ヘッダーをスキップ
Oracle Access Manager概要
10g(10.1.4.2.0)
E05804-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

Oracle Access Managerの新機能

この章では、Oracle Access Manager 10g(10.1.4.0.1)で導入された新機能の一覧と、製品マニュアルの追加情報への参照を提供します。また、10g(10.1.4.0.1)のインストールに、リリース10.1.4パッチ・セット1(10.1.4.2.0)を適用した場合(または停止時間ゼロのアップグレード方法を使用した場合)に使用できる拡張についても説明します。

次の項が含まれます。

製品およびコンポーネントの名前の変更

従来の製品名Oblix NetPoint(Oracle COREidとも呼ばれていました)はOracle Access Managerに変更されました。多くのコンポーネント名は変わっていません。ただし、次の表で示すように、知っておく必要のある重要な変更がいくつかあります。

項目 古い名前 新しい名前
製品名 Oblix NetPoint

Oracle COREid

Oracle Access Manager
製品名 Oblix SHAREid

NetPoint SAML Services

Oracle Identity Federation
製品名 OctetString Virtual Directory Engine(VDE) Oracle Virtual Directory
製品リリース Oracle COREid 7.0.4 Oracle Application Server 10gリリース2(10.1.2)の一部として利用可能。
ディレクトリ名 COREid Data Anywhere Data Anywhere
コンポーネント名 COREid Server アイデンティティ・サーバー
コンポーネント名 Access Manager ポリシー・マネージャ
コンソール名 COREidシステム・コンソール アイデンティティ・システム・コンソール
アイデンティティ・システム・トランスポート・セキュリティ・プロトコル NetPoint IDプロトコル Oracle IDプロトコル
アクセス・システム・トランスポート・プロトコル NetPointアクセス・プロトコル Oracle Accessプロトコル
管理者 NetPoint管理者

COREid管理者

マスター管理者
ディレクトリ・ツリー Oblixツリー 構成ツリー
データ Oblixデータ 構成データ
Software Developer Kit アクセス・サーバーSDK

ASDK

Access Manager SDK
API アクセス・サーバーAPI

Access API

Access Manager API
API Access管理API

Access Manager API

ポリシー・マネージャAPI
デフォルトのポリシー・ドメイン NetPoint Identityドメイン

COREid Identityドメイン

Identityドメイン
デフォルトのポリシー・ドメイン NetPoint Access Manager

COREid Access Manager

Accessドメイン
デフォルトの認証スキーム NetPoint None認証

COREid None認証

匿名
デフォルトの認証スキーム NetPoint Basic Over LDAP

COREid Basic Over LDAP

Oracle Access and Identity Basic Over LDAP
デフォルトの認証スキーム ADフォレスト用NetPoint Basic Over LDAP

ADフォレスト用COREid Basic Over LDAP

ADフォレスト用Oracle Access and Identity Basic Over LDAP
アクセス・システム・サービス AMサービス状態 ポリシー・マネージャAPIサポート・モード

製品またはドキュメントに含まれる古い参照はすべて、新しい名前を示しているものと解釈する必要があります。

ユーザー・インタフェースおよびユーザビリティの変更

グローバリゼーション

Access Manager API

Access Manager APIは、「製品およびコンポーネントの名前の変更」で説明しているように、以前はアクセス・サーバーAPIと呼ばれていました。次のように更新されました。

監査

Oracle DatabaseおよびMicrosoft SQL Serverに監査情報を送信できるようになりました。Crystal Reportsパッケージは、Oracle Access Managerパッケージと一緒には提供されなくなりました。ベンダーから入手する必要があります。


関連資料:

『Oracle Access Manager IDおよび共通管理ガイド』および「ロギング」

認証スキーム

10g(10.1.4.0.1)での動作

複数の検索ベースの構成

ワークフローの構成

フェデレーテッド認可

インストールの更新

統合の更新

『Oracle Access Manager統合ガイド』のすべての章で、特定の統合に関する実装の詳細が説明されています。

ロギング

オブジェクト・クラスと属性

このリリースでは、パスワード・ポリシーの拡張とロスト・パスワード管理をサポートするために、スキーマが変更されています。

oblixOrgPersonでのobVer属性の変更点

リリース10g(10.1.4.0.1)より前のリリースでは、obVer属性は情報提供の目的でのみ使用されていました。ただし、リリース10g(10.1.4.0.1)以降では、oblixOrgPersonクラスのobVer属性は、ロスト・パスワード管理で複数のチャレンジ・フレーズとレスポンス属性のエンコーディングをサポートするためにアイデンティティ・サーバーとアクセス・サーバーによって使用されています。


