プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護
12
c
(12.2.1.1.0)
E77301-01
次
目次
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
このガイドで説明する新機能
リリース12.2.1.1.0でのこのドキュメントの変更点
リリース12.2.1.0.0の新機能
第I部 セキュリティの概念の理解
1
Oracle Platform Security Servicesの概要
1.1
OPSSとは
1.1.1
OPSSの主な機能
1.1.2
サポートされているサーバー・プラットフォーム
1.2
OPSSのアーキテクチャの概要
1.2.1
OPSSの利点
1.3
開発者向けのOPSS
1.3.1
Java EEアプリケーションのセキュリティについて
1.3.2
Java SEアプリケーションのセキュリティについて
1.4
ADFのセキュリティの概要
1.4.1
Oracle ADFアプリケーション・セキュリティ
2
ユーザーおよびロールの理解
2.1
用語
2.2
ロール・マッピング
2.2.1
パーミッションの継承とロールの階層
2.2.1.1
ロール階層の例
2.3
ロール・カテゴリについて
2.4
認証ロールについて
2.5
匿名ユーザーとロールについて
2.6
管理ユーザーおよび管理ロールについて
2.7
ユーザー・アカウントの管理
3
アイデンティティ、ポリシー、資格証明、鍵、証明書および監査の理解
3.1
バージョン11gおよび12cの互換性の表
3.2
認証の基本
3.2.1
WebLogic Server認証プロバイダ
3.2.1.1
複数の認証プロバイダのサポート
3.2.1.2
その他の認証方式
3.2.2
アイデンティティ・ストア・タイプとWebLogic Server認証プロバイダ
3.3
ポリシーの基本
3.4
資格証明の基本
3.5
鍵および証明書の基本
3.6
監査の基本
4
セキュリティ・ストアについて
4.1
サポートされているファイル、LDAPおよびデータベースのストア
4.2
パッケージ要件
4.3
OPSSでのFIPSサポート
第II部 OPSSの基本的な管理
5
セキュリティ管理
5.1
OPSS管理: 主な手順
5.2
セキュリティ管理ツール
5.3
Fusion Middleware Controlを使用したセキュリティ・プラクティス
5.4
WebLogic Server管理コンソールを使用したセキュリティ・プラクティス
5.4.1
WLSTを使用したセキュリティ・プラクティス
5.5
OESを使用したセキュリティ・プラクティス
6
セキュア・アプリケーションのデプロイ
6.1
Oracle ADFアプリケーションの開発
6.2
デプロイのためのツールの選択
6.2.1
Fusion Middleware Controlを使用したセキュア・アプリケーションのデプロイ
6.3
新しい環境へのOracle ADFアプリケーションのデプロイ
6.3.1
テスト環境へのデプロイ
6.3.1.1
デプロイ後の一般的な管理タスク
6.4
標準Java EEアプリケーションのデプロイ
6.5
監査対応アプリケーションのデプロイ
6.6
テスト環境から本番環境への移行
6.6.1
アイデンティティの移行
6.6.1.1
migrateSecurityStoreを使用したアイデンティティの移行
6.6.2
ポリシーおよび資格証明の移行
6.6.2.1
migrateSecurityStoreを使用したポリシーの移行
6.6.2.2
migrateSecurityStoreを使用した資格証明の移行
6.6.3
監査データの移行
6.6.4
migrateSecurityStoreを使用した鍵および証明書の移行
6.6.4.1
同じドメイン内での鍵および証明書の移行
6.6.4.2
異なるドメイン間での鍵および証明書の移行
第III部 OPSSサービス
7
セキュリティ・アーティファクトのライフ・サイクル
7.1
セキュリティ・アーティファクトのシード方法
7.2
Fusion Middlewareドメインについて
7.3
Fusion Middlewareドメインの作成
7.3.1
新しいデータベース・インスタンスの使用
7.3.2
データベース・インスタンスの共有
7.4
階層型コンポーネントのセキュリティ・アーティファクト
7.5
セキュリティの12.2.1.
x
へのアップグレード
7.5.1
セキュリティ・ストアをアップグレードする前に
7.5.2
セキュリティのアップグレード: 主な手順
7.5.3
Fusion Middleware再構成ウィザードを使用したドメインの再構成
7.5.4
DBベースのセキュリティ・ストアのアップグレード
7.5.4.1
共有している12.1.2または12.1.3セキュリティ・ストアのアップグレード
7.5.4.2
共有している11gセキュリティ・ストアのアップグレード
7.6
セキュリティ・ストアのバックアップとリカバリ
7.6.1
データベース・ベースのセキュリティ・ストアのバックアップとリカバリ
7.6.2
LDAPセキュリティ・ストアのバックアップとリカバリ
7.6.3
推奨事項
7.7
コンポーネントの監査定義の12cへのアップグレード
8
アイデンティティ・ストアの構成
8.1
アイデンティティ・ストアについて
8.2
アイデンティティ・ストア・プロバイダの構成
8.3
アイデンティティ・ストアの構成
8.3.1
アイデンティティ・ストアのパラメータ
8.3.1.1
問合せパラメータ
8.3.1.2
グローバル接続パラメータ
8.3.1.3
バックエンド接続パラメータ
8.3.2
サービス構成の理解
8.3.2.1
単一のLDAP用のサービスの構成
8.3.2.2
仮想化を指定しない複数のLDAP用のサービスの構成
8.3.2.3
Fusion Middleware Controlを使用した複数のLDAP用のサービスの構成
8.3.2.4
WLSTを使用したサービスの構成
8.3.2.5
WLSTを使用したタイムアウト設定の構成
8.3.2.6
その他のパラメータの構成
8.3.2.7
サーバーの再起動
8.3.2.8
単一および複数のLDAPの構成
8.3.3
分割プロファイルの構成
8.3.4
カスタム認証プロバイダの構成
8.3.5
Java SEアプリケーションでの仮想化の構成
8.4
プログラムによるアイデンティティ・ストアの問合せ
8.5
アイデンティティ・ストア用のSSLの構成
9
セキュリティ・ストアの構成
9.1
セキュリティ・ストアについて
9.1.1
複数のサーバーがある環境
9.2
LDAPセキュリティ・ストアの使用
9.2.1
LDAPセキュリティ・ストアを使用する場合の前提条件
9.2.2
LDAPセキュリティ・ストアへの一方向SSLの設定
9.2.3
LDAPユーザー・パスワードのリセット
9.3
DBセキュリティ・ストアの使用
9.3.1
DBセキュリティ・ストアを使用する場合の前提条件
9.3.2
DBセキュリティ・ストアのメンテナンス
9.3.3
OPSSスキーマ・パスワードのリセット
9.3.4
DBセキュリティ・ストアへのSSL接続の設定
9.4
セキュリティ・ストアの再関連付け
9.4.1
Fusion Middleware Controlを使用したセキュリティ・ストアの再関連付け
9.4.1.1
LDAPノードへのアクセスの保護
9.4.2
reassociateSecurityStoreを使用したセキュリティ・ストアの再関連付け
9.5
セキュリティ・ストアの移行
9.5.1
Fusion Middleware Controlを使用したセキュリティ・ストアの移行
9.5.2
migrateSecurityStoreを使用したセキュリティ・ストアの移行
9.5.2.1
migrateSecurityStoreを使用したすべてのポリシーの移行
9.5.2.2
migrateSecurityStoreを使用したシステム・ポリシーの移行
9.5.2.3
migrateSecurityStoreを使用したアプリケーション・ポリシーの移行
9.5.2.4
migrateSecurityStoreを使用したすべての資格証明の移行
9.5.2.5
migrateSecurityStoreを使用した1つの資格証明マップの移行
9.5.2.6
migrateSecurityStoreを使用した監査データの移行
9.5.2.7
migrateSecurityStoreの使用例
9.6
Fusion Middleware Controlを使用したセキュリティ・プロバイダの構成
10
ポリシーの管理
10.1
セキュリティ・ストアの特性の確認
10.2
ポリシー・ストアの管理
10.3
Fusion Middleware Controlを使用したポリシーの管理
10.3.1
アプリケーション・ポリシーの管理
10.3.2
アプリケーション・ロールの管理
10.3.3
システム・ポリシーの管理
10.4
WLSTを使用したポリシーの管理
10.4.1
reassociateSecurityStore
10.5
ポリシー・キャッシュのリフレッシュ
10.5.1
ポリシー・リフレッシュを使用した認可のシナリオ
