8 モバイル・セキュリティ・アクセス・サーバーのWLSTコマンド
モバイル・アクセス・セキュリティ・サーバーのWLSTコマンドは、次のMSASインスタンス管理カテゴリに分かれています。
8.1 WLSTコマンドの使用
WLSTコマンドを実行する前に次の前提条件が満たされていることを確認してください。
-
MSMドメインの管理サーバーが実行されていることを確認します。
-
IDM_HOME/common/binディレクトリから、MSAS WLSTコマンドを実行します。たとえば、/home/oracle/omsm/ORACLE_IDM/common/binなどです。 -
MSAS構成、アイデンティティ・ストアおよびリポジトリ管理のコマンドのヘルプを表示するには、実行中のサーバー・インスタンスに接続し、
help('msasManage')と入力します。 -
resetWSMPolicyRepository、セッション・コマンドおよび信頼できる発行者の構成のコマンドのヘルプを表示するには、実行中のサーバー・インスタンスに接続し、help('wsmManage')と入力します
8.2 MSAS構成のコマンド
これらのMSAS構成コマンドを使用して、MSAS構成とアプリケーション・メタデータを管理します。
表8-1 MSAS構成のコマンド
| 使用するコマンド | 目的 | WLSTの使用... |
|---|---|---|
|
MSASインスタンスのMSAS構成プロパティと、その値およびグループを表示します。 |
オンライン |
|
|
MSASインスタンスの構成プロパティを作成または変更します。 |
オンライン |
|
|
MSASインスタンスのログ出力構成を指定のレベルに設定します。 |
オンライン |
|
|
MSASインスタンスのログ出力構成を取得します。 |
オンライン |
|
|
MSASインスタンスのログ出力構成をリスト表示します。 |
オンライン |
8.2.1 displayMSASConfiguration
displayMSASConfigurationコマンドはオンライン・コマンドで、MSASインスタンスの構成プロパティと、その値およびグループを表示します。
説明
MSASインスタンスの構成プロパティと、その値およびグループを表示します。MSASインスタンスの構成ドキュメント内でプロパティが定義されていない場合は、製品に対して定義されているデフォルト値が表示されます。MSASインスタンス名が指定されていない場合や指定のMSASインスタンスが存在しない場合は、製品に対して定義されているデフォルト値が表示されます。
構文
displayMSASConfiguration(instanceName=None)
| 引数 | 定義 |
|---|---|
instanceName |
オプション。プロパティ値を表示する構成ドキュメントに関連付けられているMSASインスタンスの名前。 |
例
この例では、MSAS-123456というインスタンスについて、MSAS構成プロパティと、その値およびグループを表示します。
wls:/mydomain/serverConfig> displayMSASConfiguration('MSAS-123456')
この例では、デフォルトのMSAS構成プロパティを表示します。
wls:/mydomain/serverConfig> displayMSASConfiguration()
8.2.2 setMSASConfiguration
setMSASConfigurationコマンドはオンライン・コマンドで、MSASインスタンスに関連付けられている構成ドキュメントで構成プロパティを設定します
説明
MSASインスタンスに関連付けられている構成ドキュメントで構成プロパティを設定します。インスタンスの構成ドキュメントが存在しない場合、自動的に作成されます。値をおよび値のグループ(あるいはその両方)を指定した新しいプロパティは、構成ドキュメント内に追加できます。許容されるプロパティのセットは、その製品でサポートされるプロパティのデフォルト・セットによって決定されます。特定のプロパティ値または値のグループも、構成ドキュメントから削除できます。構成ドキュメントにプロパティがない場合は、ドキュメント自体が削除されます。
構文
setMSASConfiguration(instanceName,categoryName,propertyName,group=None,values=None)
| 引数 | 定義 |
|---|---|
instanceName |
変更する構成ドキュメントに関連付けられているMSASインスタンスの名前。 |
categoryName |
構成プロパティのカテゴリ。この受入可否は、プロパティのデフォルト・セットで検証されます。 |
propertyName |
構成プロパティの名前。この受入可否は、プロパティのデフォルト・セットで検証されます。 |
groupName |
オプション。構成ドキュメントに追加する値のセットが含まれているグループ。グループが存在し、この値が |
propertyValues |
オプション。構成ドキュメント内のプロパティまたはグループに設定する値の配列。デフォルトは「None」で、空の配列リストを参照しています |
例
この例では、MSAS-123456というMSASインスタンスでSSLキーストアの場所を設定します。
wls:/mydomain/serverConfig> setMSASConfiguration('MSAS-123456','ServerSettings','ssl.keystore.location',None,['kss://mag1/sslkeystore'])
8.2.3 setMSASLogLevel
setMSASLogLevelコマンドはオンライン・コマンドで、MSASインスタンスのログ出力構成を指定のレベルに設定します。
説明
MSASインスタンスのログ出力構成を指定のレベル(WARNINGなど)に設定します。
構文
setMSASLogLevel(instanceName,logger,level)
| 引数 | 定義 |
|---|---|
instanceName |
変更するMSASインスタンスのロギング構成の名前。このオプションは必須で、デフォルト値はありません。 |
logger |
ロガーの名前。空の文字列は、ルート・ログ出力を示します。このオプションは必須で、デフォルト値はありません。 |
level |
レベル名。次のいずれかにする必要があります。
空の文字列を使用すると、レベルをnullに設定できます(親から継承)。このオプションは必須で、デフォルト値はありません。 |
例
この例では、MSAS-123456というインスタンスでoracle.idm.gateway.grsというMSASログ出力に対してロギング・レベルFINESTを設定します。
wls:/mydomain/serverConfig> setMSASLogLevel('MSAS-123456','oracle.idm.gateway.grs','FINEST'])
この例では、MSAS-123456というインスタンスでoracle.idm.gateway.grsというMSASログ出力に対してロギング・レベルをnullに設定します。
wls:/mydomain/serverConfig> setMSASLogLevel('MSAS-123456','oracle.idm.gateway.grs',''])
この例では、MSAS-123456というインスタンスでルート・ログ出力に対してロギング・レベルSEVEREを設定します。
wls:/mydomain/serverConfig> setMSASLogLevel('MSAS-123456','','SEVERE'])
8.2.4 getMSASLogLevel
getMSASLogLevelコマンドはオンライン・コマンドで、MSASインスタンスのログ出力構成を取得します。
説明
MSASインスタンスのログ出力構成を取得します。
構文
getMSASLogLevel(instanceName,logger)
| 引数 | 定義 |
|---|---|
instanceName |
ロギング構成のMSASインスタンスの名前。このオプションは必須で、デフォルト値はありません。 |
logger |
ロガーの名前。空の文字列は、ルート・ログ出力を示します。このオプションは必須で、デフォルト値はありません。 |
例
この例では、MSAS-123456というインスタンスでoracle.idm.gateway.grsというMSASログ出力に対するロギング・レベルを取得します。
wls:/mydomain/serverConfig> getMSASLogLevel('MSAS-123456','oracle.idm.gateway.grs')
この例では、MSAS-123456というインスタンスでルートMSASログ出力に対するロギング・レベルを取得します。
wls:/mydomain/serverConfig> getMSASLogLevel('MSAS-123456','oracle.idm.gateway.grs')
8.2.5 listMSASLoggers
listMSASLoggersコマンドはオンライン・コマンドで、MSASインスタンスのログ出力構成をリスト表示します。
説明
MSASインスタンスのログ出力構成をリスト表示します。
構文
listMSASLoggers(instanceName)
| 引数 | 定義 |
|---|---|
instanceName |
ロギング構成のMSASインスタンスの名前。このオプションは必須で、デフォルト値はありません。 |
例
この例では、MSAS-123456というMSASインスタンスのログ出力をリスト表示します。
wls:/mydomain/serverConfig> listMSASLoggers('MSAS-123456'])
8.3 MSASアイデンティティ・ストア・プロファイルのコマンド
これらのコマンドを使用して、アイデンティティ・ストア・プロファイルを管理します。これは、ユーザー・リポジトリの論理表現です。アイデンティティ・ストアの構成は、MSASリポジトリのアイデンティティ・プロファイル・ドキュメントに格納されます。アイデンティティ・ストア・プロファイル管理コマンドは、すべてリポジトリ・セッションのコンテキストで実行する必要があります。リポジトリ・セッションは、1つのドキュメント上でのみ機能できます。
