Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11gリリース2 (11.1.2.2) for All Platforms B69533-09 |
|
前 |
次 |
Oracle Fusion Middlewareでは、監査とは、管理イベント、認証イベントおよびランタイム・イベントに関連する特定の情報を再確認するために収集するプロセスのことを指します。監査は、ポリシー、ユーザー・アクセス・コントロールおよびリスク管理手順への準拠を評価する上で役に立ちます。監査は、アカウンタビリティの手段提供するとともに、「誰がいつ何を行ったか」という質問の答えを明らかにします。監査データは、ダッシュボードの作成、履歴データの集計、およびリスクの評価に使用できます。記録された監査データを分析すれば、コンプライアンス担当者がコンプライアンス方針を定期的に確認できます。(監査データの分析と使用についてはこの章では取り上げません。)
この章では、Oracle Access Managementサービス(Access Manager、セキュリティ・トークン・サービス、Identity FederationおよびMobile and Social)で監査可能な管理イベントおよびランタイム・イベントについて、および一般的な監査設定の構成と監査構成の検証について説明します。次のトピックが含まれます:
注意: OpenSSOエージェントまたはアイデンティティ・コンテキストの監査に関連する固有または個別の事項はありません。明示していないかぎり、この章の情報はOracle Access Managementサービスすべてに対して同一です。 |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の次に関する項を確認し、監査とOracle Fusion Middleware監査フレームワークについて理解してください。
Oracle Fusion Middleware監査フレームワークの概要
監査レポートのカスタマイズ
監査データベースの配置方法の詳細: Oracle Fusion Middleware監査フレームワーク・リファレンス
現在では多くのビジネスにおいて、アイデンティティ情報や、アプリケーションおよびデバイスへのユーザー・アクセスを監査できることが求められます。コンプライアンス監査は、企業が法的要件を満たしていることを確認する助けとなります - 例としては、Sarbanes-Oxley ActやHealth Insurance Portability and Accountability Act (HIPAA)の2つがあげられます。
Oracle Access Managementは、Oracle Fusion Middlewareの共通監査フレームワークを使用し、大量のユーザー認証イベントと認可イベント、および管理イベント(システムへの変更)の監査を支援します。Oracle Fusion Middlewareの共通監査フレームワークを使用すれば、ロギングと例外を一様な形で取り扱い、すべての監査イベントの診断を行うことができます。
監査は、1人のユーザーまたは一連のユーザーに対してデータ・キャプチャを有効にする、Oracle Access Managementコンソールで設定される構成パラメータに基づいています。監査機能は有効または無効のどちらに設定しておくことも可能ですが、本番環境では有効にしておくのが普通です。監査データは、集中管理された1つのOracle Databaseインスタンスや、バスストップ・ファイルと呼ばれるフラット・ファイルに書き込むことができます。
注意: Oracle Fusion Middleware共通監査フレームワークのデータベース監査ストアは、Access Managerポリシーやセッション・データを含まず、Oracle Access Managementコンソールからは構成されません。 |
監査による性能への影響は最小限に抑えられており、監査によって得られた情報は有用です(業務に不可欠な場合もあります)。監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。
この項では、次の項目について説明します。
管理者は、Oracle Access Managementコンソールを使用して一定の監査パラメータを制御します。この監査構成は、oam-config.xml
ファイルに記録されます。その他の監査構成は、共通管理フレームワークを通じて設定する必要があります。
注意: 変更にはOracle Access ManagementコンソールまたはWebLogic Scripting Tool (WLST)コマンドのみを使用することをお薦めします。oam-config.xml は直接編集しないでください。 |
イベント構成(レベルへのイベントのマッピング)は、component_events.xml
ファイルで発生します。監査レコードには、特定の要件を満たすために構成できるアイテムのシーケンスが含まれます。
Oracle Access Managementコンソール内では、ログ・ファイルとログ・ディレクトリの最大サイズを設定できます。監査ポリシー(フィルタ・プリセットと呼ばれます)は、特定のコンポーネントについて監査フレームワークによって取得されるイベントのタイプを宣言します。
Fusion Middleware Controlを使用して監査ポリシーを構成することはできません。Oracle Access Managementは、監査構成でJPSインフラストラクチャを使用しません。監査用のWebLogic Scripting Tool (WLST)コマンドはありません。
