Oracle® Access Manager

パッチ・セット・ノート

リリース10.1.4パッチ・セット1（10.1.4.2.0）

部品番号: E06107-01

原典情報: E11067-01 Oracle Access Manager Patch Set Notes, Release 10.1.4 Patch Set 1 (10.1.4.2.0)

2008年3月

このドキュメントは、Oracle Access Managerに付属するもので、以前のドキュメントに優先します。このドキュメントでは、パッチ・セットのインストール、機能拡張、修正されたバグ、および既知の問題について説明します。

このパッチ・セットは、Oracle Access Manager 10g（10.1.4.0.1）専用です。

このドキュメントの内容は次のとおりです。

• 第1項「このパッチ・セットについて」

• 第2項「このパッチ・セットでの機能拡張」

• 第3項「パッチ・セットのドキュメント」

• 第4項「パッチ・セットの要件」

• 第5項「パッチ・セットの準備、適用および削除」

• 第6項「アップグレード後のXSLカスタマイズのリストア」

• 第7項「基本コンポーネントの更新とサード・パーティのサポート」

• 第8項「既知の問題と回避方法」

• 第9項「今回のリリースで修正されたバグ」

• 第10項「ドキュメントのアクセシビリティについて」

• 第11項「サポートおよびサービス」

このドキュメントでは、オペレーティング・システムの名前を次のように短縮して示します。

オペレーティング・システム	略称
Solaris Operating System（SPARC）	Solaris
Red Hat Linux	Linux
Microsoft Windows	Windows

1 このパッチ・セットについて

パッチ・セットは、完全にテストおよび統合された製品の修正を配布するためのメカニズムです。パッチ・セットには、バグの修正を実装するために再作成されたすべてのファイルが含まれます。パッチ・セットのすべての修正はテストされ、相互に連携して動作することが保証されています。

このパッチ・セットは、累積的であり、Oracle Access Manager 10g（10.1.4.0.1）用の以前のパッチ・セットと、リリース10.1.4.0.1までのPSEホット・フィックスのすべての修正を含みます。

この項の残りの部分では、次の内容について説明します。

• パッチ・セット適用時の処理

• このパッチ・セットでサポートされるOracle Access Managerのリリース

関連項目: 無料のインストール・ドキュメント、リリース・ノート、ホワイト・ペーパーまたはその他の資料をダウンロードするには、Oracle Technology Network（OTN）にアクセスしてください。OTNを使用するには、事前にオンライン登録を行う必要があります。登録は無料であり、次のURLで行うことができます。 http://www.oracle.com/technology/membership OTN用のユーザー名とパスワードをすでに持っている場合は、次のURLにあるOTN Webサイトのドキュメント・セクションに直接移動できます。 http://www.oracle.com/technology/documentation

1.1 パッチ・セット適用時の処理

Oracle Access Managerのインストール環境にパッチ・セットを適用すると、選択されたOracle Access Managerコンポーネントのインストール・ディレクトリに含まれる特定のソフトウェアおよび構成ファイルがパッチ・プログラムにより更新されます。このドキュメントでは、このインストール・ディレクトリをcomponent_install_dirと表記します。この変数は、インストールされているOracle Access Managerコンポーネント・インスタンスのフルパスで置き換えてください。

このパッチ・セットにより、Oracle Access Managerの基本コンポーネントのソフトウェアが更新されます。

1.2 このパッチ・セットでサポートされるOracle Access Managerのリリース

このパッチ・セットは、Oracle Access Manager 10g（10.1.4.0.1）にのみ適用できます。

基本製品、言語パック、サード・パーティ・パッケージ、およびOracle Access Manager 10g（10.1.4.0.1）のダウンロードCDの内容を記載したREADMEファイルは、次のURLが示す場所にあります。

http://www.oracle.com/technology/software/products/ias/htdocs/101401.html

ユーザーは、Oracle Access Manager 10g（10.1.4.0.1）のリリース・ノートを確認する必要があります。次の手順では、これらのリリース・ノートをダウンロードする方法について説明します。

Oracle Access Manager 10g（10.1.4.0.1）のリリース・ノートにアクセスする手順

1. 次のURLに移動します。

   http://download.oracle.com/docs/cd/B28196_01/index.htm

2. 「Getting Started」タブをクリックします。

   このページの「Oracle Application Server Release Notes」というセクションで、「PDF」または「HTML」リンクをクリックします。

3. リリース・ノート・ドキュメントで、Oracle Access Managerのブックマークをクリックします。

2 このパッチ・セットでの機能拡張

Oracle Access Manager 10g（10.1.4.0.1）は、重要な新規リリースでした。Oracle Access Manager 10g（10.1.4.0.1）における製品の機能拡張の完全なリストは、『Oracle Access Manager概要』を参照してください。

Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）では、既存の10g（10.1.4.0.1）インストール環境に含まれる特定のソフトウェアおよび構成ファイルが更新されます。その結果、ソフトウェアの信頼性とパフォーマンスが向上します。また、次の項で示すとおり、このパッチ・セットによりいくつかの主要機能が拡張されます。

• 一般的な拡張

• アイデンティティ・システムの拡張

• アクセス・システムの拡張

• SDKおよびサード・パーティ統合の拡張

• ドキュメントの拡張

2.1 一般的な拡張

次の表に、このパッチ・リリースでの一般的な拡張を示します。

トピック	一般的な拡張の説明
プラットフォーム・サポート	Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）では、Novell eDirectory v8.8の動作が保証されています。ただし、リリース10.1.4パッチ・セット1（10.1.4.2.0）は、既存のインストール環境に適用する必要があります（フレッシュ・インストールには使用できません）。リリース10.1.4.0.1では、Novell eDirectory v8.8の動作は保証されていません。 Novell eDirectory v8.8を使用する新規のOracle Access Managerインストール環境については、Novell eDirectory v8.8に対する設定および構成操作でリリース10.1.4.0.1を使用し、次に「パッチ・セットの準備、適用および削除」の手順に従ってリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用できます。
XSLファイル	JavaScriptに関連する修正、および大規模グループの処理に関連する修正をサポートするため、特定のXSLファイルがアップグレードされました。 これらのファイルをカスタマイズしている場合、このパッチの適用後にそのカスタマイズ設定をリストアする必要があります。詳細は、「アップグレード後のXSLカスタマイズのリストア」を参照してください。
アップグレード	アップグレードは、Oracle Access Managerユーザーに対するサービスを停止せずに実行できるようになりました。停止時間なしのアップグレードによる方法は、標準的なインプレース・コンポーネント・アップグレードにかわるものです。 『Oracle Access Managerアップグレード・ガイド』には、停止時間なしのアップグレードの実行方法を説明した章が含まれます。 停止時間なしのアップグレードの実行中、globalparams.xmlファイルの新規パラメータMigrateUserDataTo1014がアイデンティティ・サーバーとアクセス・サーバーで使用されます。アップグレード後に初めてユーザーがログインすると、MigrateUserDataTo1014の値によって自動ユーザー・データ移行が停止されます。ロスト・パスワード管理用の複数のチャレンジおよびレスポンス属性のみが影響を受けます。 停止時間なしのアップグレードの詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。
診断	問題を診断するには、通常、ロギング用に粒度の細かいしきい値を構成する必要があります（デバッグやトレースなど）。ただし、すべてのコンポーネント機能に詳細なログを生成する必要がないこともあります。たとえば、アイデンティティ・サーバーのLDAPディレクトリのレスポンス時間が遅い原因を診断する場合、LDAP操作に関してのみ詳細なログを生成すれば済みます。 今回のリリースでは、コンポーネントの異なるモジュールまたは機能に対して異なるログしきい値レベルを構成できます。複数のしきい値レベルを構成すると、ロギング構成ファイルの指定に従って、特定のコンポーネント領域に関しては詳細なログが生成され、他の領域に関しては引き続き簡略なログが生成されます。たとえば、アイデンティティ・サーバーで実行されたLDAP操作についてはデバッグ・ログを生成し、他のすべてのアイデンティティ・サーバー機能についてはエラー・ログを生成できます。 詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
LDAPバインド・パスワード	状況によっては、Oracle Access Managerコンポーネントと通信するディレクトリ・サーバー用のLDAPバインド・パスワードを定期的に更新する必要があります。たとえば、政府規制に準拠するようにLDAPバインド・パスワードを更新する場合があります。 今回のリリースでは、LDAPバインド・パスワードの更新機能が追加されています。ModifyLDAPBindPasswordコマンドにより、Oracle Access Managerの構成ファイルのLDAPバインド・パスワードをリセットできます。LDAPバインド・パスワードのリセットは、サーバーの再起動や設定の再実行なしで実行できます。 以前のリリースでは、LDAPバインド・パスワードの更新後に設定を再実行する必要がありました。今回のリリースでは、設定の再実行は必要ありません。 詳細は、『Oracle Access Managerデプロイメント・ガイド』のシステムの再構成に関する章を参照してください。
異なるタイプのコールに要した時間のロギング	外部コンポーネントに対する異なるタイプのコールにより消費された時間の詳細を含むログを生成できます。この情報により、特定のコンポーネントに対するリクエストに予想より長い時間を要しているかどうかを確認できます。 詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
監査	現在、アイデンティティ・サーバーとアクセス・サーバーには、Oracle Instant Clientバイナリが付属しています。 これにより、OCI接続タイプを使用したOracle Databaseへの監査記録時に、アイデンティティ・サーバーとアクセス・サーバーをホストするコンピュータ上の10.1.0.5 ORACLE_HOMEが必要なくなります。
NLSライブラリ	環境変数がORACLE_HOMEまたはORA_NLS10に設定されているか、サード・パーティのWebコンポーネントがOracle Access Managerで使用されているものとは異なるバージョンのNLSライブラリおよびデータ・ファイルを参照していても、Oracle Access Managerコンポーネントは、Oracle_Access_Manager_component_install_dirからNLSデータ・ファイルを選択します。
トラブルシューティング	アクセス・サーバーとアイデンティティ・サーバーには、ユーザーとOracleテクニカル・サポートの担当者が協力して問題のトラブルシューティングを行うのに役立つ新しい診断ツールが含まれます。 診断ツールにより、次のことを実行できます。 コンポーネント構成および動作に関する特定困難な情報の取得 コア・ダンプの直前に発生するイベントの自動取得 アイデンティティ・システムまたはアクセス・システムにおける任意のイベントのスタック・トレースの手動取得 詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
オペレーティング・システム・エラーのロギング	コールが失敗した理由の判別を容易にするため、拡張オペレーティング・システム・エラー情報がログに含まれるようになりました。たとえば、リスナー・スレッドの作成に失敗した場合、GetLastError()で戻されたエラー・コードがログ・ファイルに追加されます。 オペレーティング・システム・エラー情報は、DEBUG3レベルで記録されます。
OSプラットフォームの切替え	『Oracle Access Managerアップグレード・ガイド』には、SolarisプラットフォームからLinuxプラットフォームに切り替えながらアップグレードを行う方法を説明した新しい章が含まれます。
スタック・トレース	Oracle Access Managerでコア・ダンプが出力される場合、ログ・ファイルにスタック・トレースを書き込むことができます。この機能を使用可能にするには、任意の最低レベルでロギングを有効化します。 スタック・トレース情報を含むログ・ファイルは、問題のレポートとともにオラクル社に送信できます。 詳細は、『Oracle Access Manager IDおよび共通管理ガイド』のトラブルシューティングに関する付録を参照してください。
フェイルオーバー	globalparams.xmlの新規パラメータLDAPOperationTimeoutにより、アイデンティティ・サーバー、アクセス・サーバーまたはポリシー・マネージャで、コンポーネントをセカンダリ・サーバーにフェイルオーバーする前に検索結果の単一エントリについてディレクトリ・サーバーからのレスポンスを待機する時間を設定できます（フェイルオーバーが構成されている場合）。 globalparams.xmlのheartbeat_ldap_connection_timeout_in_millisパラメータでは、ディレクトリ・サーバーとの接続を確立する際の時間制限を決定できます。時間制限に達すると、アイデンティティ・サーバーとアクセス・サーバーは、別のディレクトリ・サーバーとの接続の確立を開始します。このパラメータにより、アイデンティティ・サーバーとアクセス・サーバーでは、ディレクトリ・サーバーが停止する時期を事前に識別することで、着信ディレクトリ・サービス・リクエストと後続のTCPタイムアウトを必要とせずにフェイルオーバーを実行できます。 詳細は、『Oracle Access Managerデプロイメント・ガイド』のフェイルオーバーに関する章と、『Oracle Access Managerカスタマイズ・ガイド』のパラメータ・ファイルに関する付録を参照してください。

2.2 アイデンティティ・システムの拡張

次の表に、このパッチ・リリースでのアイデンティティ・システムの拡張を示します。

トピック	アイデンティティ・システムの拡張の説明
IdentityXML	IdentityXMLを使用する場合、globalparams.xmlファイルのXSLProcessorパラメータは、ページの生成時に使用されるプロセッサを示します。公式にサポートされた唯一の値であるdefaultは、XDKプロセッサを使用する必要があることを示します。値XALANまたはDGXTは、テストに使用できます。 詳細は、『Oracle Access Managerカスタマイズ・ガイド』の構成パラメータに関する付録を参照してください。
グループ・パフォーマンス	大規模な静的グループ（10,000を超えるメンバーを含むグループなど）では、そのグループに伴う操作によりメモリーの急激な大量消費が発生する可能性があります。 今回のリリースでは、グループ・パフォーマンスが改善されています。ただし、大規模な静的グループが依然としてパフォーマンスに影響を与える場合、globalparams.xmlのLargeStaticGroupsパラメータを使用してグループに対するデフォルトの評価方法を変更できます。 大規模グループのパフォーマンスを改善するために多くの追加アクションを実行できます。 詳細は、『Oracle Access Managerデプロイメント・ガイド』のパフォーマンス・チューニングに関する章を参照してください。
アイデンティティ・サーバーのポーリング	マルチ・プロセス環境では、多くのプロセスがアイデンティティ・サーバーをポーリング可能です。たとえば、100のプロセスが実行されている場合、それらの各プロセスがwebpass.xmlファイルの更新を発生させる可能性があります。オーバーロードの可能性を排除するため、Oracle Access Managerでは、特定の時点でポーリング追跡情報を取得できるのは常に1つのプロセスのみです。構成の変更が検出されると、特定の時点でwebpass.xmlファイルが更新されます。 複数のアイデンティティ・サーバーを設定する場合や、WebPassを変更する場合、管理者はwebpass.xmlファイルのPollTrackingRefreshIntervalを構成できます。この間隔は、秒単位で構成します。複数のアイデンティティ・サーバーを設定するか、WebPassインスタンスを変更する場合、通常はこのパラメータの構成が伴います。 詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
パスワード変更後の自動ログイン	ユーザーは、各自のパスワードの変更後、自動的にログインできます。自動ログインを構成するには、パスワード変更用のリダイレクトURLにパラメータとしてSTLogin=%applySTLogin%を含める必要があります。次に、ユーザーのログインに使用されるパスワード変更用のリダイレクトURLの例を示します。 http://machinename:portnumber/identity/oblix/apps/lost_ password_mgmt/bin/lost_password_mgmt.cgi?program= redirectforchangepwd&login=%login%%userid%&backURL=% HostTarget%%RESOURCE%&STLogin=%applySTLogin%&target=top これをフォーム・ベースの認証スキームに実装するには、1番目のトークンとしてユーザー名資格証明パラメータを、2番目のトークンとしてパスワード資格証明パラメータを、次にその他の資格証明パラメータを指定して、チャレンジ・パラメータのcredsを構成する必要があります。 詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。
IdentityXMLおよびローカライゼーション	国際化とローカライゼーションをサポートするため、IdentityXMLおよびSOAPインタフェースではISO-8859-1（Latin-1）とUTF-8が使用されます（以前のリリースでは、XMLレスポンスは常にUTF-8形式でした）。 今回のリリースでは、IdentityXMLレスポンスはリクエストと同じエンコーディング形式で送信されます。リクエストでLatin-1エンコーディングが使用される場合（encoding="ISO-8859-1"）、レスポンスでもLatin-1エンコーディングが使用されます。リクエストでUTF-8エンコーディングが使用される場合、レスポンスでもUTF-8エンコーディングが使用されます。

2.3 アクセス・システムの拡張

次の表に、このパッチ・リリースでのアクセス・システムの拡張を示します。

トピック	アクセス・システムの拡張の説明
認証	フォーム・ベースの認証スキームでは、maxpostdatabytesチャレンジ・パラメータを指定できます。このオプション・パラメータの値は、WebGateを使用するWebサーバーに対してエンド・ユーザーが認証用にポストできるデータ・バイトの最大数です。POSTデータがフォーム・ベースの認証スキームのmaxpostdatabytesで設定されたしきい値を超えると、ユーザーはエラーを受信し、DEBUG3ログ・レベルでoblog.logファイルにログ・エントリが追加されます。 例: maxpostdatabytes:100 このパラメータを省略した場合、エンド・ユーザーは、WebGateで保護されたWebサーバーに対して無制限の長さの文字列を認証用にポストできます。文字列が長すぎると、WebGateまたはWebサーバーのクラッシュ、サービス拒否、または他の致命的エラーが発生する可能性があります。
偽装	WebGateで保護されたコンピュータ上のリソースに対して偽装を構成するだけでなく、ネットワーク上の他のリソースに偽装を拡張できます。これは、クライアントへの委任偽装レベルの割当てと呼ばれます。 詳細は、『Oracle Access Manager統合ガイド』のWindowsの偽装に関する章を参照してください。 偽装に関する情報は、『Oracle Access Managerアクセス管理ガイド』から『Oracle Access Manager統合ガイド』に移動されました。
レスポンスのないサーバーに対する再試行の回避	WebGateは、アクセス・サーバーが停止するまでリクエストの再試行を継続する可能性があります。WebGateとアクセス・サーバーのタイムアウトしきい値により、WebGateがアクセス・サーバーのレスポンスを待機し始めてから、その接続を到達不能であると判断して新規接続でリクエストを試行するまでの時間を秒単位で指定できます。アクセス・サーバーがリクエストを処理する時間がタイムアウトしきい値を超える場合、WebGateはそのリクエストを破棄し、新規接続でリクエストを再試行します。接続プールから戻される新規接続は、接続プール設定によっては、同じアクセス・サーバーを接続先とする可能性があることに注意してください。また、他のアクセス・サーバーでも、リクエストの処理にしきい値で許可された時間より長くかかる可能性があります。これらの場合、WebGateは、アクセス・サーバーが停止するまでリクエストの再試行を継続します。 client_request_retry_attemptsパラメータを使用すると、WebGateがレスポンスのないサーバーに対して実行する再試行の回数を制限できます。このパラメータは、アクセス・システムのユーザー定義パラメータです。このパラメータのデフォルト値は、-1です。パラメータ値を-1に設定すると（または何も設定しないと）、再試行が無制限に許可されます。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。
仮想ホスティング	Oracle Access Manager 10.1.4.0.1では、「優先HTTPホスト」フィールドが必須になりました。これにより、仮想ホスティングをサポートする環境では問題が発生しました。 今回のリリースでは、仮想ホストをサポートするために、「優先HTTPホスト」の値をHOST_HTTP_HEADER（ほとんどのWebホスト用）またはSERVER_NAME（Apacheベース用）に設定します。IISでは追加の構成が必要です。 詳細は、『Oracle Access Managerアクセス管理ガイド』のアクセス・サーバーおよびアクセス・ゲートの構成に関する章を参照してください。
パフォーマンス	以前のリリースでは、ポリシー・マネージャで大量のポリシー・ドメインとURL接頭辞を作成する場合、長い時間がかかることがありました。今回のリリースでは、これらの操作でディレクトリ・サーバーに対する検索が最小化されるため、これらの操作のパフォーマンスが向上します。 また、ldapFilterSizeLimitInBytesというパラメータがポリシー・マネージャのglobalparams.xmlファイルに追加されました。このパラメータにより、LDAP検索フィルタのサイズを制御できます。globalparams.xmlに明示的に値を設定しない場合や、0（ゼロ）または負数に設定した場合のデフォルト値は、1024（1KB）です。1〜128の値に設定した場合、使用される値は128です。この情報は、将来リリースされる『Oracle Access Managerカスタマイズ・ガイド』のパラメータ・ファイルに関する付録に追加される予定です。 さらに、以前のリリースでは、ポリシー・マネージャの開始ページが「ポリシー・ドメイン」ページでした。このページに多くのポリシーが含まれる場合、表示に長い時間がかかりました。今回のリリースでは、ポリシー・マネージャの開始ページが「ポリシー・ドメイン」ページのかわりに検索ページになりました。この変更の詳細は、将来リリースされる『Oracle Access Managerアクセス管理ガイド』に記載される予定です。

2.4 SDKおよびサード・パーティ統合の拡張

次の表に、このパッチ・リリースでのSDKおよびサード・パーティ統合の拡張を示します。

拡張	SDKおよびサード・パーティ統合の拡張の説明
NLSライブラリ	環境変数がORACLE_HOMEまたはORA_NLS10に設定されているか、サード・パーティのWebコンポーネントがOracle Access Managerで使用されているものとは異なるバージョンのNLSライブラリおよびデータ・ファイルを参照していても、Oracle Access Managerコンポーネントは、Oracle_Access_Manager_component_install_dirからNLSデータ・ファイルを選択します。
偽装	WebGateで保護されたコンピュータ上のリソースに対して偽装を構成するだけでなく、ネットワーク上の他のリソースに偽装を拡張できます。これは、クライアントへの委任偽装レベルの割当てと呼ばれます。 偽装に関する情報は、『Oracle Access Managerアクセス管理ガイド』から『Oracle Access Manager統合ガイド』に移動されました。 詳細は、『Oracle Access Manager統合ガイド』の偽装の構成に関する章を参照してください。
SharePoint Office Server 2007のサポート	Oracle Access ManagerとSharePoint Office Server 2007の統合がサポートされます。 詳細は、『Oracle Access Manager統合ガイド』のSharePointとの統合に関する章を参照してください。
SAP NetWeaverのサポート	Oracle Access ManagerとSAP NetWeaverの統合がサポートされます。 詳細は、『Oracle Access Manager統合ガイド』のSAPとの統合に関する章を参照してください。
Siebelのサポート	マルチ・ドメインのActive Directory環境におけるOracle Access ManagerとSiebelの統合がサポートされます。 詳細は、『Oracle Access Manager統合ガイド』のSiebelとの統合に関する章を参照してください。
Weblogic 9.2のサポート	Oracle Access ManagerとWeblogic 9.2の統合がサポートされます。統合は、以前からサポートされているプラットフォームと同様に、Windowsでもサポートされます。 詳細は、『Oracle Access Manager統合ガイド』のWebLogicとの統合に関する章を参照してください。
WebSphere 6.1のサポート	Oracle Access ManagerとWebSphere 6.1の統合がサポートされます。 詳細は、『Oracle Access Manager統合ガイド』のWebSphereとの統合に関する章を参照してください。

2.5 ドキュメントの拡張

次の表に、このパッチ・リリースでのドキュメントの拡張を示します。

トピック	ドキュメントの拡張の説明
このパッチ・セットでのすべての拡張	特に記載がないかぎり、各パッチ・ノートに記載されている拡張は、Oracle Access Managerドキュメント・ライブラリの適切な場所にも追加されています。
『Oracle Access Managerアップグレード・ガイド』	『Oracle Access Managerアップグレード・ガイド』には、次の情報が含まれます。 新規の項で、停止時間なしのアップグレードを実行するための方法について説明しています。 新規の章で、SolarisプラットフォームからLinuxプラットフォームに切り替えながらアップグレードを行う方法について説明しています。
『Oracle Access Managerデプロイメント・ガイド』	『Oracle Access Managerデプロイメント・ガイド』には、次の情報が追加されました。 パフォーマンス・チューニングに関する章で、アイデンティティ・システムとアクセス・システムのグループ関連の機能をチューニングする方法について説明しています。この章では、Oracle Access Managerの様々なデプロイ計画および使用例について説明しています。 新規の章で、Oracle Access Managerのインストール環境の様々なバックアップおよびリカバリ計画の概要について説明しています。詳細は、『Oracle Access Managerデプロイメント・ガイド』のバックアップおよびリカバリ計画に関する章を参照してください。 様々なデプロイ・タイプ、環境およびカテゴリを紹介した「デプロイメントの概要」という新規の章が追加されています。 「キャパシティ・プランニング」の章に、デプロイでのハードウェア要件を計算する方法の詳細が追加されています。 パフォーマンス・チューニング、フェイルオーバー、ロード・バランシング、キャッシングおよび移行計画に関する新規情報が追加されています。
『Oracle Access Manager統合ガイド』	シングル・サインオン・セッションからのグローバル・ログアウトを構成するための情報が、ログアウトに関する付録に追加されています。 Dominoおよび偽装に関する情報がこのガイドに移行されています。
『Oracle Access Manager概要』	Oracle Access Manager Configuration Managerについて、『Oracle Access Manager概要』の用語集に新しい用語が追加されています。
『Oracle Access Managerアクセス管理ガイド』	ObSSOCookieの削除について、ログアウトに関する付録に新規情報が追加されています。 Dominoおよび偽装に関する情報は、『Oracle Access Manager統合ガイド』に移行されました。 SSOCookieパラメータに関する情報が、フォーム・ベース認証の構成に関する付録に追加されています。
『Oracle Access Manager IDおよび共通管理ガイド』	「外出中」タブに関する新規情報が、ワークフローに関する章に追加されています。

3 パッチ・セットのドキュメント

次のドキュメントは、このOracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）のパッチ・リリースに関連しています。

• このドキュメント『Oracle Access Manager Patch Set Notes for 10g Release 3 Patch Set 1 (10.1.4.2)』では、次の情報を提供しています。

  • パッチ・セット本体をインストールまたは削除する場合に必要な情報

  • Oracle Access Managerの既知の問題と回避方法

  • 今回のリリースで修正されたバグ

  このドキュメントの名前は、oam_101420_readme.htm（または.pdf）です。このドキュメントは、パッチ・セットの配布内容のDocs/ディレクトリに含まれます。

• 次のOracle Access Managerマニュアルは、このパッチ・セット・リリースで更新されています。

  • 『Oracle Access Manager概要』: Oracle Access Managerの概要について説明し、Oracle Access Managerマニュアルのロードマップと用語集を提供します。

  • 『Oracle Access Managerインストレーション・ガイド』: 10g（10.1.4.0.1）コンポーネントのインストールおよび構成方法について説明しています。

    水平データ移行ツールのインストール方法の詳細は、『Oracle Access Manager Configuration Managerインストレーションおよび管理ガイド』を参照してください。

  • 『Oracle Access Managerアップグレード・ガイド』: 10g（10.1.4.0.1）へのコンポーネントのアップグレード方法について説明しています。

  • 『Oracle Access Manager IDおよび共通管理ガイド』: ユーザー、グループおよび組織に関する情報を表示するようアイデンティティ・システム・アプリケーションを構成する方法、アイデンティティ・システム・アプリケーションに表示されるデータを参照および変更するための権限をユーザーに割り当てる方法、およびアイデンティティ・アプリケーション機能を結合するワークフローを構成する方法について説明しています。

    このマニュアルでは、アイデンティティ・システムとアクセス・システムに共通の管理機能（ロギング、レポート作成、監査、SNMPモニタリングなど）についても説明しています。

  • 『Oracle Access Managerアクセス管理ガイド』: ポリシー・ドメイン、認証スキームおよび認可スキームを定義することでリソースを保護する方法、シングル・ドメインおよびマルチ・ドメインのシングル・サインオンを構成することで1回のログインによりユーザーが複数のリソースにアクセスできるようにする方法、およびカスタム・ログイン・フォームを設計する方法について説明しています。

    このマニュアルでは、アクセス・システムの設定および管理方法についても説明しています。

  • 『Oracle Access Managerデプロイメント・ガイド』: Oracle Access Managerが稼働する環境を計画および管理するユーザー用の情報を提供します。

  • 『Oracle Access Manager開発者ガイド』: IdentityXMLおよびWSDLを使用してプログラム的にアイデンティティ・システム機能にアクセスする方法、アクセス・ゲートとして知られるカスタムWebGateを作成する方法、およびプラグインを開発する方法について説明しています。

    このマニュアルでは、Oracle Access Manager用にCGIファイルまたはJavaScriptを作成する場合の注意事項も提供しています。

  • 『Oracle Access Manager統合ガイド』: Oracle Access Managerを他のOracle製品（OracleAS Single Sign-Onなど）やサード・パーティ製品（BEA WebLogic、Plumtree Portal、IBM WebSphereなど）と相互運用する目的で設定する方法について説明しています。

  • 『Oracle Access Managerスキーマ詳細』: Oracle Access Manager LDAPスキーマに関する詳細情報を提供します。

  • 『Oracle Access Manager Configuration Managerインストレーションおよび管理ガイド』: あるOracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）またはOracle COREidリリース7.0.4のデプロイから別のデプロイに構成データの変更をプッシュする方法に関する情報を提供します。

    たとえば、開発デプロイから本番準備デプロイに変更をプッシュできます。

4 パッチ・セットの要件

次の項で、このパッチ・セットの要件について説明します。

• 必要なソフトウェアおよびプラットフォーム

• 必要な環境準備

• XSLファイルの要件

• 停止時間なしのアップグレードおよびユーザー・データ移行の要件

• 後続のパッチの要件

注意: インプレース・コンポーネント・アップグレードと停止時間なしのアップグレードの詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

4.1 必要なソフトウェアおよびプラットフォーム

現在の環境が、『Oracle Access Managerインストレーション・ガイド』とその他のOracle Access Managerマニュアルに記載された推奨システム構成に準拠していることを確認します。

この項の残りの部分では、次の内容について説明します。

• このパッチの基礎となるOracle Access Managerリリース

• オペレーティング・システムのサポート

4.1.1 このパッチの基礎となるOracle Access Managerリリース

Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）は、Oracle Access Manager 10g（10.1.4.0.1）インストール環境にのみ適用できます。

これより前のリリースを使用している場合、このパッチ・セットを適用する前にOracle Access Manager 10g（10.1.4.0.1）にアップグレードする必要があります。

注意: Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）のパッケージを使用してフレッシュ・インストールを実行することはできません。リリース10.1.4パッチ・セット1（10.1.4.2.0）のパッケージを使用して以前のOracle Access Managerコンポーネントのインプレース・アップグレードを実行することもできません。

4.1.2 オペレーティング・システムのサポート

Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）は、次のオペレーティング・システムでサポートされます。

• • Oracle Access ManagerによりサポートされるSolarisオペレーティング・システム

  • Oracle Access ManagerによりサポートされるLinuxオペレーティング・システム

  • Oracle Access ManagerによりサポートされるMicrosoft Windowsオペレーティング・システム

4.2 必要な環境準備

このパッチ・セットをインストールする前に、次の指示を確認してください。

• 「パッチ・セットの要件」のすべての情報を確認します。

• Oracle Access Managerリリース10.1.4.2.0のファイルは、他のNetPointまたはCOREidのインストール・ファイルとは別の場所で保持します。

• コンポーネントのパッチ適用またはパッチ削除を行う場合、そのコンポーネントのインストールに使用したものと同じログイン資格証明を使用します。

  異なる資格証明を使用すると、複数のエラー・メッセージが表示されるなど、予期しない動作が発生する可能性があります。

• 各コンポーネントのパッチ・セットのインストール・ファイルは、そのパッチ・セットを将来削除（アンインストール）できるように、常に使用可能な状態にしておきます。

  パッチを削除する場合、元のパッチ・セット・ファイルを使用する必要があります。

注意: パッチ・セットは累積的ではありません。現在のパッチ・セットを適用する前にすでに適用されているパッチ・セットを削除する必要はありません。

4.3 XSLファイルの要件

リリース10.1.4パッチ・セット1（10.1.4.2.0）を適用すると、変更された次のXSLファイルにより、identity/oblix/lang/sharedディレクトリに含まれる同じ名前の既存のXSLファイルが置き換えられます。

• gsc_view_profile_vertical.xsl

• gsc_view_profile_horizontal.xsl

• gsc_modify_profile_vertical.xsl

• gsc_modify_profile_horizontal.xsl

• deactivateuser.xsl

• navbar.xsl

パッチの適用後、カスタマイズしているファイルに拡張を含める必要があります。パッチ・セット適用後に独自のXSLファイルをリカバリする方法の詳細は、第6項「アップグレード後のXSLカスタマイズのリストア」を参照してください。

4.4 停止時間なしのアップグレードおよびユーザー・データ移行の要件

次に、停止時間なしのアップグレードおよび最初のログイン時におけるユーザー・データ移行の要件を示します。

Oracle Access Managerには、多くのグローバル・パラメータを含むglobalparams.xmlというファイルが付属しています。リリース10.1.4パッチ・セット1（10.1.4.2.0）では、停止時間なしのアップグレードの実行中、globalparams.xmlファイルの新規パラメータMigrateUserDataTo1014がアイデンティティ・サーバーとアクセス・サーバーで使用されます。MigrateUserDataTo1014の値によっては、アップグレード後に初めてユーザーがログインすると、自動ユーザー・データ移行が停止されます。Oracle Access Manager 10g（10.1.4.0.1）で導入されたロスト・パスワード管理用の複数のチャレンジおよびレスポンス属性のみが影響を受けます。その他のユーザー・データ属性は、ユーザーの最初のログイン時に移行されません。

MigrateUserDataTo1014には、次の2つの値を指定できます。

• true: この値により、最初のログイン時におけるユーザーまたは管理者のロスト・パスワード管理用のチャレンジ・パラメータの自動移行が有効化されます。

  次の場合、この値はデフォルトでtrueに設定されます。

  • Oracle Access Manager 10g（10.1.4.0.1）をインストールした後にリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用した場合

  • Oracle Access Manager 10g（10.1.4.0.1）へのインプレース・コンポーネント・アップグレードを実行した後にリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用した場合

• false: この値により、最初のログイン時におけるユーザーのロスト・パスワード管理用のチャレンジ・パラメータの自動移行が停止されます。

  この値がデフォルトでfalseに設定されるのは、停止時間なしのアップグレードによる方法を使用してアップグレードを行う場合のみです。停止時間なしのアップグレード中に、Oracle Access Manager 10g（10.1.4.0.1）をインストールし、アップグレードの終了前にリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用します。結果として、コンポーネントはOracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）にアップグレードされます。

  停止時間なしのアップグレードが終了し、アップグレードが成功したことを確認したら、リリース10.1.4パッチ・セット1（10.1.4.2.0）の各アイデンティティ・サーバーおよびアクセス・サーバーのglobalparams.xmlファイルでMigrateUserDataTo1014パラメータの値をtrueに変更する必要があります。変更はglobalparams.xmlに自動的に伝播されません。最初の箇条書きに記載したとおり、値をtrueに設定すると、最初のログイン時にユーザーのロスト・パスワード管理用のチャレンジ・パラメータの自動移行が開始されます。

globalparams.xmlファイルは、次のディレクトリに保存されます。

IdentityServer_install_dir/identity/oblix/apps/common/bin

WebPass_install_dir/Webcomponent/identity/oblix/apps/common/bin

PolicyManager_install_dir/Webcomponent/access/oblix/apps/common/bin

AccessServer_install_dir/access/oblix/apps/common/bin

MigrateUserDataTo1014パラメータを使用するのは、リリース10.1.4パッチ・セット1（10.1.4.2.0）のアイデンティティ・サーバーおよびアクセス・サーバーのみです。一般的に、globalparams.xmlファイルの一部のパラメータはすべてのコンポーネントに共通であり、一部のパラメータは少数のコンポーネントのみに固有です。globalparams.xmlファイルの内容の詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

4.5 後続のパッチの要件

Oracle Access Manager 10g（10.1.4.0.1）は、メジャー・リリースであり、パッチ・セットではありません。Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）は、パッチ・セットです。

これらのリリースについては、将来のパッチ・セットに関する次の要件に注意してください。

• Oracle Access Manager 10g（10.1.4.0.1）をインストールし、次にリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用した場合、コンポーネント・インスタンスは10g（10.1.4.0.1）であるとみなされます。

  この場合、後続のパッチ・セットを適用する前に、リリース10.1.4パッチ・セット1（10.1.4.2.0）を削除する必要があります。

• 標準のインプレース・コンポーネント・アップグレードによる方法を使用して、以前のコンポーネントをOracle Access Manager 10g（10.1.4.0.1）にアップグレードし、次にリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用した場合、コンポーネント・インスタンスはリリース10g（10.1.4.0.1）であるとみなされます。

  この場合、後続のパッチ・セットを適用する前に、リリース10.1.4パッチ・セット1（10.1.4.2.0）を削除する必要があります。

• 停止時間なしのアップグレードによる方法を使用して以前のコンポーネント・インスタンスをアップグレードする場合、Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）で使用可能なツールを使用する必要があります。

  これらのツールを取得するには、各Oracle Access Manager 10g（10.1.4.0.1）のフレッシュ・インスタンスをインストールし、次にリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用してから停止時間なしのアップグレードを開始します。停止時間なしのアップグレードによる方法では、アップグレードされたコンポーネント・インスタンスはリリース10.1.4パッチ・セット1（10.1.4.2.0）であるとみなされます。したがって、後続のパッチ・セットを適用する前にリリース10.1.4パッチ・セット1（10.1.4.2.0）を削除することはできません。

5 パッチ・セットの準備、適用および削除

次の項で、パッチ・セットの準備、適用および削除について説明します。

• パッチ・セット・コンポーネントの準備

• Oracle Access Manager 10.1.4.2.0パッチの適用

• パッチ・セット適用時の障害

• LDAPバインド・パスワード変更後のOracle Access Manager 10.1.4.2.0パッチ・セットの削除

5.1 パッチ・セット・コンポーネントの準備

この項では、パッチ・セット・バンドルとその内容を紹介し、それらを編成して元のインストール内のファイルから区別できるように一時ディレクトリに格納する方法について説明します。

Oracle Access Managerのパッチ・セット・リリースは、個々のプラットフォーム固有のバンドル（ZIPファイル）で配布され、そのファイル名はp5957301_101420_platform.zipのようになります。UNIXプラットフォーム用の以前のバンドルは、tarファイルとして配布されていました。現在では、すべてのトップレベル・プラットフォーム固有のバンドルは、ZIPファイルとして配布されています。

表1に、今回のリリースのパッチ・セット・バンドルをすべてリストします。

表1 Oracle Access Managerのプラットフォーム・バンドル

コンポーネント名	リリース
p5957301_101420_MSwin2000.zip	10.1.4.2.0
p5957301_101420_Solaris-32.zip	10.1.4.2.0
p5957301_101420_Linux-32.zip	10.1.4.2.0

Oracle Access Managerのインストール環境に複数のプラットフォームが含まれる場合、必ずプラットフォーム固有の適切なバンドルをすべてダウンロードしてください。プラットフォーム固有の各バンドルには、コンポーネント固有の1つ以上のファイルが含まれます。

次の手順では、パッチ・セットのインストールを開始する前に、リリース10.1.4.2.0のファイルを解凍して格納する方法について説明します。

注意: バンドルごとにプラットフォーム固有の新規ディレクトリを作成して、コンポーネント固有のファイルを対応するプラットフォーム固有のディレクトリ・ツリー内の個別のブランチ（サブディレクトリ）に格納することをお薦めします。

パッチ・セット・バンドルおよびコンポーネントを準備して格納する手順

1. 次のように、必要なプラットフォーム固有のZIPバンドルをOracle Metalinkからダウンロードします。

   • 次のサイトにあるOracle MetaLinkに移動して通常どおりログインします。

     http://metalink.oracle.com
     

   • Oracle MetaLinkページのリストにある「Patches & Updates」をクリックします。

   • 「Quick Links to the Latest Patchsets, Mini Packs, and Maintenance Packs」をクリックします。

   • 「Latest Oracle Server/Tools Patchsets」で、「Patchsets for Product Bundles」領域の「Oracle Access Manager」をクリックします。

   • 今回のOracle Access Managerリリースのパッチ番号をクリックします（5957301）。

   • リリースとプラットフォームを選択し、「Download」ボタンをクリックします。

2. ダウンロードしたZIPファイルの格納先ディレクトリで、すべてのファイルをプラットフォーム固有の新規一時ディレクトリに解凍および抽出します。たとえば、次のようになります。

   • v10.1.4.2.0_tmp_linux

   • v10.1.4.2.0_tmp_sparc

   • v10.1.4.2.0_tmp_win32x

3. プラットフォーム固有のディレクトリで、コンポーネント固有のパッチ・セット・ファイルを特定し、使用しているプラットフォームに応じて次の手順を実行します。

   • Windows、Solaris、Linux: コンポーネント固有の各パッチ・セット・ファイルをコンポーネント固有の個々のサブディレクトリに解凍および抽出します。たとえば、次のようになります。

   v10.1.4.2.0_tmp_sparc/access_server

4. インストール環境にパッチを適用するために必要なプラットフォーム固有のバンドルおよびコンポーネントごとに前述の手順を繰り返します。

5.2 Oracle Access Manager 10.1.4.2.0パッチの適用

この項では、Oracle Access Managerコンポーネントにパッチを適用する方法について説明します。個々の方法やコマンドは実際のプラットフォームに応じて変化する可能性がありますが、全体的な手順は同一です。

コンポーネントにパッチを適用する場合、必ずそのコンポーネントのインストール時に使用したものと同じログイン資格証明を使用してください。

一度にパッチを適用できるコンポーネント・インスタンスは、1つのみです。たとえば、複数のアイデンティティ・サーバーが存在する場合、アップグレードするアイデンティティ・サーバーごとに次の手順を繰り返します。

注意: Oracle Access Manager 10.1.4.2.0を適用する前に、既存のOracle Access Managerコンポーネントをバックアップすることをお薦めします。このパッチ・セットを削除する場合に、元の環境をリストアできます。

すべてのプラットフォームで10g（10.1.4.0.1）にパッチ・セットを適用する手順

1. 「パッチ・セット・コンポーネントの準備」の手順をすべて実行します。

2. パッチを適用するOracle Access Managerコンポーネント・インスタンス（アイデンティティ・サーバーなど）を停止します。

3. Oracle Access Managerコンポーネントのインストール・ディレクトリをバックアップします。

4. バックアップ・ディレクトリを別の場所に移動し、必要に応じて後でその場所を特定できるように記録しておきます。

5. IIS 5 Webサーバー: Microsoft IIS 5 Webサーバーで稼働する任意のOracle Access Manager Webコンポーネント（WebPass、ポリシー・マネージャおよびWebGate）にパッチを適用する前に、次のIIS 5サービスを停止する必要があります。

   • IIS 5 World Wide Web Publishing Service

   • IIS Admin Service

   パッチの適用後に、これらのサービスを再起動します。

6. 作成したコンポーネント固有の一時ディレクトリに移動し、次のようにプラットフォームに応じたpatchinstプログラムを実行します。

   Windowsシステム: patchinst.exe

   すべてのUNIXオペレーティング・システム: ./patchinst

7. プロンプトが表示されたら、新規パッチ・セットを適用するディレクトリの名前を入力します。

   新規リリースは、アップグレードするコンポーネントと同じ場所に適用する必要があります。たとえば、installdir\identityやinstalldir\accessなどです。

   .exeプログラムにより、コンポーネントがアップグレードされ、以前のファイルのバックアップを含む新規ディレクトリが作成されます。パッチ・セットの適用が完了すると、コマンド・ウィンドウにプロンプトが表示されます。

8. パッチを適用したコンポーネントを再起動します。

9. 前述の手順を繰り返し、同じコンポーネントのその他のインスタンスすべてにパッチを適用します。

10. 前述の手順を繰り返し、他のOracle Access Managerコンポーネント・インスタンスすべてにパッチを適用します。

5.3 パッチ・セット適用時の障害

パッチの適用時に障害が発生した場合、元のインストール環境が自動的にリストアされます。

ウィンドウを確認して問題を特定できるかどうかを判断し、問題を訂正してからパッチ・セットの適用を再度開始します。問題を訂正できない場合、パッチ・インストール時のログをOracleテクニカル・サポートに送信して指示を受けてください。

5.4 LDAPバインド・パスワード変更後のOracle Access Manager 10.1.4.2.0パッチ・セットの削除

次の手順では、最初のパッチ適用後にLDAPバインド・パスワードを変更した場合に、そのパッチ・セットを削除して元のインストール環境にシステムをリストアする方法について説明します。個々の方法やコマンドは実際のプラットフォームに応じて変化する可能性がありますが、全体的な手順は同一です。

注意: この項では、10.1.4.2パッチの適用後にLDAPバインド・パスワード変更ツールを使用した場合にパッチを削除する方法について説明します。後続の手順では、ディレクトリ・サーバーのパスワードの変更後に、構成ファイルのベース・バージョンに復帰する方法について説明します。いずれかの手順を実行する前に、この項のすべての情報を確認してください。

Oracle Access Managerのメタデータの格納形式は、変更されました。そのため、リリース10.1.4パッチ・セット1（10.1.4.2.0）のパッチ・セットを削除する前に、コンポーネント・メタデータを10g（10.1.4.0.1）形式に戻し、LDAPバインド・パスワードを更新する必要があります。この作業は、次の2つの部分に分かれます。

• 構成ファイルのメタデータをリストアします。

• 構成ディレクトリ・サーバーのメタデータをリストアします。

この作業を実行するには、アクセス・サーバー、アイデンティティ・サーバーおよびポリシー・マネージャのインスタンスごとに、各コンポーネントに対応する次のディレクトリでmodifyldapbindpasswordツールを実行します。

component_install_dir/oblix/tools/modbinpasswd/

ここで、component_install_dirは、ディレクトリ・バインド・パスワードを更新するコンポーネントのインストール・ディレクトリです（IdentityServer_install_dirなど）。

この作業を実行する方法の概要は、後続の手順で説明します。modifyldapbindpasswordの使用方法の詳細は、『Oracle Access Managerデプロイメント・ガイド』の「システムの再構成」の章を参照してください。

oblixメタデータを10.1.4ベース・リリース形式に戻すには、パスワードの更新を実行する場合のようにmodifyldapbindpasswordを実行する必要があります。ただし、oblixメタデータを戻す場合、ツールにより新規のバインド・パスワードが要求されたときになんらかのダミー・パスワードを指定する必要があります。

modifyldapbindpasswordは、対話型モードまたは非対話型モードで実行できます。ツールを対話型モードで実行するための最小限のパラメータは、次のとおりです。

modbinpasswd -i installation_directory -c component -t file|all|ds

-cフラグは、必須であり、適切なコンポーネント値とともに指定します。コンポーネント値には、次のいずれかを指定する必要があります。

• is（アイデンティティ・サーバー）

• pm（ポリシー・マネージャ）

• as（アクセス・サーバー）

注意: アイデンティティ・サーバーには、fileやディレクトリ・サーバー（ds）などを指定する-tというターゲット・オプションがあります。次の手順では、アイデンティティ・サーバーのターゲットとして常にfileを使用します。ポリシー・マネージャとアクセス・サーバーのターゲット・オプションは、fileのみです。

任意のシステムからパッチ・セットを削除する手順

1. 構成ファイルのメタデータをリストアします。次の手順を実行して、構成ファイルのメタデータを10g（10.1.4.0.1）形式に戻し、各コンポーネントのLDAPバインド・パスワードを更新します。

   modifyldapbindpasswordコマンドの詳細は、『Oracle Access Managerデプロイメント・ガイド』の「システムの再構成」の章を参照してください。

   1. 非対話型モードの場合、-genpasswdfileオプション付きでmodifyldapbindpasswordを使用してパスワード・ファイルを生成します。対話型モードでツールを実行する場合、この手順は省略してください。たとえば、次のようになります。

      modifyldapbindpassword.exe -genpasswdfile password

      ツールにより、バインド・パスワードの更新プロセス中に必要とされるパスワードが要求されます。passwordは、パスワード・ファイルの名前です。.xml拡張子を指定しない場合、password.xmlのように追加されます。

   2. -t fileオプション付きでmodifyldapbindpasswordを使用し、構成ファイルのLDAPバインド・パスワードを更新します。

      対話型モードの例は次のとおりです。

      modifyldapbindpassword.exe -i IdentityServer_install_dir -c is -t
      file
      

      非対話型モードの例は次のとおりです。

      modifyldapbindpassword.exe -i IdentityServer_install_dir -c is -t
      file –j password.xml [parameters]
      

      変数の意味は次のとおりです。

      fileは、パスワード・ファイルの名前です。.xml拡張子を指定しない場合、自動的に追加されます。

      parametersは、追加のパラメータを示します。詳細は、『Oracle Access Managerデプロイメント・ガイド』の「システムの再構成」の章を参照してください。

   3. 環境内のアイデンティティ・サーバー、ポリシー・マネージャおよびアクセス・サーバー・インスタンスごとに手順bを繰り返します。

   4. システム内のホスト名バリエーションごとに手順bを繰り返します。

      たとえば、.company.comドメイン内でmachine1というホストを実行している場合、machine1.company.comとmachine1の両方でOracle Access Managerのホスト名を構成します。この場合、構成ホスト名ごとに1回ずつ、合計2回ツールを実行する必要があります。

      ホスト名バリエーションの詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

   5. modifyldapbindpasswordツールを使用して手順a〜cを繰り返し、次のように他のすべてのディレクトリ・サーバーで構成ファイルのLDAPバインド・パスワードを更新します。

      modifyldapbindpassword.exe -genpasswdfile -t file

2. 構成ディレクトリ・サーバーのメタデータをリストアします。

   1. アイデンティティ・システム・コンソールに移動してログインします。

   2. 「システム構成」→「ディレクトリ・オプションの構成」→「プロファイルの構成」をクリックします。

   3. 「LDAPディレクトリ・サーバー・プロファイルの構成」ラベルの下で、プロファイル名をクリックして「ディレクトリ・サーバー・プロファイルの変更」ページを表示します。

   4. 「ディレクトリ・サーバー・プロファイルの変更」ページで、「データベース・インスタンス」ラベルの横の名前をクリックし、「データベース・インスタンスの変更」ページを表示します。

   5. 「データベース・インスタンスの変更」ページで、インスタンスの「ルート・パスワード」を変更し、「保存」をクリックします。

   6. ディレクトリ・プロファイルごとに前述の手順を繰り返します。

3. コンポーネントを停止します。

   必要に応じて、コンポーネントに接続しているアプリケーションも停止します。

   フェイルオーバーを設定している場合、コンポーネントに接続しているアプリケーションを停止する必要はありません。

4. コンポーネントのインストール・ディレクトリをバックアップします。

5. バックアップ・ディレクトリを別の場所に移動し、必要に応じて後でその場所を特定できるように記録しておきます。

6. コマンド・ウィンドウを開き、次のようなコンポーネントのバイナリ・パラメータ・ファイルを検索します。

   Oracle_Access_Manager10_1_4_2_0_Patch_win32_Access_Server_binary_parameter

   このパラメータ・ファイルは、パッチ・セットとともにcomponent_install_dir\identity\access\oblix\patch\101420xxなどにインストールされています。

   このファイルのフルパスの例は、次のとおりです。

   C:\OracleAccessManager\access\oblix\patch\101420RC510\Oracle_Access_Manager10_1_4_2_0_Patch_win32_Access_Server_binary_parameter

7. バイナリ・ファイルを含むディレクトリに移動します。

8. 次のようにプラットフォームに対応するコマンドを入力し、[Enter]を押します。

   Windowsシステム: patchinst.exe -u

   すべてのUNIXオペレーティング・システム: ./patchinst -u

9. コンポーネントのインストール・ディレクトリのフルパスを入力し、[Enter]を押します。一般的なパスの例は次のとおりです。

   C:\OracleAccessManager\access

これでパッチ・セット・リリースはアンインストールされ、元のインストール環境がリストアされます。

6 アップグレード後のXSLカスタマイズのリストア

リリース10.1.4パッチ・セット1（10.1.4.2.0）を適用すると、JavaScriptに関連する修正、および大規模グループの処理に関連する修正をサポートするために、一部のXSLファイルが変更されます。

変更されるXSLファイルは、次のディレクトリに存在します。

IdentityServer_install_dir\identity\oblix\lang\shared

次のXSLファイルが変更されます。

• gsc_view_profile_vertical.xsl

• gsc_view_profile_horizontal.xsl

• gsc_modify_profile_vertical.xsl

• gsc_modify_profile_horizontal.xsl

• deactivateuser.xsl

パッチの適用時に、元のXSLファイルは次のディレクトリに自動的にバックアップされます。

IdentityServer_install_dir\identity\backup-Oracle-101401RC2-binary_parameter
\oblix\lang\shared

パッチの適用後、次のいずれかの方法でこれらのファイルにカスタマイズの内容をリカバリできます。

• これらのファイルのパッチ適用バージョンにカスタマイズを追加します。

• カスタマイズしているファイルのバックアップ・コピーを新しい情報を含むように変更し、更新したバックアップ・コピーを元のインストールの場所に移動します。

次の手順では、カスタマイズしているファイルのバックアップ・コピーをリリース10.1.4パッチ・セット1（10.1.4.2.0）で使用可能な最新の修正を含むように変更する方法について説明します。

パッチ適用後に以前のXSLファイルをリカバリする手順

1. 第5項「パッチ・セットの準備、適用および削除」の手順に従ってリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用します。

2. 次のディレクトリで以前のファイルのバックアップ・コピーを検索します。

   Identity_Server_install_dir\identity\backup-Oracle-101401RC2-binary_parameter\oblix\lang\shared

3. バックアップ・ファイルgsc_view_profile_vertical.xslに、次の情報を追加します。

   次の行を見つけます。

   <xsl:template match="oblix:ObGroupProfile">
   <xsl:apply-templates select="oblix:ObTextMessage"/>
   

   これらの行の直後に、次の情報を追加します。

   <xsl:variable name="isLargeGroup"><xsl:value-of select="/oblix:Oblix/
   oblix:ObGroupProfile/oblix:ObForm/oblix:ObInput[@obname='isLargeGroup'
   ]/@obvalue"/></xsl:variable>
   <xsl:if test="$isLargeGroup='true'">
   <p>
       <font>
           <xsl:call-template name="addPageWarningAttr"/>
           <xsl:variable name="MLargeGroup">This is a large group and hence
           members for this group will not be displayed on the profile page.
           Please use "Manage Group Members" feature to search and manage
           members.
               </xsl:variable>
           <b><xsl:value-of select="$MLargeGroup"/></b>
           <br/>
       </font>
   </p>
   </xsl:if>
   

4. ファイルを保存してアイデンティティ・サーバーを再起動します。

5. カスタマイズしているgsc_*.xslファイルのバックアップ・コピーごとに手順3を繰り返します。

6. deactivateuser.xslファイルを次のように変更します。

   次の行を見つけます。

   <xsl:template match="oblix:ObColumnInfo">
      <tr bgcolor="#006699">
          <td align="{$alignLeft}" valign="middle" class="tableheader-text"
          width="5%">
          ...
   <xsl:otherwise>
      <xsl:choose>
         <xsl:when test="/oblix:Oblix/oblix:ObDeactivateUser/oblix:ObForm
         [@obname='DeactivateSearchResults']/oblix:ObInput[@obname='sortBy']
         /@obvalue=@ObAttribute">
            <xsl:choose>
   <xsl:when test="/oblix:Oblix/oblix:ObDeactivateUser/oblix:ObForm
   [@obname='DeactivateSearchResults']/oblix:ObInput[@obname='sortOrder']/@obvalue='ascending'">
   <a onmouseout="self.status=''" class="tableheader-text">
   <xsl:attribute name="href">javascript:sortDeactivatedUsers('<xsl:value-of 
   select="@ObAttribute"/>','descending')</xsl:attribute>
   

   次の行を削除します。

   <xsl:attribute name="onmouseover">self.status='<xsl:value-of 
   select="$MSortDec"/>'; return true</xsl:attribute>
   

   この場所に次の2つの項目を追加します。

   <xsl:attribute name="onMouseOver">self.status='<xsl:call-template
   name="oblix:PrepForJS">
   
   <xsl:with-param name="strToPrep" select="$MSortDec"/>
   </xsl:call-template>'; return true</xsl:attribute>
   

7. deactivateuser.xslファイルを次のように変更します。

   次の行を見つけます。

   <b>
      <xsl:value-of select="@obattrName"/>
   </b>
   ...
   <xsl:otherwise>
      <a onmouseout="self.status=''" class="tableheader-text">
         <xsl:attribute name="href">javascript:sortDeactivatedUsers('<xsl:
         value-of select="@ObAttribute"/>','ascending')</xsl:attribute>
   

   次の行を削除します。

   <xsl:attribute name="onmouseover">self.status='<xsl:value-of
   select="$MSortAsc"/>'; return true</xsl:attribute>
   

   この場所に次の2つの項目を追加します。

   <xsl:attribute name="onMouseOver">self.status='<xsl:call-template
   name="oblix:PrepForJS">
   
   <xsl:with-param name="strToPrep" select="$MSortAsc"/> </xsl:call-template
   >'; return true</xsl:attribute
   

8. deactivateuser.xslファイルを次のように変更します。

   次の行を見つけます。

   <b>
      <xsl:value-of select="@obattrName"/>
   </b>
   ...
   <xsl:otherwise>
      <a onmouseout="self.status=''" class="tableheader-text">
          <xsl:attribute name="href">javascript:sortDeactivatedUsers('<
          xsl:value-of select="@ObAttribute"/>','ascending')</xsl:attribute>
   

   次の行を削除します。

   <xsl:attribute name="onmouseover">self.status='<xsl:value-of  
   select="$MSortAsc"/>'; return true</xsl:attribute> 
   

   この場所に次の2つの項目を追加します。

   <xsl:attribute name="onMouseOver">self.status='<xsl:call-template name="oblix:PrepForJS">
   
   <xsl:with-param name="strToPrep" select="$MSortAsc"/> </xsl:call-template
   >'; return true</xsl:attribute>
   

9. ファイルを保存します。

10. カスタマイズしているファイルのバックアップ・コピーで手順2〜8を実行してから、パッチ・セットを適用したインストール・ディレクトリにそれらのファイルを移動し、パッチ適用バージョンと置き換えます。

7 基本コンポーネントの更新とサード・パーティのサポート

Oracle Access Managerのアプリケーション、プラットフォームおよびオペレーティング・システムに対するサポートは、継続的にアップグレードされています。次の項では、サポートされる最新のコンポーネントを検索してダウンロードする方法について説明します。

• 現在サポートされるプラットフォームおよびアプリケーションの表示

• コンポーネントのダウンロードとサポートされる最新のプラットフォームへのパッチ適用

7.1 現在サポートされるプラットフォームおよびアプリケーションの表示

次の手順に従って、MetaLinkで最新のサポート情報を検索します。

注意: サポートされるプラットフォームの情報は、マニュアルから削除されました。最新の情報を参照するには、Metalinkに移動してください。

MetaLinkで最新の動作保証マトリックスを参照する手順

1. 次の場所にあるOracle MetaLinkに移動します。

   http://metalink.oracle.com
   

2. 指示どおりにOracle MetaLinkにログインします。

3. 「Certify」タブをクリックします。

4. 「View Certifications by Product」をクリックします。

5. 「Application Server」オプションを選択し、「Submit」をクリックします。

6. 「Oracle Identity Management」を選択し、「Submit」をクリックします。

7. 「Oracle Identity Management Certification Information」（html）をクリックし、「Oracle Identity Management」ページを表示します。

8. 「Section 6, "Oracle Access Manager Certification"」のリンクをクリックし、動作保証マトリックスを表示します。

7.2 コンポーネントのダウンロードとサポートされる最新のプラットフォームへのパッチ適用

「現在サポートされるプラットフォームおよびアプリケーションの表示」の手順に従って、希望する新規プラットフォームでのコンポーネントのサポートを確認したら、その新規コンポーネントをダウンロードできます。コンポーネントがOracle Access Managerの基本コンポーネント・セットの一部である場合、パッチを適用してリリース10.1.4パッチ・セット1（10.1.4.2.0）に移行できます。

注意: サード・パーティ統合（BEA Weblogicコネクタなど）は、基本コンポーネント・セットの一部ではありません。これらのコンポーネントにはパッチを適用できません。

コンポーネントをダウンロードしてサポートされる最新のプラットフォームにパッチを適用する手順

1. 「現在サポートされるプラットフォームおよびアプリケーションの表示」の手順に従ってサポートされるプラットフォームを確認します。

2. 基本の配布内容でサポートされないアプリケーションまたはプラットフォームのサポートを必要とする場合、次のURLに移動します。

   http://www.oracle.com/technology/software/products/ias/htdocs/101401.html

   このダウンロード・ページには、必要なコンポーネントを含むCDを判断するのに役立つREADMEが含まれます。WebGateは、通常、サード・パーティ統合のCDにリストされますが、パッチを適用できる基本コンポーネントです。

3. 適切なコンポーネントをダウンロードします。

4. このドキュメントに記載された手順に従って、リリース10.1.4パッチ・セット1（10.1.4.2.0）のパッチを適用します。

8 既知の問題と回避方法

この項では、既知の問題とその回避方法について説明します。この項の内容は次のとおりです。

• プラットフォーム・サポートの既知の問題と回避方法

• アイデンティティ・サーバーの既知の問題と回避方法

• WebPassの既知の問題と回避方法

• ポリシー・マネージャの既知の問題と回避方法

• WebGateの既知の問題と回避方法

• パフォーマンスの問題と回避方法

• Software Developer Kit（SDK）、APIおよびサード・パーティの既知の問題と回避方法

• ドキュメントの既知の問題

8.1 プラットフォーム・サポートの既知の問題と回避方法

表2に、このパッチ・セット・リリースにおけるプラットフォーム・サポートの既知の問題とその回避方法を示します。

表2 プラットフォーム・サポートの既知の問題と回避方法

バグ	説明
6413451	Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）には、言語パック関連の変更は含まれません。SNMPエージェントのInstallShieldウィザードの変換サポートはありません。
6505991	Oracle Access Managerリリース10.1.4パッチ・セット1（10.1.4.2.0）では、Sun Directory Server Enterprise Edition v6.0（DSEE 6.0）の動作が保証されています。ただし、リリース10.1.4パッチ・セット1（10.1.4.2.0）は、既存のインストール環境に適用する必要があります（フレッシュ・インストールには使用できません）。Sun Directory Server Enterprise Edition v6.0（DSEE 6.0）は、リリース10.1.4.0.1では動作が保証されておらず、Oracle Access Managerのインストーラやユーザー・インタフェースにも表示されません。 新規のOracle Access Managerインストール環境でSun Directory Server Enterprise Edition v6.0（DSEE 6.0）を使用する場合、次の手順を実行します。 『Oracle Access Managerインストレーション・ガイド』の手順に従ってOracle Access Manager 10.1.4.0.1をインストールします。 Oracle Access Managerのインストール中に、「Sun Directory Server 5.x」オプションを選択します。 スキーマおよびデータは自動的に更新しないでください。 DSEE 6.0の管理コンソールを使用して、Oracle Access Managerの次のスキーマおよび索引ファイルをロードします。 ユーザー・データのみをホストするLDAPサーバー・インスタンスの場合: install_dir/access/identity/oblix/data.ldap/common/iPlanet_user_schema_add.ldif install_dir/access/identity/oblix/data.ldap/common/iPlanet5_user_index_add.ldif ユーザー・データと構成データ（または構成データとポリシー・データ、あるいはポリシー・データのみ）をホストするLDAPサーバー・インスタンスの場合: install_dir/access/identity/oblix/data.ldap/common/iPlanet_oblix_schema_add.ldif install_dir/access/identity/oblix/data.ldap/common/iPlanet5_oblix_index_add.ldif アイデンティティ・サーバーまたはポリシー・マネージャの設定に進みます。 第5項「パッチ・セットの準備、適用および削除」の手順に従ってリリース10.1.4パッチ・セット1（10.1.4.2.0）を適用します。

8.2 アイデンティティ・サーバーの既知の問題と回避方法

表3に、このパッチ・セット・リリースにおけるアイデンティティ・サーバーの既知の問題とその回避方法を示します。

表3 アイデンティティ・サーバーの既知の問題と回避方法

バグ	説明
6346413	このパッチ・リリースにより、すべてのWSDLファイルが更新されます。これらのファイルは、次のディレクトリにあるWebPassにバンドルされています。 WebPass_install_dir/identity/oblix/WebServices 次のファイルが更新されます。 WSDL/common_asynchResumeWorkflowProcess_interface.wsdl WSDL/om_workflowSelfRegistrationSave_interface.wsdl WSDL/om_delete_interface.wsdl WSDL/um_workflowSelfRegistrationSave_interface.wsdl XMLSchema/usc_workflowDeactivateUserSave.xsd XMLSchema/component_workflowTicket.xsd XMLSchema/gsc_view_members_with_searchbar.xsd XMLSchema/usc_workflowReactivateUserSave.xsd XMLSchema/gsc_profile.xsd samples/WSDL/java_axis/testwsdl_search_deactivated_users.java これらのファイルをカスタマイズしている場合、各ファイルはパッチの適用時に上書きされることに注意してください。カスタマイズは再度適用する必要があります。パッチ・ツールにより、元のファイルは次のディレクトリにバックアップされます。 WebPass_install_dir/identity/backup-Oracle-101401RC21-binary_parameter/oblix/WebService
6342010	カスタマイズされたXSLをSolarisに実装する場合、xsl:includeまたはxsl:import要素のhref属性にスラッシュ（/）ではなくバックスラッシュ（\）を使用すると、アイデンティティ・サーバーがクラッシュする可能性があります。WindowsおよびLinuxシステムでは、この問題によりエラー・ページが戻されます。 たとえば、カスタマイズされたXSLで次のコード例が使用されているとします。 <xsl:include href="..\..\shared\MyBasic.xsl"/> バックスラッシュが使用されていると、アイデンティティ・サーバーがクラッシュする可能性があります。次のようにバックスラッシュのかわりにスラッシュを使用すると、エラー・ページが表示され、サーバーのクラッシュは回避されます。 <xsl:include href="../../shared/MyBasic.xsl"/>
6168189	組織マネージャのタブ名が、ユーザーが選択したタブ名ではなく常に「タブの選択」になります。 この問題は、現在のリリースで修正されています。ただし、このパッチを適用すると、navbar.xslに追加されたカスタマイズはすべて上書きされます。このファイルをカスタマイズしている場合、変更を維持するためには追加の変更作業が必要です。詳細は、「アイデンティティ・サーバーのバグ修正の詳細」を参照してください。
6143913	IdentityXML関数のWSDLを構成する場合、setApplication関数が適切に動作しません。 これは、今回のリリースにおける既知の問題です。 WSDLを適切なアプリケーションに対して設定するには、アプリケーションのホストおよびポートを指定するWSDLファイルの行を変更する必要があります。次の例では、グループ・マネージャの関数を処理するためのURLを参照しています。 <soap:address location="http://130.35.50.153:8080/identity/oblix/apps/ groupservcenter/bin/groupservcenter.cgi"/>
6076283	アイデンティティ・システム・コンソールでは、アイデンティティ・サーバー・タイムアウトしきい値を設定できます。「アイデンティティ・サーバー・タイムアウトしきい値」フィールドでは、WebPassがレスポンスのないアイデンティティ・サーバーに対して接続を試みてから、その接続を到達不能であると判断して別のアイデンティティ・サーバーに接続を試みるまでの時間を秒単位で指定できます。 タイムアウトしきい値には、タイムアウトが存在しないことを示す-1を指定することをお薦めします。この値を低い数値に設定すると、アイデンティティ・サーバーからの応答を受信する前にソケット接続がクローズされる可能性があります。
6063327	Oracle Internet Directoryを使用する環境では、ロスト・パスワード管理ポリシーの名前に特殊文字を使用することはできません。この問題は、次の手順を実行する場合に適用されます。 アイデンティティ・システム・コンソールで、「システム構成」サブタブをクリックし、次に「ロスト・パスワード・ポリシー」をクリックします。 「ロスト・パスワード・ポリシー」ページで、「追加」をクリックします。 「ロスト・パスワード・ポリシー名」フィールドに名前を入力します。 Oracle Internet Directoryを使用する場合、この名前に特殊文字は使用しないでください。
6055167	アイデンティティ・サーバーで大量の処理が行われると、サーバーでメモリー・リークが発生する可能性があります。この問題の回避方法は、仮想メモリーが1GB程度になったときに、アイデンティティ・サーバーを再起動することです。
5901108、5524369	グループ・マネージャを使用して大規模な静的グループを管理する場合、多くの操作でレスポンス時間が非常に遅くなる可能性があります。たとえば、グループの検索に予想以上の時間がかかることがあります。 大規模なユーザーのセットを操作する場合、静的グループのかわりに動的グループを使用すると便利です。 また、このパッチ・リリースでは、グループ・メンバーの管理による検索操作において、非常に大規模な静的グループを操作する場合のパフォーマンスが改善されています。
5888497	クエリー・ビルダーまたはセレクタを使用して大規模グループを構成する場合、そのグループに2,500を超える静的メンバーが含まれ、グループ・パネルにグループ・メンバー属性が含まれる場合、エラーが発生する可能性があります。次に、このエラーの原因となる操作の例を示します。 マスター管理者としてログインします。 グループ・マネージャで、2,500を超える静的メンバーを含むグループを検索します。 「グループ・プロファイル」ページを表示します。 「変更」ボタンをクリックします。 「クエリー・ビルダー」をクリックし、グループの動的フィルタを変更します。 この問題には次の2つの回避方法があります。 グループに2,500を超える静的メンバーが含まれる場合、プロファイル・ページにグループ・メンバーを表示しないでください。 この回避方法を実行する場合、グループ・パネルにグループ・メンバー属性を追加しないでください。 グループ・メンバーを表示する必要がある場合、クエリー・ビルダーまたはセレクタを使用してグループを変更しないでください。 かわりに、WSDLリクエストを使用して、動的フィルタ、グループ・メンバー、グループ所有者などを変更します。
5569442	フォーム・ベースの認証スキームでパスワード変更後の自動ログインを実装する場合、次の例のようにパスワード変更用のリダイレクトURLにパラメータとしてSTLogin=%applySTLogin%を含むよう構成する必要があります。 http://machinename:portnumber/identity/oblix/apps/lost_ password_mgmt/bin/lost_password_mgmt.cgi?program= redirectforchangepwd&login=%login%%userid%&backURL=% HostTarget%%RESOURCE%&STLogin=%applySTLogin%&target=top これをフォーム・ベースの認証スキームに実装するには、1番目のトークンとしてユーザー名資格証明パラメータを、2番目のトークンとしてパスワード資格証明パラメータを、次にその他の資格証明パラメータを指定して、チャレンジ・パラメータのcredsを構成する必要があります。 詳細は、『Oracle Access Manager IDおよび共通管理ガイド』のパスワード変更用のリダイレクトURLに関する情報を参照してください。

8.3 WebPassの既知の問題と回避方法

表4に、このパッチ・セット・リリースにおけるWebPassの既知の問題を示します。

表4 WebPassの既知の問題と回避方法

バグ	説明
N/A	IIS 6.0 WebサーバーにWebPassをデプロイすると、Webサーバーでメモリー（仮想バイト）の使用が増大する可能性があります。 この問題が発生した場合、IISで複数のワーカー・プロセスを構成することをお薦めします。1000MBの仮想メモリーを使用した後は、ワーカー・プロセスのリサイクルを有効化する必要もあります。
6204811、6204769	Microsoft IIS 5 Webサーバーで稼働する任意のOracle Access Manager Webコンポーネント（WebPass、ポリシー・マネージャおよびWebGate）にこのパッチを適用する前に、そのコンポーネントと次のIIS 5サービスを停止する必要があります。 IIS 5 World Wide Web Publishing Service IIS Admin Service パッチの適用後に、コンポーネントとこれらのサービスを再起動します。

8.4 アクセス・サーバーの既知の問題と回避方法

表5に、このパッチ・セット・リリースにおけるポリシー・マネージャの既知の問題とその回避方法を示します。

表5 アクセス・サーバーの既知の問題と回避方法

バグ	説明
5880426	Oracle Access Manager 10.1.4.0.1では、「優先HTTPホスト」フィールドが必須になりました。これにより、仮想ホスティングをサポートする環境では問題が発生しました。 これらの問題を回避するには、「優先HTTPホスト」の設定とともに新しいパラメータを構成する必要があります。詳細は、「アクセス・システムの拡張」を参照してください。

8.5 ポリシー・マネージャの既知の問題と回避方法

表6に、このパッチ・セット・リリースにおけるポリシー・マネージャの既知の問題とその回避方法を示します。

表6 ポリシー・マネージャの既知の問題と回避方法

バグ	説明
5722931	英語以外のWindowsプラットフォームでは、IISポリシー・マネージャのインストールに失敗します。 このバグには、回避方法を使用する必要があります。詳細は、『Oracle Access Managerインストレーション・ガイド』のトラブルシューティングに関する章を参照してください。
6204811、6204769	Microsoft IIS 5 Webサーバーで稼働する任意のOracle Access Manager Webコンポーネント（WebPass、ポリシー・マネージャおよびWebGate）にパッチを適用する前に、そのコンポーネントと次のIIS 5サービスを停止する必要があります。 IIS 5 World Wide Web Publishing Service IIS Admin Service パッチの適用後に、コンポーネントとこれらのサービスを再起動します。

8.6 WebGateの既知の問題と回避方法

表7に、このパッチ・セット・リリースにおけるWebGateの既知の問題とその回避方法を示します。

表7 WebGateの既知の問題と回避方法

バグ	説明
N/A	IIS 6.0 WebサーバーにWebGateをデプロイすると、Webサーバーでメモリー（仮想バイト）の使用が増大する可能性があります。 この問題が発生した場合、IISで複数のワーカー・プロセスを構成することをお薦めします。1000MBの仮想メモリーを使用した後は、ワーカー・プロセスのリサイクルを有効化する必要もあります。
6629755	このパッチをWindows Apache 1 Webサーバーで実行されているWebGateに適用してサーバーを再起動すると、このWebサーバーに最初のリクエストを送信したときに、メモリー参照エラーに関するポップアップ・メッセージが表示される可能性があります。 この場合、「OK」をクリックしてこのエラー・メッセージを無視しても問題ありません。
6524438	ユーザーがベース認証を使用して保護されたリソースにアクセスしようとすると、Webサーバーにより302レスポンスが発行されます。この問題は、チャレンジ・リダイレクトを使用している場合、またはWebGateホストを隠蔽するためにリバース・プロキシ・サーバーを使用している場合に発生します。 この問題を回避するには、ApacheまたはOracle HTTP Serverをリリース1.3.xより上位のリリース（2.x.xなど）にアップグレードします。 別の方法として、HTTP 1.0プロトコルを使用するようにブラウザを構成できます。この解決方法では、HTTPサーバーをフォワード・プロキシとしてOracle Identity Federation WebGateの前面に配置する必要があります。ただし、この解決方法では、コンテンツがブラウザへの送信時に削除されることがあるため、Firefoxなどの一部のブラウザでは問題が発生する可能性があります。
6360356	スタンドアロンWebサーバーでのBasic認証、フォーム・ベース認証またはチャレンジ・リダイレクトの後に、パスワードのリセットで問題が発生する可能性があります。ユーザーのチャレンジとレスポンスがまだ構成されていない状態で、ユーザーのパスワードがリセットされると、そのユーザーは資格証明の提出のために2回チャレンジを受ける可能性があります。たとえば、次の一般的な手順のかわりに、ユーザーは手順5の後に2回目の認証を要求されます。 ユーザーが保護されたリソースにアクセスを試みます。 認証WebGateによりログイン・フォームが表示されます。 ユーザーは、「パスワードの変更」ページにリダイレクトされ、資格証明を入力し、「保存」をクリックします。 ユーザーは、プロンプトに従って「戻る」をクリックします。 ユーザーは、新規の認証用資格証明を入力します。 ユーザーは、チャレンジとレスポンスの構成ページにリダイレクトされ、入力を行い、「保存」をクリックします。 リクエストされたリソースがユーザーに提供されます。 手順5から手順6に移行せずに、2回目のWebGate認証ダイアログが表示されます。 この問題を回避するには、認証スキームのObWebPassPrefixURLのホスト名バリエーションと構成済の優先HTTPホストが同じであることを確認します。たとえば、優先HTTPホストにhost:portと入力し、ObWebPassPrefixURLにhost:domain:portと入力することは避けてください（これにより、重複認証が発生するためです）。 マルチ・ドメイン環境では、常に完全修飾ドメイン名を使用する必要があります。
6359813	『Oracle Access Managerアクセス管理ガイド』の認証に関する章に記載されているとおり、認証スキームにチャレンジ・パラメータのssoCookie:max-ageを追加することで、ユーザーが1回のセッション単位ではなく一定の時間単位でログインできるような認証スキームを構成できます。このドキュメントのリリース・バージョンでは、この機能はMozillaでのみ有効であると記載されています。 しかし、この機能は、Mozillaベースのブラウザと同様にInternet Explorerでも有効です。
6316619	ユーザーによるパスワードのリセット後、新規パスワードが旧パスワードと同じであると、パスワード・ポリシー定義のオプションの「パスワード履歴」フィールドに値が指定されていない場合、WebGateではBasic Over LDAP認証スキームの使用時にユーザーに対して新規資格証明が要求されません。 ユーザーが新規パスワードの値として旧パスワードを指定すると、次の手順5は省略され、ユーザーは再認証なしでリクエストしたリソースにアクセスできます。 ユーザーが保護されたリソースにアクセスします。 ユーザーのパスワードの有効期限は切れており、そのユーザーのチャレンジとレスポンスは構成済です。認証WebGateによりログイン・ダイアログが表示されます。 ユーザーは、ログインして「OK」をクリックします。 ユーザーは、「パスワードの変更」ページにリダイレクトされます。 ユーザーは、パスワードのリセット情報を入力します。 パスワードのリセット確認が表示されます。 ユーザーは、「戻る」をクリックしてリクエストしたリソースに戻ります。 ユーザーは、WebGateのログイン・ダイアログ・ボックスで再認証を行います。 ユーザーは、リクエストしたリソースにアクセスします。
6204811、6204769	Microsoft IIS 5 Webサーバーで稼働する任意のOracle Access Manager Webコンポーネント（WebPass、ポリシー・マネージャおよびWebGate）にこのパッチを適用する前に、次のIIS 5サービスを停止する必要があります。 IIS 5 World Wide Web Publishing Service IIS Admin Service パッチの適用後に、これらのサービスを再起動します。
6195755	WebGateを移行した後、oblog.logファイルに次のようなエラーが出力される可能性があります。 2007/07/05@21:06:55.971096 14453 16384 INIT ERROR 0x000003B6 ../oblistrwutil.cpp:180 "Could not read file" filename^/export/home/zdtm_704/wg_ap2_6767/access/oblix/apps/common/bin/globalparams.xml 2007/07/05@21:06:55.981324 14453 16384 INIT ERROR 0x000003B6 ../oblistrwutil.cpp:180 "Could not read file" filename^/export/home/zdtm_704/wg_ap2_6767/access/oblix/config/oblog_config.xml 2007/07/05@21:06:56.013475 14453 16384 INIT ERROR 0x000003B6 ../oblistrwutil.cpp:180 "Could not read file" filename^/export/home/zdtm_704/wg_ap2_6767/access/oblix/lang/en-us/netlibmsg.xml これらのエラーは、xmlファイルが指定された場所に存在しないために生成されます。ただし、WebGateではこれらのファイルを使用しないため、前述のメッセージは無視できます。
6124736	デフォルトのTCP/IPタイムアウトを使用するかわりに、「アクセス・システム・コンソール」→「アクセス・システム構成」→「アクセス・ゲート構成」で「アクセス・サーバー・タイムアウトしきい値」を指定できます。デフォルト値の-1では、デフォルトのネットワークTCP/IPタイムアウトが使用されます。このパラメータの標準的な値は、30〜60秒です。 ただし、このパラメータを非常に低い値に設定すると、アクセス・サーバーからの応答を受信する前にソケット接続がクローズされ、エラーとなる可能性があります。 これは、構成における既知の問題です。ただし、このパッチ・リリースでは、WebGateはクラッシュしません。
5463350	リリース7.0.4.3以上へのアップグレード後、X.509証明書認証によるチャレンジ・メソッドで構成されたアクセス・クライアントは、認証に失敗する可能性があります。新規リリースでは、証明書の構成方法に対してより厳密な基準が適用されます。このチャレンジ・メソッドでは、識別名、CN、シリアル番号などのすべての証明書属性を、資格証明マッピング用の後続のプラグインで使用できるようにする必要があります。

8.7 パフォーマンスの問題と回避方法

『Oracle Access Managerデプロイメント・ガイド』のキャッシングに関する章に記載されているとおり、アクセス・サーバーにアイデンティティ・システムの変更を自動的に通知するよう設定できます。これを行うには、ユーザーおよびグループ情報の各変更をアクセス・サーバーに通知するようアイデンティティ・サーバーを構成します。これにより、アクセス・サーバーのキャッシュは、自動的にフラッシュされ、最新の情報で置き換えられます。この方法は、すべてのコンポーネントで最新の情報を保持するためのベスト・プラクティスです。

ただし、自動キャッシュ・フラッシュがベスト・プラクティスであっても、セキュアな通信モードを使用するアクセス・サーバーが複数存在する場合、パフォーマンスの問題が発生する可能性があります。パフォーマンスの問題は、次の場合に発生します。

• アイデンティティ・システムがIdentityXML操作を実行してプロファイルを変更する結果として、キャッシュ・フラッシュ・リクエストが頻繁に発生する場合

• 簡易または証明書トランスポート・セキュリティ・モードで構成された各アクセス・サーバーに対するリクエストごとにSSLハンドシェイクが行われる場合

  セキュアなマルチ・サーバー環境で必要とされるSSLハンドシェイクにより、パフォーマンスが低下する可能性があります。

この項の残りの部分では、自動キャッシュ・フラッシュとセキュアな通信を有効化しながら、システム・パフォーマンスを維持する方法について説明します。

この項の残りの部分では、次の内容について説明します。

• キャッシュ・フラッシュ・リクエストによるボトルネックの抑止について

• 混在セキュリティ・モード使用時の注意事項

• 混在トランスポート・セキュリティ・モードの構成

8.7.1 キャッシュ・フラッシュ・リクエストによるボトルネックの抑止について

アイデンティティ・サーバーをインストールして構成すると、Access Manager SDKも自動的にデプロイされます。このSDKの機能により、IdentityXMLによるプロファイルの変更後に、アクセス・サーバーにキャッシュ・フラッシュ・リクエストが送信されます。

パフォーマンスを向上するため、単一のアクセス・サーバーを指定してすべてのキャッシュ・フラッシュ・リクエストを処理し、それらのリクエストを環境内の他のすべてのアクセス・サーバーに伝播できます。これにより、コンポーネント間のリクエストのルーティングが簡略化されます。

また、専用アクセス・サーバーがキャッシュ・フラッシュ・リクエストを送信する場合、オープン・モード通信を使用するよう設定できます。キャッシュ・フラッシュ・リクエストには、機密データは含まれません。キャッシュ・フラッシュの操作中は、LDAP構成のみが読み取られます。このため、オープン・モードは、これらのタイプのリクエストに対して適切なモードです。

さらに、キャッシュ・フラッシュ・リクエスト以外のリクエストに対しては、簡易モードまたは証明書モードを維持できます。キャッシュ・フラッシュ・リクエストのセキュリティ・モードをオープンに変更しても、アクセス・サーバーが最初に簡易モードまたは証明書モードで構成されているかぎり、Access Manager SDKまたはWebGateは、アクセス・サーバーと簡易モードまたは証明書モードで通信を続けます。これにより、ほとんどの操作でセキュリティを維持できます。

一部の操作に対してオープン・モードを使用し、その他の操作に対してセキュア・モードを使用するようアクセス・サーバーを構成する機能は、混在セキュリティ・モードと呼ばれます。

次のタスクの概要では、オープン・モードを使用してキャッシュ・フラッシュ・リクエストを処理しながら、他のタイプのリクエストにはセキュアな通信を維持するよう環境を構成する方法について説明します。

タスクの概要: セキュリティを維持しながらキャッシュ・フラッシュ・リクエストのパフォーマンスを最大化する手順

1. 新規アクセス・サーバーをすべてインストールし、存在するすべてのアクセス・サーバーで簡易モードまたは証明書モードを使用するよう構成します。

2. すべてのキャッシュ・フラッシュ・リクエストを処理するアクセス・サーバーまたはアクセス・サーバーのクラスタを1つ指定します。

3. 簡易モードまたは証明書モードを使用して各アクセス・サーバーと通信するようWebGateおよびアクセス・ゲートを構成します。

4. すべてのアクセス・サーバーを混在トランスポート・セキュリティ・モードに変換します。

   詳細は、「混在セキュリティ・モードを使用するようアクセス・サーバーを構成する手順」を参照してください。

8.7.2 混在セキュリティ・モード使用時の注意事項

混在セキュリティ・モードを構成する場合、特定のWebGateに関連付けられたアクセス・サーバーのリストを参照すると、次のメッセージが表示されることがあります。

応答なし。トランスポート・セキュリティの不一致。

この場合、このメッセージは無視しても問題ありません。

混在セキュリティ・モードを構成したら、将来構成を変更する際には特定のプロセスに従う必要があります。詳細は、「混在トランスポート・セキュリティ・モードの使用時にアクセス・ゲートまたはWebGateを変更する手順」を参照してください。

警告: 混在セキュリティ・モードの構成後、アクセス・ゲートまたはWebGateを変更するとバグが発生する可能性があります。具体的には、これらのコンポーネントの1つを変更すると、以前のすべての「優先HTTPホスト」設定が削除されます。 このバグには、回避方法があります。詳細は、「混在トランスポート・セキュリティ・モードの使用時にアクセス・ゲートまたはWebGateを変更する手順」を参照してください。

8.7.3 混在トランスポート・セキュリティ・モードの構成

次の手順では、キャッシュ・フラッシュ・リクエストにオープン・トランスポート・セキュリティを使用し、他のすべてのリクエストにSSLまたは証明書トランスポート・セキュリティを使用するようアクセス・サーバーを構成する方法について説明します。この構成は、主にセキュアな通信を使用する環境で自動キャッシュ・フラッシュをすでに実装している場合に便利です。詳細は、『Oracle Access Managerデプロイメント・ガイド』のキャッシングに関する章を参照してください。

混在セキュリティ・モードを使用するようアクセス・サーバーを構成する手順

1. 簡易モードまたは証明書モードで通信するよう各アクセス・サーバーをインストールまたは構成します。

   これらすべてのサーバーでセキュア・モードが使用されることを確認します。

2. configurewebgateまたはconfigureaccessgateツールを実行して、簡易モードまたは証明書モードでアクセス・サーバーと通信するようにすべてのWebGateまたはアクセス・ゲートを構成します。

   すべてのWebGateおよびアクセス・ゲートがセキュア・モードを使用するよう構成されていることを確認します。

3. アクセス・システム・コンソールで、すべてのアクセス・サーバーのモードを簡易モードまたは証明書モードからオープン・モードに変更します。

4. アクセス・サーバーを再起動します。

   再起動後、アクセス・サーバーでは、セキュアな通信に必要とされる証明書が維持されており、ほとんどの情報は引き続きSSLまたは証明書モードを使用して送受信されます。ただし、キャッシュ・フラッシュ・リクエストに対しては、オープン・モードが使用されます。

混在トランスポート・セキュリティ・モードの使用時にアクセス・ゲートまたはWebGateを変更する手順

1. アクセス・ゲートまたはWebGateを変更する前に、アクセス・システム・コンソールで、すべてのアクセス・サーバーのモードを簡易モードまたは証明書モードに戻します。

2. アクセス・ゲートまたはWebGateを変更します。

3. アクセス・システム・コンソールで、アクセス・サーバーをオープン・モード通信に戻します。

4. アクセス・サーバーを再起動します。

8.8 Software Developer Kit（SDK）、APIおよびサード・パーティの既知の問題と回避方法

表8に、このパッチ・セット・リリースにおけるSDKおよびサード・パーティ統合の既知の問題とその回避方法を示します。

表8 SDKおよびサード・パーティ統合の既知の問題と回避方法

バグ	説明
N/A	『Oracle Access Manager統合ガイド』には、Windows 2000用のActivCard Cryptographic Service Provider（CSP）を使用したActive DirectoryおよびIIS Webサーバーと組み合せたスマートカード認証のOracle Access Managerによるサポートが示されています。 ただし、Oracle Access Managerとスマートカードを統合するプロセスは、サポートされるすべてのタイプのスマートカード、ディレクトリ・サーバーおよびオペレーティング・システムで同じです。
6340556	authn_api.hヘッダーは、次のようにSetActionFn()関数の第1パラメータとして資格証明を使用する必要があることを示しています。 ObAnASStatus_t SetActionFn( ObAnPluginSVData_t Creds, const char* pName, const char* pValue ObAnActionType pActionType); ただし、この仕様に従うと、アクセス・サーバーがクラッシュする可能性があります。正しい第1パラメータは、次のGetActionFn()関数で正しく示されているとおり、ActionInfoです。 const char *AnGetAction( ObAnPluginSVData_t pActionInfo, const char* pName, ObAnActionType_t pActionType);
6053497	Oracle Access ManagerとRSA SecurIdを統合する際に、ログイン属性値にアットマーク（@）を指定する場合、securid.plスクリプトの最初の行から-wスイッチを削除する必要があります。 これは、SecurIDの既知の問題です。
5984895	Weblogic Application Serverバージョン9.2とOracle Access Manager 10.1.4のSSPIコネクタを組み合せて使用すると、エラーが発生する可能性があります。 具体的には、Oracle Access Managerで構成されたポリシーに従えばアクセス可能であるはずのページにユーザーがアクセスすると、未認可エラーが発生する可能性があります。 Weblogic 9.2にアプリケーションをデプロイする場合、Webアプリケーションの適切なデプロイメント・ディスクリプタとともにデプロイする必要があります。Webアプリケーションのデプロイメント・ディスクリプタは、web.xmlとweblogic.xmlです。また、EJBアプリケーションのデプロイメント・ディスクリプタとともにアプリケーションをデプロイする必要もあります。ファイルejb-jar.xmlおよびweblogic-ejb-jar.xmlは、EJBアプリケーションのデプロイメント・ディスクリプタです。
5956583	簡易モードで実行されているWeblogicおよびWebSphereのコネクタでは、リリース7.0.4から10.1.4.xに移行しても、password.xmlファイルが移行されません。たとえば、次の手順を実行すると、Weblogicサーバーの起動時に、ユーザー名とパスワードに加えてNetPointトランスポート・パスワードを要求されます。 7.0.4 Weblogic SSPIコネクタを簡易モードでインストールします。 7.0.4から10.1.4.0.1への移行を開始し、Access Server SDKも移行します。 移行が正常に完了したというメッセージが表示されたら、移行した10.1.4領域からWeblogicポータル・ドメインにファイルNetPointProvidersConfig.propertiesおよびmbean jarをコピーします。 WebLogicを再起動します。 回避方法は、移行ツールを実行する前に、宛先インストール領域（10.1.4.0.1）のasdk_base_files.lstファイルに次の行を追加することです。 file:/oblix/config/password.lst
5716192	WebLogic 9.2との統合を構成した後に、Oracle Access Managerのアイデンティティ・システムにすでに存在するグループをWebLogicに追加しようとしても、WebLogicではエラーが表示されません。 これは、BEA社により対応される必要のある既知の問題です。詳細は、BEA社のサポートに連絡し、ケース#693143を参照してください。
N/A	BEA Weblogic SSPIを使用しており、BEAレルムの機能を使用する予定の場合、BEA Weblogic SSPIパッケージをリリース10.1.4.1から10.1.4.2.0に更新する前に、次の手順を実行してください。 次の場所で新規デフォルト認可プロバイダを構成します。 「NetPointRealm」→「Providers」→「Authorization」の順に移動します。 次の場所で新規デフォルト裁決プロバイダを構成します。 「NetPointRealm」→「Providers」→「Adjudication」の順に移動します。 Weblogicサーバーを再起動します。

8.9 ドキュメントの既知の問題

表9に、このパッチ・セット・リリースにおけるドキュメントの既知の問題を示します。

表9 ドキュメントの既知の問題と回避方法

バグ	説明
N/A	『Oracle Access Managerデプロイメント・ガイド』のパフォーマンスに関する章に誤植があります。「構成済接続プール・サイズと実際のプール・サイズとの違い」には、次の文が記載されています。 「このシナリオでは、接続の最大数を27に設定すると、ディレクトリに対する接続数の範囲は19〜27になります。」 接続の最大数が間違って記述されており、この項の明瞭さに問題が生じています。正しい文は次のとおりです。 「このシナリオでは、接続の最大数を2に設定すると、ディレクトリに対する接続数の範囲は19〜27になります。」
N/A	『Oracle Access Manager開発者ガイド』の認可プラグインAPIに関する章では、多くのコード・リストにPluginのかわりに間違ってplug-inが含まれます。一部の例は次のとおりです。 ObAzplug-insetData_tは正しくはObAzPluginSetData_tです。 ObAzplug-instatus_tは正しくはObAzPluginStatus_tです。 ObAzplug-instatusContinueは正しくはObAzPluginStatusContinueです。 これは、既知の問題であり、ドキュメントの次回のリリースで修正される予定です。
N/A	『Oracle Access Manager統合ガイド』のHTMLバージョンを表示すると、Peoplesoftとの統合に関する章で、サンプル・コードにいくつかの文字化けが発生しています。 この問題は、ドキュメントの次回のリリースで修正される予定です。一方、このドキュメントのPDFバージョンには、サンプル・コードが正しく表示されています。
N/A	『Oracle Access Manager統合ガイド』のSAPとの統合に関する章で、「SAPとの統合用のOracle Access Managerの設定」の手順3に次の情報が含まれます。 次の例では、SAPUIDにuidをマップしています。 HeaderVar HTTP_SAPUIDuid SAPUIDとuidの間には、空白を1つ入れる必要があります。この問題は、ドキュメントの次回のリリースで修正される予定です。
N/A	『Oracle Access Manager統合ガイド』のPeopleSoftとの統合に関する章で、「PeopleSoftとの統合用にOracle Access Managerを設定する手順」という手順の手順7のスクリーン・ショットに、戻り値がuidであるPS_SSO_UIDが示されています。しかし、uidは属性です。このスクリーン・ショットには、「戻り値」ではなく「戻り属性」というラベルが表示される必要があります。
N/A	Oracle COREid 7.0.4.2では新しい機能が導入されましたが、最新のマニュアルには記載されていません。 Basic Over LDAP認証を使用する場合、タイムアウト後にブラウザからキャッシュされた資格証明が戻されます。この問題は、新規チャレンジ・パラメータのrealmunique:yesにより訂正されています。 関連項目: Oracle Metalink Note: 443493.1
N/A	『Oracle Access Manager Configuration Managerインストレーションおよび管理ガイド』の構成データ変更の移行に関する章にある環境URLの説明は、間違っています。このマニュアルでは、環境の追加ページと環境の表示ページの環境URLフィールドでLDAPディレクトリのURLを入力できると説明されています。しかし、環境の追加ページと環境の表示ページの環境URLフィールドは、この環境の関連するOracle Access Managerデプロイのオプション・フィールドです。 将来リリースされる『Oracle Access Manager Configuration Managerインストレーションおよび管理ガイド』では、テキストおよび手順の変更が記載される予定です。たとえば、次のようになります。 環境URL: この環境の関連するOracle Access Managerデプロイに対するURL。たとえば、次のようになります。 http://141.144.74.35:3333/access/oblix/
6660499	『Oracle Access Managerインストレーション・ガイド』には、Oracle Access Managerのコマンドライン・ツールをLinuxプラットフォームで実行する前に、LD_ASSUME_KERNEL環境変数の値を2.4.19に設定する必要があることについて記載されていません。 将来リリースされる『Oracle Access Managerインストレーション・ガイド』のトラブルシューティングに関する章では、「アイデンティティ・システムのコンポーネントでの障害発生」の名称が変更され、拡張されて次の追加情報が含まれる予定です。 Oracle Access Managerコンポーネントおよびツールがクラッシュする可能性 状況: LinuxプラットフォームでOracle Access Managerのコマンドライン・ツールがクラッシュします。 解決策: Oracle Access Managerのコマンドライン・ツールをLinuxプラットフォームで実行するには、実行時にLD_ASSUME_KERNEL環境変数の値を2.4.19に設定する必要があります。この理由は、ネイティブのPOSIXスレッド・ライブラリ（NPTL）ではなく、以前のLinuxスレッド・モデルがサポートされるためです。bashシェルを実行している場合の正確な指定は、次のとおりです。 # export LD_ASSUME_KERNEL=2.4.19 異なるシェルを使用している場合、正確なコマンドは異なる可能性があります。
6596842	以前のリリースでは、ポリシー・マネージャの開始ページが「ポリシー・ドメイン」ページでした。このページに多くのポリシーが含まれる場合、表示に長い時間がかかりました。今回のリリースでは、ポリシー・マネージャの開始ページが「ポリシー・ドメイン」ページのかわりに検索ページになりました。 この変更の詳細は、将来リリースされる『Oracle Access Managerアクセス管理ガイド』に記載される予定です。
6454109	『Oracle Access Managerカスタマイズ・ガイド』および『Oracle Access Manager開発者ガイド』には、XMLのバックグラウンドを説明した付録が含まれます。どちらの付録でも、XMLスタイルシートのクライアント側の変換に関する情報を扱っています。 これらの項に含まれるMSXMLの登録ツールのURLは変更されています。 このツールは、Microsoft社の次のURLから入手できます。 http://www.microsoft.com/downloads/details.aspx?familyid=1e6185d7-e4e4-43b1-8056-0e5ecd15a88a&displaylang=en
6443025	リリース10.1.4.2の『Oracle Access Managerアクセス管理ガイド』には、次の情報が含まれていません。この情報は、次回のリリースで追加される予定です。 フォーム・ベースの認証スキームでは、maxpostdatabytesチャレンジ・パラメータを指定できます。このオプション・パラメータの値は、WebGateを使用するWebサーバーに対してエンド・ユーザーが認証用にポストできるデータ・バイトの最大数です。POSTデータがフォーム・ベースの認証スキームのmaxpostdatabytesで設定されたしきい値を超えると、ユーザーはエラーを受信し、DEBUG3ログ・レベルでoblog.logファイルにログ・エントリが追加されます。 例: maxpostdatabytes:100 このパラメータを省略した場合、エンド・ユーザーは、WebGateで保護されたWebサーバーに対して無制限の長さの文字列を認証用にポストできます。WebGateはWebサーバーのプロセスのコンテキストで実行されるため、文字列が長すぎると、WebGateまたはWebサーバーのクラッシュ、サービス拒否、または他の致命的エラーが発生する可能性があります。
6438480	『Oracle Access Managerアクセス管理ガイド』の第3章「WebGateおよびアクセス・サーバーの構成」では、ユーザー定義のパラメータ名に誤植があります。InactiveReconfigPeriodsという名前は、正しくはInactiveReconfigPeriodです。 この問題は、ドキュメントの次回のリリースで修正される予定です。
6330281	『Oracle Access Manager IDおよび共通管理ガイド』の付録B「ADSIに対する構成」には、Active DirectoryフォレストおよびActive Directory Services Interface（ADSI）と組み合せてOracle Access Managerを実行する際の要件と手順が記載されています。 ただし、ADSIを構成する場合、IISについては特別な配慮が必要です。この表のすぐ下にある「IISでのADSIと組み合せたOracle Access Managerの構成」を参照してください。 この情報は、ドキュメントの将来のリリースに追加される予定です。
6359813	『Oracle Access Managerアクセス管理ガイド』の認証に関する章に記載されているとおり、認証スキームにチャレンジ・パラメータのssoCookie:max-ageを追加することで、ユーザーが1回のセッション単位ではなく一定の時間単位でログインできるような認証スキームを構成できます。このドキュメントのリリース・バージョンでは、この機能はMozillaでのみ有効であると記載されています。 しかし、この機能は、Mozillaベースのブラウザと同様にInternet Explorerでも有効です。
6165044	『Oracle Access Managerアップグレード・ガイド』のスキーマ、データおよびクローン・システムのアップグレードに関する章に含まれる停止時間なしのアップグレードに関する項では、分割されたディレクトリ構成の追加ディレクトリ・プロファイルが説明されています。この場合、ディレクトリの新規ブランチを使用するようCOREidサーバーを再構成すると、古い構成DNを含む追加プロファイルが作成されることがあります。 新規ブランチを使用してクローン済のCOREidシステムを設定する手順の手順8には、追加ディレクトリ・プロファイルを削除するためのサブ手順が記載されています。ただし、サブ手順cには、間違った文が含まれます。 間違った文: 8. 分割されたディレクトリ・サーバー構成の追加ディレクトリ・プロファイル: ... c. 「ディレクトリ・サーバーの構成」プロファイル・ページで、この再構成中に作成された新規ディレクトリ・プロファイルの名前の横にあるボックスを選択します。 正しい文: サブ手順cは訂正されました。将来リリースされる『Oracle Access Managerアップグレード・ガイド』には、次の訂正が含まれます。 8. 分割されたディレクトリ・サーバー構成の追加ディレクトリ・プロファイル: ... c. 「ディレクトリ・サーバーの構成」プロファイル・ページで、古い構成DNとともに表示されている以前のディレクトリ・プロファイルの名前の横にあるボックスを選択します。
6160534	組織ワークフローの定義に関するヘルプ・トピックで、『COREid Access and Identity Administration Guide』が参照されています。正しいドキュメント名は、『Oracle Access Manager IDおよび共通管理ガイド』です。

8.9.1 IISでのADSIと組み合せたOracle Access Managerの構成

IIS 5.0 Webサーバーを使用する環境で、ADSIと組み合せてOracle Access Managerを構成している場合、次の設定が必要です。

Oracle Access ManagerとADSIを組み合せて使用するためにIIS 5.0を構成する手順

1. Webサーバーによる匿名アクセスで使用するアカウントを次のように変更します。

   1. IISコンソールで、構成するコンピュータのノードを右クリックし、「Properties」→「Edit WWW Service Master Properties」をクリックします。

   2. 「Directory Security」タブをクリックし、「Anonymous Access」→「Authentication Control」→「Edit」をクリックします。

   3. ドメイン管理者アカウントのユーザー名とパスワードを入力します。

      これは、Active Directoryのインストール時に作成されたドメインの管理者です。Oracle Access Managerをインストールする場合、管理ユーザーとしてこのコンピュータにログインする必要があります。たとえば、AccessManager\Administratorとしてログインします（AccessManagerは新規ドメインです）。

2. 同じウィンドウで、リストされたすべての認証済のアクセス方法を選択解除します。

   デフォルトで、Windows統合認証が選択されています。この場合、統合認証をコールして保護されたリソースにアクセスするときに問題が発生します。

3. IISコンソールで、構成中のコンピュータのノードを右クリックし、「Properties」→「Edit WWW Service Master Properties」をクリックします。

4. 「Home Directory」タブを選択し、「Execute」権限のドロップダウン・リストで「Scripts and Executables」を選択します。

5. 「Home Directory」タブで、「Read」チェック・ボックスを選択してスクリプトに対する読取りアクセス権も提供します。

9 今回のリリースで修正されたバグ

次の項では、今回のリリースで修正されたバグについて説明します。

• 一般的な解決済の問題

• アイデンティティ・サーバーの解決済の問題

• WebPassの解決済の問題

• アクセス・サーバーの解決済の問題

• ポリシー・マネージャの解決済の問題

• WebGateの解決済の問題

• Software Developer Kit（SDK）、APIおよび統合の解決済の問題

• パフォーマンスの解決済の問題

• ドキュメントの解決済の問題

9.1 一般的な解決済の問題

表10に、今回のリリースで修正されたすべてのコンポーネントに共通のバグを示します。

表10 一般的な解決済の問題

バグ	説明
6320295	アクセス・サーバー、アイデンティティ・サーバー、WebPass、WebGate、Access Manager、ASDKの.logおよび.lckファイルの権限が、常に-rw-rw-rwに設定されます。 この問題は、現在のリリースで修正されています。これらのファイルの権限は、変更できます。

9.2 アイデンティティ・サーバーの解決済の問題

表11に、今回のリリースで修正されたアイデンティティ・サーバーのバグを示します。

表11 アイデンティティ・サーバーの解決済の問題

バグ	説明
6523234	マスター・アイデンティティ管理者は、表示する権限を持っているページおよびコンテンツをすべて表示できないことがあります。この問題は、ローカル・アイデンティティ・サーバーのポリシー・キャッシュのフラッシュが原因で発生する可能性があります。 この問題は、現在のリリースで修正されています。現在、ローカル・キャッシュのフラッシュは、リモート・キャッシュのフラッシュと同じように処理されます。
6508852	ホット・フィックスの適用後、委任管理者は新規に追加されたユーザーを検索できません。 この問題は、現在のリリースで修正されています。
6486834	いずれかのアイデンティティ・サーバーのCPU負荷が高くなると、サーバーが応答しなくなる可能性があります。再検出情報: OISサーバーは、一定の管理操作の実行中に応答しなくなります。 この問題は、現在のリリースで修正されています。
6312487	アイデンティティ・サーバーとアイデンティティ・サーバー間の非同期キャッシュ・フラッシュにより、いずれかのサーバーが応答しなくなる可能性があります。 この問題は、現在のリリースで修正されています。アイデンティティ・サーバーとアイデンティティ・サーバー間の非同期キャッシュ・フラッシュは、正しく動作します。
6245556	一部のユーザーが、アップグレード後にログインできません。 この問題は、ロスト・パスワード管理が有効化されており、従業員タブにリストされた最初のオブジェクト・クラスがそのタブの構造化オブジェクト・クラスではない場合に発生します。ユーザー・エントリにオブジェクト・クラスが含まれない場合、認証に失敗する可能性があります。 この問題は、今回のリリースで修正されています。ユーザーは、そのエントリに従業員タブ（または同等のタブ）で構成された補助オブジェクト・クラスがすべて含まれていない場合でも、認証可能です。
6220734	IdentityXMLおよびWSDLを使用して非同期ワークフローを作成する場合、ADD操作がREPLACE_ALL操作として評価されます。 この問題は、現在のリリースで修正されています。非同期ワークフロー・リクエストでは、ADD操作によりデータが追加されますが、既存のデータは上書きされません。
6168189	組織マネージャのタブ名が、ユーザーが選択したタブ名ではなく常に「タブの選択」になります。 この問題は、現在のリリースで修正されています。ただし、このパッチを適用すると、navbar.xslに追加されたカスタマイズはすべて上書きされます。このファイルをカスタマイズしている場合、カスタマイズを維持するためには追加の変更作業が必要です。詳細は、「アイデンティティ・サーバーのバグ修正の詳細」を参照してください。
6138106	管理者が、ディレクトリの共有シークレット・エントリが変更されたためにアクセス・システムにログインできません。ユーザーは、連続してログイン・フォームにリダイレクトされます。 回避方法として、ディレクトリ・サーバーのバックアップから共有シークレット値をリストアできます。ただし、この問題は、今回のリリースのコードで解決されています。また、今回のリリースには、アイデンティティ・サーバーの共有シークレットの処理に関するインスツルメンテーションも含まれます。共有シークレット値の読取りと書込みを行うための包括的なロギング機能が、SHARED_SECRETという新規ログ・モジュールに追加されました。詳細は、「このパッチ・セットでの機能拡張」のモジュールごとのロギングに関する情報を参照してください。
6132814	複数のターゲット・ドメインを使用してグループの作成またはユーザーの作成ワークフローを構成する場合、次のようないくつかの問題が発生する可能性があります。 複数のターゲット・ドメインを含むワークフローの開始ステップでセレクタを指定した場合、ユーザーがセレクタを起動すると、ターゲット・ドメインがデフォルト・ドメインにリセットされます。 デフォルト・ドメインは、最初のターゲット・ドメインです。開始ステップでセレクタが指定されている場合、ユーザーが選択できるのはデフォルト・ドメインのみです。 開始ステップでセレクタを使用する複数のワークフローを定義した場合、ユーザーがデフォルト・ワークフロー以外のワークフローでセレクタを起動すると、ワークフローのタイプはデフォルト・ワークフローにリセットされます。 複数のターゲット・ドメインを含むワークフローを使用する場合、ユーザーがターゲット・ドメインを切り替えると、以前に入力した値が失われます。 複数のターゲット・ドメインを選択する場合の問題は、現在のリリースで修正されています。リリース10.1.4.0.1では、複数のチャレンジおよびレスポンス・フレーズの導入により、これらの問題に部分的に対応していました。
6129796	アイデンティティ・サーバーでファイルの監査と一部のイベントの監査を有効化した後に、ファイルの監査フラグを「オフ」に設定しても、監査イベントの生成が続きます。 ファイルの監査は、次のように有効化または無効化します。 アイデンティティ・システム・コンソールで、「システム構成」をクリックし、次に「アイデンティティ・サーバー」を選択します。 「アイデンティティ・サーバー」リンクを選択します。 ファイルの監査フラグ設定を変更します。 この問題は、現在のリリースで修正されています。ファイルの監査をオフにするには、ファイルの監査フラグの値を「オン」から「オフ」に変更し、アイデンティティ・サーバーを再起動します。
6067984	アイデンティティ・システムのグループに対する操作を最適化するには、ユーザーのディレクトリ・サーバー・インスタンスにおけるユーザー・エントリの合計数の約2倍に対応できるようにglobalparams.xmlのUidInfoCacheパラメータの値を構成する必要があります。このパラメータのデフォルト値は、50（KB）です。 このトピックに関する情報が、『Oracle Access Managerデプロイメント・ガイド』のパフォーマンス・チューニングに関する章と、『Oracle Access Managerカスタマイズ・ガイド』のパラメータ・ファイルに関する付録に追加されました。
6066000	属性ベースの制約（"Full Name" "=" "user123"など）を使用してグループ・メンバーを検索すると、エントリのすべての属性がディレクトリ・サーバーから戻されます。 この問題は、現在のリリースで修正されています。グループ・メンバーの検索では、問合せに指定した属性のみが戻されます。たとえば、cnをリクエストする問合せでは、cnのみがディレクトリ・サーバーから戻されます。
6063350	Oracle Internet Directoryが停止すると、アクセス・サーバーがクラッシュします。 この問題は、現在のリリースで修正されています。
6040673	ネストされたグループ・メンバーを確認する場合、そのメンバーの属するグループ自体が別のグループのネストされたメンバーであると、そのメンバーは検出されませんでした。 この問題は、現在のリリースで修正されています。
5949904	複数のターゲット・ドメインを使用するグループの作成ワークフローを構成する場合、ドロップダウン・メニューのターゲットを変更すると、アクセス権が不十分であるというエラーが表示されます。 たとえば、次の手順を実行すると、このエラーが発生します。 「グループの作成」をクリックします。 「グループの作成 - 基本ワークフロー」テンプレートを選択します。 「ドメイン」プルダウン・メニューからグループを選択します。 この問題は、現在のリリースで修正されています。ワークフローでマルチ・ドメイン・ターゲットを使用するグループを構成できます。
5903430、5903425、5734669	XSLファイルに非常に長いリテラル文字列があると、アイデンティティ・サーバー例外が発生する可能性があります。この問題は、XML変換におけるXSLコードの処理により発生します。 この問題は、現在のリリースで修正されています。XMLファイルの長いリテラル文字列の解析により、XSLスタイルシートの処理が影響を受けることはなくなりました。
5893175	Windowsでは、アイデンティティ・サーバーでメモリー使用率が高くなると、システムがクラッシュする可能性があります。 この問題は、現在のリリースで修正されています。現在、アイデンティティ・サーバーでは、boot.iniファイルで2GBのアドレッシングがすでに有効化されている場合、3GBの仮想メモリーを使用できます。/3GBスイッチにより、プロセス・ヘッダーでIMAGE_FILE_LARGE_ADDRESS_AWAREを使用するアイデンティティ・サーバーに3GBの仮想アドレス空間を割り当てます。このスイッチにより、アプリケーションでは、2GBに1GBを追加した仮想アドレス空間をアドレッシングできます。アイデンティティ・サーバーの仮想アドレス空間は、Boot.iniファイルで/3GBスイッチが使用されていない場合、2GBに制限されます。次の例では、Boot.iniファイルに/3GBパラメータを追加してアイデンティティ・サーバーのメモリー・チューニングを有効化する方法を示します。 [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(2)\WINNT [operating systems] multi(0)disk(0)rdisk(0)partition(2)\WINNT="????" /3GB 詳細は、次のURLを参照してください。 http://www.microsoft.com/whdc/system/platform/server/PAE/PAEmem.mspx
5891100	非常に長いリテラル文字列を含むスタイルシートがあると、XSLの解析中にアイデンティティ・サーバーがクラッシュする可能性があります。 この問題は、現在のリリースで修正されています。文字列の長さは、XSLパーサーに影響しなくなりました。
5888938	アイデンティティ・システムのユーザーが1つ以上の大規模グループに属している場合、ユーザー・プロファイル操作の完了に長い時間がかかる可能性があります。たとえば、ログインしたユーザーがユーザー・マネージャで自分のプロファイルを参照しようとすると、プロファイルの表示に長い時間がかかる可能性があります。この操作中に、アイデンティティ・サーバーのメモリー使用率が急激に上昇します。 この問題は、現在のリリースで修正されています。
5869336、5720055、5483337	アイデンティティ・サーバーで、CLOSE_WAIT接続を終了できません。 この問題は、現在のリリースで修正されています。
5863956	すでにグループのメンバーであるユーザーを追加した場合、その操作はログに記録されません。 この問題は、現在のリリースで修正されています。すでにグループに属するユーザーを追加しようとすると、その操作はエラー・レベルでログに記録されます。
5862209	アイデンティティ・システムで、ロールを同時に構成していない場合、属性アクセス制御を設定する機能は評価されません。 たとえば、LDAPフィルタを使用して属性アクセス制御を定義しても、ロールを構成していない場合、ポリシーは評価されません。 この問題は、現在のリリースで修正されています。アイデンティティ・システムのアクセス制御にロール情報は必要ありません。
5857854	長い処理時間の後に、アイデンティティ・サーバーでメモリーが不足します。この問題は、アクセス制御ポリシーの評価中に、グループが繰り返しメモリーにロードされる場合に発生します。 この問題は、現在のリリースで修正されています。検索中や「グループ」ページが表示される場合にグループ全体がロードされることはなくなりました。詳細は、「アイデンティティ・システムの拡張」を参照してください。
5842946	大規模な静的グループ（10,000を超えるメンバーを含むグループなど）をアイデンティティ・システムで作成する場合、グループ・メンバーの追加および削除に長い時間がかかります。 この問題は、現在のリリースで修正されています。グループ・パフォーマンスは全体的に向上されました。詳細は、「アイデンティティ・システムの拡張」を参照してください。
5842145	データベースとファイルの同時監査を有効化すると、ファイル監査が機能しません。 この問題は、現在のリリースで修正されています。データベース監査とファイル監査を有効化して同時に実行できます。
5764838	非同期キャッシングがアイデンティティ・サーバー間で機能しません。 アイデンティティ・サーバーは、主にキャッシュ・フラッシュ・リクエストのために相互に通信します。キャッシュがいずれかのサーバーで更新されると、そのサーバーは他のサーバーにキャッシュを更新するよう通知します。非同期キャッシュ・フラッシュ・リクエストのタイムアウトは、次のファイルのoisClientTimeoutThresholdパラメータで構成します。 identity_server_installdir/oblix/apps/common/bin/globalparams.xml このパラメータのデフォルト値は、60秒です。このパラメータが存在しないか、値が-1の場合、同期キャッシュ・フラッシュが指定されます。
5741093	WebPassからのリクエストの処理中にアイデンティティ・サーバーでエラーが発生した場合、接続がクリーンアップされても関連するソケットはクローズされませんでした。このため、接続はCLOSE_WAITステータスで無制限に継続されました。また、アイデンティティ・サーバーでリソースが不足すると、WebPassからのリクエストの処理に必要なリーダー・スレッドを作成できませんでした。関連するソケットがクローズされないため、接続はCLOSE_WAITステータスで無制限に継続されました。 この問題は、現在のリリースで修正されています。
5750544	大規模な静的グループ（10,000を超えるメンバーを含むグループなど）をアイデンティティ・システムで作成する場合、グループ検索および「グループ・プロファイル」ページのパフォーマンスが影響を受けます。 この問題は、現在のリリースで修正されています。グループ・パフォーマンスは全体的に向上されました。詳細は、「アイデンティティ・システムの拡張」を参照してください。
5672229	SSLトランスポート・セキュリティを使用するActive Directory環境で、パスワード変更操作が失敗しました。たとえば、ユーザーの作成ワークフローは、ユーザー・パスワードが指定された後に失敗しました。この失敗は、Oracle Access Managerでパスワードが二重引用符で囲まれなかったために発生していました。 この問題は、現在のパッチで修正されています。
5663757	ディレクトリの日付属性を構成する際に、属性の値として空白のみを指定した場合、アイデンティティ・サーバーではその属性の値が自動的に現在の日付に設定されました。 同様の問題は、アイデンティティ・システム・コンソールを使用して日付表示タイプでデータ型属性を構成する際に、ディレクトリの属性値に空白のみが含まれる場合にも発生しました。 今回のパッチでは、空の日付属性に対して値は自動的に設定されません。
5551213	セレクタを使用して10以上のオブジェクトを選択した後に、再度セレクタを使用してオブジェクトを追加した場合、すでに選択済のオブジェクトが選択ページに移入されません。このため、選択済オブジェクトの追跡が困難になります。たとえば、ユーザーの属性アクセス制御を設定する場合、すでに制御が割り当てられているユーザーを判別することが困難になります。 この問題は、現在のリリースで修正されています。以前に選択されたユーザーは、「セレクタ」ページに表示されます。
5510063	間違ったソースDN値が、権限取得の監査レコードに表示されます。 この問題は、現在のリリースで修正されています。たとえば、ユーザーAがアイデンティティ・サーバーにログインしてユーザーBの権限を取得するとします。この場合、権限を取得するユーザーのソースDNは、代替権限アプリケーションの対応する監査レコードの新規キーワード（kProxyEnactSource）を使用して監査されます。以前は、ターゲット・ユーザーDN（権限を取得されたユーザーのDN）のみがキーワードk/ProxyEnactdnを使用して監査されていました。
5396371	IdentityXMLの使用時に、特殊文字が正しく戻されませんでした。特殊文字は、IdentityXMLレスポンスで戻されるテキスト文字列内で疑問符（?）として表現されました。 RFC 3023（http://www.ietf.org/rfc/rfc3023.txt）およびRFC 2046によれば、HTTPヘッダーでは使用するキャラクタ・セットを指定する必要があります。キャラクタ・セットが省略されている場合、WebクライアントではUS-ASCIIを使用する必要があります。このバグの場合、キャラクタ・セットがレスポンスで省略されるため、クライアントはデフォルトでUS-ASCIIに設定されました。クライアントには、戻されるキャラクタ・セットを識別する方法がありませんでした。 この問題は、現在のパッチ・セットで修正されています。正しいクライアント・キャラクタ・セットは、globalparams.xmlで構成され、ページを生成する目的で読み取られます。
5286765	アクセス・サーバー、ポリシー・マネージャおよびアイデンティティ・サーバーでメモリー使用量が増大します。 今回のリリースでは、appdbparams.xmlのldapMaxSessionTimeInMinsパラメータのデフォルト値が600分に設定されています。この時間を過ぎると、Oracle Access Managerコンポーネントとディレクトリ・サーバー間の接続はリサイクルされます。
5263075	WebPassおよびWebGateプラグインを実行しているホスト・コンピュータのCPU使用率が100%に達します。使用率は、Webサーバーを再起動するまで100%の状態が続きます。 この問題の原因は、POSTリクエスト中に無限ループを発生させるNetscapeライブラリ関数のnetbuf_getc()です。これは、既知の問題です。「Sun Problem 4728951: POSTリクエストを使用して圧縮ファイルをアップロードする際のエラー」を参照してください。Oracle Access Managerのライブラリ関数GetFormDataChar()では、関数netbuf_getc()を使用してNSライブラリからデータを取得します。 今回のリリースでは、Sun社により推奨される回避方法に従って、netbuf_getbytes()の使用が組み込まれています。
5192906	Oracle Access Managerの構成ディレクトリの停止中に、アイデンティティ・サーバーを起動すると、サーバーを初期化できなかったというエラー・メッセージが表示されます。 ただし、後続のメッセージには、存在しないファイル（InstallDir/identity/oblix/logs/errors）で詳細情報を入手できるという指示が含まれます。 現在、エラーは実際にoblog.logに記録され、メッセージはこの内容を反映しています。

9.2.1 アイデンティティ・サーバーのバグ修正の詳細

次の項では、アイデンティティ・サーバーに関する一部の修正の詳細情報を提供します。

9.2.1.1 Oracle Bug#6168198: 組織マネージャのタブ名が常に「タブの選択」に設定される

今回のリリースでは、組織マネージャのタブをクリックしたときに正しいタブ名が表示されます。以前は、特定のタブを選択しても、「タブの選択」というラベルが表示されました。この修正を実装するため、次のファイルに変更が加えられました。

Identity_Server_installdir\oblix\lang\shared\navbar.xsl

このファイルのカスタマイズ・バージョンを使用していた場合、このパッチを適用するとこれらの変更が上書きされます。新規ファイルとカスタマイズした内容を結合するには、次の2つの方法があります。

• 次の段落に記載されている変更を使用して元のnavbar.xslファイルを変更し、このパッチでインストールされたファイルを上書きします。

  元のファイルは、次のディレクトリにあります。

  Identity_Server_installdir\identity\backup-Oracle-101401RC2-binary_parameter\oblix\lang\shared

• カスタマイズした内容を識別し、それらをリリース10.1.4.2のnavbar.xslファイルに追加します。

このパッチでは、次の太字で示されている行がnavbar.xslに追加されました。

<xsl:template match="oblix:ObApps/oblix:ObApplication/oblix:ObTabs">
  <font face="Arial, Helvetica, sans-serif" size="2" color="#000000">
    <xsl:variable name="urlContainingSelectedTab">
    <xsl:value-of select="/oblix:Oblix/oblix:ObNavbar/oblix:ObMisc/oblix:ObButton[@obaction='T1about']/@obhref"/>
    </xsl:variable>
       <select id="applist" name="applist" size="1" onchange="self.location.href = this.options[this.selectedIndex].value; return true;">
          <option><xsl:value-of select="$MSelTab"/></option>
              <xsl:for-each select="oblix:ObButton">
                  <xsl:if test="@obanchorText">
                     <xsl:variable name="thisTab"><xsl:value-of select="@obaction"/></xsl:variable>
                        <option value="{@obhref}">
                            <xsl:if test="contains($urlContainingSelectedTab, $thisTab)">
                  <xsl:attribute name="selected">true</xsl:attribute></xsl:if>
                            <xsl:call-template name="oblix:PrepForJS">
                                <xsl:with-param name="strToPrep" select="@obanchorText"/>
                            </xsl:call-template>
                        </option>
                    </xsl:if>
                </xsl:for-each>
            </select>
        </font>
    </xsl:template>

このパッチでは、次の太字で示されている行がnavbar.xslから削除されました。

<xsl:template match="oblix:ObApps/oblix:ObApplication/oblix:ObTabs">
        <font face="Arial, Helvetica, sans-serif" size="2" color="#000000">
. . .
                <option><xsl:value-of select="$MSelTab"/></option>
                <xsl:for-each select="oblix:ObButton">
                    <xsl:if test="@obanchorText">
. . .

