Oracle® Fusion Middleware Oracle WebLogic Server Application Adapter for Siebelユーザーズ・ガイド 11g リリース1(11.1.1.3.0) B61417-01 |
|
前 |
次 |
この章では上級ユーザー用ツールについて説明します。次のトピックが含まれています。
アプリケーション・エクスプローラには、Webサービスのポリシーベース・セキュリティと呼ばれるセキュリティ・モデルが備わっています。次の項では、この機能の概要および構成方法について説明します。
Webサービスは、バックエンド・ビジネス・ロジックとWebサービスで実行中のアプリケーションまたはユーザー間の抽象レイヤーを提供します。これにより、アプリケーションの統合が簡単にできます。しかし、Webサービスとして実行されている重要機密ビジネス・ロジックの使用および実装の制御が問題となっています。
アプリケーション・エクスプローラは、ポリシーベース・セキュリティという機能によって、アダプタを使用するWebサービスの使用を制御します。この機能は、管理者がポリシーをビジネス・サービス(Webサービス)に適用し、実行を許可または拒否できるようにします。
ポリシーとは、既存または新規のビジネス・サービス(iBS)に適用可能なiBSの実行に関する一連の権限です。ポリシー内の特定の権限を設定する場合に、他のビジネス・サービスと共通のセキュリティの問題を持つ、すべてのiBSについて権限を再作成する必要はありません。かわりに、複数のビジネス・サービスに対して1つのポリシーを再利用します。
この機能の目的は、トランスポートと伝送路で転送されるSOAPリクエスト・レベルの両方でリクエストを保護することです。一部のポリシーは、セキュリティの問題を直接には扱いませんが、適用先のWebサービスの実行時の動作に影響します。
iBS管理者は、あるポリシー・タイプのインスタンスを作成し、名前を指定し、各ユーザーまたはグループ(ユーザーの集まり)と関連付け、このポリシーを1つ以上のビジネス・サービスに適用します。
ポリシーは、iBSまたはiBS内のメソッドに割当てられます。ポリシーがメソッドにのみ割り当てられた場合、そのiBS内の他のメソッドはこのポリシーによって管理されません。ただし、ポリシーがiBSに適用された場合は、すべてのメソッドがこのポリシーによって管理されます。実行時には、BSEに送信されたSOAPリクエスト・メッセージ内のユーザーIDおよびパスワードが、特定のiBSに適用されたすべてのポリシーのユーザー・リストに対してチェックされます。サポートされているポリシー・タイプはリソースの実行で、iBSの実行が可能なユーザーと不可能なユーザーを指定します。
ポリシーが適用されない場合、iBSのデフォルト値は「すべて付与」です。たとえば、リソースの実行ポリシーがiBSに関連付けられるまで、誰でもこのiBSを実行できます。その場合、実行権限を付与されたユーザー、または実行権限を拒否されたグループに属していないユーザーのみが、iBSへのアクセス権を持ちます。
次の項で、Webサービスのポリシーベース・セキュリティの構成方法を説明します。
ユーザーの作成およびポリシーとの関連付け
ポリシーのインスタンスを作成する前に、インスタンスに関連付ける最低1人のユーザーまたは1つのグループが必要です。ユーザーおよびグループはアプリケーション・エクスプローラを使用して作成できます。
アプリケーション・エクスプローラを起動します。
SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Server Adapter for Siebelの構成」を参照してください。
「接続」を選択します。
図9-1に示すように、「アダプタ」および「ビジネス・サービス」(Webサービスとも呼ばれる)のノードが表示されます。
次のステップを実行します:
図9-2に示すように、「ユーザー」を右クリックし、「新規ユーザー」をクリックします。
図9-3に示すように、「新規ユーザー」ダイアログが表示されます。
次のステップを実行します:
「OK」をクリックします。
図9-4に示すように、「ユーザー」ノードの下に新規ユーザーが追加されます。
ポリシーとともに使用するグループの作成
アプリケーション・エクスプローラを起動します。
SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Server Adapter for Siebelの構成」を参照してください。
「接続」を選択します。
図9-5に示すように、「アダプタ」および「ビジネス・サービス」(Webサービスとも呼ばれる)のノードが表示されます。
次のステップを実行します:
図9-6に示すように、「グループ」を右クリックし、「新規グループ」を選択します。
図9-7に示すように、「新規グループ」ダイアログ・ボックスが表示されます。
次のステップを実行します:
最低1人のユーザーを選択し、「OK」をクリックします。
図9-8に示すように、「グループ」ノードの下に新規グループが追加されます。
実行ポリシーの作成
実行ポリシーは、このポリシーが適用されるビジネス・サービスの実行が可能なユーザーについて制御します。
実行ポリシーを作成するには:
アプリケーション・エクスプローラを起動します。
SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Server Adapter for Siebelの構成」を参照してください。
「接続」を選択します。
図9-9に示すように、「アダプタ」および「ビジネス・サービス」(Webサービスとも呼ばれる)のノードが表示されます。
次のステップを実行します:
図9-10に示すように、「ポリシー」を右クリックし、「新規ポリシー」を選択します。
図9-11に示すように、「新規ポリシー」ダイアログ・ボックスが表示されます。
次のステップを実行します:
最低1人のユーザーを選択し、「OK」をクリックします。
「次へ」をクリックします。
最低1人のユーザーを選択し、「OK」をクリックします。
「次へ」をクリックします。
図9-12に示すように、「新規ポリシー」権限ダイアログ・ボックスが表示されます。
「OK」をクリックします。
図9-13に示すように、次のペインに構成のサマリーが表示されます。
IPとドメイン制限ポリシー・タイプの使用
IPとドメイン制限ポリシー・タイプの構成は、他のポリシー・タイプとは少し異なります。IPとドメイン制限ポリシー・タイプは、BSEへの接続アクセスを制御するため、個別のWebサービスに適用する必要はありません。ポリシー作成の必要はありませんが、アプリケーション・エクスプローラでセキュリティ・ポリシー・オプションを有効にする必要があります。