監査データは、集中管理された1つのOracle Databaseインスタンスや、バスストップ・ファイルと呼ばれるフラット・ファイルに書き込むことができます。監査データはデフォルトでこのファイルに記録されますが、管理者は、監査データをデータベースに記録するように構成を変更できます。書式は異なりますが、監査データの内容はフラット・ファイルの場合もデータベースの場合も同じです。
監査バスストップ: 監査データ・レコードが監査データ・ストアにプッシュされる前に格納されるローカル・ファイルです。監査データ・ストアが構成されていない場合、監査データはこれらのバスストップ・ファイルに残ります。バスストップ・ファイルは、特定の監査イベントを検索するために簡単に問い合せられる単純なテキスト・ファイルです。監査データ・ストアが配備されている場合、バスストップはコンポーネントと監査データ・ストア間の中間的な場所として機能します。これらのローカル・ファイルは、構成可能な時間間隔に基づいて、監査データ・ストアに定期的にアップロードされます。
Javaコンポーネント用のバスストップ・ファイルは、次の場所にあります。
$DOMAIN_HOME/servers/$SERVER_NAME/logs/auditlogs/OAM/audit.log
システム・コンポーネント用のバスストップ・ファイルは、次の場所にあります。
$ORACLE_INSTANCE/auditlogs/OAM/oam_server1/audit.log
データベース・ロギング: Oracle Fusion Middlewareの全製品について共通監査フレームワークを実行します。その利点は、プラットフォーム・レベルで監査機能が共通化されることです。
データベース監査ストア: 本番環境においては、共通監査フレームワークのスケーラビリティと高可用性を実現するために、データベース監査ストアを使用することをお薦めします。監査データ・ストアの主な利点は、複数のコンポーネントの監査データ(すべてのミドルウェア・コンポーネントやインスタンスにおける認証失敗など)をレポート内で関係付けて結合できる点です。監査データは累積され、時間とともに大きくなるため、監査データ専用のスタンドアロンRDBMSデータベースとし、他のアプリケーションには使用されないようにすることが理想的です。
注意: 本番環境において望ましいモードは、監査データ専用のスタンドアロンRDBMSデータベースに監査記録を書き込むことです。 |
監査記録用の恒久的ストアとしてのデータベースに切り替えるには、まず、リポジトリ作成ユーティリティ(RCU)を使用して監査データ用のデータベース・スキーマを作成する必要があります。RCUは、データベースに監査記録を格納するために必要なスキーマを使用して、そのデータベース・ストアをシードします。スキーマ作成後にデータベース監査ストアを構成するには次の操作が必要です。
作成した監査スキーマを参照するデータ・ソースの作成
そのデータ・ソースを参照する監査ストアの設定
図9-1は、サポート対象データベースを使用した監査アーキテクチャの簡略図です。前述のとおり、Oracle Fusion Middleware監査フレームワーク・スキーマはRCUによって提供されます。
独立した監査ローダー・プロセスがフラット・ログ・ファイルを読み込んで、Oracleデータベースのログ表にレコードを挿入します。管理者は、監査ストアを使用することにより、Oracle Business Intelligence Publisherの様々な既製レポートを使用して監査データを表示できます。
Oracle Access Managementは、あらかじめ設定されたコンプライアンス・レポートを提供するOracle Business Intelligence Publisherと統合できます。データベース監査ストアのデータはこのレポートを介して公開されます。これらのレポートを使用すれば、ユーザー名、時間範囲、アプリケーション・タイプ、実行コンテキスト識別子(ECID)などの様々な基準に基づいて、監査データをドリルダウンできます。Oracle Access Managementには、そのまますぐに使用できるサンプル監査レポートがいくつか用意されており、これらのレポートにはOracle Business Intelligence Publisherでアクセスできます。また、Oracle Business Intelligence Publisherを使用して、独自のカスタム監査レポートを作成することもできます。
Oracle BI Enterprise Edition (Oracle BI EE)は包括的な一連のエンタープライズ・ビジネス・インテリジェンス・ツールおよびインフラストラクチャであり、拡張性のある効率的な問合せおよび分析サーバー、非定型の問合せおよび分析ツール、インタラクティブ・ダッシュボード、プロアクティブ・インテリジェンスとアラート、リアルタイム予測インテリジェンス、エンタープライズ・レポート・エンジンなどが含まれます。Oracle BI EEのコンポーネントは、共通のサービス指向アーキテクチャ、データ・アクセス・サービス、分析および計算インフラストラクチャ、メタデータ管理サービス、意味的ビジネス・モデル、セキュリティ・モデルやユーザー・プリファレンスおよび管理ツールを共有します。Oracle BI EEは、各データ・ソース向けに最適化された分析生成、最適化されたデータ・アクセス、高度な計算、インテリジェント・キャッシュ・サービスおよびクラスタリングにより、スケーラビリティとパフォーマンスを提供します。
関連項目: 『Oracle Fusion Middlewareセキュリティ・ガイド』の「監査分析とレポートの使用」 |
Oracle Access Managementの監査レポートとともに使用するOracle BI EEの準備方法の概要については、「Oracle Business Intelligence Publisher EEの準備」を参照してください。
