セキュリティ ロール

セキュリティ ロールは、特定の条件に基づいてユーザまたはグループに付与される特権です。グループと同様、セキュリティ ロールを使用すると、複数のユーザによる WebLogic リソースへのアクセスを一度に制限できます。ただし、セキュリティ ロールには以下のような特長があります。

• ユーザ名、グループ メンバーシップ、または時刻などの条件に基づいて動的に計算されてユーザまたはグループに付与される。

• (常に WebLogic Server ドメイン全体を対象とするグループとは異なり) WebLogic Server ドメインの単一のアプリケーションに属する特定の WebLogic リソースを対象にできる。

セキュリティ ロールをユーザまたはグループに付与すると、そのセキュリティ ロールを付与されている限り、そのユーザまたはグループには定義されたアクセス特権が与えられます。たとえば、管理者が AppAdmin というセキュリティ ロールを定義するとします。このロールは、ある Web アプリケーションのリソースに対する書き込みアクセス権を持っています。 この場合、AppAdmin セキュリティ ロールを付与されたすべてのユーザまたはグループは、そのリソースに対して書き込みアクセス権を持つことになります。複数のユーザまたはグループに単一のセキュリティ ロールを付与することができます(ユーザとグループの詳細については、ユーザとグループを参照)。

注意: WebLogic Server 6.x では、セキュリティ ロールは Web アプリケーションと エンタープライズ JavaBean (EJB) だけに適用されました。このバージョンの WebLogic Server では、セキュリティ ロールは、定義されているすべての WebLogic リソースに対して適用されます。 詳細については、WebLogic リソースのタイプを参照してください。

以下の節では、セキュリティ ロールについて詳しく説明します。

• 動的ロール マッピング

• セキュリティ ロールのタイプ : グローバル ロールとスコープ ロール

• デフォルト グローバル ロール

• デフォルト グループの関連付け

• セキュリティ ロールの構成要素 : ロール条件、式、およびロール文

• グローバル ロールの操作

• スコープ ロールの操作

 

---

動的ロール マッピング

実行時に、WebLogic Security サービスはロール条件とユーザまたはグループを比較して、そのユーザまたはグループにセキュリティ ロールを動的に付与するかどうかを決定します。このプロセスをロール マッピングと言います。ロール マッピングは、WebLogic Security サービスが保護対象の WebLogic リソースに対するアクセス決定を下す直前に発生します。

注意: ロール条件とアクセス決定の詳細については、セキュリティ ロールの構成要素 : ロール条件、式、およびロール文および『WebLogic Security サービスの開発』の「アクセス決定」を参照してください。

セキュリティ ロールの動的マッピングには、ビジネス ルールまたはリクエストのコンテキストに基づいてユーザまたはグループにセキュリティ ロールを付与できるという、非常に重要な利点があります。たとえば、本来の管理者が不在の間だけユーザに Manager セキュリティ ロールを割り当てるといったことができます。このセキュリティ ロールを動的に付与することで、そうした一時的な措置のためにアプリケーションを変更したり再デプロイしたりする必要はなくなります。一時的に管理者となるユーザに特権を割り当てる期間を指定するだけでかまいません。さらに、本当の管理者が戻ってきたときに、特別に付与した一時的な特権を忘れずに取り消す必要もありません。なお、ユーザを一時的に管理者グループに追加した場合には、その必要があります。

 

---

セキュリティ ロールのタイプ : グローバル ロールとスコープ ロール

WebLogic Server には、グローバル ロールとスコープ ロールの 2 種類のセキュリティ ロールがあります。セキュリティ レルム内にデプロイされるすべての WebLogic リソース (つまり WebLogic Server ドメイン全体) に適用されるセキュリティ ロールは、グローバル ロールと呼ばれます。セキュリティ レルム内にデプロイされる WebLogic リソースの特定のインスタンス (EJB のメソッドや JNDI ツリーのブランチなど) に適用されるセキュリティ ロールは、スコープ ロールと呼ばれます。WebLogic リソースのセキュリティ ポリシーを作成するために複数のロール (グローバルまたはスコープ) を使用できます。詳細については、セキュリティ ポリシーを参照してください。

WebLogic リソースを保護するために (ユーザまたはグループよりも) セキュリティ ロールを作成して使用することを強くお勧めしますが、必ずしも特定のタイプのセキュリティ ロールを使用する必要はありません。WebLogic リソースを保護するためにそのまま使用できる複数のデフォルト グローバル ロールが用意されています (デフォルト グローバル ロールを参照)。これらを必要としない場合、スコープ ロールを使用する必要ありません。スコープ ロールは柔軟性を高めるためのもので、高度なユーザ向けの特別な機能です。

Administration Console でのセキュリティ ロールの作成方法

セキュリティ ロールを作成するための WebLogic Server Administration Console の使い方は、グローバル ロールとセキュリティ ロールのどちらを作成するかによって異なります。

グローバル ロールはセキュリティ レルム内のすべての WebLogic リソースに適用されるため、セキュリティ レルム レベルで作成します。 Administration Console を使用して、[セキュリティ｜レルム] に続いて myrealm (または作成したセキュリティ レルムの名前) を展開します。次に、[ロール] をクリックしてグローバル ロールの作成ページを表示します。このナビゲーション パスを図 4-1 の左側に、表示されるページを右側に示します。

