| Oracle Fusion Middleware Web Servicesセキュリティおよび管理者ガイド 11gリリース1(11.1.1) B56247-01 |
|
 戻る |
 次へ |
ポリシーは、アプリケーション開発やデプロイ・サイクル(本番に向けた開発など)の様々なステージ間で移行できます。
この章では次の項について説明します。
次の手順では、アプリケーション開発やデプロイ・サイクルの様々なステージで、ポリシーを作成および移行する方法の一般的なシナリオを説明します。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、ポリシーを作成します。
詳細は、「Webサービス・ポリシーの作成」を参照してください。
ポリシーをファイルにエクスポートします。
詳細は、「ポリシーの移行」を参照してください。
ポリシー・ファイルを、Oracle JDeveloper環境のポリシーの格納場所にコピーします。
Oracle JDeveloperでWebサービスを作成し、そのWebサービスにポリシーを添付します。
詳細は、JDeveloperのオンライン・ヘルプのアプリケーションの設計と開発の項にあるWebサービスでのポリシーの使用に関する項目を参照してください。
Webサービスをステージング・サーバーにデプロイし、Webサービスをテストします。
詳細は、JDeveloperのオンライン・ヘルプのアプリケーションの設計と開発の項にあるWebサービスの開発に関する項目を参照してください。
ポリシーを本番のサーバー環境にインポートします。
詳細は、「ポリシーの移行」を参照してください。
必要に応じて、次の情報を移行します。
ポリシーの構成。「ポリシー構成の移行」を参照してください。
アサーション・テンプレート。「アサーション・テンプレートの移行」を参照してください。
アプリケーションを本番環境にデプロイし、Webサービスをテストします。
「Webサービス・アプリケーションのデプロイ」および「Webサービスのテスト」を参照してください。
Oracle Enterprise Manager Fusion Middleware Controlからポリシーを個別にエクスポートできます。ポリシーをディレクトリにコピーすることも、ポリシーをインポートして別のリポジトリに移動することもできます。
ポリシーのエクスポートとインポートの詳細は、「Webサービス・ポリシーの管理」の次の項を参照してください。
または、exportMetadataおよびimportMetadataのWLSTコマンドを使用して、ポリシーをエクスポートおよびインポートできます。次に、必要な手順を説明します。
WLSTコマンドを使用してポリシーを移行する手順は次のとおりです。
Oracle WSMポリシーをローカル・ディレクトリにエクスポートします。たとえば、すべてのOracle WSMアーティファクトを/exported/owsm_policiesディレクトリにエクスポートします。
exportMetadata(application='wsm-pm',server='<server_name>', docs='/policies/mycompany/**',toLocation='/exported/owsm_policies')
ファイルを新しいマシンに移動します。Oracle WSM Policy Managerが新しいマシンにデプロイされていることを確認します。
Oracle WSMポリシーをインポートします。たとえば、すべてのOracle WSMアーティファクトを/toimport/owsm_policiesディレクトリからインポートします。
importMetadata(application='wsm-pm',server='<server_name>', fromLocation='/toimport/owsm_policies', docs='/policy/mycompany/**')
|
注意: docsパラメータを指定する際には注意する必要があります。値に/**を指定すると、ポリシー、アサーション・テンプレートおよびポリシー添付を含む、すべてのオブジェクトがエクスポートまたはインポートされます。ポリシー添付を転送すると、ソースとターゲットの環境が異なる場合、Fusion Middleware Controlでレポートされる使用状況分析数にエラーが発生します。ポリシーまたはアサーション・テンプレートのエクスポートやインポートを実行する際は、常により具体的なパスを使用することをお薦めします。 |
WLSTコマンドの詳細は、『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』を参照してください。
次の項では、Oracle WSMポリシーの構成アーティファクトを移行する方法を説明します。この付録には、次の項があります。
メッセージ保護ポリシーを使用している場合は、キーストアを移行する必要があります。キーストアを移行する手順は次のとおりです。
キーストアを新しい環境に手動でコピーします。
Java SEアプリケーションの場合は、キーストアをユーザー定義の場所にコピーします。Java EEアプリケーションの場合は、キーストアをjps-config.xmlファイルと同じディレクトリ、DOMAIN_HOME/config/fmwconfigにコピーします。
