この章では、Oracle Business Activity Monitoring (Oracle BAM)への様々なアクセス・レベルを持つユーザー、グループおよびロールの作成方法について説明します。また、Oracle WebLogic Server内でOracle BAMのセキュリティを構成する方法についても説明します。
この章の内容は次のとおりです。
Oracle BAMセキュリティは、Oracle WebLogic Serverセキュリティに依存しています。
Oracle BAMのユーザーとグループは、Oracle WebLogic Server管理コンソールで作成されます。BAMグループに対応し、BAMグループにデフォルト権限を付与するロールが、Oracle Enterprise Manager Fusion Middleware Controlで定義されます。
Oracle BAMのエンティティごとに、BAMユーザーに割当て可能な権限を所有します。プロジェクトの一部であるすべてのエンティティがデフォルトでプロジェクトの権限を継承します。データ・オブジェクト・セキュリティには、メタデータ・セキュリティとデータ(行)セキュリティがあります。
BAMエンティティの権限は、次のとおりです。
読取り: エンティティ、またはデータ・オブジェクトのメタデータを表示する権限。
書込み: エンティティ、またはデータ・オブジェクトのメタデータを編集する権限。書込み権限には、読取り権限が自動的に含まれます。
削除: エンティティを削除する権限。
選択: データ・オブジェクト内のデータを選択または読み取る権限。データ・オブジェクトに対してのみ適用されます。
これは、ビジネス問合せ、ビジネス・ビュー、ダッシュボードおよびその他のデザイナ・エンティティのデータ・オブジェクトを使用するのに必要な最小限の権限です。
削除: データ・オブジェクト行を削除する権限。データ・オブジェクトに対してのみ適用されます。
更新: データ・オブジェクト行を更新または挿入する権限。データ・オブジェクトに対してのみ適用されます。
セキュリティ: このエンティティの他のユーザーに対してこれらの権限を設定する権限。
権限は付与または拒否できます。実行時の認可では、付与されたすべての権限がORロジックを使用して結合されます。たとえば、1人のユーザーに複数のロールがあり、これらのロールのいずれかにエンティティへのアクセス権限が付与されている場合、そのユーザーはそのエンティティにアクセスできます。
ただし、管理者ユーザーまたはエンティティ所有者は、特定のロールに対して明示的にアクセス権限を拒否できます。実行時の認可では、拒否されたすべての権限がANDロジックを使用して結合され、かつ、拒否された権限は付与された権限よりも優先されます。ユーザーの所有するいずれかのロールでエンティティへのアクセスが拒否されている場合、そのユーザーの他のロールでそのエンティティへのアクセス権限が付与されていても、ユーザーはそのエンティティにアクセスできません。
特定のBAMエンティティの権限の詳細は、次の項を参照してください。
Oracle BAMには、可視性とアクセスを制御するためのユーザー・ロールが用意されています。事前定義済のユーザー・ロールを管理することに加えて、独自のユーザー・ロールを作成することもできます。
この項では、次の項目について説明します。
表16-1は、Oracle BAMの事前定義済グループおよびロールを示しています。すべてのBAMユーザーが、他の任意のグループに加えて、BAMUsersグループに含まれている必要があります。
表16-1 Oracle BAMの事前定義済セキュリティ・グループおよびロール
グループ | ロール | 説明 |
---|---|---|
BAMContentViewer |
BAMContentViewer |
ホームページで、ダッシュボードおよびアラート履歴を表示できます。 |
BAMContentCreator |
BAMContentCreator |
すべてのBAMContentViewerタスクを実行できます。「デザイナ」ページで、データ・オブジェクトの表示、プロジェクト、ダッシュボード、アラートおよびそのすべてのコンポーネントの作成を実行できます。 |
BAMArchitect |
BAMArchitect |
「管理者」ページで、データ・オブジェクトとエンタープライズ・メッセージ・ソースを作成および変更できます。 |
BAMAdministrator |
BAMAdministrator |
他のロールのすべてのタスクを実行できます。ユーザー、グループ、ロールおよび権限を作成および変更できます。Oracle BAMシステム構成を変更できます。 |
BAMUsers |
(なし) |
Oracle BAMにログインして、ホームページを表示できます。 |
デフォルトでは、BAMUsersグループにのみ含まれるユーザーは、ログインすることは可能ですが、何の権限も所有しません。また、デフォルトでは、BAMContentViewerグループおよびロールのユーザーは読取り権限を所有します。
DefaultDataAccessプロパティにより、一部のデフォルト権限が変更されます。オフ
に設定した場合、AMContentViewerおよびBAMContentCreatorグループのユーザーは、デフォルトでデータ・オブジェクトの読取り、選択または更新権限を持ちません。オン
に設定した場合、これらのグループはデフォルトでこれらの権限を持ちます。プロパティのデフォルトは、オン
です。このプロパティを設定するには、BAMサーバーのMBeanプロパティの構成を参照してください。
Oracle WebLogic Server管理コンソールでOracle BAMユーザーを構成し、グループに割り当てます。グループにユーザーを割り当てると、そのユーザーは自動的に対応するロールに割り当てられます。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーの作成に関する項およびグループへのユーザーの追加に関する項を参照してください。
ユーザーを追加し、グループに割り当てるには:
Oracle WebLogic Server管理コンソールでOracle BAMのカスタム・グループを作成できます。カスタム・グループを作成した後、カスタム・ロールを作成し、そのロールにグループを割り当てることができます。
新しいグループを作成するには、次の手順を実行します。
セキュリティはOracle WebLogic Serverで構成します。
Oracle WebLogic Serverセキュリティの管理のWebLogicドメインのセキュリティの構成に関する項を参照してください。Oracle WebLogic Serverのセキュリティに関する詳細は、Oracle WebLogic Serverセキュリティの理解のWebLogicセキュリティ・サービスの概要に関する項を参照してください。
この項では、Oracle BAMに関連する次のセキュリティについて説明します。
Oracle WebLogic Serverの資格証明マッピング機能を使用して、ユーザー名とパスワードの各プロパティを安全に格納するには、Oracle BAMアダプタを構成します。
注意:
プレーン・テキストのユーザー名とパスワードは、本番以外のモードでのみ使用します。混乱を避けるために、資格証明マッピングとプレーン・テキストのユーザー情報は一緒に使用せず、一度に一方のみ適用してください。
資格証明マッピングを構成する手順は、次のとおりです。
Oracle WebLogic Serverには、Oracle SOA SuiteおよびOracle WebCenterポータルをOracle WebLogic Serverに接続する際に、Secure Socket Layer (SSL)を有効にするための機能が用意されています。
キーストアと証明書の作成と管理には、Java Development Kit (JDK)のkeytool
ユーティリティを使用し、Oracle WebLogic Serverのリスナーの構成には、Oracle WebLogic Server管理コンソールを使用します。
詳細は、『Oracle WebLogic Serverセキュリティの管理』のSSLの構成に関する項を参照してください。
Oracle WebLogic Serverでは、SSLポートと非SSLポートの両方で実行するようにOracle BAMを構成できます。ただし、Oracle BAMがSSLポートと非SSLポートの両方で実行している場合、アラートの電子メール受信者に2つのOracle BAMレポートURLを送信することはできません。したがって、管理者は、Oracle BAMレポートURLの受信者に対して使用するアクセスのモード(SSLまたは非SSL)を決定する必要があります。
Oracle BAMをSSLモードで起動し、Oracle BAMクライアント(BAMCommandなど)でSSLを使用してEJB、JMSリソースおよびJDBCリソースを起動できるようにするには、Oracle BAMの次のプロパティを構成する必要があります。
BAMServerConfig.xml
ファイルのCommunication_Protocol
:
デフォルト値: <Communication_Protocol>t3</Communication_Protocol>
t3sを使用するSSLの場合: <Communication_Protocol>t3s</Communication_Protocol>
BAMCommandConfig.xml
ファイルのprotocol
およびport
:
デフォルト値: <protocol>t3</protocol>
デフォルト値: <port>listenport</port>
t3sを使用するSSLの場合: <protocol>t3s</protocol>
BAMCommonConfig.xml
ファイルのListenPort
を次のように設定します。
デフォルト値: <ListenPort>ListenPort</ListenPort>
SSLの場合: <ListenPort>SSLListenPort</ListenPort>