14 セキュリティ・ポリシーのモニターと管理
Fusion Middleware Controlを使用すると、ユーザーのService Busサービスにアタッチされたポリシーを、その使用状況メトリックと違反メトリックも含め、モニターおよび管理できます。また、ポリシー・セットをグローバルに付加し、ポリシーのオーバライドを定義して、ユーザーのサービスに対してポリシーをアタッチおよびデタッチすることもできます。
この章の内容は次のとおりです。
14.1 セキュリティ・ポリシーについて
セキュリティ・ポリシーにより、組織全体で一貫性のあるWebサービスの管理と保護のためのフレームワークが提供されます。Service Busでは、プロキシ・サービスとビジネス・サービスにポリシーをアタッチします。
Service Busプロジェクトに含まれる個別のサービスに対するポリシーは、JDeveloper、Oracle Service BusコンソールおよびFusion Middleware Controlで管理できます。どちらのコンソールも、ランタイム構成をサポートしています。Fusion Middleware Controlを使用する場合は、ポリシー・セットを作成することで、ポリシーをグローバルにアタッチすることもできます。
この章では、Fusion Middleware Controlでポリシーのモニターと管理を実行する方法について説明します。Oracle Service BusコンソールおよびOracle JDeveloperでポリシーを操作する方法の詳細は、『Oracle Service Busでのサービスの開発』の「ビジネス・サービスとプロキシ・サービスの保護」を参照してください。
14.2 グローバル・ポリシーの構成
Fusion Middleware Controlでポリシー・セットを使用すると、Service Busプロジェクトに含まれる複数のサービスにポリシーを割り当てることができます。このようなポリシーは、グローバル・ポリシーと呼ばれます。
グローバル・ポリシー・セットを作成すると、セットに含まれるポリシーは、ポリシー・セットの構成と一致するプロキシ・サービスまたはビジネス・サービスに自動的にアタッチされます。一致するサービスでグローバル・ポリシー・セットのポリシーを使用するには、OWSMポリシーを使用してサービスを構成する必要があります。
ポリシー・セットの構成では、ポリシー・サブジェクトを定義し、ポリシーをアタッチするサービスのドメイン名、アプリケーション名、およびリソース・パス(project_name/folder/subfolder
形式)のいずれかを定義します。ポリシーをアタッチできるService Busのサービスは、次のとおりです。
-
JCAビジネス・サービス
-
JCAプロキシ・サービス
-
RESTfulビジネスサービス
-
RESTfulプロキシ・サービス
-
SOAPビジネス・サービス
-
SOAPプロキシ・サービス
グローバル・ポリシー・アタッチメントおよびポリシー・セットの詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のFusion Middleware Controlを使用したWebサービスおよびクライアントへのポリシーのアタッチに関する項を参照してください。それぞれに対して選択するポリシー・サブジェクトの詳細は、『Oracle Web Services Managerの理解』のポリシー・サブジェクトの理解に関する項を参照してください。
14.2.1 グローバル・ポリシー・セットの作成方法
ポリシー・セットを作成する場合は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のFusion Middleware Controlを使用したポリシー・セットの作成に関する項の手順に従ってください。
14.2.2 グローバル・ポリシーのサービスを有効化する方法
Fusion Middleware Controlでグローバル・ポリシー・セットを有効化および無効化できるようにするだけでなく、ビジネス・サービスおよびプロキシ・サービスでポリシーを使用する、または使用しないように構成することもできます。グローバル・ポリシーを使用するには、ビジネス・サービスまたはプロキシ・サービスでのOWSMポリシー・ストアからのポリシーの使用を有効化する必要があります。これは、JDeveloperまたはOracle Service Busコンソールのいずれかで構成します。詳細は、『Oracle Service Busでのサービスの開発』のJDeveloperでOracle Web Services Managerポリシーをアタッチする方法に関する項とコンソールでOracle Web Services Managerポリシーをアタッチする方法に関する項を参照してください。
グローバル・ポリシーのサービスを有効化するには:
14.2.3 グローバル・ポリシーのサービスを無効化する方法
ビジネス・サービスまたはプロキシ・サービスに有効化されたポリシーがあり、サービスがグローバル・ポリシー・セットの構成と一致する場合、そのセットのポリシーはサービスに自動的に適用されます。これは、サービスのポリシーを無効化することで回避できますが、それはポリシーを個別にアタッチできないということも意味します。これは、JDeveloperまたはOracle Service Busコンソールのいずれかで構成します。詳細は、『Oracle Service Busでのサービスの開発』のJDeveloperでOracle Web Services Managerポリシーをアタッチする方法に関する項とコンソールでOracle Web Services Managerポリシーをアタッチする方法に関する項を参照してください。
グローバル・ポリシーのサービスを無効化するには:
14.3 セキュリティ・ポリシーのモニター
Fusion Middleware Controlを使用すると、ドメイン内のサービスで使用されているポリシーは、各プロキシ・サービスまたは各ビジネス・サービスで使用されているポリシーの表示によってモニターできます。
さらに、発生したポリシー違反を表示することも、各ポリシーの使用状況を表示および分析することもできます。
14.3.1 サービスにアタッチされたポリシーの表示
ビジネス・サービスまたはプロキシ・サービスの「ポリシー」ページには、あるサービスに対してグローバルにアタッチされたポリシーと直接アタッチされたポリシーがすべて表示されます。サービスの「ポリシー」ページには、様々な方法でアクセスできます。次に示すステップでは、プロジェクトの「サービス・ヘルス」ページからアクセスする方法について説明します。
サービスにアタッチされたポリシーを表示するには:
14.3.2 ポリシー使用状況のモニター
サービスで使用しているポリシーを変更する前に、どのサブジェクトが特定のポリシーを使用しているかを確認するために、使用状況分析を実行するようにしてください。データベース・ベースのOWSMリポジトリでは、ポリシー使用状況の情報のみが、有効化されたサービスに対してのみ使用できます。「WSMポリシー」ページには、ポリシーがアタッチされているサブジェクトの数が表示されます。その後で、ポリシーがアタッチされた、選択したタイプのポリシー・サブジェクトのリストを表示できます。
ポリシー使用状況をモニターするには:
14.3.3 ポリシー違反の表示
サービスの「ポリシー」タブに表示されるポリシーの一覧では、フォルトのあるポリシーに対してポリシー違反の数が示されます。
ポリシー違反をモニターするには:
- 構成するサービスの「ポリシー」ページにアクセスします(「サービスにアタッチされたポリシーの表示」を参照)。
- 「直接アタッチされたポリシー」表で、「合計違反」列を調べてフォルトのあるポリシーを特定します。
- 「違反」列の数字をクリックして、フォルトについての詳細情報を表示します。
14.4 セキュリティ・ポリシーの管理
Fusion Middleware Controlでは、ポリシーのアタッチとデタッチ、ポリシー・プロパティのオーバーライド、およびグローバル・ポリシーの作成を実行することで、セキュリティ・ポリシーを管理できます。
グローバル・ポリシーの詳細は、「グローバル・ポリシーの構成」を参照してください。
14.4.3 セキュリティ・ポリシーのオーバーライド
サービスに直接アタッチされたポリシーの構成はオーバライドできます。これにより、各サービスまたはクライアント単位で、それらに新しいポリシーを作成することなく、構成を更新できるようになります。この方法では、デフォルト構成の値を定義するポリシーを作成して、それらの値をランタイムの要件に基づいてカスタマイズできます。プロキシ・サービスまたはビジネス・サービスの構成でオーバーライドを定義できます。詳細は、『Oracle Service Busでのサービスの開発』の「ビジネス・サービスとプロキシ・サービスの保護」を参照してください。
Fusion Middleware Controlで、セキュリティ・ポリシーをオーバーライドするには: