| Oracle® Fusion Middleware Authorization Policy Manager管理者ガイド 11g リリース1(11.1.1) B61413-01 |
|
 前 |
 次 |
Oracle Authorization Policy Managerは、アプリケーション認可ポリシーを管理するためのグラフィカル・インタフェース・ツールです。この章では、次の各項でこのツールの基本機能について説明します。
Authorization Policy Managerの対象ユーザーは、セキュリティ管理者です。
Authorization Policy Managerの前提条件は次のとおりです。
ドメイン・ポリシー・ストアがLDAPに基づいていること。サポートされているポリシー・ストア・タイプは、Oracle Internet Directoryのみです。Authorization Policy Managerを使用する前に、ポリシー・ストアがOracle Internet Directoryに再関連付けされていることを確認してください。ドメイン・ポリシー・ストアの再関連付けの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
ドメイン・アイデンティティ・ストアがLDAPに基づいていること。サポートされているアイデンティティ・ストア・タイプは次のとおりです。
Oracle Internet Directory
Oracle Virtual Directory
WebLogic EmbeddedLDAP
Sun Java System Directory Serviceバージョン6.3
Active Directory 2003、2008
Novell eDirectory 8.8
OpenLDAP 2.2。このタイプに必要な特殊構成については、付録A「OpenLDAPアイデンティティ・ストアの使用」を参照してください。
Tivoli Directory Server
Oracle Fusion Middlewareの動作保証およびサポートされている構成の詳細は、http://www.oracle.com/technology/software/products/ias/files/fusion_certification.htmlを参照してください。
Authorization Policy Managerを使用してポリシーが管理されているアプリケーションは、認証にOracle Platform Security Servicesを使用することが前提となります。これらのサービスを使用したアプリケーションの統合の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
セキュリティ管理者は、WLSTコマンドまたはFusion Middleware Controlを使用してアプリケーション・ポリシーを管理できます。WLSTコマンドを使用する場合は、手動でコマンドを実行する必要があります。一方Fusion Middleware Controlにはグラフィカル・ユーザー・インタフェースが備わっていますが、複雑なツールであるため、管理者は低レベルのセキュリティ・アーティファクトを処理する必要があるうえ、通常は開発者しか知らないような名前(許可クラスやタスクフローの名前など)および概念を知っている必要があります。
Authorization Policy Managerを使用すると、他の2つのツールに比べてアプリケーション・ポリシーの作成、構成および管理を大幅に簡略化できます。次のような特徴があります。
セキュリティ・アーティファクトに分かりやすい名前と説明を使用できます。詳細は、第2章「OPSS認可モデル」を参照してください。
アプリケーションに固有のビジネス、製品またはその他のパラメータに基づいてアプリケーション・ロールを編成できます。詳細は、2.3.5項「ロール・カテゴリ」を参照してください。
セキュリティ・アーティファクトを検索、作成、参照および編集するための共通のグラフィック・インタフェース。第4章「セキュリティ・アーティファクトの問合せ」および第5章「セキュリティ・アーティファクトの管理」を参照してください。
ロールが管理できるアプリケーションのサブセットを指定できます。詳細は、第6章「委任管理」を参照してください。
図1-1は、セキュリティ管理者がAuthorization Policy Managerにアクセスする仕組み、およびこのツールがOracle WebLogic Serverのコンテキスト内でドメインのポリシー・ストアおよびアイデンティティ・ストアと通信する仕組みを示しています。
またこの図は、Authorization Policy Managerが、Authorization Policy Managerがデプロイされているドメインとは別のドメインにデプロイされているアプリケーションのポリシー(およびアイデンティティ)にアクセスできることを示しています。ただし、これらのドメインが同じポリシー・ストアおよびアイデンティティ・ストアを指定している場合に限ります。Authorization Policy Managerは、OPSS管理APIを使用してポリシー・ストアにアクセスし、IGF APIを使用してアイデンティティ・ストアにアクセスします。
Authorization Policy Managerでは、ユーザーおよび外部ロールの管理をサポートしていません。このツールでは、これらのアーティファクトは表示のみ可能です。プロビジョニングと管理は通常、Oracle Identity Managerを使用して行います。アイデンティティ・ストアに対する変更は、Authorization Policy Managerですぐに表示可能になります。
この項では、次の項目について説明している他のドキュメントへのリンクを示します。
Authorization Policy Managerのインストール方法の詳細は、『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』を参照してください。
Oracle Access Manager 11gを使用して、OIMとAuthorization Policy Managerの間にSSOを構成できます。詳細は、『Oracle Access Manager統合ガイド』を参照してください。
Authorization Policy Managerがポリシー・ストア、アイデンティティ・ストアおよびデータベースとの間に確立する接続は、一方向SSLを使用して保護できます。ブラウザを介したAuthorization Policy Managerへのアクセスも、一方向SSLを使用して保護できます。これらの設定は、Oracle WebLogic Serverで実行されている他のアプリケーションの設定とほぼ同じです。
OHSを使用していない場合にOracle Fusion MiddlewareアプリケーションでSSLを構成する方法の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の第12章を参照してください。
OHSを使用している場合にOracle Fusion MiddlewareアプリケーションでSSLを構成する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』の第6章を参照してください。
