https://blogs.oracle.com/soaproactive/entry/how_to_configure_policy_authorization
ユースケース
アクセス制限が必要なコンポジットに対し、HTTPベーシック認証と認可ポリシーを使ってアクセスを制限し、特定のグループに属するユーザに許可しようとしています。WebLogic Server管理コンソールを使ってユーザとグループを作成し、コンポジット用の認証・認可をEnterprise Managerで構成する手順をご紹介します(いくつかの設定はJDeveloperでも可能です)。
ユーザ・グループの設定
(このセクションにはスクリーンショットはありませんが、次のセクションで使います)
- WebLogic Server管理コンソールにログイン (http://<host>:<port>/console)
- 左側のメニューから「セキュリティレルム]をクリック
- ユーザとグループを作成したいレルムを選択。デフォルトは"myrealm"。
- [ユーザとグループ]タブをクリック
- [ユーザ]で[New]を選択し、新規ユーザのユーザ名とパスワードを指定。今回はBob1、Bill1、janeというユーザを使うことにする。
- [グループ]タブで新しいグループを作成する。名前はGroup1とする。
- [ユーザ]タブに戻り、Bob1を選択。
- [グループ]タブでGroup1を追加する。Bill1についても同様。意図的にjaneはこのグループに入れないでおく。
1. Enterprise Manager(EM)での設定
1.1) Enterprise Manager Fusion Middleware Controlにログイン。
1.2) [セキュリティ]>[資格証明]をクリック。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2UUhHD5F19QlmMqNZ516PMw6-8-RiLFEQacaRX071MsCruwUQYXmWiCbk0gTUGfIgctpkEbJ0TUhtD69gfJCcAE5YeY6iHWpqIAfn6Yz28kA7JmbiUvG52nglKXIzAWwWeAIcW66eO30/s640/em_01.jpg)
1.3) [マップの作成]をクリック
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEheTVj31RPtYceBWZkgSmwpt0I4KFE0eAPA2LRtCTL5a1JqzbnLtJQXqyXRgLum_qhslQ3z4SoBSpdB2ymh4UQVT7VdrhZZcSz_ny2JXgUXGXhr-su0Q2P9-ly3jEWHFfJBMasPlZ6Ax7s/s640/em_02.jpg)
1.4) マップ名は'oracle.wsm.security'
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhsPkkG5nOxUtRr6KMm-xZ9n-3xF_0hDlG8touYj0xyH2JNwUo2lTAk0JqbtUlFbGQf8ZVyWQoPRyLlg4oQthu0-Axw1-JmqCO812qp7XSdKbYA8gAD6Qbv0QELlUjjt8IPSUmA8M8YOrs/s640/em_03.jpg)
1.5) 入力したら'OK'を押す。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh-JfqjOlAqdV_zu2OHC3vgA3fjiHUXS_QFlscAbCSYrvRlppS-cfzae2D_ntU8odFoNK2Mibs4vkTfyvawbPPSFONsePer8h_L5ey7rKYv7B8_xPIsK9Gf13QAM4BkK6-2zEAJCyjod0Q/s640/em_04.jpg)
1.6) マップを選択して、[キーの作成]を押す。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgGqpmWT0MuxJkNj32LCU1Y4wwmipewXyT6PSRx0GIGhxkLha3vjJZbvjKSWgzOz5kwa1K-Sdi5OXj3MxSKQetnL-LsKPhBuKOUJeINekuyV8QS9U2K8ikMz2uXT6x4k84TFzHkWvIDLNw/s640/em_05.jpg)
1.7) キーの名前は'basic.credentials'
1.8) ユーザ名とパスワードを入力。ここでは、管理者ユーザ(weblogic)を使用。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiepVg1bkCPPfb7HGzp4sfNW8G7_8P-p4X-dy4vRdiXoL2iBuS7Q2WcSucBmeooEDYzpAuA2Hz_nmvRg0_JT3u1sAPaiAWyqIdSbhmlxdFR8yeUD8s7kw17Rn54arvLlf_BEtXVpTgZAqE/s640/em_06.jpg)
