| Oracle® Fusion Middleware Oracle Entitlements Server管理者ガイド 11g リリース2 (11.1.2.1) B71695-03 |
|
 前 |
 次 |
セキュリティ・モジュール構成ユーザー・インタフェース(SMConfig UI)は、OESクライアントが正常にインストールされ、セキュリティ・モジュール・タイプがインスタンス化された後に、セキュリティ・モジュールを構成するために使用します。基本構成はインストール・プロセスおよびインスタンス化プロセスで実行されますが、SMConfig UIでは詳細な構成を実行したり、セキュリティ・モジュール・プロファイルを変更したりできます。この章の内容は次のとおりです。
SMConfig UIでは、次のOracle Entitlements Serverインストール手順が完了済であることを前提としています。
Oracle Entitlements Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
OESクライアントのインストールおよびセキュリティ・モジュールのインスタンス化の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
OESクライアントにより、セキュリティ・モジュール・ビットとSMConfigツールがインストールされます。SMConfigツールでは、セキュリティ・モジュール・タイプを定義し、セキュリティ・モジュール・インスタンスごとのディレクトリ構造を作成します。インスタンスのホーム・ディレクトリが$OES_CLIENT_HOME/oes_sm_instances/SM_Name/に作成されます。ここには、該当するセキュリティ・モジュールSMConfig UIスクリプトを実行するために使用する構成ファイルがあります。oessmconfig.shとoessmconfig.batはセキュリティ・モジュール・インスタンスのホーム・ディレクトリの/binディレクトリにあります。
|
注意: Oracle Entitlements Server 11gR2以降は、セキュリティ・モジュールをFusion Middlewareドメインのバージョン11gR1 PS5 (11.1.1.6.0)以降にインストールできます。また、Oracle Entitlements Serverセキュリティ・モジュールがJRFドメインにインストールされている場合は、非制御モードのみがサポートされます。 |
SMConfig UIは、OESクライアント・インストール・パッケージで配布されるJavaベースのスタンドアロン・ツールです。このツールでは、各種のデータの中でも特に、ポリシー決定ポイント(PDP)、ポリシー情報ポイント(PIP)およびポリシー・ストアを構成します。SMConfig UIスクリプトは、セキュリティ・モジュールをインスタンス化する際に作成されるディレクトリ($OES_CLIENT_HOME/oes_sm_instances/SM_Name/bin/など)にあります。
SMConfig UIスクリプトの名前は、Linux環境ではoessmconfig.sh、Windows環境ではoessmconfig.batです。SMConfig UIを起動するには、適切なセキュリティ・モジュール・インスタンスのディレクトリのbinディレクトリに変更して、コマンドラインから次のスクリプトを実行します。
cd $OES_CLIENT_HOME/oes_sm_instances/SM_Name/bin/
./oessmconfig.sh
SMConfig UIは、セキュリティ・モジュールと同じホストで実行されます。このスクリプトにより、セキュリティ・モジュールのjps-config.xmlファイルが変更されます。jps-config.xmlの場所は、最初にセキュリティ・モジュールを作成するときに、入力パラメータとして指定できます。このパラメータが指定されない場合、(セキュリティ・モジュールのホーム・ディレクトリ$OES_CLIENT_HOME/oes_sm_instances/SM_Name/configにある)デフォルト・ファイルが使用されます。
|
注意: WebLogic Serverセキュリティ・モジュールの場合は、
|
図8-1は、Javaセキュリティ・モジュールのSMConfig UIのスクリーンショットです。
セキュリティ・モジュール・タイプに応じて、次の一部またはすべてを構成する可能性があります。
非制御モードでインストールされている場合、「ポリシー・ストア・タイプ」としてLDAP、Oracle DBまたはXMLのいずれかを構成します。
データベースの場合、場所のURLとデータベース資格証明を定義して、データベースへの接続を確認します。
LDAPストアの場合、場所のURLとLDAP資格証明を定義して、LDAPへの接続を確認します。