関連資料:

『Oracle Access Managerスキーマ詳細』および『Oracle Access Managerアップグレード・ガイド』。

複雑なスタイルシートのパラメータ

複雑なスタイルシートを使用している場合、globalparams.xmlのStringStackパラメータの値を増やす場合があります。


関連資料:

スタイルシートおよびパラメータ参照については『Oracle Access Managerカスタマイズ・ガイド』

パスワード・ポリシーとロスト・パスワード管理

ユーザーがパスワードで指定できる最小と最大の文字数を構成できます。ロスト・パスワード管理の場合、複数のチャレンジとレスポンスのペアを設定し、複数のスタイルシートを作成して、ユーザーのロスト・パスワード管理環境の他の側面を構成できます。また、パスワードをリセットした後で、本来要求されていたページにユーザーをリダイレクトして戻すこともできます。

Oracle Access Manager 10g(10.1.4.0.1)では、ユーザー・エントリのobVer属性値(OblixOrgPerson)を使用してチャレンジ・フレーズとレスポンス属性のエンコーディングを示して、複数のチャレンジ・フレーズとレスポンス属性をサポートしています。これは以前のリリースからOracle Access Manager 10g(10.1.4.0.1)にアップグレードするときに影響があります。


関連資料:

『Oracle Access Manager IDおよび共通管理ガイド』および『Oracle Access Managerアップグレード・ガイド』。

サンプル・コード


関連資料:

『Oracle Access Manager開発者ガイド』

ObSSOCookieが設定された後の認証アクションのトリガー

ObSSOCookieを設定した後で、認証アクションを実行することができます。

通常、認証アクションは、認証が処理された後で、ObSSOCookieが設定される前にトリガーされます。ただし、複雑な環境では、ユーザーがリソースを含むページにリダイレクトされる前に、ObSSOCookieが設定される場合があります。このような場合は、認証スキームがこれらのイベントをトリガーするように構成できます。


関連資料:

『Oracle Access Managerアクセス管理ガイド』

ディレクトリのチューニング

パフォーマンスを最適化するには、ディレクトリのパフォーマンスを最適にしてください。


関連資料:

『Oracle Access Managerデプロイメント・ガイド』

ワークフローのチューニング

ワークフローのパフォーマンスを最適化するためのベスト・プラクティスがあります。

サーバーのパフォーマンスに対するワークフローの影響を最小にするには、workflowdbparams.xmlの様々なパラメータをチューニングできます。様々なワークフロー検索パラメータをチューニングして、パフォーマンスを上げることもできます。


関連資料:

『Oracle Access Managerデプロイメント・ガイド』

ネットワークのチューニング

アップグレード・パス、要件、ヒント

WebGateの更新

リリース10.1.4パッチ・セット1(10.1.4.2.0)による拡張

Oracle Access Manager 10g(10.1.4.0.1)は、既存の10g(10.1.4.0.1)Oracleホームにある特定のソフトウェアおよび構成ファイルを更新します。これによって、ソフトウェアの信頼性とパフォーマンスが向上します。

また、Oracle Access Manager 10g(10.1.4.0.1)では、複数の主要な機能に対する追加の機能が提供されています。次の表に、10g(10.1.4.0.1)のインストールにパッチ・セットを適用した後に使用可能になる追加の機能の概要を示します。

機能の説明 詳細
デプロイの詳細およびバックアップとリカバリ方法の追加 Oracle Access Managerの様々なデプロイ方法および使用例を記載した新しい章が追加されました。詳細は、『Oracle Access Managerデプロイメント・ガイド』のデプロイの使用例に関する章を参照してください。

