Oracle Fusion Middleware Oracle Access Managementバンドル・パッチReadme OAMバンドル・パッチ12.2.1.4.241009 Generic for all Server Platforms

このドキュメントでは、OAMバンドル・パッチ12.2.1.4.241009について説明します。

このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)のベース・インストールを必要とします。このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)に付属するドキュメントに優先します。内容は次のとおりです。

OAMバンドル・パッチ12.2.1.4.241009の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.240701の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.240328の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.240109の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.231005の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.230628の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.220906の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.220404の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.220113の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.210920の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.210408の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.201201の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.200909の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.200629の新機能と拡張機能
OAMバンドル・パッチ12.2.1.4.200327の新機能と拡張機能
バンドル・パッチについて
推奨事項
バンドル・パッチの要件
バンドル・パッチの適用
バンドル・パッチの削除
解決された問題
既知の問題と回避策

1.1 OAMバンドル・パッチ12.2.1.4.241009の新機能と拡張機能

Oracle Access Management 12.2.1.4.241009 BPには、次の新機能と拡張機能があります:

GCM APIキーの設定

Googleは、従来のFCM APIを廃止し、HTTP v1 APIに移行しています。すべての新しい構成でHTTP v1 APIを使用することをお薦めします。HTTP v1 APIに移行するステップは、「Androidプッシュ通知用のサービス・アカウントJSONへの移行」を参照してください。
SAML証明書、キーまたはメタデータのローテーションの自動化

RESTエンドポイントを介して新しいパートナ証明書およびメタデータの取得をスケジュールし、更新された資格証明をすべての依存システムおよびアプリケーションに停止時間なしでシームレスにローテーションできます。詳細は、「SAML証明書、キーまたはメタデータのローテーションの自動化」を参照してください。
Visual Builder (VB)でFusionページをロードする機能

Chromeブラウザでは、サード・パーティのCookieが非推奨になった後、一部のOAM CookieによってVisual Builder (VB)へのFusionページのロードがブロックされていました。このリリースでは、OAM/Webgate Cookieに対するCookies Having Independent Partitioned State (CHIPS)サポートが追加され、この問題が解決されます。詳細は、「サード・パーティのCookieが非推奨になった後、OAM CookieによってVisual BuilderでのFusionページのロードがブロックされる」を参照してください。
認可コードを介してIDトークンを取得する機能

認可コードでリフレッシュ・トークンを使用すると、アクセス・トークンとIDトークンの両方を取得できます。詳細は、「リフレッシュ・トークン・リクエストを介したIDtokenの取得」を参照してください。
Oracle Access Manager (OAM) OAuthセキュリティのベスト・プラクティス

考えられる脅威を強調するOAM OAuthセキュリティのベスト・プラクティス、攻撃者の機能の詳細、およびそれらのリスクを軽減するための戦略を追加しました。詳細は、「Oracle Access Manager (OAM) OAuthセキュリティのベスト・プラクティス」を参照してください。
OAAエラー処理プラグイン

「ユーザー・プリファレンス」ページでMFAをサポートする新しいプラグインを追加しました。詳細は、「OAAエラー処理プラグイン」を参照してください。
パートナ署名および暗号化キーを追加する機能

新しいIdP/SPの作成ページで、新しい「キー構成」セクションがOAMコンソールに追加され、パートナ署名および暗号化キーを選択できます。詳細は、「Oracle Access Managerを使用したOracle Private Cloud Applianceへのサインオン」を参照してください。
リフレッシュ・トークンの再利用検出を構成する機能

リフレッシュ・トークンの再利用を検出するための新しいプロパティを追加しました。詳細は、「リフレッシュ・トークンの再利用検出の構成」を参照してください。

1.2 OAMバンドル・パッチ12.2.1.4.240701の新機能と拡張機能

Oracle Access Management 12.2.1.4.240701 BPには、次の新機能と拡張機能があります:

メッセージング・サーバーとの接続

Android用のプッシュ通知を構成した場合は、Androidプッシュ通知用のサービス・アカウントjsonへの移行に関する項に記載されているステップに従って、HTTP v1 APIに移行する必要があります。
OAM 12c OAuthが拡張され、OAuthトークンに署名するための暗号化アルゴリズムとして、RS256 (デフォルト)に加えてRS512がサポートされるようになりました
- すべてのOAuthアイデンティティ・ドメイン(デフォルト - RS256)で有効になっている場合に、RS512暗号化アルゴリズムが強制されるOAuthシステム・プロパティ(-DoauthRS512Enabled=true)が導入されました。システム・プロパティをsetDomainEnv.shに追加すると、この機能が有効になります。
- 特定のOAuthアイデンティティ・ドメイン(デフォルト - RS256)で有効になっている場合に、RS512暗号化アルゴリズムが強制されるOAuthカスタム属性(oauthRS512Enabled=true)が導入されました。
ノート:
両方とも設定されている場合、システム・プロパティでは、RS512暗号化アルゴリズムを強制する際に、OAuthアイデンティティ・ドメイン・カスタム属性がオーバーライドされます。

1.3 OAMバンドル・パッチ12.2.1.4.240328の新機能と拡張機能

Oracle Access Management 12.2.1.4.240328 BPには、次の新機能と拡張機能があります:

ユーザー・パスワード変更の検証

oam-config.xmlでuserPasswordChangeCheckEnabled=trueプロパティを設定すると、ユーザー・バスワードの更新前に生成されたトークンが検証されます。ユーザーがアクセス・トークンの取得後にパスワードを更新または変更した場合、パスワードの更新前に生成されたそれらのアクセス・トークンは無効になります。ユーザーは、パスワードの更新後にアクセス・トークンを再生成する必要があります。詳細は、ユーザー・パスワード変更の検証の有効化に関する項を参照してください。

