Oracle® Fusion Middleware Oracle Entitlements Serverの管理 11gリリース2 (11.1.2.3.0) E67353-01 |
|
前 |
次 |
この章では、グループ・ベース・ポリシーに対する認可のサービスおよびPEPコールを構成する方法を説明します。グループ(エンタープライズ・ロールとも呼ばれます)・ベース・アクセス・コントロールは、Oracle Entitlements Serverによって推奨されるベスト・プラクティスです。Oracle Entitlements Serverは、OPSSユーザー・アサーション・ログイン・モジュールを使用してユーザー名でグループ情報を取得できます。これは、OES構成(jps-config.xml)で構成されたアイデンティティ・ストアを必要とします。
LDAPアイデンティティ・ストアを構成するには、次のタスクを実行する必要があります。
次のアイデンティティ・ストア・サービス・インスタンスを、<serviceInstances
タグ内のSM_INSTANCE_HOME/config/jps-config.xml
に追加します。アイデンティティ・ストアの構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。
LDAP情報に従ってボールド属性値を更新します。
<serviceInstance name="idstore.oid" provider="idstore.ldap.provider"> <property name="subscriber.name" value="dc=usmedium,dc=oracle,dc=com" /> <property name="idstore.type" value="OID" /> <property name="ldap.url" value="ldap://<host>:<port>" /> <property name="bootstrap.security.principal.map" value="oidstore"/> <property name="bootstrap.security.principal.key" value="mykey"/> <extendedProperty> <name>user.search.bases</name> <values> <value>cn=users,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> <extendedProperty> <name>group.search.bases</name> <values> <value>cn=groups,dc=us,dc=oracle,dc=com</value> </values> </extendedProperty> <property name="username.attr" value="uid" /> <propperty name="groupname.attr" value="cn" /> </serviceInstance>
次に示すように、アイデンティティ・ストア・インスタンスをデフォルト・コンテキストに追加します。
<jpsContexts default="default">
<jpsContext name="default">
<serviceInstanceRef ref="audit"/>
<serviceInstanceRef ref="credstore"/>
<serviceInstanceRef ref="idstore.oid"/>
<serviceInstanceRef ref="pdp.service"/>
</jpsContext>
oesPassword.sh/batを使用してLDAPプリンシパルをブート・ストラップ資格証明ストアに設定します。C.1.1項では、「oidstore」、「mykey」はブートストラップ資格証明ストアのマップ鍵として使用されていました。LDAP接続ユーザーおよびパスワードをブートストラップ資格証明ストアに設定するには、oesPassword.sh/batを使用する必要があります。
bash-3.2$ ./oesPassword.sh -setpass
Enter credential map name: oidstore
Enter credential key name: mykey
Enter username for map:oidstore key:mykey: cn=orcladmin
Enter password for map:oidstore key:mykey:
Enter password for map:myid key:mykey again:
PepRequestFactory pepRequestFactory = PepRequestFactoryImpl.getPepRequestFactory();
String username; // get username from your OAG integration context
String resource; // get request resource from OAG integration context
String action; // get request action from OAG integration context
PepRequest request = pepRequestFactory.newPepRequest(username, action, resource);
PepResponse response = request.decide();