| Oracle Fusion Middlewareセキュリティ概要 11g リリース1(11.1.1) B56236-03 |
|
 前 |
 次 |
Oracle Platform Security Servicesは、Oracle WebLogic Serverの内部セキュリティ・フレームワークと、Oracleのセキュリティ・フレームワーク(Oracle Platform Securityといいます)で構成されます。OPSSでは、包括的で標準ベースのセキュリティ・フレームワーク内のサービスとしてセキュリティを実現します。
この章は、次のトピックで構成されています。
この章を読むと次のことがわかるようになります。
Oracle Fusion MiddlewareアーキテクチャにおけるOPSSの役割
OPSSのコンポーネント
様々なOPSS機能を使用する場所
OPSSに関する詳細の参照場所
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Platform Security Servicesの概要に関する項を参照してください。
Oracle Platform Security Services(OPSS)では、企業の製品開発チーム、システム・インテグレータ(SI)および独立系ソフトウェア・ベンダー(ISV)に、Java Standard Edition(Java SE)およびJava Enterprise Edition(Java EE)のアプリケーション向けに標準ベースで移植可能な企業向け統合セキュリティ・フレームワークを提供します。
OPSSは、標準ベースのアプリケーション・プログラミング・インタフェース(API)形式の抽象レイヤーを提供し、これにより開発者はセキュリティおよびID管理を実装する細かな作業から解放されます。OPSSにより、開発者は、暗号鍵管理の詳細や、ユーザー・リポジトリおよびその他のID管理インフラストラクチャでのインタフェースの詳細について理解する必要はなくなります。OPSSを活用することで、社内開発アプリケーション、サード・パーティ製アプリケーションおよび統合アプリケーションでは、企業全体において均一なセキュリティ、ID管理および監査サービスのメリットを享受します。
Oracle Platform Security Servicesを使用するOracle Fusion Middlewareコンポーネントは、次のとおりです。
Oracle WebLogic Server
Oracle Entitlements Server
Oracle WebCenter
Oracle SOA Suite
Oracle Identity Management(次のものが含まれます)
Oracle Internet Directory
Oracle Virtual Directory
Oracle Identity Federation
Oracle Web Services Manager
Oracle Application Development Framework(ADF)
Oracle Platform Security Servicesを活用することで、システム・インテグレータ(SI)および独立系ソフトウェア・ベンダー(ISV)は、Oracle製品で使用されるものと同じセキュリティ・ビルディング・ブロックを使用して、アプリケーションおよび製品を構築できます。
OPSSの主な機能は、次のとおりです。
次のような広範なセキュリティ・サービス
認証
認可
資格証明ストア・フレームワーク
ユーザーおよびロールAPI
ポリシー管理API
シングル・サインオン
アイデンティティ・アサーション
監査
Oracle Security Developer Tools(包括的なセキュリティAPIライブラリ)
各サービスの詳細は、第2.3項「サービスの概要」を参照してください。
サービス・プロバイダ・モデル
OPSSでは、他のアプリケーション・サーバーとは異なり、アプリケーション・サーバーにセキュリティ・サービスを提供するだけでなく、アプリケーションで同様のサービスを使用して、認証、認可およびOracleシステム・コンポーネントで使用できる他のセキュリティ機能をシームレスに実装できるようになります。
企業標準のサポート
フレームワークでは、次の主要な標準をサポートしています。
Java EE
SAML
XACML
JACC
JAAS
Windowsのネイティブ認証のサポート
SPNEGOのサポート
移植性
OPSSは移植性のあるフレームワークです。
企業向けJavaEEアプリケーションおよびスタンドアロンJavaSEアプリケーションを一貫性のあるセキュリティ・フレームワークで構築でき、一貫性のあるセキュリティの導入ができます。
サービス・プロバイダ・インタフェース(SPI)モデルにより、標準ベースのセキュリティ・プラットフォームに依存するカスタム・セキュリティ・プロバイダを実装できます。
セキュリティ・フレームワークが特定のアプリケーション・サーバーに結びつけられることはありません。
開発の容易さ
JavaEEプラットフォームおよびJavaSEプラットフォームの両方で使用可能
様々なバックエンドのデータ・ストア(LDAP、RDBMS、カスタム)と統合
OPSSではアプリケーション保護のためのビルディング・ブロックが提供されるので、開発が簡素化され、アプリケーション開発者は社内全体にわたって移植可能な一貫した方法でセキュリティの実現をOPSSに依存しながら、ビジネスの問題解決に集中できます。
図2-1では、OPSSの環境とビルディング・ブロック、およびセキュリティ・サービスの提供におけるロールを示します。
この図は、様々なセキュリティ・コンポーネントをレイヤーとして階層的に表しています。最上層はOracle WebLogic Serverとそのコンポーネント、およびサーバーで実行中のJavaアプリケーションで構成されており、その下はAPI層で、認証、認可、CSF、そしてユーザーおよびロールAPIで構成され、さらに、サービス・プロバイダ・インタフェース(SPI)層と、認証、認可およびその他のサービス・プロバイダが続きます。最下層はLDAPおよびデータベース・サーバーを含むリポジトリで構成されています。
Oracle Platform Security Services
Oracle Platform Security Services(OPSS)は、セキュリティ・サービスおよびAPIを公開するセキュリティ・フレームワークであり、セキュリティ・サービスの具体的な実装を提供するプラットフォームでもあります。これには、次の要素が含まれます。
Common Security Services(CSS): Oracle WebLogic Serverがベースになる内部セキュリティ・フレームワークです。
このフレームワークは、Oracle WebLogic Server、Oracle Entitlements Server、およびこれまでアプリケーション・サーバー上で稼働していたその他の多くの製品にセキュリティを実現します。また、11g リリース1(11.1.1)でも同様にセキュリティを実現します。
Oracle Platform Services
このフレームワークでは、Oracleアプリケーション(Oracle Application Development Framework(ADF)、Oracle WebCenter、Oracle SOA Suite、Oracle Web Services Manager(OWSM)など)およびこれまでOracle Application Serverで稼働していたその他の製品にセキュリティを実現し、これらの製品を11g リリース1(11.1.1)でも継続してサポートします。
ユーザーおよびロールAPI
Oracle Fusion Middleware監査フレームワーク
このフレームワークでは、コンポーネントに監査機能を提供します。
Oracleセキュリティ開発ツール
Identity Governance Framework(IGF)
このフレームワークを使用すると、企業のITシステム全体でアイデンティティ関連情報の管理に対処できるようになります。IGFおよびArisID実装の詳細は、次を参照してください。
http://www.oracle.com/technology/tech/standards/idm/igf/index.html
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOPSSアーキテクチャの概要に関する項を参照してください。
Oracle Platform Security Services API
OPSS APIでは、次のすべてのセキュリティ機能を実現します。
認証
認可
きめ細かな認可
監査
その他のサービス
詳細は、次を参照してください。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Platform Security Servicesでのセキュアなアプリケーションの開発の概要に関する項
OPSSではサード・パーティ・アプリケーション・サーバーがサポートされています。詳細は、Oracle Fusion Middlewareサード・パーティ・アプリケーション・サーバー・ガイドを参照してください。
表2-1に、このリリースで使用可能な種々のサービスを示します。
表2-1 Oracle Fusion Middlewareのセキュリティ・サービス
| サービス | データ・ストア | 詳細情報 |
|---|---|---|
|
認証 |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ、ポリシーおよび資格証明に関する項 |
|
|
認可 |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ、ポリシーおよび資格証明に関する項 |
|
|
資格証明ストア・フレームワーク |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ、ポリシーおよび資格証明に関する項 |
|
|
ユーザーおよびロール |
アイデンティティ・ストア |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のユーザーおよびロールの理解に関する項 |
|
ポリシー管理 |
ポリシー・ストア |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のポリシー・ストアの基本に関する項 |
|
シングル・サインオン |
アイデンティティ・ストア |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項 |
|
アイデンティティ・アサーション |
アイデンティティ・ストア |
