開発者向けチュートリアルガイド (UNIX/Win)

HP OpenView Select Access SDK
Windows®、 UNIX®、および HP-UX® オペレーティングシステム
ソフトウェアバージョン : 6.2
開発者向けチュートリアルガイド
ドキュメント発行日 : 2006 年 9 月
ソフトウェアリリース日 : 2006 年 9 月
ご注意
保証について
HP 製品およびサービスに関する保証は、これらの製品およびサービスに付随する明示的保証書に記載された内容
に限定されます。本文書には、追加の保証を規定している箇所はありません。 HP は、本文書に含まれる技術的ま
たは編集上の誤りや遺漏に対して、責任を負わないものとします。
この情報は予告なしに変更されることがあります。
法律上の権利の制限について
本文書で取り扱うコンピュータソフトウェアは秘密情報であり、その所有、使用、複製には、 HP から有効なライ
センスを得る必要があります。 FAR 12.211 および 12.212 に従って、商用コンピュータソフトウェア、コンピュー
タソフトウェアのドキュメント、および商用アイテムの技術データは、ベンダの標準商用ライセンスに基づいて
米国政府にライセンスが付与されます。
著作権について
© Copyright 2004-2006 Hewlett-Packard Development Company, L.P.
商標について
HP OpenView Select Access には、サードパーティ製ソフトウェアが含まれています。 HP OpenView Select Access で
使用されるソフトウェアは次のとおりです。
•
Apache Software Foundation 開発のソフトウェア
•
Claymore Systems 社開発のソフトウェア
•
Eric Young 氏開発の暗号化ソフトウェア
•
Cryptix Foundation 社開発の暗号化ソフトウェア
•
cURL、 Copyright 2000 Daniel Stenberg.
•
JavaBeans Activation Framework バージョン 1.0.1 Sun Microsystems, Inc.
•
JavaMail バージョン 1.2 Sun Microsystems, Inc.
•
Alexandria Software Consulting 開発の JavaService ソフトウェア
•
JClass LiveTable、 Copyright 2002 Sitraka Inc.
•
OpenSSL ツールキットで使用する OpenSSL プロジェクト
•
Protomatter Syslog、 Copyright 1998-2000 Nate Sammons.
•
SoapRMI、 Copyright 2001 Extreme! Lab, Indiana University.
その他の著作権情報については、 HP OpenView Select Access の <install_path>/3rd_party_license ディレ
クトリを参照してください。
2
ドキュメントの更新情報
このマニュアルの表紙には、次の識別情報が含まれています。
•
ソフトウェアのバージョン番号。ソフトウェアのバージョンを示します。
•
ドキュメントの発行日。ドキュメントの更新のたびに変更されます。
•
ソフトウェアのリリース日。ソフトウェアのこのバージョンのリリース日を示します。
最新版の有無や、現在使用中のドキュメントが最新版かどうかを確認する場合は、次のサイトを参照してください。
http://ovweb.external.hp.com/lpe/doc_serv/
製品のサポートサービスに登録して、本書の最新版を入手することもできます。詳細は HP の担当営業までお問
い合わせください。
3
サポート
次の HP OpenView サポート Web サイトを参照してください。
http://www.hp.com/managementsoftware/support
HP OpenView オンラインサポートでは、対話型テクニカルサポートツールをすぐにご利用いただけます。次の機
能が用意されています。
•
マニュアル類の検索
•
サポートケースと機能拡張要求の登録とトラッキング
•
ソフトウェアパッチのダウンロード
•
サポート契約の確認、変更、および更新
•
HP サポートの連絡先の確認
•
入手可能なサービスの確認
•
フォーラムへの参加
•
ソフトウェアトレーニングの確認と登録
各種サポートのご利用の際には、ほとんどの場合、 HP Passport ユーザーとしてご登録いただいたうえで、サイン
インすることが条件となります。さらに、サポート契約も必要です。
アクセスレベルの詳細は、次のサイトを参照してください。
http://www.hp.com/managementsoftware/access_level
HP Passport ID の登録は、次のサイトで行うことができます。
http://www.managementsoftware.hp.com/passport-registration.html
4
目次
1 Select Access API について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
Select Access ドキュメントセット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
各章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
2 Select Access API の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Select Access のコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17
Select Access のカスタマイズ. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Select Access のプログラミング API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Select Access の API を使用したカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Select Access のソースファイルとライブラリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22
SDK でのサンプルの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
UNIX で C++ サンプルを作成するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Windows で C++ サンプルを作成するには. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Windows または UNIX で Java サンプルを作成するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Windows または UNIX で Web 管理インターフェイスを作成およびインストールするには. . . . . . . . . . .24
XML の重要性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
ルールの表現方法と格納方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
データのエンコード方法と通信方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
シナリオ : アイデンティティが mycompany.com へのアクセスを要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
3 GUI のカスタマイズ : Policy Builder API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Policy Builder について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Policy Builder API について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Policy Builder プラグインの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
認証プラグイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
インストールされている認証プラグインを確認するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
承認プラグイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Policy Builder API の仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
Policy Builder API のクラスとユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
Policy Builder プラグインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
新しい Policy Builder プラグインを作成するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34
Configuration Editor の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
Configuration Editor を作成するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
5
承認プラグインのアイコンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
component.xml ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37
Policy Builder プラグインのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
Policy Builder プラグインをインストールするには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
Policy Builder プラグインの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
Policy Builder プラグインを削除するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
4 認証方式と認証ルールのカスタマイズ : Validator API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
Policy Validator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
Validator API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .46
Validator API プラグインの種類. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
認証プラグイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
判定ポイントプラグイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
Validator API の仕組み. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49
Validator API のクラスとユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
Policy Validator プラグインのルールの作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
プラグインを作成するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
authenticate() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53
decide() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
Policy Validator プラグインのインストール. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55
Policy Validator プラグインの削除. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55
認証プラグインの作成 : ファイルベースの認証の例. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55
認証プラグインのヘッダーファイルの組み込み. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
FileAuthenticator クラスの定数. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
認証プラグインの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
factory() メソッドを使用した認証プラグインのインスタンスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
認証プラグインのインスタンスの破棄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
アイデンティティの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
判定ポイントプラグインの作成 : ディレクトリ属性の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
判定ポイントプラグインのヘッダーファイルの組み込み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .69
attributelogic クラスの定数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70
判定ポイントプラグインの登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
判定ポイントプラグインのインスタンスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
判定ポイントプラグインのインスタンスの破棄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
ポリシーノードの評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
LdapConnection / User / UserSource / UserCache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75
サンプル attributelogic の作成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82
5 セキュリティサービスのカスタマイズ : Enforcer API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
Enforcer プラグイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .83
Enforcer API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
6
Enforcer API の仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
Enforcer プラグインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
Enforcer API のクラスとユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .86
Enforcer API の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .87
作成時の考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
承認の必要性の判断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
ログイン画面の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
セッションの状態の保持 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
シングルサインオンの nonce の処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
複数ドメインシングルサインオンの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
Java Enforcer API を使用した Enforcer プラグインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .89
ServletFilter の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
Java Enforcer API のクラスとユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
Enforcer のクラスのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
ServletFilter クラスおよび ServletTransaction クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91
サーブレットの要求のフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91
ServletTransaction クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92
Enforcer オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93
Enforcer オブジェクトの新しいインスタンスのインスタンス化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .93
承認データの抽出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94
承認の必要性の判断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95
Policy Validator 要求の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
Policy Validator へのクエリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98
Policy Validator の応答結果の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .98
複数ドメインシングルサインオン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
サンプル Web アプリケーションへの Servlet Filter の配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
C/C++ Enforcer API を使用した Enforcer プラグインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
Apache Enforcer プラグインの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
C/C++ Enforcer API のクラスとユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .108
Enforcer ライブラリの組み込み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
Enforcer オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
承認の必要性の判断 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Policy Validator 要求の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Policy Validator へのクエリ送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
応答結果の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
複数ドメインシングルサインオン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
UNIX での考慮事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .124
Apache プラグインの登録. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
Apache Enforcer プラグインのコンパイルとインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125
COM Enforcer API を使用した Enforcer プラグインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
WSE Enforcer プラグインの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
Helper クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
InputFilter クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
7
OutputFilter クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128
COM Enforcer API のクラスとユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
COM ライブラリのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
Enforcer オブジェクトの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130
XML 要求の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .131
Policy Validator へのクエリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .136
Policy Validator の応答結果の実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .137
WSE Enforcer プラグインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
サイト固有データの組み込み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
Policy Validator クエリにサイトのデータを挿入する方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
site_data プラグインをロードするには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .146
6 個別化属性の使用 : Personalization API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
Personalization API について. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
Policy Validator での個別化のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
Enforcer プラグインでの個別化のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .150
サーブレット Enforcer プラグインの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
サーブレット HTTP ヘッダーへの個別化データの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151
Apache Enforcer プラグインの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .152
環境へのエクスポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .153
各種リソースからの個別化データの利用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .154
UNIX 環境変数の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
サーブレットからの HTTP ヘッダーの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155
Visual Basic を使用したサーバー変数の表示. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158
7 マルチリソースへのクエリ : Policy API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
アクセス制御について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
XML と Policy API について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
Java Policy API の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162
C/C++ Policy API の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163
COM Policy API の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .163
8 一時的なディレクトリプロファイル : User API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167
User API について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .167
ファイル認証プラグインの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .168
ファイルオーセンティケータのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
プラグインを作成するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
Policy Builder プラグインをインストールするには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
Policy Validator プラグインをインストールするには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
オンラインヘルプをインストールするには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
8
ファイルオーセンティケータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
認証サービスを作成するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .170
ファイルオーセンティケータの仕組み . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172
アイデンティティの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
既存のプロファイルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
新規アイデンティティプロファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178
属性の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
9 Administration API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181
Administration Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181
Administration API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182
例外の処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182
記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .182
Administration API の入手 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183
データの種類の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .183
共通のデータの種類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
resourcePath . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
ネットワークリソースパス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
管理リソースパス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
ネットワーク管理リソースパス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
スキーマ管理パス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
機能管理パス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
アイデンティティ管理パス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186
LdapSearchCriteria. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
LdapSearchCriteria のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188
LdapSearchCriteriaFilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .189
LdapSearchCriteriaFilter のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190
AdminFault. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
リソース固有の API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
getResource . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .191
getResource のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192
ResourceServer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192
ResourceServer のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
プログラム例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .193
setResource. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194
入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .194
setResource の入力パラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195
setResource の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195
出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195
setResource の出力パラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196
プログラム例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .196
9
searchResources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
プログラム例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
ポリシー固有の API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198
getPolicies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198
入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .198
出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199
getPolicies のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199
IdentityColumn. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199
IdentityColumn のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .200
Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .200
Policy のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .200
AccessPolicy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
AccessPolicy のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
Rule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .201
Rule のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202
WorkflowPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .202
WorkflowPolicy のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203
AdminPolicy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .203
AdminPolicy のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .204
SelectAuthPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .204
SelectAuthPolicy のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205
SelectAuthPropertyType. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .205
SelectAuthPropertyType のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206
SelectAuthProperty XML の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .208
プログラム例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .209
setPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210
入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .210
setPolicy のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212
プログラム例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212
ヘルパ API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
refreshValidators. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
getAuthServiceNames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
getRuleNames . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
パスワードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
ユーザーパスワードの変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
setUserPassword. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
setUserPassword のパラメータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
出力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
10
プログラム例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .216
エラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .217
10 管理サーブレット : Web 管理インターフェイス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .219
Web 管理インターフェイスについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .219
Admin クラスのメソッドの例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .220
Web 管理インターフェイスのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221
ビルドプロセスおよび山かっこ (>< または >#<) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .222
使用される JSP ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .222
メニューの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224
HTML メインメニュー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224
データの表示 : ディレクトリサーバーの検索結果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .225
ディレクトリサーバーの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .226
ディレクトリの Node 情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
データの表示 : アイデンティティプロファイルとしてのディレクトリエントリ . . . . . . . . . . . . . . . . . . . . .230
ディレクトリサーバーエントリの場所の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230
ディレクトリサーバーエントリをプロファイルとして表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231
プロファイルの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
プロファイルのディレクトリサーバーエントリの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .234
JSP コンテナと JAR ファイルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235
11 ログのカスタマイズ : Logger API. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
Logger API について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .237
Logger API の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
手動で C++ ログフィルタを設定するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
XML を使用して Java ログフィルタを設定するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239
C++ の Logger API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239
デフォルトの出力先を使用したメッセージの記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239
手動によるログフィルタの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240
メッセージの記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241
Java の Logger API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
デフォルトの出力先を使用したメッセージの記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
XML を使用したログフィルタの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .242
XML の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .243
メッセージの記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245
カスタムチャネルへのログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .245
12 プロパティエディタのカスタマイズ : サブジェクトエディタ API . . . . . . . . . . . . . . . . . . . . 247
この章の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
サブジェクトエディタ API について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
サブジェクトエディタプラグインの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
新しいサブジェクトエディタプラグインを作成するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .248
11
サブジェクトエディタプラグインのプレビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249
画面のインターフェイスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249
getScreenName() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .250
createScreen() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .250
openScreen() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
loadScreenData() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .251
validateScreenData() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .252
saveScreenData() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253
closeScreen() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .253
showHelp() メソッドのオーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254
ヘルプの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .254
サブジェクトエディタプラグインのインストールと削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
サブジェクトエディタプラグインをインストールするには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
サブジェクトエディタプラグインを削除するには . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .256
A クエリ : アクセスの理解と評価 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
付録の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
クエリとは . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
クエリの使用方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
XML クエリの構造 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .258
クエリに含まれるプロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260
XML クエリに対する Policy Validator の応答 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .260
クエリユーティリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .261
C++ 実装について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262
コマンドラインの構文 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262
使用のシナリオ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .264
Java 実装について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265
プログラムのオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .266
索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
12
1 Select Access API について
Select Access は、コンポーネントベースの多層アーキテクチャに基づいています。この独創的な
構造により、管理者および開発者はシステムを容易に設定し、アップグレードできます。コンポー
ネントベースのアーキテクチャを利用することで、 Select Access は、既存のあらゆるネットワー
クインフラストラクチャに対応します。また、将来的なセキュリティ要件に合わせた拡張も可能
です。
拡張性を実現するため、 Select Access には、 Select Access の機能をお客様のネットワークインフ
ラストラクチャおよびビジネス要件に合わせてカスタマイズするためのコンポーネントを作成す
る各種 API が付属しています。新たに作成されたコンポーネントは、製品全体を再インストール
せずに Select Access ソフトウェアに「プラグイン」することができます。
対象読者
この文書は、ビジネス環境に合わせて HP OpenView Select Access 6.2 をカスタマイズしたいと考え
ている開発者向けに書かれています。特に、 Select Access API のサポートを目的としています。こ
れにより、特定のライブラリのメソッドまたは関数に関する参照資料を見つけることができます。
このガイドは、読者が C/C++、 Java、および COM の各プログラミングに習熟していることを前
提に書かれています。また、 Web サーバーについて、および Web サーバーが Select Access でどの
ように機能するかについて熟知していることも前提としています。
Select Access ドキュメントセット
本書では、参照箇所として Select Access の次のマニュアルが紹介されています。これらのマニュ
アルは、 Select Access のインストール時に <install_path>/docs フォルダに保存されます。
•
『HP OpenView Select Access 6.2 インストールガイド』 © Copyright 2000-2006 Hewlett-Packard
Development Company, L.P. (installation_guide.pdf)
•
『HP OpenView Select Access 6.2 Policy Builder ガイド』 Copyright 2000-2006 Hewlett-Packard
Development Company, L.P. (policy_builder_guide.pdf)
•
『HP OpenView Select Access 6.2 ネットワーク統合ガイド』 © Copyright 2002-2006
Hewlett-Packard Development Company, L.P. (integration_guide.pdf)
•
『HP OpenView Select Access 6.2 コンセプトガイド』 © Copyright 2005 - 2006 Hewlett-Packard
Development Company, L.P. (concepts_guide.pdf)
Select Access と各サードパーティテクノロジの統合方法については、製品 CD の docs/
solutions フォルダに格納されている該当のサードパーティの『Integration Paper ( 統合ガイド )』
を参照してください。
13
Setup Tool と Policy Builder のコンポーネントについては、オンラインヘルプを参照してください。
Select Access の SDK には、本製品に関する次の 2 つのマニュアルも保存されています。
•
『HP OpenView Select Access 6.2 開発者向けチュートリアルガイド』 © Copyright 2004-2006
Hewlett-Packard Development Company, L.P. (dev_tut_guide.pdf)
•
『HP OpenView Select Access 6.2 開発者向けリファレンスガイド』 © Copyright 2004-2006
Hewlett-Packard Development Company, L.P. (dev_ref_guide.pdf)
SDK の入手方法については、 HP のパートナーケアの Web サイト (http://
support.openview.hp.com/partner_care.jsp) を参照してください。
各章の概要
表 1 は、本書に収められている章の一覧です。
表1
14
各章の概要
章
説明
第 2 章、「Select Access API
の実行」
Select Access は、コンポーネントベースの多層アーキテクチャに
基づいています。この章では、 Select Access のコンポーネント
と、独自のプラグインの作成方法について説明します。
第 3 章、「GUI のカスタマイ
ズ : Policy Builder API」
Select Access では、開発者は Policy Builder の Configuration Editor
を新たに追加することができます。この章では、 Select Access の
Policy Builder と統合される、コンフィギュレータと呼ばれる
Configuration Editor を、 Policy Builder API を使用して作成する方
法について説明します。
第 4 章、「認証方式と認証
ルールのカスタマイズ :
Validator API」
Select Access では、 Policy Validator の拡張により、認証方式およ
び認証ルールのカスタマイズが可能です。この章では、 Validator
API を使用して、認証および承認のプラグインを作成する方法
について説明します。
第 5 章、「セキュリティ
サービスのカスタマイズ :
Enforcer API」
Enforcer API によって、 Select Access のセキュリティサービスを
ほとんどの製品およびカスタムコンポーネントと統合できます。
この章では、 Enforcer API を使用して、 Java、 C/C++、および
COM オブジェクトのセキュリティサービスを提供する方法につ
いて説明します。
第 6 章、「個別化属性の
使用 : Personalization API」
Select Access では、 Enforcer プラグインがアイデンティティの個
別化データを提供します。この章では、 Select Access を設定して
個別化をサポートする方法、 Policy Validator が個別化属性を
Enforcer プラグインに提供する仕組み、および Enforcer プラグイ
ンがこうした情報をアプリケーションで利用できるようにする
仕組みについて説明します。
第 7 章、「マルチリソース
へのクエリ : Policy API」
Select Access では、 Enforcer プラグインにより Policy Validator に
クエリを行い、各種のリソースを利用することができます。この
章では、マルチリソースの要求を行う方法について説明します。
第1章
表1
各章の概要 ( 続き )
章
説明
第 8 章、「一時的なディレク
トリプロファイル : User
API」
Select Access は、ディレクトリサーバーにプロファイルを持た
ないアイデンティティに関して、永続的なアイデンティティ属
性を格納するための API を提供します。認証プラグインが一時
的なアイデンティティプロファイルを作成することにより、
Policy Validator では、こうしたアイデンティティに対する個別化
属性を提供することが可能になります。この章では、このよう
なプロファイルの作成方法を説明します。
第 9 章、「Administration
API」
管理 API は、 Select Access Administration Server 用のプログラミ
ングインターフェイスを提供します。このインターフェイスを
使用して、リソースの定義やポリシーの設定、ユーザーパス
ワードの変更を行うことができます。この章では、管理 API の
機能について説明します。
第 10 章、「管理サーブレッ
ト : Web 管理インターフェ
イス」
Policy Builder アプレットのほか、 Select Access では、管理者が
Web ブラウザを使用して委任管理やワークフロータスクを実行
するための Web 管理インターフェイスを提供しています。この
章では、サーブレットを使用したインターフェイスのカスタマ
イズ方法と、 Web 管理インターフェイスについて説明します。
第 11 章、「ログのカスタ
マイズ : Logger API」
Select Access は、 Java アプリケーションや C++ アプリケーショ
ンによる安全かつ構造化された方法でのイベント報告を可能に
する、 Logger API を提供します。 Logger API は、名前付きのロ
グチャネル、ログの重要度レベル、およびログの出力先を提供
する Select Access のログクラスを使用します。この章では、ロ
グをアプリケーションに統合する方法を説明します。
第 12 章、「プロパティ
エディタのカスタマイズ
: サブジェクトエディタ
API」
サブジェクトエディタ API では、ユーザー、グループ、ダイナ
ミックグループ、およびフォルダのプロパティを編集する設定
画面のカスタマイズが可能です。デフォルトのプロパティパネ
ルはこの API を使用して作成されています。この章では、サブ
ジェクトエディタ API を使用して Policy Builder のプロパティエ
ディタパネルをカスタマイズする方法について説明します。
付録 A、「クエリ : アクセス
の理解と評価」
Policy Validator のクエリは、 Select Access のアクセス制御システ
ムの重要な要素です。データのエンコードと送信の際に XML を
使用することにより、あらゆるフォームや種類のデータをクエ
リに含めることができます。この付録では、こうしたクエリの
フォーマットと実装方法について説明します。
Select Access API について
15
16
第1章
2 Select Access API の実行
Select Access は複数のコンポーネントから構成される、高度で一貫性のあるアーキテクチャです。
この章では、最新のプログラミング言語、業界標準、最先端のセキュリティ方式を使用し、既存の
あらゆるネットワークインフラストラクチャに Select Access を適用する方法について説明します。
柔軟性の高い Select Access は、将来のセキュリティ要件に合わせて簡単に拡張することができま
す。また、コンポーネントベースの多層アーキテクチャを主な基盤としているため、管理者およ
び開発者はシステムを容易に設定し、アップグレードできます。
この章の概要
この章では、 Select Access のコンポーネントの詳細と、環境や業務上のニーズに合わせて Select
Access の機能をカスタマイズするために独自のプラグインを作成する方法について説明します。
•
Select Access のコンポーネント (17 ページ )
•
Select Access のカスタマイズ (19 ページ )
•
Select Access のソースファイルとライブラリ (22 ページ )
•
SDK でのサンプルの作成 (23 ページ )
•
XML の重要性 (25 ページ )
Select Access のコンポーネント
Select Access のコンポーネントを拡張する前に、各コンポーネントの機能について十分に理解し
ておく必要があります。このガイドでは、 Policy Builder、ポリシーストア、 Policy Validator、およ
び Enforcer プラグインの 4 つの主要コンポーネントについて説明します。
Policy Builder は、ネットワークリソースのセキュリティポリシーを設定するために使用されるグ
ラフィカルアプリケーションです。セキュリティポリシーは判定ツリーの一連のルールとして表
現されます。このルールには、Select Auth ルールと条件付きアクセスルールの 2 種類があります。
図 1 は、 Policy Builder のグラフィカルインターフェイスと、 Select Auth ルールおよび条件付き
ルールの設定ダイアログへのアクセス方法を示しています。
Select Auth ルールはネットワークリソースの認証方式を指定します。ルールのノードは認証サー
ビスを表します。サービスは Policy Builder 認証プラグインを使用して設定されますが、サービス
そのものはオーセンティケータと呼ばれる Policy Validator プラグインによって提供されます。
17
条件付きルールはリソースの承認ポリシーを指定します。 1 つの条件付きルールは、 1 つの判定ツ
リーとそのツリー内の各分岐のポリシーノードから構成されます。ポリシーノードは Rule
Builder および Policy Builder 承認プラグインを使用して設定されます。エバリュエータと呼ばれる
Policy Validator プラグインは、リソースの要求時にポリシーノードを評価するサービスを提供し
ます。
Rule Builder によって条件付き
ルールを設定
Select Auth の設定
図1
Select Auth および条件付きルールの設定
Policy Builder は、ポリシーストア内に、各ポリシーノードの設定をはじめとする設定済みのセ
キュリティポリシーを格納します。 Policy Validator は、設定済みのセキュリティポリシーを取得
し、そのポリシーを使用してリソース要求を評価します。
Enforcer プラグインは、 Select Access のセキュリティサービスをカスタムアプリケーションおよ
びサーバーと統合します。 Enforcer プラグインはリソース要求を受け取ると、要求の許可または
拒否を決定するために Policy Validator にクエリを行います。Policy Validator の判定結果を実行する
のも Enforcer プラグインの役割です。
18
第2章
Select Access のカスタマイズ
このガイドでは、ネットワークインフラストラクチャおよびビジネス要件に合わせて Select
Access コンポーネントをカスタマイズする方法について説明します。 Select Access は、製品機能
のカスタマイズを可能にする一連の API を提供します。コンポーネントを追加または拡張する場
合には、単にコンポーネントを作成して追加するだけでよく、製品自体を再インストールする必
要はありません。 Select Access をカスタマイズするには、次の 2 通りの方法があります。
•
Select Acccess API を使用する
•
その他の API またはカスタマイズ方法を使用する
Select Access のプログラミング API
表 2 では、 Select Access の SDK に含まれるすべてのライブラリについて説明しています。このガ
イドで取り上げるすべての API が示され、各 API によって実行される内容の概略、および各 API
で必要とされるファイルが記載されています。
表2
Select Access の API
API の名称
実行内容
Validator API
新しい認証 / 承認方式を作成します。
Policy Validator プラグインはプログラミング言語として C/C++ を使用しま
す。 Policy Validator プラグインの役割は次の通りです。
1
Enforcer プラグインからの承認要求を処理します。
2
Policy Builder によって設定されたセキュリティポリシーを使用して要
求を評価します。
3
要求の評価に応じて、実行する動作を Enforcer プラグインに通知します。
注記 : Policy Validator をカスタマイズする場合、対応する Policy Builder プ
ラグインを作成して Policy Validator プラグインを設定する必要があります。
Policy Builder API
Policy Validator Decider プラグインの新しい設定パネルを作成します。
Policy Builder プラグインには次のような役割があります。
1
Policy Validator プラグインのインスタンスを新たに設定します。
2
Policy Validator の既存のインスタンスを編集します。
3
設定された Policy Validator プラグインのインスタンスの状態を保存し
ます。
注記 : Policy Builder プラグインを作成する場合、セキュリティルールで
Policy Builder プラグインを使用する前に、対応する Policy Validator プラグ
インを作成しておく必要があります。
Select Access API の実行
19
表2
Select Access の API
API の名称
実行内容
Personalization
個別化に使用されるアイデンティティデータを提供する Enforcer プラグイ
ンを作成します。
これは前述の API の連携によって実行されます。つまり、 Personalization
API とは、単一の API を指すものではありません。
Enforcer API
新しい Enforcer プラグインを作成します。
Enforcer プラグインは、 Web / アプリケーションサーバー上で Select Access
のエージェントとして機能します。次のような役割があります。
1
アイデンティティの要求の詳細を XML クエリ形式で Policy Validator に
渡します。
2
Policy Validator の評価後、 XML クエリの結果を実行します。
Enforcer プラグインでは、リソースのバックエンドアプリケーションロ
ジックをカスタマイズできます。
次の 3 つの Enforcer API ライブラリが利用可能です。
•
•
Enforcer C++ API ライブラリ
Enforcer Java API ライブラリ
•
Enforcer COM インターフェイス API ライブラリ
注記 : カスタムプラグインを作成する場合、 Setup Tool を使用してテンプ
レートファイル enforcer.xml を作成する必要があります。設定ウィ
ザードを実行すると、どのような種類の Enforcer プラグインを作成する場
合でも、このファイルが作成されます。詳細は、『HP OpenView Select
Access 6.2 インストールガイド』を参照してください。
Adminstration API
次の処理を行うために使用されます。
•
サービスおよびリソースエントリの追加、変更、削除
•
ユーザーおよびリソースのポリシー設定の追加、変更、削除
( 許可、拒否、あるいは既存のルールを使用 )
•
ユーザーによるパスワード変更の許可
Administration API は、 Web サービスでサポートされている言語を使用して
開発者が外部的にリソース定義とポリシー設定を行うための、公開 WSDL
をベースとした環境です。
この API は Web サービスで実装し、 Axis Enforcer で保護します。 Setup Tool
は、 Administration API 環境と Axis Enforcer を自動的に設定します。
20
第2章
Select Access の API を使用したカスタマイズ
さまざまなコンポーネントをカスタマイズできます。表 3 を参照し、実際のビジネス環境との関
連を確認してください。
表3
Select Access API を使用したカスタマイズ
使用する API
機能
新しい認証方式を作成し、 Select Access の認証
サービスを拡張します。新しい認証方式を追加す
るには、次の 2 つのプラグインが必要です。
1
Select Auth ルールに認証サービスを設定する新
しい Policy Builder 認証プラグイン
2
認証サービスを提供する Policy Validator のオー
センティケータプラグイン
リソースへのアクセスを評価する新しい方式をサ
ポートするために承認サービスを追加します。新
しい承認サービスを追加するには、次の 2 つのプ
ラグインが必要です。
1
Rule Builder で条件付きルールに新しい機能を
設定する Policy Builder 承認プラグイン
2
リソース要求を評価する Policy Validator の判
定ポイントプラグイン
バックエンドアプリケーション / サーバーと
Select Access のセキュリティインフラストラク
チャを統合する、新しい Enforcer プラグインを追
加します。このプラグインは Policy Validator の判
定結果を実行します。
•
Policy Builder
API
•
Validator API
参照箇所
第 3 章、「GUI のカス
タマイズ : Policy
Builder API」
Policy Builder API
68 ページの「判定ポ
および Validator API イントプラグインの
作成 : ディレクトリ
属性の例」
Enforcer
第 5 章、「セキュリ
ティサービスのカス
タマイズ : Enforcer
API」
Validator API および
Enforcer API
第 6 章、「個別化属性
の使用 :
Personalization API」
注記 : カスタムプラグインを作成する場合、 Setup
Tool を使用してテンプレートファイル
enforcer.xml を作成する必要があります。設定
ウィザードを実行すると、どのような種類の
Enforcer プラグインを作成する場合でも、この
ファイルが作成されます。詳細は、『HP OpenView
Select Access 6.2 インストールガイド』を参照して
ください。
個別化データにより、バックエンドアプリケー
ションはカスタマイズされたユーザー表示を提供
できます。
注記 : 個別化データを使用するには、 Policy
Builder で Policy Validator を設定し、個別化をサ
ポートする必要があります。
Java Enforcer プラグインを作成する場合、必要な JAR ファイルを検索する必要があります。署名
されていない JAR ファイルは <install_path>/shared/、署名された JAR ファイルは
<install_path>/jetty/protected/ をそれぞれ検索してください。
Select Access API の実行
21
以前のバージョンからカスタム Java プラグインをアップグレードする場合、プラグインを移行し
て、今回のリリースのライブラリを使用する必要があります。詳細は、『HP OpenView Select Access
6.2 リリースノート』を参照してください。
Java Enforcer プラグインを作成する場合、ホストコンピュータでのコンポーネントのインストー
ル状況によっては、プラグインの作成に必要な DLL が存在しないケースがある点に注意してくだ
さい。 NTEventLogAppender.dll は、 Select Access をフルインストールした場合のみインス
トールされます。カスタムプラグインの作成で失敗するときは、このファイルがローカルの
system32 フォルダにコピーされているか確認します。
Select Access のソースファイルとライブラリ
Select Access には、カスタムプラグインの作成に役立つソースファイルとライブラリが含まれて
います。
Select Access の SDK CD の SelectAccess/source フォルダには、カスタムプラグインの作成
に必要なすべてのファイルが用意されています。また、local_tools フォルダには、Select Access
のローカライズに必要なディレクトリとファイルが格納されています。ローカライズを行わない
場合、このフォルダは使用しません。
デフォルトの SelectAccess/source フォルダには、次の表のサブフォルダが格納されていま
す。
表4
22
Select Access のデフォルトのディレクトリ構造
フォルダ
格納されているファイル
enforcer
C/C++ Enforcer API ヘッダーファイル。
include
ACE、 Expat、 cURL、 OpenSSL などのサードパーティのヘッ
ダーファイル。
Java
Policy Builder の判定ポイントの 4 つのサンプル ( トグル、
attributelogic、アイデンティティフィルタ、プロトコルフィル
タ )、 Java クエリテスト、 Web 管理用の Java ソースファイル。
server_plugins
Apache 2 Enforcer プラグインおよび TCP Enforcer プラグイン用
の C/C++ ソースファイル。 Apache 2、 IIS、および iPlanet 用の
site_data のサンプルファイルもあります。
validator/plugins
Policy Validator 判定ポイントのプラグインのサンプル ( トグル、
attributelogic、アイデンティティフィルタ、プロトコルフィル
タ ) の再構築に使用する C/C++ ソースファイル。
linux、 solaris、
hpux、 win32、
64bits/hpux-ia64、
64bits/linux-ia64
各プラットフォームのサンプルを作成するための、プラット
フォームに固有のヘッダーファイルとプレースホルダのディ
レクトリ。
query
C++ クエリプログラムのソースコード。
第2章
SDK でのサンプルの作成
このセクションでは、今回の SDK リリースを十分に機能させるために検討すべき手順について説
明します。以下に記載された手順に従い、 Select Access のライブラリを使用してカスタムプラグ
インを作成できるか確認してください。
•
UNIX で C++ サンプルを作成するには (23 ページ )
•
Windows で C++ サンプルを作成するには (24 ページ )
•
Windows または UNIX で Java サンプルを作成するには (24 ページ )
•
Windows または UNIX で Web 管理インターフェイスを作成およびインストールするには
(24 ページ )
UNIX で C++ サンプルを作成するには
1
unixify.sh スクリプトを実行し、 Windows の行末を UNIX の行末に変換します。
2
ビルド環境には、必ず表 5 にリストされているファイルが含まれるようにします。これらの
ファイルはインストールパスに配置する必要があります。
表5
ビルド環境の要件
ファイル
必須となる場合
GNU makea。例 : gmake <fileName>
Select Access Makefile システム
注記 : Red Hat AS 4.0 に関しては、
make CXX=g++32 を使用します。
例 : make <fileName>
gcc v3.3.2 および g++
Solaris
aCC: HP aC++/ANSI C B3910B A.05.55
[2003 年 12 月 4 日 ]
HP-UX (PA-RISC および IA64)
gcc v3.2.3
RedHat Linux AS 3.0/4.0 (x86 および
IA64)
Visual C++ 6.0
Windows
a.