表8-2 アイデンティティ・プロファイル管理のコマンド
| 使用するコマンド | 目的 | WLSTの使用... |
|---|---|---|
|
リポジトリ・セッション内のMSASインスタンスに新しいアイデンティティ・ストア・プロファイルを作成します。 |
オンライン |
|
|
MSASインスタンスに、指定のアイデンティティ・ストア・プロファイルの内容を表示するか、すべてのアイデンティティ・プロファイルの名前リストを表示します。 |
オンライン |
|
|
リポジトリ・セッション内のMSASインスタンスで、変更するアイデンティティ・ストア・プロファイルを選択します。 |
オンライン |
|
|
リポジトリ・セッション内の指定したMSASインスタンスからアイデンティティ・ストア・プロファイルを削除します。 |
オンライン |
|
|
リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストアに関するディレクトリ情報を設定または更新します。 |
オンライン |
|
|
リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストア・プロファイルに関するユーザー情報を設定または更新します。 |
オンライン |
|
|
リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストア・プロファイルに関するグループ情報を設定または更新します。 |
オンライン |
8.3.1 createIdentityProfile
createIdentityProfileコマンドはオンライン・コマンドで、リポジトリ・セッション内のMSASインスタンスに新しいアイデンティティ・ストア・プロファイルを作成します。
説明
リポジトリ・セッション内のMSASインスタンスに新しいアイデンティティ・ストア・プロファイルを作成します。アイデンティティ・ストア・プロファイルを、指定のMSASインスタンスに関連付ける必要があります。このコマンドをリポジトリ・セッション外で発行するとエラーになります。
ノート:
-
このコマンドは、MSASインスタンスの新しいアイデンティティ・ストア・プロファイルを作成するのみです。アイデンティティ・ストア・プロファイルを実行時に使用するには、「setMSASConfiguration」の説明に従い、MSAS構成をすでに設定している必要があります。また、
setMSASConfigurationの実行後、実行時のOracle MSAS Management Serverを再起動して構成済プロファイルにアクセスする必要があります。同じセッション内に複数のアイデンティティ・プロファイルを作成できません。プロファイルの作成後にセッションをコミットし、新しいセッションを開始して別のプロファイルを作成する必要があります。
-
アイデンティティ・ストア・プロファイルの作成時にエラーが発生した場合、まずプロファイルを削除する前にコミットする必要があります。
構文
createIdentityProfile(instanceName,Profilename,description=None)
| 引数 | 定義 |
|---|---|
instanceName |
アイデンティティ・ストア・プロファイルを作成するMSASインスタンスの名前。 |
ProfileName |
新しいアイデンティティ・ストア・プロファイルの名前。 |
description |
オプション。新しいアイデンティティ・ストア・プロファイルの説明。 |
例
この例では、MSAS-123456というMSASインスタンスで、identity-profileというアイデンティティ・ストア・プロファイルを、説明アイデンティティ・プロファイルで作成します。
wls:/mydomain/serverConfig> createIdentityProfile('MSAS-123456','identity-profile','Identity profile')8.3.2 displayIdentityProfile
displayIdentityProfileコマンドはオンライン・コマンドで、MSASインスタンスの指定のアイデンティティ・ストア・プロファイルの内容を表示するか、指定のMSASインスタンスに関連付けられているすべてのアイデンティティ・ストア・プロファイルの名前リストを表示します。
説明
MSASインスタンスの指定のアイデンティティ・ストア・プロファイルの内容を表示するか、指定のMSASインスタンスに関連付けられているすべてのアイデンティティ・ストア・プロファイルの名前リストを表示します。このコマンドをアクティブ・セッションから実行する場合、セッション変更も表示されます。このコマンドをアクティブ・セッションの外部で実行する場合は、リポジトリの内容が表示されます。
構文
displayIdentityProfile(instanceName,ProfileName=None)
| 引数 | 定義 |
|---|---|
instance |
表示するアイデンティティ・ストア・プロファイルに関連付けられているMSASインスタンスの名前。 |
ProfileName |
オプション。表示するアイデンティティ・ストア・プロファイルの名前。名前を指定しない場合、MSASインスタンスの利用可能なすべてのアイデンティティ・プロファイルの名前が表示されます。 |
例
この例では、MSAS-123456というインスタンスでidentity-profileというアイデンティティ・ストア・プロファイルの内容を表示します。
wls:/mydomain/serverConfig> displayIdentityProfile('MSAS-123456','identity-profile')
この例では、MSASインスタンスMSAS-123456の利用可能なすべてのアイデンティティ・ストア・プロファイルの名前を表示します。
wls:/mydomain/serverConfig> displayIdentityProfile('MSAS-123456')
8.3.3 selectIdentityProfile
selectIdentityProfileコマンドはオンライン・コマンドで、リポジトリ・セッション内のMSASインスタンスで、変更するアイデンティティ・ストア・プロファイルを選択します。
説明
リポジトリ・セッション内のMSASインスタンスで、変更するアイデンティティ・ストア・プロファイルを選択します。
構文
selectIdentityProfile(instanceName,ProfileName,description=None)
| 引数 | 定義 |
|---|---|
instanceName |
変更するアイデンティティ・ストア・プロファイルに関連付けられているMSASインスタンスの名前。 |
ProfileName |
変更するアイデンティティ・ストア・プロファイルの名前。 |
例
この例では、MSASインスタンスMSAS-123456で、変更するアイデンティティ・プロファイルidentity-profileを選択します。
wls:/mydomain/serverConfig> selectIdentityProfile('MSAS-123456','identity-profile')
8.3.4 deleteIdentityProfile
deleteIdentityProfileコマンドはオンライン・コマンドで、リポジトリ・セッション内のMSASインスタンスからアイデンティティ・ストア・プロファイルを削除します。
説明
リポジトリ・セッション内のMSASインスタンスから、アイデンティティ・ストア・プロファイルを削除します。このコマンドをリポジトリ・セッション外で発行するとエラーになります。
ノート:
1つのリポジトリ・セッションで同じアイデンティティ・ストア・プロファイルの作成と削除の両方は行えません。プロファイルの作成後にセッションをコミットし、そのプロファイルを削除するには新しいセッションを開始する必要があります。
構文
deleteIdentityProfile(instanceName,Profilename)
| 引数 | 定義 |
|---|---|
instanceName |
削除するアイデンティティ・ストア・プロファイルに関連付けられているMSASインスタンスの名前。 |
ProfileName |
削除するアイデンティティ・ストア・プロファイルの名前。 |
例
この例では、MSASインスタンスMSAS-123456からアイデンティティ・プロファイルidentity-profileを削除します。
wls:/mydomain/serverConfig> deleteIdentityProfile('MSAS-123456','identity-profile')
8.3.5 setIdentityProfileDirectory
setIdentityProfileDirectoryコマンドはオンライン・コマンドで、リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストアに関するディレクトリ情報を設定または更新します。
説明
リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストアに関するディレクトリ情報を設定または更新します。引数secureを使用して、アイデンティティ・ストア接続をSSL経由で行う必要があるかどうかを判断できます。このコマンドを実行する前に、アイデンティティ・ストア・プロファイルを、変更するために選択するか、現在のセッションに作成する必要があります。
構文
setIdentityProfileDirectory(DirectoryType,hosts,bindDN,bindPass,baseDN,isSecure)
| 引数 | 定義 |
|---|---|
directoryType |
アイデンティティ・ストア・プロファイル・ディレクトリのタイプ。サポートされているタイプは次のとおりです。
|
hosts |
|
bindDN |
ディレクトリへの接続に使用されるユーザーの識別名。たとえば、CN=Administrator,CN=Users,DC=mycompany,DC=comです。 |
bindPass |
ディレクトリにアクセスするための識別名(DN)パスワードをバインドします。 |
baseDN |
ディレクトリの基本識別名(DN)情報。たとえば、DC=mycompany,DC=comです。 |
isSecure |
ディレクトリにSSL経由で接続するかどうかを示すフラグ(ブール値)。trueに設定されている場合、接続はSSL経由で構成されます。 |
例
この例では、パスワードwelcome、基本識別名cn=host,dn=oracle,dn=comを使用して、['host.example.com:1234']というホストにバインド識別名cn=host,dn=oracle,dn=comでタイプOIDのアイデンティティ・ストア・プロファイル・ディレクトリを作成します。引数secureはfalseのためSSL接続は必要ありません。
wls:/mydomain/serverConfig> setIdentityProfileDirectory('OID',['host.example.com:1234'],'cn=host,dn=oracle,dn=com','welcome','cn=us,dn=oracle,dn=com',false)
この例では、前の例で作成されたアイデンティティ・ストア・プロファイル・ディレクトリと同じものを作成します。ただし、引数secureがtrueのため、ディレクトリへのアクセスにSSL接続が必要になる点を除きます。
wls:/mydomain/serverConfig> setIdentityProfileDirectory('OID',['host.example.com:1234'],'cn=host,dn=oracle,dn=com','welcome','cn=us,dn=oracle,dn=com',true)
8.3.6 setIdentityProfileUser
setIdentityProfileUserコマンドはオンライン・コマンドで、リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストア・プロファイルに関するユーザー情報を設定または更新します。
説明
リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストア・プロファイルに関するユーザー情報を設定または更新します。このコマンドを実行する前に、アイデンティティ・ストア・プロファイルを、変更するために選択するか、現在のセッションに作成する必要があります。
構文
setIdentityProfileUser(baseDN,loginIDAttribute,objectClassNames))
| 引数 | 定義 |
|---|---|
baseDN |
ユーザーの作成に使用される基本識別名(DN)。 |
loginIDAttribute |
ユーザーのログインID。 |
objectClassNames |
ユーザーの識別に使用される1つ以上のLDAPオブジェクト・クラスの完全修飾名。 |
例
この例では、基本DNcn=host,dn=oracle,dn=com、ログインIDuidでアイデンティティ・ストア・プロファイル・ユーザーを作成します。これは、inteorgpersonというスキーマ・オブジェクト・クラスで表されます。
wls:/mydomain/serverConfig> setIdentityProfileUser('cn=user,dn=oracle,dc=com','uid',['inteorgperson'])8.3.7 setIdentityProfileGroup
setIdentityProfileGroupコマンドはオンライン・コマンドで、リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストア・プロファイルに関するグループ情報を設定または更新します。
コマンド・カテゴリ: MSAS構成管理
WLSTでの使用: オンライン
説明
リポジトリ・セッション内のMSASインスタンスのアイデンティティ・ストア・プロファイルに関するグループ情報を設定または更新します。このコマンドを実行する前に、アイデンティティ・ストア・プロファイルを、変更するために選択するか、現在のセッションに作成する必要があります。
構文
setIdentityProfileGroup(baseDN,groupNameAttribute,objectClassNames)
| 引数 | 定義 |
|---|---|
baseDN |
グループまたはエンタープライズ・ロールの作成に使用するベースDN。 |
groupNameAttribute |
エンタープライズ・ロールまたはグループの名前を一意に識別する属性。 |
objectClassNames |
エンタープライズ・ロールまたはグループを表現するために使用する1つ以上のLDAPオブジェクト・クラスの完全修飾名。 |
例
この例では、基本DNcn=host,dn=oracle,dn=com、グループ名属性cnでアイデンティティ・ストア・プロファイルのユーザー・グループを作成します。これは、groupofuniquenamesというスキーマ・オブジェクト・クラスで表されます。
wls:/mydomain/serverConfig> setIdentityProfileGroup('cn=group,dn=oracle,dc=com','cn',['groupofuniquenames'])
8.4 リポジトリのコマンド
これらのリポジトリWLSTコマンドを使用して、Oracle Repositoryに格納されているドキュメントを管理します。
表8-3 ポリシー・リポジトリ管理コマンド
| 使用するコマンド | 目的 | WLSTの使用... |
|---|---|---|
|
MSASアプリケーション・メタデータを、リポジトリから指定のZIPアーカイブにエクスポートします。 |
オンライン |
|
|
MSASアプリケーション・メタデータを、指定のZIPアーカイブからリポジトリにインポートします。 |
オンライン |
|
|
MSASインスタンスのアプリケーションの物理host:port値を、マップされるhost:port値に移行します。 |
オンライン |
|
|
リポジトリ内に格納されている既存のポリシーを削除して、Oracle MSASソフトウェアの新しいインストールで提供される事前定義ポリシーの最新セットでリフレッシュします。 |
オンライン |
8.4.1 exportMSASAppMetadata
exportMSASAppMetadataコマンドはオンライン・コマンドで、MSASアプリケーション・メタデータを、リポジトリから指定のZIPアーカイブにエクスポートします。
説明
MSASアプリケーション・メタデータを、リポジトリから指定のZIPアーカイブにエクスポートします。指定したアーカイブがすでに存在する場合、既存のアーカイブにドキュメントをマージするか、アーカイブを上書きするか、操作を取り消すかを選択できます。デフォルトでは、現在のドメインのMSASアプリケーションのすべてのメターデータがアーカイブにエクスポートされます。ただし、MSASインスタンス名とMSASアプリケーション名を使用して、リポジトリ内のこれらのMSASアプリケーションの特定のメタデータをエクスポートできます。
構文
exportMSASAppMetadata(archiveFileName,[instanceName=None],[applicationName=None],[includeShared='false'])
| 引数 | 定義 |
|---|---|
archiveFileName |
ZIPアーカイブの名前。指定したアーカイブがすでに存在する場合、アーカイブを上書きするか、既存のアーカイブにドキュメントをマージするか、操作を取り消すかを選択できます。オーバーライド中に、元のアーカイブがバックアップされ、メッセージにバックアップ・アーカイブの場所が示されます。 |
instanceName |
オプション。1つ以上のMSASアプリケーションのメタデータのエクスポート元であるMSASインスタンスの名前。インスタンス名MSASが指定されていないが、有効なMSASアプリケーション名は指定されている場合、このMSASアプリケーションを含むすべてのMSASインスタンスのメタデータがエクスポートされます。MSASインスタンスもMSASアプリケーション名も指定されない場合は、すべてのMSASインスタンスにわたるすべてのMSASアプリケーションのメタデータがエクスポートされます。 ワイルドカード「%」を使用できます。この引数が |
applicationName |
オプション。エクスポートするメタデータのMSASアプリケーションの名前。 ワイルドカード「%」を使用できます。この引数が |
includeShared |
オプション。共有リソース(参照されるポリシーなど)を、エクスポートしたメタデータとともに含めるかどうかを指定します。 |
例
この例では、すべてのMSASインスタンスにわたるすべてのMSASアプリケーションのメタデータを、MSASApplications.zipというアーカイブにエクスポートします。
wls:/mydomain/serverConfig> exportMSASAppMetadata('/tmp/MSASApplications.zip')
さらに、この例では、すべてのMSASインスタンスにわたるすべてのMSASアプリケーションのメタデータを、MSASApplications.zipアーカイブにエクスポートします。
wls:/mydomain/serverConfig> exportMSASAppMetadata('/tmp/MSASApplications.zip','',[''])
この例では、MSASで始まるすべてのMSASインスタンスにわたるすべてのアプリケーションのメタデータを、MSASApplications.zipアーカイブにエクスポートします。
wls:/mydomain/serverConfig> exportMSASAppMetadata('/tmp/MSASApplications.zip','MSAS%')
この例では、MSAS-123456というインスタンス上のvirtualで始まるすべてのアプリケーションのメタデータを、MSASApplications.zipアーカイブにエクスポートします。
wls:/mydomain/serverConfig> exportMSASAppMetadata('/tmp/MSASApplications.zip','MSAS-1234561',['virtual%'])