Oracle Access Managerのインストールに対する様々なバックアップとリカバリ方法の概要を示す新しい章が追加されました。詳細は、『Oracle Access Managerデプロイメント・ガイド』のバックアップとリカバリ方法に関する章を参照してください。

標準のインプレース・コンポーネント・アップグレードの代替手段としての停止時間ゼロのアップグレード方法の提供 Oracle Access Managerユーザーに対するサービスを停止せずに、アップグレードを実行できるようになりました。標準のインプレース・コンポーネント・アップグレードに代わる方法として停止時間ゼロのアップグレード方法が提供されました。

停止時間ゼロのアップグレードの実行方法の詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

LDAPバインド・パスワードの更新機能の追加 Oracle Access Managerコンポーネントと通信するディレクトリ・サーバーのLDAPバインド・パスワードは、定期的に更新が必要になる場合があります。たとえば、LDAPバインド・パスワードを更新して政府の規制に従う場合があります。

このリリースには、LDAPバインド・パスワードの更新機能が追加されています。

詳細は、『Oracle Access Managerデプロイメント・ガイド』を参照してください。

前のリリースでは、LDAPバインド・パスワードを更新した後に設定の再実行が必要でした。このリリースでは、設定を再実行する必要はありません。

クライアントへの代理偽装レベルの割当て WebGateによって保護されたコンピュータ上のリソースに対する偽装の構成に加えて、ネットワーク上の他のリソースにも偽装を拡張できます。これはクライアントへの代理偽装レベルの割当てと呼ばれています。

詳細は、『Oracle Access Manager統合ガイド』のWindowsの偽装に関する章を参照してください。

IdentityXMLの新しい構成パラメータ IdentityXMLを使用するとき、globalparams.xmlファイルのXSLProcessorパラメータがページの生成時に使用するプロセッサを指定します。正式にサポートされている値はdefaultのみです。この値が指定されていると、XDKプロセッサが使用されます。XALANまたはDGXTの値は、テスト用に使用できます。

詳細は、『Oracle Access Managerカスタマイズ・ガイド』の構成パラメータに関する付録を参照してください。

停止時間ゼロのアップグレードの実行時に自動的なユーザー・データの移行を停止する新しいパラメータ globalparams.xmlファイルの新しいパラメータMigrateUserDataTo1014は、停止時間ゼロのアップグレードの実行時にアイデンティティ・サーバーとアクセス・サーバーによって使用されます。MigrateUserDataTo1014の値は、アップグレード後のユーザーの初回のログイン時の自動的なユーザー・データの移行を停止します。ロスト・パスワード管理の複数のチャレンジとレスポンス属性のみが影響を受けます。

停止時間ゼロのアップグレードの詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

xslファイルの拡張 一部のxslファイルが拡張され、JavaScript関連の修正および大規模グループ関連の多数の修正がサポートされるようになりました。10.1.4.2.0パッチ・セットをインストールすると、これらのxslファイルを使用できます。

詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

様々なタイプの外部コンポーネントへのコールの所要時間のログ ログを生成して、異なるタイプの外部コンポーネントへのコールにかかった時間の詳細を表示できるようになりました。この情報を使用すると、特定のコンポーネントに対するリクエストが予定された時間より長くかかるかどうかを適切に判断できます。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

グループ・パフォーマンスの改善 グループのメンバーが10,000を超えるような大規模な静的グループでは、グループに関連する操作を実行すると、メモリーのスパイクが生じる可能性があります。

このリリースでは、グループのパフォーマンスが改善されています。ただし、大規模な静的グループがパフォーマンスに影響する場合は、globalparams.xmlのLargeStaticGroupsパラメータを使用して、グループに対するデフォルトの評価方法を変更できます。

