ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護
12
c
(12.1.2)
E47967-02
次
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
このガイドで説明する新機能
リリース12.1.2.0.0の新機能
第I部 セキュリティの概念の理解
1
Oracle Platform Security Servicesの概要
1.1
Oracle Platform Security Servicesとは
1.1.1
OPSSの主な機能
1.1.2
サポートされているサーバー・プラットフォーム
1.2
OPSSのアーキテクチャの概要
1.2.1
OPSSの利点
1.3
Oracle ADFのセキュリティの概要
1.4
管理者向けのOPSS
1.5
開発者向けのOPSS
1.5.1
シナリオ1: Java EEアプリケーションのセキュリティ強化
1.5.2
シナリオ2: Oracle ADFアプリケーションの保護
1.5.3
シナリオ3: Java SEアプリケーションの保護
2
ユーザーおよびロールの理解
2.1
用語
2.2
ロール・マッピング
2.2.1
パーミッションの継承とロールの階層
2.3
認証ロール
2.4
匿名ユーザーとロール
2.4.1
匿名サポートとサブジェクト
2.5
管理ユーザーとロール
2.6
ユーザー・アカウントの管理
2.7
プリンシパル名の比較ロジック
2.7.1
プリンシパルの比較が認可に及ぼす影響
2.7.2
プリンシパル名の比較を制御するシステム・パラメータ
2.8
ロール・カテゴリ
3
アイデンティティ、ポリシー、資格証明、キー、証明書および監査の理解
3.1
認証の基本
3.1.1
アイデンティティ・ストアのタイプとWebLogic認証プロバイダ
3.1.2
WebLogic認証プロバイダ
3.1.2.1
複数の認証プロバイダ
3.1.2.2
その他の認証方式
3.2
ポリシー・ストアの基本
3.3
資格証明ストアの基本
3.4
キーストア・サービスの基本
3.4.1
キーストア・リポジトリのタイプ
3.4.2
キーストア・リポジトリのスコープと再関連付け
3.5
監査サービスの基本
4
Oracle Platform Security Servicesのシナリオについて
4.1
サポートされているファイルベース、LDAPベースおよびDBベースのサービス
4.2
管理ツール
4.3
パッケージ要件
4.4
シナリオの例
4.5
その他のシナリオ
第II部 OPSSの基本的な管理
5
セキュリティ管理
5.1
テクノロジに応じた管理ツールの選択
5.2
基本的なセキュリティ管理タスク
5.2.1
新しい本番環境の設定
5.3
Fusion Middleware Controlを使用した一般的なセキュリティ操作
5.4
管理コンソールを使用した一般的なセキュリティ操作
5.5
Oracle Entitlements Serverを使用した一般的なセキュリティ操作
5.6
WLSTコマンドを使用した一般的なセキュリティ操作
6
セキュア・アプリケーションのデプロイ
6.1
概要
6.2
デプロイのためのツールの選択
6.2.1
Fusion Middleware Controlを使用したJava EEアプリケーションとOracle ADFアプリケーションのデプロイ
6.3
テスト環境へのOracle ADFアプリケーションのデプロイ
6.3.1
テスト環境へのデプロイ
6.3.1.1
テスト環境へのデプロイ後の一般的な管理タスク
6.4
標準Java EEアプリケーションのデプロイ
6.5
監査機能を伴ったアプリケーションのデプロイ
6.5.1
監査のパッケージ化要件
6.5.2
監査サービスへの登録
6.5.3
監査データの移行
6.6
テスト環境から本番環境への移行
6.6.1
アイデンティティの移行
6.6.1.1
migrateSecurityStoreを使用したアイデンティティの移行
6.6.2
ポリシーおよび資格証明の移行
6.6.2.1
migrateSecurityStoreを使用したポリシーの移行
6.6.2.2
migrateSecurityStoreを使用した資格証明の移行
6.6.2.3
大量のポリシー・ストアおよび資格証明ストアの移行
6.6.3
監査情報の移行
6.6.4
キーストア・サービス・アーティファクトの移行
6.6.4.1
キーストア移行の概要
6.6.4.2
ドメイン内でのキーストア・サービス・アーティファクトの移行
6.6.4.3
ドメイン間でのキーストア・サービス・アーティファクトの移行
第III部 OPSSサービス
7
セキュリティ・アーティファクトのライフサイクル
7.1
概要
7.2
FMWドメイン
7.3
FMWドメインの作成
7.3.1
新しいデータベース・インスタンスの使用
7.3.2
データベース・インスタンスの共有
7.4
階層型コンポーネントのセキュリティ・アーティファクト
7.5
12.1.2へのアップグレード
7.5.1
アップグレード前に
7.5.2
アップグレード手順
7.6
OPSSセキュリティ・ストアのバックアップとリカバリ
7.6.1
DBベースのセキュリティ・ストアのバックアップとリカバリ
7.6.2
OIDベースのセキュリティ・ストアのバックアップとリカバリ
7.6.3
推奨事項
8
アイデンティティ・ストア・サービスの構成
8.1
アイデンティティ・ストア・サービスの概要
8.1.1
アイデンティティ・ストア・サービスについて
8.1.2
サービス・アーキテクチャ
8.1.3
アプリケーション・サーバーのサポート
8.1.4
Java SEのサポート
8.2
アイデンティティ・ストア・プロバイダの構成
8.3
アイデンティティ・ストア・サービスの構成
8.3.1
構成内容
8.3.1.1
複数のLDAP検索の構成
8.3.1.2
グローバル/接続パラメータ
8.3.1.3
バックエンド/接続パラメータ
8.3.2
WebLogic Serverにおける構成
8.3.2.1
単一のLDAPを使用する場合のサービスの構成
8.3.2.2
virtualizeプロパティを指定せずに複数のLDAPを使用する場合のサービスの構成
8.3.2.3
Fusion Middleware Controlによる複数のLDAPを使用する場合のサービスの構成
8.3.2.4
WLSTによる複数のLDAPを使用する場合のサービスの構成
8.3.2.5
WLSTを使用したタイムアウト設定の構成
8.3.2.6
その他のパラメータの構成
8.3.2.7
サーバーの再起動
8.3.2.8
構成ファイルの例
8.3.3
分割プロファイルの構成
8.3.4
カスタム認証プロバイダの構成
8.3.5
その他のアプリケーション・サーバーの構成
8.3.5.1
単一のLDAPを使用する場合のサービスの構成
8.3.5.2
複数のLDAPを使用する場合のサービスの構成
8.3.6
Java SE環境
8.4
プログラムによるアイデンティティ・ストアの問合せ
8.5
アイデンティティ・ストア・サービスでのSSLの使用
8.5.1
Oracle WebLogic Serverからアイデンティティ・ストアへの接続
8.5.2
キーストア・サービスでのSSLの構成
8.5.2.1
キーストア・サービスでの複数のLDAPシナリオでの一方向SSL
8.5.2.2
キーストア・サービスでの複数のLDAPシナリオでの双方向SSL
8.5.3
JKSベースのキーストアでのSSLの構成
8.5.3.1
JKSベースのキーストアを使用した複数のLDAPシナリオでの一方向SSL
8.5.3.2
JKSベースのキーストアを使用した複数のLDAPシナリオでの双方向SSL
9
OPSSセキュリティ・ストアの構成
9.1
OPSSセキュリティ・ストアの概要
9.1.1
マルチサーバー環境
9.2
LDAPベースのOPSSセキュリティ・ストアの使用
9.2.1
LDAPベースのセキュリティ・ストアを使用する場合の前提条件
9.2.2
LDAPへの一方向SSL接続の設定
9.3
DBベースのOPSSセキュリティ・ストアの使用
9.3.1
DBベースのセキュリティ・ストアを使用する場合の前提条件
9.3.2
DBベースのセキュリティ・ストアのメンテナンス
9.3.3
DBへのSSL接続の設定
9.4
OPSSセキュリティ・ストアの構成
9.5
OPSSセキュリティ・ストアの再関連付け
9.5.1
Fusion Middleware Controlを使用した再関連付け
9.5.1.1
Oracle Internet Directoryノードへのアクセスの保護
9.5.2
スクリプトreassociateSecurityStoreを使用した再関連付け
9.6
OPSSセキュリティ・ストアの移行
9.6.1
Fusion Middleware Controlを使用した移行
9.6.2
スクリプトmigrateSecurityStoreを使用した移行
9.6.2.1
監査メタデータの移行
9.6.2.2
使用例
9.7
Fusion Middleware Controlを使用したサービス・プロバイダの構成
9.7.1
アイデンティティ・ストア・プロバイダの構成
9.7.2
シングル・サインオン・プロバイダの構成
9.7.3
トラスト・サービス・プロバイダの構成
9.7.4
プロパティとプロパティ・セットの構成
10
ポリシー・ストアの管理
10.1
ポリシー・ストアの管理
10.2
Fusion Middleware Controlを使用したポリシーの管理
10.2.1
アプリケーション・ポリシーの管理
10.2.2
アプリケーション・ロールの管理
10.2.3
システム・ポリシーの管理
10.3
WLSTコマンドを使用したアプリケーション・ポリシーの管理
10.3.1
reassociateSecurityStore
10.4
キャッシングとキャッシュのリフレッシュ
10.4.1
例
10.5
WLSTコマンドを使用した匿名ロールおよび認証ロールへのポリシーの付与
10.6
WLSTコマンドのバージョン付きアプリケーションのアプリケーション・ストライプ
10.7
Oracle Entitlements Serverを使用したアプリケーション・ポリシーの管理
11
資格証明ストアの管理
11.1
資格証明のタイプ
11.2
資格証明の暗号化
11.3
Fusion Middleware Controlを使用した資格証明の管理
11.4
WLSTコマンドを使用した資格証明の管理
12
キーストア・サービスでのキーと証明書の管理
12.1
キーストア・サービスについて
12.1.1
キーストア・サービスの構造
12.1.2
キーストアのタイプ
12.1.3
ドメイン・トラスト・ストア
12.1.4
複数サーバーを持つドメイン用のキーストア
12.1.5
キーストア・サービスのトラブルシューティング
12.2
キーストア・サービスでのキーストアの管理
12.2.1
キーストア・ライフサイクルの概要
12.2.2
一般的なキーストアの操作
12.2.2.1
Fusion Middleware Controlでのキーストアの作成
12.2.2.2
コマンドラインでのキーストアの作成
12.2.2.3
Fusion Middleware Controlでのキーストアの削除
12.2.2.4
コマンドラインでのキーストアの削除
12.2.2.5
Fusion Middleware Controlでのキーストア・パスワードの変更
12.2.2.6
コマンドラインでのキーストア・パスワードの変更
12.2.2.7
コマンドラインでのキーストアのエクスポート
12.2.2.8
コマンドラインでのキーストアのインポート
12.3
キーストア・サービスでの証明書の管理
12.3.1
証明書のライフサイクルについて
12.3.2
一般的な証明書の操作
12.3.2.1
Fusion Middleware Controlでの鍵ペアの生成
12.3.2.2
コマンドラインでの鍵ペアの生成
12.3.2.3
Fusion Middleware Controlでの証明書に対するCSRの生成
12.3.2.4
コマンドラインでの鍵ペアに対するCSRの生成