10.6
WLSTコマンドにおけるプリンシパルとロール
10.7
WLSTコマンドにおけるアプリケーション・ストライプ
10.8
OESを使用したアプリケーション・ポリシーの管理
11
資格証明の管理
11.1
資格証明のタイプ
11.2
資格証明の暗号化
11.3
Fusion Middleware Controlを使用した資格証明の管理
11.4
WLSTを使用した資格証明の管理
12
鍵と証明書の管理
12.1
キーストア・サービスについて
12.1.1
キーストア・サービスの構造
12.1.2
キーストアのタイプ
12.1.3
トラストストア
12.2
Fusion Middleware Controlを使用したキーストアの管理
12.3
WLSTを使用したキーストアの管理
12.4
証明書について
12.5
Fusion Middleware Controlを使用した証明書の管理
12.6
WLSTを使用した証明書の管理
12.7
サードパーティのCA署名証明書の使用
12.8
Fusion Middlewareコンポーネントでのキーストア・サービスの使用方法
12.8.1
syncKeyStoresコマンドの使用
12.8.1.1
syncKeyStoresの使用方法
12.8.1.2
syncKeyStoresコマンドを使用するタイミング
12.9
キーストア・サービス・コマンドについて
12.9.1
キーストア・サービス・コマンドのヘルプの表示
12.9.2
キーストア・サービス・コマンド・リファレンス
12.10
キーストア・サービスでのSSLの構成
12.10.1
複数のLDAPとキーストアへの一方向SSLの設定
12.10.2
複数のLDAPとキーストアへの双方向SSLの設定
12.10.3
JKSからKSSへの切替え
12.11
LDAPとJKS間のSSLの設定
12.11.1
LDAPとJKS間の一方向SSLの設定
12.11.2
LDAPとJKS間の双方向SSLの設定
13
Oracle Fusion Middleware監査フレームワークの概要
13.1
監査の目的
13.2
監査の用語
13.3
OFM監査フレームワークを使用した監査について
13.3.1
OFM監査フレームワークの概要
13.3.2
コンポーネントとアプリケーションについて
13.4
監査の理解
13.4.1
監査モデル
13.4.2
監査ストアについて
13.4.3
監査データの格納方法
13.4.4
OFM監査フレームワークについて
13.4.5
監査の設定: 主な手順
13.4.6
実行時監査イベント・フローの理解
13.5
監査の属性、イベントおよびイベント・カテゴリについて
13.5.1
監査属性グループ
13.5.1.1
汎用属性グループについて
13.5.1.2
カスタム属性グループについて
13.5.1.3
監査属性のデータ型について
13.5.2
監査イベントとイベント・カテゴリ
13.5.2.1
システム・カテゴリとイベントについて
13.5.2.2
コンポーネントとアプリケーション・カテゴリについて
13.5.3
監査アーティファクトのネーミング要件
13.6
監査定義ファイルについて
13.6.1
component_events.xmlファイルについて
13.7
マッピングとバージョン・ルールについて
13.7.1
バージョン番号とは
13.7.2
カスタム属性からデータベース列へのマッピングについて
14
監査の管理
14.1
監査管理タスク
14.2
監査ストアの管理
14.2.1
監査データ・ソースについて
14.2.2
バスストップ・ファイルの管理
14.2.3
スタンドアロン監査ローダーの構成
14.2.3.1
環境の構成
14.2.3.2
スタンドアロン監査ローダーの実行
14.3
監査ポリシーの管理
14.3.1
Fusion Middleware Controlを使用した監査ポリシーの管理
14.3.2
WLSTを使用した監査ポリシーの管理
14.3.2.1
WLSTコマンドを使用した監査ポリシーの表示
14.3.2.2
WLSTコマンドを使用した監査ポリシーの更新
14.3.2.3
監査ポリシーの構成例
14.3.2.4
監査イベントの構成例
14.3.2.5
監査レベルを変更するとカスタム構成はどうなるか
14.3.3
プログラムによる監査ポリシーの管理
14.4
監査のタイムスタンプの理解
14.5
監査ログとバスストップ・ファイルについて
14.6
監査データベースの管理
14.6.1
監査スキーマの概要
14.6.2
実表およびコンポーネント表の属性
14.6.3
パフォーマンスのチューニング
14.6.4
バックアップとリカバリのプランニング
14.6.5
データのインポートとエクスポート
14.6.6
データのパージ
14.6.7
パーティション化