この例では、MSAS-123456インスタンス上のVirtual_Fooというアプリケーションのメタデータを、MSASApplications.zipアーカイブにエクスポートします。
wls:/mydomain/serverConfig> exportMSASAppMetadata('/tmp/MSASApplications.zip','MSAS-1234561',['virtual_Foo'])
この例では、すべてのMSASインスタンスにわたる、virtualで始まるすべてのアプリケーションのメタデータを、MSASApplications.zipアーカイブにエクスポートします。
wls:/mydomain/serverConfig> exportMSASAppMetadata('/tmp/MSASApplications.zip','',['virtual%'])
この例では、MSAS-123456インスタンス上の、virtualで始まるすべてのアプリケーションのメタデータ(アプリケーションの共有リソースなど)を、MSASApplications.zipアーカイブにエクスポートします。
wls:/mydomain/serverConfig> exportMSASAppMetadata('/tmp/MSASApplications.zip','MSAS-1234561',['virtual%'],true)
8.4.2 importMSASAppMetadata
importMSASAppMetadataコマンドはオンライン・コマンドで、MSASアプリケーション・メタデータを、指定のZIPアーカイブからリポジトリにインポートします。
説明
MSASアプリケーション・メタデータを、指定のZIPアーカイブからリポジトリにインポートします。map引数を使用して、物理情報をソース環境からターゲット環境にマップする方法を記述するファイルの場所を指定できます。generateMapFile引数をtrueに設定することで新しいマップ・ファイルを生成できます。
構文
importMSASAppMetadata(archiveFileName,[mapFileName=None],[generateMapFlag='false'])
| 引数 | 定義 |
|---|---|
archiveFileName |
インポートするZIPアーカイブの名前。 |
mapFileName |
オプション。物理情報をソース環境からターゲット環境にマップする方法を記述するサンプル・マップ・ファイルの場所。
|
generateMapFlag |
オプション。引数 |
例
この例では、マップ・ファイルを使用せずにMSASartifacts.zipアーカイブからアプリケーション・メタデータをインポートします。
wls:/mydomain/serverConfig> importMSASAppMetadata('/tmp/MSASartifacts.zip')
この例では、MSASartifacts.zipアーカイブからすべてのアプリケーション・メタデータを収集して、MSASMapfile.txtというマップ・ファイルに入れます。指定されたマップ・ファイルがすでに存在する場合、それは上書きされます。
wls:/mydomain/serverConfig> importMSASAppMetadata('/tmp/MSASartifacts.zip','/tmp/MSASmapfile.txt', true)
この例では、MSASmapfile.txtマップ・ファイルに従い、アプリケーション・メタデータを指定のMSASartifacts.zipアーカイブからインポートします。
wls:/mydomain/serverConfig> importMSASAppMetadata('/tmp/MSASartifacts.zip','/tmp/MSASmapfile.txt')
8.4.3 migrateMSASAppHostports
migrateMSASAppHostportsコマンドはオンライン・コマンドで、指定のMSASインスタンス名およびアプリケーション名に一致するリポジトリ内のアプリケーションの場合、指定したmapFileNameのソースとターゲットのマッピングに従い、ソースのhost:port値をhost:port値で置き換えます。
説明
指定のMSASインスタンス名およびアプリケーション名に一致するリポジトリ内のアプリケーションの場合、指定したmapFileNameのソースとターゲットのマッピングに従い、ソースのhost:port値(バックエンド・サービスへのURLなど)をhost:port値で置き換えます。generateMapFlag引数をtrueに設定することで新しいマップ・ファイルを生成できます。
構文
migrateMSASAppHostports(instanceName,applicationName,mapFileName,[generateMapFlag='false'])
| 引数 | 定義 |
|---|---|
instanceName |
MSASインスタンスの名前。ワイルドカードは許可されません。 |
applicationName |
参照されるバックエンド・サービスのhost:port情報を移行または置換する必要があるMSASアプリケーションの名前。 ワイルドカード「%」を使用できます。この引数が |
mapFileName |
ソースMSASのhost:port値をターゲットのhost:portにマップする方法を記述する入力マップ・ファイルの場所。
引数
|
generateMapFlag |
オプション。引数 |
例
この例では、MSAS-1234というインスタンス上のmyAppアプリケーションのすべてのhost:port値を収集して、generatedMapfile.txtという新規作成のマップ・ファイルに入れます。(指定されたマップ・ファイルがすでに存在する場合、上書きされることに注意してください)。
wls:/mydomain/serverConfig> migrateMSASAppHostports ('MSAS-1234','myApp','/tmp/generatedMapfile.txt',true)
この例では、MSAS-1234インスタンス上の、myAppで始まるすべてのアプリケーションのhost:port値を、myMapfile.txtマップ・ファイルに従って移行します。
wls:/mydomain/serverConfig> migrateMSASAppHostports('MSAS-1234', 'myApp%', '/tmp/myMapfile.txt')
次の例では、MSAS-1234インスタンス上の、すべてのアプリケーションのhost:port値を、myMapfile.txtマップ・ファイルに従って移行します。
wls:/mydomain/serverConfig> migrateMSASAppHostports('MSAS-1234', 'None', '/tmp/myMapfile.txt')
8.4.4 resetWSMPolicyRepository
resetWSMPolicyRepositoryコマンドはオンライン・コマンドで、リポジトリ内に格納されている既存のポリシーを削除して、Oracle MSASソフトウェアの新しいインストールで提供される事前定義ポリシーの最新セットでリフレッシュします。
注意:
このコマンドは、登録されたMSASアプリケーションと構成ドキュメントを含む、すべてのMSASアーティファクトを削除します。サーバーの再起動により、リポジトリのシードMSASドキュメントがリカバリされますが、その他のユーザー作成ドキュメントはリカバリされません。したがって、このコマンドの実行前に、exportMSASAppMetadataコマンドを実行してすべてのMSASメタデータをバックアップすることをお薦めします。
説明
リポジトリ内に格納されている既存のポリシーを削除して、Oracle MSASソフトウェアの新しいインストールで提供される事前定義ポリシーの最新セットでリフレッシュします。clearStore引数を使用して、新しい事前定義ポリシーをロードする前に、カスタム・ユーザー・ポリシーを含むすべてのポリシーをリポジトリから削除するかどうかを指定できます。
ノート:
リポジトリをすべてのOracle MSAS事前定義ポリシーで再シードするには、resetWSMPolicyRepositoryコマンドの実行後、モバイル・セキュリティ・マネージャ(MSM)サーバーを再起動する必要があります。
構文
resetWSMPolicyRepository([clearStore='false'])
| 引数 | 定義 |
|---|---|
|
|
削除するポリシー・セット。有効な値は次のとおりです。
|
例
次の例では、リポジトリ内のすべてのポリシーが、ユーザー・ポリシーも含めて削除され、現在の製品インストールで提供される事前定義済ポリシーが追加されます。
wls:/wls-domain/serverConfig>resetWSMPolicyRepository(true)8.5 セッション・コマンド
これらのカスタムWLSTコマンドを使用して、セッションを管理します。リポジトリ・ドキュメントおよび信頼できるトークン発行者を変更する一部のMSAS WLSTコマンドは、セッションのコンテキスト内で実行する必要があります。
表8-4 セッション管理WLSTコマンド
| 使用するコマンド | 目的 | WLSTの使用... |
|---|---|---|
|
現在の変更セッションを中止し、セッション中に行われたすべての変更を破棄します。 |
オンライン |
|
|
リポジトリ・ドキュメントを変更するセッションを開始します。 |
オンライン |
|
|
現在のセッションの内容をリポジトリに書き込みます。 |
オンライン |
|
|
現在のセッションのコンテンツを記述します。これは、セッションが空であることを示すか、更新対象のドキュメントの名前を更新のタイプ(作成、変更または削除)とともにリストするかのいずれかです。 |
オンライン |
8.5.1 abortRepositorySession
abortRepositorySessionコマンドはオンライン・コマンドで、現在のOracle Repository変更セッションを中止し、そのセッション中にリポジトリに対して行われた変更をすべて破棄します。
説明
現在のOracle Repository変更セッションを中止し、そのセッション中にリポジトリに対して行われた変更をすべて破棄します。
構文
