10gリリース2(10.1.2)
B15823-02
 目次 |
 索引 |
| Oracle Application Server Single Sign-On 管理者ガイド 10gリリース2(10.1.2) B15823-02 |
|
「Triple Data Encryption Standard(3DES)」を参照。
「アクセス制御項目」を参照。
「アクセス制御リスト」を参照。
「アクセス制御ポリシー・ポイント」を参照。
データ暗号化規格にかわる暗号標準として意図された対称型暗号アルゴリズム。商用および政府データの暗号化に対する、米国連邦情報処理標準(Federal Information Processing Standard: FIPS)となっている。
「Advanced Encryption Standard(AES)」を参照。
「Application Program Interface(API)」を参照。
コンピュータ・アプリケーションと、下位レベルのサービスや機能(オペレーティング・システム、デバイス・ドライバ、他のソフトウェア・アプリケーションなど)との間のインタフェースとなる一連のソフトウェア・ルーチンおよび開発ツール。APIは、プログラマがソフトウェア・アプリケーション間に連携を構築する際の基盤となる。たとえば、LDAP対応のクライアントは、LDAP APIで使用可能なプログラム・コールを通して、Oracle Internet Directory情報にアクセスする。
Abstract Syntax Notation One(ASN.1)は、情報データの構文定義に使用される国際電気通信連合(International Telecommunication Union: ITU)の表記規約である。ASN.1は、構造化された情報、特に通信メディアを介して送受信される情報の記述に使用される。ASN.1は、インターネット・プロトコルの仕様において幅広く使用されている。
「Oracle Databaseアドバンスト・レプリケーション」を参照。
大半のブラウザによってサポートされる認証プロトコル。Webサーバーでは、データ通信時に渡されたエンコード済のユーザー名とパスワードを使用してエンティティが認証される。BASE64エンコーディングは自由に利用できるデコーディング・ユーティリティを使用して誰でもデコードできるため、Basic認証は平文認証と呼ばれることもある。エンコーディングと暗号化は異なることに注意すること。
「基本エンコーディング規則」を参照。
DESにかわる暗号化を迅速に導入する目的で、Bruce Schneier氏によって1993年に開発された対称型暗号アルゴリズム。Blowfishは、64ビット・ブロックと最大448ビットの鍵を使用するブロック暗号である。
「認証局」を参照。
認証局は、自局が発行するすべての証明書を自身の秘密鍵で署名する。それに対応する認証局の公開鍵は、CA証明書(またはルート証明書)と呼ばれる証明書の中に含まれる。ブラウザは、CAの秘密鍵によって署名されたメッセージを信頼するには、信頼できるルート証明書リストの中にCA証明書を保持している必要がある。
「暗号ブロック連鎖」を参照。
Certificate Management Protocol(CMP)は、証明書の作成と管理に関連するあらゆる局面を取り扱う。CMPでは、認証局、登録局、証明書が発行されたユーザーやアプリケーションなど、公開鍵インフラストラクチャの構成要素間の対話がサポートされる。
Certificate Request Message Format(CRMF)は、X.509証明書のライフサイクル管理に関連したメッセージに使用されるフォーマットで、RFC 2511仕様で規定されている。
「Certificate Management Protocol(CMP)」を参照。
「Cryptographic Message Syntax(CMS)」を参照。
「構成設定エントリ」を参照。
「証明書失効リスト」を参照。
「Certificate Request Message Format(CRMF)」を参照。
デジタル・メッセージの署名、ダイジェスト、認証および暗号化に使用される構文。RFC 3369で定義される。
データベース・アクセス記述子の構成に使用される、Oracle HTTP Serverの構成ファイル。
「Oracle Delegated Administration Services(DAS)」を参照。
「Oracle Delegated Administration Services」を参照。
「高度なエンコーディング規則」を参照。
「データ暗号化規格」を参照。
「ディレクトリ情報ベース」を参照。
保護されていないチャネルで通信を行う二者間で共有シークレットを構築することを可能にする公開鍵暗号プロトコル。Diffie-Hellmanは1976年に公開され、使用可能になった最初の公開鍵暗号システムである。
「対称型アルゴリズム」も参照。
Digital Signature Standard(DSS)の一部として使用されている非対称型アルゴリズム。DSAは暗号化には使用できず、デジタル署名にのみ適用される。このアルゴリズムは1組の大きな数を生成することで、署名者の認証と、結果として添付されているデータの整合性を保証する。DSAは、デジタル署名の生成と検証の両方に使用される。
「Elliptic Curve Digital Signature Algorithm(ECDSA)」も参照。
Oracle Directory Integration and Provisioning環境で、Oracle Internet Directoryと接続ディレクトリとの間でデータの同期化を実行するサーバー。
「Oracle Directory Manager」を参照。
「Directory Integration and Provisioning Server」を参照。
「ディレクトリ情報ツリー」を参照。
「識別名」を参照。
特定のXMLドキュメントで有効なタグおよびタグの順序に関する制約を指定するドキュメント。DTDは、XMLの親言語であるSimple Generalized Markup Language(SGML)の規則に準拠する。
「ディレクトリ・レプリケーション・グループ」を参照。
「Digital Signature Algorithm(DSA)」または「ディレクトリ・システム・エージェント」を参照。
「ディレクトリ固有のエントリ」を参照。
「Document Type Definition(DTD)」を参照。
「Elliptic Curve Cryptography(ECC)」を参照。
「Elliptic Curve Digital Signature Algorithm(ECDSA)」を参照。
「Enterprise JavaBeans(EJB)」を参照。
RSAにかわる暗号化システムで、大きな数の因数分解よりも楕円曲線の離散対数問題の解決の方が困難であることに基づいている。ECCは、Certicom社によって開発および商品化され、ワイヤレス・デバイスやPCカードのような、制限された演算能力の中で高速が要求される環境に特に適している。ECCは、同じ鍵サイズ(ビット単位)であれば、RSAよりもセキュリティが高い(鍵なしでの復号化がより困難である)。
Elliptic Curve Digital Signature Algorithm(ECDSA)は、Digital Signature Algorithm(DSA)標準の楕円曲線版である。RSA的な方式と比較したECDSAの利点は、鍵の長さが短く、署名と復号化が高速なことである。たとえば、160ビットのECC鍵は、1024ビットのRSA鍵に相当するセキュリティを実現する。210ビットのECC鍵は2048ビットのRSA鍵に相当し、セキュリティ・レベルが高くなるにつれて、この利点が顕著になる。
Sun社によって開発されたJava APIで、複数層からなるクライアント/サーバー・システムのコンポーネント・アーキテクチャを定義する。EJBシステムはJavaで記述されているため、プラットフォームに依存しない。オブジェクト指向に基づき、既存システムへの実装には、再コンパイルや構成をほとんどまたはまったく必要としない。
「Oracle Enterprise Manager」を参照。
米国商務省の標準技術局(National Institute of Standards and Technology: NIST)によって発行されている情報処理標準。
「フェデレーテッドID管理」を参照。
「Federal Information Processing Standards(FIPS)」を参照。
ログイン資格証明がログインURLの一部として送信される認証方式。
エントリがディレクトリに追加されると、システムで生成され、エントリに挿入される識別子。マルチマスター・レプリケート環境で、DNではなくGUIDがエントリを一意に識別する。エントリのGUIDをユーザーが変更することはできない。
「Global Unique Identifier(GUID)」を参照。
ハッシュ関数の1つの技法で、秘密のハッシュ関数結果の作成に使用される。HMACは、MD5やSHAなどの既存のハッシュ関数を強化し、Transport Layer Security(TLS)で使用される。
「Hashed Message Authentication Code(HMAC)」を参照。
Hyper Text Transfer Protocolの略称。Webブラウザとサーバー間で、ドキュメントのリクエストとその内容の転送に使用されるプロトコル。この仕様は、World Wide Web Consortiumによって維持および開発される。
「Oracle HTTP Server」を参照。
Oracle HTTP Serverの構成に使用されるファイル。
Oracle Application Serverで、ユーザーとグループの管理に責任を持つ管理グループ。OracleAS Single Sign-On管理者は、iASAdminsグループのメンバーである。
組織でネットワーク・エンティティのセキュリティ・ライフ・サイクル全体を管理するプロセス。通常、組織のアプリケーション・ユーザーの管理を指す。セキュリティ・ライフ・サイクルの手順には、アカウント作成、一時停止、権限変更およびアカウント削除が含まれる。管理されるネットワーク・エンティティには、デバイス、プロセス、アプリケーション、またはネットワーク環境で対話する必要があるその他のすべてのものが含まれる。ID管理プロセスで管理されるエンティティには、組織外のユーザー(顧客、取引先、Webサービスなど)も含まれる。
OracleAS Single Sign-OnとOracle Internet Directoryのデータを保持するデータベース。
すべてが同じ管理ポリシーによって管理されている識別情報の集合。企業では、イントラネットへのアクセス権限を所有しているすべての従業員は1つのレルムに属し、企業の公開アプリケーションにアクセスするすべての外部ユーザーは別のレルムに属する。ID管理レルムは、特別なオブジェクト・クラスが関連付けられた特定のエントリでディレクトリ内に表される。
各ID管理レルムに含まれたOracleコンテキスト。これには、次の情報が格納されている。
トラスト・サークルのメンバーによって、ユーザーの認証と、フェデレーション内の他のパーティへのデジタルID情報の提供に責任を持つエンティティと認識されている組織。IDプロバイダはサービス・プロバイダと連携して、フェデレーション内の全パーティによって合意された手続きに従うサービスを提供する。
「Oracle Internet Directory」を参照。
新しいインターネット標準仕様の開発に従事する主要機関。インターネット・アーキテクチャおよびインターネットの円滑な操作の発展に関わるネットワーク設計者、運営者、ベンダーおよび研究者による国際的な団体である。
