ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Entitlements Server管理者ガイド
11
g
リリース2 (11.1.2.2)
B71695-05
索引
次
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
1
Oracle Entitlements Serverの概要
1.1
アクセス制御について
1.2
Oracle Entitlements Serverの概要
1.2.1
Oracle Entitlements Serverリリースの理解
1.2.2
認可ポリシー・マネージャ・コンソールの使用
1.2.3
Oracle Entitlements Server 11gR2の機能
1.3
Oracle Entitlements Serverのアーキテクチャの概要
1.3.1
ポリシー管理ポイント
1.3.2
ポリシー決定ポイントとポリシー実行ポイント
1.3.2.1
PDPとしてのセキュリティ・モジュール
1.3.2.2
PDP/PEPの組合せとしてのセキュリティ・モジュール
1.3.2.3
セキュリティ・モジュールのタイプの理解
1.3.3
ポリシー情報ポイント
1.4
Oracle Entitlements Serverの認可ポリシーの処理方法
1.5
サポートされているアクセス制御の標準
1.5.1
ロールベースのアクセス制御(RBAC)
1.5.2
属性ベースのアクセス制御(ABAC)
1.5.3
Java権限
1.5.4
XACML
1.5.5
PEP API
2
ポリシー・モデルの理解
2.1
Oracle Entitlements Serverのポリシーの理解
2.1.1
認可ポリシーの理解
2.1.2
ロールの割当てとロール・マッピング・ポリシーの理解
2.2
Oracle Entitlements Serverのポリシーの評価方法
2.3
ポリシー・オブジェクトの用語集
2.4
ポリシー・ユースケースの実装
2.4.1
ソフトウェア・コンポーネントの保護
2.4.2
ビジネス・オブジェクトの保護
3
スタート・ガイド
3.1
始める前に
3.2
グラフィカル・インタフェースの理解
3.2.1
Oracle Entitlements Server管理者の割当て
3.2.2
アイデンティティ・ストアの使用
3.2.3
ポリシー・ストアへのアクセス
3.2.4
Oracle Platform Security Servicesアプリケーション権限の表示
3.3
管理コンソールへのアクセス
3.3.1
管理コンソールへのサイン・イン
3.3.2
管理コンソールのサイン・アウト
3.4
管理コンソール内の移動
3.4.1
主なタブの理解
3.4.1.1
「認可管理」タブ
3.4.1.2
「システム構成」タブ
3.4.2
ナビゲーション・パネルの使用
3.4.3
「ホーム」タブの使用
3.4.4
ヘルプへのアクセス
3.5
Oracle Entitlements Server Basicからのアップグレード
3.5.1
基本ポリシー認可から拡張ポリシー認可への変更
3.6
Oracle Entitlements Serverの例へのアクセス
4
ポリシーとポリシー・オブジェクトの管理
4.1
ポリシーとポリシー・オブジェクトの管理の概要
4.2
認可ポリシーとそのコンポーネントの定義
4.3
認可ポリシーへの詳細な要素の追加
4.4
認可ポリシーの実装手順
4.5
アプリケーションのポリシー・オブジェクトの管理
4.5.1
アプリケーションの管理
4.5.1.1
アプリケーションの作成
4.5.1.2
アプリケーションの変更
4.5.1.3
アプリケーションの削除
4.5.2
リソース・タイプの管理
4.5.2.1
リソース・タイプの作成
4.5.2.2
リソース・タイプの変更
4.5.2.3
リソース・タイプの削除
4.5.3
リソースの管理
4.5.3.1
リソースの作成
4.5.3.2
リソースの変更
4.5.3.3
リソースの削除
4.5.4
資格の管理
4.5.4.1
資格の作成
4.5.4.2
資格の変更
4.5.4.3
資格の削除
4.5.5
認可ポリシーの管理
4.5.5.1
認可ポリシーの作成
4.5.5.2
認可ポリシーの変更
4.5.5.3
認可ポリシーの削除
4.5.6
ロール・カタログでのアプリケーション・ロールの管理
4.5.6.1
アプリケーション・ロールの作成
4.5.6.2
アプリケーション・ロールの変更
4.5.6.3
アプリケーション・ロールへの外部ロールのマッピング
4.5.6.4
外部ユーザーのアプリケーション・ロールへのマッピング
4.5.6.5
アプリケーション・ロールの削除または外部ロール・マッピングの削除
4.5.6.6
外部ユーザー・マッピングの削除
4.5.7
ロール・マッピング・ポリシーの管理
4.5.7.1
ロール・マッピング・ポリシーの作成
4.5.7.2
ロール・マッピング・ポリシーの変更
4.5.7.3
