20 監査の構成
この章では、Oracle Identity Governanceの監査とプロファイル監査データの圧縮について説明します。内容は次のとおりです。
20.1 監査について
Oracle Identity Managerは、監査およびコンプライアンスのために広範囲にわたるデータを収集する監査エンジンを備えています。監査機能を使用して、コンプライアンスの監視やIT中心のプロセスおよびフォレンジック監査のために、エンティティおよびトランザクション・データを収集、アーカイブおよび表示できます。
Oracle Identity Managerには、プロファイル情報の監査および履歴のアーカイブが用意されています。プロファイルのスナップショットを取得してデータベースの監査表に格納し、プロファイル・データの変更のたびにスナップショットを更新します。プロファイル監査機能関係では、スナップショットという用語は、データが変更されるたびに作成されるプロファイル・データ全体のコピーを意味します。
20.2 ユーザー・プロファイル監査機能
ユーザー・プロファイル監査で使用される収集データ、ポスト・プロセッサ、表、およびユーザー・プロファイル監査データのアーカイブと圧縮について理解します。
このセクションのトピックは次のとおりです:
20.2.1 ユーザー・プロファイル監査で収集されるデータ
ユーザー・プロファイル監査のためのデータ収集では、サポートされる監査レベルの設定、ユーザー・プロファイル監査データの取得、ユーザー・プロファイル監査データのスナップショットの格納、ユーザー・プロファイル監査のスナップショット取得のトリガーが行われます。
この項では、ユーザー・プロファイル監査でデータを収集する方法について次のトピックで説明します。
20.2.1.1 ユーザー・プロファイル監査で収集されるデータについて
Oracle Identity Managerをインストールすると、デフォルトでユーザー・プロファイル監査機能が有効になり、監査レベルは「リソース・フォーム」に設定されます。この監査レベルは、フォーム・データのアテステーションに必要な最低レベルを指定します。
拡張管理のシステム構成部の監査レベルは、XL.UserProfileAuditDataCollectionシステム・プロパティを使用して構成します。
関連項目:
XL.UserProfileAuditDataCollectionシステム・プロパティの詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください
次の監査レベルがサポートされています。
-
プロセス・タスク: リソース・ライフサイクル・プロセスでユーザー・プロファイル・スナップショット全体をまとめて監査します。
-
リソース・フォーム: ユーザー・レコード、ロール・メンバーシップ、プロビジョニングされたリソースおよびリソースに関連付けられたすべてのフォーム・データを監査します。
-
リソース: ユーザー・レコード、ロール・メンバーシップおよびプロビジョニングされたリソースを監査します。
-
メンバーシップ: ユーザー・レコードおよびロール・メンバーシップのみを監査します。
-
コア: ユーザー・レコードのみを監査します。
-
なし: 監査データは格納されません。
20.2.1.2 ユーザー・プロファイル監査データの取得
ユーザー・プロファイルの変更のたびに、Oracle Identity Managerでは、ユーザー・プロファイルのスナップショットを取得してデータベースの監査表に格納します。
また、ユーザー・プロファイルに監査が必要な変更があるときは、たとえ最初のスナップショットが存在しなくても、スナップショットが生成されます。現在のスナップショットが最初のスナップショットとして取り扱われます。
次に、ユーザー・プロファイルの構成要素とこれらの構成要素を格納する表を示します。
-
ユーザー・レコード: USR表(すべてのユーザー定義フィールド(UDF)を含む)に格納されます。
USR表にはユーザー属性が格納されます。ユーザーを作成すると、Oracle Identity Managerにより、この表にエントリが追加されます。
-
ユーザー・ロール・メンバーシップ: UGP表が含まれます。
UGP表のUGP_USER_MEMBERSHIP_RULE列に、ユーザー・ロール・メンバーシップ・ルールが格納されます。
UGP表からユーザー・メンバーシップ・ルールを取得するには、ロール・マネージャAPIメソッドSearchRule getUserMembershipRule(String roleKey)を使用できます。
ロール・マネージャAPIの詳細は、Oracle Identity Manager Java APIリファレンスを参照してください。
-
管理ロール・メンバーシップ: ARM_AUD表が含まれます。
ARM_AUD表では、メンバーシップID、管理ロールID、ユーザーID、組織、階層、アクションおよびログイン・ユーザーが定義されます。
-
ユーザー・ポリシー・プロファイル: 次の表に格納されます。
-
UPD: ユーザー・ポリシー・プロファイル・データが格納されます。これは、ユーザーにプロビジョニングされるリソースのポリシー中心の表示です。
-
UPP: ユーザー・ポリシー・プロファイル関連の詳細が格納されます。これは、ユーザーに適用可能なすべてのポリシーと、ユーザーが許可または拒否するリソースに関するユーザー中心の表示です。
ノート:
Oracle Identity Self Serviceを使用してロール名を変更すると、ユーザーの次のスナップショットまで、データベース内のユーザー・プロファイル監査(UPA)の表にその変更は反映されません。
-
-
ユーザー・リソース・プロファイル: この構成要素は、次のサブ構成要素に分類できます。
-
ユーザー・リソース・インスタンス: OBI表、OBJ表およびOIU表(表20-1を参照)に格納されます。
表20-1 ユーザー・リソース・インスタンスの表
表名 説明 OBI
リソース(オブジェクト)インスタンス情報を格納します。Oracle Identity Managerは、リソースがプロビジョニングされるたびにリソース・インスタンスを作成します。このインスタンスには、リソース・キー(リソースがリクエストを介してプロビジョニングされた場合)、対応するプロセス・インスタンス、インスタンス・ステータスなど、プロビジョニングされたインスタンスに関連する一般情報がすべて保存されます。
OBJ
リソース名、自動保存および自動事前移入が設定されているかどうか、リソース・オブジェクトで複数インスタンスを許可するかどうかなど、リソースに関する詳細を含めたリソース・オブジェクト・データを表します。
OIU
プロビジョニングの実行時に、適用可能なユーザー情報をリソース・オブジェクト・インスタンスに関連付けます。さらに、特定のリソース・インスタンスについてポリシー関連情報が保存されます。
-
リソース・ライフサイクル(プロビジョニング)プロセス: MIL表、ORC表、OSI表、PKG表、SCH表およびTOS表(表20-2を参照)に格納されます。
表20-2 リソース・ライフサイクル・プロセスの表
表名 説明 MIL
プロセス・タスク定義を定義します。各エントリは1つのプロセス・タスクに相当します。プロセス定義(PKG表)は、複数のタスクで構成され、各タスクは定義の様々なワークフローの一部です。
ORC
プロビジョニングの実行時にプロセス・インスタンス情報を格納します。プロビジョニングが開始すると、Oracle Identity Managerにより、関連するプロセス(またはワークフロー)インスタンスが生成され、プロビジョニング・インスタンスに固有のプロセス関連情報が保存されます。
OSI
プロセス・インスタンスに対して作成されたタスクに関する情報を格納します。
PKG
プロセスまたはワークフローを、プロセス名、プロセス・タイプ、付加フィールド・マッピング、関連するリソースやプロセス・フォームなどのプロセスの詳細も含めて、Oracle Identity Managerに定義します。
SCH
タスク・ステータス、ステータス・バケット、アダプタの実行開始または終了のタイミングなど、特定のタスク・インスタンスの実行に関連する情報を格納します。
TOS
アトミック・プロセス情報を格納します。
-
リソース状態(プロセス)フォーム: この情報は、UDの親表および子表に格納されます。UD_*表は、アカウントの状態を格納するユーザー定義フィールドの表です。
-
20.2.1.3 ユーザー・プロファイル監査のスナップショットの格納
Oracle Identity Managerでユーザー・プロファイルのスナップショットを取得すると、そのスナップショットはUPA表に格納されます。UPA表の構造は、表20-3に示すとおりです。
表20-3 UPA表の定義
列 | データ型 | 説明 |
---|---|---|
UPA_KEY |
NUMBER (19,0) |
監査レコードのキー |
USR_KEY |
NUMBER (19,0) |
このエントリにスナップショットが記録されるユーザーのキー |
EFF_FROM_DATE |
TIMESTAMP (6) |
スナップショット・エントリが有効になった日時 |
EFF_TO_DATE |
TIMESTAMP (6) |
スナップショット・エントリが無効になった日時 つまり、これは次のスナップショット・エントリが作成された日時です。最新のユーザー・プロファイルを表すエントリの場合、終了日列の値はNULLに設定されます。 |
SRC |
VARCHAR2 (4000) |
変更の責任を負うユーザーのユーザーID、および変更の実行に使用されたAPI |
SNAPSHOT |
CLOB |
スナップショットのXML表現 |
DELTAS |
CLOB |
スナップショットに対して行われた変更に対応する新旧の値のXML表現 |
SIGNATURE |
CLOB |
スナップショットのデジタル署名を格納するために使用できる列(否認防止用) |
ノート:
Oracle Identity Managerでのデフォルト・ユーザーに対する初期の監査スナップショットはUTF-8エンコードではありません。一方、これらのユーザーに対するその後の変更の監査は、UTF-8エンコード・スナップショットになります。
20.2.1.4 ユーザー・プロファイル監査のスナップショット取得のトリガー
ユーザー・プロファイルのデータ要素が変更されると、Oracle Identity Managerではスナップショットが作成されます。
次のイベントにより、ユーザー・プロファイル・スナップショットの作成がトリガーされます。
-
あらゆる種類のユーザー・レコードに対する変更(リコンシリエーション、ダイレクト・プロビジョニングなどによる変更)
-
ユーザーに対するロール・メンバーシップの変更
-
ユーザーに適用されるポリシーの変更
-
ユーザーへのリソースのプロビジョニング
-
ユーザーに対するリソースのデプロビジョニング
-
プロビジョニングされたリソースに対するプロビジョニング関連イベント
-
リソース・ステータスの変更
-
プロビジョニング・プロセスへのプロビジョニング・タスクの追加
-
プロビジョニング・プロセスのプロビジョニング・タスクに対する更新(ステータス変更、エスカレーションなど)
-
プロセス・フォーム・データの作成または更新
-
20.2.2 ユーザー・プロファイル監査に使用されるポストプロセッサ
ユーザー・プロファイル監査機能には内部ポストプロセッサがあり、スナップショットXMLをレポート表に正規化します。
ユーザー・プロファイルの監査者は、スナップショットのXMLをレポート表UPA_USR、UPA_FIELDS、UPA_GRP_MEMBERSHIP、UPA_RESOURCE、UPA_UD_FORMSおよびUPA_UD_FORMFIELDSに正規化する内部ポストプロセッサを保持します。これらの表は、レポート・モジュールで適切なレポートを生成するために使用されます。
20.2.3 ユーザー・プロファイル監査に使用される表
ユーザー・プロファイル監査に使用されるデータベース表は、UPA_USR、UPA_FIELDS、UPA_GRP_MEMBERSHIP、UPA_RESOURCE、UPA_UD_FORMS、およびUPA_UD_FORMFIELDSです。
表20-4に、ユーザー・プロファイル監査で使用するデータベースの表を示します。
ノート:
ユーザー・プロファイル監査表の列名や使用方法などの詳細は、Oracle Identity Managerに付属のスキーマ・ドキュメントを参照してください。
表20-4 ユーザー・プロファイル監査の表
表名 | 説明 |
---|---|
AUD |
Oracle Identity Managerでサポートされているすべての監査者(たとえば、ユーザー・プロファイル監査者)の詳細情報を格納します。 |
AUD_JMS |
ビジネス・トランザクションの一環として適用された変更の情報を格納するステージング表です。これは、監査エンジンが使用する前にデータ変更ログ・データを一時的に保存するための中間表です。監査メッセージが正常に処理されると、対応するレコードが表から削除されます。 ノート: この表は、エンド・ユーザーの使用を意図していないため、直接使用しないでください。 |
UPA |
すべてのスナップショットおよびユーザー・プロファイルに適用された変更を格納するためのメイン監査表です。 |
UPA_FIELDS |
ユーザー・プロファイル監査履歴の変更を非正規化(垂直)形式で格納します。 |
UPA_GRP_MEMBERSHIP |
グループ・メンバーシップ履歴を非正規化形式で格納します。 |
UPA_RESOURCE |
ユーザー・プロファイル・リソース履歴を非正規化形式で格納します。 |
UPA_USR |
ユーザー・プロファイル履歴を非正規化形式で格納します。 |
UPA_UD_FORMS |
UPA_UD_FORMFIELDS表とともに、ユーザーのアカウント・プロファイル(プロセス・フォーム)への変更に関する情報を格納します。この表は、トランザクションで変更される様々なフォーム(親または子フォームなど)の変更の経過を管理します。アカウントまたは権限の属性の変更は、UPA_UD_FORMFIELDS表に格納されます。 |
UPA_UD_FORMFIELDS |
修正されたアカウント名または権限プロファイルのフィールド名を格納します。この表には、変更されたフィールドの古い値と新しい値も記録されます。 |
ノート:
-
UPA_UD_FORMS表とUPA_UD_FORMFIELDS表には、ユーザーのアカウント・プロファイルの変更に対する監査証跡が非正規化形式で格納されます。これらの表は、監査に関連する様々なレポートに使用できます。
