| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド 11g リリース1 (11.1.1) B62265-02 |
|
前 |
次 |
Oracle Access Manager、Oracle Security Token ServiceおよびOracle Fusion Middlewareの監査機能は、説明責任を果たすための手段と、「誰がいつ何をしたか」というタイプの質問への回答を提供します。監査データは、ダッシュボードの作成、履歴データの集計、およびリスクの評価に使用できます。記録された監査データを分析すれば、コンプライアンス担当者がコンプライアンス方針を定期的に確認できます。
この章では、Oracle Access ManagerおよびOracle Security Token Serviceの監査可能な管理イベントとランタイム・イベントについて説明します。共通監査設定の構成および設定した監査構成の検証がこの章の主題です。監査データの分析と監査についてはこの章では取り上げません。
|
注意: 特に明記しないかぎり、この章の情報は、Oracle Access Managerを単体で使用している場合もOracle Security Token Serviceとともに使用している場合も同じです。 |
この章の内容は次のとおりです。
この項ではこの章に示すタスクの要件を明らかにします。「監査の概要」を確認してください。
現在では多くのビジネスにおいて、アイデンティティ情報や、アプリケーションおよびデバイスへのユーザー・アクセスを監査できることが求められます。コンプライアンス監査は、企業が法的要件を満たしていることを確認する助けとなります—例としては、Sarbanes-Oxley ActやHealth Insurance Portability and Accountability Act(HIPAA)の2つが挙げられます。
Oracle Access ManagerおよびOracle Security Token Serviceは、Oracle Fusion Middlewareの共通監査フレームワークを使用し、大量のユーザー認証イベントと認可イベント、および管理イベント(システムへの変更)の監査を支援します。Oracle Fusion Middlewareの共通監査フレームワークを使用すれば、ロギングと例外を一様な形で取り扱い、すべての監査イベントの診断を行うことができます。
監査機能は有効または無効のどちらに設定しておくことも可能ですが、本番環境では有効にしておくのが普通です。監査による性能への影響は最小限に抑えられており、監査によって得られた情報は有用です(業務に不可欠な場合もあります)。
|
注意: Oracle Access Manager 10gの監査はOAMポリシーに基づいていました。しかしOracle Access ManagerおよびOracle Security Token Serviceでの監査は、ユーザーまたはユーザー・グループのデータ取得を可能にするOracle Access Managerコンソールで設定した構成パラメータに基づいています。 |
監査データは、集中管理された1つのOracle Databaseインスタンスや、フラットファイルに書き込むことができます。監査記録の保存場所にかかわらず、記録には、特定の要件に合わせて構成することのできる一連の項目が含まれています。監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。
Oracle Access Managerは、あらかじめ設定されたコンプライアンス・レポートを提供するOracle Business Intelligence Publisherと統合化できます。
この項では、Oracle Access Managerによる監査について次の項目ごとにその概要を示します。
|
関連項目:
|
管理者は、Oracle Access Managerコンソールを使用して一定の監査パラメータを制御します。この監査構成は、ファイルoam-config.xmlに記録されます。その他の監査構成は、共通管理フレームワークを通じて設定する必要があります。
|
注意: 監査構成はoam-config.xmlの一部です。Fusion Middleware Controlを使用してOAM管理ポリシーを構成することはできません。Oracle Access Managerは、監査構成でJPSインフラストラクチャを使用しません。Oracle Access Manager監査用のWebLogic Scripting Tool (WLST)コマンドはありません。 |
Oracle Access Managerコンソール内では、ログ・ファイルとログ・ディレクトリの最大サイズを設定できます。監査ポリシー(Oracle Access Managerではフィルタ・プリセットと呼ばれます)は、特定のコンポーネントについて監査フレームワークによって取得されるイベントのタイプを宣言します。
デフォルトでは、Oracle Access Managerは監査データをファイルに記録します。しかし、管理者は、監査データをデータベースに記録するように構成を変更できます。書式は異なりますが、監査データの内容はフラット・ファイルの場合もデータベースの場合も同じです。
