デフォルト・セキュリティ構成のカスタマイズ

デフォルトのセキュリティ構成を様々な方法でカスタマイズできます。

• 新しい認証プロバイダを構成します。「新しい認証プロバイダの構成」を参照してください。

• 新しいポリシー・ストアと資格証明ストア・プロバイダを構成します。「新しいポリシー・ストアと資格証明ストア・プロバイダの構成」を参照してください。

• ポリシーと資格証明を、1つのストアから別のストアに移行します。「ポリシー・ストアおよび資格証明ストアの再関連付け」を参照してください。

• 新しいアプリケーション・ロールを作成します。「Fusion Middleware Controlを使用したアプリケーション・ロールの作成」を参照してください。

• 新しいアプリケーション・ポリシーを作成します。「Fusion Middleware Controlを使用したアプリケーション・ポリシーの作成」を参照してください。

• アプリケーション・ポリシーに対する権限付与を変更します。「アプリケーション・ポリシーの権限付与の変更」を参照してください。

新しい認証プロバイダの構成

サポートされている別のLDAPサーバーを認証プロバイダとして構成することもできます。

Oracle WebLogic Server管理コンソールを使用して、Publisherでかわりの外部アイデンティティ・ストアが実行されるように構成します。Publisherは認証とユーザー移入管理を、Publisherが属するドメインに対して構成されている認証プロバイダとアイデンティティ・ストアに委任します。たとえば、Oracle WebLogic Serverのデフォルトの認証プロバイダを使用するように構成されている場合は、Oracle WebLogic Server管理コンソールで管理が実行されます。Oracle Internet Directory(OID)を使用するように構成されている場合は、OID管理ユーザー・インタフェースが使用されます。

デフォルトのセキュリティ構成の一部としてインストールされている認証プロバイダ以外を使用している場合は、「デフォルトのユーザーとグループ」で説明しているデフォルトのユーザーとグループは自動的には提供されません。独自に選択した名前でユーザーやグループを作成することも、デフォルトのユーザー名とグループ名を作成しなおすこともできます(認証プロバイダでサポートされている場合)。この作業が完了した後、Publisherのデフォルトのアプリケーション・ロールを別のグループに再度マップする必要があります。たとえば、企業でLDAPサーバーがアイデンティティ・ストアとして使用されており、Publisherのデフォルトのユーザーやグループをそのストア内に作成できない場合は、デフォルトのアプリケーション・ロールを企業のLDAPサーバーに固有の別のグループにマップする必要があります。Fusion Middleware Controlを使用して、グループをアプリケーション・ロールにマップします。

異なる認証プロバイダの構成方法の詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle WebLogic Serverセキュリティの管理』を参照してください。

新しいポリシー・ストアと資格証明ストア・プロバイダの構成

ポリシー・ストアと資格証明ストアは、ファイルベースまたはLDAPベースで構成できます。

LDAPベースのストアを使用するための前提条件は、ポリシー・ストアと資格証明ストアのいずれであっても同じです。『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

ポリシー・ストアおよび資格証明ストアの再関連付け

ポリシーや資格証明を1つのセキュリティ・ストアから別のセキュリティ・ストアに移行することを、再関連付けと呼びます。

ポリシー・ストアと資格証明ストアのどちらのデータも、ファイルベースのストアからLDAPベースのストアに、またはその逆に再関連付け(移行)できます。

資格証明ストアとポリシー・ストアはどちらも同じタイプのものである必要があるため、1つのストアを再関連付けするときにはもう一方のストアも再関連付けする必要があります。

『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

ポリシー・ストアのカスタマイズ

Fusion Middlewareのセキュリティ・モデルは、独自のアプリケーション・ポリシーとアプリケーション・ロールを作成することにより、環境に合せてカスタマイズできます。

既存のアプリケーション・ロールは、必要に応じてメンバーを追加または削除することにより変更できます。既存のアプリケーション・ポリシーは、権限付与を追加または削除することにより変更できます。アプリケーション・ポリシーおよびアプリケーション・ロールの管理の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

ノート:

新しいアプリケーション・ポリシーやアプリケーション・ロールを作成してPublisherのデフォルトのセキュリティ構成に追加する前に、権限やグループの継承の仕組みについて理解しておく必要があります。ロールの階層を構築するときは、循環依存が生じないことが重要です。ベスト・プラクティスは、デフォルトのセキュリティ構成はそのままにしておいて、カスタマイズされたアプリケーション・ポリシーやアプリケーション・ロールをまずはテスト環境に取り込んでみることです。詳細は、「権限の付与と継承」を参照してください。

Fusion Middleware Controlを使用したアプリケーション・ロールの作成

Fusion Middleware Controlを使用して新規アプリケーション・ロールを作成するか、既存のロールからコピーできます。

アプリケーション・ロールの作成

アプリケーション・ロールを作成するには、2つの方法があります。

• 新規作成 — アプリケーション・ロールを作成します。新規ロールを作成するときにメンバーを追加するか、新しいロールに名前を付けて保存しておき、後でメンバーを追加することもできます。

• 既存のコピー — 既存のアプリケーション・ロールをコピーすることで、アプリケーション・ロールを作成します。コピーにはオリジナルと同じメンバーが含まれ、新規ロールは同じアプリケーション・ポリシーの権限受領者となります。新しいロールを作成するときに、必要に応じてコピーを変更できます。

新しいアプリケーション・ロールの作成

1. Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。

   詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。

2. 「アプリケーション・ストライプ」リストからobiを選択します。「ロール名」の横にある検索アイコンをクリックします。

   Publisherのロールを表示できます。

3. 「作成」をクリックして「アプリケーション・ロールの作成」ページを表示します。すべての情報を一度に入力することも、「ロール名」を入力し、保存しておいて、それ以外のフィールドを後で入力することもできます。各フィールドに次の情報を入力します。

   「一般」では:

   • ロール名 — アプリケーション・ロールの名前を入力します。

   • (オプション)表示名 — アプリケーション・ロールの表示名を入力します。

   • (オプション)説明 — アプリケーション・ロールの説明を入力します。

4. 「メンバー」セクションで、「追加」をクリックして、アプリケーション・ロールにマップするユーザー、グループまたはアプリケーション・ロールを選択します。

   1. 「タイプ」リストからアプリケーション・ロールにマップする「アプリケーション・ロール」、「ユーザー」または「ロール」を選択します。

   2. 「プリンシパル名」および「表示名」の基準を任意で指定できます。

   3. 「表示名」の横にある検索アイコンをクリックします。

   4. 「検索済プリンシパル」表からプリンシパルを選択します。

   5. 「OK」をクリックします。

5. 「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。

   このページの下部にある表には、新しいアプリケーション・ロールが表示されます。

既存のロールに基づくアプリケーション・ロールの作成

1. Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。

   詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。

2. 「アプリケーション・ストライプ」リストからobiを選択します。「ロール名」の横にある検索アイコンをクリックします。

   Publisherのロールを表示できます。

3. リストからアプリケーション・ロールを選択してアクション・ボタンを有効にします。
4. 「類似作成」をクリックし、アプリケーション・ロールの類似作成ページを表示します。

   「メンバー」セクションには、オリジナル・ロールにマップされているのと同じアプリケーション・ロール、グループまたはユーザーが入力されます。

5. 「ロール名」、「表示名」および「説明」の各フィールドに入力します。
6. 「追加」および「削除」を使用し、メンバーを必要に応じて変更してから、「OK」をクリックします。

   このページの下部にある表には、新たに作成されたアプリケーション・ロールが表示されます。

Fusion Middleware Controlを使用したアプリケーション・ポリシーの作成

Publisherの権限はすべて提供されており、ユーザーが新しい権限を作成することはできません。権限付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページでコントロールされます。

アプリケーション・ポリシーの作成

権限付与は、アプリケーション・ポリシーで定義されます。アプリケーション・ロール、ユーザー、またはグループが、その後アプリケーション・ポリシーにマップされます。このプロセスによって、アプリケーション・ロール、ユーザーまたはグループがアプリケーション・ポリシーの「権限受領者」となります。

新しいアプリケーション・ポリシーを作成するには、2つの方法があります。

• 新規作成 — アプリケーション・ポリシーを作成し、それに権限を追加します。

• 既存のものをコピー— 既存のアプリケーション・ポリシーをコピーすることで、アプリケーション・ポリシーを作成します。必要に応じて、コピーに名前を付けたり、既存の権限を削除したり、新規の権限を追加することができます。

新しいアプリケーション・ポリシーの作成

1. Fusion Middleware Controlにログインして「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。

   詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。

2. 「アプリケーション・ストライプ」リストからobiを選択します。「プリンシパル名」の横にある検索アイコンをクリックします。

   Publisherのポリシーを表示できます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。

3. 「作成」をクリックして、「アプリケーション権限の作成」ページを表示します。

4. 作成するポリシーに権限を追加するには、「権限」領域で「追加」をクリックして「権限の追加」ダイアログを表示します。

   1. 「検索」セクションへの入力後に、「リソース名」フィールドの横にある検索アイコンをクリックします。

      obiアプリケーション・ストライプで検出されたすべての権限が表示されます。Publisherの権限の詳細は、「デフォルトのアプリケーション・ロールと権限」を参照してください。

   2. 必要なPublisher権限を選択して、「続行」をクリックします。Publisher以外の権限を選択しても、ポリシーには何の効果も及ぼしません。

   3. 必要に応じて、権限をカスタマイズして、「選択」をクリックします。

   「権限」セクションには選択した権限が表示されます。

5. 作成するポリシーにアプリケーション・ロール、ユーザーまたはグループを追加するには、「権限受領者」セクションで「追加」をクリックします。

   「プリンシパルの追加」ダイアログで、次のことを実行します。

   • 「検索」セクションへの入力後に、「表示名」フィールドの横にある検索アイコンをクリックします。

   • 必要なプリンシパルを「検索済プリンシパル」リストから選択します。

   • 「OK」をクリックします。

6. 「OK 」をクリックして、「アプリケーション・ポリシー」ページに戻ります。新しいポリシーの「プリンシパル」(権限受領者)および「権限」が表に表示されます。

既存のポリシーに基づくアプリケーション・ポリシーの作成

1. Fusion Middleware Controlにログインして「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。

   詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。

2. 「アプリケーション・ストライプ」リストからobiを選択します。「プリンシパル名」の横にある検索アイコンをクリックします。

   Publisherのアプリケーション・ポリシーを表示できます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。

3. 表から既存のポリシーを選択します。
4. 「類似作成」をクリックし、「アプリケーション権限の類似作成」ページを表示します。「権限」の表に、選択されたポリシーにより付与される権限の名前が表示されます。
5. 任意のアイテムを削除するには、それを選択して、「削除」をクリックします。
6. アプリケーション・ロール、ユーザーまたはグループをポリシーに追加するには、「権限受領者」領域で「追加」をクリックすると、「プリンシパルの追加」ダイアログが表示されます。

   • 「検索」領域への入力後に、「表示名」フィールドの横にある青色の検索アイコンをクリックします。

   • 「検索済プリンシパル」リストから選択します。

   • 「OK」をクリックします。

「アプリケーション・ポリシー」ページにポリシーの「プリンシパル」と「権限」が表示されます。

アプリケーション・ポリシーの権限付与の変更

アプリケーション・ポリシーによって付与される権限のうち、1つ以上の権限を変更できます。

アプリケーション・ポリシーの権限付与を追加または削除するには:

1. Fusion Middleware Controlにログインして「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。

   詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。

2. 「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。

   Publisherのポリシーが表示されます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。

3. 「プリンシパル」列からアプリケーション・ロールの名前を選択して、「編集」をクリックします。
4. 「アプリケーション権限の編集」ビューから権限を追加または削除し、「OK」をクリックして変更を保存します。