目次

タイトルおよび著作権情報

はじめに

対象読者

ドキュメントのアクセシビリティについて

関連ドキュメント

表記規則

サポートおよびサービス

1 Oracle Application Server セキュリティの概要

1.1 Oracle Application Serverの概要

1.2 システムの問題としてのセキュリティ

1.2.1 Webブラウザ

1.2.2 ファイアウォール

1.2.3 ロード・バランサ

1.2.4 Virtual Private Network（VPN）

1.3 SSL鍵と証明書の概要

1.4 セキュリティの目的

1.4.1 基本的なセキュリティ・サービスの提供

1.4.2 サポートしている標準

1.4.3 柔軟性に富んだ配置と構成を実現

1.4.4 アプリケーション開発コストおよびデプロイ・コストの最小化

1.4.5 高度なセキュリティの提供

1.5 Oracle Application Server 中間層コンポーネント

1.5.1 Oracle Application Server Web Cache

1.5.2 Oracle HTTP Server

1.5.2.1 Oracle HTTP Server セキュリティ・サービスの概要

1.5.3 Oracle Application Server Containers for J2EE（OC4J）およびOracleAS JAAS Provider

1.5.4 アプリケーションおよびTools

1.5.5 OracleAS Portal

1.6 Identity Managementインフラストラクチャ

1.7 構成オプションおよび一般的なトポロジ

1.8 Oracle Application Server 10gのセキュリティ・プラットフォーム機能

1.8.1 Oracle Identity Managementの強化

1.8.1.1 Oracle Identity Managementのコンポーネント

1.8.1.1.1 Oracle Internet Directory

1.8.1.1.2 OracleAS Single Sign-On

1.8.1.1.3 Oracle Application Server Certificate Authority (OCA)

1.8.2 一般的なセキュリティの強化

1.8.2.1 Oracle HTTP Serverの強化

1.8.2.2 権限の委任

1.8.2.3 Oracle Workflow

1.8.2.4 Oracle Application Development Framework（Oracle ADF）

2 Oracle Application Server セキュリティ・アーキテクチャ

2.1 Oracle Application Serverのセキュリティ・アーキテクチャ

2.1.1 Oracle Application Serverのセキュリティ・アーキテクチャの要素

2.2 Oracle HTTP Serverのセキュリティ

2.2.1 シングル・サインオンを使用したメッセージ・フロー

2.2.2 外部アプリケーションに対する初めての認証

2.2.3 SSLの高速化

2.3 J2EEセキュリティとJAAS

2.4 Oracle Application Server Portalのセキュリティ

2.5 Oracle Application Server Web Cacheのセキュリティ

2.6 その他のOracle Application Serverコンポーネントのセキュリティ

2.7 Oracle Advanced Security

3 推奨される配置トポロジ

3.1 ファイアウォールおよびハードウェア・ロード・バランサの必要性

3.2 一般的なアーキテクチャおよび概念

3.2.1 DMZゾーン

3.2.2 DMZベース・アーキテクチャの構成

3.2.3 ハードウェア・ロード・バランサおよびHTTP/HTTPSアプライアンス

3.3 エンタープライズ・データ・センター・トポロジ

3.3.1 J2EEアプリケーション

3.3.2 mod_plsqlアプリケーション

3.3.3 OracleAS Portal、OracleAS WirelessおよびBusiness Intelligenceアプリケーション

3.4 OracleAS Forms Services、OracleAS Reports ServicesおよびOracleBI Discoverer開発者トポロジ

3.4.1 OracleAS Reports Servicesの推奨トポロジ

3.4.2 OracleAS Forms Servicesの推奨トポロジ

3.4.3 OracleBI Discovererの推奨トポロジ

3.5 OracleAS Single Sign-OnおよびOracleAS Web Cacheに関する考慮事項

3.5.1 Oracle Application Server Single Sign-Onに関する考慮事項

3.5.2 Oracle Application Server Web Cacheに関する考慮事項

4 Oracle Identity Management

4.1 Oracle Identity Managementの役割

4.1.1 Oracle Identity Managementへの依存

4.1.2 サード・パーティのID管理サービスの利用

4.2 Oracle Identity Managementの機能および利点

4.2.1 集中ユーザー管理

4.2.2 パスワード管理ポリシー