データベース・ロギングは、Oracle Fusion Middlewareの全製品について共通監査フレームワークを実行します。その利点は、プラットフォーム・レベルで監査機能が共通化されることです。
|
注意: 本番環境において望ましいモードは、監査データ専用のスタンドアロンRDBMSデータベースに監査記録を書き込むことです。 |
本番環境においては、共通監査フレームワークのスケーラビリティと高可用性を実現するために、データベース監査ストアを使用することをお薦めします。監査データは累積的なもので、その量は時間とともに増大します。これは監査データ専用のデータベースとして、他のアプリケーションは使用しないようにするのが理想です。
監査記録用の恒久的ストアとしてのデータベースに切り替えるには、まず、リポジトリ作成ユーティリティ(RCU)を使用して監査データ用のデータベース・スキーマを作成する必要があります。RCUは、データベースに監査記録を格納するために必要なスキーマを使用して、そのデータベース・ストアをシードします。スキーマ作成後にデータベースの構成を設定するには次の操作が必要です。
作成した監査スキーマを参照するデータ・ソースの作成
そのデータ・ソースを参照する監査ストアの設定
図24-1は、サポート対象データベースを使用した監査アーキテクチャの簡略図です。Oracle Fusion Middleware監査フレームワークの監査ログ表用スキーマはリポジトリ作成ユーティリティ(RCU)によって提供されます。このユーティリティは、データベースに情報をログする前に起動している必要があります。
独立した監査ローダー・プロセスがフラット・ログ・ファイルを読み込んで、Oracleデータベースのログ表にレコードを挿入します。管理者は、監査ストアを使用することにより、Oracle Business Intelligence Publisherの様々な既製レポートを使用して監査データを表示できます。
データベース監査ストア内のデータは、Oracle Business Intelligence Publisherであらかじめ定義されたレポートを通じて表示されます。これらのレポートを使用すれば、ユーザー名、時間範囲、アプリケーション・タイプ、実行コンテキスト識別子(ECID)などの様々な基準に基づいて、監査データをドリルダウンできます。
Oracle Access Managerには、そのまますぐに使用できるサンプル監査レポートがいくつか用意されており、これらのレポートにはOracle Business Intelligence Publisherでアクセスできます。また、Oracle Business Intelligence Publisherを使用してユーザー固有のカスタム監査レポートを作成することもできます。
Oracle BI Enterprise Edition(Oracle BI EE)は、スケーラブルで効率的な問合せおよび分析用サーバ、非定型問合せおよび分析ツール、インタラクティブ・ダッシュボード、プロアクティブ・インテリジェンスやアラート、リアルタイム予測インテリジェンス、企業用レポート・エンジンなどを含む企業用ビジネス・インテリジェンス・ツールとインフラストラクチャの包括的なセットです。
Oracle Business Intelligence Enterprise Editionのコンポーネントは、共通のサービス指向アーキテクチャ、データ・アクセス・サービス、分析および計算インフラストラクチャ、メタデータ管理サービス、セマンティック・ビジネス・モデル、セキュリティ・モデルとユーザー・プリファレンス、および管理ツールを共有しています。Oracle Business Intelligence Enterprise Editionは、データソースに合わせて最適化された分析生成、最適化されたデータ・アクセス、高度な計算、インテリジェント・キャッシング・サービス、およびクラスタリングなどによるスケーラビリティとパフォーマンスを備えています。
|
関連項目: 『Oracle Fusion Middlewareセキュリティ・ガイド』の「監査分析とレポートの使用」 |
Oracel Access Managerの監査レポートとともに使用するOracle BI EEの準備方法の概要については、「Oracle Business Intelligence Publisher EEの準備」を参照してください。
監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。監査ログ・ファイルには、Date、Time、Initiator、EventType、EventStatus、MessageText、ECID、RID ContextFields、SessionId、TargetComponentType、ApplicationName、EventCategoryなどを含むいくつかのフィールドが記録されます。
|
関連項目: 『Oracle Fusion Middlewareセキュリティ・ガイド』の監査の構成と管理に関する章に含まれる監査ログ関連項目 |
この項の内容は次のとおりです。
管理イベントとは、Oracle Access Managerコンソール使用時に作成されるイベントです。
監査可能なOracle Access Manager固有の管理イベントと、これらのイベントが取得する内容の詳細を表24-1に示します。このイベント定義および構成は、Oracle Platform Security Servicesの監査サービスの一部として実装されます。
