19 セキュリティ・タスク

Oracle Stream Analytics Visualizerで実行できるセキュリティ・タスクを紹介し、これには、ユーザー、グループおよびロールの管理や、HTTPパブリッシュ/サブスクライブ・サーバー・チャネルのセキュリティとSSLの管理があります。

この章の内容は次のとおりです。

19.1 ユーザー、グループ、およびロールの管理

Oracle Stream Analyticsでは、ロール・ベースの認可制御を使用して、Oracle Stream Analytics Visualizerおよびwlevs.Adminコマンドライン・ユーティリティを保護します。すぐに使用できるデフォルトのセキュリティ・グループが各種存在しています。ユーザーを様々なグループに追加することにより、ユーザーへの様々なロールの割当ができます。

Oracle Stream Analytics Visualizer、wlevs.AdminまたはJMXを使用するカスタム管理アプリケーションを使用してOracle Stream Analyticsインスタンスに接続する管理者は、ロール・ベースの認可を使用してアクセス権を取得します。

また、ロール・ベースの認可を使用して、HTTPパブリッシュ/サブスクライブ・サーバーへのアクセス権を制御できます。

次の2種類のロールがあります。

  • アプリケーション・ロール: アプリケーション・ロールは、Oracle Stream Analyticsサーバーにデプロイ済の様々なOracle CQLアプリケーションにアクセスする権限をユーザーに付与します。アプリケーション・ロールを作成し、それらをOracle Stream Analyticsが提供するタスク・ロールに関連付けることができます。

    デフォルトでは、管理者ユーザーは任意のアプリケーションへアクセスできますが、非管理者ユーザーはすべてのアプリケーションへはアクセスできません。非管理者ユーザーがアプリケーションへアクセスする前に、管理者ユーザーはユーザーに関連するアプリケーション・ロールを付与する必要があります。

  • タスク・ロール: タスク・ロールは、自身のアプリケーション・ロールによってアクセスが認可されたアプリケーションで様々なタスクを実行する権限を、ユーザーに付与します。Oracle Stream Analyticsには、表19-1で説明するデフォルトのタスク・ロールが用意されています。

Oracle Stream Analytics Visualizerまたはwlevs.Adminの使用時に正常に認証されたユーザーには、そのグループ・メンバーシップに基づいてロールが割り当てられますが、その後の管理機能へのアクセスは、そのユーザーが保持するロールに従って制限されます。匿名ユーザー(認証されていないユーザー)は、Oracle Stream Analytics Visualizerまたはwlevs.Adminへのアクセス権を持ちません。

管理者が構成ウィザードを使用して新しいドメインを作成する際には、wlevsAdministratorsグループの一部となる管理者ユーザーを入力します。デフォルトでは、この情報はファイルベースのプロバイダ・のファイルストア内に格納されます。パスワードは、SHA-256アルゴリズムを使用してハッシュされます。デフォルトの管理者ユーザーの名前はoepadminで、パスワードはwelcome1です。

表19-1は、新規ドメイン作成直後に使用可能なデフォルトのOracle Stream Analyticsタスク・ロールや、それらのロールに割り当てられるグループ名を説明しています。

表19-1 デフォルトのOracle Stream Analyticsタスク・ロールおよびグループ

タスク・ロール グループ 権限

Admin

wlevsAdministrators

前述のロールが持つすべての権限および次の権限があります。

  • ユーザーおよびグループの作成

  • HTTPパブリッシュ/サブスクライブ・セキュリティの構成

  • Jettyやワーク・マネージャなどのシステム構成の変更

ApplicationAdmin

wlevsApplicationAdmins

AdminおよびBusinessUserロールのみに許可されている問合せの更新を除くすべてのOperator権限を持ちます。ApplicationAdminには、すべてのデプロイ済アプリケーションの構成を更新する権限も含まれています。

BusinessUser

wlevsBusinessUsers

すべてのOperator権限およびデプロイ済アプリケーションのプロセッサに関連付けられたOracle CQLルールを更新する権限を持ちます。

Deployer

wlevsDeployers

すべてのOperator権限およびデプロイ済アプリケーションをデプロイ、アンデプロイ、更新、一時停止、および再開する権限があります。

Monitor

wlevsMonitors

すべてのOperator権限および監視(診断プロファイル)、記録、再生、イベント・トレースおよびイベント・インジェクションを行う権限があります。

Operator

wlevsOperators

すべてのサーバー・リソース、サービス、およびデプロイされたアプリケーションへの読取り専用アクセスがあります。

Oracle Stream Analytics Visualizerを使用して既存ドメイン用のグループを作成し、ロールをグループに割り当てます。ユーザーをグループに割り当てると、そのユーザーにはロールによって許可されるアクションを実行する権限が与えられます。

Oracle Stream Analytics Visualizerを使用すると、次のことを行えます。

19.2 HTTPパブリッシュ/サブスクライブ・サーバー・チャネル・セキュリティの管理

Oracle Stream Analyticsは、HTTPパブリッシュ/サブスクライブ・サーバー(HTTP pub-sub server)を提供し、これは、Webクライアントがチャネルをサブスクライブし(JMSの内容と類似)、HTTP経由で非同期メッセージを使用してメッセージをチャネルへパブリッシュして、使用可能な状態になるとメッセージを受信するためにチャネルをサブスクライブするメカニズムです。

Oracle Stream Analytics Visualizerを使用すると、どのユーザーがHTTPパブリッシュ/サブスクライブ・サーバー・チャネルへアクセスできるかを指定できます。

詳細は、「HTTPパブリッシュ/サブスクライブ・サーバーのセキュリティ」を参照してください。

19.3 SSL管理

Oracle Stream Analyticsには一方向のSecure Sockets Layer (SSL)が用意されていますが、これは、Oracle Stream Analytics VisualizerとOracle Stream Analyticsサーバー・インスタンス間、マルチサーバー・ドメインのOracle Stream Analyticsサーバー・インスタンス間、およびwlevs.Adminコマンドライン・ユーティリティとOracle Stream Analyticsサーバー・インスタンス間のネットワーク・トラフィックを保護するためのものです。

Oracle Stream Analyticsサーバーのconfig.xmlファイル内のSSLを構成します。デフォルトで、構成ウィザードはOracle/Middleware/my_oep/user_projects/domains/DOMAIN_DIR/servername/configディレクトリにあるconfig.xmlファイルを作成します。

詳細は、「SSL構成」を参照してください。