このガイドの最新情報
この項では、『Oracle Access Management管理者ガイド12c (12.2.1.4.0)』の新しい機能および重大な変更をまとめて示します
機能とその使用方法の詳細は、このガイドの参照先を確認してください。
- 2024年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- 2023年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- 2022年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- 2021年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- 2021年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- 2021年1月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- 2020年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- 2020年7月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- 2020年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
- Oracle Access Management 12cリリース2 (12.2.1.4.0)の機能
2024年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
- OAMがサービス・プロバイダ(SP)として機能している場合の認証コンテキストのチェック
OAMは、SPとして機能している場合、外部SAMLアイデンティティ・プロバイダ(IdP)の認証コンテキストを識別し、
authnassurancelevel
プロパティに基づいてSAML認証を続行します。詳細は、「OAMがSPとして機能している場合の認証コンテキストのチェック」を参照してください。 - デフォルトの承認確認有効期限の変更
新しいカスタム属性
consentAcknowledgeExpiryTimeInSeconds
によって、承認を確認するためのデフォルトの有効期限を変更できます。詳細は、「デフォルトの承認確認有効期限の変更」を参照してください。 - ID_TOKENの有効期限を設定する機能
ACCESS_TOKEN
設定の有効期限を使用するかわりに、ID_TOKEN
の有効期限を設定できます。詳細は、「アイデンティティ・ドメインの作成」を参照してください。 - ユーザー・パスワード変更の検証
oam-config.xmlで
userPasswordChangeCheckEnabled= true
プロパティを設定すると、ユーザー・バスワードの更新前に生成されたトークンが検証されます。詳細は、「ユーザー・パスワード変更の検証の有効化」を参照してください。 - クライアント・シークレットの失効およびローテーション
カスタム属性
oldSecretRetentionTimeInDays
を使用して、古いクライアント・シークレットが機能し続ける時間を構成できます。このカスタム属性は、ドメイン・レベルとクライアント・レベルの両方で定義できます。ただし、クライアント・レベルで定義された値が優先されます。詳細は、表39-1を参照してください。 -
発行者検出識別子およびIssトークン・クレームをカスタマイズする機能
この拡張機能の実装により、発行者からポートをマスク/省略でき、OpenID構成のパス・コンポーネントをカスタマイズできます。詳細は、「カスタム発行者のサポート」を参照してください。ノート:
カスタム発行者のサポート機能を有効にするには、/DeployedComponent/Server/NGAMServer/Profile/ssoengine/OAuthConfig
エンドポイントに対してGET操作を実行し、同じエンドポイントに対してPUT操作を実行します。これにより、すでに適用されている構成が引き続き有効になります。 -
APIキーを表示するための新しいフィールドの追加
このリリースでは、新しいフィールドの「APIキー」がパートナの詳細画面に追加されています。このフィールドにより、管理者は、セキュアな更新のために関連パートナとキーの詳細を共有できます。詳細は、「署名および暗号化キーの構成」を参照してください。
-
OAMログ・メッセージのSAMLレスポンス属性をマスクする機能
このリリースでは、Oracle Access ManagementはOAMログ・メッセージのSAMLレスポンス属性をマスクします。詳細は、「ログ・レコードのSAML属性のマスク」を参照してください。
2023年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
- 認可付与詳細をフェッチする新しいパラメータ