-
UPA_UD_FORMS表とUPA_UD_FORMFIELDS表には、システム・プロパティXL.EnableExceptionReportsがTRUEに設定されている場合にのみデータが移入されます。このプロパティの詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。
-
フォーム・アップグレード・ジョブ・スケジュール・タスクは、フォームのバージョンを最新のアクティブ・バージョンに更新して、フォーム・データをフィールドの作成時にすべてのアカウントに対して指定した値に更新します。このスケジュール済タスクを実行しないと、監査スナップショットおよびレポート表のフォーム・バージョンとデータが不正になります。
20.2.4 ユーザー・プロファイル監査データのアーカイブ
監査のアーカイブおよびパージ・ユーティリティを使用して、ユーザー・プロファイル監査データをアーカイブします。
ユーザー・プロファイル監査データは監査レベルの設定に応じて増加し、ほとんどのデプロイメントにとって増加は深刻です。
また、古いユーザー・プロファイル監査データをクリーンにしたりアーカイブすることで将来の増大に対応する必要もあります。
監査アーカイブおよびパージ・ユーティリティを使用すると、これらの要件に適合できます。このユーティリティの詳細は、「監査アーカイブおよびパージ・ユーティリティの使用」を参照してください。
20.2.5 レガシー監査データ圧縮
設定した圧縮レベルに基づいて、中間層レベルのUPA表内の既存および受信監査データを圧縮できます。
SNAPSHOT列およびDELTAS列に存在する監査データのサイズが大きいため、UPA表のサイズは大幅に増加します。これらの列のデータを圧縮して、大量の領域を節約できます。
この項の内容は次のとおりです。
20.2.5.1 新規デプロイメントの監査データ圧縮の構成
Oracle Identity Governanceの新しいデプロイメントまたはアップグレードされたデプロイメントでは、監査データの圧縮はデフォルトで無効になっています。これを有効にするには、キーワードOIM.AuditCompression
を持つ監査(UPA)データの中間層圧縮
システム・プロパティの次の値を設定します。
0
: これはデフォルト値です。UPA表のいずれの列も圧縮されていないものと判断されます。1
: この値では、UPA表のSNAPSHOT列が圧縮されているものと判断されます。3
: この値では、UPA表のSNAPSHOT列とDELTAS列が圧縮されているものと判断されます。
さらに、キーワードOIM.AuditCompressionAlgo
を持つ監査(UPA)データ・アルゴリズムの中間層圧縮
システム・プロパティでは、GZIPが圧縮アルゴリズムとして使用されているものと判断されます。このシステム・プロパティのデフォルト値(GZIP
)は変更しないでください。
監査(UPA)データの中間層圧縮
および監査(UPA)データ・アルゴリズムの中間層圧縮
システム・プロパティの詳細は、「Oracle Identity Governanceのデフォルトのシステム・プロパティ」を参照してください。
20.2.5.2 既存の監査データ圧縮の構成
以前のリリースのOracle Identity GovernanceのUPA表に存在する圧縮されていないデータを圧縮するには、ユーザー・プロファイル監査圧縮
スケジュール済タスクを実行します。このジョブでは、圧縮さていないデータが圧縮され、UPA表のサイズが削減されます。
ユーザー・プロファイル監査圧縮
スケジュール済タスクには、次の入力パラメータがあります。
- スレッド数: ジョブ実行中に実行するスレッドの数。これは必須パラメータであり、デフォルト値は
2
です。 - バッチ・サイズ: ジョブ実行のバッチのサイズ。これは必須パラメータであり、デフォルト値は
1000
です。 - 時間制限(分): ジョブを実行する時間。これはオプション・パラメータであり、デフォルト値は
90
です。
ユーザー・プロファイル監査圧縮
スケジュール済タスクの詳細は、「事前定義済のスケジュール済タスク」を参照してください。
20.3 ロール・プロファイル監査機能
監査レベル、データの取得とアーカイブ、スナップショットの格納、およびロール・プロファイル監査データのスナップショットを取得するトリガーを理解します。
この項では、ロール・プロファイル監査について次のトピックで説明します。
20.3.1 ロール・プロファイル監査機能について
ロール・プロファイル監査でサポートされる監査レベルは、None, Role, and Role Hierarchyです。
サポートされるレベルは次のとおりです。
-
なし: 監査データは収集されません。これはデフォルト値です。
-
