この章では、Oracle Entitlements Serverの使用を開始する方法について、そのグラフィカル・インタフェースの使用と移動方法についての情報を含めて説明します。この章には次の項目があります。
Oracle Entitlements Serverの使用を開始する前に、次のタスクが実行されている必要があります。これには、製品とそのコンポーネント(たとえばリモートのセキュリティ・モジュール)のインストール、該当する場合には、高可用性およびSecure Sockets Layer (SSL)などの機能の構成が含まれます。これらのタスクを完了したら、3.2項「グラフィック・インタフェースの理解」を開始できます。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従って、Oracle Entitlements Serverをインストールおよび構成します。
Oracle Entitlements Serverで管理するポリシー・ストアはリレーショナル・データベースである必要があります。
Oracle Entitlements Serverと関連付けられるアイデンティティ・ストアはLDAPベース・ディレクトリである必要があります。
インストール後、Oracle Entitlements Serverアイデンティティ・ストアはWebLogic Serverの組込みLDAPディレクトリに関連付けられます。この組込みLDAPディレクトリは開発目的には適していますが、本番ではサポートされるLDAPディレクトリを使用する必要があります。次の手順で、デフォルトのアイデンティティ・ストアの設定を再構成します。LDAP認証プロバイダの構成のより詳細な情報は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』に記載されています。
WebLogic Serverコンソールを起動します。
「セキュリティ・レルム」をクリックします。
myrealmの設定をクリックします。
「プロバイダ」タブをクリックします。
図3-1に表示されているように「認証」タブをクリックします。
「新規」ボタンをクリックして、新しいプロバイダを作成します。
名前を入力し、LDAPベース・ディレクトリのタイプを選択します。
たとえば、OracleInternetDirectoryAuthenticator
と入力します。
LDAPベース・ディレクトリのプロバイダ特有の属性を構成します。
これには、ホスト名とポート、資格証明、グループ検索ベース、ユーザー検索ベースなどが含まれます。
プロバイダ情報を保存します。
LDAPベース・ディレクトリが最初にくるようにプロバイダの順番を変更します。
新しいプロバイダ名をクリックして構成します。
「構成」タブをクリックします。
「共通」タブをクリックします。
図3-2に表示されているように、「制御フラグ」をSUFFICIENTに設定し、「保存」をクリックします。
「プロバイダ固有」タブをクリックします。
アイデンティティ・ストアのLDAP構成情報を入力し、「保存」をクリックします。
「プロバイダ」タブに戻ります。
DefaultAuthenticatorをクリックしてその構成を変更します。
図3-3に表示されているように、「制御フラグ」をSUFFICIENTに設定し、「保存」をクリックします。
図3-3 WebLogic ServerコンソールのDefaultAuthenticatorのタブ
WebLogic Serverを再起動します。
Oracle Entitlements Serverの高可用性の構成の詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。
ユーザーの認証に関する詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
注意: Oracle Entitlements Serverはユーザーの認証に関わりません。これは通常WebLogic Serverのセキュリティ・レルム構成の一部として行われます。 |
Oracle Entitlements Serverがポリシー・ストア、アイデンティティ・ストアおよびデータベースを使用して確立する接続の一方向SSLの構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。ブラウザを使用したOracle Entitlements Serverへのアクセスも、一方向SSLを使用して保護できます。これらの設定は、Oracle WebLogic Serverで実行されている他のアプリケーションの設定とほぼ同じです。
ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、システム要件と動作要件のドキュメントを参照してください。
システム要件に関するドキュメントには、ハードウェア要件およびソフトウェア要件、ディスク領域とメモリーの最小要件、必要なシステム・ライブラリ、パッケージ、パッチなどの情報が記載されています。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-requirements-100147.html
動作保証のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサードパーティ製品が記載されています。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
いずれのドキュメントもOracle Technology Network (OTN)から入手できます。
Oracle Authorization Policy ManagerはOracle Entitlements Serverのサブ・コンポーネントで、管理者向けのグラフィカル管理ツールです。これはポリシーおよび関連するポリシー・オブジェクトの管理用の、ブラウザ・ベースのインタフェースです。次の各項には、認可ポリシー・マネージャの管理コンソールについて理解するための情報が含まれています。
Oracle Entitlements Server管理コンソールへのログインやWebLogic Scripting Tool (WLST)などの管理コマンド行ツールの使用は、適切な権限を持ったユーザーにのみ許可されています。SystemAdmin
という名前のOracle Entitlements Serverのシステム・レベルの管理ロールがインストール中に作成され、WebLogic Server管理者ユーザー(weblogic
)にマップされます。パスワードはインストール中に設定されます。SystemAdmin
には、追加の管理ロールを作成する権利と管理権限の他への委任を含む、拡張権限があります。
注意: 最初にOracle Entitlements Server管理コンソールにログインするときには、SystemAdmin はインストール中に設定された資格証明を使用する必要があります。識別子とパスワードはアイデンティティ・ストアの管理ツールを使用して変更できます。 |
Oracle Entitlements Serverと環境を管理するために、異なるアクセス権を持つ別の管理ユーザーを作成できます。詳細は、11.6項「管理者ロールを使用したシステム管理者の管理」を参照してください。
Oracle Entitlements Serverの管理者とユーザー・アイデンティティはアイデンティティ・ストア(通常はLDAPディレクトリ・サーバー)に保存されます。アイデンティティ・ストアに定義されたユーザーおよび外部ロールは読取り専用のため、Oracle Entitlements Serverはそのデータを読取りおよび表示しますが、データに対して管理操作は実行できません。アイデンティティ・データの管理は、アイデンティティ・ストアのツールまたはOracle Identity Managerなどのアイデンティティ管理製品を使用して行われます。
注意: インストール後、Oracle Entitlements Serverアイデンティティ・ストアはWebLogic Serverの組込みLDAPディレクトリに関連付けられます。サポートされているLDAPディレクトリを使用するためにOracle Entitlements Serverを再構成する手順については、3.1項「始める前に」を参照してください。 |
Oracle Entitlements Serverは、Oracle Platform Security Services (OPSS)アイデンティティ・ストア・サービスを使用して、複数のアイデンティティ・ストアを構成し、サポートすることができます。アイデンティティ・ストア・サービスを使用することにより、複数のアイデンティティ・タイプ(ユーザー、グループ、ロール)にアクセスおよび管理できます。アイデンティティ・ストアを拡張することにより、新しいアイデンティティ・タイプをサポートできます。アイデンティティ・ストア・サービスの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。Oracle Entitlements Serverに固有の詳細は、10.3項「Identity Directory Serviceプロファイルの構成」を参照してください。
セキュリティ・オブジェクトおよび定義されているポリシーの維持に使用するポリシー・ストアは、リレーショナル・データベースである必要があります。ハードウェア要件に関するリンクは、3.1項「始める前に」を参照してください。ポリシー・ストアの基本情報は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
管理コンソールには、Oracle Entitlements Serverを使用して作成した拡張認可ポリシーと同様、Oracle Platform Security Services (OPSS)を使用して作成した、より単純なアプリケーション権限(アプリケーション・ポリシー)も表示されます。OPSSアプリケーション権限の表示では、参照、変更および削除のみが可能です。OPSSを使用して作成したアプリケーション権限は、プリンシパルとターゲットのみを使用して定義されます。図3-4は、いずれかの検索機能を使用してOPSSアプリケーション権限が表示されているOracle Entitlements Server画面のスクリーンショットです。
「名前」、「表示名」、「説明」の各フィールドは、Oracle Entitlements Serverを使用して作成した認可ポリシーの場合と異なり、表示されないことに注意してください。OPSSアプリケーション権限は、Oracle Entitlements Serverを使用して削除または変更のみが可能であり、Oracle Entitlements Serverを使用して作成することはできません。アプリケーション権限の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
次の各項では、Authorization Policy Managerのグラフィカル・インタフェース(管理コンソールとも呼ばれる)について説明します。
次の手順に従い、認可ポリシー・マネージャ管理コンソールにサイン・インします。
ブラウザのアドレス・バーに認可ポリシー・マネージャ管理コンソールのURLを入力します。たとえば、次のように入力します。
https://
hostname:port
/apm/
これらの意味は、次のとおりです。
https
は、ユーザー・ページ・リクエストおよびWebサーバーから返されたページを暗号化および復号化できるように、Secure Socket Layer (SSL)を実装したHypertext Transfer Protocol (HTTP)を表します。
hostnameは、Oracle Authorization Policy Manager管理コンソールをホストするコンピュータの完全修飾ドメイン名です。
portは、認可ポリシー・マネージャ管理コンソール用に指定されたバインド・ポートです。(これはWebLogic Server管理コンソール用のバインド・ポートと同じです。)
/apm/
はAuthorization Policy Managerアプリケーションのコンテキスト・ルートであり、ログイン・ページにリダイレクトされます。
システム管理者の資格証明を入力します。
デフォルトのシステム管理者の識別子はweblogic
です。パスワードはインストール中に提供されたものと同じです。図3-5は「サインイン」ページのスクリーンショットです。
「サインイン」をクリックします。
次の手順に従い、認可ポリシー・マネージャ管理コンソールからサイン・アウトします。
管理コンソールの右上隅にある「サインアウト」リンクをクリックします。
図3-6は「サインアウト」リンクのスクリーンショットです。
ブラウザ・ウィンドウを閉じます。
正常にログインされると、認可ポリシーマネージャの管理コンソールが表示されて、「認可管理」タブがアクティブになります。ナビゲーション・パネルが左側にあり、「ホーム」タブが右側に表示されます。ナビゲーション・パネルで選択されたオブジェクトは、右側の「ホーム」タブの横に、新しいタブとして開かれます。図3-7は管理ユーザーが正常にサイン・インした後の管理コンソールのスクリーンショットです。
次のリストでは、図3-7に示されたトップ・レベル項目を説明しています。詳細は、該当するリンクを参照してください。
管理コンソールで使用される構成タブについては、次の各項を参照してください。各タブはナビゲーション・パネルとホーム領域から構成されます。
「認可管理」タブはポリシー・オブジェクトの検索および管理に使用します。このタブは管理コンソールに正常にログインしているときにアクティブになります。図3-8は「認可管理」タブのスクリーンショットです。
「認可管理」では、左側がナビゲーション・パネルで、右側がホーム領域です。ナビゲーション・パネルで選択した項目に応じてホームの外観が変わります。詳細は、3.4.2項「ナビゲーション・パネルの使用」および3.4.3項「「ホーム」タブの使用」を参照してください。
「システム構成」タブはOracle Entitlements Serverデプロイメントの管理およびシステム・タイプ・オブジェクトの管理に使用します。図3-9は「システム構成」タブのスクリーンショットです。ナビゲーション・パネルで選択されたオブジェクトがホーム領域のタブを使用して表示されます。
次のタスクが「システム構成」で実行されます。
セキュリティ・モジュール定義の作成およびアプリケーションへのバインド
システム管理者の管理(追加の管理者ロールの作成、ユーザーのシステム管理者ロールへの割当て、権限のシステム管理者ロールへの割当てなど)
アイデンティティ・ストア・プロファイルの管理
詳細は、第10章「システム構成の管理」を参照してください。
ナビゲーション・パネルを使用して、グローバルまたはアプリケーション情報ツリーを参照するか、簡易検索を実行することで、セキュリティ・オブジェクトを検索します。すべてのグローバルおよびアプリケーション・ポリシー・オブジェクトがナビゲーション可能なツリーで表示されます。ツリーを参照することも、定義した検索条件に基づき検索結果としてオブジェクトを表示させることもできます。図3-7は折りたたまれたノードを含むナビゲーション・パネルが表示されたスナップショットです。図3-10に、折りたたまれたノードと多くのポリシー・オブジェクトをビューに含むナビゲーション・パネルを表示しています。
ナビゲーション・パネルには、上から下まで、次の要素が含まれます。
簡易検索でポリシー・オブジェクトを選択するためのプルダウン・リスト。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
簡易検索の範囲を選択するためのプルダウン・リスト。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
簡易検索の文字列を入力するためのテキスト・ボックス。入力した文字列は、ポリシー・オブジェクトの名前および表示名と比較されます。一致した文字列は、「検索結果」タブに表示されます。
「参照」タブには、展開および縮小が可能な次のノードが表示されます。
「グローバル」ノードには外部ロールやユーザーなどのグローバル・オブジェクトが収集されます。
「アプリケーション」ノードには、ログインしている管理者により管理されている1つまたは複数のアプリケーションが含まれます。(ログインしているユーザーがアクセスを認可されているアプリケーションのみが表示されます。)表示されているいずれかのアプリケーションから、管理者はリソース・タイプ、資格、リソース、ポリシー、ロールなどのアプリケーション固有のポリシー・オブジェクトにアクセスできます。詳細は、第10章「システム構成の管理」を参照してください。
図3-11に示すように、「検索結果」タブには、最新の簡易検索の結果が表示されます。
選択したポリシー・オブジェクトでの操作を選択するための「アクション」および「ビュー」ドロップ・ダウン。
ナビゲーション・パネルから、「アクション」ドロップダウン・リストに含まれる「新規」および「開く」オプションを表示するには、2つの方法があります。
目的のアプリケーションを特定し、ノードを開いて、目的のオブジェクトを選択します。「アクション」ドロップダウン・メニューをクリックし、「新規」または「開く」を選択します。
目的のアプリケーションを特定し、ノードを開き、目的のオブジェクトを右クリックして、「新規」または「開く」を選択します。
「新規」を選択して同じタイプの新しいオブジェクトを作成し、「開く」を選択してホーム領域の検索タブを表示します。ノードからオブジェクトをダブルクリックしても、ホーム領域に「検索」タブを開くことができます。
「ホーム」タブはナビゲーション・パネルの右側に表示され、最もよく使用されるポリシー・オブジェクトに対する「新規」画面および「検索」画面へのクイック・アクセス・リンクが含まれます。図3-12に示すように、管理コンソールの「ホーム」タブは次のセクションに分割されています。
アプリケーション領域は、「ホーム」タブの上側の領域です。「アプリケーション名」ペインにはログイン・ユーザーが使用できるすべてのアプリケーションが表示されます。このペインの右側には、新しいポリシー・オブジェクト(資格、リソース、リソース・タイプ、アプリケーション・ロールおよび認可ポリシー)の作成や定義済のポリシー・オブジェクトの検索などの一般的な操作を実行する画面へのリンクがあります。
グローバル・セクションは「ホーム」タブの右下の領域です。このセクションはすべてのアプリケーションで共有されるオブジェクトが対象で、外部ロール検索が含まれます。
Entitlementsリソース・センター・セクションは「ホーム」タブの左下の領域です。最もよく使用される手順に関する情報へのリンクが含まれます。
管理コンソールの使用中に情報を取得するには、右上隅にある「ヘルプ」リンクをクリックします(図3-6参照)。別のウィンドウが開きます。このウィンドウから、オンライン・ヘルプと、HTML形式のこのマニュアルの埋込みバージョンの両方にアクセスできます。ウィンドウが表示されたら、ドロップダウンのマニュアル・リストから、Oracle Entitlements Server管理コンソール・オンライン・ヘルプまたは『Oracle Entitlements Server管理者ガイド』のいずれかを選択します。ヘルプ・トピックはマニュアルの目次のリンクと同じように、埋込みマニュアルの対応する項へとリンクします。
Oracle Entitlements Serverは、使用制限を定義する契約により、他のOracle製品から切り離してライセンスすることができます。Oracle Entitlements Server Basicは、Oracle Platform Security Services (OPSS)内の組込み認可エンジンに置き換わるものであり、基本的なロールベースのアクセス制御、およびJava/JAASの権限に基づいた認可ポリシーの定義、実行および監査に使用されます。Basicライセンスは、Oracle Entitlements ServerおよびOracle Entitlements Serverセキュリティ・モジュールによって提供される制限された機能セットの使用を許可するものであり、このコンポーネントがライセンス・ドキュメントにリストされているOracle製品にのみ含まれ、そのようなOracle製品でのみ使用できます。詳細は、Oracle Fusion Middlewareのライセンスに関する情報を参照してください。
最も単純なシナリオでは、Oracle Entitlements Server Basicを含むライセンスされたOracle Fusion MiddlewareまたはFusion Applicationsテクノロジ以外はインストールする必要がありません。Oracle Entitlements Server Basicを含むOracle Fusion Middleware製品には次のものがあります。
Oracle Entitlements Server認可エンジン(ポリシー決定ポイント)
デフォルトのポリシー・ストア(製品環境ではサポート対象外)は、system-jazn.xml
ファイルに基づいて構成されます。製品環境では、Oracleリレーショナル・データベース管理システムまたはOracle Internet Directoryのどちらかをベースにしてポリシー・ストアを構成する必要があります。
オプションでOracle Entitlements Server管理コンソール(Authorization Policy Manager)をインストールして、集中ポリシー管理を提供できます。
Oracle Fusion ApplicationsでAuthorization Policy Managerがインストールされている場合、Oracle Entitlements Server基本認可を使用できるように構成されます。基本認可は、ユーザー、グループおよびコード・ソースに権限が付与される権限ポリシー・モデルに基づきます。ユーザーおよびグループの場合、権限によってアクセスが許可されるユーザーまたはグループ・メンバーが決定されます。コード・ソースの場合は、これによって、コードが実行できるアクションが決定されます。拡張認可では、ロール・マッピング・ポリシーおよび階層型リソースを含む、よりきめの細かいポリシー・オブジェクトを使用できます。
次の手順を使用してAuthorization Policy Managerを再構成して、拡張認可を使用できるようにします。ここでは、WebLogic Serverがインストールされ、Fusion Middlewareホーム・ディレクトリが使用可能であることを前提としています。
Fusion Middlewareホーム・ディレクトリ$FMW_HOME/oracle_common/common/bin
に変更します。
wlst.sh
コマンドを使用してWebLogic Serverに接続します。
connect ('weblogic','weblogic1','t3://localhost:7101')
このコマンドは、ユーザー名(weblogic)、ユーザーに関連付けられているパスワード(weblogic1)および管理サーバーのT3接続URLを引数として使用します。この例では、ポート7101上でローカルに実行されます。
exportMetadata
コマンドを使用して、Authorization Policy Manager構成ファイルをエクスポートします。
exportMetadata(application='oracle.security.apm', server='AdminServer', toLocation='/tmp/repository/', docs='/oracle/security/apm/config/apm-config.xml')
このコマンドにより、apm-config.xml
構成ファイルが、管理サーバーがホストされているマシン上の/tmp/repository
サブディレクトリにエクスポートされます。このコマンドでは次の引数を使用します。
エクスポートされるドキュメントのアプリケーション所有者。この場合、デフォルト値はoracle.security.apm
です。
WebLogic Server管理サーバーの名前。
apm-config.xml
のエクスポート先のディレクトリ。このディレクトリへのアクセス権を持っていることを確認してください。
エクスポートされるドキュメント(この例ではoracle/security/apm/config/apm-config.xml
)がエクスポートされます。ドキュメントがダウンロードされたら、管理サーバー・マシンの該当するファイル・パスへのアクセス権を持っていることを確認してください。
テキスト・エディタでapm-config.xml
構成ファイルを開きます。
このファイルは、前の手順で指定した/tmp/repository
ディレクトリにあります。
このファイルのoracle.security.apm.oes.mode
属性の値をbasicからadvancedに変更します。
変更を保存して、ファイルを閉じます。
変更したファイルをリポジトリにアップロードします。
importMetadata(application='oracle.security.apm', server='AdminServer', fromLocation='/tmp/repository/', docs='/oracle/security/apm/config/apm-config.xml')
このコマンドにより、apm-config.xml
構成ファイルが、管理サーバーがホストされているマシンにインポートされます。このコマンドでは次の引数を使用します。
インポートされるドキュメントのアプリケーション所有者。この場合、デフォルト値はoracle.security.apm
です。
WebLogic Server管理サーバーの名前。
apm-config.xml
のインポート元のディレクトリ。
インポートされるドキュメント(この例ではapm-config.xml
)がoracle/security/apm/config/ディレクトリにインポートされます。
exitコマンドを発行します。
exit()
http://www.oracle.com/technetwork/indexes/samplecode/index.html
は、開発者およびOracle Entitlements Serverの管理例にアクセスできるOracle Technology Network上のリポジトリです。