| Oracle® Fusion Middleware Oracle Security Developer Toolsリファレンス 11gリリース1(11.1.1) B61386-01 |
|
 戻る |
 次へ |
| Oracle® Fusion Middleware Oracle Security Developer Toolsリファレンス 11gリリース1(11.1.1) B61386-01 |
|
戻る |
次へ |
アクセス制御項目(access control item: ACI)
アクセス制御情報は、様々なエンティティまたはサブジェクトが、ディレクトリ内の所定のオブジェクトに対して操作を実行するために必要な権限を表す。この情報は、ユーザーが変更可能な操作属性としてOracle Internet Directoryに格納され、それぞれがアクセス制御項目(ACI)と呼ばれる。ACIは、ディレクトリ・データに対するユーザーのアクセス権を決定する。エントリ(構造型アクセス項目)および属性(コンテンツ・アクセス項目)へのアクセスを制御するための一連の規則が含まれる。構造型アクセス項目とコンテンツ・アクセス項目の両方へのアクセス権を、1つ以上のユーザーまたはグループに付与できる。
アクセス制御リスト(access control list: ACL)
コンピュータ・システム内のリソースと、そのリソースへのアクセスを許可されたユーザーのユーザー名のリスト。Oracle Internet Directoryでは、ACLは、ディレクトリ・オブジェクトに関連付けられているアクセス制御項目(ACI)の属性値のリストである。このリストの属性値は、様々なディレクトリ・ユーザー・エンティティ(またはサブジェクト)が所定のオブジェクトに対して持っている権限を表す。
アクセス制御ポリシー・ポイント(access control policy point: ACP)
アクセス制御ポリシー情報を含むディレクトリ・エントリ。含まれる情報は、ディレクトリ情報ツリー(DIT)の下位のすべてのエントリに適用される。この情報は、このエントリ自体と下位のすべてのエントリに影響する。Oracle Internet Directoryでは、ACPを作成することで、アクセス制御ポリシーをディレクトリのサブツリー全体に適用できる。
アカウント・ロックアウト(account lockout)
指定の時間内にログオン試行の失敗が繰り返された場合に、セキュリティ・ポリシー設定に基づいてユーザー・アカウントをロックするセキュリティ機能。任意の数のワークステーションからユーザーがアカウントとパスワードの組合せを送信した回数が、Oracle Internet Directoryで許可されている回数を上回ると、Oracle Single Sign-Onでアカウント・ロックアウトが発生します。デフォルトのロックアウト期間は24時間。
管理領域(administrative area)
ディレクトリ・サーバー上のサブツリー。ここに含まれるエントリは、1つの管理権限の管理対象になる。指定された管理者は、管理領域の各エントリ、ディレクトリ・スキーマ、アクセス制御リスト(ACL)、およびエントリの属性を制御する。
Advanced Encryption Standard(AES)
Advanced Encryption Standard(AES)は、Data Encryption Standard(DES)の後継とされる対称暗号化アルゴリズム。AESは、企業および政府機関のデータ暗号化のための米国連邦情報処理標準(FIPS)。
匿名認証(anonymous authentication)
ユーザー名とパスワードの組合せを必要とせずに、ディレクトリがユーザーを認証するプロセス。各匿名ユーザーは、匿名ユーザーに指定された権限を行使する。
Application Program Interface(API)
コンピュータ・アプリケーションと下位レベルのサービスや機能(オペレーティング・システム、デバイス・ドライバおよびその他のソフトウェア・アプリケーション)のインタフェースを構成する、一連のソフトウェア・ルーチンや開発ツール。APIは、プログラマがソフトウェア・アプリケーションを統合するためのビルディング・ブロックとして使用される。たとえば、LDAP対応クライアントは、LDAP APIで提供されるプログラム・コールによってOracle Internet Directoryの情報にアクセスする。
アプリケーション・サービス・プロバイダ(application service provider)
アプリケーション・サービス・プロバイダ(ASP)は、中央のデータ・センターからWANを使用し、顧客にソフトウェアベースのサービスやソリューションを配布して管理するサード・パーティの組織。本質的にASPは、企業が情報テクノロジ・ニーズの一部またはほとんどすべてをアウトソーシングする方法である。
アーティファクト・プロファイル(artifact profile)
完全なアサーションを送信するかわりに、アーティファクトと呼ばれるアサーションへのコンパクトな参照を使用してデータを送信する認証メカニズム。このプロファイルは、特定数の文字を処理するブラウザに対応する。
ASN.1
Abstract Syntax Notation One(ASN.1)は、情報データの構文を定義するために使用される国際電気通信連合(ITU)による表記。ASN.1は、構造型情報(通常、通信媒体を介して伝達される情報)を記述するために使用される。インターネット・プロトコルの仕様で広く使用される。
アサーション(assertion)
リソースへのアクセスを求めるサブジェクトについての情報を交換するために、セキュリティ・ドメイン内でプロバイダが使用する文。アイデンティティ・プロバイダおよびサービス・プロバイダは、アイデンティティに関するアサーションを交換することにより、認証と認可の決定を行い、リソースを保護するセキュリティ・ポリシーの判別と適用を行う。
属性(attribute)
ディレクトリ属性は、名前、電話番号、役職名など特定のデータ要素を保持する。各ディレクトリ・エントリは一連の属性で構成され、各属性はオブジェクト・クラスに所属する。また、各属性は、属性の情報の種類を示すタイプと、実際のデータを格納する値の両方を含む。
属性構成ファイル(attribute configuration file)
Oracle Directory Integration and Provisioning環境において、接続ディレクトリ内の所定の属性を指定するファイル。
属性タイプ(attribute type)
属性タイプによって、データ要素の情報(データ型、最大長、単一値か複数値か、など)が指定される。属性タイプは、値の実際の意味を示し、名前や電子メール・アドレスなど特定のデータの作成と格納の規則を指定する。
属性一意性(attribute uniqueness)
2つの属性が同じ値を持たないように保証するOracle Internet Directoryの機能。これにより、エンタープライズ・ディレクトリと同期するアプリケーションが、属性を一意キーとして使用できるようになる。
属性値(attribute value)
属性値は、特定のエントリについて属性に含まれる実際のデータ。たとえば、属性タイプemailの場合、属性値はsally.jones@oracle.comのようになる。
認証(authentication)
エンティティが主張するアイデンティティを資格証明に基づいて確認するプロセス。通常、ユーザーの認証は、ユーザーが知っていることや所有しているもの(たとえば、パスワードや証明書)に基づいて行われる。
電子メッセージの認証では、なんらかのシステム(公開鍵暗号化など)を使用して、ファイルまたはメッセージが、主張どおりに所定の個人または企業から発信されたものであることを確認し、メッセージの内容に基づくチェックによりメッセージが送信中に変更されていないことを確認する。
認証レベル(authentication level)
アプリケーションに対して特定の認証動作を指定するためのOracle Single Sign-Onのパラメータ。このパラメータは、特定の認証プラグインと関連付けることができる。
認証プラグイン(authentication plugin)
特定の認証方式の実装。Oracle Single Sign-OnのJavaプラグインは、パスワード認証、デジタル証明書、Windowsシステム固有の認証、およびサード・パーティのアクセス管理に対応しています。
認可(authorization)
サービスまたはネットワーク・リソースに対するアクセス権を付与または拒否するプロセス。ほとんどのセキュリティ・システムは2段階のプロセスに基づいている。第1段階の認証では、ユーザーが自らのアイデンティティを証明する。第2段階の認可では、アイデンティティおよび定義されている認可ポリシーに基づいて、ユーザーに様々なリソースへのアクセスが許可される。
認可ポリシー(authorization policy)
認可ポリシーにより、保護されているリソースへのアクセスの管理方法が指定される。ポリシーでは、システム・モデルに従って、アイデンティティとオブジェクトが権限のコレクションにマップされる。たとえば、特定の認可ポリシーでは、販売グループに所属するユーザーのみが販売レポートにアクセスできるように指定することがある。
Basic認証(basic authentication)
ほとんどのブラウザでサポートされる認証プロトコル。Webサーバーが、データ送信で渡されたエンコード済のユーザー名とパスワードを使用してエンティティを認証する。Base64エンコーディングは、誰もが入手可能なデコーディング・ユーティリティでデコードできるため、Basic認証は平文認証と呼ばれることもある。エンコーディングは暗号化とは同じではないことに注意。
基本エンコーディング規則(Basic Encoding Rules: BER)
基本エンコーディング規則(BER)は、ASN.1で規定されたデータ単位をエンコードするための標準規則。BERは誤ってASN.1とひとまとめにされることがあるが、ASN.1はエンコーディング技術ではなく抽象構文指定のみに適用される。
バインディング(binding)
ネットワークでは、バインディングは通信を行うエンティティ間の論理接続の確立。
Oracle Internet Directoryでは、バインディングはディレクトリに対する認証プロセスを指す。
また、交換する目的でSOAPメッセージを別のプロトコル(基本のプロトコル)の内部または、その上で送信するための正式な規則のセットもバインディングと呼ばれる。
ブロック暗号(block cipher)
ブロック暗号は、対称アルゴリズムの1つ。ブロック暗号では、メッセージを暗号化する際に、メッセージを固定サイズのブロック(通常64ビット)に分割し、各ブロックを鍵で暗号化する。よく知られているブロック暗号は、Blowfish、DESおよびAES。
関連項目: 「ストリーム暗号」
Blowfish
Blowfishは、Bruce Schneierが1993年にDESに替わる高速のアルゴリズムとして開発した対称暗号化アルゴリズム。64ビットのブロックと最大448ビットの鍵を使用するブロック暗号。
CA証明書(CA certificate)
認証局(CA)は、発行するすべての証明書に秘密鍵を使用して署名する。認証局の対応する公開鍵もその証明書に含まれ、証明書はCA証明書(またはルート証明書)と呼ばれる。ブラウザがCAの秘密鍵で署名されたメッセージを信頼するためには、信頼できるルート証明書のリストにそのCA証明書を含む必要がある。
キャッシュ(cache)
通常、コンピュータ内のすぐにアクセスできるメモリーの容量を指す。ただし、Webの場合は、ブラウザがダウンロードしたファイルやグラフィックスをユーザーのコンピュータで格納する場所を指すことが多い。
セントラル・ディレクトリ(central directory)
Oracle Directory Integration and Provisioning環境で、セントラル・リポジトリとして機能するディレクトリ。Oracle Directory Integration and Provisioning環境においては、Oracle Internet Directoryがセントラル・ディレクトリです。
証明書(certificate)
証明書は、公開鍵と所有者のアイデンティティを関連付ける、特殊な書式のデータ構造体。証明書は認証局(CA)から発行される。特定のエンティティの名前、シリアル番号、有効期限および公開鍵が含まれる。証明書には発行元のCAがデジタルに署名しているため、受信者は証明書が本物であることを確認できる。ほとんどのデジタル証明書はX.509規格に準拠している。
認証局(Certificate Authority: CA)
