Oracle® Fusion Middleware Oracle WebLogic Server Application Adapter for J.D. Edwards OneWorldユーザーズ・ガイド 11g リリース1(11.1.1.3.0) B61419-01 |
|
前 |
次 |
この章の内容は以下のとおりです。
Oracle Adapterアプリケーション・エクスプローラ(アプリケーション・エクスプローラ)には、Webサービスのポリシーベース・セキュリティと呼ばれるセキュリティ・モデルが備わっています。次の項では、この機能の内容および構成方法について説明します。
Webサービスは、バックエンドのビジネス・ロジックとWebサービスを実行するユーザーまたはアプリケーションとの間に抽象化レイヤーを提供します。このため、アプリケーションの統合は容易ですが、Webサービスとして実行されるクリティカルで機密性の高いビジネス・ロジックの使用と実装を制御するという課題が発生します。
アプリケーション・エクスプローラは、ポリシーベース・セキュリティという機能によって、アダプタを使用するWebサービスの使用を制御します。この機能により、管理者はビジネス・サービス(Webサービス)にポリシーを適用し、その実行を拒否または許可できます。
ポリシーとは、既存または新規のビジネス・サービス(BS)に適用可能なBSの実行に関する一連の権限です。ポリシー内の特定の権限を設定する場合に、他のビジネス・サービスと共通のセキュリティの問題を持つ、すべてのBSについて権限を再作成する必要はありません。かわりに、複数のビジネス・サービスに対して1つのポリシーを再利用します。
この機能の目的は、トランスポートと伝送路でトランスポートされるSOAPリクエスト・レベルの両方のリクエストを保護することです。一部のポリシーは、セキュリティの問題を直接には扱いませんが、適用先のWebサービスのランタイム動作に影響します。
ビジネス・サービス管理者は、ポリシー・タイプのインスタンスを作成し、名前を指定し、各ユーザーまたはグループ(ユーザーの集まり)と関連付け、このポリシーを1つ以上のビジネス・サービスに適用します。
ポリシーは、ビジネス・サービスまたはビジネス・サービス内のメソッドに割り当てることができます。ポリシーがメソッドにのみ適用される場合、そのビジネス・サービス内の他のメソッドはそれによって制御されません。ただし、ポリシーがビジネス・サービスに適用される場合は、すべてのメソッドがそれによって制御されます。実行時には、Oracle Adapter Business Services Engine(BSE)に送信されたSOAPリクエスト・メッセージ内のユーザーIDおよびパスワードが、特定のビジネス・サービスに適用されたすべてのポリシーのユーザー・リストに対して検証されます。サポートされているポリシー・タイプはリソースの実行で、ビジネス・サービスの実行が可能なユーザーと不可能なユーザーを指定します。
ポリシーが適用されない場合、ビジネス・サービスのデフォルト値は「すべて付与」です。たとえば、リソースの実行ポリシーがビジネス・サービスに関連付けられるまでは、誰でもビジネス・サービスを実行できます。ポリシーが関連付けられた時点で、実行権限を付与されているユーザー、または実行権限を拒否されたグループに属していないユーザーのみが、ビジネス・サービスにアクセスできます。
次の項で、Webサービスのポリシーベース・セキュリティの構成方法を説明します。
ユーザーの作成およびポリシーとの関連付け
ポリシーのインスタンスを作成する前に、インスタンスに関連付ける最低1人のユーザーまたは1つのグループが必要です。ユーザーおよびグループはアプリケーション・エクスプローラを使用して作成できます。
アプリケーション・エクスプローラを起動します。
newtestなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Adapter for J.D. Edwards OneWorldの構成」を参照してください。
「接続」を選択します。
図9-1に示すように、「アダプタ」ノードおよび「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。
次のステップを実行します:
「セキュリティ」ノードを展開します。
図9-2に示すように、「ユーザーとグループ」ノードを展開します。
「ユーザー」を右クリックし、「新規ユーザー」をクリックします。
図9-3に示すように、「新規ユーザー」ダイアログが表示されます。
次のステップを実行します:
「OK」をクリックします。
ポリシーとともに使用するグループの作成
アプリケーション・エクスプローラを起動します。
newtestなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Adapter for J.D. Edwards OneWorldの構成」を参照してください。
「接続」を選択します。
図9-4に示すように、「アダプタ」ノードおよび「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。
次のステップを実行します:
「コンフィギュレーション」ノードを展開します。
「セキュリティ」ノードを展開します。
図9-5に示すように、「ユーザーとグループ」ノードを展開します。
「グループ」を右クリックし、「新規グループ」を選択します。
図9-6に示すように、「新規グループ」ダイアログが表示されます。
次のステップを実行します:
最低1人のユーザーを選択し、「OK」をクリックします。
実行ポリシーの作成
実行ポリシーは、このポリシーが適用されるビジネス・サービスの実行が可能なユーザーを決定します。
実行ポリシーを作成するには:
アプリケーション・エクスプローラを起動します。
SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Adapter for J.D. Edwards OneWorldの構成」を参照してください。
「接続」を選択します。
図9-7に示すように、「アダプタ」ノードおよび「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。
次のステップを実行します:
「コンフィギュレーション」ノードを展開します。
図9-8に示すように、「ポリシー」ノードを展開します。
「ポリシー」を右クリックし、「新規ポリシー」を選択します。
図9-9に示すように、「新規ポリシー」ダイアログが表示されます。
次のステップを実行します:
1人以上のユーザーを選択してから、「OK」をクリックします。
「次へ」をクリックします。
図9-10に示すように、「新規ポリシー」権限ダイアログが表示されます。
ユーザーまたはグループにビジネス・サービスの実行権限を付与するには、ユーザーまたはグループを選択し、二重左矢印を選択して、「付与されている実行権限」リストに移動します。
ユーザーまたはグループに対するビジネス・サービスの実行権限を拒否するには、ユーザーまたはグループを選択し、二重右矢印を選択して、「拒否された実行権限」リストに移動します。
「OK」をクリックします。
図9-11に示すように、次のペインに構成のサマリーが表示されます。
IPとドメイン制限ポリシー・タイプの使用
IPとドメイン制限ポリシー・タイプの構成方法は、他のポリシー・タイプとは少し異なります。IPとドメイン制限ポリシー・タイプではBSEへの接続アクセスを制御するため、Webサービスに個別に適用する必要はありません。ポリシーを作成する必要はありませんが、アプリケーション・エクスプローラで、「セキュリティ・ポリシー」オプションを有効にする必要があります。
アプリケーション・エクスプローラを起動します。
SampleConfigなど、接続する構成を右クリックします。新規構成の作成方法の詳細は、第2章「Oracle Application Adapter for J.D. Edwards OneWorldの構成」を参照してください。
「接続」を選択します。
「アダプタ」ノードおよび「ビジネス・サービス」ノード(Webサービスとも呼ばれる)が表示されます。
次のステップを実行します:
図9-12に示すように、「IPとドメイン」を右クリックし、「新規IPとドメインの制限」を選択します。
図9-13に示すように、「新規IPとドメインの制限」ダイアログが表示されます。
次のステップを実行します:
「IP(マスク)/ドメイン」フィールドで、次のガイドラインに従ってIPまたはドメイン名を入力します。
「タイプ」リストから「単一」(コンピュータ)を選択した場合、そのコンピュータのIPアドレスを指定する必要があります。そのコンピュータのDNS名しかわからない場合は、DNS参照をクリックし、DNS名に基づいてIPアドレスを取得します。
「グループ」(複数のコンピュータ)を選択した場合は、IP アドレス、およびそのコンピュータ・グループのサブネット・マスクを指定する必要があります。
「ドメイン」を選択した場合は、ドメイン名を指定する必要があります。
「タイプ」 リストから制限のタイプを選択します。
「説明」フィールドに説明を入力します(オプション)。
アクセスを付与するには、「アクセス権限の付与」チェック・ボックスを選択します。
「OK」をクリックします。
新規ドメインが「IPとドメイン」ノードの下に追加されます。
図9-14に示すように、次のペインに構成のサマリーが表示されます。
Oracleリポジトリは、デザインタイム中のアプリケーション・エクスプローラを使用したアダプタ接続の構成、EISオブジェクトの参照、サービスの構成、およびEISイベントのリスニングのためのリスナー構成の際、作成されたメタデータの格納に使用されます。リポジトリ内の情報は実行時でも参照されます。Oracle用に構成されたBSEおよびJ2CAリポジトリは、管理目的で既存の構成に影響することなく移行できます。たとえば、テスト環境から本番環境にリポジトリを移行できます。
BSEリポジトリの移行
次の例のように、BSE制御サービスのURLをコピーします。
http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs
XMLSPYなど、サード・パーティのXMLエディタを開きます。
メニュー・バーで、SOAPをクリックします。
図9-15に示すように、オプションのリストが表示されます。
図9-16に示すように、WSDLファイルの場所の指定用ダイアログが表示されます。
次のステップを実行します:
ファイルの選択フィールドで、BSE制御サービスのURLを貼り付けます。
次の例のように、「?wsdl」をURLに追加します。
http://localhost:8001/ibse/IBSEServlet/admin/iwcontrol.ibs?wsdl
「OK」をクリックします。
図9-17に示すように、SOAP操作名の指定用ダイアログが表示され、使用可能な制御メソッドがリストに表示されます。
MIGRATEREPO (MIGRATEREPO パラメータ)制御メソッドを選択し、「OK」をクリックします。
注意: MIGRATEREPO (MIGRATEREPO パラメータ)制御メソッドはBSE管理コンソールから利用可能です。このメソッドはすべてのWebサービスを新規(空)のリポジトリに移行します。Webサービスのみの移行を選択することもできます。 |
図9-18に示すように、次のウィンドウにSOAPエンベロープの構造が表示されます。
図9-19に示すように、ツールバーの「テキスト・ビュー」アイコンを探します。
SOAPエンベロープの構造をテキストとして表示するには、「テキスト・ビュー」アイコンをクリックします。
<SOAP-ENV:Header>タグは必要なく、SOAPエンベロープから削除できます。
次のセクションを見つけます。
<m:MIGRATEREPO xmlns:m="urn:schemas-iwaysoftware-com:jul2003:ibse:config" version=""> <m:repositorysetting> <m:rname>oracle</m:rname> <m:rconn>String</m:rconn> <m:rdriver>String</m:rdriver> <m:ruser>String</m:ruser> <m:rpwd>String</m:rpwd> </m:repositorysetting> <m:servicename>String</m:servicename> </m:MIGRATEREPO>
次のステップを実行します:
<m:rconn>
タグのStringプレースホルダを、既存のBSEリポジトリの移行先となるリポジトリのURLと置換します。
OracleリポジトリのURLは次のようなフォーマットになります。
jdbc:oracle:thin:@[host]:[port]:[sid]
<m:rdriver>
タグのStringプレースホルダをOracleドライバの場所と置換します。
<m:ruser>
タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なユーザー名と置換します。
<m:rpwd>
タグのStringプレースホルダをOracleリポジトリへのアクセスに有効なパスワードと置換します。
次のいずれかの移行オプションを実行します。
現在のBSEリポジトリから単一のWebサービスを移行する場合は、次のようにWebサービス名を<m:servicename>
タグに入力します。
<m:servicename>JDEService1</m:servicename>
現在のBSEリポジトリから複数のWebサービスを移行する場合は、次のように各Webサービスについて<m:servicename>
タグを複製します。
<m:servicename>JDEService1</m:servicename> <m:servicename>JDEService2</m:servicename>
現在のBSEリポジトリからすべてのWebサービスを移行する場合は、<m:servicename>
タグを削除します。
図9-20に示すように、メニュー・バーで「SOAP」をクリックし、サーバーにリクエストを送信を選択します。
J2CAリポジトリの移行