| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
問題: トークンの発行操作中に認可に失敗しました
WS-Trustリクエストの発行操作中に、セキュリティ・トークン・サービスがエラーを返します。
エラー・メッセージ
ログに表示される可能性があるエラー・メッセージのサンプルを次に示します。
<Error> <oracle.security.fed.controller.ApplicationController> <STS-12064> <Exception: {0}
oracle.security.fed.event.EventException: oracle.security.fed.event.EventException: Authorization Failure for Relying Party=%RELYING_PARTY_ID%, Requester=%REQUESTER_ID% and User=%USER_ID%
この場合:
%RELYING_PARTY_ID%はリライイング・パーティ・パートナIDを示します。
WS-TrustリクエストにAppliesTo要素が含まれていない場合、%RELYING_PARTY_ID%はMissingRPに設定されます。
WS-TrustリクエストにAppliesTo要素が含まれ、リライイング・パーティ・パートナにマップできなかった場合、%RELYING_PARTY_ID%はUnknownRPに設定されます。
WS-TrustリクエストにAppliesTo要素が含まれ、リライイング・パーティ・パートナにマップされた場合、%RELYING_PARTY_ID%はリライイング・パーティ・パートナIDに設定されます。
着信リクエストがリクエスタ・パートナにマップされた場合、%REQUESTER_ID%はリクエスタ・パートナIDに設定されます。%REQUESTER_ID%がnullではない場合、現在のアイデンティティ条件に対してトークン発行ポリシーを評価するときに使用されます。
着信リクエストがユーザー・レコードにマップされた場合、%USER_ID%はユーザーIDに設定されます。%USER_ID%がnullではなく、%REQUESTER_ID%がnullの場合、現在のアイデンティティ条件に対してトークン発行ポリシーを評価するときに使用されます。
問題
トークン発行ポリシーの評価に失敗した理由は、次のいずれかです。
%RELYING_PARTY_ID%を参照するTokenServiceRPリソースが定義されておらず、トークン発行ポリシーに割り当てられていません。この場合、%RELYING_PARTY_ID%を参照するTokenServiceRPリソースを作成し、トークン発行ポリシーに割り当てます。
%RELYING_PARTY_ID%を参照するTokenServiceRPリソースが存在し、トークン発行ポリシーに割り当てられていますが、ポリシーに満たされていない条件があります。この場合、ポリシー・ルールを確認します。ポリシーが正しい場合、クライアントはトークンをリクエストできません。それ以外の場合は、クライアントのアイデンティティを含むようにポリシー/条件を更新します。