認証局(CA)は、デジタル証明書の発行、更新、取消しを行う信頼できるサード・パーティ。本質的にCAはエンティティのアイデンティティを保証する。申請者の検証は登録局(RA)に委任することがある。よく知られている認証局(CA)は、Digital Signature Trust社、Thawte社およびVeriSign社。
Certificate Management Protocol(CMP)
Certificate Management Protocol(CMP)は、証明書の作成と管理に関連するあらゆる面を処理する。CMPは、公開鍵インフラストラクチャ(PKI)の構成要素(認証局(CA)、登録局(RA)、証明書の発行先のユーザーまたはアプリケーションなど)間の相互作用をサポートする。
証明書要求メッセージ・フォーマット(certificate request message format: CRMF)
証明書要求メッセージ・フォーマット(CRMF)は、RFC 2511仕様に指定されているように、X.509証明書のライフサイクル管理に関連するメッセージのために使用される形式である。
暗号ブロック連鎖(cipher block chaining: CBC)
暗号ブロック連鎖(CBC)は、ブロック暗号の操作モード。CBCは、特定の長さの初期化ベクトル(IV)を使用する。CBCの主な特徴の1つは、連鎖メカニズムの使用により、暗号文のブロックの復号化が先行のすべての暗号文ブロックに依存すること。結果として、先行するすべてのブロックの妥当性が、直前の暗号文ブロックに含まれる。
暗号スイート(cipher suite)
Secure Sockets Layer(SSL)は、ネットワーク・ノード間でメッセージを交換するための認証、暗号化およびデータ整合性アルゴリズムのセット。2つのノードが、SSLハンドシェイク時に、メッセージ送受信にどちらの暗号スイートを使用するかをネゴシエートする。
暗号文(ciphertext)
暗号文は、暗号化アルゴリズムを読取り可能データ(平文)に適用した結果として生成される。適切な鍵を所有するエンティティを除くすべてのエンティティがデータを読み取れないようにするために行う。
トラスト・サークル(circle of trust)
セット内のアイデンティティ・プロバイダとサービス・プロバイダ間の信頼関係。このトラスト・サークルにより、プリンシパルは単一のフェデレーテッド・アイデンティティとシングル・サインオン(SSO)を使用して、セット内のプロバイダとのビジネス・トランザクションを実行することができる。
企業は、Liberty対応テクノロジを基盤とし、企業間の信頼関係を定義した運用協定に基づいて、トラスト・サークルの構築やトラスト・サークルへの加入を行う。
クライアントSSL証明書(client SSL certificates)
Secure Sockets Layer(SSL)(クライアント認証)を介して、クライアント・マシンがサーバーに識別されるように使用される証明書のタイプ。
クラスタ(cluster)
1つのコンピューティング・リソースとして使用される、相互接続された使用可能なコンピュータのコレクション。ハードウェア・クラスタにより、高可用性とスケーラビリティが向上する。
コード署名証明書(code signing certificates)
Javaプログラム、Javaスクリプトまたはその他の署名付きファイルに署名したエンティティを識別するために使用される証明書のタイプ。
コールド・バックアップ(cold backup)
Oracle Internet Directoryでは、新しいディレクトリ・システム・エージェント(DSA)ノードを、データベース・コピー手順を使用して既存のレプリケート・システムに追加する手順を指す。
同時操作(concurrent operations)
同時クライアントすべてがOracle Internet Directoryで実行する操作。セッションをアイドル状態にしたままの同時クライアントもいるため、同時クライアントと同じ数になるとは限らない。
構成設定エントリ(configuration set entry)
ディレクトリ・サーバーの特定のインスタンスに関する構成パラメータを保持するOracle Internet Directoryのエントリ。複数の構成設定エントリを格納して実行時に参照できる。構成設定エントリは、ディレクトリ固有エントリ(DSE)のsubConfigsubEntry属性で指定されるサブツリーで管理される。DSE自体は、関連するディレクトリ情報ベース(DIB)(サーバーの起動に使用されるDIB)に含まれる。
接続記述子(connect descriptor)
ネットワーク接続の接続先の特殊な書式による記述。接続記述子には、接続先サービスとネットワーク・ルートの情報が含まれる。接続先サービスの指定は、Oracle Databaseのサービス名または、Oracleリリース8.0またはバージョン7データベースのOracleシステム識別子(SID)を使用する。ネットワーク・ルートでは、ネットワーク・アドレスを使用して、少なくともリスナーの場所が提供される。
接続ディレクトリ(connected directory)
Oracle Directory Integration and Provisioning環境における情報リポジトリ。Oracle Internet Directoryと接続ディレクトリ(たとえば、Oracleの人事データベースなど)の間でデータの完全同期が必要です。
暗号化アルゴリズム(cryptographic algorithm)
暗号化アルゴリズムは、読取り可能なデータ(平文)と読取り不可能なデータ(暗号文)を互いに変換するプロセスのシーケンスの定義。このような変換には、通常は鍵に格納されている秘密の情報が必要である。暗号化アルゴリズムの例は、DES、AES、Blowfish、RSAなど。
暗号メッセージ構文(Cryptographic Message Syntax: CMS)
暗号メッセージ構文(CMS)は、デジタル・メッセージの署名、ダイジェスト、認証および暗号化のためにRFC 3369に定義された構文。
暗号化(cryptography)
情報を読取り不可能な形式に変換して保護するプロセス。情報は、鍵を使用して暗号化され読取り不可能になり、後で再び情報が必要になった場合に復号化される。「公開鍵暗号化」および「対称暗号化」も参照。
Data Encryption Standard(DES)
Data Encryption Standard(DES)は1974年にIBM社が開発した対称暗号化アルゴリズムで、広く使用されている。64ビットのデータ・ブロックそれぞれに56ビットの鍵が適用される。通常、DESおよび3DESはS/MIMEの暗号化アルゴリズムとして使用される。
データベース・アクセス記述子(database access descriptor: DAD)
特定のOracle Application Serverコンポーネント(Oracle Single Sign-Onスキーマなど)のデータベース接続情報。
デフォルトのアイデンティティ管理レルム(default identity management realm)
ホスト環境では、ある企業(たとえば、アプリケーション・サービス・プロバイダ)が、Oracleコンポーネントを他の複数の企業が使用できるようにして、その企業の情報を格納する。このようなホスト環境では、ホスティングを実行する企業がデフォルトのアイデンティティ管理レルムと呼ばれ、ホスティングを受ける各企業はディレクトリ情報ツリー(DIT)内で独自のアイデンティティ管理レルムに関連付けられる。
デフォルト・ナレッジ参照(default knowledge reference)
ベース・オブジェクトがディレクトリになく、操作が実行されるネーミング・コンテキストをサーバーがローカルに保持していない場合に返されるナレッジ参照。通常、デフォルト・ナレッジ参照によって、ユーザーは、ディレクトリ・パーティション配置のナレッジを豊富に備えたサーバーに送られる。
委任管理者(delegated administrator)
ホスト環境では、ある企業(たとえば、アプリケーション・サービス・プロバイダ)が、Oracleコンポーネントを他の複数の企業が使用できるようにして、その企業の情報を格納する。このような環境では、グローバル管理者がディレクトリ全体に及ぶアクティビティを実行する。委任管理者と呼ばれる他の管理者は、特定のアイデンティティ管理レルムで、または特定のアプリケーションに対して役割を実行できる。
Diffie-Hellman
Diffie-Hellman(DH)は、安全でない通信チャネルで二者が秘密の共有を確立するための公開鍵暗号化プロトコル。1976年に発表された、実用可能な最初の公開鍵暗号化システムである。
関連項目: 「対称アルゴリズム」
デジタル署名(digital signature)
デジタル署名は、所定のデータ・ブロックに2ステップのプロセスを適用した結果として生成される。まず、ハッシュ関数がデータに適用され結果が取得される。次に、その結果が署名者の秘密鍵を使用して暗号化される。デジタル署名を使用すると、データの整合性、メッセージ認証および否認防止を保証できる。デジタル署名アルゴリズムの例は、DSAおよびRSA。
Digital Signature Algorithm(DSA)
Digital Signature Algorithm(DSA)は、Digital Signature Standard(DSS)の一部として使用される非対称アルゴリズム。デジタル署名専用であり、暗号化には使用できない。このアルゴリズムでは大きな数値のペアが生成される。これによって、署名者の認証が実現され、さらには添付データの整合性が保証される。DSAは、デジタル署名の生成と検証の両方で使用される。
ディレクトリ(directory)
「Oracle Internet Directory」、「Lightweight Directory Access Protocol(LDAP)」および「X.500」を参照。
ディレクトリ情報ベース(directory information base: DIB)
ディレクトリに保持されているすべての情報の完全なセット。DIBは、ディレクトリ情報ツリー(DIT)内の互いに階層的に関連するエントリで構成される。
Directory Integration and Provisioningサーバー(directory integration and provisioning server)
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryと接続ディレクトリ間でのデータの同期を促進するサーバー。
ディレクトリ統合プロファイル(directory integration profile)
Oracle Directory Integration and Provisioning環境において、Oracle Directory Integration and Provisioningが外部システムと通信する方法やその内容を指定する、Oracle Internet Directoryのエントリ。
ディレクトリ・プロビジョニング・プロファイル(directory provisioning profile)
特別なディレクトリ統合プロファイル。Oracle Directory Integration and Provisioningによってディレクトリ対応のアプリケーションに送信されるプロビジョニング関連通知の種類を指定します。
ディレクトリ・サーバー・インスタンス(directory server instance)
ディレクトリ・サーバー個々の起動。ディレクトリ・サーバーの個別の起動(それぞれ、同一または異なる構成設定エントリと起動フラグを使用して起動されている)は、個別のディレクトリ・サーバー・インスタンスと呼ばれる。
ディレクトリ同期プロファイル(directory synchronization profile)
特別なディレクトリ統合プロファイル。Oracle Internet Directoryと外部システムの間で同期が実行される方法を指定する。
ディレクトリ固有エントリ(directory-specific entry: DSE)
ディレクトリ・サーバー固有のエントリ。別のディレクトリ・サーバーが同じディレクトリ情報ツリー(DIT)名を保持しながら、異なるコンテンツを含むことができる。つまり、コンテンツは、含まれるディレクトリに固有になる。DSEは、保持されているディレクトリ・サーバー固有のコンテンツを含むエントリである。
ディレクトリ・ユーザー・エージェント(directory user agent: DUA)
ディレクトリ・ユーザーにかわってディレクトリ・サービスにアクセスするソフトウェア。ディレクトリ・ユーザーは、人または別のソフトウェア要素である。
特殊エンコーディング規則(Distinguished Encoding Rules: DER)
特殊エンコーディング規則(DER)は、ASN.1オブジェクトをバイトシーケンスでエンコーディングするための一連の規則。DERは特別なタイプの基本エンコーディング規則(BER)である。
識別名(distinguished name: DN)
X.500識別名(DN)は、ディレクトリ・ツリーのノードのための一意の名前。DNは、人またはその他のディレクトリ・エントリに一意の名前を提供するために使用される。DNは、ツリーのルート・ノードから指定のエントリのノードまでのパスに沿って各ノードの属性を選択して連結したものである。たとえばLDAP表記の場合、オラクル社の米国内の事務所に勤務するJohn Smithという人物のDNは、cn=John Smith, ou=People, o=Oracle, c=usとなる。
ドメイン(domain)
プリンシパルがリソースを使用するためのWebサイトとアプリケーションが含まれる。フェデレーテッド・サイトは、アイデンティティ・プロバイダ(ソース・ドメイン)またはサービス・プロバイダ(宛先ドメイン)、あるいはその両方として機能する。
ドメイン・コンポーネント属性(domain component attribute)
ドメイン・コンポーネント(dc)属性は、ドメイン名から識別名(DN)を構成する際に使用できる。たとえば、oracle.comというドメイン名を使用した場合、dc=oracle, dc=comで始まるDNを構成でき、このDNをディレクトリ情報のサブツリーのルートとして使用できる。
Document Type Definition(DTD)
Document Type Definition(DTD)は、所定のXML文書で有効なタグやタグ・シーケンスの制約を指定する。DTDは、XMLの親言語であるStandard Generalized Markup Language(SGML)の規則に従う。
暗号化証明書(encryption certificate)
暗号化証明書は、公開鍵を含む証明書。公開鍵は、電子メッセージ、ファイル、文書またはデータの転送を暗号化するために使用される。または、これらと同じ目的で、セッション鍵を確立または交換するために使用される。
エンドツーエンド・セキュリティ(end-to-end security)
メッセージレベル・セキュリティのプロパティ。これが確立されると、メッセージがビジネス・エンティティ内またはビジネス・エンティティ間で複数のアプリケーションを経由する際に、それらのビジネス・エンティティのすべてのルートで安全に送信される。
Enterprise JavaBeans(EJB)
Enterprise JavaBeans(EJB)は、Sun社によって開発されたJava API。複数層クライアント/サーバー・システムのコンポーネント・アーキテクチャを定義する。EJBシステムはJavaで記述されるため、プラットフォームに依存しない。オブジェクト指向のため、再コンパイルや構成をまったく(あるいは、ほとんど)行わずに既存システムに実装できる。
エントリ(entry)
エントリはディレクトリ内の一意のレコード。オブジェクト(人など)を指定する。エントリは、そのエントリ・オブジェクトを指定するオブジェクト・クラスの定義に従って、属性と関連する属性値で構成される。LDAPディレクトリ構造のすべてのエントリは、識別名(DN)で一意に識別される。
エクスポート・エージェント(export agent)
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryからデータをエクスポートするエージェント。
エクスポート・データ・ファイル(export data file)
Oracle Directory Integration and Provisioning環境において、エクスポート・エージェントでエクスポートされたデータを含むファイル。
外部エージェント(external agent)
Oracle Directory Integration and Provisioningサーバーに依存しないディレクトリ統合エージェント。Oracle Directory Integration and Provisioningサーバーによるスケジューリング、マッピングまたはエラー処理のサービスが提供されません。通常、外部エージェントが使用されるのは、サード・パーティのメタディレクトリ・ソリューションがOracle Directory Integration and Provisioningと統合される場合です。
外部アプリケーション(external application)
認証をOracle Single Sign-Onサーバーに委任しないアプリケーション。かわりにHTMLログイン・フォームを表示して、アプリケーション・ユーザーの名前とパスワードを要求する。ユーザーは最初にログインする際に、自らにかわってOracle Single Sign-Onサーバーがこのような資格証明を取得するようにするかを選択する必要があります。この後、ユーザーは透過的にこれらのアプリケーションにログインする。
フェイルオーバー(failover)
障害の認識とリカバリのプロセス。Oracle Application Server Cold Failover Cluster(Identity Management)では、あるクラスタ・ノードで実行しているアプリケーションは別のクラスタ・ノードに透過的に移行される。この移行時に、クラスタ上のサービスにアクセスしているクライアントは、一時的に接続が中断されるため、フェイルオーバーの終了後に再接続が必要な場合がある。
ファンアウト・レプリケーション(fan-out replication)
Point-to-Pointレプリケーションとも呼ばれる。サプライヤがコンシューマに直接レプリケートするレプリケーションのタイプ。そのコンシューマは次に1つ以上の他のコンシューマにレプリケートできる。完全なレプリケーションと部分的なレプリケーションが可能。
米国連邦情報処理標準(Federal Information Processing Standards: FIPS)
米国連邦情報処理標準(FIPS)は、米国商務省の国立標準技術研究所(NIST)が発行する情報処理の規格。
フェデレーテッド・アイデンティティ管理(federated identity management: FIM)
アイデンティティと資格を自律型ドメイン間で移植できるようにする協定、規格およびテクノロジ。FIMにより、認証済ユーザーは複数のドメインで認識され、各種の個人向けサービスを利用できる。個人情報の集中管理に伴う短所を補いながら、ユーザーがアイデンティティ情報を様々なアカウント間で結び付けることができる。フェデレーテッド・アイデンティティの2つの重要な要素は、信頼と規格である。フェデレーテッド・アイデンティティ管理の信頼モデルは、トラスト・サークルに基づく。規格は、Liberty Allianceプロジェクトで定義される。
フィルタ(filter)
フィルタは、リクエストまたはディレクトリでの検索から返されるエントリを定義する式。通常、フィルタはDNとして表される(たとえば、cn=susie smith,o=acme,c=us)。
強制認証(forced authentication)
事前設定した時間が経過してもユーザーがアイドル状態のままの場合に、ユーザーの再認証を強制すること。Oracle Single Sign-Onでは、グローバル・ユーザーに関して非アクティブのタイムアウトを指定できます。この機能は、機密情報を扱うアプリケーションを含むシステム向けである。
グローバル管理者(global administrator)
ホスト環境では、ある企業(たとえば、アプリケーション・サービス・プロバイダ)が、Oracleコンポーネントを他の複数の企業が使用できるようにして、その企業の情報を格納する。このような環境では、グローバル管理者がディレクトリ全体に及ぶアクティビティを実行する。
Global Unique Identifier(GUID)
エントリがディレクトリに追加される際に、システムによって生成されてエントリに挿入される識別子。マルチマスター・レプリケート環境では、DNではなくGUIDがエントリを一意に識別する。エントリのGUIDをユーザーが変更することはできない。
グローバル・ユーザーの非アクティブ・タイムアウト(global user inactivity timeout)
事前設定した時間が経過してもユーザーがアイドル状態のままの場合に、ユーザーを強制的に再認証する、Oracle Single Sign-Onのオプション機能。グローバル・ユーザーの非アクティブ・タイムアウトは、シングル・サインアウト・セッション・タイムアウトよりもかなり短い。
グローバリゼーション・サポート(globalization support)
グラフィカル・ユーザー・インタフェースの複数言語サポート。Oracle Single Sign-Onでは29の言語がサポートされます。
グローバル一意ユーザーID(globally unique user ID)
ユーザーを一意に識別する数値文字列。ユーザー名、パスワードおよび識別名は変更または追加可能だが、グローバル一意ユーザーIDは常に同じ。
グループ検索ベース(group search base)
Oracle Internet Directoryのデフォルトのディレクトリ情報ツリー(DIT)ではアイデンティティ管理レルムのノード。ここですべてのグループを検索できる。
ハッシュ(hash)
アルゴリズムを使用してテキスト文字列から生成される数値。ハッシュ値はテキスト自体よりも実質的に小さくなる。ハッシュ数は、セキュリティとデータの高速アクセスに使用される。
関連項目: 「ハッシュ関数」
ハッシュ関数(hash function)
暗号化において、ハッシュ関数または一方向ハッシュ関数は、所定のデータ・ブロックに適用して所定の値を生成するアルゴリズム。ハッシュ関数の結果は、所定のデータ・ブロックの整合性を保証するために使用できる。ハッシュ関数はセキュアと考えられるため、データ・ブロックと結果がわかっていても、同じ結果を生成する別のデータ・ブロックを生成することは非常に困難である。
ハッシュ・メッセージ認証コード(Hashed Message Authentication Code: HMAC)
ハッシュ・メッセージ認証コード(HMAC)は、秘密のハッシュ関数出力を作成するために使用されるハッシュ関数の技術。既存のハッシュ関数(MD5およびSHAなど)を強化できる。Transport Layer Security(TLS)で使用される。
HTTP
Hypertext Transfer Protocol(HTTP)は、Webブラウザとサーバーの間で使用されるプロトコル。文書のリクエストとコンテンツの送信に使用される。この仕様はWorld Wide Web Consortiumによって管理および開発されている。
iASAdmins
Oracle Application Serverのユーザーとグループの管理機能を担当する管理グループ。Oracle Single Sign-On管理者はグループiASAdminsのメンバーです。
アイデンティティ・フェデレーション(identity federation)
プリンシパルが保持する2つ以上のアカウントを、特定のトラスト・サークル内の1つ以上のアイデンティティ・プロバイダまたはサービス・プロバイダとリンク付けすること。
ユーザーが企業に対して保有している独立したアカウント(ローカル・アイデンティティ)をフェデレートする場合、ユーザーは2つのエンティティ間のリレーションシップ、つまり任意の数のサービス・プロバイダとアイデンティティ・プロバイダで構成される関連付けを作成することになる。
関連項目: 「アイデンティティ・プロバイダ」、「サービス・プロバイダ」
アイデンティティ管理(identity management)
ネットワーク・エンティティのセキュリティ・ライフサイクル全体が組織内で管理されるプロセス。通常、組織のアプリケーション・ユーザーの管理を指す。セキュリティ・ライフ・サイクルのステップとしては、アカウント作成、一時停止、権限変更、アカウント削除がある。管理されるネットワーク・エンティティには、デバイス、プロセス、アプリケーション、またはネットワーク環境で相互作用する必要がある他の要素も含まれる。アイデンティティ管理プロセスで管理されるエンティティには、組織外のユーザー(たとえば、顧客、取引先またはWebサービス)も含まれる。
アイデンティティ管理インフラストラクチャ・データベース(identity management infrastructure database)
Oracle Single Sign-OnおよびOracle Internet Directoryのデータを含むデータベース。
アイデンティティ管理レルム(identity management realm)
すべてが同じ管理ポリシーの対象であるアイデンティティのコレクション。企業において、イントラネットにアクセスするすべての従業員は1つのレルムに所属するが、その企業のパブリック・アプリケーションにアクセスするすべての外部ユーザーは別のレルムに所属する。アイデンティティ管理レルムは、ディレクトリ内では特別なオブジェクト・クラスが関連付けられた固有のエントリとして表される。
アイデンティティ管理レルム固有のOracleコンテキスト(identity management realm-specific Oracle Context)
各アイデンティティ管理レルムに含まれるOracleコンテキスト。次の情報が格納される。
アイデンティティ管理レルムのユーザー・ネーミング・ポリシー(ユーザーの命名と格納の方法)
必須認証属性
アイデンティティ管理レルムでのグループの場所
アイデンティティ管理レルムの権限の割当て(たとえば、レルムにユーザーを追加する権限を誰が持つかなど)
認可など、そのレルムのアプリケーション固有のデータ
アイデンティティ・プロバイダ(identity provider)
Oracle Identity Federationがサポートするアイデンティティ・フェデレーション・プロトコルに定義された3つのプライマリ・ロールのうちの1つ。その他のロールにはサービス・プロバイダとプリンシパルがある。アイデンティティ・プロバイダは、特定のトラスト・サークルに含まれる一連のアイデンティティを管理および認証する役割を果す。
一方、サービス・プロバイダは、プリンシパルのアイデンティティに対するアイデンティティ・プロバイダの認証に基づき、プリンシパルにサービスや製品を提供する。
アイデンティティ・プロバイダは、他のサービス・プロバイダが加入するようにインセンティブを支払う。通常は、アイデンティティ・プロバイダがプリンシパルのアイデンティティを認証する。
インポート・エージェント(import agent)
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryにデータをインポートするエージェント。
インポート・データ・ファイル(import data file)
Oracle Directory Integration and Provisioning環境において、インポート・エージェントでインポートされたデータを含むファイル。
インフラストラクチャ層(infrastructure tier)
アイデンティティ管理を行うOracle Application Serverのコンポーネント。すなわち、Oracle Single Sign-On、Oracle Delegated Administration ServicesおよびOracle Internet Directoryです。
Internet Engineering Task Force(IETF)
新しいインターネット標準および仕様の開発に従事する中心的な団体。インターネット・アーキテクチャの発展およびインターネットの円滑な運用に関わるネットワーク設計者、経営者、ベンダーおよび研究者で構成される国際組織。
Internet Message Access Protocol(IMAP)
サーバー上の電子メール・メッセージにクライアントがアクセスして操作できるようにするプロトコル。メールボックスと呼ばれるリモート・メッセージ・フォルダが、ローカル・メールボックスと同様に操作できるようになる。
Java 2 Platform, Enterprise Edition(J2EE)
Java 2 Platform, Enterprise Edition(J2EE)は、Sun社によって定義された、エンタープライズ・アプリケーションの開発およびデプロイのための環境。J2EEプラットフォームは、複数層のWebベース・アプリケーションを開発するための機能を提供する、一連のサービス、Application Program Interface(API)およびプロトコルで構成される。
JavaServer Pages(JSP)
JavaServer Pages(JSP)は、サーバー側テクノロジであり、Sun社で開発されたJavaサーブレット・テクノロジの拡張機能である。JSPには、HTMLコードと提携してページ・ロジックを静的な要素(ページの設計や表示)と分離する、動的なスクリプト機能がある。Javaソース・コードとその拡張機能をHTMLページに埋め込むと、動的なデータベース問合せでHTMLが使用可能になるなど、HTMLの機能性が向上する。
鍵(key)
鍵は、所定のデータ・ブロックの暗号化または復号化の成功に必要な秘密の情報を含むデータ構造体。鍵が大きいほど、暗号化されたデータ・ブロックの解読が難しくなる。たとえば、256ビットの鍵は128ビットの鍵よりも安全性が高い。
ナレッジ参照(knowledge reference)
リモートのディレクトリ・システム・エージェント(DSA)のアクセス情報(名前とアドレス)と、そのリモートDSAが保持するディレクトリ情報ツリー(DIT)のサブツリーの名前。ナレッジ参照は参照とも呼ばれる。
待機時間(latency)
所定のディレクトリ操作が完了するまでクライアントが待機する時間。待機時間は浪費した時間として定義できる。ネットワークの用語としては、待機時間はパケットが送信元から送信先に送信される時間として定義される。
LDAP接続キャッシュ(LDAP connection cache)
スループットが向上するように、Oracle Single Sign-OnサーバーはOracle Internet Directoryへの接続をキャッシュして再利用します。
LDAP Data Interchange Format(LDIF)
ディレクトリ・データをシステム間で交換するための一般的なテキストベースの形式。任意のLDAPコマンドライン・ユーティリティに対して入力ファイルの形式を定める一連の規格。
レガシー・アプリケーション(legacy application)
認証をOracle Single Sign-Onサーバーに委任するように変更できない古いアプリケーション。外部アプリケーションとも呼ばれる。
Liberty Alliance
Liberty Allianceプロジェクト。多数の企業やNPOおよびNGOからなる国際団体。この団体は、現在および将来のネットワーク・デバイスをサポートする、フェデレーテッド・アイデンティティ管理(FIM)およびアイデンティティ・ベースのWebサービスのためのオープン規格の開発に取り組んでいる。
Liberty ID-FF
Liberty Identity Federation Framework(Liberty ID-FF)は、フェデレーテッド・アイデンティティによるWebベースのシングル・サインオン(SSO)のためのアーキテクチャを提供する。
Lightweight Directory Access Protocol(LDAP)
ディレクトリの情報にアクセスするための一連のプロトコル。LDAPは、あらゆる種類のインターネット・アクセスに必要なTCP/IPをサポートする。この設計規約のフレームワークによって、業界標準のディレクトリ製品(Oracle Internet Directoryなど)がサポートされる。LDAPはX.500規格を単純化したものであり、X.500ライトと呼ばれることもある。
ロード・バランサ(load balancer)
複数のサーバー間の接続リクエスト数を平均化するハードウェア・デバイスおよびソフトウェア。BigIP、AlteonまたはLocal Directorはよく使用されるハードウェア・デバイスである。ロード・バランシング・ソフトウェアの例にはOracle Web Cacheがあります。
論理ホスト(logical host)
Oracle Application Server Cold Failover Cluster(Identity Management)では、1つ以上のディスク・グループおよびホスト名とIPアドレスのペア。クラスタの物理ホストにマッピングされている。この物理ホストは、論理ホストのホスト名とIPアドレスを使用する。
介在者(man-in-the-middle)
サード・パーティがメッセージを不正に傍受する、セキュリティへの攻撃。サード・パーティ(介在者)がメッセージを復号化してから再び暗号化し(元のメッセージを変更する場合としない場合がある)、正当な送信者と受信者にはまったく知られずに、本来の受信者に再送信する。このようなセキュリティ攻撃が発生するのは、認証が行われない場合のみである。
マッピング・ルール・ファイル(mapping rules file)
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryの属性と接続ディレクトリの属性のマッピングを指定するファイル。
マスター定義サイト(master definition site: MDS)
レプリケーションでは、マスター定義サイトは、管理者が構成スクリプトを実行するためのOracle Internet Directoryデータベース。
一致規則(matching rule)
検索または比較操作で、検索対象の属性値と格納されている属性値の等価性を判別する。たとえば、telephoneNumberに関連付けられている一致規則では、(650) 123-4567が(650) 123-4567と6501234567のいずれかまたは両方に一致するようにできる。属性を作成する際に、一致規則を属性に関連付ける。
MD2
メッセージ・ダイジェスト2(MD2)は、メッセージ・ダイジェストのハッシュ関数。このアルゴリズムは、入力テキストを処理して128ビットのメッセージ・ダイジェストを作成する。これはメッセージに固有であり、データ整合性の検証に使用できる。MD2は、RSA Security社のRon Rivestによって開発され、メモリー容量が限られたシステム(スマート・カードなど)での使用を意図している。
MD5
メッセージ・ダイジェスト5(MD5)は、メッセージ・ダイジェストのハッシュ関数。このアルゴリズムは、入力テキストを処理して128ビットのメッセージ・ダイジェストを作成する。これはメッセージに固有であり、データ整合性の検証に使用できる。MD5は、MD4の潜在的な脆弱性が報告された後にRon Rivestによって開発された。MD5はMD4と似ているが、元のデータに対する操作が多いため処理が遅い。
メッセージ認証コード(message authentication code: MAC)
メッセージ認証コード(MAC)は、所定のデータ・ブロックに2ステップのプロセスを適用した結果として生成される。まずハッシュ関数の結果が取得される。次に、その結果が秘密鍵を使用して暗号化される。MACは、所定のデータ・ブロックの送信元を認証するために使用できる。
メタディレクトリ(metadirectory)
すべてのエンタープライズ・ディレクトリの情報を共有して、1つの仮想ディレクトリに統合するディレクトリ・ソリューション。管理を集中化することで、管理コストを下げる。ディレクトリ間でデータを同期することで、エンタープライズ間でデータの一貫性を保って最新状態にする。
中間層(middle tier)
Oracle HTTP ServerおよびOC4Jで構成されるOracle Single Sign-Onインスタンスの部分。Oracle Single Sign-On中間層は、アイデンティティ管理インフラストラクチャ・データベースとクライアントの間に位置します。
mod_osso
Oracle HTTP Serverのモジュール。これにより、Oracle Single Sign-Onによって保護されるアプリケーションでは、ユーザーがOracle Single Sign-Onサーバーにログインした後は、ユーザー名とパスワードのかわりにHTTPヘッダーが取得されます。このようなヘッダーの値は、mod_osso cookieに格納される。
mod_osso cookie
HTTP Serverに格納されるユーザー・データ。ユーザーが認証されるとcookieが作成される。同じユーザーが別のアプリケーションをリクエストすると、Webサーバーはmod_osso cookieの情報を使用して、そのユーザーをアプリケーションにログインさせる。この機能によりサーバーのレスポンス時間が短縮される。
マルチマスター・レプリケーション(multimaster replication)
peer-to-peerまたはn-wayレプリケーションとも呼ばれる。このタイプのレプリケーションでは、複数のサイトが、レプリケートされたデータのグループを対等に管理できる。マルチマスター・レプリケーション環境では、各ノードがサプライヤ・ノードとコンシューマ・ノードになり、ディレクトリ全体が各ノードにレプリケートされる。
名前識別子プロファイル(name identifier profile)
フェデレーションに属しているプロバイダ間で、共通する各ユーザーの名前識別子の割当て時または更新時にそれを通知するためのフェデレーション・プロファイル。
ネーミング属性(naming attribute)
Oracle Delegated Administration ServicesまたはOracle Internet Directory Java APIによって新しいユーザー・エントリのRDNを作成するために使用される属性。このデフォルト値はcn。
ネーミング・コンテキスト(naming context)
全体が1つのサーバーに存在するサブツリー。これは、連続している必要がある。つまり、サブツリーの最上位であるエントリから開始し、各リーフ・エントリまたはナレッジ参照(または参照)を経て、下位ネーミング・コンテキストまで達する必要がある。単一のエントリからディレクトリ情報ツリー(DIT)全体まで、サイズは広範囲に及ぶ。
ネイティブ・エージェント(native agent)
Oracle Directory Integration and Provisioning環境において、Directory Integration and Provisioningサーバーの制御の下で実行するエージェント。これに対して外部エージェントがある。
ネット・サービス名(net service name)
サービスの単純な名前。接続記述子に解決される。ユーザーは、接続するサービスのネット・サービス名をユーザー名とパスワードを一緒に接続文字列で渡して、接続リクエストを開始する。次に例を示す。
CONNECT username/password@net_service_name
ニーズによって異なるが、ネット・サービス名は次のように様々な場所に格納できる。
各クライアントのローカル構成ファイルtnsnames.ora
ディレクトリ・サーバー
Oracle Names Server
外部ネーミング・サービス(NDS、NISまたはCDSなど)
ニックネーム属性(nickname attribute)
ディレクトリ全体の中でユーザーを一意に識別するために使用される属性。このデフォルト値はuid。アプリケーションはこの属性を使用して、単純なユーザー名を完全な識別名に解決する。ユーザー・ニックネーム属性には複数の値を指定できない。つまり、所定のユーザーは、同じ属性名を使用して複数のニックネームを格納できない。
否認防止(non-repudiation)
暗号化において、所定のデジタル署名が所定のエンティティの秘密鍵を使用して生成されたこと、およびメッセージが所定の時刻に改ざんされずに送信されたことを証明する機能。
OASIS
Organization for the Advancement of Structured Information Standards。OASISは、E-Business規格の開発、統合および採用を促進する国際的な非営利団体。
オブジェクト・クラス(object class)
LDAPでは、オブジェクト・クラスは情報をグループ化するために使用される。通常、オブジェクト・クラスは、実際のオブジェクト(人またはサーバーなど)をモデルにする。各ディレクトリ・エントリは1つ以上のオブジェクト・クラスに所属する。オブジェクト・クラスが、エントリを構成する属性を決定する。オブジェクト・クラスは別のオブジェクト・クラスから導出することができ、そのクラスの特徴の一部を継承する。
OID制御ユーティリティ(OID Control Utility)
run-serverおよびstop-serverコマンドを発行するコマンドライン・ツール。コマンドは、OIDモニター・プロセスによって解釈および実行される。
OIDデータベース・パスワード・ユーティリティ(OID Database Password Utility)
Oracle Internet DirectoryがOracle Databaseに接続するためのパスワードの変更に使用されるユーティリティ。
OIDモニター(OID Monitor)
Oracle Internet Directory Serverプロセスを開始、監視および終了する、Oracle Internet Directoryのコンポーネント。レプリケーション・サーバー(インストールされている場合)や、Oracle Directory Integration and Provisioningサーバーも制御します。
Online Certificate Status Protocol(OCSP)
Online Certificate Status Protocol(OCSP)は、デジタル証明書の有効性をチェックする一般的な2つの方法のうちの1つ。もう1つは、以前からある証明書失効リスト(CRL)だが、状況によってはOCSPの方が優れている。OCSPはRFC 2560に指定されている。
Oracle Application Server Single Sign-On
Oracle Single Sign-Onは、ユーザーがアプリケーション(経費報告書、メール、給付金など)に安全にログインできるようにするプログラム・ロジックで構成されます。このようなアプリケーションには、パートナ・アプリケーションと外部アプリケーションという2つの形式がある。どちらの場合も、一度認証されると複数のアプリケーションへのアクセスが可能になる。
Oracle Call Interface(OCI)
第3世代言語のネイティブのプロシージャ・コールまたはファンクション・コールを使用して、Oracle Databaseサーバーにアクセスし、SQL文実行のあらゆる面を制御するアプリケーションを使用できるようにする、Application Program Interface(API)。
Oracle認証局(Oracle Certificate Authority)
Oracle Application Server Certificate Authorityは、Oracle Application Server環境で使用するための認証局(CA)。OracleAS Certificate AuthorityはOracle Internet Directoryを証明書のストレージ・リポジトリとして使用する。OracleAS Certificate AuthorityのOracle Single Sign-OnおよびOracle Internet Directoryとの統合により、透過的な証明書プロビジョニング・メカニズムが、これらを使用するアプリケーションに提供されます。Oracle Internet Directoryでプロビジョニングされ、Oracle Single Sign-Onで認証されたユーザーは、OracleAS Certificate Authorityへのデジタル証明書のリクエストを選択できます。
Oracle Databaseアドバンスト・レプリケーション(Oracle Database Advanced Replication)
データベース表が2つのOracleデータベース間で同期を保つようにするOracle Databaseの機能。
Oracle Delegated Administration Services
ユーザーにかわってディレクトリ操作を実行する、事前定義された個別のサービスのセット。Oracle Delegated Administration Servicesユニットと呼ばれる。Oracle Internet Directoryセルフ・サービス・コンソールを使用すると、Oracle Internet Directoryを使用するOracleアプリケーションとサード・パーティ・アプリケーションの両方について管理ソリューションの開発とデプロイが容易になる。
Oracle Directory Integration and Provisioning
Oracle Internet Directoryおよび関連付けられているいくつかのプラグインやコネクタを使用して複数のディレクトリを統合するためのインタフェースとサービスのコレクション。企業がOracle製品に対する認証のために外部ユーザー・リポジトリを使用できるようにする、Oracle Internet Directoryの機能。
Oracle Directory Integration and Provisioningサーバー(Oracle Directory Integration and Provisioning Server)
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryで変更イベントを監視し、ディレクトリ統合プロファイルにある情報に基づいてアクションを実行するデーモン・プロセス。
Oracle Directory Integration Platform
Oracle Internet Directoryのコンポーネント。Oracle Internet DirectoryのようにLDAPディレクトリを中心としてアプリケーションを統合するために開発されたフレームワーク。
Oracle Enterprise Manager
独立したOracle製品。グラフィカル・コンソール、エージェント、共通サービスおよびツールを組み合せている。Oracle製品を管理するための統合された包括的なシステム管理プラットフォームを提供する。
Oracle HTTP Server
Hypertext Transfer Protocol(HTTP)を使用するWebトランザクションを処理するソフトウェア。Oracleでは、Apache Groupが開発したHTTPソフトウェアが使用される。
Oracle Internet Directory
分散したユーザーやネットワーク・リソースの情報を取得するための汎用ディレクトリ・サービス。Lightweight Directory Access Protocol(LDAP)バージョン3をOracle Databaseの高パフォーマンス、スケーラビリティ、堅牢性および可用性と組み合せる。
Oracle Liberty SDK
Oracle Liberty SDKは、Liberty Allianceプロジェクトの仕様を実装して、サード・パーティのLiberty準拠アプリケーション間でのフェデレーテッド・シングル・サインオンを実現する。
Oracle Net Services
一連のOracleネットワーク製品の基盤。サービスやクライアント・アプリケーションを異なるコンピュータに配置して通信することができる。Oracle Net Servicesの主要な機能は、ネットワーク・セッションの確立と、クライアント・アプリケーションとサーバー間でのデータの送信である。Oracle Net Servicesは、ネットワーク内の各コンピュータに配置される。ネットワーク・セッションが確立すると、Oracle Net Servicesによりクライアントとサーバーの間でデータが送信される。
Oracle SAML
Oracle SAMLは、OASISのSecurity Assertions Markup Language(SAML)の仕様に定義されているように、異なるシステムやアプリケーション間でXMLベース形式でセキュリティ資格証明を交換するためのフレームワークを提供する。
Oracle Security Engine
Oracle Security Engineは、X.509ベースの証明書管理機能を提供することでOracle Cryptoを拡張する。Oracle Security EngineはOracle Cryptoのスーパーセットである。
Oracle S/MIME
Oracle S/MIMEは、Internet Engineering Task Force(IETF)の安全な電子メールのためのSecure/Multipurpose Internet Mail Extension(S/MIME)仕様を実装する。
Oracle Wallet Manager
セキュリティ管理者が公開鍵セキュリティ資格証明をクライアントとサーバーで管理するために使用するJavaベース・アプリケーション。
関連項目: 『Oracle Advanced Security管理者ガイド』
Oracle Web Services Security
Oracle Web Services Securityは、OASISのWebサービス・セキュリティの仕様に定義されているように、既存のセキュリティ・テクノロジを使用して、認証と認可のフレームワークを提供する。
OracleAS Portal
Oracle Single Sign-Onのパートナ・アプリケーション。ファイル、イメージ、アプリケーションおよびWebサイトを統合するメカニズムを提供します。外部アプリケーション・ポートレットが、外部アプリケーションへのアクセスを提供する。
その他の情報リポジトリ(other information repository)
