E-Business Suite Asserter

Nach der IAM-Authentifizierung wird der Benutzer mit der Fehlermeldung "Sie verfügen nicht über ausreichende Berechtigungen, um den aktuellen Vorgang auszuführen." zu Oracle E-Business Suite zurückgeleitet mit der Aufforderung, sich erneut anzumelden.

Wenn die Oracle E-Business Suite-Anwendung diesen Fehler auslöst, bedeutet das im Allgemeinen, dass das Cookie auf eine falsche Domain gesetzt wurde. Prüfen Sie hierzu das E-Business Suite Asserter-Debuglog (<HOME DIR>/ebsasserter.log). Das E-Business Suite Asserter-Debuglog zeigt an, dass sessionCookieDomain einen falschen Wert aufweist. CookieDomain wurde auf .oracle.com gesetzt.

Aug 22, 2018 2:26:34 PM oracle.apps.fnd.ext.common.EBiz init
FINE: Ebiz init(): sessionCookieDomain =.oracle.com ; protocol=https:; ssoCookieName= ORASSO_AUTH_HINT

ICX_PARAMETERS.SESSION_COOKIE_DOMAIN darf auf keinen Wert gesetzt werden. Sie müssen die Einstellung SESSION_COOKIE_DOMAIN in ICX_PARAMETERS aktualisieren.

Wenn Sie sich von Oracle E-Business Suite abmelden, gibt der Browser die Fehlermeldung "Interner Serverfehler" aus.

Dieses Problem ist auf eine ältere Version von AppsLogoutRedirect.java auf Oracle E-Business Suite-Seite zurückzuführen.

Prüfen Sie den Header für AppsLogoutRedirect.java auf Oracle E-Business Suite-Seite:

adident Header $JAVA_TOP/oracle/apps/fnd/sso/AppsLogoutRedirect.class
$Header AppsLogoutRedirect.java 120.10.12010000.7 2010/01/19 20:18:52 rsantis ship $

Spielen Sie das neueste kritische Patchupdate von Januar 2013 für Oracle E-Business Suite Release 12 oder höher ein, um dieses Problem zu beheben. Mit diesem kritischen Patchupdate kann AppsLogoutRedirect.java die Profile APPS_SSO und APPS_AUTH_AGENT verwenden. Alle Details zum Einspielen dieses Patches finden Sie im Knowledgedokument (Juli 2018) (Doc ID 2379675.1).

Während des Zugriffs auf die Anwendungs-URL von E-Business Suite Asserter führte der Anwendungsanmeldeablauf von Oracle E-Business Suite zu einem internen Serverfehler.

Das HTTP-Headertrace sieht wie folgt aus:

GET https://xxxxxxxxxxxxxxxxxx.oracle.com:7002/ebs/response?code=AQIDBAVcZbun_M5qU4-t9LUCYDjAOgWYiDOrf1Kb5ndbWAEYd05C-uxDfSwP8Ejfn51WT-gTuYj6bLFFYAFHQEqgYy26MTEgRU5DUllQZZIIFFVElPTl9LRVkxNCB7djF9NCAFFFABCDEF= HTTP/1.1

Error 500--Internal Server Error
From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
10.5.1 500 Internal Server Error
The server encountered an unexpected condition which prevented it from fulfilling the request

Das E-Business Suite Asserter-Domainlog sieht folgendermaßen aus:

####<Sep 23, 2018 6:53:31,380 PM AST> <Error> <HTTP> <ebshost01.oracle.com>
<AdminServer> <[ACTIVE] ExecuteThread: '6' for queue: 'weblogic.kernel.Default (self-
tuning)'> <<WLS Kernel>> <> <0b38f1ae-a3cb-48f6-80d9-00e3f3bdb263-000000a0>
<1537718011380> <[severity-value: 8] [rif: 0] [partition-id: 0] [partition-name:
DOMAIN]> <BEA-101020> <[ServletContext@44159983[app:ebs module:ebs.war
path:null spec-version:3.1]] Servelet failed with an Exception

