Oracle Fusion Middleware Oracle WebLogic Server Application Adapter for SAP R/3ユーザーズ・ガイド 11g リリース1(11.1.1.3.0) B61418-01 |
|
前 |
次 |
この章の内容は以下のとおりです。
アプリケーション・エクスプローラには、Webサービスのポリシーベース・セキュリティと呼ばれるセキュリティ・モデルが備わっています。次のトピックでは、この機能の概要および構成方法について説明します。
Webサービスは、バックエンド・ビジネス・ロジックとWebサービスで実行中のアプリケーションまたはユーザー間の抽象レイヤーを提供します。これにより、アプリケーションを簡単に統合することができます。しかし、Webサービスとして実行されている重要機密ビジネス・ロジックの使用および実装の制御が問題となります。
アプリケーション・エクスプローラは、ポリシーベース・セキュリティという機能によって、アダプタを使用するWebサービスの使用を制御します。この機能は、管理者が「ポリシー」をビジネス・サービス(Webサービス)に適用し、実行を許可または拒否できるようにします。
ポリシーとは、既存または新規のビジネス・サービス(BS)に適用可能なビジネス・サービスの実行に関する一連の権限です。ポリシー内の特定の権限を設定する場合に、他のビジネス・サービスと共通のセキュリティの問題を持つ、すべてのビジネス・サービスについて権限を再作成する必要はありません。かわりに、複数のビジネス・サービスに対して1つのポリシーを再利用します。
この機能の目的は、トランスポートと伝送路でトランスポートされるSOAPリクエスト・レベルの両方のリクエストを保護することです。一部のポリシーは、セキュリティの問題を直接には扱いませんが、適用先のWebサービスのランタイム動作に影響します。
ビジネス・サービス管理者は、ポリシー・タイプのインスタンスを作成して名前を指定し、各ユーザーまたはグループ(ユーザーの集まり)と関連付け、このポリシーを1つ以上のビジネス・サービスに適用します。
ポリシーは、ビジネス・サービスまたはビジネス・サービス内のメソッドに割当てできます。ポリシーがメソッドにのみ割り当てられた場合、そのビジネス・サービス内の他のメソッドはこのポリシーによって管理されません。ただし、ポリシーがビジネス・サービスに適用された場合は、すべてのメソッドがこのポリシーによって管理されます。実行時には、BSEに送信されたSOAPリクエスト・メッセージ内のユーザーIDおよびパスワードが、特定のビジネス・サービスに適用されたすべてのポリシーのユーザー・リストに対して確認されます。サポートされているポリシー・タイプはリソースの実行で、ビジネス・サービスの実行が可能なユーザーと不可能なユーザーを指定します。
ポリシーが適用されない場合、ビジネス・サービスのデフォルト値はすべての権限を付与するように設定されます。たとえば、リソースの実行ポリシーがビジネス・サービスに関連付けられるまで、誰でもこのビジネス・サービスを実行できます。ポリシーが関連付けられた後は、実行権限を付与されたユーザー、または実行権限を拒否されたグループに属していないユーザーのみが、ビジネス・サービスへのアクセス権を持ちます。
次の項で、Webサービスのポリシーベース・セキュリティの構成方法を説明します。
ユーザーの作成およびポリシーとの関連付け
ポリシーのインスタンスを作成する前に、インスタンスに関連付ける最低1人のユーザーまたは1つのグループが必要です。ユーザーおよびグループはアプリケーション・エクスプローラを使用して作成できます。
アプリケーション・エクスプローラを開きます。
図10-1に示すように、接続する構成(たとえばSampleConfig
)を右クリックします。新しい構成の作成の詳細は、第3章「Oracle Application Adapter for SAP R/3の構成」を参照してください。
「接続」を選択します。
「アダプタ」ノードと「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。
次のステップを実行します:
「コンフィギュレーション」ノードを展開します。
図10-2に示すように、「ユーザーとグループ」ノードを展開します。
「ユーザー」を右クリックし、「新規ユーザー」をクリックします。
図10-3に示すように、「新規ユーザー」ダイアログが表示されます。
次の情報を入力します。
「OK」をクリックします。
図10-4に示すように、「ユーザー」ノードの下に新規ユーザーが追加されます。
ポリシーとともに使用するグループの作成
アプリケーション・エクスプローラを開きます。
たとえば「myConfig」など、接続する構成を右クリックします。新しい構成の作成については、第3章「Oracle Application Adapter for SAP R/3の構成」を参照してください。
「接続」を選択します。
図10-5に示すように、「アダプタ」ノードと「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。
次のステップを実行します:
図10-6に示すように、「グループ」を右クリックし、「新規グループ」を選択します。
図10-7に示すように、「新規グループ」ダイアログが表示されます。
次の情報を入力します。
最低1人のユーザーを選択し、「OK」をクリックします。
実行ポリシーの作成
実行ポリシーは、このポリシーが適用されるビジネス・サービスの実行が可能なユーザーについて制御します。
実行ポリシーを作成するには:
アプリケーション・エクスプローラを開きます。
たとえば「myConfig」など、接続する構成を右クリックします。新しい構成の作成については、第3章「Oracle Application Adapter for SAP R/3の構成」を参照してください。
「接続」を選択します。
図10-8に示すように、「アダプタ」ノードと「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。
次のステップを実行します:
図10-9に示すように、「ポリシー」を右クリックし、「新規ポリシー」を選択します。
図10-10に示すように、「新規ポリシー」ダイアログが表示されます。
最低1人のユーザーを選択し、「OK」をクリックします。
「次へ」をクリックします。
図10-11に示すように、「新規ポリシー」権限ダイアログが表示されます。
「OK」をクリックします。
図10-12に示すように、構成のサマリーが表示されます。
IPとドメイン制限ポリシー・タイプの使用
IPとドメイン制限ポリシー・タイプを他のポリシー・タイプとは少し異なるように構成できます。IPとドメイン制限ポリシー・タイプは、BSEへの接続アクセスを制御するため、個別のWebサービスに適用する必要はありません。ポリシー作成の必要はありませんが、アプリケーション・エクスプローラで、「セキュリティ・ポリシー」オプションを有効にする必要があります。
