セキュリティ設定の構成

Oracle Application Express管理者は、Application Expressのログイン・フォームへの移入に使用するCookieの無効化、アカウントへのアクセスの制御、パスワード・ポリシーの設定などのセキュリティ設定を構成できます。

トピック:

Application Expressのログイン・フォームへ移入するCookieの無効化
URLタイプのリージョンおよびWebサービスからのドメインの除外
すべての作業領域に対するログイン制御の有効化
パスワード・ポリシーについて
パスワード・ポリシーの構成
Oracle Application Express管理サービスへのアクセスの無効化
Oracle Application Express内部アプリケーションへのアクセスの無効化
IPアドレスによるユーザー・アクセスの制限

Application Expressのログイン・フォームへ移入するCookieの無効化

Oracle Application Express管理者は、開発者または管理者がApplication Expressのログイン・ページから作業領域にログインするときにユーザーのコンピュータに便利なCookieを送信するかどうかを制御できます。デフォルトでは、「作業領域Cookieの設定」オプションは「はい」に設定されます。

選択した場合、Application Expressにより次のような永続Cookieが送信されます。

最後に使用された作業領域名とユーザー名が組み合されます
6か月の存続期間があります
Application Expressの作業領域ログイン・フォーム（Oracle Application Express管理サービスのログイン・フォームではありません）への移入のために読み取られます

注意:

コンピュータがすでにこのCookieを受信している場合は、ブラウザのツールまたはシステム・ユーティリティを使用して、ディスク上の永続位置から物理的に削除できます。このCookieはORACLE_PLATFORM_REMEMBER_UNという名前であり、個別のホスト名およびパス・コンポーネントを持つ、アクセスされた各Application Expressサービスに存在します。

ログイン時にユーザーのコンピュータにCookieを送信しないようにするには、次のステップを実行します。

Oracle Application Express管理サービスへログインします。「Oracle Application Express管理サービスへのログイン」を参照してください。
「サービスの管理」をクリックします。
「環境設定の管理」で、「セキュリティ」をクリックします。
「セキュリティ」セクションに移動します。
「作業領域Cookieの設定」で、「いいえ」を選択します。
「変更の適用」をクリックします。

URLタイプのリージョンおよびWebサービスからのドメインの除外

Oracle Application Expressインスタンス全体に対してURLタイプのリージョンおよびWebサービスを制限できます。Oracle Application Express管理者は除外するドメインおよびURLタイプのリージョンを定義します。Web参照またはURLタイプのリージョンに除外されたドメインが含まれる場合、制限されていることを通知するエラーがユーザーに表示されます。

URLタイプのリージョンおよびWebサービスからドメインを除外するには、次のステップを実行します。

Oracle Application Express管理サービスへログインします。「Oracle Application Express管理サービスへのログイン」を参照してください。
「サービスの管理」をクリックします。
「環境設定の管理」で、「セキュリティ」をクリックします。
「ドメインの使用禁止」で、除外するドメインのコロン区切りのリストを入力します。
「変更の適用」をクリックします。

すべての作業領域に対するログイン制御の有効化

デフォルトでは、Oracle Application Expressインスタンス間でログイン制御が有効です。Oracle Application Express管理者はすべての開発インスタンス間のすべての作業領域のすべてのアカウントに対してログイン制御を有効にできます。アカウントのログイン制御には次が含まれます。

ユーザーのアカウント有効期限およびロックの要求
ログイン試行の失敗最大回数の設定
新しいパスワードを要求するプロンプトが表示されるまでのパスワードの存続期間の設定

Oracle Application Express管理者がすべてのインスタンスに対してログイン制御を有効にしない場合は、各作業領域管理者が作業領域ごとに次の制御を有効にできます。「作業領域に対するログイン制御の有効化」を参照してください。

アカウント・ログイン制御は、Application Expressのユーザー・アカウント作成機能、およびアカウントに対して認証を使用するアプリケーションに影響を与えますので注意してください。

すべての作業領域に対してログイン制御を有効にするには、次を実行します。

Oracle Application Express管理サービスへログインします。「Oracle Application Express管理サービスへのログイン」を参照してください。
「サービスの管理」をクリックします。
「環境設定の管理」で、「セキュリティ」をクリックします。
「アカウント・ログイン制御」までスクロールします。
「アカウント・ログイン制御」には、次の項目があります。
1. ユーザー・アカウントの有効期限およびロックが必要: 「はい」を選択して、Oracle Application Expressインスタンス全体のすべての作業領域に対してこの機能を有効にします。この機能は、Application Expressエンド・ユーザー・アカウント管理インタフェースを使用して作成されたエンド・ユーザー・アカウントに適用されます。
  
  「いいえ」を選択すると、各作業領域管理者に対して制御は行われません。
2. 許可されるログイン失敗の最大回数: 開発者アカウントまたは管理者アカウントがロックされるまでに許可される認証の連続失敗の最大回数を入力します。このフィールドの値を指定しない場合は、デフォルト値の4が設定されます。
  
  この設定はApplication Express管理者および開発者アカウントに適用されます。エンド・ユーザー・アカウントには適用されません。
  
  作業領域管理者が値を指定しない場合は、ここで入力した値が作業領域レベルの「許可されるログイン失敗の最大回数」プリファレンスのデフォルトとして使用されます。このプリファレンスは各作業領域内のエンド・ユーザー・アカウントで使用されます。
3. アカウント・パスワード・ライフタイム(日): アカウントの期限が切れるまでに開発者または管理者アカウント・パスワードを使用できる最大日数を入力します。このフィールドの値を指定しない場合は、デフォルト値の45日が設定されます。
  
  この設定はApplication Express管理および開発環境へのアクセスに使用するアカウントにのみ適用されます。Application Expressで開発されたアプリケーションで使用するエンド・ユーザー・アカウントには適用されません。
  
  作業領域管理者が値を指定しない場合は、ここで入力した値が作業領域レベルのエンド・ユーザー・アカウント・ライフタイムのプリファレンスのデフォルトとして使用されます。このプリファレンスは各作業領域内のエンド・ユーザー・アカウントで使用されます。
「変更の適用」をクリックします。

ヒント:

この機能は、Application Expressのユーザー作成および管理機能を使用して作成したアカウントにのみ適用されます。この機能は、追加的なアプリケーションの認証セキュリティを提供します。「Application Expressユーザーの管理」を参照してください。

パスワード・ポリシーの概要

Oracle Application Express管理者は次に対してパスワード・ポリシーを有効にできます。

すべての作業領域におけるすべてのユーザー（つまり作業領域管理者、開発者およびエンド・ユーザー）

Oracle Application Express管理者は、パスワードの文字、長さ、単語、パスワードの連続失敗を含む制限をすべてのユーザーに対して設定できます。
Oracle Application Express管理サービスにログインするユーザー

Oracle Application Expressで強力なパスワード要件をを機能させると、ハッカーが管理者のパスワードを判別できないようセキュリティの層をさらに追加できます。このオプションを選択する場合、パスワードはこれらの要件を満たす必要があります。
- 6文字以上で構成されます
- 小文字および大文字のアルファベット、数字、記号を1つ以上含みます
- ユーザー名は含めることができません
- Internalという単語を含めることができません
- このセクションの「作業領域名使用禁止」にある単語を含めることができません

パスワード・ポリシーの構成

パスワード・ポリシーを構成するには、次のようにします。

Oracle Application Express管理サービスへログインします。「Oracle Application Express管理サービスへのログイン」を参照してください。
「サービスの管理」をクリックします。
「環境設定の管理」で、「セキュリティ」をクリックします。

作業領域管理者、開発者およびエンド・ユーザーに対してパスワード・ポリシーを設定するには、「作業領域のパスワード・ポリシー」までスクロールし、表「作業領域のパスワード・ポリシーの属性」に示されている属性を指定します。

作業領域のパスワード・ポリシーの属性

属性	説明
パスワードの最小文字数	パスワードの最小文字数を入力します。
パスワードの差分の最小値	正の整数または0を入力します。ユーザーがパスワードを変更したとき、新しいパスワードは古いパスワードと文字数が異なる必要があります。新旧パスワードの同じ位置における各差分が、差分の最低要件を満たしているかどうかについて、新旧パスワードが1文字ずつ比較されます。
アルファベット文字を最低1つ含める必要があります	「はい」を選択すると、ユーザーのパスワードに最低1つのアルファベット文字が含まれる必要があります。「アルファベット」フィールドにはアルファベット文字がリストされます。
数値を最低1つ含める必要があります	「はい」を選択すると、ユーザーのパスワードにはアラビア数字(0、1、2、3、4、5、6、7、8、9)を1文字以上使用する必要があります。
句読点を最低1つ含める必要があります	「はい」を選択すると、ユーザーのパスワードに最低1つの記号が含まれる必要があります。「記号」フィールドには記号がリストされます。
大文字を最低1つ含める必要があります	「はい」を選択すると、ユーザーのパスワードに最低1つの大文字のアルファベットが含まれる必要があります。
小文字を最低1つ含める必要があります	「はい」を選択すると、ユーザーのパスワードに最低1つの小文字のアルファベットが含まれる必要があります。
ユーザー名使用禁止	「はい」を選択すると、大/小文字に関係なくユーザーのパスワードにユーザー名を含むことが禁止されます。
作業領域名使用禁止	「はい」を選択すると、大/小文字に関係なくユーザーのパスワードに作業領域名を含むことが禁止されます。
使用禁止	ユーザーのパスワードに使用できない単語を、コロンで区切って入力します。これらの単語は、大/小文字のどの組合せでもパスワードに使用できません。この機能により、hello、guest、welcomeなどの単語に基づいて、単純な推測されやすいパスワードが作成できなくなるため、セキュリティが向上します。
アルファベット	新しいテキストを入力するか、既存のテキストを編集します。これは、アルファベット文字に関するパスワード検証に使用される一連の文字です。
記号文字	新しいテキストを入力するか、既存のテキストを編集します。これは、記号に関するパスワード検証に使用される一連の文字です。

次に、サービス管理者のパスワード・ポリシーを設定します。

「サービス管理者のパスワード・ポリシー」にスクロールし、次のいずれかを指定します。
1. 「作業領域のパスワード・ポリシー」で指定したポリシーの使用: 前述の「作業領域のパスワード・ポリシー」で指定したパスワード・ルールをサービス管理者のパスワードに適用します。
2. デフォルトの強力なパスワード・ポリシーの使用: デフォルトの強力なパスワード・ポリシーをサービス管理者のパスワードに適用します。詳細は、アイテム・ヘルプを参照してください。
「変更の適用」をクリックします。

Oracle Application Express管理サービスへのアクセスの無効化

Oracle Application Express管理者は、Oracle Application Express管理サービスへのユーザー・アクセスを制限できます。これにより、ユーザーはOracle Application Express管理サービスにログインできなくなります。

Oracle Application Express管理サービスへのユーザー・アクセスを無効にするには、次のステップを実行します。

Oracle Application Express管理サービスへログインします。「Oracle Application Express管理サービスへのログイン」を参照してください。
「サービスの管理」をクリックします。
「環境設定の管理」で、「セキュリティ」をクリックします。
「管理者ログインの無効化」で「はい」を選択します。
「変更の適用」をクリックします。

この値を設定してログアウトすると、すべてのユーザーがOracle Application Express管理サービスにログインできなくなります。

この設定を元に戻すには、Application Expressエンジン・スキーマとしてSQL*PlusまたはSQL Developerに接続し、次のコマンドを実行します。

BEGIN
    WWV_FLOW_API.SET_SECURITY_GROUP_ID(p_security_group_id=>10);
    WWV_FLOW_PLATFORM.SET_PREFERENCE( 
        p_preference_name => 'DISABLE_ADMIN_LOGIN',
        p_preference_value => 'N' );
end;
/

commit
/

Oracle Application Express内部アプリケーションへのアクセスの無効化

Oracle Application Expressを構成するアプリケーション（アプリケーション・ビルダー、SQLワークショップなど）は、内部という作業領域内に存在します。内部アプリケーションへのユーザー・アクセスを制限するには、「作業領域ログインの無効化」で「はい」を選択します。本番環境で「はい」を選択すると、権限のないユーザーは内部作業領域のアプリケーション（アプリケーション・ビルダー、SQLワークショップなど）を実行できません。この機能を使用する管理者は、Oracle Application Express管理サービスへのユーザー・アクセスの無効化も検討する必要があります。

参照:

「Oracle Application Express管理サービスへのアクセスの無効化」

内部作業領域へのユーザー・アクセスを無効にするには、次のステップを実行します。

Oracle Application Express管理サービスへログインします。「Oracle Application Express管理サービスへのログイン」を参照してください。
「サービスの管理」をクリックします。
「環境設定の管理」で、「セキュリティ」をクリックします。
「作業領域ログインの無効化」で「はい」を選択します。

「はい」を選択すると、ユーザーが内部作業領域にログインできなくなります。
「変更の適用」をクリックします。

IPアドレスによるユーザー・アクセスの制限

Oracle Application Express管理者は、RESTRICT_IP_RANGEという実行時の設定を作成して、Oracle Application Expressインスタンスへのユーザー・アクセスを制限できます。

IPアドレスでユーザー・アクセスを制限するには、次のステップを実行します。

Oracle Application Express管理サービスへログインします。「Oracle Application Express管理サービスへのログイン」を参照してください。
「サービスの管理」をクリックします。
「環境設定の管理」で、「セキュリティ」をクリックします。
「管理者ログインの無効化」で、「いいえ」を選択します。

「IPアドレス別にアクセスを制限」に、カンマで区切られたIPアドレスのリストを入力します。ワイルドカードを指定するには、アスタリスク（*）を使用します。

1つから4つのレベルのIPアドレスを入力できます。次に例を示します。

141, 141.* ...
192.128.23.1 ...

注意:

ワイルドカードを使用する場合は、ワイルドカードの後ろに数値を追加して入力しないでください。たとえば、138.*.41.2とは入力できません。

「変更の適用」をクリックします。