これ以外にも、大規模グループのパフォーマンスを改善できる多数の対策があります。

詳細は、『Oracle Access Managerデプロイメント・ガイド』のパフォーマンスのチューニングに関する章を参照してください。

データベースへの監査を行う場合、アイデンティティ・サーバーとアクセス・サーバーにOracleインスタント・クライアントのバイナリが同梱されている これによって、ホスト・コンピュータの10.1.0.5 ORACLE_HOMEの要件がなくなります。
NLSライブラリおよびデータ・ファイル 環境変数がORACLE_HOMEまたはORA_NLS10に設定されている場合、またはOracle Access Managerが使用するNLSライブラリおよびデータ・ファイルとは異なるバージョンのものがサード・パーティWebコンポーネントで参照されている場合でも、Oracle Access Managerコンポーネントはoracle_access_manager_component_install_dirからNLSデータ・ファイルを選択します。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
応答しないサーバーに対するWebGateの再試行の回数の制限 WebGateからアクセス・サーバーへのタイムアウトしきい値は、WebGateがアクセス・サーバーを使用不可とみなして新しい接続でリクエストを試行するまでに、WebGateがアクセス・サーバーの応答を待機する時間(秒数)を指定します。ただし、アクセス・サーバーのリクエストの処理時間がタイムアウトしきい値を超過した場合、WebGateはリクエストを破棄し、新しい接続でリクエストを再試行します。接続プールの設定によっては、接続プールから返される新しい接続は、同じアクセス・サーバーへの接続である可能性があります。また、他のアクセス・サーバーでも、リクエストの処理時間がしきい値を超過する可能性があります。この場合、アクセス・サーバーが停止するまで、WebGateは再試行を続行できます。

client_request_retry_attemptsパラメータを使用して、応答しないサーバーに対するWebGateの再試行の回数を制限できるようになりました。これはアクセス・システムにユーザーが定義するパラメータです。このパラメータのデフォルト値は-1です。パラメータ値を-1に設定すると(またはパラメータを設定しない)、再試行の回数は制限されません。

詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。

優先HTTPホスト Oracle Access Manager 10.1.4.0.1で、「優先HTTPホスト」フィールドは必須になりました。これにより、仮想ホストをサポートする環境で問題が生じました。

このリリースでは、仮想ホストをサポートするには、「優先HTTPホスト」の値をHOST_HTTP_HEADER(ほとんどのWebホストの場合)またはSERVER_NAME(Apacheのみ)に設定します。IISに対する追加の構成が必要です。

詳細は、『Oracle Access Managerアクセス管理ガイド』のアクセス・サーバーおよびアクセス・ゲートの構成に関する章を参照してください。

新しい診断ツール アクセス・サーバーとアイデンティティ・サーバーの新しい診断ツールを使用すると、Oracleテクニカル・サポートに問い合せて問題のトラブルシューティングを行うのに役立ちます。

診断ツールを使用すると、次のことができるようになります。

  • 見つけることが困難なコンポーネントの構成や動作に関する情報の取得。

  • コア・ダンプの直前のイベントを自動的に取得。

  • アイデンティティ・システムまたはアクセス・システムの任意のイベントのスタック・トレースを手動で取得。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

ログ・ファイルの拡張 オペレーティング・システムのエラー情報がログに含まれるようになりました。たとえば、リスナー・スレッドの作成に失敗すると、GetLastError()で返されるエラー・コードがログ・ファイルに追加されます。
10g(10.1.4.0.1)へのアップグレード時のSolarisプラットフォームからLinuxプラットフォームへの切替え 『Oracle Access Managerアップグレード・ガイド』に、SolarisプラットフォームからLinuxプラットフォームへの切替え時に、10g(10.1.4.0.1)へのアップグレードを実行する方法が記載された新しい章が追加されました。
webpass.xmlファイルのポーリング追跡リフレッシュ・パラメータが構成可能 複数のアイデンティティ・サーバーの設定またはWebPassの変更を行う場合、webpass.xmlファイルのPollTrackingRefreshIntervalを構成できます。この間隔は、秒単位で構成する必要があります。複数のアイデンティティ・サーバーの設定またはWebPassインスタンスの変更を行うと、様々な影響をもたらします。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

パスワード変更後のユーザーの自動ログインが可能 自動ログインを構成するには、パスワード変更のリダイレクトURLにSTLogin=%applySTLogin%をパラメータとして指定する必要があります。

次に、ユーザーをログインさせるパスワード変更のリダイレクトURLの例を示します。

/http://machinename:portnumber/identity/oblix/apps/lost_password_mgmt/bin/lost_password_mgmt.cgi?
 program=redirectforchangepwd&login=%login%%userid%&backURL=%
 HostTarget%%RESOURCE%&STLogin=%applySTLogin%&target=top

これをフォーム・ベースの認証スキームで実装するには、最初のトークンにユーザー名の資格証明パラメータ、2番目のトークンにパスワードの資格証明パラメータ、次にその他の資格証明パラメータを指定して、チャレンジ・パラメータcredsを構成する必要があります。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

ログ・ファイルへのスタック・トレースの書込み Oracle Access Managerでコア・ダンプが生成された場合にログ・ファイルへのスタック・トレースの書込みが可能になりました。この機能を使用するには、最小限の任意のレベルでロギングを有効にします。

スタック・トレース情報が記述されたログ・ファイルを添付してオラクル社に問題の報告を送信できます。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』のトラブルシューティングに関する付録を参照してください。

ディレクトリ・サーバーのフェイルオーバーのための新しいパラメータ globalparams.xmlの新しいパラメータLDAPOperationTimeoutは、アイデンティティ・サーバー、アクセス・サーバーまたはポリシー・マネージャが単一の検索結果エントリに対するディレクトリ・サーバーからのレスポンスを待機する時間を設定します。設定した時間が経過すると、コンポーネントがセカンダリ・サーバーにフェイルオーバーします(セカンダリ・サーバーが構成されている場合)。

globalparams.xmlのheartbeat_ldap_connection_timeout_in_millisパラメータによって、ディレクトリ・サーバーとの接続確立の時間制限が決まります。制限時間が経過すると、アイデンティティ・サーバーおよびアクセス・サーバーは別のディレクトリ・サーバーとの接続の確立を開始します。このパラメータを使用すると、ディレクトリ・サーバーの停止を事前に確認できるため、ディレクトリ・サービス・リクエストの受信とその後のTCPタイムアウトを必要とせずにフェイルオーバーを実行できます。

詳細は、『Oracle Access Managerデプロイメント・ガイド』のフェイルオーバーに関する章および『Oracle Access Managerカスタマイズ・ガイド』のパラメータ・ファイルに関する付録を参照してください。

構成ファイルのLDAPバインド・パスワードのリセット Oracle Access Managerコンポーネントと通信するディレクトリ・サーバーのLDAPバインド・パスワードは、定期的に更新が必要になる場合があります。ModifyLDAPBindPasswordコマンドを使用すると、Oracle Access Manager構成ファイルのLDAPバインド・パスワードをリセットできます。サーバーの再起動や設定の再実行をせずに、LDAPバインド・パスワードをリセットできます。

詳細は、『Oracle Access Managerデプロイメント・ガイド』のシステムの再構成に関する章を参照してください。

特定の操作のディレクトリ・サーバー検索が最小限に抑制 以前のリリースでは、ポリシー・マネージャの多数のポリシー・ドメインおよびURL接頭辞の作成に時間がかかる場合がありました。このリリースでは、これらの操作のためのディレクトリ・サーバーの検索が最小限に抑えられ、その結果、操作のパフォーマンスが向上しました。
クライアントへの代理偽装レベルの割当て WebGateによって保護されたコンピュータ上のリソースに対する偽装の構成に加えて、ネットワーク上の他のリソースにも偽装を拡張できます。これはクライアントへの代理偽装レベルの割当てと呼ばれています。

偽装に関する情報は、『Oracle Access Managerアクセス管理ガイド』から『Oracle Access Manager統合ガイド』に移動しました。

詳細は、『Oracle Access Manager統合ガイド』の偽装の構成に関する章を参照してください。

統合サポートの拡張 リリース10.1.4パッチ・セット1(10.1.4.2.0):

SharePoint Office Server 2007との統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のSharePointとの統合に関する章を参照してください。

SAP NetWeaverとの統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のSAPとの統合に関する章を参照してください。

マルチドメインActive Directory環境のSiebelとの統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のSiebelとの統合に関する章を参照してください。

Weblogic 9.2との統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のWebLogicとの統合に関する章を参照してください。

WebSphere 6.1との統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のWebSphereとの統合に関する章を参照してください。