この項では、Oracle CEP Visualizerを使用して実行可能な通常のセキュリティ・タスクを説明します。次のトピックが含まれます。
詳細は、『Oracle Complex Event Processing管理者ガイド』のOracle CEPのセキュリティの構成に関する項を参照してください。
Oracle CEPは、ロール・ベースの認可制御を使用し、Oracle CEP Visualizerおよびwlevs.Admin
コマンドライン・ユーティリティを保護します。すぐに使用できる各種デフォルトのセキュリティ・グループがあります。ユーザーを異なるグループに追加し、異なるロールを付与できます。
Oracle CEP Visualizer、wlevs.Admin,
またはJMXを使用してOracle CEPインスタンスに接続する任意のカスタム管理アプリケーションを使用する管理者は、ロール・ベースの認可を使用してアクセス権を取得します。
また、ロール・ベースの認可を使用して、HTTPパブリッシュ/サブスクライブ・サーバーへのアクセス権を制御できます。
次の2種類のロールがあります。
アプリケーション・ロール: アプリケーション・ロールは、ユーザーにOracle CEPサーバーへデプロイされた各種Oracle CQLアプリケーションへアクセスするための権限を付与します。アプリケーション・ロールを作成し、それをOracle CEPが提供するタスク・ロールに関連付けることが可能です。
デフォルトでは、管理者ユーザーは任意のアプリケーションへアクセスできますが、非管理者ユーザーはすべてのアプリケーションへはアクセスできません。非管理者ユーザーがアプリケーションへアクセスする前に、管理者ユーザーはユーザーに関連するアプリケーション・ロールを付与する必要があります。
タスク・ロール: タスク・ロールは、自身のアプリケーション・ロールによってアクセスが認可されたアプリケーションで様々なタスクを実行する権限を、ユーザーに付与します。Oracle CEPには、表20-1で説明するデフォルトのタスク・ロールが用意されています。
Oracle CEP Visualizerまたはwlevs.Admin
を使用するとき、自身を正常に承認するユーザーは、グループ・メンバーショップに基づいたロールが割り当てられ、後続の管理機能へのアクセスはユーザーが持つロールによって制限されます。匿名ユーザー(認証されていないユーザー)は、Oracle CEP Visualizerまたはwlevs.Admin
へのアクセス権を持ちません。
管理者が構成ウィザードを使用して新規ドメインを作成するとき、wlevsAdministrators
グループの一部となる管理者ユーザーを入力します。デフォルトでは、この情報はファイル・ベースのプロバイダ・ファイルストアに保存されます。パスワードはSHA-256アルゴリズムを使用してハッシュされます。デフォルトの管理者ユーザーは、wlevs
という名前で、パスワードはwlevs
です。
表20-1では、新しいドメインの作成直後に使用可能となるデフォルトのOracle CEPタスク・ロールと、それらのロールに割り当てられるグループの名前について説明します。
表20-1 デフォルトのOracle CEPタスク・ロールおよびグループ
タスク・ロール | グループ | 権限 |
---|---|---|
|
wlevsAdministrators |
上記のロールが持つすべての権限に加えて、以下の権限があります。
|
|
wlevsApplicationAdmins |
すべてのOperator権限に加えて、デプロイされたアプリケーションの構成を更新する権限があります。 |
|
wlevsBusinessUsers |
すべてのOperator権限に加えて、デプロイ済アプリケーションのプロセッサに関連付けられたOracle CQL/EPLルールを更新するための権限を持ちます。 |
|
wlevsDeployers |
すべてのOperator権限に加えて、デプロイされたアプリケーションをデプロイ、アンデプロイ、更新、一時停止、および再開する権限があります。 |
|
wlevsMonitors |
すべてのOperator権限に加えて、診断プロファイルの作成やイベントの記録(および再生)などの診断機能を有効または無効にする権限があります。 |
|
wlevsOperators |
すべてのサーバー・リソース、サービス、およびデプロイされたアプリケーションへの読取り専用アクセスがあります。 |
ドメインが作成されると、管理者はOracle CEP Visualizerを使用してグループを作成し、それを1つ以上のロールに関連付けることが可能です。各ロールによってアプリケーションへのアクセス権が付与されます。ユーザーをグループに割り当てるとき、グループに関連付けるロールによって、ユーザーにはアプリケーションへアクセスする権限が付与されます。
Oracle CEP Visualizerを使用すると、次のことを行えます:
Oracle CEPは、HTTPパブリッシュ/サブスクライブ・サーバー(HTTP pub-sub server)を提供します。これは、Webクライアントがチャネルをサブスクライブし(JMSの内容と類似)、HTTP経由で非同期メッセージを使用してメッセージをチャネルへパブリッシュして、使用可能な状態になるとメッセージを受信するためにチャネルをサブスクライブするメカニズムです。
Oracle CEP Visualizerを使用すると、どのユーザーがHTTPパブリッシュ/サブスクライブ・サーバー・チャネルへアクセスできるかを指定できます。
詳細は、次を参照してください:
『Oracle Complex Event Processing管理者ガイド』のOracle CEPのHTTPパブリッシュ/サブスクライブの構成に関する項
Oracle CEPは、一方向のSecure Sockets Layer (SSL)を提供し、Oracle CEP VisualizerとOracle CEPサーバー・インスタンス間、マルチ・サーバー・ドメインのOracle CEPサーバー・インスタンス間、およびwlevs.Admin
コマンドライン・ユーティリティとOracle CEPサーバー・インスタンス間のネットワーク・トラフィックを保護します。
Oracle CEPサーバーのconfig.xml
ファイルでSSLを構成します。デフォルトでは、構成ウィザードがORACLE_CEP_HOME
/user_projects/domains/
DOMAIN_DIR
/
servername
/config
ディレクトリでconfig.xml
ファイルを作成します。ここで、ORACLE_CEP_HOME
はOracle CEPインストール・ディレクトリ(d:/oracle_cep
など)を示し、DOMAIN_DIR
はドメイン・ディレクトリ(my_domain
など)を示し、servername
はサーバー・インスタンス・ディレクトリ(server1
など)を示します。
詳細は、次を参照してください:
『Oracle Complex Event Processing管理者ガイド』のSSLに関する項