| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 11gリリース1 (11.1.1) E64849-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 11gリリース1 (11.1.1) E64849-03 |
|
前 |
次 |
この付録では、Oracle Platform Security Servicesのファイルベースのアイデンティティ・ストアとポリシー・ストアのデフォルトのストアであるsystem-jazn-data.xml内の要素と属性について説明します。
|
注意: ファイルベースのアイデンティティ・ストアは、Java SEアプリケーションに対してのみサポートされます。 |
この付録の内容は次のとおりです。
この項では、system-jazn-data.xmlやアプリケーション固有のjazn-data.xmlファイルの要素の階層について説明します。<jazn-data>ルート要素の直下のサブ要素は次のとおりです。
<jazn-realm>
<policy-store>
<jazn-policy>
|
注意: <jazn-principal-classes>および<jazn-permission-classes>の要素とそれらのサブ要素は、<policy-store>のサブ要素としてsystem-jazn-data.xmlスキーマの定義の中に現れることがありますが、それは後方互換性の確保のみを目的としたものです。 |
表B-1 system-jazn-data.xmlの要素の階層
| 階層 | 説明 |
|---|---|
<jazn-data> |
|
<jazn-realm> {0 or 1}
<realm> {0 or more}
<name> {1}
<users> {0 or 1}
<user> {0 or more}
<name> {1}
<display-name> {0 or 1}
<description> {0 or 1}
<guid> {0 or 1}
<credentials> {0 or 1}
<roles> {0 or 1}
<role> {0 or more}
<name> {1}
<display-name> {0 or 1}
<description> {0 or 1}
<guid> {0 or 1}
<members> {0 or 1}
<member> {0 or more}
<type> {1}
<name> {1}
<owners> {0 or 1}
<owner> {0 or more}
<type> {1}
<name> {1}
|
|
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
| <app-role> {1 or more}
| <name> {1}
| <class> {1}
| <display-name> {0 or 1}
| <description> {0 or 1}
| <guid> {0 or 1}
| <uniquename> {0 or 1}
| <extended-attributes> {0 or 1}
| | <attribute> {1 or more}
| | <name> {1}
| | <values> {1}
| | <value> {1 or more}
| <members> {0 or 1}
| <member> {1 or more}
| <name> {1}
| <class> {1}
| <uniquename> {0 or 1}
| <guid> {0 or 1}
<role-categories>
| <role-category>
| <name>
| <display-name>
| <description>
| <members>
| <role-name-ref>
<resource-types>
| <resource-type>
| <name>
| <display-name>
| <description>
| <provider-name>
| <matcher-class>
| <actions-delimiter>
| <actions>
<resources>
| <resource>
| <name>
| <display-name>
| <description>
| <type-name-ref>
<permission-sets>
| <permission-set>
| <name>
| <member-resources>
| <member-resource>
| <resource-name>
| <type-name-ref>
| <actions>
<jazn-policy> {0 or 1}
| <grant> {0 or more}
| <description> {0 or 1}
| <grantee> {0 or 1}
| | <principals> {0 or 1}
| | <principal> {0 or more}
| | <name> {1}
| | <class> {1}
| | <uniquename> {0 or 1}
| | <guid> {0 or 1}
| | <codesource> {0 or 1}
| | <url> {1}
| <permissions> {0 or 1}
| <permission> {1 or more}
| <class> {1}
| <name> {0 or 1}
| <actions> {0 or 1}
|
|
<jazn-policy> {0 or 1}
<grant> {0 or more}
<description> {0 or 1}
<grantee> {0 or 1}
| <principals> {0 or 1}
| <principal> {0 or more}
| <name> {1}
| <class> {1}
| <uniquename> {0 or 1}
| <guid> {0 or 1}
| <codesource> {0 or 1}
| <url> {1}
<permissions> {0 or 1}
<permission> {1 or more}
<class> {1}
<name> {0 or 1}
<actions> {0 or 1}
<permission-sets>
| <permission-set>
| <name>
|
|
この項では、system-jazn-data.xmlファイルの要素と属性について説明します。
|
注意:
|
この要素は、関連するパーミッションのクラスに対して許可されている操作を指定します。値では大文字と小文字が区別され、値はパーミッションの実装ごとに異なります。アクションには、起動や読取り/書込みなどがあります。
繰返し
オプション(0または1つ)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} ... <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、関連付けられているリソース・タイプのアクションを区切るために使用する文字を指定します。
繰返し
オプション(ゼロ個以上)
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<resource-types>
<resource-type>
<name>
<display-name>
<description>
<provider-name>
<matcher-class>
<actions-delimiter>
<actions>
この要素は、アプリケーション・ロールを指定します。
必須のサブ要素では、次を指定します。
オプションのサブ要素では、次のものを指定できます。
<description>は、アプリケーション・ロールに関する詳細情報を提供します。
<display-name>は、GUIインタフェースで使用されるような、アプリケーション・ロールの表示名を指定します。
<guid>は、アプリケーション・ロールを参照するためのグローバル一意識別子を指定します。これは内部使用専用です。
<members>は、このアプリケーション・ロールのメンバーであるユーザー、ロールまたはその他のアプリケーション・ロールを指定します。
<uniquename>は、アプリケーション・ロールを参照するための一意の名前を指定します。これは内部使用専用です。
繰返し
必須(1つ以上)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
この要素は、アプリケーション・ロールのセットを指定します。
繰返し
オプション(0または1つ)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} ...