Das E-Business Suite Asserter-Log sieht folgendermaßen aus:

FINE: validateToken return with result {"user_result":"America\/New_York",
"at_hash":"1A3gT4BT0WoWCTLE3IFa5A","sub":"john.doe@oracle.com","user_locale":"en",
"idp_name":"localIDP","idp_guid":"localIDP","a mr":["USERNAME_PASSWORD"],
"iss":"https: \/\/identity.oraclecloud.com\/","user_tenantname":"idcs-a61feab148e248508205cd98cdea4232",
"client_id":"67179f2609ab46309a75e5ca1f582a53","sid":"18ee87ea-04cf-4469-a565-48ccc763caf9",
"authn_strength":"2","azp":"67179f2609ab46309a75e5ca1f582a53","auth_time":"1536180435",
"session_exp":1537715029,"user_lang":"en","exp":1536209235,"iat":1536180437"idp_type":"LOCAL",
"tenant":"idcs-a61feab148e248508205cd98cdea4232","jti":"ed7be32b-d4e1-4e72-9868-6df142f07c6b",
"user_displayname":"John Doe","sub_mappingattr":"userName","tok_type":"IT",
"aud":["https:\/\/identity.oraclecloud.com\/","67179f2609ab46309a75e5ca1f582a53"],
"user_id":"63bf3d3f96094a66a6b7714218338116"}

session_exp ist auf 1537715029 gesetzt. Verwenden Sie EpochConverter, um die aktuelle UNIX-Epochenzeit in eine menschenlesbare Zeitangabe (Datum und Uhrzeit) zu konvertieren. Daher wird die Ablaufzeit im Token auf Sunday, September 23, 2018 3:03:49 PM GMT gesetzt. Die Zeit im E-Business Suite Asserter-Domainlog ist jedoch Sep 23, 2018 6:53:31,380 PM AST. Beachten Sie, dass Greenwich Mean Time 4 Stunden vor Atlantic Standard Time liegt. Daher lautet die festgelegte Zeit Sep 23, 2018 10:53:31 PM GMT. Das System, auf dem E-Business Suite Asserter bereitgestellt wird, ist nicht zeitlich mit IAM synchronisiert, da das von IAM übergebene Token außerhalb des Gültigkeitszeitraums liegt. Daher tritt der Fehler "Token abgelaufen" auf.

Stellen Sie sicher, dass Datum und Uhrzeit auf dem System, auf dem E-Business Suite Asserter bereitgestellt ist, mit NTP-Servern und somit dem IAM-Host synchronisiert sind.

Während des Zugriffs auf die Anwendungs-URL von E-Business Suite Asserter löst die Oracle E-Business Suite-Anwendung den Fehler java.lang.ExceptionInitializerError aus.

Das E-Business Suite Asserter-Debuglog zeigt den folgenden Java-Fehler an:

<Feb 26, 2019 2:17:16,884 PM PST> <Error> <HTTP> <BEA-101020> 
<[ServletContext@2100554246[app:ebs module:ebs.war path:null spec-version:3.1]] Servlet failed with an Exception
java.lang.ExceptionInInitializerError
at com.oracle.ebs.sso.ConnectionProvider.getConnection(ConnectionProvider.java:36)
at com.oracle.ebs.sso.RequestWrapperFilter.doFilter(RequestWrapperFilter.java:34)
at weblogic.servlet.internal.FilterChainImpl.doFilter(FilterChainImpl.java:78)

Grund dafür sind falsche Einstellungen in der Datei bridge.properties. Prüfen Sie die Datei bridge.properties, und stellen Sie sicher, dass sie über die erforderliche Konfiguration verfügt. Prüfen Sie außerdem, ob der in wallet.path in der Datei bridge.properties angegebene Pfad gültig ist.

Während des Zugriffs auf die Anwendungs-URL von E-Business Suite Asserter löst die Oracle E-Business Suite-Anwendung java.lang.RuntimeException aus.

Das E-Business Suite Asserter-Debuglog zeigt den folgenden Java-Fehler an:

<Feb 26, 2019 2:01:33,454 PM PST> <Error> <HTTP> <BEA-101020> 
<[ServletContext@1207779454[app:ebs module:ebs.war path:null spec-version:3.1]] Servlet failed with an Exception
java.lang.RuntimeException: javax.naming.NameNotFoundException: Unable to resolve 'visionDS1'. Resolved ''; remaining name 'visionDS1'
at com.oracle.ebs.sso.ConnectionProvider.getConnection(ConnectionProvider.java:42)
at com.oracle.ebs.sso.RequestWrapperFilter.doFilter(RequestWrapperFilter.java:34)

Prüfen Sie, ob das ebs.ds.name-Werteset dem in WebLogic erstellten Datenquellennamen entspricht.

Nach der IAM-Authentifizierung wird der Benutzer zu Oracle E-Business Suite zurückgeleitet mit der Aufforderung, sich erneut anzumelden.

Grund dafür ist, dass der Deeplink nicht funktioniert.

Prüfen Sie, ob die Bridgeeigenschaft whitelist.urls konfiguriert ist. Wenn das Problem weiterhin besteht, geben Sie die Portnummern explizit in der Konfiguration whitelist.urls an. Beispiel: whitelist.urls=http://ebs.oracle.com:80/OA_HTML…. Sie können auch den JSESSION-ID-Cookienamen der E-Business Suite Asserter-App in der Datei weblogic.xml prüfen. Wenn eine andere Webanwendung in WebLogic mit demselben Cookienamen vorhanden ist, tritt ein Konflikt auf.

Wenn während des Abmeldeprozesses Probleme auftreten, prüfen Sie den Parameterwert Umleitungs-URL nach der Abmeldung in IAM und den Parameterwert post.logout.url in der Datei bridge.properties.

Der Parameter post.logout.url in der Datei bridge.properties ist ein optionaler Parameter. Standardmäßig müssen Sie keinen Wert dafür angeben. Mit diesem Parameter leitet die E-Business Suite Asserter-Anwendung den Benutzerbrowser an die angegebene URL um, nachdem E-Business Suite Asserter den Abmeldeprozess beendet hat.

Wenn diese Option aktiviert ist, muss der Wert von post.logout.url in der Datei bridge.properties mit dem Wert des Parameters Umleitungs-URL nach der Abmeldung für die E-Business Suite Asserter-Anwendung in IAM übereinstimmen.

Wenn Connection test failed beim Erstellen der Datenquelle auf dem WebLogic Server-Rechner von EBS Asserter angezeigt wird, müssen Sie möglicherweise die folgenden Profiloptionen festlegen, um den Informationen in der Desktop-DBC-Datei zu entsprechen.

Profiloptionsname: FND: Benutzertyp validieren

Profiloptionscode: FND_SERVER_SEC

Empfohlene Einstellung: Nur Desktop (interner Wert D) auf Standortebene

Profiloptionsname: FND: IP-Adresse validieren

Profiloptionscode: FND_SERVER_IP_SEC

Empfohlene Einstellung: Nur Desktop (interner Wert D) auf Standortebene

Profiloptionsname: FND: Desktopknoten zulässig

Profiloptionscode: FND_SERVER_DESKTOP_USER

Empfohlene Einstellung: <kommagetrennte Liste externer Knoten, für die eine IP-Einschränkung erforderlich ist>.

Beispiel: NODENAME1, NODENAME2. Dabei sind NODENAME1 und NODENAME2 Werte für Spalte NODE_NAME in der Tabelle fnd_nodes für die Desktopknoten. Legen Sie diese Option auf Benutzerebene für den Benutzer mit der Rolle "Apps Schema Connect" (d.h. den Benutzer AppsDataSource) fest.