サービスアカウント

サービスアカウントは、ユーザ名とパスワードを提示します。このユーザ名とパスワードは、プロキシサービスとビジネスサービスが発信認証を行うとき、またはプロキシサービスとビジネスサービスが FTP サーバや JMS サーバなどのローカルまたはリモートリソースを認証するときに使用します。たとえば、ビジネスサービスが Web サービスによる転送レベルの認証でユーザ名とパスワードを提示する必要がある場合、ユーザ名とパスワードを指定するサービスアカウントを作成してから、サービスアカウントの資格を発信要求に含めるようにビジネスサービスをコンフィグレーションします。

サービスアカウントに入力するユーザ名とパスワードは、発信認証や、ローカルまたはリモートリソースに資格情報を提示する際に使用されます。Oracle Service Bus Console の [セキュリティコンフィグレーション] モジュールに入力するユーザ名とパスワードは、着信認証および管理要求の認証に使用されます。「サービスアカウントの指定」を参照してください。

サービスアカウントの指定

同じサービスアカウントを複数のビジネスサービスおよびプロキシサービスに使用することができます。サービスアカウントが提示するユーザ名とパスワードを指定するには、以下のいずれかの方法を使用できます。

静的な方法

サービスアカウントのコンフィグレーションでユーザ名とパスワードを保存する必要があります。サービスアカウントはこのユーザ名とパスワードを発信要求でエンコードします。

ユーザ名とパスワードのパススルー

サービスアカウントが受信クライアント要求で受け取ったユーザ名とパスワードを提示します。たとえば、着信 HTTP 基本要求にユーザ名「pat」とパスワード「patspassword」が含まれていた場合、サービスアカウントは発信要求で「pat」および「patspassword」をエンコードします。

この方法では、クライアント要求にクリアテキストのユーザ名とパスワードが含まれている必要があるため、HTTP BASIC プロトコル、クリアテキストパスワードによる Web サービスセキュリティのユーザ名トークン認証、またはカスタムユーザ名とパスワードのトークンを使用するクライアント要求のみに使用できます。

この方法は、Oracle Service Bus とエンドポイントが同じ認証ドメインに属する場合にのみ使用することをお勧めします。たとえば、この方法は単一の組織内でメッセージをルーティングし、Oracle Service Bus とメッセージコンシューマの両方が共通の LDAP サーバに対して認証される場合に使用します。

この方法には、以下の制限が適用されます。

Oracle Service Bus FTP サーバまたは JMS サーバなどのローカルまたはリモートサーバ、またはシステムリソースに対して認証する発信要求には使用できない。
fn-bea:lookupBasicCredentials XQuery 関数と共に使用できない。詳細については、『Oracle Service Bus ユーザーズガイド』の「XQueryの実装」を参照してください。

注意 :

プロキシがアクティブな WSS 仲介である場合は、WS-Security を使用して、WS-Security ユーザ名トークンまたはカスタムのユーザ名/パスワードを暗号化できます。この場合、プロキシは最初に要求の暗号化を解除し、次にクリアテキストのユーザ名/パスワードにアクセスするため、ユーザ名/パスワードのパススルーが機能します。

ユーザマッピング

クライアントからの着信要求の認証結果であるユーザ名 (ローカルのユーザ名) を、指定するユーザ名およびパスワード (リモートのユーザ名およびパスワード) に関連付ける (マップする) 必要があります。サービスアカウントはマップされている認証クライアントからの要求を受け取ると、ビジネスサービス、またはプロキシサービスの発信要求に対して、適切なリモートユーザ名およびパスワードを提示します。

転送レベルおよびメッセージレベルの両方でクライアントが認証する場合、サービスアカウントはメッセージレベルのユーザ名をリモートのユーザ名およびパスワードにマップします。

