4.4 ジョブ・リクエストのためのシンプル・データ・セキュリティの構成

Oracle Simple Data Securityによって特定のデータ・レコードへのアクセスや変更に対するセキュリティ認可が強制されます。Oracle Simple Data Securityは、OPSSプリンシパルにアクションを付与することによってOracle Platform Security Services (OPSS)に統合されます。権限は、特定のリソースに対してだれ(プリンシパル)が何(アクション)を実行できるのかを定義します。Oracle Simple Data Securityの権限では、エンタープライズ・ユーザーまたはエンタープライズ・グループをプリンシパルとして使用できます。

Oracle Enterprise Schedulerのコンテキストでジョブ・リクエスト・アクセス制御セキュリティ・ポリシーは、権限、権限受領者、および次のようなジョブ・リクエスト・セットに対するoracle.as.scheduler.security.RuntimeDataPermission権限のセットで構成されます。

• 権限受領者は、ユーザーやアプリケーション・ロールなどの権限受領者IDで表現されます。このIDは、Oracle Fusion Middlewareから取得されるユーザーGUIDまたはアプリケーション・ロールGUIDと一致している必要があります。

Oracle Enterprise Manager Fusion Middleware Controlを使用して、ジョブ・リクエストのアクセス制御データ・セキュリティ・ポリシーを管理できます。

デフォルトの動作は次のとおりです。

• デフォルトで、ユーザーは自分が送信したリクエストのみを表示できます。

• ユーザーがリクエストを表示できる場合、リクエスト・ログも表示できます。

• ユーザーがリクエストを表示できる場合、そのリクエストが昇格された権限で実行されていなければ、ユーザーはリクエスト出力を表示できます。

• ユーザーがリクエストを表示できる場合、そのリクエストが昇格された権限で実行されていれば、リクエスト出力は表示できません。

• リクエストの別名実行ユーザー(指定されている場合は、昇格されたユーザー)は、リクエスト、リクエスト・ログおよびリクエスト出力を表示できます。

• 管理者グループのユーザー(たとえば、"weblogic")は、すべてのリクエストおよびリクエスト・ログを表示できます。

• 管理者ユーザーは、管理者ユーザーとしてリクエストが送信および実行されていない場合、リクエスト出力を表示できません。

4.4.1 Oracle Simple Data Securityのアクション

Enterprise Managerを使用して、Oracle Enterprise Schedulerの機能およびデータのセキュリティ・ポリシーを作成できます。ここで、アクセスとロールを関連付けてポリシーを作成できます。

表4-7に、使用可能なシンプル・データ・セキュリティのアクションを示します。

---

表4-7 データ・セキュリティのためのアクションの付与

アクション	結果
ESS_REQUEST_READ	リクエストの読取り、およびリクエスト状態と詳細の取得を行います。
ESS_REQUEST_UPDATE	リクエストを更新します。
ESS_REQUEST_HOLD	リクエスト実行を保留します。
ESS_REQUEST_CANCEL	リクエスト実行を取り消します。
ESS_REQUEST_LOCK	リクエストをロックします。
ESS_REQUEST_RELEASE	リクエストのロックを解除します。
ESS_REQUEST_DELETE	リクエストを削除します。
ESS_REQUEST_PURGE	リクエストをパージします。
ESS_REQUEST_OUTPUT_CREATE	リクエストの出力を作成します。
ESS_REQUEST_OUTPUT_READ	リクエストの出力を表示します。
ESS_REQUEST_OUTPUT_DELETE	リクエストの出力を削除します。
ESS_REQUEST_OUTPUT_UPDATE	リクエストの出力を更新します。

---

4.4.2 Oracle Enterprise Schedulerコンポーネントのためのデータ・セキュリティ・ポリシーの作成方法

Enterprise Managerを使用して、Oracle Enterprise Schedulerの機能およびデータのセキュリティ・ポリシーを作成できます。

1. ナビゲーション・ペインで、「WebLogicドメイン」フォルダを展開し、ポリシーを作成するドメインを選択します。
2. 「WebLogicドメイン」メニューから、「セキュリティ」→「アプリケーション・ポリシー」を選択します。

   「アプリケーション・ポリシー」ページが表示されます。

3. 「検索」セクションの「アプリケーション・ストライプ」ドロップダウンから、作業するアプリケーション・ストライプを選択します。
4. 「作成」をクリックして、ユーザー、グループまたはアプリケーション・ロールへの権限の付与を開始します。

   「アプリケーション権限の作成」ページが表示されます。

5. 「アプリケーション権限の作成」ページの「権限受領者」セクションで、「追加」をクリックします。
6. 「プリンシパルの追加」ウィンドウの「タイプ」ドロップダウンでプリンシパルのタイプを選択し、プリンシパル名または表示名を入力し、検索ボタンをクリックして追加するプリンシパルを検索します。
7. プリンシパルの検索の下で、使用するプリンシパルをクリックし、「OK」をクリックします。
8. 「権限」セクションで「追加」をクリックします。
9. 「検索」セクションで、どちらを検索するかに応じて「権限」または「リソース・タイプ」をクリックします。
10. 権限を検索した場合、「権限クラス」ドロップダウンからoracle.as.scheduler.security.RuntimeDataPermissionを選択します。リソース・タイプを検索した場合、「リソース・タイプ」ドロップダウンからESSRequestSimpleResourceTypeを選択します。
11. 「検索」ボタンをクリックします。
12. 「検索結果」の下で、リソースを選択し、「続行」をクリックします。
13. 「権限の追加」ダイアログで、付与する権限アクションを選択します。
14. 「選択」をクリックします。