Oracle Internet Directoryがセントラル・ディレクトリとして使用されるOracle Directory Integration and Provisioning環境における、Oracle Internet Directory以外のすべての情報リポジトリ。
パートナ・アプリケーション(partner application)
認証機能をOracle Single Sign-Onサーバーに委任する、Oracle Application ServerアプリケーションまたはOracle以外のアプリケーション。これらのアプリケーションでは、mod_ossoヘッダーを受け入れることで、ユーザーの再認証を省くことができる。
peer-to-peerレプリケーション(peer-to-peer replication)
マルチマスター・レプリケーションまたはn-wayレプリケーションとも呼ばれる。このタイプのレプリケーションでは、複数のサイトが、レプリケートされたデータのグループを対等に管理できる。このようなレプリケーション環境では、各ノードがサプライヤ・ノードとコンシューマ・ノードになり、ディレクトリ全体が各ノードにレプリケートされる。
PKCS#1
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様である。PKCS#1は、RSAアルゴリズムに基づく公開鍵暗号化を実装するための勧告。対象となるのは、暗号プリミティブ、暗号化スキーム、署名スキーム、および鍵を表してスキームを指定するASN.1構文。
PKCS#5
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様である。PKCS#5は、パスワードベースの暗号化の実装についての勧告。
PKCS#7
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様である。PKCS #7は、暗号を適用するデータ(デジタル署名やデジタル・エンベロープなど)の一般的な構文を指定する。
PKCS#8
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様である。PKCS #8は、一部の公開鍵アルゴリズムに対する秘密鍵や一連の属性など、秘密鍵情報の構文を指定する。この規格では、暗号化された秘密鍵の構文も指定される。
PKCS#10
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様である。PKCS #10は、公開鍵、名前、さらには一連の属性に関する証明書リクエストの構文を指定する。
PKCS#12
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様である。PKCS #12は、秘密鍵、証明書、その他の機密情報および拡張領域など、個人のアイデンティティ情報を送信するための構文を指定する。この規格をサポートするシステム(ブラウザまたはオペレーティング・システムなど)では、一般的にウォレットと呼ばれる形式で、ユーザーが1セットの個人アイデンティティ情報のインポートやエクスポートを行い、それを使用することができる。
Point-to-Pointレプリケーション(point-to-point replication)
ファンアウト・レプリケーションとも呼ばれる。このタイプのレプリケーションでは、サプライヤがコンシューマに直接レプリケートする。そのコンシューマは次に1つ以上の他のコンシューマにレプリケートできる。完全なレプリケーションと部分的なレプリケーションが可能。
ポリシーの優先順位(policy precedence)
Oracle Application Server Certificate Authority(OCA)では、着信リクエストがメイン・ポリシー・ページに表示される順にポリシーが適用される。OCAポリシー・プロセッサ・モジュールがポリシーを解析する場合は、ポリシー・リストの上位にあるポリシーから順にリクエストに適用される。リストの下位のポリシーは最後に適用され、その他のポリシーよりも優先される。有効なポリシーのみが着信リクエストに適用される。
policy.properties
シングル・サインオン・サーバーで必要な基本パラメータを含む、Oracle Single Sign-Onのための汎用構成ファイル。Oracle Single Sign-Onの高度な機能(マルチレベル認証など)の構成にも使用されます。
POSIX
Portable Operating System Interface for UNIX。オペレーティング・システム間でアプリケーションを移植可能にするためのアプリケーション・ソース・コードの記述方法を制御する、プログラミング・インタフェース規格のセット。Internet Engineering Task Force(IETF)によって開発された一連の規格。
条件(predicates)
Oracle Application Server Certificate Authority(OCA)では、ポリシー条件は論理式である。ポリシーに適用して、着信する証明書のリクエストや失効へのポリシーの適用方法を制限できる。たとえば、次の条件式では、その条件が含まれるポリシーが、DNにou=sales,o=acme,c=usを含むクライアントからのリクエストまたは失効に対して異なる影響を及ぼすように指定される。
Type=="client" AND DN=="ou=sales,o=acme,c=us"
プリンシパル(principal)
Oracle Identity Federationがサポートするアイデンティティ・フェデレーション・プロトコルに定義された3つのプライマリ・ロールのうちの1つ。その他のロールにはアイデンティティ・プロバイダとサービス・プロバイダがある。
プリンシパルは、サービスを利用しフェデレーテッド・アイデンティティを取得する資格を持つエンティティである。通常、プリンシパルとは、アイデンティティを認証できる個人やユーザー、あるいはシステム・エンティティを指す。
1次ノード(primary node)
Oracle Application Server Cold Failover Cluster(Identity Management)では、アプリケーションが常に実行しているクラスタ・ノード。
関連項目: 「2次ノード」
秘密鍵(private key)
秘密鍵は、公開鍵暗号化で使用される公開鍵と秘密鍵のペアのうち、秘密にしておく方の鍵。エンティティは、公開鍵で暗号化されたデータの復号化に秘密鍵を使用する。また、エンティティは秘密鍵を使用してデジタル署名を作成することもできる。エンティティの公開鍵で暗号化されたデータと秘密鍵で作成された署名のセキュリティはどちらも、秘密鍵の秘密が守られることを前提とする。
プロビジョニング・アプリケーション(provisioned applications)
ユーザーとグループの情報がOracle Internet Directoryで集中管理されている環境のアプリケーション。通常、このようなアプリケーションは、Oracle Internet Directoryでのこれらの情報の変化に影響を受ける。
プロビジョニング・エージェント(provisioning agent)
Oracle固有のプロビジョニング・イベントを、外部アプリケーションまたはサード・パーティ・アプリケーション固有のイベントに変換するアプリケーションまたはプロセス。
プロビジョニング統合プロファイル(provisioning integration profile)
特別なディレクトリ統合プロファイル。Oracle Directory Integration and Provisioningによってディレクトリ対応のアプリケーションに送信されるプロビジョニング関連通知の種類を指定します。
プロキシ・サーバー(proxy server)
クライアント・アプリケーション(Webブラウザなど)と実サーバーの間にあるサーバー。実サーバーへのすべてのリクエストを途中で受け取り、プロキシ・サーバー自らリクエストを実行できるかどうかを確認する。実行できない場合は、リクエストを実サーバーに転送する。Oracle Single Sign-Onでは、プロキシはロード・バランシングのため、およびセキュリティの追加レイヤーとして使用されます。
関連項目: 「ロード・バランサ」
プロキシ・ユーザー(proxy user)
ファイアウォールなど中間層を備えた環境で、一般的に使用されるユーザーの種類。このような環境では、エンド・ユーザーは中間層に対して認証される。その後、中間層がエンド・ユーザーにかわってディレクトリにログインする。プロキシ・ユーザーは、アイデンティティを切り替える権限を持ち、ディレクトリにログインするとエンド・ユーザーのアイデンティティに切り替える。そこで、そのエンド・ユーザーにかわり、そのユーザーに対応する権限を使用して操作を実行する。
公開鍵(public key)
公開鍵は、公開鍵暗号化で使用される公開鍵と秘密鍵のペアのうち、秘密にしない方の鍵。エンティティは公開鍵を使用してデータを暗号化できる。暗号化されたデータは、公開鍵の所有者が対応する秘密鍵を使用しないかぎり復号化できない。公開鍵は、対応する秘密鍵で作成されたデジタル署名の検証にも使用できる。
公開鍵暗号化(public key cryptography)
公開鍵暗号化(非対称暗号化とも呼ばれる)では、公開鍵と秘密鍵の2つが使用される。これらの鍵は鍵ペアと呼ばれる。秘密鍵は秘密にする必要があるが、公開鍵は誰にでも送信できる。秘密鍵と公開鍵は数学的に関連している。秘密鍵で署名されたメッセージは、対応する公開鍵で検証できる。同様に、公開鍵で暗号化されたメッセージは秘密鍵で復号化できる。秘密鍵の所有者のみがメッセージを復号化できるため、この方法でプライバシを確保できる。
公開鍵暗号化(public key encryption)
メッセージの送信者が受信者の公開鍵を使用してメッセージを暗号化するプロセス。メッセージが受信されると、受信者が受信者の秘密鍵を使用してメッセージを復号化する。
公開鍵インフラストラクチャ(public key infrastructure: PKI)
公開鍵インフラストラクチャ(PKI)は、公開鍵と秘密鍵の発行、配布および認証を管理するシステム。通常、PKIは次のように構成される。
公開鍵と秘密鍵のペア(public/private key pair)
数学的に関連する2つの数値のセット。1つは秘密鍵、もう1つは公開鍵と呼ばれる。通常、公開鍵は広範囲で使用できるが、秘密鍵は所有者のみが使用できる。公開鍵で暗号化されたデータは、関連付けられた秘密鍵のみで復号化できる。また、秘密鍵で暗号化されたデータも、関連付けられた公開鍵でしか復号化できない。公開鍵で暗号化されたデータを同じ公開鍵で復号化することはできない。
RC2
Rivest Cipher 2(RC2)は、RSA Security社のためにRonald Rivestが開発した64ビットのブロック暗号。Data Encryption Standard(DES)に替わるものとして設計された。
RC4
Rivest Cipher 4(RC4)は、RSA Security社のためにRonald Rivestが開発したストリーム暗号。RC4では、最大1024ビットの様々な長さの鍵を使用できる。RC4は、データ通信の保護で最もよく使用される。Secure Sockets Layer(SSL)プロトコルを使用するWebサイト間のトラフィックを暗号化する。
レルム検索ベース(realm search base)
ルートOracleコンテキストに含まれる属性。すべてのアイデンティティ管理レルムを含むディレクトリ情報ツリー(DIT)のエントリを識別する。この属性は、単純なレルム名をディレクトリ内の対応するエントリにマッピングする際に使用される。
参照(referral)
ディレクトリ・サーバーがクライアントに提供する情報。クライアントがリクエストしている情報の検索のためにアクセスする必要がある他のサーバーを指す。
関連項目: 「ナレッジ参照」
登録局(Registration Authority: RA)
登録局(RA)は、証明書が認証局(CA)から発行される前にユーザーの検証と登録を行う。RAは、各申請者に、申請された新しい証明書の相対識別値または相対識別名を割り当てることがある。RAは証明書の署名または発行は行わない。
レジストリ・エントリ(registry entry)
ディレクトリ・サーバー・インスタンスと呼ばれる、Oracle Internet Directoryサーバーの起動に関するランタイム情報を含むエントリ。レジストリ・エントリは、対応するディレクトリ・サーバー・インスタンスが停止するまで、ディレクトリに格納される。
リレーショナル・データベース(relational database)
