このドキュメントでは、OAMバンドル・パッチ12.2.1.4.210408について説明します。

このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)のベース・インストールを必要とします。このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)に付属するドキュメントに優先します。内容は次のとおりです。

• OAMバンドル・パッチ12.2.1.4.210408の新機能と拡張機能

• OAMバンドル・パッチ12.2.1.4.201201の新機能と拡張機能

• OAMバンドル・パッチ12.2.1.4.200909の新機能と拡張機能

• OAMバンドル・パッチ12.2.1.4.200629の新機能と拡張機能

• OAMバンドル・パッチ12.2.1.4.200327の新機能と拡張機能

• バンドル・パッチについて

• 推奨事項

• バンドル・パッチの要件

• バンドル・パッチの適用

• バンドル・パッチの削除

• 解決された問題

• 既知の問題と回避策

1.1 OAMバンドル・パッチ12.2.1.4.210408の新機能と拡張機能

Oracle Access Management 12.2.1.4.210408 BPには、次の新機能と拡張機能があります:

• セッション管理の最適化

  セッション管理エンジンは、負荷がかかっている際のシステム・パフォーマンスを改善するように最適化およびチューニングされています。

  『パフォーマンスのチューニング・ガイド』のOracle Access Managementのデータベース・チューニングも参照してください

• OAuthリフレッシュ・トークンの管理

  OAuthトークン管理機能が拡張され、リフレッシュ・トークンを無効化できるようになりました。

  詳細は、『Oracle Access Management管理者ガイド』のOAuthトークンの失効に関する項を参照してください

• ApacheおよびIIS Webサーバー対応の12c Webゲート

  IISおよびApache Webサーバー用のWebGatesは、このリリースで使用可能になります。

  詳細は、『Oracle Access Manager WebGatesのインストール』のOAM用のIIS 12c WebGateのインストールと構成に関する項を参照してください

• TLS 1.3およびFIPS 140-2のサポート

  このリリースは、FIPSおよびTLSの最新の標準およびバージョンに準拠しています。

  詳細は、『Oracle Access Management管理者ガイド』のOracle Access ManagementでのFIPSモードの有効化およびOracle Access ManagementでのTLS 1.3およびTLS 1.2のサポートに関する項を参照してください。

1.2 OAMバンドル・パッチ12.2.1.4.201201の新機能と拡張機能

Oracle Access Management 12.2.1.4.201201 BPには、次の新機能と拡張機能があります:

• OAMでのProof Key for Code Exchange (PKCE)のサポート

  既存のOAM OAuth認可コード付与フローにPKCEのサポートが導入されました。これを使用すると、既存の3-legged OAuthのセキュリティが強化され、認可コードのインターセプト攻撃の可能性を軽減できます。PKCEはドメイン・レベルで有効にすることも、特定のクライアントに対してのみ有効にすることもできます。

  詳細は、『Oracle Access Management管理者ガイド』のOAMでのProof Key for Code Exchange (PKCE)のサポートに関する項を参照してください。

• OAUTH_TOKENレスポンスを未設定のままにする

  OAMには、SSOセッション・リンクが有効になっている場合にOAUTH_TOKENのCookieまたはヘッダーを設定しないというオプションがあります。チャレンジ・パラメータIS_OAUTH_TOKEN_RESPONSE_SETをfalseに設定する必要があります。

  ノート:

  IS_OAUTH_TOKEN_RESPONSE_SETが構成されていない場合、またはtrueに設定されている場合は、OAUTH_TOKENのCookie/ヘッダーが設定されます。

1.3 OAMバンドル・パッチ12.2.1.4.200909の新機能と拡張機能

Oracle Access Management 12.2.1.4.200909 BPには、次の新機能と拡張機能があります:

• SAMLレスポンスでのAWSロール・マッピング属性のサポート

  SAMLレスポンスでAWSロール・マッピング属性をサポートするためにSP属性プロファイルで構成できる新しい関数が導入されています。

  詳細は、『Oracle Access Management管理者ガイド』のSAMLレスポンスのAWSロール・マッピング属性に関する項を参照してください

• OAMフェデレーションでの属性値マッピングおよびフィルタのサポート

  OAMフェデレーションでは属性名マッピングがサポートされていました。サポートが属性値マッピングおよび属性フィルタリング機能に拡張されました。

  詳細は、『Oracle Access Management管理者ガイド』の属性値マッピングおよびフィルタリングの使用に関する項を参照してください

1.4 OAMバンドル・パッチ12.2.1.4.200629の新機能と拡張機能

Oracle Access Management 12.2.1.4.200629 BPには、次の新機能と拡張機能があります:

• OAM CookieでのSameSite=None属性のサポート

  OAMは、WebGateおよびOAMサーバーによって設定されたすべてのCookieにSameSite=None属性を追加します。

  ノート:

  • また、この機能を使用するには、最新のWebGateパッチをダウンロードしてアップグレードする必要もあります。詳細は、https://support.oracle.comにあるノートSupport for SameSite Attribute in Webgate (Doc ID 2687940.1)を参照してください。
  • また、https://support.oracle.comにあるノートOracle Access Manager (OAM): Impact Of SameSite Attribute Semantics (Doc ID 2634852.1)も参照してください。

  OAMサーバーのオプション構成

  • SSL/TLSがロード・バランサ(LBR)で終了し、OAMサーバーがSSL/TLSモードで実行されていない場合、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.value=None;secure

    または、LBRまたはWeb層からOAMサーバーへSSL/TLSコンテキストを伝播できます。詳細は、https://support.oracle.comにあるドキュメントID 1569732.1を参照してください。

  • OAMサーバーがSameSite=Noneを含めるのを無効にするには、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.enable=false
  • 非SSL/TLS HTTP接続にSameSite=Noneを設定するには、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.enableNoneWithoutSecure=true
  例 - システム・プロパティをsetDomainEnv.shに追加するには:

  1. すべての管理サーバーおよび管理対象サーバーを停止します。
  2. $OAM_DOMAIN_HOME/bin/setDomainEnv.shを編集し、次のようにプロパティを追加します:

     EXTRA_JAVA_PROPERTIES="-Doam.samesite.flag.enable=false ${EXTRA_JAVA_PROPERTIES}"
     export EXTRA_JAVA_PROPERTIES

  3. 管理サーバーおよび管理対象サーバーを開始します。

  WebGateのオプション構成

  • SSL/TLSがLBRで終了し、OAM Webgate WebServerがSSL/TLSモードで実行されていない場合、WebGateでリクエストがSSL/TLSとして処理されるように、「ユーザー定義パラメータ」構成でProxySSLHeaderVarを設定します。詳細は、ユーザー定義のWebGateパラメータに関する項を参照してください。
  • OAM WebGateがSameSite=Noneを含めるのを無効にするには、コンソールの「ユーザー定義パラメータ」構成でSameSite=disabledを設定します。これはエージェントごとの構成です。
  • 非SSL HTTP接続にSameSite=Noneを設定するには、コンソールの「ユーザー定義パラメータ」構成でEnableSameSiteNoneWithoutSecure=trueを設定します。これはエージェントごとの構成です。

  ノート:

  SSL/TLSコンポーネントと非SSL/TLSコンポーネントの混在を使用するデプロイメント: 非SSL/TLSアクセスの場合、OAMサーバーおよびWebgateはCookieにSameSite=Noneを設定しません。一部のブラウザ(Google Chromeなど)では、非セキュア(非SSL/TLSアクセス) CookieのSameSite=None設定が許可されないため、不一致が検出された場合にCookieが設定されないことがあります。

  そのため、このようなSSL/TLSと非SSL/TLSが混在したデプロイメントはSSL/TLSのみのデプロイメントに移行して、全体的なセキュリティを強化することをお薦めします。

• 拡張キーの使用状況(EKU)によるX.509認証

  X.509認証フローでは、証明書の使用が許可されるように、拡張キーの使用状況(EKU)証明書拡張チェックをオプションで追加できます。

  詳細は、『Oracle Access Management管理者ガイド』の拡張キーの使用状況(EKU)を使用したX.509認証に関する項を参照してください。

1.5 OAMバンドル・パッチ12.2.1.4.200327の新機能と拡張機能

Oracle Access Management 12.2.1.4.200327 BPには、次の新機能と拡張機能があります:

• OAuth承認管理

  ユーザー承認の管理、ユーザー承認の永続化、およびデータ・センター全体でそれらを取り消すメカニズムの実現を行う機能を提供します。管理者と個別ユーザーの両方に承認取消し機能が提供されます。

  詳細は、『Oracle Access Management管理者ガイド』の承認管理の有効化に関する項およびMDCでの承認管理の有効化に関する項を参照してください

• OAuth Just-In-Time (JIT)のユーザー・リンクおよび作成

  ユーザーを自動的にプロビジョニングする機能を提供します。IDPから受信したidTokenには、ユーザー属性があります。これらのユーザー属性には、ユーザーID、ユーザー名、名、姓、電子メール・アドレスなどの値が含まれますが、これらを使用してユーザーをローカルIDストアのエントリにリンクしたり、それらを作成したりできます(存在しない場合)。

  詳細は、『Oracle Access Management管理者ガイド』のOAuth Just-In-Time (JIT)のユーザー・プロビジョニングに関する項を参照してください

• OAMスナップショット・ツール

  OAM IDMドメインとそのすべての構成のスナップショットを作成して永続化し、それを完全に機能するOAM IDMドメイン・クローンで使用するためのツールを提供します。

  詳細は、『Oracle Access Management管理者ガイド』のOAMスナップショット・ツールの使用に関する項を参照してください

• SAML Holder-of-Key (HOK)プロファイル・サポート

  アイデンティティ・プロバイダ(IP)として機能する際のOAMに対してSAML Holder-of-Key (HOK)プロファイル・サポートが追加されました。このサポートは、OCIサービス・プロバイダ(SP)・パートナとともに使用します。

  詳細は、https://support.oracle.comのノートOAM 12c Identity Provider (IDP) for SAML Profile Support with OCI Service Provider (SP) Partners (Doc ID 2657717.1)を参照してください。

1.6 バンドル・パッチについて

バンドル・パッチについて説明し、またスタック・パッチ・バンドル、バンドル・パッチ、個別パッチ、およびパッチ・セットの違いについて説明します。

• スタック・パッチ・バンドル

• バンドル・パッチ

• パッチ・セット

1.6.1 スタック・パッチ・バンドル

スタック・パッチ・バンドルでは、ツールを使用して、IDM製品および依存FMWパッチをデプロイします。これらのパッチの詳細は、https://support.oracle.comにあるQuarterly Stack Patch Bundles (Doc ID 2657920.1)を参照してください。

1.6.2 バンドル・パッチ

バンドル・パッチは、ベースライン・プラットフォーム上のOracle Fusion Middlewareコンポーネントに対するOracleの公式パッチです。バンドル・パッチ・リリース文字列の5桁目は、バンドル・パッチ番号を示していました。2015年11月、バージョン番号の形式が変更されました。新しい形式では、バンドル・バージョンの5桁目の数値は、「YYMMDD」形式のリリース日付に置換されます。

• YYは西暦年の下2桁です。

• MMは数値形式の月です(2桁)。

• DDは数値形式の日付です(2桁)。

各バンドル・パッチには、1つ以上のフィックスを実装するために再ビルドされたライブラリおよびファイルが含まれます。バンドル・パッチ内のフィックスはすべてテストされ、相互の動作が保証されています。

