Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1.3.0) E92000-01 |
|
前 |
次 |
次の項目について説明します。
すべてのOPSSのシステム変更および構成変更を有効にするには、サーバーを再起動する必要があります。
関連項目:
導入または変更したシステム・プロパティは、サーバーを再起動するまで有効になりません。システム・プロパティを設定するには、setDomainEnv.sh
を編集してEXTRA_JAVA_PROPERTIES
変数にそのプロパティを追加します。
表F-1は、OPSSで使用可能なシステム・プロパティを示しています。
表F-1 OPSSシステム・プロパティ
システム・プロパティ名 | 指定内容 |
---|---|
|
共通のコンポーネント・ホームの場所。 Java EEアプリケーションとJava SEアプリケーションの両方で必須です。 デフォルト値なし |
|
オプション。 |
|
Javaセキュリティ・ポリシー・ファイルの場所。 |
|
メモリーに保持されるパーミッション・コレクション・マップ・エントリの数。各エントリは、パーミッションのセットに相当します。 オプション。 有効な値: 正の整数。 デフォルト値: 512。 |
|
実行時およびデバッグのオーバーヘッドを軽減するJava SE Development Kit (JDK)メソッドの オプション。 有効な値: デフォルト値なし |
|
サーバーのロギング出力。デフォルト値: オプション。 |
|
サーバーのロギング出力。デフォルト値: オプション。 |
|
サブジェクトの保護ドメインのキャッシュ。 オプション。 有効な値: デフォルト値: |
|
パーミッション・チェックのトリガー時にサブジェクトの保護ドメインの評価。 オプション。 有効な値: デフォルト値: |
|
メモリーに保持されるコンバイナ・マップ・エントリの数。各エントリは、プリンシパルのセットに相当します。 オプション。 有効な値: 正の整数。 デフォルト値: |
|
WebLogic Serverにデプロイされているアプリケーションのポリシーおよび資格証明の移行。WebLogic Serverに対してのみ有効です。
オプション。 有効な値: デフォルト値: |
|
混合モード。有効になっている場合、ポリシー・プロバイダでは オプション。 有効な値: デフォルト値: |
|
マップ・タイプの使用。 マップ・タイプは、一部の構造を特別なキャッシュに保持することで、それらの構造がJava仮想マシンによるガベージ・コレクションの対象となるのを防ぐために使用されます。
関連する オプション。 有効な値: デフォルト値: |
|
グループ・メンバーシップの変更が有効になるまでの時間(ミリ秒)。 この値は、 オプション。 有効な値: 任意の正の整数。 デフォルト値: |
|
メモリーに保持されるサブジェクト・マップ・エントリの数。各エントリは、サブジェクトに関するTTL情報に相当します。この設定を有効にするには、 オプション。 有効な値: 正の整数。 デフォルト値: 128。 |
|
ドメイン構成ファイル 必須。 デフォルト値なし |
|
コードソースURLのディレクトリへのパス。 オプション。 デフォルト値なし 例については、<url>を参照してください。 |
|
コードソースURLの拡張。 オプション。 デフォルト値なし 例については、<url>を参照してください。 |
|
指定した部分文字列が含まれるアプリケーション・ロールの名前。照合する部分文字列を指定しないと、すべてのアプリケーション・ロール名がログに記録されます。 オプション。 デフォルト値なし |
|
付与または拒否された権限。値を指定しないと、(付与または拒否にかかわらず)すべての権限がログに記録されます。 オプション。 デフォルト値なし |
|
指定した名前に完全一致するパーミッション・クラスの名前。照合する名前を指定しないと、すべてのパーミッション・クラス名がログに記録されます。 オプション。 デフォルト値なし |
|
指定した部分文字列が含まれるパーミッション・ターゲットの名前。照合する部分文字列を指定しないと、すべてのパーミッション・ターゲットがログに記録されます。 オプション。 デフォルト値なし |
|
指定した名前に完全一致するプリンシパル(エンタープライズ・ユーザーまたはエンタープライズ・ロール)の名前。照合する名前を指定しないと、すべてのプリンシパル名がログに記録されます。 オプション。 デフォルト値なし |
|
オプション。 デフォルト値なし 有効値: 任意の書込みディレクトリ。 |
|
オフラインのWLSTを実行する際のログ・ファイルの場所。 オプション。 デフォルト値なし 有効な値: <filename>、stdout、strerr、disable。 |
|
通知のレベル。 オプション。 デフォルト値なし 有効な値: OFF、SEVERE、WARNING、INFO、CONFIG、FINE、FINER、FINEST、ALL、デバッグ、情報、警告、エラー、致命的。 |
|
1つのアプリケーション・ポリシーのリソース・キャッシュに保持されるリソースの数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 Oracle Internet Directoryおよびデータベース・ストアに適用されます。 オプション。 デフォルト値: 1000。 |
次の各項では、サービス・プロパティについて説明します。
次の表は、トラスト・ストア・サービスを除くすべてのサービスに共通するOPSSプロパティについて説明しています。トラスト・ストア・サービスのプロパティの詳細は、「トラスト・サービスのプロパティ」を参照してください。
表F-2 共通プロパティ - Java EEアプリケーションとJava SEアプリケーションの両方で有効なプロパティ
プロパティ名 | 指定内容 |
---|---|
|
LDAPストアにアクセスするためのパスワード資格証明のキーで、 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 必須。 デフォルト値なし すぐに使用できる値は |
|
LDAPストアにアクセスするためのパスワード資格証明のマップで、 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 必須。 デフォルト値: |
|
JBDCのURL。 Java SEアプリケーションとJava EEアプリケーションで有効です。 DBセキュリティ・ストアにのみ適用されます。 必須。 デフォルト値なし 値の例: |
|
LDAPセキュリティ・ストアのURLで、形式は Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPストアにのみ適用されます。 必須。 デフォルト値なし |
|
LDAPストア内のドメイン・ノードの相対識別名形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 必須。 デフォルト値なし |
|
LDAPストア内のルート・ノードの相対識別名形式。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 必須。 デフォルト値なし |
|
