6 ルール・セット
Advanced Management Console を使用すると、管理者はデプロイメント・ルール・セットを作成して配布できるため、企業内のデスクトップで実行されているブラウザ・ベースのJavaアプリケーションを管理できます。Java Usage Trackerから収集された使用状況の情報のレポートを使用して、ルールおよびルール・セットを作成できます。既存のルール・セットは、Advanced Management Console でインポートして管理できます。デプロイ済のルール・セットを削除することも可能です。
このトピックには、次の項があります。
デプロイメント・ルール・セットについて
デプロイメント・ルール・セットにより、企業はアプリケーション・セキュリティ・ポリシーがかつてないほど厳しくなっている環境で、レガシー・ビジネス・アプリケーションを引き続き使用できます。デプロイメント・ルール・セットを使用すると、企業内での実行が許可されるWebベースのJavaアプリケーション(JavaアプレットやJava Web Startアプリケーションなど)を管理できます。また、デプロイメント・ルール・セットを使用すると、アプリケーションに使用されるJava Runtime Environment (JRE)のバージョンを管理できます。Advanced Management Console では、デプロイメント・ルール・セットを作成および管理するためのツールが管理者に提供されており、デプロイメント・ルール・セットを企業全体に配布できます。
デプロイメント・ルール・セットにはデプロイメント・ルールが含まれます。このようなルールをデプロイメント・プロセスで使用して、ブラウザ・ベースのJavaアプリケーションの実行を許可するかどうか、アプリケーションを自動的にブロックするかどうか、またはデフォルト処理を使用するかどうかを判断します。アプリケーションは、場所、タイトル、JARファイルのチェックサム、アプリケーションの署名に使用される証明書などの条件に基づいてルールと比較されます。ルールは、それらがルール・セットに表示される順序で比較されます。アプリケーションに一致した最初のルールによって、そのアプリケーションに対して実行されるアクションが決定されます。
複数のルール・セットを定義できますが、ユーザーのシステムでアクティブにできるルール・セットは1つのみです。そのルール・セットは署名済のJARファイルである必要があります。「ルール・セット」タブのエクスポート機能により、必要なJARファイルが生成されます。JAR署名が有効になっている場合は、エクスポート・プロセスの一環として署名が行われます。それ以外の場合は、JARファイルに手動で署名する必要があります。署名済のJARファイルは、配布できるようにAdvanced Management Console にインポートする必要があります。「ルール・セットのエクスポート」を参照してください。「ルール・セット」タブで、ルール・セットをデフォルト・デプロイメント・ルール・セットとして設定することもできます。「デフォルト・デプロイメント・ルール・セットの設定」を参照してください。
Java Platform, Standard Editionデプロイメント・ガイドのデプロイメント・ルール・セットに関する項を参照してください。
「ルール・セット」タブ
Advanced Management Console の「ルール・セット」タブには、ルール・セットのリスト、およびすべてのルールの対応するリストが表示されます。「すべてのルール」という人工的なルール・セットもタブに表示されますが、これはルール・セットではなく、Advanced Management Console のすべてのルールのコレクションです。各ルール・セットに対して、名前とそのタイトル、ルールのアクション、ルール・バージョンおよびルールの場所が表示されます。
「ルールの表示形式」表の列ヘッダーに表示される矢印をクリックすると、その列の値でデータがソートされます。エントリ数がページ・サイズを超える場合は、表の下にあるナビゲーション・バーを使用して他のページを表示します。「ルールの表示形式」の横の「プロパティ」アイコンをクリックすると、選択したルールのプロパティが表示されます。次の図は、「ルールの表示形式」表とそのプロパティを示しています。
図display-rule-table_with-arrows.pngの説明
-
ルール・セットの作成
-
選択したルール・セットの削除
-
選択したルール・セットの署名
-
ルール・セットのインポート
-
ルール・セットのエクスポート
-
デフォルト・ルール・セットの割当て
-
「上へ」および「下へ」矢印アイコンをクリックすると、選択したルールを上または下に移動できます
「ルール・セットの表示形式」で、ルール・セットを選択して、「ルール・セットの詳細」アイコンをクリックすると、ルール・セットの詳細が表示され、ルール・セットを管理(デフォルト・ルール・セットの作成、削除、署名、インポート、エクスポートおよび割当て)できます。
「ルール・セットの詳細」ペインで、「編集」アイコンをクリックすると、選択したルール・セットを編集できます。「ルール・セットの詳細」(検索)アイコンをクリックすると、表とプロパティ・ビューの両方でルール・セットの詳細が表示されます。
ルールおよびルール・セットの管理
Advanced Management Console の「ルール・セット」を使用して、ルール・セットを管理したり、ルール・セットとアプリケーション間の関係を表示します。
プロパティ | 説明 |
---|---|
ルール・セット名 |
ルール・セットの名前。この名前は、エクスポートされたルール・セットには含まれません。ルール・セット名をダブルクリックすると、ルール・セットに含まれるルールの名前の表示と非表示を切り替えることができます。 |
ルール数 |
ルール・セットのルールの数 |
署名済 |
ルール・セットが署名されているかどうかを示すインジケータ。列にチェック・マークが表示されているルール・セットは署名されています。企業内のデスクトップには、署名済ルール・セットしか配布できません。 |
この項の内容は次のとおりです。
ルール・セットの管理
Advanced Management Console の「ルール・セット」タブでルール・セットを管理できます。
ルール・セットの追加
デスクトップでアクティブにできるデプロイメント・ルール・セットは1つのみです。しかし、Advanced Management Console では複数のルール・セットを設定できます。エンタープライズの部署ごとにカスタマイズされたルール・セットを提供するなど、異なる目的に対応したルール・セットも作成できます。複数のルール・セットを使用することで、各ルールの異なる組合せを試すこともできます。
ルール・セットの追加には次のものが含まれます。
既存のルール・セットのインポート
既存のルール・セットがある場合は、「ルール・セット」タブからAdvanced Management Console にインポートできます。
ルール・セットをインポートするには、次のようにします。
ルール・セットの編集
デプロイメント・ルール・セットの作成後に、Advanced Management Console の「ルール・セット」タブでデプロイメント・ルールをさらに追加したり、不要になったルールを削除できます。ルールの順序を変更することもできます。WebベースのJavaアプリケーションに対して実行されるアクションは、アプリケーションに一致する最初のルールによって決まるため、ルール・セット内のルールの順序は重要です。
「ルール・セットの編集」のトピックには、次の項があります。
ルール・セットへのルールの追加
ルール・セットにデプロイメント・ルールを追加し、「ルール・セット」タブのWebベースのJavaアプリケーションに適用するアクションを定義します。ルールの順序は重要です。
ルール・セットにルールを追加するには、次のようにします。
署名済ルール・セットを編集する場合に必要なアクションは、署名済ルール・セットの編集を参照してください。
ルール・セットでのルールの順序変更
デプロイメント・ルール・セット内のデプロイメント・ルールの順序は重要です。アプリケーションに一致する最初のルールが、そのアプリケーションに対するアクションの決定に使用されます。「ルール・セット」タブの上矢印と下矢印を使用してルールを並べ替えることができます。最適な結果を得るには、最も制限的な一致基準を持つルールを、より制限的でない一致基準を持つルールより前に配置します。
ルール・セット内のルールの順序を変更するには、次のようにします。
ルール・セットからのルールの削除
デプロイメント・ルールが不要になった場合は、Advanced Management Console の「ルール・セット」タブから削除します。
ルール・セットからルールを削除するには、次のようにします。
選択したルールは、ルール・セットから削除されますが、将来の使用に備えてルール表には残ります。「ルールの削除」を参照してください。
ルール・セットの顧客データの編集
Advanced Management Console の「ルール・セット」タブで、ルール・セットへのカスタム・データの追加や、そのデータの変更を行います。ルール・セットのルールがアプリケーションに一致しない場合に、このデータがJava Usage Trackerレコードに追加されます。
顧客データを編集するには、次のようにします。
署名済ルール・セットの編集
Advanced Management Console では、署名済デプロイメント・ルール・セットはロックされ、配布できる状態です。署名済ルール・セットを編集する際、ルール・セットがロックされていることを示す警告メッセージが表示されます。ルール・セットの編集を続行すると、ルール・セットのロックが解除され、署名済とみなされなくなります。