Oracle BI EEのレポートには、データ・フィールドと一目で内容が理解できるラベルの列挙フィールドが含まれています。このレポートの内容については、表9-1に示します(My Oracle Supportのナレッジ・ベース・ドキュメントID 1495333.1からの引用)。
表9-1 Oracle Business Intelligence Enterprise EditionのOAMに関するレポート
レポート・タイプ | 説明 |
---|---|
アカウント管理 |
ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | イベント詳細 |
Authentication_Statistics |
Authentication_statistics 失敗 | ユーザーID | イベント数 AuthenticationFromIPByUser IPアドレス | 個々のユーザー数 | 合計試行回数 | ユーザー AuthenticationPerIP IPアドレス | 個々のユーザー | 合計試行回数 AuthenticationStatisticsPerServer サーバー・インスタンス名 | 成功件数 | 失敗件数 |
Errors_and_Exceptions |
All_Errors_and_Exceptions ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | メッセージ・イベント | イベント詳細 Authentication_Failures ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | 認証方式 | メッセージ・イベント詳細 | Authorization_Failures Users_Activities Authentication_History ユーザーID | タイムスタンプ | コンポーネント/アプリケーション名 | クライアントIPアドレス | 認証方式 | メッセージ・イベント詳細 | Authorization_Failures Multiple_Logins_From_Same_IP IPアドレス | 使用ユーザー名 |
詳細な情報は、次のトピックを参照してください:
監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。監査ログ・ファイルには、Date、Time、Initiator、EventType、EventStatus、MessageText、ECID、RID ContextFields、SessionId、TargetComponentType、ApplicationName、EventCategoryなどを含む(これだけとはかぎりません)いくつかのフィールドが記録されます。
関連項目: 『Oracle Fusion Middlewareセキュリティ・ガイド』の監査の構成と管理に関する章に含まれる監査ログ関連項目 |
この項では次のトピックを記載しています:
管理イベントとは、Oracle Access Managementコンソール使用時に作成されるイベントです。監査可能なAccess Manager固有の管理イベントと、これらのイベントで取得される内容の詳細を表9-2に示します。これらのイベントの定義と構成は、Oracle Platform Security Servicesの監査サービスの一部として実行されます。
注意: 「監査構成」セクションでフィルタ・プリセットを選択することによって、記録される情報の量とタイプが制御されます。各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xml ファイル内に指定されています。このファイルをカスタマイズしたり編集したりすることはできません。 |
表9-2 Access Manager管理監査イベント
管理イベント | 含まれるイベント・データ |
---|---|
Oracle Access Managementコンソールのログインの成功/失敗 |
|
認証ポリシーの作成 |
|
認証ポリシーの変更 |
|
認証ポリシーの削除 |
|
リソースの作成 |
|
リソースの変更 |
|
リソースの削除 |
|
認証スキームの作成 |
|
認証スキームの変更 |
|
認証スキームの削除 |
|
レスポンスの作成 |
|
レスポンスの変更 |
|
レスポンスの削除 |
|
パートナの追加 |
|
パートナの変更 |
|
パートナの削除 |
|
条件の作成 |
|
条件の変更 |
|
条件の削除 |
|
サーバー・ドメインの作成 |
|
サーバー・ドメインの変更 |
|
サーバー・ドメインの削除 |
|
サーバーの構成変更 |
|
ランタイム・イベントは、Access Managerのコンポーネント・エンジンが互いに連携動作するときに生成される一部のイベントによって作成されるイベントです。生成時に監査可能なランタイム・イベントと、それらのイベントで取得される内容の詳細を表9-3に示します。これらのイベントの定義と構成は、Oracle Platform Security Servicesの監査サービスの一部として実行されます。
注意: 「監査構成」でフィルタ・プリセットを選択することによって、記録される情報の量とタイプが制御されます。各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xml ファイル内に指定されています。このファイルをカスタマイズしたり編集したりすることはできません。 |
表9-3 Access Managerランタイム監査イベント
ランタイム・イベント | 発生時期 | 含まれるイベント詳細 |
---|---|---|
認証の試行 |
ユーザーが保護されたリソースにアクセスしようとして、SSOサーバーにリクエストが到着したとき。このイベントの後には、資格証明の送信と認証の成功または失敗の各イベントが発生します。 |
