セキュリティ設定の構成

REST APIはブラウザで実行されるJavaScriptコードからコールされ、REST APIとOracle Content Managementは異なるドメインでホストされているため、REST APIはCORSを使用します。

ブラウザ・アプリケーションで、CORSをサポートしない、またはサービス・アカウント資格証明を必要とするRESTエンドポイントを使用する必要がある場合、かわりにOracle Content Managementの統合プロキシ・サービスを通じてエンドポイントを登録し使用できます。プロキシ・サービス設定の構成を参照してください。

一般に、インライン・フレームのプロトコル、ドメインおよびポートが表示するコンテンツのものと同一である場合、インライン・フレームはコンテンツをホストできます。たとえば、デフォルトでは、ページhttp://www.example.com:12345/home.html上のインライン・フレームは、コンテンツのプロトコルがhttpで、ドメインがwww.example.comで、ポートが12345である場合のみコンテンツをホストできます。

ただし、アプリケーションがOracle Content Management以外のドメイン内にある場合、アプリケーションのホスト・マシン情報を、フロント・チャネルのCORSオリジン、バック・チャネルのCORSのオリジンまたは両方のリストに追加する必要があります。

• リクエストが、Oracle Content Managementによって処理されるドメイン間リクエストである場合(Oracle Content Managementのドメインから発生したものではない場合)、フロント・チャネルCORSオリジンを追加する必要があります。フロント・チャネルCORSは、通常、カスタム・アプリケーション統合に役立ちます。たとえば、REST APIはフロント・チャネルと情報をやり取りします。
• リクエストが、Oracle Content Managementから別のドメイン内の接続クライアントに直接行われている場合、バック・チャネルCORSオリジンを追加する必要があります。たとえば、Oracle Content Managementは、バック・チャネル・メッセージ(リアルタイム更新)をアプリケーションに送信できます。
• アプリケーションがOracle Content Managementからのフロント・チャネルとバック・チャネルの両方の通信を行う場合、フロント・チャネルとバック・チャネルの両方のCORSオリジン・リストにドメインを追加する必要があります。

CORSの設定は、Oracle Content Managementのすべてのコール(ドキュメント、ソーシャルおよびサービスとしてのコンテンツ)に適用されます。

Oracle Content Managementと統合され、異なるドメインにホストされているブラウザ・アプリケーション間でのリソース共有を可能にするには、次の手順を実行します:

1. Oracle Content Management Webアプリケーションに管理者としてサインインしたら、ナビゲーション・メニューの「管理」領域の「システム」をクリックします。

2. 「システム」メニューで、「セキュリティ」をクリックします。

3. 「CORS (Cross-Origin Resource Sharing)」で、適切なCORSオリジン・テキスト・ボックスにhttp[s]://domainname.comの形式でドメインを入力します。エントリをカンマで区切ります。たとえば、サーバー上のアプリケーションに対してCORSを有効にするには、「バック・チャネルのCORSのオリジン」および「フロント・チャネルのCORSのオリジン」ボックスに次のような値を入力します。

   https://www.example.com/app

   カスタム・ドメインURLを使用する場合は、同様にカスタムURLを入力します。

4. 完了したら、「保存」をクリックします。

オリジン値として*を使用しないでください。すべてのホストからのアクセスが許可されます。

セキュリティ・メジャーは、ブラウザおよびブラウザ・バージョンによって異なります。http://www.w3.org/TR/UISecurity/を参照してください。

CORSの設定は、Oracle Content Managementのすべてのコール(ドキュメント、ソーシャルおよびサービスとしてのコンテンツ)に適用されます。