Oracle® Fusion Middleware Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理 12c (12.1.3) E59414-02 |
|
前 |
次 |
この章では、OWSMリポジトリについて説明します。リポジトリを使用すると、ポリシー、アサーション・テンプレート、ポリシーの使用状況データなどのOracle Web Services Managerメタデータを、インポート、エクスポート、バックアップおよびリストアできます。リポジトリ内のポリシーは、パッチを適用したり、アップグレードすることもできます。
この章の内容は次のとおりです。
Oracle Web Services Manager (WSM)は、MDSリポジトリを使用してポリシー、アサーション・テンプレート、ポリシーの使用状況データなどの、OWSMメタデータを格納します。OWSMリポジトリは、データベースとして(本番用)またはファイル・システム内のファイルとして(JDeveloperでの開発用)利用できます。
このリリースでサポートされているデータベースのリストは、Oracle Fusion Middlewarのサポートされるシステム構成を参照してください。
OWSMリポジトリ内では、各ポリシーがURIを持ち、それを評価してパスが形成され、そのパスにポリシーを含む特定のXMLドキュメントが置かれます。OWSMはMDSカスタマイズ機能を使用しません。そのためすべてのポリシーは完全なドキュメントとして格納されます。MDSには指定されたドキュメントの複数のバージョンを格納する機能がありますが、OWSMはポリシー強制時に最新バージョンのみにアクセスします。
MDSリポジトリの管理の詳細は、『Oracle Fusion Middlewareの管理』のMDSリポジトリの管理に関する項を参照してください。
アプリケーションをOWSMリポジトリなどのMDSリポジトリにデプロイする前に、リポジトリをOracle WebLogicドメインに登録する必要があります。OWSMリポジトリを登録する手順は、次のとおりです。
ポリシーのOWSMリポジトリへのインポートやリポジトリからのエクスポートは、Enterprise Manager Fusion Middleware ControlとWebLogic Scripting Tool (WLST)コマンドのどちらでも行えます。
Fusion Middleware Controlでは、ユーザーが作成した1つ以上のポリシーまたはアサーション・テンプレートを、zipアーカイブ・ファイルに選択的にインポートしたりエクスポートしたりできます。事前定義済のポリシーやアサーション・テンプレートなど、読取り専用ドキュメントは、ターゲット環境に同じドキュメントがあるため、インポートまたはエクスポートできません。Fusion Middleware Controlを使用したポリシーとアサーション・テンプレートのインポートおよびエクスポートの手順は、次の項で説明されています。
WLSTコマンドのimportWSMArchive
およびexportWSMRepository
を使用すると、複数のOWSMドキュメントをOWSMリポジトリに簡単に直接インポートまたはエクスポートできます。これらのコマンドの使用の詳細は、「リポジトリへのドキュメントのインポートおよびエクスポート」を参照してください。
いずれかのメカニズムを使用してポリシーをインポートまたはエクスポートする場合、操作はOWSMポリシー・マネージャ・アプリケーションのインスタンスを介してルーティングされます。実行時にポリシーのリクエストが行われたときには、常に最新のポリシーが提供されることがポリシー・マネージャによって保証されます。そのため、常に最新のポリシーが強制されます。
OWSMドキュメントおよびアプリケーション・メタデータをOWSMリポジトリにインポートまたはエクスポートするには、次の各項の説明に従って、importWSMArchive
、exportWSMRepository
およびexportWSMAppMetadata
コマンドを使用します。
WLSTコマンドとその引数の詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のWebサービスのカスタムWLSTコマンドに関する項を参照してください。
サポートされているZIPアーカイブ・ファイルにリポジトリからドキュメントをエクスポートするには、exportWSMRepository
コマンドを使用します。
exportWSMRepository(archive,[documents=None],[includeShared='false'])
次の点に注意してください。
事前定義済のポリシーやアサーション・テンプレートなど、読取り専用ドキュメントは、ターゲット環境に同じドキュメントがすでにあるため、エクスポートできません。
archive
引数で指定したアーカイブがすでに存在する場合、既存のアーカイブにドキュメントをマージするか、既存のアーカイブを上書きするか、操作を取り消すかを選択できます。
アーカイブにエクスポートされるドキュメントを指定するには、オプションのdocuments
引数を使用します。ドキュメントを指定しない場合、ポリシーおよびポリシー・セットが含まれる共有ドキュメントのみがエクスポートされます。読取り専用ドキュメントはエクスポートできないため、エクスポートにはカスタムまたはクローンの共有ポリシーのみが含まれます。この引数を空の文字列['']
として指定すると、ポリシーおよびポリシー・セットが含まれるすべての共有ドキュメント、アプリケーション・メタデータおよび構成ドキュメントがエクスポートされます。エクスポートするドキュメントのリストを指定したり、検索式を使用してリポジトリ内の特定のドキュメントを検索したりできます。たとえば、URIがtest/wss_またはtest/wss11_で始まる、ユーザーが作成したポリシーのリストをエクスポートするには、次のように入力します。
wls:/jrfServer_domain/serverConfig>exportWSMRepository('/tmp/test2.zip',['policies:test/wss_%','policies:test/wss11_%'])
Exporting "/policies/test/wss11_x509_token_with_message_protection_service_policy_test"
Exporting "/policies/test/wss_username_token_over_ssl_service_policy_Test"
Successfully exported "2" documents.
エクスポート時に同じアーカイブの一部として共有ドキュメント(ポリシー・セットおよびwsm-assemblyドキュメント内でポリシー参照として指定されるドキュメント)を含めるには、オプションのincludeShared
引数を使用します。読取り専用ドキュメントはエクスポートできないため、エクスポートにはカスタムまたはクローンの共有ポリシーのみが含まれます。デフォルトはfalse
です。
たとえば、アクティブ・ポリシー・セット・ドキュメントおよびそれらが使用するポリシーをエクスポートする手順は、次のとおりです。
wls:/jrfServer_domain/serverConfig>exportWSMRepository('/tmp/repository-active.jar', ['policysets:global/%'], true)
Exporting "/policies/test/wss_username_token_over_ssl_service_policy_Test"
Exporting "/policysets/global/all-domains-default-web-service-policies"
Exporting "/policysets/global/app-only-web-service-policies"
Exporting "/policysets/global/migrate_example"
Successfully exported "4" documents.
リポジトリ内のドキュメントを変更した場合、アーカイブ・ファイル内でそのドキュメントを更新できます。たとえば、module-web-service-policiesという名前のポリシー・セットを変更した場合、次のコマンドでアーカイブ内のポリシー・セットを更新できます。
wls:/jrfServer_domain/serverConfig>exportWSMRepository('/tmp/repository-backup.jar', ['/policysets/global/module-web-service-policies'])
サポートされているZIPアーカイブ・ファイルにリポジトリからアプリケーション・メタデータをエクスポートするには、exportWSMAppMetadata
コマンドを使用します。
exportWSMAppMetadata(archive,[applications=None],[includeShared='false'])
次の点に注意してください。
このコマンドは、Oracle Infrastructure WebサービスおよびRESTful Webサービスでのみサポートされます。このコマンドは、ADF DC Webサービス・クライアントおよびJava EE Webサービスではサポートされません。
archive
引数で指定したアーカイブがすでに存在する場合、既存のアーカイブにドキュメントをマージするか、既存のアーカイブを上書きするか、操作を取り消すかを選択できます。上書きオプションを選択すると、元のアーカイブはバックアップされ、バックアップ・アーカイブの場所を示すメッセージが表示されます。
メタデータがアーカイブにエクスポートされるアプリケーションを指定するには、オプションのapplications
引数を使用します。アプリケーション名を指定しない場合、ドメイン内のすべてのアプリケーションのメタデータがエクスポートされます。検索式のリストを指定して、リポジトリ内の特定のアプリケーションのメタデータを検索できます。これを行うには、/{PLATFORM_NAME}
/{DOMAIN_NAME}
/{APPLICATION_NAME}
という構文を使用します。
共有ドキュメント(wsm-assemblyドキュメント内でポリシー参照として指定されるドキュメント)をエクスポートに含めるかどうかを指定するには、オプションのincludeShared
引数を使用します。デフォルトはfalse
です。読取り専用ドキュメントはエクスポートできないため、エクスポートにはカスタムまたはクローンの共有ポリシーのみが含まれます。
たとえば、次のコマンドでは、名前がjaxws
で始まるアプリケーションのアプリケーション・メタデータを、tmp
ディレクトリ内のapplications.zip
ファイルにエクスポートします。
wls:/jrfServer_domain/serverConfig>exportWSMRepository('/tmp/applications.zip',['/WLS/base_domain/jaxws%'])
Exporting "\assembly\WLS\base_domain\jaxwsejb30ws\jaxwsejb\wsm-assembly.xml"Successfully exported "1" documents.
リポジトリにドキュメントをインポートするには、importWSMArchive
コマンドを使用します。
importWSMArchive(archive,[map=none],[generateMapFile='false'])
次の点に注意してください。
事前定義済のポリシーやアサーション・テンプレートなど、読取り専用ドキュメントは、ターゲット環境に同じドキュメントがすでにあるため、インポートできません。
archive
引数は必須であり、インポートされるドキュメントのリストが格納されるアーカイブ・ファイルへのパスを指定します。
オプションで、map
引数を使用して、ポリシー・セット内の物理情報をソース環境からターゲット環境へマップする方法が記載されている、ファイルの場所を指定できます。たとえば、マップ・ファイルを使用して、ポリシー・セット内のリソース・スコープ式を更新してターゲット環境に一致させることができます(たとえば、Domain("foo")=Domain("bar")
)。マップ・ファイルを指定し、それが存在しない場合、操作は失敗し、エラーが表示されます。
オプションのgenerateMapFile
引数をtrue
に設定して、map
引数で指定される場所にサンプルのマップ・ファイルを作成できます。この引数がtrue
に設定されている場合、ドキュメントはインポートされません。デフォルトはfalse
です。
ファイルが作成された後、任意のテキスト・エディタを使用して編集できます。マップ・ファイルには、アーカイブ・ファイルで与えられるドキュメント名と、対応するattachTo
値が含まれます。attachTo
値は、更新して新しい環境に対応させることができます。ドキュメント名についてマッピングの更新が必要ない場合、そのエントリは削除されるか、#
文字でコメント・アウトされる可能性があります。
注意: リポジトリへのドキュメントのインポート時、OWSMはattachTo 値のみを検証します。値が無効な場合、ポリシー・セットは無効化されます。マップ・ファイル内の他のテキストは検証されません。 |
たとえば、/tmp/repository-active.jarのマップ・ファイル/tmp/mapfile.txtを生成するには、次のコマンドを入力します。
wls:/jrfServer_domain/serverConfig>importWSMArchive('/tmp/repository-active.jar', '/tmp/mapfile.txt', true)
Successfully generated "Documents Mappings" file at "/tmp/mapfile.txt"
マップ・ファイル/tmp/mapfile.txtを使用してアクティブ・ポリシー・セット・アーカイブ/tmp/repository-active.jarをインポートするには、次のコマンドを入力します。
wls:/jrfServer_domain/serverConfig>importWSMArchive('/tmp/repository-active.jar', '/tmp/mapfile.txt')
Importing "META-INF/policysets/global/all-domains-default-web-service-policies"
Importing "META-INF/policysets/global/app-only-web-service-policies"
Importing "META-INF/policysets/global/migrate_example"
Successfully imported "3" documents
ポリシーは、アプリケーションの開発およびデプロイのサイクルにおいて様々なステージ間(開発から本番へなど)で移行できます。ポリシーの移行では、『Webサービスの管理』
のポリシーの移行に関する項
の説明に従って、importWSMArchiveコマンドおよびexportWSMRepositoryコマンドを使用することをお薦めします。
JDeveloperでは、カスタム・ポリシーを次のデフォルトのポリシー格納場所に追加できます。
JDEV_USER_HOME
\system12.1.2.0.x.x.x\DefaultDomain\store\gmds\owsm
設定されていない場合、JDEV_USER_HOME
のデフォルトはC:\Users\user-dir\AppData\Roaming\JDeveloper
になります。
このデフォルトのポリシーの格納場所では、OWSMポリシーはpolicies/
policyname
というディレクトリ構造で格納する必要があります。
注意: このディレクトリ構造の中で、policyname には、ポリシーが存在するディレクトリが含まれています。たとえば、Oracleで提供される事前定義済のすべてのポリシーは、oracle/wss_http_token_service_policy などのoracle/ ディレクトリに含まれています。
カスタム・ポリシーは、事前定義済ポリシーが含まれている |
ポリシー・ファイルをOWSMリポジトリからWLSTまたはFusion Middleware Controlを使用してエクスポートすると、次のディレクトリ構造を使用したZipアーカイブにエクスポートされます。
META-INF/policies/
policyname
JDeveloper環境でポリシーを使用するには、ZipアーカイブのMETA-INF
ディレクトリの中身を、前述のデフォルトのJDeveloperのポリシー格納場所に抽出する必要があります。このようにすると、policies/
policyname
という構造が維持され、JDeveloper環境でポリシーが使用できるようになります。このディレクトリ構造が維持されないと、ポリシーをJDeveloper環境で使用できません。
「ポリシーのインポートとエクスポートの異なるメカニズムの理解」で説明されているように、Fusion Middleware ControlまたはWLSTコマンドを使用して、OWSMリポジトリにパッチを適用できます。ポリシーを作成または更新する場合、リポジトリをパッチするときに使用可能なシナリオとして次の2つが考えられます。
注意: 事前定義済のポリシーは読取り専用であり、更新または上書きできません。 |
新しいポリシーを作成するか、新しいポリシーURIを使用する既存のユーザー定義ポリシーを更新します。このシナリオでは、リポジトリのパッチは、新しいファイルがインストールに追加されたかのように機能します。結果として、新しいポリシーを使用する予定のコンポーネントのみが影響を受けます。ロードすると、ポリシーはすべてのアプリケーションで使用できるようになります。一般的には、新しいポリシーURIを使用する方が望ましいモデルといえます。というのは、ポリシーは通常それが行う動作を示すように名前が付けられてるためです。
新しいポリシーを作成するか、既存のポリシーURIを使用する既存のユーザー定義ポリシーを更新します。このシナリオでは、リポジトリのパッチは、既存のファイルが新しいバージョンで上書きされたかのように機能します。そのため、既存のポリシーを使用しているすべてのコンポーネントに影響します。ロードすると、すべてのアプリケーションで新しいバージョンのポリシーが使用されます。既存のURIの再使用は、通常はポリシーの動作の変更箇所が少ない場合にのみ行われます。WLSTコマンドを使用してリポジトリをパッチする場合は、サーバーを再起動して必ず最新バージョンのポリシーが強制されるようにする必要があることに注意してください。Fusion Middleware Controlを使用する場合は、再起動する必要はありません。
OWSMリポジトリをバックアップおよびリストアするには、WLSTコマンドのexportWSMRepository
およびimportWSMArchive
を使用します。これらのコマンドの詳細は、「リポジトリへのドキュメントのインポートおよびエクスポート」を参照してください。
たとえば、リポジトリ内のすべてのOWSMアーティファクトをバックアップするには、次のコマンドを入力します。
wls:/jrfServer_domain/serverConfig>exportWSMRepository ('/tmp/repository-backup.jar')
Exporting "/assertiontemplates/oracle/binding_authorization_template"
Exporting "/assertiontemplates/oracle/binding_permission_authorization_template"
.
.
.
Exporting "/policies/oracle/binding_authorization_denyall_policy"
Exporting "/policies/oracle/binding_authorization_permitall_policy"
.
.
.
Exporting "/policysets/global/all-domains-default-web-service-policies"Exporting "/policysets/global/app-only-web-service-policies"
Successfully exported "170" documents.
バックアップからリポジトリをリストアするには、importWSMArchive
コマンドを使用してすべてのOWSMリポジトリ・アーティファクトをインポートします。
たとえば、前述の例で作成したバックアップ・ファイルを使用してリポジトリをリストアするには、次のコマンドを入力します。
wls:/jrfServer_domain/serverConfig>importWSMArchive ('/tmp/repository-backup.jar')
Importing "META-INF/assertiontemplates/oracle/binding_authorization_template"Importing "META-INF/assertiontemplates/oracle/binding_permission_authorization_template"
.
.
.
Importing "META-INF/policies/oracle/binding_authorization_denyall_policy"
Importing "META-INF/policies/oracle/binding_authorization_permitall_policy"
.
.
.
Importing "META-INF/policysets/global/all-domains-default-web-service-policies"Importing "META-INF/policysets/global/app-only-web-service-policies"
Successfully imported "170" documents.
WLSTコマンドとその引数の詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のWebサービスのカスタムWLSTコマンドに関する項を参照してください。
事前定義済のポリシーやアサーション・テンプレートなど、12cリリースで配布される事前定義済OWSMドキュメントは、すべて読取り専用です。11gから12cにアップグレードする際、次のことが行われます。
変更されていない既存の事前定義済ドキュメントは、12cの読取り専用バージョンに置換されます。
12cで導入された新規の事前定義済ドキュメントが追加されます。
変更された既存の事前定義済ドキュメントおよびユーザーが作成したドキュメントは、上書きされず、変更もされません。
常にOracle事前定義済ドキュメントの最新バージョンを使用できるようにするために、次のことをお薦めします。
次のトピックで説明されているように、変更済ドキュメントのクローンを作成します。
変更済ドキュメントへのポリシー参照がある場合は、クローンしたバージョンへのポリシー参照に置換します。
resetWSMRepository(clearStore='false')
コマンドを使用してOWSMリポジトリをアップグレードします。clearStore='false'
オプションを使用すると、Oracleの提供する事前定義済ドキュメントのみが削除および置換されます。カスタム・ドキュメントや、クローンを作成した事前定義済ドキュメントは削除されません。これがこのコマンドのデフォルト設定です。
カスタム・ドキュメントを含めたリポジトリ内のすべてのドキュメントを削除する方法は、「OWSMリポジトリの再構築」を参照してください。
状況によっては、OWSMリポジトリ内のすべてのドキュメントを削除し、Fusion Middlewareインストール付属の最新のセットと置換した方がよい場合もあります。たとえば、新しいプロジェクトをテスト環境で開始する場合、リポジトリの中身を元の状態にリセットできると便利なことがあります。
注意: この項で説明されている手順では、クローンを作成したドキュメントおよびユーザー作成によるドキュメントを含め、OWSMリポジトリ内のすべてのドキュメントが削除されます。Oracle提供の事前定義済ドキュメントのみを削除および置換する手順は、「OWSMリポジトリのアップグレード」を参照してください。 |
OWSMリポジトリを再構築するには、次の手順を実行します。
リポジトリが登録されているWebLogic Serverドメインの管理サーバー・インスタンスに接続します。手順の詳細は、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項を参照してください。
注意: ポリシーの削除またはリポジトリの再構築の前に、既存のポリシーを安全な場所にバックアップする必要があります。新しいポリシーで問題が発生した場合に、バックアップから既存のポリシーをインポートできます。 |
resetWSMRepository(clearStore='true')
コマンドを使用して、OWSMリポジトリからカスタム・ユーザー・ドキュメントを含めたすべてのドキュメントを削除し、Oracle提供の事前定義済読取り専用ドキュメントの完全なセットを再移入します。
WLSTコマンドのresetWSMRepository
の詳細は、『インフラストラクチャ・コンポーネントのためのWLSTコマンド・リファレンス』のOWSMリポジトリ管理コマンドに関する項を参照してください。
注意: ポリシーを削除する前に、ポリシーがポリシー・サブジェクトにアタッチされていないことを確認することをお薦めします。 |