このガイドの最新情報

2024年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

GCM APIキーの設定

Googleは、従来のFCM APIを廃止し、HTTP v1 APIに移行しています。すべての新しい構成でHTTP v1 APIを使用することをお薦めします。HTTP v1 APIに移行するステップは、「Androidプッシュ通知用のサービス・アカウントJSONへの移行」を参照してください。
SAML証明書、キーまたはメタデータのローテーションの自動化

RESTエンドポイントを介して新しいパートナ証明書およびメタデータの取得をスケジュールし、更新された資格証明を停止時間なしですべての依存システムおよびアプリケーションにシームレスにローテーションできます。詳細は、「SAML証明書、キーまたはメタデータのローテーションの自動化」を参照してください。
Visual Builder (VB)でFusionページをロードする機能

Chromeブラウザでは、サード・パーティのCookieが非推奨になった後、一部のOAM CookieによってFusionページのVisual Builder (VB)へのロードがブロックされていました。このリリースでは、OAM/Webgate CookieのCookies Having Independent Partitioned State (CHIPS)サポートが追加され、この問題が解決されます。詳細は、「サード・パーティのCookieが非推奨になった後、OAM CookieによってVisual BuilderでのFusionページのロードがブロックされる」を参照してください。
認可コードを介してIDトークンを取得する機能

このリリースでは、認可コードでリフレッシュ・トークンを使用するときにアクセス・トークンとIDトークンの両方を取得できます。詳細は、「リフレッシュ・トークン・リクエストを介したIDtokenの取得」を参照してください。
Oracle Access Manager (OAM) OAuthセキュリティのベスト・プラクティス

潜在的な脅威、攻撃者の機能の詳細、それらのリスクを軽減するための戦略を強調するOAM OAuthセキュリティのベスト・プラクティスを追加しました。詳細は、「Oracle Access Manager (OAM) OAuthセキュリティのベスト・プラクティス」を参照してください。
OAAエラー処理プラグイン

OAMによって保護されるOAAユーザー・プリファレンスURLは、OAA認証プラグイン(OAA-MFA-AuthScheme)を使用した認証のためにユーザーをOAMにリダイレクトします。ユーザーに有効な認証ファクタがない場合は、OAAによってエラー・コードが生成され、失敗ページにリダイレクトされます。「ユーザー・プリファレンス」ページでMFAを有効にすると、特定のプラグインがトリガーされます。これらのプラグインには、エラー条件を評価し、それをオーバーライドするかどうかを決定するルールが含まれており、最初に認証が失敗した場合でもユーザーが続行できます。詳細は、「OAAエラー処理プラグイン」を参照してください。
パートナ署名および暗号化キーを追加する機能

このリリースでは、IdP/SPパートナの作成時に、新しい「キー構成」グループがOAMコンソールに追加されました。このグループでは、パートナの署名および暗号化キーを選択できます。SAML 1.1および2.0プロトコルにのみ適用されます。詳細は、「Oracle Access Managerを使用したOracle Private Cloud Applianceへのサインオン」を参照してください。
リフレッシュ・トークンの再利用検出を構成する機能

リフレッシュ・トークンの再利用を検出するための新しいプロパティが追加されました。詳細は、「OAuthクライアントによるOAuthトークンの取消し」を参照してください。

2021年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

セッション管理の最適化
セッション管理エンジンは、負荷がかかっている状態でのシステム・パフォーマンスを改善するように最適化およびチューニングされています。

『パフォーマンスのチューニング・ガイド』の「Oracle Access Managementのデータベース・チューニング」も参照してください
OAuthリフレッシュ・トークン管理
OAuthトークン管理機能が強化され、リフレッシュ・トークンを無効化できるようになりました。

詳細は、「OAuthトークンの取消し」を参照してください
ApacheおよびIIS Webサーバー用の12c Webゲート

IISおよびApache Webサーバー用のWebゲートは、このリリースで使用可能になります。

詳細は、『Oracle Access Manager WebGatesのインストール』のOAM用のIIS 12c Webゲートのインストールと構成に関する項を参照してください
TLS 1.3およびFIPS 140-2のサポート

