このセクションでは、Oracle Application Expressアプリケーションに対するセキュリティの提供方法を説明します。 クロスサイト・スクリプティング保護、セッション・ステート保護、認証および認可を使用して、Oracle Application Expressアプリケーションにセキュリティを提供できます。
内容は次のとおりです。
クロスサイト・スクリプティング(XSS)は、動的に生成されるWebページを利用したセキュリティ攻撃です。 XSS攻撃では、ユーザーのブラウザに読み込まれたときにアクティブになるスクリプトがWebアプリケーションに送信されます。 これらのスクリプトがアクティブになると、データまたは場合によってはセッション資格証明が盗まれ、それらの情報が攻撃者に送信される可能性があります。 悪意のあるコードがOracle Application Expressアプリケーションに侵入すると、通常のページ・レンダリング時に、そのコードがアプリケーション内のHTMLリージョンや他の場所にレンダリングされる可能性があります。 セッション・ステートへの不正なコードの挿入を阻止するため、Application Expressエンジンは特定の場合に文字をエスケープします。
このセクションの内容は次のとおりです。
HTMLリージョンなどの静的表示領域では、&ITEM.
表記法を使用してセッション・ステートを参照できます。 静的表示領域の例には、HTMLリージョン、ページのヘッダーとフッター、リージョンのヘッダーとフッター、リージョン・タイトル、ボタン・ラベル、ヘルプ・テキスト、フォーム・アイテム・ラベルおよび要素の後のテキスト、テンプレート、(フィールド・テキストの前後の)ラジオ・グループ、イベント成功メッセージ、イベント・エラー・メッセージ、ナビゲーション・バー属性、アプリケーション静的置換文字列値、チャート・ラベルおよび凡例、ブレッドクラムおよびリスト・フレーム・テキスト、カレンダ・テキスト、ラベル、凡例などがあります。
このようにセッション・ステートが参照されると、参照アイテムに次のいずれかの安全なアイテム表示タイプがある場合、ページに送信された値で特殊文字(<
、 >
、&
、"
)がエスケープされます。
テキストとして表示(状態は保存しない)
テキストとして表示(特殊文字をエスケープし、状態は保存しない)
テキストとして表示(LOVに基づき、状態は保存しない)
テキストとして表示(PL/SQLに基づき、状態は保存しない)
テキスト・フィールド(無効、状態を保存しない)
HTML表の停止および開始(ラベルのみ表示)
参照アイテムに前述以外の表示タイプがある場合、ページに送信された値で特殊文字はエスケープされません。 アプリケーション・レベル・アイテムにも安全な表示タイプがあるとみなされていますが、実際は、フォーム・アイテムにあるような表示プロパティはありません。
Application Expressエンジンでは、事前定義された高度なエスケープ・ルールを使用して、セッション・ステートからフェッチされた値をエスケープするタイミングとエスケープするかどうかを決定します。
これらのルールを使用するのは、前述した表示タイプを使用するアイテムが、フィルタ処理(エスケープ)されずにブラウザに送信される、HTMLを含むテキストに適用されることがよくあるからです。 これを安全に行うには、アプリケーションへの入力時にこれらのタイプのアイテムを常にエスケープするルールを実行します。 たとえば、Oracle Application Expressのf?p URL構文を使用して、テキストを安全なアイテムに渡す場合、Application Expressエンジンでは、値をセッション・ステートに保存する際に特殊文字をエスケープします。 これには、結果が2つあります。
値に特殊文字を含まない場合、渡された値は指定したようにセッション・ステートに保存されます。
値に特殊文字を含む場合は、値がセッション・ステートに保存される際にそれらの文字はエスケープされます。
いずれの場合も、HTMLリージョンまたは前述のその他の静的領域で&ITEM.
表記法を使用して、アイテムは安全に参照できます。
前述した安全なアイテム・タイプを使用すると、HTMLマークアップを保持し、ブラウザに送信できます。 たとえば、P1_XXX
(&P1_XXX.
を使用)という安全なページ・アイテムを参照して、テキストを太字でレンダリングするとします。 アイテムP1_XXX
には、次のHTMLが含まれていると仮定します。
<b>ABABABAB</b>
これを実行するには、アプリケーション・コントロール(計算、プロセス、アイテム・ソース式、アイテム・デフォルト値など)を使用して、これらの安全なアイテムに値を格納します。 値がこのように導入されると、内容の安全性が保証されます。 この方法を使用すると、Application Expressエンジンでは、値をセッション・ステートに保存する際に、特殊文字をエスケープしません。
最後に、これらのアイテムがページにポストされること、およびページ送信の一部としてApplication Expressエンジンに送信されることを回避するルールによって、安全なアイテムの安全性が保証されます。
htp.p
などの方法を使用してセッション・ステートからフェッチし、レンダリングするアイテムは、必要に応じてコードで明示的にエスケープする必要があります。 たとえば、ページ上のPL/SQL動的コンテンツ・リージョンで次のhtp.pを使用するとします。
htp.p(v('SOME_ITEM'));
セッション・ステートからフェッチするアイテムの値に予期しないタグやスクリプトが含まれる可能性がある場合は、リージョンで次のhtp.pを使用できます。
htp.p(htf.escape_sc(v('SOME_ITEM')));
ただし、フェッチする値を安全にレンダリングできることが確かな場合は、この値をエスケープする必要はありません。 開発者は、出力をエスケープしないほうが適切な場合を判断する必要があります。
次のルールに従うことをお薦めします。
アイテムがいずれかの安全なタイプでないかぎり、セッション・ステートからフェッチされたアイテムをエスケープせずに送信しない。
これは、開発者には、ハッカーが不正な値を安全でないアイテムにポストできないようにする方法がないためです。 ご使用のアプリケーションで、これらのアイテムを通常のユーザーに明示的に提供しない場合でも、このルールに従わないと、ご使用のアプリケーションがハッカーによって使用され、XSS攻撃が始まる可能性があることに注意してください。
Application Expressエンジンでは、レポートの本体にレンダリングされたデータはエスケープされます。 安全なアイテム・タイプの値はエスケープされず、他のアイテム・タイプの値はエスケープされるように、レポート・ヘッダーおよびメッセージのセッション・ステートへの参照は、高度なエスケープ・ルールを使用して、セッション・ステートからフェッチされます。
セッション・ステート保護は、ハッカーがアプリケーション内のURLを改ざんするのを防ぐための組込み機能です。 URL改ざんにより、プログラム・ロジック、セッション・ステートの内容および情報プライバシーが悪影響を受ける可能性があります。
セッション・ステート保護は2ステップのプロセスで有効にします。 最初に、この機能を有効にします。 次に、ページおよびアイテムのセキュリティ属性を設定します。
このセクションの内容は次のとおりです。
セッション・ステート保護を有効にすると、「ページ・アクセス保護」属性と「セッション・ステート保護」アイテム属性が、f?p=
URL内に配置されたチェックサムとともに使用され、URL改ざんと、セッション・ステートへの権限のないアクセスおよび変更が防止されます。 セッション・ステート保護を無効にすると、セッション・ステート保護に関連するページ属性およびアイテム属性が無視され、生成されるf?p=
URLにはチェックサムが含まれません。
セッション・ステート保護は、「セキュリティ属性の編集」ページまたは「セッション・ステート保護」ページから有効にできます。
セッション・ステート保護は2ステップのプロセスで有効にします。 最初に、この機能を有効にします。 次に、ページおよびアイテムのセキュリティ属性を設定します。 これらのステップは、ウィザードを使用して実行するか、「セッション・ステート保護」ページでページおよびアイテムのセキュリティ属性を手動で設定して行います。
このセクションの内容は次のとおりです。
「セキュリティ属性の編集」ページからセッション・ステート保護を有効にするには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「属性の編集」アイコンをクリックします。
「セキュリティ」をクリックします。
「セッション・ステート保護」までスクロールして、「セッション・ステート保護」リストの「有効」を選択します。
セッション・ステート保護を構成するには、「セッション・ステート保護の管理」をクリックします。
「セッション・ステート保護」ページが表示されます。
「セキュリティ属性の編集」ページにナビゲートして、ページおよびアイテムのセキュリティ属性を設定します。
ヒント: セッション・ステート保護を無効にするには、前述のステップを再度実行しますが、「有効」のかわりに「無効」を選択します。 セッション・ステート保護を無効にしても、既存のセキュリティ属性の設定は変更されませんが、それらの属性は実行時に無視されます。 |
セッション・ステート保護を有効にすると、カレント・アプリケーションへのブックマーク・リンクが機能するかどうかに影響します。 次の規則を考慮してください。
セッション・ステート保護を有効にした後に作成したブックマーク・リンクは、ブックマーク・リンクにチェックサムが含まれている場合に機能します。
セッション・ステート保護を有効にする前に作成したブックマーク・リンクは、ブックマーク・リンクにチェックサムが含まれている場合は機能しません。
チェックサムが含まれていないか、または不要なチェックサムが含まれているブックマークは、セッション・ステート保護の影響を受けません。
ページ・レンダリング時、Application Expressエンジンは、計算中に非表示のアプリケーション属性(チェックサムsalt)を使用し、f?p
URLに含まれているチェックサムを確認します。 セッション・ステート保護を有効にすると、Application Expressエンジンにチェックサムが含まれます。 チェックサムsalt属性を再設定するには、「セキュリティ属性の編集」ページで「ブックマークの無効化」をクリックします。 「ブックマークの無効化」をクリックすると、以前に生成されたチェックサムを含むアプリケーションへのアクセスに使用するブックマークURLが失敗することに注意してください。
セッション・ステート保護を有効にするには、次のステップを実行します。
「共有コンポーネント」ページにナビゲートします。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「共有コンポーネント」をクリックします。
「セキュリティ」で、「セッション・ステート保護」を選択します。
「セッション・ステート保護」ページが表示されます。 セッション・ステート保護の現行のステータス(有効または無効)がページ上部に表示されることに注意してください。
「保護の設定」ボタンをクリックします。
「セッション・ステート保護」ウィザードが表示されます。
「操作の選択」で、「有効化」を選択して、「次へ」をクリックします。
次に、ページおよびアイテムのセキュリティ属性を設定するかどうか決定します。
「有効化」を選択して、「次へ」をクリックします。
「セッション・ステート保護の有効化」をクリックします。
ヒント: セッション・ステート保護を無効にするには、同じステップを実行しますが、「有効化」のかわりに「無効化」を選択します。 セッション・ステート保護を無効にしても、既存のセキュリティ属性の設定は変更されませんが、実行時にはそれらが無視されます。 |
セッション・ステート保護を有効にした後、セキュリティ属性を構成します。 セキュリティ属性は2つの方法で構成できます。
ウィザードを使用し、特定の属性カテゴリの値を選択する。 この場合、選択内容がアプリケーション内のすべてのページおよびアイテムに適用されます。
個々のページ、アイテムまたはアプリケーション・アイテムの値を構成する。
このセクションの内容は次のとおりです。
「セッション・ステート保護」ウィザードの最初のページでは、ページ、アイテムおよびアプリケーション・アイテムのセッション・ステート保護設定のサマリーを確認できます。
既存のセッション・ステート保護設定のサマリーを表示するには、次のステップを実行します。
「セッション・ステート保護」ページにナビゲートします。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「共有コンポーネント」をクリックします。
「セキュリティ」で、「セッション・ステート保護」を選択します。
「セッション・ステート保護」ページが表示されます。
「保護の設定」をクリックします。
ページ下部で次のレポートを開きます。
ページ・レベルのセッション・ステート保護サマリー
ページ・アイテムのセッション・ステート保護サマリー
アプリケーション・アイテムのセッション・ステート保護
ウィザードを使用してセッション・ステート保護を構成するときは、特定の属性カテゴリの値を設定します。 この場合、選択内容がアプリケーション内のすべてのページおよびアイテムに適用されます。
ウィザードを使用してセッション・ステート保護を構成するには、次のステップを実行します。
「セッション・ステート保護」ページにナビゲートします。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「共有コンポーネント」をクリックします。
「セキュリティ」で、「セッション・ステート保護」を選択します。
「セッション・ステート保護」ページが表示されます。
「保護の設定」をクリックします。
「セッション・ステート保護」ウィザードが表示されます。
「操作の選択」で、「構成」を選択して、「次へ」をクリックします。
「ページ・アクセス保護」で、次のいずれかを選択します。
制限なし: セッション・ステート引数(Request、Clear Cache、Name/Values)の有無にかかわらず、URLを使用してページを要求できます。
引数にチェックサムが必要: URLにRequest、Clear CacheまたはName/Value引数が表示されている場合は、チェックサムも提供する必要があります。 チェックサム・タイプは、引数として渡されるすべてのアイテムの最も厳密なセッション・ステート保護属性と互換性がある必要があります。
引数使用不可: URLを使用してページを要求できますが、Request、Clear CacheまたはName/Value引数は許可されません。
URLアクセスなし: URLを使用してページにアクセスできませんが、ページは、URLリダイレクトを行わない「ページにブランチ」ブランチ・タイプのターゲットにできます。
「アプリケーション・アイテム保護」で、次のいずれかの項目を選択します。
制限なし: URLまたはフォームでアイテム名/値を渡して、アイテムのセッション・ステートを設定できます。 URLにチェックサムは必要ありません。
チェックサムが必要 - アプリケーション・レベル: スキーマ固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 ユーザー・レベル・チェックサムまたはセッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: ユーザー・レベル: 作業領域、アプリケーションおよびユーザー固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 セッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: セッション・レベル: カレント・セッション固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 カレント・セッションで生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
制限付き - ブラウザから設定できない: URLまたはPOSTDATAを使用してアイテムを変更できません。 アイテムの値を内部プロセス、計算などに設定できる方法を制限する場合は、このオプションを使用します。 この属性は、データ・エントリ・アイテムとして使用できないアイテムのみに適用され、セッション・ステート保護が無効になっていても常に監視されます。
次の表示形式タイプのアプリケーション・アイテムまたはページ・アイテムについては、この属性を使用します。
テキストとして表示(特殊文字をエスケープし、状態は保存しない)
テキストとして表示(状態は保存しない)
テキストとして表示(LOVに基づき、状態は保存しない)
テキストとして表示(PL/SQLに基づき、状態は保存しない)
テキスト・フィールド(無効、状態を保存しない)
HTML表の停止および開始(ラベルのみ表示)
「ページのデータ・エントリ・アイテム保護」で、次のいずれかの項目を選択します。
制限なし: URLまたはフォームでアイテム名/値を渡して、アイテムのセッション・ステートを設定できます。 URLにチェックサムは必要ありません。
チェックサムが必要 - アプリケーション・レベル: スキーマ固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 ユーザー・レベル・チェックサムまたはセッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: ユーザー・レベル: 作業領域、アプリケーションおよびユーザー固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 セッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: セッション・レベル: カレント・セッション固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 カレント・セッションで生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
「ページの表示専用アイテム保護」で、次のいずれかの項目を選択します。
制限なし: URLまたはフォームでアイテムの名前/値を渡して、アイテムを設定できます。 URLにチェックサムは必要ありません。
チェックサムが必要 - アプリケーション・レベル: スキーマ固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 ユーザー・レベル・チェックサムまたはセッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: セッション・レベル: カレント・セッション固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 カレント・セッションで生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: ユーザー・レベル: 作業領域、アプリケーションおよびユーザー固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 セッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
制限付き - ブラウザから設定できない: URLまたはPOSTDATAを使用してアイテムを変更できません。 アイテムの値を内部プロセス、計算などに設定できる方法を制限する場合は、このオプションを使用します。 この属性は、セッション・ステート保護が無効になっていても、常に監視されます。
次の表示形式タイプについては、この属性を使用します。
テキストとして表示(特殊文字をエスケープし、状態は保存しない)
テキストとして表示(状態は保存しない)
テキストとして表示(LOVに基づき、状態は保存しない)
テキストとして表示(PL/SQLに基づき、状態は保存しない)
テキスト・フィールド(無効、状態を保存しない)
HTML表の停止および開始(ラベルのみ表示)
「次へ」をクリックします。
「終了」をクリックします。
ページのセッション・ステート保護を構成するには、次のステップを実行します。
「セッション・ステート保護」ページにナビゲートします。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「共有コンポーネント」をクリックします。
「セキュリティ」で、「セッション・ステート保護」を選択します。
「セッション・ステート保護」ページが表示されます。
「ページ」アイコンをクリックします。
ビューにフィルタを適用するには、ページ上部にある「ページ」、「表示」および「ページ・アクセス保護」リストを使用します。
ページ番号を選択します。
「ページおよびアイテム保護の設定」ページが表示されます。 次の情報がページ上部に表示されます。
アプリケーションIDおよび名前
セッション・ステート保護のステータス(有効または無効)
ページ番号
ページ名
「ページ・アクセス保護」で、次のいずれかを選択します。
制限なし: セッション・ステート引数(Request、Clear Cache、Name/Values)の有無にかかわらず、URLを使用してページを要求できます。
引数にチェックサムが必要: URLにRequest、Clear CacheまたはName/Value引数が表示されている場合は、チェックサムも提供する必要があります。 チェックサム・タイプは、引数として渡されるすべてのアイテムの最も厳密なセッション・ステート保護属性と互換性がある必要があります。
引数使用不可: URLを使用してページを要求できますが、Request、Clear CacheまたはName/Value引数は許可されません。
URLアクセスなし: URLを使用してページにアクセスできませんが、ページは、URLリダイレクトを行わない「ページにブランチ」ブランチ・タイプのターゲットにできます。
「アイテム・タイプ」で、「データ・エントリ・アイテム」または「表示専用アイテム」を選択します。
データ・エントリ・アイテムは、フォームを使用して変更できるアイテムであり、非表示アイテムもこれに含まれます。 表示専用アイテムはレンダリングされるだけで、フォームとともに送信されません。
「データ・エントリ・アイテム」を選択した場合は、各アイテムのセッション・ステート保護レベルを選択します。
制限なし: URLまたはフォームでアイテム名/値を渡して、アイテムのセッション・ステートを設定できます。 URLにチェックサムは必要ありません。
チェックサムが必要 - アプリケーション・レベル: スキーマ固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 ユーザー・レベル・チェックサムまたはセッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: ユーザー・レベル: 作業領域、アプリケーションおよびユーザー固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 セッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: セッション・レベル: カレント・セッション固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 カレント・セッションで生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
「表示専用アイテム」を選択した場合は、各アイテムのセッション・ステート保護レベルを選択します。
制限なし: URLまたはフォームでアイテムの名前/値を渡して、アイテムを設定できます。 URLにチェックサムは必要ありません。
制限付き - ブラウザから設定できない: URLまたはPOSTDATAを使用してアイテムを変更できません。 アイテムの値を内部プロセス、計算などに設定できる方法を制限する場合は、このオプションを使用します。 この属性は、セッション・ステート保護が無効になっていても、常に監視されます。 次の表示形式タイプについては、この属性を使用します。
テキストとして表示(特殊文字をエスケープし、状態は保存しない)
テキストとして表示(状態は保存しない)
テキストとして表示(LOVに基づき、状態は保存しない)
テキストとして表示(PL/SQLに基づき、状態は保存しない)
テキスト・フィールド(無効、状態を保存しない)
HTML表の停止および開始(ラベルのみ表示)
チェックサムが必要 - アプリケーション・レベル: スキーマ固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 ユーザー・レベル・チェックサムまたはセッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: ユーザー・レベル: 作業領域、アプリケーションおよびユーザー固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 セッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: セッション・レベル: カレント・セッション固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 カレント・セッションで生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
「変更の適用」をクリックします。
アイテムのセッション・ステート保護を構成するには、次のステップを実行します。
「セッション・ステート保護」ページにナビゲートします。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「共有コンポーネント」をクリックします。
「セキュリティ」で、「セッション・ステート保護」を選択します。
「セッション・ステート保護」ページが表示されます。
「アイテム」アイコンをクリックします。
ビューにフィルタを適用するには、ページ上部にある「ページ」、「表示」および「アイテムのセッション・ステート保護」リストから項目を選択して、「実行」をクリックします。
ページ番号を選択します。
「ページおよびアイテムのセッション・ステート保護を編集」ページが表示されます。 次の情報がページ上部に表示されます。
アプリケーションIDおよび名前
セッション・ステート保護のステータス(有効または無効)
ページ番号
ページ名
「ページ・アクセス保護」で、各アイテムのセッション・ステート保護レベルを選択します。
制限なし: セッション・ステート引数(Request、Clear Cache、Name/Values)の有無にかかわらず、URLを使用してページを要求できます。
引数にチェックサムが必要: URLにRequest、Clear CacheまたはName/Value引数が表示されている場合は、チェックサムも提供する必要があります。 チェックサム・タイプは、引数として渡されるすべてのアイテムの最も厳密なセッション・ステート保護属性と互換性がある必要があります。
引数使用不可: URLを使用してページを要求できますが、Request、Clear CacheまたはName/Value引数は許可されません。
URLアクセスなし: URLを使用してページにアクセスできませんが、ページは、URLリダイレクトを行わない「ページにブランチ」ブランチ・タイプのターゲットにできます。
「アイテム・タイプ」で、「データ・エントリ・アイテム」または「表示専用アイテム」を選択します。
データ・エントリ・アイテムは、フォームを使用して変更できるアイテムであり、非表示アイテムもこれに含まれます。 表示専用アイテムはレンダリングされるだけで、フォームとともに送信されません。
「データ・エントリ・アイテム」を選択した場合は、各アイテムのセッション・ステート保護レベルを選択します。
制限なし: URLまたはフォームでアイテム名/値を渡して、アイテムのセッション・ステートを設定できます。 URLにチェックサムは必要ありません。
チェックサムが必要 - アプリケーション・レベル: スキーマ固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 ユーザー・レベル・チェックサムまたはセッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: ユーザー・レベル: 作業領域、アプリケーションおよびユーザー固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 セッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: セッション・レベル: カレント・セッション固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 カレント・セッションで生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
「表示専用アイテム」を選択した場合は、各アイテムのセッション・ステート保護レベルを選択します。
制限なし: URLまたはフォームでアイテムの名前/値を渡して、アイテムを設定できます。 URLにチェックサムは必要ありません。
制限付き - ブラウザから設定できない: URLまたはPOSTDATAを使用してアイテムを変更できません。 アイテムの値を内部プロセス、計算などに設定できる方法を制限する場合は、このオプションを使用します。 この属性は、セッション・ステート保護が無効になっていても、常に監視されます。 次の表示形式タイプについては、この属性を使用します。
テキストとして表示(特殊文字をエスケープし、状態は保存しない)
テキストとして表示(状態は保存しない)
テキストとして表示(LOVに基づき、状態は保存しない)
テキストとして表示(PL/SQLに基づき、状態は保存しない)
テキスト・フィールド(無効、状態を保存しない)
HTML表の停止および開始(ラベルのみ表示)
チェックサムが必要 - アプリケーション・レベル: スキーマ固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 ユーザー・レベル・チェックサムまたはセッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: ユーザー・レベル: 作業領域、アプリケーションおよびユーザー固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 セッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: セッション・レベル: カレント・セッション固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 カレント・セッションで生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
「変更の適用」をクリックします。
アプリケーション・アイテムのセッション・ステート保護を構成するには、次のステップを実行します。
「セッション・ステート保護」ページにナビゲートします。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「共有コンポーネント」をクリックします。
「セキュリティ」で、「セッション・ステート保護」を選択します。
「セッション・ステート保護」ページが表示されます。
「アプリケーション・アイテム」アイコンをクリックします。
アプリケーション・アイテムを選択します。
「セキュリティ」で、「セッション・ステート保護」リストから次のいずれかを選択します。
制限なし: URLまたはフォームでアイテム名/値を渡して、アイテムのセッション・ステートを設定できます。 URLにチェックサムは必要ありません。
制限付き - ブラウザから設定できない: URLまたはPOSTDATAを使用してアイテムを変更できません。 アイテムの値を内部プロセス、計算などに設定できる方法を制限する場合は、このオプションを使用します。 この属性は、データ・エントリ・アイテムとして使用できないアイテムのみに適用され、セッション・ステート保護が無効になっていても常に監視されます。 次の表示形式タイプのアプリケーション・アイテムについては、この属性を使用します。
テキストとして表示(特殊文字をエスケープし、状態は保存しない)
テキストとして表示(状態は保存しない)
テキストとして表示(LOVに基づき、状態は保存しない)
テキストとして表示(PL/SQLに基づき、状態は保存しない)
テキスト・フィールド(無効、状態を保存しない)
HTML表の停止および開始(ラベルのみ表示)
チェックサムが必要 - アプリケーション・レベル: スキーマ固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 ユーザー・レベル・チェックサムまたはセッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: ユーザー・レベル: 作業領域、アプリケーションおよびユーザー固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 セッション・レベル・チェックサムも使用できます(次の項目を参照)。 現行の作業領域において同じアプリケーションを別のセッションで実行しているユーザーによって生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
チェックサムが必要: セッション・レベル: カレント・セッション固有のチェックサムも入力する場合は、URLでアイテムの名前/値を渡して、アイテムのセッション・ステートを設定できます。 カレント・セッションで生成されたチェックサムを含むURLによってのみ、このアイテムを設定できるようにする場合は、このオプションを使用します。
「変更の適用」をクリックします。
Oracle Application Expressによって、ユーザーがファイルをアップロードしてアップロードしたファイルにアクセスできるアプリケーションを容易に構築できます。 これらのファイルは、一般的なファイル記憶域表にアップロードされます。 データベース・ビューAPEX_APPLICATION_FILES
では、データベース・アカウント(または作業領域)に関連付けられたファイルのみが表示されますが、データベース・アカウント(または作業領域)以外の、他のユーザーが所有するファイルなど、基礎となる表に格納されているファイルにアクセスするための認証は必要ありません。 Oracle Application Expressの様々なAPIを使用して、ユーザーはこの一般的なファイル記憶域表のファイルに関連付けられている数値IDを指定して、認証なしでファイルにアクセスできます。 すべてのユーザーがこの表に格納されているファイルにアクセスできます。
ファイルのアップロードはサポートしますが、このセキュリティの脆弱性を公開しないOracle Application Expressアプリケーションを実装するには、OTNで、Oracle Application Expressでのファイルのアップロードに関するHow Toドキュメントを参照してください。
http://www.oracle.com/technology/products/database/application_express/howtos/index.html
認証は、ユーザーがアプリケーションにアクセスする前に、そのユーザーの本人確認を行うプロセスです。 認証では、ユーザーにユーザー名とパスワードの指定を要求するか、またはデジタル証明書や保護キーを使用する可能性があります。
認証スキームを作成する場合、多くの事前構成済の認証スキームから選択するか、既存のアプリケーションから認証スキームをコピーするか、または独自のカスタム認証スキームを作成できます。
このセクションの内容は次のとおりです。
アプリケーションがユーザーとどのように対話するかを決定します。 すべてのユーザーが同じ権限を持つ場合、そのユーザーはパブリック・ユーザーとみなされます。 ただし、アプリケーションが各ユーザーを個別に追跡する必要がある場合は、認証方式を指定する必要があります。
認証は、アプリケーションにアクセスする各ユーザーの本人確認を行います。 多くの認証プロセスで、ユーザーはなんらかの資格証明(ユーザー名とパスワードなど)を提供する必要があります。 これらの資格証明は評価され、合格または不合格のいずれかとなります。 資格証明が合格した場合、ユーザーはアプリケーションにアクセスできます。 不合格の場合は、アクセスが拒否されます。
ユーザーの本人確認が行われると、Application Expressエンジンが組込み置換文字列APP_USER
の値を設定して、各ユーザーを追跡します。 ユーザーがページ間をナビゲートすると、Application ExpressエンジンがAPP_USER
の値を設定して、本人確認を行います。 Application Expressエンジンは、各ユーザーのセッション・ステートを追跡するための重要なコンポーネントとしてAPP_USER
を使用します。
プログラミングの観点では、次の構文を使用してAPP_USER
にアクセスできます。
PL/SQLを使用する場合
V('APP_USER')
PL/SQLまたはSQLのいずれかのバインド変数として使用する場合
:APP_USER
APP_USER
を使用すると、独自のセキュリティ・チェックおよび条件付き処理を実行できます。 たとえば、次の表を作成したと想定します。
CREATE TABLE my_security_table ( user_id VARCHAR2(30), privilege VARCHAR2(30));
表を作成したら、この表にユーザー権限情報を移入して、ページ、タブ、ナビゲーション・バー、ボタン、リージョン、または、その他のコントロールやコンポーネントの表示の制御に使用できます。
アプリケーションを作成する場合、認証を含めるかどうかを決定する必要があります。 次の選択肢があります。
認証を要求しない Oracle Application Expressは、ユーザー資格証明を確認しません。 すべてのユーザーが、アプリケーションのすべてのページにアクセスできます。
組込み認証スキームを選択する 使用可能な事前構成済の認証スキームに基づいて、認証方式を作成します。 選択するスキームによっては、Oracle10giAS、Oracle Internet Directoryまたは他の外部サービスの対応するコンポーネントを構成する必要があります。
カスタム認証スキームを作成する カスタム認証方式を作成すると、認証インタフェースを完全に制御できます。 この方法を実装するには、Application Expressエンジンが各ページ・リクエストを処理する前に実行するPL/SQLファンクションを提供する必要があります。 このファンクションのブール戻り値によって、Application Expressエンジンが通常どおりにページを処理するか、または失敗ページを表示するかが決まります。
認証スキームを作成するには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「アプリケーション」ホームページで、「共有コンポーネント」をクリックします。
「共有コンポーネント」ページが表示されます。
「セキュリティ」で、「認証スキーム」を選択します。
「認証スキーム」ページが表示されます。
新しい認証スキームを作成するには、「作成」をクリックします。
次のいずれかの項目を選択して、スキームの作成方法を指定します。
事前構成済の認証スキームに基づいて
既存の認証スキームのコピーとして
最初から
画面に表示されるステップに従います。
認証スキームを作成すると、使用可能な認証スキームが認証スキーム・リポジトリに表示されます。
認証スキーム・リポジトリにナビゲートするには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「アプリケーション」ホームページで、「共有コンポーネント」をクリックします。
「共有コンポーネント」ページが表示されます。
「セキュリティ」で、「認証スキーム」を選択します。
「認証スキーム」ページが表示されます。 「ビュー」リストから選択して、ページの外観を変更できます。 使用可能なオプションは次のとおりです。
アイコン(デフォルト): 各認証スキームを大きいアイコンとして表示します。 認証スキームを編集するには、該当するアイコンをクリックします。
詳細: 各アプリケーション・アイテムをレポートに1行で表示します。
「詳細」ビューでは、次の操作を実行できます。
スキーム名を選択して、認証スキームを編集する。
「表示」アイコンをクリックして、各ページで実行されるステップのリストを表示する。
「カレントにする」リンクをクリックして、アプリケーションに認証スキームを適用する。
アプリケーションのカレント認証スキームを表示するには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「属性の編集」をクリックします。
「セキュリティ」をクリックします。
「認証」セクションに移動します。 カレント認証スキームが「認証スキーム」の横に表示されます。
「認証スキーム」ページにリンクして、スキーム名を選択するには、次のステップを実行します。
アプリケーションの認証スキームを変更するには、次のステップを実行します。
「認証スキーム」にナビゲートします。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「アプリケーション」ホームページで、「共有コンポーネント」をクリックします。
「共有コンポーネント」ページが表示されます。
「セキュリティ」で、「認証スキーム」を選択します。
ページ上部にある「カレントの変更」タブをクリックします。
新しい認証スキームを選択し、「次へ」をクリックします。
「カレント化」をクリックします。
認証スキーム・レポートには、現行の作業領域におけるすべてのアプリケーションについて、認証スキームの使用状況がリストされます。
認証スキーム・レポートを表示するには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「アプリケーション」ホームページが表示されます。
「タスク」リストで、「アプリケーション・レポートの表示」をクリックします。
「クロス・アプリケーション・レポート」をクリックします。
「認証スキーム」を選択します。
アプリケーションIDをクリックして、該当する「アプリケーション」ホームページにリンクします。
事前構成済の認証スキームを選択すると、Oracle Application Expressによって、標準動作の認証およびセッション管理を行う認証スキームがアプリケーションに作成されます。 次に、使用可能な事前構成済の認証スキームについて説明します。
公開資格証明を使用すると、ユーザー名を取得する組込みログイン・ページを使用して、自分のアプリケーションがすべてのユーザーからアクセス可能になります。 これは、アプリケーションの開発中に役立ちます。
Oracle Application Expressアカウント資格証明は、Oracle Application Expressユーザー・リポジトリで作成および管理される内部ユーザー(「Cookieユーザー」ともいう)・アカウントを参照します。 メソッドを使用すると、アプリケーションをこれらのアカウントに対して簡単に認証できます。 「Application Expressアカウント資格証明」を参照してください。
データベース・アカウント資格証明は、データベース・スキーマ・アカウントの使用を参照します。 この方法を使用すると、ユーザーを認証するためにデータベース・アカウントのユーザー名およびパスワードが使用されます。 「データベース・アカウント資格証明」を参照してください。
LDAP資格証明の検証を行うには、使用する外部LDAP(Lightweight Directory Access Protocol)ディレクトリに対する構成パラメータを指定する必要があります。 「LDAP資格証明の検証」を参照してください。
認証なし(DADを使用)では、DAD構成に格納された値、またはアカウント情報がDAD構成に格納されていない場合にBasic認証要求を使用して取得されたユーザー名のいずれかとして、データ・アクセス記述子(DAD)からユーザー名が取得されます。 「DAD資格証明の検証」を参照してください。
Oracle Application Server Single Sign-On(パートナ・アプリケーションとしてのApplication Expressエンジン)は、OracleAS Single Sign-On(SSO)Serverに認証を委譲します。 認証スキームを使用するには、サイトは、SSO Serverにパートナ・アプリケーションとして登録されている必要があります。 詳細は、管理者に連絡してください。 「Single Sign-On Serverの検証の概要」を参照してください。
Oracle Application Server Single Sign-On(パートナ・アプリケーションとしてのMy Application)は、SSO Serverに認証を委譲します。 SSOには、アプリケーションをパートナ・アプリケーションとして登録する必要があります。 「Single Sign-On Serverの検証の概要」を参照してください。
Application Expressアカウント資格証明は、Oracle Application Expressユーザー・リポジトリで作成および管理される内部ユーザー(「Cookieユーザー」ともいう)・アカウントを使用します。 「ユーザーの管理」ページで作業領域を作成および編集できます。
Application Expressアカウント資格証明は、次の場合に優れたソリューションです。
ユーザー・アカウント・リポジトリを制御する場合
ユーザー名およびパスワードに基づいたセキュリティで十分な場合
シングル・サインオン・フレームワークへの統合が不要な場合
この方法は特に、ユーザー・グループを新しいアプリケーションで迅速に起動および実行する必要がある場合に適しています。
データベース・アカウント資格証明では、データベース・ユーザー(スキーマ)が、認証されるユーザーのローカル・データベースに存在する必要があります。 「ユーザーの管理」ページでユーザーを作成および編集できます。
アプリケーションの指定した各ユーザーに対して1つのデータベース・アカウントを持つことが可能で、データベース・ツールを使用するアカウントのメンテナンスが要件を満たす場合は、データベース・アカウント資格証明をお薦めします。
ログイン・ページを使用する認証スキームは、Lightweight Directory Access Protocol(LDAP)を使用して、ログイン・ページで送信されるユーザー名およびパスワードを検証するように構成できます。 アプリケーション・ビルダーには、このオプションの構成方法を示すウィザードと編集ページが含まれています。 これらのウィザードでは、この構成のために、ご使用のアプリケーションにアクセス可能なLDAPディレクトリがすでに存在していることと、LDAPディレクトリが資格証明の検証のSIMPLE_BIND_S
コールに応答できることを想定しています。 LDAP資格証明の認証スキームを作成する場合、ウィザードによってLDAPホスト名、LDAPポート、DN文字列が要求され保存されます。 オプションの事前処理ファンクションを指定して、APIに渡されるユーザー名の書式設定を調整できます。
DADデータベース認証では、Oracleデータベース固有の認証と、Basic認証スキームを使用してユーザーを認証するユーザー・メカニズムを使用します。 DAD資格証明の検証を使用するには、次の条件を満たしている必要があります。
各アプリケーション・ユーザーが、Oracleデータベースにユーザー・アカウントを持っている。
Basic認証用のPL/SQL DADを構成している(アカウント情報なし)。
これによって、アプリケーション・ユーザーは、ブラウザ・セッションごとに1回ユーザー名/パスワードを要求されます。 その後、ユーザーIDトークンがAPP_USER
アイテム内で使用可能になります。
DADデータベース認証は、管理可能な数のユーザーに対して最小限の設定のみが必要な認証方式を実装する場合に役立ちます。 これらのユーザーがすでにデータベース内に自己管理されたアカウントを持っており、この認証方式を短期間(たとえば、開発のデモンストレーションまたはプロトタイプ段階の間)のみ使用することが理想です。
この方法の主なデメリットは、特にユーザーが自分のパスワードを管理していないか、またはユーザーのデータベース・アカウントがアプリケーションへの認証を容易化するためのみに存在している場合に、アカウントのメンテナンスが負担となることです。
Oracle Application Expressアプリケーションは、Oracle Application ServerのSingle Sign-On(SSO)インフラストラクチャでパートナ・アプリケーションとして実行できます。 実行には、アプリケーション(またはApplication Expressエンジン)をパートナ・アプリケーションとして登録する必要があります。 アプリケーションまたはApplication Expressエンジンをパートナ・アプリケーションとして登録するには、Oracle Application Serverのパートナ・アプリケーションの登録ステップに従い、Oracle9iAS SSO Software Developer Kit(SDK)をインストールします。
この方法を選択する場合、ご使用のアプリケーションでは統合されたログイン・ページが使用されません。 かわりに、ユーザーが新しいブラウザ・セッションでアプリケーションにアクセスすると、Application ExpressエンジンによってSingle Sign-Onログイン・ページにリダイレクトされます。 ユーザーがSSOによって認証されると、SSOコンポーネントはアプリケーションにリダイレクトし、Application Expressエンジンにユーザー識別情報およびその他の情報を渡します。 その後、ユーザーはログオフするか、ブラウザ・セッションを終了するか、またはその他のセッション終了イベントが発生するまでアプリケーションを使用できます。
認証スキームを最初から作成すると、認証インタフェースを完全に制御できます。 これは、次のいずれかに該当する場合に最適な方法です。
データベース認証または他の方式が適切でない。
独自のログイン・フォームおよび関連方式を開発する必要がある。
Oracle 10gAS Single Sign-Onなどの外部サービスに対して、ユーザー認証のすべての設定を委譲する必要がある。
セッション管理のセキュリティを制御する必要がある。
ユーザー・レベルまたはセッション・レベルでアクティビティを記録または監査する必要がある。
セッションのアクティビティ制限または存続期限を施行する必要がある。
Oracle Application Expressページ・プロセスの前に一方向の条件付きリダイレクト・ロジックをプログラムする必要がある。
一般的なセッション管理フレームワークを使用して、アプリケーションをOracle Application Expressアプリケーション以外のアプリケーションと統合する必要がある。
アプリケーションが、シームレス(たとえば、複数のアプリケーションID)に動作する複数のアプリケーションで構成されている。
Oracle Application Expressは、カスタム認証を実行する際に、次の2つの不適切な状況が発生しないようにします。
あるユーザーが、他のユーザーに属するセッション・ステートに故意にアクセスしようとすること。 ただし、ユーザーは任意のアプリケーション・セッションIDをURLに入力できます。