ロール・マッピング・ポリシーの削除
4.5.8
ロール・カテゴリの管理
4.5.9
属性および関数を拡張として管理
4.5.9.1
属性の作成
4.5.9.2
属性の変更
4.5.9.3
属性の削除
4.5.9.4
関数の作成
4.5.9.5
関数の変更
4.5.9.6
関数の削除
4.6
条件ビルダーの使用
4.6.1
複雑な式の作成
4.6.2
関数間でのパラメータの受渡し
5
セキュリティ・オブジェクトの問合せ
5.1
管理コンソールを使用した検索
5.2
簡易検索を使用したオブジェクトの検索
5.3
拡張検索を使用したオブジェクトの検索
5.3.1
外部ロールの検索
5.3.2
アプリケーションの検索
5.3.3
リソース・タイプの検索
5.3.4
アプリケーション・ロールの検索
5.3.5
ロール・マッピング・ポリシーの検索
5.3.6
リソースの検索
5.3.7
資格の検索
5.3.8
認可ポリシーの検索
5.3.9
属性の検索
5.3.10
関数の検索
5.3.11
ユーザーの検索
5.4
オブジェクト名の大/小文字の区別の理解
6
ポリシー配布の管理
6.1
配布モードの定義
6.1.1
制御された配布
6.1.2
制御されない配布
6.2
ポリシー配布の理解
6.2.1
集中ポリシー配布コンポーネントの使用
6.2.2
ローカル・ポリシー配布コンポーネントの使用
6.3
ポリシーの配布
6.3.1
管理コンソールを使用したポリシーの配布
6.4
デフォルトまたはサード・パーティのデジタル証明書の使用
6.4.1
サード・パーティの証明書が管理サーバーで使用される場合のOracle Entitlements Serverセキュリティ・モジュール(クライアント)の構成
6.4.1.1
サード・パーティのデジタル証明書を管理側で使用する場合のWebLogicセキュリティ・モジュールの構成
6.4.1.2
サード・パーティのデジタル証明書を管理側で使用する場合のWebサービスまたはJavaセキュリティ・モジュールの構成
6.4.1.3
サード・パーティのデジタル証明書を管理側で使用する場合のIBM WebSphere Application Serverセキュリティ・モジュールの構成
6.4.2
サード・パーティの証明書がIBM Websphere管理側を用いてセキュリティ・モジュールで使用される場合の署名者の追加
6.4.3
サード・パーティの証明書がWebLogic管理側を用いてセキュリティ・モジュールで使用される場合の署名者の追加
6.4.4
WebLogic Serverセキュリティ・モジュールによるサード・パーティ証明書の使用
6.4.5
WebサービスまたはJavaのセキュリティ・モジュールによるサード・パーティ証明書の使用
6.4.6
WebSphere Application Serverセキュリティ・モジュールによるサード・パーティ証明書の使用
6.4.7
TomcatまたはJBossのセキュリティ・モジュールによるサード・パーティ証明書の使用
6.5
ポリシー配布のデバッグ
7
ポリシー決定ポイントのデプロイ
7.1
PDPデプロイメント・モデルの理解
7.1.1
PDPのローカルな埋込み
7.1.2
PDPのリモートへの配置
7.2
セキュリティ・モジュールのプロキシ・モードの使用
7.3
XACMLゲートウェイの使用
8
セキュリティ・モジュールの構成の管理
8.1
始める前に
8.2
SMConfig UIの起動
8.3
セキュリティ・モジュールの構成の変更
8.4
セキュリティ・モジュールのインスタンス化後の構成
8.4.1
Javaセキュリティ・モジュールの構成
8.4.2
RMIセキュリティ・モジュールの構成
8.4.3
Webサービス・セキュリティ・モジュールの構成
8.4.4
WebLogic Serverセキュリティ・モジュールの構成
8.4.5
SharePoint Server (MOSS)セキュリティ・モジュールの構成
8.4.6
.NETセキュリティ・モジュールの構成
8.4.7
WebSphere、TomcatおよびJBossのセキュリティ・モジュールの構成
8.4.8
Oracle Service Busセキュリティ・モジュールの構成
8.5
RMIまたはWebサービスのPDPプロキシ・クライアントの構成
9
環境固有のリソースの保護
9.1
セキュリティ・モジュール・タイプの選択
9.2
Microsoft Office SharePoint Serverのリソースの保護
9.2.1
SharePointリソースの保護
9.2.1.1
WebサイトとWebページの保護
9.2.1.2
Webパーツの保護
9.2.1.3
リストの保護
9.2.1.4
Webページ内の機密コンテンツの保護
9.2.2
MOSSとWebサービスのセキュリティ・モジュールのインスタンス化
9.2.3
MOSSセキュリティ・モジュールの統合と統合解除
9.2.4
SharePointセキュリティの構成
9.3
Oracle Service Busリソースの保護
9.3.1
OSBリソース・オブジェクトの調査
9.3.2
セキュアなOSBリソースのOracle Entitlements Serverへのマッピング
9.3.3
非セキュアなOSBリソースのOracle Entitlements Serverへのマッピング
9.3.4
WebLogic Serverプロバイダの有効化
9.4
WebLogic Serverリソースの保護
9.4.1
WebLogic Serverとの統合
9.4.2
WebLogic Serverリソースの検出
9.4.2.1
検出モードの有効化
9.4.2.2
検出したリソースのロード
9.4.3
WebLogic Serverリソースの変換
9.4.4
WebLogic Serverリソースのポリシー・オブジェクトへのマッピング
9.4.4.1
Enterprise Java Beanリソース
9.4.4.2
Java Naming and Directory Interfaceリソース
9.4.4.3
URLリソース
9.4.4.4
JDBCリソース
9.4.4.5
JMSリソース
9.4.4.6
Webサービス・リソース
9.4.4.7
サーバー・リソース
9.5
Oracle WebCenter Contentのリソースの保護
9.5.1
システム要件および動作保証の確認
9.5.2
Oracle WebCenter ContentディレクトリおよびOracle Entitlements Serverディレクトリの用語
9.5.3
統合ロードマップ
9.5.4
Oracle Entitlements Serverのインストールと構成
9.5.5
Oracle WebCenter Contentのベース・インストール
9.5.5.1
Oracle WebCenter Contentのインストール
9.5.5.2
Oracle WebCenter Contentスキーマの作成
9.5.5.3
WebCenterドメインの作成
9.5.5.4
WebCenterドメインでのサーバーの起動
9.5.6
WebCenter Contentの構成
9.5.6.1
WebCenterコンソールへのアクセス
9.5.6.2
WebLogicコンソールでのユーザーの作成(base_domain)
9.5.6.3
WebLogicコンソールでのユーザーの作成(
webcenter_domain
)
9.5.6.4
WebCenter ContentでのConfiguration Managerによるメタデータ値の追加
9.5.6.5
ドキュメントのチェックイン
9.5.7
WebCenter ContentとOracle Entitlements Serverの統合
9.5.7.1
base_domainからのキーのエクスポート
9.5.7.2
Oracle WebCenter Contentドメインでのデータソースの作成
9.5.7.3
Oracle WebCenter Contentドメインのセキュリティ・ストアの再関連付け
9.5.7.4
Oracle WebCenter Contentドメインのjps-config.xmlの更新
9.5.7.5
config.cfgファイルの更新
9.5.7.6
WebCenter Content Version 11.1.1.7.0以前のJREへの権限の追加
9.5.7.7
OES-WebCenter Contentコネクタのインストール
9.5.7.8
統合時のOracle Entitlements Serverの構成
9.5.7.9
UCMアプリケーションの配布
9.5.7.10
Oracle WebCenter Contentの動作確認
9.5.7.11
トラブルシューティングのヒント
10
システム構成の管理
10.1
管理者の委任
10.2
セキュリティ・モジュール定義の構成
10.2.1
セキュリティ・モジュール定義の作成
10.2.2
セキュリティ・モジュールへのアプリケーションのバインド
10.2.3
セキュリティ・モジュールからのアプリケーションのバインド解除
10.2.4
セキュリティ・モジュール定義の削除
10.3
Identity Directory Serviceプロファイルの構成
10.3.1
Identity Directory Serviceプロファイルの作成
10.3.2
Identity Directory Serviceプロファイルへのアプリケーションのバインド
10.3.3
Identity Directory Serviceプロファイルからのアプリケーションのアンバインド
10.3.4
Identity Directory Serviceプロファイルの削除
11
管理者ロールの委任
11.1
委任管理者について
11.2
範囲と粒度を使用した委任
11.3
アプリケーション管理の委任
11.3.1
アプリケーションへの委任管理者の追加
11.3.2
アプリケーションの委任管理者の変更または削除
11.4
委任するポリシー・ドメインの使用
11.4.1
ポリシー・ドメインの作成
11.4.2
ポリシー・ドメインの変更
11.4.3
ポリシー・ドメインの削除
11.5
ポリシー・ドメイン管理の委任
11.5.1
ポリシー・ドメインへの委任管理者の追加
11.5.2
ポリシー・ドメインの委任管理者の変更または削除
11.6
管理者ロールを使用したシステム管理者の管理
11.6.1
新規管理者ロールの作成
11.6.2
管理者ロールへの権限の割当て
11.6.3
管理者ロール・メンバーシップの変更
11.6.4
管理者ロールの削除
12
管理コンソールのカスタマイズ
12.1
Authorization Policy Managerのカスタマイズ
12.2
ヘッダー、フッターおよびロゴのカスタマイズ
12.3
色のスキームのカスタマイズ
12.4
ログイン・ページのカスタマイズ
13
管理タスク
13.1
テスト環境から本番環境への移行(T2P)
13.2
ポリシー・シミュレータの使用
13.2.1
ポリシー・シミュレーションの理解
13.2.2
ポリシー・シミュレーション・モードの選択
13.2.3
ポリシー・シミュレータの実行
13.2.3.1
ポリシー・シミュレータの簡易モードでの実行
13.2.3.2
ポリシー・シミュレータの拡張モードでの実行
13.3
FIPS準拠セキュリティ・プロバイダの使用
13.3.1
JCEプロバイダのインストール
13.3.2
JCEの構成
13.4
監査タスクの管理
13.4.1
Oracle Entitlements Serverイベントの監査
13.4.2
監査のためのOracle Entitlements Server管理サーバーの構成
13.4.3
監査のためのOracle Entitlements Serverセキュリティ・モジュールの構成
13.4.3.1
WebLogic Serverセキュリティ・モジュールの構成
13.4.3.2
他のセキュリティ・モジュールの構成
13.4.4
その他の監査情報
13.5
ポリシーの移行
13.5.1
XMLからLDAPへの移行
13.5.2
LDAPからXMLへの移行
13.5.3
XMLからデータベースへの移行
13.5.4
データベースからXMLへの移行
13.6
キャッシュの構成
13.6.1
決定キャッシングの構成
13.6.2
属性キャッシングの構成
13.7
ロギング
13.8
デバッグ
13.8.1
パラメータ定義によるデバッグの有効化
13.8.1.1
デバッグのためのロギングの構成
13.8.1.2
認可ポリシーをデバッグするログの検索
13.8.2
メソッドを使用するデバッグの有効化
13.8.3
ポリシー配布のデバッグ
14
障害時リカバリ・ソリューションの構成
14.1
マルチサイト・デプロイメントの概要
14.2
マルチサイト・デプロイメント・トポロジ
14.3
タスク・ロードマップ
14.4
前提条件
14.5
Oracle Entitlements Serverの障害時リカバリの構成
14.5.1
プライマリ・サーバーの設定
14.5.2
セカンダリ・サーバー(重複)の設定
14.5.3
ログ転送のテスト
14.5.4
Oracle Data Guard Brokerの構成
14.5.5
フェイルオーバーおよびスイッチオーバーのテスト
14.5.6
Oracle ASMの仮想デバイスの構成
14.5.7
Oracle Restartの構成
14.5.8
スタンドアロン・サーバー用のOracle Grid Infrastructureのインストール
14.5.9
OPSSスキーマのインストール
14.5.10
プライマリ管理コンソールのインストール
14.5.11
セカンダリ管理コンソールのインストール
14.5.12
セキュリティ・モジュールの構成
15
パフォーマンスおよびモニタリング・コンポーネントのチューニング
15.1
Oracle Entitlements Serverデプロイメントにおける重要な概念およびコンポーネントの理解
15.2
Oracle Entitlements Serverのパフォーマンス計画
15.2.1
パフォーマンス目標および要件の定義
15.2.1.1
パフォーマンスの制約の理解
15.2.1.2
運用要件の定義
15.2.1.3
パフォーマンス目標の明確化
15.2.1.4
パフォーマンス評価の実施
15.2.2
アプリケーションの認可の設計
15.2.2.1
ポリシーの設計
15.2.2.2
アプリケーション認可の設計のベスト・プラクティス
15.3
Oracle Entitlements Serverのパフォーマンスのチューニングに関する考慮事項
15.3.1
OESポリシー・ストアのチューニング
15.3.1.1
Oracle Databaseのシステム・パラメータのチューニング
15.3.1.2
Oracle DatabaseのREDOログおよびUNDO表領域のチューニング
15.3.1.3
表領域のチューニング
15.3.1.4
スキーマ統計の収集
15.3.1.5
EclipseLinkチューニング
15.3.2