このリリースは、FIPSおよびTLSの最新の標準およびバージョンに準拠しています。

詳細は、「OAMサーバーでのFIPSモードの有効化」および「Oracle Access ManagementでのTLS 1.3およびTLS 1.2のサポート」を参照してください

2024年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

OAMがサービス・プロバイダ(SP)として機能している場合の認証コンテキストのチェック
OAMは、SPとして機能している場合、外部SAMLアイデンティティ・プロバイダ(IdP)の認証コンテキストを識別し、authnassurancelevelプロパティに基づいてSAML認証を続行します。詳細は、「OAMがSPとして機能している場合の認証コンテキストのチェック」を参照してください。
デフォルトの承認確認有効期限の変更
新しいカスタム属性consentAcknowledgeExpiryTimeInSecondsによって、承認を確認するためのデフォルトの有効期限を変更できます。詳細は、「デフォルトの承認確認有効期限の変更」を参照してください。
ID_TOKENの有効期限を設定する機能
ACCESS_TOKEN設定の有効期限を使用するかわりに、ID_TOKENの有効期限を設定できます。詳細は、「アイデンティティ・ドメインの作成」を参照してください。
ユーザー・パスワード変更の検証
oam-config.xmlでuserPasswordChangeCheckEnabled= trueプロパティを設定すると、ユーザー・バスワードの更新前に生成されたトークンが検証されます。詳細は、「ユーザー・パスワード変更の検証の有効化」を参照してください。
クライアント・シークレットの失効およびローテーション
カスタム属性oldSecretRetentionTimeInDaysを使用して、古いクライアント・シークレットが機能し続ける時間を構成できます。このカスタム属性は、ドメイン・レベルとクライアント・レベルの両方で定義できます。ただし、クライアント・レベルで定義された値が優先されます。詳細は、表39-1を参照してください。
発行者検出識別子およびIssトークン・クレームをカスタマイズする機能

この拡張機能の実装により、発行者からポートをマスク/省略でき、OpenID構成のパス・コンポーネントをカスタマイズできます。詳細は、「カスタム発行者のサポート」を参照してください。

ノート:
カスタム発行者のサポート機能を有効にするには、/DeployedComponent/Server/NGAMServer/Profile/ssoengine/OAuthConfigエンドポイントに対してGET操作を実行し、同じエンドポイントに対してPUT操作を実行します。これにより、すでに適用されている構成が引き続き有効になります。
APIキーを表示するための新しいフィールドの追加

このリリースでは、新しいフィールドの「APIキー」がパートナの詳細画面に追加されています。このフィールドにより、管理者は、セキュアな更新のために関連パートナとキーの詳細を共有できます。詳細は、「署名および暗号化キーの構成」を参照してください。
OAMログ・メッセージのSAMLレスポンス属性をマスクする機能

このリリースでは、Oracle Access ManagementはOAMログ・メッセージのSAMLレスポンス属性をマスクします。詳細は、「ログ・レコードのSAML属性のマスク」を参照してください。

2023年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

認可付与詳細をフェッチする新しいパラメータ
認可サーバーが認可エンドポイントから結果パラメータを返す方法を決定する新しいリクエスト・パラメータresponse_modeが追加され、認可付与が適切な形式でredirect_uriにフェッチされます。詳細は、表40-7を参照してください。
複数のブラウザ・タブでの認証のサポート
OAMでは、serverReuestCacheTypeパラメータがCOOKIEに設定されている場合、複数タブ機能がサポートされています。詳細は、「複数のブラウザ・タブでの認証のサポート」を参照してください。

2022年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

フェデレーション・パートナで、RSASSA-PSS署名アルゴリズムを使用した証明書がサポートされます
署名アルゴリズムSHA256-RSA-MGF1のサポートが含まれています。