14.6.8
階層アーカイブの実行
14.6.9
マテリアライズド・ビューを使用したカスタム表属性に対する索引の作成
14.7
監査イベント定義のベスト・プラクティス
14.7.1
イベントのネーミングのガイドライン
14.7.2
イベントの区別
14.7.3
イベントの分類
14.7.4
汎用属性の使用
14.7.5
コンポーネント属性の使用
14.7.6
コンポーネント間のリンクのガイドライン
14.7.7
イベント定義の更新
15
監査分析と監査レポートの使用
15.1
監査レポートについて
15.2
動的メタデータ・モデルを使用した監査レポート
15.2.1
登録時に作成される監査ビュー
15.2.2
手動で作成される監査ビュー
第IV部 OPSS APIを使用した開発
16
アプリケーション・セキュリティのOPSSとの統合
16.1
セキュリティの課題について
16.2
セキュリティ統合ユースケース
16.2.1
認証
16.2.1.1
認証されたユーザーが必要なJava EEアプリケーション
16.2.1.2
プログラム認証が必要なJava EEアプリケーション
16.2.1.3
認証が必要なJava SEアプリケーション
16.2.2
アイデンティティ
16.2.2.1
2つの環境で実行されるアプリケーション
16.2.2.2
複数のストア内のユーザー・プロファイルにアクセスするアプリケーション
16.2.3
認可
16.2.3.1
特定のロールのみアクセス可能なJava EEアプリケーション
16.2.3.2
ファイングレイン認可が必要なOracle ADFアプリケーション
16.2.3.3
Webサービスを保護するアプリケーション
16.2.3.4
コードソース・パーミッションが必要なJava EEアプリケーション
16.2.3.5
ファイングレイン認可が必要な非Oracle ADFアプリケーション
16.2.4
資格証明
16.2.4.1
システムへのアクセスに資格証明が必要なアプリケーション
16.2.5
監査
16.2.5.1
セキュリティ関連アクティビティの監査
16.2.5.2
ビジネス関連アクティビティの監査
16.2.6
アイデンティティ伝播
16.2.6.1
実行ユーザー・アイデンティティの伝播
16.2.6.2
ユーザー・アイデンティティの伝播
16.2.6.3
別のドメインへのアイデンティティの伝播
16.2.6.4
HTTPを介したアイデンティティの伝播
16.2.7
管理
16.2.7.1
集中管理されたストアが必要なアプリケーション
16.2.7.2
カスタム管理ツールが必要なアプリケーション
16.2.7.3
複数のサーバー環境で実行されるアプリケーション
16.2.8
統合
16.3
OPSSトラスト・サービス
16.4
HTTPを介したアイデンティティの伝播
16.5
OPSSトラスト・サービスを使用したアイデンティティの伝播
16.5.1
複数のWebLogic Serverドメイン間でのアイデンティティの伝播
16.5.1.1
クライアント側ドメインでのトークン生成
16.5.1.2
サーバー側つまりトークン検証ドメイン
16.5.2
単一のWebLogic Serverドメイン内のコンテナ間でのアイデンティティの伝播
16.5.3
トラスト・プロバイダのプロパティ
16.6
カスタム・グラフィカル・ユーザー・インタフェースの実装
16.6.1
前提とするインポート
16.6.2
アイデンティティ・ストアの問合せの例
16.6.3
ロールの作成の例
16.6.4
ロールの問合せの例
16.6.5
ロールのマッピングの例
16.6.6
ユーザーが含まれるロールの取得の例
16.6.7
ロール・マッピングの削除の例
16.7
Oracle ADFアプリケーションの保護
16.7.1
開発フェーズ
16.7.2
デプロイメント・フェーズ
16.7.3
管理フェーズ
16.7.4
各フェーズの担当者別タスクの概要
16.8
コードおよび構成例
16.8.1
プログラミング例
16.8.2
構成例
16.9
JKSを使用したアイデンティティの伝播
16.9.1
単一ドメイン・シナリオ
16.9.1.1
クライアント・アプリケーションの作成
16.9.1.2
キーストアの構成
16.9.1.3
マップおよびキーの構成
16.9.1.4
権限付与の構成
16.9.1.5
Javaサーブレットの作成
16.9.1.6
web.xmlの構成
16.9.1.7
アサータの構成
16.9.1.8
トラスト・パラメータの更新
16.9.2
複数ドメイン・シナリオ
16.9.3
両方のプロトコルを使用するドメイン
16.9.3.1
単一ドメイン・シナリオ
16.9.3.2
複数ドメイン・シナリオ
17
セキュリティ・モデル
17.1
OPSSの認可モデルおよびポリシー・モデルについて