図4-1 グローバル ロールの作成

 

スコープ ロールはセキュリティ レルム内の特定の WebLogic リソースだけに適用されるため、WebLogic リソース レベルで作成します。 スコープ ロールを作成可能なデプロイ済みコンポーネント (Web アプリケーションや EJB など) の場合、Administration Console のナビゲーション ツリーでそのコンポーネントを右クリックすると、[ロールを定義] オプションが表示されます。次に、[ロールを定義...] をクリックしてスコープ ロールの作成ページを表示します。このナビゲーション パス (basic-ejbapp を WebLogic リソースとして使用) を図 4-2 の左側に、表示されるページを右側に示します。

図4-2 スコープ ロールの作成

 

 

---

デフォルト グローバル ロール

WebLogic Server では、表 4-1 に示すグローバル ロールがデフォルトで定義されています。この表では、これらのセキュリティ ロールのユーザまたはグループに付与される特権についても説明します。

注意: デフォルト グローバル ロールは、ほとんどのタイプの WebLogic リソースを保護するデフォルト セキュリティ ポリシーで使用されます。 また、デフォルト グローバル ロールを使用すると、MBean として公開されるサーバ リソースのセキュリティを強化できます。 詳細については、セキュリティ ポリシー,および『管理者ガイド』の「システム管理操作の保護」を参照してください。

表4-1 デフォルト グローバル ロールと特権

グローバル ロール	特権
Anonymous	すべてのユーザ (everyone グループ) にこのグローバル ロールが付与される。 注意: このグローバル ロールは利便性のために用意されており、weblogic.xml および weblogic-ejb-jar.xml デプロイメント記述子で指定できる。
Admin	サーバ コンフィグレーション (暗号化された属性の暗号化された値を含む) を表示する。 サーバ コンフィグレーション全体を変更する。 エンタープライズ アプリケーションをデプロイし、クラス、Web アプリケーション、EJB、J2EE コネクタ、および Web サービス コンポーネントを起動/停止する。 必要に応じて、デプロイメント記述子を編集する。 デフォルトでは、サーバを起動、再開、および停止する。
Deployer	サーバ コンフィグレーション (暗号化された属性は除く) を表示する。 エンタープライズ アプリケーションをデプロイし、クラス、Web アプリケーション、EJB、J2EE コネクタ、および Web サービス コンポーネントを起動/停止する。 必要に応じて、デプロイメント記述子を編集する。
Operator	サーバ コンフィグレーション (暗号化された属性は除く) を表示する。 デフォルトでは、サーバを起動、再開、および停止する。
Monitor	サーバ コンフィグレーション (暗号化された属性は除く) を表示する。 注意: このセキュリティ ロールは実際には、Administration Console、weblogic.Admin ユーティリティ、および MBean API に対する読み取り専用アクセスを提供する。

 

注意: WebLogic Server MBean を直接操作するために、グローバル ロールおよび特権について表 4-1 よりも詳しい情報が必要な場合は、保護されている MBean の属性および操作を参照してください。

グローバル ロールの作成およびスコープ ロールの作成で説明するように、独自のセキュリティ ロール (グローバルまたはスコープ) を作成して、デフォルト グローバル ロールに追加することができます。

保護されている MBean の属性および操作

表 4-2 に、Admin デフォルト グローバル ロールを付与されたユーザまたはグループがさまざまな WebLogic Server MBean に関して与えられる一定の特権を示します。 つまり、Admin デフォルト グローバル ロールを付与されたユーザまたはグループは、表 4-2 に示した MBean 属性にアクセスするパーミッションを持ちます。

注意: Admin デフォルト グローバル ロールを付与されたユーザまたはグループには、表 4-3 と 表 4-5 に示された特権も与えられます。

表4-2 Admin デフォルト グローバル ロールの MBean 特権

MBean	属性
BridgeDestinationCommonMBean	UserPassword
BridgeDestinationMBean	UserPassword
JDBCConnectionPoolMBean	Password、XAPassword
JDBCDataSourceFactoryMBean	Password
JMSBridgeDestinationMBean	UserPassword
NetworkChannelMBean	DefaultIIOPPassword
NodeManagerMBean	CertificatePassword
SecurityConfigurationMBean	Credential、EncryptedSecretKey、Salt
SecurityMBean	Salt、EncryptedSecretKey
ServerMBean	SystemPassword、DefaultIIOPPassword、DefaultTGIOPPassword、CustomIdentityKeyStorePassPhrase、CustomTrustKeyStorePassPhrase、JavaStandardTrustKeyStorePassPhrase
ServerStartMBean	Password
SSLMBean	ServerPrivateKeyPassPhrase
WLECConnectionPoolMBean	UserPassword、ApplicationPassword

 

注意: 表 4-2 に示されている MBean は、すべて weblogic.management.configuration パッケージに入っています。 WebLogic Server をコンフィグレーションするための MBean の詳細については、『管理者ガイド』の「システム管理のインフラストラクチャ」を参照してください。