4.2.2.1 Oracle Internet Directoryでのインスタンスのパスワードの変更

4.2.3 認証のためのOracleAS Single Sign-On

4.2.3.1 Oracle以外の環境への透過的なサインオン

4.2.4 Oracle Databaseへのセキュアで透過的なサインオン

4.2.5 委任管理およびセルフサービス・インタフェース

4.2.6 ロールベースのアクセス制御および権限の委任

4.2.6.1 インストール権限および配置権限

4.2.7 プロビジョニング統合

4.2.8 公開鍵インフラストラクチャ（PKI）とOracleAS Certificate Authority

4.2.9 サード・パーティのID管理ソリューションの統合

4.2.9.1 サード・パーティのLDAPディレクトリと他のディレクトリ・ソースの統合

4.2.9.2 サード・パーティのシングル・サインオン・サービスの統合

4.2.9.3 サード・パーティのプロビジョニング・ソリューションの統合

5 権限の委任

5.1 概要

5.1.1 委任の機能

5.2 権限の委任

5.2.1 ユーザーおよびグループ・データの管理権限を付与する方法

5.3 権限モデルのセキュリティ目標

5.4 ロールおよび責任

5.5 コンポーネントの実行時権限の委任

6 セキュリティのベスト・プラクティス

6.1 一般的なベスト・プラクティス

6.1.1 HTTPSの使用時におけるベスト・プラクティス

6.1.2 タスクの実行に十分な最低のレベルの割当て

6.1.3 Cookieセキュリティのベスト・プラクティス

6.1.4 システム設定のベスト・プラクティス

6.1.5 証明書の使用時におけるベスト・プラクティス

6.1.6 既知の攻撃に対するコードとコンテンツのチェック

6.1.7 一般的なファイアウォール・プラクティスの実行

6.1.8 宣言セキュリティの利用

6.1.9 DMZでのスイッチ接続の使用

6.1.10 DMZへのアプリケーション・サーバーの配置

6.1.11 Secure Sockets Layer

6.1.12 SSLSessionCacheTimeoutディレクティブの調整

6.1.13 セキュリティ・コンポーネントのインストール前の最終的なトポロジの計画

6.2 JAASのベスト・プラクティス

6.3 J2EEセキュリティのベスト・プラクティス

6.3.1 カスタム・ユーザー・マネージャの作成の回避

6.3.2 JAASプロバイダでの認証メカニズム

6.3.3 緻密なアクセス制御の使用

6.3.4 Oracle Internet Directoryのセントラル・リポジトリとしての使用

6.3.5 J2EEアプリケーション用の適切なログアウト機能の開発

6.4 OracleAS Single Sign-Onのベスト・プラクティス

6.4.1 高可用性の構成

6.4.2 Oracle Application Server Single Sign-Onの利用

6.4.3 全社的なディレクトリの使用

6.4.4 カスタム認証ロジックの作成にかわるOracleAS Single Sign-Onの使用

6.4.5 Oracle Application Serverで常にSSLを使用

6.4.6 ログイン画面のみのユーザー名とパスワードの使用

6.4.7 アクティブ状態のCookieを破棄するためのログアウト

6.5 Oracle Internet Directory配置のベスト・プラクティス

6.5.1 bulkload.shユーティリティの使用

6.5.2 高可用性のレプリケーション

6.5.3 SSLバインドの使用

6.5.4 バックアップとリストアのユーティリティの使用

6.5.5 Oracle Internet Directoryの監視と監査

6.5.6 Oracle Internet Directory権限の割当て

6.5.7 アクセス制御ポリシーの変更

6.5.8 Directory Integration Platformのベスト・プラクティス

6.5.8.1 ID管理レルムの使用

6.5.8.2 DIP同期サービスの構成

6.5.8.3 Oracle HRの同期化

6.5.9 Oracle9iASアプリケーションを既存のOracle Internet Directoryに移行するための推奨事項

6.5.10 セルフ・サービス・コンソールの構成

6.5.11 oidmonとoidctlのかわりにopmnctlを使用

6.5.12 Active Directoryの同期化の構成

6.5.13 リセットにおけるユーザー属性とパスワードのヒントの使用

A Oracle Application Server FIPS 140-2 Level 2の設定

A.1 構成

A.1.1 SQLNET.SSLFIPS_140パラメータの設定

A.1.2 暗号スイートの選択

A.2 インストール後のチェック

A.3 FIPS接続の検証

B セキュリティに関するチェックリストと推奨事項

B.1 インストールと構成の保護

B.1.1 オペレーティング・システムのセキュリティ

B.1.2 必要なもののみのインストール

B.1.3 インストール時およびインストール後のSSLの有効化

B.1.4 製品のセキュリティ・パッチと回避策の適用

B.2 OracleAS Metadata Repositoryスキーマの保護

B.3 「ようこそ」ページの保護

B.3.1 カスタムの「ようこそ」ページの作成

B.3.2 「ようこそ」ページの保護

B.4 デモの無効化と削除

B.5 コンポーネント・レベルのロギングの有効化

用語集

索引