8 環境間のアプリケーション移行の管理

この章では、開発またはテスト環境から本番環境へなど、環境間でWebサービス・アプリケーションを移行する方法について説明します。次の項目について説明します。

• 第8.1項 「Webサービス・アプリケーション移行の概要」

• 第8.2項 「ポリシーの水平移行の概要」

• 第8.3項 「ポリシーの移行」

• 第8.4項 「ポリシー構成の移行」

• 第8.5項 「アサーション・テンプレートの移行」

テスト環境から本番環境に移動する方法の詳細は、『Oracle Fusion Middlewareの管理』のテストから本番環境への移動に関する項を参照してください。

8.1 Webサービス・アプリケーションの移行の概要

Webサービス・アプリケーションを、環境間で(たとえばテスト環境から本番環境など)またはスケーリングされたクラスタ環境に個別に移行するには、アプリケーションをデプロイできるようにポリシーとデプロイ構成情報を新しい環境にエクスポートする必要があります。構成によっては、ポリシー構成アーティファクトやポリシー・アサーション・テンプレートの移行も必要になります。

デプロイメント・ディスクリプタは、アプリケーションの基本的なデプロイ構成が格納されたXMLファイルです。WebLogic ServerおよびJava EE Webサービスのアプリケーションの場合は、アプリケーションを新しい環境にデプロイするために必要なデプロイメント・ディスクリプタを含めたデプロイ・プランを作成します。

ただし、ADFビジネス・コンポーネントの場合は、ランタイム・ポリシーの変更は、独自のデプロイメント・ディスクリプタ(PDD)ファイルであるoracle-webservices.xmlおよびoracle-webservices-client.xmlに保持されます。これらのファイルはWebLogicデプロイ・プランに含まれず、他のデプロイメント・ディスクリプタと一緒にエクスポートされないため、これらのPDDファイルを単独でエクスポートしてインポートする必要があります。また、アプリケーションをクラスタ環境にスケーリングする場合も、これらのPDDファイルを単独でエクスポートしてインポートする必要があります。

• SOAコンポジット、Webサービス、およびOracle WSMでは、構成はcomposite.xmlファイルに保持されます。このファイルはデプロイ構成に使用される構成プランに含まれます。SOAフレームワークでは、コンポジット・サービスおよび構成のライフサイクルと同期化に独自のメカニズムが使用されます。

Webサービス・アプリケーションを開発またはテスト環境から本番環境へ移行する一般的な手順は、次のとおりです。

1. 本番環境を、必要なコンポーネントとともにインストールし、構成します。

2. ユーザーとグループ、アイデンティティとポリシー・ストア、資格証明などのセキュリティ情報を移行します。詳細は、「ポリシー構成の移行」を参照してください。

3. 必要に応じて、ポリシーとデプロイ構成を移行します。詳細は、「ポリシーの移行」を参照してください。新しい環境に固有の情報(ホスト名、ポートなど)を変更します。

4. アプリケーションを新しい環境にデプロイします。

環境の間のFusion Middlewareアプリケーションの移動に関する情報は、『Oracle Fusion Middlewareの管理』の「高度な管理: 環境の拡張」を参照してください。

8.2 ポリシーの水平移行の概要

次の手順では、アプリケーションの開発やデプロイのサイクルでの様々なステージでポリシーを作成および水平移行する方法の一般的なシナリオについて説明します。

1. Oracle Enterprise Manager Fusion Middleware Controlを使用して、ポリシーを作成します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「Webサービス・ポリシーの作成および変更」を参照してください。　　　　　

2. ZIPアーカイブへのポリシーのエクスポート

   詳細は、「ポリシーの移行」を参照してください。

3. ポリシー・ファイルを、Oracle JDeveloper環境のポリシーの格納場所にコピーします。

4. Oracle JDeveloperでWebサービスを作成し、そのWebサービスにポリシーを添付します。

   詳細は、『Oracle Jdeveloperによるアプリケーションの開発』における「Webサービスの開発および管理」を参照してください。

5. Webサービスをステージング・サーバーにデプロイし、Webサービスをテストします。

   詳細は、『Oracle Jdeveloperによるアプリケーションの開発』における「Webサービスの開発および管理」を参照してください。

6. ポリシーを本番のサーバー環境にインポートします。

   詳細は、「ポリシーの移行」を参照してください。

7. 必要に応じて、次の情報を移行します。

   • ポリシーの構成。「ポリシー構成の移行」を参照してください。

   • アサーション・テンプレート。「アサーション・テンプレートの移行」を参照してください。

8. アプリケーションを本番環境にデプロイし、Webサービスをテストします。

   第3章「Webサービス・アプリケーションのデプロイ」および第5章「Webサービスのテスト」を参照してください。

8.3 ポリシーの移行

Fusion Middleware Controlを使用してユーザーが作成した1つ以上のポリシーをアーカイブ・ファイルをエクスポートできます。アーカイブは、別のリポジトリにインポートできます。

注意: 事前定義済ポリシーとアサーション・テンプレートなどの読み専用ドキュメントは、すでにターゲット環境に存在するため、Fusion Middleware ControlまたはWLSTを使用してインポートまたはエクスポートされません。

Fusion Middleware Controlを使用したユーザー作成ポリシーのエクスポートおよびインポートに関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の以下のトピックを参照してください。　　　　　

• Webサービス・ポリシーのエクスポート

• Webサービス・ポリシーのインポート

または、WLSTコマンドexportWSMRepositoryおよびimportWSMArchiveを使用して、ポリシーをエクスポートおよびインポートすることもできます。次に、必要な手順を説明します。

WLSTコマンドを使用してポリシーを移行する手順は次のとおりです。

1. exportWSMRepositoryコマンドを使用して、zipファイルなど、サポートされているアーカイブ・ファイルにOWSMポリシーをエクスポートします。

   たとえば、テスト/ ディレクトリのすべてのユーザー作成OWSMポリシーを、policies.zipの名前のアーカイブにエクスポートする場合は、次のように入力します。

   wls:/jrfServer_domain/serverConfig> exportWSMRepository('/tmp/policies.zip',['policies:test/%'])
    
   Exporting "/policies/test/wss11_x509_token_with_message_protection_service_policy_test"
   Exporting "/policies/test/wss_username_token_over_ssl_service_policy_Test"
   Successfully exported "2" documents.
   

2. 必要に応じて、作成後のアーカイブを編集できます。たとえば、すべてのポリシーを新しい環境に移行する必要がない場合は、それをアーカイブから手動で削除できます。

3. アーカイブを新しいマシンに移動します。OWSM Policy Managerが新しいマシンにデプロイされていることを確認します。

4. importWSMArchiveコマンドを使用して、OWSMポリシーをインポートします。たとえば、前の手順でエクスポートされたポリシーをインポートする手順は、次のとおりです。

   wls:/jrfServer_domain/serverConfig> importWSMArchive('/tmp/policies.zip')
   
   Importing "META-INF/policies/test/wss11_x509_token_with_message_protection_service_policy_test"
   Importing "META-INF/policies/test/wss_username_token_over_ssl_service_policy_Test"
   Successfully imported "2" documents
   

これらのWLSTコマンドに関する情報は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のWebサービス・カスタムWLSTコマンドに関する項を参照してください。

8.4 ポリシー構成の移行

次の項では、OWSMポリシーの構成アーティファクトを移行する方法を説明します。次のセクションがあります。

• キーストアの移行

• ユーザーおよびグループの移行

• 資格証明の移行

• Oracle Platform Security Servicesアプリケーションおよびシステム・ポリシーの移行

• Oracle Platform Security Services構成の移行

• SSLの移行

• Kerberos構成の移行

8.4.1 キーストアの移行

メッセージ保護ポリシーを使用している場合は、キーストアを移行する必要があります。キーストアを移行する手順は次のとおりです。

1. キーストアを新しい環境に手動でコピーします。

   Java SEアプリケーションの場合は、キーストアをユーザー定義の場所にコピーします。Java EEアプリケーションの場合は、キーストアをjps-config.xmlファイルと同じディレクトリ、DOMAIN_HOME/config/fmwconfigにコピーします。

2. デフォルトでは、キーストアの名前はdefault-keystore.jksです。キーストアの名前を変更した場合は、Oracle Platform Security Servicesのキーストア・サービス・インスタンスでキーストア名を構成する必要があります。

キーストアの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「メッセージ保護のキーストアの構成」を参照してください

8.4.2 ユーザーおよびグループの移行

ユーザーとグループは、WebLogic Serverのセキュリティ・レルムの一部として保持されます。

組込みLDAPのユーザーとグループを移行する場合は、Oracle WebLogic管理コンソールまたはWLSTのいずれかを使用してデータを移行できます。必要な手順の詳細は、『Oracle WebLogic Serverセキュリティの管理』のセキュリティ・データの移行に関する項を参照してください。

LDAPストアのユーザーとグループを移行する場合は、移行パスはありません。新しい環境でユーザーとグループを再作成し、LDAPストアでの割当てを指定する必要があります。『Oracle WebLogic Serverセキュリティの管理』の認証プロバイダの構成に関する項を参照してください。

8.4.3 資格証明の移行

移行が必要な可能性のある、資格証明ストアに保持された資格証明には2つのタイプがあります。

• ユーザー名およびパスワード

• キーストアおよび暗号化キー・パスワード

次の項では、移行手順を説明します。

8.4.3.1 ユーザー名およびパスワードの移行

組込みLDAPに格納されているユーザーを「ユーザーおよびグループの移行」の説明に従って移行する場合、単純に既存の資格証明を新しい資格証明ストアに移行します。必要な手順の詳細は、『Oracle WebLogic Serverセキュリティの管理』のセキュリティ・データの移行に関する項を参照してください。

ユーザーがLDAPストアに格納されている場合、自動移行パスはありません。資格証明ストアに資格証明を再作成する必要があります。認証の構成に関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「認証ストアの構成」を参照してください

8.4.3.2 キーストアおよび暗号化キー・パスワードの移行

キーストアおよび暗号化キー・パスワードは、『Oracle Platform Security Servicesによるアプリケーションの保護』のセキュア・アプリケーションのデプロイに関する項の資格証明の手動での移行の説明にある手順に従って、手動で移行できます。

8.4.4 Oracle Platform Security Servicesアプリケーションおよびシステム・ポリシーの移行

Webサービスで認可ポリシーを使用する場合は、Oracle Platform Security Servicesアプリケーション、および権限を付与するシステム・ポリシーを移行する必要があります。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のOPSSセキュリティ・ストアに関する項にあるScript migrateSecurityStoreによる移行の説明を参照してください。

8.4.5 Oracle Platform Security Services構成の移行

Oracle Platform Security Services構成には、自動移行パスはありません。新しい環境で構成を再作成する必要があります。

再作成が必要な可能性のあるOracle Platform Security Servicesの構成には、3つのタイプがあります。

• 信頼できるSAMLアサーション発行者名(すべてのSAMLポリシーに適用可能)。

  信頼できるSAML発行者名構成にデフォルトの構成を使用する場合は、移行は必要ありません。新規環境におけるSAMLの構成に関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。　　　　　

• キーストアの場所、およびキーストアとキーストア・パスワードのCSFキー構成(メッセージ保護ポリシーのみに適用可能)。

  キーストアにデフォルトの構成を使用する場合は、移行は必要ありません。新規環境におけるキーストアの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「メッセージ保護のキーストアの構成」を参照してください

• keytabの場所およびサービス・プリンシパル名(Kerberosポリシーに適用可能)

  新規環境におけるキータブ・ロケーションおよびサービス・プリンシパル名の構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の以下のトピックを参照してください

  • Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成

  • Fusion Middleware Controlを使用したKerberosログイン・モジュールの構成

8.4.6 SSLの移行

SSL構成には、自動移行パスはありません。新しい環境でSSLキーストアを構成して設定する必要があります。新規環境におけるSSLキーストアの構成および設定の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「SSLのキーストアの構成」を参照してください

8.4.7 Kerberos構成の移行

Kerberos構成を移行する手順は次のとおりです。

1. Kerberos構成ファイルを、同じディレクトリ構造の新しい環境にコピーします。Kerberos構成ファイルは、各オペレーティング・システムで次の場所にあります。

   • UNIX: : /etc/krb5.conf

   • Windows: C:\windows\krb5.ini

2. チケット・キャッシュを適切な資格証明で初期化します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「Kerberos Tokensの構成」を参照してください。

8.5 アサーション・テンプレートの移行

Oracle Enterprise Manager Fusion Middleware Controlからアサーション・テンプレートを個別にエクスポートできます。ポリシーをディレクトリにコピーすることも、ポリシーをインポートして別のリポジトリに移動することもできます。

アサーション・テンプレートのエクスポートおよびインポートに関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「ポリシー・アサーション・テンプレートの管理」を参照してください。