2 Oracle WebLogic ServerでのOracle Web Services Managerの使用
次のトピックが含まれています:
2.1 WebLogic ServerへのOracle Web Services Managerのインストール
OWSMは、Oracle Fusion Middleware Infrastructureのインストール時にデフォルトでインストールされます。ただし、JAX-WS WebサービスとクライアントがデプロイされているスタンドアロンのWebLogic Server環境がある場合、OWSMをインストールしてWebサービスとクライアントを保護するために使用できます。
注意:
OWSMは、SOA Suiteを通じてのみライセンス付与できます。スタンドアロン・ライセンスは利用できません。ライセンスの詳細は、追加機能のライセンスに関する考慮事項を参照してください。
WebLogic ServerとともにOWSMを使用するには、Java Required Files (JRF)とOracle Enterprise Manager Fusion Middleware Controlが必要です。JRFは、Oracleビジネス・アプリケーションやアプリケーション・フレームワークに一般的な機能を提供するコンポーネントで構成されています。Oracle Enterprise Manager Fusion Middleware Controlは、Java EE (WebLogic) Webサービスを保護および管理するために使用できます。
Oracle Fusion Middleware Infrastructureの標準インストール・トポロジには、OWSM、JRFおよびEnterprise Managerが含まれています。このトポロジの詳細および詳細なインストール手順は、インフラストラクチャ・ソフトウェアのインストールに関する項を参照してください。WebLogic ServerとともにOWSMを使用するには、そのマニュアルの手順に従ってOracle Fusion Middleware Infrastructureの標準インストール・トポロジをインストールして構成してください。
インストールとドメインの構成が完了したら、このマニュアルの説明に従って、OWSMを使用してJava EE (WebLogic) JAX-WS Webサービスを保護できます。OWSMポリシーは、JAX-RPC Webサービスにアタッチできません。
Java EE (WebLogic) Webサービスの管理手順は、『Webサービスの管理』を参照してください。
2.2 ドメイン全体の管理ポートでのOWSMの構成
管理ポートを使用するようドメインが構成されている場合、管理者が実行するすべてのタスクはこのポートを経由する必要があります。デフォルトでは、OWSMポリシー・マネージャのターゲットは管理対象サーバーです。管理ポートでポリシー・マネージャを使用するには、ポリシー・マネージャのターゲットを管理対象サーバーおよび管理サーバーにする必要があります。
管理ポートの詳細は、次のトピックを参照してください。
-
『Oracle WebLogic Serverサーバー環境の管理』のネットワーク・チャネルの理解に関する項
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプのドメイン全体の管理ポートの構成に関する項
ドメイン全体の管理ポートでOWSMを構成する手順は、次の2つに大きく分けられます。
2.2.1 WebLogic管理コンソールを使用して管理サーバーをポリシー・マネージャのターゲットとして設定する
OWSMを構成するために、ポリシー・マネージャ・アプリケーションのターゲットとして管理サーバーを設定します。WebLogic管理コンソールを使用して、ポリシー・マネージャのターゲットとして管理サーバーを設定できます。
『Oracle Fusion Middlewareを使用したWebサービスの管理』のOracle WebLogic管理コンソールへのアクセスでの説明に従って、WebLogic管理コンソールにアクセスします。
-
または、Fusion Middleware Controlで、WebLogicドメインのホーム・ページからWebLogic管理コンソールにアクセスすることもできます。その手順は、次のとおりです。
-
『Oracle Fusion Middlewareを使用したWebサービスの管理』のOracle Enterprise Manager Fusion Middleware Controlへのアクセスでの説明に従って、Fusion Middleware Controlにログインします。
-
ナビゲータ・ペインで「WebLogicドメイン」を開き、管理コンソールにアクセスする対象のドメインを選択します。
WebLogicドメインのホーム・ページが表示されます。
-
