ヘッダーをスキップ
Oracle® Fusion Middleware Identity Managementリリース・ノート
11gリリース1 (11.1.1.7)
E57529-01
  ドキュメント・ライブラリへ移動
ライブラリ
製品リストへ移動
製品
目次へ移動
目次

前
 
次
 

5 Oracle Identity Federation

この章では、Oracle Identity Federationに関連する問題について説明します。次の項目が含まれます。

5.1 一般的な問題および回避策

この項では、一般的な問題および回避策について説明します。次の項目が含まれます。

5.1.1 認証エンジン用データベース表はbase64形式である必要がある

データベース表を認証エンジンとして使用し、パスワードがMD5またはSHAのいずれかでハッシュされて格納されている場合、base64形式である必要があります。

ハッシュされたパスワードはbase64でエンコードされた形式であるか、{SHA}または{MD5}の接頭辞を持ちます。次に例を示します。

{SHA}qUqP5cyxm6YcTAhz05Hph5gvu9M= 

5.1.2 SSLモードのOracle Identity Federation HAに関する考慮事項

相互にミラー化されている2つ以上のOracle Identity Federationサーバーがあり、フロントエンドにロード・バランサがある高可用性環境でSSLを設定する場合、次の2つの方法があります。

  • SSL接続がユーザーとロード・バランサの間をつなぐように、ロード・バランサでSSLを構成します。この場合、ロード・バランサによって使用されるキーストアおよび証明書には、ロード・バランサのアドレスを参照するCNが含まれます。

    ロード・バランサとWLS/Oracle Identity Federation間の通信では、SSLの使用は任意です(SSLを使用する場合、Oracle WebLogic Serverでは、キーストアおよび証明書がロード・バランサによって信頼されているかぎり、どのキーストアや証明書でも使用できます)。

  • Oracle Identity FederationサーバーでSSLが構成されているため、SSL接続はユーザーとOracle Identity Federationサーバー間のものです。この場合、ユーザーがロード・バランサのホスト名を使用して接続するため、Oracle WebLogic Server/Oracle Identity Federationのキーストアおよび証明書のCNはロード・バランサのアドレスを参照する必要があり、証明書CNがロード・バランサのアドレスと一致している必要があります。

    つまり、ユーザーに接続されるSSLエンドポイント(ロード・バランサまたはOracle WebLogic Server/Oracle Identity Federation)のキーストアおよび証明書には、ロード・バランサのホスト名に設定されたCNが含まれる必要があります。ユーザーは、そのアドレスを使用してOracle Identity Federationに接続するためです。

5.1.3 IDPPROVIDEDNAMEIDVALUEでデータベース列が短すぎるエラー

問題

セッションおよびメッセージ・データ・ストアにデータベース・ストアを使用するようOracle Identity Federationが構成されている場合、IDPPROVIDEDNAMEIDが200文字より長いと、次のエラーが表示されます。

 ORA-12899: value too large for column
"WDO_OIF"."ORAFEDTMPPROVIDERFED"."IDPPROVIDEDNAMEIDVALUE" (actual: 240,
maximum: 200)\n]

回避策

表ORAFEDTMPPROVIDERFEDを変更してidpProvidedNameIDValueの列サイズを240に上げてください。

5.2 構成の問題および回避策

この項では、構成に関する問題およびその回避策について説明します。次の項目が含まれます。

5.2.1 SOAとOIFが同じドメインにある場合のWLST環境変数

サイトで同じドメインにOracle SOA SuiteとOracle Identity Federationが含まれている場合、『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』WLSTの設定手順は、WLSTでOracle Identity Federationコマンドを正常に実行するには不十分です。

このような事態になる可能性があるのは、IdMドメインをインストールしてからOracle SOAインストールを使用してこれを拡張した場合です。この場合、SOAインストーラによりORACLE_HOME環境変数が変更されます。これにより、Oracle Identity FederationのWLST環境が破損します。これは、この環境がORACLE_HOMEのIdM値に依存しているためです。

WLSTコマンドを使用できるようにするには、次の手順に従います。

  1. 『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のWLST環境の設定に関する項に記載されている手順を実行します。

  2. OIF-ORACLE_HOME/fed/script/*.pyWL_HOME/common/wlstへコピーします。

  3. CLASSPATH環境変数をOIF-ORACLE_HOME/fed/scriptsに追加します。

5.2.2 Oracle Virtual DirectoryにはLSAアダプタが必要

Oracle Virtual DirectoryをOracle Identity Federationのユーザー・ストアまたは認証エンジンとして使用するには、ローカル・ストレージ・アダプタを構成し、インストール時またはインストール後の構成時に必要に応じてコンテキスト・ルートを作成する必要があります。

このタスクの詳細は、『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』の「Oracle Virtual Directoryアダプタの作成と構成」を参照してください。

5.2.3 リモートWSフェデレーションSPの設定は動的に変更される必要がある

「フェデレーションの編集」ページで、リモートWS-Fedサービス・プロバイダのOracle Identity Federation (OIF)設定には、「SSOトークン・タイプ」と呼ばれるプロパティが含まれます。「IdP共通設定」ページから値を継承することも、これをここでオーバーライドすることもできます。OIF設定に表示されているプロパティの数は、「SSOトークン・タイプ」の値によって異なります。

「SSOトークン・タイプ」を別の値でオーバーライドする(SAML2.0からSAML1.1へ変更するなど)よう選択した場合、「OIFの設定」に表示されるプロパティの数は、「適用」ボタンをクリックするまで変わりません。

また、「デフォルト名前IDフォーマット」の値を永続識別子または一時/単発識別子にオーバーライドして「SSOトークン・タイプ」の値をSAML2.0からSAML1.1またはSAML1.0に変更した場合、「デフォルト名前IDフォーマット」の値が空になることに注意してください。続行するには、このプロパティをリストの有効な値に再設定します。

5.2.4 WSフェデレーションの信頼できるサービス・プロバイダの作成時に必要なプロパティ

WSフェデレーションの信頼できるサービス・プロバイダを作成する場合、次の手順で「Microsoft Webブラウザ・フェデレーテッド・サインオンの使用」に値を設定する必要があります。

  1. Fusion Middleware Controlで、「フェデレーション」「フェデレーションの編集」と移動します。

  2. WSフェデレーションの信頼できるサービス・プロバイダを新規に作成するよう選択し、「編集」をクリックします。

  3. 「信頼できるプロバイダ設定」セクションでチェック・ボックスを選択または選択解除して「Microsoft Webブラウザ・フェデレーテッド・サインオンの使用」に値を設定します。

  4. 「適用」をクリックします。

5.2.5 レコードの削除後フェデレーテッド・アイデンティティ表がリフレッシュされない

フェデレーション・ストアがXMLベースの場合、レコードの削除後、そのレコードがフェデレーテッド・アイデンティティ表に表示され続けます。

次のシナリオで問題について説明します。

  1. フェデレーション・データ・ストアはXMLです。

  2. 「フェデレーテッド・アイデンティティによるユーザーのマップ」を使用してフェデレーテッドSSOを実行します。

  3. Fusion Middleware ControlでOracle Identity Federationインスタンスを特定し、「管理」「アイデンティティ」「フェデレーテッド・アイデンティティ」と移動します。

  4. 作成されたフェデレーション・レコードをクリックし、削除します。

削除後も、フェデレーテッド・レコードが表にあります。レコードの削除をさらに試みると、エラーになります。

回避策は、「検索」をクリックして表を手動でリフレッシュすることです。

5.2.6 デフォルト認証スキームが保存されない

問題

この問題は、Fusion Middleware ControlでOracle Access Managerをサービス・プロバイダ統合モジュールとして構成した場合に起こります。スキーム(OIF-password-protectedなど)にデフォルトが設定されていますが、ラジオ・ボタンが無効なため、デフォルト認証スキームを設定できません。

解決策

優先使用するデフォルトの認証スキームを設定するには、次の手順に従います。

  1. 現在デフォルトとして設定されているが、無効なスキームの「作成」チェック・ボックスを選択します。

  2. 作成する認証スキームの「作成」チェック・ボックスを選択します。

  3. デフォルトとして設定するスキームのラジオ・ボタンをクリックします。

  4. スキームを作成しない場合のみステップ1のスキームの「作成」チェック・ボックスを選択解除します。

  5. ページで、すべての必要なプロパティを指定します。

  6. 「Oracle Access Managerの構成」ボタンをクリックして変更を適用します。

これで、デフォルト認証スキームが選択したものに設定されました。


注意:

また、認証スキームを削除する場合、デフォルト・スキームを削除しないようにしてください。スキームを削除する必要がある場合、削除前にデフォルトを別の認証スキームに変更します。


5.2.7 アーティファクト・プロファイルを使用して10gと11gのOracle Identity Federationが連携するよう構成

SAML 1.xプロトコルで、アーティファクト・プロファイルを使用して10g Oracle Identity Federationサーバーと11g Oracle Identity Federationサーバーを連携させるには、2つのサーバーの間にBasic認証またはクライアント証明書認証を設定する必要があります。

手順は次を参照してください。

  • 11gリリース1 (11.1.1)の『Oracle Fusion Middleware Administrator's Guide for Oracle Identity Federation』のSOAPエンドポイントの保護に関する項

  • 10g (10.1.4.0.1)の『Oracle Identity Federation管理者ガイド』のOracle Identity FederationがSPである場合に関する項

5.2.8 OAM 11gの鍵の再生成にOracle Identity Federationアップグレード・スクリプトが必要

Oracle Enterprise Manager Fusion Middleware Controlでは、Oracle Access Manager 11gのSP統合モジュールを構成する場合、「再生成」ボタン(「サービス・プロバイダ統合モジュール」ページ、「Oracle Access Manager 11g」タブ)をクリックして秘密鍵を再生成できます。

アップグレードされた11.1.1.7.0環境では、OAM 11gの秘密鍵をこのページで再生成する前にOracle Identity Federationアップグレード・スクリプトを実行する必要があります。このスクリプトの実行方法の詳細は、『Oracle Fusion Middlewareパッチ適用ガイド』を参照してください。

5.3 ドキュメントの訂正箇所

この項では、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』の訂正箇所を示します。この時点で訂正箇所はありません。


注意:

Oracle Identity FederationとOracle Access Manager 11gの統合に関するドキュメントの訂正箇所および他のリリース・ノートは、「Oracle Access Manager」を参照してください。