3 Oracle Access Management
Oracle Access Managementの既知の問題と回避策には、一般的な問題と構成の問題が含まれます。
内容は次のとおりです
ノート:
このリリースのOracle Access Managementの新機能に関する情報は、「Oracle Access Managementの新機能」を参照してください。
Oracle Access Management ServerおよびWebgate 12 c(12.2.1.3.5)リリースのバンドル・パッチが使用可能です。詳細の参照先
3.1 Access Managementの既知の問題と回避策
このトピックでは、Oracle Access Managementの既知の問題と回避策について説明します。次のトピックが含まれています:
3.1.1 ポリシーまたはメタデータの変更の伝播に時間がかかる
問題
パスワード・ポリシー・オプションを「前のパスワードの禁止」に設定し、前に使用したパスワードを使用して新しいパスワードを作成します。依然としてパスワードを作成できます。
回避策
ポリシーに変更を加えた場合、OAMクラスタ全体に伝播されるまでに時間がかかります。ネットワークが低速な場合、変更が有効になるまでに60秒以上待つ必要があります。OAMサーバーがオフラインのときに変更を加えることをお薦めします
3.1.3 OAMコンソールで未使用の参照
問題
OAMコンソールで未使用の参照は次のとおりです。
-
アクセス・ポータル
-
OAuthサービス
-
OAuthトークンの許可
-
トークン発行ポリシー
-
アクセス・ポータル・サービス設定
3.1.4 非推奨のJavaポリシー
アップグレード・ユーザーはJavaポリシーを参照してください。Oracle Access ManagementでのTLS 1.2サポートに関する項を参照してください
3.1.5 OAMでTest-to-Productionがサポートされない
問題
OAMは、このリリースではTest-to-Production (T2P)ツールをサポートしていません。
回避策
1つ以上のクローニングしたデータ・センターを作成するには、既存のマルチデータ・センター設定への他のクローン・データ・センターの追加に関する項の手順のステップを参照してください。
3.1.6 OAMでchghostツールが機能しない
問題
OAMは、このリリースではchghostツールをサポートしていません。
回避策
OAMコンソール上のUIパラメータを使用して、プライマリおよびセカンダリ・サーバーのホスト:ポートを構成できます。
コンソールを使用した登録済OAMエージェントの構成および管理に関する項を参照してください
OAMサーバー上のwebgateプロファイルおよびポリシーでは、パートナのインポート/エクスポートまたはWebgateの一括更新を使用します。
ホストおよびポート情報が変更された場合、Webgateに次のいずれかを実行できます。
-
ターゲット・ホストでObAccessClient.xml を更新して、新しいOAMサーバーのホストおよびポート情報を手動で編集します。
-
Oracle Access Manager管理コンソールを使用して古いアーティファクトを置換して、Webgateエージェントを新しいOracle Access Managerに登録できます。
コンソールを使用したOAMエージェントの登録に関する項を参照してください
もしくは、RREGコマンドライン・ツールを使用して、新規Webgateエージェントを登録できます。
RREGツールの検索および準備に関する項およびリモート登録ツール、モードおよびプロセスに関する項を参照してください
ノート:
ObAccessClient.xmlはwebgate_Instance _Dir (${Oracle_Home}/user_projects/domains/$(DOMAIN_HOME)/config/fmwconfig/components/OHS/ohs1/webgate/config/ObAccessClient.xml)
にあります
3.1.7 OAMアクセス・テスター・ツールの使用中に例外が発生する
問題
OAMアクセス・テスター・ツールで、サーバー接続詳細を入力後に「接続」ボタンをクリックすると、接続は確立されますが、次の例外が発生します。
アクセス・テスター・コンソールで:
SEVERE: Server reported that incorrect NAP version is being used, while client attempted to communicate using NAP version 5. See server log for more information.
サーバー・ログのスタック・トレース:
<Error> <oracle.oam.proxy.oam> <OAM-04020> <Exception encountered while processing the request message for agent {0} at IP {1} Request message {2} :oracle.security.am.proxy.oam.requesthandler.OAMProxyException: Partner: TestWebgate is registered with version 11.0.0.0. Runtime version of agent is different: 11.* .Agent will not be able to communicate with the server
at oracle.security.am.proxy.oam.requesthandler.ObAAAServiceServer.getClientAuthentInfo(ObAAAServiceServer.java:159)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.ObAuthenReqChallengeHandler(RequestHandler.java:566)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.handleRequest(RequestHandler.java:229)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.handleMessage(RequestHandler.java:180)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean.getResponseMessage(ControllerMessageBean.java:94)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean_eo7ylc_MDOImpl.__WL_invoke(Unknown Source)
at weblogic.ejb.container.internal.MessageDrivenLocalObject.invoke(MessageDrivenLocalObject.java:127)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean_eo7ylc_MDOImpl.getResponseMessage(Unknown Source)
at oracle.security.am.proxy.oam.mina.ObClientToProxyHandler.getResponse(ObClientToProxyHandler.java:316)
at oracle.security.am.proxy.oam.mina.ObClientToProxyHandler.messageReceived(ObClientToProxyHandler.java:270)
at org.apache.mina.common.DefaultIoFilterChain$TailFilter.messageReceived(DefaultIoFilterChain.java:743)
at org.apache.mina.common.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:405)
at org.apache.mina.common.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:40)
at org.apache.mina.common.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:823)
at org.apache.mina.common.IoFilterEvent.fire(IoFilterEvent.java:54)
at org.apache.mina.common.IoEvent.run(IoEvent.java:62)
at oracle.security.am.proxy.oam.mina.CommonJWorkImpl.run(CommonJWorkImpl.java:85)
at weblogic.work.j2ee.J2EEWorkManager$WorkWithListener.run(J2EEWorkManager.java:209)
at weblogic.invocation.ComponentInvocationContextManager._runAs(ComponentInvocationContextManager.java:352)
at weblogic.invocation.ComponentInvocationContextManager.runAs(ComponentInvocationContextManager.java:337)
at weblogic.work.LivePartitionUtility.doRunWorkUnderContext(LivePartitionUtility.java:57)
at weblogic.work.PartitionUtility.runWorkUnderContext(PartitionUtility.java:41)
at weblogic.work.SelfTuningWorkManagerImpl.runWorkUnderContext(SelfTuningWorkManagerImpl.java:644)
at weblogic.work.ExecuteThread.execute(ExecuteThread.java:415)
at weblogic.work.ExecuteThread.run(ExecuteThread.java:355)
>
ノート:
アクセス・テスターの使用中に、前述の例外が表示されます。アクセス・テスターはNAPバージョン5で接続を試行し、うまくいかない場合はNAPバージョン4、次にNAPバージョン3で試行します。しかし、機能には影響ありません。
3.3 Access Managementコンソールの問題
このトピックでは、Oracle Access Management (Access Manager)のコンソールの問題と回避策について説明します。次のトピックが含まれます:
3.4 Access Manager 12.2.1.3.0でサポートされていない機能
次の表にOAM 12.2.1.3.0からサポートされない機能をリストして、移行パスを示します。
OAM 12.2.1.3.0でサポートされない機能 | 説明 | 移行パス |
---|---|---|
10g OSSOサーバーの共存 |
OAM 12cサーバーは、OSSOサーバーとの共存をサポートしません |
OSSOからOAM 11g R2PS3にアップグレードし、続いてOAM 12cへアップグレードします。 |
OpenSSOサーバーの共存 |
OAM 12cサーバーは、OpenSSOサーバーとの共存をサポートしません。 |
OAM 11gR2PS3にアップグレードし、続いてOAM 12cにアップグレードします。 |
OAM 10gサーバーの共存 |
OAM 12cサーバーは、OAM 10gサーバーとの共存をサポートしません。 |
OAM 12cサーバーに移行してください。 |
OpenSSOエージェント |
OpenSSOエージェントは、OAM 12cリリースではサポートされません。 |
サポートされている12cエージェントに移行してください。 OAM 11gおよび12cのWebGatesとAccessgatesは、OAM 12.2.1.3.0でサポートされます |
mod_osso |
OAM 12cは、mod OSSO (OSSO Agent Proxy)エージェントをサポートしません。 |
12c Webゲート・エージェントに移行し、OAM 12cにアップグレードします。 |
OAM10g Webゲート |
OAM 12cサーバーは、OAM 10 Webゲートをサポートしません。 |
OAM11g R2PS3またはOAM 12c Webゲートに移行してください サーバーをOAM 12cにアップグレードします。 |
IDMConfigTool |
OAM 12cでは、次のコマンドおよび属性はサポートしていません。
|
|
IAMSuiteAgent |
OAM 12cは、IAMSuiteAgentをサポートしません。 R2PS3まで、IAMSuiteAgentがOAMコンソールを保護するOOBエージェントでした。12c PS3以降、これはデフォルトのOOBログイン・ページを使用して行われます。 EDG (Enterprise Development Guide)に従って、Webgateエージェントを使用してOAMコンソールを保護することが推奨されます。 |
|
Oracle Mobile Security Suite (OMSS) |
OAM 12cは、OMSSをサポートしません。 |
12cの場合、モバイルおよびソーシャル・ログインのユースケースには、標準のOAuthを使用することをお薦めします。標準的なアプローチに移行して、相互運用性を改善し、将来的にOracle Identity Cloud Service (IDCS)への移行が容易になるように、これらのユースケースを実現する際の独自の方法を非推奨としています。次のサービスは、12cでは非推奨です。
-
Mobile and Socialサービス
-
モバイルOAuthサービス
-
セキュリティ・トークン・サービス
-
アクセス・ポータル・サービス