| Oracle® Fusion Middleware Oracle Entitlements Server管理者ガイド 11g リリース1 (11.1.1) B65044-01 |
|
 前 |
 次 |
ポリシー配布は、構成されたポリシーを作成するために使用されるプロセス、および評価のために使用可能なポリシー・データで構成されます。ポリシーの評価によって、アクセス・リクエストへの回答で、付与または拒否の認可が決定されます。この章の内容は次のとおりです。
ポリシーの管理とポリシーの配布は、異なる操作です。ポリシー管理操作は、ポリシー・ストア内のポリシーを定義、変更および削除するために使用されます。ポリシー配布コンポーネントは、保護されたリソースへのアクセス権を付与または拒否するためにデータを使用するセキュリティ・モジュールで、ポリシーを使用可能にします。ポリシーは、配布されるまで適用されません。ポリシー配布には、次のアクションのいずれかまたはすべてが含まれます。
ポリシー・ストアからのポリシーの読取り。
認可リクエスト処理中に使用するセキュリティ・モジュールによって維持されるメモリー内ポリシー・キャッシュにあるポリシー・オブジェクトのキャッシング。
ポリシー配布コンポーネントに対してローカルな、ポリシー・ストアから独立したファイルベースの永続キャッシュにあるポリシー・オブジェクトの保存。
中央のOracle Entitlements Server管理コンソールと、(保護されたアプリケーションに)ローカルにインストールされたセキュリティ・モジュールの両方に、ポリシー配布コンポーネントコンポーネントが含まれます。このアーキテクチャによって、次の2つのデプロイメント・シナリオが認められます。1つ目は、多くのセキュリティ・モジュールと通信できる集中ポリシー配布コンポーネントに関係し、2つ目は、1つのセキュリティ・モジュールに対してローカルで、1つのセキュリティ・モジュールと通信するポリシー配布コンポーネントに関係します。
|
注意: ポリシー配布用のセキュリティ・モジュールの構成の詳細は、A.1項「ポリシー配布構成」を参照してください。定義の作成およびセキュリティ・モジュールのバインドの詳細は、8.2項「セキュリティ・モジュール定義の構成」を参照してください。 |
次の各項では、詳細を説明します。
集中ポリシー配布コンポーネント・シナリオは、セキュリティ・モジュールのポリシー配布コンポーネント・クライアントと通信するサーバーとして機能する、(管理コンソール内の)ポリシー配布コンポーネントの使用に関係します。図7-1は、このシナリオで、セキュリティ・モジュールのポリシー配布コンポーネント・クライアントがポリシー・ストアと通信しない方法を示します。ポリシーの配布は、Oracle Entitlements Server管理者によって開始され、ポリシー配布コンポーネント・クライアントにプッシュされます。現在、7.2.1項「制御された配布」で説明しているように、制御された方法でのみデータをプッシュできます。このシナリオでは、多くのセキュリティ・モジュールと通信できる集中ポリシー配布コンポーネントが許可されます。
図7-1 Oracle Entitlements Serverポリシー配布コンポーネントの使用
ローカルの(セキュリティ・モジュールへの)シナリオは、ポリシー・ストアと直接通信するセキュリティ・モジュールのポリシー配布コンポーネントに関係します。このシナリオでは、ローカルのポリシー配布コンポーネントは、1つのセキュリティ・モジュールのみと通信できます。アプリケーションは、管理操作を管理し、ポリシー配布コンポーネントのセキュリティ・モジュール・インスタンスがポリシーまたはポリシー・デルタを配布するタイミングを決定します。このデプロイメントでは、図7-2に示すように、ポリシー配布コンポーネントは、(配布されるデータがあるかポリシー・ストアを定期的にチェックすることによって、)ポリシー・ストアからデータをプルし、ポリシー・ストアからポリシー・データを送信して、管理者が開始したポリシー配布の後にPDPに対して使用可能にします。
現在、7.2.1項「制御された配布」で説明しているような制御された方法、または、7.2.2項「制御されない配布」で説明しているような制御されない方法のいずれかで、データをプルできます。
Oracle Entitlements Serverでは、アプリケーションおよびサービスを保護する個々のセキュリティ・モジュールへのポリシーの配布タスクを処理します。ポリシー・データは、制御された方法または制御されない方法のいずれかで配布されます。配布モードは、各セキュリティ・モジュールに対して、jps-config.xml構成ファイルで定義されます。指定した配布モードは、そのセキュリティ・モジュールにバインドされたすべてのアプリケーション・オブジェクトに適用可能です。次の各項では、配布モードの詳細を説明します。
制御された配布は、デフォルトの配布モードです。これは、ポリシー配布コンポーネントによって開始され、PDPクライアント(セキュリティ・モジュール)が最後の配布以降に作成または変更されたポリシー・データを受信することを確認します。この点において、配布は、新規または更新済のポリシー・データを配布するための明示的なアクションを実行する、ポリシー管理者によって制御されます。(ポリシー配布コンポーネントは、ポリシー変更および配布を追跡するバージョニング・メカニズムを維持します。)制御された配布を有効化すると、セキュリティ・モジュールは、ポリシー配布コンポーネントの配布を直接リクエストできません。
|
注意: セキュリティ・モジュールが開始し、それ自体を構成IDを持つポリシー配布コンポーネントに登録する場合は例外です。ポリシーは、この登録に基づいて、セキュリティ・モジュールに配布されます。 |
制御された配布の場合、ポリシー配布コンポーネントは、ローカルの永続キャッシュ(ポリシー・オブジェクトを格納し、ポリシー・ストアから独立するためにPDPによって維持されているファイルベースのキャッシュ)にデータを格納するセキュリティ・モジュールに、新規または更新済のポリシー・データを配布します。ポリシー配布コンポーネントは、セキュリティ・モジュール・クライアントへの一定のライブ接続を維持しません。ポリシーを配布する前に接続を確立します。そのため、セキュリティ・モジュールは、ポリシーを決定する際にポリシー・ストアに依存しません。ポリシー・ストアがオフラインの場合、それ自体のローカル・キャッシュを使用できます。セキュリティ・モジュールが開始すると、ポリシー・ストアが使用可能かどうかチェックされます。使用不可の場合、セキュリティ・モジュールはローカルの永続キャッシュからポリシー・データを使用します。
|
注意: 制御された配布は、データベース・タイプのポリシー・ストアでのみサポートされ、LDAPベースのポリシー・ストアではサポートされません。LDAPポリシー・ストア用に配布APIが呼び出される場合、それは操作不能になります。 |
制御された配布では、ポリシー配布操作が失敗すると、ポリシー配布全体が失敗します。デフォルトでは、制御された配布は無効化されます。
PDPクライアント(セキュリティ・モジュール)がポリシー・ストアからポリシーおよびポリシー変更を定期的に取得(プル)する場合、これは制御されない配布と呼ばれます。ポリシー変更がポリシー・ストアに保存されるとすぐに、制御されない配布によってポリシー変更が使用可能になります。制御されない配布は、セキュリティ・モジュールによって開始され、完了していないポリシーを取得することがあります。ポリシー・ストアは、オンラインで、制御されない配布に対して常に使用可能である必要があります。制御されない配布は、どのポリシー・ストア・タイプでもサポートされます。
上位レベルから、ポリシーを配布できるポイント到達するように、次の手順を実行する必要があります。
セキュリティ・モジュール定義を作成します。
8.2.1項「セキュリティ・モジュール定義の作成」を参照してください。
定義を適切なアプリケーションにバインドします。
8.2.2項「セキュリティ・モジュールへのアプリケーションのバインド」を参照してください。セキュリティ・モジュールをバインド解除するには、8.2.3項「セキュリティ・モジュールからのアプリケーションのバインド解除」を参照してください。
「ホーム」領域でアプリケーションを開きます。
7.3.1項「管理コンソールを使用したポリシーの配布」を参照してください。
ポリシーを配布します。
7.3.1項「管理コンソールを使用したポリシーの配布」を参照してください。
ポリシーは、アプリケーション内から配布されます。次の手順では、管理コンソールを使用したポリシーの配布方法を説明します。
ナビゲーション・パネルで、アプリケーション・ノードを開きます。
変更するアプリケーションを選択します。
アプリケーション名を右クリックして、メニューから「オープン」を選択します。
「一般」タブ、委任管理者タブおよびポリシー配布タブはすべてアクティブです。
ポリシー配布タブをクリックします。
ポリシーを配布するセキュリティ・モジュールの定義を選択します。
「配布」をクリックします。
「リフレッシュ」をクリックして、配布の進行状況を更新します。
