| Oracle® Fusion Middleware Identity Managementリリース・ノート 11gリリース2 (11.1.2.2) B72796-06 |
|
 前 |
 次 |
この章では、Oracle Identity Managerに関連する問題について説明します。次のトピックが含まれます:
この項では、Oracle Identity Manager 11gリリース2 (11.1.2.2)のパッチ要件について説明します。次の項が含まれます:
My Oracle Support(旧OracleMetaLink)からパッチを入手するには、次のURLに移動し、パッチと更新版をクリックしてパッチ番号を検索してください。
表10-1に、Oracle Database 11g (11.1.0.7)を使用するOracle Identity Manager 11gリリース2 (11.1.2)の構成に必要なパッチを示します。Oracle Identity Manager 11gを構成する前に、Oracle Database 11g (11.1.0.7)データベースに必ずパッチを適用してください。
表10-1 Oracle Database 11g (11.1.0.7)に必要なパッチ
| プラットフォーム | My Oracle Supportでのパッチ番号および説明 |
|---|---|
|
UNIX/Linux |
7614692: 保存例外を伴うバルク機能はORACLE 11Gでは機能しません |
|
7000281: 11GにおけるFOR ALL文の動作の違い |
|
|
8327137: インライン・ビューおよび集計機能の結果が不正です |
|
|
8617824: Oracle Bug#7628358および7598314に対する11.1.0.7の最上位でのマージ・ラベル・リクエスト |
|
|
Linux x86 64ビット |
8545377: CURSOR_SHARING=FORCEの場合に、ORA-1780が発生しました |
|
Windows 32ビット |
8689191: Windows 32ビットでのORACLE 11G 11.1.0.7パッチ16のバグ |
|
Windows 64ビット |
8689199: WINDOWS (64ビットAMD64およびINTEL EM64T)でのORACLE 11G 11.1.0.7パッチ16のバグ |
|
Oracle Solaris on SPARC 64ビット |
8545377: CURSOR_SHARING=FORCEの場合に、ORA-1780が発生しました |
表10-2に、Oracle Database 11g (11.2.0.1.0)を使用するOracle Identity Manager 11gリリース2 (11.1.2.2)の構成に必要なパッチを示します。
Oracle Database 11g (11.2.0.2.0)を使用する場合は、必ずRDBMSパッチ番号9776940に適した(プラットフォームに基づく)バージョンをダウンロードしてインストールしてください。これは、Oracle Identity Managerスキーマをインストールするための前提条件です。
表10-3に、Oracle Database 11gリリース2 (11.2.0.2.0)を使用するOracle Identity Manager 11gリリース2 (11.1.2)の構成に必要なパッチを示します。Oracle Identity Managerスキーマを作成する前に、必ず次のパッチをダウンロードしてインストールしてください。
表10-3 Oracle Database 11g (11.2.0.2.0)に必要なパッチ
| プラットフォーム | My Oracle Supportでのパッチ番号および説明 |
|---|---|
|
Linux x86 (32ビット) Linux x86 (64ビット) Oracle Solaris on SPARC (64ビット) Oracle Solaris on x86-64 (64ビット) |
RDBMSパッチ番号13004894。 |
|
Microsoft Windows x86 (32ビット) |
バンドル・パッチ2[パッチ番号11669994]以降。最新のバンドル・パッチは4[パッチ番号11896290]です。 |
|
Microsoft Windows x86 (64ビット) |
バンドル・パッチ2[パッチ番号11669995]以降。最新のバンドル・パッチは4[パッチ番号11896292]です。 |
|
すべてのプラットフォーム |
パッチ12419331: 11.2.0.2.0ベース・リリースに対するデータベースPSU 11.2.0.2.3 |
このパッチが適用されない場合、ユーザーおよびロールの検索やマネージャのルックアップで問題が発生する可能性があります。また、検索結果として空の結果が戻されることもあります。
表10-4に、Oracle Database 11g (11.2.0.3.0)を使用するOracle Identity Manager 11gリリース2 (11.1.2.2)の構成に必要なパッチを示します。
表10-4 Oracle Database 11g (11.2.0.3.0)に必要なパッチ
| プラットフォーム | My Oracle Supportでのパッチ番号および説明 |
|---|---|
|
Linux x86 (32ビットおよび64ビット) |
14019600: 11.2.0.3.0に対するバグ13004894 13370330 13743357のマージ・リクエスト |
|
Solaris、HP-UX、IBM AIX |
14019600: 11.2.0.3.0に対するバグ13004894 13370330 13743357のマージ・リクエスト |
|
Microsoft Windows 32ビット |
13783452: Windows 32ビットでのORACLE 11G 11.2.0.3パッチ4のバグ |
|
Microsoft Windows 64ビット |
13783453: WINDOWS (64ビットAMD64およびINTEL EM64)でのORACLE 11G 11.2.0.3パッチ4のバグ |
表10-5に、Oracle Database 11g (11.2.0.4.0)を使用するOracle Identity Manager 11gリリース2 (11.1.2.2)の構成に必要なパッチを示します。
Oracle Database 10gでは、CONNECT_BY_ROOT句を使用してマテリアライズド・ビューを作成するときに問題が発生します。これは、CONNECT_BY_ROOT演算子がOracle Database 10g (10.2)では使用できないことが原因です。
この問題を解決するには、表10-6にリストされているパッチを使用します。
表10-6 Oracle Database 10g (10.2.0.3および10.2.0.4)に必要なパッチ
| Oracle Databaseのリリース | My Oracle Supportでのパッチ番号および説明 |
|---|---|
|
10.2.0.3.0 |
7012065: バージョン10.2.0.3.0に対するバグ6908967のBLRバックポート(BLR番号81973) |
|
10.2.0.4.0 |
8239552: バージョン10.2.0.4.0に対するバグ6908967のBLRバックポート(BLR番号113173) |
|
10.2.0.4および10.2.0.5 |
8545377: CURSOR_SHARING=FORCEの場合に、ORA-1780が発生しました |
Oracle Identity Manager提供のパッチの適用時に、次のエラーが生成されます。
ApplySession failed: ApplySession failed to prepare the system.
バージョン要件を満たすために、OPatchバージョン11.1.0.8.1をバージョン11.1.0.8.2にアップグレードする必要があります。
My Oracle SupportからOPatchをダウンロードする方法は、「My Oracle Support(旧OracleMetaLink)からのパッチの取得」を参照してください。
BI Publisher 11.1.1.7.1のパッチ要件の詳細は、第2.2.2項「Oracle Identity Managerをインストールするための必須のパッチ」を参照してください。
SOA 11.1.1.7.0のパッチ要件の詳細は、第2.2.2項「Oracle Identity Managerをインストールするための必須のパッチ」を参照してください。
Oracle Identity Manager環境で、SSLを有効にし、JDK 7u40以上を使用し、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のデフォルト設定を使用したOracle Identity ManagerのSSLの有効化に関する項に記載されているデフォルト設定を使用してSSLを構成した場合は、Oracle WebLogic Serverパッチ13964737を適用します。
Oracle Identity Manager 11gリリース2 (11.1.2.2)の最新のバンドル・パッチをダウンロードして適用する必要があります。それを行うには:
次のURLでMy Oracle SupportのWebサイトにログインします。
「Knowledge」タブをクリックします。
Master Note on Fusion Middleware Proactive Patching - Patch Set Updates (PSUs) and Bundle Patches (BPs) (ドキュメントID 1494151.1)という名前の記事を検索してください。
記事に記載されている指示に従って、適切なバンドル・パッチをダウンロードして適用してください。プロアクティブなパッチ表の'Oracle Identity Manager (OIM) 11gR2'の行では、Oracle Identity Managerの現行リリースのバンドル・パッチについての情報を提供しています。
Oracle Identity Manager 11gリリース2 (11.1.2.2)の主な新機能は次のとおりです。
Oracle Identity Managerでは、「ユーザー・ポリシーの評価」スケジュール済タスクを実行することで、リコンサイルされたアカウントおよびバルク・ロードで作成されたアカウントを既存のアクセス・ポリシーにリンク可能になり、これによって、リコンサイルされたアカウントおよびバルク・ロードで作成されたアカウントをアクセス・ポリシー経由で管理可能になります。リコンサイルされたアカウントまたはバルク・ロードで作成されたアカウントにアクセス・ポリシーをリンクすることは、アクセス・ポリシーの収集とも呼ばれます。
リコンサイルされたアカウントおよびバルク・ロードで作成されたアカウントのみがアクセス・ポリシーとリンクされます(これは直接またはリクエストベースでプロビジョニングされたアカウントは、アクセス・ポリシーの収集では考慮されないことを意味します)。
ユーザーはホーム組織に関連付けられますが、関連する機能を実行するために他の組織へのメンバーシップが必要になることがあります。たとえば、サポート組織に所属するグローバル・ヘルプ・デスク・ユーザーは、他の組織(経理部または営業部など)の特定の機能(パスワード・リセットなど)を表示および実行するためのアクセス権が必要になります。Oracle Identity Managerでは、ヘルプ・デスク・ユーザーを組織ビューア管理ロール(権限付与に適し、それに限定されたロール)に手動で割り当てることができます。動的組織メンバーシップでは、ユーザー属性に基づいてユーザーのメンバーシップを1つ以上の組織に設定するルールを指定できます。この機能では、ロールの操作と同様に、組織のメンバーシップ・ルールを指定できます。ユーザーが他の組織に動的に関連付けられると、その組織で使用可能なユーザー、ロールおよび権限を表示するための暗黙のビューア権限も取得します。特定のユーザーが特定の機能を実行する必要がある場合(他の組織の特定の機能の表示、実行など)、そのユーザーを対応する管理ロールに手動で割り当てることができます。これは、動的なルールベースの組織メンバーシップであり、Oracle Identity Managerで物理組織と関連付ける必要がある仮想組織ではない点に注意してください。
ビジネス・ユーザー、リクエスタ、承認者またはアクセス証明者は、ターゲット・システムでの特定の権限のマップ先に関する詳細情報が必要です。たとえば、e-Businessロールまたは職責を付与すると、ユーザーに一連のメニュー/ボタン権限が付与されます。Oracle Identity Managerでは、リクエスト、承認および証明プロセス中に、このような重要な階層的権限メタデータをインポートおよび使用可能にすることができます。
通常、ユーザーはターゲット・システムに複数のアカウントを持ちます。1人のユーザーへの複数のアカウントの関連付けをサポートする他に、Oracle Identity Managerでは、リクエスト・チェックアウト・プロセス中にリクエスト内の特定の権限を関連付ける対象のアカウントを指定できます。
カタログ監査では、アクセス・リクエスト・カタログ内の変更のフットプリントを維持します。Oracle Identity Managerのカタログ監査機能を有効にすると、UIからアクセス・リクエスト・カタログに変更を加えたユーザーと、その変更の日時および内容を追跡できます。
Oracle Identity Managerのアプリケーション機能は、大量のデータを生成します。パフォーマンスとスケーラビリティの標準を満たすために、Oracle Identity Managerエンティティのライフ・サイクル管理用に生成されるデータを維持することが課題になります。この課題に対処するために、Oracle Identity Managerでは、リアルタイムの継続的なデータ・パージ・ソリューションを提供しています。これを通じて、オプションまたは選択内容に基づいて、リクエスト、リコンシリエーション、タスクおよび編成エンティティ・データを継続的にパージできます。このパージ・ソリューションは、1回構成すると、管理者の介入なしに自動的に機能します。
Oracle Identity Managerでは、リクエスタはリクエスト・カートを保存することによって、リクエストを後で検証および送信することができます。
多くの場合、リクエスタは、アクセス・リクエスト中にリクエストされた項目ごとに追加情報の提供を求められます。たとえば、複数の権限が関係するリクエストで、リクエスタはリクエストした権限ごとに開始日と終了日の指定を求められる場合があります。Oracle Identity Managerでは、リクエスタはこのような情報をリクエスト中に提供することが可能であり、その情報は承認およびプロビジョニング・プロセスまでずっと保持できます。また、Oracle Identity Managerは、指定された開始日および終了日に基づいて権限の付与または失効を行うスケジュール済タスクを提供することもできます。
Oracle Identity Managerは、アカウント権限を要求するリクエスト・カタログを提供します。ただし、ビジネス・ユーザーが権限に関連する依存性を知る必要があります。たとえば、ユーザーは、e-Businessで発注書を作成する権限を付与する権限をリクエストするには、事前にe-Businessアカウントが必要であることを知っている必要があります。現在、Oracle Identity Managerでは、関係する権限がリクエストされるとユーザーのアカウントを自動的にリクエストできるため、ビジネス・ユーザーがアカウントと権限の関係を把握する負担が軽減されています。
Oracle Identity Managerでは、新しいフォームを複雑な権限と関連付けることができます。複雑な権限は、子オブジェクトで表されます(子オブジェクトは2つ以上の属性を持ち、そのうちの1つは権限属性としてマークされています)。このフォームを使用すると、ユーザーは承認プロセス中に承認者の助けになる可能性のある追加情報を提供できます。
