4 Oracle Access Management
Oracle Access Managementの既知の問題と回避策には、一般的な問題と構成の問題が含まれます。
ノート:
このリリースのOracle Access Managementの新機能に関する情報は、「Oracle Access Managementの新機能」を参照してください。
4.1 Access Managementの既知の問題と回避策
このトピックでは、Oracle Access Managementの既知の問題と回避策について説明します。次のトピックが含まれています:
4.1.1 AIXプラットフォーム用にWebGate 12cPS4を構成した後、IHS 9 Webサーバーがクラッシュする
問題
AIX 7.1プラットフォーム用にWebGate 12cPS4を構成した後、IHS 9 Webサーバーがクラッシュします。
回避策
LDR_PRELOAD64
をlibclntsh.so
に設定します。次に例を示します。export LDR_PRELOAD64=libclntsh.so
4.1.2 12c IIS WebGateの再起動または停止後に例外が発生する
問題
IISサーバーが再起動または停止すると、例外が発生し、ポップアップ・ウィンドウが表示されます。
回避策
ポップアップ・ウィンドウで「取消」をクリックして続行します。
4.1.3 JPSライブラリ・エラーによりASDKの初期化に失敗する
問題
jps-api.jar
、jps-manifest.jar
およびopss-manifest.jar
を使用して、Access Clientを初期化するためにoamasdkライブラリを実行すると、次のエラーが返されます:
: SEVERE: Oracle Access SDKの初期化に失敗しました。
java.lang.NullPointerException
at
oracle.security.opss.internal.service.config.OPSSConfigurationServiceImpl.getD
efaultBootstrapConfiguration(OPSSConfigurationServiceImpl.java:260)
at
oracle.security.opss.internal.service.config.RuntimeConfigurationServiceImpl.g
etDefaultBootstrapConfiguration(RuntimeConfigurationServiceImpl.java:313)
at
oracle.security.opss.internal.runtime.ServiceContextManagerImpl.initBootstrap(
ServiceContextManagerImpl.java:173)
at
oracle.security.opss.internal.runtime.ServiceContextManagerImpl.initBootstrap(
ServiceContextManagerImpl.java:154)at
oracle.security.opss.internal.runtime.ServiceContextManagerImpl.initBootstrap(
ServiceContextManagerImpl.java:148)
at
oracle.security.jps.internal.config.OpssCommonStartup$3.run(OpssCommonStartup.
java:401)
at java.security.AccessController.doPrivileged(Native Method)
at
oracle.security.jps.internal.config.OpssCommonStartup.preStart(OpssCommonStart
up.java:357)
at oracle.security.jps.JpsStartup.preStart(JpsStartup.java:389)
at oracle.security.jps.JpsStartup.start(JpsStartup.java:228)
at
oracle.security.opss.internal.core.runtime.ContextFactoryProxy.checkInit(Conte
xtFactoryProxy.java:201)
at
oracle.security.opss.internal.core.runtime.ContextFactoryProxy.getContext(Cont
extFactoryProxy.java:139)
回避策
- クラス・パスを更新して次のjarを含めます:
oracle_common/modules/oracle.igf/igf-manifest.jar
oracle_common/modules/oracle.idm/identitystore.jar
- ASDKコードの実行中に、
-Dopss.tenant.mode=JPS_AP
引数をJVMオプションとして渡します。
4.1.4 ポリシーまたはメタデータの変更の伝播に時間がかかる
問題
パスワード・ポリシー・オプションを「前のパスワードの禁止」に設定し、前に使用したパスワードを使用して新しいパスワードを作成します。依然としてパスワードを作成できます。
回避策
ポリシーに変更を加えた場合、OAMクラスタ全体に伝播されるまでに時間がかかります。ネットワークが低速な場合、変更が有効になるまでに60秒以上待つ必要があります。OAMサーバーがオフラインのときに変更を加えることをお薦めします
4.1.6 OAMコンソールで未使用の参照
問題
OAMコンソールで未使用の参照は次のとおりです。
-
アクセス・ポータル
-
OAuthサービス
-
OAuthトークンの許可
-
トークン発行ポリシー
-
アクセス・ポータル・サービス設定
4.1.7 非推奨のJavaポリシー
アップグレード・ユーザーはJavaポリシーを参照してください。Oracle Access ManagementでのTLS 1.2サポートに関する項を参照してください
4.1.8 OAMでTest-to-Productionがサポートされない
問題
OAMは、このリリースではTest-to-Production (T2P)ツールをサポートしていません。
回避策
1つ以上のクローニングしたデータ・センターを作成するには、既存のマルチデータ・センター設定への他のクローン・データ・センターの追加に関する項の手順のステップを参照してください。
