| Oracle® Label Security管理者ガイド 12cリリース1 (12.1) E56367-02 |
|
 前 |
 次 |
Oracle Label Securityは、インバース・グループを使用して解放性を実装できます。
内容は次のとおりです。
インバース・グループは、情報の解放性を示します。
データの送信にマークを付けるために使用されます。インバース・グループをデータ・ラベルに追加すると、データの機密性は低下します。
たとえば、インバース・グループUKおよびUSを持つユーザーは、インバース・グループUKのみを持つデータにはアクセスできません。そのデータにUSを追加すると、インバース・グループUKおよびUSを持つすべてのユーザーがデータにアクセスできるようになります。
ユーザーに解放性を割り当てる場合は、ユーザーに通信チャネルのマークを付けます。データを通信チャネルで転送するには、データの解放性が、ユーザーに割り当てられた解放性を支配する必要があります。つまり、データ・レコードに割り当てられた解放性には、ユーザーに割り当てられたすべての解放性が含まれる必要があります。
解放性のメリットは、情報を広く送信できることです。マーケティング組織全体にデータを解放することは、データ・レコードにマーケティングの解放性を追加すること同様に単純になります。
Oracle Label Securityのグループは、データを所有またはデータにアクセスする組織を識別します。
スタンダード・グループと同様に、インバース・グループは情報の送信を制御します。ただし、インバース・グループとOracle Label Securityのスタンダード・グループの動作は異なります。デフォルトでは、Oracle Label Securityで作成されたすべてのポリシーではスタンダード・グループの動作を使用します。
解放性という用語は、インバース・グループによって提供される動作を表すために使用されることがあります。インバース・グループをデータ・ラベルに含めた場合、ユーザーにラベル区分認可を割り当てた場合と同様の影響があります。Oracle Label Securityは、インバース・グループを持つラベルが割り当てられたデータの行をユーザーが参照できるかどうかを評価する場合、ユーザーではなく、データに適切なグループ認可があるかどうかを確認します。データに、ユーザーに割り当てられたすべてのインバース・グループがあるかどうかを確認します。対照的にスタンダード・グループでは、Oracle Label Securityは、データ行に割り当てられた少なくとも1つのグループに対してユーザーが認可されているかどうかを確認します。
Eastern、Western、Southernなどの3つのスタンダード・グループを含むポリシーについて考えます。ユーザー1のラベル認可には、グループEasternおよびWesternが含まれます。ユーザー1に、ポリシー内の適切なレベルおよび区分認可が割り当てられていることを前提とした場合:
スタンダードOracle Label Securityグループでは、ユーザー1はグループEastern、グループWestern、またはEasternとWesternの両方を持つすべてのデータ・レコードを表示できます。
インバース・グループでは、ユーザー1は少なくとも、ユーザーに割り当てられたすべてのグループ、つまりEasternとWesternの両方を持つデータ・レコードのみ表示できます。ユーザー1は、Easternグループのみ、またはWesternグループのみを持つか、グループをまったく持たないレコードを表示できません。
表13-1に、ポリシーで使用されるグループのタイプと、ユーザー1がアクセスできるすべての行を示します。
表13-1 スタンダード・グループおよびインバース・グループへのアクセス
| 行ラベルに含まれるグループ | スタンダード・グループでのユーザー1のアクセス可否 | インバース・グループでのユーザー1のアクセス可否 |
|---|---|---|
なし |
Y |
N |
|
Y |
N |
|
Y |
N |
|
N |
N |
|
Y |
Y |
|
Y |
N |
|
Y |
N |
|
Y |
Y |
スタンダード・グループは、情報の所有権を示します。したがって、特定部門に関するすべてのデータのラベルには、その部門のグループを指定できます。データ・ラベルにグループを追加する場合、データはさらに機密性が強くなります。たとえば、グループを持たないユーザーはラベルにグループを持たないデータにアクセスできます。データ・ラベルにグループUSを追加すると、そのユーザーはもとのデータにはアクセスできなくなります。
関連項目:
インバース・グループは、特別な方法で実装され、Oracle Label Securityのニーズに合うように編成されます。
内容は次のとおりです。
Oracle Label Securityポリシーを作成する場合、ポリシーがインバース・グループ機能を使用して解放性を実装できるかどうかを指定できます。
これを指定するには、CREATE_POLICY文で、default_optionsの1つとしてINVERSE_GROUPを指定する必要があります。
INVERSE_GROUPオプションは、ポリシーの作成時にのみ設定できます。ポリシーが作成されると、このオプションは変更できません。
そのため、INVERSE_GROUPオプションはポリシー単位です。ポリシーが表またはスキーマに適用されている場合は、このオプションをオンまたはオフにできません。APPLY_TABLE_POLICYまたはAPPLY_SCHEMA_POLICYプロシージャを使用して、オプションをオンまたはオフにしようとするとエラーが発生します。
ポリシーからその他のポリシー強制オプションを削除できるのに対して、設定後にINVERSE_GROUPポリシー構成オプションを削除することはできません。オプションを削除するには、ポリシーを削除した後、再作成する必要があります。
各ユーザーに1つ以上のインバース・グループに対する認可を付与できます。
インバース・グループ・オプションを使用して作成されたOracle Label Securityポリシーは、スタンダード・グループと同じポリシー・ラベル・コンポーネントを使用します。
これらのコンポーネントには、レベル、区分およびグループが含まれています。
ただし、インバース・グループでは、ユーザーの読取りグループおよび書込みグループのデータ・アクセスでの意味およびロールは異なります。
次のポリシーの例を考えてみます。このポリシーには3つのレベル、1つの区分および3つのグループがあります。
表13-2 ポリシーの例
| ポリシー・コンポーネント | 短縮形 |
|---|---|
レベル |
- |
|
|
|
|
|
|
区分 |
- |
|
|
グループ |
- |
EASTERN |
EAS |
WESTERN |
WES |
SOUTHERN |
SOU |
2つのユーザー・ラベル(CON:FINおよびSE:FIN:EAS,WES)が割り当てられました。
2つのデータ・ラベル(CON:FIN:EASおよびSE:FIN:EAS)が割り当てられました。
使用されているグループのタイプによって、データへのユーザー・アクセスは次のように異なります。
ポリシーでスタンダード・グループが使用されている場合:
ラベルCON:FINを持つユーザーはCON:FIN:EASデータを読み取ることができません。
ラベルSE:FIN:EAS,WESを持つユーザーはSE:FIN:EASデータを読み取ることができます。
ポリシーにINVERSE GROUPSポリシー強制オプションが指定されている場合:
ラベルCON: FINを持つユーザーはCON:FIN:EASデータを読み取ることができます。
ラベルSE:FIN:EAS,WESを持つユーザーはSE:FIN:EASデータを読み取ることができません。
インバース・グループは、計算されるラベルの値に影響を与えます。
内容は次のとおりです。
管理者がユーザーにラベル認可を割り当てた後、Oracle Label Securityは自動的にいくつかのラベルを計算します。
インバース・グループでのこれらのラベルは次のとおりです。
表13-3 インバース・グループで計算されるセッション・ラベル
| 計算されるラベル | 定義 |
|---|---|
最大読取りラベル |
認可された区分とユーザー・ラベル(セッション・ラベル)で必要な最小限のインバース・グループを組み合せたユーザーの最大レベル。 |
最大書込みラベル |
ユーザーに書込みアクセス権が付与されている区分を組み合せたユーザーの最大レベル。任意のラベルで設定できる認可された最大限のインバース・グループが含まれます。ユーザーは、すべてのインバース・グループへの書込み認可を持っています。 |
最小書込みラベル |
ユーザーの最小レベル。 |
デフォルト読取りラベル |
ユーザーのデフォルトとして指定された区分とインバース・グループを組み合せたデフォルト・レベル。 |
デフォルト書込みラベル |
ユーザーに書込みアクセス権が付与されている区分とインバース・グループを含むデフォルト読取りラベルのサブセット。ただし、常に書込みアクセスに使用される最大書込みグループなので、インバース・グループ・コンポーネントによる影響は受けません。 |
デフォルト行ラベル |
