1. SSO für Oracle E-Business Suite mit OCI IAM mit EBS Asserter im High Availability-Modus aktivieren
  2. Allgemeine Probleme beheben

Allgemeine Probleme beheben

Hier sind ein paar Fehler, die bei der Integration von Oracle E-Business Suite mit OCI IAM über E-Business Suite Asserter auftreten können.

Fehler wegen nicht ausreichenden Berechtigungen beheben

Nach der OCI-IAM-Authentifizierung wird der Benutzer anstelle des Zugriffs auf Oracle E-Business Suite mit der Fehlermeldung "Sie haben keine ausreichenden Berechtigungen für den aktuellen Vorgang" zurück zu Oracle E-Business Suite umgeleitet und fordert den Benutzer auf, sich erneut anzumelden.

Wenn die Oracle E-Business Suite-Anwendung diesen Fehler auslöst, bedeutet das im Allgemeinen, dass das Cookie auf eine falsche Domain gesetzt wurde. Prüfen Sie hierzu das E-Business Suite Asserter-Debuglog (<HOME DIR>/ebsasserter.log). Das E-Business Suite Asserter-Fehlerlog zeigt an, dass sessionCookieDomain einen falschen Wert aufweist. CookieDomain wurde auf .oracle.com gesetzt. 

Aug 22, 2018 2:26:34 PM oracle.apps.fnd.ext.common.EBiz init
FINE: Ebiz init(): sessionCookieDomain =.oracle.com ; protocol=https:; ssoCookieName= ORASSO_AUTH_HINT

ICX_PARAMETERS.SESSION_COOKIE_DOMAIN darf auf keinen Wert gesetzt werden. Sie müssen die Einstellung SESSION_COOKIE_DOMAIN in ICX_PARAMETERS aktualisieren.

  1. Aktualisieren Sie den SESSION_COOKIE_DOMAIN-Wert in ICX_PARAMETERS:
    SQL> select SESSION_COOKIE_DOMAIN from ICX_PARAMETERS;

SESSION_COOKIE_DOMAIN
------------------------------
.oracle.com
  2. Setzen Sie session_cookie_domain in ICX_PARAMETERS auf NULL.
    update ICX_PARAMETERS set SESSION_COOKIE_DOMAIN = NULL;
commit;
  3. Starten Sie alle Services neu.
  4. Versuchen Sie das Problem erneut.

Interner Serverfehler bei der Abmeldung beheben

Wenn Sie sich von Oracle E-Business Suite abmelden, gibt der Browser die Fehlermeldung "Interner Serverfehler" aus.

Dieses Problem ist auf eine ältere Version von AppsLogoutRedirect.java auf Oracle E-Business Suite-Seite zurückzuführen.

Prüfen Sie den Header für AppsLogoutRedirect.java auf Oracle E-Business Suite-Seite: 

adident Header $JAVA_TOP/oracle/apps/fnd/sso/AppsLogoutRedirect.class
$Header AppsLogoutRedirect.java 120.10.12010000.7 2010/01/19 20:18:52 rsantis ship $

Sie müssen das aktuelle kritische Patchupdate von Januar 2013 für Oracle E-Business Suite Release 12 oder höher anwenden, um dieses Problem zu beheben. Mit diesem kritischen Patchupdate kann AppsLogoutRedirect.java die Profile APPS_SSO und APPS_AUTH_AGENT nutzen. Alle Details zum Einspielen dieses Patches finden Sie im Wissensdokument (Juli 2018) (Doc ID 2379675.1).

Zeitsynchronisierungsproblem beheben

Während des Zugriffs auf die Anwendungs-URL von E-Business Suite Asserter führte der Anwendungsanmeldeablauf von Oracle E-Business Suite zu einem internen Serverfehler.

Das HTTP-Headertrace sieht wie folgt aus:

GET https://xxxxxxxxxxxxxxxxxx.oracle.com:7002/ebs/response?code=AQIDBAVcZbun_M5qU4-t9LUCYDjAOgWYiDOrf1Kb5ndbWAEYd05C-uxDfSwP8Ejfn51WT-gTuYj6bLFFYAFHQEqgYy26MTEgRU5DUllQZZIIFFVElPTl9LRVkxNCB7djF9NCAFFFABCDEF= HTTP/1.1

Error 500--Internal Server Error
From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:
10.5.1 500 Internal Server Error
The server encountered an unexpected condition which prevented it from fulfilling the request

Das E-Business Suite Asserter-Domainlog aussieht wie folgt:

####<Sep 23, 2018 6:53:31,380 PM AST> <Error> <HTTP> <ebshost01.oracle.com>
<AdminServer> <[ACTIVE] ExecuteThread: '6' for queue: 'weblogic.kernel.Default (self-
tuning)'> <<WLS Kernel>> <> <0b38f1ae-a3cb-48f6-80d9-00e3f3bdb263-000000a0>
<1537718011380> <[severity-value: 8] [rif: 0] [partition-id: 0] [partition-name:
DOMAIN]> <BEA-101020> <[ServletContext@44159983[app:ebs module:ebs.war
path:null spec-version:3.1]] Servelet failed with an Exception

Das E-Business Suite Asserter-Log sieht ungefähr wie folgt aus:

FINE: validateToken return with result {"user_result":"America\/New_York",
"at_hash":"1A3gT4BT0WoWCTLE3IFa5A","sub":"john.doe@oracle.com","user_locale":"en",
"idp_name":"localIDP","idp_guid":"localIDP","a mr":["USERNAME_PASSWORD"],
"iss":"https: \/\/identity.oraclecloud.com\/","user_tenantname":"idcs-a61feab148e248508205cd98cdea4232",
"client_id":"67179f2609ab46309a75e5ca1f582a53","sid":"18ee87ea-04cf-4469-a565-48ccc763caf9",
"authn_strength":"2","azp":"67179f2609ab46309a75e5ca1f582a53","auth_time":"1536180435",
"session_exp":1537715029,"user_lang":"en","exp":1536209235,"iat":1536180437"idp_type":"LOCAL",
"tenant":"idcs-a61feab148e248508205cd98cdea4232","jti":"ed7be32b-d4e1-4e72-9868-6df142f07c6b",
"user_displayname":"John Doe","sub_mappingattr":"userName","tok_type":"IT",
"aud":["https:\/\/identity.oraclecloud.com\/","67179f2609ab46309a75e5ca1f582a53"],
"user_id":"63bf3d3f96094a66a6b7714218338116"}

session_exp ist auf 1537715029 gesetzt. Verwenden Sie EpochConverter, um die aktuelle Unix-Epochenzeit in eine für Menschen lesbare Uhrzeit zu konvertieren. Daher wird die Ablaufzeit im Token auf Sunday, September 23, 2018 3:03:49 PM GMT gesetzt. Die Zeit im E-Business Suite Asserter-Domainlog ist jedoch Sep 23, 2018 6:53:31,380 PM AST. Beachten Sie, dass die Greenwich-Zeit 4 Stunden vor der Atlantic-Standardzeit liegt. Daher ist die Zeit Sep 23, 2018 10:53:31 PM GMT. Das System, auf dem E-Business Suite Asserter bereitgestellt wird, ist nicht zeitlich mit OCI IAM synchronisiert, weil das von OCI IAM übergebene Token effektiv außerhalb des Gültigkeitszeitraums liegt. Daher tritt der Fehler "Token abgelaufen" auf.

Datum und Zeit auf dem System, auf dem E-Business Suite Asserter bereitgestellt ist, müssen mit NTP-Servern und somit dem OCI-IAM-Host synchronisiert werden.

Java-Fehler behandeln ExceptionInInitializerError

Beim Zugriff auf die Anwendungs-URL von E-Business Suite Asserter löst die Oracle E-Business Suite-Anwendung den Fehler java.lang.ExceptionInInitializerError aus.

