19 セキュリティ・タスク

この章では、Oracle Stream Explorer Visualizerで実行できるセキュリティ・タスクを紹介し、これには、ユーザー、グループおよびロールの管理や、HTTPパブリッシュ/サブスクライブ・サーバー・チャネルのセキュリティとSSLの管理があります。

この章の内容は次のとおりです。

• ユーザー、グループ、およびロールの管理

• HTTPパブリッシュ/サブスクライブ・サーバー・チャネル・セキュリティの管理

• SSL管理。

『Oracle Fusion Middleware Oracle Stream Explorerの管理』も参照してください。

19.1 ユーザー、グループ、およびロールの管理

Oracle Stream Explorerでは、ロールベースの認可制御を使用して、Oracle Stream Explorer Visualizerおよびwlevs.Adminコマンドライン・ユーティリティを保護します。すぐに使用できるデフォルトのセキュリティ・グループが各種存在しています。ユーザーを様々なグループに追加することにより、ユーザーへの様々なロールの割当ができます。

Oracle Stream Explorer Visualizer、wlevs.AdminまたはJMXを使用するカスタム管理アプリケーションを使用してOracle Stream Explorerインスタンスに接続する管理者は、ロールベースの認可を使用してアクセス権を取得します。

また、ロール・ベースの認可を使用して、HTTPパブリッシュ/サブスクライブ・サーバーへのアクセス権を制御できます。

次の2種類のロールがあります。

• アプリケーション・ロール: アプリケーション・ロールは、Oracle Stream Explorerサーバーにデプロイ済の様々なOracle CQLアプリケーションにアクセスする権限をユーザーに付与します。アプリケーション・ロールを作成し、それらをOracle Stream Explorerが提供するタスク・ロールに関連付けることができます。

  デフォルトでは、管理者ユーザーは任意のアプリケーションへアクセスできますが、非管理者ユーザーはすべてのアプリケーションへはアクセスできません。非管理者ユーザーがアプリケーションへアクセスする前に、管理者ユーザーはユーザーに関連するアプリケーション・ロールを付与する必要があります。

• タスク・ロール: タスク・ロールは、自身のアプリケーション・ロールによってアクセスが認可されたアプリケーションで様々なタスクを実行する権限を、ユーザーに付与します。Oracle Stream Explorerには、表19-1で説明するデフォルトのタスク・ロールが用意されています。

Oracle Stream Explorer Visualizerまたはwlevs.Adminの使用時に正常に認証されたユーザーには、そのグループ・メンバーシップに基づいてロールが割り当てられますが、その後の管理機能へのアクセスは、そのユーザーが保持するロールに従って制限されます。匿名ユーザー(認証されていないユーザー)は、Oracle Stream Explorer Visualizerまたはwlevs.Adminへのアクセス権を持ちません。

管理者が「構成ウィザード」を使用して新規ドメインを作成するとき、wlevsAdministratorsグループの一部となる管理者ユーザーを入力します。デフォルトでは、この情報はファイルベースのプロバイダ・のファイルストア内に格納されます。パスワードは、SHA-256アルゴリズムを使用してハッシュされます。デフォルトの管理者ユーザーの名前はoepadminで、パスワードはwelcome1です。

表19-1は、新規ドメイン作成直後に使用可能なデフォルトのOracle Stream Explorerタスク・ロールや、それらのロールに割り当てられるグループ名を説明しています。

表19-1 デフォルトのOracle Stream Explorerタスク・ロールおよびグループ タスク・ロール グループ 権限 Admin wlevsAdministrators 前述のロールが持つすべての権限および次の権限があります。 ユーザーおよびグループの作成 HTTPパブリッシュ/サブスクライブ・セキュリティの構成 Jettyやワーク・マネージャなどのシステム構成の変更 ApplicationAdmin wlevsApplicationAdmins AdminおよびBusinessUserロールのみに許可されている問合せの更新を除くすべてのOperator権限を持ちます。ApplicationAdminには、すべてのデプロイ済アプリケーションの構成を更新する権限も含まれています。 BusinessUser wlevsBusinessUsers すべてのOperator権限およびデプロイ済アプリケーションのプロセッサに関連付けられたOracle CQLルールを更新する権限を持ちます。 Deployer wlevsDeployers すべてのOperator権限およびデプロイ済アプリケーションをデプロイ、アンデプロイ、更新、一時停止、および再開する権限があります。 監視 wlevsMonitors すべてのOperator権限および監視(診断プロファイル)、記録、再生、イベント・トレースおよびイベント・インジェクションを行う権限があります。 Operator wlevsOperators すべてのサーバー・リソース、サービス、およびデプロイされたアプリケーションへの読取り専用アクセスがあります。

Oracle Stream Explorer Visualizerを使用して既存ドメイン用のグループを作成し、ロールをグループに割り当てます。ユーザーをグループに割り当てると、そのユーザーにはロールによって許可されるアクションを実行する権限が与えられます。

Oracle Stream Explorer Visualizerを使用すると、次のことを行えます。

• ユーザー・アカウントおよびパスワード

• ユーザー・グループ

• タスク・ロール。

19.2 HTTPパブリッシュ/サブスクライブ・サーバー・チャネル・セキュリティの管理

Oracle Stream Explorerは、HTTPパブリッシュ/サブスクライブ・サーバー(HTTP pub-sub server)を提供し、これは、Webクライアントがチャネルをサブスクライブし(JMSの内容と類似)、HTTP経由で非同期メッセージを使用してメッセージをチャネルへパブリッシュして、使用可能な状態になるとメッセージを受信するためにチャネルをサブスクライブするメカニズムです。

Oracle Stream Explorer Visualizerを使用すると、どのユーザーがHTTPパブリッシュ/サブスクライブ・サーバー・チャネルへアクセスできるかを指定できます。

詳細は、次を参照してください。

• HTTPパブリッシュ/サブスクライブ・サーバーのセキュリティ

• Oracle Stream Explorerの管理

19.3 SSL管理

Oracle Stream Explorerには一方向のSecure Sockets Layer (SSL)が用意されていますが、これは、Oracle Stream Explorer VisualizerとOracle Stream Explorerサーバー・インスタンス間、マルチサーバー・ドメインのOracle Stream Explorerサーバー・インスタンス間、およびwlevs.Adminコマンドライン・ユーティリティとOracle Stream Explorerサーバー・インスタンス間のネットワーク・トラフィックを保護するためのものです。

Oracle Stream Explorerサーバーのconfig.xmlファイル内のSSLを構成します。デフォルトで、構成ウィザードはOracle/Middleware/my_oep/user_projects/domains/DOMAIN_DIR/servername/configディレクトリにあるconfig.xmlファイルを作成します。

詳細は、次を参照してください。

• SSL構成

• Oracle Stream Explorerの管理