8 SOAフォルダおよびワーク・マネージャ・グループの管理
SOAの権限およびロールのサポートは、次のように11gと12cの間で変更されました:
-
11gでは、Oracle SOA Suite APIおよびランタイムはOracle SOA Suiteアプリケーション・ロールを使用して保護され、Oracle Enterprise Manager Fusion Middleware ControlではOracle WebLogic Serverロールを使用してユーザー・アクションを保護していました。ロールのマッピングが必要でした。
- 12cでは、Oracle SOA Suite APIとランタイムもOracle Enterprise Manager Fusion Middleware Controlも、Oracle SOA Suite権限を使用してユーザー・アクションおよびユーザー・インタフェースを保護します。(Oracle SOA Suiteアプリケーション・ロールは一連の権限によって定義されます。)そのため、ユーザーをアプリケーション・ロールの1つにマッピングすると、それらに必要な権限が付与されます。
この章の内容は次のとおりです。
特定のフォルダの全体的ステータスの監視の詳細は、「SOAインフラストラクチャまたは個々のSOAフォルダの全体的ステータスの監視」を参照してください。
特定のフォルダのビジネス・フロー・インスタンスのステータスのトラッキングの詳細は、「ビジネス・フロー・インスタンスのトラッキング」を参照してください。
特定のフォルダのエラー・リカバリの実行の詳細は、「エラー・ホスピタルでのフォルトからのリカバリ」を参照してください。
SOAフォルダの管理
SOAコンポジット・アプリケーションは、フォルダと呼ばれるSOAインフラストラクチャの個別セクションにデプロイすることができます。コンポジットをフォルダにデプロイすると、次のことができるようになります。
-
SOAコンポジットを論理的にグループ化
-
特定のフォルダ内のすべてのSOAコンポジット・アプリケーションに対して、次の一括ライフサイクル管理を実行
-
すべてのコンポジットの起動
-
すべてのコンポジットのシャットダウン
-
すべてのコンポジットのリタイア
-
すべてのコンポジットのアクティブ化
-
すべてのコンポジットのアンデプロイ
-
-
フォルダへのアクセスの保護
SOAコンポジット・アプリケーションのデプロイには、フォルダが1つ以上必要です。default
というデフォルト・フォルダがOracle SOA Suiteで自動的に組み込まれます。デフォルト
のフォルダは削除できます。既存のフォルダの名前を変更することはできません。フォルダの作成と削除のみがサポートされています。
フォルダは、特定の状態(起動、停止、アクティブ化、リタイアなど)に関連付けられません。フォルダ内のコンポジットのみが、特定の状態に関連付けられます。このため、フォルダを起動、停止、アクティブ化またはリタイアさせることはできません。
ノート:
同じインバウンド・リソースを使用している複数のSOAコンポジット・アプリケーションが異なるフォルダにデプロイされている場合は、処理するメッセージをどのフォルダが取得するかを保証できません。
たとえば、ファイル・アダプタを使用しており、/home/Directory1
がコンポジットSOAComposite1
のインバウンド・ディレクトリだとします。このコンポジットがFolder1
とFolder2
の両方にデプロイされている場合、ファイルが/home/Directory1
に置かれると、Folder1
またはFolder2
内のコンポジットがファイルを取得できます。
ただし、ソケット・アダプタでは、同じインバウンド・ポートを使用するコンポジットをデプロイできないという制限があります。この場合は、インバウンド・ポートが使用されていることを示す例外がスローされます。
フォルダを管理するには:
次のいずれかのオプションを使用して、SOAフォルダの管理ページにアクセスします。
SOAインフラストラクチャのメニューから... | ターゲット・ナビゲーション・ツリーのSOAノードから... |
---|---|
|
|
SOAフォルダの管理ページに、次の詳細が表示されます。
-
特定のフォルダを検索するためのユーティリティ。フォルダ名のすべてまたは一部を入力し、「検索」アイコンをクリックするか、[Return]キーを押します。検索では大文字と小文字は区別されません。