表 4-3 に、Admin または Deployer デフォルト グローバル ロールを付与されたユーザまたはグループがさまざまな WebLogic Server MBean に関して与えられる一定の特権を示します。 つまり、Admin または Deployer デフォルト グローバル ロールを付与されたユーザまたはグループは、表 4-3 に示した MBean 操作にアクセスするパーミッションを持ちます。

表4-3 Admin または Deployer デフォルト グローバル ロールの特権

MBean	操作
Application、ApplicationConfig	すべて
ConnectorComponent、ConnectorComponentConfig	すべて
DeployerRuntime、DeploymentTaskRuntime	すべて
EJBComponent、EJBComponentConfig	すべて
WebAppComponent、WebAppComponentConfig	すべて
WebServiceComponent、WebServiceComponentConfig	すべて
WebServer、WebServerConfig	すべて
JDBCConnectionPool、JDBCConnectionPoolConfig	すべて
JDBCDataSourceFactory、JDBCDataSourceFactoryConfig	すべて
JDBCMultiPool、JDBCMultipoolConfig	すべて
JDBCDataSource、JDBCDataSourceConfig	すべて
JDBCTxDataSource、JDBCTxDataSourceConfig	すべて
JDBCPoolComponent、JDBCPoolComponentConfig	すべて
JMSBridgeDestination、JMSBridgeDestinationConfig	すべて
JMSConnectionConsumer、JMSConnectionConsumerConfig	すべて
JMSConnectionFactory、JMSConnectionFactoryConfig	すべて
JMSDestination、JMSDestinationConfig	すべて
JMSDistributedDestination、JMSDistributedDestinationConfig	すべて
JMSDistributedDestinationMember、JMSDistributedDestinationMemberConfig	すべて
JMSDistributedTopic、JMSDistributedTopicConfig	すべて
JMSDistributedTopicMember、JMSDistributedTopicMemberConfig	すべて
JMSDistributedQueue、JMSDistributedQueueConfig	すべて
JMSDistributedQueueMember、JMSDistributedQueueMemberConfig	すべて
JMSFileStore、JMSFileStoreConfig	すべて
JMSDestinationKey、JMSDestinationKeyConfig	すべて
JMSServer、JMSServerConfig	すべて
JMSStore、JMSStoreConfig	すべて
JMSSessionPool、JMSSessionPoolConfig	すべて
JMSTemplate、JMSTemplateConfig	すべて
JMSQueue、JMSQueueConfig	すべて
JMSTopic、JMSTopicConfig	すべて
JMSJDBCStore、JMSJDBCStoreConfig	すべて
WTCServer、WTCServerConfig	すべて
WTCBridgeGlobal、WTCBridgeGlobalConfig	すべて
WTCResources、WTCResourcesConfig	すべて
WTCExport、WTCExportConfig	すべて
WTCImport、WTCImportConfig	すべて
WTCLocalTuxDom、WTCLocalTuxDomConfig	すべて
WTCRemoteTuxDom、WTCRemoteTuxDomConfig	すべて
WTCPassword、WTCPasswordConfig	すべて
WTCtBridgeGlobal、WTCtBridgeGlobalConfig	すべて
WTCtBridgeRedirect、WTCtBridgeRedirectConfig	すべて
EJBDescriptor、ConnectorDescriptor、WebDescriptor	すべて
Server	addDeployment、lookupServerLifeCycleRuntime、lookupServerRuntime、removeDeployment、sendNotification
ServerConfig	addDeployment、lookupServerLifeCycleRuntime、removeDeployment、sendNotification

 

表 4-4 に、Admin または Monitor デフォルト グローバル ロールを付与されたユーザまたはグループがさまざまな WebLogic Server MBean に関して与えられる一定の特権を示します。 つまり、Admin または Monitor デフォルト グローバル ロールを付与されたユーザまたはグループは、表 4-4 に示した MBean 操作にアクセスするパーミッションを持ちます。

表4-4 Admin または Monitor デフォルト グローバル ロールの特権

MBean	操作
Machine	lookupNodeManagerRuntime
NodeManagerRuntime	getStateForAll、register
Server	lookupServerLifeCycleRuntime、lookupServerRuntime

 

表 4-5 に、Admin または Operator デフォルト グローバル ロールを付与されたユーザまたはグループがさまざまな WebLogic Server MBean に関して与えられる一定の特権を示します。 つまり、Admin または Operator デフォルト グローバル ロールを付与されたユーザまたはグループは、表 4-5 に示した MBean 操作にアクセスするパーミッションを持ちます。

表4-5 Admin または Operator デフォルト グローバル ロールの特権

MBean	操作
ServerLifeCycleRuntime	すべて
ServerLifeCycleTaskRuntime	すべて
ServerStart	すべて
Server	ExpectedToRun、lookupServerLifeCycleRuntime、lookupServerRuntime、sendNotification、start、suspend
ServerConfig	ExpectedToRun、lookupServerLifeCycleRuntime、sendNotification
ServerRuntime	forceShutdown、resume、shutdown、start、stop

 

 

---

デフォルト グループの関連付け

デフォルトでは、WebLogic Server は 4 つのデフォルト グループに 4 つのグローバル ロールを付与します。これらのグループのいずれかにユーザを追加すると、そのユーザにはグローバル ロールが自動的に付与されます。 このデフォルト グループの関連付けを表 4-6 に示します。

