目次

例一覧

図一覧

表一覧

タイトルおよび著作権情報

はじめに

• 対象読者
• ドキュメントのアクセシビリティについて
• 関連ドキュメント
• 表記規則

このガイドで説明する新機能

• リリース12.1.2.0.0の新機能

第I部 セキュリティの概念の理解

1 Oracle Platform Security Servicesの概要

• 1.1 Oracle Platform Security Servicesとは
  • 1.1.1 OPSSの主な機能
  • 1.1.2 サポートされているサーバー・プラットフォーム
• 1.2 OPSSのアーキテクチャの概要
  • 1.2.1 OPSSの利点
• 1.3 Oracle ADFのセキュリティの概要
• 1.4 管理者向けのOPSS
• 1.5 開発者向けのOPSS
  • 1.5.1 シナリオ1: Java EEアプリケーションのセキュリティ強化
  • 1.5.2 シナリオ2: Oracle ADFアプリケーションの保護
  • 1.5.3 シナリオ3: Java SEアプリケーションの保護

2 ユーザーおよびロールの理解

• 2.1 用語
• 2.2 ロール・マッピング
  • 2.2.1 パーミッションの継承とロールの階層
• 2.3 認証ロール
• 2.4 匿名ユーザーとロール
  • 2.4.1 匿名サポートとサブジェクト
• 2.5 管理ユーザーとロール
• 2.6 ユーザー・アカウントの管理
• 2.7 プリンシパル名の比較ロジック
  • 2.7.1 プリンシパルの比較が認可に及ぼす影響
  • 2.7.2 プリンシパル名の比較を制御するシステム・パラメータ
• 2.8 ロール・カテゴリ

3 アイデンティティ、ポリシー、資格証明、キー、証明書および監査の理解

• 3.1 認証の基本
  • 3.1.1 アイデンティティ・ストアのタイプとWebLogic認証プロバイダ
  • 3.1.2 WebLogic認証プロバイダ
    • 3.1.2.1 複数の認証プロバイダ
    • 3.1.2.2 その他の認証方式
• 3.2 ポリシー・ストアの基本
• 3.3 資格証明ストアの基本
• 3.4 キーストア・サービスの基本
  • 3.4.1 キーストア・リポジトリのタイプ
  • 3.4.2 キーストア・リポジトリのスコープと再関連付け
• 3.5 監査サービスの基本

4 Oracle Platform Security Servicesのシナリオについて

• 4.1 サポートされているファイルベース、LDAPベースおよびDBベースのサービス
• 4.2 管理ツール
• 4.3 パッケージ要件
• 4.4 シナリオの例
• 4.5 その他のシナリオ

第II部 OPSSの基本的な管理

5 セキュリティ管理

• 5.1 テクノロジに応じた管理ツールの選択
• 5.2 基本的なセキュリティ管理タスク
  • 5.2.1 新しい本番環境の設定
• 5.3 Fusion Middleware Controlを使用した一般的なセキュリティ操作
• 5.4 管理コンソールを使用した一般的なセキュリティ操作
• 5.5 Oracle Entitlements Serverを使用した一般的なセキュリティ操作
• 5.6 WLSTコマンドを使用した一般的なセキュリティ操作

6 セキュア・アプリケーションのデプロイ

• 6.1 概要
• 6.2 デプロイのためのツールの選択
  • 6.2.1 Fusion Middleware Controlを使用したJava EEアプリケーションとOracle ADFアプリケーションのデプロイ
• 6.3 テスト環境へのOracle ADFアプリケーションのデプロイ
  • 6.3.1 テスト環境へのデプロイ
    • 6.3.1.1 テスト環境へのデプロイ後の一般的な管理タスク
• 6.4 標準Java EEアプリケーションのデプロイ
• 6.5 監査機能を伴ったアプリケーションのデプロイ
  • 6.5.1 監査のパッケージ化要件
  • 6.5.2 監査サービスへの登録
  • 6.5.3 監査データの移行
• 6.6 テスト環境から本番環境への移行
  • 6.6.1 アイデンティティの移行
    • 6.6.1.1 migrateSecurityStoreを使用したアイデンティティの移行
  • 6.6.2 ポリシーおよび資格証明の移行
    • 6.6.2.1 migrateSecurityStoreを使用したポリシーの移行
    • 6.6.2.2 migrateSecurityStoreを使用した資格証明の移行
    • 6.6.2.3 大量のポリシー・ストアおよび資格証明ストアの移行
  • 6.6.3 監査情報の移行
  • 6.6.4 キーストア・サービス・アーティファクトの移行
    • 6.6.4.1 キーストア移行の概要
    • 6.6.4.2 ドメイン内でのキーストア・サービス・アーティファクトの移行
    • 6.6.4.3 ドメイン間でのキーストア・サービス・アーティファクトの移行

第III部 OPSSサービス

7 セキュリティ・アーティファクトのライフサイクル

• 7.1 概要
• 7.2 FMWドメイン
• 7.3 FMWドメインの作成
  • 7.3.1 新しいデータベース・インスタンスの使用
  • 7.3.2 データベース・インスタンスの共有
• 7.4 階層型コンポーネントのセキュリティ・アーティファクト
• 7.5 12.1.2へのアップグレード
  • 7.5.1 アップグレード前に
  • 7.5.2 アップグレード手順
• 7.6 OPSSセキュリティ・ストアのバックアップとリカバリ
  • 7.6.1 DBベースのセキュリティ・ストアのバックアップとリカバリ
  • 7.6.2 OIDベースのセキュリティ・ストアのバックアップとリカバリ
  • 7.6.3 推奨事項

