ヘッダーをスキップ
Oracle Access Manager概要
10g(10.1.4.2.0)
E05804-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

5 10g(10.1.4.0.1)の動作の概要

この章では、Oracle Access Manager 10g(10.1.4.0.1)の動作の概要について説明し、以前の動作と異なる場合は以前の動作についても言及します。


注意:

10g(10.1.4.0.1)とは、10g(10.1.4.0.1)のベース・インストールに加え、10.1.4.2.0パッチ・セットを含むインストールなど、Oracle Access Managerの10.1.4シリーズのすべてのリリースを指します。詳細および最新のパッチ・セットで使用可能な拡張の概要は、『Oracle Access Manager List of Bugs Fixed Release 10.1.4 Patchset 1 (10.1.4.2.0)』を参照してください。

次のトピックが含まれます。

5.1 Oracle Access Manager Configuration Manager

この新しいアプリケーションは、デプロイ内の指定されたソース・ディレクトリから、Oracle Access Managerの構成データおよびアクセス・ポリシー・データを、別のデプロイ内の指定されたターゲット・ディレクトリに移行(コピーをプッシュ)するプロセスを自動化します。たとえば、テストのために少数ユーザー向けにOracle Access Manager 10g(10.1.4.0.1)をインストールおよび構成した後、ほとんどの場合、より多くのユーザーが使用できる大規模なデプロイへの移行が必要になります。このプロセスのことを水平なデータの移行と呼ぶことがあります。

成功のためには、『Oracle Access Manager Configuration Managerインストレーションおよび管理ガイド』に記載された考慮事項、前提条件およびステップごとの説明を参照してください。

5.2 プラットフォームのサポート

リリース7.0.4(Oracle Application Server 10gリリース2(10.1.2)の一部としても使用可能)とリリース10g(10.1.4.0.1)では、プラットフォームのサポートに重大な変更はありません。ただし、7.0.4より前のリリースと10g(10.1.4.0.1)とでは、サポートが大きく異なります。

最新のサポート情報は、次のリンク先の「Certify」タブで確認できます。

     https://metalink.oracle.com

Metalinkの使用方法

  1. https://metalink.oracle.comのMetaLinkにアクセスします。

  2. 指示に従ってMetaLinkにログインします。

  3. 「Certify」タブをクリックします。

  4. 「View Certifications by Product」をクリックします。

  5. 「Application Server」オプションを選択し、「Submit」をクリックします。

  6. 「Oracle Identity Manager」を選択し、「Submit」をクリックします。

  7. 「Oracle Identity Management Certification Information 10g(10.1.4.0.1)」(html)をクリックすると、「Oracle Identity Management」ページが表示されます。

  8. 「Section 6, "Oracle Access Manager Certification"」のリンクをクリックすると、動作保証マトリックスが表示されます。

サポートされていないコンポーネントおよびサード・パーティ製品の簡潔な表は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

5.3 最新のパッチ・セットの入手

パッチ・セットは、完全にテストおよび統合された製品修正を提供するメカニズムです。パッチ・セットに、新機能が含まれる場合もあります。各パッチ・セットは累積的であり、そのリリースに対する以前のパッチ・セットで提供されたすべての修正およびPSEのホットフィックス(存在する場合)を含みます。

Oracle Access Manager 10g(10.1.4.0.1)をホスト・コンピュータにインストールした後、またはOracle Access Manager 10g(10.1.4.0.1)へのアップグレードを実行した後、最新のパッチ・セットを適用することをお薦めします。


注意:

リリース10.1.4パッチ・セット1(10.1.4.2.0)は、停止時間ゼロのアップグレード方法を使用する場合に必要な最新のツールを提供します。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

次の手順に、リリース10.1.4パッチ・セット1(10.1.4.2.0)の入手方法を説明します。さらに新しいパッチ・セットが入手可能な場合もあります。常に最新のパッチ・セットの適用をお薦めします。

リリース10.1.4パッチ・セット1(10.1.4.2.0)を取得する手順

  1. 次の手順に従って、Oracle MetaLink Webサイトにアクセスし、リリース10.1.4パッチ・セット1(10.1.4.2.0)を取得してください。

    1. https://metalink.oracle.comのMetaLinkにアクセスします。

    2. 指示に従ってMetaLinkにログインします。

    3. 「Patches & Updates」タブをクリックします。

    4. 「Quick Links to the Latest Patchsets, Mini Packs, and Maintenance Packs」をクリックします。

    5. 「Latest Oracle Server/Tools Patchsets」ラベルの下の「Oracle Oblix COREid」をダブルクリックします。

    6. ページの下部にある表で、10g(10.1.4.0.1)の最新のパッチ・セットを探して選択します。たとえば、「5957301」を選択してリリース10.1.4パッチ・セット1(10.1.4.2.0)を取得します。

    7. 「Platform or Language」の一覧から、使用するデプロイに合った適切なプラットフォームを選択し、「Download」をクリックします。

  2. 『Oracle Access Manager Patchset Notes Release 10.1.4 Patchset 1 (10.1.4.2.0) For All Supported Operating Systems』の手順に従って、リリース10.1.4パッチ・セット1(10.1.4.2.0)を10g(10.1.4.0.1)の各コンポーネント・インスタンスに適用します。

    • アイデンティティ・サーバーのインスタンス

    • WebPassのインスタンス

    • ポリシー・マネージャのインスタンス

    • アクセス・サーバーのインスタンス

    • WebGateのインスタンス

  3. このパッチ・セットで使用可能な拡張およびこのリリースのパッチ・セットで修正された不具合の詳細は、『Oracle Access Manager List of Bugs Fixed Release 10.1.4 Patchset 1 (10.1.4.2.0)』を参照してください。

5.4 一般的な動作の概要

製品のグローバリゼーションをサポートするため、以前の製品の動作の多くが変更されました。さらに、新しい機能が追加され、製品の使いやすさとパフォーマンスの向上のための変更が行われました。

以前のインストールをOracle Access Manager 10g(10.1.4.0.1)にアップグレードした場合、アップグレードの間に下位互換性が有効になるものと、手動処理が必要なものがあります。アップグレードの詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。このガイドには、サポートされなくなったコンポーネントおよびサード・パーティ製品の詳細が記載されています。

常に最新の情報をご利用いただけるよう、サポートの詳細はマニュアルには記載されていません。プラットフォームとサポートに関する最新の情報については、https://metalink.oracle.comの「Certify」タブを参照してください。詳細は、「プラットフォームのサポート」を参照してください。

表5-1で説明するOracle Access Manager 10g(10.1.4.0.1)の動作の概要は、アイデンティティ・システムを単独でインストールしたのか、またはアクセス・システムを含めてインストールしたのかには関係ありません。

表5-1 Oracle Access Managerの一般的な動作の概要

機能 動作

複数の言語の取得と使用

以前の製品リリースでは、エンド・ユーザーおよび管理者に対するメッセージは、英語のみで提供されていました。リリース6.5以降、特定のLatin-1言語(フランス語とドイツ語)に対する言語パックを通して、翻訳可能なメッセージのサポートが提供されるようになりました。Oracle Access Manager 10g(10.1.4.0.1)では、第4章「グローバリゼーションとマルチバイト・サポートについて」で説明されているように、約10種類の管理者言語と20種類以上のエンド・ユーザー言語がサポートされています。言語パックを使用しないで製品インストールすると、英語のみが使用できるようになります。

管理情報は、表4-1で示されている管理者言語でのみ表示できます。Oracleが提供する言語パックとともにコンポーネントをインストールすると、管理タスクに対するデフォルトとして使用する言語(ロケール)を選択できます。管理ページが他の言語で要求された場合は(ブラウザの設定に基づいて)、製品のインストール時にデフォルトとして選択されている言語がページを表示するために使用されます。インストールの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