3
バージョンを問わず、パスに含まれる make の前に gmake を付けます。
次のいずれかの操作を行います。
•
Apache の場合 : ルートフォルダから make を実行し、プラグインをコンパイルします。
“undefined reference” エラーは無視してください。このエラーは Apache の実行時
に解決されます。
•
Red Hat Enterprise Linux 4 の場合 : プラグインに対して make CXX=g++32 を実行します。
SDK で C++ コンポーネントを作成するには、 make CXX=g++32 を実行します。これ
により gcc 3.2 が使用され、ビルドに Red Hat Enterprise Linux 3 との一貫性を持たせ
ることができます。
•
Select Access API の実行
他のサンプルの場合 : プラグインに対応するフォルダから make を実行します。
23
Windows で C++ サンプルを作成するには
1
Select Access SDK には Visual Studio .NET によるビルドに必要なプロジェクトファイルが含
まれていないため、ビルド環境に Visual Studio 6.0 Service Pack 5 が含まれていることを確認
します。
2
メインディレクトリに SelectAccess.dsw ワークスペースをロードします。
3
プロジェクトとして _allsdk を選択します。
4
[ ビルド ] → [ アクティブな構成の設定 ] をクリックします。
5
構成で Release を選択します。
6
[ ビルド ] → [ すべてリビルド ] をクリックし、すべてのサンプルを再コンパイルします。
ファイルオーセンティケータサンプルのコンパイル時に表示されるシンボル名のエ
ラーメッセージは、無視してかまいません。
7
特定のサンプルのみをリビルドするには、 Visual Studio で対応するプロジェクトを右クリッ
クし、 [( 選択範囲 ) のビルド ] をクリックします。
Windows または UNIX で Java サンプルを作成するには
1
ビルド環境に以下が含まれることを確認します。
•
javac (Java コンパイラ ) および java (Java 実行時コンパイラ )。 Java SDK バージョン
1.4.2_10 には、両方とも含まれています。
•
Ant ビルドツール。Ant 1.6.1 は、http://ant.apache.org からダウンロードできます。
2
Java ディレクトリの build.xml ファイルを使ってサンプルを作成します。詳細は、次の
「Windows または UNIX で Web 管理インターフェイスを作成およびインストールするには」
を参照してください。
3
特定のサンプルをリビルドするには、コマンドラインで Ant にサンプル名を指定します。た
とえば、コマンドプロンプトで ant toggle または ant FileAuthenticator と入力し
ます。
Windows または UNIX で Web 管理インターフェイスを作成およびインストール
するには
24
1
Java ソースファイルを変更します。
2
DOS コマンドまたは UNIX シェルウィンドウを開き、次の操作を行います。
a
<SDK_install_path>/SelectAccess/source/Java フォルダに移動します。
b
プロンプトで ant と入力し、 Java ソースファイルをコンパイルします。
第2章
ビルドが完了したら、カスタマイズした Web 管理全体が deploy フォルダにパッケージ
されます。
次の手順では、 Select Access インストーラによりインストールされたファイルが
上書きされるため、 <SA_install_path>/shared/jetty/
policy_builder/webadmin フォルダ内のオリジナルファイルをすべてバッ
クアップしておくことをお勧めします。これにより、必要に応じてファイルを
元に戻すことができます。たとえば、 webadmin フォルダを webadmin.orig
という名前に変更します。
c
3
deploy ステージングディレクトリの webadmin フォルダにパッケージしたカスタムコ
ンテンツをコピーし、 <SA_install_path>/shared/jetty/policy_builder/
webadmin フォルダのすべてのコンテンツを上書きします。
サーブレットの配置を有効にするには、 Jetty Web サーバー / Administration Server を再起動し
ます。
XML の重要性
Select Access はデータの格納と通信の双方で XML を使用します。したがって、 Select Access のコ
ンポーネントをカスタマイズする前に、ソフトウェアがどのように XML を利用しているかを理
解することが重要です。 XML は直感的な理解が可能であり、 XML エディタで XML ドキュメント
を使用する場合は特に、簡単にシステムを把握し、拡張することができます。
ルールの表現方法と格納方法
XML は本質的にツリー構造であるため、 Select Access の 2 分的な判定ツリールールと調和しま
す。ルールおよびルールを構成するオーセンティケータと判定ポイントは、 XML オブジェクトと
して表現され、ディレクトリサーバーに格納されます。各 Policy Validator プラグインには対応す
る Policy Builder プラグインがあります。 Policy Builder はプロパティエディタを提供します。プロ
パティエディタによって、プロパティが XML に変換されます。変換された XML はルールの XML
内にネストされ、ディレクトリサーバーの LDAP データベースに再度書き込まれます。使用され
るデータの形式や種類に制限はなく、各組織のニーズに応じた、認証 / 承認エンジンの拡張が可
能になります。
データのエンコード方法と通信方法
データは XML 形式でエンコードされ、 Enforcer プラグインと Policy Validator 間の通信に使用され
ます（クエリと応答）。これにより、新しい情報を制約なく追加することができます。
•
クエリとは属性と値の組み合わせを指し、必要に応じて値を含んだ新しい属性をクエリに追
加できます。例としては、 <PROPERTY NAME="service">http://
mycompany.com:8080</PROPERTY> のようになります。
•
応答も XML ベースであり、情報が埋め込まれています。情報は次のような形式をとります。
— さらにデータを収集するよう、 Enforcer プラグインに通知するキュー。収集されたデー
タを基に応答が変更されることがあります。
Select Access API の実行
25
— アプリケーションに返される、クエリを実行したアイデンティティに関するデータ。こ
の情報を使用して、アイデンティティに対し、そのリソースに関する個別化されたエク
スペリエンスが提供されます。
XML ベースのプラグインアーキテクチャの柔軟な特性によって、Select Access はあらゆる判定結
果を実行することが可能です。たとえば、特定のサービス上でアイデンティティが入力したコマ
ンドに基づいた判定を行い、読み取り専用のアクセスを適用することができます (HTTP メソッド
の POST に対する GET、 FTP コマンドの PUT に対する GET など )。
図 2 は、 XML ベースのプラグインアーキテクチャをわかりやすく図解したものです。
図2
Select Access のプラグインアーキテクチャ
シナリオ : アイデンティティが mycompany.com へのアクセスを要求
XML の優れた機能について、次のようなシナリオを使用して説明します。未知のアイデンティ
ティが HTTP://mycompany.com へのアクセスを要求してきたケースを想定します。 Enforcer プ
ラグインは、そのアイデンティティの HTTP://mycompany.com へのアクセス権限を判断するた
めに Policy Validator にクエリを送信します。Policy Validator は、まず条件付きアクセスの応答を送
信し、未知のアイデンティティに登録を行うよう要求します。未知のアイデンティティが登録を
行うと、収集されたすべてのアイデンティティ情報は XML クエリにエンコードされ、アイデン
ティティの新しいディレクトリエントリ / アイデンティティプロファイルの属性として直接マッ
ピングされます。
26
第2章
表 6 は、後続のコード例について簡単に説明しています。
表6
クエリと応答の例
コード例
説明
Policy Validator に対するクエリ
の例 (27 ページ )
Enforcer プラグインから Policy Validator への最初の
クエリ。リソースへのアクセスを要求する。
Policy Validator に対する 2 番目
のクエリの例 (27 ページ )
Enforcer プラグインから Policy Validator への 2 番目
のクエリ。登録の詳細情報を含む。
単純な Policy Validator 応答の例
(28 ページ )
既知のアイデンティティ Steve Smith のアクセスを
許可する、簡単な Policy Validator の応答。
Policy Validator に対するクエリの例
次のコードサンプルは、 Policy Validator に対するクエリの例です。
<PolicyValidatorQuery>
<PROPERTYLIST>
<PROPERTY NAME="service">http://mycompany.com:8080</PROPERTY>
<PROPERTY NAME="path">/secure/form</PROPERTY>
<PROPERTY NAME="srcIP">10.10.10.6</PROPERTY>
<PROPERTY NAME="srcPort">1107</PROPERTY>
<PROPERTY NAME="dstIP">10.10.10.7</PROPERTY>
<PROPERTY NAME="dstPort">8000</PROPERTY>
<PROPERTY NAME="native_auth">native_password</PROPERTY>
<PROPERTY NAME="native_auth">native_register</PROPERTY>
<PROPERTY NAME="site_data">time: TueJul1013:14:402001</PROPERTY>
<PROPERTY NAME="owner">gandalf</PROPERTY>
<PROPERTY NAME="size">268</PROPERTY>
<PROPERTY NAME="method">GET</PROPERTY>
</PROPERTYLIST>
<PROPERTY NAME="queryID">1</PROPERTY>
</PolicyValidatorQuery>
Policy Validator に対する 2 番目のクエリの例
次のコードサンプルは、 Policy Validator に対するクエリの例です。
<PolicyValidatorQuery>
<PROPERTY NAME="queryID">10.10.10.6:1107</PROPERTY>
<PROPERTY NAME="service">http://mycompany.com:8080</PROPERTY>
<PROPERTY NAME="path">/secure/form</PROPERTY>
<PROPERTY NAME="srcIP">10.10.10.6</PROPERTY>
<PROPERTY NAME="srcPort">1107</PROPERTY>
<PROPERTY NAME="dstIP">10.10.10.7</PROPERTY>
<PROPERTY NAME="dstPort">8000</PROPERTY>
<PROPERTY NAME="native_auth">native_password</PROPERTY>
<PROPERTY NAME="native_auth">native_register</PROPERTY>
<PROPERTYLIST NAME="registration">
Select Access API の実行
27
<PROPERTY NAME="givenName">Steve</PROPERTY>
<PROPERTY NAME="sn">Smith</PROPERTY>
<PROPERTY NAME="o">HP Inc.</PROPERTY>
<PROPERTY NAME="mail">[email protected]</PROPERTY>
<PROPERTY NAME="telephonenumber">555-555-555 ext 555</PROPERTY>
<PROPERTY NAME="facsimileTelephoneNumber">416-555-2399
</PROPERTY>
<PROPERTY NAME="userPassword">letMeIn4now</PROPERTY>
<PROPERTY NAME="preferredLanguage">Security, LDAP, XML, SSL
</PROPERTY>
<PROPERTY NAME="cn">Steve Smith</PROPERTY>
</PROPERTYLIST>
<PROPERTY NAME="method">POST</PROPERTY>
</PolicyValidatorQuery>
単純な Policy Validator 応答の例
次のコードサンプルは、簡単な応答の例です。
<PolicyValidatorReply>
<PROPERTYLIST>
<PROPERTY NAME="queryID">1</PROPERTY>
<PROPERTY NAME="authenticated_dn">uid=ssmith,ou=users,ou=steve,
o=ca.mycompany.com</PROPERTY>
<PROPERTY NAME="devo_groups">users</PROPERTY>
</PROPERTYLIST>
<PROPERTY
NAME="nonce">bWFub3dhci5jYS5iYWx0aW1vcmUuY29tOjk5ODh8dWlkPW
dhbmRhbGYsb3U9dXNlcnMsb3U9c3RldmUsbz1jYS5iYWx0aW1vcmUuY29tf
Ex8cGFzc192YW
xpZGF0b3J8O0zd4DuLSR2cw0K7Yp5pTb04TSWWxJJqqc7rUszF16atYOqTLnVqt
+O4a6OFr
WQegqu89L17Kwzv4n3XWIwFpsP+wJ8V1eEw4KG9c+REkJFs67bLKZuWZ6xNz2Xpgs7
FLb5s2
O3iwswvuDvcBNOZqF2pbOproktsiuaC36SqxmKLSzY/</PROPERTY>
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PolicyValidatorReply>
28
第2章
3 GUI のカスタマイズ : Policy Builder API
Select Access では、開発者は Policy Builder の Configuration Editor を新たに追加することができま
す。これにより、管理者は認証方式や認証ルールをカスタマイズできます。この章では、 Select
Access の Policy Builder と統合される、コンフィギュレータと呼ばれる Configuration Editor を、
Policy Builder API を使用して作成する方法について説明します。
この章の概要
この章では、 Policy Builder および Policy Builder API の詳細と、 Policy Builder の動作をカスタマイ
ズするためにこの API を使用して作成するプラグインについて説明します。
•
Policy Builder について (29 ページ )
•
Policy Builder API について (30 ページ )
•
Policy Builder プラグインの作成 (34 ページ )
•
Policy Builder プラグインのインストール (40 ページ )
•
Policy Builder プラグインの削除 (41 ページ )
Policy Builder について
Policy Builder は、管理者がネットワークリソースへのアクセスを管理するために使用するグラ
フィカルアプリケーションです。管理者は、 Policy Builder を使用して、リソースの認証方式と認
証ルールを管理できます。 Policy Builder はセキュリティポリシーを設定します。 Policy Validator
は、 Policy Validator プラグインを使用して、リソースの要求が設定されたポリシーに反していな
いことを検証します。各 Policy Validator プラグインは、 Policy Builder プラグインを使用して、ポ
リシーを設定します。通常は、 Policy Builder プラグインと Policy Validator プラグインの両方を作
成して一緒に使用します。
Policy Builder プラグインは、対応する Policy Validator プラグインを作成するまでは、リソースの
保護に使用しないでください。初めてアクセスルールを評価する際、 Policy Validator が正常に機
能しなくなります。 Policy Validator プラグインの作成方法については、第 4 章、「認証方式と認証
ルールのカスタマイズ : Validator API」を参照してください。
30 ページの図 3 は、 Policy Builder と Policy Validator を一緒に使用して、認証および承認サービス
を拡張する方法を示しています。 Policy Validator プラグインでは、認証および承認サービスを追
加します。 Policy Builder は、セキュリティポリシーでこれらのサービスを設定するために使用し
ます。Policy Builder API により、開発者はカスタマイズされた設定パネルを作成し、Policy Validator
プラグインのインスタンスを管理できます。 Policy Builder で Policy Validator プラグインのインス
タンスを設定する必要がある場合、 Policy Builder API に該当するインスタンスの設定パネルが表
示されます。 Policy Validator プラグインのインスタンスの設定後、設定内容が Policy Builder API
によってポリシーストアに格納されます。
29
図3
Policy Builder プラグインと Select Access コンポーネントの連携
Policy Builder API について
Policy Builder API では、認証方式と承認ポリシーノードのカスタマイズを行う Java ベースのグラ
フィカルコンポーネントを作成できます。同一の API が認証プラグインと承認プラグインの双方
に使用されます。理論上は、 1 つの Policy Builder プラグインを、認証および承認用の Configuration
Editor として機能させることが可能です。しかし実際には、ほとんどの場合、認証と承認のプラ
グインでは完全に異なる設定属性が必要とされます。
Policy Builder プラグインの種類
Policy Builder プラグインには、認証プラグインと承認プラグインの 2 種類があります。認証プラ
グインは Policy Validator オーセンティケータのインスタンスを設定します。一方、承認プラグイ
ンは Policy Validator 判定ポイントのインスタンスを設定します。判定ポイントの詳細は、 68 ペー
ジの「判定ポイントプラグインの作成 : ディレクトリ属性の例」を参照してください。
認証プラグイン
認証プラグインでは、管理者は Select Auth によって使用される認証サービスを設定できます。
30
第3章
インストールされている認証プラグインを確認するには
1
Policy Builder で [ ツール ] → [ 認証サービス ] の順にクリックします。 [ 新しい認証サービス ] ダイ
アログボックスが表示されます。
2
[ 追加 ] をクリックして、図 4 のような [ 新しい認証サービス ] ダイアログボックスを表示しま
す。アップロードされている認証プラグインのラジオボタンがオンの状態で表示されます。
図4
[ 新しい認証サービス ]
承認プラグイン
承認プラグインでは、管理者は認証ルールのルールノードを設定できます。利用可能な承認プラ
グインを確認するには、 Policy Builder で [ ツール ] → [Rule Builder] の順に選択して、 Rule Builder
を起動します。図 5 のように、 Rule Builder のツールバーに、インストールされている各承認プラ
グインのアイコンが表示されます。
承認プラグインには、判定ポイントがルールで使用された場合に表示される大きな Rule Builder の
アイコンがあります。認証ルールで使用されている承認プラグインを確認するには、 [ ルールリス
ト ] からルールを選択します。
GUI のカスタマイズ : Policy Builder API
31
図5
Rule Builder
図 5 のように、各ルールノードには、 0、 1、または 2 つのコネクタ分岐 ( 赤と緑の矢印 ) があり
ます。コネクタ分岐によってルールノードを接続し、認証ルールを作成します。表示されるコネ
クタ分岐の数は、 Configuration Editor の種類によって異なります。
図 6 の認証ルールには、次のような 4 種類の承認プラグインが示されています。
32
•
サブルール : サブルールは、ある 1 つのルールを別のルールに接続する際に使用されます。こ
のコンフィギュレータは予約済みです。サブルールのコンフィギュレータは作成しないでく
ださい。サブルールにはコネクタはありません。
•
フィルタ : フィルタは任意の動作を実行しますが、認証ルールの処理の流れを変更するもので
はありません。フィルタのコネクタは true 分岐のみです。フィルタの例としては、警告通知
コンフィギュレータがあります。
•
判定ポイント : 判定ポイントは、条件付きアクセスを実行する Decider プラグインを設定しま
す。判定ポイントは、認証ルールでの条件付き判定ポイントを表します。各判定ポイントには、
true と false の 2 つのコネクタがあります。判定ポイントの例としては、ディレクトリ属性
評価コンフィギュレータやアイデンティティ認証コンフィギュレータなどがあります。
•
終端ポイント : 終端ポイントは、認証ルールの処理を終了します。終端ポイントのコンフィ
ギュレータは、許可と拒否の 2 つのカテゴリに分類されます。終端ポイントにはコネクタは
ありません。終端ポイントの例としては、ログアウトコンフィギュレータやリダイレクトコ
ンフィギュレータなどがあります。
第3章
警告通知フィルタ
サブルール
false コネクタ
終端ポイント ( 拒否 )
アイデンティティ
認証の判定ポイント
true コネクタ
終端ポイント
( 許可 )
図6
認証ルール
本書では、フィルタ、終端ポイント、サブルールのカスタマイズについては取り上げません。
Policy Builder API の仕組み
Policy Builder API での作業とは、基本的に、 Policy Builder によって表示される JPanel の作成で
す。これにより、開発者は Configuration Editor を柔軟に設計できるようになります。
Policy Builder では、標準的なボタン ([OK]、 [ 取消 ]、 [ ヘルプ ]) を含む JDialog に Configuration
Editor が表示されます。コールバックメソッドをオーバーライドする方法は、 35 ページの
「Configuration Editor の作成」を参照してください。
Policy Builder API はポリシーストアから最新の設定情報を取得します。XML プロパティはクラス
フィールド m_properties で確認できます。 Configuration Editor にはこのフィールドで設定され
た状態を適用します。 [OK] ボタンを押すと、 Configuration Editor は m_properties フィールドを
設定し新しい内容を反映させます。 Configuration Editor が正常に終了すると、その時点で Policy
Builder は自動的に XML 設定をポリシーストアに格納します。
Policy Builder API のクラスとユーティリティ
Policy Builder API の中心になるのは RuleComponentPanel クラスです。このクラスは標準的な
Java の JPanel を拡張し、ポリシーストアとの通信をカプセル化します。すべての Configuration
Editor では、 RuleComponentPanel クラスを拡張する必要があります。
RuleComponentPanel クラスは、各プラグインに対する適切な XML 設定を抽出し、継承され
たフィールド m_properties に格納します。このフィールドの種類は、後に示すように
Property となります。 m_properties フィールドには、プラグインインスタンスの設定状態
が格納されます。 Configuration Editor が正常に終了すると、その時点でプラグインは
m_properties 変数を更新し、新しく設定された状態を反映させます。 Policy Builder API では自
動的に、m_properties フィールドの内容を格納します。このフィールドに含まれる XML ドキュ
メントが再びポリシーストアに格納されます。
GUI のカスタマイズ : Policy Builder API
33
Policy Builder API は、 XML プロパティを使用して、プラグインの設定を格納します。設定へのア
クセス、操作、および保存を行うには、com.hp.selectaccess.util パッケージにある、Policy
Builder API の次の XML クラスを使用する必要があります。
•
Property: Property インターフェイスは、 PropertyElement および
PropertyListElement によって実装されます。
•
PropertyElement: PropertyElement クラスは、名前と値のペアを格納する XML 要素を
表します。値は文字列でなければなりません。
•
PropertyListElement: このクラスは、 PropertyElement とネストされた
PropertyListElement のリストを表します。
XML のプロパティの詳細は、『HP OpenView Select Access 6.2 開発者向けリファレンスガイド』を
参照してください。
Policy Builder API では上記のほか、次に示すような、多くのプラグインで使用される複数のクラ
スが com.hp.selectaccess.util パッケージに含まれています。
•
CDN: このクラスは正規の識別名 (DN) を表します。 DN の構文では同じ名前を複数の方法で定
義できるため、 CDN クラスによって DN を正規化します。 CDN クラスでは、正規化された DN
を取得し、ある 1 つの DN が別の DN の名前空間に存在しているかどうかを確認するための複
数の方式を提供しています。このクラスを使用して、アイデンティティオブジェクトのディ
レクトリの場所と、一時プロファイルのキャッシュの場所を設定します。一時プロファイル
の詳細は、 75 ページの「LdapConnection / User / UserSource / UserCache」を参照してください。
•
TableSorter および TableUtil: このクラスは、たとえば RADIUS サーバー構成をサポー
トする際に使用するようなテーブルモデルに対して有効なクラスです。
Policy Builder プラグインの作成
Policy Builder プラグインの作成は簡単です。 Configuration Editor の作成は、標準的な JPanel の
作成に比較して、それほど難しいものではありません。
新しい Policy Builder プラグインを作成するには
34
1
Policy Validator プラグインを設定する Configuration Editor を作成します。 35 ページの
「Configuration Editor の作成」を参照してください。
2
承認プラグインを作成する場合は、プラグインアイコンとツールバーアイコンを作成しま
す。 37 ページの「承認プラグインのアイコンの作成」を参照してください。
3
プラグインを設定する component.xml ファイルを作成します。 37 ページの
「component.xml ファイルの作成」を参照してください。
4
プラグインをロードします。 40 ページの「Policy Builder プラグインのインストール」を参照
してください。
5
プラグインをテストします。グラフィカルコンポーネントが正しく動作し、設定された状態
が正しく格納され取得できることを確認します。
第3章
Configuration Editor の作成
Configuration Editor を作成する前に、 Policy Validator プラグインの設定要件を把握する必要があり
ます。 Configuration Editor には、各フィールドを設定するためのグラフィカルインターフェイス
が必要です。 Policy Builder では、管理者がルールに対してカスタムコンポーネントの変更や追加
を行う際、 JDialog に Configuration Editor が表示されます。
カスタムエディタ作成のガイドライン
Configuration Editor の要件
•
Policy Validator プラグインを設定する管理グラフィカルインターフェイスを表示します。
•
最新の設定を取得し、その設定を反映するようにグラフィカルインターフェイスを初期化し
ます。
•
エンドユーザーが実行した操作を処理します。作成する Configuration Editor に応じて、ボタ
ン、更新フィールド、ポップアップウィンドウなどを処理する必要があります。
•
[OK] ボタンが押された場合に、設定の状態を確認して保存します。
Configuration Editor を作成するには
1
開発環境の CLASSPATH 設定に、 Java アーカイブ /shared/PolicyBuilder.jar、
/shared/jetty/policy_builder/protected/shared.jar を追加します。
2
RuleComponentPanel を拡張するクラスを作成します。 Policy Validator プラグインの設定
に必要なテキストフィールド、ブラウザ、ボタンなどのグラフィカルコンポーネントを追
加します。
3
RuleComponentPanel メソッドをオーバーライドします。これらのメソッドについては、
後述の説明を参照してください。
4
クラスをコンパイルします。
5
component.jar という名前の JAR ファイルにすべてのクラスファイルをパッケージします。
Policy Builder で Configuration Editor を表示すると、 [OK]、 [ 取消 ]、 [ ヘルプ ] ボタンを含む基本ウィ
ンドウにパネルが配置されます。 RuleComponentPanel クラスは、ポリシーストアから XML
設定をロードし、クラスメンバ変数 m_properties に XML ドキュメントを配置します。
RuleComponentPanel クラスとの通信が正しく実行されるためには、次のメソッドをオーバー
ライドする必要があります。
•
initialize(): Policy Builder API は、 XML 設定の含まれた m_properties を初期化した
後、 initialize() メソッドを呼び出します。このメソッドをオーバーライドして、
m_properties の XML 設定を処理し、設定データの検証後、その内容が反映されるように
グラフィカルインターフェイスの状態を設定します。
•
okClicked(): Configuration Editor の設定後、管理者が [OK] ボタンをクリックした場合に、
okClicked() メソッドが Policy Builder API によって呼び出されます。プラグインはこのメ
ソッドをオーバーライドし、グラフィカルインターフェイスの設定状態を検証後、プロパティ
を再び m_properties 変数に格納し直します。このメソッドが true を返した場合、
RuleComponentPanel クラスはポリシーストアに m_properties 変数を格納して終了し
ます。このメソッドが false を返した場合は、 RuleComponentPanel クラスは終了しませ
ん。これにより、 Configuration Editor に正しく設定されていないフィールドがある場合に修正
を行うことができます。
GUI のカスタマイズ : Policy Builder API
35
•
helpClicked(): [ ヘルプ ] ボタンが押された場合に、 Policy Builder API は helpClicked()
メソッドを呼び出します。必要に応じて helpClicked() メソッドをオーバーライドして、
管理者の Configuration Editor の使用をサポートできます。ここでは、ヘルプテキストを含む
ポップアップウィンドウの表示、またはヘルプウィンドウを表示する外部クラスの呼び出し
を行います。外部ヘルプのクラスで言語インデックスを使用することにより、英語以外の表
記に対応できます。
•
cancelClicked(): [ 取消 ] ボタンは RuleComponentPanel によって自動的に処理されま
す。 Policy Builder は設定を元に戻して終了します。 Policy Builder が取消の要求を処理する前
に、プラグインが特別な処理を必要としている場合以外は、このメソッドをオーバーライド
する必要はありません。
次のメソッドは、画面を表示する時点で初期化されていないグラフィカルコンポーネントの初期
化やサイズ変更を行う場合に便利です。一部のプラグインでは、 initialize() メソッドの代わ
りに、次のメソッドのオーバーライドが実行される場合があります。
•
handleWindowOpened(): このメソッドは、画面が初めて表示された場合にのみ呼び出され
ます。
•
handleComponentShown(): このメソッドは、画面が表示されたときに Policy Builder API に
よって呼び出されます。
36 ページの「Policy Builder プラグインフレームワークのサンプル」は、 Policy Builder プラグイン
フレームワークのサンプルを示しています。
Policy Builder プラグインフレームワークのサンプル
次のコードサンプルは、プラグインフレームワークの作成方法の例です。
import
import
import
import
import
com.hp.selectaccess.rulebuilder.RuleComponentPanel;
com.hp.selectaccess.util.CDN;
com.hp.selectaccess.util.Property;
com.hp.selectaccess.util.PropertyListElement;
com.hp.selectaccess.util.PropertyElement;
... その他のインポート ...
public class SamplePropertyEditor extends RuleComponentPanel implements
ActionListener
{
... グラフィカルなウィジェットを含むコンストラクタ ...
// Overload Policy Builder API methods
// Initialize the GUI
public boolean initialize(){ ... }
// Save the GUI state to XML
public boolean okClicked() { ... }
// Provide Help
public boolean helpClicked() { ...}
36
第3章
// Do not need to overload the Cancel button
... ユーザー操作を処理する GUI ...
}
承認プラグインのアイコンの作成
Rule Builder のプラグインでは、ツールバーアイコンとルールペインアイコンという、2 つの GIF
形式のアイコンが必要です。ツールバーアイコンは 16 × 16 ピクセル、ルールペインアイコン
は 32 × 32 ピクセルです。アイコンには最大で 256 色が使用可能です。
component.xml ファイルの作成
component.xml ファイルの目的は 2 つあります。 1 つは Policy Builder へのプラグインの設定方
法の通知、もう 1 つは Configuration Editor の新しいインスタンスに渡されるプロパティリストの
格納です。プロパティリストに格納されているプロパティを使用して、 Configuration Editor のデ
フォルト値を設定できます。 component.xml ファイルは、プラグイン設定のプロパティ値のテ
ンプレートとして機能します。
component.xml ファイルの DTD ( 文書型定義 ) を作成する必要はありません。
component.xml ファイル作成のガイドライン
component.xml ファイルに含める必要がある 3 つの項目
•
XML バージョン 1.0 準拠を示す行
•
表 7 に示す属性を使用するコンポーネント要素
•
Configuration Editor の新しいインスタンスのデフォルト値の設定に使用される、オプションの
プロパティを含むプロパティリスト
GUI のカスタマイズ : Policy Builder API
37
次の表は、 component.xml ファイル内の COMPONENT 要素の属性を示しています。
表7
コンポーネントタグの属性
属性名
説明
NAME
必須。この文字列は Policy Builder で使用するプラグインを特定しま
す。各プラグインには一意の名前が必要です。
DESCRIPTION
必須。管理者は、この文字列による記述を参照します。判定ポイン
トプラグインでは、これは Rule Builder ツールバーのツールヒント
として表示されます。認証プラグインでは、 [ 認証方式 ] パネル内の
ラジオボタンのオプションとして表示されます。
TYPE
必須。プラグインの種類を示します。サポートされる値は次のとお
りです。
• authenticate
• decision
• filter
• allow
• deny
• subrule
Policy Builder の種類に関する詳細は、 30 ページの「Policy Builder プ
ラグインの種類」を参照してください。
CONDITION
必須。値 “any” を使用します。この属性は、プラグインを Policy
Builder のルールに組み込む際に内部的に使用されます。
CONFIGURATOR
必須。この文字列は、プラグインで使用する Configurator Editor を Rule
Builder に通知します。この値には Java クラスのフルネームを含める
必要があります。たとえば、
“com.hp.
selectaccess.rulebuilder.screens.
RadiusPanel” のようになります。
EVALUATOR
承認プラグインでは必須。この文字列は、認証ルールを評価する際
に使用する判定ポイントプラグインを Policy Validator に通知しま
す。 Policy Validator の各プラグインの詳細は、第 4 章、「認証方式と
認証ルールのカスタマイズ : Validator API」を参照してください。
AUTHENTICATOR
認証プラグインでは必須。この文字列は、使用する認証プラグイン
を Policy Validator に通知します。 Policy Validator の各プラグインの詳
細は、第 4 章、「認証方式と認証ルールのカスタマイズ : Validator
API」を参照してください。
RADIUS の component.xml のサンプルは、 RADIUS プラグインの component.xml ファイルを示
しています。各プロパティ値は、新しい RADIUS サーバーをプラグイン設定に追加する場合に、
デフォルト値として使用されます。
38
第3章
RADIUS の component.xml のサンプル
<?xml version='1.0'?>
<COMPONENT TYPE="authenticate"
CONDITION="any"
NAME="RADIUS"
DESCRIPTION="RADIUS"
AUTHENTICATOR="radius"
CONFIGURATOR="com.hp.selectaccess.rulebuilder.screens.RadiusPanel">
<PROPERTYLIST NAME="radius">
<PROPERTY NAME="defaultLoginForm">login_form.html</PROPERTY>
<PROPERTY NAME="defaultChallengeForm">radius_form.html
</PROPERTY>
<PROPERTY NAME="defaultIP">127.0.0.1</PROPERTY>
<PROPERTY NAME="defaultPort">1821</PROPERTY>
<PROPERTY NAME="defaultTimeout">3</PROPERTY>
<PROPERTY NAME="defaultRetry">3</PROPERTY>
</PROPERTYLIST>
</COMPONENT>
GUI のカスタマイズ : Policy Builder API
39
Policy Builder プラグインのインストール
Policy Builder プラグインの作成後、そのプラグインを Policy Builder にインストールします。
Policy Builder プラグインをインストールするには
1
Configurator Editor のクラスを Java アーカイブ (JAR) ファイルにパッケージします。 JAR ファ
イルの名前は component.jar とします。 UNIX システムでは jar、 Windows システムでは
jar.exe を実行することにより、アーカイブファイルを作成できます。 Java アーカイブの
作成方法の詳細については、お手持ちの Java プログラミングシステムのマニュアルを参照
してください。
2
component.xml ファイルと component.jar ファイルを同じディレクトリに配置します。
一時ディレクトリも使用可能です。プラグインが承認プラグインの場合は、
toolbaricon.gif ファイルと icon.gif ファイルも同じディレクトリに配置します。
3
[ ツール ] → [ ポリシープラグイン設定 ] の順にクリックして、プラグインを Policy Builder に
ロードします。図 7 のように、プラグインの場所を指定する画面が表示されます。プラグイ
ンのアップロード後、 Configuration Editor を使用して、認証ルールや認証サービスの設定が
できるようになります。ディレクトリをアップロードした場合は、ディレクトリに格納され
ているすべてのプラグインがインストールされます。
図7
4
新しい Policy Builder プラグインのアップロード
プラグインを LDAP に格納した後は、プラグインのファイルとディレクトリを削除すること
ができます。
該当する Policy Validator プラグインを作成してインストールするまでは、 Policy
Validator ではアイデンティティのアクセスを評価できません。
40
第3章
Policy Builder プラグインの削除
通常の状態では、Policy Builder プラグインを削除する必要はありません。新しいバージョンをアッ
プロードすることによって、古いバージョンが新しいバージョンに置き換えられます。まれに、
プラグインの古いインスタンスを削除しなければならない場合があります。 Select Access には
Policy Builder プラグインを削除するメカニズムがないため、プラグインのアンインストールは手
動で行います。
プラグインの削除では LDAP データを直接操作する必要があるため、 LDAP データの修正に習熟
していることが前提とされます。稼働システムでは、どうしても必要である場合を除き、プラグ
インの削除は実行しないでください。
Hewlett-Packard は、必要である場合を除いて、稼働システムでの Policy Builder プラグインの削除
は推奨しません。以下の手順で失敗した場合、 LDAP のデータの整合性に問題が生じ、 Policy
Validator の動作が不安定になる可能性があります。
Policy Builder プラグインを削除するには
1
ディレクトリサーバーのデータベースをバックアップします。
2
すべてのアクセスルールおよび Select Auth ルールを確認します。すべてのルールから該当の
プラグインを削除します。承認プラグインを削除する場合は、 Rule Builder を使用して、すべ
てのアクセス制御ルールからコンポーネントを削除します。認証プラグインを削除する場合
は、 Policy Builder を使用して、すべての Select Auth ルールからコンポーネントを削除します。
3
ディレクトリサーバーのプラグインエントリの場所を確認します。 Select Access をインス
トールした LDAP の分岐からプラグインの場所を確認できます。図 8 は、 Select Access コン
ポーネントの LDAP での配置を示しています。 Select Access は、 LDAP 分岐
"ou=SelectAccess_5.1, ou=Applications, dc=baltimore, dc=com" にインス
トールされています。また、認証プラグインは "ou=authenticationmethods,
ou=securitypolicy" サブツリー、承認プラグインは "ou=rulecomponents,
ou=securitypolicy" サブツリーに配置されています。グラフィカルな LDAP ブラウザを
使用していない場合、次の LDAP URL を指定して、 RADIUS プラグインを確認できます。
“ldap://localhost:389/ou=authenticationmethods, ou=securitypolicy,
ou=SelectAccess_5.1, ou=Applications, dc=hp,
dc=com?sub?(nxPolicyComponent=RADIUS)”
GUI のカスタマイズ : Policy Builder API
41
図8
4
ディレクトリオブジェクトのプロパティを表示して、適切なエントリを選択していることを
確認します。プラグインの名前に対して nxPolicyComponent 属性が設定されている必要
があります。また、 config.xml ファイルで、プラグインが nxXml 属性内に含まれている
ことを確認します。グラフィカルなブラウザを使用していない場合は、属性値をデコードし
て XML を確認してください。図 9 は、認証プラグインの標準的な LDAP エントリを示して
います。
図9
42
LDAP での Policy Builder プラグインの場所
Policy Builder プラグインの LDAP エントリ
5
LDAP エントリを削除します。
6
Policy Validator のキャッシュを更新します。 Policy Builder から [ ツール ] → [Validator のキャッ
シュをクリア ] の順に選択してください。
第3章
7
Policy Builder を再起動し、削除したプラグインが Rule Builder のメニューバーや使用可能な
認証サービスのリストに表示されていないことを確認します。以上で、プラグインおよび関
連するアイコンの削除は完了です。
保護下のリソースにアクセスして、残りのポリシーが正常に機能していることを確認
します。
8
対応する Policy Validator を削除します。詳細は、 55 ページの「Policy Validator プラグインの
削除」を参照してください。
GUI のカスタマイズ : Policy Builder API
43
44
第3章
4 認証方式と認証ルールのカスタマイズ :
Validator API
Select Access では、 Policy Validator の拡張により、認証方式と認証ルールのカスタマイズが可能で
す。この章では、 Validator API を使用して、認証および承認のプラグインを作成する方法につい
て説明します。
この章の概要
この章では、 Policy Validator、 API、 Policy Validator の動作をカスタマイズするためにこの API で
作成できるプラグインについて説明します。
•
Policy Validator (45 ページ )
•
Validator API (46 ページ )
•
Policy Validator プラグインのルールの作成 (53 ページ )
•
Policy Validator プラグインのインストール (55 ページ )
•
Policy Validator プラグインの削除 (55 ページ )
•
認証プラグインの作成 : ファイルベースの認証の例 (55 ページ )
•
判定ポイントプラグインの作成 : ディレクトリ属性の例 (68 ページ )
Policy Validator
Policy Validator は、アイデンティティを認証し、リソースへのアクセスを承認するサービスです。
Apache 2 Enforcer プラグインなどの Enforcer プラグインは、 Policy Validator にクリエを行い、ア
イデンティティを認証して要求されたリソースへのアクセスの可否を決定します。Policy Validator
は、 Policy Builder によって設定されたセキュリティポリシーを使用してこの要求を評価します。
Select Access で Policy Validator プラグインを使用するための設定を行う場合、まずプラグインに
対する Policy Builder の Configuration Editor を作成することが必要です。 Policy Builder プラグイン
の作成の詳細は、第 3 章、「GUI のカスタマイズ : Policy Builder API」を参照してください。
46 ページの図 10 は、 Policy Validator、 Policy Builder および Enforcer プラグインを一緒に使用し
て、認証サービスや承認サービスを拡張する方法を示しています。 Policy Validator プラグインで
は、認証サービスおよび承認サービスを追加できます。 Policy Builder を使用して、セキュリティ
ポリシーにこれらのサービスを設定します。各ポリシーはポリシーストアに格納されます。
Policy Validator がポリシーノードを評価するプラグインインスタンスを作成すると、 Policy
Validator はポリシーストアに格納されている設定内容を使用して、プラグインを初期化します。
45
プラグインの初期化後、 Policy Validator は Enforcer プラグインからのリソースの要求を評価でき
るようになります。 Policy Validator は、アクセスの許可、拒否、アイデンティティへの認証の通
知といった指示を Enforcer プラグインに伝えます。 Policy Validator と Enforcer プラグインは、
XML を使用して通信を行います。
図 10
Policy Validator プラグインと Select Access コンポーネントの連携
Validator API
Policy Validator は、 Policy Builder によって設定されたセキュリティポリシーを使用して、リソー
スへのアクセス要求を評価します。セキュリティポリシーは複数のポリシーノードから構成され
る決定ツリーです。各ポリシーノードは Policy Validator プラグインによって実装されます。Policy
Validator プラグインは、認証サービスおよび承認サービスを提供します。 Policy Validator は決定
ツリーを評価して、どの Policy Validator プラグインを呼び出すかを決定します。 Policy Validator
は、プラグインの応答を、リソースに対して設定された決定ツリーと比較します。以上のように、
Policy Validator はポリシー評価の一連のプロセスを制御します。
Policy Validator プラグインは、認証要求や承認要求を大量に処理する必要があります。スループッ
トを最大にするため、 Validator API では C++ プログラミング言語を使用しています。
Validator API は、他の Select Access コンポーネントとの通信に XML を使用します。Policy Validator
は、 XML を使用してプラグイン設定を格納し、 Enforcer プラグインと通信します。 XML を使用
することにより、開発者は自由にプラグインを設計し、送信する XML にあらゆる種類のデータ
を組み込むことができます。
Select Access には、 XML ドキュメント、ノード、プロパティリスト、プロパティを格納し処理す
るためのクラスが組み込まれています。こうした XML クラスは、標準的な XML ツールキットよ
りも高いパフォーマンスを実現します。 XML プロパティリストおよびプロパティの管理には、
Select Access のクラスを使用する必要があります。クラスの詳細は、 50 ページの「Validator API の
クラスとユーティリティ」を参照してください。
46
第4章
Validator API プラグインの種類
Validator プラグインには、認証プラグインと判定ポイントプラグインの 2 種類があります。
認証プラグイン
認証プラグインにより、アイデンティティの身元を確認するための新しい方式を作成できます。
Policy Builder を使用して、 1 つ以上の認証サービスを使用する ID 選択を設定します。 Policy
Validator は保護されたリソースへのアクセス要求を受け取ると、ポリシーマトリックスを使用し
て、リソースに対して許可されている Select Auth の認証サービスを判定します。 Select Auth ルー
ルの各認証方式は、 Policy Validator の認証プラグインに対応付けられています。
例として、47 ページの図 11 では、RADIUS 認証方式を使用するよう ID 選択が設定されています。
Policy Validator が保護されたリソースへのアクセス要求を受け取ると、ユーザーの認証に RADIUS
プラグインが使用されます。
図 11
Select Access での Policy Validator プラグインの使用
判定ポイントプラグイン
判定ポイントプラグインにより、リソースへのアクセスを制御するための新しい方法を作成でき
ます。一部のセキュリティポリシーでは、アクセスの許可 / 拒否を、リソースにアクセスしよう
とするアイデンティティまたはグループのみで判定しています。しかし、多くの場合、セキュリ
ティポリシーには、より複雑なアクセス制御の判定が必要になります。 Select Access は、条件付
認証方式と認証ルールのカスタマイズ : Validator API
47
きルールを使用することによって、企業の複雑なセキュリティポリシーをサポートします。Policy
Builder には、アクセス許可、アクセス拒否
、条件付きアクセス
という、 3 種類のアク
セスルールがあります。
条件付きルール (48 ページの図 12 に例を示します ) は、鍵のアイコン
で示されます。条件付き
ルールは Rule Builder を使用して設定します。このルールによって、 Policy Validator は複雑なセ
キュリティポリシーをサポートします。条件付きルールは、セキュリティポリシーの決定ツリー
を部分的に定義します。決定ツリーの各ノードは、評価用のプラグインインスタンスに対応して
います。
48 ページの図 12 には、さまざまな種類のプラグインが示されています。本書では、次のプラグイ
ンのうち、判定ポイントプラグインのみを説明しています。
•
サブルールプラグインは、決定ツリーのルートです。 Select Access 内部での使用に限定され
ており、予約済みです。したがって、サブルートの判定ポイントプラグインは作成しないで
ください。サブルールプラグインには、単一のツリーコネクタがあります。これは、ツリー
内の最初のプラグインを識別するために使用されます。
•
フィルタプラグインは、ログなどの動作を実行するプラグインです。セキュリティポリシー
の流れを変更するものではありません。フィルタプラグインには、単一のツリーコネクタが
あります。これは、ツリー内の後続のプラグインを識別するために使用されます。
•
判定ポイントプラグインは、決定ツリー内の任意の分岐に対応しています。すべての判定ポ
イントプラグインは、決定ツリー内で true と false の両方のコネクタを持ちます。判定ポ
イントプラグインは要求を評価し、 Policy Validator に対して、 true または false のいずれ
かの分岐に進むよう指示します。
•
終端ポイントプラグインは、決定ツリーのリーフに対応しています。終端ポイントは Policy
Validator に対し、アクセス要求を許可または拒否するように通知します。
本書では、フィルタ、終端ポイント、サブルールの各プラグインのカスタマイズにつ
いては取り上げません。
警告通知フィルタ
サブルール
false コネクタ
終端ポイント ( 拒否 )
ユーザー認証の
判定ポイント
true コネクタ
終端ポイント
( 許可 )
図 12
48
ルールの例
第4章
Validator API の仕組み
Policy Validator は、起動時にすべての Validator API プラグインをロードして初期化します。 Policy
Validator は次のように動作します。
1
プラグインを検索します。 Policy Validator は起動時に、 <SA_Install>/bin/plugins のディレ
クトリにあるすべての共有ライブラリを読み込みます。
2
プラグインをロードします。 Policy Validator は、静的な init() メソッドを呼び出して、プ
ラグインのテーブルを取得します。テーブルの各行には、プラグインの名前、種類、
factory() メソッドへのポインタを含むプラグインのエントリが記載されています。プラ
グインテーブルの null エントリは、最後の行の識別用に使用されます。
3
Policy Validator は起動後、 Enforcer プラグインからの要求の受信を開始します。初めて Policy
Validator プラグインを使用してポリシーを評価する際、 Policy Validator はプラグインのイン
スタンスを作成します。 Policy Validator はポリシーストアから XML 設定を取得します。続
いて factory() メソッドを呼び出し、引数として渡される XML 設定を使用してプラグイ
ンのインスタンスを作成します。
init() メソッドおよび factory() メソッドの詳細は、58 ページの「factory() メソッ
ドを使用した認証プラグインのインスタンスの作成」および 71 ページの「判定ポイ
ントプラグインのインスタンスの作成」を参照してください。
•
Select Auth がポリシーマトリックスのリソースに対して有効である場合、 Policy
Validator は Select Auth の設定に基づいて認証を行います。 Policy Validator は次のように
動作します。
— 呼び出す認証プラグインを判断します。 Select Auth は、 1 つ以上の認証方式をサポー
トするように設定されています。 Policy Validator は Select Auth に設定された順序でプ
ラグインを実行します。
— 認証プラグインの authenticate() メソッドを呼び出します。 authenticate()
メソッドは、アイデンティティを確認し、結果コードを Policy Validator に返します。
— 認証プラグインによって返された結果コードに基づいて、次に行う動作を決定しま
す。たとえば、アイデンティティが認証された場合は、 Policy Validator は認証プラグ
インの処理を停止して、アクセス制御ルールの評価を開始します。反対に、アイデン
ティティを確認できなかった場合は、 Policy Validator は Select Auth ルールに設定され
ている次の認証プラグインを呼び出して、アイデンティティの認証を試みます。結果
コードの完全な一覧は、64 ページの「アイデンティティの認証」を参照してください。
1
Select Auth ルールで存在しない認証プラグインを使用するように設定されて
いる場合、 Policy Validator はエラーを返します。
•
アイデンティティの認証が不要な場合、または認証プラグインがアイデンティティの認
証に成功した場合は、 Policy Validator はリソースに対する承認ポリシーの処理を開始し
ます。アクセス制御ルールがアイデンティティまたはグループのみに基づいたアクセス
の許可 / 拒否を行う場合、 Policy Validator は対応する XML 応答を生成し、 Enforcer プラ
グインに返します。
•
リソースが条件付きルールを使用するように設定されている場合、 Policy Validator は判
定ポイントプラグインの処理を開始します。条件付きルールでは、 Policy Validator は次
のように動作します。
— 呼び出す判定ポイントプラグインを判断します。 Policy Validator は、まずルールで指
定された最初の判定ポイントプラグインを処理します。
認証方式と認証ルールのカスタマイズ : Validator API
49
— 判定ポイントプラグインの decide() メソッドを呼び出します。 decide() メソッ
ドは要求を評価し、 true または false が返されます。 decide() メソッドによる
結果コードが Policy Validator に返されます。結果コードには、発生したエラーを通知
するもの、または特定の動作 ( 後続の説明を参照 ) を実行するよう Policy Validator に
指示するものがあります。
—
decide() メソッドの結果コードに基づいて、次に呼び出す判定ポイントプラグイ
ンを判断します。たとえば、結果コードとして true が返された場合、 true 分岐で
後続の判定ポイントプラグインが呼び出されます。アクセスが拒否された場合は、
false 分岐で後続の判定ポイントプラグインが呼び出されます。結果コードの完全
な一覧は、 73 ページの「ポリシーノードの評価」を参照してください。
— 決定ツリーの終端ポイントプラグインに達するまで、判定ポイントプラグインの処
理を継続します。通常、終端ポイントとしては、 allow、 deny、 redirect、
logoff があります。
— 終端ポイントに達すると Policy Validator は処理を停止し、 XML 応答を Enforcer プラ
グインに送信します。
XML 応答にパスワードなどの機密情報を含まないようにしてください。情報がログに記録された
場合、誤って開示される可能性があるためです。
XML プロパティを要求に追加することによって、認証プラグインと判定ポイントプラグインの
通信が可能になります。また、 XML プロパティを応答に追加することによって Enforcer プラグイ
ンとの通信が可能になります。たとえば、認証プラグインは要求内で認証情報を特定できない場
合、プロパティを応答に追加します。そこで Enforcer プラグインに対して、アイデンティティに
名前とパスワードの入力を求めるように指示します。
Validator API のクラスとユーティリティ
Policy Validator プラグインを作成するには、Select Access のクラスおよびユーティリティに関する
理解が必要です。
次に示す 2 つのクラスは、すべての Policy Validator プラグインの親クラスです。 Policy Validator
プラグインは、この 2 つのうちのいずれかのクラスを継承している必要があります。
50
•
AuthPlugin: このクラスは認証プラグインの親クラスです。 AuthPlugin クラスは、認証プ
ラグインの結果コード、プラグインが呼び出す基本コンストラクタ、および仮想メソッドの
authenticate() と handleUserInfo() を定義します。アイデンティティ認証を行うに
は、authenticate() メソッドをオーバーライドする必要があります。handleUserInfo()
メソッドは、一時アイデンティティの処理および個別化データの生成を自動化します。
handleUserInfo() メソッドはオーバーライド可能ですが、特に実行する必要はありませ
ん。 AuthPlugin クラスについては、 55 ページの「認証プラグインの作成 : ファイルベース
の認証の例」で詳しく説明します。
•
Decider: このクラスは判定ポイントプラグインの親クラスです。 Decider クラスは、判定
ポイントプラグインの結果コード、条件付きルールの分岐、および仮想メソッド decide()
を定義します。 decide() メソッドをオーバーライドして、後続の条件付きルールの分岐を
true、 false のいずれにするかを決定する必要があります。このクラスについては、 68 ペー
ジの「判定ポイントプラグインの作成 : ディレクトリ属性の例」で詳しく説明します。
第4章
また、 Validator API には、次に示すような、アイデンティティデータの管理に使用される複数の
内部クラスがあります。これらのクラスを使用して、一時アイデンティティの作成、個別化情報
の検索、アイデンティティキャッシュへのアクセス、および LDAP 接続の取得を行います。
AttributeLogic プラグインは、これらのクラスを使用してアイデンティティに関する追加情報
を特定します。一時アイデンティティ、 UserSource、および UserCashe の使用方法の例は、 75
ページの「LdapConnection / User / UserSource / UserCache」を参照してください。
•
UserCache: Policy Validator はアイデンティティデータをキャッシュして、パフォーマンスを
向上します。Policy Validator はディレクトリサーバーの検索を行う代わりに、ローカルキャッ
シュへのアクセスを行います。さらに、一時アイデンティティは LDAP には格納されず、ア
イデンティティキャッシュにのみ配置されます。
•
User: User クラスには、アイデンティティが持つダイナミックグループ、グループメンバ
シップといった、アイデンティティに関連するあらゆる情報が格納されます。このクラスに
よって、アイデンティティが一時アイデンティティかどうかを判断できます。また、このク
ラスを使用して、アイデンティティが配置されている UserSource も取得できます。
•
UserSource: UserSource クラスは、ディレクトリサーバーとアイデンティティが配置さ
れているディレクトリ名前空間内の場所を表します。このクラスを使用して、設定済みの
UserSources のリストを取得できます。アイデンティティの DN が判明している場合、この
クラスを使用してアイデンティティデータが格納されている UserSource を特定できます。
アイデンティティが格納されている UserSource を特定することによって、アイデンティ
ティデータを格納しているディレクトリサーバーへの LdapConnection を取得できます。
これは、ディレクトリサーバーを照会して追加のアイデンティティデータを取得したい場合
に便利です。
Select Access では、 XML クラスによって Policy Validator のプラグイン設定や Enforcer プラグイン
との通信が処理されます。この Select Access XML クラスは、認証プラグイン、判定ポイントプ
ラグイン、および Enforcer プラグインによって使用されます。 Select Access での XML の操作に
ついては、 25 ページの「XML の重要性」を参照してください。
•
XmlParser: このクラスはメモリまたはファイルのブロックを解析し、 XML ドキュメントツ
リーを作成します。 Select Access はすべての設定 / 要求 / 応答に対して XML ドキュメントを
作成するため、通常、このクラスを直接使用する必要はありません。外部の XML ドキュメン
トを設定 / 要求 / 応答と結合する場合に、このクラスを使用することができます。また、設定
/ 要求 / 応答を手動で作成する場合にも、このクラスを使用できます。
•
XmlTreeNode: このクラスは解析された XML ドキュメントの XML ノードを格納し、 XML
属性への容易なアクセスを提供します。一般的には、 PropertyListElement クラスおよび
PropertyElement クラスを使用して、 XML データにアクセスします。
•
PropertyElement: このクラスは名前と値のペアを格納します。 PropertyElement は、
Select Access によって定義される XML 要素の 1 つです。 PropertyElement タグには、名前
と値のペアの名前を識別するための、 name と呼ばれる属性が必要です。値は開始タグと終了
タグの間のデータとして格納されます。たとえば、赤色に対する名前と値のペアを格納する
PropertyElement は、 <PROPERTY NAME="color">red</PROPERTY> となります。
•
PropertyListElement: このクラスは 0 以上の PropertyElement タグを含む XML ノー
ドを格納します。プロパティリストはネストすることができます。
PropertyListElement にプロパティリストとプロパティ要素が含まれる場合もあります。
PropertyListElement の例としては、 <PROPERTYLIST NAME="colorList">
<PROPERTY NAME="color">red</PROPERTY></PROPERTYLIST> などがあります。
認証方式と認証ルールのカスタマイズ : Validator API
51
Policy Validator プラグインは、ログをサポートし、例外を処理し、 Select Access の文字列およびメ
モリユーティリティを活用する必要があります。ほとんどのプラグインは、次に示す Select Access
のクラスおよびユーティリティと通信を行います。
52
•
Logger: Logger クラスは Select Audit に対するインターフェイスを提供します。このクラス
は複数レベルのログ、すなわち DEBUG、 INFO、 WARNING、 ERROR、および FATAL をサポー
トします。
•
EnforcerException: このクラスは判定ポイントプラグインの例外、すなわち
EvaluatorFatal、 EvaluatorNonFatal、および EvaluatorInternal の親クラスで
す。判定ポイントプラグインは、 EnforcerException も含めたこれらの例外のいずれか
をスローすることがあります。判定ポイントプラグインの例外については、 73 ページの
「ポリシーノードの評価」で説明しています。
•
AuthPluginException: このクラスは、ヘッダーファイル AuthPlugin.h で定義され、認
証プラグインの例外が発生した場合に使用されます。
•
enforcer_sys.h: このヘッダーファイルは SYS_STRDUP、STREQ などのプラットフォーム
に依存しない文字列操作用マクロを定義します。プラグインでは、文字列を操作する際にこ
れらのマクロを使用する必要があります。
第4章
Policy Validator プラグインのルールの作成
Policy Validator プラグインを作成する場合、共有ライブラリを作成することになります。共有ラ
イブラリファイルの拡張子には、 UNIX プラットフォームでは .so または .sl、 Windows プラッ
トフォームでは .dll を使用します。共有ライブラリには少なくとも 1 つの Policy Validator プラ
グインを格納する必要があります。
プラグインを作成するには
1
C++ ファイルを作成し、少なくとも 1 つのプラグインを含めます。
2
認証プラグインには AuthPlugin.h ヘッダー、判定ポイントプラグインには Decider.h
ヘッダーを組み込みます。必要に応じて、それ以外のヘッダーも組み込みます。
3
AuthPlugin または Decider クラスを継承する 1 つ以上のプラグインクラスを作成しま
す。認証プラグインは AuthPlugin を継承し、判定ポイントプラグインは Decider を継承
します。
4
各プラグインクラスのコンストラクタおよびデストラクタを提供します。
5
各クラスの静的な factory() メソッドを提供します。 Policy Validator は、 factory() メ
ソッドを使用して、プラグインのインスタンスを作成します。名前は factory() である必
要はなく、正しい C++ 名であればいずれでも構いません。 factory() メソッドは引数とし
て XmlTreeNode を受け取り、 Decider または AuthPlugin オブジェクトへのポインタを
返します。
6
プラグインの種類に応じて、 authenticate() メソッド、または decide() メソッドを
オーバーライドします。
7
外部の init() メソッドを 1 つ提供して、プラグインを登録します。この関数は、プラグイ
ンエントリのテーブルを Policy Validator に提供します。各プラグインエントリには、プラグ
インの名前、プラグインの種類、および factory() メソッドへのポインタが含まれます。
init() メソッドには、ファイル内の各プラグインクラスのエントリが含まれています。
8
プラグインをコンパイルし、結果として得られたオブジェクトファイルを Validator API ライ
ブラリとリンクします。プラグインのコンパイル方法は、 82 ページの「サンプル
attributelogic の作成」を参照してください。
9
プラグインをインストールします。 55 ページの「Policy Validator プラグインのインストール」
を参照してください。
10 プラグインをテストします。
authenticate() メソッドのオーバーライド
authenticate() メソッドは、オーバーライドが可能です。具体的には、 authenticate() メ
ソッドは次の処理を実行します。
1
Enforcer プラグインの要求から認証情報を取得します。
2
アイデンティティを確認します。具体的には、名前およびパスワードのデータベースとの照
合、デジタル署名の確認、 Kerberos チケットの確認、要求の RADIUS サーバーへの転送、そ
の他のカスタマイズされた認証方式などが実行されます。
認証方式と認証ルールのカスタマイズ : Validator API
53
3
必要に応じて、 XML 応答を更新します。認証プラグインは、 XML 応答にプロパティを追加
することにより、 Enforcer プラグインと通信できます。たとえば、認証情報が要求に含まれ
ていない場合、認証プラグインは Enforcer プラグインに対し、アイデンティティに名前とパ
スワードを入力するよう要求するメッセージの表示を指示できます。
4
必要に応じて、 handleUserInfo() メソッドを呼び出します。 handleUserInfo() メ
ソッドは、アイデンティティの個別化情報を設定します。個別化の詳細は、第 6 章、「個別
化属性の使用 : Personalization API」を参照してください。必須ではありませんが、今後予想
されるアクセスに備えてプロファイルをキャッシュするため、認証プラグインで
handleUserInfo() メソッドを呼び出すことを推奨します。アイデンティティがプロファ
イルを持たない場合、 handleUserInfo() メソッドによってキャッシュに一時プロファイルが作
成されます。なお、この一時プロファイルはディレクトリサーバーには書き込まれません。
一時アイデンティティの詳細は、 75 ページの「LdapConnection / User / UserSource /
UserCache」を参照してください。
5
結果コードを Policy Validator に返します。結果コードは要求の処理の続行方法を Policy
Validator に指示します。認証プラグインの結果コードの詳細は、 64 ページの「アイデンティ
ティの認証」を参照してください。
認証プラグインの作成方法の例は、 55 ページの「認証プラグインの作成 : ファイルベースの認証
の例」を参照してください。
decide() メソッドのオーバーライド
decide() メソッドは、オーバーライドが可能です。具体的には、 decide() メソッドは次の処
理を実行します。
1
アクセスポリシーを確認します。判定ポイントプラグインは、あらゆる要求のデータを使
用して判定を実行します。使用されるデータは、アイデンティティ、ダイナミックグループ
メンバシップ、タイムスタンプ、 IP アドレスなどであり、 Enforcer プラグインによって埋め
込まれたカスタムデータが使用されることもあります。また、外部リソースを使用して、追
加情報を取得する場合もあります。たとえば、データベースまたはディレクトリサーバーに
照会を行うケースなどです。判定ポイントプラグインは、元の要求を修正することができま
す。これにより、プラグインが相互に通信することが可能になります。
2
必要に応じて、 XML 応答を更新します。判定ポイントプラグインは、 XML 応答にプロパ
ティを追加することにより、 Enforcer プラグインと通信できます。たとえば、判定ポイント
プラグインは、アイデンティティがアクセス許可を得るには認証が必要であることを
Enforcer プラグインに対して通知できます。
3
結果コードを Policy Validator に返します。結果コードは要求の処理の続行方法を Policy
Validator に指示します。判定ポイントプラグインの結果コードの詳細は、 73 ページの「ポリ
シーノードの評価」を参照してください。
判定ポイントプラグインの作成方法の例は、 68 ページの「判定ポイントプラグインの作成 : ディ
レクトリ属性の例」を参照してください。
54
第4章
Policy Validator プラグインのインストール
Policy Validator プラグインをインストールするには、プラグインを含む共有ライブラリを
<SA_Install>/bin/plugins ディレクトリに配置します。各 Policy Validator サーバーにプラグイン
のコピーをインストールします。ここでプラグインをインストールする必要があるのは、アクセ
スルールの一部としてプラグインを使用するように設定されているサーバーのみです。インス
トール後、 Policy Validator を再起動して、変更を有効にします。
Policy Validator プラグインの削除
Policy Validator からプラグインを削除するには、 <SA_Install>/bin/plugins ディレクトリからプ
ラグインを含む共有ライブラリを削除するか、ファイルを別のディレクトリに移動します。その
後、 Policy Validator を再起動して、変更を有効にします。
Policy Validator を再起動する前に、プラグインを使用するすべてのルールおよび認証サーバーを
削除していることを確認してください。 Policy Builder を使用して、 Select Auth ルールおよび条件
付きルールからプラグインの参照を削除します。
上述の手順では、 Policy Validator プラグインのみが削除されます。 Policy Validator プラグインには
対応する Policy Builder プラグインがあります。そうしたプラグインは、別途削除する必要があり
ます。詳細は、 41 ページの「Policy Builder プラグインの削除」を参照してください。
認証プラグインの作成 : ファイルベースの認証の例
Select Access には、一連の認証プラグインが組み込まれています。このセクションでは、ファイ
ルベースの認証プラグインのソースコードを取り上げます。次の各項目について説明します。
•
認証プラグインのヘッダーファイルを組み込む方法
•
init() メソッドを使用してプラグインを登録する方法
•
プラグインのインスタンスを作成する factory() メソッドを作成する方法
•
認証を実行する authenticate() メソッドをオーバーライドする方法
•
Enforcer プラグインに対し、認証情報を要求するよう指示する方法
•
個別化データを Enforcer プラグインに通知する方法
•
結果コードを使用して Policy Validator の動作を変更する方法
FileAuthenticator クラスは、次の処理を実行します。
1
UserSource を設定します。 UserSource は、アイデンティティのプロファイルが配置さ
れているディレクトリサーバーの分岐を特定します。
2
ログインフォームを設定します。
3
パスワードファイルをキャッシュにロードします。
4
Enforcer プラグインの要求から名前とパスワードを取得します。
認証方式と認証ルールのカスタマイズ : Validator API
55
5
ユーザー名とパスワードが取得されなかった場合、アイデンティティ確認のため、 Enforcer
プラグインにこれらのプロパティを要求するメッセージを表示させます。
6
パスワードキャッシュに対してアイデンティティを認証します。
FileAuthenticator クラスのソースコードは、 /source/validator/plugins/
FileAuthenticator.cpp に配置できます。
認証プラグインのヘッダーファイルの組み込み
FileAuthenticator 認証プラグインには、ヘッダーファイル AuthPlugin.h が含まれます
( すべての認証プラグインは、このヘッダーファイルを含む必要があります )。
validator_util.h ヘッダーには validator.h が含まれます。
#include "enforcer_pragmas.h"
#define ACE_BUILD_SVC_DLL
#include <ace/svc_export.h>
#include "auto_free.h"
#include <ctype.h>
#include <stdio.h>
#include <vector>
#include <string>
#include <map>
#include
#include
#include
#include
<new>
<string>
<iostream>
<stdio.h>
#include
#include
#include
#include
#include
#include
#include
#include
#include
<PropertyElement.h>
<PropertyListElement.h>
"User.h"
"UserCache.h"
"UserSource.h"
"validator_util.h"
"AuthPlugin.h"
"EnforcerException.h"
"LdapAttributes.h"
FileAuthenticator クラスの定数
次の各定数は、コードの後続部分で使用されます。ここでは参照用に取り上げています。
FileAuthenticator クラスの定数の宣言例
次のコード例は、クラスの定数の宣言方法を示しています。
#define TRANSIENT_LOCATION_TAG
#define LOGIN_FILENAME_TAG
#define PASSWORD_FILENAME_TAG
56
"ArtificialSource"
"LoginForm"
"PasswordFile"
第4章
#define USER_SOURCE_TAG
#define ATTRIBUTE_PROP_LIST_TAG
#define ATTRIBUTE_TAG
"UserSource"
"SelectedAttributes"
"Attribute"
#define MAXLINE_SIZE
#define PASSWORD_ATTR
#define UID_ATTR
1024
"userPassword"
"uid"
typedef vector<string> strVector;
typedef map<string, strVector> attributeMap;
typedef map<string, attributeMap> userMap;
認証プラグインの登録
Policy Validator で認証プラグインを使用するには、プラグインの登録が必要です。登録では、プ
ラグインライブラリに init() メソッドを組み込みます。 Policy Validator は Policy Validator ディ
レクトリに配置されているすべての共有ライブラリで、 init() メソッドを呼び出します。
init() メソッドは、プラグインエントリのテーブルを登録することにより、共有ライブラリに
配置されている 1 つ以上のプラグインの登録を実行します。各テーブルエントリには、次の 3 つ
の要素が含まれます。
•
プラグイン名 : 認証プラグインを Select Auth の認証方式に関連付けるために、
component.xml ファイル内で使用される名前。
•
プラグインの種類 : 認証プラグインは AUTH として登録されます。
•
factory() メソッドへのポインタ。 factory() メソッドは、認証プラグインインスタンス
へのポインタを Policy Validator に提供します。 factory() メソッドは、タイプ定義
voidp_func での識別に基づいて、メソッドへのポインタを返す必要があります。
プラグインエントリのテーブルは、 NULL プラグインエントリで終了します。 57 ページの「プラ
グインの登録」は、プラグインエントリテーブルの作成および認証プラグインの登録方法を示し
ています。コードでは 1 つのプラグイン、すなわち FileAuthenticator 認証プラグインを登録
しています。
プラグインの登録
次のコード例は、プラグインの登録方法を示しています。
// table of plugins
static PluginEntry plugins[] = {
{ "FileAuthenticator", AUTH,
(voidp_func)&FileAuthenticator::factory
},
{ NULL, AUTH, NULL }
};
PluginEntry * init()
{
return plugins;
}
認証方式と認証ルールのカスタマイズ : Validator API
57
factory() メソッドを使用した認証プラグインのインスタンスの作成
factory() メソッドの目的は、Policy Validator に認証プラグインのインスタンスを提供すること
です。認証プラグインのインスタンスは、 Select Auth の認証サービスを表します。 Policy Validator
はポリシーストアから認証プラグインの設定を取得し、 XML を factory() メソッドに提供し
