このドキュメントでは、OAMバンドル・パッチ12.2.1.4.241009について説明します。
このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)のベース・インストールを必要とします。このドキュメントは、Oracle Access Management 12cパッチ・セット4 (12.2.1.4.0)に付属するドキュメントに優先します。内容は次のとおりです。
-
OAMバンドル・パッチ12.2.1.4.240701の新機能と拡張機能
-
OAMバンドル・パッチ12.2.1.4.240328の新機能と拡張機能
-
OAMバンドル・パッチ12.2.1.4.240109の新機能と拡張機能
-
OAMバンドル・パッチ12.2.1.4.231005の新機能と拡張機能
-
OAMバンドル・パッチ12.2.1.4.230628の新機能と拡張機能
-
OAMバンドル・パッチ12.2.1.4.220906の新機能と拡張機能
1.1 OAMバンドル・パッチ12.2.1.4.241009の新機能と拡張機能
Oracle Access Management 12.2.1.4.241009 BPには、次の新機能と拡張機能があります:
-
GCM APIキーの設定
Googleは、従来のFCM APIを廃止し、HTTP v1 APIに移行しています。すべての新しい構成でHTTP v1 APIを使用することをお薦めします。HTTP v1 APIに移行するステップは、「Androidプッシュ通知用のサービス・アカウントJSONへの移行」を参照してください。
-
SAML証明書、キーまたはメタデータのローテーションの自動化
RESTエンドポイントを介して新しいパートナ証明書およびメタデータの取得をスケジュールし、更新された資格証明をすべての依存システムおよびアプリケーションに停止時間なしでシームレスにローテーションできます。詳細は、「SAML証明書、キーまたはメタデータのローテーションの自動化」を参照してください。
-
Visual Builder (VB)でFusionページをロードする機能
Chromeブラウザでは、サード・パーティのCookieが非推奨になった後、一部のOAM CookieによってVisual Builder (VB)へのFusionページのロードがブロックされていました。このリリースでは、OAM/Webgate Cookieに対するCookies Having Independent Partitioned State (CHIPS)サポートが追加され、この問題が解決されます。詳細は、「サード・パーティのCookieが非推奨になった後、OAM CookieによってVisual BuilderでのFusionページのロードがブロックされる」を参照してください。
-
認可コードを介してIDトークンを取得する機能
認可コードでリフレッシュ・トークンを使用すると、アクセス・トークンとIDトークンの両方を取得できます。詳細は、「リフレッシュ・トークン・リクエストを介したIDtokenの取得」を参照してください。
-
Oracle Access Manager (OAM) OAuthセキュリティのベスト・プラクティス
考えられる脅威を強調するOAM OAuthセキュリティのベスト・プラクティス、攻撃者の機能の詳細、およびそれらのリスクを軽減するための戦略を追加しました。詳細は、「Oracle Access Manager (OAM) OAuthセキュリティのベスト・プラクティス」を参照してください。
-
OAAエラー処理プラグイン
「ユーザー・プリファレンス」ページでMFAをサポートする新しいプラグインを追加しました。詳細は、「OAAエラー処理プラグイン」を参照してください。
-
パートナ署名および暗号化キーを追加する機能
新しいIdP/SPの作成ページで、新しい「キー構成」セクションがOAMコンソールに追加され、パートナ署名および暗号化キーを選択できます。詳細は、「Oracle Access Managerを使用したOracle Private Cloud Applianceへのサインオン」を参照してください。
-
リフレッシュ・トークンの再利用検出を構成する機能
リフレッシュ・トークンの再利用を検出するための新しいプロパティを追加しました。詳細は、「リフレッシュ・トークンの再利用検出の構成」を参照してください。
1.2 OAMバンドル・パッチ12.2.1.4.240701の新機能と拡張機能
Oracle Access Management 12.2.1.4.240701 BPには、次の新機能と拡張機能があります:
-
メッセージング・サーバーとの接続
Android用のプッシュ通知を構成した場合は、Androidプッシュ通知用のサービス・アカウントjsonへの移行に関する項に記載されているステップに従って、HTTP v1 APIに移行する必要があります。
-
OAM 12c OAuthが拡張され、OAuthトークンに署名するための暗号化アルゴリズムとして、RS256 (デフォルト)に加えてRS512がサポートされるようになりました
-
すべてのOAuthアイデンティティ・ドメイン(デフォルト -
RS256
)で有効になっている場合に、RS512
暗号化アルゴリズムが強制されるOAuthシステム・プロパティ(-DoauthRS512Enabled=true
)が導入されました。システム・プロパティをsetDomainEnv.sh
に追加すると、この機能が有効になります。 -
特定のOAuthアイデンティティ・ドメイン(デフォルト -
RS256
)で有効になっている場合に、RS512
暗号化アルゴリズムが強制されるOAuthカスタム属性(oauthRS512Enabled=true
)が導入されました。
ノート:
両方とも設定されている場合、システム・プロパティでは、RS512
暗号化アルゴリズムを強制する際に、OAuthアイデンティティ・ドメイン・カスタム属性がオーバーライドされます。 -
1.3 OAMバンドル・パッチ12.2.1.4.240328の新機能と拡張機能
Oracle Access Management 12.2.1.4.240328 BPには、次の新機能と拡張機能があります:
-
ユーザー・パスワード変更の検証
oam-config.xml
でuserPasswordChangeCheckEnabled=true
プロパティを設定すると、ユーザー・バスワードの更新前に生成されたトークンが検証されます。ユーザーがアクセス・トークンの取得後にパスワードを更新または変更した場合、パスワードの更新前に生成されたそれらのアクセス・トークンは無効になります。ユーザーは、パスワードの更新後にアクセス・トークンを再生成する必要があります。詳細は、ユーザー・パスワード変更の検証の有効化に関する項を参照してください。ノート:
ユーザー・パスワード変更の検証機能を有効にするには、/DeployedComponent/Server/NGAMServer/Profile/ssoengine/OAuthConfig
エンドポイントに対してGET操作を実行し、同じエンドポイントに対してPUT操作を実行します。これにより、すでに適用されている構成が引き続き有効になります。 -
発行者検出識別子およびIssトークン・クレームをカスタマイズする機能
この拡張機能の実装により、発行者に対してポートをマスクまたは省略することや、OpenID構成のパス・コンポーネントをカスタマイズすることが可能になります。詳細は、カスタム発行者のサポートに関する項を参照してください。ノート:
カスタム発行者のサポート機能を有効にするには、/DeployedComponent/Server/NGAMServer/Profile/ssoengine/OAuthConfig
エンドポイントに対してGET操作を実行し、同じエンドポイントに対してPUT操作を実行します。これにより、すでに適用されている構成が引き続き有効になります。 -
デフォルトの承認確認有効期限を変更する機能
新しいカスタム属性
consentAcknowledgeExpiryTimeInSeconds
によって、承認を確認するためのデフォルトの有効期限を変更できます。詳細は、デフォルトの承認確認有効期限の変更に関する項を参照してください。 -
ID_TOKENの有効期限を設定する機能
ACCESS_TOKEN設定の有効性/有効期限を使用するかわりに、ID_TOKENのトークン有効性/有効期限を設定できます。詳細は、アイデンティティ・ドメインの作成に関する項を参照してください。
-
クライアント・シークレットの失効およびローテーション
カスタム属性
oldSecretRetentionTimeInDays
を使用して、古いクライアント・シークレットが機能し続ける時間を構成できます。このカスタム属性は、ドメイン・レベルとクライアント・レベルの両方で定義できます。ただし、クライアント・レベルで定義された値が優先されます。詳細は、アイデンティティ・ドメインの作成に関する項を参照してください。 -
APIキーを表示するための新しいフィールドの追加
このリリースでは、新しいフィールドの「APIキー」がパートナの詳細画面に追加されています。このフィールドにより、管理者は、セキュアな更新のために関連パートナとキーの詳細を共有できます。詳細は、署名および暗号化キーの構成に関する項を参照してください。
-
OAMがサービス・プロバイダ(SP)として機能している場合の認証コンテキストをチェックする機能
OAMは、SPとして機能している場合、外部SAMLアイデンティティ・プロバイダ(IdP)の認証コンテキストを識別し、
authnassurancelevel
プロパティに基づいてSAML認証を続行します。詳細は、OAMがSPとして機能している場合の認証コンテキストのチェックに関する項を参照してください。 -
OAMログ・メッセージのSAMLレスポンス属性をマスクする機能
このリリースでは、Oracle Access ManagementはOAMログ・メッセージのSAMLレスポンス属性をマスクします。詳細は、ログ・レコードのSAML属性のマスクに関する項を参照してください。
1.4 OAMバンドル・パッチ12.2.1.4.240109の新機能と拡張機能
Oracle Access Management 12.2.1.4.240109 BPには、次の新機能と拡張機能があります:
- OAAアプリケーションからOAMログイン・ページへのエラー・コードの伝播
この拡張機能は、エラー・コードをOracle Advanced Authentication (OAA)アプリケーションからOAMログイン・ページに伝播します。ログイン・ページをカスタマイズして、OAAから伝播されたエラー・メッセージを表示できます。
次のエラー・コードがサポートされています:-
エラー・コード: OAA-00001
理由: ユーザー登録が不完全でした。
原因: ファクタが登録されていません。
-
エラー・コード: OAA-00002
理由: ユーザーに使用可能なファクタがありませんでした。
原因: 許可された認証試行の限界に達しました。一致するファクタは無効化されます。一致するポリシーに使用可能な必須ファクタがありません。
-
エラー・コード: OAA-00003
理由: ユーザー認証に失敗しました。
原因: ユーザーは有効な認証データを送信しませんでした。
-
エラー・コード: OAA-00004
理由: システムは一時的に使用できません。
原因: ログイン中にサービスで予期しない障害が発生しました。たとえば、チャレンジの送信失敗(プッシュ、電子メール、SMS)、データベースの停止などです。
-
- OAMセッション管理エンドポイントの拡張
TAPトークンを使用してOAMエンドポイントを認可するメカニズムが導入されました。
- プログラム的な認証RESTインタフェースのNULLチェックが追加されましたこの拡張機能の一部として、次の修正が行われます:
- 認証方法として「認証なし」が選択されたときに発生するNULLポインタ例外が解決されました。
- セッション検証APIでは、ランダムな文字列が
OAM_RM
トークンとして指定されると、NULLポインタにより例外がスローされます。
- パブリック・クライアントでリフレッシュ・トークンを取得するための
PublicClientRefreshTokenEnabled
クライアント・カスタム属性が追加されましたデフォルトでは、パブリック・クライアントでリフレッシュ・トークンを取得することはできません。PublicClientRefreshTokenEnabled
クライアント・カスタム属性では、この動作を変更できます。この機能を有効にするには、属性値をtrueに設定します。たとえば、次のコマンドでoauth
パブリック・クライアントを作成します:curl -X POST http://<AdminServerHost:Port>/oam/services/rest/ssa/api/v1/oauthpolicyadmin/client -H 'Authorization:Basic d2VibG9naWM6d2VsY29tZTE=' -H 'Content-Type: application/json' -d '{"id":"PublicClientId","name":"PublicClient","scopes":["ResServer1.scope1"],"clientType":"PUBLIC_CLIENT","secret":"welcome1","idDomain":"TestDomain1","description":"Client Description","grantTypes":["PASSWORD","CLIENT_CREDENTIALS","JWT_BEARER","REFRESH_TOKEN","AUTHORIZATION_CODE"],"defaultScope":"ResourceServerOud1.scope1","redirectURIs":[{"url":http://localhost:8080/Sample.jsp,"isHttps":true}], "attributes":[{"attrName":"PublicClientRefreshTokenEnabled","attrValue":"true","attrType":"static"}]}'
- 新しいアクセス・トークンとともにリフレッシュ・トークンを返すための
GrantTypeRefreshTokenEnabled
クライアント・カスタム属性が追加されましたデフォルトでは、権限付与タイプがrefresh_token
の場合、新しいアクセス・トークンのみが返されます。GrantTypeRefreshTokenEnabled
クライアント・カスタム属性では、リフレッシュ・トークンも返すことができます。この機能を有効にするには、属性値をtrueに設定します。たとえば、次のコマンドでoauth
機密クライアントを作成します:curl -X POST http://<AdminServerHost:Port>/oam/services/rest/ssa/api/v1/oauthpolicyadmin/client -H 'Authorization:Basic d2VibG9naWM6d2VsY29tZTE=' -H 'Content-Type: application/json' -d '{"id":"TestClientId","name":"TestClient","scopes":["ResServer1.scope1"],"clientType":"CONFIDENTIAL_CLIENT","secret":"welcome1","idDomain":"TestDomain1","description":"Client Description","grantTypes":["PASSWORD","CLIENT_CREDENTIALS","JWT_BEARER","REFRESH_TOKEN","AUTHORIZATION_CODE"],"defaultScope":"ResServer1.scope1","redirectURIs":[{"url":http://localhost:8080/Sample.jsp,"isHttps":true}], "attributes":[{"attrName":"GrantTypeRefreshTokenEnabled","attrValue":"true","attrType":"static"}]}'
ノート:
refresh_token
権限付与タイプの呼出し中に古いrefresh_token
を取り消すには、システム・プロパティ-Doauth.auto.revoke.enabled=true
を設定します。このシステム・プロパティのデフォルト値はfalseです - 認可コード付与フローでの
Response_mode
のサポートこの機能拡張により、3-legged OAM OAuth 2.0ワークフローAPI (
/oauth2/rest/authorize
)は、問合せパラメータとしてresponse_mode
を指定することで、フラグメント、問合せ、form_post
などの様々なモードで応答できます。 - 適切なレスポンス・モードを返すための3-legged OAuth 2.0ワークフローのサポート
この機能拡張により、同意の有効期限が設定されている場合、3-legged OAM OAuth 2.0ワークフローAPI (
/oauth2/rest/authorize
)は、適切なレスポンス・モードresponse_mode=form_post
を返します。 - 第2ファクタ認証時のPIN生成の制限のサポート
アダプティブ認証プラグインに新しいプロパティ
MaxSendAttempts
およびMaxSendAttemptsLockoutEnabled
が追加され、第2ファクタ認証時のPIN生成が制限されます。詳細は、第2ファクタ認証時のPIN生成の制限に関する項を参照してください。
1.5 OAMバンドル・パッチ12.2.1.4.231005の新機能と拡張機能
Oracle Access Management 12.2.1.4.231005 BPには、次の新機能と拡張機能があります:
- 認可付与詳細をフェッチする新しいパラメータ
認可付与をredirect_uriにフェッチする新しいパラメータresponse_modeが追加されました。詳細は、表39-7「response_modeのパラメータ値」を参照してください。
- 複数のブラウザ・タブでの認証のサポート
OAMでは、serverRequestCacheTypeパラメータがCOOKIEに設定されている場合、複数タブ機能がサポートされます。詳細は、複数のブラウザ・タブでの認証のサポートに関する項を参照してください。
- ドメインを問合せパラメータとしてサポートするOAM OAuth2ランタイム・エンドポイントヘッダー・パラメータX-OAUTH-IDENTITY-DOMAIN-NAMEのかわりに、新しい問合せパラメータidentityDomainがoauth2ランタイム・エンドポイントに追加されました。identityDomainを指定する場合、ヘッダー・パラメータX-OAUTH-IDENTITY-DOMAIN-NAMEは必要ありません。両方のパラメータが使用されている場合、X-OAUTH-IDENTITY-DOMAIN-NAMEはidentityDomainより優先されます。詳細は、次を参照してください:
- OAM OAuth2トークン検証URLでは、ヘッダーと問合せパラメータの両方としてaccess_tokenを渡すことができます
access_tokenは、トークン検証URLのヘッダー・パラメータまたは問合せパラメータとして渡すことができます。ヘッダーとして、および問合せパラメータとしてaccess_tokenを開始するための新しい構文が、OAuthのREST APIに含まれています。詳細は、アクセス・トークン・フローの検証に関する項を参照してください。
1.6 OAMバンドル・パッチ12.2.1.4.230628の新機能と拡張機能
Oracle Access Management 12.2.1.4.230628 BPには、次の新機能と拡張機能があります:
- シークレット・キーの管理のサポート
OAMでは、シークレット・キー・ライフサイクル機能を有効にすることで、BEARER認可ヘッダーとアクセス・トークンを使用したシークレット・キーの管理をサポートしています。
詳細は、「シークレット・キーの管理」を参照してください。
- OAMでのアクセス・トークン交換サポート
このリリースでは、トークン交換のサポートが提供されています。
詳細は、「OAMでのトークン交換サポート」を参照してください。
- トークンをセッション・レスポンスとして設定するOpenIdConnectPluginプラグインOIDCトークンの値は、次の式を使用したポリシー認可レスポンス(ヘッダーまたはCookie)を使用して取得できます:
- アクセス・トークンの場合: $session.attr.oidc.token.access
- リフレッシュ・トークンの場合: $session.attr.oidc.token.refresh
- IDトークンの場合: $session.attr.oidc.token.ID
カスタム・プラグインでは、次の認証コンテキスト・パラメータを使用してアクセス・トークン情報を取得できます:- token_response: トークン・エンドポイントからの完全なレスポンス
- access_token: アクセス・トークンの値
- refresh_token: リフレッシュ・トークンの値
- idtoken: IDトークンの値
- リクエストURLによるキャッシュの制御を許可する機能Webゲート固有のリソースに対する認可ポリシー結果がキャッシュされないように、例外リストを導入します。例外リストの管理には、次のWLSTコマンドを使用できます:
configureWGAuthzCachingExceptionListUrls(noCacheURL, action)
例:configureWGAuthzCachingExceptionListUrls("exceptionUrl", "add/remove")
- このWLSTコマンドを使用して、OAMサーバー上のWebゲート認可キャッシュ例外リストにURLを追加することや、リストからURLを削除することができます。
- '
action
'は'add
'または'remove
'として指定できます。これにより、ExceptionList
に応じた処理が行われます
configureWGAuthzCachingExceptionList(enabled, matchCriteria = "exactMatch", withQuery = "false")
例:configureWGAuthzCachingExceptionList("true/false", matchCriteria = "exactMatch/startsWith", withQuery = "true/false")
- このWLSTコマンドを使用して、OAMサーバー上のWebゲート認可キャッシュ例外リストを有効または無効にできます。
- '
matchCriteria
'は'exactMatch
'または'startsWith
'として指定できます。デフォルトは'exactMatch
'です - '
withQuery
'は'true
'または'false
'として指定できます。'false
'はWebゲート認可リクエストのURLからのデフォルトの意味の問合せ文字列です。
1.7 OAMバンドル・パッチ12.2.1.4.220906の新機能と拡張機能
Oracle Access Management 12.2.1.4.220906 BPには、次の新機能と拡張機能があります:
- フェデレーション・パートナで、RSASSA-PSS署名アルゴリズムを使用した証明書がサポートされます
OAM 12.2.1.4.220906 BPには、署名アルゴリズムSHA256-RSA-MGF1のサポートが含まれています。
ノート:
この更新は、OWSMパッチ34839859に依存します。詳細は、RSA OAEPキー・トランスポート・ダイジェストおよびMGFダイジェストの構成に関する項を参照してください。
- OAuthクライアントのGET REST APIが、クライアント・シークレットを取得するように拡張されています
管理者が、管理者ポータルに登録されたクライアントのクライアント・シークレットを表示する必要があるケースへの備えです。この機能は、新しい動作を有効にするためのパッチを適用した後に有効にする必要があります。それにより、この機能を有効にした後に登録されたクライアントのシークレットをAPIで取得できます。この機能を有効にする前に登録された既存のクライアントでは、ハッシュされたシークレットを返す、これまでの動作に変わりはありません。
詳細は、OAuthクライアント・シークレット取得の管理に関する項を参照してください。
1.8 OAMバンドル・パッチ12.2.1.4.220404の新機能と拡張機能
Oracle Access Management 12.2.1.4.220404 BPには、次の新機能と拡張機能があります:
-
OAM_ID Cookieを、ホスト・スコープ指定のかわりにドメイン・スコープ指定にします
OAM_ID CookieのCookieドメインを追加するためのサポートが追加されました。これは、構成パラメータ
SSOCookieDomainEnabled
をtrueに設定することで有効にできます。CookieのCookieドメインは、構成プロパティSSOCookieDomain
を使用して設定する必要があります。これらの更新は、インポート・ユーティリティを使用してoam-config.xml
ファイルで行う必要があります。インポート後にサーバーの再起動が必要です。詳細は、表1-11のバグ33291908を参照してください。
1.9 OAMバンドル・パッチ12.2.1.4.220113の新機能と拡張機能
Oracle Access Management 12.2.1.4.220113 BPには、次の新機能と拡張機能があります:
-
OAuthカスタム・クレーム・プラグインのサポート
詳細は、ノート
Oracle Access Manager (OAM) Federation Protocol OAUth - Elaborated Steps For <Patch:28228295> (Doc ID 2817030.1)
(https://support.oracle.com)を参照してください
1.10 OAMバンドル・パッチ12.2.1.4.210920の新機能と拡張機能
Oracle Access Management 12.2.1.4.210920 BPには、次の新機能と拡張機能があります:
-
OAM SAML 2.0でサポートされている暗号化アルゴリズム
OAMでは、AES-GCM暗号化モードがサポートされています。
詳細は、「OAM SAML 2.0でサポートされている暗号化アルゴリズム」およびデフォルトの暗号化アルゴリズムの変更に関する項を参照してください
-
OAP over REST通信用の双方向SSL。
WebGateとOAMサーバーの間でOAP over RESTの相互認証を有効にできるため、サーバーは認証クライアントと通信できます。
詳細は、OAP over RESTの双方向SSLの有効化に関する項を参照してください
-
OAMでのTOTPベースのマルチファクタ認証
configureMFA
コマンドにconfig-utility.jar
を指定してMFAを構成できます詳細は、OAMでのTOTPベースのマルチファクタ認証の構成に関する項を参照してください
-
サード・パーティ証明書を使用したトークン署名
アクセス・トークンは、生成された即時利用可能な自己署名キー・ペアを使用して署名できます。このリリースでは、OAMはサポートを拡張し、サード・パーティのキー・ペアを使用してアクセス・トークンの署名を可能にします。
詳細は、「サード・パーティ証明書を使用したトークン署名」を参照してください
-
OAMでの相互TLS (mTLS)クライアント認証
TLS認証では、サーバーは、証明書(公開キー)を生成することでそのアイデンティティを確認してから、TLS検証プロセスによって検証されます。mTLS (相互TLS)では、サーバーとともにクライアントのアイデンティティも検証されます。TLSハンドシェイクは、クライアントの証明書内の公開キーに対応する秘密キーの所有を検証し、対応する証明書チェーンを検証するために使用されます。
詳細は、クライアント認証の構成に関する項およびmTLSクライアント認証の構成に関する項を参照してください
-
カスタム・クレーム
OAMは、クライアント・レベルまたはドメイン・レベルで構成できるテンプレートを使用して、カスタム・クレームを定義する機能を拡張します。カスタム・クレームは、すべてのアクセス・トークン、IDトークンおよびユーザー情報出力に含めることができます。値変換やカスタム・クレームの値フィルタリングを実行することが可能です。
詳細は、「カスタム・クレーム」を参照してください
-
OAuthアクセス・トークン最大サイズ
デフォルトのOAuthアクセス・トークンの長さ制限は
7500
に増加しました。この値は、OAuthアイデンティティ・ドメイン・カスタム・パラメータaccessTokenMaxLength
を使用してオーバーライドできます。 -
OAuthクライアントの更新 -
PATCH
リクエストのサポートOAuthクライアントの変更中に
PATCH
リクエストのサポートを導入します。PATCH
操作では、OAMは既存のスコープをリクエストの値とともに追加します。redirect_uris、権限付与タイプおよびカスタム属性についても同様の動作が提供されます。既存のPUT
操作では、OAuthクライアント・パラメータの内容がリクエストの値で置き換えられます。
1.11 OAMバンドル・パッチ12.2.1.4.210408の新機能と拡張機能
Oracle Access Management 12.2.1.4.210408 BPには、次の新機能と拡張機能があります:
-
セッション管理の最適化
セッション管理エンジンは、負荷がかかっている際のシステム・パフォーマンスを改善するように最適化およびチューニングされています。
『パフォーマンスのチューニング・ガイド』の「Oracle Access Managementのデータベース・チューニング」も参照してください。
-
OAuthリフレッシュ・トークンの管理
OAuthトークン管理機能が拡張され、リフレッシュ・トークンを無効化できるようになりました。
詳細は、『Oracle Access Management管理者ガイド』のOAuthトークンの失効に関する項を参照してください
-
ApacheおよびIIS Webサーバー対応の12c Webゲート
IISおよびApache Webサーバー用のWebGatesは、このリリースで使用可能になります。
詳細は、『Oracle Access Manager WebGatesのインストール』のOAM用のIIS 12c WebGateのインストールと構成に関する項を参照してください
-
TLS 1.3およびFIPS 140-2のサポート
このリリースは、FIPSおよびTLSの最新の標準およびバージョンに準拠しています。
詳細は、『Oracle Access Management管理者ガイド』のOracle Access ManagementでのFIPSモードの有効化およびOracle Access ManagementでのTLS 1.3およびTLS 1.2のサポートに関する項を参照してください。
1.12 OAMバンドル・パッチ12.2.1.4.201201の新機能と拡張機能
Oracle Access Management 12.2.1.4.201201 BPには、次の新機能と拡張機能があります:
-
OAMでのProof Key for Code Exchange (PKCE)のサポート
既存のOAM OAuth認可コード付与フローにPKCEのサポートが導入されました。これを使用すると、既存の3-legged OAuthのセキュリティが強化され、認可コードのインターセプト攻撃の可能性を軽減できます。PKCEはドメイン・レベルで有効にすることも、特定のクライアントに対してのみ有効にすることもできます。