ロール: ロールの作成、変更および削除が監査されます。
-
ロール階層: ロールの継承に対する変更が監査されます。
20.3.2 ロール・プロファイル監査データの取得とアーカイブ
ロール・プロファイルが変更されるたびに、ロール・プロファイルのスナップショットが監査表に格納されます。
ロール・プロファイル監査は、ロール・プロファイルの属性、ロール管理者および直接サブロールに対する変更を対象としています。
ロール・プロファイルの変更のたびに、Oracle Identity Managerでは、ロール・プロファイルのスナップショットを取得してデータベースの監査表に格納します。
Oracle Identity Managerでは、ロールに対する監査が作成されると、最初のスナップショットが存在していない場合も、スナップショットが生成されます。現在のスナップショットが最初のスナップショットとして取り扱われます。
次に、ロール・プロファイルの構成要素とその要素を構成する表を示します。
-
UGP: ロール・レコード(ロールのすべてのUDFを含む)
-
GPG: サブロール/親ロール情報
20.3.3 ロール・プロファイル監査のスナップショットの格納
GPA表には、ロール・プロファイル監査のスナップショットが格納されます。ARM_AUD表には、管理ロール・メンバーシップ・プロファイルのスナップショットが格納されます。
Oracle Identity Managerでロール・プロファイルのスナップショットを取得すると、そのスナップショットはGPA表に格納されます。この表の構造は、表20-5に示すとおりです。
表20-5 GPA表の定義
列 | データ型 | 説明 |
---|---|---|
GPA_KEY |
NUMBER (19,0) |
監査レコードのキー |
UGP_KEY |
NUMBER (19,0) |
ロール・スナップショットが記録されるロールのキー |
EFF_FROM_DATE |
TIMESTAMP (6) |
スナップショット・エントリが有効になった日時 |
EFF_TO_DATE |
TIMESTAMP (6) |
スナップショット・エントリが無効になった日時 つまり、これは次のスナップショット・エントリが作成された日時です。最新のユーザー・プロファイルを表すエントリの場合、終了日列の値はNULLに設定されます。 |
SRC |
VARCHAR2 (4000) |
エントリのソース、変更責任者のユーザーID、および変更の実行に使用されたAPI |
SNAPSHOT |
CLOB |
スナップショットのXML表現 |
DELTAS |
CLOB |
スナップショットに対して行われた変更に対応する新旧の値のXML表現 |
SIGNATURE |
CLOB |
スナップショットのデジタル署名を格納するために使用できる列(否認防止用) |
Oracle Identity Managerで管理ロール・メンバーシップ・プロファイルのスナップショットを取得すると、そのスナップショットはARM_AUD表に格納されます。この表の構造は、表20-6に示すとおりです。
表20-6 ARM_AUD表の定義
列 | データ型 | 説明 |
---|---|---|
ARM_AUD_ID |
NUMBER(20) |
管理ロール監査ID |
MEMBERSHIP_ID |
NUMBER(20) |
管理ロール・メンバーシップID |
ROLE_ID |
NUMBER(20) |
管理ロールID |
USER_ID |
VARCHAR2(256 CHAR) |
ユーザー・メンバーID |
SCOPE_ID |
NUMBER(20) |
管理ロール・メンバーシップのスコープID |
INCLUDE_HIERARCHY |
NUMBER(1) |
組織階層が含まれるかどうか |
ARM_AUD_EFF_FROM_DATE |
TIMESTAMP(6) |
管理ロール監査の発効日 |
ARM_AUD_EFF_TO_DATE |
TIMESTAMP(6) |
管理ロール監査の失効日 |
USR_ACTION |
VARCHAR2(10 CHAR) |
ユーザー・メンバーのアクション |
USR_LOGIN |
VARCHAR2(256 CHAR) |
ユーザー・メンバーのログイン名 |
20.4 カタログ監査
カタログ監査を有効にするには、XL.CatalogAuditDataCollectionシステム・プロパティの値をcatalogに設定します。
カタログ監査の詳細は、「カタログ監査の構成」を参照してください。
20.5 Oracle Identity Governanceでの監査の有効化と無効化
監査を無効または有効にするには、XL.UserProfileAuditDataCollectionおよびXL.CatalogAuditDataCollectionシステム・プロパティに適切な値を設定します。
ここでは、Oracle Identity Governanceで監査機能を有効および無効にする方法について次の各項で説明します。
20.5.1 Oracle Identity Governanceでの監査の無効化
監査を無効にするには、XL.UserProfileAuditDataCollection、XL.RoleAuditLevelおよびXL.CatalogAuditDataCollectionシステム・プロパティに値を設定します。
Oracle Identity Managerで監査機能を無効にするには:
カタログ監査を無効にするには、XL.CatalogAuditDataCollectionシステム・プロパティの値をnone
に設定します。
20.5.2 Oracle Identity Governanceでの監査の有効化
監査を有効にするには、XL.UserProfileAuditDataCollection、XL.RoleAuditLevelおよびXL.CatalogAuditDataCollectionシステム・プロパティに値を設定します。さらに、監査メッセージ発行タスクのスケジュール済ジョブを有効にして、GnerateSnapshotスクリプトを実行します。
Oracle Identity Governanceで監査機能を有効にするには:
カタログ監査を有効にするには、XL.CatalogAuditDataCollectionシステム・プロパティの値をcatalog
に設定します。
20.6 軽量監査
軽量監査を使用するには、監査対象のエンティティ、監査データを格納する表の定義、および監査ロギング構成を理解する必要があります。
20.6.1 軽量監査について
軽量監査エンジンによって監査されるエンティティとしては、ユーザー、ロール、ロール・メンバーシップ、組織、組織とユーザーのメンバーシップ、スキャン定義、ポリシー違反があります。AUDIT_EVENT表に監査データが格納されます。
軽量監査機能は、Oracle Identity Managerの前方検索監査エンジンです。軽量監査エンジンは直接的であり、従来の監査とは異なり、非正規化されたレポート・スキーマがありません。下位互換性を維持するためにOracle Identity Managerでは両方の監査エンジンを使用しています。このトピックでは、軽量監査エンジンで監査されるエンティティを表形式で説明します。
表20-7 は、軽量監査エンジンで監査されるエンティティの一覧です。
表20-7 軽量監査エンジンによりOracle Identity Managerで監査されるエンティティ
エンティティ | 操作 |
---|---|
ユーザー |
作成、変更、削除、有効、無効、ロック、ロック解除、パスワードのリセット、パスワードの変更 |
ロール |
作成、変更、削除 |
ロールユーザー・メンバーシップ |
追加、削除、変更 |
組織 |
作成、変更、削除 |
組織ユーザー・メンバーシップ |
追加済、削除済 |
ポリシー |
作成、変更、削除、有効化、無効化 |
ルール |
作成、変更、削除、有効化、無効化 |
戻り値(子) |
作成、変更、削除 |
ルールの戻り値(子) |
追加、削除 |
ポリシーとルールの関係 |
追加、削除 |
ポリシー違反 |
作成、変更、削除、有効化、無効化 |
ポリシー違反原因 |
作成、変更、削除、有効化、無効化 |
スキャン定義 |
作成、変更、削除、有効化、無効化 |
スキャン定義とポリシーの関係 |
作成、変更、削除、有効化、無効化 |
スキャン実行 |
作成、変更、削除、有効化、無効化 |
スキャン実行とポリシーの関係 |
追加、削除 |
スキャン実行とユーザーの関係 |
追加、削除 |
スキャン実行とポリシー違反の関係 |
追加、削除 |
是正者 |
作成、変更、削除 |
タスク・ポリシー違反 |
作成、変更、削除 |
Oracle Identity Managerがエンティティまたは関係への変更を記録すると、次のAUDIT_EVENT表にデータが格納されます。表20-8 は、AUDIT_EVENT表の内容を示しています。
表20-8 AUDIT_EVENT表の定義
属性 | データ型 | 説明 |
---|---|---|
event_id |
VARCHAR2(40) |
監査ログ・イベントの一意のID |
event_action |
VARCHAR2(255) |
CREATE、MODIFY、DELETE、ADD、REMOVE、MODIFY_RULE、DELETE_RULEなどの一連のエンティティ・タイプ・アクション |
event_date |
TIMESTAMP |
イベントの日付 |
event_actor_id |
VARCHAR2(40) |
アクションを実行したユーザーのID |
event_actor_name |
VARCHAR2(255) |
アクションを実行したユーザーの名前 |
event_mechanism |
VARCHAR2(40) |
セルフ、管理、リコンシリエーション、ポリシー・ベース、リクエスト |
event_request_id |
VARCHAR2(40) |
メカニズムがリクエストである場合はリクエストのrequestId |
event_status |
VARCHAR2(1) |
リクエストのステータスS (成功)またはF (失敗) |
event_fail_reason |
VARCHAR2(255) |
失敗したアクションの理由の説明。たとえば、POLICY_VIOLATION、ACCOUNT_LOCKEDおよびREQUEST NOT APPROVED。 |
event_values_added |
CLOB |
追加された値。データの書式はname1=value1 name2=value2です。この場合、nameは、単純な名前(たとえば、firstname、userMembers)、またはネストされた複雑な属性を表すためのパス式(たとえば、user.address[type=work].street)にすることができます。SQLの"contains"検索が使用可能です。 |
event_values_removed |
CLOB |
削除された値。データの書式はname1=value1 name2=value2です。この場合、nameは、単純な名前(たとえば、firstname、userMembers)、またはネストされた複雑な属性を表すためのパス式(たとえば、user.address[type=work].street)にすることができます。SQLの"contains"検索が使用可能です。 |
entity_type |
VARCHAR2(40) |
エンティティのタイプ |
entity_id |
VARCHAR2(40) |
エンティティのID |
entity_name |
VARCHAR2(255) |
エンティティの名前、たとえば、ユーザー・ログイン、ロール名またはポリシー名。 |
to_entity_type |
VARCHAR2(40) |
関係内のエンティティのタイプ(たとえば、ロールユーザーのユーザー、ポリシールールのルールなど) |
to_entity_id |
VARCHAR2(40) |
関係内のエンティティのID |
to_entity_name |
VARCHAR2(255) |
関係内のエンティティの名前 |
20.6.2 監査ロギング構成
軽量監査エンジンでは、事前定義済グループによって監査イベントを構成できます。新しいエンティティ・タイプまたはアクションを追加することもできます。
-
すべてのエンティティの監査を有効化または無効化
-
ロールの作成など、アクションごとまたはエンティティ・タイプごとに監査を構成
-
アカウントのプロビジョニング、ロールの付与および管理者ロールの付与などの、エンティティ関係またはアクションごとに監査を構成
これらのそれぞれに対し、成功、失敗またはその両方を有効化または無効化するかどうかを構成できます。
監査ロギング構成は、AuditEventGroupManagerおよびAuditEventEntityTypeActionManagerパブリック・インタフェースを使用することで実行することができます。これらのAPIの詳細は、Oracle Identity Manager Java APIリファレンスを参照してください。
表20-9 グループ・エンティティ・タイプ・アクション
グループ名 | エンティティ・タイプ/アクション |
---|---|
ユーザー管理 |
ユーザー/ CREATE ユーザー/ MODIFY ユーザー/ DELETE ユーザー/ LOCK ユーザー/ UNLOCK ユーザー/ ENABLE ユーザー/ DISABLE |
ロール管理 |
ロール/ CREATE ロール/ MODIFY ロール/ DELETE RoleRole / ADD RoleRole / REMOVE |
ロール・メンバーシップ |
RoleUser / GRANT RoleUser / REVOKE |
パスワード管理 |
ユーザー/ CHANGE PASSWORD ユーザー/ RESET_PASSWORD |
ログイン/ログオフ |
ユーザー/ LOGIN ユーザー/ LOGOFF |
組織管理 |
組織/ CREATE 組織/ MODIFY 組織/ DELETE 組織/ ENABLE 組織/ DISABLE |
組織メンバーシップ |
組織ユーザー/ ADD 組織ユーザー / REMOVE |
アカウント管理 |
アカウントの権限/ GRANT アカウントの権限/ REVOKE |
アクセス・ポリシー管理 |
ポリシー/ CREATE ポリシー/ MODIFY ポリシー/ DELETE ポリシー/ CREATE ポリシー/ MODIFY ポリシー・タイプ/ DELETE ルール/ CREATE ルール/ MODIFY ルール/ DELETE |