4.1.9 OAMでchghostツールが機能しない
問題
OAMは、このリリースではchghostツールをサポートしていません。
回避策
OAMコンソール上のUIパラメータを使用して、プライマリおよびセカンダリ・サーバーのホスト:ポートを構成できます。
コンソールを使用した登録済OAMエージェントの構成および管理に関する項を参照してください
OAMサーバー上のwebgateプロファイルおよびポリシーでは、パートナのインポート/エクスポートまたはWebgateの一括更新を使用します。
ホストおよびポート情報が変更された場合、Webgateに次のいずれかを実行できます。
-
ターゲット・ホストでObAccessClient.xml を更新して、新しいOAMサーバーのホストおよびポート情報を手動で編集します。
-
Oracle Access Manager管理コンソールを使用して古いアーティファクトを置換して、Webgateエージェントを新しいOracle Access Managerに登録できます。
コンソールを使用したOAMエージェントの登録に関する項を参照してください
もしくは、RREGコマンドライン・ツールを使用して、新規Webgateエージェントを登録できます。
RREGツールの検索および準備に関する項およびリモート登録ツール、モードおよびプロセスに関する項を参照してください
ノート:
ObAccessClient.xmlはwebgate_instance_dir (${Oracle_Home}/user_projects/domains/$(DOMAIN_HOME)/config/fmwconfig/components/OHS/ohs1/webgate/config/ObAccessClient.xml)
にあります
4.1.10 OAMアクセス・テスター・ツールの使用中に例外が発生する
問題
OAMアクセス・テスター・ツールで、サーバー接続詳細を入力後に「接続」ボタンをクリックすると、接続は確立されますが、次の例外が発生します。
アクセス・テスター・コンソールで:
SEVERE: Server reported that incorrect NAP version is being used, while client attempted to communicate using NAP version 5. See server log for more information.
サーバー・ログのスタック・トレース:
<Error> <oracle.oam.proxy.oam> <OAM-04020> <Exception encountered while processing the request message for agent {0} at IP {1} Request message {2} :oracle.security.am.proxy.oam.requesthandler.OAMProxyException: Partner: TestWebgate is registered with version 11.0.0.0. Runtime version of agent is different: 11.* .Agent will not be able to communicate with the server
at oracle.security.am.proxy.oam.requesthandler.ObAAAServiceServer.getClientAuthentInfo(ObAAAServiceServer.java:159)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.ObAuthenReqChallengeHandler(RequestHandler.java:566)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.handleRequest(RequestHandler.java:229)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.handleMessage(RequestHandler.java:180)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean.getResponseMessage(ControllerMessageBean.java:94)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean_eo7ylc_MDOImpl.__WL_invoke(Unknown Source)
at weblogic.ejb.container.internal.MessageDrivenLocalObject.invoke(MessageDrivenLocalObject.java:127)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean_eo7ylc_MDOImpl.getResponseMessage(Unknown Source)
at oracle.security.am.proxy.oam.mina.ObClientToProxyHandler.getResponse(ObClientToProxyHandler.java:316)
at oracle.security.am.proxy.oam.mina.ObClientToProxyHandler.messageReceived(ObClientToProxyHandler.java:270)
at org.apache.mina.common.DefaultIoFilterChain$TailFilter.messageReceived(DefaultIoFilterChain.java:743)
at org.apache.mina.common.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:405)
at org.apache.mina.common.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:40)
at org.apache.mina.common.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:823)