|
注意: Oracle Access Manager 11gの管理者は、「OAMサーバー共通プロパティ」ページの「監査構成」タブでフィルタ・プリセットを選択することによって、記録される情報の量とタイプを制御します。各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xmlファイル内に指定されています。Oracle Access Manager 11gでは、このファイルの編集やカスタマイズはサポートされていません。 |
表24-1 Oracle Access Manager管理監査イベント
| 管理イベント | 含まれるイベント・データ |
|---|---|
|
Oracle Access Managerコンソールのログインの成功/失敗 |
|
|
認証ポリシーの作成 |
|
|
認証ポリシーの変更 |
|
|
認証ポリシーの削除 |
|
|
リソースの作成 |
|
|
リソースの変更 |
|
|
リソースの削除 |
|
|
認証スキームの作成 |
|
|
認証スキームの変更 |
|
|
認証スキームの削除 |
|
|
レスポンスの作成 |
|
|
レスポンスの変更 |
|
|
レスポンスの削除 |
|
|
パートナの追加 |
|
|
パートナの変更 |
|
|
パートナの削除 |
|
|
制約の作成 |
|
|
制約の変更 |
|
|
制約の削除 |
|
|
サーバー・ドメインの作成 |
|
|
サーバー・ドメインの変更 |
|
|
サーバー・ドメインの削除 |
|
|
サーバーの構成変更 |
|
ランタイム・イベントは、Oracle Access Managerのコンポーネント・エンジンが互いに連携動作する時に生成される一部のイベントによって作成されるイベントです。
生成時に監査可能なランタイム・イベントと、それらのイベントが取得する内容の詳細を表24-2に示します。このイベント定義および構成は、Oracle Platform Security Servicesの監査サービスの一部として実装されます。
|
注意: OAM 11gの管理者は、「OAMサーバー共通プロパティ」ページの「監査構成」タブでフィルタ・プリセットを選択することによって、記録される情報の量とタイプを制御します。各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xmlファイル内に指定されています。OAM 11gでは、このファイルをカスタマイズしたり編集したりすることはできません。 |
表24-2 OAMランタイム監査イベント
| ランタイム・イベント | 発生時期 | 含まれるイベント詳細 |
|---|---|---|
|
認証の試行 |
ユーザーが保護されたリソースにアクセスしようとして、SSDサーバーにリクエストが到着した時。このイベントの後には、資格証明の送信と認証の成功または失敗の各イベントが発生します。 |
|
|
認証の成功 |
クライアントが資格証明を送信して資格証明の検証に成功した時。 |
|
|
認証の失敗 |
クライアントが資格証明を送信して資格証明の検証に失敗した時。 |
|
|
セッションの作成 |
認証成功時。 |
|
|
セッションを破棄 |
認証成功時。 |
|
|
ログインの成功 |
クライアントがログイン手順を完了して、それがエージェントに転送された時。 |
|
|
ログインの失敗 |
クライアントがログインに失敗した時。このイベントは、認められている認証の再試行にすべて失敗した場合、またはアカウントがロックされた場合のみ発生します。 |
|
|
ログアウトの成功 |
クライアントがログアウト手順を完了して、それがエージェントに転送された時。 |
|
|
ログアウトの失敗 |
クライアントがログアウトに失敗した時。 |
|
|
資格証明コレクション |
クライアントが資格証明コレクション・ページにリダイレクトされた時。 |
|
|
資格証明の送信 |
クライアントが資格証明を送信した時。 |
|
|
認可の成功 |
クライアントがリソースへのアクセスを認可された時。 |
|
|
認可の失敗 |
クライアントがリソースへのアクセスを認可されなかった時。 |
|
|
サーバーの起動 |
サーバーが起動した時。 |
|
|
サーバーの停止 |
サーバーが停止した時。 |
|
認証中にイベントを監査することは、管理者がシステム内のセキュリティ上の弱点を精査する助けとなります。認証を要求しているユーザーやブルート・フォース攻撃に関する情報を、ファイル・システムやバックエンド・データベースに保存できます。
認証時の監査のために管理者が構成できるイベントには次のようなものがあります。
認証の成功
認証の失敗
認証ポリシー・データの作成、変更、削除、または表示
認証されるユーザーに関する情報には次のものが含まれます。
IPアドレス
ブラウザ・タイプ
ユーザー・ログインID
アクセスの時間
|
注意: ユーザー・パスワードなどの取り扱いに注意を要するユーザー属性の監査、ログイング、またはトレースは避けることをお薦めします。 |
次の概要には、監査を実行できるようにするために事前に実行しておく必要があるタスクのリストを示します。
タスクの概要: Oracle Access Managerの監査設定には次のタスクが含まれます。
「監査データベース・ストアの設定」に示す監査データ・ストアの設定。