abortRepositorySession()
例
次の例では、現在のセッションを中止します。
wls:/wls-domain/serverConfig>abortRepositorySession()8.5.2 beginRepositorySession
beginRepositorySessionコマンドはオンライン・コマンドで、Oracle Repositoryを変更するセッションを開始します。
説明
Oracle Repositoryを変更するセッションを開始します。リポジトリ・セッションは、1つのドキュメント上でのみ機能できます。すでに現在のセッションがある場合、エラーが表示されます。
構文
beginRepositorySession()
例
次の例では、セッションを開始します。
wls:/wls-domain/serverConfig>beginRepositorySession()8.5.3 commitRepositorySession
commitRepositorySessionコマンドはオンライン・コマンドで、Oracle Repositoryに現在のセッションのコンテンツを書き込みます。
説明
Oracle Repositoryに現在のセッションのコンテンツを書き込みます。何がコミットされたのかを示すメッセージが表示されます。現在のセッションがない場合、エラーが表示されます。
構文
commitRepositorySession()
例
次の例では、現在のリポジトリの変更セッションをコミットします。
wls:/wls-domain/serverConfig>commitRepositorySession()8.5.4 describeRepositorySession
describeRepositorySessionコマンドはオンライン・コマンドで、現在のセッションのコンテンツを記述します。
説明
現在のセッションのコンテンツを記述します。これは、セッションが空であることを示すか、更新されるドキュメントの名前を、更新のタイプ(作成、変更または削除)とともに一覧表示します。現在のセッションがない場合、エラーが表示されます。
構文
describeRepositorySession()
例
次の例では、現在のセッションを説明します。
wls:/wls-domain/serverConfig>describeRepositorySession()8.6 トークン発行者信頼構成のコマンド
これらのWLSTコマンドを使用して、信頼できるSAMLまたはJWT署名証明書に対する信頼できる発行者、信頼できる識別名(DN)リストおよびトークン属性ルール・フィルタを表示および定義します。トークン発行者信頼ドキュメントの作成、変更および削除を行うためにWLSTコマンドを使用する場合、セッションのコンテキストでコマンドを実行する必要があります。各セッションは、単一の信頼ドキュメントにのみ適用されます。
ノート:
これらのコマンドのヘルプを表示するには、サーバーの実行中のインスタンスに接続し、help('wsmManage')と入力します。
表8-5 トークン発行者信頼コマンド
| 使用するコマンド | 目的 | WLSTの使用... |
|---|---|---|
|
指定された名前を使用して新しいトークン発行者信頼ドキュメントを作成します。 |
オンライン |
|
|
発行者に対するエントリを、そこに含まれるDNリストも含めて削除します。 |
オンライン |
|
|
信頼できるDNに関連付けられているトークン属性ルールを削除します。 |
オンライン |
|
|
name引数で指定されたトークン発行者信頼ドキュメントをリポジトリから削除します。 |
オンライン |
|
|
指定された発行者に関連付けられているDNリストの名前を表示します。 |
オンライン |
|
|
すべての信頼できる発行者の信頼構成(発行者、DNおよびトークン属性ルール)をエクスポートします。 |
オンライン |
|
|
すべての信頼できる発行者の信頼構成(発行者、DNおよびトークン属性ルール)をインポートします。 |
オンライン |
|
|
リポジトリ内のトークン発行者信頼ドキュメントをリストします。 |
オンライン |
|
|
信頼できる発行者と、関連付けられている構成(DNとトークン属性ルール)を削除します。 |
オンライン |
|
|
セッション内で変更する、name引数で特定されるトークン発行者信頼ドキュメントを選択します。 |
オンライン |
|
|
信頼できる発行者をDNリストとともに指定します。 |
オンライン |
|
|
指定されたトークン署名証明書DNのトークン属性ルールを、追加、削除または更新します。 |
オンライン |
|
|
トークン署名証明書のDNおよび信頼できるユーザーのリストを指定します。名前IDと属性は、別のユーザーIDにマップできます。 |
オンライン |
|
|
セッションで現在選択されているトークン発行者信頼ドキュメントの表示名を設定またはリセットします。 |
オンライン |
8.6.1 createWSMTokenIssuerTrustDocument
createWSMTokenIssuerTrustDocumentコマンドはオンライン・コマンドで、セッション内で、指定された名前を使用して新しいトークン発行者信頼ドキュメントを作成します。
説明
セッション内で、指定された名前を使用して新しいトークン発行者信頼ドキュメントを作成します。第2引数に表示名を指定することもできます。トークン発行者信頼ドキュメントを作成または変更する前に、セッションを開始(beginWSMSession)する必要があります。現在のセッションがないか、既存の変更プロセスがすでに存在する場合は、エラーが表示されます。
構文
createWSMTokenIssuerTrustDocument(name, displayName)
| 引数 | 定義 |
|---|---|
|
|
作成するドキュメントの名前。名前を指定しない場合はエラーがスローされます。この名前によるドキュメントがすでに存在する場合、新しいドキュメントは作成されません。 |
|
|
オプション。ドキュメントの表示名。 |
例
次の例では、tokenissuertrustWLSbase_domainという名前の信頼ドキュメントを、wls_domain Trust Documentという表示名で作成します。2番目の例では、表示名は指定されていません。
wls:/wls-domain/serverConfig> createWSMTokenIssuerTrustDocument("tokenissuertrustWLSbase_domain","wls_domain Trust Document") wls:/wls-domain/serverConfig> createWSMTokenIssuerTrustDocument("tokenissuertrustWLSbase_domain")
8.6.2 deleteWSMTokenIssuerTrust
deleteWSMTokenIssuerTrustコマンドはオンライン・コマンドで、セッション内で、信頼できるトークン発行者とそれに関連付けられた信頼できるDNリストを削除します。
説明
セッション内で、信頼できるトークン発行者とそれに関連付けられた信頼できるDNリストを削除します。SAMLアサーションまたはJWTトークンのタイプでサポートされる値は、dns.sv、dns.hokまたはdns.jwtです。この発行者は、変更するためにセッションで選択されたトークン発行者信頼ドキュメントに存在している必要があります。信頼できるキー識別子が存在しない場合は、発行者自体が削除されます。
発行者の信頼できるキー識別子の指定されたリストを削除するには、selectWSMTokenIssuerTrustDocumentを使用します。このコマンドを実行する前に、セッションを開始(beginWSMSession)して、変更を行うためにトークン発行者信頼ドキュメントを選択する必要があります。現在のセッションがないか、既存の変更プロセスがすでに存在する場合は、エラーが表示されます。デフォルトのトークン発行者信頼ドキュメントは変更できません。
構文
deleteWSMTokenIssuerTrust(type, issuer)
| 引数 | 定義 |
|---|---|
|
|
信頼できる発行者が発行するSAMLアサーションまたはJWTトークンのタイプ:
|
|
|
信頼できるDNリストが削除される発行者の名前(たとえば、SAMLアサーションまたはJWTトークン)。発行者も削除されます。 |
例
次の例では、発行者www.yourCompany.comおよび、その発行者の信頼できるSAML送信者保証クライアント・リストdns.sv内のDNリストを削除します。
wls:/wls-domain/serverConfig> deleteWSMTokenIssuerTrust('dns.sv', 'www.yourCompany.com') 次の例では、発行者www.yourCompany.comおよび発行者に対する信頼できるJWTトークン送信者保証クライアント・リストdns.jwtのDNリストが削除されます。
wls:/wls-domain/serverConfig> deleteWSMTokenIssuerTrust('dns.jwt ', 'www.yourCompany.com') 8.6.3 deleteWSMTokenIssuerTrustAttributeRule
deleteWSMTokenIssuerTrustAttributeRuleコマンドはオンライン・コマンドで、信頼できるDNに関連付けられているトークン属性ルールをトークン発行者信頼ドキュメントから削除します。
説明
信頼できるDNに関連付けられているトークン属性ルールをトークン発行者信頼ドキュメントから削除します。属性のフィルタ値のリストのみを削除するには、setWSMTokenIssuerTrustAttributeFilterコマンドを使用します。このコマンドを実行する前に、セッションを開始(beginWSMSession)して、変更を行うためにトークン発行者信頼ドキュメントを選択する必要があります。現在のセッションがないか、既存の変更プロセスがすでに存在する場合は、エラーが表示されます。
構文
deleteWSMTokenIssuerTrustAttributeRule(dn)
| 引数 | 説明 |
|---|---|
|
|
削除するルールを特定するトークン署名証明書のDN。 |
例
