この章では、開発環境またはテスト環境から本番環境へなど、環境間でWebサービス・アプリケーションを移行する方法について説明します。次の項目について説明します。
この章の内容は次のとおりです。
テスト環境から本番環境に移動する方法の詳細は、Oracle Fusion Middlewareの管理のテストから本番環境への移動に関する項を参照してください。
Webサービス・アプリケーションを、環境間で(たとえばテスト環境から本番環境など)またはスケーリングされたクラスタ環境に個別に移行するには、アプリケーションをデプロイできるようにポリシーとデプロイ構成情報を新しい環境にエクスポートする必要があります。構成によっては、ポリシー構成アーティファクトやポリシー・アサーション・テンプレートの移行も必要になります。
デプロイメント・ディスクリプタは、アプリケーションの基本的なデプロイ構成が格納されたXMLファイルです。WebLogic ServerおよびJava EE Webサービスのアプリケーションの場合は、アプリケーションを新しい環境にデプロイするために必要なデプロイメント・ディスクリプタを含めたデプロイ・プランを作成します。
ただし、ADFビジネス・コンポーネントの場合は、ランタイム・ポリシーの変更は、独自のデプロイメント・ディスクリプタ(PDD)ファイルであるoracle-webservices.xml
およびoracle-webservices-client.xml
に保持されます。これらのファイルはWebLogicデプロイ・プランに含まれず、他のデプロイメント・ディスクリプタと一緒にエクスポートされないため、これらのPDDファイルを単独でエクスポートしてインポートする必要があります。また、アプリケーションをクラスタ環境にスケーリングする場合も、これらのPDDファイルを単独でエクスポートしてインポートする必要があります。
次のOracle Infrastructure Webサービス・コンポーネントでは、使用される構成管理メカニズムが異なることに注意してください。
SOAコンポジットでは、WebサービスおよびOWSMの構成がcomposite.xmlファイルに保持されます。このファイルはデプロイ構成に使用される構成プランに含まれます。SOAフレームワークでは、コンポジット・サービスおよび構成のライフサイクルと同期化に独自のメカニズムが使用されます。
ADF Webサービスのデータ管理構成では、WebCenterサービスの接続詳細はconnections.xmlファイルに格納され、デプロイ後の変更はすべてカスタマイズとしてMetadata Services(MDS)リポジトリに格納されます。
Webサービス・アプリケーションを開発またはテスト環境から本番環境へ移行する一般的な手順は、次のとおりです。
本番環境を、必要なコンポーネントとともにインストールし、構成します。
ユーザーとグループ、アイデンティティとポリシー・ストア、資格証明などのセキュリティ情報を移行します。詳細は、「ポリシー構成の移行」を参照してください。
必要に応じて、ポリシーとデプロイ構成を移行します。詳細は、「ポリシーの移行」を参照してください。新しい環境に固有の情報(ホスト名、ポートなど)を変更します。
アプリケーションを新しい環境にデプロイします。
環境の間のFusion Middlewareアプリケーションの移動に関する情報は、『Oracle Fusion Middlewareの管理』の「高度な管理: 環境の拡張」を参照してください。
次の手順では、アプリケーションの開発やデプロイのサイクルでの様々なステージでポリシーを作成および水平移行する方法の一般的なシナリオについて説明します。
Oracle Enterprise Manager Fusion Middleware Controlを使用して、ポリシーを作成します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「Webサービス・ポリシーの作成および変更」を参照してください。
ZIPアーカイブへのポリシーのエクスポート
詳細は、「ポリシーの移行」を参照してください。
ZIPアーカイブのMETA-INF
ディレクトリの中身を、Oracle JDeveloper環境のポリシーの格納場所に抽出します。詳細は、Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理のJDeveloperで使用するポリシーのOWSMリポジトリからのエクスポートに関する項を参照してください。
Oracle JDeveloperでWebサービスを作成し、そのWebサービスにポリシーを添付します。
詳細は、『Oracle Jdeveloperによるアプリケーションの開発』における「Webサービスの開発および管理」を参照してください。
Webサービスをステージング・サーバーにデプロイし、Webサービスをテストします。
詳細は、『Oracle Jdeveloperによるアプリケーションの開発』における「Webサービスの開発および管理」を参照してください。
ポリシーを本番のサーバー環境にインポートします。
詳細は、「ポリシーの移行」を参照してください。
必要に応じて、次の情報を移行します。
ポリシーの構成。「ポリシー構成の移行」を参照してください。
