| Oracle® Fusion Middleware Oracle Identity Federation管理者ガイド 11g リリース1(11.1.1) B66693-01 |
|
 前へ |
 次 |
アカウント・ロックアウト
指定の時間内にログオン試行の失敗が繰り返された場合に、セキュリティ・ポリシー設定に基づいてユーザー・アカウントをロックするセキュリティ機能。任意の数のワークステーションからユーザーがアカウントとパスワードの組合せを送信した回数が、Oracle Internet Directoryで許可されている回数を上回ると、Oracle Single Sign-Onでアカウント・ロックアウトが発生します。デフォルトのロックアウト期間は24時間です。
Advanced Encryption Standard
データ暗号化規格(DES)にかわる暗号標準として意図された対称型暗号アルゴリズム。商用および政府データの暗号化に対する、米国連邦情報処理標準(Federal Information Processing Standard: FIPS)となっています。
Application Program Interface
コンピュータ・アプリケーションと、下位レベルのサービスや機能(オペレーティング・システム、デバイス・ドライバ、他のソフトウェア・アプリケーションなど)との間のインタフェースとなる一連のソフトウェア・ルーチンおよび開発ツール。プログラマがソフトウェア・アプリケーションを組み立てるための構築ブロックとなります。たとえばLDAP対応のクライアントは、LDAP APIに用意されているプログラム・コールを使用してOracle Internet Directoryの情報にアクセスします。
アプリケーション・サービス・プロバイダ
ソフトウェアベースのサービスやソリューションの管理および配信を、中央のデータ・センターからWide Area Networkを通じて顧客に提供するサード・パーティ・エンティティ。つまり、アプリケーション・サービス・プロバイダ(ASP)は、企業が必要とする情報技術の一部またはすべてをアウトソースする手段となります。
アーティファクト・プロファイル
アサーション全体を送信せず、アーティファクトと呼ばれるアサーションへの簡易参照を使用してデータを伝達する認証メカニズム。このプロファイルは、処理できる文字数が限定されたブラウザに対応します。
ASN.1
Abstract Syntax Notation One (ASN.1)は、情報データの構文定義に使用される国際電気通信連合(International Telecommunication Union: ITU)の表記規約です。ASN.1は、構造化された情報、特に通信メディアを介して送受信される情報の記述に使用されます。ASN.1は、インターネット・プロトコルの仕様において幅広く使用されています。
アサーション
リソースにアクセスしようとしているサブジェクトについての情報を交換するために、セキュリティ・ドメインでプロバイダが使用する文。アイデンティティ・プロバイダとサービス・プロバイダはIDに関するアサーションを交換して認証および認可を決定し、リソースを保護するセキュリティ・ポリシーを有効にします。
認証
エンティティが主張しているIDを、その資格証明に基づいて検証するプロセス。ユーザーの認証は、一般的に、ユーザーが知っているか所持しているもの(パスワードや証明書など)に基づいて行われます。
電子メッセージの認証の場合は、特定のシステム(公開鍵暗号など)を使用して、ファイルまたはメッセージが主張しているとおりの個人または企業から間違いなく発信されたものであることを検証するプロセスや、メッセージの内容に基づくチェックを使用して、メッセージが配信中に変更されていないことを検証するプロセスが含まれます。
認証プラグイン
特定の認証方式の実装。Oracle Single Sign-OnのJavaプラグインは、パスワード認証、デジタル証明書、Windowsシステム固有の認証、およびサード・パーティのアクセス管理に対応しています。
認可
サービスまたはネットワーク・リソースへのアクセスを許可または拒否するプロセス。大半のセキュリティ・システムは、2ステップのプロセスを基本としています。最初のステップは認証で、ここでユーザーは自身のIDを証明します。2番目のステップは認可で、ここでユーザーは、各自のIDと定義済の認可ポリシーに基づいて各種リソースへのアクセスが許可されます。
認可ポリシー
認可ポリシーは、保護されたリソースに対するアクセスを制御する方法を決定します。ポリシーによって、IDおよびオブジェクトが、特定のシステム・モデルに従って一連の権限に対応付けられます。たとえば、認可ポリシーによって、営業部に属しているユーザーのみが販売レポートにアクセスできるなどが規定されます。
Basic認証
大半のブラウザによってサポートされる認証プロトコルです。Webサーバーでは、データ通信に使用するエンコード済のユーザー名とパスワードを使用してエンティティが認証されます。BASE64エンコーディングは自由に利用できるデコーディング・ユーティリティを使用して誰でもデコードできるため、Basic認証は平文認証と呼ばれることもあります。エンコーディングと暗号化は異なる点に注意してください。
基本エンコーディング規則
基本エンコーディング規則(BER)は、ASN.1で規定されたデータ単位をエンコードするための標準規則です。BERは誤ってASN.1とひとまとめにされることがありますが、ASN.1はエンコーディング技術ではなく抽象構文指定のみに適用されます。
バインディング
ネットワークの場合は、通信エンティティ間の論理的な接続の確立を意味します。
Oracle Internet Directoryでは、バインディングはディレクトリに対して認証を行うプロセスを表します。
SOAPメッセージを、相互に交換する目的で他のプロトコル(基礎となるプロトコル)内またはその上で伝送する、一定の形式に従った規則の組合せもバインディングと呼ばれます。
CA証明書
認証局は、自局が発行するすべての証明書を自身の秘密鍵で署名します。それに対応する認証局の公開鍵は、CA証明書(またはルート証明書)と呼ばれる証明書の中に含まれます。ブラウザは、CAの秘密鍵によって署名されたメッセージを信頼するには、信頼できるルート証明書リストの中にCA証明書を保持している必要があります。
キャッシュ
通常は、コンピュータ内部にある、高速にアクセス可能な一定量のメモリー領域のことを指します。ただし、Webでは、ブラウザがダウンロードしたファイルや画像を格納するコンピュータ上の場所を指すことが多いです。
証明書
公開鍵とその所有者のIDを関連付ける特別な形式のデータ構造。証明書は、認証局(CA)によって発行されます。証明書には、特定のエンティティの名前、シリアル番号、有効期限および公開鍵が含まれます。証明書は、それが本物であることを受信側が検証できるように、発行元のCAによってデジタル署名されます。大半のデジタル証明書は、X.509標準に準拠します。
認証局
デジタル証明書の発行、更新および失効を行う、信頼できる第三者機関。CAの基本的な役割はエンティティの識別情報を保証することで、申請者の検証を登録局(RA)に委任する場合もあります。広く一般に知られている認証局(CA)には、Digital Signature Trust、Thawte、VeriSignなどがあります。
暗号ブロック連鎖
ブロック暗号の操作モードの1つ。CBCでは、初期設定ベクトル(IV)と呼ばれる特定長のベクトル値が使用されます。CBCの最も重要な特性の1つは、連鎖メカニズムによって、特定の暗号文ブロックの復号化が、それよりも前のすべての暗号文ブロックに依存することにあります。結果として、1つ前の暗号文ブロックには、それよりも前のすべてのブロックの全体としての妥当性が含まれることになります。
暗号スイート
Secure Sockets Layer(SSL)において、ネットワークのノード間でメッセージ交換に使用される認証、暗号化およびデータ整合性アルゴリズムのセット。SSLハンドシェイク時に、2つのノード間で折衝し、メッセージを送受信するときに使用する暗号スイートを確認します。
トラスト・サークル
アイデンティティ・プロバイダとサービス・プロバイダのグループ内の信頼関係。このグループ内では、プリンシパルによりプロバイダとの商取引において1つのフェデレーテッドIDおよびシングル・サインオンの使用が認められています。
企業は、Liberty対応のテクノロジおよび企業間の信頼関係を定義する運用協定に基づいて、トラスト・サークルに加入し、フェデレーションまたはアフィリエーションを構成します。
「フェデレーション」、「Liberty Alliance」も参照してください。
コールド・フェイルオーバー・クラスタ
Oracle Application Serverコールド・フェイルオーバー・クラスタは高可用性ソリューションの一種で、この構成でOracle Application Server Infrastructureは通常、共有ストレージ・デバイスを持つ2ノードのハードウェア・クラスタにデプロイされます。ノードがアクティブ(「ホット」に)なるとは、そのノードでInfrastructureが実行されていることを示します。一方、「コールド」とは、ノードでInfrastructureが実行されていないことを意味します。アクティブなノードに障害が発生すると、クラスタウェアによりInfrastructureの動作が、それまで「コールド」だったノードに切り替えられ、そのノード上でInfrastructureが開始されます。
接続記述子
特別にフォーマットされた、ネットワーク接続のための宛先の記述。接続記述子には、宛先サービスとネットワーク・ルート情報が含まれます。宛先サービスを示すには、そのOracle Databaseに対応するサービス名、あるいはOracleリリース8.0またはバージョン7のデータベースに対応するOracleシステム識別子(SID)を使用します。ネットワーク・ルートは、少なくとも、ネットワーク・アドレスによってリスナーの場所を提供します。
暗号化アルゴリズム
判読可能なデータ(平文)を判読できないデータ(暗号文)に変換する、またはその逆を行うために定義された一連の処理手順。これらの変換には特別なシークレット情報が必要で、通常、それらは鍵に含まれます。暗号化アルゴリズムには、DES、AES、Blowfish、RSAなどがあります。
暗号化
情報を判読できない形式に変換することによって保護する処理。情報は、データを判読不能にする鍵を使用して暗号化され、情報が再度必要になったときに復号化されます。「公開鍵暗号」と「対称型暗号」も参照してください。
Data Encryption Standard
幅広く使用されている対称型暗号アルゴリズムで、1974年にIBM社によって開発されました。64ビットのデータ・ブロックごとに56ビットの鍵が適用されます。DESおよび3DESは、主にS/MIMEの暗号化アルゴリズムとして使用されます。
Diffie-Hellman
保護されていないチャネルで通信を行う二者間で共有シークレットを構築することを可能にする公開鍵暗号プロトコル。Diffie-Hellmanは1976年に公開され、使用可能になった最初の公開鍵暗号システムです。
「対称型アルゴリズム」も参照してください。
デジタル署名
デジタル署名は、特定のデータ・ブロックに対して2ステップのプロセスを適用して得られます。最初に、データにハッシュ関数を適用して結果を生成します。次に、その結果を署名者の秘密鍵を使用して暗号化します。デジタル署名は、データの整合性、メッセージ認証および否認防止を保証する目的で使用できます。デジタル署名アルゴリズムには、DSA、RSA、ECDSAなどがあります。
Digital Signature Algorithm
Digital Signature Standard(DSS)の一部として使用されている非対称型アルゴリズム。DSAは暗号化には使用できず、デジタル署名にのみ適用されます。このアルゴリズムは1組の大きな数を生成することで、署名者の認証と、結果として添付されているデータの整合性を保証します。DSAは、デジタル署名の生成と検証の両方に使用されます。
「Elliptic Curve Digital Signature Algorithm」も参照してください。
識別名
X.500識別名(DN)は、ディレクトリ・ツリー内のノードの一意名です。DNは、ユーザーまたはそれ以外のディレクトリ・エントリの一意名の作成に使用されます。DNは、ルート・ノードから特定のエントリのノードまでのパス上にある、ツリー内の各ノードから選択された属性の連結です。たとえば、LDAP表記規則では、米国のオラクル社に勤務するJohn Smithという名前のユーザーのDNは、cn=John Smith, ou=People, o=Oracle, c=usとなります。
Document Type Definition(DTD)
特定のXMLドキュメントで有効なタグおよびタグの順序に関する制約を指定するドキュメント。DTDは、XMLの親言語であるSimple Generalized Markup Language(SGML)の規則に準拠します。
ドメイン
あるプリンシパルがリソースを利用できるWebサイトおよびアプリケーション。フェデレーテッドID管理(FIM)では、フェデレートされたサイトはアイデンティティ・プロバイダ(ソース・ドメイン)、サービス・プロバイダ(ターゲット・ドメイン)またはその両方として機能します。
Elliptic Curve Cryptography
RSAにかわる暗号化システムで、大きな数の因数分解よりも楕円曲線の離散対数問題の解決の方が困難であることに基づいています。ECCは、Certicom社によって開発および商品化され、ワイヤレス・デバイスやPCカードのような、制限された演算能力の中で高速が要求される環境に特に適しています。ECCは、同じ鍵サイズ(ビット単位)であれば、RSAよりもセキュリティが高いです(鍵なしでの復号化がより困難です)。
Elliptic Curve Digital Signature Algorithm
Elliptic Curve Digital Signature Algorithm(ECDSA)は、Digital Signature Algorithm(DSA)標準の楕円曲線版です。RSA的な方式と比較したECDSAの利点は、鍵の長さが短く、署名と復号化が高速なことです。たとえば、160ビットのECC鍵は、1024ビットのRSA鍵に相当するセキュリティを実現します。210ビットのECC鍵は2048ビットのRSA鍵に相当し、セキュリティ・レベルが高くなるにつれて、この利点が顕著になります。
エンドツーエンド・セキュリティ
メッセージレベルのセキュリティによって実現される特性。ビジネス・エンティティ内およびビジネス・エンティティ間の複数のアプリケーションでメッセージが伝送処理されるときに、それらのあらゆる経路でメッセージがセキュアである場合に確立されます。
Enterprise JavaBeans
Sun社によって開発されたJava APIで、複数層からなるクライアント/サーバー・システムのコンポーネント・アーキテクチャを定義します。EJBシステムはJavaで記述されているため、プラットフォームに依存しません。オブジェクト指向に基づき、既存システムへの実装には、再コンパイルや構成をほとんどまたはまったく必要としません。
フェイルオーバー
障害を認識し、リカバリする処理。Oracle Application Serverコールド・フェイルオーバー・クラスタ(Identity Management)で、1つのクラスタ・ノード上で実行されているアプリケーションは、他のクラスタ・ノードに透過的に移行されます。この移行時に、クラスタ上のサービスにアクセスするクライアントは一時的に接続できず、フェイルオーバーが完了した後、再接続する必要がある場合があります。
Federal Information Processing Standards
米国商務省の標準技術局(National Institute of Standards and Technology: NIST)によって発行されている情報処理標準。
フェデレーテッドID管理
自律型ドメイン内でIDと資格をポータブルにするための協定、標準およびテクノロジ。FIMによって、複数ドメイン全体でユーザー認証が認識可能になり、認証済ユーザーが複数ドメイン内の個人向けサービスに参加可能になります。FIMは、複数のアカウント間でID情報をリンク可能にすることで、個人情報が一箇所に格納されることの危険性を回避します。フェデレーテッドIDには、信頼と標準という2つの主要なコンポーネントが必要です。フェデレーテッドID管理の信頼モデルは、トラスト・サークルに基づきます。標準は、Liberty Alliance Projectによって定義されます。
強制認証
事前設定した時間が経過してもユーザーがアイドル状態のままの場合に、ユーザーの再認証を強制することです。Oracle Single Sign-Onでは、グローバル・ユーザーに関して非アクティブのタイムアウトを指定できます。この機能は、機密情報を扱うアプリケーションを含むシステム向けです。
グローバル管理者
ホスティングされた環境では、アプリケーション・サービス・プロバイダなどの1企業が、他の複数の企業にOracleコンポーネントを使用可能にして、その情報を格納します。この種の環境では、グローバル管理者はディレクトリ全体にまたがるアクティビティを実行します。
Global Unique Identifier
エントリがディレクトリに追加されると、システムで生成され、エントリに挿入される識別子。マルチマスター・レプリケート環境で、DNではなくGUIDがエントリを一意に識別します。エントリのGUIDをユーザーが変更することはできません。
