5 セキュリティおよび監査設定の管理
この章の内容は次のとおりです。
Fusion Middleware Controlを使用した監査ポリシーの管理
Fusion Middleware監査フレームワークは、製品のミドルウェア・ファミリに一元化された監査フレームワークを提供します。Oracle Platform Security Services、Oracle Web Services Manager、Oracle Web Servicesおよびその他のコンポーネントなどのJavaコンポーネントの監査設定は、セキュリティ管理の一部としてドメイン・レベルで処理されます。
このページでは次のタスクを実行できます。
-
コンポーネントの監査ポリシーの表示および更新
-
コンポーネントの監査イベントの選択
-
監査ポリシーのカスタマイズ
監査ポリシーの管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用した監査ポリシーの管理に関する項を参照してください。
Fusion Middleware Controlを使用した監査ストアの構成
デフォルトでは、セキュリティ監査データはファイルに保存されます。データベース・ストアを使用して監査を構成し、監査データの管理を改善することをお薦めします。
監査ストア用にデータベースを構成するには、次のようにします(Javaコンポーネントのみに適用)。
-
リポジトリ作成ユーティリティ(RCU)を使用して、データベースに監査スキーマがインストールされているかを検証します。方法
-
Oracle WebLogic Server管理コンソールを使用してデータ・ソースを作成します。方法
-
ドメインの監査ストア設定を表示します。方法
-
監査ストアとして、データベースを使用するようにドメインを設定します。方法
監査レポートを表示するには:
-
前述の説明に従い、監査ストア用のデータベースを構成します。
-
監査レポートに対し、Oracle Business Intelligence Publisherを設定します。方法
-
収集した監査データを分析します。方法
ノート:
Javaコンポーネントとシステム・コンポーネントに同じデータベースを使用することで、監査レポートにすべてのコンポーネントの監査レコードを表示できます。
監査の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の次の項を参照してください。
Fusion Middleware Controlを使用したアプリケーション・ポリシーの管理
アプリケーション・ポリシーは、アプリケーション内でプリンシパルが実行を許可される権限セット(Webページの閲覧やレポートの変更など)を指定する機能ポリシーです。
アプリケーション・ポリシーの特徴を次に示します。
-
プリンシパルを権限受領者として使用します。少なくとも1つのプリンシパルを割り当てる必要があります。
-
1つ以上の権限または資格を使用できますが、その両方は使用できません。
資格を使用するポリシーは資格に基づくポリシーと呼ばれ、1つ以上の権限を使用するポリシーはリソースに基づくポリシーと呼ばれます。
このページで次のタスクを実行できます。
-
アプリケーション・ポリシーを作成
-
既存のポリシーに基づいてアプリケーション・ポリシーを作成します。
-
アプリケーション・ポリシーを編集
-
パターンに一致するアプリケーション・ポリシーを表示
アプリケーション・ポリシーの管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のアプリケーション・ポリシーの管理に関する項を参照してください。
Fusion Middleware Controlを使用したアプリケーション・ロールの管理
アプリケーション・ロールは、ユーザー、グループおよびその他のアプリケーション・ロールの集まりであり、階層構造にできます。アプリケーション・ロールはアプリケーション・ポリシーによって定義されます。Java EEコンテナに認識されるとは限りません。アプリケーション・ロールは、外部ロールに多対多でマッピングできます。たとえば、(アイデンティティ・ストアに格納されている)外部グループemployee
を、(あるストライプ内の)アプリケーション・ロールhelpdesk service request
にマッピングして、さらに(別のストライプ内の)アプリケーション・ロールself service HR
にマッピングできます。
このページで次のタスクを実行できます。
-
アプリケーション・ロールを作成
-
既存のロールに基づいてアプリケーション・ロールを作成
-
アプリケーション・ロールを編集
-
パターンに一致するアプリケーション・ロールを表示
