この章では、Oracle Service Busの管理セキュリティおよびセキュリティ・ロールについて説明します。
プロキシ・サービスの作成などの管理機能にユーザーがアクセスできるようにするには、事前定義されたアクセス権限を持つ4つのセキュリティ・ロールのいずれかにユーザーを割り当てます。セキュリティ・ロールは、実行時に評価される条件に基づきユーザーまたはグループに動的に与えることのできるIDです。Oracle Service Busの管理セキュリティ・ロールのアクセス権限は変更できませんが、それらのロールのいずれかにユーザーまたはグループを入れるための条件は変更できます。
次の項では、Oracle Service Busの管理セキュリティについて説明します。
セキュリティ・ロールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』のユーザー、グループ、セキュリティ・ロールに関する項を参照してください。
表47-1でOracle Service Busの管理セキュリティ・ロールについて説明し、それぞれのアクセス権限についてまとめます。
表47-1 Oracle Service Busの管理セキュリティ・ロール
ロール | 事前定義されたアクセス権限 |
---|---|
IntegrationAdminおよびIntegrationDeployer |
すべてのOracle Service Busリソースに対するあらゆるアクセス権があります。これには、サービス・アカウントおよびサービス・キー・プロバイダに含まれるユーザー名、パスワード、資格証明エイリアス・バインディングの作成、編集、または削除の機能などがあります。このロールで作成できるユーザー名とパスワードは、発信認証のためにサービス・アカウントによってのみ使用されます。Oracle Service Busリソースへのアクセスを認可するためには使用されません。 Oracle Service Bus管理コンソールの「セキュリティ構成」モジュールでユーザー、グループ、ロール、アクセス制御ポリシーの作成、編集または削除を行うことはできません。 |
IntegrationOperator |
このグループの権限は次のとおりです。
|
IntegrationMonitor |
|
注意: 今回のリリースでは、IntegrationAdministratorとIntegrationDeployerの権限は同じです。これは、今後のリリースで変更される可能性があります。 |
Oracle Service Busのロールには、Oracle Service Busのリソースのみを変更する権限があります。Oracle WebLogic ServerまたはOracle WebLogic Server上の他のリソースを変更する権限はありません。Oracle WebLogic Serverおよび他のリソースを変更する許可を与えるには、表47-2に示したOracle WebLogic Serverのセキュリティ・ロールのいずれかにユーザーを追加します。Oracle Service Busの各ドメインでは、少なくとも1人のユーザーをAdminロールに追加します。
表47-2 Oracle WebLogic Serverのセキュリティ・ロール
Oracle WebLogic Serverのロール | デフォルトのアクセス権限 |
---|---|
Admin |
Oracle WebLogic ServerとOracle Service Busのすべてのオブジェクトと機能に対するあらゆるアクセス権があります。これには、ユーザー、グループ、ロール、またはアクセス制御ポリシーの作成、編集、または削除の機能などがあります。 |
Deployer |
すべてのオブジェクトに対する読込みアクセス権があります。リソース、サービス、サービス・キー・プロバイダ、またはプロジェクトを作成、削除、編集、インポート、エクスポートできます。 |
Operator |
すべてのオブジェクトを読み込み、エクスポートできるアクセス権があります。アラートの構成、メトリック・コレクションの有効/無効の切り替え、およびサービスの一時停止と再開ができます。 |
Monitor |
すべてのオブジェクトに対する読込みアクセス権があります。任意のリソース、サービス、サービス・キー・プロバイダ、またはプロジェクトをエクスポートできます。 |
表47-3から表47-8に、Oracle Service Busの各セキュリティ・ロールがOracle Service Bus管理コンソールで実行できるアクションを示します。
表中の「Y」はアクションを実行するための許可を示します。Oracle WebLogic ServerのAdminロールのみが、セキュリティ構成の権限を持っています。
表47-3 Oracle Service Bus管理コンソールにおけるロール・ベースのオペレーション・アクセス
アクション | Integration Admin | Integration Deployer | Integration Operator | Integration Monitor |
---|---|---|---|---|
統計の表示 |
Y |
Y |
Y |
Y |
統計のリセット |
Y |
Y |
Y |
N |
警告の表示 |
Y |
Y |
Y |
Y |
アラートの削除 |
Y |
Y |
Y |
N |
アラート履歴の表示 |
Y |
Y |
Y |
Y |
サーバー・サマリーの表示 |
Y |
Y |
Y |
Y |
ダッシュボード設定の表示 |
Y |
Y |
Y |
Y |
ダッシュボード設定の設定 |
Y |
Y |
Y |
Y |
スマート検索設定の設定 |
Y |
Y |
Y |
N |
スマート検索設定の表示 |
Y |
Y |
Y |
Y |
グローバル設定の設定 |
Y |
Y |
Y |
N |
グローバル設定の表示 |
Y |
Y |
Y |
Y |
トレース設定の設定 |
Y |
Y |
Y |
N |
トレース設定の表示 |
Y |
Y |
Y |
N |
メッセージ・レポートの表示 |
Y |
Y |
Y |
Y |
メッセージのパージ |
Y |
Y |
Y |
N |
表47-4 Oracle Service Bus管理コンソールにおけるロール・ベースのリソース・ブラウザのアクセス
アクション | Integration Admin | Integration Deployer | Integration Operator | Integration Monitor |
---|---|---|---|---|
プロキシ・サービスの作成 |
Y |
Y |
N |
N |
プロキシ・サービスの表示 |
Y |
Y |
Y |
Y |
プロキシ・サービスの編集 |
Y |
Y |
N |
N |
プロキシ・サービスの削除 |
Y |
Y |
N |
N |
ビジネス・サービスの作成 |
Y |
Y |
N |
N |
ビジネス・サービスの表示 |
Y |
Y |
Y |
Y |
ビジネス・サービスの編集 |
Y |
Y |
N |
N |
ビジネス・サービスの削除 |
Y |
Y |
N |
N |
テスト・コンソールの実行 |
Y |
Y |
N |
N |
WSDLの作成 |
Y |
Y |
N |
N |
WSDLの表示 |
Y |
Y |
Y |
Y |
WSDLの編集 |
Y |
Y |
N |
N |
WSDLの削除 |
Y |
Y |
N |
N |
XMLスキーマの作成 |
Y |
Y |
N |
N |
XMLスキーマの表示 |
Y |
Y |
Y |
Y |
XMLスキーマの編集 |
Y |
Y |
N |
N |
XMLスキーマの削除 |
Y |
Y |
N |
N |
WS-Policyの作成 |
Y |
Y |
N |
N |
WS-Policyの表示 |
Y |
Y |
Y |
Y |
WS-Policyの編集 |
Y |
Y |
N |
N |
WS-Policyの削除 |
Y |
Y |
N |
N |
XQueryの作成 |
Y |
Y |
N |
N |
XQueryの表示 |
Y |
Y |
Y |
Y |
XQueryの編集 |
Y |
Y |
N |
N |
XQueryの削除 |
Y |
Y |
N |
N |
XSLTの作成 |
Y |
Y |
N |
N |
XSLTの表示 |
Y |
Y |
Y |
Y |
XSLTの編集 |
Y |
Y |
N |
N |
XSLTの削除 |
Y |
Y |
N |
N |
MFLの作成 |
Y |
Y |
N |
N |
MFLの表示 |
Y |
Y |
Y |
Y |
MFLの編集 |
Y |
Y |
N |
N |
MFLの削除 |
Y |
Y |
N |
N |
JARの作成 |
Y |
Y |
N |
N |
JARの表示 |
Y |
Y |
Y |
Y |
JARの編集 |
Y |
Y |
N |
N |
JARの削除 |
Y |
Y |
N |
N |
サービス・アカウントの作成 |
Y |
Y |
N |
N |
サービス・アカウントの表示 |
Y |
Y |
Y |
Y |
サービス・アカウントの編集 |
Y |
Y |
N |
N |
サービス・アカウントの削除 |
Y |
Y |
N |
N |
サービス・キー・プロバイダの作成 |
Y |
Y |
N |
N |
サービス・キー・プロバイダの表示 |
Y |
Y |
Y |
Y |
サービス・キー・プロバイダの編集 |
Y |
Y |
N |
N |
サービス・キー・プロバイダの削除 |
Y |
Y |
N |
N |
Alert Ruleの作成 |
Y |
Y |
Y |
N |
Alert Ruleの表示 |
Y |
Y |
Y |
Y |
Alert Ruleの編集 |
Y |
Y |
Y |
N |
Alert Ruleの削除 |
Y |
Y |
Y |
N |
表47-5 Oracle Service Bus管理コンソールにおけるロール・ベースのプロジェクト・エクスプローラのアクセス
アクション | Integration Admin | Integration Deployer | Integration Operator | Integration Monitor |
---|---|---|---|---|
プロジェクトの作成 |
Y |
Y |
N |
N |
プロジェクトの表示 |
Y |
Y |
Y |
Y |
プロジェクトの編集 |
Y |
Y |
N |
N |
プロジェクトの削除 |
Y |
Y |
N |
N |
フォルダの作成 |
Y |
Y |
N |
N |
フォルダの表示 |
Y |
Y |
Y |
Y |
フォルダの編集 |
Y |
Y |
N |
N |
フォルダの削除 |
Y |
Y |
N |
N |
表47-6 Oracle Service Bus管理コンソールにおけるロール・ベースのセキュリティ構成アクセス
アクション | Integration Admin | Integration Deployer | Integration Operator | Integration Monitor |
---|---|---|---|---|
ユーザーの作成 |
N |
N |
N |
N |
ユーザーの表示 |
Y |
Y |
Y |
Y |
ユーザーの編集 |
N |
N |
N |
N |
ユーザーの削除 |
N |
N |
N |
N |
グループの作成 |
N |
N |
N |
N |
グループの表示 |
Y |
Y |
Y |
Y |
グループの編集 |
N |
N |
N |
N |
グループの削除 |
N |
N |
N |
N |
ロールの作成 |
N |