ノート:
ユーザー・パスワード変更の検証機能を有効にするには、/DeployedComponent/Server/NGAMServer/Profile/ssoengine/OAuthConfigエンドポイントに対してGET操作を実行し、同じエンドポイントに対してPUT操作を実行します。これにより、すでに適用されている構成が引き続き有効になります。
発行者検出識別子およびIssトークン・クレームをカスタマイズする機能

この拡張機能の実装により、発行者に対してポートをマスクまたは省略することや、OpenID構成のパス・コンポーネントをカスタマイズすることが可能になります。詳細は、カスタム発行者のサポートに関する項を参照してください。

ノート:
カスタム発行者のサポート機能を有効にするには、/DeployedComponent/Server/NGAMServer/Profile/ssoengine/OAuthConfigエンドポイントに対してGET操作を実行し、同じエンドポイントに対してPUT操作を実行します。これにより、すでに適用されている構成が引き続き有効になります。
デフォルトの承認確認有効期限を変更する機能

新しいカスタム属性consentAcknowledgeExpiryTimeInSecondsによって、承認を確認するためのデフォルトの有効期限を変更できます。詳細は、デフォルトの承認確認有効期限の変更に関する項を参照してください。
ID_TOKENの有効期限を設定する機能

ACCESS_TOKEN設定の有効性/有効期限を使用するかわりに、ID_TOKENのトークン有効性/有効期限を設定できます。詳細は、アイデンティティ・ドメインの作成に関する項を参照してください。
クライアント・シークレットの失効およびローテーション

カスタム属性oldSecretRetentionTimeInDaysを使用して、古いクライアント・シークレットが機能し続ける時間を構成できます。このカスタム属性は、ドメイン・レベルとクライアント・レベルの両方で定義できます。ただし、クライアント・レベルで定義された値が優先されます。詳細は、アイデンティティ・ドメインの作成に関する項を参照してください。
APIキーを表示するための新しいフィールドの追加

このリリースでは、新しいフィールドの「APIキー」がパートナの詳細画面に追加されています。このフィールドにより、管理者は、セキュアな更新のために関連パートナとキーの詳細を共有できます。詳細は、署名および暗号化キーの構成に関する項を参照してください。
OAMがサービス・プロバイダ(SP)として機能している場合の認証コンテキストをチェックする機能

OAMは、SPとして機能している場合、外部SAMLアイデンティティ・プロバイダ(IdP)の認証コンテキストを識別し、authnassurancelevelプロパティに基づいてSAML認証を続行します。詳細は、OAMがSPとして機能している場合の認証コンテキストのチェックに関する項を参照してください。
OAMログ・メッセージのSAMLレスポンス属性をマスクする機能

このリリースでは、Oracle Access ManagementはOAMログ・メッセージのSAMLレスポンス属性をマスクします。詳細は、ログ・レコードのSAML属性のマスクに関する項を参照してください。

1.4 OAMバンドル・パッチ12.2.1.4.240109の新機能と拡張機能

Oracle Access Management 12.2.1.4.240109 BPには、次の新機能と拡張機能があります:

OAAアプリケーションからOAMログイン・ページへのエラー・コードの伝播
この拡張機能は、エラー・コードをOracle Advanced Authentication (OAA)アプリケーションからOAMログイン・ページに伝播します。ログイン・ページをカスタマイズして、OAAから伝播されたエラー・メッセージを表示できます。
次のエラー・コードがサポートされています:
- エラー・コード: OAA-00001
  
  理由: ユーザー登録が不完全でした。
  
  原因: ファクタが登録されていません。
- エラー・コード: OAA-00002
  
  理由: ユーザーに使用可能なファクタがありませんでした。
  
  原因: 許可された認証試行の限界に達しました。一致するファクタは無効化されます。一致するポリシーに使用可能な必須ファクタがありません。
- エラー・コード: OAA-00003
  
  理由: ユーザー認証に失敗しました。
  
  原因: ユーザーは有効な認証データを送信しませんでした。
- エラー・コード: OAA-00004
  
  理由: システムは一時的に使用できません。
  
  原因: ログイン中にサービスで予期しない障害が発生しました。たとえば、チャレンジの送信失敗(プッシュ、電子メール、SMS)、データベースの停止などです。
OAMセッション管理エンドポイントの拡張
TAPトークンを使用してOAMエンドポイントを認可するメカニズムが導入されました。
プログラム的な認証RESTインタフェースのNULLチェックが追加されました
この拡張機能の一部として、次の修正が行われます:
- 認証方法として「認証なし」が選択されたときに発生するNULLポインタ例外が解決されました。
- セッション検証APIでは、ランダムな文字列がOAM_RMトークンとして指定されると、NULLポインタにより例外がスローされます。

パブリック・クライアントでリフレッシュ・トークンを取得するためのPublicClientRefreshTokenEnabledクライアント・カスタム属性が追加されました

デフォルトでは、パブリック・クライアントでリフレッシュ・トークンを取得することはできません。PublicClientRefreshTokenEnabledクライアント・カスタム属性では、この動作を変更できます。この機能を有効にするには、属性値をtrueに設定します。たとえば、次のコマンドでoauthパブリック・クライアントを作成します:

curl -X POST http://<AdminServerHost:Port>/oam/services/rest/ssa/api/v1/oauthpolicyadmin/client -H 'Authorization:Basic d2VibG9naWM6d2VsY29tZTE=' -H 'Content-Type: application/json' -d '{"id":"PublicClientId","name":"PublicClient","scopes":["ResServer1.scope1"],"clientType":"PUBLIC_CLIENT","secret":"welcome1","idDomain":"TestDomain1","description":"Client Description","grantTypes":["PASSWORD","CLIENT_CREDENTIALS","JWT_BEARER","REFRESH_TOKEN","AUTHORIZATION_CODE"],"defaultScope":"ResourceServerOud1.scope1","redirectURIs":[{"url":http://localhost:8080/Sample.jsp,"isHttps":true}], "attributes":[{"attrName":"PublicClientRefreshTokenEnabled","attrValue":"true","attrType":"static"}]}'