次の例では、信頼できるDN 'CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=USに関連付けられているトークン属性ルールが削除されます。
wls:/wls-domain/serverConfig> deleteWSMTokenIssuerTrustAttributeRule('CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US')8.6.4 deleteWSMTokenIssuerTrustDocument
deleteWSMTokenIssuerTrustDocumentコマンドはオンライン・コマンドで、指定されたトークン発行者信頼ドキュメントをリポジトリから永久に削除します。
説明
指定されたトークン発行者信頼ドキュメントをリポジトリから永久に削除します。デフォルトのトークン発行者信頼ドキュメント(oracle-default)は削除できません。
構文
deleteWSMTokenIssuerTrustDocument (name)
| 引数 | 定義 |
|---|---|
|
|
作成するトークン発行者信頼ドキュメントの名前。 |
例
次の例では、トークン発行者信頼ドキュメントtokenissuertrustWLSbase_domainを削除します。
wls:/wls-domain/serverConfig> deleteWSMTokenIssuerTrustDocument('tokenissuertrustWLSbase_domain')
8.6.5 displayWSMTokenIssuerTrust
displayWSMTokenIssuerTrustコマンドはオンライン・コマンドで、信頼できるトークン発行者とそれに関連付けられた信頼できるDNリストを表示します。
説明
信頼できるトークン発行者とそれに関連付けられた信頼できるDNリストを表示します。SAMLアサーションまたはJWTトークンのタイプでサポートされる値は、dns.hok、dns.svまたはdns.jwtです。issuer引数はオプションです。発行者とタイプが指定されていて、そのタイプの信頼できる発行者のリストに存在する場合、その発行者に関連付けられたDNリストが表示されます。発行者が設定されていない場合、指定されたタイプのすべての信頼できる発行者がリストされます。
構文
displayWSMTokenIssuerTrust(type, issuer)
| 引数 | 定義 |
|---|---|
|
|
信頼できる発行者が発行するSAMLアサーションまたはJWTトークンのタイプ:
|
|
|
オプション。信頼できるDNリストが表示される発行者(たとえば、SAMLアサーションまたはJWTトークン)。設定されていない場合は、すべての信頼できる発行者のリストが表示されます。 |
例
次の例では、信頼できる発行者www.oracle.comに対する信頼できるSAML送信者保証クライアント・リストdns.svのDNリストが表示されます。
wls:/wls-domain/serverConfig>displayWSMTokenIssuerTrust('dns.sv', 'www.oracle.com')
次の例では、信頼できるSAML送信者保証クライアント・リストdns.svに関連付けられているすべての信頼できるSAML発行者の名前が表示されます。
wls:/wls-domain/serverConfig>displayWSMTokenIssuerTrust('dns.sv', None) 8.6.6 exportWSMTokenIssuerTrustMetadata
exportWSMTokenIssuerTrustMetadataコマンドはオンライン・コマンドで、すべての信頼できる発行者のすべての信頼構成(発行者、DNおよびトークン属性ルール)をエクスポートします。
説明
すべての信頼できる発行者のすべての信頼構成(発行者、DNおよびトークン属性ルール)をエクスポートします。信頼構成は、指定された場所で識別されるXMLファイルにエクスポートされます。除外リストで指定された発行者の信頼構成はエクスポートされません。引数が渡されない場合、すべての信頼できる発行者の信頼構成がエクスポートされます。
構文
exportWSMTokenIssuerTrustMetadata(trustFile,excludeIssuers=None)
| 引数 | 定義 |
|---|---|
|
|
エクスポートされたメタデータが格納されるファイルの場所。 |
|
|
オプション。信頼構成がエクスポートされない発行者のリスト。 |
例
次の例では、すべての信頼できる発行者構成が、除外されているwww.oracle.comとwww.yourcompany.comを除いて、指定されたXMLファイルにエクスポートされます。
wls:/wls-domain/serverConfig>exportWSMTokenIssuerTrustMetadata(trustFile='/tmp/trustData.xml',['www.oracle.com','www.myissuer.com']) Starting Operation exportWSMTokenIssuerTrustMetadata ... Configuration for trusted issuers successfully exported.
次の例では、すべての指定された信頼できる発行者構成が、指定されたXMLファイルにエクスポートされます。
wls:/wls-domain/serverConfig>exportWSMTokenIssuerTrustMetadata(trustFile='/tmp/trustData.xml') Starting Operation exportWSMTokenIssuerTrustMetadata ... Configuration for trusted issuers successfully exported.
8.6.7 importWSMTokenIssuerTrustMetadata
importWSMTokenIssuerTrustMetadataコマンドはオンライン・コマンドで、すべての信頼できる発行者の信頼構成(発行者、DNおよびトークン属性ルール)をインポートします。
説明
すべての信頼できる発行者の信頼構成(発行者、DNおよびトークン属性ルール)をインポートします。信頼構成は、指定された場所で識別されるXMLファイルからインポートされます。
構文
importWSMTokenIssuerTrustMetadata(trustFile)
| 引数 | 定義 |
|---|---|
|
|
インポートされたメタデータが格納されるファイルの場所。 |
例
次の例では、すべての信頼できる発行者構成が、指定されたXMLファイルからインポートされます。
wls:/wls-domain/serverConfig>importWSMTokenIssuerTrustMetadata(trustFile='/tmp/trustData.xml') Starting Operation importWSMTokenIssuerTrustMetadata ... Configuration for trusted issuers successfully imported.
8.6.8 listWSMTokenIssuerTrustDocuments
listWSMTokenIssuerTrustDocumentsコマンドはオンライン・コマンドで、リポジトリ内のすべてのトークン発行者信頼ドキュメントを一覧表示します。
説明
引数を指定しないで使用すると、リポジトリ内のすべてのトークン発行者信頼ドキュメントがコマンドによってリストされます。detail引数をtrueに設定すると、ドキュメントの表示名およびステータスも表示されます。ワイルドカード文字(*)を他の文字と組み合せて使用できます。name引数にワイルドカード文字が指定されない場合、name引数と正確に一致するドキュメントが表示されます。detail引数をtrueに設定すると、ドキュメントの内容がリストされます。このコマンドは、セッションの内および外で実行できます。
構文
listWSMTokenIssuerTrustDocuments(name=None, detail='false')
| 引数 | 定義 |
|---|---|
|
|
オプション。トークン発行者信頼ドキュメントの名前。この引数にワイルドカードを使用できます。 |
|
|
オプション。リクエストしたドキュメントの詳細をリストします。デフォルトは、 |
例
次の例では、トークン発行者信頼ドキュメントtokenissuertrustWLSbase_domainが詳細とともに表示されます。
wls:/wls-domain/serverConfig> listWSMTokenIssuerTrustDocuments(tokenissuertrustWLSbase_domain,'true')
8.6.9 revokeWSMTokenIssuerTrust
revokeWSMTokenIssuerTrustコマンドはオンライン・コマンドで、すべての信頼できる発行者と関連構成(DNおよびトークン属性ルール)を削除して信頼を取り消します。
説明
すべての信頼できる発行者と、関連付けられている構成(DNとトークン属性ルール)を削除することによって、信頼を取り消します。オプションの除外リストで指定された発行者は削除されません。引数が渡されない場合、すべての信頼できる発行者と、関連付けられている構成が削除されます。
構文
revokeWSMTokenIssuerTrust(excludeIssuers=None)
| 引数 | 定義 |
|---|---|
|
|
オプション。信頼構成が削除されない発行者のリスト。 |
例
次の例では、すべての信頼できる発行者構成が、除外されているwww.oracle.comとwww.yourcompany.comを除いて削除されます。
wls:/wls-domain/serverConfig>revokeWSMTokenIssuerTrust(['www.oracle.com','www.yourcompany.com']) Starting Operation revokeWSMTokenIssuerTrust ... Configuration for trusted issuers successfully removed.
