ヘッダーをスキップ
Oracle® Label Security管理者ガイド
11
g
リリース2 (11.2)
E92085-01
索引
次
目次
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
第I部
1
Oracle Label Securityの概要
1.1
コンピュータ・セキュリティとデータ・アクセス制御
1.1.1
Oracle Label Securityとセキュリティ標準
1.1.2
セキュリティ・ポリシー
1.1.3
アクセス制御
1.1.3.1
任意アクセス制御
1.1.3.2
Oracle Label Security
1.1.3.3
Oracle Label Securityと任意アクセス制御の相互動作
1.2
Oracle Label Securityのアーキテクチャ
1.3
Oracle Label Securityの機能
1.3.1
Oracle Label Securityポリシーの機能の概要
1.3.2
Oracle Enterprise Edition: VPDテクノロジ
1.3.3
Oracle Label Security: デフォルトのVPD
1.3.4
ラベル・ポリシーの機能
1.3.4.1
データ・ラベル
1.3.4.2
ラベル認可
1.3.4.3
ポリシー権限
1.3.4.4
ポリシー施行オプション
1.3.4.5
要約: ラベルベースの行アクセスの4つの側面
1.4
Oracle Label SecurityとOracle Internet Directoryとの統合
2
データ・ラベルおよびユーザー・ラベル
2.1
ラベルベース・セキュリティの概要
2.2
ラベル・コンポーネント
2.2.1
ラベル・コンポーネントの定義および有効な文字
2.2.2
レベル
2.2.3
区分
2.2.4
グループ
2.2.5
業界別のレベル、区分およびグループの例
2.3
ラベルの構文とタイプ
2.4
データ・ラベルとユーザー・ラベルの相互動作
2.5
ラベルの管理
3
アクセス制御および権限
3.1
アクセス調整の概要
3.2
セッション・ラベルおよび行ラベル
3.2.1
セッション・ラベル
3.2.2
行ラベル
3.2.3
セッション・ラベルの例
3.3
ユーザー認証
3.3.1
管理者が設定する認可
3.3.1.1
認可レベル
3.3.1.2
認可区分
3.3.1.3
認可グループ
3.3.2
計算されるセッション・ラベル
3.4
アクセス調整のためのラベルの評価
3.4.1
読取り/書込みアクセスの概要
3.4.1.1
読取り操作と書込み操作の違い
3.4.1.2
グループに対する読取り/書込み認可の伝播
3.4.2
Oracle Label Securityの読取りアクセス・アルゴリズム
3.4.3
Oracle Label Securityの書込みアクセス・アルゴリズム
3.5
Oracle Label Securityの権限の使用
3.5.1
Oracle Label Securityのポリシーで定義される権限
3.5.2
特殊なアクセス権限
3.5.2.1
READ
3.5.2.2
FULL
3.5.2.3
COMPACCESS
3.5.2.4
PROFILE_ACCESS
3.5.3
特殊な行ラベル権限
3.5.3.1
WRITEUP
3.5.3.2
WRITEDOWN
3.5.3.3
WRITEACROSS
3.5.4
システム権限、オブジェクト権限およびポリシー権限
3.5.5
アクセス調整およびビュー
3.5.6
アクセス調整およびプログラム・ユニットの実行
3.5.7
アクセス調整およびポリシー施行オプション
3.6
複数のOracle Label Securityポリシーの処理
3.6.1
単一データベース内の複数のOracle Label Securityポリシー
3.6.2
分散環境での複数のOracle Label Securityポリシー
第II部 Oracle Label Securityの機能の使用
4
Oracle Label Securityスタート・ガイド
4.1
OLSのインストールとLBACSYSユーザーの有効化
4.2
OLSポリシーの作成
4.2.1
ステップ1: ポリシーの作成
4.2.2
ステップ2: ポリシーのラベル・コンポーネントの作成
4.2.3
ステップ3: ポリシーのデータ・ラベルの作成
4.2.4
ステップ4: ポリシーに対するユーザーの認証
4.2.5
ステップ5: データベース表へのポリシーの適用
4.2.6
ステップ6: 表の行へのポリシー・ラベルの追加
4.3
サンプルOLSポリシーの作成
4.3.1
ステップ1: Oracle Label Securityの例のためのユーザーの作成
4.3.2
ステップ2: ACCESS_LOCATIONSポリシーの作成
4.3.3
ステップ3: ACCESS_LOCATIONSポリシー・レベルのコンポーネントの定義
4.3.4
ステップ4: ACCESS_LOCATIONSポリシーのデータ・ラベルの作成
4.3.5
ステップ5: ACCESS_LOCATIONSポリシーに対するユーザー認証の作成
4.3.6
ステップ6: HR.LOCATIONS表へのACCESS_LOCATIONSポリシーの適用
4.3.7
ステップ7: 表データへのポリシー・ラベルの追加
4.3.8
ステップ8: ACCESS_LOCATIONSポリシーのテスト
4.3.9
ステップ9: この例のコンポーネントの削除(オプション)
5
ラベル付きデータの処理
5.1
ポリシーのラベル列とラベル・タグ
5.1.1
ポリシーのラベル列
5.1.1.1
ポリシーのラベル列の非表示化
5.1.1.2
例1: 数値列データ型(NUMBER)
5.1.1.3
例2: 数値列データ型と非表示列
5.1.2
ラベル・タグ
5.1.2.1
ラベル・タグの手動定義によるラベルの順序付け
5.1.2.2
ラベル・タグの手動定義によるデータの操作
5.1.2.3
自動的に生成されるラベル・タグ
5.2
データ行へのラベルの割当て
5.3
ラベルの表示
5.3.1
CHAR_TO_LABELを使用した文字列からラベル・タグへの変換
5.3.2
LABEL_TO_CHARを使用したラベル・タグから文字列への変換
5.3.2.1
LABEL_TO_CHARの例
5.3.2.2
ポリシーのラベル列が非表示に設定されている場合の表からのすべての列の取出し
5.4
ラベルを使用したデータのフィルタリング
5.4.1
WHERE句での数値ラベル・タグの使用
5.4.2
ラベル付きデータ行の順序付け
5.4.3
ラベルの文字表現による順序付け
5.4.4
ラベルの上限と下限の決定
5.4.4.1
LEAST_UBOUNDを使用した最小の上限の検索
5.4.4.2
GREATEST_LBOUNDを使用した最大の下限の検索
5.4.5
MERGE_LABELファンクションを使用したラベルのマージ
5.5
ラベル付きデータの挿入
5.5.1
CHAR_TO_LABELを使用したラベルの挿入
5.5.2
数値のラベル・タグ値を使用したラベルの挿入
5.5.3
ラベルを指定しないデータの挿入
5.5.4
ポリシーのラベル列が非表示になっている場合のデータの挿入
5.5.5
TO_DATA_LABELを使用したラベルの挿入
5.6
SA_SESSIONを使用したセッション・ラベルと行ラベルの変更
5.6.1
セッション・ラベルと行ラベルを変更するSA_SESSIONファンクション
5.6.2
SA_SESSION.SET_LABELを使用したセッション・ラベルの変更
5.6.3
SA_SESSION.SET_ROW_LABELを使用した行ラベルの変更
5.6.4
SA_SESSION.RESTORE_DEFAULT_LABELSを使用したラベルのデフォルトのリストア
5.6.5
SA_SESSION.SAVE_DEFAULT_LABELSを使用したラベルのデフォルトの保存
5.6.6
SA_SESSIONファンクションを使用したセッション属性の表示
5.6.6.1
すべてのセキュリティ属性を戻すUSER_SA_SESSIONビュー
5.6.6.2
個々のセキュリティ属性を戻すファンクション
6
Oracle Label SecurityとOracle Internet Directoryとの併用
6.1
Oracle Internet Directoryでのラベル管理の概要
6.2
Oracle Internet Directory対応Label Securityの構成
6.2.1
OID対応Oracle Label Securityを構成するための権限の付与
6.2.2
データベースの登録とOracle Internet Directory対応Oracle Label Securityの構成
6.2.2.1
タスク1: ディレクトリを使用するためのOracleホームの構成
6.2.2.2
タスク2: OID対応Oracle Label Security用のデータベースの構成
6.2.2.3
タスク2: OID対応OLS用のデータベースの構成の代替方式
6.2.2.4
タスク3: DIPパスワードと接続データの設定
6.2.3
Oracle Internet Directory対応OLSでのデータベースの登録解除
6.3
データベースからのOracle Internet Directory対応Oracle Label Securityの削除
6.4
Oracle Label Securityプロファイル
6.5
Label Securityでディレクトリを使用する場合に統合される機能
6.6
Oracle Internet Directory内のOracle Label Securityポリシー属性
6.7
新規データ・ラベル作成の制限
6.8
2つの管理者タイプ
6.9
データベースのブートストラップ
6.10
データベースとOracle Internet Directoryの同期化
6.10.1
データベースとOracle Internet Directoryの同期化について
6.10.2
Oracle Directory Integration and Provisioning(DIP)プロビジョニング・プロファイル
6.10.3
プロビジョニング・プロファイルの無効化、変更および有効化
6.10.4
Oracle Data GuardでのOracle Directory対応Oracle Label Securityの構成
6.10.4.1
Oracle Internet DirectoryでのOracle Label Securityフェイルオーバーの登録について
6.10.4.2
手順1: Data Guardでのディレクトリ対応Oracle Label Securityの設定
6.10.4.3
手順2: スイッチオーバー後のOIDプロビジョニング・プロファイルの更新
6.11
セキュリティ・ロールと許可されるアクション
6.11.1
Oracle Internet Directory対応Oracle Label Securityのポリシー作成者の制限
6.12
置き換えられるPL/SQL文
6.13
ポリシー管理者専用プロシージャ
第III部 Oracle Label Securityアプリケーションの管理
7
Oracle Label Securityポリシーの作成
7.1
Oracle Label Securityの管理タスクの概要
7.1.1
ステップ1: ポリシーの作成
7.1.2
ステップ2: ラベル・コンポーネントの定義
7.1.3
ステップ3: 有効なデータ・ラベルのセットの識別
7.1.4
ステップ4: 表およびスキーマへのポリシーの適用
7.1.5
ステップ5: ユーザーの認証
7.1.6
ステップ6: トラステッド・プログラム・ユニットの作成と認可(オプション)
7.1.7
ステップ7: 監査の構成(オプション)
7.2
Oracle Label Security管理者のロールの編成
7.3
Oracle Label Securityの管理インタフェースの選択
7.3.1
Oracle Label Securityのパッケージ
7.3.1.1
Oracle Label Securityのデモンストレーション・ファイル
7.3.2
Oracle Enterprise Manager
7.4
SA_SYSDBAパッケージを使用したセキュリティ・ポリシーの管理
7.4.1
SA_SYSDBAパッケージを使用できるユーザー
7.4.2
ポリシーを管理できるユーザー
7.4.3
ポリシー指定に有効な文字
7.4.4
SA_SYSDBA.CREATE_POLICYを使用したポリシーの作成
7.4.5
SA_SYSDBA.ALTER_POLICYを使用したポリシー・オプションの変更
7.4.6
SA_SYSDBA.DISABLE_POLICYを使用したポリシーの無効化
7.4.7
SA_SYSDBA.ENABLE_POLICYを使用したポリシーの有効化
7.4.8
SA_SYSDBA.DROP_POLICYを使用したポリシーの削除
7.5
SA_COMPONENTSパッケージを使用したラベル・コンポーネントの定義
7.5.1
オーバーロードされるプロシージャの使用
7.5.2
SA_COMPONENTS.CREATE_LEVELを使用したレベルの作成
7.5.3
SA_COMPONENTS.ALTER_LEVELを使用したレベルの変更
7.5.4
SA_COMPONENTS.DROP_LEVELを使用したレベルの削除
7.5.5
SA_COMPONENTS.CREATE_COMPARTMENTを使用した区分の作成
7.5.6
SA_COMPONENTS.ALTER_COMPARTMENTを使用した区分の変更
7.5.7
SA_COMPONENTS.DROP_COMPARTMENTを使用した区分の削除
7.5.8
SA_COMPONENTS.CREATE_GROUPを使用したグループの作成
7.5.9
SA_COMPONENTS.ALTER_GROUPを使用したグループの変更
7.5.10
SA_COMPONENTS.ALTER_GROUP_PARENTを使用したグループの親の変更
7.5.11
SA_COMPONENTS.DROP_GROUPを使用したグループの削除
7.6
SA_LABEL_ADMINパッケージを使用した有効なラベルの指定
7.6.1
SA_LABEL_ADMIN.CREATE_LABELを使用した有効なデータ・ラベルの作成
7.6.2
SA_LABEL_ADMIN.ALTER_LABELを使用したラベルの変更
7.6.3
SA_LABEL_ADMIN.DROP_LABELを使用したラベルの削除
8
ユーザーのラベルおよび権限の管理
8.1
ユーザーのラベルおよび権限の管理の概要
8.2
SA_USER_ADMINを使用したコンポーネント別のユーザー・ラベルの管理
8.2.1
SA_USER_ADMIN.SET_LEVELS
8.2.2
SA_USER_ADMIN.SET_COMPARTMENTS
8.2.3
SA_USER_ADMIN.SET_GROUPS
8.2.4
SA_USER_ADMIN.ALTER_COMPARTMENTS
8.2.5
SA_USER_ADMIN.ADD_COMPARTMENTS
8.2.6
SA_USER_ADMIN.DROP_COMPARTMENTS
8.2.7
SA_USER_ADMIN.DROP_ALL_COMPARTMENTS
8.2.8
SA_USER_ADMIN.ADD_GROUPS
8.2.9
SA_USER_ADMIN.ALTER_GROUPS
8.2.10
SA_USER_ADMIN.DROP_GROUPS
8.2.11
SA_USER_ADMIN.DROP_ALL_GROUPS
8.3
SA_USER_ADMINを使用したラベル文字列別のユーザー・ラベルの管理
8.3.1
SA_USER_ADMIN.SET_USER_LABELS
8.3.2
SA_USER_ADMIN.SET_DEFAULT_LABEL
8.3.3
SA_USER_ADMIN.SET_ROW_LABEL
8.3.4
SA_USER_ADMIN.DROP_USER_ACCESS
8.4
SA_USER_ADMIN.SET_USER_PRIVSを使用したユーザー権限の管理
8.5
SA_SESSION.SET_ACCESS_PROFILEを使用したラベルおよび権限の設定
8.6
SA_SESSION.SA_USER_NAMEを使用したユーザー名の戻し
8.7
Oracle Label Securityビューの使用
8.7.1
すべてのユーザーのセキュリティ属性を表示するビュー: DBA_SA_USERS
8.7.2
ユーザー認証をコンポーネント別に表示するビュー
9
ポリシー施行オプションとラベル付けファンクションの実装
9.1
ポリシー・オプションの選択
9.1.1
ポリシー施行オプションの概要
9.1.2
HIDEポリシー列オプション
9.1.3
ラベル管理施行オプション
9.1.3.1
LABEL_DEFAULT: セッションのデフォルト行ラベルの使用
9.1.3.2
LABEL_UPDATE: データ・ラベルの変更
9.1.3.3
CHECK_CONTROL: データ・ラベルのチェック
9.1.4
アクセス制御施行オプション
9.1.4.1
READ_CONTROL: データの読取り
9.1.4.2
WRITE_CONTROL: データの書込み
9.1.4.3
INSERT_CONTROL、UPDATE_CONTROLおよびDELETE_CONTROL
9.1.5
オーバーライド施行オプション
9.1.6
ポリシー施行オプションの使用時のガイドライン
9.1.7
Oracle Label Securityのポリシー施行からの除外
9.1.8
表およびスキーマに対するポリシー・オプションの表示
9.2
ラベル付けファンクションの使用
9.2.1
Oracle Label Securityでのデータ行のラベル付け
9.2.2
Oracle Label Securityのポリシーでのラベル付けファンクション
9.2.3
ポリシー用のラベル付けファンクションの作成
9.2.4
ポリシーでのラベル付けファンクションの指定
9.3
ポリシー・オプションとラベル付けファンクションを使用したラベル付きデータの挿入
9.3.1
施行制御オプションとINSERTの評価
9.3.2
ラベル付けファンクションが指定されている場合のラベルの挿入
9.3.3
宣言参照整合性が有効になっている表への子行の挿入
9.4
ポリシー・オプションとラベル付けファンクションを使用したラベル付きデータの更新
9.4.1
CHAR_TO_LABELを使用したラベルの更新
9.4.2
施行制御オプションとUPDATEの評価
9.4.3
ラベル付けファンクションが指定されている場合のラベルの更新
9.4.4
宣言参照整合性が有効になっている表の子行の更新
9.5
ポリシー・オプションとラベル付けファンクションを使用したラベル付きデータの削除
9.6
Oracle Label SecurityのポリシーとSQL述語の使用
9.6.1
SQL述語を使用したOracle Label Securityのポリシーの変更
9.6.2
複数のSQL述語を使用したOracle Label Securityのポリシーの効果
10
表およびスキーマへのポリシーの適用
10.1
ポリシー管理用語
10.2
Oracle Internet Directory対応Oracle Label Securityでのポリシーのサブスクライブ
10.2.1
SA_POLICY_ADMIN.POLICY_SUBSCRIBEを使用したポリシーへのサブスクライブ
10.2.1.1
構文
10.2.2
SA_POLICY_ADMIN.POLICY_UNSUBSCRIBEを使用したポリシーへのサブスクライブ取消し
10.2.2.1
構文
10.3
表およびスキーマのポリシー管理ファンクション
10.4
SA_POLICY_ADMINを使用した表のポリシーの管理
10.4.1
SA_POLICY_ADMIN.APPLY_TABLE_POLICYを使用したポリシーの適用
10.4.1.1
構文
10.4.2
SA_POLICY_ADMIN.REMOVE_TABLE_POLICYを使用したポリシーの削除
10.4.2.1
構文
10.4.3
SA_POLICY_ADMIN.DISABLE_TABLE_POLICYを使用したポリシーの無効化
10.4.3.1
構文
10.4.4
SA_POLICY_ADMIN.ENABLE_TABLE_POLICYを使用したポリシーの再有効化
10.4.4.1
構文
10.5
SA_POLICY_ADMINを使用したスキーマに対するポリシーの管理
10.5.1
SA_POLICY_ADMIN.APPLY_SCHEMA_POLICYを使用したポリシーの適用
10.5.1.1
構文
10.5.2
施行オプションの変更: SA_POLICY_ADMIN.ALTER_SCHEMA_POLICY
10.5.2.1
構文
10.5.3
SA_POLICY_ADMIN.REMOVE_SCHEMA_POLICYを使用したポリシーの削除
10.5.3.1
構文
10.5.4
SA_POLICY_ADMIN.DISABLE_SCHEMA_POLICYを使用したポリシーの無効化
10.5.4.1
構文
10.5.5
SA_POLICY_ADMIN.ENABLE_SCHEMA_POLICYを使用したポリシーの再有効化
10.5.5.1
構文
10.5.6
スキーマに対するポリシーの問題
11
トラステッド・ストアド・プログラム・ユニットの管理および使用
11.1
トラステッド・ストアド・プログラム・ユニットの概要
11.1.1
トラステッド・ストアド・プログラム・ユニットの動作
11.1.2
トラステッド・ストアド・プログラム・ユニットの例
11.2
SET_PROG_PRIVSを使用したプログラム・ユニット権限の管理
11.3
トラステッド・ストアド・プログラム・ユニットの作成およびコンパイル
11.3.1
トラステッド・ストアド・プログラム・ユニットの作成
11.3.2
トラステッド・ストアド・プログラム・ユニットの権限の設定
11.3.3
トラステッド・ストアド・プログラム・ユニットの再コンパイル
11.3.4
トラステッド・ストアド・プログラム・ユニットの再作成
11.3.5
トラステッド・ストアド・プログラム・ユニットの実行
11.4
SA_UTLファンクションを使用したラベル情報の設定と戻し
11.4.1
SA_UTLを使用したセッション・ラベルと行ラベルの表示
11.4.1.1
SA_UTL.NUMERIC_LABEL
11.4.1.2
SA_UTL.NUMERIC_ROW_LABEL
11.4.1.3
SA_UTL.DATA_LABEL
11.4.2
表の行データの読取り権限と更新権限のチェック
11.4.2.1
SA_UTL.CHECK_READ
11.4.2.2
SA_UTL.CHECK_WRITE
11.4.2.3
SA_UTL.CHECK_LABEL_CHANGE
11.4.3
SA_UTLを使用したセッション・ラベルと行ラベルの設定
11.4.3.1
SA_UTL.SET_LABEL
11.4.3.2
SA_UTL.SET_ROW_LABEL
11.4.4
最大の下限と最小の上限の戻し
11.4.4.1
GREATEST_LBOUND
11.4.4.2
LEAST_UBOUND
12
Oracle Label Securityでの監査
12.1
Oracle Label Securityの監査の概要
12.2
システム単位の監査の有効化: AUDIT_TRAIL初期化パラメータ
12.3
SA_AUDIT_ADMINを使用したOracle Label Securityの監査の有効化
12.3.1
Oracle Label Securityの監査オプション
12.3.2
SA_AUDIT_ADMIN.AUDITを使用したOracle Label Securityの監査の有効化
12.3.3
SA_AUDIT_ADMIN.NOAUDITを使用したOracle Label Securityの監査の無効化
12.3.4
DBA_SA_AUDIT_OPTIONSビューを使用した監査オプションの検査
12.4
ポリシー・ラベルの監査の管理
12.4.1
SA_AUDIT_ADMIN.AUDIT_LABELを使用したポリシー・ラベルの監査
12.4.2
SA_AUDIT_ADMIN.NOAUDIT_LABELを使用したポリシー・ラベルの監査の無効化
12.4.3
AUDIT_LABEL_ENABLEDを使用したラベルの監査ステータスの検索
12.5
Oracle Label Security用の監査証跡ビューの作成および削除
12.5.1
SA_AUDIT_ADMIN.CREATE_VIEWを使用したビューの作成
12.5.2
SA_AUDIT_ADMIN.DROP_VIEWを使用したビューの削除
12.6
Oracle Label Securityの監査のヒント
12.6.1
SA_AUDIT_ADMINオプションの設定方針
12.6.2
権限付き操作の監査
13
分散データベースでのOracle Label Securityの使用
13.1
Oracle Label Securityの分散構成
13.2
Oracle Label Securityでのリモート・データベースへの接続
13.3
リモート・セッション用のセッション・ラベルと行ラベルの確立
13.4
分散環境でのラベルのセットアップ
13.4.1
分散環境でのラベル・タグの設定
13.4.2
分散環境での数値書式によるラベル・コンポーネントの設定
13.5
分散環境でのOracle Label Securityポリシーの使用
13.6
Oracle Label Securityでのレプリケーションの使用
13.6.1
Oracle Label Securityでのレプリケーションの概要
13.6.1.1
Oracle Label Securityでサポートされているレプリケーション機能
13.6.1.2
Oracle Label Securityでのレプリケーションに対する行レベルのセキュリティ制限
13.6.2
マテリアライズド・ビューの内容
13.6.2.1
マテリアライズド・ビューの内容の決定方法
13.6.2.2
完全マテリアライズド・ビュー
13.6.2.3
部分マテリアライズド・ビュー
13.6.3
Oracle Label Securityでのマテリアライズド・ビューの作成要件
13.6.3.1
REPADMINアカウントの要件
13.6.3.2
マテリアライズド・ビューの所有者の要件
13.6.3.3
マルチレベルの部分マテリアライズド・ビューの作成要件
13.6.3.4
マルチレベルの完全マテリアライズド・ビューの作成要件
13.6.4
マテリアライズド・ビューのリフレッシュ方法
14
Oracle Label SecurityでのDBAファンクションの実行
14.1
Oracle Label Securityでのエクスポート・ユーティリティの使用
14.1.1
Oracle Label Securityでのデータ・ポンプ・エクスポート・ユーティリティの使用
14.2
Oracle Label Securityでのインポート・ユーティリティの使用
14.2.1
Oracle Label Securityでのインポート要件
14.2.1.1
インポート・データベースの準備
14.2.1.2
インポート・ユーザーの認証の検証
14.2.2
インポート用データ・ラベルの定義
14.2.3
Oracle Label Securityをインストールしない場合のラベル付きデータのインポート
14.2.4
ラベルなしデータのインポート
14.2.5
非表示列を含む表のインポート
14.3
Oracle Label SecurityでのSQL*Loaderの使用
14.3.1
Oracle Label SecurityでのSQL*Loaderの使用要件
14.3.2
