A Real Application Securityの事前定義済オブジェクト

この付録では、Real Application Securityの次の事前定義済オブジェクトについて説明します。

• ユーザー

• ロール

• ネームスペース

• セキュリティ・クラス

• ACL

ユーザー

XSGUEST - システム定義のReal Application Securityユーザーは、通常は匿名アクセス用に予約されています。

ロール

Real Application Securityは、標準アプリケーション・ロール、動的アプリケーション・ロールおよびデータベース・ロールの事前定義済アプリケーション・ロールを提供します。

この項には次のトピックが含まれます:

• 標準アプリケーション・ロール

• 動的アプリケーション・ロール

• データベース・ロール

標準アプリケーション・ロール

Real Application Securityは、次の事前定義済標準アプリケーション・ロールを提供します。

• XSPUBLIC - このアプリケーション・ロールはデータベース内のPUBLICロールと同様です。すべてのReal Application Securityアプリケーション・ユーザーに付与されます。

• XSBYPASS - ACLを制約するシステムによって課される制限をバイパスするために使用されるロール。

• XSPROVISIONER - PROVISIONおよびCALLBACK権限を付与するために使用されるロール。

• XSSESSIONADMIN - セッション管理に使用されるロール。

• XSNAMESPACEADMIN - ネームスペース属性管理に使用されるロール。

• XSCACHEADMIN - 中間層キャッシュ管理に使用されるロール。

• XSDISPATCHER - ディスパッチャによってセッション管理、ネームスペース管理および中間層キャッシュ管理に使用されるロール。

• XSCONNECT — パスワードが設定されたReal Application Securityアプリケーション・ユーザーがデータベースに接続できるかどうかを制御するために使用するロール。

動的アプリケーション・ロール

Real Application Securityは、次の事前定義済動的アプリケーション・ロールを提供します。

• DBMS_AUTH

  このアプリケーション・ロールは、アプリケーション・ユーザーの認証状態に依存します。アプリケーション・ユーザーがReal Application Securityシステムで任意のデータベース認証方法を使用して直接ログオン・アプリケーション・ユーザーとして認証されている場合に有効になります。

• EXTERNAL_DBMS_AUTH

  このアプリケーション・ロールは、外部アプリケーション・ユーザーの認証状態に依存します。外部アプリケーション・ユーザーがReal Application Securityシステムで任意のデータベース認証方法を使用して外部直接ログオン・アプリケーション・ユーザーとして認証されている場合に有効になります。

• DBMS_PASSWD

  このアプリケーション・ロールは、アプリケーション・ユーザーの認証状態に依存します。アプリケーション・ユーザーがReal Application Securityシステムでパスワード認証方法を使用して直接ログオン・アプリケーション・ユーザーとして認証されている場合に有効になります。

• MIDTIER_AUTH

  このアプリケーション・ロールは、アプリケーション・ユーザーの認証状態に依存します。アプリケーション・ユーザーが中間層を通じてReal Application Securityシステムで認証されている場合に有効になります。中間層は、このアプリケーション・ロールをデータベースに明示的に渡し、アプリケーション・ユーザーが中間層によって認証されたことを指定します。

• XSAUTHENTICATED

  このアプリケーション・ロールは、アプリケーション・ユーザーの認証状態に依存します。アプリケーション・ユーザーが(直接または中間層を通じて) Real Application Securityシステムで認証されている場合に有効になります。

• XSSWITCH

  このアプリケーション・ロールは、アプリケーション・ユーザーのセッション状態に依存します。アプリケーション・ユーザーのReal Application Securityセッションがswitch_user操作の結果として作成された場合、つまり、元のReal Application Securityセッションのプロキシ・ユーザーがアプリケーション・ユーザーに切り替えられた場合に有効になります。

データベース・ロール

Real Application Securityは、次のデータベース・ロールを提供します。

• PROVISIONER - PROVISIONおよびCALLBACK権限を持つデータベース・ロール。

• XS_SESSION_ADMIN - ADMINISTER_SESSION権限を持つデータベース・ロール。

• XS_NAMESPACE_ADMIN - ADMIN_ANY_NAMESPACE権限を持つデータベース・ロール。

• XS_CACHE_ADMIN - 中間層キャッシュ管理に使用できるデータベース・ロール。

ネームスペース

Real Application Securityは、次の事前定義済ネームスペースを提供します。

• XS$GLOBAL_VAR - NLS属性NLS_LANGUAGE、NLS_TERRITORY、NLS_SORT、NLS_DATE_LANGUAGE、NLS_DATE_FORMAT、NLS_CURRENCY、NLS_NUMERIC_CHARACTERS、NLS_ISO_CURRENCY、NLS_CALENDAR、NLS_TIME_FORMAT、NLS_TIMESTAMP_FORMAT、NLS_TIME_TZ_FORMAT、NLS_TIMESTAMP_TZ_FORMAT、NLS_DUAL_CURRENCY、NLS_COMP、NLS_LENGTH_SEMANTICSおよびNLS_NCHAR_CONV_EXCPを含みます。

  XS$GLOBAL_VARネームスペースは、権限を必要とすることなくReal Application Securityセッションにロードできます。

• XS$SESSION - 属性CREATED_BY、CREATE_TIME、COOKIE、CURRENT_XS_USER、CURRENT_XS_USER_GUID、INACTIVITY_TIMEOUT、LAST_ACCESS_TIME、LAST_AUTHENTICATION_TIME、LAST_UPDATED_BY、PROXY_GUID、SESSION_ID、SESSION_SIZE、SESSION_XS_USER、SESSION_XS_USER_GUID、USERNAMEおよびUSER_IDを含みます。

セキュリティ・クラス

Real Application Securityは、次の事前定義済セキュリティ・クラスおよびアプリケーション権限を提供します。

• DML - DML権限セキュリティ・クラス。ACLによってそのセキュリティ・クラスが指定されない場合、DMLがACLのデフォルト・セキュリティ・クラスになります。詳細は、「DMLセキュリティ・クラス」を参照してください。オブジェクト操作用の次の共通アプリケーション権限を含みます。

  • SELECT - オブジェクトを読み取る権限。

  • INSERT - オブジェクトを挿入する権限。

  • UPDATE - オブジェクトを更新する権限。

  • DELETE - オブジェクトを削除する権限。

• SYSTEM - システム・セキュリティ・クラス。次のアプリケーション権限を含みます。

  • PROVISION - FIDMのプリンシパル・ドキュメントを更新する権限。PROVISION権限もまた、リリース12.2からはReal Application Securityプリンシパル(ユーザーまたはロール)の作成、削除および変更用に機能拡張されました。このReal Application Securityシステム権限は、Real Application Securityのユーザーとロールを作成および変更するために使用していた、データベースの従来のユーザー作成権限およびユーザー変更権限を置き換えるものです。

  • CALLBACK - グローバル・コールバックを登録および更新する権限。

  • ADMIN_ANY_SEC_POLICY - 管理操作用の権限。

  • ADMIN_SEC_POLICY - 独自のスキーマでオブジェクトを管理する権限。

  • ADMIN_NAMESPACE - 任意のネームスペースを管理する権限。

• SESSION_SC - セッション・セキュリティ・クラス。次のアプリケーション権限を含みます。

  • CREATE_SESSION - Real Application Securityユーザー・セッションを作成する権限。

  • TERMINATE_SESSION - Real Application Securityユーザー・セッションを終了する権限。

  • ATTACH_SESSION - Real Application Securityユーザー・セッションに連結する権限。

  • MODIFY_SESSION - Real Application Securityユーザー・セッションの内容を変更する権限。

  • ASSIGN_USER - 匿名Real Application Securityユーザー・セッションにユーザーを割り当てる権限。

  • ADMINISTER_SESSION - Real Application Securityのユーザー・セッション管理用の権限であり、CREATE_SESSION、TERMINATE_SESSION、ATTACH_SESSION、MODIFY_SESSIONおよびSET_DYNAMIC_ROLESの集約です。

  • SET_DYNAMIC_ROLES - セッションの連結操作およびユーザー割当て操作でのReal Application Security動的ロールの有効化および無効化を保護する権限。

• NSTEMPLATE_SC - ネームスペース・テンプレート・セキュリティ・クラス。次のアプリケーション権限を含みます。

  • MODIFY_NAMESPACE - セッション・ネームスペースを変更する権限。

  • MODIFY_ATTRIBUTE - セッション・ネームスペース属性を変更する権限。

  • ADMIN_NAMESPACE - ネームスペース管理用の権限で、MODIFY_NAMESPACEとMODIFY_ATTRIBUTEの集約です。

ACL

Real Application Securityは、次の事前定義済ACLを提供します。

• SYSTEMACL - SYSTEMセキュリティ・クラス権限を付与するためのACL。

  PROVISIONおよびCALLBACK権限をPROVISIONERデータベース・ロールおよびXSPROVISIONER Real Application Securityロールに付与します。

  ADMIN_ANY_SEC_POLICY権限をDBAデータベース・ロールに付与します。

  ADMIN_SEC_POLICY権限をRESOURCEおよびXS_RESOURCEデータベース・ロールに付与します。

  ADMIN_ANY_NAMESPACE権限を、DBAおよびXS_NAMESPACE_ADMINデータベース・ロールと、XSNAMESPACEADMINおよびMIDTIER_AUTH Real Application Securityロールに付与します。

• SESSIONACL - SESSION_SCセキュリティ・クラス権限を付与するためのACL。

  ADMINISTER_SESSION権限をXS_SESSION_ADMINデータベース・ロールおよびXSSESSIONADMIN Real Application Securityロールに付与します。

• NS_UNRESTRICTED_ACL - ADMIN_NAMESPACE権限をPUBLICデータベース・ロールおよびXSPUBLIC Real Application Securityロールに付与するACL。