この章では、Oracle Web Services Manager(Oracle WSM)のロールの構成方法について説明します。
この章では次の項について説明します。
注意: Oracle Application Server 10gリリース3(10.1.3.1.0)の一部としてOracle WSMをインストールしている場合、グループおよびロールの概念はOracle WSMに適用されません。 |
Oracle WSMのコンポーネントおよび操作へのアクセスを制御するには、使用する環境で定義するユーザー・グループを、Oracle WSM管理ロールに割り当てます。まず、Oracle WSM管理ロールを、データベースで定義および格納するグループ、またはLDAPサーバーで保持するグループに割り当てます。次に、Oracle WSMが管理する各コンポーネント(ゲートウェイおよびエージェント)や各Webサービスを管理するために許可されるグループを指定します。
注意: ユーザーやグループの管理にOracle WSMデータベースまたは各自のLDAPサーバーを使用するようにOracle WSMを構成する方法の詳細は、「Oracle WSMの認証ソースの構成」を参照してください。 |
ロール | 説明 |
---|---|
スーパー・ユーザー |
Oracle WSMのプライマリ・ロールです。このグループ・メンバーは、Oracle WSMサイトのインストールとデプロイを担当します。スーパー・ユーザーのグループ・メンバーは、すべての機能にアクセスでき、管理コンポーネント、PEPまたは管理対象サービスに対してすべての操作を実行できます。コンポーネントやその関連サービスの追加、編集または削除などを行えます。 スーパー・ユーザーのロールは、1つのグループにのみ割り当てられます。スーパー・ユーザーは、インストールに関する管理者の責務をドメイン管理者ロールに委任して、ユーザー・グループをOracle WSMのその他のロールに割り当てることができます。 |
ドメイン管理者 |
このロールに割り当てられたグループは、通常、Oracle WSMシステムの日常の操作や管理を担当します。ドメイン管理者にはスーパー・ユーザーと同じアクセス権があり、すべてのコンポーネントと管理対象サービスに対して同じ操作を実行できます。ドメイン管理者は、スーパー・ユーザーとドメイン管理者を除くすべてのロールにユーザーを割り当てることができます。 ドメイン管理者ロールは、1つのグループにのみ割り当てられます。ドメイン管理者は、通常、各コンポーネントの管理者の責務を、コンポーネント管理者ロールが割り当てられたグループに委任します。 |
コンポーネント管理者 |
コンポーネント管理者ロールに割り当てられたグループには、特定のコンポーネントに関する管理者の責務が付与されます。コンポーネント管理者は、コンポーネントに関連付けられた管理対象サービスの管理者の責務を直接管理するか、委任します。 コンポーネント管理者は、コンポーネントの詳細を編集でき、コンポーネントに関連付けられた管理対象サービスやルーティングの追加、編集または削除を行えます。ただし、コンポーネントの追加、削除または移動や、コンポーネンに関する登録の詳細の変更は行えません。 |
コンポーネント・サポート |
コンポーネント・サポート・ロールに割り当てられたグループには、特定のコンポーネントへのサポート・アクセスが付与されます。 コンポーネント・サポート・ロールに割り当てられたユーザーは、割り当てられたコンポーネントとその関連サービスに関する情報を表示できます。コンポーネントやその関連サービスの詳細の追加、編集または変更は許可されません。 |
サービス管理者 |
サービス管理者ロールに割り当てられたグループには、特定のサービスに関する管理者の責務が付与されます。 サービス管理者は、サービスの詳細とポリシー・ステップを表示および編集できます。サービス登録の詳細の変更、サービスの削除、または新規サービスの追加は行えません。 |
サービス・サポート |
サービス・サポート・ロールに割り当てられたグループは、特定のサービスにアクセスできます。このロールに割り当てられたユーザーは、サービスの詳細とポリシー・ステップを表示できます。サービスの詳細の編集や、サービスの追加または削除は許可されません。 |
ユーザーがWeb Services Manager Controlにログインすると、Oracle WSMは、そのユーザーが属するグループを、そのグループが割り当てられるロールに自動的にマップします。次に、Oracle WSMはユーザーがアクセスおよび管理できるコンポーネントと管理対象サービスを決定します。たとえば、あるユーザーがCSV.Admin.Gateway1というグループに属しているとします。このグループはOracle WSMの管理者ロールにマップされ、ゲートウェイ・コンポーネントへのアクセスが付与されています。この場合、ユーザーはWeb Services Manager Controlにログインすると、該当のゲートウェイやその関連サービスを自動的に表示して管理できます。一方で、グループに属しているその他のユーザーが、これよりも権限の少ないロールに割り当てられる場合、同じゲートウェイやその関連サービスに対して実行できる操作は制限されます。
組織内のグループをOracle WSMのロールに割り当てる前に、まずスーパー・ユーザーのロールにグループを割り当てる必要があります。Oracle WSMデータベースにログインして、次のSQLコマンドを実行し、Oracle WSMデータベースにこのグループを追加してください。
INSERT INTO GROUP_ROLE_MAPPINGS VALUES ('
group_name
',1,'Y'
)
変数group_name
は、スーパー・ユーザーのロールを割り当てるグループの名前です。
このグループを追加すると、グループのメンバーは、ドメイン管理者ロールとOracle WSMのその他のロールにグループを割り当てることができます。詳細は、「Oracle WSMのロールの割当て」を参照してください。
Oracle WSMのインストール後にスーパー・ユーザーがまず実行するタスクは、Oracle WSMのドメイン管理者ロールへのグループの割当てです。スーパー・ユーザーまたはドメイン管理者は、各コンポーネントまたは管理対象サービスを管理またはサポートするロールにその他のグループを割り当てることができます。重要なのは、Oracle WSMのスーパー・ユーザーおよびドメイン管理者のロールに割り当てられたユーザーは、Oracle WSMのロールにグループを割り当てる前に、各自の組織内に存在するグループ・ロールとユーザー・メンバーシップを熟知することです。
スーパー・ユーザーまたはドメイン管理者としてログインしたユーザーのみが、ロールにグループを割り当てられます。コンポーネント管理者およびコンポーネント・サポートのユーザーは、ロールの割当てを表示できますが、割当ての削除や、新しい割当ての追加はできません。
スーパー・ユーザーまたはドメイン管理者として、Oracle WSM Web Services Manager Controlにログインします。
「管理」をクリックして、「グループ/ロール」をクリックします。
例(図7-1)の「グループ・ロール・マッピングのリスト」ページには、ドメイン管理者ロールにすでに割り当てられているグループが表示されています。このページには、コンポーネント管理者、サービス管理者およびサービス・サポートのロールに割り当てられている様々なグループも表示されます。同じロールに複数のグループを割り当てると、コンポーネントおよびサービスの管理を複数のグループ間で分散できます。
新しいグループ/ロールのマッピング(割当て)を追加するには、「新規グループ/ロールの追加」をクリックします。
このページの上部に(図7-2)、「ソースで定義されているとおりにグループの名前を入力します。」という指示があります。
ソースという用語は、データベースまたはLDAPリポジトリのいずれかの用語に置き換えられます。この指示は、インストールがデータベースまたはLDAPサーバーのどちらに格納されているグループを使用しているかを示します。
「グループ名」フィールドにグループ名を入力して、「ロール名」リストからロールを選択します。
サービス管理者およびサービス・サポートのロールに組織内のグループを割り当てます。
「保存」をクリックします。
ロールにグループを割り当てたら、ドメイン管理者は、「ポリシー管理」→「ポリシーの管理」を選択して、コンポーネントの登録の詳細を追加または編集するときに、コンポーネント管理者およびコンポーネント・サポートのグループ・アクセスを、各コンポーネントに追加できます。
「コンポーネント・グループ」セクションには、現在ログインしているドメイン管理者のグループが、新しいコンポーネントにアクセスできるグループのリストに自動的に表示されます(このリストは「コンポーネント・グループ」セクションの左側にあります。)
ドメイン管理者としてログインした場合、変更の権限または表示のみの権限を使用して、新しいコンポーネントへのアクセスが許可されるグループを追加できます。これを行うには、表示の右側にある1つ以上のリストから1つ以上のグループを選択して、「追加」をクリックします。
同様に、コンポーネント管理者(およびスーパー・ユーザーとドメイン管理者)は、サービスの詳細を追加または編集するときに、サービス管理者およびサービス・サポートのグループ・アクセスを各サービスに追加できます。これを行うには、「ポリシー管理」→「サービスの登録」を選択します。新しいサービスを作成したり、既存のサービスの詳細を編集したりする場合、「サービス・グループ」セクションを使用してグループ・アクセスを指定します。
ユーザーまたはグループの管理にデータベースまたはLDAPサーバーを使用するようにOracle WSMを構成するには、ORACLE_HOME/owsm/config/ccore/ui-config-installer.propertiesファイルを編集します。
ユーザーとグループの管理パラメータは、UI authentication propertiesというラベルのセクションで定義されます。このセクションには、次の2つの異なる認証方法のためのデフォルト設定があります。
データベース
LDAPサーバー
Microsoft Active Directory
このpropertiesファイルには、データベースの次のパラメータが含まれます。
ui.authentication.provider=com.cfluent.accessprovider.sampledb\
.LocalDBAuthProvider
ui.authentication.provider.properties=\
dbConnectionUrl=jdbc:oracle:thin:@sunserver5:1521:CCORE|\
dbDriver=oracle.jdbc.driver.OracleDriver|\
dbUser=cfluentdev|\
dbPassword=cfluentdev|\
maxConnections=10;\
idleTime=300;\
maxConnectionTime=120;
表7-2 データベース認証ソースのプロパティ
プロパティ | 説明 |
---|---|
dbConnectionUrl |
有効なJava Database Connectivity(JDBC)接続URL。 |
dbDriver |
データベースへの接続に使用するJDBCドライバ・クラス。 |
dbUser |
Oracle WSMデータベースのスキーマ所有者のユーザーID。 |
dbPassword |
dbUserで指定するユーザーのパスワード。 |
maxConnections |
作成される最大データベース接続。デフォルトは10です。 |
idleTime |
このパラメータは無視してください。廃止されています。 |
maxConnectionTime |
このパラメータは無視してください。廃止されています。 |
このpropertiesファイルには、LDAPサーバーの次のパラメータが含まれます。
ui.authentication.provider=com.cfluent.accessprovider.ldap\ .BasicLdapAuthProvider
ui.authentication.provider.properties=\
ldapHost=dbserv1;\
ldapPort=389;\
ldapDN=ou=People,dc=corp,dc=confluentsw,dc=com;\
superUserRole=SystemAdmin;\
roleAttribute=groupmembership
使用するメソッドのパラメータを編集して、使用しないメソッドのパラメータをコメント・アウトします。
表7-3 LDAPサーバーの認証ソースのプロパティ
プロパティ | 説明 |
---|---|
ldapHost |
LDAPサーバーが動作しているシステムのホスト名。 |
ldapPort |
LDAPサーバーがリクエストをリスニングするポート。 |
ldapDN |
LDAPの識別名(DN)。 |
superUserRole |
スーパー・ユーザーのロールが割り当てられるグループ。 |
roleAttribute |
ユーザーが属するグループ(ロール)を格納するユーザー・オブジェクトの属性。 |
ui-config-installer.propertiesファイルを変更した後、その変更が有効になるように、wsmadmin deploy
control
コマンドを使用する必要があります。アプリケーションのデプロイの詳細は、『Oracle Web Services Managerデプロイメント・ガイド』を参照してください。使用するユーザー・グループの構成設定でOracle WSMをインストールすると、Oracle WSMは、ユーザー認証が必要な場合に必ず指定したソースを使用します。
注意: Oracle WSMのスーパー・ユーザーのロールが割り当てられているLDAPグループを指定しても、Oracle WSMデータベースにこのグループを手動で追加する必要があります。 |
このpropertiesファイルには、Microsoft Active Directoryの次のパラメータが含まれます。
. . . ui.authentication.provider=com.cfluent.accessprovider.ldap.ActiveDirectoryAuthProvider ui.authentication.provider.properties=\ ldapHost=139.185.17.7|\ ldapPort=389|\ ldapSSLEnabled=false|\ ldapSSLPort=636|\ ldapDN=dc=vanadium,dc=us,dc=oracle,dc=com|\ roleAttribute=testgroup|\ ldapDNSDomainName=vanadium.us.oracle.com|\ ldapUidAttribute=sAMAccountName|\ . . .
