| Oracle® Fusion Middleware Oracle Security Developer Toolsリファレンス 11gリリース1 (11.1.1) B61386-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Security Developer Toolsリファレンス 11gリリース1 (11.1.1) B61386-02 |
|
前 |
次 |
アクセス制御項目(ACI)
アクセス制御情報とは、様々なエンティティまたはサブジェクトがディレクトリ内の指定されたオブジェクトに対して操作を行う必要がある権限を表します。この情報は、ユーザーが変更可能な操作属性としてOracle Internet Directoryに格納され、それぞれがアクセス制御項目(ACI)と呼ばれます。ACIは、ディレクトリ・データに対するユーザーのアクセス権を決定します。エントリ(構造型アクセス項目)および属性(コンテンツ・アクセス項目)へのアクセスを制御するための一連の規則が含まれます。両方のアクセス項目に対するアクセス権限を、1つ以上のユーザーまたはグループに付与できます。
アクセス制御リスト(ACL)
コンピュータ・システム内のリソースと、そのリソースへのアクセスを許可されたユーザーのユーザー名のリスト。Oracle Internet Directoryでは、ACLは、ディレクトリ・オブジェクトに関連付けられているアクセス制御項目(ACI)の属性値のリストです。このリストの属性値は、様々なディレクトリ・ユーザー・エンティティ(またはサブジェクト)が所定のオブジェクトに対して持っている権限を表します。
アクセス制御ポリシー・ポイント(ACP)
ディレクトリ情報ツリー(DIT)内のすべての下位エントリに適用されるアクセス制御ポリシー情報を含むディレクトリ・エントリ。この情報は、エントリ自体とその下位エントリすべてに影響を与えます。Oracle Internet Directoryでは、ACPを作成することで、ディレクトリ内のサブツリー全体にアクセス制御ポリシーを適用できます。
アカウント・ロックアウト
指定の時間内にログオン試行の失敗が繰り返された場合に、セキュリティ・ポリシー設定に基づいてユーザー・アカウントをロックするセキュリティ機能。任意の数のワークステーションからユーザーがアカウントとパスワードの組合せを送信した回数が、Oracle Internet Directoryで許可されている回数を上回ると、Oracle Single Sign-Onでアカウント・ロックアウトが発生します。デフォルトのロックアウト期間は24時間。
管理領域
ここに含まれるエントリが1つの管理権限の管理対象になる、ディレクトリ・サーバー上のサブツリー。指定された管理者は、管理領域の各エントリ、ディレクトリ・スキーマ、アクセス制御リスト(ACL)、およびエントリの属性を制御します。
Advanced Encryption Standard(AES)
Advanced Encryption Standard(AES)は、Data Encryption Standard(DES)の後継とされる対称暗号化アルゴリズム。AESは、企業および政府機関のデータ暗号化のための米国連邦情報処理標準(FIPS)。
Application Program Interface(API)
コンピュータ・アプリケーションと下位レベルのサービスや機能(オペレーティング・システム、デバイス・ドライバおよびその他のソフトウェア・アプリケーション)のインタフェースを構成する、一連のソフトウェア・ルーチンや開発ツール。APIは、プログラマがソフトウェア・アプリケーションを統合するためのビルディング・ブロックとして使用されます。たとえば、LDAP対応クライアントは、LDAP APIで提供されるプログラム・コールによってOracle Internet Directoryの情報にアクセスします。
アプリケーション・サービス・プロバイダ
アプリケーション・サービス・プロバイダ(ASP)は、中央のデータ・センターからWANを使用し、顧客にソフトウェアベースのサービスやソリューションを配布して管理するサード・パーティの組織。本質的にASPは、企業が情報テクノロジ・ニーズの一部またはほとんどすべてをアウトソーシングする方法です。
アーティファクト・プロファイル
完全なアサーションを送信するかわりに、アーティファクトと呼ばれるアサーションへのコンパクトな参照を使用してデータを送信する認証メカニズム。このプロファイルは、特定数の文字を処理するブラウザに対応します。
ASN.1
Abstract Syntax Notation One (ASN.1)は、情報データの構文を定義するために使用される国際電気通信連合(ITU)による表記です。ASN.1は、構造型情報(通常、通信媒体を介して伝達される情報)を記述するために使用されます。インターネット・プロトコルの仕様で広く使用されます。
アサーション
リソースへのアクセスを求めるサブジェクトについての情報を交換するために、セキュリティ・ドメイン内でプロバイダが使用する文。アイデンティティ・プロバイダおよびサービス・プロバイダは、アイデンティティに関するアサーションを交換することにより、認証と認可の決定を行い、リソースを保護するセキュリティ・ポリシーの判別と適用を行います。
属性
ディレクトリ属性は、名前、電話番号、役職名など特定のデータ要素を保持します。各ディレクトリ・エントリは一連の属性で構成され、各属性はオブジェクト・クラスに所属します。さらに、各属性にはタイプと値があり、タイプは属性の情報の種類を説明するもので、値には実際のデータが格納されています。
属性タイプ
属性タイプによって、データ要素の情報(データ型、最大長、単一値か複数値か、など)が指定されます。属性タイプは、値の実際の意味を示し、名前や電子メール・アドレスなど特定のデータの作成と格納の規則を指定します。
属性一意性
指定した2つの属性が同じ値を持たないように保証するOracle Internet Directoryの機能。企業ディレクトリと同期しているアプリケーションで、属性を一意キーとして使用することを可能にします。
認証
エンティティが主張するアイデンティティを資格証明に基づいて確認するプロセス。通常、ユーザーの認証は、ユーザーが知っていることや所有しているもの(たとえば、パスワードや証明書)に基づいて行われます。
電子メッセージの認証では、なんらかのシステム(公開鍵暗号化など)を使用して、ファイルまたはメッセージが、主張どおりに所定の個人または企業から発信されたものであることを確認し、メッセージの内容に基づくチェックによりメッセージが送信中に変更されていないことを確認します。
認証プラグイン
特定の認証方式の実装。Oracle Single Sign-OnのJavaプラグインは、パスワード認証、デジタル証明書、Windowsシステム固有の認証、およびサード・パーティのアクセス管理に対応しています。
認可
サービスまたはネットワーク・リソースに対するアクセス権を付与または拒否するプロセス。ほとんどのセキュリティ・システムは2段階のプロセスに基づいています。第1段階の認証では、ユーザーが自らのアイデンティティを証明します。第2段階の認可では、アイデンティティおよび定義されている認可ポリシーに基づいて、ユーザーに様々なリソースへのアクセスが許可されます。
認可ポリシー
認可ポリシーにより、保護されているリソースへのアクセスの管理方法が指定されます。ポリシーでは、システム・モデルに従って、アイデンティティとオブジェクトが権限のコレクションにマップされます。たとえば、特定の認可ポリシーでは、販売グループに所属するユーザーのみが販売レポートにアクセスできるように指定することがあります。
Basic認証
Webサーバーが、データ送信で渡されたエンコード済のユーザー名とパスワードを使用してエンティティを認証する、ほとんどのブラウザでサポートされる認証プロトコル。base-64エンコーディングは、誰もが自由に入手可能なデコーディング・ユーティリティでデコードできるため、Basic認証は平文認証と呼ばれることもあります。エンコーディングは暗号化とは同じではないことに注意してください。
基本エンコーディング規則(BER)
基本エンコーディング規則(BER)は、ASN.1で規定されたデータ単位をエンコードするための標準規則。BERは誤ってASN.1と対にされることがありますが、ASN.1はエンコーディング技術ではなく抽象構文指定のみに適用されます。
バインディング
ネットワークでは、バインディングは通信を行うエンティティ間の論理接続の確立。
Oracle Internet Directoryでは、バインディングはディレクトリに対する認証プロセスを指します。
また、交換する目的でSOAPメッセージを別のプロトコル(基本のプロトコル)の内部または、その上で送信するための正式な規則のセットもバインディングと呼ばれます。
ブロック暗号
ブロック暗号は、対称アルゴリズムの1つ。ブロック暗号では、メッセージを暗号化する際に、メッセージを固定サイズのブロック(通常64ビット)に分割し、各ブロックを鍵で暗号化します。よく知られているブロック暗号は、Blowfish、DESおよびAES。
関連項目: 「ストリーム暗号」
Blowfish
Blowfishは、Bruce Schneierが1993年にDESに替わる高速のアルゴリズムとして開発した対称暗号化アルゴリズムです。64ビットのブロックと最大448ビットの鍵を使用するブロック暗号です。
CA証明書
認証局(CA)は、発行するすべての証明書に秘密鍵を使用して署名します。認証局の対応する公開鍵もその証明書に含まれ、証明書はCA証明書(またはルート証明書)と呼ばれます。ブラウザがCAの秘密鍵で署名されたメッセージを信頼するためには、信頼できるルート証明書のリストにそのCA証明書を含む必要があります。
キャッシュ
通常、コンピュータ内のすぐにアクセスできるメモリーの容量を指します。ただし、Webの場合は、ブラウザがダウンロードしたファイルやグラフィックスをユーザーのコンピュータで格納する場所を指すことが多いです。
セントラル・ディレクトリ
Oracle Directory Integration and Provisioning環境で、セントラル・リポジトリとして機能するディレクトリ。Oracle Directory Integration and Provisioning環境においては、Oracle Internet Directoryがセントラル・ディレクトリです。
証明書
証明書は、公開鍵と所有者のアイデンティティを関連付ける、特殊な書式のデータ構造体です。証明書は認証局(CA)から発行されます。特定のエンティティの名前、シリアル番号、有効期限および公開鍵が含まれます。証明書には発行元のCAがデジタルに署名しているため、受信者は証明書が本物であることを確認できます。ほとんどのデジタル証明書はX.509規格に準拠しています。
認証局(CA)
