Oracle Application Server Adapter for PeopleSoftユーザーズ・ガイド 10g リリース3(10.1.3.4.0) B53281-01 |
|
戻る |
次へ |
この章の項目は次のとおりです。
OracleAS Adapter Application Explorer(Application Explorer)には、Webサービスのポリシーベース・セキュリティと呼ばれるセキュリティ・モデルが用意されています。ここでは、この機能の内容と構成方法について説明します。
Webサービスは、バックエンドのビジネス・ロジックとWebサービスを実行するユーザーまたはアプリケーションとの間に抽象化レイヤーを提供します。 アプリケーションの容易な統合が可能です。 ただし、Webサービスとして実行されるクリティカルで機密性の高いビジネス・ロジックの使用と実装を制御するという課題が発生します。
Application Explorerは、ポリシーベース・セキュリティという機能により、アダプタを使用するWebサービスの使用を制御します。 この機能により、管理者はビジネス・サービス(Webサービス)にポリシーを適用し、その実行を拒否または許可できます。
ポリシーとは、既存または新規のビジネス・サービスに適用可能なビジネス・サービスの実行を取り扱う権限の集合です。ポリシー内で特定の権利または権限を設定すると、他のビジネス・サービスと共通のセキュリティ問題を持つビジネス・サービスごとに、権限を再作成する必要がなくなります。かわりに、複数のビジネス・サービスにポリシーを再利用します。
この機能の目標は、トランスポートおよび送信されるSOAPリクエスト・レベルの両方におけるリクエストの保護です。 一部のポリシーはセキュリティの問題を直接取り扱いませんが、適用対象となるWebサービスのランタイムに影響を与えます。
BSE管理者はポリシー・タイプのインスタンスを作成して名前を付け、個々のユーザーまたはグループ(ユーザーの集合)を関連付けて、そのポリシーを1つ以上のビジネス・サービスに適用します。
ポリシーは、ビジネス・サービスまたはビジネス・サービス内のメソッドに割り当てることができます。ポリシーが特定のメソッドにのみ適用される場合、そのビジネス・サービス内の他のメソッドは制御されません。ただし、ポリシーがビジネス・サービスに適用される場合は、すべてのメソッドが制御されます。 ランタイム時には、SOAPリクエスト・メッセージでBSEに送信されるユーザーIDとパスワードが、そのビジネス・サービスに適用される全ポリシーのユーザー・リストと比較して確認されます。サポートされているポリシー・タイプは「リソース実行」で、ビジネス・サービスを実行できるユーザーと実行できないユーザーを示します。
ポリシーが適用されない場合、ビジネス・サービスのデフォルト値は「すべて付与」です。たとえば、「リソース実行」ポリシーをビジネス・サービスに関連付けるまでは、誰でもビジネス・サービスを実行できます。ポリシーを関連付けた時点で、ビジネス・サービスにアクセスできるのは実行権限が付与されているユーザー、つまり実行権限を拒否されているグループに属していないユーザーのみとなります。
次の手順では、Webサービスのポリシーベース・セキュリティの構成方法について説明します。
ユーザーの作成とポリシーへの関連付け
ポリシーのインスタンスを作成する前に、インスタンスに関連付ける1人以上のユーザーまたは1つ以上のグループが存在する必要があります。ユーザーとグループはApplication Explorerで作成できます。
Application Explorerを起動します。
SampleConfig
など、接続先の構成を右クリックします。新規構成の作成方法の詳細は、第2章「OracleAS Adapter for PeopleSoftの構成」を参照してください。
「接続」を選択します。
「アダプタ」、「イベント」および「ビジネス・サービス」(Webサービスとも呼びます)の各ノードが表示されます。
「コンフィギュレーション」ノードを開きます。
「セキュリティ」ノードを開きます。
「ユーザー」を右クリックし、「新規ユーザー」をクリックします。
「OK」をクリックします。
ポリシーで使用するグループの作成
ポリシーで使用するグループを作成する手順は、次のとおりです。
Application Explorerを起動します。
SampleConfigなど、接続先の構成を右クリックします。新規構成の作成方法の詳細は、第2章「OracleAS Adapter for PeopleSoftの構成」を参照してください。
