| Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド 11gリリース1(11.1.1) B56247-01 |
|
 戻る |
 次へ |
この章では次の項について説明します。
Webサービスを登録すると、その後、WSDLのURLを指定しなくても選択リストからサービスをより簡便に参照できます。たとえば、Webサービスをテストする場合、検索アイコンをクリックしてから、図12-1に示すように登録済サービスからWSDLを選択します。
Fusion Middleware Controlは、WS-Inspection(WSIL)ドキュメントで公開されたWebサービスの登録のサポートを提供します。WSILドキュメントで使用できる任意のサービスを登録できます。
Webサービスを登録する場合は、次のいずれかを指定します。
WSILドキュメントのURL
WSILドキュメントのファイルの場所
Webサービス・モデルの主要な機能は、Webサービスを幅広く使用可能かつ検出可能にする機能です。UDDIは、ビジネスとレジストリ内のサービスの情報を集中管理するWebサービスを公開および検出する方法の1つです。新しい別の標準として、Web Services Inspection Language(WSIL)仕様があります。
WSILでは、Webサービスの説明の参照にExtensible Markup Language(XML)形式が定義されます。これらの参照はWSILドキュメントに含まれ、Webサービスの説明(WSDLファイルなど)およびWebサービスの他の集合(別のWSILドキュメントまたはUDDIレジストリなど)を参照します。
WSILドキュメントは、通常Webサービス・プロバイダによって配布されます。これらのドキュメントには、プロバイダのWebサイトで使用できるWebサービスを調べる方法が記載されています。このため、WSIL標準ではWebサービス・コンシューマ向けにWSILドキュメントを使用可能にするルールも定義されます。
WSILモデルは、Webサービスの検出を分散化します。複数のビジネス・エンティティおよびサービスに関する情報を集中管理するUDDIレジストリとは対照的に、WSILはWebサービスの記述情報をどの場所からでも提供できるようにします。UDDIとは異なり、WSILはビジネス・エンティティ情報には関係せず、特定の形式によるサービスの記述を必要としません。どのサービス・プロバイダが使用されているかは既知であり、Webサービスの記述はWSDLなどの他の標準に依存しているとみなされます。
SOA、ADFおよびJEE Webサービスは、WSILによって検出されます。
この項の手順に従ってサービスを登録します。
サービスを登録する手順
ナビゲータ・ペインで「WebLogicドメイン」を開き、Webサービスを登録するドメインを表示します。
ドメインを選択します。
Fusion Middleware Controlを使用して、「WebLogicドメイン」→「Webサービス」→「登録済サービス」をクリックします。図12-2に示すように、「登録済サービス」ページが表示されます。
「登録」をクリックしてサービスを登録します。図12-3に示すように、「新規サービスの登録」ページが表示されます。
「URLからのWSILインポート」および「ファイルからのWSILインポート」から選択します。
Basic認証を有効にし、WSILへのアクセスで必要な場合はユーザー名とパスワードを入力します。
「プロセス」をクリックしてファイルを解析します。
「登録」をクリックしてサービスを登録します。
登録が成功すると、ページが開いて登録済サービスが表示されます。必要に応じて、このページから「編集」をクリックして、サービス名および説明を変更します。
現在のWSILが別のWebサービスも参照している場合は、「WSILで使用可能な参照」を開いて表示します。参照されているWebサービスも登録できます。
この項の手順に従って登録済Webサービスを表示および編集します。
ナビゲータ・ペインで「WebLogicドメイン」を開き、登録済Webサービスを表示するドメインを表示します。
ドメインを選択します。
Fusion Middleware Controlを使用して、「WebLogicドメイン」→「Webサービス」→「登録済サービス」をクリックします。図12-2に示すように、「登録済サービス」ページが表示されます。
登録済Webサービスが表示されます。Webサービスを選択し、「編集」をクリックして登録済サービスを編集します。
この項の手順に従ってWebサービスを登録解除します。
ナビゲータ・ペインで「WebLogicドメイン」を開き、Webサービスを登録解除するドメインを表示します。
ドメインを選択します。
Fusion Middleware Controlを使用して、「WebLogicドメイン」→「Webサービス」→「登録済サービス」をクリックします。図12-2に示すように、「登録済サービス」ページが表示されます。
登録済Webサービスが表示されます。登録解除するWebサービスを選択し、「登録解除」をクリックします。
監査は、セキュリティ・イベントおよびそれらのイベントの結果に関する情報の収集および格納のプロセスを説明します。監査では、選択したシステムのアクティビティに関する電子的証跡が提供されます。
監査ポリシーでは、実行時に取得されるイベントのタイプおよびスコープが定義されます。操作中は非常に大きなシステムおよびユーザー・イベントの配列が発生しますが、実際に監査されるイベントは、実行時に有効な監査ポリシーによって異なります。コンポーネント固有またはアプリケーション固有のポリシーを定義するか、個々のユーザーを監査できます。
「監査ポリシー設定」ページを使用して、Webサービスおよびドメイン・レベルのアプリケーションなどの、システム・コンポーネントの監査を構成できます。SOA、ADFおよびWebCenterサービスを監査できます。
ページ中央の監査ポリシーの表には、現在有効な監査が表示されます。表には、次の情報が含まれます。
名前: 監査できるシステム・コンポーネントおよびアプリケーションの名前。
監査の有効化: 現在監査が有効にされているコンポーネントおよびアプリケーションを識別します。
フィルタ: 現在有効な任意のフィルタを指定します。
次の表では、Webサービスおよび関連するコンポーネントで監査できるイベントがまとめられています。
表12-1 Webサービスのイベントの監査
| 監査を有効にするWebサービスのイベント | 使用するシステム・コンポーネント |
|---|---|
|
Oracle Web Services Manager: エージェント |
|
Oracle Webサービス |
|
Oracle Web Services Manager |
|
Oracle Web Services Manager: ポリシー添付 |
また、管理者によるすべてのイベントを監査するなど、特定ユーザーのイベントを監査できます。
監査ポリシーの構成の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』の監査の構成および管理に関する項を参照してください。
次の項では、監査ポリシーを定義し監査データを表示する方法を説明します。
監査ポリシーを構成する手順:
ナビゲータ・ペインで「WebLogicドメイン」を開きます。
アサーション・テンプレートを管理するドメインをクリックします。
「WebLogicドメイン」メニューから、「セキュリティ」→「監査ポリシー設定」を選択します。
「監査ポリシー設定」ページが表示されます。
「監査レベル」メニューから監査レベルを選択します。
有効な監査レベルは次のとおりです。
なし: 監査を無効にします。
低: 小さいスコープのイベントを監査します。イベントのサブセットは、各コンポーネントについて個別に事前定義されます。たとえば、あるコンポーネントに「低」を指定すると、認証および認可イベントのみが収集されます。
中: 中程度のスコープのイベント(「低」レベルで収集されたイベントのスーパーセット)を監査します。たとえば、あるコンポーネントに「中」を指定すると、認証、認可およびポリシー認可イベントが収集されます。
カスタム: カスタム監査ポリシーを使用できるようになります。
監査ポリシー・リストの各レベルで、監査に対して選択したコンポーネントおよびアプリケーションを表示できます。「カスタム」以外のすべての監査レベルで、監査ポリシー・リストの情報はグレーで表示され、他の監査レベル設定はカスタマイズできなくなっています。
「カスタム」監査レベルを選択した場合は、次のいずれかの手順を実行します。
「監査の有効化」列で、関連するチェック・ボックスを選択して、監査する情報を選択します。
コンポーネントのすべてのイベント、コンポーネント・イベント・グループ内のすべてのイベント、個々のイベント、または個々のイベントの特定の結果(成功または失敗など)などの粒度のレベルで監査できます。
イベントの結果レベルで編集フィルタを指定できます。フィルタはルールベースの式で、戻りイベントを制御するように定義できます。たとえば、ポリシーが特定のユーザーによって作成、変更または削除された場合に、ポリシー管理操作を追跡するフィルタとしてイニシエータを指定できます。結果レベルでフィルタを定義するには、適切な列で「フィルタの編集」アイコンをクリックし、フィルタ属性を指定して「OK」をクリックします。フィルタ定義は「フィルタ」列に表示されます。
サブコンポーネントの監査をカスタマイズするには、より高いレベルのコンポーネントのチェック・ボックスを選択解除します。列名に隣接するチェック・ボックスを選択して、すべてのコンポーネントとアプリケーションを選択できます。
すべてのシステム・コンポーネントおよびアプリケーションの障害のみを監査するには、「障害のみ選択」を使用します。
選択すると、「監査の有効化」列のすべてのチェック・ボックスが選択解除されます。
必要に応じて、「常に監査するユーザー」テキスト・ボックスで、ユーザーのカンマ区切りリストを入力します。
指定されたユーザーは、監査が有効または無効にされているか、またはどのレベルの監査が設定されているかにかかわらず常に監査されます。
「適用」をクリックします。
現在のセッション中に行ったすべての変更を戻すには、「元に戻す」をクリックします。
監査情報のデータの収集および格納を管理するには、次のタスクを実行する必要があります。
監査データ・リポジトリの設定および管理。
ファイルまたはデータベースのいずれかのリポジトリ・モードを使用してレコードを格納できます。データベース・リポジトリ・モードの使用をお薦めします。Oracle Business Intelligence Publisherベースの監査レポートは、データベース・リポジトリ・モードでのみ機能します。
監査イベント収集の設定。
詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』の監査データの収集および格納の管理に関する項を参照してください。
データベース・リポジトリの場合、データはOracle Business Intelligence Publisherで事前定義されたレポートを介して公開されます。
認証および認可の履歴、Oracle WSMポリシー強制および管理など、多くの事前定義済レポートを使用できます。Oracle Business Intelligence Publisherを使用した監査レポートの生成および表示の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』の監査分析の使用およびレポートに関する項を参照してください。
ファイルベース・リポジトリの場合、テキスト・エディタを使用してバスストップ・ファイルを表示し、独自のカスタム問合せを作成できます。
WebサービスWSDLを一般に公開したくない場合もあります。「Webサービス・エンドポイント」ページから、WSDLへのパブリック・アクセスを有効または無効にできます。
|
注意: 起動中に、Webサービス・クライアントからWSDLへのアクセスが必要な場合もあります。WSDLへのパブリック・アクセスを無効にすると、クライアントにはWSDLのローカル・コピーが必要になります。 |
WSDLを管理する手順:
「Webサービス・ポートの構成」で説明されているように、Webサービスのエンドポイント構成ページに移動します。
「構成」タブで、「WSDL対応」フィールドを「TRUE」または「FALSE」に設定して、WSDLへのパブリック・アクセスを有効または無効にします。
「適用」をクリックします。
次の項では、ポリシー・アサーション・テンプレートを作成および管理する方法を説明します。
アサーション・テンプレートは、「Webサービス・アサーション・テンプレート」ページからドメイン・レベルで管理できます。このページから、アサーション・テンプレートをコピー、編集および削除できます。
「Webサービス・アサーション・テンプレート」ページに移動する手順:
ナビゲータ・ペインで「WebLogicドメイン」を開きます。
アサーション・テンプレートを管理するドメインをクリックします。
「WebLogicドメイン」メニューから、「Webサービス」→「ポリシー」を選択します。
「Webサービス・ポリシー」ページが表示されます。
ページの右上角の「Webサービス・アサーション・テンプレート」をクリックします。
次の図に示すように、「Webサービス・アサーション・テンプレート」ページが表示されます。
アサーション・テンプレートを表示する手順:
「「Webサービス・アサーション・テンプレート」ページへの移動」で説明されているように、「Webサービス・アサーション・テンプレート」ページに移動します。
「アサーション・テンプレート」表から、表示するアサーション・テンプレートを選択します。
「表示」をクリックします。
「テンプレートの表示」ページで、アサーションを確認します。
完了したら、「Webサービス・アサーション・テンプレートに戻る」をクリックします。
Webサービス・アサーション・テンプレートは、カテゴリ、名前、またはその両方で検索できます。
アサーション・テンプレートを検索する手順:
「「Webサービス・アサーション・テンプレート」ページへの移動」で説明されているように、「Webサービス・アサーション・テンプレート」ページに移動します。
次の手順を1つ以上実行します。
特定のカテゴリ(またはすべてのカテゴリ)でアサーション・テンプレートを検索するには、「カテゴリ」ドロップダウン・リストからカテゴリを選択します。
有効なカテゴリに含まれるのは、「すべて」、「セキュリティ」、「MTOMアタッチメント」、「信頼できるメッセージング」、「WSアドレス」および「管理」です。
特定の文字列を含むアサーション・テンプレートを検索するには、「名前」フィールドに文字列を入力します。
アサーション・テンプレートの名前の一部を指定すると、指定されたカテゴリでその文字列を含むすべてのアサーション・テンプレートが表示されます。
「実行」をクリックします。
指定した検索条件に一致するアサーション・テンプレートのみが含まれるように、アサーション・テンプレート・リストが更新されます。
新しいアサーション・テンプレートは、既存のアサーションに基づいて作成されます。必要な動作に最も一致するアサーション・テンプレートを選択し、変更を行って希望の動作を作成します。
アサーション・テンプレートを作成する手順:
「「Webサービス・アサーション・テンプレート」ページへの移動」で説明されているように、「Webサービス・アサーション・テンプレート」ページに移動します。
「アサーション・テンプレート」表から、コピーするアサーション・テンプレートを選択します。
「類似作成」をクリックします。
次に「テンプレートの作成」ページを示します。
アサーション・テンプレートのコピー・ボックスで、アサーションの名前を編集し、簡単な説明を入力します。
コピーしたアサーション・テンプレートの名前にCopyという語が追加されます。これは、新しいアサーション・テンプレートに割り当てられるデフォルトの名前です。たとえば、コピーするアサーション・テンプレートの名前がoracle/wss10_username_token_service_templateの場合、コピーのデフォルトの名前はoracle/wss10_username_token_service_template_Copyです。