各バンドル・パッチは累積されます。最新のバンドル・パッチには、同じリリースおよびプラットフォーム用の以前のバンドル・パッチのすべてのフィックスが含まれます。バンドル・パッチで提供されたフィックスは、次のリリースに組み込まれます。

1.6.3 パッチ・セット

パッチ・セットは、十分にテストおよび統合された製品フィックスを提供するためのメカニズムです。これらのフィックスは、同じリリースのインストール済みコンポーネントに適用できます。パッチ・セットには、リリース用の以前のバンドル・パッチで入手可能なすべてのフィックスが含まれます。パッチ・セットには、新機能が含まれる場合もあります。

各パッチ・セットには、不具合の修正(および存在する場合は新機能)を実装して再構築されたライブラリおよびファイルが含まれます。ただし、パッチ・セットは完全なソフトウェア配布ではない場合もあり、すべてのプラットフォームのすべてのコンポーネント用のパッケージが含まれていないことがあります。

パッチ・セットのすべての修正はテスト済であり、指定されたプラットフォームで互いに機能することが動作保証されています。

1.7 推奨事項

オラクル社では、アイデンティティ管理製品の依存ミドルウェア・コンポーネントのパッチを動作保証しており、お客様はこれらの動作保証済パッチを適用するようお薦めします。

これらのパッチの詳細は、https://support.oracle.comのノートCertification of Underlying or Shared Component Patches for Identity Management Products (Doc ID 2627261.1)を参照してください。

1.8 バンドル・パッチの要件

Oracleでサポートされている状態を維持するには、パッケージが提供されているすべてのインストール済みコンポーネントにバンドル・パッチを適用します。次のことをお薦めします。

1. バンドル内のすべてのインストール済みコンポーネントに最新のバンドル・パッチを適用します。
2. OAMサーバー・コンポーネントが、常に、同じリリースのインストール済みWebGateと同じ(またはそれ以上の)バンドル・パッチ・レベルになるようにします。

1.9 バンドル・パッチの適用

バンドル・パッチ・ファイルを準備してインストールする場合(または、元のインストールに戻す必要があり、バンドル・パッチを削除する場合)は、次のトピックを参照してください。

• Oracleパッチ・メカニズム(Opatch)の使用

• OAMバンドル・パッチの適用

• マルチ・データ・センター(MDC)でのOAMバンドル・パッチの適用

• バンドル・パッチ適用の失敗からのリカバリ

ノート:

• 常に最新のバンドル・パッチをインストールすることをお薦めします。

• libovdパッチ20812896およびWLSパッチ32698246をインストールする必要があります。

  バグ18957556はlibovdパッチ20812896と依存関係があります。

1.9.1 Oracleパッチ・メカニズム(Opatch)の使用

Oracleパッチ・メカニズム(Opatch)は、サポートされているすべてのオペレーティング・システムで動作するJavaベースのユーティリティです。OPatchを使用するには、Oracle Universal Installerをインストールする必要があります。

ノート:

My Oracle SupportからOPatchの最新バージョン(バージョン13.9.4.2.5以上)を入手することをお薦めします。OPatchでパッチを適用するには、有効なOracle Universal Installer (OUI)インベントリへのアクセス権が必要です。

パッチ適用プロセスでは、unzipとOPatchの両方の実行可能ファイルが使用されます。ORACLE_HOME環境をソースにした後、パッチ適用前にこれらの両方が存在していることを確認することをお薦めします。OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。

OPatchが起動すると、パッチを検証して、$ORACLE_HOMEにすでにインストールされているソフトウェアとの競合がないことを確認します。

• $ORACLE_HOMEにすでに適用されているパッチとの競合が見つかった場合、パッチのインストールを停止して、Oracleサポート・サービスまで連絡してください。

• $ORACLE_HOMEにすでに適用されているサブセット・パッチとの競合が見つかった場合は、バンドル・パッチの適用を続行します。新しいパッチのインストールが開始される前に、サブセット・パッチが自動的にロールバックされます。最新のバンドル・パッチには、$ORACLE_HOME内の以前のバンドル・パッチのすべてのフィックスが含まれます。

このバンドル・パッチでは、-autoフラグは有効化されていません。-autoフラグなしの場合、サーバーが実行中である必要はありません。デフォルトのインストールでは、マシン名とリスニング・アドレスは空白でかまいません。

関連項目:

Oracle Universal InstallerおよびOpatchユーザーズ・ガイド

次の手順のステップを実行して環境を準備し、OPatchをダウンロードします。

• My Oracle Support(https://support.oracle.com/)にログインします。

• 必要なOPatchのバージョンをダウンロードします。

• opatch -versionを使用して、OPatchのバージョンが13.9.4.2.5より前かどうかをチェックします。前の場合、最新の13.9.4.2.5バージョンをダウンロードします。

• 次のコマンドを実行して、必要な実行可能ファイル(opatchおよびunzip)がシステムにあるかどうかを確認します。

  Run which opatch — opatchのパスを取得

  Run which unzip— unzipのパスを取得

  実行可能ファイルのパスが環境変数"PATH"にあるかどうかを確認します。ない場合は、パスをシステムPATHに追加します。

• 次のコマンドを使用して、OUIインベントリを確認します。

  opatch lsinventory

  Windows 64ビット: opatch lsinventory -jdk c:\jdk180

  エラーが発生した場合は、続行する前にOracleサポートに連絡してインベントリ設定を検証および確認します。ORACLE_HOMEが表示されない場合は、中央インベントリから欠落している可能性があります。または、中央インベントリ自体が欠落または破損している可能性があります。

