> 管理ガイド > ALDSP リソースの保護

管理ガイド

     前  次    新しいウィンドウで目次を開く     
ここから内容

ALDSP リソースの保護

ALDSP 3.0 は 2 つのタイプのセキュリティを提供します。

この章では、異なったユーザのために ALDSP Administration Console を通してどうランタイム セキュリティおよびアクセス コントロールを構成して、管理することができるかを説明します。 内容は以下のとおりです。

 

ALDSP セキュリティについて

ALDSP セキュリティ機能との操作ために、最初に、ALDSP Administration Console をアクセスするユーザを、定義して、作成しなければなりません。 ユーザを作成の情報については、WebLogic Server Administration Console オンライン ヘルプユーザの作成 を参照してください。

ALDSP アーティファクトを保護するには、ランタイム セキュリティ ポリシーを作成することができます。ALDSP アーティファクトまたはリソースは、データスペース、サービス、オペレーション、ライブラリ プロシージャおよびデータ要素を含めています。

ランタイム セキュリティ ポリシーの詳細については、「ランタイム セキュリティ ポリシーについて」を参照してください。

ALDSP 対応 WebLogic Server ドメインにてユーザを作成した後、管理アクセス制御ポリシーを適用してこれらのユーザの管理アクセスを制御することができます。ALDSP Administration Console におけるアクセス制御は、ユーザ資格に基づいています。特定のドメインのスーパーユーザとあるドメイン ユーザによってユーザに資格が割り当てられます。ALDSP ドメインを作成し、ユーザ名およびパスワードを指定すると、ドメイン ユーザが作成されます。

管理アクセス制御に関する詳細については、「管理アクセス制御ポリシーの操作」を参照してください。

 

ランタイム セキュリティ ポリシーについて

ランタイム セキュリティ機能は、データスペース、データ サービス、オペレーションおよびデータ要素などのリソースへのアクセスをコンフィグレーションすることを可能にします。保護されたリソースの場合、要求側クライアントはそのリソースに適用可能なセキュリティ ポリシーの条件 (リソースへのアクセスが、型付きの Mediator API、アド ホック クエリ、または任意のアクセス インタフェースのどれを介して行われるのか) に合致している必要があります。ALDSP は、デプロイ対象のアーティファクトを、セキュリティ ポリシー制御を通じて保護され得るリソースとして公開します。

たとえば、ALDSP データスペース全体へのアクセスを制御することも、Customer_Order.ds におけるクレジット カード番号要素のみへのアクセスを制御することも可能です。

ALDSP インスタンスは保護されているリソースに対する要求を受け取ると、そのリソースの識別子を WebLogic に渡します。すると、WebLogic Server はリソース識別子、ユーザ名などのコンテキスト情報を、XACMLAuthorizer などの認可プロバイダに渡します。プロバイダは、リソースに適用されるポリシーを評価します。評価の結果、リソースへのアクセスが許可またはブロックされます。

ユーザが要素レベルのポリシー条件を満たしていない場合、その要素は結果オブジェクトからは編集されて表示されません。

図 5-1 データ編集

データ編集

注意 : デフォルトでは、WebLogic Server セキュリティは XACML 認可プロバイダを使用します。その他の認証機能では、ポリシー評価を実施するために必要な任意の外部リソースを使用できます。

保護可能なリソースの定義

保護可能なリソースとは、ランタイム セキュリティ ポリシーを適用可能なデータ サービス、オペレショーンまたは要素などの ALDSP アーティファクトです。ランタイム セキュリティで保護可能なリソースには、次のものがあります。

個々のリソースの保護が完了すると、データスペースに対するセキュリティを有効化または無効化できます。セキュリティ ポリシーは、継承されます。つまり、データスペース レベルで有効化されたそのセキュリティは、データスペース内のすべてのデータ サービス、オペレーションおよび関数に対して適用されます。しかし、ある特定のリソースに、複数のポリシーが適用されている場合は、より特定的なポリシーが優先されます。たとえば、要素に対するポリシーが、データ サービスに対するポリシーに取って代わります。

ALDSP アーティファクトの階層は以下の通りです。

データスペース

データ サービス

             オペレーション

          要素

図 5-2 では、ALDSP データスペースの保護可能なリソースを示します。

図 5-2 保護可能なリソース

保護可能なリソース

匿名アクセスを許可する

データスペース レベルで、ポリシーを作成して匿名アクセスを有効することができます。このポリシーを適用すると、デフォルトではすべてのユーザ (認証されていないユーザも) がリソースにアクセスすることができます。データスペース レベルでランタイム ポリシーを作成するに関する情報については、「データスペース レベル セキュリティのコンフィグレーション」を参照してください。

匿名アクセス オプションは、WebLogic 認可プロバイダをのみ処理します。ALDSP セキュリティポリシーは、WebLogic 認可プロバイダをのみ処理ことを目的としています。別の認可プロバイダを使用する場合は、その別のプロバイダの機能を使用してポリシーを作成する必要があります。詳細については、Administration Console オンライン ヘルプの「WebLogic 認可プロバイダ : プロバイダ固有」を参照してください。