グローバル・ユーザーの非アクティビティ・タイムアウト
事前設定した時間が経過してもユーザーがアイドル状態のままの場合に、ユーザーを強制的に再認証する、Oracle Single Sign-Onのオプション機能。グローバル・ユーザーの非アクティブ・タイムアウトは、シングル・サインアウト・セッション・タイムアウトよりもかなり短いです。
ハッシュ
アルゴリズムを使用してテキスト文字列から生成される数値。ハッシュ値は、テキスト文字列より大幅に短くなります。ハッシュの数値は、セキュリティの目的とデータに対する高速アクセスの目的で使用します。
「ハッシュ関数」も参照してください。
ハッシュ関数
暗号化におけるハッシュ関数または一方向ハッシュ関数は、特定のデータ・ブロックに適用されるアルゴリズムを意味します。ハッシュ関数の結果は、特定のデータ・ブロックの整合性を保証する目的で使用できます。ハッシュ関数が安全であるためには、既知のデータ・ブロックと既知の結果を与えられたときに、同じ結果となる別のデータ・ブロックを作成することがきわめて困難である必要があります。
Hashed Message Authentication Code
ハッシュ関数の1つの技法で、秘密のハッシュ関数結果の作成に使用されます。HMACは、MD5やSHAなどの既存のハッシュ関数を強化します。また、Transport Layer Security(TLS)で使用されます。
HTTP
Hyper Text Transfer Protocolの略称。Webブラウザとサーバー間でドキュメントのリクエストとその内容の転送に使用されるプロトコル。この仕様は、World Wide Web Consortiumによって維持および開発されます。
iASAdmins
Oracle Application Serverのユーザーとグループの管理機能を担当する管理グループ。Oracle Single Sign-On管理者はグループiASAdminsのメンバーです。
アイデンティティ・フェデレーション
あるトラスト・サークル内の1つ以上のアイデンティティ・プロバイダまたはサービス・プロバイダでプリンシパルが保持する可能性がある複数のアカウントのリンク。
ユーザーが複数のビジネスに対して持っている、相互に独立している個別のアカウント(ローカルID)をフェデレートすると、2つのエンティティ間にリレーションシップ(任意の数のアイデンティティ・プロバイダとサービス・プロバイダで構成される関連付け)が作成されます。
ID管理
組織でネットワーク・エンティティのセキュリティ・ライフ・サイクル全体を管理するプロセス。通常、組織のアプリケーション・ユーザーの管理を指します。セキュリティ・ライフ・サイクルの手順には、アカウント作成、一時停止、権限変更およびアカウント削除が含まれます。管理されるネットワーク・エンティティには、デバイス、プロセス、アプリケーション、またはネットワーク環境で対話する必要があるその他のすべてのものが含まれます。アイデンティティ管理プロセスで管理されるエンティティには、組織外のユーザー(顧客、取引先、Webサービスなど)も含まれます。
アイデンティティ・プロバイダ
Oracle Identity Federationでサポートされているアイデンティティ・フェデレーション・プロトコルに定義された3つの主要な役割の1つ。(残りの2つは、サービス・プロバイダおよびプリンシパル。)アイデンティティ・プロバイダは、あるトラスト・サークル内にある一連のIDを管理および認証します。
サービス・プロバイダ(SAMLのリライング・パーティ)は、プリンシパルのIDのアイデンティティ・プロバイダ認証に基づいて、サービスまたは商品をプリンシパルに提供します。
アイデンティティ・プロバイダは、他のサービス・プロバイダと連携するためのビジネス・インセンティブを提供するサービス・プロバイダ。通常、アイデンティティ・プロバイダがプリンシパルのIDを認証およびアサートします。
インポート・エージェント
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryにデータをインポートするエージェント。
インフラストラクチャ層
ID管理を行うOracle Application Serverのコンポーネント。すなわち、Oracle Single Sign-On、Oracle Delegated Administration ServicesおよびOracle Internet Directoryです。
Internet Engineering Task Force
新しいインターネット標準仕様の開発に従事する主要機関。インターネット・アーキテクチャおよびインターネットの円滑な操作の発展に関わるネットワーク設計者、運営者、ベンダーおよび研究者による国際的な団体です。
Internet Message Access Protocol
プロトコルの一種。クライアントは、このプロトコルを使用して、サーバー上の電子メール・メッセージに対するアクセスおよび操作を行います。リモートのメッセージ・フォルダ(メールボックスとも呼ばれる)を、ローカルのメールボックスと機能的に同じ方法で操作できます。
Java 2 Platform, Enterprise Edition
Sun社によって定義された、エンタープライズ・アプリケーションを開発および配置するための環境。J2EEプラットフォームは、複数層にわたるWebベース・アプリケーションを開発する機能を提供するサービス、Application Program Interface(API)およびプロトコルのセットで構成されます。
JavaServer Pages
JavaServer Pages(JSP)はサーバー側のテクノロジで、Sun社によって開発されたJavaサーブレット・テクノロジに対する拡張です。JSPには、HTMLコードと連携して動作する動的なスクリプティング機能があり、それによってページ・ロジックが静的要素(ページの設計と表示)から分離されます。Javaソース・コードとその拡張機能がHTMLページに埋め込まれることで、HTMLがより機能的になり、データベースへの動的な問合せなどに使用されます。
キー
特定のデータ・ブロックの暗号化と復号化の成功に必要なシークレット情報を含むデータ構造。鍵のサイズが大きくなるにつれて、暗号化されたデータ・ブロックのクラッキングは困難になります。たとえば、256ビットの鍵は128ビットの鍵よりも安全です。
待機時間
指定したディレクトリ操作が完了するまでのクライアントの待機時間。待機時間は、空費時間として定義される場合があります。ネットワーク通信では、待機時間は、ソースから宛先へパケットが移動する時間として定義されます。
LDAP Data Interchange Format
システム間でディレクトリ・データを交換するためのテキストベースの共通フォーマット。LDAPコマンドライン・ユーティリティに使用する入力ファイルをフォーマットするための一連の規格です。
Liberty Alliance
Liberty Alliance Projectは、世界中の企業、非営利団体および非政府機関からなるコンソーシアムです。このコンソーシアムは、現在および将来のネットワーク・デバイスをサポートする、フェデレーテッドID管理(FIM)およびIDベースのWebサービスの、オープン規格の開発に従事しています。
Lightweight Directory Access Protocol
ディレクトリ内の情報にアクセスするための1組のプロトコル。LDAPでは、あらゆるタイプのインターネット・アクセスに必要なTCP/IPがサポートされます。また、その設計規則のフレームワークによって、Oracle Internet Directoryなどの業界標準のディレクトリ製品がサポートされます。これはX.500標準の簡易版であるため、LDAPはX.500 Lightと呼ばれることもあります。
ロード・バランサ
複数のサーバー間の接続リクエスト数を平均化するハードウェア・デバイスおよびソフトウェア。BigIP、AlteonまたはLocal Directorはよく使用されるハードウェア・デバイスです。ロード・バランシング・ソフトウェアの例にはOracle Web Cacheがあります。
論理ホスト
Oracle Application Serverのコールド・フェイルオーバー・クラスタ(Identity Management)における、1つ以上のディスク・グループおよびホスト名とIPアドレスのペア。論理ホストは、クラスタ内の物理ホストにマップされます。この物理ホストは、論理ホストのホスト名とIPアドレスを使用します。
介在者
