この章では、Oracle Mobile Security Suite (OMSS)に関連する問題について説明します。
次の項目が含まれます。
この項の内容はコンポーネントごとに分かれています。
この項では、コンポーネント固有でない問題について説明します。次のトピックが含まれます:
Oracle Mobile Security Suiteアーティファクトのテスト環境から本番環境への移行はサポートされません。テストの後、管理者がOracle Mobile Security Suiteを本番環境にデプロイし、その新しい環境で構成とポリシーを手動で再作成する必要があります。
このリリースのOracle Mobile Security SuiteではWindowsプラットフォームはサポートされません。
この項の内容は次のとおりです。
Androidアプリケーション・バイナリをモバイル・セキュリティ・マネージャのアプリケーション・カタログにアップロードしているとき、アプリケーションの詳細(パッケージ名やバージョンなど)がすぐに現在の画面に表示されません。アプリケーションを保存してから再表示すると、アプリケーションの詳細が表示されます。
LDAP内のユーザー・アカウントでユーザー名にアスタリスク(*)が含まれる場合は、モバイル・セキュリティ・マネージャのロールに正しくマッピングされません。回避策は、ユーザー名でアスタリスクを使用しないことです。
モバイル・セキュリティ・マネージャによって、モバイル・デバイス管理(MDM)の構成、ポリシーおよび制約が施行されるのは、モバイル・セキュリティ・ポリシー定義でこのポリシーのデバイスの詳細を指定が選択される場合のみです。所定のデバイスがMDMに登録されたときに、デバイス詳細が指定された適用可能なポリシーが使用されたとします。その後、このポリシーが更新されてこのポリシーのデバイスの詳細を指定が選択解除されても、関連付けられたMDMデバイス構成は自動的には削除されません。コマンド(Lock、Wipe、Syncなど)をデバイスに引き続き送信することができます。
Microsoft Exchangeプッシュ通知に関するモバイル・セキュリティ・マネージャ・サーバーの設定は、すべてのモバイル・セキュリティ・ポリシーでグローバルです。モバイル・セキュリティ・ポリシーごとに別のMicrosoft Exchangeサーバーを構成することはできません。
割り当てられたモバイル・ロールの名前によるモバイル・セキュリティ・ポリシーの検索では大/小文字が区別されますが、他の属性(ポリシー名など)によるモバイル・セキュリティ・ポリシーの検索では区別されません。回避策は、ポリシーを検索するときに大/小文字を区別したロール名を使用することです。
アプリケーション・バイナリをモバイル・セキュリティ・マネージャのアプリケーション・カタログにアップロードするとき、アップロードが開始すると取り消すことができません。「取消」をクリックすると現在のダイアログが閉じますが、アプリケーションのアップロードはバックグラウンドで完了します。
モバイル・セキュリティ・マネージャでユーザーまたはロールを検索するとき、検索と一致する結果が1000件を超える場合でも、最大で1000件のユーザーまたはロールしか表示されません。回避策は、検索と一致する結果が1000未満になるように検索基準を更新することです。
この項の内容は次のとおりです。
MSASログ・ファイルに次の警告メッセージが含まれます。
WARNING: JPS-06514 Opening of file based keystore failed. WARNING: JPS-06619 Key store file keystores.xml integrity check failed.
「WARNING: JPS-06514」および「WARNING: JPS-06619」のコードを含むメッセージは無視することができます。
configMSAS.sh
を使用してMSASインスタンスを構成するとき、Oracle Access Managerに対してMSASインスタンスのOAuthクライアントとWebGate構成の登録が自動的に試行されます。そのMSASインスタンスが後で削除されるとき、前に登録されたOAuthクライアントとWebGate構成は自動的に削除されません。回避策は、OAMコンソールUIを使用してOAuthクライアントとWebGate構成を手動で削除することです。
Oracle Access ManagerとOracle Mobile Security Suiteはこのリリースでは一緒にインストールされます。OAM Test-to-Production (T2P)プロセスに従って、OAM構成を移行元環境から移行先環境に移行すると、Mobile Security Access Serverの構成要素の一部も移行されます。このために移行先環境で競合が生じます。たとえば、移行元環境で前に使用されていたのと同じ論理MSASインスタンスIDが移行先環境で選択されていると、移行先環境でのOracle Mobile Security Suite標準構成プロセスの実行が失敗します。回避策は、移行先環境では別の論理MSASインスタンスIDを選択することです。移行元環境で使用されていた論理MSASインスタンスIDを再利用しないでください。
MSASコンソールUIはモバイル・デバイスでは正常に表示されません。MSASコンソールUIを表示するための回避策は、OAMポリシー・マネージャ・コンソールの動作が保証されているデスクトップWebブラウザを使用することです。
Oracle Mobile Security SuiteコンソールUIのいくつもの画面で、公開鍵を新規作成する際にRSA 1024ビットの鍵がデフォルトで提案されます。標準のセキュリティ推奨事項では、鍵の最小サイズとしてRSA 2048ビットの使用をお薦めします。回避策は、デフォルトの選択肢を変更して、RSA 2048ビット以上の鍵を使用することです。
MSASコンソールには、ホスト・ヘッダーのMSASとバックエンドを切り替えるオプションがありませんが、これが影響するのはリバース・プロキシが関連付けられたJWTクライアント・ポリシーのみです(起動時)。この問題のためにJWTオーディエンス制限チェックが失敗しないようにするには、関連付けられたJWTクライアント・ポリシーでaudience.uri
プロパティにNone
を設定します。
displayIdentityProfile
コマンドのディスプレイ出力で、出力の改行文字の場所にTERM_CHAR
が含まれます。このような無効なTERM_CHAR
は無視することができます。
プロキシ・アプリケーションを作成するときは、複数の異なるURLで同じプロキシ名を使用しないでください。そうした場合、実行時に予期しない動作が引き起こされます。
Oracle Mobile Security SuiteでOracle Access Managerに対するSSOがサポートされるのは、OAMログイン・ページが埋込み資格証明コレクタ・モードを使用して公開されるときです。OAMログイン・ページが分散型資格証明コレクタ・モードを使用して公開されている場合、SSOはサポートされません。
この項の内容は次のとおりです。
Webサイトにホストされているオンライン・ビデオ・ファイルをセキュア・ブラウザで再生しようとするとエラーになります。回避策は、ビデオ・ファイルをローカルにダウンロードしてから再生することです。
ハードウェア・バイブレーション・モードがiOSデバイスで有効になっている場合、セキュア・ブラウザでローカル・ビデオ・ファイルを再生するときに音声が聞こえません。回避策は、バイブレーション・モードをオフにすることです。
「インストール先: ホームページ」ポリシー設定が有効になっている場合、デバイスのOSが「最低OSバージョン」ポリシー設定で求められる最低バージョンを満たさない場合でも、アプリケーションはSecure Workspaceアプリケーション・ホームページに表示されます。回避策は、モバイル・アプリケーションでは「最低OSバージョン」制限を付けて「インストール先: ホームページ」を設定しないことです。かわりに、ユーザーが動的カタログからモバイル・アプリケーションをインストールできるように許可します。こうすると、「最低OSバージョン」制限が正しく適用されます。
構成済デバイス言語がアプリケーションのローカライズ言語のいずれにも一致しない場合、セキュア・ワークスペース・アプリケーションは英語に戻ります。デバイス言語がサポート対象言語に設定されていても、リージョンがサポートされない場合、アプリケーションは英語に戻ります。回避策は、デバイス言語をサポート対象言語とサポート対象リージョンに設定するか、リージョンを構成しないことです。
セキュア・ワークスペース・アプリケーションに別のアプリケーション名を付けてカスタマイズする場合、1つの言語の1つの名前しかサポートされません。言語ごとに異なる名前が望ましい場合、回避策は、言語ごとにアプリケーションのカスタマイズ・バージョンを個別に作成することです。
管理対象デバイスを登録した後で、ユーザーはパスコード・オフ設定を選択できますが、デバイスによってユーザーがパスコードをリセットするように強制されます。iOS 7.x MDM APIの制約により、パスコード・オフ設定を完全に無効にすることができません。
iOS 9では、アプリケーションのリストが「設定」に動的にロードされます。そのため、ワークスペース・アプリケーションがiOSの「設定」画面のアプリケーションのリストに表示されるまで、少し時間がかかる場合があります。
この項の内容は次のとおりです。
MDMが有効になっていないとき、セキュア・ワークスペース・アプリケーションのログイン・プロセスで、「ログイン中」進捗ダイアログが一時的に消えてから再表示されます。この一時的な終了は機能に影響しません。
セキュア・ブラウザで仮想アプリケーションを開くと、前に開いていたブラウザ・タブ(ある場合)が閉じられます。
セキュア・ワークスペース・アプリケーションに別のアプリケーション名を付けてカスタマイズする場合、1つの言語の1つの名前しかサポートされません。言語ごとに異なる名前が望ましい場合、回避策は、言語ごとにアプリケーションのカスタマイズ・バージョンを個別に作成することです。
Talkbackが有効になっており、ヘッドフォンを使用しているとき、Talkbackによってパスワード・フィールドの文字が読み上げられます。ただし、多数のAndroidデバイスで、Talkbackは文字の名前のかわりに「ドット」と読み上げます。これはセキュア・ワークスペースのバグではありませんが、多数のAndroidデバイスに影響する既知の制約事項です。
この項の内容は次のとおりです。
Webサイトにホストされているオンライン・ビデオ・ファイルをコンテナ化されたアプリケーションで再生しようとするとエラーになります。回避策は、ビデオ・ファイルをローカルにダウンロードしてから再生することです。
ソケットレベル通信プリミティブを直接使用するアプリケーションのセキュア・ネットワーキングはサポートされません。
コンテナ化されたアプリケーションがQLPreviewControllerの「イメージの保存」機能を提供するとき、ローカル・ギャラリへのイメージの保存制約がモバイル・セキュリティ・マネージャで有効になっている場合でも、そのアプリケーションのイメージ保存機能を制限することはできません。
UIストーリーボードを使用するXamarinアプリケーションがコンテナ化されると、空の画面が表示されるか異常終了します。回避策は、Xamarinアプリケーションを作成するときにUIストーリーボードを使用しないことです。
アプリケーション・コンテナ化ツールはローカライズされません。OSXターミナル・ウィンドウで設定されたロケールにかかわらずすべてのテキストが英語で表示されます。
iOS Touch ID機能が有効になっている場合、バージョン3.0.nのアプリケーションのコンテナ化が起動時にクラッシュします。この問題を修正するには、11.1.2.3.1アプリケーション・コンテナ化ツールを使用してアプリケーションを再構成します。コンテナ化されたアプリケーションがすべて11.1.2.3.1コンテナ化にアップグレードされるまでは、Touch IDをオフにします。
この項の内容は次のとおりです。
セキュア・ワークスペース・ポリシーがファイル共有を制限するように設定されているとき、コンテナ化されていないアプリケーションが、Android上の使用可能なアプリケーションのリストに表示されることがあります。ただし、このようなコンテナ化されていないアプリケーションの1つを選択しようとすると、暗号化されたデータがアプリケーションによってアクセスされます。暗号化されていないデータの漏洩はありません。
セキュア・ワークスペース・アプリケーション内のWebページから、カスタムURLスキームを使用する他のアプリケーションへのリダイレクトを許可または拒否するセキュア・ワークスペース・ポリシーは、Androidに実装されていません。
ソケットレベル通信プリミティブを直接使用するアプリケーションのセキュア・ネットワーキングはサポートされません。
Androidストレージ・アクセス・フレームワークのドキュメント・プロバイダ・インタフェースを実装するアプリケーションは、コンテナ化された後で、他のモバイル・アプリケーションのオープン可能リストに表示されません。
ウィジェットをサポートするAndroidに、コンテナ化されたアプリケーションをインストールし、ウィジェットの1つをAndroidホーム画面にドラッグすると、ウィジェットが開くときにウィジェットのロードで問題が発生というエラーが発生します。
アプリケーション・コンテナ化ツールはローカライズされません。OSXターミナル・ウィンドウで設定されたロケールにかかわらずすべてのテキストが英語で表示されます。
この項の内容はコンポーネントごとに分かれています。
この項には次のトピックが含まれます:
Oracle Mobile Security Suite 11gリリース2 (11.1.2.3.0)では、インストール後にWebLogic 10.3.6.0.10に次のパッチを適用する必要があります。
13856604: NEW TIMEOUT PROPERTY REQUIRED FOR HTTPRESPONSE INSTEAD OF COMPLETEMESSAGETIMEOUT
15865825: DISABLE BASIC AUTH FOR OWSM WHILE KEEP BACKWARD COMPATIBILITY
14809365: HTTP BASIC AUTHENTICATION FOR WLS WS STACK
My Oracle Support (旧OracleMetaLink)からパッチを入手するには、次のURLに移動し、「パッチと更新版」をクリックしてパッチ番号を検索してください。
この項には次のトピックが含まれます:
idmConfigToolプロパティ・ファイルに含まれる論理MSASインスタンスIDが、configMSAS.sh
が以前に実行された際にconfigMSAS.sh
プロパティ・ファイルに含まれていた論理MSASインスタンスIDと一致しない場合、idmConfigTool –configOMSS mode=OMSAS
コマンドが次のエラーで失敗します。
(1/4) Configuring OMSAS Identity Profile Error [oracle.wsm.cli.CommandLineException: WSM-15013 : No session to abort.]
このエラーが発生すると、Mobile Security Access ServerのIDSプロファイルが作成されることがあり、idmConfigToolプロパティ・ファイルが正しい論理MSASインスタンスIDを使用するように後で更新され、idmConfigTool –configOMSS mode=OMSAS
が再び実行されたときに、さらにエラーが引き起こされる場合があります。回避策は、idmConfigToolプロパティ・ファイルが新しいIDSプロファイル名を使用するように更新するか、前に作成されたIDSプロファイルをWLSTコマンドを使用して削除することです。
SSL用のOracle Access Manager構成では、WebLogic Serverのデモ・アイデンティティ証明書をデフォルトで使用できます。このデモ・アイデンティティ証明書にはサーバー・ホストの短縮名のみが含まれます。完全修飾ドメイン名は含まれません。デモ・アイデンティティ証明書が使用されるときに、MSASがSSLを介してOracle Access Manager (OAuthサーバーを含む)に接続するには、MSASの構成でOracle Access ManagerまたはOAuthサーバー・ホスト(あるいは両方)の完全修飾ドメインではなく短縮名を使用する必要があります。
これは、configMSAS.sh
によって使用されるOAM_HOST
およびOAUTH_HOST
プロパティと、OAuth2機密クライアントおよびOAuth2モバイル・クライアント認証エンドポイントに該当します。これらを構成するには、MSASコンソールで「環境」→「インスタンス」→「<ゲートウェイ・インスタンス>」→「認証エンドポイント」ページを開き、OAuth2機密クライアント: エンドポイントおよびOAuth2モバイル・クライアント: エンドポイント・パラメータを更新します。