1. Oracle RightNowアダプタの使用
  2. Oracle RightNowアダプタの高度な概念の理解
  3. Oracle RightNowアダプタのセキュリティ管理の理解

Oracle RightNowアダプタのセキュリティ管理の理解

Oracle RightNowアダプタでは、Oracle RightNowアダプタ構成ウィザード内での接続の構成中に取得された資格証明を格納するために、資格証明ストア・フレームワークを使用します。これによって、構成中に取得された資格証明が、セキュアな形式で格納され、SOAコンポジットやOracle Service Busフローとともに格納されないことが保証されます。

アダプタは、実行時に、設計時に指定されたCSF_KEYに基づいて資格証明ストア・フレームワークから自動的に資格証明を取得します。これらの資格証明は、認証のためにRightNow Cxサーバーに送信されるドキュメントのSOAPヘッダーにインジェクトされます。

アカウント・パスワードによるOracle RightNow Cxサーバーでの認証

次の項では、アカウント・パスワードを使用してOracle RightNow Cxサーバーで認証を行う方法について説明します。この項の内容は次のとおりです:

Oracle RightNow CXサーバーでのアクセス制御の理解

Oracle Cloud Connect Web Services for SOAP APIがリクエストを受信すると、一連のアクセス制御方法が強制されます。

  1. APIがサイト・レベルで有効になっていることを確認するため、サイト構成がチェックされます。
  2. リクエストに指定されているユーザー資格証明が検証されます。
  3. 適切なプロファイル・ビットが有効になっていることを確認するため、指定されたアカウントのプロファイルがチェックされます。プロファイルは、管理機能に対するアクセスの制御と、スタッフ・メンバー固有のパーミッション、デフォルトのワークスペース、デフォルトのナビゲーション・セットおよびレポート・アクセスの割当てを行うためのメカニズムです。

    ノート:

    サーバー側のアクセス制御は、Oracle Cloud Connect Web Services for SOAPによって作成されるすべてのコアAPIコールに対して強制されます。現在のパーミッションは、Oracle RightNowのプロファイル・パーミッション・エディタの読取り、編集、削除および移動の各チェック・ボックスにマップされます。サーバー側のアクセスは、2013年5月以降の新しいサイトではデフォルトで有効化されますが、2013年5月のリリースより前にアップグレードされたサイトでは無効化されます。既存のOracle RightNowユーザーで、サイトを2013年5月以降のビルドにアップグレードする予定の場合、このセキュリティ強化機能を有効化するようにカスタマ・サポートに連絡してください。

    すでにサーバー側のアクセス制御が現在のサイトで有効化されている場合、プロファイル・パーミッションの変更は慎重に行ってください。Oracle RightNow管理者がOracle Cloud Connect Web Services for SOAP統合のプロファイルに対するパーミッションを変更すると、それによって統合が破損する可能性があります。

Oracle Cloud Connect Web Services for SOAPのサイト構成

Oracle Cloud Connect Web Services for SOAPへのアクセスは、それが有効化されているサイトでのみ可能です。Oracle Cloud Connect Web Services for SOAPが有効でない場合、APIが動作せず、リクエスト・エラーが返されるため、Oracleアカウント・マネージャに連絡してください。

リクエスト・エラーは、検証の失敗やインバウンド・リクエストのデータ関連エラーが存在する場合には常に生成されます。例外コードはACCESS_DENIEDで、メッセージはSOAP_SERVER_DISABLEDのメッセージ・ベース文字列になります。

リクエスト・エラーと例外コードの詳細は、Oracle Connect Web Services for SOAPを参照してください。

Oracle RightNow Cxを通じてスタッフ・アカウントを認証するには、Oracle RightNow Cxのプロファイル・パーミッション・エディタでそのプロファイルを更新しておく必要があります。パーミッションのチェック・ボックスは、「スタッフ・マネジメント」→「プロファイル」→「パーミッション」にあります。

図4-5 パーミッションのチェック・ボックスの場所


図4-5の説明が続きます
「図4-5 パーミッションのチェック・ボックスの場所」の説明

また、RightNow Cx管理者は、Oracle RightNow Cxプラットフォームの構成設定を使用して、IPアドレスによってOracle Cloud Connect Web Services for SOAP統合へのアクセスを制限できます。次の設定は、「サイト構成」→「環境設定」にあります。

  • SEC_PAPI_INTEG_HOSTS_SOAP: SOAPインタフェースに対するアクセスを許可するホストを定義します。有効なエントリには、ワイルドカード、特定のIPアドレス、またはIPサブネット・マスク(*.rightnow.com、1.2.3.4、10.11.12.0/255.255.255.0など)を含むドメイン名のカンマ区切りのリストがあります。

    このリストのエントリに一致するホストからログインしているユーザーのみが、SOAPインタフェースへのアクセスを許可されます。デフォルトは空白です。

RightNow Cxでのアクセス制限パーミッションの構成

アクセス制限パーミッションを構成するには:

  1. Oracle RightNow Cxクライアントをインストールします。
  2. ワークステーションにインストールされたOracle RightNow Cxクライアントにログインします。すぐにアプリケーションの構成とカスタマイズを開始できます。

    将来同じサイトにアクセスするには、「スタート」メニュー→「すべてのプログラム」→「RightNow」→「RightNow (<site_name>)」を選択してクライアントを起動します。クライアント・アプリケーションは、サイト・ベースのため、アクセスするサイトごとに個別のクライアントをデプロイする必要があります。

    ただし、1つのクライアント・アプリケーションを使用して、1つのサイトのすべてのインタフェースにアクセスできます。インタフェースは、クライアントのデプロイと同じ方法でクライアントに追加されます。

    インタフェースの「準備完了」ページにアクセスし、「Oracle RightNow CX Cloud Serviceのインストール」ボタンをクリックすると(Oracle RightNow Cxユーザーズ・ガイドを参照)、デプロイメント・ツールによって、クライアントの「ログイン」ウィンドウの「インタフェース」ドロップダウン・メニューにインタフェースが追加されます。

  3. SEC_PAPI_INTEG_HOSTS_SOAP設定を構成します。Oracle RightNow CXユーザーズ・ガイドを参照してください。

アカウント資格証明の検証

リクエストがAPIに送信され、サイト構成が検証されたら、次のステップでは、アカウント資格証明を検証します。資格証明が確認されないと、リクエスト・エラーが返されます。例外コードはINVALID_LOGINで、メッセージはメッセージ・ベース文字列LOGIN_ID_PASSWD_COMBINATION_INV_MSGになります。

プロファイル構成

セキュリティ・ヘッダーで使用されるスタッフ・アカウントのプロファイルでは、「公開SOAP API」プロファイル・ビットを有効にする必要があります。このビットが有効でない場合、リクエスト・エラーが返されます。例外コードはACCESS_DENIEDで、メッセージはメッセージ・ベース文字列PROFILE_NO_SOAP_ACCESS_MSGになります。

パスワードベースの認証

Web Services Policy 1.2を使用するOracle Cloud Connect Web Service for SOAPは、http://specs.xmlsoap.org/ws/2004/09/policy/ws-policy.pdfでクライアント認証が定義されています。

セキュリティ・ポリシーのサポートXSDは、http://schemas.xmlsoap.org/ws/2004/09/policy/ws-policy.xsdにあります。

シングル・サインオンで認証するには、「Authenticating with SAML 2.0」を参照してください。

WS-Security仕様では、次のネームスペースのSOAPヘッダーにSecurityタグが必要です。

http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd

Securityタグの内部に、UsernameTokenタグ(WS-Security UsernameToken Profile 1.0仕様の一部)があります。UsernameTokenタグには、UsernamePasswordNonceおよびCreatedの各要素が含まれます。Password要素には、Password要素の内容がPasswordTextであるかどうかを指定するType属性が含まれます。Oracle Cloud Connect Web Services for SOAPでは、PasswordDigestはサポートされません。

NonceおよびCreated要素はサポートされません。PasswordDigestタイプやCreated/Nonce要素が含まれるリクエストを受信すると、サーバーは、不正な形式のリクエストとしてそのリクエストを拒否します。

次に、ユーザー名とパスワードの資格証明を含むSOAPリクエストの例を示します。

例4-1 ユーザー名とパスワードの資格証明を含むSOAPリクエストの例

 soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
    <soapenv:Header>
        <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004
             /01/oasis-200401-wss-wssecurity-secext-1.0.xsd"
                   soapenv:mustUnderstand="1">
            <wsse:UsernameToken
                xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/
                  oasis-200401-wss-wssecurity-utility-1.0.xsd" 
                      wsu:Id="UsernameToken-3902281">
                <wsse:Username>comland</wsse:Username>
                <wsse:Password Type=
                     "http://docs.oasis-open.org/wss/2004
                      /01/oasis-200401-wss-username-token-profile-1.0
                       #PasswordText">Connect1</wsse:Password>
            </wsse:UsernameToken>
        </wsse:Security>
    </soapenv:Header>
</soapenv:Envelope>