第三者によるメッセージの不正傍受などのセキュリティ攻撃。第三者、つまり介在者は、メッセージを復号化して再暗号化し(元のメッセージを変更する場合と変更しない場合があります)、元のメッセージの宛先である受信者に転送します。これらの処理はすべて、正当な送受信者が気付かないうちに行われます。この種のセキュリティ攻撃は、認証が行われていない場合にのみ発生します。
マッピング・ルール・ファイル
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryの属性と接続ディレクトリの属性のマッピングを指定するファイル。
MD2
Message Digest Twoの略称。メッセージ・ダイジェストを作成するハッシュ関数。このアルゴリズムは入力テキストを処理し、元のメッセージに対して固有でデータの整合性検証に使用できる128ビットのメッセージ・ダイジェストを作成します。MD2は、RSA Security社のRon Rivest氏によって開発され、スマート・カードなどの、メモリーが限られるシステムでの使用が意図されています。
MD5
Message Digest Fiveの略称。メッセージ・ダイジェストを作成するハッシュ関数。このアルゴリズムは入力テキストを処理し、元のメッセージに対して固有でデータの整合性検証に使用できる128ビットのメッセージ・ダイジェストを作成します。MD5は、MD4の潜在的な脆弱さが報告された後、Ron Rivest氏によって開発されました。MD5はMD4と類似しますが、元のデータに対してより多くの処理を行うため速度は遅くなります。
メッセージ認証コード
メッセージ認証コード(MAC)は、特定のデータ・ブロックに対して2ステップのプロセスを適用して得られます。最初に、ハッシュ関数の結果を取得します。次に、その結果を秘密鍵を使用して暗号化します。MACは、特定のデータ・ブロックのソースの認証に使用できます。
メタディレクトリ
企業のすべてのディレクトリ間で情報を共有するディレクトリ・ソリューション。すべてのディレクトリを1つの仮想ディレクトリに統合します。集中的に管理できるため、管理コストを削減できます。ディレクトリ間でデータが同期化されるため、企業内のデータに一貫性があり最新であることが保証されます。
中間層
Oracle HTTP ServerおよびOC4Jで構成されるOracle Single Sign-Onインスタンスの部分。Oracle Single Sign-On中間層は、アイデンティティ管理インフラストラクチャ・データベースとクライアントの間に位置します。
mod_osso
Oracle HTTP Server上のモジュール。これにより、ユーザーが一度Oracle Single Sign-Onサーバーにログインすると、Oracle Single Sign-Onで保護されるアプリケーションがユーザー名とパスワードのかわりにHTTPヘッダーを受け取ることができます。これらのヘッダーの値は、mod_osso Cookieに格納されます。
mod_osso Cookie
HTTP Serverに格納されるユーザー・データ。Cookieはユーザーの認証時に作成されます。同じユーザーが別のアプリケーションをリクエストした場合、Webサーバーはmod_osso Cookieの情報を使用してアプリケーションにユーザーをログインさせます。この機能によって、サーバーのレスポンス時間が短縮されます。
mod_proxy
Oracle HTTP Serverのモジュール。これにより、mod_ossoを使用して、レガシー・アプリケーションまたは外部アプリケーションへのシングル・サインオンを有効にできます。
マルチマスター・レプリケーション
peer-to-peer またはn-wayレプリケーションとも呼ばれます。同等に機能する複数のサイトが、レプリケートされたデータのグループを管理できるようにするレプリケーションのタイプ。マルチマスター・レプリケーション環境では、各ノードはサプライヤ・ノードであると同時にコンシューマ・ノードであり、各ノードでディレクトリ全体がレプリケートされます。
ネーミング属性
Oracle Delegated Administration ServicesまたはOracle Internet Directory Java APIを使用して作成した新規ユーザー・エントリの相対識別名(RDN)を構成するために使用する属性。この属性のデフォルト値はcnです。
ニックネーム属性
ディレクトリ全体のユーザーを一意に識別するために使用する属性。この属性のデフォルト値はuidです。アプリケーションでは、この属性を使用して単純なユーザー名が完全な識別名に変換されます。ユーザー・ニックネーム属性を複数値にはできません。つまり、ユーザーは同じ属性名で複数のニックネームを保持することはできません。
OASIS
Organization for the Advancement of Structured Information Standardsの略称。E-Business標準の開発、策定および採用を推進する国際的な非営利組織です。
オブジェクト・クラス
LDAPにおいて、情報のグループ化に使用されます。通常、オブジェクト・クラスは、従業員やサーバーなどの実社会の事物をモデル化します。各ディレクトリ・エントリは、1つ以上のオブジェクト・クラスに属します。オブジェクト・クラスは、エントリを構成する属性を決定します。オブジェクト・クラスは別のオブジェクト・クラスから導出でき、結果として、他のクラスの特性が継承されます。
OIDモニター
Oracle Internet Directoryサーバー・プロセスの開始、監視および終了を実行するOracle Internet Directoryのコンポーネント。レプリケーション・サーバー(インストールされている場合)およびOracle Directory Integration and Provisioning Serverの制御も行います。
Online Certificate Status Protocol
デジタル証明書の有効性確認において、広く使用されている2つの方式のうちの1つ。もう1つの方式の証明書失効リスト(CRL)はOCSPよりも古く、使用シナリオによってはOCSPに置き換えられています。OCSP仕様はRFC 2560で規定されています。
Oracle Application Server Single Sign-On
Oracle Single Sign-Onは、ユーザーがアプリケーション(経費報告書、メール、給付金など)に安全にログインできるようにするプログラム・ロジックで構成されます。これらのアプリケーションには、パートナ・アプリケーションと外部アプリケーションの2つの形態があります。どちらの場合も、一度認証されると複数のアプリケーションへのアクセスが可能になります。
Oracle Call Interface
Application Program Interface(API)の1つ。これにより、第三世代言語のネイティブ・プロシージャやファンクション・コールを使用して、Oracle Databaseサーバーにアクセスし、SQL文の実行のすべての段階を制御するアプリケーションを作成できます。
Oracle Certificate Authority
Oracle Application Server環境内で使用される認証局(CA)。OracleAS Certificate AuthorityはOracle Internet Directoryを証明書のストレージ・リポジトリとして使用します。OracleAS Certificate AuthorityのOracle Single Sign-OnおよびOracle Internet Directoryとの統合により、透過的な証明書プロビジョニング・メカニズムが、これらを使用するアプリケーションに提供されます。Oracle Internet Directoryでプロビジョニングされ、Oracle Single Sign-Onで認証されたユーザーは、OracleAS Certificate Authorityへのデジタル証明書のリクエストを選択できます。
Oracle CMS
IETF Cryptographic Message Syntax(CMS)プロトコルのオラクル社による実装。CMSは、セキュアなメッセージ・エンベロープを実現するデータ保護方式を定義します。
Oracle Delegated Administration Service
Oracle Delegated Administration Servicesユニットと呼ばれる個々の事前定義済サービスのセットで、ユーザーのかわりにディレクトリ操作を実行します。Oracle Internet Directoryセルフ・サービス・コンソールによって、Oracle Internet Directoryを使用するOracleアプリケーションおよびサード・パーティ・アプリケーションの両方の管理ソリューションを容易に開発および配布できます。
Oracle Directory Integration and Provisioning