ALDSP Administration Console 上のセキュリティ コンフィグレーション タブは、コンフィグレーションが可能なランタイム セキュリティ ポリシーを提供します。ALDSP Administration Console でランタイム セキュリティを設定するには、次のタスクが必要です。

ALDSP はリソースのためにランタイム セキュリティ ポリシーを直接サポートします。WebLogic Platform では、暗号ベースで転送レベルのセキュリティなど、ユーザによる実装に適用可能な拡張セキュリティ機能もサポートしています。ランタイム セキュリティ コンフィグレーションのため、ALDSP は、ALDSP Administration Console の述部 と呼ばれる次のポリシーを提供します。

ALDSP Administration Console のセキュリティ ポリシーは、WebLogic Server セキュリティによって使用された条件と同様です。WebLogic Server セキュリティ ポリシーおよび条件の詳細については、WebLogic Server マニュアルの「ロールおよびポリシーによる WebLogic リソースの保護」を参照してください。

ランタイム セキュリティ ポリシーを作成の追加に、Web サービスおよび Java 関数などの外部のデータ ソースのセキュリティ コンフィグレーションをマップするためにサービス アカウントを作成することができます。 この機能は、外部のデータ ソースの資格の安全な保管を確認し、ランタイム ID マッピングを可能にします。

 

ランタイム セキュリティ ポリシーの作成および適用

ランタイム ポリシーの作成および適用を開始するまえに、図 5-3 に示すように [一般] タブの [アクセス制御を有効化] チェックボックスが選択されていることを確認します。その結果、セキュリティ ポリシー コンフィグレーションをアクティブ化します。アクセス制御が選択されていない場合は、データスペースに対してセキュリティが有効化されていません。[一般] タブは、データスペースでのみ使用可能です。

図 5-3 [一般] タブ

[一般] タブ

アクセス制御を有効化するには以下の手順に従います。

  1. セキュリティ コンフィグレーション タブおよびデータスペースからナビゲーション ペインを選択します。
  2. [ロックして編集] をクリックしてロックを取得します。
  3. [一般] タブをクリックします。
  4. アクセス制御を有効化にするために、[アクセス制御を有効化] チェックボックスを選択します。
  5. JDBC メタデータ アクセスを有効化にするために、[JDBC メタデータ アクセス制御を有効化] を選択します。
  6. [ 保存| 変更をアクティブ化] をクリックします。

データスペース、データ サービスおよびオペレーションに対してランタイム セキュリティ ポリシーを作成し、適用するための手順は同じです。ただし、ナビゲーション ペインから ALDSP リソースを選択していることを確認する必要があります。ランタイム セキュリティ ポリシーを作成し、適用するには以下の手順に従います。

  1. セキュリティ コンフィグレーション カテゴリを選択します。
  2. 図 5-4 に示すように[ポリシー] タブをクリックして、データスペースに対してランタイム ポリシーの作成を開始します。
    3. 図 5-4 セキュリティ コンフィグレーション : [ポリシー] タブ


    セキュリティ コンフィグレーション : [ポリシー] タブ

  3. [ポリシー] タブの [条件を追加] をクリックします。述語を選択のページが表示されます。
  4. 述語リスト ドロップ ダウンから述語を選択します。例えば、ユーザを選択して、[次] をクリックします。
  5. 表示される次のページは、ユーザが選択する述語によって異なります。ユーザ述語を選択すると、図 5-5 に示しているページが表示されます。
注意 : ユーザ述語を選択した場合、特定のユーザに対してデータスペースへのアクセスを許可していることを意味します。このユーザが、WebLogic Server によって認証されていることを確認してください。
  1. ユーザ引数名フィールドに、たとえばユーザ A といったユーザ名を指定してから[追加] をクリックします。これにより、引数が [削除] ボタンのとなりのテキスト ボックスに追加されます。
    2. 図 5-5 ユーザ述語引数ページ


    ユーザ述語引数ページ

  2. [完了] をクリックします。その結果、ポリシーはデータスペースに適用されたポリシー条件に追加されます。

 

データスペース レベル セキュリティのコンフィグレーション

データスペース全体にアクセスする資格が割り当てられているユーザにア対してアクセスを確認するランタイム ポリシーをコンフィグレーションすることができます。データスペース レベルで、セキュリティ コンフィグレーション タブは次のタブを提供します。

  1. 一般 : このタブは、ALDSP リソースおよび JDBC メタデータへの保護されたアクセスを有効化するためのオプションを提供します。これらのオプションにアクセスするには、[ロックおよび編集] をクリックしてロックを取得します。以下のオプションがあります。
注意 : アクセス ポリシーが時間に依存しているか、または変更されており、かつメタデータ アクセス制御オプションが有効化されていると、リストされたテーブルおよびプロシージャにアクセスできない場合があります。
  1. ポリシー : デフォルトの認可プロバイダ XACMLAuthorizer が使用された場合、このタブはポリシーの編集を可能にします。次の情報を提供します。
  1. セキュリティに対する XQuery 関数 : セキュリティに対する XQuery 関数は、データ要素に適用できるカスタム セキュリティ ポリシーの指定を有効化します。特に、セキュリティ XQuery 関数はデータ駆動型のポリシー (データ値に基づくポリシー) の作成に有用です。たとえば、注文量が所定のしきい値を超えた場合に、ある要素へのアクセスをブロックするようにできます。詳細については、「セキュリティのための XQuery 関数」を参照してください。
  2. サービス アカウントコンフィグレーション : サービス アカウントは、ALDSP ユーザと Web サービスまたは Java 関数のような外部データ ソースのユーザ間のユーザ資格のマッピングを示します。このマッピングは、データスペース コンフィグレーションの一部としてストアされ、外部の ID 資格の安全な保管を確実にします。ランタイム ID マッピングを実行するためにサービス アカウントを多くの外部のデータ ソースに関連づけることができます。詳細については、「サービス アカウントの理解および使用方法」を参照してください。

セキュリティのための XQuery 関数の操作

XQuery セキュリティ関数は、ALDSP リソースのデータ駆動型セキュリティを可能にします。データスペースレベルにおいて、条件が満たされた場合にのみデータ要素が返されることを確実にするために XQuery 関数の作成と管理ができます。ただし、これらの関数をデータ サービスに関連付けるために、データサービスで関数が適用される要素を指定します。

注意 : 標準のセキュリティ ポリシーと、XQuery 関数が両方とも、所定のデータ要素に適用されている場合、アクセスが許可されるためには、2 つのポリシーの評価結果が双方とも true でなければなりません (結果には論理 and が適用されます)。

データ駆動型セキュリティ ポリシーを適用するには、次の手順に従います。

  1. 要素を保護された要素として識別します。 (詳細については、「データ要素レベル セキュリティのコンフィグレーション」を参照)。
  2. データ レベル セキュリティを定義するために XQuery 関数を作成します。 (詳細については、「セキュリティに対する XQuery 関数の作成」を参照してください)。
  3. セキュリティ XQuery 関数をデータ要素に適用します。(詳細については、「セキュリティに対する XQuery 関数の適用」を参照してください)。

セキュリティに対する XQuery 関数の作成

アプリケーション内のデータ要素に対して適用する 1 つまたは複数の XQuery 関数を作成できます。

セキュリティに対して XQuery 関数を作成するには、次の手順に従います。

  1. [セキュリティ コンフィグレーション] タブをクリックして、ナビゲーション ツリーでデータスペースを選択します。
  2. [ロックおよび編集] をクリックしてロックを取得し、[セキュリティ] タブの XQuery 関数を選択します。
    3. 図 5-6 セキュリティの XQuery 関数


    セキュリティの XQuery 関数

  3. 図 5-6 に示すように、タブのテキスト領域に XQuery 関数を追加します。この例では、次のコード サンプルが使用されます。
    4. declare namespace f1 = "ld:CUSTOMER_ORDER";
    declare function f1:secureOrders($order as
    element(f1:CUSTOMER_ORDER)) as xs:boolean {
    if (fn-bea:is-access-allowed("LimitAccess",
    "ld:CUSTOMER_ORDER.ds")) then
    fn:true()
    else if ($order/TotalOrderAmount lt
    (fn-bea:get-property("total_order_amount", "1000000") cast as
    xs:decimal))
    then
    fn:true()
    else
    fn:false()
    };

関数は、BEA 拡張 XQuery 関数 is-access-allowed() を使用します。この関数は、現在の要求コンテキストと関連付けられたユーザが、要素名およびリソース識別子によって示される、指定リソースにアクセスできるかどうかをテストします。

ALDSP では、セキュリティ目的で、さらに以下の便利な関数を用意しています。

注意 : XQuery 関数の作成に関する詳細については、『XQuery および XQSE 開発者ガイド』を参照してください。
  1. [コンパイル] をクリックし、関数を正常にコンパイルしている事を確認します。
  2. XQuery 関数を格納するために [保存| 変更をアクティブ化] をクリックします。
注意 : セキュリティ XQuery 関数が有効化するには、データ要素に適用されている必要があります。詳細については、「セキュリティに対する XQuery 関数の適用」を参照してください。関数は、関数の修飾名によって要素に適用されます。関数に対して要求されるのは、ブール値を返すことと、名前がネームスペース URI によって修飾されることのみです。

セキュリティに対する XQuery 関数の適用

セキュリティのための XQuery 関数を使用して、データ要素へのアクセスを制御できます。「セキュリティに対する XQuery 関数の作成」で説明されているようにセキュリティのための XQuery 関数を定義後、この関数を対応するデータ要素に適用して有効化する必要があります。さらに、セキュリティのための XQuery 関数とともに追加のセキュリティを提供するデータ要素を保護するにはポリシーを定義します。(詳細については、「データ要素レベル セキュリティのコンフィグレーション」を参照してください)。

データ要素のセキュリティ コンフィグレーションに任意の変更をするには、[ロックして編集] をクリックしてロックを取得する必要があります。セキュリティのための XQuery 関数をデータ要素に適用するには、

  1. セキュリティ コンフィグレーション タブをナビゲーション ペインから選択して、保護する必要があるデータ要素に関連付けられたデータ サービスをクリックします。
  2. [セキュリティ保護された要素] タブをクリックし、カスタム関数を適用したいデータ要素のとなりのチェックボックスを選択します。
  3. [保存] をクリックしてから、[変更をアクティブ化] をクリックします。このデータ要素は、ナビゲーション ツリーのデータ サービスで表示されます。
  4. ナビゲーション ツリーからデータ要素を選択し、[セキュリティ保護された要素のコンフィグレーション] タブをクリックします。図 5-7 に示すように、このタブはデータ要素に関連付けたい XQuery 関数のためのネームスペース URI および修飾関数名を指定することを可能にします。
    5. 図 5-7 セキュリティに対する XQuery 関数の適用


    セキュリティのための XQuery 関数の適用

  5. 要素または属性にデフォルト値を指定したいと、ユーザ デフォルト値チェックボックスを選択し、デフォルト値ボックスにデフォルト値を指定します。

    6. このオプションは、要素または属性に定数値を割り当てることを可能にします。しかし、これはプリミティブ タイプだけサポートしているので、複雑なタイプに対してデフォルト値を割り当てることをできません。

    注意 : このチェック ボックスを選択した場合、リソースに対してデフォルト値を指定する必要があります。
  6. ネームスペース URI および 作成した XQuery 関数のローカル名を指定します。
  7. [追加 | 保存| 変更をアクティブ化] をクリックします。 これでデータ要素の XQuery 関数とのセキュリティのための関連付けを完了します。

サービス アカウントの理解および使用方法

サービス アカウントは、外部データ ソースのユーザ資格を格納するためにオプションを提供します。ALDSP Administration Console 内のユーザの資格をコンフィグレーションしてローカル WebLogic ユーザおよびリモートの外部データ ソース ユーザ間のマッピングを提供します。

Web サービスおよび Java 関数のためにサービス アカウントをコンフィグレーションすることができます。JDBC ID マッピングに対して、ALDSP は WebLogic Server 9.2 組み込みサポートに応じます。

サービス アカウントは、以下のような複数の種類のマッピングを提供します。

注意 : パス スルー サービス アカウントは、WebLogic Server にだけ適用し、信頼するドメイン設定が必要とします。
注意 : 一度サービス アカウントを作成し、タイプも定義すればそれを変更することができません。サービス アカウント タイプを変更したい時、そのアカウントを削除し、新しいアカウントを作成します。

サービス アカウントの作成

サービス アカウントを作成するために以下のようにします。

  1. カテゴリ リストから [セキュリティ コンフィグレーション] タブを選択して、作業領域コンテンツ領域から [サービス アカウント コンフィグレーション] を選択する。
  2. ロックするには [ロックして編集] をクリックして、サービス アカウントを作成するデータスペースを選択する。
  3. [新規] をクリックする。図 5-8 に示すように、[新規サービス アカウントの作成] ページが開かれます。
  4. このページに以下の詳細を指定する。
注意 : 選択されたリソース型によって、[次へ] を有効にします。
  1. [パス スルー] リソース型を選択すると、サービス アカウントの作成を終了するには [完了] をクリックする。
  2. [静的] リソース型を選択すると、
    1. [次へ] をクリックする。
    2. 図 5-9 に示すように、次のページでアカウントに対するユーザ名およびパスワードを指定して [完了] をクリックする。
      3. 図 5-9 静的サービス アカウントの作成


      静的サービス アカウントの作成

  3. [マッピング] リソース型を選択して [次へ] をクリックすると、図 5-10 に示すように新しいページが表示されます。
    4. 図 5-10 [マッピング] 型のサービス アカウントの作成


    [マッピング] 型のサービス アカウントの作成

    このページでは、認可されたリモート ユーザ (外部データ ソース) を定義して認証される外部データ ソース ユーザとして追加できます。

    1. [認可されたリモート ユーザの入力] 表の [リモート ユーザ名] と [パスワード] フィールドにそれぞれリモート ユーザ名およびパスワードを指定します。
    2. [追加] をクリックします。これによって、[リモート ユーザ] 表にユーザが追加されます。[リモート ユーザ] 表を使用して、パスワードを編集またはユーザを削除できます。
    3. リモート ユーザを追加した後で [次へ] をクリックします。図 5-11 に示すように、次のページではローカル ユーザを定義できます。
      4. 図 5-11 リモートからローカル ユーザへのマッピング


      リモートからローカル ユーザへのマッピング

    4. [ローカル ユーザ名] フィールドにローカル ユーザ名を使用してそれに対応するリモート ユーザがリモート ユーザのリストから選択します。
    5. [追加] をクリックします。これによって、リモートからローカル ユーザへのマッピングを作成します。
    6. すべての認証されていないユーザ (匿名) を特定なリモート ユーザにマップするには、[匿名要求のマップ] チェックボックスを選択してドロップダウンからリモート ユーザを選択します。
    7. リモート ユーザに明示的マッピングできないすべての認証されるユーザのためのデフォルトなマッピングを提供する場合、[他の認証される要求のマップ] チェックボックスを選択してドロップダウンからリモート ユーザを選択します。
    8. マッピング型のサービス アカウントを作成するには、[完了] をクリックします。

アクセス制御リソースのエクスポート

認可とは、ユーザとリソースの対話を制限して、整合性、機密性、および可用性を確保するプロセスです。WebLogic では、データスペース、データ サービスおよびオペレーションのようなデプロイされた ALDSP アーティファクトを識別するためリソース識別子を使用します。この識別子は、要求されたリソースについてコンフィグレーションされる任意のセキュリティ ポリシーに、クライアント要求を関連付けるのに使用されます。

リソース識別子は、デフォルトの WebLogic 認可プロバイダおよび ALDSP Administration Console を使用してポリシーをコンフィグレーションしている場合には、自動的に管理されます。特に、ALDSP データスペース、データ サービスおよびデータ サービス オプレーションについては、リソース識別子がすでに存在しています。加えて、保護する要素をコンソールで選択すると、その要素の識別子が生成されます。

ただし、カスタム認可機能を使用している場合は、ユーザがデプロイメントのリソース識別子を知っていて、その別の認可モジュールが予期する形式で、リソースのためのポリシーをコンフィグレーションする必要があります。つまり、保護する要素リソースを識別する必要があるということです。

注意 : WebLogic セキュリティ ドキュメントで、WebLogic Server に対して別のセキュリティ認証機能を接続する方法の詳細を説明しています。詳細については、『Administration Console オンライン ヘルプ』の「WebLogic 認可プロバイダ」を参照してください。

ALDSP Administration Console からアクセス制御リソースをエクスポートすることで、リソース識別子のリストを参照できます。

ファイルをエクスポートするには、次の手順に従います。

  1. ナビゲーション ペインでデータスペースを選択して [セキュリティ コンフィグレーション] カテゴリから [一般] タブを選択する。
  2. [ロックして編集] をクリックして、データスペースの現在のセッション値をエクスポートする場合、[アクセス制御リソースのエクスポート] をクリックする。
  3. コア値をエクスポートする場合、ロックしなで [アクセス制御リソースのエクスポート] をクリックする。
  4. テキスト ファイルを保存する。

    5. 以下は、ファイルの一部の例です。 

    <ld type="admin"><app>DOMAIN</app></ld>
    <ld type="admin"><app>ADMIN</app></ld>
    <ld type="admin"><app>MONITOR</app></ld>
    <ld type="admin"><app>BROWSER</app></ld>
    <ld type="admin"><app>ADMIN</app><ds>DSP_TEST</ds></ld>
    <ld type="admin"><app>MONITOR</app><ds>DSP_TEST</ds></ld>
    <ld type="admin"><app>BROWSER</app><ds>DSP_TEST</ds></ld>
    <ld type="app"><app>DSP_TEST</app></ld>
    <ld type="service"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds></ld>
    <ld type="function"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds><res>{ld:CREDIT_CARD}CREDIT_CARD:0</res></ld>
    <ld type="function"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds><res>{ld:CREDIT_CARD}createCREDIT_CARD:1</res></ld>
    <ld type="function"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds><res>{ld:CREDIT_CARD}deleteCREDIT_CARD:1</res></ld>
    <ld type="function"><app>DSP_TEST</app><ds>ld:CREDIT_CARD.ds</ds><res>{ld:CREDIT_CARD}updateCREDIT_CARD:1</res></ld>
    <ld type="service"><app>DSP_TEST</app><ds>ld:CUSTOMER.ds</ds></ld>

リソース識別子のフォーマットを、図 5-12 に示します。

図 5-12 リソース識別子のフォーマット

リソース識別子のフォーマット

型は管理、サービスまたは関数のいずれかです。リソースは、次のうちのどれかです。

これらは、ALDSP Administration Console の [セキュリティ保護された要素] タブで要素を選択すると、生成されます。

 

データ サービスおよびオペレーション レべル セキュリティのコンフィグレーション

データ サービスには 1 つまたは複数の読み取り、作成、更新、削除、ナビゲーションおよびライブラリ操作を含む複数の操作があります。データ サービス レベルで適用されたセキュリティ ポリシーをデータ サービス操作およびデータ要素に適用します。データ サービス レベルで保護するデータ要素も選択します。

操作レベルのセキュリティ ポリシーによって制御できるものは次のとおりです。

注意 : ユーザが直接アクセスするデータ サービス リソースに対してのポリシーをコンフィグレーションすることを確認します。他のデータ サービスによって使用されるデータ サービスに対するセキュリティ ポリシーは、呼び出し側のデータ サービスに継承されません。つまり、保護されたリソースを備えたデータ サービスが、他のデータ サービスを介してアクセスされた場合、呼び出し側に対してポリシー評価が行われることはありません。詳細については、「操作に対するセキュリティ ポリシーの作成およびコンフィグレーション」を参照してください。
注意 : データ サービス操作は、セキュリティ コンフィグレーションを設定する名前とパラメータ数で識別されます。パラメータ数を変更した場合は、操作のセキュリティ設定を再コンフィグレーションする必要があります。

データ サービスのランタイム セキュリティ ポリシーの作成

データ サービス レベルおよび操作レベルでセキュリティ ポリシーを作成する手順はデータスペースと同じです。詳細については、「ランタイム セキュリティ ポリシーの作成および適用」を参照。

データ サービス レベルで保護するデータ要素を選択できます。[セキュリティ保護された要素] タブを使用して、保護するデータ要素を選択できます。たとえば、セキュリティのための XQuery 関数を作成してデータ要素に関連付ける場合、[セキュリティ保護された要素] タブからデータ要素を選択してデータ要素レベルのセキュリティをコンフィグレーションできます。セキュリティの XQuery 関数については、「セキュリティの XQuery 関数の操作」を参照してください。

保護するデータ要素の選択

  1. ロックを取得してデータ サービスを選択する。
  2. 図 5-13 に示すように、[セキュリティ保護された要素] タブを選択する。
    3. 図 5-13 [セキュリティ保護された要素] タブ


    [セキュリティ保護された要素] タブ

  3. セキュリティのためにコンフィグレーションするデータ要素の選択。
  4. [保存] をクリックして変更をアクティブ化する。図 5-14 に示すように、選択した要素はデータ サービスのナビゲーション ツリーに含まれている。
    5. 図 5-14 ナビゲーション ツリー内のセキュリティ保護されたデータ要素


    ナビゲーション ツリー内のセキュリティ保護されたデータ要素

データ要素にセキュリティを適用するには、ナビゲーション ツリーから要素を選択します。[セキュリティ保護された要素] タブを使用して、保護された要素を選択できます。詳細については、「データ要素レベル セキュリティのコンフィグレーション」を参照してください。

操作に対するセキュリティ ポリシーの作成およびコンフィグレーション

操作に対するランタイム セキュリティ ポリシーの設定

  1. ナビゲーション ツリーから操作を選択して、[関数コンフィグレーション] タブをクリックする。
  2. 図 5-15 に示すように、[常に保護される] チェックボックスを選択して、[保存] をクリックする。
    3. 図 5-15 [関数コンフィグレーション] タブ


    [関数コンフィグレーション] タブ

この設定は、この操作にアクセスするたびにランタイム ポリシーに準拠していることを保証します。次の例を見てみましょう。

このシナリオでは、ユーザ 1 で fn1 にアクセスすると、ランタイム セキュリティ ポリシーのコンフィグレーションはユーザ 1 を fn2 にアクセスが許可されていないので、アクセスは拒否されます。

fn2 のために [常に保護される] チェック ボックスを選択しない場合、ユーザ 1 またはユーザ 2 どちらも使用すると、システムは fn2 の代わりに fn1 のみのセキュリティ ポリシーを確認するので、fn1 にアクセスできます。

データ要素レベル セキュリティのコンフィグレーション

要素レベルのセキュリティでは、データ サービス内の戻り値の型のデータ要素と、セキュリティ ポリシーを関連付けます。ポリシー条件が満たされていない場合、対応するデータは、結果に含まれません。

要素レベルのセキュリティ ポリシーはデータ サービスのすべての操作にわたって適用します。つまり、特定のデータ サービスに対して設定されたセキュリティ ポリシーは、継承されません。同じデータが、ソースから、またはポリシーがコンフィグレーションされているデータ サービスに含まれるものとして、別のデータ サービスを構成する場合、そのポリシーはそれらのデータ サービスのユーザに対しては適用されません。

要素レベルのセキュリティをコンフィグレーションする際は、まず要素を保護可能なリソースとして識別し、その後、リソースに対してポリシーを設定します。

注意 : 要素レベルおよびデータ駆動型セキュリティのみを読み込みおよびナビゲート関数に適用します。

ランタイム セキュリティ ポリシーの作成および適用」で説明された手順に従って、データ操作セキュリティ ポリシーがコンフィグレーションできます。

セキュリティのための XQuery 関数を対応するデータ要素に関連付けるため、[セキュリティ保護された要素] タブを選択して、「セキュリティに対する XQuery 関数の適用」で説明された手順に従ってください。

ネイティブな Web サービスの保護

Eclipse IDE の [必要な基本認証] プロパティを使用して、ネイティブな Web サービスのためにセキュリティ ポリシーを設定できます。ネイティブな Web サービスにランタイム セキュリティ ポリシーを設定して、このプロパティを true に設定します。これによって、ネイティブな Web サービスにセキュリティ ポリシーが適用されます。[必要な基本認証] プロパティの詳細については、『データ サービス開発者ガイド』の「データ サービスの設計」における「データ サービスにセキュリティ リソースの追加」を参照してください。

ALDSP Administration Console のサービス エクスプローラでは、[必要な基本認証] プロパティが true または false に設定されているか確認できます。サービス エクスプローラにプロパティ用の情報の表示

  1. [サービス エクスプローラ] カテゴリをクリックする。図 5-16 のように [一般] タブが表示されます。
    2. 図 5-16 サービス エクスプローラの [必要な基本認証] プロパティの情報


    サービス エクスプローラの [必要な基本認証] プロパティの情報

  2. ナビゲーション ツリーからネイティブな Web サービスの選択この場合、[必要な基本認証] プロパティを true に設定する。ネイティブな Web サービス SERVICE_CASE.ws にいくつかのセキュリティ ポリシーが適用されている。

ユーザ定義のセキュリティ リソースに対するセキュリティ ポリシーの作成

図 5-17 に示すように、ユーザ定義のセキュリティ リソースが Eclipse IDE プロパティ エディタで作成されます。

図 5-17 ALDSP IDE プロパティ エディタ : ユーザ定義のセキュリティ リソース

ALDSP IDE プロパティ エディタ : ユーザ定義のセキュリティ リソース

セキュリティ リソース値の設定については、『データ サービス開発者ガイド』の「セキュリティ リソースの宣言」を参照してください。

セキュリティ リソースに値を割り当てた後で、ユーザ定義のセキュリティ リソースに対してランタイム セキュリティ ポリシーを作成できます。前の図では、セキュリティ リソースの値は ordertime です。データスペースをデプロイした後、ALDSP Administration Console にこのリソースが表示されます。図 5-18 では、[customerorder] データ サービスのナビゲーション ツリーに [ordertime] セキュリティ リソースを示します。

図 5-18 ユーザ定義のセキュリティ リソースのためランタイム セキュリティ ポリシーの作成

ユーザ定義のセキュリティ リソースのためランタイム セキュリティ ポリシーの作成

コンソールを使用して、[ordertime] セキュリティ リソースのランタイム セキュリティ ポリシーを作成できます。

 

管理アクセス制御ポリシーの操作

管理ロールでは、ALDSP Administration Console にアクセスする資格が必要です。図 5-19 に示すように、管理アクセス制御カテゴリを使用して、これらの資格が割り当てられます。

図 5-19 [管理アクセス制御] タブ

[管理アクセス制御] タブ

コンソールのスーパーユーザになっているドメイン ユーザは、ユーザに資格を割り当てる。ドメイン資格に加えて、他の事前定義の資格 (管理、モニタおよび参照) は異なるカテゴリおよびリソースの情報へのアクセスが許可されます。資格の階層的な構造は以下のとおりです。

ドメイン

  管理

     モニタ

       参照

この階層は、ドメイン内のすべてのデータスペースや特定のデータスペースのためのドメイン資格によって、ドメイン権利が ALDSP Administration Console ですべてのタスクを実行することを示唆しています。しかし、他の資格ではドメイン資格を持っているユーザが実行できるすべてのタスクが実行できません。たとえば、ドメイン資格を持っている場合のみ、管理アクセス制御ポリシーが設定されます。同様に、管理資格は、参照資格またはモニタ資格よりも多くのタスクをデータスペースで実行できます。

注意 : 資格はデータスペース レベルまたはすべてのデータスペースに対して割り当てられます。たとえば、ユーザ A は、DS1 に対する管理資格、DS2 に対するモニタ資格および DS3 に対する参照資格が割り当てられます。また、ユーザ A にドメイン内のすべてのデータスペースのため管理資格を割り当てることができます。詳細については、「資格の割り当て」を参照してください。 

ALDSP ドメインを作成する場合、WebLogic Server でデフォルトのドメイン ユーザが作成されます。コンソールのために 1 つまたは複数のドメイン ユーザがあります。また、1 つのドメイン ユーザは他のドメイン ユーザを作成します。

注意 :

デフォルトでは、図 5-19 に示すように、WebLogic Server Administrator ロールからマップした ALDSP Administration Console のドメインのために管理ロールを作成します。

表 5-1 では、各資格のユーザで実行されるすべてのタスクを示します。

表 5-1 資格に対して許可されるタスク
権利
使用可能なカテゴリおよびリソース
ドメイン
データスペースのドメイン ユーザは ALDSP Administration Console ですべてのタスクを実行できます。ドメイン ユーザが実行できる最も重要なタスクは以下のとおりです。
  • データスペースの作成、デプロイメントおよび削除
  • ドメイン、管理、モニタ、参照資格を持っているユーザの作成
  • コンフィグレーションの編集および更新
  • 強制的にユーザからロックの取得
  • [管理アクセス制御] タブを含めたカテゴリ リストにあるすべてのタブの表示
  • 監査オプションのコンフィグレーション
  • データ キャッシュの管理

注意 : ユーザ資格にかかわらず 1 人のユーザは別のユーザから強制的にロックが取得できます。つまり、1 つのドメイン ユーザも別のドメイン ユーザから強制的にロックが取得できます。
  管理
データスペースの管理ユーザが使用できるほとんどの情報はドメイン ユーザと同じです。しかし、管理ユーザはデータスペースを作成や削除できません。また、資格も割り当てることができません。したがって、管理資格でコンソールにログインすると、[管理アクセス制御] タブを利用できません。
     モニタ
データスペースのモニタは ALDSP Administration Console に任意の変更を行いません。したがって、ユーザがモニタ資格を持っているデータスペースに対してチェンジ センタは無効になっています。モニタ ユーザの [システム管理] タブは任意のオプションが提供されていません。コンソールでモニタ ユーザを以下の情報が表示されます。
  • [オペレーション] カテゴリでデータ キャッシュ、クエリおよび更新が提供される。
  • データスペースに対して、モニタ ユーザは [一般] タブを使用して静的 Mediator クライアント JAR ファイルをエクスポートできます。
       参照
参照ユーザは ALDSP Administration Console の多少なコントロールを持っています。ユーザ権利はコンソールを通じて参照できます。このユーザのためにチェンジ センタが無効にしています。しかし、モニタ ユーザのように参照ユーザも静的 Mediator クライアント JAR ファイルをエクスポートできます。

資格の割り当て

WebLogic Server 9.2 で作成されたユーザのために資格を作成して、WebLogic Server Administration Console を使用して管理できます。

資格の割り当て

  1. ドメイン ユーザ名およびパスワードを使用して ALDSP Administration Console にログインする。
  2. [管理アクセス制御] カテゴリを選択する。
  3. 特定のデータスペースのために資格を割り当てると、ナビゲーション ツリーで資格の下にあるリストからデータスペースを選択する。たとえば、データスペース DS1 のために管理資格を割り当てる場合、図 5-20 に示すように、管理資格の下にあるリストから DS1 を選択する。
    4. 図 5-20 データスペースに対する資格の割り当て


    データスペースに対する資格の割り当て

    ドメインにあるすべてのデータスペースのため、ユーザに資格を割り当てることができます。たとえば、データスペース DS1、DS2 および DS3 の管理資格をユーザに割り当てる場合、[管理資格] オプションを選択します。同様に、ナビゲーション ツリーから [モニタまたは参照] オプションを選択してすべてのデータスペースのユーザにモニタおよび参照資格を割り当てることができます。

注意 : この場合は、データスペース DS1 のため管理資格を選択します。
  1. [ポリシー] タブの [条件の追加] をクリックする。
  2. [ユーザとしての述語] を選択して [次へ] をクリックする。
注意 : 述語のリストから他のオプションが選択できます。詳細については、「ランタイム セキュリティ ポリシーについて」を参照してください。
  1. 管理資格を割り当てるユーザ名を指定して、[完了] をクリックする。これによって、管理資格を持つデータスペース DS1 のユーザが作成されます。

データスペースによって割り当てられた資格に基づくカテゴリ リストが表示されます。たとえば、DS1 のため管理資格を持っているユーザ A は [セキュリティ コンフィグレーション] タブが表示されます。しかし、ユーザ A は DS2 のモニタ資格を持っている場合、ユーザ A のため DS2 の [セキュリティ コンフィグレーション] タブが表示されません。

システム ロックアウト後、管理アクセスの取得

管理資格をユーザに割り当てるためにコンフィグレーションされたセキュリティ ポリシーは、何気無く削除できます。これは ALDSP Administration Console の 1 つの管理ユーザの資格である場合、コンソールから管理ユーザがロックアウトされます。

この場合、WebLogic Server の com.bea.dsp.security.admin.bootstrap システム プロパティをコンフィグレーションできます。このプロパティでは、ドメインのアクセス権を取得するユーザ名を指定できます。しかし、いくつかのポリシーを編集したので ALDSP Administration Console がロックされている場合のみこのプロパティを使用する必要があります。

システム プロパティのコンフィグレーション

  1. WebLogic Server を停止します。
  2. <aldsp_home>\samples\domains\aldsp\bin に格納されている setDomainEnv.cmd ファイルを開く。

    3. <aldsp_home> は ALDSP のホーム ディレクトリです。たとえば、c:\bea\aldsp_3.0

  3. com.bea.dsp.security.admin.bootstrap システム プロパティを含むために、このファイルを編集します。次に例を示します。
    4. set JAVA_OPTIONS=%JAVA_OPTIONS% %JAVA_PROPERTIES%
    -Dwlw.iterativeDev=%iterativeDevFlag%
    -Dwlw.testConsole=%testConsoleFlag%
    -Dwlw.logErrorsToConsole=%logErrorsToConsoleFlag%
    -Dcom.bea.dsp.security.admin.bootstrap=<username>

    ここの、<username> では ALDSP Administration Console の管理ユーザを指定します。

注意 : com.bea.dsp.security.admin.bootstrap システム プロパティに指定されているユーザ名は WebLogic Server console を使用してすでに作成されているユーザと同じである必要があります。
  1. このファイルを保存して閉じる。
  2. WebLogic Server を再起動する。
  3. このユーザ名を使用して ALDSP Administration Console にログインして、もう一度管理資格ポリシーをコンフィグレーションします。

[ロックして編集] 機能の取得

ドメイン ユーザは ALDSP Administration Console からロックのコントロールを解除できます。ロックを取得したが長い時間に解除していない管理ユーザ等のユーザの場合ユーザからロックを解除して、他の管理ユーザがコンフィグレーションを更新するためにロックを取得する必要があります。1 人のドメイン ユーザは他のドメイン ユーザからロックを取得できます。

ユーザによってロックが取得されると、図 5-21 に示すように、ドメイン ユーザのため [ロックして編集の取得] オプションが有効になります。

図 5-21 チェンジ センタの [ロックして編集の取得] の有効化

チェンジ センタの [ロックして編集の取得] の有効化

ドメイン ユーザは、チェンジ センタからの [ロックして編集の取得] オプションをクリックしてロックを取得できます。この場合、ロックを取得さしたユーザは コンソールでコア コンフィグレーション値を参照でき、ドメイン ユーザまたは他の管理ユーザは保留中の変更リストを使用して他のユーザによって行なわれた変更を参照できます。保留中の変更リストの詳細については、「保留中の変更リスト」を参照してください。


  ページの先頭       前  次