3 Oracle Access Management

Oracle Access Managementの既知の問題と回避策には、一般的な問題と構成の問題が含まれます。

内容は次のとおりです

• Access Managementの既知の問題と回避策

• Access Managementの構成の問題と回避策

• Access Managementコンソールの問題

• Access Manager 12.2.1.3.0でサポートされていない機能

ノート:

このリリースのOracle Access Managementの新機能に関する情報は、「Oracle Access Managementの新機能」を参照してください。

Oracle Access Management ServerおよびWebgate 12 c(12.2.1.3.5)リリースのバンドル・パッチが使用可能です。詳細の参照先

• Oracle Access Management 12c (12.2.1.3.5)バンドル・パッチReadme
• Oracle Access Management WebGate 12c (12.2.1.3.5)バンドル・パッチReadme

3.1 Access Managementの既知の問題と回避策

このトピックでは、Oracle Access Managementの既知の問題と回避策について説明します。次のトピックが含まれています:

• ポリシーまたはメタデータの変更の伝播に時間がかかる

• SME UIのユーザー名フィールドで大/小文字が区別される

• OAMコンソールで未使用の参照

• 非推奨のJavaポリシー

• OAMでTest-to-Productionがサポートされない

• OAMでchghostツールが機能しない

• OAMアクセス・テスター・ツールの使用中に例外が発生する

3.1.1 ポリシーまたはメタデータの変更の伝播に時間がかかる

問題

パスワード・ポリシー・オプションを「前のパスワードの禁止」に設定し、前に使用したパスワードを使用して新しいパスワードを作成します。依然としてパスワードを作成できます。

回避策

ポリシーに変更を加えた場合、OAMクラスタ全体に伝播されるまでに時間がかかります。ネットワークが低速な場合、変更が有効になるまでに60秒以上待つ必要があります。OAMサーバーがオフラインのときに変更を加えることをお薦めします

3.1.2 SME UIのユーザー名フィールドで大/小文字が区別される

問題

OAMコンソールに基づくセッション管理検索で大/小文字が区別されます。

3.1.3 OAMコンソールで未使用の参照

問題

OAMコンソールで未使用の参照は次のとおりです。

• アクセス・ポータル

• OAuthサービス

• OAuthトークンの許可

• トークン発行ポリシー

• アクセス・ポータル・サービス設定

3.1.4 非推奨のJavaポリシー

アップグレード・ユーザーはJavaポリシーを参照してください。Oracle Access ManagementでのTLS 1.2サポートに関する項を参照してください

3.1.5 OAMでTest-to-Productionがサポートされない

問題

OAMは、このリリースではTest-to-Production (T2P)ツールをサポートしていません。

回避策

1つ以上のクローニングしたデータ・センターを作成するには、既存のマルチデータ・センター設定への他のクローン・データ・センターの追加に関する項の手順のステップを参照してください。

3.1.6 OAMでchghostツールが機能しない

問題

OAMは、このリリースではchghostツールをサポートしていません。

回避策

OAMコンソール上のUIパラメータを使用して、プライマリおよびセカンダリ・サーバーのホスト:ポートを構成できます。

コンソールを使用した登録済OAMエージェントの構成および管理に関する項を参照してください

OAMサーバー上のwebgateプロファイルおよびポリシーでは、パートナのインポート/エクスポートまたはWebgateの一括更新を使用します。

次を参照してください

• パートナをインポートする

• パートナをエクスポートする

• WebGateへの一括更新

ホストおよびポート情報が変更された場合、Webgateに次のいずれかを実行できます。

• ターゲット・ホストでObAccessClient.xml を更新して、新しいOAMサーバーのホストおよびポート情報を手動で編集します。

• Oracle Access Manager管理コンソールを使用して古いアーティファクトを置換して、Webgateエージェントを新しいOracle Access Managerに登録できます。