「WebLogicドメイン」メニューから、「WebLogic Server管理コンソール」を選択します。または、ページの「サマリー」セクションにある「Oracle WebLogic Server管理コンソール」リンクをクリックします。
-
「ようこそ」ページで、有効なユーザー名とパスワードを使用してログインします。
-
-
管理コンソールの左ペインで、「デプロイメント」をクリックします。すべてのデプロイ済のエンタープライズ・アプリケーションとアプリケーション・モジュールを示す表が右ペインに表示されます。
-
この表で、ターゲットの再指定を行うwsm-pmアプリケーションを見つけて、その名前をクリックします。アプリケーションを見つけるには、「次」を数回クリックする必要がある場合があります。
アプリケーションの「設定」ページが表示されます。
-
「ターゲット」タブをクリックします。
表の「現在のターゲット」列に、ポリシー・マネージャ・アプリケーションのターゲットであるサーバーが表示されます。
-
wsm-pmアプリケーションのターゲットをAdminServerにするには、「ターゲットの変更」をクリックします。
-
「サーバー」ボックスで、「AdminServer」がまだ選択されていない場合はこれを選択し、「はい」をクリックします。
変更は自動的にアクティブ化されます。
2.3 ポリシー・マネージャの自動検出のためのクロス・コンポーネント・ワイヤリング
クロス・コンポーネント・ワイヤリングは、Fusion Middlewareコンポーネントをワイヤリングするための簡素化された方法を提供します。ワイヤリング・プロセスを自動化し、ワイヤリングの確立後に診断を行うことができます。
ワイヤリングは別のコンポーネントを指す1つのコンポーネントの構成の一部分で、コンポーネントの管理インタフェースを指すURLなどがあります。クロス・コンポーネント・ワイヤリングを使用すると、次のようになります。
-
サービス・プロバイダは、サービス表にエンドポイントを公開します。これらのエンドポイントは、構成ウィザードを使用してドメインの作成や拡張を行ったときなどに自動的に公開することも、管理者が手動で公開することもできます。
-
クライアントにはサービスを指す構成を含みます(サービスURLなど)。サービス表に公開されたサービス情報を含むこの構成を更新することで、クライアントはサービスにバインドされます。バインドは、構成ウィザードを使用してドメインの作成や拡張を行ったときなどに自動的に実行することも、管理者が手動で実行することもできます。
WebLogic ServerにFusion Middlewareをインストールして構成すると、ローカル・サービス表が作成されます。これにより、サービス・プロバイダはサービスのエンドポイント情報を公開し、これらのサービスのクライアントはそのサービスへの問合せとバインドを行います。ローカル・サービス表のスコープはドメインで、そのドメインが提供するサービスも含まれます。サービス表およびクロス・コンポーネント・ワイヤリングの詳細は、『Oracle Fusion Middlewareの管理』のクロス・コンポーネント・ワイヤリングに関する項を参照してください。
OWSMはクロス・コンポーネント・ワイヤリングを使用して、ドメイン内のポリシー・マネージャを自動検出します。構成ウィザードを使用してOWSMを含むドメインを作成または更新するとき、ローカル・サービス表にポリシー・マネージャURLが公開されます。ローカル・サービス表に公開されたエンドポイント・エントリを使用して、OWSMエージェントが自動的にOWSMポリシー・マネージャに接続されます。
ただし、構成ウィザード以外のツール(WebLogic管理コンソール、Fusion Middleware ControlまたはWLSTなど)を使用してドメインを変更した場合、ポリシー・マネージャURLへの変更は自動的にローカル・サービス表に公開されますが、OWSMエージェントのクライアントは自動的に新しいURLにバインドされません。この場合、ポリシー・マネージャURLにOWSMエージェントを手動でバインドする必要があります。詳細は、「Fusion Middleware Controlを使用したエージェント・バインディングの確認」を参照してください。
自動検出の設定の変更や無効化が行えます。この手順について次の各項で説明します。
2.4 サービス表エントリとエージェント・バインディングの確認について
Fusion Middleware Controlを使用してサービス表エントリおよびエージェント・バインディングを確認します。
このトピックでは、Fusion Middleware Controlを使用してサービス表エントリおよびエージェント・バインディングを確認する方法について説明します。
2.4.1 Fusion Middleware Controlを使用したサービス表エントリとコンポーネントの確認
Fusion Middleware Controlの「サービス表」ページと「コンポーネント」ページを使用して、サービス表エントリとコンポーネントを確認できます。
