ヘッダーをスキップ
Oracle Fusion Middleware Oracle WebLogic Server Application Adapter for SAP R/3ユーザーズ・ガイド
11g リリース1(11.1.1.3.0)
B61418-01
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

10 上級ユーザー用ツール

この章の内容は以下のとおりです。

Webサービスのポリシー・ベースのセキュリティ

アプリケーション・エクスプローラには、Webサービスのポリシーベース・セキュリティと呼ばれるセキュリティ・モデルが備わっています。次のトピックでは、この機能の概要および構成方法について説明します。

Webサービスは、バックエンド・ビジネス・ロジックとWebサービスで実行中のアプリケーションまたはユーザー間の抽象レイヤーを提供します。これにより、アプリケーションを簡単に統合することができます。しかし、Webサービスとして実行されている重要機密ビジネス・ロジックの使用および実装の制御が問題となります。

アプリケーション・エクスプローラは、ポリシーベース・セキュリティという機能によって、アダプタを使用するWebサービスの使用を制御します。この機能は、管理者が「ポリシー」をビジネス・サービス(Webサービス)に適用し、実行を許可または拒否できるようにします。

ポリシーとは、既存または新規のビジネス・サービス(BS)に適用可能なビジネス・サービスの実行に関する一連の権限です。ポリシー内の特定の権限を設定する場合に、他のビジネス・サービスと共通のセキュリティの問題を持つ、すべてのビジネス・サービスについて権限を再作成する必要はありません。かわりに、複数のビジネス・サービスに対して1つのポリシーを再利用します。

この機能の目的は、トランスポートと伝送路でトランスポートされるSOAPリクエスト・レベルの両方のリクエストを保護することです。一部のポリシーは、セキュリティの問題を直接には扱いませんが、適用先のWebサービスのランタイム動作に影響します。

ビジネス・サービス管理者は、ポリシー・タイプのインスタンスを作成して名前を指定し、各ユーザーまたはグループ(ユーザーの集まり)と関連付け、このポリシーを1つ以上のビジネス・サービスに適用します。

ポリシーは、ビジネス・サービスまたはビジネス・サービス内のメソッドに割当てできます。ポリシーがメソッドにのみ割り当てられた場合、そのビジネス・サービス内の他のメソッドはこのポリシーによって管理されません。ただし、ポリシーがビジネス・サービスに適用された場合は、すべてのメソッドがこのポリシーによって管理されます。実行時には、BSEに送信されたSOAPリクエスト・メッセージ内のユーザーIDおよびパスワードが、特定のビジネス・サービスに適用されたすべてのポリシーのユーザー・リストに対して確認されます。サポートされているポリシー・タイプはリソースの実行で、ビジネス・サービスの実行が可能なユーザーと不可能なユーザーを指定します。

ポリシーが適用されない場合、ビジネス・サービスのデフォルト値はすべての権限を付与するように設定されます。たとえば、リソースの実行ポリシーがビジネス・サービスに関連付けられるまで、誰でもこのビジネス・サービスを実行できます。ポリシーが関連付けられた後は、実行権限を付与されたユーザー、または実行権限を拒否されたグループに属していないユーザーのみが、ビジネス・サービスへのアクセス権を持ちます。

Webサービスのポリシーベース・セキュリティの構成

次の項で、Webサービスのポリシーベース・セキュリティの構成方法を説明します。

ユーザーの作成およびポリシーとの関連付け

ポリシーのインスタンスを作成する前に、インスタンスに関連付ける最低1人のユーザーまたは1つのグループが必要です。ユーザーおよびグループはアプリケーション・エクスプローラを使用して作成できます。

  1. アプリケーション・エクスプローラを開きます。

  2. 図10-1に示すように、接続する構成(たとえばSampleConfig)を右クリックします。新しい構成の作成の詳細は、第3章「Oracle Application Adapter for SAP R/3の構成」を参照してください。

  3. 「接続」を選択します。

    「アダプタ」ノードと「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。

    図10-1 「SampleConfig」ノード

    「アダプタ」、「イベント」、および「ビジネス・サービス」ノード
    「図10-1 「SampleConfig」ノード」の説明

    次のステップを実行します:

    1. 「ビジネス・サービス」ノードを展開します。

    2. 「コンフィギュレーション」ノードを展開します。

    3. 「セキュリティ」ノードを展開します。

    4. 図10-2に示すように、「ユーザーとグループ」ノードを展開します。

      図10-2 「ユーザーとグループ」ノード

      新規ユーザー・オプション
      「図10-2 「ユーザーとグループ」ノード」の説明

  4. 「ユーザー」を右クリックし、「新規ユーザー」をクリックします。

    図10-3に示すように、「新規ユーザー」ダイアログが表示されます。

    図10-3 「新規ユーザー」ダイアログ

    「新規ユーザー」ダイアログ・ボックス
    「図10-3 「新規ユーザー」ダイアログ」の説明

    次の情報を入力します。

    1. 「名前」フィールドにユーザーIDを入力します。

    2. 「パスワード」フィールドにそのユーザーIDと関連付けられたパスワードを入力します。

    3. 「説明」フィールドにユーザーの説明を入力します(オプション)。

  5. 「OK」をクリックします。

    図10-4 「ユーザー」ノード

    追加された新規ユーザー
    「図10-4 「ユーザー」ノード」の説明

図10-4に示すように、「ユーザー」ノードの下に新規ユーザーが追加されます。

ポリシーとともに使用するグループの作成

ポリシーとともに使用するグループを作成するには:

  1. アプリケーション・エクスプローラを開きます。

  2. たとえば「myConfig」など、接続する構成を右クリックします。新しい構成の作成については、第3章「Oracle Application Adapter for SAP R/3の構成」を参照してください。

  3. 「接続」を選択します。

    図10-5に示すように、「アダプタ」ノードと「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。

    図10-5 「アダプタ」と「ビジネス・サービス」

    「アダプタ」、「イベント」、および「ビジネス・サービス」ノード
    「図10-5 「アダプタ」と「ビジネス・サービス」」の説明

    次のステップを実行します:

    1. 「ビジネス・サービス」ノードを展開します。

    2. 「コンフィギュレーション」ノードを展開します。

    3. 「セキュリティ」ノードを展開します。

    4. 「ユーザーとグループ」ノードを展開します。

  4. 図10-6に示すように、「グループ」を右クリックし、「新規グループ」を選択します。

    図10-6 「新規グループ」オプション

    選択された「新規グループ」
    「図10-6 「新規グループ」オプション」の説明

    図10-7に示すように、「新規グループ」ダイアログが表示されます。

    図10-7 「新規グループ」ダイアログ

    「新規グループ」ダイアログ・ボックス
    「図10-7 「新規グループ」ダイアログ」の説明

    次の情報を入力します。

    1. 「名前」フィールドにグループの新しい名前を入力します。

    2. 「説明」フィールドにそのグループの説明を入力します(オプション)。

    3. 左ペインの使用可能なユーザーのリストから1人以上のユーザーを選択し、二重右矢印をクリックして 「選択済」 リストに追加します。

  5. 最低1人のユーザーを選択し、「OK」をクリックします。

    「グループ」ノードの下に新しいグループが追加されます。

実行ポリシーの作成

実行ポリシーは、このポリシーが適用されるビジネス・サービスの実行が可能なユーザーについて制御します。

実行ポリシーを作成するには:

  1. アプリケーション・エクスプローラを開きます。

  2. たとえば「myConfig」など、接続する構成を右クリックします。新しい構成の作成については、第3章「Oracle Application Adapter for SAP R/3の構成」を参照してください。

  3. 「接続」を選択します。

    図10-8に示すように、「アダプタ」ノードと「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。

    図10-8 「アダプタ」ノードと「ビジネス・サービス」ノード

    「アダプタ」、「イベント」、および「ビジネス・サービス」ノード
    「図10-8 「アダプタ」ノードと「ビジネス・サービス」ノード」の説明

    次のステップを実行します:

    1. 「ビジネス・サービス」 ノードを展開します。

    2. 「コンフィギュレーション」ノードを展開します。

    3. 「セキュリティ」ノードを展開します。

    4. 「ポリシー」ノードを展開します。

  4. 図10-9に示すように、「ポリシー」を右クリックし、「新規ポリシー」を選択します。

    図10-9 「新規ポリシー」オプション

    選択された「新規ポリシー」
    「図10-9 「新規ポリシー」オプション」の説明

    図10-10に示すように、「新規ポリシー」ダイアログが表示されます。

    図10-10 「新規ポリシー」ダイアログ

    「新規ポリシー」ダイアログ・ボックス
    「図10-10 「新規ポリシー」ダイアログ」の説明

    次の情報を入力します。

    1. 「名前」フィールドにポリシー名を入力します。

    2. 「タイプ」リストから、実行を選択します。

    3. 「説明」フィールドにそのポリシーの説明を入力します(オプション)。

    4. 左ペインの使用可能なユーザーのリストから、1人以上のユーザーを選択し、二重右矢印をクリックして 「選択済」 リストに追加します。


      注意:

      このユーザーIDは、SOAPリクエストでBSEに送信されるSOAPヘッダーのユーザーID要素の値と照合されます。

  5. 最低1人のユーザーを選択し、「OK」をクリックします。

  6. 「次へ」をクリックします。

    図10-11に示すように、「新規ポリシー」権限ダイアログが表示されます。

    図10-11 「新規ポリシー」権限ダイアログ

    「新規ポリシー」ダイアログ・ボックス
    「図10-11 「新規ポリシー」権限ダイアログ」の説明

    • ユーザーまたはグループにビジネス・サービスの実行権限を付与するには、ユーザーまたはグループを選択して二重左矢印を選択し、「付与されている実行権限」リストに移動します。

    • ユーザーまたはグループに対してビジネス・サービスの実行権限を拒否するには、ユーザーまたはグループを選択して二重右矢印を選択し、「拒否された実行権限」リストに移動します。

  7. 「OK」をクリックします。

    図10-12に示すように、構成のサマリーが表示されます。

    図10-12 ポリシー構成のサマリー

    ポリシー・サマリー
    「図10-12 ポリシー構成のサマリー」の説明

IPとドメイン制限ポリシー・タイプの使用

IPとドメイン制限ポリシー・タイプを他のポリシー・タイプとは少し異なるように構成できます。IPとドメイン制限ポリシー・タイプは、BSEへの接続アクセスを制御するため、個別のWebサービスに適用する必要はありません。ポリシー作成の必要はありませんが、アプリケーション・エクスプローラで、「セキュリティ・ポリシー」オプションを有効にする必要があります。

  1. アプリケーション・エクスプローラを開きます。

  2. たとえば「myConfig」など、接続する構成を右クリックします。新しい構成の作成については、第3章「Oracle Application Adapter for SAP R/3の構成」を参照してください。

  3. 「接続」を選択します。

    「アダプタ」ノードと「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。

    1. 「ビジネス・サービス」ノードを展開します。

    2. 「コンフィギュレーション」ノードを展開します。

    3. 「セキュリティ」ノードを展開します。

  4. 図10-13に示すように、「IPとドメイン」を右クリックし、「新規IPとドメインの制限」を選択します。

    図10-13 「新規IPとドメインの制限」

    選択したIPとドメイン
    「図10-13 「新規IPとドメインの制限」」の説明

    図10-14に示すように、「新規IPとドメインの制限」ダイアログが表示されます。

    図10-14 「新規IPとドメインの制限」ダイアログ

    「新規IPとドメインの制限」ダイアログ・ボックス
    「図10-14 「新規IPとドメインの制限」ダイアログ」の説明

    次の情報を入力します。

    1. 「IP(マスク)/ドメイン」フィールドで、次のガイドラインに従ってIPまたはドメイン名を入力します。

      「タイプ」リストから「単一」(コンピュータ)を選択した場合は、そのコンピュータのIPアドレスを入力しなければなりません。コンピュータのDNS名しか分からない場合はDNS参照をクリックし、DNS名に基づいてIPアドレスを取得します。

      「グループ」(複数のコンピュータ)を選択した場合は、IP アドレス、およびそのコンピュータ・グループのサブネット・マスクを入力する必要があります。

      「ドメイン」を選択した場合は、ドメイン名を入力する必要があります。

    2. 「タイプ」リストから制限のタイプを選択します。

    3. 「説明」フィールドに説明を入力します(オプション)。

    4. アクセス権限を付与するには、「「アクセス権限の付与」」オプションを選択します。

  5. 「OK」をクリックします。

    新規ドメインが「IPとドメイン」ノードの下に追加されます。

    図10-15に示すように、構成のサマリーが表示されます。

    図10-15 構成のサマリー

    IPとドメインの制限のサマリー
    「図10-15 構成のサマリー」の説明

リポジトリの移行

Oracleリポジトリは、デザインタイム中のアプリケーション・エクスプローラを使用したアダプタ接続の構成、EISオブジェクトの参照、サービスの構成、およびEISイベントのリスニングのためのリスナー構成の際、作成されたメタデータの格納に使用されます。リポジトリ内の情報は実行時でも参照されます。Oracle用に構成されたBSEおよびJ2CAリポジトリは、管理目的で既存の構成に影響することなく移行できます。たとえば、テスト環境から本番環境にリポジトリを移行できます。

BSEリポジトリの移行

BSEリポジトリを移行するには:

  1. 次の例のように、BSE制御サービスのURLをコピーします。

    http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs
    
  2. XMLSPYなどのサード・パーティXMLエディタを開きます。

  3. メニュー・バーで、SOAPをクリックします。

    図10-16に示すように、オプションのリストが表示されます。

    図10-16 SOAPメニュー

    新規SOAPリクエストの作成
    「図10-16 SOAPメニュー」の説明

  4. 新規SOAPリクエストの作成を選択します。

    図10-14に示すように、WSDLファイルの場所の指定用ダイアログが表示されます。

    図10-17 WSDLファイルの場所の指定用ダイアログ

    WSDLファイルの場所の指定用ダイアログ・ボックス
    「図10-17 WSDLファイルの場所指定用ダイアログ」の説明

    次のステップを実行します:

    1. ファイルの選択フィールドで、BSE制御サービスのURLを貼り付けます。

    2. 次の例のように、 「?wsdl」 をURLに追加します。

      http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs?wsdl
      
  5. 「OK」をクリックします。

    図10-18に示すように、SOAP操作名指定用のダイアログが開き、利用可能な制御メソッドのリストが表示されます。

    図10-18 SOAP操作名指定用ダイアログ

    SOAP操作名の指定用ダイアログ・ボックス
    「図10-18 SOAP操作名指定用ダイアログ」の説明

  6. MIGRATEREPO (MIGRATEREPO パラメータ)制御メソッドを選択して、「OK」をクリックします。


    注意:

    MIGRATEREPO (MIGRATEREPO パラメータ)制御メソッドはBSE管理コンソールから利用できます。このメソッドはすべてのWebサービスを新規(空)のリポジトリに移行します。Webサービスのみの移行を選択することもできます。

    図10-19に示すように、SOAPエンベロープの構造が表示されます。

    図10-19 SOAPエンベロープの構造

    SOAPエンベロープ(構造ビュー)
    「図10-19 SOAPエンベロープの構造」の説明

  7. 図10-20に示すように、ツールバーの「テキスト・ビュー」アイコンを見つけます。

    図10-20 「テキスト・ビュー」アイコン

    「テキスト・ビュー」アイコン
    「図10-20 「テキスト・ビュー」アイコン」の説明

  8. SOAPエンベロープの構造をテキストとして表示するには、「テキスト・ビュー」をクリックします。

    <SOAP-ENV:Header>タグは必要ありません。SOAPエンベロープから削除できます。

  9. 次のセクションを見つけます。

    <m:MIGRATEREPO xmlns:m="urn:schemas-iwaysoftware-com:jul2003:ibse:config" version="">
      <m:repositorysetting>
        <m:rname>oracle</m:rname>
        <m:rconn>String</m:rconn>
        <m:rdriver>String</m:rdriver>
        <m:ruser>String</m:ruser>
        <m:rpwd>String</m:rpwd>
      </m:repositorysetting>
      <m:servicename>String</m:servicename>
    </m:MIGRATEREPO>
    

    次のステップを実行します:

    1. <m:rconn>タグのStringプレースホルダを、既存のBSEリポジトリの移行先となるリポジトリのURLと置換します。

      OracleリポジトリのURLは次のようなフォーマットになります。

      jdbc:oracle:thin:@[host]:[port]:[sid]
      
    2. <m:rdriver>タグのStringプレースホルダをOracleドライバの場所と置換します。

    3. <m:ruser>タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なユーザー名と置換します。

    4. <m:rpwd>タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なパスワードと置換します。

  10. 移行オプションを選択して実行します。

    • 現在のBSEリポジトリから単一のWebサービスを移行する場合は、次のようにそのWebサービス名を<m:servicename>タグに入力します。

      <m:servicename>SAPService1</m:servicename>
      
    • 現在のBSEリポジトリから複数のWebサービスを移行する場合は、次のように各Webサービスについて<m:servicename>タグを複製します。

      <m:servicename>SAPService1</m:servicename>
      <m:servicename>SAPService2</m:servicename>
      
    • 現在のBSEリポジトリからすべてのWebサービスを移行する場合は、<m:servicename>タグを削除します。

  11. 図10-21に示すように、メニュー・バーでSOAPをクリックし、サーバーにリクエストを送信を選択します。

    図10-21 SOAPメニュー

    サーバーにリクエストを送信
    「図10-21 SOAPメニュー」の説明

    BSEリポジトリおよび指定したすべてのWebサービスが、指定した新規のOracleリポジトリのURLに移行されます。

J2CAリポジトリの移行

J2CAリポジトリを移行するには:

  1. 次の例に示すように、リポジトリ・スキーマおよびその他の情報が格納されているJ2CA構成ディレクトリの場所にナビゲートします。

    <ADAPTER_HOME>\soa\thirdparty\ApplicationAdapters\config\JCA_CONFIG
    

    ここで、JCA_CONFIGは、J2CA構成の名前です。

  2. repository.xmlファイルを見つけ、コピーします。

  3. 既存のリポジトリを移行するため、このファイルを新規のJ2CA構成ディレクトリに置きます。

    J2CAリポジトリは、この新規のJ2CA構成ディレクトリに移行されます。