Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.3) E59414-02 |
|
前 |
次 |
この章では、Oracle Web Services ManagerをWebLogic Serverとともに使用する方法について説明します。OWSMはWebLogic Serverにインストールすることが可能です。OWSMを構成することにより、ドメイン全体の管理ポートの使用、デフォルト・ユーザーの変更およびWebLogic Serverドメイン間のOWSMポリシー・マネージャの共有を行うことができます。
この章の内容は次のとおりです。
OWSMは、Oracle Fusion Middleware Infrastructureのインストール時にデフォルトでインストールされます。ただし、JAX-WS WebサービスとクライアントがデプロイされているスタンドアロンのWebLogic Server環境がある場合、OWSMをインストールしてWebサービスとクライアントを保護するために使用できます。
注意: OWSMは、SOA Suiteを通じてのみライセンス付与できます。スタンドアロン・ライセンスは利用できません。ライセンスの詳細は、『Oracle Fusion Middlewareライセンス情報』を参照してください。 |
WebLogic ServerとともにOWSMを使用するには、Java Required Files (JRF)とOracle Enterprise Manager Fusion Middleware Controlが必要です。JRFは、Oracleビジネス・アプリケーションやアプリケーション・フレームワークに一般的な機能を提供するコンポーネントで構成されています。Oracle Enterprise Manager Fusion Middleware Controlは、Java EE (WebLogic) Webサービスを保護および管理するために使用できます。
Oracle Fusion Middleware Infrastructureの標準インストール・トポロジには、OWSM、JRFおよびEnterprise Managerが含まれています。このトポロジの詳細および詳細なインストール手順は、『Oracle Fusion Middleware Infrastructureのインストールと構成』を参照してください。WebLogic ServerとともにOWSMを使用するには、そのマニュアルの手順に従ってOracle Fusion Middleware Infrastructureの標準インストール・トポロジをインストールして構成してください。
インストールとドメインの構成が完了したら、このマニュアルの説明に従って、OWSMを使用してJava EE (WebLogic) JAX-WS Webサービスを保護できます。OWSMポリシーは、JAX-RPC Webサービスにアタッチできません。
Java EE (WebLogic) Webサービスの管理手順は、『Webサービスの管理』を参照してください。
管理ポートを使用するようドメインが構成されている場合、管理者が実行するすべてのタスクはこのポートを経由する必要があります。デフォルトでは、OWSMポリシー・マネージャのターゲットは管理対象サーバーです。管理ポートでポリシー・マネージャを使用するには、ポリシー・マネージャのターゲットを管理対象サーバーおよび管理サーバーにする必要があります。
管理ポートの詳細は、次のトピックを参照してください。
『Oracle WebLogic Serverサーバー環境の管理』のネットワーク・チャネルの理解に関する項。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメイン全体の管理ポートの構成に関する項。
ドメイン全体の管理ポートでOWSMを構成する手順は、次の2つに大きく分けられます。
手順1: WebLogic管理コンソールを使用して、ポリシー・マネージャのターゲットに管理サーバーを指定します。
Oracle Fusion Middlewareを使用したWebサービスの管理のOracle WebLogic管理コンソールへのアクセスに関する項での説明に従って、WebLogic管理コンソールにアクセスします。
または、Fusion Middleware Controlで、WebLogicドメインのホーム・ページからWebLogic管理コンソールにアクセスすることもできます。その手順は、次のとおりです。
Oracle Fusion Middlewareを使用したWebサービスの管理のOracle Enterprise Manager Fusion Middleware Controlへのアクセスに関する項での説明に従って、Fusion Middleware Controlにログインします。
ナビゲータ・ペインで「WebLogicドメイン」を開き、管理コンソールにアクセスする対象のドメインを選択します。
WebLogicドメインのホーム・ページが表示されます。
「WebLogicドメイン」メニューから、「WebLogic Server管理コンソール」を選択します。または、ページの「サマリー」セクションにある「Oracle WebLogic Server管理コンソール」リンクをクリックします。
