Oracle® Fusion Middleware Oracle Entitlements Serverの管理 11gリリース2 (11.1.2.3.0) E67353-01 |
|
前 |
次 |
セキュリティ・モジュール定義および管理者の構成は、Authorization Policy Manager管理コンソールの最上位の「システム構成」タブ内で定義されます。この章の内容は次のとおりです。
管理者ロールを作成して、ポリシー・オブジェクトの管理操作を委任できます。たとえば、管理者ロールを適切なレベルで作成し、管理権限ロールに加えてユーザー、グループ、または他のロールも割り当てることによって、管理者を委任するアプリケーション・ドメインおよびポリシー・ドメインを定義できます。詳細は、第11章「管理者ロールの委任」を参照してください。そこには、アプリケーション・ドメインまたはポリシー・ドメインの他のタイプの管理者ロールを管理できるシステム管理者ロールの作成に関する項があります。
セキュリティ・モジュールは、認可での主要な役割を果たすOracle Entitlements Serverクライアントです。認可リクエストが生成されると、セキュリティ・モジュールはポリシー・データを評価し、リソースへのアクセス権を付与するか拒否するかを決定します。アプリケーション(保護されたリソースを表すOracle Entitlements Serverオブジェクト)を、それを保護するセキュリティ・モジュールにバインドする必要があります。セキュリティ・モジュールをバインドすると、ポリシー・データを評価のために送信できます。ポリシー配布コンポーネント(第6章「ポリシー配布の管理」で説明)は、ポリシー・データをセキュリティ・モジュールに送信する際に使用されるメカニズムです。
次の各項では、アプリケーション・オブジェクトに対するセキュリティ・モジュール定義のバインド(およびバインド解除)の方法について説明します。
セキュリティ・モジュールを作成するには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルにあるセキュリティ・モジュールをダブルクリックします。
または、セキュリティ・モジュールを右クリックして、「オープン」を選択します。図10-1に示すように、「セキュリティ・モジュール」ページが表示されます。
「新規」をクリックして、新規セキュリティ・モジュール定義を作成します。
または、「アクション」メニューから「新規」を選択します。セキュリティ・モジュールダイアログが表示されます。
新規セキュリティ・モジュールに、次の値を指定します。
名前: 入力値は一意である必要があります。
表示名
説明
「保存」をクリックします。
アプリケーションをセキュリティ・モジュールにバインドするには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルにあるセキュリティ・モジュールをダブルクリックします。
または、「セキュリティ・モジュール」を右クリックして、「オープン」を選択します。「セキュリティ・モジュール」ページが表示されます。
セキュリティ・モジュール定義の名前を表から選択します。
「アプリケーションにバインド済」表の「追加」をクリックして、「アプリケーションを追加」ダイアログを表示します。
または、「アプリケーションにバインド済」の「アクション」メニューから「追加」をクリックして、「アプリケーションを追加」ダイアログを表示します。
テキスト・ボックスに検索文字列を入力し、矢印をクリックして検索します。
または、検索文字列を入力せずに矢印をクリックして、使用可能なすべてのアプリケーションを返します。
返されたリストから、1つ以上のアプリケーションを選択します。
「追加」をクリックします。
選択したアプリケーションが選択したセキュリティ・モジュールにバインドされ、「アプリケーションにバインド」表に表示されます。
アプリケーションをセキュリティ・モジュールからバインド解除するには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルにあるセキュリティ・モジュールをダブルクリックします。
または、「セキュリティ・モジュール」を右クリックして、「オープン」を選択します。「セキュリティ・モジュール」ページが表示されます。
表で、該当するセキュリティ・モジュール定義の名前を選択します。
「アプリケーションにバインド」表で、該当するアプリケーションの名前を選択します。
「削除」をクリックするか、「アクション」メニューから「削除」を選択します。
確認ダイアログが表示されます。
「アンバインド」をクリックします。
セキュリティ・モジュール定義を削除するには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルにあるセキュリティ・モジュールをダブルクリックします。
または、「セキュリティ・モジュール」を右クリックして、「オープン」を選択します。「セキュリティ・モジュール」ページが表示されます。
表で、該当するセキュリティ・モジュール定義の名前を選択します。
「削除」をクリックするか、「アクション」メニューから「削除」を選択します。
確認ダイアログが表示されます。
「削除」をクリックします。
Oracle Entitlements Serverを使用してポリシーを定義する場合、ユーザーとグループをサブジェクトとして指定する必要があります。これは、アイデンティティ・データ・ストアを検索することによって実現されます。Identity Directory Serviceは、Oracle Entitlements Serverが複数のアイデンティティ・データ・ストアにアクセスするために使用する柔軟で構成可能なサービスです。Identity Directory Serviceの目的は、Oracle Entitlements Serverが一緒にデプロイされていないアイデンティティ・ストアに含まれるユーザーおよびグループを使用するポリシーを管理できるようにすることです。
アプリケーション(保護されたリソースを表すOracle Entitlements Serverオブジェクト)をIdentity Directory Serviceプロファイルにバインドして、Oracle Entitlements Serverがそのプロファイルで表されるアイデンティティ・ストアと通信できるようにする必要があります。デフォルトでは、アプリケーションは、管理コンソールにログインする際の認証に使用されるLDAPディレクトリに関連付けられています。管理者は、Identity Directory Serviceで構成されているアイデンティティ・データ・ストアを使用できるように、この関連付けを変更できます。
注意: Identity Directory Serviceプロファイルがアプリケーションにバインドされると、拡張検索または簡易検索をグローバル(デフォルト・オプション)またはアプリケーションの範囲内で開始できるようになります。後者のオプションの場合、そのアプリケーションに設定されているアイデンティティ・データ・ストア内で検索が行われます。詳細は、第5章「セキュリティ・オブジェクトの問合せ」を参照してください。 |
次の各項では、Identity Directory Serviceプロファイルとアプリケーション・オブジェクトをバインド(アンバインド)する方法について説明します。
注意: Identity Directory ServiceのWebLogic Scripting Tool (WLST)コマンドの詳細は、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』を参照してください。 |
Identity Directory Serviceプロファイルを作成するには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルで「IDSプロファイル」をダブルクリックします。
または、「IDSプロファイル」を選択して「開く」をクリックします。図10-2に示すように、「IDSプロファイル」ページが表示されます。
「作成」をクリックして、新しいIdentity Directory Serviceプロファイルを作成します。
図10-3に示すように、アイデンティティ・ストア・プロファイルの作成ページが表示されます。
新しいIdentity Directory Serviceプロファイルの次の値を指定します。
名前: 一意の値を入力する必要があります。
説明
「新規作成」または「既存のものを使用」を選択し、適用可能な値を指定してリポジトリを定義します。
名前: 一意の値を入力する必要があります。
ディレクトリ・タイプ - ドロップダウン・メニューから選択
ホスト情報 - ホスト名、ポート番号および負荷重み付けパーセンテージを追加
可用性 - 「フェイルオーバー」またはロード・バランスを選択
SSL - 有効化する場合は選択
バインドDN
バインド・パスワード
ベースDN
「接続テスト」をクリックして、値が正しいことを確認します。
ユーザーの確認方法を定義する適用可能な値を指定します。
ベースDN
RDN属性
オブジェクト・クラス
ログインID属性
グローバル共通ID属性
グループの確認方法を定義する適用可能な値を指定します。
オブジェクト・クラス
名前属性
ベースDN
「作成」をクリックします。
プロファイルが、「IDSプロファイル」リストに表示されます。
Identity Directory Serviceプロファイルにアプリケーションをバインドするには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルで「IDSプロファイル」をダブルクリックします。
または、「IDSプロファイル」を選択して「開く」をクリックします。
上にある表からIdentity Directory Serviceプロファイルの名前を選択します。
「アプリケーションにバインド済」表の「追加」をクリックして、「アプリケーションを追加」ダイアログを表示します。
または、「アプリケーションにバインド済」の「アクション」メニューから「追加」をクリックして、「アプリケーションを追加」ダイアログを表示します。
テキスト・ボックスに検索文字列を入力し、矢印をクリックして検索します。
または、検索文字列を入力せずに矢印をクリックして、使用可能なすべてのアプリケーションを返します。
返されたリストから、1つ以上のアプリケーションを選択します。
「追加」をクリックします。
選択したアプリケーションが選択したIdentity Directory Serviceプロファイルにバインドされ、「アプリケーションにバインド済」表に表示されます。
注意: すでにIdentity Directory Serviceプロファイルにバインドされているアプリケーションを別のIdentity Directory Serviceプロファイルにバインドした場合、最初のプロファイルからは自動的にアンバインドされます。 |
Identity Directory Serviceプロファイルからアプリケーションをアンバインドするには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルで「IDSプロファイル」をダブルクリックします。
または、「IDSプロファイル」を選択して「開く」をクリックします。
表で該当するIdentity Directory Serviceプロファイルの名前を選択します。
「アプリケーションにバインド」表で、該当するアプリケーションの名前を選択します。
「削除」をクリックするか、「アクション」メニューから「削除」を選択します。
確認ダイアログが表示されます。
「アンバインド」をクリックします。
Identity Directory Serviceプロファイルを削除するには、次のようにします。
「ホーム」領域から「システム構成」タブを選択します。
ナビゲーション・パネルで「IDSプロファイル」をダブルクリックします。
または、「IDSプロファイル」を選択して「開く」をクリックします。
表で該当するIdentity Directory Serviceプロファイルの名前を選択します。
「削除」をクリックします。
確認ダイアログが表示されます。
「OK」をクリックします。