8 アイデンティティ・ストア・サービスの構成

• 8.1 アイデンティティ・ストア・サービスの概要
  • 8.1.1 アイデンティティ・ストア・サービスについて
  • 8.1.2 サービス・アーキテクチャ
  • 8.1.3 アプリケーション・サーバーのサポート
  • 8.1.4 Java SEのサポート
• 8.2 アイデンティティ・ストア・プロバイダの構成
• 8.3 アイデンティティ・ストア・サービスの構成
  • 8.3.1 構成内容
    • 8.3.1.1 複数のLDAP検索の構成
    • 8.3.1.2 グローバル/接続パラメータ
    • 8.3.1.3 バックエンド/接続パラメータ
  • 8.3.2 WebLogic Serverにおける構成
    • 8.3.2.1 単一のLDAPを使用する場合のサービスの構成
    • 8.3.2.2 virtualizeプロパティを指定せずに複数のLDAPを使用する場合のサービスの構成
    • 8.3.2.3 Fusion Middleware Controlによる複数のLDAPを使用する場合のサービスの構成
    • 8.3.2.4 WLSTによる複数のLDAPを使用する場合のサービスの構成
    • 8.3.2.5 WLSTを使用したタイムアウト設定の構成
    • 8.3.2.6 その他のパラメータの構成
    • 8.3.2.7 サーバーの再起動
    • 8.3.2.8 構成ファイルの例
  • 8.3.3 分割プロファイルの構成
  • 8.3.4 カスタム認証プロバイダの構成
  • 8.3.5 その他のアプリケーション・サーバーの構成
    • 8.3.5.1 単一のLDAPを使用する場合のサービスの構成
    • 8.3.5.2 複数のLDAPを使用する場合のサービスの構成
  • 8.3.6 Java SE環境
• 8.4 プログラムによるアイデンティティ・ストアの問合せ
• 8.5 アイデンティティ・ストア・サービスでのSSLの使用
  • 8.5.1 Oracle WebLogic Serverからアイデンティティ・ストアへの接続
  • 8.5.2 キーストア・サービスでのSSLの構成
    • 8.5.2.1 キーストア・サービスでの複数のLDAPシナリオでの一方向SSL
    • 8.5.2.2 キーストア・サービスでの複数のLDAPシナリオでの双方向SSL
  • 8.5.3 JKSベースのキーストアでのSSLの構成
    • 8.5.3.1 JKSベースのキーストアを使用した複数のLDAPシナリオでの一方向SSL
    • 8.5.3.2 JKSベースのキーストアを使用した複数のLDAPシナリオでの双方向SSL

9 OPSSセキュリティ・ストアの構成

• 9.1 OPSSセキュリティ・ストアの概要
  • 9.1.1 マルチサーバー環境
• 9.2 LDAPベースのOPSSセキュリティ・ストアの使用
  • 9.2.1 LDAPベースのセキュリティ・ストアを使用する場合の前提条件
  • 9.2.2 LDAPへの一方向SSL接続の設定
• 9.3 DBベースのOPSSセキュリティ・ストアの使用
  • 9.3.1 DBベースのセキュリティ・ストアを使用する場合の前提条件
  • 9.3.2 DBベースのセキュリティ・ストアのメンテナンス
  • 9.3.3 DBへのSSL接続の設定
• 9.4 OPSSセキュリティ・ストアの構成
• 9.5 OPSSセキュリティ・ストアの再関連付け
  • 9.5.1 Fusion Middleware Controlを使用した再関連付け
    • 9.5.1.1 Oracle Internet Directoryノードへのアクセスの保護
  • 9.5.2 スクリプトreassociateSecurityStoreを使用した再関連付け
• 9.6 OPSSセキュリティ・ストアの移行
  • 9.6.1 Fusion Middleware Controlを使用した移行
  • 9.6.2 スクリプトmigrateSecurityStoreを使用した移行
    • 9.6.2.1 監査メタデータの移行
    • 9.6.2.2 使用例
• 9.7 Fusion Middleware Controlを使用したサービス・プロバイダの構成
  • 9.7.1 アイデンティティ・ストア・プロバイダの構成
  • 9.7.2 シングル・サインオン・プロバイダの構成
  • 9.7.3 トラスト・サービス・プロバイダの構成
  • 9.7.4 プロパティとプロパティ・セットの構成

10 ポリシー・ストアの管理

• 10.1 ポリシー・ストアの管理
• 10.2 Fusion Middleware Controlを使用したポリシーの管理
  • 10.2.1 アプリケーション・ポリシーの管理
  • 10.2.2 アプリケーション・ロールの管理
  • 10.2.3 システム・ポリシーの管理
• 10.3 WLSTコマンドを使用したアプリケーション・ポリシーの管理
  • 10.3.1 reassociateSecurityStore
• 10.4 キャッシングとキャッシュのリフレッシュ
  • 10.4.1 例
• 10.5 WLSTコマンドを使用した匿名ロールおよび認証ロールへのポリシーの付与
• 10.6 WLSTコマンドのバージョン付きアプリケーションのアプリケーション・ストライプ
• 10.7 Oracle Entitlements Serverを使用したアプリケーション・ポリシーの管理

11 資格証明ストアの管理

• 11.1 資格証明のタイプ
• 11.2 資格証明の暗号化
• 11.3 Fusion Middleware Controlを使用した資格証明の管理
• 11.4 WLSTコマンドを使用した資格証明の管理