保護ドメインおよびリクエスト・パーミッション・クラスごとにキャッシュで使用できるパーミッション・コレクションの最大数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 5000 |
|
セキュリティ・ストアのタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 必須。 デフォルト値なし 値: |
表F-3 共通プロパティ - Java EEアプリケーションで有効なプロパティ
プロパティ名 | 指定内容 |
---|---|
|
Java Database Connectivity (JDBC)データ・ソース・インスタンスのJava Naming and Directory Interface (JNDI)名。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。 必須。 デフォルト値なし |
|
再試行回数。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。 オプション。 デフォルト値: 3 |
|
次に再試行するまでの秒数。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。 オプション。 デフォルト値: 15 |
|
Weblogic DBユーザー/パスワードの資格証明のマップおよびキー。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。 オプション。 デフォルト値なし。 |
|
Weblogic DBユーザー/パスワードのマップおよびキーの場所。このプロパティは、DBセキュリティ・ストアに再関連付けする際に自動的に設定されます。 Java EEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。 オプション。 有効な値: デフォルト値:
そうではなく、 |
表F-4 共通プロパティ - Java SEアプリケーションで有効なプロパティ
プロパティ名 | 指定内容 |
---|---|
|
bootstrapで指定されたユーザー名のかわりに使用する、クリアテキストによるプリンシパル名。開発環境でのみ使用できます。 Java SEアプリケーションでのみ有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値なし |
|
bootstrapで指定されたパスワードのかわりに使用する、クリアテキストによるセキュリティ・プリンシパルのパスワード。使用はお薦めしません。 Java SEアプリケーションでのみ有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値なし |
|
JDBCドライバ。 Java SEアプリケーションでのみ有効です。 DBセキュリティ・ストアにのみ適用されます。 必須。 デフォルト値なし 値の例: |
関連項目:
LDAPまたはDBのセキュリティ・ストアで使用するポリシー・ストア・プロバイダ・クラスは、oracle.security.jps.internal.policystore.ldap.LdapPolicyStoreProvider
クラスです。
表F-5は、ポリシー・ストア固有のプロパティについて説明しています。その他のプロパティについては、「OPSSサービスに共通するプロパティ」を参照してください。
表F-5 ポリシーのプロパティ
プロパティ名 | 指定内容 |
---|---|
|
次のいずれかのチェックで不合格になった場合の例外のスロー。
Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 有効な値: |
例1
次の例は、Java EEアプリケーション用のポリシー・ストア・インスタンスの構成を示しています。
<propertySet name="props.ldap.1"> <property name="java.naming.ldap.derefAliases" value="never"/> <property name="bootstrap.security.principal.key" value="bootstrap_6aCNhgRM3zF04ToliwecdF6K3oo="/> <property name="oracle.security.jps.farm.name" value="cn=compact1_oid26008"/> <property name="server.type" value="OID"/> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/> <property name="ldap.url" value="ldap://myComp.com:2020"/> </propertySet> <serviceProvider type="POLICY_STORE" name="policystore.provider" class="oracle.security.jps.internal.policystore.ldap.LdapPolicyStoreProvider"/> <serviceInstance name="policystore.ldap" provider="policystore.provider"> <propertySetRef ref="props.ldap.1"/> </serviceInstance>
例2
次の例は、Java SEアプリケーション用のLDAPポリシー・ストア・インスタンスの構成を示しています。
<serviceInstance name="policystore.oid" provider="policy.oid"> <property value="OID" name="server.type"/> <property value="bootstrap" name="bootstrap.security.principal.key"/> <property name="ldap.url" value="ldap://myHost.com:1234"/> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsNode"/> <property name="oracle.security.jps.farm.name" value="cn=domain1"/> </serviceInstance>
例3
次の例は、Java EEアプリケーション用のDBセキュリティ・ストアの構成を示しています。
<jpsConfig> ... <propertySets> <!-- property set props.db.1 common to all DB services --> <propertySet name="props.db.1"> <property name="jdbc.url" value="jdbc:oracle:thin@xxx.com:1521:orcl"/> <property name="datasource.jndi.name" value="opssds"/> <property value="cn=farm" name="oracle.security.jps.farm.name"/> <property value="cn=jpsroot" name="oracle.security.jps.ldap.root.name"/> <property value="dsrc_lookup_key" name="bootstrap.security.principal.key"/> <property value="credential_map" name="bootstrap.security.principal.map"/> </propertySet> </propertySets> <serviceProviders> <serviceProvider class="oracle.security.jps.internal.policystore.ldap.LdapPolicyStoreProvider" type="POLICY_STORE" name="rdbms.policystore.provider" > <description>RDBMS based PolicyStore provider</description> </serviceProvider> <serviceProvider type="KEY_STORE" name="keystore.provider" class="oracle.security.jps.internal.keystore.KeyStoreProvider"> <description>PKI Based Keystore Provider</description> <property name="provider.property.name" value="owsm"/> </serviceProvider> <serviceProvider name="pdp.service.provider" type="PDP" class="oracle.security.jps.az.internal.runtime.provider.PDPServiceProvider"> <description>OPSS Runtime Service provider</description> </serviceProvider> </serviceProviders> <serviceInstances> <serviceInstance name="policystore.rdbms" provider="rdbms.policystore.provider"> <property value="DB_ORACLE" name="server.type"/> <propertySetRef ref = "props.db.1"/> <property name="session_expiration_sec" value="60"/> <property name="failover.retry.times" value="5"/> </serviceInstance> <serviceInstance name="credstore.rdbms" provider="rdbms.credstore.provider"> <propertySetRef ref = "props.db.1"/> </serviceInstance> <serviceInstance name="keystore.rdbms" provider="rdbms.keystore.provider"> <propertySetRef ref = "props.db.1"/> <property name="server.type" value="DB_ORACLE"/> </serviceInstance> <serviceInstance name="pdp.service" provider="pdp.service.provider"> <property name="oracle.security.jps.runtime.pd.client.sm_name" value="permissionSm"/> <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="true"/> <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEvictionCapacity" value="500"/> <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEvictionPercentage" value="10"/> <property name="failover.retry.times" value="5"/> <property name="failover.retry.interval" value="20"/> <property name="oracle.security.jps.policystore.refresh.purge.timeout", value="30000"/> <propertySetRef ref = "props.db.1"/> </serviceInstance> </serviceInstances> <jpsContexts default="default"> <jpsContext name="default"> <serviceInstanceRef ref="pdp.service"/> <serviceInstanceRef ref="policystore.rdbms"/> <serviceInstanceRef ref="credstore.rdbms"/> <serviceInstanceRef ref="keystore.rdbms"/> </jpsContext> </jpsContexts> ... </jpsConfig>
例4
次の例は、Java SEアプリケーション用のDBポリシー・ストアの構成を示しています。
<serviceInstance name="policystore.rdbms" provider="policy.rdbms"> <property name="server.type" value="DB_ORACLE"/> <property name="jdbc.url" value="jdbc:oracle:thin:@xxx.com:1722:orcl"/> <property name="jdbc.driver" value="oracle.jdbc.driver.OracleDriver"/> <property name="bootstrap.security.principal.key" value="bootstrap_DWgpEJgXwhDIoLYVZ2OWd4R8wOA=" /> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/> <property name="oracle.security.jps.farm.name" value="cn=view_steph.atz"/> </serviceInstance>
LDAPまたはDBのセキュリティ・ストアで使用する実行時ポリシー・ストア・プロバイダ・クラスは、oracle.security.jps.az.internal.runtime.provider.PDPServiceProvider
クラスです。
表F-6は、ポリシー・ストア・インスタンスの実行時のプロパティを示しています。
表F-6 実行時ポリシーのプロパティ
プロパティ名 | 指定内容 |
---|---|
|
