Oracle® Fusion Middleware

Oracle Access Managemenバンドル・パッチのReadme

バンドル・パッチ12c (12.2.1.3.190609) Generic for all Server Platforms

F22458-01(原本部品番号:F18791-01)

2019年7月

このドキュメントでは、Oracle Access Managementのバンドル・パッチ12cリリース(12.2.1.3.190609)について説明しています。

このドキュメントは、Oracle Access Management 12cパッチ・セット3 (12.2.1.3.0)のベース・インストールを必要とします。このドキュメントは、Oracle Access Management 12cパッチ・セット3 (12.2.1.3.0)に付属するドキュメントに優先します。内容は次のとおりです。

1.1 バンドル・パッチについて

バンドル・パッチについて説明し、またバンドル・パッチ、個別パッチ、およびパッチ・セットの違いについて説明します。

1.1.1 バンドル・パッチ

バンドル・パッチは、ベースライン・プラットフォーム上のOracle Fusion Middlewareコンポーネントに対するOracleの公式パッチです。バンドル・パッチ・リリース文字列の5桁目は、バンドル・パッチ番号を示していました。2015年11月、バージョン番号の形式が変更されました。新しい形式では、バンドル・バージョンの5桁目の数値は、「YYMMDD」形式のリリース日付に置換されます。

  • YYは西暦年の下2桁です。

  • MMは数値形式の月です(2桁)。

  • DDは数値形式の日付です(2桁)。

各バンドル・パッチには、1つ以上のフィックスを実装するために再ビルドされたライブラリおよびファイルが含まれます。バンドル・パッチ内のフィックスはすべてテストされ、相互の動作が保証されています。

各バンドル・パッチは累積されます。最新のバンドル・パッチには、同じリリースおよびプラットフォーム用の以前のバンドル・パッチのすべてのフィックスが含まれます。バンドル・パッチで提供されたフィックスは、次のリリースに組み込まれます。

1.1.2 パッチ・セット

パッチ・セットは、十分にテストおよび統合された製品フィックスを提供するためのメカニズムです。これらのフィックスは、同じリリースのインストール済みコンポーネントに適用できます。パッチ・セットには、リリース用の以前のバンドル・パッチで入手可能なすべてのフィックスが含まれます。パッチ・セットには、新機能が含まれる場合もあります。

各パッチ・セットには、不具合の修正(および存在する場合は新機能)を実装して再構築されたライブラリおよびファイルが含まれます。ただし、パッチ・セットは完全なソフトウェア配布ではない場合もあり、すべてのプラットフォームのすべてのコンポーネント用のパッケージが含まれていないことがあります。

パッチ・セットのすべての修正はテスト済であり、指定されたプラットフォームで互いに機能することが動作保証されています。

1.2 バンドル・パッチの要件

Oracleでサポートされている状態を維持するには、パッケージが提供されているすべてのインストール済みコンポーネントにバンドル・パッチを適用します。次のことをお薦めします。

  1. バンドル内のすべてのインストール済みコンポーネントに最新のバンドル・パッチを適用します。
  2. OAMサーバー・コンポーネントが、常に、同じリリースのインストール済みWebGateと同じ(またはそれ以上の)バンドル・パッチ・レベルになるようにします。

1.3 バンドル・パッチの適用

バンドル・パッチ・ファイルを準備してインストールする場合(または、元のインストールに戻す必要があり、バンドル・パッチを削除する場合)は、次のトピックを参照してください。

注意:

常に最新のバンドル・パッチをインストールすることをお薦めします。

1.3.1 Oracleパッチ・メカニズム(Opatch)の使用

Oracleパッチ・メカニズム(Opatch)は、サポートされているすべてのオペレーティング・システムで動作するJavaベースのユーティリティです。OPatchを使用するには、Oracle Universal Installerをインストールする必要があります。

注意:

My Oracle SupportからOPatchの最新バージョン(バージョン13.9.2.0.0以上)を入手することをお薦めします。OPatchでパッチを適用するには、有効なOracle Universal Installer (OUI)インベントリへのアクセス権が必要です。

パッチ適用プロセスでは、unzipとOPatchの両方の実行可能ファイルが使用されます。ORACLE_HOME環境をソースにした後、パッチ適用前にこれらの両方が存在していることを確認することをお薦めします。OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。

OPatchが起動すると、パッチを検証して、$ORACLE_HOMEにすでにインストールされているソフトウェアとの競合がないことを確認します。

  • $ORACLE_HOMEにすでに適用されているパッチとの競合が見つかった場合、パッチのインストールを停止して、Oracleサポート・サービスまで連絡してください。

  • $ORACLE_HOMEにすでに適用されているサブセット・パッチとの競合が見つかった場合は、バンドル・パッチの適用を続行します。新しいパッチのインストールが開始される前に、サブセット・パッチが自動的にロールバックされます。最新のバンドル・パッチには、$ORACLE_HOME内の以前のバンドル・パッチのすべてのフィックスが含まれます。

このバンドル・パッチでは、-autoフラグは有効化されていません。-autoフラグなしの場合、サーバーが実行中である必要はありません。デフォルトのインストールでは、マシン名とリスニング・アドレスは空白でかまいません。

関連項目:

Oracle Universal InstallerおよびOpatchユーザーズ・ガイド

次の手順のステップを実行して環境を準備し、OPatchをダウンロードします。

  • My Oracle Support(https://support.oracle.com/)にログインします。

  • 必要なOPatchのバージョンをダウンロードします。

  • opatch -helpを使用して、OPatchのバージョンが13.9.2.0.0より前かどうかをチェックします。前の場合、最新の13.9.2.0.0バージョンをダウンロードします。

  • 次のコマンドを実行して、必要な実行可能ファイル(opatchおよびunzip)がシステムにあるかどうかを確認します。

    Run which opatch — opatchのパスを取得

    Run which unzip— unzipのパスを取得

    実行可能ファイルのパスが環境変数"PATH"にあるかどうかを確認します。ない場合は、パスをシステムPATHに追加します。

  • 次のコマンドを使用して、OUIインベントリを確認します。

    opatch lsinventory

    Windows 64ビット: opatch lsinventory -jdk c:\jdk180

    エラーが発生した場合は、続行する前にOracleサポートに連絡してインベントリ設定を検証および確認します。ORACLE_HOMEが表示されない場合は、中央インベントリから欠落している可能性があります。または、中央インベントリ自体が欠落または破損している可能性があります。

  • 次のトピックOAMバンドル・パッチの適用の情報を参照してください。

1.3.2 OAMバンドル・パッチの適用

ここに記載されている情報およびステップを使用し、Oracleパッチ(OPatch)を使用して任意のプラットフォームからバンドル・パッチを適用します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順はどのプラットフォームでも同じです。

各バンドル・パッチ内のファイルは、宛先$ORACLE_HOMEにインストールされます。これにより、作成した一時ディレクトリから元のバンドル・パッチ・ファイルを削除した場合でも、バンドル・パッチを削除(ロールバック)できます。

注意:

パッチ操作を実行する前に、適切な方法を使用して$ORACLE_HOMEをバックアップすることをお薦めします。任意の方法(zip、cp -r、tar、およびcpio)を使用して$ORACLE_HOMEを圧縮できます。

このドキュメントでは、書式の制約により、サンプル・テキストの行が強制的に折り返される場合があります。これらの行の折り返しは無視してかまいません。

OAMバンドル・パッチを適用するには

OPatchには、$ORACLE_HOME/OPatch/opatchでアクセスできます。バンドル・パッチを適用する手順を開始する前、次の操作を行う必要があります。

  • ORACLE_HOMEを設定します

    次に例を示します。 

    export ORACLE_HOME=/opt/oracle/mwhome

  • export PATH=<<OPatchディレクトリのパス>>:$PATHを実行して、OPatch実行可能ファイルがシステムPATHに表示されることを確認する。次に例を示します。 

    export PATH=$Oracle_HOME/OPatch:$PATH
  1. OAMパッチp29887467_122130_Generic.zipをダウンロードします
  2. パッチのZIPファイルをPATCH_TOPに解凍します。

    $ unzip -d PATCH_TOP p29887467_122130_Generic.zip

    注意:

    Windowsのunzipコマンドには、パス名に256文字しか使用できないという制限があります。これが発生した場合、7-Zipなどの代替ZIPユーティリティを使用して、パッチを解凍します。

    例: 7-Zipを使用して解凍するには、次のコマンドを実行します。

    "c:\Program Files\7-Zip\7z.exe" x p29887467_122130_Generic.zip

  3. 現行ディレクトリを、パッチがあるディレクトリに設定します。

    $ cd PATCH_TOP/29887467

  4. 基本製品をインストールした同じユーザーとしてログインします。

    • AdminServerおよびこのバンドル・パッチを適用するすべてのOAMサーバーを停止します。

      このOAMサーバーおよびOAMで保護されたサーバーを使用するアプリケーションには、この期間中アクセスできません。

    • $ORACLE_HOME: MW_HOMEをバックアップします。

    • バックアップ・ディレクトリを別の場所に移動し、必要に応じて後でその場所を特定できるように記録しておきます。

  5. 適切なOPatchコマンドを管理者として実行して、中央インベントリを更新してORACLE_HOMEにパッチを適用するために必要な権限が付与されていることを確認します。次に例を示します。
    opatch apply

    Windows 64ビット: opatch apply -jdk c:\path\to\jdk180

    注意:

    OPatchは、一度に1つのインスタンスで動作します。複数のインスタンスがある場合は、インスタンスごとにこれらのステップを繰り返す必要があります。
  6. すべてのサーバー(AdminServerとすべてのOAMサーバー)を起動します。

1.3.3 バンドル・パッチ適用の失敗からのリカバリ

AdminServerが正常に起動しない場合は、バンドル・パッチの適用が失敗しています。

バンドル・パッチ適用の失敗からのリカバリ手順
  1. パッチ適用で構成の問題がないことを確認します。
  2. AdminServerを正常に起動できることを確認します。
  3. AdminServerを停止し、「バンドル・パッチの削除」の説明に従ってパッチをロールバックし、パッチ適用を再実行します。

1.4 バンドル・パッチの削除

バンドル・パッチが適用された後、それをロールバックする場合、次のステップを実行します。個々のコマンド構文はご使用のプラットフォームに応じて異なる場合がありますが、全体的な手順は同じです。バンドル・パッチが削除された後、システムは、パッチ適用の直前の状態に復元されます。

注意:

バンドル・パッチを削除すると、バンドル・パッチ適用後に行われた手動の構成変更がすべてオーバーライドされます。これらの変更は、パッチの削除後に手動で再適用する必要があります。

次の手順に従って、システムでバンドル・パッチを削除します。

システムでバンドル・パッチを削除する手順
  1. 「OAMバンドル・パッチの適用」のステップを実行して環境変数を設定し、インベントリを確認して、ORACLE_HOMEまたはホスト・マシンから実行中のサービスをすべて停止します。
  2. パッチを解凍したディレクトリに変更します。例: cd PATCH_TOP/29887467
  3. バンドル・パッチを含むORACLE_HOMEディレクトリをバックアップし、そのバックアップを別の場所に移動して、後で見つけることができるようにします。
  4. OPatchを実行してパッチをロールバックします。次に例を示します。
    opatch rollback -id 29887467

    注意:

    パッチを完全にロールバックするには、config-utilityツールを使用してoam-config.xmlファイルから次の2つのエントリを削除します(ドキュメント: 2310234.1): 
    • <Setting Name="PolicyCacheComponent" Type="htf:map"> ........ </Setting>
    • <Setting Name="PolicyCacheManagementAPI" Type="htf:map"> ...... </Setting>
  5. 使用しているモードに基づいてサーバー(AdminServerとすべてのOAMサーバー)を起動します。
  6. 必要に応じて、「バンドル・パッチの適用」の説明に従いバンドル・パッチを再適用します。

1.5 解決された問題

この章では、このバンドル・パッチで解決された問題について説明します。

このバンドル・パッチでは、次の項で説明されているフィックスが提供されます。

1.5.1 12.2.1.3.190609で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

表1-1 12.2.1.3.190609で解決された問題

基本バグ番号 問題の説明

29639271

12C OAUTH - クライアント構成でカスタム属性が更新されない

29715441

 OAM: USERINFO RESTコールが、LDAPプロバイダOUDの電話番号の正しい値を返さない

注意:

電話番号を取得するには、構成済のOUDユーザー・アイデンティティ・ストアの下のoam-config.xmlファイルに次の属性を追加します: <Setting Name="TELEPHONE_NUMBER_ATTRIBUTE" Type="xsd:string">telephonenumber</Setting>

29777410

パスワード・ポリシーを持つDCCトンネリング・リソースにアクセスすると、「システム・エラー・ページ」コードが直接表示される

29769613

OAM: UPDATETIMEを使用してセッション詳細をフェッチするREST APIでは正しい値が返されない

29717855

DBに古いFEDセッションが存在する場合、SAMLログアウトが機能しない

29482228

リフレッシュ・トークンからの新規アクセス・トークンに、更新されたユーザー属性値が含まれていない

29425002

グループ・メンバーシップ数が多いユーザーのログインの問題

29423470

標準のOUD電話属性はUSERINFOで取得できない

29305502

X509PLUGINの長い名前が認証に失敗した

29244150

OAM BPの14、15または16を適用すると、トンネリングDCCとプレーンDCCとの間のSSOが破損する

29240849

カスタム・プラグインからの監査ログの追加認証失敗を記録する必要がある

29233897

DIAG: OAUTHコードでNPEの詳細なデバッグ出力が必要

29120924

AMRUNTIMEEXCEPTION: DUOプラグインを統合する際の転送の設定が無効

29053141

OAM_REQ_ID COOKIEが無効になっていないためエラーが発生する - 不正なリクエスト

29041992

OFUSIONMIDDLEWAREAUDIT->COMMONREPORTS->ACCOUNTMANAGEMENT->ダッシュボードのスロー・エラー

29011613

12C:RSA: RSAリソースにアクセスする際のシステム・エラー(ローダー制約違反エラー)の取得

28861117

DISPLAYMSG()が未定義のJAVASCRIPTエラー

28855754

12.2.1.3 OUDパスワード・ポリシー属性RESETPWDがTRUEに設定されているため、認証が失敗する

注意:

Oracle Unified Directoryパスワード・ポリシー属性RESETPWD=trueの認証を許可するには、構成済のユーザー・アイデンティティ・ストアの下のoam-config.xmlファイルに次の属性を追加します: <Setting Name="checkPwdPolicyWarning" Type="xsd:boolean">false</Setting>"

28833416

パスワード・ポリシー: パスワード・ディクショナリ・ファイルを設定できない

28811365

クラスタNULLPOINTEREXCEPTIONのDCCトンネリングでSAMLログアウトが機能しない

注意:

クラスタ環境で発生するSAMLログアウトに関する断続的な問題は修正されています。埋込み資格証明コレクタ(ECC)およびロード・バランシング・ルーターに対してスティッキネスを有効にする必要があります。外部資格証明コレクタ(DCC)の場合、oam-config.xmlファイルのrdbmsasynchronousenabled値をfalseに設定する必要があります。

28753576

修正の更新: OAM BP13と適用されたパッチ27050584のFED-18059ユーザー不一致

28728420

OAM-OIM FIRSTLOGINページが空白で、BACKURLにホスト識別子が含まれる

28716108

セッション・フィルタに日付が含まれていると、OAMセッションREST APIが失敗する

28710053

SPとしてのOAMは、サード・パーティIDPからのSLOリクエストを処理できる必要がある

28608117

R2PS3: WEBGATEテンプレートWLSTを作成し、無効なパラメータを指定してテンプレートを作成できる

28585170

認証および認可レポート・チャート用のダッシュボードが正しくない

28562000

アクセスを拒否する認証前ルールに操作エラーが表示される

注意:

このバクには、WebGate (バグ: 28793688)に対する依存性があります。WebGateの問題を解決するには、My Oracle Supportで個別パッチをリクエストします。

28548575

OAMは2つの疑問符があるURLを正しくデコードできない

28490555

アイドル・セッションが見つかると、セッションREST APIが失敗する

28308009

クライアントの更新時に、OAM 12C OAUTHクライアント・シークレットが失われる

28244927

12C BP: 新規作成されたユーザー・ログインでエラーが発生した

28240206

OAMコンソールにおける、「指定されたユーザー検索ベースは無効です」メッセージが正しくない

28092100

CURLコマンドを使用して認証ポリシーの失敗URLを更新/変更できない

28004912

STRESS:122131OAM- 250 VU負荷でのOAM OAUTH OIDCストレス・テストにおける高CPU (70%)

27977911

暗黙的な権限付与タイプのアクセス・トークンにカスタム属性がない

27963081

LDAPレスポンス読取りがタイムアウト - IDSTOREの作成時(「検索ベース」が「巨大」の場合)

注意:

com.sun.jndi.ldap.read.timeout環境プロパティを使用して、LDAP操作の読取りタイムアウトを指定できます。デフォルト値は2000ミリ秒です。JNDI/LDAP読取りタイムアウトを15000ミリ秒に増やすには、setDomainEnvスクリプト・ファイルに次の属性を追加します:

  • ORACLE_OAM_JNDILDAPREADTIMEOUT="15000"
  • export ORACLE_OAM_JNDILDAPREADTIMEOUT

27946582

フォールバック後のWNAは、BP13の適用後に失敗する

27708019

OAM11.1.2.3 : フェデレーション: SAMLRESPONSEのログアウトにはRELAYSTATEが含まれていない。

27441865

CLIENTSSLKEYSTOREPWD、CLIENTSSLTRUSTSTOREPWDがOAM-CONFIGに正しく書き込まれていない

注意:

問題を解決するには、STSを資格証明のマップ名(フォルダ)として指定します。例: createCred(map="STS", key="clientsslkeystorepwd", user="UniqueUserNameCredential", password="mypassword", desc="identity keystore pwd")

27343162

バグ27343162の修正

26866652

フォーム入力アプリケーションIDSプロファイルにNULLPOINTEREXCEPTIONが表示される

25860509

DIAG: 拡張ルールでは、ルール実行のパフォーマンスをチェックする機能が必要

25659094

DIAG: 「MISMATCH SHOULD_BE:」エラーの詳細が必要

25541101

/OAM/PAGES/PSWD.JSPがDCCトンネリングを介して機能しない

25417605

DIAG: 「様々な管理対象サーバーでプラグインのステータスが矛盾するため、アクションが失敗しました」

21391069

カスタム・プラグインからの認証失敗監査ログを記録する必要がある

1.5.2 12.2.1.3.181213で解決された問題

このバンドル・パッチを適用すると、次の表にリストされている問題が解決されます。

基本バグ番号 問題の説明

28772291

セッションの存続期間を30日/43200分に設定すると、OAMログインの動作が停止する

28738544

19Cで行われたポリシーの破損の修正のバックポートのためのバグの追跡 - メイン・ブランチ

注意:

この修正を完全にロールバックするには、config-utilityツールを使用してoam-config.xmlから次の2つのエントリを削除します(https://support.oracle.com/のドキュメントID: 2310234.1)
  • <Setting Name="PolicyCacheComponent" Type="htf:map"> ...... </Setting>
  • <Setting Name="PolicyCacheManagementAPI" Type="htf:map"> ...... </Setting>

28677784

バグ27132341に対して行われた変更の回復

28608189

OAUTHクライアントの作成中に動的カスタム属性を構成できない

28529484

NULLまたは使用できない、OIDとは異なる属性値がOAMから送信される

28528259

ホワイトリストの比較でホスト名の大/小文字が区別される

28487853

COOKIE_BASEDセッションの変更後にOAMのハートビートが失敗する

28476106

フェデレーション属性がMEMBEROFから正しく移入されない

注意:

この修正により、responseSeparatorresponseEscapeが構成可能になり、構成がoam-config.xmlから直接読み取られます。次のwlstコマンドを使用して、responseSeparator responseEscapeCharを変更してください。

たとえば、次のようになります。

configurePolicyResponse(responseSeparator=",",responseEscapeChar="\\")

28461633

パッチ27897816の適用後の、フェデレーションとOIMの統合のログインでのシステム・エラー

28399922

JWTベアラー・フローで、OPENIDスコープ付きアクセス・トークンのリクエストに関するエラーがスローされる

28383964

パッチ28177877の適用後に、OAMでクライアントIPアドレスを受信しない

28373408

永続ログインによって、ソースIPのない複数のセッションが作成される

28290015

/JWKS_URIエンドポイントのレスポンスの形式が正しくない

28283068

OAM OIDCで、OPENID関連のスコープのみを持つ認可リクエストの500エラーがスローされる

28020400

REFRESH_TOKENを使用してリフレッシュを試行するとエラーが発生する

27962269

トークンの復号化中に例外が発生する

27791146

パスワード・ポリシー・ページでチェック・ボックスが機能しない

27684940

パスワード・ポリシー・ルールのオランダ語の翻訳がわかりづらい

27492853

フェデレーションのカスタム監査イベント・タイプのサポートが追加される

注意:

次のステップに従って、フェデレーションのカスタム監査イベントを構成します。

  1. oamconsoleから、監査の初期設定フィルタを「カスタム」に設定します。
  2. WLSTのsetFedCustomAuditEvents()displayFedCustomAuditEvents()を使用して監査を構成します。
  3. カスタム・イベントが構成されるたびに、サーバーを再起動します。

27379500

ログイン名の先頭に~があると、「パスワードを忘れた場合」の後で自動ログイン時にシステム・エラーが発生する

27343458

バグ27343458の修正

26732310

APPLICATIの後で、リソース、認可ポリシーおよび認証ポリシーを表示できない

23096690

PUMA - APSによるWEBGATEの同期追加/更新でパフォーマンスの問題が表示される

1.5.3 12.2.1.3.180904で解決された問題

基本バグ番号 問題の説明

28541209

OAM 12CPS3: DISPLAYING WRONG ERROR MESSAGE FOR LOCKED USERS

28296759

FORCE PASSWORD RESET NOT WORKING WITH BASIC METHOD AND FORM CACHETYPE 

28244683

12C BP: MORE THAN 5 TIMES USING WRONG PWD NOT REDIRECT TO FORGOT PASSWORD

28204062

AUDITOR RELOAD DOESN'T HAPPEN IN OAM 12C WHILE CHANGING FILTER PRESET

注意:

  • この不具合は10月のOPSSバンドル・パッチと依存関係があります。OAMバンドル・パッチに加えてOPSSバンドル・パッチ12.2.1.3.181016:28172453を適用してください

  • OAM Reportsの表示には、スタンドアロン・モードのBI Publisher (ドメインの構成中にBIPublisherオプションのみを使用)をお薦めします。

28202816

BP10 ON WEBGATE BREAKS LOGOUT FUNCITONALITY

28132498

EXCEPTION OCCUR WHEN REMOVEWEBGATETEMPLATEPARAMS WHITH NON-EXISTING TEMPLATE

28131039

12C: REMOVE COHERENCE CHECK FROM HEARTBEAT

27931928

AUTHORIZATION BROKEN IN APRIL OAM BP 11.1.2.3.180417 |BP14

27918612

SAML ATTRIBUTE VALUE IS NULL WHEN ONE OF THE USER ATTRIBUTE VALUE IS NULL IN COM

27797404

IMPCONSENT.JSP PAGE IS DOWNLOADED WHEN ACCESSING THROUGH DCC WEBGATE

27614683

OAM INITIATED LOGOUT NOT WORKING & ORA_OSFS_SESSION IS NOT GETTNIG CLEARED

27573288

バグ27573288の修正

注意: この不具合の修正により、次のパスワード・ポリシー機能が変更されます。

  • パスワード期限切れ警告期間 — この機能はOAMとOIMの統合シナリオでのみサポートされます。OIM統合がない場合は警告期間にOAM認証が失敗するため、ユーザーがカスタム認証プラグインを構成して、パスワード期限切れ警告ページおよび認証フローに必要な処理を示す必要があります。

    パスワード期限切れ警告期間の認証失敗の制限は、期限切れ警告期間中に、ユーザーが誤ったパスワードで認証を試みる際の異なるLDAPサーバー(OID、OUD)の挙動の違いが原因です。

  • パスワードの猶予期間ログイン試行 - この構成はパスワード期限切れ警告期間が構成されていない場合のみ機能します。最初のシナリオでは、警告期間中または期限切れ後にユーザーがパスワードの変更を強制されるため、猶予期間ログインは必要ありません。

27525584

バグ27525584の修正

27444036

F5 HEALTH MONITOR GETTING 404 FOR /OAM/SERVER/HEARTBEAT

27417512

バグ27417512の修正

27314441

OAM LOGIN FAILS WITH OAMSSA-20144 IF THE USER IN OID WITHIN GRACE LOGINS

27189773

OIDC: ACCESS TOKEN STILL VALID WHEN REM_EXP<0

25417176

FEDERATION: AUTO PROVISION TO LDAP FROM IDP SAML ASSERTION FAILS

23133385

バグ23133385の修正

1.5.4 12.2.1.3.180706で解決された問題

基本バグ番号 問題の説明

28138969

28027669の修正後、URLエンコードされたトークンでASDKエラーが発生する

注意: OAM ASDK —oamasdk-api.jar$ORACLE_HOME/common/libディレクトリに用意されており、これをASDKが使用されているアプリケーションのデプロイ先のホストにコピーします。

28027669

バグ:27161546のASDK APIの修正

27931041

互換性の修正および10G WGでのRSRC %26.HTMLに関するOAM11.1.2.3.180417:SYS ERR

27802941

フェデレーションのインシデント・レポートが原因でスタック・スレッドが発生する

27781001

バグ27781001の修正

27732020

ADMINISTRATION権限を取り消されたユーザーはREST操作でアプリケーション・ドメインにアクセスできない

27663475

バグ27663475の修正

27605692

TECHP: OAMCONSOLEを使用してIDSTOREを更新した後にLDAP_SSL_PROTOCOL設定が削除される

27601504

OAUTH - アクセス・トークンにカスタム属性がない

27584074

IMPORTACCESSSTOREが失敗する: エンティティの数が変換の前後で一致しない

27578580

CUSTOMWARファイルに「パスワードを忘れた場合」ページを含める必要がある

27528858

GET、UPDATEおよびDELETEコマンドでSESSION AUDIT:INCORRECT REQUEST TYPEが表示される

27506785

INT STG PRIMRY: BP13パッチ適用後、WebGate接続の問題が発生する

27492241

OAM: DISPLAYWEBGATE11AGENT WLST: LOGOUTURLSが表示されない

27440104

OAM 12C: OAUTH: KEYATTRIBUTENAMEの値を変更できない

27355457

OAUTH CREATEDOMAINネガティブ・ストレス・テストでSTRESS:12COAM:NULLPOINTEREXCEPTIONが発生する

27338937

DIAGログ・メッセージでログアウト・ワークフローをトレースする

27287517

DCCトンネリングのケースで機能するようにOAM-SERVER.EARのGETOTP.JSPを更新

27255144

12CのOAMCUSTOMPAGESを修正

27203475

OIDC: 予約名に対して空白文字を使用不可にする必要がある

27149541

OAM 11.1.2.2を11.1.2.3にアップグレード後、DIAGNOSTICCOOKIECONFIGが通知される

27072426

アプリケーション・ドメインのOAMコンソールに認可ポリシー内のすべてのIPを表示できない

27050584

11.1.2.3フェデレーションでIDP DNマッピングを大/小文字区別なしにする方法

注意: DNIDPMappingの大/小文字区別なし機能を有効にするには、次のwlstコマンドを実行します。

putBooleanProperty("/dnidpmapping/caseinsensitive", "true");

27028826

TECHPLAT: OAM 12.2.1.3でLDAPへの接続に失敗する

26912813

Webブラウザの言語が日本語の場合、OAM管理コンソールでエージェント・タイプがNULLになる

26864424

OAuthトークンの許可およびセッションの偽装の許可はOAMから削除する必要がある

26844537

EDITWEBGATE11GAGENTで更新し、コンソールからWGエージェントにアクセスすると、エラーが発生する

26843227

X509認証モジュールの作成のリンクが壊れている

26784192

OAMの認証プラグインのアイデンティティ・コンテキストを使用する

注意:

カスタム認証プラグインの認証コンテキストのResourceIDおよびAgentAppDomainにアクセスするには、次を使用します。

authenticationContext.getStringAttribute("ResourceId")およびauthenticationContext.getStringAttribute("AgentAppDomain")

想定されるパラメータの形式:

ResourceIDの場合: <resourceType>::<HostIdentifier>::<resourceURL>

AgentAppDomainの場合: APP:<AppDomain>|AGENT:<AgentType>:<WebgateID>

次に例を示します。

ResourceID = HTTP::RREG_HostId11G::/hostid/**::

AgentAppDomain = APP:NewAgent|AGENT:0:TWG_49

26630561

DIAG: TOTPPLUGINの詳細なデバッグ出力が必要

26540242

OAM 11.1.2.3の認証失敗コードが監査されない

26535030

OAMクラスタのポリシー・キャッシュのレジリエンシ・チェックを追加

25900160

PS2のように動作するにはPS3でOAM_RESが構成可能であることが必要

注意: 次のサンプル構成セグメントは、WLSTコマンドdisplayAuthZCallBackKey()の実行時にoam-config.xml内に導入されます。 

Xpath : "/DeployedComponent/Server/NGAMServer/Profile".

<Setting Name="AuthZCallBack" Type="htf.map">
<Setting Name="AuthZHashKey" Type="xsd:string">1E8461DFA32AD746AF28BAAAA9F327327941C14CAC216DCFA9AC17985E097A0DD603EC1DF5C6D9F5C904ED44952A5D5F</Setting>
<Setting Name="AuthZCallBackEnabled" Type="xsd:boolean">true</Setting>
</Setting>

AuthZCallBackEnabledfalseに設定されている場合、oam_resoam_res_hashのどちらにも値は移入されません。構成済の認可成功URLへのリダイレクトのみが行われます。

AuthZCallBackEnabledtrueに設定されている場合、構成済の認可成功URLへリダイレクトされた後に、oam_resoam_res_hashの両方にそれぞれの値が移入されます。

1.5.5 12.2.1.3.180414で解決された問題

基本バグ番号 問題の説明

27605234

OAM12C: リクエストが失敗してADMIN REST API AUTHNPOLICYが失敗する

27371324

PASSWORDMANAGEMENTMODULEをOAM新規インストールのデフォルト・モジュールにする

注意: BP02のパッチ適用済環境の場合、PasswordPolicyValidationSchemeは元のパスワード・ポリシー検証モジュールを使用します。OTPを使用して複数パスワード・ポリシー機能「パスワードを忘れた場合」を使用し、REST APIを使用してユーザー・ステータスを変更するユーザーは、PasswordPolicyValidationSchemeが使用するモジュールをPasswordPolicyManagementModuleに手動で変更する必要があります。

27314613

OIF: ユーザー・プロビジョニング・プラグイン対応表示システムでIDPがフローを開始する

27206989

RESTを使用して構成を更新する機能

27205555

ISALLOWSCHEMERELATIVEURLSが設定されている場合にDONEURLをログアウトすると、非ホワイトリストURLが許可される

注意: スキーム関連URLを有効/無効にするには、isAllowSchemeRelativeURLSブール属性をoam-config.xmlファイルに追加し、値をそれぞれtrue/falseに設定します。

例: 
<Setting Name="EndURLWhiteList" Type="htf:map">
	<Setting Name="isAllowSchemeRelativeURLS"
Type="xsd:boolean">true</Setting>
	<Setting Name="enableWhiteListValidation"
Type="xsd:boolean">true</Setting>
	<Setting Name="WhiteListURLs" Type="htf:map">
	</Setting>
</Setting>

27202829

通知メッセージ"OAM-CONFIG.XML AS :EXTER"がOAMログで定期的にロギングする

27161546

バグ27161546の修正

My Oracle Supportから入手できるテクニカル・ノート、ドキュメントID 2386496.1を参照してください。My Oracle Supportには、https://support.oracle.comからアクセスできます。

注意: デフォルトでは、このバグの修正は無効になっています。globalHMACEnabledtrueとして追加することで、修正を有効にできます。フラグが表示されない場合、または値falseで表示される場合、修正は無効になっています。

修正を有効にする前に、補足的な修正(バグ: 27258588、27355601および27568356)を使用してすべてのWebGateにパッチを適用する必要があります。WebGateにパッチを適用するには、次のWebGateパッチ適用プロセスに従います。

パス: NGAMConfiguration>DeployedComponent>Server>NGAMServer>Profile>oamproxy

注意: 一部のWebGateにパッチが適用されておらず、フラグが有効な場合、パッチが適用されていないWebGateはすべて機能しません。

フラグの値を導入/更新するプロセスは次のとおりです。

  • 次の内容でconfig.propertiesファイルを作成します。 

    oam.entityStore.schemaUser=[OAM Schema Name] 
oam.entityStore.ConnectString=jdbc:oracle:thin:@[Database Host]:[DB Port]:[Service_ID]
oam.entityStore.schemaPassword=[Schema Password] 
oam.importExportDirPath=[Directory where oam-config.xml will be exported/(imported from)] 
oam.frontending=params=host;port;protocol

    注意: コマンドを上述の構成ファイルで機能させるには、oam.frontending行をそのまま配置します。

  • 次のコマンドを使用して、oam-config.xml全体をエクスポートします。 

    bash-4.1$ cd [Middleware_Home] 
bash-4.1$ [JDK/JRE_Home]/bin/java -cp 
./idm/oam/server/tools/config-utility/config-utility.jar:./oracle_common/modules/oracle.jdbc/ojdbc8.jar 
oracle.security.am.migrate.main.ConfigCommand [OAM_Domain_Home] export[Path]/config.properties
    注意:

    • config.propertiesはステップ1で作成されたファイルです。oam-config.xmlがパス[oam.importExportDirPath]にエクスポートされます

    • 上述のコマンド内の改行は、デモ目的で改行しているものです。

  • 次に、フィールドglobalHmacEnabledの値をtrue/falseに変更します

  • ステップ2で使用したものと同じコマンドを使用して、更新されたoam-config.xmlをインポートします。ただし、exportimportに変更します。

27361854

バグ27361854の修正

注意: このバグは、バグ27161546に依存します。 これとともに、バグ27355601によってWebGate側に対する補足的な修正がカバーされます。

27853736

アイドル状態のタイムアウト後のDCC再ログイン・フローでシステム・エラー・ページが表示される

注意: このバグは、バグ27361854に依存します。

27132341

INT STG PRIMARY OAM - OCT17 BP後、新しいエージェントにログインできない

27095174

OAMサーバーのOPENIDCONNECTサポート

27084858

バンドル・パッチ更新を実行するためのPSFE拡張

27068410

プレーンテキストOBRAREQ/OBRARフロント・チャネルの無効化

26914133

転記データが1200バイトより大きい場合、転記データを保持できない

26901175

PASSWORDOLICYREST:: すべてのパスワード・ポリシーを削除すると、間違ったメッセージが表示される

26862217

アプリケーション・ドメインに多くのリソースがある場合、管理対象サーバーとのポリシー同期が遅くなる

26479576

CLICKJACKINGSCRIPが返されてフレームを使用するSAML保護アプリケーションが破損する

注意: この修正では、正しいURL、すなわちフェデレーション・フローのホワイトリストURLに対する次のリダイレクトURLを検証します。

パッチを適用した後、OAMノードを起動する前。ホワイトリストURLに対して使用するREQUEST_URL_KEYとともに、次の設定をoam-config.xmlファイルの<Setting Name="EndURLWhiteList" Type="htf:map">の下に追加します。

<Setting Name="FedActionUrlKey" Type="xsd:string"><REQUEST_URL_KEY></Setting>
例: 
<Setting Name="EndURLWhiteList" Type="htf:map">
<Setting Name="FedActionUrlKey" Type="xsd:string">oracle.security.fed.post.actionurl</Setting>
</Setting>

26286819

ストレス・テスト中にSTRESS:12C OAM- DEADLOCKが検出された

25867806

ENT INT STG DR-TR - OSSOおよびフェデレーション・パートナの削除にはパッチが必要である

25369080

バグ23745818に基づくDI: FEDデフォルトAUTHNスキームIDを示すログ

25170276

OTP電子メールでパラメータ"EMAILMSGFROMNAME"が無視される

24357957

HOSTIDチェックを有効/無効にするようにOAMホワイトリストを構成する必要がある

注意: WLSTコマンド: oamSetHostIdValidationModeを使用してHostId検証モードを有効/無効にする必要があります(デフォルトはtrue)。

23185976

WLST実行時にWebGate IDを検証: UPDATEWEBGATETEMPLATETOWEBGATEMAPPING

1.5.6 12.2.1.3.171121で解決された問題

表1-2 リリース12.2.1.3.171121で解決された問題

基本バグ番号 問題の説明

27077697

OAMでワンタイムPINを使用した場合の「パスワードを忘れた場合」機能

26821988

OAM: OAMWHITELISTMODEのTRUEとFALSEの両方でIFRAMEがはみ出す

26743138

SKIP_AUTHN_RULE_EVALをデフォルトで有効にする必要がある

26732813

SESSION REST GET/SEARCHの結果にEXPIRYTIME属性が含まれない

26679791

バグ25898731のフィックスがOAM 11.1.2.3.171017BP 26540179で失敗する

26672990

偽装セッションが常にレベル2で作成される

注: 偽装のデフォルト認証レベルを更新するために、新規エントリMaxAuthlevelImpersonationConfigの下位のoam-config.xmlに導入されています。

例: <Setting Name="MaxAuthLevel" Type="xsd:string">4</Setting>

前提条件: IAMSuiteドメインの下位の/oamImpersonationConsentの認証レベルを更新してMaxAuthLevelに一致させます。

26671436

OAMコンソールからSSLを有効化している最中にNULLポインタ例外がスローされる

26610754

ER 20773096: Webゲート・テンプレートの削除用に1つの新しいWLSコマンドを追加する

26443261

OAMカスタム・プラグインでステップ番号がインクリメントされない

26429287

SKIP_AUTHN_RULE_EVAL構成パラメータに対してWLSTを追加する

26420974

エージェントがDCC WEBGATEかどうかを判別する

26375044

事前認証ルールに一致するユーザー・エージェントに対して認証が失敗する

注: このバクには、Webgateバグ26389702に対する依存性があります。

26335555

TOTPLUGIN - 期限切れのトークンでアプリケーションにアクセスできる

26226156

OIF: FEDUSERPROVISIONINプラグインがUIDの追加エントリを作成する

26199993

電話側のプッシュ通知から音/振動がしない

26180201

END_URLに問合せパラメータが含まれる場合に、OAMでSPとしてのグローバル・ログアウトが失敗する

26170087

IFRAMEの内部のSAML(FED)アプリケーションにアクセスすると、(ホワイトリストされている場合であっても)ユーザーがOAM-7エラーを受け取る

26161468

ホワイト・リストが有効になっているリダイレクト・ログアウトURLで、リストされていないサイトでのリダイレクトが許可される

26147809

強制パスワードで、ブラウザ・レベルの検証しか動作しない

26143230

DCCスキーマからの切り替え時に事前認証ルールが評価されない

26114972

OAMログアウトURLが予期されたとおりに動作しない

25961607

11.1.2.3でのパスワード・ポリシー日付文字列に対してCONFIGUREPOLICYRESPONSESが動作しない

25709831

パスワードが期限切れになった後のパスワードの変更: OAMが理由/エラー・コードを返さない

25534524

ユーザーがブックマークURLログイン・ページに15分超滞在すると、システム・エラーでループが発生する

25485089

DIAG: RESPONSEHANDLEREXCEPTIONのためにOPENIDの関連付けが失敗する

25315550

インポート後、クローニングされた環境で拡張ルールが機能しない

24817439

SAMLアサーションで、NAMEID-FORMAT:ENTITYのデータ・フォーマットが誤っている

注: この機能は、IssuerでのFormat属性の送信を無効にするか、これをUnspecifiedまたはエンティティ値に設定するために追加されています。これは、パートナ、プロファイル、またはグローバルのレベルで設定できます。

このフィックスを適用した後、次のWLSTコマンドを実行する必要があります。

domainRuntime()

updatePartnerProperty(“<IDP-partner-name>”,"idp", "sendsamlissuerformat", "false", "boolean")

例: updatePartnerProperty("lcr01103-idp", "idp", "sendsamlissuerformat", "false", "boolean")

24746284

公開されている属性フォーマットでのアイデンティティ・コンテキストの明確化

注: カスタム属性の新しいフォーマットを使用するには、OAM管理対象サーバーを起動する前に、export JAVA_OPTIONS="-Doracle.oam.saml.assertion.customattrformat=SAML2.0"コマンドを使用してシステム・プロパティoracle.oam.saml.assertion.customattrformat=SAML2.0を設定します。

22494562

OAM FEDSTS-11013エラー: ORA-00001: 一意性制約の違反

1.6 既知の問題と回避策

Oracle Access Managementリリース12.2.1.3の既知の問題とその回避策は、『Oracle Identity Managementリリース・ノート』ドキュメントのOracle Access Managementに関する章で説明しています。このリリース・ノート・ドキュメントには、次のURLのOracle Identity Managementドキュメント・ライブラリからアクセスできます。

https://docs.oracle.com/middleware/12213/idmsuite/IDMRN/toc.htm

注意:

『Oracle Identity Managementリリース・ノート』にリストされている既知の問題の一部は、このバンドル・パッチ(Oracle Access Management 12.2.1.3.0)で解決されています。『Oracle Identity Managementリリース・ノート』を確認する際に、このドキュメントの「解決された問題」にリストされている問題と比較してください。
バンドル・パッチ番号 基本バグ番号/ドキュメントID バグ番号/ドキュメントID 問題の説明

12.2.1.3.190609

N/A

29940526

Oracle Access Managementコンソールを使用してアイデンティティ・プロバイダ(IdP)またはサービス・プロバイダ(SP)パートナを作成すると、次のエラー・メッセージが表示されます。

「アイデンティティ・プロバイダ・パートナの作成中に内部エラーが発生しました。詳細は、ログを確認してください。」

機能に影響はなく、ユーザーによる処置は必要ありません。

12.2.1.3.190609

N/A

N/A

WebGate 12cでは、認証Cookie名のホストおよびポートのセパレータにアンダースコア( _ )が使用されています。たとえば、OAMAuthnCookie名の書式OAMAuthnCookie_example.com:443は、 OAMAuthnCookie_example.com_443に置き換えられました。これにより、サーバーが古いCookie名の書式を引き続き使用するため、外部資格証明コレクタ(DCC)とDCCトンネリング・リソースとの間にSSO障害が発生します。この問題を解決するには、UniqueCookieNames=legacyをDCC WebGateプロファイルのユーザー定義パラメータに追加します。これにより、Webgateで古いCookie名の書式が使用できるようになります。

12.2.1.3.180904

MOSノートID: 2460270.1

28277233

複数のリソースを持つ複数のWebゲートがある場合に発生するポリシー破損の問題があります。エンド・ユーザーはアプリケーションへのアクセスが許可されません。この問題が発生したお客様は、個別パッチをリクエストする必要があります。

12.2.1.3.180706

N/A

N/A

OIDCサーバーに対してサポートされているresponse_typeまたは認可エンドポイントはcode、つまりresponse_type=codeのみです。

12.2.1.3.180414

27068410

27606513

disable10gPlainTextReqResパラメータでは、大/小文字が区別されます

回避策は、disable10gPlainTextReqRes パラメータをそのまま使用することです。大/小文字を変更しないでください。

 

27068410

27606466

登録された10g Webgateエージェント・プロファイルのエージェントおよび優先ホストが異なる場合、この機能は使用できません。

回避策は、登録された10g Webgateエージェント・プロファイルのエージェント名と優先ホストを同じにすることです。

 

27068410

27626433

10gエージェント・プロファイルのuserdefinedparamの更新でバルク更新が行われる場合、この機能は使用できません。

回避策は、すべての10gエージェント・プロファイルのuserdefinedparamを、oamconsoleを使用して手動で更新することです。

 

27582324

  

POSTデータの復元がChallengeRedirectMethod=GETで機能しない

回避策は、認証スキームでChallengeRedirectMethod=postを設定することです。

12.2.1.3.171121

27292760

  

AdaptiveAuthenticationPlugin に、OTPを有効にするために必要なフィールドが含まれていない場合がある。

回避策として、oam-config.xmlファイル内のプロパティを更新するために必要なフィールドを追加します。これを行うには、OAMMFAOTP定義のConfigParamsセクションにこれらのフィールドを追加します。

Oracle Fusion Middleware Oracle Access Managementバンドル・パッチReadmeバンドル・パッチ12c (12.2.1.3.190609) Generic for all Server Platforms

F22458-01

Copyright © 2019, , Oracle and/or its affiliates. All rights reserved.

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government.

このソフトウェアもしくはハードウェアはさまざまな情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、Oracle社およびその関連会社は一切の責任を負いかねます。

OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。

Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。