1. 管理ガイド
  2. Oracle Application Express管理サービス
  3. インスタンス設定の管理
  4. セキュリティの構成

2.5.2 セキュリティの構成

インスタンス管理者は、サービスレベルのセキュリティ、Real Application Securityに対するサポートの構成、セッション・タイムアウトの構成、ワークスペースの分離によるブラウザ攻撃の防止、リージョンおよびWebサービスからのドメインの除外、認証制御の構成、強力なパスワード・ポリシーの作成、データベース・アクセス記述子(DAD)によるアクセスの制限、認可済URLの管理など、インスタンス・セキュリティを構成できます。

親トピック: インスタンス設定の管理

2.5.2.1 サービスレベルのセキュリティ設定の構成

インスタンス管理者は、「インスタンスの管理」、「セキュリティ」、「セキュリティ設定」でサービスレベルのセキュリティ設定を構成できます。

サービスレベルのセキュリティ設定には、ログイン制御の構成、ファイル・アップロード機能の制御、IPアドレスによるアクセスの制限、インスタンスに対するプロキシ・サーバーの構成、セッションIDを含むURLに対するサポートの制御、Oracle Application Expressで未処理のエラーを表示する方法などが含まれます。

親トピック: セキュリティの構成

2.5.2.1.1 ログイン・フォームにCookieを移入するかどうかを制御

開発者または管理者がApplication Expressのログイン・ページからワークスペースにログインするときにユーザーのコンピュータに便利なCookieを送信するかどうかを制御します。

「ワークスペースCookieの設定」オプションが「はい」に設定されている場合、Oracle Application Expressは次のような永続Cookieを送信します。

  • 最後に使用されたワークスペース名とユーザー名が組み合されます

  • 6か月の存続期間があります

  • Application Expressのワークスペース・ログイン・フォーム(Oracle Application Express管理サービスのログイン・フォームではありません)への移入のために読み取られます

ログイン・フォームにCookieを移入するかどうかを制御するには:

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「ワークスペースCookieの設定」で、「いいえ」を選択します。

    • はい - Application Expressワークスペース・ログイン・ページが、最後に使用されたワークスペース名とユーザー名の組み合せを含む永続Cookieを送信できるようにします。

      このCookieの存続期間は6か月で、Application Expressワークスペース・ログイン・フォーム(サービス管理ログイン・フォームではない)の「ワークスペース」および「ユーザー名」フィールドへの移入に使用されます。

    • いいえ - このCookieが送信されないようにします。
  6. 「変更の適用」をクリックします。

注意:

システムがこのCookieを受信している場合は、ブラウザのツールまたはシステム・ユーティリティを使用して、ディスク上の永続位置から物理的に削除できます。このCookieはORA_WWV_REMEMBER_UNという名前です。以前のリリースのOracle Application Expressの場合、このCookieはORACLE_PLATFORM_REMEMBER_UNという名前です。これは、個別のホスト名およびパス・コンポーネントを持つ、アクセスされた各Oracle Application Expressサービスに存在します。

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.2 Oracle Application Express管理サービスへのアクセスの無効化

ユーザーはOracle Application Express管理サービスにログインできなくなります。

インスタンス管理者は、ユーザーがOracle Application Express管理サービスにログインするのを防ぐことができます。管理者によるログイン本番環境を無効にすると、権限のないユーザーによるApplication Express管理サービスへのアクセスおよび他のユーザー・ログイン資格証明の破損を防止できます。

Oracle Application Express管理サービスへのユーザー・アクセスを無効にするには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「管理者ログインの無効化」で「はい」を選択します。

    注意:

    「はい」を選択してサイン・アウトすると、Oracle Application Express管理サービスに他のユーザーがアクセスできなくなります。

  6. 「変更の適用」をクリックします。

参照:

Oracle Application Express管理サービスへのアクセスの有効化

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.3 Oracle Application Express管理サービスへのアクセスの有効化

Oracle Application Express管理サービスへのアクセスが無効になっている場合、インスタンス管理者は次のSQL文を実行して再び有効にできます。

無効になっている場合に、Oracle Application Express管理サービスへのユーザー・アクセスを許可するには、次の手順を実行します。

  1. SQL*Plusに接続し、SYSとしてOracle Application Expressがインストールされているデータベースに接続します。次に例を示します。

    • Windowsの場合:

      SYSTEM_DRIVE:\ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password

    • UNIXおよびLinuxの場合:

      $ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password
  2. 次の文を実行します。
    ALTER SESSION SET CURRENT_SCHEMA = APEX_190200;
  3. 次の文を実行します。
    BEGIN
  APEX_INSTANCE_ADMIN.SET_PARAMETER('DISABLE_ADMIN_LOGIN', 'N');
  commit;
END;
/

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.4 ワークスペース・ログイン・アクセスの無効化

ワークスペース・ログインを無効化して、Application Expressへのユーザー・アクセスを制限します。本番環境でワークスペース・ログインを無効にすると、ユーザーはアプリケーション・ビルダーなどのApplication Expressアプリケーションを実行できなくなります。

内部ワークスペースへのユーザー・アクセスを無効にするには、次のステップを実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「ワークスペース・ログインの無効化」で「はい」を選択します。

    「はい」を選択すると、ランタイムのみの環境が効果的に設定されますが、インスタンス管理者は引き続き「インスタンス管理」にサインインできます。本番環境で「はい」を選択すると、開発者はアプリケーションまたはデータを変更できなくなります。

  6. 「変更の適用」をクリックします。

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.5 パブリック・ファイルのアップロードの制御

「パブリック・ファイルのアップロードを許可」属性を使用して、認証されていないユーザーがファイルのアップロード制御を提供するアプリケーションでファイルをアップロードできるかどうかを制御します。

ファイルのアップロードを制御するには、次のステップを実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「パブリック・ファイルのアップロードを許可」で、次のいずれかを選択します。

    • はい: 認証されていないユーザーがファイルのアップロード制御を提供するアプリケーションでファイルをアップロードできるようにします。

    • いいえ - 認証されていないユーザーがファイルのアップロード制御を提供するアプリケーションでファイルをアップロードできないようにします。

  6. 「変更の適用」をクリックします。

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.6 IPアドレスによるユーザー・アクセスの制限

使用可能なIPアドレスのカンマ区切りのリストを指定して、Oracle Application Expressインスタンスへのユーザー・アクセスを制限します。

IPアドレスでユーザー・アクセスを制限するには、次のステップを実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「管理者ログインの無効化」で、「いいえ」を選択します。
  6. 「IPアドレス別にアクセスを制限」に、カンマで区切られた使用可能なIPアドレスのリストを入力します。ワイルドカードを指定するには、アスタリスク(*)を使用します。

    1つから4つのレベルのIPアドレスを入力できます。次に例を示します。

    141, 141.* ...
192.128.23.1 ...

    注意:

    ワイルドカードを使用する場合は、ワイルドカードの後ろに数値を追加して入力しないでください。例: 138*41.2

  7. 「変更の適用」をクリックします。

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.7 インスタンスに対するプロキシ・サーバーの構成

すべてのアウトバウンドHTTPトラフィックにプロキシを使用するようにOracle Application Expressインスタンス全体を構成します。

インスタンス・レベルでのプロキシの設定は、アプリケーション・レベルまたはWebサービス参照で定義されているすべてのプロキシより優先されます。プロキシが指定されている場合、URLタイプのリージョン、Webサービスおよびレポート出力で、そのプロキシが使用されます。

Oracle Application Expressインスタンスに対してプロキシを構成するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「インスタンス・プロキシ」で、インスタンス全体で使用するプロキシのアドレスとポートを入力します。「プロキシなしドメイン」で、プロキシ・サーバーを使用しないドメインのリストを入力します。
  6. 「変更の適用」をクリックします。

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.8 チェックサム・ハッシュ関数の選択

Application Expressがチェックサムに一方向のハッシュ文字列を生成するときに使用するハッシュ関数を選択します。

「チェックサム・ハッシュ関数」属性を使用すると、最近の開発に対応して、新しい調査に基づいてアルゴリズムを切り替えることができます。「チェックサム・ハッシュ関数」属性を使用して、Oracle Application Expressがチェックサムに一方向のハッシュ文字列を生成するときに使用するハッシュ関数を選択します。この属性は、新しいアプリケーションでセキュリティ・ブックマーク・ハッシュ関数属性のデフォルト値にもなります。アプリケーションは、ブックマークのURLを定義するときにブックマーク・ハッシュ関数を使用します。

ヒント:

チェックサム・ハッシュ関数を変更しても、エンド・ユーザーが保存した既存のすべてのブックマークが無効になるため既存のアプリケーションに現在定義されているブックマーク・ハッシュ関数は変更されません。既存のアプリケーションに移動し、既存のブックマークを期限切れにしてから、ブックマーク・ハッシュ関数をチェックサム・ハッシュ関数に定義した値と同じ値に更新することをお薦めします。

チェックサム・ハッシュ関数を選択するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「チェックサム・ハッシュ関数」で、Application Expressがチェックサムに一方向のハッシュ文字列を生成するときに使用するハッシュ関数を選択します。

    Oracle Database 12c以降でサポートされているのは、SHA-2アルゴリズムのみです。「最もセキュア」では、使用できる最も安全なアルゴリズムが自動的に選択されます。したがって、これが推奨の設定です。Oracle Database 12c以降では、これはSHA-2、512ビットに評価され、Oracle Database 11gではSHA-1が最もセキュアなアルゴリズムです。MD5アルゴリズムは非推奨となったため、この設定は推奨されません。

  6. 「変更の適用」をクリックします。

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.9 インスタンスへのセッション再結合の構成

Oracle Application ExpressでセッションIDを含まないアプリケーションURLをサポートするかどうかを制御します。

「セッションを再結合」属性を構成すると、インスタンス管理者はセッションIDを含むURLをOracle Application Expressでサポートするかどうかを制御できます。セッションの再結合を有効にすると、URLにセッションIDが含まれていない場合、Oracle Application Expressはセッションcookieを使用して既存のセッションを結合しようとします。

警告:

セキュリティ上の理由から、「ホスト名の許可」属性を構成してワークスペース分離を実装していないかぎり、管理者がセッション結合のサポートを無効にすることをお薦めします。ブラウザ攻撃を防ぐためのワークスペースの分離およびインスタンスのすべてのワークスペースの分離を参照してください。

注意:

セッションの再結合を有効にすると、攻撃者が既存のエンド・ユーザー・セッションを乗っ取ることが可能になることで、アプリケーションのセキュリティが侵害される可能性があります。詳細は、Oracle Application Expressアプリケーション・ビルダー・ユーザーズ・ガイドセッション再結合についてを参照してください。

「セッションを再結合」を構成するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「セッションを再結合」から、次のオプションを選択します。
    • 無効 - URLにセッションIDが含まれていない場合、Oracle Application Expressは新しいセッションを作成します。
    • パブリック・セッションに対して有効 - URLがパブリック・ページのもので、セッションIDが含まれていない場合、Application Expressはそのアプリケーションに対して確立された既存のセッションCookieの利用を試みます。パブリック・ページと認証済ページの両方を持つアプリケーションの場合、エンド・ユーザーの認証後にセッションIDが定義されます。Application Expressは、セッションがまだ認証されていない場合にのみCookieを使用して結合します。
    • すべてのセッションに対して有効 - URLにセッションIDが含まれていない場合、次のいずれかの条件が満たされていれば、Oracle Application Expressはそのアプリケーションで設定されている既存のセッションCookieを使用しようとします。

      • セッション・ステート保護がそのアプリケーションに対して有効で、URLに有効なチェックサムが含まれています。パブリック・ブックマークの場合、最も制限的なアイテム・レベルの保護は「制限なし」または「チェックサムが必要 - アプリケーション・レベル」である必要があります。

      • URLにペイロードは含まれていません(リクエスト・パラメータ、クリア・キャッシュまたはデータ値ペア)。この設定には、アプリケーションで「フレームへの埋込み」が「同じ起点から許可」、または「拒否」に設定されている必要があります。

      「すべてのセッションに対して有効」には、「フレームへの埋込み」「同じ起点から許可」または「拒否」に設定されている必要があります。これはURLペイロードの条件に関連付けられませんが、セッション・ステート保護されるURLにも適用されます。

  6. 「変更の適用」をクリックします。

参照:

Oracle Application Expressアプリケーション・ビルダー・ユーザーズ・ガイドセッション再結合についてブラウザ・セキュリティ、およびセッション再結合の構成

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.1.10 未処理のエラーの構成

Oracle Application Expressで未処理のエラーをどのように表示するかを制御します

Oracle Application Expressが処理中に未処理のエラーを確認した場合、アプリケーションのエンド・ユーザーに対してエラー・ページが表示されます。セキュリティ上の観点からは、これらのメッセージとエラー・コードはエンド・ユーザーに表示せず、HTTP 400(不正リクエスト)エラー・コードをクライアント・ブラウザに返すのみにすることをお薦めします。

未処理のエラーを構成するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「セキュリティ」セクションに移動します。
  5. 「未処理エラー」で、次のいずれかのオプションを選択します。

    • エラー・ページを表示 - これがデフォルトの動作です。アプリケーションのエラー処理によって処理されないエラーまたは例外がある場合には、特定のエラーとエラー・コードでエンド・ユーザーにエラー・ページが表示されます。

    • HTTP 400を返す - Application Expressエンジンが未処理のエラーを確認したとき、エンド・ユーザーのクライアント・ブラウザにHTTP 400ステータスを返します。

  6. 「変更の適用」をクリックします。

親トピック: サービスレベルのセキュリティ設定の構成

2.5.2.2 HTTPプロトコルの属性の構成

Oracle Application Expressインスタンスおよびすべての関連アプリケーションのHTTPSの必要性を判断します。

注意:

「HTTPSが必要」に設定すると、Oracle Application ExpressがHTTPプロトコルではアクセスできなくなります。この設定を有効にする前に、サーバーでHTTPSが有効であり正しく構成されていることを必ず確認してください。

  • SSLの概要
    Secure Socktets Layer (SSL)は、インターネット上で転送されるデータのセキュリティを管理するためのプロトコルです。SSLは、HTTPSプロトコルを使用してWebアプリケーションに実装されます。機密データが暗号化されていない(クリアテキストの)通信チャネルに送信されないように、SSL (HTTPSプロトコル)を使用してOracle Application Expressアプリケーションを実行することをお薦めします。
  • HTTPSの必要性
    「HTTPSが必要」属性および「アウトバウンドHTTPSが必要」属性を構成することで、Oracle Application Expressインスタンスとすべての関連アプリケーションでHTTPSを必要とするように構成します。
  • 「HTTPSが必要」の無効化
    「HTTPSが必要」が有効になっている場合、インスタンス管理者は次のSQL文を実行して無効にできます。
  • 「アウトバウンドHTTPSが必要」の無効化
    「アウトバウンドHTTPSが必要」が有効になっている場合、インスタンス管理者は次のSQL文を実行して無効にできます。
  • 追加のレスポンス・ヘッダーの構成
    すべてのアプリケーションのリクエストごとにOracle Application Expressが送信する追加のHTTPレスポンス・ヘッダーを入力します。

親トピック: セキュリティの構成

2.5.2.2.1 SSLの概要

Secure Socktets Layer (SSL)は、インターネット上で転送されるデータのセキュリティを管理するためのプロトコルです。SSLは、HTTPSプロトコルを使用してWebアプリケーションに実装されます。機密データが暗号化されていない(クリアテキストの)通信チャネルに送信されないように、SSL (HTTPSプロトコル)を使用してOracle Application Expressアプリケーションを実行することをお薦めします。

親トピック: HTTPプロトコルの属性の構成

2.5.2.2.2 HTTPSの必要性

「HTTPSが必要」属性および「アウトバウンドHTTPSが必要」属性を構成することで、Oracle Application Expressインスタンスとすべての関連アプリケーションでHTTPSを必要とするように構成します。

重要:

「HTTPSが必要」を有効にすると、Oracle Application ExpressがHTTPプロトコルではアクセスできなくなります。この設定を有効にする前に、サーバーでHTTPSが有効であり正しく構成されていることを必ず確認してください。

Oracle Application ExpressでHTTPSを必須にするには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「HTTPプロトコル」で、次のように構成します。
    1. HTTPSが必要:

      • 常時 - すべてのアプリケーション(Oracle Application Express開発および管理アプリケーションを含む)にHTTPSを要求するように強制します。

        「常時」に設定されている場合には、「Strict-Transport-Security最大有効期間」属性が表示されます。このフィールドを使用して、ブラウザがHTTPSのみでサーバーにアクセスしなければならない期間を秒単位で指定します。詳細は、フィールドレベル・ヘルプを参照してください。

      • 開発および管理 - Oracle Application Express内のすべての内部アプリケーション(つまり、アプリケーション・ビルダー、SQLワークショップ、インスタンス管理など)にHTTPSを要求するように強制します。

      • アプリケーション固有 - HTTPSをアプリケーション・レベル設定依存にします。

    2. アウトバウンドHTTPSが必要 - 「はい」を選択すると、Application Expressインスタンスからのすべてのアウトバウンド・トラフィックでHTTPSプロトコルの使用が必須になります。
    3. HTTPレスポンス・ヘッダー - すべてのアプリケーションのリクエストごとにOracle Application Expressが送信する追加のHTTPレスポンス・ヘッダーを入力します。開発者は、アプリケーションレベルで追加のヘッダーを指定できます。各ヘッダーは、改行で始まる必要があります。各ヘッダーのサポートは、ブラウザによって異なります。詳細は、フィールドレベル・ヘルプを参照してください。
  5. 「変更の適用」をクリックします。

親トピック: HTTPプロトコルの属性の構成

2.5.2.2.3 HTTPS要件の無効化

「HTTPSが必要」が有効になっている場合、インスタンス管理者は次のSQL文を実行して無効にできます。

「HTTPSが必要」を無効化するには、次の手順を実行します。

  1. 現行スキーマとしてApplication Expressエンジン・スキーマを使用してSQL*PlusまたはSQL Developerに接続します。次の例を示します。

    • Windowsの場合:

      SYSTEM_DRIVE:\ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password

    • UNIXおよびLinuxの場合:

      $ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password
  2. 次の文を実行します。
    ALTER SESSION SET CURRENT_SCHEMA = APEX_190200;
  3. 次の文を実行します。
    BEGIN
    APEX_INSTANCE_ADMIN.SET_PARAMETER('REQUIRE_HTTPS', 'N');
    commit;
end;
/

親トピック: HTTPプロトコルの属性の構成

2.5.2.2.4 アウトバウンドHTTPS要件の無効化

「アウトバウンドHTTPSが必要」が有効になっている場合、インスタンス管理者は次のSQL文を実行して無効にできます。

「アウトバウンドHTTPSが必要」を無効化するには、次の手順を実行します。

  1. 現行スキーマとしてApplication Expressエンジン・スキーマを使用してSQL*PlusまたはSQL Developerに接続します。次の例を示します。

    • Windowsの場合:

      SYSTEM_DRIVE:\ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password

    • UNIXおよびLinuxの場合:

      $ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password
  2. 次の文を実行します。
    ALTER SESSION SET CURRENT_SCHEMA = APEX_190200;
  3. 次の文を実行します。
    BEGIN
    APEX_INSTANCE_ADMIN.SET_PARAMETER('REQUIRE_OUT_HTTPS', 'N');
    commit;
end;
/

親トピック: HTTPプロトコルの属性の構成

2.5.2.2.5 追加のレスポンス・ヘッダーの構成

すべてのアプリケーションのリクエストごとにOracle Application Expressが送信する追加のHTTPレスポンス・ヘッダーを入力します。

追加のレスポンス・ヘッダーを構成するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「HTTPプロトコル」に移動します。
  5. 「HTTPレスポンス・ヘッダー」で、すべてのアプリケーションのリクエストごとにOracle Application Expressが送信する追加のHTTPレスポンス・ヘッダーを入力します。

    開発者は、アプリケーションレベルで追加のヘッダーを指定できます。各ヘッダーは、改行で始まる必要があります。各ヘッダーのサポートは、ブラウザによって異なります。

    重要なセキュリティ関連ヘッダーの1つとして、Content-Security-Policyがあります。このヘッダーを送信すると、クロスサイトスクリプティング(XSS)および関連する攻撃のリスクを大幅に削減できます。詳細は、フィールドレベル・ヘルプを参照してください。

  6. 「変更の適用」をクリックします。

親トピック: HTTPプロトコルの属性の構成

2.5.2.3 Real Application Securityの有効化

Oracle Real Application Securityを有効にします。

Real Application Securityを有効にするには、次の手順を実行します。

Oracle Database 12cリリース1 (12.1.0.2)以上を実行している場合は、Oracle Real Application Securityを有効化できます。Oracle Real Application Security (RAS)は、アプリケーション開発者と管理者がアプリケーションレベルのセキュリティ・ポリシーをデータベース層で定義し、割り当てて適用できるデータベース認証フレームワークです。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. Real Application Securityを見つけます。
  5. 「Real Application Securityの許可」で、次のように設定します。
    • はい - アプリケーションに対するOracle Database Real Application Securityのサポートを有効化します。アプリケーションの認証スキームでReal Application Securityが構成されている場合、Oracle Application Expressは新しいOracle Application Expressセッションに対してReal Application Securityセッションを作成し、自動的にそれにアタッチします。
    • いいえ - Oracle Database Real Application Securityを無効化します。
  6. 「変更の適用」をクリックします。

親トピック: セキュリティの構成

2.5.2.4 セッション・タイムアウトの構成

セッション・タイムアウトの属性を使用して、Webブラウザが開いたまま放置されたコンピュータの露出をアプリケーション・レベルで減らします。

インスタンスに対してセッション・タイムアウトを構成するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. Application Expressの「セッション・タイムアウト」で、次を指定します。
    • 最大セッションの長さ - セッションが存続し、このOracle Application Expressインスタンスでアプリケーションによって使用できる時間(秒)を定義します。この設定よりも、対応するワークスペース・レベルの設定やアプリケーション・レベルの設定が優先されます。

      • セッションの存続期間を制御する正の整数を入力します。

      • セッションが無期限に存在するようにするには、0を入力します。

      • 値をデフォルトの8時間(28800秒)に戻すには、値を空のままにします。

    • 最大セッション・アイドル時間 - セッション・アイドル時間は、最後のページ・リクエストと次のページ・リクエストの間の時間です。この設定よりも、対応するワークスペース・レベルの設定やアプリケーション・レベルの設定が優先されます。

      • このApplication Expressインスタンスでアプリケーションによって使用されるセッションのデフォルトのアイドル時間を制御する正の整数を入力します。

      • 値をデフォルトの1時間(3600秒)に戻すには、値を空のままにします。

  5. 「変更の適用」をクリックします。

参照:

Oracle Application Expressアプリケーション・ビルダー・ユーザーズ・ガイドの「セッション管理」

親トピック: セキュリティの構成

2.5.2.5 インスタンスのすべてのワークスペースの分離

インスタンス管理者は、ワークスペースを分離することでブラウザ攻撃を防ぐことができます。

親トピック: セキュリティの構成

2.5.2.5.1 ブラウザ攻撃を防ぐためのワークスペースの分離の概要

ワークスペースの分離は、ブラウザ攻撃を防ぐ効果的な方法です。

ワークスペースを真に分離する唯一の方法は、「ホスト名の許可」属性を構成してURLで異なるドメインを適用することです。攻撃者と攻撃を受ける側のURLでドメインとホスト名が異なる場合、ブラウザの同一起点ポリシーによって攻撃が回避されます。

参照:

ブラウザ攻撃を防ぐためのワークスペースの分離およびOracle Application Expressアプリケーション・ビルダー・ユーザーズ・ガイド

親トピック: インスタンスのすべてのワークスペースの分離

2.5.2.5.2 インスタンスレベルの「ワークスペースの分離」属性の構成

すべてのワークスペースについて、分離およびリソース制限のデフォルト値を構成します。ワークスペース管理者は、ワークスペースレベルでこれらのデフォルト値を上書きできます。

インスタンスレベルで「ワークスペースの分離」属性を構成するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「ワークスペースの分離」で、次の属性を構成します。

    ヒント:

    属性の詳細は、フィールドレベル・ヘルプを参照してください。

    表2-3 「ワークスペースの分離」属性

    属性 説明

    ホスト名の許可

    このインスタンスへのアクセスに使用できるホスト名のリストを、カンマ区切りで入力します。この属性を使用すると、WebサーバーのどのDNS別名をアプリケーションで使用できるかを指定できます。ワークスペース・レベルでこれをオーバーライドする特定の値を構成できます。1つ以上のホスト名を入力する場合、受信するHTTPリクエストURLのホスト名部分が、リストのホスト名のいずれかに一致する必要があります。

    リソース・コンシューマ・グループ

    インスタンスのページ・イベントで使用されるデータベース・リソース・マネージャのコンシューマ・グループを指定します。ワークスペース・レベルでこれをオーバーライドする特定の値を構成できます。リクエストごとの最初に、Application Expressエンジンによって、現在のデータベース・セッションの現在のコンシューマ・グループが、ワークスペースまたはインスタンスのレベルで定義されているコンシューマ・グループに切り替えられます。これは、実行中のアプリケーションにも、Application Express開発環境内で使用されるアプリケーションにも適用されます。

    PUBLICまたはApplication Expressスキーマに、このコンシューマ・グループに切り替える権限を付与する必要があります。この権限は通常、DBMS_RESOURCE_MANAGER_PRIVS.GRANT_SWITCH_CONSUMER_GROUPのプロシージャを使用して付与されます。

    最大同時ワークスペース・リクエスト数

    すべてのアプリケーションについてOracle Application Expressがサポートする同時ページ・イベントの最大数を入力します。ワークスペース・レベルで特定の値を構成できます。制限に達したとき、ページ・イベントを処理するかわりにOracle Application Expressにエラー・メッセージが表示されます。

    Oracle Application Expressは、GV$SESSIONCLIENT_INFO列を問い合せることによってワークスペース・リクエストを追跡します。この追跡は、DBMS_APPLICATION_INFO.SET_CLIENT_INFOの呼出しのように、開発者がCLIENT_INFOを上書きする場合には動作しません。

    最大同時セッション・リクエスト数

    このインスタンスのアプリケーションのセッションごとにOracle Application Expressがサポートする同時ページ・イベントの最大数を入力します。ワークスペース・レベルで特定の値を構成できます。制限に達したとき、新しいページ・イベントを処理するかわりにOracle Application Expressにエラー・メッセージが表示されます。あるいは、「同時セッション・リクエスト中断タイムアウト」属性を使用してアクティブなデータベース・セッションを停止し、新しいページ・イベントを処理することもできます。

    Oracle Application Expressは、GV$SESSIONCLIENT_IDENTIFIER列を問い合せることによってワークスペース・リクエストを追跡します。この追跡は、DBMS_SESSION.SET_IDENTIFIERの呼出しのように、開発者がCLIENT_IDENTIFIERを上書きする場合には動作しません。

    同時セッション・リクエスト中断タイムアウト

    「最大同時セッション・リクエスト数」の制限を超える新しいページ・イベントが発生した場合、Oracle Application ExpressはこのApplication Expressセッションで他のページ・イベントを処理する最も古いアクティブなデータベース・セッションに対してalter system kill sessionを実行できます。「同時セッション・リクエスト中断タイムアウト」属性には、データベース・プロセスが中断されるまでアクティブでなければならない時間を秒単位で指定します。この属性を空のままにすると、Application Expressではどのデータベース・セッションも中断されません。

    警告: セッションを中断すると、アプリケーション・サーバーのデータベース・セッション・プールで問題が発生することがあります。

    ワークスペース内のファイルの最大サイズ

    ワークスペースにアップロードできるすべてのファイルの合計サイズ(バイト単位)を入力します。ワークスペース・レベルで特定の値を構成できます。

    最大Webサービス・リクエスト

    このインスタンスのワークスペースごとにApplication ExpressがサポートするWebサービス・リクエストの最大数を入力します。ワークスペースレベルでより詳細な値を構成できます。
  5. 「変更の適用」をクリックします。

親トピック: インスタンスのすべてのワークスペースの分離

2.5.2.6 リージョンとWebサービスに対する除外ドメインの定義

URLタイプのリージョンおよびWebサービスの制限付きドメインのリストを定義します。WebサービスまたはURLタイプのリージョンに除外されたドメインが含まれる場合、制限されていることを通知するエラーがユーザーに表示されます。

URLタイプのリージョンおよびWebサービスから、除外するドメインのリストを定義するには、次のステップを実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「ドメインの使用禁止」で、次のような、除外するドメインのコロン区切りのリストを入力します。
    mycompany.com:yourcompany.com:abccompany.com
  5. 「変更の適用」をクリックします。

親トピック: セキュリティの構成

2.5.2.7 インスタンスの認証制御の構成

Oracle Application Expressインスタンス全体に対して認証制御を構成します。

参照:

ワークスペースに対するアカウント・ログイン制御の作成

親トピック: セキュリティの構成

2.5.2.7.1 認証制御の概要

管理者はインスタンス全体に対して、または個々のワークスペースごとに認証制御を構成できます。

たとえば、インスタンス管理者がOracle Application Express管理サービスの認証制御を構成する場合、その構成は開発インスタンス全体にわたるすべてのワークスペースで、Application Expressのすべてのアカウントに適用されます。

インスタンス管理者がインスタンス全体でログイン制御を有効にしない場合は、各ワークスペース管理者がワークスペースごとに次の制御を有効にできます。

  • ユーザーのアカウント有効期限およびロック

  • ユーザー・アカウントへのログイン試行失敗の最大回数

  • アカウント・パスワード存続期間(つまりエンド・ユーザー・アカウントのパスワードを使用できる期限が切れるまでの残りの日数)

ヒント:

この機能は、Application Expressのユーザー作成および管理を使用して作成したアカウントにのみ適用されます。この機能は、追加的なアプリケーションの認証セキュリティを提供します。ワークスペースでのユーザーの管理を参照してください。

参照:

親トピック: インスタンスの認証制御の構成

2.5.2.7.2 開発者ログインとエンド・ユーザー・ログインのセキュリティの構成

開発者ログインとエンド・ユーザー・ログインのセキュリティ設定を構成します。

開発者ログインとエンド・ユーザー・ログインのセキュリティ設定を構成するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「一般設定」で、次の属性を構成します。
    1. ログイン試行失敗後の遅延時間 - ログインに失敗すると、同じユーザー名で新たなログイン試行が受け入れられるまでの、この数とログイン失敗数を掛けたカウントダウンがOracle Application Expressに表示されます。カウントダウンを無効化して即時アクセスを有効化するには、ゼロ(0)を入力します。
    2. 遅延の計算方法: 失敗したログインに対する遅延を計算する方法を選択します。計算方法は、ログイン・アクセス・ログの最新のデータに基づきます。
      詳細は、アイテム・ヘルプを参照してください。
    3. インバウンド・プロキシ・サーバー: リクエストを受信する既知のプロキシ・サーバーのIPアドレスのカンマ区切りのリストを入力します。Oracle Application Expressはこのリストを使用して、HTTPヘッダーX-Forwarded-ForおよびREMOTE_ADDRから実際のクライアント・アドレスを計算します。
    4. シングル・サインオン・ログアウトURL - シングル・サインオン・サーバーからのログアウトをトリガーするためにApplication ExpressがリダイレクトするURLを入力します。Application Expressによって、?p_done_url=...login url....が自動的に付加されます
  5. 「変更の適用」をクリックします。

親トピック: インスタンスの認証制御の構成

2.5.2.7.3 ワークスペース管理者および開発者アカウントに対するセキュリティ設定の構成

ワークスペース管理者および開発者アカウントに対するセキュリティ設定を管理します。

ワークスペース管理者およびワークスペース開発者アカウントに対するセキュリティ制御を構成するには:

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「開発環境設定」で、次の属性を構成します。
    1. ユーザー名の検証式 - 開発者と管理者のユーザー名を検証する正規表現を入力します。検証をバイパスする場合は、*を入力します。次の例では、ユーザー名が電子メール・アドレスであることを検証します。

      ^[[:alnum:]._%-]+@[[:alnum:].-]+\.[[:alpha:]]{2,4}$

    2. ユーザー・アカウントの有効期限およびロックが必要: Oracle Application Expressアカウント管理インタフェースを使用して作成したエンド・ユーザー・アカウントに適用します。「はい」を選択すると、ワークスペース全体でApplication Expressユーザー・アカウントの有効期限およびロック機能が有効になります。この選択により、同じ機能をワークスペースレベルで無効にできなくなります。「いいえ」を選択すると、各ワークスペース管理者に対して制御は行われません。 
    3. 許可されるログイン失敗の最大回数: 開発者アカウントまたは管理者アカウントがロックされるまでに許可される認証の連続失敗の最大回数を整数で入力します。このフィールドの値を指定しない場合は、デフォルト値の4が設定されます。

      この設定は管理者および開発者アカウントに適用されます。エンド・ユーザー・アカウントには適用されません。ワークスペース管理者が値を指定しない場合は、ここで入力した値がワークスペースレベルの「許可されるログイン失敗の最大回数」プリファレンスのデフォルトとして使用されます。このプリファレンスは各ワークスペース内のエンド・ユーザー・アカウントで使用されます。

    4. アカウント・パスワード・ライフタイム(日) - アカウントの期限が切れるまでに開発者または管理者アカウント・パスワードを使用できる最大日数を入力します。このフィールドの値を指定しない場合は、デフォルト値の45日が設定されます。

      この設定はApplication Express管理および開発環境へのアクセスに使用するアカウントにのみ適用されます。エンド・ユーザー・アカウントには適用されません。入力した値がデフォルトのワークスペースレベルの「エンド・ユーザー・アカウント・ライフタイム」プリファレンスとして使用されます。ワークスペース管理者はこの値を変更できます。ワークスペースレベルのプリファレンスは、そのワークスペース内のアカウントに適用されます。

  5. 「変更の適用」をクリックします。

親トピック: インスタンスの認証制御の構成

2.5.2.7.4 開発環境認証スキームの編集

開発環境認証スキームを管理します。

開発環境認証スキームを編集するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「開発環境認証スキーム」までスクロールします。
  5. 編集する認証スキームの横の「編集」アイコンをクリックします。
  6. 対象となる属性を編集します。選択した認証スキームをカレントにするには、「カレント・スキームにする」をクリックします。

    属性の詳細は、フィールドレベル・ヘルプを参照してください。

  7. 変更を保存するには、「変更の適用」をクリックします。

ヒント:

APEX_INSTANCE_ADMINパッケージでAPEX_BUILDER_AUTHENTICATIONパラメータを使用して認証スキームを変更することもできます。詳細は、Oracle Application Express APIリファレンスの使用可能なパラメータ値に関する説明を参照してください。

親トピック: インスタンスの認証制御の構成

2.5.2.8 強力なパスワード・ポリシーの作成

インスタンス管理者は、Oracle Application Expressインスタンスに対して強力なパスワード・ポリシーを作成できます。

  • 強力なパスワード・ポリシーについて
    すべてのワークスペースでApplication Expressユーザー(ワークスペース管理者、開発者、エンドユーザー)のパスワード・ポリシーを管理します。
  • パスワード・ポリシーの構成
    すべてのワークスペースでApplication Expressユーザー(ワークスペース管理者、開発者、エンドユーザー)のパスワード・ポリシーを管理します。

親トピック: セキュリティの構成

2.5.2.8.1 強力なパスワード・ポリシーについて

すべてのワークスペースでApplication Expressユーザー(ワークスペース管理者、開発者、エンドユーザー)のパスワード・ポリシーを管理します。

次のようなパスワード・ポリシーがあります。

  • Oracle Application Expressインスタンスのすべてのユーザー(ワークスペース管理者、開発者、エンド・ユーザーを含む)に適用する。

  • 文字、パスワード長、特定の単語、新旧パスワードの差分などについての制限を指定する。

  • Oracle Application Express管理サービスにサインインするユーザーに適用する。

Application Expressインスタンス管理者は、サービス管理者のパスワード・ポリシーを選択できます。オプションは次のとおりです。

  • 「作業領域のパスワード・ポリシー」で指定したポリシーの使用 - 「作業領域のパスワード・ポリシー」で指定したパスワード・ルールを適用します。

  • デフォルトの強力なパスワード・ポリシーの使用 - ハッカーが管理者のパスワードを判別できないようセキュリティの層をさらに追加します。このパスワード・ポリシーでは、サービス管理者パスワードが次の制限を満たしている必要があります。