9.3 WebPassの解決済の問題

表12に、今回のリリースで修正されたWebPassのバグを示します。

表12 WebPassの解決済の問題

バグ	説明
5856408	WebPassのインストール後、そのWebPassでアイデンティティ・サーバーに対して確立可能な接続の最大数を構成できます。ただし、マルチ・プロセスWebサーバーでは、WebPass構成で指定された数より多くの接続がアイデンティティ・サーバーに対してオープンされます。 この問題は、現在のリリースで修正されています。マルチ・プロセスWebサーバーで実行されているWebPassでは、アイデンティティ・サーバーに対して構成された数の接続のみがオープンされます。
5844594	IdentityXMLクライアントからWebサービスをコールすると、タグ<Soap:Header>により次のIdentityXMLエラーが発生します。 XMLリクエストに不明な要素Headerが含まれています。 WebPassでは、<Soap:Header>タグを含むリクエストは処理されません。 この問題は、現在のリリースで修正されています。現在、WebPassとアイデンティティ・サーバーでは、SOAPリクエストのHeaderタグを処理できます。ただし、ヘッダー・ノードの子ノードは、どのアクションでも処理されません。
5840844	アイデンティティ・サーバーに送信されたクライアント・リクエストは、クライアントがそのリクエストを破棄した場合でも処理されます。 この問題は、現在のリリースで修正されています。現在、アイデンティティ・サーバーでは、キュー内のリクエストを処理する前に、接続が引き続きオープンしているかどうかをチェックします。
5840834	WebPassが、アイデンティティ・サーバーに対する接続を無制限に再試行する可能性があります。WebPassを構成する場合、「アイデンティティ・サーバー・タイムアウトしきい値」フィールドでは、WebPassがアイデンティティ・サーバーに対して接続を試みてから、その接続を到達不能であると判断して別のアイデンティティ・サーバーに接続を試みるまでの時間を秒単位で指定できます。ただし、アイデンティティ・サーバーがリクエストを処理する時間がタイムアウトしきい値を超える場合、WebPassはそのリクエストを破棄し、新規接続でリクエストを再試行します。接続プールから戻される新規接続は、接続プール設定によっては、同じアイデンティティ・サーバーを接続先とする可能性があることに注意してください。また、他のアイデンティティ・サーバーでも、リクエストの処理にしきい値で指定された時間より長くかかる可能性があります。これらの場合、WebPassは、アイデンティティ・サーバーが停止するまでリクエストの再試行を継続します。 この問題は、現在のリリースで修正されています。globalparams.xmlのclient_request_retry_attemptsパラメータを使用すると、WebPassがレスポンスのないサーバーに対して実行する再試行の回数を制限できます。このパラメータのデフォルト値は、-1です（この場合、WebPassはリリース10.1.4.01のときと同じ動作を続けます）。この値を有限の整数に設定することで動作を変更できます。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。
5756236	拡張オペレーティング・システム・エラー情報がログに取得されませんでした。 この問題は、現在のリリースで修正されています。コールが失敗した理由の判別を容易にするため、拡張オペレーティング・システム・エラー情報は、DEBUG3レベルで記録されます。
5467723	アイデンティティ・サーバーとWebPassの間で次の構成を使用する場合、パフォーマンスが非常に遅くなります。 コンポーネントが証明書モードで通信する場合 WebPass構成ページの「アイデンティティ・サーバー・タイムアウトしきい値」フィールドが、0（タイムアウトなし）より大きい値に設定されている場合 この問題は、現在のリリースで修正されています。
5400749	クライアントごとの最大リクエストが低い数値に設定されていると、WebPassによりコア・ダンプが実行されます。 この問題は、今回のリリースで修正されています。

9.4 アクセス・サーバーの解決済の問題

表13に、今回のリリースで修正されたアクセス・サーバーのバグを示します。

表13 アクセス・サーバーの解決済の問題

バグ	説明
6325082	パスワードの変更後にユーザーが保護されたリソースにアクセスすると、アクセス・サーバーがクラッシュする可能性があります。 この問題は、ロスト・パスワード・ポリシーが設定されているのに、ユーザーがパスワードのチャレンジとレスポンスを作成していない場合に発生します。 この問題は、現在のリリースで修正されています。
6201694	チャレンジ・リダイレクトを含むロスト・パスワード管理ポリシーと組み合せてBasic Over LDAP認証スキームを使用すると、問題が発生します。ユーザーによるパスワードのリセット後、そのユーザーは、初めにリクエストしたリソースの提供を受けるかわりに認証WebGateにリダイレクトされます。 この問題は、現在のリリースで修正されています。パスワードのリセット後、リクエストされたリソースがユーザーに提供されます。
6158232	ユーザーが保護されたURLにアクセスし、認証のためにWebGateにリダイレクトされ、そこで認証を受けてからターゲットURLに戻される場合、問題が発生する可能性があります。元のリクエストURLに問合せ文字列が含まれる場合、WebGateへのリダイレクト後にその問合せ文字列は切り捨てられます。 たとえば、ユーザーが次のURLを入力したとします。 http://myapp.oracle.com:81/doc/test.html?test=test1 認証後、リダイレクションURLは次のように切り捨てられます。 http://myapp.oracle.com:81/doc/test.html この問題は、現在のリリースで修正されています。
6152030	パスワードの変更後、ユーザーは、ポリシーに定義されたスキームではなくデフォルトの認証スキームを使用して再認証するよう要求されます。 デフォルト以外の認証スキームを使用するポリシーを構成できます。たとえば、ポリシーにより、ポリシー・ドメインで保護されているリソース用の問合せ文字列のバリエーションに基づいてリソースを保護できます。しかし、ロスト・パスワード管理機能を使用してユーザー・パスワードがリセットされると、保護されたリソースへのリダイレクト後に、ユーザーは、ポリシーの認証スキームのかわりにデフォルトの認証スキームを使用して再認証するよう要求されます。 この問題は、問合せ文字列を含むURLのポリシーに適用されます。問合せ文字列は、パスワード変更ページにより生成されたリダイレクトURLで変更されます。 この問題は、現在のリリースで修正されています。
6143692	Oracle Access Manager固有のデータ（OSD）・キャッシュが無効化されている場合、アクセス・サーバーがクラッシュします。たとえば、次の手順を実行すると、この問題が再現されます。 Oracle Access Managerを設定し、ポリシー・マネージャの設定中に/identityおよび/accessドメインを保護するポリシーを作成します。 ポリシー・マネージャで、「ポリシー・ドメイン」→「Identityドメイン」→「デフォルト・ルール」→「認可条件式」を選択します。 認可条件式は、「デフォルト認可ルール」に設定します。 ポリシー・マネージャで、「ポリシー・ドメイン」→「Identityドメイン」→「認可ルール」を選択し、デフォルト認可ルールを選択してから「アクセスの許可」を選択します。 1人のユーザー（マスター管理者など）と1つのグループを許可します。「すべてのユーザー」ロールは許可しないでください。 アクセス・サーバーのインストール・ファイルaccess/oblix/data/common/appdbparams.xmlを編集し、disablecacheの値をnoからyesに変更します。 すべてのアイデンティティ・サーバーおよびアクセス・サーバーを再起動してキャッシュをクリアします。 新規ブラウザで、手順3で選択したグループのユーザーとしてアイデンティティ・システムにログインし、ユーザー・マネージャ（保護されたリソース）を起動します。 この問題は、現在のリリースで修正されています。
6111325	configureAAAserverツールを実行する場合、廃止されたファイルを参照する次のようなメッセージが表示されることがあります。 For Silent mode installation, use these additional options: -S -f <aaa_input.lst file> このようなメッセージにおける正しいファイル名は、aaa_input.xmlです。 この問題は、現在のリリースで修正されています。
6082856	Linuxシステムでは、ConfigureWebGateツールを実行する前に、環境変数LD_ASSUME_KERNELの値を2.4.19に設定する必要があります。この環境変数を設定しないと、断続的なクラッシュが発生する可能性があります。 この問題は、現在のリリースで修正されています。LD_ASSUME_KERNEL環境変数を構成する必要はありません。
6075501	マスター監査ポリシーの「エスケープ文字」フィールドに空白を指定すると、アクセス・サーバーがクラッシュします。 アクセス・システム・コンソールで、「アクセス・システム構成」タブをクリックし、左側のナビゲーション・ペインの「共通情報の構成」をクリックします。 「マスター監査ルール」サブタブをクリックします。 「追加」をクリックします。 この問題は、現在のリリースで修正されています。
6032747	フォーム・ベース認証は、チャレンジ・レスポンス・ポリシーを使用するパスワード・リセット・ポリシーと組み合せて構成できます。ただし、チャレンジに応答してパスワードをリセットした後に、ユーザーは初めにリクエストしたリソースにリダイレクトされないことがあります。フォーム・ベースのログイン・ページのアクションURLにリダイレクトされずに、エラーが表示されます。 この問題は、現在のリリースで修正されています。
6020577	パスワードがリセットされたユーザーに対してロスト・パスワード管理ポリシーが構成されると、問題が発生します。パスワードがリセットされたユーザーは、保護されたリソースにアクセスしたときに、チャレンジおよびレスポンス・ページにリダイレクトされません。 この問題は、現在のリリースで修正されています。チャレンジおよびレスポンス・ページへのリダイレクトは、期待どおり行われます。
5971014	Oracle Access Manager 7.0.4からリリース10.1.4.0.1にアップグレードすると、認証スキームの複数のチャレンジ・パラメータ行が切り捨てられます。最初のチャレンジ・パラメータ行のみが残されます。他の行は削除されます。 この問題は、現在のリリースで修正されています。リリース10.1.4.2.0にアップグレードしても、すべてのチャレンジ・パラメータが維持されます。
5969074	英語以外の言語を使用する環境で致命的レベルのログ・メッセージを構成しても、ローカル言語のかわりに英語でログ・メッセージが表示されます。 この問題は、現在のリリースで修正されています。
5912931	低レベルの認証スキームで認証されたユーザーが、後でより高度の認証レベルで保護されたリソースにアクセスしようとすると、再認証を要求されます。ただし、ユーザーは、このプロセス中に無限ループに入る可能性があります。 この問題は、現在のリリースで修正されています。ユーザーは、低レベルの認証から高レベルの認証に移動しても、ループに入りません。
5893183	Windowsシステムで、アクセス・サーバーは、2GBを超えるアドレス空間を必要とするリクエストを処理できません。これにより、メモリーが過剰に消費され、使用不能になります。 この問題は、現在のリリースで修正されています。現在、アクセス・サーバーでは、boot.iniファイルで2GBのアドレッシングがすでに有効化されている場合、3GBの仮想メモリーを使用できます。/3GBスイッチにより、プロセス・ヘッダーでIMAGE_FILE_LARGE_ADDRESS_AWAREを使用するアイデンティティ・サーバーに3GBの仮想アドレス空間を割り当てます。このスイッチにより、アプリケーションでは、2GBに1GBを追加した仮想アドレス空間をアドレッシングできます。アクセス・サーバーの仮想アドレス空間は、Boot.iniファイルで/3GBスイッチが使用されていない場合、2GBに制限されます。次の例では、Boot.iniファイルに/3GBパラメータを追加してアクセス・サーバーのメモリー・チューニングを有効化する方法を示します。 [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(2)\WINNT [operating systems] multi(0)disk(0)rdisk(0)partition(2)\WINNT="????" /3GB 詳細は、次のURLを参照してください。 http://www.microsoft.com/whdc/system/platform/server/PAE/PAEmem.mspx
5880426	Oracle Access Manager 10.1.4.0.1では、「優先HTTPホスト」フィールドが必須になりました。これにより、仮想ホスティングをサポートする環境では問題が発生しました。 これらの問題は、現在のリリースで解決されています。詳細は、「アクセス・システムの拡張」を参照してください。
5852510、5601019	WebGateがアクセス・サーバーに接続する場合、アクセス・サーバーではCLOSE_WAITステータスの接続が作成されます。WebGateがアクセス・サーバーとの接続をクローズする際に、その接続は適切にクローズされません。時間の経過とともにCLOSE_WAITステータスの接続が増加して、最終的にアクセス・サーバーはクラッシュします。 この問題は、現在のリリースで修正されています。
5845258	アクセス・サーバーは、リクエストを作成したクライアントに対する接続が現在もオープンされているかどうかを確認せずにリクエストを処理します。クライアントがすでにリクエストを破棄している場合、この処理は不要です。アクセス・サーバーのパフォーマンスは、処理対象のリクエストをリクエスト・キューから取得する前に、クライアントがそのリクエストを現在も待機しているかどうかを確認することで最適化できます。 この問題は、現在のリリースで修正されています。現在、アクセス・サーバーは、リクエストを発行したクライアントが接続をクローズしてリクエストを破棄しているかどうかを確認します。
5765203	credsリストのHTTPヘッダーを使用する認証スキームを構成する場合、ユーザーがリソースにアクセスすると、そのスキームによりアクセスが許可されているユーザーであってもエラーが発生します。 たとえば、HTTPリクエスト・ヘッダーにAccept-Languageを使用して次のチャレンジ・パラメータを設定する場合、ユーザーがこのスキームで保護されたリソースにアクセスすると、ログイン・フォームは表示されず、エラーが表示されます。 form: /login.html creds:login password Accept-Language この問題は、現在のリリースで修正されています。すべてのcredsオブジェクト変数が検出される場合に、credsパラメータの値はtrueに設定されます。
5741096	WebGateからのリクエストの処理中にアクセス・サーバーで特定のエラーが発生した場合、接続がクリーンアップされても関連するソケットはクローズされませんでした。このため、接続はCLOSE_WAITステータスで無制限に継続されました。また、アクセス・サーバーでリソースが不足すると、WebGateからのリクエストの処理に必要なリーダー・スレッドを作成できませんでした。関連するソケットがクローズされないため、接続はCLOSE_WAITステータスで無制限に継続されました。 この問題は、現在のリリースで修正されています。
5713151	IISサーバーでいくつかのプラグイン（WebGateプラグインやWebSphereのフロントエンドとなるiisWASPluginなど）を構成し、同時にアクセス・システム・コンソールの「アクセス・ゲート構成」タブでUseIISBuiltinAuthenticationパラメータをtrueに設定すると、問題が発生する可能性があります。この場合、WebGateは、ObFormLoginCookieにターゲット・アプリケーションの問合せ文字列を格納できない可能性があります。 この問題は、ユーザーがURLを入力してリソースにアクセスし、フォーム・ベースのログインを要求された場合に発生します。この状況で、初めにリクエストしたURLにリダイレクトされ、WebGateによりURLの問合せ文字列が省略されると、ターゲット・アプリケーションは中断する可能性があります。 この問題は、現在のリリースで修正されています。問合せ文字列は、ターゲット・アプリケーションのURLで維持されます。
5390041	アクセス・サーバーでは、キャッシュ・フラッシュ・リクエストで大/小文字が区別されます。 この問題は、現在のリリースで修正されています。キャッシュ・フラッシュ・リクエストを処理する際に、大/小文字は区別されません。
5390029	アクセス・サーバーでは、リクエスト・キューを使用して、ワーカー・スレッドにより処理される一連の着信リクエストを作成します。動作中のキューの数は、コマンドラインからaaa_serverコマンドでQパラメータを発行した場合、変化しません。この問題は、今回のリリースで修正されています。修正を実装するには、次のようにglobalparams.xmlにnumQsパラメータを追加する必要があります。 <SimpleList> <NameValPair ParamName="numQs" Value="4"> </NameValPair> </SimpleList> Qパラメータの詳細は、『Oracle Access Managerデプロイメント・ガイド』を参照してください。globalparams.xmlの詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。
5286765	アクセス・サーバー、ポリシー・マネージャおよびアイデンティティ・サーバーでメモリー使用量が増大します。 この問題は、現在のリリースで修正されています。今回のリリースでは、appdbparams.xmlのldapMaxSessionTimeInMinsパラメータのデフォルト値が600分に設定されています。この時間を過ぎると、Oracle Access Managerコンポーネントに対する接続はリサイクルされます。
4468422	ユーザーがX.509証明書を使用してOracle Access Managerの認証を受ける場合、証明書に同じ属性の複数のインスタンスが含まれると、ユーザー認証に失敗します。 この問題は、現在のリリースで修正されています。ユーザーの証明書に同じ属性の複数のインスタンスが含まれていても、ユーザーの資格証明では属性の正しいインスタンスが使用されます。たとえば、証明書にcn=Jean Smith,cn=usersが含まれる場合、値Jean Smithがユーザーの資格証明に挿入されます。

9.5 ポリシー・マネージャの解決済の問題

表14に、今回のリリースで修正されたポリシー・マネージャのバグを示します。

表14 ポリシー・マネージャの解決済の問題

バグ	説明
6522582	ホスト識別子の長いリストを表示する場合、リストがソートされないため、目的のホスト識別子を見つけにくい可能性があります。 この問題は、現在のリリースで修正されています。現在、ホスト識別子のリストはソートされます。
5962458	リリース7.0.4から10.1.4にアップグレードしても、password.lstファイルがpassword.xmlファイルに変換されません。必須のpassword.xmlファイルがAccess Manager SDKおよびポリシー・マネージャから失われます。 この問題は、簡易モードで実行されているインストール環境に適用されます。 この問題は、現在のリリースで修正されています。リリース10.1.4.2.0にアップグレードすることで、正しいpassword.xmlファイルが生成されます。
5654052	Apache2のLinuxのポリシー・マネージャでは、指示ファイルconfig.htmに、ポリシー・マネージャをホストする目的でApache2のhttp.confファイルを手動で更新する方法に関する情報が含まれます。 このファイルの次のエントリにより、Webサーバーに障害が発生します。 <IfModule !mod_ssl.c> LoadModule OBCommonModuleLoader "/home/oracle/OAM1014/identity/webcomponent/access/oblix/apps/module_loader/bin/obmodule_loader.so" </IfModule> この問題は、現在のリリースで修正されています。
5399401	リソースを定義する場合、疑問符（?）を含むURL接頭辞を入力すると、リソースが切り捨てられます。疑問符は、URLを区切ります。疑問符により、URLの範囲と問合せ文字列の開始が定義されます。 たとえば、次の手順を実行すると、保存されるURLは/testに切り捨てられます。 ポリシー・ドメインで、次のようなHTTPリソースを追加します。 /test?st=tty リソースを保存します。 今回のリリースでは、URLに?文字を指定すると、デリミタの前の情報のみが格納されるという警告メッセージが表示されます。
5384106	ポリシー・マネージャでは、ユーザー・アクセス・レポートを取得できませんでした。この問題は、ADSIモードでの実行時にのみ発生しました。 たとえば、次の手順を実行した場合、正しいレポートは表示されませんでした。 アクセス・システム・コンソールで、「システム管理」→マネージャ・レポートを選択します。 「追加」をクリックします。 レポートの詳細を指定します。 「保存」をクリックします。 この問題は、現在のリリースで修正されています。
5286765	アクセス・サーバー、ポリシー・マネージャおよびアイデンティティ・サーバーでメモリー使用量が増大します。 今回のリリースでは、appdbparams.xmlのldapMaxSessionTimeInMinsパラメータのデフォルト値が600分に設定されています。この時間を過ぎると、Oracle Access Managerコンポーネントに対する接続はリサイクルされます。

9.6 WebGateの解決済の問題

表15に、今回のリリースで修正されたWebGateのバグを示します。

表15 WebGateの解決済の問題

バグ	説明
6443025	ユーザーは、非常に長いパスワード（POSTリクエストの制限である4GB）を含むPOSTリクエストを入力できます。このリクエストには、バイナリのシェル・コードを含めることもできます。 この問題は、現在のリリースで修正されています。 フォーム・ベースの認証スキームでは、maxpostdatabytesチャレンジ・パラメータを指定できます。このオプション・パラメータの値は、WebGateを使用するWebサーバーに対してエンド・ユーザーが認証用にポストできるデータ・バイトの最大数です。POSTデータがフォーム・ベースの認証スキームのmaxpostdatabytesで設定されたしきい値を超えると、ユーザーはエラーを受信し、DEBUG3ログ・レベルでoblog.logファイルにログ・エントリが追加されます。 例: maxpostdatabytes:100 このパラメータを省略した場合、エンド・ユーザーは、WebGateで保護されたWebサーバーに対して無制限の長さの文字列を認証用にポストできます。文字列が長すぎると、WebGateまたはWebサーバーのクラッシュ、サービス拒否、または他の致命的エラーが発生する可能性があります。
6359813	『Oracle Access Managerアクセス管理ガイド』の認証に関する章に記載されているとおり、認証スキームにチャレンジ・パラメータのssoCookie:max-ageを追加することで、ユーザーが1回のセッション単位ではなく一定の時間単位でログインできるような認証スキームを構成できます。このドキュメントのリリース・バージョンでは、この機能はMozillaでのみ有効であると記載されています。 しかし、この機能は、Mozillaベースのブラウザと同様にInternet Explorerでも有効です。
6357953	ポリシー・ドメインでWebサーバーのトップレベル・ディレクトリ（/）を保護しており、このディレクトリの下に存在するフォームを匿名認証スキームで保護している場合、ループ・エラーが発生します。 この問題は、現在のリリースで修正されています。現在、匿名認証を使用してリソースを保護する場合、そのリソースは常に保護されないリソースとして扱われます。
6311786	フォーム・ベースの認証スキームで保護されたリソースにアクセスする場合、ユーザーは、認証後にリソースの提供を受けることなく、ログイン・ページに戻されます。この問題は、特にログイン・フォームが匿名認証スキームとフォーム・ベースの認証スキームで保護されている場合に発生します。 この問題は、現在のリリースで修正されています。
6167735	WebGateは、フェイルオーバー・イベントからのリカバリ時にハングする可能性があります。通常、この問題は、プライマリ・サーバーとセカンダリ・サーバーで複数の接続が使用されている場合に発生します。 たとえば、WebGate、プライマリ・アクセス・サーバーおよびセカンダリ・アクセス・サーバーを構成し、各アクセス・サーバーに2つの接続を構成したとします。何人かのユーザーが保護されたリソースにアクセスした後に、プライマリ・サーバーがフェイルオーバーします。別の何人かのユーザーは、セカンダリ・サーバーを使用して保護されたリソースにアクセスします。プライマリ・サーバーが回復し、追加のユーザーが別のリソースにアクセスすると、WebGateはハングする可能性があります。 この問題は、現在のリリースで修正されています。
6158232	ユーザーが保護されたリソースにアクセスすると、認証のためにWebGateにリダイレクトされます。認証後、ユーザーは初めにリクエストしたリソースにリダイレクトされる必要があります。しかし、元のURLの問合せ文字列は切り捨てられます。たとえば、http://my.url.com/mydocument.html?myquery.stringは、?myquery.stringの部分が切り捨てられます。 この問題は、現在のリリースで修正されています。問合せ文字列は、リダイレクションURLで維持されます。
6157298	フォーム・ベース認証を構成し、IWA認証とともに実装した場合、WebGateでは、認証フォーム自体に認証が必要であるというエラーが発生します。 この問題は、現在のリリースで修正されています。
6127597	次の条件が満たされると、iPlanetサーバーで実行されているWebGateは無限ループに入るか、クラッシュします。 認証中に不完全なPOSTデータが送信された場合 認証リクエストにイメージ・マップURLが含まれる場合 これらの問題は、現在のリリースで修正されています。
6066323	Linuxが稼働するOracle HTTP Serverリリース2（10.1.3.1.0）にWebGateをインストールすると、Webサーバーがクラッシュする可能性があります。 この問題は、現在のリリースで修正されています。
6063120	Oracle HTTP Serverリリース10.1.3.1 SOAで実行されているWebGateで次のようにデバッグ・モードを有効化すると、Webサーバーがクラッシュする可能性があります。 アクセス・システム・コンソールで、「アクセス・ゲート構成」を選択します。 「実行」をクリックします。 Oracle HTTP ServerのWebGateのエントリをクリックします。 ページの一番下にある「変更」をクリックします。 「デバッグ」フィールドで、「オン」を選択してデバッグ・メッセージを出力します。 この問題は、現在のリリースで修正されています。
6054889、6001674、5909418	低レベルの認証スキームで認証されたユーザーが、より高度なレベルの認証スキームで保護されたリソースにアクセスすると、無限ループに入ります。つまり、これらのユーザーは、再認証を受けるよう何度も要求されます。 この問題は、現在のリリースで修正されています。ユーザーは、低レベルの認証から高レベルの認証に移動しても、無限ループに入りません。
6051252	/identity URLを保護するようWebGateを構成し、そのURLに対してロスト・パスワード管理のチャレンジ・リダイレクトを構成すると、問題が発生する可能性があります。ユーザーの認証後、リダイレクト時に問合せパラメータが失われます。そのため、ブラウザは次のURLにリダイレクトされます。 /identity/oblix/.../userservcenter.cgi ブラウザは、実際には次のURLにリダイレクトされる必要があります。 /identity/oblix/.../userservcenter.cgi?program= redirectcac この問題は、現在のリリースで修正されています。現在、問合せパラメータは、リダイレクションURLに追加されます。
6021640	通常、アクセス・システム・コンソールの「アクセス・ゲート構成」タブに移動して、「IPValidation」を「true」に設定する場合、ObSSOCookieに格納されたIPアドレスは、クライアントのIPアドレスと一致する必要があります。一致しない場合、ユーザーは再認証を行う必要があります。 ただし、IP検証は、Oracle Access Manager 10.1.4.0.1のDomino WebGateでは期待どおりに動作しません。IP検証を有効化した後、ユーザーは、リソースへのアクセス時に資格証明を要求されるかわりにエラーを受信する可能性があります。この問題は、リソースが完全修飾ドメイン名を使用してアクセスされる場合にのみ発生します。 この問題は、現在のリリースで修正されています。
5978345	ロスト・パスワード管理の構成後、新規ユーザーは、保護されたリソースにアクセスする際にチャレンジおよびレスポンス・ページが表示されません。この問題は、WebGateとWebPassが異なるサーバーにインストールされている場合に発生します。 この問題は、現在のリリースで修正されています。validate_passwordプラグインの新規パラメータobWebPassURLprefixを指定して、ロスト・パスワード管理とともに使用できます。このプラグインの値は、次のとおりです。 http://webpasshost:webpassport validate_passwordプラグインの詳細は、『Oracle Access Managerアクセス管理ガイド』の認証に関する章を参照してください。ロスト・パスワード管理の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』のパスワード・ポリシーの構成に関する項を参照してください。
5892276、5858088	サード・パーティ・コンポーネントで、Oracle Access Managerとともにデプロイされたものとは異なるバージョンのNLSライブラリが要求される場合、Oracle Access Managerコンポーネントはクラッシュする可能性があります。 この問題は、現在のリリースで修正されています。
5891893	フォーム・ベースの認証スキームで、credsリストに大文字を使用してサーバーまたはcgi変数を構成すると、その変数はNetscapeサーバーで認識されません。 この問題は、現在のリリースで修正されています。
5886637	WebGateは、アクセス・サーバーが停止するまでリクエストの再試行を継続する可能性があります。アクセス・サーバーがリクエストを処理する時間が構成済のタイムアウトしきい値を超える場合、WebGateはそのリクエストを破棄し、新規接続でリクエストを再試行します。ただし、接続プール設定によっては、新規接続が同じアクセス・サーバーを接続先とする可能性があります。また、他のアクセス・サーバーでも、リクエストの処理にしきい値で指定された時間より長くかかる可能性があります。これらの場合、WebGateは、すべてのアクセス・サーバーが停止するまでリクエストの再試行を継続します。 この問題は、現在のリリースで修正されています。client_request_retry_attemptsパラメータを使用すると、再試行の回数を制限できます。このパラメータのデフォルト値は、-1です（この場合、WebGateはリリース10.1.4.01のときと同じ動作を続けます）。この値を有限の整数に設定することで動作を変更できます。 詳細は、『Oracle Access Managerアクセス管理ガイド』の「ユーザー定義パラメータの構成」を参照してください。
5868410	フォーム・ベース認証の使用時に、リクエストしたリソースのURLの問合せ文字列が渡されません。 たとえば、次の手順を実行すると、第2レベルのリダイレクトで、戻されるURLから問合せ文字列が失われます。 たとえば、次のようなURLを使用して、保護されたリソースに移動します。 http://test.us.mycompany.com/test1/test1.html?uid=1?afds=123 ユーザーは、ログイン・ページにリダイレクトされます。 ログイン・ページのフィールドに情報を入力します。 フォーム・ベースの認証スキームにより、http://test.us.mycompany.com/test1/test1.htmlに戻されますが、問合せ文字列が失われます。 この問題は、現在のリリースで修正されています。
5852993	WebGateのインストール後、そのWebGateでアクセス・サーバーに対して確立可能な接続の最大数を構成できます。ただし、マルチ・プロセスWebサーバーでは、WebGate構成で指定された数より多くの接続がアクセス・サーバーに対してオープンされます。 この問題は、現在のリリースで修正されています。マルチ・プロセスWebサーバーで実行されているWebGateでは、アクセス・サーバーに対して構成された接続数のみがオープンされます。

9.7 Software Developer Kit（SDK）、APIおよび統合の解決済の問題

表16に、今回のリリースで修正されたAccess Server SDK、API、およびOracleやサード・パーティ製品との統合に関連するバグを示します。

表16 Access Server SDK、APIおよび統合の解決済の問題

バグ	説明
6457125、6396922	以前のリリースのAccess Manager SDKによりアイドル・セッション・タイムアウトの値を含まないObSSOCookieが生成されると、リリース10.1.4.0.1のAccess Manager SDKとWebGateでは、これらのCookieが拒否される可能性があります。シングル・サインオン・トークンは、アイドル・セッション・タイムアウトの値が0（ゼロ）の場合と同様に処理されます。 この問題は、現在のリリースで修正されています。アイドル・セッション・タイムアウトがObSSOCookieに含まれない場合、SDKにより独自のアイドル・セッション・タイムアウトが適用されます。SDKにより0（ゼロ）以外の値が検出されると、2つのアイドル・タイムアウト値のうち小さい方の値が使用されます。
6084780	WebLogic用Oracle Access Managerセキュリティ・プロバイダを構成している場合、ポリシー・デプロイヤでは認可ルールを削除できません。たとえば、NetPointWeblogicTools.propertiesを次のように構成し、ポリシー・デプロイヤを実行しても、構成済の認可ルールは削除されません。 # Initial Setup ObWLTools.SetupInitialNetpointSSPIPolicies=false # # Deploy Policy ObWLTools.DeployPolicy=false ObWLTools.UnDeployPolicy=true この問題は、現在のリリースで修正されています。
6082856	Linuxシステムでは、ConfigureAccessGateツールを実行する前に、環境変数LD_ASSUME_KERNELの値を2.4.19に設定する必要があります。この環境変数を設定しないと、断続的なクラッシュが発生する可能性があります。 この問題は、現在のリリースで修正されています。LD_ASSUME_KERNEL環境変数を構成する必要はありません。
6072614	Weblogic Application Serverバージョン9.2との統合の構成後、アプリケーションがWeblogicにデプロイされると、そのアプリケーションのロール・ベースのポリシーがOracle Access Managerで作成されます。ただし、ポリシー・デプロイヤ・ツールでは、これらのポリシーを削除できません。 この問題は、現在のリリースで修正されています。
5645476	WebLogic 9.2でSSPIコネクタを構成し、管理ユーザー以外のユーザーとしてログインすると、「Deploy」リンクを使用してアプリケーションをデプロイできません。管理ユーザーは、この問題の影響を受けません。 これは、BEA社により対応される必要のある既知の問題です。詳細は、BEA社のサポートに連絡し、ケース番号685777を参照してください。
5134098	レプリケーションとネクスト・トークンコード・モードを有効化して、RSA SecurIDと統合すると、問題が発生する可能性があります。この場合、ユーザーが最初のトークンコードと次のトークンコードを入力する間に140秒以上経過すると、後続のリクエストは異なるACEサーバーにルーティングされます。 この問題は、現在のリリースで修正されています。次のトークンコードの入力を待機する場合でも、フェイルオーバーは発生しません。
5962458	リリース7.0.4から10.1.4にアップグレードしても、password.lstファイルがpassword.xmlファイルに変換されません。必須のpassword.xmlファイルがAccess Manager SDKおよびポリシー・マネージャから失われます。 この問題は、簡易モードで実行されているインストール環境に適用されます。 この問題は、現在のリリースで修正されています。リリース10.1.4.2.0にアップグレードすることで、正しいpassword.xmlファイルが生成されます。
5954326	レジストリ・テスターを実行するのに必要なファイルをIBM WebSphere Application Server 6.1で使用できません。 欠落ファイルは、今回のリリースで追加されました。詳細は、『Oracle Access Manager統合ガイド』の「IBM WebSphereとの統合」の章のトラブルシューティングに関する項を参照してください。
5939157	統合Windows認証（IWA）などの外部認証スキームを構成する場合、ユーザーのセッションが期限切れになると、問題が発生する可能性があります。ブラウザのリフレッシュ後、リソースが再度提供されるかわりに、バックグラウンドで再認証が行われ、エラー・メッセージが表示されます。 ページをもう一度リフレッシュすると、ユーザーは正しく認証され、リソースが表示されます。 この問題は、現在のリリースで修正されています。
5623970	ユーザーがPolicy Manager SDKを使用してポリシー・ドメインを構成する場合、パフォーマンスの問題が発生します。 Java APIのgetPolicyDomains()は、ディレクトリのホストIDのリスト全体を読み取りますが、その処理がリスト内のポリシー・ドメイン・オブジェクトごとに1回行われます。これは、コストのかかる操作でした。 この問題は、現在のリリースで修正されています。
5574546	Weblogic用Oracle Access Manager SSPIプロバイダでは、WebおよびEJBアプリケーション用のロール・プロバイダがネットワーク帯域幅を過剰に占有します。これは、ロール・プロバイダがユーザーの属するすべてのグループまたはロールを検索するためです。 今回のリリースでは、ロール・プロバイダはダミー・ロールを戻します。この場合、後の段階で認可プロバイダが適切なロールのみを検索するため、ネットワーク帯域幅が節約されます。ロール検索は、認可決定時まで延期されます。 また、今回のリリースでは、認可プロバイダが変更されています。ユーザーが属するロールを検索する機能は、認可プロバイダが行います。

9.8 パフォーマンスの解決済の問題

表17に、今回のリリースで解決されたパフォーマンスの問題に関連するバグを示します。

表17 パフォーマンスの解決済の問題

バグ	説明
6144036	人オブジェクト・クラスのLDAPポリシー・キャッシュのキャッシュ・フラッシュを実行することで、パフォーマンスが影響を受けました。 この問題は、現在のリリースで修正されています。現在、キャッシュ・フラッシュは、汎用オブジェクト・クラスでのみ発生します。
5901108、5524369	大規模グループのパフォーマンスが低下する可能性があります。 グループのパフォーマンスは向上されています。詳細は、「アイデンティティ・システムの拡張」を参照してください。
4468428	大量のポリシー・ドメインでは、パフォーマンスが低下する可能性があります。 ポリシー・ドメイン定義時のパフォーマンスは向上されています。詳細は、「アクセス・システムの拡張」を参照してください。

9.9 ドキュメントの解決済の問題

表18に記載されているドキュメントの問題に関連するバグは、解決されています。

表18 ドキュメントの解決済の問題

バグ	説明
N/A	シングル・サインオン・セッションからのグローバル・ログアウトを構成するための新規情報が、『Oracle Access Managerアクセス管理ガイド』および『Oracle Access Manager統合ガイド』のログアウトに関する付録に追加されています。
6156900	『Oracle Access Manager IDおよび共通管理ガイド』の以前のバージョンでは、ロスト・パスワードおよびパスワード変更フォームのスタイルシートの構成に関して不明瞭な記述がありました。lpm_cr.xslおよびlpm_changepwd.xslファイルは、元のスタイルシートです。これらのスタイルシートをコピーしてカスタマイズし、そのファイルを現在アクティブなスタイル・フォルダに配置できます。また、関連するパスワード・ポリシーを変更し、アクティブなスタイル・フォルダのXSLファイルの相対パスを示すこともできます。 「ロスト・パスワードのリダイレクト・スタイルシート」または「パスワード変更のリダイレクト・スタイルシート」に、XSLスタイルシートの相対パスをオプションで入力できます。 たとえば、スタイルシート・ファイルの場所がIdentity_Server_installdir /identity/oblix/lang/en-us/style0/myStyleSheet.xslである場合、/myStyleSheet.xslと入力します。 スタイルシート構成の詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。ロスト・パスワード・リダイレクションの詳細は、『Oracle Access Manager IDおよび共通管理ガイド』の「グローバル設定の構成」の章のロスト・パスワード管理に関する項を参照してください。
5840022	『Oracle Access Manager統合ガイド』のWebLogicに関する章で、「ログ・ファイルのデバッグ」にWebLogic管理コンソールからログ・レベルを構成できるという記載があります。 この文は間違っており、現在は削除されています。
5673856	『Oracle Access Managerインストレーション・ガイド』の第20章で、UNIXプログラムの名前が間違って記載されています。 現在、プログラム名は、「UNIXシステムでは、uninstaller.binを使用します」と正しく記載されています。
5645064	『Oracle Access Managerインストレーション・ガイド』の第4章で、「Oracle Internet Directoryのチューニング」の構文は間違っています。 この問題は、今回のリリースで修正されており、「属性orclinmemfiltprocess:の後と、属性値の各連続行の始めに空白を含める必要があります」という注意が追加されました。
5250394	サブスクリプションを受け入れないグループの操作方法に関する情報が欠けていました。 『Oracle Access Manager IDおよび共通管理ガイド』のアイデンティティ・システム・アプリケーションの構成に関する章に、「サブスクリプションを受け入れるグループの構成」という項が追加されました。
4468243	管理コードに関して、obtypeおよびobnamespaceパラメータが記載されていませんでした。 現在、『Oracle Access Managerアクセス管理ガイド』には、管理コード認証プラグインにこれらのパラメータを含める必要があることが記載されています。 同様の注意は、『Oracle Access Manager開発者ガイド』の認証用プラグインの記述方法に関する項にも追加されています。

10 ドキュメントのアクセシビリティについて

オラクル社は、障害のあるお客様にもオラクル社の製品、サービスおよびサポート・ドキュメントを簡単にご利用いただけることを目標としています。オラクル社のドキュメントには、ユーザーが障害支援技術を使用して情報を利用できる機能が組み込まれています。HTML形式のドキュメントで用意されており、障害のあるお客様が簡単にアクセスできるようにマークアップされています。標準規格は改善されつつあります。オラクル社はドキュメントをすべてのお客様がご利用できるように、市場をリードする他の技術ベンダーと積極的に連携して技術的な問題に対応しています。オラクル社のアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイトhttp://www.oracle.com/accessibility/を参照してください。

ドキュメント内のサンプル・コードのアクセシビリティについて

スクリーン・リーダーは、ドキュメント内のサンプル・コードを正確に読めない場合があります。コード表記規則では閉じ括弧だけを行に記述する必要があります。しかしJAWSは括弧だけの行を読まない場合があります。

外部Webサイトのドキュメントのアクセシビリティについて

このドキュメントにはオラクル社およびその関連会社が所有または管理しないWebサイトへのリンクが含まれている場合があります。オラクル社およびその関連会社は、それらのWebサイトのアクセシビリティに関しての評価や言及は行っておりません。

Oracleサポート・サービスへのTTYアクセス

アメリカ国内では、Oracleサポート・サービスへ24時間年中無休でテキスト電話（TTY）アクセスが提供されています。TTYサポートについては、 (800)446-2398にお電話ください。

11 サポートおよびサービス

次の各項に、各サービスに接続するためのURLを記載します。

Oracleサポート・サービス

オラクル製品サポートの購入方法、およびOracleサポート・サービスへの連絡方法の詳細は、次のURLを参照してください。

http://www.oracle.co.jp/support/

製品マニュアル

製品のマニュアルは、次のURLにあります。

http://otn.oracle.co.jp/document/

研修およびトレーニング

研修に関する情報とスケジュールは、次のURLで入手できます。

http://www.oracle.co.jp/education/

その他の情報

オラクル製品やサービスに関するその他の情報については、次のURLから参照してください。

http://www.oracle.co.jp 
http://otn.oracle.co.jp 

注意: ドキュメント内に記載されているURLや参照ドキュメントには、Oracle Corporationが提供する英語の情報も含まれています。日本語版の情報については、前述のURLを参照してください。

---

Oracle Access Managerパッチ・セット・ノート, リリース10.1.4パッチ・セット1（10.1.4.2.0）

部品番号: E06107-01

原本名: Oracle Access Manager Patch Set Notes, Release 10.1.4 Patch Set 1 (10.1.4.2.0)

原本部品番号: E11067-01

Copyright © 2007, Oracle. All rights reserved.

制限付権利の説明

このプログラム（ソフトウェアおよびドキュメントを含む）には、オラクル社およびその関連会社に所有権のある情報が含まれています。このプログラムの使用または開示は、オラクル社およびその関連会社との契約に記された制約条件に従うものとします。著作権、特許権およびその他の知的財産権と工業所有権に関する法律により保護されています。

独立して作成された他のソフトウェアとの互換性を得るために必要な場合、もしくは法律によって規定される場合を除き、このプログラムのリバース・エンジニアリング、逆アセンブル、逆コンパイル等は禁止されています。

このドキュメントの情報は、予告なしに変更される場合があります。オラクル社およびその関連会社は、このドキュメントに誤りが無いことの保証は致し兼ねます。これらのプログラムのライセンス契約で許諾されている場合を除き、プログラムを形式、手段（電子的または機械的）、目的に関係なく、複製または転用することはできません。

このプログラムが米国政府機関、もしくは米国政府機関に代わってこのプログラムをライセンスまたは使用する者に提供される場合は、次の注意が適用されます。

U.S. GOVERNMENT RIGHTS

Programs, software, databases, and related documentation and technical data delivered to U.S. Government customers are "commercial computer software" or "commercial technical data" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the Programs, including documentation and technical data, shall be subject to the licensing restrictions set forth in the applicable Oracle license agreement, and, to the extent applicable, the additional rights set forth in FAR 52.227-19, Commercial Computer Software--Restricted Rights (June 1987). Oracle USA, Inc., 500 Oracle Parkway, Redwood City, CA 94065.

このプログラムは、核、航空産業、大量輸送、医療あるいはその他の危険が伴うアプリケーションへの用途を目的としておりません。このプログラムをかかる目的で使用する際、上述のアプリケーションを安全に使用するために、適切な安全装置、バックアップ、冗長性（redundancy）、その他の対策を講じることは使用者の責任となります。万一かかるプログラムの使用に起因して損害が発生いたしましても、オラクル社およびその関連会社は一切責任を負いかねます。

Oracle、JD Edwards、PeopleSoft、Siebelは米国Oracle Corporationおよびその子会社、関連会社の登録商標です。その他の名称は、他社の商標の可能性があります。

このプログラムは、第三者のWebサイトへリンクし、第三者のコンテンツ、製品、サービスへアクセスすることがあります。オラクル社およびその関連会社は第三者のWebサイトで提供されるコンテンツについては、一切の責任を負いかねます。当該コンテンツの利用は、お客様の責任になります。第三者の製品またはサービスを購入する場合は、第三者と直接の取引となります。オラクル社およびその関連会社は、第三者の製品およびサービスの品質、契約の履行（製品またはサービスの提供、保証義務を含む）に関しては責任を負いかねます。また、第三者との取引により損失や損害が発生いたしましても、オラクル社およびその関連会社は一切の責任を負いかねます。