Oracle Access ManagerとともにOracle提供の言語パックをインストールした後は、使用するすべての言語を有効にし、『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、属性、タブ、およびパネルに対する表示名を入力して、インストールされている言語を使用するようにOracle Access Managerを構成する必要があります。

Oracle Access Managerスタイルシートでのメッセージは言語に依存します。リリース6.5以降、メッセージはスタイルシートから外に出されて、msgctlg.xsl(およびJavaScriptファイルの場合はmsgctlg.js)で変数として別に定義されるようになっています。さらに、各スタイルシートに対しては対応する言語固有のシン・ラッパーがIdentityServer_install_dir\identity\oblix\lang\langTag\style0に格納されていて、スタイルシート・テンプレートの主要な機能からスタイルシートの言語固有のメッセージを分離します。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

監査およびアクセス・レポート

使用可能なすべての言語をサポートするため、oblix_audit_events、oblix_rpt_as_reports、oblix_rpt_as_resourcesおよびoblix_rpt_as_usersの各表の定義が変更されました。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

Crystal Reportsパッケージは、Oracle Access Managerパッケージと一緒には提供されなくなりました。ベンダーから入手する必要があります。

Oracle DatabaseおよびMicrosoft SQL Serverに監査情報を送信できるようになりました。MySQLに対するサポートは、このリリースでは廃止されています。

アイデンティティ・システム・コンソールで監査ポリシーを構成するときは、すべての監査レコードに対してプロファイル属性のリストを指定できます。プロファイル属性(フルネーム、従業員番号、部門番号など)は、監査対象のアクションやイベント(プロファイルの検索や表示、プロファイルの変更など)を実行しているユーザーに固有です。プロファイル属性は、アクションやイベントを実行しているユーザーを識別しやすくするためのものです。

警告: チャレンジ・フレーズまたはレスポンス属性が公開されないよう、これらを監査に対するプロファイル属性として選択しないことをお薦めします。チャレンジ・フレーズまたはレスポンスをプロファイル属性として追加すると、エンコードされた固有の形式で監査されます。

『Oracle Access Managerアップグレード・ガイド』で解説されているように、10g(10.1.4.0.1)にアップグレードした環境で監査を行う場合は、元のデータベースとデータを残しておき、10g(10.1.4.0.1)で使用するための新しいデータベース・インスタンスを作成し、新しい表を生成して、監査を開始する前に以前のデータをインポートする必要があります(最後の項目は、古いデータと新しいデータの両方を使用して問合せおよびレポートの生成を行う場合にのみ必要です)。

リリース10.1.4パッチ・セット1(10.1.4.2.0): Oracleインスタント・クライアントのバイナリは、アイデンティティ・サーバーおよびアクセス・サーバーに同梱されています。これにより、データベースへの監査を行う場合にホスト・コンピュータの10.1.0.5 ORACLE_HOMEの要件がなくなります。

自動ログインおよびパスワードのリダイレクトURL

リリース10.1.4パッチ・セット1(10.1.4.2.0)の拡張を使用すると、パスワード変更後のユーザーの自動ログインが可能になります。自動ログインを構成するには、パスワード変更のリダイレクトURLにSTLogin=%applySTLogin%をパラメータとして指定する必要があります。次に、ユーザーをログインさせるパスワード変更のリダイレクトURLの例を示します。

/http://computername:portnumber/identity/oblix/apps/lost_password_mgmt/bin/lost_password_mgmt.cgi?
 program=redirectforchangepwd&login=%login%%userid%&backURL=%
 HostTarget%%RESOURCE%&STLogin=%applySTLogin%&target=top

これをフォーム・ベースの認証スキームで実装するには、最初のトークンにユーザー名の資格証明パラメータ、2番目のトークンにパスワードの資格証明パラメータ、次にその他の資格証明パラメータを指定して、チャレンジ・パラメータcredsを構成する必要があります。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

ADAMに対する自動スキーマ更新のサポート

ldifde.exeツールのライセンスの問題のため削除されました。『Oracle Access Managerインストレーション・ガイド』で解説されているように、ADAMの場合は、スキーマを手動で更新する必要があります。

C++プログラム

7.0より前のリリースからアップグレードするときは、Software Developer KitおよびAPIを利用して作成したC++プログラムを、アップグレードの後で再コンパイルしなければならない場合があります。アイデンティティ・システム・イベント・プラグイン、Access Manager SDK、Access Manager API、カスタム・アクセス・ゲート、カスタム認証および認可プラグイン、およびインタフェースに対する影響の概要については、この章の他のトピックを参照してください。『Oracle Access Manager開発者ガイド』も参照してください。

キャッシュのフラッシュ

10g(10.1.4.0.1)アイデンティティ・サーバーは以前のアクセス・サーバーのキャッシュをフラッシュすることができず、アップグレードした環境に影響があります。この問題を解決するには、アクセス・サーバーを10g(10.1.4.0.1)にアップグレードする必要があります。新しいアクセス・サーバーをインストールする場合は、下位互換性があることを確認してください。表5-3のアクセス・サーバーに関する情報を参照してください。

証明書ストアおよびローカライズされた証明書

電子メールと国(x509標準に基づく)を除くすべてのフィールドに非ASCIIテキストを含むローカライズされた証明書を、要求して追加することができます。

リリース7.0以降、10g(10.1.4.0.1)でもやはり、デフォルトの証明書ストアの形式と名前はcert8.dbに変わっています。

10g(10.1.4.0.1)にアップグレードするときは、古い証明書ストアが使用されます。10g(10.1.4.0.1)は、cert7.db(アップグレードされた環境)とcert8.db(新規インストール)の両方の証明書ストアで動作します。configureAAAServer、setup_ois、またはsetup_accessmanagerのユーティリティを使用して証明書を追加、変更、または削除すると常に、新しい証明書ストアの生成が透過的に行われます。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

プラグインのコンパイラ

リリース7.0以降、それより前のコンパイラ・リリースで発生していたマルチスレッドの問題に対処するため、SolarisおよびLinuxでのコンポーネントはGCC v3.3.2 C++コンパイラを使用してコンパイルされます。

10g(10.1.4.0.1)にアップグレードした後は、リリース5.xまたは6.xのカスタム・プラグインを、ベンダーから入手できるGCC v3.3.2 C++コンパイラを使用して再コンパイルする必要があります。これには、IDイベント・プラグインと、カスタム認証および認可プラグインも含まれます。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

構成ファイル

以前のリリースのOracle Access Managerは、一部の情報(ディレクトリ接続情報やWebGateパラメータなど、これ以外にもあります)を、XMLおよびLSTの構成ファイルのみで管理していました。リリース10g(10.1.4.0.1)では、アイデンティティ・システム・コンソールおよびアクセス・システム・コンソールからこの情報を管理できます。「ディレクトリ・サーバーの接続の詳細」(この表)および「WebGate」(表5-3「アクセス・システムの動作の概要」)も参照してください。

接続プールの詳細

リリース7.0以降、接続プールはシステム全体でのフェイルオーバーのサポートに統合されました。ディレクトリ接続プールは、ディレクトリのタイプに依存しません。アップグレードのときに若干の影響があります(構成されている各ディレクトリ・サーバーに対する以前のインストールの構成に応じて)。この表のディレクトリ・サーバーのフェイルオーバーに関するトピックを参照してください。詳細は、『Oracle Access Managerアップグレード・ガイド』および『Oracle Access Managerデプロイメント・ガイド』も参照してください。