  コンソールを使用したOAMエージェントの登録に関する項を参照してください

  もしくは、RREGコマンドライン・ツールを使用して、新規Webgateエージェントを登録できます。

  RREGツールの検索および準備に関する項およびリモート登録ツール、モードおよびプロセスに関する項を参照してください

ノート:

ObAccessClient.xmlはwebgate_Instance _Dir (${Oracle_Home}/user_projects/domains/$(DOMAIN_HOME)/config/fmwconfig/components/OHS/ohs1/webgate/config/ObAccessClient.xml)にあります

3.1.7 OAMアクセス・テスター・ツールの使用中に例外が発生する

問題

OAMアクセス・テスター・ツールで、サーバー接続詳細を入力後に「接続」ボタンをクリックすると、接続は確立されますが、次の例外が発生します。

アクセス・テスター・コンソールで:

SEVERE: Server reported that incorrect NAP version is being used, while client attempted to communicate using NAP version 5. See server log for more information.

サーバー・ログのスタック・トレース:

<Error> <oracle.oam.proxy.oam> <OAM-04020> <Exception encountered while processing the request message for agent {0} at IP {1} Request message {2} :oracle.security.am.proxy.oam.requesthandler.OAMProxyException: Partner: TestWebgate is registered with version 11.0.0.0. Runtime version of agent is different: 11.* .Agent will not be able to communicate with the server   
at oracle.security.am.proxy.oam.requesthandler.ObAAAServiceServer.getClientAuthentInfo(ObAAAServiceServer.java:159)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.ObAuthenReqChallengeHandler(RequestHandler.java:566)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.handleRequest(RequestHandler.java:229)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.handleMessage(RequestHandler.java:180)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean.getResponseMessage(ControllerMessageBean.java:94)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean_eo7ylc_MDOImpl.__WL_invoke(Unknown Source)
at weblogic.ejb.container.internal.MessageDrivenLocalObject.invoke(MessageDrivenLocalObject.java:127)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean_eo7ylc_MDOImpl.getResponseMessage(Unknown Source)
at oracle.security.am.proxy.oam.mina.ObClientToProxyHandler.getResponse(ObClientToProxyHandler.java:316)
at oracle.security.am.proxy.oam.mina.ObClientToProxyHandler.messageReceived(ObClientToProxyHandler.java:270)
at org.apache.mina.common.DefaultIoFilterChain$TailFilter.messageReceived(DefaultIoFilterChain.java:743)
at org.apache.mina.common.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:405)
at org.apache.mina.common.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:40)
at org.apache.mina.common.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:823)
at org.apache.mina.common.IoFilterEvent.fire(IoFilterEvent.java:54)
at org.apache.mina.common.IoEvent.run(IoEvent.java:62)
at oracle.security.am.proxy.oam.mina.CommonJWorkImpl.run(CommonJWorkImpl.java:85)
at weblogic.work.j2ee.J2EEWorkManager$WorkWithListener.run(J2EEWorkManager.java:209)
at weblogic.invocation.ComponentInvocationContextManager._runAs(ComponentInvocationContextManager.java:352)
at weblogic.invocation.ComponentInvocationContextManager.runAs(ComponentInvocationContextManager.java:337)
at weblogic.work.LivePartitionUtility.doRunWorkUnderContext(LivePartitionUtility.java:57)
at weblogic.work.PartitionUtility.runWorkUnderContext(PartitionUtility.java:41)
at weblogic.work.SelfTuningWorkManagerImpl.runWorkUnderContext(SelfTuningWorkManagerImpl.java:644)
at weblogic.work.ExecuteThread.execute(ExecuteThread.java:415)
at weblogic.work.ExecuteThread.run(ExecuteThread.java:355)
>

ノート:

アクセス・テスターの使用中に、前述の例外が表示されます。アクセス・テスターはNAPバージョン5で接続を試行し、うまくいかない場合はNAPバージョン4、次にNAPバージョン3で試行します。しかし、機能には影響ありません。

3.2 Access Managementの構成の問題と回避策

このトピックでは、Oracle Access Managementの構成の問題および回避策について説明します次のトピックが含まれます:

• BI Publisherとの監査統合

3.2.1 BI Publisherとの監査統合

問題

12cPS3ではBI Publisherはサポートされていません。そのため、アップグレード後にいくつかのレポートが機能しないことがあります。

BI PublisherはPS3後に使用できるようになります。

3.3 Access Managementコンソールの問題

このトピックでは、Oracle Access Management (Access Manager)のコンソールの問題と回避策について説明します。次のトピックが含まれます:

• OOB OAMコンソールのログアウトが機能しない

3.3.1 OOB OAMコンソールのログアウトが機能しない

問題

R2PS3まで、IAMSuiteAgentがOAMコンソールを保護するOOBエージェントでした。12c PS3以降、Webgateエージェントを使用してOAMコンソールを保護できます。

回避策

ログアウトするかわりにOAMをクローズします。

OAMコンソールがOOBにアクセスするときに、サーバー側セッションは作成されません。EDG (Enterprise Development Guide)に従って、Webgateエージェントを使用してOAMコンソールを保護することが推奨されます。

3.4 Access Manager 12.2.1.3.0でサポートされていない機能

次の表にOAM 12.2.1.3.0からサポートされない機能をリストして、移行パスを示します。

OAM 12.2.1.3.0でサポートされない機能	説明	移行パス
10g OSSOサーバーの共存	OAM 12cサーバーは、OSSOサーバーとの共存をサポートしません	OSSOからOAM 11g R2PS3にアップグレードし、続いてOAM 12cへアップグレードします。
OpenSSOサーバーの共存	OAM 12cサーバーは、OpenSSOサーバーとの共存をサポートしません。	OAM 11gR2PS3にアップグレードし、続いてOAM 12cにアップグレードします。
OAM 10gサーバーの共存	OAM 12cサーバーは、OAM 10gサーバーとの共存をサポートしません。	OAM 12cサーバーに移行してください。
OpenSSOエージェント	OpenSSOエージェントは、OAM 12cリリースではサポートされません。	サポートされている12cエージェントに移行してください。 OAM 11gおよび12cのWebGatesとAccessgatesは、OAM 12.2.1.3.0でサポートされます
mod_osso	OAM 12cは、mod OSSO (OSSO Agent Proxy)エージェントをサポートしません。	12c Webゲート・エージェントに移行し、OAM 12cにアップグレードします。
OAM10g Webゲート	OAM 12cサーバーは、OAM 10 Webゲートをサポートしません。	OAM11g R2PS3またはOAM 12c Webゲートに移行してください サーバーをOAM 12cにアップグレードします。
IDMConfigTool	OAM 12cでは、次のコマンドおよび属性はサポートしていません。 prepareIDStore= FUSION prepareIDStore= OAAM configPolicyStore configOVD disableOVDAccessConfig postProvConfig validate: All options are not supported ovdConfigUpgrade upgradeOIMTo11gWebgate POLICYSTORE_SHARES_IDSTORE SPLIT_DOMAIN
IAMSuiteAgent	OAM 12cは、IAMSuiteAgentをサポートしません。 R2PS3まで、IAMSuiteAgentがOAMコンソールを保護するOOBエージェントでした。12c PS3以降、これはデフォルトのOOBログイン・ページを使用して行われます。 EDG (Enterprise Development Guide)に従って、Webgateエージェントを使用してOAMコンソールを保護することが推奨されます。
Oracle Mobile Security Suite (OMSS)	OAM 12cは、OMSSをサポートしません。

12cの場合、モバイルおよびソーシャル・ログインのユースケースには、標準のOAuthを使用することをお薦めします。標準的なアプローチに移行して、相互運用性を改善し、将来的にOracle Identity Cloud Service (IDCS)への移行が容易になるように、これらのユースケースを実現する際の独自の方法を非推奨としています。次のサービスは、12cでは非推奨です。

• Mobile and Socialサービス

• モバイルOAuthサービス

• セキュリティ・トークン・サービス

• アクセス・ポータル・サービス