-
フォルダを作成、削除および編集するためのリンク。
-
選択したフォルダのすべてのコンポジットを起動、シャットダウン、アクティブ化およびリタイアするための「コンポジット制御」リスト。
-
このフォルダにデプロイするための、またはこのフォルダからすべてアンデプロイするための「デプロイメント」リスト。
-
各フォルダ、ワーク・マネージャ・グループ、各フォルダ内のアクティブおよびリタイア状態のSOAコンポジット・アプリケーション・リビジョンの数、および各フォルダに含まれているコンポジットの名前(「表示」リンクの下)がリストされる表。
次のフォルダ管理タスクを実行できます。
フォルダの概念の詳細は、「SOAフォルダの概要」を参照してください。
SOAフォルダの作成
フォルダは、SOAフォルダの管理ページから作成できます。
ノート:
フォルダを作成する前に、Oracle WebLogic Server管理コンソールのチェンジ・センターでセッション・ロックが解除されていることを確認する必要があります。
フォルダを作成するには:
-
「SOAフォルダの管理」で説明しているとおり、SOAフォルダの管理ページにアクセスします。
-
「作成」をクリックします。
「新規SOAフォルダの作成」ダイアログが表示されます。
-
「名前」フィールドに、フォルダ名を入力します。
ノート:
名前は次の規則に準拠している必要があります。
-
ASCII文字と数字を使用できます。
-
アンダースコア(
_
)を使用できます。 -
ハイフン(
-
)を使用できます(最初の文字以外)。 -
ASCII以外の文字を使用できます。
-
スペースは使用できません。
有効な名前の例は、
myfolder
、folder2
、dept-a
、customer_services
および22
です。無効な名前の例は、-folder2
、/folder
、およびnullまたは空の名前です。 -
-
「ワーク・マネージャ・グループ」リストから既存のワーク・マネージャ・グループを選択するか、「追加」をクリックして新規ワーク・マネージャ・グループを作成します。新規ワーク・マネージャ・グループの作成方法は、「ワーク・マネージャ・グループの表示および作成」を参照してください。
既存のフォルダの名前の変更や、デプロイしたコンポジット・アプリケーションを後で別のフォルダに転送することはできません。
-
-
「作成」をクリックします。
新しいフォルダが、「SOAフォルダの管理」ページの「SOAフォルダ」列の下に表示されます。これで、「デプロイメント」ドロップダウン・リストから「このフォルダにデプロイ」を選択することで、コンポジットをこのSOAフォルダにデプロイできるようになりました。デプロイした後は、コンポジットを異なるフォルダに転送できなくなります。
「コンポジット制御」および「デプロイメント」リストからの一括ライフサイクル管理タスクの実行については、「SOAフォルダのコンポジットに対する一括ライフサイクル管理タスクの実行」を参照してください。
Oracle WebLogic Scripting Tool (WLST)およびant
コマンドでもSOAフォルダを作成できます。詳細は、SOA Suite WLSTコマンド・リファレンスおよび『Oracle SOAスイートでのSOAアプリケーションの開発』を参照してください。
フォルダの削除
ノート:
少なくとも1つのフォルダが必要です。すべてのフォルダを削除した場合、SOAコンポジット・アプリケーションをデプロイできません。
フォルダは、SOAフォルダの管理ページから削除できます。
次の点に注意してください。
-
別のフォルダにコンポジット・デプロイメントの一部を再作成する場合は、このフォルダを削除する前にコンポジットをJARファイルにエクスポートできます。
-
選択したフォルダを削除する前に、そのフォルダに含まれるSOAコンポジット・アプリケーションのリビジョンがすべてアンデプロイされます。アンデプロイされたコンポジットのすべてのアクティブなインスタンスの状態は中断に変更されます。
フォルダを削除するには:
SOAフォルダのワーク・マネージャ・グループの変更
フォルダに関連付けられたワーク・マネージャ・グループは、既存のグループを選択するか、新規グループを作成することにより変更できます。
ノート:
フォルダのワーク・マネージャ・グループを変更する前に、Oracle WebLogic Server管理コンソールのチェンジ・センターでセッション・ロックが解除されていることを確認する必要があります。
フォルダのワーク・マネージャ・グループを変更するには:
SOAフォルダのコンポジットに対する一括ライフサイクル管理タスクの実行
SOAフォルダの管理ページ、または特定のフォルダのSOAフォルダ・ページで、特定のフォルダ内のすべてのSOAコンポジット・アプリケーションに対して一括ライフサイクル管理タスクを実行できます。
一括ライフサイクル管理タスクは、一度に1つではなく複数のコンポジットに影響を及ぼします。コンポジットに実行中のインスタンスがあり、ライフサイクルの変更操作がコンポジットに対して実行されている場合は、インスタンスが完了しないことがあります。様々なライフサイクル操作がビジネス・フロー・インスタンスに及ぼす影響については、「SOAインフラストラクチャ・レベルでのすべてのアプリケーションの状態管理」を参照してください。
特定のフォルダ内のすべてのSOAコンポジット・アプリケーションに対して一括ライフサイクル管理を実行するには:
-
「SOAフォルダの管理」で説明しているとおり、SOAフォルダの管理ページにアクセスします。
2つのドロップダウン・リストを使用すると、一括ライフサイクル管理アクションを実行できます。
-
「コンポジット制御」リスト
-
「デプロイメント」リスト
SOAフォルダの管理ページでは、これらのリストは「SOAフォルダ」表の上に表示されます。
-
-
選択したフォルダに含まれるすべてのSOAコンポジット・アプリケーションに次の一括ライフサイクル管理タスクの1つを実行するには、「コンポジット制御」リストを選択します。
-
すべてのコンポジットを起動します。
-
すべてのコンポジットをシャットダウンします。
-
すべてのコンポジットをアクティブにします。
-
すべてのコンポジットをリタイアします。
-
実行する操作を選択します。
選択内容の確認を求めるダイアログが表示されます。操作が完了すると、ページ上部に確認メッセージが表示されます。
-
「OK」をクリックして続行します。
ノート:
「コンポジット制御」リストから「すべてリタイア」を選択すると、そのフォルダ内のすべてのコンポジットがリタイアされ、その際にデフォルトや最後のアクティブ・コンポジットがリタイアされることを示す警告メッセージは表示されないため、注意が必要です。
これは、特定フォルダ内の全コンポジットの一括リタイアメントの実行時に予期される動作です。
-
-
次のいずれかの管理タスクを実行するには、「デプロイメント」リストを選択します。
-
このフォルダにデプロイするコンポジットを指定します。この選択により、デプロイするコンポジット・リビジョンを指定するSOAコンポジットのデプロイ・ウィザードが起動します。
-
このフォルダ内のすべてのコンポジットをアンデプロイします。
選択内容の確認を求めるダイアログが表示されます。操作が完了すると、ページ上部に確認メッセージが表示されます。
-
ワーク・マネージャ・グループの管理
各フォルダは、ワーク・マネージャで構成されるワーク・マネージャ・グループに関連付けられている必要があります。ワーク・マネージャは、論理スレッド・プールを表すOracle WebLogic Serverエンティティです。これは、作業アイテムが順番に処理を待機するキューに似ています。ワーク・マネージャで処理する作業の優先度を定義できます。ワーク・マネージャはスレッド・プールを内部で自動的に管理し、最適なスケジュールを可能にします。ワーク・マネージャは、次の機能を提供します。
-
単一の内部グローバル・プール。
-
複数の優先度ベースのワーク・リクエスト・キュー。優先度は、ワーク・マネージャの制約に基づいて内部的に計算されます。
-
ワーク・ロードに基づいて自動的に追加および削除される新規スレッド。
Oracle WebLogic Serverは、Oracle SOA Suiteのかわりにスレッド・プールを管理します。定義された条件に基づいて、必要なスレッド数を自動的に制御します。優先度を定義すると、Oracle WebLogic Serverによって、さらにスレッドが必要かどうかが判断されます。
Oracle WebLogic Server管理コンソールで作業優先度を定義する方法は2つあります。
-
リクエスト・クラス:
-
共有するサーバー・リソースの必要な割合を定義します
-
必要なアプリケーション・レスポンス時間を定義します
-
-
制約:
-
最大スレッド制約: 制約に達した場合、同時実行数が限度を下回るまで、サーバーはこのタイプのリクエストをスケジュールしません。値を指定しない場合、デフォルト値は無制限になります。
-
最小スレッド制約: デッドロックを避けるために、影響を受けたリクエストにサーバーが割り当てるスレッド数を確保します。デフォルト値は0です。
-
容量: 容量に達すると、サーバーはリクエストを拒否します。
ノート:
最大スレッドおよび最少スレッドは、ワーク・マネージャ名を使用して定義され、複数のワーク・マネージャで共有できます。ワーク・マネージャはドメイン・レベルで定義されます。
-
Oracle WebLogic Serverには、多くのOracle SOA Suiteワーク・マネージャが含まれています。これらのワーク・マネージャに自動的に関連付けられるOracle SOA Suiteワーク・マネージャ・グループを作成できます。ワーク・マネージャ・グループは、特定のフォルダのOracle SOA Suiteバックグラウンド作業を処理するための専用ワーク・マネージャで構成されます。ワーク・マネージャ・グループは、フォルダ構成とリクエスト処理を分離します。ワーク・マネージャ・グループは、複数のフォルダで共有できます。
マッピングは次のように機能します。
-
サービス・エンジン・スレッド・プール(BPEL呼出しプールなど)と、ワーク・マネージャ・グループのワーク・マネージャとの間のマッピング。
-
1つのフォルダと1つのワーク・マネージャ・グループとの間のマッピング。ワーク・マネージャ・グループは、特定のフォルダのバックグラウンド処理タスクのためのすべての論理スレッド・プールで構成されます。複数のフォルダで1つのワーク・マネージャ・グループを共有できます。たとえば:
-
デフォルトおよび人事管理のフォルダを標準ワーク・マネージャ・グループに関連付けることができます。
-
営業のフォルダを優先度の高いワーク・マネージャ・グループに関連付けることができます。
ただし、それぞれのフォルダが関連付けられるのは、1つのワーク・マネージャ・グループのみです。
-
ワーク・マネージャ・プロパティの表示および構成
次のオプションのいずれかを使用して、ワーク・マネージャ・プロパティを表示および構成できます。
-
次のプロパティを構成します。
-
データ・ソース内のデータベース接続数を構成するための、Oracle WebLogic Server管理コンソールのSOADataSourceプロパティ。
-
グループ内の各種ワーク・マネージャの割合を割り当てる、システムMBeanブラウザのSOAMaxThreadsConfigプロパティ
最大スレッド制約は、これらの設定に基づいて自動的に作成されます。詳細は、「データベース固有の処理スレッドの構成」を参照してください。
-
-
Oracle WebLogic Server管理コンソールから、最小スレッド、最大スレッドおよび容量の制約などのワーク・マネージャ・プロパティを構成します。このオプションは、最初のオプションに比べてより高度な方法です。詳細は、「ワーク・マネージャ制約の表示および構成」を参照してください。
ワーク・マネージャの保留中のリクエストおよび完了したリクエストの表示
各ワーク・マネージャの保留中のリクエストおよび完了したリクエストの数を表示できます。
ワーク・マネージャ・スレッドが利用できないために発生する例外メッセージの詳細は、「受信処理のためのワーク・マネージャ・スレッドが利用不可能」を参照してください。
ワーク・マネージャ・グループの表示および作成
SOAフォルダごとにワーク・マネージャ・グループを作成できます。グループを作成する際、「ワーク・マネージャ・グループの管理」で示されているOracle SOA Suiteのワーク・マネージャが自動的にグループに追加されます。Oracle SOA Suiteには、defaultという名前のデフォルトのワーク・マネージャ・グループが自動的に含まれています。
ノート:
ワーク・マネージャ・グループを作成または削除する前に、Oracle WebLogic Server管理コンソールのチェンジ・センターでセッション・ロックが解除されていることを確認する必要があります。
ワーク・マネージャ・グループを作成するには:
-
次のいずれかのオプションを使用して、このページにアクセスします。
SOAインフラストラクチャのメニューから... ナビゲータのSOAフォルダから... -
「ワーク・マネージャ・グループ」を選択します。
-
「soa-infra」→「server_name」を右クリックします。