コンソール・ベースのコマンドライン・インタフェース

Oracle Access Managerのコマンドライン・ツールは、サーバーのロケールを自動的に検出して処理に使用するよう変更されました。サーバーのロケールを無効にするには、COREID_NLS_LANGまたはNLS_LANGの環境変数を設定して自動検出をオフに切り替え、サーバーのロケールより優先させることができます。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。NLS_LANGはLANGより優先され、COREID_NLS_LANGはNLS_LANGより優先されます。

リリース10.1.4パッチ・セット1(10.1.4.2.0): 環境変数がORACLE_HOMEまたはORA_NLS10に設定されている場合でも、またはOracle Access Managerが使用するNLSライブラリおよびデータ・ファイルとは異なるバージョンのものがサード・パーティWebコンポーネントで参照されている場合でも、Oracle Access Managerコンポーネントはoracle_access_manager_component_install_dirからNLSデータ・ファイルを選択します。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

カスタマイズされたスタイル

製品の機能は、部分的に、最新の\style0ディレクトリおよび\sharedディレクトリにあるスタイルシート・ファイルに依存します。Oracle Access Managerリリース6.5以降、複数の言語をサポートするため、JavaScript、スタイルシート、およびイメージの場所が変更されました。リリース6.5で導入されたディレクトリ構造が、10g(10.1.4.0.1)でも引き続き使用されています。スタイルシートとカスタマイズに関する一般的な情報については、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

カスタマイズされた.XSLスタイル・ファイル、イメージ、およびJavaScriptファイルは、アップグレードの際には移行されません。以前のOracle Access Managerの\style0ディレクトリにあったファイルをカスタマイズした場合は、アップグレードの後で、\style0および\sharedディレクトリにある新しいバージョンのファイルを手動で変更する必要があります。詳細は、『Oracle Access Managerアップグレード・ガイド』のカスタム・アイテムの組込みに関する説明を参照してください。

データベースの入力と出力

Oracle Access Manager 10g(10.1.4.0.1)は、Unicodeキャラクタ・セットをサポートしています。新しいインストールでは、データベースに対してUnicodeキャラクタ・セットを選択することをお薦めします。詳細は、第4章「グローバリゼーションとマルチバイト・サポートについて」を参照してください。

Oracle Access Managerの以前のリリースでは、Latin-1キャラクタ・セットが使用されていました。そのため、監査およびレポートに関する表の列は、varchar型で十分でした。10g(10.1.4.0.1)は、国際化されたキャラクタ・セットをサポートしています。その結果、監査レコードには、Latin-1以外の文字(中国語、日本語、アラビア語など)のデータが含まれる可能性があります。詳細は、この表の監査およびアクセス・レポートに関する詳細を参照してください。

日付と時刻の形式

10g(10.1.4.0.1)のアイデンティティ・システムでは、日付の形式は最新のリリースと同じであり、国際化されていません(たとえば、「診断」ページや「チケット情報」ページなど)。ただし、アイデンティティ・システムのメッセージ・カタログから取得される月の名前は、ブラウザで指定されているロケールで表示されます。『Oracle Access Manager IDおよび共通管理ガイド』で説明されているように、以前のリリースと同様に、日付の順序の形式(MM/DD/YYYYとDD/MM/YYYYなど)は、アイデンティティ・システム・コンソールでオブジェクト・クラス属性を変更することで構成できます。「チケット情報」ページの日付は、globalparams.xmlファイルのobDateTypeパラメータで指定されている形式で表示されます。週日の名前は、アイデンティティ・システム内のどこにも出現しません。

アクセス・システムでは、月の名前、日付順序の形式(MM/DD/YYYYかDD/MM/YYYYか)、および週日の名前は、ブラウザに対して指定されているロケールに従って表示されます。アクセス・システムでは、月および週日の名前はメッセージ・カタログ・ファイルからは取得されません。

デフォルトの製品ページ

以前のリリースと同じように、アドレス/identity/oblix/index.htmlおよび/access/oblix/index.htmlにはただ1つの静的なHTMLページが存在できます。これらの静的な製品ページでは、その場所でのアイデンティティ・サーバーおよびポリシー・マネージャのインストールの際に選択されたデフォルトの管理者用言語が常に使用されます。リリース6.5以降、製品は複数のLatin-1言語(フランス語、ドイツ語)をサポートしています。製品ページのデフォルトの動作は、以前のリリースと同じままです。後で説明するHTMLページに関する情報も参照してください。

クロスサイト・スクリプティングおよびSQLインジェクションの検出

リリース10.1.4パッチ・セット1(10.1.4.2.0)により、クロス・サイト・スクリプティングおよびSQLインジェクションの検出および処理が拡張されます。これらの拡張は、Oracle Access Managerのユーザー・アプリケーションおよび管理コンソールを悪質なデータ入力から保護します。

アイデンティティ・サーバーおよびアクセス・サーバーの診断ツール

リリース10.1.4パッチ・セット1(10.1.4.2.0)には、Identityおよびアクセス・サーバーの新しい診断ツールが含まれています。これらのツールを使用すると、Oracleテクニカル・サポートに問い合せて問題のトラブルシューティングを行うのに役立ちます。

診断ツールを使用すると、次のことができるようになります。

  • 見つけることが困難なコンポーネントの構成や動作に関する情報の取得。

  • コア・ダンプの直前のイベントを自動的に取得。

  • アイデンティティ・システムまたはアクセス・システムの任意のイベントのスタック・トレースを手動で取得。

    たとえば、Oracle Access Managerでコア・ダンプが生成された場合、ログ・ファイルへのスタック・トレースの書込みが可能になりました。この機能を使用するには、最小限の任意のレベルでロギングを有効にします。スタック・トレース情報が記述されたログ・ファイルを添付してオラクル社に問題の報告を送信できます。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

ディレクトリ・プロファイルとデータベース・インスタンス・プロファイル

以前のリリースでは、アイデンティティ・システムにディレクトリ・プロファイルとデータベース・インスタンス・プロファイルが含まれていました。ディレクトリ・プロファイル(ディレクトリ・サーバー・プロファイルとも呼ばれます)には、同じネームスペースを共有する1つ以上のディレクトリ・サーバーに対する接続情報、および読取り、書込み、検索などに対する動作要件が含まれています。接続情報には、名前、適用されるドメインまたはネームスペース、ディレクトリ・タイプ、および動作のセットが含まれています。

リリース6.5以降、アクセス・システムは、ユーザー・データへのアクセスに対して、ディレクトリ・プロファイルとデータベース・インスタンス・プロファイルの使用を部分的に開始しました。また、これらのディレクトリ・プロファイルは、アクセス・システムの以前のリリースで使用されていたUserDB.lst、GroupDB.lst、UserDBFailover.lst、GroupDBFailover.lstの各構成ファイルのかわりに使用されます。

10g(10.1.4.0.1)では、アイデンティティ・サーバー、ポリシー・マネージャ、またはアクセス・サーバーをインストールして新しいディレクトリ・サーバー接続情報を指定するたびに、ディレクトリ・プロファイルが自動的に作成されます。インストールの後で、ロード・バランシングとフェイルオーバーのために追加のディレクトリ・サーバー・プロファイルを作成できます。

以前のポリシー・マネージャまたはアクセス・サーバーをアップグレードする場合、リリース6.5への増分アップグレードの際にメッセージが表示されます。「DBプロファイルが作成されました」というメッセージは、作成されたディレクトリ・サーバー・プロファイルを示しています。前で説明した接続プールに関する情報も参照してください。

ディレクトリ・サーバーの接続の詳細とXMLファイル

以前のリリースでは、ディレクトリ接続情報はXML構成ファイルのみで管理されていました。最近のリリースでは、アイデンティティ・システム・コンソールおよびアクセス・システム・コンソールの「ディレクトリ・プロファイル」ページを使用するインタフェースを通して、この情報を管理できます。ただし、一部の構成とポリシー・データは、まだXMLファイルで管理されています。

