17 Oracle BAMの保護

この章では、Oracle Business Activity Monitoring (Oracle BAM)への様々なアクセス・レベルを持つユーザー、グループおよびロールの作成方法について説明します。また、Oracle WebLogic Server内でOracle BAMのセキュリティを構成する方法についても説明します。

この章の内容は次のとおりです。

• Oracle BAMセキュリティの理解

• Oracle BAM権限の理解

• Oracle BAMユーザーの管理

• BAMサーバー・セキュリティの構成

17.1 Oracle BAMセキュリティの理解

Oracle BAMセキュリティは、Oracle WebLogic Serverセキュリティに依存しています。

Oracle BAMのユーザーとグループは、Oracle WebLogic Server管理コンソールで作成されます。BAMグループに対応し、BAMグループにデフォルト権限を付与するロールが、Oracle Enterprise Manager Fusion Middleware Controlで定義されます。

17.2 Oracle BAM権限の理解

Oracle BAMのエンティティごとに、BAMユーザーに割当て可能な権限を所有します。プロジェクトの一部であるすべてのエンティティがデフォルトでプロジェクトの権限を継承します。データ・オブジェクト・セキュリティには、メタデータ・セキュリティとデータ(行)セキュリティがあります。

BAMエンティティの権限は、次のとおりです。

• 読取り — エンティティ、またはデータ・オブジェクトのメタデータを表示する権限。

• 書込み — エンティティ、またはデータ・オブジェクトのメタデータを編集する権限。書込み権限には、読取り権限が自動的に含まれます。

• 削除 — エンティティを削除する権限。

• 選択 — データ・オブジェクト内のデータを選択または読み取る権限。データ・オブジェクトに対してのみ適用されます。

  これは、ビジネス問合せ、ビジネス・ビュー、ダッシュボードおよびその他のデザイナ・エンティティのデータ・オブジェクトを使用するのに必要な最小限の権限です。

• 削除 — データ・オブジェクト行を削除する権限。データ・オブジェクトに対してのみ適用されます。

• 更新 — データ・オブジェクト行を更新または挿入する権限。データ・オブジェクトに対してのみ適用されます。

• セキュリティ — このエンティティの他のユーザーに対してこれらの権限を設定する権限。

権限は付与または拒否できます。実行時の認可では、付与されたすべての権限がORロジックを使用して結合されます。たとえば、1人のユーザーに複数のロールがあり、これらのロールのいずれかにエンティティへのアクセス権限が付与されている場合、そのユーザーはそのエンティティにアクセスできます。

ただし、管理者ユーザーまたはエンティティ所有者は、特定のロールに対して明示的にアクセス権限を拒否できます。実行時の認可では、拒否されたすべての権限がANDロジックを使用して結合され、かつ、拒否された権限は付与された権限よりも優先されます。ユーザーの所有するいずれかのロールでエンティティへのアクセスが拒否されている場合、そのユーザーの他のロールでそのエンティティへのアクセス権限が付与されていても、ユーザーはそのエンティティにアクセスできません。

特定のBAMエンティティの権限の詳細は、次の項を参照してください。

• プロジェクトの保護

• ビジネス問合せの保護

• KPIの保護

• ビジネス・ビューの保護

• ダッシュボードの保護

• アラートの保護

• パラメータの保護

• データ・オブジェクトの保護

• エンタープライズ・メッセージ・ソースの保護

17.3 Oracle BAMユーザーの管理

Oracle BAMには、可視性とアクセスを制御するためのユーザー・ロールが用意されています。事前定義済のユーザー・ロールを管理することに加えて、独自のユーザー・ロールを作成することもできます。

この項では、次の項目について説明します。

• 事前定義済のグループおよびロール

• グループへのユーザーの追加

• カスタム・グループの作成

• カスタム・ロールの作成

17.3.1 事前定義済のグループおよびロール

表17-1は、Oracle BAMの事前定義済グループおよびロールを示しています。すべてのBAMユーザーが、他の任意のグループに加えて、BAMUsersグループに含まれている必要があります。

表17-1 Oracle BAMの事前定義済セキュリティ・グループおよびロール

グループ	ロール	説明
BAMContentViewer	BAMContentViewer	ホームページで、ダッシュボードおよびアラート履歴を表示できます。
BAMContentCreator	BAMContentCreator	すべてのBAMContentViewerタスクを実行できます。「デザイナ」ページで、データ・オブジェクトの表示、プロジェクト、ダッシュボード、アラートおよびそのすべてのコンポーネントの作成を実行できます。
BAMArchitect	BAMArchitect	「管理者」ページで、データ・オブジェクトとエンタープライズ・メッセージ・ソースを作成および変更できます。
BAMAdministrator	BAMAdministrator	他のロールのすべてのタスクを実行できます。ユーザー、グループ、ロールおよび権限を作成および変更できます。Oracle BAMシステム構成を変更できます。
BAMUsers	(なし)	Oracle BAMにログインして、ホームページを表示できます。

デフォルトでは、BAMUsersグループにのみ含まれるユーザーは、ログインすることは可能ですが、何の権限も所有しません。また、デフォルトでは、BAMContentViewerグループおよびロールのユーザーは読取り権限を所有します。

DefaultDataAccessプロパティにより、一部のデフォルト権限が変更されます。オフに設定した場合、AMContentViewerおよびBAMContentCreatorグループのユーザーは、デフォルトでデータ・オブジェクトの読取り、選択または更新権限を持ちません。オンに設定した場合、これらのグループはデフォルトでこれらの権限を持ちます。プロパティのデフォルトは、オンです。このプロパティを設定するには、BAMサーバーのMBeanプロパティの構成を参照してください。

17.3.2 グループへのユーザーの追加

Oracle WebLogic Server管理コンソールでOracle BAMユーザーを構成し、グループに割り当てます。グループにユーザーを割り当てると、そのユーザーは自動的に対応するロールに割り当てられます。

詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーの作成に関する項およびグループへのユーザーの追加に関する項を参照してください。

ユーザーを追加し、グループに割り当てるには:

1. Oracle WebLogic Serverホスト名およびコンソール・ポートを含むURLを使用して、Oracle WebLogic Serverコンソールにアクセスします。

   http://wls-hostname:console-port/console
   

   たとえば:

   http://localhost:7011/console
   

2. Oracle WebLogic Server管理者のユーザー名とパスワードを使用してログインします。
3. Oracle WebLogic Server管理コンソールの左ペインで、「セキュリティ・レルム」を選択します。
4. 「セキュリティ・レルムの概要」ページで、レルムの名前(myrealmなど)を選択します。
5. 「レルム名」ページの「設定」で、「ユーザーとグループ」→「ユーザー」を選択します。
6. 「新規」をクリックします。
7. 「新規ユーザーの作成」ページの「名前」フィールドに、ユーザーの一意の英数字名を入力します。
8. 「説明」フィールドに説明を入力します。説明は、ユーザーの完全な名前にします。これはオプションです。
9. 「プロバイダ」ドロップダウン・リストで、DefaultAuthenticatorを選択します。
10. 「パスワード」フィールドに、ユーザーのパスワードを入力します。

    パスワードの最小の長さは8文字です。プロダクションでは、ユーザー名とパスワードの組合せとしてweblogic/welcome1は使用しないでください。

11. ユーザーのパスワードを「パスワードの確認」フィールドに再入力します。
12. 「OK」をクリックして、変更内容を保存します。
13. 「ユーザー」表で、新規ユーザーの名前をクリックします。
14. 「ユーザー名」ページの「設定」で、「グループ」を選択します。
15. 「使用可能」リスト・ボックスからBAMUsersグループと1つ以上の他のBAMグループを選択し、それらを「選択済み」リスト・ボックスに移動します。BAMグループの説明は、表17-1を参照してください。
16. 「保存」をクリックします。

17.3.3 カスタム・グループの作成

Oracle WebLogic Server管理コンソールでOracle BAMのカスタム・グループを作成できます。カスタム・グループを作成した後、カスタム・ロールを作成し、そのロールにグループを割り当てることができます。

新しいグループを作成するには:

1. Oracle WebLogic Serverホスト名およびコンソール・ポートを含むURLを使用して、Oracle WebLogic Serverコンソールにアクセスします。

   http://wls-hostname:console-port/console
   

   たとえば:

   http://localhost:7011/console
   

2. Oracle WebLogic Server管理者のユーザー名とパスワードを使用してログインします。
3. Oracle WebLogic Server管理コンソールの左ペインで、「セキュリティ・レルム」を選択します。
4. 「セキュリティ・レルムの概要」ページで、レルムの名前(myrealmなど)を選択します。
5. 「レルム名」ページの「設定」で、「ユーザーとグループ」を選択します。
6. 「グループ」タブを選択し、「新規」をクリックします。
7. グループの名前と説明を入力します。プロバイダは変更しないでください。
8. 「OK」をクリックします。

17.3.4 カスタム・ロールの作成

Fusion Middleware Controlで、カスタムのOracle BAMグループ用のカスタム・ロールを作成できます。詳細は、『Oracle Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護』の管理ユーザーおよびロールに関する項を参照してください。

17.4 Oracle BAM Server Securityの構成

セキュリティはOracle WebLogic Serverで構成します。

『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの管理』のWebLogicドメインのセキュリティの構成に関する項を参照してください。Oracle WebLogic Serverセキュリティの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの理解』のWebLogicセキュリティ・サービスの概要に関する項を参照してください

次の各トピックでは、Oracle BAMのセキュリティについて説明します。

• 資格証明マッピングの構成

• Secure Socket Layerの構成

17.4.1 資格証明マッピングの構成

Oracle WebLogic Serverの資格証明マッピング機能を使用して、ユーザー名とパスワードの各プロパティを安全に格納するには、Oracle BAMアダプタを構成します。

ノート:

プレーン・テキストのユーザー名とパスワードは、本番以外のモードでのみ使用します。混乱を避けるために、資格証明マッピングとプレーン・テキストのユーザー情報は一緒に使用せず、一度に一方のみ適用してください。

資格証明マッピングを構成するには:

1. Oracle WebLogic Server管理コンソールを使用して、「デプロイメント」→「OracleBamAdapter」→「セキュリティ」→「資格証明マッピング」の順に移動します。

   ノート:

2. 「新規」をクリックして、資格証明マッピング・エントリを作成するアウトバウンド接続プール・インスタンスを選択し、「次へ」をクリックします(デフォルトでは、Oracle BAMはeis/bam/rmiとeis/bam/soapの2つの接続プールとともにインストールされています)。

   ノート:

   各アウトバウンド接続プールに対して個別の資格証明マッピング・エントリが作成されていることを確認してください。デフォルトのアウトバウンド接続プール以外に追加のアウトバウンド接続プールがある場合は、それに対応する資格証明マッピングを作成する必要があります。

3. 「未認証WLSユーザー」を選択し、「次へ」をクリックします(「未認証WLSユーザー」は匿名ユーザーに類似しています)。
4. Oracle BAMサーバーに接続するための対応するユーザー名とパスワードを指定し、「終了」をクリックして、資格証明マッピングの構成を完了します。
5. 他のOracle BAM接続プール・エントリがある場合は、前述のステップを繰り返して資格証明マッピングを作成します。

   各アウトバウンド接続プール・エントリに対して資格証明マッピングを構成すると、それらのマッピングが「資格証明マッピング」表に表示されます。

6. これらの変更を有効にするには、Oracle WebLogic Serverを再起動する必要があります。

17.4.2 Secure Socket Layerの構成

Oracle WebLogic Serverには、Oracle SOA SuiteおよびOracle WebCenterポータルをOracle WebLogic Serverに接続する際に、Secure Socket Layer (SSL)を有効にするための機能が用意されています。

キーストアと証明書の作成と管理には、Java Development Kit (JDK)のkeytoolユーティリティを使用し、Oracle WebLogic Serverのリスナーの構成には、Oracle WebLogic Server管理コンソールを使用します。

詳細は、『Oracle WebLogic Serverセキュリティの管理』のSSLの構成に関する項を参照してください。

Oracle WebLogic Serverでは、SSLポートと非SSLポートの両方で実行するようにOracle BAMを構成できます。ただし、Oracle BAMがSSLポートと非SSLポートの両方で実行している場合、アラートの電子メール受信者に2つのOracle BAMレポートURLを送信することはできません。したがって、管理者は、Oracle BAMレポートURLの受信者に対して使用するアクセスのモード(SSLまたは非SSL)を決定する必要があります。

Oracle BAMをSSLモードで起動し、Oracle BAMクライアント(BAMCommandなど)でSSLを使用してEJB、JMSリソースおよびJDBCリソースを起動できるようにするには、Oracle BAMの次のプロパティを構成する必要があります。

• BAMServerConfig.xmlファイルのCommunication_Protocol:

  デフォルト値: <Communication_Protocol>t3</Communication_Protocol>

  t3sを使用するSSLの場合: <Communication_Protocol>t3s</Communication_Protocol>

• BAMCommandConfig.xmlファイルのprotocolおよびport:

  デフォルト値: <protocol>t3</protocol>

  デフォルト値: <port>listenport</port>

  t3sを使用するSSLの場合: <protocol>t3s</protocol>

• BAMCommonConfig.xmlファイルのListenPortを次のように設定します。

  デフォルト値: <ListenPort>ListenPort</ListenPort>

  SSLの場合: <ListenPort>SSLListenPort</ListenPort>