この新しいアサーション・テンプレートの名前は、使用している環境で意味のある名前に変更することをお薦めします。
「OK」をクリックします。
「アサーション・テンプレート」表にアサーションが追加されます。これで、新しいアサーションを選択し、「編集」をクリックしてアサーションを構成できます。
Oracle Enterprise Manager Fusion Middleware Controlからアサーション・テンプレートを個別にエクスポートできます。アサーション・テンプレートをディレクトリにコピーすることも、アサーション・テンプレートをインポートして別のリポジトリに移動することもできます。移動すると、「アサーション・テンプレートのインポート」で説明されているように、アサーション・テンプレートをインポートできます。
アサーション・テンプレートをエクスポートする手順:
「「Webサービス・アサーション・テンプレート」ページへの移動」で説明されているように、「Webサービス・アサーション・テンプレート」ページに移動します。
「アサーション・テンプレート」表から、ファイルにエクスポートするアサーション・テンプレートを選択します。
「ファイルにエクスポート」をクリックします。
ファイルを開くか保存するよう要求されます。
「ファイルの保存」をクリックします。
「OK」をクリックします。
ファイルの保存先のローカル・ディレクトリの場所に移動し、必要に応じてファイル名を更新します。
「保存」をクリックします。
アサーション・テンプレートをインポートする手順:
「「Webサービス・アサーション・テンプレート」ページへの移動」で説明されているように、「Webサービス・アサーション・テンプレート」ページに移動します。
「ファイルからインポート」をクリックします。
アサーション・テンプレート・ファイルを用意するよう要求されます。
「参照」をクリックして、アサーション・テンプレート・ファイルが存在するディレクトリに移動し、インポートするアサーション・テンプレートを選択します。
「OK」をクリックします。
「アサーション・テンプレート」表にアサーション・テンプレートが追加されます。
アサーション・テンプレートを編集する手順:
「「Webサービス・アサーション・テンプレート」ページへの移動」で説明されているように、「Webサービス・アサーション・テンプレート」ページに移動します。
「アサーション・テンプレート」表から、編集するアサーション・テンプレートを選択します。
「編集」をクリックします。
必要に応じてアサーション・テンプレートを編集します。
「保存」をクリックします。
アサーション・テンプレートを削除する手順:
「「Webサービス・アサーション・テンプレート」ページへの移動」で説明されているように、「Webサービス・アサーション・テンプレート」ページに移動します。
「アサーション・テンプレート」表から、削除するアサーション・テンプレートを選択します。
「削除」をクリックします。
アサーション・テンプレートの削除を確認するよう要求されます。
「OK」をクリックします。
Oracle Fusion Middlewareをインストールする際には、データベース・ベースのメタデータ・ストア(MDS)を使用するオプションがあります。MDSを登録するには、図12-7に示すように、ナビゲータ・ペインで「メタデータ・リポジトリ」を開きます。
図12-8に示すように、メタデータ・リポジトリを登録します。
メタデータ・リポジトリの管理の詳細は、Oracle Fusion Middlewareの管理者ガイドのOracleメタデータ・リポジトリの管理に関する項を参照してください。
セキュリティ・ポリシーは、Oracle Enterprise Manager Fusion Middleware Controlを使用して、実行中のクライアントに添付できます。クライアントへのポリシーの添付または解除を実行するために、クライアント・アプリケーションを再デプロイする必要はありません。Fusion Middleware Controlを使用したポリシーの添付方法の詳細は、第8章「Webサービスへのポリシーの添付」を参照してください。
次のコンポーネントのプロパティは、「プラットフォーム・ポリシー構成」ページから管理できます。
ポリシー・アクセッサ
ポリシー・キャッシュ
ポリシー・インターセプタ
ポリシー・アクセッサ、キャッシュおよびインターセプタのプロパティを管理する手順:
ナビゲータ・ペインで「WebLogicドメイン」を開いてドメインを表示します。
プロパティを管理するドメインを選択します。
「WebLogicドメイン」→「Webサービス」→「プラットフォーム・ポリシー構成」を選択します。
図12-9に示すように、「プラットフォーム・ポリシー構成」ページが表示されます。
「ポリシー・アクセッサ」、「ポリシー・キャッシュ」または「ポリシー・インターセプタ」から、プロパティを定義するコンポーネントに対応するタブを選択します。
「ポリシー・インターセプタ」タブを選択した場合は、リストでプロパティを追加するインターセプタを選択します。
次のいずれかのタスクを実行できます。
「追加」をクリックして新しいプロパティを定義します。
プロパティの名前と値を入力して「OK」をクリックします。
プロパティを選択し、「編集」をクリックして既存のプロパティを変更します。
プロパティを選択し、「削除」をクリックして既存のプロパティを削除します。
「適用」をクリックしてプロパティの更新を適用します。
