| Oracle Access Manager IDおよび共通管理ガイド 10g(10.1.4.3) B55478-01 |
|
 戻る |
 次へ |
この章では、監査機能およびアイデンティティ・システム・コンソールを使用してこれらの機能を構成する方法を中心に説明します。内容は次のとおりです。
|
注意: データベースの監査コンポーネントのインストールの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。 |
監査機能は、ポリシーおよびプロファイル設定、システム・イベント、および使用パターンに関連するデータを収集および提示します。Oracle Access Managerでは、2種類の監査レポートを生成できます。
静的: これらのレポートは、Oracle Access Managerディレクトリ・サーバーに格納されているポリシーおよびプロファイル情報から導出されます。
詳細は、「静的監査レポート」を参照してください。
動的: これらのレポートは、システム内のサーバーから収集されるアクセス・システム・イベントおよびアイデンティティ・システム・イベントから導出されます。
最も詳細なレベルでは、動的監査レポートは、システム・イベントがいつ何によってトリガーされたかを明らかします。より上位のレベルでは、これらのレポートは、コンポーネントの負荷レベル、リソース・リクエスト・パターン、システム侵入の試行および全体的なシステム・パフォーマンスを明らかにできます。詳細は、「静的監査レポート」を参照してください。
監査に加えて、Oracle Access Managerはロギング、SNMPモニタリングおよびその他のレポート機能もサポートします。詳細は、第9章「レポート」を参照してください。
すべての動的監査レポートと一部の静的監査レポートは、ディスク・ファイル、リレーショナル・データベース、またはその両方に記録できます。一部の静的レポートは、グラフィカル・ユーザー・インタフェースを通じて制限された形式で表示することもできます。
データベース監査では、セキュリティの領域でファイル・ベースの監査に比べて次の利点があります。
すべての監査情報は、データベースでサポートされている任意のセキュリティ方式で保護できる中央データベースに格納されます。
ファイルの監査オプションは、監査データを収集する各サーバー上のプレーンテキスト・ファイルにデータを記録します。これらのファイルは、データベースレベルのセキュリティによって保護されません。
|
警告: データベース・セキュリティをフルに利用するには、システム内のすべてのアクセス・サーバーとアイデンティティ・サーバーに対してファイルの監査機能をオフにしてください。また、各サーバー・ホストのODBC.iniファイル(使用している場合)ではなく、ディレクトリ・サーバー上のRDBMSプロファイル内のデフォルトの監査データベース・ユーザー・アカウントにパスワードを格納する必要があります。 |
データは、データベースに応じてODBCまたはOCIでサポートされているトランスポート・セキュリティ方式を使用して監査データベースに送信できます。
監査データベースを使用して、Crystal Reportsはセキュリティ関連の統計を生成できます。
たとえば、特定の期間中に拒否されたリソース・リクエストの数を追跡したり、システムからロックされているユーザーのリストをまとめたりできます。
データベースの監査は、Sarbanes-Oxley、Gramm-Leach-Billey、HIPAA(1996年のHealth Information Privacy and Accountability Act)などの規制法令のコンプライアンス・レポートを支援できます。
データベースかファイルかにかかわらず、監査によってOracle Access Managerシステムのパフォーマンスが低下することがあります。監査の影響は次のように制御できます。
選択したサーバーに対してのみ監査をオンにします。
詳細は、「各アイデンティティ・サーバーの監査を有効化および構成する手順」および「各アクセス・サーバーの監査を有効化および構成する手順」を参照してください。
選択したプロファイル属性、イベントおよびアイデンティティ・システム・アプリケーションに対してのみ監査をオンにします。
詳細は、「監査のグローバル・アイデンティティ・システム・イベントおよびプロファイル属性を指定する手順」および「監査するユーザー・マネージャ、グループ・マネージャまたは組織マネージャ・イベントを指定する手順」を参照してください。
データベース監査の再試行間隔を長くして、データベースへの接続が切断された場合に、接続が復元される前に失敗した書込み試行を再送信することでサーバーがスラッシングを開始することがないようにします。
この間隔は、次のディレクトリにあるglobalparams.xmlファイル内のDBAuditRetryIntervalパラメータで制御します。
Component_install_dir\apps\common\bin
Component_install_dirは、監査動作の制御対象とするサーバーのインストール・ディレクトリです。このパラメータは、監査データベースへのデータ書込みの再試行を開始する前に待機する秒数を値として受け取ります。
ファイルベース監査の場合のみ、監査バッファのサイズを増やします。
この手段により、監査機能がハード・ディスクにアクセスする回数が削減されます。詳細は、「各アイデンティティ・サーバーの監査を有効化および構成する手順」および「各アクセス・サーバーの監査を有効化および構成する手順」を参照してください。
ファイルベース監査の場合のみ、バッファ・フラッシュ間隔を長くします。
これにより、監査機能がディスクに書き込む回数が削減されますが、システム障害時に失われるデータ量は増えます。
|
警告: サーバーに障害が発生した場合は、致命的エラーのみファイルにフラッシュされます。障害の時点でバッファ内にあった他のすべての監査項目は失われます。したがって、バッファ・サイズを増やすかバッファ・フラッシュ間隔を長くすると、システム障害時に失われる可能性のある監査データの量が増えます。 |
静的監査レポートは、Oracle Access Managerディレクトリ・サーバーに格納されているポリシーおよびプロファイル情報から生成されます。次の5種類の静的レポートを生成できます。
表11-1 静的監査レポートのタイプ
| レポート・タイプ | 説明 |
|---|---|
|
ユーザー・アクセス権限レポート |
指定した時点でユーザーまたはユーザーのグループがアクセスできるリソースのグローバル・リスト。これらは、フィルタ処理されたプロファイル問合せとも呼ばれます。詳細は、「ユーザー・アクセス権限レポートを作成および管理する手順」を参照してください。 |
|
リソース・アクセス権限レポート |
指定された時点で指定されたリソースまたはリソースのグループへのアクセスを認可されているユーザーのグローバル・リスト。これらは、フィルタ処理されたポリシー問合せとも呼ばれます。詳細は、「ユーザー・アクセス権限レポートを作成および管理する手順」を参照してください。 |
|
アクセス・テスト |
指定されたユーザーまたはユーザーのグループが指定された時点で指定されたリソースにアクセスできるかどうかを検証する制限されたオンスクリーン表示。ランダムに定義されたリソースのグループへのアクセスを、前の2つのタイプのフィルタ処理された問合せでできるのと同じ方法でテストすることはできません。 |
|
アクセス・システム診断レポート |
システム内の一部またはすべてのアクセス・サーバーのステータス情報を示すオンスクリーン表。これには、アクセス・サーバーが接続されているディレクトリ・コンポーネントに関する詳細が含まれます。詳細は、表11-2を参照してください。 |
|
アイデンティティ・システム診断レポート |
システム内の一部またはすべてのアイデンティティ・サーバーのステータス情報を示すオンスクリーン表。これには、アイデンティティ・サーバーが接続されているディレクトリ・コンポーネントに関する詳細が含まれます。詳細は、表11-2を参照してください。 |
データを監査データベースに送信できるようにするには、ドメイン内のホストに次のいずれかのデータベースをインストールし、構成する必要があります。
Oracle Access ManagerサーバーがすべてWindows上で稼働する環境では、Microsoft SQL Server。
Oracle Access Managerサーバーをホストしているコンピュータに、Oracleデータベース・サーバーまたはOracleデータベース・サーバーと通信するように構成されているOracleデータベース・クライアントが含まれている環境では、Oracle Database。
Oracle Access Managerサーバーをホストしているコンピュータ上のOracleデータベース・クライアントは、Oracleデータベース・サーバーとは異なるプラットフォームで実行できます。たとえば、Oracle Access ManagerサーバーおよびOracleデータベース・クライアントをサポートされているUNIXホストで実行し、Oracleデータベース・サーバーをWindowsホストで実行することができます。
また、Crystal Reportsプレゼンテーション・ソフトウェアをOracle Access Managerドメイン内のWindowsコンピュータにインストールし、構成できます。詳細は、「Crystal Reportsのインストール手順」を参照してください。
各サーバーで収集される監査データのタイプと量を制御できます。たとえば、認証の成功ではなく認証の失敗を記録するようにマスター監査ルールをアクセス・サーバー上で構成できます。詳細は、「アクセス・システムの監査出力形式を変更する手順」を参照してください。または、ログアウトまたはセッション期限切れの時刻ではなく各ユーザー・ログインの日時を記録するようにアプリケーション監査ポリシーをアイデンティティ・サーバー上で構成できます。詳細は、「アイデンティティ・システムの監査出力形式を変更する手順」を参照してください。
データを監査データベースに送信する場合は、監査データを提示するように事前構成されているCrystal Reportsテンプレートで収集した情報を表示できます。生成された監査レポートは、次のカテゴリに分かれます。
グローバル・ビュー・アクセス
認証
認可
アクティビティ
アイデンティティ管理
詳細は、「監査レポートについて」を参照してください。
すべての監査オプションは、表11-2で詳細に説明するようにOracle Access Managerの構成ページで設定します。
表11-2 監査オプションの設定場所
| 監査関連の機能 | GUIでの場所 | 有効範囲 |
|---|---|---|
|
「アイデンティティ・システム・コンソール」、「システム構成」、「アイデンティティ・サーバー」、「ServerName」、「変更」 ServerNameは、変更するアイデンティティ・サーバーを指定します。 |
サーバーごと |
|
|
日付書式、日付セパレータ、メッセージの書式、エスケープ文字、レコード・セパレータ、フィールド・セパレータなど、ファイルベース監査およびデータベース監査に使用されるデフォルト書式を変更します。 データベース監査を有効にするには、デフォルトのメッセージ書式文字列を置換する必要があります。「アイデンティティ・システムの監査出力形式を変更する手順」を参照してください。 他の属性を変更する場合は、Crystal Reportテンプレートとリポジトリ設定の再構成が必要な場合があります。 |
「アイデンティティ・システム・コンソール」、「共通構成」、「マスター監査ポリシー」、「変更」 |
アイデンティティ・システムのファイルベース監査とデータベース監査に対してグローバル |
|
監査するアイデンティティ・システム・イベントを指定します。これには、ログインとログアウトの成功と失敗、およびパスワード管理が含まれます。 |
「アイデンティティ・システム・コンソール」、「共通構成」、「グローバル監査ポリシー」、「変更」 |
ファイルベース監査とデータベース監査、およびアイデンティティ・システムのすべてのアプリケーションに対してグローバル |
|
RDBMSプロファイルおよび関連付けられるデータベース・インスタンスを作成または変更します。(これは、データベース監査に対してのみ必要です。) |
「アイデンティティ・システム・コンソール」、「システム構成」、「ディレクトリ・プロファイル」、「RDBMSプロファイルの構成」、「変更」 または 「アクセス・システム・コンソール」、「システム構成」、「サーバー設定」、「RDBMSプロファイルの構成」、「変更」 |
データベース監査に対してのみグローバル |
|
オンスクリーン診断表示に含めるアイデンティティ・サーバーを指定します。 注意: 「診断」ページに特定のサーバーの現在のステータスが表示されるようにするには、「診断」画面にアクセスする前にログインまたはユーザー検索を試行することにより、そのサーバーへの接続を確認します。 |
「アイデンティティ・システム・コンソール」、「システム構成」、「診断」 |
グローバル(アイデンティティ・システムの場合のみ)またはサーバー |
|
「検索」、「プロファイルの表示」、「プロファイルの変更」、「ロケーションの表示」、「ロケーションの変更」、「代替権限」、「ワークフロー」、「構成」、「非アクティブなユーザー」、「再アクティブ化されたユーザー」、「作成されたユーザー」、「削除されたユーザー」および「ワークフロー継続時間」の各イベントに対して監査成功および監査失敗データの収集をアクティブにします。 |
「アイデンティティ・システム・コンソール」、「ユーザー・マネージャ構成」、「監査ポリシー」、「変更」 |
グローバル(ユーザー・マネージャ・レポートの場合のみ) |
|
「検索」、「プロファイルの表示」、「プロファイルの変更」、「グループの表示」、「グループ・メンバーの表示」、「グループの拡張」、「グループのサブスクライブ」、「ワークフロー」、「構成」および「ワークフロー継続時間」の各イベントに対して成功データおよび失敗データの収集をアクティブにします。 |
「アイデンティティ・システム・コンソール」、「グループ・マネージャ構成」、「監査ポリシー」、「変更」 |
グローバル(グループ・マネージャ・レポートの場合のみ) |
|
「検索」、「プロファイルの表示」、「プロファイルの変更」、「包含プロファイル」、「コンテナ制限」、「ロケーションの表示」、「ロケーションの変更」、「ワークフロー」、「構成」および「ワークフロー継続時間」の各イベントに対して成功および失敗データの収集をアクティブにします。 |
「アイデンティティ・システム・コンソール」、「組織マネージャ構成」、「監査ポリシー」 |
グローバル(組織マネージャ・レポートの場合のみ) |
|
「アクセス・システム・コンソール」、「アクセス・システム構成」、「アクセス・サーバー構成」、「ServerName」、「変更」 ServerNameは、変更するアクセス・サーバーを指定します。 |
サーバーごと |
|
|
RDBMSプロファイルおよび関連付けられるデータベース・インスタンスを作成または変更します。(これは、データベース監査に対してのみ必要です。) |
「アクセス・システム・コンソール」、「システム構成」、「サーバー設定」、「RDBMSプロファイルの構成」、「作成」(または「変更」) または 「アイデンティティ・システム・コンソール」、「システム構成」、「ディレクトリ・プロファイル」、「RDBMSプロファイルの構成」 |
グローバル(ファイルベース監査とデータベース監査の両方) |
|
監査イベント(認証および認可の成功と失敗)、監査イベント・マッピング、日付書式、エスケープ文字、監査レコード形式およびキャッシュ書式設定を扱うマスター監査ルールを作成または変更します。 データベース監査を有効にするには、デフォルトの監査レコード書式文字列を置換する必要があります。詳細は、「アクセス・システムの監査出力形式を変更する手順」を参照してください。 他の属性を変更する場合は、Crystal Reportテンプレートとリポジトリ設定の再構成が必要な場合があります。 |
「アクセス・システム・コンソール」、「アクセス・システム構成」、「共通情報の構成」、「マスター監査ルール」、「変更」 |
グローバル(アクセス・システムのファイルベース監査とデータベース監査の両方) |
|
オンスクリーン診断表示に含めるアクセス・サーバーを指定できます。 注意: 「診断」ページに特定のOracle Access Managerサーバーの現在のステータスが表示されるようにするには、「診断」画面にアクセスする前にログインまたはユーザー検索を試行することにより、そのサーバーへの接続を確認します。 |
「アクセス・システム・コンソール」、「システム管理」、「診断」 |
グローバル(アクセス・システムの場合のみ)またはサーバー |
|
「アクセス・システム・コンソール」、「システム管理」、「レポートの管理」、追加」または「変更」 |
サーバー |
画面への監査レポートの表示またはディスク・ファイルへの監査出力の送信を行うために、特別なコンポーネントをインストールする必要はありません。
データベースの監査は、特定のOracle Access Managerシステム構成に制限され、次の各項で詳細に説明するように特別なコンポーネントのインストールを必要とします。
この項には、次の各項目が含まれます。
監査を構成する際の要件を次に示します。
Oracle Access Manager 10.1.4.0.1で監査をする場合、データベース・クライアントのSQLplusを使用してターゲット・データベースに接続できることを確認してください。
Oracle Access Manager 10.1.4.0.1で監査をする場合、ORACLE_HOME環境変数が正しく設定されていることを確認してください。
Oracle Access Manager 10.1.4.0.1で監査をする場合、最新のホット・フィックスおよびパッチを適用してください。
Oracle Access Manager 10.1.4.0.1以降のバージョンでは、Oracle OCIをデータベース監査に使用する場合、あらゆる種類のオペレーティング・システムを選択できる必要があります。
データベース監査には、次の項で概説する特別なコンポーネントが必要です。インストールの詳細は、『Oracle Access Managerインストレーション・ガイド』を参照してください。
データベースの監査を有効にするには、表11-3にリストする様々なコンポーネントをインストールする必要があります。
表11-3 データベース監査に必要な特別なコンポーネント
| プラットフォーム | インストール上の注意 |
|---|---|
|
Oracle Call Interface(OCI)のあるWindowsおよびサポートされているUNIXプラットフォーム上にインストールされたOracle Access Manager 10.1.4.0.1 |
サポートされているオプションは次のとおりです。
最新のプラットフォーム・サポート情報を入手するには、「サポートされているバージョンおよびプラットフォームへの更新」を参照してください。 |
|
Oracle Call Interface(OCI)のあるWindowsおよびサポートされているUNIXプラットフォーム上にインストールされたOracle Access Manager 10.1.4.2 |
サポートされているオプションは次のとおりです。
注意: 最新のプラットフォーム・サポート情報を入手するには、「サポートされているバージョンおよびプラットフォームへの更新」を参照してください。 |
|
ODBCのあるWindows上にインストールされたOracle Access Manager 10.1.4.0.1または10.1.4.2 |
Oracle Databaseサーバー用のODBCのあるWindowsプラットフォーム上の要件を次に示します。
MS SQL Server用のODBCのあるWindowsプラットフォーム上の要件を次に示します。
注意: Microsoft SQL Serverを使用している場合、監査データベースに接続されているすべてのサーバーをWindowsホスト上で稼働する必要があります。SQL Serverを使用する場合は、追加のデータベース・ドライバをインストールする必要はありません。 最新のプラットフォーム・サポート情報を入手するには、「サポートされているバージョンおよびプラットフォームへの更新」を参照してください。 |
|
Crystal Reports |
ODBCデータベースにアクセスできるWindowsコンピュータに、Crystal Reportsに加えて必要なパッチをインストールします。詳細は、「監査レポートの設定」を参照してください。Crystal ReportsホストではWindowsを実行する必要があります。 次のCrystal Reportsパッケージはテスト済です。 Crystal Reports 9.22a、Advanced Edition、patch = CR90DBEXWIN_EN_200403 |
この統合に対してサポートされている最新のバージョンおよびプラットフォームを確認するには、次のようにOracle Technology Network(OTH)を参照してください。
Oracle Technology Networkに移動します。URLは次のとおりです。
http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html
Oracle Access Managerの動作保証のリンクを探してクリックします。
図11-1および図11-2に、1台以上のホスト・コンピュータ上にOracle Access Managerサーバー、別のホスト上にOCIまたはODBC準拠のデータベース・サーバー、さらに別のホスト上にCrystal Reportsアプリケーションがある分散環境を示します。
より単純なデプロイでは、Oracle Access Managerシステム全体とすべてのデータベース監査コンポーネントを1台のWindowsコンピュータにインストールできます。単一ホスト・シナリオでは、OracleデータベースをODBCとともにインストールする場合、ODBCデータ・ソース定義の1つの表(1つのODBC.iniファイル)のみホストに必要です。
図11-1および図11-2に、データベースの監査を有効にするためにインストールおよび構成するコンポーネントを示します。
図11-1は、4台のホスト・コンピュータに分散されているSQL Server上のデータベースの監査アーキテクチャを示しています。この構成では、すべてのアクセス・サーバーおよびアイデンティティ・サーバーがWindows上で稼働し、データベースがWindows上で実行されている必要があります。LDAPサーバーは必ずしもWindowsベースにする必要はありません。
図11-2に、Oracle Databaseを使用して監査するためのアーキテクチャを示します。
アイデンティティ・サーバーまたはアクセス・サーバーは、Windowsまたは監査でサポートされているUNIXプラットフォーム上に存在できます。
Windows上では、ODCBおよびOCI接続タイプが監査データベースでサポートされています。
UNIXプラットフォーム上では、OCI接続タイプのみがサポートされています。
バージョン10.1.4.0.1のアイデンティティ・サーバーまたはアクセス・サーバーをホストするコンピュータ上では、OCI接続タイプを使用する場合、ホストにORACLE_HOMEバージョン10.1.0.5をインストールする領域が必要です。
10.1.0.5のORACLE_HOMEは、Oracle Databaseクライアント・インストールまたはOracle Databaseサーバー・インストールです。
バージョン10.1.4.2のアイデンティティ・サーバーまたはアクセス・サーバーをホストするコンピュータ上では、OCI接続タイプを使用する場合、ホストにORACLE_HOMEをインストールする領域は不要です。
Windows上でODCB接続タイプを使用する場合、アイデンティティ・サーバーまたはAccessサーバーをホストするコンピュータには、バージョン10.1.0.5と同様のORACLE_HOMEは不要です。
Oracle Databaseサーバーは異なるコンピュータに存在でき、そのバージョンは、9.2.0.7または10.2.0.2です。
次の各項では、OCI接続タイプを使用するOracleデータベースを監査している場合の構成の要件について説明します。
Oracle Access Manager 10.1.4.0.1では、OCI接続タイプを使用したOracleデータベースを監査する場合、アイデンティティ・サーバーまたはAccessサーバーをホストするコンピュータに次のいずれかが含まれている必要があります。
Oracle Databaseサーバー10.1.0.5
Oracle Databaseクライアント10.1.0.5
アイデンティティ・サーバーまたはアクセス・サーバーのいずれかのホストに、Oracle Databaseクライアント・サーバーがインストールされていない場合、インストールする必要があります。
Oracle Access Manager 10.1.4.2では、アイデンティティ・サーバーおよびアクセス・サーバーにOCIインスタント・クライアント・バイナリがインストールされています。そのため、Oracle Databaseサーバーまたはクライアントを含むOracleホーム・ディレクトリは必要ありません。
Oracle Access Manager 10.1.4.2では、次のファイルを含むディレクトリにTNS_ADMIN環境変数を設定します。
Oracle_database_server/NETWORK/ADMIN/tnsnames.ora
監査データベース・サーバーがアイデンティティ・サーバーおよびアクセス・サーバーではないホスト・コンピュータにある場合、ファイルtnsnames.oraをアイデンティティ・サーバーまたはアクセス・サーバー上のディレクトリにコピーして、TNS_ADMIN環境変数をtnsnames.oraのある新しいディレクトリに設定します。
サポートされているUNIXプラットフォーム上のOCI Instant Client 10.1.0.5では、構成ファイルtnsnames.oraには制限があります。ファイル内のすべてのエントリは、1行内に納める必要があります。完全なエントリは、次のようになります。
OCIDB2=(DESCRIPTION=(ADDRESS=(PROTOCOL=TCP)(HOST=host)(PORT=1521))(CONNECT_DATA=SERVICE_ NAME=OCIDB2)))
エントリが1行以上になる場合、Oracle Access ManagerサーバーがOracle Databaseサーバーの接続に使用されるサービス名の解決に失敗します。
ODBCデータ・ソース定義は、Oracle Access ManagerサーバーやCrystal Reportsなどのクライアント・アプリケーションがSQL ServerまたはMicrosoft Access(.MCPO)用に書式設定されたODBC 3.0準拠のデータベースに接続するために必要な情報をすべてカプセル化します。
ODBCデータ・ソース定義は、監査データベースに接続されているアプリケーションをホストする各Windowsコンピュータ上のODBC.iniという名前のファイルに格納されます。このようなODBCデータ・ソース定義のリストは、ある特定のコンピュータに1つのみ存在する必要があり、そのファイルは監査データベースに接続するすべてのアプリケーションによって共有されます。
一般にユーザーは、Windows管理GUIを使用してデータ・ソース定義を追加または変更します。
このGUIは多くの構成詳細を隠すため、ユーザーはODBC.iniが存在すること、またその場所を意識する必要はありません。
ODBC接続タイプを使用するOracleデータベースを監査している場合、ユーザーは環境変数ORACLE_HOMEも設定する必要があります。このことは、監査されているOracle Access Managerコンポーネントのホスト・コンピュータに、別のコンピュータ上のOracleデータベース・サーバーと通信するように構成されているOracleデータベース・クライアントが含まれている場合に当てはまります。Oracle Databaseサーバーが、監査されているコンポーネントと同じコンピュータに存在する場合、ユーザーはORACLE_HOMEを設定する必要はありません。
次の表に、データ・ソース定義内の最も重要な属性をリストします。
表11-4 ODBCデータ・ソース定義の重要属性
| 属性 | 説明 |
|---|---|
|
DSN(データ・ソース名) |
特定のデータ・ソースにアクセスするすべてのクライアントの一意のデータ・ソース定義が識別されます。(DSNという用語は、ODBCデータ・ソース定義全体を示すものとして不正確に使用されることがよくあります。) DSNは、Oracle Access Manager環境内で一意である必要があります。さらに、特定のDSNを参照しているすべてのODBC.iniファイルおよびRDBMSプロファイルには、ログイン名、パスワード、データベースなど、そのDSNに関連する同一情報が含まれている必要があります。 |
|
ユーザー |
ODBCデータ・ソースのアクセスおよび変更を認可されたデータベース・ユーザー・アカウントを識別します。Oracle Access ManagerサーバーまたはCrystal Reportsアプリケーションは、データ・ソースにアクセスする必要がある場合に、このアカウントを使用してデータベース・セキュリティ・スキームに資格証明を提供します。 SQL Serverの場合、デフォルトのユーザー・アカウントは、システム管理者を意味する"sa"です。 |
|
パスワード |
これは、「ユーザー名」で指定されたアカウントに関連付けられているパスワードです。このパスワードは、監査データベースのデフォルト・ユーザー・アカウントで指定し、RDBMSプロファイル、または監査データベースに接続している各Oracle Access Managerサーバー上のODBC.iniファイル内のODBCデータ・ソース定義でもう一度指定します。 ODBCデータ・ソース定義とRDBMSプロファイルの両方でパスワードを指定する場合、ODBCデータ・ソース定義はパスワード文字列を暗号化されていない形式で各Oracle Access ManagerホストのODBC.iniに格納し、RDBMSプロファイルは文字列を暗号化された形式でOracle Access Manager LDAPディレクトリ・サーバーに格納することに注意してください。 |
|
データベース |
これは、ターゲット・データ・ソースの名前であり、データベースの監査機能では次のいずれかです。 |
|
サーバー |
これは、RDBMSサーバー(SQL Server)が存在するコンピュータの名前です。 |
|
ポート |
これは、RDBMSサーバーが着信リクエストをリスニングするポートです。 |
|
ドライバ |
ローカル・コンピュータ上のODBCドライバ・ライブラリへの完全修飾パスです。 |
|
説明 |
データ・ソース定義の識別に役立つ詳細です。 |
ODBCドライバ・ライブラリは、接続先のデータベース・サーバーのタイプおよびドライバがインストールされているプラットフォームのタイプに固有です。
各ODBCドライバは、監査データベースへの接続を容易にするライブラリを提供します。
ODBCドライバは、監査データベースに接続するOracle Access Managerサーバーをホストしているコンピュータごとに存在する必要があります。アクセス・サーバーとアイデンティティ・サーバーの両方が同じコンピュータに存在する場合、そのホストには単一のODBCドライバのみ必要です。
デフォルトでは、WindowsはSQL ServerのODBCドライバを\Windows\System32ディレクトリにインストールします。このドライバは、「スタート」、「プログラム」、「管理ツール」、「データ ソース(ODBC)」にナビゲートすることで起動するODBCデータ・ソース・アドミニストレータを使用してアクセスできます。
ODBCデータ・ソース・アドミニストレータの「About」タブには、ドライバのバージョン番号が表示されます。なんらかの理由で、インストールされているバージョンが3.5より低い場合、またはドライバが損傷しているか存在しない場合は、ドライバをダウンロードできます。詳細は、自己インストール・ファイルodbc35in.exeについてMicrosoft社に問い合せてください。
RDBMSプロファイルは、すべてのアイデンティティ・サーバーおよびアクセス・サーバーが監査データを送信する監査データベースの定義です。RDBMSプロファイルは、フェイルオーバー時に使用するためのプライマリおよびセカンダリ・データベース・インスタンスに対して定義できます。
RDBMSプロファイルは、Oracle Access Managerディレクトリ・サーバー上に存在し、そのディレクトリ・サーバーに接続されているすべてのアクセス・サーバーおよびアイデンティティ・サーバーによってアクセスされます。RDBMSプロファイルは、アクセス・システム・コンソールまたはアイデンティティ・システム・コンソールで構成します。詳細は、「RDBMSプロファイルを作成する手順」を参照してください。
一般に、レポート(静的レポート)と監査(動的レポート)が1つのRDBMSプロファイルを共有します。特定の機能(レポートや監査など)を使用するすべてのアクセス・サーバーおよびアイデンティティ・サーバーは、同じRDBMSプロファイルを使用する必要があります。
LDAPデータベース・プロファイルは、サーバーおよび操作に固有です。これらは、アクセス・サーバーおよびアイデンティティ・サーバーにより共有できますが、必ずしも共有する必要はありません。各LDAPデータベース・プロファイルが同じLDAPサーバーおよび操作用に設定されていても、2つ以上のアクセス・サーバーまたはアイデンティティ・サーバーがそれぞれ異なるLDAPデータベース・プロファイルを使用できます。
各RDBMSプロファイルは、ODBCまたはOCI接続タイプに対して構成できます。RDBMSプロファイルには、アクセス・サーバーまたはアイデンティティ・サーバーと監査データベース間の接続を構成するデータベース・インスタンス定義が含まれます。ODBC接続タイプの場合、データベース・インスタンスには、監査データベースへの接続に使用されるODBCデータ・ソース定義のDSN(データ・ソース名)が含まれます。これには、表11-4にリストされている属性のコピーも含まれます。
同じDSNは、監査データベースに接続されているアクセス・サーバーまたはアイデンティティ・サーバーをホストする各コンピュータのODBC.iniファイル内に出現します。RDBMSプロファイル・サーバーに格納されているDSNに関連する詳細は、Oracle Access Managerシステム全体のODBC.iniファイル内のそのDSNの各インスタンスに関連付けられている詳細と完全に一致する必要があります。
関連付けられている属性が一致しない場合は、RDBMSプロファイルに記録されているUSERおよびPASSWORDの値が、ODBC.iniに格納されている対応する値に優先します。一方、ODBC.iniに格納されているDATABASEおよびその他の属性は、RDBMSプロファイル内の対応する値に優先します。1つの場所にある値が他の場所に格納されている値で上書きされることはありません。
各RDBMSプロファイルは、ODBCまたはOCI接続タイプに対して構成できます。RDBMSプロファイルには、アクセス・サーバーまたはアイデンティティ・サーバーと監査データベース間の接続を構成するデータベース・インスタンス定義が含まれます。OCI接続タイプの場合は、データベース・インスタンス定義でグローバル・データベース名(GDN)を指定します。データベース・インスタンスには、表11-4にリストされている属性のコピーも含まれます。
監査データベースは、システム内のすべてのアクセス・サーバーおよびアイデンティティ・サーバーからデータを収集します。Oracle Access Managerでは、次のデータベースがサポートされます。
Windowsプラットフォームで稼働するSQL Server上のODBC 3.0準拠データベース
WindowsおよびUNIXベースのコンピュータ上で稼働するODBC 3.0およびOCI準拠のOracle Database
データベースの監査のコンテキストでは、orMap.iniファイルを使用してOracleリポジトリとCrystalリポジトリをリンクするため、この2つは同義です。「orMap.iniの編集手順」を参照してください。
このリポジトリは、次のリソースを含むMicrosoft Access形式(.mdb)のデータベースです。
監査レポートで使用される.gifファイル
監査レポートで使用されるSQL問合せおよびコマンド
カスタム・ファンクション
監査レポートに一貫性のあるルック・アンド・フィールを与えるテンプレート
サンプル・レポート
図11-3に、リポジトリ内の共通リソース、アイデンティティ・リソースおよびアクセス・リソースの編成を示します。
表11-5で、監査レポートについて説明します。
表11-5 監査レポート内のコンテンツ・タイプ
| 監査データ・タイプ | 監査レポート・タイプ | 説明 |
|---|---|---|
|
認証/動的 |
特定のサーバー上またはOracle Access Managerシステムで特定の期間中に発生した認証の成功および失敗の数。 |
|
|
認可/動的 |
特定のサーバー上またはOracle Access Managerシステムで特定の期間中に発生した認可の成功および失敗の数。 |
|
|
ユーザー別のアクセス失敗 |
認可/アクティビティ/動的 |
特定の期間中に失敗した特定のユーザーからの認可リクエストの数。 |
|
リソース別のアクセス失敗 |
認可/アクティビティ/動的 |
特定の期間中に失敗した特定のリソースに対する認可リクエストの数。 |
|
アクセス権限 |
フィルタ処理された問合せ/静的 |
2種類のアクセス権限レポートがサポートされています。
この情報は、ファイルまたはデータベースに記録されると、ユーザー・アクセス権限レポートまたは拡張フィルタ処理プロファイル問合せと呼ばれるようになります。詳細は、「ユーザー・アクセス権限レポートを作成および管理する手順」を参照してください。 より単純な問合せがGUIを通じて表示されると、それらの問合せはアクセス・テスター出力と呼ばれるようになります。 このタイプの監査情報は静的です。アクセス・サーバーまたはアイデンティティ・サーバーからイベントごとに履歴的に収集されるのではなく、ディレクトリ・サーバーに格納されているポリシー情報から導出されます。 |
|
ユーザー・プロファイル履歴 |
アイデンティティ管理/動的 |
すべてのユーザーのパスワード、ポリシー、プロファイルなどに対する変更です。 |
|
グループ履歴 |
アイデンティティ管理/動的 |
特定の期間中にユーザーが追加または削除したグループのリストです。 |
|
失効したユーザー |
アイデンティティ管理/動的 |
システムからロックアウトされたユーザーのリストです。 |
|
非アクティブなユーザー |
アイデンティティ管理/動的 |
アクセス・アカウントが非アクティブ化されているユーザーのリストです。再アクティブ化されたユーザーのリストも生成できます。 |
|
パスワード変更 |
アイデンティティ管理/動的 |
特定の期間中にシステム全体で変更されたパスワードの数。 |
|
ユーザー・ステータス変更 |
アイデンティティ管理/動的 |
特定のユーザーが特定の期間中に追加されたグループ。 |
|
アイデンティティ履歴 |
アイデンティティ管理/動的 |
1人以上の個々のユーザーのパスワード、ポリシー、プロファイルなどに対する変更です。 |
|
ワークフロー実行時間 |
アイデンティティ管理/動的 |
特定の期間中にワークフローを完了するために要した平均および最大の時間です。 |
ファイルベース監査のオンおよびオフ、個々のアクセス・サーバーまたはアイデンティティ・サーバーによって生成された監査ファイルの名前と場所の変更は、Oracle Access Manager GUIを使用して行います。デフォルトでは、監査フラグはすべてのOracle Access Managerサーバーに対してオフになります。次の2つの手順では、それぞれアイデンティティ・サーバーとアクセス・サーバーのファイルベース監査のアクティブ化と構成の手順を詳細に説明します。
|
注意: 各Oracle Access Managerサーバーの監査フラグは個別にアクティブにする必要があります。 |
次の3つのカテゴリの監査設定のデフォルトを変更することもできます。
共通: 詳細は、「監査のグローバル・アイデンティティ・システム・イベントおよびプロファイル属性を指定する手順」を参照してください。
Oracle Access Managerサーバー固有: 詳細は、「各アイデンティティ・サーバーの監査を有効化および構成する手順」および「各アクセス・サーバーの監査を有効化および構成する手順」を参照してください。
アイデンティティ・システム・アプリケーション固有: 詳細は、「監査するユーザー・マネージャ、グループ・マネージャまたは組織マネージャ・イベントを指定する手順」を参照してください。
前のリストのカテゴリは、ファイルベース監査とデータベース監査の両方に適用されます。
アイデンティティ・サーバーのファイルベース監査を構成する手順
アイデンティティ・システムのランディング・ページで、「アイデンティティ・システム・コンソール」をクリックします。
アイデンティティ・システムにすでにログインしている場合は、「アイデンティティ・システム・コンソール」タブをクリックします。
「システム構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「アイデンティティ・サーバー」をクリックします。
アイデンティティ・サーバーのリストで、変更するサーバーのリンクを選択します。
ファイルの監査設定を確認します。
表11-6に、ファイルの監査の構成パラメータを説明します。
表11-6 ファイルの監査構成パラメータ
| パラメータ | 説明 | デフォルト |
|---|---|---|
|
ファイルの監査フラグ(監査オン/オフ) |
ファイル機能を「オン」または「オフ」にするラジオ・ボタン。 |
オフ |
|
監査ファイル名 |
監査しているアクセス・サーバーまたはアイデンティティ・サーバーの監査ファイルの絶対パスと名前を指定できます。 次のように指定すると便利な場合があります。 Component_install_dir\oblix\log\auditfile.lst Component_install_dirは、アクセス・サーバーまたはアイデンティティ・サーバーのルート・インストール・ディレクトリです。 |
[空白] |
|
監査ファイルの最大サイズ |
このサイズ(バイト単位)にほぼ達すると、既存の監査ファイルが閉じられて次の名前に変更されます。
AuditFIleNameは監査ファイルの名前で、TimeStampは1971年1月1日からファイルが作成された時点までの秒数の数値表現です。デフォルトでは、AuditFileNameはAuditFileです。 同時に、AuditFileNameという名前の新しい監査ファイルが作成され、入力用に開かれます。 |
100000 |
|
監査ファイル・ローテーション間隔 |
監査ファイル名が変更され、作成された新しい監査ファイルで置換される頻度(秒単位)。 時間ベースのローテーションは、監査ファイルの現在のサイズに関係なく行われます。詳細は、この表の前の行を参照してください。 |
7200 |
|
監査バッファ最大サイズ(バイト) |
この量の監査データ(バイト単位)がバッファに累積されると、バッファ全体がディスクに書き込まれます。 |
[空白] |
|
監査バッファ・フラッシュ間隔 |
この秒数が経過すると、バッファ内のデータ量に関係なく監査バッファの内容が監査ファイルに書き込まれます。 |
7200 |
アクセス・システムのランディング・ページで、「アクセス・システム・コンソール」のリンクをクリックします。
アクセス・システムにすでにログインして、ポリシー・マネージャで作業している場合は、ページの上部にある「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム構成」タブをクリックし、左側のナビゲーション・ペインの「アクセス・サーバー構成」をクリックします。
「アクセス・サーバー構成」ページのリストから、変更するアクセス・サーバーを選択します。
「アクセス・サーバーの詳細」ページで、監査ファイル設定を確認します。
いずれかの設定を変更する場合は、ページの下部にある「変更」ボタンをクリックします。
「アクセス・サーバーの変更」ページで、監査ファイル・パラメータを変更します。
次に、データベース監査を設定するための上位レベルのタスクを示します。
Oracle Access Manager環境を設定および検証します。
詳細は、「データベース監査用のシステムの設定」を参照してください。
RDBMSアプリケーション(SQL ServerまたはOracleデータベース)をインストールおよび構成してから、Oracle Access Manager監査データベースを作成および構成します。
詳細は、「データベース監査用のシステムの設定」を参照してください。
データベース監査用にOracle Access Managerを構成します。
OCI接続タイプの場合は、RDBMSプロファイルを作成します。ODBC接続タイプの場合、これには、ODBCデータ・ソース定義およびRDBMSプロファイルを作成することによりOracle Access Managerサーバーが監査データベースに接続できるようにする処理が含まれます。アイデンティティ・システムとアクセス・システムの両方を監査用に構成し、検証する必要もあります。
詳細は、「監査の構成」を参照してください。
Crystal Reportsをインストールおよび構成し、Oracle Access Manager監査テンプレートが監査データベース情報を表示できることを確認します。
詳細は、「監査レポートの設定」を参照してください。
Oracle Access Manager監査データベースは、SQL ServerまたはOracle Databaseで稼働しているODBC 3.0準拠データベース、またはOCI準拠のOracle Databaseです。
SQL Serverをインストールしている場合は、「SQL Serverのインストールについて(Windows)」を参照してください。
データベース・サーバー上でOracle Access Manager監査データベースを作成および構成します。
「Windows上のSQL Server: 監査データベースの作成手順」、「Windows上のOracle Database: 監査データベースの作成手順」または「サポートされているUNIX上のOracle Database: 監査データベースの作成手順」を参照してください。
Oracleデータベースを作成している場合は、Unicodeキャラクタ・セット(AL32UTF8)を指定します。
SQL Serverインストール環境では、デフォルトでUnicodeキャラクタ・セットUCS-2を使用します。
各国語キャラクタ・セットとして「UTF-8」を選択します。
監査およびレポート・スキーマを監査データベースにアップロードします。
「タスクの概要: 監査スキーマのアップロード」を参照してください。
監査データベースにデータを送信する各Oracle Access Managerサーバーで、ODBCデータ・ソース定義(システムDSN)を作成します。
「ODBCデータ・ソース定義を作成する手順(Windows)」を参照してください。
Oracle Access Manager LDAPディレクトリ・サーバーにRDBMSプロファイルを作成し、ディレクトリ・サーバーに接続している各アクセス・サーバーまたはアイデンティティ・サーバーがホスト・コンピュータ上のODBCデータ・ソース定義を認識できるようにします。
「RDBMSプロファイルを作成する手順」を参照してください。
すべてのOracle Access Managerサーバーを再起動します。
「RDBMSプロファイルを表示可能にする手順(Windows)」または「RDBMSプロファイルを表示可能にする手順(サポートされているUNIXプラットフォーム)」を参照してください。
SQL Server 2000のStandard Edition、Enterprise EditionまたはDeveloper Editionを使用できます。
SQL Serverを使用する他のOracle Access Manager機能(たとえば、SharePoint Portal Server統合)の実装を計画している場合、SQLインストール環境が各機能で指定されている最低要件を満たしていれば、監査機能は単一のSQL Serverインストール環境をこれらの他の機能と共有できます。
Microsoftが提供している指示に従ってSQL Serverをインストールします。インストール・ウィザードにより、設定オプションの指定を求められます。ほとんどの場合は、ウィザード・ページを進むときにデフォルトを受け入れる必要があります。ただし、最初に次の表を確認して、デフォルトと異なる設定を入力します。
表11-7 SQL Serverインストールの特殊な設定
| ウィザード・ページ設定 | 指定内容 |
|---|---|
|
autorun.exeの開始画面 |
「SQL Server 2000 Components」、「Install Database Server」 |
|
インストール・ターゲット |
「Local Computer」 |
|
インストール・オプション |
「Create a new instance of SQL Server」 |
|
インストールのタイプ |
「Server and Client Tools」 |
|
インスタンス名 |
「Default」 |
|
設定のタイプ |
「Typical」 |
|
サービス・アカウント |
「Use the same account for each service.Auto Start SQL User Service」 |
|
サービス設定 |
「Use Local System account」 デフォルトのログイン名(ログインIDやユーザー名とも呼ばれる)は"sa"です。「blank password」というラベルの付いたボックスが選択されている場合は、パスワードを空白にできます。「blank password」が選択されていない場合は、任意のパスワードを指定できます。 どちらの場合も、ログイン名と関連パスワードを記録し、各Oracle Access Managerサーバー・ホストでRDBMSプロファイルおよびODBCデータ・ソース定義を作成する際に正確に再現できるようにしてください。 |
|
認証モード |
「Mixed Mode」 |
SQL Serverをインストールした後で、「Windows上のSQL Server: 監査データベースの作成手順」に進みます。
Oracle Access Manager監査データベースを作成する手順は、SQL ServerとOracle Databaseのどちらを使用しているかによって異なります。
Windows上のSQL Server: 監査データベースの作成手順
SQL Serverをホストしているコンピュータで、次のようにナビゲートします。
My Computer, Manage, Services and Applications, Microsoft SQL Servers, hostname
hostnameは、SQL ServerをホストしているコンピュータのWindowsサービス名です。
「コンピュータの管理」ウィンドウの左側のペインで、SQL Serverがインストールされているコンピュータのホスト名の下にあるブランチで「データベース」を右クリックし、「新規データベース」をクリックします。
データベースの説明的な名前を選択し、「OK」をクリックします。
新規データベースを表すアイコンが、「コンピュータの管理」ウィンドウの右側のペインに表示されます。
「監査スキーマのアップロード」に進みます。
Windows上のOracle Database: 監査データベースの作成手順
Oracle Databaseサーバーを起動します。
「スタート」→「プログラム」→「Oracle - OraDb10g_home1」→「Configuration and Migration tools」→「Database configuration assistant」をクリックすることにより、Database Configuration Assistantを起動します。
ウィザードでグローバル・データベース名を求められたら、名前を記録し、Oracle Access ManagerのRDBMSプロファイルのデータベース・インスタンス定義でその名前を使用します。
「初期化パラメータ」画面で、データベース・キャラクタ・セットとして「AL32UTF8」を選択し、各国語キャラクタ・セットとして「UTF8」を選択します。
「監査スキーマのアップロード」に進みます。
サポートされているUNIX上のOracle Database: 監査データベースの作成手順
次のディレクトリにあるOracle Databaseサーバーを起動します。
ORACLE_HOME/bin/dbca
Database Configuration Assistantを起動します。
ウィザードでグローバル・データベース名を求められたら、名前を記録し、Oracle Access ManagerのRDBMSプロファイルのデータベース・インスタンス定義でその名前を使用します。
「初期化パラメータ」画面で、データベース・キャラクタ・セットとして「AL32UTF8」を選択し、各国語キャラクタ・セットとして「UTF8」を選択します。
監査スキーマをチューニングします。
詳細は、「監査スキーマのチューニング」を参照してください。
監査スキーマをアップロードします。
詳細は、「監査スキーマのアップロード」を参照してください。
OracleデータベースでOCIを使用して監査を実行する場合は、デフォルトのスキーマを使用する必要があります。この項の情報は適用されません。
ODCB接続タイプを使用したMS SQL ServerおよびOracleデータベースの場合、アップロード前または後にオプションで監査スキーマをチューニングできます。この項では、チューニングは、監査レコードのフィールド・タイプ(MS SQL ServerではncharvarまたはOracleデータベースではncharvar2)の最大長を長くまたは短くすることを意味します。
MS SQL Serverの監査スキーマ・パスは、次のとおりです。
OracleAccessManager_Install_dir\oblix\reports\crystal\audit.sql
デフォルトでは、MS SQL Serverのアイデンティティ・サーバーまたはアクセス・サーバーの監査レコードのすべてのnvarcharフィールドの値は、最初の170文字に切り捨てられます。MS SQL Server 2000では、レコードの合計サイズは、8060バイトの制限を超えることはできません。各nvarcharは2バイトのメモリーを占有します。デフォルトのスキーマの各nvarcharフィールドの最大サイズは、340バイトです。デフォルトの監査レコードの最大サイズは、7836バイトで、これは(340 * 23)+ 8 +(2 * 2)+ 4と同等です。
Oracleデータベースの監査スキーマ・パスは、次のとおりです。
OracleAccessManager_Install_dir\oblix\reports\crystal\audit_oracle.sql
デフォルトでは、Oracleデータベースのアイデンティティ・サーバーまたはアクセス・サーバーの監査レコードのすべてのnvarchar2フィールドの値は、最初の255文字に切り捨てられます。