プロトコルの1種。クライアントは、このプロトコルを使用して、サーバー上の電子メール・メッセージに対するアクセスおよび操作を行う。リモートのメッセージ・フォルダ(メールボックスとも呼ばれる)を、ローカルのメールボックスと機能的に同じ方法で操作できる。
「Java 2 Platform, Enterprise Edition(J2EE)」を参照。
Sun社によって定義された、エンタープライズ・アプリケーションを開発および配置するための環境。J2EEプラットフォームは、複数層にわたるWebベース・アプリケーションを開発する機能を提供するサービス、Application Program Interface(API)およびプロトコルのセットで構成される。
JavaServer Pages(JSP)はサーバー側のテクノロジで、Sun社によって開発されたJavaサーブレット・テクノロジに対する拡張である。JSPには、HTMLコードと連携して動作する動的なスクリプティング機能があり、それによってページ・ロジックが静的要素(ページの設計と表示)から分離される。Javaソース・コードとその拡張機能がHTMLページに埋め込まれることで、HTMLがより機能的になり、データベースへの動的な問合せなどに使用される。
「JavaServer Pages(JSP)」を参照。
「Lightweight Directory Access Protocol(LDAP)」を参照。
システム間でディレクトリ・データを交換するためのテキストベースの共通フォーマット。LDAPコマンドライン・ユーティリティに使用する入力ファイルをフォーマットするための一連の規格。
スループットを向上させるために、OracleAS Single Sign-Onサーバーが、Oracle Internet Directoryへの接続をキャッシュして再利用すること。
「LDAP Data Interchange Format(LDIF)」を参照。
Liberty Alliance Projectは、世界中の150を超える企業、非営利団体および政府機関からなるアライアンスである。このコンソーシアムは、現在および将来のあらゆるネットワーク・デバイスでサポートされるフェデレーテッド・ネットワークIDのオープン・スタンダードの開発に従事する。Liberty Allianceは、フェデレーテッドID管理に関するオープンなテクノロジ標準、プライバシ保護およびビジネス・ガイドラインの定義および推進作業を行う、唯一のグローバル団体である。
ディレクトリ内の情報にアクセスするための1組のプロトコル。LDAPでは、あらゆるタイプのインターネット・アクセスに必要なTCP/IPがサポートされる。また、その設計規則のフレームワークによって、Oracle Internet Directoryなどの業界標準のディレクトリ製品がサポートされる。これはX.500標準の簡易版であるため、LDAPはX.500 Lightと呼ばれることもある。
「メッセージ認証コード」を参照。
Message Digest Twoの略称。メッセージ・ダイジェストを作成するハッシュ関数。このアルゴリズムは入力テキストを処理し、元のメッセージに対して固有でデータの整合性検証に使用できる128ビットのメッセージ・ダイジェストを作成する。MD2は、RSA Security社のRon Rivest氏によって開発され、スマート・カードなどの、メモリーが限られるシステムでの使用が意図されている。
Message Digest Fourの略称。MD2と類似するが、ソフトウェアでの高速処理に特化して設計されている。
Message Digest Fiveの略称。メッセージ・ダイジェストを作成するハッシュ関数。このアルゴリズムは入力テキストを処理し、元のメッセージに対して固有でデータの整合性検証に使用できる128ビットのメッセージ・ダイジェストを作成する。MD5は、MD4の潜在的な脆弱さが報告された後、Ron Rivest氏によって開発された。MD5はMD4と類似するが、元のデータに対してより多くの処理を行うため速度は遅い。
「マスター定義サイト」を参照。
Oracle HTTP Server上のモジュール。これにより、ユーザーが一度OracleAS Single Sign-On Serverにログインすると、OracleAS Single Sign-Onで保護されるアプリケーションがユーザー名とパスワードのかわりにHTTPヘッダーを受け取ることができる。これらのヘッダーの値は、mod_osso Cookieに格納される。
HTTP Serverに格納されるユーザー・データ。Cookieはユーザーの認証時に作成される。同じユーザーが別のアプリケーションをリクエストした場合、Webサーバーはmod_osso Cookieの情報を使用してアプリケーションにユーザーをログインさせる。この機能によって、サーバーのレスポンス時間が短縮される。
Oracle HTTP Serverのモジュール。これにより、mod_ossoを使用して、レガシー・アプリケーションまたは外部アプリケーションへのシングル・サインオンを有効にできる。
See 共有サーバー
「Oracle Net Services」を参照。
Organization for the Advancement of Structured Information Standardsの略称。E-Business標準の開発、策定および採用を推進する国際的な非営利組織。
「Oracle Containers for J2EE(OC4J)」を参照。
「Oracle Certificate Authority」を参照。
「Oracle Call Interface(OCI)」を参照。
「Online Certificate Status Protocol(OCSP)」を参照。
「Oracle Enterprise Manager」を参照。
「Oracle Internet Directory」を参照。
サーバーの起動と停止のコマンドを発行するコマンドライン・ツール。コマンドは、OIDモニターのプロセスによって解析され、実行される。
Oracle Internet DirectoryがOracle Databaseに接続するときのパスワードの変更に使用されるユーティリティ。
Oracle Internet Directoryサーバー・プロセスの開始、監視および終了を実行するOracle Internet Directoryのコンポーネント。レプリケーション・サーバー(インストールされている場合)およびOracle Directory Integration and Provisioningサーバーの制御も行う。
デジタル証明書の有効性確認において、広く使用されている2つの方式のうちの1つ。もう1つの方式の証明書失効リストはOCSPよりも古く、使用シナリオによってはOCSPに置き換えられている。OCSP仕様はRFC 2560で規定されている。
OracleAS Single Sign-Onは、複数のアプリケーション(経費報告、電子メール、福利厚生情報など)に対する安全なログインを実現するプログラム・ロジックで構成される。これらのアプリケーションには、パートナ・アプリケーションと外部アプリケーションの2つのフォームがある。いずれの場合も、一度の認証で複数のアプリケーションにアクセスできる。
ファイル、イメージ、アプリケーションおよびWebサイトを統合するメカニズムを提供する、OracleAS Single Sign-Onのパートナ・アプリケーション。「外部アプリケーション」ポートレットで、外部アプリケーションにアクセスできる。
Application Program Interface(API)の1つ。これにより、第三世代言語のネイティブ・プロシージャやファンクション・コールを使用して、Oracle Databaseサーバーにアクセスし、SQL文の実行のすべての段階を制御するアプリケーションを作成できる。
Oracle Application Server環境内で使用される認証局。OracleAS Certificate Authorityでは、証明書の格納リポジトリとしてOracle Internet Directoryが使用される。OracleAS Certificate AuthorityをOracleAS Single Sign-OnおよびOracle Internet Directoryと統合することで、これらに依存するアプリケーションに対する透過的な証明書プロビジョニング・メカニズムが実現される。Oracle Internet DirectoryにプロビジョニングされOracleAS Single Sign-Onで認証されるユーザーは、OracleAS Certificate Authorityにデジタル証明書をリクエストできる。
IETF Cryptographic Message Syntax(CMS)プロトコルのオラクル社による実装。CMSは、セキュアなメッセージ・エンベロープを実現するデータ保護方式を定義する。
Java 2 Platform, Enterprise Edition(J2EE)用の軽量でスケーラブルなコンテナ。
コアな暗号化アルゴリズムを提供するPure Javaライブラリ。
2つのOracleデータベース間で、データベースの表を継続的に同期化できるOracle Databaseの機能。
Oracle Delegated Administration Servicesユニットと呼ばれる個々の事前定義済サービスのセットで、ユーザーのかわりにディレクトリ操作を実行する。Oracle Internet Directoryセルフ・サービス・コンソールによって、Oracle Internet Directoryを使用するOracleアプリケーションおよびサード・パーティ・アプリケーションの両方の管理ソリューションを容易に開発および配布できる。
インタフェースとサービスの集合で、Oracle Internet Directoryといくつかの関係するプラグインやコネクタを使用して複数のディレクトリを統合する。外部のユーザー・リポジトリが使用されている場合に、そこからOracle製品への認証を可能にするOracle Internet Directoryの機能。
Oracle Directory Integration and Provisioning環境で、Oracle Internet Directoryの変更イベントを監視し、ディレクトリ統合プロファイルの情報に基づいてアクションを行うデーモン・プロセス。
Oracle Internet Directoryのコンポーネントの1つ。Oracle Internet Directoryのような中央LDAPディレクトリの周囲のアプリケーションを統合するために開発されたフレームワーク。
Oracle Internet Directoryを管理するための、Graphical User Interface(GUI)を備えたJavaベースのツール。
Oracle製品の1つ。グラフィカルなコンソール、エージェント、標準的なサービスおよびツールを組合せ、Oracle製品を管理するための統合された包括的なシステム管理プラットフォームを提供する。
Hypertext Transfer Protocol(HTTP)を使用する、Webトランザクションを処理するソフトウェア。オラクル社では、Apache Groupが開発したHTTPソフトウェアを使用する。
すべての企業識別情報および企業内の様々なアプリケーションへのアクセスを集中的かつ安全に管理するための配置を可能にするインフラストラクチャ。
分散ユーザーやネットワーク・リソースに関する情報の検索を可能にする、一般的な用途のディレクトリ・サービス。Lightweight Directory Access Protocol(LDAP)バージョン3とOracle Databaseの高度のパフォーマンス、スケーラビリティ、耐久性および可用性を組み合せたもの。
Liberty Alliance Project仕様のオラクル社による実装。サード・パーティ製のLiberty準拠アプリケーション間で、フェデレーテッド・シングル・サインオンを可能にする。
Oracleのネットワーク製品ファミリの基礎。Oracle Net Servicesを使用すると、サービスやアプリケーションを異なるコンピュータに配置して通信できる。Oracle Net Servicesの主な機能には、ネットワーク・セッションの確立およびクライアント・アプリケーションとサーバー間のデータ転送がある。Oracle Net Servicesは、ネットワーク上の各コンピュータに配置される。ネットワーク・セッションの確立後は、Oracle Net Servicesはクライアントとサーバーのためのデータ伝達手段として機能する。
公開鍵インフラストラクチャ実装内で必要なセキュリティ・プロトコルのオラクル社による実装。
証明書でサポートされるOracleアプリケーション・タイプを定義する。
異種システムおよびアプリケーション間でセキュリティ資格証明を、XMLベースのフォーマットで交換するためのフレームワークを提供する。Security Assertions Markup Language(SAML)に関するOASIS仕様に基づく。
X.509ベースの証明書管理機能を組み込んだ、Oracle Cryptoの拡張。Oracle Security Engineは、Oracle Cryptoのスーパーセットである。
Internet Engineering Task Force(IETF)が発行するセキュアな電子メールに関するSecure/Multipurpose Internet Mail Extension(S/MIME)仕様のオラクル社による実装。
セキュリティ管理者が、クライアントとサーバー上での公開鍵セキュリティ資格証明の管理に使用するJavaベースのアプリケーション。
『Oracle Advanced Security管理者ガイド』も参照。
既存のセキュリティ・テクノロジを使用して認証および認可を行うためのフレームワークを提供する。Webサービス・セキュリティに関するOASIS仕様に基づく。
XML暗号化およびXML署名に関するW3C仕様のオラクル社による実装。
「ID管理レルム固有のOracleコンテキスト」および「ルートOracleコンテキスト」を参照。
「Oracle Wallet Manager」を参照。
マルチマスター・レプリケーションまたはn-wayレプリケーションとも呼ばれる。同等に機能する複数サイトがレプリケートされたデータのグループを管理できるようにするレプリケーションのタイプ。このようなレプリケーション環境では、各ノードはサプライヤ・ノードであると同時にコンシューマ・ノードであり、各ノードでディレクトリ全体がレプリケートされる。
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS#1は、RSAアルゴリズムをベースとした公開鍵暗号の実装に関する推奨事項を定めている。この内容には、暗号化の基本から、暗号化方式、署名方式、鍵の表記や各種方式の識別に使用するASN.1構文までが含まれる。
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS#5は、パスワードをベースとした暗号化の実装に関する推奨事項を定めている。
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS #7は、デジタル署名やデジタル・エンベロープなどの、暗号化が適用されるデータに関する汎用構文を定めている。
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS #8は、公開鍵と秘密鍵の対応付けアルゴリズムや一連の属性などの、秘密鍵情報に関する構文を定めている。この標準は、暗号化された秘密鍵に関する構文も定めている。
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS #10は、公開鍵、名前および一連の可能な属性の証明リクエストに関する構文を定めている。
公開鍵暗号規格(PKCS)とは、RSA Laboratoriesによって策定された仕様のこと。PKCS #12は、個人の識別情報(秘密鍵、証明書、その他の秘密情報、拡張項目など)の伝送に関する構文を定めている。この標準をサポートするシステム(ブラウザやオペレーティング・システムなど)を使用するユーザーは、主にWalletと呼ばれるフォーマットによって、1組の個人用識別情報をインポート、エクスポートおよび利用できる。
「公開鍵インフラストラクチャ」を参照。
ファンアウト・レプリケーション(fan-out replication)とも呼ばれる。サプライヤがコンシューマに直接レプリケートするレプリケーションのタイプ。コンシューマは1つ以上の他のコンシューマにレプリケートできる。レプリケーションには、完全レプリケーションと部分レプリケーションがある。
シングル・サインオン・サーバーに必要な基本パラメータが含まれる、Oracle Application Server Single Sign-Onの多目的構成ファイル。OracleAS Single Sign-Onが持つマルチレベル認証などの高度な機能を構成する際にも使用される。
Portable Operating System Interface for UNIXの略称。アプリケーションのソース・コードの記述方法を決めることで、異なるオペレーティング・システム間でのアプリケーションの移植を可能にするプログラミング・インタフェース標準のセット。この標準セットは、Internet Engineering Task Force(IETF)によって開発されている。
ログイン資格証明がログイン・フォーム本体内で送信される認証方式。
Rivest Cipher Twoの略称。RSA Security社のRonald Rivest氏によって開発された64ビットブロック暗号で、データ暗号化規格に置き換える目的で設計された。
Rivest Cipher Fourの略称。RSA Security社のRonald Rivest氏によって開発されたストリーム暗号。RC4では、最大1024ビットの可変長の鍵を使用できる。RC4は、Secure Sockets Layer(SSL)プロトコルを使用するWebサイト間で通信を暗号化することによってデータ伝送を保護する際に、最も幅広く使用されている。
「相対識別名」を参照。
Internet Request For Commentsとも呼ばれる。インターネット関連のプロトコルとポリシーの定義が記述されたドキュメント。Internet Engineering Task Force(IETF)が、新しい標準の討議、開発および構築を進めている。標準は、RFCという頭字語とリファレンス番号を使用して公開される。たとえば、電子メールの公式標準はRFC 822である。
公開鍵暗号アルゴリズムの名前で、その考案者(Rivest、ShamirおよびAdelmanの3氏)から名付けられた。RSAアルゴリズムは、最も幅広く使用されている暗号化/認証アルゴリズムで、Netscape社およびMicrosoft社のWebブラウザや、他の多くの製品の一部として組み込まれている。
RSA Encryption Scheme - Optimal Asymmetric Encryption Paddingの略称。RSAアルゴリズムとOAEP方式を組み合せた公開鍵暗号化方式。Optimal Asymmetric Encryption Padding(OAEP)は、Mihir BellareとPhil Rogawayの2氏によって開発されたメッセージ・エンコーディング方式である。
「Secure/Multipurpose Internet Mail Extension(S/MIME)」を参照。
「Security Assertions Markup Language(SAML)」を参照。
「Simple Authentication and Security Layer(SASL)」を参照。
入力に基づいて160ビットのメッセージ・ダイジェストを生成するハッシュ関数アルゴリズム。このアルゴリズムは、Digital Signature Standard(DSS)で使用されている。128、192、256ビットの3通りの鍵サイズを提供するAdvanced Encryption Standard(AES)の導入によって、それらに対応する同レベルのセキュリティを持つハッシュ・アルゴリズムが必要となっている。より新しいSHA-256、SHA-284および SHA-512ハッシュ・アルゴリズムは、これらの拡張要件を満たしている。
ネットワーク(インターネットなど)経由での暗号化および認証された通信を実現するために、Netscape社によって設計されたプロトコル。SSLでは、RSA社の公開鍵暗号システムが使用され、デジタル証明書の使用も組み込まれている。SSLでは、セキュアな通信の3要素である機密保護、認証および整合性が実現される。
SSLはTransport Layer Security(TLS)へと発展している。TLSとSSLは相互運用できないが、SSL対応クライアントはTLSで送信されたメッセージを処理できる。
デジタル署名と暗号化を使用したMIMEデータの保護に関するInternet Engineering Task Force(IETF)の標準。
インターネット経由でセキュリティ情報を交換するためのXMLベースのフレームワーク。SAMLは、他の方法では相互運用できない様々なセキュリティ・サービス・システム間で、認証および認可情報の交換を可能にする。SAML 1.0仕様は、2002年にOASISによって採用された。
「システム・グローバル領域」を参照。
「Secure Hash Algorithm(SHA)」を参照。
Netscape Navigatorブラウザが証明書のリクエストに使用する固有のプロトコル。
接続ベースのプロトコルに認証サポートを追加する方法。この仕様を使用するために、プロトコルには、ユーザーを識別してサーバーに対して認証を行い、オプションで、以降のプロトコル対話に使用するセキュリティ・レイヤーを規定するコマンドが含まれる。このコマンドには、SASL方式を識別する必須引数がある。
OracleAS Single Sign-Onパートナ・アプリケーションをシングル・サインオン対応にするためのレガシーAPI。SDKは、PL/SQL APIおよびJava API、さらにこれらのAPIを実装する方法を実証するサンプル・コードで構成される。このSDKは現在は使用不可で、かわりにmod_ossoが使用される。
Single Sign-Onアプリケーション(経費報告、電子メール、福利厚生情報など)に安全にログインできるようにするプログラム・ロジック。
スタンドアロンのLDAPデーモン。レプリケーションを除くディレクトリの大半の機能を担当するLDAPディレクトリ・サーバー・サービス。
Simple Object Access Protocolの略称。XMLベースのプロトコルで、インターネットを介したシステム間で、HTTPを使用してメッセージを送受信するためのフレームワークを定義する。SOAPメッセージは3つの部分からなる。1つは、メッセージとその処理方法が記述されたエンベロープで、残りは、アプリケーションで定義されたデータ型のインスタンスを表現するための1組のエンコーディング規則と、リモート・プロシージャ・コールおよびレスポンスの表記規則である。
「Signed Public Key And Challenge(SPKAC)」を参照。
「Secure Sockets Layer(SSL)」を参照。
アクセス制御リスト情報が含まれた特定のタイプのサブエントリ。
RFC 3161で規定されるプロトコル。デジタル・メッセージのタイムスタンプに関する参加エンティティ、メッセージ形式および転送プロトコルが定義される。TSPシステムでは、信頼できる第三者機関である時刻認証局(TSA)によって、メッセージのタイムスタンプが発行される。
「Transport Layer Security(TLS)」を参照。
インターネット上の通信プライバシを提供するプロトコル。このプロトコルによって、クライアント/サーバー・アプリケーションは、通信時の盗聴、改ざんまたはメッセージの偽造を防止できる。
IBM社によって1974年に開発されたデータ暗号化規格に基づく暗号化アルゴリズム。1977年に米国の連邦標準として採用されている。3DESでは、64ビットの鍵が3つ使用される(鍵の長さは全体で192ビットになるが、実際の鍵長は56ビットである)。データは、第一の鍵で暗号化され、第二の鍵で復号化され、さらに第三の鍵で再度暗号化される。結果として、3DESは標準的なDESよりも3倍低速になるが、3倍セキュアになる。
「Time Stamp Protocol(TSP)」を参照。
汎用キャラクタ・セットのタイプ。16ビットの領域にエンコードされた64K個の文字の集合。既存のほとんどすべてのキャラクタ・セット規格の文字をすべてエンコードする。世界中で使用されているほとんどの記述法を含む。UnicodeはUnicode Inc.によって所有および定義される。Unicodeは標準的なエンコーディングであり、異なるロケールで値を伝達できることを意味する。しかし、UnicodeとすべてのOracleキャラクタ・セットとの間で、情報の損失なしにラウンドトリップ変換が行われることは保証されない。
UNIX暗号化アルゴリズム。
Uniform Resource Identifierの略称。Web上にある、あらゆるコンテンツ(テキスト・ページ、ビデオ・クリップ、サウンド・クリップ、静止画、動画、プログラムなど)の位置を識別する手段。最も一般的なURIはWebページ・アドレスで、URLと呼ばれる、URIの特別な形式つまりサブセットで構成される。
Uniform Resource Locatorの略称。インターネット上にあるアクセス可能なファイルのアドレス。テキスト・ファイル、HTMLページ、画像ファイル、プログラムなど、HTTPでサポートされるすべてのファイルが対象となる。URLには、リソースへのアクセスに必要なプロトコルの名前、インターネット上の特定のコンピュータを識別するドメイン名、およびコンピュータ上のファイル場所の階層的な記述が含まれる。
認証されたユーザー情報をパートナ・アプリケーションに渡すOracleAS Single Sign-Onコード。パートナ・アプリケーションはこの情報を使用してセッションCookieを作成する。
世界中のあらゆる場所で共通の標準時間。以前から現在に至るまで広くグリニッジ時(GMT)または世界時と呼ばれており、UTCは名目上は地球の本初子午線に関する平均太陽時を表す。UTC形式である場合、値の最後にzが示される(例: 200011281010z)。
文字ごとに連続した1、2、3または4バイトを使用するUnicodeの可変幅8ビット・エンコーディング。0〜127の文字(7ビットASCII文字)は1バイトでエンコードされ、128〜2047の文字では2バイト、2048〜65535の文字では3バイト、65536以上の文字は4バイトを必要とする。このためのOracleキャラクタ・セット名はAL32UTF8(Unicode 3.1規格用)となる。
Unicodeの16ビット・エンコーディング。Latin-1文字は、この規格の最初の256コード・ポイントである。
個々のエンティティに対するセキュリティ資格証明の格納と管理に使用される抽象的な概念。様々な暗号化サービスで使用するために、資格証明の格納と取出しを実現する。Wallet Resource Locator(WRL)は、Walletの位置を特定するために必要な情報をすべて提供する。
「Oracle Wallet Manager」を参照。
XMLを使用してWebサービスを定義するための標準形式。WSDL定義には、Webサービスへのアクセス方法と、それを使用して実行できる操作が記述される。
HTTP、XML、SOAPなどの標準的なインターネット・プロトコルを使用してアクセスできるアプリケーションまたはビジネス・ロジック。Webサービスでは、コンポーネントベース開発とWorld Wide Webの両者が持つ優れた利点が結び付けられている。Webサービスは、コンポーネントと同様、サービスの実装方法を知らなくても使用または再利用できるブラックボックス機能を実現する。
Web Services Federation Languageのこと。Microsoft、IBM、BEA、VeriSignおよびRSA Security社によって開発された仕様。WS-Federationは、異種または同種の方式を使用するエンティティ間で、フェデレーションを構築可能にするメカニズムを定義する。これは、公開されているWebサービス間で、識別情報、属性および認証の信頼性を確立および仲介することで実現される。
「Liberty Alliance」も参照。
「Web Services Description Language(WSDL)」を参照。
グローバル・ディレクトリの構造化方法を定義する、国際電気通信連合(ITU)の標準。X.500ディレクトリは、国、都道府県、市町村などの情報カテゴリごとに異なるレベルを持つ階層である。
デジタル証明書の定義において、最も幅広く使用されている標準。これは、認証サービスが備わった階層型ディレクトリに関する国際電気通信連合(ITU)の標準で、多くの公開鍵インフラストラクチャ実装で使用されている。
eXtensible Markup Languageの略称。World Wide Web Consortium(W3C)によって開発された仕様。XMLは、Standard Generalized Mark-Up Language(SGML)の縮小版で、Webドキュメントに特化して設計されている。XMLはメタ言語(タグ・セットを定義する方法)で、開発者はこれによって、様々な種類のドキュメントに対して独自にカスタマイズしたマークアップ言語を定義できる。
論理的に同等な2つのXMLドキュメントを同じ物理表現に解決するプロセス。署名はデータが最初に計算処理されたときの物理表現に対してのみ検証可能なため、XML正規化はデジタル証明において重要となる。詳細は、W3CのXML正規化仕様を参照。
指定された時間内にログオン試行に繰り返し失敗した場合に、セキュリティ・ポリシーの設定に基づいてユーザー・アカウントをロックするセキュリティ機能。OracleAS Single Sign-Onでは、ユーザーがアカウントとパスワードの組合せを、任意の数のワークステーションからOracle Internet Directoryによって許可されている回数を超えて発行するとアカウント・ロックアウトが適用される。デフォルトのロックアウト時間は24時間である。
ACIとは、様々なエンティティまたは対象がディレクトリ内の指定されたオブジェクトに対して操作を行う必要がある権限を表す。この情報は、ユーザーによる変更が可能な操作属性としてOracle Internet Directoryに格納され、各属性はアクセス制御項目(ACI)と呼ばれる。ACIはディレクトリ・データへのユーザー・アクセス権限を決定し、エントリ(構造型アクセス項目)と属性(コンテンツ・アクセス項目)に対するアクセスを制御する1組の規則で構成される。両方のアクセス項目に対するアクセス権限を、1つ以上のユーザーまたはグループに付与できる。
ディレクトリ情報ツリー内のすべての下位エントリに適用されるアクセス制御ポリシー情報を含むディレクトリ・エントリ。この情報は、エントリ自体とその下位エントリすべてに影響を与える。Oracle Internet Directoryでは、ACPを作成することで、ディレクトリ内のサブツリー全体にアクセス制御ポリシーを適用できる。
コンピュータ・システム内のリソースと、それらのリソースへのアクセスを許可されたユーザーのユーザー名からなるリスト。Oracle Internet Directoryでは、ACLは、ディレクトリ・オブジェクトに関連付けられたアクセス制御項目の属性値のリストである。このリストの属性値は、様々なディレクトリ・ユーザー・エンティティ(対象)が各オブジェクトに対して所有している権限を表す。
「Oracle Databaseアドバンスト・レプリケーション」を参照。
「Oracle Databaseアドバンスト・レプリケーション」を参照。
ソフトウェアベースのサービスやソリューションの管理および配信を、中央のデータ・センターからWide Area Networkを通じて顧客に提供するサード・パーティ・エンティティ。つまり、アプリケーション・サービス・プロバイダ(ASP)は、企業が必要とする情報技術の一部またはすべてをアウトソースする手段となる。
「暗号化アルゴリズム」を参照。
情報を判読できない形式に変換することによって保護する処理。情報は、データを判読不能にする鍵を使用して暗号化され、情報が再度必要になったときに復号化される。「公開鍵暗号」と「対称型暗号」も参照。
暗号化アルゴリズムを適用することで、平文を暗号文に変換する処理。
判読可能なデータ(平文)を判読できないデータ(暗号文)に変換する、またはその逆を行うために定義された一連の処理手順。これらの変換には特別なシークレット情報が必要で、通常、それらは鍵に含まれる。暗号化アルゴリズムには、DES、AES、Blowfish、RSAなどがある。
電子メッセージ、ファイル、ドキュメントまたはデータ伝送の暗号化や、同じ目的のセッション鍵の交換または確立に使用される公開鍵を含む証明書。
Secure Sockets Layer(SSL)において、ネットワークのノード間でメッセージ交換に使用される認証、暗号化およびデータ整合性アルゴリズムのセット。SSLハンドシェイク時に、2つのノード間で折衝し、メッセージを送受信するときに使用する暗号スイートを確認する。
ブロック暗号の操作モードの1つ。CBCでは、初期設定ベクトル(IV)と呼ばれる特定長のベクトル値が使用される。CBCの最も重要な特性の1つは、連鎖メカニズムによって、特定の暗号文ブロックの復号化が、それよりも前のすべての暗号文ブロックに依存することにある。結果として、1つ前の暗号文ブロックには、それよりも前のすべてのブロックの全体としての妥当性が含まれることになる。
判読可能なデータ(平文)に暗号化アルゴリズムを適用することで、適切な鍵の所有者以外は誰も判読できないデータに変換したもの。
一方向への計算は容易だが、逆の計算(反対方向への計算)は非常に難しい関数。
可変サイズの入力を取得して、固定サイズの出力を作成する一方向関数。
「ハッシュ関数」も参照。
検索または比較操作における、検索対象の属性値と格納されている属性値との間の等価性の判断。たとえば、telephoneNumber属性に関連付けられた一致規則では、(650) 123-4567を(650) 123-4567または6501234567のいずれか、あるいはその両方と一致させることができる。属性の作成時に、その属性を一致規則と対応付けることができる。
ホスティングされた環境では、アプリケーション・サービス・プロバイダなどの1企業が、他の複数の企業にOracleコンポーネントを使用可能にして、その情報を格納する。この種の環境では、グローバル管理者はディレクトリ全体にまたがるアクティビティを実行する。委任管理者と呼ばれる他の管理者は、特定のID管理レルムでのロール、または特定のアプリケーションに対してのロールを持つ。
「ディレクトリ・サーバー・インスタンス」を参照。
ID管理を担当するOracle Application Serverコンポーネント。OracleAS Single Sign-On、Oracle Delegated Administration ServicesおよびOracle Internet Directoryが、このコンポーネントに該当する。
Oracle Directory Integration and Provisioning環境で、Oracle Internet Directoryにデータをインポートするエージェント。
Oracle Directory Integration and Provisioning環境で、インポート・エージェントによってインポートされたデータを格納するファイル。
Oracle Directory Integration and Provisioning環境で、Oracle Internet Directoryからデータをエクスポートするエージェント。
Oracle Directory Integration and Provisioning環境で、エクスポート・エージェントによってエクスポートされたデータを格納するファイル。
「エクスポート・データ・ファイル」を参照。
メッセージレベルのセキュリティによって実現される特性。ビジネス・エンティティ内およびビジネス・エンティティ間の複数のアプリケーションでメッセージが伝送処理されるときに、それらのあらゆる経路でメッセージがセキュアである場合に確立される。
ユーザーなどのオブジェクトを表す、ディレクトリ内の一意なレコード。エントリは属性とそれに関連付けられた属性値で構成され、それらはエントリ・オブジェクトを定義するオブジェクト・クラスによって規定される。LDAPディレクトリ構造内のすべてのエントリは、その識別名によって一意に識別される。
LDAPにおいて、情報のグループ化に使用される。通常、オブジェクト・クラスは、従業員やサーバーなどの実社会の事物をモデル化する。各ディレクトリ・エントリは、1つ以上のオブジェクト・クラスに属する。オブジェクト・クラスは、エントリを構成する属性を決定する。オブジェクト・クラスは別のオブジェクト・クラスから導出でき、結果として、他のクラスの特性が継承される。
第三者によるメッセージの不正傍受などのセキュリティ攻撃。第三者、つまり介在者は、メッセージを復号化して再暗号化し(元のメッセージを変更する場合と変更しない場合がある)、元のメッセージの宛先である受信者に転送する。これらの処理はすべて、正当な送受信者が気付かないうちに行われる。この種のセキュリティ攻撃は、認証が行われていない場合にのみ発生する。
OracleAS Single Sign-Onサーバーに認証を委任しないアプリケーション。そのかわり、HTMLログイン・フォームが表示され、アプリケーションのユーザー名とパスワードが要求される。ユーザーは、最初のログイン時にOracleAS Single Sign-Onサーバーで自身の資格証明を取得するように選択できる。その後、ユーザーは外部アプリケーションに透過的にログインできるようになる。
Oracle Directory Integration and Provisioningサーバーに依存しないディレクトリ統合エージェント。Oracle Directory Integration and Provisioningサーバーは外部エージェントに対して、スケジューリング、マッピングまたはエラー処理の各サービスを提供しない。外部エージェントは、通常、サード・パーティのメタディレクトリ・ソリューションをOracle Directory Integration and Provisioningに統合するときに使用する。
特定のデータ・ブロックの暗号化と復号化の成功に必要なシークレット情報を含むデータ構造。鍵のサイズが大きくなるにつれて、暗号化されたデータ・ブロックのクラッキングは困難になる。たとえば、256ビットの鍵は128ビットの鍵よりも安全である。
「公開鍵と秘密鍵のペア」も参照。
Oracle Application Server Cold Failover Cluster(Identity Management)では、各物理ノードに独自の物理IPアドレスと物理ホスト名がある。単一のシステムであるというイメージを外部に示すために、クラスタは、クラスタ内のどの物理ノードにも変更できる動的IPアドレスを使用する。これは、仮想IPアドレスと呼ばれる。
1つ以上のWebサイトまたはドメインをホスティングする1台の物理的なWebサーバー・マシン、または他のマシンに対するプロキシ(受信リクエストを受け取り、それらを適切なサーバーにルーティングする)としての機能を持つサーバー。
OracleAS Single Sign-Onでは、仮想ホストは、2つ以上のOracleAS Single Sign-Onサーバー間でのロード・バランシングに使用される。また、仮想ホストはセキュリティの追加層を提供する。
Oracle Application Server Cold Failover Cluster(Identity Management)で、特定の仮想IPアドレスに対応するホスト名。
ネットワークでの送信時に暗号化されない識別名とパスワードを使用して、クライアントがサーバーに対して自己認証を行うプロセス。簡易認証オプションでは、クライアントが送信した識別名とパスワードと、ディレクトリに格納されている識別名とパスワードが一致していることをサーバーが検証する。
ディレクトリ・サーバー上の1つのサブツリー。そのエントリは、1つの管理認可レベルで制御される。指定された管理者が、管理領域内の各エントリに加えて、ディレクトリ・スキーマ、アクセス制御リストおよびそれらのエントリの属性を制御する。
ASN.1に示されているデータ・ユニットをエンコーディングするための標準規則。BERはASN.1と間違って組み合されることがある。ASN.1は抽象的な構文定義言語で、エンコーディング規則には適用できない。
暗号化では、機密保護(またはプライバシ保護)は、認可されていないエンティティがデータを読み取ることを防止する機能を意味する。通常、これは暗号化によって実現される。
通常は、コンピュータ内部にある、高速にアクセス可能な一定量のメモリー領域のことを指す。ただし、Webでは、ブラウザがダウンロードしたファイルや画像を格納するコンピュータ上の場所を指すことが多い。
リソースの競合。
ユーザーが事前に設定された時間アイドル状態であった場合に、再認証をユーザーに強制する動作。Oracle Application Server Single Sign-Onでは、グローバル・ユーザーの非アクティブ・タイムアウトを指定できる。この機能はセキュリティ重視のアプリケーションがインストールされている場合に使用する。
1つ以上の他のエントリと同じ親を持ったエントリ。
多数のユーザー・プロセスが、非常に少数のサーバー・プロセスを共有できるように構成されたサーバー。これにより、サポートされるユーザー数が増える。共有サーバー構成では、多数のユーザー・プロセスがディスパッチャに接続する。ディスパッチャは、複数の着信ネットワーク・セッション・リクエストを共通キューに送る。複数のサーバー・プロセスの共有プールの中で、あるアイドル状態の共有サーバー・プロセスが共通キューからリクエストを取り出す。これは、サーバー・プロセスの小規模プールで大量のクライアントを処理できることを意味する。専用サーバーと対比。
Secure Sockets Layer(SSL)で、サーバーに対するクライアント・マシンの身元確認(クライアント認証)に使用される証明書。
単一のコンピューティング・リソースとして使用される、相互接続された使用可能なすべてのコンピュータの集合。ハードウェア・クラスタによって、高可用性およびスケーラビリティが実現する。
Oracle Internet Directoryのデフォルトのディレクトリ情報ツリーで、すべてのグループを検索できるID管理レルムのノード。
Graphical User Interface(GUI)に対する複数言語サポート。Oracle Application Server Single Sign-Onでは、29言語がサポートされる。
ホスティングされた環境では、アプリケーション・サービス・プロバイダなどの1企業が、他の複数の企業にOracleコンポーネントを使用可能にして、その情報を格納する。この種の環境では、グローバル管理者はディレクトリ全体にまたがるアクティビティを実行する。
ユーザーを一意に識別する数値。ユーザー名、パスワード、識別名は変更または追加できるが、グローバルな一意のユーザーIDは常に同じである。
Oracle Application Server Single Sign-Onのオプション機能。事前定義された一定時間アイドル状態が続いた場合に、ユーザーに再認証を強制する。グローバル・ユーザーの非アクティビティ・タイムアウトは、シングル・サインオン・セッションのタイムアウトよりかなり短い。
オブジェクト・クラスが別のクラスから導出されたときに、導出元のオブジェクト・クラスの多数の特性も導出(継承)されること。同様に、属性のサブタイプも、そのスーパータイプの特性を継承する。
匿名ユーザーではなく、特定のユーザー・エントリも持っていないユーザー。
署名とその署名の意図的な適用先となるデータ・ブロックを作成する目的で、公開鍵とそれに対応する秘密鍵が与えられているときに、特定のデジタル署名が有効であることを確認するプロセス。
Javaプログラム、JavaScriptまたはその他の署名ファイルに署名したエンティティの身元確認に使用される証明書。
Oracle Internet Directoryでは、データベース・コピー・プロシージャを使用して、新規ディレクトリ・システム・エージェントノードを既存のレプリケート・システムに追加する手順を表す。
公開鍵暗号で使用される公開鍵と秘密鍵のペアにおいて、一般に公開される鍵。エンティティは、公開鍵を使用してデータを暗号化する。そのデータは、公開鍵の所有者のみが、対応する秘密鍵を使用して復号化できる。公開鍵は、対応する秘密鍵で作成されたデジタル署名の検証にも使用できる。
公開鍵暗号(非対称型暗号とも呼ばれる)では、公開鍵と秘密鍵の2つの鍵が使用される。これらの鍵は、鍵のペアと呼ばれる。秘密鍵は秘密にしておく必要があるが、公開鍵は任意のパーティに送信できる。秘密鍵と公開鍵は、数学的に関連付けられている。秘密鍵によって署名されたメッセージは、対応する公開鍵によって検証できる。同様に、公開鍵によって暗号化されたメッセージは、対応する秘密鍵によって復号化できる。秘密鍵の所有者のみがメッセージを復号化できるため、この方式によって機密保護が保証される。
メッセージの送信側が、受信側の公開鍵でメッセージを暗号化するプロセス。配信されたメッセージは、受信側の秘密鍵で復号化される。
公開鍵と秘密鍵の発行、配布および証明を管理するシステム。通常、PKIは次のコンポーネントによって構成される。
「証明書」を参照。
数学的に関連付けられた2つの数字のセット。1つは秘密鍵、もう1つは公開鍵と呼ばれる。公開鍵は通常広く使用可能であるのに対して、秘密鍵はその所有者のみ使用可能である。公開鍵で暗号化されたデータは、それに関連付けられた秘密鍵でのみ復号化でき、秘密鍵で暗号化されたデータは、それに関連付けられた公開鍵でのみ復号化できる。公開鍵で暗号化されたデータを、同じ公開鍵で復号化することはできない。
ディレクトリ・サーバーの特定インスタンスに関する構成パラメータを保持しているOracle Internet Directoryエントリ。複数の構成設定エントリを格納でき、実行時に参照できる。構成設定エントリは、ディレクトリ固有のエントリのsubConfigsubEntry属性で指定されているサブツリー内でメンテナンスされる。DSE自体は、サーバーの起動対象である関連のディレクトリ情報ベースに常駐している。
ASN.1オブジェクトをバイト・シーケンスにエンコーディングするための1組の規則。DERは基本エンコーディング規則の特殊な形式である。
レプリケーション更新の宛先となるディレクトリ・サーバー。スレーブと呼ばれることもある。
ネーミング・コンテキストのルートの識別名。
OracleAS Single Sign-Onを使用してOracle Application Serverアプリケーションにアクセスできるように変更できる、Oracle以外のシングル・サインオン・システム。
セキュアなWebサーバーを使用してデータを提供する組織のIDが真正であることを証明する証明書。サーバー証明書は、相互に信頼できる認証局によって発行された公開鍵と秘密鍵のペアに関連付けられる必要がある。サーバー証明書は、ブラウザとWebサーバー間のセキュアな通信に必須である。
リクエストの開始から、そのリクエストに対するレスポンスの完了までの時間。
トラスト・サークルのメンバーによって、Webベースのサービスをユーザーに提供するエンティティとして認識されている組織。サービス・プロバイダは他のサービス・プロバイダおよびIDプロバイダと連携して、関連するユーザーにフェデレーション内の全パーティに対するセキュアなシングル・サインオンを提供するという目標を実現する。
サブツリー内のエントリ・グループに適用可能な情報が含まれているエントリのタイプ。情報には次の3つのタイプがある。
サブエントリは、管理領域のルートのすぐ下に位置している。
別のオブジェクト・クラスから導出されたオブジェクト・クラス。導出元のオブジェクト・クラスは、そのスーパークラスと呼ばれる。
独立したスキーマ定義を持つディレクトリ情報ツリー領域のリスト。
オプションを持たない同じ属性に対して、1つ以上のオプションを持つ属性。たとえば、American Englishをオプションとして持つcommonName(cn)属性は、そのオプションを持たないcommonName(cn)属性のサブタイプである。逆に、オプションを持たないcommonName(cn)属性は、オプションを持つ同じ属性のスーパータイプである。
ディレクトリ階層(ディレクトリ情報ツリーとも呼ばれる)の中の1つのセクション。通常、サブツリーは特定のディレクトリ・ノードから始まり、ディレクトリ階層内でそのノードよりも下位にあるすべてのサブディレクトリとオブジェクトが含まれる。
レプリケーションにおいて、ネーミング・コンテキストのマスター・コピーを保持しているサーバー。マスター・コピーからコンシューマ・サーバーに更新を供給する。
ディレクトリ・サーバーがクライアントに提供する情報。リクエストする情報を見つけるためにクライアントが接続する必要がある他のサーバーを示す。
「ナレッジ参照」も参照。
X.500識別名(DN)は、ディレクトリ・ツリー内のノードの一意名である。DNは、ユーザーまたはそれ以外のディレクトリ・エントリの一意名の作成に使用される。DNは、ルート・ノードから特定のエントリのノードまでのパス上にある、ツリー内の各ノードから選択された属性の連結である。たとえば、LDAP表記規則では、米国のオラクル社に勤務するJohn Smithという名前のユーザーのDNは、cn=John Smith, ou=People, o=Oracle, c=usとなる。
ユーザーが実際にプロセッサを使用していない時間。
共有メモリー構造の1グループ。1つのOracleデータベース・インスタンスに関するデータと制御情報が含まれている。複数のユーザーが同じインスタンスに同時に接続した場合、そのインスタンスのSGA内のデータはユーザー間で共有される。したがって、SGAは共有グローバル領域と呼ばれることもある。バックグラウンド・プロセスとメモリー・バッファの組合せは、Oracleインスタンスと呼ばれる。
Oracle Directory Integration and Provisioning環境において、Directory Integration and Provisioning Serverの制御下で実行されるエージェント。外部エージェントと対比。
ディレクトリ自体の操作に関係する情報を保持する属性。一部の操作情報は、サーバーを制御するためにディレクトリによって指定される(例: エントリのタイムスタンプ)。アクセス情報などのその他の操作情報は、管理者が定義し、ディレクトリ・プログラムの処理時に、そのプログラムによって使用される。
従属認証局のこと。階層構造を持つ公開鍵インフラストラクチャにおいて、その証明書署名鍵が別のCAによって証明され、その役割が他のCAによって制約されるCA。
エントリのすぐ下から始まるネーミング・コンテキストの参照位置を、ディレクトリ情報ツリー内の下位方向に指し示すナレッジ参照。
ディレクトリ情報ツリー内で、参照先のディレクトリ・システム・エージェントが保持しているすべてのネーミング・コンテキストより上位のネーミング・コンテキストを保持しているDSAを上位方向に指し示すナレッジ参照。
Oracle Application Server Certificate Authority(OCA)において、ポリシーに適用可能な論理式のこと。ポリシー条件式は、受信する証明書リクエストまたは証明書失効化に対してポリシーを適用する方法を制限する。たとえば、次の条件式は、DNにou=sales,o=acme,c=usが含まれるクライアントからのリクエストまたは失効化には、表示されているポリシーが異なる効力を持つことを指定している。
Type=="client" AND DN=="ou=sales,o=acme,c=us"
公開鍵とその所有者の識別情報を関連付ける特別な形式のデータ構造。証明書は、認証局によって発行される。証明書には、特定のエンティティの名前、シリアル番号、有効期限および公開鍵が含まれる。証明書は、それが本物であることを受信側が検証できるように、発行元のCAによってデジタル署名される。大半のデジタル証明書は、X.509標準に準拠する。
ユーザー証明書とそれに関連付けられたCA証明書の1つ以上のペアを含む、順序付けられた証明書のリスト。
OracleAS Single Sign-Onセッションを終了して、すべてのアクティブなパートナ・アプリケーションから同時にログアウトするプロセス。作業中のアプリケーションからログアウトすると、シングル・サインオフを実行できる。
一度の認証で、ユーザーが複数のコンピュータ・プラットフォームやアプリケーション・システムにアクセスすることを可能にするプロセスまたはシステム。
エンティティによって行われる宣言内容(名前、ID、鍵、グループなど)。
一定の信頼度を有すると認定された第三者の識別情報。信頼できる証明書は、識別情報の内容がそのエンティティと一致していることを検証するときに使用される。通常、信頼できる証明書は、ユーザー証明書の発行業務を行う、信頼された認証局によって発行される。
別のオブジェクト・クラスの導出元のオブジェクト・クラス。たとえば、オブジェクト・クラスpersonは、オブジェクト・クラスorganizationalPersonのスーパークラスである。後者のorganizationalPersonは、personのサブクラスであり、personに含まれている属性を継承する。
1つ以上のオプションを持つ同じ属性に対して、オプションを持たない属性。たとえば、オプションを持たないcommonName(cn)属性は、オプションを持つ同じ属性のスーパータイプである。逆に、American Englishをオプションとして持つcommonName(cn)属性は、そのオプションを持たないcommonName(cn)属性のサブタイプである。
一般的には、ディレクトリ情報へのあらゆるアクセスが可能な特別なディレクトリ管理者。
属性、オブジェクト・クラスおよびそれらに対応する一致規則の集合。
使用可能なハードウェア・リソースに応じて、そのハードウェア・リソースによってのみ制限されるシステムの機能。
対称型アルゴリズムの一種。ストリーム暗号では、一度に1ビットや1バイトという小さな単位で暗号化され、特定形式のフィードバック・メカニズムの実装によって鍵が絶えず変更される。RC4はストリーム暗号の例である。
「ブロック暗号」も参照。
レプリケーションにおいて、新規ノードに初期データを設定するために使用されるノード。
ナレッジ参照エントリが検索の有効範囲内にあるときに戻されるナレッジ参照。リクエストされた情報を格納しているサーバーを示す。
Oracle Internet Directoryが単位時間ごとに処理するリクエストの数。通常、「操作/秒」(1秒当りの操作件数)で表される。
「コンシューマ」を参照。
Oracle Application Server Single Sign-Onの使用時に、アプリケーションとのセッションおよびセッションCookieを構築する役割を持つルーチンへのURL。
暗号化では、権限のないエンティティによってデータが変更されていないかどうかを検出する機能を表す。
Oracle Application Server Cold Failover Cluster(Identity Management)で、フェイルオーバー中にアプリケーションの移動先となるクラスタ・ノード。
「プライマリ・ノード」も参照。
メッセージまたは通信の1セッション期間内でのみ使用される秘密鍵。
特別にフォーマットされた、ネットワーク接続の接続先の説明。接続記述子には、宛先サービスとネットワーク・ルート情報が含まれる。
宛先サービスを示すには、そのOracle Databaseに対応するサービス名、あるいはOracleリリース8.0またはバージョン7のデータベースに対応するOracleシステム識別子(SID)を使用する。ネットワーク・ルートは、少なくとも、ネットワーク・アドレスによってリスナーの位置を提供する。
Oracle Directory Integration and Provisioning環境で、それ自体(たとえば、Oracle Human Resourceデータベース)とOracle Internet Directoryとの間で完全なデータの同期が必要な情報リポジトリ。
ローカルの最下位レベルのエントリ名。エントリのアドレスを一意に識別するために使用される他の修飾エントリ名は含まれない。たとえば、cn=Smith,o=acme,c=USでは、cn=Smithが相対識別名である。
ディレクトリの属性には、名前、電話番号、役職名などの具体的なデータ要素が保持される。各エントリは1組の属性から構成され、それぞれがオブジェクト・クラスに所属する。さらに、各属性にはタイプと値があり、タイプは属性の情報の種類を説明するものであり、値には実際のデータが格納されている。
指定した2つの属性に同じ値が含まれていないようにするOracle Internet Directory機能。企業ディレクトリと同期しているアプリケーションで、属性を一意キーとして使用することを可能にする。
Oracle Directory Integration and Provisioning環境で、接続ディレクトリに関係のある属性を指定するファイル。
特定のエントリの属性内に保持される実際のデータ。たとえば、属性の型がemailであれば、属性値はsally.jones@oracle.comのようになる。
属性の型は、データ型、最大長、単一値か複数値かなど、データ要素に関する情報を指定する。属性の型は、名前や電子メール・アドレスなど、値が実社会で持つ意味を表し、特定のデータ断片の作成と格納に適用するルールを指定する。
Oracle Internet Directory以外のすべての情報リポジトリ。Oracle Directory Integration and Provisioning環境では、Oracle Internet Directoryが中央ディレクトリとして機能する。
指定したディレクトリ操作が完了するまでのクライアントの待機時間。待機時間は、空費時間として定義される場合がある。ネットワーク通信では、待機時間は、ソースから宛先へパケットが移動する時間として定義される。
リクエストの発行からレスポンスの開始までの時間。
「メッセージ・ダイジェスト」を参照。
「秘密鍵」を参照。
暗号化と復号化に同じ鍵を使用する暗号アルゴリズム。主要な対称型(秘密鍵)アルゴリズムには、ストリーム暗号とブロック暗号の2つのタイプがある。