詳細は、『Oracle Access Management管理者ガイド』のOAMでのProof Key for Code Exchange (PKCE)のサポートに関する項を参照してください。
-
OAUTH_TOKENレスポンスを未設定のままにする
OAMには、SSOセッション・リンクが有効になっている場合に
OAUTH_TOKEN
のCookieまたはヘッダーを設定しないというオプションがあります。チャレンジ・パラメータIS_OAUTH_TOKEN_RESPONSE_SET
をfalse
に設定する必要があります。ノート:
IS_OAUTH_TOKEN_RESPONSE_SET
が構成されていない場合、またはtrue
に設定されている場合は、OAUTH_TOKEN
のCookie/ヘッダーが設定されます。
1.13 OAMバンドル・パッチ12.2.1.4.200909の新機能と拡張機能
Oracle Access Management 12.2.1.4.200909 BPには、次の新機能と拡張機能があります:
-
SAMLレスポンスでのAWSロール・マッピング属性のサポート
SAMLレスポンスでAWSロール・マッピング属性をサポートするためにSP属性プロファイルで構成できる新しい関数が導入されています。
詳細は、『Oracle Access Management管理者ガイド』のSAMLレスポンスのAWSロール・マッピング属性に関する項を参照してください
-
OAMフェデレーションでの属性値マッピングおよびフィルタのサポート
OAMフェデレーションでは属性名マッピングがサポートされていました。サポートが属性値マッピングおよび属性フィルタリング機能に拡張されました。
詳細は、『Oracle Access Management管理者ガイド』の属性値マッピングおよびフィルタリングの使用に関する項を参照してください
1.14 OAMバンドル・パッチ12.2.1.4.200629の新機能と拡張機能
Oracle Access Management 12.2.1.4.200629 BPには、次の新機能と拡張機能があります:
-
OAM CookieでのSameSite=None属性のサポート
OAMは、WebGateおよびOAMサーバーによって設定されたすべてのCookieに
SameSite=None
属性を追加します。ノート:
- また、この機能を使用するには、最新のWebGateパッチをダウンロードしてアップグレードする必要もあります。詳細は、https://support.oracle.comにあるノート
Support for SameSite Attribute in Webgate (Doc ID 2687940.1)
を参照してください。 - また、https://support.oracle.comにあるノート
Oracle Access Manager (OAM): Impact Of SameSite Attribute Semantics (Doc ID 2634852.1)
も参照してください。
OAMサーバーのオプション構成
- SSL/TLSがロード・バランサ(LBR)で終了し、OAMサーバーがSSL/TLSモードで実行されていない場合、setDomainEnv.shで次のシステム・プロパティを設定します:
-Doam.samesite.flag.value=None;secure
または、LBRまたはWeb層からOAMサーバーへSSL/TLSコンテキストを伝播できます。詳細は、https://support.oracle.comにある
ドキュメントID 1569732.1
を参照してください。 - OAMサーバーが
SameSite=None
を含めるのを無効にするには、setDomainEnv.shで次のシステム・プロパティを設定します:-Doam.samesite.flag.enable=false
- 非SSL/TLS HTTP接続に
SameSite=None
を設定するには、setDomainEnv.shで次のシステム・プロパティを設定します:-Doam.samesite.flag.enableNoneWithoutSecure=true
例: システム・プロパティをsetDomainEnv.shに追加するには:- すべての管理サーバーおよび管理対象サーバーを停止します。
$OAM_DOMAIN_HOME/bin/setDomainEnv.sh
を編集し、次のようにプロパティを追加します:EXTRA_JAVA_PROPERTIES="-Doam.samesite.flag.enable=false ${EXTRA_JAVA_PROPERTIES}" export EXTRA_JAVA_PROPERTIES
- 管理サーバーおよび管理対象サーバーを開始します。
WebGateのオプション構成
- SSL/TLSがLBRで終了し、OAM Webgate WebServerがSSL/TLSモードで実行されていない場合、WebGateでリクエストがSSL/TLSとして処理されるように、「ユーザー定義パラメータ」構成でProxySSLHeaderVarを設定します。詳細は、ユーザー定義のWebGateパラメータに関する項を参照してください。
- OAM WebGateが
SameSite=None
を含めるのを無効にするには、コンソールの「ユーザー定義パラメータ」構成でSameSite=disabled
を設定します。これはエージェントごとの構成です。 - 非SSL HTTP接続に
SameSite=None
を設定するには、コンソールの「ユーザー定義パラメータ」構成でEnableSameSiteNoneWithoutSecure=true
を設定します。これはエージェントごとの構成です。
ノート:
SSL/TLSコンポーネントと非SSL/TLSコンポーネントの混在を使用するデプロイメント: 非SSL/TLSアクセスの場合、OAMサーバーおよびWebgateはCookieに
SameSite=None
を設定しません。一部のブラウザ(Google Chromeなど)では、非セキュア(非SSL/TLSアクセス) CookieのSameSite=None
設定が許可されないため、不一致が検出された場合にCookieが設定されないことがあります。そのため、このようなSSL/TLSと非SSL/TLSが混在したデプロイメントはSSL/TLSのみのデプロイメントに移行して、全体的なセキュリティを強化することをお薦めします。
- また、この機能を使用するには、最新のWebGateパッチをダウンロードしてアップグレードする必要もあります。詳細は、https://support.oracle.comにあるノート
-
拡張キーの使用状況(EKU)によるX.509認証
X.509認証フローでは、証明書の使用が許可されるように、拡張キーの使用状況(EKU)証明書拡張チェックをオプションで追加できます。
詳細は、『Oracle Access Management管理者ガイド』の拡張キーの使用状況(EKU)を使用したX.509認証に関する項を参照してください。
1.15 OAMバンドル・パッチ12.2.1.4.200327の新機能と拡張機能
Oracle Access Management 12.2.1.4.200327 BPには、次の新機能と拡張機能があります:
-
OAuth承認管理
データ・センター間でユーザー承認を取り消すメカニズムを実現しながら、ユーザー承認を管理および永続化する機能を提供します。承認取消し機能は、管理者と個々のユーザーの両方に提供されます。
詳細は、『Oracle Access Management管理者ガイド』の承認管理の有効化に関する項およびMDCでの承認管理の有効化に関する項を参照してください
- OAuth Just-In-Time (JIT)のユーザー・リンクおよび作成
ユーザーを自動的にプロビジョニングする機能を提供します。アイデンティティ・プロバイダ(IdP)から受信したIDトークンには、ユーザー属性が含まれます。これらのユーザー属性には、ユーザーID、ユーザー名、名、姓、電子メール・アドレスなどの値が含まれますが、これらを使用してユーザーをローカル・ユーザー・アイデンティティ・ストアのエントリにリンクしたり、それらを作成したりできます(存在しない場合)。
詳細は、『Oracle Access Management管理者ガイド』のOAuth Just-In-Time (JIT)のユーザー・プロビジョニングに関する項を参照してください
- OAMスナップショット・ツール
OAM IDMドメインとそのすべての構成のスナップショットを作成して永続化し、それを完全に機能するOAM IDMドメイン・クローンで使用するためのツールを提供します。
詳細は、『Oracle Access Management管理者ガイド』のOAMスナップショット・ツールの使用に関する項を参照してください
- SAML Holder-of-Key (HOK)プロファイル・サポート
アイデンティティ・プロバイダ(IdP)として機能する際のOAMに対してSAML Holder-of-Key (HOK)プロファイル・サポートが追加されました。このサポートは、OCIサービス・プロバイダ(SP)・パートナとともに使用します。
詳細は、https://support.oracle.comのノート
OAM 12c Identity Provider (IDP) for SAML Profile Support with OCI Service Provider (SP) Partners (Doc ID 2657717.1)
を参照してください。
1.16.1 スタック・パッチ・バンドル
スタック・パッチ・バンドルでは、ツールを使用して、IDM製品および依存FMWパッチをデプロイします。これらのパッチの詳細は、https://support.oracle.comにあるQuarterly Stack Patch Bundles (Doc ID 2657920.1)
を参照してください。
1.16.2 バンドル・パッチ
バンドル・パッチは、ベースライン・プラットフォーム上のOracle Fusion Middlewareコンポーネントに対するOracleの公式パッチです。バンドル・パッチ・リリース文字列の5桁目は、バンドル・パッチ番号を示していました。2015年11月、バージョン番号の形式が変更されました。新しい形式では、バンドル・バージョンの5桁目の数値は、「YYMMDD」形式のリリース日付に置換されます:
-
YYは西暦年の下2桁です。
-
MMは数値形式の月です(2桁)。
-
DDは数値形式の日付です(2桁)。
各バンドル・パッチには、1つ以上のフィックスを実装するために再ビルドされたライブラリおよびファイルが含まれます。バンドル・パッチ内のフィックスはすべてテストされ、相互の動作が保証されています。
各バンドル・パッチは累積されます。最新のバンドル・パッチには、同じリリースおよびプラットフォーム用の以前のバンドル・パッチのすべてのフィックスが含まれます。バンドル・パッチで提供されたフィックスは、次のリリースに組み込まれます。
1.16.3 個別パッチ
バンドル・パッチとは異なり、個別パッチは、単一のコンポーネントの1つの問題にのみ対応しています。各個別パッチは、正式なOracleパッチですが、完全な製品ディストリビューションではないため、すべてのコンポーネント用のパッケージは含まれていません。個別パッチには、特定のコンポーネントの特定の修正を実装するために再構築されたライブラリおよびファイルのみが含まれています。
個別セキュリティ、例外リリース、x-fix、PSE、MLRまたはホットフィックスとして個別パッチを理解する必要もあります。
1.16.4 パッチ・セット
パッチ・セットは、十分にテストおよび統合された製品フィックスを提供するためのメカニズムです。これらのフィックスは、同じリリースのインストール済コンポーネントに適用できます。パッチ・セットには、リリース用の以前のバンドル・パッチで入手可能なすべての修正が含まれます。パッチ・セットには、新機能が含まれる場合もあります。
各パッチ・セットには、不具合の修正(および存在する場合は新機能)を実装して再構築されたライブラリおよびファイルが含まれます。ただし、パッチ・セットは完全なソフトウェア配布ではない場合もあり、すべてのプラットフォームのすべてのコンポーネント用のパッケージが含まれていないことがあります。
パッチ・セットのすべての修正はテスト済であり、指定されたプラットフォームで互いに機能することが動作保証されています。
1.17 推奨事項
オラクル社では、アイデンティティ管理製品の依存ミドルウェア・コンポーネントのパッチを動作保証しており、お客様はこれらの動作保証済パッチを適用するようお薦めします。
これらのパッチの詳細は、https://support.oracle.comのノートCertification of Underlying or Shared Component Patches for Identity Management Products (Doc ID 2627261.1)
を参照してください。
1.18 バンドル・パッチの要件
Oracleでサポートされている状態を維持するには、パッケージが提供されているすべてのインストール済みコンポーネントにバンドル・パッチを適用します。次のことをお薦めします。
- バンドル内のすべてのインストール済みコンポーネントに最新のバンドル・パッチを適用します。
- OAMサーバー・コンポーネントが、常に、同じリリースのインストール済みWebGateと同じ(またはそれ以上の)バンドル・パッチ・レベルになるようにします。
1.19 バンドル・パッチの適用
バンドル・パッチ・ファイルを準備してインストールする場合(または、元のインストールに戻す必要があり、バンドル・パッチを削除する場合)は、次のトピックを参照してください:
ノート:
-
次の必須パッチをインストールする必要があります:
- OPSS: 36316422
- OWSM: 37035947
- OINAV: 37054395
- WLSパッチ: 37087476
- libovd: 36649916
- EM個別: 34542329
- ADF: 37028738
- Coherence: 37049907
- FMWサードパーティ・バンドル: 37103277
-
2024年3月から、通信にSIMPLEモードの証明書を使用するOracle Access Manager (OAM)コンポーネントは機能しなくなるため、予防策を講じないかぎり、OAM環境は停止します。詳細は、2024年3月のOracle Access Manager (OAM)の即時利用可能な証明書の有効期限(ドキュメントID 2949379.1)(https://support.oracle.com)を参照してください。
1.19.1 Oracleパッチ・メカニズム(OPatch)の使用
Oracleパッチ・メカニズム(OPatch)は、サポートされているすべてのオペレーティング・システムで動作するJavaベースのユーティリティです。OPatchを使用するには、Oracle Universal Installerをインストールする必要があります。
ノート:
My Oracle SupportからOPatchの最新バージョンを入手することをお薦めします。OPatchでパッチを適用するには、有効なOracle Universal Installer (OUI)インベントリへのアクセス権が必要です。
パッチ適用プロセスでは、unzipとOPatchの両方の実行可能ファイルが使用されます。ORACLE_HOME
環境変数をソースにした後、パッチ適用前にこれらの両方が存在していることを確認するようお薦めします。OPatchには、$ORACLE_HOME/OPatch/opatch
でアクセスできます
OPatchを起動すると、パッチが検証され、$ORACLE_HOME
にすでにインストールされているソフトウェアとの競合がないことが確認されます。
-
$ORACLE_HOME
にすでに適用されているパッチとの競合が見つかった場合、パッチのインストールを停止して、Oracleサポート・サービスまで連絡してください。 -
$ORACLE_HOME
にすでに適用されているサブセット・パッチとの競合が見つかった場合は、バンドル・パッチの適用を続行します。新しいパッチのインストールが開始される前に、サブセット・パッチが自動的にロール・バックされます。最新のバンドル・パッチには、$ORACLE_HOME
内の以前のバンドル・パッチのすべてのフィックスが含まれます。
このバンドル・パッチでは、-autoフラグは有効化されていません。-autoフラグなしの場合、サーバーが実行中である必要はありません。デフォルトのインストールでは、マシン名とリスニング・アドレスは空白でかまいません。
次の手順のステップを実行して環境を準備し、OPatchをダウンロードします:
-
My Oracle Support(https://support.oracle.com/)にログインします。
-
必要なOPatchのバージョンをダウンロードします。
-
opatch -version
を使用して、OPatchのバージョンが最新かどうかをチェックします。以前のバージョンのOPatchの場合は、最新バージョンをダウンロードします。 -
次のコマンドを実行して、必要な実行可能ファイル(opatchおよびunzip)がシステムにあるかどうかを確認します。
Run which opatch
- OPatchのパスを取得Run which unzip
- unzipのパスを取得実行可能ファイルのパスが環境変数"PATH"にあるかどうかを確認します。ない場合は、パスをシステムPATHに追加します。
-
次のコマンドを使用して、OUIインベントリを確認します。
opatch lsinventory
Windows 64ビット:
opatch lsinventory -jdk c:\jdk180
エラーが発生した場合は、続行する前にOracleサポートに連絡してインベントリ設定を検証および確認します。
ORACLE_HOME
が表示されない場合は、中央インベントリに存在していない可能性があります。または、中央インベントリ自体がないか破損している可能性があります。 -
次のトピックOAMバンドル・パッチの適用の情報を参照してください。
1.19.2 OAMバンドル・パッチの適用
ここに記載されている情報およびステップを使用し、Oracleパッチ(OPatch)を使用して任意のプラットフォームからバンドル・パッチを適用します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順はどのプラットフォームでも同じです。
各バンドル・パッチ内のファイルは、宛先$ORACLE_HOME
にインストールされます。これにより、作成した一時ディレクトリから元のバンドル・パッチ・ファイルを削除した場合でも、バンドル・パッチを削除(ロール・バック)できます。
ノート:
パッチ操作を実行する前に、適切な方法で$ORACLE_HOME
をバック・アップすることをお薦めします。任意の方法(zip、cp -r、tar、およびcpio)で$ORACLE_HOME
を圧縮できます。
このドキュメントでは、書式の制約により、サンプル・テキストの行が強制的に折り返される場合があります。これらの行の折り返しは無視してかまいません。
OAMバンドル・パッチを適用するには
OPatchには、$ORACLE_HOME/OPatch/opatch
でアクセスできます。バンドル・パッチを適用する手順を開始する前、次の操作を行う必要があります。
-
ORACLE_HOME
を設定しますたとえば:
export ORACLE_HOME=/opt/oracle/mwhome
-
export PATH=<<OPatchディレクトリのパス>>:$PATH
を実行して、OPatch実行可能ファイルがシステムPATHに表示されることを確認します。たとえば:export PATH=$ORACLE_HOME/OPatch:$PATH
1.19.3 マルチ・データ・センター(MDC)でのOAMバンドル・パッチの適用
ここに記載されている情報およびステップを使用し、MDC設定にバンドル・パッチを適用します。
マスター・データ・センターのアップグレードまたはパッチ適用を行ってから、各クローン・データ・センターのアップグレードまたはパッチ適用を行うことをお薦めします。
- マスター・データ・センターでアップグレードまたはパッチ適用を行います。詳細は、「OAMバンドル・パッチの適用」を参照してください
- パッチを適用する必要があるマスター・データ・センターとクローン・データ・センター間の自動ポリシー同期(APS)を無効にします。詳細は、『Oracle Access Management管理者ガイド』の「自動ポリシー同期の無効化」を参照してください
- oam-config.xmlの
WriteEnabledFlag
がtrue
であることを確認します。有効になっていない場合は、次のWLSTコマンドを使用して、クローン・データ・センターでWriteEnabledFlag
をtrue
に設定します。connect('weblogic','XXXX','t3<a target="_blank" href="://localhost:7001'">://localhost:7001'</a>) domainRuntime() setMultiDataCenterWrite(WriteEnabledFlag="true")
- クローン・データ・センターでアップグレードまたはパッチ適用を行います。
- 次のWLSTコマンドを使用して、クローン・データ・センターで
WriteEnabledFlag
をfalse
に変更します。connect('weblogic','XXXX','t3<a target="_blank" href="://localhost:7001'">://localhost:7001'</a>) domainRuntime() setMultiDataCenterWrite(WriteEnabledFlag="false")
ノート:
データ・センター間に不整合が発生しないよう、APSを有効にする前に、クローン・データ・センターを書込み禁止にする必要があります。 - マスター・データ・センターとアップグレードしたクローン・データ・センター間のAPSを再度有効にします。詳細は、『Oracle Access Management管理者ガイド』の「自動ポリシー同期の有効化」を参照してください
1.19.4 バンドル・パッチ適用の失敗からのリカバリ
AdminServerが正常に起動しない場合は、バンドル・パッチの適用が失敗しています。
- パッチ適用で構成の問題がないことを確認します。
- AdminServerを正常に起動できることを確認します。
- AdminServerを停止し、「バンドル・パッチの削除」の説明に従ってパッチをロールバックし、バンドル・パッチを再度適用します。
1.20 バンドル・パッチの削除
バンドル・パッチが適用された後、それをロールバックする場合、次のステップを実行します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順は同じです。バンドル・パッチが削除された後、システムは、パッチ適用の直前の状態に復元されます。
ノート:
- バンドル・パッチを削除すると、バンドル・パッチ適用後に行われた手動の構成変更がすべてオーバーライドされます。これらの変更は、パッチの削除後に手動で再適用する必要があります。
- 最新バージョンのOPatchをロールバックに使用します。これより古いバージョンのOPatchをロールバックに使用すると、次の失敗メッセージが表示されます:
C:\Users\<username>\Downloads\p37151668_122140_Generic\37151668 >c:\Oracle\oam12214\OPatch\opatch rollback -id 37151668 Oracle Interim Patch Installer version 13.9.2.0.0 Copyright (c) 2020, Oracle Corporation. All rights reserved. ...... The following actions have failed: Malformed \uxxxx encoding. Malformed \uxxxx encoding.
次の手順に従って、システムでバンドル・パッチを削除します。
1.21 解決された問題
このバンドル・パッチでは、次の項で説明されているフィックスが提供されます。
-
OAMバンドル・パッチ12.2.1.4.240701で解決された問題
-
OAMバンドル・パッチ12.2.1.4.240328で解決された問題
-
OAMバンドル・パッチ12.2.1.4.240109で解決された問題
-
OAMバンドル・パッチ12.2.1.4.231005で解決された問題
-
OAMバンドル・パッチ12.2.1.4.230628で解決された問題
-
OAMバンドル・パッチ12.2.1.4.230317で解決された問題
-
OAMバンドル・パッチ12.2.1.4.221208で解決された問題
-
OAMバンドル・パッチ12.2.1.4.220906で解決された問題
-
OAMバンドル・パッチ12.2.1.4.220623で解決された問題
1.21.1 OAMバンドル・パッチ12.2.1.4.241009で解決された問題
表1-1 OAMバンドル・パッチ12.2.1.4.241009で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
36988215 | DCCトンネリングが14.1.2.0.0 WEBGATEで機能しない |
22086890 | バグ22086890の修正 |
36698101 | アーティファクト・バインディングが有効な場合に36268742を適用した後のSOAPエラー |
36800770 | 古いJACKSON依存性によりパスワードを忘れた場合のフローが失敗する |
36304146 | ORACLE.OAM.PROXY.OAMロガーからのスレッド・ダンプ |
36783960 | OAM - 14C DCC WEBGATEをサポートするための変更 |
36500395 | 戻りURLに接頭辞"/OAMFED/"を追加するIDP検出サービス"DISCOVERY.JSP" |
30674068 | OAUTH認可コードの有効期限をハードコードされた5分の値から変更できない |
35313268 | ENH - OPENID - リフレッシュ・トークン使用時に指定される新規IDトークン |
26417358 | バグ26417358の修正 |
19988352 | バグ19988352の修正 |
34381899 | バグ34381899の修正 |
36975884 | OAAでMFAを容易にするプラグイン |
36789669 | OAMリソースのパスワードレス・フローがシステム・エラーで失敗する |
36734401 | チップ構成依存関係の強化 |
36666715 | パートナ・キーUIの最適化 |
36248319 | VBのIFRAMING FAページをブロックするOAM COOKIE |
36124197 | OAUTHトークンの自動再利用検出 |
16315022 | バグ16315022の修正 |
36805629 | OAUTHアクセス・トークンAUDに2レッグ・フローの認可サーバーURLが含まれる
この機能を使用するには、
setDomainEnv.sh ファイルで次のシステム・プロパティをfalse に設定する必要があります
デフォルトでは、このシステム・プロパティ値は |
36739991 | 既知/OPENID構成URLに誤ったアルゴリズムが表示される |
36724949 | 2024年4月のCPUパッチの適用後にOTPパスワードのリセットが失敗する |
36766496 | ORA-14300: 最大PERMITTEDNUMBER外のパーティションへのキー・マップのパーティション化 |
36694433 | OMAフローでFAILEDCOUNTFIELDが更新されない |
36268742 | OAM SOAPフォルト・レスポンスのエンベロープがない |
1.21.2 OAMバンドル・パッチ12.2.1.4.240701で解決された問題
表1-2 OAMバンドル・パッチ12.2.1.4.240701で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
36714022 | ANDROIDプッシュ通知MFA : プッシュ通知フローに関するGOOGLE FCM APIの変更点 |
36534269 | 1月または4月20日以降、IDM SPB 24 OAM MFA SMS PHONEMASKREGEXがマスキングを停止 |
36416361 | アカウントのロック時にOMAでの認証が可能 |
33471957 | ER: OAM 12.2.1.4 - OAUTHのRS512トークン署名アルゴリズムをリクエスト |
36345002 | MTLSクライアントによるOAUTHトークンの取消しが、「クライアント資格証明が無効です」で失敗する |
36502257 | OAUTHスコープのRESOURCESERVERNAMESPACEPREFIXにコロンを使用した無効な入力
ノート: この機能を使用するには、
|
36015259 | PUBLICCLIENTREFRESHTOKENENABLEDおよびGRANTTYPEREFRESHTOKENENABLEDがクレームに表示される |
36103252 | CVE-2020-13956 |
36416071 | OAM 12CR4 - 1月のSPBパッチ36179836の適用後にOTP認証が失敗する |
36495989 | OAUTHトークン情報エンドポイントがRFCに準拠していない
ノート: この機能を使用するには、
|
36022806 | ENABLEEXTRASAMLATTRをTRUEに設定すると、セッションで40を超える文字列タイプのプロパティがサポートされる |
36172877 | フェデレーション・プロキシ対応フロー: 認証済フェデレーテッド・ユーザーをUSERIDENTIFICATIONPLUGINに渡すことが必要
ノート: この機能を使用するには、
|
36565740 | OHS経由での14.1.2:OAMCONSOLEアクセスではHA設定で操作エラーが返される |
36268857 | IOSプッシュ通知がJAN 24 BPリリースと連携しない |
36293695 | OAUTHクライアント更新でクライアント・シークレットが更新される |
36410353 | ブラウザでOAM_ID COOKIEが2つ送信されるとOAMが失敗する |
1.21.3 OAMバンドル・パッチ12.2.1.4.240328で解決された問題
表1-3 OAMバンドル・パッチ12.2.1.4.240328で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
36413066 | セッション検証エンドポイントを利用して、TAPトークンに基づいてOAM_RMトークンを再生成する |
35299815 | 簡易モードでOAMサーバーまたはWEBGATEエージェントを作成/編集する機能の削除 |
36282327 | WEBGATEエージェントの登録により、期限切れが近い単純な証明書がエージェント・アーティファクトにインストールされる |
36408603 | APIキー・ライフサイクルの最適化 |
36424469 | APIキーUIの最適化 - UIバグ修正 |
36277851 | CVE-2019-0231 |
36408621 | APIキーUIの最適化 |
36277847 | OUAのOAM認証APIはパスワード・ポリシー関連コードを返す必要がある |
36377223 | ドメイン作成時のID_TOKENサポート |
36103295 | CVE-2022-24329 |
36362711 | ロールバック後にドメイン取得が失敗する |
34906532 | ユーザー・パスワードが更新された場合のアクセス・トークンの無効化 |
33806048 | ER - フェデレーションで同時に2つの証明書を使用する可能性 |
35984683 | OAUTHクライアント・シークレットの失効およびローテーション |
36336356 | 複数のフローを使用するaccess_tokenおよびid_tokenの生成時にNPEがスローされる |
36252694 | 暗黙的GRANT_TYPEのアクセス・トークンにカスタム・クレームが存在しない |
35194455 | ER - 発行者検出識別子およびISSトークン・クレームをカスタマイズするオプション |
35662872 | ACCESS_TOKENより有効期間の長いID_TOKEN |
35188279 | OAMログ・メッセージのSAMLレスポンス属性のマスク |
34911587 | エンド・ユーザーが承認を5分遅延すると、承認ページによってエラーがスローされる |
34840243 | OAMがSPとして機能している場合の認証コンテキストのチェック |
36090820 | 非アクティブ・ユーザーに対してOBLOGINTRYCOUNTが一貫性なく更新される |
36129573 | マスターDCが2023年10月のPS4 BPより後に停止した場合、MDC OAUTH承認管理が失敗する
ノート: MDCクローンでは、
|
35946569 | OAUTHリソース・サーバーの作成がどのフィールドでも特殊文字で失敗する
ノート:
|
36264952 | SSO用の1412 OHS/12214 OAMとの統合後における1412 SOA SSOログアウトの問題 |
36029627 | OAM OAUTH: コールバックURLのSTATEパラメータが12CR2 PS4でエンコードされる
ノート:
|
35854499 | OAM 14C ENT: OAMはレガシーWEBGATE用のMD5ハッシュをサポートしている必要がある |
21271197 | 認証リクエスト取得時のOAMS.OAM_OAMメトリックの複数行 |
1.21.4 OAMバンドル・パッチ12.2.1.4.240109で解決された問題
表1-4 OAMバンドル・パッチ12.2.1.4.240109で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
35986960 | OAUTH 2.0ランタイムAPIエンドポイントはフォーム・パラメータのIDENTITYDOMAINもサポートする必要がある |
35790270 | OAM12C時間セッション |
35776509 | REST APIに手動構成済パートナの証明書失効日が表示されない |
35974882 | "CONSENTEXPIRYTIMEINMINUTES"ドメイン・カスタム属性が設定されている場合、OAUTH 2.0認可3Lエンドポイントが間違って問合せモードで返される |
35777407 | OIDC: 認可コード付与フローで必要な"RESPONSE_MODE"のサポート |
35820991 | EMAIL_VERIFIEDクレームはブールだが、ID_TOKENがそれを文字列として返す |
35798094 | CVE-2023-3635 |
35798089 | CVE-2021-0341 |
35823067 | スコープ名: 追加するPOSTあり(ただしPUT/UPDATEなし)の作業 |
35840877 | ER 34394159によるパッチ適用後の新規ユーザーに対してOTPが機能しない |
35952776 | プログラム的な認証RESTインタフェースにNULLチェックを追加する必要がある |
35437597 | OAM 12CPS4 - ER 35186662 ID_TOKENの場合、ヘッダー/COOKIEレスポンスの値がBASE64でエンコードされない |
35943082 | OAM RMトークンを使用するプログラム的な認証にRESTインタフェースを提供する |
31471722 | [ER] GRANT_TYPE=REFRESH_TOKEN OAUTHの作成時にリフレッシュ・トークン・レスポンスが必要 |
35650808 | MOBILE_CLIENTをクライアント・タイプとして使用するとリフレッシュ・トークンが返される |
35786620 | OAAからOAMへの異なるMFAフロー・エラーでのシステム・エラーの処理 |
35745907 | パイプライン・デリミタでフェデレーションが中断される |
35896603 | MFAでユーザーにランタイム問題が発生する |
35854158 | バグ35854158の修正 |
34394159 | OAM 12C - 生成されるTOTPの数を制限するオプションが必要 |
1.21.5 OAMバンドル・パッチ12.2.1.4.231005で解決された問題
表1-5 OAMバンドル・パッチ12.2.1.4.231005で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
34162278 | ペイロードを介して使用可能にする暗黙的な付与フローOIDCユーザー・スコープ・データ |
35480610 | IDSTOREREFが空の場合、クラスタ環境でのGETSESSIONINFORESPONSEブレーク |
35327681 | 診断: 警告レベルで次のエラーを記録する必要がある |
35315633 | サービス・マネージャは、変更をただちに適用し、スレッド・セーフにするためにAPI時間の改善を適用する |
35605163 | OAM 12C - OIDCプラグインのタイプミス: OUATH_CLIENT_SECRET(正しくはOAUTH_CLIENT_SECRET) |
35591710 | アプリケーションSQLのヒントが無効か、AM_SESSION関連索引の索引名が無効 |
35250383 | 監査データベース表OAM 12C環境へのブラウザ・タイプ情報の欠落 |
35504810 | OAUTH: JWTトークンからのSESSION_ID要求がOAMサーバーからのSESSION_IDと一致しない |
35692992 | EXTERNAL_IDが構成できないため、OAAプラグインの属性値がOAAに送信されて使用される |
35386271 | サードパーティ・キー・ペアを構成した後もOOTB証明書がまだ表示される |
35269389 | トークン検証: 問合せパラメータのかわりにヘッダーとしてACCESS_TOKENを渡す |
28461556 | OAM12Cアクセス・トークン・エンドポイントへの問合せパラメータとしてのX-OAUTH-IDENTITY-DOMAIN-NAME |
35552946 | OPENIDCONNECTPLUGIN: OAUTHTOKENが生成されず、KEY_USERNAMEが設定されない
ノート: カスタムOIDC認証モジュールで、openidconnectPlugin の追加属性にdonotpassclientid=true が設定されていることを確認します。
|
35470456 | RETURNURLVALIDATIONENABLEDを使用した場合、カスタム・ページを使用したログアウトが不正なURLで失敗する |
35327246 | OAUTH SSOリンク: セッション・タイムアウト後にアクセス・トークンが検証される |
35217506 | CVE-2021-37136 |
35509441 | OIDCプラグインがKEY_USERNAMEを設定しない |
35208828 | ENH - SERVERREQUESTCACHETYPE=COOKIEの場合、バグ30267123の解決策が必要 |
35515193 | 復号化対称キーを取得できず、かわりに秘密キーを取得した
ノート: この修正のために、次のパラメータを設定してください:-Doracle.oam.fed.isAdviceIgnoreEnabled=true |
34820203 | 特殊文字の制限によるパスワード変更ページの問題 |
35371374 | ポリシー・キャッシュ監査イベントにポリシー詳細を表示する必要がある |
34760767 | 同意なしでアクセス・トークンが生成された |
34868608 | 共通基準- TLSハンドシェイク中のNULL暗号によりCPUがスピンする |
32406872 | PKCE: OAMはパディングなしで生成されたコードを検証しない |
35724621 | OAAとOAMの統合とOAAADMIN-UIとSPUIアクセスのインストールとアクセスの不整合 |
1.21.6 OAMバンドル・パッチ12.2.1.4.230628で解決された問題
表1-6 OAMバンドル・パッチ12.2.1.4.230628で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
35194283 | SAML: リストではなく複数値としてのオーディエンス |
34634700 | IDP検出サービスが「無効またはNULLのレスポンスのURL」で失敗する
ノート: この修正のために、次のパラメータを設定してください:-Doam.federationProxyEnabled=false |
35198097 | 2022年12月OAM BPスイート適用後にMDCのAPSがブロックされる |
34556443 | JBO-25006: ADMIN Cに多数の暗号化キーがあると索引が範囲外になる |
34018795 | リクエストURLによるキャッシュの制御を許可する機能 |
35205538 | 新しいパスワードが特殊文字規則に一致しない場合、パスワード変更ページが正しくレンダリングされない |
35205593 | パスワードの変更ページにパスワード・ルールがない |
27918612 | SAML ATTRIBUTE VALUE IS NULL WHEN ONE OF THE USER ATTRIBUTE VALUE IS NULL IN COM |
32804378 | OAM/OAUTHの偽装および委任のサポート(RFC8693) |
35131903 | OAUTHトークンにはAUTHZ CODE付与タイプの'GRANT'クレームのみが含まれる
ノート: アクセス・トークンの付与タイプを有効にするには、OAuthアイデンティティ・ドメインで、enableDisplayGrantType カスタム属性をtrueに設定する必要があります。デフォルトではfalseに設定されています。
|
35112063 | SP属性プロファイル・マッピング: ユーザー属性の大/小文字の問題 |
35080285 | 12.2.1.4へのアップグレード後に"JDBCLOCATEEXCEPTION: FAILED TO LOCATE USER"が発生する |
35186662 | OPENIDCONNECTPLUGINプラグインでトークンをセッション・レスポンスとして設定する必要がある |
34911015 | REST APIを使用してOAUTHシークレット・キーを取得できない |
34092777 | CVE-2020-36518 |
1.21.7 OAMバンドル・パッチ12.2.1.4.230317で解決された問題
表1-7 OAMバンドル・パッチ12.2.1.4.230317で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
35012645 | バグ35012645の修正 |
34866912 | BP12で34085191を使用した後のNULLポインタ例外 |
34979560 | 特殊文字})付きUSERIDの組合せでOIDへの認証に失敗した
ノート: 特殊文字のエスケープを有効にするには、 デフォルトでは、このプロパティは |
35058183 | OAM 12C - OAUTH証明書がKEY_OPS=VERIFYではなくKEY_OPS=SIGNを使用している |
35117017 | バグ35117017の修正 |
35119994 | USERAUTHENTICATIONPLUGIN NULLPOINTEREXCEPTIONパスワード付与フロー・パッチ34791593 |
35066999 | /OAUTH2/REST/SECURITYのX5TおよびX5T#S256ダイジェストはRFCに準拠していない
ノート:
|
35008348 | バグ35008348の修正 |
34616152 | OOTB JPS-CONFIG.XMLに構文エラーがある |
32598824 | OAM 12CPS3: 異なるユーザー・アカウント詳細を使用したグローバル・セッションのアイドル・タイムアウト後の保護リソースへのログインは許可されない |
34831878 | 管理サーバーが12CPS4で最初に起動したときにアーティファクトがDBにプッシュされない |
34987409 | OAUTH REST-APIがACCEPT: APPLICATION/JSONでGRANTTYPESをリストしない |
35008310 | バグ35008310の修正 |
34994891 | タイムアウト後、ユーザーにはSESSIONIDを持つ既存のセッションがすでに存在する |
34791593 | ステップアップ中にINITIAL_COMMAND=NONEが使用されると、プラグイン実行が失敗する
ノート: パラメータplugin_stepup_flow=ON をINITIAL_COMMAND=NONE とともに認証スキーム・パラメータ・セクションに追加する必要があります。OAMプラグインは、OAM_ID cookieが存在し、ユーザーが認証されているかどうかをチェックします。存在する場合、フローは認証されたユーザーと一致するかどうかをチェックし、プラグインは成功を返します。
|
34727970 | /OAUTH2/REST/TOKEN/INFOエンドポイント・レスポンスがJSON形式のファイルに準拠していない
ノート: この修正を機能させるには、 デフォルトでは、これは |
34718515 | OAM SSLおよび特殊文字の制限に関するパスワード変更ページの問題 |
34881208 | エンド・ユーザー/ソース・システムIPがFED監査ログに存在しない |
34676152 | OAM_REMOTE_USERヘッダーがUIDではなくユーザーCNに設定されている |
1.21.8 OAMバンドル・パッチ12.2.1.4.221208で解決された問題
表1-8 OAMバンドル・パッチ12.2.1.4.221208で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
34847202 | バグ34847202の修正 |
34734586 | バグ34734586の修正 |
34765801 | DIAG: パッチを適用しても「LIBOVDパッチ#33368783の適用が必要」メッセージが表示される |
33327287 | 単純モードのグローバル・パスフレーズ更新で、新しく生成されたアーティファクトがDBにプッシュされない |
34350022 | ADAPTIVEAUTHNSCHEMEでアプリケーション・ドメインのタイムアウトが機能しない |
34670445 | MDCフェデレーテッド・プロキシ環境のログアウト・ページのカスタマイズ |
34728321 | 12.2.1.4の2022年10月BPによりSHA-256使用時のフェデレーテッド・ログインが機能しなくなる |
34756122 | USERIDENTIFICAIONPLUGINでユーザー名が空のときに本番OAMサーバーのCPU使用率が高くなる |
34282474 | ログアウト後に再ログインが成功URLにリダイレクトされない |
34550841 | ログアウトするとログアウト・ターゲットURLに疑問符が追加される |
34639003 | LOADING /OAMFED/POSTPROFILE.JSPのロード時にFED IDPが失敗する |
34461263 | OAMセッションではエンコード済サブジェクト文字列タイプのプロパティ10個のみがサポートされる |
34451944 | WNAフォールバック・フォームが有効でSTATEパラメータが長すぎる場合にOAUTH認可が失敗する |
34483288 | OAUTHエンドポイントの使用時にリダイレクトURLが2回エンコードされる
ノート: setDomainEnv.sh に次のJavaパラメータを設定して、この機能を有効にする必要があります:
|
34530517 | パスワードをリセットできないか、パスワード警告期間後に続行できない |
34636811 | OAM JIT : パスワード・プロンプト・フローを備えたユーザー自動プロビジョニングの認証スキームで使用されるHTMLファイルのコンテンツを表示する |
34501342 | 'REFRESH_TOKEN' GRANT_TYPEのOAUTHカスタム・クレーム・プラグインのサポート |
34456006 | AUTHZCALLBACKENABLEDがFALSEに設定されてもOAM_RESが表示される |
34298417 | OAUTH :トークンAPIの検証 : 同意作成時刻がLDAP応答読取りタイムアウトの後になる
ノート:
|
1.21.9 OAMバンドル・パッチ12.2.1.4.220906で解決された問題
表1-9 OAMバンドル・パッチ12.2.1.4.220906で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
34411580 | プリフェッチで、COOKIEにLDAP属性が取得されない |
34085191 | ポリシー・マネージャが起動していると、新しい認証スキームでSETSPPARTNERDEFAULTSCHEME()が失敗する |
34461370 | バグ34461370の修正 |
34020728 | OAM 12CPS4: カスタム・スコープおよびOPENIDスコープで認可コードが生成されると、/OAUTH2/REST/USERINFOで400レスポンス・コードが取得される |
32960094 | SAMLレスポンスでのカスタム属性のサポート
ノート: setDomainEnv.sh に次のシステム・プロパティを設定して、この機能を有効にする必要があります:
|
34373383 | バグ34373383の修正 |
34469057 | すべてのアイデンティティ・ドメインをリストする際のJSON形式 |
34359848 | SSOセッションがNULLまたは無効で、IDPとしてのOAMが失敗する |
34353017 | ログイン・ページで15分(デフォルトのREQタイムアウト)経過すると、OAM 12Cのシステム・エラーが発生する |
34467460 | リダイレクトURLに"?"が含まれているとOAUTHフローが破損する |
31916721 | OAUTH : 12CPS4 : クライアント・シークレット: 表示\取得できない |
34247621 | グループ名にギリシャ文字があると、OAM - アダプティブ認証ルール違反になる |
33629727 | クローンに認証モジュールがない |
34223066 | OAMサーバー: MDC : いくつかのエラーでログがあふれる |
34403516 | パートナ・メタデータでKEYINFOが破損していると、OAMでINVALIDMETADATAFILEEXCEPTIONがスローされない |
34241746 | アプリケーション・ドメインの最終アクセス時間が更新されず、予期しないアイドル・タイムアウトが発生する |
34234548 | 11G WEBゲートとは異なり、OAM_LOGOUT_CALLBACK_URLSが、12CPS4 DCC WEBゲートで起動されない |
34187283 | フェデレーションがプロキシとして機能している場合、MULTIVALUEGROUPSが正しく動作しない
フェデレーション・プロキシのユース・ケースでは、アイデンティティ・プロバイダ(IdP)によって返された複数値属性を複数値属性としてサービス・プロバイダ(SP)に送信する必要がある場合、OAMコンソールから次の構成を実行する必要があります。
|
34238089 | OAM REST APIで、処理前のオプション・コールに認可ヘッダーが要求される |
34060169 | ORA-01878 本番でパーティション数が100単位で増加する |
34049361 | 'CLIENT_CREDENTIALS' GRANT_TYPEのサポートに28228295が必要 |
34149570 | FAILONCONSENTSTOREERROR: BP 06以降で機能しない |
34142447 | OAM 12Cの詳細セッション検索で、ストレージが構成されていないというエラー・メッセージ |
34020168 | カスタムWARのデプロイ後に、OAM起動ログにXMLSTREAMEXCEPTIONが記録される |
32927966 | OAM SPで、SAMLレスポンスの署名アルゴリズムSHA256-RSA-MGF1が認識されない
ノート: このバグは、OWSMパッチ34839859に依存します。 |
1.21.10 OAMバンドル・パッチ12.2.1.4.220623で解決された問題
表1-10 OAMバンドル・パッチ12.2.1.4.220623で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
33843455 | OAM 12.2.1.4 - OAUTHクライアント・アプリケーションがエラーで失敗 - 状態文字列が無効 |
33822933 | 12CPS3 : プロファイル電子メール要求属性マッピング |
33752393 | OAMREAUTHENTICATEにより、デコードされた形式で問合せ文字列のURLが渡される
ノート: 修正を有効化するには、次のJavaパラメータをsetDomainEnv.sh : -Doracle.oam.proxy.queryStringDecoding=false. に追加します |
34031691 | FR_CAにパスワード・ルールが表示されない |
33901539 | 基礎のIDPで顧客がSSOをテストする際にシステム・エラーが発生する |
27050584 | 11.1.2.3フェデレーションでIDP DNマッピングを大/小文字区別なしにする方法 |
33735897 | 一部のユーザーでは、X509認証の使用中に、USERPRICIPALNAMEが特殊文字で抽出される |
33837000 | CONFIGUREPOLICYRESPONSESが想定どおりに機能しない
ノート: この機能を使用するには、setDomainEnv.sh に次のJavaプロパティを追加します: -Doam.fed.attr.isReplaceBackslashComma=true |
34088890 | MFA OTP監査 |
1.21.11 OAMバンドル・パッチ12.2.1.4.220404で解決された問題
表1-11 OAMバンドル・パッチ12.2.1.4.220404で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
33856331 | パスワード・ルールがフランス語で表示されない |
33814292 | 未使用のロギングの依存関係が削除される |
33409018 | 正しい索引を使用するため、DB SMEに使用される2つのOAM SQLにヒントが必要となる |
33417041 | OAM/サービス/REST/アクセス/API/V1/監査/イベント500エラー |
32910834 | 12CPS5 RUP: ファイルが見つからない。EXPORT_OFFLINE_OIMおよびIMPORT_OFFLINE_OIMの例外 |
32587773 | バグ32587773の修正 |
33724245 | FUSION APP IFRAMEへの埋込みを有効化するために許可リスト機能をサポートする |
33841128 | OAAプラグインをOOTBプラグインにする |
33913030 | システム・プロパティOAM.T2P.ENABLETOPOLOGYUPDATEを読み取るために、SYSTEM->GETPROPERTYを使用する |
33663608 | USERINFOエンドポイント: 取り消されたアクセス・トークンの値を返す |
33645782 | OAM12C: CURLを使用してチャレンジ・メカニズムOAM10Gで認証スキームを変更できない |
33478014 | エラー/警告がOAM 12C以降のサーバーの起動時に表示される |
33291908 | OAM_ID COOKIEを、ホスト・スコープ指定のかわりにドメイン・スコープ指定にする
次の構成プロパティがoam-config.xmlに導入されています:
OAM_ID Cookieのドメインを設定するには、次のステップを実行します:
|
33021500 | ASDKが実行中のOAMサーバーへの接続に失敗する |
33466152 | OAMアップグレード後のJAVA.LANG.CLASSNOTFOUNDEXCEPTION: KM 2806412.1
構成されたSMEストアがDBでない場合は、
|
33556093 | バグ30771422に修正を適用した後でも、警告エントリがログにスパム投稿される
requestMap[Cookie]を含む高度な認証ルールを使用している場合は、
|
33604330 | IPFWARNINGMSG.JSPおよびIPFPSWDCHANGEREQUEST.JSPのロード中のエラー |
33630956 | パスワード・フローで使用されるENTEROTP.JSPでフランス語のロケールが処理されない |
33690341 | CLIENT_IDおよびクライアント名に特殊文字を使用した入力が無効になる
この機能を使用するには、 |
33654883 | OAM 12CP4: 認可ポリシー・セッションで、ヘッダー/COOKIE用に構成されたカスタムまたは動的属性がレスポンスで取得されない |
33585810 | カスタム・プラグインを使用した10月のCPUパッチにより、未承諾ログインが失敗する。 |
33560440 | ENH 29337161を適用しても、AM_SESSION表に関連するパフォーマンスの問題が発生する |
33521038 | IDトークンにOAM 12CPS4 BP8電子メール・クレームのスコープが欠落している |
33604911 | ../TRUSTEDPARTNERS/SPエンドポイントでのREST問合せのNULLPOINTEREXCEPTION |
33554950 | 2021年10月CPUパッチでフェデレーション・ログインが中断される
OAMがフェデレーション・プロキシとして使用されている場合は、
|
33527784 | OIDCとWEBゲート・アプリケーションが12.2.1.4へのアップグレード後にDC\Sのクローンで失敗する
ノート: これは、OAuthアイデンティティ・ドメインとOAuth承認リソースの認証ポリシーに、異なるユーザー・アイデンティティ・ストアが使用されている場合にのみ関係します。setDomainEnv.sh に次のシステム・プロパティを設定して、この修正を有効にする必要があります:
|
33392806 | フェデレーション: SPマッピング・プロファイルで構成された属性がSAMLRESPONSEで空になっている |
1.21.12 OAMバンドル・パッチ12.2.1.4.220113で解決された問題
表1-12 OAMバンドル・パッチ12.2.1.4.220113で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
33533200 | RDNに特殊文字がある場合、認可コールが失敗する
ノート: このバグはlibovdパッチ33638694に依存しています |
33518405 | バグ33518405の修正 |
33474333 | MDC: ローカルDCでの認可コードからのアクセス・トークンの取得に失敗した
ノート: これは、OAuthアイデンティティ・ドメインとOAuth承認リソースの認証ポリシーに、異なるユーザー・アイデンティティ・ストアが使用されている場合にのみ関係します。setDomainEnv.sh に次のシステム・プロパティを設定して、この修正を有効にする必要があります:
|
33368662 | HTTPTOKENEXTRACTORプラグインが資格証明パラメータにヘッダー名を入れない
ノート: 認証モジュールのHTTPTOKENEXTRACTOR プラグインのKEY_HEADER_PROPERTY で複数のヘッダーが構成されている場合、ヘッダーはカンマで区切る必要があります。
|
32923468 | MDC: アダプティブ認証モジュール |
33389214 | OAMセッションREST APIを呼び出すと、不正なリクエスト・エラーが発生する。 |
33358965 | パスワードの変更ルールが/OTPFP/USERSELECTページでURLエンコードされているように見える |
33391677 | \を持つフェデレーテッド・ユーザーが、FILTERESCAPE値がTRUEのLIBOVDに\5C\を送信している
ノート: このバグはlibovdパッチ33638694に依存しています |
33142450 | RETURNURLVALIDATIONENABLEDを使用しても、ユーザーがURLに戻る |
33069979 | 12CPS4 OAMと11GR2PS3 OAAM間のTAP統合が機能しない
ノート: この機能を有効にするには、 デフォルトは、 |
33242499 | STRESS:FA:ATK:FMW12C: ログオン・ストーム・テストが500クライアントで失敗する |
33275487 | 診断ロギングが有効な場合にOAMログに表示されるSTRESS:FA:ATK:FMW12C: CONCURRENTMODIFICATIONEXCEPTION |
33109073 | OAMREAUTHENTICATEが初回のみ機能する |
1.21.13 OAMバンドル・パッチ12.2.1.4.210920で解決された問題
表1-13 OAMバンドル・パッチ12.2.1.4.210920で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
33192650 | OAM 12.2.1.4.210408 (BP06)を使用したクローン・データ・センターでの「システム・エラー」 |
33214625 | リダイレクトURI検証では、問合せパラメータ、フラグメントなどがサポートされていない |
33273701 | クライアント・アーティファクトの作成では、RESTドキュメントで説明されているメディア・タイプがサポートされていない |
33273732 | クライアント/信頼アーティファクトでAPIを取得しない(使用可能なポストまたは削除のみ) |
33273741 | エンドポイントの検出の問題 |
33273750 | トークン・イントロスペクション・エンドポイントが仕様に従っていない |
32958613 | JWTトークンに形式が正しくないグループが含まれている |
33273674 | OAUTHクライアント認証の相互TLS |
33273579 | CLIおよびRESTコマンドによるOAMでのSFA TOTP設定の簡素化 |
31517286 | バグ31517286の修正 |
32102796 | OAMがIDPである場合の追加カスタム・クレームのOIDC IDトークンの送付を許可 |
32201831 | LDAPからのIDトークン内の電子メール検証済クレームをプルする機能 |
30045443 | OAM OAUTH: TPCでOAUTHトークンを生成する機能 |
33098826 | SFAフローを含むパスワード・ポリシーを使用した未承諾のログイン・フローが破損する |
33055065 | OAM保護済ページにアクセスした後、フェデレーションが機能しない |
31431111 | ログアウト承認ページで、「サインアウト」のかわりに「サインイン」が表示される |
32761540 | SQL 8RWNP1YMTMWWBからのAM_AUDIT_RECORDのSTRESS:FA:ATK:FTS |
33117541 | プロキシ以外のホストの例外が機能しない |
33139217 | 12.2.1.4 2021年4月/7月BPの適用後にOAM_ADMINが起動に失敗する |
32920684 | 拡張認証ルールのインポートでIMPORTPOLICYDELTAが失敗する |
33084122 | 12C 21.07 EVNI: OHSログ(WEBGATE)の「アクセス・サーバーは、詳細情報なしで致命的エラーを戻しました。」エラー |
33074398 | APNSパッチ32625905の問題: サウンドがない |
33010382 | 29771448と31555915で修正されたパスワードの特殊文字がBP06以降に機能しなくなる |
32807465 | アイデンティティ・プロバイダを削除すると、マスターからクローン・サーバーに複製できない |
32704611 | 属性値にバックスラッシュが含まれている場合にOAUTHクライアントを作成できない
ノート: バックスラッシュ( デフォルト値は |
32909931 | OAMで12.2.1.4.210408の適用後に認証レスポンス・ヘッダーが設定されない |
32543656 | SOAPログアウト・リクエストを受信すると、OAM 11G (SP)がローカル・セッションを終了する |
32482754 | 5000文字を超えてOAUTHアクセス・トークンの最大サイズが増加される |
32879893 | OAMコンソールの断続的なエラーでポリシー・オブジェクトを表示および更新できない |
32976735 | TLS 1.2のみを使用してAIXでバックエンドLDAPとしてOAMとOUDを使用しているときに、EBS APPSLOGINが失敗する |
32568653 | 12バージョン: ACCESSSERVERCONFIGPROXYポートが5576から5575 RESTARTADMINに変更される
ノート: トポロジの更新をトリガーするには、setDomainEnv.sh で次のシステム・プロパティを設定します: -Doam.t2p.enableTopologyUpdate=true |
32953208 | OAM OPENID CONNECTログアウトでPOST_LOGOUT_REDIREにSTATEパラメータが転送されない |
32933119 | API/OAUTH2/REST/SECURITYが機能しない(エラー406) |
27582324 | OBRAR.CGIがGETメソッドを使用してデータを取得する際にPOSTデータ復元が失敗する。 |
31843528 | アサーションに、OAMが失敗する暗号化フィールドを含むアドバイス要素がある |
32828842 | OIDC-PIREAN統合 - 有効なJWTトークンではない |
32826737 | IBM AIX上でTLS 1.2のOAMコンソールのLDAP用のテスト接続が失敗する
ノート: OAMおよびOIDがTLSv1.2で設定されているIBM AIX OS 7.1または7.2では、setDomainEnv.sh で次のOAMシステム・プロパティが設定されていることを確認します:
|
32734517 | CURLを使用してX509用にAUTHNSCHEMELEVELを5から2に更新できない |
31859438 | 12C :OAUTHクライアント : 更新 : リダイレクトURI : HTTPパッチ・リクエストのサポート |
32655233 | LIBOVD 12Cのユーザー名内の特殊文字によりLDAP内のユーザーの特定に失敗する
ノート: このバグはlibovdパッチ32305678に依存しています |
32701831 | アプリケーション・ドメインのアイドル状態のタイムアウト後に、INITIAL_COMMAND=NONEを使用したリダイレクト・ループが発生する |
32501273 | リモートIPがOAUTH認可のための監査データベースに表示されない |
32653281 | 管理サーバーの起動ログに「コンテキスト・パス:/IDAAS/AM/ESSOの初期化に失敗しました」エラーが存在する |
32561825 | AUTHMON - OAM AUTHMON (OAM-MON.SH) - セッションを作成しないようにログアウトを実装する必要がない。
ノート: 12c PS4では、OAMテスターはオフライン・モードで機能せず、UIがサポートされていません。コマンドライン・サポートの場合、OAMテスター入力xmlを更新します。たとえば:
|
32650194 | バグ32487114の修正がOAM REL13パッチ32628242で機能しない |
27584970 | WEBLOGIC-APPLICATION.XMLの容量の制約により、パフォーマンスが影響を受ける |
1.21.14 OAMバンドル・パッチ12.2.1.4.210607で解決された問題
表1-14 OAMバンドル・パッチ12.2.1.4.210607で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
32682922 | フェデレーションが成功すると、ホワイトリストに登録されていなくても、戻りURLにリダイレクトされる |
31560646 | OAMログのFEDSTSエラー |
32680956 | OAM OAUTH 12Cでは、REST APIを使用する際にJSON形式で出力する必要がある
たとえば:
|
32625905 | HTTP/2 APPLE PUSH NOTIFICATIONサーバー(APNS)のサポート
Apple Push Notificationサーバー(APNS)は、2021年3月31日から、レガシー・バイナリ・プロトコルをサポートしていません。新しいサーバー( このバグ修正では、APNSの使用時にHTTP/2プロトコルがサポートされます。この機能はデフォルトで有効になっていません。 HTTP/2 APNSを使用するには、次のステップを実行します:
|
32519715 | 既存のセッションのユーザーが、ローカル認証されたユーザーと異なる |
32743560 | OAM 12CP4: 修正32632139がOAMSERVERCOMMUNICATIONMODE = HTTPで失敗している |
31629661 | ASDKが実行中のOAMサーバーへの接続に失敗する。 |
32407903 | DCC WGを介した未承諾のログインおよびログアウト中の「復号化の例外」エラー |
32376345 | OAMエンドポイントへの余分なコールを減らすには、31186283の代替ソリューションが必要 |
32198119 | GITO COOKIEドメインの更新時に無効なセッション制御パラメータ・エラーが発生した |
32291876 | WEBゲート・テンプレートを使用して2つの索引を持つプライマリ/セカンダリ・サーバーを追加すると、WEBゲート・プロファイルが破損する。 |
30116357 | 02/19パッチを適用した後、非請求投稿の認証を含むDCC WEBゲートが失敗する |
1.21.15 OAMバンドル・パッチ12.2.1.4.210408で解決された問題
表1-15 OAMバンドル・パッチ12.2.1.4.210408で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
29244150 | OAM BPの14、15または16を適用すると、トンネリングDCCとプレーンDCCとの間のSSOが破損する |
27441865 | CLIENTSSLKEYSTOREPWD、CLIENTSSLTRUSTSTOREPWDがOAM-CONFIGに正しく書き込まれていない |
28728420 | OAM-OIM FIRSTLOGINページが空白で、BACKURLにホスト識別子が含まれる |
32612533 | APRIL BP 32525944ではFED SP1とSP2パートナ保護リソース間のOAM 12CPS4 SSOが失敗する |
32153972 | 署名検証でOPENIDCONNECTPLUGINの構成に失敗した |
32392692 | ORACLE CLOUD MCS_LOGIN_324.PNGが使用されず、ログイン・ページに表示される |
32632139 | バグ32055280用のOAM 12CPS3修正が失敗する |
32433361 | ASDKが初期化に失敗する |
32477536 | COMPATIBILITYMODEがOAM_12Cの場合、ASDKが初期化に失敗した |
18957556 | OIDの停止時に診断ログでP_ERROR_CODE=OAM-3が取得されない |
29725629 | バグ29725629用の修正 |
31386392 | IDM WLS_OAM1ログのNOTSTRESS:FA:ATK:ORACLE.OAM.BINDINGエラー |
27962394 | ユーザーにポッド名が付加された |
31994408 | OAMログイン・ページがレッドウッドUIスタイルに適応するように変更される |
30155115 | OIFAUTOMATION.PL ENABLEOIFの失敗 - DBスキーマ・パスワードの使用方法が正しくない |
31430985 | 最初のサインオン・ページで、テキスト・ボックスの「ユーザーID」および「パスワード」フィールドにラベルがない |
32430636 | 12C: FAHOMEページでの500内部サーバー・エラー |
32394988 | 前景色と背景色がWCAG 2 AAコントラスト比のしきい値を満たしていない |
32487114 | WCAG 2.0-2.4.1: 繰り返されるブロックをバイパスする手段がページに必要。 |
32451171 | KM自動化: バグ# 32380923での構成変更に対応する自動化スクリプトの追加 |
27481308 | ER: OAM OAUTH PKCE (RFC 7636)サポート |
32507312 | /OAMFED/USER/SLOOAM11G?ID=OAM11G&TYPE=3へのアクセスの問題 |
29337161 | 12Cが認可リクエストごとにデータベース内のAM_SESSION表を更新する |
29951446 | OAUTHサービス: トークン終了APIが使用できない |
32380255 | IOSプッシュ通知ポート2195および2196が3 月から非推奨 |
32250953 | 内部OAM ADC環境での断続的なログインの問題 |
32428227 | OAM_ADMINデプロイメントが失敗しました |
32134602 | バグ31402491の継続、既存のセッションのユーザーがユーザーと異なる |
32340416 | OAUTH REST APIのアイデンティティ・ドメインの削除により、無効なリクエストの送信時に成功が返される |
32245443 | IAMスイート・アプリ・ドメインがない場合、ADMINSERVERの起動時にNULLポインタ例外がスローされる |
30352121 | フェデレーテッド環境においてSAMLレスポンスで送信されたユーザー・グループをフィルタリングできることが必要。 |
31776266 | トークンがすべてのスコープのカスタム属性にアクセスできる |
32167212 | 12CでのOAMキーストア・パスワードのリセット |
31558236 | ロード・バランサでのSSL終了に対してセキュア・フラグが設定されない |
32051924 | BP08後にも旧クライアントに依然としてプレーン・テキスト・シークレットがある |
31900502 | OAM12C - ワンタイム・パスワードを含めてパスワードを忘れると、SERVERREQUESTCACHETYPEフォームが機能しない |
31861713 | OAM 12.2.1.4がアウトバウンド・アーティファクトSAMLリクエスト中にクライアント証明書を送信しない |
31750371 | スタンドアロン環境で無効なOTP MAXATTEMPTSに達した後のシステム・エラー |
29971944 | OIF 11GR1の承認ページ機能がOAM 12Cフェデレーションで見つかりません |
32136382 | "-DORACLE.OAM.ENABLEEXTRASAMLATTR=TRUE"を追加した後のNULLPOINTEREXCEPTION |
31830597 | OAUTH: アクセス・トークンおよびリフレッシュ・トークンの有効期限が正しく設定されない |
31822228 | 匿名セッションが存在するとMFAが失敗する |
30922965 | ユーザーを作成および永続化できない。原因: 無効なUUID文字列: ANONYMOUS-S |
1.21.16 OAMバンドル・パッチ12.2.1.4.201201で解決された問題
表1-16 OAMバンドル・パッチ12.2.1.4.201201で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
31266182 | JWTベアラー権限のあるアクセス・トークン・リクエストが、DB一意制約違反で失敗します
ノート: MDCが有効になっているOAuthフローでは、OAM構成でパラメータSessionMustBeAnchoredToDataCenterServicingUser をfalse に設定する必要があります。
|
30674083 | OAuth 3-legged認可コードを2回以上使用できます |
28946202 | OAM監査で認証試行の失敗に対してIAU_INITIATORが取得されません |
31766587 | OAM 12c-Open ID Connect - nonceクレームがトークン内にありません |
31832371 | OAUTH_TOKENレスポンスを残すことを要求するオプションが、エラー29541818により設定されません |
31778001 | バグ31778001の修正 |
30503494 | 認証の失敗後、ユーザーが失敗URLにリダイレクトされません |
31469921 | 12cで、複数値属性がフェデレーションから値を返しません |
31734489 | ユーザーが最大許容セッション数を超えた場合のエラー・メッセージ |
31098504 | 匿名ユーザー・アカウント名を構成する機能
匿名ユーザー・セッションでユーザー名を構成するには、
AnonymousModules の下のoam-config.xml ファイルのanonymousUserName を変更します。たとえば:
ノート: 変更は、管理対象サーバーの再起動後に反映されます。 |
31641787 | OUD属性RESETPWD:TRUEがUSERAUTHENTICATIONPLUGINの認証失敗の原因になります
ノート: Oracle Unified Directoryパスワード・ポリシー属性RESETPWD=true の認証を許可するには、構成済のユーザー・アイデンティティ・ストアの下のoam-config.xml ファイルに次の属性を追加します:
|
31650595 | 内部ステージ・プライマリを起動できません |
31428183 | Webゲート・テンプレートを使用してN+2索引を持つプライマリ/セカンダリ・サーバーを追加すると、Webゲート・プロファイルが破損します。 |
31039212 | グローバル・ログアウトによりセッションがクリアされません |
31857424 | バグ31857424の修正 |
31744937 | REST API:OTP:CREATEOTP & VALIDATEOTPフローを修正する必要があります |
29154366 | OAUTH2を使用したOAM-OSB統合が機能しません |
31638527 | パスワード管理が無効な状態でのNULLポインタ例外 |
28562000 | アクセスを拒否する認証前ルールに操作エラーが表示される |
31728627 | SecurityConfig/TrustedInputsの初期化における同時実行性問題。 |
31595758 | OAM 12cでのSAMLレスポンス後に一部のSAML属性が間違ったaValueにマップされます |
31741829 | SAMLログイン・フローのORACLE.SECURITY.FED.SECURITY.UTIL.CERTRETRIEVALUTILS.GETSIGNINGCERTにおけるスレッドのスタック |
31763785 | 12c P4 - SSOリンク・フローを使用して生成されたアクセス・トークン内のクレームの一部としてSESSION_IDが存在しません |
31526660 | SAML複数値レスポンス変数のヘッダーが見つかりません |
31662739 | セッション・リンク・トークンはFED属性として使用できません |
31494411 | 無効なOTP試行が複数回行われても、ユーザーがロックされず、不正なOTP試行も停止されません
詳細は、 |
30991309 | 12c PS4でDCCトンネリングの非請求投稿が壊れています |
24485240 | FEDセッションが存在する場合、ADDATTRIBUTESTOFEDATTRIBUTESが失敗します |
1.21.17 OAMバンドル・パッチ12.2.1.4.200909で解決された問題
表1-17 OAMバンドル・パッチ12.2.1.4.200909で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
31666896 | OAM認証REST API |
31516886 | OAMCONSOLEがWEBGATEによって保護されている場合、ユーザーはアプリケーション・ドメインを表示できません |
31753451 | WLSTコマンドSETSPPARTNERATTRIBUTEVALUEFILTERの実行時にエラーが発生します |
28296759 | FORCE PASSWORD RESET NOT WORKING WITH BASIC METHOD AND FORM CACHETYPE |
25853168 | R12へのアップグレード後、フェデレーションの一部のCURLコマンドが機能しません |
29058490 | OAM OIM統合 - ユーザーのロック解除後、ログインがループします |
27566767 | ENH 27566767 - 下位互換性: OAMをIDPとして使用すると、OIF 11Gと同様にOAM 12Cで属性マッピングおよびフィルタが提供されます |
31111719 | 12CPS4:BP02: OAMコンソールUIでエラーが発生します |
31427426 | プライマリ/セカンダリ・サーバー・パラメータの更新中に無効なパラメータが表示されます。 |
30589288 | OIDCソーシャル・ログインがブロックURLセキュリティ構成のために失敗します |
30804658 | WIN2012R2: 管理サーバーのブートストラップでSQL違反を処理する必要があります |
31196076 | IPFPSWD.JSPがシステム・エラーをスローします |
26565827 | AWSロール・マッピング属性のサポート |
31186283 | OAUTHトークンの作成時にエスケープ文字が追加されます |
31555915 | パスワードの特殊文字が12.2.1.4へのアップグレード後に認証されません |
28040138 | 認可ポリシーSUCCESSURLの構成時、ORACLE ACCESS MANAGER操作エラーが発生します |
31501282 | 12.2.1.3.191201 (BP07)の適用後、パスワード変更の強制時にOAMシステム・エラーが発生します |
23096690 | PUMA - APSによるWEBGATEの同期追加/更新でパフォーマンスの問題が表示される |
31038100 | 拡張ルール解析で、属性評価に対して予期しない結果が返されます
ノート: 拡張ルールで使用されるユーザー属性を、属性値がオプションのシステム・プロパティとして追加する必要があります。
たとえば:
EXTRA_JAVA_PROPERTIES="-Doam.rule.userAttr=description::NULL_VALUE ${EXTRA_JAVA_PROPERTIES}" export EXTRA_JAVA_PROPERTIES |
31289851 | OAUTH/OIDC承認はセッションが見つからない場合に機能します |
31337500 | OAM MTスタック・スレッドおよび高CPU - UIDMX0113 |
30235925 | OAMセッションは40文字列タイプ・プロパティのみをサポートしています |
31068961 | ORA-01461: LONG列に挿入する場合にのみLONG値をバインドできます |
28855754 | 12.2.1.3 OUDパスワード・ポリシー属性RESETPWDがTRUEに設定されているため、認証が失敗する |
29120924 | AMRUNTIMEEXCEPTION: DUOプラグインを統合する際の転送の設定が無効 |
27963081 | LDAPレスポンス読取りがタイムアウト - IDSTOREの作成時(「検索ベース」が「巨大」の場合) |
1.21.18 OAMバンドル・パッチ12.2.1.4.200629で解決された問題
表1-18 OAMバンドル・パッチ12.2.1.4.200629で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
31065568 | 中間修正: OAM11Gおよび12CによるすべてのCOOKIEの発行にSAMESITE=NONEが含まれていることを確認する必要があります |
31465732 | OAMS.OAM_RESOURCE_URL警告メッセージは修正30053037で依然としてOAMログに表示されます |
30053037 | OAMログのOAMS.OAM_RESOURCE_URL警告メッセージ |
31510690 | PASSWORDRESETREQUESTS RESTエンド・ポイントが内部サーバー・エラーをスローします。 |
31508059 | セッション制御パラメータが無効です |
30622957 | X509 RFC (セキュリティ): EXTENDEDKEYUSAGEを使用したOAM認証 |
31366419 | ポストを操作するエンドポイントの検証を更新します |
31413189 | MDCの変更セッション制御APIが、MDCが有効化されていないエラーにより失敗します |
31419785 | OAMCUSTOMPAGES.WARをデプロイできません。 |
30953737 | OAMバンドル・パッチを適用した後のWLS管理サーバー・ログ・ファイルに、次の警告が表示されるようになりました - ソフトロックは有効になっていますが、本番環境では推奨されない設定です
ノート: ソフトロックを有効化/無効化するためのスクリプトの実行方法を理解するには、次のディレクトリにあるreadme.txtを参照してください:$MW_HOME/idm/oam/server/wlst/scripts/utilities/ |
31110638 | OAM 12.2.1.4 APR20 BP - IMPORTPOLICY WLST関数がポリシーのインポートに非常に長い時間を要します |
29883498 | OAM/MDCの問題: 単純モード・アーティファクトが無効です |
30669352 | 認可の失敗に対して認可レスポンスが返されませんでした |
30748479 | クライアントIPがRESTコールのAUDIT.LOGで取得されません |
30406633 | SAMLレスポンス・ヘッダーの属性をフェッチ中にNOT_FOUNDを受け取ります |
30762860 | バグ30762860の修正 |
31000954 | 12CPS4: フェデレーションは、ローカルのメモリー内ストアを使用します |
30120631 | SMS OTPページ・リフレッシュ |
30911495 | 2番目の要素の認証のオプションが1つのみの場合、2要素認証の入力テキストボックスにフォーカスが移りません |
30628496 | CREATEWEBGATETEMPLATE構文を使用してプライマリ/セカンダリ・サーバーのデータを変更できません |
30831364 | エンドポイントがBLOCKURLSリストにない場合でも、WNA CREDに対するHTTP 405でエンドポイントが収集されます |
30771422 | マップ・パラメータの詳細ルール解析が失敗します(USER.USERMAP、REQUEST.REQUESTMAP)
ノート: https://support.oracle.comにあるノートOracle Access Manager (OAM) "Invalid rule condition" Error On Advanced Rules (Doc ID 2664614.1) も参照してください。
|
30882267 | OAMカスタム・ページのLOGIN.JSPがOAM 12.2.1.4で機能しません |
28108712 | MDCセッション制御REST APIの変更が失敗します |
29715441 | OAM: USERINFO RESTコールが、LDAPプロバイダOUDの電話番号の正しい値を返さない |
30832165 | フェデレーション: FEDSTS-10202: クラスタからMDCデータを取得できませんでした |
30793308 | OAM IDP: フェデレーション・ログアウト中に断続的にシステム・エラーが検出されます |
30355996 | OAMセッションAPIは、CESTタイムゾーンでHTTP 500エラーを返します |
1.21.19 OAMバンドル・パッチ12.2.1.4.200327で解決された問題
表1-19 OAMバンドル・パッチ12.2.1.4.200327で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
30805180 | OAMスナップショット・ツール |
30805164 | OAuth承認ライフサイクル管理およびMDCサポート |
30805154 | OAuth Just-In-Time/JITプロビジョニング |
30820170 | グループの多数のユーザー・メンバーによる認可エラー |
30792754 | MDC環境のカスタム属性がアクセス・トークンに含まれていない |
21391069 | カスタム・プラグインからの認証失敗監査ログを記録する必要がある |
29717855 | DBに古いFEDセッションが存在する場合、SAMLログアウトが機能しない |
29240849 | カスタム・プラグインからの監査ログの追加認証失敗を記録する必要がある |
30634571 | 12c OAuth監査レコードによってOAUTHTOKENVALIDATEイベントに対してNULL値が返される |
30571576 | K8S: OAM_ADMINおよびOAM_SERVERアプリケーションのデプロイメントがK8Sクラスタで失敗する |
29783271 | OUD詳細の更新によってOAM-CONFIG.XMLから追加された構成属性エントリが削除される |
29885236 | 有効化されたMULTIVALUEGROUPS SPによってFED SP属性プロファイルで$USER.GROUPSが2回使用される |
30134427 | バグ30134427のフィックス |
30169956 | OAuthパスワードの権限付与タイプによって認証にプラグイン以外のLDAPモジュールのみが使用される |
30213267 | ADFカスタム・ログイン・ページのDCC WebGateトンネリングが機能しない
このフィックスにより、チャンク転送エンコーディングを使用したカスタム・ページのトンネリングが可能になります。また、Webgateのユーザー定義パラメータ tunnelingDCCReadTimeout を秒単位で指定します(たとえば、tunnelingDCCReadTimeout=30 )。
ノート: tunnelingDCCReadTimeout を指定する場合、それに応じてaaaTimeoutThreshold も増やす必要があります。
|
30460435 | ENABLEWHITELISTVALIDATIONDCCTUNNELING構成を使用してDCCトンネリング・ホワイトリストを無効化できない |
30426370 | OAM 12.2.1.4:DOWNLOADACCESSARTIFACTS: SEVERE:アーティファクトの処理リクエストの失敗 |
30468914 | OAMでHolder-of-Keyプロファイルがサポートされない。 |
30069618 | OAMAGENT-02077: 認証トークンがNULLまたは無効 |
1.21.20 OAMバンドル・パッチ12.2.1.4.191223で解決された問題
表1-20 OAMバンドル・パッチ12.2.1.4.191223で解決された問題
基本バグ番号 | 問題の説明 |
---|---|
26679791 | バグ25898731のフィックスがOAM 11.1.2.3.171017BP 26540179で失敗する |
30389257 | 2要素認証の入力テキストボックスにフォーカスが移らない |
30311080 | OIGOAMINTEGRATION.SH -CONFIGURESSOINTEGRATIONによって新規12CPS4環境でアンマーシャル例外がスローされる |
30156706 | DBストアからOAM-CONFIG.XMLを作成できないためにOAM管理サーバーの起動に失敗する |
29771448 | OAuthアクセス・トークンの生成に使用されるパスワード内の%文字がASCIIに変換される |
30144617 | パッチ29918603の適用後にエラーコードの返却動作の変更に関する問題が発生する |
29482858 | OBSSOCOOKIEの作成中にOAM 11g ASDKによって断続的にエラーがスローされる |
29541818 | OAM 12cでOAuthおよびJSONの追加ユース・ケースを指定する際のER |
29837657 | IDストア作成を検証するためのOAMによるサブツリー検索の実行 |
29290091 | 管理起動ログでの間違った選択 |
30156607 | DIAG: AMKEYSTORE検証フローに別のログを追加して管理サーバーの起動を失敗させる構成を識別する |
30243111 | DIAG: 構成の欠落/破損の問題を識別するにはデフォルト・キーストア・ブートストラップのログが必要 |
30180492 | Oracle Access ManagerでのOCIフェデレーションが想定どおりに機能しない |
30363797 | OAM11GR2PS3: WNA_DCCモジュールがセキュリティ・バグ・フィックス: 25963019で失敗する |
29649734 | 12.2.1.3.180904 (BP04)のアクセス・サーバーがJSONキーを返し、P7Bのようなドキュメントを返さない |
30062772 | フェデレーションBP18によってログアウトEND_URLがFED LOGOUで小文字に変換される |
30176378 | WLSTコマンドDISABLESKIPAUTHNRULEEVAL()の実行後にOAMサーバー・ログにエラーが記録される |
30267123 | 1つのタブからログインした後に複数のタブからログインできない。 |
1.22 既知の問題と回避策
- My Oracle Supportのドキュメント2602696.1 (https://support.oracle.com)
- バグ34636811の回避策は、My Oracle Supportのドキュメント2901185.1 (https://support.oracle.com)で確認できます
Oracle Fusion Middleware Oracle Access Managementバンドル・パッチReadme OAMバンドル・パッチ12.2.1.4.241009 Generic for all Server Platforms
G19927-01