このドキュメントでは、OAMバンドル・パッチ12.2.1.4.220404について説明します。

このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)のベース・インストールを必要とします。このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)に付属するドキュメントに優先します。内容は次のとおりです。

1.1 OAMバンドル・パッチ12.2.1.4.220404の新機能と拡張機能

Oracle Access Management 12.2.1.4.220404 BPには、次の新機能と拡張機能があります:

  • OAM_ID Cookieを、ホスト・スコープ指定のかわりにドメイン・スコープ指定にします

    OAM_ID CookieのCookieドメインを追加するためのサポートが追加されました。これは、構成パラメータSSOCookieDomainEnabledをtrueに設定することで有効にできます。CookieのCookieドメインは、構成プロパティSSOCookieDomainを使用して設定する必要があります。これらの更新はoam-config.xmlファイルで行われ、インポート・ユーティリティを使用して、変更を更新する必要があります。インポート後にサーバーの再起動が必要です。

    詳細は、表1-1のバグ33291908を参照してください。

1.2 OAMバンドル・パッチ12.2.1.4.220113の新機能と拡張機能

Oracle Access Management 12.2.1.4.220113 BPには、次の新機能と拡張機能があります:

  • OAuthカスタム・クレーム・プラグインのサポート

    詳細は、ノートOracle Access Manager (OAM) Federation Protocol OAUth - Elaborated Steps For <Patch:28228295> (Doc ID 2817030.1) (https://support.oracle.com)を参照してください

1.3 OAMバンドル・パッチ12.2.1.4.210920の新機能と拡張機能

Oracle Access Management 12.2.1.4.210920 BPには、次の新機能と拡張機能があります:

  • OAM SAML 2.0でサポートされている暗号化アルゴリズム

    OAMでは、AES-GCM暗号化モードがサポートされています。

    詳細は、「OAM SAML 2.0でサポートされている暗号化アルゴリズム」およびデフォルトの暗号化アルゴリズムの変更に関する項を参照してください

  • OAP over REST通信用の双方向SSL。

    WebGateとOAMサーバーの間でOAP over RESTの相互認証を有効にできるため、サーバーは認証クライアントと通信できます。

    詳細は、OAP over RESTの双方向SSLの有効化に関する項を参照してください

  • OAMでのTOTPベースのマルチファクタ認証

    configureMFAコマンドにconfig-utility.jarを指定してMFAを構成できます

    詳細は、OAMでのTOTPベースのマルチファクタ認証の構成に関する項を参照してください

  • サード・パーティ証明書を使用したトークン署名

    アクセス・トークンは、生成された即時利用可能な自己署名キー・ペアを使用して署名できます。このリリースでは、OAMはサポートを拡張し、サード・パーティのキー・ペアを使用してアクセス・トークンの署名を可能にします。

    詳細は、「サード・パーティ証明書を使用したトークン署名」を参照してください

  • OAMでの相互TLS (mTLS)クライアント認証

    TLS認証では、サーバーは、証明書(公開キー)を生成することでそのアイデンティティを確認してから、TLS検証プロセスによって検証されます。mTLS (相互TLS)では、サーバーとともにクライアントのアイデンティティも検証されます。TLSハンドシェイクは、クライアントの証明書内の公開キーに対応する秘密キーの所有を検証し、対応する証明書チェーンを検証するために使用されます。

    詳細は、クライアント認証の構成に関する項およびmTLSクライアント認証の構成に関する項を参照してください

  • カスタム・クレーム

    OAMは、クライアント・レベルまたはドメイン・レベルで構成できるテンプレートを使用して、カスタム・クレームを定義する機能を拡張します。カスタム・クレームは、すべてのアクセス・トークン、IDトークンおよびユーザー情報に含めることができます。値変換やカスタム・クレームの値フィルタリングを実行することもできます。

    詳細は、「カスタム・クレーム」を参照してください

  • OAuthアクセス・トークン最大サイズ

    デフォルトのOAuthアクセス・トークンの長さ制限は7500に増加しました。この値は、OAuthアイデンティティ・ドメイン・カスタム・パラメータaccessTokenMaxLengthを使用してオーバーライドできます。

  • OAuthクライアントの更新 - PATCHリクエストのサポート

    OAuthクライアントの変更中にPATCHリクエストのサポートを導入します。PATCH操作では、OAMは既存のスコープをリクエストの値とともに追加します。redirect_uris、権限付与タイプおよびカスタム属性についても同様の動作が提供されます。既存のPUT操作では、OAuthクライアント・パラメータの内容がリクエストの値で置き換えられます。

1.4 OAMバンドル・パッチ12.2.1.4.210408の新機能と拡張機能

Oracle Access Management 12.2.1.4.210408 BPには、次の新機能と拡張機能があります:

  • セッション管理の最適化

    セッション管理エンジンは、負荷がかかっている際のシステム・パフォーマンスを改善するように最適化およびチューニングされています。

    『パフォーマンスのチューニング・ガイド』Oracle Access Managementのデータベース・チューニングも参照してください

  • OAuthリフレッシュ・トークンの管理

    OAuthトークン管理機能が拡張され、リフレッシュ・トークンを無効化できるようになりました。

    詳細は、『Oracle Access Management管理者ガイド』OAuthトークンの失効に関する項を参照してください

  • ApacheおよびIIS Webサーバー対応の12c Webゲート

    IISおよびApache Webサーバー用のWebGatesは、このリリースで使用可能になります。

    詳細は、『Oracle Access Manager WebGatesのインストール』OAM用のIIS 12c WebGateのインストールと構成に関する項を参照してください

  • TLS 1.3およびFIPS 140-2のサポート

    このリリースは、FIPSおよびTLSの最新の標準およびバージョンに準拠しています。

    詳細は、『Oracle Access Management管理者ガイド』Oracle Access ManagementでのFIPSモードの有効化およびOracle Access ManagementでのTLS 1.3およびTLS 1.2のサポートに関する項を参照してください。

1.5 OAMバンドル・パッチ12.2.1.4.201201の新機能と拡張機能

Oracle Access Management 12.2.1.4.201201 BPには、次の新機能と拡張機能があります:

  • OAMでのProof Key for Code Exchange (PKCE)のサポート

    既存のOAM OAuth認可コード付与フローにPKCEのサポートが導入されました。これを使用すると、既存の3-legged OAuthのセキュリティが強化され、認可コードのインターセプト攻撃の可能性を軽減できます。PKCEはドメイン・レベルで有効にすることも、特定のクライアントに対してのみ有効にすることもできます。

    詳細は、『Oracle Access Management管理者ガイド』OAMでのProof Key for Code Exchange (PKCE)のサポートに関する項を参照してください。

  • OAUTH_TOKENレスポンスを未設定のままにする

    OAMには、SSOセッション・リンクが有効になっている場合にOAUTH_TOKENのCookieまたはヘッダーを設定しないというオプションがあります。チャレンジ・パラメータIS_OAUTH_TOKEN_RESPONSE_SETfalseに設定する必要があります。

    ノート:

    IS_OAUTH_TOKEN_RESPONSE_SETが構成されていない場合、またはtrueに設定されている場合は、OAUTH_TOKENのCookie/ヘッダーが設定されます。

1.6 OAMバンドル・パッチ12.2.1.4.200909の新機能と拡張機能

Oracle Access Management 12.2.1.4.200909 BPには、次の新機能と拡張機能があります:

  • SAMLレスポンスでのAWSロール・マッピング属性のサポート

    SAMLレスポンスでAWSロール・マッピング属性をサポートするためにSP属性プロファイルで構成できる新しい関数が導入されています。

    詳細は、『Oracle Access Management管理者ガイド』SAMLレスポンスのAWSロール・マッピング属性に関する項を参照してください

  • OAMフェデレーションでの属性値マッピングおよびフィルタのサポート

    OAMフェデレーションでは属性名マッピングがサポートされていました。サポートが属性値マッピングおよび属性フィルタリング機能に拡張されました。

    詳細は、『Oracle Access Management管理者ガイド』属性値マッピングおよびフィルタリングの使用に関する項を参照してください

1.7 OAMバンドル・パッチ12.2.1.4.200629の新機能と拡張機能

Oracle Access Management 12.2.1.4.200629 BPには、次の新機能と拡張機能があります:

  • OAM CookieでのSameSite=None属性のサポート

    OAMは、WebGateおよびOAMサーバーによって設定されたすべてのCookieにSameSite=None属性を追加します。

    ノート:

    • また、この機能を使用するには、最新のWebGateパッチをダウンロードしてアップグレードする必要もあります。詳細は、https://support.oracle.comにあるノートSupport for SameSite Attribute in Webgate (Doc ID 2687940.1)を参照してください。
    • また、https://support.oracle.comにあるノートOracle Access Manager (OAM): Impact Of SameSite Attribute Semantics (Doc ID 2634852.1)も参照してください。

    OAMサーバーのオプション構成

    • SSL/TLSがロード・バランサ(LBR)で終了し、OAMサーバーがSSL/TLSモードで実行されていない場合、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.value=None;secure

      または、LBRまたはWeb層からOAMサーバーへSSL/TLSコンテキストを伝播できます。詳細は、https://support.oracle.comにあるドキュメントID 1569732.1を参照してください。

    • OAMサーバーがSameSite=Noneを含めるのを無効にするには、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.enable=false
    • 非SSL/TLS HTTP接続にSameSite=Noneを設定するには、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.enableNoneWithoutSecure=true
    - システム・プロパティをsetDomainEnv.shに追加するには:
    1. すべての管理サーバーおよび管理対象サーバーを停止します。
    2. $OAM_DOMAIN_HOME/bin/setDomainEnv.shを編集し、次のようにプロパティを追加します:
      EXTRA_JAVA_PROPERTIES="-Doam.samesite.flag.enable=false ${EXTRA_JAVA_PROPERTIES}"
export EXTRA_JAVA_PROPERTIES
    3. 管理サーバーおよび管理対象サーバーを開始します。

    WebGateのオプション構成

    • SSL/TLSがLBRで終了し、OAM Webgate WebServerがSSL/TLSモードで実行されていない場合、WebGateでリクエストがSSL/TLSとして処理されるように、「ユーザー定義パラメータ」構成でProxySSLHeaderVarを設定します。詳細は、ユーザー定義のWebGateパラメータに関する項を参照してください。
    • OAM WebGateがSameSite=Noneを含めるのを無効にするには、コンソールの「ユーザー定義パラメータ」構成でSameSite=disabledを設定します。これはエージェントごとの構成です。
    • 非SSL HTTP接続にSameSite=Noneを設定するには、コンソールの「ユーザー定義パラメータ」構成でEnableSameSiteNoneWithoutSecure=trueを設定します。これはエージェントごとの構成です。

    ノート:

    SSL/TLSコンポーネントと非SSL/TLSコンポーネントの混在を使用するデプロイメント: 非SSL/TLSアクセスの場合、OAMサーバーおよびWebgateはCookieにSameSite=Noneを設定しません。一部のブラウザ(Google Chromeなど)では、非セキュア(非SSL/TLSアクセス) CookieのSameSite=None設定が許可されないため、不一致が検出された場合にCookieが設定されないことがあります。

    そのため、このようなSSL/TLSと非SSL/TLSが混在したデプロイメントはSSL/TLSのみのデプロイメントに移行して、全体的なセキュリティを強化することをお薦めします。

  • 拡張キーの使用状況(EKU)によるX.509認証

    X.509認証フローでは、証明書の使用が許可されるように、拡張キーの使用状況(EKU)証明書拡張チェックをオプションで追加できます。

    詳細は、『Oracle Access Management管理者ガイド』拡張キーの使用状況(EKU)を使用したX.509認証に関する項を参照してください。

1.8 OAMバンドル・パッチ12.2.1.4.200327の新機能と拡張機能

Oracle Access Management 12.2.1.4.200327 BPには、次の新機能と拡張機能があります:

  • OAuth承認管理

    ユーザー承認の管理、ユーザー承認の永続化、およびデータ・センター全体でそれらを取り消すメカニズムの実現を行う機能を提供します。管理者と個別ユーザーの両方に承認取消し機能が提供されます。

    詳細は、『Oracle Access Management管理者ガイド』承認管理の有効化に関する項およびMDCでの承認管理の有効化に関する項を参照してください

  • OAuth Just-In-Time (JIT)のユーザー・リンクおよび作成

    ユーザーを自動的にプロビジョニングする機能を提供します。IDPから受信したidTokenには、ユーザー属性があります。これらのユーザー属性には、ユーザーID、ユーザー名、名、姓、電子メール・アドレスなどの値が含まれますが、これらを使用してユーザーをローカルIDストアのエントリにリンクしたり、それらを作成したりできます(存在しない場合)。

    詳細は、『Oracle Access Management管理者ガイド』OAuth Just-In-Time (JIT)のユーザー・プロビジョニングに関する項を参照してください

  • OAMスナップショット・ツール

    OAM IDMドメインとそのすべての構成のスナップショットを作成して永続化し、それを完全に機能するOAM IDMドメイン・クローンで使用するためのツールを提供します。

    詳細は、『Oracle Access Management管理者ガイド』OAMスナップショット・ツールの使用に関する項を参照してください

  • SAML Holder-of-Key (HOK)プロファイル・サポート

    アイデンティティ・プロバイダ(IP)として機能する際のOAMに対してSAML Holder-of-Key (HOK)プロファイル・サポートが追加されました。このサポートは、OCIサービス・プロバイダ(SP)・パートナとともに使用します。

    詳細は、https://support.oracle.comのノートOAM 12c Identity Provider (IDP) for SAML Profile Support with OCI Service Provider (SP) Partners (Doc ID 2657717.1)を参照してください。

1.9 バンドル・パッチについて

バンドル・パッチについて説明し、またスタック・パッチ・バンドル、バンドル・パッチ、個別パッチ、およびパッチ・セットの違いについて説明します。

1.9.1 スタック・パッチ・バンドル

スタック・パッチ・バンドルでは、ツールを使用して、IDM製品および依存FMWパッチをデプロイします。これらのパッチの詳細は、https://support.oracle.comにあるQuarterly Stack Patch Bundles (Doc ID 2657920.1)を参照してください。

1.9.2 バンドル・パッチ

バンドル・パッチは、ベースライン・プラットフォーム上のOracle Fusion Middlewareコンポーネントに対するOracleの公式パッチです。バンドル・パッチ・リリース文字列の5桁目は、バンドル・パッチ番号を示していました。2015年11月、バージョン番号の形式が変更されました。新しい形式では、バンドル・バージョンの5桁目の数値は、「YYMMDD」形式のリリース日付に置換されます。

  • YYは西暦年の下2桁です。

  • MMは数値形式の月です(2桁)。

  • DDは数値形式の日付です(2桁)。

各バンドル・パッチには、1つ以上のフィックスを実装するために再ビルドされたライブラリおよびファイルが含まれます。バンドル・パッチ内のフィックスはすべてテストされ、相互の動作が保証されています。

各バンドル・パッチは累積されます。最新のバンドル・パッチには、同じリリースおよびプラットフォーム用の以前のバンドル・パッチのすべてのフィックスが含まれます。バンドル・パッチで提供されたフィックスは、次のリリースに組み込まれます。

1.9.3 パッチ・セット

パッチ・セットは、十分にテストおよび統合された製品フィックスを提供するためのメカニズムです。これらのフィックスは、同じリリースのインストール済みコンポーネントに適用できます。パッチ・セットには、リリース用の以前のバンドル・パッチで入手可能なすべてのフィックスが含まれます。パッチ・セットには、新機能が含まれる場合もあります。

各パッチ・セットには、不具合の修正(および存在する場合は新機能)を実装して再構築されたライブラリおよびファイルが含まれます。ただし、パッチ・セットは完全なソフトウェア配布ではない場合もあり、すべてのプラットフォームのすべてのコンポーネント用のパッケージが含まれていないことがあります。