表4-6 デフォルト グループの関連付け

グループ	関連付けられるグローバル ロール
Administrators	Admin
Deployers	Deployer
Operators	Operator
Monitors	Monitors

 

 

---

セキュリティ ロールの構成要素 : ロール条件、式、およびロール文

ロール条件は、セキュリティ ロール (グローバルまたはスコープ) をユーザまたはグループに付与する条件です。このリリースの WebLogic Server で使用できるロール条件は以下のとおりです。

• [呼び出し側のユーザ名は] − ユーザ名に基づいてセキュリティ ロールの条件を作成します。たとえば、ユーザ John だけが BankTeller セキュリティ ロールを付与されるという条件を作成できます。

• [呼び出し側をメンバとするグループは] − グループに基づいてセキュリティ ロールの条件を作成します。たとえば、グループ FullTimeBankEmployees に属するユーザだけが BankTeller セキュリティ ロールを付与されるという条件を作成できます。セキュリティ管理がより効率的になるため、このロール条件をお勧めします。

• [アクセス可能な時間帯は] − 指定した時間に基づいてセキュリティ ロールの条件を作成します。たとえば、銀行の営業時間中にだけ BankTeller セキュリティ ロールをユーザに付与するという条件を作成できます。

  [アクセス可能な時間帯は] ロール条件を使用する場合、他のロール条件を追加してユーザをさらに制限しないかぎり、セキュリティ ロールは指定した時間中にすべてのユーザに付与されます。

これらのロール条件に対して特定の情報 (実際のユーザ名、グループ、開始/終了時間など) を指定したものは式と呼ばれます。 WebLogic Server Administration Console に表示される式の例を図 4-3 に示します。

図4-3 式の例

 

この式の例では、1 行目がロール条件、2 行目が条件に対して指定した特定の情報 (この場合は、FullTimeBankEmployees というグループ) です。

ロール文は、セキュリティ ロールが付与される条件を定義した式の集合です。したがって、作成するセキュリティ ロールの主要部分となります。複数の式を使用できるため、企業のセキュリティ要件に合わせて複雑なセキュリティ ロールを作成できます。式の間の and と or の使い方、および式の順序も重要な機能です。

• and は、セキュリティ ロールが付与されるにはすべての式が true でなければならないことを指定するために使用します。

• or は、セキュリティ ロールが付与されるには少なくとも 1 つの式が true でなければならないことを指定するために使用します。

注意: ユーザまたはグループにセキュリティ ロールが付与されるには、ロール文全体が true でなければなりません。ロール文の中では、制約が厳しい式ほど後に指定します。WebLogic Server では、ロール文中の式は左から右に評価されます。

Administration Console に表示されるロール文の例を図 4-4 に示します。

図4-4 ロール文の例

 

このロール文の例には 2 つの式があります。1 行目と 2 行目は [呼び出し側をメンバとするグループは] ロール条件に基づく式、3 行目と 4 行目は [アクセス可能な時間帯は] ロール条件に基づく別の式です。

 

---

グローバル ロールの操作

以下の節では、グローバル ロールの操作手順を説明します。

• グローバル ロールの作成

• グローバル ロールの変更

• グローバル ロールの削除

注意: この節では、グローバル ロールを作成、変更、および削除する方法を説明します。 スコープ ロールは常に WebLogic リソースを対象としているので、スコープ ロールを作成、変更、および削除する手順はスコープ ロールの操作で説明されています。

グローバル ロールの作成

注意: セキュリティ ロールを作成する前にAdministration Console でのセキュリティ ロールの作成方法を見直しておくことをお勧めします。 サーバ リソースを保護するためのグローバル ロールを作成する場合は、「システム管理操作の保護」の「一貫性のあるセキュリティ方式の維持」で説明されているアドバイスに従ってください。

新しいグローバル ロールを作成するには、次の手順に従います。

1. WebLogic Server Administration Console の左ペインで、[セキュリティ｜レルム] を展開します。

2. グローバル ロールを作成するセキュリティ レルム (たとえば myrealm) を展開します。

3. [ロール] をクリックして [ロールの選択] ページを表示します。

   グローバル ロールが定義されている場合は、定義済みグローバル ロールのテーブルが右ペインに表示されます。

4. [新しい Role のコンフィグレーション] をクリックします。

   注意: 複数の WebLogic ロール マッピング プロバイダがセキュリティ レルムでコンフィグレーションされている場合、新しいグローバル ロールの情報をどの WebLogic ロール マッピング プロバイダのデータベースに格納するかを選択する必要があります。

5. [一般] タブで、グローバル ロールの名前を [名前] フィールドに入力します。

   注意: スペース、カンマ、ハイフン、¥t、< >、#、|、&、、?、( )、{ } を使用しないでください。セキュリティ ロール名では大文字/小文字を区別します。 BEA の命名規約では、セキュリティ ロール名は単数形で、先頭の文字は大文字です。

   セキュリティ ロール名の適切な構文は、Extensible Markup Language (XML) 勧告で Nmtoken に関して定義されているとおりです。

