この付録では、Oracle Entitlements Serverについて説明し、Oracle Entitlements Server Basicライセンスで使用可能なOracle Entitlements Server Security Module機能について説明します。内容は次のとおりです。
Oracle Entitlements Server Basicは、Oracle Platform Security Services(OPSS)内の埋込み認可エンジンに置き換わるものであり、基本的なロール・ベースのアクセス制御およびJava2/JAAS権限ベースの認可ポリシーを定義、適用および監査するために使用されます。Oracle Entitlements Server Basicのライセンスは、各ライセンス・ドキュメントにこのコンポーネントがリストされたOracle製品にのみ含まれ、使用できます。
表C-1では、Oracle Entitlements Serverと、Oracle Entitlements Server Basicライセンスの条件下で使用制限があるOracle Entitlements Server Security Module機能を要約しています。これらの機能のフルユースには、Oracle Entitlements ServerおよびOracle Entitlements Server Security Moduleのライセンスが必要です。
注意: Oracle TopLink and Application Development Frameworkが付属することによりOracle WebLogic Serverエディションに含まれるOracle Entitlements Server Basicは、Application Development Frameworkで開発されたアプリケーション専用です。 |
表C-1 Oracle Entitlements Server Basicライセンスによる機能の制約
機能のカテゴリ | Oracle Entitlements Server Basicライセンスによる制限の要約 |
---|---|
ロール・ベースのアクセス制御(RBAC)およびJava2/JAAS権限 |
RBACおよびJava2/JAAS権限は、Oracle Entitlements Serverでサポートされる2つの認可標準です。 Oracle Entitlements Server Basicでは、RBACおよびJava2/JAAS権限を使用して、Oracle Entitlements Server Basicを含むOracle製品の認可を定義、適用および監査できます。 Oracle Entitlements Server Basicライセンスでは、肯定的な付与または許可ベースの認可ポリシーのみが許可されています。 |
リソースおよびロール |
Oracle Entitlements Serverでは、アプリケーションにおいて、リソース・カタログ、アプリケーション・ロール、ロール階層、認可ポリシーおよび動的ロール・マッピング・ポリシーを定義できます。 Oracle Entitlements Server Basicでは、Java2/JAAS権限と、Oracle Entitlements Server Basicを含むOracle製品によりデフォルトで保護されているリソース・タイプに基づくリソースに対する認可の使用のみが許可されています。Oracle Entitlements Server Basicライセンスでは、アプリケーション・ロール、ロール階層および静的な(無条件の)ロール割当ての使用が許可されています。 Oracle Entitlements Server Basicライセンスでは、動的なロール・マッピング・ポリシーの使用は許可されていません。 |
XACML、属性ベースのアクセス制御(ABAC)、データ・セキュリティ |
XACML、ABACおよびデータ・セキュリティは、Oracle Entitlements Serverでサポートされる認可標準/モデルであり、組織は、条件と義務に基づくルール・ベースの拡張ロール・マッピングおよび認可ポリシーを定義および適用できます。 Oracle Entitlements Server Basicライセンスでは、XACML、ABAC、属性、関数、データ・アクセス制御、条件と義務の使用は許可されていません。 |
カスタム・サード・パーティ・アプリケーション、ミドルウェア、アプリケーション・サーバー、データベースのサポート |
Oracle Entitlements Serverにより、組織は、多様なアプリケーション、ミドルウェア、アプリケーション・サーバーおよびデータベースに対する認可ポリシーを定義、適用および管理できます。 Oracle Entitlements Server Basicライセンスでは、サード・パーティ(Oracle以外)のアプリケーション、ミドルウェア、アプリケーション・サーバーおよびデータベースに対する認可および統合は許可されていません。 Oracle Entitlements Server Basicでは、Oracle Entitlements Server Basicを含むOracle Fusion Middlewareテクノロジを使用して構築されたカスタム・アプリケーションとの統合のみが許可されており、Oracle Entitlements Server Basicに対して定義されたすべてのライセンス条件および制限事項が適用されます。 |
監査および管理UI |
Oracle Entitlements Serverにより、組織は、認可およびロール・マッピング・ポリシーの管理、ならびに認可に関する意思決定およびポリシー変更の監査を実行時に行うことができます。 Oracle Entitlements Server Basicでは、Oracle Entitlements Server管理UIコンソール(認可ポリシー・マネージャ)の使用が許可されており、Oracle Entitlements Server Basicに対して定義されたすべてのライセンス条件および制限事項が適用されます。監査データの監査およびレポートが許可されています。 |
PDP/Security Moduleのデプロイメント |
Oracle Entitlements Serverでは組織に対し、Oracle Entitlements Server PDP/Security Moduleの複数のデプロイメント・オプションを提供します。 Oracle Entitlements Server Basicでは、Oracle Entitlements Server Basicを含むOracle Fusion MiddlewareテクノロジおよびOracle Applicationsとともに事前インストールされた、デフォルトの埋込みPDP/Security Moduleの使用のみが許可されています。認可エンジンのデフォルトの「無制御のプル」ポリシー配布モードおよび埋込み/インプロセス・デプロイメント・モードのみが、Oracle Entitlements Server Basicの一部として許可されています。 |
Oracle Entitlements Server SDK |
Oracle Entitlements Server SDKは、実行時の認可に関する意思決定機能およびOracle Entitlements Serverアーティファクトの管理用ツールを提供します。 Oracle Entitlements Server Basicでは、Oracle Entitlements Server Basicを含むOracle Fusion Middlewareテクノロジで構築されたアプリケーションについてのみ、JavaベースのOracle Entitlements Serverによる実行時の認可に関する意思決定APIの使用が許可されており、Oracle Entitlements Server Basicに対して定義されたすべてのライセンス条件および制限事項が適用されます。 Oracle Entitlements Server Basicライセンスでは、Oracle Entitlements Server管理(MAPI)SDKによるポリシー関連アーティファクトの管理およびオーサリングは許可されていません。 |
ポリシー・ストア |
Oracle Entitlements Serverは組織に対し、認可ポリシーの格納場所について多くのオプションを提供します。 Oracle Entitlements Server Basicでは、認定済ポリシー・ストアにおける認可ポリシーおよび関連アーティファクトの格納が許可されています。 |
ポリシー・シミュレーション |
Oracle Entitlements Serverは組織に対し、認可およびロール・マッピング・ポリシーの評価および結果をシミュレートする機能を提供します。 Oracle Entitlements Server Basicライセンスでは、ポリシー・シミュレーションUIの使用が許可されており、Oracle Entitlements Server Basicに対して定義されたすべてのライセンス条件および制限事項が適用されます。 |
アイデンティティ・ストア |
Oracle Entitlements Serverにより、組織は1つ以上のアイデンティティ・ストア(通常はLDAPサーバーまたはデータベース)を使用し、ユーザーおよび外部ロール/グループ情報を参照できます。 Oracle Entitlements Server Basicでは、管理対象アプリケーションに対するグローバル・アイデンティティ・ストアおよび構成の使用を許可しています。Oracle Entitlements Server Basicでは、アプリケーション固有のアイデンティティ・ストアの使用は許可されていません。 |