挿入されるデータのデータ・ラベルのデフォルトとして指定されている、ユーザーの最小書込みラベルと最大書込みラベル間のコンポーネントの組合せ。インバース・グループは、デフォルト・ラベルのインバース・グループのスーパーセットで、最大書込みグループのサブセットである必要があります。 |
関連項目:
Oracle Label Securityでは、読取りおよび書込み操作を処理する様々なインバース・グループが提供されます。
表13-3の計算される値から、2つのグループのセットが読取りおよび書込みアクセスのラベル評価として識別されます。
表13-4 読取りアクセスと書込みアクセスの評価として識別されるグループのセット
| グループのセット | 意味 |
|---|---|
最大読取りグループ |
最大読取りグループは、最大読取りラベルに含まれるグループで、任意のユーザー・ラベルで設定できるインバース・グループの最小セットを識別します。 |
最大書込みグループ |
最大書込みグループは、最大書込みラベルに含まれるグループで、任意のユーザー・ラベルで設定できる最大認可インバース・グループを識別します。このグループ・セットは、書込みアクセス時およびセッション・ラベルの設定時に確認されます。 最大書込みグループは、最大読取りグループのスーパーセットです。 |
表13-5に示すとおり、スタンダード・グループではREAD ONLYおよびREAD/WRITE認可、インバース・グループではWRITE ONLYおよびREAD/WRITE認可を持つことができます。
表13-5 スタンダード・グループおよびインバース・グループに対する読取り/書込み認可
| グループのタイプ | 読取り専用 | 読取り/書込み | 書込み専用 |
|---|---|---|---|
スタンダード・グループ |
グループは、最大書込みレベルではなく、最大読取りレベルのみに表示されます。 |
グループは、最大読取りレベルと最大書込みレベルの両方に表示されます。 |
サポートされません。 |
インバース・グループ |
サポートされません。 |
グループは、最大読取りレベルと最大書込みレベルの両方に表示されます。 |
グループは、最大読取りレベルではなく、最大書込みレベルのみに表示されます。 |
最大読取りグループは、最大読取りラベルに含まれるグループのセットを識別しますが、この値は、設定できるインバース・グループの最小セットを表します。次に例を示します。
最大読取りグループ: S:C1:G1,G2
最大書込みグループ: S:C1:G1,G2,G3,G4,G5
この場合、ユーザーは、少なくとも最大読取りグループにリストされた2つのグループを含むデータを読み取ることができます。
スタンダード・グループでは、最大読取りレベルより最大書込みレベルに多くのグループが含まれることはありません。
Oracle Label Securityのスタンダード・グループは階層構造になっており、グループを親グループに対応付けることができます。
たとえば、EASTERN領域は2つの下位グループEAS_SALESおよびEAS_HRの親になることができます。
スタンダード・グループを持つポリシーでは、ユーザー・ラベルに親グループがある場合、そのユーザー・ラベルから下位グループのすべてのデータにアクセスできます。
インバース・グループでは、親子関係はサポートされていません。
インバース・グループが実装されている場合は、ユーザー権限の意味は従来どおりです。
ユーザーに特別な権限がない場合、読取りアルゴリズムと書込みアルゴリズムはスタンダード・グループとインバース・グループとで異なります。相違点については、「インバース・グループでの読取りアクセスのアルゴリズム」および「インバース・グループでの書込みアクセスのアルゴリズム」を参照してください。
COMPACCESS権限に与えるインバース・グループの影響については、「インバース・グループでのCOMPACCESS権限のアルゴリズム」を参照してください。
インバース・グループは、次のユーザー権限には影響を与えません。
PROFILE_ACCESS
WRITEUP
WRITEDOWN
WRITEACROSS
インバース・グループでの読取りアクセスのアルゴリズムの動作について理解する必要があります。
実際にINVERSE GROUPオプションを指定した表のデータを読み取るには、図13-1のように、ラベル評価プロセスは、レベル、グループ、区分の順に進行します。(現行のセッション・ラベルが、評価されているラベルであることに注意してください。)
ユーザーのレベルは、データのレベル以上であることが必要です。
ユーザーのラベルは、データに割り当てられたすべての区分を含んでいる必要があります。
データ・ラベルのグループは、ユーザー・ラベルのグループのスーパーセットである必要があります。
