| Oracle® Fusion Middleware Oracle Service Bus管理者ガイド 11gリリース1 (11.1.1.7) B61436-07 |
|
 前 |
 次 |
この章では、Oracle Service Busのインバウンド・セキュリティおよび管理セキュリティで使用されるユーザー、グループおよびロールを作成する方法について説明します。
インバウンド・トランスポート・レベルのセキュリティおよびメッセージ・レベルのセキュリティでは、インバウンド・クライアント・リクエストを認証するためにユーザー、グループ、およびロールのデータが使用されます。プロキシ・サービスやビジネス・サービスの使用をどの認証ユーザーに認可するかを決定するためには、アクセス制御ポリシーが適用されます。
管理セキュリティでは、Oracle Service Busの構成データの作成または変更、Oracle Service Busのパフォーマンスの監視をどの認証ユーザーに認可するかを決定するためにユーザー、グループ、およびロールのデータが使用されます。詳細は、25.1項「ユーザー、グループ、セキュリティ・ロール、およびポリシーについて」を参照してください。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
|
注意: ユーザー、グループ、ロールはセキュリティ・プロバイダ・ストアにあるため、構成をエクスポートするときにこれらのオブジェクトをエクスポートすることはできません。エクスポートされた構成をインポートする場合や、WebLogic Serverツール(使用できる場合)を使用して構成をエクスポートおよびインポートする場合は、これらのオブジェクトを再度作成する必要があります。 |
この項の内容は次のとおりです。
ユーザーとは、認証が可能なエンティティを指します。ユーザーとして指定できるのは、Webサービス・クライアントなどの人物、またはソフトウェア・エンティティです。各ユーザーには、セキュリティ・レルム内でユニークなID (名前)を割り当てる必要があります。
一般的に、作成するユーザーは次の2つのカテゴリに分類されます。
プロキシ・サービスまたはビジネス・サービスにアクセスできるクライアント・ユーザー。
多数のクライアント・ユーザーを作成する場合は、ユーザーをセキュリティ・グループに整理することを考慮してください。
Oracle Service Bus管理コンソールを使用してプロキシ・サービス、ビジネス・サービスなどのOracle Service Busリソースを作成したり変更したりできる管理ユーザー。
Oracle Service Busの管理機能では、ロール・ベースのセキュリティが使用されます。Oracle Service Busでは、アクセス権限を各ユーザーに直接与えるのではなく、セキュリティ・ロールのみに管理権限が与えられます。管理権限をユーザーに与えるには、そのユーザーをデフォルトのセキュリティ・グループのいずれかに入れます。デフォルトのセキュリティ・グループは、事前定義されたセキュリティ・ロールの1つに入っています。
多数のユーザーの管理を効率化するためには、名前を付けたグループにユーザーを整理することができます。また、アクセス権限やロールIDを個々のユーザーに与えるのではなく、グループに権限やIDを与えます。
セキュリティ・ロールは、実行時環境の条件に基づきユーザーまたはグループに与えることのできるIDです。アクセス制御ポリシーを作成するときに、アクセス権をロール、グループ、またはユーザーに与えることができます。
例として、MyCustomersEastとMyCustomersWestという2つのグループを作成する場合を考えてみます。PrivilegedCustomerという名前のセキュリティ・ロールを作成し、米国の東部標準時の午前8時から午後8時の間にMyCustomersWestグループがこのロールに入り、米国の東部標準時の午後8時から午前8時の間にMyCustomersEastグループがこのロールに入るようにする条件を作成します。次に、プロキシ・サービスのアクセス制御ポリシーを作成して、PrivilegedCustomerロールにサービスへのアクセス権を与えます。所属しているグループがMyCustomersEastであるかMyCustomersWestであるかに応じて、各ユーザーがアクセス権を持つ時間帯が変わることになります。
Oracle Service Busには、管理権限を与える、事前定義された4種類のセキュリティ・ロール(およびWebLogic Serverの事前定義された4種類のロール)が用意されています。Oracle Service Busの管理セキュリティ・ロールのアクセス権限は変更できませんが、それらのロールのいずれかにユーザーまたはグループを入れるための条件は変更できます。