6. [適用] をクリックして変更を保存します。

7. [条件] タブをクリックして、ロール エディタ ページを表示します (図 4-5 参照)。

   図4-5 ロール エディタ ページ

   
    

8. [ロール条件] リスト ボックスで、いずれかの条件をクリックします。 さまざまなロール条件の詳細については、セキュリティ ロールの構成要素 : ロール条件、式、およびロール文を参照してください。

   注意: [呼び出し側をメンバとするグループは] 条件を使用して式を作成することをお勧めします。グループを使用してセキュリティ ロールを作成すると、セキュリティ ロールはそのグループのすべてのメンバー (つまり複数のユーザ) に付与されます。

9. [追加] をクリックしてカスタマイズ ウィンドウを表示します。

10. [アクセス可能な時間帯は] 条件を選択した場合は、[時間制約] ウィンドウを使用して開始時刻と終了時刻を選択し、[OK] ボタンをクリックします。ウィンドウが閉じて、[ロール文] リスト ボックスに式が表示されます。

    他の条件のいずれかを選択した場合は、次の手順に従います。

    1. [ユーザ] または [グループ] ウィンドウを使用してユーザまたはグループの名前を入力し、[追加] をクリックします。 リスト ボックスに式が表示されます。

       注意: 複数のユーザまたはグループを追加するには、この手順を複数回繰り返します。

    2. 必要に応じて、リスト ボックスの右側にあるボタンを使用して式を変更します。

       [上へ移動] および [下へ移動] をクリックすると、強調表示されたユーザ名またはグループ名の順序が変更されます。 [変更] をクリックすると、式の間にある強調表示された and 文と or 文が切り替わります。 [削除] をクリックすると、強調表示されたユーザ名またはグループ名が削除されます。

    3. [OK] をクリックして、ロール文に式を追加します。ウィンドウが閉じて、[ロール文] リスト ボックスに式が表示されます。

11. 必要な場合は、手順 8 から 10 を繰り返して、別のロール条件に基づいて式を追加します。

12. 必要に応じて、[ロール文] リスト ボックスの右側にあるボタンを使用して式を変更します。

    • [上へ移動] および [下へ移動] をクリックすると、強調表示された式の順序が変更されます。

    • [変更] をクリックすると、式の間にある強調表示された and 文と or 文が切り替わります。

    • [編集] をクリックすると、強調表示された式のカスタマイズ ウィンドウが再び開き、式を変更できます。

    • [削除] をクリックすると、選択した式が削除されます。

13. [ロール文] リスト ボックスのすべての式が正しい場合は、[適用] をクリックします。

    注意: [リセット] をクリックして、ロール エディタ ページを最初にロードしたときの状態に戻す (つまり、変更をすべて元に戻す) こともできます。

グローバル ロールの変更

グローバル ロールを変更する手順は、新しいグローバル ロールの作成手順とほとんど同じです。次の手順に従います。

1. WebLogic Server Administration Console の左ペインで、[セキュリティ｜レルム] を展開します。

2. グローバル ロールを変更するセキュリティ レルム (たとえば myrealm) を展開します。

3. [ロール] をクリックします。

   定義済みグローバル ロールのテーブルが右ペインに表示されます。

4. 変更するグローバル ロールをテーブルから選択します。

5. [条件] タブを選択して、ロール エディタ ページを表示します。

6. グローバル ロールの作成 の手順 8 から 12 を参考にして、変更を加えます。

7. [適用] をクリックして変更を保存します。

グローバル ロールの削除

グローバル ロールを削除するには、次の手順に従います。

1. WebLogic Server Administration Console の左ペインで、[セキュリティ｜レルム] を展開します。

2. グローバル ロールを削除するセキュリティ レルム (たとえば myrealm) を展開します。

3. [ロール] をクリックします。

   定義済みグローバル ロールのテーブルが右ペインに表示されます。

4. 削除するグローバル ロールと同じ行にあるごみ箱アイコンをクリックします。

5. [はい] をクリックして削除を確認します。

6. [続行] をクリックします。

   [ロールを選択] ページのテーブルには該当するグローバル ロールが表示されなくなります。

 

---

スコープ ロールの操作

以下の節では、さまざまなタイプの WebLogic リソースに対するスコープ ロールの操作手順を説明します。

• スコープ ロールの作成

• スコープ ロールの変更

• スコープ ロールの削除

スコープ ロールの作成

WebLogic リソースのスコープ ロールを作成するには、次の手順に従います。

• 手順 1 : WebLogic リソースを選択する

• 手順 2 : スコープ ロールを作成する

• 手順 3 : ロール条件を作成する

注意: スコープ ロールの操作手順は、WebLogic リソースごとに若干異なります。 この手順で示した WebLogic リソースのタイプごとの違いに注意して、適切な手順に従ってください。 詳細については、WebLogic リソースのタイプを参照してください。

手順 1 : WebLogic リソースを選択する

該当する節の手順に従って WebLogic リソースのタイプを選択します。

• 管理リソース

• アプリケーション リソース

• COM リソース

• EIS リソース

• EJB リソース

• JDBC リソース

• JMS リソース

• JNDI リソース

• サーバ リソース

• URL リソース

管理リソース

WebLogic Server Administration Console の左ペインで、WebLogic Server ドメインの名前 (たとえば examples) を右クリックし、[ロールを定義] を選択して、[ロールの選択] ページを表示します。

スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

アプリケーション リソース

1. WebLogic Server Administration Console の左ペインで、[デプロイメント｜アプリケーション] を展開します。

   注意: 必要に応じて、スコープ ロールを作成するエンタープライズ アプリケーション (EAR) を展開して、別のタイプの WebLogic リソースを表示します。

2. エンタープライズ アプリケーション (EAR) の名前を右クリックし、[ロールを定義] を選択して、[ロールの選択] ページを表示します。

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

COM リソース

EJB クラス (ejb20.basic.beanManaged.* など) のパッケージに COM クライアントからアクセスする場合は、次の手順に従ってスコープ ロールを作成します。

1. WebLogic Server Administration Console の左ペインで、[デプロイメント｜EJB] を展開します。

   [EJB] ノードを展開すると、デプロイ済みの EJB JAR が表示されます。

2. パッケージにアクセスするための EJB を格納している EJB JAR の名前を右クリックし、[個別の Bean のポリシーとロールを定義] を選択して、EJB のリストを表示します。

3. パッケージにアクセスするための EJB と同じ行の [JCOM ロールの定義] リンクをクリックします。

   [一般] タブの [COM クラス] フィールドには、スコープ ロールの対象とするパッケージの名前が表示されます。

   注意: [COM クラス] フィールドの値は、jCOM ブリッジを介して COM に公開される Java クラスまたはパッケージの名前です。

4. [ロールを定義] ボタンをクリックして、[ロールの選択] ページを表示します。

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

Java クラス (java.util.* など) のパッケージまたは個々のクラス (java.util.Collection など) に COM クライアントからアクセスする場合は、次の手順に従ってスコープ ロールを作成します。

1. WebLogic Server Administration Console の左ペインで、[サービス] を展開します。

2. [JCOM] ノードを右クリックして、[ロールを定義] を選択します。

3. [一般] タブの [COM クラス] フィールドに、スコープ ロールの対象とする Java クラスまたはパッケージの名前を入力します。

   注意: [COM クラス] フィールドに入力する値は、jCOM ブリッジを介して COM に公開される Java クラスまたはパッケージの名前です。

4. [ロールを定義] ボタンをクリックして、[ロールの選択] ページを表示します。

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

EIS リソース

1. WebLogic Server Administration Console の左ペインで、[デプロイメント] を展開します。

   [デプロイメント] ノードを展開すると、デプロイ可能な WebLogic リソースのタイプが表示されます。

2. スコープ ロールの対象とする EIS リソースのレベルで右クリックし、[ロールを定義] を選択して、[ロールの選択] ページを表示します。

   すべてのコネクタを対象とするスコープ ロールを作成するには、[コネクタ] を右クリックします。 特定のコネクタを対象とするスコープ ロールを作成するには、[コネクタ] を展開してからコネクタの名前を右クリックします。図 4-6 では、例として basic-connector を使用して、クリックする位置を示します。

   図4-6 Administration Console ナビゲーション ツリーのデプロイメント部分

   
    

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

EJB リソース

注意: ここで説明する手順は、メッセージ駆動型 Bean (MDB) にも当てはまります。

1. WebLogic Server Administration Console の左ペインで、[デプロイメント] を展開します。

   [デプロイメント] ノードを展開すると、デプロイ可能な WebLogic リソースのタイプが表示されます。

2. 作成するスコープ ロールの対象となる EJB リソースのレベルで右クリックします。

   すべての EJB JAR を対象とするスコープ ロールを作成するには、[EJB] を右クリックします。 特定の EJB JAR、または JAR 内の EJB を対象とするスコープ ロールを作成するには、[EJB] を展開してから EJB JAR の名前を右クリックします。図 4-7 では、例として basic-ejbapp JAR を使用して、クリックする位置を示します。

   図4-7 Administration Console ナビゲーション ツリーのデプロイメント部分

   
    

3. すべての EJB JAR または特定の EJB JAR (つまり、JAR 内のすべての EJB) を対象とするスコープ ロールを作成する場合は、[ロールを定義] を選択して [ロールの選択] ページを表示します。

   EJB JAR 内の特定の EJB を対象とするスコープ ロールを作成する場合は、次の手順に従います。

   1. [個別の Bean のポリシーとロールを定義] を選択して、EJB のリストを表示します。

   2. 作成するスコープ ロールの対象となる EJB と同じ行の [ロールを定義] リンクをクリックします。

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

JDBC リソース

1. WebLogic Server Administration Console の左ペインで、[サービス｜JDBC] を展開します。

   [JDBC] を展開すると、さまざまな JDBC コンポーネント (接続プール、マルチプール、およびデータ ソース) に対応するノードが表示されます。

2. スコープ ロールの対象とする JDBC リソースのレベルで右クリックし、[ロールを定義] を選択して、[ロールの選択] ページを表示します。

   すべての接続プールを対象とするスコープ ロールを作成するには、[接続プール] を右クリックします。 特定の接続プールを対象とするスコープ ロールを作成するには、[接続プール] を展開してから接続プールの名前を右クリックします。 個々のマルチプールを対象とするスコープ ロールを作成するには、[マルチプール] を展開してからマルチプールの名前を右クリックします。

   注意: すべてのマルチプールを対象とするスコープ ロールを作成することはできません。

   図 4-8 では、例として接続プールとマルチプールを使用して、クリックする位置を示します。

   図4-8 Administration Console ナビゲーション ツリーのサービス部分

   
    

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

JMS リソース

1. WebLogic Server Administration Console の左ペインで、[サービス｜JMS] を展開します。

   [JMS] を展開すると、さまざまな JMS コンポーネント (接続ファクトリ、テンプレート、送り先キーなど) に対応するノードが表示されます。

2. スコープ ロールの対象とする JMS リソースのレベルで右クリックし、[ロールを定義] を選択して、[ロールの選択] ページを表示します。

   すべての JMS コンポーネントを対象とするスコープ ロールを作成するには、[JMS] を右クリックします。 JMS サーバ上の特定の送り先を対象とするスコープ ロールを作成するには、[サーバ｜JMS サーバ｜送り先] ノードを展開してから送り先の名前を右クリックします。図 4-9 では、例として examplesJMSServer を使用して、クリックする位置を示します。

   図4-9 Administration Console ナビゲーション ツリーのサービス部分

   
    

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

JNDI リソース

1. WebLogic Server Administration Console の左ペインで、[サーバ] を展開します。

   [サーバ] ノードを展開すると、現在の WebLogic Server ドメインで利用可能なサーバが表示されます。

2. 作成するスコープ ロールの対象となる JNDI リソースを含むサーバの名前 (たとえば myserver) を右クリックします。

3. メニューから [JNDI ツリーを見る] オプションを選択します。

   新しい Administration Console ウィンドウに、このサーバの JNDI ツリーが表示されます。

4. Administration Console ウィンドウで、スコープ ロールの対象とする JNDI ツリーのレベルで右クリックし、[ロールを定義] を選択して、[ロールの選択] ページを表示します。

   オブジェクトのグループを対象とするスコープ ロールを作成するには、オブジェクト タイプを表すノードを右クリックします。 特定のオブジェクトを対象とするスコープ ロールを作成するには、オブジェクトを表すノードを展開してからオブジェクトの名前を右クリックします。

   図 4-10 では、例として examplesServer JNDI ツリーを使用して、クリックする位置を示します。

   図4-10 examplesServer JNDI ツリーを示す新しい Administration Console ウィンドウ

   
    

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

サーバ リソース

WebLogic Server Administration Console の左ペインで、[サーバ] を展開します。

1. [サーバ] ノードを展開すると、スコープ ロールを作成可能な別のサーバ リソースが表示されます。

2. スコープ ロールの対象とするサーバ リソースのレベルで右クリックし、[ロールを定義] を選択して、[ロールの選択] ページを表示します。

   すべてのサーバを対象とするスコープ ロールを作成するには、[サーバ] を右クリックします。 特定のサーバを対象とするスコープ ロールを作成するには、[サーバ] を展開してからサーバの名前を右クリックします。図 4-11 では、例として examplesServer を使用して、クリックする位置を示します。

   図4-11 Administration Console ナビゲーション ツリーのサーバ部分

   
    

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

URL リソース

1. WebLogic Server Administration Console の左ペインで、[デプロイメント] を展開します。

   [デプロイメント] ノードを展開すると、デプロイ可能な WebLogic リソースのタイプが表示されます。

2. 作成するスコープ ロールの対象となる URL (Web) リソースのレベルで右クリックします。

   すべての Web アプリケーション (WAR) を対象とするスコープ ロールを作成するには、[Web アプリケーション] を右クリックします。 特定の WAR、または WAR 内のコンポーネント (たとえば特定のサーブレットや JSP) を対象とするスコープ ロールを作成するには、[Web アプリケーション] を展開してから Web アプリケーション (WAR) の名前を右クリックします。図 4-12 では、例として basic-webapp WAR を使用して、クリックする位置を示します。

   図4-12 Administration Console ナビゲーション ツリーのデプロイメント部分

   
    

3. すべての Web アプリケーション (WAR) を対象とするスコープ ロールを作成する場合は、[ロールを定義] を選択して [ロールの選択] ページを表示します。

   特定の WAR または WAR 内のコンポーネントを対象とするスコープ ロールを作成する場合は、次の手順に従います。

   1. [ロールを定義] を選択して [一般] タブを表示します。

   2. テキスト フィールドに URL パターンを入力します。

      URL パターンは、Web アプリケーションに含まれる特定のコンポーネントのパスです。または、/* を使用して、Web アプリケーション内のすべてのコンポーネント (サーブレット、JSP など) にスコープ ロールを関連付けることができます。

   3. [ロールを定義] ボタンをクリックして、[ロールの選択] ページを表示します。

   スコープ ロールが定義されている場合は、定義済みスコープ ロールのテーブルが右ペインに表示されます。

手順 2 : スコープ ロールを作成する

1. [新しい Role のコンフィグレーション] リンクをクリックします。

   注意: 複数の WebLogic ロール マッピング プロバイダがセキュリティ レルムでコンフィグレーションされている場合、新しいスコープ ロールの情報をどの WebLogic ロール マッピング プロバイダのデータベースに格納するかを選択する必要があります。