-
「ワーク・マネージャ・グループ」を選択します。
ワーク・グループの管理ページが表示されます。
-
-
ワーク・マネージャ・グループを展開して、各グループに自動的に作成されたワーク・マネージャ、最大スレッド制約値とクラス、最小スレッド制約値とクラス、およびフェア・シェア・リクエスト・クラスを表示します。制約では、ワーク・マネージャで処理する作業の構成値を定義します。
ファイル共有リクエスト・クラスは、Oracle WebLogic Serverが要求にスレッドを割り当てる際に使用するスケジューリングのガイドラインを表します。リクエスト・クラスを設定すると、優先度の高い作業は、それより前に発行された作業があってもその重要度が低ければ、その作業より先にスケジューリングされるようにできます。Oracle WebLogic Serverでは、各モジュールへのリクエストの完了までにかかる時間が考慮されます。
フェア・シェア・リクエスト・クラスは、要求の処理に必要なスレッド使用時間の平均を指定します。フェア・シェア・リクエスト・クラスの値は、割合ではなく相対値で指定します。したがって、2つのリクエスト・クラスを400と100で定義した場合、これらの相対値は、80と20または4と1で定義した場合と同じになります。
たとえば、
RequestClass1
、RequestClass2
およびRequestClass3
のフェア・シェア値がそれぞれ10
、20
および50
であるとします。次のフリー・スレッドがRequestClass1
の処理を実行するのは、12.5% (10/80)の確率です。同様に、25% (20/80)の確率でRequestClass2
が処理され、62.5% (50/80)の確率でRequestClass3
が処理されます。 -
「ビュー」リストから「メトリック」を選択して、次のプロセスの数を表示します。
-
完了
-
アクティブで保留中
-
アクティブでスタック中
-
-
「サーバー」リストから、統計を表示するクラスタ内の管理対象サーバーを選択します。
-
「作成」をクリックします。
「ワーク・マネージャ・グループの作成」ダイアログが表示されます。
-
名前とオプションの説明を入力し、「OK」をクリックします。
ワーク・マネージャ・グループが表(この例では、testgroup)に表示されます。Oracle SOA Suiteのワーク・マネージャは、ワーク・マネージャ・グループに自動的に含められ、ワーク・マネージャ・グループ名の下に表示されます。
-
「SOAインフラストラクチャ」メニューから、「SOAフォルダの管理」を選択します。
-
次のいずれかの方法で、ワーク・マネージャ・グループをSOAフォルダに割り当てます:
-
「SOAフォルダの作成」の説明に従って、「作成」をクリックして、ワーク・マネージャ・グループを割り当てる新しいSOAフォルダを作成します。
-
「SOAフォルダのワーク・マネージャ・グループの変更」の説明に従って、「編集」をクリックして、選択したSOAフォルダのワーク・マネージャ・グループを変更します。
この変更では、サーバーの再起動が必要です。
ノート:
現在SOAフォルダに関連付けられているワーク・マネージャ・グループは削除できません。
-
SOAフォルダへのアクセスの保護
すべてのフォルダは、アプリケーション・ロールとフォルダ・ロールによって自動的に保護されています。フォルダ・ベースのセキュリティには次の利点があります。
-
管理アクセス制御
-
情報へのアクセス制御は、フォルダ・レベルで提供されます。表示できるのは、アクセス権のあるフォルダおよびコンポジットのみです。たとえば、Folder1のみへのアクセス権を持つユーザーは、Folder1とそのデプロイ済コンポジットのみを表示できます。このユーザーは、その他のフォルダを表示できません。
-
各フォルダの別個のロールへの異なるユーザーの関連付け。
-
-
フォルダ別のインスタンス・データのストライプ化
-
「フロー・インスタンス」や「エラー・ホスピタル」などのOracle Enterprise Manager Fusion Middleware Controlのページには、フォルダ別にフィルタ処理されたインスタンス・データが表示されます。
-
アクセス制御に基づいて、監査証跡が表示されます。
-
-
フォルダ・レベルのリソース管理
-
フォルダごとに別々のスレッド・プールおよびワーク・マネージャが構成されます。詳細は、「ワーク・マネージャ・グループの管理」を参照してください。