デフォルトでは、キーストアの名前はdefault-keystore.jksです。キーストアの名前を変更した場合は、Oracle Platform Security Servicesのキーストア・サービス・インスタンスでキーストア名を構成する必要があります。
キーストアの構成の詳細は、「メッセージ保護に関するキーストアの設定」を参照してください。
ユーザーとグループは、WebLogic Serverのセキュリティ・レルムの一部として保持されます。
組込みLDAPのユーザーとグループを移行する場合は、Oracle WebLogic管理コンソールまたはWLSTのいずれかを使用してデータを移行できます。必要な手順の詳細は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』のセキュリティ・データの移行に関する項を参照してください。
LDAPストアのユーザーとグループを移行する場合は、移行パスはありません。新しい環境でユーザーとグループを再作成し、LDAPストアでの割当てを指定する必要があります。『Oracle Fusion Middleware Securing Oracle WebLogic Server』の認証プロバイダの構成に関する項を参照してください。
移行が必要な可能性のある、資格証明ストアに保持された資格証明には2つのタイプがあります。
ユーザー名およびパスワード
キーストアおよび暗号化キー・パスワード
次の項では、移行手順を説明します。
組込みLDAPに格納されているユーザーを「ユーザーおよびグループの移行」の説明に従って移行する場合、単純に既存の資格証明を新しい資格証明ストアに移行します。必要な手順の詳細は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』のセキュリティ・データの移行に関する項を参照してください。
ユーザーがLDAPストアに格納されている場合、自動移行パスはありません。資格証明ストアに資格証明を再作成する必要があります。資格証明の構成の詳細は、「資格証明ストア・プロバイダの構成」を参照してください。
Webサービスで認可ポリシーを使用する場合は、Oracle Platform Security Servicesアプリケーション、および権限を付与するシステム・ポリシーを移行する必要があります。詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』のOPSS認可およびポリシー・ストアの項のmigrateSecurityStoreコマンドでのポリシーの移行に関する項目を参照してください。
Oracle Platform Security Services構成には、自動移行パスはありません。新しい環境で構成を再作成する必要があります。
再作成が必要な可能性のあるOracle Platform Security Servicesの構成には、3つのタイプがあります。
信頼できるSAMLアサーション発行者名(すべてのSAMLポリシーに適用可能)。
信頼できるSAML発行者名構成にデフォルトの構成を使用する場合は、移行は必要ありません。新しい環境でのSAMLの構成の詳細は、「SAMLおよびKerberosログイン・モジュールの構成」を参照してください。
キーストアの場所、およびキーストアとキーストア・パスワードのCSFキー構成(メッセージ保護ポリシーのみに適用可能)。
キーストアにデフォルトの構成を使用する場合は、移行は必要ありません。新しい環境でのキーストアの構成の詳細は、「メッセージ保護に関するキーストアの設定」を参照してください。
keytabの場所およびサービス・プリンシパル名(Kerberosポリシーに適用可能)
新しい環境でのkeytabの場所およびサービス・プリンシパル名の構成の詳細は、「SAMLおよびKerberosログイン・モジュールの構成」を参照してください。
OAM認証プロバイダには、自動移行パスはありません。新しい環境でOAM認証プロバイダを手動で再構成する必要があります。Oracle Access Manager(OAM)の構成には、WebLogic Server認証プロバイダを使用します。新しい環境でのOAM認証プロバイダの構成の詳細は、「WebLogic Serverへの認証プロバイダの構成」を参照してください。
SSL構成には、自動移行パスはありません。新しい環境でSSLキーストアを構成して設定する必要があります。新しい環境でのSSLキーストアの構成と設定の詳細は、「SSLに関するキーストアの構成 」を参照してください。
Kerberos構成を移行する手順は次のとおりです。
Kerberos構成ファイルを、同じディレクトリ構造の新しい環境にコピーします。Kerberos構成ファイルは、各オペレーティング・システムで次の場所にあります。
UNIX: /etc/krb5.conf
Windows: C:\windows\krb5.ini
チケット・キャッシュを適切な資格証明で初期化します。
詳細は、「Kerberosトークンの使用」を参照してください。
Oracle Enterprise Manager Fusion Middleware Controlからアサーション・テンプレートを個別にエクスポートできます。ポリシーをディレクトリにコピーすることも、ポリシーをインポートして別のリポジトリに移動することもできます。
アサーション・テンプレートのエクスポートとインポートの詳細は、次の項を参照してください。