この要素は、アプリケーションのロールとポリシーを指定します。
必須のサブ要素は、アプリケーションに関する次の情報を指定します。
<name>は、アプリケーションの名前を指定します。
オプションのサブ要素では、次のものを指定できます。
<description>は、アプリケーション、およびそのロールとポリシーに関する情報を提供します。
<app-roles>は、任意のアプリケーション・レベルのロールを指定します。
<jazn-policy>は、任意のアプリケーション・レベルのポリシーを指定します。
子要素
<app-roles>、<description>、<jazn-policy>、<name>、<permission-sets>、<resource-types>、<resources>、<role-categories>
繰返し
必須(1つ以上)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} ...
この要素は、アプリケーションのセットを指定します。
この要素は、アプリケーション・ロールの属性を指定します。
繰返し
必須(1つ以上)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <guid> {0 or 1}
この要素は、構成ファイル内のどの場所にあるかに応じて複数の値を指定します。
<app-role>要素内では、<class>は、アプリケーション・ロールを実装するクラスの完全修飾名を指定します。
<app-role> ... <class>oracle.security.jps.service.policystore.ApplicationRole</class>
<member>要素内では、<class>は、ロール・メンバーを実装するクラスの完全修飾名を指定します。
<app-role>
...
<members>
<member>
...
<class>
weblogic.security.principal.WLSUserImpl
</class>
<permission>要素(パーミッションをプリンシパルに付与する要素)内では、<class>は、パーミッションを実装するクラスの完全修飾名を指定します。値では、大文字と小文字は区別されません。
<jazn-policy>
<grant>
...
<permissions>
<permission>
<class>java.io.FilePermission</class>
<principal>要素(パーミッションをプリンシパルに付与する要素)内では、プリンシパル・クラスの完全修飾名を指定します。プリンシパル・クラスは、パーミッション・セットを付与されるプリンシパルを表すためにインスタンス化されるクラスです。
<jazn-policy>
<grant>
...
<grantee>
<principals>
<principal>
...
<class>oracle.security.jps.service.policystore.TestUser</class>
繰返し
必須(1つのみ)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} ... <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} ... <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、パーミッションの付与対象のコードのURLを指定します。
ポリシー構成には、<codesource>要素に加え、<principals>要素も使用できます。どちらの要素も、<grantee>要素の子で、該当のパーミッションが付与される対象を指定します。
<codesource> URLの指定で使用できる変数については、<url>を参照してください。
繰返し
オプション(0または1つ)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、ユーザーの認証パスワードを指定します。資格証明は、デフォルトでは、不明瞭化されたフォームになっています。
繰返し
オプション(0または1つ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <credentials> {0 or 1}
この要素は、項目の文字情報を提供するテキスト文字列を指定します。項目は、親要素に応じて、アプリケーション・ロール、アプリケーション・ポリシー、パーミッション付与、セキュリティ・ロールまたはユーザーのいずれかです。
繰返し
オプション(0または1つ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} ... <description> {0 or 1} ... <roles> {0 or 1} <role> {0 or more} ... <description> {0 or 1} ...
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} ... <description> {0 or 1}
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1}
例
fmwadminユーザーの説明は、次のようになります。
<description>User with administrative privileges</description>
他の例については<jazn-realm>を参照してください。
この要素は、通常GUIツールで使用される項目の名前を指定します。項目は、親要素に応じて、アプリケーション・ロール、ユーザーまたはエンタープライズ・グループのいずれかです。
繰返し
オプション(0または1つ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} <name> {1} <display-name> {0 or 1} ... <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} ...
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1}
例
fmwadminユーザーの表示名は、次のようになります。
<display-name>Administrator</display-name>
他の例については<jazn-realm>を参照してください。
この要素は、アプリケーション・ロールの複数の属性を指定します。
繰返し
オプション(0または1つ)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
例
<app-roles>
<app-role>
<name>Knight</name>
<display-name>Fellowship For the Ring</display-name>
<class>oracle.security.jps.service.policystore.ApplicationRole</class>
<extended-attributes>
<attribute>
<name>SCOPE</name>
<values>
<value>Part-I</value>
</values>
</attribute>
</extended-attributes>
</app-role>
この要素は、権限の付与先(コードソース、プリンシパル・セットまたはその両方)と、割り当てるパーミッションを指定します。
繰返し
オプション(ゼロ個以上)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、パラレルの<permissions>要素と組み合せて使用され、パーミッションの付与の対象(プリンシパル・セット、コードソースまたはその両方)を指定します。
繰返し
オプション(0または1つ)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、内部使用専用です。これは、項目を参照するためのグローバル一意識別子(GUID)を指定します。
親要素に応じて、参照される項目は、アプリケーション・ロール、アプリケーション・ロール・メンバー、プリンシパル、エンタープライズ・グループまたはユーザーのいずれかになります。通常は、LDAPプロバイダで使用され、項目(ユーザーなど)を一意に識別します。GUIDは、ユーザーやロールを別のセキュリティ・プロバイダに移行する場合などに、Oracle Platform Security Servicesで生成され、内部的に使用されることがあります。ユーザーが自分で設定する項目ではありません。
繰返し
オプション(0または1つ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <credentials> {0 or 1} <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} ...
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} ...
この要素は、system-jazn-data.xmlファイルベースのアイデンティティ・ストアのトップレベルの要素を指定します。
属性
| 名前 | 説明 |
|---|---|
schema-major-version |
system-jazn-data.xml XSDのメジャー・バージョン番号を指定します。この属性の値は、Oracle Fusion Middleware 11gで使用される場合は、11に固定されています。 |
schema-minor-version |
system-jazn-data.xml XSDのマイナー・バージョン番号を指定します。この属性の値は、Oracle Fusion Middleware 11.1.1実装で使用される場合は、0に固定されています。 |
繰返し
必須(1つのみ)
<jazn-data ... > {1} <jazn-realm> {0 or 1} ...
<policy-store> {0 or 1}
...
<jazn-policy> {0 or 1}
...
この要素は、権限受領者(プリンシパルまたはコードソース)をパーミッションに関連付けるポリシー付与を指定します。
この要素は、system-jazn-data.xmlファイルの次の2つの場所で使用できます。
<jazn-data>要素の下では、グローバル・ポリシーを指定します。
<application>要素の下では、アプリケーション・レベルのポリシーを指定します。
繰返し
オプション(0または1つ)
<jazn-data> {1} <jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} ... <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
例
例B-1 <jazn-policy>
<jazn-policy>
<grant>
<grantee>
<principals>
<principal>
<class>
oracle.security.jps.service.policystore.TestUser
</class>
<name>jack</name>
</principal>
<principal>
<class>
oracle.security.jps.service.policystore.TestUser
</class>
<name>jill</name>
</principal>
</principals>
<codesource>
<url>file:${oracle.deployed.app.dir}/<MyApp>${oracle.deployed.app.ext}</url>
</codesource>
</grantee>
<permissions>
<permission>
<class>oracle.security.jps.JpsPermission</class>
<name>getContext</name>
</permission>
<permission>
<class>java.io.FilePermission</class>
<name>/foo</name>
<actions>read,write</actions>
</permission>
</permissions>
</grant>
</jazn-policy>
例B-2 <jazn-policy>
<jazn-policy>
<grant>
<grantee>
<principals>
<principal>
<class>
oracle.security.jps.service.policystore.TestAdminRole
</class>
<name>Farm=farm1,name=FullAdministrator</name>
</principal>
</principals>
<codesource>
<url>file://some-file-path</url>
</codesource>
</grantee>
<permissions>
permission>
<class>javax.management.MBeanPermission</class>
<name>
oracle.as.management.topology.mbeans.InstanceOperations#getAttribute
</name>
<actions>invoke</actions>
</permission>
</permissions>
</grant>
</jazn-policy>
この要素は、セキュリティ・レルム、およびそれに含まれるユーザーとエンタープライズ・グループを指定します(アプリケーション・レベルのロールは指定しません)。この要素は、ユーザーおよびロール情報のトップレベルの要素です。
繰返し
オプション(0または1つ)
<jazn-data> {1} <jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} ... <roles> {0 or 1} ...
例
<jazn-data ... >
...
<jazn-realm default="jazn.com">
<realm>
<name>jazn.com</name>
<users>
<user deactivated="true">
<name>anonymous</name>
<guid>61FD29C0D47E11DABF9BA765378CF9F3</guid>
<description>The default guest/anonymous user</description>
</user>
<user>
<name>developer1</name>
<credentials>!password</credentials>
</user>
<user>
<name>developer2</name>
<credentials>!password</credentials>
</user>
<user>
<name>manager1</name>
<credentials>!password</credentials>
</user>
<user>
<name>manager2</name>
<credentials>!password</credentials>
</user>
<!-- these are for testing the admin role hierachy. -->
<user>
<name>farm-admin</name>
<credentials>!password</credentials>
</user>
<user>
<name>farm-monitor</name>
<credentials>!password</credentials>
</user>
<user>
<name>farm-operator</name>
<credentials>!password</credentials>
</user>
<user>
<name>farm-auditor</name>
<credentials>!password</credentials>
</user>
<user>
<name>farm-auditviewer</name>
<credentials>!password</credentials>
</user>
</users>
<roles>
<role>
<name>users</name>
<guid>31FD29C0D47E11DABF9BA765378CF9F7</guid>
<display-name>users</display-name>
<description>users role for rmi/ejb access</description>
</role>
<role>
<name>ascontrol_appadmin</name>
<guid>51FD29C0D47E11DABF9BA765378CF9F7</guid>
<display-name>ASControl App Admin Role</display-name>
<description>
Application Administrative role for ASControl
</description>
</role>
<role>
<name>ascontrol_monitor</name>
<guid>61FD29C0D47E11DABF9BA765378CF9F7</guid>
<display-name>ASControl Monitor Role</display-name>
<description>Monitor role for ASControl</description>
</role>
<role>
<name>developers</name>
<members>
<member>
<type>user</type>
<name>developer1</name>
</member>
<member>
<type>user</type>
<name>developer2</name>
</member>
</members>
</role>
<role>
<name>managers</name>
<members>
<member>
<type>user</type>
<name>manager1</name>
</member>
<member>
<type>user</type>
<name>manager2</name>
</member>
</members>
</role>
</roles>
</realm>
</jazn-realm>
...