1.9) [OK]を押すと、資格証明は以下のようになっているはず。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi03EyxAjrNmmFrxmbo8Kr_3uDWf9K1zc_g6oVj-cHZn53zGzZXE1FzJ-zErfkLu-f57gUjyWH3z5xy_q_s7dHci5RhUd4Ih68e_IoMetPsS8TdSxn64bEE-tUIvdiymqoZrufRsNJDdTg/s640/em_07.jpg)
次はアプリケーション・ロールとアプリケーション・ポリシーを作成します。これらは認可ポリシーで使用します。
2. アプリケーション・ロールの作成
2.1) 左側のメニューでドメイン名を右クリック
2.2) [セキュリティ]>[アプリケーション・ルール]を選択
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj5CBR5IEo9oZ5LQVXUp0MXR8OWhLs41QRk9lZ4lqUPw7WTCaKR_BLKkoSblVa_0rYSrgoOJqdT5DR6agvlzNoh7RDIjX4AwpAso4tbvPUDVV9Fv19fl9wSB5Tu4j8OK9byHClr3gEuuWU/s640/em_08.jpg)
2.3) [アプリケーション・ストライプ]のプルダウンから'soa-infra'を選択
2.4) [追加...]を押して、新しいアプリケーション・ロール(GroupOneRole)を作成する。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqOyqTzcabwvEFjeqf-rCsgZNVmpEdiVPVuW-gV7D_W_6On8odrtCXp7e6YTzckwmopxsKaxdTWUy5fC1RiVU6TtsCVrCPoCOstboJxBmX2RghDMgus1N0lmeo3e54GelN-7OkGhUpXDU/s640/em_09.jpg)
2.5) [メンバー]の下の[追加]をクリック。[タイプ]はグループにしておく。
2.6) 検索し、先ほど作成したGroup1を選択する。
2.7) [OK]を押す。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPqVDc6vo4Zr7PHvd3a6LpA34xG_o7GXjA6usCs5l7CX7eMM-H5pRCWWuQbTQKGC3W2GDVLaXYE9X7IQUSB2DNIj8HJbTbrsBAdbSu4hyphenhyphen4U7gPfrqQ2EzG5vE5695cCazjpeLuLJgdHcE/s640/em_10.jpg)
メンバーにGroup1が追加されているはず。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgymlICbSWZbWlIk_OX7LrJEuUE-hdtIW4chc0NFahlybTdUeKh4Oap2Ez_Lv4p-9jy9uvIejwF7ek8KHtj3Rz1e2alwTiAr_9sJN02jxPD62FroERWDaLIDqReJREgWgmIHuU7QFDiPW0/s640/em_11.jpg)
3. アプリケーション・ポリシーの作成
3.1) 再度ドメイン名を右クリック。
3.2) [セキュリティ]>[アプリケーション・ポリシー]を選択
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhijfjLsuZfgAGLuV6i_jhqvMuIaUGO6ISa4dZKfY61LLvxk___ZXAMreXlTynH-avfKfzlJ-8-Z8E-DhMM4yE6lUEgUsIIF3qTOc9DaOTT9JulQnHlldC92cnGUYRAALgw_gbohjC4Ak8/s640/em_12.jpg)
[アプリケーション・ストライプ]は 'soa-infra'、[プリンシパル・タイプ]は[アプリケーション・ロール]になっている。
3.3) 検索
3.4) [作成...]をクリック
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYVs4fJ3dKVMU0U3-rcvwvMc2jOgaXYdSMSYFMcp8JYxTxAauRJtVF7PaCYe5T7UsoV9pnDSEZyZtKcxRypQMNDNeII1W3YnX0UALVpt_ycZFVH180DijqQV7cixN2gJMHVlOg-gYYb94/s640/em_13.jpg)
3.5) [権限]の下の[追加]をクリック
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhZs1QmWvhruRaLHaON8WF8qlqK-JjPnJvz49DKMg4OqF8NQSaaUx5A_JIgDrJlAfXAn5aQFcVvGGjjvlfWtfmKuYrGomh1HVEgRwx3VUkUC5IGnUh_oXyCvVF54brGEEtUMHUB3axvJ9E/s640/em_14.jpg)
3.6) [続行]をクリックし、カスタムエントリフォームへ移動する(ぱっと見ではここでの選択が必要なように見えるが、実際のところ、この画面では何もできないのです)。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCe6MiOx8cv6n9qO-FVdF76dTp5AbS9k4-7M026Ji1JWBue0Gwup8eBg0tDww9RkuRk5o8SCRy2pyyapuvRBXpUAWqDshSjKeqVoLHiobspkWRHVEr4MERxIciN6Pe_sCY1IfU-ZDOFm4/s640/em_15.jpg)