17.2
認可モデル
17.2.1
Java EE認可モデル
17.2.1.1
宣言による認可
17.2.1.2
プログラムによる認可
17.2.1.3
Java EEアプリケーションの例
17.2.2
JAAS認可モデル
17.3
JAAS/OPSS認可モデル
17.3.1
リソース・カタログ
17.3.2
ポリシーの管理
17.3.3
プログラムによるポリシーのチェック
17.3.3.1
checkPermissionの使用
17.3.3.2
doAsおよびdoAsPrivilegedの使用
17.3.3.3
checkBulkAuthorizationの使用
17.3.3.4
getGrantedResourcesの使用
17.3.4
クラスResourcePermission
18
資格証明ストア・フレームワークを使用した開発
18.1
資格証明ストア・フレームワークAPIについて
18.2
資格証明ストア・フレームワークAPIの使用のガイドライン
18.3
マップとキー名について
18.4
アクセス・パーミッションのプロビジョニング
18.4.1
1つのキーにアクセスするためのパーミッションの例
18.4.2
マップにアクセスするためのパーミッションの例
18.5
資格証明ストア・フレームワークAPIの使用
18.5.1
Java SEアプリケーションでの資格証明ストア・フレームワークAPIの使用
18.5.2
Java EEアプリケーションでの資格証明ストア・フレームワークAPIの使用
18.6
資格証明ストア・フレームワークAPIの例
18.6.1
資格証明ストア・フレームワーク操作の例
18.6.2
ファイル資格証明を使用するJava SEアプリケーションの例
18.6.3
ファイル資格証明を使用するJava EEアプリケーションの例
18.6.4
LDAPストアを使用するJava EEアプリケーションの例
18.6.5
DBストアを使用するJava EEアプリケーションの例
19
ユーザーおよびロールAPIを使用した開発
19.1
ユーザーおよびロールAPIについて
19.1.1
認証プロバイダとユーザーおよびロールAPI
19.2
サービス・プロバイダの操作
19.2.1
環境の設定
19.2.2
プロバイダ・リポジトリの選択
19.2.3
プロバイダ・インスタンスの作成
19.2.4
プロバイダの起動時および実行時のプロパティの構成
19.2.4.1
起動時と実行時の構成
19.2.4.2
実行コンテキストIDの有効化
19.2.5
ファクトリ・インスタンス作成時のプロバイダの構成
19.2.5.1
共通プロパティの構成
19.2.5.2
定数、接続数およびプール接続の構成
19.2.6
ストア・インスタンス作成時のプロバイダの構成
19.2.7
実行時のプロバイダの構成
19.2.8
プログラミングのガイドライン
19.2.8.1
プロバイダの切替え
19.2.8.2
アイデンティティ・ストア・オブジェクトの使用
19.2.9
プロバイダの存続期間
19.3
アイデンティティ・ストアの検索
19.3.1
特定のアイデンティティの検索
19.3.2
複数のアイデンティティの検索
19.3.3
検索フィルタの使用
19.3.3.1
フィルタ演算子
19.3.3.2
ログイン・ユーザーおよびロール用のフィルタ
19.3.3.3
フィルタの例
19.4
アイデンティティ・ストアのエントリの作成と変更
19.4.1
アイデンティティとロールの作成
19.4.2
アイデンティティの変更
19.4.3
アイデンティティの削除
19.5
ユーザーおよびロールAPIの例
19.5.1
ユーザーの検索の例
19.5.2
ユーザーの管理の例
19.6
LDAPプロバイダ用のSSLの構成
19.6.1
プロバイダに対するSSLの設定
19.6.2
プロバイダに対するSSLのカスタマイズ
20
Identity Governance Frameworkを使用した開発
20.1
Identity Governance Frameworkについて
20.1.1
アイデンティティ・ディレクトリAPIの概要
20.2
アイデンティティ・ディレクトリAPIの構成について
20.3
アイデンティティ・ディレクトリAPIの使用
20.3.1
アイデンティティ・ディレクトリ・ハンドルの初期化と取得
20.3.2
ユーザーの作成と削除
20.3.3
ユーザーの取得と変更
20.3.4
ユーザーの簡易検索と複合検索
20.3.5
グループの作成と削除
20.3.6
グループの取得
20.3.7
グループ検索フィルタ
20.3.8
グループに対するメンバーの追加と削除
20.4
アイデンティティ・ディレクトリAPIを使用したSSLの構成
21
キーストア・サービスを使用した開発
21.1
キーストア・サービスAPIについて
21.2
