9 セキュリティ・ストアの構成
この章の内容は次のとおりです。
セキュリティ・ストアについて
セキュリティ・ストアは、システムおよびアプリケーション固有のポリシー、資格証明およびキーの中央リポジトリです。この集中化により、ポリシー、資格証明およびキーの管理とメンテナンスが容易になります。
セキュリティ・ストアのタイプは、ファイル、LDAPまたはデータベースのいずれかです。ファイルからLDAPまたはデータベース、データベースからLDAPまたはデータベース、LDAPからLDAPまたはデータベースに再度関連付けることができます。すぐに使用できる状態では、セキュリティ・ストアはデータベース・ストアです。
Java EEアプリケーションでは、セキュリティ・データはアプリケーションのエンタープライズ・アーカイブ(EAR)ファイルにパッケージ化されるため、アプリケーションのデプロイ時にセキュリティ・ストアに移行できます。
WebLogic Serverドメインでセキュリティ・ストアのポリシーを使用すると、そのドメイン内のすべての管理対象サーバーでJava Authorization Contract for Containers (JACC)ポリシーおよびJavaセキュリティ・マネージャが使用できなくなります。
ポリシーで使用するパーミッション・クラスをすべてクラス・パスに含めておく必要があるため、サービス・インスタンスの初期化時にポリシー・プロバイダでそれらパーミッション・クラスをロードできます。
LDAPセキュリティ・ストアの使用
本番環境では通常、LDAPセキュリティ・ストアを使用します。唯一サポートされているLDAPは、Oracle Internet Directoryです。
OPSSでは、LDAPサーバーでの参照整合性の有効化がサポートされていません。参照整合性を有効化した場合、サーバーは想定したとおりには機能しません。サーバーの参照整合性を無効にするには、Oracle Enterprise Manager Fusion Middleware Controlを使用して、次の手順を実行します。
-
「管理」→「共有プロパティ」→「一般」の順に選択します。
-
参照整合性の有効化リストで、「無効」を選択します。
注意:
バージョンに応じて、次のOracle Internet Directoryパッチが必要です。
-
パッチ10.1.4: Oracle Bug#9093298の修正
-
パッチ11.1.x: Oracle Bug#8736355の修正
-
パッチ11.1.xおよび10.1.4.3: Oracle Bug#8426457の修正
-
パッチ10.1.4.3: Oracle Bug#8351672の修正
-
パッチ10.1.4.3: Oracle Bug#8417224の修正
-
パッチ11.1.1.6.0: Oracle Bug#13782459の修正
サポートされているOracle Internet Directoryのバージョンの詳細は、Oracle Fusion Middlewareでサポートされるシステム構成を参照してください。
次の各項では、LDAPセキュリティ・ストアを設定する方法について説明します。
LDAPセキュリティ・ストアを使用する場合の前提条件
LDAPに正しくアクセスできるようにするには、この項の説明に従ってサーバー・ディレクトリにノードを設定します。
Fusion Middleware Controlを使用してLDAPストアに再関連付けすると、ブートストラップ資格証明がcwallet.sso
ファイルに自動的に指定されます。
LDAPサーバーにノードを設定するには、次の手順を実行します。
関連項目:
『Oracle Identity Managementリファレンス』のOracle Internet Directoryデータベース統計収集ツールの概要に関する項
LDAPユーザー・パスワードのリセット
この項に記載されている手順を使用して、LDAPユーザー・パスワードをリセットします。
関連項目:
-
『Oracle Internet Directoryの管理』のldapmodifyを使用したサーバー・モードの設定に関する項
-
『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のmodifyBootStrapCredential
データベース・ベースのセキュリティ・ストアの使用
本番環境では、データベース・ベースのセキュリティ・ストアをお薦めします。セキュリティ・ストアを構成するには、Fusion Middleware ControlまたはWebLogic Scripting Tool (WLST)を使用します。データベース・セキュリティ・ストアおよびドメインは同じデータ・センターに存在する必要があります。
サポートされているデータベース・バージョンの詳細は、Oracle Fusion Middlewareでサポートされるシステム構成を参照してください。
OPSSスキーマおよび監査スキーマによるエディション・ベースの再定義(EBR)のサポートの詳細は、『Oracle Fusion Middleware Infrastructureへのアップグレード』のエディション・ベースの再定義を目的とするサーバー上でのエディションの作成(オプション)に関する項を参照してください。
次の各項では、データベース・セキュリティ・ストアを設定する方法について説明します。
データベース・セキュリティ・ストアを使用する場合の前提条件
セキュリティ・ストアにデータベース・リポジトリを使用するには、まずOracle Fusion Middlewareリポジトリ作成ユーティリティを使用して必要なOPSSスキーマを作成し、一部の初期データをシードします。『リポジトリ作成ユーティリティによるスキーマの作成』のリポジトリ作成ユーティリティに関する項を参照してください。
リポジトリ作成ユーティリティを実行してOPSSスキーマを作成する場合、名前に次の接尾辞が含まれるスキーマをすべて選択します。
-
_OPSS
-
_IAU
-
_IAU_APPEND
-
_IAU_VIEWER
-