編集後にルール・セットを使用するには、ルール・セットをエクスポートして署名する必要があります。ルール・セットに署名するには、次のいずれかを行います。
-
エクスポート時にAdvanced Management Consoleで内部的にルール・セットに署名するオプションを選択します。この場合、インポートは自動的に行われるため、署名済ルール・セットをAdvanced Management Consoleにインポートしなおす必要はありません。「ルール・セットのエクスポート」を参照してください。
-
エクスポートした後に、外部でルール・セットに署名します。一般に、これを実行できるのは、アーティファクトに署名する独自の企業コード署名グループまたはサービスがある場合です。この場合、ルール・セットをエクスポートして外部で署名する際は、署名済ルール・セットをAdvanced Management Consoleにインポートし直す必要があります。「既存のルール・セットのインポート」を参照してください。
ノート:
既存のルール・セットに署名すると、もともとデプロイされたすべての管理対象デスクトップにルール・セットが再デプロイされます。たとえば、ルール・セットがデスクトップAにデプロイされた最新のルール・セットである場合、ルール・セットが再度署名されると、デスクトップAはルール・セットの新規バージョンで自動的に更新されます。
ルール・セットの削除
作成したデプロイメント・ルール・セットのいずれかが不要になった場合は、Advanced Management Console の「ルール・セット」タブで、そのルール・セットを削除できます。
ルール・セットを削除するには:
- Advanced Management Console で、「ルール・セット」をクリックします。
- 「ルール・セットの表示形式」で、削除するルール・セットを選択します。
- 「ルール・セットのアクション」アイコンをクリックして、「削除」を選択します。
- 「ルール・セットの削除」確認ダイアログで、「削除」をクリックすると、選択したルール・セットが削除されます。
ルール・セットのエクスポート
本番環境のためのデプロイメント・ルール・セットを準備できたら、そのルール・セットをエクスポートし、デスクトップに配布できるファイルを作成できます。エクスポート・プロセスの一部としてルール・セットへの署名をサポートするようにツールを構成した場合、ファイルは署名されます。
ルール・セットをエクスポートするには、次のようにします。
ルール・セットの署名
ノート:
SHA-1アルゴリズムで署名されたJARは、デフォルトでは無効になっており、将来のリリースのJavaでは符号なしとして扱われます。これは、JARのダイジェスト、署名およびタイムスタンプに使用されるアルゴリズムに適用されます。また、コード署名者とタイムスタンプ認証局のチェーン内の証明書の署名およびダイジェスト・アルゴリズムにも適用されます。詳細は、「SHA-1符号付きjarの無効化」を参照してください。
標準に準拠するために、JARおよび証明書が適切に署名されていることを確認してください。そうでない場合、エージェントでのルールセットの署名またはデプロイメントは失敗します。
デフォルト・デプロイメント・ルール・セットの設定
Advanced Management Console の「ルール・セット」タブで、ルール・セットをデフォルト・デプロイメント・ルール・セットとして設定できます。デフォルト・デプロイメント・ルール・セットが存在する場合、Advanced Management Consoleは、Advanced Management Consoleエージェントの登録中にそのデフォルト・ルール・セットをターゲット・システムに自動的にデプロイします。
ノート:
すでにデフォルトとしてマークされているルール・セットを選択した場合、「デフォルトとして設定」オプションを使用して、削除されたルール・セットからデフォルト・ステータスを削除します。ルールの管理
Advanced Management Console で、「ルール・セット」タブをクリックして、デプロイメント・ルールを作成、編集および削除します。作成したルールは、企業内で実行されているWebベースのJavaアプリケーションを管理するためにデプロイメント・ルール・セットに追加できます。
ルールの管理に使用できるアクションは次のとおりです。
ルールの作成
Advanced Management Console の「Java使用状況」タブと「ルール・セット」タブの両方から、デプロイメント・ルールを作成します。ルールを使用して、ルールに一致するWebベースのJavaアプリケーションの起動時に実行するアクションを定義します。
「ルール・セット」タブからルールを作成するには、次のようにします。
- Advanced Management Console で、「ルール・セット」タブをクリックします。
- 「ルールの表示形式」パネルで「新規」をクリックすると、「新規ルールの作成」ダイアログが表示されます。
- ルールの名前を入力し、残りのフィールドの情報を指定します。
- 「作成」をクリックしてルールを保存します。
ルール・プロパティ
各デプロイメント・ルールには、WebベースのJavaアプリケーションがルールに一致するかどうかを判断するために使用される情報が含まれます。アプリケーションの実行時に、アプリケーション・プロパティがルール・プロパティと比較され、アプリケーションの実行を許可するかどうかが判断されます。
次の表に、ルール・プロパティを示します。
プロパティ | 説明 |
---|---|
名前 |
ルールに指定された名前。この名前は、Advanced Management Console 内での識別目的のために必要です。名前は、ルール・セットではエクスポートされません。 |
タイトル |
アプリケーションのタイトル。タイトルを指定しない場合、すべてのアプリケーションが「タイトル」プロパティに一致するとみなされます。タイトルを指定し、「ルール・アクション」を |
場所 |
アプリケーションのソースのURL。URLを指定しない場合、すべてのアプリケーションが「URL」フィールドに一致するとみなされます。JNLPを使用するアプリケーションの場合、これはJNLPファイルの場所です。Webページに埋め込まれたアプリケーションの場合、これはWebページの場所です。 |
証明書 |
アプリケーションの証明に使用された証明書のハッシュ値と、ハッシュ値の作成に使用されたアルゴリズム。通常、証明書ハッシュ値は署名されたアプリケーションの識別に使用されます。 |
チェックサム |
JARファイルのチェックサムのハッシュ値と、ハッシュ値の作成に使用されたアルゴリズム。通常、チェックサム・ハッシュ値は署名されていないJARファイルの識別に使用されます。 |
ルール・アクション |
ルールに一致するアプリケーションに対して実行されるアクション。次のいずれかのオプションを選択します。
|
バージョン |
アプリケーションの実行に使用するJREバージョン。このプロパティは、「ルール・アクション」が ルールに指定されたバージョンは、アプリケーションによって指定されたバージョンに一致する必要があり、一致しない場合、アプリケーションはブロックされます。バージョンは、完全に一致する必要はありません(たとえば、1.7+や1.8*も一致とみなされます)。「バージョン」では、次のオプションのいずれかを選択し、リリースを選択するかバージョン番号を入力します。
|
メッセージ |
メッセージがユーザーに表示されます。メッセージが指定されていないと、アプリケーションがブロックされる場合にはデフォルト・メッセージが表示され、アプリケーションが実行ルールに一致する場合にはメッセージが表示されません。 メッセージを追加するには、メッセージ表を右クリックしてメッセージの追加を選択します。表に新しい行が追加されます。 「ロケール」列に、メッセージのロケールを入力して[Enter]キーを押します。メッセージ列に、ユーザーに表示するメッセージを入力して[Enter]キーを押します。ロケール・フィールドが 複数のメッセージを指定すると、表示されている順序ですべてのメッセージがユーザーのロケールと比較されます。複数のメッセージがロケールに一致する場合は、最後に一致したメッセージが使用されます。表のメッセージを並べ替えるには、必要に応じてメッセージを削除して再入力します。 |
顧客データ |
ルールに含まれるカスタム情報。ルールに一致するアプリケーションが実行される際に、この情報がJava Usage Trackerレコードに追加されます。 「顧客データ」フィールドに有効なXMLを追加します。データの各ブロックは、 |
ルール・セットのデプロイ
Advanced Management Console では、企業内のデスクトップにデプロイメント・ルール・セットを配布する手段が管理者に提供されています。デスクトップは、Advanced Management Console に登録する必要があります。
デプロイメント・ルール・セットの配布
デプロイメント・ルール・セットは、企業内での実行が許可されるアプリケーションの管理に役立ちます。Advanced Management Console の「デスクトップ」タブには、デプロイメント・ルール・セットを選択したデスクトップにプッシュするためのオプションがあります。
Advanced Management Console エージェントを使用して、ルール・セットをデスクトップにインストールします。ルール・セットをプッシュすると、コマンドがエージェントに送信されます。次回、エージェントがAdvanced Management Console サーバーと接続した際に、エージェントはそのコマンドを処理します。ルール・セットのステータスを表示するには、「ルール・セットのステータス」表示オプションを選択するか、「ルール・セットのステータス」フィルタ条件を設定します。