複数の種類のユーザーがOracle Java Cloud Serviceに関連付けられています。 それぞれが固有の目的を持ち、特定のアイデンティティ・ストアで検出されます。
WebLogic Server管理者
Oracle Java Cloud ServiceインスタンスにはOracle WebLogic Serverドメインが含まれ、このドメインは、1つの管理サーバーと1つ以上の管理対象サーバーで構成されます。 ドメインでは、ドメイン内のすべてのサーバーにおける認証、認可、ロール・マッピング、資格証明マッピングおよびセキュリティ監査を制御するセキュリティ・レルムも定義されます。 サービス・インスタンスを作成するとき、このWebLogicセキュリティ・レルムの最初のユーザーの資格証明を指定します。 このユーザーは管理者ロールを持ち、WebLogic Server管理コンソール、Fusion Middleware Control、WebLogic Scripting Tool (WLST)またはWebLogic REST APIのいずれかを使用して、すべてのWebLogic Server管理操作を実行できます。 また、デフォルトのWebLogic管理者を使用して追加のWebLogic管理者を作成し、その管理者に特定のロールおよび権限を割り当てることができます。 たとえば、デプロイヤ・ロールを持つユーザーは、Javaアプリケーションをドメインにデプロイできます。
デフォルトでは、Oracle Java Cloud Serviceインスタンス内のドメインは、WebLogic Serverのロール、ユーザーおよびポリシーに組込みLDAPアイデンティティ・ストアを使用するように構成されます。 この組込みLDAPは管理サーバー内でホスティングされ、ドメイン内のすべての管理対象サーバーにレプリケートされます。 デフォルト・セキュリティ構成では要件が満たされない場合、デフォルト・セキュリティ・レルムを変更するか、WebLogicセキュリティ・プロバイダとカスタム・セキュリティ・プロバイダを自由に組み合せて新しいセキュリティ・レルムを作成できます。 WebLogicセキュリティの詳細は、次を参照してください。
Oracle WebLogic Serverのセキュリティの理解(12.2.1)
Oracle WebLogic Serverのセキュリティの理解(12.1.3)
Oracle WebLogic Serverのセキュリティの理解(11.1.1.7)
アプリケーション・ユーザー
Oracle Java Cloud ServiceインスタンスのWebLogic ServerドメインにデプロイされたJavaアプリケーションは、不正なアクセスからアプリケーションを保護するセキュリティ・ポリシーを持つことができます。 WebLogic Serverでは、リクエストしているユーザーまたはソフトウェア・エンティティにアイデンティティを割り当てる様々なセキュリティ・プロバイダがサポートされます。 たとえば、WebLogic Serverは、ユーザー名およびパスワードを検証することにより、アプリケーション・ユーザーのアイデンティティを決定できます。
デフォルトでは、Oracle Java Cloud Serviceインスタンス内のドメインは、WebLogic管理者およびアプリケーション・ユーザーの両方に組込みLDAPアイデンティティ・ストアを使用するように構成されます。 WebLogic Server管理コンソールなどの標準のWebLogicツールを使用して、ユーザー、グループ、ロールおよびポリシーを組込みLDAPで管理できます。
デフォルト・セキュリティ構成では要件が満たされない場合、デフォルト・セキュリティ・レルムを変更するか、WebLogicセキュリティ・プロバイダとカスタム・セキュリティ・プロバイダを自由に組み合せて新しいセキュリティ・レルムを作成できます。 大規模な本番アプリケーションの場合、組込みLDAPのかわりに、Oracle Identity Managementなどの適切なアイデンティティ管理システムを使用することをお薦めします。
データベース・ユーザー
Oracle Java Cloud Serviceインスタンスでは、少なくとも1つのOracleデータベースへのアクセスが必要です。Oracle Java Cloud Serviceでは、選択したデータベースがOracle Fusion Middleware (FMW)スキーマを使用してプロビジョニングされ、また、サービス・インスタンス内のWebLogic Serverドメインがこのデータベースに接続されます。 サービス・インスタンスを作成するとき、このFMWデータベースのアクセスおよび更新を行うための適切な資格証明を指定します。
WebLogic Server管理コンソールなどの標準のWebLogicツールを使用して、サービス・インスタンスを追加のリレーショナル・データベースに接続することもできます。 FMWデータベースの場合と同様に、これらのアプリケーション・データベースへの接続に必要な資格証明を指定する必要があります。
注意:
データベースがOracle Database 12cを実行している場合、ユーザーをコンテナ・データベース(CDB)またはプラガブル・データベース(PDB)に範囲指定できます。 WebLogic Serverから特定のPDBに接続するには、CDBではなくターゲットPDBにユーザー資格証明を指定するようにしてください。WebLogic Serverでのデータベース接続の詳細は、次を参照してください。
Oracle WebLogic Server JDBCデータ・ソースの構成と管理 (11.1.1.7)
WebLogic ServerドメインのコンポーネントはOracle Platform Security Services (OPSS)であり、これにはサービス・インスタンスのFMWデータベースへの接続が必要です。 このデータベース接続の資格証明は、jps-config.xmlという名前の別のファイルに格納されます。
ロード・バランサ管理者
Oracle Java Cloud Serviceインスタンスは、Oracle Traffic Directorを実行するロード・バランサをオプションで含むことができます。 ロード・バランサは、アプリケーション・トラフィックをWebLogic Serverドメイン内のサーバーに分散させます。 Traffic Directorには、WebLogic Serverと同様の管理/管理対象サーバー・アーキテクチャと固有のアイデンティティ・ストアがあります。 サービス・インスタンスを作成するとき、指定したWebLogic Server管理者資格証明と同じものがデフォルトのTraffic Director資格証明としても使用されます。 このユーザーには、ロード・バランサ・コンソールおよび他のTraffic Directorツールへの完全な管理アクセス権があります。 ロード・バランサ・コンソールを使用して追加のTraffic Director管理者も作成できます。 「OPCMでのOracle Java Cloud Service Instanceのロード・バランサの構成」を参照してください。
VM OSユーザー
各Oracle Java Cloud Serviceインスタンスは、セキュア・シェル(SSH)公開鍵に関連付けられています。 一致する秘密鍵を使用すると、WebLogic Serverおよびロード・バランサを実行している基盤の仮想マシン(VM)にSSHを使用できます。 opc OSユーザーとしてVMにSSHを使用してから、WebLogic ServerなどのOracle Java Cloud Serviceソフトウェアを管理するため、または追加のOracleソフトウェアをインストールするために、oracle OSユーザーに切り替えます。 opcユーザーにはOSに対するroot権限があり、OS構成を変更する必要がある場合は、追加のOSユーザーの作成や、追加のOSパッケージのインストールを行うことができます。 セキュア・シェル(SSH)を介したVMへのアクセスを参照してください。