アプリケーション・ロールの管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のアプリケーション・ロールの管理に関する項を参照してください。
Fusion Middleware Controlを使用したシステム・ポリシーの管理
システム・ポリシーは、プリンシパルまたはコード・ソースが実行を許可される権限セットを指定するポリシーで、ドメイン全体に適用されます。システム・ポリシーではコード・ソースとプリンシパルに権限が付与されますが、アプリケーション・ポリシーではプリンシパルのみに権限を付与できます。
このページで次のタスクを実行できます。
-
システム・ポリシーを作成
-
既存のポリシーに基づいてシステム・ポリシーを作成
-
システム・ポリシーを編集
-
パターンに一致するシステム・ポリシーを表示
システム・ポリシーの管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のシステム・ポリシーの管理に関する項を参照してください。
Fusion Middleware Controlを使用した資格証明の管理
Oracle Platform Security Servicesでは、そこに置かれたデータに応じて次のタイプの資格証明がサポートされています:
-
パスワード資格証明は、ユーザー名とパスワードをカプセル化します。
-
汎用資格証明は、対称キーなどの任意のカスタマイズされたデータまたは任意のトークンをカプセル化します。
資格証明は、マップ名およびキー名によって一意に識別されます。マップには複数のキーを保持することができ、通常、マップ名は、アプリケーションの名前に対応しており、同じマップ名を持つすべての資格証明により、資格証明の論理グループ(そのアプリケーションによって使用される資格証明など)が定義されます。マップ名とキー名のペアは、資格証明ストアにあるすべてのエントリで一意である必要があります。
パスワードに設定できる文字の数や種類に制限はありません。ただし、空やnullではいけません。LDAPセキュリティ・ストアの汎用資格証明の最大サイズは、4Kです。
Oracle Walletはデフォルトのファイルベース資格証明ストアであり、X.509証明書を格納でき、本番環境では通常、LDAPベースまたはDBベースの資格証明ストアを使用します。
このページで次のタスクを実行できます。
-
資格証明マップを作成
-
資格証明マップにキーを追加
-
キーを編集
-
パターンに一致する資格証明を表示
資格証明の管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の資格証明の管理に関する項を参照してください。
キーストア・サービスでのキーストアの管理
OPSSキーストア・サービスでは、SSL、メッセージ・セキュリティ、暗号化および類似したタスク用のキーおよび証明書を管理できます。このサービスを使用して、キー、証明書およびその他のアーティファクトを含むキーストアを作成および管理します。
キーストアの一般的なタスクは、次のとおりです。
-
直接作成するか、ファイル・システムからキーストア・ファイルをインポートして、アプリケーション・ストライプのコンテキスト内でキーストアを作成します。
-
キーストアを更新または削除します。パスワードで保護されたキーストアの更新の場合は、キーストア・パスワードを入力する必要があります。
-
キーストア・パスワードの変更
このページで次のタスクを実行できます。
-
キーストアを作成
-
キーストアを削除
-
キーストアのパスワードを編集
キーストアの管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用したキーストアの管理に関する項における次の項を参照してください:
-
キーストアの作成
-
キーストアの削除
-
キーストア・パスワードの変更
キーストア・サービスでの証明書の管理
キーおよび証明書は、アプリケーション・ストライプ内のキーストアに存在します。1つのアプリケーション・ストライプには2つ以上のキーストアがある場合があり、それぞれが一意の名前を持ちます。キーストアには、非対称キー、対象キーおよび信頼できる証明書が含まれます。
このページで次のタスクを実行できます。
-
キー・ペアを生成
-
証明書署名リクエストを生成
-
証明書をエクスポートおよびインポート
-
証明書パスワードの変更
-
証明書の削除
証明書の管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用した証明書の管理に関する項における次の項を参照してください:
-
キー・ペアの生成
-
CSR証明書の生成
-
証明書のインポート
-
証明書のエクスポート
-
証明書のパスワードの変更
-
証明書の削除