OES管理サーバーのチューニング
15.3.2.1
WLSTチューニング
15.3.2.2
OES管理サーバーのチューニング
15.3.3
OESセキュリティ・モジュールのチューニング
15.3.3.1
OESセキュリティ・モジュールのメモリーのサイズ設定
15.3.3.2
WebLogicセキュリティ・モジュール
15.3.3.3
Javaセキュリティ・モジュール
15.3.3.4
Webサービス・セキュリティ・モジュール
15.3.3.5
Tomcatセキュリティ・モジュール
15.3.4
OES配布サービスのチューニング
15.3.5
OES属性リトリーバのチューニング
15.3.6
OESキャッシュのチューニング
15.3.7
リソースに負荷が集中する操作のチューニング
15.3.8
ロギングの有効化
15.3.8.1
パフォーマンス測定のロギングの有効化
15.3.8.2
スナップショット生成測定のロギングの有効化
15.3.8.3
移行時のパフォーマンス測定のロギングの有効化
A
インストール・パラメータおよび構成パラメータ
A.1
ポリシー配布構成
A.1.1
ポリシー配布コンポーネントのサーバー構成
A.1.2
ポリシー配布コンポーネントのクライアント構成
A.1.2.1
ポリシー配布コンポーネントのクライアントJava Standard Edition構成(制御プッシュ・モード)
A.1.2.2
ポリシー配布コンポーネントのクライアントJava Enterprise Editionコンテナ構成(制御プッシュ・モード)
A.1.2.3
ポリシー配布のクライアント構成(制御プル・モード)
A.1.2.4
ポリシー配布のクライアント構成(非制御モード)
A.1.2.5
ポリシー配布のクライアント構成(混合モード)
A.2
セキュリティ・モジュール構成
A.2.1
Javaセキュリティ・モジュール
A.2.2
Webサービス・セキュリティ・モジュール
A.2.3
WebLogic Server上のWebサービス・セキュリティ・モジュール
A.2.4
RMIセキュリティ・モジュール
A.2.5
WebLogic Serverセキュリティ・モジュール
A.2.6
WebLogic Serverセキュリティ・モジュールの検出モード
A.3
PDPプロキシ・クライアントの構成
A.3.1
Webサービス・セキュリティ・モジュールのPDPプロキシ・クライアント
A.3.2
RMIセキュリティ・モジュールのPDPプロキシ・クライアント
A.4
ポリシー・ストア・サービス構成
B
属性リトリーバの構成
B.1
事前定義済属性リトリーバの理解
B.2
SMConfig UIを使用する属性リトリーバの構成
B.2.1
前提条件
B.2.2
jps-config.xmlファイルを編集するためのSMConfig UIの実行
B.2.3
事前定義済属性リトリーバの追加、編集または削除
B.2.4
属性リトリーバの構成の追加、編集または削除
B.3
事前定義済属性リトリーバの手動構成
B.3.1
ロードマップ
B.3.2
個々の属性値の構成
B.3.3
PIPサービス・プロバイダの宣言
B.3.4
リポジトリ接続の構成
B.3.4.1
LDAPリポジトリ属性リトリーバ・パラメータの構成
B.3.4.2
データベース・リポジトリ属性リトリーバ・パラメータの構成
B.3.4.3
PIP接続資格証明の設定
B.3.4.4
データベース・パスワードの更新
B.3.5
jpsContextsセクションでの事前定義済属性リトリーバ参照の宣言
B.3.6
キャッシュおよびフェイルオーバーの構成
B.3.7
jps-config.xmlファイルのサンプル
B.4
カスタム属性リトリーバの手動構成
B.4.1
jps-config.xml構成ファイルの構成
B.4.2
カスタムPIPインタフェースの実装
C
WLSTによる拡張ポリシーの管理
C.1
Oracle Entitlements ServerでのWebLogic Scripting Toolの使用
C.2
WLSTコマンドの使用
C.2.1
createApplicationPolicy
C.2.2
updateResourceType
C.2.3
updateResource
C.2.4
createPolicy
C.2.5
updatePolicy
C.2.6
deletePolicy
C.2.7
listPolicies
C.2.8
createAttribute
C.2.9
updateAttribute
C.2.10
deleteAttribute
C.2.11
listAttributes
C.2.12
createFunction
C.2.13
updateFunction
C.2.14
deleteFunction
C.2.15
listFunctions
C.2.16
getFunction
C.2.17
listAppRoles
C.2.18
getResourceType
C.2.19
getResource
C.3
スクリプトを使用したポリシーの作成
索引