デジタル証明書の発行、更新、失効を行う、信頼できる第三者機関。CAの基本的な役割はエンティティの識別情報を保証することで、申請者の確認を登録局(RA)に委任する場合もあります。広く一般に知られている認証局(CA)には、Digital Signature Trust社、Thawte社、VeriSign社などがあります。
Certificate Management Protocol(CMP)
Certificate Management Protocol(CMP)は、証明書の作成と管理に関連するあらゆる面を処理します。CMPは、公開鍵インフラストラクチャ(PKI)の構成要素(認証局(CA)、登録局(RA)、証明書の発行先のユーザーまたはアプリケーションなど)間の相互作用をサポートします。
証明書要求メッセージ・フォーマット(CRMF)
証明書要求メッセージ・フォーマット(CRMF)は、RFC 2511仕様に指定されているように、X.509証明書のライフサイクル管理に関連するメッセージのために使用される形式です。
暗号ブロック連鎖(CBC)
暗号ブロック連鎖(CBC)は、ブロック暗号の操作モード。CBCは、特定の長さの初期化ベクトル(IV)を使用します。その主な特徴の1つは、連鎖メカニズムの使用により、暗号文のブロックの復号化が先行のすべての暗号文ブロックに依存することです。結果として、先行するすべてのブロックの妥当性が、直前の暗号文ブロックに含まれます。
暗号スイート
Secure Sockets Layer(SSL)は、ネットワーク・ノード間でメッセージを交換するための認証、暗号化およびデータ整合性アルゴリズムのセット。2つのノードが、SSLハンドシェイク時に、メッセージ送受信にどちらの暗号スイートを使用するかをネゴシエートします。
暗号文
暗号文は、暗号化アルゴリズムを読取り可能データ(平文)に適用した結果として生成されます。適切な鍵を所有するエンティティを除くすべてのエンティティがデータを読み取れないようにするために行います。
トラスト・サークル
セット内のアイデンティティ・プロバイダとサービス・プロバイダ間の信頼関係。このトラスト・サークルにより、プリンシパルは単一のフェデレーテッド・アイデンティティとシングル・サインオン(SSO)を使用して、セット内のプロバイダとのビジネス・トランザクションを実行することができます。
企業は、Liberty対応テクノロジを基盤とし、企業間の信頼関係を定義した運用協定に基づいて、トラスト・サークルの構築やトラスト・サークルへの加入を行います。
コールド・バックアップ
Oracle Internet Directoryでは、新しいディレクトリ・システム・エージェント(DSA)ノードを、データベース・コピー手順を使用して既存のレプリケート・システムに追加する手順を指します。
同時操作
同時クライアントすべてがOracle Internet Directoryで実行する操作。セッションをアイドル状態にしたままの同時クライアントもいるため、同時クライアントと同じ数になるとは限りません。
構成セット・エントリ
ディレクトリ・サーバーの特定のインスタンスに関する構成パラメータを保持するOracle Internet Directoryのエントリ。複数の構成セット・エントリを格納でき、実行時に参照できます。構成セット・エントリは、ディレクトリ固有エントリ(DSE)のsubConfigsubEntry属性で指定されるサブツリーで管理され、DSE自体は、サーバーの起動に使用される、関連するディレクトリ情報ベース(DIB)に含まれます。
接続記述子
ネットワーク接続の宛先を示す特殊なフォーマットの記述子です。接続記述子には、接続先サービスとネットワーク・ルートの情報が含まれます。接続先サービスの指定は、Oracle Databaseのサービス名、またはOracleリリース8.0かバージョン7データベースのOracleシステム識別子(SID)を使用します。ネットワーク・ルートは、少なくとも、ネットワーク・アドレスによってリスナーの位置を提供します。
接続ディレクトリ
Oracle Directory Integration and Provisioning環境における情報リポジトリ。Oracle Internet Directoryと接続ディレクトリ(たとえば、Oracleの人事データベースなど)の間でデータの完全同期が必要です。
暗号化アルゴリズム
暗号化アルゴリズムは、読取り可能なデータ(平文)と読取り不可能なデータ(暗号文)を互いに変換するプロセスのシーケンスの定義。このような変換には、通常は鍵に格納されている秘密の情報が必要です。暗号化アルゴリズムの例は、DES、AES、Blowfish、RSAなどです。
暗号化
情報を読取り不可能な形式に変換して保護するプロセス。情報は、鍵を使用して暗号化され読取り不可能になり、後で再び情報が必要になった場合に復号化されます。「公開鍵暗号化」および「対称暗号化」も参照してください。
Data Encryption Standard(DES)
Data Encryption Standard (DES)は1974年にIBM社が開発した対称暗号化アルゴリズムで、広く使用されています。64ビットのデータ・ブロックのそれぞれに56ビットの鍵が適用されます。通常、DESおよび3DESはS/MIMEの暗号化アルゴリズムとして使用されます。
デフォルトのアイデンティティ管理レルム
ホスト環境では、ある企業(たとえば、アプリケーション・サービス・プロバイダ)が、Oracleコンポーネントを他の複数の企業が使用できるようにして、その企業の情報を格納します。このようなホスト環境では、ホスティングを実行する企業がデフォルトのアイデンティティ管理レルムと呼ばれ、ホスティングを受ける各企業はディレクトリ情報ツリー(DIT)内で独自のアイデンティティ管理レルムに関連付けられます。
デフォルト・ナレッジ参照
ベース・オブジェクトがディレクトリになく、操作が実行されるネーミング・コンテキストをサーバーがローカルに保持していない場合に返されるナレッジ参照。通常、デフォルト・ナレッジ参照によって、ユーザーは、ディレクトリ・パーティション配置のナレッジを豊富に備えたサーバーに送られます。
委任管理者
ホスト環境では、ある企業(たとえば、アプリケーション・サービス・プロバイダ)が、Oracleコンポーネントを他の複数の企業が使用できるようにして、その企業の情報を格納します。このような環境では、グローバル管理者がディレクトリ全体に及ぶアクティビティを実行します。委任管理者と呼ばれる他の管理者は、特定のアイデンティティ管理レルムで、または特定のアプリケーションに対して役割を実行できます。
Diffie-Hellman
Diffie-Hellman(DH)は、安全でない通信チャネルで二者が秘密の共有を確立するための公開鍵暗号化プロトコル。1976年に発表された、実用可能な最初の公開鍵暗号化システムです。
関連項目: 「対称アルゴリズム」
デジタル署名
デジタル署名は、所定のデータ・ブロックに2ステップのプロセスを適用した結果として生成されます。まず、ハッシュ関数がデータに適用され結果が取得されます。次に、その結果が署名者の秘密鍵を使用して暗号化されます。デジタル署名を使用すると、データの整合性、メッセージ認証および否認防止を保証できます。デジタル署名アルゴリズムの例は、DSAおよびRSA。
Digital Signature Algorithm(DSA)
Digital Signature Algorithm (DSA)は、Digital Signature Standard (DSS)の一部として使用される非対称アルゴリズムです。デジタル署名専用であり、暗号化には使用できません。このアルゴリズムでは大きな数値のペアが生成され、これにより署名者の認証が実現され、さらには添付データの整合性が保証されます。DSAは、デジタル署名の生成と検証の両方で使用されます。
ディレクトリ
「Oracle Internet Directory」、「Lightweight Directory Access Protocol(LDAP)」および「X.500」を参照してください。
Directory Integration and Provisioningサーバー
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryと接続ディレクトリ間でのデータの同期を促進するサーバー。
ディレクトリ統合プロファイル
Oracle Directory Integration and Provisioning環境において、Oracle Directory Integration and Provisioningが外部システムと通信する方法やその内容を指定する、Oracle Internet Directoryのエントリ。
ディレクトリ・プロビジョニング・プロファイル
特別なディレクトリ統合プロファイル。Oracle Directory Integration and Provisioningによってディレクトリ対応のアプリケーションに送信されるプロビジョニング関連通知の種類を指定します。
ディレクトリ・サーバー・インスタンス
ディレクトリ・サーバー個々の起動。ディレクトリ・サーバーの個別の起動(それぞれ、同一または異なる構成セット・エントリと起動フラグを使用して起動されている)は、個別のディレクトリ・サーバー・インスタンスと呼ばれます。
ディレクトリ固有エントリ(DSE)
ディレクトリ・サーバー固有のエントリ。別のディレクトリ・サーバーが同じディレクトリ情報ツリー(DIT)名を保持しながら、異なるコンテンツを含むことができます。つまり、コンテンツは含まれるディレクトリに固有になります。DSEは、それを保持しているディレクトリ・サーバーに固有の内容を含むエントリです。
特殊エンコーディング規則(DER)
特殊エンコーディング規則(DER)は、ASN.1オブジェクトをバイトシーケンスでエンコーディングするための一連の規則。DERは特別なタイプの基本エンコーディング規則(BER)です。
識別名(DN)
X.500識別名(DN)は、ディレクトリ・ツリーのノードのための一意の名前。DNは、人またはその他のディレクトリ・エントリに一意の名前を提供するために使用されます。DNは、ツリーのルート・ノードから指定のエントリのノードまでのパスに沿って各ノードの属性を選択して連結したものです。たとえばLDAP表記の場合、オラクル社の米国内の事務所に勤務するJohn Smithという人物のDNは、cn=John Smith, ou=People, o=Oracle, c=usとなります。
ドメイン
プリンシパルがリソースを使用するためのWebサイトとアプリケーションが含まれます。フェデレーテッド・サイトは、アイデンティティ・プロバイダ(ソース・ドメイン)またはサービス・プロバイダ(宛先ドメイン)、あるいはその両方として機能します。
ドメイン・コンポーネント属性