パッチ・セットのすべての修正はテスト済であり、指定されたプラットフォームで互いに機能することが動作保証されています。

1.10 推奨事項

オラクル社では、アイデンティティ管理製品の依存ミドルウェア・コンポーネントのパッチを動作保証しており、お客様はこれらの動作保証済パッチを適用するようお薦めします。

これらのパッチの詳細は、https://support.oracle.comのノートCertification of Underlying or Shared Component Patches for Identity Management Products (Doc ID 2627261.1)を参照してください。

1.11 バンドル・パッチの要件

Oracleでサポートされている状態を維持するには、パッケージが提供されているすべてのインストール済みコンポーネントにバンドル・パッチを適用します。次のことをお薦めします。

  1. バンドル内のすべてのインストール済みコンポーネントに最新のバンドル・パッチを適用します。
  2. OAMサーバー・コンポーネントが、常に、同じリリースのインストール済みWebGateと同じ(またはそれ以上の)バンドル・パッチ・レベルになるようにします。

1.12 バンドル・パッチの適用

バンドル・パッチ・ファイルを準備してインストールする場合(または、元のインストールに戻す必要があり、バンドル・パッチを削除する場合)は、次のトピックを参照してください。

ノート:

  • 常に最新のバンドル・パッチをインストールすることをお薦めします。

  • libovdパッチ34065178およびWLSパッチ32698246をインストールする必要があります。

    バグ18957556はlibovdパッチ34065178と依存関係があります。

1.12.1 Oracleパッチ・メカニズム(Opatch)の使用

Oracleパッチ・メカニズム(Opatch)は、サポートされているすべてのオペレーティング・システムで動作するJavaベースのユーティリティです。OPatchを使用するには、Oracle Universal Installerをインストールする必要があります。

ノート:

My Oracle SupportからOpatchの最新バージョンを入手することをお薦めします。OPatchでパッチを適用するには、有効なOracle Universal Installer (OUI)インベントリへのアクセス権が必要です。

パッチ適用プロセスでは、unzipとOPatchの両方の実行可能ファイルが使用されます。ORACLE_HOME環境をソースにした後、パッチ適用前にこれらの両方が存在していることを確認することをお薦めします。OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。

OPatchが起動すると、パッチを検証して、$ORACLE_HOMEにすでにインストールされているソフトウェアとの競合がないことを確認します。

  • $ORACLE_HOMEにすでに適用されているパッチとの競合が見つかった場合、パッチのインストールを停止して、Oracleサポート・サービスまで連絡してください。

  • $ORACLE_HOMEにすでに適用されているサブセット・パッチとの競合が見つかった場合は、バンドル・パッチの適用を続行します。新しいパッチのインストールが開始される前に、サブセット・パッチが自動的にロールバックされます。最新のバンドル・パッチには、$ORACLE_HOME内の以前のバンドル・パッチのすべてのフィックスが含まれます。

このバンドル・パッチでは、-autoフラグは有効化されていません。-autoフラグなしの場合、サーバーが実行中である必要はありません。デフォルトのインストールでは、マシン名とリスニング・アドレスは空白でかまいません。

関連項目:

Oracle Universal InstallerおよびOpatchユーザーズ・ガイド

次の手順のステップを実行して環境を準備し、OPatchをダウンロードします。

  • My Oracle Support(https://support.oracle.com/)にログインします。

  • 必要なOPatchのバージョンをダウンロードします。

  • opatch -versionを使用して、Opatchのバージョンが最新かどうかをチェックします。以前のバージョンのOpatchの場合は、最新バージョンをダウンロードします。

  • 次のコマンドを実行して、必要な実行可能ファイル(opatchおよびunzip)がシステムにあるかどうかを確認します。

    Run which opatch — opatchのパスを取得

    Run which unzip— unzipのパスを取得

    実行可能ファイルのパスが環境変数"PATH"にあるかどうかを確認します。ない場合は、パスをシステムPATHに追加します。

  • 次のコマンドを使用して、OUIインベントリを確認します。

    opatch lsinventory

    Windows 64ビット: opatch lsinventory -jdk c:\jdk180

    エラーが発生した場合は、続行する前にOracleサポートに連絡してインベントリ設定を検証および確認します。ORACLE_HOMEが表示されない場合は、中央インベントリから欠落している可能性があります。または、中央インベントリ自体が欠落または破損している可能性があります。

  • 次のトピックOAMバンドル・パッチの適用の情報を参照してください。

1.12.2 OAMバンドル・パッチの適用

ここに記載されている情報およびステップを使用し、Oracleパッチ(OPatch)を使用して任意のプラットフォームからバンドル・パッチを適用します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順はどのプラットフォームでも同じです。

各バンドル・パッチ内のファイルは、宛先$ORACLE_HOMEにインストールされます。これにより、作成した一時ディレクトリから元のバンドル・パッチ・ファイルを削除した場合でも、バンドル・パッチを削除(ロールバック)できます。

ノート:

パッチ操作を実行する前に、適切な方法を使用して$ORACLE_HOMEをバックアップすることをお薦めします。任意の方法(zip、cp -r、tar、およびcpio)を使用して$ORACLE_HOMEを圧縮できます。

このドキュメントでは、書式の制約により、サンプル・テキストの行が強制的に折り返される場合があります。これらの行の折り返しは無視してかまいません。

OAMバンドル・パッチを適用するには

OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。バンドル・パッチを適用する手順を開始する前、次の操作を行う必要があります。

  • ORACLE_HOMEを設定します

    次に例を示します。 

    export ORACLE_HOME=/opt/oracle/mwhome

  • export PATH=<<OPatchディレクトリのパス>>:$PATHを実行して、OPatch実行可能ファイルがシステムPATHに表示されることを確認する。次に例を示します。 

    export PATH=$Oracle_HOME/OPatch:$PATH
  1. OAMパッチp34033161_122140_Generic.zipをダウンロードします
  2. パッチのZIPファイルをPATCH_TOPに解凍します。

    $ unzip -d PATCH_TOP p34033161_122140_Generic.zip

    ノート:

    Windowsのunzipコマンドには、パス名に256文字しか使用できないという制限があります。これが発生した場合、7-Zipなどの代替ZIPユーティリティを使用して、パッチを解凍します。

    例: 7-Zipを使用して解凍するには、次のコマンドを実行します。

    "c:\Program Files\7-Zip\7z.exe" x p34033161_122140_Generic.zip

  3. 現行ディレクトリを、パッチがあるディレクトリに設定します。

    $ cd PATCH_TOP/34033161

  4. 基本製品をインストールした同じユーザーとしてログインします。

    • AdminServerおよびこのバンドル・パッチを適用するすべてのOAMサーバーを停止します。

      このOAMサーバーおよびOAMで保護されたサーバーを使用するアプリケーションには、この期間中アクセスできません。

    • $ORACLE_HOME: MW_HOMEをバックアップします。

    • バックアップ・ディレクトリを別の場所に移動し、必要に応じて後でその場所を特定できるように記録しておきます。

  5. 適切なOPatchコマンドを管理者として実行して、中央インベントリを更新してORACLE_HOMEにパッチを適用するために必要な権限が付与されていることを確認します。次に例を示します。
    opatch apply

    Windows 64ビット: opatch apply -jdk c:\path\to\jdk180

    ノート:

    OPatchは、一度に1つのインスタンスで動作します。複数のインスタンスがある場合は、インスタンスごとにこれらのステップを繰り返す必要があります。
  6. すべてのサーバー(AdminServerとすべてのOAMサーバー)を起動します。