次のフィールドの列の長さを長くまたは短くできます。
adminDN
applicationInfo
applicationName
exceptionString
オブジェクト
理由
sourceUserDN
targetUserDN
URL
userProfileAttrs
webGateContextInfo
たとえば、ODCB接続タイプを使用したOracleデータベースでは、exceptionStringフィールドのデフォルトの最大長が十分ではない場合、これを最大400文字などに長くできます。
監査スキーマをアップロード前に変更できます。また、監査スキーマがすでにアップロードされて監査レコードが含まれている場合は、既存のスキーマを変更できます。
テキスト・エディタで次のファイルを開きます。
component_installdir/apps/common/bin/globalparams.xml
ここで、component_installdirは、アクセス・サーバーまたはアイデンティティ・サーバーのインストール・ディレクトリです。
アクセス・サーバーおよびアイデンティティ・サーバーの両方のglobalparams.xmlファイル内で、DBAuditTruncateDataToColLengthパラメータの値を"true"に設定します。
詳細は、『Oracle Access Managerカスタマイズ・ガイド』の付録「パラメータ・リファレンス」を参照してください。
スキーマがデータベースにアップロードされている場合、変更コマンドを使用して、データベース内のnvarcharフィールドの長さを変更することもできます。
次に、MS SQL Serverの例を示します。
alter table oblix_audit_events alter column exceptionString nvarchar(400);
次に、Oracleサーバーデータベースの例を示します。
alter table oblix_audit_events modify exceptionString nvarchar2(400);
スキーマがデータベースにアップロードされていない場合、データベースの指示に従って、アップロード前にデータベース内の列の長さを変更します。
監査スキーマにより、Oracle Access Managerサーバーから監査データをインポートし、そのデータをCrystalリポジトリにエクスポートできます。データはOracle Access Manager監査レポートに表示されます。
Oracle Access Manager監査スキーマおよびサポートするリソースをOracle Access Managerサーバー・ホストからOracle Access Manager監査データベース・ホストにコピーします。
コピー手順は、Windows間転送とUNIX間転送のどちらを実行しているかに応じて異なります。詳細は、次の項を参照してください。
詳細は、「監査およびレポート・スキーマを監査データベース・ホストにコピーする手順」を参照してください。
監査およびレポート・スキーマを監査データベースにアップロードし、アップロードに成功したことを確認します。これは、SQL ServerとOracle Databaseのどちらを使用しているかによって異なります。詳細は、次の項を参照してください。
監査およびレポート・スキーマを監査データベース・ホストにコピーする手順
Oracle Access Managerサーバーをホストしている任意のコンピュータで、次の場所にナビゲートすることによりOracle Access Manager監査スキーマを含むディレクトリを特定します。
Component_Install_dir\oblix\reports\crystal
Component_install_dirは、Oracle Access Managerサーバーのルート・インストール・ディレクトリ(たとえば、IdentityServer_install_dir\identity\)です。
特定のオペレーティング・システムおよびネットワーク・ドメインで使用可能な任意の手段を使用して、Oracle Access Manager監査データベースをホストしているコンピュータ上のディレクトリにファイルaudit.sqlをコピーします。
監査データベースをOracle Access Managerサーバーのいずれかと同じコンピュータにインストールした場合、この手順は不要です。
使用しているデータベース・アプリケーションに応じて、次の手順に進みます。
Windows上のSQL Server: 監査スキーマのアップロード手順
SQL Serverをホストしているコンピュータで、次のようにナビゲートします。
「スタート」、「プログラム」、「Microsoft SQL Server」、「Query Analyzer」
「SQL Query Analyzer」ウィンドウに「Connect to SQL Server」ページが表示されていない場合は、次のようにナビゲートします。
「File」、「Connect」
「Connect to SQL Server」ページで、SQL ServerホストのWindowsサービス名が「SQL Server」というフィールドに表示されていることを確認します。
「Start SQL Server if it is stopped.」を選択します。
「Connect using」を「SQL Server authentication」に設定します。
SQL Serverのインストール時に選択したログイン名とパスワードを入力し、「OK」をクリックします。
「SQL Query Analyzer」ウィンドウに「Query」ウィンドウが開きます。
SQLクエリ・アナライザでOracle Access Manager監査データベースを起動します。
「SQL Query Analyzer」メニューで、次のようにナビゲートします。
「File」、「Open」
前の手順でOracle Access Managerサーバーから監査データベース・ホストにコピーしたディレクトリの下にある「audit.sql」にナビゲートします。
詳細は、「監査およびレポート・スキーマを監査データベース・ホストにコピーする手順」を参照してください。audit.sqlの具体的な場所は次のとおりです。
..\reports\crystal\audit.sql
「Query」ウィンドウで、次の行をファイルaudit.sqlの先頭に追加します。
use AuditDBName;
AuditDBNameは、「Windows上のSQL Server: 監査データベースの作成手順」で作成したOracle Access Manager監査データベースを指定します。この例では、データベースにNPAuditDBという名前を付けました。
すべてのSQL文について、行の最後にセミコロンを付けるのを忘れないでください。
[F5]を押してコマンドを実行します。または、「SQL Query Analyzer」メニューから「Query」、「Execute」を選択します。
最初にこれを行ったときに、アプリケーションは次のエラー・メッセージを返します。
cannot drop the table 'oblix_audit_events', because it does not exist in the system catalog yet
useコマンドの実行時に表が存在していなかったため、これは規定どおりであり論理的です。audit.sqlを保存し、その後このコマンドを再実行した場合は、表が存在するためエラー・メッセージは再表示されません。
「Query」ウィンドウを閉じずに最小化します。スキーマが正常にアップロードされたことを検証する際に、別の行をaudit.sqlに追加する必要があります。「Windows上のSQL Server: 監査スキーマの検証手順」に進みます。
Windows上のSQL Server: 監査スキーマの検証手順
oblix_audit_events表からダミーを使用してselectを実行します。
「Windows上のSQL Server: 監査スキーマのアップロード手順」でaudit.sqlに追加した行の直下に次の行を追加します。
select * from oblix_audit_events;
行の最後にセミコロンを忘れずに付けてください。
[F5]を押してコマンドを実行します。
eventDateAndTimeなどの列ヘッダーが、「Query」ウィンドウのコード・ペインの直下のペインに表示されます。これらは、audit.sqlスキーマが正常にアップロードされたことを示します。
「SQL Query Analyzer」ウィンドウで、「File」、「Save」をクリックして、Oracle Access Manager監査データベースにリンクされているaudit.sqlに変更を記録します。
次の手順は、前の手順(oblix_audit_events表を使用して監査スキーマをアップロードおよび検証しました)と同様です。次の手順では、oblix_rpt_as_reports、oblix_rpt_as_resourceおよびoblix_rpt_as_usersの表定義とコマンドをaudit.sqlファイルからクエリ・アナライザ・ワークスペースにコピーし、それらを実行します。
Windows上のSQL Server: アクセス・レポート・スキーマのアップロードおよび検証手順
SQL Serverをホストしているコンピュータで、ログインに必要な次のアクティビティを実行します。
「スタート」→「プログラム」→「Microsoft SQL Server」→「Query Analyzer」にナビゲートします。
「SQL Query Analyzer」ウィンドウに「Connect to SQL Server」ページが表示されていない場合は、「File」→「Connect」にナビゲートします。
「Connect to SQL Server」ページで、SQL ServerホストのWindowsサービス名が「SQL Server」というフィールドに表示されていることを確認します。
「Start SQL Server if it is stopped.」を選択します。
「Connect using」を「SQL Server authentication」に設定します。
SQL Serverのインストール時に選択したログイン名とパスワードを入力し、「OK」をクリックします。
「SQL Query Analyzer」ウィンドウに「Query」ウィンドウが開きます。
次のように、SQLクエリ・アナライザでOracle Access Manager監査データベースを起動します。
「SQL Query Analyzer」メニューで、「File」→「Open」にナビゲートします。
前にOracle Access Managerサーバーから監査データベース・ホストにコピーしたディレクトリの下にあるaudit.sqlファイルにナビゲートします。このファイルの例は、次のとおりです。
IdentityServer_install_dir\identity\oblix\reports\crystal\audit.sql
「Query」ウィンドウで、次の行をファイルaudit.sqlの先頭に追加します。
use AuditDBName;
AuditDBNameは、「Windows上のSQL Server: 監査データベースの作成手順」で作成したOracle Access Manager監査データベースを指定します。この例では、データベースにNPAuditDBという名前を付けました。
すべてのSQL文について、行の最後にセミコロンを付けるのを忘れないでください。
次のように、3つのOracle Access Manager表(oblix_rpt_as_reports、oblix_rpt_as_resourcesおよびoblix_rpt_as_users)のすべてのdropおよびcreateコマンドを「Query Analyzer」ウィンドウに追加し、これらを同時に実行します。
drop table oblix_rpt_as_reports、oblix_rpt_as_resourcesおよびoblix_rpt_as_users情報(3つのdropコマンドに続いて3つのcreate tableコマンド)をまとめてaudit.sqlファイルからコピーし、「Query Analyzer」ウィンドウに一度に貼り付けます。
|
注意: 同時にすべてをコピーし、これらのコマンドの順序は変更しないでください。表間には依存関係があります。 |
[F5]を押して、コマンドを同時に実行します(または、「SQL Query Analyzer」メニューから「Query」→「Execute」を選択します)。
「Query」ウィンドウを閉じずに最小化します。スキーマが正常にアップロードされたことを検証する際に、別の行をaudit.sqlに追加する必要があります。
次のように、oblix_rpt_as_reports、oblix_rpt_as_resourcesおよびoblix_rpt_as_users表の情報を検証します。
oblix_rpt_as_reports、oblix_rpt_as_resourcesおよびoblix_rpt_as_users表から(個別または一度に)"dummy" selectを実行します。
「Windows上のSQL Server: 監査スキーマのアップロード手順」でaudit.sqlから追加した行の直下に次の行を追加します。
select * from oblix_rpt_as_reports; select * from oblix_rpt_as_resources; select * from oblix_rpt_as_users;
[F5]を押してコマンドを実行します。
次の2つの手順は、前の手順に似ています。ただし、これらはWindowsまたはUNIXベースのプラットフォーム上のOracle Databaseに固有です。
WindowsまたはUNIXベースのプラットフォーム上のOracle Database: 監査スキーマのアップロードおよび検証手順
Oracle DatabaseサーバーおよびiSQL*Plusアプリケーションを起動します。
