5 EDQとFusion Middleware資格証明ストアの統合

この章では、WebLogicで実行されているEDQでOracle Fusion Middleware資格証明ストアを使用する方法について説明します。

この章の内容は次のとおりです。

資格証明ストアの概要

EDQでは、Oracle Fusion Middleware資格証明ストアを使用して、JMSブローカやLDAPサーバーなどの保護されたリソースに接続するときにEDQで使用されるユーザー名とパスワードを非表示にできます。

そうしないと、これらの資格証明はEDQプロパティ・ファイルでクリア・テキストとして公開されます。資格証明ストアを使用すると、ユーザー名とパスワードは、ログインが必要なとき常に資格証明の別名として機能するキー名に置き換えられます。

EDQで資格証明ストアを使用するステップは、次のとおりです。

EDQの資格証明ストアの構成

資格証明ストアを構成するには、Oracle Enterprise Manager Fusion Middleware Controlを使用します。

ブラウザベースのこのコンソールの使用については、『Oracle Fusion Middlewareの管理』を参照してください。

資格証明ストアでは、資格証明は資格証明マップによって識別されます。資格証明マップは、マップと1つ以上のキーで構成されます。EDQで、デフォルトのマップ名はedqです。キー名は、資格証明マップを作成するユーザーによって指定され、プロパティ・ファイルでは資格証明の別名として機能します。資格証明マップを作成するユーザーは、Oracle Fusion Middleware管理者である必要があります。

EDQの資格証明ストアを構成するには:

  1. Oracle Enterprise Manager Fusion Middleware Controlコンソールに管理者としてログインします。

  2. 「ドメイン」「セキュリティ」「資格証明」に移動して、「資格証明」ページを表示します。

  3. 「マップの作成」をクリックして、「マップの作成」ダイアログを表示します。マップを作成したら、そのマップに複数のキーを同時に作成することも、後でキーを追加することもできます。

  4. edqという名前のマップを作成し、「OK」をクリックします。edqマップ名が表に表示されます。

  5. 「キーの作成」をクリックして、「キーの作成」ダイアログを表示します。

  6. このダイアログで次のように選択します。
    • 「マップの選択」メニューからedqマップを選択します。

    • 「名前」テキスト・ボックスにキューの名前を入力します。これは、資格証明を置換するためにプロパティ・ファイルに入力されるキー名です。

    • 「タイプ」メニューから「パスワード」を選択します。

    • 「ユーザー名」フィールドにEDQユーザーのユーザー名を入力し、そのユーザーのパスワードを「パスワード」フィールドに入力します。「パスワードの確認」フィールドでパスワードを確認します。

    • オプションで、この資格証明の説明を追加できます。

  7. 「OK」をクリックして、「資格証明」ページに戻ります。新しいキーがedqマップ・アイコンに表示されます。

プロパティ・ファイルでのEDQ資格証明キーの指定

Fusion Middleware ControlでEDQ資格証明マップを構成したら、.cred.keyプロパティを使用して、プロパティ・ファイルの資格証明のかわりにキー名を指定します。

構文は次のとおりです。
prefix.cred.key = keyname
これは、保護されていない標準のusernameおよびpasswordエントリを置き換えます。
prefix.username = username
prefix.password = password

次に、ユーザー「myuser」の資格証明のエントリと、そのキー名によって表されるものと同じ資格証明のエントリを示します。

director.properties内の保護されていない資格証明

この例では、usernameおよびpasswordプロパティを使用して実際のユーザー名とパスワードを指定する通常の方法を示します。

sccs.vcs.username = myuser
sccs.vcs.password = mypassword1234

director.properties内の保護されている資格証明

この例では、cred.keyプロパティを使用して、ログイン資格証明のかわりに資格証明ストアからキー名を指定します。

sccs.vcs.cred.key = mykey1

パスワードのみの保護されているエントリ

たとえば、SSL経由でJMXのキーストアを作成する場合のようにパスワードのみが必要な場合、プロパティ名に.cred.keyプロパティを追加します。次に、例を示します。

management.ssl.km.storepw.cred.key = mykey1

キー名を指定する例

この項では、キー名を指定する例を示します。

これらの例は、キー名を使用して資格証明を指定する別の方法を示しています。

JMSブローカへの接続

この例では、JMSブローカに接続するときに資格証明が必要なリアルタイム・バケット定義を示します。

資格証明を指定する、保護されていない方法は次のとおりです。

<messengerconfig>
  …
  username = myuser
  password = mypassword1234
 …
</messengerconfig>
…

キー名を使用する、保護されているセキュアな仕様は次のとおりです。

…
<messengerconfig>
  …
  cred.key = mykey1
 …
</messengerconfig>
…

JNDIストアへの接続

この例では、資格証明を使用してJNDIストアに接続します。

資格証明を指定する、保護されていない方法は次のとおりです。
…
<messengerconfig>
  …
  java.naming.security.principal   = myuser
  java.naming.security.credentials = mypassword1234
 …
</messengerconfig>
…
キー名を使用する、保護されているセキュアな仕様は次のとおりです。この場合、jndi接頭辞が必要なので、.cred.keyが追加されます。
…
<messengerconfig>
  …
  jndi.cred.key = mykey1
 …
</messengerconfig>
…

LDAPサーバーへの接続

この例では、login.propertiesファイルでLDAPサーバーへの接続を指定するための正しい構文を示します。

保護されていないエントリ:
myrealm.ldap.user = myuser
myrealm.ldap.pw = mypassword
資格証明ストア・キーを持つ保護されたエントリ:
myrealm.ldap.cred.key = mykey1