|
|
この章では、AquaLogic Data Services Platform のセキュリティ機能について説明します。この章の内容は以下のとおりです。
AquaLogic Data Services Platform でエンタープライズ データを統合するにあたって、重要情報のセキュリティを犠牲にする必要はまったくありません。データのセキュリティ要件はそれぞれのデータによって異なるため、データ項目ごとにアクセス制御ポリシーを適用できることが重要です。たとえば、一般顧客情報にアクセスする必要のあるすべてのユーザに、クレジット カード番号などのデリケートな情報へのアクセスを許可する必要はありません。
他の WebLogic Platform コンポーネントと同様、AquaLogic Data Services Platform でもロール ベースのセキュリティ認可がサポートされています。認可では、AquaLogic Data Services Platform デプロイメントによって提供されるリソースにアクセスするパーミッションを、ユーザ (個々のユーザ、グループのメンバー、またはセキュリティ ロールのメンバー) に付与します。
WebLogic Platform は、ユーザ リクエストのコンテキスト内の情報に基づいて認可を処理するセキュリティ フレームワークを提供します。AquaLogic Data Services Platform のデフォルトでは、WebLogic 認可プロバイダを使用して認可が処理されます。必要に応じて、別のモジュール (サードパーティの認可モジュールを含む) を使用することもできます。
セキュリティ ポリシーは、クライアントがどの方法 (Mediator API、データ サービス コントロール API、JDBC、Web サービス) でリソースにアクセスするかに関係なく適用されます。
AquaLogic Data Services Platform を使用すると、アプリケーション レベルから個々のデータ要素レベルまで、さまざまなレベルでリソースを保護できます。
AquaLogic Data Services Platform で特に保護すべきリソースとしては以下が挙げられます。
個別の要素に対して定義されたセキュリティ条件をユーザが満たしていないと、その要素が最終的な結果に含まれません。上の例であれば、クレジット カード番号が除外された顧客情報が提供されます。要素レベルのセキュリティは、複数のデータ サービス関数にまたがって適用されます。
また、AquaLogic Data Services Console 自体へのアクセスを制御するセキュリティ ポリシーを指定することもできます。その場合は、コンソール内の特定のページへのアクセスを、管理ページ (コンフィグレーション ページ、監視ページなど)、情報提供ページ (データ サービス メタデータ ページなど) といった機能的なカテゴリごとに制御できます。
セキュリティ ポリシーは、特定のユーザが AquaLogic Data Services Platform リソースにアクセスできるかどうかを判別するために使用します。WebLogic の認可モジュールを使用すると、ユーザの ID、ユーザが所属するグループまたはロール、日時、サーバの開発モード、またはこれらの組み合わせに基づいてポリシーを作成できます。アクセス ポリシーは、個別に使用するだけでなく組み合わせて使用することもできるため、要件に最も適合する方法でセキュリティを適用できます。
AquaLogic Data Services Platform Console では、データ駆動型のポリシーを XQuery 関数として作成できます。データ駆動型の関数を使用すると、データを要求したユーザの ID と要求されたデータの値に基づいて、さまざまな評価や処理ステップを実行できます。この関数は、アクセスを許可するかブロックするかを示す true または false を返します。
  
|