『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティ・プロバイダの開発』のアイデンティティ・アサーション・プロバイダに関する項 |
|
SSL |
-- |
『Oracle Fusion Middleware管理者ガイド』のOracle Fusion MiddlewareでのSSL構成に関する項 |
|
監査 |
監査ストア |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』 |
|
Security Developer Toolkit |
-- |
『Oracle Fusion Middleware Reference for Oracle Security Developer Tools』 |
|
Oracle WebLogic Serverのサービス |
-- |
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』 |
この項の次の部分で、各サービスについて説明します。
|
関連項目: Oracle WebLogic Serverを保護する方法の詳細は、次を参照してください。
|
Oracle Fusion Middlewareでは、ユーザーはアイデンティティ・ストアに対して認証され、アイデンティティ・ストアは、ユーザー・アイデンティティの信頼できるソースです。認証プロセスでは、ユーザー名とパスワードの組合せ、チケットおよび公開鍵証明書を利用できます。ユーザーが指定した資格証明は、認証時にストアに対して検証され、アプリケーション機能へのアクセス権をユーザーに付与するために使用されます。
アイデンティティ・ストアは、Oracle WebLogic ServerのLDAP認証により実装されます。
そのままの状態で、Oracle WebLogic Serverは、組込みLDAPリポジトリにユーザー・アイデンティティを格納します。デプロイ済の本番環境では、LDAPディレクトリをアイデンティティ・ストアとして使用することをお薦めします。Oracle Fusion Middleware 11gR1では、次のように幅広くLDAPサーバーをアイデンティティ・ストアとしてサポートしています。
Oracle Internet Directory
Oracle Virtual Directory
Sun Java System Directory Server
Microsoft Active Directory
Open LDAP
Novell eDirectory
汎用的
OPSSでは、WebLogic認証プロバイダ、ユーザー名とパスワードの組合せを基にユーザー資格情報やシステム・プロセスを検証するコンポーネント、またはデジタル証明書を採用しています。Oracle WebLogic Serverでは、検証の際に複数のストアを使用できるよう、認証プロバイダの集約をサポートしています。
詳細は次を参照してください。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の認証の基本に関する項
『Oracle Fusion Middleware Securing Oracle WebLogic Server』
サイトの認証は、アプリケーション・ライフサイクルのフェーズに基づく必要があります。
開発フェーズ: アプリケーションが開発される段階
ステージング・フェーズ: アプリケーションが製品として準備できていることを検証する段階
製品フェーズ: アプリケーションが最終的にデプロイされ、エンドユーザーに使用される段階
アプリケーションの開発フェーズにおける認証では通常、ログイン・モジュールが使用され、さらにユーザー・アイデンティティおよびポリシーのネイティブ・テストが行われます。加えて、開発者によっては、アプリケーション・ポリシーをステージング環境と本番環境においてデプロイメントで渡す前に、アプリケーション・アーカイブ(WAR)の一部としてパッケージ化する場合があります。
開発フェーズでの認証
Oracle Fusion MiddlewareのコンポーネントであるOracle JDeveloper 11gR1は、統合されたアプリケーション開発環境を実現します。
JDeveloperで開発されたアプリケーションはすべて、Oracle WebLogic Serverの組込みLDAPサーバーでテストできます。組込みLDAPサーバーは、WebLogic認証、認可、資格証明マッピングおよびロール・マッピング・プロバイダのデフォルト・セキュリティ・プロバイダ・ストアです。
組込みLDAPサーバーを使用して、開発時にアプリケーションの認証をテストすることをお薦めします。
|
関連項目: 『Oracle Fusion Middleware Securing Oracle WebLogic Server』の組込みLDAPサーバーの管理に関する項 |
|
関連項目: 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のJavaEEアプリケーションの手動パッケージ化に関する項 |
ステージング・フェーズおよび製品フェーズでのシングル・サインオン・ソリューション
アプリケーションのデプロイ後、認証メカニズムの選択は、ステージング環境や本番環境におけるOracle Weblogic Serverドメインの構成によって決まります。その構成は、次のような形態になる場合があります。
すべてまたは特定のアプリケーション(複数のドメイン間でデプロイされたもの)にOracle Single Sign-Onを使用する形態
すべてまたは特定のアプリケーション(複数のドメイン間でデプロイされたもの)にOracle Access Managerを使用する形態
すべてまたは特定のアプリケーション(複数のドメイン間でデプロイされたもの)にサード・パーティのシングル・サインオン・ソリューションを使用する形態
|
関連項目:
|
認可とは、ポリシーを使用することによりアクセスを制御することです。認可プロセスでは、ポリシーが適用され、実行できるアクティビティの種類やアクセスできるサービスの種類が決定されます。Oracle Platform Security Servicesでは、JavaEEおよびADFアプリケーションの2つの認可モデルがサポートされています。
JavaEEロールベースのアクセス制御
Oracle ADF Security
JavaEEロールベースのアクセス制御に基づく認可
Java EEアプリケーションの場合、Oracle Fusion Middlewareでは、論理的ロールおよび物理的ロールを有するJava EEのロールベースのアクセス制御(RBAC)モデルがサポートされます。論理的ロールは、アプリケーション・コードで使用されるロール名です。物理的ロールは、アイデンティティ・ストア内に存在します。管理者は、アプリケーションのデプロイメント時に、論理的ロールを物理的ロールにマップします。
Oracle ADFに基づく認可
Oracle Platform Security Servicesでは、きめ細かな権限ベースの認可モデルがサポートされ、JAASベースのcheckPermissionコールを使用してリソースが保護されます。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のcheckPermissionメソッドの使用に関する項を参照してください。
Oracle Application Development FrameworkおよびOracle WebCenterアプリケーションで利用されるこのモデルでは、きめ細かい認証機能が提供されます。たとえば、アプリケーションの個々のADFリージョンにそれぞれ認可チェックを適用できます。
開発フェーズでの認可
Oracle JDeveloperでは、Java EEとADFの認可モデルのいずれかを選択できます。
ADF認可モデルでは、操作が簡単なウィザードが用意されています。
こうしたテストでは、できるだけ本番環境を代表するデータを使用することをお薦めします。
記載されている手順は、次のJava EE認可トピックに対応しています。
組込みLDAPを使用してOracle JdeveloperのJava EEセキュリティ・モデルを構成する方法
web.xmlファイルとejb-jar.xmlファイルの論理的ロールにリソース(URLまたはEJBメソッド)を付与することでデプロイメント・ディスクリプタのセキュリティを構成する方法
記載されている手順は、次のADF認可トピックに対応しています。
Oracle JDeveloperでADFセキュリティ・ウィザードを使用してADFセキュリティ・モデルを構成する方法
ADFページの各リージョンにきめ細かなセキュリティを構成する方法
選択したページ要素を付与し、論理的ロールに対応するこうした要素のアクションを定義する方法
詳細は次を参照してください。
『Oracle Fusion Middleware Oracle Application Development FrameworkのためのFusion開発者ガイド』
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のポリシー・ストアの基本に関する項
ステージング・フェーズまたはデプロイメント・フェーズでの認可
一般的に開発者は、アイデンティティ・ストアにあるエンタープライズ・ロール(グループ)意識しないため、適用する認可ポリシーも意識していません。認可ポリシーは通常、本番環境へのデプロイ時に実装されます。
記載されている次の手順は、アプリケーションのデプロイメントの際にドメイン管理者の役に立ちます。
Oracle Fusion Middlewareに同梱されている管理ツールを使用して、アプリケーションで使用される論理的ロールを、アイデンティティ・ストアにあるエンタープライズ・グループにマップする方法
ドメインのポリシー・ストアに移行する必要があるアプリケーション固有ポリシーを選択する方法
時間の経過によるアプリケーションのセキュリティ・ニーズの進化に合せて、Oracle Fusion Middleware ControlやWLSTのような管理ツールを使用し、アプリケーションのポリシーを適切に変更する方法
Oracle Single Sign-OnとLDAPを併用する環境で、認可と認証の両方で同じユーザー移入を使用して、こうしたシングル・サインオン環境を構成する方法
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の次の各項では、開発後の認可の実装について詳細に説明しています。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のシングル・サインオンの構成に関する項
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のWebLogicロールへの論理ロールのマッピングに関する項
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用したアプリケーション・ポリシーの移行に関する項
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のドメイン・ポリシー・ストアの管理に関する項
資格証明ストアは、ユーザー名とパスワード、または一般的な資格証明(証明書)を格納するためのリポジトリです。資格証明ストアを使用するメリットは、アプリケーションにパスワードがクリアテキストで格納されず、パスワード保護に独自のソリューションを考案する必要がないことです。これにより、管理者および開発者は、一貫性のある資格証明リポジトリを使用して作業できる可能性が高くなります。
OPSSでは、資格証明ストアに格納された資格証明に対して、作成、読取り、更新および削除の操作を実行する資格証明ストア・フレームワークを実現します。
OPSSでは、次の種類の資格証明ストアをサポートしています。
ファイル・ベース
LDAPディレクトリ
Oracle Database
ドメインレベルのアイデンティティおよび資格証明ストアは、アプリケーションに対してサポートされます。アプリケーションをデプロイする際にドメインの資格証明ストアに自動的に移行するように資格証明を構成できます。
ユーザーおよびロールAPIのフレームワークを使用すると、基礎となる特定のアイデンティティ・リポジトリにかかわらず、アプリケーションからアイデンティティ情報(ユーザーおよびグループ)に一定で移植可能な方法でアクセスできます。サポートされている操作には、アイデンティティの作成、更新または削除や、属性や目的の情報についてのアイデンティティの検索などがあります。アイデンティティ・ストア・サービスにより、フレームワークでも複数のLDAPアイデンティティ・ストアを単一の問合せで検索できます。
このリポジトリとして、Oracle Internet Directory、Microsoft Active Directory、Oracle Directory Server Enterprise EditionなどのLDAPディレクトリ・サーバーや、データベース、フラット・ファイルなどのカスタム・リポジトリを使用できます。
ユーザーおよびロールAPIのフレームワークでは、移植可能な方法でプログラム的にリポジトリにアクセスできる便利な方法が用意されているため、アプリケーション開発者は、特定のアイデンティティ・ソースの複雑さを把握するという潜在的に難しいタスクから解放されます。このフレームワークでは、アプリケーションが様々なリポジトリに対してシームレスに作業を行うことができます。アプリケーションは、様々なアイデンティティ・リポジトリ間を、コードを変更することなく切り替えられます。
詳細は、次のサイトを参照してください。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ・ストアの管理に関する項
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のユーザーおよびロールAPIを使用した開発に関する項
ポリシー・ストアには、認可の決定基準の評価に使用されるポリシーが格納されます。これは、システムおよびアプリケーションに固有のポリシーとロールを格納するリポジトリです。アプリケーション・ロールには、次のものを含めることができます。
エンタープライズ・ユーザーおよびグループ
管理ロールなどのアプリケーション・ロール
ポリシーでは、これらのロールまたはユーザーをプリンシパルとして使用できます。
ポリシー・ストアは、同一のOracle WebLogic Serverドメイン内にある複数のアプリケーションで共有され、ドメイン・レベルで管理されます。
Oracle Fusion Middleware 11g リリース1(11.1.1)では、ポリシー・ストアは次のいずれかにできます。
XMLファイル(即時利用可能なポリシー・ストア・プロバイダ)
LDAPディレクトリ
Oracle Internet Directory
Oracle Virtual Directory
Oracle Database
ポリシー・ストアAPIでは次の項目が定義されます。
被付与者に対してパーミッションの付与および取消しを行う管理インタフェース
パーミッションの種類、アプリケーション名などの構成済み基準に基づいてカスタム・ポリシー・プロバイダに認可の決定基準を委託できる委託アーキテクチャ
高度なアプリケーション・ポリシーを移植可能な方法で表すために、アプリケーション固有のきめ細かなポリシーと組み合されたアプリケーション・ベースの論理的ロール(アプリケーション・ロール)
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ、ポリシーおよび資格証明に関する項を参照してください。
シングル・サインオンでは、ユーザーは一度認証されると、再認証を要求されることなく複数のアプリケーションへのアクセス権が付与されます。
Oracle WebLogic Serverでは、次のシングル・サインオンを選択できます。
Oracle Single Sign-On
Oracle Access Manager
Oracle WebLogic Serverには、Oracle WebLogic管理コンソールで構成できる2つのアイデンティティ・アサーション・プロバイダが備わっています(ソリューションごとに1つずつ)。Oracle WebLogic Server上で稼動するアプリケーションでは、いずれか(または両方)のシングル・サインオン・ソリューションを選択できます。
また、Oracle Fusion Middlewareでは任意のサード・パーティのシングル・サインオン・ソリューションを環境に統合できるフレームワークが提供されています。
シングル・サインオンを使用できるようにアプリケーションを構成する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のシングル・サインオンの構成に関する項を参照してください。
Oracle Fusion Middlewareでは、次のエンタープライズ・スタック全体でSSL構成を行うためのSSL構成機能を提供しています。
Web層
Oracle HTTP Server
Oracle Web Cache
中間層
Oracle SOA Suite
Oracle WebCenter
Oracle Identity Federation
データ層
Oracle Internet Directory
Oracle Virtual Directory
Oracle Database
サード・パーティのLDAPディレクトリおよびデータベース
Oracle WebLogic Server(Oracle HTTP ServerからOracle WebLogic ServerへのSSLインバウンドを含む)
Oracle Enterprise Manager Fusion Middleware ControlのGUIツールやWLSTコマンドライン・ツールにより、Oracle WalletやJKSキーストアの構成およびSSLの構成のための一貫性のある均一な機能が用意されています。これらのツールには、orapkiなどの既存のツールの主要な機能も備わっています。
SSL対応のその他のエンドポイントにはOracle WebLogic Server管理コンソールなどの適切なツールを使用できます。
詳細は、『Oracle Fusion Middleware管理者ガイド』の次の各章を参照してください。
「キーストア、ウォレットおよび証明書の管理」
「Oracle Fusion MiddlewareにおけるSSL構成」
「Oracle Wallet Managerおよびorapki」
Oracle Fusion Middleware 11g リリース1(11.1.1)の共通監査フレームワーク・サービスは、ミドルウェア製品ファミリの集中監査機能を実現します。監査サービスの説明を次に示します。
Oracle Web Services Manager、Oracle Internet Directory(OID)、Oracle Virtual Directory、およびOracle Directory Integration and Provisioning(DIP)などのOracle Fusion Middleware 11gのコンポーネントおよびサービス全体で使用できます。
アプリケーション・サーバー・コンテナの外部で実行するJava SEアプリケーションで使用でます。
Oracle Enterprise Manager Fusion Middleware Controlと統合してUIベースの構成および管理を行います。
WLSTと統合して、コマンドラインで、スクリプトベースの構成を行います。
Oracle Platform Security Servicesと統合されます。
コンプライアンスや分析に関するニーズを適切にサポートするための監査の主な機能には、次のものがあります。
システム・コンポーネント、JavaEEアプリケーション、およびJavaEE以外のアプリケーション全体で監査の管理を行う均一なシステム
認証履歴または認証失敗、認可履歴、ユーザー管理、その他の共通のトランザクション・データの取得
不正行為や侵入の検知に関する分析
顧客が最もよく使用する監査イベントを取得する、事前設定された監査ポリシーなどの柔軟な監査ポリシー
Oracle BI Publisherのすぐに利用可能な分析レポート機能を使用して事前構築されたコンプライアンス・レポート機能。複数のコンポーネントにわたって複数のディメンションについてデータを分析できます。また、これらのレポートをプリファレンスに従ってカスタマイズすることもできます。
共通監査リポジトリ
共通監査記録フォーマット
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の次のトピックを参照してください。
共通監査フレームワークの概要
監査の構成と管理
Oracle Security Developer Toolsは、セキュアなメッセージングといった基本的なタスクからサービス指向アーキテクチャのセキュアな導入といったより複雑なプロジェクトにいたる堅牢なセキュリティ・アプリケーションを開発するために必要な暗号化ビルディング・ブロックを提供します。このツールは、暗号化、公開鍵インフラストラクチャ、Webサービス・セキュリティ、および統合されたアイデンティティ管理というコアの基盤の上に構築されており、Oracleの独自セキュリティ製品の構築に広く使用されています。
