この章では、Oracle Access Managementに関連する問題について説明します。
次の項目が含まれます。
この項では、特定のAccess Managerサービス別にまとめた一般的な問題および回避策について説明します。サービス関連のトピック(アクセス・ポータルなど)がなければ、この時点で一般的な問題はありません。
このトピックでは、Oracle Access Management Access Manager (Access Manager)の一般的な問題および回避策について説明します。内容は次のとおりです。
SHA1/SHA2証明書を使用して証明書モードでOracle Access Management Access Manager 11.1.2.3.0サーバーが構成されている場合、10g WebGateおよび11.1.2.1.0/11.1.2.2.0 (32ビット) WebGateはサポートされません。
SSL接続を使用するときにActive Directoryでログインの問題が発生します。この問題の現在の回避策は、ActiveDirectoryAuthenticatorで非SSLポートを使用することです。
関与しているリソースの1つがOAMパブリック・ポリシーによって保護されている場合、SSOグローバル・ログアウトが失敗します。Enterprise Content Management PS7がOAM R2PS2で使用され、認証プロバイダとして追加されたOAM IDアサータでアクション・タイプがOAM_IDENTITY_ASSERTIONトークン(OAM_REMOTE_USERではなく)として定義されると、SSOグローバル・ログアウトが失敗します。
ユーザーが、LDAPNoPasswordModule認証モジュールを使用する任意の認証スキームで認証されると、認証スキームに定義された認証レベルに関係なく、認証レベル"0"がそのユーザーに設定されます。
OAuthトークンをリクエストするときは「登録済」/「許可」付与タイプを指定する必要があります。
デフォルトでは、idmConfigTool -configOAM
では、次のパラメータを使用してWeblogic認証プロバイダが作成されます。
静的グループ・オブジェクト・クラス = groupofnames
静的メンバーDN属性 = member
メンバーDNフィルタの静的グループDN = (&(member=%M)(objectclass=groupofnames))
Oracle Unified Directory (OUD)がgroupofuniquenames
を使用してグループを定義し、uniquemember
を使用してグループ・メンバーを定義している場合、OUDのWeblogic認証プロバイダでこれを明示的に変更する必要があります。
OAMサーバーが11.1.2.3にアップグレードされると、証明書をOAM 11.1.2.2 WebGateエージェントに挿入するために11.1.1.6 orapkiライブラリが使用できなくなります。
回避策: OAM 11.1.2.3にアップグレードした後で、次のコマンドを実行して、11.1.2.3のコンポーネントと互換性を持つようにウォレットのバージョンを変換します。
orapki wallet convert [-wallet [wallet]] [-auto_login_only]
この11.1.2.3.0リリース以降、Access SDKクライアントはクラスパスでoamasdk-api.jar
しか必要ありません。この拡張によってドキュメントが変更されています。第5.4.2.1項「Access SDKドキュメントの更新」を参照してください。
Oracle Access Managementコンソールを使用してアイデンティティ・ストアのユーザーを検索するとき(「構成」→「管理」→「ユーザー検索」)、結果に含まれるユーザーが1000を超える場合でも最大で1000名のユーザーしか表示されません。
共存およびマルチデータ・センターがOAM-OAAM環境で有効になっているとき、デフォルトのUIDでユーザーとして匿名を定義する必要があります。
認証ポリシー、認証スキーム、認証モジュールおよび認証プラグインの名前は値であり、翻訳できる文字列ではないため、ローカライズされません。
回避策: これらの名前は編集できます。
認可ルールでユーザーまたはグループを検索するとき、部分文字列をワイルドカード(*)と組み合せると、機能しません。この状態が発生したとき通知エラーはスローされません。
通常、CoherenceサーバーがSSLモードで起動されると、ポート9095上で稼働します。この問題が発生するのは、Access Managerが使用中の9095を検出し、Coherenceを9096上で起動した場合です。この問題を軽減するには、ポート9095をCoherenceサーバーのために空けておくようにしてください。
OAM-OAAM統合環境では、TAPを使用してDCCを機能させるために、次の構成を行う必要があります。
DCCアプリケーション・ドメイン"/oam/**"を非保護に設定します。
"/favicon.ico"を除外リソースとして設定します。
SFAには、OTPメールに対するグローバリゼーション・サポートはありません。メールの件名と内容はAdaptiveAuthenticationPlugin
およびAdaptiveAuthenticationModule
で編集できますが、すべてのユーザーに適用されます。
Active Directoryをアイデンティティ・ストアとして使用する場合、グループのオブジェクト・クラスをデフォルトの"groupofuniquenames"ではなく"group"に変更します。
外部資格証明コレクタ(DCC) HTTPリバース・プロキシ機能が11.1.2.2.0リリースで導入されました。この新しいDCC HTTPリバース・プロキシ機能は、以前のHTTP-Basic/FORMのDCCベースのログインとは異なります。後者はFederation SSOフローでは動作しません(IdPモードまたはSPモード)。
このトピックでは、Oracle Access Managementセキュリティ・トークン・サービスの一般的な問題および回避策について説明します。現在は何も記載されていません。
このトピックでは、Oracle Access Management Identity Federationの一般的な問題および回避策について説明します。現在は何も記載されていません。
このトピックでは、Oracle Access Management Mobile and Socialの一般的な問題および回避策について説明します。現在は何も記載されていません。
この項では、特定のサービスに関してまとめた構成および回避策について説明します。この項の内容は、次のとおりです。
このトピックでは、Oracle Access Management Access Manager (Access Manager)の構成および回避策について説明します。次の項目が含まれます。
11.1.2.3 WebGateエージェントは、実行コンテキスト識別子(ECID)をECID-contextの値としてOAMサーバーに送り、かわりに識別子を含むレスポンスを受け取ることができます。ECIDは、WebGateからOAMに送信されるリクエストと返されるレスポンスを徹底的にデバッグする際に役立ちます。ECIDコンテキストを有効にするには、11g WebGateプロファイルで次のユーザー定義パラメータをtrueに設定します。
sendECIDResponse=true
oam_policy_mgr1ノードがAdminServerマシン以外のマシンでターゲット設定されている場合、Oracle Access Managementコンソールを使用して、このノードのサーバー・エントリを作成します。起動パッドで「構成」→「サーバー・インスタンス」にナビゲートします。ホスト名とポートは、oam_policy_mgr1管理対象サーバー・ノードのものと一致する必要があります。有効になっている場合はSSLポートを使用します。oam_policy_mgr1ノードを起動するのは、このサーバー・エントリを作成した後にしてください。
Oracle Access Managementセキュリティ・トークン・サービスに関する構成と回避策はありません。
このトピックでは、Oracle Access Management Identity Federationの構成および回避策について説明します。次の項目が含まれます。
Mobile and Socialに対してOracle Access Managementをインストールして構成した後で、Federationサービスを有効化する必要がありますが、有効になっていません。Federationサービスを有効化するには、次の手順を実行します。
Oracle Access Managementコンソールに管理者としてログインします。
「構成」からナビゲートして、「使用可能なサービス」にアクセスします。
「Mobile and Socialサービス」を無効化してから有効化します。
この操作によってFederationサービスが有効化されます。
Oracle Access Management Mobile and Socialに関する構成と回避策はありません。
この項では、Oracle Access Managementコンソールに影響する問題について説明します。次の項目が含まれます。
WebGateはOHS 12cで使用できますが、Oracle Access Managementコンソールには10gおよび11gオプションしか表示されません。現時点では、12c WebGatesを11g WebGateと同様に構成する必要があります。
Oracle Access Management 11.1.2および関連サービスを説明するOracleマニュアル(このリリース・ノートを含む)には、OAMサーバー(Access Managerサーバーの旧称)という用語が間違って記載されています。ただし、Oracle 11.1.2マニュアルの次回リリースでは、OAMサーバーがAMサーバー(Access Managerサーバー)に置き換えられます。
ここでは、Oracle Access Management固有のマニュアルに関するドキュメントの訂正箇所について説明します。内容は次のとおりです。
Oracle Access Management管理者ガイドについて、ドキュメントの訂正箇所はありません。