Oracle DBサーバーのiSQL *Plus Webアプリケーションに接続します。
典型的なURLは次のとおりです。
http://oracle_DB_host_name:port/isqlplus/
Oracle_DB_host_nameはOracle Databaseインスタンスの名前で、portはOracle Databaseサーバーのインストール時に選択したポート番号です。
ユーザー名、パスワードおよびデータベースのGDNを入力して、iSQL *Plusにログインします。
スキーマ定義を次のファイルからiSQL*Plusワークスペース・ページにコピーします。
Identity_Server_install_dir\oblix\reports\crystal\audit_oracle.sql
「実行」ボタンをクリックします。
監査スキーマを検証するには、iSQL*Plusで次のコマンドを入力します。
desc oblix_audit_events
または、iSQL*Plusでoblix_audit_events;に対してselect *コマンドを入力できます。
「WindowsまたはUNIXベースのプラットフォーム上のOracle Database: アクセス・レポート・スキーマのアップロードおよび検証手順」に進みます。
次の手順は、前の手順(oblix_audit_events表を使用して監査スキーマをアップロードおよび検証しました)と同様です。次の手順では、oblix_rpt_as_reports、oblix_rpt_as_resourceおよびoblix_rpt_as_usersの表定義をaudit.oracle.sqlファイルからOracle DBサーバーのiSQL *Plus Webアプリケーションにコピーし、それらを実行します。
WindowsまたはUNIXベースのプラットフォーム上のOracle Database: アクセス・レポート・スキーマのアップロードおよび検証手順
必要に応じてiSQL *Plusにログインします。
Oracle DatabaseサーバーおよびiSQL*Plusアプリケーションを起動します。
Oracle DBサーバーのiSQL *Plus Webアプリケーションに接続します。
ユーザー名、パスワードおよびデータベースのGDNを入力して、iSQL *Plusにログインします。
3つのOracle Access Manager表(oblix_rpt_as_reports、oblix_rpt_as_resourcesおよびoblix_rpt_as_users)のすべてのdropおよびcreateコマンドを追加し、次のように実行します。
3つのOracle Access Manager表(oblix_rpt_as_reports、oblix_rpt_as_resourcesおよびoblix_rpt_as_users)のすべてのdropおよびcreateコマンドを次のファイルからiSQL*Plusワークスペース・ページに追加します。
Identity_Server_install_dir\oblix\reports\crystal\audit_oracle.sql
「実行」ボタンをクリックします。
iSQL*Plusで次のコマンドを使用して、3つのOracle Access Manager表(oblix_rpt_as_reports、oblix_rpt_as_resourcesおよびoblix_rpt_as_users)すべてのスキーマを個別にまたはすべて一度に検証します。
desc oblix_rpt_as_reports; desc oblix_rpt_as_resources; desc oblix_rpt_as_users;
または、iSQL*Plusで3つのOracle Access Manager表(oblix_rpt_as_reports; oblix_rpt_as_resources; oblix_rpt_as_users;)に対してselect *コマンドを入力できます。
ディレクトリ・サーバーにRDBMSプロファイルを作成し、監査データベースに接続するサーバーをホストしている各コンピュータにODBCデータ・ソース定義を作成することにより、サーバーを監査データベースに接続できます。単一の固有のシステムDSN(システム全体のデータ・ソース名)は、これらのオブジェクトすべてを接続します。
RDBMSプロファイルとサーバー・ホスト上のODBCデータ・ソース定義の両方で特定のDSNに関連付けられているすべての属性が厳密に一致することが非常に重要です。詳細は、「プライマリRDBMSインスタンスを作成する手順」を参照してください。
タスクの概要: Oracle Access Managerサーバーの監査データベースへの接続の有効化
すべて: globalparams.xmlでSQLDBTypeパラメータの値を設定します(詳細は、"To set the SQLDBType parameter"を参照してください)。
Windows: 各Oracle Access Managerサーバー・ホストにODBCデータ・ソース定義(システムDSN)を作成します(詳細は、「ODBCデータ・ソース定義を作成する手順(Windows)」を参照してください)。
すべて: アイデンティティ・システム・コンソールまたはアクセス・システム・コンソールを使用して、ディレクトリ・サーバーにRDBMSプロファイルを作成します。
「タスクの概要: RDBMSプロファイルの設定」を参照してください。これには、次のタスクが含まれます。
「プライマリRDBMSインスタンスを作成する手順」で説明したように、プライマリRDBMSインスタンスを作成します。
「タスクの概要: セカンダリRDBMSインスタンスを作成する手順」で説明したように、オプションでRDBMSプロファイルのセカンダリRDBMSインスタンスを作成します。
「RDBMSプロファイルを表示可能にする手順(Windows)」の説明に従って、すべてのOracle Access Managerサーバーを再起動します。
SQLDBTypeパラメータを設定する手順
次のファイルを開きます。
Component_install_dir/identity/apps/common/bin/globalparams.xml
component_install_dirは、アクセス・サーバーまたはアイデンティティ・サーバーがインストールされている場所です。
次のように、globalparams.xmlでSQLDBTypeパラメータの値を設定します。
Oracle: ODBC接続タイプを使用するOracle Databaseを指定します。
Oracle_OCI: OCI接続タイプを使用するOracle Databaseを指定します。
SQLServer: SQL Serverデータベースを指定します。
監査データベースに接続するOracle Access Managerサーバー・ホストで、「スタート」、「設定」、「コントロール パネル」、「管理ツール」、「データ ソース(ODBC)」にナビゲートします。
「システムDSN」タブをクリックします。
「追加」をクリックします。
データベース・ドライバのリストから、「SQL Server」を選択し、「終了」をクリックします。
「名前」フィールドに、説明的な名前を入力します。
たとえば、AuditSysDSNは監査データベースのシステムDSNを意味します。この正確な文字列を他のすべてのOracle Access Managerサーバー・ホストのOBDCデータ・ソース定義およびRDBMSプロファイルのプライマリRDBMSインスタンスで使用する必要があるため、この名前を書き留めておきます。
「説明」フィールドに、ユーザーがこのオブジェクトを識別するのに役立つ注記を入力します。
「サーバー」フィールドで、Oracle Access Manager監査データベースが稼働しているホストのWindowsサービス名を選択し、「次へ」をクリックします。
次のページが表示されたら、「ユーザーが入力するSQL Server用のログインIDとパスワードを使う」を選択します。
「SQL Serverに接続して追加の構成オプションの既定設定を取得する」が選択されていることを確認します。
SQL Serverのインストール時に指定したログインIDとパスワードを入力します。
次の2つのページはデフォルト設定のままにして、「次へ」、「終了」の順にクリックします。
新規ODBCデータ・ソース定義の設定をリストするページが表示されたら、「データ ソースのテスト」をクリックします。
成功を示すページが表示されたら、「OK」を3回クリックして開いているページを閉じます。
監査データベースに接続するすべてのOracle Access Managerサーバー・ホストでこの手順を繰り返します。
すべてのケースで、またRDBMSデータベース・インスタンスに対しても、厳密に同じ設定を使用してください。「タスクの概要: RDBMSプロファイルの設定」に進みます。
RDBMSプロファイルを作成します。
詳細は、「RDBMSプロファイルを作成する手順」を参照してください。
プライマリRDBMSインスタンスを作成します。
詳細は、「プライマリRDBMSインスタンスを作成する手順」を参照してください。
セカンダリRDBMSインスタンスを作成します(オプション)。
詳細は、「タスクの概要: セカンダリRDBMSインスタンスを作成する手順」を参照してください。
RDBMSプロファイルを表示可能にします。
使用しているデータベース・アプリケーションに応じて、次のいずれかの手順に進みます。
アイデンティティ・システム・コンソールで、「システム構成」をクリックし、左側のナビゲーション・ペインにある「ディレクトリ・プロファイル」のリンクをクリックし、「プロファイルの構成」ページの「RDBMSプロファイルの構成」セクションで「追加」ボタンをクリックします。
または、アクセス・システム・コンソールで、「システム構成」をクリックし、左側のナビゲーション・ペインにある「サーバー設定」をクリックし、ページの「RDBMSプロファイルの構成」セクションで「追加」ボタンをクリックします。
「RDBMSプロファイルの作成」ページは、アイデンティティ・システム・コンソールとアクセス・システム・コンソールで同一です。
「名前」フィールドに、説明的な名前を入力します。
たとえば、AuditDBSysDSNは監査データベースのシステムDSNを表します。このページでRDBMSプロファイルを作成しますが、この名前はRDBMSプロファイルと各Oracle Access Managerサーバー・ホスト上のODBC.iniの対応するデータ・ソース定義値のセットを識別するための便利なユニバーサル名を提供します。
ディレクトリ・サーバー上の各RDBMSプロファイルの名前は一意である必要があります。
「データベース接続タイプ」フィールドで、データベースが使用する接続のタイプを選択します。
「使用」フィールドで、「レポート中」オプションと「監査中」オプションを選択します。
「プロファイルの有効化」ボックスが選択されていることを確認します。
「RDBMSプロファイルを作成する手順」で説明したように、「RDBMSプロファイルの作成」ページにナビゲートします。
「RDBMSプロファイルの作成」ページで、「データベース・インスタンス」というラベルの付いた表の横にある「追加」ボタンをクリックします。
「データベース・インスタンスの作成」ページの「名前」フィールドに、説明的な名前を入力します。
便宜上、RDBMSプロファイルに指定したAuditDBSysDSNなどのユニバーサル名を使用できます。
次のフィールドはDSN名またはGDNです。データベースに対してODBC接続タイプとOCI接続タイプのどちらを指定したかによって決まります。
SQL Serverの場合は、データベース・インスタンスとRDBMSプロファイルにAuditDBSysDSNなどの同じ名前を使用できます。Oracleデータベースの場合は、データベースの構成時に指定したGDNを使用します。詳細は、「Windows上のOracle Database: 監査データベースの作成手順」または「サポートされているUNIX上のOracle Database: 監査データベースの作成手順」を参照してください。
|
警告: RDBMSインスタンスのDSNとして指定する文字列は、各Oracle Access ManagerサーバーのODBCデータ・ソース定義に対して指定するDSNと完全に一致する必要があります。さらに、他のすべてのデータベース・インスタンス属性の値は、空であるか、Oracle Access Managerシステム全体のODBCデータ・ソース定義の対応する属性の値と完全に一致する必要があります。 |
「データベース」フィールドに、監査データベースの名前を指定します。
この例ではNBAuditDBを使用します。
「ユーザー名」フィールドに、監査データベースの作成時に指定したログイン名を入力します。
監査データベース・ログイン名に関連付けられているパスワードを入力します。
他のフィールドはデフォルト設定のままにします。
必要に応じて後で変更できます。
「保存」をクリックして、入力したデータベース・インスタンス設定をコミットします。
「RDBMSプロファイルの変更」ページが表示されたら、「保存」をクリックして、入力したRDBMSプロファイル設定をコミットします。
セカンダリRDBMSインスタンスを作成する場合は、この直後のタスクの概要に進みます。それ以外の場合は、次のいずれかに進みます。
「RDBMSプロファイルを表示可能にする手順(Windows)」または「RDBMSプロファイルを表示可能にする手順(サポートされているUNIXプラットフォーム)」。
タスクの概要: セカンダリRDBMSインスタンスを作成する手順
「監査データベースの作成」の手順をすべて実行します。
便宜上、監査データベースの第2インスタンスにNPAuditDB_2のような名前を付けます。
「監査スキーマのアップロード」の手順をすべて実行します。
「RDBMSプロファイルを作成する手順」の手順5〜11を実行します。
便宜上、RDBMSインスタンスの名前とDSN名にAuditDBSysDSN_2のような名前を指定します。
