19 セキュリティ・タスク

この章では、Oracle Event Processingビジュアライザで実行できるセキュリティ・タスクを紹介します。これには、ユーザー、グループおよびロールの管理や、HTTPパブリッシュ/サブスクライブ・サーバー・チャネルのセキュリティとSSLの管理があります。

この章の内容は次のとおりです。

• ユーザー、グループ、およびロールの管理

• HTTPパブリッシュ/サブスクライブ・サーバー・チャネル・セキュリティの管理

• SSL管理。

Oracle Event Processingの管理のビジュアライザのセキュリティも参照してください。

19.1 ユーザー、グループ、およびロールの管理

Oracle Event Processingでは、ロールベースの認可制御を使用して、Oracle Event Processingビジュアライザおよびwlevs.Adminコマンドライン・ユーティリティを保護します。すぐに使用できるデフォルトのセキュリティ・グループが各種存在しています。ユーザーを様々なグループに追加することにより、ユーザーへの様々なロールの割当ができます。

Oracle Event Processingビジュアライザ、wlevs.AdminまたはJMXを使用するカスタム管理アプリケーションを使用してOracle Event Processingインスタンスに接続する管理者は、ロールベースの認可を使用してアクセス権を取得します。

また、ロール・ベースの認可を使用して、HTTPパブリッシュ/サブスクライブ・サーバーへのアクセス権を制御できます。

次の2種類のロールがあります。

• アプリケーション・ロール: アプリケーション・ロールは、Oracle Event Processingサーバーにデプロイ済の様々なOracle CQLアプリケーションにアクセスする権限をユーザーに付与します。アプリケーション・ロールを作成し、それらをOracle Event Processingが提供するタスク・ロールに関連付けることができます。

  デフォルトでは、管理者ユーザーは任意のアプリケーションへアクセスできますが、非管理者ユーザーはすべてのアプリケーションへはアクセスできません。非管理者ユーザーがアプリケーションへアクセスする前に、管理者ユーザーはユーザーに関連するアプリケーション・ロールを付与する必要があります。

• タスク・ロール: タスク・ロールは、自身のアプリケーション・ロールによってアクセスが認可されたアプリケーションで様々なタスクを実行する権限を、ユーザーに付与します。Oracle Event Processingには、表19-1で説明するデフォルトのタスク・ロールが用意されています。

Oracle Event Processingビジュアライザまたはwlevs.Adminの使用時に正常に認証されたユーザーにはそのグループ・メンバーシップに基づいてロールが割り当てられますが、その後の管理機能へのアクセスは、そのユーザーが保持するロールに従って制限されます。匿名ユーザー(認証されていないユーザー)は、Oracle Event Processingビジュアライザまたはwlevs.Adminへのアクセス権を持ちません。

管理者が「構成ウィザード」を使用して新規ドメインを作成するとき、wlevsAdministratorsグループの一部となる管理者ユーザーを入力します。デフォルトでは、この情報はファイルベースのプロバイダ・のファイルストア内に格納されます。パスワードは、SHA-256アルゴリズムを使用してハッシュされます。デフォルトの管理者ユーザーの名前はoepadminで、パスワードはwelcome1です。

表19-1は、新規ドメイン作成直後に使用可能なデフォルトのOracle Event Processingタスク・ロールや、それらのロールに割り当てられるグループ名を説明しています。

表19-1 デフォルトのOracle Event Processingタスク・ロールおよびグループ タスク・ロール グループ 権限 Admin wlevsAdministrators 前述のロールが持つすべての権限および次の権限があります。 ユーザーおよびグループの作成 HTTPパブリッシュ/サブスクライブ・セキュリティの構成 Jettyやワーク・マネージャなどのシステム構成の変更 ApplicationAdmin wlevsApplicationAdmins AdminおよびBusinessUserロールのみに許可されている問合せの更新を除くすべてのOperator権限を持ちます。ApplicationAdminには、すべてのデプロイ済アプリケーションの構成を更新する権限も含まれています。 BusinessUser wlevsBusinessUsers すべてのOperator権限およびデプロイ済アプリケーションのプロセッサに関連付けられたOracle CQLルールを更新する権限を持ちます。 Deployer wlevsDeployers すべてのOperator権限およびデプロイ済アプリケーションをデプロイ、アンデプロイ、更新、一時停止、および再開する権限があります。 監視 wlevsMonitors すべてのOperator権限および監視(診断プロファイル)、記録、再生、イベント・トレースおよびイベント・インジェクションを行う権限があります。 Operator wlevsOperators すべてのサーバー・リソース、サービス、およびデプロイされたアプリケーションへの読取り専用アクセスがあります。

Oracle Event Processingビジュアライザを使用して既存ドメイン用のグループを作成し、ロールをグループに割り当てます。ユーザーをグループに割り当てると、そのユーザーにはロールによって許可されるアクションを実行する権限が与えられます。

Oracle Event Processingビジュアライザを使用すると、次のことを行えます。

• ユーザー・アカウントおよびパスワード

• ユーザー・グループ

• タスク・ロール。

19.2 HTTPパブリッシュ/サブスクライブ・サーバー・チャネル・セキュリティの管理

Oracle Event Processingは、HTTPパブリッシュ/サブスクライブ・サーバー(HTTP pub-sub server)を提供します。これは、Webクライアントがチャネルをサブスクライブし(JMSの内容と類似)、HTTP経由で非同期メッセージを使用してメッセージをチャネルへパブリッシュして、使用可能な状態になるとメッセージを受信するためにチャネルをサブスクライブするメカニズムです。

Oracle Event Processingビジュアライザを使用すると、どのユーザーがHTTPパブリッシュ/サブスクライブ・サーバー・チャネルへアクセスできるかを指定できます。

詳細は、次を参照してください。

• HTTPパブリッシュ/サブスクライブ・サーバーのセキュリティ

• Oracle Event Processingの管理のHTTPパブリッシュ/サブスクライブ・サーバー・チャネルのセキュリティ。

19.3 SSL管理

Oracle Event Processingには一方向のSecure Sockets Layer (SSL)が用意されていますが、これは、Oracle Event ProcessingビジュアライザとOracle Event Processingサーバー・インスタンス間、マルチサーバー・ドメインのOracle Event Processingサーバー・インスタンス間、およびwlevs.Adminコマンドライン・ユーティリティとOracle Event Processingサーバー・インスタンス間のネットワーク・トラフィックを保護するためのものです。

Oracle Event Processingサーバーのconfig.xmlファイル内のSSLを構成します。デフォルトで、構成ウィザードはOracle/Middleware/my_oep/user_projects/domains/DOMAIN_DIR/servername/configディレクトリにあるconfig.xmlファイルを作成します。

詳細は、次を参照してください。

• SSL構成

• Oracle Event Processingの管理のSSLの手動構成を参照してください。