</jazn-data>
この要素は、リソース・タイプ内のクラスの完全修飾名を指定します。このタイプのリソースに対する問合せは、このマッチャ・クラスに委任されます。値では、大文字と小文字が区別されます。
繰返し
オプション(ゼロ個以上)
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories> {0 or 1}
...
<resource-types> {0 or 1}
<resource-type> {1 or more}
<name> {1}
<display-name> {1}
<description> {0 or 1}
<provider-name> {1}
<matcher-class> {1}
<actions-delimiter> {1}
<actions> {1 or more}
この要素は、<role>要素や<app-role>要素などのセットのメンバーを指定します。
<role>要素の下では、エンタープライズ・グループのメンバーを指定します。メンバーには、ユーザーまたはその他のエンタープライズ・グループを指定できます。<name>サブ要素はメンバーの名前を指定し、<type>サブ要素はメンバー・タイプ(ユーザーまたはエンタープライズ・グループ)を指定します。
<app-role>要素の下では、アプリケーション・ロールのメンバーを指定します。メンバーには、ユーザー、エンタープライズ・グループまたはアプリケーション・ロールを指定できます。<name>サブ要素はメンバーの名前を指定し、<class>サブ要素はメンバーを実装するクラスを指定します。メンバー・タイプは、<class>要素を通じて決まります。
オプションのサブ要素には、<uniquename>と<guid>があり、一意の名前とグローバル一意識別子を指定します。これらのサブ要素は、内部使用のみを目的としています。
繰返し
オプション(ゼロ個以上)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} ... <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <members> {0 or 1} <member> {0 or more} <type> {1} <name> {1} <owners> {0 or 1} <owner> {0 or more} <type> {1} <name> {1}
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} ... <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
この要素は、パーミッション・セットのリソースを指定します。
繰返し
<member-resources>内に1つ以上必要です。
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<permission-sets>
<permission-set>
<name>
<member-resources>
<member-resource>
<resource-name>
<type-name-ref>
<actions>
この要素は、メンバー・リソースのセットを指定します。
繰返し
<permission-sets>内に1つ以上必要です。
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<permission-sets>
<permission-set>
<name>
<member-resources>
<member-resource>
<resource-name>
<type-name-ref>
<actions>
この要素は、メンバーのセットを指定します。
繰返し
オプション(0または1つ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} ... <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <members> {0 or 1} <member> {0 or more} <type> {1} <name> {1} <owners> {0 or 1} <owner> {0 or more} <type> {1} <name> {1}
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} ... <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
この要素には、ファイル内のこの要素の場所に応じたいくつかの使用方法があります。
<app-role>要素内では、ポリシー構成のアプリケーション・レベルのロール名を指定します。例:
<name>Farm=farm1,name=FullAdministrator</name>
または、より簡単な例は次のとおりです。
<name>Myrolename</name>
<application>要素内では、ポリシー・コンテキストIDを指定します。通常、これはデプロイ時のアプリケーション名です。
<attribute>要素内では、アプリケーション・レベルのロールの追加属性の名前を指定します。
<member>要素内では、エンタープライズ・グループまたはアプリケーション・ロールのメンバー名を指定します(<member>要素の場所に応じて指定します)。たとえば、fmwadminユーザーをロールのメンバーにする場合は、次のようになります。
<name>fmwadmin</name>
<owner>要素内では、エンタープライズ・グループの所有者の名前を指定します。例:
<name>mygroupowner</name>
<permission>要素内では、適宜、パーミッション・クラスに有意義なパーミッションの名前を指定できます。値では、大文字と小文字が区別されます。例:
<name> oracle.as.management.topology.mbeans.InstanceOperations#getAttribute </name>
または
<name>getContext</name>
<principal>要素(パーミッションをプリンシパルに付与する要素)内では、所定のレルム内のプリンシパルの名前を指定します。例:
<name>Administrators</name>
<realm>要素内では、レルム名を指定します。例:
<name>jazn.com</name>
<role>要素内では、レルム内のエンタープライズ・グループの名前を指定します。例:
<name>Administrators</name>
<user>要素内では、レルム内のユーザーの名前を指定します。例:
<name>fmwadmin</name>
<resource-type>要素に必須で、リソース・タイプの名前を指定します。例:
<name>restype1</name>
親要素
<app-role>、<application>、<attribute>、<member>、<owner>、<permission>、<principal>、<realm>、<role>または<user>
繰返し
<permission>以外の親要素内で必須、1つのみ。<permission>要素内ではオプション、0または1。
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <credentials> {0 or 1} <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <members> {0 or 1} <member> {0 or more} <type> {1} <name> {1} <owners> {0 or 1} <owner> {0 or more} <type> {1} <name> {1}
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
例
<application>
<name>peanuts</name>
<app-roles>
<app-role>
<name>snoopy</name>
<display-name>application role snoopy</display-name>
<class>oracle.security.jps.service.policystore.ApplicationRole</class>
<members>
<member>
.......
