Oracle Service Bus Console の使い方

     前  次    目次     
ここから内容

セキュリティ コンフィグレーション

Oracle Service Bus の着信セキュリティおよび管理セキュリティで使用されるセキュリティ データを作成および変更するためには、[セキュリティ コンフィグレーション] モジュールを使用します。

着信転送レベルのセキュリティおよびメッセージレベルのセキュリティでは、着信クライアント要求を認証するためにユーザ、グループ、およびロールのデータが使用されます。プロキシ サービスやビジネス サービスの使用をどの認証ユーザに認可するかを決定するためには、アクセス制御ポリシーが適用されます。

管理セキュリティでは、Oracle Service Bus のコンフィグレーション データの作成または変更、Oracle Service Bus のパフォーマンスの監視をどの認証ユーザに認可するかを決定するためにユーザ、グループ、およびロールのデータが使用されます。詳細については、「ユーザ、グループ、セキュリティ ロール、およびポリシーについて」を参照してください。 詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。

注意 : ユーザ、グループ、ロールはセキュリティ プロバイダ ストアにあるため、コンフィグレーションをエクスポートするときにこれらのオブジェクトをエクスポートすることはできません。エクスポートされたコンフィグレーションをインポートする場合や、WebLogic Server ツール (使用できる場合) を使用してコンフィグレーションをエクスポートおよびインポートする場合は、これらのオブジェクトを再度作成する必要があります。

ユーザ、グループ、セキュリティ ロール、およびポリシーについて

この節では、以下のトピックについて説明します。

ユーザ

ユーザとは、認証が可能なエンティティを指します。ユーザとして指定できるのは、Web サービス クライアントなどの人物、またはソフトウェア エンティティです。各ユーザには、セキュリティ レルム内でユニークな ID (名前) を割り当てる必要があります。

一般的に、作成するユーザは次の 2 つのカテゴリに分類されます。

グループ

多数のユーザの管理を効率化するためには、名前を付けたグループにユーザを整理することができます。また、アクセス特権やロール ID を個々のユーザに与えるのではなく、グループに特権や ID を与えます。

管理セキュリティ グループ

Oracle Service Bus には、プロキシ サービスの作成などの管理機能へのアクセス権をユーザに与えやすくするために、デフォルトのセキュリティ グループが用意されています。各グループは、管理特権が与えられている、事前定義された Oracle Service Bus のセキュリティ ロールの 1 つに入っています。

詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。

ロール

セキュリティ ロールは、実行時環境の条件に基づきユーザまたはグループに与えることのできる ID です。アクセス制御ポリシーを作成するときに、アクセス権をロール、グループ、またはユーザに与えることができます。

例として、MyCustomersEast と MyCustomersWest という 2 つのグループを作成する場合を考えてみます。PrivilegedCustomer という名前のセキュリティ ロールを作成し、米国の東部標準時の午前 8 時から午後 8 時の間に MyCustomersWest グループがこのロールに入り、米国の東部標準時の午後 8 時から午前 8 時の間に MyCustomersEast グループがこのロールに入るようにする条件を作成します。次に、プロキシ サービスのアクセス制御ポリシーを作成して、PrivilegedCustomer ロールにサービスへのアクセス権を与えます。所属しているグループが MyCustomersEast であるか MyCustomersWest であるかに応じて、各ユーザがアクセス権を持つ時間帯が変わることになります。

管理セキュリティ ロール

Oracle Service Bus には、管理特権を与える、事前定義された 4 種類のセキュリティ ロール (および WebLogic Server の事前定義された 4 種類のロール) が用意されています。Oracle Service Bus の管理セキュリティ ロールのアクセス特権は変更できませんが、それらのロールのいずれかにユーザまたはグループを入れるための条件は変更できます。

これらのロールおよび各ロールで使用できる特権の詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。

アクセス制御ポリシー

アクセス制御ポリシーは、ユーザ、グループ、またはロールがプロキシ サービスにアクセスできるようにするための条件を指定します。たとえば、あるプロキシ サービスへのアクセスを、GoldCustomer ロールのユーザには常に許可し、SilverCustomer ロールのユーザには平日の午後 12 時以降にのみ許可するというポリシーを作成することができます。

すべてのプロキシ サービスに対して、転送レベルのポリシーを作成することができます。転送レベルのポリシーでは、クライアントがプロキシ サービスとの接続を確立しようとしたときにセキュリティ チェックが適用されます。転送レベルのポリシーのリストに入っているユーザからの要求だけが続行を許可されます。

メッセージレベルのアクセス制御ポリシーでは、メッセージレベル セキュリティを持つプロキシ サービスをクライアントが呼び出そうとしたときに、セキュリティ チェックが適用されます。次のような場合はメッセージレベルのアクセス制御ポリシーを作成できます。

メッセージレベルのポリシーのリストに入っているユーザだけが、その操作を呼び出せます。

セキュリティ コンフィグレーション データとセッション

ユーザ、グループ、ロールは、セキュリティ プロバイダにおいて存続し、Oracle Service Bus セッションによる制御を受けません。したがって、セッション内でもセッション外でも、これらのデータを作成または変更できます。データに対する追加や変更は、即座に有効になり、すべてのセッションで使用できるようになります。データを追加または変更したときのセッションを破棄した場合でも、セキュリティ データは破棄されません

アクセス制御ポリシーは認証プロバイダに保持されます。また、Oracle Service Bus リポジトリにもこれらへの参照があります。

アクセス制御ポリシーは、Oracle Service Bus 設計セッションの外部ではなく内部で管理されます。変更はセッション内で行われるため、他のリソースと同じように変更をコミットまたは破棄できます。

Oracle Service Bus コンソールで ACL を管理できますが、Oracle Service Bus の外でもポリシーを変更できます。ただし、Oracle Service Bus の外でポリシーを変更すると Oracle Service Bus の参照が期限切れになり、無効になる場合があります。

そのため、一貫した管理には、Oracle Service Bus セッション外 (認証プロバイダ MBeans またはサードパーティの認証プロバイダ ツールを使用) で ACL を完全に管理するか、または Oracle Service Bus セッション内で ACL を完全に管理します。2 つの方法を組み合わせると、ポリシー表示の一貫性が失われる場合があります。

ユーザの検索

  1. [セキュリティ コンフィグレーション|ユーザ] を選択します。[ユーザの概要] ページに、表 22-1 に示す情報が表示されます。プロパティの詳しい説明については、「ユーザの編集」を参照してください。
  2. リストに表示される項目の数を制限する、または特定のユーザを検索するには、ユーザ名でフィルタできます。[名前] フィールドにユーザ名の全体または一部を入力し、[検索] をクリックします。

    3. ワイルドカード文字のアスタリスク (*) を使用できます (他のワイルドカード文字はサポートされません)。

    [すべて表示] をクリックして、検索フィルタを削除し、すべてのユーザ を表示します。

    表 22-1 ユーザ情報
    プロパティ
    説明
    ユーザ名
    このユーザに割り当てられた名前。この名前は [ユーザの詳細を表示] ページにリンクされている。「ユーザの編集」を参照してください。
    グループ メンバシップ
    このユーザが所属するグループの名前。この名前は [グループの詳細を表示] ページにリンクされている。「グループの編集」を参照してください。
    認証プロバイダ
    このユーザの認証プロバイダ。
    オプション
    [削除] アイコン をクリックすると、指定したユーザが削除されます。「ユーザの削除」を参照してください。

ユーザの追加

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. [セキュリティ コンフィグレーション] を選択して、[ユーザの概要] ページを表示します。
  3. [新しく追加] をクリックして、[新しいユーザの作成 - 全般的なコンフィグレーション] ページを表示します。

    4. セッション内で作業しているときもセッション外で作業しているときも、ユーザを追加できます。

  4. [ユーザ名] フィールドにユニークな名前を入力します。このフィールドは必須です。
  5. [パスワード] フィールドにパスワードを入力します。このフィールドは必須です。
    6. 注意 : 認証プロバイダは、パスワードの最小長を強制できます。WebLogic 認証プロバイダで定義されているユーザに対しては、パスワードの最小長は 8 文字です。WebLogic Server Administration Console を使用すると、この設定をカスタマイズできます (WebLogic 認証プロバイダは、デフォルトでは DefaultAuthenticator という名前のセキュリティ レルムにコンフィグレーションされます)。
  6. [パスワードの確認] フィールドに、[パスワード] フィールドで入力したパスワードを入力します。このフィールドは必須です。
  7. [認証プロバイダ] フィールドで、このユーザの認証プロバイダを選択します。

    8. セキュリティ レルムに複数の認証プロバイダがコンフィグレーションされている場合は、それらがリストに表示されます。新しいユーザの情報を格納する認証プロバイダ データベースを選択します。『Oracle Service Bus セキュリティ ガイド』の「サポートされる標準とセキュリティ プロバイダ」を参照してください。

  8. [グループ メンバシップ] フィールドで、このユーザのグループを選択します。
    1. [使用可能なグループ] フィールドからグループを選択します。
    2. 矢印をクリックしてグループを [現在のグループ] フィールドに移動します。
  9. [保存] をクリックしてユーザを作成します。

    10. ユーザが保存され、保存されたユーザはすぐにすべてのセッションで使用できるようになります。ユーザを追加しているときにセッション内で作業していて、ユーザの追加後にセッションを破棄しても、追加した新しいユーザは削除されません。

ユーザの編集

[ユーザの詳細を表示] ページを使用すると、特定のユーザの詳細を確認および変更できます。

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. 対象のユーザを検索します。「ユーザの検索」を参照してください。
  3. ユーザ名をクリックします。[ユーザの詳細を表示] ページに、表 22-2 に示す情報が表示されます。

