12 Oracle Delegated Administration Services

この章では、Oracle Delegated Administration Services（DAS）とOracle Internet Directoryセルフサービス・コンソールに関する問題について説明します。内容は次のとおりです。

• 12.1項「一般的な問題および回避方法」

• 12.2項「管理の問題および回避方法」

• 12.3項「オンライン・ヘルプの問題および回避方法」

• 12.4項「ドキュメントの問題」

12.1 一般的な問題および回避方法

この項では、Oracle Delegated Administration Servicesに関する一般的な問題およびその回避方法について説明します。内容は次のとおりです。

• 12.1.1項「インストール・プロセスでOracle Delegated Administration Services用のSSLが有効化されない」

• 12.1.2項「ワイルドカード文字1つを使用してエントリを検索すると結果が返されない」

• 12.1.3項「Oracle Identity Manager Grid ControlプラグインでOracle Internet Directoryセルフサービス・コンソールのリンクが機能しない」

12.1.1 インストール・プロセスでOracle Delegated Administration Services用のSSLが有効化されない

デフォルトでは、インストール・プロセスでOracle Delegated Administration Services用のSSLは有効化されません。インストール・プロセスの後に、『Oracle Application Server管理者ガイド』の手順に従ってOracle Delegated Administration ServicesのSSLモードを有効化することをお薦めします。

12.1.2 ワイルドカード文字1つを使用してエントリを検索すると結果が返されない

Oracle Internet Directoryセルフサービス・コンソールでユーザーまたはグループを検索するときに、パーセント記号（%）またはアスタリスク（*）のワイルドカード文字1つを入力した場合、結果は返されません。すべてのユーザーまたはグループのリストを返すには、ユーザーの検索ウィンドウまたはグループの検索ウィンドウの検索ボックスに何も文字を入力しないでください。

12.1.3 Oracle Identity Manager Grid ControlプラグインでOracle Internet Directoryセルフサービス・コンソールのリンクが機能しない

Oracle Delegated Administration ServicesインスタンスがSSLを使用するように構成されている場合、またはインスタンスがデプロイされているホストおよびポートを変更した場合、Oracle Identity Manager Grid ControlプラグインでOracle Internet Directoryセルフサービス・コンソールのリンクは機能しません。

この問題を解決するには、次の手順を実行して、Oracle Identity Manager Grid Controlプラグインのページ上にOracle Internet Directoryセルフサービス・コンソール・リンクを手動で構成します。

1. Oracle Enterprise Manager 10g Grid Controlコンソールを起動します。

2. 「ターゲット」タブをクリックし、「ID管理」サブタブをクリックします。

3. 更新するOracle Delegated Administration Servicesインスタンスを選択し、「構成」をクリックします。

4. 必要に応じてプロパティを変更します。

12.2 管理の問題および回避方法

この項では、Oracle Delegated Administration Servicesに関する管理の問題およびその回避方法について説明します。内容は次のとおりです。

• 12.2.1項「パスワードの変更およびリセット機能の無効化」

• 12.2.2項「Oracle Application Server Single Sign-Onのパスワードをリセットすると、ユーザーがOracle Delegated Administration Servicesホームページにリダイレクトされる」

12.2.1 パスワードの変更およびリセット機能の無効化

パスワードの変更およびリセット機能を無効化するには、$ORACLE_HOME/ldap/das/das.propertiesファイル内のRESET_PASSWD_ENABLEDパラメータにfalseの値を割り当てます。これにより、Oracle Internet Directoryセルフサービス・コンソール・ホームページから「パスワードを忘れた場合」リンクが削除され、「プロファイル」タブから「パスワードの管理」リンクが削除されます。

パスワードの変更およびリセット機能の無効化は、ユーザーにのみ適用されます。管理者は、RESET_PASSWD_ENABLEDパラメータに割り当てられた値に関係なく、常にOracle Internet Directoryセルフサービス・コンソール・ホームページの「パスワードを忘れた場合」リンクおよび「プロファイル」タブの「パスワードの管理」リンクを使用できます。

12.2.2 Oracle Application Server Single Sign-Onのパスワードをリセットすると、ユーザーがOracle Delegated Administration Servicesホームページにリダイレクトされる

OracleAS Portalを含む様々なアプリケーションでは、Oracle Delegated Administration Servicesを使用してOracle Application Server Single Sign-Onパスワードをリセットします。ユーザーが自分のパスワードをリセットするには、ソース・アプリケーション内のリンクをクリックします。これにより、Oracle Internet Directoryセルフサービス・コンソール内に「シングル・サインオン・パスワードのリセット」ページが開きます。ただし、ユーザーがパスワードのリセット後に「OK」ボタンをクリックした場合、または「取消」ボタンをクリックしてパスワード変更プロセスを中止した場合、ユーザーは参照側のアプリケーション・ページではなくOracle Delegated Administration Servicesホームページにリダイレクトされます。

Oracle Delegated Administration Servicesホームページ以外にユーザーをリダイレクトするには、正しい戻りURLが含まれた問合せ文字列を、参照側アプリケーション・ページ上のリンクに追加します。問合せ内に、doneURL属性およびcancelURL属性に対する2組のname=valueを含めます。doneURL属性は、ユーザーが「OK」ボタンをクリックしたときにコールするリダイレクトURLを示します。cancelURL属性は、ユーザーが「取消」ボタンをクリックしたときにコールするリダイレクトURLを示します。次の例は、doneURL属性とcancelURL属性が含まれた「アプリケーション・パスワードの変更」ページへのURLを構築する方法を示しています。

http://host:port/oiddas/ui/oracle/ldap/AppStep1ResetPwd?
cancelURL=http://www.domain.com&doneURL=http://www.domain.com

12.3 オンライン・ヘルプの問題および回避方法

この項では、Oracle Delegated Administration Servicesに関するオンライン・ヘルプの問題およびその回避方法について説明します。内容は次のとおりです。

• 12.3.1項「アプリケーションの管理時にヘルプ・トピックが表示されない」

• 12.3.2項「ユーザー・エントリでou属性が許可されない」

12.3.1 アプリケーションの管理時にヘルプ・トピックが表示されない

プロビジョニング・コンソールで、「ディレクトリ」タブ→「アプリケーション」サブタブ→「設定の管理」ボタンをクリックした後、「ヘルプ」をクリックしても、ヘルプ・トピックが表示されません。

現在、マニュアルには「設定の管理」機能に関する情報がなく、アクセスできません。製品の次のリリースでは、マニュアルが更新されてこの情報が追加されます。

「設定の管理」の内容

このトピックでは、プロビジョニング統合アプリケーションに関するアプリケーションの設定およびプロパティの管理方法について説明します。これらの設定には、デフォルト・プロビジョニング・ポリシー（REQUIREDまたはNOT REQUIRED）およびイベント伝播間隔が含まれます。

注意: 使用可能なプロビジョニング対応アプリケーションは、使用する環境によって異なります。Oracle Application Server 10g（10.1.4.0.1）の場合、プロビジョニング・コンソールでプロビジョニングできるのは、Oracle Collaboration Suiteに属するコンポーネントのみです。

アプリケーションの設定およびプロパティを管理する手順

1. 「ディレクトリ」タブをクリックし、「アプリケーション」をクリックします。

2. 「設定の管理: インストール済アプリケーションの選択」ページで、管理するアプリケーションの横のオプションをクリックします。

3. 「編集」を選択します。

4. 「設定の管理: アプリケーション・プロパティの編集」ページで、次の操作を行います。

   • 使用する環境のデフォルト・プロビジョニング・ポリシーの選択

   • イベント伝播間隔の入力

5. 「OK」をクリックします。

12.3.2 ユーザー・エントリでou属性が許可されない

『Oracle Identity Management委任管理ガイド』のOracle Internet Directoryセルフ・サービス・コンソールでのユーザーおよびグループの管理に関する章では、ID管理レルムでの親DNの設定との関連において組織単位（ou）属性について説明します。ただし、この属性は、ユーザー・エントリの構成で他の属性と同じように構成できません。この点に関してオンライン・ヘルプでは明確に説明していません。

マニュアルの今後のリリースで、次の説明がトラブルシューティングに関する章に追加されます。この説明は、製品の次のリリースでオンライン・ヘルプに追加されます。

Oracle Delegated Administration Services（およびOracle Internet Directoryセルフサービス・コンソール）には、親DNの指定用に予約された組織単位（ou）属性の事前定義リストがあります。

ou属性の値は、ID管理レルムでのエントリ用の親DNの構成ガイドラインに従ってマップする必要があります。詳細は、レルムでのエントリ用の親DNの構成手順を参照してください。

ou属性は、ユーザー・エントリの構成で他の属性と同じように構成できません。組織単位（ou）属性では、単純なテキスト値は許可されません。新規ユーザーの作成で組織単位（ou）属性を検索可能および自己編集可能なフィールドとして追加することはできません。

12.4 ドキュメントの問題

この項では、Oracle Delegated Administration Servicesのドキュメントの問題およびその回避方法について説明します。内容は次のとおりです。

• 12.4.1項「セッション・コンテキストが明確にドキュメントされていない」

• 12.4.2項「ユーザーIDの特殊文字の更新が必要」

• 12.4.3項「説明: old_passwordがカスタムpre_modifyパスワード・ポリシー・プラグインに渡されない」

12.4.1 セッション・コンテキストが明確にドキュメントされていない

問題

同一セッション中に2つのブラウザ・ウィンドウでOracle Delegated Administration Servicesを実行すると、ユーザーの観点から、特定のイベントの組合せによって予期しない結果が生じる可能性があります。次に例を示します。

• ブラウザ・ウィンドウの1つでグループを更新し、別のウィンドウでユーザーを更新しようとすると、エラーが生じる可能性があります。

• 同一セッション中に別々のブラウザ・ウィンドウで2つの異なるユーザーの更新を試みると、操作の正確な順序に応じて、2通りの結果のいずれかになります。たとえば、ウィンドウ1でUser1を変更し、ウィンドウ2でUser2を変更した場合、結果は次の2通りです。

  • User1の変更を最後に送信した場合、User2はUser1の詳細と置換され、User1の変更は失われます。

  • User1の変更を最初に送信し、次にUser2の変更を送信した場合、User1の変更は失われ、User2は予期したとおりに更新されます。

原因

Oracle Delegated Administration Servicesは、1つのブラウザ・セッションにつき1つのコンテキストのみ維持します。Oracle Delegated Administration Servicesでは、1つのブラウザ・セッションで複数のウィンドウが使用されていることを認識できません。

Oracle Delegated Administration Servicesでは、1つのセッションにつき1つのユーザーのみ選択できます。セッション内の現行ユーザー・エントリに対してすべての変更が実行されます。各ブラウザ・ウィンドウは、それぞれのウィンドウに表示された値をキャッシュし、更新として戻します。1つのブラウザ・ウィンドウで現行エントリを変更し、それを2番目のブラウザ・ウィンドウにキャッシュされた値で更新すると、予期しない結果が生じる可能性があります。

処置

マニュアルの今後のリリースで、トラブルシューティングに関する章にこの情報が追加されます。

1つのセッションにつきブラウザ・ウィンドウを1つのみ使用することをお薦めします。

12.4.2 ユーザーIDの特殊文字の更新が必要

『Oracle Identity Management委任管理ガイド』のOracle Internet Directoryセルフ・サービス・コンソールでのユーザーおよびグループの管理に関する章に、ユーザー・エントリの作成についての記述があります。このトピックに、新規ユーザーの作成時にユーザーIDに使用できない特殊文字のリストがあります。ただし、このリストには、ユーザーIDに対して正当とみなされている文字が含まれています。

不適切な表現

「ユーザーID」フィールドには、空白または( ) * + , ; < > \ ~ & ' % ? / = ^ | ~のいずれかの文字を使用することはできません。

正しい表現

「ユーザーID」フィールド内では、英数字および次の特殊文字を使用できます。

/ & % space ? = ^ |

ただし、「ユーザーID」フィールドで次の文字を使用することはできません。

" ( ) + , ; < > \ ~

12.4.3 説明: old_passwordがカスタムpre_modifyパスワード・ポリシー・プラグインに渡されない

次のリリースの『Oracle Identity Management委任管理ガイド』に、次の情報が記載されます。トラブルシューティングの章を参照してください。

問題

ユーザーがold_passwordフィールドに値を入力したとき、Oracle Delegated Administration ServicesからOracle Internet Directory pre_modifyプラグインに旧パスワードの値が渡されません。

原因

Oracle Delegated Administration ServicesとOracle Internet Directoryは設計どおりに機能しています。カスタム・パスワード・ポリシーpre_modプラグインは、標準製品でサポートされない機能には使用できません。

Oracle Delegated Administration Servicesではldapcompareを使用し、ユーザーとしてパスワードとプロキシ・バインドを確認します。プロキシ・バインドを使用する場合、ユーザーの旧パスワードをOracle Internet Directoryに送信する必要がありません。Oracle Internet Directoryはプラグインに旧パスワードを渡しますが、このケースでは、パスワードを保持しません。

反対に、Oracle Application Server SSOでは、ユーザーとしてバインドし、パスワードを変更します。同じpre_modifyプラグインで、SSO password.jspを使用して値を受け取ります。ただし、password.jspは、ユーザーのパスワードの期限切れ直前にのみ有効になります。

関連項目: Oracle MetaLink Knowledge Base Note 601469.1

Oracle MetaLinkのNoteを見つける手順

1. 次のサイトのOracle MetaLinkに移動し、通常どおりにログインします。

   http://metalink.oracle.com
   

2. Oracle MetaLinkページの「Knowledge」タブをクリックします。

3. 「Quick Find」リストから「Knowledge」を選択します。

4. Noteの番号の601469.1を空のフィールドに入力し、「Go」をクリックします。

5. Noteのタイトル「OIDDAS Not Passing The Old_password To Custom Pre_modify Password Policy Plugin」をクリックします。