| Oracle® Fusion Middleware Authorization Policy Manager管理者ガイド 11g リリース1(11.1.1) B61413-01 |
|
 前 |
 次 |
この章では、アプリケーション固有のセキュリティ・アーティファクトの管理、外部ロール階層の表示、アプリケーション・ロール階層の管理、およびアプリケーション・ロールから外部ロールへの多対多マッピングの管理を行うために管理者が実行する手順を、アプリケーションと外部ロールの両方の観点から説明します。
この章は次の項で構成されています。
Authorization Policy Managerでは、複数のアプリケーション・セキュリティ・アーティファクトに対してCRUD(作成、読取り、更新、削除)操作を実行できます。
「新規」はアーティファクトを作成するためのメニューであり、ナビゲーション・パネルの「ブラウザ」タブと「検索結果」タブ、および拡張検索結果の表にあります。
「開く」はアーティファクトを表示および変更するためのメニューであり、ナビゲーション・パネルの「検索結果」タブおよび拡張検索結果の表にあります。
「削除」はアーティファクトを削除するためのメニューであり、拡張検索結果の表にあります。
次の各項で、特定のセキュリティ・アーティファクトの管理方法について説明します。
次の各項で、アプリケーション・ロールの管理方法について説明します。
ナビゲーション・パネルで、アプリケーションの「ロール・カタログ」アイコンを右クリックして「新規」を選択します。これにより、右側のパネルに「無題」ページが開きます。
このページの「一般」タブで、作成するロールについて次のデータを入力します。
ロール名(必須)
表示名(必須)
説明(オプション)。説明はオプションですが、ロールに関する有用な情報を提供できるため、入力することをお薦めします。
作成するロールが属するロール・カテゴリ(オプション)
「保存」をクリックします。ページで、(a)タイトル「無題」が、表示名として入力した文字列に変わったこと、(b)他の2つのタブ(「アプリケーション・ロール階層」および「外部ロール・マッピング」)が使用可能になったことに注意してください。
作成するロールをアプリケーション・ロール階層内に配置するには、次のようにします。
「アプリケーション・ロール階層」タブを最前面に表示します。
このロールが継承するアプリケーション・ロールを表示または指定するには、「継承」を選択して「追加」をクリックします。これにより、「ロールの追加」ダイアログが表示されます。
「ロールの追加」ダイアログで、特定の表示名を持つアプリケーション・ロールを問い合せます(空の文字列にすると、すべてのロールがフェッチされます)。結果から1つ以上のロールを選択し([Ctrl]を押しながらクリックすると、ロールを1つずつ選択できます)、「追加」をクリックすると、選択したロールが「継承」表に表示されます。
「継承」表からロールを削除するには、ロールを選択して「削除」を選択します。削除できるのは、最上位のロールの直下のロールのみです。ロールを表示するには、ロールを選択して「開く」をクリックします。ロールを使用しているポリシーを検索するには、ロールを選択して「ポリシーの検索」をクリックします。アプリケーション・ロールに基づいてポリシーを作成するには、ページの最上部にある「ポリシーの作成」をクリックします。
「継承」表内のロールに対してアプリケーション・ロールを指定するには、そのロールを選択し、「追加」をクリックします。これにより、「ロールの追加」ダイアログが表示されます。このダイアログで、選択したロールのラジオ・ボタンをクリックし、追加するロールを検索して選択します。次に「追加」をクリックすると、選択したロールの下に追加されたロールが表示されます。
このロールを継承しているアプリケーション・ロールを表示するには、「継承者」を選択します。
「継承済」表内のロールを表示するには、ロールを選択して「開く」をクリックします。ロールを使用しているポリシーを表示するには、ロールを選択して「ポリシーの表示」をクリックします。
「継承」と「継承者」のいずれのページでも、最下部の領域に、表から選択したロールの要約情報が表示されます。
作成するアプリケーション・ロールに外部ロールをマッピングするには、次のようにします。
「外部ロール・マッピング」タブを最前面に表示します。
「追加」をクリックすると、「ロールの追加」ダイアログが表示されます。あるいは、項目を選択して「削除」をクリックすると、その項目が削除されます。
「ロールの追加」ダイアログで、特定の表示名を持つ外部ロールを問い合せます(空の文字列にすると、すべてのロールがフェッチされます)。結果から1つ以上のロールを選択し([Ctrl]を押しながらクリックすると、ロールを1つずつ選択できます)、「追加」をクリックすると、選択したロールが「外部ロール」表に表示されます。
図5-1は、「アプリケーション・ロール階層」タブの一部を示しています。
ロールを削除すると、ロールおよびその中にネストされているすべてのロールが削除されます。Authorization Policy Managerでは、このカスケード式の削除を実行する前に確認を求めるプロンプトが表示されます。さらに、削除したロールへのすべての参照も、アプリケーション・ストライプ内のアプリケーション・ポリシーから削除されます。
アプリケーション・ロールを削除するには、4.2項「アプリケーション・ロールの検索」の手順を使用して、拡張検索の「検索結果」表でロールを見つけて選択し、「削除」をクリックします。
アプリケーション・ロールを変更または表示するには、次のようにします。
ナビゲーション・パネルの「検索結果」からアプリケーション・ロールを選択し、これをダブルクリックするか、「開く」をクリックします。これにより、アプリケーション・ロールのページが表示されます。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
「一般」タブ、「アプリケーション・ロール階層」タブおよび「外部ロール・マッピング」タブで、現在の指定を適宜変更します。「一般」タブのデータを変更した場合は、「適用」をクリックします。
次の各項で、アプリケーション・リソース・タイプの管理方法について説明します。
アプリケーション・リソース・タイプを作成するには、次のようにします。
ナビゲーション・パネルで、アプリケーションの「リソース・タイプ」アイコンを右クリックして「新規」を選択します。これにより、右側のパネルに「無題」ページが開きます。
このページで、作成するリソース・タイプについて次のデータを入力します。
名前(必須)。
表示名(必須)。
説明(オプション)。説明はオプションですが、リソース・タイプに関する有用な情報を提供できるため、入力することをお薦めします。
リソース・タイプの権限クラスの完全修飾名。「マッチャー」というラベルの付いたボックスに入力します(必須)。
そのタイプで許可されるアクション。現在のリストにアクションを挿入するには、「新規」をクリックして「新規アクション」ダイアログを表示し、アクションの名前を入力して「保存」をクリックします。これにより、「アクション」リストが新規のアクションで更新されます。
「保存」をクリックします。タブのタイトルが、作成したリソース・タイプの名前に変わります。
図5-2は、リソース・タイプTaskFlowResourceTypeのページの一部を示しています。
アプリケーション・リソース・インスタンス・タイプを変更するには、次のようにします。
変更または表示するアプリケーション・リソース・タイプを見つけます。詳細は、4.3項「アプリケーション・リソース・タイプの検索」を参照してください。
リソースを選択して「開く」をクリックし、リソースのページを開きます(同じく使用可能な「削除」および「新規」メニューを使用すると、選択したリソースの削除または新規リソースの作成を実行できます)。
このページで、適宜リソース・タイプを変更します。
「適用」をクリックして、変更を保存します。
次の各項で、アプリケーション・リソースの管理方法について説明します。
アプリケーション・リソース・インスタンスを作成するには、次のようにします。
ナビゲーション・パネルで、アプリケーションの「リソース」アイコンを右クリックして「新規」を選択します。これにより、右側のパネルに「無題」ページが開きます。
このページで、作成するリソース・インスタンスについて次のデータを入力します。
名前(必須)
表示名(必須)
説明(オプション)。説明はオプションですが、リソース・インスタンスに関する有用な情報を提供できるため、入力することをお薦めします。
リソース・タイプ。プルダウン「リソース・タイプ」からインスタンスのリソース・タイプを選択します(必須)。
「保存」をクリックします。タブのタイトルが、作成したリソース・インスタンスの名前に変わります。
アプリケーション・リソース・インスタンスを変更するには、次のようにします。
変更または表示するアプリケーション・リソース・タイプを見つけます。詳細は、4.4項「アプリケーション・リソースの検索」を参照してください。
リソースを選択して「開く」をクリックし、リソースのページを開きます(同じく使用可能な「削除」メニューを使用すると、選択したリソースを削除できます)。
このページで、適宜リソースを変更します。
「適用」をクリックして、変更を保存します。
あるいは、簡易検索を使用してリソースを見つけて選択し、「開く」をクリックしてその属性を編集します。
次の各項で、アプリケーション資格の管理方法について説明します。
ナビゲーション・パネルで、アプリケーションの「権限」アイコンを右クリックして「新規」を選択します。これにより、右側のパネルに「無題」ページが開きます。
このページで、作成する資格について次のデータを入力します。
名前(必須)
表示名(必須)
説明(オプション)。説明はオプションですが、資格に関する有用な情報を提供できるため、入力することをお薦めします。
作成する資格にリソースを追加します。このタスクを実行するには、2つの方法があります。1つ目の方法は次のとおりです。
リソース・インスタンスに対して標準検索を実行することにより、アプリケーションに使用可能なリソースを一覧表示します。
(ナビゲーション・パネルの)「検索結果」タブのリソース・インスタンスを、「リソース」というラベルの付いた領域にドラッグ・アンド・ドロップします。
2つ目の方法は次のとおりです。
「リソース」領域の最上部にある「追加」をクリックして、「リソースの追加」ダイアログを表示します。
このダイアログで、名前または表示名が文字列または選択したリソース・タイプと一致する使用可能なリソースを検索します。問合せに一致したリソースが、ダイアログの最下部にある表に表示されます。
結果から、追加するリソースを選択し([Ctrl]を押しながら左クリックすると、リストから複数の項目を選択できます)、「追加」をクリックします。追加できるリソースは、「リソース」リストにまだ含まれていないリソースのみです。
リソースに対するアクションを選択します。まず、追加したリソースを(「リソース」リストから)選択して、ページ最下部にある「リソースの詳細」領域にリソース詳細を表示します。次に、「アクション」領域でそのリソースに対する目的のアクションを選択します。この領域では、選択したリソースのタイプに対して許可されているアクションのみが選択可能になります。作成する資格に追加したリソースごとに、この手順を繰り返します。
「保存」をクリックします。ページのタイトルが、作成した資格の名前に変わります。
図5-3は、資格myEntitlementを作成した後のページの一部を示しています。「リソース」領域は閉じています。
資格を変更または表示するには、次のようにします。
ナビゲーション・パネルの「検索結果」から資格を選択し、これをダブルクリックするか、「開く」をクリックします。これにより、資格のページが表示されます。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
このページで現在の指定を適宜変更します。
「適用」をクリックして、変更を保存します。
次の各項で、アプリケーション機能ポリシーの管理方法について説明します。
次の手順では、アプリケーション・ロールに基づいてアプリケーション・ポリシーを作成する方法を示します。「新規ポリシー」メニューを使用して、プリンシパル、資格またはリソースに基づいてポリシーを作成する方法については、4.6.1項「資格またはリソースに一致するアプリケーション・ポリシーの検索」および4.6.2項「プリンシパルに一致するアプリケーション・ポリシーの検索」を参照してください。
特定のアプリケーション・ロールに基づいてアプリケーション・ポリシーを作成するには、次のようにします。
ポリシーを作成するアプリケーションの下の「ポリシー」を選択し、ダブルクリックするか、「開く」をクリックします。これにより、「検索 - ポリシー」ページが表示されます。
このページで、「プリンシパル」タブを最前面に表示し、「検索」にパラメータを指定して、作成するポリシーのベースとなるプリンシパル(アプリケーション・ロール、外部ロールまたはユーザー)を検索して選択します。
ページ最下部の領域にある「機能セキュリティ」タブで、(作成するポリシーの種類に応じて)「権限ポリシー」か「リソースに基づくポリシー」のいずれかを選択し、「新規ポリシー」をクリックします。これにより、「無題」ポリシー・ページが表示されます。
資格に基づくポリシーを作成する場合は、「無題」ページで次のようにします。
プリンシパルをポリシーに追加: 「プリンシパル」表の最上部にある「追加」ボタンを使用します。あるいは、アプリケーション・ロール、外部ロールまたはユーザーの簡易検索を実行し、検索結果から項目を「プリンシパル」表にドラッグ・アンド・ドロップします。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
資格をポリシーに追加: 「権限」表の最上部にある「追加」ボタンを使用します。あるいは、アプリケーション資格の簡易検索を実行し、検索結果から資格を「権限」表にドラッグ・アンド・ドロップします。
「保存」をクリックします。
リソースに基づくポリシーを作成する場合は、「無題」ページで次のようにします。
プリンシパルをポリシーに追加: 「プリンシパル」表の最上部にある「追加」ボタンを使用します。あるいは、アプリケーション・ロール、外部ロールまたはユーザーの簡易検索を実行し、検索結果から項目を「プリンシパル」表にドラッグ・アンド・ドロップします。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
リソース・インスタンスをポリシーに追加: 「リソース」表内の「追加」ボタンを使用します。あるいは、アプリケーション・リソース・インスタンスの簡易検索を実行し、検索結果からリソース・インスタンスを「リソース」表にドラッグ・アンド・ドロップします。
追加したリソース・インスタンスごとに、リソース・インスタンスを選択し、ページ最下部にある「アクション」領域で適切なボックスを選択して、許可されるアクションを指定します。
「保存」をクリックします。
図5-4は、資格に基づくポリシーを作成した後のページの一部を示しています。
資格に基づくポリシーは変更できません。
リソースに基づくポリシーを変更または表示するには、次のようにします。
次のいずれかの方法で、変更または表示する、リソースに基づくアプリケーション・ポリシーを見つけます。
ポリシー内のアプリケーション・ロールと照合する方法。詳細は、4.6.2項「プリンシパルに一致するアプリケーション・ポリシーの検索」の手順7を参照してください。
ポリシー内のリソース名と照合する方法。詳細は、4.6.1項「資格またはリソースに一致するアプリケーション・ポリシーの検索」を参照してください。
ポリシーを選択し、「開く」をクリックします。これにより、ポリシーのページが開きます。
このページで、適宜ポリシー属性を変更します。
「適用」をクリックして、変更を保存します。
Authorization Policy Managerでは、ロール・カテゴリの作成と削除はサポートされますが、変更はサポートされていません。
アプリケーション・ロール・カテゴリを作成するには、次のようにします。
ナビゲーション・パネルで、アプリケーションの「ロール・カテゴリ」アイコンを右クリックして「新規」を選択します。これにより、右側のパネルに「無題」ページが開きます。
このページで、「新規」をクリックして「新規カテゴリ」ダイアログを表示します。
このダイアログで、作成するカテゴリについて次のデータを入力します。
名前(必須)
表示名(必須)
説明(オプション)。説明はオプションですが、カテゴリに関する有用な情報を提供できるため、入力することをお薦めします。
「作成」をクリックします。「ロール・カテゴリ」ページで、リストに新しいカテゴリが表示されます。
図5-5は、カテゴリを作成した後の「ロール・カテゴリ」ページの一部を示しています。
特定の外部ロールの下の外部ロール階層を表示するには、次のようにします。
ナビゲーション・パネルの「検索結果」から外部ロールを選択し、ダブルクリックするか、「開く」をクリックします。これにより、外部ロールのページが表示されます。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
このページで、「外部ロール階層」タブを選択します。
このタブ内の表に、選択したロールが権限を継承するすべての外部ロールが表示されます。表内の外部ロールはいずれも展開して、さらに深いレベルの階層を表示できます。
さらに、表の最上部にあるアクションを使用すると、次の操作が可能です。
選択した外部ロールを表示のために開く(「ロールを開く」)
図5-6は、外部ロールOPS FEDERALの「外部ロール階層」タブの一部を示しています。
この項では、アプリケーション・ロール階層(具体的には、特定のアプリケーション・ロールの下および上のアプリケーション・ロールの階層)を表示および変更する方法について説明します。