ユーザーのラベルがこれらのテストにパスすると、そのユーザーはデータにアクセスできます。パスしなかった場合、アクセスは拒否されます。データ・ラベルがNULLまたは無効の場合、ユーザーのアクセスは拒否されます。
注意:
次のフロー図は、ユーザーに特別な権限が付与されていない場合にのみ適用されます。
インバース・グループでの書込みアクセスのアルゴリズムについて理解する必要があります。
INVERSE GROUPオプションを指定した表にデータを書き込むには、図13-2のように、ラベル評価プロセスは、レベル、グループ、区分の順に進行します。(現行のセッション・ラベルが、評価されているラベルであることに注意してください。)
データ・ラベル内のレベルは、ユーザーの最小レベル以上で、かつユーザーのセッション・レベル以下であることが必要です。
次のいずれかの条件を満たしている必要があります。
データ・ラベルのグループは、ユーザー・ラベルのグループのスーパーセットである必要があります。
または
ユーザーに、ポリシーに対するREADアクセス権がある。
ユーザーの最大書込みグループは、データ・ラベル・グループのスーパーセットである必要があります。
ユーザー・ラベルには、データ・ラベルのすべての区分に対する書込みアクセス権が必要です。
データ・ラベルがNULLまたは無効の場合、ユーザーのアクセスは拒否されます。
注意:
次のフロー図は、ユーザーに特別な権限が付与されていない場合にのみ適用されます。
Oracleには、ユーザーがCOMPACCESS権限を持つ場合に、インバース・グループでの読取りおよび書込みアクセスのアルゴリズムが用意されています。
COMPACCESS権限により、ユーザーは行のグループから独立し、行の区分に基づいてデータにアクセスできます。
区分が存在し、かつ、その区分へのアクセスが認可されていれば、グループの認可はバイパスされます。
行に区分がない場合、アクセスはインバース・グループの認可により決定されます。
図13-3および図13-4に、COMPACCESS権限を持つユーザーの読取りアクセスおよび書込みアクセスのラベル評価プロセスを示します。データ・ラベルがNULLまたは無効の場合、ユーザーのアクセスは拒否されます。
(現行のセッション・ラベルが、評価されているラベルであることに注意してください。)
インバース・グループは、セッション・ラベルおよび行ラベルに影響を与えます。
内容は次のとおりです。
Oracleには、スタンダード・グループおよびインバース・グループでの初期のセッションおよび行ラベルが用意されています。
内容は次のとおりです。
インバース・グループを使用すると、セッション・ラベルを決定するOracle Label Securityプロシージャの動作に影響します。
SA_USER_ADMIN.SET_DEFAULT_LABELおよびSA_USER_ADMIN.SET_ROW_LABELプロシージャは、ユーザーの初期セッション・ラベルおよび行ラベルを、それぞれ指定された値に設定します。
ユーザーのデフォルト・セッション・ラベルは、SA_USER_ADMIN.SET_DEFAULT_LABELを使用して変更できます。
スタンダード・グループでは、現在のデフォルトの行ラベルが新しい書込みラベルによって支配されている間は、デフォルトのセッション・ラベルが認可リストの任意のグループを含むように設定できます。つまり、行ラベルには新しい書込みレベルと同じかそれより少ないスタンダード・グループがあります。
同じ規則が、SA_USER_ADMIN.SET_ROW_LABELにも適用されます。
スタンダード・グループまたはインバース・グループで現行のセッションまたは行ラベルを設定できます。
内容は次のとおりです。
インバース・グループを使用すると、SA_SESSION.SET_LABELおよびSA_SESSION.SET_ROW_LABELプロシージャの動作に影響します。
これらのプロシージャは、それぞれ、ユーザーの現行のセッション・ラベルおよび行ラベルの設定に使用できます。
スタンダード・グループでは、SA_SESSION.SET_LABELプロシージャは、ユーザーの認可グループ・リストにグループを含めるようにセッション・ラベルを設定できます。
認可グループのサブグループは、認可リストに暗黙的に含まれます。
セッション・ラベルを変更すると、そのセッションの行ラベルの値に影響する場合があることに注意してください。
SET_ROW_LABELプロシージャを使用すると、現行データベース・セッションの行ラベル値を設定できます。ラベルの区分とグループは、ユーザーが書込みアクセス権を持つセッション・ラベルの区分およびグループのサブセットであることが必要です。
インバース・グループでは、セッション・ラベルにグループを追加すると、ユーザーが少数のグループで機密データにアクセスする能力が低下します。
グループを削除すると、ユーザーはより多くの機密情報にアクセスできます。そのため、最大読取りグループがセッション・ラベルのグループのサブセットであり、最大書込みグループがセッション・ラベルのグループのスーパーセットである間は、ユーザーはセッション・ラベルにグループを追加できる必要があります。ユーザーがセッション・ラベルからグループを削除する場合にも、同じ制限が適用されます。
インバース・グループを使用する場合、認可グループのサブグループは存在しないことに注意してください。これは、インバース・グループを使用するポリシーで親グループが許可されないためです。
SET_ROW_LABELプロシージャを使用すると、現行データベース・セッションの行ラベル値を設定できます。ラベルの区分は、ユーザーが書込みアクセス権を持つセッション・ラベルの区分のサブセットであることが必要です。
セッション・グループのインバース・グループが行ラベルのインバース・グループのサブセットであり、最大書込みグループが行ラベルのインバース・グループのスーパーセットである間は、ユーザーは行ラベルにインバース・グループを追加できます。
次に例を示します。
ユーザーが、最大読取りグループとしてインバース・グループUKおよびUSを持ち、最大書込みグループとしてUK,US,CANを持つとします。この場合、そのユーザーはセッション・ラベルをC:ALPHA:UK,US,CANに設定できますが、C:ALPHA:UKには設定できません。
ユーザーが、最大読取りグループとしてインバース・グループUKを持ち、割り当てられた最大書込みグループとしてUK,CANを持つとします。この場合、そのユーザーはセッション・ラベルをC:ALPHA:UK,CANに設定できますが、C:ALPHAまたは C:ALPHA:UK,US,CANに変更することはできません。
特殊なラベル・セットを持つインバース・グループを実装する単純なポリシーを作成できます。
表13-6 インバース・グループの例1のラベル
| 名前 | 定義 |
|---|---|
最大読取りラベル |
|
最大書込みラベル |
|
デフォルト読取りラベル |
|
デフォルト書込みラベル |
|
デフォルト行ラベル |
|
次の値の導出元: |
- |
最大読取りグループ |
|
最大書込みグループ |
|
その結果、次のことがいえます。
ユーザー01は、ラベルSE:ALPHA:G1,G2を持つデータおよびラベルSE:ALPHA:G1,G2,G3を持つデータを更新できます。ただし、ユーザー1はラベルSE:ALPHA:G1を更新できません。
インバース・グループではなくスタンダード・グループが使用されていた場合、ユーザー1はラベルSE:ALPHA:G1を持つデータを更新できました。
ユーザー01が挿入するデータには、ラベルSE:ALPHA:G1,G2があります。(これはスタンダード・グループと同じです。)
ユーザー01がデフォルト・ラベルを変更せずに行ラベルをSE:ALPHA:G1,G2,G3に設定する場合は、書き込まれる新しい行のデータにユーザー1がSE:ALPHA:G1,G2,G3を挿入します。(スタンダード・グループでは、ユーザー1はデフォルト・ラベルに含まれるグループ以外のグループを設定することはできません。)
特殊なラベル・セットを持つインバース・グループを実装するより複雑なポリシーを作成できます。
表13-7 インバース・グループの例2のラベル
| 名前 | 定義 |
|---|---|
最大読取りラベル |
|
最大書込みラベル |
|
デフォルト読取りラベル |
|
デフォルト書込みラベル |
|
デフォルト行ラベル |
|
次の値の導出元: |
- |
最大読取りグループ |
(設定なし) |
最大書込みグループ |
|
その結果、次のことがいえます。
ユーザー01は、レベルC、区分ALPHAを持ち、グループG1、G2、G3の組合せを持つデータ、またはグループを持たないデータを更新できます。ユーザー01が書き込む新しいデータにラベルC:ALPHA:を挿入します。
G1,G2やG1,G3などの最大読取りグループを持つユーザー02は、ユーザー01が書き込んだデータを表示できません。これは、ユーザー01のデフォルト行ラベルにグループが含まれていないためです。
ユーザー01は、セッション・ラベルのインバース・グループが行ラベルを支配している間(つまり、ユーザー01のセッション・ラベルに、行ラベルに含まれるグループ以下の数のグループが含まれる場合)は、行ラベルにインバース・グループを設定できます。
これは、行ラベルはセッション・ラベルのグループ以上のグループを持つ必要があり、最大書込みグループ以下のグループを持つことができるためです。セッション・ラベルがG1の場合は、行ラベルのグループをG1から最大書込みグループ(G1,G2,G3)に設定できます。
ユーザー01がセッション・ラベルおよび行ラベルをC:ALPHA:G1:G2:G3に設定すると、ユーザー01のデータは、最大読取りグループに G1、G2、G3の任意の組合せを持つユーザーからアクセスできるようになります。
関連項目:
INVERSE_GROUPオプションは、ラベル付きデータに対するユーザーの読取りおよび書込みアクセスを決定するアルゴリズムに影響します。
内容は次のとおりです。
SA_SYSDBA.CREATE_POLICYプロシージャは、ポリシーを作成し、オプションのポリシー固有の列名を定義し、ポリシー・オプションを指定します。
インバース・グループのサポートによって、ユーザーはINVERSE_GROUP強制オプションも使用できます。次に例を示します。
PROCEDURE CREATE_POLICY ( HR IN VARCHAR2, SA_LABEL IN VARCHAR2 DEFAULT NULL, INVERSE_GROUP IN VARCHAR2 DEFAULT NULL);
SA_SYSDBA.ALTER_POLICYプロシージャは、INVERSE_GROUPオプションを除くポリシーのデフォルトの強制オプションを変更します。
ポリシーがインバース・グループ用に構成されると、変更することはできません。OLSポリシーに関連付けられている列名も変更できます。
SA_USER_ADMIN.ADD_GROUPSプロシージャでは、ユーザーにグループを追加し、そのグループの書込みおよび読取りの両方が認可されるかどうかを示します。
認可されるアクセスのタイプは、access_modeパラメータによって決定されます。
表13-8 access_modeパラメータの値により認可されるアクセス
| access_modeパラメータ | 意味 |
|---|---|
|
書込みが認可されることを示します。(つまり、グループは最大読取りグループと最大書込みグループの両方に含まれます。) |
|
グループが最大読取りグループではなく、最大書込みグループに含まれることを示します。 |
|
|
|
指定したグループがデフォルト・グループ内にあることが必要かどうか(
access_modeが access_modeが |
|
ただし、 |
行でin_defがYの場合、in_rowもYに設定する必要があります(ただし、その逆の場合は必要ありません)。
これはin_rowフィールドの場合も同様です。
SA_USER_ADMIN.ALTER_GROUPSプロシージャは、各グループについて、書込みアクセス、デフォルトのラベル・インジケータおよび行ラベル・インジケータを変更します。
インバース・グループの動作は、ADD_GROUPSの場合と同じです。
関連項目:
SA_USER_ADMIN.SET_GROUPS プロシージャは、ユーザーにグループを割り当てて、そのユーザーのセッション・ラベルと行ラベルのデフォルト値を識別します。
次のように、インバース・グループの処理はスタンダード・グループとは異なります。
表13-9 ユーザーに対するグループの割当て
| グループ・セット名 | 意味 |
|---|---|
|
最大読取りグループとなるグループのカンマ区切りのリストです。 |
|
最大書込みグループとなるグループのカンマ区切りのリストです。これは
|
def_groups |
デフォルトのグループを指定します。少なくとも
|
|
行グループを指定します。少なくとも インバース・グループの場合は、すべての |
関連項目:
SA_USER_ADMIN.SET_USER_LABELSプロシージャは、個々のコンポーネントではなくラベル・セットを使用して、ユーザーのレベル、区分およびグループを設定します。
次のように、インバース・グループの処理はスタンダード・グループとは異なります。
表13-10 インバース・グループのラベル定義
| 名前 | 定義 |
|---|---|
|
ユーザーが認可される最大読取りラベルの初期化に使用するラベル文字列を指定します。ユーザーの最大レベル、読取りアクセスが認可される区分、および(インバース・グループの場合)任意のラベルで設定できるグループの最小セットで構成されます(最大読取りグループ)。 |
|
ユーザーが認可される最大書込みラベルの初期化に使用するラベル文字列を指定します。ユーザーの最大レベル、書込みアクセスが認可される区分、および(インバース・グループの場合)任意のラベルで設定できる最大認可グループで構成されます(最大書込みグループ)。この場合のすべてのインバース・グループは、書込み認可も持っています。 |
|
レベル、区分、グループなど、ユーザーのセッション・ラベルの初期化に使用するラベル文字列( |
|
プログラムの行ラベルの初期化に使用するラベル文字列を指定します。レベル、区分およびグループ、つまり |
関連項目:
SA_USER_ADMIN.SET_DEFAULT_LABELプロシージャは、ユーザーの初期セッション・ラベルを設定します。
この場合も、セッション・ラベルのインバース・グループ・コンポーネントの設定で説明したすべての規則が適用されます(「セッション・ラベルおよびインバース・グループ」を参照)。
関連項目:
SA_USER_ADMIN.SET_ROW_LABELプロシージャは、ユーザーの初期行ラベルを設定します。
row_labelを指定する場合、インバース・グループ・コンポーネントは、少なくともdef_labelのすべてのインバース・グループを含み、最大書込みグループのサブセットである必要があります。
SA_COMPONETS.CREATE_GROUPプロシージャは、グループを作成し、その短縮名と詳細名、およびオプションで親グループを含めます。
インバース・グループでは、parent_nameフィールドは常にNULLである必要があります。このフィールドに値を指定すると、グループ階層が無効であることを示すエラー・メッセージが表示されます。
関連項目:
SA_COMPONENTS.ALTER_GROUP_PARENTファンクションは、インバース・グループ・オプションを指定したポリシーには無効です。
このファンクションをコールすると、エラー・メッセージが表示されます。
関連項目:
SA_SESION.SET_LABELプロシージャは、現行データベース・セッションのラベルを設定します。
現行ユーザーの場合、このプロシージャは、SA_USER_ADMIN.SET_USER_LABELファンクションの場合と同様に、セッション・ラベルを設定する場合と同じ規則に従います。
SET_ROW_LABELプロシージャは、現行データベース・セッションのデフォルトの行ラベル値を設定します。
現行ユーザーの場合、このプロシージャは、sa_user_admin.set_row_labelファンクションの場合と同様に、行ラベルを設定する場合と同じ規則に従います。
LEAST_UBOUND (LUBD)ファンクションは、label1およびlabel2の最小の上限である文字列ラベルを戻します。
スタンダード・グループでは、最小の上限は、最上位レベル、ラベル内の区分の共用部分およびラベル内のグループの共用部分です。
インバース・グループでは、最小の上限は、最上位レベル、ラベル内の区分の共用部分およびラベル内のインバース・グループの共通部分です。
たとえば、インバース・グループでは、HIGHLY_SENSITIVE:ALPHA:G1,G2およびSENSITIVE:BETA:G1の最小の上限は、HIGHLY_SENSITIVE:ALPHA,BETA:G1です。
GREATEST_LBOUND (GLBD)ファンクションは、2つの異なるラベルが指定された場合、操作に含めることができる最下位のデータのラベルを決定します。
このファンクションは、label1およびlabel2の最大の下限である文字列ラベルを戻します。
スタンダード・グループでは、最大の下限は、最下位レベルであり、ラベルの区分とラベルのグループの共通部分です。
インバース・グループでは、最大の下限は、最下位レベルであり、ラベルの区分の共通部分とラベルのインバース・グループの共用部分です。
たとえば、インバース・グループでは、HIGHLY_SENSITIVE:ALPHA:G1,G3およびSENSITIVE::G1の最大の下限は、SENSITIVE:G1,G3です
関連項目
Oracleのラベルおよびインバース・グループに対して支配規則がどのように機能するかを理解する必要があります。
スタンダード・グループを使用したOracle Label Securityの支配規則は次のとおりです。
次の場合、ユーザー・ラベルがデータ・ラベルを支配します。
ユーザー・レベルがデータ・レベル以上である。
ユーザー区分がデータ区分のスーパーセットである。
ユーザー・グループとデータ・グループに共通部分がある(ユーザー・グループに、データ・グループの1つ以上のグループがある)。
インバース・グループを使用したOracle Label Securityの支配規則は次のとおりです。
次の場合、ユーザー・ラベルがデータ・ラベルを支配します。
ユーザー・レベルがデータ・レベル以上である。
ユーザー区分がデータ区分のスーパーセットである。
データ・グループがユーザー・グループのスーパーセットである。
関連項目:
