11 Oracle Identity Management統合

この章では、Oracle Identity Management統合に関連する問題について説明します。次のトピックが含まれます:

• 第11.1項「Access ManagerとOracle Adaptive Access Managerの統合」

• 第11.2項「ドキュメントの訂正箇所」

11.1 Access ManagerとOracle Adaptive Access Managerの統合

この項では、Oracle Access Management Access ManagerとOracle Adaptive Access Managerの統合に関連する問題について説明します。次のトピックが含まれます:

• 第11.1.1項「setupOAMTAPIntegrationスクリプトが権限の問題によって失敗する」

• 第11.1.2項「Access Managerリリース2 PS2とOracle Adaptive Access Managerリリース2 TAPの統合環境で保護リソースへのログインに失敗する場合がある」

• 第11.1.3項「Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境でロック・ユーザーが自身のロックを解除できない」

• 第11.1.4項「パスワード・ポリシーの失敗時に無効なクラスに関する例外が発生する」

• 第11.1.5項「パスワードの変更フローまたはパスワードを忘れた場合のフローでユーザーのロック解除に関する例外が発生する」

• 第11.1.6項「パスワードの変更フローでChangePassword.credentials.enumが見つからないことを示すエラーが発生する」

• 第11.1.7項「OAAMBasicおよびOAAMAdvancedスキームを使用したAccess ManagerとOracle Adaptive Access Managerの統合は推奨されない」

11.1.1 setupOAMTAPIntegrationスクリプトが権限の問題によって失敗する

Access ManagerとOracle Adaptive Access Managerの統合中、setupOAMTAPIntegrationスクリプトを実行してAccess ManagerをTAP用に構成するとき、WebLogicまたはWebSphere管理ユーザー名とパスワードを提供する必要があります。OAAM管理ユーザー名とパスワードを提供した場合、このスクリプトの実行に必要な権限がOAAM管理ユーザーに付与されていないことが原因で、スクリプトは失敗します。

また、次のFileNotFoundExceptionエラー・メッセージが表示されますが、このメッセージは誤っており、正しくないユーザー名とパスワードが入力されたことを示していません。

java.io.FileNotFoundException: .\config\jps-config.xml

有効なデータを提供すると、スクリプトは予期したとおりに動作します。

11.1.2 Access Managerリリース2 PS2とOracle Adaptive Access Managerリリース2 TAPの統合環境で保護リソースへのログインに失敗する場合がある

Access Managerリリース2 PS2とOracle Adaptive Access Managerリリース2 TAPの統合環境において、ユーザー・セッションがまだアクティブな状態で、Access Managerがリリース2からリリース2 PS2にアップグレードされ、それによってアップグレード前のセッション情報がアップグレード後に使用された場合、保護リソースへのログインは、無効なクラスに関する例外で失敗する可能性があります。統合を適切に機能させるには、アップグレードに先立ってサーバーを停止または起動する前に、「セッション管理」ページの「すべてのユーザー・セッションを削除」をクリックして、失効する既存のすべてのアップグレード前セッションを停止する必要があります。セッション管理の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド11gリリース2』の「セッションの管理」の「セッション管理」ページに関する項を参照してください。

11.1.3 Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境でロック・ユーザーが自身のロックを解除できない

Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境において、エンド・ユーザーがOIMとLDAPで正しくないパスワードを何度も提供してロックされ、そのユーザーがOAAMのログイン・ページで有効な資格証明を提供した場合、ユーザーのアクセスは拒否され、次のようなエラー・メッセージが表示されます。

User account is disabled. Please contact customer service

ロックされたユーザーは、パスワードを忘れた場合のフローによって自身のロックを解除できる「パスワードを忘れた場合はこちら」リンクを含む、ロックされたアカウント用のページにリダイレクトされません。Access ManagerとOracle Identity Managerの統合環境では、ロックされたユーザーは、ロックされたアカウント用のページにリダイレクトされ、そのページで「パスワードを忘れた場合はこちら」リンクを利用できます。