失効したセッション・ステート(多くの場合、同じユーザーに属する以前のセッション・ステート)が不注意にアクセスされること。 これは一般的に、アプリケーション・ページへのブックマークを使用したために発生します。
Oracle Application Expressは、カスタム認証ファンクションによって設定されたユーザーIDトークンが、アプリケーション・セッションが最初に作成された際に記録されたユーザーIDと一致するかどうかを確認します。 ユーザーがまだ認証されておらず、ユーザーIDが認識されていない場合、アクセスをしているセッション・ステートは、他のユーザーに属していません。 これらの確認によって、リクエスト内のセッションIDが使用可能かどうかが判断されます。 セッションIDが使用不可能な場合、Application Expressエンジンは適切なセッションIDを使用して、同じページにリダイレクトします。
Oracle Application Expressで新しいアプリケーションを作成すると、ログイン・ページが作成されます。 ページの別名は、'LOGIN'
です。 このページは、認証スキームで「無効なセッション」ページとして使用できます。 このページは、Oracle Application ExpressのログインAPIをコールするプロセスを使用して、資格証明の検証およびセッションの登録を実行するように構築されています。
事前に構築されたモデル・ページを使用して、すべてのユーザー・インタフェースを調整し、要件に対してロジックを加工して、独自のログイン・ページを構築することもできます。
アプリケーションのログイン・ページを作成するには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「ページの作成」をクリックします。
「ログイン・ページ」を選択します。
ログイン・ページ属性を指定して、「作成」をクリックします。
認可は、ユーザー権限に基づいてリソースへのアクセスを制御することを示す広義語です。 条件は特定のページ・コントロールまたはページ・コンポーネントのレンダリングおよび処理を制御しますが、認可スキームは特定のコントロールまたはコンポーネントへのユーザーのアクセスを制御します。
このセクションの内容は次のとおりです。
認可スキームは、アプリケーションの認証スキームのセキュリティを強化します。 認可スキームは、アプリケーション全体、各ページ、またはリージョン、アイテム、ボタンなどの特定のコントロールに対して指定できます。 たとえば、認可スキームを使用して、ユーザーに表示するタブ、リージョンまたはナビゲーション・バーを選択的に決定できます。
認可スキームの結果は、成功または失敗のいずれかです。 コンポーネントまたはコントロール・レベルの認可スキームに成功すると、そのコンポーネントまたはコントロールがユーザーに表示されます。 失敗すると、そのコンポーネントまたはコントロールはユーザーに表示されません。 アプリケーション・レベルまたはページ・レベルの認可スキームに失敗すると、Oracle Application Expressは事前定義済のメッセージを表示します。
認可スキームを定義する場合は、一意の名前を指定します。 定義した認可スキームは、アプリケーションのコンポーネントまたはコントロールに割り当てることができます。 アプリケーションのコンポーネントまたはコントロールに認可スキームを割り当てるには、該当する属性ページにナビゲートして、「認可スキーム」リストから認可スキームを選択するのみです。
認可スキームは、アプリケーションまたはアプリケーション・コンポーネントまたはコントロールに割り当てる前に作成する必要があります。
認可スキームを作成するには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「アプリケーション」ホームページで、「共有コンポーネント」をクリックします。
「共有コンポーネント」ページが表示されます。
「セキュリティ」で、「認可スキーム」を選択します。
「作成」をクリックします。
次のいずれかの項目を選択して、認可スキームの作成方法を指定します。
最初から
既存の認可スキームのコピーとして
画面に表示されるステップに従います。
既存の認可スキームの属性を編集するには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「アプリケーション」ホームページで、「共有コンポーネント」をクリックします。
「共有コンポーネント」ページが表示されます。
「セキュリティ」で、「認可スキーム」を選択します。
「認可スキーム」ページが表示されます。 デフォルトでは、各スキームがアイコンとして表示されます。
すべてのスキームの詳細ビューにアクセスするには、「ビュー」リストから「詳細」を選択します。
「認可スキーム」ページが表示されます。 「ビュー」リストから選択して、ページの外観を変更できます。 使用可能なオプションは次のとおりです。
アイコン(デフォルト): 各認証スキームを大きいアイコンとして表示します。 認可スキームを編集するには、該当するアイコンをクリックします。
詳細: 各アプリケーション・アイテムをレポートに1行で表示します。 認可スキームを編集するには、スキーム名を選択します。
評価ポイント属性に、認可スキームを検証するタイミングを指定できます。 認可スキームをセッションごとに1回検証するか、またはページ・ビューごとに1回検証するかを選択できます。
認可スキームがセッションごとに1回評価されるように指定して、その認可スキームが合格した場合、基礎となるコード、テストまたは問合せは、そのアプリケーション・セッション中に再実行されないことに注意してください。 認可スキームが、セッション中の異なる時刻に評価されると結果が異なる可能性があるテストで構成されている場合、評価ポイントをページ・ビューごとに1回に指定する必要があります。
作成した認可スキームは、アプリケーション全体、ページ、コントロールまたはコンポーネントに割り当てることができます。
このセクションの内容は次のとおりです。
認可スキームをアプリケーションに割り当てるには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「属性の編集」アイコンをクリックします。
「アプリケーション属性」ページが表示されます。
「セキュリティ」をクリックします。
「認可」までスクロールして、「認可スキーム」リストから認可スキームを選択します。
認可スキームをページに割り当てるには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
ページを選択します。
「ページ・レンダリング」で、ページのタイトルが表示されているセクションを検索します。
「ページ属性の編集」をクリックします。
「セキュリティ」までスクロールして、「認可スキーム」リストから認可スキームを選択します。
認可スキームのサブスクリプションおよび認可スキームの使用率レポートを使用すると、アプリケーション内の認可スキームをより効率的に管理できます。
認可スキーム・レポートを表示するには、次のステップを実行します。
「作業領域」ホームページで、「アプリケーション・ビルダー」アイコンをクリックします。
アプリケーションを選択します。
「アプリケーション」ホームページで、「共有コンポーネント」をクリックします。
「共有コンポーネント」ページが表示されます。
「セキュリティ」で、「認可スキーム」を選択します。
ページ上部にある該当するタブをクリックします。
サブスクリプション
使用状況