Endeca Serverセキュリティの概要

Endeca Serverは、そのコンポーネント間の通信のためにSSLを使用します。これには、問合せのセキュリティ・フィルタも含まれます。WebLogicドメインにデプロイされたEndeca Serverアプリケーションは、WebLogicドメイン管理者によって管理できます。

暗号化された通信のためのSSLの使用

Secure Sockets Layer (SSL)は、ネットワークを介して接続する2つのアプリケーションが互いのIDを認証できるようにするとともに、アプリケーション間で交換されるデータを暗号化することで、セキュアな接続を実現します。認証を利用すると、サーバーとクライアント(オプション)は、ネットワーク接続の相手側アプリケーションのアイデンティティを検証できます。暗号化によって、ネットワーク上で伝送されるデータを意図した受信者のみが認識できるようになります。

Endeca Serverでは、その様々なコンポーネント間の通信のために相互認証されたSSLを構成できます。この構成では、コンポーネントの認証に暗号化と証明書の両方が使用されます。Endeca Serverユーティリティを使用すると、認証局(CA)を作成できます(CAは、様々なコンポーネントで使用する証明書の署名に使用されます)。双方向SSL (SSLとクライアント認証)の場合、サーバーはクライアントに証明書を提示し、クライアントはサーバーに証明書を提示します。SSL接続を完了する前に、クライアントに有効で信頼できる証明書の送信を要求するようにEndeca Serverを構成できます。

(このガイドの「キー生成ユーティリティ」に記載されている)generate_ssl_keysユーティリティを使用すると、証明書を迅速かつ簡単に作成できます。証明書の作成後、デプロイメント内のその他のEndeca Information Discovery製品(Studioやプロビジョニング・サービスなど)にそれらをコピーできます。

また、generate_ssl_keysユーティリティでは、WebLogic Serverで7002のSSLリスニング・ポートを有効にし、Endeca Serverが起動されるポートとして7002を設定します。非SSL (HTTP)ポート7001は有効なままであることに注意してください。

また、(Oracle Endeca Server管理者ガイドに記載されている)Dgraph URL操作を実行できるように、ユーティリティはブラウザにインポートするPersonal Information Exchange (PKCS12フォーマット)キー・ファイルを作成します。

エンド・ユーザーへのデータを制限するための問合せ時セキュリティ・フィルタ

Endeca ServerのDataSourceFilter問合せ時フィルタを使用すると、エンド・ユーザーがデータ問合せを行う際のアプリケーション内の機密データへのアクセスを制限できます。DataSourceFilterは、他の処理が実行される前にレコードのコーパスをフィルタリングします。つまり、最初にこのフィルタが適用され、問合せで表示されるデータの領域を減らします。このため、フィルタで除外されたレコードはスペル・チェックに含まれず、EQLのAllBaseRecordsの一部として使用できなくなります。

DataSourceFilterは、検索可能なレコードをDgraphの合計レコードの指定したサブセットに制限するため、これをセキュリティ・フィルタとして使用し、ユーザーが表示権限のないレコードを取得できないようにすることができます。

DataSourceFilterによってレコードの領域を絞り込んだ後、その他のアプリケーションレベルのフィルタリングにSelectionFilterフィルタを使用できます。このフィルタは、最終レコードの結果セットの基準を指定します。問合せで指定したすべてのフィルタに一致するレコードが、結果として返されます。

これらのフィルタのいずれかまたは両方を使用して、Endecaデータ・ドメインからアプリケーションのフロント・エンドまでのデータ・フローを効果的に制御できます。これらのフィルタの詳細は、Oracle Endeca Server開発者ガイドを参照してください。

管理者ロール

WebLogicとは異なり、Endeca Serverには管理者ロールがありません。ただし、Endeca Serverのインストール後に、WebLogicドメイン管理者はWebLogic管理コンソールを使用して、Endeca Serverアプリケーションを停止および起動できます。

また、ブラウザにesClientCert.p12証明書をインポートする場合は、Endeca ServerのDgraph URL操作を実行できます。