1.12.3 マルチ・データ・センター(MDC)でのOAMバンドル・パッチの適用

ここに記載されている情報およびステップを使用し、MDC設定にバンドル・パッチを適用します。

マスター・データ・センターのアップグレードまたはパッチ適用を行ってから、各クローン・データ・センターのアップグレードまたはパッチ適用を行うことをお薦めします。

MDC設定にパッチを適用するには、次のステップを実行します。
  1. マスター・データ・センターでアップグレードまたはパッチ適用を行います。詳細は、「OAMバンドル・パッチの適用」を参照してください
  2. パッチを適用する必要があるマスター・データ・センターとクローン・データ・センター間の自動ポリシー同期(APS)を無効にします。詳細は、『Oracle Access Management管理者ガイド』「自動ポリシー同期の無効化」を参照してください
  3. oam-config.xmlのWriteEnabledFlagtrueであることを確認します。有効になっていない場合は、次のWLSTコマンドを使用して、クローン・データ・センターでWriteEnabledFlagtrueに設定します。
    connect('weblogic','XXXX','t3://localhost:7001')
     domainRuntime()
     setMultiDataCenterWrite(WriteEnabledFlag="true")
  4. クローン・データ・センターでアップグレードまたはパッチ適用を行います。
  5. 次のWLSTコマンドを使用して、クローン・データ・センターでWriteEnabledFlagfalseに変更します。
    connect('weblogic','XXXX','t3://localhost:7001')
     domainRuntime()
     setMultiDataCenterWrite(WriteEnabledFlag="false")

    ノート:

    データ・センター間に不整合がないように、APSを有効にする前にクローンを書込み禁止にする必要があります
  6. マスター・データ・センターとアップグレードしたクローン・データ・センター間のAPSを再度有効にします。詳細は、『Oracle Access Management管理者ガイド』「自動ポリシー同期の有効化」を参照してください

1.12.4 バンドル・パッチ適用の失敗からのリカバリ

AdminServerが正常に起動しない場合は、バンドル・パッチの適用が失敗しています。

バンドル・パッチ適用の失敗からのリカバリ手順
  1. パッチ適用で構成の問題がないことを確認します。
  2. AdminServerを正常に起動できることを確認します。
  3. AdminServerを停止し、「バンドル・パッチの削除」の説明に従ってパッチをロールバックし、パッチ適用を再実行します。

1.13 バンドル・パッチの削除

バンドル・パッチが適用された後、それをロールバックする場合、次のステップを実行します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順は同じです。バンドル・パッチが削除された後、システムは、パッチ適用の直前の状態に復元されます。

ノート:

  • バンドル・パッチを削除すると、バンドル・パッチ適用後に行われた手動の構成変更がすべてオーバーライドされます。これらの変更は、パッチの削除後に手動で再適用する必要があります。
  • 最新バージョンのOpatchをロールバックに使用します。これより古いバージョンのOpatchをロールバックに使用すると、次の失敗メッセージが表示されます:
    C:\Users\<username>\Downloads\p34033161_122140_Generic\34033161  
>c:\Oracle\oam12214\OPatch\opatch rollback -id 34033161
Oracle Interim Patch Installer version 13.9.2.0.0
Copyright (c) 2020, Oracle Corporation. All rights reserved.
......
The following actions have failed:
Malformed \uxxxx encoding.
Malformed \uxxxx encoding.

次の手順に従って、システムでバンドル・パッチを削除します。

システムでバンドル・パッチを削除する手順
  1. 「OAMバンドル・パッチの適用」のステップを実行して環境変数を設定し、インベントリを確認して、ORACLE_HOMEまたはホスト・マシンから実行中のサービスをすべて停止します。
  2. パッチを解凍したディレクトリに変更します。例: cd PATCH_TOP/34033161
  3. バンドル・パッチを含むORACLE_HOMEディレクトリをバックアップし、そのバックアップを別の場所に移動して、後で見つけることができるようにします。
  4. OPatchを実行してパッチをロールバックします。次に例を示します。
    opatch rollback -id 34033161
  5. 使用しているモードに基づいてサーバー(AdminServerとすべてのOAMサーバー)を起動します。
  6. 必要に応じて、「バンドル・パッチの適用」の説明に従いバンドル・パッチを再適用します。

1.14 解決された問題

この章では、このバンドル・パッチで解決された問題について説明します。

このバンドル・パッチでは、次の項で説明されているフィックスが提供されます。

1.14.1 OAMバンドル・パッチ12.2.1.4.220404で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-1 OAMバンドル・パッチ12.2.1.4.220404で解決された問題

基本バグ番号 問題の説明
33856331 パスワード・ルールがフランス語で表示されない
33814292 未使用のロギングの依存関係が削除される
33409018 正しい索引を使用するため、DB SMEに使用される2つのOAM SQLにヒントが必要となる
33417041 OAM/サービス/REST/アクセス/API/V1/監査/イベント500エラー
32910834 12CPS5 RUP: ファイルが見つからない。EXPORT_OFFLINE_OIMおよびIMPORT_OFFLINE_OIMの例外
32587773 バグ32587773の修正
33724245 FUSION APP IFRAMEへの埋込みを有効化するために許可リスト機能をサポートする
33841128 OAAプラグインをOOTBプラグインにする
33913030 システム・プロパティOAM.T2P.ENABLETOPOLOGYUPDATEを読み取るために、SYSTEM->GETPROPERTYを使用する
33663608 USERINFOエンドポイント: 取り消されたアクセス・トークンの値を返す
33645782 OAM12C: CURLを使用してチャレンジ・メカニズムOAM10Gで認証スキームを変更できない
33478014 エラー/警告がOAM 12C以降のサーバーの起動時に表示される
33291908 OAM_ID COOKIEを、ホスト・スコープ指定のかわりにドメイン・スコープ指定にする
次の構成プロパティがoam-config.xmlに導入されています:
  • <Setting Name="SSOCookieDomain" Type="xsd:string">.mydomain.com</Setting>
  • <Setting Name="SSOCookieDomainEnabled" Type="xsd:boolean">true</Setting>
OAM_ID Cookieのドメインを設定するには、次のステップを実行します:
  1. oam-config.xmlSSOCookieDomainEnabledを検索します。
  2. 値をtrueに変更します。

    <Setting Name="SSOCookieDomainEnabled" Type="xsd:boolean">true</Setting>

    <Setting Name="SSOCookieDomain" Type="xsd:string">.mydomain.com</Setting>

    ノート:

    SSOCookieDomainEnabledがまだ存在しない場合は、SSOCookieDomainEnabled値をtrueに設定する前に<Setting Name="ssoengine" Type="htf:map">設定を追加します。
  3. OAMサーバーを再起動します
33021500 ASDKが実行中のOAMサーバーへの接続に失敗する
33466152 OAMアップグレード後のJAVA.LANG.CLASSNOTFOUNDEXCEPTION: KM 2806412.1

構成されたSMEストアがDBでない場合は、setDominEnv.shに次のJavaプロパティを追加します:

-DDB_SMESTORE_SYSPROP=false
33556093 バグ30771422に修正を適用した後でも、警告エントリがログにスパム投稿される

requestMap[Cookie]を含む高度な認証ルールを使用している場合は、setDomainEnv.shに次のシステム・プロパティを追加します:

-Doam.rule.requestAttr=Cookie::NULL_VALUE
33604330 IPFWARNINGMSG.JSPおよびIPFPSWDCHANGEREQUEST.JSPのロード中のエラー
33630956 パスワード・フローで使用されるENTEROTP.JSPでフランス語のロケールが処理されない
33690341 CLIENT_IDおよびクライアント名に特殊文字を使用した入力が無効になる

-Doracle.oam.oauth.allow.all.char=trueシステム・プロパティを有効にして、この機能を使用します。

33654883 OAM 12CP4: 認可ポリシー・セッションで、ヘッダー/COOKIE用に構成されたカスタムまたは動的属性がレスポンスで取得されない
33585810 カスタム・プラグインを使用した10月のCPUパッチにより、未承諾ログインが失敗する。
33560440 ENH 29337161を適用しても、AM_SESSION表に関連するパフォーマンスの問題が発生する
33521038 IDトークンにOAM 12CPS4 BP8電子メール・クレームのスコープが欠落している
33604911 ../TRUSTEDPARTNERS/SPエンドポイントでのREST問合せのNULLPOINTEREXCEPTION
33554950 2021年10月CPUパッチでフェデレーション・ログインが中断される

OAMがフェデレーション・プロキシとして使用されている場合は、setDomainEnv.shに次のシステム・プロパティを追加します:

-Doam.federationProxyEnabled=true
33527784 OIDCとWEBゲート・アプリケーションが12.2.1.4へのアップグレード後にDC\Sのクローンで失敗する

ノート:

これは、OAuthドメインとOAuth承認リソースの認証ポリシーに、異なるユーザー・アイデンティティ・ストアが使用されている場合にのみ関係します。setDomainEnv.shに次のシステム・プロパティを設定して、この修正を有効にする必要があります:

-Doam.sessionRetrievalWithId=true
33392806 フェデレーション: SPマッピング・プロファイルで構成された属性がSAMLRESPONSEで空になっている

1.14.2 OAMバンドル・パッチ12.2.1.4.220113で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-2 OAMバンドル・パッチ12.2.1.4.220113で解決された問題

基本バグ番号 問題の説明
33533200 RDNに特殊文字がある場合、認可コールが失敗する

ノート:

このバグはlibovdパッチ33638694に依存しています
33518405 バグ33518405の修正
33474333 MDC: ローカルDCでの認可コードからのアクセス・トークンの取得に失敗した

ノート:

これは、OAuthドメインとOAuth承認リソースの認証ポリシーに、異なるユーザー・アイデンティティ・ストアが使用されている場合にのみ関係します。setDomainEnv.shに次のシステム・プロパティを設定して、この修正を有効にする必要があります:

-Doam.sessionRetrievalWithId=true
33368662 HTTPTOKENEXTRACTORプラグインが資格証明パラメータにヘッダー名を入れない

ノート:

認証モジュールのHTTPTOKENEXTRACTORプラグインのKEY_HEADER_PROPERTYで複数のヘッダーが構成されている場合、ヘッダーはカンマで区切る必要があります。
32923468 MDC: アダプティブ認証モジュール
33389214 OAMセッションREST APIを呼び出すと、不正なリクエスト・エラーが発生する。
33358965 パスワードの変更ルールが/OTPFP/USERSELECTページでURLエンコードされているように見える
33391677 \を持つフェデレーテッド・ユーザーが、FILTERESCAPE値がTRUEのLIBOVDに\5C\を送信している

ノート:

このバグはlibovdパッチ33638694に依存しています
33142450 RETURNURLVALIDATIONENABLEDを使用しても、ユーザーがURLに戻る
33069979 12CPS4 OAMと11GR2PS3 OAAM間のTAP統合が機能しない

ノート:

次のシステム・プロパティをtrueに設定する必要があります: oam.enable.legacy.client=true。デフォルトではfalseです。
33242499 STRESS:FA:ATK:FMW12C: ログオン・ストーム・テストが500クライアントで失敗する
33275487 診断ロギングが有効な場合にOAMログに表示されるSTRESS:FA:ATK:FMW12C: CONCURRENTMODIFICATIONEXCEPTION
33109073 OAMREAUTHENTICATEが初回のみ機能する

1.14.3 OAMバンドル・パッチ12.2.1.4.210920で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-3 OAMバンドル・パッチ12.2.1.4.210920で解決された問題

基本バグ番号 問題の説明
33192650 OAM 12.2.1.4.210408 (BP06)を使用したクローン・データ・センターでの「システム・エラー」
33214625 リダイレクトURI検証では、問合せパラメータ、フラグメントなどがサポートされていない
33273701 クライアント・アーティファクトの作成では、RESTドキュメントで説明されているメディア・タイプがサポートされていない
33273732 クライアント/信頼アーティファクトでAPIを取得しない(使用可能なポストまたは削除のみ)
33273741 エンドポイントの検出の問題
33273750 トークン・イントロスペクション・エンドポイントが仕様に従っていない
32958613 JWTトークンに形式が正しくないグループが含まれている
33273674 OAUTHクライアント認証の相互TLS
33273579 CLIおよびRESTコマンドによるOAMでのSFA TOTP設定の簡素化
31517286 バグ31517286の修正
32102796 OAMがIDPである場合の追加カスタム・クレームのOIDC IDトークンの送付を許可
32201831 LDAPからのIDトークン内の電子メール検証済クレームをプルする機能
30045443 OAM OAUTH: TPCでOAUTHトークンを生成する機能
33098826 SFAフローを含むパスワード・ポリシーを使用した未承諾のログイン・フローが破損する
33055065 OAM保護済ページにアクセスした後、フェデレーションが機能しない
31431111 ログアウト承認ページで、「サインアウト」のかわりに「サインイン」が表示される
32761540 SQL 8RWNP1YMTMWWBからのAM_AUDIT_RECORDのSTRESS:FA:ATK:FTS
33117541 プロキシ以外のホストの例外が機能しない
33139217 12.2.1.4 2021年4月/7月BPの適用後にOAM_ADMINが起動に失敗する
32920684 拡張認証ルールのインポートでIMPORTPOLICYDELTAが失敗する
33084122 12C 21.07 EVNI: OHSログ(WEBGATE)の「アクセス・サーバーは、詳細情報なしで致命的エラーを戻しました。」エラー
33074398 APNSパッチ32625905の問題: サウンドがない
33010382 29771448と31555915で修正されたパスワードの特殊文字がBP06以降に機能しなくなる
32807465 アイデンティティ・プロバイダを削除すると、マスターからクローン・サーバーに複製できない
32704611 属性値にバックスラッシュが含まれている場合にOAUTHクライアントを作成できない

ノート:

バックスラッシュ(\)属性値を有効にするには、setDomainEnv.shを編集し、次のシステム・プロパティを追加します:

oracle.oam.oauth.allow.backslash。デフォルト値はtrueです。

32909931 OAMで12.2.1.4.210408の適用後に認証レスポンス・ヘッダーが設定されない
32543656 SOAPログアウト・リクエストを受信すると、OAM 11G (SP)がローカル・セッションを終了する
32482754 5000文字を超えてOAUTHアクセス・トークンの最大サイズが増加される
32879893 OAMコンソールの断続的なエラーでポリシー・オブジェクトを表示および更新できない
32976735 TLS 1.2のみを使用してAIXでバックエンドLDAPとしてOAMとOUDを使用しているときに、EBS APPSLOGINが失敗する
32568653 12バージョン: ACCESSSERVERCONFIGPROXYポートが5576から5575 RESTARTADMINに変更される

ノート:

トポロジの更新をトリガーするには、setDomainEnv.shで次のシステム・プロパティを設定します:

oam.t2p.enableTopologyUpdate=true
32953208 OAM OPENID CONNECTログアウトでPOST_LOGOUT_REDIREにSTATEパラメータが転送されない
32933119 API/OAUTH2/REST/SECURITYが機能しない(エラー406)
27582324 OBRAR.CGIがGETメソッドを使用してデータを取得する際にPOSTデータ復元が失敗する。
31843528 アサーションに、OAMが失敗する暗号化フィールドを含むアドバイス要素がある
32828842 OIDC-PIREAN統合 - 有効なJWTトークンではない
32826737 IBM AIX上でTLS 1.2のOAMコンソールのLDAP用のテスト接続が失敗する

ノート:

OAMおよびOIDがTLSv1.2で設定されているIBM AIX OS 7.1または7.2では、setDomainEnv.shで次のOAMシステム・プロパティが設定されていることを確認します:

-Djdk.tls.client.protocols=TLSv1.2。OAM管理サーバーを再起動します。

32734517 CURLを使用してX509用にAUTHNSCHEMELEVELを5から2に更新できない
31859438 12C :OAUTHクライアント : 更新 : リダイレクトURI : HTTPパッチ・リクエストのサポート
32655233 LIBOVD 12Cのユーザー名内の特殊文字によりLDAP内のユーザーの特定に失敗する

ノート:

このバグはlibovdパッチ32305678に依存しています
32701831 アプリケーション・ドメインのアイドル状態のタイムアウト後に、INITIAL_COMMAND=NONEを使用したリダイレクト・ループが発生する
32501273 リモートIPがOAUTH認可のための監査データベースに表示されない
32653281 管理サーバーの起動ログに「コンテキスト・パス:/IDAAS/AM/ESSOの初期化に失敗しました」エラーが存在する
32561825 AUTHMON - OAM AUTHMON (OAM-MON.SH) - セッションを作成しないようにログアウトを実装する必要がない。

ノート:

12c PS4では、OAMテスターはオフライン・モードで機能せず、UIがサポートされていません。
コマンドライン・サポートの場合、OAMテスター入力xmlを更新します。次に例を示します:
<case uuid="a46c2914-30c7-4b20-8862-c244fd0d74d5">
    <request code="logout"/>
        <response code="yes" elapsed="178">
            <comment></comment>
            <status>Major code: 2(NoCode) Minor code: 2(NoCode)</status>
            <content></content>
        </response>
</case>
32650194 バグ32487114の修正がOAM REL13パッチ32628242で機能しない
27584970 WEBLOGIC-APPLICATION.XMLの容量の制約により、パフォーマンスが影響を受ける

1.14.4 OAMバンドル・パッチ12.2.1.4.210607で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-4 OAMバンドル・パッチ12.2.1.4.210607で解決された問題

基本バグ番号 問題の説明
32682922 フェデレーションが成功すると、ホワイトリストに登録されていなくても、戻りURLにリダイレクトされる
31560646 OAMログのFEDSTSエラー
32680956 OAM OAUTH 12Cでは、REST APIを使用する際にJSON形式で出力する必要がある

AcceptヘッダーはOAM OAuth REST APIで導入されています。Acceptヘッダーが使用されている場合、OAMはJSON形式のレスポンスを返します。

次に例を示します。 
curl --location --request GET \
'http://<host>:<port>/oam/services/rest/ssa/api/v1/oauthpolicyadmin/client?identityDomainName=<DomainName>&name=<clientName>' \
--header 'Authorization: Basic d2VibG9naWM6V2VsY29tZTE=' \
--header 'Accept: application/json' \
32625905 HTTP/2 APPLE PUSH NOTIFICATIONサーバー(APNS)のサポート

Apple Push Notificationサーバー(APNS)は、2021年3月31日からのレガシー・バイナリ・プロトコルをサポートしていません。新しいサーバー(api.push.apple.com:443)は、HTTP/2プロトコルのみをサポートします。

このバグ修正では、APNSの使用時にHTTP/2プロトコルがサポートされます。この機能はデフォルトで有効になっていません。

HTTP/2 APNSを使用するには、次のステップを実行します:
  1. Java 8バージョンが1.8.0_251より大きいことを確認してください。
  2. updateConfigProperty WLSTコマンドを実行して、SfaUseAPNsHTTP2プロパティをtrueに設定します。次に例を示します。
    connect('ADMIN_USER','ADMIN_PASSWORD','ADMIN_HOST:ADMIN_PORT')
    domainRuntime()
    updateConfigProperty(propertyIdentifier="SfaUseAPNsHTTP2", propertyValue="true")
  3. OAMサーバーを再起動します
32519715 既存のセッションのユーザーが、ローカル認証されたユーザーと異なる
32743560 OAM 12CP4: 修正32632139がOAMSERVERCOMMUNICATIONMODE = HTTPで失敗している
31629661 ASDKが実行中のOAMサーバーへの接続に失敗する。
32407903 DCC WGを介した未承諾のログインおよびログアウト中の「復号化の例外」エラー
32376345 OAMエンドポイントへの余分なコールを減らすには、31186283の代替ソリューションが必要
32198119 GITO COOKIEドメインの更新時に無効なセッション制御パラメータ・エラーが発生した
32291876 WEBゲート・テンプレートを使用して2つの索引を持つプライマリ/セカンダリ・サーバーを追加すると、WEBゲート・プロファイルが破損する。
30116357 02/19パッチを適用した後、非請求投稿の認証を含むDCC WEBゲートが失敗する

1.14.5 OAMバンドル・パッチ12.2.1.4.210408で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-5 OAMバンドル・パッチ12.2.1.4.210408で解決された問題

基本バグ番号 問題の説明
29244150 OAM BPの14、15または16を適用すると、トンネリングDCCとプレーンDCCとの間のSSOが破損する
27441865 CLIENTSSLKEYSTOREPWD、CLIENTSSLTRUSTSTOREPWDがOAM-CONFIGに正しく書き込まれていない
28728420 OAM-OIM FIRSTLOGINページが空白で、BACKURLにホスト識別子が含まれる
32612533 APRIL BP 32525944ではFED SP1とSP2パートナ保護リソース間のOAM 12CPS4 SSOが失敗する
32153972 署名検証でOPENIDCONNECTPLUGINの構成に失敗した
32392692 ORACLE CLOUD MCS_LOGIN_324.PNGが使用されず、ログイン・ページに表示される
32632139 バグ32055280用のOAM 12CPS3修正が失敗する
32433361 ASDKが初期化に失敗する
32477536 COMPATIBILITYMODEがOAM_12Cの場合、ASDKが初期化に失敗した
18957556 OIDの停止時に診断ログでP_ERROR_CODE=OAM-3が取得されない
29725629 バグ29725629用の修正
31386392 IDM WLS_OAM1ログのNOTSTRESS:FA:ATK:ORACLE.OAM.BINDINGエラー
27962394 ユーザーにポッド名が付加された
31994408 OAMログイン・ページがレッドウッドUIスタイルに適応するように変更される
30155115 OIFAUTOMATION.PL ENABLEOIFの失敗 - DBスキーマ・パスワードの使用方法が正しくない
31430985 最初のサインオン・ページで、テキスト・ボックスの「ユーザーID」および「パスワード」フィールドにラベルがない
32430636 12C: FAHOMEページでの500内部サーバー・エラー
32394988 前景色と背景色がWCAG 2 AAコントラスト比のしきい値を満たしていない
32487114 WCAG 2.0-2.4.1: 繰り返されるブロックをバイパスする手段がページに必要。
32451171 KM自動化: バグ# 32380923での構成変更に対応する自動化スクリプトの追加
27481308 ER: OAM OAUTH PKCE (RFC 7636)サポート
32507312 /OAMFED/USER/SLOOAM11G?ID=OAM11G&TYPE=3へのアクセスの問題
29337161 12Cが認可リクエストごとにデータベース内のAM_SESSION表を更新する
29951446 OAUTHサービス: トークン終了APIが使用できない
32380255 IOSプッシュ通知ポート2195および2196が3 月から非推奨
32250953 内部OAM ADC環境での断続的なログインの問題
32428227 OAM_ADMINデプロイメントが失敗しました
32134602 バグ31402491の継続、既存のセッションのユーザーがユーザーと異なる
32340416 OAUTH REST APIのアイデンティティ・ドメインの削除により、無効なリクエストの送信時に成功が返される
32245443 IAMスイート・アプリ・ドメインがない場合、ADMINSERVERの起動時にNULLポインタ例外がスローされる
30352121 フェデレーテッド環境においてSAMLレスポンスで送信されたユーザー・グループをフィルタリングできることが必要。
31776266 トークンがすべてのスコープのカスタム属性にアクセスできる
32167212 12CでのOAMキーストア・パスワードのリセット
31558236 ロード・バランサでのSSL終了に対してセキュア・フラグが設定されない
32051924 BP08後にも旧クライアントに依然としてプレーン・テキスト・シークレットがある
31900502 OAM12C - ワンタイム・パスワードを含めてパスワードを忘れると、SERVERREQUESTCACHETYPEフォームが機能しない
31861713 OAM 12.2.1.4がアウトバウンド・アーティファクトSAMLリクエスト中にクライアント証明書を送信しない
31750371 スタンドアロン環境で無効なOTP MAXATTEMPTSに達した後のシステム・エラー
29971944 OIF 11GR1の承認ページ機能がOAM 12Cフェデレーションで見つかりません
32136382 "-DORACLE.OAM.ENABLEEXTRASAMLATTR=TRUE"を追加した後のNULLPOINTEREXCEPTION
31830597 OAUTH: アクセス・トークンおよびリフレッシュ・トークンの有効期限が正しく設定されない
31822228 匿名セッションが存在するとMFAが失敗する
30922965 ユーザーを作成および永続化できない。原因: 無効なUUID文字列: ANONYMOUS-S

1.14.6 OAMバンドル・パッチ12.2.1.4.201201で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-6 OAMバンドル・パッチ12.2.1.4.201201で解決された問題

基本バグ番号 問題の説明
31266182 JWTベアラー権限のあるアクセス・トークン・リクエストが、DB一意制約違反で失敗します

ノート:

MDCが有効になっているOAuthフローでは、OAM構成でパラメータSessionMustBeAnchoredToDataCenterServicingUserfalseに設定する必要があります。
30674083 OAuth 3-legged認可コードを2回以上使用できます
28946202 OAM監査で認証試行の失敗に対してIAU_INITIATORが取得されません
31766587 OAM 12c-Open ID Connect - nonceクレームがトークン内にありません
31832371 OAUTH_TOKENレスポンスを残すことを要求するオプションが、エラー29541818により設定されません
31778001 バグ31778001の修正
30503494 認証の失敗後、ユーザーが失敗URLにリダイレクトされません
31469921 12cで、複数値属性がフェデレーションから値を返しません
31734489 ユーザーが最大許容セッション数を超えた場合のエラー・メッセージ
31098504 匿名ユーザー・アカウント名を構成する機能
匿名ユーザー・セッションでユーザー名を構成するには、AnonymousModulesの下のoam-config.xmlファイルのanonymousUserNameを変更します。次に例を示します。

<Setting Name="AuthenticationModules" Type="htf:map">
 <Setting Name="AnonymousModules" Type="htf:map">
  <Setting Name="89AS152C" Type="htf:map">
   <Setting Name="validateUser" Type="xsd:boolean">false</Setting>
   <Setting Name="anonymousUserName" Type="xsd:string">GuestUser</Setting>
   <Setting Name="name" Type="xsd:string">AnonymousModule</Setting>
  </Setting>
 </Setting>
</Setting>

oam-config.xmlファイルの編集の詳細は、『Oracle Access Management管理者ガイド』OAM構成の更新に関する項を参照してください。

ノート:

変更は、管理対象サーバーの再起動後に反映されます。
31641787 OUD属性RESETPWD:TRUEがUSERAUTHENTICATIONPLUGINの認証失敗の原因になります

ノート:

Oracle Unified Directoryパスワード・ポリシー属性RESETPWD=trueの認証を許可するには、構成済のユーザー・アイデンティティ・ストアの下のoam-config.xmlファイルに次の属性を追加します:
<Setting Name="checkPwdPolicyWarning" Type="xsd:boolean">false</Setting>
31650595 内部ステージ・プライマリを起動できません
31428183 Webゲート・テンプレートを使用してN+2索引を持つプライマリ/セカンダリ・サーバーを追加すると、Webゲート・プロファイルが破損します。
31039212 グローバル・ログアウトによりセッションがクリアされません
31857424 バグ31857424の修正
31744937 REST API:OTP:CREATEOTP & VALIDATEOTPフローを修正する必要があります
29154366 OAUTH2を使用したOAM-OSB統合が機能しません
31638527 パスワード管理が無効な状態でのNULLポインタ例外
28562000 アクセスを拒否する認証前ルールに操作エラーが表示される
31728627 SecurityConfig/TrustedInputsの初期化における同時実行性問題。
31595758 OAM 12cでのSAMLレスポンス後に一部のSAML属性が間違ったaValueにマップされます
31741829 SAMLログイン・フローのORACLE.SECURITY.FED.SECURITY.UTIL.CERTRETRIEVALUTILS.GETSIGNINGCERTにおけるスレッドのスタック
31763785 12c P4 - SSOリンク・フローを使用して生成されたアクセス・トークン内のクレームの一部としてSESSION_IDが存在しません
31526660 SAML複数値レスポンス変数のヘッダーが見つかりません
31662739 セッション・リンク・トークンはFED属性として使用できません
31494411 無効なOTP試行が複数回行われても、ユーザーがロックされず、不正なOTP試行も停止されません

詳細は、Doc ID 2743304.1 (https://support.oracle.com)を参照してください。

30991309 12c PS4でDCCトンネリングの非請求投稿が壊れています
24485240 FEDセッションが存在する場合、ADDATTRIBUTESTOFEDATTRIBUTESが失敗します

1.14.7 OAMバンドル・パッチ12.2.1.4.200909で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-7 OAMバンドル・パッチ12.2.1.4.200909で解決された問題

基本バグ番号 問題の説明
31666896 OAM認証REST API
31516886 OAMCONSOLEがWEBGATEによって保護されている場合、ユーザーはアプリケーション・ドメインを表示できません
31753451 WLSTコマンドSETSPPARTNERATTRIBUTEVALUEFILTERの実行時にエラーが発生します
28296759 FORCE PASSWORD RESET NOT WORKING WITH BASIC METHOD AND FORM CACHETYPE
25853168 R12へのアップグレード後、フェデレーションの一部のCURLコマンドが機能しません
29058490 OAM OIM統合 - ユーザーのロック解除後、ログインがループします
27566767 ENH 27566767 - 下位互換性: OAMをIDPとして使用すると、OIF 11Gと同様にOAM 12Cで属性マッピングおよびフィルタが提供されます
31111719 12CPS4:BP02: OAMコンソールUIでエラーが発生します
31427426 プライマリ/セカンダリ・サーバー・パラメータの更新中に無効なパラメータが表示されます。
30589288 OIDCソーシャル・ログインがブロックURLセキュリティ構成のために失敗します
30804658 WIN2012R2: 管理サーバーのブートストラップでSQL違反を処理する必要があります
31196076 IPFPSWD.JSPがシステム・エラーをスローします
26565827 AWSロール・マッピング属性のサポート
31186283 OAUTHトークンの作成時にエスケープ文字が追加されます
31555915 パスワードの特殊文字が12.2.1.4へのアップグレード後に認証されません
28040138 認可ポリシーSUCCESSURLの構成時、ORACLE ACCESS MANAGER操作エラーが発生します
31501282 12.2.1.3.191201 (BP07)の適用後、パスワード変更の強制時にOAMシステム・エラーが発生します
23096690 PUMA - APSによるWEBGATEの同期追加/更新でパフォーマンスの問題が表示される
31038100 拡張ルール解析で、属性評価に対して予期しない結果が返されます

ノート:

拡張ルールで使用されるユーザー属性を属性値がオプションのSYSTEMプロパティとして追加する必要があります。
  1. $OAM_DOMAIN/bin/setDomainEnv.shを開きます。
  2. 次に示すように、EXTRA_JAVA_PROPERTIESを追加します:
    EXTRA_JAVA_PROPERTIES="-Doam.rule.userAttr=<userAttr1>::<attrValue>, <userAttr2>::<attrValue> 
${EXTRA_JAVA_PROPERTIES}"
    export EXTRA_JAVA_PROPERTIES
次に例を示します。
EXTRA_JAVA_PROPERTIES="-Doam.rule.userAttr=description::NULL_VALUE
     ${EXTRA_JAVA_PROPERTIES}"
export EXTRA_JAVA_PROPERTIES
31289851 OAUTH/OIDC承認はセッションが見つからない場合に機能します
31337500 OAM MTスタック・スレッドおよび高CPU - UIDMX0113
30235925 OAMセッションは40文字列タイプ・プロパティのみをサポートしています
31068961 ORA-01461: LONG列に挿入する場合にのみLONG値をバインドできます
28855754 12.2.1.3 OUDパスワード・ポリシー属性RESETPWDがTRUEに設定されているため、認証が失敗する
29120924 AMRUNTIMEEXCEPTION: DUOプラグインを統合する際の転送の設定が無効
27963081 LDAPレスポンス読取りがタイムアウト - IDSTOREの作成時(「検索ベース」が「巨大」の場合)

1.14.8 OAMバンドル・パッチ12.2.1.4.200629で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-8 OAMバンドル・パッチ12.2.1.4.200629で解決された問題