ロール・メンバーのキャッシュ・タイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 有効な値:
デフォルト値: |
|
ロール・メンバーのキャッシュで使用する方針のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 有効な値:
デフォルト値: |
|
メンバー・キャッシュに維持するロール数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 1000。 |
|
ポリシーの遅延ロード。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
パーミッションのキャッシュで使用する方針のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 有効な値:
デフォルト値: |
|
パーミッション・キャッシュに維持するパーミッション付与数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 1000。 |
|
ポリシー・ストアのリフレッシュ。このプロパティを設定した場合、 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
キャッシュのリフレッシュ。このプロパティを設定した場合、 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
セキュリティ・ストア・キャッシュがパージされるまでの時間(ミリ秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値は43200000 (12時間)です。 |
|
セキュリティ・ストアで変更がポーリングされる間隔(ミリ秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 600000 (10分)。 |
|
ApplicationRoleメンバーシップ・キャッシュの作成方法。 ユーザーおよびグループの数がアプリケーション・ロールの数を大きく上回っている場合は、 Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
一時的な保存に使用するフォルダ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: システムの一時フォルダ。 |
|
認可キャッシュは有効になっていること。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。 オプション。 有効な値: デフォルト値: |
|
削除容量に達したときに削除するセッションの比率。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 10 |
|
維持する認可とロールのマッピング・セッションの最大数。最大数に達すると、古いセッションが削除され、必要になったときに再確立されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 500 |
|
セッション・データをキャッシュする秒数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ファイル・セキュリティ・ストア、LDAPセキュリティ・ストアおよびDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 60 |
|
次のいずれかのチェックで不合格になった場合の例外のスロー。
Java EEアプリケーションとJava SEアプリケーションで有効です。 LDAPセキュリティ・ストアとDBセキュリティ・ストアに適用されます。 オプション。 デフォルト値: 有効な値: |
表F-7は、資格証明ストア・インスタンス固有のプロパティを示しています。その他のプロパティについては、「OPSSサービスに共通するプロパティ」を参照してください。
表F-7 資格証明ストアのプロパティ
プロパティ名 | 指定内容 |
---|---|
|
資格証明の暗号化。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ファイルおよびLDAPストアにのみ適用されます。 有効な値: オプション。 デフォルト値: |
次の例は、Java EEアプリケーション用の資格証明ストアの構成を示しています。
<propertySet name="props.ldap.1"> <property name="java.naming.ldap.derefAliases" value="never"/> <property name="bootstrap.security.principal.key" value="bootstrap_6aCNhgRM3zF04ToliwecdF6K3oo="/> <property name="oracle.security.jps.farm.name" value="cn=compact1_oid26008"/> <property name="server.type" value="OID"/> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/> <property name="ldap.url" value="ldap://myComp.com:2020"/> </propertySet> <serviceProvider type="CREDENTIAL_STORE" name="ldap.credentialstore.provider" class="oracle.security.jps.internal.credstore.ldap.LdapCredentialStoreProvider"/> <serviceInstance name="credstore.ldap" provider="ldap.credentialstore.provider"> <propertySetRef ref="props.ldap.1"/> </serviceInstance>
関連項目:
表F-8は、LDAPアイデンティティ・ストアのプロパティを示し、拡張プロパティであるかどうかと、ユーザーおよびロールAPIのプロパティを示しています。
表F-8 LDAPアイデンティティ・ストアのプロパティ
プロパティ名 | 指定内容 |
---|---|
|
アイデンティティ・ストアのタイプ。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須 有効な値:
カスタムの認証プロバイダを使用する場合、サービス・インスタンスの構成に次のいずれかのプロパティを含める必要があります。 <property name="idstore.type" value="<your-idstore-type>" <property name="ADF_IM_FACTORY_CLASS" value="<your-IDM-FACTOY_CLASS_NAME>" ユーザーおよびロールAPIの対応するプロパティ: ADF_IM_FACTORY_CLASS |
|
LDAP URL値。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須。 デフォルト値なし 値の例: ユーザーおよびロールAPIのタイプするプロパティ: ADF_IM_PROVIDER_URL |