Oracle Label SecurityからSQL*Loaderへの入力
14.4
Oracle Label Securityのパフォーマンス上のヒント
14.4.1
ANALYZEを使用したOracle Label Securityのパフォーマンス改善
14.4.2
ポリシーのラベル列での索引作成
14.4.3
パフォーマンス強化のためのラベル・タグ方針の作成
14.4.4
数値ラベル・タグに基づくデータのパーティション化
14.5
インストール後のデータベースの追加作成
15
インバース・グループを使用した解放性
15.1
インバース・グループおよび解放性の概要
15.2
スタンダード・グループおよびインバース・グループの比較
15.3
インバース・グループの動作
15.3.1
INVERSE_GROUP施行オプションを指定したインバース・グループの実装
15.3.2
インバース・グループおよびラベル・コンポーネント
15.3.3
インバース・グループで計算されるラベル
15.3.3.1
インバース・グループで計算されるセッション・ラベル
15.3.3.2
インバース・グループ、計算される最大読取りグループおよび最大書込みグループ
15.3.4
インバース・グループおよび階層構造
15.3.5
インバース・グループおよびユーザー権限
15.4
インバース・グループでの読取りアクセスのアルゴリズム
15.5
インバース・グループでの書込みアクセスのアルゴリズム
15.6
インバース・グループでのCOMPACCESS権限のアルゴリズム
15.7
セッション・ラベルおよびインバース・グループ
15.7.1
スタンダード・グループまたはインバース・グループでの初期セッション/行ラベルの設定
15.7.1.1
スタンダード・グループ: 初期セッション/行ラベルの変更規則
15.7.1.2
インバース・グループ: 初期セッション/行ラベルの変更規則
15.7.2
スタンダード・グループまたはインバース・グループでの現行のセッション/行ラベルの設定
15.7.2.1
スタンダード・グループ: 現行のセッション/行ラベルの変更規則
15.7.2.2
インバース・グループ: 現行のセッション/行ラベルの変更規則
15.7.3
セッション・ラベルおよびインバース・グループの例
15.7.3.1
インバース・グループの例1
15.7.3.2
インバース・グループの例2
15.8
インバース・グループでのプロシージャの動作の変更
15.8.1
インバース・グループでのSA_SYSDBA.CREATE_POLICY
15.8.2
インバース・グループでのSA_SYSDBA.ALTER_POLICY
15.8.3
インバース・グループでのSA_USER_ADMIN.ADD_GROUPS
15.8.4
インバース・グループでのSA_USER_ADMIN.ALTER_GROUPS
15.8.5
インバース・グループでのSA_USER_ADMIN.SET_GROUPS
15.8.6
インバース・グループでのSA_USER_ADMIN.SET_USER_LABELS
15.8.7
インバース・グループでのSA_USER_ADMIN.SET_DEFAULT_LABEL
15.8.8
インバース・グループでのSA_USER_ADMIN.SET_ROW_LABEL
15.8.9
インバース・グループでのSA_COMPONENTS.CREATE_GROUP
15.8.10
インバース・グループでのSA_COMPONENTS.ALTER_GROUP_PARENT
15.8.11
インバース・グループでのSA_SESSION.SET_LABEL
15.8.12
インバース・グループでのSA_SESSION.SET_ROW_LABEL
15.8.13
インバース・グループでのLEAST_UBOUND
15.8.14
インバース・グループでのGREATEST_LBOUND
15.9
インバース・グループでのラベルの支配規則
第IV部 付録
A
Oracle Label Securityの高度なトピック
A.1
ラベル間の関係の分析
A.1.1
支配するラベルと支配されるラベル
A.1.2
比較できないラベル
A.1.3
支配ファンクションの使用
A.1.3.1
DOMINATESスタンドアロン・ファンクション
A.1.3.2
STRICTLY_DOMINATESスタンドアロン・ファンクション
A.1.3.3
DOMINATED_BYスタンドアロン・ファンクション
A.1.3.4
STRICTLY_DOMINATED_BYスタンドアロン・ファンクション
A.1.3.5
SA_UTL.DOMINATES
A.1.3.6
SA_UTL.STRICTLY_DOMINATES