|
認証の成功 |
クライアントが資格証明を送信して資格証明の検証に成功したとき。 |
|
認証の失敗 |
クライアントが資格証明を送信して資格証明の検証に失敗したとき。 |
|
セッションの作成 |
認証成功時。 |
|
セッションを破棄 |
認証成功時。 |
|
ログインの成功 |
クライアントがログイン手順を完了して、それがエージェントに転送された時。 |
|
ログインの失敗 |
クライアントがログインに失敗したとき。このイベントは、認められている認証の再試行にすべて失敗した場合、またはアカウントがロックされた場合のみ発生します。 |
|
ログアウトの成功 |
クライアントがログアウト手順を完了して、それがエージェントに転送された時。 |
|
ログアウトの失敗 |
クライアントがログアウトに失敗したとき。 |
|
資格証明コレクション |
クライアントが資格証明コレクション・ページにリダイレクトされた時。 |
|
資格証明の送信 |
クライアントが資格証明を送信したとき。 |
|
認可の成功 |
クライアントがリソースへのアクセスを認可された時。 |
|
認可の失敗 |
クライアントがリソースへのアクセスを認可されなかった時。 |
|
サーバーの起動 |
サーバーが起動したとき。 |
|
サーバーの停止 |
サーバーが停止したとき。 |
|
認証中にイベントを監査することは、管理者がシステム内のセキュリティ上の弱点を精査する助けとなります。認証時の監査のために管理者が構成できるイベントには次のようなものがあります。
認証の成功
認証の失敗
認証ポリシー・データの作成、変更、削除、または表示
認証されるユーザーに関する情報には次のものが含まれます。
IPアドレス
ブラウザ・タイプ
ユーザー・ログインID
アクセスの時間
注意: ユーザー・パスワードなどの取り扱いに注意を要するユーザー属性の監査、ロギング、またはトレースは避けることをお薦めします。 |
認証を要求しているユーザーやブルート・フォース攻撃に関する情報を、ファイル・システムやバックエンド・データベースに保存することができます。
この項では次のトピックを記載しています:
次の表のランタイム・イベントを監査できます。
表9-4 RESTランタイム監査イベント
ランタイム・イベント | 発生時期 | 含まれるイベント詳細 |
---|---|---|
パートナ・セキュリティ検証イベント |
パートナの資格証明は、適切なセキュリティ・メカニズムを使用して検証されます。イベントは、成功しても失敗してもログに記録されます。 |
|
トークンの作成 |
トークンが作成されます。 |
|
トークンの終了 |
トークンが終了します。 |
|
トークンの取得 |
トークンが取得されるか、読み込まれます。 |
|
次の表のランタイム・イベントを監査できます。
表9-5 Mobile and Socialランタイム監査イベント
ランタイム・イベント | 発生時期 | 含まれるイベント詳細 |
---|---|---|
IDPログイン |
アイデンティティ・プロバイダを使用してユーザーがログインを試みます。 |
|
IDP Restアクセス |
アイデンティティ・プロバイダのRESTサービスがアクセスされます。 |
|
IDPユーザー・プロファイル |
アイデンティティ・プロバイダによって認証されたユーザーに関連するユーザー・プロファイルが取得されます。 |
|
ローカル登録 |
ユーザーは、登録情報を提供することにより、ローカルに登録を行います。 |
|
セキュリティ検証 |
リライイング・パーティ(RP)のアイデンティティ・プロバイダRESTサービスでのセキュリティ・メカニズムが検証されます。 |
|
OpenID認証リクエスト |
OpenID認証リクエストが開始されます。 |
|
OAuth認証リクエスト |
OAuth認証リクエストが開始されます。 |
|
OAuthアクセス・トークン・リクエスト |
OAuthアクセス・トークン・リクエストが開始されます。 |
|
ローカル・ログイン |
ユーザーがローカルにログインします。 |
|
Identity Federationサービスは、監査にFusion Middleware監査フレームワークも使用します。次のデータは、監査されるイベントまたはイベント・タイプに関係なく、各監査レコードに含まれています。
timestamp: 監査イベントが発生したときの日付と時刻
initiator: 監査イベントのイニシエータ(一部のイベントでは、この属性は空になる場合があります)
ECID: 実行コンテキストID
Fusion Middleware監査フレームワークは、次の監査レベルをサポートしています。
なし
低
中
カスタム
イベントは、各種カテゴリおよび監査レベルで監査できます。表9-6には、イベントのカテゴリと、この章での説明箇所がリストされています。
表9-6 Identity Federationの監査イベントのカテゴリ
カテゴリ | 参照先 |
---|---|
セッション管理 |
Identity Federationのセッション管理イベント |
プロトコル・フロー |
Identity Federationのプロトコル・フロー・イベント |
サーバー構成 |
Identity Federationのサーバー構成イベント |
セキュリティ |
Identity Federationのセキュリティ・イベント |
関連項目: 詳細は、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』の「Diagnostics and Auditing」を参照してください。 |
次の各項では、詳細を説明します。
