| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
前 |
次 |
Oracle Adaptive Access Managerでは、豊富なフォレンジック・データにアクセスして調査や監査に役立てることができます。
OAAMレポートでは、Oracle BI PublisherをOAAMコンポーネントのレポート・ソリューションとして使用できます。
Oracle Adaptive Access Managerでは、Oracle Platform Security Servicesの共通監査フレームワークを活用して、管理コンソール・ユーザーの完全な監査証跡を取得します。
この章には次の項が含まれます:
Oracle Adaptive Access Managerを使用すると、Oracle BI Publisherをレポート・ソリューションとして使用できます。Oracle Adaptive Access Managerでは、Oracle BI Publisherおよび使いやすいレポート作成パッケージの制限付き使用ライセンスが提供されています。Oracle Adaptive Access Managerレポートは、Oracle BI Publisherを使用して、OAAMスキーマの情報について問合せおよびレポートを行います。
OAAMには、Oracle Business Intelligence Publisherからアクセスできる一連の標準レポートが用意されています。
これらのレポートには、デバイスのロケーションやログイン情報に基づくデータがまとめられます。
これらのレポートには、デバイス情報に基づくデータがまとめられます。
これらのレポートには、KBA情報に基づくデータがまとめられます。
| レポート名 | 説明 |
|---|---|
| チャレンジ統計 | チャレンジ・レスポンスの統計がリストされます。
例: 失敗カウンタ > 0のユーザー - 1回以上失敗 複数の失敗を持つユーザー - 複数回失敗 |
| 質問統計 | チャレンジ質問の統計がリストされます。 |
| 登録 | 質問登録の統計がリストされます。 |
|
注意: ユーザーがチャレンジしたり、質問に回答しても、統計はすぐには更新されません。Oracle BI Publisherレポートはデータベースから生成され、データベースが統計のためにリアルタイムで更新されることはありません。 |
これらのレポートには、ロケーション情報に基づくデータがまとめられます。
これらのレポートには、パフォーマンス情報に基づくデータがまとめられます。
これらのレポートには、セキュリティ情報に基づくデータがまとめられます。
これらのレポートには、日付範囲に関するサマリーがまとめられます。
Oracle BI Publisherはオラクル社のエンタープライズ・レポート・ソリューションの1つで、すべてのレポートおよびビジネス文書を作成、管理および配信するための、単一のレポート環境を提供します。Microsoft Word、Microsoft Excel、Adobe Acrobatなどの使い慣れた一連のデスクトップ・ツールを利用して、様々なソースのデータに基づいてレポート・レイアウトを作成および管理できます。
|
関連項目: Oracle BI Publisherの機能の詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。 |
Oracle Technology Network Webサイトでは、Oracle Business Intelligence Publisherドキュメント・ライブラリが提供されています。Oracle Technology NetworkのWebサイトには、次でアクセスできます:
データがデータベースに存在する場合、事前定義済のOracle Business Intelligence Publisher (Oracle BI Publisher)レポートを実行したり、データに関する独自のレポートを作成できます。この項では、OAAMレポート用のOracle BI Publisherの構成に関する次のトピックについて説明します。
パフォーマンス上の理由で、本番データをレポート・データベースにレプリケートしたり、Oracle BI Publisher専用のレポート環境を提供することをお薦めします。監査レポートを構成したり、表示する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査分析の使用方法とレポートの作成に関する項を参照してください。
BI Publisher 11gをインストールする前に、リポジトリ構成ユーティリティ(RCU)を使用して、データベースにリポジトリを作成する必要があります。BI Publisher 11gをインストールするには、次のメタデータ・リポジトリが必要です。
メタデータ・ストア(MDS)
ビジネス・インテリジェンス・プラットフォーム(BIプラットフォーム)
RCUユーティリティを使用してデータベースにリポジトリを作成するには、次の手順を実行します。
データベースにSYSDBAとしてログインします。
RCUを実行するには、DBA権限を持つ必要があります。したがって、SYSDBAとしてログインする必要があります(たとえば、ユーザーSYSとして)。
RCU_HOME/bin/ディレクトリに移動します。
RCUを起動するには、次を行います。
UNIXの場合は、次のスクリプトを実行します。
./rcu
Microsoft Windowsの場合は、次のスクリプトを実行します。
rcu.bat
開始画面で「作成」を選択し、「次へ」をクリックします。
次の表に示す接続の詳細を指定して、「次へ」をクリックします。
| フィールド | 入力するデータ |
|---|---|
| データベース・タイプ | Oracle Database |
| ホスト名 | データベースのデプロイ先のホストの名前。 |
| ポート | 「ホスト名」フィールドで識別されるホストに接続するポート番号。 |
| サービス名 | インストールまたはデータベースの作成時に入力された、データベース名とドメイン名の組合せであるグローバル・データベース名の文字列。 |
| ユーザー名 | Oracle Adaptive Access Managerへのアクセス権を持つデータベース・スキーマ・ユーザーのユーザー名(SYSなど)。 |
| パスワード | 「ユーザー名」フィールドで識別されたユーザーのパスワード。 |
| ロール | DBA権限を持つロール(SYSDBAなど)。 |
「コンポーネントの詳細」ページで、Oracle Business Intelligenceコンポーネントを選択します。この操作を行うと、「AS共通スキーマ」グループのMDSスキーマが自動的に選択されます。このスキーマはOracle Business Intelligenceでも必要です。
OAAMは、Oracle BI Publisherを使用してOAAMレポートを生成します。Oracle BI Publisherを入手してインストールするには、次の手順を実行します。
http://www.oracle.com/technetwork/index.htmlにあるOracle Technology NetworkのWebサイトにアクセスします。
Oracle BI PublisherまたはOracle BI Publisher Downloadというキーワードを使用して、Oracle BI Publisher Downloadページを検索します。
Oracle BI Publisher Downloadページに表示されるOracle Technology Network License Agreementを確認します。Oracle BI Publisherをダウンロードするには、Oracle Technology Network License Agreementに同意する必要があります。
該当するリンクをクリックして、使用するオペレーティング・システムに適したOracle BI Publisherのバージョンをダウンロードします。
Oracle Business Intelligence Publisherのドキュメントを参照して、Oracle BI Publisherをインストールします。
OAAMレポートをインストールおよび構成する前に、Oracle BI Publisherが使用できることを確認します。
この項では、Oracle BI Publisher OAAMレポートをインストールする方法について説明します。OAAMレポートをインストールする前に、Oracle BI Publisherをインストールして正しく動作することを確認する必要があります。インストールの確認の詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
レポートをインストールするには、次の手順を実行します。
Oracle BI Publisherサーバーを停止します。詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
OAAMホストで、$ORACLE_HOME/oaam/reportsディレクトリにあるOAAM製品パッケージのレポートを見つけます。
BI Publisherリポジトリに移動し、oaamという新しいディレクトリをそのディレクトリに作成します。
Oracle_IDM1/Middleware/user_projects/domains/bifoundation_domain/config/bipublisher/repository/Reports
|
注意: BI Publisher 11gのインストール後に、Oracle_IDM1/Middleware/user_projects/domains/bifoundation_domain/config/bipublisher/repository/ReportsディレクトリがWebLogicドメインに作成されます。 |
ファイルをOracle_IDM1/Middleware/user_projects/domains/bifoundation_domain/config/bipublisher/repository/Reports/oaamディレクトリに抽出します。
Oracle BI Publisherサーバーを起動します。詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
レポート用のデータソースを構成するには、次の手順を実行します。
次の手順を実行して、レポート用のJDBCデータソースを構成します。
次のURLを使用して、Webブラウザから管理者としてOracle BI Publisherにログインします。
http://host.domain.com:port/xmlpserver/
詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
「管理」タブをクリックし、「データソース」の下の「JDBC」をクリックして、「データソースの追加」ボタンをクリックします。「データソースの追加」画面が表示されます。
「データソースの追加」画面のフィールドに次の情報を入力します。次の例の変数値をOracle Adaptive Access Managerデータベースの実際の値に置き換えます。
| フィールド | 入力するデータ |
|---|---|
| データソース名 | ARM
Oracle Adaptive Access Managerレポートを標準にするには、JDBCデータソースの名前を「ARM」にする必要があります。別の名前を指定する場合は、すべてのレポートでデータソース・プロパティを変更する必要があります。 |
| 接続文字列 | jdbc:oracle:thin:@host:port:sid |
| ユーザー名 | Oracle Adaptive Access Managerへのアクセス権を持つデータベース・スキーマ・ユーザーのユーザー名です。 |
| パスワード | 「ユーザー名」フィールドで指定したユーザーのパスワードです。 |
| データベース・ドライバ・クラス | oracle.jdbc.driver.OracleDriver |