ディレクトリ・サーバーのフェイルオーバー

以前の実装に、Oracle Access Managerサーバーとディレクトリ・サーバーの間のフェイルオーバーが含まれている場合があります。

データをアップグレードした後では、アクセス・サーバーは、リリース6.1.0と6.5の間のアップグレードの際に自動的に作成されるディレクトリ・プロファイルを使用して、複数のディレクトリ・サーバーを処理します。アップグレードを行った後、『Oracle Access Managerデプロイメント・ガイド』で説明されているように、以前のリリースのフェイルオーバー構成が意図したとおりに動作することを確認することをお薦めします。

この表ですでに説明した接続プールの詳細に関する情報、および.xmlファイルに変換されるメッセージとパラメータの.lstファイルに関する情報も参照してください。

リリース10.1.4パッチ・セット1(10.1.4.2.0)による拡張は、globalparams.xmlに新しいパラメータLDAPOperationTimeoutを提供します。このパラメータは、アイデンティティ・サーバー、アクセス・サーバーまたはポリシー・マネージャが単一の検索結果エントリに対するディレクトリ・サーバーからのレスポンスを待機する時間を設定します。設定した時間が経過すると、コンポーネントがセカンダリ・サーバーにフェイルオーバーします(セカンダリ・サーバーが構成されている場合)。

globalparams.xmlのheartbeat_ldap_connection_timeout_in_millisパラメータによって、ディレクトリ・サーバーとの接続確立の時間制限が決まります。制限時間が経過すると、アイデンティティ・サーバーおよびアクセス・サーバーは別のディレクトリ・サーバーとの接続の確立を開始します。このパラメータを使用すると、ディレクトリ・サーバーの停止を事前に確認できるため、ディレクトリ・サービス・リクエストの受信とその後のTCPタイムアウトを必要とせずにフェイルオーバーを実行できます。

詳細は、『Oracle Access Managerデプロイメント・ガイド』のフェイルオーバーに関する章および『Oracle Access Managerカスタマイズ・ガイド』のパラメータ・ファイルに関する付録を参照してください。

ディレクトリ・サーバーの検索

以前のリリースでは、ポリシー・マネージャの多数のポリシー・ドメインおよびURL接頭辞の作成に時間がかかる場合がありました。リリース10.1.4パッチ・セット1(10.1.4.2.0)により、これらの操作のためのディレクトリ・サーバーの検索が最小限に抑えられ、その結果、操作のパフォーマンスが向上しました。

ディレクトリ・サーバーのインタフェース

10g(10.1.4.0.1)のディレクトリ・サーバー・インタフェースは、UTF-8エンコーディングを使用してデータの読取り、処理、および格納を行います。

ディレクトリ構造

10g(10.1.4.0.1)のコンポーネントをインストールするときは、最上位レベルのディレクトリの名前を自由に設定できます。インストールされる各コンポーネントについて、Oracle Access Managerは、ユーザーが割り当てたディレクトリ名に識別子を付加します。次に例を示します。

IdentityServer_install_dir\identity

AccessServer_install_dir\access

いずれの場合も、Oracle National Language Support Library(以前のリリースでは使用できません)の自動インストールの後で、\oblix\oracle\nlstrlという名前のディレクトリが作成されます。

詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

ドメイン名、URI、およびURL

10g(10.1.4.0.1)は、ドメイン名、URI、およびURLに対してはASCII文字のみをサポートします。これは以前のリリースと同じです。国際化された文字はサポートしません。

暗号化スキーム

Cookieは、共有シークレットと呼ばれる構成可能な暗号化キーを使用して暗号化されます。リリース5.xでは、RC4暗号化スキームが共有シークレット・キーとして推奨されていました。リリース6.xでは、RC6暗号化スキームが推奨されていました。リリース7.0以降では、AESがアクセス・システムのデフォルトの暗号化スキームになりました。詳細は、後の表5-3の共有シークレットに関する詳細、および『Oracle Access Managerアクセス管理ガイド』を参照してください。

アイデンティティ・システムは、ロスト・パスワード管理レスポンスに対して引き続きRC6暗号化を使用します。

フェイルオーバーとフェイルバック

リリース7では、接続プール内の接続の数が指定されているしきい値レベルより低下したときにセカンダリ・ディレクトリ・サーバーへの即時フェイルオーバーを容易にする、ハートビート・ポーリング・メカニズムが導入されました。さらに、優先される接続がリカバリされるとただちに、フェイルバック・メカニズムによって容易にセカンダリ・ディレクトリ・サーバーからプライマリ・サーバーに戻すことができます。

ハートビート機能は、プライマリ・ディレクトリ・サーバーの接続に定期的にポーリングを行い、ディレクトリ・サービス(および暗黙でネットワーク)の可用性を確認します。ホストに到達できない場合、そのホストに対するそれ以上の接続の試みは、前に使用されたTCPタイムアウトではなく、スリープ時間の間隔のみブロックされます。

ディレクトリ・サービスが使用できない場合、ハートビート・メカニズムはただちにセカンダリ・ディレクトリ・サーバーへのフェイルオーバーを開始します。したがって、フェイルオーバーは、ディレクトリ・サービス・リクエストの受信とその後のTCPタイムアウトによってトリガーされることなく実行できます。globalparams.xmlの新しいパラメータにより、接続を確立するタイムアウト間隔が決まります。

エンタープライズ・ネットワークのパフォーマンスが低下している場合、ハートビート機能は異常警報をトリガーし、すでに確立されている接続を切断できます。したがって、globalparams.xmlのheartbeat_enabledパラメータを使用することで、現在のネットワーク状態に対応してハートビート・メカニズムをアクティブ化または非アクティブ化することができます。デフォルトでは、ハートビート機能はアクティブになっています。

詳細は、『Oracle Access Managerデプロイメント・ガイド』を参照してください。

ファイルとパスの名前

10g(10.1.4.0.1)では、ファイル名とパス名にはASCII文字のみがサポートされます。これは以前のリリースと同じです。

グラフィカル・ユーザー・インタフェース

Webベースのグラフィカル・ユーザー・インタフェースを改善してわかりやすくするために、いくつかの変更が行われました。このガイドで概要を示し、マニュアル・スイート全体で詳細に説明します。

HTMLページ

10g(10.1.4.0.1)では、Oracle Access Managerによって生成されるすべてのHTMLページはUTF-8エンコーディングを使用します。このエンコーディングは、Content-TypeのHTTPヘッダーとMETAタグを使用してWebブラウザに通知されます。前で説明したデフォルトの製品ページに関する情報も参照してください。

LDAPバインド・パスワード

リリース10.1.4パッチ・セット1(10.1.4.2.0)では、ModifyLDAPBindPasswordの形で拡張されています。このコマンドを使用すると、Oracle Access Manager構成ファイルのOracle Access Managerコンポーネントと通信するディレクトリ・サーバーのLDAPバインド・パスワードを定期的に更新できます。

ModifyLDAPBindPasswordコマンドを使用すると、サーバーの再起動またはセットアップの再実行なしでLDAPバインド・パスワードをリセットできます。

詳細は、『Oracle Access Managerデプロイメント・ガイド』のシステムの再構成に関する章を参照してください。

ログ・ファイルの拡張

リリース10.1.4パッチ・セット1(10.1.4.2.0): オペレーティング・システムのエラー情報がログに含まれるようになりました。たとえば、リスナー・スレッドの作成に失敗すると、GetLastError()で返されるエラー・コードがログ・ファイルに追加されます。

様々なタイプの外部コンポーネントへのコールの所要時間をログできます。ログを生成して、異なるタイプの外部コンポーネントへのコールにかかった時間の詳細を表示できるようになりました。この情報を使用すると、特定のコンポーネントに対するリクエストが予定された時間より長くかかるかどうかを適切に判断できます。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

