17 サービス・アカウント

この章では、サービス・アカウントについて説明し、Oracle Service Bus管理コンソールを使用したサービス・アカウント・リソースの作成、検索、編集および削除の方法の手順について説明します。

サービス・アカウントは、プロキシ・サービスとビジネス・サービスが、アウトバウンド認証や、ローカルまたはリモート・リソース(FTPサーバーやJMSサーバーなど)への認証に使用するユーザー名とパスワードを提供します。たとえば、ビジネス・サービスがWebサービスによるトランスポート・レベルの認証でユーザー名とパスワードを提示する必要がある場合、ユーザー名とパスワードを指定したサービス・アカウントを作成してから、サービス・アカウントの資格証明をアウトバウンド・リクエストに含めるようにビジネス・サービスを構成します。

サービス・アカウントに入力するユーザー名とパスワードは、アウトバウンド認証や、ローカルまたはリモート・リソースに資格証明を提示する際に使用されます。Oracle Service Bus管理コンソールの「セキュリティ構成」モジュールに入力するユーザー名とパスワードは、インバウンド認証および管理リクエストの認証に使用されます。17.1項「サービス・アカウントの指定」を参照してください。

17.1 サービス・アカウントの指定

同じサービス・アカウントを複数のビジネス・サービスおよびプロキシ・サービスに使用することができます。サービス・アカウントが提示するユーザー名とパスワードを指定するには、次のいずれかの方法を使用できます。

静的

サービス・アカウントの構成でユーザー名とパスワードを保存する必要があります。サービス・アカウントはこのユーザー名とパスワードをアウトバウンド・リクエストでエンコードします。

ユーザー名とパスワードのパススルー

サービス・アカウントが受信クライアント・リクエストで受け取ったユーザー名とパスワードを提示します。たとえば、インバウンドHTTP基本リクエストにユーザー名「pat」とパスワード「patspassword」が含まれていた場合、サービス・アカウントはアウトバウンド・リクエストで「pat」および「patspassword」をエンコードします。

この方法では、クライアント・リクエストにクリア・テキストのユーザー名とパスワードが含まれている必要があるため、HTTP BASICプロトコル、クリア・テキスト・パスワードによるWebサービス・セキュリティのユーザー名トークン認証、またはカスタム・ユーザー名とパスワードのトークンを使用するクライアント・リクエストのみに使用できます。

この方法は、Oracle Service Busとエンドポイントが同じ認証ドメインに属する場合にのみ使用することをお薦めします。たとえば、この方法は単一の組織内でメッセージをルーティングし、Oracle Service Busとメッセージ・コンシューマの両方が共通のLDAPサーバーに対して認証される場合に使用します。

この方法には、次の制限が適用されます。

Oracle Service Bus FTPサーバーまたはJMSサーバーなどのローカルまたはリモート・サーバー、またはシステム・リソースに対して認証するアウトバウンド・リクエストには使用できません。

fn-bea:lookupBasicCredentials XQuery関数とともに使用できません。詳細は、『Oracle Fusion Middleware Oracle Service Bus管理者ガイド』の「XQueryの実装」を参照してください。

注意:

プロキシがアクティブなWSS仲介である場合は、WS-Securityを使用して、WS-Securityユーザー名トークンまたはカスタムのユーザー名/パスワードを暗号化できます。この場合、プロキシは最初にリクエストを復号化し、次にクリア・テキストのユーザー名/パスワードにアクセスするため、ユーザー名/パスワードのパススルーが機能します。

ユーザー・マッピング

クライアントからのインバウンド・リクエストの認証結果であるユーザー名(ローカルのユーザー名)を、指定するユーザー名およびパスワード(リモートのユーザー名およびパスワード)に関連付ける(マップする)必要があります。サービス・アカウントはマップされている認証クライアントからのリクエストを受け取ると、ビジネス・サービス、またはプロキシ・サービスのアウトバウンド・リクエストに対して、適切なリモート・ユーザー名およびパスワードを提示します。

トランスポート・レベルおよびメッセージ・レベルの両方でクライアントが認証する場合、サービス・アカウントはメッセージ・レベルのユーザー名をリモートのユーザー名およびパスワードにマップします。

匿名のユーザー名をリモートのユーザー名およびパスワードにマップすることもできます。

この方法には、次の制限が適用されます。
- Oracle Service Bus FTPサーバーまたはJMSサーバーなどのローカルまたはリモート・サーバー、またはシステム・リソースに対して認証するアウトバウンド・リクエストには使用できません。
- fn-bea:lookupBasicCredentials XQuery関数とともに使用できません。詳細は、『Oracle Fusion Middleware Oracle Service Bus管理者ガイド』の「XQueryの実装」を参照してください。

17.1.1 サービス・アカウント・データとセッションの使用

サービス・アカウントおよびそのデータはすべてOracle Service Busセッションに参加します。サービス・アカウントを作成または変更するには、セッションに入っている必要があります。また、セッションを破棄すると、サービス・アカウントおよびそのデータも破棄されます。セッションをアクティブ化すると、ドメインに構成されているユーザー名/パスワード資格証明マッピング・プロバイダにユーザー名、パスワード、その他のサービス・アカウント・データが保存されます。

17.2 サービス・アカウントの検索

サービス・アカウントを検索するには:

次のいずれかの操作を行います。
- 「プロジェクト・エクスプローラ」を選択して、「プロジェクト・ビュー」ページまたはプロジェクト/フォルダ・ビュー・ページを表示します。次に、プロジェクトおよびフォルダに移動して、サービス・アカウントを検索します。
- 「リソース・ブラウザ」→「サービス・アカウント」を選択します。「サービス・アカウントのサマリー」に、表17-1に示す情報が表示されます。
サービス・アカウントを検索するには、「名前」フィールドにアカウント名の一部、またはすべてを入力します。「パス」フィールドにアカウントのプロジェクト名およびフォルダの一部、または全部を入力することもできます。「検索」をクリックします。

「すべて表示」をクリックすると、検索フィルタが削除され、サービス・アカウントがすべて表示されます。

表17-1 サービス・アカウント情報

プロパティ	説明
サービス・アカウント名	一意のサービス・アカウント名。名前をクリックすると、サービス・アカウントの詳細の表示ページが表示されます。17.4項「サービス・アカウントの編集」を参照してください。
パス	プロジェクト名と、サービス・アカウントが格納されているフォルダの名前。名前をクリックすると、このリソースを含むプロジェクトまたはフォルダが表示されます。4.1.1項「プロジェクトとフォルダを使用したリソース名の修飾」を参照してください。
オプション	「削除」アイコンが含まれます。ビジネス・サービスまたはプロキシ・サービスがサービス・アカウントを使用する構成の場合、削除の警告アイコンは、確認の警告は表示されるがそのサービス・アカウントを削除できることを示します。これにより、削除したサービス・アカウントに対してサービスからの参照が解決されないために、競合が起きることがあります。17.5項「サービス・アカウントの削除」を参照してください。

17.3 サービス・アカウントの追加

サービス・アカウントを追加するには:

セッションをまだ作成していない場合は、「作成」をクリックして新しいセッションを作成するか、「編集」をクリックして既存のセッションを入力します。3.1項「チェンジ・センターの使用」を参照してください。
「プロジェクト・エクスプローラ」を選択して、サービス・アカウントを追加するプロジェクトまたはフォルダを選択します。プロジェクト/フォルダ・ビュー・ページが表示されます。
「リソースの作成」リストから「サービス・アカウント」を選択して、「新しいサービス・アカウントの作成」ページを表示します。
「リソース名」フィールドにこのサービス・アカウントの一意の名前を入力します。

名前付けのガイダンスについては、2.3項「リソースの名前付けに関する制限事項」を参照してください。
「リソースの説明」フィールドにサービス・アカウントの説明を入力します。
「リソース・タイプ」で、次のいずれかを実行します。
- 受信クライアント・リクエストで受け取ったユーザー名およびパスワードを提供するサービス・アカウントを作成するには、「パス・スルー」を選択します。
- サービス・アカウントの構成で保存するユーザー名およびパスワードを提供するサービス・アカウントを作成するには、「静的」を選択します。
- 1つまたは複数の認証されたクライアントから、指定するユーザー名およびパスワードにユーザー名をマップするサービス・アカウントを作成するには、「マッピング」を選択します。

前述の手順で選択したリソースの種類に応じて、表17-2に示すいずれかの手順を実行します。

表17-2 リソース・タイプのオプション

選択したリソース・タイプ	手順
パス・スルー	「最後」をクリックします。
静的	「次へ」をクリックします。「ユーザー名」、「パスワード」および「パスワードの確認」の各フィールドにユーザー名およびパスワードを入力します。「最後」をクリックします。
マッピング	1つ以上のクライアントから指定するユーザー名およびパスワードにユーザー名をマップするサービス・アカウントを作成するには、次を行います: 「次へ」をクリックします。認可リモート・ユーザーの入力表で、次の操作を行います。「リモート・ユーザー名」、「パスワード」および「パスワードの確認」の各フィールドに、アウトバウンド・リクエストで送信するユーザー名およびパスワードを入力します。「追加」をクリックします。ユーザー・マッピングが「リモート・ユーザー」表に追加されます。 (オプション)認可リモート・ユーザーの入力表で、他のリモート・ユーザーを追加します。「次へ」をクリックします。「認証された」クライアントをリモートのユーザー名およびパスワードにマップするには、認可ローカル・ユーザーの入力表で次の操作を行います。「ローカル・ユーザー名」フィールドに、インバウンド・リクエストで認証されたクライアントを識別する名前を入力します。このユーザーをOracle Service Bus管理コンソールの「セキュリティ構成」モジュールに追加していない場合は、このマッピングを実行時環境で使用する前にユーザーを追加します。25.3項「ユーザーの追加」を参照してください。Oracle Service Busでは、存在しないローカル・ユーザーのマッピングを作成することはできますが、このマッピングは認証されたユーザーに一致しないため使用されません。「リモート・ユーザー名」リストから、「ローカル・ユーザー名」フィールドで指定した認証ユーザーに関するアウトバウンド・リクエストで送信するユーザー名を選択します。「追加」をクリックします。「最後」をクリックします。

選択したリソース・タイプ

手順

パス・スルー

「最後」をクリックします。

静的

「次へ」をクリックします。
「ユーザー名」、「パスワード」および「パスワードの確認」の各フィールドにユーザー名およびパスワードを入力します。
「最後」をクリックします。

マッピング

1つ以上のクライアントから指定するユーザー名およびパスワードにユーザー名をマップするサービス・アカウントを作成するには、次を行います:

「次へ」をクリックします。
認可リモート・ユーザーの入力表で、次の操作を行います。

「リモート・ユーザー名」、「パスワード」および「パスワードの確認」の各フィールドに、アウトバウンド・リクエストで送信するユーザー名およびパスワードを入力します。

「追加」をクリックします。ユーザー・マッピングが「リモート・ユーザー」表に追加されます。

(オプション)認可リモート・ユーザーの入力表で、他のリモート・ユーザーを追加します。
「次へ」をクリックします。
「認証された」クライアントをリモートのユーザー名およびパスワードにマップするには、認可ローカル・ユーザーの入力表で次の操作を行います。

「ローカル・ユーザー名」フィールドに、インバウンド・リクエストで認証されたクライアントを識別する名前を入力します。

このユーザーをOracle Service Bus管理コンソールの「セキュリティ構成」モジュールに追加していない場合は、このマッピングを実行時環境で使用する前にユーザーを追加します。25.3項「ユーザーの追加」を参照してください。Oracle Service Busでは、存在しないローカル・ユーザーのマッピングを作成することはできますが、このマッピングは認証されたユーザーに一致しないため使用されません。

「リモート・ユーザー名」リストから、「ローカル・ユーザー名」フィールドで指定した認証ユーザーに関するアウトバウンド・リクエストで送信するユーザー名を選択します。

「追加」をクリックします。
「最後」をクリックします。

「保存」をクリックします。サービス・アカウントが現在のセッションで作成および保存されます。
セッションを終了して構成をランタイムにデプロイするには、「チェンジ・センター」の「アクティブ化」をクリックします。

17.4 サービス・アカウントの編集

サービス・アカウントを編集するには:

セッションをまだ作成していない場合は、「作成」をクリックして新しいセッションを作成するか、「編集」をクリックして既存のセッションを入力します。3.1項「チェンジ・センターの使用」を参照してください。
17.2項「サービス・アカウントの検索」の説明に従って、サービス・アカウントを検索します。

サービス・アカウント名をクリックします。サービス・アカウントの詳細の表示ページに、表17-3に示す情報が表示されます。

表17-3 サービス・アカウントの詳細

プロパティ	説明
最終更新者	このサービス・アカウントを作成したか、構成にインポートしたユーザー。
最終更新日	ユーザーがこのサービス・アカウントを作成したか、構成にインポートした日時。このリソースの変更履歴を表示するには、日時のリンクをクリックします。4.23項「変更履歴の表示ページ」を参照してください。
参照	このサービス・アカウントが参照するオブジェクトの数。該当する参照がある場合は、数字のリンクをクリックするとオブジェクトのリストが表示されます。4.22項「リソースへの参照の表示」を参照してください。
参照元	このサービス・アカウントを参照するオブジェクトの数。該当する参照がある場合は、数字のリンクをクリックするとオブジェクトのリストが表示されます。たとえば、JMS転送プロトコルを使用するプロキシ・サービスのJMSサービス・アカウントとしてこのサービス・アカウントを選択した場合、リンクをクリックすると、そのプロキシ・サービスが参照として表示されます。4.22項「リソースへの参照の表示」を参照してください。
説明	このサービス・アカウントの説明(説明が存在する場合)。

フィールドを変更するには、「編集」をクリックします。各フィールドの説明については、17.3項「サービス・アカウントの追加」を参照してください。

「リソース名」フィールドは変更できません。
「保存」をクリックして、現在のセッションで更新をコミットします。

セッションを終了して構成をランタイムにデプロイするには、「チェンジ・センター」の「アクティブ化」をクリックします。

注意:

変更したサービス・アカウントがWebLogic JMSサーバーの認証に使用されている場合、JMSサーバーが変更を認識するのに最大で60秒かかる場合があります。デフォルトでは、WebLogic Server JMSは各宛先の許可を60秒間隔でチェックします。この動作を変更するには、システム・プロパティweblogic.jms.securityCheckIntervalがWebLogic Server JMSによって許可がチェックされる間隔(秒単位)に設定されるようにWebLogic Serverの起動コマンドを変更します。

このプロパティの値を0に設定すると、JMSリソースに対してsend、receiveおよびgetEnumerationアクションが実行されるたびに、許可チェックが行われます。

17.5 サービス・アカウントの削除

サービス・アカウントを削除すると、サービス・アカウントに含まれるユーザー名、パスワード、またはローカル・ユーザーからリモート・ユーザーへのマッピング・データも削除されます。

セッションをまだ作成していない場合は、「作成」をクリックして新しいセッションを作成するか、「編集」をクリックして既存のセッションを入力します。3.1項「チェンジ・センターの使用」を参照してください。
そのサービス・アカウントを使用する構成のビジネス・サービス、またはプロキシ・サービスがある場合は、そのビジネス・サービス、またはプロキシ・サービスからサービス・アカウントを削除してください。

19.5項「ビジネス・サービス構成の編集」または20.5項「プロキシ・サービス構成の編集」を参照してください。
「リソース・ブラウザ」→「サービス・アカウント」を選択し、「サービス・アカウントのサマリー」ページを表示します。
削除するサービス・アカウントの「オプション」フィールドにある「削除」アイコンをクリックします。

サービス・アカウントは現在のセッションで削除されます。ビジネス・サービスまたはプロキシ・サービスがサービス・アカウントを使用する構成の場合、削除の警告アイコンは、確認の警告は表示されるがそのサービス・アカウントを削除できることを示します。これにより、削除したサービス・アカウントに対してサービスからの参照が解決されないために、競合が起きることがあります。
セッションを終了して構成をランタイムにデプロイするには、「チェンジ・センター」の「アクティブ化」をクリックします。