ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Identity Federation管理者ガイド
11g リリース1(11.1.1)
B66693-02
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

7 診断および監視

この章では、Oracle Identity Federation用のOracle Enterprise Manager Fusion Middleware Controlの監視機能およびロギング機能について説明します。これらの項目が含まれます。


注意:

Liberty 1.xのサポートは非推奨です。


7.1 監視

この項では、Oracle Identity Federatiornサーバーを監視する方法について説明します。

7.1.1 Oracle Identity Federationのホームページ

Oracle Identity Federationサーバー・インスタンスのホーム・ページを次に示します。

oifhome2.gifについては周囲のテキストで説明しています。

このページには、サーバー・インスタンスに関する統計が要約されています。ここに表示されるメトリックの詳細は、第7.1.2項「パフォーマンス・サマリー」を参照してください。

7.1.2 パフォーマンス・サマリー

Oracle Identity Federationが提供する様々な組込みメトリックを使用すると、アプリケーション開発者、システム管理者、その他のユーザーは、アプリケーション固有のパフォーマンス情報を測定できます。システム・イベント、状態イベントおよびフェーズ・イベントのメトリックは、次の機能領域で使用できます。

  • プロトコル・プロファイル

  • エンタープライズ・データ層の接続性

  • セキュリティ・プロトコル・メッセージ

  • データ・モデル(JVT DiscoveryProviders)

この項は次のトピックで構成されています。

7.1.2.1 センサーの重みについて

DMSセンサーの重みは、Oracle Identity Federationが実行されている管理対象サーバーの設定の一つです。センサーの重みによって、表示されるメトリックが次のように異なります。

  • all - すべてのセンサーがアクティブになります。

  • normal(または、重みの値が設定されていない場合) - 標準レベルのすべてのセンサーがアクティブになります。

  • heavy - デフォルト・レベルおよびheavyレベルのすべてのセンサーがアクティブになります。

  • None - すべてのセンサーが非アクティブになります。

高負荷の計測によるコストを考慮すると、必要なセンサーのみを条件付きでアクティブにするようにセンサーの重みを設定することにより、サーバーに関する関連メトリック・データを効率的に収集できます。

センサーの重みの設定

管理コンソールを使用してOracle WebLogic Serverを起動する場合は、サーバーのservers/serverName/server start/argumentsセクションで-Doracle.dms.sensors=levelプロパティを設定します。ここで、levelは前述のセンサー・レベルのいずれかです。

スクリプトによってOracle WebLogic Serverを起動する場合は、domain_home/bin/startManagedWebLogic.shスクリプトで-Doracle.dms.sensors=levelプロパティを設定します。

7.1.2.2 イベントのメトリック

この項は次のトピックで構成されています。


注意:

表にあるラベルおよび説明は、Fusion Middleware Controlでメトリックに付けられているショート・ラベルと、そのメトリックの説明を示しています。


7.1.2.2.1 プロトコル・プロファイル

表7-1に、プロトコル・プロファイルのメトリックを示します。

表7-1 プロトコル・プロファイルのイベント

名前 ラベル、説明 重み

Requests

HTTPおよびSOAPリクエスト

受信したリクエストの合計数。RequestsHTTPとRequestsSOAPを加算したリクエスト・メッセージの数です。

normal

RequestsHTTPRedirect

リダイレクト・バインディングを使用したHTTPリクエスト

HTTPリダイレクト・バインディングを使用して送受信したリクエストの合計数。

normal

RequestsHTTPPOST

POSTバインディングを使用したHTTPリクエスト

HTTP-POSTバインディングを使用して送受信したリクエストの合計数。

normal

RequestsHTTPPOSTSimpleSign

POSTシンプル署名バインディングを使用したHTTPリクエスト

HTTP-POSTシンプル署名バインディングを使用して送受信したリクエストの合計数。

normal

RequestsSOAP

SOAPリクエスト

SOAPバインディングを使用して送受信したリクエストの合計数。

normal

WellFormedRequests

正常に解析された受信XMLリクエスト

受信した形式が正しいリクエスト、つまりXML変換エラーのないリクエストの合計数。

normal

BadlyFormedRequests

解析が失敗した受信XMLリクエスト

形式が正しくないリクエスト、つまりXML変換エラーとなるリクエストの合計数。

normal

SignedRequests

署名したリクエスト

メッセージ・レベルの署名で送受信したリクエストの合計数。

normal

EncryptedRequests

暗号化されたリクエスト

メッセージ・レベルの暗号化で送受信したリクエストの合計数。

normal

SignedAndEncryptedRequests

署名と暗号化の両方が行われたリクエスト

メッセージ・レベルの署名および暗号化で送受信したリクエストの合計数。

normal

Responses

HTTPまたはSOAPレスポンス

送受信したレスポンスの合計数。ResponsesHTTPおよびResponsesSOAPレスポンス・メッセージの合計です。

normal

ResponsesHTTPRedirect

リダイレクト・バインディングを使用したHTTPレスポンス

HTTPリダイレクト・バインディングを使用して送受信したレスポンスの合計数。

normal

ResponsesHTTPPOST

POSTバインディングを使用したHTTPレスポンス

HTTP-POSTバインディングを使用して送受信したレスポンスの合計数。

normal

ResponsesHTTPPOSTSimpleSign

POSTシンプル署名バインディングを使用したHTTPレスポンス

HTTP-POSTシンプル署名バインディングを使用して送受信したレスポンスの合計数。

normal

ResponsesSOAP

SOAPレスポンス

SOAPバインディングを使用して送受信したレスポンスの合計数。

normal

ErrorResponses

エラー・レスポンス

エラー・ステータスで送受信したレスポンスの合計数。

normal

SignedResponses

署名したレスポンス

メッセージ・レベルの署名で送受信したレスポンスの合計数。

normal

EncryptedResponses

暗号化されたレスポンス

メッセージ・レベルの暗号化で送受信したレスポンスの合計数。

normal

SignedAndEncryptedResponses

署名と暗号化の両方が行われたレスポンス

メッセージ・レベルの署名および暗号化で送受信したレスポンスの合計数。

normal

AttributeQueryRequests

AttributeQueryリクエスト

SPが送信またはIdPが受信した<AttributeQuery>リクエストの合計数。

normal

AttributeQueryResponses

AttributeQueryレスポンス

IdPが送信またはSPが受信した<Response>レスポンスの合計数。

normal

AttributeQueryErrorResponses

AttributeQueryエラー・レスポンス

IdPが送信またはSPが受信した<Response>エラー・レスポンスの合計数。

normal

AuthnRequestRequests

AuthnRequestリクエスト

SPが送信またはIdPが受信した<AuthnRequest| Request>リクエストの合計数。

normal

AuthnRequestResponses

AuthnRequestレスポンス

IdPが送信またはSPが受信した<Response|AuthnResponse>レスポンスの合計数。

normal

AuthnRequestErrorResponses

AuthnRequestエラー・レスポンス

IdPが送信またはSPが受信した<Response| AuthnResponse >エラー・レスポンスの合計数。

normal

SecurityTokenResponses

RequestSecurityTokenレスポンス

IdPが送信またはSPが受信した<RequestSecurityTokenResponse >レスポンスの合計数。

normal

LogoutRequests

ログアウト・リクエスト

送受信した<LogoutRequest| SignOut>リクエストの合計数。

normal

LogoutResponses

ログアウト・レスポンス

送受信したLogoutResponseメッセージの数。

normal

LogoutErrorResponses

ログアウト・エラー・レスポンス

送受信したエラー・ステータスのLogoutResponseメッセージの数。

normal

NameIDManagementRequests

ManageNameIDリクエスト

送受信した<ManageNameIDRequest|RegisterNameIdentifier|FederationTerminationNotification>リクエストの合計数。

normal

NameIDManagementResponses

ManageNameIDレスポンス

送受信した<ManageNameIDResponse>またはRegisterNameIdentifierレスポンスの合計数。

normal

NameIDManagementErrorResponses

ManageNameIDエラー・レスポンス

送受信した<ManageNameIDRequest|RegisterNameIdentifier|FederationTerminationNotification>エラー・レスポンスの合計数。

normal

ArtifactResolutionRequests

ArtifactResolveリクエスト

SPが送信またはIdPが受信した<ArtifactResolve|Request>リクエストの合計数。

normal

ArtifactResolutionResponses

ArtifactResolveレスポンス

IdPが送信またはSPが受信した<ArtifactResponse|Response>レスポンスの合計数。

normal

ArtifactResolutionErrorResponses

ArtifactResolveエラー・レスポンス

IdPが送信またはSPが受信した<ArtifactResponse|Response>エラー・レスポンスの合計数。

normal

NameIdentifierFormat_Persistent

処理された永続フォーマットの名前ID

SPまたはIdPで処理したメッセージ内の永続名前識別子の合計数。

normal

NameIdentifierFormat_Transient

処理された一時フォーマットの名前ID

SPまたはIdPで処理したメッセージ内の一時名前識別子の合計数。

normal

NameIdentifierFormat_Unspecified

処理された未指定フォーマットの名前ID

SPまたはIdPで処理したメッセージ内の未指定名前識別子の合計数。

normal

NameIdentifierFormat_EmailAddress

処理されたEmailAddressフォーマットの名前ID

SPまたはIdPで処理したメッセージ内の電子メール・アドレス名前識別子の合計数。

normal

NameIdentifierFormat_X509DN

処理されたX509SubjectNameフォーマットの名前ID

SPまたはIdPで処理したメッセージ内のX.509サブジェクト名前識別子の合計数。

normal

NameIdentifierFormat_Windows

処理されたWindowsDomainQualifiedNameフォーマットの名前ID

SPまたはIdPで処理したメッセージ内のWindowsドメイン修飾名識別子の合計数。

normal

NameIdentifierFormat_Kerberos

処理されたKerberosフォーマットの名前ID

SPまたはIdPで処理したメッセージ内のKerberosプリンシパル名前識別子の合計数。

normal

RequestProcessed

ApplicationControllerリクエスト

ApplicationControllerが処理したリクエストの合計数。

normal


7.1.2.2.2 セキュリティ処理

表7-2に、プロトコル・プロファイルのメトリックを示します。


注意:

表にあるラベルおよび説明は、Fusion Middleware Controlでメトリックに付けられているショート・ラベルと、そのメトリックの説明を示しています。


表7-2 セキュリティ処理のイベント

名前 ラベル、説明 重み

XMLSignatures_Signed

生成されたXML署名

生成されたXML署名の合計数。

normal

XMLSignatures_Verified

XML署名検証成功

XML署名検証成功の合計数。

normal

XMLSignatures_VerifyFailed

XML署名検証失敗

XML署名検証失敗の合計数。

normal

XMLEncryption_Encryptions

生成されたXML暗号化

生成されたXML暗号化の合計数。

normal

XMLEncryption _Decryptions

XML復号化成功

XML復号化成功の合計数。

normal

XMLEncryption _DecryptionFailures

XML復号化失敗

XML復号化失敗の合計数。

normal


7.1.2.3 状態イベント

次のメトリックはエンタープライズ・データ層の接続性に対して収集されます。

  • Server_OpenSessions - このメトリックのFusion Middleware Controlのラベルは「オープン・サーバー接続」です。LDAPまたはRDBMSサーバーとのオープン接続の合計数を表します。

    センサーの重みは「all」です。

7.1.2.4 フェーズ・イベント

この項は次のトピックで構成されています。

7.1.2.4.1 データ・モデル

表7-3に、フェーズ・イベント・センサーによるJVTDiscoveryProvidersメトリックを示します。


注意:

表にあるラベルおよび説明は、Fusion Middleware Controlでメトリックに付けられているショート・ラベルと、そのメトリックの説明を示しています。


表7-3 JVTDiscoveryProviderイベント

名前 ラベルおよび説明 重み

ArtifactCreation

SAMLアーティファクト作成時間(ミリ秒)

Artifact DiscoveryProviderでアーティファクトの作成に要した時間。

heavy

LocateArtifact

SAMLアーティファクト取得時間(ミリ秒)

Artifact DiscoveryProviderのアーティファクトの検出に要した時間。

heavy

LocateConfiguration

サーバー構成取得時間(ミリ秒)

Configuration DiscoveryProviderによるプロトコル/サーバー構成の検出に要した時間。

heavy

LocateMetadata

プロバイダ・メタデータ取得時間(ミリ秒)

メタデータ検出プロバイダがメタデータ検出に要した時間。

heavy

ProfileStateCreation

ProfileStateオブジェクト作成時間(ミリ秒)

ProfileState DiscoveryProviderのプロファイル・ステータスの検出に要した時間。

heavy

LocateProfileState

ProfileStateオブジェクト取得時間(ミリ秒)

ProfileState DiscoveryProviderのプロファイル・ステータスの検出に要した時間。

heavy

SessionCreation

ユーザー・セッション取得または作成時間(ミリ秒)

Session DiscoveryProviderのユーザーの作成または検出に要した時間。

heavy

LocateUser

ユーザー・オブジェクト取得時間(ミリ秒)

User DiscoveryProviderのユーザーの検出に要した時間。

heavy

LocateSession

セッション・オブジェクト取得時間(ミリ秒)

セッションの検出に要した時間。

heavy

CreateActiveServiceProviderFederation

アクティブなSPフェデレーションの作成時間(ミリ秒)

アクティブ・サービス・プロバイダ・フェデレーションの作成に要した時間。

heavy

LocateActiveServiceProviderFederation

アクティブなSPフェデレーションの取得時間(ミリ秒)

アクティブ・サービス・プロバイダ・フェデレーションの検出に要した時間。

heavy

CreateActiveIdentityProviderFederation

アクティブなIdPフェデレーションの作成時間(ミリ秒)

アクティブ・アイデンティティ・プロバイダ・フェデレーションの作成に要した時間。

heavy

LocateActiveIdentityProviderFederation

アクティブなIdPフェデレーションの取得時間(ミリ秒)

アクティブ・アイデンティティ・プロバイダ・フェデレーションの検出に要した時間。

heavy

LocateProviderFederation

プロバイダ・フェデレーション取得時間(ミリ秒)

プロバイダ・フェデレーションの検出に要した時間。

heavy

LocateTemporaryProviderFederation

一時プロバイダ・フェデレーション取得時間(ミリ秒)

一時プロバイダ・フェデレーションの検出に要した時間。

heavy

CreateAffiliationProviderFederation

アフィリエーション・フェデレーション作成時間(ミリ秒)

アフィリエイション・プロバイダ・フェデレーションの作成に要した時間。

heavy

LocateAffiliationFederation

アフィリエーション・フェデレーション取得時間(ミリ秒)

アフィリエイション・フェデレーションの検出に要した時間。

heavy

CreateServiceProviderFederation

SPフェデレーション作成時間(ミリ秒)

サービス・プロバイダ・フェデレーションの作成に要した時間。

heavy

CreateIdentityProviderFederation

IdPフェデレーション作成時間(ミリ秒)

アイデンティティ・プロバイダ・フェデレーションの作成に要した時間。

heavy

DeleteSession

セッション削除時間(ミリ秒)

セッションの削除に要した時間。

heavy

CreateBinaryLargeObject

データベースBLOB作成時間(ミリ秒)

BLOB作成に要した時間。

heavy

LocateBinaryLargeObject

データベースBLOB取得時間(ミリ秒)

BLOBの検出に要した時間。

heavy

SessionPersistence

セッション・データを維持する時間(ミリ秒)

セッションの維持に要した時間。

heavy

DeleteArtifact

SAMLアーティファクト削除時間(ミリ秒)

アーティファクトの削除に要した時間。

heavy

DeleteProfileState

ProfileStateデータ削除時間(ミリ秒)

プロファイル・ステータスの削除に要した時間。

heavy

DeleteActiveIdPFederation

アクティブなIdPフェデレーションの削除時間(ミリ秒)

アクティブIdPフェデレーションの削除に要した時間。

heavy

DeleteActiveSPFederation

アクティブなSPフェデレーションの削除時間(ミリ秒)

アクティブSPフェデレーションの削除に要した時間。

heavy

DeleteProviderFederation

プロバイダ・フェデレーション削除時間(ミリ秒)

プロバイダ・フェデレーションの削除に要した時間。

heavy

ProviderFederationPersistence

プロバイダ・フェデレーションを維持する時間(ミリ秒)

プロバイダ・フェデレーションの維持に要した時間。

heavy


7.1.2.4.2 プロトコル・プロファイル

表7-4に、リクエストおよびレスポンスに対して、フェーズ・イベント・センサーで収集されるプロトコル・プロファイルのメトリックを示します。


注意:

表にあるラベルおよび説明は、Fusion Middleware Controlでメトリックに付けられているショート・ラベルと、そのメトリックの説明を示しています。


表7-4 プロトコル・プロファイル・イベント

名前 ラベルおよび説明 重み

LocalAuthn

ローカル・ユーザー認証時間(ミリ秒)

ユーザーがIdP/SPでローカルに認証されるのに要した時間。

normal

AuthnRequestProcessing

IdPでのAuthnRequestの処理時間(ミリ秒)

IdPでAuthnRequestの処理に要した時間。

heavy

AuthnResponseProcessing

SPでのAuthnResponseの処理時間(ミリ秒)

SPでAuthnResponseの処理に要した時間。

normal

ArtifactProcessing

SAMLアーティファクト処理時間(ミリ秒)

アーティファクトの処理に要した時間。

heavy

Logout

グローバル・ログアウト時間(ミリ秒)

グローバル・ログアウトに要した時間。

heavy

RequestProcessing

受信リクエスト処理時間(ミリ秒)

ApplicationControllerがリクエスト処理に要した時間。

normal

EventProcessing

イベント処理時間(ミリ秒)

ActionStateMachineのイベント処理に要した時間。

heavy


7.1.2.4.3 セキュリティ処理

表7-5に、セキュリティ処理時にフェーズ・イベント・センサーで収集されるメトリックを示します。


注意:

表にあるラベルおよび説明は、Fusion Middleware Controlでメトリックに付けられているショート・ラベルと、そのメトリックの説明を示しています。


表7-5 フェーズ・イベントのセキュリティ処理

名前 ラベルおよび説明 重み

XMLSigner

XMLメッセージ署名時間(ミリ秒)

XMLSignerがメッセージの署名に要した時間。

heavy

XMLSignatureVerifier

XMLメッセージ署名検証時間(ミリ秒)

XMLSignatureVerifierがメッセージ署名の検証に要した時間。

heavy

QueryStringSigner

URL問合せ文字列署名時間(ミリ秒)

問合せ文字列の署名に要した時間。

heavy

QueryStringSignatureVerifier

URL問合せ文字列署名検証時間(ミリ秒)

問合せ文字列の署名検証に要した時間。

heavy

XMLEncryptionService

XMLメッセージ暗号化時間(ミリ秒)

メッセージの暗号化に要した時間。

heavy

XMLDecryptionService

XMLメッセージ復号化時間(ミリ秒)

メッセージの復号化に要した時間。

heavy

SerializeMessage

XMLメッセージ整列化時間(ミリ秒)

LibertyProtocolMarshallerがメッセージをシリアライズするのに要した時間。

heavy

DeSerializeMessage

XMLメッセージ非整列化時間(ミリ秒)

LibertyProtocolMarshallerがメッセージをデシリアライズするのに要した時間。

heavy


7.2 可用性

Oracle Identity Federationは、Fusion Middleware Controlによって可用性が追跡されるJavaコンポーネントです。

詳細は、『Oracle Fusion Middleware管理者ガイド』のOracle Enterprise Manager Fusion Middleware Controlの使用の概要に関する項を参照してください。

7.3 ロギング

この項では、Oracle Identity Federationのロギングついて説明します。

Oracle Fusion Middlewareのロギングの詳細は、『Oracle Fusion Middleware管理者ガイド』のログ・ファイルと診断データの管理に関する項を参照してください。

7.3.1 Oracle Identity Federationのロギングについて

この項では、Oracle Identity Federationのロギングの基本概要を説明します。この項の内容は次のとおりです。

7.3.1.1 ログのタイプ

Oracle Identity Federationには、次の2つのタイプのログがあります。

  • 永続ログ - このログは、コンポーネントを再起動しても保持されます。

  • ランタイム・ログ - このログは、実行時にサーバーで自動的に作成され、特定の機能がアクティブになったときにアクティブになります。

永続ログ・ファイルの内容は次のとおりです。

  • servername-diagnostic.log - 一般的なアプリケーション・ログ・メッセージ、デバッグ・メッセージおよびエラー・メッセージが含まれます。このログは、フェデレーション・ログとも呼ばれます。

  • Oracle Identity Federationに関するロギング・メッセージが含まれる可能性のあるログ・ファイルはこの他に、servername.logservername.outがあります。

7.3.1.2 ログ・レベル

表7-6は、Oracle Identity Federationのログ・メッセージのログ・レベルを示しています。

表7-6 Oracle Identity Federationのログ・レベル

ログ・レベル description

INTERNAL ERROR

回復不能なエラーを表すイベントです。

ERROR

回復可能および回復不能なエラーを表すイベントです。

WARNING

外部的および暗黙的なOracle Identity Federationサーバー・アクションの処理における失敗を表すイベントです。

NOTIFICATION

フローを表す、Oracle Identity Federationの主要な運用イベントです。

TRACE

詳細な処理フローとステート情報が含まれるイベントです。


7.3.1.3 メッセージID

Oracle Identity Federationのログ・メッセージは、次のカテゴリに分類されます。

表7-7 Oracle Identity Federationのメッセージ・カテゴリ

メッセージIDの範囲 メッセージ・カテゴリ

FED-10000からFED-10099

コンプライアンス

FED-10100からFED-10999

構成

FED-11000からFED-11699

データ

FED-11700からFED-11999

ネットワーク

FED-12000からFED-12999

その他

FED-13000からFED-14999

プログラム関連

FED-15000からFED-17999

リクエストおよびレスポンス

FED-18000からFED-19999

セキュリティ

FED-20000からFED-20099

スレッド


7.3.1.4 ログ構成用ツール

Oracle Identity Federationには、ログの構成および管理用として次の2つのツールが用意されています。

  • Fusion Middleware Control(GUIベースで構成する場合)

  • wlst(コマンドラインで構成する場合)

7.3.2 Oracle Identity Federationのログ・メッセージの表示

Fusion Middleware Controlにログインして、Oracle Identity Federationインスタンスに移動します。「Oracle Identity Federation」ドロップダウン・メニューで、「ログ」「ログ・メッセージの表示」の順に選択します。

7.3.2.1 表示するメッセージの選択

表示するメッセージを選択するには、次の手順を実行します。

  1. 「Oracle Identity Federation」メニューで、「ログ」「ログ・メッセージの表示」の順に選択します。「ログ・メッセージ」ページが表示されます。

  2. 表示するログの日付範囲を選択します。「最新」は、分単位、時間単位または日単位で選択できます。また、「時間間隔」を選択し、開始日時と終了日時を指定することもできます。

  3. 表示する「メッセージ・タイプ」を選択します。

  4. 追加条件を指定します(任意の文字列を含むメッセージのみを表示する場合など)。

  5. 特定の検索を実行するには、「フィールドの追加」を選択し、検索するフィールドを追加します。各フィールドに対し、基準をリストから選択した後、テキストをボックスに入力します。フィールドを削除するには、赤いXを選択します。フィールドを追加するには、「フィールドの追加」を選択します。基準の追加が終了した後、「検索」をクリックします。

7.3.2.2 表示オプションの指定

表示するメッセージを指定する他に、次のような表示オプションが用意されています。

  • ドメインに関するメッセージを表示するには、「広範囲のターゲット・スコープ」リストを使用します。

  • ログ・メッセージをXML、テキストまたはカンマ区切りのリストとしてファイルにエクスポートするには、「メッセージをファイルにエクスポート」を選択します。

  • 個々のログ・ファイルに関する情報を表示するには、「ターゲット・ログ・ファイル」をクリックします。

  • 表示をリフレッシュするタイミングを指定できます。右上のリストから「手動リフレッシュ」、「30秒リフレッシュ」または「1分間リフレッシュ」を選択します。

  • リストされている列の変更や列の並替えには、「表示」リストを使用します。

  • メッセージのグループ分けの変更には、「表示」リストを使用します。

  • ログ・メッセージのリストのみを表示するには、「検索」ラベルを閉じます。

  • ログ・ファイルの内容を表示するには、「ログ・ファイル」列でファイル名をダブルクリックします。「ログ・ファイルの表示:filename」ページが表示されます。「時間」、「メッセージ・タイプ」および「メッセージID」列で上向きまたは下向きの矢印を使用してファイル内のレコードを並べ替えることができます。

7.3.3 Oracle Identity Federationのログの構成

このページは、Oracle Identity Federationサーバーのログを表示および構成する際に使用します。

ログ構成ページに移動するには、次の手順を実行します。

  1. Fusion Middleware Controlにログインして、Oracle Identity Federationインスタンスに移動します。

  2. 「Oracle Identity Federation」ドロップダウン・メニューで、「ログ」「ログ構成」の順に選択します。

この項の内容は次のとおりです。

7.3.3.1 Oracle Identity Federationのログ・レベルの構成

このページでは、次の操作を行います:

  • Oracle Identity Federationのロギング・レベルを表示および更新します。

  • 新しい永続ログ出力を作成します。

各ログ出力は、特定のサーバー機能のメッセージを記録します。たとえば、EJBデプロイメント・ログ出力は、EJBモジュールのメッセージを記録します。

ログ出力レベルの表示または更新

ログ出力を選択するには、「表示」ドロップダウンを使用します。

次のフィールドがあります。

  • ログ出力名 - ログ出力の名前です。

  • Oracle Diagnostic Loggingレベル - ロギング・レベルです。「レベル」ドロップダウンを使用してログ・レベルを変更します。

  • ログ・ファイル - ログ・ファイルの名前です。ログ・ファイルのプロパティを表示および更新するには、ログ・ファイル名をクリックします。

ログ出力の指定

ページのこの部分は、「表示」ドロップダウンで永続ログ・レベルのログ出力を選択した場合に表示されます。

永続ログ出力を作成するには、次の情報を指定します。

  • 名前 - 新しいログ出力の名前を入力します。

  • Oracle Diagnostic Loggingレベル - ロギング・レベルです。「レベル」ドロップダウンを使用してログ・レベルを選択します。

ページにあるボタンの機能は次のとおりです。

  • 適用 - ログ出力構成の更新を保存します。または新しいログ出力情報を生成します。

  • 元に戻す - 構成の更新を破棄します。

7.3.3.2 Oracle Identity Federationのログ・ファイルの構成

ログ・ファイルの構成の詳細は、『Oracle Fusion Middleware管理者ガイド』のログ・ファイルの設定の構成に関する項を参照してください。

7.3.4 一般的なログ・メッセージ

この項では、Oracle Identity Federationのログに表示される可能性のある一般的なメッセージについて説明します。

7.3.4.1 スレッド中断メッセージ

管理対象サーバーのログ・ファイルに次のようなメッセージが表示される場合があります。

oracle.security.fed.jvt.discovery.model.session.RDBMSSessionDiscoveryProvider
run
WARNING: InterruptedException: thread interrupt occurred during sleep()
java.lang.InterruptedException: sleep interrupted

これらのメッセージは、RDBMSの停止中のスレッドが構成のリロードにより中断されたことを示す通知にすぎません。このスレッドに置き換わる新しいスレッドが作成されています。アクションは不要です。

7.4 監査

Oracle Identity Federationは、Fusion Middleware監査フレームワークを使用して監査を行います。

この項では、監査対象のイベントについて、およびOracle Identity Federationの監査を構成する方法について説明します。これらの項目が含まれます。


関連項目:

監査の構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査の構成と管理に関する項を参照してください。


7.4.1 Oracle Identity Federationでの監査について

この項では、各種カテゴリで監査可能なイベントをリストし、監査レベルについて説明します。

7.4.1.1 監査イベントのカテゴリ

Oracle Identity Federationの監査イベントには、次の4つのカテゴリがあります。

  • ユーザー・セッション管理

  • プロトコル・フロー

  • サーバー構成

  • セキュリティ

各カテゴリのイベントについては、次の各項で説明します。

7.4.1.1.1 ユーザー・セッション管理のイベント

セッション管理のイベントと各イベントの属性は、次のとおりです。

  • CreateUserSession - ログイン成功後のユーザー・セッションの作成

    • SessionID

    • AuthenticationMechanism

    • UserID

  • DeleteUserSession - ログアウト後のユーザー・セッションの削除

    • SessionID

    • AuthenticationMechanism

    • UserID

  • CreateUserFederation - 2つのリモート・サーバー間でのユーザー・フェデレーションの作成

    • FederationID

    • FederationType (SP/IdP/Affiliation)

    • UserID

    • RemoteProviderID

    • ProtocolVersion

    • NameIDFormat

    • NameIDQualifier

    • NameIDValue

  • UpdateUserFederation - 2つのリモート・サーバー間でのユーザー・フェデレーションの更新

    • FederationID

    • FederationType (SP/IdP)

    • UserID

    • RemoteProviderID

    • ProtocolVersion

    • NameIDFormat

    • NameIDQualifier

    • NameIDValue

    • OldNameIDQualifier

    • OldNameIDValue

  • DeleteUserFederation - 2つのリモート・サーバー間でのユーザー・フェデレーションの削除

    • FederationID

    • FederationType (SP/IdP)

    • UserID

    • RemoteProviderID

    • ProtocolVersion

    • NameIDFormat

    • NameIDQualifier

    • NameIDValue

  • CreateActiveUserFederation - ログイン成功後のアクティブ・フェデレーションの作成

    • FederationID

    • FederationType (SP/IdP)

    • SessionID

    • UserID

    • RemoteProviderID

    • ProtocolVersion

  • DeleteActiveUserFederation - ログアウト後のアクティブ・フェデレーションの削除

    • FederationID

    • FederationType (SP/IdP)

    • SessionID

    • UserID

    • RemoteProviderID

    • ProtocolVersion

  • LocalAuthentication - OIFでのユーザーの認証

    • AuthenticationMechanism

    • AuthenticationEngineID

    • RemoteIP

    • SessionID

    • UserID

  • LocalLogout - Oracle Identity Federationでのユーザーのログアウト

    • RemoteIP

    • SessionID

    • UserID

7.4.1.1.2 プロトコル・フローのイベント

プロトコル・フローのイベントとその属性は、次のとおりです。

  • IncomingMessage - Oracle Identity Federationが受信したメッセージ

    • RemoteIP

    • Binding(SOAP、GET、POST、Artifactなど)

    • ProtocolVersion(SAML2、Libv11など)

    • RemoteProviderID

    • Role(サービス・プロバイダ、アイデンティティ・プロバイダ、属性認証局など)

    • IncomingMessageString(CLOB)

    • MessageType(SSOLoginRequest、SSOLoginResponse、SSOLogoutRequestなど)

  • OutgoingMessage - Oracle Identity Federationが送信したメッセージ(成功した場合のみ)

    • RemoteIP

    • Binding(SOAP、GET、POST、Artifactなど)

    • ProtocolVersion(SAML2、Libv11など)

    • RemoteProviderID

    • Role(サービス・プロバイダ、アイデンティティ・プロバイダ、属性認証局など)

    • OutgoingMessageString(CLOB)

    • MessageType(SSOLoginRequest、SSOLoginResponse、SSOLogoutRequestなど)

  • AssertionCreation - Oracle Identity Federationによるアサーションの作成(成功した場合のみ)

    • RemoteIP

    • ProtocolVersion(SAML2、Libv11など)

    • AssertionVersion(2.0など)

    • IssueInstant

    • Issuer

    • NameIDQualifier

    • NameIDValue

    • NameIDFormat

    • AssertionID

    • UserID

    • SessionID

    • FederationID

    • RemoteProviderID

  • AssertionConsumption - Oracle Identity Federationによるアサーションの処理(成功した場合のみ)

    • ProtocolVersion(SAML2、Libv11など)

    • AssertionVersion(2.0など)

    • IssueInstant

    • Issuer

    • NameIDQualifier

    • NameIDValue

    • NameIDFormat

    • AssertionID

    • UserID

    • SessionID

    • FederationID

    • RemoteProviderID

7.4.1.1.3 サーバー構成のイベント

サーバー構成のイベントとその属性は、次のとおりです。

  • CreateConfigProperty - 新しい構成プロパティの追加(成功した場合のみ)

    • PropertyName

    • PropertyType(PropertiesList、PropertiesMap、String、Booleanなど)

    • PeerProviderID

    • Hierarchy

  • ChangeConfigProperty - 既存の構成プロパティ値の変更(成功した場合のみ)

    • PropertyName

    • PropertyType(PropertiesList、PropertiesMap、String、Booleanなど)

    • OldValue

    • NewValue

    • PeerProviderID

    • Hierarchy

  • DeleteConfigProperty - 構成プロパティの削除(成功した場合のみ)

    • PropertyName

    • PropertyType(PropertiesList、PropertiesMap、String、Booleanなど)

    • OldValue

    • PeerProviderID

    • Hierarchy

  • CreatePeerProvider - 信頼できるプロバイダ・リストへの新しいプロバイダの追加(成功した場合のみ)

    • PeerProviderID

    • ProviderType(sp、idp、sp idpなど)

    • ProtocolVersion

    • 説明

  • UpdatePeerProvider - 信頼できるプロバイダ・リストに存在するプロバイダの情報の更新(成功した場合のみ)

    • PeerProviderID

    • ProviderType(sp、idp、sp idpなど)

    • ProtocolVersion

    • 説明

  • DeletePeerProvider - 信頼できるプロバイダ・リストからのプロバイダの削除(成功した場合)

    • PeerProviderID

    • ProviderType(sp、idp、sp idpなど)

    • ProtocolVersion

    • 説明

  • LoadMetadata - メタデータのロード(成功した場合のみ)

    • Metadata

    • 説明

  • SetDataStoreType - データ・ストアのタイプの変更(成功した場合のみ)

    • DataStoreName

    • OldValue

    • NewDataStoreType

  • ChangeDataStore - フェデレーション・データ・ストアの設定(成功した場合のみ)

    • DataStoreBefore

    • DataStoreAfter

  • ChangeFederation - 信頼できるプロバイダの変更(成功した場合のみ)

    • COTBefore

    • COTAfter

  • ChangeServerProperty - サーバー構成プロパティの変更(成功した場合のみ)

    • ServerConfigBefore

    • ServerConfigAfter

7.4.1.1.4 セキュリティのイベント

セキュリティのイベントとその属性は、次のとおりです。

  • CreateSignature - Oracle Identity Federationによるデジタル署名の作成

    • Type(XML、String)

  • VerifySignature - Oracle Identity Federationによるデジタル署名の検証

    • Type(XML、String)

  • EncryptData - Oracle Identity Federationによるデータの暗号化

    • Type(XML、String)

  • DecryptData - Oracle Identity Federationによるデータの復号化

    • Type(XML、String)

7.4.1.1.5 すべてのイベントで共有される属性

すべてのイベントで共有される属性は、次のとおりです。

  • timestamp - 監査イベントが発生したときのタイムスタンプ

  • initiator - 監査イベントの開始者(一部のイベントでは、この属性は空になる場合があります)

  • ECID - 実行コンテキストID

7.4.1.2 監査レベル

Fusion Middleware監査フレームワークは、次の監査レベルをサポートしています。

  • なし

  • カスタム

次の監査イベントは、監査レベルが「低」および「中」の場合に監査されます。


注意:

FAILURESONLYは、イベントが失敗した場合にのみ、監査されることを示しています。


「低」レベルで監査されるイベント

  • ServerConfiguration

    • CreateConfigProperty

    • ChangeConfigProperty

    • DeleteConfigProperty

    • CreatePeerProvider

    • UpdatePeerProvider

    • DeletePeerProvider

    • LoadMetadata

    • SetDataStoreType

    • ChangeDataStore

    • ChangeCOT

    • ChangeServerProperty

「中」レベルで監査されるイベント

  • ServerConfiguration

    • CreateConfigProperty

    • ChangeConfigProperty

    • DeleteConfigProperty

    • CreatePeerProvider

    • UpdatePeerProvider

    • DeletePeerProvider

    • LoadMetadata

    • SetDataStoreType

    • ChangeDataStore

    • ChangeCOT

    • ChangeServerProperty

  • UserSession.FAILUREONLY

    • CreateUserSession.FAILUREONLY

    • DeleteUserSession.FAILUREONLY

    • CreateUserFederation.FAILUREONLY

    • UpdateUserFederation.FAILUREONLY

    • DeleteUserFederation.FAILUREONLY

    • CreateActiveUserFederation.FAILUREONLY

    • DeleteActiveUserFederation.FAILUREONLY

    • LocalAuthentication.FAILUREONLY

    • LocalLogout.FAILUREONLY

  • ProtocolFlow.FAILUREONLY

    • IncomingMessage.FAILUREONLY

    • OutgoingMessage.FAILUREONLY

    • AssertionCreation.FAILUREONLY

    • AssertionConsumption.FAILUREONLY

  • Security.FAILUREONLY

    • CreateSignature.FAILUREONLY

    • VerifySignature.FAILUREONLY

    • EncryptData.FAILUREONLY

    • DecryptData.FAILUREONLY

「カスタム」レベルで監査されるイベント

「カスタム」監査レベルでは、監査するイベントのみを選択できます。


関連項目:

『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査の構成と管理に関する項


7.4.2 Oracle Identity Federationの監査の構成

監査を構成するには、Oracle Enterprise Manager Fusion Middleware ControlまたはWLSTコマンドライン・インタフェースを使用します。

Fusion Middleware Controlで監査の構成を開始するには、次の手順を実行します。

  1. Fusion Middleware Controlにログインして、「Identity Management」ドメインに移動します。

  2. 「WebLogicドメイン」ドロップダウン・メニューで、「セキュリティ」を選択してから、「監査ポリシー」を選択します。

  3. Oracle Identity Federationコンポーネントを選択します。

  4. 「監査レベル」メニューで、希望の監査レベルを選択します。

    各種カテゴリで実行される監査ポリシーを表示するには、コンポーネントの「+」チェック・ボックスを開きます。


    注意:

    選択したレベルが「カスタム」の場合は、第7.4.2.1項「カスタム・レベルでの監査の構成」を参照してください。


  5. オプションで「ユーザー」テキスト・ボックスを使用して、監査レベルに関係なくすべてのイベントで常に監査されるユーザーを追加できます。

  6. 「適用」をクリックします。

7.4.2.1 「カスタム」レベルでの監査の構成

監査ポリシーを構成して、「カスタム」監査レベルを使用する場合は、次の手順を実行します。

  1. 「監査レベル」メニューで、監査レベルとして「カスタム」を選択します。

  2. 監査対象のイベントをイベントの表で選択します。

    • コンポーネント名の横にある「+」記号をクリックして、監査イベントのカテゴリのリストを取得します。

    • カテゴリ名の横にある「+」記号をクリックして、イベントのリストを取得します。

    • イベント名の横にある「+」記号をクリックして、「成功」または「失敗」監査オプションを取得します。

  3. 監査対象のイベントまたはカテゴリの横にある「監査の有効化」ボックスを選択します。(たとえば、「セキュリティ」の横のボックスを選択すると、すべてのセキュリティ・イベントが監査されます。)CreateUserSession Failureイベントの横にあるボックスを選択すると、すべてのCreateUserSession失敗イベントが監査されます。

  4. オプションで、フィルタを追加すると、ファイングレイン監査を実行できます。

    イベントまたはカテゴリ名の右にある鉛筆のアイコンをクリックします。必要なフィルタ条件を追加します。

  5. 終了したら、「OK」をクリックします。


関連項目:

監査ポリシーの構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査の構成と管理に関する項を参照してください。


7.4.3 監査データの表示

監査データは、ファイル(バスストップ・ファイルとも呼ばれます)内に置くことも、データベース監査ストア内に置くこともできます。

監査データがバスストップ・ファイル内に存在する場合は、次の場所のファイルを直接検索できます。

<domain_home>/servers/<server_name>/logs/auditlogs/OIF/audit.log

監査データがデータベース内に存在する場合は、Oracle Business Intelligence Publisherなどのツールを使用して、監査レポートを表示できます。


関連項目:

Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査分析とレポートの使用に関する項