    4. 表 22-2 ユーザの詳細 
    プロパティ
    説明
    ユーザ名
    このユーザの名前。
    認証プロバイダ
    このユーザの定義を含む認証プロバイダ。
    グループ メンバシップ
    このユーザが所属するグループの名前。

  4. ユーザの詳細を編集するには、[再コンフィグレーション] をクリックして、[ユーザの詳細を編集] ページを表示します。

    5. セッション内で作業しているときもセッション外で作業しているときも、ユーザの詳細を編集できます。

  5. [新しいパスワード]、[パスワードの確認]、および [グループ メンバシップ] の各フィールドに適切な変更を加えます。各フィールドの説明については、「ユーザの追加」を参照してください。

    6. [ユーザ名] フィールドは変更できません。

  6. [変更の保存] をクリックしてユーザを更新します。

    7. グループの詳細が更新され、更新内容はすぐにすべてのセッションで使用できるようになります。グループを更新しているときにセッション内で作業していて、更新後にセッションを破棄しても、更新内容は削除されません。

ユーザの削除

[ユーザの概要] ページを使用すると、選択したユーザまたは複数のユーザを削除できます。

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. [セキュリティ コンフィグレーション] を選択して、[ユーザの概要] ページを表示します。
  3. 削除するユーザを選択します。必要であれば、複数のユーザを選択することもできます。

    4. セッション内で作業しているときもセッション外で作業しているときも、ユーザを削除できます。

  4. [削除] をクリックします。ユーザの削除を確認するメッセージが表示されます。
  5. [OK] をクリックして、ユーザを削除する。

    6. ユーザが削除されます。ユーザを削除しているときにセッション内で作業していて、ユーザの削除後にセッションを破棄しても、更新内容は削除されません。

  6. 削除するユーザの [オプション] カラムにある [削除] アイコン をクリックする方法もあります。

グループの検索

  1. [セキュリティ コンフィグレーション|グループ] を選択します。[グループの概要] ページに、表 22-3 に示す情報が表示されます。プロパティの詳しい説明については、「グループの編集」を参照してください。
  2. リストに表示される項目の数を制限する、または特定のグループを検索するには、グループ名でフィルタできます。[名前] フィールドにグループ名の全体または一部を入力し、[検索] をクリックします。

    3. ワイルドカード文字のアスタリスク (*) を使用できます (他のワイルドカード文字はサポートされません)。

    [すべて表示] をクリックして、検索フィルタを削除し、すべてのグループを表示します。

    表 22-3 グループ情報
    プロパティ
    説明
    グループ名
    グループの名前。この名前は [グループの詳細を表示] ページにリンクされている。「グループの編集」を参照してください。
    グループ メンバシップ
    このグループの所属グループ。この名前は [グループの詳細を表示] ページにリンクされている。「グループの編集」を参照してください。
    認証プロバイダ
    このグループの定義を含む認証プロバイダ。
    削除
    特定のグループを削除するには、[削除] アイコン をクリックします。「グループの削除」を参照してください。

グループの追加

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. [セキュリティ コンフィグレーション|グループ] を選択して、[グループの概要] ページを表示します。
  3. [新しく追加] をクリックします。

    4. セッション内で作業しているときもセッション外で作業しているときも、グループを追加できます。

  4. [グループ名] フィールドにユニークな名前を入力します。スペースや特殊文字は入力できません。このフィールドは必須です。
  5. [認証プロバイダ] フィールドで、認証プロバイダを選択します。
  6. [グループ メンバシップ] フィールドで、このグループの所属グループを選択します。
    1. [使用可能なグループ] フィールドからグループを選択します。
    2. 矢印をクリックしてグループを [現在のグループ] フィールドに移動します。
  7. [保存] をクリックしてグループを作成します。

    8. グループが保存され、保存されたグループはすぐにすべてのセッションで使用できるようになります。グループを追加しているときにセッション内で作業していて、グループの追加後にセッションを破棄しても、追加した新しいグループは削除されません。

グループの編集

[グループの詳細を表示] ページを使用すると、個々のグループの詳細を確認および変更できます。

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. 対象のグループを検索します。「グループの検索」を参照してください。
  3. グループ名をクリックします。[グループの詳細を表示] ページに、表 22-4 に示す情報が表示されます。

    4. 表 22-4 グループの詳細 
    プロパティ
    説明
    グループ名
    このグループの名前。
    認証プロバイダ
    このグループの定義を含む認証プロバイダ。
    グループ
    このグループの所属グループ。

  4. グループの詳細を編集するには、[再コンフィグレーション] をクリックして [グループの詳細を編集] ページを表示します。

    5. セッション内で作業しているときもセッション外で作業しているときも、グループの詳細を編集できます。

  5. [グループ メンバシップ] フィールドに適切な変更を加えます。各フィールドの説明については、「グループの追加」を参照してください。

    6. [グループ名] フィールドは変更できません。

  6. [変更の保存] をクリックしてグループを更新します。

    7. グループの詳細が更新され、更新内容はすぐにすべてのセッションで使用できるようになります。グループを更新しているときにセッション内で作業していて、更新後にセッションを破棄しても、更新内容は削除されません。

グループの削除

[グループの概要] ページを使用すると、選択したグループまたは複数のグループを削除できます。

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. [セキュリティ コンフィグレーション] を選択して、[グループの概要] ページを表示します。
  3. 削除するグループを選択します。必要であれば、複数のグループを選択することもできます。

    4. セッション内で作業しているときもセッション外で作業しているときも、グループを削除できます。

  4. [削除] をクリックします。グループの削除を確認するメッセージが表示されます。
  5. [OK] をクリックして、グループを削除する。

    6. グループが削除されます。グループを削除しているときにセッション内で作業していて、グループの削除後にセッションを破棄しても、グループの削除は取り消されません。

  6. 削除するグループの [オプション] カラムにある [削除] アイコン をクリックする方法もあります。

ロールの検索

  1. [セキュリティ コンフィグレーション|ロール] を選択します。[グローバル ロール] ページに、表 22-5 に示す情報が表示されます。プロパティの詳しい説明については、「ロールの編集」を参照してください。
  2. リストに表示される項目の数を制限する、または特定のロールを検索するには、ページをスクロールします。表の上下にあるページ コントロールを使用します。

    3. 表 22-5 ロール情報 
    プロパティ
    説明
    ロール名
    ロールの名前。この名前は [ロールの詳細の表示] ページにリンクされている。「ロールの編集」を参照してください。
    プロバイダ名
    このグループの認証プロバイダ。

ロールの追加

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. [セキュリティ コンフィグレーション|ロール] を選択して、[グローバル ロール] ページを表示します。
  3. [新規作成] をクリックします。

    4. セッション内で作業しているときもセッション外で作業しているときも、ロールを追加できます。

  4. [ロール名] フィールドにユニークな名前を入力します。このフィールドは必須です。

    5. セキュリティ ロール名にはスペースや「<」「>」の文字を使用しないでください。セキュリティ ロール名では大文字と小文字が区別されます。Oracle 規則では、セキュリティ ロール名はすべて単数形です。

  5. [OK] をクリックして、ロールを作成する。

    6. ロールが保存され、保存されたロールはすぐにすべてのセッションで使用できるようになります。ロールを追加しているときにセッション内で作業していて、ロールの追加後にセッションを破棄しても、追加した新しいロールは削除されません。

    [OK] をクリックしてロールを作成した場合は、次に、そのロールを適用する条件を定義する必要があります。

  6. ロール条件の定義」に進みます。

ロール条件の定義

  1. [グローバル ロール] ページで、新しいグローバル ロールの名前をクリックして、[グローバル ロール条件] ページを表示します。
  2. [ロール条件] の下にある [条件の追加] をクリックします。

    3. 以下のプロンプトが表示されます。

    新しい条件として使用する述部を選択

  3. リスト ボックスから述部を選択します。通常は、[グループ] を選択します。グループを使用してセキュリティ ロールを作成すると、そのグループのすべてのメンバー (つまり複数のユーザ) にセキュリティ ロールを付与できます。
  4. [次へ] をクリックします。条件の述部に選択するものに応じて、表 22-6 に示す手順の 1 つを実行します。

    5. 表 22-6 条件の述部のオプション 
    条件の述部
    手順
    [グループ] を選択した場合は、このロールを保有する 1 つまたは複数のグループを定義する引数を 1 つまたは複数入力する
    1. [グループ引数名] フィールドに、グループを定義する引数を入力する。
    2. [追加] をクリックします。
    3. 必要に応じて手順 1 と 2 を繰り返してすべての引数を追加する。[削除] をクリックすると、リストからその引数を削除できる。
    4. [終了] をクリックします。
    [ユーザ] を選択した場合は、このロールを保有する 1 つまたは複数のユーザを定義する引数を 1 つまたは複数入力する
    1. [ユーザ引数名] フィールドに、ユーザを定義する引数を入力する。
    2. [追加] をクリックします。
    3. 必要に応じて手順 1 と 2 を繰り返してすべての引数を追加する。[削除] をクリックすると、リストからその引数を削除できる。
    4. [終了] をクリックします。
    [サーバが開発モードである]、[全員に対してアクセスを許可]、[全員に対してアクセスを拒否] のいずれかを選択した場合
    [終了] をクリックします。
    [指定した時間帯にアクセスが発生] など時間の制約を受ける述部を選択した場合は、開始時刻、終了時刻、および GMT オフセットを選択する
    1. [開始時刻] フィールドに、許容される最も早い時刻を hh:mm:ss AM|PM の書式で入力する。たとえば、「12:45:00 AM」と入力する。
    2. [終了時刻] フィールドに、許容される最も遅い時刻を hh:mm:ss AM|PM の書式で入力する。たとえば、「12:45:00 AM」と入力する。
    3. [GMT オフセット] フィールドに、GMT より進んだ標準時を使用する場合はその時差を GMT+hh:mm の書式で、GMT より遅れた標準時を使用する場合は GMT-hh:mm の書式で入力する。たとえば、アメリカ東部標準時の場合は「GMT-5:00」と入力する。
    4. [終了] をクリックします。
    [コンテキスト要素が定義されている] を選択した場合は、コンテキスト要素名を入力する
    1. [コンテキスト要素名] フィールドに、コンテキスト要素の名前を入力する。
    2. [終了] をクリックします。
    [コンテキスト要素の値が数値定数と等しい]、[コンテキスト要素の値が数値定数より大きい]、[コンテキスト要素の値が数値定数より小さい] のいずれかを選択した場合は、コンテキスト要素名と、その値の比較対象となる数値を入力します
    1. [コンテキスト要素名] フィールドに、値を評価するコンテキスト要素の名前を入力する。
    2. [数値型の値] フィールドに、数値を入力する。
    3. [終了] をクリックします。
    [コンテキスト要素の値が文字列定数と等しい] を選択した場合は、コンテキスト要素名と、その値の比較対象となる文字列値を入力します
    1. [コンテキスト要素名] フィールドに、値を評価するコンテキスト要素の名前を入力する。
    2. [文字列値] フィールドに、比較対象となる文字列値を入力する。
    3. [終了] をクリックします。
    [次の日時より前にアクセスが発生]、[次の日時より後にアクセスが発生] など時間の制約を受ける述部を選択した場合
    1. [日付] フィールドに、日付を mm/dd/yy の書式で入力する。たとえば、1/1/04 と入力する。必要に応じて時刻を hh:mm:ss AM|PM の書式で入力することも可能。その場合は、「1/1/04 12:45:00 AM」のように入力する。
    2. [終了] をクリックします。
    時間の制約を受ける述部 [指定した曜日にアクセスが発生] を選択した場合は、曜日および GMT オフセットを選択する
    1. [曜日] フィールドに、曜日を入力する。
    2. [GMT オフセット] フィールドに、GMT より進んだ標準時を使用する場合はその時差を GMT+hh:mm の書式で、GMT より遅れた標準時を使用する場合は GMT-hh:mm の書式で入力する。たとえば、アメリカ東部標準時の場合は「GMT-5:00」と入力する。
    3. [終了] をクリックします。
    [指定した日にアクセスが発生]、[指定した日より前にアクセスが発生]、[指定した日より後にアクセスが発生] など時間の制約を受ける述部を選択した場合
    1. [指定した日] フィールドに、現在の月内の日を -31 ~ 31 の値で入力します。負の値は月末から逆に数えることを意味し、-1 は月の最終日を表します。0 は、その月の初日の前日を表します。
    2. [GMT オフセット] フィールドに、GMT より進んだ標準時を使用する場合はその時差を GMT+hh:mm の書式で、GMT より遅れた標準時を使用する場合は GMT-hh:mm の書式で入力する。たとえば、アメリカ東部標準時の場合は「GMT-5:00」と入力する。
    3. [終了] をクリックします。

  5. 必要に応じて手順を繰り返して、各種ロール条件に基づき式を追加します。[ロール条件] セクションでは、表 22-7 に示す手順を実行して、式を変更できます。

    6. 表 22-7 ロール条件のオプション 
    作業内容
    手順
    選択した式の順序の変更
    [上へ] および [下へ] をクリックする。
    ロール条件の結合と結合解除、および式の間にある and ステートメントと or ステートメントの切り替え
    [結合] および [結合解除] をクリックする。
    否定条件にする (たとえば、[NOT グループ Operators] にしてロールから Operators グループを除外する)
    [否定] をクリックする。
    選択した式の削除
    [削除] をクリックする。

  6. ロール条件のセクションのすべての式が正しいことを確認し、[保存] をクリックします。
  7. セッションを終了してコンフィグレーションをランタイムにデプロイするには、[Change Center] の [アクティブ化] をクリックします。

ロールの編集

ロールの詳細の表示ページを使用すると、特定のロールの詳細を確認および変更できます。

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. 対象のロールを検索します。「ロールの検索」を参照してください。
  3. ロール名をクリックします。ロールの詳細の表示ページに、表 22-8 に示す情報が表示されます。

    4. 表 22-8 ロールの詳細 
    プロパティ
    説明
    名前
    ロールの名前。
    ロール条件
    このロール内のメンバシップを決定する条件。

    セッション内で作業しているときもセッション外で作業しているときも、ロールの詳細を変更できます。

  4. 表 22-9 のいずれかの手順を実行します。

    5. 表 22-9 ロールのオプション 
    作業内容
    手順
    選択した式の順序の変更
    [上へ] および [下へ] をクリックする。
    ロール条件の結合と結合解除、および式の間にある and ステートメントと or ステートメントの切り替え
    [結合] および [結合解除] をクリックする。
    否定条件にする (たとえば、[NOT グループ Operators] にしてロールから Operators グループを除外する)
    [否定] をクリックする。
    選択した式の削除
    [削除] をクリックする。

  5. [保存] をクリックします。

    6. ロールが更新され、更新内容はすぐにすべてのセッションで使用できるようになります。ロールを更新しているときにセッション内で作業していて、更新後にセッションを破棄しても、更新内容は削除されません。

ロールの削除

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. [セキュリティ コンフィグレーション|ロール] を選択して、[グローバル ロール] ページを表示します。
  3. 削除するロールを選択します。必要であれば、複数のロールを選択することもできます。

    4. セッション内で作業しているときもセッション外で作業しているときも、ロールを削除できます。

  4. [削除] をクリックします。ロールの削除の確認を要求するメッセージが表示されます。
  5. [OK] をクリックして、ロールを削除する。

    6. ロールが削除されます。ロールを削除しているときにセッション内で作業していて、ロールの削除後にセッションを破棄しても、ロールの削除は取り消されません。

アクセス制御ポリシーの検索

[セキュリティ] ページには、現在の Oracle Service Bus ドメイン内のプロキシ サービスに使用するアクセス制御ポリシーへのリンクが表示されます。

セッション内で作成してまだアクティブ化していないプロキシ サービスは、このページのリストには表示されません。新しいプロキシ サービスのアクセス制御ポリシーを編集する場合は、そのプロキシ サービスを作成したセッションを先にアクティブ化しておきます。

  1. 新しいプロキシ サービスのアクセス制御ポリシーを検索する場合は、そのプロキシ サービスを作成したセッションをアクティブ化しておきます。
  2. [アクセス制御] カラムで、[転送アクセス制御] からプロキシ サービスの名前を選択するか、[メッセージ アクセス制御] からプロキシ サービスの名前または特定のオペレーションを選択します。

転送レベルのアクセス ポリシーの編集

[ポリシーの詳細の表示] ページを使用すると、プロキシ サービスの転送レベルのアクセス制御ポリシーを編集できます。このページには、表 22-10 に示す情報が表示されます。

表 22-10 ポリシーの詳細 
プロパティ
説明
プロキシ サービス名
[セキュリティ] ページで [転送アクセス制御] を選択したプロキシ サービスの名前が表示されます。
プロバイダ
セキュリティ レルムに対してコンフィグレーションされている認可プロバイダが表示される。
ポリシー条件
プロキシ サービスがどのユーザの要求を処理するかを決定する条件が表示される。

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. アクセス ポリシーを検索します。「アクセス制御ポリシーの検索」を参照してください。
  3. [セキュリティ] ページの [転送アクセス制御] カラムで、プロキシ サービスの名前をクリックします。ポリシー エディタが表示されます。

    4. セッション内で作業しているときも、アクセス制御ポリシーを編集できます。

  4. [認証プロバイダ] フィールドで、認証プロバイダを選択します。XACMLAuthorizer を選択することをお勧めします。
    5. 注意 : Oracle Service Bus ではデフォルトの WebLogic 認証プロバイダのサポートが廃止されています。 代わりに WebLogic XACML 認可プロバイダを使用することをお勧めします。『Oracle Service Bus セキュリティ ガイド』の「サポートされる標準とセキュリティ プロバイダ」を参照してください。
  5. ポリシー条件を追加します。「ポリシー条件の追加」を参照してください。
  6. [ポリシー条件] セクションでの条件の入力が完了したら、[保存] をクリックします。

メッセージレベルのアクセス ポリシーの編集

[ポリシーの詳細の表示] ページを使用すると、メッセージレベルのセキュリティを要求するためにコンフィグレーションされているプロキシ サービス (Web サービス) のメッセージレベルのアクセス制御ポリシーを編集できます。このページには、表 22-11 に示す情報が表示されます。

表 22-11 ポリシーの詳細 
プロパティ
説明
プロキシ サービス名
[プロキシ サービスのアクセス制御] ページで [ポリシーの表示] を選択したプロキシ サービスの名前が表示される。
プロバイダ
レルムに対してコンフィグレーションされている認可プロバイダが表示される。
操作
保護できるプロキシ サービスのオペレーションが表示される。
ポリシー条件
[サービス オペレーション] で選択された操作を呼び出すことのできるユーザを決定する条件が表示される。

  1. WebLogic Server の Admin 特権を持つユーザとして Oracle Service Bus Console にログインします。Admin ロールのユーザだけがセキュリティ コンフィグレーション データを変更できます。詳細については、『Oracle Service Bus セキュリティ ガイド』の「管理セキュリティのコンフィグレーション」を参照してください。
  2. アクセス ポリシーを検索します。「アクセス制御ポリシーの検索」を参照してください。
  3. [セキュリティ] ページの[メッセージ アクセス制御] カラムで、プロキシ サービスの名前またはそのプロキシ サービスの特定のオペレーションをクリックします。ポリシー エディタが表示されます。

    4. セッション内で作業しているときも、アクセス制御ポリシーを編集できます。

  4. [認証プロバイダ] フィールドで、認証プロバイダを選択します。XACMLAuthorizer を選択することをお勧めします。
    5. 注意 : Oracle Service Bus ではデフォルトの WebLogic 認証プロバイダのサポートが廃止されています。 代わりに WebLogic XACML 認可プロバイダを使用することをお勧めします。『Oracle Service Bus セキュリティ ガイド』の「サポートされる標準とセキュリティ プロバイダ」を参照してください。
  5. ポリシー条件を追加します。「ポリシー条件の追加」を参照してください。
  6. [ポリシー条件] セクションでの条件の入力が完了したら、[保存] をクリックします。

ポリシー条件の追加

  1. アクセス制御ポリシーのポリシー エディタにアクセスします。「転送レベルのアクセス ポリシーの編集」または「メッセージレベルのアクセス ポリシーの編集」を参照してください。
  2. ポリシー エディタで、[ポリシー条件] の下にある [条件の追加] をクリックします。

    3. 以下のプロンプトが表示されます。

    新しい条件として使用する述部を選択

  3. リストから述部を選択します。
  4. [次へ] をクリックします。条件の述部に選択するものに応じて、表 22-12 に示す手順の 1 つを実行します。

    5. 表 22-12 条件の述部のオプション 
    選択対象
    手順
    ロール
    (着信転送レベルのセキュリティでは、クライアントによる資格の提供を可能にするプロトコルをプロキシ サービスが使用している場合にのみ、この条件が適用される。)
    1. [ロール引数名] フィールドに、アクセス権を与えるロールを入力する。

      2. このフィールドに入力したロールがまだ作成されていない場合は、アクセス制御ポリシーを作成した後にロールを作成できる。「ロールの追加」を参照してください。このロールを作成しないと、誰にもアクセス権が与えられない。

    2. [追加] をクリックします。
    3. 必要に応じて手順 1 と 2 を繰り返してすべての引数を追加する。[削除] をクリックすると、リストからその引数を削除できる。
    4. 以下のいずれか 1 つを実行します。

      5. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    グループ
    (着信転送レベルのセキュリティでは、クライアントによる資格の提供を可能にするプロトコルをプロキシ サービスが使用している場合にのみ、この条件が適用される。)
    1. [グループ引数名] フィールドに、アクセス権を与えるグループを入力する。

      2. このフィールドに入力したグループがまだ作成されていない場合は、アクセス制御ポリシーを作成した後にグループを作成できる。「グループの追加」を参照してください。このグループを作成しないと、誰にもアクセス権が与えられない。

    2. [追加] をクリックします。
    3. 必要に応じて手順 1 と 2 を繰り返してすべての引数を追加する。[削除] をクリックすると、リストからその引数を削除できる。
    4. 以下のいずれか 1 つを実行します。

      5. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    ユーザ
    (着信転送レベルのセキュリティでは、クライアントによる資格の提供を可能にするプロトコルをプロキシ サービスが使用している場合にのみ、この条件が適用される。)
    1. [ユーザ引数名] フィールドに、アクセス権を与えるユーザを入力する。

      2. このフィールドに入力したユーザがまだ作成されていない場合は、アクセス制御ポリシーを作成した後にユーザを作成できる。「ユーザの追加」を参照してください。このユーザを作成しないと、誰にもアクセス権が与えられない。

    2. [追加] をクリックします。
    3. 必要に応じて手順 1 と 2 を繰り返してすべての引数を追加する。[削除] をクリックすると、リストからその引数を削除できる。
    4. 以下のいずれか 1 つを実行します。

      5. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    指定した曜日にアクセスが発生
    1. [曜日] フィールドに、曜日を入力する。
    2. [GMT オフセット] フィールドに、GMT より進んだ標準時を使用する場合はその時差を GMT+hh:mm の書式で、GMT より遅れた標準時を使用する場合は GMT-hh:mm の書式で入力する。たとえば、アメリカ東部標準時の場合は「GMT-5:00」と入力する。
    3. 以下のいずれか 1 つを実行します。

      4. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    指定した時間帯にアクセスが発生
    1. [開始時刻] フィールドに、許容される最も早い時刻を hh:mm:ss AM|PM の書式で入力する。たとえば、「12:45:00 AM」と入力する。
    2. [終了時刻] フィールドに、許容される最も遅い時刻を hh:mm:ss AM|PM の書式で入力する。たとえば、「12:45:00 AM」と入力する。
    3. [GMT オフセット] フィールドに、GMT より進んだ標準時を使用する場合はその時差を GMT+hh:mm の書式で、GMT より遅れた標準時を使用する場合は GMT-hh:mm の書式で入力する。たとえば、アメリカ東部標準時の場合は「GMT-5:00」と入力する。
    4. 以下のいずれか 1 つを実行します。

      5. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    次の日時より前にアクセスが発生次の日時より後にアクセスが発生
    1. [日付] フィールドに、日付を mm/dd/yy の書式で入力する。たとえば、1/1/04 と入力する。必要に応じて時刻を hh:mm:ss AM|PM の書式で入力することも可能。その場合は、「1/1/04 12:45:00 AM」のように入力する。
    2. [GMT オフセット] フィールドに、GMT より進んだ標準時を使用する場合はその時差を GMT+hh:mm の書式で、GMT より遅れた標準時を使用する場合は GMT-hh:mm の書式で入力する。たとえば、アメリカ東部標準時の場合は「GMT-5:00」と入力する。
    3. 以下のいずれか 1 つを実行します。

      4. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    指定した日にアクセスが発生指定した日より前にアクセスが発生指定した日より後にアクセスが発生
    1. [指定した日] フィールドに、現在の月内の日を -31 ~ 31 の値で入力する。負の値は月末から逆に数えることを意味し、-1 は月の最終日を表します。0 は、その月の初日の前日を表します。
    2. [GMT オフセット] フィールドに、GMT より進んだ標準時を使用する場合はその時差を GMT+hh:mm の書式で、GMT より遅れた標準時を使用する場合は GMT-hh:mm の書式で入力する。たとえば、アメリカ東部標準時の場合は「GMT-5:00」と入力する。
    3. 以下のいずれか 1 つを実行します。

      4. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    コンテキスト要素の値が文字列定数と等しい
    (転送レベルのセキュリティにのみ適用される。コンテキスト要素は、Web コンテナなどのコンテナがセキュリティ プロバイダに提示できる (省略可能) パラメータと値のペアである。コンテキスト要素は、メッセージレベルのアクセス制御ポリシーでは使用できない。)
    1. [コンテキスト要素名] フィールドで、評価する値のコンテキスト要素の名前を入力します。使用可能な値については、「セキュリティ プロバイダに渡されたコンテキスト プロパティ」を参照してください。
    2. [文字列値] フィールドに、比較対象となる文字列値を入力する。
    3. 以下のいずれか 1 つを実行します。

      4. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    コンテキスト要素の値が数値定数より大きいコンテキスト要素の値が数値定数と等しいコンテキスト要素の値が数値定数より小さい
    (転送レベルのセキュリティにのみ適用される。コンテキスト要素は、Web コンテナなどのコンテナがセキュリティ プロバイダに提示できる (省略可能) パラメータと値のペアである。コンテキスト要素は、メッセージレベルのアクセス制御ポリシーでは使用できない。)
    1. [コンテキスト要素名] フィールドで、評価する値のコンテキスト要素の名前を入力します。使用可能な値については、「セキュリティ プロバイダに渡されたコンテキスト プロパティ」を参照してください。
    2. [数値型の値] フィールドに、数値を入力する。
    3. 以下のいずれか 1 つを実行します。

      4. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    コンテキスト要素が定義されている
    (転送レベルのセキュリティにのみ適用される。コンテキスト要素は、Web コンテナなどのコンテナがセキュリティ プロバイダに提示できる (省略可能) パラメータと値のペアである。コンテキスト要素は、メッセージレベルのアクセス制御ポリシーでは使用できない。)
    1. [コンテキスト要素名] フィールドに、コンテキスト要素の名前を入力する。使用可能な値については、「セキュリティ プロバイダに渡されたコンテキスト プロパティ」を参照してください。
    2. 以下のいずれか 1 つを実行します。

      3. [完了] をクリックして、引数を保存し、述部リストに戻る。

      [戻る] をクリックして、変更を取り消し、述部リストに戻る。

      [取り消し] をクリックして、変更を取り消し、[ポリシーの詳細の表示] ページに戻る。

    全員に対してアクセスを拒否全員に対してアクセスを許可サーバが開発モードである
    [終了] をクリックします。
    または、[取り消し] をクリックして、変更を取り消し、ポリシーの詳細の表示ページに戻ることもできる。

  5. 必要に応じて手順 3 から 5 を繰り返して、各種ポリシー条件に基づき式を追加します。[ポリシー条件] セクションでは、表 22-13 に示す手順を実行して、式を変更できます。

    6. 表 22-13 ポリシー条件のオプション 
    作業内容
    手順
    選択した式の順序の変更
    条件に対応するチェックボックスを選択し、[上へ] または [下へ] をクリックする。
    ポリシー条件の結合と結合解除、および式の間にある and ステートメントと or ステートメントの切り替え
    該当する条件に対応するチェックボックスを選択し、[結合] または [結合解除] をクリックする。
    否定条件にする (たとえば、[NOT グループ Operators] にしてポリシーから Operators グループを除外する)
    条件に対応するチェックボックスを選択し、[否定] をクリックする。
    選択した式の削除
    条件に対応するチェックボックスを選択し、[削除] をクリックする。

関連トピック

『ロールおよびポリシーによる WebLogic リソースの保護』の「セキュリティ ポリシー条件」を参照してください


ページの先頭       前  次