3.7) [権限クラス]に 'oracle.wsm.security.WSFunctionPermission' を指定。
3.8) 今回はリソース名とアクセス権のアクションの両方に'*'を入力する。実際の実装では、おそらくWebサービスと関連するアクションを指定する。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTaAQpByhLYcJzokukDxv9H2YKpjP0hTQivN9Cf4B0S46Pz_mJYFuktqJwICwPYhbwcfWfKAgqO1KKvCnJH1gkXs4hSDOCQH7POhkDCSkp-x5t3P_2azHHKQ2vpM1DEQq0mAx0Ba5OsRM/s640/em_16.jpg)
3.9) [選択]を押す。[権限]は以下のような表示になっているはず。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhnX7lTUHro1KBJE5XeloZXgOXhEyuA41keQvW3BbHLlHkQboQfdHvp6Pxi19lN_zCLGXI2F-Zfr8TYY3bsgGWrgOVwdnPlyUBqdUY6YZFJp9v5doUVACEh54K1tGx7TVtYbdlmVLB3yUo/s640/em_17.jpg)
3,10) [権限受領者]の下にある[追加]をクリック
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhiMTZaCXi0UPhsL40o3UHtOQlBPWBHNS2Q9Ll8brbTpM60E1UZydl5WP4wO3v0IdrgQrG0v50Wy2fDYQkYkM0xDXr4Evh5nk3MwkdSU31Dzl9_2C3GVN3ZcVtkqQcfiVb6qSn2W8ssOKg/s640/em_18.jpg)
3.11) デフォルト条件で検索して、 'GroupOneRole' を選択
3.12) 'OK' を押す。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhlCIg7NvrgMl10VKf6kuT-2_28kVylVmHPBP-fAHy3gpBHM8ZsJYbksX1zKBEd-uP0yyimrCyiOHjFUXT7qOMAtNouXyMi0rX0whmq0_E3VTZlN3_2pz7iux2It5jCfikaifGzbCOTSQk/s640/em_19.jpg)
[アプリケーション権限の作成]の画面は以下のようになっているはず。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjH3TGCQtQfx1u928usJF4b1MjUCYEVli9VEP2hN7kHGcpk4jz0Tba88jU-TZ-WbSVowh-LQpr1sQ7xxEmJR6ZI9qQlZvE1-V0xEozoKH4wZq8ri6HeDFThC742dP5mP7VZENfADchneBQ/s640/em_20.jpg)
3.13) 右上部の[OK]を押して、GroupOneRoleプリンシパルがリストに出てくることを確認。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgyLLN1EMp9DMOqEJ_9zmNxn-Cy_dfcXGbRo-Rovs82FIo2lN0M8qUw3AbTnBMB-QUxCewf0tJIHZrGv_A2j8yiwzxp_Dv_hhHXvnBfM8xMNZGK3uuOls6pEVb4gRUB9ziwtq6Fuz8noH0/s640/em_21.jpg)
これでプロジェクトにポリシーを追加する準備ができました。
4. WS-Policyをプロジェクトに追加
4.1) プロジェクト名を右クリック
4.2) [ポリシー]を選択。現時点では、プロジェクトに関連づけられているポリシーはない。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhig0T1h7Uf0I5SAAp8JRJNZEwSNyxBRiTBg0SXgNo3NmmUm5ur41gczsxmrdKBH8ufqIbdOUjPJ-MYNEgxaiU6AprGanO3bfr7jXtySb110jZP_BuD3ejPbsJQZ3fdGbH2J337GCBJiDg/s640/em_22.jpg)
4.3) [アタッチ先/デタッチ元]を選択
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjswmkVrVYKfbYw-GBLaAEorY428ao6DPNPhZ7rnY2ZjdHMLnBxJVUjfvpQXK1_KVG7TTStNXAvlDVN8kZuuOscUqaCpOu9LeHhI9TwGc1l2BwxphKLem-TuznmgXqDPaq79lOWCm9n7mg/s640/em_23.jpg)