「接続のテスト」ボタンをクリックして、JDBCデータソースへの接続をテストします。接続に成功すると、「接続は正常に確立されました。」というメッセージが表示されます。
「接続は正常に確立されました。」というメッセージが表示されない場合、入力したデータが正しいか検証し、OAAMデータベースが稼働しているかどうか確認してください。
「接続は正常に確立されました。」というメッセージが表示されたら、「データソースの追加」画面の「適用」ボタンをクリックします。
AdminPropertiesデータソースを構成します。AdminPropertiesには、Oracle BI Publisherでレポートを生成するときに必ず読み込まれる構成情報が含まれます。
「管理」タブをクリックし、「データソース」の下の「ファイル」をクリックして、「データソースの追加」ボタンをクリックします。「データソースの追加」画面が表示されます。
「データソースの追加」画面のフィールドに次の情報を入力します。
| フィールド | 入力するデータ |
|---|---|
| データソース名 | AdminProperties
このデータソースには、 |
| 最上位レベル・ディレクトリのフルパス | パスは、レポート・パッケージをReports/OAAMディレクトリにコピーした場所です。たとえば、/scratch//example_user/Oracle/BI_Middleware/user_projects/domains/bifoundation_domain/config/bipublisher/repository/Reports/OAAMです。 |
データソースの構成は完了です。レポート生成の詳細は、Oracle Business Intelligence Publisherのドキュメント・ライブラリを参照してください。
この項では、レポートを表示/実行する方法について説明します。レポートを表示/実行するには、次の手順を実行します。
次のURLを使用して、Webブラウザから管理者としてOracle BI Publisherにログインします。
http://host.domain.com:port/xmlpserver/
詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
「レポート」、「共有フォルダ」、「oaam」の順にクリックします。
レポートは、「共通」、「KBA」、「OTP」、「セキュリティ」、「ユーザー」、「デバイス」、「ロケーション」、「パフォーマンス」および「サマリー」で分類されています。
共有フォルダの下にOAAMフォルダが見つからない場合は、「管理」→「システム・メンテナンス」→「サーバー構成」→「カタログ・タイプ」でカタログ・タイプを確認してください。カタログ・タイプはOracle BI Publisherのファイル・システムです。
これらのグループから任意のレポートを選択します。
検索基準を設定します。たとえば、「開始日」および「終了日」を設定します。
図は、「最近のログイン」レポートの検索画面を示します。
「EXCEL」、「HTML」またはその他の出力タイプを選択して、「表示」をクリックします。
Oracle BI Publisherの「レポート・ロケール」、「ユーザー・インタフェース言語」、「タイム・ゾーン」および「アクセシビリティ・モード」を設定できます。表25-1に、設定可能なプリファレンスの詳細を示します。
表25-1 BI Publisherのプリファレンス
| プリファレンス | 説明 |
|---|---|
|
レポート・ロケール |
ロケールは、言語と地域の組合せ(英語(米国)、フランス語(カナダ)など)です。Oracle BI Publisherでは、選択したレポート・ロケールに基づいて、適用されるテンプレート翻訳、およびレポート・データの数値フォーマットや日付フォーマットが決定されます。 |
|
ユーザー・インタフェース言語 |
ユーザー・インタフェース言語は、ユーザー・インタフェースで表示される言語です。ログイン時に選択した言語がデフォルトとして選択されます。ただし、このオプションでは、インストールに使用できる複数の言語の中から選択できます。 |
|
タイム・ゾーン |
レポートに適用するタイム・ゾーンを選択します。該当ユーザーが実行するレポートには、ここで選択するタイム・ゾーン・プリファレンスに従って時間が表示されます。 |
|
アクセシビリティ・モード |
これをオンに設定すると、キーボードでアクセスできるレポート・カタログがツリー構造で表示されます。 |
プリファレンスの設定の詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
リリース11gのOracle BI Publisherでは、次の2種類の翻訳がサポートされています。
カタログ翻訳
テンプレート(またはレイアウト)翻訳
カタログ翻訳によって、選択したカタログ・フォルダに含まれるすべてのオブジェクトから翻訳可能文字列を単一の翻訳ファイルに抽出できます。その後、このファイルを翻訳してOracle BI Publisherにアップロードし、適切な言語コードを割り当てることができます。
カタログ翻訳では、レポート・レイアウトの翻訳可能文字列のみでなく、ユーザーに表示されるカタログ・オブジェクトの説明、レポート・パラメータ名、およびデータ表示名などのユーザー・インタフェース文字列も抽出されます。
ユーザーがカタログを表示すると、「アカウント」プリファレンスで選択されたユーザー・インタフェース言語に対応するアイテムの翻訳が表示されます。ユーザーがレポートを表示すると、「マイ・アカウント」プリファレンスで選択されたレポート・ロケールに対応するアイテムの翻訳が表示されます。
テンプレート翻訳によって、単一のRTFベースのテンプレート(サブテンプレートとスタイル・テンプレートを含む)または単一のOracle BI Publisherレイアウト・テンプレート(.xptファイル)から翻訳可能な文字列を抽出できます。このオプションは、最終的なレポート・ドキュメントを翻訳する必要があるときに使用します。たとえば、企業が翻訳された請求書をドイツと日本の顧客に送信する必要がある場合などです。
翻訳ファイルのダウンロードおよびアップロード・プロセスの詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
レポートをローカライズするには、次の手順を実行します。
oaam_reports_translations.zipを解凍します。oaam_reports_translations.zipは、前にインストールしたレポートと同じディレクトリにあります。25.1.3.3項「レポート・データベースへのOAAMレポートのコピー」を参照してください。
Oracle BI Publisherカタログで「OAAM」フォルダを選択します。
XLIFFをインポートするためのオプションをクリックします。
使用する言語用のCatalog_*.xlfファイルをアップロードします。
Oracle BI Publisher Enterpriseでは、レポートをスケジュールし、実行した出力を様々な宛先に配信できます。Oracle BI Publisherスケジューラは、Oracle BI Enterprise Editionのインストール・プロセスの一環として構成されます。レポートのスケジュールを開始する前に、スケジューラが適切に構成されていることを確認してください。レポートのスケジュールの詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
25.1.1項「OAAM標準レポート」に説明されている標準のレポートでは要件を十分に満たせない場合は、カスタム・レポートを作成できます。必要に応じて、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』の「Oracle Adaptive Access Managerデータベース・スキーマ」の章を参照してください。そこでは、カスタム・レポートの作成時に役立つOAAMスキーマについて説明されています。この項では、拡張レポートの作成について説明します。
カスタムOAAMレポートを作成するには、次のタスクを実行する必要があります。
参考用に例が紹介されています。コード・リストでは、OAAM表とフィールドの名前は太字および斜体になっています。
データ・モデルでは、レポートで使用されるデータを定義します。新しいデータ・モデルの作成または既存や事前定義されたデータ・モデルの選択は、BI Publisherレポートの作成で最初に行う手順です。データ・モデルには複数のデータセットを組み込むことができ、データ・フィールドが互いにどのように組み立てられるかが定義されます。また、どのようにデータがレポートに提供されるかを決定する、値、バースティング定義、他の構造やプロパティのリストを含むパラメータが含まれています。Oracle BI Publisherには、BI Publisherインタフェースでデータ・モデルを作成するためのグラフィカル・ユーザー・インタフェースであるデータ・モデル・エディタがあります。
データ・モデルを作成するには:
次のURLを使用して、Webブラウザから管理者としてOracle BI Publisherにログインします。
http://host.domain.com:port/xmlpserver/
詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
「新規」メニューから「データ・モデル」を選択します。
「新規データ・セット」をクリックします。
「新規データ・セット」メニューから「SQL問合せ」を選択します。
データ・セットの名前を入力します。
デフォルトのデータソースを選択します。
「クエリー・ビルダー」をクリックします。
含める表および列を選択し、オプションで結合を作成して条件を追加します。
「保存」をクリックします。
パラメータを追加し、各パラメータを「値リスト」と関連付けます。
「構造」タブをクリックして、データ要素の「表示名」を編集します。
「データ」タブをクリックしてから「表示」をクリックして、サンプル・データを生成します。
「サンプル・データとして保存」を選択して、「OK」を選択します。
データ・モデルを保存します。
多くの表のいくつかのフィールドは、OAAMユーザー定義列挙に対応する数値型コードです。OAAMユーザー定義列挙の詳細は、『Oracle Fusion Middleware Oracle Adaptive Access Manager開発者ガイド』を参照してください。この項では、これらの型コードと読取り可能な名前をマップする方法について説明します。これらの名前を解決する方法は2つあり、どちらを使用するかは、英語のみで表示するか、国際化した文字列で表示するかによります。
次のSQLコードは、問合せに結合基準を追加する方法を示しています。
SELECT …
FROM …
LEFT OUTER JOIN (
SELECT enumElement.num_value, enumElement.label
FROM v_b_enum enum
INNER JOIN v_b_enum_elmnt enumElement ON on enum.enum_id = enum_element.enum_id
WHERE enum.prop_name = 'enum name') alias
ON table.type_field = alias.num_value
…
このコード中のtable.type_fieldは、文字列に置き換える型コード値を格納するフィールドです。aliasは、内部select句に渡す名前です。最後に、enum_nameは、ユーザー定義列挙のプロパティ名です。
レポートに表示するには、select句にalias.labelを追加する必要があります。
次のSQLコードは、問合せに結合基準を追加する方法を示しています。
SELECT …
FROM …
LEFT OUTER JOIN (
SELECT t0.config_value, element.num_value
FROM v_b_config_rb t0
INNER JOIN (
SELECT enum_element.num_value, enum_element.str_value, enum.prop_name
FROM v_b_enum enum
INNER JOIN v_b_enum_elmnt enum_element ON enum.enum_id = enum_element.enum_id
WHERE enum.prop_name = 'enum name') element
ON t0.config_name=element.prop_name || '.' || element.str_value || '.name'
WHERE t0.locale_id = (
SELECT locale_id FROM v_b_locale
WHERE language = substr(:xdo_user_ui_locale, 1, 2)
AND country = substr(:xdo_user_ui_locale, 4, 2)
AND (substr(:xdo_user_ui_locale, 1, 2) in ('de', 'en', 'es', 'fr', 'it', 'ja', 'ko')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'pt' AND substr(:xdo_user_ui_locale, 4, 2) = 'BR')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'zh' AND substr(:xdo_user_ui_locale, 4, 2) IN ('CN', 'TW')))
UNION SELECT locale_id FROM v_b_locale
WHERE language = substr(:xdo_user_ui_locale, 1, 2)
AND NOT EXISTS(SELECT locale_id FROM v_b_locale
WHERE language = substr(:xdo_user_ui_locale, 1, 2)
AND country = substr(:xdo_user_ui_locale, 4, 2))
AND country IS NULL
AND (substr(:xdo_user_ui_locale, 1, 2) in ('de', 'en', 'es', 'fr', 'it', 'ja', 'ko')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'pt' AND substr(:xdo_user_ui_locale, 4, 2) = 'BR')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'zh' AND substr(:xdo_user_ui_locale, 4, 2) IN ('CN', 'TW')))
UNION SELECT locale_id FROM v_b_locale
WHERE language = 'en'
AND NOT (substr(:xdo_user_ui_locale, 1, 2) in ('de', 'en', 'es', 'fr', 'it', 'ja', 'ko')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'pt' AND substr(:xdo_user_ui_locale, 4, 2) = 'BR')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'zh' AND substr(:xdo_user_ui_locale, 4, 2) IN ('CN', 'TW'))))
ORDER BY t0.config_name) alias
ON table.type_field = alias.num_value
…
このコード中のtable.type_fieldは、文字列に置き換える型コード値を格納するフィールドです。aliasは、内部select句に渡す名前です。最後に、enum_nameは、ユーザー定義列挙のプロパティ名です。
レポートに表示するには、select句にalias.config_valueを追加する必要があります。
ユーザーがレポートと対話して目的のデータをデータ・セットから指定できるよう、レポート定義にパラメータを追加します。
型コードを表す読取り可能な文字列のリストから選択できるようにするには、ユーザー定義列挙の表に対する問合せによって値リスト(LOV)を作成し、列挙名でフィルタする必要があります。
次のリストは、値リストにデータを移入するための問合せを作成する方法を示しています。
SELECT enumElement.label, enumElement.num_value
FROM v_b_enum enum
INNER JOIN v_b_enum_elmnt enumElement ON on enum.enum_id = enumElement.enum_id
WHERE enum.prop_name = 'enum name'
ORDER BY enumElement.label
次のリストは、このLOVに基づいてレポートをフィルタする方法を示しています。
WHERE … AND (:parameter IS NULL OR :parameter = table.type_field)
これらのリスト中のenum_name、table.type_fieldおよびparameterは、それぞれユーザー定義列挙のプロパティ名、文字列に置き換える型コード値を格納するフィールド、および名前付きパラメータです。レポート・パラメータの作成および設定の詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
次のリストは、値リストにデータを移入するための問合せを作成する方法を示しています。
SELECT t0.config_value, element.num_value
FROM v_b_config_rb t0
INNER JOIN (
SELECT enum_element.num_value, enum_element.str_value, enum.prop_name
FROM v_b_enum enum
INNER JOIN v_b_enum_elmnt enum_element ON enum.enum_id = enum_element.enum_id
WHERE enum.prop_name = 'enum name') element
ON t0.config_name=element.prop_name || '.' || element.str_value || '.name'
WHERE t0.locale_id = (
SELECT locale_id FROM v_b_locale
WHERE language = substr(:xdo_user_ui_locale, 1, 2)
AND country = substr(:xdo_user_ui_locale, 4, 2)
AND (substr(:xdo_user_ui_locale, 1, 2) in ('de', 'en', 'es', 'fr', 'it', 'ja', 'ko')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'pt' AND substr(:xdo_user_ui_locale, 4, 2) = 'BR')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'zh' AND substr(:xdo_user_ui_locale, 4, 2) IN ('CN', 'TW')))
UNION SELECT locale_id FROM v_b_locale
WHERE language = substr(:xdo_user_ui_locale, 1, 2)
AND NOT EXISTS(SELECT locale_id FROM v_b_locale
WHERE language = substr(:xdo_user_ui_locale, 1, 2)
AND country = substr(:xdo_user_ui_locale, 4, 2))
AND country IS NULL
AND (substr(:xdo_user_ui_locale, 1, 2) in ('de', 'en', 'es', 'fr', 'it', 'ja', 'ko')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'pt' AND substr(:xdo_user_ui_locale, 4, 2) = 'BR')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'zh' AND substr(:xdo_user_ui_locale, 4, 2) IN ('CN', 'TW')))
UNION SELECT locale_id FROM v_b_locale
WHERE language = 'en'
AND NOT (substr(:xdo_user_ui_locale, 1, 2) in ('de', 'en', 'es', 'fr', 'it', 'ja', 'ko')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'pt' AND substr(:xdo_user_ui_locale, 4, 2) = 'BR')
OR (substr(:xdo_user_ui_locale, 1, 2) = 'zh' AND substr(:xdo_user_ui_locale, 4, 2) IN ('CN', 'TW'))))
ORDER BY t0.config_name
フィルタリングの方法は、英語のみの場合と同じです。
OAAMスキーマには、IPアドレス範囲と位置データ(市町村、都道府県、国など)をマップする表が含まれています。関連する表は、VCRYPT_IP_LOCATION_MAP、VCRYPT_CITY、VCRYPT_STATEおよびVCRYPT_COUNTRYです。多くの表にIPアドレスが含まれており、VCRYPT_IP_LOCATION_MAPには、VCRYPT_CITY、VCRYPT_STATEおよびVCRYPT_COUNTRYのそれぞれに対応する外部キーが含まれています。
OAAMでは、IPアドレスは長い数値として格納されます。次のリストは、IPアドレスを含む表をVCRYPT_IP_LOCATION_MAPに結合する方法を示しています。
SELECT ... FROM vcrypt_tracker_usernode_logs logs INNER JOIN vcrypt_ip_location_map loc ON ( logs.remote_ip_addr >= loc.from_ip_addr AND logs.remote_ip_addr <= loc.from_ip_addr )
ユーザー入力や表示目的では、一般に4つの要素で構成される標準IPアドレスを使用します。次のリストは、数値IPアドレスを標準IPとして表示する方法を示しています。ipFieldは、表示する数値IPアドレスを含むフィールドまたはパラメータです。
…
to_char(to_number(substr(to_char(ipField, 'XXXXXXXX'), 1, 3), 'XX')) || '.' ||
to_char(to_number(substr(to_char(ipField, 'XXXXXXXX'), 4, 2), 'XX')) || '.' ||
to_char(to_number(substr(to_char(ipField, 'XXXXXXXX'), 6, 2), 'XX')) || '.' ||
to_char(to_number(substr(to_char(ipField, 'XXXXXXXX'), 8, 2), 'XX'))
...
次のリストは、標準IPアドレスを長い数値フォーマットに変換する方法を示しています。
… to_number(substr(ipField, 1, instr(ipField, '.')-1))*16777216 + to_number(substr(ipField, instr(ipField, '.', 1, 1)+1, instr(ipField, '.', 1, 2)-instr(ipField, '.', 1, 1)-1))*65536 + to_number(substr(ipField, instr(ipField, '.', 1, 2)+1, instr(ipField, '.', 1, 3)-instr(ipField, '.', 1, 2)-1))*256 + to_number(substr(ipField, instr(ipField, '.', 1, 3)+1))
セッションおよびアラートは、それぞれVCRYPT_TRACKER_USERNODE_LOGS表およびVCRYPT_ALERT表に存在します。これらはREQUEST_IDフィールドを介して相互に結合され、それぞれVCRYPT_IP_LOCATION_MAP表を使用してBASE_IP_ADDRフィールドを介して地理的位置データに結合されます。
このレポートには、ユーザーID、ログインID、認証ステータスおよび位置で構成されるセッション・リストが表示されます。最初に、fromDateとtoDateの2つの日付パラメータを作成する必要があります。問合せは次のようになります。
SELECT s.request_id, s.user_id, s.user_login_id, auth.label, country.country_name, state.state_name, city.city_name FROM vcrypt_tracker_usernode_logs s INNER JOIN vcrypt_ip_location_map loc ON s.base_ip_addr = loc.base_ip_addr INNER JOIN vcrypt_country country ON loc.country_id = country.country_id INNER JOIN vcrypt_state loc ON loc.state_id = country.state_id INNER JOIN vcrypt_city city ON loc.city_id = city.city_id LEFT OUTER JOIN ( SELECT enumElement.num_value, enumElement.label FROM v_b_enum enum INNER JOIN v_b_enum_elmnt enumElement ON on enum.enum_id = enum_element.enum_id WHERE enum.prop_name = 'auth.status.enum') auth ON s.auth_status = auth.num_value WHERE (:fromDate IS NULL OR s.create_time >= :fromDate) AND (:toDate IS NULL OR s.create_time <= :toDate) ORDER BY s.create_time DESC
この項では、トランザクション・レポートを作成する方法について説明します。この章の内容は、次のとおりです。
トランザクション定義キーとエンティティ定義キーを取得するには、次の手順を実行します。
管理者としてOAAM管理コンソールにログインします。
ナビゲーション・ペインで、「トランザクション」をダブルクリックします。
トランザクション定義の検索ページが表示されます。
目的のトランザクション定義を検索するための基準を検索フィルタに指定し、「検索」をクリックします。
「検索結果」表に、検索基準に一致するトランザクション定義の概要が表示されます。
目的のトランザクション定義の行をクリックして、詳細を表示します。
「トランザクション定義の詳細」ページで、「一般」タブをクリックします。
トランザクションの「定義キー」を書き留めます。これがトランザクションのトランザクション定義キーです。
この定義キーの値は、クライアントおよび外部トランザクション・データをOracle Adaptive Access Managerサーバーのトランザクション定義にマップするために使用されます。
この値は、OAAMサーバーでトランザクション・データの作成または更新のためのAPIコールを行うときに送信されます。
「トランザクション定義の詳細」ページで、「エンティティ」タブをクリックします。
「エンティティ名」列の名前のリストを書き留めます。
ナビゲーション・ペインで、「エンティティ」をダブルクリックします。
「エンティティ定義の検索」ページが表示されます。
エンティティ定義の検索ページで、必要な検索基準を入力し、「検索」をクリックします。
これらの各エンティティの「キー」を書き留めます。これがエンティティのエンティティ定義キーです。
定義キーはエンティティ定義の一意の識別子です。
レポートの作成時に必要になるエンティティ・データのマッピング情報を取得するには、この項の手順に従ってください。
レポートの作成時に必要になるエンティティ・データの詳細を取得するには、次の手順を実行します。
ナビゲーション・ペインで、「エンティティ」をダブルクリックします。
「エンティティ定義の検索」ページが表示されます。
エンティティ定義の検索ページで、必要な検索基準を入力し、「検索」をクリックします。
エンティティの「キー」を書き留めます。これがエンティティのエンティティ定義キーです。
定義キーはエンティティ定義の一意の識別子です。
SQL問合せを使用して、エンティティ・データのマッピングの詳細を取得します。
SELECT label,
data_row,
data_col,
data_type
FROM vt_data_def_elem
WHERE status =1
AND data_def_id =
(SELECT data_def_id
FROM vt_data_def_map
WHERE relation_type ='data'
AND parent_obj_type =3
AND parent_object_id IN
(SELECT entity_def_id
FROM vt_entity_def
WHERE entity_def_key=<Entity Definition Key>
AND status =1
)
)
ORDER BY data_row ASC,
data_col ASC;
25.1.10.2.2項のSQL問合せを使用すると、エンティティのデータ・フィールドとしてデータ型、行位置および列位置がリストされます。この情報を使用して、指定されたエンティティのデータを表す次の情報に基づいて、SQL問合せを作成します。指定したエンティティのデータを表すビューを作成する場合も、このSQL問合せを基準にすることをお薦めします。
|
注意: EntityRowNは、エンティティ・データの行を表します。前述の問合せによりエンティティの3つの異なるdata_row値が取得された場合は、3つのEntityRowを扱い、別名をEntityRow1、EntityRow2のようにし、同様に、次に示すように、対応する結合を処理します。 |
SELECT ent.ENTITY_ID,
ent.EXT_ENTITY_ID,
ent.ENTITYNAME,
ent.ENTITY_KEY,
ent.ENTITY_TYPE,
EntityRowN<row>.DATA<col> <column_name>,
(EntityRowN<row>.NUM_DATA<col>/ 1000.0) <numeric_column_name>,
to_timestamp_tz(EntityRowN<row>.DATA<col>, 'YYYY-MM-DD HH24:MI:SS TZH:TZM') <date_column_name>,
ent.CREATE_TIME,
ent.UPDATE_TIME,
ent.EXPIRY_TIME,
ent.RENEW_TIME
FROM
VT_ENTITY_DEF entDef,
VT_ENTITY_ONE ent
LEFT OUTER JOIN VT_ENTITY_ONE_PROFILE EntityRowN
ON (EntityRowN.ENTITY_ID = ent.ENTITY_ID
AND EntityRowN.ROW_ORDER = <row>
AND EntityRowN.EXPIRE_TIME IS NULL)
LEFT OUTER JOIN VT_ENTITY_ONE_PROFILE EntityRowN+1
ON (EntityRowN+1.ENTITY_ID = ent.ENTITY_ID
AND EntityRowN+1.ROW_ORDER = <row+1>
AND row1.EXPIRE_TIME IS NULL)
WHERE
ent.ENTITY_DEF_ID = entDef.ENTITY_DEF_ID and
entDef.ENTITY_DEF_KEY=<Entity Definition Key>
レポートの作成時に必要になるトランザクション・データのマッピング情報を取得するには、この項の手順に従ってください。
次の手順を実行して、レポートの作成時に必要になるエンティティ・データの詳細を取得します。
次のSQLを使用して、エンティティ定義のマッピングIDに対するトランザクションのリストを取得します。
SELECT map_id
FROM
vt_trx_ent_defs_map,
vt_trx_def
WHERE
vt_trx_ent_defs_map.trx_def_id = vt_trx_def.trx_def_id
AND vt_trx_def.trx_def_key =<Transaction Definition Key>
次のSQL問合せを使用して、すべてのトランザクション・データ・フィールド、データ型、行および列のマッピングの詳細を取得します。
SELECT label,
data_row,
data_col,
data_type
FROM vt_data_def_elem
WHERE status =1
AND data_def_id =
(SELECT data_def_id
FROM vt_data_def_map
WHERE relation_type ='data'
AND parent_obj_type =1
AND parent_object_id IN
(SELECT trx_def_id
FROM vt_trx_def
WHERE trx_def_key='mayo_pat_rec_acc'
AND status =1
)
)
ORDER BY data_row ASC,
data_col ASC;
前の項の情報を使用して、次のトランザクション・データを表すSQL問合せを作成します。
|
注意: レポートの作成が容易になるように、この問合せを基にしてビューを作成することをお薦めします。 |
SELECT trx.LOG_ID,
trx.USER_ID,
trx.REQUEST_ID,
trx.EXT_TRX_ID,
trx.TRX_TYPE,
trx.STATUS,
trx.SCORE,
trx.RULE_ACTION,
trx.TRX_FLAG,
trx.POST_PROCESS_STATUS,
trx.POST_PROCESS_RESULT,
TxnDataRowN<row>.DATA<col> <data_column_name>,
(TxnDataRowN<row>.NUM_DATA<col>/ 1000.0) <numeric_column_name>,
to_timestamp_tz(TxnDataRowN<row>.DATA<col>, 'YYYY-MM-DD HH24:MI:SS TZH:TZM') <date_column_name>,
(SELECT entTrxMap.MAP_OBJ_ID
FROM VT_ENT_TRX_MAP entTrxMap
WHERE entTrxMap.DEF_MAP_ID = <Transaction to Entity Mapping Id of Entity1_Name>
AND entTrxMap.TRX_ID = trx.LOG_ID
) <EntityN_Name>,
(SELECT entTrxMap.MAP_OBJ_ID
FROM VT_ENT_TRX_MAP entTrxMap
WHERE entTrxMap.DEF_MAP_ID = <Transaction to Entity Mapping Id of Entity2_Name>
AND entTrxMap.TRX_ID = trx.LOG_ID
) <EntityN+1_Name>,
trx.CREATE_TIME,
trx.UPDATE_TIME,
TRUNC(trx.create_time, 'HH24') created_hour,
TRUNC(trx.create_time, 'DDD') created_day,
TRUNC(trx.create_time, 'DAY') created_week,
TRUNC(trx.create_time, 'MM') created_month,
TRUNC(trx.create_time, 'YYYY') created_year
FROM VT_TRX_DEF trxDef,
VT_TRX_LOGS trx
LEFT OUTER JOIN VT_TRX_DATA TransactionDataRowN
ON (TransactionDataRowN.TRX_ID = trx.LOG_ID
AND TransactionDataRowN.ROW_ORDER = <rowN>)
LEFT OUTER JOIN VT_TRX_DATA TransactionDataRowN+1
ON (TransactionDataRowN+1.TRX_ID = trx.LOG_ID
AND TransactionDataRowN+1.ROW_ORDER = <rowN+1>)
WHERE trx.TRX_DEF_ID = trxDef.TRX_DEF_ID and
trxDef.TRX_DEF_KEY=<Transaction Definition Key>
エンティティおよびトランザクションのレポートを作成するには、この項の手順に従ってください。
25.1.10.2.3項「エンティティ・データのSQL問合せおよびビューの作成」の説明に従って作成したSQL問合せまたはビューを使用します。
25.1.10.3.2項「トランザクション・データのSQL問合せおよびビューの作成」の説明に従って作成したSQL問合せまたはビューを使用します。
Oracle Fusion Middlewareでは、監査とは、管理イベント、認証イベントおよびランタイム・イベントに関連する特定の情報を再確認するために収集するプロセスのことを指します。監査は、ポリシー、ユーザー・アクセス・コントロールおよびリスク管理手順への準拠を評価する上で役に立ちます。監査は、アカウンタビリティの手段提供するとともに、「誰がいつ何を行ったか」という質問の答えを明らかにします。監査データを使用して、ダッシュボードの作成、履歴データの集計およびリスクの評価を実行できます。記録された監査データを分析すれば、コンプライアンス担当者がコンプライアンス方針を定期的に確認できます。
この項では、Oracle Adaptive Access Managerで監査できる管理イベントについて説明します。Fusion Middleware監査フレームワークでは、Oracle BI Publisherを利用して、監査データベースに記録されたデータを監査します。Oracle BI Publisherを使用すると、柔軟なレポート表示、フィルタリング、スケジュール、カスタム・レポートといった強力なレポート機能を利用できます。
現在では多くのビジネスにおいて、アイデンティティ情報や、アプリケーションおよびデバイスへのユーザー・アクセスを監査できることが求められます。コンプライアンス監査は、企業が法的要件を満たしていることを確認する助けとなります - 例としては、Sarbanes-Oxley ActやHealth Insurance Portability and Accountability Act (HIPAA)の2つがあげられます。
Oracle Adaptive Access Managerでは、Oracle Fusion Middleware共通監査フレームワークを使用して、多数のイベントを監査できます。Oracle Fusion Middlewareの共通監査フレームワークを使用すれば、ロギングと例外を一様な形で取り扱い、すべての監査イベントの診断を行うことができます。
監査機能は有効または無効のどちらに設定しておくことも可能ですが、本番環境では有効にしておくのが普通です。監査によるパフォーマンスへの影響は最小限に抑えられており、監査によって得られた情報は有用です(業務に不可欠な場合もあります)。
監査データは、集中管理された1つのOracle Databaseインスタンスに書き込むか、バグストップと呼ばれるフラット・ファイルに書き込むことができます。監査記録の保存場所にかかわらず、記録には、特定の要件に合わせて構成することのできる一連の項目が含まれています。監査ログ・ファイルは、監査フレームワークが正常に機能しない場合に監査管理者がエラーを追跡したり問題を診断したりする助けとなります。
監査データは、集中管理された1つのOracle Databaseインスタンスや、バスストップ・ファイルと呼ばれるフラット・ファイルに書き込むことができます。デフォルトでは、監査データはファイルに記録されます。しかし、管理者は、監査データをデータベースに記録するように構成を変更できます。書式は異なりますが、監査データの内容はフラット・ファイルの場合もデータベースの場合も同じです。
監査バスストップ: 監査データ・レコードが監査データ・ストアにプッシュされる前に格納されるローカル・ファイルです。監査データ・ストアが構成されていない場合、監査データはこれらのバスストップ・ファイルに残ります。バスストップ・ファイルは、問い合せて特定の監査イベントを簡単に見つけることができるシンプルなテキスト・ファイルです。監査データ・ストアが配備されている場合、バスストップはコンポーネントと監査データ・ストア間の中間的な場所として機能します。これらのローカル・ファイルは、構成可能な時間間隔に基づいて、監査データ・ストアに定期的にアップロードされます。
バスストップ・ファイルは次の場所にあります。
$DOMAIN_HOME/servers/$SERVER_NAME/logs/auditlogs/OAAM/audit.log
データベース・ロギング: Oracle Fusion Middlewareの全製品について共通監査フレームワークを実行します。その利点は、プラットフォーム・レベルで監査機能が共通化されることです。
データベース監査ストア: 本番環境においては、共通監査フレームワークのスケーラビリティと高可用性を実現するために、データベース監査ストアを使用することをお薦めします。監査データは累積的なもので、その量は時間とともに増大します。これは監査データ専用のデータベースとして、他のアプリケーションは使用しないようにするのが理想です。
|
注意: 本番環境において望ましいモードは、監査データ専用のスタンドアロンRDBMSデータベースに監査記録を書き込むことです。 |
監査データ・ストアの主な利点は、複数のコンポーネントの監査データ(すべてのミドルウェア・コンポーネントやインスタンスにおける認証失敗など)をレポート内で関係付けて結合できる点です。
監査記録用の恒久的ストアとしてのデータベースに切り替えるには、まず、リポジトリ作成ユーティリティ(RCU)を使用して監査データ用のデータベース・スキーマを作成する必要があります。RCUは、データベースに監査記録を格納するために必要なスキーマを使用して、そのデータベース・ストアをシードします。スキーマ作成後にデータベース監査ストアを構成するには次の操作が必要です。
作成した監査スキーマを参照するデータ・ソースの作成
そのデータ・ソースを参照する監査ストアの設定
図25-2は、サポート対象データベースを使用した監査アーキテクチャの簡略図です。Oracle Fusion Middleware監査フレームワークの監査ログ表用スキーマはリポジトリ作成ユーティリティ(RCU)によって提供されます。このユーティリティは、データベースに情報をログする前に起動している必要があります。
独立した監査ローダー・プロセスがフラット・ログ・ファイルを読み込んで、Oracleデータベースのログ表にレコードを挿入します。監査ローダーは、Oracle WebLogic Serverインスタンスのモジュールであり、そのインスタンスの監査アクティビティをサポートします。監査データ・ストを構成すると、監査ローダーは、そのインスタンス内で実行されているすべてのコンポーネントについての監査レコードを収集し、それらのレコードをデータ・ストアにロードします。管理者は、監査ストアを使用することにより、Oracle Business Intelligence Publisherの様々な既製レポートを使用して監査データを表示できます。BI Publisherを使用して、さらに的確に把握するために、データをレポート、発行または視覚化できます。
Oracle Adaptive Access Managerは、Oracle Business Intelligence Publisherと統合して、あらかじめ設定されたコンプライアンス・レポートを提供します。データベース監査ストア内のデータは、Oracle Business Intelligence Publisherであらかじめ定義されたレポートを通じて表示されます。これらのレポートを使用すれば、ユーザー名、時間範囲、アプリケーション・タイプ、実行コンテキスト識別子(ECID)などの様々な基準に基づいて、監査データをドリルダウンできます。
Oracle Business Intelligence Publisherを監査レポート用に準備する必要があります。BI Publisherでのモニタリングおよび監査の有効化の詳細は、BI Publisherのドキュメントを参照してください。
OAAMイベントとは、Oracle Adaptive Access Managerコンソール使用時に生成されるイベントです。この項では、監査可能なOAAMイベントとそれによって取得される詳細を示します。これらのイベントの定義と構成は、Oracle Platform Security Servicesの監査サービスの一部として実装されます。
表25-5に、カスタマ・ケア・イベントを示します。
表25-5 カスタマ・ケア・イベント
| イベント | イベント・データ |
|---|---|
|
CSRケースの作成 |
CaseId、UserGroupName、UserId、CaseSeverity、Description |
|
ケースの更新 |
CaseId、CaseSeverity、CaseStatus、CaseDisposition、CaseExpirationDurationInHrs、ActionNotes、CaseActionResult |
|
ステータスの変更 |
CaseId、CaseStatus、CaseDisposition、ActionNotes、CaseActionResult |
|
ケース・アクションの実行 |
CaseId、CaseActionEnum、CaseSubActionEnum、ActionNotes、CaseActionResult |
|
チャレンジ質問の取得 |
CaseId、ActionNotes、CaseChallengeQuestion |
|
チャレンジ質問レスポンスの確認 |
CaseId、ActionNotes、CaseChallengeQuestion、CaseChallengeQuestionResult |
表25-6に、KBA質問イベントを示します。
表25-6 KBA質問イベント
| イベント | イベント・データ |
|---|---|
|
KBAカテゴリの作成 |
KBACategoryId、KBACategoryName、KBACategoryDetails |
|
KBAカテゴリの更新 |
KBACategoryId、KBACategoryName、KBACategoryDetails |
|
KBAカテゴリの削除 |
KBACategoryIds |
|
KBA質問の作成 |
KBAQuestionId、KBAQuestion、KBAQuestionDetails |
|
KBA質問の更新 |
KBAQuestionId、KBAQuestion、KBAQuestionDetails |
|
KBA質問の削除 |
KBAQuestionIds |
|
KBA検証の作成 |
KBAValidationId、KBAValidationName、KBAValidationDetails |
|
KBA検証の更新 |
KBAValidationId、KBAValidationName、KBAValidationDetails |
|
KBA検証の削除 |
KBAValidationIds |
|
グローバルへのKBA検証の追加 |
KBAValidationId |
|
グローバルからのKBA検証の削除 |
KBAValidationId |
|
KBA回答ロジックの更新 |
KBAAnswerLogicDetails |
|
KBA登録ロジックの更新 |
KBARegistrationLogicDetails |
表25-7に、ポリシー管理イベントを示します。
表25-7 ポリシー管理イベント
| イベント | イベント・データ |
|---|---|
|
ポリシーの作成 |
PolicyId、PolicyName、PolicyDetails |
|
ポリシーのコピー |
SourcePolicyId、PolicyName、PolicyDetails |
|
ポリシーの更新 |
PolicyId、PolicyName、PolicyDetails |
|
ポリシーの削除 |
PolicyIds |
|
オーバーライドの追加 |
PolicyId、PolicyOverrideRowId、PolicyOverrideDetails |
|
オーバーライドの更新 |
PolicyId、PolicyOverrideIds、PolicyOverrideDetails |
|
オーバーライドの削除 |
PolicyId、PolicyOverrideIds |
|
ポリシーをグループにリンク |
PolicyId、GroupId、ActionNotes |
|
グループからポリシーのリンク解除 |
PolicyId、GroupIds |
|
ルールの作成 |
PolicyId、RuleId、RuleName、RuleDetails |
|
ルールへの条件の追加 |
PolicyRuleMapId、RuleConditionIds |
|
ポリシーのルールの更新 |
PolicyId、RuleId、RuleName、RuleDetails |
|
ポリシーへのルールのコピー |
PolicyId、PolicyRuleMapDetails |
|
ポリシーからのルールの削除 |
PolicyRuleMapIds |
|
ポリシーのルール順序の更新 |
PolicyRuleMapId、RuleConditionMapIds |
|
ルール・パラメータ値の更新 |
PolicyRuleMapId、RuleConditionMapId、RuleParamValueDetails |
表25-8に、ポリシー・セット管理イベントを示します。
表25-9に、グループ/リスト管理イベントを示します。
表25-10に、パターン管理イベントを示します。
表25-11に、動的アクション管理イベントを示します。
表25-11 動的アクション管理イベント
| イベント | イベント・データ |
|---|---|
|
動的アクション作成 |
CreateDynamicAction |
|
動的アクション更新 |
UpdateDynamicAction |
|
動的アクション削除 |
DeleteDynamicActions |
|
動的アクション作成インスタンス |
CreateDynamicActionInstance |
|
動的アクション更新インスタンス |
UpdateDynamicActionInstance |
|
動的アクション更新ステータス |
UpdateDynamicActionInstanceStatus |
|
動的アクション削除インスタンス |
DeleteDynamicActionInstances |
表25-12に、エンティティ管理イベントを示します。
表25-12 エンティティ管理イベント
| イベント | イベント・データ |
|---|---|
|
エンティティ作成 |
CreateEntityDef |
|
エンティティ更新 |
|
|
エンティティ更新ステータス |
UpdateEntityDefStatus |
|
エンティティ削除 |
DeleteEntityDefs |
|
エンティティ保存データ |
SaveDataElements |
|
エンティティ削除データ |
DeleteDataElements |
|
エンティティ追加ID |
AddIDSchemeElements |
|
エンティティ更新ID |
UpdateIDSchemeElements |
|
エンティティ削除ID |
DeleteIDSchemeElements |
|
エンティティ追加表示 |
AddDisplayElements |
|
エンティティ更新表示 |
UpdateDisplayElements |
|
エンティティ削除表示 |
DeleteDisplayElements |
|
エンティティ作成参照 |
CreateEntityDefsRelation |
|
エンティティ更新参照 |
UpdateEntityDef |
|
エンティティ削除参照 |
DeleteEntityDefsRelations |
|
注意: エンティティ定義の属性/プロパティを更新すると、次の監査イベントがトリガーされます。
|
表25-13に、トランザクション管理イベントを示します。
表25-13 トランザクション管理イベント
| イベント | イベント・データ |
|---|---|
|
トランザクション作成 |
CreateTransactionDef |
|
トランザクション更新 |
UpdateTransactionDef |
|
トランザクション・ステータス更新 |
UpdateTransactionDefStatus |
|
トランザクション削除 |
DeleteTransactionDef |
|
トランザクション・エンティティ追加 |
AddTransactionEntityDefMap |
|
トランザクション・エンティティ更新 |
UpdateTransactionEntityDefMap |
|
トランザクション・エンティティ削除 |
DeleteTransactionEntityDefMaps |
|
トランザクション・データ保存 |
SaveTransactionDataElemDefs |
|
トランザクション・データ削除 |
DeleteTransactionDataElemDefs |
|
トランザクション・ソース保存 |
SaveTransactionSourceDataElemDefs |
|
トランザクション・ソース・データ要素定義削除 |
DeleteTransactionSourceDataElemDefs |
|
トランザクション・データ・マップ設定 |
SetTransactionDataMapping |
|
トランザクション・データ・マップ削除 |
DeleteTransactionDataMappings |
|
トランザクション・エンティティ・マップ設定 |
SetTransactionEntityDataMapping |
|
トランザクション・エンティティ・マップ削除 |
DeleteTransactionEntityDataMappings |
|
注意: トランザクション定義の属性またはプロパティの更新が発生すると、監査イベントおよび関連するAPIの監査イベントがトリガーされます。たとえば、ソース保存のトランザクションを実行すると、次の監査イベントもトリガーされます。
|
表25-14に、スナップショット管理イベントを示します。
表25-15に、OAAMサーバー管理イベントを示します。
表25-16に、ユーザー・イベントを示します。
表25-17に、インポート・イベントを示します。
表25-17 インポート・イベント
| イベント | イベント・データ |
|---|---|
|
ポリシーのインポート |
ImportPolicies |
|
KBAのインポート |
ImportKBAQuestions |
|
動的アクションのインポート |
ImportDynamicActions |
|
トランザクションのインポート |
ImportTransactions |
|
パターンのインポート |
ImportPatterns |
|
エンティティのインポート |
ImportEntities |
|
条件のインポート |
ImportConditions |
|
グループのインポート |
ImportGroups |
|
プロパティのインポート |
ImportProperties |
|
検証のインポート |
ImportValidations |
次の概要には、Oracle Adaptive Access Managerで監査を実行する前に実行する必要のあるタスクのリストを示します。
25.2.5.1項「リポジトリ作成ユーティリティを使用した監査スキーマの作成」の説明に従って、データベースに対してOracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を実行します。
25.2.5.2項「監査データベース用のデータソースの構成」の説明に従って、監査ローダーの監査データソースを設定し、それをOAAMサーバー用に構成します。
25.2.5.3「Fusion Middleware Controlを使用した監査レベルの設定」の説明に従って、Fusion Middleware Controlを使用して監査レベルを設定します。
25.2.5.4項「Fusion Middleware Controlを使用した監査ポリシー・ストア用のJDBCデータソースの登録」の説明に従って、Fusion Middleware Controlを使用して監査ポリシー・ストア用のJDBCデータソースを登録します。
25.2.5.5項「監査レポートの設定」の説明に従って、Fusion Middlewareの監査レポートを設定します。
WebLogic Serverを再起動します。
監査のデプロイの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査の構成と管理に関する項を参照してください。
監査レコードの永続的ストアとしてデータベースに切り替えるには、最初にOracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を使用して監査データストアを作成します。監査データは、デフォルトでは、データベースではなくファイル・システム(IAMDomain/servers/AdminServer/logs/auditlogs/JPS/audit.log)にあります。
監査データ・ストアは、監査イベント・レコードのリポジトリです。これは、リポジトリ作成ユーティリティ(RCU)によって作成される、事前定義済のOracle Fusion Middleware監査フレームワーク・スキーマが含まれるデータベースです。監査データ・ストアを構成すると、すべての監査ローダーが監査データ・ストアを認識し、データが監査データ・ストアに定期的にアップロードされるようになります。監査ストア内の監査データは累積されることが想定され、時間の経過に伴って増加します。監査データ・ストアは、他のアプリケーションによって使用される運用データベースではなく、監査専用のスタンドアロン型データベースであるのが理想的です。
始める前に、使用するデータベースの詳細情報を収集し、DBA資格証明を入手してください。
RCUユーティリティを使用して監査スキーマを作成するには、次の手順を実行します。
データベースにSYSDBAとしてログインします。
RCUを実行するには、DBA権限を持つ必要があります。したがって、SYSDBAとしてログインする必要があります(たとえば、ユーザーSYSとして)。
RCU_HOME/bin/ディレクトリに移動します。
RCUを起動するには、次を行います。
UNIXの場合は、次のスクリプトを実行します。
./rcu
Microsoft Windowsの場合は、次のスクリプトを実行します。
rcu.bat
開始画面で「作成」を選択し、「次へ」をクリックします。
次の表に示す接続の詳細を指定して、「次へ」をクリックします。
| フィールド | 入力するデータ |
|---|---|
| データベース・タイプ | Oracle Database |
| ホスト名 | データベースのデプロイ先のホストの名前。 |
| ポート | 「ホスト名」フィールドで識別されるホストに接続するポート番号。 |
| サービス名 | インストールまたはデータベースの作成時に入力された、データベース名とドメイン名の組合せであるグローバル・データベース名の文字列。 |
| ユーザー名 | Oracle Adaptive Access Managerへのアクセス権を持つデータベース・スキーマ・ユーザーのユーザー名(SYSなど)。 |
| パスワード | 「ユーザー名」フィールドで識別されたユーザーのパスワード。 |
| ロール | DBA権限を持つロール(SYSDBAなど)。 |
新しい接頭辞を作成するためのオプションまたは既存の接頭辞を選択します。
「コンポーネントの詳細」ページで、スキーマのリストから「監査サービス」を選択します。
「次へ」をクリックして、表領域の作成を承認します。
「終了」をクリックして、プロセスを開始します。
RCUによって、DEV_IAUスキーマまたはprefix_IAUスキーマが監査ログで使用されるサポートする表とともに作成されます。
スキーマの作成時にデータベースに作成された表を表示するには、次の手順を実行します。
SQLPLUSにDEV_ IAUユーザーでログインします。
次のコマンドを実行して、表のリストを表示します。
SQL> select TABLE_NAME from USER_TABLES;
インストール時に作成された表のリストが表示されます。IAU_BASE表は、監査フレームワークが監査レコードを書き込む表です。
次のコマンドを実行して、OAAM表を表示します。
SQL> describe OAAM;
データベースに監査レコードを格納するためのデータベース・スキーマを作成した後に、監査フレームワークがデータベースにアクセスしてデータのロードを開始できるように、監査データベース用のJDBCデータソースをWebLogic Serverに定義する必要があります。
データソースを作成するには、次のタスクを実行します。
次のURLを使用して、Oracle WebLogic管理コンソールにログインします。
http://hostname:port/console
WebLogic管理コンソールの左上隅にある「ロック」ボタンをクリックして、環境をロックします。
「IAMDomain」をクリックし、「サービス」の下で「データ・ソース」をクリックします。
JDBCソースのサマリーが右側のパネルに表示されます。
「新規」の次に「汎用データ・ソース」をクリックして、新しいデータ・ソースを作成します。
「新しいJDBCデータ・ソースの作成」ページで新しいデータ・ソースについて次の詳細を入力して、「次へ」をクリックします。
名前: AuditDB
JNDI名: jdbc/AuditDB。
データベースのタイプ: Oracle
2番目のページではデフォルト値を受け入れ、「次へ」をクリックします。
「トランザクション・オプション」ページで、「次へ」をクリックします。
「接続プロパティ」ページで接続プロパティを次のように入力して、「次へ」をクリックします。
データベース名: 接続するデータベースの名前(SID)。
ホスト名: データベースのホスト名。
ポート: データベース・ポート。
データベース・ユーザー名: RCUで作成した監査スキーマ名です。監査スキーマの場合、接尾辞は常にIAUです。
パスワード: RCUで作成した監査スキーマのパスワードです。
次のページに、JDBCドライバ・クラスとデータベースの詳細情報が表示されます。
デフォルトを受け入れ、「構成のテスト」をクリックして接続を確認します。「接続は正常に確立されました。」というメッセージが表示されたら「次へ」をクリックします。エラーが表示された場合は、接続の詳細情報に戻って確認します。
このJDBC接続を有効にするサーバー(管理サーバーとoaam_admin_server1サーバー、oaam_server_server1サーバーおよびoaam_offline_server1サーバー)を選択します。
「終了」の次に「変更のアクティブ化」をクリックして、新しいJDBC接続を有効にします。
Fusion Middleware Controlを使用して、BI Publisherの各監査タイプに対して監査レベルを設定します。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
http://hostname:port/em
IAM_Domainに移動します。
IAM_Domainドメインで、「WebLogicドメイン」の下で「ドメイン」を右クリックして「セキュリティ」を選択し、「監査ポリシー」をクリックします。
「監査コンポーネント名」ドロップダウンを使用して、構成したい監査ポリシーがあるOracle Adaptive Access Managerを選択します。
Oracle Adaptive Access Managerを選択すると、OAAMに関連する監査カテゴリが下部に表示されます。
「監査レベル」ドロップダウンを使用して、OAAMの監査イベントに監査レベルを設定します。選択肢は次のとおりです。
なし - イベント・カテゴリは選択されません。
低、中、高 - 監査の事前定義済レベルを設定できます。
カスタム - イベントのカテゴリごとにカスタマイズした監査レベルを設定できます。
監査レベルを選択してOAAMまたはOAAMイベント・カテゴリの隣にあるチェック・ボックスを選択します。次に、「適用」をクリックします。
監査データを格納するためにJDBCデータソースを登録します。これを行うには、25.2.5.2項「監査データベース用のデータソースの構成」で作成したJDBC接続を登録する必要があります。
Oracle Enterprise Manager Fusion Middleware Controlにログインします。
http://hostname:port/em
「WebLogicドメイン」を選択し、「ドメイン」を右クリックして「セキュリティ」を選択し、「監査ストア」を選択します。
「監査ストア」ページで、「データソースのJNDI名」フィールドの隣にある「検索」(サーチライトのアイコン)をクリックします。
「データソースの選択」ダイアログで、25.2.5.2項「監査データベース用のデータソースの構成」で作成したjdbc/AuditDBを選択し、「OK」をクリックします。
監査ローダーの頻度を秒単位で入力します。監査ローダーは指定された間隔でリポジトリをチェックし、レコードをリポジトリにプッシュします。
「監査ストア」ページで、「適用」をクリックして続けます。
JDBCデータソースをデプロイした、管理サーバーとoaam_admin_server1サーバー、oaam_server_server1サーバーおよびoaam_offline_server1サーバーを再起動します。
Fusion Middleware監査レポートをインストールする前に、Oracle BI Publisherをインストールして正しく動作することを確認する必要があります。詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
標準のOracle BI Publisher監査レポートを標準のデフォルト・フォーマットで設定するには、次の手順を実行します。
Oracle BI Publisherサーバーを停止します。詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
OAAMホストで、AuditReportTemplates.jarを見つけます。
AuditReportTemplates.jarは、$MW_ORA_HOME/oracle_common/modules/oracle.iau_version/reports/AuditReportTemplates.jarにあります。
ファイルをOAAMホストからデータベース・ホストの場所にSFTPで取得します。例:
Oracle_IDM1/Middleware/user_projects/domains/bifoundation_domain/config/bipublisher/repository/Reports
|
注意: BI Publisher 11gのインストール後に、Oracle_IDM1/Middleware/user_projects/domains/bifoundation_domain/config/bipublisher/repository/ReportsディレクトリがWebLogicドメインに作成されます。 |
データベース・マシンに移動し、ファイルをOracle_IDM1/Middleware/user_projects/domains/bifoundation_domain/config/bipublisher/repository/Reportsディレクトリに抽出します。
Oracle_Fusion_Middleware_Auditという新しいディレクトリが監査レポートともに作成されます。lsを実行すると、このディレクトリは他のレポート・ディレクトリとともにリストされます。
Oracle BI Publisherサーバーを起動します。詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
データベースの監査表にあるデータに対してレポートを実行できるようにするには、次の手順に従って、JDBCデータソースが監査スキーマをポイントするように構成します。
次のURLを使用して、Webブラウザから管理者としてOracle BI Publisherにログインします。
http://host.domain.com:port/xmlpserver/
詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
「管理」タブをクリックし、「データソース」の下の「JDBC」をクリックして、「データソースの追加」ボタンをクリックします。「データソースの追加」画面が表示されます。
「データソースの追加」画面のフィールドに次の情報を入力します。次の例の変数値を監査スキーマの実際の値に置き換えます。
| フィールド | 入力するデータ |
|---|---|
| データソース名 | Audit
データソースの名前を指定します。 |
| 接続文字列 | jdbc:oracle:thin:@host:port:sid |
| ユーザー名 | 監査スキーマ・ユーザーのユーザー名です。 |
| パスワード | 「ユーザー名」フィールドで指定したユーザーのパスワードです。 |
| データベース・ドライバ・クラス | oracle.jdbc.driver.OracleDriver |
接続が正常かどうかをテストします。接続が正常でない場合は、入力した値を確認します。
「適用」をクリックします。
Oracle BI Publisherでレポートを実行するには、次の手順を実行します。
次のURLを使用して、Webブラウザから管理者としてOracle BI Publisherにログインします。
http://host.domain.com:port/xmlpserver/
詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
「レポート」タブをクリックして、「共有フォルダ」をクリックします。
「Oracle_Fusion_Middleware_Audit」をクリックして、実行対象のレポートに移動します。
レポート・ページの上部にあるフィルタ・オプションを使用して、レポート・データを様々な方法でフィルタします。
「表示」をクリックします。レポート・データが「レポート」ページの下部に表示されます。
データベース・スキームで監査データを確認できる必要があります。データが何も表示されない場合は、ORACLE_MW_HOME/user_projects/domains/IAMDomain/servers/oaam_admin_server1/logs/auditlogs/oaamにあるログ・ファイルを確認する必要があります。
Oracle BI PublisherでFusion Middleware共通ユーザー・アクティビティ・レポートを実行するには、次の手順を実行します。
次のURLを使用して、Webブラウザから管理者としてOracle BI Publisherにログインします。
http://host.domain.com:port/xmlpserver/
詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
「レポート」タブを選択します。
「その他」をクリックして、監査レポートを含む標準のレポートのリストを表示します。
「Oracle_Fusion_Middleware_Audit」をクリックして、実行対象のレポートに移動します。
「すべてのイベント」を選択します。
標準の監査レポートをデフォルトの形式で標準として使用できます。ただし、レポートのデータの範囲やその他の関連する側面をカスタマイズする場合は、監査レポート・フィルタを設定します。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査分析の使用方法とレポートの作成に関する項を参照してください。
データベース監査ストア内のデータは、BI Publisherレポートを通じて公開されます。OAAM監査レポートは、標準のOracle Adaptive Access Managerでは利用できません。Oracle Fusion Middleware監査フレームワークには、一連の事前定義済レポートが付属しています。これらのレポートは、Oracle Fusion Middlewareコンポーネントで標準で利用可能になっていますが、Oracle Business Intelligence Publisherは、カスタム・レポートの設計や作成にも完全に対応しています。この章では、OAAMの一部のカスタム・レポートの作成の詳細について説明しています。監査レポートの作成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査分析の使用方法とレポートの作成に関する説明を参照してください。
次の項では、Oracle Adaptive Access Managerレポートの使用シナリオを紹介します。
MartyはAcme Corpのビジネス・アナリストです。Oracle Adaptive Access Managerセキュリティ・システムがカスタマに及ぼす影響について、関連データを集計してまとめる必要があります。
指示: KBAチャレンジ統計レポートとルール集計ブレークダウン・レポートを実行します。また、最近のログイン・レポートを実行し、セッションでフィルタリングしてブロックで表示します。すべてのレポートをXLS出力で実行するため、結果を事業単位と共有できます。
このユース・ケースでは、Oracle BI Publisherレポートの使用例を示します。
次のURLを使用して、Webブラウザから管理者としてOracle BI Publisherにログインします。
http://host.domain.com:port/xmlpserver/
詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
「共有フォルダ」で「OAAM」を選択します。
「oaam」フォルダで「oradb」を選択します。
実行するレポートを探します。
「共通」フォルダで、「最近のログイン」をクリックして「最近のログイン」レポートを表示します。
「KBA」フォルダで、「チャレンジ統計」をクリックして「チャレンジ統計」レポートを表示します。
「KBA」フォルダで、「質問統計」をクリックして「質問統計」レポートを表示します。
「セキュリティ」フォルダで、「ルール・ブレークダウン」をクリックして「ルール・ブレークダウン」レポートを表示します。
「最近のログイン」レポートの場合、「認証ステータス」で検索基準として「ブロック済」を選択します。
各レポートに対して次の手順を繰り返します。
「表示」をクリックします。
「テンプレート」メニューで、「Excel2000」を選択し、「エクスポート」をクリックします。
「ログイン・サマリー」には、指定された日付範囲のログイン集計サマリーが表示されます。
次のURLを使用して、Webブラウザから管理者としてOracle BI Publisherにログインします。
http://host.domain.com:port/xmlpserver/
詳細は、Oracle Business Intelligence Publisherのドキュメントを参照してください。
メイン・ページで、「共有フォルダ」の「OAAM」をクリックし、「oradb」をクリックします。
「セキュリティ」フォルダで、「ログイン・サマリー」をクリックして「ログイン・サマリー」レポートを表示します。
デフォルトの期間である1か月を対象として、「ログインのサマリー」レポートが表示されます。
サマリー・グラフには、次の情報が表示されます。
セッション数
ユーザー数
登録数
ブロック数
必要に応じてレポートを保存またはエクスポートします。