2. [一般] タブで、スコープ ロールの名前を [名前] フィールドに入力します。

   注意: スペース、カンマ、ハイフン、¥t、< >、#、|、&、、?、( )、{ } を使用しないでください。セキュリティ ロール名では大文字/小文字を区別します。 BEA の命名規約では、セキュリティ ロール名は単数形で、先頭の文字は大文字です。

   セキュリティ ロール名の適切な構文は、Extensible Markup Language (XML) 勧告で Nmtoken に関して定義されているとおりです。

   警告: グローバル ロールと同名のスコープ ロールを作成する場合、スコープ ロールがグローバル ロールに優先します。

3. [適用] をクリックして変更を保存します。

手順 3 : ロール条件を作成する

1. [条件] タブを選択して、ロール エディタ ページを表示します (図 4-13 を参照)。

   図4-13 ロール エディタ ページ

   
    

2. [ロール条件] リスト ボックスで、いずれかの条件をクリックします。 さまざまなロール条件の詳細については、セキュリティ ロールの構成要素 : ロール条件、式、およびロール文を参照してください。

   注意: 可能であれば、[呼び出し側をメンバとするグループは] 条件を使用して式を作成することをお勧めします。グループを使用してセキュリティ ロールを作成すると、セキュリティ ロールはそのグループのすべてのメンバー (つまり複数のユーザ) に付与されます。

   JMS サブシステムはセキュリティ チェックを 1 回しか実行せず、[アクセス可能な時間帯は] 条件ではその後のセキュリティ チェックが必要になるので、JMS リソースを対象としてスコープ ロールを作成する場合は [アクセス可能な時間帯は] 条件を使用しないでください。

3. [追加] をクリックしてカスタマイズ ウィンドウを表示します。

4. [アクセス可能な時間帯は] 条件を選択した場合は、[時間制約] ウィンドウを使用して開始時刻と終了時刻を選択し、[OK] をクリックします。ウィンドウが閉じて、[ロール文] リスト ボックスに式が表示されます。

   他の条件のいずれかを選択した場合は、次の手順に従います。

   1. [ユーザ] または [グループ] ウィンドウでユーザまたはグループの名前を入力し、[追加] をクリックします。 リスト ボックスに式が表示されます。

      注意: 複数のユーザまたはグループを追加するには、この手順を複数回繰り返します。

   2. 必要に応じて、リスト ボックスの右側にあるボタンを使用して式を変更します。

      [上へ移動] および [下へ移動] をクリックすると、強調表示されたユーザ名またはグループ名の順序が変更されます。 [変更] をクリックすると、式の間にある強調表示された and 文と or 文が切り替わります。 [削除] をクリックすると、強調表示されたユーザ名またはグループ名が削除されます。

   3. [OK] をクリックして、ロール文に式を追加します。ウィンドウが閉じて、[ロール文] リスト ボックスに式が表示されます。

5. 必要な場合は、手順 2 から 4 を繰り返して、別のロール条件に基づいて式を追加します。

6. 必要に応じて、[ロール文] リスト ボックスの右側にあるボタンを使用して式を変更します。

   • [上へ移動] および [下へ移動] をクリックすると、強調表示された式の順序が変更されます。

   • [変更] をクリックすると、式の間にある強調表示された and 文と or 文が切り替わります。

   • [編集] をクリックすると、強調表示された式のカスタマイズ ウィンドウが再び開き、式を変更できます。

   • [削除] をクリックすると、選択した式が削除されます。

7. [ロール文] リスト ボックスのすべての式が正しい場合は、[適用] をクリックします。

   注意: [リセット] をクリックして、ロール エディタ ページを最初にロードしたときの状態に戻す (つまり、変更をすべて元に戻す) こともできます。

スコープ ロールの変更

WebLogic リソースのスコープ ロールを変更するには、次の手順に従います。

1. 手順 1 : WebLogic リソースを選択するで説明されているように、該当する WebLogic リソースの [ロールの選択] ページに移動します。

   右ペインに、WebLogic リソースを対象とするすべてのスコープ ロールを示すテーブルが表示されます。

2. 変更するスコープ ロールをテーブルから選択します。

3. [条件] タブを選択します。

4. 手順 3 : ロール条件を作成する手順を参考にして変更を加えます。

5. [適用] をクリックして変更を保存します。

スコープ ロールの削除

WebLogic リソースのスコープ ロールを削除するには、次の手順に従います。

1. 手順 1 : WebLogic リソースを選択するで説明されているように、該当する WebLogic リソースの [ロールの選択] ページに移動します。

   右ペインに、WebLogic リソースを対象とするすべてのスコープ ロールを示すテーブルが表示されます。

2. 削除するスコープ ロールと同じ行にあるごみ箱アイコンをクリックします。

3. [はい] をクリックして削除を確認します。

4. [続行] をクリックします。

   [ロールを選択] ページのテーブルには該当するスコープ ロールが表示されなくなります。