「接続」を選択します。
「アダプタ」、「イベント」および「ビジネス・サービス」(Webサービスとも呼びます)の各ノードが表示されます。
「ビジネス・サービス」ノードを開きます。
「コンフィギュレーション」ノードを開きます。
「セキュリティ」ノードを開きます。
ユーザーを1人以上選択し、「OK」をクリックします。
次の図に、「グループ」ノードの下に追加された新規グループを示します。
実行ポリシーの作成
実行ポリシーは、適用対象のビジネス・サービスを実行できるユーザーを制御します。
実行ポリシーを作成する手順は、次のとおりです。
Application Explorerを起動します。
SampleConfigなど、接続先の構成を右クリックします。新規構成の作成方法の詳細は、第2章「OracleAS Adapter for PeopleSoftの構成」を参照してください。
「接続」を選択します。
「アダプタ」、「イベント」および「ビジネス・サービス」(Webサービスとも呼びます)の各ノードが表示されます。
「コンフィギュレーション」ノードを開きます。
「セキュリティ」ノードを開きます。
「ポリシー」を右クリックして「新規ポリシー」を選択します。
「新規ポリシー」ダイアログ・ボックスが表示されます。
次の情報を入力します。
ユーザーを1人以上選択し、「OK」をクリックします。
「次へ」をクリックします。
ユーザーまたはグループにビジネス・サービスの実行権限を付与するには、そのユーザーまたはグループを選択し、二重の左矢印を選択して「付与されている実行権限」リストに移動します。
ユーザーまたはグループに対するビジネス・サービスの実行権限を拒否するには、そのユーザーまたはグループを選択し、二重の右矢印を選択して「拒否された実行権限」リストに移動します。
「OK」をクリックします。
次に構成のサマリーを示します。
IPおよびドメイン制限ポリシー・タイプの使用
IPおよびドメイン制限ポリシー・タイプの構成方法は、他のポリシー・タイプとは少し異なります。IPおよびドメイン制限ポリシー・タイプではBSEへの接続アクセスを制御するため、Webサービスに個別に適用する必要はありません。 ポリシーの作成は不要ですが、Application Explorerで「セキュリティ・ポリシー」オプションを有効にする必要があります。
Application Explorerを起動します。
SampleConfigなど、接続先の構成を右クリックします。新規構成の作成方法の詳細は、第2章「OracleAS Adapter for PeopleSoftの構成」を参照してください。
「接続」を選択します。
「アダプタ」、「イベント」および「ビジネス・サービス」(Webサービスとも呼びます)の各ノードが表示されます。
次の手順を実行します。
「IPとドメイン」を右クリックして「新規IPとドメインの制限」を選択します。
「新規IPとドメインの制限」ダイアログ・ボックスが表示されます。
次の手順を実行します。
「IP(マスク)/ドメイン」フィールドに、次のガイドラインに従ってIPまたはドメイン名を入力します。
「タイプ」リストから「単一」(コンピュータ)を選択した場合は、そのコンピュータのIPアドレスを指定する必要があります。 コンピュータのDNS名しかわからない場合は、「DNS参照」をクリックしてDNS名に基づくIPアドレスを取得します。
(コンピュータの)「グループ」を選択した場合は、そのコンピュータ・グループのIPアドレスとサブネット・マスクを指定する必要があります。
「ドメイン」を選択した場合は、ドメイン名を指定する必要があります。
「タイプ」リストから制限のタイプを選択します。
「説明」フィールドに説明を入力します(オプション)。
アクセス権を付与するには「アクセス権限の付与」チェック・ボックスを選択します。
「OK」をクリックします。
「IPとドメイン」ノードの下に新規ドメインが追加されます。
デザインタイム時には、Application Explorerを使用してアダプタ接続の構成、EISオブジェクトの参照、サービスの構成およびEISイベントをリスニングするリスナーの構成を行うときに作成されたメタデータがOracleリポジトリに格納されます。 リポジトリ内の情報は、ランタイム時にも参照されます。管理のため、既存の構成に影響を与えずに、Oracle用に構成されたBSEリポジトリとJ2CAリポジトリを新規の宛先に移行できます。 たとえば、リポジトリをテスト環境から本番環境に移行できます。
BSEリポジトリの移行
BSE制御サービスのURLをコピーします。次に例を示します。
http://localhost:7777/ibse/IBSEServlet/admin/iwcontrol.ibs
サード・パーティのXMLエディタ(XMLSPYなど)を開きます。
メニュー・バーで「SOAP」をクリックします。
オプション・リストが表示されます。
「Create new SOAP request」を選択します。
WSDLファイルの場所に関するダイアログ・ボックスが表示されます。
次の手順を実行します。
「Choose a file」フィールドに、BSE制御サービスのURLを貼り付けます。
URLに?wsdlを追加します。次に例を示します。
http://localhost:7777/ibse/IBSEServlet/admin/iwcontrol.ibs?wsdl
「OK」をクリックします。
SOAP操作名のダイアログ・ボックスが表示され、使用可能な制御メソッドがリスト表示されます。
MIGRATEREPO(MIGRATEREPO parameters)制御メソッドを選択して「OK」をクリックします。
注意: MIGRATEREPO(MIGRATEREPO parameters)制御メソッドは、BSE管理コンソールから使用可能です。この制御メソッドは、すべてのWebサービスを新規(空)のリポジトリに移行します。選択したWebサービスのみを移行するように選択できます。 |
次のウィンドウが表示されます。 このウィンドウには、SOAPエンベロープの構造が表示されます。
ツールバーの「Text view」アイコンを探します。
SOAPエンベロープの構造をテキストとして表示するには、「Text view」アイコンをクリックします。
<SOAP-ENV:Header>タグは不要なため、SOAPエンベロープから削除できます。
次のセクションを検索します。
<m:MIGRATEREPO xmlns:m="urn:schemas-iwaysoftware-com:jul2003:ibse:config" version=""> <m:repositorysetting> <m:rname>oracle</m:rname> <m:rconn>String</m:rconn> <m:rdriver>String</m:rdriver> <m:ruser>String</m:ruser> <m:rpwd>String</m:rpwd> </m:repositorysetting> <m:servicename>String</m:servicename> </m:MIGRATEREPO>
次の手順を実行します。
<m:rconn>タグでは、Stringプレースホルダを既存のBSEリポジトリを移行するリポジトリURLで置き換えます。
OracleリポジトリURLの書式は次のとおりです。
jdbc:oracle:thin:@[host]:[port]:[sid]
<m:rdriver>タグでは、StringプレースホルダをOracleドライバの場所で置き換えます。
<m:ruser>タグでは、StringプレースホルダをOracleリポジトリにアクセスする有効なユーザー名で置き換えます。
<m:rpwd>タグでは、StringプレースホルダをOracleリポジトリにアクセスする有効なパスワードで置き換えます。
次の移行オプションを1つ実行します。
現行のBSEリポジトリからWebサービスを1つ移行する場合は、次のように<m:servicename>
タグにWebサービス名を入力します。
<m:servicename>PeopleSoftService1</m:servicename>
現行のBSEリポジトリから複数のWebサービスを移行する場合は、次のようにWebサービスごとに<m:servicename>
タグを複製します。
<m:servicename>PeopleSoftService1</m:servicename> <m:servicename>PeopleSoftService2</m:servicename>
現行のBSEリポジトリからWebサービスをすべて移行する場合は、<m:servicename>
タグを削除します。
次の図のように、メニュー・バーで「SOAP」をクリックして「Send request to server」を選択します。
BSEリポジトリと指定したWebサービスが、指定した新規OracleリポジトリのURLに移行します。
J2CAリポジトリの移行