4 Oracle Access Management

Oracle Access Managementの既知の問題と回避策には、一般的な問題と構成の問題が含まれます。

内容は次のとおりです

• Access Managementの既知の問題と回避策

• Access Managementコンソールの問題

• Access Managerでサポートされていない機能

ノート:

このリリースのOracle Access Managementの新機能に関する情報は、「Oracle Access Managementの新機能」を参照してください。

4.1 Access Managementの既知の問題と回避策

このトピックでは、Oracle Access Managementの既知の問題と回避策について説明します。次のトピックが含まれています:

• AIXプラットフォーム用にWebGate 12cPS4を構成した後、IHS 9 Webサーバーがクラッシュする

• 12c IIS WebGateの再起動または停止後に例外が発生する

• JPSライブラリ・エラーによりASDKの初期化に失敗する

• ポリシーまたはメタデータの変更の伝播に時間がかかる

• SME UIのユーザー名フィールドで大/小文字が区別される

• OAMコンソールで未使用の参照

• 非推奨のJavaポリシー

• OAMでTest-to-Productionがサポートされない

• OAMでchghostツールが機能しない

• OAMアクセス・テスター・ツールの使用中に例外が発生する

• OAMサーバーで簡易セキュリティ・モードが機能しない

4.1.1 AIXプラットフォーム用にWebGate 12cPS4を構成した後、IHS 9 Webサーバーがクラッシュする

問題

AIX 7.1プラットフォーム用にWebGate 12cPS4を構成した後、IHS 9 Webサーバーがクラッシュします。

回避策

AIXプラットフォームで、WebGateを構成する前に、環境変数LDR_PRELOAD64をlibclntsh.soに設定します。次に例を示します。

export LDR_PRELOAD64=libclntsh.so

4.1.2 12c IIS WebGateの再起動または停止後に例外が発生する

問題

IISサーバーが再起動または停止すると、例外が発生し、ポップアップ・ウィンドウが表示されます。

回避策

ポップアップ・ウィンドウで「取消」をクリックして続行します。

4.1.3 JPSライブラリ・エラーによりASDKの初期化に失敗する

問題

jps-api.jar、jps-manifest.jarおよびopss-manifest.jarを使用して、Access Clientを初期化するためにoamasdkライブラリを実行すると、次のエラーが返されます:

: SEVERE: Oracle Access SDKの初期化に失敗しました。

java.lang.NullPointerException
at
oracle.security.opss.internal.service.config.OPSSConfigurationServiceImpl.getD
efaultBootstrapConfiguration(OPSSConfigurationServiceImpl.java:260)
at
oracle.security.opss.internal.service.config.RuntimeConfigurationServiceImpl.g
etDefaultBootstrapConfiguration(RuntimeConfigurationServiceImpl.java:313)
at
oracle.security.opss.internal.runtime.ServiceContextManagerImpl.initBootstrap(
ServiceContextManagerImpl.java:173)
at
oracle.security.opss.internal.runtime.ServiceContextManagerImpl.initBootstrap(
ServiceContextManagerImpl.java:154)at
oracle.security.opss.internal.runtime.ServiceContextManagerImpl.initBootstrap(
ServiceContextManagerImpl.java:148)
at
oracle.security.jps.internal.config.OpssCommonStartup$3.run(OpssCommonStartup.
java:401)
at java.security.AccessController.doPrivileged(Native Method)
at
oracle.security.jps.internal.config.OpssCommonStartup.preStart(OpssCommonStart
up.java:357)
at oracle.security.jps.JpsStartup.preStart(JpsStartup.java:389)
at oracle.security.jps.JpsStartup.start(JpsStartup.java:228)
at
oracle.security.opss.internal.core.runtime.ContextFactoryProxy.checkInit(Conte
xtFactoryProxy.java:201)
at
oracle.security.opss.internal.core.runtime.ContextFactoryProxy.getContext(Cont
extFactoryProxy.java:139)

回避策

1. クラス・パスを更新して次のjarを含めます:
   • oracle_common/modules/oracle.igf/igf-manifest.jar
   • oracle_common/modules/oracle.idm/identitystore.jar
2. ASDKコードの実行中に、-Dopss.tenant.mode=JPS_AP引数をJVMオプションとして渡します。

4.1.4 ポリシーまたはメタデータの変更の伝播に時間がかかる

問題

パスワード・ポリシー・オプションを「前のパスワードの禁止」に設定し、前に使用したパスワードを使用して新しいパスワードを作成します。依然としてパスワードを作成できます。

回避策

ポリシーに変更を加えた場合、OAMクラスタ全体に伝播されるまでに時間がかかります。ネットワークが低速な場合、変更が有効になるまでに60秒以上待つ必要があります。OAMサーバーがオフラインのときに変更を加えることをお薦めします

4.1.5 SME UIのユーザー名フィールドで大/小文字が区別される

問題

OAMコンソールに基づくセッション管理検索で大/小文字が区別されます。

4.1.6 OAMコンソールで未使用の参照

問題

OAMコンソールで未使用の参照は次のとおりです。

• アクセス・ポータル

• OAuthサービス

• OAuthトークンの許可

• トークン発行ポリシー

• アクセス・ポータル・サービス設定

4.1.7 非推奨のJavaポリシー

アップグレード・ユーザーはJavaポリシーを参照してください。Oracle Access ManagementでのTLS 1.2サポートに関する項を参照してください

4.1.8 OAMでTest-to-Productionがサポートされない

問題

OAMは、このリリースではTest-to-Production (T2P)ツールをサポートしていません。

回避策

1つ以上のクローニングしたデータ・センターを作成するには、既存のマルチデータ・センター設定への他のクローン・データ・センターの追加に関する項の手順のステップを参照してください。

4.1.9 OAMでchghostツールが機能しない

問題

OAMは、このリリースではchghostツールをサポートしていません。

回避策

OAMコンソール上のUIパラメータを使用して、プライマリおよびセカンダリ・サーバーのホスト:ポートを構成できます。

コンソールを使用した登録済OAMエージェントの構成および管理に関する項を参照してください

OAMサーバー上のwebgateプロファイルおよびポリシーでは、パートナのインポート/エクスポートまたはWebgateの一括更新を使用します。

次を参照してください

• パートナをインポートする

• パートナをエクスポートする

• WebGateへの一括更新

ホストおよびポート情報が変更された場合、Webgateに次のいずれかを実行できます。

• ターゲット・ホストでObAccessClient.xml を更新して、新しいOAMサーバーのホストおよびポート情報を手動で編集します。

• Oracle Access Manager管理コンソールを使用して古いアーティファクトを置換して、Webgateエージェントを新しいOracle Access Managerに登録できます。

  コンソールを使用したOAMエージェントの登録に関する項を参照してください

  もしくは、RREGコマンドライン・ツールを使用して、新規Webgateエージェントを登録できます。

  RREGツールの検索および準備に関する項およびリモート登録ツール、モードおよびプロセスに関する項を参照してください

ノート:

ObAccessClient.xmlはwebgate_instance_dir (${Oracle_Home}/user_projects/domains/$(DOMAIN_HOME)/config/fmwconfig/components/OHS/ohs1/webgate/config/ObAccessClient.xml)にあります

4.1.10 OAMアクセス・テスター・ツールの使用中に例外が発生する

問題

OAMアクセス・テスター・ツールで、サーバー接続詳細を入力後に「接続」ボタンをクリックすると、接続は確立されますが、次の例外が発生します。

アクセス・テスター・コンソールで:

SEVERE: Server reported that incorrect NAP version is being used, while client attempted to communicate using NAP version 5. See server log for more information.

