| Oracle® Fusion Middleware Oracle Entitlements Server管理者ガイド 11gリリース2 (11.1.2.2) B71695-05 |
|
 前 |
 次 |
この章では、ポリシー決定ポイント(PDP)がデプロイされる理由および方法について説明します。この章には次の項目があります。
Oracle Entitlements Serverでは、アクセス・リクエストを評価する場所に応じてポリシー決定ポイント(PDP)の配置が異なる様々なデプロイメント・モデルがサポートされています。たとえば、Javaクライアントには、アプリケーションに埋め込まれたセキュリティ・モジュールをローカル・コールするオプションおよびプロキシ経由でRemote Method Invocation (RMI)またはWebサービスのセキュリティ・モジュールをリモート・コールするオプションがあります。これらのモデルは、相互に排他的ではないので、任意に組み合せることができます。
PDPは、アプリケーションにローカルに埋め込んだり、他の(アプリケーション以外の)場所にインストールしてリモート通信したりできます。リアルタイムまたはほぼリアルタイムのアプリケーション(それぞれ株式取引アプリケーションまたは銀行アプリケーション)では通常、応答時間を短くするために埋込みモデル(セキュリティ・モジュールが分散されるモデル)が使用されます。また、アプリケーションをオフライン(バック・エンドに接続されていない)で実行する必要がある場合もこれを使用する必要があります。PDPの数を最小化する必要がある場合またはセキュリティ上の懸念によりPDPをアプリケーションに隣接してデプロイすることができない場合(DMZ内など)は、リモートPDP(中央にある1つのセキュリティ・モジュールが複数のクライアントとの共通機能として提供される)を使用できます。また、リモート起動に伴うオーバーヘッドが許容される場合またはJava以外のプログラミング言語(C、C++、C#)で記述されたアプリケーションからPDPが起動される場合に使用できます。
|
注意: プロキシ・モードは、認可リクエストをリモートPDPに送信するようにセキュリティ・モジュールを構成する場合に使用します。これは、アクセス・リクエストを発行してGRANTまたはDENYの決定を受信する機能を提供します。7.2項「セキュリティ・モジュールのプロキシ・モードの使用」を参照してください。 |
次の各項では、追加情報を提供します。
分散デプロイメント・モデルでは、セキュリティ・モジュール/PDPは、保護されたアプリケーションのコンテナ内に埋め込まれ、同一プロセスで実行されます。ポリシーはセキュリティ・モジュールに配布され、認可決定はローカルに下されてキャッシュされるので、中央のサーバーへのネットワーク・コールは必要ありません。また、アプリケーション自体を変更する必要はありません。典型的な埋込みPDPデプロイメントを図7-1に示します。
集中デプロイメント・モデルでは、PDPが実行されるプロセスは、保護されたアプリケーションとは別のプロセスであり、保護されたリソースから離れた場所でホストされています。中央のPDP (Oracle Entitlements Serverまたはセキュリティ・モジュール)は、複数のクライアントから認可リクエストを受信し、適切なポリシーを評価して、認可決定(GRANTまたはDENY)をPEPに返して実行します。図7-2は、この集中デプロイメント・モデルを示します。
中央のPDPは、XACMLゲートウェイ、RMIまたはSOAPを使用して起動されます。そこには、ロール、ポリシー、ポリシー決定および属性のローカル・キャッシュが維持され、要求時または起動時に更新されます。
Oracle Entitlements Serverでは、クライアントが認可サービスをリモートで起動できるプロキシ・モードがサポートされます。アプリケーションでOracle Entitlements Server PEP APIによって認可コールが実行されると、アプリケーションのホスト上に、(別のマシン上の)リモート・セキュリティ・モジュールと通信してアクセス決定を要求するプロキシを設定できます。WebサービスまたはRemote Method Invocation (RMI)は、プロキシの通信オプションです。図7-3に、このトポロジを示します。
アプリケーションからのOracle Entitlements Server PEP APIコールは、コール対象が埋込みPDPまたはリモートPDPのどちらであるかに関係なく、実行できます。プロキシ・モードは、セキュリティ・サービス(認可キャッシュ、ロギングおよびフェイルオーバーを含む)をローカルに提供するように構成でき、RMIまたはSOAPを使用してPDPと通信できます。
XACMLゲートウェイは、Webサービス機能を使用し、XACMLリクエスト/レスポンス・プロトコルによる通信を実現するSOAPエンドポイントです。XACMLゲートウェイは(クライアントではなく)PDPとともに存在し、Webサービス・セキュリティ・モジュールをインスタンス化することによって使用できます。XACMLゲートウェイを使用するために、特別な構成は必要ありません。Webサービス・セキュリティ・モジュールは、クライアントにローカルにインスタンス化された場合は、Webサービス・コールを使用します。そのエンドポイントでSOAPエンベロープを受信すると、XACMLゲートウェイを使用します。図7-4に、XACMLゲートウェイ・デプロイメントを示します。
|
注意: アプリケーションがXACMLリクエスト/レスポンス・プロトコルを使用している場合、PEP APIは使用しません。 |