Oracle Identity Managerは、アカウントおよび権限の一時的付与をサポートしており、これはアカウントまたは権限を特定の開始日(サンライズ)から終了日(サンセット)までプロビジョニングすることを示しています。次の例に示すように、様々なインスタンスでアカウントおよび権限の開始日および終了日を指定できます。
将来の開始日での従業員のオン・ボーディング
将来の開始日から特定の終了日までの契約者のオン・ボーディング
特定の終了日での従業員の退職
一時的なアカウント(特定の開始日から終了日までアクティブになるようにリクエストできる)
一時的な権限(特定の開始日から終了日までアクティブになるようにリクエストできる)
Oracle Identity Managerでは、証明ワークフロー・プロセスに追加のレビュー・レベルを指定する機能が導入されています。たとえば、Oracle Identity Managerで証明レビュー・プロセスを起動して、そこで営業部長が直属の部下であるユーザーをレビューし、その後その営業部長の上司も、自分の部下の判断を表示しながら同じアクセス権限をレビューすることができます。
Oracle Identity Managerでは、Oracle Enterprise Managerに新しい操作コンソールが導入されており、このコンソールで管理者は定義済のOracle Identity Manager操作、デフォルトおよびカスタムのイベント・ハンドラ、子プロセス、ワークフロー・プロセス、および状態情報とエラー情報のすべての全体像が得られるため、各種のサーバー・ログを調べる必要がありません。このツールは、Enterprise ManagerのIdentity and Access Managementパック(規模が大きくスイート全体の監視機能を提供する)に置き換わるものではありませんが、Oracle Identity Manager専用の便利な診断ツールとして機能します。
Oracle Identity Managerでは、デフォルトのタスクフローが提供されており、Oracle Identity Self Serviceのカスタマイズ・ページで使用することも、他のタスクフローの呼出しにも使用できます。たとえば、ユーザーの詳細ページをカスタマイズして、ユーザーの詳細ページで営業部長のログイン名をクリックした場合に、営業部長のユーザーの詳細が表示されるようにできます。デフォルトまたは事前定義済のタスクフローは、パブリック・タスクフローと呼ばれます。
フォーム・バージョン制御(FVC)ユーティリティを使用すると、フォームのアップグレード操作後にフォーム・データの変更を簡単に管理できます。Oracle Identity Managerでは、次のいずれかを使用することで、フォーム・バージョンおよびデータをアップグレードできます。
フォーム・アップグレード・ジョブ・スケジュール済タスク: フォームのバージョンを最新のアクティブ・バージョンに更新して、フォーム・データをフィールドの作成時にすべてのアカウントに対して指定した値に更新します。
コマンド行FVCユーティリティ: プロビジョニング・プロセス・フォームおよびその関連子フォームでのフィールド・マッピングとデータ更新をサポートします。
Oracle Identity Managerでは、IBM WebSphere Application ServerでのBI Publisherレポートの使用がサポートされています。
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
ローカライズ済表示名がユーザー/ロール増分リコンシリエーションを介してOracle Identity Managerでリコンサイルされない
Oracle Enterprise Linux 6でOracle Identity Managerがデータベースを使用した場合にエラーがスローされる
Oracle Access Manager (OAM)と統合されているOracle Identity Managerデプロイメントでは、Oracle Identity Self Serviceに初めてログインしたときにリダイレクトされ、パスワードをリセットしてチャレンジ質問に回答します。パスワードのリセットとチャレンジ質問への回答に成功すると、認証を再度要求されることなくOracle Identity Self Serviceに自動的にログインします。ただし、そのログイン・セッションは120秒で終了し、ログイン・ページにリダイレクトされます。
この問題を回避するには、oim-config.xmlファイルのssoConfigタグのcookieExpiryInterval構成プロパティを-1に設定する必要があります。
|
注意: oim-config.xmlファイルはMDSに格納されています。このファイルを編集するには、WebLogicエクスポート/インポート・ユーティリティを使用するか、Enterprise ManagerコンソールからMBeanを使用します。 |
displayname;lang-jpなどのサブタイプを持つユーザー属性をiPlanet DS/ODSEEで変更した場合、その変更はリコンシリエーションではOracle Identity Managerに取り込まれません。OID、ADなどの他のディレクトリ・サーバーでは、すべてのサブタイプ属性(displayname、displayname;lang-jpなど)が取り込まれますが、これとは異なり、iPlanet DS/ODSEEでは更新されたサブタイプ属性がログに記録されるだけです。iPlanet DS/ODSEEにはこのような制限事項があるため、サブタイプの更新はリコンサイルされません。
これを回避するには、1つの変更コマンドで、更新対象のサブタイプに加えて、その他のすべてのサブタイプ属性を既存の値で更新します。たとえば、displayName;lang-zh-tw、;lang-fr、および;lang-jaがある場合に、displayName;lang-jaを更新するには、例10-1に示すldifを使用する必要があります。
例10-1 サンプルldifファイル
dn: cn=Role 001,cn=Groups,dc=example,dc=com changetype: modify replace: displayName displayName: Roles 001 - replace: displayName;lang-zh-tw displayName;lang-zh-tw: Roles 001-Chinese - replace: displayName;lang-fr displayName;lang-fr: Roles 001-French - replace: displayName;lang-ja displayName;lang-ja: Roles 001-Japanese_update1
AD組織リコンシリエーションのスケジュール済ジョブが実行されている場合、Oracle Identity ManagerでAD組織は作成されません。
この問題を回避するには:
Design Consoleを使用して、Xellerate組織リソース・オブジェクトのリコンシリエーション・ルールを作成します。それを行うには:
Design Consoleで、「リコンシリエーション・ルール」フォームを開きます。
「名前」フィールドに、AD Organization Recon Ruleと入力します。
「オブジェクト」フィールドで、Xellerate組織を選択します。
「説明」フィールドに、AD Organization Recon Ruleと入力します。
リコンシリエーション・ルールを保存します。
「ルール要素の追加」をクリックします。「ルール要素の追加」ダイアログ・ボックスが表示されます。
「ルール要素」タブで、次のものを選択します。
- 「組織データ」については、「組織名」を選択します。- 「オペレータ」については、「次と等しい」を選択します。- 「属性」については、組織.組織名を選択します。- 「変換」については、「なし」を選択します。
「保存」をクリックしてダイアログ・ボックスを閉じます。
「リコンシリエーション・ルール」フォームで、「アクティブ」を選択します。
「保存」をクリックします。
Xellerate組織リソース・オブジェクトのリコンシリエーション・プロファイルを作成します。それを行うには:
「リソース・オブジェクト」フォームで、Xellerate組織を検索し、選択します。
オブジェクト・リコンシリエーション・タブで、リコンシリエーション・プロファイルの作成をクリックします。
AD組織リコンシリエーション・スケジューラを実行し、OIM組織としてAD組織を作成します。
競合する権限を持つPSFTリソースのリクエスト・プロビジョニングについては、プロセス・フォームのSodCheckViolationフィールドは更新されません。権限の違反は、SoDCheckEntitlementViolationラベルが付いたフィールドにマップされますが、PSFTリソースにあるのは、SoDCheckViolationラベルが付いたフィールドです。したがって、マッピングは行われません。ダイレクト・プロビジョニングおよびアクセス・ポリシーを介したプロビジョニングが、SoDCheckViolationフィールド・ラベルで正常に行われます。
リクエスト・プロビジョニングについてこの問題を回避するには、Design Consoleを使用して、PSFTフォームのSoDCheckViolationフィールド・ラベルをSoDCheckEntitlementViolationに変更します。
アイデンティティ・アプリケーションにアクセスするためのホストおよびポートが、タスクの詳細にアクセスするためのホストおよびポートと異なる場合、承認の詳細に空白ページが表示されます。
タスクの詳細のURL構成は、Oracle Enterprise Managerから次の手順で確認できます。
WebLogic管理者のユーザー名およびパスワードを使用してOracle Enterprise Managerにログインします。
左側のナビゲーション・メニューで、「SOA」をクリックします。「soa-infra」、「デフォルト」の順に展開します。
デフォルト・メニューから必要なSOAコンポジットをクリックします。
右側のペインの「コンポーネント・メトリック」セクションで承認タスクをクリックします。
「管理」タブをクリックします。
タスクの詳細が機能するには、アイデンティティの詳細およびタスクの詳細へのアクセスに使用されるホストおよびポートが一致する必要があります。
ホストとポートは、DiscoveryConfigMBeanで、OIMExternalFrontEndURLを使用して設定されている点に注意してください。OIMExternalFrontEndURLが空の場合は、OIMFrontEndURLを使用できます。フロントエンドのホストまたはポートが変更された場合、それを修正するか、または『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』のOracle Identity Managerのホストおよびポートの変更に関する項に示されている手順を実行します。
Oracle Identity Managerでは、アカウントが無効化状態になっている場合でも、アカウントの変更とその権限の要求が許可されます。
これは既知の問題であり、現時点で回避策はありません。
Google Chrome 15.0.x Webブラウザを使用してOracle Identity Self Serviceを開くと、いくつかのページでツールバーの「リフレッシュ」ボタンが欠けた状態で表示されます。
この問題を回避するには、Google Chrome 15.0.xをGoogle Chrome 18.0.1025.162またはそれ以降のバージョンにアップグレードします。
システム管理者として、適切な詳細を使用してADのアプリケーション・インスタンスを作成し、そのアプリケーション・インスタンスのプロビジョニングを要求すると、そのリソースはプロビジョニング状態になり、次のメッセージが記録されます。
<Warning> <XELLERATE.SERVER> <BEA-000000> <No fields having ITResouce property found in form with sdk_key=11> <Warning> <XELLERATE.SERVER> <BEA-000000> <More than fields of type ITResourceLookupField found on form with sdk_key=11> <Warning> <XELLERATE.SERVER> <BEA-000000> <Cannot figure out the ITResource field uniquely>
この問題を回避するには、プロセス・フォームでADサーバー・プロセス・フォーム・フィールドにITResource=trueプロパティを追加します。
Mozilla FirefoxまたはGoogle Chrome Webブラウザを使用している場合、Oracle Identity Managerユーザーおよび管理コンソールで、アテステーションに関連するいくつかのページが機能しません。これらには、アテステーション・プロセスの作成およびアテステーション・リクエストの送信のためのページも含まれます。
この問題を回避するには、Microsoft Internet Explorer Webブラウザを使用します。
Oracle Identity Managerのレガシー・バージョンでは使用可能であるが、現在のリリースでは使用できないAPIを使用するカスタム・スケジュール済ジョブは、実行時に失敗します。たとえば、com.thortech.xl.client.mail.tcSendMailをコールして電子メールを送信するカスタム・スケジュール済ジョブは、java.lang.NoClassDefFoundErrorエラー・メッセージを表示して失敗します。これは、com.thortech.xl.client.mail.tcSendMailが、Oracle Identity Managerリリース9.xおよびそれより前のリリースでは使用可能ですが、11gリリースでは使用できないことが原因です。
この問題を回避するには、tcAdapterUtilitiesやtcClientなどのサポートされていない個別のAPIを使用するかわりに、現在のリリースで公開されているAPIのみを使用します。さらに、古いAPIが非推奨になっている場合、すべてのカスタム・コードを移行して新しいAPIを使用するようにする必要があります。Oracle Identity Manager 11gリリース2 (11.1.2.0)のAPIの詳細は、Oracle Fusion Middleware Oracle Identity Manager Java APIリファレンスを参照してください。
名前、表示名、および説明の属性に対して使用可能な最大値でロール、権限またはアプリケーション・インスタンスを作成すると、リクエスト・カタログにそのエンティティの最初の256文字のみが表示されます。たとえば、名前を2000文字、ロール表示名を3000文字、および説明を1024文字で指定したロールを作成し、リクエスト・カタログでそのロールを検索すると、そのロールの対応するエントリの最初の256文字が表示されます。ユーザーは、カタログでエンティティを検索するには、エンティティ名、表示名または説明の最初の256文字に存在する語を使用する必要があります。
これは既知の問題であり、現時点で回避策はありません。
自己登録リクエストのタスク割当て先が、「保留中の承認」ページからタスクを承認しようとすると、タスクは承認されますが、そのリクエストは「リクエストに失敗しました」ステータスに移行します。
自己登録リクエストの場合、組織は必須属性であり、タスクを承認する前に承認者が指定する必要があります。「保留中の承認」ページからタスクを承認する場合、タスクは完了しますが、承認者がユーザーの組織を更新していないために、リクエストは失敗します。承認者が使用できる回避策は、次のとおりです。
「タスクの詳細」ページでユーザーの組織属性の値を指定します。
「タスクの詳細」ページの「更新」をクリックすることでユーザー情報を更新します。
「タスクの詳細」ページからタスクを承認します。
Oracle Identity Managerによって、タスクの承認前に、「タスクの詳細」ページで必須属性値が指定されているかどうか、およびそのページに対する変更がすべて保存されているかどうかが検証されます。