ノート:
この更新は、OWSMパッチ34566592に依存します。

詳細は、「RSA OAEPキー・トランスポート・ダイジェストおよびMGFダイジェストの構成」を参照してください。

2021年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

OAM SAML 2.0でサポートされる暗号化アルゴリズム

OAMでは、AES-GCM暗号化モードがサポートされています。

詳細は、「OAM SAML 2.0でサポートされる暗号化アルゴリズム」および「デフォルトの暗号化アルゴリズムの変更」を参照してください
OAP over REST通信の双方向SSL。
WebGateとOAMサーバーの間でOAP over RESTの相互認証を有効にできるため、サーバーが認証クライアントと確実に通信できます。

詳細は、「OAP over RESTの双方向SSLの有効化」を参照してください
OAMでのTOTPベースのマルチファクタ認証
config-utility.jarを指定したconfigureMFAコマンドを使用してMFAを構成できます

詳細は、「OAMでのTOTPベースのマルチ・ファクタ認証の構成」を参照してください
サードパーティ証明書を使用したトークン署名
アクセス・トークンは、即時利用可能な状態で生成された自己署名キー・ペアを使用して署名できます。このリリースでは、OAMは、サードパーティのキー・ペアを使用してアクセス・トークンに署名できるようにサポートを拡張します。

詳細は、「サードパーティ証明書を使用したトークン署名」を参照してください
OAMでの相互TLS (mTLS)クライアント認証
TLS認証では、サーバーは、証明書(公開キー)を生成することでそのIDを確認します。その後、証明書はTLS検証プロセスによって検証されます。mTLS (mutual-TLS)では、サーバーとともにクライアントのIDも検証されます。TLSハンドシェイクは、証明書内の公開キーに対応する秘密キーをクライアントが所持しているかどうかの検証と、対応する証明書チェーンの検証に使用されます。

詳細は、「クライアント認証の構成」および「mTLSクライアント認証の構成」を参照してください
カスタム・クレーム
OAMは、クライアント・レベルまたはドメイン・レベルで構成できるテンプレートを使用して、カスタム・クレームを定義する機能を拡張します。カスタム・クレームは、すべてのアクセス・トークン、IDトークンおよびユーザー情報に含めることができます。カスタム・クレームの値の変換や値のフィルタリングを実行することもできます。

詳細は、「カスタム・クレーム」を参照してください
OAuthアクセス・トークンの最大サイズ

デフォルトのOAuthアクセス・トークンの長さ制限は、7500に引き上げられました。この値は、OAuthアイデンティティ・ドメインのカスタム・パラメータaccessTokenMaxLengthを使用してオーバーライドできます。
OAuthクライアントの更新- PATCHリクエストのサポート

OAuthクライアントの変更中にPATCHリクエストのサポートを導入します。PATCH操作では、OAMは既存のスコープをリクエストの値とともに追加します。redirect_uris、付与タイプおよびカスタム属性についても同様の動作が提供されます。既存のPUT操作では、OAuthクライアント・パラメータの内容がリクエストの値で置き換えられます。

2021年1月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

OAM 12cで埋込み資格証明コレクタ(ECC)を使用するための推奨事項
OAM 12cで導入された新機能にはECCを使用することをお薦めします。OAM 12cで導入された新機能の一部では、DCCがサポートされていません。たとえば、OpenIDConnectではDCCの使用がサポートされていません。

追加の詳細は、https://support.oracle.comのドキュメントID 2634863.1を参照してください。

また、「Access Manager資格証明コレクションの概要」および「埋込み資格証明コレクタと外部資格証明コレクタ」も参照してください
OAMでのProof Key for Code Exchange (PKCE)のサポート

既存のOAM OAuth認可コード付与フローにPKCEのサポートが導入されました。これを使用すると、既存の3-legged OAuthのセキュリティが強化され、認可コードのインターセプト攻撃の可能性を軽減できます。PKCEはドメイン・レベルで有効にすることも、特定のクライアントに対してのみ有効にすることもできます。