• 次のトピックOAMバンドル・パッチの適用の情報を参照してください。

1.9.2 OAMバンドル・パッチの適用

ここに記載されている情報およびステップを使用し、Oracleパッチ(OPatch)を使用して任意のプラットフォームからバンドル・パッチを適用します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順はどのプラットフォームでも同じです。

各バンドル・パッチ内のファイルは、宛先$ORACLE_HOMEにインストールされます。これにより、作成した一時ディレクトリから元のバンドル・パッチ・ファイルを削除した場合でも、バンドル・パッチを削除(ロールバック)できます。

ノート:

パッチ操作を実行する前に、適切な方法を使用して$ORACLE_HOMEをバックアップすることをお薦めします。任意の方法(zip、cp -r、tar、およびcpio)を使用して$ORACLE_HOMEを圧縮できます。

このドキュメントでは、書式の制約により、サンプル・テキストの行が強制的に折り返される場合があります。これらの行の折り返しは無視してかまいません。

OAMバンドル・パッチを適用するには

OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。バンドル・パッチを適用する手順を開始する前、次の操作を行う必要があります。

• ORACLE_HOMEを設定します

  次に例を示します。

  export ORACLE_HOME=/opt/oracle/mwhome

• export PATH=<<OPatchディレクトリのパス>>:$PATHを実行して、OPatch実行可能ファイルがシステムPATHに表示されることを確認する。次に例を示します。

  export PATH=$Oracle_HOME/OPatch:$PATH

1. OAMパッチp32749655_122140_Generic.zipをダウンロードします
2. パッチのZIPファイルをPATCH_TOPに解凍します。

   $ unzip -d PATCH_TOP p32749655_122140_Generic.zip

   ノート:

   Windowsのunzipコマンドには、パス名に256文字しか使用できないという制限があります。これが発生した場合、7-Zipなどの代替ZIPユーティリティを使用して、パッチを解凍します。

   例: 7-Zipを使用して解凍するには、次のコマンドを実行します。

   "c:\Program Files\7-Zip\7z.exe" x p32749655_122140_Generic.zip

3. 現行ディレクトリを、パッチがあるディレクトリに設定します。

   $ cd PATCH_TOP/32749655

4. 基本製品をインストールした同じユーザーとしてログインします。

   • AdminServerおよびこのバンドル・パッチを適用するすべてのOAMサーバーを停止します。

     このOAMサーバーおよびOAMで保護されたサーバーを使用するアプリケーションには、この期間中アクセスできません。

   • $ORACLE_HOME: MW_HOMEをバックアップします。

   • バックアップ・ディレクトリを別の場所に移動し、必要に応じて後でその場所を特定できるように記録しておきます。

5. 適切なOPatchコマンドを管理者として実行して、中央インベントリを更新してORACLE_HOMEにパッチを適用するために必要な権限が付与されていることを確認します。次に例を示します。
   opatch apply

   Windows 64ビット: opatch apply -jdk c:\path\to\jdk180

   ノート:

   OPatchは、一度に1つのインスタンスで動作します。複数のインスタンスがある場合は、インスタンスごとにこれらのステップを繰り返す必要があります。
6. すべてのサーバー(AdminServerとすべてのOAMサーバー)を起動します。

1.9.3 マルチ・データ・センター(MDC)でのOAMバンドル・パッチの適用

ここに記載されている情報およびステップを使用し、MDC設定にバンドル・パッチを適用します。

マスター・データ・センターのアップグレードまたはパッチ適用を行ってから、各クローン・データ・センターのアップグレードまたはパッチ適用を行うことをお薦めします。

MDC設定にパッチを適用するには、次のステップを実行します。

1. マスター・データ・センターでアップグレードまたはパッチ適用を行います。詳細は、「OAMバンドル・パッチの適用」を参照してください
2. パッチを適用する必要があるマスター・データ・センターとクローン・データ・センター間の自動ポリシー同期(APS)を無効にします。詳細は、『Oracle Access Management管理者ガイド』の「自動ポリシー同期の無効化」を参照してください
3. oam-config.xmlのWriteEnabledFlagがtrueであることを確認します。有効になっていない場合は、次のWLSTコマンドを使用して、クローン・データ・センターでWriteEnabledFlagをtrueに設定します。

   connect('weblogic','XXXX','t3://localhost:7001')
        domainRuntime()
        setMultiDataCenterWrite(WriteEnabledFlag="true")

4. クローン・データ・センターでアップグレードまたはパッチ適用を行います。
5. 次のWLSTコマンドを使用して、クローン・データ・センターでWriteEnabledFlagをfalseに変更します。

   connect('weblogic','XXXX','t3://localhost:7001')
        domainRuntime()
        setMultiDataCenterWrite(WriteEnabledFlag="false")

   ノート:

   データ・センター間に不整合がないように、APSを有効にする前にクローンを書込み禁止にする必要があります
6. マスター・データ・センターとアップグレードしたクローン・データ・センター間のAPSを再度有効にします。詳細は、『Oracle Access Management管理者ガイド』の「自動ポリシー同期の有効化」を参照してください

1.9.4 バンドル・パッチ適用の失敗からのリカバリ

AdminServerが正常に起動しない場合は、バンドル・パッチの適用が失敗しています。

バンドル・パッチ適用の失敗からのリカバリ手順

1. パッチ適用で構成の問題がないことを確認します。
2. AdminServerを正常に起動できることを確認します。
3. AdminServerを停止し、「バンドル・パッチの削除」の説明に従ってパッチをロールバックし、パッチ適用を再実行します。

1.10 バンドル・パッチの削除

バンドル・パッチが適用された後、それをロールバックする場合、次のステップを実行します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順は同じです。バンドル・パッチが削除された後、システムは、パッチ適用の直前の状態に復元されます。

ノート:

• バンドル・パッチを削除すると、バンドル・パッチ適用後に行われた手動の構成変更がすべてオーバーライドされます。これらの変更は、パッチの削除後に手動で再適用する必要があります。
• ロールバックにはOpatch 13.9.4.2.5を使用してください。これより古いバージョンのOpatchをロールバックに使用すると、次の失敗メッセージが表示されます:

  C:\Users\<username>\Downloads\p32749655_122140_Generic\32749655  
  >c:\Oracle\oam12214\OPatch\opatch rollback -id 32749655
  Oracle Interim Patch Installer version 13.9.2.0.0
  Copyright (c) 2020, Oracle Corporation. All rights reserved.
  ......
  The following actions have failed:
  Malformed \uxxxx encoding.
  Malformed \uxxxx encoding. 