12.3.2.5
Fusion Middleware Controlを使用した証明書または信頼できる証明書のインポート
12.3.2.6
コマンドラインでの証明書のインポート
12.3.2.7
Fusion Middleware Controlでの証明書または信頼できる証明書のエクスポート
12.3.2.8
コマンドラインでの証明書または信頼できる証明書のエクスポート
12.3.2.9
Fusion Middleware Controlでの証明書の削除
12.3.2.10
コマンドラインでの証明書の削除
12.3.2.11
Fusion Middleware Controlでの証明書のパスワードの変更
12.3.2.12
コマンドラインでの証明書のパスワードの変更
12.4
Oracle Fusion Middlewareコンポーネントでのキーストア・サービスの使用方法
12.4.1
syncKeyStoresコマンドの使用
12.4.1.1
syncKeyStoresコマンドの使用方法
12.4.1.2
syncKeyStoresコマンドを使用するタイミング
12.4.2
Oracle WebLogic Serverとの統合
12.4.3
ノード・マネージャとの統合
12.4.4
アイデンティティ・ストア・サービスとの統合
12.5
キーストア・サービス・コマンドについて
12.6
キーストア・サービス・コマンドのヘルプの表示
12.7
キーストア・サービス・コマンド・リファレンス
13
Oracle Fusion Middleware監査サービスの概要
13.1
Oracle Fusion Middleware監査フレームワークの利点と機能
13.1.1
監査の目的
13.1.2
現在の監査の課題
13.1.3
Oracle Fusion Middleware監査フレームワークについて
13.2
監査機能の概要
13.3
Oracle Fusion Middleware監査フレームワークの概念
13.3.1
監査アーキテクチャ
13.3.1.1
監査サービス・モデル
13.3.1.2
監査API
13.3.1.3
ランタイム・サポートおよび監査イベント・フロー
13.3.2
重要な技術的概念
13.3.3
監査メタデータ・ストア
13.3.4
監査データ記憶域
13.3.5
分析
13.3.6
監査ライフサイクルの理解
13.4
監査メタデータ・モデル
13.4.1
監査アーティファクトのネーミング規則
13.4.2
属性グループ
13.4.2.1
監査属性のデータ型
13.4.2.2
共通属性グループ
13.4.2.3
汎用属性グループ
13.4.2.4
カスタム属性グループ
13.4.3
イベント・カテゴリとイベント
13.4.3.1
システム・カテゴリとイベント
13.4.3.2
コンポーネント/アプリケーション・カテゴリ
13.5
監査定義ファイルについて
13.5.1
component_events.xmlファイル
13.5.2
翻訳ファイル
13.5.3
マッピングとバージョニング・ルールについて
13.5.3.1
バージョン番号
13.5.3.2
カスタム属性からデータベース列へのマッピング
14
監査の構成と管理
14.1
監査管理タスク
14.2
監査データ・ストアの管理
14.2.1
RCUによる監査スキーマの作成
14.2.2
監査データソースの設定
14.2.2.1
複数のデータソース
14.2.3
Javaコンポーネント用のデータベース監査データ・ストアの構成
14.2.3.1
監査データ・ストアの構成の表示
14.2.3.2
監査データ・ストアとバスストップ・ストレージの構成
14.2.3.3
監査データ・ストアの構成解除
14.2.4
システム・コンポーネント用のデータベース監査データ・ストアの構成
14.2.4.1
監査データ・ストアの構成解除
14.2.5
バスストップ・ファイルのチューニング
14.2.6
スタンドアロン監査ローダーの構成
14.2.6.1
環境の構成
14.2.6.2
スタンドアロン監査ローダーの実行
14.3
監査ポリシーの管理
14.3.1
Fusion Middleware ControlによるJavaコンポーネントの監査ポリシーの管理
14.3.2
Fusion Middleware Controlによるシステム・コンポーネントの監査ポリシーの管理
14.3.3
WLSTを使用した監査ポリシーの管理
14.3.3.1
WLSTを使用した監査ポリシーの表示
14.3.3.2
WLSTを使用した監査ポリシーの更新
14.3.3.3
例1: WLSTを使用したユーザーに対する監査ポリシーの構成
14.3.3.4
例2: WLSTを使用したイベントに対する監査ポリシーの構成
14.3.3.5
監査レベルを変更する際に保持されるカスタム構成
14.3.4
監査ポリシーの手動による管理
14.3.4.1
Javaコンポーネントの構成ファイルの場所
14.3.4.2
Javaコンポーネントのjps-config.xml内の監査サービス構成プロパティ
14.3.4.3
Javaコンポーネントのデータベースからファイルへの切替え
14.3.4.4
システム・コンポーネントの監査構成ファイル
14.4
監査のタイムスタンプ
14.5
監査ログとバスストップ・ファイル
14.5.1
監査ログの場所
14.5.2
バスストップ・ファイルの監査タイムスタンプ
14.6
データベース・ストアの拡張管理
14.6.1
スキーマの概要
14.6.2
実表およびコンポーネント表の属性
14.6.3
索引スキーム
14.6.4
バックアップおよびリカバリ
14.6.5
データのインポートとエクスポート
14.6.6
パーティション化
14.6.6.1
パーティション表
14.6.6.2
パーティション表のバックアップとリカバリ
14.6.6.3
インポートとエクスポート
14.6.6.4
データ削除
14.6.6.5
階層アーカイブ
15
監査分析と監査レポートの使用
15.1
監査レポートについて
15.2
監査データのレポート生成
15.2.1
監査レポートの構成
15.2.2
Oracle Business Intelligence Publisherの使用
第IV部 Oracle Platform Security ServicesのAPIを使用した開発
16
アプリケーション・セキュリティのOPSSとの統合
16.1
概要
16.2
セキュリティ統合ユースケース
16.2.1
認証
16.2.1.1
認証されたユーザーが必要なJava EEアプリケーション
16.2.1.2
プログラム認証が必要なJava EEアプリケーション
16.2.1.3
認証が必要なJava SEアプリケーション
16.2.2
アイデンティティ
16.2.2.1
2つの環境で実行されるアプリケーション
16.2.2.2
複数のストア内のユーザー・プロファイルにアクセスするアプリケーション
16.2.3
認可
16.2.3.1
特定のロールのみアクセス可能なJava EEアプリケーション
16.2.3.2
ファイングレイン認可が必要なADFアプリケーション
16.2.3.3
Webサービスを保護するWebアプリケーション
16.2.3.4
コードベースのパーミッションが必要なJava EEアプリケーション
16.2.3.5
ファイングレイン認可が必要な非ADFアプリケーション
16.2.4
資格証明
16.2.4.1
システムへのアクセスに資格証明が必要なアプリケーション
16.2.5
監査
16.2.5.1
セキュリティ関連アクティビティの監査
16.2.5.2
ビジネス関連アクティビティの監査
16.2.6
アイデンティティ伝播
16.2.6.1
実行ユーザー・アイデンティティの伝播
16.2.6.2
ユーザー・アイデンティティの伝播
16.2.6.3
別のドメインへのアイデンティティの伝播
16.2.6.4
HTTPを介したアイデンティティの伝播
16.2.7
管理
16.2.7.1
中央ストアが必要なアプリケーション
16.2.7.2
カスタム管理ツールが必要なアプリケーション
16.2.7.3
複数のサーバー環境で実行されるアプリケーション
16.2.8
統合
16.2.8.1
複数のドメインで実行されるアプリケーション
16.3
OPSSトラスト・サービス
16.4
HTTPプロトコルを介したアイデンティティの伝播
16.5
OPSSトラスト・サービスを使用したアイデンティティの伝播
16.5.1
複数のWebLogicドメイン間
16.5.1.1
クライアント側ドメインでのトークン生成
16.5.1.2
サーバー側つまりトークン検証ドメイン
16.5.2
単一のWebLogicドメイン内のコンテナ間
16.5.3
埋込みトラスト・サービス・プロバイダのプロパティ
16.6
カスタム・グラフィカル・ユーザー・インタフェース
16.6.1
前提とするインポート
16.6.2
コード・サンプル1
16.6.3
コード・サンプル2
16.6.4
コード・サンプル3
16.6.5
コード・サンプル4
16.6.6
コード・サンプル5
16.6.7
コード・サンプル6
16.7
付録 - ADFアプリケーションのセキュリティ・ライフサイクル
16.7.1
開発フェーズ
16.7.2
デプロイメント・フェーズ
16.7.3
管理フェーズ
16.7.4
各フェーズの担当者別タスクの概要
16.8
付録 - コードおよび構成例
16.8.1
コード例
16.8.2
構成例
16.8.3
セキュリティが統合されたJava EEアプリケーションの完全なコード例
16.9
付録 - JKSベースのキーストアを使用したアイデンティティの伝播
16.9.1
単一ドメイン・シナリオ
16.9.1.1
クライアント・アプリケーションのコード・サンプル
16.9.1.2
キーストア・サービスの構成
16.9.1.3
CSFの構成
16.9.1.4
権限付与の構成
16.9.1.5
サーブレット・コードのサンプル
16.9.1.6
web.xmlの構成
16.9.1.7
WebLogicアサーション・プロバイダおよびトラスト・サービスの構成
16.9.1.8
トラスト・サービス構成パラメータの更新
16.9.2
複数ドメイン・シナリオ
16.9.3
両方のプロトコルを使用するドメイン
16.9.3.1
単一ドメイン・シナリオ
16.9.3.2
複数ドメイン・シナリオ
17
OPSSポリシー・モデル
17.1
セキュリティ・ポリシー・モデル
17.2
認可の概要
17.2.1
認可について
17.2.2
Java EE認可モデル
17.2.2.1
宣言による認可
17.2.2.2
プログラムによる認可
17.2.2.3
Java EEコードの例
17.2.3
JAAS認可モデル
17.3
JAAS/OPSS認可モデル
17.3.1
リソース・カタログ
17.3.2
ポリシーの管理
17.3.3
ポリシーの確認
17.3.3.1
メソッドcheckPermissionの使用方法
17.3.3.2
メソッドdoAsおよびdoAsPrivilegedの使用方法
17.3.3.3
メソッドcheckBulkAuthorizationの使用方法
17.3.3.4
メソッドgetGrantedResourcesの使用方法
17.3.4
クラスResourcePermission
18
OPSSを使用するためのJava EEアプリケーションの構成
18.1
Java EEアプリケーションの認証トピックへのリンク
18.2
サーブレット・フィルタとEJBインターセプタの構成
18.2.1
インターセプタ構成構文
18.2.2
フィルタおよびインターセプタ・パラメータの概要
18.2.3
アプリケーションMBeansのアプリケーション・ストライプの構成
18.3
エンタープライズ・グループとエンタープライズ・ユーザーに適したクラスの選択
18.4
Java EEアプリケーションの手動によるパッケージ化
18.4.1
アプリケーションとポリシーのパッケージ化
18.4.2
アプリケーションと資格証明とのパッケージ化
18.5
OPSSを使用するためのアプリケーションの構成
18.5.1
ポリシーの移行を制御するパラメータ
18.5.2
動作に従ったポリシー・パラメータの構成
18.5.2.1
ポリシーの移行をスキップするには
18.5.2.2
ポリシーをマージにより移行するには
18.5.2.3
ポリシーを上書きにより移行するには
18.5.2.4
ポリシーを削除する(またはポリシーを削除しない)には
18.5.2.5
静的デプロイメントでポリシーを移行するには
18.5.2.6
推奨事項
18.5.3
ウォレットベースの資格証明ストアの使用
18.5.4
資格証明の移行を制御するパラメータ
18.5.5
動作に従った資格証明パラメータの構成
18.5.5.1
資格証明の移行をスキップするには
18.5.5.2
資格証明をマージにより移行するには
18.5.5.3
資格証明を上書きにより移行するには
18.5.6
サポートされているパーミッション・クラス
18.5.6.1
ポリシー・ストアのパーミッション
18.5.6.2
資格証明ストアのパーミッション
18.5.6.3
一般的なパーミッション
18.5.7
ブートストラップ資格証明の手動による指定
18.5.8
migrateSecurityStoreを使用したアイデンティティの移行
18.5.9
構成ファイルjps-config.xmlの例
18.6
アサートされたユーザーとしての実行
18.6.1
ユースケース
18.6.2
プログラミングのガイドラインおよび推奨事項
18.6.3
コード例
19
OPSSを使用するためのJava SEアプリケーションの構成
19.1
Java SEアプリケーションでのOPSSの使用
19.2
Java SEアプリケーションのセキュリティ・サービス
19.3
Java SEアプリケーションでの認証
19.3.1
アイデンティティ・ストア
19.3.2
Java SEアプリケーションでのLDAPアイデンティティ・ストアの構成
19.3.3
ログイン・モジュール
19.3.3.1
アイデンティティ・ストアのログイン・モジュール
19.3.3.2
ユーザー認証のログイン・モジュール
19.3.3.3
ユーザー・アサーションのログイン・モジュール
19.3.4
Java SEアプリケーションでのOPSS API LoginServiceの使用方法
19.4
構成例
20
認可サービスを使用した開発
20.1
Java SEアプリケーションでのポリシー・ストアと資格証明ストア
20.1.1
ファイルベースのポリシー・ストアおよび資格証明ストアの構成
20.1.2
LDAPベースのポリシー・ストアおよび資格証明ストアの構成
20.1.3
DBベースのOPSSセキュリティ・ストアの構成
20.2
ファイルベースのポリシー・ストアに対してサポートされていないメソッド
21
資格証明ストア・フレームワークを使用した開発
21.1
資格証明ストア・フレームワークAPIについて
21.2
CSFを使用したアプリケーション開発の概要
21.3
Javaセキュリティ・ポリシーのパーミッションの設定
21.3.1
パーミッション付与のガイドライン
21.3.2
パーミッション付与例1
21.3.3
パーミッション付与例2
21.4
マップ名のガイドライン
21.5
資格証明ストアの構成
21.6
CSF APIの使用
21.6.1
Java SEアプリケーションでのCSF APIの使用
21.6.2
Java EEアプリケーションでのCSF APIの使用
21.7
例
21.7.1
CSF操作の共通コード
21.7.2
例1: ウォレット・ストアを使用するJava SEアプリケーション
21.7.3
例2: ウォレット・ストアを使用するJava EEアプリケーション
21.7.4
例3: OID LDAPストアを使用するJava EEアプリケーション
21.7.5
例4: Oracle DBストアを使用するJava EEアプリケーション
21.8
ベスト・プラクティス
22
ユーザーおよびロールAPIを使用した開発
22.1
ユーザーおよびロールAPIフレームワークの概要
22.1.1
ユーザーおよびロールAPIとOracle WebLogic Serverの認証プロバイダ
22.2
ロールとクラスの要約
22.3
サービス・プロバイダの操作
22.3.1
サービス・プロバイダの理解
22.3.2
環境の設定
22.3.2.1
Jarの構成
22.3.2.2
jps-config.xml内のユーザー・クラス(Oracle Virtual Directoryのみ)
22.3.2.3
プロバイダ・ユーザーの読取り権限(Oracle Internet Directoryのみ)
22.3.3
プロバイダの選択
22.3.4
プロバイダ・インスタンスの作成
22.3.5
プロバイダの構成プロパティ
22.3.5.1
起動時と実行時の構成
22.3.5.2
ECID伝播
22.3.5.3
構成の値を渡すタイミング
22.3.6
ファクトリ・インスタンス作成時のプロバイダの構成
22.3.6.1
Oracle Internet Directoryプロバイダ
22.3.6.2
既存のロガー・オブジェクトの使用
22.3.6.3
定数値の指定
22.3.6.4
接続パラメータの構成
22.3.6.5
カスタム接続プール・クラスの構成
22.3.7
ストア・インスタンス作成時のプロバイダの構成
22.3.8
実行時の構成
22.3.9
プログラミングの考慮事項
22.3.9.1
プロバイダの移植性に関する考慮事項
22.3.9.2
IdentityStoreオブジェクト使用時の考慮事項
22.3.10
プロバイダのライフサイクル
22.4
リポジトリの検索
22.4.1
特定のアイデンティティの検索
22.4.2
複数のアイデンティティの検索
22.4.3
検索パラメータの指定
22.4.4
検索フィルタの使用
22.4.4.1
検索フィルタの演算子
22.4.4.2
検索フィルタ使用時の特殊文字の処理
22.4.4.3
ログイン・ユーザー用の検索フィルタ
22.4.4.4
検索フィルタの使用例
22.4.5
GUIDによる検索
22.5
ユーザー認証
22.6
アイデンティティ・ストアのエントリの作成と変更
22.6.1