共有秘密暗号とも呼ばれる、データの暗号化と復号化に同じ鍵を使用するシステム。対称型暗号の課題は、送信者と受信者が秘密鍵を合意する手段の安全性を保証することである。転送中の秘密鍵が第三者によって傍受された場合、傍受者はその秘密鍵を使用することで、その鍵によって暗号化されたすべてのデータを復号できるようになる。通常、対称型暗号は非対称型暗号りも高速で、大量のデータ交換が必要なときに使用されることが多い。対称型暗号のアルゴリズムには、DES、RC2、RC4などがある。
単一のユーザー証明書とその関連する秘密鍵が含まれるPKCS#12形式のWallet。公開鍵は証明書に埋め込まれている。
Oracle Directory Integration and Provisioning環境で、中央リポジトリとして機能するディレクトリ。Oracle Directory Integration and Provisioning環境では、Oracle Internet Directoryが中央ディレクトリになる。
Oracle HTTP ServerとOC4Jで構成される、OracleAS Single Sign-Onインスタンスの一部。OracleAS Single Sign-Onの中間層は、ID管理インフラストラクチャ・データベースとクライアントの間にある。
幅広く使用されている対称型暗号アルゴリズムで、1974年にIBM社によって開発された。DESでは、64ビットのデータ・ブロックごとに56ビットの鍵が適用される。DESおよび3DESは、主にS/MIMEの暗号化アルゴリズムとして使用される。
受信メッセージの内容が、送信時の元のメッセージの内容から変更されていないことを保証すること。
「整合性」も参照。
特定のOracle Application Serverコンポーネント(OracleAS Single Sign-Onスキーマなど)のデータベース接続情報。
「Oracle Internet Directory」、「Lightweight Directory Access Protocol(LDAP)」および「X.500」を参照。
ディレクトリ・サーバー固有のエントリ。異なるディレクトリ・サーバーに同じディレクトリ情報ツリー名を保持できるが、内容は異なる必要がある。つまり、DSEを保持しているディレクトリに固有の内容を保持できる。DSEは、それを保持しているディレクトリ・サーバーに固有の内容を含むエントリである。
ディレクトリ・サーバーの個々の起動のこと。異なるディレクトリ・サーバーの起動(それぞれ、同じまたは異なる構成設定エントリと起動フラグで起動)は、異なるディレクトリ・サーバー・インスタンスと呼ばれる。
ディレクトリ・サーバーを表すX.500の用語。
エントリのDNで構成されるツリー形式の階層構造。
ディレクトリに保持されているすべての情報の完全なセット。DIBは、ディレクトリ情報ツリー内で、階層的に相互に関連するエントリで構成されている。
Oracle Internet Directoryと外部システム間の同期の実現方法を記述した特殊なディレクトリ統合プロファイル。
Oracle Directory Integration and Provisioning環境での、Oracle Directory Integration and Provisioningによる外部システムとの通信方法および通信内容を示すOracle Internet Directoryのエントリ。
「ネーミング・コンテキスト」を参照。
Oracle Directory Integration and Provisioningがディレクトリ対応アプリケーションに送信するプロビジョニング関連通知の性質を記述した特殊なディレクトリ統合プロファイル。
ディレクトリ・ユーザーのかわりにディレクトリ・サービスにアクセスするソフトウェア。ディレクトリ・ユーザーは人の場合もあれば、別のソフトウェア・コンポーネントの場合もある。
レプリケーション承諾のメンバーであるディレクトリ・サーバーの集合。
「証明書」を参照。
デジタル署名は、特定のデータ・ブロックに対して2ステップのプロセスを適用して得られる。最初に、データにハッシュ関数を適用して結果を生成する。次に、その結果を署名者の秘密鍵を使用して暗号化する。デジタル署名は、データの整合性、メッセージ認証および否認防止を保証する目的で使用できる。デジタル署名アルゴリズムには、DSA、RSA、ECDSAなどがある。
ホスティングされた環境では、アプリケーション・サービス・プロバイダなどの1企業が、他の複数の企業にOracleコンポーネントを使用可能にして、その情報を格納する。このようなホスティングされた環境では、ホスティングしている企業はデフォルトID管理レルムと呼ばれ、ホスティングされている企業はそれぞれディレクトリ情報ツリー内のその企業独自のID管理レルムに関連付けれる。
ベース・オブジェクトがディレクトリになく、操作がサーバーによってローカルに保持されていないネーミング・コンテキストで実行されたときに戻されるナレッジ参照。デフォルト・ナレッジ参照は、一般的にディレクトリ・パーティション化対策についてより多くのナレッジを持つサーバーに送信する。
デフォルトID管理レルムのルートを識別するルートOracleコンテキストでの属性。
Oracle Internet Directoryとのセッションを確立しているクライアントの総数。
複数のリクエストを同時に処理できる機能。同時実行性メカニズムの例には、スレッドおよびプロセスなどがある。
すべての同時クライアント数のリクエストに基づいてOracle Internet Directoryで実行されている操作の数。一部のクライアントではセッションがアイドル状態の可能性があるため、この数は同時クライアントの数と必ずしも同じではない。
登録局(RA)は、認証局によって証明書が発行される前のユーザーの検証と登録に責任を持つ。RAは、各申請者に対して、新しく適用される証明書の相対識別値または相対識別名を割り当てる。RAは、証明書の署名および発行は行わない。
次の3つの側面を制御する管理領域。
特定管理領域では、この3つの管理の側面のうち1つが制御される。特定管理領域は、自律型管理領域の一部である。
ディレクトリがユーザー名とパスワードの組合せを要求せずにユーザーを認証するプロセス。各匿名ユーザーは、匿名ユーザー用に指定された権限を行使する。
ドメイン・コンポーネント(dc)属性は、ドメイン名から識別名を構築する際に使用できる。たとえば、oracle.comなどのドメイン名が使用されている場合は、dc=oracle, dc=comで始まるDNを構築して、このDNをディレクトリ情報の該当サブツリーのルートとして使用する。
Liberty Allianceアーキテクチャと運用協定に基づいたビジネス関係を持つ、サービス・プロバイダとIDプロバイダのフェデレーション。これに属するユーザーは、セキュアで透過性が実現された環境で商取引を行うことができる。
「信頼できる証明書」を参照。
リモートディレクトリ・システム・エージェントに関するアクセス情報(名前とアドレス)およびそのリモートDSAが保持しているディレクトリ情報ツリーのサブツリーの名前。ナレッジ参照は、参照とも呼ばれる。
ディレクトリ全体のユーザーを一意に識別するために使用する属性。この属性のデフォルト値はuid。アプリケーションでは、この属性を使用して単純なユーザー名が完全な識別名に変換される。ユーザー・ニックネーム属性を複数値にはできない。つまり、ユーザーは同じ属性名で格納される複数のニックネームを所有できない。
サービスまたはネットワーク・リソースへのアクセスを許可または拒否するプロセス。大半のセキュリティ・システムは、2ステップのプロセスを基本としている。最初のステップは認証で、ここでユーザーは自身のIDを証明する。2番目のステップは認可で、ここでユーザーは、各自のIDと定義済の認可ポリシーに基づいて各種リソースへのアクセスが許可される。
認可ポリシーは、保護されたリソースに対するアクセスを制御する方法を決定する。ポリシーによって、IDおよびオブジェクトが、特定のシステム・モデルに従って一連の権限に対応付けられる。たとえば、認可ポリシーによって、営業部に属しているユーザーのみが販売レポートにアクセスできるなどが規定される。
エンティティが主張しているIDを、その資格証明に基づいて検証するプロセス。ユーザーの認証は、一般的に、ユーザーが知っているか所持しているもの(パスワードや証明書など)に基づいて行われる。
電子メッセージの認証の場合は、特定のシステム(公開鍵暗号など)を使用して、ファイルまたはメッセージが主張しているとおりの個人または企業から間違いなく発信されたものであることを検証するプロセスや、メッセージの内容に基づくチェックを使用して、メッセージが配信中に変更されていないことを検証するプロセスが含まれる。
デジタル証明書の発行、更新および失効を行う、信頼できる第三者機関。CAの基本的な役割はエンティティの識別情報を保証することで、申請者の検証を登録局に委任する場合もある。広く一般に知られている認証局(CA)には、Digital Signature Trust、Thawte、VeriSignなどがある。
特定の認証方式の実装。OracleAS Single Sign-Onには、パスワード認証、デジタル証明書、Windowsネイティブ認証、サードパーティのアクセス管理用にJavaプラグインが用意されている。
アプリケーションに特定の認証動作を指定できる、OracleAS Single Sign-Onのパラメータ。このパラメータと特定の認証プラグインをリンクできる。
完全に1つのサーバーに常駐しているサブツリー。サブツリーは連続している必要がある。つまり、サブツリーの最上位の役割を果たすエントリから始まり、下位方向にリーフ・エントリまたは従属ネーミング・コンテキストへのナレッジ参照(参照とも呼ばれる)のいずれかまでを範囲とする必要がある。単一のエントリからディレクトリ情報ツリー全体までをその範囲とすることができる。
Oracle Delegated Administration ServicesまたはOracle Internet Directory Java APIを使用して作成した新規ユーザー・エントリの相対識別名を構成するために使用する属性。この属性のデフォルト値はcn。
接続記述子に変換されるサービスの単純な名前。ユーザーは、接続するサービスに対する接続文字列内のネット・サービス名に従ってユーザー名とパスワードを渡すことによって、接続リクエストを開始する。次に例を示す。
CONNECT username/password@net_ service_name
必要に応じて、ネット・サービス名は次のような様々な場所に格納できる。
一意の重複していないディレクトリ・ネーミング・コンテキスト。1つのディレクトリ・サーバーに格納されている。
OracleAS Single Sign-On Serverに認証機能を委譲する、Oracle Application ServerアプリケーションまたはOracle以外のアプリケーション。このようなアプリケーションでは、mod_ossoヘッダーを受け取るので、ユーザーを再認証する必要がない。
ネットワークの場合は、通信エンティティ間の論理的な接続の確立を意味する。
Oracle Internet Directoryでは、バインドはディレクトリに対して認証を行うプロセスを表す。
SOAPメッセージを、相互に交換する目的で他のプロトコル(基礎となるプロトコル)内またはその上で伝送する、一定の形式に従った規則の組合せもバインドと呼ばれる。
アルゴリズムを使用してテキスト文字列から生成される数値。ハッシュ値は、テキスト文字列より大幅に短くなる。ハッシュの数値は、セキュリティの目的とデータに対する高速アクセスの目的で使用する。
「ハッシュ関数」も参照。
暗号化におけるハッシュ関数または一方向ハッシュ関数は、特定のデータ・ブロックに適用されるアルゴリズムを意味する。ハッシュ関数の結果は、特定のデータ・ブロックの整合性を保証する目的で使用できる。ハッシュ関数が安全であるためには、既知のデータ・ブロックと既知の結果を与えられたときに、同じ結果となる別のデータ・ブロックを作成することが極めて困難である必要がある。