インタフェースとサービスの集合で、Oracle Internet Directoryといくつかの関係するプラグインやコネクタを使用して複数のディレクトリを統合します。外部のユーザー・リポジトリが使用されている場合に、そこからOracle製品への認証を可能にするOracle Internet Directoryの機能です。
Oracle Directory Manager
Oracle Internet Directoryを管理するための、Graphical User Interface(GUI)を備えたJavaベースのツール。
Oracle Enterprise Manager
別個のOracle製品で、Oracle製品群を管理するための統合的、包括的なシステム管理プラットフォームを提供するために、グラフィカル・コンソール、エージェント、共通サービスおよびツール類を統合します。
Oracle HTTP Server
Hypertext Transfer Protocol(HTTP)を使用する、Webトランザクションを処理するソフトウェア。オラクル社では、Apache Groupが開発したHTTPソフトウェアを使用します。
Oracle Identity Management
インフラストラクチャ対応のデプロイメントにより、すべての企業IDと、それらによる企業内の各種アプリケーションへのアクセスを集中的、かつ安全に管理します。
Oracle Internet Directory
分散ユーザーやネットワーク・リソースに関する情報の検索を可能にする、一般的な用途のディレクトリ・サービス。Lightweight Directory Access Protocol(LDAP)バージョン3と、Oracleデータベースの高度なパフォーマンス、スケーラビリティ、耐久性および可用性を組み合せたもの。
Oracle Liberty SDK
Liberty Alliance Project仕様のオラクル社による実装。サード・パーティ製のLiberty準拠アプリケーション間で、フェデレーテッド・シングル・サインオンを可能にします。
Oracle Net Services
Oracleのネットワーク製品ファミリの基礎。Oracle Net Servicesを使用すると、サービスやアプリケーションを異なるコンピュータに配置して通信できます。Oracle Net Servicesの主な機能には、ネットワーク・セッションの確立およびクライアント・アプリケーションとサーバー間のデータ転送があります。Oracle Net Servicesは、ネットワーク上の各コンピュータに配置されます。ネットワーク・セッションの確立後、Oracle Net Servicesはクライアントとサーバーのためのデータ伝達手段として機能します。
Oracle SAML
異種システムおよびアプリケーション間でセキュリティ資格証明を、XMLベースのフォーマットで交換するためのフレームワークを提供します。Security Assertions Markup Language(SAML)に関するOASIS仕様に基づきます。
Oracle Security Engine
X.509ベースの証明書管理機能を組み込んだ、Oracle Cryptoの拡張。Oracle Security Engineは、Oracle Cryptoのスーパーセットです。
Oracle S/MIME
Internet Engineering Task Force(IETF)が発行するセキュアな電子メールに関するSecure/Multipurpose Internet Mail Extension(S/MIME)仕様のオラクル社による実装。
Oracle Universal Federation Framework
フェデレーション標準に準拠したクロス・ドメイン・シングル・サインオンのあらゆるマルチベンダー環境への迅速なデプロイを実現する、拡張可能でカスタマイズ可能な統一されたアーキテクチャー。
このフレームワークは、多岐わたるカスタマイズ機能を提供します。詳細は、第III部「Oracle Universal Federation Framework」を参照してください。
Oracle Wallet Manager
セキュリティ管理者が、クライアントとサーバー上での公開鍵セキュリティ資格証明の管理に使用するJavaベースのアプリケーション。
関連資料:『Oracle Database Advanced Security管理者ガイド』
Oracle Web Services Security
既存のセキュリティ・テクノロジを使用して認証および認可を行うためのフレームワークを提供します。Webサービス・セキュリティに関するOASIS仕様に基づきます。
OracleAS Portal
ファイル、イメージ、アプリケーションおよびWebサイトを統合するメカニズムを提供する、Oracle Single Sign-Onのパートナ・アプリケーション。外部アプリケーション・ポートレットにより、外部アプリケーションにアクセスできます。
パートナ・アプリケーション
認証機能をOracle Single Sign-Onサーバーに委任する、Oracle Application ServerアプリケーションまたはOracle以外のアプリケーション。このようなアプリケーションでは、mod_ossoヘッダーを受け取るので、ユーザーを再認証する必要がありません。
peer-to-peerレプリケーション
マルチマスター・レプリケーションまたはn-wayレプリケーションとも呼ばれます。同等に機能する複数サイトがレプリケートされたデータのグループを管理できるようにするレプリケーションのタイプです。このようなレプリケーション環境では、各ノードはサプライヤ・ノードであると同時にコンシューマ・ノードであり、各ノードでディレクトリ全体がレプリケートされます。
PKCS#1
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様です。PKCS#1は、RSAアルゴリズムをベースとした公開鍵暗号の実装に関する推奨事項を定めています。この内容には、暗号化の基本から、暗号化方式、署名方式、鍵の表記や各種方式の識別に使用するASN.1構文までが含まれます。
PKCS#7
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS #7は、デジタル署名やデジタル・エンベロープなどの、暗号化が適用されるデータに関する汎用構文を定めています。
PKCS#8
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS #8は、公開鍵と秘密鍵の対応付けアルゴリズムや一連の属性などの、秘密鍵情報に関する構文を定めています。この標準は、暗号化された秘密鍵に関する構文も定めています。
PKCS#10
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS #10は、公開鍵、名前および一連の可能な属性の証明リクエストに関する構文を定めています。
PKCS#12
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS #12は、個人の識別情報(秘密鍵、証明書、その他の秘密情報、拡張項目など)の伝送に関する構文を定めています。この標準をサポートするシステム(ブラウザやオペレーティング・システムなど)を使用するユーザーは、主にウォレットと呼ばれるフォーマットによって、1組の個人用ID情報をインポート、エクスポートおよび利用できます。
point-to-pointレプリケーション
ファンアウト・レプリケーションとも呼ばれます。サプライヤがコンシューマに直接レプリケートするレプリケーションのタイプ。コンシューマは1つ以上の他のコンシューマにレプリケートできます。レプリケーションには、完全レプリケーションと部分レプリケーションがあります。
ポリシーの優先順位
Oracle Application Server Certificate Authority(OCA)では、メイン・ポリシー・ページに表示されている順番で、ポリシーが受信リクエストに適用されます。OCAポリシー・プロセッサ・モジュールがポリシーを解析する際、ポリシー・リストの上部にあるポリシーが最初にリクエストに適用されます。ポリシー・リストの下部にあるポリシーは最後に適用され、他のポリシーよりも優先されます。有効なポリシーのみが受信リクエストに適用されます。
policy.properties
シングル・サインオン・サーバーで必要な基本パラメータを含む、Oracle Single Sign-Onのための汎用構成ファイル。Oracle Single Sign-Onの高度な機能(マルチレベル認証など)の構成にも使用されます。
POSIX
Portable Operating System Interface for UNIXの略称。アプリケーションのソース・コードの記述方法を決めることで、異なるオペレーティング・システム間でのアプリケーションの移植を可能にするプログラミング・インタフェース標準のセットです。この標準セットは、Internet Engineering Task Force(IETF)によって開発されています。
条件
Oracle Application Server Certificate Authority(OCA)において、ポリシー述語はポリシーに適用可能な論理式で、着信証明書リクエストまたは失効に対するポリシーの適用方法を制限します。たとえば、次の述語式によって、表示されたポリシーでは、ou=sales,o=acme,c=usが含まれたDNを持つクライアントからのリクエストまたは失効に対して異なる影響を与えることを指定します。
Type=="client" AND DN=="ou=sales,o=acme,c=us"
プライマリ・ノード
Oracle Application Serverコールド・フェイルオーバー・クラスタ(Identity Management)で、指定した時間にアプリケーションが実行されるクラスタ・ノード。
「セカンダリ・ノード」も参照してください。
秘密鍵
公開鍵暗号で使用される公開鍵と秘密鍵のペアにおいて、秘密にされる鍵。エンティティは自身の秘密鍵を使用して、公開鍵によって暗号化されたデータを復号化します。また、エンティティは秘密鍵を使用して、デジタル署名を作成することもできます。エンティティの公開鍵で暗号化されたデータと秘密鍵で作成された署名のセキュリティはどちらも、秘密鍵の秘密が守られることを前提とします。
プロビジョニング・アプリケーション
ユーザーおよびグループの情報がOracle Internet Directoryに一元化される環境にあるアプリケーション。これらのアプリケーションは、一般的にOracle Internet Directory内の該当する情報に対する変更に関心があります。
プロキシ・サーバー
Webブラウザなどのクライアント・アプリケーションと実サーバーの間にあるサーバー。プロキシ・サーバーは、実サーバーに対するすべてのリクエストを代理受信して、自分がそのリクエストを処理できるかどうかを調べます。処理できない場合、リクエストは実サーバーに転送されます。Oracle Single Sign-Onでは、プロキシは、ロード・バランシング目的とセキュリティ対策用の追加層として使用されます。
「ロード・バランサ」も参照してください。
プロキシ・ユーザー
通常、ファイアウォールなどの中間層を備えた環境で利用されるユーザー。このような環境では、エンド・ユーザーは中間層を認証します。この結果、中間層はエンド・ユーザーにかわってディレクトリにログインします。プロキシ・ユーザーにはアイデンティティを切り替える権限があり、1度ディレクトリにログインすると、エンド・ユーザーのアイデンティティに切り替えます。次に、その特定のエンド・ユーザーに付与されている認可を使用して、エンド・ユーザーのかわりに操作を実行します。
公開鍵
公開鍵暗号で使用される公開鍵と秘密鍵のペアにおいて、一般に公開される鍵。エンティティは、公開鍵を使用してデータを暗号化します。そのデータは、公開鍵の所有者のみが、対応する秘密鍵を使用して復号化できます。公開鍵は、対応する秘密鍵で作成されたデジタル署名の検証にも使用できます。
公開鍵暗号化
公開鍵暗号(非対称型暗号とも呼ばれます)では、公開鍵と秘密鍵の2つの鍵が使用されます。これらの鍵は、鍵のペアと呼ばれます。秘密鍵は秘密にしておく必要がありますが、公開鍵は任意のパーティに送信できます。秘密鍵と公開鍵は、数学的に関連付けられています。秘密鍵によって署名されたメッセージは、対応する公開鍵によって検証できます。同様に、公開鍵によって暗号化されたメッセージは、対応する秘密鍵によって復号化できます。秘密鍵の所有者のみがメッセージを復号化できるため、この方式によって機密保護が保証されます。
公開鍵インフラストラクチャ
公開鍵と秘密鍵の発行、配布および認証を管理するシステム。通常、PKIは次のコンポーネントによって構成されます。
認証局(CA): デジタル証明書の生成、発行、公開および失効に責任を持ちます。
登録局(RA): CAに対する証明書リクエストに記載されている情報の検証に責任を持ちます。
ディレクトリ・サービス: CAによって証明書または証明書失効リスト(CRL)が公開される場所。このシステムに依存する第三者は、ここでそれらを取得できます。
依存する第三者: デジタル署名の検証とデータの暗号化に、CAによって発行された証明書と、それに含まれる公開鍵を使用するエンティティ。
公開鍵と秘密鍵のペア
数学的に関連付けられた2つの数字のセット。1つは秘密鍵、もう1つは公開鍵と呼ばれます公開鍵は通常広く使用可能であるのに対して、秘密鍵はその所有者のみ使用可能です。公開鍵で暗号化されたデータは、それに関連付けられた秘密鍵でのみ復号化でき、秘密鍵で暗号化されたデータは、それに関連付けられた公開鍵でのみ復号化できます。公開鍵で暗号化されたデータを、同じ公開鍵で復号化することはできません。
RC2
Rivest Cipher Twoの略称。RSA Security社のRonald Rivest氏によって開発された64ビット・ブロック暗号で、データ暗号化規格(DES)に置き換える目的で設計されました。
RC4
Rivest Cipher Fourの略称。RSA Security社のRonald Rivest氏によって開発されたストリーム暗号。RC4では、最大1024ビットの可変長の鍵を使用できます。RC4は、Secure Sockets Layer(SSL)プロトコルを使用するWebサイト間で通信を暗号化することによってデータ伝送を保護する際に、最も幅広く使用されています。
登録局
登録局(RA)は、認証局(CA)によって証明書が発行される前のユーザーの検証と登録に責任を持ちます。RAは、各申請者に対して、新しく適用される証明書の相対識別値または相対識別名を割り当てます。RAは、証明書の署名および発行は行いません。
リレーショナル・データベース
構造化されたデータの集合。同一の列のセットを持つ1つ以上の行で構成される表にデータが格納されます。Oracleでは、複数の表のデータを容易にリンクできます。このため、Oracleはリレーショナル・データベース管理システム、つまりRDBMSと呼ばれます。Oracleはデータを複数の表に格納し、さらに表間の関係を定義できます。このリンクは両方の表に共通する1つ以上のフィールドに基づいて行われます。
関連識別名
ローカルの、最も細かいレベルのエントリ名。エントリのアドレスを一意に識別するために使用される他の修飾エントリ名は含まれません。たとえば、cn=Smith,o=acme,c=USでは、cn=Smithが相対識別名です。
RFC
Internet Request For Comments(RFC)文書は、インターネットのプロトコルとポリシーについて記述された定義です。Internet Engineering Task Force(IETF)が、新しい規格の議論、開発および制定を促進します。規格は、RFCという頭字語と参照番号を使用して発表されます。たとえば、電子メールの公式規格はRFC 822です。
ルートOracleコンテキスト
Oracle Identity Managementインフラストラクチャでは、ルートOracleコンテキストは、インフラストラクチャのデフォルトアイデンティティ管理レルムへのポインタを含むOracle Internet Directoryのエントリです。単純な名前を指定してアイデンティティ管理レルムの位置を特定する方法の詳細も含まれます。
RSA
公開鍵暗号アルゴリズムの名前で、その考案者(Rivest、ShamirおよびAdelmanの3氏)から名付けられました。RSAアルゴリズムは、最も幅広く使用されている暗号化/認証アルゴリズムで、Netscape社およびMicrosoft社のWebブラウザや、他の多くの製品の一部として組み込まれています。
RSAES-OAEP
RSA Encryption Scheme - Optimal Asymmetric Encryption Padding(RSAES-OAEP)は、RSAアルゴリズムとOAEP方法を組み合せた公開鍵暗号化スキーム。Optimal Asymmetric Encryption Padding(OAEP)は、Mihir BellareおよびPhil Rogawayによって開発されたメッセージのエンコーディング方法です。
セカンダリ・ノード
Oracle Application Serverコールド・フェイルオーバー・クラスタ(Identity Management)で、フェイルオーバー中にアプリケーションの移動先となるクラスタ・ノード。
「プライマリ・ノード」も参照してください。
秘密鍵
対称型アルゴリズムで使用される鍵。秘密鍵は暗号化と復号化の両方に使用されるため、暗号文を相互に送受信するパーティ間で共有される必要がありますが、許可されていないすべてのエンティティに対しては秘密が維持される必要があります。
Secure Hash Algorithm
入力に基づいて160ビットのメッセージ・ダイジェストを生成するハッシュ関数アルゴリズム。このアルゴリズムは、Digital Signature Standard(DSS)で使用されています。128、192、256ビットの3通りの鍵サイズを提供するAdvanced Encryption Standard(AES)の導入によって、それらに対応する同レベルのセキュリティを持つハッシュ・アルゴリズムが必要となっています。より新しいSHA-256、SHA-284およびSHA-512ハッシュ・アルゴリズムは、これらの拡張要件を満たしています。
Secure Sockets Layer (SSL)
ネットワーク(インターネットなど)経由での暗号化および認証された通信を実現するために、Netscape社によって設計されたプロトコル。SSLでは、RSA社の公開鍵暗号システムが使用され、デジタル証明書の使用も組み込まれています。SSLでは、セキュアな通信の3要素である機密保護、認証および整合性が実現されます。
SSLが発展したものがTransport Layer Security(TLS)です。TLSとSSLは相互運用できません。ただし、TLSを使用して送信されたメッセージはSSLを扱うクライアントで処理できます。
Secure/Multipurpose Internet Mail Extension
デジタル署名と暗号化を使用したMIMEデータの保護に関するInternet Engineering Task Force(IETF)の標準。
Security Assertions Markup Language
インターネット経由でセキュリティ情報を交換するためのXMLベースのフレームワーク。SAMLは、他の方法では相互運用できない可能性があるアイデンティティ・プロバイダとサービス・プロバイダの間で、認証および認可情報の交換を可能にします。SAML 1.0仕様は2002年にOASISに採用されました。
サーバー証明書
セキュアなWebサーバーを使用してデータを提供する組織のIDが真正であることを証明する証明書。サーバー証明書は、相互に信頼できる認証局(CA)によって発行された公開鍵と秘密鍵のペアに関連付けられる必要があります。サーバー証明書は、ブラウザとWebサーバー間のセキュアな通信に必須です。
サービス・プロバイダ
トラスト・サークルのメンバーによって、Webベースのサービスをユーザーに提供するエンティティとして認識されている組織。サービス・プロバイダは他のサービス・プロバイダおよびアイデンティティ・プロバイダと連携して、関連するユーザーにフェデレーション内の全パーティに対するセキュアなシングル・サインオンを提供するという目標を実現します。
共有サーバー
サポートされるユーザー数を増やすために、多数のユーザー・プロセスがごく少数のサーバー・プロセスを共有できるように構成されたサーバー。共有サーバー構成では、多数のユーザー・プロセスがディスパッチャに接続します。ディスパッチャは、複数の着信ネットワーク・セッション要求を共通キューに送ります。サーバー・プロセスの共有プールの中のアイドル状態の共有サーバー・プロセスは、共通キューから要求を取り出します。つまり、サーバー・プロセスのプールが小さくても、多数のクライアントにサービスを提供できます。専用サーバーと対比される機能です。
簡易認証
ネットワークでの送信時に暗号化されない識別名とパスワードを使用して、クライアントがサーバーに対して自己認証を行うプロセス。簡易認証オプションでは、クライアントが送信した識別名とパスワードと、ディレクトリに格納されている識別名とパスワードが一致していることをサーバーが検証します。
Simple Authentication and Security Layer
接続ベースのプロトコルに認証サポートを追加する方法。この仕様を使用するために、プロトコルには、ユーザーを識別してサーバーに対して認証を行い、オプションで、以降のプロトコル対話に使用するセキュリティ・レイヤーを規定するコマンドが含まれます。このコマンドには、SASL方式を識別する必須引数があります。
シングル・サインオフ
Oracle Single Sign-Onセッションを終了し、すべてのアクティブなパートナ・アプリケーションから同時にログアウトするプロセス。操作しているアプリケーションからログアウトするとシングル・サインオフを実行できます。
Single Sign-On SDK
Oracle Single Sign-Onのパートナ・アプリケーションをシングル・サインオン対応にするレガシーAPI。このSDKは、PL/SQLおよびJava APIと、これらのAPIの実装方法を示すサンプル・コードで構成されます。このSDKは現在は使用不可で、かわりにmod_ossoが使用されます。
SOAP
Simple Object Access Protocolの略称。インターネットを介したシステム間でHTTPを使用してメッセージを交換するためのフレームワークを定義する、XMLベースのプロトコル。SOAPメッセージは、メッセージとその処理方法を指定するエンベロープ、アプリケーション定義データ型のインスタンスを表す一連のエンコーディング規則、およびリモート・プロシージャ・コールとレスポンスを表すための規約、という3つの部分から構成されます。
特定管理領域
次の3つの側面を制御する管理領域。
サブスキーマ管理
アクセス制御管理
共通属性管理
特定管理領域では、この3つの管理側面のうち1つが制御されます。特定管理領域は、自律型管理領域の一部です。
ストリーム暗号
対称型アルゴリズムの一種。ストリーム暗号では、一度に1ビットや1バイトという小さな単位で暗号化され、特定形式のフィードバック・メカニズムの実装によって鍵が絶えず変更されます。RC4はストリーム暗号の例です。
サブエントリ
サブツリー内のエントリ・グループに適用可能な情報が含まれているエントリのタイプ。情報には次の3つのタイプがあります。
アクセス制御ポリシー・ポイント
スキーマ規則
共通属性
サブエントリは、管理領域のルートのすぐ下に位置しています。
サブツリー
ディレクトリ階層(ディレクトリ情報ツリーとも呼ばれます)の中の1つのセクション。通常、サブツリーは特定のディレクトリ・ノードから始まり、ディレクトリ階層内でそのノードよりも下位にあるすべてのサブディレクトリとオブジェクトが含まれます。
サブタイプ
オプションを持たない同じ属性に対して、1つ以上のオプションを持つ属性。たとえば、American Englishをオプションとして持つcommonName(cn)属性は、そのオプションを持たないcommonName(cn)属性のサブタイプです。逆に、オプションを持たないcommonName(cn)属性は、オプションを持つ同じ属性のスーパータイプです。
スーパークラス
別のオブジェクト・クラスの導出元のオブジェクト・クラス。たとえば、オブジェクト・クラスpersonは、オブジェクト・クラスorganizationalPersonのスーパークラスです。後者のorganizationalPersonは、personのサブクラスであり、personに含まれている属性を継承します。
上位参照
ディレクトリ情報ツリー内(DIT)で、参照先のディレクトリ・システム・エージェント(DSA)が保持しているすべてのネーミング・コンテキストより上位のネーミング・コンテキストを保持しているDSAを上位方向に指し示すナレッジ参照してください。
スーパータイプ
1つ以上のオプションを持つ同じ属性に対して、オプションを持たない属性。たとえば、オプションを持たないcommonName(cn)属性は、オプションを持つ同じ属性のスーパータイプです。逆に、American Englishをオプションとして持つcommonName(cn)属性は、そのオプションを持たないcommonName(cn)属性のサブタイプです。
対称型暗号
共有秘密暗号とも呼ばれる、データの暗号化と復号化に同じ鍵を使用するシステム。対称型暗号の課題は、送信者と受信者が秘密鍵を合意する手段の安全性を保証することです。転送中の秘密鍵が第三者によって傍受された場合、傍受者はその秘密鍵を使用することで、その鍵によって暗号化されたすべてのデータを復号できるようになります。通常、対称型暗号は非対称型暗号よりも高速で、大量のデータ交換が必要なときに使用されることが多いです。対称型暗号のアルゴリズムには、DES、RC2、RC4などがあります。
システム・グローバル領域