アプリケーション・エクスプローラを起動します。
SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Server Adapter for Siebelの構成」を参照してください。
「接続」を選択します。
図9-14に示すように、「アダプタ」および「ビジネス・サービス」(Webサービスとも呼ばれる)のノードが表示されます。
次のステップを実行します:
図9-15に示すように、「IPとドメイン」を右クリックし、「新規IPとドメインの制限」を選択します。
図9-16に示すように、「新規IPとドメインの制限」ダイアログ・ボックスが表示されます。
次のステップを実行します:
「IP(マスク)/ドメイン」フィールドで、次のガイドラインに従ってIPまたはドメイン名を入力します。
「タイプ」リストから、「単一」(コンピュータ)を選択した場合、そのコンピュータのIPアドレスを指定する必要があります。そのコンピュータのDNS名しかわからない場合は、DNS参照をクリックし、DNS名に基づいてIPアドレスを取得します。
「グループ」(複数のコンピュータ)を選択した場合は、IP アドレス、およびそのコンピュータ・グループのサブネット・マスクを入力する必要があります。
「ドメイン」を選択した場合は、ドメイン名を入力する必要があります。
「タイプ」 リストから制限のタイプを選択します。
「説明」フィールドに説明を入力します(オプション)。
アクセスを付与するには、「アクセス権限の付与」チェック・ボックスを選択します。
「OK」をクリックします。
新規ドメインが「IPとドメイン」ノードの下に追加されます。
図9-17に示すように、次のペインに構成のサマリーが表示されます。
設計時、Oracleリポジトリは、アプリケーション・エクスプローラを使用したアダプタ接続の構成、EISオブジェクトの参照、サービスの構成、およびEISイベントのリスニングのためのリスナー構成の際、作成されたメタデータの格納に使用されます。リポジトリ内の情報は実行時にも参照されます。Oracle用に構成されたBSEおよびJ2CAリポジトリは、管理目的で既存の構成に影響することなく移行できます。たとえば、テスト環境から本番環境にリポジトリを移行できます。
BSEリポジトリの移行
次の例のように、BSE制御サービスのURLをコピーします。
http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs
XMLSPYなど、サード・パーティのXMLエディタを開きます。
メニュー・バーで、SOAPをクリックします。
図9-18に示すように、オプションのリストが表示されます。
図9-19に示すように、WSDLファイルの場所の指定用ダイアログ・ボックスが表示されます。
次のステップを実行します:
ファイルの選択フィールドで、BSE制御サービスのURLを貼り付けます。
次の例のように、「?wsdl」をURLに追加します。
http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs?wsdl
「OK」をクリックします。
図9-20に示すように、SOAP操作名のダイアログ・ボックスに、利用可能な制御メソッドが表示されます。
MIGRATEREPO (MIGRATEREPOパラメータ)制御メソッドを選択し、「OK」をクリックします。
注意: MIGRATEREPO(MIGRATEREPOパラメータ)制御メソッドはBSE管理コンソールから利用可能です。このメソッドはすべてのWebサービスを新規(空)のリポジトリに移行します。選択したWebサービスのみを移行するよう選択することもできます。 |
図9-21に示すように、ウィンドウが表示され、SOAPエンベロープの構造が表示されます。
図9-22に示すように、ツールバーの「テキスト・ビュー」を見つけます。
SOAPエンベロープの構造をテキストとして表示するには、「テキスト・ビュー」アイコンをクリックします。
<SOAP-ENV:Header>
タグは必要なく、SOAPエンベロープから削除できます。
次のセクションを見つけます。
<m:MIGRATEREPO xmlns:m="urn:schemas-iwaysoftware-com:jul2003:ibse:config" version=""> <m:repositorysetting> <m:rname>oracle</m:rname> <m:rconn>String</m:rconn> <m:rdriver>String</m:rdriver> <m:ruser>String</m:ruser> <m:rpwd>String</m:rpwd> </m:repositorysetting> <m:servicename>String</m:servicename> </m:MIGRATEREPO>
次のステップを実行します:
<m:rconn>
タグのStringプレースホルダを、既存のBSEリポジトリの移行先となるリポジトリのURLと置換します。
OracleリポジトリのURLは次のようなフォーマットになります。
jdbc:oracle:thin:@[host]:[port]:[sid]
<m:rdriver>
タグのStringプレースホルダをOracleドライバの場所と置換します。
<m:ruser>
タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なユーザー名と置換します。
<m:rpwd>
タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なパスワードと置換します。
次のいずれかの移行オプションを実行します。
現在のBSEリポジトリから単一のWebサービスを移行する場合は、次のようにそのWebサービス名を<m:servicename>
タグに入力します。
<m:servicename>SiebelService1</m:servicename>
現在のBSEリポジトリから複数のWebサービスを移行する場合は、次のように各Webサービスについて<m:servicename>
タグを複製します。
<m:servicename>SiebelService1</m:servicename> <m:servicename>SiebelService2</m:servicename>
現在のBSEリポジトリからすべてのWebサービスを移行する場合は、<m:servicename>
タグを削除します。
図9-23に示すように、メニュー・バーでSOAPをクリックし、サーバーにリクエストを送信を選択します。
BSEリポジトリおよび選択したすべてのWebサービスが、指定した新規のOracleリポジトリのURLに移行されます。
J2CAリポジトリの移行