Oracle® Fusion Middleware Oracle Adaptive Access Manager管理者ガイド 11gリリース2 (11.1.2.2) B70199-06 |
|
前 |
次 |
この章では、Oracle Adaptive Access Manager 11gの新機能であるUniversal Risk Snapshot機能について説明します。
この章には次の項が含まれます:
この項では、スナップショットの概念と、Oracle Adaptive Access Managerでスナップショットがどのように使用されるかについて説明します。
Universal Risk Snapshotを使用すると、システム・スナップショットを作成できるため、セキュリティ管理者は異なる環境間でセキュリティ・データを簡単に移行したり、セキュリティ構成を既知の状態にリストアできます。
スナップショットとは、現在のシステム構成のバックアップのことです。元のシステムでエラーが発生した場合、システムを事前定義済のポイントにまでリストアできます。
Universal Risk Snapshotを使用すると、システム管理者はシステム・イメージを格納して管理できます。次の操作を実行できます。
安全、セキュリティまたはバージョニングの目的で、システム構成をバックアップします。
他のサーバーで使用できるように(たとえば、テスト環境から本番環境への移行や、本番のトラブルシューティングなどの目的で)、システム構成をレプリケートします。
事前定義済のポイントからシステム構成をリストアします。
Universal Risk Snapshotでは、構成データ(メタデータ)のみが処理されます。セッション、トランザクション・データ、ケース、ルール・ログ、アクション・ログなどのランタイム・データは処理されません。
スナップショットが作成されると、OAAMサーバーのメタデータがデータベースからコピーされます。
スナップショットは、その格納場所に応じてファイルまたはデータベースからリストアできます。
スナップショットの場合、メタデータは次のアイテムとともに格納されます。
アーティファクト | コメント | 補足説明 |
---|---|---|
ポリシー・セット | ポリシー・セットのオーバーライド | |
ポリシー | すべてのポリシー | トリガー組合せを含む |
ルール・インスタンス | すべてのルール・インスタンス | |
条件 | すべてのルール条件 | |
グループ | リンクされているかどうか、すべてのグループのグループ定義 | アラートおよびアクションのグループ・メンバーのみがエクスポートされる |
パターン | すべてのパターン | |
トランザクション定義 | すべてのトランザクション定義 | |
エンティティ | リンクされているかどうか、すべてのエンティティ | |
プロパティ | データベース内のみ | |
列挙 | データベース内のみ | |
構成可能なアクション | ||
チャレンジ質問 | 検証、カテゴリおよび構成を含む(回答ロジックなど) |
バックアップでは、すべてのグループ定義を含む既存のすべての構成(アクティブなアイテムと非アクティブなアイテムの両方)が保存されます。アクション・グループおよびアラート・グループのメンバーのみがバックアップに含められます。他のグループ・メンバーは、必要に応じて「グループ」ユーザー・インタフェースを使用してエクスポートできます。
バックアップ・スナップショットは、データベースまたはローカル・ファイル・システム(あるいはその両方)に作成するように選択できます。
新しいシステム構成をファイルまたはデータベースからリストアできます。
リストアにより、現在のシステム構成がリストアされた構成に置き換わり、さらに既存システム内の追加構成が削除されて無効化されます。
注意: ただし、グループ定義をシステムにインポートする場合は例外です。すでに使用可能になっている追加のグループ・メンバーはリストアによって削除されません。 |
スナップショットを作成すると、機能領域のすべての構成(アクティブな構成と無効な構成の両方)が選択されます。たとえば、ポリシー・セット内に10個のポリシーがあり、そのうち5個がアクティブで、5個が無効になっている場合、スナップショットを作成すると、すべてのポリシーとその構成およびステータス情報が含められます。
次のデータは格納もリストアもされません。
ランタイム・データ(例: ユーザー・ノード・ログ、セッション・ログ、トランザクション・ログ、フィンガープリント、パターン収集データ、生成済アラート・データ、ルール・ログ・データ、ポリシー・ログ・データ)
地理的位置データ
サーバーAPIログに関連するユーザー・アクション・ログ
スナップショットにはグループのメンバーは含められません(アクション・グループおよびアラート・グループを除く)。ただし、グループそのものはスナップショットに含められます。グループ・メンバーをバックアップするには、スナップショットとは別にグループのエクスポート機能を使用する必要があります。これらのグループ・メンバーは、必要に応じて「グループ」ユーザー・インタフェースを使用してインポートする必要があります。
構成可能アクション定義はリストア時に含められますが、必要なJavaクラスは目的のフォルダに手動でコピーする必要があります。
バックアップおよびリストア時には、アイテムのステータスは保存されます。たとえば、無効なアイテムはバックアップおよびリストア時も無効なままです。
個別のアイテムを選択してスナップショットに含めたり、選択的なリストアを実行することはできません。特定の構成のみをスナップショットに含める場合は、そのモジュール(個別のユーザー・インタフェース)からそれらをエクスポートして再びインポートした後、スナップショットを作成します。
リストアは次のように機能します。
システムに存在するメタデータは非アクティブ化されます。データを削除するとデータベース制約の違反になるため、データ(ポリシーまたはパターン)は削除できません。このため、アクティブなアーティファクトはすべて、非アクティブまたは削除済の状態に適宜設定されます。
その後、インポートするアーティファクトが現在のデータベースに挿入されます。
この挿入プロセス中、古いシステムと新しいスナップショットの両方にアーティファクトが存在すると、それらのアーティファクトは新しいスナップショットと同じ状態にリストアされます。
新しいスナップショット内のグループには、メンバーが含まれません。既存のシステムに(名前が)同じグループが存在する場合、システムのリストア後、リストアされたグループにはメンバーが含まれます。
システム・スナップショット検索ページを表示するには、次の手順を実行します。
環境管理者ロールが割り当てられているユーザーとしてOAAM管理コンソールにログインします。
ナビゲーション・ツリーで、「環境」の下の「システム・スナップショット」を選択します。
検索ページを開く別の方法は、3.5項「検索、作成およびインポート」を参照してください。
システム・スナップショット検索ページでは、次のタスクを実行できます。
スナップショットの検索
データベースからのスナップショットのリストア
ファイルからのスナップショットのリストア
現在のシステムをファイルまたはデータベースにバックアップ
選択したスナップショットをデータベースから削除
システム・スナップショット検索ページでは、「検索」フィルタで基準を指定してスナップショットを検索します。
システム・スナップショット検索ページを初めて表示すると、「検索結果」表にOracle Adaptive Access Manager環境内のスナップショットのリストが表示されます。
スナップショットを検索するには:
ナビゲーション・ツリーで、「環境」の下の「システム・スナップショット」を開きます。
システム・スナップショット検索ページが表示されます。
スナップショットの検索基準を「検索」フィルタで指定して、「検索」をクリックします。
検索では大/小文字が区別されません。
検索で名前の一部を入力しても、結果が戻されます。
検索で入力した空白は切り捨てられます。
「検索」のかわりに「リセット」をクリックすると、検索基準がリセットされます。
入力した検索基準に基づいて、検索結果が表示されます。
表15-1 システムの「検索」フィルタ基準
フィルタおよびフィールド | 説明 |
---|---|
スナップショット名 |
スナップショットの名前。データベースからのスナップショットの場合は、ユーザーが入力した名前で、ファイル・ベースのバックアップの場合は、ファイル名です。 「結果」表に、指定した名前のスナップショットが表示されます。 |
ノート |
スナップショットが作成された理由を説明するノート。「結果」表に、指定したノート・キーワードを含むすべてのバックアップ名が表示されます。 |
バックアップ日付 |
バックアップが作成された日付。特定の作成日範囲内に作成されたバックアップを検索するには、範囲の開始日および終了日を入力します。指定した日付範囲内にバックアップされたすべてのバックアップ名が表示されます。 |
システムで使用するスナップショットをインポートするには、次の手順に従います。
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
システム・スナップショット検索ページが表示されます。
「ファイルからロード」をクリックします。
「スナップショットのロードおよびリストア」ダイアログが表示されます。スナップショットをインポートすると現在のシステムの構成内容が上書きされるため、ここで現在のシステムをバックアップしておくこともできます。
現在のシステムのバックアップを保持しておくには、現在のシステムを今すぐバックアップするボックスを選択し、バックアップの名前とノートを入力したら「続行」をクリックします。
「スナップショットのロードおよびリストア」ダイアログが表示され、現在のシステムが正常にデータベースに格納されたことを示すメッセージが示されたら、「OK」をクリックします。
続いて、「スナップショットのロードおよびリストア」ページが表示されたら、サーバーにロードするスナップショットを選択し、基本的な認証フローを実行します。
現在の構成のバックアップが確実に必要ない場合や、空のシステムにスナップショットをインポートする場合は、ダイアログを空白のままにして「続行」をクリックします。
システムのバックアップを選択しなかったために、新しいスナップショットをロードするとメタデータの詳細が上書きされる可能性があることを示す警告が表示されます。バックアップを取得する場合は、「戻る」をクリックして前のページに戻り、バックアップの詳細を指定します。インポートを進める場合は、「続行」をクリックします。
「スナップショットのロードおよびリストア」ページが表示されたら、サーバーにロードするスナップショットを選択し、基本的な認証フローを実行します。
これで、スナップショットをロードできるようになったので、ダイアログの「参照」をクリックして、ロードするスナップショットのファイル名を入力します。画面が表示されたら、スナップショット・ファイルが配置されているディレクトリに移動します。「オープン」をクリックします。続いて、「ロード」をクリックして、スナップショットをシステムにロードします。
標準のスナップショットを初めてロードすると、スナップショット・ファイルoaam_base_snapshot.zip
はOracle_IDM1/oaam/init
ディレクトリに置かれます。このディレクトリにはOAAMの基本コンテンツが配置されています。
「OK」をクリックします。
スナップショットがロードされると、スナップショットのサマリーが表示されます。
「プレビュー」タブでは、次のことを実行できます。
スナップショット内の条件、ルール、ポリシーなどを表示できます。
オブジェクトに実行されるアクションを表示できます。たとえば、構成可能なアクションを含むスナップショットをロードする際に、構成可能なアクションがシステムにない場合は、その構成可能なアクションは無効になります。
更新分、変更分、または追加分のみなど、オブジェクトをフィルタして確認できます。
スナップショットをロードする際に、システム内の構成を無効にしてしまう可能性や既存のメタデータを上書きしてしまう可能性があるため、通常は前述したシステム内の変更はすべて確認する必要があります。
「更新」ボタンを使用すると、スナップショットを更新または別のスナップショットに変更し、既存のシステム・スナップショットと比べた場合の変更点を表示できます。
ここまでで、システムにスナップショットをロードし、既存のメタデータと比べた場合の変更点を確認しました。しかし、スナップショット内のアイテムはまだ有効ではありません。「リストア」をクリックするまで、スナップショット内のアイテムは適用されません。
スナップショットを適用するには、「リストア」をクリックします。
スナップショットを適用したら、そのスナップショットが「システム・スナップショット」ページに表示されることを確認します。検索を実行して、データベースにロードされているすべてのスナップショットを表示します。任意のスナップショットをクリックして表示したら、「リストア」をクリックして変更を適用します。この機能を使用してシステムを定期的にバックアップしますが、このバックアップはデータベースのメモリーまたはファイル、あるいはその両方に保存されます。
CLIを使用したスナップショットのインポート方法の詳細は、「スナップショットのインポート」を参照してください。
ナビゲーション・ツリーで、「環境」の下の「システム・スナップショット」を選択します。
システム・スナップショット検索ページが表示されます。
スナップショットの検索基準を「検索」フィルタで指定して、「検索」をクリックします。
「検索」のかわりに「リセット」をクリックすると、検索基準がリセットされます。
「結果」表のスナップショット名をクリックすると、特定のスナップショットのスナップショット詳細ページが表示されます。
「サマリー」タブに、バックアップのバックアップ名、ノート、システム・ユーザー、クライアントIP、サーバーIPおよびサーバー名が表示されます。
「スナップショット・プレビュー」タブに、次の構成詳細が表示されます。
回答のヒント
質問カテゴリ
条件
検証
質問
グループ
ポリシー
エンティティ定義
スケジューラ・タスク・グループ
パターン
ナビゲーション・ツリーで、「環境」の下の「システム・スナップショット」を開きます。
システム・スナップショット検索ページが表示されます。
ページの右上隅にある「バックアップ」をクリックするか、「アクション」メニューで「バックアップ」をクリックします。
現在のシステムのバックアップ・ページが表示されます。このページから、オプションを選択し、必要な情報を入力できます。
現在のシステムを、システム・データベースまたはファイル(あるいはその両方)にバックアップできます。
「バックアップ」タイプを選択します。
データベース
データベースおよびファイル
ファイル
現在のシステムをシステム・データベースにバックアップするには:
現在のシステムのバックアップ・ページで、「バックアップ・タイプ」として「データベース」を選択します。
バックアップの名前を入力します。
バックアップのノートを入力します。
「バックアップ」をクリックします。
現在のシステムが正常にデータベースに格納されたというメッセージを示すダイアログが表示されます。
「OK」をクリックします。
システム・スナップショットがデータベース内に作成されます。
現在のシステムをデータベースおよびファイルにバックアップするには:
現在のシステムのバックアップ・ページで、「バックアップ・タイプ」として「データベースおよびファイル」を選択します。
バックアップの名前を入力します。
バックアップのノートを入力します。
ZIPファイルのファイル名を入力します。
「バックアップ」をクリックします。
現在のシステムが正常にデータベースに格納されたというメッセージを示すダイアログが表示されます。
「OK」をクリックします。
システム・スナップショットがデータベースおよびファイル内に作成されます。
スナップショットがデータベースおよびファイル内に保存されたことを確認します。
システム・スナップショット検索ページで、スナップショット名により検索します。
バックアップがデータベースに保存されると、「結果」表にスナップショット名が表示されます。
CLIを使用したスナップショットのエクスポート方法の詳細は、「スナップショットのエクスポート」を参照してください。
同じシステムまたは別のシステムのスナップショットから、システム構成をリストアできます。スナップショットのサブセットのみをリストアすることはできません。
スナップショットをリストアすると、システム構成が完全に置換されます。
操作中にエラーが発生した場合、システムをエラーの前の時点のスナップショットにリストアできます。
リストア操作を実行するには:
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
システム・スナップショット検索ページが表示されます。
「検索」をクリックして「結果」タブに移入するか、システムのリストアに使用するスナップショットを検索します。
「結果」表からスナップショットを選択します。
「リストア」をクリックするか、「アクション」メニューから「リストア」を選択します。
置換前に現在のシステムをバックアップすることを選択できる、現在の構成のバックアップ・ダイアログが表示されます。「バックアップ」、「スキップ」または「取消」を押すことができます。
バックアップの名前を入力します。
バックアップのノートを入力します。
「バックアップ」を押し、バックアップが正常に完了すると、現在のシステムが正常にデータベースに格納されたことを示すメッセージが表示されます。
「リストア」をクリックします。
サマリーに、インポートされるアイテムのリストと、操作のステータスが表示されます。
「OK」をクリックします。
ファイルの形式が間違っていた場合は、エラー・メッセージが表示されます。
スナップショットをシステム・データベースにロードするには:
ナビゲーション・ツリーで、「環境」にある「システム・スナップショット」を開きます。
システム・スナップショット検索ページが表示されます。
「ファイルからロード」をクリックします。
データベースにバックアップする現在のシステム構成の名前およびノートを入力するための「スナップショットのロードおよびリストア」ダイアログが表示されます。
現在のシステム構成の名前およびノートを入力し、「続行」をクリックします。
「スナップショットのロードおよびリストア」ダイアログが表示され、現在のシステムが正常にデータベースに格納されたことを示すメッセージが示されます。
「OK」をクリックします。
ロードするスナップショットを選択するための「スナップショットのロードおよびリストア」ページが表示されます。
スナップショットを参照し、「ロード」をクリックして、スナップショットをシステム・データベースにロードします。
「ロード」を押すと、ロードされたスナップショットがリストアされて、現在のスナップショットになります。このオプションを選択した場合、リストア前にスナップショットをプレビューすることはできません。
「OK」をクリックします。
「リストア」をクリックします。
スナップショットをリストアした後でポリシーおよびルール・キャッシュは更新されません。ポリシーをアクティブにするためにはOAAM Serverサーバーを再起動する必要があります。
この項では、スナップショットのリストアに関する考慮事項について説明します。
スナップショットのZIPファイルには、それが作成されたサーバー・バージョンが含まれます。リストア時にバージョンに互換性がないと判断された場合、スナップショットのリストアは失敗します。
稼働中のシステムでスナップショットをリストアすると、結果は約30秒後、すべてのデータベース・アーティファクトが再ロードされたときに有効になります。
スナップショットを削除するには:
ナビゲーション・ツリーで、「環境」の下の「システム・スナップショット」を選択します。
「検索」をクリックして、システム内のスナップショットのリストを表示します。
削除するスナップショットを選択して「削除」アイコンをクリックするか、「アクション」メニューから「選択項目の削除」をクリックします。
「選択したスナップショットを削除しますか。」というメッセージを含む確認ダイアログが表示されます。
「削除」をクリックします。
「選択したスナップショットは正常に削除されました」というメッセージを含む確認ダイアログが表示されます。
「OK」をクリックします。
この項では、スナップショットを使用するサンプル・ユース・ケースを示します。
Jeffはセキュリティ管理者であり、ポリシー変更およびすべての依存アイテムをテスト環境から本番環境に移行する必要があります。
Jeffはテスト環境でOAAM管理を使用し、ポリシー・セットをエクスポートします。
エクスポート・プロセスの一部として、ポリシー、ルール、条件、リンクされたパターン、リンクされたグループ(アラート・グループおよびアクション・グループのメンバーはデフォルトで含められます。これ以外のグループ・タイプのメンバーは、指定しないかぎり含められません)、ポリシーで使用される列挙、ポリシーで使用されるトランザクションとエンティティ、およびポリシーで使用される構成可能アクションが、ファイルへのエクスポート用にすべて選択されます。
本番環境にインポートされるとき、上書きされるファイルに関してJeffに警告メッセージが表示されます。
スナップショットはルールおよびポリシーの構成内容を示すレコードであり、セッション情報を含んでいます。
ユーザーが、オフライン・システムを使用して履歴データを後で表示し調査を実施できるように、スナップショットを作成します。
スナップショットにタイムスタンプが記録されます。
後で、ユーザーは古いスナップショットをリストアして、不正な分析を実行します。
ユーザーはルールおよびポリシーを実行して、過去のその時点におけるシステムの動作を判別します。
ユーザーは、異なる時点から保存した複数のスナップショットを持ち、調査を実行するためにそれらをオフライン・システムで再利用します。
この項では、スナップショットを使用する際のベスト・プラクティスについて概説します。
本番システムでリストアを実行する前に、本番システムのシステム構成全体が置換されることに注意してください。リストアが失敗した場合や、予期しないその他の問題が発生した場合に現在の構成が失われることがないように、実際のリストアの前に、現在のポリシー・セットのスナップショットを作成します。スナップショットをリストアした後で元に戻すことはできません。リストアが失敗した場合、使用可能なバックアップがあると、その構成を即時にシステムにリストアできます。
オフライン・システムからオンライン・システムにスナップショットをリストアするのは、スナップショットの作成が正常に完了した場合のみにしてください。
構成可能アクションがスナップショットに含まれる場合、スナップショットがシステムに復元されたときに構成可能アクションが壊れないように、スナップショットの作成後に、指定されたディレクトリにJavaクラスをコピーする必要があります。