Oracle Fusion Middleware Oracle Access Managementバンドル・パッチReadme OAMバンドル・パッチ12.2.1.4.200327 Generic for all Server Platforms

Oracle® Fusion Middleware

Oracle Access Managemenバンドル・パッチのReadme

OAMバンドル・パッチ12.2.1.4.200327 Generic for all Server Platforms

F33826-01(原本部品番号:F29349-01)

2020年4月

このドキュメントでは、OAMバンドル・パッチ12.2.1.4.200327について説明します。

このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)のベース・インストールを必要とします。このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)に付属するドキュメントに優先します。内容は次のとおりです。

OAMバンドル・パッチ12.2.1.4.200327の新機能と拡張機能
バンドル・パッチについて
推奨事項
バンドル・パッチの要件
バンドル・パッチの適用
バンドル・パッチの削除
解決された問題
既知の問題と回避策

1.1 OAMバンドル・パッチ12.2.1.4.200327の新機能と拡張機能

Oracle Access Management 12.2.1.4.200327 BPには、次の新機能と拡張機能があります:

OAuth承認管理

ユーザー承認の管理、ユーザー承認の永続化、およびデータ・センター全体でそれらを取り消すメカニズムの実現を行う機能を提供します。管理者と個別ユーザーの両方に承認取消し機能が提供されます。

詳細は、『Oracle Access Management管理者ガイド』の承認管理の有効化に関する項およびMDCでの承認管理の有効化に関する項を参照してください
OAuth Just-In-Time (JIT)のユーザー・リンクおよび作成
ユーザーを自動的にプロビジョニングする機能を提供します。IDPから受信したidTokenには、ユーザー属性があります。これらのユーザー属性には、ユーザーID、ユーザー名、名、姓、電子メール・アドレスなどの値が含まれますが、これらを使用してユーザーをローカルIDストアのエントリにリンクしたり、それらを作成したりできます(存在しない場合)。

詳細は、『Oracle Access Management管理者ガイド』のOAuth Just-In-Time (JIT)のユーザー・プロビジョニングに関する項を参照してください
OAMスナップショット・ツール
OAM IDMドメインとそのすべての構成のスナップショットを作成して永続化し、それを完全に機能するOAM IDMドメイン・クローンで使用するためのツールを提供します。

詳細は、『Oracle Access Management管理者ガイド』のOAMスナップショット・ツールの使用に関する項を参照してください
SAML Holder-of-Key (HOK)プロファイル・サポート
アイデンティティ・プロバイダ(IP)として機能する際のOAMに対してSAML Holder-of-Key (HOK)プロファイル・サポートが追加されました。このサポートは、OCIサービス・プロバイダ(SP)・パートナとともに使用します。

詳細は、https://support.oracle.comのノートOAM 12c Identity Provider (IDP) for SAML Profile Support with OCI Service Provider (SP) Partners (Doc ID 2657717.1)を参照してください。

1.2 バンドル・パッチについて

バンドル・パッチについて説明し、またバンドル・パッチ、個別パッチ、およびパッチ・セットの違いについて説明します。

バンドル・パッチ
パッチ・セット

1.2.1 バンドル・パッチ

バンドル・パッチは、ベースライン・プラットフォーム上のOracle Fusion Middlewareコンポーネントに対するOracleの公式パッチです。バンドル・パッチ・リリース文字列の5桁目は、バンドル・パッチ番号を示していました。2015年11月、バージョン番号の形式が変更されました。新しい形式では、バンドル・バージョンの5桁目の数値は、「YYMMDD」形式のリリース日付に置換されます。

YYは西暦年の下2桁です。
MMは数値形式の月です(2桁)。
DDは数値形式の日付です(2桁)。

各バンドル・パッチには、1つ以上のフィックスを実装するために再ビルドされたライブラリおよびファイルが含まれます。バンドル・パッチ内のフィックスはすべてテストされ、相互の動作が保証されています。

各バンドル・パッチは累積されます。最新のバンドル・パッチには、同じリリースおよびプラットフォーム用の以前のバンドル・パッチのすべてのフィックスが含まれます。バンドル・パッチで提供されたフィックスは、次のリリースに組み込まれます。

1.2.2 パッチ・セット

パッチ・セットは、十分にテストおよび統合された製品フィックスを提供するためのメカニズムです。これらのフィックスは、同じリリースのインストール済みコンポーネントに適用できます。パッチ・セットには、リリース用の以前のバンドル・パッチで入手可能なすべてのフィックスが含まれます。パッチ・セットには、新機能が含まれる場合もあります。

各パッチ・セットには、不具合の修正(および存在する場合は新機能)を実装して再構築されたライブラリおよびファイルが含まれます。ただし、パッチ・セットは完全なソフトウェア配布ではない場合もあり、すべてのプラットフォームのすべてのコンポーネント用のパッケージが含まれていないことがあります。

パッチ・セットのすべての修正はテスト済であり、指定されたプラットフォームで互いに機能することが動作保証されています。

1.3 推奨事項

オラクル社では、アイデンティティ管理製品の依存ミドルウェア・コンポーネントのパッチを動作保証しており、お客様はこれらの動作保証済パッチを適用するようお薦めします。

これらのパッチの詳細は、この新しい項の下にあるhttps://support.oracle.comのノートCertification of Underlying or Shared Component Patches for Identity Management Products (Doc ID 2627261.1)を参照してください

1.4 バンドル・パッチの要件

Oracleでサポートされている状態を維持するには、パッケージが提供されているすべてのインストール済みコンポーネントにバンドル・パッチを適用します。次のことをお薦めします。

バンドル内のすべてのインストール済みコンポーネントに最新のバンドル・パッチを適用します。
OAMサーバー・コンポーネントが、常に、同じリリースのインストール済みWebGateと同じ(またはそれ以上の)バンドル・パッチ・レベルになるようにします。

1.5 バンドル・パッチの適用

バンドル・パッチ・ファイルを準備してインストールする場合(または、元のインストールに戻す必要があり、バンドル・パッチを削除する場合)は、次のトピックを参照してください。

Oracleパッチ・メカニズム(Opatch)の使用
OAMバンドル・パッチの適用
バンドル・パッチ適用の失敗からのリカバリ

ノート:

常に最新のバンドル・パッチをインストールすることをお薦めします。

1.5.1 Oracleパッチ・メカニズム(Opatch)の使用

Oracleパッチ・メカニズム(Opatch)は、サポートされているすべてのオペレーティング・システムで動作するJavaベースのユーティリティです。OPatchを使用するには、Oracle Universal Installerをインストールする必要があります。

ノート:

My Oracle SupportからOPatchの最新バージョン(バージョン13.9.4.2以上)を入手することをお薦めします。OPatchでパッチを適用するには、有効なOracle Universal Installer (OUI)インベントリへのアクセス権が必要です。

パッチ適用プロセスでは、unzipとOPatchの両方の実行可能ファイルが使用されます。ORACLE_HOME環境をソースにした後、パッチ適用前にこれらの両方が存在していることを確認することをお薦めします。OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。

OPatchが起動すると、パッチを検証して、$ORACLE_HOMEにすでにインストールされているソフトウェアとの競合がないことを確認します。

$ORACLE_HOMEにすでに適用されているパッチとの競合が見つかった場合、パッチのインストールを停止して、Oracleサポート・サービスまで連絡してください。
$ORACLE_HOMEにすでに適用されているサブセット・パッチとの競合が見つかった場合は、バンドル・パッチの適用を続行します。新しいパッチのインストールが開始される前に、サブセット・パッチが自動的にロールバックされます。最新のバンドル・パッチには、$ORACLE_HOME内の以前のバンドル・パッチのすべてのフィックスが含まれます。

このバンドル・パッチでは、-autoフラグは有効化されていません。-autoフラグなしの場合、サーバーが実行中である必要はありません。デフォルトのインストールでは、マシン名とリスニング・アドレスは空白でかまいません。

1.5.2 OAMバンドル・パッチの適用

ここに記載されている情報およびステップを使用し、Oracleパッチ(OPatch)を使用して任意のプラットフォームからバンドル・パッチを適用します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順はどのプラットフォームでも同じです。

各バンドル・パッチ内のファイルは、宛先$ORACLE_HOMEにインストールされます。これにより、作成した一時ディレクトリから元のバンドル・パッチ・ファイルを削除した場合でも、バンドル・パッチを削除(ロールバック)できます。

ノート:

パッチ操作を実行する前に、適切な方法を使用して$ORACLE_HOMEをバックアップすることをお薦めします。任意の方法(zip、cp -r、tar、およびcpio)を使用して$ORACLE_HOMEを圧縮できます。

このドキュメントでは、書式の制約により、サンプル・テキストの行が強制的に折り返される場合があります。これらの行の折り返しは無視してかまいません。

OAMバンドル・パッチを適用するには

OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。バンドル・パッチを適用する手順を開始する前、次の操作を行う必要があります。

ORACLE_HOMEを設定します

次に例を示します。
```
export ORACLE_HOME=/opt/oracle/mwhome
```
export PATH=<<OPatchディレクトリのパス>>:$PATHを実行して、OPatch実行可能ファイルがシステムPATHに表示されることを確認する。次に例を示します。
```
export PATH=$Oracle_HOME/OPatch:$PATH
```

OAMパッチp31088958_122140_Generic.zipをダウンロードします
パッチのZIPファイルをPATCH_TOPに解凍します。

$ unzip -d PATCH_TOP p31088958_122140_Generic.zip

ノート:

Windowsのunzipコマンドには、パス名に256文字しか使用できないという制限があります。これが発生した場合、7-Zipなどの代替ZIPユーティリティを使用して、パッチを解凍します。

例: 7-Zipを使用して解凍するには、次のコマンドを実行します。

"c:\Program Files\7-Zip\7z.exe" x p31088958_122140_Generic.zip
現行ディレクトリを、パッチがあるディレクトリに設定します。

$ cd PATCH_TOP/31088958
基本製品をインストールした同じユーザーとしてログインします。
- AdminServerおよびこのバンドル・パッチを適用するすべてのOAMサーバーを停止します。
  
  このOAMサーバーおよびOAMで保護されたサーバーを使用するアプリケーションには、この期間中アクセスできません。
- $ORACLE_HOME: MW_HOMEをバックアップします。
- バックアップ・ディレクトリを別の場所に移動し、必要に応じて後でその場所を特定できるように記録しておきます。
適切なOPatchコマンドを管理者として実行して、中央インベントリを更新してORACLE_HOMEにパッチを適用するために必要な権限が付与されていることを確認します。次に例を示します。
opatch apply
Windows 64ビット: opatch apply -jdk c:\path\to\jdk180

ノート:
OPatchは、一度に1つのインスタンスで動作します。複数のインスタンスがある場合は、インスタンスごとにこれらのステップを繰り返す必要があります。
すべてのサーバー(AdminServerとすべてのOAMサーバー)を起動します。

1.5.3 バンドル・パッチ適用の失敗からのリカバリ

AdminServerが正常に起動しない場合は、バンドル・パッチの適用が失敗しています。

バンドル・パッチ適用の失敗からのリカバリ手順

パッチ適用で構成の問題がないことを確認します。
AdminServerを正常に起動できることを確認します。
AdminServerを停止し、「バンドル・パッチの削除」の説明に従ってパッチをロールバックし、パッチ適用を再実行します。

1.6 バンドル・パッチの削除

バンドル・パッチが適用された後、それをロールバックする場合、次のステップを実行します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順は同じです。バンドル・パッチが削除された後、システムは、パッチ適用の直前の状態に復元されます。

ノート:

バンドル・パッチを削除すると、バンドル・パッチ適用後に行われた手動の構成変更がすべてオーバーライドされます。これらの変更は、パッチの削除後に手動で再適用する必要があります。

ロールバックにはOpatch 13.9.4.2.1を使用してください。これより古いバージョンのOpatchをロールバックに使用すると、次の失敗メッセージが表示されます:

C:\Users\<username>\Downloads\p31088958_122140_Generic\31088958
>c:\Oracle\oam12214\OPatch\opatch rollback -id 31088958
Oracle Interim Patch Installer version 13.9.2.0.0
Copyright (c) 2020, Oracle Corporation. All rights reserved.
......
The following actions have failed:
Malformed \uxxxx encoding.
Malformed \uxxxx encoding.

次の手順に従って、システムでバンドル・パッチを削除します。

システムでバンドル・パッチを削除する手順

「OAMバンドル・パッチの適用」のステップを実行して環境変数を設定し、インベントリを確認して、ORACLE_HOMEまたはホスト・マシンから実行中のサービスをすべて停止します。
パッチを解凍したディレクトリに変更します。例: cd PATCH_TOP/31088958
バンドル・パッチを含むORACLE_HOMEディレクトリをバックアップし、そのバックアップを別の場所に移動して、後で見つけることができるようにします。
OPatchを実行してパッチをロールバックします。次に例を示します。
```
opatch rollback -id 31088958
```
使用しているモードに基づいてサーバー(AdminServerとすべてのOAMサーバー)を起動します。
必要に応じて、「バンドル・パッチの適用」の説明に従いバンドル・パッチを再適用します。

1.7 解決された問題

この章では、このバンドル・パッチで解決された問題について説明します。

このバンドル・パッチでは、次の項で説明されているフィックスが提供されます。

OAMバンドル・パッチ12.2.1.4.200327で解決された問題
OAMバンドル・パッチ12.2.1.4.191223で解決された問題

1.7.1 OAMバンドル・パッチ12.2.1.4.200327で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-1 OAMバンドル・パッチ12.2.1.4.200327で解決された問題

基本バグ番号	問題の説明
30805180	OAMスナップショット・ツール
30805164	OAuth承認ライフサイクル管理およびMDCサポート
30805154	OAuth Just-In-Time/JITプロビジョニング
30820170	グループの多数のユーザー・メンバーによる認可エラー
30792754	MDC環境のカスタム属性がアクセス・トークンに含まれていない
21391069	カスタム・プラグインからの認証失敗監査ログを記録する必要がある
29717855	DBに古いFEDセッションが存在する場合、SAMLログアウトが機能しない
29240849	カスタム・プラグインからの監査ログの追加認証失敗を記録する必要がある
30634571	12c OAuth監査レコードによってOAUTHTOKENVALIDATEイベントに対してNULL値が返される
30571576	K8S: OAM_ADMINおよびOAM_SERVERアプリケーションのデプロイメントがK8Sクラスタで失敗する
29783271	OUD詳細の更新によってOAM-CONFIG.XMLから追加された構成属性エントリが削除される
29885236	有効化されたMULTIVALUEGROUPS SPによってFED SP属性プロファイルで$USER.GROUPSが2回使用される
30134427	バグ30134427のフィックス
30169956	OAuthパスワードの権限付与タイプによって認証にプラグイン以外のLDAPモジュールのみが使用される
30213267	ADFカスタム・ログイン・ページのDCC WebGateトンネリングが機能しないこのフィックスにより、チャンク転送エンコーディングを使用したカスタム・ページのトンネリングが可能になります。また、Webgateのユーザー定義パラメータ`tunnelingDCCReadTimeout`を使用して、管理対象サーバーからカスタム・ページをフェッチする場合に使用される接続で読取りタイムアウトを指定する方法も提供されます。 `tunnelingDCCReadTimeout`を秒単位で指定します(例: `tunnelingDCCReadTimeout=30`)。ノート: `tunnelingDCCReadTimeout`を指定する場合、それに応じて`aaaTimeoutThreshold`も増やす必要があります。
30460435	ENABLEWHITELISTVALIDATIONDCCTUNNELING構成を使用してDCCトンネリング・ホワイトリストを無効化できない
30426370	OAM 12.2.1.4:DOWNLOADACCESSARTIFACTS: SEVERE:アーティファクトの処理リクエストの失敗
30468914	OAMでHolder-of-Keyプロファイルがサポートされない。
30069618	OAMAGENT-02077: 認証トークンがNULLまたは無効

1.7.2 OAMバンドル・パッチ12.2.1.4.191223で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-2 OAMバンドル・パッチ12.2.1.4.191223で解決された問題

基本バグ番号	問題の説明
26679791	バグ25898731のフィックスがOAM 11.1.2.3.171017BP 26540179で失敗する
30389257	2要素認証の入力テキストボックスにフォーカスが移らない
30311080	OIGOAMINTEGRATION.SH -CONFIGURESSOINTEGRATIONによって新規12CPS4環境でアンマーシャル例外がスローされる
30156706	DBストアからOAM-CONFIG.XMLを作成できないためにOAM管理サーバーの起動に失敗する
29771448	OAuthアクセス・トークンの生成に使用されるパスワード内の%文字がASCIIに変換される
30144617	パッチ29918603の適用後にエラーコードの返却動作の変更に関する問題が発生する
29482858	OBSSOCOOKIEの作成中にOAM 11g ASDKによって断続的にエラーがスローされる
29541818	OAM 12cでOAuthおよびJSONの追加ユース・ケースを指定する際のER
29837657	IDストア作成を検証するためのOAMによるサブツリー検索の実行
29290091	管理起動ログでの間違った選択
30156607	DIAG: AMKEYSTORE検証フローに別のログを追加して管理サーバーの起動を失敗させる構成を識別する
30243111	DIAG: 構成の欠落/破損の問題を識別するにはデフォルト・キーストア・ブートストラップのログが必要
30180492	Oracle Access ManagerでのOCIフェデレーションが想定どおりに機能しない
30363797	OAM11GR2PS3: WNA_DCCモジュールがセキュリティ・バグ・フィックス: 25963019で失敗する
29649734	12.2.1.3.180904 (BP04)のアクセス・サーバーがJSONキーを返し、P7Bのようなドキュメントを返さない
30062772	フェデレーションBP18によってログアウトEND_URLがFED LOGOUで小文字に変換される
30176378	WLSTコマンドDISABLESKIPAUTHNRULEEVAL()の実行後にOAMサーバー・ログにエラーが記録される
30267123	1つのタブからログインした後に複数のタブからログインできない。

1.8 既知の問題と回避策

既知の問題と回避策は、https://support.oracle.comのMy Oracle Supportドキュメント2602696.1を参照してください

Oracle Fusion Middleware Oracle Access Managementバンドル・パッチReadme OAMバンドル・パッチ12.2.1.4.200327 Generic for all Server Platforms

F33826-01

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

米国政府機関エンド・ユーザー: オラクル社のプログラム(オペレーティング・システム、統合ソフトウェア、提供されたハードウェアに対して組み込まれたか、インストールされたか、アクティブ化されたプログラム、およびそのようなプログラムの変更版など)、およびオラクル社によるコンピュータ・ドキュメント、または米国政府機関エンド・ユーザーに提供されたかそれらがアクセスしたその他のOracleデータは、適用可能な連邦政府調達規則および政府機関固有の補足規則に準拠した「商用コンピュータ・ソフトウェア」または「商用コンピュータ・ソフトウェア・ドキュメント」です。そのようなものとして、i)オラクル社のプログラム(オペレーティング・システム、統合ソフトウェア、提供されたハードウェアに対して組み込まれたか、インストールされたか、アクティブ化されたプログラム、およびそのようなプログラムの変更版など)、ii)オラクル社によるコンピュータ・ドキュメントまたはiii)その他のOracleデータ(またはそれらすべて)の使用、模造、複製、リリース、表示、開示、変更、派生物の準備、または改作(またはそれらすべて)は、適用可能な契約に含まれているライセンスで指定された、権利および制限の対象となります。Oracleクラウド・サービスを米国政府機関がどのように使用するかに影響する条件は、当該サービスについての適用可能な契約によって定められます。No other rights are granted to the U.S. Government.

このソフトウェアもしくはハードウェアはさまざまな情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、Oracle社およびその関連会社は一切の責任を負いかねます。

OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。

Intel、Intel Insideは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Epyc、AMDロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。