N |
N |
N |
ロールの表示 |
Y |
N |
N |
N |
ロールの編集 |
N |
N |
N |
N |
ロールの削除 |
N |
N |
N |
N |
ポリシーの作成 |
N |
N |
N |
N |
ポリシーの表示 |
N |
N |
N |
N |
ポリシーの編集 |
N |
N |
N |
N |
ポリシーの削除 |
N |
N |
N |
N |
表47-7 Oracle Service Bus管理コンソールにおけるロール・ベースのシステム管理アクセス
アクション | Integration Admin | Integration Deployer | Integration Operator | Integration Monitor |
---|---|---|---|---|
リソースのインポート |
Y |
Y |
N |
N |
リソースのエクスポート |
Y |
Y |
N |
N |
UDDIレジストリの作成 |
Y |
Y |
N |
N |
UDDIレジストリの表示 |
Y |
Y |
Y |
Y |
UDDIレジストリの編集 |
Y |
Y |
N |
N |
UDDIレジストリの削除 |
Y |
Y |
N |
N |
UDDIからインポート |
Y |
Y |
N |
N |
自動インポート・ステータスの同期化 |
Y |
Y |
Y |
Y |
UDDIのデタッチ |
Y |
Y |
N |
N |
UDDIにパブリッシュ |
Y |
Y |
N |
N |
自動パブリッシュ・ステータス |
Y |
Y |
Y |
Y |
自動パブリッシュ・ステータスのパブリッシュ |
Y |
Y |
N |
N |
JNDIプロバイダの作成 |
Y |
Y |
N |
N |
JNDIプロバイダの表示 |
Y |
Y |
Y |
Y |
JNDIプロバイダの編集 |
Y |
Y |
N |
N |
JNDIプロバイダの削除 |
Y |
Y |
N |
N |
SMTPサーバーの作成 |
Y |
Y |
N |
N |
SMTPサーバーの表示 |
Y |
Y |
Y |
Y |
SMTPサーバーの編集 |
Y |
Y |
N |
N |
SMTPサーバーの削除 |
Y |
Y |
N |
N |
値の検索(カスタマイズ) |
Y |
Y |
N |
N |
置換(カスタマイズ) |
Y |
Y |
N |
N |
ファイルの作成(カスタマイズ) |
Y |
Y |
N |
N |
ファイルの選択(カスタマイズ) |
Y |
Y |
N |
N |
項目の選択(カスタマイズ) |
Y |
Y |
N |
N |
ファイルの実行(カスタマイズ) |
Y |
Y |
N |
N |
事前定義された管理ロールへのユーザーの割当てを容易にするため、Oracle Service Busには対応する4つのセキュリティ・グループも用意されています。ロール内のメンバーシップは動的ですが、グループ内のメンバーシップは静的です。管理者があるユーザーをグループに入れると、管理者が割当てを変更するまでそのユーザーはそのグループのメンバーです。
管理セキュリティの構成の最も簡単なシナリオでは、ユーザーを作成し、そのユーザーを4つの管理グループのいずれかに追加すると、このユーザーは、常に、事前定義されたアクセス権限すべてと対応するロールのメンバーに自動的になります。
より複雑なシナリオでは、MyAdministratorsEastとMyAdministratorsWestという独自のグループ2つを作成し、必要に応じてユーザーを割り当てます。MyAdministratorsWestグループが8amから8pm ESTのロール、MyAdministratorsEastグループが8pmから8am ESTのロールになるように、事前定義されたIntegrationAdminセキュリティ・ロールを構成します。
表47-9は、Oracle Service Busに用意されている管理グループの説明です。これらに加えて独自のグループを作成できます。
Oracle Service Busのセッションの内部または外部から、ユーザー、グループ、およびロールを作成または変更できます。データに対する追加や変更は、即座に有効になり、すべてのセッションで使用できるようになります。データを追加または変更したときのセッションを破棄した場合でも、セキュリティ・データは破棄 されません 。
管理セキュリティを構成するには:
Oracle WebLogic ServerのAdminロールに含まれるユーザー・アカウントでOracle Service Bus管理コンソールにログインします。
(オプション)独自のセキュリティ・グループを作成します。
『Oracle Fusion Middleware Oracle Service Bus管理者ガイド』のグループの追加に関する項を参照してください。
ユーザーを作成し、そのユーザーをOracle Service Busのグループまたは独自のグループのいずれかに割り当てます。
『Oracle Fusion Middleware Oracle Service Bus管理者ガイド』のユーザーの追加に関する項を参照してください。
(オプション)ユーザーやグループが事前定義されたOracle Service Busのセキュリティ・ロールに入る条件を変更します。
デフォルトでは4つのデフォルト・グループは常にOracle Service Busのセキュリティ・ロールに入りますが、このデフォルトを変更できます。ユーザーのリストの管理が容易になるように、Oracleではユーザーをロールに直接追加しないことをお薦めします。かわりに、ユーザーをグループに追加し、そのグループをロールに追加します。
『Oracle Fusion Middleware Oracle Service Bus管理者ガイド』のロールの追加に関する項を参照してください。