アプリケーション・エクスプローラを開きます。
たとえば「myConfig」など、接続する構成を右クリックします。新しい構成の作成については、第3章「Oracle Application Adapter for SAP R/3の構成」を参照してください。
「接続」を選択します。
「アダプタ」ノードと「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。
図10-13に示すように、「IPとドメイン」を右クリックし、「新規IPとドメインの制限」を選択します。
図10-14に示すように、「新規IPとドメインの制限」ダイアログが表示されます。
次の情報を入力します。
「IP(マスク)/ドメイン」フィールドで、次のガイドラインに従ってIPまたはドメイン名を入力します。
「タイプ」リストから「単一」(コンピュータ)を選択した場合は、そのコンピュータのIPアドレスを入力しなければなりません。コンピュータのDNS名しか分からない場合はDNS参照をクリックし、DNS名に基づいてIPアドレスを取得します。
「グループ」(複数のコンピュータ)を選択した場合は、IP アドレス、およびそのコンピュータ・グループのサブネット・マスクを入力する必要があります。
「ドメイン」を選択した場合は、ドメイン名を入力する必要があります。
「タイプ」リストから制限のタイプを選択します。
「説明」フィールドに説明を入力します(オプション)。
アクセス権限を付与するには、「「アクセス権限の付与」」オプションを選択します。
「OK」をクリックします。
新規ドメインが「IPとドメイン」ノードの下に追加されます。
図10-15に示すように、構成のサマリーが表示されます。
Oracleリポジトリは、デザインタイム中のアプリケーション・エクスプローラを使用したアダプタ接続の構成、EISオブジェクトの参照、サービスの構成、およびEISイベントのリスニングのためのリスナー構成の際、作成されたメタデータの格納に使用されます。リポジトリ内の情報は実行時でも参照されます。Oracle用に構成されたBSEおよびJ2CAリポジトリは、管理目的で既存の構成に影響することなく移行できます。たとえば、テスト環境から本番環境にリポジトリを移行できます。
BSEリポジトリの移行
次の例のように、BSE制御サービスのURLをコピーします。
http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs
XMLSPYなどのサード・パーティXMLエディタを開きます。
メニュー・バーで、SOAPをクリックします。
図10-16に示すように、オプションのリストが表示されます。
図10-14に示すように、WSDLファイルの場所の指定用ダイアログが表示されます。
次のステップを実行します:
ファイルの選択フィールドで、BSE制御サービスのURLを貼り付けます。
次の例のように、 「?wsdl」 をURLに追加します。
http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs?wsdl
「OK」をクリックします。
図10-18に示すように、SOAP操作名指定用のダイアログが開き、利用可能な制御メソッドのリストが表示されます。
MIGRATEREPO (MIGRATEREPO パラメータ)制御メソッドを選択して、「OK」をクリックします。
注意: MIGRATEREPO (MIGRATEREPO パラメータ)制御メソッドはBSE管理コンソールから利用できます。このメソッドはすべてのWebサービスを新規(空)のリポジトリに移行します。Webサービスのみの移行を選択することもできます。 |
図10-19に示すように、SOAPエンベロープの構造が表示されます。
図10-20に示すように、ツールバーの「テキスト・ビュー」アイコンを見つけます。
SOAPエンベロープの構造をテキストとして表示するには、「テキスト・ビュー」をクリックします。
<SOAP-ENV:Header>
タグは必要ありません。SOAPエンベロープから削除できます。
次のセクションを見つけます。
<m:MIGRATEREPO xmlns:m="urn:schemas-iwaysoftware-com:jul2003:ibse:config" version=""> <m:repositorysetting> <m:rname>oracle</m:rname> <m:rconn>String</m:rconn> <m:rdriver>String</m:rdriver> <m:ruser>String</m:ruser> <m:rpwd>String</m:rpwd> </m:repositorysetting> <m:servicename>String</m:servicename> </m:MIGRATEREPO>
次のステップを実行します:
<m:rconn>
タグのStringプレースホルダを、既存のBSEリポジトリの移行先となるリポジトリのURLと置換します。
OracleリポジトリのURLは次のようなフォーマットになります。
jdbc:oracle:thin:@[host]:[port]:[sid]
<m:rdriver>
タグのStringプレースホルダをOracleドライバの場所と置換します。
<m:ruser>
タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なユーザー名と置換します。
<m:rpwd>
タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なパスワードと置換します。
移行オプションを選択して実行します。
現在のBSEリポジトリから単一のWebサービスを移行する場合は、次のようにそのWebサービス名を<m:servicename>
タグに入力します。
<m:servicename>SAPService1</m:servicename>
現在のBSEリポジトリから複数のWebサービスを移行する場合は、次のように各Webサービスについて<m:servicename>
タグを複製します。
<m:servicename>SAPService1</m:servicename> <m:servicename>SAPService2</m:servicename>
現在のBSEリポジトリからすべてのWebサービスを移行する場合は、<m:servicename>
タグを削除します。
図10-21に示すように、メニュー・バーでSOAPをクリックし、サーバーにリクエストを送信を選択します。
BSEリポジトリおよび指定したすべてのWebサービスが、指定した新規のOracleリポジトリのURLに移行されます。
J2CAリポジトリの移行