Oracle® Fusion Middleware Oracle Entitlements Serverの管理 11gリリース2 (11.1.2.3.0) E67353-01 |
|
前 |
次 |
Oracle Entitlements Server管理コンソールを使用して、認可ポリシーとロール・マッピング・ポリシー、およびそれらの作成元のセキュリティ・オブジェクトを管理します。この章の内容は次のとおりです。
Oracle Entitlements Serverでは、管理者がすべてのポリシー・オブジェクトの作成、読取り、更新および削除の操作を実行できます。これは、次のいずれかの方法で実行できます。
管理コンソールの使用(このマニュアルの説明に従って実行)
管理APIの使用(『Oracle Entitlements Server開発者ガイド』の説明に従って実行)
コマンド行でのWebLogic Scripting Toolの使用(『Oracle Entitlements Server開発者ガイド』の説明に従って実行)
管理コンソールで実行される認可管理タスクでは通常、管理者がオブジェクトを特定(参照または検索による)して選択し、使用可能ないずれかの操作を選択する必要があります。オブジェクトは、ナビゲーション・パネルに表示されている主なグループに編成されます。
アプリケーション・オブジェクトにはロール・マッピング・ポリシーと認可ポリシーの作成に使用されるオブジェクト(リソース、アプリケーション・ロールなど)が含まれます。これらは、それが定義されているアプリケーションにのみ適用され、そのアプリケーション内の認可ポリシーにのみ使用できます。ナビゲーション・パネルの「アプリケーション」ノードは、その下にすべての構成済のアプリケーション(およびそれぞれのオブジェクト)が編成されたブランチです。この章では、アプリケーションとその子オブジェクトの管理について説明します。
グローバル・オブジェクトにはユーザーと外部ロールが含まれます。これらのオブジェクトはシステム全体にわたりすべての構成されたアプリケーションに適用できます。ナビゲーション・パネルの「グローバル」ノードは、その下にすべてのシステム全体のオブジェクトが編成されたブランチです。
注意: Oracle Entitlements Server内では、外部ロール(およびユーザー)は読取り専用であり、Oracle Identity Managerなどのツールで管理されます。詳細は、『Oracle Identity Managerの管理』を参照してください。 |
管理コンソールで実行されるシステム構成タスクには通常、セキュリティ・モジュール・プロファイルの定義とバインド、システム管理者構成、およびアイデンティティ・ストア・プロファイルの定義とバインドが含まれます。これらのオブジェクトについては第10章「システム構成の管理」で説明します。
注意: Oracle Entitlements Serverでは、ポリシーのユーザー、外部ロールおよびアプリケーション・ロールへのマッピングがサポートされます。ただし、個別のユーザーおよび外部ロールに付与することによって認可を管理することは、数が増えたときに管理できなくなる可能性があるので、ポリシーをアプリケーション・ロールにマッピングすることをお薦めします。また、アイデンティティ・ストアが変更される場合(たとえば、開発、テストおよび本番環境間での移動により新しいLDAPサーバーが生じる場合)、ポリシー定義への変更は必要ありません。必要な操作は、ターゲット環境で利用可能なユーザーおよび外部ロールにアプリケーション・ロールを再マッピングすることのみです。 |
デフォルトでは、明示的にアクセス操作の権限を付与する認可ポリシーが作成および配置されるまで、リソースへのアクセス操作はすべて拒否されます。認可ポリシーによりリソース上の資格がロールに付与される場合、ユーザーはそれに静的に割り当てられるか、またはユーザーまたはグループを定義済のロールに割り当てるロール・マッピング・ポリシーを作成および配置する必要があります。認可ポリシーが前に付与された資格を拒否する場合、それは付与よりも優先されます。明示的なDENY認可ポリシーは無効にできません。DENYポリシーの実用的な使用法は、資格を明示的に拒否して、ユーザーまたはグループが特定のリソースへのアクセス権を取得できないようにすることです。
ポリシーの定義では、オブジェクトが特定の順番で作成されることが必要です。たとえば、リソースはリソース・タイプの定義の後にのみ作成できます。ポリシーは次に説明する順番で構成できます。
アプリケーションを作成します。
ナビゲーション・パネルで、アプリケーションは特定のリソースのコンポーネントを保護するポリシーおよび関連情報用の全体的なコンテナとして作成される必要があります。必要に応じて任意の数のアプリケーションを作成することができますが、保護するアプリケーションごとに1つ作成することをお薦めします。詳細は、4.5.1項「アプリケーションの管理」を参照してください。
リソース・タイプを作成します。
リソース・タイプは、1つ以上のリソース属性と、特定の種類のリソースで実行できるすべての有効なアクションの定義を指定します。
このアクションは標準のアクション(URLへのGETおよびPOST)の場合もビジネス・オブジェクトでのカスタム・アクション(銀行口座間の振替)の場合もあります。次のリソース・タイプとその有効なアクションを考えてみます。
ファイルは、そのタイプに応じて、読取り、書込み、コピー、編集および削除の各アクションをサポートできます。ファイルにclearance
リソース属性を関連付けて、誰がファイルを参照できるのかを定義できます。これは、アクセスするためにサブジェクトに必要なセキュリティ・レベルを定義することによって実現できます。その値には、unclassified
、restricted
、confidential
またはtopSecret
が含まれます。たとえば、clearance属性の値がtopSecret
である場合、条件if securityLevel = topSecret
を追加することによってアクセスを付与する認可ポリシーを作成できます。
銀行の当座預金口座アプリケーションでは、預入れ、引出し、残高確認、履歴の確認、普通口座への振替、または普通口座からの振替がサポートされます。
リソース・インスタンスがリソース・タイプから作成されます。リソース・タイプにより定義されたアクションは、リソース・タイプから作成された保護リソース・インスタンスにアクセスするときに、権限付与または拒否されます。
詳細は、4.5.2項「リソース・タイプの管理」を参照してください。
リソース・タイプからリソースをインスタンス化します。
特定の保護ターゲット(リソース)はリソース・タイプからインスタンス化されます。リソースは保護されたターゲット(アプリケーションなど)を表し、リソース・カタログのポリシー・ドメインの下に作成されます。
注意: ポリシー・ドメインはオプションのオブジェクトで管理と構成を委任する目的で作成されます。ポリシー・ドメインを指定しない場合、リソース・インスタンスはデフォルトのポリシー・ドメインの下に作成されます。第11章「管理ロールの委任」を参照してください。 |
保護されたリソースごとにリソース・インスタンスを作成する必要はありません。認可ポリシーでは、リソース名式も使用できます。ただし、リソース属性を作成する場合は、リソース・インスタンスが必要です。詳細は、4.5.3項「リソースの管理」を参照してください。
認可ポリシーを作成します。
これには、結果(GRANTまたはDENY)の指定、ユーザー、グループまたはロールのポリシー・プリンシパルとしての追加、リソースおよびアクションのポリシー・ターゲットとしての追加が伴います。オプションで、責任の追加や条件の設定ができます。詳細は、4.5.5項「認可ポリシーの管理」を参照してください。
4.2項「認可ポリシーとそのコンポーネントの定義」には認可ポリシーの作成に必要な最小限のコンポーネントが記載されています。次の詳細な要素を単純なポリシーに追加できます。
資格
資格により、インスタンス化されたリソースとそこで実行できる適用可能なアクションが関連付けられます。リソース用のアクションのセットは、対応するリソース・タイプで定義済の有効なアクションのセットのサブセットです。詳細は、4.5.4項「資格の管理」を参照してください。
アプリケーション・ロール
アプリケーション・ロールは、アイデンティティ・ストア内のユーザー、グループまたは外部ロール、またはポリシー・ストア内の別のアプリケーション・ロールに、静的または動的に割り当てることができます。1つのターゲット・アプリケーションが複数の異なるアプリケーション・ロールを持ち、よりきめの細かいアクセスのために、それぞれのロールに異なる権限のセットを割り当てることが可能です。詳細は、4.5.6項「ロール・カタログのアプリケーション・ロールの管理」を参照してください。
ロール・マッピング・ポリシー
アプリケーション・ロールのメンバーシップは、ロール・マッピング・ポリシーを使用して動的に付与できます。アプリケーション・ロールはロール・マッピング・ポリシーのプリンシパルとして参照され、ユーザーに定義済のリソースへのアクセス権を付与できますが、ロール・マッピング・ポリシーは認可が決定される前に解決される必要があります。ロール・マッピング・ポリシーを解決することは、アクセスをリクエストしているユーザーにこのアプリケーション・ロールを割り当てることができますかという質問に回答することです。ロール・マッピング・ポリシーはロールのリストを返します。認可ポリシーでは、ロール・マッピング・ポリシー(プリンシパルが付与されたロール)から収集された結果は使用できますが、ロール・マッピング・ポリシー自体は使用できません。アクセスのリクエストを実行時に評価する場合、次のことが行われます。
アクセスをリクエストしているサブジェクトに基づいて、静的ロール・メンバーシップを取得して適用可能なロール・マッピング・ポリシーを評価することにより、アプリケーション・ロールのリストが決定されます。
サブジェクトおよび決定されたアプリケーション・ロールのリストに基づき、認可ポリシーのリストが評価されて、権限受領者、ターゲットの一致および制約の評価に基づいて適用できるポリシーを見つけます。リソースで許可されるアクションは認可ポリシーで定義されます。
最終的な認可決定は、アルゴリズムを組み合せた拒否のオーバーライドに基づきます。
詳細は、4.5.7項「ロール・マッピング・ポリシーの管理」を参照してください。
ポリシーに追加の不測の事態を設定する方法で、ポリシーに条件を追加できます。認可ポリシーまたはロール・マッピング・ポリシーのどちらにも適用できます。条件は式の形で作成され、trueかfalseかが決定されて、次のいずれかの結果になります。
式の結果がtrueの場合、ポリシーの条件は満たされ、PolicyRuleEntryに定義された結果が適用されます。
式の結果がtrueでない場合、ポリシーは適用されません。
ポリシーがtrueと評価されるには、条件がtrueである必要があります。条件には、なんらかのユーザー、リソース、動的属性またはシステム属性の値をテストするブール式の複雑な組合せ、または複雑なビジネス・ロジックを評価するカスタムのJava評価関数を使用できます。詳細は、4.6項「条件ビルダーの使用」を参照してください。
責任は認可のポリシー実行フェーズ中に評価される追加の情報を指定します。責任は対応するポリシーの結果(GRANTまたはDENY)とともに返されます。この情報がポリシー実行中に考慮されるかどうかは、アプリケーションにより定義された設定に基づきます。たとえば、アクセスのリクエストが拒否された理由を責任として返すことができます。異なるタイプの責任にはメッセージの送信を含めることができます。たとえば、特定の金額が当座預金口座から引き出される場合に、口座の名義人の登録携帯電話にテキスト・メッセージを送信します。詳細は、4.5.5項「認可ポリシーの管理」を参照してください。
2.4項「ポリシー・ユースケースの実装」では、ポリシーの作成についてのいくつかのユースケースが説明されています。この項には、管理コンソールを使用して認可ポリシーの作成手順(およびそれを構成する元のポリシー・オブジェクト)が記載されています。この手順では、アプリケーションを保護するためにOracle Entitlements ServerおよびJava Security Moduleがインストール済であると想定しています。
アプリケーションを作成します。
アプリケーション名はアプリケーション・コードで使用されるものと一致している必要があります。たとえば、HelloOESworld
アプリケーションにマップされるHelloOESworld
アプリケーション・オブジェクトを作成します。4.5.1.1項「アプリケーションの作成」を参照してください。
リソース・タイプを作成します。
リソース・タイプ名はアプリケーション・コードで使用されるものと一致している必要があります。たとえば、保護するファイルの収集に使用するために、Files
リソース・タイプ・オブジェクトを作成します。(リソース・タイプのリソース属性を作成することもできます。たとえば、値としてhtml、image、jspまたはpdfを含むfiletype
属性はファイル・タイプを定義します。)writeおよびreadアクションをリソース・タイプと関連付けます。4.5.2.1項「リソース・タイプの作成」を参照してください。
リソースを作成します。
リソース名はアプリケーション・コードで使用されるものと一致している必要があります。さらに、リソースはリソース・タイプから作成されます。たとえば、FinanceFile
リソースをFiles
リソース・タイプから作成します。4.5.3.1項「リソースの作成」を参照してください。
認可ポリシーを作成します。
HelloOESworld
アプリケーションで、認可ポリシーを作成します。1つまたは複数のプリンシパル(ロールまたはユーザー)、1つまたは複数のターゲット(リソースまたは資格)を追加し、ターゲットのアクションを確認します。保存する前にオプションの条件または責任を追加することもできます。4.5.5.1項「認可ポリシーの作成」を参照してください。
セキュリティ・モジュール定義を作成し、アプリケーションにバインドします。
この手順では、バインド後、この認可ポリシーの分散先のセキュリティ・モジュールが定義されます。10.2項「セキュリティ・モジュール定義の構成」を参照してください。
認可ポリシーをセキュリティ・モジュールに配布します。
第6章「ポリシー配布の管理」を参照してください。
次の各項では、アプリケーションに特有なポリシー・オブジェクトを管理する方法について説明します。
アプリケーションは特定のアプリケーションのコンポーネントを保護するポリシーおよび関連アーティファクト用の全体的なコンテナとして作成されます。これらのアーティファクトには、ロール、リソース、属性および関数がありますが、これに限定されません。必要に応じて任意の数のアプリケーション・インスタンスを作成することができますが、保護するアプリケーションごとに1つ作成することをお薦めします。次の各項では、アプリケーション・インスタンスでの管理操作について説明します。
アプリケーションを作成するには、次のようにします。
ナビゲーション・パネルの「アプリケーション」を右クリックして、メニューから「新規」を選択します。
注意: または、ホーム領域の「検索」および「作成」の下の「アプリケーションの作成」をクリックします。 |
ホーム領域にいくつかのタブのある無題ページが表示されます。「一般」タブがアクティブです。委任管理者だけを構成して、アプリケーションが作成された後でポリシー配布の詳細を構成することができます。詳細は、4.5.1.2項「アプリケーションの変更」を参照してください。
作成しているアプリケーションについての次の詳細を「一般」タブで指定します。
表示名: 「表示名」はオプションで、大文字と小文字が区別されます。管理コンソールに表示され、検索パラメータとして使用されることがあるため、意味のある値を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーション・コードで使用されるものと一致している必要があります。
説明: オプションですが、アプリケーションに関する有用な情報を入力することをお薦めします。
「保存」メニューから次のいずれかを選択します。
「保存」は、構成を保存し、タブの名前をアプリケーションの「表示名」に指定した値に変更し、「委任管理者」タブと「ポリシー配布」タブをアクティブにします。
「保存して閉じる」は、構成を保存してタブを閉じます。
「保存して別のものを作成」は、ポリシー・ストアに構成を保存し、ナビゲーション・パネルの情報ツリーを更新し、別のアプリケーションを作成できるように無題の領域を開いたままにします。
アプリケーションを変更するには、次のようにします。
ナビゲーション・パネルで、アプリケーション・ノードを開きます。
変更するアプリケーションの名前を選択します。
アプリケーション名を右クリックして、メニューから「オープン」を選択します。
または、アプリケーション名をダブルクリックします。「アプリケーション」ページが表示され、「一般」タブ、委任管理者タブ、ポリシー配布タブがすべてアクティブになります。
変更または構成するタブを選択し、パラメータの詳細については適切な項を参照します。
委任管理者: 第11章「管理者ロールの委任」
ポリシー配布: 第6章「ポリシー配布の管理」
必要に応じて、適用または保存します。
アプリケーション・リソース・インスタンスを削除するには、次のようにします。
拡張検索を使用して削除するアプリケーションを検索します(5.3.2項「アプリケーションの検索」に記載されています)。
アプリケーションの検索ページが表示されます。
問合せパラメータを入力し、「検索」をクリックします。
結果が表示されます。
結果からアプリケーション名を選択し、「削除」をクリックします。
次のいずれかの方法を選択して、アプリケーションを検索します。
削除の警告が表示されます。
「削除」をクリックします。
アプリケーションが削除されます。または、ナビゲーション・パネルで「アプリケーション」情報ツリーを開いて、削除するアプリケーションの名前をダブルクリックすることもできます。アプリケーションのタブが表示されたら、右上隅の「削除」をクリックします。
リソース・タイプでは、特定の種類の保護リソースの特性の全範囲を指定します。これには、1つまたは複数のリソース属性と、特定の種類のリソースで実行できるすべての有効なアクションの定義が含まれます。アクションはリソースで実行できるビジネス・プロセスでのアクティビティまたはタスクを表します。アクションは標準(URLへのGETおよびPOST)の場合も特定のビジネス・オブジェクトでのカスタム(銀行口座間の振替)の場合もあります。特定のターゲット用のリソース・インスタンスはりソース・タイプから作成されます。次の各項では、リソース・タイプでの管理操作について説明します。
リソース・タイプを作成するには、次のようにします。
次のいずれかの方法を選択して、リソース・タイプを作成するページを表示します。
ナビゲーション・パネルで情報ツリーを展開し、リソース・タイプを作成する特定のアプリケーションの下の「リソース・タイプ」を右クリックし、メニューから選択します。
ホーム領域で、その下にリソース・タイプを作成するアプリケーション名を選択し、「リソースのタイプ」の下の「新規」をクリックします。
ホーム領域に無題ページが表示されます。または、簡易検索または「拡張検索」の結果ページで「新規」をクリックすることもできます。詳細は、第5章「セキュリティ・オブジェクトの問合せ」を参照してください。
リソース・タイプに対して次の情報を入力します。
表示名: 「表示名」はオプションで、大文字と小文字は区別されません。管理コンソールに表示され、検索パラメータとして使用されることがあるため、意味のある値を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。
リソース・ファインダ: (オプション)oracle.security.jps.service.policystore.entitymanager.ResourceFinder
インタフェースを実装するクラスです。これにより、リソースは使用されるポリシー・ストアの外から管理できます。(将来使用するために予約済。)
説明: オプションですが、有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
リソース・タイプで許可されるアクションを「アクション」セクションに追加します。
「新規」をクリックして、「新規アクション」ダイアログを表示します。
アクションの名前を入力します。
入力した文字列はアプリケーションが認可を要求するアクションと一致する必要があります。権限クラスを追加した場合、アクションはそれに対して意味があるものである必要があります。
「保存」をクリックします。
「アクション」リストは新しいアクションで更新されます。
「既存の属性の検索」ダイアログを使用して、作成するリソース・タイプに属性を追加します。
「属性」セクションで、「追加」をクリックし、既存の属性の検索ダイアログを表示します。
属性が表示されるようにするには、あらかじめ属性を定義する必要があります。4.5.9項「属性および関数を拡張として管理」を参照してください。
リストから属性「タイプ」を選択します。
(オプション)一致させる文字列を「検索」テキスト・ボックスに入力します。
「検索」テキスト・ボックスの横の矢印アイコンをクリックして検索を開始します。
追加する属性を選択し、「追加」をクリックします。
リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
これらの属性はリソースのインスタンス化で使用されます。4.5.3.1項「リソースの作成」を参照してください。
残りのフィールドを構成します。
作成しているリソース・タイプにより選択内容は変わります。
リソース階層のサポート - 「はい」または「いいえ」を選択して、リソース・タイプを階層として設定します。これは、リソース・タイプがリソースのインスタンス化に使用されるときに次のことを意味します。
階層型リソース・タイプから作成されたリソースに適用されるポリシーは、その子であるリソースにも適用できます。
階層型リソース・タイプから作成されたリソースに定義された属性は、その子であるリソースに継承されます。
リソース名のデリミタ: リソース階層のサポートが有効な場合にのみ有効です。デフォルトのデリミタはスラッシュ(/)
です。
評価ロジック: リソース・タイプの評価ロジックには、デフォルトの一致アルゴリズムまたは権限クラスのどちらかを使用できます。ドロップダウン・メニューから「デフォルト」または「権限クラス」を選択します。
権限クラス: リソース・タイプの評価ロジックが「権限クラス」として定義されている場合、権限クラス名を大/小文字を区別して指定します。権限ベースのポリシーの認可決定は、checkPermission
コールを使用してリクエストされます。
アクション名のデリミタ: 「リソース・タイプ」が権限を表す場合に、指定した文字を使用してリスト内のアクションを区切ります。
すべてのアクションのキーワード: ポリシーのターゲットにアクションとして定義されたキーワードが含まれる場合、そのポリシーは認可リクエストとともに渡されるアクションと一致します。たとえば、このパラメータがANY
に設定されており、次のポリシーを作成するとします。
GRANT user "Michael" action:"ANY" on resource:"Resource1
「MichaelはResource1に'書込み'を実行できますか」や「MichaelはResource1で'送金'を実行できますか」のような認可リクエストの決定はALLOWを返します。このパラメータを使用すると、そのリソース・タイプに有効なアクションに適用できる1つの認可ポリシーを作成できます。
「保存」メニューから次のいずれかを選択します。
「保存」は、構成を保存し、タブの名前をリソース・タイプの「表示名」に指定した値に変更します。
「保存して閉じる」は、構成を保存してタブを閉じます。
「保存して別のものを作成」は、ポリシー・ストアに構成を保存し、ナビゲーション・パネルの情報ツリーを更新し、別のリソース・タイプを作成できるように無題の領域を開いたままにします。
リソース・タイプを変更するには、次のようにします。
目的のリソース・タイプを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下の「リソース・タイプ」ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.3項「リソース・タイプの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してリソース・タイプを検索し、「検索結果」タブでリソース・タイプ名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にリソース・タイプが作成されたアプリケーション名を選択し、「リソースのタイプ」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.3項「リソース・タイプの検索」を参照してください。
正しいリソース・タイプ名が表示されたら、それを選択して「開く」をクリックし、詳細を表示します。
必要に応じて変更します。
「適用」をクリックします。
リソース・タイプを削除するには、次のようにします。
目的のリソース・タイプを削除するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下の「リソース・タイプ」ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から適切なリソース・タイプを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して、リソース・タイプを検索します。検索結果から該当するリソース・タイプを見つけて、ダブルクリックします。「ホーム」領域でリソース・タイプ・プロファイルが開いたら、「削除」をクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
削除の警告が表示されます。
「削除」をクリックします。
リソース・タイプが削除されます。
リソースは、保護アプリケーション内で特定の保護されたターゲットを表します。各リソースは定義済のリソース・タイプに属し、コンテナ(URL、EJB、JSP)により管理されるソフトウェア・コンポーネント、またはアプリケーション内のビジネス・オブジェクト(レポート、取引、収益のグラフ)を表すことができます。
注意: リソースは階層型(その中で子リソースは親リソースから属性を継承)の場合も非階層型の場合もあります。階層型に編成されている(ルートから下がる)場合、親リソースに新しい属性を追加するか、または継承される既存の属性を上書きすることができます。 |
次の各項では、リソースでの管理操作について説明します。
リソースを作成するには、次のようにします。
次のいずれかの方法を選択して、リソースを作成するページを表示します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開して、「リソース・カタログ」に移動します。「リソース・カタログ」ノードの「リソース」を右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下にリソース・インスタンスが作成されるアプリケーション名を選択し、「リソース」の下の「新規」をクリックします。
注意: このオプションでは、アプリケーションのデフォルトのポリシー・ドメインにリソースを作成します。 |
ホーム領域に無題ページが表示されます。または、簡易検索または「拡張検索」の結果ページで「新規」をクリックすることもできます。詳細は、第5章「セキュリティ・オブジェクトの問合せ」を参照してください。
次の情報を入力します。
リソース・タイプ: リストからオプションを選択します。ここでインスタンス属性および上書き表に表示される内容を定義します。
表示名: 「表示名」はオプションで、大文字と小文字は区別されません。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、わかりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字が区別されます。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
注意: Oracle WebLogic Server 12cでは、Enterprise Java Bean (EJB)リソースのポリシーはリソース名に「.jar」拡張子が必要です。 |
説明: オプションですが、資格に関する有用な情報を指定することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
このリソースの属性を、インスタンス属性および上書きダイアログに表示される内容に追加または削除します。
上書きダイアログは階層型リソースの場合にのみ表示されます。
リストから属性を選択し([Ctrl]キーを押しながらクリックすると、リストから複数の項目を選択できます)、「追加」をクリックします。
「保存」メニューから次のいずれかを選択します。
「保存」は、構成を保存し、タブの名前をリソースの「表示名」に指定した値に変更します。
「保存して閉じる」は、構成を保存してタブを閉じます。
「保存して別のものを作成」は、ポリシー・ストアに構成を保存し、ナビゲーション・パネルの情報ツリーを更新し、別のリソースを作成できるように無題の領域を開いたままにします。
リソースを変更するには、次のようにします。
目的のリソースを表示するには、次の方法から選択します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開し、「リソース・カタログ」に移動してダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.6項「リソースの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してリソースを検索し、「検索結果」タブでリソース名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にリソース・タイプが作成されたアプリケーション名を選択し、「リソース」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。この検索ダイアログではデフォルトのポリシー・ドメインにのみ問合せます。ホーム領域での検索の詳細は、5.3.6項「リソースの検索」を参照してください。
正しいリソース名が表示されたら、それを選択して「開く」をクリックし、詳細を表示します。
必要に応じてリソースを変更します。
「適用」をクリックします。
リソースを削除するには、次のようにします。
目的のリソースを削除するには、次の方法から選択します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開し、「リソース・カタログ」に移動してダブルクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から適切なリソースを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して、リソースを検索します。検索結果から該当するリソース名を見つけて、ダブルクリックします。「ホーム」領域でリソース・タイプ・プロファイルが開いたら、「削除」をクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にリソースが作成されたアプリケーション名を選択し、「リソース」の下の「検索」をクリックしますホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。(この検索ではデフォルトのポリシー・ドメインにのみ問合せます。)検索結果から適切なリソースを選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
削除の警告が表示されます。
「削除」をクリックします。
リソースが削除されます。階層型のリソース・タイプの場合、リソースの子リソースも削除されます。
リソースのインスタンス化後、そこで資格により実行できるアクションを定義します。アクションは、リソースの親リソース・タイプで定義された有効なアクションのセットを使用して定義されます。次の各項では、資格での管理操作について説明します。
注意: 複数のポリシーで同じリソースとアクションのペアのリストを使用する予定がある場合に、資格を作成することがあります。そうでなければ、認可ポリシーを作成するときに、リソースとアクションのペアそのものをターゲットとして直接指定することができます。詳細は、4.5.5項「認可ポリシーの管理」を参照してください。 |
資格を作成するには、次のようにします。
次のいずれかの方法を選択して、資格を作成するページを表示します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開して、「リソース・カタログ」に移動します。「リソース・カタログ」ノードの「資格」を右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下に資格を作成するアプリケーション名を選択し、「資格」から「新規」をクリックします
ホーム領域に無題ページが表示されます。
次の情報を入力します。
表示名: 「表示名」はオプションで、大文字と小文字は区別されません。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、わかりやすい表示名を指定することをお薦めします。
資格名: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を指定することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
次のいずれかの方法を選択して、資格にリソースを追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、リソース・インスタンスで検索を実行することで、アプリケーションの使用可能なリソースを一覧表示します。リソースは資格が作成されているのと同じポリシー・ドメインで検索される必要があります。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
リソースを「検索結果」タブから「リソース」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「ターゲットの追加」ポップ・アップ検索
「ターゲット」セクションで「追加」をクリックします。
「ターゲットの追加」ダイアログが表示されます。これにより現在のポリシー・ドメインで検索されます。
文字列を入力することで、使用可能なターゲットを検索します。
問合せに一致するリソースが「検索結果」に表示されます。検索文字列が入力されないと、指定したタイプのすべてのオブジェクトのリストが返されます。
選択して、「選択済の追加」をクリックします。
ターゲットが「選択されたターゲット」に追加されます。リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
注意: または、「リソース」タブの下のリソース式リンクをクリックし、「リソース・タイプ」を選択して、文字列式を入力し、「ターゲットに追加」をクリックします。これは定義済の条件を使用して、実行時に動的にターゲットを検索します。管理者権限のコンテキスト内で、文字列式を含む、選択したリソース・タイプに属するすべてのリソースが返されます。 |
「ターゲットの追加」をクリックします。
次のように、リソースにアクションを追加します。
リソース・リストから追加されたリソースを選択し、「リソースの詳細」セクションにリソースの詳細を表示します。
選択した行を展開し、アクションの範囲を表示します。
この領域では、選択したリソースのタイプに対して許可されているアクションのみが選択可能になります。
「アクション」セクションでそのリソースに対する目的のアクションを確認します。
作成している資格に追加された各リソースに対し、この手順を繰り返します。
「保存」メニューから次のいずれかを選択します。
「保存」は、構成を保存し、タブの名前を権限の「表示名」に指定した値に変更します。
「保存して閉じる」は、構成を保存してタブを閉じます。
「保存して別のものを作成」は、ポリシー・ストアに構成を保存し、ナビゲーション・パネルの情報ツリーを更新し、別の権限を作成できるように無題の領域を開いたままにします。
資格を変更するには、次のようにします。
目的の資格を表示するには、次の方法から選択します。
ナビゲーション・パネルを使用して、適切な「アプリケーション」ノードの適用可能な「ポリシー・ドメイン」ノードを展開し、「リソース・カタログ」に移動してダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.7項「資格の検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して資格を検索し、「検索結果」タブで資格名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下に資格が作成されたアプリケーション名を選択し、「資格」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.7項「資格の検索」を参照してください。
正しい資格名が表示されたら、それを選択して「開く」をクリックし、詳細を表示します。
必要に応じて資格を変更します。
「適用」をクリックします。
権限を削除するには、次のようにします。
目的の資格を削除するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのリソース・カタログの下の「資格」ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から該当する権限を選択し、「削除」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して資格を検索し、「検索結果」タブで資格名をダブルクリックします。検索結果から該当する権限を選択し、「削除」をクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下に資格が作成されたアプリケーション名を選択し、「資格」の下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。検索結果から該当する権限を選択し、「削除」をクリックします。(この場合、アプリケーションのデフォルトのポリシー・ドメイン内でのみ、検索が行われます。)ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
削除の警告が表示されます。
「削除」をクリックします。
資格が削除されます。
認可ポリシーは、保護されたリソースのアクセス権を定義するメカニズムです。ユーザー、アプリケーション・ロールまたは外部ロールはポリシーの権限を付与されます。認可ポリシーには次のものが含まれる必要があります。
少なくとも1つのプリンシパル。これはユーザー、外部ロールまたはアプリケーション・ロールである場合があります。コード・ソースはプリンシパルになることはできません。
少なくとも1つのターゲット。これはリソースおよびアクション・アソシエーション(ポリシー内に作成)または資格(ポリシー外で作成し追加)の場合がありますが、両方ではありません。定義済の結果はPERMITまたはDENYです。
注意: 資格に基づくポリシーは、ビジネス機能と密接に関連しています。ビジネス機能でリソースの集まりの保護を考慮する場合は、資格に基づくポリシーを使用することをお薦めします。資格は、1つ以上の付与で使用できます。 |
次の各項では、認可ポリシーでの管理操作について説明します。
ポリシーを作成するには、次のようにします。
次のいずれかの方法を選択して、ポリシーを作成するページを表示します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「ポリシー・ドメイン」に移動して展開します。「リソース・カタログ」ノードの「認可ポリシー」を右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下に認可ポリシーを作成するアプリケーション名を選択し、「認可ポリシー」から「新規」をクリックします。(このオプションを使用する場合、ポリシーはデフォルトのポリシー・ドメインに作成されます。)
ホーム領域に無題ページが表示されます。
次の情報を入力します。
結果: ポリシーで権限を付与する場合は「許可」を、ポリシーで権限を拒否する場合は「拒否」を選択します。
表示名: 「表示名」はオプションで、大文字と小文字は区別されません。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、わかりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を指定することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
次のいずれかの方法を選択して、認可ポリシーにプリンシパルを追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、ユーザー、外部ロールまたはアプリケーション・ロールで検索を実行することで、アプリケーションの使用可能なプリンシパルを一覧表示します。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
プリンシパルを「検索結果」タブから「プリンシパル」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「任意」または「すべて」を選択します。
「任意」の場合、ユーザーは指定したプリンシパルのうち少なくとも1つと一致する必要があります。たとえば、プリンシパルがロールの場合、ユーザーは適用する認可ポリシーの少なくとも1つのロールのメンバーである必要があります。「すべて」の場合、ユーザーは指定したプリンシパルのすべてと一致する必要があります。たとえば、プリンシパルがロールの場合、ユーザーは適用する認可ポリシーのすべてのロールのメンバーである必要があります。
「プリンシパルの追加」ポップ・アップ検索
ポップアップ検索ボックスの使用方法の詳細は、5.1項「管理コンソールを使用した検索」を参照してください。
「プリンシパル」セクションで「追加」をクリックします。
「プリンシパルの追加」ダイアログが表示されます。
適切なタブを選択し、使用可能なプリンシパルを検索します。
オプションは、「アプリケーション・ロール」、外部ロールおよび「ユーザー」です。タブ間を移動し、選択したプリンシパルを必要な数だけ追加できます。「アプリケーション・ロール」タブには、「検索」と「デフォルトのロール」の2つのリンクがあります。「検索」をクリックすると、ダイアログが開き、第5章「セキュリティ・オブジェクトの問合せ」で説明するアプリケーション・ロールのポップアップ検索を実行できます。「デフォルトのロール」をクリックすると、匿名ロールまたは認証ロールをプリンシパルに追加できます。(これらのロールの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。)図4-1は、「デフォルトのロール」ポップアップ・ボックスのスクリーンショットです。
文字列を入力することで、使用可能なプリンシパルを検索します。
問合せに一致するプリンシパルが「検索結果」に表示されます。
選択して、「選択済の追加」をクリックします。
プリンシパルが「選択されたプリンシパル」に追加されます。リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
「プリンシパルの追加」をクリックします。
「任意」または「すべて」を選択します。
「任意」の場合、ユーザーは指定したプリンシパルのうち少なくとも1つと一致する必要があります。たとえば、プリンシパルがロールの場合、ユーザーは適用する認可ポリシーの少なくとも1つのロールのメンバーである必要があります。「すべて」の場合、ユーザーは指定したプリンシパルのすべてと一致する必要があります。たとえば、プリンシパルがロールの場合、ユーザーは適用する認可ポリシーのすべてのロールのメンバーである必要があります。
次のいずれかの方法を選択して、認可ポリシーにターゲットを追加します。
この手順では、リソースおよびアクション・アソシエーションまたは資格あるいはその両方のいずれかを認可ポリシーに追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、検索を実行することで、アプリケーションの使用可能なリソースまたは資格を一覧表示します。(認可ポリシーを追加する先と同じポリシー・ドメイン内でこれらのオブジェクトを検索することを確認してください。)詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
1つまたは複数のリソースまたは資格を「検索結果」タブから「ターゲット」というラベルの付いた領域にドラッグ・アンド・ドロップします。「ターゲット」に追加されたオブジェクトを展開して、アクションと関連付けることができます。
「ターゲットの追加」ポップ・アップ検索
ポップアップ検索ボックスの使用方法の詳細は、5.1項「管理コンソールを使用した検索」を参照してください。
「ターゲット」セクションで「追加」をクリックします。
「ターゲットの追加」ダイアログが表示されます。
適切なタブを選択し、使用可能なターゲットを検索します。
オプションは「資格」および「リソース」です。タブ間を移動し、選択したターゲットを必要な数だけ追加できます。
文字列を入力することで、「資格」タブの下の使用可能なターゲットを検索します。
問合せに一致するリソースが「検索結果」に表示されます。検索文字列が入力されないと、指定したタイプのすべてのオブジェクトのリストが返されます。
選択して、「選択済の追加」をクリックします。
ターゲットが「選択されたターゲット」に追加されます。リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
文字列を入力することで、「リソース」タブの下の使用可能なターゲットを検索します。
問合せに一致するリソースが「検索結果」に表示されます。検索文字列が入力されないと、指定したタイプのすべてのオブジェクトのリストが返されます。
または、「リソース」タブの下のリソース式リンクをクリックし、「リソース・タイプ」を選択して、文字列式を入力し、「ターゲットに追加」をクリックします。これは定義済の条件を使用して、実行時に動的にターゲットを検索します。管理者権限のコンテキスト内で、文字列式を含む、選択したリソース・タイプに属するすべてのリソースが返されます。
「ターゲットの追加」をクリックします。
追加された、権限を持たないターゲット(リソースまたはリソース名式)のアクションを選択する必要があります。
「条件」タブを選択して条件を追加します。
詳細は、4.6項「条件ビルダーの使用」を参照してください。
「責任」タブを選択します。
認可ポリシーにはゼロ、1つまたは複数の責任が含まれることがあります。
「新規」をクリックして、「新規責任」ダイアログを表示します。
「新規責任」に「名前」、(オプション)「表示名」および「説明」を入力し、「追加」をクリックします。
「属性」セクションで「新規」をクリックし、責任の属性を追加します。
責任には属性のセットが含まれます。各属性は、名前と値のペアです。値は静的または事前定義された属性の値にすることができます。各責任には少なくとも1つの属性が必要です。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。
「新規責任属性」ダイアログに属性の「名前」を入力します。
責任の属性が静的な場合、いずれかのデータ型を選択し、値を入力します。責任が属性の場合、データ型には「属性」を選択し、事前定義された属性のリストから選択します。
「追加」をクリックします。
「保存」をクリックして認可ポリシーを保存します。
ポリシーを変更するには、次のようにします。
目的の認可ポリシーを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのポリシー・ドメインの下の「認可ポリシー」ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.8項「認可ポリシーの検索」を参照してください。
ホーム領域で、その下に認可ポリシーを作成したアプリケーション名を選択し、「認可ポリシー」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3.8項「認可ポリシーの検索」を参照してください。
検索結果が表示されます。
表示された検索結果から適切なポリシーを選択し、「開く」をクリックして、詳細を表示します。
管理コンソールには、Oracle Entitlements Serverを使用して作成した拡張認可ポリシーに加えて、Oracle Platform Security Services (OPSS)を使用して作成した、より単純なアプリケーション権限(システム・ポリシー)も表示されます。OPSSアプリケーション権限を表示、変更または削除できるのは、管理コンソールを使用する場合のみです。OPSSを使用して作成したアプリケーション権限は、プリンシパルとターゲットのみを使用して定義されます。図4-2は、OPSSアプリケーション権限が表示されているOracle Entitlements Server画面のスクリーンショットです。
「名前」、「表示名」、「説明」の各フィールドは、Oracle Entitlements Serverを使用して作成した認可ポリシーの場合と異なり、表示されないことに注意してください。OPSSアプリケーション権限は、Oracle Entitlements Serverを使用して作成することはできません。アプリケーション権限の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
必要に応じてポリシーを変更します。
変更するプリンシパルを選択します。
詳細は、4.5.5.1項「認可ポリシーの作成」を参照してください。
変更する(または展開する)ターゲットを選択します。
詳細は、4.5.5.1項「認可ポリシーの作成」を参照してください。
「条件」タブをクリックして条件を編集します。
詳細は、4.6項「条件ビルダーの使用」を参照してください。
「責任」タブをクリックし、責任またはその属性を変更します。
責任を変更するには、「責任」表から「編集」をクリックし、表示されたダイアログで変更を行い、「更新」をクリックします。
属性を変更するには、「属性」表から属性を選択して「編集」をクリックします。表示されたダイアログで変更を行い、「更新」をクリックします。
責任を変更するには、「責任」表から属性を選択して「削除」をクリックします。
「適用」をクリックします。
認可ポリシーを削除するには、次のようにします。
認可ポリシーの検索画面を表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのポリシー・ドメインの下の「認可ポリシー」ノードを探して右クリックし、「開く」を選択します。ホーム領域に検索ダイアログが表示されます。
ホーム領域で、その下に認可ポリシーを作成したアプリケーション名を選択し、「認可ポリシー」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。
ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
検索の条件を入力し、「検索」をクリックします。
検索結果から適切な認可ポリシーを選択し、「削除」をクリックします。
管理コンソールには、Oracle Entitlements Serverを使用して作成した拡張認可ポリシーと同様、Oracle Platform Security Services (OPSS)を使用して作成した、より単純なアプリケーション権限(システム・ポリシー)も表示できます。「削除」をクリックすることによって、認可ポリシーまたはアプリケーション権限のどちらかを削除できます。
アプリケーション・ロールはアプリケーション・レベル(したがってその名前)で定義され、Oracle Entitlements Serverを使用して作成されます。アプリケーション・ロールは、アイデンティティ・ストア内の外部ロール、ユーザーまたはグループ、またはポリシー・ストア内の別のアプリケーション・ロールに割り当てることができます。1つのターゲット・アプリケーションが複数の異なるロールを持ち、よりきめの細かい認可のために、それぞれが異なる権限のセットを割り当てられることが可能です。メンバーシップは、外部ロールまたは個別のユーザーに静的に、または実行時に処理されるロール・マッピング・ポリシーを使用して動的に、付与できます。
注意: ロール・マッピング・ポリシーでは、ロールをサブジェクトに割り当て、認可ポリシーではロールのアクセス権限を定義します。 |
次の手順で関係を確立することで、アプリケーション・ロールを使用してアクセスを制御できます。
アプリケーション・ロールを定義して、ユーザーがアプリケーションで持つ機能ロールを表します。
各アプリケーション・ロールを外部ロールまたはユーザーにマッピングします。
認可ポリシーを作成し、アプリケーション・ロールの目標を達成するのに必要なレベルのアクセス権(許可/拒否)を提供します。
アプリケーション・ロールをプリンシパルとして1つまたは複数の認可ポリシーに追加します。
アプリケーション・ロールはロールの継承および階層を使用します。継承パターンは、サブジェクトがロールに割り当てられる(ロール・マッピング・ポリシーまたは静的ロールの割当てを使用)ようなもので、ロール・マッピング・ポリシーにより禁止されなければ、子ロールも継承します。ポリシーでアプリケーション・ロールがプリンシパルとして参照されている場合、そのロールに割り当てられたすべてのユーザーのリソースへのアクセスはそのポリシーにより管理されます。次の各項では、アプリケーション・ロールでの管理操作について説明します。
次の手順では、新しいアプリケーション・ロールを作成する手順について説明します。同時にメンバーをロールに追加する必要はなく、保存したロールに後で戻ることができます。アプリケーション・ロールを作成するには、次のようにします。
次のいずれかの方法を選択して、アプリケーション・ロールを作成するページを表示します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下のロール・カタログに移動します。ロール・カタログ・ノードを右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下にアプリケーション・ロールを作成するアプリケーション名を選択し、「アプリケーション・ロール」から「新規」をクリックします
「一般」(アクティブ)、「アプリケーション・ロール階層」、「外部ロール・マッピング」および外部ユーザー・マッピングの、4つのタブのある無題ページがホーム領域に表示されます。
次の情報を「一般」タブで入力します。
表示名: 「表示名」はオプションで、大文字と小文字は区別されません。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、わかりやすい表示名を指定することをお薦めします。
ロール名: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を指定することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
ロール・カテゴリ: ロール・カテゴリは、管理を容易にするためにロールに割り当てることができるタグです。4.5.8項「ロール・カテゴリの管理」を参照してください。
「保存」をクリックします。
ページは「ロール名」に指定したエントリと一致する名前になり、「アプリケーション・ロール階層」、「外部ロール・マッピング」および外部ユーザー・マッピングのタブがアクティブになります。この時点で、「ポリシーの作成」または「ポリシーの検索」をそれぞれクリックして、このアプリケーション・ロールをプリンシパルとして使用してポリシーを作成するか、このアプリケーション・ロールをプリンシパルとして使用してポリシーを検索することができます。アプリケーション・ロール階層を定義するには、次の手順に続きます。
オプションで、「アプリケーション・ロール階層」タブを選択し、このアプリケーション・ロールが権限を継承する元のロール(「継承」)を定義し、このロールが継承するロールのリスト(「継承者」)を参照します。階層は必須ではありませんが、定義する場合には、次の例のサブ手順が前のオプションに特有の手順です。
「継承」をクリックします。
「追加」をクリックします。
階層を追加しているロールに対応するラジオ・ボタンを選択します。
階層にロールを追加する場合、その下で作業中のロールにロールを追加するか、またはアプリケーション・ロール階層表で選択できるロールに追加することができます。
ロールの追加ダイアログの条件フィールドを完成し、「検索」をクリックします。
結果が「検索結果」表に表示されます。空の文字列の場合、すべてのロールをフェッチします。
このロールが「検索結果」表から権限を継承する元のロールを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
「追加」をクリックします。
選択したロールがアプリケーション・ロール階層タブに表示され、アプリケーション・ロールはそこから権限を継承します。
外部ロール・マッピングの詳細は、4.5.6.3項「外部ロールのアプリケーション・ロールへのマッピング」を参照してください。外部ユーザー・マッピングの詳細は、4.5.6.4項「外部ユーザーのアプリケーション・ロールへのマッピング」を参照してください。
アプリケーション・ロールを変更または表示するには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して右クリックし、「開く」を選択します。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
正しいアプリケーション・ロールが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
変更するパラメータを含むタブを選択し、「追加」をクリックします。
使用可能なタブの詳細は、次を参照してください。
アプリケーション・ロール階層: 4.5.6.1項「アプリケーション・ロールの作成」
外部ロール・マッピング: 4.5.6.3項「アプリケーション・ロールへの外部ロールのマッピング」
外部ユーザー・マッピング: 4.5.6.4項「外部ユーザーのアプリケーション・ロールへのマッピング」
外部ロールをアプリケーション・ロールにマッピングするには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してアプリケーション・ロールを検索し、「検索結果」タブでアプリケーション・ロール名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
正しいアプリケーション・ロールが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
「外部ロール・マッピング」タブを選択します。
「追加」をクリックして、「ロールの追加」ダイアログを表示します。
ロールの追加ダイアログの問合せフィールドを完成し、「検索」をクリックします。
空の文字列の場合、すべてのロールをフェッチします。結果が外部ロール検索表に表示されます。
表内で、マップする外部ロールの名前をクリックして、外部ロールを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
ロールのマップをクリックします。
選択したロールが「外部ロール・マッピング」タブに表示されます。
外部ユーザーをアプリケーション・ロールにマッピングするには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用してアプリケーション・ロールを検索し、「検索結果」タブでアプリケーション・ロール名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
正しいアプリケーション・ロールが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
外部ユーザー・マッピング・タブを選択します。
「追加」をクリックして、「ユーザーの追加」ダイアログを表示します。
「ユーザーの追加」ダイアログの問合せフィールドを完成し、「検索」をクリックします。
空の文字列の場合、すべてのロールをフェッチします。結果が外部ユーザー検索表に表示されます。
表内で、マップするユーザーの名前を選択して、ユーザーを選択します。
複数のロールを選択するには、[Ctrl]キーを押しながらクリックします。
ユーザーのマップをクリックします。
選択したロールが「外部ユーザー・マッピング」タブに表示されます。
アプリケーション・ロールを削除する、またはアプリケーション・ロールから外部ロール・マッピングを削除するには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して右クリックし、「開く」を選択します。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
「検索結果」アプリケーション・ロールを選択し、次を行います。
「削除」をクリックしてロールを削除します。
外部ロール・マッピング表から適切なマッピングを選択し、「削除」をクリックします。
外部ユーザー・マッピングを削除するには、4.5.6.6項「外部ユーザー・マッピングの削除」を参照してください。
アプリケーション・ロールから外部ユーザー・マッピングを削除するには、次のようにします。
目的のアプリケーション・ロールを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションの下のロール・カタログ・ノードを探して右クリックし、「開く」を選択します。ホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、「アプリケーション・ロール」から「検索」をクリックしますホーム領域に検索ダイアログが表示されます。検索の条件を入力し、「検索」をクリックします。
ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
「検索結果」表でアプリケーション・ロールを選択し、「開く」をクリックします。
新しいタブでアプリケーション・ロールの詳細が開きます。
「外部ユーザー・マッピング」タブをクリックします。
該当するユーザーを選択し、「削除」をクリックします。
確認を求めるダイアログ・ボックスが表示されます。
「削除」をクリックして外部ユーザー・マッピングを削除します。
「外部ロール・マッピング」タブをクリックして外部ロール・マッピングを削除することもできます。
アプリケーション・ロールへのメンバーシップは、ロール・マッピング・ポリシーを使用して静的または動的に付与できます。アプリケーション・ロールはロール・マッピング・ポリシーで参照され、ユーザーに定義済のリソースへのアクセス権を付与できます。次の各項では、ロール・マッピング・ポリシーでの管理操作について説明します。
ロール・マッピング・ポリシーを作成するには、次のようにします。
次のいずれかの方法を選択して、ロール・マッピング・ポリシーを作成するページを表示します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードに移動して、ロール・カタログ・ブランチを展開します。ロール・マッピング・ポリシーを右クリックし、メニューから「新規」を選択します。
ホーム領域で、その下にロール・マッピング・ポリシーを作成するアプリケーション名を選択し、ロール・マッピング・ポリシーから「新規」をクリックします。
ホーム領域に無題ページが表示されます。
次の情報を入力します。
影響: ポリシーでアプリケーション・ロールのメンバーシップを付与する場合は「許可」を、ポリシーでアプリケーション・ロールのメンバーシップを拒否する場合は「拒否」を選択します。
表示名: 「表示名」はオプションで、大文字と小文字は区別されません。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、わかりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。
説明: オプションですが、ポリシーに関する有用な情報を入力することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
次のいずれかの方法を選択して、アプリケーション・ロールを追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、検索を実行することで、アプリケーションの使用可能なアプリケーション・ロールを一覧表示します詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
アプリケーション・ロールを「検索結果」タブから「アプリケーション・ロール」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「アプリケーション・ロールの追加」ダイアログ
「アプリケーション・ロール」セクションで「追加」をクリックします。
「アプリケーション・ロールの検索」ダイアログが表示されます。
文字列を入力することで、アプリケーション・ロールを検索します。
問合せに一致するリソースが「検索結果」に表示されます。
追加するプリンシパルを選択し、アプリケーション・ロールの追加をクリックします。
リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
注意: このリリースのこのダイアログでは、「プリンシパルの検索」のタイトルと「プリンシパルの追加」ボタンが表示されます。 |
次のいずれかの方法を選択して、プリンシパルを追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、検索を実行することで、アプリケーションの使用可能なユーザーおよび外部ロールを一覧表示します。詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
ユーザーおよび外部ロールを「検索結果」タブから「プリンシパル」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「プリンシパルの追加」ダイアログ
「プリンシパル」セクションで「追加」をクリックします。
プリンシパルの検索ダイアログが表示されます。
文字列を入力することで、使用可能なプリンシパル(この場合、ユーザーまたは外部ロール)を検索します。
問合せに一致するリソースが「検索結果」に表示されます。
追加するプリンシパルを選択して、「プリンシパルの追加」をクリックします。
リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
オプションで、次のいずれかの方法を選択して、リソース(ターゲットとも呼ばれます)を追加します。
ドラッグ・アンド・ドロップ
ナビゲーション・パネルを使用して、検索を実行することで、アプリケーションの使用可能なリソースを一覧表示します詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
1つまたは複数のリソースまたは資格を「検索結果」タブから「リソース」というラベルの付いた領域にドラッグ・アンド・ドロップします。
「ターゲットの追加」ポップ・アップ検索
「リソース」セクションで「追加」をクリックします。
「ターゲットの追加」ダイアログが表示されます。
リソースを含むポリシー・ドメインを選択します(適用可能な場合)。
文字列を入力し、「検索」をクリックします。
問合せに一致するリソースが「検索結果」に表示されます。検索文字列が入力されないと、指定したタイプのすべてのオブジェクトのリストが返されます。
追加する適切なターゲットを選択して、「選択済の追加」をクリックします。
ターゲットが「選択されたターゲット」に追加されます。リストから複数の項目を選択するには、[Ctrl]キーを押しながらクリックします。
リソース式リンクをクリックし、ターゲットとして式を追加します。
リソース・タイプを選択し、文字列式を入力して、「ターゲットに追加」をクリックします。これは定義済の条件を使用して、実行時に動的にターゲットを検索します。管理者権限のコンテキスト内で、文字列式を含む、選択したリソース・タイプに属するすべてのリソースが返されます。
「ターゲットの追加」をクリックします。
条件ビルダーの使用の詳細は、4.6項「条件ビルダーの使用」を参照してください。
「保存」をクリックします。
ロール・マッピング・ポリシーを変更するには、次のようにします。
目的のロール・マッピング・ポリシーを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのロール・カタログ・ノードの下のロール・マッピング・ポリシーを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、ロール・マッピング・ポリシーの下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
正しいロール・マッピング・ポリシーが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
必要に応じてポリシーを変更します。
「適用」をクリックします。
ロール・マッピング・ポリシーを削除するには、次のようにします。
目的のロール・マッピング・ポリシーを表示するには、次の方法から選択します。
ナビゲーション・パネルで情報ツリーを展開し、適切なアプリケーションのロール・カタログ・ノードの下のロール・マッピング・ポリシーを探して、ダブルクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ホーム領域で、その下にアプリケーション・ロールが作成されたアプリケーション名を選択し、ロール・マッピング・ポリシーの下の「検索」をクリックします。ホーム領域に検索ダイアログが表示されます。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
正しいロール・マッピング・ポリシーが表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
削除するロール・マッピング・ポリシーをダブルクリックします。
ホーム領域にロール・マッピング・ポリシーが表示されます。
ホーム領域の右上隅の「削除」をクリックします。
ロール・カテゴリは管理を容易にするためにロールに割り当てることができるタグです。ロール・カテゴリを作成または削除することはできますが、変更はできません。ロール・カテゴリを作成するには、次のようにします。ロール・カテゴリの削除手順は、最後の手順の後に詳しく説明します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードを展開し、ロール・カテゴリ・ノードをダブルクリックします。
ホーム領域にロール・カテゴリ・ページが表示されます。
「新規」をクリックして、「新規カテゴリ」ダイアログ・ボックスを表示します。
次の情報を入力します。
名前
表示名
説明
「作成」をクリックします。
ロール・カテゴリ・リストに新しいカテゴリが表示されます。
ロール・カテゴリを削除するには、ナビゲーション・パネルで、適切な「アプリケーション」ノードを展開し、ロール・カテゴリ・ノードをダブルクリックします。削除するロール・カテゴリを選択し、「削除」をクリックします。
属性と関数はそれらが作成されたアプリケーションの「拡張」ノードの下に編成された定義です。属性および関数の定義は条件や責任で使用することができます。条件については、属性および関数の定義を使用して、保護リソースへのアクセスをさらに制限するためにポリシーに追加できるオプションの式を作成できます。責任については、このオプションの名前と値のペアのセットは、ポリシー決定とともに、追加の情報をコール側アプリケーションに返します。責任を定義するには次の2つの方法があります。
絶対値を含む属性が返される場合に、静的に定義。
属性値またはカスタム関数が実行時に評価され出力が返される場合に、動的に定義。
属性は、実行時に動的に定義される値(たとえばユーザーの地域)や、保護リソースのタイプに基づく値(たとえばテキスト・ファイルの作成日)の場合があります。ポリシーの評価中に、属性値はアプリケーションにより渡されることができるか、またはOracle Entitlements Serverが属性リトリーバ・コンポーネントを使用して取得できます。属性には定義済の型が必要です。ブール、整数、日付、時間および文字列がOracle Entitlements Serverの事前定義済の型です。属性は、単数または複数の値のリストである場合があります。関数は外部で実装されたロジックの定義です。ポリシーの結果に対する条件としてポリシーに追加できます。次の各項では、属性および関数での管理操作について説明します。
属性を作成するには、次のようにします。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。
「属性」ノードを右クリックし、メニューから「新規」を選択します。
ホーム領域に無題ページが表示されます。
属性に対して次の情報を入力します。
表示名: 「表示名」はオプションで、大文字と小文字は区別されません。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、わかりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を指定することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
カテゴリ: 「リソース」および「動的」からこの必要なパラメータの値を選択します。リソース属性は、Oracle Entitlements Serverを使用して定義され、維持されます。それ以外のすべての属性では「動的」を選択します。
タイプ: 「ブール」、「日付」、「日時」、「整数」、「文字列」「時間」、「Base64バイナリ」、「日時期間」、「DNS名」、「Double」、「電子メール」、「16進バイナリ」、「IPアドレス」、「URI」、「X500名」または「年月期間」から選択します。
入力値: 「単一」および「複数」から選択します。
「保存」メニューから次のいずれかを選択します。
「保存」は、構成を保存し、タブの名前をリソースの「表示名」に指定した値に変更します。
「保存して閉じる」は、構成を保存してタブを閉じます。
「保存して別のものを作成」は、ポリシー・ストアに構成を保存し、ナビゲーション・パネルの情報ツリーを更新し、別の属性を作成できるように無題の領域を開いたままにします。
属性を変更するには、次のようにします。
目的の属性を表示するには、次の方法から選択します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。属性をダブルクリックしてホーム領域に検索ダイアログを表示します。ホーム領域での検索の詳細は、5.3.9項「属性の検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して属性を検索し、「検索結果」タブで属性名をダブルクリックします。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
正しい属性が表示されたら、それを選択して「開く」をクリックし、詳細をホーム領域に表示します。
必要に応じて属性を変更します。
「適用」をクリックします。
属性を削除するには、次のようにします。
属性を表示するには、次の方法から選択します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。属性を右クリックして「開く」を選択し、ホーム領域に検索ダイアログを表示します。検索の条件を入力し、「検索」をクリックします。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して属性を検索し、「検索結果」タブで属性名を右クリックして「開く」を選択し、ホーム領域に属性を表示します。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
属性を選択し、「削除」をクリックします。
削除の警告が表示されます。
「はい」をクリックします。
属性が使用中の場合は削除できません。
関数を作成するには、次のようにします。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。
「関数」ノードを右クリックし、メニューから「新規」を選択します。
ホーム領域に無題ページが表示されます。
関数に対して次の情報を入力します。
表示名: 「表示名」はオプションで、大文字と小文字は区別されません。表示名は管理コンソールに表示され、管理者にオブジェクトの特定に役立つ追加情報を提供するため、わかりやすい表示名を指定することをお薦めします。
名前: 名前は必須で、大文字と小文字は区別されません。アプリケーションは実行時にこの文字列を渡して、ユーザーのこのリソースへのアクセスが認可されているかどうかを判断します。
説明: オプションですが、資格に関する有用な情報を指定することをお薦めします。説明の文字列では、大文字と小文字は区別されません。
関数クラス名: 機能を提供するクラスの名前です。
InspectableOesFunction
インタフェースに基づいて実装されたカスタム関数を作成する場合、Oracle Entitlements Serverはそのインタフェースに基づいてメタデータをロードし、動的にクラスを評価してその有効性を確認します。詳細は、『Oracle Entitlements Server開発者ガイド』を参照してください。
入力パラメータ: 関数に渡されるパラメータの型のリストです。
戻り型: 関数により戻されるデータ型を選択します。
構文プレビューは関数の構文をプレビュー表示します。
「保存」メニューから次のいずれかを選択します。
「保存して閉じる」で構成を保存し、「表示名」に指定した値を使用してタブの名前を変更します。
保存して別に作成ではナビゲーション・パネルの情報ツリーに構成が保存されますが、別に作成するための無題の領域は開かれたままです。
関数を変更するには、次のようにします。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。
関数をダブルクリックしてホーム領域に検索ダイアログを表示します。
関数を表示する検索条件を入力します。
ホーム領域での検索の詳細は、5.3.10項「関数の検索」を参照してください。
「検索結果」から関数を選択し、「開く」をクリックします。
ホーム領域に関数の詳細が表示されます。
必要に応じて関数を変更します。
「適用」をクリックします。
関数を削除するには、次のようにします。
関数を表示するには、次の方法から選択します。
ナビゲーション・パネルで、適切な「アプリケーション」ノードの下の「拡張」に移動して拡張します。関数を右クリックして「開く」を選択し、ホーム領域に検索ダイアログを表示します。検索の条件を入力し、「検索」をクリックします。「検索結果」から適切な関数を選択します。ホーム領域での検索の詳細は、5.3項「拡張検索を使用したオブジェクトの検索」を参照してください。
ナビゲーション・パネルの検索機能を使用して関数を検索し、「検索結果」タブで関数名を右クリックして「開く」を選択し、ホーム領域に関数を表示します。ナビゲーション・パネルでの検索の詳細は、5.2項「簡易検索を使用したオブジェクトの検索」を参照してください。
「削除」をクリックします。
削除の警告が表示されます。
「はい」をクリックします。
関数が使用中の場合は削除できません。
ポリシー・ルールのオプションの条件を使用して、アクセスのリクエストへの応答で返された認可決定の適用性を評価できます。たとえば、条件を使用して、リクエストが特定の場所からまたは特定の時間に発行された場合にかぎり、リソースへのアクセス権を付与することができます。
注意: ロール・マッピング・ポリシーの条件は、認可ポリシーの条件と同じ機能を提供し、同じ形式をとります。 |
条件は式の形で作成され、trueかfalseかが決定されます。式の結果がtrueの場合、ポリシーの条件は満たされ、ポリシーが適用されます。式の結果がtrueでない場合、ポリシーは適用されません。式は属性、関数またはリテラルを操作できます。Oracle Entitlements Serverには挿入できる事前定義済の属性および関数が含まれますが、カスタムの属性および関数を作成することもできます。リテラルはサポートされるデータ型に属する定数です。
注意: すべての属性と関数(カスタムおよび事前定義済の両方)は、アプリケーションの「拡張」ノードの下で、作成、収集、およびさらに管理されます。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
条件ビルダーにより、管理者は条件式をすばやく作成して、認可ポリシーまたはロール・マッピング・ポリシーに追加することができます。次の手順では、条件ビルダーを使用してポリシーに条件を作成する方法について説明します。条件を作成するには、認可ポリシーまたはロール・マッピング・ポリシーを作成または変更します。次のいずれかの手順に従うことで、条件を作成できます。
適切な画面が表示されたら、次の手順に従います。
「条件」タブをクリックします。
「条件の編集」をクリックします。
条件ビルダーが(図4-3に表示されているように)表示されます。左側の条件式には、2つの「追加」置換可能と演算子のドロップダウン(オペランドが追加されるまでは空白)が表示されます。右側の「属性」タブ、「関数」タブおよび「リテラル」タブからコンポーネントを追加して、式を構築します。
条件に追加するコンポーネントのタイプが含まれる適切なオペランド値のタブをクリックします。
図4-4は「属性」タブ、「関数」タブおよび「リテラル」タブのスクリーンショットです。これらのタブに表示されている属性と関数は、ポリシーが作成されているアプリケーションに基づいてフィルタされます。たとえば、Application 1で作成されたカスタム関数は、条件ビルダーがApplication 2でポリシーを作成するためにアクティブにされている場合には表示されません。
注意: 「関数」タブにアクセスしてInspectableOesFunction インタフェースに基づいて実装されたカスタム関数を追加する場合、Oracle Entitlements Serverは入力された値をそのインタフェースの実装方法に基づいて動的に評価します。詳細は、『Oracle Entitlements Server開発者ガイド』を参照してください。 |
条件に追加するコンポーネントを含む行を選択し、「追加」をクリックします。
青いiをクリックし、コンポーネントに関する詳細を含む「詳細」ボックスを表示します。図4-5は文字列値をとるSYS_APP属性が追加された後のスナップショットです。
適切なオペランド値を選択し、「追加」をクリックすることで、値を式の右側に移入します。
ドロップ・ダウンをクリックし、項目を選択することで、演算子を条件ビルダーの右側に指定します。
演算子のオプションはオペランド値により異なります。
該当する場合は、式の最後の矢印をクリックし、ドロップ・ダウン・メニューからAND、ORまたはNOTを選択することで、式を追加します。
REMOVEによりすべてのコンポーネントの式がクリアされるので、再び開始できます。
該当する場合、適切なオペランド値タブから、追加の式に対するコンポーネントを選択します。
現在の式の最後の矢印をクリックし、オペランド値タブから選択することで、必要な数の式(およびコンポーネント)を追加できます。
「完了」をクリックして条件を完成させます。
式を作成するために条件ビルダー内を移動するときには、次の点を考慮する必要があります。
条件ビルダーには追加の詳細のためにほとんどのフィールドにツール・ヒントが含まれています。
オペランド値の情報については、適切な青いiをクリックします。
少なくとも、式には2つのオペランドと1つの演算子が含まれている必要があります。
属性と属性、属性と関数、属性とリテラル、関数と関数、関数とリテラルを比較できます。
関数の入力パラメータには、属性、リテラルまたは関数を使用できます。
表示された演算子の選択は最初のオペランドの選択と直接関係します。たとえば、「次より小さい」または「次と等しい」を文字列で実行することはできません。
式内で表示された2番目のオペランド値の選択も最初のオペランドの選択と直接関係します。
REMOVEによりすべてのコンポーネントに関係する式がクリアされるので、再び開始できます。全部の条件がクリアされるわけではありません。
完成した条件(式)は実行時にOracle Entitlements Serverにより評価されます。解釈は優先のルールにより管理されます。
この条件の出力はブールである必要があります。
次の各項では、さらに複雑な条件の手順を示します。
この手順では、カッコを使用して複雑な式を作成する方法について説明します。
次のいずれかの手順に従うことで、条件ビルダーを使用できます。
「条件」タブをクリックします。
「条件の編集」をクリックします。
条件ビルダーは図4-3のように表示されます。
「属性」タブをクリックします。
DateAttr
カスタム属性を選択し、「追加」をクリックします。
DateAttr
は事前定義済のOracle Entitlements Serverの属性ではないので、この手順はカスタム属性が4.5.9項「属性および関数を拡張として管理」に記載されているとおりに定義されていることを前提とします。DateAttrは演算子の左側に追加されます。
演算子として等号(=)を選択します。
CURRENT_GMT_DATE
事前定義属性を選択し、「追加」をクリックします。
CURRENT_GMT_DATE
は事前定義済のOracle Entitlements Serverの属性で、「属性」タブで表示できます。これは演算子の右側に追加されます。
コードの最後の行で適切なAND、ORまたはNOT操作を選択することで、条件をより複雑にします。
カッコは一致する必要があります。開きカッコと閉じカッコの数は等しくなければなりません。コードの最後の行で操作を選択する場合、操作にはコード自体が含まれます。条件全体の最後で操作を選択する場合、全体として条件に追加できます。
必要に応じて、「属性」、「関数」または「リテラル」から値を選択することで条件を追加します。
完了後、「完了」をクリックします。
この手順では、パラメータを関数に渡す方法について説明します。
注意: InspectableOesFunction インタフェースに基づいて実装されたカスタム関数を追加する場合、Oracle Entitlements Serverは実行中にクラスを評価してその有効性を確認します。詳細は、『Oracle Entitlements Server開発者ガイド』を参照してください。 |
次のいずれかの手順に従うことで、条件ビルダーを使用できます。
「条件」タブをクリックします。
「条件の編集」をクリックします。
条件ビルダーは図4-3のように表示されます。
「関数」タブをクリックします。
STRING_EQUALを選択し、「追加」をクリックします。
図4-6は追加された関数を示し、渡す必要がある2つのパラメータのプレースホルダを含んでいます。この関数は2つの文字列(1つは事前定義済属性の値)を比較します。
まだの場合、最初のパラメータを選択します。
「属性」タブをクリックします。
SYS_USERを選択し、「追加」をクリックします。
2番目のパラメータが強調表示され、「リテラル」タブがアクティブになります。
2番目のパラメータの値を入力し、「追加」をクリックします。
この例では、joeです。演算子の右側のブールが強調表示され、「リテラル」タブがアクティブになります。
適切な演算子を選択します。
「ブール」置換可能をクリックし、この関数の出力がtrueまたはfalseのいずれである必要があるかを選択します。
適切と思われるオペランドを追加します。
完了後、「完了」をクリックします。