これらのロールと各ロールに使用可能な権限の詳細は、『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
アクセス制御ポリシーは、ユーザー、グループ、またはロールがプロキシ・サービスにアクセスできるようにするための条件を指定します。たとえば、あるプロキシ・サービスへのアクセスを、GoldCustomerロールのユーザーには常に許可し、SilverCustomerロールのユーザーには平日の午後12時以降にのみ許可するというポリシーを作成することができます。
すべてのプロキシ・サービスに対して、トランスポート・レベルのポリシーを作成することができます。トランスポート・レベルのポリシーでは、クライアントがプロキシ・サービスとの接続を確立しようとしたときにセキュリティ・チェックが適用されます。トランスポート・レベルのポリシーのリストに入っているユーザーからのリクエストだけが続行を許可されます。
メッセージ・レベルのアクセス制御ポリシーでは、メッセージ・レベル・セキュリティを持つプロキシ・サービスをクライアントが呼び出そうとしたときに、セキュリティ・チェックが適用されます。次のような場合はメッセージ・レベルのアクセス制御ポリシーを作成できます。
Webサービス・セキュリティのアクティブな仲介であるプロキシ・サービスの場合
メッセージ・レベルのカスタム認証を使用するプロキシ・サービスの場合
メッセージ・レベルのポリシーのリストに入っているユーザーだけが、その操作を呼び出せます。
ユーザー、グループ、ロールは、セキュリティ・プロバイダにおいて存続し、Oracle Service Busセッションによる制御を受けません。したがって、セッション内でもセッション外でも、これらのデータを作成または変更できます。データに対する追加や変更は、即座に有効になり、すべてのセッションで使用できるようになります。データを追加または変更したときのセッションを破棄した場合でも、セキュリティ・データは破棄 されません 。
アクセス制御ポリシーは認可プロバイダに保持されます。また、Oracle Service Busリポジトリにもこれらへの参照があります。
アクセス制御ポリシーは、Oracle Service Bus設計セッションの外部ではなく内部で管理されます。変更はセッション内で行われるため、他のリソースと同じように変更をコミットまたは破棄できます。
Oracle Service Bus管理コンソールでACLを管理できますが、Oracle Service Busの外でもポリシーを変更できます。ただし、Oracle Service Busの外でポリシーを変更するとOracle Service Busの参照が期限切れになり、無効になる場合があります。
そのため、一貫した管理には、Oracle Service Busセッション外(認可プロバイダMBeansまたはサード・パーティの認可プロバイダ・ツールを使用)でACLを完全に管理するか、またはOracle Service Busセッション内でACLを完全に管理します。2つの方法を組み合せると、ポリシー表示の一貫性が失われる場合があります。
ユーザーを検索するには:
「セキュリティ構成」→「ユーザー」を選択します。「ユーザーのサマリー」ページに、表25-1に示す情報が表示されます。プロパティの詳しい説明については、25.4項「ユーザーの編集」を参照してください。
リストの項目数を制限する、または特定のユーザーを検索するには、ユーザー名でフィルタできます。「名前」フィールドに、ユーザー名の一部または全体を入力し、「検索」をクリックします。
ワイルドカード文字のアスタリスク(*)を使用できます(他のワイルドカード文字はサポートされません)。
「すべて表示」をクリックすると、検索フィルタが削除され、ユーザーがすべて表示されます。
表25-1 ユーザー情報
| プロパティ | 説明 |
|---|---|
|
ユーザー名 |
ユーザーに割り当てられた名前。この名前は「ユーザーの詳細を表示」ページにリンクされています。25.4項「ユーザーの編集」を参照してください。 |
|
グループ・メンバーシップ |
このユーザーが所属するグループの名前。この名前は「グループの詳細を表示」ページにリンクされています。25.8項「グループの編集」を参照してください。 |
|
認証プロバイダ |
このユーザーの認証プロバイダ。 |
|
オプション |
特定のユーザーを削除するには、「削除」アイコンをクリックします。25.5項「ユーザーの削除」を参照してください。 |
ユーザーを追加するには:
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
「セキュリティ構成」を選択して、「ユーザーのサマリー」ページを表示します。
「新しく追加」をクリックして、「新しいユーザーの作成 - 全般的な構成」ページを表示します。
セッション内で作業しているときもセッション外で作業しているときも、ユーザーを追加できます。
「ユーザー名」フィールドにこのユーザーの一意の名前を入力します。このフィールドは必須です。
「パスワード」フィールドにパスワードを入力します。このフィールドは必須です。
|
注意: 認証プロバイダは、パスワードの最小長を強制できます。WebLogic認証プロバイダで定義されているユーザーに対しては、パスワードの最小長は8文字です。WebLogic Server管理コンソールを使用すると、この設定をカスタマイズできます(WebLogic認証プロバイダは、デフォルトではDefaultAuthenticatorという名前のセキュリティ・レルムに構成されます)。 |
「パスワードの確認」フィールドに、「パスワード」フィールドで入力したパスワードを入力します。このフィールドは必須です。
「認証プロバイダ」フィールドで、このユーザーの認証プロバイダを選択します。
セキュリティ・レルムに複数の認証プロバイダが構成されている場合、それらがリストに表示されます。新規ユーザーの情報を格納する認証プロバイダ・データベースを選択します。
「グループ・メンバーシップ」フィールドで、このユーザーのグループを選択します。
「使用可能なグループ」フィールドからグループを選択します。
矢印をクリックしてグループを「現在のグループ」フィールドに移動します。
「保存」をクリックしてユーザーを作成します。
ユーザーが保存され、保存されたユーザーはすぐにすべてのセッションで使用できるようになります。ユーザーを追加しているときにセッション内で作業していて、ユーザーの追加後にセッションを破棄しても、追加した新しいユーザーは削除されません。
「ユーザーの詳細を表示」ページを使用すると、特定のユーザーの詳細を確認および変更できます。
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
ユーザーを検索します。25.2項「ユーザーの検索」を参照してください。
ユーザー名をクリックします。「ユーザーの詳細を表示」ページに、表25-2に示す情報が表示されます。
ユーザーの詳細を編集するには、「再構成」をクリックして、「ユーザーの詳細を編集」ページを表示します。
セッション内で作業しているときもセッション外で作業しているときも、ユーザーの詳細を編集できます。
「新しいパスワード」、「パスワードの確認」および「グループ・メンバーシップ」の各フィールドに適切な変更を加えます。各フィールドの説明については、25.3項「ユーザーの追加」を参照してください。
「ユーザー名」フィールドは変更できません。
「変更の保存」をクリックしてユーザーを更新します。
ユーザーの詳細が更新され、更新内容はすぐにすべてのセッションで使用できるようになります。ユーザーを更新しているときにセッション内で作業していて、更新後にセッションを破棄しても、更新内容は削除されません。
「ユーザーのサマリー」ページを使用すると、選択したユーザーまたは複数のユーザーを削除できます。
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
「セキュリティ構成」を選択して、「ユーザーのサマリー」ページを表示します。
削除するユーザーを選択します。必要であれば、複数のユーザーを選択することもできます。
セッション内で作業しているときもセッション外で作業しているときも、ユーザーを削除できます。
「削除」をクリックします。ユーザーの削除を確認するメッセージが表示されます。
ユーザーを削除するには、「OK」をクリックします。
ユーザーが削除されます。ユーザーを削除しているときにセッション内で作業していて、ユーザーの削除後にセッションを破棄しても、更新内容は削除されません。
削除するユーザーの「オプション」列にある「削除」アイコンをクリックする方法もあります。
グループを検索するには:
「セキュリティ構成」→「グループ」を選択します。「グループのサマリー」ページに、表25-3に示す情報が表示されます。プロパティの詳しい説明については、25.8項「グループの編集」を参照してください。
リストの項目数を制限する、または特定のグループを検索するには、グループ名でフィルタできます。「名前」フィールドに、グループ名の一部または全体を入力し、「検索」をクリックします。
ワイルドカード文字のアスタリスク(*)を使用できます(他のワイルドカード文字はサポートされません)。
「すべて表示」をクリックすると、検索フィルタが削除され、グループがすべて表示されます。
表25-3 グループ情報
| プロパティ | 説明 |
|---|---|
|
グループ名 |
グループの名前。この名前は「グループの詳細を表示」ページにリンクされています。25.8項「グループの編集」を参照してください。 |
|
グループ・メンバーシップ |
このグループが所属するグループ。この名前は「グループの詳細を表示」ページにリンクされています。25.8項「グループの編集」を参照してください。 |
|
認証プロバイダ |
このグループの定義を含む認証プロバイダ。 |
|
削除 |
特定のグループを削除するには、「削除」アイコンをクリックします。25.9項「グループの削除」を参照してください。 |
グループを追加するには:
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
「セキュリティ構成」→「グループ」を選択して、「グループのサマリー」ページを表示します。
「新しく追加」をクリックします。
セッション内で作業しているときもセッション外で作業しているときも、グループを追加できます。
「グループ名」フィールドに一意の名前を入力します。
スペースや特殊文字は入力しないでください。このフィールドは必須です。
「認証プロバイダ」フィールドで、認証プロバイダを選択します。
「グループ・メンバーシップ」フィールドで、このグループが所属するグループを選択します。
「使用可能なグループ」フィールドからグループを選択します。
矢印をクリックしてグループを「現在のグループ」フィールドに移動します。
「保存」をクリックしてグループを作成します。
グループが保存され、保存されたグループはすぐにすべてのセッションで使用できるようになります。グループを追加しているときにセッション内で作業していて、グループの追加後にセッションを破棄しても、追加した新しいグループは削除されません。
「グループの詳細を表示」ページを使用すると、特定のグループの詳細を確認および変更できます。
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
グループを検索します。25.6項「グループの検索」を参照してください。
グループ名をクリックします。「グループの詳細を表示」ページに、表25-4に示す情報が表示されます。
グループの詳細を編集するには、「再構成」をクリックして、「グループの詳細を編集」ページを表示します。
セッション内で作業しているときもセッション外で作業しているときも、グループの詳細を編集できます。
「グループ・メンバーシップ」フィールドに適切な変更を加えます。各フィールドの説明については、25.7項「グループの追加」を参照してください。
「グループ名」フィールドは変更できません。
「変更の保存」をクリックしてグループを更新します。
グループの詳細が更新され、更新内容はすぐにすべてのセッションで使用できるようになります。グループを更新しているときにセッション内で作業していて、更新後にセッションを破棄しても、更新内容は削除されません。
「グループのサマリー」ページを使用すると、選択したグループまたは複数のグループを削除できます。
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
「セキュリティ構成」を選択して、「グループのサマリー」ページを表示します。
削除するグループを選択します。必要であれば、複数のグループを選択することもできます。
セッション内で作業しているときもセッション外で作業しているときも、グループを削除できます。
「削除」をクリックします。グループの削除を確認するメッセージが表示されます。
グループを削除するには、「OK」をクリックします。
グループが削除されます。グループを削除しているときにセッション内で作業していて、グループの削除後にセッションを破棄しても、グループの削除は取り消されません。
削除するグループの「オプション」列にある「削除」アイコンをクリックする方法もあります。
ロールを検索するには:
「セキュリティ構成」→「ロール」を選択します。「グローバル・ロール」ページに、表25-5に示す情報が表示されます。プロパティの詳しい説明については、25.12項「ロールの編集」を参照してください。
リストに表示される項目の数を制限する、または特定のロールを検索するには、ページをスクロールします。表の上下にあるページ・コントロールを使用します。
表25-5 ロール情報
| プロパティ | 説明 |
|---|---|
|
ロール名 |
ロールの名前。この名前は「ロール詳細の表示」ページにリンクされています。25.12項「ロールの編集」を参照してください。 |
|
プロバイダ名 |
このグループの認証プロバイダ。 |
ロールを追加するには:
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
「セキュリティ構成」→「ロール」を選択して、「グローバル・ロール」ページを表示します。
「新規」をクリックします。
セッション内で作業しているときもセッション外で作業しているときも、ロールを追加できます。
「ロール名」フィールドに一意の名前を入力します。このフィールドは必須です。
セキュリティ・ロール名にはスペースや「<」「>」の文字を使用しないでください。セキュリティ・ロール名では大文字と小文字が区別されます。Oracle規則では、セキュリティ・ロール名はすべて単数形です。
ロールを作成するには、「OK」をクリックします。
ロールが保存され、保存されたロールはすぐにすべてのセッションで使用できるようになります。ロールを追加しているときにセッション内で作業していて、ロールの追加後にセッションを破棄しても、追加した新しいロールは削除されません。
「OK」をクリックしてロールを作成した場合は、次に、そのロールを適用する条件を定義する必要があります。
25.11.1項「ロール条件の定義」に進みます。
ロール条件を定義するには:
「グローバル・ロール」ページで、新しいグローバル・ロールの名前をクリックして、「グローバル・ロール条件」ページを表示します。
「ロール条件」の下にある「条件の追加」をクリックします。
次のプロンプトが表示されます。
新しい条件として使用する述部を選択
リスト・ボックスから述部を選択します。通常は、「グループ」を選択します。グループを使用してセキュリティ・ロールを作成すると、そのグループのすべてのメンバー(つまり複数のユーザー)にセキュリティ・ロールを付与できます。
「次へ」をクリックします。条件の述部に対する選択に応じて、表25-6に示す手順の1つを実行します。
表25-6 条件の述部のオプション
| 条件の述部 | 手順 |
|---|---|
|
「グループ」を選択した場合は、このロールを保有する1つまたは複数のグループを定義する引数を1つまたは複数入力します |
|
|
「ユーザー」を選択した場合は、このロールを保有する1つまたは複数のユーザーを定義する引数を1つまたは複数入力します |
|
|
「サーバーが開発モードである」、「全員に対してアクセスを許可」または「全員に対してアクセスを拒否」を選択した場合 |
「終了」をクリックします。 |
|
「指定した時間帯にアクセスが発生」など時間の制約を受ける述部を選択した場合は、開始時刻、終了時刻、およびGMTオフセットを選択します |
|
|
「コンテキスト要素が定義されている」を選択した場合は、コンテキスト要素名を入力します |
|
|
「コンテキスト要素の値が数値定数と等しい」、「コンテキスト要素の値が数値定数より大きい」、「コンテキスト要素の値が数値定数より小さい」のいずれかを選択した場合は、コンテキスト要素名と、その値の比較対象となる数値を入力します |
|
|
コンテキスト要素の値が文字列値と等しいを選択した場合は、コンテキスト要素名と、その値の比較対象となる文字列値を入力します |
|
|
「次の日時より前にアクセスが発生」、「次の日時より後にアクセスが発生など時間の制約を受ける述部を選択した場合 |
|
|
時間の制約を受ける述部「指定した曜日にアクセスが発生」を選択した場合は、曜日およびGMTオフセットを選択します |
|
|
「指定した日にアクセスが発生」、「指定した日より前にアクセスが発生」または「指定した日より後にアクセスが発生」など時間の制約を受ける述部を選択した場合 |
|
必要に応じて手順を繰り返して、各種ロール条件に基づき式を追加します。「ロール条件」セクションでは、表25-7に示す手順を実行して、式を変更できます。
ロール条件のセクションのすべての式が正しいことを確認し、「保存」をクリックします。
セッションを終了して構成をランタイムにデプロイするには、「チェンジ・センター」の「アクティブ化」をクリックします。
「ロール詳細の表示」ページを使用すると、特定のロールの詳細を確認および変更できます。
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
ロールを検索します。25.10項「ロールの検索」を参照してください。
ロール名をクリックします。「ロール詳細の表示」ページに、表25-8に示す情報が表示されます。
セッション内で作業しているときもセッション外で作業しているときも、ロールの詳細を変更できます。
表25-9のいずれかの手順を実行します。
「保存」をクリックします。
ロールが更新され、更新内容はすぐにすべてのセッションで使用できるようになります。ロールを更新しているときにセッション内で作業していて、更新後にセッションを破棄しても、更新内容は削除されません。
ロールを削除するには:
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
「セキュリティ構成」→「ロール」を選択して、「グローバル・ロール」ページを表示します。
削除するロールを選択します。必要であれば、複数のロールを選択することもできます。
セッション内で作業しているときもセッション外で作業しているときも、ロールを削除できます。
「削除」をクリックします。ロールの削除を確認するメッセージが表示されます。
ロールを削除するには、「OK」をクリックします。
ロールが削除されます。ロールを削除しているときにセッション内で作業していて、ロールの削除後にセッションを破棄しても、ロールの削除は取り消されません。
「セキュリティ」ページには、現在のOracle Service Busドメイン内のプロキシ・サービスに使用するアクセス制御ポリシーへのリンクが表示されます。
セッション内で作成してまだアクティブ化していないプロキシ・サービスは、このページのリストには表示されません。新しいプロキシ・サービスのアクセス制御ポリシーを編集するには、そのプロキシ・サービスを作成したセッションを先にアクティブ化しておきます。
新しいプロキシ・サービスのアクセス制御ポリシーを検索するには、そのプロキシ・サービスを作成したセッションを先にアクティブ化しておきます。
「アクセス制御」列で「トランスポート・アクセス制御」からプロキシ・サービスの名前を選択するか、「メッセージ・アクセス制御」からプロキシ・サービスの名前または特定の操作を選択します。
ポリシーの詳細を表示ページを使用すると、プロキシ・サービスのトランスポートレベルのアクセス制御ポリシーを編集できます。このページには、表25-10に示す情報が表示されます。
表25-10 ポリシーの詳細
| プロパティ | 説明 |
|---|---|
|
プロキシ・サービス名 |
「セキュリティ」ページで「トランスポート・アクセス制御」を選択したプロキシ・サービスの名前が表示されます。 |
|
プロバイダ |
セキュリティ・レルムに対して構成されている認可プロバイダが表示されます。 |
|
ポリシー条件 |
プロキシ・サービスがどのユーザーのリクエストを処理するかを決定する条件が表示されます。 |
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
アクセス・ポリシーを検索します。25.14項「アクセス制御ポリシーの検索」を参照してください。
「セキュリティ」ページの「トランスポート・アクセス制御」列で、プロキシ・サービスの名前をクリックします。ポリシー・エディタが表示されます。
セッション内で作業しているときも、アクセス制御ポリシーを編集できます。
「認可プロバイダ」フィールドで、認可プロバイダを選択します。「XACMLAuthorizer」を選択することをお薦めします。
|
注意: Oracle Service Busでは、WebLogicのデフォルト認可プロバイダのサポートは推奨されません。かわりに、WebLogic XACML認可プロバイダを使用することをお薦めします。 |
ポリシー条件を追加します。25.17項「ポリシー条件の追加」を参照してください。
「ポリシー条件」セクションでの条件の入力が完了したら、「保存」をクリックします。
ポリシーの詳細を表示ページを使用すると、メッセージ・レベルのセキュリティを要求するために構成されているプロキシ・サービス(Webサービス)のメッセージ・レベルのアクセス制御ポリシーを編集できます。このページには、表25-11に示す情報が表示されます。
表25-11 ポリシーの詳細
| プロパティ | 説明 |
|---|---|
|
プロキシ・サービス名 |
「プロキシ・サービスのアクセス制御」ページで「ポリシーの表示」を選択したプロキシ・サービスの名前が表示されます。 |
|
プロバイダ |
レルムに対して構成されている認可プロバイダが表示されます。 |
|
操作 |
保護できるプロキシ・サービスのオペレーションが表示されます。 |
|
ポリシー条件 |
「サービス操作」で選択された操作を呼び出すことのできるユーザーを決定する条件が表示されます。 |
WebLogic Serverの管理権限を持つユーザーとして、Oracle Service Bus管理コンソールにログインします。管理ロールのユーザーのみがセキュリティ構成データを変更できます。『Oracle Fusion Middleware Oracle Service Bus開発者ガイド』の管理セキュリティの構成に関する項を参照してください。
アクセス・ポリシーを検索します。25.14項「アクセス制御ポリシーの検索」を参照してください。
「セキュリティ」ページの「メッセージ・アクセス制御」列で、プロキシ・サービスの名前またはそのプロキシ・サービスの特定の操作をクリックします。ポリシー・エディタが表示されます。
セッション内で作業しているときも、アクセス制御ポリシーを編集できます。
「認可プロバイダ」フィールドで、認可プロバイダを選択します。「XACMLAuthorizer」を選択することをお薦めします。
|
注意: Oracle Service Busでは、WebLogicのデフォルト認可プロバイダのサポートは推奨されません。かわりに、WebLogic XACML認可プロバイダを使用することをお薦めします。 |
ポリシー条件を追加します。25.17項「ポリシー条件の追加」を参照してください。
「ポリシー条件」セクションでの条件の入力が完了したら、「保存」をクリックします。
ポリシー条件を追加するには:
アクセス制御ポリシーのポリシー・エディタにアクセスします。25.15項「トランスポートレベルのアクセス・ポリシーの編集」または25.16項「メッセージ・レベルのアクセス・ポリシーの編集」を参照してください。
ポリシー・エディタで、「ポリシー条件」の下にある「条件の追加」をクリックします。
次のプロンプトが表示されます。
新しい条件として使用する述部を選択
リストから述部を選択します。
「次へ」をクリックします。条件の述部に対する選択に応じて、表25-12に示す手順の1つを実行します。
表25-12 条件の述部のオプション
| 選択 | 手順 |
|---|---|
|
ロール (着信トランスポート・レベルのセキュリティでは、クライアントによる資格証明の提供を可能にするプロトコルをプロキシ・サービスが使用している場合にのみ、この条件が適用されます。) |
|
|
グループ (着信トランスポート・レベルのセキュリティでは、クライアントによる資格証明の提供を可能にするプロトコルをプロキシ・サービスが使用している場合にのみ、この条件が適用されます。) |
|
|
ユーザー (着信トランスポート・レベルのセキュリティでは、クライアントによる資格証明の提供を可能にするプロトコルをプロキシ・サービスが使用している場合にのみ、この条件が適用されます。) |
|
|
指定した曜日にアクセスが発生 |
|
|
指定した時間帯にアクセスが発生 |
|
|
「次の日時より前にアクセスが発生」または「次の日時より後にアクセスが発生 |
|
|
「指定した日にアクセスが発生」、「指定した日より前にアクセスが発生」または「指定した日より後にアクセスが発生」 |
|
|
コンテキスト要素の値が文字列定数と等しい (トランスポート・レベルのセキュリティにのみ適用されます。コンテキスト要素は、Webコンテナなどのコンテナがセキュリティ・プロバイダに提示できる(オプション)パラメータと値のペアです。コンテキスト要素は、メッセージ・レベルのアクセス制御ポリシーでは使用できません。) |
|
|
「コンテキスト要素の値が数値定数より大きい」、「コンテキスト要素の値が数値定数と等しい」または「コンテキスト要素の値が数値定数より小さい」 (トランスポート・レベルのセキュリティにのみ適用されます。コンテキスト要素は、Webコンテナなどのコンテナがセキュリティ・プロバイダに提示できる(オプション)パラメータと値のペアです。コンテキスト要素は、メッセージ・レベルのアクセス制御ポリシーでは使用できません。) |
|
|
コンテキスト要素が定義されている (トランスポート・レベルのセキュリティにのみ適用されます。コンテキスト要素は、Webコンテナなどのコンテナがセキュリティ・プロバイダに提示できる(オプション)パラメータと値のペアです。コンテキスト要素は、メッセージ・レベルのアクセス制御ポリシーでは使用できません。) |
|
|
全員に対してアクセスを拒否、全員に対してアクセスを許可またはサーバーが開発モードである |
「終了」をクリックします。 「取消し」をクリックして変更を破棄し、ポリシーの詳細を表示ページに戻ることもできます。 |
必要に応じてステップ3から5を繰り返して、各種ポリシー条件に基づき式を追加します。「ポリシー条件」セクションでは、表25-13に示す手順を実行して、式を変更できます。
表25-13 ポリシー条件のオプション
| 内容 | 手順 |
|---|---|
|
選択した式の順序の変更 |
条件に対応するチェックボックスを選択し、「上に移動」および「下に移動」をクリックします。 |
|
ポリシー条件をマージまたはマージ解除し、式の間にある |
該当する条件に対応するチェックボックスを選択し、「結合」および「結合解除」をクリックします。 |
|
否定条件にします(たとえば、「NOTグループOperators」にしてポリシーからOperatorsグループを除外します) |
条件に対応するチェックボックスを選択し、「否定」をクリックします。 |
|
選択した式の削除 |
条件に対応するチェックボックスを選択し、「削除」をクリックします。 |
関連項目
『Oracle Fusion Middleware Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』のセキュリティ・ポリシー条件に関する項を参照してください。
