この節では、Oracle CEP Visualizerで実行できる一般的なセキュリティ・タスクについて説明します。
Oracle CEP Visualizerは非常に自明であるため、ここではすべてのタスクについて説明することはせず、最も一般的かつ典型的で、かつ他の似たタスクも類推可能となるようなタスクについてのみ説明します。
この項では次を説明します。
Oracle CEP Visualizerを使用すると、次の管理機能をはじめとする各種のOracle CEPセキュリティ機能を管理できます。
詳細は、『Oracle CEP管理者ガイド』のOracle CEPのセキュリティの構成に関する項を参照してください。
Oracle CEPは、ロール・ベースの認可制御を使用し、Oracle CEP Visualizerおよびwlevs.Admin
コマンドライン・ユーティリティを保護します。すぐに使用できる各種デフォルトのセキュリティ・グループがあります。ユーザーを異なるグループに追加し、異なるロールを付与できます。
Oracle CEP Visualizer、wlevs.Admin,
またはJMXを使用してOracle CEPインスタンスに接続する任意のカスタム管理アプリケーションを使用する管理者は、ロール・ベースの認可を使用してアクセス権を取得します。
また、ロール・ベースの認可を使用して、HTTPパブリッシュ/サブスクライブ・サーバーへのアクセス権を制御できます。
次の2種類のロールがあります。
アプリケーション・ロール: アプリケーション・ロールは、ユーザーにOracle CEPサーバーへデプロイされた各種Oracle CQLアプリケーションへアクセスするための権限を付与します。アプリケーション・ロールを作成し、それをOracle CEPが提供するタスク・ロールに関連付けることが可能です。
デフォルトでは、管理者ユーザーは任意のアプリケーションへアクセスできますが、非管理者ユーザーはすべてのアプリケーションへはアクセスできません。非管理者ユーザーがアプリケーションへアクセスする前に、管理者ユーザーはユーザーに関連するアプリケーション・ロールを付与する必要があります。
タスク・ロール: タスク・ロールは、ユーザーにアプリケーションを使用して各種タスクを実行するための権限を付与します。各アプリケーション・ロールによって、ユーザーはアクセスするための認証を受けます。Oracle CEPは、表4-1で説明されているように、デフォルト・タスク・ロールを提供します。
Oracle CEP Visualizerまたはwlevs.Admin
を使用するとき、自身を正常に承認するユーザーは、グループ・メンバーショップに基づいたロールが割り当てられ、後続の管理機能へのアクセスはユーザーが持つロールによって制限されます。匿名ユーザー(認証されていないユーザー)は、Oracle CEP Visualizerまたはwlevs.Admin
へのアクセス権を持ちません。
管理者が構成ウィザードを使用して新規ドメインを作成するとき、wlevsAdministrators
グループの一部となる管理者ユーザーを入力します。デフォルトでは、この情報はファイル・ベースのプロバイダ・ファイルストアに保存されます。パスワードはSHA-256アルゴリズムを使用してハッシュされます。デフォルトの管理者ユーザーは、wlevs
という名前で、パスワードはwlevs
です。
表4-1は、新規ドメイン作成直後に使用可能なデフォルトのOracle CEPタスク・ロールや、それらのロールに割り当てられるグループ名を説明しています。
表4-1 デフォルトのOracle CEPタスク・ロールおよびグループ
タスク・ロール | グループ | 権限 |
---|---|---|
|
wlevsAdministrators |
上記のロールが持つすべての権限に加えて、以下の権限があります。
|
|
wlevsApplicationAdmins |
すべてのOperator権限に加えて、デプロイされたアプリケーションの構成を更新する権限があります。 |
|
wlevsBusinessUsers |
すべてのOperator権限に加えて、デプロイ済アプリケーションのプロセッサに関連付けられたOracle CQL/EPLルールを更新するための権限を持ちます。 |
|
wlevsDeployers |