本リリースのIdentity Federationのセッション管理イベントには、以前のリリースの監査可能なイベントのサブセットが含まれています。各イベントの属性の詳細は、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』のセッション管理イベントに関する項を参照してください。
表9-7 Identity Federationのセッション管理イベント
監査可能なイベント | このリリースで監査がサポートされていないイベント |
---|---|
CreateUserSession – ログイン成功後のセッションの作成 |
CreateUserFederation – 2つのリモート・サーバー間でのユーザー・フェデレーションの作成 |
DeleteUserSession – ログアウト後のセッションの削除 |
UpdateUserFederation - 2つのリモート・サーバー間でのユーザー・フェデレーションの更新 |
CreateActiveUserFederation – ログイン成功後のアクティブ・フェデレーションの作成 |
DeleteUserFederation – 2つのリモート・サーバー間でのユーザー・フェデレーションの削除 |
CreateActiveUserFederation – ログイン成功後のアクティブ・フェデレーションの作成 |
|
DeleteActiveUserFederation - ログアウト後のアクティブ・フェデレーションの削除 |
|
LocalAuthentication – OIFでのユーザーの認証 |
|
LocalLogout: Identity Federationでのユーザーのログアウト |
本リリースのIdentity Federationのプロトコル・フロー・イベントには、以前のリリースの監査可能なイベントのサブセットが含まれています。各イベントの属性の詳細は、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』のプロトコル・フロー・イベントに関する項を参照してください。
本リリースのIdentity Federationの監査可能なサーバー構成イベントには、以前のリリースの監査可能なイベントのサブセットが含まれています。各イベントの属性の詳細は、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』のサーバー構成イベントに関する項を参照してください。
表9-9 Identity Federationのサーバー構成
監査可能なイベント | このリリースで監査がサポートされていないイベント |
---|---|
CreateConfigProperty 新しい構成プロパティの追加(成功した場合のみ) |
SetDataStoreType データ・ストアのタイプの変更(成功した場合のみ) |
ChangeConfigProperty 既存の構成プロパティ値の変更(成功した場合のみ) |
ChangeDataStore フェデレーション・データ・ストアの設定(成功した場合のみ) |
DeleteConfigProperty 構成プロパティの削除(成功した場合のみ) |
|
CreatePeerProvider 信頼できるプロバイダ・リストへの新しいプロバイダの追加(成功した場合のみ) |
|
UpdatePeerProvider 信頼できるプロバイダ・リストに存在するプロバイダの情報の更新(成功した場合のみ) |
|
DeletePeerProvider 信頼できるプロバイダ・リストからのプロバイダの削除(成功した場合) |
|
LoadMetadata メタデータのロード(成功した場合のみ) |
|
ChangeFederation 信頼できるプロバイダの変更(成功した場合のみ) |
|
ChangeServerProperty サーバー構成プロパティの変更(成功した場合のみ) |
本リリースのIdentity Federationの監査可能なセキュリティ・イベントには、以前のリリースの監査可能なイベントがすべて含まれています。各イベントの属性の詳細は、『Oracle Fusion Middleware Oracle Identity Federation管理者ガイド』のセキュリティ・イベントに関する項を参照してください。
セキュリティ・トークン・サービスには、特定のイベント・タイプおよび監査対象イベントを定義する独立したcomponent_events.xml
という監査構成ファイルが用意されています。次の各項では、さらに詳細を説明します。
次のデータは、監査されるイベントまたはイベント・タイプに関係なく、各監査レコードに含まれています。
イベントの日付と時刻
イベントを開始するクライアントのIPアドレス
クライアント・アイデンティティ
イベントの処理時間
セキュリティ・トークン・サービス管理イベントは、component_events.xml
に定義されているいくつかの構成管理操作に分類されます。詳細は、表9-11を参照してください。
表9-11 セキュリティ・トークン・サービスの構成管理操作
セキュリティ・トークン・サービスの構成操作 | 説明 |
---|---|
共通属性 |
|
検証テンプレートの作成 |
CreateValidationTemplateで参照される検証テンプレートの作成に関して記録される監査イベント。 属性:
|
検証テンプレートの更新 |
UpdateValidationTemplateで参照される検証テンプレートの更新に関して記録される監査イベント。 属性:
|
検証テンプレートの削除 |
DeleteValidationTemplateで参照される検証テンプレートの削除イベントに関して記録される監査イベント。 属性:
|
発行テンプレートの作成 |
CreateIssuanceTemplateで参照される発行テンプレートの作成に関して記録される監査イベント。 属性:
|
発行テンプレートの更新 |
UpdateIssuanceTemplateで参照される発行テンプレートの更新に関して記録される監査イベント。 属性:
|
発行テンプレートの削除 |
DeleteIssuanceTemplateで参照される発行テンプレートの削除イベントに関して記録される監査イベント。 属性:
|
パートナ・プロファイルの作成 |
CreatePartnerProfileで参照されるパートナ・プロファイルの作成に関して記録される監査イベント。 属性:
|
パートナ・プロファイルの更新 |
UpdatePartnerProfileで参照されるパートナ・プロファイルの更新に関して記録される監査イベント。 属性:
|
パートナ・プロファイルの削除 |
DeletePartnerProfileで参照されるパートナ・プロファイルの削除イベントに関して記録される監査イベント。 属性:
|
パートナの作成 |
CreatePartnerで参照されるパートナ・プロファイルの作成に関して記録される監査イベント。 属性:
|
パートナ・プロファイルの作成 |
UpdatePartnerで参照されるパートナ・プロファイルの更新に関して記録される監査イベント。 属性:
|
パートナ・プロファイルの作成 |
DeletePartnerで参照されるパートナ・プロファイルの削除イベントに関して記録される監査イベント。 属性:
|
汎用管理作成 |
GenericAdminCreationで参照される汎用作成管理操作に関して記録される監査イベント。 属性:
|
汎用管理作成 |
GenericAdminUpdateで参照される汎用更新管理操作の更新に関して記録される監査イベント。 属性:
|
汎用管理削除 |
GenericAdminDeletionで参照される汎用削除管理操作に関して記録される監査イベント。 属性:
|
トークン操作のためのセキュリティ・トークン・サービス固有のランタイム・イベントはcomponent_events.xml
に定義されています。詳細は、表9-12を参照してください。
表9-12 セキュリティ・トークン・サービス固有のランタイム・イベント
トークン操作 | 説明 |
---|---|
共通属性 |
|
着信メッセージ |
OutgoingMessageで参照されるセキュリティ・トークン・サービスが受信する着信RSTRメッセージ。 このイベントに対して移入される属性(使用可能な場合):
|
送信メッセージ |
IncomingMessageで参照されるセキュリティ・トークン・サービスが受信する送信RSTRメッセージ。 このイベントに対して移入される属性(使用可能な場合):
|
トークン検証 |
TokenValidationで参照されるセキュリティ・トークン・サービス内のトークン検証の監査イベント。ステータス属性は、検証操作が成功したかどうかを示します。 このイベントに対して移入される属性(使用可能な場合):
|
トークン生成 |
TokenGenerationで参照されるセキュリティ・トークン・サービス内のトークン生成の監査イベント。 このイベントに対して移入される属性(使用可能な場合):
|
LDAPユーザー認証 |
LDAPUserAuthenticationで参照されるLDAPディレクトリでのローカル・ユーザー認証の監査イベント。 このイベントに対して移入される属性(使用可能な場合):
|
汎用ランタイム操作 |
GenericRuntimeOperationで参照されるセキュリティ・トークン・サービスによって実行される汎用操作の監査イベント。 このイベントに対して移入される属性(使用可能な場合):
|
次の概要には、Oracle Access Managementで監査を実行できるようにするために事前に実行しておかなければならないタスクのリストを示します。
タスクの概要: 監査の構成
「監査データベース・ストアの設定」に示す監査データ・ストアの設定。
「Oracle Business Intelligence Publisher EEの準備」に示す監査レポート発行の設定。
次で説明されているように、Oracle Access Managementコンソールで監査構成を編集します。
監査構成のテストと検証の詳細は、第9.8項「監査とレポートの検証」を参照してください。
この項では、監査データベースを作成し、リポジトリ作成ユーティリティ(RCU)を使用してそのスキーマを拡張するために必要なタスクの概要を示します。監査データをデータベースに保存するよう選択した場合、Oracle Access Managementのイベントを監査できるようにするにはこのタスクが必要になります。
関連項目:
|
タスクの概要: データベース監査ストアの作成
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』に従って監査データベース(バージョン11.1.0.7以降)を作成します。
『Oracle Fusion Middleware Repository Creation Utilityユーザーズ・ガイド』のRCUを使用した監査スキーマの作成に関する項に従い、データベースに対してRCUを実行します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査データ・ソースの設定の項に従って監査ローダーの監査データ・ソースを設定し、それをOAMサーバーに合わせて構成します。
WebLogic Server用のJava EE監査ローダー構成を使用
前述のステップ2で設定したデータベースを参照するデータ・ソースjdbc/AuditDBのJNDI名を使用
ドメイン・ファイル($DOMAIN_HOME/config/fmwconfig/jps-config.xml
)に指定されたサービス・インスタンス内で、プロパティaudit.loader.repositoryType
の値をDB
に変更することによって、データベース監査を有効にします。例:
<serviceInstance name="audit.db" provider="audit.provider"> <property name="audit.loader.repositoryType" value="DB"/> <property name="auditstore.type" value="db"/> <property name="audit.loader.jndi" value="jdbc/AuditDB"/> <property name="audit.maxDirSize" value="0"/> <property name="audit.filterPreset" value="None"/> <property name="audit.maxFileSize" value="104857600"/> <property name="audit.loader.interval" value="15"/> <propertySetRef ref="props.db.1"/> </serviceInstance>
WebLogic Serverを再起動します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のJavaコンポーネント用データベース監査ストアの構成の項に従い、監査ローダーがOAMサーバーに合わせて攻勢されていることと、そのローダーが適切なデータベースを参照していることを確認します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のバスストップ・ファイルのチューニングの項に従い、バスストップ・ファイルのメンテナンスを行ないます。
Oracle Business Intelligence Publisher Enterprise Edition (EE)をOracle Access Managementの監査レポートとともに使用するには、次の手順に従って準備する必要があります。
関連項目:
|
タスクの概要: Oracle BI Publisherの準備
『Oracle Business Intelligence Enterprise Edition Installation and Upgrade Guide』に従ってOracle BI Publisherをインストールします。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Business Intelligence PublisherでのOracle Reportsの設定に関する項に従い、タスクを実行します。
レポート・フォルダにoam_audit_reports_11_1_2_0_0.zip
を解凍します。
このzipファイルは、$ORACLE_HOME/oam/server/reports/ディレクトリにあります。
監査データ・ソースのJNDI接続または監査データベースのJDBC接続を設定します。
データソース名は、Auditにする必要があります。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査レポート・テンプレートの項の説明に従い、監査レポート・テンプレートを設定します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査レポート・フィルタの設定に関する項の説明に従い、監査レポート・フィルタを設定します。
次のパスからレポートを表示します: Reports/Oracle_Fusion_Middleware_Audit reports
Oracle Access Management内では、特定の「監査構成」設定には「システム構成」の「共通設定」でアクセスできます。データベースに対して監査を行なう時は、これらの設定は必要ありません。図9-2は、「共通設定」ページの「監査構成」セクションを示しています。
「監査中」セクションには、「ログ・ディレクトリ」、「フィルタ設定」、および「監査構成」の「ユーザー」に対する設定が表示されます。
注意: 実際のログ・ディレクトリは、Oracle Access Managementコンソールを使用して構成できません。これは、共通監査フレームワークの監査ローダーのデフォルト・ディレクトリです。このディレクトリの変更は監査ローダーに影響が及ぶため、サポートされません。 |
「監査構成」ページの要素を表9-13に示します。
表9-13 監査構成要素
要素 | 説明 |
---|---|
最大ディレクトリ・サイズ |
監査出力ファイルが格納されるディレクトリの最大サイズ(MB)。たとえば最大ファイル・サイズが10であるとすると、このパラメータの値を100にした場合はそのディレクトリに最大10個のファイルを格納できることになります。最大ディレクトリ・サイズに達すると、監査ロギングは停止します。 たとえば値を100とすると、ファイル・サイズが10MBの場合は最大10ファイルと指定したことになります。サイズがこの値を超えると、監査ログ・ファイルの作成は停止します。 これは、構成ファイル |
最大ファイル・サイズ |
監査ログ・ファイルの最大サイズ(MB)。ファイルのサイズが最大サイズに達すると、新しいログ・ファイルが作成されます。たとえば値を10に指定すると、ファイル・サイズが10MBに達した時点でファイル・ローテーションが指示されます。 これは、構成ファイル |
フィルタ有効 |
イベント・フィルタリングを有効にするにはこのボックスを選択します。 |
フィルタ・プリセット |
フィルタを有効にしたときにログに記録される情報の量とタイプを定義します。デフォルト値は「低」です。
各フィルタ・プリセットのイベントは、読取専用のcomponent_events.xmlファイル内に指定されています。Oracle Access Managementでは、このファイルの編集やカスタマイズはサポートされていません。指定されたフィルタ・プリセットに監査対象として構成された項目だけが監査可能です。 |
ユーザー |
フィルタが有効になったときだけアクションが含められるユーザーのリストを指定します。特別なユーザーのアクションは、フィルタ・プリセットにかかわらずすべて監査されます。管理者は、この表の特別なユーザーを追加、削除、または編集することができます。 |
管理者は、「OAMサーバー共通プロパティ」ページの「監査構成」タブでフィルタ・プリセットを選択することによって、記録される情報の量とタイプを制御します。
注意: 各フィルタ・プリセットの監査可能イベントは、読取専用のcomponent_events.xml ファイル内に指定されています。このファイルをカスタマイズしたり編集したりすることはできません。 |
次の手順では、OAMサーバー共通監査構成の設定を追加、表示または編集する方法を示します。Fusion Middleware Controlを使用して個々の管理ポリシーを構成することはできません。Oracle Access Managementは、監査構成でJPSインフラストラクチャを使用しません。監査用のWebLogic Scripting Tool (WLST)コマンドはありません。
Oracle Access Managementコンソールで監査構成を表示または編集する方法
Oracle Access Managementコンソールで、「共通設定」をクリックします。
「監査構成」セクションで、使用環境の詳細を正しく入力します(表9-13)。
最大ログ・ディレクトリ・サイズ
最大ログ・ファイル・サイズ
フィルタ有効
フィルタ・プリセット(監査データの冗長性を定義)
監査から特定のユーザーを含めるための「ユーザー」。「ユーザー」表の上の「追加」(+)ボタンをクリックしてフィールドに値を入力します。
「適用」をクリックして「監査構成」を送信します(または変更を適用しないでページを閉じます)。
AdminServerおよびOAMサーバーを、変更が適用された後で再起動します。
次の手順を使用して、ランタイム・イベントの監査構成をテストします。
前提条件
「Oracle Access Managementの監査の設定」の説明に従って、監査パラメータを設定します。
エージェントとサーバーが稼働していることを確認します。
「Oracle Business Intelligence Publisher EEの準備」の説明に従い、BI EE Publisherを準備します。
監査構成を検証する方法
認証ベント: ここで説明するようにコンソールのログインの成功/失敗を監査するか、表9-2「Access Manager管理監査イベント」の説明に従って管理イベントを監査します。
Oracle Access Managementコンソールからサインアウトします。
無効なユーザー(管理者以外)の資格証明を使用して、Oracle Access Managementコンソールにサインインします。
適切な管理者の資格証明を使用して、Oracle Access Managementコンソールにサインインします。
ログ・ファイルの確認: 監査ログ・ファイルを開き、最新の管理イベント・エントリを検索します。
$DOMAIN_HOME/servers/$ADMINSERVER_NAME/logs/auditlogs/OAM/audit.log
データベース・ログの確認:
「監査データベース・ストアの設定」に示されたタスクを実行します。
手順1の説明に従って、認証イベントを生成します。
データベースに接続し、データベースに接続してIAU_BASE表の監査イベントを確認します。
ランタイム・イベント: ここで説明するように認証の成功/失敗を監査するか、表9-3「Access Managerランタイム監査イベント」の説明に従ってランタイム・イベントを監査します。
ブラウザ・ウィンドウで、自分には権限のない保護されているリソースへのURLを入力します。
ログ・ファイルの確認: 監査ログ・ファイルを開き、最新の管理イベント・エントリを検索します。
$DOMAIN_HOME/servers/$ADMINSERVER_NAME/logs/auditlogs/OAM/audit.log
データベース・ログの確認:
「監査データベース・ストアの設定」に示されたタスクを実行します。
手順1の説明に従って、認証イベントを生成します。
データベースに接続し、データベースに接続してIAU_BASE表の監査イベントを確認します。
監査構成の変更: 「監査設定の追加、表示、または編集」も参照してください。
Oracle Access Managementコンソールの「システム構成」タブから、「共通構成」を展開し、「最大ディレクトリ・サイズ」(MB)と「最大ファイル・サイズ」(MB)のパラメータを変更します。
この手順を繰り返し、監査が機能していることを確認します。
レポートの表示:
Oracle BI EEにサインインします。例:
http://host:port/xmlpserver
ここで、hostはコンピュータをホストするOracle BI Publisher、portはBI Publisherのリスニング・ポート、xmlpserverはBI Publisherのログイン・ページです。
Oracle BI Publisher Enterpriseで、希望するレポートを探します。例:
「共有フォルダ」をクリックして、表示するレポートを含むコンポーネントをクリックし、目的のレポートを選択します。
必要に応じて分析を行うか、監査構成の編集を行います。
$MW_HOME/user_projects/domains/base_domain/servers/oam_server1/logs/
auditlogs/OAM/
自社のポリシーに従って監査ログのアーカイブと管理を行います。