|
LDAPサーバーに対するDN形式のユーザー検索ベース。拡張プロパティ。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須。 デフォルト値なし 値の例: ユーザーおよびロールAPIの対応するプロパティ: USER_SEARCH_BASES |
|
LDAPサーバーに対するDN形式のグループまたはエンタープライズ検索ベース。拡張プロパティ。 Java SEアプリケーションとJava EEアプリケーションで有効です。 必須 デフォルト値なし 値の例: ユーザーおよびロールAPIの対応するプロパティ: ROLE_SEARCH_BASES |
|
Java EEアプリケーションでのみ有効です。 必須 次の値のみサポートされています。 oracle.security.jps.wls.internal.idstore.WlsLdapIdStoreConfigProvider |
|
グループの作成に使用するベースDN。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ユーザーおよびロールAPIを使用した書込み操作を可能にする場合は必須それ以外の場合はオプション。 シングルDNの値の例: <extendedProperty> <name>group.create.bases</name> <values> <value>cn=groups,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_CREATE_BASES |
|
ユーザーの作成に使用するベースDN。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 ユーザーおよびロールAPIを使用した書込み操作を可能にする場合は必須それ以外の場合はオプション。 シングルDNの値の例: <extendedProperty> <name>user.create.bases</name> <values> <value>cn=users,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: USER_CREATE_BASES |
|
グループの検索に使用するオブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: ユーザーおよびロールAPIの対応するプロパティ: ROLE_FILTER_OBJECT_CLASSES |
|
グループの作成時に指定する必要がある属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <extendedProperty> <name>group.mandatory.attrs</name> <values> <value>cn</value> <value>objectClass</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_MANDATORY_ATTRS |
|
グループのメンバーの識別名(DN)を指定する静的ロールの属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <extendedProperty> <name>group.member.attrs</name> <values> <value>uniqueMember</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_MEMBER_ATTRS |
|
グループを表すために使用する1つ以上のスキーマ・オブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <extendedProperty> <name>group.object.classes</name> <values> <value>top</value> <value>groupOfUniqueNames</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: ROLE_OBJECT_CLASSES |
|
グループ作成用のベースDN。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: ユーザーおよびロールAPIの対応するプロパティ: ROLE_SELECTED_CREATEBASE |
|
グループ名を一意に識別する属性。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: ユーザーおよびロールAPIの対応するプロパティ: ROLE_NAME_ATTR |
|
グループ検索用のベースDN。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: |
|
検索フィルタの最大文字数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: 正の整数。 ユーザーおよびロールAPIの対応するプロパティ: MAX_SEARCHFILTER_LENGTH |
|
リポジトリに対する問合せに使用する検索のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: ユーザーおよびロールAPIの対応するプロパティ: IDENTITY_SEARCH_TYPE |
|
ユーザーの検索に使用するオブジェクト・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: ユーザーおよびロールAPIの対応するプロパティ: USER_FILTER_OBJECT_CLASSES |
|
ユーザーのログインID。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: ユーザーおよびロールAPIの対応するプロパティ: USER_LOGIN_ATTR |
|
ユーザーの作成時に指定する必要がある属性。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: <extendedProperty> <name>user.mandatory.attrs</name> <values> <value>cn</value> <value>objectClass</value> <value>sn</value> </values> </extendedProperty> ユーザーおよびロールAPIの対応するプロパティ: USER_MANDATORY_ATTRS |
|
ユーザーを表現するために使用するスキーマ・クラスの完全修飾名。拡張プロパティ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 ユーザーおよびロールAPIの対応するプロパティ: USER_OBJECT_CLASSES |
|
ユーザー名を一意に識別するLDAP属性。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 ユーザーおよびロールAPIの対応するプロパティ: USER_NAME_ATTR
|
|
アイデンティティ・ストアをホストするシステムの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 |
|
アイデンティティ・ストアのデフォルトのレルム。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: ユーザーおよびロールAPIの対応するプロパティ: ADF_IM_SUBSCRIBER_NAME |
|
検索と変更を実行できる場所。 すべてのプロバイダでユーザーおよびロールAPIを使用して情報の検索または書込みを実行する場合は、 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: デフォルト値: 値の例: |
次の例は、Java SEアプリケーション用のLDAPアイデンティティ・ストアの構成を示しています。
<serviceInstance name="idstore.ldap" provider="idstore.ldap.provider"> <property name="idstore.type" value="OID"/> <property name="ldap.url" value="ldap://myHost.com:1234"/> <extendedProperty> <name>user.search.bases</name> <values> <value>cn=users,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> <extendedProperty> <name>group.search.bases</name> <values> <value>cn=groups,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> </serviceInstance>
関連項目:
表F-9は、LDAPサーバーに共通するプロパティを示しています。
LDAPアイデンティティ・ストアの場合、ユーザーおよびロールAPIでJNDI接続ファクトリを使用するときに接続プールのプロパティが必ず選択されるように、アイデンティティ・ストア・インスタンスに次のプロパティを含める必要があります。
<property name="INITIAL_CONTEXT_FACTORY" value="com.sun.jndi.ldap.LdapCtxFactory"/>
表F-9 LDAPの汎用的なプロパティ
プロパティ名 | 指定内容 |
---|---|
|
JNDI接続プールが使用するLDAP接続のタイプ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: デフォルト値: |
|
LDAP接続プールの最大接続数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 30 |
|
LDAP接続プールの最小接続数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 5 |
|
LDAP接続に使用するプロトコル。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: デフォルト値: |
|
使用する接続プール。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値: デフォルト値: |
|
アイドル接続がプールにとどまっていられるミリ秒数。タイムアウト後に接続は閉じられ、プールから削除されます。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: 300000 (5分) |
|
LDAP接続に問題がある場合の、最大再試行回数。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 値の例: 5 |
次の例は、いくつかのプロパティの構成を示しています。
<!-- common properties used by all LDAPs --> <property name="oracle.security.jps.farm.name" value="cn=OracleFarmContainer"/> <property name="oracle.security.jps.ldap.root.name" value="cn=OracleJpsContainer"/> <property name="oracle.security.jps.ldap.max.retry" value="5"/>
関連項目:
表F-10は、トラスト・サービス固有のプロパティを示しています。
表F-10 トラストストアのプロパティ
プロパティ名 | 指定内容 |
---|---|
|
Java EEアプリケーションとJava SEアプリケーションで有効です。 値: オプション。 デフォルト: |
|
トラスト・サービス・ストアのタイプ(Javaキーストア(JKS)またはキーストア・サービス(KSS)キーストア)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: デフォルトなし。 指定されておらず、KSSがプロビジョニングされている場合、値は |
|
次の形式のストア名。 kss://<stripeName>/<keyStoreName>
Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: |
|
次の形式のストアURL。 kss://<stripeName>/<keyStoreName>
Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: |
|
キーストアからX.509証明書と秘密鍵を取得するために使用する別名。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: Oracle WebLogic Serverドメインの名前。 |
|
ターゲット・トラスト・サービスでトークンを取得して検証するために使用される(トークンに含まれる)名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: WebLogic Serverドメインの名前。 |
|
トラスト・プロバイダ・クラスの完全修飾名。 Java EEアプリケーションとJava SEアプリケーションで有効です。 必須。 値: サポートされている値は |
|
時間の条件を検証する際に許容される時間差(秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: 0。 |
|
トークンが発行された後の有効時間(秒)。 Java EEアプリケーションとJava SEアプリケーションで有効です。 必須。 デフォルトなし。 |
|
キーストアにアクセスするための資格証明のマップ。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティ |
|
Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティ |
|
キーストアにアクセスするための資格証明のキー(マップは Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト: キーストア・インスタンス・プロパティ |
|
Security Assertion Markup Language (SAML)トークンに証明書が含まれていること。 Java EEアプリケーションとJava SEアプリケーションで有効です。 必須。 有効な値: デフォルト: |
次の例は、トラスト・サービスの構成を示しています。
<propertySet name="trust.provider.embedded"> <property name="trust.provider.className" value="oracle.security.jps.internal.trust.provider.embedded.EmbeddedProviderImpl"/> <property name="trust.clockSkew" value="60"/> <property name="trust.token.validityPeriod" value="1800"/> <property name="trust.aliasName" value="orakey"/> <property name="trust.issuerName" value="orakey"/> <property name="trust.csf.map " value="my-csf-map"/> <property name="trust.csf.keystorePass" value="my-keystore-csf-key"/> <property name="trust.csf.keypass" value="my-signing-csf-key"/> </propertySet>
関連項目:
表F-11は、監査固有のプロパティを示しています。その他のプロパティについては、「OPSSサービスに共通するプロパティ」を参照してください。
表F-11 監査のプロパティ
プロパティ名 | 指定内容 | 必須 | 値 | デフォルト値 |
---|---|---|---|---|
|
監査レベル。 |
いいえ |
None、Low、MediumまたはHigh |
なし |
|
監査対象のカスタム・イベント。イベントは、コンポーネント・タイプを使用して修飾する必要があります。イベントはカンマ、コンポーネント・タイプはセミコロンで区切ります。 例: JPS:CheckAuthorization, CreateCredential; OIF:UserLogin |
いいえ |
該当なし |
該当なし |
|
|
いいえ |
該当なし |
該当なし |
|
監査イベントが書き込まれるバスストップ・ファイルのサイズ。バイト単位 |
いいえ |
該当なし |
104857600 |
|
監査ローダーがデータベースにアップロードする間隔(秒)。 |
いいえ |
15秒 |
|
|
監査イベントのストア・タイプ。タイプがデータベース(DB)の場合は、audit.loader.jndiまたはJDBCプロパティも定義します。 |
はい |
File、DB |
File |
audit.loader.jndi |
データベースに監査イベントをアップロードするための、アプリケーション・サーバー内のデータ・ソースのJNDI名。 |
いいえ |
該当なし |
jdbc/AuditAppendDataSource |
|
Java SEアプリケーションが実行されており、リポジトリ・タイプがDBの場合の、ブートストラップ資格証明ストア内のJDBCユーザー名とパスワード資格証明に対するマップとキー。 |
いいえ |
該当なし |
該当なし |
|
Java SEアプリケーションが実行されており、リポジトリ・タイプがDBの場合の、JDBC接続に対するJDBC文字列。 |
いいえ |
該当なし |
|
|
バスストップ・ファイルのベース・ディレクトリ。 |
JavaSEでは必須 |
該当なし |
jse |
|
特定のタイムゾーンを使用したイベントの記録。 |
いいえ |
UTC、ローカル |
UTC |
|
サービスが変更をチェックするまでの時間(ミリ秒)。 |
いいえ |
0(ゼロ)より大きい数値 |
60000 (60秒) |
次の例は、構成でのプロパティの使用方法を示しています。
<serviceInstance name="audit" provider="audit.provider" location="./audit-store.xml"> <property name="audit.filterPreset" value="Medium"/> <property name="audit.loader.jndi" value="jdbc/AuditAppendDataSource"/> <property name="audit.loader.repositoryType" value="DB" /> <property name="server.type" value="DB_ORACLE"/> <property name="audit.timezone" value="local" /> </serviceInstance>
関連項目:
表F-12は、キーストア固有のプロパティを示しています。その他のプロパティについては、「OPSSサービスに共通するプロパティ」を参照してください。
表F-12 キーストア・サービスのプロパティ
プロパティ名 | 指定内容 | 必須 | 値 | デフォルト |
---|---|---|---|---|
|
ファイル・プロバイダが構成されている場合のkeystores.xmlファイルの場所。 |
ファイル・キーストア・プロバイダが構成されている場合は、はい。 |
- |
./ |
|
キーストア・サービス・インスタンスに使用されているサードパーティCAのキー別名。 |
いいえ |
- |
- |
|
キーストアの場所の絶対パスまたは相対パス。 |
keystore.typeがJKSの場合は、はい。 keystore.typeがPKCS11またはHSM (LunaSA)の場合は、いいえ。 |
キーストアへのパス |
./default-keystore.jks |
|
キーストアのタイプ。 |
いいえ |
KSS、JKS、PKCS11、Luna |
JKS |
|
OWSMで使用される資格証明ストア・マップ名。OWSMでのみ使用します。 |
いいえ |
資格証明ストアのマップ名 |
oracle.wsm.security |
|
キーストア・パスワードを指す資格証明ストア・キー。OWSMでのみ使用します。 |
いいえ |
資格証明ストアのcsfキー名 |
keystore-csf-key |
|
キーストア内の署名鍵の別名およびパスワードを指す資格証明ストアのキー名。HSMの場合は、資格証明ストアのキー名ではなく、ダイレクト・キー別名です。OWSMでのみ使用します。 |
いいえ |
資格証明ストアのcsfキー名、またはHSMの場合はダイレクト別名 |
sign-csf-key |
|
キーストア内の暗号化鍵の別名およびパスワードを指す資格証明ストアのキー名。HSMの場合は、資格証明ストアのキー名ではなく、ダイレクト・キー別名です。OWSMでのみ使用します。 |
いいえ |
資格証明ストアのcsfキー名、またはHSMの場合はダイレクト別名 |
enc-csf-key |
次の例は、キーストアの構成を示しています。
<propertySet name="props.ldap.1"> <property name="java.naming.ldap.derefAliases" value="never"/> <property name="bootstrap.security.principal.key" value="bootstrap_6aCNhgRM3zF04ToliwecdF6K3oo="/> <property name="oracle.security.jps.farm.name" value="cn=compact1_oid26008"/> <property name="server.type" value="OID"/> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsTestNode"/> <property name="ldap.url" value="ldap://myComp.com:2020"/> </propertySet> <serviceProvider type="KEY_STORE" name="keystore.provider" class="oracle.security.jps.internal.keystore.KeyStoreProvider"> </serviceProvider> <serviceInstance name="keystore.ldap" provider="keystore.provider"> <propertySetRef ref="props.ldap.1"/> </serviceInstance>
次の例は、LDAPプロバイダ用のキーストアの構成を示しています。
<serviceInstance name="keystore" provider="keystore.provider" location="./default-keystore.jks"> <description>Default JPS Keystore Service</description> <property name="server.type" value="OID"/> <property name="keystore.type" value="JKS"/> <property name="keystore.csf.map" value="oracle.wsm.security"/> <property name="keystore.pass.csf.key" value="keystore-csf-key"/> <property name="keystore.sig.csf.key" value="sign-csf-key"/> <property name="keystore.enc.csf.key" value="enc-csf-key"/> <property value="bootstrap" name="bootstrap.security.principal.key"/> <property value="cn=wls-jrfServer" name="oracle.security.jps.farm.name"/> <property value="cn=jpsTestNode" name="oracle.security.jps.ldap.root.name"/> <property value="ldap://myHost.com:1234" name="ldap.url"/> </serviceInstance>
次の例は、DBプロバイダ用のキーストアの構成を示しています。
<propertySet name="props.db.1"> <property name="jdbc.url" value="jdbc:oracle:thin:@host:port:sid"/> <property name="oracle.security.jps.farm.name" value="cn=farm"/> <property name="server.type" value="DB_ORACLE"/> <property name="oracle.security.jps.ldap.root.name" value="cn=jpsroot"/> <property name="jdbc.driver" value="oracle.jdbc.OracleDriver"/> <property name="bootstrap.security.principal.map" value="credendial_map"/> <property name="bootstrap.security.principal.key" value="credential_key"/> </propertySet> <serviceInstance name="keystore.rdbms" provider="keystore.provider" location="./default-keystore.jks"> <propertySetRef ref = "props.db.1"/> <property name="server.type" value="DB_ORACLE"/> <property name="keystore.type" value="JKS"/> <property name="keystore.csf.map" value="oracle.wsm.security"/> <property name="keystore.pass.csf.key" value="keystore-csf-key"/> <property name="keystore.sig.csf.key" value="sign-csf-key"/> <property name="keystore.enc.csf.key" value="enc-csf-key"/> </serviceInstance>
関連項目:
表F-13は、匿名ユーザー、匿名ロールおよび認証ロールの構成に使用できるプロパティを示しています。
表F-13 匿名ロールと認証ロールのプロパティ
プロパティ名 | 指定内容 |
---|---|
|
匿名ロールの説明。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値なし |
|
匿名ロールのプリンシパルの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
匿名ロールの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
匿名ユーザーのプリンシパルの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
認証ロールの説明。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値なし |
|
認証ユーザー・ロールのプリンシパルの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
認証ロールの名前。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 デフォルト値: |
|
ユーザーの認証後にサブジェクトから削除する匿名ロール。 Java EEアプリケーションとJava SEアプリケーションで有効です。 オプション。 有効な値: デフォルト値: |
関連項目: