9 上級ユーザー用ツール

この章では上級ユーザー用ツールについて説明します。次のトピックが含まれています。

• Webサービスのポリシー・ベースのセキュリティ

• リポジトリの移行

Webサービスのポリシー・ベースのセキュリティ

Oracle Adapterアプリケーション・エクスプローラ（アプリケーション・エクスプローラ）には、Webサービスのポリシーベース・セキュリティと呼ばれるセキュリティ・モデルが備わっています。次のトピックでは、この機能の概要および構成方法について説明します。

Webサービスは、バックエンド・ビジネス・ロジックとWebサービスで実行中のアプリケーションまたはユーザー間の抽象レイヤーを提供します。これにより、アプリケーションの統合が簡単にできます。しかし、Webサービスとして実行されている重要機密ビジネス・ロジックの使用および実装の制御が問題となっています。

アプリケーション・エクスプローラは、ポリシーベース・セキュリティという機能によって、アダプタを使用するWebサービスの使用を制御します。この機能は、管理者がポリシーをビジネス・サービス（Webサービス）に適用し、実行を許可または拒否できるようにします。

ポリシーとは、既存または新規のビジネス・サービスに適用可能なビジネス・サービスの実行に関する一連の権限です。ポリシー内の特定の権限を設定する場合に、他のビジネス・サービスと共通のセキュリティの問題を持つ、すべてのビジネス・サービスについて権限を再作成する必要はありません。かわりに、複数のビジネス・サービスに対して1つのポリシーを再利用します。

この機能の目的は、トランスポートと伝送路で転送されるSOAPリクエスト・レベルの両方のリクエストを保護することです。一部のポリシーは、セキュリティの問題を直接には扱いませんが、適用先のWebサービスのランタイム動作に影響します。

BSE管理者は、ポリシー・タイプのインスタンスを作成し、名前を指定し、各ユーザーまたはグループ（ユーザーの集まり）と関連付け、このポリシーを1つ以上のビジネス・サービスに適用します。

ポリシーは、ビジネス・サービスまたはビジネス・サービス内のメソッドに割当てできます。ポリシーがメソッドにのみ割り当てられた場合、そのビジネス・サービス内の他のメソッドはこのポリシーによって管理されません。ただし、ポリシーがビジネス・サービスに適用された場合は、すべてのメソッドがこのポリシーによって管理されます。実行時には、BSEに送信されたSOAPリクエスト・メッセージ内のユーザーIDおよびパスワードが、特定のビジネス・サービスに適用されたすべてのポリシーのユーザー・リストに対してチェックされます。サポートされているポリシー・タイプはリソースの実行で、ビジネス・サービスの実行が可能なユーザーと不可能なユーザーを指定します。

ポリシーが適用されない場合、ビジネス・サービスのデフォルト値はすべての権限を付与するように設定されます。たとえば、リソースの実行ポリシーがビジネス・サービスに関連付けられるまで、誰でもこのビジネス・サービスを実行できます。ポリシーが関連付けられた後は、実行権限を付与されたユーザー、または実行権限を拒否されたグループに属していないユーザーのみが、ビジネス・サービスにアクセス権を持ちます。

Webサービスのポリシーベース・セキュリティの構成

次の項で、Webサービスのポリシーベース・セキュリティの構成方法を説明します。

ユーザーの作成およびポリシーとの関連付け

ポリシーのインスタンスを作成する前に、インスタンスに関連付ける最低1人のユーザーまたは1つのグループが必要です。ユーザーおよびグループはアプリケーション・エクスプローラを使用して作成できます。

1. アプリケーション・エクスプローラを起動します。

2. SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Adapter for PeopleSoftの構成」を参照してください。

3. 「接続」を選択します。

   図9-1に示すように、「アダプタ」ノードおよび「ビジネス・サービス」ノード（Webサービスとも呼ばれる）が表示されます。

   図9-1 サンプル構成ノード

   
   「図9-1 サンプル構成ノード」の説明
   
   

   1. 「ビジネス・サービス」ノードを展開します。

   2. 「コンフィギュレーション」ノードを展開します。

   3. 「セキュリティ」ノードを展開します。

   4. 図9-2に示すように、「ユーザーとグループ」ノードを展開します。

      図9-2 「新規ユーザー」オプション

      
      「図9-2 「新規ユーザー」オプション」の説明
      
      

4. 「ユーザー」を右クリックし、「新規ユーザー」をクリックします。

   図9-3に示すように、「新規ユーザー」ダイアログが表示されます。

   図9-3 「新規ユーザー」ダイアログ

   
   「図9-3 「新規ユーザー」ダイアログ」の説明
   
   

   1. 「名前」フィールドにユーザーIDを入力します。

   2. 「パスワード」フィールドにそのユーザーIDと関連付けられたパスワードを入力します。

   3. 「説明」フィールドにユーザーの説明を入力します（オプション）。

5. 「OK」をクリックします。

   図9-4 「ユーザー」ノード

   
   「図9-4 「ユーザー」ノード」の説明
   
   

   図9-4に示すように、「ユーザー」ノードの下に新規ユーザーが追加されます。

ポリシーとともに使用するグループの作成

ポリシーとともに使用するグループを作成するには:

1. アプリケーション・エクスプローラを起動します。

2. SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Adapter for PeopleSoftの構成」を参照してください。

3. 「接続」を選択します。

   図9-5に示すように、「アダプタ」ノードおよび「ビジネス・サービス」ノード（Webサービスとも呼ばれる）が表示されます。

   図9-5 Webサービス

   
   「図9-5 Webサービス」の説明
   
   

   1. 「ビジネス・サービス」ノードを展開します。

   2. 「コンフィギュレーション」ノードを展開します。

   3. 「セキュリティ」ノードを展開します。

   4. 「ユーザーとグループ」 ノードを展開します。

      図9-6 「グループ」ノード

      
      「図9-6 「グループ」ノード」の説明
      
      

4. 図9-6に示すように、「グループ」 を右クリックし、「新規グループ」を選択します。

   図9-7に示すように、「新規グループ」ダイアログが表示されます。

   図9-7 「新規グループ」ダイアログ

   
   「図9-7 「新規グループ」ダイアログ」の説明
   
   

   1. 「名前」フィールドにグループの名前を入力します。

   2. 「説明」フィールドにグループの説明を入力します（オプション）。

   3. 左ペインの使用可能なユーザーのリストから、1人以上のユーザーを選択し、二重右矢印をクリックして「選択済」リストに追加します。

5. 最低1人のユーザーを選択し、「OK」をクリックします。

   図9-8に示すように、「グループ」ノードの下に新規グループが追加されます。

   図9-8 新規グループ

   
   「図9-8 新規グループ」の説明
   
   

実行ポリシーの作成

実行ポリシーは、このポリシーが適用されるビジネス・サービスの実行が可能なユーザーについて制御します。

実行ポリシーを作成するには:

1. アプリケーション・エクスプローラを起動します。

2. SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Adapter for PeopleSoftの構成」を参照してください。

3. 「接続」を選択します。

   図9-9に示すように、「アダプタ」ノードおよび「ビジネス・サービス」ノード（Webサービスとも呼ばれる）が表示されます。

   図9-9 Webサービス

   
   「図9-9 Webサービス」の説明
   
   

   1. 「ビジネス・サービス」ノードを展開します。

   2. 「コンフィギュレーション」ノードを展開します。

   3. 「セキュリティ」ノードを展開します。

   4. 「ポリシー」を展開します。

      図9-10 「ポリシー」ノード

      
      「図9-10 「ポリシー」ノード」の説明
      
      

4. 図9-10に示すように、「ポリシー」を右クリックし、「新規ポリシー」を選択します。

   図9-11に示すように、「新規ポリシー」ダイアログが表示されます。

   図9-11 「新規ポリシー」ダイアログ

   
   「図9-11 「新規ポリシー」ダイアログ」の説明
   
   

   次の情報を入力します。

   1. 「名前」フィールドにポリシーの名前を入力します。

   2. 「タイプ」リストから、実行を選択します。

   3. 「説明」フィールドにポリシーの説明を入力します（オプション）。

   4. 左ペインの使用可能なユーザーのリストから、1人以上のユーザーを選択し、二重右矢印をクリックして「選択済」リストに追加します。

      
      

      注意: このユーザーIDは、SOAPリクエストでBSEに送信されるSOAPヘッダーのユーザーID要素の値と照合されます。

      
      

5. 最低1人のユーザーを選択し、「OK」をクリックします。

6. 「次へ」をクリックします。

   図9-12に示すように、「新規ポリシー」権限ダイアログが表示されます。

   図9-12 「新規ポリシー」権限ダイアログ

   
   「図9-12 「新規ポリシー」権限ダイアログ」の説明
   
   

7. ユーザーまたはグループにビジネス・サービスの実行権限を付与するには、ユーザーまたはグループを選択し、二重左矢印を選択して、「付与されている実行権限」リストに移動します。

8. ユーザーまたはグループに対してビジネス・サービスの実行権限を拒否するには、ユーザーまたはグループを選択し、二重右矢印を選択して、「拒否された実行権限」リストに移動します。

9. 「OK」をクリックします。

   図9-13に示すように、次のペインに構成のサマリーが表示されます。

   図9-13 ポリシー権限のサマリー

   
   「図9-13 ポリシー権限のサマリー」の説明
   
   

IPとドメイン制限ポリシー・タイプの使用

IPとドメイン制限ポリシー・タイプを他のポリシー・タイプとは少し異なるように構成できます。IPとドメイン制限ポリシー・タイプは、BSEへの接続アクセスを制御するため、個別のWebサービスに適用する必要はありません。ポリシー作成の必要はありませんが、アプリケーション・エクスプローラで、「セキュリティ・ポリシー」オプションを有効にする必要があります。

1. アプリケーション・エクスプローラを起動します。

2. SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Adapter for PeopleSoftの構成」を参照してください。

3. 「接続」を選択します。

   図9-14に示すように、「アダプタ」ノードおよび「ビジネス・サービス」ノード（Webサービスとも呼ばれる）が表示されます。

   図9-14 Webサービス

   
   「図9-14 Webサービス」の説明
   
   

   次のステップを実行します:

   1. 「ビジネス・サービス」ノードを展開します。

   2. 「コンフィギュレーション」ノードを展開します。

   3. 「セキュリティ」ノードを展開します。

4. 図9-15に示すように、「IPとドメイン」を右クリックし、「新規IPとドメインの制限」を選択します。

   図9-15 「IPとドメイン」ノード

   
   「図9-15 「IPとドメイン」ノード」の説明
   
   

   図9-16に示すように、「新規IPとドメインの制限」ダイアログが表示されます。

   図9-16 「新規IPとドメインの制限」ダイアログ

   
   「図9-16 「新規IPとドメインの制限」ダイアログ」の説明
   
   

   次のステップを実行します:

   1. 「IP(マスク)/ドメイン」フィールドで、次のガイドラインに従ってIPまたはドメイン名を入力します。

      「タイプ」リストから、「単一」（コンピュータ）を選択した場合、そのコンピュータのIPアドレスを指定する必要があります。そのコンピュータのDNS名しかわからない場合は、DNS参照をクリックし、DNS名に基づいてIPアドレスを取得します。

      「グループ」（複数のコンピュータ）を選択した場合は、IP アドレス、およびそのコンピュータ・グループのサブネット・マスクを入力する必要があります。

      「ドメイン」を選択した場合は、ドメイン名を入力する必要があります。

   2. 「タイプ」 リストから制限のタイプを選択します。

   3. 「説明」フィールドに説明を入力します（オプション）。

   4. アクセスを付与するには、「アクセス権限の付与」チェック・ボックスを選択します。

5. 「OK」をクリックします。

   新規ドメインが「IPとドメイン」ノードの下に追加されます。

   図9-17に示すように、次のペインに構成のサマリーが表示されます。

   図9-17 IPとドメイン権限の構成

   
   「図9-17 IPとドメイン権限の構成」の説明
   
   

リポジトリの移行

Oracleリポジトリは、デザインタイム中のアプリケーション・エクスプローラを使用したアダプタ接続の構成、EISオブジェクトの参照、サービスの構成、およびEISイベントのリスニングのためのリスナー構成の際、作成されたメタデータの格納に使用されます。リポジトリ内の情報は実行時でも参照されます。Oracle用に構成されたBSEおよびJ2CAリポジトリは、管理目的で既存の構成に影響することなく移行できます。たとえば、テスト環境から本番環境にリポジトリを移行できます。

BSEリポジトリの移行

BSEリポジトリを移行するには:

1. 次の例のように、BSE制御サービスのURLをコピーします。

   http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs
   

2. XMLSPYなど、サード・パーティのXMLエディタを開きます。

3. メニュー・バーで、SOAPをクリックします。

   図9-18に示すように、オプションのリストが表示されます。

   図9-18 展開されたSOAPメニュー

   
   「図9-18 展開されたSOAPメニュー」の説明
   
   

4. 新規SOAPリクエストの作成を選択します。

   図9-19に示すように、WSDLファイルの場所の指定用ダイアログが表示されます。

   図9-19 WSDLファイルの場所の指定用ダイアログ

   
   「図9-19 WSDLファイルの場所指定用ダイアログ」の説明
   
   