プロジェクトによっては、図よりも多くのコンポーネントがあるでしょうが、今回は 'bpelprocess2_client_ep' というコンポジットのエントリポイントを使うことにします。先ほどの操作で、以下の画面が開きます。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhwpP7OjIE-16PQa7G6thpuk1cZylZgxkJJLKwe0Efi9PaXNq2rqjoderBhV_u8AzWXd_3IQlfJtHog_KthExkEml87IMVqJh-FEknMAgg2kcaOhK-NuQvYkG9bOXPJtWn2hEIwfCK7_zA/s640/em_24.jpg)
これから、3個のポリシーを追加します。
- 認証のための'oracle/wss_http_token_service_policy'
- ポリシーアクティビティのロギングのための'oracle/log_policy'
- 認可のための'oracle/binding_permission_authorization_policy'
[訳注]
JDeveloperの画面はこちら。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiQb1gLDSrmLpgQmbQIKyjbNTXAVuym7uxl49xYVPI1W5lTHfIT1iWwQAR478XqbUiUQ-LPUr2djtedbP20xzOQw_hgCSzgNQG33n3XqAAkBu1lpkd037ccwnWsLZ3-L95zHzNpfJuf9OQ/s1600/JDev01.jpg)
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSSYdmmCyLGCbelCjMhoiawo_h0YGjontZj8MY9Ez96SLv5pWe3KUaDSpEa5Oly5oIC-urn2FNsTvg06HLXWATbFaJAjlnK22utJ1CxMTzqeHV-EH0nmTXxAY1H6ZK5wCE4DR94Irw2MM/s1600/JDev02.jpg)
4.4) リストから設定するポリシーを選択し、「アタッチ]をクリック。上記3ポリシーの設定が完了すると、[直接アタッチされたポリシー]は以下のようになるはず。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiKPODv859v3nYwKUM2c9R7VZsuFYLuVIU5RkU7f17ZnOsFcsHoEaP4uAHovlP8c_1LL2VXKNDm6AxRNL6Ej7rIRYij8gyfB4htNUf_mNlbcmYTNNnkxd9KjgyMLTdhgj5GXwZdNmd4VkE/s640/em_25.jpg)
4.5) [検証]を押して、[OK]を押すと、ポリシーは以下のようになっているはず。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOIiIdhkmEJVeHqE6s74j9Cd6CzM8nAZCFjBrWAALG5kDOHSW-Fey9Ngr1ijp2qyMJFcqKggi_hl4UgJQHhjoTyx4ClOaLY36Uq0BizxGvgdZb93IJwOS3xdQ57zFytXeXY5Ir9s_XnFA/s640/em_26.jpg)
これで構成は完了です。
では、JMeterを使ってテストしてみましょう。HTTP認証ヘッダを付けたリクエストを送信してみます。JMeterの構成は扱いませんが、2個のリクエストに対するレスポンスをご紹介しましょう。まずは、"Bob1"で試してみましょう。
HTTP認可ヘッダの値は以下の通りです。
Basic Qm9iMTp3ZWJsb2dpYzE=
これはBase64エンコーディングされており、元の値は'Bob1:weblogic1'です。サーバからのレスポンスは…
![](https://blogs.oracle.com/soaproactive/resource/Authorization1/jmeter1-1.jpg)
では、ドメインには属しているけれどもGroup1メンバーでないjaneで試してみましょう。
HTTP認可ヘッダの値は以下の通りで、'jane:weblogic1'がBase64でエンコードされています。
Basic amFuZTp3ZWJsb2dpYzE=
サーバからのレスポンスは…![](https://blogs.oracle.com/soaproactive/resource/Authorization1/jmeter2-1.jpg)
レスポンスコード403が確認できます。これは当該リクエスタによるリソースの利用が禁止されていることを意味します。標準出力には以下のようなエラーメッセージが出ています。
<Error> <oracle.wsm.resources.security> <WSM-00045> <HTTP authentication/authorization failure.>
このエントリがSOA 11gコンポジットアプリケーションに対して認可を有効にしようとしている皆さんにお役に立つことを願っています。非常に簡単な例ですが、おそらくよい出発点ではないかと思います。将来、複雑な認可に関するエントリを追加するかもしれません。
0 件のコメント:
コメントを投稿