アイデンティティ作成時の特殊文字の処理
22.6.2
アイデンティティの作成
22.6.3
アイデンティティの変更
22.6.4
アイデンティティの削除
22.7
ユーザーおよびロールAPIの使用例
22.7.1
例1: ユーザーの検索
22.7.2
例2: Oracle Internet Directoryストアにおけるユーザー管理
22.7.3
例3: Microsoft Active Directoryストアにおけるユーザー管理
22.8
LDAPベースのユーザーおよびロールAPIプロバイダのSSL構成
22.8.1
すぐに使用できるSSLのサポート
22.8.1.1
システム・プロパティ
22.8.1.2
SSL構成
22.8.2
ユーザーおよびロールAPIのSSLサポートのカスタマイズ
22.8.2.1
SSL構成
22.9
ユーザーおよびロールAPIリファレンス
22.10
カスタムのユーザーおよびロール・プロバイダの開発
22.10.1
SPIの概要
22.10.2
ユーザーおよびロール・プロバイダのタイプ
22.10.3
読取り専用プロバイダの開発
22.10.3.1
拡張が必要なSPIクラス
22.10.3.2
oracle.security.idm.spi.AbstractIdentityStoreFactory
22.10.3.3
oracle.security.idm.spi.AbstractIdentityStore
22.10.3.4
oracle.security.idm.spi.AbstractRoleManager
22.10.3.5
oracle.security.idm.spi.AbstractUserManager
22.10.3.6
oracle.security.idm.spi.AbstractRoleProfile
22.10.3.7
oracle.security.idm.spi.AbstractUserProfile
22.10.3.8
oracle.security.idm.spi.AbstractSimpleSearchFilter
22.10.3.9
oracle.security.idm.spi.AbstractComplexSearchFilter
22.10.3.10
oracle.security.idm.spi.AbstractSearchResponse
22.10.4
フル機能プロバイダの開発
22.10.5
開発のガイドライン
22.10.6
テストと検証
22.10.7
例: アイデンティティ・プロバイダの実装
22.10.7.1
サンプル・プロバイダについて
22.10.7.2
実装の概要
22.10.7.3
サンプル・アイデンティティ・プロバイダの使用に向けたjps-config.xmlの構成
22.10.7.4
Oracle WebLogic Serverの構成
ユーザーおよびロールSPIリファレンス
oracle.security.idm.spi.AbstractUserProfile
oracle.security.idm.spi.AbstractUserManager
oracle.security.idm.spi.AbstractUser
oracle.security.idm.spi.AbstractSubjectParser
oracle.security.idm.spi.AbstractStoreConfiguration
oracle.security.idm.spi. AbstractSimpleSearchFilter
oracle.security.idm.spi.AbstractSearchResponse
oracle.security.idm.spi.AbstractRoleProfile
oracle.security.idm.spi.AbstractRoleManager
oracle.security.idm.spi.AbstractRole
oracle.security.idm.spi.AbstractIdentityStoreFactory
oracle.security.idm.spi.AbstractIdentityStore
oracle.security.idm.spi.AbstractComplexSearchFilter
23
アイデンティティ・ディレクトリAPIを使用した開発
23.1
アイデンティティ・ディレクトリAPIについて
23.1.1
機能の概要
23.2
クラスの概要
23.3
アイデンティティ・ディレクトリの構成
23.4
アイデンティティ・ディレクトリAPIの操作
23.4.1
アイデンティティ・ディレクトリAPIインスタンスの取得
23.4.2
ユーザーとグループに対するCRUD操作の実行
23.4.2.1
ユーザー操作
23.4.2.2
グループ操作
23.5
アイデンティティ・ディレクトリAPIの例
23.5.1
アイデンティティ・ディレクトリ・ハンドルの初期化と取得
23.5.2
ユーザーの作成
23.5.3
ユーザーの取得
23.5.4
ユーザーの変更
23.5.5
ユーザーの簡易検索
23.5.6
ユーザーの複合検索
23.5.7
グループの作成
23.5.8
グループの取得
23.5.9
検索フィルタを使用したグループの取得
23.5.10
グループの削除
23.5.11
グループへのメンバーの追加
23.5.12
グループからのメンバーの削除
23.6
SSL構成
24
キーストア・サービスを使用した開発
24.1
キーストア・サービスAPIについて
24.2
キーストア・サービスを使用したアプリケーション開発の概要
24.3
Javaセキュリティ・ポリシーのパーミッションの設定
24.3.1
パーミッション付与のガイドライン
24.3.2
パーミッション付与例1
24.3.3
パーミッション付与例2
24.3.4
パーミッション付与例3
24.4
キーストア・サービスの構成
24.5
キーストア・サービスAPIの使用
24.5.1
Java SEアプリケーションでのキーストア・サービスAPIの使用
24.5.2
Java EEアプリケーションでのキーストア・サービスAPIの使用
