> 管理ガイド > AquaLogic Data Services Platform リソースの保護

管理ガイド

     前  次    新しいウィンドウで目次を開く     
ここから内容の開始

AquaLogic Data Services Platform リソースの保護

この章では、AquaLogic Data Services Platform リソースを保護する方法、特にこれらのリソースへのアクセスを制御する方法について説明します。

この章の内容は以下のとおりです。

 

AquaLogic Data Services Platform のセキュリティの概要

AquaLogic Data Services Platform では、提供する情報のセキュリティを確保するため、基底の WebLogic プラットフォームのセキュリティ機能を使用します。 特に、AquaLogic Data Services Platform では、ロールベースのセキュリティ ポリシーを使用して、データ リソースへのアクセスを制御します。

保護されたリソースの場合、要求側クライアントはそのリソースに適用可能なセキュリティ ポリシーの条件 (リソースへのアクセスが、型付きの Mediator API、アド ホック クエリ、または任意のアクセス インタフェースのどれを介して行われるのか) に合致している必要があります。 一般的に、条件はクライアントによって渡される資格で識別されるユーザのロールに基づきます。 しかし、時刻やユーザ ID など、その他の条件が使われることもあります。

AquaLogic Data Services Platform は、デプロイ対象のアーティファクトを、WebLogic のロールベースのセキュリティ ポリシー制御を通じて保護され得るリソースとして公開します。 AquaLogic Data Services Platform を使用すると、アプリケーションから個々のデータ要素まで、さまざまなレベルでセキュリティ ポリシーを適用できます。 この範囲の広さによって、著しい柔軟性が得られます。 たとえば、AquaLogic Data Services Platform 全体へのアクセスを制御することも、ある注文におけるクレジット カード番号要素のみへのアクセスを制御することも可能です。

AquaLogic Data Services Platform は保護されているリソースに対する要求を受け取ると、そのリソースの識別子を WebLogic に渡します。 すると、WebLogic はリソース識別子、ユーザ名などのコンテキスト情報を、認可プロバイダに渡します。 プロバイダは、WebLogic から渡された情報を基にリソースに適用されるポリシーを評価します。 評価の結果、リソースへのアクセスが許可またはブロックされます。

ユーザが要素レベルのポリシー条件を満たしていない場合、その要素は結果オブジェクトからは編集されて表示されません。

図 6-1 データ編集

データ編集

注意 : デフォルトでは、WebLobic セキュリティは ATZ 認可プロバイダ モジュールを使用します。 ATZ は、ポリシーを LDAP システム内に置いています。 その他の認証機能では、ポリシー評価を実施するために必要な任意の外部リソースを使用できます。

AquaLogic Data Services Console で AquaLogic Data Services Platform のセキュリティを設定するには、次の作業のうち 1 つ以上を行う必要があります。

注意 : AquaLogic Data Services Platform は、リソースに対するロールベースのセキュリティ ポリシーの適用を直接サポートすることに留意してください。 WebLogic Platform では、暗号ベースで転送レベルのセキュリティなど、ユーザによる実装に適用可能な拡張セキュリティ機能もサポートしています。
注意 : WebLogic Server セキュリティについては、WebLogic Server ドキュメントの『WebLogic Server のセキュリティ』を参照してください。

また、AquaLogic Data Services Console のインタフェースそれ自体へのアクセス制御を適用することもできます。 たとえば、コンソールのメタデータ ブラウザ部分に対する開発者のアクセスを制限するなど、コンソールの特定機能へのユーザ アクセスを制御可能です。

 

保護可能なリソースとは

保護可能なリソースとは、データ要素や関数など、セキュリティ ポリシーを適用可能な AquaLogic Data Services Platform アーティファクトです。 ロールベースのセキュリティで保護可能なリソースには、次のものがあります。

注意 : カスタム認可プロバイダ (デフォルトの WebLogic 認可プロバイダ以外のもの) を使用する場合は、データ サービス用のポリシーもコンフィグレーションできます。 データ サービス ポリシーは、データ サービスの関数およびデータ要素のどれに対してでも適用されます。 カスタム認可プロバイダの使用の詳細については、「アクセス制御リソースのエクスポート」を参照してください。

個々のリソースの保護が完了すると、アプリケーションに対するセキュリティを有効化または無効化できます。 セキュリティ ポリシーは、継承されます。 つまり、アプリケーション レベルで有効化されたそのセキュリティは、アプリケーション内のすべての関数および要素に対して適用されます。 ある特定のリソースに、複数のポリシーが適用されている場合は、より特定的なポリシーが優先されます。 したがって、たとえば要素に対するポリシーが、データ サービスに対するポリシーに取って代わります。

AquaLogic Data Services Platform アーティファクトの階層構造は、次のとおりです。

図 6-2 に、AquaLogic Data Services Platform アプリケーションにおける保護可能なリソースを示します。

図 6-2 保護可能なリソース

保護可能なリソース

匿名アクセスの有効化は、特別なタイプのアプリケーション レベルの設定です。 これによって、デフォルトでアプリケーションへのアクセスを無効化 (さらに特定的なポリシーによって許可されている場合を除く) または有効化 (さらに特定的なポリシーによってブロックされている場合を除く) できます。 有効化されている場合はデフォルトで、認証されていないユーザも含めて、すべてのユーザがリソースにアクセスできます。 匿名アクセス オプションは、WebLogic 認可プロバイダでのみ有効です。

注意 : AquaLogic Data Services Console 自体が、セキュリティ ポリシーで保護可能な管理リソースを構成しています。

 

セキュリティ ポリシーについて

セキュリティ ポリシーとは、保護されているリソースへアクセスするために満たさなければならない条件です。 ポリシー、要求されたリソース、およびユーザ コンテキストに照らしての条件評価の結果が false だった場合、リソースへのアクセスはブロックされ、関連データは返されません。

ポリシーの基となる条件としては、以下のものがあります。

AquaLogic Data Services Console でコンフィグレーションするセキュリティ ポリシーは、デフォルトの WebLogic 認可プロバイダで使用することが意図されています。 別のプロバイダを使用する場合は、その別のプロバイダの機能を使用するポリシーを作成する必要があります。 詳細については、Administration Console オンライン ヘルプの以下のページで「[WebLogic 認可プロバイダ] -->[一般]」を参照してください。

http://edocs.beasys.co.jp/e-docs/wls/docs81/ConsoleHelp/security_defaultauthorizer_general.html

WebLogic ポリシー エディタを使用する

AquaLogic Data Services Console には、AquaLogic Data Services Platform セキュリティ ポリシーを作成するための WebLogic ポリシー エディタ インタフェースが組み込まれています。 ポリシー エディタは、データ要素や関数などの AquaLogic Data Services Platform アプリケーション リソースと、管理リソースの双方に使用できます。

WebLogic ポリシー エディタを使用してポリシーを作成するには、次の手順に従います。

  1. Data Services Platform Console で、[コンソール アクセス制御] の下の [管理ポリシー] をクリックします。
  2. [ポリシー条件] リスト ボックスから条件を選択します。

    3. 図 6-3 に示す、表示されているポリシー条件のうち、任意のものを選択できます。

    図 6-3 ポリシー条件エディタ


    ポリシー条件エディタ

  3. [追加] をクリックします。

    4. 表示されるウィンドウは、以下のように、選択した条件によって変わります。

    • [サーバは開発モードです] 条件を選択した場合、表示されるウィンドウはありません。 代わりに、[ポリシー文] リスト ボックスに完成した式が表示されます。
    • [アクセス可能な時間帯] 条件を選択した場合は、[時間制約] ウィンドウを使用して開始時間と終了時間を選択し、[OK] をクリックします。 ウィンドウが閉じ、[ポリシー文] リスト ボックスに式が表示されます。
    • その他の条件の 1 つを選択した場合は、[ユーザ]、[グループ] または [ロール] ウィンドウを使用してユーザ名、グループ名、またはセキュリティ ロール名を入力し、[追加] をクリックします。図 6-4 に示すように、リスト ボックスに式が表示されます。 複数のユーザ、グループ、またはセキュリティ ロールを追加するにはこの手順を繰り返して [OK] をクリックし、ポリシー文に式を追加します。 ウィンドウが閉じ、[ポリシー文] リスト ボックスに式が表示されます。
      • 図 6-4 ポリシー作成ウィンドウ


      ポリシー作成ウィンドウ

  4. 必要に応じて手順 1 および 2 を繰り返して、各種ポリシー条件に基づき式を追加します。
  5. ポリシー追加後、[ポリシー文] リスト ボックスの右側にあるボタンを使用して、式を変更します。

    6. 各ボタンでは、以下の操作を行うことができます。

    • [上へ移動]/[下へ移動]。 強調表示されている式の順序を変更します。そのため、式が評価される順序も変更されます。
    • [変更]。 選択された式とその前の式を結合する合成演算子を、「and」と「or」の間で切り替えます。
    • [編集]。 強調表示されている式の編集ウィンドウを再び開きます。
    • [削除]。 強調表示されている式を削除します。
  6. [適用] をクリックして、セキュリティ ポリシーを保存します。

WebLogic セキュリティ ポリシーの詳細については、以下の WebLogic ドキュメントを参照してください。 


http://edocs.beasys.co.jp/e-docs/wls/docs81/secwlres/sec_poly.html

 

Data Services Platform リソースの保護

AquaLogic Data Services Platform リソースは、アプリケーション、データ サービス関数、および要素によって保護できます。 要素レベルのセキュリティ ポリシーは、データ要素を使用するデータ サービス内のすべての関数に適用されます。

要素または関数レベルのセキュリティを使用するには、先にアプリケーションに対するアクセス制御チェックを指定する必要があります。 セキュリティ ポリシーは、アクセス制御チェックが有効になっていないと、ユーザに適用されません。

この節の内容は以下のとおりです。

アプリケーションの保護

3 つの任意指定のチェック ボックスにより、アプリケーションのセキュリティを設定します (図 6-5)。 これらのチェック ボックスは以下のとおりです。

これらのオプションは、相互に排他的なものではありません。 一般に、デプロイされたアプリケーションにおいては、アクセス制御は常に有効にしておいたほうがよいでしょう。

この節では、これらのオプションの各々について説明します。

図 6-5 AquaLogic Data Services Platform が有効化されたアプリケーションの保護

AquaLogic Data Services Platform が有効化されたアプリケーションの保護

セキュリティ アクセス制御を有効にする

アクセス制御チェックを有効にすると、WebLogic Server 認可プロバイダによるポリシーのチェックがアプリケーション全体に対してアクティブ化します。 アクセス制御チェックがアクティブ化されると、アプリケーション内のどのリソースへのアクセスも、そのリソースに対するポリシーによって決定されます。

デフォルトでは、アクセス制御は有効ではありません。

警告 : アクセス制御オプションが選択されていない場合、アプリケーション内のデータはまったく保護されていません。

デフォルトの匿名アクセスを許可する

デフォルトの認可プロバイダの場合、アクセス制御が有効であり、それをオーバーライドする特定のリソース ポリシーが定義されていなければ、アクセスは拒否されます。

アクセス制御ポリシーは、デフォルトの匿名アクセスを許可するオプションを選択することで、「逆転」できます。 また、別の言い方をするならば、匿名アクセスが有効化されている場合、アプリケーション リソースへのアクセスは、より特定的なポリシーによってアクセスがブロックされない限り、有効です。

注意 : このオプションは、WebLogic Server セキュリティ フレームワーク内のデフォルトの認可プロバイダにのみ適用されます。 これは、アプリケーション リソースの共通の親リソースに適用されるポリシー ルールを定義することによって機能します。

デフォルトでは、匿名アクセスは有効化されています。

注意 : このオプションを選択しない場合は、個々のリソースに対して選択的にセキュリティ ポリシーをコンフィグレーションするか、または [アクセス制御の確認] オプションをクリアしてすべてのリソースに対するアクセス制御チェックを無効化する必要があります。 この 2 つ目の選択肢は、推奨されていません。

JDBC メタデータ アクセス制御を有効にする

[JDBC メタデータ アクセス制御を有効化] オプションを選択することによって、SQL を介してアクセスされるメタデータを制御できます。 このオプションにより、JDBC ドライバ レベルでのアクセス権に基づき、AquaLogic Data Services Platform メタデータ アクセスがユーザに許可されます。 このオプションを選択すると、ユーザは確実に、使用することが認可されているテーブルおよびプロシージャのみをリストできます。

デフォルトでは、このオプションは有効ではありません。

注意 : アクセス ポリシーが時間に依存しているか、または変更されており、かつメタデータ アクセス制御オプションが有効化されていると、リストされたテーブルおよびプロシージャにアクセスできない場合があります。

アプリケーションにセキュリティ ポリシーを設定する手順

AquaLogic Data Services Platform 対応の Workshop アプリケーションのアクセス ポリシーを設定するには、次の手順に従います。

  1. ナビゲーション ペインでアプリケーション ノードを選択します (図 6-6 に示すものと類似したセキュリティ ポリシー ダイアログ ボックスが表示されます)。
  2. アクセス制御がアクティブかどうかを確定します。 「セキュリティ アクセス制御を有効にする」を参照してください。
警告 : アクセス制御が選択されていない場合は、アプリケーションに対してセキュリティが有効化されていません。
  1. デフォルトの匿名アクセスを許可するかどうかを決定します。 「デフォルトの匿名アクセスを許可する」を参照してください。
  2. アクセス ポリシーを、SQL を介してアクセスされる AquaLogic Data Services Platform メタデータに適用するかどうかを決定します。 詳細については、「JDBC メタデータ アクセス制御を有効にする」を参照してください。
  3. [全般] アプリケーション設定の下部の [適用] をクリックします。
  4. これで、AquaLogic Data Services Platform リソースに対し、関数または要素レベルのセキュリティ ポリシーを設定すると共に、メタデータ アクセスを制御できるようになりました。 「データ サービス関数の保護」および「データ要素の保護」を参照してください。

データ サービス関数の保護

データ サービスには通常、1 つ以上の読み取り関数、ナビゲーション関数、および単一の送信関数など、いくつかの関数があります。 送信関数により、バック エンド データ ソースを更新できます。 関数レベルのセキュリティ ポリシーによって制御できるものは次のとおりです。

警告 : 必ず、ユーザが直接アクセスするデータ サービス リソースに対してのポリシーをコンフィグレーションしてください。 他のデータ サービスによって使用されるデータ サービスに対するセキュリティ ポリシーは、呼び出し側のデータ サービスに継承されません。 つまり、保護されたリソースを備えたデータ サービスが、他のデータ サービスを介してアクセスされた場合、呼び出し側に対してポリシー評価が行われることはありません。
警告 : セキュリティの目的上、データ サービス関数は、名前とパラメータ数で識別されます。 つまり、パラメータ数を変更した場合は、関数のセキュリティ設定を再コンフィグレーションする必要があります。

関数のセキュリティ ポリシーを作成する

関数のセキュリティ ポリシーを作成するには、次の手順に従います。

  1. 関数のセキュリティ ポリシーを設定するデータ サービスが格納されたフォルダを展開します。 このフォルダは、ナビゲーション ペインのサーバ アプリケーション フォルダの下にあります (図 6-6 を参照)。
  2. コンフィグレーションするデータ サービスを選択します。
  3. [管理] タブを選択します。
  4. [セキュリティ] タブを選択します。 データ サービス内の関数がリソース名として表示されます。
    5. 図 6-6 セキュリティ ポリシー関数リスト


    セキュリティ ポリシー関数リスト

  5. アクション アイコンをクリックします (セキュリティ ポリシー関数リスト)。
  6. WebLogic ポリシー エディタを使用して、関数のポリシーを作成します。

    7. 詳細については、「WebLogic ポリシー エディタを使用する」を参照してください。

注意 : 関数レベルのセキュリティ ポリシーをユーザに適用するには、アプリケーションに対するアクセス制御を有効化する必要があります。 詳細については、「アプリケーションの保護」を参照してください。

図 6-6 に示されているその他のオプションについては、「データ要素のセキュリティ デフォルトの作成」で説明します。

データ要素の保護

要素レベルのセキュリティでは、データ サービスの戻り値の型内のデータ要素と、セキュリティ ポリシーを関連付けます。 ポリシー条件が満たされていない場合、対応するデータは、結果に含まれません。

要素レベルのセキュリティ ポリシーは、データ サービスのすべての関数に対して適用されますが、それ以外のデータ サービスにはまったく適用されません。 つまり、特定のデータ サービスに対して設定されたセキュリティ ポリシーは、継承されません。 同じデータが、ソースから、またはポリシーがコンフィグレーションされているデータ サービスに含まれるものとして、別のデータ サービスを構成する場合、そのポリシーはそれらのデータ サービスのユーザに対しては適用されません。

要素レベルのセキュリティをコンフィグレーションする際は、まず要素を保護可能なリソースとして識別し、その後、リソースに対してポリシーを設定します。

データ要素セキュリティ ポリシーをコンフィグレーションするには、次の手順に従います。

  1. ナビゲーション ペインのアプリケーション ノードの下にあるデータ サービス フォルダを展開します。
  2. コンフィグレーションするデータ サービスを選択し、[セキュリティ] タブをクリックします。

    3. データ サービス内の関数が表示されます。

  3. [セキュリティ保護された要素] タブをクリックします。

    4. 図 6-7 に示すように、データ型を表すツリーが表示されます。

    図 6-7 [セキュリティ保護された要素] タブ


    [セキュリティ保護された要素] タブ

  4. 保護するデータ要素の横のチェック ボックスを選択します。 親ノードを選択すると、その親のすべての子が含まれます。
  5. [適用] をクリックします。
  6. [セキュリティ ポリシー] タブをクリックします (図 6-6)。 これで、要素がリソース リスト内に要素型として表示されます。
  7. その要素に対するセキュリティ ポリシーまたはカスタム セキュリティ条件を作成します。

    8. セキュリティ ポリシーを作成するには、アクション アイコン ([セキュリティ保護された要素] タブ) をクリックします。 カスタム セキュリティ条件を作成するには、セキュリティ XQuery 関数アイコン ([セキュリティ保護された要素] タブ) をクリックします。

    詳細については、「WebLogic ポリシー エディタを使用する」または「データ駆動型セキュリティ ポリシーの使用」を参照してください。

注意 : データ要素レベルのセキュリティ ポリシーをユーザに適用するには、アプリケーションに対するアクセス制御を有効化する必要があります。 詳細については、「アプリケーションの保護」を参照してください。

データ要素のセキュリティ デフォルトの作成

セキュリティ デフォルト機能を使用すると、任意のデータ サービス フィールドの固定値 (または必須要素) を戻り値型で指定できます。 これらの値は、アクセス制御によってデータ サービスへのアクセスが制限されている場合に使用されます。

アクセス制限を受けている保護されたフィールドを表すには、3 つの方法があります。

これらの設定は、データ サービス セキュリティ ポリシー リスト (図 6-6) を通じて実施されます。 使用可能なオプションを、表 6-1 に示します。

表 6-1 データ サービス セキュリティ ポリシー リストのオプション
オプション
意味
[デフォルト値を使用する]
これを選択すると、結果には常に保護されるフィールドがあり、アクセスが制限されている場合にはデフォルト値が入る。
このオプションが選択されない場合、保護されるフィールドは、アクセス制限がある場合には省略される。 その場合、デフォルト値は決して使用されない。
チェック ボックスは、デフォルトで必須要素/属性に対して選択される。 これはデフォルトでは、完全な型要素と、省略可能な要素および属性については、非選択状態に設定される。
[デフォルト値]
このフィールドには、属性または要素に割り当てる任意のデフォルト値が入る。 このデフォルト値は、[デフォルト値を使用する] も選択されている場合のみ返される。
デフォルトでは、フィールドには、空の文字列が入る。

注意 : 入力されたデフォルト値に対して、型などの検証は行われない。 したがって、予期しない問題を回避するため、入力値が有効であることを確認する必要がある。

データ駆動型セキュリティ ポリシーの使用

セキュリティ XQuery 関数を使用すると、データ要素に適用可能なカスタム セキュリティ ポリシーを指定できます。 特に、セキュリティ XQuery 関数はデータ駆動型のポリシー (データ値に基づくポリシー) の作成に有用です。 たとえば、注文量が所定のしきい値を超えた場合に、ある要素へのアクセスをブロックするようにできます。

標準のセキュリティ ポリシーと、カスタム XQuery セキュリティ関数が両方とも、所定のデータ要素に適用されている場合、アクセスが許可されるためには、2 つのポリシーの評価結果が双方とも true でなければなりません (結果には論理 and が適用されます)。

セキュリティ XQuery 関数は、任意の要素リソースに適用可能です。 データ駆動型セキュリティ ポリシーを適用するには、次の手順に従います。

  1. 要素を保護された要素として識別します (詳細については、「データ要素の保護」を参照)。
  2. データ レベル セキュリティを定義する XQuery 関数を作成します (詳細については、「セキュリティ XQuery 関数の作成」を参照)。
  3. セキュリティ XQuery 関数をデータ要素に適用します (詳細については、「セキュリティ XQuery 関数の適用」を参照)。

セキュリティ XQuery 関数の作成

アプリケーション内のデータ要素に対して適用する 1 つまたは複数のセキュリティ XQuery 関数を作成できます。 関数は、[セキュリティの XQuery 関数] タブで定義します。

セキュリティ XQuery 関数を作成するには、次の手順に従います。

  1. ナビゲーション ペインでアプリケーション ノードを選択します
  2. [セキュリティの XQuery 関数] タブをクリックします。

    3. 図 6-8 に示すように、既存の XQuery 関数が表示されます。

    図 6-8 セキュリティの XQuery 関数


    セキュリティの XQuery 関数

  3. タブのテキスト エリアに XQuery 関数の本文を追加します。

    4. 必要な数だけ関数を追加します。 関数は、関数の修飾名によって要素に適用されます。 関数に対して要求されるのは、ブール値を返すことと、名前がネームスペースによって修飾されることのみです。

  4. 関数テキストを追加後、[コンパイル] をクリックします。

    5. 出力ウィンドウが、コンパイルのフィードバックを提供します。

注意 : XQuery 関数作成の詳細については、AquaLogic Data Services Platform の『XQuery 開発者ガイド』を参照してください。
  1. 関数の追加が完了したら、[適用] をクリックします。
  2. 変更を有効にするには、WebLogic Administration Console からアプリケーションを再デプロイします。

    3. アプリケーションを再デプロイするには、次の手順に従います。

    1. WebLogic Administration Console を起動します。
    2. ドメイン ツリーで [デプロイメント|アプリケーション|application_name] を選択して、アプリケーションのコンフィグレーション ページを開きます。
    3. [デプロイ] タブをクリックし、[アプリケーションを再デプロイ] をクリックします。

関数の戻り値により、アクセスを許可するかどうかが次のように決定されます。

以下に、簡単なセキュリティ XQuery 関数の例を示します。 

declare namespace demo="demo";
declare namespace retailerType="urn:retailerType";
declare function demo:secureOrders($order as element(retailerType:ORDER_SUMMARY) ) as xs:boolean {
if (fn-bea:is-access-allowed("LimitAccess", "ld:DataServices/RTLServices/OrderSummaryView.ds")) then
										 		 	 fn:true()
else if ($order/TotalOrderAmount lt (fn-bea:get-property("total_order_amount", "1000000") cast as xs:decimal))
then
      fn:true()
else
      fn:false()
};
注意 : セキュリティ XQuery 関数が有効化するには、データ要素に適用されている必要があります。 詳細については、「セキュリティ XQuery 関数の適用」を参照してください。

関数では、BEA 拡張 XQuery 関数 is-access-allowed() を使用しています。 この関数は、現在の要求コンテキストと関連付けられたユーザが、要素名およびリソース識別子によって示される、指定リソースにアクセスできるかどうかをテストします。

AquaLogic Data Services Platform では、セキュリティ目的上、さらに以下の便利な関数を用意しています。

セキュリティ XQuery 関数の適用

セキュリティ XQuery 関数を使用して、データ要素へのアクセスを制御できます。 「セキュリティ XQuery 関数の作成」で説明したようにセキュリティ XQuery 関数を定義後、有効にするには、データ要素に適用する必要があります。

セキュリティ XQuery 関数を適用するには、次の手順に従います。

  1. ナビゲーション ペインでデータ サービスを選択し、[セキュリティ保護された要素] タブをクリックします。
  2. カスタム関数を適用するデータ要素を選択します。
  3. [セキュリティ ポリシー] タブをクリックします。

    4. 図 6-9 に示すように、[セキュリティ ポリシー] ページが表示されます。

    図 6-9 セキュリティ XQuery 関数の適用


    セキュリティ XQuery 関数の適用

  4. 保護するデータ要素に対応するセキュリティ XQuery 関数アイコン (セキュリティ XQuery 関数の適用) をクリックします。

    5. 図 6-10 では、セキュリティ関数の修飾名を追加できるダイアログが表示されています。

    図 6-10 関数の要素への適用


    関数の要素への適用

  5. [追加] をクリックし、データ要素に適用する関数のネームスペース URI とローカル名を入力します。
  6. [送信] をクリックします。

    7. また、[削除] ボタンおよび [追加] ボタンをそれぞれクリックすることで、関数を削除したり、さらに関数を追加したりすることもできます。

  7. [閉じる] をクリックします。
  8. 変更を有効にするには、WebLogic Administration Console からアプリケーションを再デプロイします。

    9. アプリケーションを再デプロイするには、次の手順に従います。

    1. WebLogic Administration Console を起動します。
    2. ドメイン ツリーで [デプロイメント|アプリケーション|application_name] を選択して、アプリケーションのコンフィグレーション ページを開きます。
    3. [デプロイ] タブをクリックし、次に [アプリケーションを再デプロイ] をクリックします。

 

Data Services Platform Console へのアクセスの保護

WebLogic Administration Console と同様に、AquaLogic Data Services Console はそれ自体が、セキュリティ ポリシーを使用してアクセスを制御可能な、管理リソースです。 ポリシーにより、あるページへのユーザのアクセスがブロックされた場合、そのページはコンソールでは省略されます。

セキュリティ ポリシーは、ページの機能的なカテゴリによってアクセスを制御します。 ページは、次の機能的カテゴリに分けられます。

ポリシーを作成するには、次の手順に従います。

  1. ナビゲーション ペインの [コンソール アクセス制御] ノードを展開し、次のうち 1 つを選択します。
    • 管理。 これを使用すると、コンソール内の AquaLogic Data Services Platform コンフィグレーション ページにアクセスするためのポリシーを指定できます。
    • メタデータ ブラウザ。 これを使用すると、メタデータ情報のタブにアクセスするためのポリシーを指定できます。 メタデータ ブラウザは、アプリケーションで AquaLogic Data Services Platform サービスを使用する AquaLogic Data Services Platform 管理者および開発者用として意図されています。
  2. 適宜、リソースに対するポリシー条件を追加します。

    3. セキュリティ ポリシー作成の詳細については、「セキュリティ ポリシーについて」を参照してください。

  3. 完了したら、[適用] をクリックします。

 

アクセス制御リソースのエクスポート

認可とは、ユーザとリソースの対話を制限して、整合性、機密性、および可用性を確保するプロセスです。 WebLogic では、アプリケーション、データ サービス、関数などのデプロイ済み AquaLogic Data Services Platform アーティファクトの識別に、リソース識別子を使用します。 この識別子は、要求されたリソースについてコンフィグレーションされる任意のセキュリティ ポリシーに、クライアント要求を関連付けるのに使用されます。

リソース識別子は、デフォルトの WebLogic 認可プロバイダおよび AquaLogic Data Services Console を使用してポリシーをコンフィグレーションしている場合には、自動的に管理されます。 特に、AquaLogic Data Services Platform アプリケーションおよびそれに属するデータ サービスとデータ サービス関数については、リソース識別子がすでに存在しています。 加えて、保護する要素をコンソールで選択すると、その要素の識別子が生成されます。

ただし、カスタム認可機能を使用している場合は、ユーザがデプロイメントのリソース識別子を知っていて、その別の認可モジュールが予期する形式で、リソースのためのポリシーをコンフィグレーションする必要があります。 つまり、保護する要素リソースを識別する必要があるということです。

注意 : WebLogic セキュリティ ドキュメントで、WebLogic に対して別のセキュリティ認証機能を接続する方法の詳細を説明しています。 詳細については、Administration Console オンライン ヘルプの以下のページで「[WebLogic 認可プロバイダ] -->[一般]」を参照してください。 

http://edocs.beasys.co.jp/e-docs/wls/docs81/ConsoleHelp/security_defaultauthorizer_general.html

AquaLogic Data Services Console からアクセス制御リソースをエクスポートすることで、リソース識別子のリストを参照できます。

ファイルをエクスポートするには、次の手順に従います。

  1. ナビゲーション ペインでアプリケーション ノードを選択します

    2. [全般] アプリケーション設定ページが表示されます。

  2. [アクセス制御リソースのエクスポート] リンクをクリックします。

    3. ファイル保存ダイアログが表示されます。

  3. ファイルの保存場所を選択して、[OK] をクリックします。

    4. 以下は、ファイルの一部の例です。

    <ld type="app"><app>RTLApp</app></ld>
    <ld type="service><app>RTLApp</app><ds>ld:DataServices/ElectronicsWS/
    getProductList.ds</ds></ld>
    <ld type="function"><app>RTLApp</app><ds>ld:DataServices/ElectronicsWS/
    getProductList.ds</ds><res>{ld:DataServices/ElectronicsWS/
    getProductList}getProductList:1</res></ld>
    <ld type="submit"><app>RTLApp</app><ds>ld:DataServices/ElectronicsWS/
    getProductList.ds</ds><res>ld:submit</res></ld>
    <ld type="service><app>RTLApp</app><ds>ld:DataServices/RTLServices/
    OrderSummaryView.ds</ds></ld>
    <ld type="custom"><app>RTLApp</app><ds>ld:DataServices/RTLServices/
    OrderSummaryView.ds</ds><res>ORDER_SUMMARY/ORDER_SUMMARY/
    LINE_ITEM</res></ld>

リソース識別子のフォーマットを、図 6-11 に示します。

図 6-11 リソース識別子のフォーマット

リソース識別子のフォーマット

リソースは、次のうちのどれかです。

これらは、AquaLogic Data Services Console の [セキュリティ保護された要素] タブで要素を選択すると、生成されます。


  ページの先頭       前  次