Oracle Entitlements Server管理コンソールを使用して、ポリシーとポリシーが作成される元のポリシー・オブジェクトを管理します。この章には次の項目があります。
Oracle Entitlements Serverでは、管理者がすべてのポリシーおよびグローバル・オブジェクトでの作成、読取り、更新および削除(CRUD)操作を実行できます。管理コンソールで実行されるタスクでは通常、管理者がオブジェクトを識別(参照または検索による)し、選択して、使用可能な操作のいずれかを選択することが必要です。オブジェクトはグループに編成されて、ナビゲーション・パネルの「グローバル」および「アプリケーション」に表示されます。
アプリケーション・オブジェクトには認可ポリシーを作成するのに使用されるオブジェクト(リソース、アプリケーション・ロールなど)が含まれます。それらが適用され、ポリシーに使用できるのは、その下にそれらが定義されたアプリケーション内のみです。ナビゲーション・パネルの「アプリケーション」ノードは、その下にすべての構成済みのアプリケーション(およびそれぞれのオブジェクト)が編成されたブランチです。この章には、アプリケーションとそのオブジェクトの管理についての情報が含まれています。
グローバル・オブジェクトには、ユーザー、外部ロール、属性リトリーバ・コンポーネントのためのシステム構成、管理者などが含まれます。これらのオブジェクトはシステム全体にわたりすべての構成されたアプリケーションに適用できます。ナビゲーション・パネルの「グローバル」ノードは、その下にすべてのシステム全体のオブジェクトが編成されたブランチです。これらのオブジェクトについては第8章「システム構成の管理」で説明します。
注意: 外部ロール(およびユーザー)は、Oracle Entitlements Server内部では読取りのみ可能です。管理は通常、Oracle Identity Managerなどの別のツールを使用して行います。詳細は、『Oracle Fusion Middleware Oracle Identity Managerシステム管理者ガイド』を参照してください。 |
Oracle Entitlements Serverでは、ポリシーの個別のユーザー、外部ロールおよびアプリケーション・ロールへのマッピングがサポートされます。しかし次の理由で、アプリケーション・ロールへのポリシーのマッピングをお薦めします。
個別のユーザーおよび外部ロールへの権限の付与に基づく認可の管理は、数の増加に従い、すぐに管理が困難になる可能性があります。
アイデンティティ管理ソースが変更される場合(たとえば、開発、テストおよび本番環境間での移動により新しいLDAPサーバーが生じる場合)、ポリシー定義への変更は必要ありません。必要な操作は、ターゲット環境で利用可能なユーザーおよび外部ロールにアプリケーション・ロールを再マッピングすることだけです。
デフォルトでは、明示的にアクセス操作の権限を付与する認可ポリシーが作成および配置されるまで、リソースへのアクセス操作はすべて拒否されます。認可ポリシーによりリソース上の資格がロールに付与される場合、ユーザーはそれに静的に割り当てられるか、またはユーザーまたはグループを定義済みのロールに割り当てるロール・マッピング・ポリシーを作成および配置する必要があります。認可ポリシーが前に付与された資格を拒否する場合、それは付与よりも優先されます。明示的なDENY認可ポリシーは無効にできません。DENYポリシーの実用的な使用法は、資格を明示的に拒否して、ユーザーまたはグループが特定のリソースへのアクセス権を取得できないようにすることです。
ポリシーの定義では、オブジェクトが特定の順番で作成されることが必要です。たとえば、リソースはリソース・タイプの定義の後にのみ作成できます。ポリシーは次に説明する順番で構成できます。
アプリケーションを作成します。
ナビゲーション・パネルで、アプリケーションは特定のリソースのコンポーネントを保護するポリシーおよび関連情報用の全体的なコンテナとして作成される必要があります。必要に応じて任意の数のアプリケーションを作成することができますが、保護するアプリケーションごとに1つ作成することをお薦めします。詳細は、4.5.1項「アプリケーションの管理」を参照してください。
リソース・タイプを作成します。
リソース・タイプには、1つまたは複数のリソース属性と、特定の種類のリソースで実行できるすべての有効なアクションの定義を指定します。このアクションは標準のアクション(URLへのGETおよびPOST)の場合もビジネス・オブジェクトでのカスタム・アクション(銀行口座間の振替)の場合もあります。次のリソース・タイプとその有効なアクションを考えてみます。
テキスト・ファイルは「読取り」、「書込み」、「コピー」、「編集」、「削除」をサポートできます。
銀行の当座預金口座アプリケーションでは、預入れ、引出し、残高確認、履歴の確認、普通口座への振替、または普通口座からの振替がサポートされます。
リソース・インスタンスがリソース・タイプから作成されます。リソース・タイプにより定義されたアクションは、リソース・タイプから作成された保護リソース・インスタンスにアクセスするときに、権限付与または拒否されます。
詳細は、4.5.2項「リソース・タイプの管理」を参照してください。
リソース・タイプからリソースをインスタンス化します。
特定の保護ターゲット(リソース)はリソース・タイプからインスタンス化されます。リソースは保護されたターゲット(アプリケーションなど)を表し、リソース・カタログのポリシー・ドメインの下に作成されます。ポリシー・ドメインを指定しないと、デフォルトのポリシー・ドメインの下に作成されます。詳細は、4.5.3項「リソースの管理」を参照してください。
認可ポリシーを作成します。
これには、結果(GRANTまたはDENY)の指定、ユーザー、グループまたはロールのポリシー・プリンシパルとしての追加、リソースおよびアクションのポリシー・ターゲットとしての追加が伴います。オプションで、義務の追加や条件の設定ができます。詳細は、4.5.5項「認可ポリシーの管理」を参照してください。
4.2項「認可ポリシーとそのコンポーネントの定義」には認可ポリシーの作成に必要な最小限のコンポーネントが記載されています。次の詳細な要素を単純なポリシーに追加できます。
資格
資格により、インスタンス化されたリソースとそこで実行できる適用可能なアクションが関連付けられます。リソース用のアクションのセットは、対応するリソース・タイプで定義済みの有効なアクションのセットのサブセットです。詳細は、4.5.4項「資格の管理」を参照してください。
アプリケーション・ロール
アプリケーション・ロールはエンタープライズ・ユーザー、グループまたはアイデンティティ・ストアの外部ロール、またはポリシー・ストアの別のアプリケーション・ロールに静的または動的に割り当てることができます。1つのターゲット・アプリケーションが複数の異なるアプリケーション・ロールを持ち、よりきめの細かいアクセスのために、それぞれのロールに異なる権限のセットを割り当てることが可能です。詳細は、4.5.6項「ロール・カタログのアプリケーション・ロールの管理」を参照してください。
ロール・マッピング・ポリシー
アプリケーション・ロールへのメンバーシップは、ロール・マッピング・ポリシーを使用して動的に付与できます。アプリケーション・ロールはロール・マッピング・ポリシーのプリンシパルとして参照され、ユーザーに定義済みのリソースへのアクセス権を付与できますが、ロール・マッピング・ポリシーは認可が決定される前に解決される必要があります。解決は質問ユーザーがリクエストしているアクセスはこのアプリケーション・ロールに割り当てることができますかに答えます。ロール・マッピング・ポリシーのランタイム評価中に、次のことが行われます。
サブジェクトに基づき、アプリケーション・ロールのリストは、静的ロール・メンバーシップの取得と、適用可能なロール・マッピング・ポリシーの評価により決定されます。
サブジェクトとアプリケーション・ロールのリストに基づき、認可ポリシーのリストが評価されて、権限受領者、ターゲットの一致と制約の評価に基づいて適用できるポリシーを見つけます。リソースで許可されるアクションは認可ポリシーで定義されます。
最終的な認可決定は、アルゴリズムを組み合わせた“拒否のオーバーライド”に基づきます。
詳細は、4.5.7項「ロール・マッピング・ポリシーの管理」を参照してください。
ポリシーに追加の不測の事態を設定する方法で、ポリシーに条件を追加できます。認可ポリシーまたはロール・マッピング・ポリシーのどちらにも適用できます。条件は式の形で作成され、trueかfalseかが決定されて、次のいずれかの結果になります。
式の結果がtrueの場合、ポリシーの条件は満たされ、PolicyRuleEntryに定義された結果が適用されます。
式の結果がtrueでない場合、ポリシーは適用されません。
ポリシーがtrueと評価されるには、条件がtrueである必要があります。条件は何らかのユーザー、リソースまたはシステム属性の値をテストするブールの複雑な組合せであるか、複雑なビジネス・ロジックを評価するカスタムのJava評価関数である可能性があります。詳細は、4.6項「条件ビルダーの使用」を参照してください。
義務は認可のポリシー実行フェーズ中に評価される追加の情報を指定します。義務は対応するポリシーの結果(GRANTまたはDENY)とともに返されます。この情報がポリシー実行中に考慮されるかどうかは、アプリケーションにより定義された設定に基づきます。たとえば、アクセスのリクエストが拒否された理由を義務として返すことができます。異なるタイプの義務にはメッセージの送信を含めることができます。たとえば、特定の金額が当座預金口座から引き出される場合に、口座の名義人の登録携帯電話にテキスト・メッセージを送信します。詳細は、4.5.5項「認可ポリシーの管理」を参照してください。
2.4項「ポリシー・ユースケースの実装」では、ポリシーの作成についてのいくつかのユースケースが説明されています。この項には、管理コンソールを使用して認可ポリシーの作成手順(およびそれを構成する元のポリシー・オブジェクト)が記載されています。この手順では、アプリケーションを保護するためにOracle Entitlements ServerおよびJava Security Moduleがインストール済みであると想定しています。
アプリケーションを作成します。
アプリケーション名はアプリケーション・コードで使用されるものと一致している必要があります。たとえば、HelloOESworld
アプリケーションにマップされるHelloOESworld
アプリケーション・オブジェクトを作成します。4.5.1.1項「アプリケーションの作成」を参照してください。
リソース・タイプを作成します。
リソース・タイプ名はアプリケーション・コードで使用されるものと一致している必要があります。たとえば、保護するファイルの収集に使用するために、Files
リソース・タイプ・オブジェクトを作成します。writeおよびreadアクションをリソース・タイプと関連付けます。4.5.2.1項「リソース・タイプの作成」を参照してください。
リソースを作成します。
リソース名はアプリケーション・コードで使用されるものと一致している必要があります。さらに、リソースはリソース・タイプから作成されます。たとえば、FinanceFile
リソースをFiles
リソース・タイプから作成します。4.5.3.1項「リソースの作成」を参照してください。
認可ポリシーを作成します。
HelloOESworld
アプリケーションで、認可ポリシーを作成します。1つまたは複数のプリンシパル(ロールまたはユーザー)、1つまたは複数のターゲット(リソースまたは資格)を追加し、ターゲットのアクションを確認します。保存する前にオプションの条件または義務を追加することもできます。4.5.5.1項「認可ポリシーの作成」を参照してください。
セキュリティ・モジュール定義を作成し、アプリケーションにバインドします。
この手順では、バインド後、この認可ポリシーの分散先のセキュリティ・モジュールが定義されます。8.2項「セキュリティ・モジュール定義の構成」を参照してください。
認可ポリシーをセキュリティ・モジュールに配布します。
第7章「ポリシー配布の管理」を参照してください。
次の各項では、アプリケーションに特有なポリシー・オブジェクトを管理する方法について説明します。
アプリケーションは特定のアプリケーションのコンポーネントを保護するポリシーおよび関連アーティファクト用の全体的なコンテナとして作成されます。これらのアーティファクトには、ロール、リソース、属性および関数がありますが、これに限定されません。必要に応じて任意の数のアプリケーション・インスタンスを作成することができますが、保護するアプリケーションごとに1つ作成することをお薦めします。次の各項では、アプリケーション・インスタンスでの管理操作について説明します。
アプリケーションを作成するには、次のようにします。
ナビゲーション・パネルの「アプリケーション」を右クリックして、メニューから「新規」を選択します。
注意: または、ホーム領域の「検索」および「作成」の下の「アプリケーションの作成」をクリックします。 |
ホーム領域にいくつかのタブのある無題ページが表示されます。「一般」タブがアクティブです。委任管理者だけを構成して、アプリケーションが作成された後でポリシー配布の詳細を構成することができます。詳細は、4.5.1.2項「アプリケーションの変更」を参照してください。
作成しているアプリケーションについての次の詳細を「一般」タブで指定します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。管理コンソールに表示され、検索パラメータとして使用されることがあるため、意味のある値を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーション・コードで使用されるものと一致している必要があります。
説明: オプションですが、アプリケーションに関する有用な情報を入力することをお薦めします。
「保存」メニューから次のいずれかを選択します。
「保存して閉じる」で構成を保存し、アプリケーションの「表示名」に指定した値を使用してタブの名前を変更し、委任管理者とポリシー配布タブをアクティブにします。
保存して別に作成では、ナビゲーション・パネルの情報ツリーに構成を保存しますが、別のアプリケーションを作成できるように無題の領域が開いたままになります。
アプリケーションを変更するには、次のようにします。
ナビゲーション・パネルで、アプリケーション・ノードを開きます。
変更するアプリケーションの名前を選択します。
アプリケーション名を右クリックして、メニューから「オープン」を選択します。
または、アプリケーション名をダブルクリックします。「アプリケーション」ページが表示され、「一般」タブ、委任管理者タブ、ポリシー配布タブがすべてアクティブになります。
変更または構成するタブを選択し、パラメータの詳細については適切な項を参照します。
委任管理者: 第9章「管理者ロールの委任」
ポリシー配布: 第7章「ポリシー配布の管理」
必要に応じて、適用または保存します。
アプリケーション・リソース・インスタンスを削除するには、次のようにします。
拡張検索を使用して削除するアプリケーションを検索します(5.3.2項「アプリケーションの検索」に記載されています)。
アプリケーションの検索ページが表示されます。
問合せパラメータを入力し、「検索」をクリックします。
結果が表示されます。
結果からアプリケーション名を選択し、「削除」をクリックします。
次のいずれかの方法を選択して、アプリケーションを検索します。
削除の警告が表示されます。
「削除」をクリックします。
アプリケーションが削除されます。
注意: または、ナビゲーション・パネルで「アプリケーション」情報ツリーを展開し、削除するアプリケーションの名前をダブルクリックします。ホーム領域にアプリケーションが表示されます。右上隅の「削除」をクリックします。 |
リソース・タイプでは、特定の種類の保護リソースの特性の全範囲を指定します。これには、1つまたは複数のリソース属性と、特定の種類のリソースで実行できるすべての有効なアクションの定義が含まれます。アクションはリソースで実行できるビジネス・プロセスでのアクティビティまたはタスクを表します。アクションは標準(URLへのGETおよびPOST)の場合も特定のビジネス・オブジェクトでのカスタム(銀行口座間の振替)の場合もあります。特定のターゲット用のリソース・インスタンスはりソース・タイプから作成されます。次の各項では、リソース・タイプでの管理操作について説明します。
リソース・タイプを作成するには、次のようにします。
次のいずれかの方法を選択して、リソース・タイプを作成するページを表示します。
ナビゲーション・パネルで情報ツリーを展開し、リソース・タイプを作成する特定のアプリケーションの下の「リソース・タイプ」を右クリックし、メニューから選択します。
ホーム領域で、その下にリソース・タイプを作成するアプリケーション名を選択し、「リソースのタイプ」の下の「新規」をクリックします。
ホーム領域に無題ページが表示されます。
リソース・タイプに対して次の情報を入力します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。管理コンソールに表示され、検索パラメータとして使用されることがあるため、意味のある値を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。
リソース・ファインダ: (オプション)oracle.security.jps.service.policystore.entitymanager.ResourceFinder
インスタンスを実装するクラスです。これにより、リソースは使用されるポリシー・ストアの外から管理できます。(将来使用するために予約済。)
説明: オプションですが、有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
リソース・タイプで許可されるアクションを「アクション」セクションに追加します。
「新規」をクリックして、「新規アクション」ダイアログを表示します。
アクションの名前を入力します。
入力した文字列はアプリケーションが認可を要求するアクションと一致する必要があります。権限クラスを追加した場合、アクションはそれに対して意味があるものである必要があります。
「保存」をクリックします。
「アクション」リストは新しいアクションで更新されます。
次のいずれかの方法を選択して、作成中のリソース・タイプに属性を追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、構成済みのリソース・インスタンスで簡易検索を実行することで、アプリケーションの使用可能な属性を一覧表示します。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
属性を「検索結果」タブから「属性」というラベルの付いた領域にドラッグ・アンド・ドロップします。
既存の属性の検索ダイアログ
「属性」セクションで、「追加」をクリックし、既存の属性の検索ダイアログを表示します。
リストから属性「タイプ」を選択します。
(オプション)一致させる文字列を「検索」テキスト・ボックスに入力します。
「検索」テキスト・ボックスの横の矢印アイコンをクリックして検索を開始します。
追加する属性を選択し、「追加」をクリックします。
リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
これらの属性はリソースのインスタンス化で使用されます。4.5.3.1項「リソースの作成」を参照してください。
残りのフィールドを構成します。
作成しているリソース・タイプにより選択内容は変わります。
リソース階層のサポート: 「はい」または「いいえ」を選択して、リソース・タイプを階層として設定します。これは、リソース・タイプがリソースのインスタンス化に使用されるときに次のことを意味します。
階層型リソース・タイプから作成されたリソースに適用されるポリシーは、その子であるリソースにも適用できます。
階層型リソース・タイプから作成されたリソースに定義された属性は、その子であるリソースに継承されます。
リソース名のデリミタ: リソース階層のサポートが有効な場合にのみ有効です。デフォルトのデリミタはスラッシュ(/)
です。
ロジックの評価: リソース・タイプの評価ロジックは、権限クラスまたはデフォルトの一致アルゴリズムのいずれの場合もあります。ここでアルゴリズムを定義するか、次で権限クラスを定義します。
権限クラス: ロジックの評価が権限クラスの場合、クラス名が必要で、このクラス名は大/小文字が区別されます。
アクション名のデリミタ: 「リソース・タイプ」が権限を表す場合に、指定した文字を使用してリスト内のアクションを区切ります。
すべてのアクションのキーワード: ポリシーのターゲットにアクションとして定義されたキーワードが含まれる場合、そのポリシーは認可リクエストとともに渡されるアクションと一致します。たとえば、このパラメータがANY
に設定されており、次のポリシーを作成するとします。
GRANT user "Michael" action:"ANY" on resource:"Resource1
「MichaelはResource1に'書込み'を実行できますか」や「MichaelはResource1で'送金'を実行できますか」のような認可リクエストの決定はALLOWを返します。このパラメータを使用すると、そのリソース・タイプに有効なアクションに適用できる1つの認可ポリシーを作成できます。
「保存」メニューから次のいずれかを選択します。
「保存して閉じる」で構成を保存し、アプリケーションの「表示名」に指定した値を使用してタブの名前を変更し、委任管理者とポリシー配布タブをアクティブにします。
保存して別に作成では、ナビゲーション・パネルの情報ツリーに構成を保存しますが、別のアプリケーションを作成できるように無題の領域が開いたままになります。
リソース・タイプを変更するには、次のようにします。
目的のリソース・タイプを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下の「リソース・タイプ」ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.3項「リソース・タイプの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してリソース・タイプを検索し、「検索結果」タブでリソース・タイプ名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にリソース・タイプが作成されたアプリケーション名を選択し、「リソースのタイプ」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.3項「リソース・タイプの検索」を参照してください。
正しいリソース・タイプ名が表示されたら、それを選択して「開く」をクリックし、詳細を表示します。
必要に応じて変更します。
「適用」をクリックします。
リソース・タイプを削除するには、次のようにします。
目的のリソース・タイプを削除するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下の「リソース・タイプ」ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から適切なリソース・タイプを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してリソース・タイプを検索し、「検索結果」タブでリソース・タイプ名をダブルクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から適切なリソース・タイプを選択し、「削除」をクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、適切なアプリケーション名を選択し、「リソースのタイプ」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から適切なリソース・タイプを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
削除の警告が表示されます。
「削除」をクリックします。
リソース・タイプが削除されます。
リソースは、保護アプリケーション内で特定の保護されたターゲットを表します。各リソースは定義済みのリソース・タイプに属し、コンテナ(URL、EJB、JSP)により管理されるソフトウェア・コンポーネント、またはアプリケーション内のビジネス・オブジェクト(レポート、取引、収益のグラフ)を表すことができます。
注意: リソースは階層型(その中で子リソースは親リソースから属性を継承)の場合も非階層型の場合もあります。階層型に編成されている(ルートから下がる)場合、親リソースに新しい属性を追加するか、または継承される既存の属性を上書きすることができます。 |
次の各項では、リソースでの管理操作について説明します。
リソースを作成するには、次のようにします。
次のいずれかの方法を選択して、リソースを作成するページを表示します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開して、「リソース・カタログ」に移動します。「リソース・カタログ」ノードの「リソース」を右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下にリソース・インスタンスが作成されるアプリケーション名を選択し、「リソース」の下の「新規」をクリックします。
注意: このオプションでは、アプリケーションのデフォルトのポリシー・ドメインにリソースを作成します。 |
ホーム領域に無題ページが表示されます。
次の情報を入力します。
リソース・タイプ: リストからオプションを選択します。ここでインスタンス属性および上書き表に表示される内容を定義します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、分かりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
このリソースの属性を、インスタンス属性および上書きダイアログに表示される内容に追加または削除します。
上書きダイアログは階層型リソースの場合にのみ表示されます。
リストから属性を選択し([Ctrl]キーを押しながらクリックすると、リストから複数の項目を選択できます)、「追加」をクリックします。
「保存」メニューから次のいずれかを選択します。
「保存して閉じる」で構成を保存し、アプリケーションの「表示名」に指定した値を使用してタブの名前を変更し、委任管理者とポリシー配布タブをアクティブにします。
保存して別に作成では、ナビゲーション・パネルの情報ツリーに構成を保存しますが、別のアプリケーションを作成できるように無題の領域が開いたままになります。
リソースを変更するには、次のようにします。
目的のリソースを表示するには、次の方法から選択します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開し、「リソース・カタログ」に移動してダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.6項「リソースの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してリソースを検索し、「検索結果」タブでリソース名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にリソース・タイプが作成されたアプリケーション名を選択し、「リソース」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。この検索ダイアログではデフォルトのポリシー・ドメインにのみ問合せます。ホーム領域での検索の詳細は、5.3.6項「リソースの検索」を参照してください。
正しいリソース名が表示されたら、それを選択して「開く」をクリックし、詳細を表示します。
必要に応じてリソースを変更します。
「適用」をクリックします。
リソースを削除するには、次のようにします。
目的のリソースを削除するには、次の方法から選択します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開し、「リソース・カタログ」に移動してダブルクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から適切なリソースを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してリソースを検索し、「検索結果」タブでリソース名をダブルクリックします。検索結果から適切なリソースを選択し、「削除」をクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にリソースが作成されたアプリケーション名を選択し、「リソース」の下の「検索」をクリックしますホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。(この検索ではデフォルトのポリシー・ドメインにのみ問合せます)。検索結果から適切なリソースを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
削除の警告が表示されます。
「削除」をクリックします。
リソースが削除されます。
リソースのインスタンス化後、そこで資格により実行できるアクションを定義します。アクションは、リソースの親リソース・タイプで定義された有効なアクションのセットを使用して定義されます。次の各項では、資格での管理操作について説明します。
注意: 複数のポリシーで同じリソースとアクションのペアのリストを使用する予定がある場合に、資格を作成することがあります。そうでなければ、認可ポリシーを作成するときに、リソースとアクションのペアそのものをターゲットとして直接指定することができます。詳細は、4.5.5項「認可ポリシーの管理」を参照してください。 |
資格を作成するには、次のようにします。
次のいずれかの方法を選択して、資格を作成するページを表示します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開して、「リソース・カタログ」に移動します。「リソース・カタログ」ノードの「資格」を右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下に資格を作成するアプリケーション名を選択し、「資格」から「新規」をクリックします
ホーム領域に無題ページが表示されます。
次の情報を入力します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、分かりやすい表示名を指定することをお薦めします。
資格名: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
次のいずれかの方法を選択して、資格にリソースを追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、リソース・インスタンスで検索を実行することで、アプリケーションの使用可能なリソースを一覧表示します。リソースは資格が作成されているのと同じポリシー・ドメインで検索される必要があります。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
リソースを「検索結果」タブから「リソース」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「ターゲットの追加」ポップ・アップ検索
「ターゲット」セクションで「追加」をクリックします。
「ターゲットの追加」ダイアログが表示されます。これにより現在のポリシー・ドメインで検索されます。
文字列を入力することで、使用可能なターゲットを検索します。
問合せに一致するリソースが「検索結果」に表示されます。検索文字列が入力されないと、指定したタイプのすべてのオブジェクトのリストが返されます。
選択して、「選択済の追加」をクリックします。
ターゲットが「選択されたターゲット」に追加されます。リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
注意: または、「リソース」タブの下のリソース式リンクをクリックし、「リソース・タイプ」を選択して、文字列式を入力し、「ターゲットに追加」をクリックします。これは定義済みの条件を使用して、実行時に動的にターゲットを検索します。管理者権限のコンテキスト内で、文字列式を含む、選択したリソース・タイプに属するすべてのリソースが返されます。 |
「ターゲットの追加」をクリックします。
次のように、リソースにアクションを追加します。
リソース・リストから追加されたリソースを選択し、「リソースの詳細」セクションにリソースの詳細を表示します。
選択した行を展開し、アクションの範囲を表示します。
この領域では、選択したリソースのタイプに対して許可されているアクションのみが選択可能になります。
「アクション」セクションでそのリソースに対する目的のアクションを確認します。
作成している資格に追加された各リソースに対し、この手順を繰り返します。
「保存」メニューから次のいずれかを選択します。
「保存して閉じる」で構成を保存し、アプリケーションの「表示名」に指定した値を使用してタブの名前を変更し、委任管理者とポリシー配布タブをアクティブにします。
保存して別に作成では、ナビゲーション・パネルの情報ツリーに構成を保存しますが、別のアプリケーションを作成できるように無題の領域が開いたままになります。
資格を変更するには、次のようにします。
目的の資格を表示するには、次の方法から選択します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開し、「リソース・カタログ」に移動してダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.7項「資格の検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して資格を検索し、「検索結果」タブで資格名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下に資格が作成されたアプリケーション名を選択し、「資格」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.7項「資格の検索」を参照してください。
正しい資格名が表示されたら、それを選択して「開く」をクリックし、詳細を表示します。
必要に応じて資格を変更します。
「適用」をクリックします。
リソースを削除するには、次のようにします。
目的の資格を削除するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのリソース・カタログの下の「資格」ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から適切なリソースを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して資格を検索し、「検索結果」タブで資格名をダブルクリックします。検索結果から適切なリソースを選択し、「削除」をクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下に資格が作成されたアプリケーション名を選択し、「資格」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から適切なリソースを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
削除の警告が表示されます。
「削除」をクリックします。
資格が削除されます。
認可ポリシーはアクセス権(付与/拒否)を定義するメカニズムです。ユーザー、アプリケーション・ロールまたは外部ロールはポリシーの権限を付与されます。認可ポリシーには次のものが含まれる必要があります。
少なくとも1つのプリンシパル。これはユーザー、外部ロールまたはアプリケーション・ロールである場合があります。コード・ソースはプリンシパルになることはできません。
少なくとも1つのターゲット。これはリソースおよびアクション・アソシエーション(ポリシー内に作成)または資格(ポリシー外で作成し追加)の場合がありますが、両方ではありません。定義済みの結果はPERMITまたはDENYです。
注意: 資格に基づくポリシーは、ビジネス機能と密接に関連しています。ビジネス機能でリソースの集まりの保護を考慮する場合は、資格に基づくポリシーを使用することをお薦めします。資格は、1つ以上の付与で使用できます。 |
次の各項では、認可ポリシーでの管理操作について説明します。
ポリシーを作成するには、次のようにします。
次のいずれかの方法を選択して、ポリシーを作成するページを表示します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「ポリシー・ドメイン」に移動して展開します。「リソース・カタログ」ノードの「認可ポリシー」を右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下に認可ポリシーを作成するアプリケーション名を選択し、「認可ポリシー」から「新規」をクリックします(このオプションを使用する場合、ポリシーはデフォルトのポリシー・ドメインに作成されます)。
ホーム領域に無題ページが表示されます。
次の情報を入力します。
結果: ポリシーで権限を付与する場合は「許可」を、ポリシーで権限を拒否する場合は「拒否」を選択します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、分かりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
次のいずれかの方法を選択して、認可ポリシーにプリンシパルを追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、ユーザー、外部ロールまたはアプリケーション・ロールで検索を実行することで、アプリケーションの使用可能なプリンシパルを一覧表示します。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
プリンシパルを「検索結果」タブから「プリンシパル」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「任意」または「すべて」を選択します。
「任意」の場合、ユーザーは指定したプリンシパルのうち少なくとも1つと一致する必要があります。たとえば、プリンシパルがロールの場合、ユーザーは適用する認可ポリシーの少なくとも1つのロールのメンバーである必要があります。「すべて」の場合、ユーザーは指定したプリンシパルのすべてと一致する必要があります。たとえば、プリンシパルがロールの場合、ユーザーは適用する認可ポリシーのすべてのロールのメンバーである必要があります。
「プリンシパルの追加」ポップ・アップ検索
ポップアップ検索ボックスの使用方法の詳細は、5.1項「管理コンソールを使用した検索」を参照してください。
「プリンシパル」セクションで「追加」をクリックします。
「プリンシパルの追加」ダイアログが表示されます。
適切なタブを選択し、使用可能なプリンシパルを検索します。
オプションは、「アプリケーション・ロール」、外部ロールおよび「ユーザー」です。タブ間を移動し、選択したプリンシパルを必要な数だけ追加できます。
文字列を入力することで、使用可能なプリンシパルを検索します。
問合せに一致するプリンシパルが「検索結果」に表示されます。
選択して、「選択済の追加」をクリックします。
プリンシパルが「選択されたプリンシパル」に追加されます。リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
「プリンシパルの追加」をクリックします。
「任意」または「すべて」を選択します。
「任意」の場合、ユーザーは指定したプリンシパルのうち少なくとも1つと一致する必要があります。たとえば、プリンシパルがロールの場合、ユーザーは適用する認可ポリシーの少なくとも1つのロールのメンバーである必要があります。「すべて」の場合、ユーザーは指定したプリンシパルのすべてと一致する必要があります。たとえば、プリンシパルがロールの場合、ユーザーは適用する認可ポリシーのすべてのロールのメンバーである必要があります。
次のいずれかの方法を選択して、認可ポリシーにターゲットを追加します。
この手順では、リソースおよびアクション・アソシエーションまたは資格あるいはその両方のいずれかを認可ポリシーに追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、検索を実行することで、アプリケーションの使用可能なリソースまたは資格を一覧表示します(認可ポリシーを追加する先と同じポリシー・ドメイン内でこれらのオブジェクトを検索することを確認してください)。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
1つまたは複数のリソースまたは資格を「検索結果」タブから「ターゲット」というラベルの付いた領域にドラッグ・アンド・ドロップします。「ターゲット」に追加されたオブジェクトを展開して、アクションと関連付けることができます。
「ターゲットの追加」ポップ・アップ検索
ポップアップ検索ボックスの使用方法の詳細は、5.1項「管理コンソールを使用した検索」を参照してください。
「ターゲット」セクションで「追加」をクリックします。
「ターゲットの追加」ダイアログが表示されます。
適切なタブを選択し、使用可能なターゲットを検索します。
オプションは「資格」および「リソース」です。タブ間を移動し、選択したターゲットを必要な数だけ追加できます。
文字列を入力することで、「資格」タブの下の使用可能なターゲットを検索します。
問合せに一致するリソースが「検索結果」に表示されます。検索文字列が入力されないと、指定したタイプのすべてのオブジェクトのリストが返されます。
選択して、「選択済の追加」をクリックします。
ターゲットが「選択されたターゲット」に追加されます。リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
文字列を入力することで、「リソース」タブの下の使用可能なターゲットを検索します。
問合せに一致するリソースが「検索結果」に表示されます。検索文字列が入力されないと、指定したタイプのすべてのオブジェクトのリストが返されます。
または、「リソース」タブの下のリソース式リンクをクリックし、「リソース・タイプ」を選択して、文字列式を入力し、「ターゲットに追加」をクリックします。これは定義済みの条件を使用して、実行時に動的にターゲットを検索します。管理者権限のコンテキスト内で、文字列式を含む、選択したリソース・タイプに属するすべてのリソースが返されます。
「ターゲットの追加」をクリックします。
「条件」タブを選択して条件を追加します。
詳細は、4.6項「条件ビルダーの使用」を参照してください。
義務タブを選択します。
認可ポリシーにはゼロ、1つまたは複数の義務が含まれることがあります。
新規義務に「名前」、(オプション)「表示名」および「説明」を入力し、「追加」をクリックします。
「属性」セクションで「新規」をクリックし、義務の属性を追加します。
義務には属性のセットが含まれます。各属性は、名前と値のペアです。値は静的または事前定義された属性の値にすることができます。各義務には少なくとも1つの属性が必要です。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。
新規義務の属性ダイアログに属性の「名前」を入力します。
義務の属性が静的な場合、「データ型」には、「String」、「Integer」、「Boolean」、「Date」または「Time」のいずれかを選択します。義務が属性の場合、データ型には「属性」を選択し、事前定義された属性のリストから選択します。
「追加」をクリックします。
「保存」をクリックして認可ポリシーを保存します。
ポリシーを変更するには、次のようにします。
目的の認可ポリシーを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのポリシー・ドメインの下の「認可ポリシー」ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.8項「認可ポリシーの検索」を参照してください。
ホーム領域で、その下に認可ポリシーを作成したアプリケーション名を選択し、「認可ポリシー」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.8項「認可ポリシーの検索」を参照してください。
正しい認可ポリシーが表示されたら、それを選択して「開く」をクリックし、詳細を表示します。
必要に応じてポリシーを変更します。
変更するプリンシパルを選択します。
詳細は、4.5.5.1項「認可ポリシーの作成」を参照してください。
変更する(または展開する)ターゲットを選択します。
詳細は、4.5.5.1項「認可ポリシーの作成」を参照してください。
「条件」タブをクリックして条件を編集します。
詳細は、4.6項「条件ビルダーの使用」を参照してください。
義務タブをクリックし、義務またはその属性を変更します。
義務を変更するには、義務表から「編集」をクリックし、表示されたダイアログで変更を行い、「更新」をクリックします。
属性を変更するには、「属性」表から属性を選択して「編集」をクリックします。表示されたダイアログで変更を行い、「更新」をクリックします。
義務を変更するには、義務表から属性を選択して「削除」をクリックします。
「適用」をクリックします。
認可ポリシーを削除するには、次のようにします。
認可ポリシーの検索画面を表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのポリシー・ドメインの下の「認可ポリシー」ノードを探して右クリックし、「開く」を選択します。ホーム領域に検索ダイアログが表示されます。
ホーム領域で、その下に認可ポリシーを作成したアプリケーション名を選択し、「認可ポリシー」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。
ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
検索の条件を入力し、「検索」をクリックします。
検索結果から適切な認可ポリシーを選択し、「削除」をクリックします。
アプリケーション・ロールはアプリケーション・レベル(したがってその名前)で定義されます。アプリケーション・ロールはエンタープライズ・ユーザー、グループまたはアイデンティティ・ストアのロール、またはポリシー・ストアの別のアプリケーション・ロールに割り当てることができます。1つのターゲット・アプリケーションが複数の異なるロールを持ち、よりきめの細かい認可のために、それぞれが異なる権限のセットを割り当てられることが可能です。メンバーシップは、ロール・マッピング・ポリシーを使用して静的または動的に付与できます。
注意: ロール・マッピング・ポリシーでは、ロールをサブジェクトに割り当て、認可ポリシーではロールのアクセス権限を定義します。 |
次の手順で関係を確立することで、アプリケーション・ロールを使用してアクセスを制御できます。
アプリケーション・ロールを定義して、ユーザーがアプリケーションで持つ機能ロールを表します。
各アプリケーション・ロールを外部ロールまたは個別のユーザーにマッピングします。
認可ポリシーを作成し、アプリケーション・ロールの目標を達成するのに必要なレベルのアクセス権(許可/拒否)を提供します。
アプリケーション・ロールをプリンシパルとして1つまたは複数の認可ポリシーに追加します。
アプリケーション・ロールはロールの継承および階層を使用します。継承パターンは、サブジェクトがロールに割り当てられる(ロール・マッピング・ポリシーまたは静的ロールの割当てを使用)ようなもので、ロール・マッピング・ポリシーにより禁止されなければ、子ロールも継承します。アプリケーション・ロールがポリシー・プリンシパルとして参照されるとき、ロールに割り当てられたすべてのユーザーのリソースへのアクセスは、ポリシーにより管理されます。次の各項では、アプリケーション・ロールでの管理操作について説明します。
次の手順では、新しいアプリケーション・ロールを作成する手順について説明します。同時にメンバーをロールに追加する必要はなく、保存したロールに後で戻ることができます。アプリケーション・ロールを作成するには、次のようにします。
次のいずれかの方法を選択して、アプリケーション・ロールを作成するページを表示します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下のロール・カタログに移動します。ロール・カタログ・ノードを右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下にアプリケーション・ロールを作成するアプリケーション名を選択し、「アプリケーション・ロール」から「新規」をクリックします
「一般」(アクティブ)、「アプリケーション・ロール階層」、「外部ロール・マッピング」および外部ユーザー・マッピングの、4つのタブのある無題ページがホーム領域に表示されます。
次の情報を「一般」タブで入力します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、分かりやすい表示名を指定することをお薦めします。
ロール名: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
ロール・カテゴリ: ロール・カテゴリは管理を容易にするためにロールに割り当てることができるタグです。4.5.8項「ロール・カテゴリの管理」を参照してください。
「保存」をクリックします。
ページは「ロール名」に指定したエントリと一致する名前になり、「アプリケーション・ロール階層」、「外部ロール・マッピング」および外部ユーザー・マッピングのタブがアクティブになります。この時点で、「ポリシーの作成」またはポリシーの検索をそれぞれクリックして、このアプリケーション・ロールをプリンシパルとして使用してポリシーを作成するか、このアプリケーション・ロールをプリンシパルとして使用してポリシーを検索することができます。アプリケーション・ロール階層を定義するには、次の手順に続きます。
オプションで、アプリケーション・ロール階層タブを選択し、このアプリケーション・ロールが権限を継承する(Inherits)元のロールを定義し、このアプリケーション・ロールが権限を定義する(Is Inherited By)対象のロールを定義します。階層は必須ではありませんが、定義する場合には、次の例のサブ手順が前のオプションに特有の手順です。
「継承」をクリックします。
「追加」をクリックします。
階層を追加しているロールに対応するラジオ・ボタンを選択します。
階層にロールを追加する場合、その下で作業中のロールにロールを追加するか、またはアプリケーション・ロール階層表で選択できるロールに追加することができます。
ロールの追加ダイアログの条件フィールドを完成し、「検索」をクリックします。
結果が「検索結果」表に表示されます。空の文字列の場合、すべてのロールをフェッチします。
このロールが「検索結果」表から権限を継承する元のロールを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
「追加」をクリックします。
選択したロールがアプリケーション・ロール階層タブに表示され、アプリケーション・ロールはそこから権限を継承します。
外部ロール・マッピングの詳細は、4.5.6.3項「外部ロールのアプリケーション・ロールへのマッピング」を参照してください。外部ユーザー・マッピングの詳細は、4.5.6.4項「外部ユーザーのアプリケーション・ロールへのマッピング」を参照してください。
アプリケーション・ロールを変更または表示するには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して右クリックし、「開く」を選択します。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
正しいアプリケーション・ロールが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
変更するパラメータを含むタブを選択し、「追加」をクリックします。
使用可能なタブの詳細は、次を参照してください。
アプリケーション・ロール階層: アプリケーション・ロールの作成
外部ロール・マッピング: アプリケーション・ロールへの外部ロールのマッピング
外部ユーザー・マッピング: 外部ユーザーのアプリケーション・ロールへのマッピング
外部ロールをアプリケーション・ロールにマッピングするには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してアプリケーション・ロールを検索し、「検索結果」タブでアプリケーション・ロール名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
正しいアプリケーション・ロールが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
外部ロール・マッピングタブを選択します。
「追加」をクリックして、「ロールの追加」ダイアログを表示します。
ロールの追加ダイアログの問合せフィールドを完成し、「検索」をクリックします。
空の文字列の場合、すべてのロールをフェッチします。結果が外部ロール検索表に表示されます。
表内で、マップする外部ロールの名前をクリックして、外部ロールを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
ロールのマップをクリックします。
選択したロールが外部ロール・マッピングタブに表示されます。
外部ユーザーをアプリケーション・ロールにマッピングするには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してアプリケーション・ロールを検索し、「検索結果」タブでアプリケーション・ロール名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
正しいアプリケーション・ロールが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
外部ユーザー・マッピング・タブを選択します。
「追加」をクリックして、「ユーザーの追加」ダイアログを表示します。
「ユーザーの追加」ダイアログの問合せフィールドを完成し、「検索」をクリックします。
空の文字列の場合、すべてのロールをフェッチします。結果が外部ユーザー検索表に表示されます。
表内で、マップするユーザーの名前を選択して、ユーザーを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
ユーザーのマップをクリックします。
選択したロールが外部ユーザー・マッピングタブに表示されます。
アプリケーション・ロールを削除する、またはアプリケーション・ロールから外部ロール・マッピングを削除するには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して右クリックし、「開く」を選択します。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
「検索結果」アプリケーション・ロールを選択し、次を行います。
「削除」をクリックしてロールを削除します。
外部ロール・マッピング表から適切なマッピングを選択し、「削除」をクリックします。
アプリケーション・ロールへのメンバーシップは、ロール・マッピング・ポリシーを使用して静的または動的に付与できます。アプリケーション・ロールはロール・マッピング・ポリシーで参照され、ユーザーに定義済みのリソースへのアクセス権を付与できます。次の各項では、ロール・マッピング・ポリシーでの管理操作について説明します。
ロール・マッピング・ポリシーを作成するには、次のようにします。
次のいずれかの方法を選択して、ロール・マッピング・ポリシーを作成するページを表示します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードに移動して、ロール・カタログ・ブランチを展開します。ロール・マッピング・ポリシーを右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下にロール・マッピング・ポリシーを作成するアプリケーション名を選択し、ロール・マッピング・ポリシーから「新規」をクリックします。
ホーム領域に無題ページが表示されます。
次の情報を入力します。
結果: ポリシーで権限を付与する場合は「許可」を、ポリシーで権限を拒否する場合は「拒否」を選択します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、分かりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。
説明: オプションですが、ポリシーに関する有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
次のいずれかの方法を選択して、アプリケーション・ロールを追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、検索を実行することで、アプリケーションの使用可能なアプリケーション・ロールを一覧表示します詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
アプリケーション・ロールを「検索結果」タブから「アプリケーション・ロール」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「アプリケーション・ロールの追加」ダイアログ
「アプリケーション・ロール」セクションで「追加」をクリックします。
「アプリケーション・ロールの検索」ダイアログが表示されます。
文字列を入力することで、アプリケーション・ロールを検索します。
問合せに一致するリソースが「検索結果」に表示されます。
追加するプリンシパルを選択し、アプリケーション・ロールの追加をクリックします。
リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
注意: このリリースのこのダイアログでは、プリンシパルの検索のタイトルと「プリンシパルの追加」ボタンが表示されます。 |
次のいずれかの方法を選択して、プリンシパルを追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、検索を実行することで、アプリケーションの使用可能なユーザーおよび外部ロールを一覧表示します。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ユーザーおよび外部ロールを「検索結果」タブから「プリンシパル」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「プリンシパルの追加」ダイアログ
「プリンシパル」セクションで「追加」をクリックします。
プリンシパルの検索ダイアログが表示されます。
文字列を入力することで、使用可能なプリンシパル(この場合、ユーザーまたは外部ロール)を検索します。
問合せに一致するリソースが「検索結果」に表示されます。
追加するプリンシパルを選択して、「プリンシパルの追加」をクリックします。
リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
オプションで、次のいずれかの方法を選択して、リソース(ターゲットとも呼ばれます)を追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、検索を実行することで、アプリケーションの使用可能なリソースを一覧表示します詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
1つまたは複数のリソースまたは資格を「検索結果」タブから「リソース」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「ターゲットの追加」ポップ・アップ検索
「リソース」セクションで「追加」をクリックします。
「ターゲットの追加」ダイアログが表示されます。
リソースを含むポリシー・ドメインを選択します(適用可能な場合)。
文字列を入力し、「検索」をクリックします。
問合せに一致するリソースが「検索結果」に表示されます。検索文字列が入力されないと、指定したタイプのすべてのオブジェクトのリストが返されます。
追加する適切なターゲットを選択して、「選択済の追加」をクリックします。
ターゲットが「選択されたターゲット」に追加されます。リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
リソース式リンクをクリックし、ターゲットとして式を追加します。
リソース・タイプを選択し、文字列式を入力して、「ターゲットに追加」をクリックします。これは定義済みの条件を使用して、実行時に動的にターゲットを検索します。管理者権限のコンテキスト内で、文字列式を含む、選択したリソース・タイプに属するすべてのリソースが返されます。
「ターゲットの追加」をクリックします。
条件ビルダーの使用の詳細は、4.6項「条件ビルダーの使用」を参照してください。
「保存」をクリックします。
ロール・マッピング・ポリシーを変更するには、次のようにします。
目的のロール・マッピング・ポリシーを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのロール・カタログ・ノードの下のロール・マッピング・ポリシーを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、ロール・マッピング・ポリシーの下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
正しいロール・マッピング・ポリシーが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
必要に応じてポリシーを変更します。
「適用」をクリックします。
ロール・マッピング・ポリシーを削除するには、次のようにします。
目的のロール・マッピング・ポリシーを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのロール・カタログ・ノードの下のロール・マッピング・ポリシーを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、ロール・マッピング・ポリシーの下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
正しいロール・マッピング・ポリシーが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
削除するロール・マッピング・ポリシーをダブルクリックします。
ホーム領域にロール・マッピング・ポリシーが表示されます。
ホーム領域の右上隅の「削除」をクリックします。
ロール・カテゴリは管理を容易にするためにロールに割り当てることができるタグです。ロール・カテゴリを作成または削除することはできますが、変更はできません。ロール・カテゴリを作成するには、次のようにします。ロール・カテゴリの削除手順は、最後の手順の後に詳しく説明します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードを展開し、ロール・カテゴリ・ノードをダブルクリックします。
ホーム領域にロール・カテゴリ・ページが表示されます。
「新規」をクリックして、「新規カテゴリ」ダイアログ・ボックスを表示します。
次の情報を入力します。
名前
表示名
説明
「作成」をクリックします。
ロール・カテゴリ・リストに新しいカテゴリが表示されます。
ロール・カテゴリを削除するには、ナビゲーション・パネルで、適切な「アプリケーション」ノードを展開し、ロール・カテゴリ・ノードをダブルクリックします。削除するロール・カテゴリを選択し、「削除」をクリックします。
属性と関数はそれらが作成されたアプリケーションの「拡張」ノードの下に編成された定義です。属性および関数の定義は条件や義務で使用することができます。条件については、属性および関数の定義を使用して、保護リソースへのアクセスをさらに制限するためにポリシーに追加できるオプションの式を作成できます。義務については、このオプションの名前と値のペアのセットは、ポリシー決定とともに、追加の情報をコール側アプリケーションに返します。義務を定義するには次の2つの方法があります。
絶対値を含む属性が返される場合に、静的に定義。
属性値またはカスタム関数が実行時に評価され出力が返される場合に、動的に定義。
属性は、実行時に動的に定義される値(たとえばユーザーの地域)や、保護リソースのタイプに基づく値(たとえばテキスト・ファイルの作成日)の場合があります。ポリシーの評価中に、属性値はアプリケーションにより渡されることができるか、またはOracle Entitlements Serverが属性リトリーバ・コンポーネントを使用して取得できます。属性には定義済みの型が必要です。ブール、整数、日付、時間および文字列がOracle Entitlements Serverの事前定義済みの型です。属性は、単数または複数の値のリストである場合があります。関数は外部で実装されたロジックの定義です。ポリシーの結果に対する条件としてポリシーに追加できます。次の各項では、属性および関数での管理操作について説明します。
属性を作成するには、次のようにします。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。
「属性」ノードを右クリックし、メニューから「新規」を選択します。
ホーム領域に無題ページが表示されます。
属性に対して次の情報を入力します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、分かりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
カテゴリ: 「リソース」および「動的」からこの必要なパラメータの値を選択します。
型: 「String」、「Date」、「Integer」、「Boolean」、「Time」から選択します。
入力値: 「単一」および「複数」から選択します。
「保存」メニューから次のいずれかを選択します。
「保存して閉じる」で構成を保存し、「表示名」に指定した値を使用してタブの名前を変更します。
保存して別に作成ではナビゲーション・パネルの情報ツリーに構成が保存されますが、別の属性を作成するための無題の領域は開かれたままになります。
属性を変更するには、次のようにします。
目的の属性を表示するには、次の方法から選択します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。属性をダブルクリックしてホーム領域に検索ダイアログを表示します。ホーム領域での検索の詳細は、5.3.9項「属性の検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して属性を検索し、「検索結果」タブで属性名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
正しい属性が表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
必要に応じて属性を変更します。
「適用」をクリックします。
属性を削除するには、次のようにします。
属性を表示するには、次の方法から選択します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。属性を右クリックして「開く」を選択し、ホーム領域に検索ダイアログを表示します。検索の条件を入力し、「検索」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して属性を検索し、「検索結果」タブで属性名を右クリックして「開く」を選択し、ホーム領域に属性を表示します。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
属性を選択し、「削除」をクリックします。
削除の警告が表示されます。
「はい」をクリックします。
関数を作成するには、次のようにします。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。
「関数」ノードを右クリックし、メニューから「新規」を選択します。
ホーム領域に無題ページが表示されます。
関数に対して次の情報を入力します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、分かりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
関数クラス名: 機能を提供するクラスの名前です。
入力パラメータ: 関数に渡されるパラメータの型のリストです。
戻り型: 関数により戻されるデータ型を選択します。
構文プレビューは関数の構文をプレビュー表示します。
「保存」メニューから次のいずれかを選択します。
「保存して閉じる」で構成を保存し、「表示名」に指定した値を使用してタブの名前を変更します。
保存して別に作成ではナビゲーション・パネルの情報ツリーに構成が保存されますが、別に作成するための無題の領域は開かれたままです。
関数を変更するには、次のようにします。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。
関数をダブルクリックしてホーム領域に検索ダイアログを表示します。
関数を表示する検索条件を入力します。
ホーム領域での検索の詳細は、5.3.10項「関数の検索」を参照してください。
「検索結果」から関数を選択し、「開く」をクリックします。
ホーム領域に関数の詳細が表示されます。
必要に応じて関数を変更します。
「適用」をクリックします。
関数を削除するには、次のようにします。
関数を表示するには、次の方法から選択します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。関数を右クリックして「開く」を選択し、ホーム領域に検索ダイアログを表示します。検索の条件を入力し、「検索」をクリックします。「検索結果」から適切な関数を選択します。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して関数を検索し、「検索結果」タブで関数名を右クリックして「開く」を選択し、ホーム領域に関数を表示します。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
「削除」をクリックします。
削除の警告が表示されます。
「はい」をクリックします。
ポリシー・ルールのオプションの条件を使用して、アクセスのリクエストへの応答で返された認可決定の適用性を評価できます。たとえば、条件を使用して、リクエストが特定の場所からまたは特定の時間に発行された場合に限り、リソースへのアクセス権を付与することができます。
注意: ロール・マッピング・ポリシーの条件は、認可ポリシーの条件と同じ機能を提供し、同じ形式をとります。 |
条件は式の形で作成され、trueかfalseかが決定されます。式の結果がtrueの場合、ポリシーの条件は満たされ、ポリシーが適用されます。式の結果がtrueでない場合、ポリシーは適用されません。式は属性、関数またはリテラルを操作できます。Oracle Entitlements Serverには挿入できる事前定義済みの属性および関数が含まれますが、カスタムの属性および関数を作成することもできます。リテラルはサポートされるデータ型に属する定数です。
注意: すべての属性と関数(カスタムおよび事前定義済みの両方)は、アプリケーションの「拡張」ノードの下で、作成、収集、およびさらに管理されます。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
条件ビルダーにより、管理者は条件式をすばやく作成して、認可ポリシーまたはロール・マッピング・ポリシーに追加することができます。次の手順では、条件ビルダーを使用してポリシーに条件を作成する方法について説明します。条件を作成するには、認可ポリシーまたはロール・マッピング・ポリシーを作成または変更します。次のいずれかの手順に従うことで、条件を作成できます。
適切な画面が表示されたら、次の手順に従います。
「条件」タブをクリックします。
「条件の編集」をクリックします。
条件ビルダーが(図4-1に表示されているように)表示されます。左側の条件式のフレームに注意してください。フレームには2つの「追加」置換可能と演算子のドロップ・ダウンが含まれています(ドロップ・ダウンは演算子が追加されるまでは空白です)。式コンポーネントのタブ、「属性」、「関数」、「リテラル」は右側にあります。これらのタブから「式」フレームにコンポーネントを追加して条件を作成します。
条件に追加するコンポーネントのタイプを含むタブをクリックします。
図4-2はオペランド値タブのスクリーン・ショットです。これらのタブに表示されている属性と関数は、ポリシーが作成されているアプリケーションに基づいてフィルタされます。たとえば、Application 1で作成されたカスタム関数は、条件ビルダーがApplication 2でポリシーを作成するためにアクティブにされている場合には表示されません。
条件に追加するコンポーネントを含む行を選択し、「追加」をクリックします。
青いiをクリックし、コンポーネントに関する詳細を含む「詳細」ボックスを表示します。図4-3は文字列値をとるSYS_APP属性が追加された後のスナップショットです。
適切なオペランド値を選択し、「追加」をクリックすることで、値を式の右側に移入します。
ドロップ・ダウンをクリックし、項目を選択することで、演算子を条件ビルダーの右側に指定します。
演算子のオプションはオペランド値により異なります。
該当する場合は、式の最後の矢印をクリックし、ドロップ・ダウン・メニューからAND、ORまたはNOTを選択することで、式を追加します。
REMOVEによりすべてのコンポーネントの式がクリアされるので、再び開始できます。
該当する場合、適切なオペランド値タブから、追加の式に対するコンポーネントを選択します。
現在の式の最後の矢印をクリックし、オペランド値タブから選択することで、必要な数の式(およびコンポーネント)を追加できます。
「完了」をクリックして条件を完成させます。
式を作成するために条件ビルダー内を移動するときには、次の点を考慮する必要があります。
条件ビルダーには追加の詳細のためにほとんどのフィールドにツール・ヒントが含まれています。
オペランド値の情報については、適切な青いiをクリックします。
少なくとも、式には2つのオペランドと1つの演算子が含まれている必要があります。
属性と属性、属性と関数、属性とリテラル、関数と関数、関数とリテラルを比較できます。
関数の入力パラメータには、属性、リテラルまたは関数を使用できます。
表示された演算子の選択は最初のオペランドの選択と直接関係します。たとえば、「次より小さい」または「次と等しい」を文字列で実行することはできません。
式内で表示された2番目のオペランド値の選択も最初のオペランドの選択と直接関係します。
REMOVEによりすべてのコンポーネントに関係する式がクリアされるので、再び開始できます。全部の条件がクリアされるわけではありません。
完成した条件(式)は実行時にOracle Entitlements Serverにより評価されます。解釈は優先のルールにより管理されます。
この条件の出力はブールである必要があります。
次の各項では、さらに複雑な条件の手順を示します。
この手順では、カッコを使用して複雑な式を作成する方法について説明します。
次のいずれかの手順に従うことで、条件ビルダーを使用できます。
「条件」タブをクリックします。
「条件の編集」をクリックします。
条件ビルダーは図4-1のように表示されます。
「属性」タブをクリックします。
DateAttr
カスタム属性を選択し、「追加」をクリックします。
DateAttr
は事前定義済みのOracle Entitlements Serverの属性ではないので、この手順はカスタム属性が4.5.9項「属性および関数を拡張として管理」に記載されているとおりに定義されていることを前提とします。DateAttrは演算子の左側に追加されます。
演算子として等号(=)を選択します。
CURRENT_GMT_DATE
事前定義属性を選択し、「追加」をクリックします。
CURRENT_GMT_DATE
は事前定義済みのOracle Entitlements Serverの属性で、「属性」タブで表示できます。これは演算子の右側に追加されます。
コードの最後の行で適切なAND、ORまたはNOT操作を選択することで、条件をより複雑にします。
カッコは一致する必要があります。開きカッコと閉じカッコの数は等しくなければなりません。コードの最後の行で操作を選択する場合、操作にはコード自体が含まれます。条件全体の最後で操作を選択する場合、全体として条件に追加できます。
必要に応じて、「属性」、「関数」または「リテラル」から値を選択することで条件を追加します。
完了後、「完了」をクリックします。
この手順では、パラメータを関数に渡す方法について説明します。
次のいずれかの手順に従うことで、条件ビルダーを使用できます。
「条件」タブをクリックします。
「条件の編集」をクリックします。
条件ビルダーは図4-1のように表示されます。
「関数」タブをクリックします。
STRING_EQUALを選択し、「追加」をクリックします。
図4-4は追加された関数を示し、渡される必要のある2つのパラメータのプレースフォルダを含んでいます。この関数は2つの文字列(1つは事前定義済み属性の値)を比較します。
まだの場合、最初のパラメータを選択します。
「属性」タブをクリックします。
SYS_USERを選択し、「追加」をクリックします。
2番目のパラメータが強調表示され、「リテラル」タブがアクティブになります。
2番目のパラメータの値を入力し、「追加」をクリックします。
この例では、joeです。演算子の右側のブールが強調表示され、「リテラル」タブがアクティブになります。
適切な演算子を選択します。
「ブール」置換可能をクリックし、この関数の出力がtrueまたはfalseのいずれである必要があるかを選択します。
適切と思われるオペランドを追加します。
完了後、「完了」をクリックします。