24.6
キーストア・サービスAPIの使用例
24.6.1
キーストア・サービス管理操作用のJavaプログラム
24.6.2
実行時のキーの読取り
24.6.2.1
キーストア・ハンドルの取得
24.6.2.2
キーストア・アーティファクトのアクセス - メソッド1
24.6.2.3
キーストア・アーティファクトのアクセス - メソッド2
24.6.3
ポリシー・ストアのセットアップ
24.6.4
構成ファイル
24.6.5
Java SE環境でのキーストア・サービスの使用について
24.7
ベスト・プラクティス
25
監査サービスを使用した開発
25.1
監査フローへのアプリケーションの統合
25.2
監査フレームワークへのアプリケーションの統合
25.3
監査定義ファイルの作成
25.4
登録サービスへのアプリケーションの登録
25.4.1
デフォルトのアプリケーション監査登録
25.4.2
カスタム・アプリケーション監査登録
25.4.3
プログラム登録
25.5
管理サービスAPIの使用
25.5.1
監査メタデータの問合せ
25.5.2
監査ランタイム・ポリシーの表示と設定
25.6
監査イベントを記録するためのアプリケーション・コードの追加
25.6.1
監査クライアントAPI
25.6.2
システム権限の設定
25.6.3
監査インスタンスの取得
25.7
監査定義の更新と保守
第V部 付録
A
OPSS構成ファイル・リファレンス
A.1
トップレベルおよび第2レベルの要素階層
A.2
下位レベルの要素
<description>
<extendedProperty>
<extendedPropertySet>
<extendedPropertySetRef>
<extendedPropertySets>
<jpsConfig>
<jpsContext>
<jpsContexts>
<name>
<property>
<propertySet>
<propertySetRef>
<propertySets>
<serviceInstance>
<serviceInstanceRef>
<serviceInstances>
<serviceProvider>
<serviceProviders>
<value>
<values>
B
ファイルベースのアイデンティティ・ストアとポリシー・ストアのリファレンス
B.1
system-jazn-data.xmlの要素の階層
B.2
system-jazn-data.xmlの要素と属性
<actions>
<actions-delimiter>
<app-role>
<app-roles>
<application>
<applications>
<attribute>
<class>
<codesource>
<credentials>
<description>
<display-name>
<extended-attributes>
<grant>
<grantee>
<guid>
<jazn-data>
<jazn-policy>
<jazn-realm>
<matcher-class>
<member>
<member-resource>
<member-resources>
<members>
<name>
<owner>
<owners>
<permission>
<permissions>
<permission-set>
<permission-sets>
<policy-store>
<principal>
<principals>
<provider-name>
<realm>
<resource>
<resources>
<resource-name>
<resource-type>
<resource-types>
<role>
<role-categories>
<role-category>
<role-name-ref>
<roles>
<type>
<type-name-ref>
<uniquename>
<url>
<user>
<users>
<value>
<values>
C
Oracle Fusion Middleware監査フレームワーク・リファレンス
C.1
監査イベント
C.1.1
監査可能なコンポーネント
C.1.2
監査可能なイベント
C.1.2.1
Oracle Platform Security Servicesのイベントとその属性
C.1.3
OPSSイベント属性の説明
C.2
ビルトイン監査レポート
C.2.1
監査レポート用のOracle Business Intelligence Publisherの設定
C.2.1.1
Oracle Business Intelligence Publisherについて
C.2.1.2
Oracle Business Intelligence Publisherのインストール
C.2.1.3
Oracle Business Intelligence PublisherでのOracle Reportsの設定
C.2.1.4
監査レポート・テンプレートの設定
C.2.1.5
監査レポート・フィルタの設定
C.2.1.6
Oracle Business Intelligence Publisherのスケジューラの構成
C.2.2
監査レポートの編成
C.2.3
監査レポートの表示
C.2.4
Oracle Business Intelligence Publisherレポートの例
C.2.5
監査レポートの詳細
C.2.5.1
Oracle Business Intelligence Publisherの監査レポートのリスト
C.2.5.2
Oracle Business Intelligence Publisherの監査レポートの属性
C.3
監査レポートのカスタマイズ
C.3.1
ビルトイン・レポートに対する拡張フィルタの使用
C.3.2
カスタム・レポートの作成
C.4
監査スキーマ
C.5
監査のためのWLSTコマンド
C.6
監査フィルタ式の構文
C.7
監査ファイルの命名およびロギング形式
D
ユーザー/ロールAPIリファレンス
D.1
LDAPディレクトリへのユーザー属性のマッピング
D.2
LDAPディレクトリへのロール属性のマッピング
D.3
デフォルトの構成パラメータ
D.4
Microsoft Active Directoryのためのセキュアな接続
E
スクリプトおよびMBeanプログラミングを使用した管理
E.1
スクリプトを使用したOPSSサービス・プロバイダ・インスタンスの構成
E.2
MBeanを使用したOPSSサービスの構成
E.2.1
サポートされるOPSS MBeansのリスト
E.2.2
OPSS MBeanの起動
E.2.3
OPSS MBeansを使用したプログラミング
E.3
アクセス制限
E.3.1
注釈の例
E.3.2
WebLogicロールへの論理ロールのマッピング
E.3.3
特定のアクセス制限
F
OPSSのシステムおよび構成プロパティ
F.1
OPSSシステム・プロパティ
F.2
OPSS構成プロパティ
F.2.1
ポリシー・ストアのプロパティ
F.2.1.1
ポリシー・ストアの構成
F.2.1.2
実行時ポリシー・ストアの構成
F.2.2
資格証明ストアのプロパティ
F.2.3
LDAPアイデンティティ・ストアのプロパティ
F.2.4
LDAPベースのすべてのインスタンスに共通するプロパティ
F.2.5
匿名ロールと認証ロールのプロパティ
F.2.6
トラスト・サービスのプロパティ
F.2.7
監査サービスのプロパティ
F.2.8
キーストア・サービスのプロパティ
G
OPSS APIリファレンス
G.1
OPSS APIリファレンス
H
OpenLDAPアイデンティティ・ストアの使用
H.1
OpenLDAPアイデンティティ・ストアの使用
I
ID仮想化のためのアダプタ構成
I.1
分割プロファイルについて
I.2
分割プロファイルの構成
I.3
結合ルールの削除
I.4
結合アダプタの削除
I.5
アダプタの可視性の変更
I.6
Identity Virtualization Libraryに対するアクセス・ログの有効化
J
OPSSのトラブルシューティング
J.1
セキュリティ・エラーの診断
J.1.1
ログ・ファイルとOPSSロガー
J.1.1.1
診断ログ・ファイル
J.1.1.2
一般的なログ・ファイル
J.1.1.3
認可ロガー
J.1.1.4
オフラインWLSTコマンド・ロガー
J.1.1.5
その他のOPSSロガー
J.1.1.6
ユーザーおよびロールAPIロガー
J.1.1.7
監査ロガー
J.1.1.8
Fusion Middleware Controlを使用したロガーの管理
J.1.1.9
スクリプトを使用したロガーの管理
J.1.2
システム・プロパティ
J.1.2.1
jps.auth.debug
J.1.2.2
jps.auth.debug.verbose
J.1.2.3
認可プロセスのデバッグ
J.1.3
セキュリティ・エラーの解決
J.1.3.1
サンプル・ログ・エントリの理解
J.1.3.2
Fusion Middleware Controlを使用したログの検索
J.1.3.3
Fusion Middleware Controlを使用したメッセージ・コンテキストの識別
J.1.3.4
Fusion Middleware Controlを使用したエラー・リスト・ファイルの生成
J.2
再関連付けおよび移行のトラブルシューティング
J.2.1
再関連付けの失敗
J.2.2
サポートされていないスキーマ
J.2.3
再関連付けしたポリシー・ストアのポリシーの欠落
J.2.4
移行の失敗
J.3
サーバーの起動のトラブルシューティング
J.3.1
必須のLDAP認証プロバイダの欠落
J.3.2
管理者アカウントの欠落
J.3.3
パーミッションの欠落
J.3.4
サーバーの起動の失敗
J.3.5
サーバーの起動に関するその他の問題
J.3.6
サーバーの起動前のパーミッション・チェックの失敗
J.4
パーミッションのトラブルシューティング
J.4.1
コードソースの付与のトラブルシューティング
J.4.2
パーミッションの付与または取消しの失敗 - 大文字と小文字の不一致
J.4.3
認可チェックの失敗
J.4.4
ユーザーによる予期しないパーミッションの取得
J.4.5
Java SEアプリケーションにおけるパーミッションの付与
J.4.6
12c HA環境で認識されないアプリケーション・ポリシー
J.5
接続およびアクセスのトラブルシューティング
J.5.1
組込みのLDAP認証プロバイダへの接続の失敗
J.5.2
LDAPサーバーへの接続の失敗
J.5.3
資格証明ストアのデータへのアクセスの失敗
J.5.4
セキュリティ・アクセス制御の例外
J.5.5
匿名SSL接続の確立の失敗
J.6
Oracle Business Intelligenceレポート作成のトラブルシューティング
J.6.1
Oracle Business Intelligence Publisherの監査テンプレート
J.6.2
Oracle Business Intelligence Publisherのタイムゾーン
J.7
検索のトラブルシューティング
J.7.1
ポリシー・ストアでの属性照合時の検索の失敗
J.7.2
不明なホスト例外による検索の失敗
J.8
バージョニングのトラブルシューティング
J.8.1
バイナリとポリシー・ストアのバージョンの非互換性
J.8.2
ポリシー・ストアのバージョンの非互換性
J.9
その他のエラーのトラブルシューティング
J.9.1
実行時のパーミッション・チェックの失敗
J.9.2
サイズ変更の必要な表領域
J.9.3
Oracle Internet Directoryの例外
J.9.4
ユーザーおよびロールAPIの失敗
J.9.5
ポリシーに使用する文字
J.9.5.1
Oracle Internet Directory 10.1.4.3での特殊文字の使用
J.9.5.2
特定の文字が含まれるXMLポリシー・ストア
J.9.5.3
アプリケーション・ロール名に使用する文字
J.9.5.4
XMLポリシー・ストアでの改行文字の欠落
J.9.6
無効な鍵サイズ
J.10
追加のヘルプ