この章では、Oracle Identity Management統合に関連する問題について説明します。次のトピックが含まれます:
この項では、Oracle Access Management Access ManagerとOracle Adaptive Access Managerの統合に関連する問題について説明します。次のトピックが含まれます:
第11.1.5項「パスワードの変更フローまたはパスワードを忘れた場合のフローでユーザーのロック解除に関する例外が発生する」
第11.1.6項「パスワードの変更フローでChangePassword.credentials.enumが見つからないことを示すエラーが発生する」
第11.1.7項「OAAMBasicおよびOAAMAdvancedスキームを使用したAccess ManagerとOracle Adaptive Access Managerの統合は推奨されない」
Access ManagerとOracle Adaptive Access Managerの統合中、setupOAMTAPIntegration
スクリプトを実行してAccess ManagerをTAP用に構成するとき、WebLogicまたはWebSphere管理ユーザー名とパスワードを提供する必要があります。OAAM管理ユーザー名とパスワードを提供した場合、このスクリプトの実行に必要な権限がOAAM管理ユーザーに付与されていないことが原因で、スクリプトは失敗します。
また、次のFileNotFoundException
エラー・メッセージが表示されますが、このメッセージは誤っており、正しくないユーザー名とパスワードが入力されたことを示していません。
java.io.FileNotFoundException: .\config\jps-config.xml
有効なデータを提供すると、スクリプトは予期したとおりに動作します。
Access Managerリリース2 PS2とOracle Adaptive Access Managerリリース2 TAPの統合環境において、ユーザー・セッションがまだアクティブな状態で、Access Managerがリリース2からリリース2 PS2にアップグレードされ、それによってアップグレード前のセッション情報がアップグレード後に使用された場合、保護リソースへのログインは、無効なクラスに関する例外で失敗する可能性があります。統合を適切に機能させるには、アップグレードに先立ってサーバーを停止または起動する前に、「セッション管理」ページの「すべてのユーザー・セッションを削除」をクリックして、失効する既存のすべてのアップグレード前セッションを停止する必要があります。セッション管理の詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド11gリリース2』の「セッションの管理」の「セッション管理」ページに関する項を参照してください。
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境において、エンド・ユーザーがOIMとLDAPで正しくないパスワードを何度も提供してロックされ、そのユーザーがOAAMのログイン・ページで有効な資格証明を提供した場合、ユーザーのアクセスは拒否され、次のようなエラー・メッセージが表示されます。
User account is disabled. Please contact customer service
ロックされたユーザーは、パスワードを忘れた場合のフローによって自身のロックを解除できる「パスワードを忘れた場合はこちら」リンクを含む、ロックされたアカウント用のページにリダイレクトされません。Access ManagerとOracle Identity Managerの統合環境では、ロックされたユーザーは、ロックされたアカウント用のページにリダイレクトされ、そのページで「パスワードを忘れた場合はこちら」リンクを利用できます。
OAAM 11gリリース1 PS2 (11.1.1.3)、OIM 11gリリース2 PS1 (11.1.2.1)またはOAAMリリース2 PS1 (11.1.2.1)およびOIMリリース1 PS2 (11.1.1.3)の統合環境では、エンド・ユーザーが、パスワードの有効期限切れフロー、パスワードを忘れた場合のフローまたはパスワードの変更フローで、デフォルトのパスワード・ポリシーに違反するパスワードを入力すると、次のメッセージが表示されます。
An error occurred while attempting to change your password. Please try again
エラー・ログ・ファイルには、無効なクラスに関する次のような例外が表示されます。
<Apr 13, 2013 5:06:09 AM CST> <Error> <oracle.oaam> <BEA-000000> <failed to changePassword(john.doe@example.com) javax.ejb.EJBException: Problem deserializing error response; nested exception is: java.io.InvalidClassException: oracle.iam.identity.exception.IdentityException; local class incompatible: stream classdesc serialVersionUID = 1935467088360363654, local class serialVersionUID = -7391301560574640548; nested exception is: java.io.InvalidClassException: oracle.iam.identity.exception.IdentityException; local class incompatible: stream classdesc serialVersionUID = 1935467088360363654, local class serialVersionUID = -7391301560574640548 at weblogic.ejb.container.internal.RemoteBusinessIntfProxy.unwrapRemoteException( RemoteBusinessIntfProxy.java:121) at weblogic.ejb.container.internal.RemoteBusinessIntfProxy.invoke(RemoteBusinessI ntfProxy.java:96) at $Proxy163.changePasswordx(Unknown Source) at oracle.iam.identity.usermgmt.api.UserManagerDelegate.changePassword(Unknown Source) ...etc Caused By: java.io.InvalidClassException: oracle.iam.identity.exception.IdentityException; local class incompatible: stream classdesc serialVersionUID = 1935467088360363654, local class serialVersionUID = -7391301560574640548 at java.io.ObjectStreamClass.initNonProxy(ObjectStreamClass.java:562) at java.io.ObjectInputStream.readNonProxyDesc(ObjectInputStream.java:1582) ...etc
パスワードに関連するフローは、定義済のパスワード・ポリシーに準拠する有効なパスワードを提供した場合に正しく動作します。このエラーがフローに影響を与えることはありません。
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境では、パスワードの変更フローまたはパスワードを忘れた場合のフローを実行したときに、そのフローが成功した場合でもUserUnlockException
エラーが表示されます。
Access Manager、Oracle Adaptive Access ManagerおよびOracle Identity Managerの統合環境では、パスワードの変更フローを実行したときに、そのフローが成功した場合でもChangePassword.credentials.enum not found
エラーが表示されます。
OAAMBasicおよびOAAMAdvanced認証スキームを使用するOracle Access Management Access ManagerとOracle Adaptive Access Managerの統合は11.1.2.2から非推奨であり、12.1.4以降のリリースではサポートされなくなります。OAAMBasicおよびOAAMAdvancedでの統合ではなく、信頼できる認証プロトコル(TAP)を使用するOracle Access Management Access ManagerとOracle Adaptive Access Managerの統合を使用することをお薦めします。TAPを使用したAccess ManagerとOracle Adaptive Access Managerの統合の詳細は、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』を参照してください。
この項では、『Oracle Fusion Middleware Oracle Identity Management Suite統合ガイド』の次のドキュメントの訂正箇所について説明します。