Oracle Business Intelligence Enterprise Editionデプロイメント・ガイド > Oracle BI Presentation Servicesの資格証明ストア > 資格証明ストアの記憶域タイプ >
ファイル・システム・ストア(XMLファイル・ストア)
BI Presentation Servicesでは、次の項目を含むXMLファイルがサポートされています。
- ディスク上の証明書と秘密鍵への参照
- インラインで埋め込まれている資格証明に基づいたユーザー名とパスワード
XMLファイルは独自のフォーマットです。
- XMLファイルにあるすべての要素の名前空間は、com.siebel.analytics.web.credentialStore/v1です。
- 名前空間の接頭辞はsawcsです。
- 各種のXMLノードを使用して、様々なファイルの場所を指定し各資格証明を別名と関連付けます。ファイル・フォーマットでは、暗号化されたキー・ファイルと暗号化されたパスワードがサポートされています。
- XMLファイルのルート・ノードはcredentialStoreです。サブノードには、credential、trustedCertificateおよびtrustedCertificateDirを指定できます。
XMLファイル・フォーマットのデフォルト資格証明ストアとして、credentialstore.xmlが用意されています。credentialstore.xmlは、次のディレクトリのいずれかにあります。
- Windowsの場合: OracleBIData_HOME\web\config
- LinuxまたはUNIXの場合: OracleBIData_HOME/web/config
CryptoToolsというユーティリティが、XMLファイルを操作するために用意されています。CryptoToolsは、次のディレクトのいずれかにあります。
- Windowsの場合: OracleBI_HOME\web\bin
- LinuxまたはUNIXの場合: OracleBI_HOME/web/bin
CryptoToolsユーティリティの使用方法と構文の詳細は、「CryptoToolsユーティリティの使用」を参照してください。
XMLファイル構造の詳細は、次の項を参照してください。
資格証明要素
資格証明要素は、資格証明ストア・ファイルに格納されている資格証明のいずれかを定義します。サポートされている資格証明は次の2種類です。
- パブリック証明書と秘密鍵で構成されるX.509資格証明
- ユーザー名とパスワードをベースにした資格証明
表5は、資格証明要素の属性を示しています。
表5. 資格証明要素の属性
|
|
|
type |
|
資格証明のタイプです。指定可能な値を次に示します。
|
alias |
|
この資格証明に関連付けられている別名です。 |
ユーザー名とパスワードの資格証明
ユーザー名とパスワードの資格証明(usernamePasswordのタイプ)には、usernameとpasswordの2つのサブ要素があります。
- username: この要素には、システムが認識しているユーザー名を識別するテキストが含まれています。この要素には属性は指定しません。usernameは要素内のテキスト・ノードとして指定する必要があります。
- password: password要素で格納されるパスワードでは、プレーン・テキストのパスワードと暗号化されたパスワードがサポートされています。パスワードをプレーン・テキストで格納する場合は、パスワードを要素内のテキスト・ノードとして指定する必要があります。暗号化されたパスワードを格納する場合は、W3C XML Encryption Syntax and Processing標準によって指定されたスキーマが使用されます。
さらに、復号化パスフレーズの指定に使用する属性も使用できます。必要とされるパスフレーズがここで指定されない場合(つまり、パスワードが暗号化されている場合)は、一般的な資格証明ストア構成に指定されているパスフレーズが使用されます。たとえば、パスフレーズがinstanceconfig.xmlファイルのCredentialStorageノードで指定されている場合は、暗号化されたパスワードが検出されるとこのパスフレーズが使用されます。パスフレーズがinstanceconfig.xmlのCredentialStorageノードに指定されていない場合、BI Presentation Servicesではinstanceconfig.xmlのCredentialStore要素に指定されているパスフレーズが検索されます。
XMLファイル資格証明ストアのusernamePassword資格証明タイプの例を次に示します。
注意: instanceconfig.xmlのusernamePassword資格証明タイプの次に示す例では、資格証明の別名は"impersonation"で、ユーザー名はImpersonatorです。パスワードはパスフレーズの"password"を使用して暗号化されており、パスフレーズはインラインで格納されています。BI Presentation Servicesでは、このパスフレーズを使用してパスワードを復号化します。
<?xml version="1.0" encoding="utf-8" ?> <sawcs:credentialStore xmlns:sawcs="com.siebel.analytics.web.credentialStore/v1" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" xmlns:pkcs-5="http://www.rsasecurity.com/rsalabs/pkcs/schemas/pkcs-5#">
<!-- This is a username password credential with an encrypted password that is required.In this example, the passphrase is shown inline. -->
<sawcs:credential type="usernamePassword" alias="impersonation"> <sawcs:username>Impersonator</sawcs:username> <sawcs:password passphrase="password"> <xenc:EncryptedData> <xenc:EncryptionMethod Algorithm="http://www.rsasecurity.com/rsalabs/pkcs/schemas/pkcs-5#pbes2"> <pkcs-5:PBES2-params Algorithm="http://www.rsasecurity.com/rsalabs/pkcs/schemas/pkcs-5#pbkdf2"> <pkcs-5:KeyDerivationFunc> <pkcs-5:Parameters> <pkcs-5:IterationCount>1024</pkcs-5:IterationCount> </pkcs-5:Parameters> </pkcs-5:KeyDerivationFunc> <pkcs-5:EncryptionScheme Algorithm="http://www.w3.org/2001/04/ xmlenc#tripledes-cbc"/> </pkcs-5:PBES2-params> </xenc:EncryptionMethod> <xenc:CipherData> <xenc:CipherValue>Ab76239KdhJiklj8967</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </sawcs:password> </sawcs:credential>
<!-- This is a username password credential with an encrypted password. No passphrase is supplied, so any passphrase specified earlier would need to be used. --> <sawcs:credential type="usernamePassword" alias="testuser"> <sawcs:username>testuser</sawcs:username> <sawcs:password> <xenc:EncryptedData> <xenc:EncryptionMethod Algorithm="http://www.rsasecurity.com/rsalabs/pkcs/schemas/pkcs-5#pbes2"> <pkcs-5:PBES2-params Algorithm="http://www.rsasecurity.com/rsalabs/pkcs/schemas/pkcs-5#pbkdf2"> <pkcs-5:KeyDerivationFunc> <pkcs-5:Parameters> <pkcs-5:IterationCount>1024</pkcs-5:IterationCount> </pkcs-5:Parameters> </pkcs-5:KeyDerivationFunc> <pkcs-5:EncryptionScheme Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/> </pkcs-5:PBES2-params> </xenc:EncryptionMethod> <xenc:CipherData>
<xenc:CipherValue>VwEp5qS69bwC8tGl+RmE+l0/1TZc4q0+</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </sawcs:password> </sawcs:credential>
</sawcs:credentialStore>
X.509資格証明
X.509資格証明要素には、keyとcertificateという2つのサブ要素があります。
key要素では秘密鍵を記述します。表6を参照してください。key要素では、表4で指定されたすべてのパスフレーズ関連属性もサポートされています。
表6. X.509資格証明のkey属性
|
|
|
|
path |
|
|
秘密鍵が格納されているディスク上のファイルです。 |
encoding |
|
ファイル名に基づく値 |
ファイルのエンコーディング方法です。PEMまたはASN1のいずれかを指定できます。 |
certificate要素ではパブリック証明書を記述します。表7を参照してください。
表7. certificate要素の属性
|
|
|
|
path |
|
|
証明書が格納されているディスク上のファイルです。 |
encoding |
× |
ファイル名に基づく値 |
ファイルのエンコーディング方法です。PEMまたはASN1のいずれかを指定できます。 |
trustedCertificateDir要素では、CA証明書があるディレクトリを記述します。このディレクトリにある有効な証明書ファイルはすべてCAとみなして読み取られます。これらの証明書に別名を割り当てることはできません。エンコーディング方法はファイルの拡張子から判断します。
trustedCertificateDirには、pathという必須属性が1つあります。この属性では、CAがあるディレクトリのパスを指定します。表8を参照してください。
表8. trustedCertificate要素の属性
|
|
|
|
alias |
× |
|
この証明書の別名です(オプション)。 |
path |
|
|
証明書が格納されているディスク上のファイルです。 |
encoding |
× |
ファイル名に基づく値 |
ファイルのエンコーディング方法です。PEMまたはASN1のいずれかを指定できます。 |
資格証明ストア用XMLファイルの例を次に示します。
注意: 資格証明には"testuser"という別名と"testuser"というユーザー名があります。パスワードは、パスフレーズを使用して暗号化されています。パスフレーズ自体はファイルには格納されていません。したがって、BI Presentation Servicesでは、instanceconfig.xmlファイルに指定されているパスフレーズを使用してパスワードが復号化されます。この資格証明ストアを記述しているcredentialStorage要素の属性としてパスフレーズが指定されている場合は、そのパスフレーズが使用されます。それ以外の場合は、instanceconfig.xmlファイルのcredentialノードの属性として指定されているパスフレーズが使用されます。
<?xml version="1.0" encoding="utf-8" ?>
<sawcs:credentialStore xmlns:sawcs="com.siebel.analytics.web.credentialStore/v1" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#" xmlns:pkcs-5="http://www.rsasecurity.com/rsalabs/pkcs/schemas/pkcs-5#">
<!-- For this key, the passphrase is provided inline. Care should be taken to protect this XML file suitably. --> <sawcs:credential type="x509" alias="obips"> <sawcs:key encoding="pem" passphrase="password" path="d:/temp/certificates/obips.pem"/> <sawcs:certificate encoding="pem" path="d:/temp/certificates/obips.crt"/> </sawcs:credential>
<!-- For this key, the passphrase is provided in a file. Care should be taken to protect the passphrase file suitably. --> <sawcs:credential type="x509" alias="obi_isapi"> <sawcs:key encoding="pem" passphraseFile="d:/temp/certificates/obi_isapi_pwd.txt" path="d:/temp/certificates/obi_isapi.pem"/> <sawcs:certificate encoding="pem" path="d:/temp/certificates/obi_isapi.crt"/> </sawcs:credential>
<!-- For this credential, execute the command line specified by passphraseLoader and assume that the program writes out the entire passphrase to standard output. If the program execution results in a non-zero return code, then this is considered an error, and the output will be ignored. Any leading/trailing whitespace in the passphrase will be trimmed out. The passphrase may only be composed of printable ASCII characters. --> <sawcs:credential type="x509" alias="obijavahost"> <sawcs:key encoding="pem" passphraseLoader="d:/temp/certificates/getpassphrase.exe" path="d:/temp/certificates/ obijavahost.pem"/> <sawcs:certificate encoding="pem" path="d:/temp/certificates/ obijavahost.crt"/>
<!-- Individual CA certificates. -->
<sawcs:trustedCertificate alias="obica" encoding="pem" path="d:/temp/certificates/obica.crt"/> <sawcs:trustedCertificate alias="verisign" encoding="pem" path="d:/temp/certificates/verisign.crt"/> <sawcs:trustedCertificate alias="thawte" encoding="pem" path="d:/temp/certificates/thawte.crt"/>
<!-- Directory with CA certificate files. Use file extension to guess encoding and no alias.--> <sawcs:trustedCertificateDir path="d:/temp/certificates/cacerts"/>
</sawcs:credentialStore>
|