新しいアクセス・トークンとともにリフレッシュ・トークンを返すためのGrantTypeRefreshTokenEnabledクライアント・カスタム属性が追加されました
デフォルトでは、権限付与タイプがrefresh_tokenの場合、新しいアクセス・トークンのみが返されます。GrantTypeRefreshTokenEnabledクライアント・カスタム属性では、リフレッシュ・トークンも返すことができます。この機能を有効にするには、属性値をtrueに設定します。たとえば、次のコマンドでoauth機密クライアントを作成します:
```
curl -X POST http://<AdminServerHost:Port>/oam/services/rest/ssa/api/v1/oauthpolicyadmin/client -H 'Authorization:Basic d2VibG9naWM6d2VsY29tZTE=' -H 'Content-Type: application/json' -d '{"id":"TestClientId","name":"TestClient","scopes":["ResServer1.scope1"],"clientType":"CONFIDENTIAL_CLIENT","secret":"welcome1","idDomain":"TestDomain1","description":"Client Description","grantTypes":["PASSWORD","CLIENT_CREDENTIALS","JWT_BEARER","REFRESH_TOKEN","AUTHORIZATION_CODE"],"defaultScope":"ResServer1.scope1","redirectURIs":[{"url":http://localhost:8080/Sample.jsp,"isHttps":true}], "attributes":[{"attrName":"GrantTypeRefreshTokenEnabled","attrValue":"true","attrType":"static"}]}'
```
ノート:
refresh_token権限付与タイプの呼出し中に古いrefresh_tokenを取り消すには、システム・プロパティ-Doauth.auto.revoke.enabled=trueを設定します。このシステム・プロパティのデフォルト値はfalseです
認可コード付与フローでのResponse_modeのサポート
この機能拡張により、3-legged OAM OAuth 2.0ワークフローAPI (/oauth2/rest/authorize)は、問合せパラメータとしてresponse_modeを指定することで、フラグメント、問合せ、form_postなどの様々なモードで応答できます。
適切なレスポンス・モードを返すための3-legged OAuth 2.0ワークフローのサポート
この機能拡張により、同意の有効期限が設定されている場合、3-legged OAM OAuth 2.0ワークフローAPI (/oauth2/rest/authorize)は、適切なレスポンス・モードresponse_mode=form_postを返します。
第2ファクタ認証時のPIN生成の制限のサポート
アダプティブ認証プラグインに新しいプロパティMaxSendAttemptsおよびMaxSendAttemptsLockoutEnabledが追加され、第2ファクタ認証時のPIN生成が制限されます。詳細は、第2ファクタ認証時のPIN生成の制限に関する項を参照してください。

1.5 OAMバンドル・パッチ12.2.1.4.231005の新機能と拡張機能

Oracle Access Management 12.2.1.4.231005 BPには、次の新機能と拡張機能があります:

認可付与詳細をフェッチする新しいパラメータ
認可付与をredirect_uriにフェッチする新しいパラメータresponse_modeが追加されました。詳細は、表39-7「response_modeのパラメータ値」を参照してください。
複数のブラウザ・タブでの認証のサポート
OAMでは、serverRequestCacheTypeパラメータがCOOKIEに設定されている場合、複数タブ機能がサポートされます。詳細は、複数のブラウザ・タブでの認証のサポートに関する項を参照してください。
ドメインを問合せパラメータとしてサポートするOAM OAuth2ランタイム・エンドポイント
ヘッダー・パラメータX-OAUTH-IDENTITY-DOMAIN-NAMEのかわりに、新しい問合せパラメータidentityDomainがoauth2ランタイム・エンドポイントに追加されました。identityDomainを指定する場合、ヘッダー・パラメータX-OAUTH-IDENTITY-DOMAIN-NAMEは必要ありません。両方のパラメータが使用されている場合、X-OAUTH-IDENTITY-DOMAIN-NAMEはidentityDomainより優先されます。詳細は、次を参照してください:
OAM OAuth2トークン検証URLでは、ヘッダーと問合せパラメータの両方としてaccess_tokenを渡すことができます
access_tokenは、トークン検証URLのヘッダー・パラメータまたは問合せパラメータとして渡すことができます。ヘッダーとして、および問合せパラメータとしてaccess_tokenを開始するための新しい構文が、OAuthのREST APIに含まれています。詳細は、アクセス・トークン・フローの検証に関する項を参照してください。

1.6 OAMバンドル・パッチ12.2.1.4.230628の新機能と拡張機能

Oracle Access Management 12.2.1.4.230628 BPには、次の新機能と拡張機能があります:

シークレット・キーの管理のサポート
OAMでは、シークレット・キー・ライフサイクル機能を有効にすることで、BEARER認可ヘッダーとアクセス・トークンを使用したシークレット・キーの管理をサポートしています。

詳細は、「シークレット・キーの管理」を参照してください。
OAMでのアクセス・トークン交換サポート
このリリースでは、トークン交換のサポートが提供されています。

詳細は、「OAMでのトークン交換サポート」を参照してください。
トークンをセッション・レスポンスとして設定するOpenIdConnectPluginプラグイン
OIDCトークンの値は、次の式を使用したポリシー認可レスポンス(ヘッダーまたはCookie)を使用して取得できます:
- アクセス・トークンの場合: $session.attr.oidc.token.access
- リフレッシュ・トークンの場合: $session.attr.oidc.token.refresh
- IDトークンの場合: $session.attr.oidc.token.ID
カスタム・プラグインでは、次の認証コンテキスト・パラメータを使用してアクセス・トークン情報を取得できます:
- token_response: トークン・エンドポイントからの完全なレスポンス
- access_token: アクセス・トークンの値
- refresh_token: リフレッシュ・トークンの値
- idtoken: IDトークンの値
リクエストURLによるキャッシュの制御を許可する機能
Webゲート固有のリソースに対する認可ポリシー結果がキャッシュされないように、例外リストを導入します。例外リストの管理には、次のWLSTコマンドを使用できます:
```
configureWGAuthzCachingExceptionListUrls(noCacheURL, action)
```
例: configureWGAuthzCachingExceptionListUrls("exceptionUrl", "add/remove")
- このWLSTコマンドを使用して、OAMサーバー上のWebゲート認可キャッシュ例外リストにURLを追加することや、リストからURLを削除することができます。
- 'action'は'add'または'remove'として指定できます。これにより、ExceptionListに応じた処理が行われます
```
configureWGAuthzCachingExceptionList(enabled, matchCriteria = "exactMatch", withQuery = "false")
```
例: configureWGAuthzCachingExceptionList("true/false", matchCriteria = "exactMatch/startsWith", withQuery = "true/false")
- このWLSTコマンドを使用して、OAMサーバー上のWebゲート認可キャッシュ例外リストを有効または無効にできます。
- 'matchCriteria'は'exactMatch'または'startsWith'として指定できます。デフォルトは'exactMatch'です
- 'withQuery'は'true'または'false'として指定できます。'false'はWebゲート認可リクエストのURLからのデフォルトの意味の問合せ文字列です。