A.1.3.7
SA_UTL.DOMINATED_BY
A.1.3.8
SA_UTL.STRICTLY_DOMINATED_BY
A.2
セッション・ラベル設定用のOCIインタフェース
A.2.1
OCIAttrSet
A.2.2
OCIAttrGet
A.2.3
OCIParamGet
A.2.4
OCIAttrSet
A.2.5
OCIの例
B
Oracle Internet Directoryを使用したLabel Security用コマンドライン・ツール
B.1
コマンドの説明
B.2
olsadmintoolコマンドの関連パラメータ
B.2.1
サマリー
B.3
olsadmintoolの使用例
B.3.1
他のユーザーをポリシー作成者として設定する例
B.3.2
有効なオプションを指定してポリシーを作成する例
B.3.3
ポリシー管理者の作成例
B.3.4
レベルの作成例
B.3.5
区分の作成例
B.3.6
グループの作成例
B.3.7
ラベルの作成例
B.3.8
プロファイルの作成
B.3.9
プロファイルにユーザーを追加する例
B.3.10
プロファイルに他のユーザーを追加する例
B.3.11
監査オプションの設定例
B.3.12
前述の例の結果
C
Oracle RAC環境でのOracle Label Security
C.1
Oracle RAC環境におけるOracle Label Securityのポリシー機能の使用
C.2
Oracle Label Securityでの透過的アプリケーション・フェイルオーバーの使用
D
Oracle Label Securityに関するよくある質問
E
リファレンス
E.1
Oracle Label Securityのデータ・ディクショナリ表およびビュー
E.1.1
Oracle Database
のデータ・ディクショナリ表
E.1.2
Oracle Label Securityのデータ・ディクショナリ・ビュー
E.1.2.1
ALL_SA_AUDIT_OPTIONS
E.1.2.2
ALL_SA_COMPARTMENTS
E.1.2.3
ALL_SA_DATA_LABELS
E.1.2.4
ALL_SA_GROUPS
E.1.2.5
ALL_SA_LABELS
E.1.2.6
ALL_SA_LEVELS
E.1.2.7
ALL_SA_POLICIES
E.1.2.8
ALL_SA_PROG_PRIVS
E.1.2.9
ALL_SA_SCHEMA_POLICIES
E.1.2.10
ALL_SA_TABLE_POLICIES
E.1.2.11
ALL_SA_USERS
E.1.2.12
ALL_SA_USER_LABELS
E.1.2.13
ALL_SA_USER_LEVELS
E.1.2.14
ALL_SA_USER_PRIVS
E.1.2.15
DBA_SA_AUDIT_OPTIONS
E.1.2.16
DBA_SA_COMPARTMENTS
E.1.2.17
DBA_SA_DATA_LABELS
E.1.2.18
DBA_SA_GROUPS
E.1.2.19
DBA_SA_GROUP_HIERARCHY
E.1.2.20
DBA_SA_LABELS
E.1.2.21
DBA_SA_LEVELS
E.1.2.22
DBA_SA_POLICIES
E.1.2.23
DBA_SA_PROG_PRIVS
E.1.2.24
DBA_SA_SCHEMA_POLICIES
E.1.2.25
DBA_SA_TABLE_POLICIES
E.1.2.26
DBA_SA_USERS
E.1.2.27
DBA_SA_USER_COMPARTMENTS
E.1.2.28
DBA_SA_USER_GROUPS
E.1.2.29
DBA_SA_USER_LABELS
E.1.2.30
DBA_SA_USER_LEVELS
E.1.2.31
DBA_SA_USER_PRIVS
E.1.3
Oracle Label Securityの監査ビュー
E.2
Oracle Label Securityでの制限事項
E.2.1
Oracle Label SecurityでのCREATE TABLE AS SELECTの制限
E.2.2
ラベル・タグの制限
E.2.3
Oracle Label Securityでのエクスポート制限
E.2.4
Oracle Label Securityでの削除制限
E.2.5
共有スキーマのサポート
E.2.6
非表示列の制限
E.3
Oracle Label Securityのインストール
E.3.1
Oracle Label SecurityおよびSYS.AUD$表
E.4
Oracle Label Securityの削除
索引