メッセージ・カタログとパラメータ・カタログ

リリース10.1.4パッチ・セット1(10.1.4.2.0)には、.XMLのパラメータおよびメッセージ・カタログ・ファイルが含まれます。このルールに対する例外には、アップグレードの間に使用されるファイルが含まれます。10g(10.1.4.0.1)では、メッセージ・ファイルは、インストールされている各言語に対する特定のディレクトリに存在します。たとえば、IdentityServer_install_dir/identity/oblix/lang/langTag /oblixbasemsg.xmlがあります。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

最初のログインでのユーザー・データの移行

リリース10.1.4パッチ・セット1(10.1.4.2.0)には、globalparams.xmlファイルに新しいパラメータMigrateUserDataTo1014が含まれています。このパラメータは、停止時間ゼロのアップグレード方法を使用してアップグレードする場合にのみ効果があります。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

最低限の検索文字数

以前のリリースでは、アイデンティティ・システム・アプリケーションで検索を実行するときには、3文字以上入力する必要がありました。10g(10.1.4.0.1)では、必要な最少文字数はありません。『Oracle Access Managerカスタマイズ・ガイド』で説明されているように、以前のリリースと同様に、ユーザーが検索フィールドに入力する必要のある最低文字数を制御できます。

チャレンジ・フレーズおよびレスポンス属性の複数値

以前のリリースでは、ロスト・パスワード管理機能は、ユーザー・エントリのチャレンジ・フレーズとレスポンス属性に対して単一の値のみをサポートしていました。Oracle Access Manager 10g(10.1.4.0.1)では、チャレンジ・フレーズおよびレスポンス属性に複数の値がサポートされています。これらは、エンコードされた形式にする必要があります。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

管理者が割り当てる名前と製品名

一部の製品名およびコンポーネント名が変更されています。特定の機能名は、アクセス・システムとアイデンティティ・システムの間で名詞句として統一されています。アップグレードの間に、以前の名前は新しい名前に変更されます。詳細は、「製品およびコンポーネントの名前の変更」も参照してください。

ただし、インストールまたは構成の際に管理者が割り当てたサービス名は、アップグレードの間に変更されません。したがって、サービス名を"COREid Server"また、管理者が割り当てた以前の認証スキーム名およびポリシー・ドメイン名も、アップグレードに変更されずに残っています。

個別に格納されるポリシー・データとユーザー・データのネームスペース

リリース6.5より前は、2つの異なるディレクトリに格納されるポリシー・データとユーザー・データに対するネームスペースは、一意である必要がありました。10g(10.1.4.0.1)へのアップグレードの際、マルチ言語機能を使用できるようにするためには、この一意性を確認する必要があります。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

オブジェクト・クラスと属性

10g(10.1.4.0.1)では、スキーマに関していくつかの変更点があります。詳細は、『Oracle Access Managerスキーマ詳細』を参照してください。

obVer属性の変更点

リリース10g(10.1.4.0.1)より前のリリースでは、obVer属性は情報提供の目的でのみ使用されていました。ただし、リリース10g(10.1.4.0.1)以降では、obVer属性は、ロスト・パスワード管理のチャレンジ・フレーズとレスポンス属性の複数値のエンコーディングをサポートするためにアイデンティティ・サーバーとアクセス・サーバーで使用されています。この場合、Oracle Access Manager 10g(10.1.4.0.1)は、次のobVer属性を読み取ります。

  • oblixConfigクラス: 構造化クラスはOracle Access Manager構成データのコンテナ・ノードを定義します。

  • OblixOrgPersonクラス: Oracle Access Managerの個人情報を構造化オブジェクト・クラスの人クラスとして構成されたクラスと関連付けるために使用される補助クラスです。

以前のリリースからOracle Access Manager 10g(10.1.4.0.1)にアップグレードすると、oblixツリーに格納された構成データは自動的に移行され、obVer属性の値は10.1.4.0に変更されます。ただし、ユーザー・データは、アップグレード後の最初のログインまで移行されません。したがって、ユーザー・データ(OblixOrgPersonクラス)のobVer属性の値は、10.1.4.0より小さい値のままになります。詳細は、『Oracle Access Managerアップグレード・ガイド』および『Oracle Access Managerスキーマ詳細』を参照してください。

パスワード・ポリシーとロスト・パスワード管理

このリリースには、パスワード・ポリシーとパスワード管理の拡張が含まれます。ユーザーがパスワードで指定できる最小と最大の文字数を構成できます。ロスト・パスワード管理の場合、チャレンジとレスポンスの複数のペアの設定、複数のスタイルシートの作成、およびユーザーのロスト・パスワード管理環境の他の側面の構成が可能です。また、パスワードをリセットした後で、本来要求されていたページにユーザーをリダイレクトして戻すこともできます。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

Oracle Access Manager 10g(10.1.4.0.1)では、ユーザー・エントリ(OblixOrgPerson)のobVer属性の値を使用してチャレンジ・フレーズとレスポンス属性のエンコーディングを示します。これは以前のリリースからOracle Access Manager 10g(10.1.4.0.1)にアップグレードするときに影響があります。アップグレードする場合は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

再起動を行わないロギング・フレームワークの再構成

10g(10.1.4.0.1)では、サーバーを再起動しないでロギング・フレームワークを再構成できます。そのためには、管理者は各コンポーネントに対するロギング構成を手動で更新する必要があります。

アイデンティティ・サーバー

WebPass

ポリシー・マネージャ

アクセス・サーバー

WebGate

ロギング・パラメータに対する変更は、1分以内に有効になります。変更を行ったサーバーを再起動する必要はありません。詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

サポートの変更

サポートされるプラットフォームおよびサード・パーティのバージョンについて、いくつか変更がありました。プラットフォームのサポートに関する詳細は、https://metalink.oracle.comの「Certify」タブで確認できるようになりました。Metalinkを使用するには、次のようにします。

  • 指示に従ってMetalinkにログインします。

  • 「Certify」タブをクリックします。

  • 「View Certifications by Product」をクリックします。

  • 「Application Server」オプションを選択し、「Submit」をクリックします。

  • 「Oracle Application Server」を選択し、「Submit」をクリックします。

ディレクトリ・サーバーに対するトランスポート・セキュリティ

ディレクトリ・サーバーに対するSSLモードを構成するときは、サーバー認証のみがサポートされます。クライアント証明書はサポートされません。Oracle Access Managerは、サーバー証明書を、製品の設定の際にインポートされたルートCA証明書と比較して検証します。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。

アップグレードの拡張

SolarisプラットフォームからLinuxプラットフォームへの切替え時に、Oracle Access Manager 10g(10.1.4.0.1)へのアップグレードを実行できる新しい方法が使用可能になりました。

リリース10.1.4パッチ・セット1(10.1.4.2.0): 新しい方法により、標準のインプレース・コンポーネント・アップグレードに関連する停止時間をほとんど排除して、10.1.4.2.0へのアップグレードを実行できます。

詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

Webコンポーネントと下位互換性

以前のWebPassインスタンスは、10g(10.1.4.0.1)のアイデンティティ・サーバー(またはポリシー・マネージャ)と互換性がありません。以前のアイデンティティ・サーバーをすべてアップグレードした後、以前のWebPassインスタンスをすべてアップグレードする必要があります。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。アップグレードを実行した後、10g(10.1.4.0.1)のWebPassインスタンスをアップグレード済の環境にインストールできます。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

アップグレード済の環境に10g(10.1.4.0.1)のアクセス・サーバーを追加する場合は、以前のWebGateとの下位互換性のためにフラグを設定する必要があります。詳細は、アクセス・サーバーの下位互換性に関する説明を参照してください。

リリース6.1.1、6.5および7.xのWebGateは、アップグレード後のアクセス・サーバーと共存できます。アップグレードを実行した後、10g(10.1.4.0.1)のWebGateをアップグレード済の環境にインストールできます。ただし、10g(10.1.4.0.1)のWebGateは、以前のアクセス・サーバーと互換性がありません。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

Webサーバー構成ファイル

Webサーバー構成ファイルのグローバリゼーションとUTF-8サポートについては変更されていません。ただし、importantnotes.txtファイルは削除され、このファイルに記述されていた情報は、『Oracle Access Managerインストレーション・ガイド』の付録に記載されています。

ログ・ファイルへのスタック・トレースの書込み

リリース10.1.4パッチ・セット1(10.1.4.2.0)の拡張により、Oracle Access Managerでは、コア・ダンプが生成された場合にログ・ファイルへのスタック・トレースの書込みが可能になりました。この機能を使用するには、最小限の任意のレベルでロギングを有効にします。スタック・トレース情報が記述されたログ・ファイルを添付してオラクル社に問題の報告を送信できます。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』のトラブルシューティングに関する付録を参照してください。

XMLカタログとXSLスタイルシートのエンコーディング

英語以外の言語のために、XMLメッセージ・ファイルではエンコーディングがUTF-8に設定されています。ISO-8859-1エンコーディングでは、すべての言語のすべての文字を表現できません。エンコーディングが指定されないと、デフォルトとしてUTF-8が使用されます。一部の英語専用ファイルは、まだISO-8859-1エンコーディングを使用しています。

詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

XSLの拡張

一部のxslファイルが拡張され、JavaScript関連の修正および大規模グループ関連の多数の修正がサポートされるようになりました。10.1.4.2.0パッチ・セットをインストールすると、これらのxslファイルを使用できます。

詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。


5.5 アイデンティティ・システムの動作の概要

表5-2は、10g(10.1.4.0.1)のアイデンティティ・システムの動作の概要をまとめたものです。

表5-2 アイデンティティ・システムの動作の概要

機能 動作

チャレンジとレスポンスの属性

10g(10.1.4.0.1)以降、チャレンジ・フレーズとレスポンス属性はアイデンティティ・システム・アプリケーションの同じパネルに存在する必要があります。チャレンジ・フレーズとレスポンスは、パネルで順番に構成されることはありませんが、表示は順番に行われます。パネルがチャレンジ属性のみを含む場合は、レスポンスのない「プロファイル」ページに表示されます。パネルがレスポンスのみ(チャレンジ属性がない)を含む場合は、レスポンスは「プロファイル」ページにはまったく表示されません。

これらの構成の詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。アップグレード後の単一パネルに対するこれらの結合の詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。IdentityXMLに対する変更については、『Oracle Access Manager開発者ガイド』を参照してください。

アイデンティティ・サーバーの下位互換性

10g(10.1.4.0.1)以降、アイデンティティ・サーバーはUTF-8エンコーディングを使用し、プラグイン・データはUTF-8データを含みます。以前のカスタム・プラグインは、Latin-1エンコーディングでデータを送受信します。

以前のカスタム・プラグインとの下位互換は自動的に行われます。ただし、アップグレードされた環境に10g(10.1.4.0.1)のアイデンティティ・サーバーを新しく追加する場合は、アイデンティティ・サーバーのoblixpppcatalog.lstのエンコーディング・フラグを手動で設定し、以前のプラグインおよびインタフェースとの通信を有効にする必要があります。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

アイデンティティ・システムのイベント・プラグイン

10g(10.1.4.0.1)以降、アイデンティティ・サーバーはUTF-8エンコーディングを使用し、プラグイン・データはUTF-8データを含みます。詳細は、『Oracle Access Manager開発者ガイド』を参照してください。

アップグレードされたアイデンティティ・サーバーと以前のIDイベント・プラグインの間の下位互換性は、自動的に維持されます。アップグレード後の環境への新しいアイデンティティ・サーバーの追加の詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

IdentityXMLおよびSOAPのリクエストとレスポンス

リリース6.5では、IdentityXMLリクエストの構文が一部変更されました。カスタマイズでは最新の構文を使用することをお薦めします。ただし、以前の構文も問題なく動作します。

10g(10.1.4.0.1)では、XMLページ、SOAP/IdentityXMLリクエスト、および実行可能ファイルに送信されるIDイベント・プラグイン・データに対しては、UTF-8エンコーディングが使用されます。

詳細および新しい構文については、『Oracle Access Manager開発者ガイド』を参照してください。

Javaアプレット

英語ロケールを使用するユーザーは、マルチバイト言語でアプレットを表示することはできません。アプレットをマルチバイト言語で使用するには、ユーザーのコンピュータのロケールを同じ言語に設定する必要があります。ブラウザのエンコーディングを設定しても機能しません。

JDK1.1.7のJavaアプレットについては既知の制限があります。Oracle Access Manager 10g(10.1.4.0.1)では、非ASCIIデータを使用するアプレットは、ネイティブにエンコードされたオペレーティング・システムを実行するコンピュータでのみ適切に表示できます。

言語を取得して使用する方法の詳細は、表5-1「Oracle Access Managerの一般的な動作の概要」を参照してください。また、『Oracle Access Manager IDおよび共通管理ガイド』も参照してください。

大規模な静的グループ

リリース10.1.4パッチ・セット1(10.1.4.2.0)では、静的グループが非常に大きい(たとえば、10,000メンバーを超える)場合、globalparams.xmlのLargeStaticGroupsパラメータを使用して、グループに対するデフォルトの評価方法を変更できます。このパラメータの詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

この機能を使用する場合は、アイデンティティ・システム構成に適切な変更を加えて、変更されたグループのサブグループが予定どおりに検索および評価されることを確認する必要があります。詳細は、『Oracle Access Managerデプロイメント・ガイド』のパフォーマンスのチューニングに関する章を参照してください。

メール通知

10g(10.1.4.0.1)では、UTF-8 "B"(Base64エンコーディング)が使用されます。非MHTMLメール・メッセージのMIMEヘッダーは、"MIME-Version: 1.0; Content-Type: text/plain; charset=UTF-8; Content-Transfer-Encoding: 8bit"と設定されます。

最低限の検索文字数

以前のリリースでは、アイデンティティ・システム・アプリケーション(User Manager、Group Manager、およびOrganization Manager)で検索を実行するときには、3文字以上入力する必要がありました。10g(10.1.4.0.1)では、必要な最少文字数はありません。デフォルトでは、文字を入力しなくてもかまいません。以前のリリースと同様に、oblixadminparams.xmlのsearchStringMinimumLengthパラメータを設定することで、ユーザーが検索フィールドに入力する必要のある最低文字数を制御して、ユーザーが検索条件を絞り込むのを助けることができます。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

マルチステップのアイデンティティ・ワークフロー・エンジン

ワークフローを使用して、アイデンティティ・システムのビジネス・プロセスをモデル化することができます。以前のリリースでは、ワークフローを使用して、証明書の発行、取消し、更新を行うことができました。しかし、この機能はサポートされなくなっています。

Oracle IDプロトコル(OIP)

Oracle IDプロトコル(以前のNetPoint IDプロトコル)は、アイデンティティ・サーバーと関連するWebPassインスタンスの間の通信を容易にします。グローバリゼーションに関してプロトコルは変更されていません。

パスワード・ポリシーとパスワード管理ランタイム

10g(10.1.4.0.1)の場合、パスワード・ポリシーでは国際化された文字がサポートされます。以前のリリースでは、ポリシーの制約を強制する場合、パスワード・ポリシーはLatin1文字でのみ動作しました。パスワード管理ランタイムには変更はありません。

ポーリング追跡リフレッシュ・パラメータ

リリース10.1.4パッチ・セット1(10.1.4.2.0): webpass.xmlファイルのポーリング追跡リフレッシュ・パラメータは構成可能です。複数のアイデンティティ・サーバーの設定またはWebPassの変更を行う場合、webpass.xmlファイルのPollTrackingRefreshIntervalを構成できます。この間隔は、秒単位で構成する必要があります。複数のアイデンティティ・サーバーの設定またはWebPassインスタンスの変更を行うと、様々な影響をもたらします。

詳細は、『Oracle Access Manager IDおよび共通管理ガイド』を参照してください。

Portal InsertsとURI問合せ文字列

10g(10.1.4.0.1)では、URI問合せ文字列のデータのエンコーディングは、UTF-8エンコーディングです。ただし、インストール内にある以前のPortal Insertsを10g(10.1.4.0.1)にアップグレードした場合は、アップグレードの後で変更する必要があります。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

PresentationXMLディレクトリ

リリース6.5より前は、PresentationXMLライブラリは2つのディレクトリで提供され、ファイルの使用方法に応じて分散されていました。たとえば、デフォルトのOracle Access Managerクラシック・スタイルを定義するスタイルシートは、\IdentityServer_install_dir\identity\oblix\apps\AppNameのフラット・ファイルで保持されていました。リリース6.5以降、10g(10.1.4.0.1)でもやはり、PresentationXMLライブラリは別のディレクトリに格納されます。詳細は、『Oracle Access Managerカスタマイズ・ガイド』を参照してください。

ユーザー検索結果のソート

User Manager、Group Manager、およびOrg. Managerでは、検索結果の表で列の見出し(「フルネーム」など)をクリックすると、ロケールに基づく大文字と小文字を区別しない方法を使用して、検索結果がソートされます。

Webサービス・コード

Oracle Access Managerでは、IdentityXMLを使用してWebサービスを実装するためのサンプル・コードが提供されています。詳細は、『Oracle Access Manager開発者ガイド』を参照してください。

XSLProcessorパラメータ

リリース10.1.4パッチ・セット1(10.1.4.2.0)では、IdentityXMLを使用するとき、globalparams.xmlファイルのXSLProcessorパラメータがページの生成時に使用するプロセッサを指定します。正式にサポートされている値はdefaultのみです。この値が指定されていると、XDKプロセッサが使用されます。XALANまたはDGXTの値は、テスト用に使用できます。

詳細は、『Oracle Access Managerカスタマイズ・ガイド』の構成パラメータに関する付録を参照してください。


5.6 アクセス・システムの動作の概要

表5-3は、10g(10.1.4.0.1)のアクセス・システムの動作の概要をまとめたものです。

表5-3 アクセス・システムの動作の概要

機能 動作

アクセス・サーバーの下位互換性

以前のカスタム・プラグインは、Latin-1エンコーディングでデータを送受信しました。10g(10.1.4.0.1)では、アクセス・サーバーはUTF-8エンコーディングを使用し、10g(10.1.4.0.1)のカスタム・プラグイン・データはUTF-8でエンコードされます。10g(10.1.4.0.1)では、Cookieの暗号化と復号化はアクセス・サーバーで行われます。

以前のアクセス・サーバーを10g(10.1.4.0.1)にアップグレードすると、アクセス・サーバーのglobalparams.xmlファイルに新しいパラメータが自動的に設定されます。これにより、以前のカスタム・プラグインとインタフェース、および以前のWebGateとカスタム・アクセス・ゲートとの下位互換性が提供されます。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

アップグレードされた環境に新しいアクセス・サーバーを追加するときは、アクセス・サーバーのglobalparams.xmlの値を手動で設定し、下位互換性を有効にする必要があります。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

Access Manager SDK、Access Manager APIおよびカスタムアクセス・ゲート

10g(10.1.4.0.1)のアクセス・サーバーは、UTF-8エンコーディングを自動的に使用します。さらに、カスタム・アクセス・ゲートを作成するために、Access Manager SDK(以前のアクセス・サーバーSDK)およびAccess Manager API(以前のアクセス・サーバーAPI)が使用されます。カスタム・アクセス・ゲートは、UTF-8エンコーディングを自動的に使用します。

Access Manager APIのJavaインタフェースおよびJava実装について、10g(10.1.4.0.1)では外部的な変更は行われていません。JNIのコールは、UTF-16でエンコードされたJava文字列オブジェクトを使用します。Oracle Access Managerの以前のリリースでは、このデータをLatin-1に変換していました。10g(10.1.4.0.1)のアクセス・サーバーおよびアクセス・ゲートでは、UTF-8エンコーディングが自動的に使用されます。

10g(10.1.4.0.1)のAccess Manager SDKおよび10g(10.1.4.0.1)のカスタム・アクセス・ゲートは、以前のアクセス・サーバー、Access Manager SDK、およびアクセス・ゲートとの間に下位互換性がありません。ただし、以前のアクセス・ゲートは、下位互換性を有効にした10g(10.1.4.0.1)アクセス・サーバーとともに使用できます。

認証スキームの更新

10g(10.1.4.0.1)では、認証スキームを変更するとき、先に認証スキームを無効にする必要はなくなりました。また、10g(10.1.4.0.1)では、1回のセッションではなく一定の期間ユーザーがログインできるよう、認証スキームを構成できます。

認可ルールとアクセス・ポリシー

リリース6.5以降、認可ルールは「認可ルール」という名前のタブにグループ化されました。また、リリース7.xでは、未確定という認可の状態が新しく導入されました(認可の成功および失敗とは別の状態)。

アップグレードの際に、ルールの名前は、そのルールが属するポリシー・ドメイン名に認可ルール名を付加したものを使用して変更されます(PolicyDomain_AuthorizationRuleName)。以前のインストールに認可失敗のリダイレクトが含まれていた場合は、アップグレードの後で、認可失敗のリダイレクトが正しく行われるようにするための手順を実行する必要があります。詳細は、『Oracle Access Managerアップグレード・ガイド』を参照してください。

カスタム認証および認可プラグインのインタフェース

10g(10.1.4.0.1)より前のCに対する認証プラグインAPIおよび認可プラグインAPIは、アクセス・サーバーとカスタム・プラグインの間で交換されるデータに、Latin-1エンコーディングを使用していました。10g(10.1.4.0.1)では、Cに対する認証プラグインAPIおよび認可プラグインAPIは、プラグインの処理に対してUTF-8エンコーディングを使用します。.NET(マネージ・コード)プラグインに対しては変更はありません。

ディレクトリ・プロファイル

リリース6.5では、アクセス・サーバーおよびポリシー・マネージャに対するディレクトリ・サーバー・プロファイルのサポートが導入されました。7.xより前の任意のリリースからのポリシー・マネージャのアップグレードにおいて、新しいディレクトリ・サーバー・プロファイルが自動的に追加されます。ただし、Initial ConnectionsおよびMaximum Connectionsに対する値は、ポリシー・マネージャのアップグレードでは維持されません。

アップグレードを行った後、新しいディレクトリ・サーバー・プロファイルが正しく作成されたこと、およびアクセス・システムのディレクトリ・サーバー・プロファイルのロード・バランシングとフェイルオーバーの設定が意図したとおりに構成されていることを、確認して検証することをお薦めします。ディレクトリ・プロファイルに関する詳細は、表5-1「Oracle Access Managerの一般的な動作の概要」を参照してください。

フォーム・ベースの認証

10g(10.1.4.0.1)のWebGateは、UTF-8エンコーディングでのみ入力データを受け付けます。ログイン・フォームに対するキャラクタ・セットのエンコーディングを確実にUTF-8に設定するには、<META http-equiv="Content-Type" content="text/html;charset=utf-8">というMETAタグを、ログイン・フォームHTMLページのHEADタグに追加します。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。

偽装

WebGateによって保護されたコンピュータ上のリソースに対する偽装の構成に加えて、ネットワーク上の他のリソースにも偽装を拡張できます。これはクライアントへの代理偽装レベルの割当てと呼ばれ、リリース10.1.4パッチ・セット1(10.1.4.2.0)で使用可能です。

詳細は、『Oracle Access Manager統合ガイド』のWindowsの偽装に関する章を参照してください。

統合サポートの拡張

リリース10.1.4パッチ・セット1(10.1.4.2.0):

SharePoint Office Server 2007との統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のSharePointとの統合に関する章を参照してください。

SAP NetWeaverとの統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のSAPとの統合に関する章を参照してください。

マルチドメインActive Directory環境のSiebelとの統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のSiebelとの統合に関する章を参照してください。

Weblogic 9.2との統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のWebLogicとの統合に関する章を参照してください。

WebSphere 6.1との統合がサポートされています。詳細は、『Oracle Access Manager統合ガイド』のWebSphereとの統合に関する章を参照してください。

セッション・トークン・キャッシュ内の最大要素

以前のリリースでは、このパラメータのデフォルト値は100000でした。ただし、Oracle Access Manager 10g(10.1.4.0.1)では、デフォルト値が10000に変更されています。このパラメータを確認するには、アクセス・システム・コンソールで、「アクセス・システム構成」タブの「アクセス・サーバー構成」機能を参照してください。「アクセス・サーバーの詳細」ページを確認します。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。

Oracle Accessプロトコル

10g(10.1.4.0.1)では、グローバリゼーションに対応するために、アクセス・システム・コンポーネント間の通信にUTF-8エンコーディングが使用されています。Oracle Accessプロトコル(OAP)は、以前はNetPointアクセス・プロトコル(NAP)と呼ばれていました。アクセス・サーバーおよび下位互換性については、この表ですでに説明した項目を参照してください。

ポリシー・マネージャ

Oracle Access Managerポリシー・マネージャは、以前は、Access Managerコンポーネントと呼ばれていました。アイデンティティ・システムのすべてのコンポーネントをアップグレードした後、『Oracle Access Managerアップグレード・ガイド』の説明に従って、以前のポリシー・マネージャをすべてアップグレードする必要があります。

ポリシー・マネージャAPI

ポリシー・マネージャAPIは、以前はアクセス管理APIと呼ばれていました。10g(10.1.4.0.1)では、次のようになっています。

  • C言語のAPIでは、ObAMMasterAuditRule_getEscapeCharacterが残っており、引き続き使用できます。ただし、監査のエスケープ文字はASCII文字でなければならず、それ以外の場合は戻り値が正しくありません。その場合は、新しいAPIを使用するようにCコードを変更する必要があります。

  • Javaクライアントでは、ObAMMasterAuditRule_getEscapeCharacterは正しく動作し、監査エスケープ文字がASCII文字ではない場合でも引き続き使用できます。

  • C言語のAPIでは、新しくObAMMasterAuditRule_getUTF8EscapeCharacterが追加され、UTF-8でエンコードされた監査エスケープ文字に対するポインタを返します。

詳細は、『Oracle Access Manager開発者ガイド』を参照してください。

優先HTTPホスト

このWebGate構成パラメータはWebGateをインストールする前に必須であり、WebGateを追加するときは常に適切な値で構成する必要があります。(アクセス・システム・コンソールで、「アクセス・システム構成」を選択し、「新規Access Gateの追加」を選択します。)このパラメータは、ユーザーが保護されたWebサーバーへのアクセスを試みるときに、すべてのHTTPリクエストでのホスト名の指定方法を定義します。HTTPリクエスト内のホスト名は、このフィールドに入力した値に変換されます(ユーザーがHTTPリクエストでホスト名を定義した方法に関係なく)。詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。

リリース10.1.4パッチ・セット1(10.1.4.2.0):

仮想ホストをサポートするには、優先HTTPホストの値をHOST_HTTP_HEADER(ほとんどのWebホストの場合)またはSERVER_NAME(Apacheのみ)に設定します。IISに対する追加の構成が必要です。

詳細は、『Oracle Access Managerアクセス管理ガイド』のアクセス・サーバーおよびアクセス・ゲートの構成に関する章を参照してください。

共有シークレット

共有シークレット・キーの場所は、以前のリリースから変更されていません。ただし、10g(10.1.4.0.1)では、Cookieの暗号化と復号化はアクセス・サーバーで処理されます。10g(10.1.4.0.1)へのアップグレードにおいて、以前の暗号化スキームは維持されます。アクセス・サーバーとWebGateの詳細は、この表の他の項目を参照してください。

ユーザー・セッションの間に共有シークレットを変更した場合、ユーザーを再認証する必要はありません。Cookieを古い共有シークレットで復号化し、Cookieを更新した場合は、新しい共有シークレットで暗号化されます。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。

ObSSOCookieが設定された後の認証アクションのトリガー

ObSSOCookieを設定した後で、認証アクションを実行させることができます。通常、認証アクションは、認証が処理された後で、ObSSOCookieが設定される前にトリガーされます。ただし、複雑な環境では、ユーザーがリソースを含むページにリダイレクトされる前に、ObSSOCookieが設定される場合があります。このような場合は、認証スキームがこれらのイベントをトリガーするように構成できます。『Oracle Access Managerアクセス管理ガイド』も参照してください。

WebGate

以前のリリースでは、Cookieの暗号化と復号化はWebGateとアクセス・ゲートで行われていました。10g(10.1.4.0.1)では、Cookieの暗号化と復号化はアクセス・サーバーで行われます。WebGateとアクセス・ゲートには、共有シークレット・キーは必要なくなりました。

10g(10.1.4.0.1)のWebGateは設計が変更され、WebGatestatic.lstファイルは、アクセス・システム・コンソールの「アクセス・システム構成」タブで構成できるオプションに置き換えられました。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。

以前のWebGateは、10g(10.1.4.0.1)のアクセス・サーバーと共存できます。ただし、各アクセス・サーバーは、以前のWebGateに対して下位互換性を持つ必要があります。詳細は、この表のアクセス・サーバーに関する詳細、および『Oracle Access Managerアップグレード・ガイド』を参照してください。

10g(10.1.4.0.1)のWebGateとアクセス・ゲートが同じコード・ベースを共有するように、WebGateのコードが書きなおされました。詳細は、『Oracle Access Manager開発者ガイド』を参照してください。

リリース10.1.4パッチ・セット1(10.1.4.2.0):

WebGateからアクセス・サーバーへのタイムアウトしきい値は、WebGateがアクセス・サーバーを使用不可とみなして新しい接続でリクエストを試行するまでに、WebGateがアクセス・サーバーの応答を待機する時間(秒数)を指定します。ただし、アクセス・サーバーのリクエストの処理時間がタイムアウトしきい値を超過した場合、WebGateはリクエストを破棄し、新しい接続でリクエストを再試行します。接続プールの設定によっては、接続プールから返される新しい接続は、同じアクセス・サーバーへの接続である可能性があります。また、他のアクセス・サーバーでも、リクエストの処理時間がしきい値を超過する可能性があります。この場合、アクセス・サーバーが停止するまで、WebGateは再試行を続行できます。

client_request_retry_attemptsパラメータを使用して、応答しないサーバーに対するWebGateの再試行の回数を制限できるようになりました。これはアクセス・システムにユーザーが定義するパラメータです。このパラメータのデフォルト値は-1です。パラメータ値を-1に設定する(またはパラメータ値を設定しない)場合、再試行の回数は制限されません。詳細は、『Oracle Access Managerアクセス管理ガイド』を参照してください。