すべてのOperator権限に加えて、デプロイされたアプリケーションをデプロイ、アンデプロイ、更新、一時停止、および再開する権限があります。 |
|
wlevsMonitors |
すべてのOperator権限に加えて、診断プロファイルの作成やイベントの記録(および再生)などの診断機能を有効または無効にする権限があります。 |
|
wlevsOperators |
すべてのサーバー・リソース、サービス、およびデプロイされたアプリケーションへの読取り専用アクセスがあります。 |
ドメインが作成されると、管理者はOracle CEP Visualizerを使用してグループを作成し、それを1つ以上のロールに関連付けることが可能です。各ロールによってアプリケーションへのアクセス権が付与されます。ユーザーをグループに割り当てるとき、グループに関連付けるロールによって、ユーザーにはアプリケーションへアクセスする権限が付与されます。
Oracle CEP Visualizerを使用すると、次のことを行えます:
Oracle CEPは、HTTPパブリッシュ/サブスクライブ・サーバー(HTTP pub-sub server)を提供します。これは、Webクライアントがチャネルをサブスクライブし(JMSの内容と類似)、HTTP経由で非同期メッセージを使用してメッセージをチャネルへパブリッシュして、使用可能な状態になるとメッセージを受信するためにチャネルをサブスクライブするメカニズムです。
Oracle CEP Visualizerを使用すると、どのユーザーがHTTPパブリッシュ/サブスクライブ・サーバー・チャネルへアクセスできるかを指定できます。
詳細は、次を参照してください:
『Oracle CEP管理者ガイド』のOracle CEPのHTTPパブリッシュ/サブスクライブの構成に関する項
Oracle CEPは、一方向のSecure Sockets Layer (SSL)を提供し、Oracle CEP VisualizerとOracle CEPサーバー・インスタンス間、マルチ・サーバー・ドメインのOracle CEPサーバー・インスタンス間、およびwlevs.Admin
コマンドライン・ユーティリティとOracle CEPサーバー・インスタンス間のネットワーク・トラフィックを保護します。
Oracle CEPサーバーのconfig.xml
ファイルでSSLを構成します。デフォルトでは、構成ウィザードがORACLE_CEP_HOME
/user_projects/domains/
DOMAIN_DIR
/
servername
/config
ディレクトリでconfig.xml
ファイルを作成します。ここで、ORACLE_CEP_HOME
はOracle CEPインストール・ディレクトリ(d:/oracle_cep
など)を示し、DOMAIN_DIR
はドメイン・ディレクトリ(my_domain
など)を示し、servername
はサーバー・インスタンス・ディレクトリ(server1
など)を示します。
詳細は、次を参照してください:
『Oracle CEP管理者ガイド』のSSLに関する項
Oracle CEP Visualizerを使用すると、ユーザー・アカウントを管理して誰がOracle CEP Visualizerへアクセスできるかを制御できます。
この項では次を説明します。
詳細は、4.1.1項「ユーザー、グループ、およびロール」を参照してください。
Oracle CEP Visualizerを使用すると、ユーザーを作成できます。
ユーザーを作成するには:
Oracle CEP VisualizerにAdmin
ロールを持つユーザーとしてログオンします。
左ペインで、「ドメイン」>「セキュリティ」ノードをクリックします。ここで、「ドメイン」はOracle CEPドメイン名を示します。
右ペインで、「ユーザー」タブをクリックします。
図4-1で示されるように、「ユーザー」タブが表示されます。
右ペイン下部の「新規ユーザー」ボタンをクリックします。
図4-2で示されるように、「ユーザーの追加」パネルが表示されます。
表4-2で示されるように、「ユーザーの追加」パネルを構成します。
表4-2 「ユーザーの追加」パネルの属性
属性 | 説明 |
---|---|
|
ユーザー名を入力します。 |
|
このユーザーのパスワードを入力します。 パスワードは6文字以上にする必要があります。 |
|
このユーザーのパスワードを再入力します。 |
|
このユーザーのオプション説明です。 |
|
ユーザーが属するグループを1つ以上チェックします。ユーザーは、グループに割り当てるロールの権限を継承します。 ユーザーを1つ以上のグループに割り当てる必要があります。詳細は、4.3項「グループの管理」を参照してください。 |
「OK」をクリックします。
アカウントが正常に作成されると、確認メッセージが表示されます。
ユーザーのパスワードを変更するには、4.2.4項「ユーザーのパスワードを変更する方法」を参照してください。
ユーザーを変更するには:
Oracle CEP VisualizerにAdmin
ロールを持つユーザーとしてログオンします。
左ペインで、「ドメイン」>「セキュリティ」ノードをクリックします。ここで、「ドメイン」はOracle CEPドメイン名を示します。
右ペインで、「ユーザー」タブをクリックします。
「ユーザー」表で、変更するユーザー名の左のボックスをチェックします。
右ペイン下部の「ユーザーの変更」ボタンをクリックします。
図4-3で示されるように、「ユーザーの変更」パネルが表示されます。
表4-3で示されるように、「ユーザーの変更」パネルを構成します。
表4-3 「ユーザーの変更」パネルの属性
属性 | 説明 |
---|---|
|
ユーザー名。これは、読取り専用フィールドです。 |
|
このフィールドは、空白で読取り専用です。パスワードを変更するには、4.2.4項「ユーザーのパスワードを変更する方法」を参照してください。 |
|
このフィールドは、空白で読取り専用です。パスワードを変更するには、4.2.4項「ユーザーのパスワードを変更する方法」を参照してください。 |
|
このユーザーのオプション説明を変更します。 |
|
表示された1つ以上のグループを選択/選択解除することによって、ユーザーが属するグループを変更します。ユーザーが属するグループを1つ以上チェックします。ユーザーは、グループに割り当てるロールの権限を継承します。 ユーザーを1つ以上のグループに割り当てる必要があります。詳細は、4.3項「グループの管理」を参照してください。 |
「OK」をクリックします。
既存ユーザーを削除できます。ただし、構成ウィザードを使用してドメインが作成されたときに管理者ユーザーは元々ドメインに構成されているため、デフォルトの管理者ユーザーは削除できません。
ユーザーを削除するには:
他のユーザーの構成オプションを変更するには、4.2.2項「ユーザーを変更する方法」を参照してください。
ユーザーのパスワードを変更するには:
Oracle CEP VisualizerにAdmin
ロールを持つユーザーとしてログオンします。
左ペインで、「ドメイン」>「セキュリティ」ノードをクリックします。ここで、「ドメイン」はOracle CEPドメイン名を示します。
右ペインで、「ユーザー」タブをクリックします。
「ユーザー」の表で、図4-4で示されるように、削除するユーザー名の左側にあるボックスを選択します。
右ペイン下部の「パスワードの変更」ボタンをクリックします。
図4-7で示されるように、「パスワードの変更」パネルが表示されます。
表4-3で示されるように、「パスワードの変更」パネルを構成します。
表4-4 「ユーザーの変更」パネルの属性
属性 | 説明 |
---|---|
|
ユーザー名。これは、読取り専用フィールドです。 |
|
このフィールドは空白です。パスワードを変更するには、4.2.4項「ユーザーのパスワードを変更する方法」を参照してください。 |
|
このフィールドは空白です。パスワードを変更するには、4.2.4項「ユーザーのパスワードを変更する方法」を参照してください。 |
「OK」をクリックします。
パスワードが正常に変更されると、確認メッセージが表示されます。
グループを作成し、それを1つ以上のロールに関連付けることが可能です。各ロールによってアプリケーションへのアクセス権が付与されます。ユーザーをグループに割り当てるとき、グループに関連付けるロールによって、ユーザーにはアプリケーションへアクセスする権限が付与されます。
この項では次を説明します。
詳細は、4.1.1項「ユーザー、グループ、およびロール」を参照してください。
Oracle CEPがデフォルトで、順にロールにマップされるグループ・セットを使用して構成されます。詳細は、4.1.1項「ユーザー、グループ、およびロール」を参照してください。
この項では、新規グループの作成方法を説明します。
グループを作成するには:
Oracle CEP VisualizerにAdmin
ロールを持つユーザーとしてログオンします。
左ペインで、「ドメイン」>「セキュリティ」ノードをクリックします。ここで、「ドメイン」はOracle CEPドメイン名を示します。
右ペインで、「グループ」タブをクリックします。
図4-8で示されるように、「グループ」タブが表示されます。
右ペイン下部の「新規グループ」ボタンをクリックします。
図4-9で示されるように、「グループの追加」パネルが表示されます。
表4-5で示されるように、「グループの追加」パネルを構成します。
表4-5 「グループの追加」パネルの属性
属性 | 説明 |
---|---|
|
グループ名を入力します。 |
|
このユーザーのオプション説明です。 |
|
グループのマップ対象ロールを1つ以上チェックします。各ロールによってアプリケーションへのアクセス権が付与されます。 1つ以上のロールを選択する必要があります。詳細は、4.4項「ロールの管理」を参照してください。 |
「OK」をクリックします。
グループが正常に作成されると、確認メッセージが表示されます。
Oracle CEPはデフォルトで、順にロールにマップされるグループ・セットを使用して構成されます。デフォルトのグループは削除できません。詳細は、4.1.1項「ユーザー、グループ、およびロール」を参照してください。
この項では、作成したグループの削除方法を説明します。
次の手順を実行して、グループを削除します。
デフォルトのグループを含む既存グループを変更し、グループがマップする対象のロールを変更できます。
グループのマップ対象ロールを変更するには:
Oracle CEP VisualizerにAdmin
ロールを持つユーザーとしてログオンします。
左ペインで、「ドメイン」>「セキュリティ」ノードをクリックします。ここで、「ドメイン」はOracle CEPドメイン名を示します。
右ペインで、「グループ」タブをクリックします。
「グループ」表で、図4-12で示されるように、変更するグループ名の左にあるボックスを選択します。
右ペイン下部の「グループの変更」ボタンをクリックします。
図4-9で示されるように、「グループの変更」パネルが表示されます。
表4-5で示されるように、「グループの変更」パネルを構成します。
表4-6 「グループの変更」パネルの属性
属性 | 説明 |
---|---|
|
グループ名。これは、読取り専用フィールドです。 |
|
このユーザーのオプション説明です。 |
|
グループのマップ対象ロールを1つ以上チェックします。各ロールによってアプリケーションへのアクセス権が付与されます。 1つ以上のロールを選択する必要があります。詳細は、4.4項「ロールの管理」を参照してください。 |
「OK」をクリックします。
グループが正常に変更されると、確認メッセージが表示されます。
必要であれば、グループの説明を変更します。
「OK」をクリックします。
ユーザーが割り当てられる先のグループを変更するには、4.2.2項「ユーザーを変更する方法」を参照してください。
ロールを作成し、それをアプリケーションに関連付けることが可能です。次に、グループを作成し、それを1つ以上のロールに関連付けることが可能です。ユーザーをグループに割り当てるとき、グループに関連付けるロールによって、ユーザーにはアプリケーションへアクセスする権限が付与されます。
この項では次を説明します。
詳細は、4.1.1項「ユーザー、グループ、およびロール」を参照してください。
Oracle CEPがデフォルトで、順にグループにマップされるタスク・ロール・セットを使用して構成されます。詳細は、4.1.1項「ユーザー、グループ、およびロール」を参照してください。
この項では、新規アプリケーション・ロールの作成方法を説明します。
アプリケーション・ロールを作成するには:
Oracle CEP VisualizerにAdmin
ロールを持つユーザーとしてログオンします。
左ペインで、「ドメイン」>「セキュリティ」ノードをクリックします。ここで、「ドメイン」はOracle CEPドメイン名を示します。
右ペインで、「ロール」タブをクリックします。
図4-14で示されるように、「ロール」タブが表示されます。
右ペイン下部の「新規ロール」ボタンをクリックします。
図4-2で示されるように、「アプリケーション・ロールの追加」パネルが表示されます。
表4-7で示されるように、「アプリケーション・ロールの追加」パネルを構成します。
「OK」をクリックします。
アプリケーション・ロールが正常に作成されると、確認メッセージが表示されます。
Oracle CEPがデフォルトで、順にグループにマップされるロール・セットを使用して構成されます。デフォルトのロールは削除できません。詳細は、4.1.1項「ユーザー、グループ、およびロール」を参照してください。
この項では、作成したロールの削除方法を説明します。
ロールを削除するには:
この項では次を説明します。
詳細は、4.1.2項「HTTPパブリッシュ/サブスクライブ・サーバー・チャネル・セキュリティ」を参照してください。
Oracle CEP Visualizerを使用すると、Oracle CEPに含まれるHTTPパブリッシュ/サブスクライブ・サーバーに構成されるHTTPパブリッシュ/サブスクライブ・チャネルへのパブリッシュが許可されているロールを指定できます。
HTTPパブリッシュ/サブスクライブ・チャネルのセキュリティを構成するには:
Oracle CEP VisualizerにAdmin
ロールを持つユーザーとしてログオンします。
左ペインで、「ドメイン」>「サーバー」>「サービス」>HTTPパブリッシュ/サブスクライブ・サーバーノードをクリックします。ここで、「ドメイン」はOracle CEPドメイン名を示し、「サーバー」はサーバー・インスタンス名を示します。
右ペインに、Oracle CEPに構成されたHTTP pub-subサーバーのリストを示す表が表示されます。
右ペインで、表のHTTPパブリッシュ/サブスクライブ・サーバー名をクリックします。デフォルト・サーバーはpubsub
という名前です。
「Channels」表で、セキュリティを構成するチャネル名をクリックします。
「ロールのパブリッシュ」の表で、このチャネルへのメッセージのパブリッシュが許可されるロールを選択します。
1つ以上のロールを選択する場合は、[Ctrl]キーを使用します。
ペイン下部のチャネルの変更をクリックします。
この項では次を説明します。
詳細は、4.1.3項「SSL」を参照してください。
Oracle CEP Visualizerを使用すると、Oracle CEPサーバーのSSL構成を表示できます。
Oracle CEPサーバーのSSL構成を表示するには:
左ペインで、「ドメイン」>「サーバー」ノードをクリックします。ここで、「ドメイン」はOracle CEPドメイン名を示し、「サーバー」はサーバー・インスタンス名を示します。
右ペインで、「SSL」タブをクリックします。
左の表で、図4-18で示されるように、表示するSSL構成をクリックします。
デフォルトの構成名はsslConfig
です。
右の表にSSL構成オプションが表示されます。
表4-8では、SSL構成オプションのリストを示しています。
表4-8 「SSL」オプション
オプション | 説明 |
---|---|
|
選択したSSL構成名です。 |
|
ファイル・パスおよびキー・ストアの証明書ファイルには、自己署名証明書が含まれます。 ファイル・パスは、 |
|
キー・ストアのパスワード。 |
|
キー・ストアの別名。 |
|
キー・ストアのタイプ。 |
|
キー・マネージャのアルゴリズム。 |
|
SSLプロトコル。 |
|
ファイル・パスおよびキー・ストアの証明書ファイルには、自己署名証明書が含まれます。 ファイル・パスは、 |
|
信頼ストアのパスワード。 |
|
信頼ストアの別名。 |
|
信頼ストアのタイプ。 |
|
信頼ストアのアルゴリズム。 |
|
Oracle CEPサーバーによるSSLのFederal Information Processing Standards (FIPS)認証済の擬似乱数ジェネレータの使用の有無。 詳細は、『Oracle CEP管理者ガイド』のFIPSに関する項を参照してください。 |
|
Oracle CEPサーバーによるクライアント認証の使用の有無。 |
|
|
|
|
|
SSL暗号。 |