匿名のユーザ名をリモートのユーザ名およびパスワードにマップすることもできます。

この方法には、以下の制限が適用されます。

Oracle Service Bus FTP サーバまたは JMS サーバなどのローカルまたはリモートサーバ、またはシステムリソースに対して認証する発信要求には使用できない。
fn-bea:lookupBasicCredentials XQuery 関数と共に使用できない。詳細については、『Oracle Service Bus ユーザーズガイド』の「XQueryの実装」を参照してください。

関連トピック

サービスアカウントデータとセッションの使用

サービスアカウントおよびそのデータはすべて Oracle Service Bus セッションに参加します。サービスアカウントを作成または変更するには、セッションに入っている必要があります。また、セッションを破棄すると、サービスアカウントおよびそのデータも破棄されます。セッションをアクティブ化すると、ドメインにコンフィグレーションされているユーザ名/パスワード資格マッピングプロバイダにユーザ名、パスワード、その他のサービスアカウントデータが保存されます。

サービスアカウントの検索

以下のいずれかの操作を行います。

[プロジェクトエクスプローラ] を選択して、[プロジェクトビュー] ページまたは [プロジェクトビュー] ページまたは [フォルダビュー] ページを表示します。次に、プロジェクトおよびフォルダに移動して、サービスアカウントを検索します。
[リソースブラウザ｜サービスアカウント] を選択します。[サービスアカウントの概要] に、表 14-1 に示す情報が表示されます。

サービスアカウントを検索するには、[名前] フィールドにアカウント名の一部、またはすべてを入力します。[パス] フィールドにアカウントプロジェクト名およびフォルダの一部、または全部を入力することもできます。[検索] をクリックします。

[すべて表示] をクリックして、検索フィルタを削除し、サービスアカウントをすべて表示します。

表 14-1 サービスアカウント情報
プロパティ	説明
サービスアカウント名	ユニークなサービスアカウント名。名前をクリックすると、サービスアカウントの詳細の表示ページが表示されます。「サービスアカウントの編集」を参照してください。
パス	プロジェクト名と、サービスアカウントが格納されているフォルダの名前。名前をクリックすると、このリソースを含むプロジェクト、またはフォルダが表示される。「プロジェクトとフォルダを使用したリソース名の修飾」を参照してください。
オプション	[削除] アイコンが含まれています。ビジネスサービスまたはプロキシサービスでサービスアカウントが使用されるようにコンフィグレーションされている場合は、削除の警告アイコンが表示され、サービスアカウントの削除が警告により確認されます。これはサービスから削除されたサービスアカウントへの参照が未解決になることにより競合が発生するためです。「サービスアカウントの削除」を参照してください。

サービスアカウントの追加

セッションの作成または編集をまだ行っていない場合は、[作成] をクリックして新しいセッションを作成するか、[編集] をクリックして既存のセッションに入ります。「Change Center の使用」を参照してください。
[プロジェクトエクスプローラ] を選択して、サービスアカウントを追加するプロジェクトまたはフォルダを選択します。[プロジェクトビュー] ページまたは [フォルダビュー] ページが表示されます。
[リソースの作成] ドロップダウンリストから [サービスアカウント] を選択して、[新しいサービスアカウントの作成] ページを表示します。
[リソース名] フィールドにこのサービスアカウントのユニークな名前を入力します。
[リソースの説明] フィールドにサービスアカウントの説明を入力します。
[リソースの種類] で、以下のいずれかの操作を行います。

受信クライアント要求で受け取ったユーザ名およびパスワードを提供するサービスアカウントを作成するには、[パススルー] を選択します。
サービスアカウントのコンフィグレーションで保存するユーザ名およびパスワードを提供するサービスアカウントを作成するには、[静的] を選択します。
1 つまたは複数の認証されたクライアントから、指定するユーザ名およびパスワードにユーザ名をマップするサービスアカウントを作成するには、[マッピング] を選択します。

手順 6 で選択したリソースの種類に応じて、表 14-2 に示すいずれかの手順を実行します。

表 14-2 リソースの種類のオプション
選択したリソースタイプ	手順
パススルー	[最後] をクリックする。
静的な方法	[次へ] をクリックします。 [ユーザ名]、[パスワード] および [パスワードの確認] フィールドにユーザ名およびパスワードを入力する。 [最後] をクリックする。
マッピング	1 つ以上のクライアントから指定するユーザ名およびパスワードにユーザ名をマップするサービスアカウントを作成するには、以下の手順を実行します。 [次へ] をクリックします。認可リモートユーザの入力テーブルで、以下の操作を行う。 [リモートユーザ名]、[パスワード] および [パスワードの確認] フィールドに、発信要求で送信するユーザ名とパスワードを入力する。 [追加] をクリックします。ユーザマッピングが Remote Users テーブルに追加される。 (省略可能) 認可リモートユーザの入力テーブルで、他のリモートユーザを追加する。 [次へ] をクリックします。「認証された」クライアントをリモートのユーザ名およびパスワードにマップするには、認可ローカルユーザの入力テーブルで以下の操作を行う。 [ローカルユーザ名] フィールドに、着信要求で認証されたクライアントを識別する名前を入力する。このユーザを Oracle Service Bus Console の [セキュリティコンフィグレーション] モジュールに追加していない場合は、このマッピングを実行時環境で使用する前にユーザを追加する。「ユーザの追加」を参照してください。Oracle Service Bus では、存在しないローカルユーザのマッピングを作成することができるが、このマッピングは認証されたユーザに一致しないため使用されない。 [リモートユーザ名] リストから、[ローカルユーザ名] フィールドで指定した認証ユーザに関する発信要求で送信するユーザ名を選択する。 [追加] をクリックします。匿名のクライアントをリモートのユーザ名にマップするには、以下の操作を実行する。 [匿名要求のマッピング] チェックボックスを選択する。 [リモートユーザの選択] リストから、すべての匿名ユーザに関する発信要求で送信するユーザ名を選択する。 [最後] をクリックする。

[保存] をクリックします。サービスアカウントは現在のセッションで作成および保存されます。
セッションを終了してコンフィグレーションをランタイムにデプロイするには、[Change Center] の [アクティブ化] をクリックします。

サービスアカウントの編集

セッションの作成または編集をまだ行っていない場合は、[作成] をクリックして新しいセッションを作成するか、[編集] をクリックして既存のセッションに入ります。「Change Center の使用」を参照してください。
「サービスアカウントの検索」の説明に従って、サービスアカウントを検索します。
サービスアカウント名をクリックします。サービスアカウントの詳細の表示ページに、表 14-3 に示す情報が表示されます。

表 14-3 サービスアカウントの詳細
プロパティ	説明
最終変更者	このサービスアカウントを作成したか、コンフィグレーションにインポートしたユーザ。
最終変更日	ユーザがこのサービスアカウントを作成したか、コンフィグレーションにインポートした日時。このリソースの変更履歴を表示するには、日時のリンクをクリックします。「[変更履歴の表示] ページ」を参照してください。
参照先	このサービスアカウントが参照するオブジェクトの数。該当する参照がある場合は、数字のリンクをクリックするとオブジェクトのリストが表示される。「リソースへの参照の表示」を参照してください。
参照元	このサービスアカウントを参照するオブジェクトの数。該当する参照がある場合は、数字のリンクをクリックするとオブジェクトのリストが表示される。たとえば、JMS 転送プロトコルを使用するプロキシサービスの JMS サービスアカウントとしてこのサービスアカウントを選択した場合にこのリンクをクリックすると、そのプロキシサービスが参照としてリストに表示される。「リソースへの参照の表示」を参照してください。
説明	このサービスアカウントの説明 (説明が存在する場合)。

[編集] をクリックして、フィールドを変更します。各フィールドの説明については、「サービスアカウントの追加」を参照してください。

[リソース名] フィールドは変更できません。

[保存] をクリックして、現在のセッションで更新をコミットします。
セッションを終了してコンフィグレーションをランタイムにデプロイするには、[Change Center] の [アクティブ化] をクリックします。

Oracle Service Bus Console の使い方

サービス アカウント