表7-4に、ui-config-installer.properties
ファイルのプロパティを示します。
表7-4 ui-config-installer.propertiesファイルのプロパティ
プロパティ | 説明 |
---|---|
|
Active Directoryを使用してユーザーを認証するクラスの名前。これを |
|
Active Directoryサーバーが動作しているマシンのホスト名。 |
|
Active Directoryサーバーがリクエストをリスニングするポート。 |
|
LDAPドメイン名。 |
|
SSLがActive Directoryサーバーに対して有効であるかどうかを指定します。 |
|
SSLが有効な場合に、Active Directoryがリクエストをリスニングするポート。 |
|
LDAPグループのユーザーを特定するLDAP属性名。 |
|
Active Directoryサーバーの完全修飾されたドメイン名。 |
|
Active Directoryサーバーの検索時に使用される一意の識別子。これを |
Oracle WSMをインストールすると、Oracle WSMのロールが割り当てられる、事前定義されたユーザーおよびグループでOracle WSMデータベースが初期化されます。これらの事前定義されたグループやロールを使用して、本番環境へのデプロイ前に、Oracle WSMインストールのテストとステージングを行うことができます。
表7-5は、デフォルト・インストールに移入されているデフォルトのユーザーとグループ、およびそのユーザーとグループが割り当てられているロールのリストです。
表7-5 デフォルトのユーザー、グループおよびOracle WSMのロール
Oracle WSMのロール | グループ | ユーザー |
---|---|---|
スーパー・ユーザー |
|
|
ドメイン管理者 |
|
|
コンポーネント管理者 |
|
|
コンポーネント管理者 |
|
|
コンポーネント・サポート |
|
|
コンポーネント・サポート |
|
|
サービス管理者 |
|
|
サービス管理者 |
|
|
サービス・サポート |
|
|
サービス・サポート |
|
|
デフォルトでは、事前定義されたすべてのユーザーのパスワードはoracleです。ca1.cs2.a
などのユーザー名は、ユーザーが複数のグループのメンバーであることを示し、各グループには別のロールが割り当てられています。たとえば、ユーザーca1.cs2.a
は、コンポーネント管理者ロールが割り当てられているca1-grp
のメンバーです。このユーザーは、コンポーネント・サポート・ロールが割り当てられているcs2-grp
のメンバーでもあります。ユーザーの権限は、そのユーザーが属しているグループに割り当てられたロールを組み合せたものになります。
ユーザー認証にOracle WSMデータベースを使用している場合、Oracle WSMには、ユーザーとグループを作成するためのコマンドライン・ツールがあります。ユーザーとグループを作成して、グループにユーザーを割り当てたら、WSMADMINコマンドライン・ツールを使用して、新しいグループにロールを割り当てることができます。
ORACLE_HOME
/owsm/bin
Oracle WSMのユーザーとグループを管理するwsmadmin
コマンドの構文は次のとおりです。
wsmadmin manageUserGroups [option]
表7-6に、使用可能なオプションを示します。
表7-6 manageUserGroupsコマンドのオプション
オプション | 説明 |
---|---|
addUser |
1人のユーザーを追加します。 |
addGroup |
1つのグループを追加します。 |
addUserGroup |
グループに既存のユーザーを追加します。 |
deleteUser |
既存のユーザーを削除します。 |
deleteGroup |
既存のグループを削除します。 |
deleteUserGroup |
グループからユーザーを削除します。 |
このコマンドライン・ツールは、Oracle WSMに付属するサンプル・データベースからユーザーやグループを追加および削除する場合に使用できます。ユーザーとグループがLDAPサーバーに格納されている場合、このツールを使用してユーザーやグループを追加または削除することはできません。これらの操作を実行するには、LDAPサーバーで提供されるあらゆるツールを使用する必要があります。
コマンドを実行する際、Oracle WSMでは、データベース接続情報や、追加または削除する特定のユーザーおよびグループに関する情報が含まれるmanageUserGroups.propertiesファイルを確認します。
ORACLE_HOME/owsm/bin/manageUserGroups.propertiesファイルには、次のプロパティ(表7-7)があります。これらは、実行する特定のユーザーまたはグループの操作に基づいて設定する必要があります。
表7-7 manageUserGroupsプロパティ・ファイルの設定
プロパティ | 値 |
---|---|
|
Oracle WSMデータベースに接続するためのデータベースURLを指定します。デフォルトでは、このプロパティは次のように設定されています。
|
|
Oracle WSMデータベースへの接続に使用するドライバを指定します。デフォルトでは、このプロパティは次のように設定されています。
|
|
Oracle WSMデータベースにログインするデータベース管理者のユーザー名を指定します。デフォルトでは、このプロパティは次のように設定されています。
|
|
データベースのユーザーのログイン名に対応するパスワードを指定します。デフォルトでは、このプロパティは次のように設定されています。
|
|
ユーザーを一意に識別するためのユーザーIDを指定します。デフォルトでは、このプロパティは次のように設定されています。
|
|
関連する
|
|
関連するログイン・ユーザー名と
|
|
特定のユーザーに関連付けられる電子メール・アドレスを指定します。デフォルトでは、このプロパティは次のように設定されています。
|
|
グループを一意に識別するためのグループIDを指定します。デフォルトでは、このプロパティは次のように設定されています。
|
|
関連する
|
db_password
およびuser_password
プロパティは、Oracle Web Services Managerをインストールするときに指定します。値は曖昧化され、manageUserGroups.propertiesファイルは、これらの曖昧な値で移入されます。user_password
プロパティは、manageUserGroups.propertiesファイルに暗号化されていないテキストとして入力します。Oracle WSMデータベースをユーザー情報で更新すると、この機密情報はファイルから削除されます。