Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
この章では、セキュリティ・トークン・サービスのトラブルシューティングに関するヒントを提供します。
問題: トークンの発行操作中に認可に失敗しました
WS-Trustリクエストの発行操作中に、セキュリティ・トークン・サービスがエラーを返します。
エラー・メッセージ
ログに表示される可能性があるエラー・メッセージのサンプルを次に示します。
<Error> <oracle.security.fed.controller.ApplicationController> <STS-12064> <Exception: {0} oracle.security.fed.event.EventException: oracle.security.fed.event.EventException: Authorization Failure for Relying Party=%RELYING_PARTY_ID%, Requester=%REQUESTER_ID% and User=%USER_ID%
この場合:
%RELYING_PARTY_ID%
はリライイング・パーティ・パートナIDを示します。
WS-TrustリクエストにAppliesTo要素が含まれていない場合、%RELYING_PARTY_ID%
はMissingRPに設定されます。
WS-TrustリクエストにAppliesTo要素が含まれ、リライイング・パーティ・パートナにマップできなかった場合、%RELYING_PARTY_ID%
はUnknownRPに設定されます。
WS-TrustリクエストにAppliesTo要素が含まれ、リライイング・パーティ・パートナにマップされた場合、%RELYING_PARTY_ID%
はリライイング・パーティ・パートナIDに設定されます。
着信リクエストがリクエスタ・パートナにマップされた場合、%REQUESTER_ID%
はリクエスタ・パートナIDに設定されます。%REQUESTER_ID%
がnullではない場合、現在のアイデンティティ条件に対してトークン発行ポリシーを評価するときに使用されます。
着信リクエストがユーザー・レコードにマップされた場合、%USER_ID%
はユーザーIDに設定されます。%USER_ID%
がnullではなく、%REQUESTER_ID%
がnullの場合、現在のアイデンティティ条件に対してトークン発行ポリシーを評価するときに使用されます。
問題
トークン発行ポリシーの評価に失敗した理由は、次のいずれかです。
%RELYING_PARTY_ID%
を参照するTokenServiceRPリソースが定義されておらず、トークン発行ポリシーに割り当てられていません。この場合、%RELYING_PARTY_ID%
を参照するTokenServiceRPリソースを作成し、トークン発行ポリシーに割り当てます。
%RELYING_PARTY_ID%
を参照するTokenServiceRPリソースが存在し、トークン発行ポリシーに割り当てられていますが、ポリシーに満たされていない条件があります。この場合、ポリシー・ルールを確認します。ポリシーが正しい場合、クライアントはトークンをリクエストできません。それ以外の場合は、クライアントのアイデンティティを含むようにポリシー/条件を更新します。
問題: エンドポイントが見つかりません
Oracle Access Managementコンソールを介して追加されたOracle Security Token Serviceエンドポイントにアクセスすると、WSDLポリシーを取得するときにページが存在しないか、エンドポイントが存在しないことを示すエラーがサーバーに返されます。
エラー・メッセージ
表示される可能性があるエラー・メッセージは次のとおりです。
WSDLポリシーを取得するときに、404 HTTPエラー・コードが返されます。
WS-Trustリクエストを送信するときに、エラーが報告されます。
<Error> <oracle.webservices.service> <OWS-04115> <An error occurred for port: PortableProvider: oracle.j2ee.ws.server.EndpointNotFoundException: /PATH.>
解決策
セキュリティ・トークン・サービスがデプロイされていますが、有効になっていません。セキュリティ・トークン・サービスを有効にするには、次の操作を実行します。
Oracle Access Managementコンソールに移動します。
「システム構成」に移動し、「共通構成」、「使用可能なサービス」の順に選択します。
セキュリティ・トークン・サービスを有効にします。
セキュリティ・トークン・サービスが変更を検出し、エンドポイントを公開します。再起動は不要です。
問題: AppliesTo要素をリライイング・パーティ・パートナにマップできません
セキュリティ・トークン・サービスでWebサービス・プロバイダを参照するAppliesTo要素を使用してWS-Trustリクエストを処理する場合、サーバーでは、パートナ・エントリに定義されているリソースURLを使用して、AppliesTo要素に含まれるロケーションをセキュリティ・トークン・サービス・リライイング・パーティ・パートナにマップしようと試みます。そのようなマッピングが失敗した場合、サーバーでは、操作が失敗したこと、および使用されたAppliesToアドレスを示す情報メッセージがログに記録されます。
エラー・メッセージ
エラー・メッセージのサンプルを次に示します。
[2011-04-22T15:08:12.632-07:00] [oam_server1] [NOTIFICATION] [STS-15542] [oracle.security.fed.eventhandler.sts.creation.v13.CreateV13TokenEventHandler] [tid: [ACTIVE].ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: f00aacae2d3f3ded:125005ed:12f7f412274:-8000-0000000000000016,0] [WEBSERVICE_PORT.name: wssuser-port] [APP: oam_server] [J2EE_MODULE.name: sts] [WEBSERVICE.name: wssuser-serviceSoap12] [J2EE_APP.name: oam_server] The mapping of the AppliesTo element from the WS-Trust Request to a Relying Party Partner failed: could not map http://relying.party.test.com/testing/service
解決策
AppliesToロケーションをリライイング・パーティ・パートナにマップする必要がある場合は、リソースURLが次のように正しく定義されるようにパートナ設定を確認する必要があります。
AppliesToアドレスと完全に一致
AppliesToアドレスの親
たとえば、AppliesToアドレスがhttp://relying.party.test.com/testing/serviceの場合、親はhttp://relying.party.test.com/testing/またはhttp://relying.party.test.com/になります。どちらの場合も、AppliesToロケーションはそのリソースURLが定義されているリライイング・パーティ・パートナにマップされます。
注意: このメッセージは通知レベルで記録されるため、セキュリティ・トークン・サービスで記録されるようにするには、Notification:1レベルを含むように、適切なロギング・レベルを設定する必要があります。 |
場合によっては、AppliesToアドレスをリライイング・パーティ・パートナに正しくマップできないと、次の理由によりエラーが発生します。
認証評価の失敗
セキュリティ・トークン・サービスで、リライイング・パーティ・パートナに属している証明書を取得できない。