ます。 factory() メソッドは、 XML を使用して認証プラグインのインスタンスを作成し、認証
プラグインの状態を初期化します。 factory() メソッドは、次のように定義されます。
static AuthPlugin * factory(const XmlTreeNode *props);
58 ページの「FileAuthenticator プラグインのインスタンスの作成」は、 factory() メソッドの作
成方法を示しています。例では、 props 変数で提供されている、 XML プロパティを使用して設
定された FileAuthenticator 認定プラグインのインスタンスが返されています。
FileAuthenticator クラスは AuthPlugin クラスを継承しているため、返されるポインタは
認証プラグインのオブジェクトになります。
FileAuthenticator::factory() メソッドは、 XML 設定を解析し、必要なデータがすべて存
在することを確認します。新しいバージョンのプラグインでは、管理者はデフォルトの値に代え
て、使用するログインフォームの名前を指定することができます。
factory() メソッドは FileAuthenticator クラスのコンストラクタを呼び出し、取得された
設定値を使用して認証プラグインのインスタンスを作成します。そして、パスワードファイルと
属性リストをキャッシュにロードします。
factory() メソッドには、正しい C++ 名であればどのような名前を付けることもできます。
Select Access は init() メソッドを使用して、 factory() メソッドへのポインタを取得します。
FileAuthenticator プラグインのインスタンスの作成
次のコード例は、 factory () メソッドで FileAuthenticator プラグインのインスタンスを
作成する方法を示しています。
AuthPlugin * FileAuthenticator::factory
(
const string & name,
const XmlTreeNode * props
)
{
// Must have properties
if (! props)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<No File Authenticator properties specified");
return NULL;
}
// Parameters
const char * transientUserLocName = props->getChild
StringValue(TRANSIENT_LOCATION_TAG);
const char * loginFormName
= props->getChild
StringValue(LOGIN_FILENAME_TAG);
const char * passwordFileLocName
= props->getChild
StringValue(PASSWORD_FILENAME_TAG);
58
第4章
const char * userSourceName
= props->getChild
StringValue(USER_SOURCE_TAG);
const UserSource * userSource = NULL;
FILE * passwordFile = NULL;
if (!sNameToUserSource(name.c_str(), userSourceName, userSource))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Could not create a valid User
Source");
return NULL;
}
if (! transientUserLocName ||
! sValidateSyntheticUserLocation(transientUserLocName,
userSource))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Transient user location not
located below the User Source");
return NULL;
}
if (! loginFormName)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Could not locate the login form
in the configuration");
return NULL;
}
if (! passwordFileLocName)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Could not locate the password
file in the configuration");
return NULL;
}
else if (access(passwordFileLocName, 4) == -1)
{
if (errno == ENOENT)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: The password file %s does
not exist.", passwordFileLocName);
}
else if (errno == EACCES)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: The password file %s is
not readable.", passwordFileLocName);
}
else
認証方式と認証ルールのカスタマイズ : Validator API
59
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: An unknown error occurred
while trying to open the password file %s.",
passwordFileLocName);
}
return NULL;
}
const XmlTreeNode *xmlAttributeList = props->
getChild(ATTRIBUTE_PROP_LIST_TAG);
try
{
passwordFile = fopen(passwordFileLocName, "r");
FileAuthenticator * plugin = new FileAuthenticator
( name.c_str(), userSource, transientUserLocName,
loginFormName);
if(!plugin->getAttributesToCopy(xmlAttributeList))
return NULL;
if(!plugin->getPasswords(passwordFile))
return NULL;
return plugin;
}
catch (...)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Could not create a File
Authenticator plugin instance");
return NULL;
}
}
FileAuthenticator コンストラクタは、プラグイン名と UserSource を親コンストラクタに
受け渡します。すべての認証プラグインはプラグイン名と UserSource を親クラスに提供する必
要があります。稼動時に UserSource が NULL であった場合、 Policy Validator は設定された順序
で利用可能な UserSource を 1 つずつ試します。また、コンストラクタは一時アイデンティティ
の保存場所とログインおよびチャレンジ用のフォームを格納するためのフィールドを設定しま
す。一時アイデンティティの詳細は、 75 ページの「LdapConnection / User / UserSource / UserCache」
を参照してください。 Select Audit のログレベルで DEBUG メッセージを含めるように設定されて
いる場合は、コンストラクタは呼び出したことを示すメッセージもログに記録します。
FileAuthenticator コンストラクタ
次のコード例は、 FileAuthenticator コンストラクタの一例を示しています。
FileAuthenticator::FileAuthenticator
(
const char
* name,
const UserSource
* userSource,
const char
* transientUserLoc,
const char
* loginForm
60
第4章
)
:
AuthPlugin(name, userSource),
transientUserLoc_(SYS_STRDUP(transientUserLoc)),
loginForm_(SYS_STRDUP(loginForm)),
cache_user_flag_(true)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "FileAuthenticator:
Constructing FileAuthenticator plugin");
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "FileAuthenticator:
transientUserloc: %s", transientUserLoc);
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "FileAuthenticator:
loginForm: %s", loginForm);
}
認証プラグインのインスタンスの作成後、FileAuthenticator::factory() メソッドは XML
属性のリストを初期化します。そして、 XML の属性を取得するために、その属性をキャッシュに
ロードする setToCopy() メソッドで呼び出します。最後に、 getPassword() メソッドを呼び
出し、パスワードをキャッシュにロードします。
Policy Validator プラグインを作成する際は、エラー状態を適切に処理することが重要です。有効
な要求が拒否されるのは、多くの場合、プラグインエラーが原因です。エラーの特定は困難な場
合があるため、追跡が可能なように、すべてのエラーをログに記録する必要があります。これを
行うには、 ERROR ログレベルを使用します。
factory() メソッドがプラグインのインスタンスを設定できなかった場合は、 NULL が返され
ます。
パスワードファイルの読み込み
次のコード例は、パスワードファイルをキャッシュに読み込む方法を示しています。
bool FileAuthenticator::getPasswords(FILE * passwordFile)
{
if (passwordFile == NULL)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: An unknown error occurred while
trying to open the password file.");
return false;
}
fetchPasswordData(passwordFile);
return true;
}
void FileAuthenticator::processLine(char * line, userMap & users, string
& currentUserKey, string & currentAttributeKey, attributeMap &
userRecord )
{
if (!users.empty() && currentUserKey != "")
{
userMap::iterator entry = users.find(currentUserKey);
if (entry != users.end())
認証方式と認証ルールのカスタマイズ : Validator API
61
userRecord = entry->second;
}
strVector attributeValues;
if (!userRecord.empty() && currentAttributeKey != "")
{
attributeMap::iterator attr = userRecord.find
(currentAttributeKey);
if (attr != userRecord.end())
attributeValues = attr->second;
}
int i = 0;
bool allSpace = true;
while (i < MAXLINE_SIZE && line[i] != '\0' && allSpace)
{
if (line[i++] != ' ')
allSpace = false;
}
if (allSpace)
{
if (userRecord.size() > 0)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: Read user record for %s",
currentUserKey.c_str());
users[currentUserKey] = userRecord;
currentUserKey = "";
currentAttributeKey = "";
userRecord.clear();
}
return;
}
i = 0;
if (line[0] == '\0' || line[0] == '#')
return;
if (line[0] == ' '&& line[1] != ' ')
{
//printf("multi-line attribute\n");
if (attributeValues.size() > 0)
{
string value = attributeValues.back();
attributeValues.pop_back();
while (line[++i] != '\0' && i < MAXLINE_SIZE)
{
value += line[i];
}
attributeValues.push_back(value);
userRecord[currentAttributeKey] = attributeValues;
if (currentUserKey != "")
{
users[currentUserKey] = userRecord;
}
62
第4章
return;
}
return;
}
bool nameFinished = false;
string name;
string value;
while (i < MAXLINE_SIZE && line[i] != '\0')
{
if (nameFinished)
{
value += line[i];
}
else
{
if (line[i] == ':')
{
nameFinished = true;
i++;
}
else
{
name += line [i];
}
}
i++;
}
if (currentAttributeKey == "")
currentAttributeKey = name;
if (name != currentAttributeKey)
{
currentAttributeKey = name;
attributeValues.clear();
}
attributeValues.push_back(value);
userRecord[currentAttributeKey] = attributeValues;
if (name == "uid")
{
string newName = name + "=" + value;
currentUserKey = newName;
}
if (currentUserKey != "")
users[currentUserKey] = userRecord;
}
void FileAuthenticator::fetchPasswordData(FILE * fp)
{
char line[MAXLINE_SIZE];
char c;
int i = 0;
bool processedLine = false;
認証方式と認証ルールのカスタマイズ : Validator API
63
if (!fp)
return;
nullLine(line);
string currentUserKey = "";
string currentAttributeKey = "";
attributeMap tmpUserRecord;
while ((c = fgetc(fp)) != EOF)
{
if (c != '\n')
{
processedLine = false;
line[i] = c;
i++;
}
else
{
processedLine = true;
line[i] = '\0';
i = 0;
processLine (line, users_, currentUserKey,
currentAttributeKey, tmpUserRecord);
nullLine(line);
}
}
if (!processedLine)
processLine (line, users_, currentUserKey,
currentAttributeKey, tmpUserRecord);
}
認証プラグインのインスタンスの破棄
認証プラグインは、デストラクタも提供する必要があります。外部リソースが解放されているこ
とを確認してください。 C++ 文字列は自動的に解放されるため、 FileAuthenticator クラスは
外部リソースを管理しません。
FileAuthenticator::~FileAuthenticator() {}
アイデンティティの認証
アイデンティティを認証するため、Policy Validator は認証プラグインの authenticate() メソッ
ドを呼び出します。すべての認証プラグインで、このメソッドをオーバーライドする必要があり
ます。 Policy Validator は authenticate() メソッドに次の 4 つのパラメータを受け渡します。
64
•
要求データへのポインタ。この XML プロパティリストには、 Enforcer プラグインによって
送信されたリソースへのアクセス要求が含まれています。それ以外に、他の認証プラグイン
によって埋め込まれたデータが含まれる場合もあります。 Select Access のプラグインは、要求
にデータを追加して、異なるプラグインに情報を受け渡すことができます。
•
現在の XML 応答へのポインタ。処理済みの認証プラグインから取得された既存の XML プロ
パティが含まれます。
第4章
•
個別化情報の保持に使用される PropertyListElement。個別化の詳細は、第 6 章、「個別
化属性の使用 : Personalization API」を参照してください。
•
Enforcer プラグインへの返信に使用される応答に、判定ポイントプラグインがポリシーの決
定に関する詳細情報を組み込むべきかどうかを示すトレースフラグ。一般的にはデバッグの
目的でのみ使用され、通常は false に設定されています。
authenticate() メソッドは、 Policy Validator に処理の続行方法を指示する結果コードを返しま
す。認証プラグインは、次の値を返すように設定されています。
•
R_PERMIT: 認証プラグインの処理を停止します。アイデンティティはすでに認証されています。
•
R_DENY: 認証プラグインの処理を停止します。アイデンティティはすでにアクセスを拒否さ
れています。これは通常、プロファイルが無効となっている場合に使用されます。
•
R_RESTART: Select Auth の最初の認証プラグインを処理して、再度認証を行います。これは通
常、アイデンティティに関する新しい情報がすでに検出されている場合に実行されます。ア
イデンティティを認証できなかったプラグインは、新しいアイデンティティを使用して再試
行を行うことが可能です。 Policy Validator は、ポリシーマトリックスと Select Auth を評価し
て、使用する認証プラグインを決定します。
•
R_ERROR: アイデンティティの認証中にエラーが発生した場合、通知を行います。Policy Validator
は認証の処理を中止し、アクセスを拒否します。プラグインは、発生したエラーに関するエラー
レベルのメッセージをログに記録します。
•
R_CONTINUE: アイデンティティが認証されなかった場合に、 Select Auth の後続の認証プラグ
インを使用して、アイデンティティの認証を試みます。
パスワード管理をサポートするため、 Select Access は次のコードを内部的に使用します。これに
より、 Select Access は、パスワードの期限切れなどの特殊なケースを処理することができます。プ
ラグインがこれらの値を返すことはありません。
•
R_DENY_FORM
•
R_PERMIT_FORM
•
R_DENY_AUTHENTICATED
•
R_DENY_AUTHENTICATED_FORM
•
R_DENY_USER_NOT_FOUND_FORM
要求の認証
次のコード例は、要求の認証方法を示しています。
AuthPlugin::Result
FileAuthenticator::authenticate(
PropertyListElement *data,
PropertyListElement *response,
const PropertyListElement * const personalizer,
const bool trace
)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "FileAuthenticator:
Invoking FileAuthenticator plugin");
AuthPlugin::Result result = R_DENY;
if (isRestart(data, name_.get()))
認証方式と認証ルールのカスタマイズ : Validator API
65
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: Authentication restart");
result = validateRestartData(data, response, personalizer);
}
else if (!fetchData(user_, ENFORCER_USER,
ValidatorGetPostDataList(data)) ||
!fetchData(password_, ENFORCER_PASSWD,
ValidatorGetPostDataList(data)))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: No uid or password, sending login form");
addPasswordHint2Response(response);
}
else if (validateUser(user_, password_))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: User authenticated");
result = R_PERMIT;
if (canCacheUser())
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: Caching user record");
result = handleUserInfo(data, response,
personalizer, user_.c_str(), transientUserLoc_.get());
}
}
else
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: User login failed");
addPasswordHint2Response(response);
}
setResponseAction(result, response);
return result;
}
アイデンティティがまだ認証されていない、または認証情報が提供されていない場合の、認証プ
ラグインの要求の処理方法に注意してください。認証プラグインは、要求されたリソースへのア
クセスを許可しないことを Enforcer プラグインに通知する R_DENY コードを返します。
また、認証プラグインは XML 応答に認証ヒントを追加します。認証ヒントは、要求されたリソー
スに対して Policy Validator が許可する認証方式の種類を Enforcer プラグインに通知します。
Enforcer プラグインが認証ヒントによって提示された方式の 1 つをサポートしている場合、アイ
デンティティの認証情報を取得するための、 Enforcer プラグインとアイデンティティとの通信が
開始されます。あらゆるメカニズムによるサポートが可能ですが、通常は、アイデンティティに
ユーザー名とパスワードを入力するよう要求するログインフォームが表示されます。
66
第4章
パスワードの確認
次のコードは、パスワードの確認方法を示しています。
bool FileAuthenticator::validateUser(const string & user, const string &
password)
{
if (users_.empty())
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "No users
present in the login map.");
return false;
}
string userId = UID_ATTR;
userId += "=";
userId += user;
userMap::iterator iter = users_.find(userId);
if (iter == users_.end())
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "User %s not
found in login map.", user.c_str());
return false;
}
attributeMap userRecord = iter->second;
attributeMap::iterator iter2 = userRecord.find(PASSWORD_ATTR);
if (iter2 == userRecord.end())
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "No password
found for user in login map.");
return false;
}
strVector values = iter2->second;
for (strVector::iterator iter3 = values.begin(); iter3 !=
values.end(); iter3++)
{
if (password == (*iter3))
return true;
}
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "Password did not
match.");
return false;
}
authenticate() メソッドは、 validateUser() メソッドからの結果コードを反映するように
XML 応答を設定します。 67 ページの「XML 応答の設定」で使用されている XML 文字列の値に
対するプリプロセッサの定義は、 enforcer.h に記述されています。処理が完了すると、 Policy
Validator は XML 応答の結果を Enforcer プラグインに送信します。
XML 応答の設定
次のコード例は、 XML 応答の設定方法を示しています。
認証方式と認証ルールのカスタマイズ : Validator API
67
void FileAuthenticator::setResponseAction
(
AuthPlugin::Result result,
PropertyListElement
* response
)
{
switch (result)
{
case R_ERROR:
{
ValidatorSetAction(response, ENFORCER_ACTION_ERROR);
}
break;
case R_DENY:
{
ValidatorSetAction(response, ENFORCER_ACTION_DENY);
}
break;
case R_PERMIT: {
ValidatorSetAction(response, ENFORCER_ACTION_ALLOW);
}
break;
case R_RESTART: {
// No ACTION to be inserted into response
}
break;
default: {
ValidatorSetAction(response, ENFORCER_ACTION_ERROR);
}
break;
}
}
passwordHint2Response() メソッドは、 XML プロパティを応答に追加します。追加されるプ
ロパティは Enforcer プラグインにアイデンティティ認証の要求を通知します。ログインフォーム
の場所は、応答内に記載されています。
判定ポイントプラグインの作成 : ディレクトリ属性の例
Select Access には、一連の判定ポイントプラグインが組み込まれています。最も柔軟な判定ポイ
ントプラグインの 1 つが、 attributelogic プラグインです。このプラグインは、アイデンティ
ティの属性を設定された検索フィルタと比較します。検索フィルタは、34 ページの「Policy Builder
プラグインの作成」のセクションに記載の AttributeLogicPanel Policy Builder プラグインで
構成されています。
68
第4章
検索フィルタは、一連のブール式で構成されています。各式で属性、比較演算子、値を指定しま
す。たとえば、検索フィルタによって、アイデンティティが「sales」と同じ値を持つ「department」
という名前の属性を所有している必要があることなどを指定できます。
このセクションでは、次の各項目について説明します。
•
判定ポイントプラグインのヘッダーファイルを組み込む方法。
•
init() メソッドを使用してプラグインを登録する方法
•
プラグインのインスタンスを作成する factory() メソッドを作成する方法
•
承認を実行する decide() メソッドをオーバーライドする方法。
•
User、 UserCache、 UserSource、および LdapConnection クラスを使用してアイデン
ティティ情報を取得する方法。
•
Policy Validator が使用する DECIDER_BRANCH を制御する方法。Decider プラグインは true お
よび false 分岐で設定されます。各分岐には判定ポイントプラグインが関連付けられます。
Policy Validator は、 DECIDER_BRANCH の値に基づいて、次に処理する判定ポイントプラグイ
ンを決定します。
•
結果コードを使用して Policy Validator の動作を制御する方法。
•
EvaluatorExceptions を処理する方法。
ここでは、承認プラグインの例として、 attributelogic クラスを使用します。
attributelogic クラスは次の処理を実行します。
1
XML 設定から LDAP 準拠の検索フィルタを作成します。
2
要求 XML からアイデンティティを抽出します。
3
キャッシュからアイデンティティを検索します。
4
アイデンティティを含んだ UserSource を特定します。 UserSource は、アイデンティ
ティの LDAP エントリが配置されているディレクトリサーバーの分岐を指定します。
5
UserSource から LdapConnection を取得します。これにより、 attributelogic プラ
グインはディレクトリサーバーを検索し、追加のアイデンティティ情報を取得できます。
6
アイデンティティの属性およびメンバシップを設定された検索フィルタと比較します。検索
フィルタが LDAP を使用するように設定されている場合、プラグインはディレクトリサー
バーを検索して、アイデンティティの属性を検出します。それ以外の場合は、アイデンティ
ティの属性は XML 要求から抽出されます。
7
Policy Validator に対して、アイデンティティが必要な属性を所有している場合は true 分岐、
そうでない場合は false 分岐を使用するように指示します。
attributelogic クラスのソースコードは、 /source/validator/plugins/
attributelogic.cpp で確認できます。
判定ポイントプラグインのヘッダーファイルの組み込み
attributelogic.cpp ファイルは、 attributelogic.h ヘッダーを含みます。このファイル
には、すべての判定ポイントプラグインで必要となる Decider.h ヘッダーが含まれています。
また、このプラグインでは XML
クラス XmlTreeNode、 PropertyElement、および
PropertyListElement を使用します。ディレクトリサーバー接続およびダイナミックグルー
認証方式と認証ルールのカスタマイズ : Validator API
69
プを取得するため、プラグインには User、UserSource、UserCache、および LdapConnection
クラスが含まれています。判定ポイントプラグインの例外は evaluator.h ヘッダーによって定
義されます。
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
<algorithm>
"attributelogic.h"
"attributelogic_tags.h"
"UserSource.h"
"XmlTreeNode.h"
"PropertyElement.h"
"PropertyListElement.h"
"attribute_compare.h"
"ldap_util.h"
"LdapConnection.h"
"User.h"
"UserCache.h"
"validator_util.h"
"evaluator.h"
attributelogic クラスの定数
70 ページの「attributelogic の定数」に示されている定数は、検索フィルタの作成および評価時に
使用されるブール演算子および比較演算子の種類を定義します。
attributelogic の定数
次のコード例は、 attributelogic プラグインの定数を示しています。
const char *attributelogic::logicalOperatorNames[] = {"AND", "OR" };
const bool attributelogic::logicalOperatorSigns[] = {true, false};
const int attributelogic::logicalOperatorSize = 2;
const char *attributelogic::operatorNames[] =
{ "Equal",
"NotEqual", "GreaterThan" "GreaterEqual",
"LessThan", "LessEqual", "Set",
"NotSet" };
const char *attributelogic::operatorSigns[] =
{ "=",
"!=",
"!<=",
">=",
"!>=",
"<=",
"=*",
"!=*"
};
const bool attributelogic::operatorUnary[] =
{ false,
false,
false,
false,
false,
false,
true,
true
};
const char *attributelogic::operatorLogic[] =
{ "|",
"|",
"|",
"|",
"|",
"|",
"|",
"&"
};
const int attributelogic::operatorSize = 8;
const char *attributelogic::scopeNames[] =
{"UserData",
"GroupData",
"AnyData"};
const bool attributelogic::scopeUser[] =
{true,
false,
true
};
const bool attributelogic::scopeGroup[] =
{false,
true,
true
};
const int attributelogic::scopeSize = 3;
70
第4章
判定ポイントプラグインの登録
Policy Validator で判定ポイントプラグインを使用するには、プラグインの登録が必要です。 Policy
Validator は Policy Validator のディレクトリに配置されているすべての共有ライブラリで、init()
メソッドを呼び出します。 init() メソッドは、共有ライブラリに配置されている 1 つ以上のプ
ラグインを登録します。
判定ポイントプラグインを作成する際は、プラグインライブラリに init() メソッドを組み込む
必要があります。 init() メソッドは、プラグインエントリのテーブルを登録します。各テーブ
ルエントリには、次の 3 つの要素が含まれます。
•
プラグイン名 : 判定ポイントプラグインと Rule Builder のプラグインを関連付けるために、
component.xml ファイルで使用される名前。プラグイン名は、対応する Policy Builder プラ
グインの COMPONENT タグにある EVALUATOR 属性の値と一致している必要があります。
component.xml ファイルの詳細は、 37 ページの「component.xml ファイルの作成」を参照し
てください。
•
プラグインの種類 : 判定ポイントプラグインは DECIDER として登録されます。
•
factory() メソッドへのポインタ : factory() メソッドは、判定ポイントプラグインのイ
ンスタンスへのポインタを Policy Validator に提供します。
プラグインエントリのテーブルは、 NULL プラグインエントリで終了します。コードでは 1 つの
プラグイン、すなわち判定ポイントプラグイン attributelogic を登録しています。
プラグインの作成と登録
次のコード例は、プラグインのエントリテーブルの作成方法および判定ポイントプラグインの登
録方法を示しています。
extern "C" ACE_Svc_Export PluginEntry *init();
// A table of plugin factories located in this class
static PluginEntry plugins[] =
{
// The Attribute Logic Validator plugin
{ "attributelogic", DECIDER,
(voidp_func)&attributelogic::factory },
// Terminate the table with a "null" entry
{
NULL,
DECIDER,
NULL }
};
PluginEntry * init()
{
return plugins;
}
判定ポイントプラグインのインスタンスの作成
factory() メソッドは条件付きルールの判定ポイントを表すオブジェクトを Policy Validator に
提供します。 Policy Validator はポリシーストアから判定ポイントの設定を検索し、 XML を
factory() メソッドに提供します。 factory() メソッドは、 XML を使用して判定ポイントプ
ラグインのインスタンスを作成し、判定ポイントプラグインの状態を初期化します。 factory()
メソッドは、次のテンプレートによって定義されます。
認証方式と認証ルールのカスタマイズ : Validator API
71
static Decider * factory(const XmlTreeNode *props);
72 ページの「factory() メソッド」に、 factory() メソッドの作成方法を示しています。例では、
props 変数で提供される XML プロパティを使用して設定された、attributelogic インスタン
スが返されています。 attributelogic クラスは Decider クラスを継承しているため、返されるオブ
ジェクトポインタは Decider オブジェクトになります。
factory() メソッドには、正しい C++ 名であればどのような名前を付けることもできます。
Select Access は init() メソッドを使用して、 factory() メソッドへのポインタを取得します。
factory() メソッド
次の例は、プラグインのインスタンスを作成するための factory() メソッドの使用方法を示し
ています。
Decider * attributelogic::factory(const XmlTreeNode *props) {
if (! props) {
throw EnforcerException(EnforcerException::E_NULL_ARG,
"attributelogic factory()", "Invalid Property List");
}
return new attributelogic(*props);
}
// constructor
attributelogic::attributelogic(const XmlTreeNode &propertyList, bool
useLdap)
:
m_expression(propertyList),
m_useLdap(useLdap)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"Constructing attributelogic plugin");
if ( ! m_expression.isPropertyList() ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
"attributelogic::constructor()", "Invalid Property List");
}
}
attributelogic::attributelogic(
const XmlTreeNode &, //propertyList
bool = true
// useLdap
);
例では、 factory() メソッドが XmlTreeNode のみを受け入れるコンストラクタを呼び出して
いることに注意してください。直前のサンプルコードに記載されているこのコンストラクタは、
ヘッダーファイル attributelogic.h で定義されています。単一のパラメータ constructor
は、 true に設定された useLdap 変数を使用して、コンストラクタを呼び出しています。
72
第4章
判定ポイントプラグインのインスタンスの破棄
判定ポイントプラグインは、デストラクタも提供する必要があります。外部リソースが解放され
ていることを確認してください。 attributelogic クラスは、外部リソースを管理しません。
attributelogic::~attributelogic(){}
ポリシーノードの評価
Policy Validator は条件付きルールを処理する際、 1 つ以上の判定ポイントを評価します。各判定
ポイントは判定ポイントプラグインを表します。 Policy Validator が判定ポイントを評価する必
要がある場合、対応する判定ポイントプラグインの decide() メソッドを呼び出します。
decide() メソッドは、 Policy Validator が true または false のどちらの分岐を使用して処理を
続行すべきかを決定します。
decide() は、判定ポイントプラグインの中核となるメソッドです。プラグインは、このメソッ
ドをオーバーライドする必要があります。これは、親クラス Decider で定義される仮想メソッド
です。
Policy Validator は、 decide() メソッドに対して次に示す要素を提供します。
•
要求データへのポインタ。この XML ノードには Enforcer プラグインによって送信されたリ
ソースへのアクセス要求が含まれています。それ以外に、他のエバリュエータや認証プラグ
インによって埋め込まれたデータが含まれる場合もあります。 Select Access のプラグインは、
要求にデータを追加して、異なるプラグインと通信を行うことができます。
•
現在の XML 応答へのポインタ。条件付きルールの一部としてすでに処理されている、認証プ
ラグインから取得された既存の XML プロパティが含まれます。
•
コマンドラインでデバッグが有効にされているかどうかを示すトレースフラグ。
•
文字列 decider_branch_path。この文字列は、 Policy Validator が使用すべきパス (true ま
たは false) に合わせて設定する必要があります。応答の文字列として有効な設定には、あら
かじめ定義された DECIDER_BRANCH_TRUE と DECIDER_BRANCH_FALSE. の 2 つの文字
列があります。
decide() メソッドは、処理の続行、エラーによる停止などの動作の実行を Policy Validator に指
示する結果コードを返します。結果コードの種類を次に示します。
1
CONTINUE: 応答変数 (DECIDER_BRANCH_TRUE または DECIDER_BRANCH_FALSE) によって
指定された、条件付きルール内の後続の判定ポイントプラグインを処理します。通常の状態
では、ほとんどの判定ポイントプラグインがこの値を返します。
2
DONE: 判定ポイントプラグインの処理を停止し、 XML 応答を Enforcer プラグインに返しま
す。通常、判定ポイントプラグインがこの値を返すのは、アクセスが残りの条件付きルール
に関係なく許可または拒否された場合のみです。たとえば、プロファイルが無効化されてい
るアイデンティティへのアクセスを常に拒否する場合などがこれに該当します。
3
ALLOW: 処理を停止し、アクセスを許可します。これは Select Access の終端ポイントに対す
る予約済みの値です。判定ポイントプラグインがこの値を返すことはありません。
4
FAILED: エラーのために処理を停止します。
5
RESTART: 最初の判定ポイントから条件付きルールを再度評価します。通常、判定ポイント
プラグインは、アイデンティティの認証を要求した後にこのコードを返します。
認証方式と認証ルールのカスタマイズ : Validator API
73
6
SEND_FORM: これは、 Select Access によって内部で使用される予約コードです。プラグイン
がこの値を返すことはありません。
判定ポイントプラグインが DONE または ALLOW の値を返すには、XML にアクセスの可否を示
す値を設定する必要があります。具体的には、 XML プロパティ ENFORCER_ACTION の値を
ENFORCER_ACTION_ALLOW または ENFORCER_ACTION_DENY に設定します。これらの文字列
のプリプロセッサの定義は、 /source/enforcer ディレクトリの enforcer.h に記述されて
います。
74 ページの「decide() メソッド」に、 attributelogic クラスの decide() メソッドを示して
います。このメソッドは、デフォルトの decider_branch_path を DECIDER_BRANCH_FALSE
に設定します。続いて、要求を評価します。アイデンティティが適切な属性を持っている場合、
decide() メソッドは decider_branch_path を DECIDER_BRANCH_TRUE に設定します。要
求の評価後、メソッドは CONTINUE を返します。
decide() メソッド
次のコード例は、使用される decide() メソッドを示しています。
Decider::Result attributelogic::decide
(
PropertyListElement *request, // the Enforcer XML request and
data from other
// evaluators.