認可サーバーが認可エンドポイントから結果パラメータを返す方法を決定する新しいリクエスト・パラメータresponse_modeが追加され、認可付与が適切な形式でredirect_uriにフェッチされます。詳細は、表40-7を参照してください。
- 複数のブラウザ・タブでの認証のサポート
OAMでは、serverReuestCacheTypeパラメータがCOOKIEに設定されている場合、複数タブ機能がサポートされています。詳細は、「複数のブラウザ・タブでの認証のサポート」を参照してください。
2022年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
- フェデレーション・パートナで、RSASSA-PSS署名アルゴリズムを使用した証明書がサポートされます
署名アルゴリズムSHA256-RSA-MGF1のサポートが含まれています。
ノート:
この更新は、OWSMパッチ34566592に依存します。詳細は、「RSA OAEPキー・トランスポート・ダイジェストおよびMGFダイジェストの構成」を参照してください。
2021年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
-
OAM SAML 2.0でサポートされる暗号化アルゴリズム
OAMでは、AES-GCM暗号化モードがサポートされています。
詳細は、「OAM SAML 2.0でサポートされる暗号化アルゴリズム」および「デフォルトの暗号化アルゴリズムの変更」を参照してください
- OAP over REST通信の双方向SSL。
WebGateとOAMサーバーの間でOAP over RESTの相互認証を有効にできるため、サーバーが認証クライアントと確実に通信できます。
詳細は、「OAP over RESTの双方向SSLの有効化」を参照してください
- OAMでのTOTPベースのマルチファクタ認証
config-utility.jar
を指定したconfigureMFA
コマンドを使用してMFAを構成できます詳細は、「OAMでのTOTPベースのマルチ・ファクタ認証の構成」を参照してください
- サードパーティ証明書を使用したトークン署名
アクセス・トークンは、即時利用可能な状態で生成された自己署名キー・ペアを使用して署名できます。このリリースでは、OAMは、サードパーティのキー・ペアを使用してアクセス・トークンに署名できるようにサポートを拡張します。
詳細は、「サードパーティ証明書を使用したトークン署名」を参照してください
- OAMでの相互TLS (mTLS)クライアント認証
TLS認証では、サーバーは、証明書(公開キー)を生成することでそのIDを確認します。その後、証明書はTLS検証プロセスによって検証されます。mTLS (mutual-TLS)では、サーバーとともにクライアントのIDも検証されます。TLSハンドシェイクは、証明書内の公開キーに対応する秘密キーをクライアントが所持しているかどうかの検証と、対応する証明書チェーンの検証に使用されます。
詳細は、「クライアント認証の構成」および「mTLSクライアント認証の構成」を参照してください
- カスタム・クレーム
OAMは、クライアント・レベルまたはドメイン・レベルで構成できるテンプレートを使用して、カスタム・クレームを定義する機能を拡張します。カスタム・クレームは、すべてのアクセス・トークン、IDトークンおよびユーザー情報に含めることができます。カスタム・クレームの値の変換や値のフィルタリングを実行することもできます。
詳細は、「カスタム・クレーム」を参照してください
-
OAuthアクセス・トークンの最大サイズ
デフォルトのOAuthアクセス・トークンの長さ制限は、
7500
に引き上げられました。この値は、OAuthアイデンティティ・ドメインのカスタム・パラメータaccessTokenMaxLength
を使用してオーバーライドできます。 -
OAuthクライアントの更新-
PATCH
リクエストのサポートOAuthクライアントの変更中に
PATCH
リクエストのサポートを導入します。PATCH
操作では、OAMは既存のスコープをリクエストの値とともに追加します。redirect_uris、付与タイプおよびカスタム属性についても同様の動作が提供されます。既存のPUT
操作では、OAuthクライアント・パラメータの内容がリクエストの値で置き換えられます。
2021年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
- セッション管理の最適化
セッション管理エンジンは、負荷がかかっている状態でのシステム・パフォーマンスを改善するように最適化およびチューニングされています。
『パフォーマンスのチューニング・ガイド』の「Oracle Access Managementのデータベース・チューニング」も参照してください
- OAuthリフレッシュ・トークン管理
OAuthトークン管理機能が強化され、リフレッシュ・トークンを無効化できるようになりました。
詳細は、「OAuthトークンの取消し」を参照してください
-
ApacheおよびIIS Webサーバー用の12c Webゲート
IISおよびApache Webサーバー用のWebゲートは、このリリースで使用可能になります。
詳細は、『Oracle Access Manager WebGatesのインストール』のOAM用のIIS 12c Webゲートのインストールと構成に関する項を参照してください
-
TLS 1.3およびFIPS 140-2のサポート
このリリースは、FIPSおよびTLSの最新の標準およびバージョンに準拠しています。
詳細は、「OAMサーバーでのFIPSモードの有効化」および「Oracle Access ManagementでのTLS 1.3およびTLS 1.2のサポート」を参照してください
2021年1月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
- OAM 12cで埋込み資格証明コレクタ(ECC)を使用するための推奨事項
OAM 12cで導入された新機能にはECCを使用することをお薦めします。OAM 12cで導入された新機能の一部では、DCCがサポートされていません。たとえば、OpenIDConnectではDCCの使用がサポートされていません。
追加の詳細は、https://support.oracle.comの
ドキュメントID 2634863.1
を参照してください。また、「Access Manager資格証明コレクションの概要」および「埋込み資格証明コレクタと外部資格証明コレクタ」も参照してください
-
OAMでのProof Key for Code Exchange (PKCE)のサポート
既存のOAM OAuth認可コード付与フローにPKCEのサポートが導入されました。これを使用すると、既存の3-legged OAuthのセキュリティが強化され、認可コードのインターセプト攻撃の可能性を軽減できます。PKCEはドメイン・レベルで有効にすることも、特定のクライアントに対してのみ有効にすることもできます。
ノート:
OAMは、パディング付きのBase64でcode_challenge
を検証します。これを修正し、code_challenge
に関してRFC準拠の動作(https://tools.ietf.org/html/rfc7636#appendix-Aで説明されているパディングなしのBase64)を行うようにするには、OAMパッチ32406872をダウンロードして適用する必要があります。詳細は、Oracle Access Manager (OAM) 12.2.1.4でOAuth Proof Key For Code Exchange (PKCE)を有効化する方法(ドキュメントID 2755209.1)
のノート(https://support.oracle.com)を参照してください。OAMの今後のすべてのリリースでは、RFC準拠の動作のみがサポートされます。
詳細は、「OAMでのProof Key for Code Exchange (PKCE)のサポート」を参照してください。
-
OAUTH_TOKENレスポンスを未設定のままにする
OAMには、SSOセッション・リンクが有効になっている場合に
OAUTH_TOKEN
のCookieまたはヘッダーを設定しないというオプションがあります。チャレンジ・パラメータIS_OAUTH_TOKEN_RESPONSE_SET
をfalse
に設定する必要があります。ノート:
IS_OAUTH_TOKEN_RESPONSE_SET
が構成されていない場合、またはtrue
に設定されている場合は、OAUTH_TOKEN
のCookie/ヘッダーが設定されます。
2020年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
-
SAMLレスポンスでのAWSロール・マッピング属性のサポート
SAMLレスポンスでAWSロール・マッピング属性をサポートするためにSP属性プロファイルで構成できる新しい関数が導入されています。
詳細は、「SAMLレスポンスのAWSロール・マッピング属性」を参照してください
-
OAMフェデレーションでの属性値マッピングおよびフィルタのサポート
OAMフェデレーションでは属性名マッピングがサポートされていました。サポートが属性値マッピングおよび属性フィルタリング機能に拡張されました。
詳細は、「属性値マッピングおよびフィルタリングの使用」を参照してください
2020年7月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
- OAM CookieでのSameSite=None属性のサポート
OAMは、WebGateおよびOAMサーバーによって設定されたすべてのCookieにSameSite=None属性を追加します。
詳細は、OAM CookieでのSameSite=None属性のサポートを参照してください
-
拡張キーの用途(EKU)を使用したX.509認証
X.509認証フローでは、証明書の使用が許可されていることを確認するために、拡張キーの用途(EKU)の証明書拡張チェックをオプションで追加できます。
詳細は、「拡張キーの用途(EKU)を使用したX.509認証」を参照してください。
2020年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新
この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。
-
OAuth承認管理
ユーザー承認を管理し、ユーザー承認を保持し、データ・センターにわたってユーザー承認を取り消すメカニズムを与える機能を提供します。承認取消し機能は、管理者と個々のユーザーの両方に提供されます。
詳細は、「承認管理の有効化」および「MDCでの承認管理の有効化」を参照してください
-
OAuthジャストインタイム(JIT)ユーザーのリンクおよび作成
ユーザーを自動的にプロビジョニングする機能を提供します。IDPから受信したidTokenにはユーザー属性があります。これらのユーザー属性には、ユーザーID、ユーザー名、名、姓、電子メール・アドレスなどの値を指定できます。これらの値を使用して、ユーザーをローカルIDストアのエントリにリンクしたり、存在しない場合には作成できます。
詳細は、「OAuthジャストインタイム(JIT)ユーザー・プロビジョニング」を参照してください
-
OAMスナップショット・ツール
構成をすべて含むOAMドメインのスナップショットを作成して保持し、それを使用して完全に機能するOAMドメイン・クローンを作成するツールを提供します。
詳細は、「OAMスナップショット・ツールの使用」を参照してください
Oracle Access Management 12cリリース2 (12.2.1.4.0)の機能
Oracle Access Management 12c (12.2.1.4.0)には、次の機能があります:
-
パスワードレス・ログイン
パスワードレス認証を使用すると、モバイル・デバイスの使用時に標準のWebフォーム・ベースの認証をバイパスできます。詳細は、「OAMでのパスワードレス認証の使用」を参照してください。
-
動的クライアント登録
動的クライアント登録(DCR)は、ネイティブ・モバイル・アプリケーション(Android)が自身をクライアントとしてOAuthサーバー(OAM)に動的に登録する方法を提供します。詳細は、「動的クライアント登録」を参照してください。
-
OAP over REST
Oracle Access Protocol (OAP) over RESTにより、HTTP(S)インフラストラクチャを使用してリクエストをルーティングおよびロード・バランシングできます。WebGateとサーバー間の転送メカニズムを変更すると、一部のコンポーネントがオンプレミスで、その他のコンポーネントがクラウドに移行されているハイブリッド・デプロイメントの運用コストを削減する上で有益な影響をもたらします。詳細は、「OAP over RESTを使用したOAMサーバーとWebGates間の通信の保護」を参照してください
-
WebGateでOAPの簡易/証明書モード通信にPFSおよび承認済の暗号スイートを使用する方法
簡易/証明書モードの通信が発生すると、WebGateでは、管理者によって定義された有効な承認済の暗号スイートが必ず使用されます。詳細は、『Oracle Access Management管理者ガイド』の「WebGateでOAPの簡易/証明書モード通信にPFSおよび承認済の暗号スイートを使用する方法について」を参照してください
-
ヘルス・チェック・フレームワーク
ヘルス・チェック・フレームワークにより、サーバーのヘルス・チェックが可能になります。これらのチェックを実行するには、REST APIを使用するか、サーバーの定期的なチェックをスケジュールします。各スケジュールは、実行する特定のテスト・セットに関連付けることができます。詳細は、「ヘルス・チェック・フレームワークによるサーバー・ヘルスのモニタリング」を参照してください
-
UserInfoレスポンスの変更点
OAuthフローに対するUserInfoレスポンスの形式は、次の点が変更されています:
- 新しいパラメータ
guid
およびsub
がレスポンスに追加されます。 - パラメータ
Profile
、Email
、Address
およびPhone
は、各パラメータの個別のコンテナではなく、ルート・タグの直下に戻されます。 - パラメータ
email_verified
およびphone_number_verified
はブール値として戻されます。
たとえば、
{ "guid": "6C9CF210194A11E99FB45DDD0C60B95A", "sub": "weblogic", "family_name": "weblogic", "preferred_username": "weblogic", "updated_at": "1548740667872", "email_verified": false, "phone_number_verified": false }
ユーザー情報の属性を古い形式(次の例を参照)で取得するには、カスタム属性
UserInfoScopeCont
をドメイン・レベルでtrue
に設定します。カスタム属性
UserInfoScopeCont
が設定されている場合のUserInfoレスポンス形式の例:{ "profile": { "guid": "6C9CF210194A11E99FB45DDD0C60B95A", "sub": "weblogic", "family_name": "weblogic", "preferred_username": "weblogic", "updated_at": "1548743708100" }, "email": { "email_verified": false }, "address": {}, "phone": { "phone_number_verified": false } }
- 新しいパラメータ
-
ポリシー・キャッシュ・リジリエンシ
ポリシー・キャッシュの読取り、検証および置換をサーバー内での小さなステップで実行でき、さらにキャッシュの作成を管理サーバーに委任することにより、管理対象サーバーのリジリエンスが向上しています。管理サーバーから管理対象サーバーへのポリシー・キャッシュの配布(書込み1回、読取り複数回)が導入され、クラスタ内に存在する複数のOAMサーバーのポリシー・キャッシュ間における競合が低減されます。
ポリシー・キャッシュは、パラメータを使用して微調整できます。詳細は、「ポリシー・キャッシュのパラメータの構成」を参照してください。
Access Managerでサポートされていない機能
この項では、Access Managerのリリースでサポートされていない機能のリストを示します。
Access Manager 12.2.1.3.0でサポートされていない機能
次の表にOAM 12.2.1.3.0からサポートされない機能をリストして、移行パスを示します。
OAM 12.2.1.3.0でサポートされない機能 | 説明 | 移行パス |
---|---|---|
10g OSSOサーバーの共存 |
OAM 12cサーバーは、OSSOサーバーとの共存をサポートしません |
OSSOからOAM 11g R2PS3にアップグレードし、続いてOAM 12cへアップグレードします。 |
OpenSSOサーバーの共存 |
OAM 12cサーバーは、OpenSSOサーバーとの共存をサポートしません。 |
OAM 11gR2PS3にアップグレードし、続いてOAM 12cにアップグレードします。 |
OAM 10gサーバーの共存 |
OAM 12cサーバーは、OAM 10gサーバーとの共存をサポートしません。 |
OAM 12cサーバーに移行してください。 |
OpenSSOエージェント |
OpenSSOエージェントは、OAM 12cリリースではサポートされません。 |
サポートされている12cエージェントに移行してください。 OAM 11gおよび12cのWebGatesとAccessgatesは、OAM 12.2.1.3.0でサポートされます |
mod_osso |
OAM 12cは、mod OSSO (OSSO Agent Proxy)エージェントをサポートしません。 |
12c Webゲート・エージェントに移行し、OAM 12cにアップグレードします。 |
OAM10g Webゲート |
OAM 12cサーバーは、OAM 10 Webゲートをサポートしません。 |
OAM11g R2PS3またはOAM 12c Webゲートに移行してください サーバーをOAM 12cにアップグレードします。 |
IDMConfigTool |
OAM 12cでは、次のコマンドおよび属性はサポートしていません。
|
|
IAMSuiteAgent |
OAM 12cは、IAMSuiteAgentをサポートしません。 R2PS3まで、IAMSuiteAgentは、OAMコンソールを保護するOOBエージェントでした。12c PS3以降では、これはデフォルトのOOBログイン・ページを使用して行われます。 EDG (エンタープライズ開発ガイド)にあるとおり、Webゲート・エージェントを使用してOAMコンソールを保護することをお薦めします。 |
|
Oracle Mobile Security Suite (OMSS) |
OAM 12cは、OMSSをサポートしません。 |
OpenID Connectの使用が推奨されています。詳細は、「OIDCクライアントのソーシャル・アイデンティティ・プロバイダとの統合」を参照してください。 |
セキュリティ・トークン・サービス(STS) |
OAM 12cは、STSをサポートしません。 |
OAuthの使用が推奨されています。詳細は、「OAuthサービスの理解」を参照してください |
ノート:
Oracle Adaptive Access Manager (OAAM)には12cバージョンはありません。OAM 12cでは引き続きOAAM 11gを使用してください。
12cの場合、モバイルおよびソーシャル・ログインのユースケースには、標準のOAuthを使用することをお薦めします。より標準ベースのアプローチに移行して、相互運用性を改善できるように、これらのユースケースを実現する際の独自の方法を非推奨としています。次のサービスは、12cでは非推奨です。
-
Mobile and Socialサービス
-
モバイルOAuthサービス
-
セキュリティ・トークン・サービス
-
アクセス・ポータル・サービス