| Oracle® Fusion Middleware Oracle Entitlements Serverの管理 11gリリース2 (11.1.2.3.0) E67353-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Entitlements Serverの管理 11gリリース2 (11.1.2.3.0) E67353-01 |
|
前 |
次 |
この章では、特定のセキュリティ・モジュールを使用してリソースを保護する方法について説明します。この章には次の項目があります。
Oracle Entitlements Server管理者は、保護されるリソースのタイプに基づいてセキュリティ・モジュール・タイプを選択します。セキュリティ・モジュール・タイプは、OESクライアントのSMConfigツールを使用してセキュリティ・モジュールをインスタンス化する際に定義します(第8章「セキュリティ・モジュールの構成の管理」を参照)。
|
注意: OESクライアントのインストール手順は、『Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 |
SMConfigツールを使用してセキュリティ・モジュールをインスタンス化する際、セキュリティ・モジュール・タイプ、構成IDおよび適切なコンテナへのパスなどのパラメータを定義します。表9-2に、インスタンス化可能なセキュリティ・モジュール・タイプをリストします。(SMType属性値はセキュリティ・モジュール列のカッコ内に定義されています。)
表9-1に記載されているセキュリティ・モジュール・タイプでは、環境に固有のリソースは保護されません。これらは、認可を要求するJavaコールを受信するポリシー決定ポイント(PDP)です。セキュリティ・モジュールは単純に、アプリケーションによりコールされる認可APIを提供します。
表9-1 一般的な保護セキュリティ・モジュール・タイプ
| セキュリティ・モジュール | 目的 | プロキシ・モード | コンテナ・サポート |
|---|---|---|---|
|
Java (java) |
認可を要求するJavaコールを受信するポリシー決定ポイント(PDP) |
サポート |
Java Standard Edition (JSE)アプリケーションおよび複雑な統合で使用されます。 |
|
WebSphere (was) |
アプリケーションから認可リクエストを直接受信するJavaセキュリティ・モジュール |
サポート |
WebSphere Application Server |
|
Webサービス(ws) |
Webサービス・コールを受信するマルチプロトコル・セキュリティ・モジュール。XACMLゲートウェイまたはSOAPを使用してWebサービス・セキュリティ・モジュールと通信するように、プロキシ・モードの他のセキュリティ・モジュール(Java、WLS)を構成します。 |
未サポート |
JSEスタンドアロン・プロセスとして、またはWebLogic Serverコンテナ上で実行されるWebサービスとして、サポートされます。プロキシ・モードの他のセキュリティ・モジュールにより使用可能です。Webサービス・リクエストを作成可能な場合またはアプリケーションが非標準プログラミング言語(Pythonなど)で作成されている場合に使用できます。 |
|
RMI (rmi) |
Remote Method Invocation (RMI)コールを受信するように強化されたJavaセキュリティ・モジュールであるマルチプロトコル・セキュリティ・モジュール |
未サポート |
Webサービスの負荷が高い場合にJSEアプリケーションでのみ使用されます。 |
|
.NET (dotnet) |
C#で記述されたアプリケーションがC#でPEP APIをコールすることによりWebサービス・セキュリティ・モジュールに認可リクエストを送信できるようにします。 |
プロキシ・モードでのみサポートされます。.NETセキュリティ・モジュールはWebサービス・セキュリティ・モジュールと通信するプロキシとして機能します。 |
.NETコンテナ |
|
JBoss (jboss) |
アプリケーションから認可リクエストを直接受信するJavaセキュリティ・モジュール |
サポート |
JBoss Application Server |
|
Tomcat (tomcat) |
アプリケーションから直接認可リクエストを受信するJavaセキュリティ・モジュール。Oracle Platform Security Servicesの認可/ログイン・モジュールまたは |
サポート |
Apache Tomcatアプリケーション・サーバー |
表9-2に記載されているセキュリティ・モジュールは、アプリケーションから直接受信する認可コールを処理する機能以外に、それらがデプロイされている環境の固有のリソースを保護する機能はありません。
表9-2 環境固有のセキュリティ・モジュール・タイプ
| セキュリティ・モジュール | 目的 | プロキシ・モード | コンテナ・サポート |
|---|---|---|---|
|
Sharepoint (moss) |
コンテンツに対するSharepointリクエストをインターセプトして、Microsoft Sharepoint Serverリソースを保護します。9.2項「Microsoft Office SharePoint Serverのリソースの保護」を参照してください。 |
プロキシ・モードでのみサポートされます。Sharepointセキュリティ・モジュール自体はWebサービス・セキュリティ・モジュールと通信するプロキシ(C#で記述)として機能します。 |
.NETコンテナ |
|
WebLogic Server (wls) |
Oracle Entitlements Serverセキュリティ・プロバイダが有効化されていて(9.4.1項「WebLogic Serverとの統合」を参照)セキュリティ・モジュールがWebLogic Serverコールを処理可能な場合を除いて、Javaセキュリティ・モジュールと完全に同じ動作を示します。9.4項「WebLogic Serverリソースの保護」を参照してください。 |
サポート(Oracle Entitlements Serverセキュリティ・プロバイダが有効化されてWebLogic Serverリクエストをインターセプトする場合を除く) |
WebLogic Server |
|
Oracle Service Bus (osb) |
Oracle Entitlements Serverセキュリティ・プロバイダが有効化されている場合に、Oracle Service Busからの認可リクエストをインターセプトするWebLogicセキュリティ・モジュール。9.3項「Oracle Service Busリソースの保護」を参照してください。 |
サポート |
これらのセキュリティ・モジュールとその構成方法の詳細は、第8章「セキュリティ・モジュールの構成の管理」を参照してください。これらの動作の詳細は、1.3項「Oracle Entitlements Serverのアーキテクチャの概要」と第7章「ポリシー決定ポイントのデプロイ」を参照してください。
企業は、Oracle Entitlements Serverを使用して、MOSSポータル環境を管理できます。MOSSとの統合はMOSSセキュリティ・モジュール・プラグインにより実現されます。このプラグインはSharePoint Server内で認可コールをインターセプトし、統合されたWebサービス・セキュリティ・モジュール(PDP)に送信します。PDPは認可決定をMOSSセキュリティ・モジュール・プラグインに返し、決定が実行されます。詳細は、次の各項を参照してください。
保護可能なSharePointコンポーネントには、Webサイト、Webページ、Webパーツ、リスト・アイテムおよびナビゲーション・バー・アイテムなどがあります。リソースは、コンポーネントに基づいて異なる方法で保護されます。SharePointリソースは、次のリストに従ってカテゴリ分けされます。
アイテムは最小のSharePointコンポーネント(ドキュメント、タスク、連絡先、ページまたは通知など)です。
リストは単一タイプのSharePointコンポーネントのコレクションです。ドキュメント・リスト、連絡先リスト、タスク・リストなどを作成できます。
フォルダはリスト内に存在し、複数のアイテムとサブフォルダのコンテナとして機能します。
サイトはリストのコレクションです。たとえば、SharePointのデフォルトのドキュメント・センター・サイトは、「お知らせ」、「ドキュメント」および「タスク」の3つのリストで構成されています。
SharePointサイト・ページ上のナビゲーション・バー・アイテムは、MOSSコンポーネントの操作に使用できます。
|
注意: すべてのMOSSリソースのリソース・タイプは1つのみです。この項では、MossResourceTypeという名前を使用します。 |
次の各項では、詳細を説明します。
MOSS Webサイトは、1つ以上のWebページで構成されます。組織は一般に、社内の1つの部門を示す1つのWebサイトをMOSSで編成します。MOSSに付属のメインWebサイトには、デフォルトのサブ・サイトが存在します。サブ・サイトは、上端または左右のナビゲーション・バー上に、または他のWebページ上でリンクとして、表示されます。これらのすべてのWebサイトに、固有のURLが存在します。
MOSSのWebサイトまたはWebページのURLにより、Oracle Entitlements Serverで作成されるリソース・インスタンスが定義されます。http://Sharepoint_Server_Name/TestSiteと定義されたURLの場合、対応するリソースは、アプリケーションMossAppの下にリソース・タイプMossResourceTypeのインスタンスとしてリソース/TestSiteを定義することによって作成されます。この場合、ポリシーはOracle Entitlements Serverオブジェクトを使用して作成されます。
カスタムHTTPモジュールは、Oracle Entitlements Serverによって実装され、MOSS Webサイトを保護します。ユーザーが保護されたコンポーネントへのアクセスを試みた場合、そのリクエストはカスタムHTTPモジュールによってインターセプトされ、ポリシーを評価するためにOracle Entitlements Serverに転送されます。決定がカスタムHTTPモジュールに返され、ユーザーがアクセスを拒否された場合、その場所を表示する権限がないことを示すメッセージを含むカスタム・エラー・ページが表示されます。
|
注意: カスタムHTTPモジュールは、MOSSサイト構成ファイルweb.configでHttpModules要素を定義することによって有効化されます。9.2.4項「SharePointセキュリティの構成」を参照してください。 |
MOSS Webパーツは、Webページ内にコンテンツを公開するために使用されるという点がポートレットに似ています。1つのWebページに1つ以上のWebパーツが存在できます。Webパーツは、リソース・インスタンス名として固有のMOSS表示名を定義することによって、Oracle Entitlements Serverで表現されます。リソース・インスタンスは、親Webページのリソースの子として作成されます。
ユーザーが保護されたコンポーネントへのアクセスを試みた場合、そのリクエストはOracle Entitlements Serverに作成されたMOSS委任制御によってインターセプトされます。つまり、委任制御を使用すると、SharePointページに、そのページ自体を変更することなく、任意のカスタム.NETコードを配置できます。このカスタム・コードは、Oracle Entitlements Serverから決定を取得して、認可されていないWebパーツをページから削除するために使用されます。この場合、エラー・メッセージは表示されません。
|
注意: 委任OES認可制御は、Webパーツ・ページに明示的に追加されるか、またはWebサイトのマスター・ページで暗黙的に定義されます。9.2.4項「SharePointセキュリティの構成」を参照してください。 |
MOSSリストは、Webページ上のWebパーツ内のアイテムのコレクションです。MOSS Webサイトを作成する場合、使用するテンプレートに応じて一連のリストも作成されます。各リスト・アイテムはURLによって識別され、Oracle Entitlements Serverリソースとして表されます。これらのリストは、ドキュメント・リストまたは非ドキュメント・リストのどちらであるかに応じて、Oracle Entitlements Serverに組み込まれます。
ドキュメント・リストは、http://Sharepoint_Server_Name/TestSite/SharedDocuments/Forms/AllItems.aspxに移動すると、表示できます。/TestSite/SharedDocuments/Forms/AllItems.aspxという名前でトップレベル・リソースを作成します。次に、リストのアイテムごとに、トップレベル・リソースのサブリソースとして個別のリソース・オブジェクトを作成します。たとえば、リストのScott.sqlという名前のアイテムに/TestSite/SharedDocuments/Scott.sqlという名前でサブリソースを作成できます。
非ドキュメント・リストは、http://Sharepoint_Server_Name/TestSite/Lists/Announcements/AllItems.aspxに移動すると、表示できます。/TestSite/Lists/Announcements/AllItems.aspxという名前でリソースを作成します。次に、同じレベルにリソース/TestSite/Lists/Announcements/EditForm.aspxとリソース/TestSite/Lists/Announcements/DispForm.aspxを作成します。ここでリストの任意のアイテムをクリックすると、URLとしてhttp://Sharepoint_Server_Name/web1/Lists/Announcements/DispForm.aspx?ID=2&Source=http%3A%2F%2Fsharepoint01%2FTestSite%2FLists%2FAnnouncements%2FAllItems%2Easpxが表示されます。このURLのURLパラメータとして定義されたIDをメモします。このIDは非ドキュメント・アイテムの名前として使用され、EditForm.aspxとDispForm.aspxの両方のサブリソースとして作成されます。この手順は、非ドキュメント・リスト内のすべてのアイテムについて実行する必要があります。または、アイテムのリンクの上にマウスを移動して、ブラウザのステータス・バーに表示されるURLに含まれるIDをメモします。
|
注意: リスト・アイテムの場合のみ、EditForm.aspxに対するポリシーを作成する必要はありません。同じDispForm.aspxに対するviewまたはANYを付与できます。viewの場合はReadOnlyアクセスが付与され、ANYの場合は完全なアクセス(編集、削除など)が付与されます。 |
管理者は、SharePointサーバーを使用して、アクセス制御が必要な機密情報が含まれるカスタム・ページを公開できます。開発者は、Oracle Entitlements Serverタグ・ライブラリに対応するASPタグ内に機密情報を包含することができます。タグ・ライブラリはOracle Entitlements Serverと通信してアクセス決定を取得し、それに基づいて認可されたユーザーにのみコンテンツが表示されます。
|
注意: ASPタグ・ライブラリは、MOSSページで名前空間、タグ接頭辞およびアセンブリを登録し、タグを使用して機密コンテンツを包含するMOSSページ開発者が使用するサーバー側Webコントロールです。このライブラリは、アクセス制御を提供するためにタグが使用されているカスタム・コンテンツ・ページにエンド・ユーザーがアクセスを試みたときに起動されます。 |
MOSSセキュリティ・モジュールは、Webサービス・セキュリティ・モジュールと連携して、MOSSリソースのきめ細やかな認可を提供します。セキュリティ・モジュールをインスタンス化する前に、前提となるMOSS環境が設定済であることを確認します。これには、MOSSのインストールおよび保護されるWebアプリケーションの作成が含まれます。
|
注意: この手順では、Webアプリケーションの環境の詳細(ポート番号、URLなど)が必要です。 |
MOSSセキュリティ・モジュールとWebサービス・セキュリティ・モジュールは、同一サーバーへのデプロイと異なるサーバーへのデプロイが可能です。両方のセキュリティ・モジュールをインスタンス化するには、$ORACLE_CLIENT_HOME/oessm/SMConfigTool/binディレクトリにあるSMConfigツールを使用します。
MOSSセキュリティ・モジュールとWebサービス・セキュリティ・モジュールを同時にインスタンス化するには、config.sh with the parameter -smType mosswsを実行します。
これらのセキュリティ・モジュールを別々にインスタンス化するには、config.shを2回、1回目はパラメータ-smType mossで、2回目はパラメータ-smType wsで、実行します。
さらに、選択しているデプロイメントに応じてSMConfigツールを実行します。たとえば、MOSSと同じWindowsマシンにデプロイされているセキュリティ・モジュールをインスタンス化するには、次のコマンドを使用します。
config.sh –smType mossws –prpFileName file_name –mossprpFileName file_name –smConfigId -WSListeningPort –pdServer –pdPort
ここで、prpFileNameはWebサービス・セキュリティ・モジュールの作成に使用されたsmconfig.prpであり、mossprpFileNameはMOSSサーバーの構成に使用されたプロパティ・ファイルです。
|
注意: mossprpFileNameテンプレートは、$ORACLE_CLIENT_HOME/oessm/mosssm /adm/configtool/moss_config.propertiesにあります。moss_config.propertiesには、環境に従って定義する必要がある必須プロパティおよび未定義の場合はデフォルト値が使用されるオプション・プロパティが存在します。 |
異なるWindowsマシンにデプロイされているセキュリティ・モジュールをインスタンス化するには、先にWebサービス・セキュリティ・モジュールをインスタンス化します(特別な手順はありません)。その後で次のコマンドを使用して、MOSSセキュリティ・モジュールを構成します。
config.sh –smType moss –prpFileName file_name –mossprpFileName file_name
詳細なOESクライアントのインストール手順は、『Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。
テンプレートmossprpFileNameのmoss.enableOESプロパティの値を使用して、Oracle Entitlements ServerをMOSSアプリケーションと統合するか、またはOracle Entitlements ServerとMOSSアプリケーションの統合を解除することができます。
moss.enableOES=trueの場合、config.shをパラメータ-smType mossで実行すると、Oracle Entitlements ServerがMOSSアプリケーションと統合されます。
moss.enableOES=falseの場合、config.shをパラメータ-smType mossで実行すると、MOSSアプリケーションがそのデフォルト認可プロセスを使用するように構成されます。
次の手順は、SMConfigツールによって開始される自動構成以外にMOSSアプリケーションの認可を手動で構成する手順を示します。この手順は、9.2.2項「MOSSとWebサービスのセキュリティ・モジュールのインスタンス化」でconfig.shスクリプトによって自動実行される手順と同じであり、SMConfigツールを使用しない手順が必要な場合に使用できます。
この手順では、セキュリティ・モジュールがインスタンス化済であることを前提としています。インスタンス化後は、生成される構成IDとサービス・レジストリURLをメモします。この手順で、configIDはMOSS、サービス・レジストリURLはhttp://hostname:port/ServiceRegistryです。
Oracle Entitlements Server管理コンソールを使用して、次の手順を実行します。
Webサービス・セキュリティ・モジュール定義を作成します。
第10章「システム構成の管理」を参照してください。
保護されるMOSSアプリケーションを表すアプリケーション・ポリシー・オブジェクトを作成します。
アプリケーションの名前は、moss_config.propertiesファイルで定義されているmoss.app.nameプロパティの値と一致している必要があります。
第4章「ポリシーとポリシー・オブジェクトの管理」を参照してください。
アプリケーションをWebサービス・セキュリティ・モジュール・プロファイルにバインドします。
第10章「システム構成の管理」を参照してください。
$OES_CLIENT_HOME/oes_sm_instances/MOSS_SM_Name/libディレクトリからOES.SharePoint.dllとlog4net.dllをC:/WINDOWS/assemblyディレクトリにドラッグ・アンド・ドロップします。
これにより、アセンブリがWindowsのグローバル・アセンブリ・キャッシュに登録され、ホスト・マシン上のすべての.NETアプリケーションから使用できるようになります。
MOSS 2007 (IIS 6)を使用している場合、次のコードをdefault.masterファイルのHTML HEADセクションに追加して、Oracle Entitlements Server委任制御を宣言します。
<SharePoint:DelegateControl runat="server" ControlId="PageHeader"/>
default.masterファイルはC:\Program Files\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\GLOBAL\ディレクトリにあります。この手順は、MOSS 2010 (IIS 7)を使用している場合は必要ありません。
|
注意: default.masterを「ワードパッド」で開くと、既存の文字のかわりに疑問符(?)が表示されている箇所が散見されます。ファイルを変更して保存する前に、これが修正されていることを確認してください。または、ファイルを「メモ帳」で開いてください。 |
ユーザーがMOSSコンポーネントへのアクセスを認可されていない場合にメッセージを表示するカスタム・エラー・ページを追加します。
CustError.aspxとcustError2010.aspxは、Oracle Entitlements ServerのMOSS用カスタム・エラー・ページです。これらは、$OES_CLIENT_HOME/oes_sm_instances/MOSS_SM_Name/adm/pagesディレクトリにあります。
MOSS 2007 (IIS 6)を使用している場合、custError.aspxをC:\ Program Files\Common Files\Microsoft Shared\web server extensions\12\template\layoutsにコピーします。
MOSS 2010 (IIS 7)を使用している場合、custError2010.aspxをC:\Program Files\Common Files\Microsoft Shared\web server extensions\14\template\layoutsにコピーし、名前をcustError.aspxに変更します。
Sharepoint Serverのweb.config構成ファイルを編集して、Oracle Entitlements ServerとMOSSの統合を有効化します。
web.configはSharePointアプリケーションの仮想ディレクトリ(C:\Inetpub\wwwroot\wss\VirtualDirectories\port-numberなど)にあります。ここで、port-numberはアプリケーションのポートです。
|
注意: web.configを「ワードパッド」で開くと、既存の文字のかわりに疑問符(?)が表示されている箇所が散見されます。ファイルを変更して保存する前に、これが修正されていることを確認してください。または、ファイルを「メモ帳」で開いてください。 |
表9-3に記載されているプロパティをappSettingsセクションに追加します。例9-1は、appSettingsセクションを示しています。値はmossprpFileNameとして定義されているファイルから取得されています。
例9-1 Sharepoint web.configファイルのappSettingsセクション
<add key="SsmUrl" value="${moss.SmUrl}/ServiceRegistry"/>
<add key="SsmId"
value="${oracle.security.jps.runtime.pd.client.sm_name}"/>
<add key="ApplicationID" value="${application.id}"/>
<add key="PolicyDomain" value="${policy.domain}"/>
<add key="ResourceType" value="${moss.resourcetype}"/>
<add key="log4NetXmlfile" value="${moss.log4NetXmlfile}"/>
<add key="sharepointSite" value="${moss.sharepointSite}"/>
<add key="EnableOES" value="${moss.EnableOES}"/>
<add key="IgnoredExtensions" value="${moss.IgnoredExtensions}"/>
<add key="IgnoredURLExpression" value="${moss.IgnoredURLExpression}"/>
表9-3 MOSSアプリケーションのappSettingsプロパティ
| プロパティ | 説明 |
|---|---|
|
SsmUrl |
WebサービスSMのレジストリURL ( |
|
SsmId |
このセキュリティ・モジュールの名前(MOSSなど)。 |
|
IdentityAsserterName |
Oracle Entitlements Serverで構成されているIDアサーション・プロバイダの名前。現時点では |
|
ApplicationID |
保護されたMOSSリソースを表す構成済Oracle Entitlements Serverアプリケーションの名前。 |
|
ResourceType |
すべてのMOSSリソースのリソース・タイプ( |
|
log4NetXmlfile |
|
|
sharepointSite |
トップレベルSharePointサイト( |
|
Enable OES |
Oracle Entitlements Server統合を有効化するフラグで、値にtrueまたはfalseを設定します。 |
|
IgnoredExtensions |
Oracle Entitlements Serverアクセス制御で無視されるファイル拡張子パターンのカンマ区切りリスト(次に例を示します)。 png,js,css,axd これらのリソースへのアクセスがリクエストされた場合、常に付与されます。 |
|
IgnoredURLExpression |
Oracle Entitlements Serverアクセス制御で無視されるファイル名パターンのカンマ区切りリスト(次に例を示します)。 /_layouts/Authenticate.aspx,/_login/default.aspx,/_forms/default.aspx これらのリソースへのアクセスがリクエストされた場合、常に付与されます。 |
表9-3に記載されているSafeControl AssemblyエントリをSafeControlsセクションに追加します。
例9-2 SafeControl Assemblyエントリ
<SafeControls>
...
<SafeControl Assembly="OES.Sharepoint, Version=1.0.0.0, Culture=neutral,
PublicKeyToken=68b08a2fa869dfdc" Namespace="OES.Sharepoint.Controls"
TypeName="*" Safe="True" />
<SafeControl Assembly="OES.Sharepoint, Version=1.0.0.0, Culture=neutral,
PublicKeyToken=68b08a2fa869dfdc" Namespace="OES.Sharepoint.Modules"
TypeName="*" Safe="True" />
</SafeControls>
使用するサーバーに基づいてカスタムhttpModulesを定義します。
MOSS 2007 (IIS 6)を使用している場合、次の記述をhttpModulesセクションに追加します。
<add name="CustHTTPModule" type="OES.Sharepoint.Modules.CustHTTPModule, OES.Sharepoint, Version=1.0.0.0, Culture=neutral, PublicKeyToken=68b08a2fa869dfdc " />
MOSS 2010 (IIS 7)を使用している場合、例9-3をassembliesセクションに、例9-4をmodulesセクション(最後の<remove>より後で最初の<add>より前の位置)に、それぞれ追加します。
カスタム・コンテンツを公開する必要がある仮想パスでPageParserPaths (SafeModeセクション)を更新します。カスタム・コンテンツは、ソリューションによって提供されるタグ・ライブラリを介して認可できます。例9-5に例を示します。
MOSSのPortalSiteMapProviderの詳細(例9-6を参照)をOracle Entitlements ServerのPortalSiteMapProviderの詳細(例9-7を参照)で更新します。
Oracle Entitlements ServerのカスタムPortalSiteMapProviderは、ナビゲーション・バー・アイテムを保護します。
例9-6 MOSSのPortalSiteMapProvider
<SiteMap>
<Providers>
…
<add name="GlobalNavigation" description="Provider for MOSS Global Navigation"
type="Microsoft.SharePoint.Publishing.Navigation.PortalSiteMapProvider,
Microsoft.SharePoint.Publishing, Version=14.0.0.0, Culture=neutral,
PublicKeyToken=71e9bce111e9429c" NavigationType="Combined" Version="14" />
<add name="CurrentNavigation" description="Provider for MOSS Current Navigation"
type="Microsoft.SharePoint.Publishing.Navigation.PortalSiteMapProvider,
Microsoft.SharePoint.Publishing, Version=14.0.0.0, Culture=neutral,
PublicKeyToken=71e9bce111e9429c" NavigationType="Current" Version="14" />
…
</Providers>
</SiteMap>
例9-7 Oracle Entitlements ServerのPortalSiteMapProvider
<SiteMap>
<Providers>
…
<add NavigationType="Combined" Version="1" description="Provider for MOSS
Global Navigation" name="GlobalNavigation"
type="OES.Sharepoint.Controls.OESPortalSiteMapProvider, OES.Sharepoint,
Version=1.0.0.0, Culture=neutral, PublicKeyToken=68b08a2fa869dfdc"/>
<add NavigationType="Current" Version="1" description="Provider for MOSS
Current Navigation" name="CurrentNavigation"
type="OES.Sharepoint.Controls.OESPortalSiteMapProvider, OES.Sharepoint,
Version=1.0.0.0, Culture=neutral, PublicKeyToken=68b08a2fa869dfdc"/>
…
</Providers>
</SiteMap>
IISサーバーを再起動して、前述の変更をIISサーバーに反映させます。
OESAuthorizationFeatureディレクトリをMOSS FEATURESディレクトリにコピーします。
MOSS 2007 (IIS 6)を使用している場合、$OES_CLIENT_HOME/oes_sm_instances/MOSS_SM_Name/lib/OESAuthorizationFeatureディレクトリをC:\Program Files\Common Files\Microsoft Shared\web server extensions\12\TEMPLATE\FEATURESディレクトリにコピーします。
MOSS 2010 (IIS 7)を使用している場合、$OES_CLIENT_HOME/oes_sm_instances/MOSS_SM_Name/lib/OESAuthorizationFeature2010ディレクトリをC:\Program Files\Common Files\Microsoft Shared\web server extensions\14\TEMPLATE\FEATURESディレクトリにコピーし、ディレクトリ名をOESAuthorizationFeatureに変更します。
次のいずれかのコマンドを使用して、指定したサイトにOESAuthorizationFeatureをインストールし、アクティブ化します。
OES認可機能は、「サイトの設定」→「すべてのサイト設定の変更」→「サイトの機能」に移動して、WebサイトごとおよびサブWebサイトごとに個別にアクティブ化できます。サブWebに対してアクティブ化した場合、サブWeb内部のすべてのWebページのすべてのWebパーツにアクセス制御を適用できます。
MOSS 2007 (IIS 6)を使用している場合、コマンド・プロンプトを開き、次のコマンドを実行します。
"C:\Program Files\Common Files\Microsoft Shared\web server extensions\12\BIN\STSADM.EXE" –o installfeature –name OESAuthorizationFeature "C:\Program Files\Common Files\Microsoft Shared\web server extensions\12\BIN\STSADM.EXE" –o activatefeature –name OESAuthorizationFeature –url http://alesw2k3:9581
MOSS 2010 (IIS 7)を使用している場合、コマンド・プロンプトを開き、次のコマンドを実行します。
"C:\Program Files\Common Files\Microsoft Shared\web server extensions\14\BIN\STSADM.EXE" –o installfeature –name OESAuthorizationFeature "C:\Program Files\Common Files\Microsoft Shared\web server extensions\14\BIN\STSADM.EXE" –o activatefeature –name OESAuthorizationFeature –url http://aleswin2k8:9581
IISサーバーを再起動します。
%OES_CLIENT_HOME%\oessm\mosssm\libディレクトリにあるMOSSResourceDiscovery.exeを使用して、SharePointサーバーのすべての保護されたリソースのリストを取得します。
|
注意: MOSSリソースは、Oracle Entitlements Serverのリソースに、階層的にマップされます。したがって、検出されたすべてのリソースをポリシー・ストアに定義する必要はありません。たとえば、10,000個のドキュメント名を個別にコピーするのではなく、これらのドキュメントが存在するフォルダの名前をコピーし、リソース名式(/lib/*など)を使用してポリシーを作成します。 |
この実行可能ファイルはMOSSセキュリティ・モジュールに含まれ、object1という名前のプレーン・テキスト・ファイルおよびdiscovered-jazn-data.xmlという名前のXMLファイルを生成します。MOSSリソースは両方のファイルで定義されます。MOSSResourceDiscovery.exe実行可能ファイルは、次の情報の入力を要求します。
ファイルを作成するディレクトリへのパス(c:\inetpub\wwwroot\wss\VirtualDirectories\9581\policyなど)。このディレクトリは事前に作成済である必要があります。
管理URLファイルが存在するディレクトリへのパス($OES_CLIENT_HOME/oessm/mosssm/adm/Discovery/AdmUrls.txtなど)。
Sharepoint ServerサイトURL (http://amw2k8:9581など)。URLの末尾にスラッシュ(/)を付けないでください。
MOSSアプリケーションを表すOracle Entitlements Serverアプリケーション・オブジェクトの名前(MossAppなど)。
Oracle Entitlements Serverリソース・タイプの名前。この値は常にMossResourceTypeである必要があります。
XMLファイルはポリシー移行ツールで使用できます。詳細は、13.5項「ポリシーの移行」を参照してください。テキスト・ファイルは、次の手順でリソースをOracle Entitlements Serverポリシー・ストアにインポートするために使用されます。
テキスト・ファイルをポリシー移行ツールmanage-policy.cmd|shの入力として使用して、MOSSリソースをOracle Entitlements Serverポリシー・ストアにインポートします。
manage-policy.cmd|shは、%OES_CLIENT_HOME%\oessm\binディレクトリにあります。このインポートにより、MOSSリソースがポリシー・ストアに追加されます。既存のMOSSアプリケーション(および関連するポリシー)は削除されません。入力値(アプリケーション名、リソース・タイプおよび生成されるリソース・ファイル)は、前述の手順でMOSSResourceDiscovery.exeで使用した入力と一致している必要があります。
manage-policy.cmd|shを実行する前に、スクリプトを次のように変更します。
ユーザー環境が反映されるようにOES_CLIENT_HOME変数とOES_INSTANCE_NAME変数を変更します。
付録A「ポリシー・ストア・サービス構成」の定義に従って、jps-config.xmlのポリシー・ストア属性を変更します。
このツールは1回のみ実行します。新しいリソースは、管理コンソールを使用して手動で作成します。
管理コンソールを使用してポリシーを配布します。
Oracle Service Bus (OSB)は、多数の分散サービス・エンドポイントを中央で管理および制御するように設計されています。Oracle Entitlements Serverを使用することで、企業はOSBランタイム・リソースへのアクセスを制御し、認可された後にのみそれらがアクセス可能になるようにできます。一般に、OSBランタイム・リソースは、isAccessAllowed()認可APIに渡されるリソースです。
|
注意: Oracle Entitlements Serverでは、OSBコンソールなど、OSB構成時に使用されるリソースは保護されません。 |
次の各項には、OSBリソース・オブジェクトの詳細とその値をOracle Entitlements Serverポリシー・オブジェクトにマップする方法の詳細が含まれています。
OSBランタイム・リソースはオブジェクトとして表されます。リソースを表すオブジェクトには、オブジェクトのコンテキスト(OSBプロジェクトまたはタスクなど)を表す値を定義するKEYS文字列配列が含まれます。OSBリソースを保護するには、認可ポリシーの定義に使用するOracle Entitlements Serverセキュリティ・オブジェクトを作成する際に、リソース・オブジェクトのKEYSに渡される値を反映する必要があります。OSBリソース・オブジェクトで定義されるKEYSのリストを次に示します。このOSBリソース・オブジェクトのタイプは常に<alsb-proxy-service>です。
proxyは、保護されるリソースに関連付けられたOSBプロキシ・サービスの名前を定義します。この値によって1つのOSBプロキシ・サービスが一意に識別されます。
pathは、OSBプロキシ・サービスへのフルパス(Project-name/Folder-nameなど)です。
Project-nameは、プロキシ・サービスが関連付けられているOSBプロジェクトの名前です。
Folder-nameは、プロキシ・サービスにオプションで定義されるディレクトリ構造です。/folder_name/sub_folder_nameのように、文字列セパレータ/を使用すると、複数のディレクトリを定義できます。
この値によって、proxyで参照されているOSBプロキシ・サービスと同じOSBプロキシ・サービスが一意に識別されます。
actionは、OSBプロキシ・サービスへのエントリがセキュアかどうかを定義し、次のいずれかの値が設定されます。
invokeはOSBプロキシ・サービスへのエントリに対するアクセス制御を表します。
wss-invokeはOSBプロキシ・サービスの操作へのエントリに対するセキュア・アクセス制御を表します。OSB Webサービス・セキュリティは、このアクションを使用して構成されます。
operationは、起動されるWebサービス操作の名前を定義します。actionがinvokeの場合、この値はnullです。
|
注意: OSBプロキシ・サービスでWebサービス・セキュリティを使用する場合、OSBはトランスポート・レイヤーとメッセージ・レイヤーでセキュリティ・チェックを実行します。OSBは、トランスポート・レイヤーではユーザーがプロキシ・サービスへのアクセスを許可されているかどうかを確認し、メッセージ・レイヤーではユーザーが指定されたプロキシ・サービス操作の実行を許可されているかどうかを確認します。したがって、トランスポート・レイヤーにユーザー情報が渡されない場合は、匿名ロールにアクセス権限を付与するポリシーを追加する必要があります。 |
OSBリソースのOracle Entitlements Serverポリシー・オブジェクトへのマッピングは、選択されたセキュアまたは非セキュアなアクションに応じて異なります。詳細は、9.3.2項「メッセージ・レベルOSBリソースのOracle Entitlements Serverへのマッピング」および9.3.3項「トランスポート・レベルなOSBリソースのOracle Entitlements Serverへのマッピング」を参照してください。
OSBリソース・オブジェクトでwss-invokeアクションが定義されている場合、適用可能なOSBプロキシ・サービスではOSB Webサービス・セキュリティが使用されます。SampleProxyServiceという名前のOSBプロキシ・サービスが、SampleProjectという名前のOSBプロジェクトに関連付けられ、OSB Webサービス・セキュリティを使用するように構成されていると仮定します。このサービス・リソースは、Mortgage/ProxyServiceフォルダにあります。したがって、KEYS値は次のようになります。
path: SampleProject/Mortgage/ProxyService
proxy: SampleProxyService
action: wss-invoke
operation: sayHello (Webサービス・アクションがsayHelloであるとします)
これらのKEYS値に基づいて、Oracle Entitlements Serverオブジェクト値は次のようになります。
アプリケーション - OSBリソースの保護に使用するアプリケーションの名前はalsbProxyServicesにする必要があります。
リソース・タイプ - この値は常にOSBオブジェクト・タイプalsb-proxy-serviceである必要があります。また、「リソース階層のサポート」パラメータの値としてyesを選択します。
|
注意: リソース・タイプalsb-proxy-serviceのアクションとしてwss-invokeを追加する必要はありません。ポリシーの操作のみ選択します。 |
リソース - SampleProject/Mortgage/ProxyService/SampleProxyService/sayHello (OSBリソース・オブジェクトのpath/proxy KEYS値の値に等しい値を使用します)
アクション - access (Action-accessはメッセージ・レベル・アクションです。)
OSBリソース・オブジェクトでinvokeアクションが定義されている場合、適用可能なOSBプロキシ・サービスではOSB Webサービス・セキュリティは使用されません。SampleProxyServiceという名前のOSBプロキシ・サービス・リソースが、SampleProjectという名前のOSBプロジェクトに関連付けられていると仮定します。このサービス・リソースは、Mortgage/ProxyServiceフォルダにあります。したがって、KEYS値は次のようになります。
path: SampleProject/Mortgage/ProxyService
proxy: SampleProxyService
action: invoke
operation: null
これらのKEY値に基づいて、OSB Webサービス・セキュリティで構成されていない場合、Oracle Entitlements Serverオブジェクト値は次のようになります。
アプリケーション - alsbProxyServices (OSBリソース・オブジェクトには定義済の値がないので、このデフォルト値が使用されます)
リソース・タイプ - この値は常にOSBオブジェクト・タイプalsb-proxy-serviceである必要があります。また、「リソース階層のサポート」パラメータの値としてyesを選択します。
リソース - SampleProject/Mortgage/ProxyService/SampleProxyService (OSBリソース・オブジェクトのpath/proxyの各KEYS値の値に等しい値を使用します)
アクション - transport_level_access(operationに値が設定されている場合はその値が使用され、設定されていない場合はOracle Entitlements Serverのデフォルト権限accessが使用されます)
OSBランタイム・リソースを保護するには、Oracle Entitlements Serverプロキシ・プロバイダも有効化する必要があります。これを実現する手順は、9.4.1項「WebLogic Serverとの統合」を参照してください。
WebLogic Serverセキュリティ・モジュールは、認可リクエストを受信する認可APIを提供するだけでなく、特定のOracle Entitlements Serverの認可プロバイダとロール・マッピング・プロバイダを構成した後にWebLogic Server固有のリソースを保護できます。次の主要な手順では、WebLogic Serverリソースを保護するタスクについて説明します。
認可プロバイダおよびロール・マッピング・プロバイダを有効化します。
9.4.1項「WebLogic Serverとの統合」を参照してください。
検出モードを使用して、保護されるリソースを検出します。
9.4.2項「WebLogic Serverリソースの検出」を参照してください。
WebLogic Server固有のリソースをOracle Entitlements Serverオブジェクトとして定義します。
9.4.3項「WebLogic Serverリソースの変換」と9.4.4項「WebLogic Serverリソースのポリシー・オブジェクトへのマッピング」を参照してください。
適切な認可ポリシーとロール・マッピング・ポリシーを構成します。
第4章「ポリシーとポリシー・オブジェクトの管理」を参照してください。
ポリシーをセキュリティ・モジュールに配布します。
第6章「ポリシー配布の管理」を参照してください。
1.3.2.2項「PDP/PEPの組合せとしてのセキュリティ・モジュール」で説明しているように、WebLogic Serverは、ロール・マッピングおよび認可プロバイダを有効化した後で、認可リクエストを自動的に捕捉できます。次の手順は、これを行う方法を説明します。ここでは、WebLogic Serverは、$DOMAINドメインの$WLSディレクトリにインストールされていることを前提としています。次の手順を実行する際は、インストールに合わせて値を置き換えてください。
次のコマンドを使用して、$DOMAINドメインを起動します。
$DOMAIN/startWeblogic.sh
認可プロキシおよびロール・マッピング・プロバイダを、ドメインを保護するレルムに追加します。
図9-1は、これを示すWebLogic Serverコンソールのスクリーンショットです。
ドメインを再起動します。
プロバイダを有効化したら、構成パラメータについてA.2.5項「WebLogic Serverセキュリティ・モジュール」を参照してください。
アプリケーションのリソースを保護するポリシーを作成する場合、保護される必要があるすべてのリソースは検出される必要があります。WebLogic Serverセキュリティ・モジュールを検出モードで実行し、(使用状況を追跡するために)1つ以上のユーザー・セッションを開くことによって、アプリケーションのリソースを定義できます。(検出モードは、認可するのではなく、保護されるオブジェクトを検出します。)ユーザー・セッション中に実行されたアクティビティに基づいて、Oracle Entitlements Serverは初期ポリシー・セット(保護されるすべてのリソースが定義されます)が生成されます。生成されたポリシー・セットは、ポリシー・ストアにインポートできます。
|
注意: 生成されたファイルは、アプリケーションを完全に保護するポリシー・セットを定義する出発点として機能するように作られています。詳細は次のとおりです。
|
リソース検出は、認可プロバイダおよびロール・マッピング・プロバイダが検出モードで実行されている場合に有効です。このモードでは、これらのプロバイダからユーザー・リクエストの評価結果として常にtrueが返され、それらのリクエストに対する初期ポリシー・ファイルが生成されます。検出モードでは、アプリケーション、リソース・タイプ(と対応するアクション)、リソース・タイプmatcherClass名およびリソースが検出される可能性があります。次の各項では、詳細を説明します。
デフォルトでは、検出モードはオフです。(jps-config.xmlで)oracle.security.jps.discoveryModeプロパティをtrueに設定すると、機能が有効になります。oracle.security.jps.discoveredPolicyDirプロパティのディレクトリ値を追加すると、ポリシー・セットの書込み先が定義されます。
|
注意: 検出モードでは、階層型リソース・タイプの親リソースは生成されません。検出されるすべてのリソース・タイプが階層型であることを管理者が知っている場合は、オプションのoracle.security.jps.discoveredResourceIsHierarchicalプロパティとoracle.security.jps.discoveredResourceNameDelimiterプロパティに適切な値を追加します。 |
これらの構成パラメータの詳細は、付録A『インストール・パラメータおよび構成パラメータ』を参照してください。
生成される検出モード・ファイルは、jazn-data.xmlスキーマに基づいた、例9-8に示す標準XMLポリシー・ストア・ファイルです。Oracle Entitlements Server APIを使用して、検出されたオブジェクトを、ポリシー・ストア内の認可ポリシー・オブジェクトとして作成します。詳細は、13.5項「ポリシーの移行」を参照してください。
例9-8 検出されたリソースのサンプル・ファイル
<?xml version = '1.0' encoding = 'UTF-8' standalone = 'yes'?>
<jazn-data xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:noNamespaceSchemaLocation=
"http://xmlns.oracle.com/oracleas/schema/jazn-data-11_0.xsd">
<policy-store>
<applications>
<application>
<name>addConfRes#V2.0</name>
<resource-types>
<resource-type>
<name>FileResourceType</name>
<matcher-class>oracle.security.jps.JpsPermission</matcher-class>
<actions-delimiter>,</actions-delimiter>
<actions>delete,write,read</actions>
</resource-type>
<resource-type>
<name>ResType1</name>=
<actions-delimiter>,</actions-delimiter>
<actions>write,read</actions>
</resource-type>
</resource-types>
<resources>
<resource>
<name>EmpInfo</name>
<type-name-ref>FileResourceType</type-name-ref>
</resource>
<resource>
<name>resource1</name>
<type-name-ref>ResType1</type-name-ref>
</resource>
</resources>
</application>
</applications>
</policy-store>
</jazn-data>
この項では、WebLogic Serverによってサポートされている様々なリソース・タイプをOracle Entitlements Serverで変換する方法およびOracle Entitlements Server管理コンソールでそれらを表す方法について説明します。WebLogic Serverリソースは、WebLogicセキュリティ・サービスが基礎となるWebLogic Serverエンティティを表すために作成するオブジェクトであり、誰がエンティティにアクセスできるのかを決定するために使用されます。
認可ポリシーでは、オブジェクトの中でも特に、トップレベルのアプリケーション、リソース・タイプおよび保護される実際のリソースが定義されます。このオブジェクトには、表9-4に記載されているオブジェクトが含まれる可能性があります。
表9-4 WebLogic Server認可ポリシー・オブジェクト
| ノード | 説明 |
|---|---|
|
アプリケーション |
アプリケーションは、リソースが関連付けられているアプリケーションに対応します。すべてのリソースが特定のアプリケーションに属するわけではありません。たとえば、JDBCリソースはアプリケーションに属していません。このような場合、アプリケーションの名前のかわりに |
|
リソース・タイプ |
リソース・タイプは、9.4.4項で定義されている、サポートされているWebLogic Serverリソース・タイプに対応します。リソース・タイプ名は、管理コンソールでリソース・タイプが作成される際に定義されます( |
|
リソース |
リソースは、保護されるリソース・タイプのインスタンスです。リソースは、階層型(すべての内容が保護されるディレクトリとして)または特定のファイルである可能性があります。リソース・インスタンスの作成元のリソース・タイプは、最初は階層型として定義される必要があります。 |
この項では、Oracle Entitlements Serverポリシー・オブジェクトを、共通の外部リソースに対して定義されたWebLogic Serverリソースにマップする方法について説明します。WebLogic Serverでサポートされるリソース・タイプ値には、adm、app、com、eis、ejb、jdbc、jms、jndi、ld、svr、url、webおよびwebservicesがあります。ここでは、次のリソース・タイプについて説明します。
Enterprise Java Bean (EJB)リソースの保護に使用するポリシーのオブジェクトを定義する場合、ポリシー・オブジェクトには、標準のEJBデプロイメント・ディスクリプタejb-jar.xmlで定義されている値に基づいて名前を付ける必要があります。例9-9は、AccountServiceという名前のEJBを定義する方法を示します。
例9-9 ejb-jar.xmlのEJBリソースの定義
<enterprise-beans>
<!-- Session Beans -->
<session>
<display-name>AccountService</display-name>
<ejb-name>AccountService</ejb-name>
<home>com.bea.security.examples.ejb.AccountServiceHome</home>
<remote>com.bea.security.examples.ejb.AccountService</remote>
<ejb-class>ejb.AccountServiceSession</ejb-class>
<session-type>Stateless</session-type>
<transaction-type>Bean</transaction-type>
</session>
</enterprise-beans>
表9-5では、EJBリソースで使用するポリシー・オブジェクトを定義する際に使用する必要があるマッピングを説明します。
表9-5 EJB定義のポリシー・オブジェクトへのマッピング
| ポリシー・オブジェクト名 | EJB定義 |
|---|---|
|
アプリケーション |
EJB名と同じ(この場合は |
|
リソース・タイプ |
値 |
|
リソース名 |
EJBメソッドはリソースURLの一部です。リソース・アクションは常に |
次のリストには、認可ポリシーで条件の一部として使用できる、JNDIリソースでサポートされている属性を示します。詳細は、4.6項「条件ビルダーの使用」を参照してください。
application: アプリケーションの名前
module: モジュールの名前
ejb: EJBの名前
method: メソッドの名前
methodインタフェース: 値としてHome、Remote、LocalHomeまたはLocalを使用します
ParamN: メソッドのN番目のパラメータの値(Param1、Param2…など)
|
注意: 条件ビルダーを使用する前に、まずOracle Entitlements Server管理コンソールで動的属性を作成する必要があります。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
Java Naming and Directory Interface (JNDI)ベースのリソースの保護に使用するポリシーのオブジェクトを定義する場合、ポリシー・オブジェクトには、WebLogic固有のデプロイメント・ディスクリプタweblogic-ejb-jar.xmlで定義されている値に基づいて名前を付ける必要があります。例9-10は、AccountServiceという名前のEJBにJNDI名を定義する方法を示します。
例9-10 weblogic-ejb-jar.xmlのJNDIリソースの定義
<weblogic-ejb-jar>
<weblogic-enterprise-bean>
<ejb-name>AccountService</ejb-name>
<stateless-session-descriptor></stateless-session-descriptor>
<reference-descriptor></reference-descriptor>
<jndi-name>AccountService</jndi-name>
</weblogic-enterprise-bean>
</weblogic-ejb-jar>
表9-6では、JNDIベースのリソースで使用するポリシー・オブジェクトを定義する際に使用する必要があるマッピングを説明します。
JNDIコールのアクションはJNDIアクション名です。次のいずれかの値を使用できます。
modifyは、アプリケーションでJNDIツリーになんらかの変更(追加、削除、変更)を行う場合に常に必要です。これには、bind()、rebind()、createSubContext()、destroySubContext()およびunbind()の各メソッドが含まれます。
lookupは、アプリケーションでJNDIツリーのオブジェクトをルックアップする場合に常に必要です。これには、lookup()メソッドとlookupLink()メソッドが含まれます。
listは、アプリケーションでJNDIのコンテキストのコンテンツをリストする場合に常に必要です。これには、list()メソッドとlistBindings()メソッドが含まれます。
次のリストには、認可ポリシーで条件の一部として使用できる、JNDIリソースでサポートされている属性を示します。詳細は、4.6項「条件ビルダーの使用」を参照してください。
application - 常にshared
path - JNDIリソース・パス
action - JNDIアクション名(modify | lookup | list)
|
注意: 条件ビルダーを使用する前に、まずOracle Entitlements Server管理コンソールで動的属性を作成する必要があります。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
URL (Web)リソースは、Webアプリケーションに関連する特定のWebLogic Serverリソースです。Webアプリケーションを保護するには、Web Application Archive (WAR)の認可ポリシーまたはWebアプリケーションの個別のコンポーネント(サーブレット、JSPなど)の認可ポリシーを作成します。表9-7は、URLリソースを保護する場合にOracle Entitlements Serverオブジェクトに名前を付ける方法を示します。これらの値は、Oracle Entitlements Server管理コンソールでオブジェクトが作成される際に定義されます。
表9-7 Oracle Entitlements ServerオブジェクトにマップされたURLリソース値
| OESオブジェクト名 | URLリソース値 |
|---|---|
|
アプリケーション |
値として、リソースである(またはリソースを含む)Webアプリケーション名(WebLogic Server構成ファイルで定義されている)を使用します( |
|
リソース・タイプ |
値として、サポートされているいずれかのリソース・タイプを使用します(この場合は |
|
リソースの親 |
値として、WebLogic Server構成ファイルで定義されているWebアプリケーションのコンテキスト・パスを使用します。次の例では、コンテキスト・パスが、最初の2つのポリシーでは |
|
リソース |
値としてコンテキスト・パスの後のリソースURIを使用します。この場合は |
URLリソースの認可ポリシーの作成方法を示すために、複数の銀行関連JSPからアクセス可能なWebリソースを保護する必要があると仮定します。WebLogic Server構成ファイルでは、Webアプリケーション名のbankappおよびコンテキスト・パスの/currencyExchange(最初の2つのポリシーの場合)と/mybroker(最後の2つのポリシーの場合)が参照されます。URLリソースの場合、アクション名はHTTPリクエスト・メソッド名(GET、POST、PUT、HEAD、DELETE、TRACE、CONNECTなど)にマップされます。
最初の認可ポリシーの例では、セキュア接続(HTTPS)経由でページがアクセスされている場合、任意の認可されていないユーザー(匿名)に現在の通貨交換レート(currentRates.jsp)を表示する権限が付与されます。管理コンソールを使用して次のオブジェクトを作成します。
アプリケーション = bankapp
リソース・タイプ = url
リソース = currencyExchange/currentRates.jsp
アクション = GET
ユーザー = anonymous (unauthorized)
条件 = if issecure=yes
GETアクションは認可ポリシーの一部であって、認可ポリシーのアクションではないことに注意してください。リソース・タイプに対して許可されるすべてのアクションは常に、リソース・タイプ・プロファイルの一部として定義されます。ポリシー・アクションは常にGRANTまたはDENYです。
2番目の認可ポリシーの例では、Managerロールの任意のメンバーがローカル・マシンからデータを更新する場合は、新しい通貨交換レートをポスト(postNewRates.jsp)する権限が付与されます。管理コンソールを使用して次のオブジェクトを作成します。
アプリケーション = bankapp
リソース・タイプ = url
リソース = currencyExchange/postNewRates.jsp
アクション = POST
ロール = Manager
条件 = if remotehost="localhost"
POSTアクションは認可ポリシーの一部であって、認可ポリシーのアクションではないことに注意してください。リソース・タイプに対して許可されるすべてのアクションは常に、リソース・タイプ・プロファイルの一部として定義されます。ポリシー・アクションは常にGRANTまたはDENYです。
3番目の認可ポリシーの例では、顧客の購買力が正の場合に、buyStocks.jspへのアクセス権が付与されます。顧客の購買力が正ではない場合、ページは表示されません。購入力を解読するために、顧客がbuyStocks.jspリンクをクリックすると、ブラウザによりJavaサーブレットにマップされたHTTPリクエストが送信されます。このリクエストは、サーブレットによってpurchasingPowerという名前のリクエスト属性が設定され、2番目のページに転送されます。このページでは、顧客のすべての口座から残高がフェッチされ、新しい株の購入に使用できる金額(購買力)が計算されて、purchasingPower属性に値が設定されます。管理コンソールを使用して次のオブジェクトを作成します。
アプリケーション = bankapp
リソース・タイプ = url
リソース = mybroker/buyStocks.jsp
アクション = GET
ロール = Client
条件 = if purchasingPower>0
GETアクションは認可ポリシーの一部であって、認可ポリシーのアクションではないことに注意してください。リソース・タイプに対して許可されるすべてのアクションは常に、リソース・タイプ・プロファイルの一部として定義されます。ポリシー・アクションは常にGRANTまたはDENYです。
4番目の認可ポリシーでは、(チェック・ボックスを選択することによって)取引契約に同意した場合にのみ顧客が口座を開くことが許可されます。openAccount.jspリンクをクリックした後、最初に表示されるページには取引契約が表示され、顧客に同意を求めます。チェック・ボックスは、customerAgreedという名前のHTMLフォーム・パラメータにリンクされています。顧客が取引契約に同意した場合、HTMLフォームがポストされたときに、このパラメータがtrueに設定されます。ポリシーでは、この値をcustomerAgreed HTTPリクエスト・パラメータで確認します。管理コンソールを使用して次のオブジェクトを作成します。
アプリケーション = bankapp
リソース・タイプ = url
リソース = mybroker/openAccount.jsp
アクション = POST
ロール = Client
条件 = if Not customerAgreed="true"
POSTアクションは認可ポリシーの一部であって、認可ポリシーのアクションではないことに注意してください。リソース・タイプに対して許可されるすべてのアクションは常に、リソース・タイプ・プロファイルの一部として定義されます。ポリシー・アクションは常にGRANTまたはDENYです。
表9-8に、認可ポリシーで条件の一部として使用できる、URLリソースでサポートされている動的属性を示します。詳細は、4.6項「条件ビルダーの使用」を参照してください。
表9-8 URLリソースによりサポートされている動的属性
| 属性名 | 説明 |
|---|---|
|
application |
Webアプリケーションの名前。 |
|
contextpath |
Webアプリケーションのコンテキスト・パス。 |
|
uri |
リソースのURI。 |
|
httpmethod |
HTTPメソッド(アクションと同じ)。 |
|
transporttype |
URLリソースにアクセスするために必要なトランスポート保証。デプロイメント・ディスクリプタの対応する<transport-guarantee>要素に表示されます。値はINTEGRALまたはCONFIDENTIALのどちらかです。 |
|
authtype |
サーブレットの保護に使用する認証スキームの名前。値はBASIC、FORM、CLIENT_CERTまたはDIGESTのいずれかです。 |
|
pathInfo |
クライアントがリクエストしたときに送信したURLに関連付けられている追加パス情報。 |
|
pathtranslated |
サーブレットの後から問合せ文字列の前までの追加情報が実際のパスに変換された値。 |
|
querystring |
リクエストURLのパスの後に含まれる問合せ文字列。 |
|
remoteuser |
ユーザーが認証済の場合、リクエストしたユーザーのログイン。 |
|
requestedsessionid |
クライアントが指定したセッションID。 |
|
requesturi |
このリクエストのURLのHTTPリクエストの1行目のプロトコル名から問合せ文字列までの部分。 |
|
requesturl |
クライアントがリクエストするために使用するURL。返されるURLには、プロトコル、サーバー名、ポート番号およびサーバー・パスが含まれますが、問合せ文字列パラメータは含まれません。 |
|
servletpath |
このリクエストのURLのサーブレットをコールする部分。 |
|
characterencoding |
リクエストの本体で使用される文字エンコーディング。 |
|
contenttype |
リクエストの本体のMIMEタイプ。 |
|
locale |
クライアントの優先ロケール。 |
|
protocol |
プロトコルの名前とバージョン(HTTP/1.1など)。 |
|
remoteaddr |
クライアントまたは最後にリクエストを送信したプロキシのインターネット・プロトコル・アドレス。 |
|
remotehost |
クライアントまたは最後にリクエストを送信したプロキシの完全修飾名。 |
|
scheme |
このリクエストのために使用したスキームの名前(http、httpsまたはftpなど)。 |
|
servername |
リクエストの送信先のサーバーのホスト名。 |
|
serverport |
リクエストの送信先のポート番号。 |
|
issecure |
このリクエストがセキュア・チャネル(HTTPSなど)を使用しているかどうかを示すブール値。 |
|
注意: 条件ビルダーを使用する前に、まずOracle Entitlements Server管理コンソールで動的属性を作成する必要があります。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
HTTPリクエストには、サーブレット属性、URL問合せパラメータ、HTTPリクエスト・ヘッダーおよびCookieなどの要素が含まれる可能性があります。これらの要素は名前と値のペアとして使用でき、動的属性にマップできます。
|
注意: サーブレット属性、URL問合せパラメータ、HTTPリクエスト・ヘッダーおよびCookieに対応する属性は大/小文字が区別されません。ただし、属性名は大/小文字が区別されると仮定すると、パフォーマンスがわずかですが向上します。 |
フレームワークが一致する属性を検索する順序は次のとおりです。
URL問合せパラメータ - URLに追加される名前と値のペア。URL問合せ文字列に含まれるパラメータに対応する属性名は、パラメータ名と同じです。名前は文字列として表され、大/小文字は区別されません。属性は、リクエスト内にエンコードされている問合せ文字列変数です。たとえば、URLに?test=endcoded%20charという問合せが含まれる場合、認可ポリシーの条件では"if test= "encoded char"としてパラメータにアクセスできます。
サーブレット属性 - サーブレット・コンテナにより内部的にリクエストに追加できる名前と値のペア。それを実現するには、通常はServletRequestインタフェースのsetAttributeメソッドをコールします。ポリシー属性名はサーブレット属性の名前に一致し、文字列として表され、大/小文字は区別されません。
HTTPリクエスト・ヘッダー - HTTPリクエスト・ヘッダーの属性名はヘッダーの名前に一致します。名前は文字列として返され、大/小文字は区別されません。使用可能なヘッダーの例として、date、if-modified-since、referrerまたはuser-agentがあります。(dateヘッダーは通常は日付タイプですが、文字列として返されます。)
Cookies - HTTPリクエストのCookieに一致する属性名はリクエストのCookie名と同じです。名前は文字列として返され、大/小文字は区別されません。返されるCookieの値はアプリケーション固有であり、さらにデコードする必要がある可能性があります。
|
注意: サーブレット属性、URL問合せパラメータ、HTTPリクエスト・ヘッダーまたはCookieの名前が衝突する場合、ポリシーの制約では1つの属性のみ使用可能です。 |
Java Database Connectivity (JDBC)リソースは、JDBCに関連するWebLogic Serverリソースです。サービスまたはアプリケーションとしてデプロイされているJDBCリソースを保護できます。JDBCデータベース・アクセスを保護するには、すべてのデータソースに対して集団的、個別のデータソースおよび複数のデータソースに認可ポリシーを作成します。例9-11に、MyJDBCConnectionPoolという名前のJDBCリソースをWebLogic Server構成ファイルconfig.xmlで定義する方法を示します。
例9-11 config.xmlのJDBCリソースの定義
<JDBCConnectionPool DriverName="oracle.jdbc.driver.OracleDriver"
Name="MyJDBCConnectionPool"
PasswordEncrypted="{3DES}B2Bl+tp70Eh3D1pT53/anw=="
Properties="user=wles" Targets="myserver"
TestTableName="SQL SELECT 1 FROM DUAL"
URL="jdbc:oracle:thin:@localhost:1521:ASI"/>
<JDBCTxDataSource JNDIName="MyDataSource"
Name="MyJDBCDataSourceName"
PoolName="MyJDBCConnectionPool"
Targets="myserver"/>
表9-9は、JDBCリソースMyJDBCConnectionPoolを保護する場合にOracle Entitlements Serverオブジェクトに名前を付ける方法を示します。これらの値は、Oracle Entitlements Server管理コンソールでオブジェクトが作成される際に定義されます。
表9-9 Oracle Entitlements ServerオブジェクトにマップされたJDBC値
| OESオブジェクト名 | JDBC値 |
|---|---|
|
アプリケーション |
JDBCリソースは特定のアプリケーションには属しません。このような場合、アプリケーションの名前のかわりに |
|
リソース・タイプ |
値として、サポートされているいずれかのリソース・タイプを使用します(この場合は |
|
リソースの親 |
値として、モジュール名(存在する場合)とプール・タイプ(ConnectionPoolまたはMultiPool、この場合はConnectionPool)を使用します。 |
|
リソース |
値として、 |
Oracle Entitlements Serverを使用するJDBCリソースのポリシー・オブジェクトの作成方法を示すために、ExternalApplicationロールのメンバーにExternalDataPoolという名前の接続プールのJDBC接続をreserveする(開く)権限を付与する必要があると仮定します。管理コンソールを使用して次のオブジェクトを作成します。
アプリケーション = shared
リソース・タイプ = jdbc
リソース = ConnectionPool/ExternalDataPool
アクション = reserve
次に示す2番目のオブジェクト・グループは、管理ロールのメンバーに、SystemJdbcPoolという名前のリソースを除く任意のJDBCリソースをシャットダウンする権限を付与するポリシーで使用されます。管理コンソールを使用して次のオブジェクトを作成します。
アプリケーション = shared
リソース・タイプ = jdbc
リソース = ConnectionPool/ExternalDataPool
アクション = admin
条件 = if Not resource="SystemJdbcPool"
reserveアクションとadminアクションは認可ポリシーの一部であって、認可ポリシーのアクションではないことに注意してください。リソース・タイプに対して許可されるすべてのアクションは常に、リソース・タイプ・プロファイルの一部として定義されます。ポリシー・アクションは常にGRANTまたはDENYです。表9-10では、JDBCリソースに対して実行でき、そのためにリソース・タイプのアクションとして定義する必要がある特定のアクションについて説明します。
表9-10 JDBCリソースのアクション・オプション
| アクション名 | 操作 |
|---|---|
|
admin |
管理操作(clearStatementCache、suspend、forceSuspend、resume、shutdown、forceShutdown、start、getPropertiesおよびpoolExistsなど)を実行するためのアクション。 |
|
reserve |
データソースをルックアップしてgetConnectionをコールすることによってデータソースで接続を予約するアクション。 |
|
shrink |
データソースの接続数を縮小するアクション。 |
|
reset |
すべての物理データベース接続をシャットダウンして再確立することによって、データソース接続をリセットするアクション。 |
例9-12は、事前定義済JDBCリソースを使用するサンプル・コードです。データソース・インスタンスのgetConnection()メソッドをコールします。これにより認可の確認が開始され、//app/policy/AppParentNode/shared/jdbc/ConnectionPool/MyJDBCConnectionPoolリソースに対するreserveアクションが確認されます。
例9-12 JDBCリソースに対する認可の開始
javax.naming.InitialContext initialContext = new javax.naming.InitialContext();
javax.sql.DataSource ds = (javax.sql.DataSource)
initialContext.lookup("MyDataSource");
java.sql.Connection conn = ds.getConnection();
PreparedStatement statement =
conn.prepareStatement("SELECT accountName FROM accounts WHERE balance < 0");
ResultSet result = statement.executeQuery();
if (result.next()) {
String accountName = result.getString(1);
System.out.println("The first account with negative balance is " + accountName);
}
表9-11に、認可ポリシーで条件の一部として使用できる、JDBCリソースでサポートされている動的属性を示します。詳細は、4.6項「条件ビルダーの使用」を参照してください。
表9-11 JDBCリソースによりサポートされている動的属性
| 属性名 | 要素 |
|---|---|
|
application |
リソースをホストするアプリケーションの名前 |
|
module |
リソースが属するモジュールの名前 |
|
category |
リソース・タイプ(ConnectionPool | MultiPool) |
|
resource |
リソースの名前 |
|
action |
JDBC操作名(admin | reserve | shrink | reset) |
|
注意: 条件ビルダーを使用する前に、まずOracle Entitlements Server管理コンソールで動的属性を作成する必要があります。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
Java Messaging Service (JMS)リソースは、JMSに関連するWebLogic Serverリソースです。サービスまたはアプリケーションとしてデプロイされているJMSリソースを保護できます。JMS宛先を保護するには、すべての宛先(JMSキューとJMSトピック)に対して集団的または個別(JMSサーバー上の1つのJMSキューまたはJMSトピック)に認可ポリシーを作成します。表9-12は、JMSリソースを保護する場合にOracle Entitlements Serverオブジェクトに名前を付ける方法を示します。これらの値は、Oracle Entitlements Server管理コンソールでオブジェクトが作成される際に定義されます。
表9-12 Oracle Entitlements ServerオブジェクトにマップされたJMS値
| OESオブジェクト名 | JMS値 |
|---|---|
|
アプリケーション |
JMSリソースは特定のアプリケーションには属しません。このような場合、アプリケーションの名前のかわりに |
|
リソース・タイプ |
値として、サポートされているいずれかのリソース・タイプを使用します(この場合は |
|
リソースの親 |
宛先タイプ(topicまたはqueue) |
|
リソース |
リソース名 |
例9-13では、MyJMSQueueという名前のJMSキューをWebLogic Server構成ファイルconfig.xmlで構成します。
例9-13 config.xmlのJMSキュー・リソースの定義
<JMSServer Name="WSStoreForwardInternalJMSServermyserver"
Store="FileStore" Targets="myserver">
<JMSQueue CreationTime="1150241964468"
JNDIName="JMSQueue" Name="MyJMSQueue"/>
</JMSServer>
<JMSConnectionFactory JNDIName="JmsConnectionFactory"
Name="MyJMSConnectionFactory" Targets="myserver"/>
例9-14は、事前宣言済JMSキューを使用するJMSクライアントを示します。クライアントは、MyJMSQueueにテキスト・メッセージを送信します。
例9-14 JMSクライアントの例
//Instantiate the inital context
javax.naming.InitialContext initialContext = new javax.naming.InitialContext();
//Look up the JMS connection factory and the message queue
Queue messageQueue = (Queue) initialContext.lookup("JMSQueue");
JMSConnectionFactory factory =
(JMSConnectionFactory) initialContext.lookup("JmsConnectionFactory");
//Create the queue connection and session
QueueConnection queueConnection = factory.createQueueConnection();
QueueSession session =
queueConnection.createQueueSession(false, Session.AUTO_ACKNOWLEDGE);
//Create a text message
TextMessage textMessage = session.createTextMessage();
textMessage.setText("Hello from the client!");
//Send message to the queue
QueueSender sender = session.createSender(messageQueue);
sender.send(textMessage);
JMSリソースの認可ポリシーの作成方法を示すために、クライアント・ロールのメンバーにFeedbackQueueという名前のJMSキューにメッセージを送信する権限を付与する必要があると仮定します。管理コンソールを使用して次のオブジェクトを作成します。
アプリケーション = shared
リソース・タイプ = jms
リソース = queue/FeedbackQueue
アクション = send
ロール = Client
次の2番目の認可ポリシーでは、FeedbackProcessorユーザーにFeedbackQueueという名前のJMSキューからメッセージを受信する権限を付与します。
アプリケーション = shared
リソース・タイプ = jms
リソース = queue/FeedbackQueue
アクション = send
ユーザー = myusers/FeedbackProcessor
アクション(sendとreceive)は認可ポリシーの一部であることに注意してください。ポリシーの結果は常にGRANTまたはDENYです。表9-13では、JMSリソースに対して実行できる特定のアクションについて説明します。
表9-13 JMSリソースのアクション・オプション
| アクション | 説明 |
|---|---|
|
send |
キューまたはトピックにメッセージを送信するために必要です。これには、 |
|
receive |
キューまたはトピックにコンシューマを作成するために必要です。これには、 |
|
browse |
QueueBrowserインタフェースを使用してキューのメッセージを表示するために必要です。 |
表9-14に、認可ポリシーで条件の一部として使用できる、JMSリソースでサポートされている属性を示します。詳細は、4.6項「条件ビルダーの使用」を参照してください。
表9-14 JMSリソースによりサポートされている動的属性
| 属性名 | 説明 |
|---|---|
|
application |
リソースをホストするアプリケーションの名前 |
|
destinationtype |
JMS宛先タイプ(queue | topic) |
|
resource |
リソースの名前 |
|
action |
JDBC操作名(send | receive | browse) |
|
注意: 条件ビルダーを使用する前に、まずOracle Entitlements Server管理コンソールで動的属性を作成する必要があります。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
Webサービス・リソースは、Webサービスに関連するWebLogic Serverリソースです。Webサービスを保護するには、Webサービス・リソース全体、Webサービス・リソース操作のサブセット、Webサービス・リソースを実装しているステートレス・セッションEJB、またはステートレス・セッションEJB内のメソッドのサブセットに対する認可ポリシーを作成します。例9-15に、BasicWS_Componentという名前のWebサービス実装が含まれるBasicWSという名前のWebアプリケーションの構成を示します。
例9-15 Webアプリケーションの構成
<application Name="BasicWS"
Path="applications/BasicWS.ear"
StagedTargets="myserver"
<WebServiceComponent Name="BasicWS_Component"
Targets="myserver"
URI="BasicWS.war"/>
</application>
例9-16に、BasicWS.ear内のapplication.xmlファイルのWebアプリケーション・コンテキストの定義を示します。
例9-16 Webアプリケーション・コンテキストの構成
<module>
<web>
<web-uri>basic_javaclass.war</web-uri>
<context-root>myservices</context-root>
</web>
</module>
例9-17に、HelloWorldという名前のWebサービスの構成を示します。これは、WebアプリケーションWARファイル内のweb-services.xmlディスクリプタ・ファイルで定義されています。
例9-17 Webサービスの構成
<web-services>
<web-service useSOAP12="false"
name="HelloWorld"
style="rpc"
uri="/HelloWorld">
<operations>
<operation name="sayHello"
method="sayHello(int,java.lang.String)"/>
</operations>
</web-service>
</web-services>
表9-15は、Webリソースを保護する場合にOracle Entitlements Serverオブジェクトに名前を付ける方法を示します。これらの値は、Oracle Entitlements Server管理コンソールでオブジェクトが作成される際に定義されます。
表9-15 Oracle Entitlements ServerオブジェクトにマップされたWebサービス値
| OESオブジェクト名 | Webサービス値 |
|---|---|
|
アプリケーション |
|
|
リソース・タイプ |
値として、サポートされているいずれかのリソース・タイプを使用します(この場合は |
|
リソースの親 |
値として、 |
|
リソース |
|
HelloWorld WebサービスでsayHello()メソッドをコールするには、クライアントにアクションsayHelloが付与されている必要があります。一部のクライアントは、Webサービスを定義するWeb Services Definition Language (WSDL)ファイルへのアクセス権も必要になる可能性があります。WSDLファイルは、URLリソースとして定義されます。例9-18は、sayHello()メソッドをコールする前にクライアントが定義されたURLにあるWSDLファイルにアクセスできるコードです。
例9-18 WSDLにアクセスするクライアント・コード
String wsdlUrl = "http://localhost:7001//HelloWorld?WSDL"; HelloWorld service = new HelloWorld_Impl(wsdlUrl); HelloWorldPort port = service.getHelloWorldPort(); String result = port.sayHello(34, "Josh");
このコードを正常に実行するには、クライアントにWSDLファイル(URLリソース)に対するGET権限が付与されている必要があります。(URLの場合、リソース名が小文字であることに注意してください。)また、クライアントにWebサービス・リソースに対するGET権限が付与されている必要があります。(Webサービスの場合、リソース名は先頭文字が大文字であることに注意してください。)管理コンソールを使用してURLリソース認可ポリシーの次のオブジェクトを作成します。
アプリケーション = BasicWS
リソース・タイプ = url
リソース = myservices/helloworld
アクション = GET
ロール = SomeUser
管理コンソールを使用してWebサービス・リソース認可ポリシーの次のオブジェクトを作成します。
アプリケーション = BasicWS
リソース・タイプ = webservices
リソース = myservices/HelloWorld
アクション = sayHello
ロール = SomeUser
アクション(GETとsayHello)は認可ポリシーの一部であることに注意してください。ポリシーの結果は常にGRANTまたはDENYです。
表9-16に、認可ポリシーで条件の一部として使用できる、Webサービス・リソースでサポートされている属性を示します。詳細は、4.6項「条件ビルダーの使用」を参照してください。
表9-16 Webサービス・リソースによりサポートされている動的属性
| 属性名 | 説明 |
|---|---|
|
application |
アプリケーション名 |
|
contextpath |
Webアプリケーションのコンテキスト・パス |
|
webservice |
Webサービスの名前 |
|
method |
コールされるWebサービス操作の名前 |
|
Param |
メソッドの |
|
注意: 条件ビルダーを使用する前に、まずOracle Entitlements Server管理コンソールで動的属性を作成する必要があります。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
サーバー・リソースにより、WebLogic Serverインスタンスの状態を制御できるユーザーが決まります。ユーザーがJavaコマンドでweblogic.Serverクラスを起動することによってサーバー・インスタンスを起動する場合、サーバー・リソースに対するポリシーは、実行される唯一のセキュリティ・チェックです。ドメイン内のすべてのWebLogic Serverインスタンスまたは個別のサーバーに適用される認可ポリシーを作成できます。例9-19は、myserverという名前のWebLogic Serverインスタンスの構成例です。
例9-19 WebLogic Serverインスタンスの構成
<Server ListenAddress=""
ListenPort="7001"
Machine="mymachine"
Name="myserver"
NativeIOEnabled="true"
ReliableDeliveryPolicy="RMDefaultPolicy"
ServerVersion="8.1.5.0">
<SSL Enabled="false" HostnameVerificationIgnored="false"
IdentityAndTrustLocations="KeyStores" Name="myserver"/>
</Server>
表9-17は、サーバー・リソースを保護する場合にOracle Entitlements Serverオブジェクトに名前を付ける方法を示します。これらの値は、Oracle Entitlements Server管理コンソールでエンティティが作成される際に定義されます。
表9-17 Oracle Entitlements Serverオブジェクトにマップされたサーバー・リソース値
| OESオブジェクト名 | サーバー・リソース値 |
|---|---|
|
アプリケーション |
サーバー・リソースは特定のアプリケーションには属しません。このような場合、アプリケーションの名前のかわりに |
|
リソース・タイプ |
値として、サポートされているいずれかのリソース・タイプを使用します(この場合は |
|
リソース |
サーバー・インスタンス名。 |
サーバー・リソースの認可ポリシーの作成方法を示すために、管理ロールのメンバーにすべてのWebLogic Serverインスタンスをブートする権限を付与する必要があると仮定します。管理コンソールを使用して次のオブジェクトを作成します。
アプリケーション = shared
リソース・タイプ = svr
リソース = /lib/*
アクション = boot
ロール = Admin
次の2番目の認可ポリシーでは、管理ロールのメンバーにCentralServerという名前のWebLogic Serverインスタンスをシャットダウンまたは一時停止する権限を付与します。ポリシーは、権限が日曜日または他の曜日の午前2時から午前4時までの間のみ付与されるという点で制約されています。
アプリケーション = shared
リソース・タイプ = svr
リソース = CentralServer
アクション = shutdown / suspend
ロール = Admin
条件 = 日曜日または他の曜日の午前2時から午前4時までの間のみ
アクション(bootとshutdown/suspend)は認可ポリシーの一部であることに注意してください。ポリシーの結果は常にGRANTまたはDENYです。表9-18では、サーバー・リソースに対して実行できる特定のアクションについて説明します。
表9-18 サーバー・リソースのアクション・オプション
| アクション | 説明 |
|---|---|
|
boot |
管理サーバーまたは管理対象サーバーのどちらかのWebLogic Serverインスタンスを起動するために必要なアクション |
|
shutdown |
管理サーバーまたは管理対象サーバーのどちらかの実行中のWebLogic Serverインスタンスをシャットダウンするために必要なアクション |
|
suspend |
管理サーバーまたは管理対象サーバーのどちらかの実行中のWebLogic Serverインスタンスに対する他のログイン(特権管理アクション以外を目的とするログイン)を禁止するために必要なアクション |
|
resume |
管理サーバーまたは管理対象サーバーのどちらかの実行中のWebLogic Serverインスタンスへの非特権ログインを再度有効化するために必要なアクション |
表9-19に、認可ポリシーで条件の一部として使用できる、サーバー・リソースでサポートされている属性を示します。詳細は、4.6項「条件ビルダーの使用」を参照してください。
表9-19 サーバー・リソースによりサポートされている動的属性
| 属性名 | 説明 |
|---|---|
|
server |
リソースが関連付けられているサーバーの名前 |
|
action |
サーバー・インスタンスに対して実行される操作の名前(boot | shutdown | suspend | resume) |
|
注意: 条件ビルダーを使用する前に、まずOracle Entitlements Server管理コンソールで動的属性を作成する必要があります。詳細は、4.5.9項「属性および関数を拡張として管理」を参照してください。 |
Oracle Entitlements Serverは、Oracle WebCenter Contentと統合して、Enterprise Content Managementに対して高いパフォーマンスのファイングレイン・アクセス・コントロールを提供できます。
Oracle WebCenterコンテンツには、ドキュメント管理、Webコンテンツ管理、デジタル資産管理およびレコードと保存の管理を配布するための統合されたアプリケーションがあります。製品のスイートは、従業員、顧客およびパートナが世界中のあらゆる場所で協業、貢献およびビジネス・コンテンツにアクセスできる柔軟、堅固でスケーラブルなコンテンツ管理ソリューションです。Oracle WebCenter Contentは、スプレッドシート、契約、販売資料、CAD図面、デジタル資産、レコードおよびカタログなどのコンテンツを、効率的に管理できるWebに取り込むことで、企業が情報および知的財産の価値を最大限に活かせるようにします。
Oracle Entitlements Server (OES)は、アプリケーション、サービス指向アーキテクチャ(SOA)およびデータベースの各環境でリアルタイムのファイングレイン認可を可能にする、標準ベースのポリシー駆動型のセキュリティ・ソリューションです。Oracle Entitlements Serverは、アクセス・コントロールの詳細で、柔軟で具体化した要件を満たします。ソリューションは、分散実行または集中実行によってアクセス・ポリシーを管理する総合的で集中化したアプローチを提供します。認可ポリシー管理および実行時の強制実行は、機密アプリケーション、データベース、コンテナ(Java™、.NETなど)、ポータルとコンテンツ管理システム、開発フレームワーク、開発フレームワーク、オブジェクト関連マッピング・テクノロジ、中間物(XMLゲートウェイおよびESBなど)、WebサービスおよびSOAインフラストラクチャ用に提供されています。
Oracle WebCenter ContentおよびOracle Entitlements Server統合では、Oracle Entitlements ServerはRBACポリシーおよびABACポリシーを使用してOracle WebCenter Contentに管理されているすべてのコンテンツに対して認可エンジンとして稼働できます。ユーザー属性、ロール・メンバーシップ、グループ・メンバーシップおよびその他の関連する属性を入力してこれらのポリシーを実行するために、Oracle Entitlements Serverは既存のユーザー属性リポジトリを活用し、Oracle WebCenter Contentのコンテンツに対する大まかなアクセスおよびきめ細やかなアクセスを実現します。企業は、Oracle WebCenter Content内で複雑なセキュリティ・グループおよびアカウントの大規模な置換や管理を要求しなくなります。統合によって、企業はセキュリティ・グループおよびアカウントのみに基づくOracle WebCenter Contentのネイティブ・モデルのかわりに、ユーザー、リソースおよびコンテンツ・メタデータ属性を組み込むリッチ・ポリシーを活用できるようになります。
統合後に、Oracle Entitlements Serverは、表9-20に要約されている制御を提供します。
表9-20 Oracle WebCenter Contentのサポートされているドキュメントの操作
| WebCenter Contentのドキュメントの操作 | 説明 | Oracle Entitlements Serverの制御 |
|---|---|---|
|
チェックイン |
ドキュメントの新しいリビジョンの作成 |
ドキュメントのチェックイン操作の実行者 |
|
新規チェックイン |
新しいドキュメントのアップロード |
新しいドキュメントのチェックイン操作の実行者 |
|
類似をチェックイン |
新規チェックインと同様です。前回の新しいドキュメントのアップロードで設定されたプロパティを継承 |
チェックインと同様のドキュメント操作の実行者 |
|
チェックアウト |
変更のための既存ドキュメントのチェックアウト |
ドキュメントのチェックアウト操作の実行者 |
|
チェックアウトを元に戻す |
チェックアウト済ドキュメントの破棄 |
ドキュメントのチェックアウト操作の破棄の実行者 |
|
削除 |
ドキュメントのリビジョンの削除 |
ドキュメントの削除操作の実行者 |
|
更新 |
ドキュメントのメタデータまたは属性の更新 |
ドキュメントの更新操作の実行者 |
|
検索 |
ドキュメントの検索操作の実行 |
ドキュメント検索結果でユーザーに表示される結果 |
|
読取り |
ドキュメントのコンテンツの読取り |
ドキュメントの読取り操作の実行者 |
|
ダウンロード |
ドキュメントのダウンロード |
ドキュメントのダウンロード操作の実行者 |
この章では、Oracle Entitlements ServerおよびOracle WebCenter Contentの統合に関連するディレクトリの変数を参照する際に次の用語を使用します。
MW_HOME: Oracle WebLogic Serverホーム、およびオプションでOracle Commonホームおよび1つ以上のFusion Middlewareスイート固有のOracleホームのコンテナ。Oracle WebLogic Serverをインストールすると、Oracle WebLogic Server Installerによってミドルウェア・ホーム・ディレクトリ(MW_HOME)が作成されます。このディレクトリには、Oracle WebLogic Serverホーム・ディレクトリ(WL_HOME)、およびFusion Middleware ControlとJava Required Files (JRF)に必要なバイナリ・ファイルとライブラリ・ファイルが格納されたOracle共通ホーム・ディレクトリ(ORACLE_COMMON_HOME)があります。
IAM_Home: Oracle Identity Manager、Oracle Access Management、Oracle Adaptive Access Manager、Oracle Entitlements Server、Oracle Identity Navigator、Oracle Privileged Account ManagerおよびOracle Access Management Mobile and Socialが含まれるMiddlewareホームで作成されるOracleホーム・ディレクトリ。このOracleホーム・ディレクトリには任意の名前を指定できます。
ORACLE_HOME: 特定のOracle Fusion Middlewareソフトウェア・スイートに必要なバイナリ・ファイルおよびライブラリ・ファイルが含まれるホーム・ディレクトリ。
MW_HOME/Oracle_ECM1: デフォルトのWebCenter ContentのOracleホーム。
WCC_DOMAIN_HOME: アプリケーション・サーバー上で実行するためにOracle WebCenter Contentアプリケーションがデプロイされる、ユーザー指定のディレクトリ。WCC_DOMAIN_HOME/ucm/cs/binディレクトリには実行可能ファイルがあります。WCC_DOMAIN_HOMEのデフォルトの場所はMW_HOME/user_projects/domains/base_domainですが、このパスとドメイン名(base_domain)は、アプリケーション・サーバーにOracle WebCenter Contentアプリケーションをデプロイするときに変更できます。
OES_CLIENT_HOME: OESクライアントがインストールされているOracleホーム・ディレクトリ。
RCU_HOME: リポジトリ作成ユーティリティ(RCU)の一時的なステージング・ディレクトリ。
表9-21は、Oracle WebCenter ContentおよびOracle Entitlements Serverの統合のための大まかなタスクをリストしたものです。
表9-21 統合ロードマップ
| 番号 | タスク | 情報 |
|---|---|---|
|
前提条件 |
||
|
1 |
システム要件および動作保証を確認します |
詳細は、「システム要件および動作保証の確認」を参照してください。 |
|
2. |
Oracle Databaseをインストールします。 |
詳細は、「Oracle Databaseのインストール」を参照してください。 |
|
3. |
Oracle WebLogic ServerのインストールおよびOracleミドルウェア・ホームを作成します。 |
詳細は、「Oracle WebLogic ServerのインストールとOracleミドルウェア・ホームの作成」を参照してください。 |
|
4. |
WebLogicホームにOracle Identity and Access Management Suite 11g R2PS3をインストールします。 |
詳細は、「WebLogicホームへのOracle Identity and Access Management Suite 11g R2PS3のインストール」を参照してください。 |
|
5. |
Oracle Entitlements Serverクライアント・ソフトウェアを取得します。 |
詳細は、「Oracle Entitlements Serverクライアント・ソフトウェアの取得」を参照してください。 |
|
6. |
Oracle Entitlements Serverクライアントをインストールします。 |
詳細は、「Oracle Entitlements Serverクライアントのインストール」を参照してください。 |
|
WebCenter Contentのベース・インストール |
||
|
7. |
WebCenter Content 11.1.1.8をインストールおよび構成します。 |
詳細は、「Oracle WebCenter Contentクライアントのインストール」を参照してください。 |
|
8. |
リポジトリ作成ユーティリティを使用してOracle WebCenter Contentスキーマを作成します。 |
詳細は、「Oracle WebCenter Contentスキーマの作成」を参照してください。 |
|
9. |
Oracle WebCenterドメインを作成します。 |
詳細は、「WebCenterドメインの作成」を参照してください。 |
|
10. |
WebCenterドメインでのサーバーを起動します。 |
詳細は、「WebCenterドメインでのサーバーの起動」を参照してください。 |
|
11. |
WebCenter Contentを構成します。 |
詳細は、「WebCenter Contentクライアントの構成」を参照してください。 |
|
Oracle Entitlements Serverの構成 |
||
|
12. |
RCUを実行してOPSSスキーマを作成します。 |
詳細は、「OPSSスキーマを作成するためのRCUの実行」を参照してください。 |
|
13. |
OESドメインを作成します。 |
詳細は、「IDM構成ウィザードを使用したOESドメインの作成」を参照してください。 |
|
セキュリティ・ストアの構成 |
||
|
14. |
Oracle Entitlements Server管理サーバーのセキュリティ・ストアを構成します。 |
詳細は、「セキュリティ・ストア構成ツールを使用したOESセキュリティ・ストアの構成」を参照してください。 |
|
Oracle Entitlements ServerおよびWCC統合 |
||
|
15. |
WCCとOESを統合します。 |
詳細は、「WebCenter ContentとOESの統合」を参照してください。 |
|
16. |
WCCドメインのconfig.cfgファイルの更新 |
詳細は、「WCCドメインのconfig.cfgの更新」を参照してください。 |
|
17. |
JREに権限を追加します |
詳細は、「WebCenter Content Version 11.1.1.7.0以前のJREへの権限の追加」を参照してください。 |
|
18. |
WCC-OESコネクタをインストールします。 |
詳細は、「WCC-OESコネクタのインストール」を参照してください。 |
|
統合後 |
||
|
19. |
アプリケーション、リソース・タイプ、リソースおよびポリシーを作成します。 |
詳細は、「アプリケーション、リソース・タイプ、リソースおよびポリシーの作成」を参照してください。 |
|
20. |
統合が機能していることを確認します。 |
詳細は、「Oracle WebCenter Contentの動作確認」を参照してください。 |
Oracle WebCenter ContentおよびOracle Entitlements Serverを統合する前に、依存コンポーネントを含む必要なすべてのコンポーネントをインストールし、後に続く統合タスクに備えて環境を構成しておく必要があります。
この項では、次の項目について説明します。
9.5.4.3項「Oracle WebLogic ServerのインストールとOracle Middlewareホームの作成」
9.5.4.4項「WebLogicホームへのOracle Identity and Access Management Suite 11g R2PS3のインストール」
インストールを実行する前に、 システム要件および動作保証のドキュメントを読み、インストールする製品の最小インストール要件を環境が満たしていることを確認します。
Oracle Identity and Access Management用Oracle Fusion Middlewareのシステム要件と仕様
このドキュメントには、ハードウェアとソフトウェアの要件、最小ディスク領域とメモリーの要件、および必要なシステム・ライブラリ、パッケージまたはパッチに関する情報が含まれます。
Oracle Fusion Middlewareのサポートされるシステム構成
このドキュメントには、サポートされるインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDKおよびサード・パーティ製品に関する情報が含まれます。
インストール時に発生する可能性がある相互運用性および互換性の問題については、『Oracle Identity and Access Management相互運用および互換性ガイド』を参照してください。
Oracle Fusion Middleware製品が旧バージョンの他のOracle Fusion Middleware、Oracleまたはサード・パーティ製品と機能するために重要な情報がこのマニュアルに記載されています。この情報は、既存の環境をアップグレードする既存ユーザーと新しいOracle Fusion Middlewareユーザーの両方に適用されます。
Oracle Identity and Access Managementをインストールする前に、Oracle Databaseがシステムにインストールされていることを確認してください。関連するOracle Identity and Access Managementコンポーネントをインストールするには、データベースが稼働している必要があります。
詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のデータベース要件に関する項を参照してください。
保証されたデータベースの詳細は、Oracle Identity and Access Management 11gリリース2 (11.1.2)のOracle Fusion Middlewareのシステム要件と仕様のドキュメントのデータベース要件に関するトピックを参照してください。
WebLogic Serverをインストールする前に、ご使用のマシンがシステム、パッチ、カーネルおよびその他の要件を満たしていることを確認します。
WebLogic Serverおよびミドルウェア・ホームの要件の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のWebLogic Serverおよびミドルウェア・ホームの要件に関する項を参照してください
Oracle WebLogic Serverのインストールの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverインストレーション・ガイド』を参照してください。
Oracle Entitlements Serverは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management Suiteをインストールするには、Oracle Identity and Access Management 11gインストーラを使用します。
注意: Oracle Identity and Access Managementをインストールする場合、Oracle Entitlements Serverの管理サーバーのみがインストールされます。Oracle Entitlements Serverクライアントを別々にインストールおよび構成を行う必要があります。
『Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle Entitlements Serverのインストールと構成」の手順に従ってOracle Entitlements Serverをインストールおよび構成します。
Oracle Entitlements Server Client 11gソフトウェアの入手に関する詳細は、Oracle Fusion Middlewareのダウンロード、インストールおよび構成のReadMeを参照してください。
Oracle Entitlements Serverクライアントをインストールするには、oesclient.zipのコンテンツをローカル・ディレクトリに解凍し、次のいずれかのコマンドを実行してインストーラを起動します。
UNIX: <full path to the runInstaller directory>/runInstaller -jreLoc <full path to the JRE directory> Windows: <full path to the setup.exe directory>\setup.exe -jreLoc <full path to the JRE directory>
Oracle Entitlements Serverクライアントをインストールするには、『Oracle Identity and Access Managementインストレーション・ガイド』の手順に従ってください。
この項では、単一ホスト上のOracle WebLogic Serverドメイン内にOracle WebCenter Contentをインストールする手順を説明します。次の手順は、Oracle WebCenter Contentを初めてインストールする手順です。
|
注意: インストールおよび構成に関する主な情報はこの項で提供しています。ただし、ここでは、すべてのコンポーネントの前提条件、依存関係およびインストール手順が示されているわけではありません。必要に応じて情報を環境に適応させてください。完全なインストールの情報については、『Oracle WebCenter Contentクイック・インストレーション・ガイド』に従ってください。 |
WebCenter Contentのベース・インストールは次のタスクから構成されます。
次の手順に従って、Oracle WebCenter Content 11.1.1.8をWebLogicホームにインストールしてください。
インストーラのバイナリ・ファイルは次のとおりです。
ofm_wcc_generic_11.1.1.8.0_disk1_1of2.zip
ofm_wcc_generic_11.1.1.8.0_disk1_2of2.zip
次のダウンロード場所からOracle WebCenterコンテンツ・バイナリを取得し、解凍します。
http://www.oracle.com/technetwork/middleware/webcenter/content/downloads/index.html
次のように、Oracle WebCenter Contentメディアのディスク1からOracle Fusion Middleware 11g WebCenter Content Installerを起動します。
(UNIX) wc_content_media_loc/Disk1/runInstaller -jreLoc jre_location (Windows) wc_content_installer_loc/Disk1/setup.exe -jreLoc jre_location
「ようこそ」画面で「次へ」をクリックします。
「ソフトウェア更新のインストール」画面では、「ソフトウェアの更新のスキップ」を選択してから、「次へ」をクリックしてインストールを続行します。
「前提条件チェック」画面で、エラーがなければ「次へ」をクリックしてインストールを続行します。
前提条件のエラーを修正する際にインストール・プロセスを停止する場合は、「中止」をクリックします。
エラーを修正しないでインストールを続行する場合は、「続行」をクリックします。
「インストール場所の指定」画面で、「Oracleミドルウェア・ホーム」および「Oracleホーム・ディレクトリ」を指定して、「次へ」をクリックします。
Oracleミドルウェア・ホーム: Oracle WebLogic Serverのインストール時に作成されたミドルウェア・ホーム・ディレクトリ(MW_HOME)を選択します。たとえば、/opt/oracle/Middlewareを選択します。
Oracleホーム・ディレクトリ: Oracle WebCenter Contentをインストールするディレクトリ(Oracle_ECM1)を指定します。
「アプリケーション・サーバー」画面で、「WebLogic Server」を選択し、「次へ」をクリックします。
「インストール・サマリー」画面で、「インストール」クリックしてインストールを開始します。
「インストールの進行状況」画面で、インストールが100%完了したら「次へ」をクリックします。
「インストール完了」画面で「終了」をクリックします。
Oracle WebCenter Contentでは、アプリケーションの構成前に、アプリケーションのスキーマがデータベースに存在する必要があります。データベースにコンポーネント・スキーマを作成するには、リポジトリ作成ユーティリティ(RCU)を実行する必要があります。RCUを実行する前に、データベースが起動され実行中である必要があります。
リポジトリ作成ユーティリティ(RCU)は、次のサイトの必須の追加ソフトウェアにあるWebCenter Content 11.1.1.8.0バイナリと同じ場所から取得できます。
http://www.oracle.com/technetwork/middleware/webcenter/content/downloads/index.html
|
注意: リポジトリ作成ユーティリティ(RCU)バージョンはWebCenter Contentバージョンと一致する必要があります。 |
WebCenter Contentのスキーマを作成するには、次の手順を実行します。
データベースが起動し、稼働していることを確認します。
.zipファイルのダウンロード後、選択したディレクトリにコンテンツを解凍します(このディレクトリをRCU_HOMEディレクトリと呼びます)。
RCU_HOMEディレクトリ内のbinディレクトリからRCUを起動します。
cd RCU_HOME/bin ./rcu
「ようこそ」画面で「次へ」をクリックします。
「リポジトリの作成」画面で、「作成」をクリックし、「次へ」をクリックします。
「データベース接続の詳細」画面で、データベースの接続の詳細を指定して、「次へ」をクリックします。エラーなしでデータベースのチェックをパスしたら、「OK」をクリックしてこのダイアログ・ウィンドウを閉じ、次の画面に進みます。
データベース・タイプ: デフォルトの「Oracle Database」を選択したままにしておきます。
Oracle Databaseインスタンスに接続するために、次の情報を入力します。
ホスト名:identity.example.comの形式でデータベースが存在するマシンの名前を指定します。
ポート: データベースのリスニング・ポート番号を指定します。Oracle Databaseインスタンスのデフォルトのポート番号は1521です。
サービス名: データベース・サービスのサービス名(たとえば、orcl.example.com)を指定します。通常、サービス名はグローバル・データベース名と同じです。
データベースのサービス名が不明な場合は、データベースの初期化パラメータ・ファイルのSERVICE_NAMESパラメータから取得できます。このファイルにSERVICE_NAMESパラメータが含まれていない場合、サービス名はDB_NAMEやDB_DOMAINパラメータに指定されているグローバル・データベース名と同じです。また、サービス名を調べる別の方法として、データベースにSYSとしてログインし、次のコマンドを実行する方法もあります。
show parameter service_name
ユーザー名:データベース管理者の名前を指定します。
SYSDBA権限を持つOracle Databaseユーザーの名前を指定します。SYSDBA権限を持つデフォルトのユーザー名は、SYSです。
パスワード: データベース・ユーザーのパスワードを指定します。
ロール:リストからデータベース・ユーザーのロールを選択します。SYSにはSYSDBAロールが必要です。
「コンポーネントの選択」画面で、スキーマの接頭辞を指定します。たとえば、WCの場合、「コンポーネント」列で「WebCenter Content」を展開して、「Oracle WebCenter Content Server - 完全」を選択します。「次へ」をクリックします。「コンポーネント前提条件の確認中」ダイアログ・ボックスが表示されます。エラーが発生せずにチェックが完了したら、「OK」をクリックしてダイアログ・ボックスを閉じ、次の画面に進みます。
WebCenter Contentのスキーマを作成する場合は、「Oracle WebCenter Content Server - 完了」を選択します。
「スキーマ・パスワード」画面で、スキーマ所有者のパスワードを指定します。開発システムでは、「すべてのスキーマに同じパスワードを使用」を選択できます。「次へ」をクリックします。
注意: 後でアプリケーションを構成するときに必要になるため、この画面のスキーマ所有者(WC_OCS)およびスキーマ・パスワードを記録します。
「表領域のマップ」画面で、作成するスキーマの目的の表領域マッピングを構成して、「次へ」をクリックします。
たとえば、次のように入力します。
コンポーネント: Oracle WebCenter Content Server - 完全
スキーマ所有者: WC_OCS
デフォルト表領域: *WC_OCS
TEMP表領域: *OCS_TEMP
別のダイアログ・ウィンドウが開き、これらの表領域の作成を確認するように求められます。「OK」をクリックして先に進み、このダイアログ・ウィンドウを閉じます。表領域作成の進行状況を示す2番目のダイアログ・ウィンドウが表示されます。この処理が完了したら、「OK」をクリックしてこのウィンドウを閉じ、次の画面に進みます。
「サマリー」画面で、この画面の情報を確認し、「作成」をクリックしてスキーマの作成を開始します。
「完了サマリー」画面で、ログ・ファイルの場所を書き留め、「閉じる」をクリックして画面を終了します。
手順の詳細は、Oracle WebCenter Contentクイック・インストレーション・ガイドを参照してください。
インストーラの実行およびアプリケーション・スキーマの作成が成功した後、次のOracle WebCenter Content製品をアプリケーションとしてデプロイおよび構成できます。
構成スクリプトでOracle Fusion Middleware 11g WebCenter Content Installerを起動します。
(UNIX) MW_HOME/Oracle_ECM1/common/bin/config.sh (Windows) MW_HOME\Oracle_ECM1\common\bin\config.cmd
「ようこそ」画面で「新しいWebLogicドメインの作成」を選択し、「次へ」をクリックします。
「ドメイン・ソース」画面で、「Oracle Universal Content Management - Content Server 11.1.1.0 [Oracle_ECM1]」を選択し、「次へ」をクリックします。
「ドメイン名と場所の指定」画面で、次の項目を指定します。
ドメイン名: 作成するドメインの名前。たとえば、wcc_domainです。
ドメインの場所: ドメインの場所。たとえば、/opt/oracle/Middleware/user_projects/domainsを指定します。
アプリケーションの場所: デプロイするアプリケーションの場所。たとえば、/opt/oracle/Middleware/user_projects/applicationsを指定します。
次に、「次へ」をクリックします。
「管理者ユーザー名およびパスワードの構成」画面で、次の項目を指定します。
ユーザー名: デフォルトの管理ユーザー名weblogic。必要に応じて、別の管理ユーザー名に変更できます
ユーザー・パスワード: 管理者ユーザーのパスワード。
次に、「次へ」をクリックします。
「サーバーの起動モードおよびJDKの構成」画面で次の操作を行います。
「WebLogicドメインの起動モード」の下で、「開発モード」を選択したままにしておきます。本番では、「本番モード」を選択し、必要に応じて手順を実行する必要があります。
「JDKの選択」の下で、「使用可能なJDK」およびデフォルトのJDK (開発モードではSun SDK 1.6.0_29か、64ビット・システムの場合はユーザーがインストールしたJDK)を選択したままにしておきます。
次に、「次へ」をクリックします。
「JDBCコンポーネント・スキーマの構成」画面で、コンポ―ネント・データソースのスキーマ情報を構成します。この画面上のフィールドに加えた変更は、選択したデータソースに対して適用されます。
次に例を示します。
ベンダー: Oracle
ドライバ: *Oracleのサービス接続用ドライバ(Thin)
スキーマ所有者: WC_OCS
DBMS/サービス: orcl.example.com
ホスト名: identity.example.com
ポート:1521
「UCMスキーマ」を選択します。次に、「次へ」をクリックします。
「コンポーネント・スキーマのテスト」画面で、「UCMスキーマ」を選択して、データソースに接続できたことを確認し、「次へ」をクリックします。
「オプションの構成を選択」画面で、「管理サーバー」および「管理対象サーバー、クラスタ、およびマシン」を選択して、「次へ」」をクリックします。
「管理サーバーの構成」画面で、「SSL有効」を選択し、フィールドに入力します。
たとえば、次のように入力します。
名前: AdminServer
リスニング・アドレス: All Local Addresses
リスニング・ポート: 8001
SSLリスニング・ポート: 8002
次に、「次へ」をクリックします。
「管理対象サーバーの構成」画面で、フィールドに入力し、「SSL有効」を選択します。
たとえば、次のように入力します。
名前: UCM_server1
リスニング・アドレス: すべてのローカル・アドレス
リスニング・ポート:16200
SSLリスニング・ポート:16201
「構成のサマリー」画面で構成を確認し、修正または更新してから、「作成」をクリックします。
「ドメインの作成中」画面で、ドメインが正常に作成されたら、「完了」をクリックします。
Oracle WebLogic Serverドメインを作成するようにOracle WebCenter Contentを構成すると、MW_HOME/user_projects/domainsディレクトリの下にドメイン・ディレクトリが作成されます。Oracle WebCenter Contentを構成するドメインのディレクトリには、管理サーバーおよび1つ以上の管理対象サーバーが含まれ、それぞれOracle WebCenter Contentアプリケーションをホストします。
次のコマンドは、現在の作業ディレクトリがドメイン・ディレクトリであるとみなします。例:MW_HOME/user_projects/domains/wcc_domain。
WebCenterドメイン管理サーバーの起動
次のコマンドを実行して、管理サーバーを起動します。
MW_HOME/user_projects/domains/wcc_domain/bin/startWebLogic.sh
WebCenter管理対象サーバーの起動
次のコマンドを実行して、管理対象サーバーを起動します。
MW_HOME/user_projects/domains/wcc_domain/bin/startManagedWebLogic.sh UCM_server1 t3://localhost:8001/
ユーザー名を入力して、WebLogic Serverを起動します。たとえば、weblogicと入力します。
パスワードを入力します。
WebCenter Contentの構成を完了する手順は、次のとおりです。
次のWebCenterコンソールにアクセスすることで、コンテンツ・サーバーのインストール後の構成ページに移動します。
http://managedServerHost:16200/cs/
『Oracle WebCenter Contentクイック・インストレーション・ガイド』の手順に従って、WebCenter Contentを構成します。
この項では、次の項目について説明します。
RCUを使用して、OracleデータベースにOPSSスキーマを作成する手順は、次のとおりです。
RCU_HOMEディレクトリ内のbinディレクトリからRCUを起動します。
cd RCU_HOME/bin ./rcu
「ようこそ」画面で「次へ」をクリックします。
「リポジトリの作成」画面で、「作成」をクリックし、「次へ」をクリックします。
「データベース接続の詳細」画面で、データベースの接続の詳細を指定して、「次へ」をクリックします。エラーなしでデータベースのチェックをパスしたら、「OK」をクリックしてこのダイアログ・ウィンドウを閉じ、次の画面に進みます。
データベース・タイプ: デフォルトの「Oracle Database」を選択したままにしておきます。
Oracle Databaseインスタンスに接続するために、次の情報を入力します。
ホスト名: データベースが存在するマシンの名前を指定します。
ポート: データベースのリスニング・ポート番号を指定します。
サービス名: データベースのサービス名を入力します。
ユーザー名:データベース管理者の名前を指定します。
SYSDBA権限を持つOracle Databaseユーザーの名前を指定します。SYSDBA権限を持つデフォルトのユーザー名は、SYSです。
パスワード: データベース・ユーザーのパスワードを指定します。
ロール:リストからデータベース・ユーザーのロールを選択します。SYSにはSYSDBAロールが必要です。
「コンポーネントの選択」画面で、スキーマの接頭辞を指定します。たとえば、OESなどを選択し、Component列で「AS共通スキーマ」を展開して「Oracle Platform Security Services」を選択します。「次へ」をクリックします。「コンポーネント前提条件の確認中」ダイアログ・ボックスが表示されます。エラーが発生せずにチェックが完了したら、「OK」をクリックしてダイアログ・ボックスを閉じ、次の画面に進みます。
「スキーマ・パスワード」画面で、スキーマ所有者のパスワードを指定します。開発システムでは、「すべてのスキーマに同じパスワードを使用」を選択できます。「次へ」をクリックします。
注意: 後でアプリケーションを構成するときに必要になるため、この画面のスキーマ所有者(例:OES_OPSS)およびスキーマ・パスワードを記録します。
「表領域のマップ」画面で、作成するスキーマの目的の表領域マッピングを構成して、「次へ」をクリックします。
デフォルト表領域を1つと一時表領域を1つ使用します。デフォルトの表領域名は、それぞれPREFIX_IAS_OPSSおよびPREFIX_IAS_TEMPです。
|
注意: PREFIX_IAS_OPSSおよびPREFIX_IAS_TEMPでは、手順6で「PREFIX」が指定されています。 |
別のダイアログ・ウィンドウが開き、これらの表領域の作成を確認するように求められます。「OK」をクリックして先に進み、このダイアログ・ウィンドウを閉じます。表領域作成の進行状況を示す2番目のダイアログ・ウィンドウが表示されます。この処理が完了したら、「OK」をクリックしてこのウィンドウを閉じ、次の画面に進みます。
「サマリー」画面で、この画面の情報を確認し、「作成」をクリックしてスキーマの作成を開始します。
「完了サマリー」画面で、ログ・ファイルの場所を書き留め、「閉じる」をクリックして画面を終了します。
OES管理ソフトウェアのインストール後に、OES管理ドメインを含むドメインを作成し、それをデータベース・セキュリティ・ストアで動作するように構成する必要があります。
Oracle Fusion Middleware構成ウィザードを使用して、WebLogicドメインを作成するか、既存のドメインを拡張します。IAM_HOME/common/bin/config.shスクリプト(UNIXの場合)または IAM_HOME\common\bin\config.cmd (Windowsの場合)を実行することでOracle Fusion Middleware構成ウィザードを起動します
「ドメイン・ソースの選択」画面で、「管理サーバー用のOracle Entitlements Server - 11.1.1.0 [IAM_HOME]」を選択します。
「ドメイン名と場所の指定」画面で、「ドメイン名」を指定します。たとえば、oes_domainを指定します。
「JDBCコンポーネント・スキーマの構成」画面で、OPSS_Schemaを選択して、「スキーマ所有者」(OES_OPSS)、「スキーマ・パスワード」、「DBDS/サービス」、「ホスト名」および「ポート」の詳細情報を指定します。
新しいWebLogicドメインでのOracle Entitlements Serverの構成手順については、『Oracle Identity and Access Managementインストレーション・ガイド』の新しいWebLogicドメインでのOracle Entitlements Serverの構成に関する説明を参照してください。
Oracle Identity and Access Management 11gリリース2(11.1.2.3.0)の各ドメインには、データベース・セキュリティ・ストアを構成する必要があります。Oracle Entitlements Server管理サーバーのセキュリティ・ストアを構成するには、configureSecurityStore.pyスクリプトを実行する必要があります。configureSecurityStore.pyは、ドメイン・セキュリティ・ストアを再関連付けし、ポリシー・データを新しいリポジトリに移行します。セキュリティ・ストアは、システムやアプリケーションに固有のポリシー、証明資格およびキーが格納されるリポジトリです。
OESドメインを構成してセキュリティ・ストアを使用するためにOESセキュリティ・ストア構成ツールを実行するには、次の手順を実行します。
再関連付けを実行する前に、必要に応じて後で元に戻すことができるように、jps-config.xmlファイルのバックアップを作成します。
コマンドラインで次のコマンドを実行して、現在の作業ディレクトリからMW_HOME/oracle_common/common/binディレクトリに移動します。
cd MW_HOME/oracle_common/common/bin
次のコマンドを実行して、WebLogic Scripting Tool (WLST)を起動します。
./wlst.sh
WLSTプロンプトで、次のコマンドを実行します。
MW_HOME/oracle_common/common/bin/wlst.sh Oracle_IDM1/common/tools/configureSecurityStore.py -d MW_Home/user_projects/domains/oes_domain -t DB_ORACLE -j cn=jpsroot -m create -p password
説明
MW_Home/user_projects/domains/oes_domainはOES管理ドメインの名前と場所です。
DB_ORACLEは、OES管理サーバーに関連付けるセキュリティ・ストアのタイプです。これはオプションです。デフォルト値は、DB_ORACLEです。
cn=jpsrootは、OESセキュリティ・ストアのjpsroot値です。デフォルト値はcn=jpsrootです。
createは、ツールがOESデータベース・セキュリティ・ストアを作成することを示すツール・モードです。
passwordは、OESデータベースのパスワードです。
セキュリティ・ストアを構成する手順については、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Entitlements Server管理サーバーのデータベース・セキュリティ・ストアの構成に関する項を参照してください。
WebCenterコンテンツとOESを統合する手順について、次の項で説明します。
WCCとOESを統合した後、アプリケーションおよびその他のポリシー・オブジェクトを作成する必要があります。
WebCenter Content管理サーバーを起動し、OESドメインとWebCenter Contentドメインが同じポリシー・ストアを共有できるように、opss-DBDSについてOracle Entitlements Serverドメインと同じ構成情報を持つデータソースを作成します。
管理サーバーおよびWebCenter Contentドメインのすべての管理対象サーバーに対して、このデータソースを対象とします。
OESドメインのopss-DBDSの構成情報を確認します。
OESドメインのWebLogic管理コンソールにアクセスします。
「ドメイン構造」ツリーで「サービス」を展開し、「データ・ソース」を選択します。
「JDBCデータ・ソースの概要」ページでデータ・ソース名をクリックします。
「構成: 接続プール」タブを選択します。
構成情報が表示されます。
WebCenter Contentドメインでデータソースを作成します。
WebCenter ContentドメインのWebLogic管理コンソールにアクセスします。
手順1の構成としてデータソースを作成します。
たとえば、次のように入力します。
名前: opss-DBDS
タイプ: 汎用
JNDI-Name: jdbc/OPSSDBDS
URL: jdbc:oracle:thin:@orcl.example.com:1521/orcl
ドライバ: oracle.jdbc.OracleDriver
ユーザー: OES_OPSS
ターゲット: UCM_Server1
データソースの作成方法は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのJDBC汎用データソースの作成に関する項を参照してください。
WLSTのreassociateSecurityStoreコマンドを次のように使用して、WebCenter Contentドメインのセキュリティ・ストアをOracle Entitlements Serverと同じ内容に再関連付けします。
再関連付けを実行する前に、必要に応じて後で元に戻すことができるように、jps-config.xmlファイルのバックアップを作成します。
WLSTシェルを起動します。
cd $MW_HOME/Oracle_ECM1/common/bin ./wlst.sh
WLST connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect("username", "password","t3://hostname:port")
たとえば、次のように入力します。
connect ("weblogic", "welcome1", "ADMINHOST:8001")
usernameは、管理サーバーへのアクセスに使用する管理者のアカウント名
passwordは、管理サーバーへのアクセスに使用する管理者のパスワード
hostnameは、管理サーバーのサーバー名
portは、管理サーバーのポート番号
reassociateSecurityStoreコマンドを次のように実行します。
reassociateSecurityStore(domain="oes_domain or IAM", servertype="DB_ORACLE", datasourcename="datasource", jpsroot="cnSpecification", join="true")
たとえば、次のように入力します。
reassociateSecurityStore(domain="oes_domain", servertype="DB_ORACLE", datasourcename="jdbc/OPSSDBDS", jpsroot="cn=jpsroot", join="true")
完了後、exit()コマンドを使用して、WLSTユーティリティを終了します。
スクリプトreassociateSecurityStoreでは、セキュリティ・ストアがソースからターゲットのDBベース・ストアに移行され、デフォルトのポリシー・サービスおよび資格証明サービスがターゲット・リポジトリにリセットされます。domainとjpsrootは、jps-config.xmlファイルのfarmnameの値と同じにする必要があります。このファイルは、$WCC_DOMAIN_HOME/config/fmwconfigディレクトリにあります。
datasourcenameは、9.5.8.1項「Oracle WebCenter Contentドメインでのデータソースの作成」で作成したデータソースの名前です。
Webロケーション機能を保護するには、WebCenter Contentドメインのconfig.cfgファイルを更新します。config.cfgファイルは、コンテンツ・サーバー・システムのグローバル変数を定義するために使用します。
テキスト・エディタでconfig.cfgファイルを開きます。
これは$WCC_DOMAIN_HOME/ucm/cs/config/ディレクトリにあります。
次の行を追加します。
InternalAppExtensionWildcardTest=*
管理サーバーおよび管理対象サーバーを再起動します。
WebCenter Contentのバージョンが11.1.1.7.0以下である場合、Webブラウザによって使用されるJREに権限を追加します。
Windowsの場合(Internet Explorerのみが正しく動作します):
通常は、C:\Program Files\Java\jre7\lib\securityにあるjava.policyファイルを編集します。
権限java.util.PropertyPermission "user.timezone", "write";を最後のセクションに追加して、デフォルトの権限をすべてのドメインに付与します。
管理者権限を使用してこのファイルを保存します。
WCC-OESコネクタはOES Java Wrapperで、リクエスト・パラメータ、ドキュメント・メタデータおよびユーザーのコンテキスト・データをOES SMクライアントに転送します。
WCC-OESコネクタをインストールするには、次の手順を実行します。
Universal Content Managementのコンポーネント・ウィザードを起動します。
cd $WCC_DOMAIN_HOME/ucm/cs/bin ./ComponentWizard
OES_CLIENT_HOMEはOESクライアント・ソフトウェアのインストール先です。
WCC_DOMAIN_HOMEは、WebCenter Contentのインストール先のWebLogicドメインです。
WCC_DOMAIN_HOME/ucm/cs/binは、コンテンツ・サーバーの起動ファイルのルート・ディレクトリです。ここには、コンテンツ・サーバーのサービス、アプレットおよびユーティリティを実行する実行可能ファイルが含まれています。
「コンポーネント・リスト」画面が表示されます。
「コンポーネント・リスト」画面で、「インストール」をクリックします。
「選択」をクリックします。
ucmoesconnector.zipファイルを選択します。
「OK」をクリックして、WCC-OESコネクタをインストールします。
「はい」をクリックして、ウィンドウを閉じます。
WCドメイン管理対象サーバーを再起動します。
この項では、次の項目について説明します。
次の手順を実行して、新しいアプリケーションUCM Applicationを作成します。
「認可管理」タブを開きます。
ナビゲーション・パネルの「アプリケーション」を右クリックして、メニューから「新規」を選択します。
|
注意: または、「ホーム」領域の「検索および作成」にある「アプリケーションの作成」をクリックします。 |
アプリケーションの名前としてUCM Applicationを入力します。
|
注意: 名前を変更しないでください。 |
画面の右上隅の「保存」をクリックします。
アプリケーションの作成手順については、4.5.1.1項「アプリケーションの作成」を参照してください。
次の手順を実行して、UCM事前検索問合せのリソース・タイプを作成します。
「認可管理」タブを開きます。
「アプリケーション」ノードを展開し、新しく作成した「UCMアプリケーション」ノードを展開します。
「リソース・タイプ」を右クリックして、「新規」を選択します。
リソース・タイプの名前として、UCM Pre-Search Query Resource Typeと入力します。
|
注意: 名前を変更しないでください。 |
UCM事前検索問合せのリソース・タイプによって許可されたアクションを追加します。
「アクション」表の上にある「新規」をクリックして、「新規アクション」ダイアログを表示します。
アクションの名前として、searchと入力します。
「保存」をクリックして、searchアクションを保存します。
右上にある「保存」をクリックして、リソース・タイプを保存します。
リソース・タイプの作成手順は、4.5.2.1項「リソース・タイプの作成」を参照してください。
次の手順を実行して、UCM CRUD操作のリソース・タイプを作成します。
「認可管理」タブを開きます。
「アプリケーション」ノードを展開し、新しく作成した「UCMアプリケーション」ノードを展開します。
「リソース・タイプ」を右クリックして、「新規」を選択します。
リソース・タイプの名前として、UCM CRUD Operation Resource Typeと入力します。
|
注意: 名前を変更しないでください。 |
UCM CRUD操作リソース・タイプによって許可されたアクションを追加します。
「アクション」表の上にある「新規」をクリックして、「新規アクション」ダイアログを表示します。
アクションの名前として、checkinと入力します。
「保存」をクリックして、checkinアクションを保存します。
次のアクションを続けて追加します: checkin_processing、update_metadata、update_metadata_processing、delete、checkinnew、checkin_confirm_form、checkout、undo_checkout、checkin_new_processing、get_file、create_folder、retrieve_child_folders、readおよびfolder_browse
右上にある「保存」をクリックして、リソース・タイプを保存します。
リソース・タイプの作成手順は、4.5.2.1項「リソース・タイプの作成」を参照してください。
次の手順を実行して、リソースを作成します。
「UCMアプリケーション」ノードの「ポリシー・ドメイン」ノードを展開して、「リソース・カタログ」ノードを展開します。
「リソース・カタログ」ノードの「リソース」を右クリックし、メニューから「新規」を選択します。
「ホーム」領域で、「リソース・タイプ」リストから「UCM事前検索リソース・タイプ」を選択します
ユーザーがこのリソースへのアクセスを認可されているかどうかを判断するために渡される名前として、/と入力します。
その他のリソース名は、WebCenter Contentで定義されているドキュメントIDと一致している必要があります。
「保存」をクリックしてリソースを保存します。
リソースの作成手順は、4.5.3.1項「リソースの作成」を参照してください。
次の手順を実行して、統合のための新しい認可ポリシーを作成します。
ポリシーの作成手順の詳細は、4.5.5.1項「認可ポリシーの作成」を参照してください。
検索用:
「認可ポリシー」ノードをダブルクリックします。
既存の認可ポリシーを表示する表の上にある「新規」ボタンをクリックします。
新しいポリシーの名前を入力します。
必要に応じて、リソースにアクセスできるプリンシパル(用途またはロール、あるいはその両方)を構成します。
「ターゲット」表の右のプラス・ボタンをクリックします。
「ターゲットの検索」ウィンドウの「リソース」タブをクリックします。
「リソース・タイプ」ドロップダウンで「UCM事前検索問合せのリソース・タイプ」を選択して、「検索」ボタンをクリックします。
リソース"/"を選択して、searchアクションをクリックします。
要件に応じて、ポリシーの任意の義務を追加します。
次の例は、検索ポリシーに義務を追加しています。
New obligation: Name: Search_Obligation New obligation attribute: Name:Attribute1 Value:dStatus <MATCHES> `RELEASED`
一重引用符(')ではなく、バックティック(`)文字を使用します。
注意: メタフィールドがWebCenter Contentによって定義されている場合は、フィールド名の前にdを追加します。ユーザーがConfiguration Managerでメタフィールドを定義した場合は、フィールド名の前にxを追加します。たとえば、義務ではStatusをdStatusに変更し、ユーザー定義のClearanceLevelをxClearanceLevelに変更する必要があります。
注意: 通常、米国レイアウトのキーボードでは、バックティック(`)文字はチルダ(~)の下にあります。バックティック(`)のかわりに、左一重引用符(アポストロフィ('))を使用しないでください。
新規チェックイン用:
「ターゲット」表の右のプラス・ボタンをクリックします。
「ターゲットの検索」ウィンドウの「リソース」タブをクリックします。
「リソース・タイプ」ドロップダウンで「UCM CRUD操作のリソース・タイプ」を選択して、「検索」ボタンをクリックします。
resource expressionを選択します。式は「.*」です。
「checkinnew」、「checkin_confirm_form」および「checkin_new_processing」をクリックします。
他のポリシー用:
対応するプリンシパル、ターゲット、アクションおよび条件を追加します。表9-22に、WebCenter Content.内で保護するコンテンツの例としてDOC1を使用したアクションの比較表を示します。
表9-22 アクションの比較
| WCC操作 | APMポリシー内のリソース | APMポリシー内のアクション |
|---|---|---|
|
検索 |
UCM Pre-Search Query Resource Type:/ |
検索 |
|
新規チェックイン 類似をチェックイン |
UCM CRUD Operation Resource Type:.* |
checkin_new_processing checkinnew checkin_confirm_form |
|
チェックアウト |
UCM CRUD Operation Resource Type:DOC1 |
checkout |
|
チェックアウトを元に戻す |
UCM CRUD Operation Resource Type:DOC1 |
undo_checkout |
|
チェックイン |
UCM CRUD Operation Resource Type:DOC1 |
checkin_processing checkin checkin_confirm_form |
|
更新 |
UCM CRUD Operation Resource Type:DOC1 |
update_metadata_processing update_metadata |
|
削除 |
UCM CRUD Operation Resource Type:DOC1 |
delete |
|
Webロケーション |
UCM CRUD Operation Resource Type:DOC1 |
read |
|
フォルダの参照 |
UCM CRUD Operation Resource Type:.* |
folder_browse retrieve_child_folders |
|
フォルダの作成 |
UCM CRUD Operation Resource Type:.* |
folder_browse create_folder |
この項では、次の項目について説明します。
任意のユーザーでコンテンツ・サーバーにアクセスして、WebCenter Contentをテストします。
webcenter.example.com:16200/cs
WebCenter ContentがOracle Entitlements Serverポリシーによって保護されていることを確認します。
この項では、Oracle WebCenter ContentおよびOracle Entitlements Serverの統合のトラブルシューティングのヒントについて説明します。
Oracle WebCenter Content Serverのログ・レベルの変更
次のようにWLST setLogLevelコマンドを使用して、WebLogic Server UCM_server1上で構成ロガーoracle.security.oes.ucmconnectorに対して、ログ・レベルをFINEに変更します。
WLSTシェルを起動します。
cd $MW_HOME/Oracle_ECM1/common/bin ./wlst.sh
WLST connectコマンドを使用して、WebLogic管理サーバーに接続します。
connect("username", "password","t3://hostname:port")
たとえば、次のように入力します。
connect ("weblogic", "welcome1", "webcenter.example.com:16200")
usernameは、管理サーバーへのアクセスに使用する管理者のアカウント名
passwordは、管理サーバーへのアクセスに使用する管理者のパスワード
hostnameは、管理サーバーのサーバー名
portは、管理サーバーのポート番号
setLogLevelコマンドを実行します。
たとえば、次のように入力します。
setLogLevel(target="UCM_server1", logger="oracle.security.oes.ucmconnector", level="FINE", persist=0)
targetは、WebLogic Serverインスタンスの名前です。
loggerは、変更するロガーの完全な名前です。注意: ロガー名は大/小文字が区別されます。
levelには、ログ・レベルを指定します。有効なJavaレベルには、SEVERE、WARNING、INFO、CONFIG、FINE、FINER、FINESTなどがあります。
persistには、レベルを構成ファイルに保存する必要があるかどうかを指定します。値は、0 (レベルを保存しない)または1 (レベルを保存し、WebLogicが再起動しても維持される)です。デフォルトは1です。
完了後、exit()コマンドを使用して、WLSTユーティリティを終了します。
Oracle WebCenter Content Serverの診断ログ
Oracle WebCenter Content Serverの診断ログを追跡すると、アクションが正しく行われたかどうかの判定に役立ちます。
tailコマンドを実行します。
たとえば、次のように入力します。
tail -f $WCC_DOMAIN_HOME/servers/UCM_server1/logs/UCM_server1-diagnostic.log
指定された入力値から最後のN行の出力を追跡します。デフォルトでは、指定されたファイルごとに最後の10行を出力します。-fオプションを指定すると、ファイルの出力行を追加します。
PEPのリフレッシュ時間の削減
PEPのリフレッシュ時間を削減するには、jps-config.xmlファイルに次のプロパティを追加できます。
<serviceInstance name="pdp.service" provider="pdp.service.provider">
<description>Runtime PDP service instance</description>
<property name="oracle.security.jps.ldap.policystore.refresh.interval" value="3000"/>
この項では、次の項目について説明します。
WebLogic OESドメインでのユーザーの作成例は次のとおりです。
oes_domain (OES管理サーバー)を起動します。
Oracle WebLogic Server管理コンソールにログインします。
oes_domainにユーザーおよびグループを作成します。たとえば、次のように入力します。
Peterというユーザーを作成し、これにJunior Engineerグループを割り当てます。
Samというユーザーを作成し、これにDirectorグループを割り当てます。
WebLogic WCCドメインでのユーザーの作成例は次のとおりです。
Oracle WebLogic Server管理コンソールにログインします。
wcc_domainにユーザーおよびグループを作成します。たとえば、次のように入力します。
Peterというユーザーを作成し、これにJunior Engineerグループを割り当てます。
Samというユーザーを作成し、これにDirectorグループを割り当てます。
メタデータは、データに関するデータです。Configuration Managerを使用してメタデータ値を追加するには、次の手順を実行します。
管理対象サーバーUCM_server1を再起動し、wcc_domain管理サーバーおよび管理対象サーバーを停止します。
次の場所にナビゲートします。
http://managedServerHost:16200/cs
「メイン」メニューから「管理」→「管理アプレット」を選択します。
「構成マネージャ」をクリックします。
「構成マネージャ」ページで、「追加」をクリックします。
メタデータ・フィールドを追加するときには、「メタデータ・フィールド名の追加」ダイアログが開き、ここで名前を入力できます。重複する名前は使用できません。最大フィールド長は29文字です。文字、数値およびアンダースコア(_)のみを使用します。空白やその他の特殊文字は使用できません。終了したら、「OK」をクリックします。
「オプション・リストの有効化」をクリックし、「構成」をクリックします。
オプション・リストの構成ダイアログで、「編集」をクリックします。
オプション・リスト・ダイアログで、カスタム・メタフィールドに使用可能な値を入力します。各値の間には改行を入力し、1行ごとに1つの値を指定する必要があります。
たとえば、次のように入力します。
Public
Confidential
Secret
「OK」をクリックして、リストを保存します。
「構成マネージャ」で、「データベース設計の更新」、「OK」の順にクリックします。
「構成マネージャ」ダイアログのトップ・メニューで、「オプション」、「スキーマのパブリッシュ」、「閉じる」の順にクリックします。
ドキュメントにチェックインするには、次の手順を実行します。
次の場所にナビゲートします。
http://managedServerHost:16200/cs
「新規チェックイン」リンクをクリックします。
「プライマリ・ファイル」フィールドの横の「参照」をクリックします。ファイルにナビゲートして選択し、「開く」をクリックします。
「プライマリ・ファイル」フィールドの下に「フォーマット」フィールドが表示されている場合は、ファイルの変換フォーマットを選択します。
パス名およびファイル名を参照または入力して、代替ファイルを指定します。
「代替ファイル」フィールドの下に「フォーマット」フィールドが表示された場合は、代替ファイルを指定するときに、ファイルの変換フォーマットを選択します。
「リビジョン」フィールドに表示されているデフォルトのリビジョンをそのまま使用します。(特別な理由がある場合を除いて、リビジョンは変更しないでください。)
「コメント」フィールドに、ファイルに関する注釈を入力します。
デフォルトのリリース日を使用するか、または将来のリリース日を「リリース日」フィールドに入力します。
特定の日の時点でファイルを使用できなくなるようにするには、「有効期限」フィールドに日付を入力します。
適用可能な場合は、組織のカスタム・メタデータ・フィールドに入力します。
適切なメタデータ値をすべて入力し終わったら、「チェックイン」をクリックします。