ポリシー・パーミッションの設定
21.2.1
キーストアのパーミッションの例
21.2.2
マップのパーミッションの例
21.2.3
鍵の別名のパーミッションの例
21.3
Java EEアプリケーションでのキーストア・サービスAPIの使用
21.4
Java SEアプリケーションでのキーストア・サービスAPIの使用
21.5
キーストア・サービスAPIの例
21.5.1
キーストア・サービス管理の例
21.5.2
実行時のキーの読取りの例
21.5.2.1
キーストアへのハンドルの取得
21.5.2.2
キーストア・アーティファクトのアクセス - メソッド1
21.5.2.3
キーストア・アーティファクトのアクセス - メソッド2
22
Oracle Fusion Middleware監査フレームワークを使用した開発
22.1
アプリケーションとOFM監査フレームワークの統合
22.2
監査定義ファイルの作成
22.2.1
component-events.xmlファイル
22.2.2
翻訳ファイル
22.3
サービスへのアプリケーションの登録
22.3.1
宣言による監査登録の実行
22.3.1.1
アプリケーション監査登録
22.3.1.2
カスタム監査登録
22.3.2
プログラム登録
22.3.3
WLSTコマンドを使用した登録
22.3.4
監査アーティファクト用ドメイン拡張テンプレートの使用
22.4
プログラムによるポリシーの管理
22.4.1
監査データの問合せ
22.4.2
監査ポリシーの表示と設定
22.5
プログラムによる監査イベントのロギング
22.5.1
OFM監査フレームワークのインタフェース
22.5.2
システム権限の設定
22.5.3
監査インスタンスの取得
22.6
監査定義の更新と保守
23
OPSSを使用するためのJava EEアプリケーションの構成
23.1
Java EEアプリケーションでの認証について
23.2
Java EEアプリケーションでの認証の開発
23.3
フィルタおよびインターセプタの構成
23.3.1
アプリケーション・ストライプの設定
23.3.2
アプリケーション・ロールのサポートの設定
23.3.3
匿名ユーザーとロールの設定
23.3.4
認証ロールのサポートの設定
23.3.5
JAASモードの設定
23.3.6
インターセプタ構成要件
23.3.7
フィルタおよびインターセプタ・パラメータの概要
23.4
エンタープライズ・グループとエンタープライズ・ユーザーに適したクラスの選択
23.5
Java EEアプリケーションの手動によるパッケージ化
23.5.1
アプリケーションとのポリシーのパッケージ化
23.5.2
アプリケーションとの資格証明のパッケージ化
23.6
OPSSを使用するためのJava EEアプリケーションの構成
23.6.1
ポリシーの移行の制御
23.6.1.1
jps.policystore.migration
23.6.1.2
jps.policystore.applicationid
23.6.1.3
jps.apppolicy.idstoreartifact.migration
23.6.1.4
jps.policystore.removal
23.6.1.5
jps.policystore.migration.validate.principal
23.6.1.6
JpsApplicationLifecycleListener
23.6.2
動作に応じたポリシーの移行の構成
23.6.2.1
推奨事項
23.6.2.2
ポリシーの移行のスキップ
23.6.2.3
マージによるポリシーの移行
23.6.2.4
上書きによるポリシーの移行
23.6.2.5
ポリシーを削除または削除しない
23.6.2.6
静的デプロイメントでのポリシーの移行
23.6.3
ファイル資格証明ストアの使用
23.6.4
資格証明の移行の制御
23.6.4.1
jps.credstore.migration
23.6.5
動作に応じた資格証明の移行の構成
23.6.5.1
資格証明の移行のスキップ
23.6.5.2
マージによる資格証明の移行
23.6.5.3
上書きによる資格証明の移行
23.6.6
サポートされているパーミッション・クラスの使用
23.6.6.1
セキュリティ・ストアのパーミッション・クラス
23.6.6.2
資格証明ストアのパーミッション・クラス
23.6.6.3
汎用パーミッション・クラス
23.6.7
ブートストラップ資格証明の手動による指定
24
OPSSを使用するためのJava SEアプリケーションの構成
24.1
Java SEアプリケーションでのOPSSの使用
24.1.1
JpsStartupクラス
24.1.1.1
JpsStartup.start状態
24.1.1.2
JpsStartupのコンストラクタ
24.1.1.3
JpsStartupのランタイム・オプション
24.1.1.4
OPSS起動例
24.2
Java SEアプリケーションでのセキュリティ・サービスの実装
24.3
Java SEアプリケーションでの認証
24.3.1
Java SEアプリケーションでのLDAPアイデンティティ・ストアの構成
24.3.2
Javaアプリケーションでのログイン・モジュールの使用
24.3.2.1
ユーザー認証のログイン・モジュール
24.3.2.2
ユーザー・アサーションのログイン・モジュール
24.3.2.3
アイデンティティ・ストアのログイン・モジュール
24.3.2.4
アサートされたユーザー
24.3.3
Java SEアプリケーションでのログイン・モジュールの使用
24.4
Java SEアプリケーションでの認可
24.4.1
ポリシーおよび資格証明のファイル・ストアの構成
24.4.2
ポリシーおよび資格証明のLDAPストアの構成
24.4.3
DBセキュリティ・ストアの構成
24.4.4
ファイル・ストアでサポートされていないメソッド
24.5
Java SEアプリケーションでの監査
24.5.1
Java SEアプリケーションでの監査について
24.5.2
監査のバスストップ・ディレクトリの構成
24.5.3
監査ローダーの構成
24.5.4
Java SEアプリケーションでの一般的な監査シナリオ
24.5.4.1
WebLogic Serverが一緒に配置されている場合の監査
24.5.4.2
WebLogic Serverが一緒に配置されていない場合の監査
第V部 付録
A
OPSS構成ファイル・リファレンス
A.1
第1および第2階層レベル
A.2
第3階層以下のレベル
<description>
<extendedProperty>
<extendedPropertySet>
<extendedPropertySetRef>
<extendedPropertySets>
<jpsConfig>
<jpsContext>
<jpsContexts>
<name>
<property>
<propertySet>
<propertySetRef>
<propertySets>
<serviceInstance>
<serviceInstanceRef>
<serviceInstances>
<serviceProvider>
<serviceProviders>
<value>
<values>
B
ファイル・ストアのリファレンス
B.1
ファイル・ストアの階層
B.2
ファイル・ストアの要素と属性
<actions>
<actions-delimiter>
<app-role>
<app-roles>
<application>
<applications>
<attribute>
<class>
<codesource>
<credentials>
<description>
<display-name>
<extended-attributes>
<grant>
<grantee>
<guid>
<jazn-data>
<jazn-policy>
<jazn-realm>
<matcher-class>
<member>
<member-resource>
<member-resources>
<members>
<name>
<owner>
<owners>
<permission>
<permissions>
<permission-set>
<permission-sets>
<policy-store>
<principal>
<principals>
<provider-name>
<realm>
<resource>
<resources>
<resource-name>
<resource-type>
<resource-types>
<role>
<role-categories>
<role-category>
<role-name-ref>
<roles>
<type>
<type-name-ref>
<uniquename>
<url>
<user>
<users>
<value>
<values>
C
Oracle Fusion Middleware監査フレームワーク・リファレンス
C.1
監査イベント
C.1.1
監査可能なコンポーネント
C.1.2
システム・カテゴリとイベント
C.1.3
OPSSイベントの属性
C.2
監査スキーマ
C.3
監査フィルタ式の構文
C.4
監査ファイルのネーミングおよびロギング
D
ユーザー/ロールAPIリファレンス
D.1
LDAPディレクトリへのユーザー属性のマッピング
D.2
LDAPディレクトリへのロール属性のマッピング
D.3
デフォルトの構成パラメータ
E
スクリプトおよびMBeanを使用した管理
E.1
スクリプトを使用したサービスの構成
E.2
MBeanを使用したサービスの構成
E.2.1
サポートされるOPSS MBean
E.2.2
OPSS MBeanの使用
E.2.3
OPSS MBeansを使用したプログラミング
E.3
MBeanへのアクセスの制限
E.3.1
注釈の例
E.3.2
エンタープライズ・グループへの論理ロールのマッピング
E.3.3
特定のアクセス制限
F
OPSSのシステムおよび構成プロパティ
F.1
OPSSシステム・プロパティ
F.2
OPSS構成プロパティ
F.2.1
OPSSサービスに共通するプロパティ
F.2.2
ポリシー・サービスのプロパティ
F.2.2.1
ポリシー・サービスの構成
F.2.2.2
実行時ポリシーの構成
F.2.3
資格証明サービスのプロパティ
F.2.4
LDAPアイデンティティのプロパティ
F.2.5
すべてのLDAPサーバーに共通するプロパティ
F.2.6
トラスト・サービスのプロパティ
F.2.7
監査サービスのプロパティ
F.2.8
キーストア・サービスのプロパティ
F.2.9
匿名ロールと認証ロールのプロパティ
G
OPSS APIリファレンス
G.1
OPSS APIリファレンス
H
OpenLDAPアイデンティティ・ストアの使用
H.1
OpenLDAPアイデンティティ・ストアの使用
I
ID仮想化のためのアダプタ構成
I.1
分割プロファイルについて
I.2
分割プロファイルの構成
I.3
分割プロファイルの実装
I.4
Identity Virtualization Libraryのロギング
J
OPSSのトラブルシューティング
J.1
OPSS診断フレームワーク
J.2
セキュリティ・エラーの診断
J.2.1
OPSSロガーについて
J.2.1.1
診断ログ・ファイル
J.2.1.2
オフラインWLSTロガー
J.2.2
サービス別のロガー
J.2.2.1
認可のロギング
J.2.2.2
監査のロギング
J.2.2.3
ユーザーおよびロールAPIのロギング
J.2.2.4
その他のコンポーネントのロギング
J.2.3
システム・プロパティ
J.2.4
ログ・エントリの理解
J.3
再関連付けおよび移行のトラブルシューティング
J.3.1
再関連付けの失敗
J.3.2
サポートされていないスキーマ
J.3.3
再関連付けしたセキュリティ・ストアのポリシーの欠落
J.3.4
移行の失敗
J.4
サーバーの起動のトラブルシューティング
J.4.1
必須のLDAP認証プロバイダの欠落
J.4.2
管理者アカウントの欠落
J.4.3
パーミッションの欠落
J.4.4
サーバーの起動の失敗
J.4.5
サーバーの起動に関するその他の問題
J.4.6
サーバーの起動前のパーミッション・チェックの失敗
J.5
パーミッションのトラブルシューティング
J.5.1
システム・ポリシー障害のトラブルシューティング
J.5.2
パーミッションの取得の失敗 - 大文字と小文字の不一致
J.5.3
認可チェックの失敗
J.5.4
ユーザーによる予期しないパーミッションの取得
J.5.5
Java SEアプリケーションにおけるパーミッションの付与
J.5.6
12c HAドメインで認識されないアプリケーション・ポリシー
J.6
接続およびアクセスのトラブルシューティング
J.6.1
JNDI接続例外
J.6.2
組込みLDAPサーバーへの接続の失敗
J.6.3
LDAPサーバーへの接続の失敗
J.6.4
資格証明ストアのデータへのアクセスの失敗
J.6.5
セキュリティ・アクセス制御の例外
J.6.6
匿名SSL接続の確立の失敗
J.7
Oracle Business Intelligence Publisherのタイムゾーン
J.8
検索のトラブルシューティング
J.8.1
セキュリティ・ストアでの属性照合時の検索の失敗
J.8.2
不明なホスト例外による検索の失敗
J.9
バージョンのトラブルシューティング
J.9.1
バイナリとセキュリティ・ストアのバージョンの非互換性
J.9.2
セキュリティ・ストアのバージョンの非互換性
J.10
その他のエラーのトラブルシューティング
J.10.1
実行時のパーミッション・チェックの失敗
J.10.2
サイズ変更の必要な表領域
J.10.3
Oracle Internet Directoryの例外
J.10.4
ユーザーおよびロールAPIの失敗
J.10.5
ポリシーに使用する文字
J.10.5.1
Oracle Internet Directory 10.1.4.3に使用する特殊文字
J.10.5.2
ファイル・セキュリティ・ストアに使用する文字
J.10.5.3
アプリケーション・ロール名に使用する文字
J.10.5.4
ファイル・ストアでの改行文字の欠落
J.10.6
無効な鍵サイズ
J.11
追加のヘルプ