共有メモリー構造の1グループ。1つのOracleデータベース・インスタンスに関するデータと制御情報が含まれています。複数のユーザーが同じインスタンスに同時に接続した場合、そのインスタンスのSGA内のデータはユーザー間で共有されます。したがって、SGAは共有グローバル領域と呼ばれることもあります。バックグラウンド・プロセスとメモリー・バッファの組合せは、Oracleインスタンスと呼ばれます。
システム処理属性
ディレクトリ自体の処理に関係する情報を保持する属性。一部の処理情報は、サーバーを制御するためにディレクトリによって指定されます(例: エントリのタイムスタンプ)。アクセス情報などのその他の処理情報は、管理者が定義し、ディレクトリ・プログラムの処理時に、そのプログラムによって使用されます。
サード・パーティのアクセス管理システム
Oracle以外のシングル・サインオン・システム。Oracle Application Serverアプリケーションへのアクセスを得るために、Oracle Single Sign-Onを使用するように変更できます。
Time Stamp Protocol
タイムスタンプ・プロトコル(TSP)では、RFC 3161に指定されているように、デジタル・メッセージのタイムスタンプに関連するエンティティ、メッセージ書式および転送プロトコルが定義されます。TSPシステムでは、信頼できるサード・パーティのタイムスタンプ局(TSA)がメッセージのタイムスタンプを発行します。
Transport Layer Security
インターネット上の通信プライバシを提供するプロトコル。このプロトコルによって、クライアント/サーバー・アプリケーションは、通信時の盗聴、改ざんまたはメッセージの偽造を防止できます。
Triple Data Encryption Standard
Triple Data Encryption Standard(3DES)は、IBM社によって1974年に開発されたデータ暗号化規格(DES)に基づく暗号化アルゴリズムで、1977年に米国の連邦標準として採用されています。3DESでは、64ビットの鍵が3つ使用されます(鍵の長さは全体で192ビットになりますが、実際の鍵長は56ビットです)。データは、第一の鍵で暗号化され、第二の鍵で復号化され、さらに第三の鍵で再度暗号化されます。結果として、3DESは標準的なDESよりも3倍低速になりますが、3倍セキュアになります。
信頼できる証明書
一定の信頼度を有すると認定された第三者の識別情報。信頼できる証明書は、識別情報の内容がそのエンティティと一致していることを検証するときに使用されます。通常、信頼できる証明書は、ユーザー証明書の発行業務を行う、信頼された認証局(CA)によって発行されます。
Unicode
汎用キャラクタ・セットのタイプ。16ビットの領域にエンコードされた64Kの文字の集合。既存のほとんどすべてのキャラクタ・セット規格の文字をすべてエンコードします。世界中で使用されているほとんどの記述法を含みます。Unicode はUnicode社によって所有および定義されます。Unicodeは標準的なエンコーディングであり、異なるロケールで値を伝達できることを意味します。しかし、UnicodeとすべてのOracleキャラクタ・セットとの間で、情報の損失なしにラウンドトリップ変換が行われることは保証されません。
URI(URI)
Uniform Resource Identifierの略称。Web上にある、あらゆるコンテンツ(テキスト・ページ、ビデオ・クリップ、サウンド・クリップ、静止画、動画、プログラムなど)の位置を識別する手段です。最も一般的なURIはWebページ・アドレスで、URLと呼ばれる、URIの特別な形式つまりサブセットで構成されます。
URL
Uniform Resource Locatorの略称。インターネット上にあるアクセス可能なファイルのアドレスです。テキスト・ファイル、HTMLページ、画像ファイル、プログラムなど、HTTPでサポートされるすべてのファイルが対象となります。URLには、リソースへのアクセスに必要なプロトコルの名前、インターネット上の特定のコンピュータを識別するドメイン名、およびコンピュータ上のファイル場所の階層的な記述が含まれます。
URLCトークン
認証されたユーザーの情報をパートナ・アプリケーションに渡すOracle Single Sign-Onのコード。パートナ・アプリケーションでは、この情報を使用してセッションCookieを構築します。
ユーザー名マッピング・モジュール
ユーザー証明書をユーザーのニックネームにマッピングするOracle Single Sign-OnのJavaモジュール。ニックネームは認証モジュールに渡され、認証モジュールがこのニックネームを使用して、ユーザーの証明書をディレクトリから取得します。
UTC
世界中のあらゆる場所で共通の標準時間。以前から現在に至るまで広くグリニッジ時(GMT)または世界時と呼ばれており、UTCは名目上は地球の本初子午線に関する平均太陽時を表します。UTC形式である場合、値の最後にzが示されます(例: 200011281010z)。
UTF-8
文字ごとに連続した1、2、3または4バイトを使用するUnicodeの可変幅8ビット・エンコーディング。0から127の文字(7ビットASCII文字)は1バイトでエンコードされ、128から2047の文字では2バイト、2048から65535の文字では3バイト、65536以上の文字は4バイトを必要とします。このためのOracleキャラクタ・セット名はAL32UTF8(Unicode 3.1規格用)となります。
仮想ホスト
1つ以上のWebサイトまたはドメインをホスティングする1台の物理的なWebサーバー・マシン、または他のマシンに対するプロキシ(受信リクエストを受け取り、それらを適切なサーバーにルーティングする)としての機能を持つサーバー。
Oracle Single Sign-Onの場合、仮想ホストは、複数のOracle Single Sign-Onサーバー間のロード・バランシングに使用されます。また、これによってセキュリティがさらに強化されます。
仮想IPアドレス
Oracle Application Serverコールド・フェイルオーバー・クラスタ(Identity Management)では、各物理ノードに独自の物理IPアドレスと物理ホスト名があります。クラスタは、クラスタ内のどの物理ノードにも移動できる動的IPアドレスを使用して、単一のシステム・イメージを示すことができます。これは、仮想IPアドレスと呼ばれます。
ウォレット
個々のエンティティに対するセキュリティ資格証明の格納と管理に使用される抽象的な概念。様々な暗号化サービスで使用できるように、資格証明の格納と取出しを実現します。Wallet Resource Locator (WRL)は、Walletの位置を特定するために必要な情報をすべて提供します。
Webサービス
HTTP、XML、SOAPなどの標準的なインターネット・プロトコルを使用してアクセスできるアプリケーションまたはビジネス・ロジック。Webサービスでは、コンポーネントベース開発とWorld Wide Webの両者が持つ優れた利点が結び付けられています。Webサービスは、コンポーネントと同様、サービスの実装方法を知らなくても使用または再利用できるブラックボックス機能を実現します。
Web Services Description Language
XMLを使用してWebサービスを定義するための標準形式。WSDL定義には、Webサービスへのアクセス方法と、それを使用して実行できる操作が記述されます。
WS-Federation
Web Services Federation Languageのこと。Microsoft、IBM、VeriSignおよびRSA Security社によって開発された仕様。WS-Federationは、異種または同種のメカニズムを使用するエンティティ間でのフェデレーションを可能にするメカニズムを定義します。これは、公開されているWebサービス間で、ID、属性および認証の信頼性を確立および仲介することで実現されます。
「Liberty Alliance」も参照してください。
X.500
グローバル・ディレクトリの構造化方法を定義する、国際電気通信連合(ITU)の標準。X.500ディレクトリは、たとえば国、都道府県、市町村などの情報カテゴリごとに異なるレベルを持つ階層です。
X.509
デジタル証明書の定義において、最も幅広く使用されている標準。これは、認証サービスが備わった階層型ディレクトリに関する国際電気通信連合(ITU)の標準で、多くの公開鍵インフラストラクチャ(PKI)実装で使用されています。
XML(XML)
eXtensible Markup Language(XML)は、W3Cによって開発された仕様です。XMLは、Standard Generalized Markup Language(SGML)のWeb文書専用に設計された縮小版です。XMLはメタ言語(タグ・セットを定義する方法)であり、開発者は独自にカスタマイズしたマークアップ言語を文書の多数のクラスに定義できます。