次の手順に従って、システムでバンドル・パッチを削除します。

システムでバンドル・パッチを削除する手順

1. 「OAMバンドル・パッチの適用」のステップを実行して環境変数を設定し、インベントリを確認して、ORACLE_HOMEまたはホスト・マシンから実行中のサービスをすべて停止します。
2. パッチを解凍したディレクトリに変更します。例: cd PATCH_TOP/32749655
3. バンドル・パッチを含むORACLE_HOMEディレクトリをバックアップし、そのバックアップを別の場所に移動して、後で見つけることができるようにします。
4. OPatchを実行してパッチをロールバックします。次に例を示します。

   opatch rollback -id 32749655

5. 使用しているモードに基づいてサーバー(AdminServerとすべてのOAMサーバー)を起動します。
6. 必要に応じて、「バンドル・パッチの適用」の説明に従いバンドル・パッチを再適用します。

1.11 解決された問題

この章では、このバンドル・パッチで解決された問題について説明します。

このバンドル・パッチでは、次の項で説明されているフィックスが提供されます。

• OAMバンドル・パッチ12.2.1.4.210408 で解決された問題

• OAMバンドル・パッチ12.2.1.4.201201 で解決された問題

• OAMバンドル・パッチ12.2.1.4.200909 で解決された問題

• OAMバンドル・パッチ12.2.1.4.200629 で解決された問題

• OAMバンドル・パッチ12.2.1.4.200327で解決された問題

• OAMバンドル・パッチ12.2.1.4.191223で解決された問題

1.11.1 OAMバンドル・パッチ12.2.1.4.210408で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-1 OAMバンドル・パッチ12.2.1.4.210408で解決された問題

基本バグ番号	問題の説明
29244150	OAM BPの14、15または16を適用すると、トンネリングDCCとプレーンDCCとの間のSSOが破損する
27441865	CLIENTSSLKEYSTOREPWD、CLIENTSSLTRUSTSTOREPWDがOAM-CONFIGに正しく書き込まれていない
28728420	OAM-OIM FIRSTLOGINページが空白で、BACKURLにホスト識別子が含まれる
32612533	APRIL BP 32525944ではFED SP1とSP2パートナ保護リソース間のOAM 12CPS4 SSOが失敗する
32153972	署名検証でOPENIDCONNECTPLUGINの構成に失敗した
32392692	ORACLE CLOUD MCS_LOGIN_324.PNGが使用されず、ログイン・ページに表示される
32632139	バグ32055280用のOAM 12CPS3修正が失敗する
32433361	ASDKが初期化に失敗する
32477536	COMPATIBILITYMODEがOAM_12Cの場合、ASDKが初期化に失敗した
18957556	OIDの停止時に診断ログでP_ERROR_CODE=OAM-3が取得されない
29725629	バグ29725629用の修正
31386392	IDM WLS_OAM1ログのNOTSTRESS:FA:ATK:ORACLE.OAM.BINDINGエラー
27962394	ユーザーにポッド名が付加された
31994408	OAMログイン・ページがレッドウッドUIスタイルに適応するように変更される
30155115	OIFAUTOMATION.PL ENABLEOIFの失敗 - DBスキーマ・パスワードの使用方法が正しくない
31430985	最初のサインオン・ページで、テキスト・ボックスの「ユーザーID」および「パスワード」フィールドにラベルがない
32430636	12C: FAHOMEページでの500内部サーバー・エラー
32394988	前景色と背景色がWCAG 2 AAコントラスト比のしきい値を満たしていない
32487114	WCAG 2.0-2.4.1: 繰り返されるブロックをバイパスする手段がページに必要。
32451171	KM自動化: バグ# 32380923での構成変更に対応する自動化スクリプトの追加
27481308	ER: OAM OAUTH PKCE (RFC 7636)サポート
32507312	/OAMFED/USER/SLOOAM11G?ID=OAM11G&TYPE=3へのアクセスの問題
29337161	12Cが認可リクエストごとにデータベース内のAM_SESSION表を更新する
29951446	OAUTHサービス: トークン終了APIが使用できない
32380255	IOSプッシュ通知ポート2195および2196が3 月から非推奨
32250953	内部OAM ADC環境での断続的なログインの問題
32428227	OAM_ADMINデプロイメントが失敗しました
32134602	バグ31402491の継続、既存のセッションのユーザーがユーザーと異なる
32340416	OAUTH REST APIのアイデンティティ・ドメインの削除により、無効なリクエストの送信時に成功が返される
32245443	IAMスイート・アプリ・ドメインがない場合、ADMINSERVERの起動時にNULLポインタ例外がスローされる
30352121	フェデレーテッド環境においてSAMLレスポンスで送信されたユーザー・グループをフィルタリングできることが必要。
31776266	トークンがすべてのスコープのカスタム属性にアクセスできる
32167212	12CでのOAMキーストア・パスワードのリセット
31558236	ロード・バランサでのSSL終了に対してセキュア・フラグが設定されない
32051924	BP08後にも旧クライアントに依然としてプレーン・テキスト・シークレットがある
31900502	OAM12C - ワンタイム・パスワードを含めてパスワードを忘れると、SERVERREQUESTCACHETYPEフォームが機能しない
31861713	OAM 12.2.1.4がアウトバウンド・アーティファクトSAMLリクエスト中にクライアント証明書を送信しない
31750371	スタンドアロン環境で無効なOTP MAXATTEMPTSに達した後のシステム・エラー
29971944	OIF 11GR1の承認ページ機能がOAM 12Cフェデレーションで見つかりません
32136382	"-DORACLE.OAM.ENABLEEXTRASAMLATTR=TRUE"を追加した後のNULLPOINTEREXCEPTION
31830597	OAUTH: アクセス・トークンおよびリフレッシュ・トークンの有効期限が正しく設定されない
31822228	匿名セッションが存在するとMFAが失敗する
30922965	ユーザーを作成および永続化できない。原因: 無効なUUID文字列: ANONYMOUS-S

1.11.2 OAMバンドル・パッチ12.2.1.4.201201で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-2 OAMバンドル・パッチ12.2.1.4.201201で解決された問題

基本バグ番号	問題の説明
31266182	JWTベアラー権限のあるアクセス・トークン・リクエストが、DB一意制約違反で失敗します ノート: MDCが有効になっているOAuthフローでは、OAM構成でパラメータSessionMustBeAnchoredToDataCenterServicingUserをfalseに設定する必要があります。
30674083	OAuth 3-legged認可コードを2回以上使用できます
28946202	OAM監査で認証試行の失敗に対してIAU_INITIATORが取得されません
31766587	OAM 12c-Open ID Connect - nonceクレームがトークン内にありません
31832371	OAUTH_TOKENレスポンスを残すことを要求するオプションが、エラー29541818により設定されません
31778001	バグ31778001の修正
30503494	認証の失敗後、ユーザーが失敗URLにリダイレクトされません
31469921	12cで、複数値属性がフェデレーションから値を返しません
31734489	ユーザーが最大許容セッション数を超えた場合のエラー・メッセージ
31098504	匿名ユーザー・アカウント名を構成する機能 匿名ユーザー・セッションでユーザー名を構成するには、AnonymousModulesの下のoam-config.xmlファイルのanonymousUserNameを変更します。次に例を示します。 <Setting Name="AuthenticationModules" Type="htf:map"> <Setting Name="AnonymousModules" Type="htf:map"> <Setting Name="89AS152C" Type="htf:map"> <Setting Name="validateUser" Type="xsd:boolean">false</Setting> <Setting Name="anonymousUserName" Type="xsd:string">GuestUser</Setting> <Setting Name="name" Type="xsd:string">AnonymousModule</Setting> </Setting> </Setting> </Setting> oam-config.xmlファイルの編集の詳細は、『Oracle Access Management管理者ガイド』のOAM構成の更新に関する項を参照してください。 ノート: 変更は、管理対象サーバーの再起動後に反映されます。
31641787	OUD属性RESETPWD:TRUEがUSERAUTHENTICATIONPLUGINの認証失敗の原因になります ノート: Oracle Unified Directoryパスワード・ポリシー属性RESETPWD=trueの認証を許可するには、構成済のユーザー・アイデンティティ・ストアの下のoam-config.xmlファイルに次の属性を追加します: <Setting Name="checkPwdPolicyWarning" Type="xsd:boolean">false</Setting>
31650595	内部ステージ・プライマリを起動できません
31428183	Webゲート・テンプレートを使用してN+2索引を持つプライマリ/セカンダリ・サーバーを追加すると、Webゲート・プロファイルが破損します。
31039212	グローバル・ログアウトによりセッションがクリアされません
31857424	バグ31857424の修正
31744937	REST API:OTP:CREATEOTP & VALIDATEOTPフローを修正する必要があります
29154366	OAUTH2を使用したOAM-OSB統合が機能しません
31638527	パスワード管理が無効な状態でのNULLポインタ例外
28562000	アクセスを拒否する認証前ルールに操作エラーが表示される
31728627	SecurityConfig/TrustedInputsの初期化における同時実行性問題。
31595758	OAM 12cでのSAMLレスポンス後に一部のSAML属性が間違ったaValueにマップされます
31741829	SAMLログイン・フローのORACLE.SECURITY.FED.SECURITY.UTIL.CERTRETRIEVALUTILS.GETSIGNINGCERTにおけるスレッドのスタック
31763785	12c P4 - SSOリンク・フローを使用して生成されたアクセス・トークン内のクレームの一部としてSESSION_IDが存在しません
31526660	SAML複数値レスポンス変数のヘッダーが見つかりません
31662739	セッション・リンク・トークンはFED属性として使用できません
31494411	無効なOTP試行が複数回行われても、ユーザーがロックされず、不正なOTP試行も停止されません 詳細は、Doc ID 2743304.1 (https://support.oracle.com)を参照してください。
30991309	12c PS4でDCCトンネリングの非請求投稿が壊れています
24485240	FEDセッションが存在する場合、ADDATTRIBUTESTOFEDATTRIBUTESが失敗します

1.11.3 OAMバンドル・パッチ12.2.1.4.200909で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-3 OAMバンドル・パッチ12.2.1.4.200909で解決された問題

基本バグ番号	問題の説明
31666896	OAM認証REST API
31516886	OAMCONSOLEがWEBGATEによって保護されている場合、ユーザーはアプリケーション・ドメインを表示できません
31753451	WLSTコマンドSETSPPARTNERATTRIBUTEVALUEFILTERの実行時にエラーが発生します
28296759	FORCE PASSWORD RESET NOT WORKING WITH BASIC METHOD AND FORM CACHETYPE
25853168	R12へのアップグレード後、フェデレーションの一部のCURLコマンドが機能しません
29058490	OAM OIM統合 - ユーザーのロック解除後、ログインがループします
27566767	ENH 27566767 - 下位互換性: OAMをIDPとして使用すると、OIF 11Gと同様にOAM 12Cで属性マッピングおよびフィルタが提供されます
31111719	12CPS4:BP02: OAMコンソールUIでエラーが発生します
31427426	プライマリ/セカンダリ・サーバー・パラメータの更新中に無効なパラメータが表示されます。
30589288	OIDCソーシャル・ログインがブロックURLセキュリティ構成のために失敗します
30804658	WIN2012R2: 管理サーバーのブートストラップでSQL違反を処理する必要があります
31196076	IPFPSWD.JSPがシステム・エラーをスローします
26565827	AWSロール・マッピング属性のサポート
31186283	OAUTHトークンの作成時にエスケープ文字が追加されます
31555915	パスワードの特殊文字が12.2.1.4へのアップグレード後に認証されません
28040138	認可ポリシーSUCCESSURLの構成時、ORACLE ACCESS MANAGER操作エラーが発生します
31501282	12.2.1.3.191201 (BP07)の適用後、パスワード変更の強制時にOAMシステム・エラーが発生します
23096690	PUMA - APSによるWEBGATEの同期追加/更新でパフォーマンスの問題が表示される
31038100	拡張ルール解析で、属性評価に対して予期しない結果が返されます ノート: 拡張ルールで使用されるユーザー属性を属性値がオプションのSYSTEMプロパティとして追加する必要があります。 $OAM_DOMAIN/bin/setDomainEnv.shを開きます。 次に示すように、EXTRA_JAVA_PROPERTIESを追加します: EXTRA_JAVA_PROPERTIES="-Doam.rule.userAttr=<userAttr1>::<attrValue>, <userAttr2>::<attrValue> ${EXTRA_JAVA_PROPERTIES}" export EXTRA_JAVA_PROPERTIES 次に例を示します。 EXTRA_JAVA_PROPERTIES="-Doam.rule.userAttr=description::NULL_VALUE ${EXTRA_JAVA_PROPERTIES}" export EXTRA_JAVA_PROPERTIES
31289851	OAUTH/OIDC承認はセッションが見つからない場合に機能します
31337500	OAM MTスタック・スレッドおよび高CPU - UIDMX0113
30235925	OAMセッションは40文字列タイプ・プロパティのみをサポートしています
31068961	ORA-01461: LONG列に挿入する場合にのみLONG値をバインドできます
28855754	12.2.1.3 OUDパスワード・ポリシー属性RESETPWDがTRUEに設定されているため、認証が失敗する
29120924	AMRUNTIMEEXCEPTION: DUOプラグインを統合する際の転送の設定が無効
27963081	LDAPレスポンス読取りがタイムアウト - IDSTOREの作成時(「検索ベース」が「巨大」の場合)

1.11.4 OAMバンドル・パッチ12.2.1.4.200629で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-4 OAMバンドル・パッチ12.2.1.4.200629で解決された問題

基本バグ番号	問題の説明
31065568	中間修正: OAM11Gおよび12CによるすべてのCOOKIEの発行にSAMESITE=NONEが含まれていることを確認する必要があります
31465732	OAMS.OAM_RESOURCE_URL警告メッセージは修正30053037で依然としてOAMログに表示されます
30053037	OAMログのOAMS.OAM_RESOURCE_URL警告メッセージ
31510690	PASSWORDRESETREQUESTS RESTエンド・ポイントが内部サーバー・エラーをスローします。
31508059	セッション制御パラメータが無効です
30622957	X509 RFC (セキュリティ): EXTENDEDKEYUSAGEを使用したOAM認証
31366419	ポストを操作するエンドポイントの検証を更新します
31413189	MDCの変更セッション制御APIが、MDCが有効化されていないエラーにより失敗します
31419785	OAMCUSTOMPAGES.WARをデプロイできません。
30953737	OAMバンドル・パッチを適用した後のWLS管理サーバー・ログ・ファイルに、次の警告が表示されるようになりました - ソフトロックは有効になっていますが、本番環境では推奨されない設定です ノート: ソフトロックを有効化/無効化するためのスクリプトの実行方法を理解するには、次のディレクトリにあるreadme.txtを参照してください: $MW_HOME/idm/oam/server/wlst/scripts/utilities/
31110638	OAM 12.2.1.4 APR20 BP - IMPORTPOLICY WLST関数がポリシーのインポートに非常に長い時間を要します
29883498	OAM/MDCの問題: 単純モード・アーティファクトが無効です
30669352	認可の失敗に対して認可レスポンスが返されませんでした
30748479	クライアントIPがRESTコールのAUDIT.LOGで取得されません
30406633	SAMLレスポンス・ヘッダーの属性をフェッチ中にNOT_FOUNDを受け取ります
30762860	バグ30762860の修正
31000954	12CPS4: フェデレーションは、ローカルのメモリー内ストアを使用します
30120631	SMS OTPページ・リフレッシュ
30911495	2番目の要素の認証のオプションが1つのみの場合、2要素認証の入力テキストボックスにフォーカスが移りません
30628496	CREATEWEBGATETEMPLATE構文を使用してプライマリ/セカンダリ・サーバーのデータを変更できません
30831364	エンドポイントがBLOCKURLSリストにない場合でも、WNA CREDに対するHTTP 405でエンドポイントが収集されます
30771422	マップ・パラメータの詳細ルール解析が失敗します(USER.USERMAP、REQUEST.REQUESTMAP) ノート: https://support.oracle.comにあるノートOracle Access Manager (OAM) "Invalid rule condition" Error On Advanced Rules (Doc ID 2664614.1)も参照してください。
30882267	OAMカスタム・ページのLOGIN.JSPがOAM 12.2.1.4で機能しません
28108712	MDCセッション制御REST APIの変更が失敗します
29715441	OAM: USERINFO RESTコールが、LDAPプロバイダOUDの電話番号の正しい値を返さない
30832165	フェデレーション: FEDSTS-10202: クラスタからMDCデータを取得できませんでした
30793308	OAM IDP: フェデレーション・ログアウト中に断続的にシステム・エラーが検出されます
30355996	OAMセッションAPIは、CESTタイムゾーンでHTTP 500エラーを返します

1.11.5 OAMバンドル・パッチ12.2.1.4.200327 で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-5 OAMバンドル・パッチ12.2.1.4.200327で解決された問題

基本バグ番号	問題の説明
30805180	OAMスナップショット・ツール
30805164	OAuth承認ライフサイクル管理およびMDCサポート
30805154	OAuth Just-In-Time/JITプロビジョニング
30820170	グループの多数のユーザー・メンバーによる認可エラー
30792754	MDC環境のカスタム属性がアクセス・トークンに含まれていない
21391069	カスタム・プラグインからの認証失敗監査ログを記録する必要がある
29717855	DBに古いFEDセッションが存在する場合、SAMLログアウトが機能しない
29240849	カスタム・プラグインからの監査ログの追加認証失敗を記録する必要がある
30634571	12c OAuth監査レコードによってOAUTHTOKENVALIDATEイベントに対してNULL値が返される
30571576	K8S: OAM_ADMINおよびOAM_SERVERアプリケーションのデプロイメントがK8Sクラスタで失敗する
29783271	OUD詳細の更新によってOAM-CONFIG.XMLから追加された構成属性エントリが削除される
29885236	有効化されたMULTIVALUEGROUPS SPによってFED SP属性プロファイルで$USER.GROUPSが2回使用される
30134427	バグ30134427のフィックス
30169956	OAuthパスワードの権限付与タイプによって認証にプラグイン以外のLDAPモジュールのみが使用される
30213267	ADFカスタム・ログイン・ページのDCC WebGateトンネリングが機能しない このフィックスにより、チャンク転送エンコーディングを使用したカスタム・ページのトンネリングが可能になります。また、Webgateのユーザー定義パラメータtunnelingDCCReadTimeoutを使用して、管理対象サーバーからカスタム・ページをフェッチする場合に使用される接続で読取りタイムアウトを指定する方法も提供されます。 tunnelingDCCReadTimeoutを秒単位で指定します(例: tunnelingDCCReadTimeout=30)。 ノート: tunnelingDCCReadTimeoutを指定する場合、それに応じてaaaTimeoutThresholdも増やす必要があります。
30460435	ENABLEWHITELISTVALIDATIONDCCTUNNELING構成を使用してDCCトンネリング・ホワイトリストを無効化できない
30426370	OAM 12.2.1.4:DOWNLOADACCESSARTIFACTS: SEVERE:アーティファクトの処理リクエストの失敗
30468914	OAMでHolder-of-Keyプロファイルがサポートされない。
30069618	OAMAGENT-02077: 認証トークンがNULLまたは無効

1.11.6 OAMバンドル・パッチ12.2.1.4.191223 で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-6 OAMバンドル・パッチ12.2.1.4.191223で解決された問題

基本バグ番号	問題の説明
26679791	バグ25898731のフィックスがOAM 11.1.2.3.171017BP 26540179で失敗する
30389257	2要素認証の入力テキストボックスにフォーカスが移らない
30311080	OIGOAMINTEGRATION.SH -CONFIGURESSOINTEGRATIONによって新規12CPS4環境でアンマーシャル例外がスローされる
30156706	DBストアからOAM-CONFIG.XMLを作成できないためにOAM管理サーバーの起動に失敗する
29771448	OAuthアクセス・トークンの生成に使用されるパスワード内の%文字がASCIIに変換される
30144617	パッチ29918603の適用後にエラーコードの返却動作の変更に関する問題が発生する
29482858	OBSSOCOOKIEの作成中にOAM 11g ASDKによって断続的にエラーがスローされる
29541818	OAM 12cでOAuthおよびJSONの追加ユース・ケースを指定する際のER
29837657	IDストア作成を検証するためのOAMによるサブツリー検索の実行
29290091	管理起動ログでの間違った選択
30156607	DIAG: AMKEYSTORE検証フローに別のログを追加して管理サーバーの起動を失敗させる構成を識別する
30243111	DIAG: 構成の欠落/破損の問題を識別するにはデフォルト・キーストア・ブートストラップのログが必要
30180492	Oracle Access ManagerでのOCIフェデレーションが想定どおりに機能しない
30363797	OAM11GR2PS3: WNA_DCCモジュールがセキュリティ・バグ・フィックス: 25963019で失敗する
29649734	12.2.1.3.180904 (BP04)のアクセス・サーバーがJSONキーを返し、P7Bのようなドキュメントを返さない
30062772	フェデレーションBP18によってログアウトEND_URLがFED LOGOUで小文字に変換される
30176378	WLSTコマンドDISABLESKIPAUTHNRULEEVAL()の実行後にOAMサーバー・ログにエラーが記録される
30267123	1つのタブからログインした後に複数のタブからログインできない。

1.12 既知の問題と回避策

既知の問題と回避策は、https://support.oracle.comのMy Oracle Supportドキュメント2602696.1を参照してください

---

タイトルと著作権情報

Oracle Fusion Middleware Oracle Access Managementバンドル・パッチReadme OAMバンドル・パッチ12.2.1.4.210408 Generic for all Server Platforms

F44503-01

2021年4月

Copyright © 2021, Oracle and/or its affiliates.