アサーション・テンプレート。「アサーション・テンプレートの移行」を参照してください。
アプリケーションを本番環境にデプロイし、Webサービスをテストします。
第3章「Webサービス・アプリケーションのデプロイ」および第5章「Webサービスのテスト」を参照してください。
Fusion Middleware Controlを使用してユーザーが作成した1つ以上のポリシーをアーカイブ・ファイルをエクスポートできます。アーカイブは、別のリポジトリにインポートできます。
注意: 事前定義済ポリシーとアサーション・テンプレートなどの読み専用ドキュメントは、すでにターゲット環境に存在するため、Fusion Middleware ControlまたはWLSTを使用してインポートまたはエクスポートされません。 |
Fusion Middleware Controlを使用したユーザー作成ポリシーのエクスポートおよびインポートに関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の以下のトピックを参照してください。
Webサービス・ポリシーのエクスポート
Webサービス・ポリシーのインポート
または、WLSTコマンドexportWSMRepository
およびimportWSMArchive
を使用して、ポリシーをエクスポートおよびインポートすることもできます。次に、必要な手順を説明します。
WLSTコマンドを使用してポリシーを移行する手順は次のとおりです。
exportWSMRepository
コマンドを使用して、zipファイルなど、サポートされているアーカイブ・ファイルにOWSMポリシーをエクスポートします。
たとえば、テスト/ ディレクトリのすべてのユーザー作成OWSMポリシーを、policies.zip
の名前のアーカイブにエクスポートする場合は、次のように入力します。
wls:/jrfServer_domain/serverConfig> exportWSMRepository('/tmp/policies.zip',['policies:test/%'])
Exporting "/policies/test/wss11_x509_token_with_message_protection_service_policy_test"
Exporting "/policies/test/wss_username_token_over_ssl_service_policy_Test"
Successfully exported "2" documents.
必要に応じて、作成後のアーカイブを編集できます。たとえば、すべてのポリシーを新しい環境に移行する必要がない場合は、それをアーカイブから手動で削除できます。
アーカイブを新しいマシンに移動します。OWSM Policy Managerが新しいマシンにデプロイされていることを確認します。
importWSMArchive
コマンドを使用して、OWSMポリシーをインポートします。たとえば、前の手順でエクスポートされたポリシーをインポートする手順は、次のとおりです。
wls:/jrfServer_domain/serverConfig> importWSMArchive('/tmp/policies.zip')
Importing "META-INF/policies/test/wss11_x509_token_with_message_protection_service_policy_test"
Importing "META-INF/policies/test/wss_username_token_over_ssl_service_policy_Test"
Successfully imported "2" documents
これらのWLSTコマンドに関する情報は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のWebサービス・カスタムWLSTコマンドに関する項を参照してください。
次の項では、OWSMポリシーの構成アーティファクトを移行する方法を説明します。次のセクションがあります。
メッセージ保護ポリシーを使用している場合は、キーストアを移行する必要があります。キーストアを移行する手順は次のとおりです。
キーストアを新しい環境に手動でコピーします。
Java SEアプリケーションの場合は、キーストアをユーザー定義の場所にコピーします。Java EEアプリケーションの場合は、キーストアをjps-config.xml
ファイルと同じディレクトリ、DOMAIN_HOME/config/fmwconfig
にコピーします。
デフォルトでは、キーストアの名前はdefault-keystore.jksです。キーストアの名前を変更した場合は、Oracle Platform Security Servicesのキーストア・サービス・インスタンスでキーストア名を構成する必要があります。
キーストアの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「メッセージ保護のキーストアの構成」を参照してください
ユーザーとグループは、WebLogic Serverのセキュリティ・レルムの一部として保持されます。