1.7 OAMバンドル・パッチ12.2.1.4.220906の新機能と拡張機能

Oracle Access Management 12.2.1.4.220906 BPには、次の新機能と拡張機能があります:

フェデレーション・パートナで、RSASSA-PSS署名アルゴリズムを使用した証明書がサポートされます
OAM 12.2.1.4.220906 BPには、署名アルゴリズムSHA256-RSA-MGF1のサポートが含まれています。

ノート:
この更新は、OWSMパッチ34839859に依存します。

詳細は、RSA OAEPキー・トランスポート・ダイジェストおよびMGFダイジェストの構成に関する項を参照してください。
OAuthクライアントのGET REST APIが、クライアント・シークレットを取得するように拡張されています
管理者が、管理者ポータルに登録されたクライアントのクライアント・シークレットを表示する必要があるケースへの備えです。この機能は、新しい動作を有効にするためのパッチを適用した後に有効にする必要があります。それにより、この機能を有効にした後に登録されたクライアントのシークレットをAPIで取得できます。この機能を有効にする前に登録された既存のクライアントでは、ハッシュされたシークレットを返す、これまでの動作に変わりはありません。

詳細は、OAuthクライアント・シークレット取得の管理に関する項を参照してください。

1.8 OAMバンドル・パッチ12.2.1.4.220404の新機能と拡張機能

Oracle Access Management 12.2.1.4.220404 BPには、次の新機能と拡張機能があります:

OAM_ID Cookieを、ホスト・スコープ指定のかわりにドメイン・スコープ指定にします

OAM_ID CookieのCookieドメインを追加するためのサポートが追加されました。これは、構成パラメータSSOCookieDomainEnabledをtrueに設定することで有効にできます。CookieのCookieドメインは、構成プロパティSSOCookieDomainを使用して設定する必要があります。これらの更新は、インポート・ユーティリティを使用してoam-config.xmlファイルで行う必要があります。インポート後にサーバーの再起動が必要です。

詳細は、表1-11のバグ33291908を参照してください。

1.9 OAMバンドル・パッチ12.2.1.4.220113の新機能と拡張機能

Oracle Access Management 12.2.1.4.220113 BPには、次の新機能と拡張機能があります:

OAuthカスタム・クレーム・プラグインのサポート

詳細は、ノートOracle Access Manager (OAM) Federation Protocol OAUth - Elaborated Steps For <Patch:28228295> (Doc ID 2817030.1) (https://support.oracle.com)を参照してください

1.10 OAMバンドル・パッチ12.2.1.4.210920の新機能と拡張機能

Oracle Access Management 12.2.1.4.210920 BPには、次の新機能と拡張機能があります:

OAM SAML 2.0でサポートされている暗号化アルゴリズム

OAMでは、AES-GCM暗号化モードがサポートされています。

詳細は、「OAM SAML 2.0でサポートされている暗号化アルゴリズム」およびデフォルトの暗号化アルゴリズムの変更に関する項を参照してください
OAP over REST通信用の双方向SSL。

WebGateとOAMサーバーの間でOAP over RESTの相互認証を有効にできるため、サーバーは認証クライアントと通信できます。

詳細は、OAP over RESTの双方向SSLの有効化に関する項を参照してください
OAMでのTOTPベースのマルチファクタ認証

configureMFAコマンドにconfig-utility.jarを指定してMFAを構成できます

詳細は、OAMでのTOTPベースのマルチファクタ認証の構成に関する項を参照してください
サード・パーティ証明書を使用したトークン署名

アクセス・トークンは、生成された即時利用可能な自己署名キー・ペアを使用して署名できます。このリリースでは、OAMはサポートを拡張し、サード・パーティのキー・ペアを使用してアクセス・トークンの署名を可能にします。

詳細は、「サード・パーティ証明書を使用したトークン署名」を参照してください
OAMでの相互TLS (mTLS)クライアント認証

TLS認証では、サーバーは、証明書(公開キー)を生成することでそのアイデンティティを確認してから、TLS検証プロセスによって検証されます。mTLS (相互TLS)では、サーバーとともにクライアントのアイデンティティも検証されます。TLSハンドシェイクは、クライアントの証明書内の公開キーに対応する秘密キーの所有を検証し、対応する証明書チェーンを検証するために使用されます。

詳細は、クライアント認証の構成に関する項およびmTLSクライアント認証の構成に関する項を参照してください
カスタム・クレーム

OAMは、クライアント・レベルまたはドメイン・レベルで構成できるテンプレートを使用して、カスタム・クレームを定義する機能を拡張します。カスタム・クレームは、すべてのアクセス・トークン、IDトークンおよびユーザー情報出力に含めることができます。値変換やカスタム・クレームの値フィルタリングを実行することが可能です。

詳細は、「カスタム・クレーム」を参照してください
OAuthアクセス・トークン最大サイズ

デフォルトのOAuthアクセス・トークンの長さ制限は7500に増加しました。この値は、OAuthアイデンティティ・ドメイン・カスタム・パラメータaccessTokenMaxLengthを使用してオーバーライドできます。
OAuthクライアントの更新 - PATCHリクエストのサポート