at org.apache.mina.common.IoFilterEvent.fire(IoFilterEvent.java:54)
at org.apache.mina.common.IoEvent.run(IoEvent.java:62)
at oracle.security.am.proxy.oam.mina.CommonJWorkImpl.run(CommonJWorkImpl.java:85)
at weblogic.work.j2ee.J2EEWorkManager$WorkWithListener.run(J2EEWorkManager.java:209)
at weblogic.invocation.ComponentInvocationContextManager._runAs(ComponentInvocationContextManager.java:352)
at weblogic.invocation.ComponentInvocationContextManager.runAs(ComponentInvocationContextManager.java:337)
at weblogic.work.LivePartitionUtility.doRunWorkUnderContext(LivePartitionUtility.java:57)
at weblogic.work.PartitionUtility.runWorkUnderContext(PartitionUtility.java:41)
at weblogic.work.SelfTuningWorkManagerImpl.runWorkUnderContext(SelfTuningWorkManagerImpl.java:644)
at weblogic.work.ExecuteThread.execute(ExecuteThread.java:415)
at weblogic.work.ExecuteThread.run(ExecuteThread.java:355)
>
ノート:
アクセス・テスターの使用中に、前述の例外が表示されます。アクセス・テスターはNAPバージョン5で接続を試行し、うまくいかない場合はNAPバージョン4、次にNAPバージョン3で試行します。しかし、機能には影響ありません。
4.2 Access Managementコンソールの問題
このトピックでは、Oracle Access Management (Access Manager)のコンソールの問題と回避策について説明します。次のトピックが含まれます:
4.3 Access Managerでサポートされていない機能
この項では、Access Managerのリリースでサポートされていない機能のリストを示します。
4.3.2 Access Managerでサポートされていない機能 12.2.1.3.0
次の表にOAM 12.2.1.3.0からサポートされない機能をリストして、移行パスを示します。
OAM 12.2.1.3.0でサポートされない機能 | 説明 | 移行パス |
---|---|---|
10g OSSOサーバーの共存 |
OAM 12cサーバーは、OSSOサーバーとの共存をサポートしません |
OSSOからOAM 11g R2PS3にアップグレードし、続いてOAM 12cへアップグレードします。 |
OpenSSOサーバーの共存 |
OAM 12cサーバーは、OpenSSOサーバーとの共存をサポートしません。 |
OAM 11gR2PS3にアップグレードし、続いてOAM 12cにアップグレードします。 |
OAM 10gサーバーの共存 |
OAM 12cサーバーは、OAM 10gサーバーとの共存をサポートしません。 |
OAM 12cサーバーに移行してください。 |
OpenSSOエージェント |
OpenSSOエージェントは、OAM 12cリリースではサポートされません。 |
サポートされている12cエージェントに移行してください。 OAM 11gおよび12cのWebGatesとAccessgatesは、OAM 12.2.1.3.0でサポートされます |
mod_osso |
OAM 12cは、mod OSSO (OSSO Agent Proxy)エージェントをサポートしません。 |
12c Webゲート・エージェントに移行し、OAM 12cにアップグレードします。 |
OAM10g Webゲート |
OAM 12cサーバーは、OAM 10 Webゲートをサポートしません。 |
OAM11g R2PS3またはOAM 12c Webゲートに移行してください サーバーをOAM 12cにアップグレードします。 |
IDMConfigTool |
OAM 12cでは、次のコマンドおよび属性はサポートしていません。
|
|
IAMSuiteAgent |
OAM 12cは、IAMSuiteAgentをサポートしません。 R2PS3まで、IAMSuiteAgentがOAMコンソールを保護するOOBエージェントでした。12c PS3以降、これはデフォルトのOOBログイン・ページを使用して行われます。 EDG (Enterprise Development Guide)に従って、Webgateエージェントを使用してOAMコンソールを保護することが推奨されます。 |
|
Oracle Mobile Security Suite (OMSS) |
OAM 12cは、OMSSをサポートしません。 |
OpenID Connectの使用を推奨します。詳細は、「OIDCクライアントのソーシャル・アイデンティティ・プロバイダとの統合」を参照してください。 |
セキュリティ・トークン・サービス(STS) |
OAM 12cは、STSをサポートしません。 |
OAuthの使用を推奨します。詳細は、「OAuthサービスの理解」を参照してください |
ノート:
Oracle Adaptive Access Manager (OAAM)には12 cバージョンはありません。OAAM 11 gをOAM 12 cとともに使用してください。
12cの場合、モバイルおよびソーシャル・ログインのユースケースには、標準のOAuthを使用することをお薦めします。このようなユースケースを実現するための独自の手段は非推奨となります。顧客が標準ベースのアプローチに移行することで、相互運用性が向上します。次のサービスは、12cでは非推奨です。
-
Mobile and Socialサービス
-
モバイルOAuthサービス
-
セキュリティ・トークン・サービス
-
アクセス・ポータル・サービス