   次のステップを実行します:

   1. ファイルの選択フィールドで、BSE制御サービスのURLを貼り付けます。

   2. 次の例のように、「?wsdl」をURLに追加します。

      http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs?wsdl
      

5. 「OK」をクリックします。

   図9-20に示すように、SOAP操作名の指定用ダイアログが開き、利用可能な制御メソッドのリストが表示されます。

   図9-20 SOAP操作名の指定用ダイアログ

   
   「図9-20 SOAP操作名の指定用ダイアログ」の説明
   
   

6. MIGRATEREPO (MIGRATEREPO パラメータ)制御メソッドを選択し、「OK」をクリックします。

   
   

   注意: MIGRATEREPO (MIGRATEREPO パラメータ)制御メソッドはBSE管理コンソールから利用可能です。このメソッドはすべてのWebサービスを新規（空）のリポジトリに移行します。Webサービスのみの移行を選択することもできます。

   
   

   図9-21に示すように、ウィンドウにSOAPエンベロープの構造が表示されます。

   図9-21 SOAPエンベロープの構造

   
   「図9-21 SOAPエンベロープの構造」の説明
   
   

7. 図9-22に示すように、ツールバーの「テキスト・ビュー」を見つけます。

   図9-22 「テキスト・ビュー」アイコン

   
   「図9-22 「テキスト・ビュー」アイコン」の説明
   
   

8. SOAPエンベロープの構造をテキストとして表示するには、「テキスト・ビュー」アイコンをクリックします。

   <SOAP-ENV:Header>タグは必要なく、SOAPエンベロープから削除できます。

9. 次のセクションを見つけます。

   <m:MIGRATEREPO xmlns:m="urn:schemas-iwaysoftware-com:jul2003:ibse:config" version="">
   <m:repositorysetting>
   <m:rname>oracle</m:rname>
   <m:rconn>String</m:rconn>
   <m:rdriver>String</m:rdriver>
   <m:ruser>String</m:ruser>
   <m:rpwd>String</m:rpwd>
   </m:repositorysetting>
   <m:servicename>String</m:servicename>
   </m:MIGRATEREPO>
   

   次のステップを実行します:

   1. <m:rconn>タグのStringプレースホルダを、既存のBSEリポジトリの移行先となるリポジトリのURLと置換します。

      OracleリポジトリのURLは次のようなフォーマットになります。

      jdbc:oracle:thin:@[host]:[port]:[sid]
      

   2. <m:rdriver>タグのStringプレースホルダをOracleドライバの場所と置換します。

   3. <m:ruser>タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なユーザー名と置換します。

   4. <m:rpwd>タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なパスワードと置換します。

10. 次のいずれかの移行オプションを実行します。

    • 現在のBSEリポジトリから単一のWebサービスを移行する場合は、次のようにそのWebサービス名を<m:servicename>タグに入力します。

      <m:servicename>PeopleSoftService1</m:servicename>
      

    • 現在のBSEリポジトリから複数のWebサービスを移行する場合は、次のように各Webサービスについて<m:servicename>タグを複製します。

      <m:servicename>PeopleSoftService1</m:servicename>
      <m:servicename>PeopleSoftService2</m:servicename>
      

    • 現在のBSEリポジトリからすべてのWebサービスを移行する場合は、<m:servicename>タグを削除します。

11. 図9-23に示すように、メニュー・バーでSOAPをクリックし、サーバーにリクエストを送信を選択します。

    図9-23 SOAPメニュー

    
    「図9-23 SOAPメニュー」の説明
    
    

    BSEリポジトリおよび指定したすべてのWebサービスが、指定した新規のOracleリポジトリのURLに移行されます。

J2CAリポジトリの移行

J2CAリポジトリを移行するには:

1. 次の例に示すように、リポジトリ・スキーマおよびその他の情報が格納されているJ2CA構成ディレクトリの場所にナビゲートします。

   <ADAPTER_HOME>\soa\thirdparty\ApplicationAdapters\config\JCA_CONFIG
   

   ここで、JCA_CONFIGは、J2CA構成の名前です。

2. repository.xmlファイルを見つけ、コピーします。

3. 既存のリポジトリを移行するため、このファイルを新規のJ2CA構成ディレクトリに置きます。

   J2CAリポジトリは、この新規のJ2CA構成ディレクトリに移行されます。