OAuthクライアントの変更中にPATCHリクエストのサポートを導入します。PATCH操作では、OAMは既存のスコープをリクエストの値とともに追加します。redirect_uris、権限付与タイプおよびカスタム属性についても同様の動作が提供されます。既存のPUT操作では、OAuthクライアント・パラメータの内容がリクエストの値で置き換えられます。

1.11 OAMバンドル・パッチ12.2.1.4.210408の新機能と拡張機能

Oracle Access Management 12.2.1.4.210408 BPには、次の新機能と拡張機能があります:

セッション管理の最適化

セッション管理エンジンは、負荷がかかっている際のシステム・パフォーマンスを改善するように最適化およびチューニングされています。

『パフォーマンスのチューニング・ガイド』の「Oracle Access Managementのデータベース・チューニング」も参照してください。
OAuthリフレッシュ・トークンの管理

OAuthトークン管理機能が拡張され、リフレッシュ・トークンを無効化できるようになりました。

詳細は、『Oracle Access Management管理者ガイド』のOAuthトークンの失効に関する項を参照してください
ApacheおよびIIS Webサーバー対応の12c Webゲート

IISおよびApache Webサーバー用のWebGatesは、このリリースで使用可能になります。

詳細は、『Oracle Access Manager WebGatesのインストール』のOAM用のIIS 12c WebGateのインストールと構成に関する項を参照してください
TLS 1.3およびFIPS 140-2のサポート

このリリースは、FIPSおよびTLSの最新の標準およびバージョンに準拠しています。

詳細は、『Oracle Access Management管理者ガイド』のOracle Access ManagementでのFIPSモードの有効化およびOracle Access ManagementでのTLS 1.3およびTLS 1.2のサポートに関する項を参照してください。

1.12 OAMバンドル・パッチ12.2.1.4.201201の新機能と拡張機能

Oracle Access Management 12.2.1.4.201201 BPには、次の新機能と拡張機能があります:

OAMでのProof Key for Code Exchange (PKCE)のサポート

既存のOAM OAuth認可コード付与フローにPKCEのサポートが導入されました。これを使用すると、既存の3-legged OAuthのセキュリティが強化され、認可コードのインターセプト攻撃の可能性を軽減できます。PKCEはドメイン・レベルで有効にすることも、特定のクライアントに対してのみ有効にすることもできます。

詳細は、『Oracle Access Management管理者ガイド』のOAMでのProof Key for Code Exchange (PKCE)のサポートに関する項を参照してください。
OAUTH_TOKENレスポンスを未設定のままにする

OAMには、SSOセッション・リンクが有効になっている場合にOAUTH_TOKENのCookieまたはヘッダーを設定しないというオプションがあります。チャレンジ・パラメータIS_OAUTH_TOKEN_RESPONSE_SETをfalseに設定する必要があります。

ノート:
IS_OAUTH_TOKEN_RESPONSE_SETが構成されていない場合、またはtrueに設定されている場合は、OAUTH_TOKENのCookie/ヘッダーが設定されます。

1.13 OAMバンドル・パッチ12.2.1.4.200909の新機能と拡張機能

Oracle Access Management 12.2.1.4.200909 BPには、次の新機能と拡張機能があります:

SAMLレスポンスでのAWSロール・マッピング属性のサポート

SAMLレスポンスでAWSロール・マッピング属性をサポートするためにSP属性プロファイルで構成できる新しい関数が導入されています。

詳細は、『Oracle Access Management管理者ガイド』のSAMLレスポンスのAWSロール・マッピング属性に関する項を参照してください
OAMフェデレーションでの属性値マッピングおよびフィルタのサポート

OAMフェデレーションでは属性名マッピングがサポートされていました。サポートが属性値マッピングおよび属性フィルタリング機能に拡張されました。

詳細は、『Oracle Access Management管理者ガイド』の属性値マッピングおよびフィルタリングの使用に関する項を参照してください

1.14 OAMバンドル・パッチ12.2.1.4.200629の新機能と拡張機能

Oracle Access Management 12.2.1.4.200629 BPには、次の新機能と拡張機能があります:

OAM CookieでのSameSite=None属性のサポート

OAMは、WebGateおよびOAMサーバーによって設定されたすべてのCookieにSameSite=None属性を追加します。
ノート:
- また、この機能を使用するには、最新のWebGateパッチをダウンロードしてアップグレードする必要もあります。詳細は、https://support.oracle.comにあるノートSupport for SameSite Attribute in Webgate (Doc ID 2687940.1)を参照してください。
- また、https://support.oracle.comにあるノートOracle Access Manager (OAM): Impact Of SameSite Attribute Semantics (Doc ID 2634852.1)も参照してください。
OAMサーバーのオプション構成
- SSL/TLSがロード・バランサ(LBR)で終了し、OAMサーバーがSSL/TLSモードで実行されていない場合、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.value=None;secure
  または、LBRまたはWeb層からOAMサーバーへSSL/TLSコンテキストを伝播できます。詳細は、https://support.oracle.comにあるドキュメントID 1569732.1を参照してください。
- OAMサーバーがSameSite=Noneを含めるのを無効にするには、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.enable=false
- 非SSL/TLS HTTP接続にSameSite=Noneを設定するには、setDomainEnv.shで次のシステム・プロパティを設定します: -Doam.samesite.flag.enableNoneWithoutSecure=true
例: システム・プロパティをsetDomainEnv.shに追加するには:
1. すべての管理サーバーおよび管理対象サーバーを停止します。
2. $OAM_DOMAIN_HOME/bin/setDomainEnv.shを編集し、次のようにプロパティを追加します:
```
EXTRA_JAVA_PROPERTIES="-Doam.samesite.flag.enable=false ${EXTRA_JAVA_PROPERTIES}"
export EXTRA_JAVA_PROPERTIES
```
3. 管理サーバーおよび管理対象サーバーを開始します。
WebGateのオプション構成
- SSL/TLSがLBRで終了し、OAM Webgate WebServerがSSL/TLSモードで実行されていない場合、WebGateでリクエストがSSL/TLSとして処理されるように、「ユーザー定義パラメータ」構成でProxySSLHeaderVarを設定します。詳細は、ユーザー定義のWebGateパラメータに関する項を参照してください。
- OAM WebGateがSameSite=Noneを含めるのを無効にするには、コンソールの「ユーザー定義パラメータ」構成でSameSite=disabledを設定します。これはエージェントごとの構成です。
- 非SSL HTTP接続にSameSite=Noneを設定するには、コンソールの「ユーザー定義パラメータ」構成でEnableSameSiteNoneWithoutSecure=trueを設定します。これはエージェントごとの構成です。
ノート:

SSL/TLSコンポーネントと非SSL/TLSコンポーネントの混在を使用するデプロイメント: 非SSL/TLSアクセスの場合、OAMサーバーおよびWebgateはCookieにSameSite=Noneを設定しません。一部のブラウザ(Google Chromeなど)では、非セキュア(非SSL/TLSアクセス) CookieのSameSite=None設定が許可されないため、不一致が検出された場合にCookieが設定されないことがあります。

そのため、このようなSSL/TLSと非SSL/TLSが混在したデプロイメントはSSL/TLSのみのデプロイメントに移行して、全体的なセキュリティを強化することをお薦めします。

拡張キーの使用状況(EKU)によるX.509認証

X.509認証フローでは、証明書の使用が許可されるように、拡張キーの使用状況(EKU)証明書拡張チェックをオプションで追加できます。

詳細は、『Oracle Access Management管理者ガイド』の拡張キーの使用状況(EKU)を使用したX.509認証に関する項を参照してください。

1.15 OAMバンドル・パッチ12.2.1.4.200327の新機能と拡張機能

Oracle Access Management 12.2.1.4.200327 BPには、次の新機能と拡張機能があります:

OAuth承認管理

データ・センター間でユーザー承認を取り消すメカニズムを実現しながら、ユーザー承認を管理および永続化する機能を提供します。承認取消し機能は、管理者と個々のユーザーの両方に提供されます。

詳細は、『Oracle Access Management管理者ガイド』の承認管理の有効化に関する項およびMDCでの承認管理の有効化に関する項を参照してください
OAuth Just-In-Time (JIT)のユーザー・リンクおよび作成
ユーザーを自動的にプロビジョニングする機能を提供します。アイデンティティ・プロバイダ(IdP)から受信したIDトークンには、ユーザー属性が含まれます。これらのユーザー属性には、ユーザーID、ユーザー名、名、姓、電子メール・アドレスなどの値が含まれますが、これらを使用してユーザーをローカル・ユーザー・アイデンティティ・ストアのエントリにリンクしたり、それらを作成したりできます(存在しない場合)。

詳細は、『Oracle Access Management管理者ガイド』のOAuth Just-In-Time (JIT)のユーザー・プロビジョニングに関する項を参照してください
OAMスナップショット・ツール
OAM IDMドメインとそのすべての構成のスナップショットを作成して永続化し、それを完全に機能するOAM IDMドメイン・クローンで使用するためのツールを提供します。

詳細は、『Oracle Access Management管理者ガイド』のOAMスナップショット・ツールの使用に関する項を参照してください
SAML Holder-of-Key (HOK)プロファイル・サポート
アイデンティティ・プロバイダ(IdP)として機能する際のOAMに対してSAML Holder-of-Key (HOK)プロファイル・サポートが追加されました。このサポートは、OCIサービス・プロバイダ(SP)・パートナとともに使用します。

詳細は、https://support.oracle.comのノートOAM 12c Identity Provider (IDP) for SAML Profile Support with OCI Service Provider (SP) Partners (Doc ID 2657717.1)を参照してください。

1.16 バンドル・パッチについて

バンドル・パッチについて説明し、またスタック・パッチ・バンドル、バンドル・パッチ、個別パッチ、およびパッチ・セットの違いについて説明します。

スタック・パッチ・バンドル
バンドル・パッチ
個別パッチ
パッチ・セット

1.16.1 スタック・パッチ・バンドル

スタック・パッチ・バンドルでは、ツールを使用して、IDM製品および依存FMWパッチをデプロイします。これらのパッチの詳細は、https://support.oracle.comにあるQuarterly Stack Patch Bundles (Doc ID 2657920.1)を参照してください。

1.16.2 バンドル・パッチ

バンドル・パッチは、ベースライン・プラットフォーム上のOracle Fusion Middlewareコンポーネントに対するOracleの公式パッチです。バンドル・パッチ・リリース文字列の5桁目は、バンドル・パッチ番号を示していました。2015年11月、バージョン番号の形式が変更されました。新しい形式では、バンドル・バージョンの5桁目の数値は、「YYMMDD」形式のリリース日付に置換されます:

YYは西暦年の下2桁です。
MMは数値形式の月です(2桁)。
DDは数値形式の日付です(2桁)。

各バンドル・パッチには、1つ以上のフィックスを実装するために再ビルドされたライブラリおよびファイルが含まれます。バンドル・パッチ内のフィックスはすべてテストされ、相互の動作が保証されています。

各バンドル・パッチは累積されます。最新のバンドル・パッチには、同じリリースおよびプラットフォーム用の以前のバンドル・パッチのすべてのフィックスが含まれます。バンドル・パッチで提供されたフィックスは、次のリリースに組み込まれます。

1.16.3 個別パッチ

バンドル・パッチとは異なり、個別パッチは、単一のコンポーネントの1つの問題にのみ対応しています。各個別パッチは、正式なOracleパッチですが、完全な製品ディストリビューションではないため、すべてのコンポーネント用のパッケージは含まれていません。個別パッチには、特定のコンポーネントの特定の修正を実装するために再構築されたライブラリおよびファイルのみが含まれています。