次の例では、すべての信頼できる発行者構成が削除されます。
wls:/wls-domain/serverConfig>revokeWSMTokenIssuerTrust() Starting Operation revokeWSMTokenIssuerTrust ... Configuration for trusted issuers successfully removed.
8.6.10 selectWSMTokenIssuerTrustDocument
selectWSMTokenIssuerTrustDocumentコマンドはオンライン・コマンドで、セッション内で変更する、name引数で特定されるトークン発行者信頼ドキュメントを選択します。
説明
セッション内で変更する、name引数で特定されるトークン発行者信頼ドキュメントを選択します。この名前は、ドキュメント内のname属性の値と一致する必要があります。このコマンドを実行する前に、セッションを開始(beginWSMSession)する必要があります。現在のセッションがないか、既存の変更プロセスがすでに存在する場合は、エラーが表示されます。デフォルトのトークン発行者信頼ドキュメントは変更できません。
構文
selectWSMTokenIssuerTrustDocument(name)
| 引数 | 定義 |
|---|---|
|
|
セッション内で変更するドキュメントの名前。名前が指定されない場合は、エラーがスローされます。 |
例
次の例では、tokenissuertrustWLSbase_domainドキュメントを変更のために選択します。
wls:/wls-domain/serverConfig> selectWSMTokenIssuerTrustDocument('tokenissuertrustWLSbase_domain')
8.6.11 setWSMTokenIssuerTrust
setWSMTokenIssuerTrustコマンドはオンライン・コマンドで、信頼できるトークン発行者を構成し、その発行者に対して信頼できるキーまたは信頼できるDNリストを定義します。
説明
信頼できるトークン発行者を構成し、その発行者に対して信頼できるキーまたは信頼できるDNリストを定義します。SAMLアサーションまたはJWTトークンのタイプでサポートされる値は、dns.hok、dns.svまたはdns.jwtです。trustedKeyIDs引数はオプションです。この引数を設定しない場合、指定したタイプに対して信頼できる発行者のみが設定されます。このコマンドは、信頼できるトークン発行者に関連付けられているDNリストを指定、更新または削除するために使用できます。
構文
setWSMTokenIssuerTrust(type, issuer, trustedKeyIDs)
| 引数 | 定義 |
|---|---|
|
|
信頼できる発行者の名前( |
|
|
信頼できる発行者が発行するSAMLアサーションまたはJWTトークンのタイプ:
|
|
|
オプション。指定されたタイプの発行者に関連付けられているトークン署名証明書のDNの配列。これは、 |
例
次の例では、信頼できる発行者www.oracle.comに対するDNリストdns.svで、CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US'がDNとして設定されています。
wls:/wls-domain/serverConfig>setWSMTokenIssuerTrust('dns.sv', 'www.oracle.com', ['CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US'])
次の例では、信頼できる発行者www.oracle.comに対するDNリストdns.svに、名前CN=orcladmin, OU=Doc, O=Oracle, C=US'が追加されています。
wls:/wls-domain/serverConfig>setWSMTokenIssuerTrust('dns.sv','www.oracle.com', ['CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US', 'CN=orcladmin, OU=Doc, O=Oracle, C=US'])
次の例では、信頼できる発行者www.oracle.comからDNリストdns.sv内のDN値のリストが削除されます。
wls:/wls-domain/serverConfig>setWSMTokenIssuerTrust('dns.sv', 'www.oracle.com', [])8.6.12 setWSMTokenIssuerTrustAttributeFilter
setWSMTokenIssuerTrustAttributeFilterコマンドはオンライン・コマンドで、信頼できるDNリストに対するトークン属性フィルタリング・ルールを指定します。
説明
信頼できるDNリストに対するトークン属性フィルタリング・ルールを指定します。発行者に構成されたそれぞれの信頼できるDNに対して、トークン属性フィルタリング・ルールを構成および適用できます。各ルールは、名前IDと、SAMLアサーションまたはJWTトークン内の属性の属性部分という2つの部分で構成されます。名前IDおよび各属性には、複数の値パターンを持つフィルタを含めることができます。署名証明書の属性に対するフィルタのリストを削除するには、filtersの値として空のセット([])を使用します。
ノート:
最初に、setWSMTokenIssuerTrustコマンドを使用して、発行者の信頼できるDN名のリストを構成する必要があります。
構文
setWSMTokenIssuerTrustAttributeFilter(dn, attrName, filters)
| 引数 | 定義 |
|---|---|
|
|
トークン署名証明書のDN。変更が行われるトークン属性ルールの識別子としてのDN。 |
|
|
フィルタリングが適用されるユーザー属性の名前。次のように値を指定できます。
|
|
|
オプション。属性のフィルタのリスト。リストは、['
|
例
次の例では、名前ID yourTrustedUserを、信頼できるDN weblogicの信頼できるユーザーとして設定します。
wls:/wls-domain/serverConfig> setWSMTokenIssuerTrustAttributeFilter('CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US','name-id', ['yourTrustedUser'])
次の例では、名前ID jdoeを、信頼できるDN weblogicの信頼できるユーザーのリストに追加します。
wls:/wls-domain/serverConfig> setWSMTokenIssuerTrustAttributeFilter('CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US','name-id', ['yourTrustedUser', 'jdoe'])
次の例では、信頼できるDN weblogicの信頼できるユーザーのリストが削除されます。
wls:/wls-domain/serverConfig> setWSMTokenIssuerTrustAttributeFilter('CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US', 'name-id', [])8.6.13 setWSMTokenIssuerTrustAttributeMapping
setWSMTokenIssuerTrustAttributeMappingコマンドはオンライン・コマンドで、信頼できるDNリストに対するトークン属性マッピング・ルールを指定します。
説明
信頼できるDNリストに対するトークン属性マッピング・ルールを指定します。トークン発行者に構成されたそれぞれの信頼できるDNに対して、トークン属性マッピング・ルールを構成および適用できます。各ルールは、名前IDと、SAMLアサーションまたはJWTトークンに関連付けられている属性の属性部分という2つの部分で構成されます。信頼できるDNに対して、トークン属性マッピング・ルールが、属性の値のマッピングを、attrName引数によって指定されるとおりに設定します。userAttribute引数はオプションで、対応するローカル・ユーザー属性を示します。userMappingAttribute引数はオプションで、ユーザーを認証するためにシステムで使用されるユーザー属性を示します。DNのトークン属性ルールに、attrNameで識別される属性が存在する場合、マッピングは新しい値によって上書きされます。たとえば、トークンのユーザー・サブジェクトID (たとえばmail)が、同じユーザーを認証するためのユーザー属性(たとえばuid)と異なるフェデレーテッド環境では、名前IDと各属性は、サブジェクト名前IDのローカル・ユーザー属性をローカル・ユーザー属性にマップして、信頼できるユーザーを認証することができます。
ノート:
最初に、setWSMTokenIssuerTrustコマンドを使用して、発行者の信頼できるDN名のリストを構成する必要があります。
構文
setTokenIssuerTrustAttributeMapping(dn, attrName, userAttribute=None, userMappingAttribute=None)
| 引数 | 説明 |
|---|---|
|
|
トークン署名証明書の信頼できるDN。 |
|
|
マッピングが適用される使用属性の名前。値は次のいずれかです。
|
|
|
オプション。サブジェクト名前IDに対応するローカル・アイデンティティ・ストアのユーザー属性のローカル名。次のように値を指定できます。
|
|
|
オプション。サブジェクト名前IDが認証のためにマッピングされるローカル・アイデンティティ・ストアのユーザー属性のローカル名の値。次のように値を指定できます。
|
例
次の例では、トークンのサブジェクトIDのmail属性が、uid属性にマップされます。
wls:/base_domain/serverConfig>setTokenIssuerTrustAttributeMapping('CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US', 'name-id', 'mail', 'uid')
Starting Operation setWSMTokenIssuerTrustAttributeMapping ...
The token attribute mapping are successfully set
次の例では、トークンのサブジェクトIDのローカル・ユーザー属性が、uid属性にマップされます。
wls:/base_domain/serverConfig>setTokenIssuerTrustAttributeMapping('CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US', 'name-id', '', 'uid')
8.6.14 setWSMTokenIssuerTrustDisplayName
setWSMTokenIssuerTrustDisplayNameコマンドはオンライン・コマンドで、セッションで現在選択されているトークン発行者信頼ドキュメントの表示名を設定またはリセットします。
説明
セッションで現在選択されているトークン発行者信頼ドキュメントの表示名を設定またはリセットします。
トークン発行者信頼ドキュメントを作成または変更する前に、セッションを開始(beginWSMSession)する必要があります。現在のセッションがないか、既存の変更プロセスがすでに存在する場合は、エラーが表示されます。
構文
setWSMTokenIssuerTrustDisplayName("displayName")| 引数 | 定義 |
|---|---|
|
|
セッション内で、変更のために現在選択されているドキュメントの表示名として設定される名前。 |
例
次の例では、変更される信頼ドキュメントの表示名をTest Documentに設定します。
wls:/wls-domain/serverConfig> setWSMTokenIssuerTrustDisplayName("Test Document")8.7 診断コマンド
WLST診断コマンドを使用して、製品が適切に機能するために必要なOracleコンポーネントのステータスをチェックします。
8.7.1 checkWSMStatus
checkWSMStatusコマンドはオンライン・コマンドで、製品が適切に機能するために必要なOracleコンポーネントのステータスを確認します。
説明
製品が適切に機能するために必要なOracleコンポーネントのステータスをチェックします。チェックされるOracleコンポーネントは、ポリシー・マネージャ(wsm-pm)、エージェント(agent)および資格証明ストアとキーストアの構成です。コンポーネントのステータスは、まとめて確認することも、個別に確認することもできます。
ノート:
チェック・ステータス・ツールが正しく機能するためには、ポリシー・マネージャ(wsm-pm)・アプリケーションがデプロイされ、実行されている必要があります。
構文
checkWSMStatus([component=None],[address=None],[verbose=true])
| 引数 | 説明 |
|---|---|
|
|
オプション。値を指定しないと、すべてのチェックが実行されます。有効なオプションは次のとおりです。
|
|
|
オプション。ポリシー・マネージャ checkWSMStatus('agent', 'http://localhost:7001')自動検出が設定されているWebLogic Serverドメインではアドレスは必要ありません。 |
|
|
オプション。このフラグの値が |
例
次の例では、checkWSMStatusコマンドを引数なしで実行します。資格証明ストア、ポリシー・マネージャおよび強制エージェントのステータスが返されます。
wls:/base_domain/serverConfig> checkWSMStatus()
Credential Store Configuration:
PASSED.
Message(s):
keystore.pass.csf.key : Property is configured and its value is "keystore-csf-key".
Description: The "keystore.pass.csf.key" property points to the CSF alias that is mapped to the username and password of the keystore. Only the password is used; username is redundant in the case of the keystore.
keystore-csf-key : Credentials configured.
keystore.sig.csf.key : Property is configured and its value is "sign-csf-key".
Description: The "keystore.sig.csf.key" property points to the CSF alias that is mapped to the username and password of the private key that is used for signing.
sign-csf-key : Credentials configured.
Sign Key : Key configured.
Alias - orakey
Sign Certificate : Certificate configured.
Alias - CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US
Expiry - June 28, 2020 11:17:12 AM PDT
keystore.enc.csf.key : Property is configured and its value is "enc-csf-key".
Description: The "keystore.enc.csf.key" property points to the CSF alias that is mapped to the username and password of the private key that is used for decryption.
enc-csf-key : Credentials configured.
Encrypt Key : Key configured.
Alias - orakey
Encrypt Certificate : Certificate configured.
Alias - CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US
Expiry - June 28, 2020 11:17:12 AM PDT
Policy Manager:
PASSED.
Message(s):
OWSM Policy Manager connection state is OK.
OWSM Policy Manager connection URL is "host.example.com:1234".
Enforcement Agent:
PASSED.
Message(s):
Enforcement is successful.
Service URL: http://host.example.com:7001/Diagnostic/DiagnosticService?wsdl
次の例では、資格証明ストア・キーkeystore-csf-keyを削除し、資格証明ストアcredstoreに対してcheckWSMStatusコマンドを再度実行します。csf-key keystore-csf-keyが資格証明ストアに存在しないため、ステータス・チェックが失敗します。
wls:/base_domain/serverConfig> deleteCred(map="oracle.wsm.security", key="keystore-csf-key")
wls:/base_domain/serverConfig> checkWSMStatus('credstore')
Credential Store Configuration:
FAILED.
Message(s):
keystore.pass.csf.key : Property is configured and its value is "keystore-csf-key".
Description: The "keystore.pass.csf.key" property points to the CSF alias that is mapped to the username and password of the keystore. Only the password is used; username is redundant in the case of the keystore.
keystore-csf-key : Credentials not configured.
Credential Store Diagnostic Messages:
Message(s):
The csf-key keystore-csf-key is not present in the credential store.
Perform the following steps to update the credential store (using WLST commands):-
1. connect()
2. createCred(map="oracle.wsm.security", key="keystore-csf-key", user="keystore-csf-key", password="<keystore-password>", desc="Keystore Password CSF Key")
NOTE:- All the above commands are based on the Domain level configurations. The actual csf key may be overridden at runtime due to config override. See Documentation for more details.
次の例では、csf-key keystore-csf-keyを構成して、checkWSMStatusコマンドを再度実行します。構成チェックが成功します。
wls:/base_domain/serverConfig> createCred(map="oracle.wsm.security", key="keystore-csf-key", user="keystore-csf-key", password="welcome1", desc="Keystore Password CSF Key")
Already in Domain Runtime Tree
wls:/base_domain/serverConfig> checkWSMStatus('credstore')
Credential Store Configuration:
PASSED.
Message(s):
keystore.pass.csf.key : Property is configured and its value is "keystore-csf-key".
Description: The "keystore.pass.csf.key" property points to the CSF alias that is mapped to the username and password of the keystore. Only the password is used; username is redundant in the case of the keystore.
keystore-csf-key : Credentials configured.
keystore.sig.csf.key : Property is configured and its value is "sign-csf-key".
Description: The "keystore.sig.csf.key" property points to the CSF alias that is mapped to the username and password of the private key that is used for signing.
sign-csf-key : Credentials configured.
Sign Key : Key configured.
Alias - orakey
Sign Certificate : Certificate configured.
Alias - CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US
Expiry - June 28, 2020 11:17:12 AM PDT
keystore.enc.csf.key : Property is configured and its value is "enc-csf-key".
Description: The "keystore.enc.csf.key" property points to the CSF alias that is mapped to the username and password of the private key that is used for decryption.
enc-csf-key : Credentials configured.
Encrypt Key : Key configured.
Alias - orakey
Encrypt Certificate : Certificate configured.
Alias - CN=weblogic, OU=Orakey Test Encryption Purposes Only, O=Oracle, C=US
Expiry - June 28, 2020 11:17:12 AM PDT
true
次の例では、エージェント・コンポーネントの強制ステータスをURL http://localhost:7001でチェックします。
wls:/test_domain1/serverConfig> checkWSMStatus('agent','http://localhost:7001')
Enforcement Agent:
Note: Enforcement might succeed if OWSM Policy Manager is down due to policy caching. For such scenarios wsm-pm test must be run prior to this test.
PASSED.
Message(s):
Enforcement is successful.
Service URL: http://localhost:7001/Diagnostic/DiagnosticService?wsdl