1つ以上の行の表にデータが格納される、構造化されたデータのコレクション。各行は同一の列で構成される。Oracleでは複数の表のデータを非常に容易にリンクできる。Oracleがリレーショナル・データベース管理システムすなわちRDBMSであるのは、この特徴のためである。複数の表にデータを格納するとことで、表の間のリレーションシップを定義できる。リンクは、両方の表に共通する1つ以上のフィールドに基づく。
相対識別名(relative distinguished name: RDN)
ローカルの最も細かいレベルのエントリ名。エントリを一意に処理するための他の修飾エントリ名は含まれない。cn=Smith,o=acme,c=USという例では、RDNはcn=Smith。
リモート・マスター・サイト(remote master site: RMS)
レプリケート環境における、Oracle Databaseアドバンスト・レプリケーションに関係するマスター定義サイト(MDS)以外のマスター・サイト。
レプリケーション承諾(replication agreement)
特殊なディレクトリ・エントリ。ディレクトリ・レプリケーション・グループ(DRG)のディレクトリ・サーバー間のレプリケーションの関係を表す。
RFC
Internet Request For Comments(RFC)文書は、インターネットのプロトコルとポリシーについて記述された定義。Internet Engineering Task Force(IETF)が、新しい規格の議論、開発および制定を促進する。規格は、RFCという頭字語と参照番号を使用して発表される。たとえば、電子メールの公式規格はRFC 822。
ルートOracleコンテキスト(root Oracle Context)
Oracle Identity Managementインフラストラクチャでは、ルートOracleコンテキストは、インフラストラクチャのデフォルト・アイデンティティ管理レルムへのポインタを含むOracle Internet Directoryのエントリ。アイデンティティ管理レルムの単純な名前が与えられた場合にレルムの位置を特定する方法についての情報も含まれる。
RSA
RSAは、開発者の名前(Rivest、ShamirおよびAdelman)に由来する公開鍵暗号化アルゴリズム。RSAアルゴリズムは最もよく使用される暗号化と認証のアルゴリズムであり、Netscape社およびMicrosoft社のWebブラウザやその他の製品にも含まれる。
RSAES-OAEP
RSA Encryption Scheme - Optimal Asymmetric Encryption Padding(RSAES-OAEP)は、RSAアルゴリズムとOAEP方法を組み合せた公開鍵暗号化スキーム。Optimal Asymmetric Encryption Padding(OAEP)は、Mihir BellareおよびPhil Rogawayによって開発されたメッセージのエンコーディング方法である。
2次ノード(secondary node)
Oracle Application Server Cold Failover Cluster(Identity Management)では、アプリケーションがフェイルオーバー時に移行されるクラスタ・ノード。
関連項目: 「1次ノード」
秘密鍵(secret key)
秘密鍵は、対称アルゴリズムで使用される鍵。秘密鍵は暗号化と復号化の両方で使用されるため、暗号文を互いに送信する両者が共有する必要があるが、認可されていないエンティティに対しては秘密にする必要がある。
Secure Hash Algorithm(SHA)
Secure Hash Algorithm(SHA)は、ハッシュ関数アルゴリズム。入力に基づいて160ビットのメッセージ・ダイジェストを生成する。このアルゴリズムはDigital Signature Standard(DSS)で使用される。3種類の鍵サイズ(128ビット、192ビット、256ビット)を提供するAdvanced Encryption Standard(AES)の導入により、同様のレベルのセキュリティを備えた、対応するハッシュ関数が必要になった。新しいSHA-256、SHA-284およびSHA-512ハッシュ・アルゴリズムはこのような拡張要件に準拠している。
Secure Sockets Layer(SSL)
Secure Sockets Layer(SSL)は、Netscape社によって設計されたプロトコル。ネットワーク(インターネットなど)上で暗号化および認証された通信が可能になる。SSLは、RSAの公開鍵暗号化システムを使用する。これにはデジタル証明書の使用も含まれている。SSLにより、機密保護、認証および整合性という、安全な通信の3つの要素が提供される。
SSLが発展したものがTransport Layer Security(TLS)である。TLSとSSLは相互運用できない。ただし、TLSを使用して送信されたメッセージはSSLを扱うクライアントで処理できる。
Secure/Multipurpose Internet Mail Extension(S/MIME)
Secure/Multipurpose Internet Mail Extension(S/MIME)は、デジタル署名と暗号化を使用することでMIMEデータを保護するInternet Engineering Task Force(IETF)の規格。
Security Assertions Markup Language(SAML)
サブジェクトに関するアサーションの生成によってサブジェクトのセキュリティ情報を交換するためのメカニズムを定義する、XMLベースのフレームワーク。アサーションは、アクセス制御に関する決定を行う場合に使用される。SAMLを使用すると、通常は相互運用できないアイデンティティ・プロバイダとサービス・プロバイダの間で、認証情報や認可情報を交換できる。
SAML 2.0はSAML標準を大幅に改訂したもので、SAML 1.1を更新し、ShibbolethとLiberty ID-FFの両方の仕様に基づく入力を統合する。SAML 2.0の主要な特色の1つは、ユーザーとの連携によって2つのサイトが同一ユーザーのIDを設定して保持することができる機能である。その他、プライバシ保護メカニズム、グローバル・ログアウトのサポートなどの機能がある。
サーバー証明書(server certificate)
安全なWebサーバーを使用してデータを提供する組織のアイデンティティを証明する証明書。サーバー証明書には、相互に信頼できる認証局(CA)から発行された公開鍵と秘密鍵のペアが関係付けられている必要がある。サーバー証明書は、ブラウザとWebサーバーの安全な通信のために必要。
サービス・プロバイダ(service provider)
Oracle Identity Federationがサポートするアイデンティティ・フェデレーション・プロトコルに定義された3つのプライマリ・ロールのうちの1つ。その他のロールにはアイデンティティ・プロバイダとプリンシパルがある。
SAMLにおける利用者であるサービス・プロバイダは、プリンシパルにサービスまたは製品を提供すると同時に、そのプリンシパルのアイデンティティ認証を得るためにアイデンティティ・プロバイダを利用する。
共有サーバー(shared server)
サポートされるユーザー数を増やすために、多数のユーザー・プロセスがごく少数のサーバー・プロセスを共有できるように構成されたサーバー。共有サーバー構成では、多数のユーザー・プロセスがディスパッチャに接続する。ディスパッチャは複数の着信ネットワーク・セッション・リクエストを共通キューに送る。サーバー・プロセスの共有プールにあるアイドル状態の共有サーバー・プロセスが、キューのリクエストを受け取る。つまり、サーバー・プロセスのプールが小さくても、多数のクライアントにサービスを提供できる。専用サーバーと対比される機能。
Signed Public Key And Challenge(SPKAC)
Signed Public Key And Challenge(SPKAC)は、Netscape Navigatorブラウザが証明書をリクエストするために使用する固有プロトコル。
簡易認証(simple authentication)
クライアントが自らのアイデンティティをサーバーに証明するプロセス。暗号化されていないDNとパスワードをネットワーク上で送信する。簡易認証オプションでは、サーバーは、クライアントから送信されたDNとパスワードがディレクトリに格納されているDNとパスワードと一致することを確認する。
Simple Authentication and Security Layer(SASL)
各種アプリケーション・プロトコルに対し、認証機能と認可機能を追加するための手段。SASLによってプロトコルと接続との間にセキュリティ・レイヤーが提供されることにより、サーバーへのユーザー認証が可能となる。また、セキュリティ・レイヤーのネゴシエーションにより、後続のプロトコル間の相互作用も保護される。
Simple Object Access Protocol(SOAP)
インターネットを介したシステム間のメッセージ交換のためのフレームワークを定義する、XMLベースのプロトコル。SOAPはWebサービス用の共通プロトコルであり、HTTPやFTPなどの転送プロトコルとともに使用される。SOAPメッセージは、メッセージとその処理方法を指定するエンベロープ、アプリケーション定義データ型のインスタンスを表す一連のエンコーディング規則、およびリモート・プロシージャ・コールとレスポンスを表すための規約、という3つの部分から構成される。
シングル・サインオフ(single sign-off)
Oracle Single Sign-Onセッションを終了し、すべてのアクティブなパートナ・アプリケーションから同時にログアウトするプロセス。操作しているアプリケーションからログアウトするとシングル・サインオフを実行できる。
シングル・サインオン(single sign-on: SSO)
フェデレーテッド環境でシングル・サインオンを使用すると、ユーザーはフェデレーテッド・グループのメンバーであるいずれかのアイデンティティ・プロバイダまたはサービス・プロバイダに1回の操作でサインオンでき、後で再度サインオンすることなく、複数のメンバーから提供されるリソースを利用できる。
シングル・サインオンSDK(single sign-on SDK)
Oracle Single Sign-Onのパートナ・アプリケーションをシングル・サインオン対応にするレガシーAPI。このSDKは、PL/SQLおよびJava APIと、これらのAPIの実装方法を示すサンプル・コードで構成される。現在このSDKは非推奨で、かわりにmod_ossoが使用される。
特定管理領域(specific administrative area)
管理領域では次の項目が管理される。
サブスキーマの管理
アクセス制御の管理
集合属性の管理
特定管理領域では、これらのいずれかが管理される。特定管理領域は、自律型管理領域に含まれる。
ストリーム暗号(stream cipher)
ストリーム暗号は、対称アルゴリズムの1つ。ストリーム暗号では、一度に1ビットまたは1バイトといった小さな単位で暗号化が行われ、鍵を常に変更するためになんらかのフィードバック・メカニズムが実装される。RC4はストリーム暗号の例である。
関連項目: 「ブロック暗号」
サブエントリ(subentry)
サブツリー内のエントリのグループに適用できる情報を含むエントリのタイプ。情報には次のタイプがある。
アクセス制御ポリシー・ポイント
スキーマ・ルール
集合属性
サブエントリは、管理領域のルートの直下に位置する。
下位CA(subordinate CA)
階層的な公開鍵インフラストラクチャ(PKI)では、下位認証局(CA)は、証明書の署名鍵が別のCAによって認証され、そのCAによってアクティビティの制約を受けるCAである。
サブツリー(subtree)
ディレクトリ情報ツリー(DIT)とも呼ばれるディレクトリ階層の部分。通常、サブツリーは特定のディレクトリ・ノードから開始し、ディレクトリ階層内でそのノードの下にあるすべてのサブディレクトリとオブジェクトが含まれる。
サブタイプ(subtype)
1つ以上のオプションを含む属性。オプションなしの同じ属性と対比される。たとえば、オプションとしてアメリカ英語を含むcommonName(cn)属性は、このオプションを含まないcommonName(cn)属性のサブタイプである。逆に、オプションを含まないcommonName(cn)属性は、オプションを含む同じ属性のスーパータイプである。
スーパークラス(superclass)
別のオブジェクト・クラスが導出されるオブジェクト・クラス。たとえば、オブジェクト・クラスpersonは、オブジェクト・クラスorganizationalPersonのスーパークラスである。organizationalPersonは、personのサブクラスであり、personに含まれる属性を継承する。
上位参照(superior reference)
上位のディレクトリ・システム・エージェント(DSA)を指すナレッジ参照。このDSAは、参照元のDSAで保持されるすべてのネーミング・コンテキストよりも上位にある、ディレクトリ情報ツリー(DIT)内のネーミング・コンテキストを保持する。
スーパータイプ(supertype)
オプションを含まない属性。1つ以上のオプションを含む同じ属性と対比される。たとえば、オプションを含まないcommonName(cn)属性は、オプションを含む同じ属性のスーパータイプである。逆に、オプションとしてアメリカ英語を含むcommonName(cn)属性は、このオプションを含まないcommonName(cn)属性のサブタイプである。
対称アルゴリズム(symmetric algorithm)
対称アルゴリズムは、暗号化と復号化に同じ鍵を使用する暗号化アルゴリズム。対称(秘密鍵)アルゴリズムには、基本的にストリーム暗号とブロック暗号の2つのタイプがある。
対称暗号化(symmetric cryptography)
対称暗号化(または共有秘密暗号化)システムは、データの暗号化と復号化に同じ鍵を使用する。対称暗号化では、送信者と受信者の秘密鍵が一致するため、安全性の確保が問題になる。サード・パーティが送信中に秘密鍵を傍受すると、その秘密鍵で暗号化されたすべてのデータを復号化できる。対称暗号化は、通常は非対称暗号化よりも処理が速く、大量のデータを交換する必要がある場合に使用される。対称暗号化アルゴリズムの例は、DES、RC2およびRC4。
システム・グローバル領域(System Global Area: SGA)
共有メモリー構造のグループ。1つのOracleデータベース・インスタンスのデータと制御情報を含む。複数のユーザーが同時に同じインスタンスに接続している場合、そのインスタンスのSGAのデータがユーザー間で共有される。この結果、SGAは共有グローバル領域と呼ばれることもある。バックグラウンド・プロセスとメモリー・バッファの組合せはOracleインスタンスと呼ばれる。
システム操作属性(system operational attribute)
ディレクトリの操作に関連する情報を保持する属性。エントリのタイムスタンプなど、一部の操作情報は、サーバーを制御するためにディレクトリによって指定される。アクセス情報などその他の操作情報は、管理者によって定義され、ディレクトリ・プログラムによって処理時に使用される。
サード・パーティのアクセス管理システム(third-party access management system)
Oracle以外のシングル・サインオン・システム。Oracle Application Serverアプリケーションへのアクセスを得るために、Oracle Single Sign-Onを使用するように変更できます。
タイムスタンプ・プロトコル(Time Stamp Protocol: TSP)
タイムスタンプ・プロトコル(TSP)では、RFC 3161に指定されているように、デジタル・メッセージのタイムスタンプに関連するエンティティ、メッセージ書式および転送プロトコルが定義される。TSPシステムでは、信頼できるサード・パーティのタイムスタンプ局(TSA)がメッセージのタイムスタンプを発行する。
Transport Layer Security(TLS)
インターネット上で通信のプライバシを提供するプロトコル。このプロトコルを使用すると、クライアント/サーバー・アプリケーションの通信における、傍受、改ざんまたはメッセージ偽造を防止できる。
Triple Data Encryption Standard(3DES)
Triple Data Encryption Standard(3DES)は、1974年にIBM社によって開発され、1977年に米国規格に採用されたData Encryption Standard(DES)に基づく。3DESでは、64ビット長の3つの鍵が使用される(鍵すべての長さは192ビットだが、実際の鍵の長さは56ビット)。データは最初の鍵で暗号化された後、2番目の鍵で復号化され、最後に3番目の鍵で再び暗号化される。このため、3DESは通常のDESよりも3倍時間がかかるが、3倍の安全性が得られる。
信頼できる証明書(trusted certificate)
信頼できるレベルとみなされるサード・パーティのアイデンティティ。アイデンティティが申告どおりのエンティティとして検証されると、信頼できるようになる。通常、信頼できる証明書は、ユーザー証明書の発行元として信頼している認証局(CA)から得る。
Unicode
ユニバーサル・キャラクタ・セットのタイプで、16ビットでエンコードされた64K文字の集まり。既存のほとんどすべてのキャラクタ・セット規格の文字をすべてコード化する。世界中で使用されているほとんどの記述法を含む。UnicodeはUnicodeコンソーシアムによって所有および定義される。Unicodeは標準的なエンコードであるため、異なるロケールで値を伝達できる。ただし、UnicodeとすべてのOracleキャラクタ・セットとの間で、情報の損失なくラウンドトリップ変換が行われることは保証されない。
URI
Uniform Resource Identifier(URI)。Web上のコンテンツの任意の位置を指定する方法。コンテンツは、テキストのページ、ビデオ・クリップまたはサウンド・クリップ、静止画または動画またはプログラムのいずれか。URIの最も一般的な形式はWebページ・アドレスである。これは、URIの特定の形式つまりサブセットであり、URLと呼ばれる。
URL
Uniform Resource Locator(URL)。インターネット上でアクセス可能なファイルのアドレス。テキスト・ファイル、HTMLページ、プログラム、またはHTTPでサポートされるその他のファイルが該当する。URLには、リソースにアクセスするために必要なプロトコルの名前、インターネット上の特定のコンピュータを識別するドメイン名、およびコンピュータ上のファイル位置の階層を表す記述が含まれる。
URLCトークン(URLC token)
認証されたユーザーの情報をパートナ・アプリケーションに渡すOracle Single Sign-Onのコード。パートナ・アプリケーションでは、この情報を使用してセッションCookieを構築する。
ユーザー名マッピング・モジュール(user name mapping module)
ユーザー証明書をユーザーのニックネームにマッピングするOracle Single Sign-OnのJavaモジュール。ニックネームは認証モジュールに渡され、認証モジュールがこのニックネームを使用して、ユーザーの証明書をディレクトリから取得する。
ユーザー検索ベース(user search base)
Oracle Internet Directoryのデフォルトのディレクトリ情報ツリー(DIT)ではアイデンティティ管理レルムのノード。ここにすべてのユーザーが配置されている。
協定世界時(Coordinated Universal Time: UTC)
世界各地で共通の標準時。以前は一般的にグリニッジ標準時(GMT)や世界標準時とも呼ばれていた。UTCは、名前のとおり子午線の地点での平均太陽時を表す。UTCは、200011281010zのように値の最後にzを付けて表記する。
UTF-8
Unicodeの可変長8ビット・エンコーディング。各文字に1、2、3または4バイトのシーケンスを使用する。0〜127字(7ビットASCII文字)は1バイトでエンコードされ、128〜2047字は2バイト、2048〜65535字は3バイト、65536字以上は4バイトが必要になる。UTF-8のOracleキャラクタ・セット名はAL32UTF8(Unicode 3.1規格の場合)。
検証(verification)
検証は、署名を作成したと主張する秘密鍵に対応する公開鍵と、署名の適用対象であると主張するデータ・ブロックがある場合に、所定のデジタル署名が有効であることを確認するプロセス。
仮想ホスト(virtual host)
1つ以上のWebサイトまたはドメインのホストである単一の物理Webサーバー・マシン。または、他のマシンのプロキシとして作動するサーバー(着信リクエストを受け取り、適切なサーバーに転送する)。
Oracle Single Sign-Onの場合、仮想ホストは、複数のOracle Single Sign-Onサーバー間のロード・バランシングに使用されます。また、これによってセキュリティがさらに強化される。
仮想ホスト名(virtual host name)
Oracle Application Server Cold Failover Cluster(Identity Management)では、特定の仮想IPアドレスに対応するホスト名。
仮想IPアドレス(virtual IP address)
Oracle Application Server Cold Failover Cluster(Identity Management)では、各物理ノードが独自の物理IPアドレスと物理ホスト名を持つ。1つのシステム・イメージを外部に表すために、クラスタでは、クラスタ内のどの物理ノードにも移動できる動的IPアドレスが使用される。これが仮想IPアドレスと呼ばれる。
ウォレット(wallet)
個別のエンティティのセキュリティ資格証明の格納および管理に使用される抽象概念。様々な暗号化サービスで使用するために資格証明の格納と取得を実装する。ウォレット・リソース・ロケータ(WRL)により、ウォレットを探すために必要なすべての情報が提供される。
Webサービス(Web service)
Webサービスは、標準のインターネット・プロトコル(HTTP、XML、SOAPなど)を使用してアクセスできるアプリケーション・ロジックまたはビジネス・ロジック。Webサービスには、コンポーネントベースの開発とWWWの優れた面が備わっている。Webサービスはコンポーネントと同様に、サービスの実装方法に関係なく使用および再使用できるブラックボックス機能を表す。
Web Services Description Language(WSDL)
Web Services Description Language(WSDL)は、XMLを使用してWebサービスを指定するための標準形式。WSDL定義では、Webサービスへのアクセス方法とWebサービスが実行する操作が指定される。
WS-Federation
Web Services Federation Language(WS-Federation)は、Microsoft社、IBM社、BEA社、VeriSign社およびRSA Security社によって開発された仕様。異なるメカニズムまたは類似したメカニズムを使用するエンティティ間のフェデレーションを可能にするメカニズムを定義する。このメカニズムによって、関連するWebサービス間のアイデンティティの信頼、属性および認証が許可および仲介される。
関連項目: 「Liberty Alliance」
X.500
X.500は、グローバル・ディレクトリの構成方法を定義する国際電気通信連合(ITU)の規格。X.500のディレクトリは、情報の各カテゴリ(国、州および市など)に様々なレベルを含む階層構造である。
X.509
X.509は、デジタル証明書の定義で最も広く使用されている規格。多くの公開鍵インフラストラクチャ(PKI)実装で使用される、認証サービスを含む階層ディレクトリのための国際電気通信連合(ITU)の規格である。
XKMS
World Wide Web Consortium(W3C)によって開発された仕様。公開鍵の配布と登録のためのプロトコルを定義する。XKMSは2つのパートから構成されている。1つは、公開鍵情報を解決する信頼サービス用のプロトコルを定義したXML Key Information Service Specification(X-KISS)、もう1つは、公開鍵情報の登録を受け付けるWebサービス用のプロトコルを定義したXML Key Registration Service Specification(X-KRSS)である。
XML
eXtensible Markup Language(XML)は、W3Cによって開発された仕様。XMLは、Standard Generalized Markup Language(SGML)のWeb文書専用に設計された縮小版である。XMLはメタ言語(タグ・セットを定義する方法)であり、開発者は独自にカスタマイズしたマークアップ言語を文書の多数のクラスに定義できる。
XML正規化(C14N)(XML canonicalization (C14N))
論理的に等しい2つのXML文書を同じ物理表現に解決できるプロセス。デジタル署名の計算対象となったデータと同一の物理表現に対してのみ署名の検証が可能なため、このプロセスは重要である。詳細は、W3CのXML正規化の仕様を参照。