「Oracle Business Intelligence Publisher EEの準備」に示す監査レポート発行の設定。
次で説明されているように、Oracle Access Managerコンソールで監査構成を編集します。
監査が記述されたとおりに機能していることを確認します。「Oracle Access Managerの監査とレポートの検証」を参照してください。
この項では、監査データベースを作成し、リポジトリ作成ユーティリテ(RCU)を使用してそのスキーマを拡張するために必要なタスクの概要を示します。監査データをデータベースに保存するよう選択した場合、Oracle Access Managerのイベントを監査できるようにするにはこのタスクが必要になります。
|
関連項目:
|
タスクの概要: データベース監査ストアの作成
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の説明に従い、監査データベース(バージョン11.1.0.7以降)を作成します。
『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』のRCUを使用した監査スキーマの作成に関する項に従い、データベースに対してOracleリポジトリ作成ユーティリテ(RCU)を実行します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査データ・ソースの設定に関する項に従い、監査ローダーの監査データ・ソースを設定し、それをOAMサーバー用に構成します。
WebLogic Server用のJava EE監査ローダー構成を使用
前述のステップ2で設定したデータベースを参照するデータソースjdbc/AuditDBのJNDI名を使用
ドメイン・ファイル(DOMAIN_HOME/config/fmwconfig/jps-config.xml)に指定されたサービス・インスタンス内で、プロパティaudit.loader.repositoryTypeの値をDBに変更することによって、データベース監査を有効にします。次に例を示します。
<serviceInstance name="audit" provider="audit.provider"> <property name="audit.filterPreset" value="None"/> <property name="audit.maxDirSize" value ="0"/> <property name="audit.maxFileSize" value ="104857600"/> <property name="audit.loader.jndi" value="jdbc/AuditDB"/> <property name="audit.loader.interval" value="15" /> <property name="audit.loader.repositoryType" value="DB" /> </serviceInstance>
WebLogic Serverを再起動します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のJavaコンポーネント用のデータベース監査ストアの構成に関する項に従い、監査ローダーがOAMサーバー用に構成されていることと、そのローダーが適切なデータベースを参照していることを確認します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のバスストップ・ファイルのチューニングに関する項に従い、バスストップ・ファイルのメンテナンスを行います。
Oracle Business Intelligence Publisher Enterprise Edition(EE)をOracle Access Managerの監査レポートとともに使用するには、次の手順に従って準備する必要があります。
|
関連項目:
|
タスクの概要: Oracle BI Publisherの準備
『Oracle Business Intelligence Enterprise Edition Installation and Upgrade Guide』に従ってOracle BI Publisherをインストールします。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Business Intelligence PublisherでのOracle Reportsの設定に関する項に従い、タスクを実行します。
AuditReportTemplate.jarをReportsフォルダ内に解凍します。
監査データ・ソースののJNDI接続、または監査データベースのJDBC接続を設定します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査レポート・テンプレートの設定に関する項の説明に従い、監査レポート・テンプレートを設定します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査レポート・フィルタの設定に関する項の説明に従い、監査レポート・フィルタを設定します。
次のパスからレポートを表示します: Reports/Oracle_Fusion_Middleware_Audit reports