11.1.4 パスワード・ポリシーの失敗時に無効なクラスに関する例外が発生する

OAAM 11gリリース1 PS2 (11.1.1.3)、OIM 11gリリース2 PS1 (11.1.2.1)またはOAAMリリース2 PS1 (11.1.2.1)およびOIMリリース1 PS2 (11.1.1.3)の統合環境では、エンド・ユーザーが、パスワードの有効期限切れフロー、パスワードを忘れた場合のフローまたはパスワードの変更フローで、デフォルトのパスワード・ポリシーに違反するパスワードを入力すると、次のメッセージが表示されます。

An error occurred while attempting to change your password. Please try again

エラー・ログ・ファイルには、無効なクラスに関する次のような例外が表示されます。

<Apr 13, 2013 5:06:09 AM CST> <Error> <oracle.oaam> <BEA-000000> 
<failed to changePassword(john.doe@example.com)
javax.ejb.EJBException: Problem deserializing error response; nested
exception is:
java.io.InvalidClassException:
oracle.iam.identity.exception.IdentityException; local class incompatible:
stream classdesc serialVersionUID = 1935467088360363654, local class
serialVersionUID = -7391301560574640548; nested exception is:
java.io.InvalidClassException:
oracle.iam.identity.exception.IdentityException; local class incompatible:
stream classdesc serialVersionUID = 1935467088360363654, local class
serialVersionUID = -7391301560574640548
at weblogic.ejb.container.internal.RemoteBusinessIntfProxy.unwrapRemoteException(
RemoteBusinessIntfProxy.java:121)
at weblogic.ejb.container.internal.RemoteBusinessIntfProxy.invoke(RemoteBusinessI
ntfProxy.java:96)
at $Proxy163.changePasswordx(Unknown Source)
at oracle.iam.identity.usermgmt.api.UserManagerDelegate.changePassword(Unknown
Source)
...etc
Caused By: java.io.InvalidClassException:
oracle.iam.identity.exception.IdentityException; local class incompatible:
stream classdesc serialVersionUID = 1935467088360363654, local class
serialVersionUID = -7391301560574640548
        at java.io.ObjectStreamClass.initNonProxy(ObjectStreamClass.java:562)
        at
java.io.ObjectInputStream.readNonProxyDesc(ObjectInputStream.java:1582)
...etc 

パスワードに関連するフローは、定義済のパスワード・ポリシーに準拠する有効なパスワードを提供した場合に正しく動作します。このエラーがフローに影響を与えることはありません。

11.1.5 パスワードの変更フローまたはパスワードを忘れた場合のフローでユーザーのロック解除に関する例外が発生する

Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境では、パスワードの変更フローまたはパスワードを忘れた場合のフローを実行したときに、そのフローが成功した場合でもUserUnlockExceptionエラーが表示されます。

11.1.6 パスワードの変更フローでChangePassword.credentials.enumが見つからないことを示すエラーが発生する

Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境では、パスワードの変更フローを実行したときに、そのフローが成功した場合でもChangePassword.credentials.enum not foundエラーが表示されます。

11.1.7 OAAMBasicおよびOAAMAdvancedスキームを使用したAccess ManagerとOracle Adaptive Access Managerの統合は推奨されない

OAAMBasicおよびOAAMAdvanced認証スキームを使用するOracle Access Management Access ManagerとOracle Adaptive Access Managerの統合は11.1.2.2から非推奨であり、12.1.4以降のリリースではサポートされなくなります。OAAMBasicおよびOAAMAdvancedでの統合ではなく、信頼できる認証プロトコル(TAP)を使用するOracle Access Management Access ManagerとOracle Adaptive Access Managerの統合を使用することをお薦めします。TAPを使用したAccess ManagerとOracle Adaptive Access Managerの統合の詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。

11.2 ドキュメントの訂正箇所

この項では、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』の次のドキュメントの訂正箇所について説明します。

11.2.1 oaam.oim.passwordflow.unlockuserプロパティをドキュメントから削除

Access Manager-OAAM-OIM統合では、oaam.oim.passwordflow.unlockuserプロパティは必要なくなり、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』の第3.8.2項、表3-7から削除されます。

11.2.2 oaam.uio.oam.authenticate.withoutsessionプロパティ設定

第C.7.4.4項で、「Access Management 11gリリース1 (11.1.1)以前: oaam.uio.oam.authenticate.withoutsession = false」を「Access Management 11g: oaam.uio.oam.authenticate.withoutsession = false」に変更します。この設定は11gのすべてのリリースに適用されます。