ノート:
OAMは、パディング付きのBase64でcode_challengeを検証します。これを修正し、code_challengeに関してRFC準拠の動作(https://tools.ietf.org/html/rfc7636#appendix-Aで説明されているパディングなしのBase64)を行うようにするには、OAMパッチ32406872をダウンロードして適用する必要があります。詳細は、Oracle Access Manager (OAM) 12.2.1.4でOAuth Proof Key For Code Exchange (PKCE)を有効化する方法(ドキュメントID 2755209.1)のノート(https://support.oracle.com)を参照してください。
OAMの今後のすべてのリリースでは、RFC準拠の動作のみがサポートされます。

詳細は、「OAMでのProof Key for Code Exchange (PKCE)のサポート」を参照してください。
OAUTH_TOKENレスポンスを未設定のままにする

OAMには、SSOセッション・リンクが有効になっている場合にOAUTH_TOKENのCookieまたはヘッダーを設定しないというオプションがあります。チャレンジ・パラメータIS_OAUTH_TOKEN_RESPONSE_SETをfalseに設定する必要があります。

ノート:
IS_OAUTH_TOKEN_RESPONSE_SETが構成されていない場合、またはtrueに設定されている場合は、OAUTH_TOKENのCookie/ヘッダーが設定されます。

2020年10月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

SAMLレスポンスでのAWSロール・マッピング属性のサポート

SAMLレスポンスでAWSロール・マッピング属性をサポートするためにSP属性プロファイルで構成できる新しい関数が導入されています。

詳細は、「SAMLレスポンスのAWSロール・マッピング属性」を参照してください
OAMフェデレーションでの属性値マッピングおよびフィルタのサポート

OAMフェデレーションでは属性名マッピングがサポートされていました。サポートが属性値マッピングおよび属性フィルタリング機能に拡張されました。

詳細は、「属性値マッピングおよびフィルタリングの使用」を参照してください

2020年7月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

OAM CookieでのSameSite=None属性のサポート
OAMは、WebGateおよびOAMサーバーによって設定されたすべてのCookieにSameSite=None属性を追加します。

詳細は、OAM CookieでのSameSite=None属性のサポートを参照してください
拡張キーの用途(EKU)を使用したX.509認証

X.509認証フローでは、証明書の使用が許可されていることを確認するために、拡張キーの用途(EKU)の証明書拡張チェックをオプションで追加できます。

詳細は、「拡張キーの用途(EKU)を使用したX.509認証」を参照してください。

2020年4月の12cリリース2 (12.2.1.4.0)ドキュメント改訂における更新

この『Oracle® Fusion Middleware Oracle Access Management管理者ガイド』の改訂には、機能の更新とバグの修正の説明が含まれています。

OAuth承認管理

ユーザー承認を管理し、ユーザー承認を保持し、データ・センターにわたってユーザー承認を取り消すメカニズムを与える機能を提供します。承認取消し機能は、管理者と個々のユーザーの両方に提供されます。

詳細は、「承認管理の有効化」および「MDCでの承認管理の有効化」を参照してください
OAuthジャストインタイム(JIT)ユーザーのリンクおよび作成

ユーザーを自動的にプロビジョニングする機能を提供します。IDPから受信したidTokenにはユーザー属性があります。これらのユーザー属性には、ユーザーID、ユーザー名、名、姓、電子メール・アドレスなどの値を指定できます。これらの値を使用して、ユーザーをローカルIDストアのエントリにリンクしたり、存在しない場合には作成できます。

詳細は、「OAuthジャストインタイム(JIT)ユーザー・プロビジョニング」を参照してください
OAMスナップショット・ツール

構成をすべて含むOAMドメインのスナップショットを作成して保持し、それを使用して完全に機能するOAMドメイン・クローンを作成するツールを提供します。

詳細は、「OAMスナップショット・ツールの使用」を参照してください

Oracle Access Management 12cリリース2 (12.2.1.4.0)の機能

Oracle Access Management 12c (12.2.1.4.0)には、次の機能があります:

パスワードレス・ログイン

パスワードレス認証を使用すると、モバイル・デバイスの使用時に標準のWebフォーム・ベースの認証をバイパスできます。詳細は、「OAMでのパスワードレス認証の使用」を参照してください。
動的クライアント登録

動的クライアント登録(DCR)は、ネイティブ・モバイル・アプリケーション(Android)が自身をクライアントとしてOAuthサーバー(OAM)に動的に登録する方法を提供します。詳細は、「動的クライアント登録」を参照してください。
OAP over REST

Oracle Access Protocol (OAP) over RESTにより、HTTP(S)インフラストラクチャを使用してリクエストをルーティングおよびロード・バランシングできます。WebGateとサーバー間の転送メカニズムを変更すると、一部のコンポーネントがオンプレミスで、その他のコンポーネントがクラウドに移行されているハイブリッド・デプロイメントの運用コストを削減する上で有益な影響をもたらします。詳細は、「OAP over RESTを使用したOAMサーバーとWebGates間の通信の保護」を参照してください
WebGateでOAPの簡易/証明書モード通信にPFSおよび承認済の暗号スイートを使用する方法

簡易/証明書モードの通信が発生すると、WebGateでは、管理者によって定義された有効な承認済の暗号スイートが必ず使用されます。詳細は、『Oracle Access Management管理者ガイド』の「WebGateでOAPの簡易/証明書モード通信にPFSおよび承認済の暗号スイートを使用する方法について」を参照してください
ヘルス・チェック・フレームワーク

ヘルス・チェック・フレームワークにより、サーバーのヘルス・チェックが可能になります。これらのチェックを実行するには、REST APIを使用するか、サーバーの定期的なチェックをスケジュールします。各スケジュールは、実行する特定のテスト・セットに関連付けることができます。詳細は、「ヘルス・チェック・フレームワークによるサーバー・ヘルスのモニタリング」を参照してください
UserInfoレスポンスの変更点

OAuthフローに対するUserInfoレスポンスの形式は、次の点が変更されています:
- 新しいパラメータguidおよびsubがレスポンスに追加されます。
- パラメータProfile、Email、AddressおよびPhoneは、各パラメータの個別のコンテナではなく、ルート・タグの直下に戻されます。
- パラメータemail_verifiedおよびphone_number_verifiedはブール値として戻されます。
たとえば、
```
{
           "guid": "6C9CF210194A11E99FB45DDD0C60B95A",
           "sub": "weblogic",
           "family_name": "weblogic",
           "preferred_username": "weblogic",
           "updated_at": "1548740667872",
           "email_verified": false,
           "phone_number_verified": false
}
```
ユーザー情報の属性を古い形式(次の例を参照)で取得するには、カスタム属性UserInfoScopeContをドメイン・レベルでtrueに設定します。

カスタム属性UserInfoScopeContが設定されている場合のUserInfoレスポンス形式の例:
```
{
     "profile": {
                "guid": "6C9CF210194A11E99FB45DDD0C60B95A",
                 "sub": "weblogic",
                 "family_name": "weblogic",
                 "preferred_username": "weblogic",
                "updated_at": "1548743708100"
     },
     "email": {
                "email_verified": false
     },
     "address": {},
     "phone": {
                "phone_number_verified": false
     }
}
```
ポリシー・キャッシュ・リジリエンシ

ポリシー・キャッシュの読取り、検証および置換をサーバー内での小さなステップで実行でき、さらにキャッシュの作成を管理サーバーに委任することにより、管理対象サーバーのリジリエンスが向上しています。管理サーバーから管理対象サーバーへのポリシー・キャッシュの配布(書込み1回、読取り複数回)が導入され、クラスタ内に存在する複数のOAMサーバーのポリシー・キャッシュ間における競合が低減されます。

ポリシー・キャッシュは、パラメータを使用して微調整できます。詳細は、「ポリシー・キャッシュのパラメータの構成」を参照してください。