ドメイン・コンポーネント(dc)属性は、ドメイン名から識別名(DN)を構成する際に使用できます。たとえば、oracle.comというドメイン名を使用した場合、dc=oracle, dc=comで始まるDNを構成でき、このDNをディレクトリ情報のサブツリーのルートとして使用できます。
Document Type Definition(DTD)
Document Type Definition(DTD)は、所定のXML文書で有効なタグやタグ・シーケンスの制約を指定します。DTDは、XMLの親言語であるSimple Generalized Markup Language(SGML)の規則に準拠します。
暗号化証明書
暗号化証明書は、公開鍵を含む証明書。公開鍵は、電子メッセージ、ファイル、文書またはデータの転送を暗号化するために使用されます。または、これらと同じ目的で、セッション鍵を確立または交換するために使用されます。
エンドツーエンド・セキュリティ
メッセージレベル・セキュリティのプロパティ。これが確立されると、メッセージがビジネス・エンティティ内またはビジネス・エンティティ間で複数のアプリケーションを経由する際に、それらのビジネス・エンティティのすべてのルートで安全に送信されます。
Enterprise JavaBeans (EJB)
Sunによって開発されたJava APIで、複数層からなるクライアント/サーバー・システムのコンポーネント・アーキテクチャを定義します。EJBシステムはJavaで記述されているため、プラットフォームに依存しません。オブジェクト指向に基づき、既存システムへの実装には、再コンパイルや構成をほとんどまたはまったく必要としません。
エントリ
ユーザーなどのオブジェクトを表す、ディレクトリ内の一意のレコード。エントリは属性とそれに関連付けられた属性値で構成され、それらはエントリ・オブジェクトを定義するオブジェクト・クラスによって規定されます。LDAPディレクトリ構造内のすべてのエントリは、識別名(DN)によって一意に識別されます。
エクスポート・エージェント
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryからデータをエクスポートするエージェント。
エクスポート・データ・ファイル
Oracle Directory Integration and Provisioning環境において、エクスポート・エージェントでエクスポートされたデータを含むファイル。
外部エージェント
Oracle Directory Integration and Provisioningサーバーに依存しないディレクトリ統合エージェント。Oracle Directory Integration and Provisioningサーバーによるスケジューリング、マッピングまたはエラー処理のサービスが提供されません。通常、外部エージェントが使用されるのは、サード・パーティのメタディレクトリ・ソリューションがOracle Directory Integration and Provisioningと統合される場合です。
外部アプリケーション
認証をOracle Single Sign-Onサーバーに委任しないアプリケーション。かわりにHTMLログイン・フォームを表示して、アプリケーション・ユーザーの名前とパスワードを要求します。ユーザーは最初にログインする際に、自らにかわってOracle Single Sign-Onサーバーがこのような資格証明を取得するようにするかを選択する必要があります。この後、ユーザーは透過的にこれらのアプリケーションにログインします。
フェイルオーバー
障害の認識とリカバリのプロセス。Oracle Application Server Cold Failover Cluster(Identity Management)では、あるクラスタ・ノードで実行しているアプリケーションは別のクラスタ・ノードに透過的に移行されます。この移行時に、クラスタ上のサービスにアクセスしているクライアントは、一時的に接続が中断されるため、フェイルオーバーの終了後に再接続が必要な場合があります。
ファンアウト・レプリケーション
Point-to-Pointレプリケーションとも呼ばれます。サプライヤがコンシューマに直接レプリケートするレプリケーションのタイプ。コンシューマは1つ以上の他のコンシューマにレプリケートできます。レプリケーションには、完全レプリケーションと部分レプリケーションがあります。
フェデレーテッド・アイデンティティ管理(FIM)
アイデンティティと資格を自律型ドメイン間で移植できるようにする協定、規格およびテクノロジ。FIMにより、認証済ユーザーは複数のドメインで認識され、各種の個人向けサービスを利用できます。個人情報の集中管理に伴う短所を補いながら、ユーザーがアイデンティティ情報を様々なアカウント間で結び付けることができます。フェデレーテッド・アイデンティティには、2つの重要な要素である信頼と規格が必要です。フェデレーテッド・アイデンティティ管理の信頼モデルは、トラスト・サークルに基づきます。規格は、Liberty Allianceプロジェクトで定義されます。
強制認証
事前設定した時間が経過してもユーザーがアイドル状態のままの場合に、ユーザーの再認証を強制することです。Oracle Single Sign-Onでは、グローバル・ユーザーに関して非アクティブのタイムアウトを指定できます。この機能は、機密情報を扱うアプリケーションを含むシステム向けです。
グローバル管理者
ホスト環境では、ある企業(たとえば、アプリケーション・サービス・プロバイダ)が、Oracleコンポーネントを他の複数の企業が使用できるようにして、その企業の情報を格納します。このような環境では、グローバル管理者がディレクトリ全体に及ぶアクティビティを実行します。
Global Unique Identifier(GUID)
エントリがディレクトリに追加される際に、システムによって生成されてエントリに挿入される識別子。マルチマスター・レプリケート環境では、DNではなくGUIDがエントリを一意に識別します。エントリのGUIDをユーザーが変更することはできません。
グローバル・ユーザーの非アクティブ・タイムアウト
事前設定した時間が経過してもユーザーがアイドル状態のままの場合に、ユーザーを強制的に再認証する、Oracle Single Sign-Onのオプション機能。グローバル・ユーザーの非アクティブ・タイムアウトは、シングル・サインアウト・セッション・タイムアウトよりもかなり短いです。
ハッシュ
アルゴリズムを使用してテキスト文字列から生成される数値。ハッシュ値はテキスト自体よりも実質的に小さくなります。ハッシュ数は、セキュリティとデータの高速アクセスに使用されます。
関連項目: 「ハッシュ関数」
ハッシュ関数
暗号化において、ハッシュ関数または一方向ハッシュ関数は、所定のデータ・ブロックに適用して所定の値を生成するアルゴリズム。ハッシュ関数の結果は、所定のデータ・ブロックの整合性を保証するために使用できます。ハッシュ関数はセキュアと考えられるため、データ・ブロックと結果がわかっていても、同じ結果を生成する別のデータ・ブロックを生成することは非常に困難です。
ハッシュ・メッセージ認証コード(HMAC)
ハッシュ関数の1つの技法で、秘密のハッシュ関数結果の作成に使用されます。既存のハッシュ関数(MD5およびSHAなど)を強化できます。Transport Layer Security (TLS)で使用されます。
HTTP
Hyper Text Transfer Protocol (HTTP)は、Webブラウザとサーバーの間で使用されるプロトコルで、文書のリクエストとコンテンツの送信に使用されます。この仕様はWorld Wide Web Consortiumによって管理および開発されています。
iASAdmins
Oracle WebLogic Serverのユーザーとグループの管理機能を担当する管理グループ。Oracle Single Sign-On管理者はグループiASAdminsのメンバーです。
アイデンティティ・フェデレーション
プリンシパルが保持する2つ以上のアカウントを、特定のトラスト・サークル内の1つ以上のアイデンティティ・プロバイダまたはサービス・プロバイダとリンク付けすることです。
ユーザーが企業に対して保有している独立したアカウント(ローカル・アイデンティティ)をフェデレートする場合、ユーザーは2つのエンティティ間のリレーションシップ、つまり任意の数のサービス・プロバイダとアイデンティティ・プロバイダで構成される関連付けを作成することになります。
関連項目: 「アイデンティティ・プロバイダ」、「サービス・プロバイダ」
アイデンティティ管理
組織でネットワーク・エンティティのセキュリティ・ライフ・サイクル全体を管理するプロセス。通常、組織のアプリケーション・ユーザーの管理を指します。セキュリティ・ライフ・サイクルの手順には、アカウント作成、一時停止、権限変更およびアカウント削除が含まれます。管理されるネットワーク・エンティティには、デバイス、プロセス、アプリケーション、またはネットワーク環境で対話する必要があるその他のすべてのものが含まれます。アイデンティティ管理プロセスで管理されるエンティティには、組織外のユーザー(顧客、取引先、Webサービスなど)も含まれます。
アイデンティティ管理レルム
すべてが同じ管理ポリシーの対象であるアイデンティティのコレクション。企業において、イントラネットにアクセスするすべての従業員は1つのレルムに所属しますが、その企業のパブリック・アプリケーションにアクセスするすべての外部ユーザーは別のレルムに所属します。アイデンティティ管理レルムは、ディレクトリ内では特別なオブジェクト・クラスが関連付けられた固有のエントリとして表されます。
アイデンティティ管理レルム固有のOracleコンテキスト
各アイデンティティ管理レルムに含まれたOracleコンテキスト。次の情報が格納されます。
アイデンティティ管理レルムのユーザー・ネーミング・ポリシー(ユーザーの命名と格納の方法)
必須認証属性
アイデンティティ管理レルムでのグループの場所
アイデンティティ管理レルムの権限の割当て(たとえば、レルムにユーザーを追加する権限を誰が持つかなど)
認可など、そのレルムのアプリケーション固有のデータ
アイデンティティ・プロバイダ
Oracle Identity Federationがサポートするアイデンティティ・フェデレーション・プロトコルに定義された3つのプライマリ・ロールのうちの1つ。その他のロールにはサービス・プロバイダとプリンシパルがあります。アイデンティティ・プロバイダは、特定のトラスト・サークルに含まれる一連のアイデンティティを管理および認証する役割を果します。
一方、サービス・プロバイダは、プリンシパルのアイデンティティに対するアイデンティティ・プロバイダの認証に基づき、プリンシパルにサービスや製品を提供します。
アイデンティティ・プロバイダは、他のサービス・プロバイダが加入するようにインセンティブを支払います。通常は、アイデンティティ・プロバイダがプリンシパルのアイデンティティを認証します。
インポート・エージェント
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryにデータをインポートするエージェント。
インフラストラクチャ層
アイデンティティ管理を行うOracle WebLogic Serverのコンポーネント。すなわち、Oracle Single Sign-On、Oracle Delegated Administration ServicesおよびOracle Internet Directoryです。
Internet Engineering Task Force(IETF)
新しいインターネット標準仕様の開発に従事する主要機関。インターネット・アーキテクチャおよびインターネットの円滑な操作の発展に関わるネットワーク設計者、運営者、ベンダーおよび研究者による国際的な団体です。
Internet Message Access Protocol(IMAP)
プロトコルの一種。クライアントは、このプロトコルを使用して、サーバー上の電子メール・メッセージに対するアクセスおよび操作を行います。リモートのメッセージ・フォルダ(メールボックスとも呼ばれる)を、ローカルのメールボックスと機能的に同じ方法で操作できます。
Java 2 Platform, Enterprise Edition(J2EE)
Java 2 Platform, Enterprise Edition(J2EE)は、Sunによって定義された、エンタープライズ・アプリケーションの開発およびデプロイのための環境。J2EEプラットフォームは、複数層のWebベース・アプリケーションを開発するための機能を提供する、一連のサービス、Application Program Interface(API)およびプロトコルで構成されます。
JavaServer Pages (JSP)
JavaServer Pages(JSP)は、サーバー側テクノロジであり、Sunで開発されたJavaサーブレット・テクノロジの拡張機能です。JSPには、HTMLコードと提携してページ・ロジックを静的な要素(ページの設計や表示)と分離する、動的なスクリプト機能があります。Javaソース・コードとその拡張機能をHTMLページに埋め込むと、動的なデータベース問合せでHTMLが使用可能になるなど、HTMLの機能性が向上します。
鍵
鍵は、所定のデータ・ブロックの暗号化または復号化の成功に必要な秘密の情報を含むデータ構造体。鍵が大きいほど、暗号化されたデータ・ブロックの解読が難しくなります。たとえば、256ビットの鍵は128ビットの鍵よりも安全性が高いです。
ナレッジ参照
リモートのディレクトリ・システム・エージェント(DSA)のアクセス情報(名前とアドレス)と、そのリモートDSAが保持するディレクトリ情報ツリー(DIT)のサブツリーの名前。ナレッジ参照は参照とも呼ばれます。
待機時間
所定のディレクトリ操作が完了するまでクライアントが待機する時間。待機時間は浪費した時間として定義できます。ネットワークの用語としては、待機時間はパケットが送信元から送信先に送信される時間として定義されます。
LDAP Data Interchange Format(LDIF)
ディレクトリ・データをシステム間で交換するための一般的なテキストベースの形式。任意のLDAPコマンドライン・ユーティリティに対して入力ファイルの形式を定める一連の規格。
Liberty Alliance
Liberty Allianceプロジェクトは、世界中の企業、非営利団体および非政府機関からなる団体です。これは、現在および将来のネットワーク・デバイスをサポートする、フェデレーテッド・アイデンティティ管理(FIM)およびアイデンティティ・ベースのWebサービスのためのオープン規格の開発に従事します。
Liberty ID-FF
Liberty Identity Federation Framework(Liberty ID-FF)は、フェデレーテッド・アイデンティティによるWebベースのシングル・サインオン(SSO)のためのアーキテクチャを提供します。
Lightweight Directory Access Protocol(LDAP)
ディレクトリの情報にアクセスするための一連のプロトコル。LDAPは、あらゆる種類のインターネット・アクセスに必要なTCP/IPをサポートします。この設計規約のフレームワークによって、業界標準のディレクトリ製品(Oracle Internet Directoryなど)がサポートされます。LDAPはX.500規格を単純化したものであり、X.500ライトと呼ばれることもあります。
ロード・バランサ
複数のサーバー間の接続リクエスト数を平均化するハードウェア・デバイスおよびソフトウェア。BigIP、AlteonまたはLocal Directorはよく使用されるハードウェア・デバイスです。ロード・バランシング・ソフトウェアの例にはOracle Web Cacheがあります。
論理ホスト
Oracle Application Serverのコールド・フェイルオーバー・クラスタ(Identity Management)における、1つ以上のディスク・グループおよびホスト名とIPアドレスのペア。論理ホストは、クラスタ内の物理ホストにマップされます。この物理ホストは、論理ホストのホスト名とIPアドレスを使用します。
介在者
サード・パーティがメッセージを不正に傍受する、セキュリティへの攻撃。第三者、つまり介在者は、メッセージを復号化して再暗号化し(元のメッセージを変更する場合と変更しない場合があります)、元のメッセージの宛先である受信者に転送します。これらの処理はすべて、正当な送受信者が気付かないうちに行われます。このようなセキュリティ攻撃が発生するのは、認証が行われない場合のみです。
マッピング・ルール・ファイル
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryの属性と接続ディレクトリの属性のマッピングを指定するファイル。
一致規則
検索または比較操作で、検索対象の属性値と格納されている属性値の等価性を判別します。たとえば、telephoneNumberに関連付けられている一致規則では、(650) 123-4567が(650) 123-4567と6501234567のいずれかまたは両方に一致するようにできます。属性を作成する際に、一致規則を属性に関連付けます。
MD2
メッセージ・ダイジェスト2 (MD2)は、メッセージ・ダイジェストのハッシュ関数です。このアルゴリズムは、入力テキストを処理して、メッセージに固有でデータ整合性の検証に使用できる、128ビットのメッセージ・ダイジェストを作成します。MD2は、RSA Security社のRon Rivestによって開発され、メモリー容量が限られたシステム(スマート・カードなど)で使用されることを想定しています。
MD5
メッセージ・ダイジェスト5 (MD5)は、メッセージ・ダイジェストのハッシュ関数です。このアルゴリズムは、入力テキストを処理して、メッセージに固有でデータ整合性の検証に使用できる、128ビットのメッセージ・ダイジェストを作成します。MD5は、MD4の潜在的な脆弱性が報告された後にRon Rivestによって開発されました。MD5はMD4と似ていますが、元のデータに対して行われる操作が多いため、処理が遅くなります。
メッセージ認証コード(MAC)
メッセージ認証コード(MAC)は、所定のデータ・ブロックに2ステップのプロセスを適用した結果として生成されます。まずハッシュ関数の結果が取得されます。次に、その結果が秘密鍵を使用して暗号化されます。MACは、所定のデータ・ブロックの送信元を認証するために使用できます。
メタディレクトリ
企業のすべてのディレクトリ間で情報を共有するディレクトリ・ソリューション。すべてのディレクトリを1つの仮想ディレクトリに統合します。集中的に管理できるため、管理コストを削減できます。ディレクトリ間でデータが同期化されるため、企業内のデータに一貫性があり最新であることが保証されます。
中間層
Oracle HTTP ServerおよびOC4Jで構成されるOracle Single Sign-Onインスタンスの部分。Oracle Single Sign-On中間層は、アイデンティティ管理インフラストラクチャ・データベースとクライアントの間に位置します。
mod_osso
Oracle HTTP Serverのモジュールで、これにより、Oracle Single Sign-Onによって保護されるアプリケーションでは、ユーザーがOracle Single Sign-Onサーバーにログインした後は、ユーザー名とパスワードのかわりにHTTPヘッダーが取得されます。これらのヘッダーの値は、mod_osso Cookieに格納されます。
mod_osso Cookie
HTTP Serverに格納されるユーザー・データ。ユーザーが認証されるとcookieが作成されます。同じユーザーが別のアプリケーションをリクエストすると、Webサーバーはmod_osso cookieの情報を使用して、そのユーザーをアプリケーションにログインさせます。この機能によりサーバーのレスポンス時間が短縮されます。
マルチマスター・レプリケーション
peer-to-peer またはn-wayレプリケーションとも呼ばれます。同等に機能する複数のサイトが、レプリケートされたデータのグループを管理できるようにするレプリケーションのタイプ。マルチマスター・レプリケーション環境では、各ノードがサプライヤ・ノードとコンシューマ・ノードになり、ディレクトリ全体が各ノードにレプリケートされます。
ネーミング属性
Oracle Delegated Administration ServicesまたはOracle Internet Directory Java APIによって新しいユーザー・エントリのRDNを作成するために使用される属性。このデフォルト値はcnです。
ネーミング・コンテキスト
完全に1つのサーバーに常駐しているサブツリー。サブツリーは連続している必要があります。つまり、サブツリーの最上位の役割を果たすエントリから始まり、下位方向にリーフ・エントリまたは従属ネーミング・コンテキストへのナレッジ参照(参照とも呼ばれる)のいずれかまでを範囲とする必要があります。単一エントリからディレクトリ情報ツリー(DIT)全体までを、サイズの範囲とすることができます。
ネイティブ・エージェント
Oracle Directory Integration and Provisioning環境において、Directory Integration and Provisioningサーバーの制御の下で実行するエージェント。「外部エージェント」と対比。
ネット・サービス名
接続記述子に解決されるサービスの単純名。ユーザーは、接続するサービスに対する接続文字列内に、ネット・サービス名とともにユーザー名およびパスワードを渡すことで、接続リクエストを開始します。次に例を示します。
CONNECT username/password@net_service_name
ニーズに応じて、ネット・サービス名は次のように様々な場所に格納できます。
各クライアントのローカル構成ファイルtnsnames.ora
ディレクトリ・サーバー
Oracle Names Server
外部ネーミング・サービス(NDS、NISまたはCDSなど)
ニックネーム属性
ディレクトリ全体のユーザーを一意に識別するために使用する属性。この属性のデフォルト値はuidです。アプリケーションでは、この属性を使用して単純なユーザー名が完全な識別名に変換されます。ユーザー・ニックネーム属性を複数値にはできません。つまり、ユーザーは同じ属性名で複数のニックネームを保持することはできません。
OASIS
Organization for the Advancement of Structured Information Standards。OASISは、E-Business規格の開発、統合および採用を促進する国際的な非営利団体。
オブジェクト・クラス
LDAPでは、オブジェクト・クラスは情報をグループ化するために使用されます。通常、オブジェクト・クラスは、実際のオブジェクト(人またはサーバーなど)をモデルにします。各ディレクトリ・エントリは1つ以上のオブジェクト・クラスに所属します。オブジェクト・クラスが、エントリを構成する属性を決定します。オブジェクト・クラスは別のオブジェクト・クラスから導出することができ、そのクラスの特徴の一部を継承します。
OIDモニター
Oracle Internet Directory Serverプロセスを開始、監視および終了する、Oracle Internet Directoryのコンポーネント。レプリケーション・サーバー(インストールされている場合)、およびOracle Directory Integration and Provisioningサーバーの制御も行います。
Online Certificate Status Protocol
Online Certificate Status Protocol(OCSP)は、デジタル証明書の有効性をチェックする一般的な2つの方法のうちの1つ。もう1つは、以前からある証明書失効リスト(CRL)ですが、状況によってはOCSPの方が優れています。OCSPはRFC 2560に指定されています。
Oracle Application Server Single Sign-On
Oracle Single Sign-Onは、ユーザーがアプリケーション(経費報告書、メール、給付金など)に安全にログインできるようにするプログラム・ロジックで構成されます。このようなアプリケーションには、パートナ・アプリケーションと外部アプリケーションという2つの形式があります。どちらの場合も、一度認証されると複数のアプリケーションへのアクセスが可能になります。
Oracle Call Interface(OCI)
第3世代言語のネイティブのプロシージャ・コールまたはファンクション・コールを使用して、Oracle Databaseサーバーにアクセスし、SQL文実行のあらゆる面を制御するアプリケーションを使用できるようにする、Application Program Interface(API)。
Oracle認証局
Oracle Application Server Certificate Authorityは、Oracle WebLogic Server環境で使用するための認証局(CA)です。OracleAS Certificate AuthorityはOracle Internet Directoryを証明書のストレージ・リポジトリとして使用します。OracleAS Certificate AuthorityのOracle Single Sign-OnおよびOracle Internet Directoryとの統合により、透過的な証明書プロビジョニング・メカニズムが、これらを使用するアプリケーションに提供されます。Oracle Internet Directoryでプロビジョニングされ、Oracle Single Sign-Onで認証されたユーザーは、OracleAS Certificate Authorityへのデジタル証明書のリクエストを選択できます。
Oracle Delegated Administration Service
Oracle Delegated Administration Servicesユニットと呼ばれる個々の事前定義済サービスのセットで、ユーザーのかわりにディレクトリ操作を実行します。Oracle Internet Directoryセルフ・サービス・コンソールによって、Oracle Internet Directoryを使用するOracleアプリケーションおよびサード・パーティ・アプリケーションの両方の管理ソリューションを容易に開発および配布できます。
Oracle Directory Integration and Provisioning
Oracle Internet Directoryおよび関連付けられているいくつかのプラグインやコネクタを使用して複数のディレクトリを統合するためのインタフェースとサービスのコレクション。企業がOracle製品に対する認証のために外部ユーザー・リポジトリを使用できるようにする、Oracle Internet Directoryの機能。
Oracle Directory Integration and Provisioningサーバー
Oracle Directory Integration and Provisioning環境において、Oracle Internet Directoryで変更イベントを監視し、ディレクトリ統合プロファイルにある情報に基づいてアクションを実行するデーモン・プロセス。
Oracleディレクトリ統合プラットフォーム
Oracle Internet Directoryのコンポーネントの1つです。Oracle Internet Directoryのような中央LDAPディレクトリの周囲のアプリケーションを統合するために開発されたフレームワーク。
Oracle Enterprise Manager
独立したOracle製品。グラフィカル・コンソール、エージェント、共通サービスおよびツールを組み合せています。Oracle製品を管理するための統合された包括的なシステム管理プラットフォームを提供します。
Oracle HTTP Server
Hypertext Transfer Protocol(HTTP)を使用するWebトランザクションを処理するソフトウェア。Oracleでは、Apache Groupが開発したHTTPソフトウェアが使用されます。
Oracle Internet Directory
分散ユーザーやネットワーク・リソースに関する情報の検索を可能にする、一般的な用途のディレクトリ・サービス。これは、Lightweight Directory Access Protocol (LDAP)バージョン3と、Oracle Databaseの高度なパフォーマンス、スケーラビリティ、堅牢性および可用性を組み合せています。
Oracle Liberty SDK
Oracle Liberty SDKは、Liberty Allianceプロジェクトの仕様を実装して、サード・パーティのLiberty準拠アプリケーション間でのフェデレーテッド・シングル・サインオンを実現します。
Oracle Net Services
Oracleのネットワーク製品ファミリの基礎。Oracle Net Servicesを使用すると、サービスやアプリケーションを異なるコンピュータに配置して通信できます。Oracle Net Servicesの主な機能には、ネットワーク・セッションの確立およびクライアント・アプリケーションとサーバー間のデータ転送があります。Oracle Net Servicesは、ネットワーク上の各コンピュータに配置されます。ネットワーク・セッションの確立後、Oracle Net Servicesはクライアントとサーバーのためのデータ伝達手段として機能します。
Oracle SAML
Oracle SAMLは、OASISのSecurity Assertions Markup Language(SAML)の仕様に定義されているように、異なるシステムやアプリケーション間でXMLベース形式でセキュリティ資格証明を交換するためのフレームワークを提供します。
Oracle Security Engine
Oracle Security Engineは、X.509ベースの証明書管理機能を提供することでOracle Cryptoを拡張します。Oracle Security Engineは、Oracle Cryptoのスーパーセットです。
Oracle S/MIME
Oracle S/MIMEは、Internet Engineering Task Force(IETF)の安全な電子メールのためのSecure/Multipurpose Internet Mail Extension(S/MIME)仕様を実装します。
Oracle Web Services Security
Oracle Web Services Securityは、OASISのWebサービス・セキュリティの仕様に定義されているように、既存のセキュリティ・テクノロジを使用して、認証と認可のフレームワークを提供します。
OracleAS Portal
ファイル、イメージ、アプリケーションおよびWebサイトを統合するためのメカニズムを提供する、Oracle Single Sign-Onのパートナ・アプリケーション。「外部アプリケーション」ポートレットで、外部アプリケーションにアクセスできます。
その他の情報リポジトリ
Oracle Internet Directoryがセントラル・ディレクトリとして使用されるOracle Directory Integration and Provisioning環境における、Oracle Internet Directory以外のすべての情報リポジトリ。
パートナ・アプリケーション
認証機能をOracle Single Sign-Onサーバーに委任する、Oracle WebLogic ServerアプリケーションまたはOracle以外のアプリケーション。これらのアプリケーションでは、mod_ossoヘッダーを受け入れることで、ユーザーの再認証を省くことができます。
peer-to-peerレプリケーション
マルチマスター・レプリケーションまたはn-wayレプリケーションとも呼ばれます。このタイプのレプリケーションでは、複数のサイトが、レプリケートされたデータのグループを対等に管理できます。このようなレプリケーション環境では、各ノードがサプライヤ・ノードとコンシューマ・ノードになり、ディレクトリ全体が各ノードにレプリケートされます。
PKCS#1
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様です。PKCS#1は、RSAアルゴリズムに基づく公開鍵暗号化を実装するための勧告で、対象となるのは、暗号化プリミティブ、暗号化スキーム、署名スキーム、および鍵を表してスキームを指定するASN.1構文です。
PKCS#5
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様です。PKCS#5は、パスワードベースの暗号化の実装についての勧告。
PKCS#7
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様です。PKCS #7は、暗号を適用するデータ(デジタル署名やデジタル・エンベロープなど)の一般的な構文を指定します。
PKCS#8
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様です。PKCS #8は、一部の公開鍵アルゴリズムに対する秘密鍵や一連の属性など、秘密鍵情報の構文を指定します。この規格では、暗号化された秘密鍵の構文も指定されます。
PKCS#10
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様です。PKCS #10は、公開鍵、名前、さらには一連の属性に関する証明書リクエストの構文を指定します。
PKCS#12
Public Key Cryptography Standards(PKCS)は、RSA Laboratoriesによって開発された仕様です。PKCS #12は、秘密鍵、証明書、その他の機密情報および拡張領域など、個人のアイデンティティ情報を送信するための構文を指定します。この規格をサポートするシステム(ブラウザまたはオペレーティング・システムなど)では、一般的にウォレットと呼ばれる形式で、ユーザーが1セットの個人アイデンティティ情報のインポートやエクスポートを行い、それを使用することができます。
Point-to-Pointレプリケーション
ファンアウト・レプリケーションとも呼ばれます。サプライヤがコンシューマに直接レプリケートするレプリケーションのタイプ。コンシューマは1つ以上の他のコンシューマにレプリケートできます。レプリケーションには、完全レプリケーションと部分レプリケーションがあります。
ポリシーの優先順位
Oracle Application Server Certificate Authority(OCA)では、着信リクエストがメイン・ポリシー・ページに表示される順にポリシーが適用されます。OCAポリシー・プロセッサ・モジュールがポリシーを解析する場合は、ポリシー・リストの上位にあるポリシーから順にリクエストに適用されます。リストの下位のポリシーは最後に適用され、その他のポリシーよりも優先されます。有効なポリシーのみが着信リクエストに適用されます。
policy.properties
シングル・サインオン・サーバーで必要な基本パラメータを含む、Oracle Single Sign-Onのための汎用構成ファイル。Oracle Single Sign-Onの高度な機能(マルチレベル認証など)の構成にも使用されます。
POSIX
Portable Operating System Interface for UNIX。オペレーティング・システム間でアプリケーションを移植可能にするためのアプリケーション・ソース・コードの記述方法を制御する、プログラミング・インタフェース規格のセット。Internet Engineering Task Force(IETF)によって開発された一連の規格。
条件
Oracle Application Server Certificate Authority (OCA)では、ポリシー述語はポリシーに適用可能な論理式で、着信する証明書リクエストまたは失効に対するポリシーの適用方法を制限します。たとえば、次の述語式によって、表示されたポリシーでは、"ou=sales,o=acme,c=us"が含まれたDNを持つクライアントからのリクエストまたは失効に対して異なる影響を与えることを指定します。
Type=="client" AND DN=="ou=sales,o=acme,c=us"
プリンシパル
Oracle Identity Federationがサポートするアイデンティティ・フェデレーション・プロトコルに定義された3つのプライマリ・ロールのうちの1つ。その他のロールにはアイデンティティ・プロバイダとサービス・プロバイダがあります。
プリンシパルは、サービスを利用しフェデレーテッド・アイデンティティを取得する資格を持つエンティティです。通常、プリンシパルとは、アイデンティティを認証できる個人やユーザー、あるいはシステム・エンティティを指します。
1次ノード
Oracle Application Server Cold Failover Cluster(Identity Management)では、アプリケーションが常に実行しているクラスタ・ノード。
関連項目: 「2次ノード」
秘密鍵
秘密鍵は、公開鍵暗号化で使用される公開鍵と秘密鍵のペアのうち、秘密にしておく方の鍵。エンティティは、公開鍵で暗号化されたデータの復号化に秘密鍵を使用します。また、エンティティは秘密鍵を使用してデジタル署名を作成することもできます。エンティティの公開鍵で暗号化されたデータと秘密鍵で作成された署名のセキュリティはどちらも、秘密鍵の秘密が守られることを前提とします。
プロビジョニング・アプリケーション
ユーザーとグループの情報がOracle Internet Directoryで集中管理されている環境のアプリケーション。通常、このようなアプリケーションは、Oracle Internet Directoryでのこれらの情報の変化に影響を受けます。
プロビジョニング統合プロファイル
特別なディレクトリ統合プロファイル。Oracle Directory Integration and Provisioningによってディレクトリ対応のアプリケーションに送信されるプロビジョニング関連通知の種類を指定します。
プロキシ・サーバー
クライアント・アプリケーション(Webブラウザなど)と実サーバーの間にあるサーバー。実サーバーへのすべてのリクエストを途中で受け取り、それ自体がリクエストを実行できるかどうかを確認します。実行できない場合は、リクエストを実サーバーに転送します。Oracle Single Sign-Onでは、プロキシはロード・バランシングのため、およびセキュリティの追加レイヤーとして使用されます。
関連項目: 「ロード・バランサ」
プロキシ・ユーザー
通常、ファイアウォールなどの中間層を備えた環境で利用されるユーザー。このような環境では、エンド・ユーザーは中間層を認証します。この結果、中間層はエンド・ユーザーにかわってディレクトリにログインします。プロキシ・ユーザーにはアイデンティティを切り替える権限があり、1度ディレクトリにログインすると、エンド・ユーザーのアイデンティティに切り替えます。次に、その特定のエンド・ユーザーに付与されている認可を使用して、エンド・ユーザーのかわりに操作を実行します。
公開鍵
公開鍵は、公開鍵暗号化で使用される公開鍵と秘密鍵のペアのうち、秘密にしない方の鍵です。公開鍵を使用して、エンティティはデータを暗号化でき、暗号化されたデータは、公開鍵の所有者が対応する秘密鍵を使用した場合のみ復号化できます。公開鍵は、対応する秘密鍵で作成されたデジタル署名の検証にも使用できます。
公開鍵暗号化
公開鍵暗号化(非対称暗号化とも呼ばれる)では、公開鍵と秘密鍵の2つが使用されます。これらの鍵は鍵ペアと呼ばれます。秘密鍵は秘密にする必要がありますが、公開鍵は誰にでも送信できます。秘密鍵と公開鍵は数学的に関連しています。秘密鍵で署名されたメッセージは、対応する公開鍵で検証できます。同様に、公開鍵で暗号化されたメッセージは秘密鍵で復号化できます。秘密鍵の所有者のみがメッセージを復号化できるため、この方法でプライバシを確保できます。
公開鍵と秘密鍵のペア
数学的に関連付けられた2つの数字のセット。1つは秘密鍵、もう1つは公開鍵と呼ばれます公開鍵は通常広く使用可能であるのに対して、秘密鍵はその所有者のみ使用可能です。公開鍵で暗号化されたデータは、それに関連付けられた秘密鍵でのみ復号化でき、秘密鍵で暗号化されたデータは、それに関連付けられた公開鍵でのみ復号化できます。公開鍵で暗号化されたデータを、同じ公開鍵で復号化することはできません。
RC2
Rivest Cipher 2(RC2)は、RSA Security社のためにRonald Rivestが開発した64ビットのブロック暗号。Data Encryption Standard(DES)に替わるものとして設計されます。
RC4
Rivest Cipher Four (RC4)は、RSA Security社のためにRonald Rivestが開発したストリーム暗号です。RC4では、最大1024ビットの様々な長さの鍵を使用できます。RC4は、Secure Sockets Layer (SSL)プロトコルを使用するWebサイト間のトラフィックを暗号化することによって、データ通信の保護に最もよく使用されます。
レルム検索ベース
すべてのID管理レルムを含むディレクトリ情報ツリー(DIT)内のエントリを識別するルートOracleコンテキストでの属性。この属性は、単純なレルム名をディレクトリ内の対応するエントリにマッピングする際に使用されます。
登録局(RA)
登録局(RA)は、証明書が認証局(CA)から発行される前にユーザーの検証と登録を行います。RAは、各申請者に、申請された新しい証明書の相対識別値または相対識別名を割り当てることがあります。RAは証明書の署名または発行は行いません。
レジストリ・エントリ
ディレクトリ・サーバー・インスタンスと呼ばれる、Oracle Internet Directoryサーバーの起動に関するランタイム情報を含むエントリ。レジストリ・エントリは、対応するディレクトリ・サーバー・インスタンスが停止するまで、ディレクトリに格納されます。
リレーショナル・データベース
構造化されたデータの集合。同一の列のセットを持つ1つ以上の行で構成される表にデータが格納されます。Oracleでは、複数の表のデータを容易にリンクできます。このため、Oracleはリレーショナル・データベース管理システム、つまりRDBMSと呼ばれます。Oracleはデータを複数の表に格納し、さらに表間の関係を定義できます。このリンクは両方の表に共通する1つ以上のフィールドに基づいて行われます。
相対識別名(RDN)
ローカルの最下位レベルのエントリ名。エントリのアドレスを一意に識別するために使用される他の修飾エントリ名は含まれません。たとえば、cn=Smith,o=acme,c=USでは、cn=Smithが相対識別名です。
RFC
Internet Request For Comments(RFC)文書は、インターネットのプロトコルとポリシーについて記述された定義。Internet Engineering Task Force(IETF)が、新しい規格の議論、開発および制定を促進します。規格は、RFCという頭字語と参照番号を使用して発表されます。たとえば、電子メールの公式規格はRFC 822。
ルートOracleコンテキスト
Oracle Identity Managementインフラストラクチャでは、ルートOracleコンテキストは、インフラストラクチャのデフォルト・アイデンティティ管理レルムへのポインタを含むOracle Internet Directoryのエントリです。単純な名前を指定してアイデンティティ管理レルムの位置を特定する方法の詳細も含まれます。
RSA
RSAは、開発者の名前(Rivest、ShamirおよびAdelman)に由来する公開鍵暗号化アルゴリズム。RSAアルゴリズムは最もよく使用される暗号化と認証のアルゴリズムであり、Netscape社およびMicrosoft社のWebブラウザやその他の製品にも含まれます。
RSAES-OAEP
RSA Encryption Scheme - Optimal Asymmetric Encryption Padding(RSAES-OAEP)は、RSAアルゴリズムとOAEP方法を組み合せた公開鍵暗号化スキーム。Optimal Asymmetric Encryption Padding(OAEP)は、Mihir BellareおよびPhil Rogawayによって開発されたメッセージのエンコーディング方法です。
2次ノード
Oracle Application Server Cold Failover Cluster(Identity Management)では、アプリケーションがフェイルオーバー時に移行されるクラスタ・ノード。
関連項目: 「1次ノード」
秘密鍵
秘密鍵は、対称アルゴリズムで使用される鍵。秘密鍵は暗号化と復号化の両方で使用されるため、暗号文を互いに送信する両者が共有する必要がありますが、認可されていないエンティティに対しては秘密にする必要があります。
Secure Hash Algorithm(SHA)
入力に基づいて160ビットのメッセージ・ダイジェストを生成するハッシュ関数アルゴリズム。このアルゴリズムは、デジタル署名標準(DSS)で使用されます。128、192、256ビットの3通りの鍵サイズを提供するAdvanced Encryption Standard(AES)の導入により、それらに対応するセキュリティ・レベルを持つハッシュ・アルゴリズムが必要となっています。より新しいSHA-256、SHA-284およびSHA-512ハッシュ・アルゴリズムは、このような増大する要件を満たしています。
Secure Sockets Layer(SSL)
ネットワーク(インターネットなど)経由での暗号化および認証された通信を実現するために、Netscape Communications社が設計したプロトコル。SSLでは、RSAの公開鍵暗号システムが使用され、デジタル証明書の使用も組み込まれています。セキュアな通信の3つの要素である機密保護、認証および整合性が実現します。
SSLが発展したものがTransport Layer Security(TLS)です。TLSとSSLは相互運用できません。ただし、TLSを使用して送信されたメッセージはSSLを扱うクライアントで処理できます。
Secure/Multipurpose Internet Mail Extension(S/MIME)
Secure/Multipurpose Internet Mail Extension(S/MIME)は、デジタル署名と暗号化を使用することでMIMEデータを保護するInternet Engineering Task Force(IETF)の規格。
Security Assertions Markup Language(SAML)
アクセス制御に関する決定を行う場合に使用されるサブジェクトに関するアサーションの生成によってサブジェクトのセキュリティ情報を交換するためのメカニズムを定義する、XMLベースのフレームワーク。SAMLを使用すると、SAMLを使用しなければ相互運用できないアイデンティティ・プロバイダとサービス・プロバイダの間で、認証および認可の情報を交換できるようになります。
SAML 2.0はSAML標準を大幅に改訂したもので、SAML 1.1を更新し、ShibbolethとLiberty ID-FFの両方の仕様に基づく入力を統合します。SAML 2.0の主要な特色の1つは、ユーザーとの連携によって2つのサイトが同一ユーザーのIDを設定して保持することができる機能です。その他、プライバシ保護メカニズム、グローバル・ログアウトのサポートなどの機能があります。
サーバー証明書
安全なWebサーバーを使用してデータを提供する組織のアイデンティティを証明する証明書。サーバー証明書には、相互に信頼できる認証局(CA)から発行された公開鍵と秘密鍵のペアが関係付けられている必要があります。サーバー証明書は、ブラウザとWebサーバーの安全な通信のために必要です。
サービス・プロバイダ
Oracle Identity Federationがサポートするアイデンティティ・フェデレーション・プロトコルに定義された3つのプライマリ・ロールのうちの1つ。その他のロールにはアイデンティティ・プロバイダとプリンシパルがあります。
SAMLにおける利用者であるサービス・プロバイダは、プリンシパルにサービスまたは製品を提供すると同時に、そのプリンシパルのアイデンティティ認証を得るためにアイデンティティ・プロバイダを利用します。
共有サーバー
サポートされるユーザー数を増やすために、多数のユーザー・プロセスがごく少数のサーバー・プロセスを共有できるように構成されたサーバー。共有サーバー構成では、多数のユーザー・プロセスがディスパッチャに接続します。ディスパッチャは複数の着信ネットワーク・セッション・リクエストを共通キューに送ります。サーバー・プロセスの共有プールにあるアイドル状態の共有サーバー・プロセスが、キューのリクエストを受け取ります。つまり、サーバー・プロセスのプールが小さくても、多数のクライアントにサービスを提供できます。専用サーバーと対比される機能。
Signed Public Key And Challenge(SPKAC)
Signed Public Key And Challenge(SPKAC)は、Netscape Navigatorブラウザが証明書をリクエストするために使用する固有プロトコル。
簡易認証
ネットワークでの送信時に暗号化されない識別名(DN)とパスワードを使用して、クライアントがサーバーに対して自己認証を行うプロセス。簡易認証オプションでは、クライアントが送信したDNとパスワードと、ディレクトリに格納されているDNとパスワードが一致していることをサーバーが検証します。
Simple Authentication and Security Layer(SASL)
各種アプリケーション・プロトコルに対し、認証機能と認可機能を追加するための手段。SASLによってプロトコルと接続との間にセキュリティ・レイヤーが提供されることにより、サーバーへのユーザー認証が可能となります。また、セキュリティ・レイヤーのネゴシエーションにより、後続のプロトコル間の相互作用も保護されます。
Simple Object Access Protocol(SOAP)
インターネットを介したシステム間のメッセージ交換のためのフレームワークを定義する、XMLベースのプロトコル。SOAPはWebサービス用の共通プロトコルであり、HTTPやFTPなどの転送プロトコルとともに使用されます。SOAPメッセージは、メッセージとその処理方法を指定するエンベロープ、アプリケーション定義データ型のインスタンスを表す一連のエンコーディング規則、およびリモート・プロシージャ・コールとレスポンスを表すための規約、という3つの部分から構成されます。
シングル・サインオフ
Oracle Single Sign-Onセッションを終了し、すべてのアクティブなパートナ・アプリケーションから同時にログアウトするプロセス。操作しているアプリケーションからログアウトするとシングル・サインオフを実行できます。
シングル・サインオン(SSO)
フェデレーテッド環境でシングル・サインオンを使用すると、ユーザーはフェデレーテッド・グループのメンバーであるいずれかのアイデンティティ・プロバイダまたはサービス・プロバイダに1回の操作でサインオンでき、後で再度サインオンすることなく、複数のメンバーから提供されるリソースを利用できます。
シングル・サインオンSDK
Oracle Single Sign-Onのパートナ・アプリケーションをシングル・サインオン対応にするレガシーAPI。このSDKは、PL/SQLおよびJava APIと、これらのAPIの実装方法を示すサンプル・コードで構成されます。現在このSDKは非推奨で、かわりにmod_ossoが使用されます。
特定管理領域
管理領域では次の項目が管理されます。
サブスキーマの管理
アクセス制御の管理
集合属性の管理
特定管理領域では、この3つの管理側面のうち1つが制御されます。特定管理領域は、自律型管理領域に含まれます。
ストリーム暗号
ストリーム暗号は、対称アルゴリズムの1つ。ストリーム暗号では、一度に1ビットまたは1バイトといった小さな単位で暗号化が行われ、鍵を常に変更するためになんらかのフィードバック・メカニズムが実装されます。RC4はストリーム暗号の例です。
関連項目: 「ブロック暗号」
サブエントリ
サブツリー内のエントリのグループに適用できる情報を含むエントリのタイプ。情報には次のタイプがあります。
アクセス制御ポリシー・ポイント
スキーマ・ルール
集合属性
サブエントリは、管理領域のルートの直下に位置します。
サブツリー
ディレクトリ情報ツリー(DIT)とも呼ばれるディレクトリ階層の部分。通常、サブツリーは特定のディレクトリ・ノードから開始し、ディレクトリ階層内でそのノードの下にあるすべてのサブディレクトリとオブジェクトが含まれます。
サブタイプ
オプションを持たない同じ属性に対して、1つ以上のオプションを持つ属性。たとえば、American Englishをオプションとして持つcommonName(cn)属性は、そのオプションを持たないcommonName(cn)属性のサブタイプです。逆に、オプションを持たないcommonName(cn)属性は、オプションを持つ同じ属性のスーパータイプです。
スーパークラス
別のオブジェクト・クラスが導出されるオブジェクト・クラス。たとえば、オブジェクト・クラスpersonは、オブジェクト・クラスorganizationalPersonのスーパークラスです。organizationalPersonは、personのサブクラスであり、personに含まれる属性を継承します。
上位参照
上位のディレクトリ・システム・エージェント(DSA)を指すナレッジ参照。このDSAは、参照元のDSAで保持されるすべてのネーミング・コンテキストよりも上位にある、ディレクトリ情報ツリー(DIT)内のネーミング・コンテキストを保持します。
スーパータイプ
1つ以上のオプションを持つ同じ属性に対して、オプションを持たない属性。たとえば、オプションを持たないcommonName(cn)属性は、オプションを持つ同じ属性のスーパータイプです。逆に、American Englishをオプションとして持つcommonName(cn)属性は、そのオプションを持たないcommonName(cn)属性のサブタイプです。
対称暗号化
対称暗号化(または共有秘密暗号化)システムは、データの暗号化と復号化に同じ鍵を使用します。対称暗号化では、送信者と受信者の秘密鍵が一致するため、安全性の確保が問題になります。サード・パーティが送信中に秘密鍵を傍受すると、その秘密鍵で暗号化されたすべてのデータを復号化できます。対称暗号化は、通常は非対称暗号化よりも処理が速く、大量のデータを交換する必要がある場合に使用されます。対称暗号化アルゴリズムの例は、DES、RC2およびRC4。
システム・グローバル領域(SGA)
共有メモリー構造の1グループ。1つのOracleデータベース・インスタンスに関するデータと制御情報が含まれています。複数のユーザーが同じインスタンスに同時に接続した場合、そのインスタンスのSGA内のデータはユーザー間で共有されます。したがって、SGAは共有グローバル領域と呼ばれることもあります。バックグラウンド・プロセスとメモリー・バッファの組合せは、Oracleインスタンスと呼ばれます。
システム操作属性
ディレクトリの操作に関連する情報を保持する属性。エントリのタイムスタンプなど、一部の操作情報は、サーバーを制御するためにディレクトリによって指定されます。アクセス情報などその他の操作情報は、管理者によって定義され、ディレクトリ・プログラムによって処理時に使用されます。
サード・パーティのアクセス管理システム
Oracle Single Sign-Onを使用してOracle WebLogic Serverアプリケーションにアクセスできるように変更可能な、Oracle以外のシングル・サインオン・システム。
タイムスタンプ・プロトコル(TSP)
タイムスタンプ・プロトコル(TSP)では、RFC 3161に指定されているように、デジタル・メッセージのタイムスタンプに関連するエンティティ、メッセージ書式および転送プロトコルが定義されます。TSPシステムでは、信頼できるサード・パーティのタイムスタンプ局(TSA)がメッセージのタイムスタンプを発行します。
Transport Layer Security(TLS)
インターネット上で通信のプライバシを提供するプロトコル。このプロトコルを使用すると、クライアント/サーバー・アプリケーションの通信における、傍受、改ざんまたはメッセージ偽造を防止できます。
Triple Data Encryption Standard(3DES)
Triple Data Encryption Standard (3DES)は、1974年にIBM社によって開発され、1977年に国家規格に採用されたData Encryption Standard (DES)アルゴリズムに基づいています。3DESでは、64ビット長の3つの鍵が使用されます(鍵全体の長さは192ビットですが、実際の鍵の長さは56ビットです)。データは最初の鍵で暗号化された後、2番目の鍵で復号化され、最後に3番目の鍵で再び暗号化されます。このため、3DESは通常のDESよりも3倍時間がかかりますが、3倍の安全性が得られます。
信頼できる証明書
信頼できるレベルとみなされるサード・パーティのアイデンティティ。アイデンティティが申告どおりのエンティティとして検証されると、信頼できるようになります。通常、信頼できる証明書は、ユーザー証明書の発行元として信頼している認証局(CA)から得ます。
Unicode
汎用キャラクタ・セットのタイプ。16ビットの領域にエンコードされた64Kの文字の集合。既存のほとんどすべてのキャラクタ・セット規格の文字をすべてエンコードします。世界中で使用されているほとんどの記述法を含みます。Unicode はUnicode社によって所有および定義されます。Unicodeは標準的なエンコーディングであり、異なるロケールで値を伝達できることを意味します。しかし、すべてのOracleキャラクタ・セットとの間で、情報の損失なしにラウンドトリップ変換が行われることは保証されません。
URI
Uniform Resource Identifier(URI)の略称。Web上にある、あらゆるコンテンツ(テキスト・ページ、ビデオ・クリップ、サウンド・クリップ、静的画、動画、プログラムなど)の位置を識別する手段です。最も一般的なURIはWebページ・アドレスで、URLと呼ばれる、URIの特別な形式つまりサブセットで構成されます。
URL
Uniform Resource Locator(URL)。インターネット上でアクセス可能なファイルのアドレス。テキスト・ファイル、HTMLページ、プログラム、またはHTTPでサポートされるその他のファイルが該当します。URLには、リソースにアクセスするために必要なプロトコルの名前、インターネット上の特定のコンピュータを識別するドメイン名、およびコンピュータ上のファイル位置の階層を表す記述が含まれます。
URLCトークン
認証されたユーザーの情報をパートナ・アプリケーションに渡すOracle Single Sign-Onのコード。パートナ・アプリケーションでは、この情報を使用してセッションCookieを構築します。
ユーザー名マッピング・モジュール
ユーザー証明書をユーザーのニックネームにマッピングするOracle Single Sign-OnのJavaモジュール。ニックネームは認証モジュールに渡され、認証モジュールがこのニックネームを使用して、ユーザーの証明書をディレクトリから取得します。
協定世界時(UTC)
世界中のあらゆる場所で共通の標準時間。以前から現在に至るまで広くグリニッジ時(GMT)または世界時と呼ばれており、UTCは名目上は地球の本初子午線に関する平均太陽時を表します。UTC形式である場合、値の最後にzが示されます(例: 200011281010z)。
UTF-8
文字ごとに連続した1、2、3または4バイトを使用するUnicodeの可変幅8ビット・エンコーディング。0から127の文字(7ビットASCII文字)は1バイトでエンコードされ、128から2047の文字では2バイト、2048から65535の文字では3バイト、65536以上の文字では4バイトを必要とします。このためのOracleキャラクタ・セット名はAL32UTF8(Unicode 3.1標準用)となります。
仮想ホスト
1つ以上のWebサイトまたはドメインのホストである単一の物理Webサーバー・マシン。または、他のマシンのプロキシとして作動するサーバー(着信リクエストを受け取り、適切なサーバーに転送します)。
Oracle Single Sign-Onの場合、仮想ホストは、複数のOracle Single Sign-Onサーバー間のロード・バランシングに使用されます。また、これによってセキュリティがさらに強化されます。
仮想IPアドレス
Oracle Application Server Cold Failover Cluster(Identity Management)では、各物理ノードが独自の物理IPアドレスと物理ホスト名を持ちます。1つのシステム・イメージを外部に表すために、クラスタでは、クラスタ内のどの物理ノードにも移動できる動的IPアドレスが使用されます。これが仮想IPアドレスと呼ばれます。
ウォレット
個々のエンティティに対するセキュリティ資格証明の格納と管理に使用される抽象的な概念。様々な暗号化サービスで使用できるように、資格証明の格納と取出しを実現します。Wallet Resource Locator (WRL)は、Walletの位置を特定するために必要な情報をすべて提供します。
Webサービス
Webサービスは、標準のインターネット・プロトコル(HTTP、XML、SOAPなど)を使用してアクセスできるアプリケーション・ロジックまたはビジネス・ロジック。Webサービスには、コンポーネントベースの開発とWorld Wide Webの優れた面が備わっています。Webサービスはコンポーネントと同様に、サービスの実装方法に関係なく使用および再使用できるブラックボックス機能を表します。
Web Services Description Language(WSDL)
Web Services Description Language(WSDL)は、XMLを使用してWebサービスを指定するための標準形式。WSDL定義では、Webサービスへのアクセス方法とWebサービスが実行する操作が指定されます。
WS-Federation
Web Services Federation Language (WS-Federation)は、Microsoft社、IBM社、BEA社、VeriSign社およびRSA Security社によって開発された仕様です。関連するWebサービス間のアイデンティティ、属性および認証の信頼性を確立および仲介することによって、異なるメカニズムまたは類似したメカニズムを使用するエンティティ間のフェデレーションを可能にするメカニズムを定義します。
関連項目: 「Liberty Alliance」
X.500
X.500は、グローバル・ディレクトリの構成方法を定義する国際電気通信連合(ITU)の規格。X.500のディレクトリは、情報の各カテゴリ(国、州および市など)に様々なレベルを含む階層構造です。
X.509
X.509は、デジタル証明書の定義で最も広く使用されている規格。多くの公開鍵インフラストラクチャ(PKI)実装で使用される、認証サービスを含む階層ディレクトリのための国際電気通信連合(ITU)の規格です。
XKMS
XML Key Management Specification (XKMS)は、World Wide Web Consortium (W3C)によって開発され、公開鍵の配布と登録のためのプロトコルを指定します。XKMSは2つのパートから構成されています。1つは、公開鍵情報を解決する信頼サービス用のプロトコルを定義するXML Key Information Service Specification (X-KISS)、もう1つは、公開鍵情報の登録を受け付けるWebサービス用のプロトコルを定義するXML Key Registration Service Specification (X-KRSS)です。
XML
eXtensible Markup Language(XML)は、W3Cによって開発された仕様。XMLは、Standard Generalized Mark-Up Language (SGML)のWeb文書専用に設計された縮小版です。XMLはメタ言語(タグ・セットを定義する方法)であり、開発者は独自にカスタマイズしたマークアップ言語を文書の多数のクラスに定義できます。
XML正規化(C14N)
論理的に等しい2つのXML文書を同じ物理表現に解決できるプロセス。デジタル署名の計算対象となったデータと同一の物理表現に対してのみ署名の検証が可能なため、このプロセスは重要です。詳細は、W3CのXML正規化の仕様を参照してください。
