5 EDQとFusion Middleware資格証明ストアの統合
この章では、WebLogicで実行されているEDQでOracle Fusion Middleware資格証明ストアを使用する方法について説明します。
この章の内容は次のとおりです。
- 資格証明ストアの概要
EDQでは、Oracle Fusion Middleware資格証明ストアを使用して、JMSブローカやLDAPサーバーなどの保護されたリソースに接続するときにEDQで使用されるユーザー名とパスワードを非表示にできます。 - EDQの資格証明ストアの構成
資格証明ストアを構成するには、Oracle Enterprise Manager Fusion Middleware Controlを使用します。 - プロパティ・ファイルでのEDQ資格証明キーの指定
Fusion Middleware ControlでEDQ資格証明マップを構成したら、.cred.key
プロパティを使用して、プロパティ・ファイルの資格証明のかわりにキー名を指定します。 - キー名の指定の例
この項では、キー名を指定する例を示します。
資格証明ストアの概要
EDQでは、Oracle Fusion Middleware資格証明ストアを使用して、JMSブローカやLDAPサーバーなどの保護されたリソースに接続するときにEDQで使用されるユーザー名とパスワードを非表示にできます。
そうしないと、これらの資格証明はEDQプロパティ・ファイルでクリア・テキストとして公開されます。資格証明ストアを使用すると、ユーザー名とパスワードは、ログインが必要なとき常に資格証明の別名として機能するキー名に置き換えられます。
EDQの資格証明ストアの構成
資格証明ストアを構成するには、Oracle Enterprise Manager Fusion Middleware Controlを使用します。
ブラウザベースのこのコンソールの使用については、『Oracle Fusion Middlewareの管理』を参照してください。
資格証明ストアでは、資格証明は資格証明マップによって識別されます。資格証明マップは、マップと1つ以上のキーで構成されます。EDQで、デフォルトのマップ名はedq
です。キー名は、資格証明マップを作成するユーザーによって指定され、プロパティ・ファイルでは資格証明の別名として機能します。資格証明マップを作成するユーザーは、Oracle Fusion Middleware管理者である必要があります。
EDQの資格証明ストアを構成するには:
-
Oracle Enterprise Manager Fusion Middleware Controlコンソールに管理者としてログインします。
-
「ドメイン」→「セキュリティ」→「資格証明」に移動して、「資格証明」ページを表示します。
-
「マップの作成」をクリックして、「マップの作成」ダイアログを表示します。マップを作成したら、そのマップに複数のキーを同時に作成することも、後でキーを追加することもできます。
-
edq
という名前のマップを作成し、「OK」をクリックします。edq
マップ名が表に表示されます。 -
「キーの作成」をクリックして、「キーの作成」ダイアログを表示します。
-
このダイアログで次のように選択します。
-
「マップの選択」メニューから
edq
マップを選択します。 -
「名前」テキスト・ボックスにキューの名前を入力します。これは、資格証明を置換するためにプロパティ・ファイルに入力されるキー名です。
-
「タイプ」メニューから「パスワード」を選択します。
-
「ユーザー名」フィールドにEDQユーザーのユーザー名を入力し、そのユーザーのパスワードを「パスワード」フィールドに入力します。「パスワードの確認」フィールドでパスワードを確認します。
-
オプションで、この資格証明の説明を追加できます。
-
-
「OK」をクリックして、「資格証明」ページに戻ります。新しいキーが
edq
マップ・アイコンに表示されます。
プロパティ・ファイルでのEDQ資格証明キーの指定
Fusion Middleware ControlでEDQ資格証明マップを構成したら、.cred.key
プロパティを使用して、プロパティ・ファイルの資格証明のかわりにキー名を指定します。
prefix.cred.key = keyname
username
およびpassword
エントリを置き換えます。prefix.username = username
prefix.password = password
次に、ユーザー「myuser」の資格証明のエントリと、そのキー名によって表されるものと同じ資格証明のエントリを示します。
director.properties内の保護されていない資格証明
この例では、username
およびpassword
プロパティを使用して実際のユーザー名とパスワードを指定する通常の方法を示します。
sccs.vcs.username = myuser
sccs.vcs.password = mypassword1234
director.properties内の保護されている資格証明
この例では、cred.key
プロパティを使用して、ログイン資格証明のかわりに資格証明ストアからキー名を指定します。
sccs.vcs.cred.key = mykey1
パスワードのみの保護されているエントリ
たとえば、SSL経由でJMXのキーストアを作成する場合のようにパスワードのみが必要な場合、プロパティ名に.cred.key
プロパティを追加します。次に、例を示します。
management.ssl.km.storepw.cred.key = mykey1
キー名を指定する例
この項では、キー名を指定する例を示します。
これらの例は、キー名を使用して資格証明を指定する別の方法を示しています。
JMSブローカへの接続
この例では、JMSブローカに接続するときに資格証明が必要なリアルタイム・バケット定義を示します。
資格証明を指定する、保護されていない方法は次のとおりです。
<messengerconfig>
…
username = myuser
password = mypassword1234
…
</messengerconfig>
…
キー名を使用する、保護されているセキュアな仕様は次のとおりです。
…
<messengerconfig>
…
cred.key = mykey1
…
</messengerconfig>
…
JNDIストアへの接続
この例では、資格証明を使用してJNDIストアに接続します。
…
<messengerconfig>
…
java.naming.security.principal = myuser
java.naming.security.credentials = mypassword1234
…
</messengerconfig>
…
jndi
接頭辞が必要なので、.cred.key
が追加されます。…
<messengerconfig>
…
jndi.cred.key = mykey1
…
</messengerconfig>
…
LDAPサーバーへの接続
この例では、login.properties
ファイルでLDAPサーバーへの接続を指定するための正しい構文を示します。
myrealm.ldap.user = myuser
myrealm.ldap.pw = mypassword
myrealm.ldap.cred.key = mykey1