    • 6文字以上で構成されます。

    • 小文字および大文字のアルファベット、数字、記号を1つ以上含みます。

    • ユーザー名は含めることができません。

    • Internalという単語を含めることができません。

    • このセクションの「ワークスペース名使用禁止」にある単語を含めることができません。

    パスワード・ポリシーでは、ハッカーが管理者のパスワードを判別できないようセキュリティの層をさらに追加します。

親トピック: 強力なパスワード・ポリシーの作成

2.5.2.8.2 パスワード・ポリシーの構成

すべてのワークスペースでApplication Expressユーザー(ワークスペース管理者、開発者、エンドユーザー)のパスワード・ポリシーを管理します。

パスワード・ポリシーを構成するには、次のようにします。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「パスワード・ポリシー」で、次の属性を指定します。

    表2-4 ワークスペースのパスワード・ポリシーの属性

    属性 説明

    パスワード・ハッシュ関数

    Application Expressがワークスペース・ユーザー・パスワードに一方向のハッシュ文字列を生成するときに使用するハッシュ関数を選択します。詳細は、フィールドレベルのヘルプを参照してください。

    パスワードの最小文字数

    ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードの最小文字数を設定する数値を入力します。

    パスワードの差分の最小値

    新旧パスワードに必要な差分の数を入力します。パスワードが1文字ずつ比較され、各位置における差分が、差分の必要最低数を満たしているかどうかについて検証されます。

    この設定は、ワークスペース管理者、開発者およびエンド・ユーザーのアカウントに適用されます。

    アルファベット文字を最低1つ含める必要があります

    「はい」を選択した場合、ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードには、「アルファベット」フィールドで指定したアルファベットを1つ以上使用する必要があります。

    数値を最低1つ含める必要があります

    「はい」を選択した場合、ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードには、アラビア数字(0、1、2、3、4、5、6、7、8、9など)を1つ以上使用する必要があります。

    句読点を最低1つ含める必要があります

    「はい」を選択した場合、ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードには、「記号」フィールドで指定した記号を1つ以上使用する必要があります。

    大文字を最低1つ含める必要があります

    「はい」を選択した場合、ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードには、大文字のアルファベットを1つ以上使用する必要があります。

    小文字を最低1つ含める必要があります

    「はい」を選択した場合、ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードには、小文字のアルファベットを1つ以上使用する必要があります。

    ユーザー名使用禁止

    「はい」を選択した場合、ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードには、ユーザー名を使用できません。

    ワークスペース名使用禁止。

    「はい」を選択した場合、ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードには、大/小文字にかかわらずワークスペース名を使用できません。

    使用禁止

    ワークスペース管理者、開発者およびエンド・ユーザーのアカウント・パスワードで使用不可にする単語を、コロンで区切って入力します。これらの単語は、大/小文字のどの組合せでもパスワードに使用できません。

    この機能により、helloguestwelcomeなどの単語に基づいて、単純な推測されやすいパスワードが作成できなくなるため、セキュリティが向上します。

    アルファベット

    新しいアルファベットを入力するか、既存のアルファベットを編集します。これは、アルファベット文字に関するパスワード検証に使用される一連の文字です。

    記号

    新しい記号を入力するか、既存の記号を編集します。この一連の文字を、記号に関するパスワード検証に使用する必要があります。
  5. 「サービス管理者のパスワード・ポリシー」に対して、オプションを選択します。
    • 「ワークスペースのパスワード・ポリシー」で指定したポリシーの使用 - 前述の「ワークスペースのパスワード・ポリシー」で指定したパスワード・ルールをサービス管理者のパスワードに適用します。
    • デフォルトの強力なパスワード・ポリシーの使用 - サービス管理者パスワードは次の制限を満たしている必要があります。

      • 6文字以上で構成されます

      • 小文字および大文字のアルファベット、数字、記号を1つ以上含みます

      • ユーザー名は含めることができません

      • Internalという単語を含めることができません

      • 上述のワークスペース・パスワード・ポリシーで指定した「使用禁止」フィールドに表示された単語を含めることはできません

  6. 「変更の適用」をクリックします。

親トピック: 強力なパスワード・ポリシーの作成

2.5.2.9 データベース・アクセス記述子(DAD)によるOracle Application Expressへのアクセスの制限

データベース・アクセス記述子(DAD)によるOracle Application Expressへのアクセスを制限します。

ヒント:

PL/SQLのリクエスト検証ファンクションのディレクティブは、Oracle Application Server 10gおよびOracle HTTP Server 11g以降でのみ使用できます(また、埋込みPL/SQLゲートウェイはOracle Database 11g以降でのみ使用できます)。このディレクティブは、Oracle HTTP Serverリリース9.0.3では使用できません。

親トピック: セキュリティの構成

2.5.2.9.1 DADごとのアクセス制限の適用について

DADの作成時にリクエスト検証ファンクションのディレクティブを作成することで、DADによるOracle Application Expressへのアクセスを制御できます。 

mod_plsqlおよび埋込みPL/SQLゲートウェイでは、コールされるPL/SQLファンクションをHTTPリクエストごとに指定するためのディレクティブがサポートされています。この機能を使用すると、埋込みPL/SQLゲートウェイまたはmod_plsqlを介してコールされるプロシージャを制限できます。このファンクションは、リクエストで指定されたプロシージャが許可されていればTRUEを戻し、許可されていなければFALSEを戻します。このファンクションを使用すると、Oracle Application Expressに対するアクセス制限を、データベース・アクセス記述子(DAD)ベースで適用することもできます。

インストーラによるインストールでは、Oracle Application Express製品スキーマ(APEX_190200)にPL/SQLファンクションも自動的に作成されます。アクセスを制限するには、このファンクションを変更して再コンパイルします。このファンクションのソース・コードは、ラッピングされておらず、Oracle Application Express製品コア・ディレクトリのファイルwwv_flow_epg_include_local.sqlにあります。

Oracle Application Expressには、wwv_flow_epg_include_modules.authorizeというリクエスト検証ファンクションが付属しています。このファンクションを使用すると、Oracle Application Expressに構成された標準的なDADに対して適切な制限が指定されます。

wwv_flow_epg_include_mod_localファンクションは、埋込みPL/SQLゲートウェイまたはmod_plsqlからコールされるOracle Application Expressのリクエスト検証ファンクションからコールされます。このOracle Application Expressファンクションは、まずリクエストを評価し、プロシージャ名に基づいて承認するか、拒否するか、またはローカル・ファンクションwwv_flow_epg_include_mod_localに渡します(このローカル・ファンクションは、独自ルールでリクエストを評価できます)。

Oracle Application Expressで使用するDADを新しく作成する際は、リクエスト検証ファンクションのディレクティブを指定する必要があります。具体的には、ファンクションwwv_flow_epg_include_modules.authorizeを、dads.confのデータベース・アクセス記述子エントリのディレクティブPlsqlRequestValidationFunctionで指定する必要があります。

wwv_flow_epg_include_modules.authorizeファンクションで実装される以外の制限がない場合は、wwv_flow_epg_include_mod_localファンクションのソース・コードについて実行する処理はありません。

親トピック: データベース・アクセス記述子(DAD)によるOracle Application Expressへのアクセスの制限

2.5.2.9.2 wwv_flow_epg_include_localの変更および再コンパイルの概要

wwv_flow_epg_include_localファンクションを変更して再コンパイルすると、アクセスを制限できます。

wwv_flow_epg_include_localファンクションのソース・コードは、ラッピングされておらず、Oracle Application Express製品コア・ディレクトリのファイルwwv_flow_epg_include_localにあります。このソース・コードは次のようになります。 

CREATE OR REPLACE FUNCTION
wwv_flow_epg_include_mod_local(
    PROCEDURE_NAME IN VARCHAR2)
RETURN BOOLEAN
IS  
BEGIN  
    RETURN FALSE; -- remove this statement when  
you add procedure names to the "IN" list
    IF UPPER(procedure_name) IN (
          '') THEN  
        RETURN TRUE;  
    ELSE  
        RETURN FALSE;  
    END IF;  
END wwv_flow_epg_include_mod_local;
/

親トピック: データベース・アクセス記述子(DAD)によるOracle Application Expressへのアクセスの制限

2.5.2.9.3 使用できる名前付きプロシージャの指定

wwv_flow_epg_include_localで、使用できるプロシージャの名前を指定してアクセスを制限できます。

使用できるプロシージャの名前を指定するには、wwv_flow_epg_include_localを次のように編集します。

  1. BEGIN文のすぐ後ろのRETURN FALSE文を削除するかコメント・アウトします。
    ...
BEGIN  
    RETURN FALSE; -- remove this statement when 
you add procedure names to the "IN" list
...
  2. HTTPリクエストでの起動を許可するプロシージャの名前を表す句に、名前を追加します。たとえば、プロシージャPROC1およびPROC2INリストで許可する場合は、IN ('PROC1', 'PROC2')のように記述します。

    このファンクションのソース・コードの変更後に、Oracle Application Express製品スキーマ(APEX_190200)を変更し、そのスキーマのファンクションをコンパイルします。

親トピック: データベース・アクセス記述子(DAD)によるOracle Application Expressへのアクセスの制限

2.5.2.9.4 製品スキーマの変更

製品スキーマを変更することで、アクセスを制限できます。

製品スキーマAPEX_190200を変更するには、次のステップを実行します。:

  1. SQL*Plusを起動して、SYSとしてOracle Application Expressがインストールされているデータベースに接続します。次に例を示します。

    • Windowsの場合:

      SYSTEM_DRIVE:\ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password

    • UNIXおよびLinuxの場合:

      $ sqlplus /nolog
SQL> CONNECT SYS as SYSDBA
Enter password: SYS_password
  2. 次のコマンドを入力して、製品スキーマ(APEX_190200)を変更します。
    ALTER SESSION SET CURRENT_SCHEMA APEX_190200;
  3. ファンクションwwv_flow_epg_include_local.sqlをコンパイルします。

親トピック: データベース・アクセス記述子(DAD)によるOracle Application Expressへのアクセスの制限

2.5.2.10 認可済URLの管理

認可済URLのリストを作成して管理します。

認可済URLは、特定のOracle Application Expressプロシージャのパラメータ値として使用できるURLのリストを識別します。これには、P_NEXT_URLという入力パラメータを持つAPEX_UTIL.COUNT_CLICKプロシージャなどがあります。

P_NEXT_URLへのパラメータ値が相対URLでなく、現在のホスト名を示す値でない場合、この認証済URLのリストに含まれている必要があります。

親トピック: セキュリティの構成

2.5.2.10.1 認可済URLのリストの定義

認可済URLのリストを定義します。

認可済URLのリストを定義するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「認可済URL」タブをクリックします。
  5. 「認可済URLの作成」をクリックします。
  6. 「認可済URL」で、特定のApplication Expressプロシージャへのパラメータ値として使用できる認可済URLを入力します。例としてAPEX_UTIL.COUNT_CLICKがあります。

    認可済URLの値全体が、これらのプロシージャのURLパラメータ値と比較されます。認可済URL値全体の長さあるいは一部が完全一致する値があれば、そのURLパラメータ値は許可されます。

  7. 「認可済URLの作成」を入力します。

親トピック: 認可済URLの管理

2.5.2.10.2 定義した認可済URLの編集

認可済URLのリストに含まれるURLを編集します。

既存のURLを編集するには、次の手順を実行します。

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「認可済URL」タブをクリックします。
  5. URLの横の「編集」アイコンをクリックします。
  6. 「認可済URL」および「説明」フィールドを編集します。
  7. 「変更の適用」をクリックします。

親トピック: 認可済URLの管理

2.5.2.10.3 定義した認可済URLの削除

認可済URLのリストに含まれるURLを削除します。

認可済URLのリストに含まれるURLを削除するには:

  1. Oracle Application Express管理サービスにサインインします。
  2. 「インスタンスの管理」をクリックします。
  3. 「インスタンスの設定」で、「セキュリティ」をクリックします。
  4. 「認可済URL」タブをクリックします。
  5. URLの横の「編集」アイコンをクリックします。
  6. 「削除」をクリックします。
  7. OK」をクリックして選択を確認します。

親トピック: 認可済URLの管理