セキュリティーに関する注意事項 (Sun Identity Manager 8.1 リソースリファレンス)

Sun Identity Manager 8.1 リソースリファレンス

セキュリティーに関する注意事項

ここでは、サポートされる接続と特権の要件について説明します。

サポートされる接続

Identity Manager は、次のいずれかのドライバを使用して Oracle アダプタと通信できます。

JDBC thin ドライバ
JDBC OCI ドライバ
他社製のドライバ

Oracle アプリケーションのストアドプロシージャーでは、プロビジョニングで使用される一部のストアドプロシージャーに暗号化されていないパスワードを渡す必要があるため、Identity Manager と Oracle アプリケーションリソースの間に暗号化された通信を実装するようにしてください。

特定のバージョンの Oracle RDBMS およびドライバが提供する暗号化のサポートレベルを検証するには、Oracle のマニュアル『Oracle Advanced Security 管理者ガイド』および使用している JDBC ドライバのマニュアルをお読みください。

Oracle EBS のアクセス権

Oracle E-Business Suite では、次のテーブルとストアドプロシージャーに対するアクセス権が必要です。

注 –

管理者は、すべてのテーブルに対して select コマンドを実行できる必要があります。また、管理者は apps.fnd_user テーブルを更新できる必要があります。

テーブル	ストアドプロシージャー
apps.ak_attributes apps.ak_attributes_tl apps.ak_web_user_sec_attr_values apps.fnd_application apps.fnd_application_tl apps.fnd_application_vl apps.fnd_profile apps.fnd_responsibility apps.fnd_responsibility_vl apps.fnd_security_groups apps.fnd_security_groups_tl	apps.app_exception.raise_exception apps.fnd_global.apps_initialize apps.fnd_global.user_id apps.fnd_message.get apps.fnd_message.get_token apps.fnd_message.set_name apps.fnd_message.set_token apps.fnd_profile.get apps.fnd_user_pkg.AddResp apps.fnd_user_pkg.CreateUser apps.fnd_user_pkg.DisableUser
apps.fnd_security_groups_vl apps.fnd_user apps.fnd_user_resp_groups apps.icx_parameters	apps.fnd_user_pkg.DelResp apps.fnd_user_pkg.UpdateUser apps.fnd_user_pkg.user_synch apps.fnd_user_pkg.validatelogin apps.fnd_user_resp_groups_api.assignment_exists apps.fnd_user_resp_groups_api.insert_assignment apps.fnd_user_resp_groups_api.update_assignment apps.fnd_web_sec.change_password apps.fnd_web_soc.create_user apps.fnd_web_sec.validation_login apps.icx_user_sec_attr_pub.create_user_sec_attr apps.icx_user_sec_attr_pub.delete_user_sec_attr

テーブル

ストアドプロシージャー

apps.ak_attributes

apps.ak_attributes_tl

apps.ak_web_user_sec_attr_values

apps.fnd_application

apps.fnd_application_tl

apps.fnd_application_vl

apps.fnd_profile

apps.fnd_responsibility

apps.fnd_responsibility_vl

apps.fnd_security_groups

apps.fnd_security_groups_tl

apps.app_exception.raise_exception

apps.fnd_global.apps_initialize

apps.fnd_global.user_id

apps.fnd_message.get

apps.fnd_message.get_token

apps.fnd_message.set_name

apps.fnd_message.set_token

apps.fnd_profile.get

apps.fnd_user_pkg.AddResp

apps.fnd_user_pkg.CreateUser

apps.fnd_user_pkg.DisableUser

apps.fnd_security_groups_vl

apps.fnd_user

apps.fnd_user_resp_groups

apps.icx_parameters

apps.fnd_user_pkg.DelResp

apps.fnd_user_pkg.UpdateUser

apps.fnd_user_pkg.user_synch

apps.fnd_user_pkg.validatelogin

apps.fnd_user_resp_groups_api.assignment_exists

apps.fnd_user_resp_groups_api.insert_assignment

apps.fnd_user_resp_groups_api.update_assignment

apps.fnd_web_sec.change_password

apps.fnd_web_soc.create_user

apps.fnd_web_sec.validation_login

apps.icx_user_sec_attr_pub.create_user_sec_attr

apps.icx_user_sec_attr_pub.delete_user_sec_attr

注 –

アダプタは、さらにほかのテーブルやストアドプロシージャーにアクセスする可能性もあります。詳細は、Oracle E-business Suite のマニュアルを参照してください。

Oracle によれば、Oracle EBS システム (fnd_user_pkg ストアドプロシージャーを含む) は、ORACLE EBS システムを APPS ユーザーとして管理するのに使用するように設計されました。Oracle は、代替管理ユーザーの作成を推奨していません。ただし、APPS 以外のユーザーで Oracle EBS を管理する必要がある場合は、Oracle にお問い合わせください。

代替管理ユーザーには、APPS ユーザーがすべての Oracle データ (テーブル、ビュー、ストアドプロシージャーを含む) に対して持っているのと同じアクセス権を与えてください。

また、そのユーザーにシノニムを設定して、APPS ユーザーがアクセス権を持っているテーブルにアクセスできるようにする必要があります。別のユーザーを使用し、そのユーザーに必要な許可とシノニムがまだない場合は、次のエラーが発生する可能性があります。

Error: ORA-00942: table or view does not exist

エラーを修正するには、必要な許可とシノニムを与えます。次のディレクトリに、サンプルの SQL*Plus スクリプトがあります。

$WSHOME/sample/other/CreateLHERPAdminUser.oracle.

このスクリプトは、必要に応じて変更して、代替 Oracle EBS 管理ユーザーを作成するために使用できます。使用手順は、スクリプトの先頭部分のコメントに記載されています。

パススルー認証の場合のみ、次の SQL コマンドを実行するために権限が必要です。

create or replace function wavesetValidateFunc1 (username IN varchar2, 
  password IN varchar2)
RETURN varchar2 IS ret_val boolean;
BEGIN ret_val := apps.FND_USER_PKG.ValidateLogin(username, password);
IF ret_val = TRUE THEN RETURN ’valid’;
ELSE RETURN NULL;
END IF;
END wavesetValidateFunc1;