Oracle Security Developer Toolsを使用するOracle製品
このツールキットを使用する製品には次のものがありますが、これに限定されません。
Oracle Applications
Global Mapping、GI (Image Process Management)、Payment、XDO (XML Publisher)、Workflow、BPEL
Oracle Collaboration Suite(電子メール)
アプリケーション・サーバー
WebLogic Server(10.3以降)で使用可能
プラットフォーム・セキュリティ
Oracle Platform Security Services
SSL構成
Oracle Wallet(Oracle Identity Management製品、Fusion Middleware ControlおよびOracle Database Serverで使用)
Oracle製品
Oracle Web Services Manager(OWSM)
Business Integration(B2B)
Oracle Portal
Oracle Identity Federation(OIF)
Oracle Security Developer Toolsの内容
このツールキットには次のものが含まれています。
Oracle Crypto - 公開鍵暗号化アルゴリズム、デジタル署名アルゴリズム、鍵交換アルゴリズム、対称暗号化アルゴリズム、メッセージ・ダイジェスト・アルゴリズム、MACアルゴリズム、およびASN.1オブジェクトの構築と解析のためのメソッドがサポートされています。
Oracle Security Engine - Oracle Security Engineツールキットでは、X.509バージョン3証明書、PKCS#12、証明書リクエストに使用するPKCS#10、CRL、Signed Public Key And Challenge(SPKAC)、X.509証明書とCRLのラップに使用するPKCS#7などの機能がサポートされています。
Oracle CMS - CMSオブジェクトの読取りと書込みに使用する広範囲なツール群、およびセキュア・メッセージ・エンベロープの開発用サポート・キットが提供されています。
Oracle S/MIME - 証明書の解析と検証などの拡張機能を使用したX.509バージョン3証明書のフル・サポート、PKCS#7およびPKCS#12フォーマットのX.509証明書連鎖のサポート、PKCS#5、PKCS#8、およびPKCS#12を使用した秘密鍵暗号化、およびASN.1 DER/BERフォーマットでのデータの入出力のための統合ASN.1ライブラリを提供しています。
Oracle PKI - LDAPディレクトリへのアクセス、デジタル・メッセージの日付スタンプ、証明書の検証、および証明書の管理など、デジタル証明書を扱うツール群が含まれています。
Oracle JCE - Sun社のJCAプロバイダ・フレームワークに適合する暗号化プロバイダです。Oracle JCEは標準のJCE APIを実装します。Oracle JCE Providerパッケージには、暗号化、鍵合意、鍵ファクトリと秘密鍵ファクトリ、鍵のペアの生成など、いくつかの暗号化アルゴリズムおよびサービスが含まれています。
標準APIにより、開発者はあるプロバイダから別のプロバイダに簡単に切り替えることができます。
Oracle XML Security - XML Digital Signature仕様(JSR105)、Decryption Transform標準案、XML Canonicalization標準、Exclusive XML Canonicalization標準および、JAXP 1.1に準拠する広範囲なXMLパーサとXSLTエンジンとの互換性をサポートしています。
Oracle SAML - SAML準拠のJavaセキュリティ・サービスの開発者を支援するツールとマニュアルを提供します。Oracle SAMLは、アプレット、アプリケーション、EJB、サーブレット、JSPなどの既存のJavaソリューションに統合できます。このAPIは次のものをサポートしています。
SAML 1.0/1.1および2.0仕様
SAMLベースのシングル・サインオン、属性、メタデータ、拡張クライアント・プロキシ、および統合アイデンティティ・プロファイル
Oracle Web Services Security - OASIS仕様に基づいた認証と認可のフレームワークを提供し、SOAP Message Security標準、Username Token Profile標準、X.509 Certificate Token Profile標準、およびWSS SAML Token Profileをサポートしています。
Oracle Liberty - これにより、Java開発者は、シングル・サインオンおよび統合アイデンティティ・ソリューションをLiberty Alliance仕様に基づいて設計および開発することができます。
Oracle XKMS - 開発者がデジタル署名処理用のXMLトランザクションを記述できるようにすることで、公開鍵インフラストラクチャを簡単に扱えるようになります。Oracle XKMSはW3C XKMS標準を実装しています。
詳細は、『Oracle Fusion Middleware Oracle Security Developer Toolsリファレンス』を参照してください。