-
アプリケーション・ロールとフォルダ・ロールは、Java権限クラスおよびアクションの様々な組合せで構成されます。
表8-1に、Oracle SOA Suite全体のアプリケーション・ロールを示します。これらのアプリケーション・ロールは、特定のフォルダに制限されません。
表8-1 アプリケーション・ロール
アプリケーション・ロール | 説明 |
---|---|
|
このロールは、次の機能を提供します。
|
|
このロールは、次の機能を提供します。
|
表8-2 に、各フォルダに使用できるロールを示します。これらのフォルダ固有のロールには、権限クラスとアクションの様々な組合せが含まれます。
表8-2 フォルダ・ロール
フォルダ・ロール | 説明 |
---|---|
|
ビジネス・ルール、セキュリティ・ポリシー、フォルト・ポリシーなどのSOAコンポジット・アプリケーション・アーティファクト用。 |
|
新規SOAコンポジット・アプリケーションのデプロイ、既存SOAコンポジット・アプリケーションのアップグレード、ならびに継続的な統合および構築プロセスの管理用。 |
|
本番前システムでのテストの実行用(通常、コマンド行ツール、Oracle Enterprise Manager Fusion Middleware Controlおよびカスタム・ユーザー・インタフェースを組み合せて使用)。 |
|
フォルダにデプロイされたSOAコンポジット・アプリケーションの正常な運用のため。 |
|
ユーザーからの苦情の処理、および自動プロセスで失敗に終わるリクエストに対する判断用。管理者は、これらのトランザクションに関する通知を受信し、フォルトからのリカバリまたはトランザクションの終了のためのステップをとることができます。 ノート: このロールには、 |
次のフォルダ・アクセス管理タスクを実行できます。
SOAフォルダ・ロールの表示
アプリケーション・ロール・ページで、各フォルダに関連付けられたロールを表示できます。
-
次のいずれかのオプションを使用して、このページにアクセスします。
SOAインフラストラクチャのメニューから... ナビゲータのSOAノードから... -
「セキュリティ」→「アプリケーション・ロール」の順に選択します。
-
「SOA」を展開します。
-
「soa-infra (server_name)」を右クリックします。
-
「セキュリティ」→「アプリケーション・ロール」の順に選択します。
アプリケーション・ロール・ページが表示されます。
-
-
「アプリケーション・ロールの検索」アイコンをクリックします。
各フォルダについて、表8-2で説明したロールが表示されます。
-
folder_name_Monitor
-
folder_name_Composer
-
folder_name_Tester
-
folder_name_Deployer
-
folder_name_ApplicationOperator
-
各SOAフォルダ・ロールに割り当てられた権限の表示
アプリケーション・ポリシー・ページで、各フォルダ・ロールに割り当てられた権限を表示できます。
ノート:
Oracle SOA Suiteのロールは、これらのロールにOracle Enterprise Schedulerの権限を付与します。これらの権限は権限セットです。権限セットは現在、Oracle Enterprise Manager Fusion Middleware Controlには表示されません。
-
次のいずれかのオプションを使用して、このページにアクセスします。
SOAインフラストラクチャのメニューから... ナビゲータのSOAノードから... -
「セキュリティ」→「アプリケーション・ポリシー」の順に選択します。
-
「SOA」を展開します。
-
「soa-infra (server_name)」を右クリックします。
-
「セキュリティ」→「アプリケーション・ポリシー」の順に選択します。
-
-
表でフォルダ・ロールを選択します。
ページの下部がリフレッシュされ、選択したフォルダ・ロールに割り当てられた権限クラスおよびアクションが表示されます。
ユーザーへのSOAフォルダ・ロールの割当て
フォルダに対してユーザーに保持させる特定のSOAフォルダ・ロールを割り当てることができます。これらのロールにより、Oracle Enterprise Manager Fusion Middleware Controlでユーザーが実行できるタスクが決まります。
12cの次の認可チェックの変更に注意してください:
-
認可チェックは、権限に対して行われます。これにより、これらの権限に基づいたより詳細なOracle SOA Suiteロールが可能になります。
-
Oracle WebLogic Serverモニター・ロールおよび適切なOracle SOA Suiteロールのみが、Oracle Enterprise Manager Fusion Middleware Controlアクセスに必要です。
-
Oracle SOA Suite監視のための追加の権限を備えたWLSOperatorおよびWLSAdminを付与しないようにしてください。
SOAフォルダ・ロールをユーザーに割り当てるには:
-
フォルダ・ロールを割り当てるユーザーを作成します。
-
ナビゲータで、「WebLogicドメイン」→「soainfra」を選択します。
-
「WebLogicドメイン」メニューから「セキュリティ」→「ユーザーとグループ」を選択します。
-
「ユーザー」タブで、「作成」アイコンをクリックしてユーザーを作成します。
-
ユーザー名とパスワードを作成して、「OK」をクリックします。
ノート:
Oracle WebLogic Server管理コンソールでユーザーを作成する場合、
Monitor
ロールが必要なのは、フォルダ固有のユーザーのみです。このロールは、これらのユーザーがOracle Enterprise Manager Fusion Middleware Controlにアクセスできるようにします。Administrator
ロールが必要なのは、システム管理者またはスーパーユーザーのみです。 -
-
Oracle Enterprise Manager Fusion Middleware Controlに、Oracle WebLogic Server管理ロールを含むユーザー・アカウントでログインします。アプリケーション・ポリシーはOracle Platform Security Servicesによって制御されます。Oracle Platform Security Servicesに直接アクセスしてSOAロールを作成できます。このロールでは、アプリケーション・ロールを表示して、作成したユーザーにマップできます。
-
次のいずれかのオプションを使用して、「アプリケーション・ロール」ページにアクセスします。
SOAインフラストラクチャのメニューから... ナビゲータのSOAフォルダから... -
「セキュリティ」→「アプリケーション・ロール」の順に選択します。
-
「SOA」→「soa-infra」の順に展開します。
-
「soa-infra (server_name)」を右クリックします。
-
「セキュリティ」→「アプリケーション・ロール」の順に選択します。
-
-
「アプリケーション・ロールの検索」アイコンをクリックします。
-
ユーザーにマップするフォルダ・ロールを選択して、「編集」をクリックします。
この例では、フォルダconsoleTestsのApplicationOperatorロールが選択されています。すべてのフォルダで、表8-2 に示したフォルダ・ロールが自動的に割り当てられます。
「アプリケーション・ロールの編集」ページが表示されます。
-
「追加」をクリックします。
「プリンシパルの追加」ダイアログが表示されます。
-
「タイプ」リストから、「ユーザー」を選択します。これが、このロールに割り当てられるユーザーになります。
-
「表示名」フィールドの右側にある「検索」アイコンをクリックします。
-
表示されたリストから、作成したユーザーを選択し、「OK」をクリックします。
これにより、選択したユーザーがフォルダconsoleTestsのフォルダ・ロールApplicationOperatorに追加されます。
-
必要に応じて、その他のアプリケーション・ロールを選択し、「編集」をクリックして、さらにユーザーを追加します。
-
Oracle Enterprise Manager Fusion Middleware Controlからログアウトします。
-
フォルダ・ロールに割り当てたユーザーとして、Oracle Enterprise Manager Fusion Middleware Controlにログインします。
ユーザーに付与されたのはconsoleTestsフォルダのみに対する権限のため、次の制限があります。
-
アプリケーション・ナビゲータで、SOA以外のフォルダを開くことはできません。
-
アプリケーション・ナビゲータで表示できるのは、ユーザーがメンバーであるconsoleTestsフォルダのみです。ユーザーが属していないフォルダはすべて表示されません。
-
その他のフォルダを作成できません。
-
「SOAインフラストラクチャの共通プロパティ」ページのプロパティを変更できません。
-
ノート:
「アプリケーション・ロール」ページでアプリケーション・ロールを作成してユーザーに割り当てた場合、「アプリケーション・ポリシー」ページで検索しても、そのロールは即時に表示されません。ロールが表示されるようにするには、「アプリケーション・ポリシー」ページでポリシーを作成して、アプリケーション・ロールおよび一部の権限に割り当てます。これらのアクションにより、ロールが表示されるようになります。
その他の権限およびロール動作のシナリオの理解
この項では、その他の権限およびロール動作のシナリオについて説明します。
様々なSOAフォルダにおける開始コンポジットおよび参加コンポジットの権限の理解
様々なフォルダの開始SOAコンポジット・アプリケーションおよび参加SOAコンポジット・アプリケーションに対して実行できる管理操作は、ビジネス・フロー・インスタンスの開始コンポジットに基づいており、参加コンポジットには基づいていません。
たとえば、次のステップを実行すると考えてみます。
SOAフォルダにおけるOracle SOA Composerの権限アクションの表示
Oracle SOA Composerユーザーには、フォルダ内のすべてのアーティファクト(ドメイン値マップ(DVM)、ビジネス・ルール、コンポジット・センサーなど)に対して、デフォルトで次の権限アクションがあります。
-
CompositePermission
のread
権限アクション(そのフォルダ内のすべてのアーティファクトを調べるため)。 -
CompositePermission
のwrite
権限アクション(そのフォルダ内のすべてのアーティファクトを変更するため)。 -
SOAPlatformPermission
のread-shared-data
権限アクション(共有フォルダ内のすべてのアーティファクトを調べるため)。共有フォルダは、SOAコンポジット・アプリケーション間のすべての共有アーティファクトの場所のことで、複数のフォルダにまたがることができます。 -
SOAPlatformPermission
のwrite-shared-data
権限アクション(共有データ・フォルダ内のすべてのアーティファクトを変更するため)。
共有データの詳細は、『Oracle SOA SuiteでのSOAアプリケーションの開発』の「SOA設計時のMDSリポジトリでの共有データの管理」を参照してください。
フォルダに対するOracle SOA Composerの権限アクションを表示する手順は、次のとおりです。
「MDS構成」ページおよびOracle SOA Suiteの権限の理解
Oracle Enterprise Manager Fusion Middleware Controlの「MDS構成」ページでは、Oracle SOA Suiteの権限は理解されません。たとえば、次のステップを実行すると考えてみます。
- Oracle WebLogic Server管理コンソールで、ユーザーを作成してMonitorグループに割り当てます。
- Oracle Enterprise Manager Fusion Middleware Controlにログインし、アプリケーション・ロール・ページでdefault_Composerロールをそのユーザーに割り当てます(この例ではdefaultがフォルダを表しています)。
- そのユーザーでOracle Enterprise Manager Fusion Middleware Controlにログインしなおして、「SOAインフラストラクチャ」メニューから、「管理」→「MDS構成」の順に選択します。
- 「インポート」および「エクスポート」のオプションが無効になっているのがわかります。これは予想された動作です。
回避策として、Oracle SOA Suiteユーザーは、Oracle Enterprise Manager Fusion Middleware Controlの特定のSOAコンポジット・アプリケーションの「SOAコンポジット」メニューから使用できる「SOAデプロイ」および「エクスポート」の操作を使用して、共有データの読取りと書込みを行うことができます。