12 キーストア・サービスでのキーと証明書の管理

• 12.1 キーストア・サービスについて
  • 12.1.1 キーストア・サービスの構造
  • 12.1.2 キーストアのタイプ
  • 12.1.3 ドメイン・トラスト・ストア
  • 12.1.4 複数サーバーを持つドメイン用のキーストア
  • 12.1.5 キーストア・サービスのトラブルシューティング
• 12.2 キーストア・サービスでのキーストアの管理
  • 12.2.1 キーストア・ライフサイクルの概要
  • 12.2.2 一般的なキーストアの操作
    • 12.2.2.1 Fusion Middleware Controlでのキーストアの作成
    • 12.2.2.2 コマンドラインでのキーストアの作成
    • 12.2.2.3 Fusion Middleware Controlでのキーストアの削除
    • 12.2.2.4 コマンドラインでのキーストアの削除
    • 12.2.2.5 Fusion Middleware Controlでのキーストア・パスワードの変更
    • 12.2.2.6 コマンドラインでのキーストア・パスワードの変更
    • 12.2.2.7 コマンドラインでのキーストアのエクスポート
    • 12.2.2.8 コマンドラインでのキーストアのインポート
• 12.3 キーストア・サービスでの証明書の管理
  • 12.3.1 証明書のライフサイクルについて
  • 12.3.2 一般的な証明書の操作
    • 12.3.2.1 Fusion Middleware Controlでの鍵ペアの生成
    • 12.3.2.2 コマンドラインでの鍵ペアの生成
    • 12.3.2.3 Fusion Middleware Controlでの証明書に対するCSRの生成
    • 12.3.2.4 コマンドラインでの鍵ペアに対するCSRの生成
    • 12.3.2.5 Fusion Middleware Controlを使用した証明書または信頼できる証明書のインポート
    • 12.3.2.6 コマンドラインでの証明書のインポート
    • 12.3.2.7 Fusion Middleware Controlでの証明書または信頼できる証明書のエクスポート
    • 12.3.2.8 コマンドラインでの証明書または信頼できる証明書のエクスポート
    • 12.3.2.9 Fusion Middleware Controlでの証明書の削除
    • 12.3.2.10 コマンドラインでの証明書の削除
    • 12.3.2.11 Fusion Middleware Controlでの証明書のパスワードの変更
    • 12.3.2.12 コマンドラインでの証明書のパスワードの変更
• 12.4 Oracle Fusion Middlewareコンポーネントでのキーストア・サービスの使用方法
  • 12.4.1 syncKeyStoresコマンドの使用
    • 12.4.1.1 syncKeyStoresコマンドの使用方法
    • 12.4.1.2 syncKeyStoresコマンドを使用するタイミング
  • 12.4.2 Oracle WebLogic Serverとの統合
  • 12.4.3 ノード・マネージャとの統合
  • 12.4.4 アイデンティティ・ストア・サービスとの統合
• 12.5 キーストア・サービス・コマンドについて
• 12.6 キーストア・サービス・コマンドのヘルプの表示
• 12.7 キーストア・サービス・コマンド・リファレンス

13 Oracle Fusion Middleware監査サービスの概要

• 13.1 Oracle Fusion Middleware監査フレームワークの利点と機能
  • 13.1.1 監査の目的
  • 13.1.2 現在の監査の課題
  • 13.1.3 Oracle Fusion Middleware監査フレームワークについて
• 13.2 監査機能の概要
• 13.3 Oracle Fusion Middleware監査フレームワークの概念
  • 13.3.1 監査アーキテクチャ
    • 13.3.1.1 監査サービス・モデル
    • 13.3.1.2 監査API
    • 13.3.1.3 ランタイム・サポートおよび監査イベント・フロー
  • 13.3.2 重要な技術的概念
  • 13.3.3 監査メタデータ・ストア
  • 13.3.4 監査データ記憶域
  • 13.3.5 分析
  • 13.3.6 監査ライフサイクルの理解
• 13.4 監査メタデータ・モデル
  • 13.4.1 監査アーティファクトのネーミング規則
  • 13.4.2 属性グループ
    • 13.4.2.1 監査属性のデータ型
    • 13.4.2.2 共通属性グループ
    • 13.4.2.3 汎用属性グループ
    • 13.4.2.4 カスタム属性グループ
  • 13.4.3 イベント・カテゴリとイベント
    • 13.4.3.1 システム・カテゴリとイベント
    • 13.4.3.2 コンポーネント/アプリケーション・カテゴリ
• 13.5 監査定義ファイルについて
  • 13.5.1 component_events.xmlファイル
  • 13.5.2 翻訳ファイル
  • 13.5.3 マッピングとバージョニング・ルールについて
    • 13.5.3.1 バージョン番号
    • 13.5.3.2 カスタム属性からデータベース列へのマッピング

14 監査の構成と管理

• 14.1 監査管理タスク
• 14.2 監査データ・ストアの管理
  • 14.2.1 RCUによる監査スキーマの作成
  • 14.2.2 監査データソースの設定
    • 14.2.2.1 複数のデータソース
  • 14.2.3 Javaコンポーネント用のデータベース監査データ・ストアの構成
    • 14.2.3.1 監査データ・ストアの構成の表示
    • 14.2.3.2 監査データ・ストアとバスストップ・ストレージの構成
    • 14.2.3.3 監査データ・ストアの構成解除
  • 14.2.4 システム・コンポーネント用のデータベース監査データ・ストアの構成
    • 14.2.4.1 監査データ・ストアの構成解除
  • 14.2.5 バスストップ・ファイルのチューニング
  • 14.2.6 スタンドアロン監査ローダーの構成
    • 14.2.6.1 環境の構成
    • 14.2.6.2 スタンドアロン監査ローダーの実行
• 14.3 監査ポリシーの管理
  • 14.3.1 Fusion Middleware ControlによるJavaコンポーネントの監査ポリシーの管理
  • 14.3.2 Fusion Middleware Controlによるシステム・コンポーネントの監査ポリシーの管理
  • 14.3.3 WLSTを使用した監査ポリシーの管理
    • 14.3.3.1 WLSTを使用した監査ポリシーの表示
    • 14.3.3.2 WLSTを使用した監査ポリシーの更新
    • 14.3.3.3 例1: WLSTを使用したユーザーに対する監査ポリシーの構成
    • 14.3.3.4 例2: WLSTを使用したイベントに対する監査ポリシーの構成
    • 14.3.3.5 監査レベルを変更する際に保持されるカスタム構成
  • 14.3.4 監査ポリシーの手動による管理
    • 14.3.4.1 Javaコンポーネントの構成ファイルの場所
    • 14.3.4.2 Javaコンポーネントのjps-config.xml内の監査サービス構成プロパティ
    • 14.3.4.3 Javaコンポーネントのデータベースからファイルへの切替え
    • 14.3.4.4 システム・コンポーネントの監査構成ファイル
• 14.4 監査のタイムスタンプ
• 14.5 監査ログとバスストップ・ファイル
  • 14.5.1 監査ログの場所
  • 14.5.2 バスストップ・ファイルの監査タイムスタンプ
• 14.6 データベース・ストアの拡張管理
  • 14.6.1 スキーマの概要
  • 14.6.2 実表およびコンポーネント表の属性
  • 14.6.3 索引スキーム
  • 14.6.4 バックアップおよびリカバリ
  • 14.6.5 データのインポートとエクスポート
  • 14.6.6 パーティション化
    • 14.6.6.1 パーティション表
    • 14.6.6.2 パーティション表のバックアップとリカバリ
    • 14.6.6.3 インポートとエクスポート
    • 14.6.6.4 データ削除
    • 14.6.6.5 階層アーカイブ

15 監査分析と監査レポートの使用

• 15.1 監査レポートについて
• 15.2 監査データのレポート生成
  • 15.2.1 監査レポートの構成
  • 15.2.2 Oracle Business Intelligence Publisherの使用

第IV部 Oracle Platform Security ServicesのAPIを使用した開発

16 アプリケーション・セキュリティのOPSSとの統合

• 16.1 概要
• 16.2 セキュリティ統合ユースケース
  • 16.2.1 認証
    • 16.2.1.1 認証されたユーザーが必要なJava EEアプリケーション
    • 16.2.1.2 プログラム認証が必要なJava EEアプリケーション
    • 16.2.1.3 認証が必要なJava SEアプリケーション
  • 16.2.2 アイデンティティ
    • 16.2.2.1 2つの環境で実行されるアプリケーション
    • 16.2.2.2 複数のストア内のユーザー・プロファイルにアクセスするアプリケーション
  • 16.2.3 認可
    • 16.2.3.1 特定のロールのみアクセス可能なJava EEアプリケーション
    • 16.2.3.2 ファイングレイン認可が必要なADFアプリケーション
    • 16.2.3.3 Webサービスを保護するWebアプリケーション
    • 16.2.3.4 コードベースのパーミッションが必要なJava EEアプリケーション
    • 16.2.3.5 ファイングレイン認可が必要な非ADFアプリケーション
  • 16.2.4 資格証明
    • 16.2.4.1 システムへのアクセスに資格証明が必要なアプリケーション
  • 16.2.5 監査
    • 16.2.5.1 セキュリティ関連アクティビティの監査
    • 16.2.5.2 ビジネス関連アクティビティの監査
  • 16.2.6 アイデンティティ伝播
    • 16.2.6.1 実行ユーザー・アイデンティティの伝播
    • 16.2.6.2 ユーザー・アイデンティティの伝播
    • 16.2.6.3 別のドメインへのアイデンティティの伝播
    • 16.2.6.4 HTTPを介したアイデンティティの伝播
  • 16.2.7 管理
    • 16.2.7.1 中央ストアが必要なアプリケーション
    • 16.2.7.2 カスタム管理ツールが必要なアプリケーション
    • 16.2.7.3 複数のサーバー環境で実行されるアプリケーション
  • 16.2.8 統合
    • 16.2.8.1 複数のドメインで実行されるアプリケーション
• 16.3 OPSSトラスト・サービス
• 16.4 HTTPプロトコルを介したアイデンティティの伝播
• 16.5 OPSSトラスト・サービスを使用したアイデンティティの伝播
  • 16.5.1 複数のWebLogicドメイン間
    • 16.5.1.1 クライアント側ドメインでのトークン生成
    • 16.5.1.2 サーバー側つまりトークン検証ドメイン
  • 16.5.2 単一のWebLogicドメイン内のコンテナ間
  • 16.5.3 埋込みトラスト・サービス・プロバイダのプロパティ
• 16.6 カスタム・グラフィカル・ユーザー・インタフェース
  • 16.6.1 前提とするインポート
  • 16.6.2 コード・サンプル1
  • 16.6.3 コード・サンプル2
  • 16.6.4 コード・サンプル3
  • 16.6.5 コード・サンプル4
  • 16.6.6 コード・サンプル5
  • 16.6.7 コード・サンプル6
• 16.7 付録 - ADFアプリケーションのセキュリティ・ライフサイクル
  • 16.7.1 開発フェーズ
  • 16.7.2 デプロイメント・フェーズ
  • 16.7.3 管理フェーズ
  • 16.7.4 各フェーズの担当者別タスクの概要
• 16.8 付録 - コードおよび構成例
  • 16.8.1 コード例
  • 16.8.2 構成例
  • 16.8.3 セキュリティが統合されたJava EEアプリケーションの完全なコード例
• 16.9 付録 - JKSベースのキーストアを使用したアイデンティティの伝播
  • 16.9.1 単一ドメイン・シナリオ
    • 16.9.1.1 クライアント・アプリケーションのコード・サンプル
    • 16.9.1.2 キーストア・サービスの構成
    • 16.9.1.3 CSFの構成
    • 16.9.1.4 権限付与の構成
    • 16.9.1.5 サーブレット・コードのサンプル
    • 16.9.1.6 web.xmlの構成
    • 16.9.1.7 WebLogicアサーション・プロバイダおよびトラスト・サービスの構成
    • 16.9.1.8 トラスト・サービス構成パラメータの更新
  • 16.9.2 複数ドメイン・シナリオ
  • 16.9.3 両方のプロトコルを使用するドメイン
    • 16.9.3.1 単一ドメイン・シナリオ
    • 16.9.3.2 複数ドメイン・シナリオ

17 OPSSポリシー・モデル

• 17.1 セキュリティ・ポリシー・モデル
• 17.2 認可の概要
  • 17.2.1 認可について
  • 17.2.2 Java EE認可モデル
    • 17.2.2.1 宣言による認可
    • 17.2.2.2 プログラムによる認可
    • 17.2.2.3 Java EEコードの例
  • 17.2.3 JAAS認可モデル
• 17.3 JAAS/OPSS認可モデル
  • 17.3.1 リソース・カタログ
  • 17.3.2 ポリシーの管理
  • 17.3.3 ポリシーの確認
    • 17.3.3.1 メソッドcheckPermissionの使用方法
    • 17.3.3.2 メソッドdoAsおよびdoAsPrivilegedの使用方法
    • 17.3.3.3 メソッドcheckBulkAuthorizationの使用方法
    • 17.3.3.4 メソッドgetGrantedResourcesの使用方法
  • 17.3.4 クラスResourcePermission