暗号化によって暗号文に変換される前のデータ、または復号化によって暗号文から変換された結果のデータ。
2台のコンピュータが通信セッションを開始するために使用するプロトコル。
「公開鍵暗号」も参照。
「公開鍵暗号」を参照。
暗号化において、特定のデジタル署名が特定のエンティティの秘密鍵によって生成されていることと、メッセージが特定の時点で改ざんされずに伝送されていることを保証する機能。
公開鍵暗号で使用される公開鍵と秘密鍵のペアにおいて、秘密にされる鍵。エンティティは自身の秘密鍵を使用して、公開鍵によって暗号化されたデータを復号化する。また、エンティティは秘密鍵を使用して、デジタル署名を作成することもできる。エンティティの公開鍵によって暗号化されたデータと、秘密鍵によって作成された署名のセキュリティは、秘密鍵の秘密が維持されていることに依存する。
対称型アルゴリズムで使用される鍵。秘密鍵は暗号化と復号化の両方に使用されるため、暗号文を相互に送受信するパーティ間で共有される必要があるが、許可されていないすべてのエンティティに対しては秘密が維持される必要がある。
「対称型暗号」を参照。
point-to-pointレプリケーションとも呼ばれる。サプライヤがコンシューマに直接レプリケートするレプリケーションのタイプ。コンシューマは1つ以上の他のコンシューマにレプリケートできる。レプリケーションには、完全レプリケーションと部分レプリケーションがある。
ディレクトリに対するリクエストまたは検索結果として返されるエントリを定義する式。フィルタは、多くの場合、cn=susie smith,o=acme,c=usのような識別名で表される。
障害を認識し、リカバリする処理。Oracle Application Server Cold Failover Cluster(Identity Management)で、1つのクラスタ・ノード上で実行されているアプリケーションは、他のクラスタ・ノードに透過的に移行される。この移行時に、クラスタ上のサービスにアクセスするクライアントは一時的に接続できず、フェイルオーバーが完了した後、再接続する必要がある場合がある。
共有化されたユーザー基盤を持つエンティティ(企業や組織)のグループ。IDと権限を証明するトークンの使用に合意することで、グループに属するユーザーはトラスト・サークル内のあらゆるサービスに一度のログオンでアクセス可能になる。フェデレーション内では、少なくとも1つのエンティティが、ユーザー認証に責任を持つIDプロバイダとしての役割を持つ。ユーザーにサービスを提供するエンティティは、サービス・プロバイダと呼ばれる。
自律型ドメイン内でIDと資格をポータブルにするための協定、標準およびテクノロジ。FIMによって、複数ドメイン全体でユーザー認証が認識可能になり、認証済ユーザーが複数ドメイン内のパーソナライズされたサービスに参加可能になる。FIMは、複数のアカウント間でID情報をリンク可能にすることで、個人情報が一箇所に格納されることの危険性を回避する。フェデレーテッドIDには、トラストと標準という2つの主要なコンポーネントが必要である。フェデレーテッドID管理のトラスト・モデルは、トラスト・サークルに基づく。標準は、Liberty Alliance Projectによって定義される。
暗号化されたメッセージ(暗号文)の内容を、元の可読書式(平文)に変換する処理。
Oracle Application Server Cold Failover Cluster(Identity Management)で、指定した時間にアプリケーションが実行されるクラスタ・ノード。
「セカンダリ・ノード」も参照。
Webブラウザなどのクライアント・アプリケーションと実サーバーの間にあるサーバー。プロキシ・サーバーは、実サーバーに対するすべてのリクエストを代理受信して、自分がそのリクエストを処理できるかどうかを調べる。処理できない場合、リクエストは実サーバーに転送される。OracleAS Single Sign-Onでは、プロキシは、ロード・バランシング目的とセキュリティ対策用の追加層として使用される。
「ロード・バランサ」も参照。
通常、ファイアウォールなどの中間層を備えた環境で利用されるユーザー。このような環境では、エンド・ユーザーは中間層に対して認証を行う。この結果、中間層はエンド・ユーザーにかわってディレクトリにログインする。プロキシ・ユーザーにはIDを切り替える権限があり、一度ディレクトリにログインすると、エンド・ユーザーのIDに切り替える。次に、その特定のエンド・ユーザーに付与されている認可を使用して、エンド・ユーザーのかわりに操作を実行する。
対称型アルゴリズムの一種。ブロック暗号では、メッセージを固定サイズのブロック(一般的には64ビット)に分割し、各ブロックを鍵によって暗号化する方法でメッセージが暗号化される。広く一般に知られているブロック暗号には、Blowfish、DESおよびAESなどがある。
「ストリーム暗号」も参照。
エンタープライズ環境で使用可能なアプリケーションおよびその他のリソースへのアクセスをユーザーに付与するプロセス。
ユーザーおよびグループの情報がOracle Internet Directoryに一元化される環境にあるアプリケーション。これらのアプリケーションは、一般的にOracle Internet Directory内の該当する情報に対する変更に関心がある。
Oracle固有のプロビジョニング・イベントを外部またはサード・パーティのアプリケーション固有のイベントに変換するアプリケーションまたはプロセス。
Oracle Directory Integration and Provisioningがディレクトリ対応アプリケーションに送信するプロビジョニング関連通知の性質を記述した特殊なディレクトリ統合プロファイル。
「ディレクトリ統合プロファイル」を参照。
暗号化によって暗号文に変換される前の判読可能データ、または復号化によって暗号文から変換された結果の判読可能データ。
ディレクトリ・サーバーに加えられた変更を記録するデータベース。
Oracle Application Server Certificate Authority(OCA)では、メイン・ポリシー・ページに表示されている順番で、ポリシーが受信リクエストに適用される。OCAポリシー・プロセッサ・モジュールがポリシーを解析する際、ポリシー・リストの上部にあるポリシーが最初にリクエストに適用される。ポリシー・リストの下部にあるポリシーは最後に適用され、他のポリシーよりも優先される。有効なポリシーのみが受信リクエストに適用される。
レプリケーションにおいて、マスター定義サイト以外のサイトで、LDAPレプリケーションのメンバーであるサイト。
レプリケーションにおいて、管理者が構成スクリプトを実行するOracle Internet Directoryのデータベース。
Oracle Directory Integration and Provisioning環境で、Oracle Internet Directory属性と接続ディレクトリの属性との間のマッピングを指定するファイル。
peer-to-peerまたはn-wayレプリケーションとも呼ばれる。同等に機能する複数のサイトがレプリケートされたデータのグループを管理できるようにするレプリケーションのタイプ。マルチマスター・レプリケーション環境では、各ノードはサプライヤ・ノードであると同時にコンシューマ・ノードであり、各ノードでディレクトリ全体がレプリケートされる。
企業のすべてのディレクトリ間で情報を共有するディレクトリ・ソリューション。すべてのディレクトリを1つの仮想ディレクトリに統合する。集中的に管理できるため、管理コストを削減できる。ディレクトリ間でデータが同期化されるため、企業内のデータに一貫性があり最新であることが保証される。
ハッシュ関数の結果。
「ハッシュ」も参照。
特定のメッセージが特定のエンティティから発信されたことを検証するプロセス。
「認証」も参照。
メッセージ認証コード(MAC)は、特定のデータ・ブロックに対して2ステップのプロセスを適用して得られる。最初に、ハッシュ関数の結果を取得する。次に、その結果を秘密鍵を使用して暗号化する。MACは、特定のデータ・ブロックのソースの認証に使用できる。
Oracle Internet Directoryのデフォルトのディレクトリ情報ツリーで、すべてのユーザーが配置されるID管理レルムのノード。
ユーザー証明書とユーザーのニックネームにマップするOracleAS Single Sign-OnのJavaモジュール。マップ後、ニックネームは認証モジュールに渡される。認証モジュールはこのニックネームを使用して、ディレクトリからユーザーの証明書を取得する。
パスワード期限切れ前の指定された期間内に行われるログイン。
レプリケート環境におけるマスター定義サイト以外のサイトで、Oracle Databaseアドバンスト・レプリケーションのメンバーであるサイト。
構造化されたデータの集合。同一の列のセットを持つ1つ以上の行で構成される表にデータが格納される。Oracleでは、複数の表のデータを容易にリンクできる。このため、Oracleはリレーショナル・データベース管理システム、すなわちRDBMSと呼ばれる。Oracleはデータを複数の表に格納し、さらに表間の関係を定義できる。このリンクは両方の表に共通の、1つ以上のフィールドに基づいて行われる。
ルート認証局のこと。階層構造を持つ公開鍵インフラストラクチャにおいて、その公開鍵がセキュリティ・ドメイン全体の最も信頼できるデータとして機能するCA。
「ルート・ディレクトリ固有のエントリ」を参照。
Oracle Identity Managementインフラストラクチャでは、ルートOracleコンテキストは、インフラストラクチャのデフォルトID管理レルムへのポインタを含むOracle Internet Directoryのエントリである。単純な名前を指定してID管理レルムの位置を特定する方法の詳細も含まれる。
ディレクトリに関する操作情報を格納するエントリ。情報は複数の属性に格納されている。
認証をOracleAS Single Sign-Onサーバーに委任するように変更できない古いアプリケーション。外部アプリケーションと呼ばれることもある。
Oracle Internet Directoryサーバーの起動(ディレクトリ・サーバー・インスタンスと呼ばれる)に関連する実行時情報が含まれているエントリ。レジストリ・エントリはディレクトリ自体に格納され、対応するディレクトリ・サーバー・インスタンスが停止するまで保持される。
リクエストの発行からレスポンスの完了までの時間。
ネーミング・コンテキストの個々のコピー。1つのサーバー内に格納されている。
ディレクトリ・レプリケーション・グループ内のディレクトリ・サーバー間におけるレプリケーションの関係を記述する特別なディレクトリ・エントリ。
「ID管理レルム」を参照。
すべてのID管理レルムを含むディレクトリ情報ツリー内のエントリを識別するルートOracleコンテキストでの属性。この属性は、単純なレルム名をディレクトリ内の対応するエントリにマッピングする際に使用される。
過剰負荷またはフェイルオーバーにより、複数のサーバー間で接続リクエストを振り分ける、ハードウェア・デバイスおよびソフトウェア。BigIP、Alteon、Local Directorなどは、一般的なハードウェア・デバイスである。ロード・バランシング・ソフトウェアには、Oracle Application Server Web Cacheがある。
Oracle Application Server Cold Failover Cluster(Identity Management)で、1つ以上のディスク・グループおよびホスト名とIPアドレスのペア。論理ホストは、クラスタ内の物理ホストにマップされる。この物理ホストは、論理ホストのホスト名とIPアドレスを使用する。
|
 Copyright © 1996, 2005 Oracle Corporation. All Rights Reserved. |
|