権限がすでにソフト削除済であっても、アクセス・ポリシーベースの権限のプロビジョニングを実行すると、権限をユーザーにプロビジョニングできます。
これは既知の問題であり、現時点で回避策はありません。
スケジュール済ジョブをある程度の時間実行してから、停止ボタンをクリックしてそのジョブを中断すると、そのジョブ・ステータスが「割込み」に変わり、ジョブが停止されたことを示すメッセージが表示されます。
ただし、個別のスケジュール済ジョブの実行メソッドでの停止チェックの実装に応じて、指定されている時間の経過後、予定されたチェックの実行によってその処理は停止されます。チェックが遅延した場合、バックエンドのジョブの実際の停止も同様に遅延が生じます。ジョブが停止されていることがジョブの実行メソッドによって検証されるまで、ジョブのステータスには「停止済」ではなく、引き続き「割込み」が表示されます。検証の結果が返された後、ジョブ・ステータスが「停止済」に変わります。そのジョブのステータスがこのように変更された後にのみ、そのジョブの次の実行を再スケジュールできます。
アプリケーション・インスタンス、ロール、権限など複数のエンティティに対するリクエストが、それらのエンティティに対するビューア管理ロールを持っていないユーザーに対して作成される場合、リクエストの送信中にエラーが生成されません。ただし、そのリクエストは承認後に失敗します。これは、バルク・リクエストではリクエスタの権限のみがチェックされることが原因です。受益者の権限は、リクエストレベルの承認が実行された後に、作成する子リクエストを判別するために使用されます。
これは既知の問題であり、現時点で回避策はありません。
アプリケーション・インスタンスをエクスポートするときに、Deployment Managerによって、「依存性の選択」ウィンドウに依存オブジェクトとして「ITリソース」および「リソース」が表示されます。すべての依存性の選択の終わりにある最後の「エクスポート」ウィンドウで、Deployment Managerによって、「未選択の依存性」リストに「ITリソース定義」が表示されます。インポートの失敗を回避するには、「未選択の依存性」リストの「ITリソース定義」に依存性を追加します。
パッチ14591093を適用する前に、管理者ロールがシステム管理者または任意のユーザーにすでに付与されている環境では、パッチの適用後はこのロールの付与がLDAPに反映されません。このパッチでは、管理者ロールのユーザーへの新規権限付与に対応します。
この問題を回避するには、次のいずれかを実行します。
Oracle Identity Managerのユーザーおよび管理コンソールを使用して、新しく作成されたユーザーまたは管理者ロールを付与されていないユーザーに対してロール付与を再試行します。
Oracle Directory Services Manager (ODSM)でユニーク・メンバーAdministratorsにユーザーのDNを含めます。それを行うには:
ODSMにログインします。
cn=Administrators,cn=Groups,dc=us,dc=example,dc=comロールを見つけます。
uniquememberフィールドを追加します。
ユーザーのDNを指定します。たとえば、oim_adminユーザーの場合、dnはcn=oim_admin,cn=Users,dc=us,dc=example,dc=comになります。
「保存」または「適用」をクリックします。
ロール付与を再試行します。
「アプリケーション・インスタンスの作成」ページで、拡張検索を使用してリソース・オブジェクトを検索するときに、「リセット」ボタンをクリックすると、同じページの値がリセットされるかわりに、検索が「基本検索」にリダイレクトされます。これは、「リセット」ボタンで、「シンプル」または「拡張」の表示モードを定義するApplication Development Framework (ADF)のQueryDescriptorオブジェクトがリセットされることが原因です。QueryDescriptorオブジェクトの詳細は、ADFのドキュメントを参照してください。
Deployment Managerを使用してアプリケーション・インスタンスをエクスポートする場合、ITリソース定義は依存性選択リストに表示されません。これは、Deployment Managerでは、エクスポート・ウィザードの「依存性の選択」ページに依存性の1つのレベルのみが表示されることが原因です。他の依存オブジェクトは、エクスポートの前にエクスポート・ウィザードの「未選択の依存性」ペインに表示されます。インポート時に依存性の欠落を回避するには、「未選択の依存性」ペインから依存オブジェクトを選択します。
Design Consoleを使用してリソース・オブジェクトを作成し、プロビジョニング・プロセス、権限のある親および子フォームを作成し、適切なITResourceキーでルックアップ・コードを変更し、ent-list表に移入し、権限のプロビジョニングを試行すると、次のエラーが生成されます。
IAM-4060021 : An error occurred while validating whether entitlement with key 2151 is already provisioned to user with key 31 and the cause of error is oracle.iam.provisioning.exception.GenericProvisioningException: Entitlement attribute not marked as key in reconciliation field mapping for UD_TESTC.
これは、リコンシリエーション・フィールド・マッピングのキー属性が子フォーム属性に対して定義されていないことを意味します。ここでは、UD_TESTC子フォームのUD_TESTC_LKP子フォーム属性で権限プロパティの値がtrueに設定されているが、リコンシリエーション・マッピングが定義されていません。
この問題を回避するには、リコンシリエーション・フィールド・マッピングを定義します。リコンシリエーション・フィールド・マッピングの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のリコンシリエーション・フィールド・マッピング・タブに関する項を参照してください。
ユーザーは、リクエスタの組織に対して権限を持っていない場合でも、「リクエストのトラッキング」ページでリクエストを検索できます。ただし、ユーザーがリクエスタの組織に対する権限を持っていない場合に、例による問合せ(QBE)を使用して「リクエストのトラッキング」ページでリクエスタのレコードにフィルタを適用しても、何の結果も返されません。
これは既知の問題であり、現時点で回避策はありません。
ユーザー・フォームでタイプがチェック・ボックスのUDFを作成し、「ユーザーの作成」、「ユーザーの変更」、および「ユーザーの詳細」ページをカスタマイズしてUDFを追加し、チェック・ボックスを選択してユーザーを作成すると、trueとfalseの値を持つブール・フィールドとして表示されます。
この問題を回避するには、「ユーザーの詳細」ページにそのフィールドをチェック・ボックスとして追加し、そのフィールドを読取り専用としてマークします。
権限のルックアップ・フィールドを持つ子表を作成する場合は、次のオプションを選択して、Entitlement=trueプロパティが設定され、フィールド・タイプがルックアップになるようにする必要があります。
検索可能
権限
「検索可能」ピックリスト
「制約」セクションで「検索可能」オプションを選択しない場合、または「拡張」セクションから「「検索可能」ピックリスト」を選択しない場合、あるいはその両方の場合は、エラーが発生する可能性があります。その結果、フォーム・フィールドのフィールド・タイプは、ルックアップ・フィールドではなくコンボ・ボックスになります。
この問題を回避するには、次のいずれかを実行します。
「制約」セクションで「検索可能」オプションが選択されていない場合、そのフォーム属性を再度開き、「検索可能」オプションを選択してその属性を検索可能タイプとしてマークします。その後、そのアプリケーション・インスタンスの新しいフォームを作成するか、親フォーム・ビューで「ビューの再生成」を選択します。
「拡張」セクションで「「検索可能」ピックリスト」オプションが選択されていない場合、コンボ・ボックス・タイプ・フィールドが作成されます。「「検索可能」ピックリスト」オプションを編集する方法はありません。これを修正するには、次の2つの方法があります。第1の方法は次のとおりです:
Design Consoleで「フォーム・デザイナ」フォームを開き、子フォームを開きます。
子フォームの新しいバージョンを作成し、そのフィールド・タイプをコンボ・ボックスからルックアップ・フィールドに変更します。その後、子フォームをアクティブ化します。
親フォームの新しいバージョンを作成し、子フォームの新しいバージョンを関連付けて、親フォームをアクティブ化します。
アプリケーション・インスタンスの新しいフォームを作成するか、既存の親フォームのビューを再生成します。
あるいは、別のフォーム・フィールド属性を、適切なオプションを選択して作成します。その後、親フォーム・ページをカスタマイズし、不正な属性値を持つフォーム・フィールドを非表示にします。
選択リストを持つ依存ルックアップ(値を検索するための虫眼鏡のアイコンが付いたルックアップ)があり、親ルックアップで値を選択するときに、依存コンボ・ボックスに適切な値が表示されません。これは、Oracle Identity Managerが選択リスト・コンポーネントに対する依存ルックアップをサポートしていないことが原因です。
これは既知の問題であり、現時点で回避策はありません。
値リストまたはコンボ・ボックスとしてカスケード・ルックアップを作成すると、値の数に関係なくルックアップ検索で値は25個のみ表示されます。
この問題を回避するには:
カスケード・ルックアップをコンボ・ボックスとして使用しないでください。ユーザーに検索を絞り込むように指示してください。
Oracle Fusion Middleware Oracle Identity Manager開発者ガイドのカスタム・カスケード値リストの実装に関する項の説明に従って、マネージドBeanのアプローチを使用してカスケード・ルックアップを実装します。
カタログ検索に特殊文字が含まれている場合、検索は、次のようなIAM-7130125およびDRGコードを含むエラーで失敗します。
IAM-7130125 : Search token caused Oracle text DRG issue, DB exception is :ORA-20000: Oracle Text error: DRG-50943: query token too long on line 1 on column 40 20000 IAM-7130125 : Search token caused Oracle text DRG issue, DB exception is :ORA-20000: Oracle Text error: DRG-50901: text query parser syntax error on line 1, column 5 20000
リクエスト・カタログで、リクエスト可能エンティティの#、$、-など一般的に使用されるすべての特殊文字を含む検索キーワードは、適切に機能し、目的の結果を返します。ただし、二重引用符(")、コロン(:)、カッコなどいくつかの特殊文字を含む検索キーワードでは、目的の結果が返されません。
この問題を回避するには、検索問合せ文字列でバックスラッシュ文字(\)を使用して特殊文字をエスケープします。たとえば、特殊文字(, )および"をそれぞれ\(, \)および\"に置き換えます。
アスタリスク文字(*)を使用したルックアップ定義の検索。たとえば、*または(a*)を使用したルックアップ定義の検索では、何の結果も返されません。
この問題を回避するには、パーセント文字%または(a%)を検索します。
フォーム・デザイナを使用してフォームにUDFを追加する場合、そのUDFを「検索可能」および「暗号化済」として同時にマークすると、この組合せが無効であってもエラー・メッセージは表示されません。
これは既知の問題であり、現時点で回避策はありません。
ユーザーの作成は、デフォルト・パスワード・ポリシーに依存しています。デフォルト・パスワード・ポリシーがない場合、ユーザーの作成は失敗します。したがって、デフォルト・パスワード・ポリシーは削除しないでください。
デフォルト・パスワード・ポリシーの削除によるユーザーの作成の失敗を回避するために、次のことをお薦めします。
デフォルト・パスワード・ポリシーは、ユーザーの作成に使用される唯一のものであり、削除することはお薦めしません。
デフォルト・パスワード・ポリシーの制約は、パスワードが別の基準を満たすと予想される場合には変更できます。
デフォルト・ポリシーが削除されているか、別のパスワード・ポリシーを、ユーザーの作成に使用されるデフォルト・パスワード・ポリシーとみなす必要がある場合、目的のデフォルト・ポリシーを最上位の組織と関連付ける必要があります。
次のエラー・メッセージが断続的に表示されることがあります。
too many objects match the primary key oracle.jbo.key[ua0902 ]. with npe
たとえば、Oracle Identity Self Serviceでタスクの再割当てを試みる場合、このエラー・メッセージが断続的に表示されることがあります。
このエラー・メッセージが表示されるたびに、Oracle Identity Self Serviceからログアウトし、再度ログインしてください。
Oracle Identity Managerで任意のクライアントを使用してログインする場合(たとえば、Design Consoleにログインするとき)、そのログインは成功します。ただし、無害なunknownplatformexceptionエラーが表示されることがあります。
この結果として機能が失われることはありません。
「データ・コンポーネント」ダイアログ・ボックスでカタログからデータ・コントロールを検索する場合、検索は最上位レベルのデータ・コントロールに対してのみ実行され、フィールドに対しては実行されません。カスタマイズの目的で、「データ・コンポーネント」ダイアログ・ボックスでフィールドを検索すると、エラーが記録され、結果はなにも返されません。
これは既知の問題であり、現時点で回避策はありません。
プロビジョニング・タスクがロールに割り当てられ、ロール・メンバーがタスクを表示できる場合、ロール・メンバーがプロビジョニング・タスクを再試行しようとすると、次のエラー・メッセージが表示されます。
Error JBO-29000: Unexpected exception caught: Thor.API.Exceptions.tcBulkException, msg=null Error Localized message not available. Error returned is: null
この問題を回避するには、プロビジョニング・タスクをシステム管理者ロールに割り当てます。
ユーザーがOracle Identity Self Serviceの「プロビジョニング・タスク」ページを開き、「検索」をクリックすると、そのユーザーに割り当てられている同じプロビジョニング・タスクに対して複数のエントリが表示されます。
この問題を回避するには、「オープン・タスク」ページを閉じてから再度開きます。
既存のフォームのフィールドを更新する場合、次の問題が発生します。
ADユーザー・フォームの「組織名」既存フィールドを更新し、そのフォームを保存して閉じ、ビューを再生成し、カタログ内の組織名に対してルックアップ値をプロビジョニングおよび指定すると、次のエラー・メッセージが表示されます。
IAM-2050099 : The length of the attribute value Organization Name is greater than the maximum allowed length 40.
単一ユーザーに対してプロビジョニングを試み、組織名を選択した場合でも、同じエラーが表示されます。
この問題を回避するには、ADユーザーに対して新しいフォームを作成し、それをアプリケーション・インスタンスにアタッチします。
子表について、既存のルックアップ・フィールド(たとえば、ADユーザー・フォームの「GroupName」フィールド)を編集し、「権限」および「検索可能」オプションを追加し、Design Consoleでその子フォームを表示する場合、entitlement = trueでもう1つフィールドが追加され、フィールドの長さが変更されます。
この問題を回避するには、初めて権限に対してリソースを構成するときに、Design Consoleから変更を実行します。
リクエスト・カタログでアプリケーション・インスタンスを追加し、親フォームにデータを入力し、ユーザーを削除し、別のユーザーを追加すると、親フォームに入力したデータが消失します。
これは既知の問題であり、現時点で回避策はありません。
2人のユーザーが同じシステム管理者ログイン資格証明を使用してOracle Identity Self Serviceにログインし、同じサンドボックスを使用してサンドボックスにいくつかの操作を実行し、そのサンドボックスを公開しようとする場合、次のエラーが表示され、サンドボックスは公開されません。
Publish Sandbox Failed oracle.mds.sandbox.RefreshFailedException: MDS-00001: exception in Metadata Services layer MDS-00165: metadata Object "/persdef/oracle/iam/ui/catalog/model/am/CatalogAM.xml" has changed MDS-00164: There is a concurrent "UPDATE" operation on the document "/persdef/oracle/iam/ui/catalog/model/am/mdssys/cust/site/site/CatalogAM.xml.x ml". MDS-00165: metadata Object "/persdef/oracle/iam/ui/catalog/model/am/CatalogAM.xml" has changed MDS-00164: There is a concurrent "CREATE" operation on the document "/persdef/oracle/iam/ui/catalog/model/am/mdssys/cust/site/site/CatalogAM.xml.x ml". MDS-00165: metadata Object "/persdef/oracle/iam/ui/catalog/model/am/CatalogAM.xml" has changed MDS-00164: There is a concurrent "UPDATE" operation on the document "/persdef/oracle/iam/ui/catalog/model/am/mdssys/cust/site/site/CatalogAM.xml.x ml". MDS-00165: metadata Object "/xliffBundles/oracle/iam/ui/runtime/BizEditorBundle.xlf" has changed MDS-00164: There is a concurrent "UPDATE" operation on the document
これは既知の問題であり、現時点で回避策はありません。
組織およびロール・エンティティは、デプロイメント・マネージャによって、関連するUDFおよびUDF値を伴わずにインポートおよびエクスポートされます。関連するUDFは、デプロイメント・マネージャによって別にインポートおよびエクスポートされます。これは、デプロイメント・マネージャではエクスポート可能なエンティティのドロップダウン・リストでロール・メタデータおよび組織メタデータのオプションを使用できるためです。
UDFのデフォルト値のみがインポートおよびエクスポートされます。組織およびロール・エンティティの作成時にUDFに割り当てられた値は、インポートおよびエクスポートされません。
リソース・オブジェクトを追加し、DBUMコネクタを使用してバルク・アカウントにターゲット・リソース・リコンシリエーションを実行する場合、次のSQLによって、最適ではないパフォーマンスが報告されることがあります。
|
注意:
|
INSERT
INTO RECON_ACCOUNT_MATCH
(
RE_KEY ,
ORC_KEY ,
SDK_KEY ,
RAM_ROWVER
)
(
SELECT re.re_key ,
ud_db_ora_u.orc_key ,
:"sys_b_0" ,
:"sys_b_1"
FROM UD_DB_ORA_U UD_DB_ORA_U ,
ra_oracledbuser725eedcb ra_oracledbuser725eedcb,
ost ost ,
oiu oiu ,
recon_events re
WHERE re.rb_key =:"SYS_B_2"
AND re.re_status = :"SYS_B_3"
AND re.re_key = ra_oracledbuser725eedcb.re_key
AND
(
ud_db_ora_u.ud_db_ora_u_itres=ra_oracledbuser725eedcb.ra_itresource15641f83
AND
ud_db_ora_u.ud_db_ora_u_username=ra_oracledbuser725eedcb.ra_username8825b9c0
)
AND oiu.orc_key = ud_db_ora_u.orc_key
AND ost.ost_key = OIU.ost_key
AND ost.ost_status <> :"SYS_B_4"
)
この問題を回避するには、この特定のSQLのまれな動作に対して、Oracle Databaseのプラン・スタビリティ機能を使用します。Oracle Databaseは、RDBMS機能として、ストアド・アウトラインを介してSQLプラン・スタビリティを提供します。DBAはこれを使用して、特定のデータベース環境の変更がアプリケーションのパフォーマンス特性に影響しないようにすることができます。この機能は、オプティマイザが標準モードで、パフォーマンス調整されている実行計画を選択しない場合、データベース・パフォーマンスの最適化に役立ちます。このため、SQLプロファイル機能を使用して、Oracle Identity Managerデータベース環境でこのSQLに適したSQL計画を潜在的にロックすることができます(それには、SQLチューニング・アドバイザを使用し、その後でSQLプロファイルを使用するか、DBAが選択する任意の適切なメカニズムを使用します)。このような状況または類似の状況の回避策としてこの機能を使用する方法については、Oracleパフォーマンス・チューニング・ガイドのプラン・スタビリティの使用に関する項を参照してください。
コネクタは複数の子表を持ちますが、リクエストで使用できる子表は1つのみです。
この問題を回避するには、権限リクエストを使用します。
アクティブ/アクティブ・セッション・フェイルオーバーは、Oracle Identity Managerでは適切に機能しません。これらの問題は、多くの場合、Oracle Identity System Administrationで出現します。
これは既知の問題であり、現時点で回避策はありません。
新しいUDFがアプリケーション・インスタンス・フォームに追加され、そのUDFがすでにプロビジョニングされているユーザーに対して更新された場合、それはUIには表示されませんがデータベースでは使用可能です。
アプリケーション・インスタンス・フォームに、新しいフィールドの追加、新しい子フォームの追加、子フォームへのフィールドの追加などの変更がある場合、Form Version Controlユーティリティを使用してすべての既存のユーザーのフォーム・バージョンを最新のバージョンに更新する必要があります。このユーティリティは、Design Consoleディレクトリにあります。次のようにプロパティ・ファイルを更新し、ユーティリティを実行します。
Resource Object Name: roname
Process Form Name: UD_PFORM
From Version: <fromversion>
To Version: <toversion>
Oracle Identity Managerでは、アカウントの変更リクエスト中に最後の権限が削除されません。
この問題を回避するには、アカウントの変更リクエストのかわりに、権限の失効リクエストを使用して既存の権限を削除します。
切断されているリソースに対する権限リクエストによって、手動履行タスクは開始されませんが、リクエストは完了済とマークされます。
この問題を回避するには、Design Consoleを使用して、切断されているアプリケーションの対応するプロビジョニング・プロセスを開き、権限プロビジョニングに対して手動プロビジョニング・タスクを追加し、承認の完了後にこの手動タスクが開始されるようにします。
切断されているアプリケーション・インスタンスに関連付けられているフォームは、リクエスト・タイプが無効化、有効化、または失効の場合でも表示されます。無効化、有効化、または失効リクエスト中にフォームが表示されても機能に影響はありません。フォーム・フィールドの表示を無視し、リクエストを送信します。
受益者による検索時に、リクエスト・トラッキングで同じリクエストに対して重複する行が表示されることがあります。重複する行は無視します。
ヘルプ・デスク・ロールのリクエスト・トラッキングでは、リクエストIDによって検索している場合でもリクエストの受益者を指定する必要があります。
この問題を回避するには、検索フィルタを指定せずにリクエストの全検索を発行します。
組織など必須の追加情報を入力する必要があるリクエストの場合、自動登録リクエストの承認時に、「保留」タスク・リストからリクエストを直接操作しないでください。そのリクエストを開き、「リクエストの詳細」ページで必須情報を入力してから、リクエストを承認します。これは、SOAタスクリストの制限です。
Oracle Identity Managerはすべての検証を処理できますが、いくつかのエラー・メッセージには十分な説明がありません。サーバーの起動中にサーバー・ログに無害な例外およびエラー・メッセージが表示されることがあり、それらはシステムが起動して動作しているかぎり無視できます。
現在、システムはアクセシビリティのガイドラインに完全には準拠しておらず、提供されている「アクセシビリティ」リンクは機能していません。
リソースにアタッチされているパスワード・ポリシーは、接続されているリソースのリクエスト中に適切に適用されません。ただし、「本人情報」ページからプロビジョニングされたリソースのパスワードを変更しようとすると、そのポリシーが適用されます。
バックエンドでのフォーム・デザイナの障害はUIに表示されません。変更が期待どおりにならなかった場合は、サンドボックスを破棄してください。競合を回避できるように寿命の短いサンドボックス(たとえば、UIカスタマイズ、フォーム作成、およびUDFの追加用の、詳細な説明が付いた別のサンドボックス)を作成して使用することをお薦めします。
アプリケーション・インスタンスが作成されたサンドボックスが公開されていない場合、そのアプリケーション・インスタンスに対するリクエストは、リクエスト・チェックアウト・プロセス中に失敗します。ベスト・プラクティスは、アプリケーション・インスタンス用のサンドボックスを作成し、それをすぐに公開することです。
フォームを作成して、それをアプリケーション・インスタンスにアタッチできるのは、システム管理者またはシステム構成者のみです。
リコンシリエーションの削除は、libOVDとODSEEの組合せでは機能しません。
これは既知の問題であり、現時点で回避策はありません。
Oracle Identity Managerでは、「本人情報」ページでルックアップ・タイプのUDFはサポートされていません。
リコンシリエーションを実行する際、ignoreEvent APIの起動中に一致ルールの一部であるすべてのフィールドが入力として提供されない場合、次のエラー・メッセージが表示され、一致ルールの変換が失敗します。
<BEA-000000> <Generic Information: {0}
oracle.iam.reconciliation.exception.DBAccessException: Failed SQL:: select
USR_KEY from usr where USR_FIRST_NAME=? and USR_LAST_NAME=? and USR_LOGIN=?
and USR_TYPE is null and USR_EMAIL is null and USR_MIDDLE_NAME is null and
USR.USR_STATUS != 'Deleted' AND ((UPPER(USR.USR_LOGIN)=UPPER(?)) OR
(UPPER(USR.USR_UDF_OBGUID)=UPPER(RA_EZCUSERTRUSTED49EC4A54.RA_OBJECTGUID)))
=>PARAMS:: [John, Doe, J.DOE, J.DOE]
Caused By: java.sql.SQLSyntaxErrorException: ORA-00904:
"RA_EZCUSERTRUSTED49EC4A54"."RA_OBJECTGUID": invalid identifier
このエラーは無害なため、機能が失われることはありません。イベントは無視されません。データが破損することなく通常どおり作成されて処理されます。
「本人情報」ページの「ユーザー・タイプ」属性でカスタマイズを実行すると、たとえば、「ユーザー・タイプ」属性が読取り専用で表示され、「ユーザー・タイプ」属性の値は移入されません。
この場合、属性名は、「本人情報」ページのユーザー・タイプですが、カスタマイズVOから「ロール」を選択し、「ユーザー・タイプ」属性に適切な値を移入する必要があります。この問題の回避策は次のとおりです。
カスタマイズ・モードで、パネル・フォーム・レイアウト・コンポーネントを選択します。
リソース・カタログを開きます。
「データ・コンポーネント」→「本人情報」→「UserVO1」→「ロール」を選択します。
ラベル付出力テキストのあるフィールドを削除します。
「承認」ページのカスタマイズは、WebCenter Composerからはサポートされていません。
承認の詳細ページをカスタマイズする方法については、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のワークフローの開発(ビジョン・リクエスト・チュートリアル)に関する項を参照してください。
有効化、シーケンスおよび説明の属性はルックアップ値に対してサポートされていません。そのため、ルックアップ検索の「説明」フィールドには値を入れないでください。また、有効化、シーケンスおよび説明の列は、値がない状態で表示されます。
ラジオ・ボタンをフォーム(たとえば、組織フォーム)に追加しようとすると、forward-only範囲ページング・エラーが発生します。これは、ドロップ・ハンドラによるラジオ・ボタンの追加がサポートされていないためです。ただし、ラジオ・ボタンは、カスタム・コードを使用したビュー・レイヤー・カスタマイズによってフォームに追加できます。
ログイン・ユーザーに間接ロール関係がある場合、Oracle Identity Self Serviceの「マイ・アクセス」セクションまたは「ユーザー」セクションで「ロール」タブをクリックすると、エラーが発生します。
アクティブなサンドボックスでUDFを作成すると、UDFはカスタマイズ・ビュー(データ・コンポーネントのカタログ)にリストされません。
この問題を回避するには、UDFを作成してからサンドボックスを作成し、アクティブにします。新たに作成されたUDFは、UDF作成後に作成されたサンドボックスのカスタマイズ・ビューに表示されます。
属性は、フォーム・デザイナから必須としてマークできません。ただし、必須属性は、Oracle Web Centerを使用してページをカスタマイズすることで指定できます。
カスケードLOVを設定しても、依存LOVの値が親LOVの選択に基づいて表示されません。
この問題を回避するには:
2つのUDFを使用してカスケードLOVを設定します。
両方に「選択肢を1つ選択」コンポーネントを追加します。
コンポーネントの部分レンダリングを設定します。
このリリースでは、Oracle Identity Managerは数値型ルックアップ・コードをサポートしません。
ビュー、ソースを選択してOracle Identity Managerの自己登録ページをカスタマイズしようとすると、フォーム・フィールドへの入力が欠落していることを示す検証エラー・メッセージが表示されます。
この問題を回避するには、自己登録ページの入力フィールドに値を指定します。自己登録ページのカスタマイズを実行する手順は、次のとおりです:
Oracle Identity Self Serviceにログインします。
サンドボックスをアクティブにします。
「カスタマイズ」をクリックします。
Oracle Identity Managerログイン・ページにナビゲートし、「新規ユーザーの登録」をクリックします。または、/identity/faces/registerに直接ナビゲートします。
必須入力フィールドに値を入力します。
「表示」→「ソース」の順に選択します。
ページをカスタマイズします。
Oracle Identity Self ServiceおよびOracle Identity System AdministrationからOracle Identity Managerのヘルプ・トピックにアクセスする場合、いくつかのリンクは機能していません。リンクがアクティブではないナビゲーション・パスは次のとおりです。
Oracle Identity System Administrationから:
Oracle Identity System Administrationの「ルックアップ」を使用するIdentity System Administrationからのヘルプ・リンク
Oracle Identity Self Serviceの「承認の詳細」、「情報のリクエスト」を使用するIdentity System Administrationからのヘルプ・リンク
Oracle Identity Self Serviceから:
Oracle Identity Self Serviceの「承認の詳細」、「情報のリクエスト」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity Self Serviceの「サンドボックスの管理」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity Self Serviceの「Oracle Identity Self Serviceのカスタマイズ」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「リコンシリエーション・イベントの管理」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「ポリシーの管理」の次の項目を使用するIdentity Self Serviceからのヘルプ・リンク
- アクセス・ポリシーの作成
- アクセス・ポリシーの管理
- アテステーション構成の作成
Oracle Identity System Administrationの「承認ポリシー」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「アテステーション構成の管理」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「パスワード・ポリシー」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「構成タスクの実行: ITリソースの作成」の次の項目を使用するIdentity Self Serviceからのヘルプ・リンク
- ITリソースの管理
- 汎用コネクタの作成
- 汎用コネクタの管理
Oracle Identity System Administrationの「フォーム・デザイナ」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「アプリケーション・インスタンス」の次の項目を使用するIdentity Self Serviceからのヘルプ・リンク
- アプリケーション・インスタンスの検索
- アプリケーション・インスタンスの作成
- アプリケーション・インスタンスの削除
Oracle Identity System Administrationの「アプリケーション・インスタンスの変更」、「リンクの方法」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「ルックアップ」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「システム管理タスクの実行」の次の項目を使用するIdentity Self Serviceからのヘルプ・リンク
- インポート
- エクスポート
Oracle Identity System Administrationの「スケジューラ」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「通知」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「システム管理」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「コネクタの管理」を使用するIdentity Self Serviceからのヘルプ・リンク
Oracle Identity System Administrationの「サンドボックスの管理」を使用するIdentity Self Serviceからのヘルプ・リンク
インタフェースの関連セクションからヘルプ・トピックを表示します。たとえば、「システム管理」または「サンドボックス」のヘルプ・トピックを表示するには、Identity System Administrationからヘルプ・トピックにナビゲートします。表示されないトピックについては、Oracle Fusion Middleware Identity Management 11gリリース2 (11.1.2)ドキュメント・ライブラリを参照してください。
権限およびアカウントはアクセス・ポリシーによって付与できます。権限およびアカウントがアクセス・ポリシーによって付与される場合、組織のスコープは適用されません。そのため、ターゲット・ユーザーの組織に公開されていない権限およびアカウントもプロビジョニングされません。
権限が組織に公開されていない場合でも、依然として、アクセス・ポリシーによって、その組織のユーザーにその権限をプロビジョニングできます。これは、アクセス・ポリシーでは、Oracle Identity Managerの公開および範囲指定のセキュリティ・モデルが認識されないためです。
これは既知の問題であり、現時点で回避策はありません。
タスク承認の場合、Oracle Identity Managerでは、証明書ベースのデジタル署名をサポートしません。ただし、Oracle Identity Managerはパスワード・ベースのデジタル署名はサポートします。『Oracle Fusion Middleware Oracle SOA Suite開発者ガイド』のワークフロー・デジタル署名ポリシーの指定方法に関する項を参照してください。
Oracle Identity Manager 11gリリース2 (11.1.2.2)のアップグレードされたデプロイメントでは、アップグレードの前にユーザーにプロビジョニングされた権限が、「権限」タブに表示されません。
アップグレード後、「権限」タブに権限を表示するには、Oracle Identity System Administrationにログインし、スケジュール済ジョブの「権限割当て」を実行します。
デフォルトでは、問合せパネルのラベルはカスタマイズできません。たとえば、「リクエストのトラッキング」検索ページの「受益者」ラベルをカスタマイズすることはできませんが、「リクエストのトラッキング」検索結果表の列名は変更できます。
プロビジョニング・ワークフロー内の通知は、Oracle Identity Manager 11gの通知モデルを使用しません。このため、UMS通知プロバイダが構成され、通知がプロビジョニング・タスクに割り当てられている場合は、OIMユーザー用アカウントのプロビジョニング中に、通知メッセージが送信されません。さらに、NullPointerExceptionエラー・メッセージがログに記録されます。
プロビジョニング・ワークフロー内の通知を構成して使用するには、Oracle Fusion Middleware Oracle Identity Manager開発者ガイドの電子メール・サーバーの指定に関する項を参照してください。
リクエスタが「受信ボックス」の「アクション」メニューから「サブタスクの作成」を選択してサブタスクを作成しようとすると、NullPointerExceptionが生成されます。サブタスクの作成は証明タスクではサポートされていません。
ターゲット・ホストでpasteConfigスクリプトを実行しているとき、指定されたjdkの場所が存在しない場合は、次のような正しくないエラー・メッセージが表示されます。
The JDK wasn't found in directory /scratch/aime1/jrockit-jdk1.6.0_37-R28.2.5-4.1.0. Please edit the startWebLogic.sh script so that the JAVA_HOME variable points to the location of your JDK.
このエラー・メッセージによって機能が失われることはないため、このエラー・メッセージは無視できます。
|
注意: ソースMiddlewareホームで、Middlewareホームの外部にあるJDKを使用する場合、pasteBinary操作でも外部のJDKを使用する必要があります。FMW T2Pユーティリティを実行するために提供されたJDKは、ソースおよびターゲットからアクセスできる必要があります。 |
ソース・コンピュータでFMW T2P copyConfigユーティリティを実行すると、次のエラーがログに記録されます。
Exporting metadata of application - oracle.security.apm . Metadata transfer operation started Exporting metadata from repository . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Metadata tranfer operation failed . Cause: main.WLSTException : MDS-00503: The metadata path "../mds" does not contain any valid directories.MDS-91009: Operation "exportMetadata" failure. Use dumpStack() to view the full stacktrace. . Unable to export Application data from Oracle Metadata Repository. The Application "oracle.security.apm" may not have any data in Oracle Metadata Repository or it may not be in "ACTIVE" state.
これは無害なエラーであり、Oracle Identity Managerの機能が失われることはないため無視できます。
ソース・コンピュータでFMW T2P copyConfigユーティリティを実行すると、次のエラーがログに記録されます。
Exporting metadata of application - oim . . Cause: main.WLSTException : MDSAppRuntimeMBean is not available for oracle.mds.lcm:name=MDSAppRuntime,type=MDSAppRuntime,Application=oim,Location=oim_server1,*MDS-91009: Operation "exportMetadata" failure. Use dumpStack() to view the full stacktrace. . . Unable to export Application data from Oracle Metadata Repository. The Application "oim" may not have any data in Oracle Metadata Repository or it may not be in "ACTIVE" state.
これは無害なエラーであり、Oracle Identity Managerの機能が失われることはないため無視できます。
ApplicationDBデータ・ソース接続プールに関係するエラーがログに記録される場合があります。このデータ・ソースは、ADFで、Oracle Identity Self ServiceのMDSアーティファクトを読み取るために内部的に使用されます。このエラーによって機能が失われることはありません。この例外の頻度は、データ・ソースの「非アクティブ接続タイムアウト」プロパティと、jbo.ampool.timetoliveおよびjbo.ampool.maxinactiveageなどのJVMパラメータを調整することで減らすことができます。
次の例外がログに記録されます。
<Warning> <JDBC> <BEA-001153> <Forcibly releasing inactive/harvested connection weblogic.jdbc.wrapper.PoolConnection_oracle_jdbc_driver_T4CConnection back into the data source connection pool "ApplicationDB"
このすぐ後に次の記述があります。
java.sql.SQLException: Connection has already been closed.
Active Directoryリリース9.xコネクタをインストールし、リコンシリエーション・アーカイブ・ユーティリティ実行した後に、AD 9xコネクタをアンインストールしてAD 11gコネクタをインストールし、リコンシリエーション・アーカイブ・ユーティリティを実行しようとすると、エラーが生成され、ユーティリティは実行されません。エラー・メッセージのサンプルを次に示します。
ERROR ==> Error/warning occurred while executing ./oim_create_recon_arch_tables.sql For Details check log file ./logs/oim_create_recon_arch_tables.log Exiting Utility
エラーが生成されたのは、アンインストールされたコネクタに関係する古いリコンシリエーション・アーカイブ表がデータベースにまだ存在するためです。このため、この問題を回避するには、コネクタのアンインストール後、コネクタに関係するRA表を削除します。
詳細ページからタスクを実行した場合、タブは自動的に閉じますが数秒遅延します。これは既知の問題であり、現時点で回避策はありません。
Oracle Identity Managerは、検索結果表の一部の列でフィルタまたは例による問合せ(QBE)をサポートしていません。このような列には追加日や階層対応などがあります。
接続されていないリソースの子の表にDesign Consoleを使用して作成された権限フィールドがある場合、子の表で挿入/削除トリガー・タスクは自動作成されません。
UIのカスタマイズ時、初めてページにフィールドを追加しようとすると、ページにそのフィールドが表示されない場合があります。「追加」の操作でフィールドの追加を再試行すると、ページにフィールドが表示されます。
Oracle Identity ManagerとOracle Access Manager (OAM)間での自動ロック解除機能は動作しません。ユーザーは、「ユーザーの自動ロック解除」予約タスクの実行でロック解除されません。
Oracle Identity ManagerとOAM間の自動ロック解除が動作するためには、Oracle Virtual Directory 11g リリース1 (11.1.1)パッチ・セット5の先頭にある次のバグを修復する必要があります:
Bug# 13503440: OVD: REDUCE TRANSACTION SEND TO BACKEND WHEN USING USERMANAGEMENT PLUGIN
Bug# 14464394: NEW MAPPING FOR ORCLUSERLOCKEDON FOR CHANGELOG AND USERMANAGEMENT PLUGIN
Microsoft WindowsのOracle Identity ManagerデプロイメントでOUDをLDAPサーバーとして使用すると、自己登録リクエストが失敗します。自己登録リクエストを正常に実行するには、次のlibOVDのバグを修正する必要があります。
Oracle Bug#16523164: OIM/LIBOVD SHOULD REQUEST 'MODIFIERSNAME' WHEN SEARCHING IN CN=CHANGELOG
ロール処理では、カタログ同期スケジュール済ジョブを完全モードで1回実行し、次回からは増分モードで実行します。ジョブを再び完全モードで実行すると、認証者、承認者、および履行ユーザーの現在の値がオーバーライドされ、これらのユーザーがロール所有者に設定されます。
SSLが正しく構成されていない場合、証明書の作成が失敗する可能性があり、証明書作成のスケジューラ・ページに次のエラーが表示されます。
org.springframework.transaction.TransactionSystemException: JTA failure on commit;
nested exception is javax.transaction.SystemException: Could not contact coordinator at
soa_server1+[2606:b400:2010:4049:216:3eff:fe52:65ba]:8002+RRC4SN130321+t3s+
at
org.springframework.transaction.jta.JtaTransactionManager.doCommit(JtaTransactionManager.java:1044)
at
この問題を回避するには、Oracle Identity Managerを起動する際にSOAクリア・ポートを開く必要があります。SOAクリア・ポートを閉じた状態でOracle Identity Managerを起動した場合は、このポートを再び開いて、SOAおよびOracle Identity Managerを再起動してください。
クリア・ポートを開いた状態でサーバーを起動したら、クリア・ポートは閉じることができます。このポートは、サーバーを起動するためにのみ開いている必要があります。
ポリシーのみを対象としたロール証明書では、証明書が作成されません。ポリシーのみを証明する内容でロール証明書を作成すると、スケジューラ・ジョブが失敗して次のエラーが出されます。
java.lang.Exception: Role certification creation succeeded but with the following errors: {0}. Role certification creation failed with the following error: null.
フォーム・デザイナを使用してカスタム属性を追加する際、「コンテンツの追加」ダイアログ・ボックスに同じカスタム属性を表す2つのラベルが間違って表示されます。たとえば、カスタム属性Att1の場合は、ラベルAtt1およびAtt1_Cが表示されます。正しいラベルはAtt1です。Att1_Cが追加されると、サンドボックスが破損し、次のエラーが生成されます。
JBO-25058: Definition Att1__c of type Attribute is not found in UserEO.
破損したサンドボックスが公開されると、カスタマイズされた画面が破損し、どのユーザーに対しても開かなくなります。この場合は、サンドボックスをロールバックすることが唯一の解決策です。サンドボックスのロールバックについては、次のURLに移動して、テクニカル・ノート『OIM 11gR2: How to Roll back A Published Sandbox" (ID 1496179.1)』を参照してください。
pasteConfig操作時、指定されたターゲットOPSSデータソースのURLがソースOPSSデータソースのURLと異なる場合は、クローン・ログにいくつかのSQLエラーが記録されます。ただし、pasteConfig操作は正常に完了します。このエラーは無視しても問題ありません。
ログ内のエラーは次のとおりです。
INFO: Found persistence provider "org.eclipse.persistence.jpa.PersistenceProvider". OpenJPA will not be used. INFO: Found persistence provider "org.eclipse.persistence.jpa.PersistenceProvider". OpenJPA will not be used. [EL Severe]: --ServerSession(515759393)--Exception [EclipseLink-4002] (Eclipse Persistence Services - 2.3.1.v20111018-r10243): org.eclipse.persistence.exceptions.DatabaseException Internal Exception: java.sql.SQLException: ORA-01017: invalid username/password; logon denied Error Code: 1017 oracle.security.jps.internal.credstore.ldap.LdapCredentialStore <init> WARNING: Could not create credential store instance. Reason oracle.security.jps.service.policystore.PolicyStoreException: javax.persistence.PersistenceException: Exception [EclipseLink-4002] (Eclipse Persistence Services - 2.3.1.v20111018-r10243): org.eclipse.persistence.exceptions.DatabaseException Internal Exception: java.sql.SQLException: ORA-01017: invalid username/password; logon denied Error Code: 1017 opss-DBDS:oracle.jdbc.OracleDriver:t2pp_ OPSS:jdbc:oracle:thin:@example.com:1521/orcl.example.com
低速なデータベース接続により、次のエラー・メッセージが出力される場合があります。
<Error> <oracle.iam.oimdataproviders.impl> <BEA-000000> <java.sql.SQLException: Internal error: Cannot obtain XAConnection weblogic.common.resourcepool.ResourceDisabledException: Pool oimOperationsDB is Suspended, cannot allocate resources to applications.. oracle.iam.platform.entitymgr.vo.ConnectivityException:
このようなエラー・メッセージが出力された場合、次の手順を実行します。
DOMAIN_HOME\bin\setSOADomainEnv.cmdファイルを開きます。
次の行を非コメント化します。
EXTRA_JAVA_PROPERTIES="${EXTRA_JAVA_PROPERTIES}
-Dweblogic.resourcepool.max_test_wait_secs=30"
export EXTRA_JAVA_PROPERTIES
変更内容を保存してから、Oracle Identity Managerの管理対象Oracle WebLogic Serverを再起動します。
スケジュール済ジョブがスケジュールどおりに実行されない場合は、次のいずれかを実行します。
Oracle Identity Managerサーバーを再起動します。
UIで「即時実行」をクリックすることによって、手動でスケジュール済ジョブを実行します。
組織用のユーザー・メンバーシップ・ルールと、例による問合せ(QBE)は、表示文字列のかわりにエンコードされた参照値が使用されている場合、カスタム参照フィールドに対してのみ正しく動作します。たとえば、「アカウント・ステータス」は、表示値「ロック」および「ロック解除」の参照ですが、QBEおよびユーザー・メンバーシップ・ルールが正しく動作するのは、エンコードされた値(それぞれ1および0)が「アカウント・ステータス」に使用された場合です。
この問題を回避するには、簡易検索または拡張検索を使用してカスタム参照フィールドを検索します。
レビューアに「ロール証明者」を指定してロール証明を作成するときに、ロールの証明者が存在しない場合、証明ジョブは次の警告メッセージを表示します。
java.lang.Exception: Role certification creation succeeded but with the following errors: Role certification will not contain role "null": Role has no role owner assigned to it.
ロールに説明が含まれていない場合、警告メッセージ内のロール名は「null」と表示されます。
ユーザー証明のレビューアが証明者とは異なる組織に属している場合、その証明者については、空の結果が組織階層および管理階層タブに表示されます。これは、レビューアと証明者が異なる組織に属し、管理階層で関連付けられていない場合、レビューアが証明者の直属の部下や組織階層の詳細を表示できないためです。
JDK 7u40以上を使用するOracle Identity Managerの設定でSSLが有効になっている場合、リクエスト承認タスクは表示されず、次の例外がSOAのログに記録されることがあります。
Unable to invoke endpoint URI "https://oimhost:oimport/workflowservice/CallbackService" successfully due to: javax.xml.soap.SOAPException: javax.xml.soap.SOAPException: Message send failed: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: Algorithm constraints check failed: MD5withRSA
この問題を回避するには、『Oracle Fusion Middleware Oracle Identity Manager管理者ガイド』の次の項を参照し、SSLの設定が正しく構成されていることを確認します。
「キーの生成」
「デフォルト設定を使用したOracle Identity ManagerのSSLの有効化」
「カスタム・キーストアを使用したOracle Identity ManagerのSSLの有効化」
LDAP同期が有効になっている環境では、OUDに対する特定の操作が失敗し、次のエラーの1つがOUDのログに記録されます。
The request control with Object Identifier (OID) "1.2.840.113556.1.4.319" cannot be used due to insufficient access rights
または
The request control with Object Identifier (OID) "1.3.6.1.4.1.26027.1.5.4" cannot be used due to insufficient access rights
この問題を回避するには:
OUD構成ファイルのOUD_INSTANCE/config/config.ldifファイルで、制御1.2.840.113556.1.4.319のACIをldap://allからldap://anyoneに変更します。
変更前:
ds-cfg-global-aci: (targetcontrol="1.3.6.1.1.12 || 1.3.6.1.1.13.1 || 1.3.6.1.1.13.2 || 1.2.840.113556.1.4.319 || 1.2.826.0.1.3344810.2.3 || 2.16.840.1.113730.3.4.18 || 2.16.840.1.113730.3.4.9 || 1.2.840.113556.1.4.473 || 1.3.6.1.4.1.42.2.27.9.5.9") (version 3.0; acl "Authenticated users control access"; allow(read) userdn="ldap:///all";)
変更後:
ds-cfg-global-aci: (targetcontrol="2.16.840.1.113730.3.4.2 || 2.16.840.1.113730.3.4.17 || 2.16.840.1.113730.3.4.19 || 1.3.6.1.4.1.4203.1.10.2 || 1.3.6.1.4.1.42.2.27.8.5.1 || 2.16.840.1.113730.3.4.16 || 2.16.840.1.113894.1.8.31 || 1.2.840.113556.1.4.319" ||1.3.6.1.4.1.26027.1.5.4 ) (version 3.0; acl "Anonymous control access"; allow(read) userdn="ldap:///anyone";)
OUDおよびOracle Identity Managerサーバーを再起動します。
Oracle Identity Managerインスタンスが、Oracle Enterprise Linux 6上で実行されているデータベースを指している場合、OutOfMemoryErrorがスローされる場合があります。
この問題を回避するには、データベースがインストールされているOracle Enterprise Linux 6ホストで、次の手順を実行します。
データベース・インスタンスの起動中に発生するメモリーの問題を修正するために、次を/etc/sysctl.confファイルに追加します。
kernel.shmmax = 12737418240 / kernel.shmall = 3109721
Oracle Identity Manager管理対象サーバーの起動中に発生するjava.lang.OutOfMemoryErrorを修正するために、次を実行します。
ulimit -uまたはsudo cat /proc/PROCESS_ID/limitsを確認します。
/etc/security/limits.confファイル内の弱い制限値または強い制限値を327680に変更します。
/etc/security/limits.d/90-nproc.confファイル内の弱い制限値を327680に変更します。
Oracle Identity ManagerがMicrosoft Windows 2008または2012にデプロイされている場合、Design Consoleはアダプタの作成中、断続的にハングします。ハングした後は、プロセスを強制終了し、新規セッションを開始するしかありません。
新規作成された参照UDFの最大長は、デフォルト値が100であるにもかかわらず、4000文字になります。長さの制限が4000になっているのはEO属性(UIアーティファクト)のみであり、バックエンド・データベース列には正しい長さが設定されています。
この問題を回避するには、UDFを編集し、正しい長さを設定した後、そのUDFを保存します。
UDFが検索可能な場合、そのUDFは「ユーザーの検索」ページの「フィールドの追加」ドロップ・ダウンに表示されます。後からフォーム・デザイナでそのUDFのプロパティを編集して検索不可能とマークした場合、そのUDFは「ユーザーの検索」ページの「フィールドの追加」ドロップ・ダウンから自動的には削除されません。
この問題を回避するには:
UDFを検索不可能にするために属性の編集に使用したサンドボックスZIPファイルを抽出します。
テキスト・エディタで、/persdef/oracle/iam/ui/common/model/user/view/mdssys/cust/site/site/UserVO.xmlファイルを開きます。
「フィールドの追加」ドロップ・ダウンから削除されなかったこのような属性すべてに対して、対応する<ViewAttribute Name="attrName">タグにIsQueriable="false"属性を追加します。例:
<ViewAttribute Name="UserTextUDF__c" EntityUsage="UserEO" EntityAttrName="UserTextUDF__c" AliasName="UserTextUDF__c" IsPersistent="false" xmlns="http://xmlns.oracle.com/bc4j" IsQueriable="false">
サンドボックスを保存し、再圧縮してインポートします。アクティブ化されたサンドボックスの状態で、変更をテストします。サンドボックスを公開します。
Java 7 update 51に更新するとデプロイメント・マネージャが開かなくなりますが、これはJARマニフェストには存在しないセキュリティ関連属性の権限が原因であり、Javaコンソールでセキュリティ情報を更新することで回避できます。それを行うには:
Javaコンソールを開きます。
「セキュリティ」タブをクリックします。
サイト名を次の形式で追加します。
http://HOST:PORT/xlWebApp/DeploymentManager/loadDU.do
周期的なスケジュール済ジョブの実行中に、NullPointerExceptionがスローされます。これは、ジョブ作成中のジョブ・パラメータ・キーがnullであるためです。
この問題を回避するには、そのスケジュール済タスクを削除し、周期的でない同様のジョブを作成してから、それを周期的ジョブに変更します。
最上位組織でシステム構成管理者管理ロールを持たないエンド・ユーザーを通知の送信に使用した場合、通知テンプレートが無効のステータスでも、通知が送信されます。
この問題を回避するには、このユーザーに最上位組織でのシステム構成管理者管理ロールを付与します。
Oracle Unified Directory (OUD)およびOracle Identity Managerの統合されたデプロイメントで、Oracle Identity Managerの増分リコンシリエーションが実行される前にOUDの変更ログが削除される可能性があります。これは次のエラーを引き起こす可能性があります。
Caused By: oracle.ods.virtualization.service.VirtualizationException: oracle.ods.virtualization.engine.util.DirectoryException: LDAP Error 53 : [LDAP: error code 53 - Full resync required. Reason: The provided cookie is older than the start of historical in the server for the replicated domain : dc=hsgbu,dc=oracle,dc=com]
このエラーの原因は、OUDのレプリケーション・パージ遅延で指定されている間隔に従ってOUDがレプリケーション・ストアを削除するためです。これはOUDの外部変更ログCookieをリセットします。Cookieには、Oracle Identity Managerが自身の格納した直前の変更ログ番号と比較するときに使用する値が入っています。したがって、Oracle Identity Managerが新しい変更ログ・イベントを処理してリセットできるようになる前に値がリセットされると、Oracle Identity Managerの直前の変更ログ番号が無効となり、エラーが生成されます。
この問題を回避するには、OUDとOracle Identity Managerとの間の統合を再同期します。それを行うには:
次の手順で、OUDの変更ログの保存期間を延ばします。
(オプション)次のコマンドを実行して、レプリケーション・パージ遅延の現在の値を表示します。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -w password -n \ get-replication-server-prop \ --provider-name "Multimaster Synchronization" --advanced \ --property replication-purge-delay
パージ遅延を1週間に変更する次のサンプル・コマンドを実行して、パージ遅延を変更します。
$ dsconfig -h localhost -p 4444 -D "cn=directory manager" -w password -n \ set-replication-server-prop \ --provider-name "Multimaster Synchronization" --set replication-purge-delay:1w
すべての増分ジョブがすでに無効化されていない場合には、無効化します。増分ジョブは合計で6つです。
次の完全リコンシリエーション・ジョブを実行します。
LDAPロール削除の完全リコンシリエーション
LDAPユーザー削除の完全リコンシリエーション
LDAPロール作成および更新の完全リコンシリエーション
LDAPロール階層の完全リコンシリエーション
LDAPユーザー作成および更新の完全リコンシリエーション
LDAPロール・メンバーシップの完全リコンシリエーション
次のコマンドを実行してOUDから最新の変更ログを取得します。
ldapsearch -h OUD_HOST -p OUD_PORT -D "cn=Directory Manager" -w PASSWORD -b "" -s base "objectclass=*" lastExternalChangelogCookie
手順4で取得した値を使用して6つすべての増分ジョブを更新し、増分ジョブを有効化します。
Windows Internet Explorer 11を使用して「メンバー」タブのロールまたは組織にルールを追加または編集するために式ビルダーを開いた際、「AND」、「OR」および「削除」を選択するアイコンが適切に表示されません。
Windows Internet Explorer 11 Webブラウザの使用時にオフライン・モードでのユーザー証明書がサポートされていません。
インポート/エクスポートするためにデプロイメント・マネージャを使用している際、生成されたXMLファイルをエクスポート中に保存できず、XMLファイルをインポート中に読み取ることができません。この問題ではエラー・メッセージはロギングされませんが、Java 1.3または1.4が入出力操作を行えないことが表示されます。
入出力操作を許可するには、JRE/lib/security/java.policyに次の内容を追加します。
grant {
permission java.io.FilePermission "<<ALL FILES>>", "write";
};
この問題はOracle Identity ManagerのすべてのバージョンまたはJavaのすべてのバージョンで発生する可能性があります。したがって、Deployment Managerがファイルのエクスポートの最終ステップにおいて、XMLファイルを選択するためのプロンプトを表示した際のインポート中にXMLファイルの読取りでエラーをスローしている場合には、Javaの設定を検証する必要があります。
接続なしアプリケーション・インスタンスの作成時に、次のエラー・メッセージがロギングされます。
<Error> <oracle.iam.request.impl> <BEA-000000> <Failed to get the request data set APP_INSTANCE_NAME from MDS with the error data set not found.>
このエラーは無視して問題ありません。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
Oracle Identity Analytics (OIA)がSoD Checkに対して構成されており、SoD Checkが起動されると、Argument(s) "type" can't be nullという接続エラーがただちに表示されます。このエラーは次のとおりです。
Caused By: oracle.iam.grc.sod.exception.SILServiceComponentException: oracle.iam.grc.sod.scomp.impl.oia.analysis.SoDAnalysisExecutionOperOIA : initializeUnable to connect to OIA Server : Argument(s) "type" can't be null.
これは無害なエラーであり、機能にも影響しません。
-m joinでconfigureSecurityStore.pyを使用してwlst.shを実行中に、ORACLE_HOMEやMW_HOMEなどの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。-m joinに対してコマンドを実行するときは、常にORACLE_HOMEおよびMW_HOMEの絶対パスを使用してください。
libOVD/OID、ODSEE、OUDまたはADとともに構成されているOracle Identity ManagerでOAM統合が有効な場合、Oracle Identity Managerのユーザー・パスワードのリセットが失敗し、Attribute orclpwdexpirationdate is not supported in schemaというエラー・メッセージが生成されます。
この問題を回避するには、バックエンドIDStoreスキーマを変更します。それを行うには:
次の新しい属性タイプを作成します( 2.16.840.1.113894.200.1.7 NAME 'orclPwdExpirationDate' EQUALITY caseIgnoreMatch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' SINGLE-VALUE USAGE userApplications )。
orclIDXPersonオブジェクト・クラスを変更し、オプション属性としてorclPwdExpirationDateを含めます。
Design ConsoleでSSLが有効になっている場合に、次の「無効なログイン」エラーが出力されてDesign Consoleへのログインが失敗することがあります。
Error Keyword: DAE.LOGON_DENIED
Description: Invalid Login.
Remedy: Contact your system administrator.
Action: E
Severity: H
Help URL:
Detail:
javax.security.auth.login.LoginException: java.lang.NoClassDefFoundError:
com/rsa/jsafe/JSAFE_InvalidUseException
at
weblogic.security.SSL.SSLClientInfo.getSSLSocketFactory(SSLClientInfo.java:101
)
at
weblogic.socket.ChannelSSLSocketFactory.getSocketFactory(ChannelSSLSocketFactory.java:185)
この問題を回避するには、MIDDLEWARE_HOME/modules/cryptoj.jarファイルを$OIM_HOME/designconsole/ext/ディレクトリにコピーして、再度ログインしてください。
Oracle Access Manager、Oracle Identity Manager、およびlibOVDの統合環境で、orclAccountlocked=trueの場合に、Oracle Identity Managerのユーザー作成イベントにおいてoblockedon属性に現在の日付と時刻が移入されません。orclAccountLocked=falseの場合、属性には0値が移入されます。
この問題を回避するには、次のOVDのパッチを適用します。
Oracle Bug#16482350: OIM-OAM-LIBOVD:OUD: IAM-205024 FOR CREATING OIM USER
Javaのネイティブ・メモリーの不足が原因でOracle Identity Managerサーバーの起動が失敗する場合は、メモリー設定のヒープ・サイズを調整します。
Microsoft WindowsにOracle Identity ManagerをJrocket Java (jrockit-jdk1.6.0_37-R28.2.5-4.1.0)とともにインストールした場合、JavaまたはJVMはサーバーの起動時に終了します。これは、setDomainEnvスクリプトで、CUSTOM_MEM_ARGS_64BIT環境変数のメモリー設定が-Xmx2048mになっていることが原因で発生します。この問題を回避するには、このメモリー設定を推奨値に変更する必要があります。ここでは、値を-Xmx1538mに変更すると、問題が解決します。それを行うには:
テキスト・エディタで、$DOMAIN_HOME/bin/setDomainEnv.cmdファイルを開きます。
次のスニペットが対象になります。
if "%JAVA_VENDOR%"=="Oracle" ( set CUSTOM_MEM_ARGS_64BIT=-Xms1024m -Xmx2048m -XX:PermSize=512m -XX:MaxPermSize=1024m set CUSTOM_MEM_ARGS_32BIT=-Xms1024m -Xmx2048m -XX:PermSize=512m -XX:MaxPermSize=1024m ) else ( set CUSTOM_MEM_ARGS_64BIT=-Xms1024m -Xmx2048m -XX:PermSize=512m -XX:MaxPermSize=1024m -XX:ReservedCodeCacheSize=256m set CUSTOM_MEM_ARGS_32BIT=-Xms1024m -Xmx2048m -XX:PermSize=512m -XX:MaxPermSize=1024m -XX:ReservedCodeCacheSize=256m )
64ビット・ホストの場合、If条件内のCUSTOM_MEM_ARGS_64BITを含む行を、次のように変更します。それ以外の場合は、CUSTOM_MEM_ARGS_32BITを変更します。
set CUSTOM_MEM_ARGS_64BIT=-Xms1024m -Xmx1538m -XX:PermSize=512m -XX:MaxPermSize=1024m
setDomainEnv.cmdファイルを保存し、サーバーを再起動します。
Access Manager (OAM)と統合されたOracle Identity Managerデプロイメントでは、OIMSignatureAuthenticatorはOracle Identity Managerドメインのセキュリティ・レルムで構成されません。結果として、Oracle Identity Managerサーバーで次のエラーが発生する可能性があります。
<Error> <XELLERATE.ACCOUNTMANAGEMENT> <BEA-000000> <Class/Method: tcUtilityFactory/tcUtilityFactory(Hashtable env, tcSignatureMessage poUserIDMessage) encounter some problems: javax.security.auth.login.LoginException: java.lang.SecurityException: [Security:090304]Authentication Failed: User xelsysadm javax.security.auth.login.FailedLoginException: [Security:090302]Authentication Failed: User xelsysadm denied
javax.security.auth.login.LoginException: javax.security.auth.login.LoginException: java.lang.SecurityException: [Security:090304]Authentication Failed: User xelsysadm javax.security.auth.login.FailedLoginException: [Security:090302]Authentication Failed: User xelsysadm denied
at weblogic.security.auth.login.UsernamePasswordLoginModule.login(UsernamePasswordLoginModule.java:199)
この例外は、次の場合に発生する可能性があります。
9.xコネクタを使用している場合、このコネクタはOracle Identity Managerに対してシグネチャベースのログインを実行します。OAMと統合されたOracle Identity Managerデプロイメントにシグネチャベースのクライアント・ログインを実行するには、次の構成を実行する必要があります。
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」、「myrealm」、「プロバイダ」、「認証」の順に移動します。
「新規」をクリックし、OIMSignatureAuthenticatorを追加し、名前を指定します(OIMSignatureAuthenticatorなど)。
手順3で追加したOIMSignatureAuthenticatorをクリックし、ドロップ・ダウンからSUFFICIENTとして制御フラグを設定します。変更を保存します。
「並替え」をクリックして、既存の認証プロバイダを次のように並べ替えます。
OAMIDAsserter
OIMSignatureAuthenticator
LDAPAuthenticator (OID/OUDなど、ディレクトリ・タイプによって異なる)
DefaultAuthenticator
DefaultIdentityAsserter
これまでの変更を保存し、アクティブ化します。
Oracle Identity Manager WebLogicドメインで実行されているすべてのサーバーを再起動します。
カスタムのOracle Identity Managerクライアント・コードを持っている場合、これはtcUtilityFactoryまたはOIMClient APIを使用してシグネチャベースのログインを実行します。この場合、問題を解決するには、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』の統合されたデプロイメントでのOIMClientおよびtcUtilityFactoryの使用に関する項を参照してください。
この項では、多言語の問題および制限について説明します。次のトピックが含まれます:
非英語Webブラウザで、Oracle Identity System Administrationの「ルックアップ」または「フォームの詳細」ページに、UIコンポーネントが英語で表示されます。
これは既知の問題であり、現時点で回避策はありません。
Oracle Identity Manager 11gリリース2 (11.1.2)は、BI Publisher 11g for Oracle Identity Managerレポートをサポートしています。これらのOracle Identity Managerレポートの翻訳は、手動でインポートする必要があります。Oracle Identity Managerでは、翻訳は集中管理され、各ロケールにはすべてのOracle Identity Managerレポートに対するXLIFF (.xlf)ファイルがあります。
デフォルトでは、すべてのBI Publisher 11gレポートは英語で表示されます。翻訳ファイルをBI Publisherにインポートします。
XLIFFファイルをインポートするには:
Oracle BI Publisher Enterpriseで、カタログ内のOracle Identity Managerフォルダを選択します。
「翻訳」ツールバー・ボタンをクリックし、「XLIFFのインポート」を選択します。
「参照」をクリックして、翻訳済ファイルを見つけ、リストから適切なロケールを選択します。
「アップロード」をクリックします。
最初に、各レポートのカタログのすべてのトランザクション・ファイルをアップロードします。レポートを選択し、そのレポート・ロケールおよびUI言語ロケールを変更し、異なるロケールでそのレポートを実行します。
BI Publisherレポートのコンテンツおよびフッターの日付書式は、ログイン・ユーザーの「レポート・ロケール」設定に指定されている値に従って表示されません。
これは既知の問題であり、現時点で回避策はありません。
ユーザーの作成および変更ページでは、ブラウザの言語設定に関係なく次の属性の値が英語で表示されます。
ユーザー・タイプ(「基本情報」セクション)
ロケール(「プリファレンス」セクション)
これは既知の問題であり、現時点で回避策はありません。
ロール、アプリケーション・インスタンス、権限などのカタログ・アイテムに、ドイツ語、ギリシャ語、トルコ語の一部の文字などの非ASCIIの特殊文字が含まれている場合、これらの文字を使用した検索パターンでは正しい結果は返されません。
これは既知の問題であり、現時点で回避策はありません。
BI Publisher 11.1.1.6.0および11.1.1.7.0は、文字列コロン(:)を処理できません。したがって、BI Publisherファイルのポーランド語翻訳は適切に機能しません。
これは既知の問題であり、現時点で回避策はありません。
カタログ検索結果ページで、ページの右上にあるカートのローカライズ済文字列が切り捨てられたテキストとして表示されます。
これは既知の問題であり、現時点で回避策はありません。
ドロップダウン・リスト付きのいくつかのフィールドは、ブラウザ言語設定のかわりに英語で表示されます。例:
カタログ検索ページのソート基準リストの次のオプション値。
タイプ
表示名
「カタログ」検索結果ページの「詳細情報」パネルにある「リスク・レベル」リストの次のオプション値。
高リスク
中リスク
低リスク
「検索」パネルの次の「タスク・ステータス」オプション、および「プロビジョニング・タスク」ページの「検索結果」表の「タスク・ステータス」列の下の値。
保留
却下
「フォーム・デザイナ」ページの「タイプ」リストの値。
これは既知の問題であり、現時点で回避策はありません。
Oracle Identity Managerを再起動して「自己登録」または「パスワードを忘れた場合」ページに移動した後、ログインしているユーザーがいない場合、チャレンジ質問とパスワード・ポリシー・メッセージがブラウザ・ロケールではなく、サーバー・ロケールで断続的に表示されます。
この問題を回避するには、Oracle Identity Managerを起動または再起動した後、使用可能なユーザー・ログイン資格証明を使用してOracle Identity Self Serviceにログインします。
ブラウザが非英語ロケールで設定されている場合でも、いくつかのページの「組織タイプ」または「ステータス」リストの値は、英語で表示されます。例:
Oracle Identity Self Serviceの「マイ・アクセス」ページの「管理ロール」タブの「組織タイプ」または「ステータス」リストの値。
Oracle Identity Self Serviceの「ユーザーの詳細」ページの「管理ロール」タブで選択されている管理ロールの「組織タイプ」または「ステータス」リストの値。
Oracle Identity Self Serviceの「ロールの詳細」ページの「組織」タブの「組織タイプ」または「ステータス」リストの値。
Oracle Identity Self Serviceの「組織の詳細」ページの「子」タブで選択されている下位組織の「組織タイプ」または「ステータス」リストの値。
Oracle Identity Self Serviceで新しい組織を作成するときの「親組織の検索」ダイアログ・ボックスの「組織タイプ」または「ステータス」リストの値。
Oracle Identity System Administrationの「アプリケーション・インスタンス」ページの「組織」タブの「タイプ」列。
これは既知の問題であり、現時点で回避策はありません。
Oracle Identity Self Serviceのロールの表示名およびユーザー表示名に対して、多言語サポート(MLS)および多表現(MR)サポートは使用できません。
ユーザー・ログイン名にドイツ語のエスツェット文字やトルコ語のドット付きI文字などの特殊文字が含まれている場合、Oracle Identity Self Serviceの左側のナビゲーション・ペインで受信ボックスをクリックすると、次のエラー・メッセージが表示されます。
An internal error has occurred. Please contact the administrator or Oracle support for help
「リクエストのトラッキング」ページでリクエストの詳細を開き、「承認の詳細」タブの「履歴」パネルに移動すると、タスク・ステージ名とタスクの割当て先ラベルが翻訳された言語でなく英語で表示されます。
リクエストの割当て先に管理者がいない場合、このリクエストのエスカレートによって警告メッセージが表示されます。警告メッセージは、ブラウザ・ロケールではなくサーバー・ロケールで表示されます。
受信ボックス内の次の定義済ビュー名は英語でハードコード化されており、翻訳できません。
Pending Approvals
Pending Certifications
Manual Provisioning
Oracle Identity Self Serviceのホーム・ページまたは受信ボックスからタスクを開いた場合、タスクの詳細はブラウザ・ロケールではなくサーバー・ロケールで表示されます。
経営診断機能を提供するOracle Enterprise ManagerのOracle Identity Manger管理ページでは、操作名が翻訳されません。次の操作名は翻訳されません。
Modify an Account by Access Policy
Revoke an Account by Access Policy
Disable an Account by Access Policy
Enable an Account by Access Policy
Provision an Account by Access Policy
Modify Account
Revoke Entitlement
Assign Role Membership
Delete Role Membership
Create User
Change Password
Reset Password
Enable User
Disable User
Delete User
Modify User
Modify Role Membership
Lock User
Unlock User
Add Proxy
Update Proxy
Remove Proxy
Remove All Proxies
Set Challenge Question Answers
Password Expired
Provision Account
Grant Entitlement
Modify Entitlement
Disable Account
Enable Account
Revoke Account
Change Account Password
Evaluate Policies
Bulk Request
Associate Application Instance with reconciled account
Update Application Instance with reconciled account
Delete Application Instance with reconciled account
Create Role
Modify Role
Delete Role
Modify Role Auto group membership rule
ADユーザー用のフォームなど、リソース・タイプ・フォームをブラウザ言語XX-YYで作成した場合、「ラベルの表示」はブラウザ言語XX-YYで正しく表示されます。ただし、ブラウザ言語を他の言語(XXやMM-NNなど)に切り替えて、同じフォームを開くと、「ラベルの表示」は「名前」の値のように、UD_XXXXXと誤って表示されます。
この問題を回避するには:
リソース・タイプ・フォームをブラウザ言語XXで作成します。
新規作成したリソース・タイプ・フォームをアプリケーション・インスタンスに適用します。これにより、フォームを正しいブラウザ言語XXおよびXX-NNで表示できるようになります。
たとえば、日本語の場合は、ブラウザ言語jaでリソース・タイプ・フォームを作成します。これにより、フォームは正しくブラウザ言語jaおよびja-JPで表示されます。
「ユーザー・タイプ」リストの次の値は、ブラウザの言語設定に関係なく、「ユーザーの作成」ページでは英語で表示されます。
Employee
Contingent Worker
Non Worker
Other
この問題を回避するには:
$ORACLE_HOME/server/apps/oim.ear/APP-INF/classes/ディレクトリにナビゲートします。
自分のロケールのxlWebAdmin_LANG.propertiesファイルを開きます。たとえば、日本語の場合は、xlWebAdmin_ja.propertiesファイルを開きます。
次の行をUnicodeテキストで追加して、ファイルを保存します。
global.Lookup.Users.Role.EMP=\u5F93\u696D\u54E1 global.Lookup.Users.Role.CWK=\u6D3E\u9063\u5C31\u696D\u8005 global.Lookup.Users.Role.NONW=\u975E\u5C31\u52B4\u8005 global.Lookup.Users.Role.OTHER=\u305D\u306E\u4ED6
これらのコード行は、それぞれEmployee、Contingent Worker、Non WorkerおよびOtherの翻訳です。
Oracle Identity Managerを再起動します。
Oracle Identity Managerオンライン・ヘルプはサポートされているすべての言語には翻訳されていません。次の言語に翻訳されています。
ポルトガル語(ブラジル)
フランス語
ドイツ語
イタリア語
日本語
韓国語
簡体字中国語
スペイン語
繁体字中国語
現時点ではドキュメントの問題はありません。
