ヘッダーをスキップ
Oracle Application Serverベスト・プラクティス・ガイド
10
g
(10.1.4.0.1)
B31976-02
索引
次へ
目次
表一覧
タイトルと著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
サポートおよびサービス
1
Oracle Identity and Access Management Suiteのベスト・プラクティスの概要
1.1
Oracle Identity and Access Management Suiteのデプロイの主なベスト・プラクティス
2
Oracle Access Manager
2.1
一般的なベスト・プラクティス
2.1.1
複数環境にOracle Access Managerをデプロイしてサービスの停止時間を最小限に抑える
2.1.2
Oracle Access ManagerのAccess ServerとIdentity Serverを専用ハードウェアにデプロイして信頼性を向上させる
2.1.3
構成データとポリシー・データを別々のディレクトリに格納してデプロイおよびアップグレードの柔軟性を高める
2.1.4
ドメイン・コントローラを直接ポイントして潜在的なデータ非一貫性の問題を回避する
2.1.5
Microsoft Active Directoryへの接続時はADSIではなくLDAP over SSLを使用する
2.1.6
Microsoft Active Directory上へのデプロイ時にActive Directoryの適切な構成パラメータを微調整してパフォーマンスを最適化する
2.1.7
環境のサイズ指定とチューニングによる本番へのデプロイのサポート
2.1.8
専用のWebサーバーに管理インタフェースをホストして環境を保護する
2.1.9
コンポーネント間でSSLトランスポートを使用することによる環境のセキュア化
2.1.10
監査証跡をデータベースに格納して監査データの利便性を最大限に高める
2.1.11
環境管理を簡略化する手順の採用
2.2
アクセス・システムのベスト・プラクティス
2.2.1
IP検証、HTTPSおよびセキュアなCookieを使用してCookie再生攻撃のリスクを軽減する
2.2.2
ネストされたグループを認可に使用しないことでグループ・メンバーシップのパフォーマンスを向上させる
2.2.3
認可フィルタのかわりに動的グループを構成して認可管理を簡略化する
2.2.4
ObMyGroupsを使用する場合のパフォーマンスの考慮事項
2.2.5
管理の簡略化を図るためリバース・プロキシへのWebGateのデプロイを検討する
2.2.6
ドキュメント保護ポリシーを設計してWebGateによるAccess Serverのコールを最小限に抑える
2.2.7
フォームベース認証の構成時にベスト・プラクティスを使用してログイン・エラーを防止する
2.2.8
APIベースのプラグインをコーディングしてAccess Serverのクラッシュを回避する
2.2.9
ベスト・プラクティスを使用してAccess Manager SDK(AccessGate)クライアントをセキュアにする
2.3
IDシステムのベスト・プラクティス
2.3.1
検索を回避してID管理のパフォーマンスを向上させる
2.3.2
Group Managerアプリケーションの「メンバーの管理」ページを使用して大規模グループを効率的に管理する
2.3.3
Oracle Access Managerのデプロイ全体に単一のアイドル・タイムアウトを構成してユーザー動作に不整合が生じないようにする
2.3.4
追跡をオフにしてワークフローのパフォーマンスを向上させる
2.3.5
ワークフローのチケットを定期的にクリーンアップしてディレクトリのパフォーマンスを向上させる
2.3.6
パフォーマンスを考慮したイベントAPIプラグインを構築する
2.3.7
PresentationXMLを使用して埋込み可能なユーザー・インタフェース要素のルック・アンド・フィールをカスタマイズする
2.3.8
PresentationXMLの開発にXML/XSLエディタを使用して開発とテストをスピードアップする
2.3.9
必ずデフォルトのスタイルシートのコピーから作業を始める
2.3.10
PresentationXMLにJavaScriptコードを実装するときの注意事項
3
Oracle Internet Directory
3.1
bulkloadユーティリティを使用してシステムをブートストラップする
3.2
高可用性実現のためのレプリケーション
3.3
TLS/SSLバインドを使用してトラフィックを保護する
3.4
バックアップとリストアのユーティリティを使用してデータを保護する
3.5
Oracle Internet Directoryの監視と監査を行い可用性を向上させる
3.6
OPMNを使用してOracle Internet Directoryのプロセスを管理する
3.7
Oracle Internet Directoryの権限を割り当ててアクセスを制限する
3.8
ユーザー管理を制御するためにアクセス制御ポリシーを変更する
3.9
ユーザー属性とパスワードのヒントを使用して資格証明のリセットを簡素化する
3.10
ユーザー作成中にグループ割当てを組み込んで複数の手順を回避する
3.11
Windowsのネイティブ認証を有効にするためにActive Directoryの同期化を構成する
3.12
Oracle Directory Integration Platformのベスト・プラクティス
3.12.1
ID管理レルムを使用してOracle Internet Directoryとサード・パーティ・ディレクトリの間の接続を確立する
3.12.2
ユーザーとデプロイ済アプリケーションとの対話を可能にする同期サービスを構成する
3.12.3
Oracle Human ResourcesとOracle Internet Directoryを同期化してOracleAS Single Sign-OnとOracle Delegated Administration Servicesへのアクセスを可能にする
4
セキュリティ
4.1
一般的なベスト・プラクティス
4.1.1
HTTPSのベスト・プラクティス
4.1.2
タスクの実行に十分な最低レベルの権限を割り当ててセキュリティ・リークを防止する
4.1.3
Cookieセキュリティのベスト・プラクティス
4.1.4
システム設定のベスト・プラクティス
4.1.5
証明書の使用時におけるベスト・プラクティス
4.1.6
既知の攻撃に対するコードとコンテンツをチェックして攻撃の再発を最小限に抑制する
4.1.7
ファイアウォールのベスト・プラクティス
4.1.8
宣言セキュリティの利用
4.1.9
DMZでのスイッチ接続の使用
4.1.10
DMZにアプリケーション・サーバーを配置してセキュリティ問題を防止する
4.1.11
Secure Sockets Layer暗号化を使用してLDAPとHTTPトラフィックを保護する
4.1.12
アプリケーションのニーズに合せてSSLSessionCacheTimeoutディレクティブをチューニングする
4.1.13
Oracle Application Serverセキュリティ・コンポーネントをインストールする前に最終的なトポロジの計画を立案する
4.2
Oracle Application Server Java Authentication and Authorization Service(JAAS)Providerのベスト・プラクティス
4.3
J2EEセキュリティのベスト・プラクティス
4.3.1
カスタム・ユーザー・マネージャの作成を回避し、用意されているAPIを使用してビジネス・ロジックに専念する
4.3.2
JAASプロバイダでの認証メカニズムを使用してメリットを享受する
4.3.3
緻密なアクセス制御の使用
4.3.4
Oracle Internet Directoryをセントラル・リポジトリとして使用してLDAP標準機能を用意する
4.3.5
ユーザーがWebブラウザを閉じないように適切なログアウト機能を開発する
4.3.6
OC4J環境の保護
4.3.6.1
OC4J Standalone管理のApplication Server Controlへのアクセスを制限する
4.3.6.2
不要な機能を削除する
4.3.6.3
デバッグ・モードを無効にする
4.3.6.4
Default Invokerを無効にする
4.3.6.5
ディレクトリのブラウズを無効にする
4.3.6.6
ファイルの別名を無効にする
4.3.6.7
アカウント・パスワードを変更する
4.3.6.8
パスワードのインダイレクションを使用する
4.3.6.9
ネットワーク・サービス・ポートへのアクセスを制限する
4.4
OracleAS Single Sign-Onのベスト・プラクティス
4.4.1
高可用性用に構成してアクセス不能アプリケーションを防止する
4.4.2
OracleAS Single Sign-Onを利用して管理とユーザー動作を最適化する
4.4.3
全社的なディレクトリを使用して複数のシステムにあるユーザー・データを集中管理する
4.4.4
OracleAS Single Sign-Onを使用してユーザー資格証明を検証する
4.4.5
Oracle Application Serverで常にSSLを使用してアプリケーションを保護する
4.4.6
ユーザー名とパスワードのみをログイン画面で入力し、適切でないサーバーへの資格証明の送付を防止する
4.4.7
ログアウトによりアクティブなCookieを防止する
5
Oracle Virtual Directory
5.1
アダプタごとに固有のネームスペースを指定して構成を簡略化する
5.2
ルーティングの優先順位を使用して注文入力の返し方を制御し、パフォーマンスを向上させる
5.3
属性フローを使用してセキュリティ、パフォーマンスおよび柔軟性を向上させる
5.4
マッピング・スクリプトを使用してスキーマを統合する
5.5
Oracle Virtual Directoryの問合せにActiveX Data Objectを使用する場合はMicrosoftスキーマを追加する
6
Oracle Application Serverの高可用性ソリューション
6.1
Oracle Application Server Cluster(Identity Management)
6.2
ロード・バランサ
6.2.1
フォルト・トレラントなハードウェア・ロード・バランサを使用してシングル・ポイント障害を回避する
6.2.2
サービスの監視を使用して使用不能ノードへのトラフィックを自動的に無効化する
6.2.3
すべてのアイドル時間タイムアウトをサービスが未使用またはアイドル状態になる時間の最大値に構成する
6.3
Oracle Application Server Cold Failover Cluster
6.3.1
OracleAS Cold Failover Cluster(中間層)用に共有Oracleホーム・インストールを使用して管理を簡略化する
6.3.2
Oracle Universal Installerのコマンドを使用してOracleAS Cold Failover ClusterのOracleホームをoraInventoryにアタッチする
6.3.3
OracleAS Cold Failover Clusterにディスク冗長性を使用してOracleホームの障害を回避する
6.3.4
ポートの割当てを標準化し、OracleAS Cold Failover Clusterインスタンスにポートを事前に割り当てて障害を回避する
6.4
Oracle Application Server Guard
6.4.1
無効なレコードをクリーンアップしてインスタンス化と同期化のエラーを回避する
6.4.2
OracleAS Guardに同じポートを使用して同期化操作の手動の構成手順を回避する
6.4.3
OracleAS Guardのシェルで別々のラベルおよび色を使用してエラーを回避する
6.4.4
高いロギング・レベルを有効にしてOracleAS Guard操作をトラブルシューティングする
6.5
バックアップとリカバリ
6.5.1
操作がApplication Server Controlに表示されている場合は必ず、Application Server Controlをバックアップとリカバリの標準的な方法として使用して、コマンドライン操作における共通エラーやタイプミスを回避する
6.5.2
インスタンス・レベルのバックアップを使用して一貫性を保証する
6.5.3
イメージ・バックアップを実行してホスト破損シナリオからリカバリする
6.5.4
増分バックアップを使用して時間とディスク領域を節約する
索引