個別セキュリティ、例外リリース、x-fix、PSE、MLRまたはホットフィックスとして個別パッチを理解する必要もあります。

1.16.4 パッチ・セット

パッチ・セットは、十分にテストおよび統合された製品フィックスを提供するためのメカニズムです。これらのフィックスは、同じリリースのインストール済コンポーネントに適用できます。パッチ・セットには、リリース用の以前のバンドル・パッチで入手可能なすべての修正が含まれます。パッチ・セットには、新機能が含まれる場合もあります。

各パッチ・セットには、不具合の修正(および存在する場合は新機能)を実装して再構築されたライブラリおよびファイルが含まれます。ただし、パッチ・セットは完全なソフトウェア配布ではない場合もあり、すべてのプラットフォームのすべてのコンポーネント用のパッケージが含まれていないことがあります。

パッチ・セットのすべての修正はテスト済であり、指定されたプラットフォームで互いに機能することが動作保証されています。

1.17 推奨事項

オラクル社では、アイデンティティ管理製品の依存ミドルウェア・コンポーネントのパッチを動作保証しており、お客様はこれらの動作保証済パッチを適用するようお薦めします。

これらのパッチの詳細は、https://support.oracle.comのノートCertification of Underlying or Shared Component Patches for Identity Management Products (Doc ID 2627261.1)を参照してください。

1.18 バンドル・パッチの要件

Oracleでサポートされている状態を維持するには、パッケージが提供されているすべてのインストール済みコンポーネントにバンドル・パッチを適用します。次のことをお薦めします。

バンドル内のすべてのインストール済みコンポーネントに最新のバンドル・パッチを適用します。
OAMサーバー・コンポーネントが、常に、同じリリースのインストール済みWebGateと同じ(またはそれ以上の)バンドル・パッチ・レベルになるようにします。

1.19 バンドル・パッチの適用

バンドル・パッチ・ファイルを準備してインストールする場合(または、元のインストールに戻す必要があり、バンドル・パッチを削除する場合)は、次のトピックを参照してください:

Oracleパッチ・メカニズム(OPatch)の使用
OAMバンドル・パッチの適用
バンドル・パッチ適用の失敗からのリカバリ

ノート:

次の必須パッチをインストールする必要があります:
- OPSS: 36316422
- OWSM: 37035947
- OINAV: 37054395
- WLSパッチ: 37087476
- libovd: 36649916
- EM個別: 34542329
- ADF: 37028738
- Coherence: 37049907
- FMWサードパーティ・バンドル: 37103277
2024年3月から、通信にSIMPLEモードの証明書を使用するOracle Access Manager (OAM)コンポーネントは機能しなくなるため、予防策を講じないかぎり、OAM環境は停止します。詳細は、2024年3月のOracle Access Manager (OAM)の即時利用可能な証明書の有効期限(ドキュメントID 2949379.1)(https://support.oracle.com)を参照してください。

1.19.1 Oracleパッチ・メカニズム(OPatch)の使用

Oracleパッチ・メカニズム(OPatch)は、サポートされているすべてのオペレーティング・システムで動作するJavaベースのユーティリティです。OPatchを使用するには、Oracle Universal Installerをインストールする必要があります。

ノート:

My Oracle SupportからOPatchの最新バージョンを入手することをお薦めします。OPatchでパッチを適用するには、有効なOracle Universal Installer (OUI)インベントリへのアクセス権が必要です。

パッチ適用プロセスでは、unzipとOPatchの両方の実行可能ファイルが使用されます。ORACLE_HOME環境変数をソースにした後、パッチ適用前にこれらの両方が存在していることを確認するようお薦めします。OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます

OPatchを起動すると、パッチが検証され、$ORACLE_HOMEにすでにインストールされているソフトウェアとの競合がないことが確認されます。

$ORACLE_HOMEにすでに適用されているパッチとの競合が見つかった場合、パッチのインストールを停止して、Oracleサポート・サービスまで連絡してください。
$ORACLE_HOMEにすでに適用されているサブセット・パッチとの競合が見つかった場合は、バンドル・パッチの適用を続行します。新しいパッチのインストールが開始される前に、サブセット・パッチが自動的にロール・バックされます。最新のバンドル・パッチには、$ORACLE_HOME内の以前のバンドル・パッチのすべてのフィックスが含まれます。

このバンドル・パッチでは、-autoフラグは有効化されていません。-autoフラグなしの場合、サーバーが実行中である必要はありません。デフォルトのインストールでは、マシン名とリスニング・アドレスは空白でかまいません。

1.19.2 OAMバンドル・パッチの適用

ここに記載されている情報およびステップを使用し、Oracleパッチ(OPatch)を使用して任意のプラットフォームからバンドル・パッチを適用します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順はどのプラットフォームでも同じです。

各バンドル・パッチ内のファイルは、宛先$ORACLE_HOMEにインストールされます。これにより、作成した一時ディレクトリから元のバンドル・パッチ・ファイルを削除した場合でも、バンドル・パッチを削除(ロール・バック)できます。

ノート:

パッチ操作を実行する前に、適切な方法で$ORACLE_HOMEをバック・アップすることをお薦めします。任意の方法(zip、cp -r、tar、およびcpio)で$ORACLE_HOMEを圧縮できます。

このドキュメントでは、書式の制約により、サンプル・テキストの行が強制的に折り返される場合があります。これらの行の折り返しは無視してかまいません。

OAMバンドル・パッチを適用するには

OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。バンドル・パッチを適用する手順を開始する前、次の操作を行う必要があります。

ORACLE_HOMEを設定します

たとえば:
```
export ORACLE_HOME=/opt/oracle/mwhome
```
export PATH=<<OPatchディレクトリのパス>>:$PATHを実行して、OPatch実行可能ファイルがシステムPATHに表示されることを確認します。たとえば:
```
export PATH=$ORACLE_HOME/OPatch:$PATH
```

OAMパッチp37151668_122140_Generic.zipをダウンロードします
パッチのZIPファイルをPATCH_TOPに解凍します。

$ unzip -d PATCH_TOP p37151668_122140_Generic.zip

ノート:

Windowsのunzipコマンドには、パス名に256文字しか使用できないという制限があります。これが発生した場合、7-Zipなどの代替ZIPユーティリティを使用して、パッチを解凍します。

たとえば: 7-Zipを使用して解凍するには、次のコマンドを実行します。

"c:\Program Files\7-Zip\7z.exe" x p37151668_122140_Generic.zip
現行ディレクトリを、パッチがあるディレクトリに設定します。

$ cd PATCH_TOP/37151668
基本製品をインストールした同じユーザーとしてログインします。
- AdminServerおよびこのバンドル・パッチを適用するすべてのOAMサーバーを停止します。
  
  このOAMサーバーおよびOAMで保護されたサーバーを使用するアプリケーションには、この期間中アクセスできません。
- $ORACLE_HOMEをバックアップします。
- バックアップ・ディレクトリを別の場所に移動し、必要に応じて後でその場所を特定できるように記録しておきます。
適切なOPatchコマンドを管理者として実行して、中央インベントリを更新して$ORACLE_HOMEにパッチを適用するために必要な権限が付与されていることを確認します。たとえば:
opatch apply
Windows 64ビット: opatch apply -jdk c:\path\to\jdk180

ノート:
OPatchは、一度に1つのインスタンスで動作します。複数のインスタンスがある場合は、インスタンスごとにこれらのステップを繰り返す必要があります。
すべてのサーバー(AdminServerとすべてのOAMサーバー)を起動します。

1.19.3 マルチ・データ・センター(MDC)でのOAMバンドル・パッチの適用

ここに記載されている情報およびステップを使用し、MDC設定にバンドル・パッチを適用します。

マスター・データ・センターのアップグレードまたはパッチ適用を行ってから、各クローン・データ・センターのアップグレードまたはパッチ適用を行うことをお薦めします。

MDC設定にパッチを適用するには、次のステップを実行します。

マスター・データ・センターでアップグレードまたはパッチ適用を行います。詳細は、「OAMバンドル・パッチの適用」を参照してください
パッチを適用する必要があるマスター・データ・センターとクローン・データ・センター間の自動ポリシー同期(APS)を無効にします。詳細は、『Oracle Access Management管理者ガイド』の「自動ポリシー同期の無効化」を参照してください
oam-config.xmlのWriteEnabledFlagがtrueであることを確認します。有効になっていない場合は、次のWLSTコマンドを使用して、クローン・データ・センターでWriteEnabledFlagをtrueに設定します。
```
connect('weblogic','XXXX','t3<a target="_blank" href="://localhost:7001'">://localhost:7001'</a>)
domainRuntime()
setMultiDataCenterWrite(WriteEnabledFlag="true")
```
クローン・データ・センターでアップグレードまたはパッチ適用を行います。
次のWLSTコマンドを使用して、クローン・データ・センターでWriteEnabledFlagをfalseに変更します。
```
connect('weblogic','XXXX','t3<a target="_blank" href="://localhost:7001'">://localhost:7001'</a>)
domainRuntime()
setMultiDataCenterWrite(WriteEnabledFlag="false")
```
ノート:
データ・センター間に不整合が発生しないよう、APSを有効にする前に、クローン・データ・センターを書込み禁止にする必要があります。
マスター・データ・センターとアップグレードしたクローン・データ・センター間のAPSを再度有効にします。詳細は、『Oracle Access Management管理者ガイド』の「自動ポリシー同期の有効化」を参照してください

1.19.4 バンドル・パッチ適用の失敗からのリカバリ

AdminServerが正常に起動しない場合は、バンドル・パッチの適用が失敗しています。

バンドル・パッチ適用の失敗からのリカバリ手順:

パッチ適用で構成の問題がないことを確認します。
AdminServerを正常に起動できることを確認します。
AdminServerを停止し、「バンドル・パッチの削除」の説明に従ってパッチをロールバックし、バンドル・パッチを再度適用します。

1.20 バンドル・パッチの削除

バンドル・パッチが適用された後、それをロールバックする場合、次のステップを実行します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順は同じです。バンドル・パッチが削除された後、システムは、パッチ適用の直前の状態に復元されます。

ノート:

バンドル・パッチを削除すると、バンドル・パッチ適用後に行われた手動の構成変更がすべてオーバーライドされます。これらの変更は、パッチの削除後に手動で再適用する必要があります。

最新バージョンのOPatchをロールバックに使用します。これより古いバージョンのOPatchをロールバックに使用すると、次の失敗メッセージが表示されます:

C:\Users\<username>\Downloads\p37151668_122140_Generic\37151668  
>c:\Oracle\oam12214\OPatch\opatch rollback -id 37151668
Oracle Interim Patch Installer version 13.9.2.0.0
Copyright (c) 2020, Oracle Corporation. All rights reserved.
......
The following actions have failed:
Malformed \uxxxx encoding.
Malformed \uxxxx encoding.

次の手順に従って、システムでバンドル・パッチを削除します。

システムでバンドル・パッチを削除する手順:

「OAMバンドル・パッチの適用」のステップを実行して環境変数を設定し、インベントリを確認して、ORACLE_HOMEまたはホスト・マシンから実行中のサービスをすべて停止します。
パッチを解凍したディレクトリに変更します。例: cd PATCH_TOP/37151668
バンドル・パッチを含むORACLE_HOMEディレクトリをバックアップし、そのバックアップを別の場所に移動して、後で見つけることができるようにします。
OPatchを実行してパッチをロールバックします。たとえば:
```
opatch rollback -id 37151668
```
使用しているモードに基づいてサーバー(AdminServerとすべてのOAMサーバー)を起動します。
必要に応じて、「バンドル・パッチの適用」の説明に従いバンドル・パッチを再適用します。