_STB
データベース・セキュリティ・ストアのメンテナンス
この項では、データベース・セキュリティ・ストアをメンテナンスする場合に実行するタスクをいくつか説明します。
データベースのセキュリティ・ストアには、変更ログが保持されますが、このログは定期的にパージする必要があります。パージするには、提供されているSQLスクリプトopss_purge_changelog.sql
を使用して24時間以上前の変更ログをパージするか、データベースに接続してdelete
ユーティリティを(適切な引数を指定して)実行します。
SQL>delete from jps_changelog where createdate < (select(max(createdate) - 1) from jps_changelog); SQL>Commit;
データベース・セキュリティ・ストアにアクセスする際のパフォーマンスを向上させるには、DBMS_STATS
パッケージを実行して、データベース表および索引の物理記憶域に関する統計情報を収集します。この情報はデータ・ディクショナリに格納され、分析対象のオブジェクトにアクセスするSQL文の実行計画を最適化する場合に使用します。
数千の新しいアプリケーション・ロールを作成する場合など、大量のデータをデータベース・セキュリティ・ストアにロードする場合は、短期間内にロード・アクティビティと同時にDBMS_STATS
を実行することをお薦めします。そうではなく、ロード・アクティビティが小規模な場合は、DBMS_STATS
を1回のみまたは必要に応じて実行します。
次の例では、DBMS_STATS
の使用方法を示します。
EXEC DBMS_STATS.GATHER_SCHEMA_STATS('DEV_OPSS', DBMS_STATS.AUTO_SAMPLE_SIZE, no_invalidate=>FALSE);
DEV_OPSS
は、リポジトリ作成ユーティリティを使用して作成されたデータベース・スキーマの名前を示しています。
スクリプトの例
次の例では、DBMS_STATS
コマンドを10分ごとに実行します。
#!/bin/sh i=1 while [ $i -le 1000 ] do echo $i sqlplus dev_opss/password@inst1 @opssstats.sql sleep 600 i=`expr $i + 1` done
opssstats.sql
には、次のテキストが含まれます。
EXEC DBMS_STATS.gather_schema_stats('DEV_OPSS',DBMS_STATS.AUTO_SAMPLE_SIZE, no_invalidate=>FALSE); QUIT;
次の例でも、DBMS_STATS
を10分ごとに実行します。
variable jobno number; BEGIN DBMS_JOB.submit (job => :jobno, what => 'DBMS_STATS.gather_schema_stats(''DEV_OPSS'',DBMS_STATS.AUTO_SAMPLE_SIZE,no_invalidate=>FALSE);', interval => 'SYSDATE+(10/24/60)'); COMMIT; END; /
このSQLスクリプトによって起動されたDBMS_STATS
を停止するには、まず次のコマンドを発行してそのジョブ番号を見つけます。
sqlplus '/as sysdba' SELECT job FROM dba_jobs WHERE schema_user = 'DEV_OPSS' AND what = 'DBMS_STATS.gather_schema_stats(''DEV_OPSS'',DBMS_STATS.AUTO_SAMPLE_SIZE, no_invalidate=>FALSE);';
続いて、次のようなコマンドを実行します(問合せでジョブ番号31が返されたと仮定しています)。
EXEC DBMS_JOB.remove(31);
OPSSスキーマ・パスワードのリセット
OPSSスキーマ・パスワードをリセットするには、次の手順を実行します。
ALTER USER
データベース・コマンドを使用してデータベースのパスワードをリセットします。次の2つのステップで使用しますので、入力した新しいパスワードを忘れないでください。- Oracle WebLogic Server管理コンソールを使用して、データ・ソースがOPSSスキーマへの接続に使用しているパスワードを新しいパスワードで更新します。
modifyBootStrapCredential
WLSTコマンドを使用して、新しいパスワードでcwallet.sso
ブートストラップ・ファイルを更新します。
関連項目:
『Oracle WebLogic Server用JDBCデータ・ソースの管理』のJDBCデータ・ソースの作成
『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のmodifyBootStrapCredential
データベース・セキュリティ・ストアへのSSL接続の設定
データベース・セキュリティ・ストアへの一方向または双方向SSL接続の確立は必要に応じて実行するものであり、詳細は『Oracle Fusion Middlewareの管理』のデータベースでのSSLの構成を参照してください。
セキュリティ・ストアの再関連付け
セキュリティ・ストアの再関連付けとは、セキュリティ・データをリポジトリ間で再配置するプロセスです。ソース・タイプは、ファイル、LDAPまたはデータベースのいずれかです。ターゲット・タイプは、LDAPまたはデータベースのいずれかです。
再関連付けでは、格納データの整合性を保持しながらリポジトリが変更されます。この操作は、ドメインの作成後であればいつでも実行でき、次の各項の説明に従って、Fusion Middleware ControlまたはreassociateSecurityStore
WLSTコマンドのいずれかを使用して実行します。
Fusion Middleware Controlを使用したセキュリティ・ストアの再関連付け
再関連付けでは、セキュリティ・ストア(ポリシー、資格証明、キーおよび監査データ)をリポジトリ間で移行し、セキュリティ・プロバイダを再構成します。手順の詳細は、「タスク2: セキュリティ・ストアの移行」を参照してください。
次の点に注意してください:
-
ターゲットLDAPストアに再関連付けを行う前に、「LDAPセキュリティ・ストアを使用する場合の前提条件」を満たすように設定されていることを確認してください。
-
ターゲット・データベース・ストアに再関連付けを行う前に、「データベース・セキュリティ・ストアを使用する場合の前提条件」を満たすように設定されていることを確認してください。
-
再関連付けを行う前でターゲットLDAPへの一方向SSLが必要な場合は、『Oracle Fusion Middlewareの管理』のLDAPセキュリティ・ストアへの一方向SSLの設定に記載されている手順を実行してください。
-
LDAPストアへの再関連付けの後、LDAPストアのルート・ノードへのアクセスを保護するために、「LDAPノードへのアクセスの保護」に記載されている手順を実行してください。
-
再関連付けによって、
jps-config.xml
ファイルとjps-config-jse.xml
ファイルが新しい構成で更新されます(古いプロバイダ構成が削除され、新しいプロバイダ構成が挿入され、データがソース・ストアからターゲット・ストアに移動します)。 -
ターゲット・ストアがLDAPの場合、情報は、次の形式に従ってドメイン識別名の下に格納されます。
cn=<domain_name>,cn=JpsContext,<JPS ROOT DN>
構成がドメイン識別名に基づいている場合、このノードをLDAPサーバーから削除しないでください。
LDAPノードへのアクセスの保護
この項で説明する手順は必要に応じて実行するものであり、LDAPサーバーにアクセスする際のセキュリティを強化することのみを目的として実行します。
アクセス制御リスト(ACL)とは、情報にアクセスできるユーザーとLDAPオブジェクトに対して許可される操作を指定したリストです。制御リストはノードで指定し、そのノード下のすべてのエントリにその制限が適用されます。
ACLを使用してLDAPリポジトリに格納されているデータへのアクセスを制御します。通常、このリストはストアのルート・ノードで指定します。
LDAPリポジトリのノードでACLを指定するには、次の手順を実行します。
関連項目:
『Oracle Identity Managementリファレンス』のldapmodify
reassociateSecurityStoreを使用したセキュリティ・ストアの再関連付け
セキュリティ・ストアの再関連付けは、reassociateSecurityStore
WLSTコマンドを使用して行うことができます。このコマンドの詳細は、「reassociateSecurityStore」を参照してください。
セキュリティ・ストアの移行
アプリケーションでは独自のポリシーを指定することができ、アプリケーションをWebLogic Serverにデプロイすると、これらのポリシーは(セキュリティ・ストアの)アプリケーション・ストライプに格納されます。ドメインで実行されているアプリケーションはそれぞれストライプを1つ使用し、複数のアプリケーションが同じストライプを使用することができます。ファイル・セキュリティ・ストアでは、$DOMAIN_HOME/config/fmwconfig/system-jazn-data.xml
ファイルの<applications>
要素でストライプを指定します。
セキュリティ・ストアの移行とは、ポリシー、資格証明、監査データおよびキーをリポジトリ間で再配置するプロセスです。ソース・タイプは、ファイル、LDAPまたはデータベースのいずれかです。ターゲット・タイプは、LDAPまたはDBのいずれかです。OPSSのバイナリとターゲット・セキュリティ・ストアには、バージョンの互換性が必要です。バージョンの問題の詳細は、「バイナリとセキュリティ・ストアのバージョンの非互換性」を参照してください。
次の各項では、アプリケーション・セキュリティをセキュリティ・ストアに移行する方法について説明します。
Fusion Middleware Controlを使用したセキュリティ・ストアの移行
アプリケーションでは、Oracle Enterprise Manager Fusion Middleware Control (Fusion Middleware Control)を使用してアプリケーションをWebLogic Serverにデプロイすると、jazn-data.xml
アプリケーション・ファイルで指定されたセキュリティ・データをセキュリティ・ストアに移行できます。アプリケーションがアンデプロイされる際およびアプリケーションが再デプロイ時に更新される際に、セキュリティ・ストアからポリシーを削除することもできます。
システム・プロパティjps.deployment.handler.disabled
をtrue
に設定し、weblogic-application.xml
ファイルでの個別の設定に関係なく、すべてのアプリケーションに対してデプロイ時のポリシーおよび資格証明の移行を無効にします。
関連項目:
migrateSecurityStoreを使用したセキュリティ・ストアの移行
アイデンティティ、ポリシー、システム・ポリシーおよび資格証明は、migrateSecurityStore
WLSTコマンドを使用してソース・リポジトリからターゲット・リポジトリに移行できます。
このコマンドは実行中のサーバーに接続しなくても動作します。したがって、configFile
引数に渡す構成ファイルは実際のドメイン構成ファイルである必要はなく、移行のソース・リポジトリとターゲット・リポジトリを指定するようにアセンブルするだけです。
注意:
migrateSecurityStore
コマンドによってGUIDが再作成されるため、大量のデータを移行するのに長時間を要します。かわりに、Oracle Internet Directoryの一括操作を使用して大量のストアを移行することを検討します。手順の詳細は、「LDAPセキュリティ・ストアのバックアップとリカバリ」を参照してください。
大量のデータをIBM DB2ベースのセキュリティ・ストアに移行する場合、次の構成パラメータをDB2データベースに設定する必要があります。
-
update db cfg using MAXLOCKS AUTOMATIC
-
update db cfg using LOCKLIST AUTOMATIC
次の各項では、このコマンドの使用方法について説明します。
migrateSecurityStoreを使用したすべてのポリシーの移行
すべてのポリシー(すべてのアプリケーションのシステム・ポリシーおよびアプリケーション・ポリシー)を移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type policyStore -configFile jpsConfigFileLocation -src srcJpsContext -dst dstJpsContext [-skip trueOrfalse] [-overwrite trueOrfalse]
migrateSecurityStore(type="policyStore", configFile="jpsConfigFileLocation", src="srcJpsContext", dst="dstJpsContext" [,skip="trueOrfalse"] [,overwrite="trueOrfalse"])
説明:
-
configFile
では、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。-
ソース・ストア
-
ターゲット・ストア
-
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要なキーが含まれている
cwallet.sso
ファイルの場所を指定します。ドメインで使用されるキーの抽出の詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』の
exportEncryptionKey
コマンドを参照してください。ウォレットへのキーの格納の詳細は、『インフラストラクチャ・コンポーネントWLSTコマンド・リファレンス』の
importEncryptionKey
コマンドを参照してください。ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作を参照してください。
-
-
src
では、configFile
引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
dst
では、configFile
引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
skip
では、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrue
に設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。 -
overwrite
では、ターゲット・ストア内のデータを上書きするかどうかを指定します。ターゲット・データを上書きする場合はtrue
に設定します。ターゲット・データを上書きしない場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。
src
およびdst
で指定するコンテキストは、渡す構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
migrateSecurityStoreを使用したシステム・ポリシーの移行
システム・ポリシーのみ移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type globalPolicies -configFile jpsConfigFileLocation -src srcJpsContext -dst dstJpsContext [-overwrite trueOrfalse]
migrateSecurityStore(type="globalPolicies", configFile="jpsConfigFileLocation", src="srcJpsContext", dst="dstJpsContext" [,overwrite="trueOrfalse"])
説明:
-
configFile
では、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。-
ソース・ストア
-
ターゲット・ストア
-
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要なキーが含まれている
cwallet.sso
ファイルの場所を指定します。ドメインで使用されるキーの抽出の詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyを参照してください。
ウォレットへのキーの格納の詳細は、『インフラストラクチャ・コンポーネントWLSTコマンド・リファレンス』のimportEncryptionKeyを参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作を参照してください。
-
-
src
では、configFile
引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
dst
では、configFile
引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
skip
では、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrue
に設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。 -
overwrite
では、ターゲット・ストア内のデータを上書きするかどうかを指定します。ターゲット・データを上書きする場合はtrue
に設定します。ターゲット・データを上書きしない場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。
src
およびdst
で指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
migrateSecurityStoreを使用したアプリケーション・ポリシーの移行
1つのアプリケーションのアプリケーション固有のポリシーのみ移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type appPolicies -configFile jpsConfigFileLocation -src srcJpsContext -dst dstJpsContext -srcApp srcAppName [-dstApp dstAppName] [-overWrite trueOrfalse] [-migrateIdStoreMapping trueOrfalse] [-mode laxOrstrict] [-skip trueOrfalse]
migrateSecurityStore(type="appPolicies", configFile="jpsConfigFileLocation", src="srcJpsContext", dst="dstJpsContext", srcApp="srcAppName", [dstApp="dstAppName"], [overWrite="trueOrfalse"], [migrateIdStoreMapping="trueOrfalse"], [mode="strict"], skip="trueOrfalse")
説明:
-
configFile
では、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。-
ソース・ストア
-
ターゲット・ストア
-
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要なキーが含まれている
cwallet.sso
ファイルの場所を指定します。ドメインで使用されるキーの抽出の詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyを参照してください。
ウォレットへのキーの格納の詳細は、『インフラストラクチャ・コンポーネントWLSTコマンド・リファレンス』のimportEncryptionKeyを参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作を参照してください。
-
-
src
では、configFile
引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
dst
では、configFile
引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
skip
では、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrue
に設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。
-
srcApp
では、ポリシーを移行するアプリケーションの名前を指定します。 -
dstApp
では、ポリシーを書き込むアプリケーションの名前を指定します。指定しない場合は、ソース・アプリケーションの名前にデフォルト設定されます。オプション。 -
migrateIdStoreMapping
では、エンタープライズ・ポリシーを移行するかどうかを指定します。デフォルト値はtrue
です。アプリケーション・ポリシーのみ移行する場合はfalse
に設定します。オプション。 -
overWrite
では、ソース・アプリケーション・ポリシー・ストライプと一致するターゲット・アプリケーション・ポリシー・ストライプをソース・アプリケーション・ポリシー・ストライプで上書きするか、マージするかを指定します。ターゲット・アプリケーション・ポリシー・ストライプを上書きするには
true
に設定し、ソース・アプリケーション・ポリシー・ストライプの新しいポリシー・アーティファクトをターゲット・アプリケーション・ポリシー・ストライプにマージするにはfalse
に設定します。指定しない場合は、デフォルトのfalse
に設定されます。マージ中に、同じ名前のポリシー・アーティファクトがターゲット・アプリケーション・ポリシー・ストライプにある場合は、ポリシー・アーティファクトの移行はスキップされます。パーミッション・セットに追加された新しいリソース・アクション、アプリケーション・ロールに追加された新しいメンバーおよびリソース・タイプに追加された新しいアクションのみが、ターゲット・アプリケーション・ポリシー・アーティファクトにマージされます。
-
mode
では、ポリシーで重複するプリンシパルまたはパーミッションを検出したときに、移行を停止してエラーを送信するかどうかを指定します。重複する項目を検出した場合に移行を続行し、重複する項目のいずれかのみを移行してこの結果に対する警告をログに記録させる場合は、指定しないか、lax
に設定します。オプション。
src
およびdst
で指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
入力がこれらの構文要件に従っていない場合は、コマンドの実行に失敗します。特に、入力は次の要件を満たす必要があります: (a) 渡された場所でjps-config.xml
ファイルが検出されること、(b) 渡されたコンテキストがjps-config.xml
ファイルに含まれていること、(c) ソースおよびターゲットのコンテキスト名が異なっていること。
migrateSecurityStoreを使用した同じドメインでのすべての資格証明の移行
すべての資格証明を移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type credStore -configFile jpsConfigFileLocation -src srcJpsContext -dst dstJpsContext [-skip trueOrfalse] [-overwrite trueOrfalse] migrateSecurityStore(type="credStore", configFile="jpsConfigFileLocation", src="srcJpsContext", dst="dstJpsContext", [skip="trueOrfalse"], [overwrite="trueOrfalse"])
説明:
-
configFile
では、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。-
ソース・ストア
-
ターゲット・ストア
-
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要なキーが含まれている
cwallet.sso
ファイルの場所を指定します。ドメインで使用されるキーの抽出の詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyを参照してください。
ウォレットへのキーの格納の詳細は、『インフラストラクチャ・コンポーネントWLSTコマンド・リファレンス』のimportEncryptionKeyを参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作を参照してください。
-
-
src
では、configFile
引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
dst
では、configFile
引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
skip
では、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrue
に設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。 -
overwrite
では、ターゲット・ストア内のデータを上書きするかどうかを指定します。ターゲット・データを上書きする場合はtrue
に設定します。ターゲット・データを上書きしない場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。
src
およびdst
で指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
migrateSecurityStoreを使用した同じドメインでの1つの資格証明の移行
資格証明マップを1つのみ移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type folderCred -configFile jpsConfigFileLocation -src srcJpsContext -dst dstJpsContext [-srcFolder map1] [-dstFolder map2] [-overWrite trueOrFalse] [-skip trueOrFalse] migrateSecurityStore(type="folderCred", configFile="jpsConfigFileLocation", src="srcJpsContext", dst="dstJpsContext", [srcFolder="map1"], [dstFolder="map2"], [overWrite="trueOrFalse"], [skip="trueOrFalse"])
説明:
-
configFile
では、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。-
ソース・ストア
-
ターゲット・ストア
-
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要なキーが含まれている
cwallet.sso
ファイルの場所を指定します。ドメインで使用されるキーの抽出の詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyを参照してください。
ウォレットへのキーの格納の詳細は、『インフラストラクチャ・コンポーネントWLSTコマンド・リファレンス』のimportEncryptionKeyを参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作を参照してください。
-
-
src
では、configFile
引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
dst
では、configFile
引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
skip
では、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrue
に設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。
-
srcFolder
では、移行する資格証明が含まれるマップの名前を指定します。オプション。指定しない場合は、資格証明ストアにはマップが1つのみであると想定され、この引数の値はそのマップの名前にデフォルト設定されます。 -
dstFolder
では、ソース資格証明の移行先のマップを指定します。オプション。指定しない場合は、srcFolder
に渡されるマップにデフォルト設定されます。 -
overWrite
では、ソース資格証明と一致するターゲット資格証明をソース資格証明で上書きするか、ソース資格証明とマージするかを指定します。ターゲット資格証明を上書きする場合はtrue
に設定します。一致する資格証明をマージする場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。false
に設定した場合、一致する資格証明が検出されると、ソース資格証明は無視され、警告がログに記録されます。
src
およびdst
で指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
migrateSecurityStoreを使用したドメイン間でのすべての資格証明の移行
すべての資格証明をドメイン間で移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type credStore -configFile "/target_domain/config/fmwconfig/jps-config.xml -src srcJpsContext -dst dstJpsContext [-skip trueOrfalse] -srcConfigFile “/source_domain/config/fmwconfig/jps-config.xml [-overwrite trueOrfalse] migrateSecurityStore(type="credStore", -configFile "/target_domain/config/fmwconfig/jps-config.xml, src="srcJpsContext", dst="dstJpsContext", [skip="trueOrfalse"], [srcConfigFile="alternConfigFileLocation"], [overwrite="trueOrfalse"])
説明:
-
configFile
は、資格証明が移行される先の宛先ドメインの構成ファイルを指します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。-
ターゲット・ストア
-
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要なキーが含まれている
cwallet.sso
ファイルの場所を指定します。ドメインで使用されるキーの抽出の詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyを参照してください。
ウォレットへのキーの格納の詳細は、『インフラストラクチャ・コンポーネントWLSTコマンド・リファレンス』のimportEncryptionKeyを参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作を参照してください。
-
-
src
では、configFile
引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
dst
では、configFile
引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
skip
では、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrue
に設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。 -
srcConfigFile
は、資格証明がコピーされるソース・ドメイン上の構成ファイルを指します。 -
overwrite
では、ターゲット・ストア内のデータを上書きするかどうかを指定します。ターゲット・データを上書きする場合はtrue
に設定します。ターゲット・データを上書きしない場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。
src
およびdst
で指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。
migrateSecurityStoreを使用したドメイン間での1つの資格証明マップの移行
資格証明マップを1つのみ移行するには、次の構文のいずれかを使用します。
migrateSecurityStore.py -type folderCred -configFile "/target_domain/config/fmwconfig/jps-config.xml -src srcJpsContext -dst dstJpsContext [-srcFolder map1] [-dstFolder map2] -srcConfigFile “/source_domain/config/fmwconfig/jps-config.xml [-overWrite trueOrFalse] [-skip trueOrFalse] migrateSecurityStore(type="folderCred", -configFile "/target_domain/config/fmwconfig/jps-config.xml, src="srcJpsContext", dst="dstJpsContext", [srcFolder="map1"], [dstFolder="map2"], -srcConfigFile “/source_domain/config/fmwconfig/jps-config.xml, [overWrite="trueOrFalse"], [skip="trueOrFalse"])
説明:
-
configFile
では、構成ファイルの場所を、コマンドが実行されるディレクトリを基準とした相対パスで指定します。この構成ファイルは、特別にアセンブルする必要があり、次の情報を指定するコンテキストを含める必要があります。-
ソース・ストア
-
ターゲット・ストア
-
ブートストラップ資格証明
ブートストラップ・コンテキストでは、ソースおよびターゲットのストアへのアクセスと、セキュリティ・データの復号化および暗号化に必要なキーが含まれている
cwallet.sso
ファイルの場所を指定します。ドメインで使用されるキーの抽出の詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKeyを参照してください。
ウォレットへのキーの格納の詳細は、『インフラストラクチャ・コンポーネントWLSTコマンド・リファレンス』のimportEncryptionKeyを参照してください。
ウォレットの作成の詳細は、『Oracle Fusion Middlewareの管理』の一般的なウォレットの操作を参照してください。
-
-
src
では、configFile
引数に渡す構成ファイル内のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
dst
では、configFile
引数に渡す構成ファイル内の別のコンテキストの名前を指定します。渡す文字列と構成ファイルのコンテキストは、大文字小文字の区別まで一致している必要があります。 -
skip
では、互換性のないアーティファクトの移行をスキップするか、ソース・リポジトリで互換性のないアーティファクトを検出したときに終了するかを指定します。互換性のないアーティファクトの移行をスキップして終了しない場合はtrue
に設定します。互換性のないアーティファクトが検出されたときに終了する場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。
-
srcFolder
では、移行する資格証明が含まれるマップの名前を指定します。オプション。指定しない場合は、資格証明ストアにはマップが1つのみであると想定され、この引数の値はそのマップの名前にデフォルト設定されます。 -
dstFolder
では、ソース資格証明の移行先のマップを指定します。オプション。指定しない場合は、srcFolder
に渡されるマップにデフォルト設定されます。 -
srcConfigFile
は、コピーされる資格証明があるソース・ドメイン上の構成ファイルを指します。 -
overWrite
では、ソース資格証明と一致するターゲット資格証明をソース資格証明で上書きするか、ソース資格証明とマージするかを指定します。ターゲット資格証明を上書きする場合はtrue
に設定します。一致する資格証明をマージする場合はfalse
に設定します。オプション。指定しない場合は、デフォルトのfalse
に設定されます。false
に設定した場合、一致する資格証明が検出されると、ソース資格証明は無視され、警告がログに記録されます。
src
およびdst
で指定するコンテキストは、構成ファイルで定義する必要があり、重複しない名前にし、渡すコンテキストと構成ファイルのコンテキストは大文字小文字の区別まで一致する必要があります。これら2つのコンテキストから、このコマンドは移行に関与するソース・リポジトリおよびターゲット・リポジトリの位置を特定します。詳細な例は、migrateSecurityStoreを使用した資格証明の移行を参照してください。
migrateSecurityStoreを使用した監査データの移行
migrateSecurityStore
WLSTコマンドを使用して、監査データを別のセキュリティ・ストアに移行します。手順の詳細は、「監査データの移行」を参照してください
Fusion Middleware Controlを使用したセキュリティ・プロバイダの構成
この項に記載されている手順に従い、Fusion Middleware Controlを使用して、セキュリティ・ストアの移行、アイデンティティ・ストア・プロバイダおよびセキュリティ・サービスの構成、ログイン・モジュールおよびプロパティの管理を行います。
タスク1: 「セキュリティ・プロバイダ構成」ページのオープン
Fusion Middleware Controlにログインし、「ドメイン」→「セキュリティ」→「セキュリティ・プロバイダ構成」 の順に移動します。「セキュリティ・プロバイダ構成」ページが表示されます。
タスク2: セキュリティ・ストアの移行
-
「セキュリティ・ストア・プロバイダ」→「セキュリティ・ストア」の順に開きます。
-
「ストア・タイプの変更」をクリックします。「セキュリティ・ストアの構成」ページが表示されます。このページで、ターゲット・リポジトリのパラメータを入力します。
-
「OK」をクリックします。
タスク3: アイデンティティ・ストア・プロバイダの構成
-
「セキュリティ・ストア・プロバイダ」→「アイデンティティ・ストア・プロバイダ」の順に開きます。
-
「構成」ボタンをクリックします。「アイデンティティ・ストア構成」ページが表示されます。このページで、必要に応じてプロパティを追加または編集します。
-
「OK」をクリックします。
タスク4: セキュリティ・サービスの構成
-
「セキュリティ・ストア・プロバイダ」→「セキュリティ・サービス(Security Services)」の順に開きます。
-
鉛筆アイコンをクリックして、プロバイダを構成します。プロバイダのページが表示されます。
-
このページで、必要なフィールドに入力します。
-
「OK」をクリックします。
タスク5: ログイン・モジュールの管理
-
「セキュリティ・ストア・プロバイダ」→「ログイン・モジュール」の順に開きます。構成済のログイン・モジュールの表が表示されます。
-
新規ログイン・モジュールを作成するには、「作成」をクリックします。「ログイン・モジュールの作成」ページが表示されます。ログイン・モジュール・パラメータを入力して「OK」をクリックします。
-
「編集」をクリックして、ログイン・モジュールを変更します。「ログイン・モジュールの編集」ページが表示されます。パラメータを変更して「OK」をクリックします。
-
「削除」をクリックして、ログイン・モジュールを削除します。削除を確認します。
タスク6: プロパティおよびプロパティ・セットの管理