例については、「<jazn-policy>」、「<jazn-realm>」および「<policy-store>」を参照してください。
この要素は、エンタープライズ・グループの所有者を指定します。所有者は、ロールに対する管理権限を持っています。
所有者は、ユーザーや別のエンタープライズ・グループです。<type>サブ要素は、所有者のタイプを指定します。ロール(グループ)所有者の概念は、特に、BPELやOracle Internet Directoryの機能に関連しています。たとえば、BPELでは、ロール所有者はロールのワークフロー・ルールの作成や更新ができます。
|
注意: Oracle Internet Directoryでグループ所有者を作成するには、Oracle Delegated Administration Servicesを使用します。外部(サード・パーティ)のLDAPサーバーについては、グループの所有者の属性値は、ldapmodifyまたは特定のディレクトリ・サーバーのツールを使用して設定します。 |
繰返し
オプション(ゼロ個以上)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} ... <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <members> {0 or 1} <member> {0 or more} <type> {1} <name> {1} <owners> {0 or 1} <owner> {0 or more} <type> {1} <name> {1}
この要素は、所有者のセットを指定します。
繰返し
オプション(0または1つ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} ... <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <members> {0 or 1} <member> {0 or more} <type> {1} <name> {1} <owners> {0 or 1} <owner> {0 or more} <type> {1} <name> {1}
この要素は、権限受領者に付与するパーミッションを指定します。この場合の権限受領者は、ポリシー構成の一環として、プリンシパル・セット、コードソース、またはその両方になります。
繰返し
親要素内で必須(1つ以上)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、パーミッションのセットを指定します。
<permissions>要素(パラレルの<grantee>要素と組み合せて使用)は、<permission>サブ要素セットを通じて、付与するパーミッションを指定します。
|
注意: system-jazn-data.xmlスキーマ定義では、この要素は必須要素として指定されませんが、Oracle Platform Securityランタイム実装では、任意の<grant>要素内でこの要素を使用する必要があります。 |
繰返し
オプション(0または1つ)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
パーミッション・セットまたは権限は、パーミッションのセットを指定します。
繰返し
オプション(ゼロ個以上)
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<permission-sets>
<permission-set>
<name>
<member-resources>
<member-resource>
<resource-name>
<type-name-ref>
<actions>
例
次のコードは、パーミッション・セット(または権限)の構成を示しています。
<permission-sets>
<permission-set>
<name>permsetName</name>
<member-resources>
<member-resource>
<type-name-ref>TaskFlowResourceType</type-name-ref> <resource-name>resource1</resource-name>
<actions>customize,view</actions>
</member-resource>
</member-resources>
</permission-set>
</permission-sets>
パーミッション・セットに関して、次の点に留意してください。
<member-resource>で指定するアクションは、<resource-name-ref>で参照しているリソース・タイプで指定されているアクションから選択する必要があります。
<member-resources>には、複数の<member-resource>要素を指定できます。
パーミッション・セットには1つ以上のリソースが必要です。
どの権限でも参照していないパーミッション・セットが存在していてもかまいません。つまり、パーミッション・セットをプリンシパルに必ずしも付与する必要はありません。
また、パーミッション・セットのエントリで次の文字列を使用する場合は、大文字小文字の区別のルールに従う必要があります。
名前では、大文字と小文字は区別されません。
説明の文字列では、大文字と小文字は区別されません。
表示名では、大文字と小文字は区別されません。
この要素は、パーミッション・セットのセットを指定します。
繰返し
オプション(ゼロ個以上)
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<permission-sets>
<permission-set>
<name>
<member-resources>
<member-resource>
<resource-name>
<type-name-ref>
<actions>
この要素は、<applications>サブ要素を通じてアプリケーション・レベルのポリシーを構成します。<applications>要素の下には、各アプリケーションの<application>サブ要素があり、アプリケーション・レベルのポリシーが含まれます。ポリシーは、各<application>要素の<jazn-policy>サブ要素を通じて指定されます。
|
注意: <jazn-principal-classes>および<jazn-permission-classes>の要素とそれらのサブ要素は、<policy-store>のサブ要素としてsystem-jazn-data.xmlスキーマの定義の中に現れることがありますが、それは後方互換性の確保のみを目的としたものです。 |
繰返し
オプション(0または1つ)
<jazn-data> {1} <policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} ...
例
<jazn-data ... >
...
<policy-store>
<!-- application policy -->
<applications>
<application>
<name>policyOnly</name>
<jazn-policy>
...
</jazn-policy>
</application>
<application>
<name>roleOnly</name>
<app-roles>
<app-role>
<name>Fellowship</name>
<display-name>Fellowship of the Ring</display-name>
<class>
oracle.security.jps.service.policystore.ApplicationRole
</class>
</app-role>
<app-role>
<name>King</name>
<display-name>Return of the King</display-name>
<class>
oracle.security.jps.service.policystore.ApplicationRole
</class>
</app-role>
</app-roles>
</application>
<application>
<app-roles>
<app-role>
<name>Farm=farm1,name=FullAdministrator</name>
<display-name>farm1.FullAdministrator</display-name>
<guid>61FD29C0D47E11DABF9BA765378CF9F2</guid>
<class>
oracle.security.jps.service.policystore.ApplicationRole
</class>
<members>
<member>
<class>
oracle.security.jps.internal.core.principals.JpsXmlEnterpriseRoleImpl
</class>
<name>admin</name>
</member>
</members>
</app-role>
</app-roles>
<jazn-policy>
...
</jazn-policy>
</application>
...
</applications>
</policy-store
....
</jazn-data
<jazn-policy>の例については、この要素を参照してください。
この要素は、ポリシー構成の一環として、<permissions>要素で指定されているパーミッションを付与されるプリンシパルを指定します。<principals>の下に必要です。
サブ要素は、プリンシパルの名前とそれを実装するクラスを指定します。また、オプションで、一意の名前とグローバル一意識別子を指定します(この2つは内部使用のみを目的としています)。
プリンシパル名を比較する方法の詳細は、第2.7項「プリンシパル名の比較ロジック」を参照してください。
繰返し
オプション(ゼロ個以上)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、プリンシパルのセットを指定します。
ポリシー構成では、<principals>要素あるいは<codesource>要素は、<grantee>要素の下で使用され、該当のパーミッションが付与される対象を指定します。<principals>要素は、パーミッションを付与されるプリンシパル・セットを指定します。
これらのパーミッションが付与されるサブジェクトには、指定のプリンシパルがすべて含まれている必要があります。
繰返し
オプション(0または1つ)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、リソース・タイプ・プロバイダの名前を指定します。リソースは、OPSSポリシー・ストアの外部の場所にあります。値では、大文字と小文字は区別されません。
繰返し
オプション(ゼロ個以上)
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<resource-types>
<resource-type>
<name>
<display-name>
<description>
<provider-name>
<matcher-class>
<actions-delimiter>
<actions>
この要素は、セキュリティ・レルム、およびこのレルムに属するユーザーとロールを指定します。
繰返し
オプション(ゼロ個以上)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} ... <roles> {0 or 1} ...
この要素は、アプリケーション・リソースを指定し、そのリソースに関する情報を含みます。
繰返し
<resources>の下に1つ以上必要です。
<resources> (0 or more) <resource> (1 or more) <name> (1) <display-name> (1) <description> {0 or 1} <type-name-ref> (1)
例
次のコードは、リソース(リソース・インスタンス)の構成を示しています。
<resources>
<resource>
<name>resource1</name>
<display-name>Resource1DisplayName</display-name>
<description>Resource1 Description</description>
<type-name-ref>TaskFlowResourceType</type-name-ref>
</resource>
</resources>
リソースのエントリでは、様々な文字列の大文字と小文字の区別に関して次の点に留意してください。
名前では、大文字と小文字が区別されます。
説明の文字列では、大文字と小文字は区別されません。
表示名では、大文字と小文字は区別されません。
この要素は、アプリケーション・リソースの集合を指定します。
繰返し
オプション(ゼロ個以上)
<resources> (0 or more)
<resource> (1 or more)
<name> (1)
<display-name> (1)
<description> {0 or 1}
<type-name-ref> (1)
この要素は、パーミッション・セット内のメンバー・リソースを指定します。値では、大文字と小文字が区別されます。
繰返し
オプション(ゼロ個以上)
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<permission-sets>
<permission-set>
<name>
<member-resources>
<member-resource>
<resource-name>
<type-name-ref>
<actions>
この要素は、フロー、ジョブ、Webサービスなど、保護アーティファクトのタイプを指定します。値では、大文字と小文字は区別されません。
子要素
<name>、<display-name>、<description>、<actions>、<actions-delimiter>、<matcher-class>、<provider-name>
繰返し
オプション(ゼロ個以上)
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<resource-types>
<resource-type>
<name>
<display-name>
<description>
<provider-name>
<matcher-class>
<actions-delimiter>
<actions>
例
次のコードは、リソース・タイプの構成を示しています。
<resource-types>
<resource-type>
<name>TaskFlowResourceType</name>
<display-name>TaskFlowResourceType_disp</display-name>
<description>Resource Type for Task Flow</description>
<provider-name>resTypeProv</provider-name>
<matcher-class>
oracle.adf.controller.security.TaskFlowPermission</matcher-class>
<actions-delimiter>,</actions-delimiter>
<actions>customize,view</actions>
</resource-type>
</resource-types>
リソース・タイプの指定では次の点が適用されます。
名前は必須で、大文字と小文字は区別されません。
プロバイダ名は省略可能で、大文字と小文字は区別されません。外部ストア(OPSSドメイン・ポリシー・ストア以外のストア)で管理しているリソースがある場合にプロバイダを使用することが普通です。
プロバイダ名を指定する場合、<provider-name>要素に記述したクラスはリソース・ファインダとして使用されます。このタイプのリソースに対する問合せ(ResourceManager検索APIを使用して実行)は、OPSSドメイン・ポリシー・ストアに対して組込みのリソース・ファインダを使用せずに、このマッチャ・クラスに委任されます。
マッチャ・クラス名は必須で、大文字と小文字が区別されます。
説明の文字列は省略可能で、大文字と小文字は区別されません。
表示名は省略可能で、大文字と小文字は区別されません。
アクションの文字列はオプションで、大文字と小文字が区別されます。リソース・タイプのアクションのリストは空でもかまいません。アクション・リストが空の場合、リソース・タイプのインスタンスに対するアクションは外部で指定され、OPSSでは不定になります。
この要素は、リソース・タイプのセットを指定します。
繰返し
オプション(ゼロ個以上)
<policy-store> {0 or 1}
<applications> {0 or 1}
<application> {1 or more}
<name> {1}
<description> {0 or 1}
<app-roles> {0 or 1}
...
<role-categories>
...
<resource-types>
<resource-type>
<name>
<display-name>
<description>
<provider-name>
<matcher-class>
<actions-delimiter>
<actions>
この要素は、アプリケーション・レベルのロールではなく、エンタープライズ・セキュリティ・ロールを指定します。また、そのロールのメンバー(およびオプションで所有者)も指定します。
繰返し
オプション(ゼロ個以上)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <credentials> {0 or 1} <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <members> {0 or 1} <member> {0 or more} <type> {1} <name> {1} <owners> {0 or 1} <owner> {0 or more} <type> {1} <name> {1}
この要素は、<role-category>要素の親要素を指定します。
繰返し
オプション(0または1つ)
<application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <role-categories> <role-category> <name> <description> <display-name>
この要素は、カテゴリ(アプリケーション・ロールのフラット・セット)を指定します。
繰返し
オプション(0または1つ)
<application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <role-categories> <role-category> <name> <description> <display-name> <members>
この要素は、ロール・カテゴリ内のアプリケーション・ロールを指定します。
繰返し
オプション(0または1つ)
<application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <role-categories> <role-category> <name> <description> <members> <role-name-ref>
この要素は、セキュリティ・レルムに属するエンタープライズ・セキュリティ・ロールのセットを指定します。
繰返し
オプション(0または1つ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <credentials> {0 or 1} <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <members> {0 or 1} <member> {0 or more} <type> {1} <name> {1} <owners> {0 or 1} <owner> {0 or more} <type> {1} <name> {1}
この要素は、エンタープライズ・グループ・メンバーまたはロール所有者のタイプを指定します。具体的には、メンバーや所有者がユーザーなのか別のロールなのかを指定します。
<type>user</type>
または
<type>role</type>
繰返し
必須(1つのみ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} ... <roles> {0 or 1} <role> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <members> {0 or 1} <member> {0 or more} <type> {1} <name> {1} <owners> {0 or 1} <owner> {0 or more} <type> {1} <name> {1}
この要素は、リソースのリソース・タイプを指定します。
繰返し
1つのみ。<resource>または<member-resource>に必要です。
<resources> (0 or more)
<resource> (1 or more)
<name> (1)
<display-name> (1)
<description> {0 or 1}
<type-name-ref> (1)
内部使用向けのこの要素は、項目を参照するための一意の名前を指定する文字列値をとります。(JpsPrincipalクラスは、GUIDと一意の名前を使用してプリンシパルを一意に識別できます。GUIDと一意の名前は両方とも、基礎となるポリシー・プロビジョニングAPIによって算出されます。)親要素に応じて、項目はアプリケーション・ロール、アプリケーション・ロール・メンバー(エンタープライズ・グループ・メンバーではない)、またはプリンシパルになりえます。通常は、LDAPプロバイダで使用され、項目(アプリケーション・ロール・メンバーなど)を一意に識別します。一意の名前は、Oracle Platform Securityによって生成され、内部で使用されることがあります。
アプリケーション・ロールの一意の名前は、appid=application_name, name=actual_rolenameの形式になります。例:
<principal>
<class>
oracle.security.jps.service.policystore.adminroles.AdminRolePrincipal
</class>
<uniquename>
APPID=App1,name="FARM=D.1.2.3,APPLICATION=PolicyServlet,TYPE=OPERATOR"
</uniquename>
</principal>
繰返し
オプション(0または1つ)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} ... <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
この要素は、パーミッションを付与されたコードのURLを指定します。
次の点に注意してください:
URL値は単一クラスに制限できません。
接尾辞.jarが付いたURL値は、指定されたディレクトリにあるJARファイルに一致します。
接尾辞/が付いたURL値は、指定されたディレクトリにあるすべてのクラス・ファイルに一致します(JARファイルには一致しません)。
接尾辞/*が付いたURL値は、指定されたディレクトリにあるすべてのファイル(クラス・ファイルとJARファイルの両方)に一致します。
接尾辞/-が付いたURL値は、指定されたディレクトリにあるすべてのファイル(クラス・ファイルとJARファイルの両方)に一致し、サブディレクトリにあるすべてのファイルに再帰的に一致します。
システム変数oracle.deployed.app.dirとoracle.deployed.app.extを使用することによって、プラットフォームとは無関係なURLを指定できます。
繰返し
親要素内で必須(1つのみ)
<jazn-policy> {0 or 1} <grant> {0 or more} <description> {0 or 1} <grantee> {0 or 1} <principals> {0 or 1} <principal> {0 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1} <codesource> {0 or 1} <url> {1} <permissions> {0 or 1} <permission> {1 or more} <class> {1} <name> {0 or 1} <actions> {0 or 1}
例
次の例は、システム変数oracle.deployed.app.dirとoracle.deployed.app.extを使用して、サーバー・プラットフォームとは無関係なURLを指定する方法を示しています。
アプリケーション権限でサーバー・プラットフォームとは異なるコードソースURLが必要だとします。
On WebLogic
<grant>
<grantee>
<codesource>
<url>file:${domain.home}/servers/${weblogic.Name}/tmp/_WL_user/myApp/-</url>
</codesource>
</grantee>
<permissions> ... </permissions>
</grant>
On WebSphere
<grant>
<grantee>
<codesource>
<url>file:${user.install.root}/installedApps/${was.cell.name}/myApp/-</url>
</codesource>
</grantee>
<permissions> ... </permissions>
</grant>
その後、次のシステム変数設定を使用します。
On WebLogic
-Doracle.deployed.app.dir=${DOMAIN_HOME}/servers/${SERVER_NAME}/tmp/_WL_user
-Doracle.deployed.app.ext=/-
On WebSphere
-Doracle.deployed.app.dir=${USER_INSTALL_ROOT}/installedApps/${CELL}
-Doracle.deployed.app.ext=.ear/-
次の指定は、WebLogicとWebSphere両方のプラットフォームで有効です。
<grant>
<grantee>
<codesource>
<url>file:${oracle.deployed.app.dir}/<MyApp>${oracle.deployed.app.ext}</url>
</codesource>
</grantee>
<permissions> ... </permissions>
</grant>
この要素は、レルム内のユーザーを指定します。
属性
| 名前 | 説明 |
|---|---|
deactivated |
ユーザーが有効かどうかを指定します。
ユーザーを構成ファイル内に保持するものの、現在有効なユーザーにしない場合は、この属性を 値: デフォルト値: |
繰返し
オプション(ゼロ個以上)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <credentials> {0 or 1} <roles> {0 or 1} ...
この要素は、レルムに属するユーザーのセットを指定します。
繰返し
オプション(0または1つ)
<jazn-realm> {0 or 1} <realm> {0 or more} <name> {1} <users> {0 or 1} <user> {0 or more} <name> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <credentials> {0 or 1} <roles> {0 or 1} ...
この要素は、属性の値を指定します。<extended-attributes>要素を使用すると、アプリケーション・レベルのロールに属性を追加で指定できます。
繰返し
親要素内で必須(1つのみ)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
例
<app-roles>
<app-role>
<name>Knight</name>
<display-name>Fellowship of the Ring</display-name>
<class>oracle.security.jps.service.policystore.ApplicationRole</class>
<extended-attributes>
<attribute>
<name>SCOPE</name>
<values>
<value>Part-I</value>
</values>
</attribute>
</extended-attributes>
</app-role>
この要素は、属性値をそれぞれ指定する値のセットを指定します。属性ごとに複数の値を指定できます。
繰返し
親要素内で必須(1つのみ)
<policy-store> {0 or 1} <applications> {0 or 1} <application> {1 or more} <name> {1} <description> {0 or 1} <app-roles> {0 or 1} <app-role> {1 or more} <name> {1} <class> {1} <display-name> {0 or 1} <description> {0 or 1} <guid> {0 or 1} <uniquename> {0 or 1} <extended-attributes> {0 or 1} <attribute> {1 or more} <name> {1} <values> {1} <value> {1 or more} <members> {0 or 1} <member> {1 or more} <name> {1} <class> {1} <uniquename> {0 or 1} <guid> {0 or 1}
例
<app-roles>
<app-role>
<name>Knight</name>
<display-name>Fellowship of the Ring</display-name>
<class>oracle.security.jps.service.policystore.ApplicationRole</class>
<extended-attributes>
<attribute>
<name>SCOPE</name>
<values>
<value>Part-I</value>
</values>
</attribute>
</extended-attributes>
</app-role>