18 OPSSを使用するためのJava EEアプリケーションの構成

• 18.1 Java EEアプリケーションの認証トピックへのリンク
• 18.2 サーブレット・フィルタとEJBインターセプタの構成
  • 18.2.1 インターセプタ構成構文
  • 18.2.2 フィルタおよびインターセプタ・パラメータの概要
  • 18.2.3 アプリケーションMBeansのアプリケーション・ストライプの構成
• 18.3 エンタープライズ・グループとエンタープライズ・ユーザーに適したクラスの選択
• 18.4 Java EEアプリケーションの手動によるパッケージ化
  • 18.4.1 アプリケーションとポリシーのパッケージ化
  • 18.4.2 アプリケーションと資格証明とのパッケージ化
• 18.5 OPSSを使用するためのアプリケーションの構成
  • 18.5.1 ポリシーの移行を制御するパラメータ
  • 18.5.2 動作に従ったポリシー・パラメータの構成
    • 18.5.2.1 ポリシーの移行をスキップするには
    • 18.5.2.2 ポリシーをマージにより移行するには
    • 18.5.2.3 ポリシーを上書きにより移行するには
    • 18.5.2.4 ポリシーを削除する(またはポリシーを削除しない)には
    • 18.5.2.5 静的デプロイメントでポリシーを移行するには
    • 18.5.2.6 推奨事項
  • 18.5.3 ウォレットベースの資格証明ストアの使用
  • 18.5.4 資格証明の移行を制御するパラメータ
  • 18.5.5 動作に従った資格証明パラメータの構成
    • 18.5.5.1 資格証明の移行をスキップするには
    • 18.5.5.2 資格証明をマージにより移行するには
    • 18.5.5.3 資格証明を上書きにより移行するには
  • 18.5.6 サポートされているパーミッション・クラス
    • 18.5.6.1 ポリシー・ストアのパーミッション
    • 18.5.6.2 資格証明ストアのパーミッション
    • 18.5.6.3 一般的なパーミッション
  • 18.5.7 ブートストラップ資格証明の手動による指定
  • 18.5.8 migrateSecurityStoreを使用したアイデンティティの移行
  • 18.5.9 構成ファイルjps-config.xmlの例
• 18.6 アサートされたユーザーとしての実行
  • 18.6.1 ユースケース
  • 18.6.2 プログラミングのガイドラインおよび推奨事項
  • 18.6.3 コード例

19 OPSSを使用するためのJava SEアプリケーションの構成

• 19.1 Java SEアプリケーションでのOPSSの使用
• 19.2 Java SEアプリケーションのセキュリティ・サービス
• 19.3 Java SEアプリケーションでの認証
  • 19.3.1 アイデンティティ・ストア
  • 19.3.2 Java SEアプリケーションでのLDAPアイデンティティ・ストアの構成
  • 19.3.3 ログイン・モジュール
    • 19.3.3.1 アイデンティティ・ストアのログイン・モジュール
    • 19.3.3.2 ユーザー認証のログイン・モジュール
    • 19.3.3.3 ユーザー・アサーションのログイン・モジュール
  • 19.3.4 Java SEアプリケーションでのOPSS API LoginServiceの使用方法
• 19.4 構成例

20 認可サービスを使用した開発

• 20.1 Java SEアプリケーションでのポリシー・ストアと資格証明ストア
  • 20.1.1 ファイルベースのポリシー・ストアおよび資格証明ストアの構成
  • 20.1.2 LDAPベースのポリシー・ストアおよび資格証明ストアの構成
  • 20.1.3 DBベースのOPSSセキュリティ・ストアの構成
• 20.2 ファイルベースのポリシー・ストアに対してサポートされていないメソッド

21 資格証明ストア・フレームワークを使用した開発

• 21.1 資格証明ストア・フレームワークAPIについて
• 21.2 CSFを使用したアプリケーション開発の概要
• 21.3 Javaセキュリティ・ポリシーのパーミッションの設定
  • 21.3.1 パーミッション付与のガイドライン
  • 21.3.2 パーミッション付与例1
  • 21.3.3 パーミッション付与例2
• 21.4 マップ名のガイドライン
• 21.5 資格証明ストアの構成
• 21.6 CSF APIの使用
  • 21.6.1 Java SEアプリケーションでのCSF APIの使用
  • 21.6.2 Java EEアプリケーションでのCSF APIの使用
• 21.7 例
  • 21.7.1 CSF操作の共通コード
  • 21.7.2 例1: ウォレット・ストアを使用するJava SEアプリケーション
  • 21.7.3 例2: ウォレット・ストアを使用するJava EEアプリケーション
  • 21.7.4 例3: OID LDAPストアを使用するJava EEアプリケーション
  • 21.7.5 例4: Oracle DBストアを使用するJava EEアプリケーション
• 21.8 ベスト・プラクティス

22 ユーザーおよびロールAPIを使用した開発

• 22.1 ユーザーおよびロールAPIフレームワークの概要
  • 22.1.1 ユーザーおよびロールAPIとOracle WebLogic Serverの認証プロバイダ
• 22.2 ロールとクラスの要約
• 22.3 サービス・プロバイダの操作
  • 22.3.1 サービス・プロバイダの理解
  • 22.3.2 環境の設定
    • 22.3.2.1 Jarの構成
    • 22.3.2.2 jps-config.xml内のユーザー・クラス(Oracle Virtual Directoryのみ)
    • 22.3.2.3 プロバイダ・ユーザーの読取り権限(Oracle Internet Directoryのみ)
  • 22.3.3 プロバイダの選択
  • 22.3.4 プロバイダ・インスタンスの作成
  • 22.3.5 プロバイダの構成プロパティ
    • 22.3.5.1 起動時と実行時の構成
    • 22.3.5.2 ECID伝播
    • 22.3.5.3 構成の値を渡すタイミング
  • 22.3.6 ファクトリ・インスタンス作成時のプロバイダの構成
    • 22.3.6.1 Oracle Internet Directoryプロバイダ
    • 22.3.6.2 既存のロガー・オブジェクトの使用
    • 22.3.6.3 定数値の指定
    • 22.3.6.4 接続パラメータの構成
    • 22.3.6.5 カスタム接続プール・クラスの構成
  • 22.3.7 ストア・インスタンス作成時のプロバイダの構成
  • 22.3.8 実行時の構成
  • 22.3.9 プログラミングの考慮事項
    • 22.3.9.1 プロバイダの移植性に関する考慮事項
    • 22.3.9.2 IdentityStoreオブジェクト使用時の考慮事項
  • 22.3.10 プロバイダのライフサイクル
• 22.4 リポジトリの検索
  • 22.4.1 特定のアイデンティティの検索
  • 22.4.2 複数のアイデンティティの検索
  • 22.4.3 検索パラメータの指定
  • 22.4.4 検索フィルタの使用
    • 22.4.4.1 検索フィルタの演算子
    • 22.4.4.2 検索フィルタ使用時の特殊文字の処理
    • 22.4.4.3 ログイン・ユーザー用の検索フィルタ
    • 22.4.4.4 検索フィルタの使用例
  • 22.4.5 GUIDによる検索
• 22.5 ユーザー認証
• 22.6 アイデンティティ・ストアのエントリの作成と変更
  • 22.6.1 アイデンティティ作成時の特殊文字の処理
  • 22.6.2 アイデンティティの作成
  • 22.6.3 アイデンティティの変更
  • 22.6.4 アイデンティティの削除
• 22.7 ユーザーおよびロールAPIの使用例
  • 22.7.1 例1: ユーザーの検索
  • 22.7.2 例2: Oracle Internet Directoryストアにおけるユーザー管理
  • 22.7.3 例3: Microsoft Active Directoryストアにおけるユーザー管理
• 22.8 LDAPベースのユーザーおよびロールAPIプロバイダのSSL構成
  • 22.8.1 すぐに使用できるSSLのサポート
    • 22.8.1.1 システム・プロパティ
    • 22.8.1.2 SSL構成
  • 22.8.2 ユーザーおよびロールAPIのSSLサポートのカスタマイズ
    • 22.8.2.1 SSL構成
• 22.9 ユーザーおよびロールAPIリファレンス
• 22.10 カスタムのユーザーおよびロール・プロバイダの開発
  • 22.10.1 SPIの概要
  • 22.10.2 ユーザーおよびロール・プロバイダのタイプ
  • 22.10.3 読取り専用プロバイダの開発
    • 22.10.3.1 拡張が必要なSPIクラス
    • 22.10.3.2 oracle.security.idm.spi.AbstractIdentityStoreFactory
    • 22.10.3.3 oracle.security.idm.spi.AbstractIdentityStore
    • 22.10.3.4 oracle.security.idm.spi.AbstractRoleManager
    • 22.10.3.5 oracle.security.idm.spi.AbstractUserManager
    • 22.10.3.6 oracle.security.idm.spi.AbstractRoleProfile
    • 22.10.3.7 oracle.security.idm.spi.AbstractUserProfile
    • 22.10.3.8 oracle.security.idm.spi.AbstractSimpleSearchFilter
    • 22.10.3.9 oracle.security.idm.spi.AbstractComplexSearchFilter
    • 22.10.3.10 oracle.security.idm.spi.AbstractSearchResponse
  • 22.10.4 フル機能プロバイダの開発
  • 22.10.5 開発のガイドライン
  • 22.10.6 テストと検証
  • 22.10.7 例: アイデンティティ・プロバイダの実装
    • 22.10.7.1 サンプル・プロバイダについて
    • 22.10.7.2 実装の概要
    • 22.10.7.3 サンプル・アイデンティティ・プロバイダの使用に向けたjps-config.xmlの構成
    • 22.10.7.4 Oracle WebLogic Serverの構成
• ユーザーおよびロールSPIリファレンス
  • oracle.security.idm.spi.AbstractUserProfile
  • oracle.security.idm.spi.AbstractUserManager
  • oracle.security.idm.spi.AbstractUser
  • oracle.security.idm.spi.AbstractSubjectParser
  • oracle.security.idm.spi.AbstractStoreConfiguration
  • oracle.security.idm.spi. AbstractSimpleSearchFilter
  • oracle.security.idm.spi.AbstractSearchResponse
  • oracle.security.idm.spi.AbstractRoleProfile
  • oracle.security.idm.spi.AbstractRoleManager
  • oracle.security.idm.spi.AbstractRole
  • oracle.security.idm.spi.AbstractIdentityStoreFactory
  • oracle.security.idm.spi.AbstractIdentityStore
  • oracle.security.idm.spi.AbstractComplexSearchFilter

23 アイデンティティ・ディレクトリAPIを使用した開発

• 23.1 アイデンティティ・ディレクトリAPIについて
  • 23.1.1 機能の概要
• 23.2 クラスの概要
• 23.3 アイデンティティ・ディレクトリの構成
• 23.4 アイデンティティ・ディレクトリAPIの操作
  • 23.4.1 アイデンティティ・ディレクトリAPIインスタンスの取得
  • 23.4.2 ユーザーとグループに対するCRUD操作の実行
    • 23.4.2.1 ユーザー操作
    • 23.4.2.2 グループ操作
• 23.5 アイデンティティ・ディレクトリAPIの例
  • 23.5.1 アイデンティティ・ディレクトリ・ハンドルの初期化と取得
  • 23.5.2 ユーザーの作成
  • 23.5.3 ユーザーの取得
  • 23.5.4 ユーザーの変更
  • 23.5.5 ユーザーの簡易検索
  • 23.5.6 ユーザーの複合検索
  • 23.5.7 グループの作成
  • 23.5.8 グループの取得
  • 23.5.9 検索フィルタを使用したグループの取得
  • 23.5.10 グループの削除
  • 23.5.11 グループへのメンバーの追加
  • 23.5.12 グループからのメンバーの削除
• 23.6 SSL構成

24 キーストア・サービスを使用した開発

• 24.1 キーストア・サービスAPIについて
• 24.2 キーストア・サービスを使用したアプリケーション開発の概要
• 24.3 Javaセキュリティ・ポリシーのパーミッションの設定
  • 24.3.1 パーミッション付与のガイドライン
  • 24.3.2 パーミッション付与例1
  • 24.3.3 パーミッション付与例2
  • 24.3.4 パーミッション付与例3
• 24.4 キーストア・サービスの構成
• 24.5 キーストア・サービスAPIの使用
  • 24.5.1 Java SEアプリケーションでのキーストア・サービスAPIの使用
  • 24.5.2 Java EEアプリケーションでのキーストア・サービスAPIの使用
• 24.6 キーストア・サービスAPIの使用例
  • 24.6.1 キーストア・サービス管理操作用のJavaプログラム
  • 24.6.2 実行時のキーの読取り
    • 24.6.2.1 キーストア・ハンドルの取得
    • 24.6.2.2 キーストア・アーティファクトのアクセス - メソッド1
    • 24.6.2.3 キーストア・アーティファクトのアクセス - メソッド2
  • 24.6.3 ポリシー・ストアのセットアップ
  • 24.6.4 構成ファイル
  • 24.6.5 Java SE環境でのキーストア・サービスの使用について
• 24.7 ベスト・プラクティス

25 監査サービスを使用した開発

• 25.1 監査フローへのアプリケーションの統合
• 25.2 監査フレームワークへのアプリケーションの統合
• 25.3 監査定義ファイルの作成
• 25.4 登録サービスへのアプリケーションの登録
  • 25.4.1 デフォルトのアプリケーション監査登録
  • 25.4.2 カスタム・アプリケーション監査登録
  • 25.4.3 プログラム登録
• 25.5 管理サービスAPIの使用
  • 25.5.1 監査メタデータの問合せ
  • 25.5.2 監査ランタイム・ポリシーの表示と設定
• 25.6 監査イベントを記録するためのアプリケーション・コードの追加
  • 25.6.1 監査クライアントAPI
  • 25.6.2 システム権限の設定
  • 25.6.3 監査インスタンスの取得
• 25.7 監査定義の更新と保守

第V部 付録

A OPSS構成ファイル・リファレンス

• A.1 トップレベルおよび第2レベルの要素階層
• A.2 下位レベルの要素
• <description>
• <extendedProperty>
• <extendedPropertySet>
• <extendedPropertySetRef>
• <extendedPropertySets>
• <jpsConfig>
• <jpsContext>
• <jpsContexts>
• <name>
• <property>
• <propertySet>
• <propertySetRef>
• <propertySets>
• <serviceInstance>
• <serviceInstanceRef>
• <serviceInstances>
• <serviceProvider>
• <serviceProviders>
• <value>
• <values>

B ファイルベースのアイデンティティ・ストアとポリシー・ストアのリファレンス

• B.1 system-jazn-data.xmlの要素の階層
• B.2 system-jazn-data.xmlの要素と属性
• <actions>
• <actions-delimiter>
• <app-role>
• <app-roles>
• <application>
• <applications>
• <attribute>
• <class>
• <codesource>
• <credentials>
• <description>
• <display-name>
• <extended-attributes>
• <grant>
• <grantee>
• <guid>
• <jazn-data>
• <jazn-policy>
• <jazn-realm>
• <matcher-class>
• <member>
• <member-resource>
• <member-resources>
• <members>
• <name>
• <owner>
• <owners>
• <permission>
• <permissions>
• <permission-set>
• <permission-sets>
• <policy-store>
• <principal>
• <principals>
• <provider-name>
• <realm>
• <resource>
• <resources>
• <resource-name>
• <resource-type>
• <resource-types>
• <role>
• <role-categories>
• <role-category>
• <role-name-ref>
• <roles>
• <type>
• <type-name-ref>
• <uniquename>
• <url>
• <user>
• <users>
• <value>
• <values>

C Oracle Fusion Middleware監査フレームワーク・リファレンス

• C.1 監査イベント
  • C.1.1 監査可能なコンポーネント
  • C.1.2 監査可能なイベント
    • C.1.2.1 Oracle Platform Security Servicesのイベントとその属性
  • C.1.3 OPSSイベント属性の説明
• C.2 ビルトイン監査レポート
  • C.2.1 監査レポート用のOracle Business Intelligence Publisherの設定
    • C.2.1.1 Oracle Business Intelligence Publisherについて
    • C.2.1.2 Oracle Business Intelligence Publisherのインストール
    • C.2.1.3 Oracle Business Intelligence PublisherでのOracle Reportsの設定
    • C.2.1.4 監査レポート・テンプレートの設定
    • C.2.1.5 監査レポート・フィルタの設定
    • C.2.1.6 Oracle Business Intelligence Publisherのスケジューラの構成
  • C.2.2 監査レポートの編成
  • C.2.3 監査レポートの表示
  • C.2.4 Oracle Business Intelligence Publisherレポートの例
  • C.2.5 監査レポートの詳細
    • C.2.5.1 Oracle Business Intelligence Publisherの監査レポートのリスト
    • C.2.5.2 Oracle Business Intelligence Publisherの監査レポートの属性
• C.3 監査レポートのカスタマイズ
  • C.3.1 ビルトイン・レポートに対する拡張フィルタの使用
  • C.3.2 カスタム・レポートの作成
• C.4 監査スキーマ
• C.5 監査のためのWLSTコマンド
• C.6 監査フィルタ式の構文
• C.7 監査ファイルの命名およびロギング形式

D ユーザー/ロールAPIリファレンス

• D.1 LDAPディレクトリへのユーザー属性のマッピング
• D.2 LDAPディレクトリへのロール属性のマッピング
• D.3 デフォルトの構成パラメータ
• D.4 Microsoft Active Directoryのためのセキュアな接続