制御プッシュ・モードでインストールされている場合、ポリシー配布のホスト、配布ポート、リスナー・ポート、ユーザー名およびパスワードを構成します。
プロキシ・モードでインストールされている場合、通信プロトコルおよびセキュリティ・モジュールのホストと配布ポイントを構成します。
管理者は、SMConfig UIを使用して、特定のセキュリティ・モジュール・インスタンス化のパラメータ値を細かく調整できます。これには、次のパラメータ・グループが含まれます。
PIPパラメータは、属性リトリーバによって使用される情報です。PIPパラメータの変更には、事前定義済LDAP属性リトリーバ、事前定義済RDBMS属性リトリーバおよびカスタム属性リトリーバの値および特定の属性リトリーバによる作成および関連付けが可能な個別の属性の値の管理が含まれます。詳細は、表8-5「Javaセキュリティ・モジュールのPIPパラメータ(属性リトリーバ)」および表8-6「Javaセキュリティ・モジュールのPIPパラメータ(属性)」を参照してください。
|
注意: セキュリティ・モジュールがプロキシ・モードで構成されている場合、PIPパラメータの変更は無効です。 |
セキュリティ・モジュールのパラメータの多くは、特定のセキュリティ・モジュール・タイプに合わせて調整されます。これらのパラメータの詳細は、A.2項「セキュリティ・モジュール構成」を参照してください。
ポリシー配布に関するパラメータの詳細は、次の項を参照してください。
非制御モードでポリシーを配布する場合、A.4項「ポリシー・ストア・サービス構成」を参照してください。
制御プッシュ・モードでJava、RMIまたはWebサービスのセキュリティ・モジュールにポリシーを配布する場合、A.1.2.1項「ポリシー配布コンポーネントのクライアントJava Standard Edition構成(制御プッシュ・モード)」を参照してください。
制御プッシュ・モードでWebLogic Server、WebSphere Application Server、JBossまたはTomcatのセキュリティ・モジュールにポリシーを配布する場合、A.1.2.2項「ポリシー配布コンポーネントのクライアントJava Enterprise Editionコンテナ構成(制御プッシュ・モード)」を参照してください。
制御プル・モードでポリシーを配布する場合、A.4項「ポリシー・ストア・サービス構成」を参照してください。
プロキシ・モードを有効にする場合、oracle.security.jps.pdp.PDPTransportパラメータの指定を伴います。プロキシ・モード・パラメータについては、A.3項「PDPプロキシ・クライアントの構成」を参照してください。
|
注意: SMConfig UIでは、セキュリティ・モードのタイプを変更できません。別のセキュリティ・モジュール・タイプを作成するには、SMConfigツールを実行して新しいセキュリティ・モジュール・インスタンスを作成します。 |
次の各項では、セキュリティ・モジュール・タイプに固有で、インスタンス化後に変更可能なパラメータについて説明します。詳細は、付録A「インストール・パラメータおよび構成パラメータ」を参照してください。
表8-1では、Javaセキュリティ・モジュールの制御プッシュ・クライアントの構成プロパティについて説明します。
表8-1 Javaセキュリティ・モジュールの制御プッシュ・クライアントの構成
| プロパティ名 | jps-config.xmlのプロパティ |
|---|---|
|
* SM名 |
oracle.security.jps.runtime.pd.client.sm_name |
|
* ポリシー配布モード |
oracle.security.jps.runtime.pd.client.policyDistributionMode |
|
クライアント構成 |
|
表8-2では、Javaセキュリティ・モジュールの制御プル・クライアントの構成プロパティについて説明します。構成プロパティは「クライアント構成」タブと「ポリシー・ストア」タブに編成されています。
表8-2 Javaセキュリティ・モジュールの制御プル・クライアントとストアの構成
| プロパティ名 | jps-config.xmlのプロパティ |
|---|---|
|
* SM名 |
oracle.security.jps.runtime.pd.client.sm_name |
|
* ポリシー配布モード |
oracle.security.jps.runtime.pd.client.policyDistributionMode |
|
クライアント構成 |
|
|
ポリシー・ストア |
|
表8-3では、Javaセキュリティ・モジュールの制御されない配布のプロパティについて説明します。
表8-3 Javaセキュリティ・モジュールの非制御ポリシー・ストアの構成
| プロパティ名 | jps-config.xmlのプロパティ |
|---|---|
|
* SM名 |
oracle.security.jps.runtime.pd.client.sm_name |
|
* ポリシー配布モード |
oracle.security.jps.runtime.pd.client.policyDistributionMode |
|
ポリシー・ストア |
ポリシー・ストア・タイプ: policystore.typeの値にはOIDまたはDB_ORACLEを使用します。 DB
LDAP
FILE
|
表8-4では、Javaセキュリティ・モジュールの拡張構成プロパティについて説明します。
表8-4 Javaセキュリティ・モジュールの拡張プロパティ
| プロパティ名 | jps-config.xmlのプロパティ |
|---|---|
|
ロールメンバー・キャッシュ・タイプ |
oracle.security.jps.policystore.rolemember.cache.type |
|
ロールメンバー・キャッシュ方式 |
oracle.security.jps.policystore.rolemember.cache.strategy |
|
ロールメンバー・キャッシュ・サイズ |
oracle.security.jps.policystore.rolemember.cache.size |
|
ロールメンバー・キャッシュ・ウォームアップ有効 |
oracle.security.jps.policystore.rolemember.cache.warmup.enable |
|
ポリシー遅延ロード有効 |
oracle.security.jps.policystore.policy.lazy.load.enable |
|
ポリシー・キャッシュ方式 |
oracle.security.jps.policystore.policy.cache.strategy |
|
ポリシー・キャッシュ・サイズ |
oracle.security.jps.policystore.policy.cache.size |
|
ポリシー・キャッシュ更新可能 |
oracle.security.jps.policystore.cache.updateable |
|
リフレッシュ有効 |
oracle.security.jps.policystore.refresh.enable |
|
リフレッシュ・パージ・タイムアウト |
oracle.security.jps.policystore.refresh.purge.timeout |
|
リフレッシュ・パージ間隔 |
oracle.security.jps.ldap.policystore.refresh.interval |
|
アプリケーション・ポリシー問合せTTLなし |
oracle.security.jps.pdp.missingAppPolicyQueryTTL |
|
デシジョン・キャッシュ有効 |
oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled |
|
デシジョン・キャッシュ追出し容量 |
oracle.security.jps.pdp.AuthorizationDecisionCacheEvictionCapacity |
|
デシジョン・キャッシュ追出しパーセンテージ |
oracle.security.jps.pdp.AuthorizationDecisionCacheEvictionPercentage |
|
デシジョン・キャッシュTTL |
oracle.security.jps.pdp.AuthorizationDecisionCacheTTL |
|
匿名ロール有効 |
oracle.security.jps.pdp.anonymousrole.enable |
|
認証済ロール有効 |
oracle.security.jps.pdp.authenticatedrole.enable |
表8-5では、ポリシー情報ポイント(PIP)として属性リトリーバを定義するためのパラメータについて説明します。「新規」をクリックすると、各属性リトリーバ・タイプのパラメータが表示されます。
表8-5 Javaセキュリティ・モジュールのPIPパラメータ(属性リトリーバ)
| 名前 | 定義 |
|---|---|
|
属性リトリーバ |
属性リトリーバのタイプをドロップダウン・メニューから選択します。オプションには「LDAP」、「DB」および「カスタム」が含まれます。 |
|
LDAP |
|
|
DB |
|
|
カスタム |
|
表8-6では、適切なポリシー情報ポイント(PIP)から取得する必要がある属性を定義するパラメータについて説明します。これには、LDAPとデータベースの両方のストアのパラメータが含まれます。
表8-6 Javaセキュリティ・モジュールのPIPパラメータ(属性)
| 名前 | jps-config.xmlのプロパティ |
|---|---|
|
属性リトリーバ |
ドロップダウン・メニューから定義済属性リトリーバを選択します。 |
|
名前 |
ポリシー・ストアで定義される属性の名前。事前定義済LDAP属性リトリーバを使用している場合、Oracle Entitlements Serverに定義される属性名は、LDAPストアで定義される属性名と同じである必要があります。現在、名前マッピング機能はありません。 |
|
問合せ |
次にLDAP問合せの例を示します。 <property name="query" value="(cn=xUSERATTR)"/> 次にデータベース問合せの例を示します。 <property name="query" value="select description from bookstore where author='jimmy'"/> |
|
* 検索ベース |
LDAPストアの検索ベース。データベースの場合は表示されません。 |
|
存続時間 |
cachedが有効化されている場合、cached属性値の存続時間(秒)。 |
|
キャッシュされた属性 |
属性値のキャッシュを有効にします。 |
RMIセキュリティ・モジュールをインスタンス化後に構成する場合のパラメータは、次のリンク先で説明します。
RMIセキュリティ・モジュールの制御プッシュ・クライアントの構成プロパティは、表8-1「Javaセキュリティ・モジュールの制御プッシュ・クライアントの構成」で説明します。
RMIセキュリティ・モジュールの制御プル・クライアントとストアの構成プロパティは、表8-2「Javaセキュリティ・モジュールの制御プル・クライアントとストアの構成」で説明します。
RMIセキュリティ・モジュールの非制御ポリシー・ストアの構成プロパティは、表8-3「Javaセキュリティ・モジュールの非制御ポリシー・ストアの構成」で説明します。
RMIセキュリティ・モジュールの拡張構成プロパティは、表8-4「Javaセキュリティ・モジュールの拡張プロパティ」で説明します。
RMIセキュリティ・モジュールのPIPパラメータのプロパティは、表8-5「Javaセキュリティ・モジュールのPIPパラメータ(属性リトリーバ)」および表8-6「Javaセキュリティ・モジュールのPIPパラメータ(属性)」で説明します。
プロパティの詳細は、付録A「インストール・パラメータおよび構成パラメータ」を参照してください。
|
ヒント: プロキシ・モードのJBOSSセキュリティ・モジュールをPEPとして使用し、RMIセキュリティ・モジュールをPDPとして使用する場合、RMIセキュリティ・モジュールのCLASSPATHに |
Webサービス・セキュリティ・モジュールをインスタンス化後に構成する場合のパラメータは、次のリンク先で説明します。
Webサービス・セキュリティ・モジュールの制御プッシュ・クライアントの構成プロパティは、表8-1「Javaセキュリティ・モジュールの制御プッシュ・クライアントの構成」で説明します。
Webサービス・セキュリティ・モジュールの制御プル・クライアントとストアの構成プロパティは、表8-2「Javaセキュリティ・モジュールの制御プル・クライアントとストアの構成」で説明します。
Webサービス・セキュリティ・モジュールの非制御ポリシー・ストアの構成プロパティは、表8-3「Javaセキュリティ・モジュールの非制御ポリシー・ストアの構成」で説明します。
Webサービス・セキュリティ・モジュールの拡張構成プロパティは、表8-4「Javaセキュリティ・モジュールの拡張プロパティ」で説明します。
Webサービス・セキュリティ・モジュールのPIPパラメータのプロパティは、表8-5「Javaセキュリティ・モジュールのPIPパラメータ(属性リトリーバ)」および表8-6「Javaセキュリティ・モジュールのPIPパラメータ(属性)」で説明します。
プロパティの詳細は、付録A「インストール・パラメータおよび構成パラメータ」を参照してください。WebLogic Server上でWebサービス・セキュリティ・モジュールを使用する場合、8.4.4項「WebLogic Serverセキュリティ・モジュールの構成」を参照してください。
|
ヒント: プロキシ・モードのJBOSSセキュリティ・モジュールをPEPとして使用し、Webサービス・セキュリティ・モジュールをPDPとして使用する場合、Webサービス・セキュリティ・モジュールのCLASSPATHに |
WebLogic Serverセキュリティ・モジュールをインスタンス化後に構成する場合のパラメータは、次のリンク先で説明します。これらのパラメータは、WebLogic Server上でWebサービス・セキュリティ・モジュールを使用する場合も有効です。
|
注意: WebLogic Server上にインストールされている場合、Webサービス・エントリ・ポイントを構成する必要はありません。 |
WebLogic Serverセキュリティ・モジュールの制御プッシュ・クライアントの構成プロパティは、表8-1「Javaセキュリティ・モジュールの制御プッシュ・クライアントの構成」で説明します。次のWLS構成パラメータは、セキュリティ・プロバイダが有効な場合にWebLogic Serverに固有であり(9.4.1項「WebLogic Serverとの統合」を参照)、permit、abstainまたはdenyとして定義できます。
未定義のアプリケーションの影響
適用可能ポリシーなしの影響
WebLogic Serverセキュリティ・モジュールの制御プル・クライアントとストアの構成プロパティは、表8-2「Javaセキュリティ・モジュールの制御プル・クライアントとストアの構成」で説明します。次のWLS構成パラメータは、セキュリティ・プロバイダが有効な場合にWebLogic Serverに固有であり(9.4.1項「WebLogic Serverとの統合」を参照)、permit、abstainまたはdenyとして定義できます。
未定義のアプリケーションの影響
適用可能ポリシーなしの影響
WebLogic Serverセキュリティ・モジュールの非制御ポリシー・ストアの構成プロパティは、表8-3「Javaセキュリティ・モジュールの非制御ポリシー・ストアの構成」で説明します。次のWLS構成パラメータは、セキュリティ・プロバイダが有効な場合にWebLogic Serverに固有であり(9.4.1項「WebLogic Serverとの統合」を参照)、permit、abstainまたはdenyとして定義できます。
未定義のアプリケーションの影響
適用可能ポリシーなしの影響
WebLogic Serverセキュリティ・モジュールの拡張構成プロパティは、表8-4「Javaセキュリティ・モジュールの拡張プロパティ」で説明します。
WebLogic Serverセキュリティ・モジュールのPIPパラメータのプロパティは、表8-5「Javaセキュリティ・モジュールのPIPパラメータ(属性リトリーバ)」および表8-6「Javaセキュリティ・モジュールのPIPパラメータ(属性)」で説明します。
プロパティの詳細は、付録A「インストール・パラメータおよび構成パラメータ」を参照してください。
SMConfig UIでは、MOSSセキュリティ・モジュール自体のパラメータは構成されません。SharePointセキュリティ・モジュールのリモートPDPとして機能するWebサービス・セキュリティ・モジュールが構成されます。詳細は、8.4.3項「Webサービス・セキュリティ・モジュールの構成」を参照してください。MOSSセキュリティ・モジュールの構成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
SMConfig UIでは、.NETセキュリティ・モジュール自体のパラメータは構成されません。.NETセキュリティ・モジュールのリモートPDPとして機能するWebサービス・セキュリティ・モジュールが構成されます。詳細は、8.4.3項「Webサービス・セキュリティ・モジュールの構成」を参照してください。MOSSセキュリティ・モジュールの構成の詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
WebSphere、TomcatおよびJBossのセキュリティ・モジュールをインスタンス化後に構成する場合のパラメータは、次のリンク先で説明します。
制御プッシュ・クライアントの構成プロパティは、表8-1「Javaセキュリティ・モジュールの制御プッシュ・クライアントの構成」で説明します。
制御プル・クライアントとストアの構成プロパティは、表8-2「Javaセキュリティ・モジュールの制御プル・クライアントとストアの構成」で説明します。
非制御ポリシー・ストアの構成プロパティは、表8-3「Javaセキュリティ・モジュールの非制御ポリシー・ストアの構成」で説明します。
拡張構成プロパティは、表8-4「Javaセキュリティ・モジュールの拡張プロパティ」で説明します。
PIPパラメータのプロパティは、表8-5「Javaセキュリティ・モジュールのPIPパラメータ(属性リトリーバ)」および表8-6「Javaセキュリティ・モジュールのPIPパラメータ(属性)」で説明します。
|
ヒント: セキュリティ・モジュールでJBOSSプリンシパルを認識するために、 |
プロパティの詳細は、付録A「インストール・パラメータおよび構成パラメータ」を参照してください。
Oracle Service Bus (OSB)セキュリティ・モジュールは、WebLogic Serverコンソールを使用してOracle Entitlements Server認可プロバイダが有効化されている場合(9.4.1項「WebLogic Serverとの統合」で定義)にのみ機能します。OSBセキュリティ・モジュールのパラメータをインスタンス化後に構成する場合の詳細は、表8-6「WebLogic Serverセキュリティ・モジュールの構成」を参照してください。
|
注意: Oracle Entitlements Serverセキュリティ・モジュールがJRFドメインにインストールされている場合、非制御モードのみがサポートされます。 |
OSBセキュリティ・モジュールを構成するには、次の手順を使用します。
OSBサーバーとOracle Entitlements Serverをインストールして起動した後、OESClientをインストールします。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
インストールしたOESClientとoracle_commonディレクトリにOpatchを適用します。
oracle_commonディレクトリはOSBのインストール中に作成されます。
smconfig.prpファイルを変更します。
smconfig.prpはOES_CLIENT_HOME/oessm/SMConfigToolディレクトリにあります。『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
SMConfigツールを使用して、OSBセキュリティ・モジュールを作成します。
Oracle Entitlements Serverが稼働中であることを確認します。『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
binディレクトリに変更します。
cd OES_CLIENT_HOME/oessm/bin
SMConfigツールを実行します。
./config.sh -smType wls -smConfigId osbSM -serverLocation ../wlserver_10.3/
コマンド・ウィンドウで、Oracle Entitlements Serverポリシー・ストアにアクセスする権限を持つユーザーの名前とパスワードを入力します。
Fusion Middleware構成ウィザードの拡張ソースの選択で、Oracle Entitlements Server Security Module On Service Bus -11.1.2.0[oesclient]を選択し、「次へ」を選択します。
OSBドメインでjps-config.xmlファイルのポリシー・ストア構成を変更します。
WebLogic Serverコンソールを使用して、Oracle Entitlements Serverの認可プロバイダとロール・マッピング・プロバイダを有効にします。
9.4.1項「WebLogic Serverとの統合」を参照してください。
OSBサーバーを再起動します。
Oracle Entitlements Serverでは、クライアントが認可サービスをリモートで起動できるプロキシ・モードがサポートされます。アプリケーションでOracle Entitlements Server PEP APIによって認可コールが実行されると、アプリケーションのホスト上に、(別のマシン上の)リモート・セキュリティ・モジュールと通信してアクセス決定を要求するPDPプロキシ・クライアントを設定できます。PDPプロキシ・クライアントでは、キャッシュ、ロギングおよびフェイルオーバーのサポートを含むローカル・セキュリティ・サービスが提供されます。PDPプロキシ・クライアントとリモート・セキュリティ・モジュールの間の通信には、Remote Method Invocation (RMI)コールまたはWebサービス・コールを使用できます。セキュリティ・サービスをリモート起動できるのは、RMIおよびWebサービスのセキュリティ・モジュールのみです。
|
注意: XACMLの用語では、プロキシおよびリモート・セキュリティ・モジュールは、それぞれPDPプロキシおよびPDPに似ています。 |
アプリケーションからのOracle Entitlements Server PEP APIコールは、コール対象が埋込みPDPまたはリモートPDPのどちらであるかに関係なく、実行できます。プロキシ・モードは、セキュリティ・サービス(認可キャッシュ、ロギングおよびフェイルオーバーを含む)をローカルに提供するように構成でき、RMIまたはSOAPを使用してPDPと通信できます。
ローカルPDPプロキシ・クライアントおよびリモート・セキュリティ・モジュールの両方に関連する構成があります。プロキシ側では、クライアント構成はjps-config.xml構成ファイル内でPDPサービス・インスタンスに統合されています。サーバー側では、RMIとWebサービスの両方のセキュリティ・サービスの構成パラメータも、jps-config.xml構成ファイル内でPDPサービス・インスタンスに統合されています。構成パラメータの詳細は、付録A「インストール・パラメータおよび構成パラメータ」を参照してください。