Das E-Business Suite Asserter-Fehlerlog zeigt den folgenden Java-Fehler an:

<Feb 26, 2019 2:17:16,884 PM PST> <Error> <HTTP> <BEA-101020> 
<[ServletContext@2100554246[app:ebs module:ebs.war path:null spec-version:3.1]] Servlet failed with an Exception
java.lang.ExceptionInInitializerError
at com.oracle.ebs.sso.ConnectionProvider.getConnection(ConnectionProvider.java:36)
at com.oracle.ebs.sso.RequestWrapperFilter.doFilter(RequestWrapperFilter.java:34)
at weblogic.servlet.internal.FilterChainImpl.doFilter(FilterChainImpl.java:78)

Grund für falsche Einstellungen in der Datei bridge.properties. Prüfen Sie die Datei bridge.properties, und stellen Sie sicher, dass sie über die erforderliche Konfiguration verfügt. Prüfen Sie außerdem, ob der in wallet.path in der Datei bridge.properties angegebene Pfad gültig ist.

Java-Fehler RuntimeException behandeln

Während des Zugriffs auf die Anwendungs-URL von E-Business Suite Asserter löst die Oracle E-Business Suite-Anwendung java.lang.RuntimeException aus.

Das E-Business Suite Asserter-Fehlerlog zeigt den folgenden Java-Fehler an:

<Feb 26, 2019 2:01:33,454 PM PST> <Error> <HTTP> <BEA-101020> 
<[ServletContext@1207779454[app:ebs module:ebs.war path:null spec-version:3.1]] Servlet failed with an Exception
java.lang.RuntimeException: javax.naming.NameNotFoundException: Unable to resolve 'visionDS1'. Resolved ''; remaining name 'visionDS1'
at com.oracle.ebs.sso.ConnectionProvider.getConnection(ConnectionProvider.java:42)
at com.oracle.ebs.sso.RequestWrapperFilter.doFilter(RequestWrapperFilter.java:34)

Prüfen Sie, ob das ebs.ds.name-Werteset dem in WebLogic erstellten Datenquellennamen entspricht.

Deep Link-Problem beheben

Nach der OCI-IAM-Authentifizierung wird der Benutzer zurück zu Oracle E-Business Suite umgeleitet und fordert den Benutzer auf, sich erneut anzumelden, anstatt Zugriff auf Oracle E-Business Suite zu erhalten.

Grund dafür ist, dass der Deep Link nicht funktioniert.

Prüfen Sie, ob die Bridgeeigenschaft whitelist.urls konfiguriert ist. Wenn das Problem weiterhin besteht, geben Sie die Portnummern explizit in der Konfiguration whitelist.urls an. Beispiel: whitelist.urls=http://ebs.oracle.com:80/OA_HTML…. Sie können auch den JSESSION-ID-Cookienamen der E-Business Suite Asserter-App in der Datei weblogic.xml prüfen. Wenn eine andere Webanwendung in WebLogic mit demselben Cookienamen vorhanden ist, tritt ein Konflikt auf.

Probleme bei der Abmeldung

Wenn bei der Abmeldung Probleme auftreten, prüfen Sie den Parameterwert Umleitungs-URL nach der Abmeldung in OCI IAM und den Parameterwert post.logout.url in der Datei bridge.properties.

Der Parameter post.logout.url in der Datei bridge.properties ist ein optionaler Parameter. Standard ist die Angabe eines Wertes. Mit diesem Parameter leitet die E-Business Suite Asserter-Anwendung den Benutzerbrowser an die angegebene URL um, nachdem E-Business Suite Asserter den Abmeldeprozess beendet hat.

Wenn aktiviert, muss der Wert von post.logout.url in der Datei bridge.properties mit dem Parameter Umleitungs-URL nach der Abmeldung für die E-Business Suite Asserter-Anwendung in OCI IAM übereinstimmen.

  1. Öffnen Sie die E-Business Suite Asserter-Anwendung in OCI IAM, und aktualisieren Sie den Wert der Umleitungs-URL nach der Abmeldung.
  2. Öffnen Sie die Datei ebs.war, aktualisieren Sie die Datei bridge.properties, generieren Sie die Kriegsdatei neu, und stellen Sie die Datei erneut auf dem Server WebLogic bereit. Stellen Sie sicher, dass der Wert dieses Parameters mit dem Parameter Umleitungs-URL nach der Abmeldung in OCI IAM übereinstimmt.