「ようこそ」ページで、有効なユーザー名とパスワードを使用してログインします。
管理コンソールの左ペインで、「デプロイメント」をクリックします。すべてのデプロイ済のエンタープライズ・アプリケーションとアプリケーション・モジュールを示す表が右ペインに表示されます。
この表で、ターゲットの再指定を行うwsm-pmアプリケーションを見つけて、その名前をクリックします。アプリケーションを見つけるには、「次」を数回クリックする必要がある場合があります。
アプリケーションの「設定」ページが表示されます。
「ターゲット」タブをクリックします。
表の「現在のターゲット」列に、ポリシー・マネージャ・アプリケーションのターゲットであるサーバーが表示されます。
wsm-pmアプリケーションのターゲットをAdminServerにするには、「ターゲットの変更」をクリックします。
「サーバー」ボックスで、「AdminServer」がまだ選択されていない場合はこれを選択し、「はい」をクリックします。
変更は自動的にアクティブ化されます。
手順2: Fusion Middleware Controlを使用して、管理サーバー上のポリシー・マネージャのポリシー・アクセッサURLを指定します。
「「WSMドメイン構成」ページへの移動」での説明に従って、「WSMドメイン構成」ページにアクセスします。
「ポリシー・アクセス」タブを選択します。
このページの「ポリシー・マネージャ」セクションで、自動検出チェック・ボックスの選択を解除します。ポリシー・マネージャのURLの「編集」ボタンが有効になります。
ポリシー・マネージャのURLの「編集」ボタンをクリックします。
「ポリシー・マネージャのURL値の編集」ページで+記号をクリックして、t3s://
host
:
admin_port
/wsm-pm
などの管理サーバーのURLを入力ます。
たとえば、t3s://localhost:9002/wsm-pm
と入力します。
オーバーライド・ポートが管理サーバー用に構成されている場合、次を使用します。
t3s://
admin_server
:
admin_server_override_port
これは、管理サーバーで実行しているポリシー・マネージャの場所を指定します。
注意: オーバーライド・ポートを使用している場合、ポリシー・マネージャのバリデータ・ページは依然としてhttps://
admin_server_host
:normal_https_port
/wsm-pm
にあり、オーバーライド・ポートにはありません。詳細は、「OWSMポリシー・マネージャに関する問題の診断」を参照してください。
「OK」をクリックするとウィンドウが閉じます。
ポリシーへのアクセス・ページで、「適用」をクリックします。
クロス・コンポーネント・ワイヤリングは、Fusion Middlewareコンポーネントをワイヤリングするための簡素化された方法を提供します。ワイヤリング・プロセスを自動化し、ワイヤリングの確立後に診断を行うことができます。
ワイヤリングは別のコンポーネントを指す1つのコンポーネントの構成の一部分で、コンポーネントの管理インタフェースを指すURLなどがあります。クロス・コンポーネント・ワイヤリングを使用すると、次のようになります。
サービス・プロバイダは、サービス表にエンドポイントを公開します。これらのエンドポイントは、構成ウィザードを使用してドメインの作成や拡張を行ったときなどに自動的に公開することも、管理者が手動で公開することもできます。
クライアントにはサービスを指す構成を含みます(サービスURLなど)。サービス表に公開されたサービス情報を含むこの構成を更新することで、クライアントはサービスにバインドされます。バインドは、構成ウィザードを使用してドメインの作成や拡張を行ったときなどに自動的に実行することも、管理者が手動で実行することもできます。
WebLogic ServerにFusion Middlewareをインストールして構成すると、ローカル・サービス表が作成されます。これにより、サービス・プロバイダはサービスのエンドポイント情報を公開し、これらのサービスのクライアントはそのサービスへの問合せとバインドを行います。ローカル・サービス表のスコープはドメインで、そのドメインが提供するサービスも含まれます。サービス表およびクロス・コンポーネント・ワイヤリングの詳細は、『Oracle Fusion Middlewareの管理』のクロス・コンポーネント・ワイヤリングに関する項を参照してください。
OWSMはクロス・コンポーネント・ワイヤリングを使用して、ドメイン内のポリシー・マネージャを自動検出します。構成ウィザードを使用してOWSMを含むドメインを作成または更新するとき、ローカル・サービス表にポリシー・マネージャURLが公開されます。ローカル・サービス表に公開されたエンドポイント・エントリを使用して、OWSMエージェントが自動的にOWSMポリシー・マネージャに接続されます。
ただし、構成ウィザード以外のツール(WebLogic管理コンソール、Fusion Middleware ControlまたはWLSTなど)を使用してドメインを変更した場合、ポリシー・マネージャURLへの変更は自動的にローカル・サービス表に公開されますが、OWSMエージェントのクライアントは自動的に新しいURLにバインドされません。この場合、ポリシー・マネージャURLにOWSMエージェントを手動でバインドする必要があります。詳細は、「Fusion Middleware Controlを使用したエージェント・バインディングの確認」を参照してください。
自動検出の設定の変更や無効化が行えます。この手順について次の各項で説明します。
サービス表エントリにポリシー・マネージャの正しいURLが含まれていることを確認する手順は次のとおりです。
「サービス表」ページの使用
「WebLogicドメイン」メニューから、「クロス・コンポーネント・ワイヤリング」→「サービス表」を選択します。
「サービス表」で、「接続」列のURLと「最終公開日」の日付に、「サービスID」がurn:oracle:fmw.owsm-pm:t3
のOWSMポリシー・マネージャの正しい情報が反映されていることを確認します。
「コンポーネント」ページの使用
「WebLogicドメイン」メニューから、「クロス・コンポーネント・ワイヤリング」→「コンポーネント」を選択します。
「コンポーネント・タイプ」表で、OWSMポリシー・マネージャを選択します。
「サービス・エンド・ポイント」表で、「接続」列に正しいURLが表示されており、「サービスID」がurn:oracle:fmw.owsm-pm:t3
のOWSMポリシー・マネージャのステータスがPublished
になっていることを確認します。ステータスがPublished
ではない場合(たとえばOut of Sync
)、このページを使用してポリシー・マネージャ接続を公開することもできます。これを行うには、表からそのポリシー・マネージャを選択し、「公開」をクリックします。
OWSMエージェントが適切なポリシー・マネージャURLに正しく接続されていることを確認する手順は次のとおりです。
「WebLogicドメイン」メニューから、「クロス・コンポーネント・ワイヤリング」→「コンポーネント」を選択します。
「コンポーネント表」表で、OWSMエージェントを選択します。
「クライアント構成」表で、「クライアントID」owsm-pm-connection-t3
の「接続」列に正しいポリシー・マネージャURLが反映されており、「ステータス」
列のステータスがWiredとして表示されていることを確認します。
「ステータス」列にOut of Sync
が表示されている場合、エージェントをポリシー・マネージャにバインドする必要があります。これを行うには:
「クライアント構成」
表からowsm-pm-connection-t3を選択し、「バインド」をクリックします。
「クライアント構成のバインド」ページで、「サービス・エンド・ポイント」に正しいポリシー・マネージャURLが含まれていることを確認し、「はい」をクリックします。
「コンポーネント」ページに確認メッセージが表示され、エージェントのステータスがWired
に変更されます。
OWSMエージェント・ランタイムは、デフォルトではOracleSystemUserアカウントとOracleSystemGroupを使用して、サーバーとの通信を行います。
デフォルト・ユーザーを変更するには、次の項で説明する手順を実行します。
認証プロバイダを構成するには、次の手順を実行します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダとアイデンティティ・アサーション・プロバイダの構成に関する項の説明に従って、認証プロバイダを構成します。
構成しているレルムの名前を選択します(たとえばmyrealm
)。
「新しい認証プロバイダの作成」ページで、認証プロバイダの名前を入力し(たとえば、OID)、タイプとしてOracle Internet Directoryオーセンティケータを選択します。
「設定」セクションで、「制御フラグ」を「オプション」に設定します。
「プロバイダ固有」タブで、次の情報を入力します。
ホスト: LDAPプロバイダURL
ポート: ポート番号
プリンシパル: 管理ユーザーの詳細(新しいデフォルト・ユーザー)
例: CN=orcladmin,CN=Users,DC=us,DC=oracle,DC=com
資格証明: LDAPのパスワード
資格証明の確認: LDAPのパスワード
ユーザー・ベースDN
例: CN=Users,DC=us,DC=oracle,DC=com
グループ・ベースDN
例: CN=Groups,DC=us,DC=oracle,DC=com
WebLogic Serverを再起動します。
「資格証明ストアへの鍵およびユーザー資格証明の追加」の説明に従って、次のパラメータを使用して、資格証明ストア・プロバイダを構成します。
マップがまだない場合は、「マップの作成」を選択し、マップ名oracle.wsm.security
を入力します。
「資格証明ストア・プロバイダ」表で、oracle.wsm.security
を選択します。
「キーの作成」ダイアログで、適切なキーを入力します(たとえば、OID
)。新しいデフォルト・ユーザーのユーザー名とパスワードを入力します(たとえば、orcladmin
およびpassword
)。
ドメインのポリシー・マネージャCSFキーを構成する手順は次のとおりです。
新しいデフォルト・ユーザーのアカウントでFusion Middleware Controlにログインします。
ナビゲーション・ペインで、「WebLogicドメイン」を開き、構成するドメインを選択します。
「WebLogicドメイン」メニューから、「Webサービス」→「WSMドメイン構成」を選択します。
「ポリシー・アクセッサ」タブを選択します。
「Fusion Middleware Controlを使用したポリシー・マネージャ接続の構成」の手順3に従って、ポリシー・マネージャCSFキーを構成します。
この手順で指定するCSFキーは、資格証明ストア内でポリシー・マネージャの管理ユーザー用に指定されているCSFキーに一致する必要があります。詳細は、「資格証明ストア・プロバイダの構成」を参照してください。
その項の例を使用して、PM Csf Keyドロップダウン・メニューからOIDキーを選択し、資格証明とパスワードの組合せとしてoracladmin
とpassword
を入力します。
「適用」をクリックして、WebLogic Serverを再起動します。
OWSMエージェント・ランタイムは、OracleSystemUserアイデンティティを使用してwsm-pm
にアクセスします。新しいデフォルト・ユーザーを定義する場合、AdministratorまたはOracleSystemGroupグループに含まれるか(グループが存在する場合)、表2-1で定義されているデフォルトのOWSM論理ロールにマップされる必要があります(グループが存在しない場合)。
表2-1 デフォルトのOWSM論理ロール
ロール | デフォルト・ユーザー | 権限 |
---|---|---|
|
管理者 |
ポリシーの作成、編集、削除および更新 |
|
すべての認証ユーザー |
読取り専用権限(たとえば、ドキュメント情報の問合せ/表示) |
|
|
OWSMポリシー・マネージャの使用によるポリシーのアタッチのためにOWSMエージェント・ランタイムがアクセスするEJBの保護 |
ユーザーに必要なロールがあることを確認するには、次のいずれかの手順を実行します。
AdministratorまたはOracleSystemGroupグループがLDAPまたはアイデンティティ・ストアに存在する場合は、次の手順を実行します。
LDAPで、デフォルトの管理ユーザーとして使用するユーザーを追加します。
WebLogic Server管理コンソールで、ユーザーがAdministratorグループに存在することを確認します。詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーとグループの管理に関する項を参照してください。
AdministratorまたはOracleSystemGroupグループがLDAPまたはアイデンティティ・ストアに存在しない場合は、次のOPSSスクリプトのいずれかを使用してアプリケーション・ロールを管理できます。
grantAppRole
: プリンシパル(クラスおよび名前)を指定したアプリケーション・ストライプおよび名前を持つロールに追加します。
revokeAppRole
: プリンシパル(クラスおよび名前)を指定したアプリケーション・ストライプおよび名前を持つロールから削除します。
listAppRoleMembers
: 指定したアプリケーション・ストライプおよびロール名を持つロール内のすべてのメンバーがリストされます。
これらのOPSSスクリプトおよびその他のOPSSスクリプトの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のポリシー・ストアの管理に関する項を参照してください。
OPSSスクリプトの使用方法の例を次に示します。OPSSスクリプトを発行する前に、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項の説明に従って、WLSTを起動してWebLogic Serverの実行中のインスタンスに接続する必要があります。
次のコマンドは、policy.Accessor
ロールをPAPUser
という名前のプリンシパルに追加します。
grantAppRole(appStripe="wsm-pm", appRoleName="policy.Accessor",principalClass="weblogic.security.principal.WLSUserImpl", principalName="PAPUser")
次のコマンドは、policy.Accessor
ロールをOracleSystemGroup
から削除します。
revokeAppRole(appStripe="wsm-pm", appRoleName="policy.Accessor",principalClass="weblogic.security.principal.WLSGroupImpl", principalName="OracleSystemGroup")
次のコマンドは、policy.Accessor
ロールに関連付けられたメンバーをリストします。
listAppRoleMembers(appStripe="wsm-pm", appRoleName="policy.Accessor")