Oracle Access Manager内では、特定の「監査構成」設定には「システム構成」の「共通設定」でアクセスできます。データベースに対して監査を行うときは、これらの設定は必要ありません。図24-2は、「共通設定」ページの「監査構成」セクションを示しています。
「監査中」セクションには、「ログ・ディレクトリ」、「フィルタ設定」、および「監査構成」の「ユーザー」に対する設定が表示されます。
|
注意: 実際のログ・ディレクトリは、Oracle Access Managerコンソールを使用して構成できません。これは、共通監査フレームワークの監査ローダーのデフォルト・ディレクトリです。このディレクトリの変更は監査ローダーに影響が及ぶため、サポートされません。 |
「監査構成」ページの要素を表24-3に示します。
表24-3 監査構成要素
| 要素 | 説明 |
|---|---|
|
最大ディレクトリ・サイズ |
監査出力ファイルが格納されるディレクトリの最大サイズ(MB)。たとえば最大ファイル・サイズが10であるとすると、このパラメータの値を100にした場合はそのディレクトリに最大10個のファイルを格納できることになります。最大ディレクトリ・サイズに達すると、監査ロギングは停止します。 たとえば値を100とすると、ファイル・サイズが10MBの場合は最大10ファイルと指定したことになります。サイズがこの値を超えると、監査ログ・ファイルの作成は停止します。 これは、構成ファイル |
|
最大ファイル・サイズ |
監査ログ・ファイルの最大サイズ(MB)。ファイルのサイズが最大サイズに達すると、新しいログ・ファイルが作成されます。たとえば値を10に指定すると、ファイル・サイズが10MBに達した時点でファイル・ローテーションが指示されます。 これは、構成ファイル |
|
フィルタ有効 |
イベント・フィルタリングを有効にするにはこのボックスを選択します。 |
|
フィルタ・プリセット |
フィルタを有効にした時にログに記録される情報の量とタイプを定義します。デフォルト値は「低」です。
各フィルタ・プリセットのイベントは、読取専用のcomponent_events.xmlファイル内に指定されています。OAM 11gでは、このファイルをカスタマイズしたり編集したりすることはできません。指定されたフィルタ・プリセットに監査対象として構成された項目のみが監査可能です。 |
|
ユーザー |
フィルタが有効になった時のみアクションが含められるユーザーのリストを指定します。特別なユーザーのアクションは、フィルタ・プリセットにかかわらずすべて監査されます。管理者は、この表の特別なユーザーを追加、削除、または編集できます。 |
次の手順では、OAMサーバー共通監査構成の設定を追加、表示または編集する方法を示します。
Oracle Access Managerコンソールでの監査構成の表示または編集方法
「システム構成」タブから、「共通構成」セクションを展開し、ナビゲーション・ツリーの「共通設定」をダブルクリックします。
「監査構成」セクションで、使用環境の詳細を正しく入力します(表24-3)。
最大ログ・ディレクトリ・サイズ
最大ログ・ファイル・サイズ
監査から特定のユーザーを含めるためのフィルタ設定。「ユーザー」表の上の「追加」(+)ボタンをクリックしてフィールドに値を入力します。
「適用」をクリックして「監査構成」を送信します(または変更を適用しないでページを閉じます)。
AdminServerおよびOAMサーバーを、変更が適用された後で再起動します。
次の手順を使用して、ランタイム・イベントの監査構成をテストできます。
前提条件
この章の説明に従ってサーバーの共通監査パラメータを設定します。
エージェントとサーバーが稼動していることを確認します。
第13章、「リソースを保護してSSOを有効化するポリシーの管理」に従い、リソースを保護するためにアプリケーション・ドメインを構成します。
「Oracle Business Intelligence Publisher EEの準備」の説明に従い、BI EE Publisherを準備します。
OAM 11g監査構成の検証
ブラウザで、保護されたリソースへのURLを入力し、無効な資格証明を使用してサインインします。
正しい資格証明を使用して再度サインインします。
Oracle BI EEにサインインします。次に例を示します。
http://host:port/xmlpserver
ここで、hostはコンピュータをホストするOracle BI Publisher、portはBI Publisherのリスニング・ポート、xmlpserverはBI Publisherのログイン・ページです。
Oracle BI Publisher Enterpriseで、希望するOracle Access Managerレポートを探します。次に例を示します。
下に示すように、「共有フォルダ」→「Oracle_Fusion_Middleware_Audit」→「Component_Specific」→「Oracle Access Manager」をクリックして希望のレポートを選択します。
目的の分析を実行するか、必要に応じて監査構成を編集します。
/Middleware_home/user_projects/domains/base_domain/servers/oam_server1/logs/
auditlogs/OAM/
自社のポリシーに従って監査ログのアーカイブと管理を行います。