「RDBMSプロファイルの変更」ページが表示されたら、セカンダリRDBMSインスタンスの「サーバー・タイプ」がセカンダリに設定されていることを確認します。
セカンダリRDBMSインスタンスのODBCデータ・ソース定義を各Oracle Access Managerサーバー・ホストのODBC.iniに追加します。
使用しているデータベース・アプリケーションに応じて、「ODBCデータ・ソース定義を作成する手順(Windows)」を参照してください。
使用しているデータベース・アプリケーションに応じて、「RDBMSプロファイルを表示可能にする手順(Windows)」または「RDBMSプロファイルを表示可能にする手順(サポートされているUNIXプラットフォーム)」に進みます。
RDBMSプロファイルを表示可能にする手順(Windows)
任意のOracle Access Managerサーバー・ホストで、「マイ コンピュータ」→「管理」→「サービスとアプリケーション」→「サービス」にナビゲートします。
コンピュータ上のOracle Access Managerサーバーを表すアイコンを右クリックし、ドロップダウン・メニューから「再起動」を選択します。
アクセス・サーバーとアイデンティティ・サーバーの両方を同じコンピュータにインストールした場合は、両方のサーバーについてこの手順を実行します。
監査データベースに接続するすべてのOracle Access Managerサーバー・ホストでこの手順を繰り返します。
「監査の構成」に進みます。
RDBMSプロファイルを表示可能にする手順(サポートされているUNIXプラットフォーム)
Oracle Access Managerサーバーをホストしているコンピュータで、次のいずれかのコマンドを実行してOracle Access Managerサーバーを停止します。
アクセス・サーバー: stop_access_server
アイデンティティ・サーバー: stop_ois_server
次のいずれかのコマンドを実行して、Oracle Access Managerサーバーを起動します。
アクセス・サーバー: start_access_server
アイデンティティ・サーバー: start_ois_server
監査データベースに接続するすべてのOracle Access Managerサーバー・ホストでこの手順を繰り返します。
「監査の構成」に進みます。
ファイルベース監査とデータベース監査の両方に対してOracle Access Managerを構成できます。
デフォルトでは、ファイルベース監査とデータベース監査はすべてのOracle Access Managerサーバーに対してオフになります。システム内のOracle Access Managerサーバーごとに、ファイルベース監査とデータベース監査を手動で有効にできます。
システム全体、サーバーごと、イベントごとおよびアプリケーションごとに監査オプションを構成できます。概要は、「監査オプションについて」を参照してください。
監査のデフォルトはほとんどの状況に最適です。監査するOracle Access Managerサーバー上で目的の監査のタイプをオンにする必要があります。監査データベースにデータを送信する場合は、アイデンティティ・システムとアクセス・システムの両方でデフォルトの監査データ書式文字列を置換する必要もあります。詳細は、「アイデンティティ・システムの監査出力形式を変更する手順」および「アクセス・システムの監査出力形式を変更する手順」を参照してください。
アイデンティティ・システム・コンソールの「共通構成」サブタブで構成するグローバル監査設定は、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」および「組織マネージャ構成」のサブタブから監査するアプリケーション固有のイベントとは異なります。
各アイデンティティ・サーバーについて、ファイルベース監査とデータベース監査のいずれか一方または両方をオンにし、必要に応じて監査ファイル属性を変更します。
「各アイデンティティ・サーバーの監査を有効化および構成する手順」を参照してください。
アイデンティティ・システムの監査出力形式を構成します。
詳細は、「アイデンティティ・システムの監査出力形式を変更する手順」を参照してください。
イベントが監査されるデータを指定します。これには、次のカテゴリが含まれます。
ユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・アプリケーションに共通のイベント
詳細は、「監査のグローバル・アイデンティティ・システム・イベントおよびプロファイル属性を指定する手順」を参照してください。
ユーザー・マネージャ、グループ・マネージャまたは組織マネージャのイベント
詳細は、「監査するユーザー・マネージャ、グループ・マネージャまたは組織マネージャのイベントを指定する手順」を参照してください。
すべてのアイデンティティ・サーバーが監査データベースにデータを記録できることを確認します。
詳細は、「すべてのアイデンティティ・サーバーが監査データベースにデータを記録できることを確認する手順(Windows)」を参照してください。
個々のアクセス・サーバーについて、ファイルベース監査またはデータベース監査をオンにし、必要に応じて監査ファイル属性を変更します。
詳細は、「各アクセス・サーバーの監査を有効化および構成する手順」を参照してください。
アクセス・システムの監査出力形式をグローバルに変更します。
詳細は、「アクセス・システムの監査出力形式を変更する手順」を参照してください。
ユーザー・アクセス権限レポートを作成および管理します。
詳細は、「ユーザー・アクセス権限レポートを作成および管理する手順」を参照してください。
各アイデンティティ・サーバーの監査を有効化および構成する手順
アイデンティティ・システム・コンソールで、「システム構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「アイデンティティ・サーバー」をクリックします。
変更するサーバーのリンクをクリックし、「変更」をクリックします。
プリファレンスに従ってファイル監査とデータベース監査のフラグを設定し、必要に応じて監査ファイル属性を変更します。
「保存」をクリックして変更を有効にします。
データベース監査の場合は、次のディレクトリにあるglobalparams.xmlファイルを開きます。次に例を示します。
Component_install_dir/identity/apps/common/bin/globalparams.xml
component_install_dirは、アクセス・サーバーまたはアイデンティティ・サーバーがインストールされている場所です。
次のように、globalparams.xmlでSQLDBTypeパラメータの値を設定します。
Oracle: ODBC接続タイプを使用するOracle Databaseを指定します。
Oracle_OCI: OCI接続タイプを使用するOracle Databaseを指定します。
SQLServer: SQL Serverデータベースを指定します。これはデフォルトです。
Oracle Access Managerシステム内のすべてのアイデンティティ・サーバーについてこの手順を繰り返し、「アイデンティティ・システムの監査出力形式を変更する手順」に進みます。
アイデンティティ・システム・コンソールで、「共通構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「マスター監査ポリシー」をクリックしてから「変更」をクリックします。
「メッセージの書式」テキスト・ボックス内の任意の場所をクリックし、[Ctrl]キーを押しながら[A]キーを押してテキスト・ボックスの内容をすべて選択し(グレー表示されているコンテンツも含む)、[Del]を押します。
空のテキスト・ボックスに、次の文字列を挿入します。
%ob_datetime% - %ob_event% - %ob_operation% - %ob_serverid% - %ob_ip% - %ob_ url% - %ob_target.uid% - %ob_app% - %ob_source.uid% - %ob_profileattrs% - %ob_auditapp%
文字列の最後にセミコロンや改行は追加しないでください。
必要に応じて、「日付タイプ」、「日付セパレータ」、「エスケープ文字」、「レコード・セパレータ」および「フィールド・セパレータ」の各フィールドのデフォルト値を変更します。
これらの値のいずれかを変更する場合は、監査レポートの生成に使用されるCrystal Reportテンプレートを再構成する必要があります。
「保存」をクリックします。
新しいメッセージ書式文字列および行ったその他の変更が、「マスター監査ポリシーの構成」ページに表示されます。
新規メッセージ書式文字列はアイデンティティ・システム全体に適用されるため、他のアイデンティティ・サーバーに対してプロセスを繰り返す必要はありませんが、アクセス・システムに対して書式文字列を設定するには同様の手順を実行する必要があります。
詳細は、「アクセス・システムの監査出力形式を変更する手順」を参照してください。
監査のグローバル・アイデンティティ・システム・イベントおよびプロファイル属性を指定する手順
アイデンティティ・システム・コンソールで、「共通構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「グローバル監査ポリシー」をクリックしてから「変更」をクリックします。
監査する最大5つのプロファイル属性を選択します。
プロファイル属性(「フルネーム」、「従業員番号」、「部門番号」など)は、監査されるアクション/イベント(「検索」、「プロファイルの表示」、「プロファイルの変更」など)を実行するユーザーに固有です。プロファイル属性の目的は、アクション/イベントを実行するユーザーの識別に役立ちます。
|
警告: チャレンジ・フレーズまたはレスポンス属性の公開を回避するために、監査のプロファイル属性としてこれらを選択しないことをお薦めします。チャレンジ・フレーズまたはレスポンスをプロファイル属性として追加すると、これらは独自のエンコード形式で監査されます。 |
一般的なユーザー・マネージャ、グループ・マネージャおよび組織マネージャ・アプリケーション・イベントのデフォルトの監査フラグ設定を変更します。
「保存」をクリックして、これらの設定をシステム内のすべてのアイデンティティ・サーバーに適用します。
監査するユーザー・マネージャ、グループ・マネージャまたは組織マネージャのイベントを指定する手順
アイデンティティ・システム・コンソールで、「ユーザー・マネージャ構成」、「グループ・マネージャ構成」または「Org Manager構成」サブタブをクリックし、次に左側のナビゲーション・ペインの「監査ポリシー」をクリックしてから「変更」をクリックします。
監査する最大5つのプロファイル属性を選択します。
プロファイル属性(「フルネーム」、「従業員番号」、「部門番号」など)は、監査されるアクション/イベント(「検索」、「プロファイルの表示」、「プロファイルの変更」など)を実行するユーザーに固有です。プロファイル属性の目的は、アクション/イベントを実行するユーザーの識別に役立ちます。
|
警告: チャレンジ・フレーズまたはレスポンス属性の公開を回避するために、監査のプロファイル属性としてこれらを選択しないことをお薦めします。チャレンジ・フレーズまたはレスポンスをプロファイル属性として追加すると、これらは独自のエンコード形式で監査されます。 |
一般的なユーザー・マネージャ・アプリケーション・イベントのデフォルトの監査フラグ設定を適宜変更します。
「保存」をクリックして、これらの設定をシステム内のすべてのアイデンティティ・サーバーに適用します。
すべてのアイデンティティ・サーバーが監査データベースにデータを記録できることを確認する手順(Windows)
この時点までにすべての監査設定手順を完了した任意のアイデンティティ・サーバーのアイデンティティ・システム・コンソールの任意のページで、アプリケーション・ウィンドウの右上にある「ログアウト」をクリックします。
本当にログアウトするかどうかを確認されたら、「OK」をクリックします。
監査ベースをホストしているコンピュータでSQL Serverの「Query Analyzer」ウィンドウを開きます。
「Windows上のSQL Server: 監査スキーマの検証手順」を完了したときに、このウィンドウを最小化しました。
なんらかの理由でウィンドウが開かれていない場合は、「スタート」、「プログラム」、「Microsoft SQL Server」、「Query Analyzer」、「File」、「Open」、「Login_Credentials」、「OK」、「File」、「Open」、「audit_sql_path」、「OK」にナビゲートして再起動します。
Login_Credentialsは、SQL Serverのインストール時に指定したユーザー名およびパスワードで、audit_sql_pathは、監査データベース・ホストにコピーし、その後「Windows上のSQL Server: 監査スキーマの検証手順」で変更したaudit.sqlファイルのパスです。
[F5]を押してaudit.sqlを実行します。
以前に次の行を追加した後で、audit.sqlを保存しました。
use AuditDBName;
select * from oblix_audit_events;
AuditDBNameは、「Windows上のSQL Server: 監査データベースの作成手順」で作成した監査データベースを指定します。
Oracle Access Managerスキーマの列ヘッダーが「Query」ウィンドウの下部に表示され、適切な列の下にログアウトの詳細が表示されます。
すべてのアイデンティティ・サーバーが監査データベースにデータを記録できることを確認する手順(サポートされているUNIXベースのプラットフォーム)
この時点までにすべての監査設定手順を完了した任意のアイデンティティ・サーバーのアイデンティティ・システム・コンソールの任意のページで、アプリケーション・ウィンドウの右上にある「ログアウト」をクリックします。
