8.4 ポリシー構成の移行の概要

次の項では、OWSMポリシーの構成アーティファクトを移行する方法を説明します。この項には次のトピックが含まれます:

• キーストアの移行

• ユーザーおよびグループの移行

• 資格証明の移行

• Oracle Platform Security Servicesアプリケーションおよびシステム・ポリシーの移行

• Oracle Platform Security Services構成の移行

• SSLの移行

• Kerberos構成の移行

8.4.1 キーストアの移行

メッセージ保護ポリシーを使用している場合は、キーストアを移行する必要があります。キーストアを移行する手順は次のとおりです。

1. キーストアを新しい環境に手動でコピーします。

   Java SEアプリケーションの場合は、キーストアをユーザー定義の場所にコピーします。Java EEアプリケーションの場合は、キーストアをjps-config.xmlファイルと同じディレクトリ、DOMAIN_HOME/config/fmwconfigにコピーします。

2. デフォルトでは、キーストアの名前はdefault-keystore.jksです。キーストアの名前を変更した場合は、Oracle Platform Security Servicesのキーストア・サービス・インスタンスでキーストア名を構成する必要があります。

キーストアの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「メッセージ保護のキーストアの構成」を参照してください。

キーストア・サービスを使用してキーストアを移行する手順は次のとおりです。

1. exportKeyStoreコマンドを使用して、キーストアをファイルにエクスポートします。
2. importKeyStoreコマンドを使用して、ファイルを新しいキーストアにインポートします。

KSSにおけるキーストア移行コマンドの使用の詳細は、Oracle Platform Security Servicesによるアプリケーションの保護のキーと証明書の管理を参照してください。

8.4.2 ユーザーおよびグループの移行

ユーザーとグループは、WebLogic Serverのセキュリティ・レルムの一部として保持されます。

組込みLDAPのユーザーとグループを移行する場合は、Oracle WebLogic管理コンソールまたはWLSTのいずれかを使用してデータを移行できます。必要な手順の詳細は、『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』のセキュリティ・データの移行に関する項を参照してください。

LDAPストアのユーザーとグループを移行する場合は、移行パスはありません。新しい環境でユーザーとグループを再作成し、LDAPストアでの割当てを指定する必要があります。『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』の認証プロバイダの構成に関する項を参照してください。

8.4.3 資格証明の移行

移行が必要な可能性のある、資格証明ストアに保持された資格証明には2つのタイプがあります。

• ユーザー名およびパスワード

• キーストアおよび暗号化キー・パスワード

次の項では、移行手順を説明します。

8.4.3.1 ユーザー名およびパスワードの移行

組込みLDAPに格納されているユーザーを「ユーザーおよびグループの移行」の説明に従って移行する場合、単純に既存の資格証明を新しい資格証明ストアに移行します。必要な手順の詳細は、『Oracle WebLogic Serverセキュリティの管理 12c (12.2.1)』のセキュリティ・データの移行に関する項を参照してください。

ユーザーがLDAPストアに格納されている場合、自動移行パスはありません。資格証明ストアに資格証明を再作成する必要があります。認証の構成に関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「認証ストアの構成」を参照してください。

8.4.3.2 キーストアおよび暗号化キー・パスワードの移行

キーストアおよび暗号化キー・パスワードは、『Oracle Platform Security Servicesによるアプリケーションの保護』のセキュア・アプリケーションのデプロイに関する項の資格証明の手動での移行の説明にある手順に従って、手動で移行できます。

8.4.4 Oracle Platform Security Servicesアプリケーションおよびシステム・ポリシーの移行

Webサービスで認可ポリシーを使用する場合は、Oracle Platform Security Servicesアプリケーションおよび権限を付与するシステム・ポリシーを移行する必要があります。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のOPSSセキュリティ・ストアに関する項にあるScript migrateSecurityStoreによる移行の説明を参照してください。

8.4.5 Oracle Platform Security Services構成の移行

Oracle Platform Security Services構成には、自動移行パスはありません。新しい環境で構成を再作成する必要があります。

再作成が必要な可能性のあるOracle Platform Security Servicesの構成には、3つのタイプがあります。

• 信頼できるSAMLアサーション発行者名(すべてのSAMLポリシーに適用可能)。

  信頼できるSAML発行者名構成にデフォルトの構成を使用する場合は、移行は必要ありません。新規環境におけるSAMLの構成に関する詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成」を参照してください。

• キーストアの場所、およびキーストアとキーストア・パスワードのCSFキー構成(メッセージ保護ポリシーのみに適用可能)。

  キーストアにデフォルトの構成を使用する場合は、移行は必要ありません。新規環境におけるキーストアの構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「メッセージ保護のキーストアの構成」を参照してください。

• keytabの場所およびサービス・プリンシパル名(Kerberosポリシーに適用可能)

  新規環境におけるキータブ・ロケーションおよびサービス・プリンシパル名の構成の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の次のトピックを参照してください:

  • Fusion Middleware Controlを使用したSAMLおよびSAML2ログイン・モジュールの構成

  • Fusion Middleware Controlを使用したKerberosログイン・モジュールの構成

8.4.6 SSLの移行

SSL構成には、自動移行パスはありません。新しい環境でSSLキーストアを構成して設定する必要があります。新規環境におけるSSLキーストアの構成および設定の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「SSLのキーストアの構成」を参照してください。

8.4.7 Kerberos構成の移行

Kerberos構成を移行する手順は次のとおりです。

1. Kerberos構成ファイルを、同じディレクトリ構造の新しい環境にコピーします。Kerberos構成ファイルは、各オペレーティング・システムで次の場所にあります。

   • UNIX: : /etc/krb5.conf

   • Windows: C:\windows\krb5.ini

2. チケット・キャッシュを適切な資格証明で初期化します。

   詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』の「Kerberos Tokensの構成」を参照してください。