E スクリプトおよびMBeanプログラミングを使用した管理

• E.1 スクリプトを使用したOPSSサービス・プロバイダ・インスタンスの構成
• E.2 MBeanを使用したOPSSサービスの構成
  • E.2.1 サポートされるOPSS MBeansのリスト
  • E.2.2 OPSS MBeanの起動
  • E.2.3 OPSS MBeansを使用したプログラミング
• E.3 アクセス制限
  • E.3.1 注釈の例
  • E.3.2 WebLogicロールへの論理ロールのマッピング
  • E.3.3 特定のアクセス制限

F OPSSのシステムおよび構成プロパティ

• F.1 OPSSシステム・プロパティ
• F.2 OPSS構成プロパティ
  • F.2.1 ポリシー・ストアのプロパティ
    • F.2.1.1 ポリシー・ストアの構成
    • F.2.1.2 実行時ポリシー・ストアの構成
  • F.2.2 資格証明ストアのプロパティ
  • F.2.3 LDAPアイデンティティ・ストアのプロパティ
  • F.2.4 LDAPベースのすべてのインスタンスに共通するプロパティ
  • F.2.5 匿名ロールと認証ロールのプロパティ
  • F.2.6 トラスト・サービスのプロパティ
  • F.2.7 監査サービスのプロパティ
  • F.2.8 キーストア・サービスのプロパティ

G OPSS APIリファレンス

• G.1 OPSS APIリファレンス

H OpenLDAPアイデンティティ・ストアの使用

• H.1 OpenLDAPアイデンティティ・ストアの使用

I ID仮想化のためのアダプタ構成

• I.1 分割プロファイルについて
• I.2 分割プロファイルの構成
• I.3 結合ルールの削除
• I.4 結合アダプタの削除
• I.5 アダプタの可視性の変更
• I.6 Identity Virtualization Libraryに対するアクセス・ログの有効化

J OPSSのトラブルシューティング

• J.1 セキュリティ・エラーの診断
  • J.1.1 ログ・ファイルとOPSSロガー
    • J.1.1.1 診断ログ・ファイル
    • J.1.1.2 一般的なログ・ファイル
    • J.1.1.3 認可ロガー
    • J.1.1.4 オフラインWLSTコマンド・ロガー
    • J.1.1.5 その他のOPSSロガー
    • J.1.1.6 ユーザーおよびロールAPIロガー
    • J.1.1.7 監査ロガー
    • J.1.1.8 Fusion Middleware Controlを使用したロガーの管理
    • J.1.1.9 スクリプトを使用したロガーの管理
  • J.1.2 システム・プロパティ
    • J.1.2.1 jps.auth.debug
    • J.1.2.2 jps.auth.debug.verbose
    • J.1.2.3 認可プロセスのデバッグ
  • J.1.3 セキュリティ・エラーの解決
    • J.1.3.1 サンプル・ログ・エントリの理解
    • J.1.3.2 Fusion Middleware Controlを使用したログの検索
    • J.1.3.3 Fusion Middleware Controlを使用したメッセージ・コンテキストの識別
    • J.1.3.4 Fusion Middleware Controlを使用したエラー・リスト・ファイルの生成
• J.2 再関連付けおよび移行のトラブルシューティング
  • J.2.1 再関連付けの失敗
  • J.2.2 サポートされていないスキーマ
  • J.2.3 再関連付けしたポリシー・ストアのポリシーの欠落
  • J.2.4 移行の失敗
• J.3 サーバーの起動のトラブルシューティング
  • J.3.1 必須のLDAP認証プロバイダの欠落
  • J.3.2 管理者アカウントの欠落
  • J.3.3 パーミッションの欠落
  • J.3.4 サーバーの起動の失敗
  • J.3.5 サーバーの起動に関するその他の問題
  • J.3.6 サーバーの起動前のパーミッション・チェックの失敗
• J.4 パーミッションのトラブルシューティング
  • J.4.1 コードソースの付与のトラブルシューティング
  • J.4.2 パーミッションの付与または取消しの失敗 - 大文字と小文字の不一致
  • J.4.3 認可チェックの失敗
  • J.4.4 ユーザーによる予期しないパーミッションの取得
  • J.4.5 Java SEアプリケーションにおけるパーミッションの付与
  • J.4.6 12c HA環境で認識されないアプリケーション・ポリシー
• J.5 接続およびアクセスのトラブルシューティング
  • J.5.1 組込みのLDAP認証プロバイダへの接続の失敗
  • J.5.2 LDAPサーバーへの接続の失敗
  • J.5.3 資格証明ストアのデータへのアクセスの失敗
  • J.5.4 セキュリティ・アクセス制御の例外
  • J.5.5 匿名SSL接続の確立の失敗
• J.6 Oracle Business Intelligenceレポート作成のトラブルシューティング
  • J.6.1 Oracle Business Intelligence Publisherの監査テンプレート
  • J.6.2 Oracle Business Intelligence Publisherのタイムゾーン
• J.7 検索のトラブルシューティング
  • J.7.1 ポリシー・ストアでの属性照合時の検索の失敗
  • J.7.2 不明なホスト例外による検索の失敗
• J.8 バージョニングのトラブルシューティング
  • J.8.1 バイナリとポリシー・ストアのバージョンの非互換性
  • J.8.2 ポリシー・ストアのバージョンの非互換性
• J.9 その他のエラーのトラブルシューティング
  • J.9.1 実行時のパーミッション・チェックの失敗
  • J.9.2 サイズ変更の必要な表領域
  • J.9.3 Oracle Internet Directoryの例外
  • J.9.4 ユーザーおよびロールAPIの失敗
  • J.9.5 ポリシーに使用する文字
    • J.9.5.1 Oracle Internet Directory 10.1.4.3での特殊文字の使用
    • J.9.5.2 特定の文字が含まれるXMLポリシー・ストア
    • J.9.5.3 アプリケーション・ロール名に使用する文字
    • J.9.5.4 XMLポリシー・ストアでの改行文字の欠落
  • J.9.6 無効な鍵サイズ
• J.10 追加のヘルプ