシー構成」ペインの「ホスト識別子」をクリックします。
「ホスト識別子」ページが表示されます。
検索機能を使用して適切なホスト識別子を検索します。
検索結果から適切なホスト識別子を選択し、「編集」をクリックします。
「名前」フィールドにホストの名前を入力します。
(オプション)「説明」フィールドに簡単な説明を入力します。
このホストを識別するすべての組合せを「ホスト名組合せ」フィールドに入力します。
ポートを指定していない場合、デフォルトのポート番号は追加されません。
「保存」をクリックして、Oracle Access Manager管理サーバーおよび管理対象サーバーを再起動します。
OSSOプラグインは、顧客がOHSの使用を望まない場合のiPlanetおよびIIS用です。これは、2011年に中止されたOID/SSO 10.1.2.3または10.1.4.3で登録する必要があります。
OAM 11.1.1.5からOAM 11.1.1.7にアップグレードし、カスタム・ログイン・ページを使用するOracle Access Managerの任意の顧客は、AnonymousScheme認証スキームの「チャレンジ・パラメータ」からredirect=true
エントリを削除しないと「ログイン」ページが機能しません。詳細はMOSノート1548551.1にあります。
pasteConfigが正常に終了した場合でも、RemoteRegistrationServerExceptionがログに記録されます。Oracle Access Managerコンソールにアクセスしてすべてのエージェントを表示できる場合、この例外は無害であり無視できます。
長いURLを使用してページへのログインが成功した後、Oracle Access Managerのシステム・エラー・ページが表示される場合があります。以前のリリースで同じページにアクセスしても、このような結果になりません。2回目に長いURLのページにアクセスすると、この条件はクリアされる場合があります。
テストの構成部分を本番のプロシージャに貼り付けようとすると、次の例外が発生する場合があります。
javax.management.RuntimeMBeanException: javax.management.RuntimeMBeanException: Configuration MBean not initialized.
現在のところ、この問題に対する回避策はありません。
Oracle Identity ManagerとOracle Access Managerの統合は、Webgate 11gをサポートします。次の手順に従って、Webgate 11gのポリシーを作成します。
idmConfigTool configOAM
およびidmConfigTool configOIM
プロパティ・ファイルで、WEBGATE_TYPEの値を変更します。
ohsWebgate11g (Webgate 11の場合)
ohsWebgate10g (Webgate 10の場合)
Oracle Access Managerコンソールにログインします。
「ポリシー構成」タブを選択します。
「アプリケーション・ドメイン」 - 「IAM Suite」を開きます。
「リソース」をクリックします。
「開く」をクリックします。
「新規リソース」をクリックします。
次の値を指定します。
タイプ: HTTP
説明: OAM資格証明コレクタ
ホスト識別子: IAMSuiteAgent
リソースURL: /oam
保護レベル: 非保護
認証ポリシー: パブリック・ポリシー
「適用」をクリックします。
埋込みBIコンテンツとOracle Access Managerが別の物理マシン上にある場合、または同じマシンの別のポートからアクセスされる場合、アプリケーションのコンテナのBIプロキシは、保護されたBIコンテンツにアクセスするために、自身をOracle Access Managerサーバーに認証する必要があります。有効なOAMAuthnCookieが確実にWebゲートに送信されるために、Webゲートの構成プロファイルの「ユーザー定義パラメータ」セクションでfilterOAMAuthnCookie=false
を設定する必要があります。変更した後に新しいパラメータ値を有効にするために、サーバーを再起動します。
「OAMエージェントの作成」ページのデフォルトの開始日は、Oracle Access Managerサーバーの日時に基づきます。エンド・ユーザーに表示される日時は、ユーザーのマシンではなく、Oracle Access Managerサーバーのタイムゾーンに基づきます。
Webゲートの登録後、関連コンポーネントの初期メッセージの説明フィールドがユーザーのロケールで表示されません。
説明フィールドでは多言語サポート(MLS)がサポートされません。
ナビゲーション・ツリーで子ノードを開く際のシングルクリックはサポートされていませんが、ダブルクリックはサポートされています。
Oracle Access Manager登録ツールoamreg.sh
/oamreg.bat
のユーザー資格証明では、LinuxのUTF8以外のサーバー・ロケールおよびWindowsネイティブ・サーバーのASCII以外の文字はサポートされていません。
ユーザー名にトルコ語、ドイツ語またはギリシャ語の特殊文字が含まれており、ログイン名が特殊文字部分のみ異なる場合は、大/小文字が区別されないこと、および大/小文字のマッピングにより、ユーザーが認証を通過する可能性があります。
一部の国際化文字には特別な大文字化ルールを設定して、再び小文字に変換されないようにする必要があります。
たとえば、ドイツ語におけるSSとßの問題があります。この場合、ßは小文字としてのみ存在します。ßを大文字に変換しようとすると、ßはSSに変換されます。この後、この大文字テキストを小文字に戻すと、SSはssになり、元のßには戻りません。
サーバーのロケールがUTF-8ではなく、WebLogic Server組込みLDAPをアイデンティティ・ストアとして使用している場合は、「SSO認証」ページでASCII以外のパスワードがサポートされません。
管理者が既存のエージェントと同じ名前のエージェントを作成した場合、表示されるエラー・メッセージの言語は、ブラウザのロケールではなくサーバーのロケールに基づきます。
Oracle Access Manager 11gリリース1 (11.1.1)は、参照を戻すLDAPサーバーと直接連携して動作することはできません。
回避策として、Oracle Virtual Directoryを使用します。
保護されている認証ポリシーにASCII以外の名前のリソースを追加する場合、11g OHSサーバーを再起動して保護を有効化する必要があります。一方、英文字のリソースを追加する場合は、OHSサーバーを再起動する必要はなく、即座に保護が有効になります。
認証ポリシー用に構成された成功/失敗URLの指定URLにASCII以外の文字が含まれる場合、そのURLがユーザー認証時に使用される際に、URLが文字化けします。これは、認証スキームがBasic認証で、エンドユーザーのブラウザが中国語バージョンのWindowsで稼働する簡体字中国語バージョンのIE8である場合のみ発生します。
OSSOエージェントでは、リソースURL全体がUTF-8形式にエンコードされないため、リソースを保護できません。
この問題を回避するには、SSOエージェントのかわりにWebゲート・エージェントを使用します。
Webゲートでは、リソースURL全体をUTF-8形式に変換できます。
Oracle Access Managerコンソールに管理者としてログインした後、新しいブラウザ・タブで管理者としてコンソールにログインすると、管理ログに次のエラーが表示されます。
------------------------------------------------------------ <May 20, 2010 10:12:47 AM PDT> <Error> <oracle.adfinternal.view.page.editor.utils.ReflectionUtility> <WCS-16178> <Error instantiating class - oracle.adfdtinternal.view.faces.portlet.PortletDefinitionDTFactory> ------------------------------------------------------------
このエラー・メッセージによる機能への影響はありません。
ナビゲーション・ツリーの「アプリケーション・ドメイン」サブツリーが描画されない、またはユーザー・インタフェース・アクションに長時間応答がない場合は、複数のリフレッシュが起因する可能性があります。
この問題を回避するには、管理サーバーを再起動し、Oracle Access Managerコンソールに再度ログインします。
オンライン・モードとオフライン・モードの両方で、「状態」フィールドに無効な値を入力しても、WLSTコマンドeditWebgateAgent
はエラーになりません。「状態」は必須フィールドにもかかわらず、Oracle Access Managerコンソールでは、このフィールドの値は有効または無効のいずれとしても表示されません。
オフライン・モードでは、WLSTコマンドdisplayWebgate11gAgent
によって、11g Webゲート・エージェントのエントリが「システム構成」タブに2度表示されます。
クラスタ内のOracle Access Managerサーバーの起動時に、次のメッセージが表示されます。
<Jun 22, 2010 3:59:41 AM PDT> <Error> <oracle.jps.authorization.provider.pd> <JPS-10774> <arme can not find state.chk file.>
メッセージの正しいレベルは、Error
ではなくINFO
です。
HelpコマンドはWLSTコマンドregisteroifdappartner
には使用できません。
オンラインおよびオフラインのコマンドによって、Oracle Identity Federationは委任認証プロトコル(DAP)パートナとして登録されます。
詳細は、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』のregisterOIFDAPPartnerに関する項を参照してください。
構文
registerOIFDAPPartner(keystoreLocation="/scratch/keystore" logoutURL="http://<oifhost>:<oifport>/fed/user/sploosso?doneURL= http://<oamhost>:< oam port>/ngam/server/pages/logout.jsp", rolloverTime="526")
パラメータ名 | 定義 |
---|---|
keystoreLocation |
キーストア・ファイルの場所。OIFサーバーで生成されたファイル。(必須) |
logoutURL |
OIFサーバーのログアウトURL。<必須> |
rolloverInterval |
SASSOトークンの暗号化/復号化に使用されるキーのロールオーバー間隔(オプション) |
例
The following invocation illustrates use of all parameters. registerOIFDAPPartner(keystoreLocation="/scratch/keystore", logoutURL="http://<oifhost>:<oifport>/fed/user/sploosso?doneURL=http://<oamhost>: <oam port>/ngam/server/pages/logout.jsp", rolloverTime="526")
Oracle Adaptive Access Managerとのネイティブ統合では、リソースは、Oracle Adaptive Access ManagerのBasic認証スキームを使用するOracle Access Managerポリシーによって保護されます。
ユーザーがリソースにアクセスしようとすると、ユーザー名ページが表示されます。
ユーザー名を入力した後、パスワード・ページに進むためには、「続行」をクリックする必要があります。パスワード・ページは自動では表示されません。
回避策として、ユーザーが「続行」をクリックすると、パスワード・ページに進むことを許可される可能性があります。
次のOCSP関連フィールドは、X509認証モジュールでは必須ではなくなりました。
OCSPサーバー別名
OCSP応答者URL
OCSP応答者タイムアウト
OCSPが有効の場合
管理者がOCSP関連のフィールドに値を入力する必要があります。フィールドが入力されていない場合、コンソール側からのエラーはありません。
管理者の責任において、これらの値を指定する必要があります。
OCSPが無効の場合
OCSP関連のフィールドに値を入力する必要はありません。OCSP自体が有効化されていないため、これらのフィールドに値が入力されても重要性はありません。
デフォルトの即時利用可能な構成では、OCSPレスポンダのURLはhttp://ocspresponderhost:port
です。他のフィールドを変更し、これをそのままにすると、検証エラーが表示されます。この原因は、この値は依然としてバックエンドおよびコンソールに送信されますが、レイヤー・ポートは数値フィールドである必要があるためです。数値フィールドであるポートを使用してこのフィールドを変更することも、値全体を削除することもできます。
「システム構成」タブ(「共通構成」セクション)の「データ・ソース」ノードで、Oracle Access Manager 11g (11.1.1.5)に「データベース」ノードが存在しません。
Oracle Access Managerコンソールではオンライン・ヘルプを使用できますが、最新の情報が使用されているかどうかを確認するにはOTNを確認する必要があります。
Oracle Access Manager監査レポートAuthenticationFromIPByUserは、Oracle Database 11.2.0の機能を使用するため、古いバージョンのデータベースでは機能しません。古いバージョンを使用した場合は次のエラーが表示されます。
ORA-00923 FROMキーワードが指定の位置にありません
Oracle Access Manager 11gの場合、カスタム・リソース・タイプは作成しないようにする必要があります。初期リリースでは、リソース・タイプを作成/編集/削除するためのボタンは使用できませんでした。
Oracle Access Manager 11g (11.1.1.7)では、これらのコマンド・ボタンは無効です。Oracle提供のリソース・タイプには、次が含まれます。
HTTP (HTTPSを含む)
TokenServiceRP(トークン・サービスのリライイング・パーティを表すリソース)
wl_authen (WebLogic認証スキームを表すリソース)
OAMサーバーをWebゲートとともに使用し、WebゲートIDをASCII以外の名前で登録すると、認証リダイレクトが無効なリクエストとしてOAMサーバーに拒否されます。
このリダイレクトの問題を回避するには、WebゲートにASCIIの名前を使用します。
注意: 管理サーバーおよびOracle Access ServerをUTF-8ロケールで起動した場合、リソースは保護され、エラー・メッセージは表示されません。 リダイレクトの問題は、ネイティブ・サーバー・ロケール(WindowsおよびUTF8以外のLinuxサーバー・ロケール)でのみ発生します。 |
ユーザー・インタフェースの認証モジュールでは、認証/認可に使用できるのはプライマリ・アイデンティティ・ストアのみであるため、リストではプライマリ・アイデンティティ・ストアのみを選択する必要があります。現在、Oracle Access Managerコンソールでは、プライマリではないアイデンティティ・ストアを選択できます。
Fusion Middleware Controlでは、「Identity and Access」の下にあるoam_serverノードを使用した次のOracle Access Manager操作はサポートされていません。
起動
停止
ログ・メッセージの表示
一方、Oracle Access Managerの管理対象サーバー・インスタンスでは、これらの操作がサポートされています。Fusion Middleware Controlの「アプリケーション・デプロイメント」の下にある(特定のサーバーの)oam_serverノードを使用して実行できます。
Windowsの64ビットのプラットフォームでは、32ビットのJAVA_HOME (jdk1.6.0_23)を使用してWebLogic Serverを正常にインストールできます。Windowsの64ビットのプラットフォームでは、32ビットのJAVA_HOME (c:\program files (x86)\java\jdkxxx)はstartWeblogic.cmdによって正しく処理されません。
setup.exeを使用してインストール・シールドを起動する場合、64ビットのJAVA_HOMEのパスを指定するよう求められます。32ビットのJAVA_HOME (jdk1.6.0_24)パスを指定すると、インストール・シールドは起動しません。
\Middleware\Oracle_IDM1\common\binからconfig.cmdを実行すると、32ビットのJAVA_HOME (jdk1.6.0_24)が使用されます。ただし、インストールが成功しても、管理サーバーを起動できません。
回避策: SUN_JAVA_HOMEを短い名前のパス(c:\progra~2\java\jdkxxxx)を使用するよう置き換えることをお薦めします。
Windowsの場合、"dir /X"を実行することにより、短い名前を表示できます。
また、短い名前を使用してWindowsのコマンド・シェル変数JAVA_HOMEをパスに設定し、この中でstartWeblogic.cmdを実行することもできます。次に例を示します。
>set JAVA_HOME=c:\progra~2\java\jdkXX
X
>startweblogic.cmd
システム・ストアとして指定されているアイデンティティ・ストアを編集し、ストア・タイプを変更したり(たとえば、組込みLDAPからOIDへ)接続URLを変更しないようにする必要があります。
編集でのストア・タイプ変更を禁止するシステム・ストアとして指定されているアイデンティティ・ストアを変更する必要がある場合は、新規アイデンティティ・ストアを作成してから、この登録を編集してシステム・ストアとしてマークすることをお薦めします。
アラビア語およびヘブライ語のロケールでは、シングル・サインオン(SSO)の「ログイン・ページ」、「偽装承諾」ページ、「ログアウト・ページ」、偽装エラー・ページおよび「ログイン・エラー」ページのレイアウトは変更されません。
「セッション管理検索」ページの作成インスタントおよび最新アクセス時間の日付書式が正しくローカライズされません。
Internet Explorerブラウザの制限により、リソースURLを直接入力するか貼り付けると、ASCII以外の問合せ文字列でリソースが表示されます。
Oracle Virtual Directoryをユーザー・アイデンティティ・ストアとして使用する場合、SSLポートを使用するよう登録を変更した後、SSLボックスを確認した後、および接続をテストした場合(「接続テスト」ボタン)、エラーは表示されません。ただし、(SSL以外のポートが正常であっても)認証は失敗します。接続テストを初めて実行する場合やその後に実行する場合、Oracle Virtual Directory側からソケット・タイムアウト例外が発生します。
回避策: 次のように、SSLポートのNIOを無効にします。
Oracle Virtual Directoryを停止します。次に例を示します。
$ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
次のように、listener.os_xmlのLDAP SSLリスナー・セクションを編集して<useNIO>false</useNIO>
を追加します。
$ORACLE_INSTANCE/config/OVD/ovd1/listener.os_xml
<ldap version="20" id="LDAP SSL Endpoint">
<port>7501</port>
<host>0.0.0.0</host>
.........
.........
<tcpNoDelay>true</tcpNoDelay>
<readTimeout>180000</readTimeout>
</socketOptions>
<useNIO>false</useNIO>
</ldap>
ファイルを保存します。
接続を複数回テストし、正常に動作していることを確認します。
有効なURLエスケープ・シーケンスとなる文字のシーケンスが%の後ろにない場合、Webゲートからの問合せ文字列のエンコードは行われません。この場合、%はデコード済文字列内の%として保持され、次のエラーが発生します。
No message for The Access Server has returned a status that is unknown to the Access Gate .Contact your website administrator to remedy this problem.
回避策:
11g Webゲート: 問合せ文字列内に%文字を指定するには、%のかわりに%25を指定する必要があります。
10g Webゲート: 11g Webgateの回避策は匿名スキームに対してのみ適用されます。他の認証スキームの場合、現在、回避策は存在しません。
この項では、構成に関する問題およびその回避策について説明します。次の項目が含まれます。
3.3.2項「Oracle Identity Manager管理コンソールのログアウト後に、ユーザーに対して誤ってセルフユーザー・ログインが表示される」
3.3.5項「リソースがBasic認証スキームを使用して保護されている場合は認証失敗に関連する情報が監査で取得されない」
3.3.12項「Oracle Access Manager 11gサーバーでのAccess SDKバージョン10.1.4.3.0の使用」
Webゲートで長いURLをサポートするために、oam-config.xml
の下に次のコード・サンプルが追加されています。
<Setting Name="AgentConfig" Type="htf:map"> <Setting Name="OSSO" Type="htf:map"> <Setting Name="RedirectMethod"Type="xsd:string">GET</Setting> <Setting Name="Delimiter" Type="xsd:string">AND</Setting> </Setting>
mod-osso
の場合、RedirectMethod
の値をPOST
にする必要がありますが、即時利用可能な値として用意されている値はGET
です。次の手順に従い、変更を実行してください。これは、この変更は手動で実行する必要があり、この作業を行うためのユーザー・インタフェースやWLSTコマンドがないためです。
Oracle Access Managerコンソールおよび管理対象サーバーを停止します。
cd DOMAIN_HOME/config/fmwconfig
を入力します。
vi oam-config.xml
を入力します。
oam-config.xml
の次の行に移動します。
<Setting Name="AgentConfig" Type="htf:map"> <Setting Name="OSSO" Type="htf:map"> <Setting Name="RedirectMethod"Type="xsd:string">GET</Setting>
次のようにGET
をPOST
に変更します。
<Setting Name="RedirectMethod"Type="xsd:string">POST</Setting>
変更を保存して、管理サーバーおよび管理対象サーバーを起動します。
Oracle Identity Manager管理コンソールからログアウトした後、ユーザーに対してセルフユーザー・ログインが表示されます。
リダイレクトを修正するには、ログアウトを正常に機能させる必要があります。
10g Webゲートでのログアウトに関する回避策は次のとおりです。
logout.html
を(たとえば、Oracle_IDM1/oam/server/oamsso/logout.html
から)webgate_install_dir/oamsso
へコピーします。
ファイル内のログアウトURLをhttp://oam_server:oam_server/ngam/server/logout
に更新します。
ログアウト後に特定のページにリダイレクトする必要がある場合は、ログアウトURLをhttp://oam_server:oam_server/ngam/server/logout?doneURL=http://host:port/specifipage.html
に変更します。
コンパクト構成では、ハードウェア能力に制限があるマシンに、アイデンティティ管理の全コンポーネントがインストールされます。
11g Webゲートをコンパクト構成でインストールしようとすると、構成ステップで次のエラーが発生します。
Configuring WebGate... There is an error. Please try again. Preparing to connect to Access Server. Please wait. Client authentication failed, please verify your WebGate ID. cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_key.pem': No such file or directory cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_cert.pem': No such file or directory cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_chain.pem':
このエラーは、インストール時にoam-config.xml
の次のエントリが初期化されていないことが原因で発生します。
<Setting Name="oamproxy" Type="htf:map"> <Setting Name="sslGlobalPassphrase" Type="xsd:string">changeit</Setting> <Setting Name="SharedSecret" Type="xsd:string">1234567812345678</Setting> </Setting>
oam-config.xml
を正しく初期化するには:
次の手順を実行して、CSFリポジトリからOAM
エントリを削除します。
次のWebLogic Scripting Toolを起動します。
oracle_common/oracle_common/common/bin/wlst.sh
WLSTシェルで、ドメインに接続するためのコマンドを入力し、要求された情報を入力します。
次にサンプルを示します。
wls:/offline> connect () Please enter your username [weblogic] : Please enter your password [welcome1] : Please enter your server URL [t3://localhost:7001] : Connecting to t3://localhost:7001 with userid weblogic ... Successfully connected to Admin Server 'AdminServer' that belongs to domain 'imdomain86'.
domainRuntime
に変更します。
次にサンプルを示します。
wls:/imdomain86/serverConfig> domainRuntime () Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root.
マップ名がOAM
でキーがjks
のCSFリポジトリにエントリが存在するかどうかを確認します。
次にサンプルを示します。
wls:/imdomain86/domainRuntime> listCred(map="OAM_STORE",key="jks") {map=OAM_STORE, key=jks} Already in Domain Runtime Tree . [Name : jks, Description : null, expiry Date : null] PASSWORD:1qaldrk3eoulhlcmfcqasufgj2 .
CSFリポジトリからOAM
マップ・エントリを削除します。
wls:/imdomain86/domainRuntime> deleteCred(map="OAM_STORE",key="jks") {map=OAM_STORE, key=jks} Already in Domain Runtime Tree .
wlstシェルを終了します。
次にサンプルを示します。
wls:/imdomain86/domainRuntime> exit () . . .
DOMAIN_HOME/config/fmwconfigに移動してファイル.oamkeystore
を削除します。
次に(linuxの)サンプルを示します。
[aime@pdrac09-5 fmwconfig]$ rm .oamkeystore .
管理対象サーバーおよび管理サーバーを停止します。
管理サーバーを起動します。
oam-config.xml
を確認します。
管理対象サーバーを起動します。
oam-config.xml
の確認手順は次のとおりです。
DOMAIN_HOME/config/fmwconfig/oam-config.xmlに移動します。
DeployedComponent→Server→NGAMServer→Instanceの下で、WebLogic Serverのすべてのサーバー・インスタンスが構成されていることを確認します。
OAM管理対象サーバーのプロトコル、ホストおよびポートが、次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→OAMServerProfile→OAMSERVER
SSO CipherKeyが生成済で次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→ssoengine→CipherKey
SharedSecret
およびsslGlobalPassphrase
のoamproxy
エントリが生成済で、次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→oamproxy
SharedSecret
には1234567812345678
とは異なる値、およびsslGlobalPassphrase
にはchangeit
とは異なる値がそれぞれ指定されている必要があります。
AIX上で管理者のOracle Access Managerリモート登録が失敗する場合は、Oracle用Interim Fixes (iFix)付きのIBM JDK 1.6 SR7をダウンロードしてください。
注意: これらの手順は、IBM JDK 1.6 SR7+ifixのみを対象としています。SR7には適用されません。 |
IBMの汎用ユーザーIDを取得していない場合は、IBMのWebサイトで次の手順で登録できます。登録に関する問題は、Webサイトの内容に従ってIBMに問い合せてください。
次のURLに移動します。
「Downloads」をクリックします。
IBMソフトウェアのダウンロード・ページが表示されます。
アクセス・キーMJ3D7TQGMK
を入力します。
「Download Director」(Windows用の推奨)または「HTTP」(UNIX用の推奨)を使用することを選択します。
製品名IBM SDK's for Oracle Fusion Middleware 11gの下に、ビルドが表示されます。
前述のように、ダウンロードして使用するバージョンは次のとおりです。
pap6460sr7ifix-20100512_01(JDK 6 SR7 +IZ70326+IZ68993+IZ74399)
リソースはBasicスキームを使用して保護できますが、WebLogic Serverには、最初にユーザーを認証してからサーバーへ送信するという機能があります。
config.xml
の<security-configuration>
の下にフラグ<enforce-valid-basic-auth-credentials>false</enforce-valid-basic-auth-credentials>
を追加してサーバーを再起動すると、WebLogic Serverの認証をバイパスできます。資格証明は、送信されてOAMサーバーに戻されると監査されます。
WebLogic Server管理コンソールでは、enforce-valid-basic-auth-credentials
設定は表示されず、ログにも記録されません。一方、WLSTを使用すると稼働中のサーバーで値をチェックできます。config.xml
でこの設定行い、この値を変更する必要があります。
これを行うには、次の場所にあるセキュアなWebアプリケーションの開発に関する説明を参照してください。
http://download.oracle.com/docs/cd/E13222_01/wls/docs103/security/thin_client.html#wp1037337
テストから本番へ移行した後に、次の手順を実行する必要があります。
テスト・システムからポリシーをインポートする際に、本番OAMサーバーが停止していることを確認します。
Oracle Access Managerコンソールにログインして、本番システムのすべてのエージェント(IAMSuiteAgentを含む)のプライマリ/セカンダリ・サーバー・リストを変更します。
各Webゲート・エージェント(IAMSuiteAgentエージェントを除く)に対して生成されたWebゲートの、生成されたアーティファクトをコピーします。
本番OAM管理対象サーバーを起動します。
すべてのWebゲート・エージェントのOHSを再起動します。
次の場合は、テスト環境から本番環境へのパートナ情報の移行時に、パートナ情報にアクセスできません。
migratePartnersToProd
コマンドが使用されていました。これは期限切れになっています。かわりに次のコマンド・セットを使用する必要があります。
exportPartners
- このコマンドを使用して、テスト環境からパートナをエクスポートします。これは、パートナのエクスポート元であるOAMサーバーから実行する必要があります。このコマンドはパラメータとして一時oam-partners
ファイルへのパスを受け取ります。
exportPartners(pathTempOAMPartnerFile=', <pathTempOAMPartnerFile>')
importPartners
- このコマンドを使用して、本番環境にパートナをインポートします。これは、パートナのインポート先であるOAMサーバーから実行する必要があります。このコマンドはパラメータとして一時oam-partners
ファイルへのパスを受け取ります。
importPartners(pathTempOAMPartnerFile=', <pathTempOAMPartnerFile>')
移行後に、本番システムと一致させるためのエージェント・プロファイル編集が行われませんでした。
Webゲート・エージェントは、テスト・システムで使用可能なプライマリ/セカンダリ・サーバーのホストおよびNAPポートのリストを使用して構成された可能性があります。本番システムには、テスト・システムで構成されたものと同じホストおよびポートを使用するサーバー・インスタンスが含まれない可能性があります。SysConfigエージェント・プロファイルのユーザー・インタフェースは、プライマリ/セカンダリ・サーバー・リストのホストおよびポートの詳細が一致するサーバーを選択してサーバー名を取得するため、移行後に、ユーザー・インタフェースにサーバー名が表示されない可能性があります。プライマリ/セカンダリ・サーバーのリストは、本番システムで使用可能なサーバー・インスタンス・リストのサブセットの可能性があるため、移行後にエージェント・プロファイルを編集して本番システムと一致させる必要があります。
Oracle Access Manager 10g Webゲートのインストール時にプロンプトが表示された際に、現在のバージョンのmsvcirt.dll
をより新しいバージョンに置き換えないでください。これを行うと、非互換性の問題が発生します。後でOSSO 10g (10.1.4.3)をインストールする際に、必要な.dll
ファイルが見つからないためにopmn.exe
コマンドが起動せず、OracleCSService
がタイムアウトになる可能性があります。
Oracle Access Manager 11gに対してサポートされているトポロジは、次のとおりです。
サポートされているトポロジ
Webゲート10gまたはWebゲート11gおよび保護されているアプリケーション(IPv4 (Internet Protocol Version 4)プロトコル・ホスト上)
OHS (Oracle HTTP Server)リバース・プロキシ(デュアルスタック・ホスト上)
クライアント(IPv6 (Internet Protocol Version 6)プロトコル・ホスト上)
デュアルスタックでは、1つのオペレーティング・システムに2つのInternet Protocolソフトウェア実装(一方はIPv4用、他方はIPv6用)が存在します。
IPv6クライアントは、IPv4/IPv6デュアル・スタック上のリバース・プロキシを介してWebgate (10gまたは11g)にアクセスできます。
この項には、Oracle Access Manager構成で注意する必要があるシナリオおよび項目が含まれています。
Oracle Access Manager 10gおよびOracle Access Manager 11g Webゲート用のWLSTスクリプトでは、エージェントのセキュリティ・モードの変更をサポートしていません。
Oracle Access ManagerコンソールおよびWLSTでサポートされていない操作を次のサブセクションに示します。
OAMサーバー
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOAMサーバー・インスタンスを編集モードで開きます。
別のブラウザ(ブラウザ2)でOracle Access Managerコンソールを使用するか、WLSTスクリプトを使用して、このサーバー・インスタンスを削除します。
ブラウザ1に戻ります(サーバー・インスタンスが編集モードで開いています)。
ブラウザ1で「適用」ボタンをクリックします。
現在の動作
Oracle Access Manager管理コンソールに、「サーバー・インスタンスserver_nameは使用中の可能性があります。編集しますか。」というメッセージとともに更新成功の確認が表示されます。
「はい」をクリックすると、予想どおりに次のメッセージが表示され、OAMサーバー・インスタンス・ページが閉じます(正しい動作)。
"Error while reading your_server-name OAM Server Instance Configuration."
ただし、ナビゲーション・ツリーの「リフレッシュ」コマンド・ボタンをクリックするまでナビゲーション・ツリー・ノードにOAMサーバー・インスタンスが表示され続ける可能性があります。
ユース・ケース: 同じホストを使用する2つのOAMサーバー・インスタンスに同じプロキシ・ポートを設定できない。
説明
このユース・ケースでは、oam_server1およびoam_server2というOAMサーバーの2つのインスタンスがあるとします。
編集モードでoam_server1を開き、ホストおよびOAMプロキシ・ポートを指定します。
次に、編集モードでoam_server2を開き、oam_server1と同じホストおよびプロキシ・ポートを指定します。
変更を保存してもエラー・メッセージは表示されません。
現在の動作
Oracle Access Managerコンソールはエラーを表示せず、この更新を許可します。
この動作は不正です。
ユース・ケース: サーバー・インスタンスの作成、更新および削除の詳細を含むログ文がOracle Access Managerコンソールに表示されない
説明
Oracle Access ManagerコンソールからOAMサーバー・インスタンスを作成、編集または削除した場合、作成、編集および削除に対応するログ文がコンソールによって表示されません。
LDAP認証モジュール:
ユース・ケース: ユーザー・アイデンティティ・ストアの同時削除/作成が、LDAP認証モジュールの作成および編集のアイデンティティ・ストア・リストに反映されない
説明
作成/編集を行うためにLDAP認証モジュールを開きます。
リストに、システムに存在するアイデンティティ・ストアが表示されます。
次に、別のタブを使用してユーザー・アイデンティティ・ストアを作成します。
LDAP認証モジュールの作成/編集タブに戻り、リストでユーザー・アイデンティティ・ストアを確認します。
現在の動作
Oracle Access Managerコンソールに予想どおりエラー・メッセージが表示され、認証モジュール・ページが閉じます(正しい動作)。
"Error while reading module-name Authentication Module Configuration."
ただし、ナビゲーション・ツリーの「リフレッシュ」コマンド・ボタンをクリックするまでナビゲーション・ツリー・ノードに認証モジュール・ノードが表示され続ける可能性があります。
LDAP、KerberosおよびX509認証モジュール
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOracle Access Managerコンソールを使用して、LDAP/Kerberos/X509認証モジュールを編集モードで開きます。
別のブラウザ(ブラウザ2)でOracle Access Managerコンソールを使用するか、WLSTスクリプトを使用して、この認証モジュールを削除します。
ブラウザ1に戻ります(認証モジュールが編集モードで開いています)。
「適用」ボタンをクリックします。
現在の動作
Oracle Access Managerコンソールは、この認証モジュール構成を更新し、バックエンドに書き込みます。
この動作は不正です。
ユース・ケース: サーバー・インスタンスの作成、更新および削除の詳細を含むログ文がOracle Access Managerコンソール側に表示されない
説明
Oracle Access Managerコンソールから認証モジュールを作成、編集または削除した場合、作成、編集および削除に対応するログ文がコンソールによって書き込まれません。
OAM 11G Webゲート
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOracle Access Managerコンソールを使用して、OAM 11g Webゲート・インスタンスを編集モードで開きます。
別のブラウザ(ブラウザ2)でOracle Access Managerコンソールを使用するか、WLSTスクリプトを使用して、このOAM 11g Webゲートを削除します。
次に、ブラウザ1に戻ります(サーバー・インスタンスが編集モードで開いています)。
「適用」ボタンをクリックします。
現在の動作
OAM11g Webゲート編集用のOracle Access Managerコンソールは変化せず、タブは閉じません。
Oracle Access Managerコンソールによって、OAM11g Webゲートの構成が見つからないというエラー・ダイアログが表示されます。
ただし、ナビゲーション・ツリーは空白で、いずれかの操作を実行しようとすると、javax.faces.model.NoRowAvailableExceptionと表示されます。
この動作は不正です。
OSSOエージェント
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOracle Access Managerコンソールを使用して、OSSOエージェント・インスタンスを編集モードで開きます。
別のブラウザ(ブラウザ2)でOracle Access Managerコンソールを使用するか、WLSTスクリプトを使用して、このOSSOエージェントを削除します。
次に、ブラウザ1に戻ります(OSSOエージェント・インスタンスが編集モードで開いています)。
「適用」ボタンをクリックします。
現在の動作
Oracle Access ManagerコンソールでOSSOエージェントを編集すると、Nullポインタ例外が発生します。
この動作は不正です。
シングル・サインオンはOracle Access Managerのインストール後に有効になります。即時利用可能なシングル・サインオンの構成を完了するには、集中管理されたログアウトをインストール後に構成する必要があります。次の項の指示に従って、集中管理されたログアウトを構成してください。
Oracle Access Manager 11gでのADFコード化されたアプリケーションの集中ログアウトの構成
ADFログアウトが正常に機能するには、シングル・サインオン・サーバーのパッチ9824531が必要です。パッチに含まれるreadme
ファイルの説明に従って、このパッチをインストールします。
「IDMドメイン・エージェントの集中ログアウトの構成」(パッチ・セット内では、これは現在、IAMSuiteAgentです)
アイデンティティ・ストアの停止時に、構成イベント・トリガーによりNullポインタ例外が発生します。アップグレードは成功しますが、管理サーバー・コンソールにエラー・メッセージが表示されます。サービスは失われません。
アップグレード中にNULLポインタが表示された場合、サービスは失われないため、このエラーを無視して構いません。
WLSTコマンドの実行中にNULLポインタが表示された場合は、管理サーバーを再起動する必要があります。
一般的に、Sun Microsystems JDK 1.4.xコンパイラは、Access SDKバージョン10.1.4.3.0のJavaインタフェースで使用されるJDKバージョンです。
例外として、(Linuxオペレーティング・システム・プラットフォームの)64ビットAccess SDKバージョン10.1.4.3.0のJavaインタフェースでは、Sun Microsystems JDK 1.5.xコンパイラを使用する必要があります。
Oracle Access Manager 11gに含まれるセッション管理エンジンの新機能は、認証のためのAccess SDKバージョン10.1.4.3.0のコールごとに、セッションを作成します。
そのため、Access SDKを使用して自動のプロセスをプログラムで認証する場合には、問題が発生します。問題とは、Access SDK内で生成されたシステムのセッション数が劇的に増加して、大量のメモリー消費を引き起こすことです。
セッション検索基準が一般的なものである場合(たとえば、ワイルドカード(*)のみを使用する場合など)、大きなセッション・リストからセッションを削除する際に制限があります。
セッション検索基準を十分に細分化することによって比較的小さな結果セット(理想的には20以下)を取得することをお薦めします。
ASCII以外のユーザーがチャレンジ・メソッドとしてWNAを使用してKerberos認証スキームで保護されているリソースにアクセスしようとすると、失敗します。
ユーザー詳細を取得してサブジェクトにユーザーDNおよびGUID属性を移入しようとすると、例外が発生します。
ここでは、次の内容について説明します。
次の特性がある新規検証テンプレートのトークン・マッピング・ページで:
WS-Security
トークン・タイプSAML 1.1
デフォルト・パートナ・プロファイル: リクエスタ・プロファイル
警告が表示されません。
属性ベースのユーザー・マッピングを有効化するボックスを選択したときに必要な「ユーザー属性」フィールドを空のままにした場合
「ユーザー属性」フィールドが空である場合、新規行は保存されません。ただし、両フィールドが入力されている場合、これは保存されます。ユーザーが追加した行内の「ユーザー属性」フィールドの値を削除すると、変更を適用したときに行が削除されます。
組込みの名前識別子マッピング行を削除しようとした場合
名前識別子マッピング行は削除できません。
Internet Explorerバージョン7で日本語ロケールを使用する場合、新規リクエスタというタイトルがページの1行に表示されません。「パートナ」、「名前」、パートナ・タイプ、パートナ・プロファイルの各フィールドがページ上で折り返されない可能性があります。
これは、パートナ(リクエスタ、リライイング・パーティおよび発行局)を作成または変更しているかどうかとは関係なく発生します。
次の表内に削除対象の行がなくても、「削除」ボタンが有効です。
属性名マッピング表(パートナ・プロファイル(リクエスタ、リライイング・パーティおよび発行局プロファイル)の「トークンおよび属性」ページ)。
発行局パートナ・プロファイルの値マッピング表
表内に行がない場合、「削除」ボタンはデフォルトでは無効である必要があります。
発行テンプレートの類似コピー機能では、ネストした表はコピーされません(属性マッピングおよびフィルタリング表、およびカスタムトークン属性表)。
回避策: 目的の発行テンプレートにナビゲートし、ナビゲーション・ツリー内の名前をクリックし、類似コピー・ボタンをクリックします。元の表(「属性マッピング」またはカスタム属性表)から不足情報を手動で入力します。
適用すべき変更や前のバージョンに戻すべき保存済の変更がなくても、Oracleセキュリティ・トークン・サービスの各ページで「適用」および「元に戻す」ボタンが有効です。
Oracle WSMエージェントのエラーのログにコンテンツが書き込まれません。一般フォルト・エラーのみが存在します。
回避策: ホストOAMサーバーでOracle WSMエージェントのメッセージ・ロギングを有効にします。
$DOMAIN/config/fmwconfig/server/oam_server1/logging.xmlファイルを検索します。
logging.xmlファイルのWSMブロックを次のように変更します。
<logger name="oracle.wsm" level="TRACE:32" useParentHandlers="false"> <handler name="odl-handler"/> </logger> <logger name="oracle.wsm.msg.logging" level="TRACE:32" useParentHandlers="false"> <handler name="owsm-message-handler"/> <handler name="wls-domain"/> </logger>
OSTSポリシー: Oracleセキュリティ・トークン・サービス・ポリシーが(Oracle提供のWSMポリシーのかわりに)使用されている場合、次の手順を実行します。
Oracle_IDM1/oam/server/policyを検索します。
sts-policies.jarを解凍します。
すべてのポリシーを変更してEnforcedをtrueに設定します: META-INF/polices/sts。
<oralgp:Logging orawsp:name="Log Message1" orawsp:Silent="true orawsp:Enforced="true" orawsp:category="security/logging"> <oralgp:msg-log> <oralgp:request>all</oralgp:request> <oralgp:response>all</oralgp:response> <oralgp:fault>all</oralgp:fault> </oralgp:msg-log> </oralgp:Logging>
更新したsts-policies.jarを再度圧縮します。
管理サーバーおよび管理対象サーバーを再起動します。
u18より上位のSun JDK6を使用してWebLogic 10.3.5が構成されている場合、Kerberosトークンの認証の例外が発生します。
Oracleセキュリティ・トークン・サービスからセキュリティ・トークンを要求する認証トークンとしてKerberosトークンを使用する場合:
検証テンプレートで構成されているキー・タブ・ファイルは常に、KDCサーバーの最新バージョンである必要があります。
KVNOは常に、サーバー上で使用可能な最新のものである必要があります。
『Oracle Access Managerアクセス管理ガイド』には、次の記述があります: 「トークン・プロトコルをWS-TrustからWS-Securityに切り替える場合、「トークン・タイプ」リスト内のオプションは変更されません。ただし、必要なデフォルト・パートナ・プロファイル・リストが表示され、ここからWS-Securityのプロファイルの1つを選択する必要があります。」
修正: トークン・プロトコルをWS-TrustからWS-Securityに切り替えると、必須フィールドのデフォルト・パートナ・プロファイルが表示されます。このフィールドの値を選択する必要があります。このフィールドの値を選択せずにWS-Trustに戻すと、「トークン・タイプ」リスト内のオプションが正しく更新されず、WS-Trustのトークン・タイプ値が設定されません。
NameIdentifierユーザー属性の値がnullまたは空であっても、エラー・メッセージが戻されるのではなく、「NameIdentifier」フィールドが空の状態で発行されたアサーションを発行できます。次に例を示します。
<saml:NameIdentifier Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"/>
回避策: 発行テンプレート内の「名前識別子ユーザー属性」フィールドにはユーザー・ストアの値が必要です。
ここでは、次の内容について説明します。
Windows 2008サーバーおよびWindows 2007マシンでサポートされているデフォルトのKerberos暗号化は、AES256-CTS-HMAC-SHA1-96、AES128-CTS-HMAC-SHA1-96およびRC4-HMACです。
クライアントがDESのみの暗号化を使用するように構成されている場合、ユーザーはKerberos認証を使用して保護されているリソースにアクセスできません。エラー・メッセージAn incorrect username and password was specified
が表示されます。
初期のKerberosトークンが存在しないため、ブラウザはOAMサーバーでは認識されないNTLMトークンを送信します。このため、ユーザー認証が失敗します。
回避策として、暗号化メカニズムを有効化し、次に記述されている手順に従います:
http://technet.microsoft.com/en-us/library/dd560670%28WS.10%29.aspx
ここでは、次の内容について説明します。
Internet Explorerブラウザの制限により、偽装先のユーザーIDにASCII以外の文字が含まれるときに偽装が失敗して「承諾」ページに移動できない場合があります。
ブラウザ内で偽装を開始するURLを直接入力したり貼り付けると、かわりにfailure_urlに移動します。
Oracle Access Manager 10gでは、ORA_FUSION_PREFS Cookieドメインには次の形式(2つのドット)が使用されていました。
10g Form .example.com
しかし、Oracle Access Manager 11gでローカライズされたログインでは、ORA_FUSION_PREFS Cookieドメインに対して次の形式(3つのドット)のみが受け入れられます。
11g Form .us.example.com
たとえば、ホスト名がruby.us.example.com
である場合、Oracle Access Manager 11gは、ドメイン名.us.example.com
を使用してCookieを作成します。
しかし、アプリケーション・セッションは、ドメイン名.example.com
を使用してCookieを作成するため、このCookieを使用するアプリケーションとFusion Middlewareの間で相互運用性に関する問題が発生します。
回避策: 次の例に示すように、11gの要件に応じてFACookieDomain
パラメータを更新し、oam-config.xml内のVersion xsd:integer
を増分します。
DOMAIN_HOME/config/fmwconfig/oam-config.xmlをバックアップします。
編集するためにファイルを開き、変更には細心の注意を払ってください。
FACookieDomain
を自分のドメインに設定します(3つのドット区切りを使用)。
<Setting Name="FAAppsConfig" Type="htf:map"> <Setting Name="FACookieDomain" Type="xsd:string">.us.example.com</Setting> <Setting Name="FAAuthnLevel" Type="xsd:integer">2</Setting> <Setting Name="consentPage" Type="xsd:string">/oam/pages/impconsent.jsp </Setting> </Setting>
構成バージョン: 次に示すように、Version xsd:integer
をこの例の最終行の値まで増分します(既存の値(ここでは26) + 1)。
例:
<Setting Name="Version" Type="xsd:integer">
<Setting xmlns="http://www.w3.org/2001/XMLSchema"
Name="NGAMConfiguration" Type="htf:map:>
<Setting Name="ProductRelease" Type="xsd:string">11.1.1.3</Setting>
<Setting Name="Version" Type="xsd:integer">26</Setting>
</Setting>
oam-config.xmlを保存します。
この項では、次のガイドに関するドキュメントの訂正箇所を示します。
3.7.1項『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』
3.7.2項『Oracle Fusion Middleware Oracle Access ManagerおよびOracle Security Token Service開発者ガイド』
このガイドにはドキュメントの訂正箇所はありません。
このガイドにはドキュメントの訂正箇所はありません。
この項には、『Oracle Fusion Middleware Oracle Access Manager統合ガイド』(原本部品番号E15740-04)にのみに適用される訂正箇所が含まれます。
このガイドには次のドキュメントの訂正箇所が含まれています。
『Oracle Fusion Middleware Oracle Access Manager統合ガイド』(原本部品番号E15740-04)の第5章「Oracle Access ManagerとOracle Identity Managerの統合」5.2項「前提条件」の手順8aでは、Oracle Identity Managerが実行しているドメインでLDAP同期(LDAP sync)の構成を準備するように指示しています。
手順8aでは、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』(原本部品番号E12002-09)の14.8.5項「LDAP同期を有効にするための前提条件の完了」を参照するように指示しています。この項のいくつかの手順(OIMユーザーおよびグループの作成など)はすでに完了しているため、混乱が生じる可能性があります。
このかわりに、手順8aで、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の14.8.5.2項「Oracle Virtual Directoryのアダプタの作成」を参照するように指示して、Oracle Internet Directoryに対するOracle Virtual Directoryアダプタを構成できるようにします。
さらに、5.2項「前提条件」の手順8cでは、Oracle Identity Managerが実行しているドメインでLDAP同期(LDAP sync)を構成する構成ウィザードを実行するように指示しています。この手順は、LDAP同期が有効でない状態でOracle Identity Managerがインストールされた場合には動作しません。
このかわりに、手順8cで、『Oracle Fusion Middleware Oracle Identity Managerシステム管理者ガイド』(原本部品番号E14308-08)の10.1項「インストール後のLDAP同期の有効化」で、インストール後のLDAP同期を有効化する正しい手順を参照するように指示する必要があります。
5.4項「Oracle Identity Managerでの統合タスクの実行」に、手順3の-configOIM
コマンドの実行時にプロパティ・ファイルに指定されるすべてのプロパティの定義が提供されていません。
次のプロパティ定義を使用して、プロシージャのプロパティ・ファイルの構成に役立ててください。
表3-1 configOIMコマンドのプロパティ
プロパティ | 定義 |
---|---|
LOGINURI |
OPSSによって必要とされるURI。デフォルト値は/${app.context}/adfAuthentication |
LOGOUTURI |
OPSSによって必要とされるURI。デフォルト値は/oamsso/logout.html |
AUTOLOGINURI |
OPSSによって必要とされるURI。デフォルト値は/obrar.cgi |
ACCESS_SERVER_HOST |
Oracle Access Managerホスト名。 |
ACCESS_SERVER_PORT |
Oracle Access Manager NAPポート。 |
ACCESS_GATE_ID |
OIMが通信する必要のあるOAMアクセス・ゲートID。 |
OIM_MANAGED_SERVER_NAME |
Oracle Identity Manager管理対象サーバーの名前。クラスタの場合、管理対象サーバーを指定できます。 |
COOKIE_DOMAIN |
OIMアプリケーションが存在するWebドメイン。.cc.example.comの形式でドメインを指定します。 |
COOKIE_EXPIRY_INTERVAL |
Cookieの有効期限。-1に設定します。 |
OAM_TRANSFER_MODE |
アクセス・サーバーが機能するセキュリティ・モデル。選択肢はOPENとSIMPLEです。 |
WEBGATE_TYPE |
作成するWebGateエージェントのタイプ。ドメイン・エージェントを使用する場合は |
SSO_ENABLED_FLAG |
SSOが有効かどうかを判断するフラグ。 |
IDSTORE_PORT |
アイデンティティ・ストアのポート番号(IDSTORE_DIRECTORYTYPEに対応)。 |
IDSTORE_HOST |
アイデンティティ・ストアのホスト名(IDSTORE_DIRECTORYTYPEに対応)。 |
IDSTORE_DIRECTORYTYPE |
オーセンティケータが作成される必要のあるディレクトリのタイプ。Oracle Internet Directoryの場合は |
IDSTORE_ADMIN_USER |
管理者権限のあるユーザー。エントリにはユーザーの完全なLDAP DNを含める必要があります。 |
IDSTORE_USERSEARCHBASE |
ユーザーが保存されるディレクトリの場所。 |
IDSTORE_GROUPSEARCHBASE |
グループが保存されるディレクトリの場所 |
MDS_DB_URL |
MDSデータベースのURL。 |
MDS_DB_SCHEMA_USERNAME |
MDSデータベースのスキーマ名。 |
WLSHOST |
WebLogicサーバーのホスト名。 |
WLSPORT |
WebLogicサーバーのポート番号。 |
WLSADMIN |
WebLogicサーバーの管理者。 |
DOMAIN_NAME |
Oracle Identity Managerドメイン名。 |
DOMAIN_LOCATION |
Oracle Identity Managerドメインの場所。 |
4.3項「SPモードでのOracle Identity Federationの統合」のサブセクション4.3.2「Oracle Identity Federationへの委任認証」の手順7cでは、oam-config.xml
構成ファイルのOIFDAP
パートナ・ブロックを更新する方法の例に誤りがあります。正しい例を次に示します。
registerOIFDAPPartner(keystoreLocation="/scratch/keystore", logoutURL="http(s)://oifhost:oifport/fed/user/splooam11g?doneURL=
http(s)://oamhost:oamport/oam/server/pages/logout.jsp", rolloverTime="500")
oifhost
とoifport
は、それぞれOracle Identity Federationサーバーのホストとポートを参照し、oamhost
とoamport
は、それぞれOracle Access Managerサーバーのホストとポートを参照しています。