リリース12
E05663-01
目次
前へ
次へ
| Oracle Workflow管理者ガイド リリース12 E05663-01 | 目次 | 前へ | 次へ |
この章では、Oracle Workflowのセキュリティのアーキテクチャと構成について説明します。
この章の内容は、次のとおりです。
Webおよびアプリケーションのコンテンツに対するユーザーのアクセスを制御し、システムの侵入者からサイトを保護する能力は重要です。この章では、Oracle Workflowのセキュリティのアーキテクチャと構成について説明します。
セキュリティの詳細は、次のマニュアルを参照してください。
『Oracle Applicationsシステム管理者ガイド』のOracle Applicationsセキュリティの概要に関する項には、Oracle Applicationsのセキュリティに関する情報が記載されています。
『Oracleセキュリティ概要』には、Oracle Databaseのセキュリティに関する情報が記載されています。
『Oracle Application Server Security Guide』には、Application Serverのセキュリティとその中核となる機能が記載されています。
『Oracle Identity Management概要および配置プラニング・ガイド』は、Oracleセキュリティ・インフラストラクチャの管理者用の手引きです。
ここでは、Oracle Workflowのセキュリティ・モデルについて説明します。
Oracle Workflowでは、パスワード・ベースのセキュリティ・モデルを使用して、Webおよびアプリケーションのコンテンツを保護します。 Oracle Workflowは、Oracle Applicationsのセキュリティ・モデルの一部であり、ユーザーの権限と機能へのアクセスは職責に基づいています。
Oracle WorkflowのWebページへのアクセスのために、Oracle Workflowではワークフロー管理者とワークフロー・ユーザーの2つのユーザー・クラスが定義されています。
Oracle Workflow管理者機能へのアクセスは、職責(ユーザーがアクセスできるページを判断)と、「ワークフロー構成」ページで定義したワークフロー管理者ロール(ユーザーが実行できる管理操作を判断)によって制御されます。管理操作を実行するユーザーは、Oracle Workflowの管理者Webページを含む職責があり、さらにワークフロー管理者ロールに関連付けられている必要があります。適切な職責はあるが、ワークフロー管理者ロールに関連付けられていないユーザーには、管理者Webページの表示のみが許可されます。ユーザーには、Oracle WorkflowのSelf-ServiceユーザーWebページにアクセスするための適切な職責も必要です。ワークフロー管理者ロールに関連付けられているユーザーは、Self-ServiceのWebページでも付加的な管理操作を実行できる場合があります。
ワークフロー管理者: Oracle Workflow管理者職責があり、ワークフロー管理者ロールに関連付けられているOracle Applicationsのユーザー。これらのユーザーは次の操作を実行できます。
Oracle Workflow管理者ホーム・ページにアクセスできます。
グローバル・ワークフロー作業環境と個々のユーザー設定を設定できます。
「ワークリスト」ページを使用してユーザーの通知を表示し、応答できます。
ユーザーの不在時に通知を自動的に処理するためのルールを定義できます。
管理者用のステータス・モニターでユーザーのプロセスを表示および更新できます。
ワークフロー項目タイプの定義を表示し、テスト・プロセスを起動できます。
ビジネス・イベントおよびイベント・サブスクリプションを管理できます。
ワークリスト・フレックスフィールド・ルールを定義し、ルールのシミュレーションを実行できます。 ワークリスト・フレックスフィールド・ルール機能へのアクセスに必要な職責は、Oracle Workflow管理者職責のみです。
ワークフロー・ユーザー: Oracle Workflowユーザー職責があるOracle Applicationsユーザー。これらのユーザーは次の操作を実行できます。
Oracle Workflow Self-Serviceホーム・ページにアクセスできます。
個々のユーザー設定を設定できます。
「ワークリスト」ページを使用して自分の通知を表示し、応答できます。
不在時に自分の通知を自動的に処理するためのルールを定義できます。
ワークリストへのアクセス権を付与されている他のユーザーの通知を表示し、応答できます。
Self-Serviceステータス・モニターで自分のプロセスを表示できます。 ワークフロー管理者ロールに関連付けられているユーザーは、Self-Serviceステータス・モニターで、通知の再割当てやワークフローの取消しも実行できます。
また、Oracle Workflowを管理する管理者には、Oracle Applications ManagerにアクセスするためのOracle Applicationsシステム管理者職責、あるいはOracle Applications Manager内のWorkflow Managerコンポーネントへの直接的なアクセス権が付与されているOracle Workflow管理者職責が必要です。
また、Oracle Workflowのスクリプトやプログラムを実行したり、ワークフロー項目タイプの定義をデータベースに保存する必要がある管理者や開発者には、データベースのOracle Workflowスキーマに対するパスワードが必要です。
Oracle Workflowでは、ユーザーに特殊化ワークフロー・モニタリング権限を割り当て、ワークフロー・データへの制限付きアクセス権を付与することもできます。 このようなユーザーはステータス・モニター内でのみ特殊化ワークフロー管理者として動作し、ワークフローの表示と付与で指定された管理処理の実行のみが許可されます。 「特殊化ワークフロー・モニタリング権限の割当て」を参照してください。
Oracle Workflowでは、次のリソースを保護するためのセキュリティを提供します。
Oracle WorkflowのWebページ: Oracle ApplicationsのユーザーがOracle WorkflowのWebページにアクセスするには、Oracle Applicationsにログインする必要があります。
Workflow Manager: Oracle Applicationsシステム管理者がWorkflow Managerコンポーネントにアクセスするには、Oracle Applications Managerにログインする必要があります。
Oracle Workflow Builder: クライアントPCでOracle Workflow Builderの開発ツールを実行するのにログインは不要です。ただし、Oracle Workflow Builderを使用して項目タイプの定義を表示したりデータベースに保存する場合、開発者はOracle Workflowのスキーマ名とパスワードを入力する必要があります。
管理スクリプトおよびプログラム: 管理者は、Oracle Workflowのスキーマ名とパスワードを入力しないと、Oracle Workflow管理スクリプト、ワークフロー定義ローダーまたはワークフローXMLローダーを実行できません。また、Oracle Applicationsのシステム管理者がOracle Workflowのコンカレント・プログラムを実行するには、Oracle ApplicationsまたはOracle Applications Managerにログインする必要があります。
Eメール通知: Oracle Workflowでは、ワークフロー・プロセスの更新で、ユーザーへのEメール通知の送信とEメール応答の処理をサポートします。最終的には、Eメールの通知と応答のセキュリティは、使用するEメール・アプリケーションのセキュリティに依存します。Oracle Workflowには、Eメール応答を検証したり、不正な更新からアプリケーションのコンテンツを保護するための機能もいくつか用意されています。詳細は、「Eメール通知のセキュリティ」を参照してください。
通知: Oracle Workflowは、通知に対するユーザーの応答に対して電子署名をサポートしています。必要に応じて、パスワード・ベースまたは認証ベースの署名による認証を通知応答に要求できます。『Oracle Workflow開発者ガイド』の#WF_SIG_POLICY属性に関する項を参照してください。
Oracle WorkflowのWebページやOracle Applications Managerにアクセスする場合、ユーザーはユーザー名とパスワードの入力を求められます。 さらにユーザーにOracle WorkflowのWebページを含む職責が事前に割り当てられていないと、Oracle Workflowページにアクセスできません。
管理スクリプトや管理プログラムを実行したり、Oracle Workflow Builderからデータベース内のワークフロー定義にアクセスする場合、ユーザーはOracle Workflowのデータベース・スキーマのユーザー名とパスワードを入力する必要があります。
承認およびEメール通知応答の検証の詳細は、「Eメール通知のセキュリティ」を参照してください。
Oracle ApplicationsにおけるOracle HTTP Serverの使用の詳細は、『Oracle Applicationsシステム管理者ガイド』のOracle HTTP Serverの管理に関する項を参照してください。
インストール時には、Oracle Applications統一環境からのユーザーとロールに基づくOracle Workflowディレクトリ・サービスが自動的に実装されます。 Oracle Internet Directoryとシングル・サインオンを使用するようにOracle Applicationsを設定する方法の詳細は、『Oracle Applicationsシステム管理者ガイド - セキュリティ』のOracle Single Sign-On統合に関する項を参照してください。
Oracle Workflowで複数のオプションを構成すると、必要なセキュリティ機能を利用できます。
セキュリティに関連する次のグローバル・ワークフロー作業環境を設定できます。
ワークフロー管理者: Oracle WorkflowのWebページにアクセスする際の管理者権限を持つロールを定義します。
LDAPの設定: Oracle Internet Directoryと統合する場合に定義します。LDAPの設定には、LDAPホスト、LDAPポート、LDAPパスワード、LDAP ChangeLogのベース・ディレクトリおよびLDAPユーザー・ベース・ディレクトリが含まれます。LDAPパスワードの値は、アスタリスクで表示され、暗号化されて格納されます。
「グローバル・ユーザー作業環境の設定」を参照してください。
Eメール通知のセキュリティ・オプションの構成の詳細は、「Eメール通知のセキュリティ」を参照してください。
Oracle Applications統一環境からのユーザーとロールのディレクトリ・サービス・ビューが、インストール時に自動的に実装されます。 Oracle Workflowでは、パフォーマンス改善のために、正規化されていない情報がワークフロー・ローカル表に保持されているディレクトリ・サービス・モデルを使用します。ローカル・ワークフロー・ディレクトリ・サービス表には、他の様々なOracle Applicationsモジュールからのユーザーおよびロールの情報に加え、アドホックのユーザーおよびロールも格納されるため、ワークフロー・ディレクトリ・サービス・ビューがこの情報にアクセスするときのパフォーマンスは良好です。ソース・モジュールがアプリケーション表に格納したユーザーおよびロールの情報とワークフロー・ローカル表に格納された情報の同期をとる必要があります。 「Oracle Workflowのディレクトリ・サービスの設定」を参照してください。
また、任意に選択した職責に応じて、「拡張ワークリスト」、「個人ワークリスト」および「通知の検索」Webページにアクセスできるように設定できます。 特定の職責からページを使用できるようにするには、その職責に関連する適切な機能をメニューに追加します。そうすると、その職責をユーザーに割り当てることができます。「ユーザーの職責へのワークリスト関数の追加」を参照してください。
同様に、任意に選択した職責に応じて、ユーザーが「ワークフロー・モニター・アプリケーションのテスト」にアクセスできるように設定できます。特定の職責から「ワークフロー・モニター・アプリケーションのテスト」を使用できるようにするには、その職責に関する最上位レベル・メニューをメニューに追加する必要があります。そうすると、その職責をユーザーに割り当てることができます。「ステータス・モニター・アクセスのテスト」を参照してください。
内部名#WF_SIG_POLICYを持つ特別なメッセージ属性を使用すると、通知に対するユーザーの応答を電子署名で認証するように要求できます。入力しない場合は、応答が無効とみなされます。
パスワード・ベースの署名が必要な通知を定義した場合、ユーザーは、Oracle Applicationsのユーザー名とパスワードを入力して、応答を確認する必要があります。
認証ベースの署名が必要な通知を定義した場合、ユーザーは、認証局が発行した有効なX.509証明書を使用して、応答に署名する必要があります。
『Oracle Workflow開発者ガイド』の#WF_SIG_POLICY属性に関する項を参照してください。
さらに、各自のワークリストへのアクセス権を別のユーザーに付与できます。アクセス権を付与されたユーザーはプロキシとして動作し、所有者のかわりに通知を処理できます。Oracle Applicationsでは、ワークリスト・アクセス機能を使用して、付与されている他の権限または職責を別のユーザーに付与せずに、自分の通知を別のユーザーが処理するように指定できます。ただし、別のユーザーのワークリストにアクセスできるユーザーは、対象ユーザーの通知の詳細すべてを表示でき、所有者が実行できる通知に関する処理の大半を実行できることに注意してください。別のユーザーにワークリストのアクセス権を付与する際は、セキュリティ上必要なすべての事項を考慮してください。『Oracle Workflowユーザーズ・ガイド』のワークリストのアクセスに関する項を参照してください。