サービス表エントリにポリシー・マネージャの正しいURLが含まれていることを確認するには、次の手順を実行します。
-
「サービス表」ページの使用
-
「WebLogicドメイン」メニューから、「クロス・コンポーネント・ワイヤリング」→「サービス表」を選択します。
-
「サービス表」で、「接続」列のURLと「最終公開日」の日付に、「サービスID」が
urn:oracle:fmw.owsm-pm:t3
のOWSMポリシー・マネージャの正しい情報が反映されていることを確認します。 -
静的または動的クラスタを使用する場合、サービスIDを選択して、「編集」をクリックし、クラスタ名構文を使用してt3およびt3sの値を更新します。
クラスタ名構文は、次のとおりです。
cluster:t3://<cluster_name>
または
cluster:t3s://<cluster_name>
cluster:t3://<cluster_name>
またはcluster:t3s://<cluster_name>
を使用すると、CCW呼出しによって常にクラスタ内のすべてのメンバーのリストがフェッチされるため、初期サーバーに依存することなく、そのとき存在するすべてのメンバーが対象になります。 -
「OK」をクリックします。
-
-
「コンポーネント」ページの使用
-
「WebLogicドメイン」メニューから、「クロス・コンポーネント・ワイヤリング」→「コンポーネント」を選択します。
-
「コンポーネント・タイプ」表で、OWSMポリシー・マネージャを選択します。
-
「サービス・エンド・ポイント」表で、「接続」列に正しいURLが表示されており、「サービスID」が
urn:oracle:fmw.owsm-pm:t3
のOWSMポリシー・マネージャのステータスがPublished
になっていることを確認します。ステータスがPublished
ではない場合(たとえばOut of Sync
)、このページを使用してポリシー・マネージャ接続を公開することもできます。これを行うには、表からそのポリシー・マネージャを選択し、「公開」をクリックします。
-
2.4.2 Fusion Middleware Controlを使用したエージェント・バインディングの確認
Fusion Middleware Controlを使用して、OWSMエージェントが正しく接続されていることを確認できます。
OWSMエージェントが適切なポリシー・マネージャURLに正しく接続されていることを確認する手順は次のとおりです。
-
「WebLogicドメイン」メニューから、「クロス・コンポーネント・ワイヤリング」→「コンポーネント」を選択します。
-
「コンポーネント表」表で、OWSMエージェントを選択します。
-
「クライアント構成」表で、「クライアントID」
owsm-pm-connection-t3
の「接続」列に正しいポリシー・マネージャURLが反映されており、「ステータス」
列のステータスがWiredとして表示されていることを確認します。「ステータス」列に
Out of Sync
が表示されている場合、エージェントをポリシー・マネージャにバインドする必要があります。これを行うには、次の手順を実行します。-
「クライアント構成」
表からowsm-pm-connection-t3を選択し、「バインド」をクリックします。 -
「クライアント構成のバインド」ページで、「サービス・エンド・ポイント」に正しいポリシー・マネージャURLが含まれていることを確認し、「はい」をクリックします。
「コンポーネント」ページに確認メッセージが表示され、エージェントのステータスが
Wired
に変更されます。
-
2.5 デフォルト・ユーザーの変更について
OWSMエージェント・ランタイムは、デフォルトではOracleSystemUserアカウントとOracleSystemGroupを使用して、サーバーとの通信を行います。
デフォルト・ユーザーを変更するには、次の項で説明する手順を実行します。
2.5.1 認証プロバイダの構成
このトピックでは、Oracle WebLogic Server管理コンソールを使用して認証プロバイダを構成する方法について説明します。
認証プロバイダを構成するには、次の手順を実行します。
2.5.2 資格証明ストア・プロバイダの構成
このトピックでは、資格証明ストア・プロバイダを構成する方法について説明します。
「資格証明ストアを構成するための鍵およびユーザー資格証明の追加」の説明に従って、次のパラメータを使用して、資格証明ストア・プロバイダを構成します。
-
マップがまだない場合は、「マップの作成」を選択し、マップ名
oracle.wsm.security
を入力します。 -
「資格証明ストア・プロバイダ」表で、
oracle.wsm.security
を選択します。 -
「キーの作成」ダイアログで、適切なキーを入力します(たとえば、
OID
)。新しいデフォルト・ユーザーのユーザー名とパスワードを入力します(たとえば、orcladmin
およびpassword
)。
2.5.3 ドメインのポリシー・マネージャCSFキーの構成
このトピックでは、Fusion Middleware Controlを使用してポリシー・マネージャCSFキーを構成する方法について説明します。
ドメインのポリシー・マネージャCSFキーを構成するには:
2.5.4 ユーザーのグループまたはロールの変更
OWSMエージェント・ランタイムは、OracleSystemUser
アイデンティティを使用してwsm-pm
にアクセスします。新しいデフォルト・ユーザーを定義する場合、AdministratorまたはOracleSystemGroup
グループに含めるか(グループが存在する場合)、デフォルトのOWSM論理ロールにマップする必要があります。
新しいデフォルト・ユーザーを表2-1で定義されているデフォルトのOWSM論理ロールにマップします(グループが存在しない場合)。
表2-1 デフォルトのOWSM論理ロール
ロール | デフォルト・ユーザー | 権限 |
---|---|---|
|
Administrators |
ポリシーの作成、編集、削除および更新 |
|
すべての認証ユーザー |
読取り専用権限(たとえば、ドキュメント情報の問合せ/表示) |
|
|
OWSMポリシー・マネージャの使用によるポリシーのアタッチのためにOWSMエージェント・ランタイムがアクセスするEJBの保護 |
2.5.5 ユーザーに必要なロールがあるかどうかの判別
OWSMエージェント・ランタイムは、デフォルトではOracleSystemUserアカウントとOracleSystemGroupを使用して、サーバーとの通信を行います。デフォルト・ユーザーを変更すると、各ユーザーに必要なロールが割り当てられます。
ユーザーに必要なロールがあるかどうかを確認するには:
-
AdministratorまたはOracleSystemGroupグループがLDAPまたはアイデンティティ・ストアに存在する場合は、次の手順を実行します。
-
LDAPで、デフォルトの管理ユーザーとして使用するユーザーを追加します。
-
WebLogic Server管理コンソールで、ユーザーがAdministratorグループに存在することを確認します。詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザーとグループの管理に関する項を参照してください。
-
-
AdministratorまたはOracleSystemGroupグループがLDAPまたはアイデンティティ・ストアに存在しない場合は、次のOPSSスクリプトのいずれかを使用してアプリケーション・ロールを管理できます。
-
grantAppRole
: プリンシパル(クラスおよび名前)を指定したアプリケーション・ストライプおよび名前を持つロールに追加します。 -
revokeAppRole
: プリンシパル(クラスおよび名前)を指定したアプリケーション・ストライプおよび名前を持つロールから削除します。 -
listAppRoleMembers
: 指定したアプリケーション・ストライプおよびロール名を持つロール内のすべてのメンバーがリストされます。
これらのOPSSスクリプトおよびその他のOPSSスクリプトの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のポリシー・ストアの管理に関する項を参照してください。
-
2.5.6 OPSSスクリプトを使用してアプリケーション・ロールを管理する例
OPSSスクリプトの使用方法の例を次に示します。
OPSSスクリプトを発行する前に、『Webサービスの管理』のWebサービスのカスタムWLSTコマンドへのアクセスに関する項の説明に従って、WLSTを起動してWebLogic Serverの実行中のインスタンスに接続する必要があります。
次のコマンドは、policy.Accessor
ロールをPAPUser
という名前のプリンシパルに追加します。
grantAppRole(appStripe="wsm-pm", appRoleName="policy.Accessor",principalClass="weblogic.security.principal.WLSUserImpl", principalName="PAPUser")
次のコマンドは、policy.Accessor
ロールをOracleSystemGroup
から削除します。
revokeAppRole(appStripe="wsm-pm", appRoleName="policy.Accessor",principalClass="weblogic.security.principal.WLSGroupImpl", principalName="OracleSystemGroup")
次のコマンドは、policy.Accessor
ロールに関連付けられたメンバーをリストします。
listAppRoleMembers(appStripe="wsm-pm", appRoleName="policy.Accessor")