| Oracle® Fusion Middleware Identity Managementリリース・ノート 11gリリース2 (11.1.2.2) B72796-06 |
|
 前 |
 次 |
この章では、Oracle Access Managementに関連する問題について説明します。次のトピックが含まれます:
|
注意: 最新の変更や情報は、My Oracle SupportのドキュメントID 1537796.1を参照してください。 |
この項では、特定のAccess Managerサービス別にまとめた一般的な問題および回避策について説明します。サービス関連のトピック(アクセス・ポータルなど)がなければ、この時点で一般的な問題はありません。
次のトピックが含まれます:
このトピックでは、Oracle Access Management Access Manager (Access Manager)の一般的な問題および回避策について説明します。次のトピックが含まれます:
第5.1.1.17項「WebSphere Application Serverに対するupgradeConfig()が失敗する」
第5.1.1.20項「IBM Power AIX 6.1および7.1における64ビット・プラットフォーム非OHS WebGateエージェントにLDR_PRELOAD64フラグが必要」
第5.1.1.25項「StaticメソッドUserSession.getSessionAttributes()を取得できない」
第5.1.1.27項「WebSphere Trust Association Interceptorでサポートされないアイテム」
第5.1.1.33項「OSSO Agent for 11g OHSによって保護されている場合、"/"コンテキスト・ルートにアクセスできない」
第5.1.1.34項「Oracle Entitlements Serverによって保護されているときにAccess Managerを起動すると例外がスローされる」
第5.1.1.36項「認証の失敗: WNAチャレンジ、Active Directory、非ASCII文字が含まれるユーザー」
Internet Explorer (バージョン8以上)を使用していて、認証スキームが「BasicScheme」に設定され、アプリケーション・ドメインで障害URLが構成されているとき、試行失敗の最大数に到達すると、ユーザーは障害URLにリダイレクトされません。障害URLまたはOAMシステム・エラー・ページにはリダイレクトされず、エラーが表示されます。
これを回避するには、OAM側のMaxRetryLimitの値を3以下に設定し、OverrideRetryLimitチャレンジパラメータを1、2または3に設定します。こうすることで、ユーザーは構成された回数分のみ入力を求めるプロンプトが表示され、失敗時には構成された障害URLへのリダイレクションが実行されます。
IAM Suiteは、OAM 11.1.2がインストールされているときに作成されるOOTBアプリケーション・ドメインです。このアプリケーション・ドメインはインストール後に名前を変更することもできますが、OAMを11.1.2.2.0にアップグレードするときにはIAM Suiteに名前を戻す必要があります。名前が変更されていると、WLS管理ログに次のエラーが表示されてアップグレード操作が失敗します。
java.lang.NullPointerException at oracle.security.am.common.policy.tools.upgrade.r2ps2.bootstrap.FedR2PS2Bootstr apHandler.createFedAuthnResource(FedR2PS2BootstrapHandler.java:505) at oracle.security.am.common.policy.tools.upgrade.r2ps2.bootstrap.FedR2PS2Bootstr apHandler.doBootstrap(FedR2PS2BootstrapHandler.java:151) at oracle.security.am.common.policy.tools.upgrade.r2ps2.bootstrap.R2PS2BootstrapH elper.doBootstrap(R2PS2BootstrapHelper.java:70) at oracle.security.am.common.policy.tools.PolicyComponentLifecycle.initialize(Pol . icyComponentLifecycle.java:99)
IAM Suiteアプリケーション・ドメインの名前が変更されている場合、アップグレード・プロセスの開始前に元のIAM Suiteの名前に戻しておく必要があります。アップグレード後、名前をカスタム名に変更しなおすことができます。
モバイル機器とAccess Managerサーバー間の時間の同期はサポートされていないため、時間の同期が取れていない場合、モバイル機器で生成されたOTPコードはAccess Managerで検証されません。
Access ManagerとIdentity Managerの統合環境で、Active Directoryがバックエンド・アイデンティティ・ストアの場合、無効な資格証明を使用した認証試行が指定回数繰り返されても、ユーザー・アカウントはロックされません。
UseCaseInsensitiveResourceMatchフラグ(大/小文字を区別したリソースのパターン一致の制御)が機能しません。この問題を回避するには、構成キー名をUseCaseInsensitiveResourceMatchからUSE_CASE_INSENSITIVE_RESOURCE_MATCHに変更します。
「大文字/小文字を区別しないポリシー・リソースの一致」オプションに関する問題を回避するには、oam-config.xmlに設定を追加し、それを構成する必要があります。次の設定を「PolicyService」→「OAMPolicyProvider」→「properties」の下に追加する必要があります。
<Setting Name="USE_CASE_INSENSITIVE_RESOURCE_MATCH "Type="xsd:boolean">true</Setting>
クライアント側セッションの管理(Cookieベースのセッション管理とも呼ばれます)は、11g WebGateエージェントでのみ使用可能です。
11g APACHE WebGate用のDCC WebGateプロファイルにログアウトURL (/logout.html)のデフォルト値が含まれている場合、DCCのCookieはログアウト時にクリアされないため、セッションがブラウザ内に残ります。ログアウトURLのデフォルト値をDCC WebGateプロファイルから削除すると、ログアウトは予期したとおりに動作します。
マルチ・データ・センターおよびポリシーの自動同期機能では、ポリシーのアーティファクトのみがサポートされ、システムのアーティファクトはサポートされません。また、ポリシーの自動同期は初期状態では無効になっています。有効化するには、Javaシステム・プロパティを-DENABLE_ENTITY_JOURNAL=trueに設定します。
認証後ルールの書込み時には、一部のユーザー属性は使用できません。このリリースでは、userId、userDNおよびguidのみが使用可能です。
Websphere Application Serverへのデプロイを行った場合、AdminServerとoam_serverが稼働した状態でオフラインwsadminコマンド(Oam.createUserIdentityStoreなど)を実行したときに、Access Managerコンソールまたはrregを使用したパートナ登録が失敗します。問題を修正するには、オフラインwsadminコマンドを実行するたびにサーバーを再起動します。
値を持たない属性がアイデンティティ・ストア内で定義されている場合、その属性を参照するレスポンス内のパラメータがNULLに置き換えられます。たとえば、指定したユーザーに対するパラメータ${user.deptname}の値がアイデンティティ・ストア内で定義されていない場合、実行時のレスポンスはNULLになります。(R1ではNONEが使用されていました。)
このエラーを回避するには、インストール後の手順としてidmConfigTool.shを使用し、WebLogic管理サーバー・ホスト、ポートおよびWebLogicユーザー用の値(パスワードを含む)をOAM構成ストア内にプロビジョニングします。IDS MBeanへのアクセス時に、ログインしたサブジェクトのユーザーおよびパスワードのかわりに、これらの値を使用します。
デザインごとのSHA-2サポートの既知の制限事項を次に示します。
SHA-2証明書を使用したときにWebGateが簡易モードで動作しません。
SHA-2のサポートが32ビット・プラットフォームで提供されません。
SHA-224証明書がサポートされません。
CookieベースのSMEが有効になっている(trueに設定されている)場合、詳細なタイムアウト機能は正しく動作しません。これは想定されている動作です。
Access Manager 11gをWebSphere Application Serverコンテナにデプロイした場合、X509プラグインではOCSPを使用できません。
upgradeConfig()は、一部のシェルでWebSphere Application Serverに対して使用したときに失敗します。たとえば、tcshシェルの使用時、WebSphereに対してwsadmin.shスクリプトを実行しても、ORACLE_HOMEはエクスポートされません。このため、処理は失敗し、「Could not identify correct ORACLE_HOME location」というエラー・メッセージが出力されます。この問題を回避するには、次の手順を実行します。
bashシェルを使用して、$ORACLE_HOME/common/bin/wsadmin.shを起動します。
bashシェルを使用した場合、同じ問題は発生しません。
ORACLE_HOMEの値を明示的にエクスポートします。
export ORACLE_HOME
ORACLE_HOMEがエクスポートされるように、$ORACLE_HOME/common/bin/wsadmin.shを変更します。
OAM10gとOAM11gを構成する(共存はR2PS2の新機能です)には、JDK7に含まれる2つのセキュリティJARが必要です。
JDK 7u40では、X.509の最小鍵長が512ビットから1024ビットに増加します。(この変更は、現在の標準で脆弱とみなされている鍵長が使用されないようにすることを目的としています。)このデフォルト動作を変更する方法については、JDKのドキュメントを参照してください。
IBM Power AIX 5.3、6.1および7.1の64ビット・プラットフォーム非OHS WebGateエージェントのサポートが追加されました。次のコマンドを使用してLDR_PRELOAD64フラグを設定しないかぎり、ApacheサーバーはAIX 6.1および7.1では起動も動作もしません。
export LDR_PRELOAD64=libclntsh.so
11gR2 PS1 ASDKは、次のように間違ったバージョン情報を返します。
getSDKVersion() APIは、値11.1.2.1.0のかわりに11.1.2.0.0を返します。
ofm_oam_sdk_generic_11.1.2.1.0_disk1_1of1.zipディスクの名前がofm_oam_sdk_generic_11.1.2.0.0_disk1_1of1.zipになる場合があります。
次の無害な例外は、管理サーバーと管理対象サーバーで発生する可能性があります。これは無視できます。
java.lang.NoClassDefFoundError:
oracle/security/am/engines/rreg/common/RegistrationRequest
at java.lang.Class.getDeclaredMethods0(Native Method)
at java.lang.Class.privateGetDeclaredMethods(Class.java:2427)
at java.lang.Class.privateGetPublicMethods(Class.java:2547)
at java.lang.Class.getMethods(Class.java:1410)
at oracle.security.am.admin.config.mgmt.beanimpl.AMBootstrap.
isBootstrapCandidate (AMBootstrap.java:191)
at oracle.security.am.admin.config.mgmt.beanimpl.AMBootstrap.
invokeBootstrapMethods(AMBootstrap.java:146)
at oracle.security.am.admin.config.mgmt.beanimpl.AMBootstrap.
doServerBootstrap(AMBootstrap.java:106)
at oracle.security.am.admin.config.mgmt.beanimpl.AMBootstrap
load(AMBootstrap.java:247)
次の無害な例外は、AdminServer-diagnostic.logファイルに出力されます。これは、管理コンソールの機能に影響することはないため、無視できます。
oracle.mds.exception.ReadOnlyStoreException: MDS-01273:
The operation on the resource /oracle/oam/ui/adfm/DataBindings.cpx failed
because source metadata store mapped to the namespace / DEFAULT is read only.
at
oracle.mds.core.MDSSession.checkAndSetWriteStoreInUse(MDSSession.java:2495)
at
oracle.mds.core.MDSSession.checkAndSetWriteStoreInUse(MDSSession.java:2548)
at oracle.mds.core.MDSSession.getMutableMO(MDSSession.java:3493)
at oracle.mds.core.MDSSession.getMutableMO(MDSSession.java:1660)
at oracle.mds.core.MDSSession.getMutableMO(MDSSession.java:1546)
at oracle.adfdt.model.mds.MDSApplicationService.findApplication
(MDSApplicationService.java:57)
at oracle.adfdt.model.mds.MDSModelDesignTimeContext.initServices
(MDSModelDesignTimeContext.java:232)
at oracle.adfdt.model.mds.MDSModelDesignTimeContext.<init>
(MDSModelDesignTimeContext.java:82)
at oracle.adfdt.mds.MDSDesignTimeContext.<init>
(MDSDesignTimeContext.java:66)
at oracle.adf.view.rich.dt.DtAtRtContext.<init>
(DtAtRtContext.java:22)
at oracle.adf.view.rich.dt.Page.<init>(Page.java:535)
at oracle.adf.view.rich.dt.Page.getInstance(Page.java:80)
at oracle.adf.view.page.editor.customize.ComposerPageResolver.getPageObject
(ComposerPageResolver.java:200)
at oracle.adfinternal.view.page.editor.contextual.event.ContextualResolver.
getPageDefinition(ContextualResolver.java:1229)
at oracle.adfinternal.view.page.editor.contextual.event.ContextualResolver.
<init>(ContextualResolver.java:129)
WLSTコマンドは、次の変更を手動でoam-config.xmlに加えないかぎり、フェデレーテッドSSOパスワード・ポリシー・プロファイルの追加、編集または削除に使用できません。
既存のoam-config.xmlファイルをバックアップします。
このファイル内で、Setting Name="UserProfileInstance"を探し、"UserProfileInstance"設定の子として、次のエントリを追加します。
<Setting Name=""NEW_PROFILE" Type="htf:map"> <Setting Name="PasswordPolicyAttributes" Type="htf:map"> <Setting Name="FORCED_PASSWORD_CHANGE" Type="xsd:boolean">true</Setting> <Setting Name="USER_ACCOUNT_DISABLED" Type="xsd:boolean">true</Setting> <Setting Name="PASSWORD_EXPIRED" Type="xsd:boolean">true</Setting> <Setting Name="TENANT_DISABLED" Type="xsd:boolean">true</Setting> <Setting Name="USER_ACCOUNT_LOCKED" Type="xsd:boolean">true</Setting> </Setting> </Setting>
編集や削除をする場合は、変更をoam-config.xml内の既存のプロファイル・エントリで行う必要があります。
oam-config.xmlのVersion設定の値を増やして、変更を保存します。
リソースへのアクセス時には、Access Manager診断ログにCertPathValidatorExceptionが記録されます。例:
[2013-03-12T21:39:09.281-07:00] [oam_server1] [ERROR] [OAMSSA-12117] [oracle.oam.engine.authn] [tid: WebContainer : 3] [ecid: disabled,0] [APP: oam_server_11.1.2.0.0] Cannot validate the user certificate.[[ java.security.cert.CertPathValidatorException: The certificate issued by O=My Company Ltd, L=Newbury, ST=Berkshire, C=GB is not trusted; internal cause is: java.security.cert.CertPathValidatorException: Certificate chaining error at com.ibm.security.cert.BasicChecker.<init>(BasicChecker.java:111) at
静的なgetSessionAttributes()メソッドは、ユーザーの一部のSession属性を取得しません。取得するのはASDKを使用して設定されたもののみです。
複数タブ・ブラウザの動作をサポートするにはFORM Cache Modeを使用する必要があります。デフォルトではCOOKIE Modeに設定されています。
次のアイテムは、Access Manager WebLogic Server Id Asserterと比較してAccess Manager WebSphere Trust Association Interceptor (TAI)でサポートされていないものです。
Access Manager WAS TAIでは、OAM_IDENTITY_ASSERTIONヘッダーによるSAMLアサーションがサポートされていません。
OAM WAS TAIではアイデンティティ・コンテキストがサポートされていません。アイデンティティ・コンテキストは、OAM_IDENTITY_ASSERTIONヘッダーを基に、Access Manager WebLogic Server Identity Asserterによってサポートされています。
idmConfigTool.sh -configOAMの実行後、2つのWebGateプロファイルである、Webgate_IDMとWebgate_IDM_11gが生成されます。両方とも11gです。各Access Managerサーバーの構成をoamtestツールを使用して確認しているとき、管理コンソールには、正確に接続ステータスが表示されますが、WebGateごとに長いエラー/例外がログに記録されます。このエラー・ログは予想されたもので、無視できます。
完全移行の後に、新規の増分移行または差分の増分移行を実行するとき、単純ポリシーが移行されません。この問題は最大セッション時間の経過によるものです。管理サーバーを再起動するか、最大セッション時間の値を120分を超えるように変更します。
Internet Explorer 9を使用して、cnまたはjp用にローカライズされたOAM管理コンソールにアクセスするとき、「使用可能なサービス」のテキストをダブルクリックしても関連するページは開きません。このテキストに対応するフォルダ・アイコンをクリックすると正常に動作します。または、Internet Explorer 8やFirefoxを使用して回避します。Internet Explorer 7を使用したときに動作する場合は、OAMをExplorer 7互換モードで実行するように強制することもできます。Oracle Technology NetworkのIE 9でのIE 8互換モードによるADF Facesアプリケーションの実行に関するPDFの記事を参照してください。
RSAプラグインがシステム・プラグインから削除されました。この機能は、カスタムRSAプラグインをインストールおよび使用することでアクセスできます。
Oracle Access Management Access Managerの追加によりOracle Identity Managerドメインを拡張する場合は、OIMAuthenticationProviderが削除されます。OIMとOAMをidmConfigTool -configOIMを使用して統合したときには、プロバイダが必要に応じて自動的に再ロードされます。idmConfigTool -configOIMを使用していない場合は、プロバイダを手動で作成する必要があります。
11g OHSに付属のmod_ossoエージェントは、@コンテキスト・ルート'/'を保護するように構成できません。
Oracle Entitlements Serverによって保護されているAccess Managerのインスタンスを起動すると、実行時例外が発生します。この例外は無視してかまいません。
ASCIIではない名前を使用して、WebGateをAccess Managerに登録します。アクセス・テスターで、有効なIPアドレス、ポートおよびエージェントID(非ASCII名)を入力し、「接続」をクリックします。
接続テストに失敗します。
WNAチャレンジ・メソッドが含まれるKerberos認証スキームを使用するようにAccess Managerを構成し、Microsoft Active Directoryに非ASCIIユーザーを作成します。
問題
ユーザー詳細を取得してサブジェクトにユーザーDNおよびGUID属性を移入しようとすると、例外が発生します。Active Directoryの非ASCIIユーザーがAccess Managerによって保護されたリソースにアクセスしようとすると、認証に失敗し、OAMサーバー・ログに次のエラーが記録されます。
... Failure getting users by attribute : cn, value ....
原因
属性のユーザー名はJava文字列としてそのまま渡されます。
解決策
非ASCIIユーザーは、次のJVMシステム・プロパティを$DOMAIN_HOME/binのstartManagedWeblogic.shスクリプトに適用することで、Kerberos WNAスキームによって保護されたリソースにアクセスできます。
-Dsun.security.krb5.msinterop.kstring=true
簡易モードは、JDK 1.6およびAIXプラットフォームではサポートされません。かわりに、オープンまたは証明書モードを使用します。
問題
外部資格証明コレクタ対応のWebGateとリソースWebGateを組み合せている場合、ユーザーは資格証明の提供を2回要求される場合があります。これは、Oracle HTTP Serverによる内部フォワードが生じるURLでログインがトリガーされる場合に発生する可能性があります。
回避策
この問題を解決するには、次の回避策を使用できます。
httpd.confファイルを編集し、(WebGate構成にインクルードされる前に)ディレクトリ・アクセス用にブラウザをリダイレクトするリライト・ルールを追加します。例:
RewriteEngine On RewriteRule ^(.*)/$ "$1/welcome-index.html" [R]
SSL対応のWebサーバー: SSL構成でこれらのルールを繰り返します。
このトピックでは、Oracle Access Managementセキュリティ・トークン・サービス(セキュリティ・トークン・サービス)の一般的な問題および回避策について説明します。次のトピックが含まれます:
Security Token Serviceは、WS-TrustのRequestSecurityTokenメッセージで送信された存続時間を処理しません。一方、WS-Trust RequestSecurityTokenResponseでは、Oracle Security Token Serviceの発行テンプレートにある構成済のトークン有効期間に従った存続時間が格納されています。
Access Manager管理コンソールの「Security Token Service」セクションで新規リクエスタ・プロファイルを作成する際に、新しい属性名マッピングを追加するために、「行番号」というタイトルの列を2回クリックすると、サポートされていない操作例外を示すエラー・メッセージが表示される場合があります。
ブラウザの言語が英語以外の言語に設定されている場合、セキュリティ・トークン・サービス検索では期待した結果が返されないことがあります。たとえば、これは次の設定の場合に発生します。
「リクエスタ」、「リライイング・パーティ」または「発行局」画面で、「パートナ・タイプ」フィールドを「リクエスタ」、「リライイング・パーティ」または「発行局」に設定した場合。
Oracle Access Manager管理コンソールブラウザの設定が英語以外のときに、「トークン発行テンプレート」画面で、Token TypeをUsernameに設定した場合。
Oracle Access Manager管理コンソールブラウザの設定が英語以外のときに、「トークン検証テンプレート」画面で、Token TypeをUsernameに設定した場合。
ブラウザの言語が英語の場合、検索では期待した結果が返されます。
このトピックでは、Oracle Access Management Identity Federation (Identity Federation)の一般的な問題および回避策について説明します。次のトピックが含まれます:
この問題は、次の状況で発生します。
WebGateがリソースのフロンドエンド処理を行っている。
「資格証明コレクタ操作の許可」オプションがこのWebGateで選択されている。
リソースがFederationSchemeを使用するポリシーによって保護されている。
この問題により、リソースへのアクセスをリクエストすると、サーバーからはURLで200が返され、ここでブラウザはPOSTを使用してリクエストをそのURLにポストしますが、ブラウザは302を介してリダイレクトされる必要があります。
この問題を解決するには、FederationSchemeで保護されているリソースのフロンドエンド処理を行うWebGateエージェントに対して、「資格証明コレクタ操作の許可」オプションを無効にします。
このトピックでは、Oracle Access Management Mobile and Socialの一般的な問題および回避策について説明します。次のトピックが含まれます:
Mobile and Socialは、AndroidデバイスではMozilla FirefoxおよびGoogle Chromeをサポートしています。次の問題は、Android OSのネイティブ・ブラウザを使用した場合に発生することが確認されています。
ネイティブ・ブラウザでレンダリングされたログインWebページでは、ユーザーがユーザー名とパスワードを入力できない。
モバイル・クライアントにモバイル・シングル・サインオン・アプリケーションがインストールされていない場合、Androidのネイティブ・ブラウザでは、ユーザーが認証可能なページにリダイレクトされません。これは、ネイティブ・ブラウザのJavaScriptサポートの制限によるものです。
Internet Explorerユーザーは、保護モードを有効にしていない場合、ソーシャル・アイデンティティ・プロバイダにサインインできません。空白のページが表示されてしまいます。
Internet Explorerのバージョン8および9でこの問題を回避するには、保護モードを有効にします。
Internet Explorerのメニューから「ツール」→「インターネット オプション」→「セキュリティ」を選択します。
「保護モードを有効にする」を選択して、ブラウザを再起動します。
Googleでサインインしたユーザーが画面上のメニューと異なる言語を選択した場合、Mobile and Socialが管理する要求フローの外部にページ要求がリダイレクトされます。このため、Googleが生成するログイン・ページは、Mobile and Socialが生成するページと異なる言語の場合があります。Mobile and Socialは、ブラウザの言語設定を基に翻訳したページを提供します。ページが異なる言語で表示されるのを回避するには、ユーザーが変更する場合にブラウザの言語設定のみを使用する必要があります。
Oracle Access Managementコンソールでは、ナビゲーション・ペインで「Mobile and Social設定」ツリーを表示しているときにこのペインの表示範囲外のコンテンツをクリックおよびドラッグできてしまいます。
この問題を回避するには、ページをリフレッシュするか、ログアウトして再度ログインします。
この項では、特定のサービスに関してまとめた構成の問題およびその回避策について説明します。説明を簡潔にするために、問題のあるサービスについてのみ説明します。たとえば、Identity Contextにはこの時点で既知の問題がないため、ここには含まれていません。次のトピックが含まれます:
このトピックでは、Oracle Access Management Access Manager (Access Manager)の構成の問題および回避策について説明します。次のトピックが含まれます:
OAM 10g環境を11gに移行しているとき、複数のデータベース・インスタンスがディレクトリ・サーバー・プロファイルで構成され、それらの一部が同じdisplayName値を共有している場合、データ・ソースにある一部のデータベース・インスタンスは移行プロセスで新しい環境へ変換されません。これを回避するには、ディレクトリ・サーバー・プロファイルで2つのインスタンスが同じdisplayNameの値を持たないように、10g環境のデータベース・インスタンスの名前を変更します。
Access Managerをバージョン11gR2 PS1にアップグレードした後に、パスワード検証スキームがパスワード・ポリシー検証モジュールに設定されていません。コンソールを使用して、パスワード検証スキームをパスワード・ポリシー検証モジュールに設定してください。
IBM HTTP Server (IHS)とWebSphere Application Server (WAS)間の通信は、IHSで用意されているプラグインをインストールおよび構成することで可能になります。次に、インストールと構成手順について説明します。
IHSのインストール時に、付属するプラグインをインストールします。
インストール後にIHSプラグイン・ディレクトリ(たとえば、$IHS_HOME\Plugins\config\webserver1)に移動し、plugin-cfg.xml構成ファイルがあることを確認します。
次のようにplugin-cfg.xmlを変更して、ファイルを保存します。
IHSにアクセスできる仮想ホスト・ポートを追加します。
<VirtualHostGroup Name="default_host">
<!-- Include active IHS port details required for connecting to OAM on WAS -->
<!-- <VirtualHost Name="*:9004"/> -->
<VirtualHost Name="*:8080"/>
<VirtualHost Name="*:17777"/>
</VirtualHostGroup>
<ServerCluster>と、リソースのデプロイ先である該当するサーバー・エントリを含んだ適切な詳細情報を追加します。
該当するサーバー・クラスタ用に<UriGroup>タグを追加します。
<UriGroup Name="oamserver1_Cluster_URIs">
<Uri Name="/oam/*"/>
</UriGroup>
<UriGroup>タグに対応する<Route>タグを追加します。
<Route ServerCluster="oamserver1_Cluster" UriGroup="oamserver1_Cluster_URIs" VirtualHostGroup="default_host"/>
WebSphereで、IBMコンソールを使用して「Environment」→「Virtual Hosts」→「default_hosts」→「Host Alias」の順に移動して、該当するVirtualHostエントリを追加します。
ObAccessClient (11.1.1.5.0 Access Managerコンソールによって作成)を使用して、11g ASDK (11.1.1.7.0、11.1.2.0.0およびこれら以上)用にAccessClientを作成すると次のエラーが発生します。これは、古いObAccessClient.xmlファイルには数値ではなくtrue/falseで表現されたブール設定があるためです。
oracle.security.am.asdk.AccessClient initialize SEVERE:
Oracle Access SDK initialization failed.
これを回避するには、元の(古い)ObAccessClient.xmlをDOMAIN_HOME/output/AGENT_NAMEからASDK構成ディレクトリ(configLocation)へコピーします。または、新しいObAccessClient.xmlのブール値(true/false)を数値(0/1)に変更するために手動で編集します。
1つのWebSphereインスタンスには、oamtai.xmlファイルが1つのみ存在します。デプロイメントに複数のWebGateプロファイルがあり、同じWebSphere Application Serverにデプロイされているアプリケーションを保護している場合(たとえば、10gおよび11g WebGateが混在する場合)、OAM Trust Association Interceptorを次のように構成する必要があります。
デプロイメントでのWebGateの数に関係なく、ファイル内に定義されるエージェント・プロファイルはOAM10gタイプにする必要があります。
アサーション・タイプは、HeaderBasedAssertionとして定義する必要があります。
Access Managerを11gR2から11gR2 PS1にアップグレードすると、obLockedOn属性がOracle Internet Directoryからなくなります。この属性をOIDに追加するには、次の手順を使用します。
obLockedOn属性を手動でスキーマに追加します。
ldapmodifyコマンドでLDIFをOIDにインポートします。
obLockedOnを変更するoamSoftwareUser権限を与えるように、oam_user_write_acl_users_oblockedon_template.ldifを編集します。
%s_UsersContainerDN%をユーザー検索ベースで置換し、%s_GroupsContainerDN%をグループ検索ベースで置換します。
変更したoam_user_write_acl_users_oblockedon_template.ldifをインポートします。
Oracle Access Manager 10g WebGateをOracle Access Management 11gとともに使用する場合、webgate_install_directory/oamsso/logout.htmlページでは、Oracle Access Management 11gサーバー・ログアウト・ページへのリダイレクトを開始するためのJavaScriptコードが必要になります。このページで、WebGate Cookieによってログアウトした場合、11gセッションもクリアされます。Oracle Access Manager 10g WebGateを移行する場合は、Oracle Fusion Middleware Oracle Access Manager管理者ガイドに記載されている手順に従ってください。
OpenSSOエージェント構成のホットスワップを有効にするには、OAMサーバーのOpenSSOプロキシで、openssoエージェントの登録の「その他」プロパティ・セクションに次のプロパティが設定され、エージェント・サーバーが再起動されることを確認します。
J2eeエージェント: com.sun.identity.client.notification.url =http://<AGENT_SERVER_HOST>:<AGENT_SERVER_PORT>/agentapp/notification
Webエージェント:
com.sun.identity.client.notification.url=http://<AGENT_SERVER_HOST>:<AGENT_SERVER_PORT>/UpdateAgentCacheServlet?shortcircuit=false
Webエージェントではサポートされていません: com.sun.identity.agents.config.change.notification.enable=true
エージェントをホストしているOAMサーバーを再起動します。
このトピックでは、Oracle Access Managementセキュリティ・トークン・サービス(セキュリティ・トークン・サービス)の構成の問題およびその回避策について説明します。次のトピックが含まれます:
セキュリティ・トークン・サービスの類似作成(複製)ボタンを使用しても、元の「発行局プロファイル」テンプレートの一部のプロパティ(「セキュリティ」セクションや「属性マッピング」セクションなど)はコピーされません。
管理者は、新しく作成した「発行局プロファイル」に必要な構成項目を手動で入力する必要があります。
Oracle Access Managementコンソールの起動パッドから、「セキュリティ・トークン・サービス」の「トークン発行テンプレート」をクリックします。
既存の「発行テンプレート」を選択し、類似作成(複製)ボタンをクリックします。
新しいコピーした「発行テンプレート」を作成し、新しく作成したテンプレートに必要な構成項目を手動で入力します。
Oracle Access Managementコンソールは、セキュリティ・トークン・サービスのパートナ用に設定された、署名証明書または暗号化証明書を削除する方法を用意していません。
管理者は、次のWLSTコマンドを使用して、これらを手動で削除する必要があります。
セキュリティ・トークン・サービスのパートナの署名証明書を削除するには:
deletePartnerSigningCert
セキュリティ・トークン・サービスのパートナの暗号化証明書を削除するには:
deletePartnerEncryptionCert
このトピックでは、Oracle Access Management Identity Federation (Identity Federation)の構成の問題およびその回避策について説明します。次のトピックが含まれます:
Oracle Access Managementコンソールでは、アイデンティティ・プロバイダの検索画面は、ProviderIdフィールドおよび「パートナ名」フィールドで、「含む」検索ではなく、完全一致(==)を実行することを認識しておく必要があります。
これは完全一致ですが、ユーザーは検索で*をワイルド・カードとして使用できます。
IdPを作成/編集するとき、署名証明書に不正なファイルをアップロードすると、ファイルに証明書が含まれていないことを示す適切なメッセージではなく、NULLポインタ例外エラー・メッセージが表示されます。
このトピックでは、Oracle Access Management Mobile and Social (Mobile and Social)の構成の問題およびその回避策について説明します。次のトピックが含まれます:
外部のLDAPディレクトリ・サーバーを使用するOAuth 3-Legged認可フローには、WebGateプロキシが必要です。この問題を解決するには、Oracle Fusion Middleware Oracle Access Management管理者ガイドのMobile and SocialをサポートするためのWebGateの構成に関する項の手順に従います。
リソース・サーバー構成ページでOAuthスコープを定義するとき、スコープのスーパーセット(UserProfile.*)をサブセット(UserProfile.users)の前に追加します。スコープのサブセットをドロップダウン・リストから削除した後のみ、スコープのスーパーセットをそのリストから選択できます。
設計変更により、登録ページの属性名は英語になり、他の言語にローカライズされていません。このページを翻訳するには、次の手順でOracle Access Managementコンソールを使用して属性名の値を変更します。
Oracle Access Managementコンソールの起動パッドを開き、「Mobile and Social」の「ソーシャル・アイデンティティ」をクリックします。
OAMApplicationなどのアプリケーション・プロファイルが開きます。
「登録サービス詳細とアプリケーション・ユーザー属性のマッピング」セクションの「ユーザー属性表示名」リストに移動します。
英語の値をローカライズした値で置き換えます。
OAMApplicationページで「適用」をクリックして変更を保存します。
「登録」ページを開いて、正しいローカライズ値が表示されていることを確認します。
Mobile and Socialサーバーは、サーバーのローカル言語設定で構成されている言語でエラー・メッセージをモバイル・クライアントに送信します。モバイル・クライアントでは、サーバーのエラー・メッセージを別の言語に翻訳できません。
Yahooソーシャル・アイデンティティ・プロバイダが、ユーザー認証の後にfirstnameとlastnameの値を返しません。この問題を回避するには、Oracle Access Managementコンソールで、次のMobile and Socialのマッピングを変更します。
アプリケーション・プロファイルを開いて編集します。
ソーシャル・アイデンティティ・プロバイダの構成ページが開くまで、「次」をクリックします。
アプリケーション・ユーザー属性とソーシャル・アイデンティティ・プロバイダ・ユーザー属性のマッピング・セクションを開きます。
「属性マッピング」セクションで、ソーシャル・アイデンティティ・プロバイダ・リストの「Yahoo」をクリックします。
次のように値を構成します。
「アプリケーション・ユーザー属性」列でfirstnameを見つけ、対応するソーシャル・アイデンティティ・プロバイダ・ユーザー属性列でnicknameを選択します。
「アプリケーション・ユーザー属性」列でlastnameを見つけ、対応するソーシャル・アイデンティティ・プロバイダ・ユーザー属性列でfullnameを選択します。
アプリケーション・プロファイルを保存します。
「ジェイルブレーク検出ポリシー」の「最高OSバージョン」設定に一度値を割り当てると、値を削除してフィールドを空のままにできません。ドキュメントによると、「最高OSバージョン」フィールドは、ジェイルブレーク・ポリシーを適用する最高iOSバージョンを構成するために使用されます。値が空の場合、最高iOSバージョン番号が確認されず、ポリシーは、「最低OSバージョン」で指定した値よりも上位の任意のiOSバージョンに適用されます。ただし、一度設定すると、値を空に戻せません。この問題を回避するには、「最高OSバージョン」フィールドに値を設定します。
この項では、Oracle Access Managementコンソールに影響する問題について説明します。次のトピックが含まれます:
エージェント登録クイック・スタート・ウィザードのヘルプ画面にコンテンツが表示されません。
OAMサーバーおよびOracle Access Managementコンソールのクライアントが別のロケール用に構成されていると、サーバーは、サーバーで構成されている言語が何であってもクライアントにエラー・メッセージを報告します。
Oracle Access Management 11.1.2および関連サービスを説明するOracleマニュアル(このリリース・ノートを含む)には、OAMサーバー(Access Managerサーバーの旧称)という用語が間違って記載されています。ただし、Oracle 11.1.2マニュアルの次回リリースでは、OAMサーバーがAMサーバー(Access Managerサーバー)に置き換えられます。
ここでは、Oracle Access Management固有のマニュアルに関するドキュメントの訂正箇所について説明します。内容は次のとおりです。
第5.4.1項「Oracle Fusion Middleware Oracle Access Management管理者ガイド」
第5.4.2項「Oracle Fusion Middleware Oracle Access Management開発者ガイド」
『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のドキュメントの訂正箇所は次のとおりです。
creds=チャレンジ・パラメータが、11gのマニュアルに10gのフォーマット(creds:source$name)で記載されています。10gのフォーマットは削除され、11gのフォーマットを説明する文章が追加されました。
間違った構成ディレクトリ・パスWebTier_Middleware_Home/Oracle_WT1/instances1/config/OHS/ohs1/config/が、正しいパスPolicyAgent-base/AgentInstance-Dir/configに置き換えられました。
この章では、Microsoft SharePoint Server 2010のサポートが示されています。2014年3月の時点で、Access Managerと10g WebGateの組合せでは、Microsoft SharePoint Server 2010とMicrosoft SharePoint Server 2013の両方がサポートされています。その他のバージョンのMicrosoft SharePoint Serverは、このリリースではサポートされていません。
『Oracle Fusion Middleware Oracle Access Management開発者ガイド』について、ドキュメントの訂正箇所はありません。