サーバー・ログのスタック・トレース:

<Error> <oracle.oam.proxy.oam> <OAM-04020> <Exception encountered while processing the request message for agent {0} at IP {1} Request message {2} :oracle.security.am.proxy.oam.requesthandler.OAMProxyException: Partner: TestWebgate is registered with version 11.0.0.0. Runtime version of agent is different: 11.* .Agent will not be able to communicate with the server   
at oracle.security.am.proxy.oam.requesthandler.ObAAAServiceServer.getClientAuthentInfo(ObAAAServiceServer.java:159)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.ObAuthenReqChallengeHandler(RequestHandler.java:566)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.handleRequest(RequestHandler.java:229)
at oracle.security.am.proxy.oam.requesthandler.RequestHandler.handleMessage(RequestHandler.java:180)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean.getResponseMessage(ControllerMessageBean.java:94)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean_eo7ylc_MDOImpl.__WL_invoke(Unknown Source)
at weblogic.ejb.container.internal.MessageDrivenLocalObject.invoke(MessageDrivenLocalObject.java:127)
at oracle.security.am.proxy.oam.requesthandler.ControllerMessageBean_eo7ylc_MDOImpl.getResponseMessage(Unknown Source)
at oracle.security.am.proxy.oam.mina.ObClientToProxyHandler.getResponse(ObClientToProxyHandler.java:316)
at oracle.security.am.proxy.oam.mina.ObClientToProxyHandler.messageReceived(ObClientToProxyHandler.java:270)
at org.apache.mina.common.DefaultIoFilterChain$TailFilter.messageReceived(DefaultIoFilterChain.java:743)
at org.apache.mina.common.DefaultIoFilterChain.callNextMessageReceived(DefaultIoFilterChain.java:405)
at org.apache.mina.common.DefaultIoFilterChain.access$1200(DefaultIoFilterChain.java:40)
at org.apache.mina.common.DefaultIoFilterChain$EntryImpl$1.messageReceived(DefaultIoFilterChain.java:823)
at org.apache.mina.common.IoFilterEvent.fire(IoFilterEvent.java:54)
at org.apache.mina.common.IoEvent.run(IoEvent.java:62)
at oracle.security.am.proxy.oam.mina.CommonJWorkImpl.run(CommonJWorkImpl.java:85)
at weblogic.work.j2ee.J2EEWorkManager$WorkWithListener.run(J2EEWorkManager.java:209)
at weblogic.invocation.ComponentInvocationContextManager._runAs(ComponentInvocationContextManager.java:352)
at weblogic.invocation.ComponentInvocationContextManager.runAs(ComponentInvocationContextManager.java:337)
at weblogic.work.LivePartitionUtility.doRunWorkUnderContext(LivePartitionUtility.java:57)
at weblogic.work.PartitionUtility.runWorkUnderContext(PartitionUtility.java:41)
at weblogic.work.SelfTuningWorkManagerImpl.runWorkUnderContext(SelfTuningWorkManagerImpl.java:644)
at weblogic.work.ExecuteThread.execute(ExecuteThread.java:415)
at weblogic.work.ExecuteThread.run(ExecuteThread.java:355)
>

ノート:

アクセス・テスターの使用中に、前述の例外が表示されます。アクセス・テスターはNAPバージョン5で接続を試行し、うまくいかない場合はNAPバージョン4、次にNAPバージョン3で試行します。しかし、機能には影響ありません。

4.1.11 OAMサーバーで簡易セキュリティ・モードが機能しない

AIXプラットフォームでは、OAMサーバーで簡易セキュリティ・モードが機能しません。

アーティファクト生成のために新しいWebゲート・エージェントを登録している場合、OAMサーバー・コンソールで「オープン」または「証明書セキュリティ・モード」を選択します。

4.2 Access Managementコンソールの問題

このトピックでは、Oracle Access Management (Access Manager)のコンソールの問題と回避策について説明します。次のトピックが含まれます:

• OOB OAMコンソールのログアウトが機能しない

4.2.1 OOB OAMコンソールのログアウトが機能しない

問題

R2PS3まで、IAMSuiteAgentがOAMコンソールを保護するOOBエージェントでした。12c PS3以降、Webgateエージェントを使用してOAMコンソールを保護できます。

回避策

ログアウトするかわりにOAMをクローズします。

OAMコンソールがOOBにアクセスするときに、サーバー側セッションは作成されません。EDG (Enterprise Development Guide)に従って、Webgateエージェントを使用してOAMコンソールを保護することが推奨されます。

4.3 Access Managerでサポートされていない機能

この項では、Access Managerのリリースでサポートされていない機能のリストを示します。

• Access Manager 12.2.1.4.0でサポートされていない機能

• Access Manager 12.2.1.3.0でサポートされていない機能

4.3.1 Access Managerでサポートされていない機能 12.2.1.4.0

サポートされていない機能は、12.2.1.3.0リリースと同様です。

4.3.2 Access Managerでサポートされていない機能 12.2.1.3.0

次の表にOAM 12.2.1.3.0からサポートされない機能をリストして、移行パスを示します。

OAM 12.2.1.3.0でサポートされない機能	説明	移行パス
10g OSSOサーバーの共存	OAM 12cサーバーは、OSSOサーバーとの共存をサポートしません	OSSOからOAM 11g R2PS3にアップグレードし、続いてOAM 12cへアップグレードします。
OpenSSOサーバーの共存	OAM 12cサーバーは、OpenSSOサーバーとの共存をサポートしません。	OAM 11gR2PS3にアップグレードし、続いてOAM 12cにアップグレードします。
OAM 10gサーバーの共存	OAM 12cサーバーは、OAM 10gサーバーとの共存をサポートしません。	OAM 12cサーバーに移行してください。
OpenSSOエージェント	OpenSSOエージェントは、OAM 12cリリースではサポートされません。	サポートされている12cエージェントに移行してください。 OAM 11gおよび12cのWebGatesとAccessgatesは、OAM 12.2.1.3.0でサポートされます
mod_osso	OAM 12cは、mod OSSO (OSSO Agent Proxy)エージェントをサポートしません。	12c Webゲート・エージェントに移行し、OAM 12cにアップグレードします。
OAM10g Webゲート	OAM 12cサーバーは、OAM 10 Webゲートをサポートしません。	OAM11g R2PS3またはOAM 12c Webゲートに移行してください サーバーをOAM 12cにアップグレードします。
IDMConfigTool	OAM 12cでは、次のコマンドおよび属性はサポートしていません。 prepareIDStore= FUSION prepareIDStore= OAAM configPolicyStore configOVD disableOVDAccessConfig postProvConfig validate: All options are not supported ovdConfigUpgrade upgradeOIMTo11gWebgate POLICYSTORE_SHARES_IDSTORE SPLIT_DOMAIN
IAMSuiteAgent	OAM 12cは、IAMSuiteAgentをサポートしません。 R2PS3まで、IAMSuiteAgentがOAMコンソールを保護するOOBエージェントでした。12c PS3以降、これはデフォルトのOOBログイン・ページを使用して行われます。 EDG (Enterprise Development Guide)に従って、Webgateエージェントを使用してOAMコンソールを保護することが推奨されます。
Oracle Mobile Security Suite (OMSS)	OAM 12cは、OMSSをサポートしません。	OpenID Connectの使用を推奨します。詳細は、「OIDCクライアントのソーシャル・アイデンティティ・プロバイダとの統合」を参照してください。
セキュリティ・トークン・サービス(STS)	OAM 12cは、STSをサポートしません。	OAuthの使用を推奨します。詳細は、「OAuthサービスの理解」を参照してください

ノート:

Oracle Adaptive Access Manager (OAAM)には12 cバージョンはありません。OAAM 11 gをOAM 12 cとともに使用してください。

12cの場合、モバイルおよびソーシャル・ログインのユースケースには、標準のOAuthを使用することをお薦めします。このようなユースケースを実現するための独自の手段は非推奨となります。顧客が標準ベースのアプローチに移行することで、相互運用性が向上します。次のサービスは、12cでは非推奨です。

• Mobile and Socialサービス

• モバイルOAuthサービス

• セキュリティ・トークン・サービス

• アクセス・ポータル・サービス