基本バグ番号 問題の説明
31065568 中間修正: OAM11Gおよび12CによるすべてのCOOKIEの発行にSAMESITE=NONEが含まれていることを確認する必要があります
31465732 OAMS.OAM_RESOURCE_URL警告メッセージは修正30053037で依然としてOAMログに表示されます
30053037 OAMログのOAMS.OAM_RESOURCE_URL警告メッセージ
31510690 PASSWORDRESETREQUESTS RESTエンド・ポイントが内部サーバー・エラーをスローします。
31508059 セッション制御パラメータが無効です
30622957 X509 RFC (セキュリティ): EXTENDEDKEYUSAGEを使用したOAM認証
31366419 ポストを操作するエンドポイントの検証を更新します
31413189 MDCの変更セッション制御APIが、MDCが有効化されていないエラーにより失敗します
31419785 OAMCUSTOMPAGES.WARをデプロイできません。
30953737 OAMバンドル・パッチを適用した後のWLS管理サーバー・ログ・ファイルに、次の警告が表示されるようになりました - ソフトロックは有効になっていますが、本番環境では推奨されない設定です

ノート:

ソフトロックを有効化/無効化するためのスクリプトの実行方法を理解するには、次のディレクトリにあるreadme.txtを参照してください: $MW_HOME/idm/oam/server/wlst/scripts/utilities/
31110638 OAM 12.2.1.4 APR20 BP - IMPORTPOLICY WLST関数がポリシーのインポートに非常に長い時間を要します
29883498 OAM/MDCの問題: 単純モード・アーティファクトが無効です
30669352 認可の失敗に対して認可レスポンスが返されませんでした
30748479 クライアントIPがRESTコールのAUDIT.LOGで取得されません
30406633 SAMLレスポンス・ヘッダーの属性をフェッチ中にNOT_FOUNDを受け取ります
30762860 バグ30762860の修正
31000954 12CPS4: フェデレーションは、ローカルのメモリー内ストアを使用します
30120631 SMS OTPページ・リフレッシュ
30911495 2番目の要素の認証のオプションが1つのみの場合、2要素認証の入力テキストボックスにフォーカスが移りません
30628496 CREATEWEBGATETEMPLATE構文を使用してプライマリ/セカンダリ・サーバーのデータを変更できません
30831364 エンドポイントがBLOCKURLSリストにない場合でも、WNA CREDに対するHTTP 405でエンドポイントが収集されます
30771422 マップ・パラメータの詳細ルール解析が失敗します(USER.USERMAP、REQUEST.REQUESTMAP)

ノート:

https://support.oracle.comにあるノートOracle Access Manager (OAM) "Invalid rule condition" Error On Advanced Rules (Doc ID 2664614.1)も参照してください。
30882267 OAMカスタム・ページのLOGIN.JSPがOAM 12.2.1.4で機能しません
28108712 MDCセッション制御REST APIの変更が失敗します
29715441 OAM: USERINFO RESTコールが、LDAPプロバイダOUDの電話番号の正しい値を返さない
30832165 フェデレーション: FEDSTS-10202: クラスタからMDCデータを取得できませんでした
30793308 OAM IDP: フェデレーション・ログアウト中に断続的にシステム・エラーが検出されます
30355996 OAMセッションAPIは、CESTタイムゾーンでHTTP 500エラーを返します

1.14.9 OAMバンドル・パッチ12.2.1.4.200327 で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-9 OAMバンドル・パッチ12.2.1.4.200327で解決された問題

基本バグ番号 問題の説明
30805180 OAMスナップショット・ツール
30805164 OAuth承認ライフサイクル管理およびMDCサポート
30805154 OAuth Just-In-Time/JITプロビジョニング
30820170 グループの多数のユーザー・メンバーによる認可エラー
30792754 MDC環境のカスタム属性がアクセス・トークンに含まれていない
21391069 カスタム・プラグインからの認証失敗監査ログを記録する必要がある
29717855 DBに古いFEDセッションが存在する場合、SAMLログアウトが機能しない
29240849 カスタム・プラグインからの監査ログの追加認証失敗を記録する必要がある
30634571 12c OAuth監査レコードによってOAUTHTOKENVALIDATEイベントに対してNULL値が返される
30571576 K8S: OAM_ADMINおよびOAM_SERVERアプリケーションのデプロイメントがK8Sクラスタで失敗する
29783271 OUD詳細の更新によってOAM-CONFIG.XMLから追加された構成属性エントリが削除される
29885236 有効化されたMULTIVALUEGROUPS SPによってFED SP属性プロファイルで$USER.GROUPSが2回使用される
30134427 バグ30134427のフィックス
30169956 OAuthパスワードの権限付与タイプによって認証にプラグイン以外のLDAPモジュールのみが使用される
30213267 ADFカスタム・ログイン・ページのDCC WebGateトンネリングが機能しない

このフィックスにより、チャンク転送エンコーディングを使用したカスタム・ページのトンネリングが可能になります。また、Webgateのユーザー定義パラメータtunnelingDCCReadTimeoutを使用して、管理対象サーバーからカスタム・ページをフェッチする場合に使用される接続で読取りタイムアウトを指定する方法も提供されます。

tunnelingDCCReadTimeoutを秒単位で指定します(例: tunnelingDCCReadTimeout=30)。

ノート:

tunnelingDCCReadTimeoutを指定する場合、それに応じてaaaTimeoutThresholdも増やす必要があります。
30460435 ENABLEWHITELISTVALIDATIONDCCTUNNELING構成を使用してDCCトンネリング・ホワイトリストを無効化できない
30426370 OAM 12.2.1.4:DOWNLOADACCESSARTIFACTS: SEVERE:アーティファクトの処理リクエストの失敗
30468914 OAMでHolder-of-Keyプロファイルがサポートされない。
30069618 OAMAGENT-02077: 認証トークンがNULLまたは無効

1.14.10 OAMバンドル・パッチ12.2.1.4.191223 で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-10 OAMバンドル・パッチ12.2.1.4.191223で解決された問題

基本バグ番号 問題の説明
26679791 バグ25898731のフィックスがOAM 11.1.2.3.171017BP 26540179で失敗する
30389257 2要素認証の入力テキストボックスにフォーカスが移らない
30311080 OIGOAMINTEGRATION.SH -CONFIGURESSOINTEGRATIONによって新規12CPS4環境でアンマーシャル例外がスローされる
30156706 DBストアからOAM-CONFIG.XMLを作成できないためにOAM管理サーバーの起動に失敗する
29771448 OAuthアクセス・トークンの生成に使用されるパスワード内の%文字がASCIIに変換される
30144617 パッチ29918603の適用後にエラーコードの返却動作の変更に関する問題が発生する
29482858 OBSSOCOOKIEの作成中にOAM 11g ASDKによって断続的にエラーがスローされる
29541818 OAM 12cでOAuthおよびJSONの追加ユース・ケースを指定する際のER
29837657 IDストア作成を検証するためのOAMによるサブツリー検索の実行
29290091 管理起動ログでの間違った選択
30156607 DIAG: AMKEYSTORE検証フローに別のログを追加して管理サーバーの起動を失敗させる構成を識別する
30243111 DIAG: 構成の欠落/破損の問題を識別するにはデフォルト・キーストア・ブートストラップのログが必要
30180492 Oracle Access ManagerでのOCIフェデレーションが想定どおりに機能しない
30363797 OAM11GR2PS3: WNA_DCCモジュールがセキュリティ・バグ・フィックス: 25963019で失敗する
29649734 12.2.1.3.180904 (BP04)のアクセス・サーバーがJSONキーを返し、P7Bのようなドキュメントを返さない
30062772 フェデレーションBP18によってログアウトEND_URLがFED LOGOUで小文字に変換される
30176378 WLSTコマンドDISABLESKIPAUTHNRULEEVAL()の実行後にOAMサーバー・ログにエラーが記録される
30267123 1つのタブからログインした後に複数のタブからログインできない。

1.15 既知の問題と回避策

既知の問題と回避策は、https://support.oracle.comのMy Oracle Supportドキュメント2602696.1を参照してください