本当にログアウトするかどうかを確認されたら、「OK」をクリックします。
Oracle Database ServerのiSQL *Plus Webアプリケーションで次の手順を実行します。
ユーザー名、パスワードおよびデータベースのGDNを入力して、iSQL *Plusにログインします。
iSQL*Plusワークスペースで次のコマンドを入力します。
select * from oblix_audit_events;
Oracle Access Manager監査スキーマの列ヘッダーがiSQL*Plusワークスペース・ページに表示されます。ログアウトに関する情報が、適切な列ヘッダーの下に表示されます。
監査データベースへの接続を計画している任意のアクセス・サーバーで、「アクセス・システム・コンソール」、「アクセス・システム構成」、「アクセス・サーバー構成」、「ServerName」、「変更」にナビゲートします。
ServerNameは、変更するアクセス・サーバーを指定します。
プリファレンスに応じて、ファイル監査フラグとデータベース監査フラグを設定します。
監査ファイル属性を適宜変更し、「保存」をクリックして変更をコミットします。
アスタリスクでマークされた属性のいずれかを変更する場合は、アクセス・サーバーを再起動して変更を有効にする必要があります。
Oracle Access Managerシステム内のすべてのアクセス・サーバーについてこの手順を繰り返し、「アクセス・システムの監査出力形式を変更する手順」に進みます。
データベース監査の場合は、次のディレクトリにあるglobalparams.xmlファイルを開きます。
Component_install_dir/apps/common/bin/
component_install_dirは、アクセス・サーバーまたはアイデンティティ・サーバーがインストールされている場所です。
次のように、globalparams.xmlでSQLDBTypeパラメータの値を設定します。
SQLServer: SQL Serverデータベースを指定します。これはデフォルトです。
Oracle: ODBC接続タイプを使用するOracle Databaseを指定します。
Oracle_OCI: OCI接続タイプを使用するOracle Databaseを指定します。
監査データベースへの接続を計画している任意のアクセス・サーバーで、「アクセス・システム・コンソール」、「アクセス・システム構成」、「共通情報の構成」、「マスター監査ルール」、「追加」(または「変更」)にナビゲートします。
「監査レコード・フォーマット」テキスト・ボックス内の任意の場所をクリックし、[Ctrl]キーを押しながら[A]を押してテキスト・ボックスの内容をすべて選択し(グレー表示されているコンテンツも含む)、[Del]を押します。
空のテキスト・ボックスに、次の文字列を正確に挿入します。
%ob_datetime% - %ob_event% - %ob_operation% - %ob_serverid% - %ob_ip% - %ob_url% - %ob_userid% - %ob_time_no_offset% - %ob_resrc_scheme% - %ob_wgid% - %ob_wgcontext% - %ob_reason%
文字列の最後にセミコロンや改行は追加しないでください。
「プロファイル属性」ボックスに、監査するプロファイル属性の名前を入力し、テキスト・ボックスの右にあるプラス記号(+)をクリックします。
この手順を繰り返して、他のプロファイル属性を追加します。
監査するイベントを選択します。
希望する場合は、デフォルトのイベント・マッピングを変更します。
必要に応じて、「監査日付タイプ」および「監査エスケープ文字」フィールドのデフォルト値を変更します。これらの値のいずれかを変更する場合は、監査レポートの生成に使用されるCrystal Reportテンプレートを再構成する必要があります。
「保存」をクリックします。
新しいメッセージ書式文字列および行ったその他の変更が、「マスター監査ルール」ページに表示されます。
新規メッセージ書式文字列はアクセス・システム全体に適用されるため、他のアクセス・サーバーに対してプロセスを繰り返す必要はありませんが、アイデンティティ・システムの書式文字列を置換するには同様の手順を実行する必要があります。
「アイデンティティ・システムの監査出力形式を変更する手順」を参照してください。
監査データベースへの接続を計画している任意のアクセス・サーバーで、「アクセス・システム・コンソール」、「システム管理」、「アクセス・システム管理」、「追加」にナビゲートします。
「レポート名」フィールドに、「深夜アクセス」などの説明的な名前を入力します。
「説明」フィールドに、「積荷ドック出荷目録URLへの夜間シフト・アクセス権を持つ人物」など、レポートのコンテンツの比較的長い説明を入力します。
ローカル・ホストで監査データベースまたは監査ファイルに情報を送信するかどうかを指定します。監査ファイルを指定する場合は、ファイル名を指定する必要があります。
「開始IPアドレス」フィールドで、アクセスをテストする特定のWebブラウザのホストのIPを入力します。
日付/時間フィールドで、アクセスをテストする日、時刻およびタイムゾーンを選択します。
監査機能は実際のアクセス試行の履歴的な結果を実際にレポートせずに、Oracle Access Managerディレクトリ・サーバーに格納されているポリシーおよびプロファイル情報を調べて、指定されたユーザーが指定された時刻に指定されたリソースにアクセスする権限を現在持っているかどうかを計算するため、この日時では将来を指すことができます。
「リソースのリスト」ラベルの近くにある「追加」ボタンをクリックして、テストするリソースのリストにURLを追加します。
「リソース・ルールの追加」ページが表示されます。
テストするURLを入力します。
「リソース・タイプ」をhttpまたはejbに設定します。
テストするアクションを選択します。
「保存」をクリックして「新規レポートの追加」ページに戻ります。
もう一度「追加」をクリックして、テストする別のリソースを追加するか、次の手順に進みます。
すべてのユーザーのアクセスをテストすることも、「セレクタ」を使用して特定のユーザーのアクセスをテストすることもできます。
セレクタの詳細は、「セレクタ」を参照してください。
「セレクタ」での処理が終了し、「新規レポートの追加」ページが再表示されたら、「保存」をクリックして変更をコミットします。
Oracle Access Managerに用意されている構成済のCrystal Reportsテンプレートを利用するには、Oracle Access Managerサーバー・ドメイン内のWindowsコンピュータにCrystal Reportsアプリケーションをインストールする必要があります。(Crystal Reportsは、UNIXコンピュータにインストールできませんが、UNIXコンピュータにインストールされているOracle Databaseによって生成されたデータベース内の情報を利用することはできます。)
Crystal Reports 9のインストールに加えて、パッチもインストールする必要があります。
Oracle Access Managerサーバー・インストール・ディレクトリには、Crystal Reportsアプリケーションで使用される特定のテンプレート、サンプル・レポート、データベース・スキーマおよびデータベース・ドライバがインストールされています。これらは、Crystal Reportsソフトウェア自体とは異なります。Oracle Access Managerサーバー・インストール・ディレクトリからCrystal Reportsソフトウェアをホストしているコンピュータにこれらをコピーする必要があります。
SQL ServerまたはOracle Databaseをホストしているコンピュータに接続できるWindowsコンピュータにCrystal Reports 9.22aをインストールします。
Crystal Reports 9の必須パッチをインストールします。
Crystal Reportsをホストしているコンピュータに、Oracle Access Manager監査レポート・テンプレート、Crystalリポジトリおよび関連リソースをコピーします。
ODBCデータ・ソース定義を作成し、orMap.iniを編集することにより、Crystal ReportsをOracle Access Manager監査データベースに接続します。
ODBCデータ・ソース定義を作成し、orMap.iniを編集することにより、Crystal ReportsをCrystalデータベースに接続します。
Crystal Reportsをoblix_audit_events表に接続します。
Crystal Reports 9.22インストール・パッケージのコピーをベンダーから入手します。
setup.exeを起動し、プロンプトに従います。
任意のインストール・ディレクトリを指定します。
プロンプトが表示されたら、レポート・パッケージの購入時に提供された製品キーを入力します。
プロンプトが表示されたら、インストール・タイプとして「typical」を指定します。
Crystal Reportsのパッチをインストールする手順
次のWebサイトからCrystal Reports 9パッチをダウンロードします。
http://support.businessobjects.com/communityCS/ FilesAndUpdates/cr90dbexwin_en.zip.asp
cr90dbexwinen.zipをハード・ディスク上の一時フォルダに解凍し、CR90DBEXWIN_EN_200403.EXEを起動します。
プロンプトに従って、パッチ・インストールを完了します。
Oracle Access Manager固有のCrystalリソースをコピーする手順
任意の方法を使用して、次のリソースをOracle Access Managerサーバー・インストール環境からCrystal Reportsをホストしているコンピュータ上の選択したディレクトリにコピーします。
Component_install_dir\oblix\reports
Component_install_dirは、監査データベースに接続しているアイデンティティ・サーバーのルート・インストール・ディレクトリです。
"..\reports"およびそのサブディレクトリ内のすべてのファイルを必ずコピーします。次の図に、Crystal Reportsコンピュータにコピーされるリソースを示します。
Crystal Reportsを監査データベースに接続する手順
「ODBCデータ・ソース定義を作成する手順(Windows)」で説明した手順に従って、Crystal Reportsが監査データベースに接続できるようにします。
指定したDSNおよび関連するすべての詳細が、監査データベースに接続しているOracle Access Managerサーバーに対して作成されたRDBMSプロファイルおよびODBCデータ・ソース定義で指定した値と完全に一致していることを確認します。
タスクの概要: Crystal ReportsをOracle Repositoryに接続する手順
Crystal ReportsをOracle/Crystalリポジトリ(.mdbデータベース)に接続するODBCデータ・ソース定義を作成します。
OracleリポジトリがCrystalリポジトリと等しくなるようにorMap.iniを編集します。
Crystal ReportsをOracle/Crystalリポジトリに接続するODBCデータ・ソース定義の作成手順
「ODBCデータ・ソース定義を作成する手順(Windows)」で説明した一般手順に従って、Crystal Reportsが監査データベースに接続できるようにします。
次の手順で注記されている場合を除き、元の手順で指定した値を使用します。
データベース・ドライバを求めるプロンプトが表示されたら、「Microsoft Access driver(.mdb)」を選択します。
「名前」パラメータには、OracleRepositorySysDSNなどの自己説明的な名前を選択します。
「orMap.iniの編集手順」に進みます。
Crystal Reportsをホストしているコンピュータで、次のようにナビゲートします。
C:\Program Files\Common Files\Crystal Decisions\2.5\bin
任意のプレーン・テキスト・エディタで、ファイルorMap.iniを開きます。
「Crystal Repository=Crystal Repository」の行を次の行で置換します。
Crystal Repository = repository_DSN
repository_DSNは、OracleRepository .mdbファイルに対して作成したシステムDSNです。この例ではOracleRepositorySysDSNを使用しています。
Crystal Reportsをoblix_audit_events表に接続する手順
Crystal Reportsで、レポートを開きます。
[F5]をクリックし、レポートを監査データベースに接続します。
新しいパラメータの値を指定するように求められたら、レポートに適切なパラメータ値を指定します。
監査データベースに接続されているODCBデータ・ソースを選択し、「Next」をクリックします。
ユーザーIDとパスワードを入力し、「Finish」をクリックします。
「Database」メニューから「Set Database Location」を選択します。
「Current Data Source」セクションで、レポート名を選択します。
「Replace with」セクションで、「History」→監査データベースへの接続に使用する「ODBC Data Source Name」→接続中に使用する「User ID」→「Tables」→「oblix_audit_events」を選択します。
「Update」をクリックします。
レポートを表示するには、「Close」をクリックします。
