Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
前 |
次 |
セキュア・ロギングをアクティブ化してデフォルトのフィルタ・リストを拡張すると、ログ・ファイルの機密情報をマスキングできます。
フィルタ・リストに属性を追加する場合は、表示名および属性名をディレクトリ・サーバーに含める必要があります。次の手順では、このタスクの実行方法を説明します。この例では、ユーザーの自宅電話番号(表示名Home Phone、属性名homePhone
)をフィルタ処理します。実際には、任意の属性をフィルタ処理できます。
ノート:
FILTER_LISTに値を追加するごとに、セキュア・ロギングの使用にかかるランタイム・コストが増加します。
ランタイム・コストを抑えるために、FILTER_LISTの使用を最適化することをお薦めします。たとえば、ParamNameの2つのバリエーション(User Password
とuserPassword
)を追加するかわりに、1つのみを使用できます。ParamNameとしてPassword
を使用すると、User Password
、 userPassword
、およびPassword
で終わるその他の単語がマスキングされます。また、FILTER_LISTにHome Phone
とhomePhone
の両方を含めるかわりに、Phone
のみを使用できます。
関連項目:
ログ構成ファイルをテキスト・エディタで開きます。
Webgate_install_dir\identity|access\oblix\config\oblog_config_wg.xml
oblog_config_wg.xmlで、次の操作を行います。
セキュア・ロギングがアクティブであることを確認します。次に例を示します。
<SimpleList> <NameValPair ParamName="SECURE_LOGGING" Value="On"></NameValPair> </SimpleList>
ファイルの最後にあるFILTER_LIST
を探します。次に例を示します。
<ValNameList xmlns="http://www.oblix.com" ListName="FILTER_LIST"> <NameValPair ParamName="password" Value="40" /> <NameValPair ParamName="Password" Value="40" /> <NameValPair ParamName="response" Value="40" /> <NameValPair ParamName="Response" Value="40" /> </ValNameList>
マスキングする表示名とマスキングの長さの値を追加し、属性とマスキングの長さの値を追加します。次に例を示します。
<NameValPair ParamName="Home Phone" Value="300" /> <NameValPair ParamName="homePhone" Value="300" />
ノート:
テスト用に、LOG_THRESHOLD_LEVEL
およびLOG_SECURITY_THRESHOLD_LEVEL
をTRACE
に設定します。ステップ6aを参照してください。
LOG_THRESHOLD_LEVEL
とLOG_SECURITY_THRESHOLD_LEVEL
が同じレベルである、または互いに一貫性があることを確認します(表9-4を参照してください)。次に例を示します。
<SimpleList> <NameValPair ParamName="LOG_THRESHOLD_LEVEL" Value="LOGLEVEL_WARNING" /> </SimpleList> ... <SimpleList> <NameValPair ParamName="LOG_SECURITY_THRESHOLD_LEVEL" Value="LOGLEVEL_ WARNING" /> </SimpleList>
oblog_config_wg.xmlファイルを保存します。
ユーザー・パスワードのフィルタ処理: 次のステップを実行し、「Webゲートのフィルタ・リストのパラメータ」を参照してください。
oblog_config_wg.xmlのフィルタ・リストに表示名User Passwordおよび対応する属性を追加し、それぞれのマスキングの長さを設定します。次に例を示します。
<ValNameList xmlns="http://www.oblix.com" ListName="FILTER_LIST"> ... <NameValPair ParamName="User Password" Value="40" /> <NameValPair ParamName="userPassword" Value="40" /> </ValNameList>
次の手順で、セキュア・ロギングおよび機密情報のフィルタリングをテストします。
oblog_config_wg.xmlファイルで、LOG_THRESHOLD_LEVEL
およびLOG_SECURITY_THRESHOLD_LEVEL
をTRACE
に設定します。
<NameValPair ParamName="LOG_THRESHOLD_LEVEL" Value="LOGLEVEL_TRACE" /> ... <NameValPair ParamName="LOG_SECURITY_THRESHOLD_LEVEL" Value="LOGLEVEL_ TRACE" />
セキュア・ロギングを構成したコンポーネントに関係するタスクを実行します。次に例を示します。
リソースへのアクセス
ユーザーのプロファイルで属性の値を表示または変更します。フィルタ処理する属性がhomePhone
の場合はHome Phone
です。
次のoblogをチェックし、フィルタ処理した属性値が***********のように文字列でマスキングされていることを確認します。
Webgate_install_dir/access/oblix/log/oblog.log
oblog_config_wg.xmlファイルでLOG_THRESHOLD_LEVEL
およびLOG_SECURITY_THRESHOLD_LEVEL
を企業の目的に合ったレベルにリセットします。
必要に応じて、oblog_config_wg.xmlファイルでフィルタ処理する属性のマスキングの長さを調整します。次に例を示します。
<NameValPair ParamName="Home Phone" Value="340" /> <NameValPair ParamName="homePhone" Value="340"/>
デプロイ内の、1つ以上のマスキング対象属性を含むコンポーネントごとに、ステップ1から6を繰り返します。