特定のアプリケーション・ロールの下のアプリケーション・ロール階層を表示または変更するには、次のようにします。
ナビゲーション・パネルの「検索結果」からアプリケーション・ロールを選択し、ダブルクリックするか、「開く」をクリックします。これにより、アプリケーション・ロールのページが表示されます。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
「アプリケーション・ロール階層」タブを最前面に表示し、「継承」を選択します。
そのリージョン内の表に、ロールの下のアプリケーション・ロールが表示されます。
この表の最上部にあるアクションを使用すると、次の操作が可能です。
アプリケーション・ロールの追加(「追加」)
選択したロールの削除(「削除」)
選択したロールを表示のために開く(「開く」)
選択したロールを含むポリシーの表示(ポリシーの表示)
特定のアプリケーション・ロールの上のアプリケーション・ロール階層を表示または変更するには、次のようにします。
ナビゲーション・パネルの「検索結果」からアプリケーション・ロールを選択し、ダブルクリックするか、「開く」をクリックします。これにより、アプリケーション・ロールのページが表示されます。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
「アプリケーション・ロール階層」タブを最前面に表示し、「継承者」を選択します。
そのリージョン内の表に、ロールの下のアプリケーション・ロールが表示されます。
この表の最上部にあるアクションを使用すると、次の操作が可能です。
アプリケーション・ロールの追加(「追加」)
選択したロールの削除(「削除」)
選択したロールを表示のために開く(「開く」)
選択したロールを含むポリシーの表示(ポリシーの表示)
アプリケーション・ロールを外部ロールにマッピングするには、次のようにします。
ナビゲーション・パネルの「検索結果」から外部ロールを選択し、ダブルクリックするか、「開く」をクリックします。これにより、外部ロールのページが表示されます。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
このページで、「ロール・マッピング」タブを選択します。
このタブで、「外部ロール階層」領域内の表から「ロールのマップ」を選択して、「アプリケーション・ロールを外部ロールにマップ」ダイアログを表示します。
このダイアログを使用して、外部ロールにマッピングするアプリケーション・ロールを検索して選択し、「ロールのマップ」をクリックします。「次のアプリケーション・ロール階層\」領域内の表に、外部ロールにマッピングされているアプリケーション・ロールの現在のリストが表示されます。
さらに、表の最上部にあるアクションを使用すると、次の操作が可能です。
マップからのロールの削除(「ロールの削除」)
選択した外部ロールを表示のために開く(「ロールを開く」)
選択したロールを含むポリシーの検索(「ポリシーの検索」)
外部ロールをアプリケーション・ロールにマッピングするには、次のようにします。
ナビゲーション・パネルの「検索結果」からアプリケーション・ロールを選択し、ダブルクリックするか、「開く」をクリックします。これにより、アプリケーション・ロールのページが表示されます。詳細は、3.4項「簡易検索によるアーティファクトの検索」を参照してください。
「外部ロール・マッピング」タブを最前面に表示します。
このタブで、「追加」をクリックして、「ロールの追加」ダイアログを表示します。このダイアログを使用して、アプリケーション・ロールにマッピングする外部ロールのセットを検索して選択し、「ロールのマップ」をクリックします。
アプリケーション・ロールにマッピングされている外部ロールの表が更新され、選択したロールが含められます。この表の最上部にあるアクションを使用すると、外部ロールの追加以外に次の操作が可能です。
選択したロールの削除(「削除」)
選択したロールを表示のために開く(「開く」)
図5-7は、「外部ロールの検索」の結果および選択した3つの外部ロールが表示された「ロールの追加」ダイアログを示しています。
図5-8は、アプリケーション・ロールにマッピングされている外部ロールが表示された「外部ロール・マッピング」タブを示しています。
外部ロールをアプリケーション・ロールに追加する別の方法(アクション・メニュー「外部ロールの追加」を使用する方法)については、4.2項「アプリケーション・ロールの検索」を参照してください。
