C Oracle API GatewayおよびOES Integrationのエンタープライズ・ロール・ベース認可の構成

この章では、グループ・ベース・ポリシーに対する認可のサービスおよびPEPコールを構成する方法を説明します。グループ(エンタープライズ・ロールとも呼ばれます)・ベース・アクセス・コントロールは、Oracle Entitlements Serverによって推奨されるベスト・プラクティスです。Oracle Entitlements Serverは、OPSSユーザー・アサーション・ログイン・モジュールを使用してユーザー名でグループ情報を取得できます。これは、OES構成(jps-config.xml)で構成されたアイデンティティ・ストアを必要とします。

C.1 LDAPアイデンティティ・ストアの構成

LDAPアイデンティティ・ストアを構成するには、次のタスクを実行する必要があります。

• C.1.1項「LDAPアイデンティティ・ストア・インスタンスの追加」

• C.1.2項「idstore.oidインスタンスをデフォルト・コンテキストに追加」

• C.1.3項「LDAPプリンシパルのブートストラップ資格証明ストアへの追加」

C.1.1 LDAPアイデンティティ・ストア・インスタンスの追加

次のアイデンティティ・ストア・サービス・インスタンスを、<serviceInstancesタグ内のSM_INSTANCE_HOME/config/jps-config.xmlに追加します。アイデンティティ・ストアの構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。

LDAP情報に従ってボールド属性値を更新します。

     <serviceInstance name="idstore.oid" provider="idstore.ldap.provider">
         <property name="subscriber.name" value="dc=usmedium,dc=oracle,dc=com" />
          <property name="idstore.type" value="OID" />
          <property name="ldap.url" value="ldap://<host>:<port>" />
          <property name="bootstrap.security.principal.map" value="oidstore"/>
          <property name="bootstrap.security.principal.key" value="mykey"/>
          <extendedProperty>
               <name>user.search.bases</name>
             <values>
                 <value>cn=users,dc=us,dc=oracle,dc=com</value>
            </values>
          </extendedProperty>
          <extendedProperty>
              <name>group.search.bases</name>
               <values>
                   <value>cn=groups,dc=us,dc=oracle,dc=com</value>
               </values>
         </extendedProperty>
        <property name="username.attr" value="uid" />
        <propperty name="groupname.attr" value="cn" />
     </serviceInstance>

C.1.2 idstore.oidインスタンスをデフォルト・コンテキストに追加

次に示すように、アイデンティティ・ストア・インスタンスをデフォルト・コンテキストに追加します。

    <jpsContexts default="default">
        <jpsContext name="default">
            <serviceInstanceRef ref="audit"/>
            <serviceInstanceRef ref="credstore"/>
            <serviceInstanceRef ref="idstore.oid"/>
            <serviceInstanceRef ref="pdp.service"/>
        </jpsContext>

C.1.3 LDAPプリンシパルのブートストラップ資格証明ストアへの追加

oesPassword.sh/batを使用してLDAPプリンシパルをブート・ストラップ資格証明ストアに設定します。C.1.1項では、「oidstore」、「mykey」はブートストラップ資格証明ストアのマップ鍵として使用されていました。LDAP接続ユーザーおよびパスワードをブートストラップ資格証明ストアに設定するには、oesPassword.sh/batを使用する必要があります。

bash-3.2$ ./oesPassword.sh -setpass
Enter credential map name: oidstore
Enter credential key name: mykey
Enter username for map:oidstore key:mykey: cn=orcladmin
Enter password for map:oidstore key:mykey:
Enter password for map:myid key:mykey again:

C.2 PepRequestのSubjectObjとしてユーザー名を文字列で使用

PepRequestFactory pepRequestFactory = PepRequestFactoryImpl.getPepRequestFactory();
 
     String username; // get username from your OAG integration context
     String resource; // get request resource from OAG integration context
     String action; // get request action from OAG integration context
 
PepRequest request = pepRequestFactory.newPepRequest(username, action, resource);
PepResponse response = request.decide();