組込みLDAPのユーザーとグループを移行する場合は、Oracle WebLogic管理コンソールまたはWLSTのいずれかを使用してデータを移行できます。必要な手順の詳細は、『Oracle WebLogic Serverセキュリティの管理』のセキュリティ・データの移行に関する項を参照してください。
LDAPストアのユーザーとグループを移行する場合は、移行パスはありません。新しい環境でユーザーとグループを再作成し、LDAPストアでの割当てを指定する必要があります。『Oracle WebLogic Serverセキュリティの管理』の認証プロバイダの構成に関する項を参照してください。
移行が必要な可能性のある、資格証明ストアに保持された資格証明には2つのタイプがあります。
ユーザー名およびパスワード
キーストアおよび暗号化キー・パスワード
次の項では、移行手順を説明します。
組込みLDAPに格納されているユーザーを「ユーザーおよびグループの移行」の説明に従って移行する場合、単純に既存の資格証明を新しい資格証明ストアに移行します。必要な手順の詳細は、『Oracle WebLogic Serverセキュリティの管理』のセキュリティ・データの移行に関する項を参照してください。
ユーザーがLDAPストアに格納されている場合、自動移行パスはありません。資格証明ストアに資格証明を再作成する必要があります。認証の構成に関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「認証ストアの構成」を参照してください
Webサービスで認可ポリシーを使用する場合は、Oracle Platform Security Servicesアプリケーションおよび権限を付与するシステム・ポリシーを移行する必要があります。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のOPSSセキュリティ・ストアに関する項にあるScript migrateSecurityStoreによる移行の説明を参照してください。
Oracle Platform Security Services構成には、自動移行パスはありません。新しい環境で構成を再作成する必要があります。
再作成が必要な可能性のあるOracle Platform Security Servicesの構成には、3つのタイプがあります。
信頼できるSAMLアサーション発行者名(すべてのSAMLポリシーに適用可能)。
信頼できるSAML発行者名構成にデフォルトの構成を使用する場合は、移行は必要ありません。新規環境におけるSAMLの構成に関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。
キーストアの場所、およびキーストアとキーストア・パスワードのCSFキー構成(メッセージ保護ポリシーのみに適用可能)。
キーストアにデフォルトの構成を使用する場合は、移行は必要ありません。新規環境におけるキーストアの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「メッセージ保護のキーストアの構成」を参照してください
keytabの場所およびサービス・プリンシパル名(Kerberosポリシーに適用可能)
新規環境におけるキータブ・ロケーションおよびサービス・プリンシパル名の構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の以下のトピックを参照してください
Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成
Fusion Middleware Controlを使用したKerberosログイン・モジュールの構成
SSL構成には、自動移行パスはありません。新しい環境でSSLキーストアを構成して設定する必要があります。新規環境におけるSSLキーストアの構成および設定の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「SSLのキーストアの構成」を参照してください
Kerberos構成を移行する手順は次のとおりです。
Kerberos構成ファイルを、同じディレクトリ構造の新しい環境にコピーします。Kerberos構成ファイルは、各オペレーティング・システムで次の場所にあります。
UNIX: : /etc/krb5.conf
Windows: C:\windows\krb5.ini
チケット・キャッシュを適切な資格証明で初期化します。
詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「Kerberos Tokensの構成」を参照してください。
Oracle Enterprise Manager Fusion Middleware Controlからアサーション・テンプレートを個別にエクスポートできます。ポリシーをディレクトリにコピーすることも、ポリシーをインポートして別のリポジトリに移動することもできます。
アサーション・テンプレートのエクスポートおよびインポートに関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「ポリシー・アサーション・テンプレートの管理」を参照してください。