PropertyListElement *response, // the XML response to send back
const bool trace,
// whether tracing is requested
string& decider_branch_path
// tells Validator which branch to
evaluate next
) {
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG, "Invoking
attributelogic plugin");
// default response will be to take the false branch
decider_branch_path = DECIDER_BRANCH_FALSE;
// evaluate can throw EvaluatorInternal if something is wrong
if ( evaluate(*request) ) {
decider_branch_path = DECIDER_BRANCH_TRUE;
}
return Decider::CONTINUE;
// keep processing
}
attributelogic::evaluate() は、例外 EvaluatorInternal をスローすることがありま
す。判定ポイントプラグインの例外は、 /source/validator/evaluator.h で定義されます。
定義されている例外は次のとおりです。
74
•
EvaluatorFatal: 深刻なエラーが発生しており、 Policy Validator を再起動する必要があり
ます。
•
EvaluatorNonFatal: 一時的なエラーが発生しましたが、影響があるのは今回の要求のみ
です。要求は拒否されます。
•
EvaluatorInternal: エバリュエータのモジュール内でエラーが発生しましたが、 Policy
Validator は残りの条件付きルールの処理を続行可能です。処理は DECIDER_BRANCH_FALSE
パスを使用して続行されます。このメソッドは使用しないでください。
EvaluatorFatal、 EvaluatorNonFatal、および EnforcerException クラスを使用
するようにしてください。
第4章
LdapConnection / User / UserSource / UserCache
判定ポイントプラグイン attributelogic は、アイデンティティの属性を設定されたセキュリ
ティポリシーと比較します。アイデンティティの属性が設定されたルールと一致する場合、判定
ポイントプラグインは true を返します。アイデンティティの属性の確認にディレクトリサー
バーを使用するように attributelogic クラスを設定することもできます。また、 XML 要求か
ら情報を取得することも可能です。75 ページの「evaluate() メソッド」に示す evaluate() メソッ
ドは、 m_useLdap フラグを確認して、アイデンティティの属性の取得先を決定しています。
evaluate() メソッド
次に、 evaluate() メソッドの例を示します。
bool attributelogic::evaluate(PropertyListElement &data) {
return m_useLdap ? evaluateUsingLdap(data) :
evaluateExpression(&m_expression, &data);
}
このセクションでは、 2 つの主要なクラスである UserSource と UserCache について説明しま
す。 Select Access はアイデンティティ情報をディレクトリサーバーに格納して取得します。設定
済みの任意のアイデンティティ保存場所にアイデンティティを配置することができます。
UserSource は、 LDAP 接続へのハンドル、コンテキストベース、検索ベースといった、アイデ
ンティティプロファイルを特定するために必要な情報を格納するオブジェクトです。
ディレクトリサーバーに配置されていないアイデンティティについては、一時アイデンティティ
と呼ばれる擬似 LDAP エントリを使用するよう Select Access を設定できます。これらのプロファ
イルは、ディレクトリサーバーには実際には配置されませんが、キャッシュ内で他のプロファイ
ルと同様に表示されます。認証プラグインがディレクトリサーバーに配置されていないアイデン
ティティの認証を行う場合、 Validator キャッシュに一時アイデンティティを作成します。
75 ページの「UserSource および UserCache への参照の取得」に、UserSource および UserCache
への参照の取得方法を示しています。 evaluateUsingLdap() メソッドにより、 UserSource
および UserCache 内の情報が検証されます。evaluateUsingLdap() メソッドは次の処理を実
行します。
1
要求データから認証済みのアイデンティティの DN を抽出します。なお、要求内にこの DN
が存在するのは、アイデンティティがすでに認証されている場合のみです。
2
認証済みの DN を基に、アイデンティティの UserSource を取得します。
3
UserSource から LDAP 接続を取得します。
4
UserCache からユーザーのオブジェクトを取得します。 UserCache は、 UserSource と
アイデンティティの認証済み DN を使用して、キャッシュされたオブジェクトを特定します。
5
アイデンティティのグループおよびダイナミックグループメンバシップを取得します。こ
れらは、キャッシュされたユーザーのオブジェクトに格納されています。
6
evaluateExpressionUsingLdap() を呼び出して、アイデンティティの属性が設定され
たルールと一致することを確認します。
UserSource または UserCache 内に無効な参照が存在する場合は、例外 EvaluatorInternal
がスローされ、 Policy Validator は DECIDER_BRANCH_FALSE パスを使用します。
UserSource および UserCache への参照の取得
次のコード例は、適切な参照の取得方法を示しています。
認証方式と認証ルールのカスタマイズ : Validator API
75
bool attributelogic::evaluateUsingLdap(const PropertyListElement &data)
{
static const char LOCATION[] =
"attributelogic::evaluateUsingLdap()";
const char *dn =
data.getChildStringValue(ENFORCER_AUTHENTICATED_DN);
if ( ! dn ) {
throw EvaluatorInternal(EnforcerException::E_INVALID_ARG,
LOCATION,
"Could not find Authenticated User dn in the query");
}
const UserSource *userSrc = UserSource::sGetByDN(dn);
if ( ! userSrc ) {
string message("Could not find User Source for User dn: ");
message += dn;
throw EvaluatorInternal(EnforcerException::E_INVALID_ARG,
LOCATION, message);
}
LdapConnection *ldapConn = userSrc->getLdapConnection();
if ( ! ldapConn ) {
throw EvaluatorInternal(EnforcerException::E_INVALID_ARG,
LOCATION,
"User source has an invalid LdapConnection");
}
User *user = UserCache::sLocateByDN(userSrc, dn);
if (! user) {
throw EvaluatorInternal(EnforcerException::E_INVALID_ARG,
LOCATION,
"User cannot be found in User Cache");
}
const UserMemberships **membership = user->getMemberships();
if ( ! membership ) {
throw EvaluatorInternal(EnforcerException::E_INVALID_ARG,
LOCATION,
"User Cache entry contains invalid membership info");
}
return (
evaluateExpressionUsingLdap(m_expression,*ldapConn,*userSrc,dn,
membership)
);
}
evaluateExpressionUsingLdap() メソッドが evaluateUsingLdap() によって呼び出さ
れます。 evaluateExpressionUsingLdap() メソッドは 2 つの機能を実行します。まず、 XML
設定を基に LDAP 検索フィルタを作成します。続いて、フィルタの基になっているのがアイデン
ティティの属性である場合は evaluateUserSearchFilter() を、グループメンバシップであ
る場合は evaluateGroupSearchFilter() を、それぞれ呼び出します。
76
第4章
検索フィルタを作成する際、 evaluateExpressionUsingLdap() は自身を再帰的に呼び出し
て、フィルタの各行を解析します。行を結合している論理的演算子が同一である場合、
attributeLogicPanel の Configuration Editor が異なるフィルタの行を同じ XML 分岐に格納し
ます。このため、 evaluateExpressionUsingLdap() メソッドが論理演算子を解析する場合
は、自身を再帰的に呼び出して、各 XML の子ノードを処理します。各 XML の子ノードは、フィ
ルタの行を表します。このメソッドではブール式の短絡論理が使用されます。 AND 式が false を
返した場合、または OR 式が true を返した場合は、自動的に処理を停止します。
evaluateUserSearchFilter() メソッドは、式を解析する際に、比較演算子、範囲 ( アイデン
ティティ、グループ、またはその両方 )、属性の名前、および必要な属性の値を抽出し、これらの
プロパティから LDAP 検索フィルタを作成します。 evaluateUserSearchFilter() メソッド
は、 evaluateUserSearchFilter() または evaluateGroupSearchFilter() を呼び出し、
各フィルタを使用してディレクトリサーバーへの照会を行います。結果は再帰呼び出しによって
評価されます。
式の検索
次のコード例は、プラグインの検索フィルタの使用方法を示しています。
式を結合する
論理演算子を
解析します
bool attributelogic::evaluateExpressionUsingLdap(
const XmlTreeNode &expression,
LdapConnection &ldapConn,
const UserSource &userSrc,
const string &userDn,
const UserMemberships ** membership
) {
static const char LOCATION[] =
"attributelogic::evaluateExpressionUsingLdap()";
const char *expressionName = expression.getName();
if ( ! expressionName ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Missing attribute name in expression");
}
if ( STREQ(expressionName, attributelogic_tags::LOGICAL_OPERATOR) )
{
const char *operatorName =
expression.getAttributeValue(attributelogic_tags::OPERATOR);
if ( ! operatorName ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Missing Logical Operator in expression");
}
const char **it = find_first_of(logicalOperatorNames,
logicalOperatorNames
+ logicalOperatorSize, &operatorName, &operatorName + 1,
streq);
if ( it == logicalOperatorNames + logicalOperatorSize ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Unknown Logical Operator in expression");
認証方式と認証ルールのカスタマイズ : Validator API
77
XML ノードの
式を解析します
再帰呼び出し
により式を
評価します
フィルタの式を
解析します
範囲を
抽出します
78
}
for (int i = 0; i < expression.getNumChildren(); ++i) {
XmlTreeNode *child = expression.getChild(i);
if ( ! child ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Invalid XML");
}
bool result = evaluateExpressionUsingLdap(*child, ldapConn,
userSrc,
userDn, membership);
if ( result != logicalOperatorSigns[it logicalOperatorNames] ) {
// stop if (... AND false) or (... OR true)
return result;
}
}
return true;
}
else if ( STREQ(expressionName,
attributelogic_tags::COMPARE_OPERATOR) ) {
// get Operator
const char *operatorName =
expression.getAttributeValue(attributelogic_tags::OPERATOR);
if ( ! operatorName ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Missing Compare Operator");
}
const char **opIt = find_first_of(operatorNames, operatorNames +
operatorSize,
&operatorName, &operatorName + 1, streq);
if ( opIt == operatorNames + operatorSize ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Unknown Compare Operator");
}
int operatorIndex = opIt - operatorNames;
const char *operatorSign = operatorSigns[operatorIndex];
bool operatorIsBinary = ! operatorUnary[operatorIndex];
// get Scope
const char *scopeName =
expression.getAttributeValue(attributelogic_tags::SCOPE);
if ( ! scopeName ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Missing scope in expression");
}
第4章
属性の名前を
抽出します
属性の値の
リストを
抽出します
const char **opSc = find_first_of(scopeNames, scopeNames +
scopeSize,
&scopeName, &scopeName + 1, streq);
if ( opSc == scopeNames + scopeSize ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Unknown Scope");
}
bool isUserScope = scopeUser[opSc - scopeNames];
bool isGroupScope = scopeGroup[opSc - scopeNames];
// get Attribute names (could be many)
const PropertyElementVector attrNames =
expression.getPropertyValues
(attributelogic_tags::ATTRIBUTE_NAME);
if ( attrNames.empty() ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Missing attribute name");
}
// get Attribute value (only one)
const PropertyElementVector attrValues =
expression.getPropertyValues(attributelogic_tags::ATTRIBUTE_VALUE);
const char *attrValue = NULL;
if ( operatorIsBinary &&
( attrValues.empty()
|| (attrValue = attrValues.front()->getStringValue()) == NULL
|| strlen(attrValue) < 1 ) ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Missing AttributeValue property in expression");
}
// construct search filter
// for each attribute in the CompareOperator list add the
corresponding
// condition to the search filter
検索フィルタ
を作成します
string searchFilter("(");
searchFilter += operatorLogic[operatorIndex];
for (PropertyElementVector::const_iterator
nameIt(attrNames.begin());
nameIt != attrNames.end(); nameIt++) {
const char * attrName = (*nameIt)->getStringValue();
if ( !attrName || *attrName == '\0' ) {
continue;
}
string attrFilter;
attrFilter += "(";
attrFilter += attrName;
認証方式と認証ルールのカスタマイズ : Validator API
79
// attr!* is represented as !(attr=*), attr!=value as
!(attr=value)
attrFilter += ( *operatorSign != '!' ) ? operatorSign :
operatorSign + 1;
if ( operatorIsBinary ) {
attrFilter += attrValue;
}
attrFilter += ")";
if ( *operatorSign == '!' ) {
attrFilter = "(!" + attrFilter + ")";
}
// Make sure that attribute exists before doing relational
comparisons
const char lastChar = operatorSign[strlen(operatorSign) - 1];
if (lastChar != '*') {
string str("(&(");
str += attrName;
str += "=*)";
attrFilter = str + attrFilter + ")";
}
searchFilter += attrFilter;
プラグインの
設定を
開始します
80
}
searchFilter += ")";
// done with the search filter, perform the search
bool result = false;
if ( isUserScope ) {
result = evaluateUserSearchFilter(searchFilter, userDn,
ldapConn);
}
if ( isGroupScope && !result) {
return evaluateGroupSearchFilter(searchFilter, userDn,
ldapConn,
userSrc, membership);
}
return result;
}
else if ( STREQ(expressionName,
attributelogic_tags::ATTRIBUTE_LOGIC) ||
STREQ(expressionName, attributelogic_tags::EXPRESSION_ROOT)) {
if ( expression.getNumChildren() <= 0 ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Missing Logical Attribute Property list");
}
XmlTreeNode *child = expression.getChild(0);
if ( ! child ) {
throw EnforcerException(EnforcerException::E_INVALID_ARG,
LOCATION,
"Invalid Logical Attribute Property list");
第4章
}
return evaluateExpressionUsingLdap(*child, ldapConn, userSrc,
userDn, membership);
残りの式を
処理する再帰
呼び出し
}
throw EnforcerException(EnforcerException::E_INVALID_ARG, LOCATION,
"Unknown property in expression");
}
アイデンティティの検索フィルタ内の evaluateUserSearchFilter() メソッドは、ディレク
トリサーバー内のプロファイルのみを検索しています。アイデンティティがすでに確認済みであ
るため、サーバー全体ではなく、特定のプロファイルのみを対象にすることにより、ディレクト
リサーバーの負荷を軽減します。事前に取得済みの LdapConnection を使用して検索を実行し
ます。アイデンティティが検索フィルタの要求する属性を所有している場合は true が返されま
す。プロファイルが検索フィルタと一致しない場合は、 false が返されます。
アイデンティティの検索フィルタ
次のコード例は、 evaluateUserSearchFilter() メソッドの使用方法を示しています。
bool attributelogic::evaluateUserSearchFilter
(
const string &searchFilter,
const string &userDn,
LdapConnection &ldapConn
) {
auto_LDAPMessage searchResult;
int rc = ldapConn.search(userDn.c_str(), LDAP_SCOPE_BASE,
searchFilter.c_str()
LdapAttributes::sNoAttributes, 0, NULL, NULL, LDAP_NO_LIMIT,
LDAP_NO_LIMIT,
searchResult);
return ( rc == LDAP_SUCCESS &&
ldapConn.firstEntry(searchResult.get()) );
}
81 ページの「グループの検索フィルタ」に示す evaluateGroupSearchFilter() メソッドは、
該当のアイデンティティに関するすべてのグループとダイナミックグループメンバシップを検
索しています。このメソッドは、それぞれのメンバシップについてディレクトリサーバーの各グ
ループエントリを検索します。それぞれのグループは各グループの検索フィルタと照合されま
す。フィルタと一致するグループが存在した場合、検索は成功となり、 LDAP 検索はエントリを
1 つだけ返します。一致が確認されると、このメソッドは true を返します。グループの検索フィ
ルタと一致するアイデンティティのメンバシップが存在しない場合は、メソッドは false を返し
ます。
グループの検索フィルタ
次のコード例は、 evaluateGroupSearchFilter() メソッドの使用方法を示しています。
bool attributelogic::evaluateGroupSearchFilter(
const string &searchFilter,
const string &userDn,
LdapConnection &ldapConn,
const UserSource &userSrc,
認証方式と認証ルールのカスタマイズ : Validator API
81
const UserMemberships ** membership
) {
for (; *membership != NULL; ++membership) {
for (UserMemberships::const_iterator it = (*membership)->begin()
; it != (*membership)->end(); ++it) {
auto_LDAPMessage searchResult;
int rc = ldapConn.search(*it, LDAP_SCOPE_BASE,
searchFilter.c_str(),
LdapAttributes::sNoAttributes, 0, NULL, NULL,
LDAP_NO_LIMIT, LDAP_NO_LIMIT, searchResult);
if ( rc == LDAP_SUCCESS &&
ldapConn.firstEntry(searchResult.get()) ) {
return true;
}
}
}
return false;
}
サンプル attributelogic の作成
サンプル attributelogic を作成するには、 GNU make をインストールし、 /source/
validator/plugins ディレクトリから gmake コマンドを実行します。. gmake コマンドの詳細
については、 23 ページの「SDK でのサンプルの作成」を参照してください。
gmake コマンドにより、 82 ページの「Makefile の出力」に示す出力が生成されます。異なるコン
パイラを使用している場合は、次に示すオプションが再現されるようにコンパイラを設定する必
要があります。 Makefile を修正する際は、インクルードおよびライブラリディレクトリのパス
にお使いのオペレーティングシステムを指定してください。
Makefile の出力
次に、判定ポイントプラグインに対する出力サンプルを示します。
g++ -g -O2 -pipe -DUSE_SSL
-D_PTHREADS -D_REENTRANT -DPOSIX_THREADS
-DFD_SETSIZE=8192 -Wall -D_POSIX_THREAD_SAFE_FUNCTIONS -DACE_HAS_SSL
-I../../solaris/include -I../../include -I.. -I../../enforcer -I../
../radius
-DACE_HAS_EXCEPTIONS attributelogic.cpp -g -O2 -pipe -L../../
<platform?/lib
-lenforcer -lopenssl -licuuc -licudata -lACE_SSL -lldap50 -laceclnt
-lradlib
-lcurl -lsocket -lnsl -ldl -lthread -o attributelogic
82
第4章
5 セキュリティサービスのカスタマイズ :
Enforcer API
Enforcer API によって、 Select Access のセキュリティサービスをほとんどの製品およびカスタム
コンポーネントと統合できます。この章では、 Enforcer API を使用して、 Java、 C/C++、および
COM オブジェクトのセキュリティサービスを提供する方法について説明します。
この章の概要
この章では、 Enforcer プラグインとその API、および Enforcer プラグインの動作をカスタマイズ
するために Enforcer API で作成できる各種プラグインについて説明します。
•
83 ページの「Enforcer プラグイン」
•
84 ページの「Enforcer API」
•
89 ページの「Java Enforcer API を使用した Enforcer プラグインの作成」
•
107 ページの「C/C++ Enforcer API を使用した Enforcer プラグインの作成」
•
126 ページの「COM Enforcer API を使用した Enforcer プラグインの作成」
•
146 ページの「サイト固有データの組み込み」
Enforcer プラグイン
図 13 は、 Enforcer プラグインを Policy Builder および Policy Validator と一緒に使用して、セキュ
リティサービスを拡張する方法を示しています。 Enforcer プラグインは、ネットワークリソース
へのアクセスを制御します。Enforcer プラグインはリソースの要求を受け取り、Policy Validator に
承認の判定を委任します。 Enforcer は、 Policy Validator の判定結果を実行します。 Enforcer プラグ
インおよび Policy Validator は XML を使用して、要求や実行の指示を伝達します。 XML により、
Enforcer プラグインでは、アクセス制御の決定に必要とされるすべての情報を Policy Validator に
送信できます。また、 Policy Validator では、アイデンティティ認証の要求、許可する認証の種類
の決定、ログインフォームの表示といった動作の実行を Enforcer プラグインに指示できます。
通常、 Enforcer プラグインは、サーバーの API を使用して、製品からリソースの要求を受け取り
ます。たとえば、 Sun ONE Web Server Enforcer プラグインは、 NSAPI を使用して HTTP 要求を受
け取り、承認します。
83
図 13
Enforcer プラグインと Select Access コンポーネントの連携
Enforcer API
Enforcer プラグインの主な機能は、認証および承認の要求を Policy Validator に送信し、応答の結
果を実行することです。Enforcer API は、Policy Validator との通信を簡素化するインターフェイス、
クラス、およびユーティリティの集合です。 Select Access では、 C/C++、 Java、および COM コン
ポーネントを作成するための Enforcer API インターフェイスが提供されています。Enforcer API を
使用して、次のようなセキュリティサービスを簡単に追加することができます。
•
アイデンティティの認証
•
シングルサインオン
•
承認
•
セキュリティで保護されたリモートログ
•
個別化の属性
個別化の各属性の処理については、第 6 章、「個別化属性の使用 : Personalization API」
を参照してください。
開発者が Select Access のセキュリティサービスをさまざまな製品と統合できるよう、Enforcer API
では Java、 C/C++、および COM のインターフェイスをサポートしています。この章では、各
Enforcer API インターフェイスに対応する、次の 3 つの Enforcer プラグインについて説明します。
84
•
サーブレット Enforcer プラグイン : この Enforcer プラグインは Java の Enforcer API で、Servlet
API を Enforcer API に接続します。サーブレットは、 Select Access で Web リソースへのアクセ
スを制御するセキュリティフィルタとして機能します。
•
Apache 2 Enforcer プラグイン : この Enforcer プラグインは C/C++ の Enforcer API で、 Apache
API を Enforcer API に接続します。このプラグインは、 Apache サーバーに Select Access のセ
キュリティサービスを提供します。
第5章
•
WSE Enforcer プラグイン : この Enforcer プラグインは COM の Enforcer API で、 .Net SOAP イ
ンターフェイスを Enforcer API に接続します。このプラグインは、 .Net リソースに Select
Access のセキュリティサービスを提供します。
Enforcer API の仕組み
Enforcer API は、セキュリティで保護された信頼性の高い Policy Validator および Select Audit との
通信をカプセル化します。この API は、 Policy Validator に要求を送信し、応答を受け取るインター
フェイスを提供します。 Enforcer API は、 Policy Validator とのセキュリティで保護された接続を
バックグラウンドで管理します。この API はチャネルのセキュリティ、フェールオーバーのサポー
ト、セッションタイムアウト、応答と要求との関連付けをカプセル化します。
Enforcer プラグインの作成
1
Enforcer オブジェクトを作成します。通常、この手順を実行するのは Enforcer プラグインが
初期化された場合のみです。 Enforcer オブジェクトは Policy Validator との通信に使用されま
す。 Enforcer オブジェクトを作成する際、 Enforcer API はポリシーストアにある Enforcer プ
ラグイン設定の場所を確認します。ローカルのブートストラップ設定ファイル、
enforcer.xml を使用して、ポリシーストア内の Enforcer プラグインの設定のエントリが
検索されます。
2
必要なデータを抽出します。具体的には、フォームを処理して ID とパスワードを取得する、
サーバーの API 変数にアクセスして要求されたリソースの URL を取得する、環境変数を読
み取り SSL パラメータを取得するといった作業が行われます。
3
Policy Validator に送信する XML 要求を作成します。 Policy Validator が評価する認証ルールお
よび承認ルールを確認できるよう、作成する要求には要求された URL を含める必要があり
ます。一般的な XML 要求には、 ID、パスワード、送信元の IP やホスト名、 SSL プロパ
ティ、シングルサインオンの nonce といったプロパティが含まれます。
4
Enforcer オブジェクトを使用して、要求を Policy Validator に送信します。
5
応答を評価します。 Enforcer プラグインは、 Policy Validator の応答に基づいて、異なる動作
を実行する必要があります。一般的な動作としては、アイデンティティに認証情報の入力を
要求するメッセージの表示、リソースへのアクセスの提供、アクセス拒否ページの表示、
nonce とセッションとの関連付け (Web ブラウザ Cookie への nonce の追加など )、アプリケー
ションへの個別化データの提供などがあります。
6
後続の要求を処理します。
Enforcer API は、 XML を使用して Policy Validator と通信します。サンプルの XML 要求を単純な
Policy Validator 要求の例に示します。service および path のプロパティは必須です。必要に応じて、
XML のあらゆるプロパティを要求に追加できます。
単純な Policy Validator 要求の例
<PolicyValidatorQuery>
<PROPERTY NAME="service">http://mycompany.com:8080</PROPERTY>
<PROPERTY NAME="path">/secure/form</PROPERTY>
<PROPERTY NAME="srcIP">10.10.10.6</PROPERTY>
<PROPERTY NAME="srcPort">1107</PROPERTY>
<PROPERTY NAME="dstIP">10.10.10.7</PROPERTY>
<PROPERTY NAME="dstPort">8080</PROPERTY>
セキュリティサービスのカスタマイズ : Enforcer API
85
<PROPERTY NAME="native_auth">native_password</PROPERTY>
<PROPERTY NAME="native_auth">native_register</PROPERTY>
<PROPERTY NAME="site_data">time: Tue Jul 10 13:14:40 2001</PROPERTY>
<PROPERTY NAME="owner">gandalf</PROPERTY>
<PROPERTY NAME="size">268</PROPERTY>
<PROPERTY NAME="method">GET</PROPERTY>
<PROPERTY NAME="queryID">1</PROPERTY>
</PolicyValidatorQuery>
単純な Policy Validator 応答の例は、 Policy Validator クエリのサンプル応答を示しています。 Policy
Validator は、あらゆる種類の XML データを Enforcer プラグインに返すことができます。サンプ
ル応答では、要求されたリソースへのアクセスが許可されています。
単純な Policy Validator 応答の例
次に、単純な Policy Validator 応答の例を示します。
<PolicyValidatorReply>
<PROPERTY NAME="queryID">1</PROPERTY>
<PROPERTY NAME="authenticated_dn">uid=ssmith,ou=users,o=ca.hp.com
</PROPERTY>
<PROPERTY NAME="devo_groups">users</PROPERTY>
<PROPERTY NAME="nonce">bWFub3dhci5jYS5iYWx0aW1vcmUuY29tOjk5ODh8dWlkPW
dhbmRhbGYsb3U9dXNlcnMsb3U9c3RldmUsbz1jYS5iYWx0aW1vcmUuY29tfEx8
cGFzc192YWxpZGF0b3J8O0zd4DuLSR2cw0K7Yp5pTb04TSWWxJJqqc7rUszF16
atYOqTLnVqt+O4a6OFrWQegqu89L17Kwzv4n3XWIwFpsP+wJ8V1eEw4KG9c+REkJFs67
bLKZuWZ6xNz2Xpgs7FLb5s2O3iwswvuDvcBNOZqF2pbOproktsiuaC36SqxmKLSzY/
</PROPERTY>
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PolicyValidatorReply>
あらかじめ定義された XML プロパティタグの完全な一覧は、『HP OpenView Select Access 6.2 開
発者向けリファレンスガイド』を参照してください。
Enforcer API のクラスとユーティリティ
Select Access には、 XML ドキュメント、プロパティリスト、プロパティを格納し処理するため
のクラスが組み込まれています。 Policy Validator の要求を作成し、応答を処理するには、 Select
Access のクラスを使用する必要があります。また、 Select Access には、 Policy Validator との通信を
カプセル化する Enforcer プラグインのクラスも同様に組み込まれています。 Select Access は、 C/
C++、 Java、および COM のオブジェクトモデルの実装をサポートします。
Enforcer API のインターフェイスは、使用するオブジェクトモデルによって異なります。各
Enforcer API のクラスおよびユーティリティに関する詳細は、次に示すセクションを参照してくだ
さい。
86
•
Java のクラスおよびユーティリティについては、 90 ページの「Java Enforcer API のクラスと
ユーティリティ」を参照してください。
•
C/C++ のクラスおよびユーティリティについては、 108 ページの「C/C++ Enforcer API のクラ
スとユーティリティ」を参照してください。
•
COM のクラスおよびユーティリティについては、 129 ページの「COM Enforcer API のクラス
とユーティリティ」を参照してください。
第5章
Enforcer API の設定
すべての Enforcer プラグインに対して設定を行う必要があります。通信対象の Policy Validator、
承認を必要としないファイル、シングルサインオンおよび複数ドメインシングルサインオンの
処理方法などを指定します。ローカルの Enforcer プラグインでは、 Select Access の Setup Tool を
使用して、各プロパティを設定することができます。 Setup Tool で、設定する Enforcer プラグイン
の種類 (Apache 2 Enforcer プラグインなど ) に対応する [ 設定 ] ボタンを選択します。カスタム
Enforcer プラグインを設定する場合は、 [Generic Enforcer] を選択してください。
Enforcer オブジェクトを作成する際は、 Enforcer プラグインの名前を指定します。 Enforcer API は
検索を実行し、ブートストラップ
ファイル
<SA_Install>/bin/
enforcer_<enforcerName>.xml を確認します。サンプルのブートストラップ XML ファイルを
Code example<$paratext> に示します。ブートストラップファイルは、ポリシーストアで Enforcer
プラグイン設定を検索する際に使用する Policy Validator を Enforcer API に対して通知します。
ブートストラップファイルを使用した Enforcer API の初期化に関する詳細は、次に示す各セク
ションを参照してください。
•
Java Enforcer オブジェクトを作成する場合は、 93 ページの「Enforcer オブジェクトの作成」を
参照してください。
•
C/C++ Enforcer オブジェクトを作成する場合は、 110 ページの「Enforcer オブジェクトの作成」
を参照してください。
•
COM Enforcer オブジェクトを作成する場合は、 130 ページの「Enforcer オブジェクトの作成」
を参照してください。
enforcer_<enforcerName>.xml ファイルのサンプル
次に、 Enforcer プラグインのブートストラップ XML ファイルの一例を示します。
<?xml version="1.0" encoding="UTF-8"?>
<enforcerBootConfig>
SSL 接続に使用
<clientSSLCert>
される証明書の
データ
-----BEGIN CERTIFICATE----... Base64 形式の証明書 ...
-----END CERTIFICATE----</clientSSLCert>
<clientSSLKey>
-----BEGIN RSA PRIVATE KEY-----
Enforcer 設定の
検索で使用する
Enforcer の ID
設定の取得に
使用する Policy
Validator の
ホストとポート
... Base64 形式の秘密鍵 ...
-----END RSA PRIVATE KEY----</clientSSLKey>
<enforcerID>chat.myHost.com:ChatEnforcer</enforcerID>
<serverCertAllowSelfsigned>false</serverCertAllowSelfsigned>
<serverCertAllowUnknownCA>false</serverCertAllowUnknownCA>
<serverCertCA>
-----BEGIN CERTIFICATE----... Base64 形式の証明書 ...
-----END CERTIFICATE----</serverCertCA>
<serverCertOcspUrl />
<serverHost>validator.myHost.com:9988</serverHost>
セキュリティサービスのカスタマイズ : Enforcer API
87
<serverPort>9988</serverPort>
<serverUseSSL>true</serverUseSSL>
</enforcerBootConfig>
Enforcer プラグインの設定後、 Policy Builder を使用して、プラグインをリモートで管理できるよ
うになります。 Policy Builder から Enforcer プラグインを管理するには、 [ ツール ] → [ コンポーネン
ト設定 ] の順に選択します。次に、設定する Enforcer プラグインの ID を選択します。
作成時の考慮事項
保護対象となるサーバーやコンポーネントによって、プラグインは異なります。この章では、 Web
ベースの Enforcer プラグインの例を中心に取り上げています。 Enforcer API は、さまざまなプロ
トコルおよびサービスのセキュリティ保護に使用されます。このセクションでは、 Enforcer プラ
グインで実行される標準的なタスクについて、詳しく説明します。
承認の必要性の判断
Setup Tool と Policy Builder を使用して、承認処理を行わないファイルおよびドメインを指定する
ことができます。 Enforcer プラグインは、実行された Enforcer API への呼び出しによって、要求
の承認が必要であることを確認します。コード例には、これらの Enforcer API 呼び出しが示され
ています。
ログイン画面の表示
アイデンティティが、認証される前に何度もリソースへのアクセスを試行する場合があります。
このようなケースでは、 Policy Validator は Enforcer プラグインに DENY コードを返します。 Policy
Validator の応答には、認証の必要性の有無、許可される認証の種類、ログイン画面の表示場所な
どを示すプロパティが含まれています。
実際にアイデンティティに対してログイン画面を表示するのは、Enforcer プラグインの役割です。
この章の例では、 HTTP 応答の出力ストリームを使用して、 HTML ログインフォームを表示しま
す。アイデンティティに対して認証情報の入力を要求する画面を表示する設定を Enforcer プラグ
インに組み込みます。
セッションの状態の保持
アイデンティティに認証を要求するメッセージを表示する場合、処理を開始する前にセッション
の状態を保存することが重要です。認証の実行によってアイデンティティの元の要求データが失
われる危険性を防ぎます。これは、 HTTP のようなステートレスプロトコルでは特に重要です。
例に示される Enforcer プラグインは、 Web ブラウザをログインページにリダイレクトする前に、
元の HTTP 要求データを専用のプロパティに保存します。アイデンティティがログイン処理を完
了すると、元の要求データが復元されます。
シングルサインオンの nonce の処理
シングルサインオンを簡略化するには、クライアントが nonce ( トークン ) を安全にサーバーに送
信できるメカニズムが必要です。 nonce には、認証されたアイデンティティを識別する暗号化され
た情報が含まれています。 nonce を安全に送受信することが重要です。 nonce が適切なセキュリ
ティによって保護されていない場合、ハッカーが nonce を傍受し、アイデンティティが推測され
る可能性があります。
88
第5章
この章の Enforcer プラグインの例では、 Web の Cookie を使用して nonce が送信されています。ア
イデンティティの認証後、 Enforcer プラグインは Web の Cookie に nonce を組み込みます。続い
て、ブラウザが同一ドメイン内のすべてのサーバーにその Cookie を送信します。これにより、Web
トランザクションのドメイン内でのシングルサインオンが可能になります。
複数ドメインシングルサインオンの実行
Cookie を使用したセキュリティモデルでは、Cookie が生成された名前空間の外部に存在するドメ
インのサーバーに対して、ブラウザが Cookie を送信することが禁止されます。このため、異なる
ドメイン間でシングルサインオンが行われることはありません。複数ドメインシングルサイン
オンを行う場合、 Web ベースの Enforcer プラグインで追加の手順を実行する必要があります。例
に示される Enforcer プラグインでは、次の手順により、複数ドメインシングルサインオンを実
行します。
1
Enforcer プラグインが、参照元ホストでの複数ドメインシングルサインオンを許可するよう
に設定されていることを確認します。
2
ブラウザを参照元ホストの認証 URL にリダイレクトします。セッションの状態と元の URL
を要求の変数内に保存します。
3
参照元サーバーがアイデンティティを認証し、クライアントのブラウザを元のサーバーにリ
ダイレクトします。 nonce がリダイレクト URL に組み込まれます。
4
元のサーバーは nonce を抽出し、 Policy Validator に照会を行います。続いて新しいドメイン
の Cookie を生成した後、アイデンティティを元の URL にリダイレクトします。
参照元ホストでの複数ドメインシングルサインオンが可能になるように設定を行う場合、
Enforcer API では複数の方法があります。 Enforcer プラグインの設定ツールを使用して、複数ドメ
インシングルサインオンが可能になるように Enforcer プラグインを設定することができます。こ
の場合、 Setup Tool または Policy Builder を使用して、 Enforcer プラグインを設定します。シング
ルサインオンで複数のドメインをサポートする方法については、 122 ページの「複数ドメインシ
ングルサインオン」で説明しています。 Enforcer プラグインの [ 複数 DNS ドメインの SSO] パネ
ルを設定して、異なるドメインに存在する Enforcer プラグインのログイン URL が反映されるよ
うにします。
Java Enforcer API を使用した Enforcer プラグインの作成
このセクションでは、 Java Enforcer プラグインの作成方法を説明します。次の各項目について説
明します。
•
Enforcer オブジェクトの初期化
•
承認データの抽出
•
Policy Validator 要求の作成
•
Policy Validator へのクエリ
•
Policy Validator の判定結果の実行
•
複数ドメインシングルサインオンの実行
•
サンプルアプリケーションの展開
セキュリティサービスのカスタマイズ : Enforcer API
89
ServletFilter の例
ServletFilter クラスは、 Select Access でポリシーを実行するサーブレットフィルタの実装を
サポートします。サーブレットフィルタは、サーブレットの HTTP 要求 / 応答のフィルタリング
や変換を行う標準的な方法です。サーブレットフィルタを使用して、要求されたサーブレットを
呼び出す前に承認を実行することができます。
サーブレット Enforcer プラグインを作成する場合は、 Sun の Web サイトから jce1_2_2.jar
ファイルをダウンロードしてください。法的な制約により、 Select Access のインストーラでこの
ファイルを配布することはできません。
ServletFilter クラスは、サーブレットフィルタのインターフェイスを Java Enforcer API に接
続します。次に、 HTTP 要求変数を使用して、 Policy Validator へのクエリを実行します。応答結果
に基づき、 ServletFilter は、エラーページ、ログインページ、アクセス拒否ページのいずれ
かを表示するか、要求されたリソースに対して出力の生成を許可します。
また、 ServletFilter クラスは、今後予想されるアクセスに対応するために Cookie へシングル
サインオンの nonce を組み込み、複数ドメインシングルサインオンを処理します。例を使用する
には、 Java、サーブレット、および HTTP に習熟している必要があります。
Java Enforcer API のクラスとユーティリティ
Java Enforcer API のクラスは、 /shared/EnforcerAPI.jar アーカイブに格納されています。ま
た、 Enforcer プラグインは、 /shared/shared.jar に格納されている、標準的な XML および
ログクラスを使用する必要があります。 CLASSPATH にこれらのアーカイブが含まれていること
を確認してください。
Java Enforcer API は Enforcer クラスで構成されています。 Enforcer クラスは、 Enforcer API の
中心的要素です。Enforcer クラスは、Java の Enforcer オブジェクトを表しており、Policy Validator
クエリを作成し送信する方法を提供します。また、 Policy Validator の応答にアクセスする方法も
提供します。
shared.jar アーカイブには、次に示す標準的なクラスが格納されています。
•
Logger: Logger は、 Select Audit をはじめとする、複数の宛先へのメッセージを記録するイ
ンターフェイスを提供します。
•
XmlElement: XmlElement クラスは、汎用の XML ノードを格納します。
•
Property: Property インターフェイスは、 PropertyElement および
PropertyListElement によって実装されます。
•
PropertyElement: PropertyElement クラスは、名前と値のペアを格納する XML 要素を
表します。値にはあらゆるタイプのデータが使用できます。
•
PropertyListElement: PropertyListElement クラスは、PropertyElement とネスト
された PropertyListElement のリストを表します。
Enforcer のクラスのインポート
次のコード例は、インポートする必要のある Enforcer API のクラスを示しています。これらのク
ラスは EnforcerAPI.jar および shared.jar アーカイブに格納されています。
import com.hp.selectaccess.enforcer.*;
90
第5章
import
import
import
import
import
com.hp.selectaccess.util.Logger;
com.hp.selectaccess.util.XmlElement;
com.hp.selectaccess.util.PropertyElement;
com.hp.selectaccess.util.PropertyListElement;
com.hp.selectaccess.util.Property;
ServletFilter クラスおよび ServletTransaction クラス
次のコード例に示すように、 ServletFilter クラスには、 init() と doFilter() の 2 つの重
要なメソッドがあります。サーブレットフレームワークは、フィルタの初回使用時に、 init()
メソッドを呼び出して初期化を行います。このメソッドは、設定済み Enforcer プラグインのオブ
ジェクトを作成し、 m_enforcer フィールドに格納します。 doFilter() メソッドは、初期化後
に呼び出され、各 HTTP 要求を処理します。次に、 ServletFilter クラスの基本的な構造を示
しています。
public class ServletFilter implements Filter {
public static final String SERVLET_FILTER_NAME = "ServletFilter";
public static final String ENFORCER_CONF_FILE = "enforcer_conf";
public static final String ENFORCER_DEBUG_LEVEL = "debug_level";
public static final String VIRTUAL_HOSTNAME = "virtual_hostname";
public static final String ENFORCER_HANDLE = "enforcer_handle";
private FilterConfig m_config = null;
private Enforcer m_enforcer = null;
private String m_virtual_hostname = null;
private String m_server_software = null;
public void init(FilterConfig config) throws ServletException { ... }
public void doFilter
(
ServletRequest request,
ServletResponse response,
FilterChain chain
) throws IOException, ServletException { ... }
public void destroy() {m_config = null; m_enforcer = null;}
}
サーブレットの要求のフィルタリング
doFilter() メソッドは、 ServletTransaction クラスを使用して、 HTTP 要求を処理します。
次のコード例は、doFilter() メソッドが ServletTransaction オブジェクトに HTTP 要求と
応答を受け渡し、要求されたリソースへのアクセスの要否を判定するために isAuthorized()
メソッドを呼び出す方法を示しています。アクセスが許可された場合、フィルタチェーン内の後
続のフィルタが実行され、要求されたサーブレットによって HTTP 応答が作成されます。アクセ
スが拒否された場合、または認証を必要とする場合は、 isAuthorized() メソッドによって
HTTP 応答が作成されます。
/**
* Filter an HTTP request by creating a servlet transaction,
* and then having it check with the validator to see whether
セキュリティサービスのカスタマイズ : Enforcer API
91
* the operation is allowed.
*
*
request
The incoming HTTP request.
*
response
The response being generated.
*
chain
Downstream filters and servlets.
*/
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain)
throws IOException, ServletException
{
HttpServletRequest httpReq = (HttpServletRequest) request;
HttpServletResponse httpRes = (HttpServletResponse) response;
try {
ServletTransaction servletTransaction =
new ServletTransaction(httpReq, httpRes, m_virtual_hostname,
m_enforcer);
servletTransaction.setServerSoftware(m_server_software);
承認を
if (servletTransaction.isAuthorized()) {
確認します
chain.doFilter(request, response);
}
}
catch (Exception e) {
m_enforcer.log(Logger.LOG_LEVEL_ERROR,
"ServletFilter error in ServletTransaction: " + e);
}
}
ServletTransaction クラス
ServletTransaction クラスは、 WebTransaction クラスを拡張します。 WebTransaction
クラスには、 isAuthorized() という重要なメソッドがあります。このメソッドは承認の要否を
判断します。承認が必要な場合、 isAuthorized() は HTTP 要求の値から XML 要求を作成し、
Policy Validator にクエリを行い、応答を実行します。 Policy Validator の応答の内容に応じて、
isAuthorized() メソッドは、allow()、deny()、sendRedirect()、sendBasicAuthPage()
などの抽象メソッドを呼び出します。 ServletTransaction クラスは、各メソッドをオーバー
ライドして、サーブレット固有の処理を実行します。各メソッドは、 HTTP 応答の出力ストリーム
を使用して、ログインフォームやエラーページを表示します。次のコード例は、
ServletTransaction クラスの基本的な構造と継承されるメソッドを示しています。
public class ServletTransaction extends WebTransaction {
protected XmlElement
m_query;
protected ValidatorResponse
m_val_response;
... その他のフィールド宣言 ...
public ServletTransaction
(
HttpServletRequest request,
HttpServletResponse response,
92
第5章
String serverName,
Enforcer enforcer
) throws EnforcerException { ... }
public boolean isAuthorized() { ... }
protected
protected
protected
protected
boolean
boolean
boolean
boolean
allow() { ... }
deny() { ... }
sendRedirect(String url) { ... }
sendBasicAuthPage(String realm) { ... }
... その他の内部メソッド ...
}
Enforcer オブジェクトの作成
ServletFilter は、初期化される際に Enforcer オブジェクトを作成し、 m_enforcer フィール
ドに格納します。 Enforcer オブジェクトは、 URL に危険な文字が含まれていないかどうかの解析、
承認の要否の判断、 Policy Validator へのクエリ、応答の取得などに使用されます。 Enforcer オブ
ジェクトは複数の承認要求を処理できるため、マルチスレッド環境でも安全に使用できます。
ServletFilter クラスは、各 HTTP 要求を承認する場合に単一の Enforcer オブジェクトを使用
します。
Enforcer オブジェクトの新しいインスタンスのインスタンス化
新しい Enforcer オブジェクトをインスタンス化する際は、次の属性を使用する必要があります。
•
String saConfigFileName: Select Access 設定ファイルの名前。null の場合、コンストラク
タはデフォルトの設定ファイルである <SA_install_path>/selectaccess.conf を
ロードします。
•
String enforcerConfigFileName: Enforcer の設定ファイルの名前。 null の場合、コンス
トラクタは <SA_install_path>/bin/enforcer.xml からデフォルトの Enforcer XML
ファイルをロードします。
ファイル名を null に設定した場合、管理者は Setup Tool を実行して、デフォルトの
XML 設定ファイルにパラメータを設定できます。詳細については、『HP OpenView
Select Access 6.2 インストールガイド』を参照してください。
•
String loggingName: ログ出力に使用される Enforcer のカスタマイズが可能な名前。
•
String enforcerTypeName: Enforcer の種類を識別するための、カスタマイズが可能な文
字列。
•
boolean initLogging: Enforcer のログオン / ログオフを切り替えるパラメータ。
•
int debug_level: デバッグレベルを設定する数値。
各パラメータの詳細については、『HP OpenView Select Access 6.2 開発者向けリファレンスガイ
ド』の第 10 章、 Java Enforcer API を参照してください。
セキュリティサービスのカスタマイズ : Enforcer API
93
サーブレットの初期化
Enforcer オブジェクトを作成するには、コンストラクタに Enforcer プラグイン設定ファイルを提
供する必要があります。このファイルにより、ポリシーストア内にある Enforcer オブジェクト設
定の場所を特定できます。次のコード例に示すように、 ServletFilter の init() メソッドは、
Enforcer プラグイン設定ファイルをサーブレット設定から抽出します。 enforcer.xml ファイル
の詳細は、 87 ページの「Enforcer API の設定」を参照してください。
Enforcer
プラグイン設定
ファイルの名前
新しい
Enforcer を
作成します
public void init(FilterConfig config) throws ServletException {
m_config = config;
ServletContext context = m_config.getServletContext();
m_server_software = context.getServerInfo();
m_virtual_hostname = config.getInitParameter(VIRTUAL_HOSTNAME);
// Try to configure an enforcer handle for this servlet filter.
String enforcerConf = config.getInitParameter(ENFORCER_CONF_FILE);
if (enforcerConf != null) {
int dbg = 0;
String debugLevel =
config.getInitParameter(ENFORCER_DEBUG_LEVEL);
if (debugLevel != null) {
dbg = Integer.parseInt(debugLevel);
}
m_enforcer = new Enforcer(null, enforcerConf,
SERVLET_FILTER_NAME,
"servlet", true, dbg);
}
// If configuration for this filter was not specified, try to inherit
// a handle from the servlet container.
else {
m_enforcer = (Enforcer)context.getAttribute(ENFORCER_HANDLE);
if (m_enforcer == null) {
throw new ServletException("Unable to find/construct enforcer
handle");
}
}
// Clear the enforcer handle's user data character set, since the
// servlet container will be handling character set conversion
m_enforcer.clearUserDataCharacterSet();
}
承認データの抽出
Enforcer オブジェクトが作成されると、 ServletFilter で要求を処理できるようになります。
doFilter() メソッドは、 ServletTransaction オブジェクトを作成して、各 HTTP 要求を処
理します。 ServletTransaction コンストラクタは、 HTTP 要求を使用して、ポリシーの評価
に利用される可能性のあるすべてのデータを抽出します。 HTTP 要求には、要求されたリソース
の名前、 HTTP メソッド、 SSL パラメータ、 HTTP ヘッダー、ブラウザの Cookie などが含まれま
す。この情報を使用して、 Policy Validator クエリが作成されます。
94
第5章
HTTP 要求の
データを抽出
します
SSO Cookie
をチェック
します
public ServletTransaction(HttpServletRequest request,
HttpServletResponse response,
String serverName, Enforcer enforcer) throws EnforcerException
{
super(enforcer, request.getScheme(),
serverName != null ? serverName : request.getServerName(),
request.getServerPort(), UnescapeUrl(request.getRequestURI()),
request.getQueryString(), request.getMethod(),
request.getRemoteAddr());
m_request = request;
m_response = response;
m_app_name = "ServletTransaction";
m_referer = m_request.getHeader(REFERER_HEADER);
m_host_header = m_request.getHeader(HOST_HEADER);
if (m_host_header == null)
m_host_header = m_server_name;
Cookie[] cookies = m_request.getCookies();
if (cookies != null) {
for (int i=0;i<cookies.length;i++) {
if
(cookies[i].getName().equals(DataStrings.AUTH_COOKIE_NAME))
m_auth_cookie = cookies[i].getValue();
if
(cookies[i].getName().equals(DataStrings.REGISTER_COOKIE_NAME))
m_reg_cookie = cookies[i].getValue();
}
}
... 個別化データの初期化 ...
}
承認の必要性の判断
ServletTransaction クラスの isAuthorized() メソッドによって、アクセスの要否が判定
されます。 isAuthorized() メソッドは、 Policy Validator へのクエリを行う前に、 m_enforcer
オブジェクトを使用して、承認の必要性を判断します。次のようなケースでは、承認は行われま
せん。
•
Enforcer プラグインを設定することができない場合。Policy Validator への接続が行われないた
め、アクセスは拒否されます。
•
URL に無効な文字が含まれている場合。無効な文字を含む URL は処理されないため、要求は
拒否されます。注意すべき文字としては、ディレクトリ演算子「.」などがあります。
•
Enforcer プラグインが、ドメインへの無制限アクセスを許可するように設定されている場合。
•
Enforcer プラグインが、ファイルへの無制限アクセスを許可するように設定されている場合。
•
要求が、複数ドメインシングルサインオンのリダイレクトの一環として行われている場合。
次のコード例では、こうした条件の確認が行われています。
セキュリティサービスのカスタマイズ : Enforcer API
95
public boolean isAuthorized() {
if (!m_enforcer.isConfigured()) {
m_enforcer.configure();
// bail out early if we could not configure
if (!m_enforcer.isConfigured())
return deny();
}
不審な URL
if (m_enforcer.isEvilURL(m_path)) {
log(Logger.LOG_LEVEL_WARNING, "rejecting suspicious url '" +
m_path + "'");
disableCaching();
return deny();
}
String full_url = m_protocol + "://" + m_host_header + m_path;
if (m_http_query != null && m_http_query.length() > 1)
full_url = full_url + "?" + m_http_query;
StringBuffer orig_url = new StringBuffer("");
複数ドメイン
if (isSSORedirectURL(m_http_query, orig_url)) {
SSO
// MD-SSO redirect 2
String r2 = constructSSOAuthURL(m_auth_cookie,
orig_url.toString());
return ssoRedirect(r2);
}
if (m_enforcer.isPassthroughDomain(m_server_name))
return allow();
if (m_enforcer.isIgnoredFile(m_path))
return allow();
... XML クエリの作成 ...
... Policy Validator へのクエリ ...
... 応答結果の実行 ...
}
複数ドメインシングルサインオンのリダイレクトでは、既存の SSO Cookie から現在のドメイン
の nonce が抽出されます。既存の Cookie から抽出された nonce はリダイレクトの URL に追加され
ます。これにより、 URL を使用して nonce を元のサーバーに適切に受け渡し、格納することがで
きます。複数ドメインシングルサインオンの詳細は、 89 ページの「複数ドメインシングルサイ
ンオンの実行」を参照してください。
Policy Validator 要求の作成
isAuthorized() メソッドは、承認が必要であると判断した場合に、 Policy Validator 要求を作成
します。 XML クエリが XmlQueryInit() メソッドによって初期化されます。この結果、 Policy
Validator クエリの要素が作成され、サービス、パス、およびクエリ ID のプロパティが追加されま
す。サービスおよびパスのプロパティは、 Policy Validator がリソースのセキュリティポリシーを
96
第5章
特定する際に使用されます。クエリ ID は、複数の監査ログを識別する場合に有効です。その他の
プロパティは、次のコード例に示すように、 appendPropertyValue() メソッドによって追加
されます。Policy Validator 要求には、あらゆるプロパティを追加することができます。Enforcer API
は、標準的なプロパティの定数を提供しています。
public boolean isAuthorized() {
... 承認の必要性の判断 ...
m_query = Enforcer.XmlQueryInit(m_service, m_path);
if (m_enforcer.isEnableCookies()) {
m_query.appendPropertyValue(DataStrings.ENFORCER_NATIVE_NONCE,
DataStrings.ENFORCER_ENABLE);
}
m_query.appendPropertyValue(DataStrings.ENFORCER_PROTOCOL,
m_protocol);
m_query.appendPropertyValue(DataStrings.ENFORCER_SRCIP,
m_client_addr);
if (m_auth_cookie != null && !m_auth_cookie.equals("logout"))
m_query.appendPropertyValue(DataStrings.ENFORCER_NONCE,
m_auth_cookie);
if (m_reg_cookie != null)
m_query.appendPropertyValue(DataStrings.ENFORCER_REGISTER_NONCE,
m_reg_cookie);
if (!m_enforcer.getQueryLevel().equals(DataStrings.QUERY_MINIMAL)) {
if (m_http_query != null && m_http_query.length() > 1) {
try {
m_query.appendPropertyValue(DataStrings.ENFORCER_HTTP_QUERY,
m_http_query);
addUrlEncoded(DataStrings.ENFORCER_HTTP_QUERY_LIST,
m_http_query);
} catch (EnforcerException e) { }
}
m_query.appendPropertyValue(DataStrings.ENFORCER_METHOD,
m_method);
}
if (m_enforcer.getQueryLevel().equals(DataStrings.QUERY_MAXIMAL)) {
if (m_server_software != null && m_server_software.length() > 1)
要求の
プロパティを
追加します
{
m_query.appendPropertyValue(DataStrings.ENFORCER_SERVER,
m_server_software);
SSO の nonce
を追加します
}
}
StringBuffer sso_nonce = new StringBuffer("");
if (isSSOAuthURL(full_url, sso_nonce)) {
// set SSO nonce in query before sending query to validator
m_query.setChildStringValue(DataStrings.ENFORCER_NONCE,
sso_nonce.toString());
}
セキュリティサービスのカスタマイズ : Enforcer API
97
... その他のプロパティの追加 ...
... Policy Validator へのクエリ ...
... 応答結果の実行 ...
}
アイデンティティがすでに認証されている場合は、シングルサインオンの nonce を含む認証
Cookie が存在します。使用可能な nonce が存在する場合、要求に組み込む必要があります。 Policy
Validator は nonce を使用して、すでに認証されているアイデンティティを識別します。シングル
サインオンのサポートについては、 88 ページの「シングルサインオンの nonce の処理」を参照し
てください。
Policy Validator へのクエリ
Policy Validator へのクエリの作成後、 XmlQuerySend() メソッドを使用して、クエリを Policy
Validator に送信します。このメソッドは、 Policy Validator の応答を受け取るまで、通信を遮断しま
す。 XML 応答およびリターンコードは ValidatorResponse に格納されます。
m_val_response = m_enforcer.XmlQuerySend(m_query);
Policy Validator の応答結果の実行
Policy Validator にクエリを行った後、応答を処理して判定結果を実行する必要があります。
getRetVal() メソッドによって、要求の許可または拒否、エラーの有無といった結果の確認が
行われます。 getXmlElement() メソッドによって、 Policy Validator の応答を含んだ XML 要素
が返されます。 98 ページの「Policy Validator 応答の処理」には、 getRetVal() および
getXmlElement() メソッドの使用方法が示されています。
allowedByValidator() メソッドは、 getRetVal() メソッドを使用して、要求の可否を判定
します。要求が許可された場合、 allowedByValidator() メソッドは、シングルサインオンお
よび登録の nonce をチェックします。これらは、 getXmlElement() メソッドによって返される
XML 応答から取得されます。 nonce が存在する場合は、 HTTP Cookie に追加されます。それ以降の
トランザクションでは、 Cookie を使用してアイデンティティを識別します。シングルサインオン
のサポートについては、 88 ページの「シングルサインオンの nonce の処理」を参照してください。
要求が拒否された場合、 allowedByValidator() メソッドは、 XML 応答に認証ヒントが記載
されていないかどうかを確認します。認証ヒントはアイデンティティの認証方式を Enforcer プラ
グインに指示します。 Enforcer プラグインは、そのプロパティを使用して、アイデンティティに
送信するログインフォームの種類を決定します。
Policy Validator 応答の処理
次のコード例には、 Policy Validator 応答を処理するための getRetVal() および
getXmlElement() メソッドの使用方法が示されています。
public boolean allowedByValidator() {
... Policy Validator へのクエリ ...
98
第5章
Validator の
リターン
コードを確認
if (m_val_response.getRetVal() == Enforcer.ENFORCER_ERROR_ACTION) {
return false;
}
... 個別化の設定 ...
XML 応答全体
を取得します
m_reply = m_val_response.getXmlElement();
String nonce = m_reply.getChildStringValue
(DataStrings.ENFORCER_NONCE)
if (nonce != null) {
setCookie(DataStrings.AUTH_COOKIE_NAME, nonce, "/",
m_enforcer.getCookieDomainName(), -1);
}
String registrationCookie =
m_reply.getChildStringValue(DataStrings.ENFORCER_REGISTER_NONCE)
if (registrationCookie != null) {
String lifetime = getStringFromReply
(DataStrings.ENFORCER_REGISTER_LIFE);
int expiry = -1;
// by default, make it a session cookie
if (lifetime != null && lifetime.length() > 0) {
expiry = Integer.parseInt(lifetime);
}
setCookie(DataStrings.REGISTER_COOKIE_NAME, registrationCookie,
nonce を
確認します
"/",
m_enforcer.getCookieDomainName(), expiry);
}
if (m_val_response.getRetVal() == Enforcer.ENFORCER_ALLOW_ACTION) {
return true;
}
m_auth_hint = m_enforcer.getAuthHint(m_reply, m_pass_hint);
if (m_auth_hint != null) {
m_form = m_enforcer.getTransformedForm(m_auth_hint, null);
}
else {
// zero auth_hints, so check for generic form data
m_form_hint = m_reply.getChild(DataStrings.ENFORCER_FORM_DATA);
if (m_form_hint != null) {
m_form = m_enforcer.getTransformedForm(m_form_hint, null);
}
}
return false;
ログイン要求を
確認します
}
セキュリティサービスのカスタマイズ : Enforcer API
99
HTTP 応答への Web Cookie の設定
Policy Validator の応答にシングルサインオン nonce が含まれている場合、 Web Cookie に nonce が
組み込まれ、後続の Web トランザクションでのアイデンティティの再認証が不要になります。次
のコード例は、フィルタやサーブレットを使用した Web Cookie の設定方法を示しています。この
コードは、あらゆる種類の Cookie の作成で使用されます。
/**
* formats a cookie in accordance with rfc 2109, and sends a Set-cookie
* header to the Web client
*
* param
name
the cookie name
* param
value
the cookie value
* param
path
the cookie path, typically "/"
* param
domain
the cookie domain, null to disable
* param
duration
the cookie lifetime in seconds, -1 for session
cookies, 0 for delete now
*/
protected void setCookie(String name, String value, String path,
String domain, int duration)
{
Cookie cookie = new Cookie(name, value);
if (path != null) {
cookie.setPath(path);
}
if (domain != null && domain.length() > 0) {
cookie.setDomain(domain);
}
cookie.setMaxAge(duration);
m_response.addCookie(cookie);
}
許可 / 拒否 / ログインのメッセージの表示
allowedByValidator() メソッドが true を返した場合、 WebTransaction フレームワークは
抽象メソッド allow() を呼び出します。アイデンティティの認証が必要な場合は、
WebTransaction はログインフォームの名前を抽出し、抽象メソッド sendDynamicForm() を
呼び出して、ログインページを表示します。アクセスが拒否され、認証ヒントが提示されなかっ
た場合は、 WebTransaction フレームワークは抽象メソッド deny() を呼び出します。次に示
すように、これらは ServletTransaction で定義されます。
/**
* Send a dynamic form to the Web client
*
* param
url
an optional redirect or refresh URL to send in the form
* return
false
*/
動的なログイン
フォームを送信 protected boolean sendDynamicForm(String url) {
します
if (url != null) {
String header = "1; URL=" + url;
100
第5章
m_response.addHeader(REFRESH_HEADER, header);
}
try {
java.io.PrintWriter out = m_response.getWriter();
m_response.setContentType(HTML_CONTENT_TYPE);
if (m_form == null) {
m_form = FORM_ERROR;
}
out.println(m_form);
out.close();
}
catch (java.io.IOException e) {
logError("sendDynamicForm failed: " + m_form);
sendError(HttpServletResponse.SC_FORBIDDEN);
}
return false;
}
/**
* Send an http-basic-auth page to the Web client
*
* param
realm
the authentication realm
* return
false
HTTP 基本認証を
*/
使用してログイン
protected
boolean sendBasicAuthPage(String realm) {
要求を送信します
String header = "Basic realm=\"" + realm + "\"";
m_response.addHeader(AUTHENTICATE_HEADER, header);
sendError(HttpServletResponse.SC_UNAUTHORIZED);
return false;
}
要求された
リソースを
送信し、保存され
た状態情報を
追加します
/**
* tell the Web server framework we got "access allowed" for this request
*
* return
true
*/
protected boolean allow() {
if (EXPORT_POST_DATA) {
String data = getPostDataBuffer();
if (data.length() > 0) {
Map postDataMap = new HashMap();
m_request.setAttribute(SA_POSTDATA, postDataMap);
postDataMap.put("posted", getPostDataBuffer());
}
}
return true;
}
セキュリティサービスのカスタマイズ : Enforcer API
101
/**
* Send the Web client an "access denied" reply.
*
* return
false
*/
アクセス拒否
ページを protected boolean deny() {
送信します
if (setDenyViaForm()) {
sendDynamicForm(null);
}
else {
sendError(HttpServletResponse.SC_FORBIDDEN);
}
return false;
}
複数ドメインシングルサインオン
認証に成功した後は、 Policy Validator 応答内の nonce により、シングルサインオンが維持されま
す。 nonce は暗号化されたトークンです。 Web ブラウザの Cookie に nonce を組み込むことにより、
ブラウザはそれ以降のすべての要求に nonce を含めます。 Web Cookie は特定のドメインに関連付
けられるため、シングルサインオンは 1 つのドメイン内でのみ行われます。
複数のドメインにまたがるシングルサインオンを行う場合、 Enforcer プラグインは次の手順を実
行する必要があります。
1
参照元サイトが複数ドメインシングルサインオンのリストに含まれていることを確認します。
2
ブラウザを参照元サイトにリダイレクトし、 nonce を要求します。
3
参照元サイトは nonce を URL に含め、元のサイトにブラウザをリダイレクトします。
4
このドメインの Cookie に nonce を組み込みます。
5
アイデンティティを元の URL にリダイレクトします。
103 ページの「複数ドメインシングルサインオンの実行」は、複数ドメインシングルサインオ
ンの実行方法の例を示しています。 Policy Validator 要求が拒否された場合、 isAuthorized() メ
ソッドは、アイデンティティの識別に複数ドメインシングルサインオンが使用可能かどうかを確
認します。使用可能である場合、メソッドはアイデンティティを参照元サイトにリダイレクトし、
シングルサインオンの nonce を要求します。
初めて要求を受け取った場合、 isAuthorized() メソッドは、その要求が複数ドメインシング
ルサインオンの nonce に関するものかどうかを確認します。該当する場合は、 nonce を含む URL
を作成し、クライアントを元のサイトにリダイレクトします。
要求が Policy Validator によって許可された場合、isAuthorized() メソッドは、要求された URL
に複数ドメインシングルサインオンの nonce が含まれているかどうかを確認します。該当する場
合、メソッドはその nonce の新しい Cookie を作成し、要求されたリソースへのアクセスを提供し
ます。
102
第5章
複数ドメインシングルサインオンの実行
次のコード例は、Enforcer プラグインの複数ドメインシングルサインオンの一般的な実行方法を
示しています。
public boolean isAuthorized() {
... 承認の必要性の判断 ...
ドメインから
nonce を送ります
if (isSSORedirectURL(m_http_query, orig_url)) {
String r2 = constructSSOAuthURL(m_auth_cookie,
orig_url.toString());
return ssoRedirect(r2); // MD-SSO redirect 2
}
... Policy Validator クエリの作成 ...
... Policy Validator へのクエリ ...
boolean isAllowed = allowedByValidator();
if (isAllowed) {
sso_nonce = new StringBuffer("");
if (isSSOAuthURL(full_url, sso_nonce)) {
String r3 = constructSSOOrigURL(m_path, m_http_query);
setCookie(DataStrings.AUTH_COOKIE_NAME, sso_nonce.toString(),
"/",
m_enforcer.getCookieDomainName(), -1);
return sendAcceptedPage(r3);
// MD-SSO redirect 3
}
return allow();
}
if (couldSSOHelp(m_reply, m_referer, full_url)) {
String r1 = constructSSORedirectURL(m_referer, full_url);
return ssoRedirect(r1);
// MD-SSO redirect 1
}
元の URL に
リダイレクト
します
参照元から
nonce が提供
可能かどうかを
確認します
... ログインページの表示 ...
return deny();
// sends deny.html or 403 error
}
複数ドメインシングルサインオンのメソッド
次に示すメソッドは、複数ドメインシングルサインオン機能のヘルパーメソッドです。ここで
は、参考として記載しています。
/**
* tests if the referring site is in our multi domain SSO protected sites
list
*
セキュリティサービスのカスタマイズ : Enforcer API
103
* referer
the referring URL
* return
true if the site is SSO-protected, false otherwise
*/
public boolean isDomainProtected(String referer) {
boolean result = m_enforcer.isDomainProtected(referer);
return result;
}
/**
* create the SSO redirect 1 URL, which requests that the next server
* sends back a nonce
*
* referer
the referring URL
* currentURL
the current URL
* return
the redirect URL
*/
public String constructSSORedirectURL(String referer, String currentURL)
{
StringBuffer buf = new StringBuffer("");
String url = currentURL.replaceFirst("\\?", "&");
// new url has referer URL prepended and the current URL appended to
the SSO tag
buf.append(referer);
buf.append("?");
buf.append(SSO);
buf.append("=");
buf.append(url);
return buf.toString();
}
/**
* create the SSO redirect 2 URL, which contains nonce
*
* nonce
the current cookie
* currentURL
the current URL
* return
the redirect URL
*/
public String constructSSOAuthURL(String nonce, String currentURL) {
StringBuffer buf = new StringBuffer("");
String delimiter = "?";
String url = currentURL.replaceFirst("\\&", "?");
if (!url.equals(currentURL))
delimiter = "&";
String value = NO_NONCE;
if (nonce != null && isDomainProtected(currentURL))
value = nonce;
// new url has referer URL prepended and the current URL appended to
the SSO tag
104
第5章
buf.append(url);
buf.append(delimiter);
buf.append(SSO_AUTH_COOKIE_NAME);
buf.append("=");
buf.append(value);
return buf.toString();
}
/**
* create the SSO redirect 3 URL, which sends browser back to the
original URL
*
* currentPath
the filename component of the current URL
* http_query
the current http_query
* return
the redirect URL
*/
public String constructSSOOrigURL(String currentPath, String http_query)
{
StringBuffer buf = new StringBuffer("");
buf.append(currentPath);
int index = http_query.indexOf(SSO_AUTH_COOKIE_NAME);
if (index > 0) {
buf.append("?");
buf.append(http_query.substring(0, index-1));
}
return buf.toString();
}
/**
* tests if this request contains an SSO redirect desiring a nonce
*
* url
the current URL
* orig_url
the original url
* return
true if we are currently at a RedirectURL,
*
and need to do MD-SSO redirect 2
*/
public boolean isSSORedirectURL(String url, StringBuffer orig_url) {
if (url == null)
return false;
int index = url.indexOf(SSO);
if (index >= 0) {
if (orig_url != null)
orig_url.append(url.substring(index + SSO.length() + 1));
return true;
}
return false;
}
セキュリティサービスのカスタマイズ : Enforcer API
105
/**
* tests if this request contains an SSO nonce
*
* url
the current URL
* nonce
the current cookie
* return
true if we are currently at an AuthURL,
*
and need to do MD-SSO redirect 3
*/
public boolean isSSOAuthURL(String url, StringBuffer nonce) {
int index = url.indexOf(SSO_AUTH_COOKIE_NAME);
if (index > 0) {
if (nonce != null)
nonce.append(url.substring(index +
SSO_AUTH_COOKIE_NAME.length() + 1));
return true;
}
return false;
}
/**
* tests if multi-domain SSO should be attempted for this request
*
* reply
the validator's XML reply
* referer
the referring URL
* url
the current URL
* return
true if validator denied because it needs auth and
MD-SSO
*
could help, so do MD-SSO redirect 1
*/
public boolean couldSSOHelp(XmlElement reply, String referer, String
url) {
if (referer == null || ! isDomainProtected(referer))
return false;
// referer is not a protected domain
if (isSSOAuthURL(url, null))
return false;
// prevent loops due to failed auth
if (isSSORedirectURL(referer, null))
return false;
// prevent double-redirect
final String SKIP_STRING
= "https://";
int slash = referer.indexOf('/', SKIP_STRING.length());
String Website = referer.substring(0, slash + 1).toLowerCase();
String url2 = url.toLowerCase();
if (url2.startsWith(Website))
return false;
// referral came from within same site
if (m_enforcer.replyNeedsAuth(reply))
return true;
// SSO could provide the auth we need
return false;
}
106
第5章
サンプル Web アプリケーションへの Servlet Filter の配置
ServletFilter を使用するには、 Web サーバーまたはアプリケーションサーバーにフィルタを
配置する必要があります。この配置方法については、『HP OpenView Select Access 6.2 ネットワー
ク統合ガイド』の第 6 章、「Servlet Engine の統合」を参照してください。
C/C++ Enforcer API を使用した Enforcer プラグインの作成
このセクションでは、 C/C++ Enforcer プラグインの作成方法を説明します。次の各項目について
説明します。
•
Enforcer オブジェクトの初期化
•
承認データの抽出
•
Policy Validator 要求の作成
•
Policy Validator へのクエリ
•
Policy Validator の判定結果の実行
•
複数ドメインシングルサインオンの実行
•
Apache プラグインのインストール
Apache Enforcer プラグインの例
Apache 2 Enforcer プラグインは Apache Web サーバーのプラグインです。Apache 2 Enforcer プラグ
インは、 Apache API を使用して、 Web サーバーへのアクセスを制御します。この Enforcer プラグ
インは、 Apache API を Enforcer API に接続します。 Apache 2 Enforcer プラグインは、 Enforcer API
を使用して Policy Validator へのクエリを行い、要求の可否を判定します。また、応答結果に基づ
き、エラーページ、ログインページ、アクセス拒否ページ、要求された URL のいずれかを表示
します。 Apache 2 Enforcer プラグインは、 Web Cookie に nonce を組み込むことにより、シングル
サインオンをサポートします。また、複数ドメインシングルサインオンもサポートします。
例を使用するには、 C、 Apache API、および HTTP 要求に習熟している必要があります。
Apache API が実行するタスク
1
起動時に、 httpd.conf 設定ファイルで指定されたモジュールをロードします。
2
各モジュールをロードする際、登録情報をサーバーに受け渡します。情報には次のようなも
のがあります。
3
a
モジュールの初期化とクリーンアップのハンドラを指定する情報。
b
対象となる各 HTTP トランザクションのフェーズおよびコンテンツの種類を示す情報。
Apache 2 Enforcer プラグインの場合、この情報には、アクセス制御フェーズで処理内容
が収集されることが明記されます。このフェーズで、プラグインは Plicy Validator へのク
エリを行い、要求の可否を確認します。
Apache 2 Enforcer プラグインがロードされると、次の 4 つのメソッドをサーバーに受け渡し
ます。
セキュリティサービスのカスタマイズ : Enforcer API
107
a
アクセス制御ハンドラ : このハンドラが呼び出されると、 Apache Web サーバーは、要求
および環境に関してサーバーが所有するすべての情報を含んだ構造をハンドラに受け渡
します。ハンドラは、サーバーの動作および後続の処理を制御するため、この構造を確
認し、必要に応じて修正を行います。このモジュールは Policy Validator 要求を作成して、
Policy Validator にクエリを行います。続いて応答結果を処理し、ポリシーの判定結果を
実行します。
b
モジュール初期化指定子 : モジュール全体をセットアップする際に 1 度だけ呼び出され
ます。 Apache 2 Enforcer プラグインは、共有 Enforcer オブジェクトを作成して、 Policy
Validator との長時間にわたるソケット接続を確立します。これにより、 SelectAccess での
遅延を最小限に抑えます。
c
子プロセス初期化指定子 : 要求を処理するために Apache Web サーバーが実行する、すべ
ての子プロセスのモジュールを初期化する際に呼び出されます。
d
クリーンアップメソッド : 各プロセスを終了する際、クリーンアップのために呼び出さ
れます。
複数のセキュリティメカニズム ( ネイティブな HTTP 認証など ) を使用するように Apache サー
バーを設定することもできます。たとえば、あるメカニズムで、 Select Access がログインページ
やエラーページを表示しないように指定されているケースを考えてみます。これを回避するため
に、 Apache 2 Enforcer プラグインでは動的なコンテンツを使用して、ログインやチャレンジ用の
フォーム、アクセス拒否ページなどを表示します。
C/C++ Enforcer API のクラスとユーティリティ
C/C++ Enforcer API の中心になるのは EnforcerHandle クラスです。このクラスは、 Policy
Validator との通信で使用される Enforcer オブジェクトを表します。EnforcerHandle へのポイン
タは EnforcerInit() メソッドの呼び出しによって返されます ( 詳細は後述 )。
Select Access は、 Policy Validator 要求を作成し、 Policy Validator 応答を処理する際に使用する次の
ような XML クラスを提供します。
108
•
XmlParser: このクラスはメモリまたはファイルのブロックを解析し、 XML ドキュメントツ
リーを作成します。 Select Access はすべての設定、要求、および応答に対して XML ドキュメ
ントを作成するため、通常、このクラスを直接使用する必要はありません。
•
XmlTreeNode: このクラスは解析された XML ドキュメントの XML ノードを格納し、 XML
属性への容易なアクセスを提供します。一般的には、 PropertyListElement クラスおよび
PropertyElement クラスを使用して、 XML データにアクセスします。
•
PropertyElement: このクラスは名前と値のペアを格納します。 PropertyElement は、
Select Access によって定義される XML 要素の 1 つです。 PropertyElement タグには、名前
と値のペアの名称を識別するための name と呼ばれる属性が必要です。値は開始タグと終了タ
グの間のデータとして格納されます。たとえば、赤色に対する名前と値のペアを格納する
PropertyElement は、 <PROPERTY NAME="color">red</PROPERTY> となります。
•
PropertyListElement: このクラスは 0 以上の PropertyElement タグを含む XML ノー
ドを格納します。 PropertyListElement にプロパティリストが格納される場合、プロパ
ティリストはネストすることができます。 PropertyListElement の例としては、
<PROPERTYLIST NAME="colorSet"> <PROPERTY NAME="color">red</
PROPERTY></PROPERTYLIST> などがあります。
第5章
Enforcer プラグインは、ログをサポートし、例外を処理し、 Select Access の文字列およびメモリ
ユーティリティを活用する必要があります。ほとんどのプラグインは、次に示す Select Access の
クラスおよびユーティリティと通信を行います。
•
Logger: Logger クラスは Select Audit に対するインターフェイスを提供します。このクラス
は複数レベルのログ、すなわち DEBUG、 INFO、 WARNING、 ERROR、および FATAL をサポー
トします。
•
EnforcerException: このクラスは Enforcer プラグインのすべての例外に対する基本クラ
スです。
•
enforcer_sys.h: このヘッダーファイルは SYS_STRDUP、STREQ などのプラットフォーム
に依存しない文字列操作用マクロを定義します。プラグインでは、文字列を操作する際にこ
れらのマクロを使用する必要があります。
Enforcer ライブラリの組み込み
次のコード例に示すように、Enforcer プラグインを作成する際、プラグインには Enforcer API ヘッ
ダーを組み込む必要があります。 Apache 2 Enforcer プラグインは、複数のプラットフォームおよ
び Apache API の複数のバージョン ( バージョン 1.3 および 2.0) をサポートするように設計されて
います。コードをわかりやすくするため、例には、 Apache Web サーバー API の以前のバージョン
に固有のコードは含めていません。
/*
* mod_enforcer.c - An Apache security module using the hp Enforcer API
*
* In access control phase [#3], enforcer_check() queries the validator
* using the Enforcer API to see if request is allowed.
* If the request requires authentication a special
* response is sent to the client, and we return DONE
* to exit the apache request loop.
*/
#include
#include
#include
#include
#include
#include
<enforcer.h>
<enforcer_sys.h>
<XmlTreeNode.h>
"mod_enforcer.h"
<enforcer_Web.h>
"auto_free.h"
#if defined(SYS_WINDOWS)
# include "enforcer_load.h"
# ifdef _DEBUG
# ifdef ORACLE_APACHE
#
define MODULE_NAME "oracle_apache_Web32d.dll"
# else
#
define MODULE_NAME "apache_Web32d.dll"
#endif
# else
# ifdef ORACLE_APACHE
セキュリティサービスのカスタマイズ : Enforcer API
109
#
define MODULE_NAME "oracle_apache_Web32.dll"
# else
#
define MODULE_NAME "apache_Web32.dll"
# endif
# endif
#endif
EnforcerHandle *Enforcer_Handle = NULL;
static void enforcer_init(void);
Enforcer オブジェクトの作成
Enforcer オブジェクトは Policy Validator との通信に使用されます。Enforcer オブジェクトを作成す
る際は、 Enforcer API を初期化する必要があります。 Enforcer API を初期化する場合、 Apache 2
Enforcer プラグインは、Web サーバーの起動時に EnforcerConfigInit() メソッドを呼び出し
ます。EnforcerConfigInit() メソッドは、enforcer.xml ファイルを使用して、Enforcer API
を設定します。設定ファイルの場所が示されていない場合、 Enforcer API はデフォルトの
enforcer.xml ファイルを検索します。
デフォルトでは、 Enforcer API は、プラグイン名によって使用する enforcer.xml ファイルを識
別します。たとえば、プラグイン名が「apache」である場合、 Enforcer API は <SA_Install>/
bin/enforcer_apache.xml ファイルを検索します。
Windows プラットフォームでは、さらに呼び出しを行って、 Enforcer プラグインのライブラリを
ロードし、レジストリキーを作成する必要があります。
初期化
次のコード例は、 Enforcer API の初期化方法を示しています。
static int mod_enforcer_initialized = 0;
EnforcerHandle *Enforcer_Handle = NULL;
/*
* initializes the Enforcer API
*/
static void enforcer_init(void){
static const char * loggingName =
ENFORCER_COMPANY_SHORT_NAME " " ENFORCER_PRODUCT_NAME " Apache "
ENFORCER_SERVER_PLUGIN_NAME;
#if defined(SYS_WINDOWS)
static const char * dllNames[] = { NULL };
if (! EnforcerLoadLibraries(MODULE_NAME, dllNames, loggingName)) {
fprintf(stderr, "Failed to load enforcer libraries\n");
exit(1);
}
EnforcerCreateRegistryKeys(MODULE_NAME, loggingName);
#endif
if (!EnforcerInit()) {
EnforcerLog(ENFORCER_LOG_ERROR, ">#<EnforcerInit error");
110
第5章
return;
}
Enforcer_Handle = EnforcerConfigInit(NULL, loggingName, "apache");
if(Enforcer_Handle == NULL) {
EnforcerLog(ENFORCER_LOG_ERROR, ">#<EnforcerConfigInit error");
return;
}
mod_enforcer_initialized = 1;
}
承認の必要性の判断
Apache の初期化モジュールが終了した時点で、 Web サーバーでは HTTP 要求を処理できるように
なります。 enforcer_check() メソッドが Apache サーバーフレームワークによって呼び出さ
れ、まず、要求されたリソースに対する承認が必要であることを確認します。次のようなケース
では、承認は行われません。
•
Enforcer API を設定することができない場合。 Policy Validator への接続が行われないため、ア
クセスは拒否されます。
•
URL に無効な文字が含まれている場合。無効な文字を含む URL は処理されないため、要求は
拒否されます。無効な文字としては、ディレクトリ演算子「.」などがあります。
•
Enforcer プラグインが、ドメインへの無制限アクセスを許可するように設定されている場合。
•
Enforcer プラグインが、ファイルへの無制限アクセスを許可するように設定されている場合。
•
要求が、複数ドメインシングルサインオンのリダイレクトの一環として行われている場合。
承認条件の判定
次のコード例は、各条件の確認方法を示しています。
/*
* use Enforcer API to see if request should be allowed - access control
phase [#3]
*/
extern "C" {
static int enforcer_check(request_rec *r){
... 宣言 ...
不審な URL を
チェックします
if(Enforcer_Handle == NULL) {
EnforcerLog(ENFORCER_LOG_ERROR, ">#<EnforcerAPI error: not
initialized");
return HTTP_FORBIDDEN;
}
if(EnforcerIsEvilURL(r->uri, Enforcer_Handle)) {
EnforcerLog(ENFORCER_LOG_WARNING, ">#<rejecting suspicious
url '%s'", r->uri);
return HTTP_FORBIDDEN;
}
セキュリティサービスのカスタマイズ : Enforcer API
111
if(!ap_is_initial_req(r)) {
if (EnforcerGetDisableCaching(Enforcer_Handle)) {
disable_caching(r, 0);
}
return DECLINED;
}
if(EnforcerGetP13Ncompat(Enforcer_Handle) == 0 &&
suspicious_headers(r)) {
return HTTP_FORBIDDEN;
}
virt_domain = (char*) ap_get_server_name(r);
if (EnforcerIsPassthroughDomain(Enforcer_Handle, virt_domain)) {
EnforcerLog(ENFORCER_LOG_DEBUG, "unsecured_domain: %s",
virt_domain);
return DECLINED;
}
if (EnforcerIsIgnoredFile(Enforcer_Handle, r->uri)) {
EnforcerLog(ENFORCER_LOG_DEBUG, "Ignore: %s", r->uri);
return DECLINED;
}
... クエリの作成 ...
... Policy Validator へのクエリ ...
... リターンコードと XML 応答の処理 ...
}
}
Policy Validator 要求の作成
enforcer_check() メソッドは、承認が必要であると判断した場合に、 Policy Validator クエリを
作成します。 enforcer_check() メソッドは、 initialize_query_object() メソッドを使
用して、クエリを初期化し、生成します。
/*
* use Enforcer API to see if request should be allowed - access control
phase [#3]
*/
extern "C" {
static int enforcer_check(request_rec *r){
... 宣言 ...
... 承認の必要性の判断 ...
referer = (char *) ap_table_get(r->headers_in, "Referer");
112
第5章
cookies = util_parse_cookie(r);
if ((got = initialize_query_object(r, &query,
&selectaccess_needs_refresh,
http_query, referer, cookies)) != OK)
{
return got;
}
Policy Validator
クエリを初期化
します
... Policy Validator へのクエリ ...
... リターンコードと XML 応答の処理 ...
}
}
XML の初期化と生成
initialize_query_object() メソッドは、 EnforcerAddrsQueryInit() メソッドを使用
して、クエリオブジェクトを初期化します。適切な PolicyValidatorQuery 要素と、必要な
サービスおよびパスのプロパティが使用され、初期化が行われます。ローカルおよびリモートの
IP アドレス、サーバー名、および HTTP メソッドのプロパティも追加されます。
クエリオブジェクトの初期化後、 initialize_query_object() メソッドは Apache API から
取得可能なすべての関連情報の XML プロパティを追加します。
•
EnforcerAddEncoded(): このメソッドは、 UTF-8 形式のデータを追加する場合に使用され
ます。
•
EnforcerAddFormData(): このメソッドは、入力ストリーム内の HTTP フォームからデー
タを追加する場合に使用されます。
•
EnforcerAddQueryData(): このメソッドは、 URL 内の HTTP クエリからデータを追加す
る場合に使用されます。
•
appendChild(): このメソッドは、クエリに新しい XML オブジェクトを追加します。
•
appendChildString(): このメソッドは、クエリに新しい名前と値のペアを追加します。
次のコード例は、複数のメカニズムを使用した、クエリへのプロパティおよびプロパティリスト
の追加方法を示しています。
/*
* fill in XML query object with everything we can find out - helper for
phase [#3]
*/
static int initialize_query_object
(
request_rec *r, XMLnode *query, int *needs_refresh,
char *http_query, char *referer, table *cookies
){
conn_rec *con = r->connection;
char *password = NULL, *hvalue;
char *post_data = NULL;
int query_level = EnforcerGetQueryLevel(Enforcer_Handle);
セキュリティサービスのカスタマイズ : Enforcer API
113
char *base_url;
int url_changed;
if (!EnforcerGetBasenameOfURL(r->uri, &base_url, &url_changed))
return HTTP_FORBIDDEN;
if (!EnforcerAddrsQueryInit(&con->remote_addr->sa.sin,
&con->local_addr->sa.sin, ap_http_method(r),
ap_get_server_name(r), base_url, query_level, query))
{
if (url_changed)
delete base_url;
return HTTP_FORBIDDEN;
}
if (url_changed)
delete base_url;
/* if they sent a basic-auth header, parse out the login and passwd
クエリを
初期化します
*/
if ((hvalue = (char *) ap_table_get(r->headers_in, "Authorization"))
!= NULL) {
// EnforcerLog(ENFORCER_LOG_DEBUG, "Authorization: %s", hvalue);
if(enforcer_ap_get_basic_auth_pw(r, (const char **) &password) ==
OK) {
EnforcerAddEncoded(*query, ENFORCER_USER, r->user,
Enforcer_Handle);
EnforcerAddEncoded(*query, ENFORCER_PASSWD, password,
Enforcer_Handle);
}
}
/* if they sent a cookie header, parse out the cookies we recognize
ユーザー名と
パスワードを
追加します
シングル
サインオンの
nonce を要求に
追加します
SSO Cookie
データを
追加します
114
*/
if (cookies != NULL) {
ap_table_do(add_auth_cookies, *query, cookies, NULL);
}
/* if this is a magic_query, read the POST data and add it to the XML
query */
if (magic_query(http_query) && (util_read(r, (const char**)
&post_data) == OK)) {
table *post_data_tab = NULL;
*needs_refresh = EnforcerAddFormData(*query, post_data,
Enforcer_Handle);
/* also add post data to notes, so other handlers can access the
data */
if((tabify_post_data(r, &post_data_tab, post_data) == OK) &&
post_data_tab && !ap_is_empty_table(post_data_tab))
{
ap_table_do(note_form_data, r, post_data_tab, NULL);
}
}
if (EnforcerGetEnableCookies(Enforcer_Handle)) {
/* enable Web session cookies */
第5章
(*query)->appendChildString(ENFORCER_NATIVE_NONCE,
SYS_STRDUP(ENFORCER_ENABLE));
HTTP POST
データを
コピーします
HTTP クエリ
データを追加し
ます
プロパティ
リストを
追加します
}
if ((hvalue = (char *) ap_table_get(r->notes, ENFORCER_SITE_DATA)) !=
NULL)
(*query)->appendChildString(ENFORCER_SITE_DATA,
SYS_STRDUP(hvalue));
const char *service =
(*query)->getChildStringValue(ENFORCER_SERVICE);
/* if this is an SSL connection, add encryption info and certificate
*/
if((service != NULL ) && STREQN(service, "https://", strlen("https:/
/"))) {
add_ssl(r, query, "SSL_CIPHER_USEKEYSIZE", ENFORCER_SSL_KEYSIZE);
add_ssl(r, query, "SSL_CLIENT_CERT", ENFORCER_CERT);
add_ssl(r, query, "SSL_CLIENT_S_DN", ENFORCER_SSL_CLIENT_DN);
add_ssl(r, query, "SSL_PROTOCOL", ENFORCER_SSL_PROTOCOL);
add_ssl(r, query, "SSL_CIPHER", ENFORCER_SSL_CIPHER);
}
if (query_level > QUERY_MINIMAL) {
if (http_query != NULL) {
EnforcerAddQueryData(*query, http_query, Enforcer_Handle);
}
/* if apache successfully stat'ed the file, add the owner and
size */
if (r->finfo.st_mode) {
char tmp[BUFSIZ];
struct passwd *pw;
pw = getpwuid(r->finfo.st_uid);
if (pw != NULL) {
snprintf(tmp, BUFSIZ, "%s", pw->pw_name);
(*query)->appendChildString(ENFORCER_OWNER,
SYS_STRDUP(tmp));
}
snprintf(tmp, BUFSIZ, "%ld", r->finfo.st_size);
(*query)->appendChildString(ENFORCER_SIZE, SYS_STRDUP(tmp));
}
if (is_method_valid(r->method)) {
(*query)->appendChildString(ENFORCER_METHOD,
SYS_STRDUP((char*)r->method));
}
if (query_level == QUERY_MAXIMAL) {
XMLnode header_list = XmlTreeNode::sNew
(ENFORCER_TAG_PROPERTYLIST,
ENFORCER_HTTP_HEADER_LIST);
(*query)->appendChild(header_list);
ap_table_do(add_table_to_xml, header_list, r->headers_in,
NULL);
hvalue = (char *) ap_get_server_version();
セキュリティサービスのカスタマイズ : Enforcer API
115
if (hvalue != NULL)
(*query)->appendChildString(ENFORCER_SERVER,
SYS_STRDUP(hvalue));
}
}
if (EnforcerGetDebugLevel(Enforcer_Handle) > 9)
(*query)->appendChildString(ENFORCER_TRACE,
SYS_STRDUP(ENFORCER_ENABLE));
return OK;
}
XML クエリへの認証 Cookie の追加
initialize_query_object() は、 ap_table_do() メソッドを使用して、要求のヘッダーか
ら Cookie を抽出し、Policy Validator 要求に追加します。ap_table_do() メソッドは、コールバッ
クメソッドを使用して特定の動作を実行する汎用のメソッドです。次のコード例は、 Web Cookie
内でシングルサインオンの nonce を検索し、Policy Validator の XML 要求に追加するコールバック
メソッドを示しています。
/*
* add authentication cookies to an XML query - helper for phase [#3]
* callback for ap_table_do
*/
static int add_auth_cookies(void *data, const char *key, const char
*val){
XmlTreeNode * object = (XmlTreeNode *)data;
if(STREQ(key, AUTH_COOKIE_NAME)) {
object->appendChildString(ENFORCER_NONCE, SYS_STRDUP(val));
}
if(STREQ(key, REGISTER_COOKIE_NAME)) {
object->appendChildString(ENFORCER_REGISTER_NONCE,
SYS_STRDUP(val));
}
return TRUE;
}
要求への SSL 情報の追加
Apache API から SSL パラメータの値を検索する場合は、次に示すオプションの Apache メソッド
を使用します。 add_ssl() メソッドが、 SSL パラメータの値を名前によって検索し、 XML クエ
リにプロパティを追加します。
/*
* add SSL information to the XML query
*/
static void add_ssl
(
request_rec *r, XMLnode *query, char *ssl_name,
const char *query_tag
){
char *val = NULL;
116
第5章
APR_DECLARE_OPTIONAL_FN(char *, ssl_var_lookup, (apr_pool_t *,
server_rec *,
conn_rec *, request_rec *, char *));
APR_OPTIONAL_FN_TYPE(ssl_var_lookup) *var_lookup;
var_lookup = APR_RETRIEVE_OPTIONAL_FN(ssl_var_lookup);
if (var_lookup != NULL) {
val = var_lookup(r->pool, r->server, r->connection, r, ssl_name);
}
if(val != NULL) {
if (STREQ(query_tag, ENFORCER_SSL_KEYSIZE)) {
char tmp[BUFSIZ];
snprintf(tmp, BUFSIZ, "%s bit", val);
(*query)->appendChildString(query_tag, SYS_STRDUP(tmp));
}
else
(*query)->appendChildString(query_tag, SYS_STRDUP(val));
}
}
XML オブジェクトへのデータの追加
次のコード例は、名前と値のペアを Policy Validator の XML 要求に追加する汎用のメソッドを示し
ています。このメソッドは、 ap_table_do() メソッドによって呼び出されるコールバックメ
ソッドです。汎用プロパティの Policy Validator への追加方法が記述されています。
/*
* add arbitrary table data to an XML object - helper for phase [#3]
* callback for ap_table_do
*/
static int add_table_to_xml(void *data, const char *key, const char
*val){
XmlTreeNode * d = (XmlTreeNode *)data;
d->appendChildString(key, SYS_STRDUP(val));
return TRUE;
}
マジッククエリを含む URL への Web ブラウザのリダイレクト
アイデンティティがリソースを要求して認証されなかった場合、Apache 2 Enforcer プラグインはロ
グインフォームを表示します。ログインフォームは、 ID をはじめとした認証に使用される情報を
含んでいます。ログインフォームを表示する場合、 Apache 2 Enforcer プラグインは、 URL でクエ
リ用の特殊なタグを使用して、フォームから ID やその他の認証情報などのデータを抽出できる
ようにします。これは「マジッククエリ」と呼ばれます。次のコード例は、 Apache 2 Enforcer プラ
グインがマジッククエリを含んだ URL にブラウザをリダイレクトする方法を示しています。
/* redirect to a URL that apache will treat specially */
static int
send_magic_redirect(request_rec *r, char *orig_query)
{
char url[1024];
if (orig_query == NULL)
snprintf(url, 1024, "%s?%s", r->uri, APACHE_MAGIC_QUERY);
セキュリティサービスのカスタマイズ : Enforcer API
117
else
snprintf(url, 1024, "%s?%s&%s", r->uri, orig_query,
APACHE_MAGIC_QUERY);
return send_redirect(r, url);
}
クエリに元のフォームデータが含まれているかどうかの確認
アイデンティティがログインフォームを送信した後、 Enforcer プラグインは URL にマジックク
エリが含まれているかどうかを確認します。次のコード例は、要求された URL を調べ、ログイン
データをログインフォームから抽出するかどうかを判断しています。要求された URL にマジッ
ククエリが含まれていない場合、 Apache 2 Enforcer プラグインは、 POST されたフォームデータ
がログインとは関係ないと判断し、抽出を実行しません。
/* returns 1 if a string contains our magic query string, 0 otherwise */
static int magic_query(char *q){
if (q == NULL)
return 0;
if (strstr(q, APACHE_MAGIC_QUERY) == NULL)
return 0;
return 1;
}
他の Apache プラグイン用のフォームデータの保存
要求された URL にマジッククエリが含まれている場合、 Apache 2 Enforcer プラグインは認証情
報を抽出し、 Policy Validator 要求に追加します。 Apache サーバーの制約により、 Apache 2 Enforcer
プラグインがフォームデータを読み取ることができるのは 1 回限りです。他の Apache 2 Enforcer
プラグインによってフォームデータを読み取る場合は、フォームデータを notes 構造にコピーし
ます。この例では、他のプラグインでの読み取りが可能になるよう、フォームデータをコピーす
る方法を示しています。
/*
* add consumed POSTed form data to the notes area, so other handlers can
access it
*/
static int note_form_data(void *data, const char *key, const char *val){
#define FORM_NOTE_PREFIX
"SA_POSTED:"
request_rec *r = (request_rec *)data;
int len = strlen(key) + strlen(FORM_NOTE_PREFIX) +1;
char *data_name = (char*) malloc(len);
if (data_name == NULL)
{
EnforcerLog(ENFORCER_LOG_PERR, "note-form-data: failed to malloc
%d", len);
return 0;
}
snprintf(data_name, len, "%s%s", FORM_NOTE_PREFIX, (char *) key);
ap_table_add(r->notes, data_name, (char*) val);
free(data_name);
return TRUE;
}
118
第5章
Policy Validator へのクエリ送信
Policy Validator クエリの作成後、 EnforcerQuerySend() メソッドを使用して、クエリを Policy
Validator に送信します。このメソッドは、要求の許可または拒否、エラーの発生などを示すコー
ドを返します。 Policy Validator からの XML 応答は reply パラメータに格納されます。次のコー
ド例は、 EnforcerQuerySend() メソッドの使用方法を示します。
/*
* use Enforcer API to see if request should be allowed - access control
phase [#3]
*/
extern "C" {
static int enforcer_check(request_rec *r){
... 宣言 ...
... 承認の必要性の判断 ...
... Policy Validator クエリの作成 ...
returnAction = EnforcerQuerySend(Enforcer_Handle, query, &reply);
... リターンコードと XML 応答の処理 ...
}
}
応答結果の実行
Policy Validator にクエリを行った後、応答を処理して判定結果を実行する必要があります。
enforcer_check() メソッドは、 EnforcerQuerySend() メソッドからの戻り値を使用して、
Policy
Validator
でのエラーの発生の有無を確認します。エラーが発生した場合、
enforcer_check() メソッドは XML 応答内でシングルサインオン、または登録の nonce を検
索します。 nonce が存在する場合は、 HTTP Cookie に追加されます。それ以降のトランザクション
では、 Cookie を使用してアイデンティティを識別します。
要求が拒否された場合、enforcer_check() メソッドは XML 応答に認証ヒントが記載されてい
ないかどうかを確認します。認証ヒントはアイデンティティの認証方式を Enforcer プラグインに
指示します。認証ヒントに基づいて、 Apache 2 Enforcer プラグインはアイデンティティに対して
ログイン認証情報の入力を要求するメッセージを表示します。
Policy Validator の判定結果の実行
次のコード例は、 Policy Validator の判定結果を実行するための Enforcer プラグインの一般的なプ
ログラム方法を示しています。
/*
* use Enforcer API to see if request should be allowed - access control
phase [#3]
*/
extern "C" {
セキュリティサービスのカスタマイズ : Enforcer API
119
static int enforcer_check(request_rec *r){
... 宣言 ...
... 承認の必要性の判断 ...
... XML クエリの作成 ...
... Policy Validator へのクエリ ...
if(returnAction != ENFORCER_ERROR_ACTION) {
/* you can't look inside the reply if it might be NULL (on
error) */
EnforcerSetenv(reply, r);
/* if XML reply object had a nonce, add it as an
AUTH_COOKIE_NAME cookie */
if((s = reply->getChildStringValue(ENFORCER_NONCE)) != NULL)
SSO Cookie を
設定します
{
set_cookie(Enforcer_Handle, r, AUTH_COOKIE_NAME,
(char*) s, COOKIE_LIFE, 0);
// don't cache logout pages!
if(STREQ(s, "logout")) {
disable_caching(r, 0);
}
}
/* if XML reply object had a registration cookie, add it */
if((s = reply->getChildStringValue(ENFORCER_REGISTER_NONCE))
!= NULL) {
long cookie_life = 0;
if ((! reply->getChildLongValue(ENFORCER_REGISTER_LIFE,
&cookie_life))
|| (cookie_life == 0))
{
cookie_life = COOKIE_LIFE;
}
set_cookie(Enforcer_Handle, r, REGISTER_COOKIE_NAME,
(char*) s, cookie_life, 0);
}
アクセスの許可
処理を続行します
}
switch (returnAction) {
case ENFORCER_ALLOW_ACTION:
... 複数ドメインシングルサインオンの処理 ...
response = DECLINED; /* apache-speak for 'let other
handlers decide */
break;
case ENFORCER_DENY_ACTION:
... 複数ドメインシングルサインオンの処理 ...
120
第5章
ログイン
フォームを
送信します
アクセスの拒否
redirect_URL = reply->
getChildStringValue(ENFORCER_REDIRECT);
if(redirect_URL != NULL
&& EnforcerAuthFailed(query, reply,
selectaccess_needs_refresh))
{
response = send_redirect(r, (char *)redirect_URL);
}
else if (EnforcerGetAuthHint(reply, &auth_plist,
&hint_flags)) {
response = DONE;
if (hint_flags == HINT_PASSWORD
&& EnforcerGetLoginViaForm(Enforcer_Handle) == 0)
{
s = auth_plist->
getChildStringValue(ENFORCER_FORM_REALM);
send_basic_auth_page(r, (char *) s);
} else {
if (!magic_query(http_query)) {
response = send_magic_redirect(r, http_query);
} else {
send_dynamic_form(r, NULL, auth_plist);
}
}
if (hint_flags == HINT_FREE) {
delete auth_plist;
}
}
else if ((auth_plist = reply->
getChild(ENFORCER_FORM_DATA)) &&
auth_plist->isPropertyList())
{
// they have a site-specific auth plugin or dynamic
form
response = DONE;
if (!magic_query(http_query)) {
response = send_magic_redirect(r, http_query);
} else {
send_dynamic_form(r, NULL, auth_plist);
}
}
else if(redirect_URL != NULL) {
response = send_redirect(r, (char *)redirect_URL);
} else {
EnforcerLog(ENFORCER_LOG_DEBUG, "reply is flat out
deny");
}
break;
セキュリティサービスのカスタマイズ : Enforcer API
121
case ENFORCER_ERROR_ACTION:
case ENFORCER_USER_DEFINED_ACTION:
default:
ap_log_error(APLOG_MARK, APLOG_ERR, AP2_STATUS r->server,
"mod_enforcer ERROR %s %s", r->method, r->uri);
break;
}
delete query;
delete reply;
if (response == DECLINED) {
if (selectaccess_needs_refresh) {
send_accepted_page(r);
response = DONE;
}
else if (EnforcerGetDisableCaching(Enforcer_Handle)) {
disable_caching(r, 0);
}
}
return response;
/* give other access control handlers a chance */
}
}
複数ドメインシングルサインオン
認証に成功した後は、 Policy Validator 応答内の nonce により、シングルサインオンが維持されま
す。 nonce は暗号化されたトークンです。 Web ブラウザの Cookie に nonce を組み込むことにより、
ブラウザはそれ以降のすべての要求に nonce を含めます。 Web Cookie は特定のドメインに関連付
けられるため、シングルサインオンは 1 つのドメイン内でのみ行われます。
複数のドメインにまたがるシングルサインオンを行う場合、次の手順を実行する必要があります。
1
参照元サイトが複数ドメインシングルサインオンのリストに含まれていることを確認します。
2
ブラウザを参照元サイトにリダイレクトし、 nonce を要求します。
3
参照元サイトは nonce を URL に含め、元のサイトにブラウザをリダイレクトします。
4
このドメインの Cookie に nonce を組み込みます。
5
アイデンティティを元の URL にリダイレクトします。
Policy Validator 要求が拒否された場合、 enforcer_check() メソッドは、アイデンティティの識
別に複数ドメインシングルサインオンが使用可能かどうかを確認します。使用可能である場合、
メソッドはアイデンティティを参照元サイトにリダイレクトし、シングルサインオンの nonce を
要求します。
初めて要求を受け取った場合、 enforcer_check() メソッドは、その要求が複数ドメインシン
グルサインオンの nonce に関するものかどうかを確認します。該当する場合は、nonce を含む URL
を作成し、クライアントを元のサイトにリダイレクトします。
122
第5章
要求が Policy Validator によって許可された場合、 enforcer_check() メソッドは、要求された
URL に複数ドメインシングルサインオンの nonce が含まれているかどうかを確認します。該当す
る場合、メソッドはその nonce の新しい Cookie を作成し、要求されたリソースへのアクセスを提
供します。
複数ドメインシングルサインオンの Web リダイレクトのプロセス
次のコード例は、複数ドメインシングルサインオンの実行方法を示しています。
/*
* use Enforcer API to see if request should be allowed - access control
phase [#3]
*/
extern "C" {
static int enforcer_check(request_rec *r){
... 宣言 ...
... 承認の必要性の判断 ...
nonce を
要求する
サーバー
手順 3: 複数
ドメインの
nonce を URL
に含めます
/* we need http_query, referer and cookies for SSO support */
if (r->args && strlen(r->args)) {
http_query = r->args;
}
referer = (char *) ap_table_get(r->headers_in, "Referer");
cookies = util_parse_cookie(r);
if (EnforcerIsSSORedirectURL(http_query, &old_url)) {
// do SSO redirect 2
char *sso_authURL;
if (cookies != NULL) {
nonce = (char *) ap_table_get(cookies, AUTH_COOKIE_NAME);
}
EnforcerConstructSSOAuthURL(Enforcer_Handle, old_url, nonce,
&sso_authURL);
send_redirect(r, sso_authURL);
delete[] sso_authURL;
return HTTP_MOVED_TEMPORARILY;
}
... Policy Validator クエリの作成 ...
... nonce の処理と Cookie の作成 ...
手順 4: nonce
をローカル
ドメインの
Cookie に
組み込みます
switch (returnAction) {
case ENFORCER_ALLOW_ACTION:
response = DECLINED; /* apache-speak for 'let other
handlers decide */
if (EnforcerIsSSOAuthURL(http_query, &nonce)) {
// SSO worked, send browser back to the original URL
// do SSO redirect 3
char *sso_origURL;
セキュリティサービスのカスタマイズ : Enforcer API
123
手順 5: ユーザー
を元の URL に
リダイレクト
します
手順 1: 複数
ドメイン SSO が
有効かどうかを
確認します
手順 2: アイデ
ンティティを
参照元サーバー
にリダイレクト
します
EnforcerConstructSSOOrigURL(r->uri, http_query,
&sso_origURL);
set_cookie(Enforcer_Handle,r,AUTH_COOKIE_NAME,nonce,COOKIE_LIFE,0);
send_refresh(r, 0, sso_origURL);
response = DONE;
delete[] sso_origURL;
}
break;
case ENFORCER_DENY_ACTION:
// need to figure out the full_url to make SSO decision
host_header = (char *) ap_table_get(r->headers_in,
"Host");
if (host_header != NULL) {
snprintf(full_url, 1024, "%s://%s%s",
ap_http_method(r), host_header, r->uri);
} else {
snprintf(full_url, 1024, "%s://%s%s",
ap_http_method(r), ap_get_server_name(r), r->uri);
}
if (http_query != NULL) {
strcat(full_url, "?");
strcat(full_url, http_query);
}
redirect_URL = reply->
getChildStringValue(ENFORCER_REDIRECT);
if (EnforcerCouldSSOHelp(reply, referer, full_url,
Enforcer_Handle)) {
// SSO could result in an authentication without
prompting user
// do SSO redirect 1
char *sso_redirectURL;
EnforcerConstructSSORedirectURL(referer, full_url,
&sso_redirectURL);
response = send_redirect(r, sso_redirectURL);
delete[] sso_redirectURL;
}
}
return response;
}
}
UNIX での考慮事項
UNIX プラットフォームでは、Apache サーバーは、子プロセスを作成して Web 要求を処理します。
子プロセスの終了後、 Enforcer プラグインは初期化中に作成された Enforcer オブジェクトを解放
します。次のコード例は、 UNIX プラットフォームでの Enforcer オブジェクトの解放を示してい
ます。
124
第5章
#ifndef APACHE2
/*
* stuff to do before apache children exit, unix-only
*/
extern "C" {
static void child_exit(server_rec *s, pool *p){
#ifdef __unix__
if (mod_enforcer_initialized) {
/* Enforcer API cleanup */
EnforcerFree(Enforcer_Handle);
mod_enforcer_initialized = 0;
}
#endif
}
}
#endif
Apache プラグインの登録
Apache 2 Enforcer プラグインでメソッドを実行するには、モジュールを Apache サーバーに登録す
る必要があります。次のコード例に示すように、登録モジュールを作成することによって登録が
行われます。ここでは Apache 2 の登録のみを扱っています。
static void enforcer_register_hooks(apr_pool_t *p){
ap_hook_child_init(child_init, NULL, NULL, APR_HOOK_MIDDLE);
ap_hook_access_checker(enforcer_check, NULL, NULL, APR_HOOK_MIDDLE);
}
/* Dispatch list for API hooks */
module AP_MODULE_DECLARE_DATA enforcer_module = {
STANDARD20_MODULE_STUFF,
NULL,
/* create per-dir
config structures */
NULL,
/* merge per-dir
config structures */
NULL,
/* create per-server config structures */
NULL,
/* merge per-server config structures */
NULL,
/* table of config file commands
*/
enforcer_register_hooks
/* register hooks
*/
};
Apache Enforcer プラグインのコンパイルとインストール
Apache 2 Enforcer プラグインでは次のことが可能です。
•
サーバーに静的にコンパイルできます。
•
Windows 上で DLL ( ダイナミックリンクライブラリ ) として実装できます。
•
UNIX 上で共有オブジェクトファイル (.so) として実装できます。動的なプラグインをイン
ストールするよりも簡単であるため、本章の例では、このプラグインを使用します。
mod_enforcer.h ファイルの上部にある一部の定数を再定義して、 Apache 2 Enforcer プラグ
セキュリティサービスのカスタマイズ : Enforcer API
125
インを再コンパイルすることにより、特定のサイトに対する Apache 2 Enforcer プラグインを
簡単に設定できます ( 詳細は後述 )。 mod_enforcer.h ファイルを作成するには、ディレク
トリを \source\server_plugins\apache に変更し、 gmake コマンドを実行します。
gmake コマンドの詳細は、 23 ページの「SDK でのサンプルの作成」を参照してください。
gmake コマンドの出力は、次のコード例のようになります。カスタム Apache 2 Enforcer プラ
グインを作成する場合、オプション、ヘッダーパス、およびライブラリをコンパイラに提
供する必要があります。
設定済みの Makefile を使用して Apache 2 Enforcer プラグインをコンパイルする場
合、まず mod_so モジュールを有効にして Apache サーバーをコンパイルします。こ
れは Red Hat をはじめとする多くのオペレーティングシステムでデフォルトとされて
いる手順です。
Apache の Makefile は、 Apache 2 サーバーのインストール先を指定する SDK に含ま
れています。Apache をインストールするファイルは、任意のフォルダに変更できます。
g++ -o ../../../solaris/bin/mod_enforcer.so -Wc,-Wall -Wc,-g
-Wl,-Bsymbolic
-D_PTHREADS -D_REENTRANT -DPOSIX_THREADS -I../../../enforcer
-L../../../solaris/lib
-lenforcer -lcurl -lssl -lcrypto -licuuc -licudata -lcurl
-lsocket -lnsl -ldl -lthread -lstdc++
../mod_enforcer.cpp ../util.cpp
COM Enforcer API を使用した Enforcer プラグインの作成
このセクションでは、 COM Enforcer API の利用方法を説明します。例には、 WSE (Web Service
Enhancement) Enforcer プラグインを使用します。次の各項目について説明します。
•
Enforcer オブジェクトの初期化
•
SOAP メッセージからの承認データの抽出
•
Policy Validator 要求の作成
•
Policy Validator へのクエリ
•
Policy Validator の判定結果の実行
WSE Enforcer プラグインの例
WSE Enforcer プラグインは、 .Net Web サービスへのアクセスを保護する COM コンポーネントで
す。この WSE Enforcer プラグインは .Net API を Enforcer API に接続します。 SOAP メッセージの
プロパティを使用して、 Policy Validator クエリが作成されます。 WSE Enforcer プラグインは、 Web
サービスへのアクセスの許可 / 拒否を実行します。アクセスを拒否した場合、 WSE Enforcer プラ
グインは、 Web サービスのクライアントに対して認証ヒントを提供します。それに応じて、クラ
イアントは必要な認証情報を WSE Enforcer プラグインに提示します。
126
第5章
Helper クラス
Helper クラスは、 InputFilter および OutputFilter の両クラスによって使用されます。
Helper クラスは、 SOAP 名前空間の定数、 XML タグの定数、およびそれ以外の SOAP メッセー
ジや Policy Validator のクエリ / 応答の処理に使用される定数を定義します。 InputFilter や
Output Filter が Policy Validator と動作する際に使用される Enforcer オブジェクトは、静的な
m_handle フィールドに格納されます。その他に、 Helper クラスは、 Policy Validator との通信に
使用される Enforcer オブジェクトを取得 / 設定するためのメソッドも定義します。次のコード例
は、 Helper クラスのフレームワークを示しています。
... ライブラリの使用 ...
namespace com.hp.selectaccess.enforcer.wse
{
public class Helper
すべてのフィルタ
{
インスタンスが
共有する
protected static EnforcerCOMHandle m_handle = null;
Enforcer
オブジェクト
... その他の定数の定義 ....
public
public
public
public
public
(
Helper(){}
static void InitEnforcer() { ... }
static EnforcerCOMHandle GetEnforcerCOMHandle() { ... }
static int GetRandomNumber() { ... }
static SoapException ConstructException
string faultCode,
string faultCodeNS,
string faultString
) { ... }
}
}
InputFilter クラス
InputFilter クラスは ProcessMessage() メソッドをオーバーライドします。これにより、
InputFilter クラスは SOAP メッセージのプロパティを抽出し、 Policy Validator クエリを作成
し、応答結果を実行します。次のコード例は、 InputFilter クラスのフレームワークを示して
います。
... ライブラリの使用 ...
namespace com.hp.selectaccess.enforcer.wse
{
public class InputFilter:SoapInputFilter
{
public InputFilter(){}
public override void ProcessMessage(SoapEnvelope envelope)
{ ... }
public EnforcerXMLTree constructValidatorQuery
(
セキュリティサービスのカスタマイズ : Enforcer API
127
XmlElement body,
SoapContext requestContext,
EnforcerCOMHandle valHandle
) { ... }
public void SendValidatorQuery
(
EnforcerXMLTree query,
EnforcerCOMHandle valHandle
) { ... }
public void GetValidatorCookieFromReply
(
EnforcerXMLTree reply,
EnforcerCOMHandle valHandle
) { ... }
public void AddPersonalizationData
(
EnforcerXMLTree reply,
EnforcerCOMHandle valHandle
) { ... }
... 暗号化および署名の属性の抽出メソッド ...
} // class CustomInputFilter
} //CustomLibrary
OutputFilter クラス
OutputFilter クラスは、 .Net Web サービスが SOAP 応答を作成した後に呼び出されます。
OutputFilter クラスは、 Select Access のシングルサインオンの nonce を、 Cookie として SOAP
応答に挿入するメソッドを提供します。認証が必要な場合、 OutputFilter クラスは、ポリシー
SOAP ヘッダーとして認証ヒントを SOAP 応答に挿入します。また、 OutputFilter クラスは、
SOAP メッセージの暗号化および署名のメソッドも提供します。これにより、シングルサインオ
ンの nonce をハッカーから保護します。次のコード例は、 OutputFilter クラスのフレームワー
クを示しています。
... ライブラリの使用 ...
namespace com.hp.selectaccess.enforcer.wse
{
public class OutputFilter:SoapOutputFilter
{
public OutputFilter() { ... }
public override void ProcessMessage(SoapEnvelope envelope)
{ ... }
public void AddValidatorCookie
(
SoapEnvelope envelope,
EnforcerCOMHandle valHandle
) { ... }
128
第5章
public void AddValidatorCookieToSoap
(
SoapEnvelope envelope,
string nonce,
EnforcerCOMHandle valHandle
) { ... }
public void AddSignedPolicyHeader
(
SoapEnvelope envelope,
string[] authTypes,
bool signPolicy,
EnforcerCOMHandle valHandle
) { ... }
public void EncryptResponseMessage
(
SoapContext context,
EnforcerCOMHandle valHandle,
bool mustEncrypt
) { ... }
public void SignResponseMessage
(
SoapContext context,
Reference reference,
EnforcerCOMHandle valHandle
) { ... }
... その他の署名のヘルパーメソッド ...
}
}
COM Enforcer API のクラスとユーティリティ
ENFORCERLib ライブラリの EnforcerCOMHandle クラスは、 Enforcer API の基本クラスです。
このクラスは、 Policy Validator との通信で使用される Enforcer オブジェクトを表します。
Policy Validator のクエリおよび応答を作成し、SOAP XML を処理するには、標準的な System.Xml
ライブラリのクラスを使用します。
COM ライブラリのインポート
次のコード例に示すように、COM Enforcer API ライブラリをインポートするには、ENFORCERLib
ライブラリを組み込む必要があります。コードの例には、 WSE Enforcer プラグインが必要とする
その他のライブラリも含まれています。
using System;
using System.Collections;
using System.Diagnostics;
セキュリティサービスのカスタマイズ : Enforcer API
129
using
using
using
using
using
using
using
System.IO;
System.Web;
System.Web.Services.Protocols;
System.Xml;
Microsoft.Web.Services;
Microsoft.Web.Services.Security;
ENFORCERLib;
Enforcer オブジェクトの作成
Helper クラスは、 InitEnforcer() メソッドを使用して、 Enforcer オブジェクトを作成しま
す。このメソッドは、 m_handle.Init() を呼び出して、 Enforcer API を初期化します。
InputFilter クラスおよび OutputFilter クラスは、 GetEnforcerCOMHandle() メソッド
を使用して、設定された Enforcer オブジェクトを検索します。次のコード例で説明します。
新しい Enforcer
オブジェクトを
作成します
Enforcer
オブジェクトを
初期化します
Enforcer
オブジェクトの
フィルタリング
を実行します
130
public static void InitEnforcer()
{
/*
* LOG_TYPE = "wse"
* At the time of initialization, this WSE Enforcer will look
for the file"
* "INSTALL_DIR/bin/enforcer_wse.xml"
*/
if (m_handle == null)
{
m_handle = new EnforcerCOMHandle();
string loggingName = m_handle.GetCompanyShortName() + " "
+ m_handle.GetProductName() + " " + LOG_TYPE + " "
+ m_handle.GetServerPluginName();
m_handle.Init(null, loggingName, LOG_TYPE.ToLower());
string msg = "WSE Enforcer Validator Handle Initialized";
m_handle.EnforcerLogMsg(m_handle.GetInfoLogType(), msg);
} //m_handle == null
} //InitEnforcer
public static EnforcerCOMHandle GetEnforcerCOMHandle()
{
if (m_handle == null)
{
InitEnforcer();
}
return m_handle;
}
第5章
XML 要求の作成
InputFilter クラスは、 ProcessMessage() メソッドをオーバーライドし、 Policy Validator の
要求を確認します。このメソッドは、 constructValidatorQuery() メソッドを呼び出して、
XML 要求を作成します。 Policy Validator クエリのプロパティは SOAP 要求から抽出されます。
constructValidatorQuery() メソッドは、 SOAP 要求の HttpRequest から、必要なサービ
スおよびパスのプロパティを抽出します。 constructValidatorQuery() メソッドは、続い
て、 ID とパスワード、および X.509 証明書の認証情報が要求に含まれているかどうかを確認し、
該当する場合は各プロパティを XML クエリに追加します。また、 SOAP ヘッダーまたは HTTP
ヘッダーの Cookie にシングルサインオンの nonce が含まれている場合は、その nonce をクエリ
に追加します。 Enforcer プラグインが Cookie を有効化するように設定されている場合は、
NATIVE_NONCE プロパティをクエリに追加します。これにより、 Policy Validator の応答にシング
ルサインオンの nonce が組み込まれます。最後のクエリは、クエリを Policy Validator に送信する
ProcessMessage() メソッドに返されます。
XML クエリ用に
HTTP 要求の
データを
抽出します
HTTP 接続から
クライアント
証明書を
抽出します
public EnforcerXMLTree constructValidatorQuery
(
XmlElement body, SoapContext requestContext, EnforcerCOMHandle
valHandle
)
{
try
{
EnforcerXMLTree query = null;
string httpClientCert = null;
HttpRequest httpRequest = HttpContext.Current.Request;
Uri uri = httpRequest.Url;
string scheme = uri.Scheme;
string host = uri.Host;
int port = uri.Port;
string path = uri.AbsolutePath;
if (String.Compare(host, Helper.LOCALHOST, true) == 0
|| (String.Compare(host, "127.0.0.1", true)== 0))
{
string hostname = Dns.GetHostName();
IPHostEntry hostEntry = Dns.GetHostByName(hostname);
host = hostEntry.HostName;
}
string service = scheme + "://" + host + ":" + port;
string resource = getResource(body);
path = path + "/" + resource;
string msg = "Input Filter:: Web Service URL being accessed:\n"
+ service + "\n" +path;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
// get client side certificate from the HTTP connection
HttpClientCertificate clientCert = httpRequest.ClientCertificate;
if (clientCert != null)
{
セキュリティサービスのカスタマイズ : Enforcer API
131
適切なプロパティ
を使用して新しい
XML クエリを
作成します
ユーザー名と
パスワードが
存在する場合は
追加します
132
byte[] certBytes = clientCert.Certificate;
if (certBytes != null && certBytes.Length > 0)
{
httpClientCert = Convert.ToBase64String(certBytes);
msg = "Input Filter:: Client certificate received in the
HTTP"
+ " connection:\n " + clientCert;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(),
msg);
}
}
query = valHandle.newQuery(service, path);
// Get embedded Security tokens
bool passAdded = false;
bool certAdded = false;
// log
int count = requestContext.Security.Tokens.Count;
msg = "Input Filter:: Total number of SecurityTokens received in
"
+ " the SOAP Message is "+count;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
foreach (SecurityToken tok in requestContext.Security.Tokens)
{
if (tok is UsernameToken && !passAdded)
{
string username = ((UsernameToken)tok).Username;
string password = ((UsernameToken)tok).Password;
if (username != null && password != null)
{
string property = valHandle.GetTagPropertyList();
EnforcerXMLTree propListElemNode =
query.newNode(valHandle.GetTagPropertyList());
propListElemNode.setName(valHandle.GetTagPostDataList());
EnforcerXMLTree userNode =
query.newNode(valHandle.GetTagProperty());
userNode.setName(valHandle.GetTagUser());
userNode.setStringValue(username);
EnforcerXMLTree passNode =
query.newNode(valHandle.GetTagProperty());
passNode.setName(valHandle.GetTagPassword());
passNode.setStringValue(password);
propListElemNode.appendChild(userNode);
propListElemNode.appendChild(passNode);
query.appendChild(propListElemNode);
passAdded = true;
msg = "Input Filter:: UsernameToken received in the
SOAP "
第5章
+ " message containing the "
+ "username '" + username
+ "has been added to the validator query.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(),
msg);
}
ユーザー名や
パスワードは
複数追加しない
でください
ログイン ID 用に
証明書の
プロパティを
追加します
証明書の ID を
1 つだけ
追加します
}
else if (tok is UsernameToken && passAdded)
{
string username = ((UsernameToken)tok).Username;
string password = ((UsernameToken)tok).Password;
msg = "Input Filter:: UsernameToken with username '"
+ username
+ "'received in the SOAP message will not be added to
the "
+ "validator query because the username and password
from "
+ "another UsernameToken have already been added.";
valHandle.EnforcerLogMsg(valHandle.GetWarningLogType(),
msg);
}
else if (tok is X509SecurityToken && !certAdded)
{
X509SecurityToken certToken = (X509SecurityToken)tok;
X509Certificate cert = certToken.Certificate;
string base64cert = cert.ToBase64String();
EnforcerXMLTree certNode =
query.newNode(valHandle.GetTagProperty());
certNode.setName(valHandle.GetTagCert());
certNode.setStringValue(base64cert);
query.appendChild(certNode);
certAdded = true;
msg = "Input Filter:: Added to the validator query is the
"
+ " X509SecurityToken " + "containing the cert:\n"
+ base64cert;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(),
msg);
}
else if (tok is X509SecurityToken && certAdded)
{
X509SecurityToken certToken = (X509SecurityToken)tok;
X509Certificate cert = certToken.Certificate;
string base64cert = cert.ToBase64String();
msg = "Input Filter:: Another X09SecurityToken received
in the "
+ "SOAP message has been added to the validator query.
"
セキュリティサービスのカスタマイズ : Enforcer API
133
+ "The X509SecurityToken will not be added to the
validator"
+ "query. The certificate contained inside this "
+ "X509SecurityToken is:\n" + base64cert;
valHandle.EnforcerLogMsg(valHandle.GetWarningLogType(),
msg);
他のセキュリティ
トークンを追加
しないでください
SOAP 証明書が
存在しない場合
HTTP 接続から
クライアント
証明書を
追加します
SOAP ヘッダー
で SSO Cookie
を検索します
134
}
else
{
msg = "Input Filter:: A SecurityToken of unknown type has
been"
+ " received in the SOAP message. "
+ "It will not be added to the validator query. Only "
+ "UsernameTokens and X509SecurityTokens are sent to
the "
+ "validator to be authenticated. "
+ "The type of the received token
is:\n"+tok.GetType();
valHandle.EnforcerLogMsg(valHandle.GetWarningLogType(),
msg);
}
} //for
if (!certAdded && httpClientCert != null)
{
msg = "Input Filter:: X509SecurityToken was not received in
the "
+ "SOAP request, adding client certificate to the
validator "
+ "XML query.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
EnforcerXMLTree certNode =
query.newNode(valHandle.GetTagProperty());
certNode.setName(valHandle.GetTagCert());
certNode.setStringValue(httpClientCert);
query.appendChild(certNode);
}
// look for cookies in SOAP header first, then in HTTP cookie
header
SoapEnvelope envelope = requestContext.Envelope;
XmlElement header = envelope.Header;
XmlNodeList list =
header.GetElementsByTagName(valHandle.GetDefaultCookieName(),
Helper.BALT_NS);
string nonce = null;
if (list != null && list.Count > 0)
{
XmlNode baltNonce = list[0];
if (baltNonce != null)
{
第5章
nonce = baltNonce.InnerText;
msg = "Input Filter:: Validator nonce received in the SOAP
"
+ "message will be added to the validator query. "
+ "It is:\n"+nonce;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(),
msg);
SOAP に Cookie
が存在しない
場合 HTTP
ヘッダーで SSO
Cookie を
検索します
XML 要求に
SSO の nonce
を追加します
SSO Cookie が
存在しません
でした
}
}
if (nonce == null)
{
// now look in HTTP cookie header
msg = "Input Filter:: Validator nonce was not received in the
SOAP"
+ " message, now checking for cookies in HTTP header.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
string name = valHandle.GetDefaultCookieName();
HttpCookieCollection collection = httpRequest.Cookies;
for(int iter = 0; iter < collection.Count; iter++)
{
string key = collection.GetKey(iter);
if (String.Compare(key, name, true) == 0)
{
nonce = collection[iter].Value;
msg = "Input Filter:: Validator nonce received as an
HTTP"
+ " cookie. It is:\n"+nonce;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(),
msg);
break;
}
}
}
if (nonce != null)
{
// add the cookie extracted from SOAP or from HTTP header
// to the validator request
EnforcerXMLTree nonceNode =
query.newNode(valHandle.GetTagProperty());
nonceNode.setName(valHandle.GetTagNonce());
nonceNode.setStringValue(nonce);
query.appendChild(nonceNode);
}
else
{
// log msg
msg = "Input Filter:: Validator nonce not found in the
request.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
}
セキュリティサービスのカスタマイズ : Enforcer API
135
Cookie が有効で
ある場合 SSO の
nonce のサポート
を通知します
このクライアン
トに対して SSO
の nonce は
サポートされて
いません
XML クエリを
返します
// add 'native_nonce' property
int enableCookie = valHandle.GetEnableCookies();
if (enableCookie > 0)
{
EnforcerXMLTree nativeNonceNode =
query.newNode(valHandle.GetTagProperty());
nativeNonceNode.setName(valHandle.GetTagNativeNonce());
nativeNonceNode.setStringValue(valHandle.GetValueEnable());
query.appendChild(nativeNonceNode);
}
else
{
msg = "Input Filter:: The Enforcer Web cookies support not
enabled";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
}
// log the validator query
string queryStr = query.toString(1);
msg = "Input Filter:: Validator query constructed.\n"+queryStr;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
return query;
}
catch (Exception e)
{
string msg =
"Input Filter:: Exception when constructing validator
query:\n "
+ e.Message;
SoapException se =
Helper.ConstructException(Helper.FC_SERVER_UNABLETOAUTHENTICATE,
Helper.BALT_NS, Helper.SERVERFAULTSTRING);
throw se;
}
} //constructValidatorQuery
Policy Validator へのクエリ
InputFilter の ProcessMessage() メソッドは、 SendValidator() メソッドを使用して、
Policy Validator へのクエリを行い、応答を処理します。クエリは、次のコード例に示すようなコー
ドによって Policy Validator に送信されます。
public void SendValidatorQuery(EnforcerXMLTree query, EnforcerCOMHandle
valHandle)
{
try
{
EnforcerXMLTree reply = valHandle.SendQuery(query);
136
第5章
.... 応答の処理 ...
}
catch (Exception e)
{
... 応答の例外の処理 ...
}
} //SendValidatorQuery
Policy Validator の応答結果の実行
Policy Validator にクエリを行い、応答を処理するには、 SendValidatorQuery() メソッドを使
用します。次のコード例に、この SendValidatorQuery() メソッドを示します。Policy Validator
が要求された動作を許可した場合、 SendValidatorQuery() メソッドは、 SSO の nonce を現在
の HttpContext に追加し、それ以降のユーザーの再認証を不要にします。次のコード例に示す
ように、 Cookie は GetValidatorCookieFromReply() メソッドによって HttpContext に追
加されます。
public void SendValidatorQuery(EnforcerXMLTree query, EnforcerCOMHandle
valHandle)
{
try
{
... Policy Validator へのクエリ ...
if (reply != null)
{
// log reply
string replyStr = reply.toString(1);
String msg = "Input Filter:: Validator reply
received:\n"+replyStr;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
// read validator 'action' property
string action = reply.getChildStringValue
(valHandle.GetTagAction());
if (String.Compare(action, valHandle.GetAllowAction(), true)
== 0)
{
// access allowed, get validator nonce and add to
HttpContext Items
// so that it can be returned to the client by the output
filter.
msg = "Input Filter:: Validator action is ALLOW, locating
validator "
+ "nonce to return to client.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(),
アクセスの許可
msg);
セキュリティサービスのカスタマイズ : Enforcer API
137
応答で返された
SSO の nonce を
取得します
アクセスが
拒否されたため
ログインの失敗を
示す SOAP 例外
をスローします
GetValidatorCookieFromReply(reply, valHandle);
AddPersonalizationData(reply, valHandle);
}
else if (String.Compare(action, valHandle.GetDenyAction(),
true) == 0)
{
//deny access, throw exception and return <Policy>
msg = "Input Filter:: Validator action is DENY. The
Enforcer will "
+ "return WS-Policy in the SOAP Response Message.";
valHandle.EnforcerLogMsg(valHandle.GetWarningLogType(),
msg);
SetWSPolicy(reply, valHandle);
SoapException se =
Helper.ConstructException(Helper.FC_CLIENT_FAILEDAUTHENTICATION,
Helper.BALT_NS, Helper.CLIENTFAULTSTRING);
throw se;
確認中にエラー
}
が発生しました
else
{
// error or unknown action
msg = "Input Filter:: Validator action is '" + action +
"', will "
+ "return 'UnableToAuthenticate' faultcode.";
valHandle.EnforcerLogMsg(valHandle.GetWarningLogType(),
msg);
SoapException se =
Helper.ConstructException(Helper.FC_SERVER_UNABLETOAUTHENTICATE,
Helper.BALT_NS, Helper.SERVERFAULTSTRING);
throw se;
}
Policy Validator
}
から応答を取得
else
できませんでした
{
String msg = "Input Filter:: Validator reply could not be
read. The client "
+ "cannot be authenticated.";
valHandle.EnforcerLogMsg(valHandle.GetErrorLogType(), msg);
SoapException se =
Helper.ConstructException(Helper.FC_SERVER_UNABLETOAUTHENTICATE,
Helper.BALT_NS, Helper.SERVERFAULTSTRING);
throw se;
}
}
catch (SoapException se)
{
138
第5章
// this will probably be the SOAP exception constructed above,
throw it again
throw se;
}
catch (Exception e)
{
valHandle.EnforcerLogMsg(valHandle.GetErrorLogType(), "Input
Filter::\n"
+ e.Message);
SoapException se =
Helper.ConstructException(Helper.FC_SERVER_UNABLETOAUTHENTICATE,
Helper.BALT_NS, Helper.SERVERFAULTSTRING);
throw se;
}
} //SendValidatorQuery
HttpContext への SSO の nonce の追加
この処理の後、 nonce が存在する場合、GetValidatorCookieFromReply() メソッドは Policy
Validator 応答から SSO の nonce を抽出します。次のコード例で、この動作を説明します。
public void GetValidatorCookieFromReply
(
EnforcerXMLTree reply,
EnforcerCOMHandle valHandle
)
{
string nonce = null;
nonce = reply.getChildStringValue(valHandle.GetTagNonce());
if (nonce != null)
{
String msg = "Input Filter:: The nonce contained in the validator
reply is:\n"
+ nonce;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
HttpContext.Current.Items.Add(Helper.SACLIENTCOOKIE, nonce);
}
else
{
String msg = "Input Filter:: The validator reply does not contain
a nonce.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
}
} //GetValidatorCookieFromReply
セキュリティサービスのカスタマイズ : Enforcer API
139
WSE Enforcer プラグインのポリシー要素の設定
アクセスが拒否された場合、 WSE Enforcer プラグインは、リソースへのアクセス時に認証が使用
されたかどうかを確認し、その結果に基づいて、使用可能な認証方式を指示する XML プロパティ
を組み込みます。ここでは SetWSPolicy() メソッドが使用されます。リソースへのアクセスを
防ぐため、例外がスローされます。この例外は SOAP エラーとして直列化されます。後述の
OutputFilter によって、認証ヒントが SOAP メッセージに追加されます。
応答に認証ヒント
が含まれている
かどうか
チェックします
認証ヒントを
取得します
認証方式を
HttpContext に
追加します
140
public void SetWSPolicy(EnforcerXMLTree reply, EnforcerCOMHandle
valHandle)
{
int children = reply.getNumChildren();
EnforcerXMLTree authServersElem = null;
for (int i=0; i< children; i++)
{
EnforcerXMLTree child = reply.getChild(i);
string childName = child.getName();
if (childName != null &&
String.Compare(childName,
valHandle.GetTagAuthenticationServerTypes(), true) == 0)
{
authServersElem = child;
break;
}
}
if (authServersElem != null)
{
int count = authServersElem.getNumChildren();
string[] authTypes = new string[count];
bool authAdded = false;
string msg = "Input Filter:: The SelectAccess authentication
method with "
+ "which the client is required to authenticate with:";
for (int j=0; j<count; j++)
{
EnforcerXMLTree child = authServersElem.getChild(j);
string childName = child.getName();
if (childName != null &&
String.Compare(childName,
valHandle.GetTagAuthenticationMethod(), true) == 0)
{
authTypes[j] = (string)child.getStringValue();
msg = msg + "\n" + authTypes[j];
authAdded = true;
}
}//for
if (authAdded)
{
// log
第5章
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
HttpContext.Current.Items.Add(Helper.AUTHENTICATIONTYPES,
authTypes);
}
else
{
string mesg = "Input Filter:: The validator authentication
methods will "
+ "not be added to the WS-Policy in the SOAP response.";
valHandle.EnforcerLogMsg(valHandle.GetWarningLogType(),
mesg);
}
}
else
{
// log
string msg = "Input Filter:: <"
+valHandle.GetTagAuthenticationServerTypes()
+ "> was not found in the validator reply. WS-Policy in the
SOAP "
+ "response will not be set.";
valHandle.EnforcerLogMsg(valHandle.GetWarningLogType(), msg);
}
} //SetWSPolicy
SOAP 出力のフィルタリング
InputFilter が要求を処理し、 .NetWeb サービスへのアクセスを許可した後、 OutputFilter
によって、 HTTP 応答への Cookie の追加、 SOAP メッセージの暗号化および署名が行われます。
OutputFilter クラスは ProcessMessage() メソッドをオーバーライドして、 SOAP 応答を
フィルタリングします。 141 ページの「SOAP 出力のフィルタリング」に、 ProcessMessage()
のコードを示します。
通常、 ProcessMessage() メソッドは SSO の nonce を SOAP ヘッダーおよび HTTP ヘッダーに
追加します。 142 ページの「SOAP ヘッダーへの nonce の追加」に示すように、
AddValidatorCookie() メソッドが HttpContext の nonce を抽出して SOAP ヘッダーに挿入
します。その後、 SOAP 応答メッセージの暗号化と署名が行われます。
SOAP エラーが発生したと ProcessMessage() メソッドが判断した場合、このメソッドは 143
ページの「SOAP 応答への認証ヒントの追加」に示す HandleFault() メソッドを呼び出し、
InputFilter の処理中に HttpContext に追加された認証ヒントをコピーします。
public override void ProcessMessage(SoapEnvelope envelope)
{
EnforcerCOMHandle valHandle = Helper.GetEnforcerCOMHandle();
if (valHandle != null)
{
XmlElement bodyElem = envelope.Body;
XmlDocument doc = bodyElem.OwnerDocument;
// check if the SOAP Response contains a SOAP Fault
セキュリティサービスのカスタマイズ : Enforcer API
141
SOAP 例外を
確認します
例外が発生して
いない場合は
nonce を追加して
メッセージを暗号
化 / 署名します
Policy Validator
への有効な
ハンドルを取得
できませんでした
XmlNodeList nodelist =
envelope.GetElementsByTagName(Helper.SOAP_FAULT,
Helper.SOAP_NS);
nodelist = doc.GetElementsByTagName(Helper.SOAP_FAULT,
Helper.SOAP_NS);
if (nodelist != null && nodelist.Count>0)
{
HandleFault(envelope, nodelist, valHandle);
// HandleFault calls SignResponseMessage
EncryptResponseMessage(envelope.Context, valHandle, false);
}
else
{
AddValidatorCookie(envelope, valHandle);
SignResponseMessage(envelope.Context, null, valHandle);
EncryptResponseMessage(envelope.Context, valHandle, true);
}
}
else
{
string mesg = "Output Filter:: Validator Handle is Null, sending
faultcode: "
+Helper.FC_SERVER_UNABLETOAUTHENTICATE;
valHandle.EnforcerLogMsg(valHandle.GetErrorLogType(), mesg);
SoapException se =
Helper.ConstructException(Helper.FC_SERVER_UNABLETOAUTHENTICATE,
Helper.BALT_NS, Helper.SERVERFAULTSTRING);
throw se;
}
} //processMessage
SOAP ヘッダーへの nonce の追加
InputFilter によって、 SSO の nonce が HttpContext に追加されている場合があります。
OutputFilter は、 AddValidatorCookie() メソッドを使用して、 HttpContext から nonce
を抽出し、ヘッダーとして SOAP 応答に追加します。 AddValidatorCookie() およびヘルパー
メソッドである AddValidatorCookieToSoap() メソッドを次に示します。
Policy Validator
の nonce を
HTTP ヘッダー
に追加します
142
public void AddValidatorCookie(SoapEnvelope envelope, EnforcerCOMHandle
valHandle)
{
// check if we need to send a validator nonce to the client
string nonce = (string)
HttpContext.Current.Items[Helper.SACLIENTCOOKIE];
if (nonce != null)
{
HttpCookie cookie = new HttpCookie
(valHandle.GetDefaultCookieName(),nonce);
HttpContext.Current.Response.Cookies.Add(cookie);
第5章
AddValidatorCookieToSoap(envelope, nonce, valHandle);
string msg = "Output Filter:: Sending validator nonce to the Web
service "
+ " client:\n" + nonce;
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
}
else
{
string msg = "Output Filter:: The validator nonce was not
found.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
}
} //SendValidatorCookie
public void AddValidatorCookieToSoap
(
SoapEnvelope envelope,
string nonce,
EnforcerCOMHandle valHandle
)
{
XmlElement header = envelope.CreateHeader();
XmlDocument document = header.OwnerDocument;
nonce を新しい
XmlNode baltNonce = document.CreateNode(XmlNodeType.Element,
SOAP ヘッダー
Helper.BALT_NS_PREFIX,
に追加します
valHandle.GetDefaultCookieName(),
Helper.BALT_NS);
baltNonce.InnerText = nonce;
header.AppendChild(baltNonce);
}//AddValidatorCookieToSoap
SOAP 応答への認証ヒントの追加
SOAP エラーが発生する場合、複数の原因が考えられます。たとえば、 InputFilter がアイデン
ティティを認証できなかった可能性があります。この場合、 HandleFault() メソッドにより、
InputFilter が HttpContext に追加したすべての認証ヒントが抽出され、 SOAP エンベロー
プにコピーされます。
public void HandleFault
(
SoapEnvelope envelope,
XmlNodeList nodelist,
EnforcerCOMHandle valHandle
)
{
string mesg = "Output Filter:: The Web Service or a Web Service
filter is "
+ "sending a fault.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), mesg);
セキュリティサービスのカスタマイズ : Enforcer API
143
SOAP エラーが
発生しているか
どうかを
確認します
エラーの詳細を
取得します
エラーコードが
ログインの失敗
と関連している
かどうかを
確認します
// will contain only one fault element
XmlNode faultNode = nodelist[0];
XmlNodeList faultList = faultNode.ChildNodes;
if (faultList != null)
{
string faultCode = null;
string faultString = null;
string faultDetail = null;
string msg = "Output Filter::";
for (int i=0; i<faultList.Count; i++)
{
XmlNode child = faultList[i];
if (String.Compare(child.LocalName, Helper.SOAP_FAULTCODE,
true) == 0)
{
faultCode = child.InnerText;
msg = msg + "\n" +"The FaultCode is: "+faultCode;
}
else if
(String.Compare(child.LocalName,Helper.SOAP_FAULTSTRING,true) == 0)
{
faultString = child.InnerText;
msg = msg + "\n" +"The FaultString is: "+faultString;
}
else if
(String.Compare(child.LocalName,Helper.SOAP_FAULTDETAIL,true) == 0)
{
faultDetail = child.InnerText;
msg = msg + "\n" +"The FaultDetail is: "+faultDetail;
}
}
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
if (faultCode != null)
{
int index = faultCode.IndexOf(":");
string code = faultCode.Substring(index+1,
faultCode.Length-(index+1));
if (String.Compare(code,
Helper.FC_CLIENT_FAILEDAUTHENTICATION, true) == 0)
{
msg = "Output Filter::The Web Service client could not be
"
+ "authenticated, WS-Policy will be added to the SOAP
response.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(),
msg);
string[] authTypes =
(string[])HttpContext.Current.Items[Helper.AUTHENTICATIONTYPES];
144
第5章
認証ヒントが
存在するかどう
かを確認します
ログインタイプ
のリストを
SOAP ヘッダー
に追加します
if (authTypes != null)
{
int total = authTypes.GetUpperBound(0);
if (total >= 0)
{
bool signPolicy = false;
int sign = valHandle.GetEnableSOAPSigning();
if (sign > 0)
{
signPolicy = false;
}
AddSignedPolicyHeader(envelope,authTypes,signPolicy,valHandle);
msg = "Output Filter:: WS-Policy added to the SOAP
response.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(), msg);
}
}
利用可能な
else
認証ヒントが
存在しません
{
SignResponseMessage(envelope.Context, null,
valHandle);
msg = "Output Filter:: Failed to add WS-Policy to the
SOAP "
+ "response. The authentication method required
for client "
+ "authentication is not known.";
valHandle.EnforcerLogMsg(valHandle.GetWarningLogType(), msg);
}
}
ログイン以外の
else
エラーが
確認されました
{
SignResponseMessage(envelope.Context, null, valHandle);
msg = "Output Filter:: The faultcode is not recognized.
WS-Policy "
+ "will not be added to the SOAP response.";
valHandle.EnforcerLogMsg(valHandle.GetDebugLogType(),
msg);
}
}
} //faultList != null
} //HandleFault
セキュリティサービスのカスタマイズ : Enforcer API
145
WSE Enforcer プラグインの作成
WSE Enforcer プラグインを作成するには、まず、 Enforcer COM の DLL がシステムにインストー
ルされていること、および、プロジェクトが DLL への参照を含んでいることを確認する必要があ
ります。 Web サービスフィルタは、 Enforcer COM API を使用して、 Policy Validator に接続します。
Select Access がインストールされているコンピュータには、Enforcer COM の DLL はすでにインス
トールされています。それ以外の場合は、オペレーティングシステムに enforcer32d.dll を
登録する必要があります。次のコマンドを実行してください。
C:\>regsvr32 /s "<SA_Install_Directory>\bin\enforcer32.dll"
サイト固有データの組み込み
カスタムプラグインを作成し、サイト固有のデータを XML クエリに追加することができます。
3 種類の Web サーバーすべての site_data プラグインのサンプルについては、
\source\server_plugins を参照してください。各サンプルには、カスタムプラグインを使
用して時間データを抽出する方法が示されています。
Policy Validator クエリにサイトのデータを挿入する方法
サーバーがサンプルプラグインをロードする際、 Enforcer プラグインが Policy Validator に送信す
る各要求に、 site_data と呼ばれる XML クエリ要素が組み込まれます。この要素の出力は、次
に示すように、各 Enforcer プラグインによって異なります。
•
Apache 2 Enforcer プラグインの場合 : apache time is <time>
•
IIS Enforcer プラグインの場合 : IIS_Sample Plugin, Adding Header :
•
Sun ONE Web Server Enforcer プラグインの場合 : iplanet time is <time>
site_data
site_data プラグインは、ヘッダーを挿入することにより、 Enforcer プラグインが要求を処理す
る前に実行されます。 Web サーバーは時間のデータをクライアントに送信します。
site_data プラグインをロードするには
1
次の呼び出しを組み込みます。
•
Apache Web サーバーの場合 :
ap_table_add(r->notes, "site_data", "value")
•
IIS Web サーバーの場合 :
pHeaders->AddHeader(pFC, "site_data", "value")
pFC は HTTP_FILTER_CONTEXT へのポインタを示します。
•
Sun ONE (iPlanet) Web サーバーの場合 :
pblock_nvinsert("site_data", "value", rq->vars)
2
146
必要に応じて各 Web サーバー固有の site_data プラグインをロードし実行するようにサー
バーを設定します。
第5章
•
Apache Web サーバーの場合 : enforcer_module 行の直後に次のステートメントを追加
します。
LoadModule site_data_module "<path_to_site_data_plugin>"
•
IIS Web サーバーの場合 : コンソールを使用して、 IIS Enforcer プラグインの前の呼び出し
チェーンに site_data プラグインを追加します。
•
Sun ONE (iPlanet) Web サーバーの場合 : 必要に応じて、次の行を各設定ファイルに追加し
ます。
Obj.conf: enforcer_check 行の前に次の行を追加します。
PathCheck fn="add_site_data"
Magnus.conf: 次の 2 行を追加します。
Init fn="load-modules" shlib="path_to_plugin"
funcs="add_site_data"
これにより、 Enforcer プラグインで通常はサポートされないデータが抽出され、 Policy
Validator に転送されるため、さらに詳細な処理を行うことが可能になります。
セキュリティサービスのカスタマイズ : Enforcer API
147
148
第5章
6 個別化属性の使用 : Personalization API
Select Access では、 Enforcer プラグインがアイデンティティの個別化データを提供します。個別化
データは、アクセス制御以外の目的にも使用されるアイデンティティ属性です。この章では、Select
Access を設定して個別化をサポートする方法、 Policy Validator が個別化属性を Enforcer プラグイ
ンに提供する仕組み、および Enforcer プラグインがこうした情報をアプリケーションで利用可能
にする仕組みについて説明します。
個別化を使用するには、 Policy Builder によって設定を有効にする必要があります。詳細は、『HP
OpenView Select Access 6.2 Policy Builder ガイド』を参照してください。
この章の概要
この章では、個別化および Personalization API の機能の詳細と、この機能を使用し、業務上のニー
ズに合わせてデータを操作する方法について説明します。
•
Personalization API について (149 ページ )
•
Policy Validator での個別化のサポート (150 ページ )
•
Enforcer プラグインでの個別化のサポート (150 ページ )
•
各種リソースからの個別化データの利用 (154 ページ )
Personalization API について
Personalization API は、本質的にメソッドのライブラリではありません。これは、 Policy Builder、
Validator API、および Enforcer API の連携によって提供される機能です。 Enforcer プラグインと
Policy Validator は XML を使用して通信を行うため、 Policy Validator は、追加のアイデンティティ
データを含む、ほぼすべての情報を Enforcer プラグインに渡すことができます。
この個別化データは、専用の XML プロパティリストで送信され、 Policy Validator の XML 応答に
含まれます。プロパティリストは定数 ENFORCER_P13NINFO によって識別され、文字列
“personalization” として定義されます。属性は、個別化プロパティリスト内のプロパティと
してエンコードされた URL です。属性のプロパティ名は、 Policy Builder の設定によって決まりま
す ( 後述の説明を参照 )。次のサンプルに、個別化プロパティリストおよび個別化プロパティを示
します。
<PolicyValidatorReply>
<PROPERTY NAME="queryID">2</PROPERTY>
<PROPERTY NAME="authenticated_dn">cn=john doe,ou=users,dc=hp,dc=com
</PROPERTY>
アイデンティティ
属性
<PROPERTYLIST NAME="personalization">
149
<PROPERTY NAME="email">steve$40hp%2Ecom</PROPERTY>
<PROPERTY NAME="cname">Steve%20Kotsopoulos</PROPERTY>
<PROPERTY NAME="user">
cn%3Djohn%20doe%2Cou%3Dusers%2C%2Cdc%3Dhp%2Cdc%3Dcom
</PROPERTY>
<PROPERTY NAME="groups">users,grinders</PROPERTY>
</PROPERTYLIST>
... Federation サーバーのプロパティ ...
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PolicyValidatorReply>
Policy Validator での個別化のサポート
Enforcer プラグインが個別化属性を受け取るには、 Policy Validator の認証プラグインによって
XML 応答に個別化プロパティリストが組み込まれている必要があります。
認証プラグインがアイデンティティの認証を行った後、認証プラグインは Validator API のメソッ
ドである handleUserInfo() を呼び出して、アイデンティティを UserCache に追加します。
また、このメソッドは現在の Select Auth ノードの個別化属性を抽出し、個別化プロパティリスト
に組み込みます。このメソッドを呼び出す認証プラグインは、これらの手順のみで、個別化をサ
ポートできるようになります。 handleUserInfo() メソッドの詳細は、 64 ページの「アイデン
ティティの認証」を参照してください。
Enforcer プラグインでの個別化のサポート
Enforcer プラグインがリソースへのアクセスの承認を要求した場合、 Policy Validator は、アイデン
ティティの認証が成功した時点で個別化データを提供します。個別化属性は、 Policy Validator プ
ラグイン応答内の専用のプロパティリストに記載されます。
Enforcer プラグインは Policy Validator の応答から個別化属性を抽出し、ローカル環境に配置しま
す。これにより、サーブレットや CGI プログラムなどのアプリケーションにおいて、アイデン
ティティの属性を利用して表示をカスタマイズすることが可能になります。
保護対象のサーバーの種類によっては、個別化データが異なった場所に格納される場合がありま
す。 Web サーバーでは、 HTTP 要求のヘッダーが設定され、そこに環境変数も組み込まれます。
サーブレットでは、 HashMap が要求オブジェクトに追加されます。他のアプリケーションでは、
属性が外部環境に公開される可能性があります。
Apache 2 Enforcer プラグインなどで HTTP ヘッダーを使用した個別化をサポートする場合、
Enforcer プラグインは個別化ヘッダーが偽装されていないか確認する必要があります。HTTP 要求
内に個別化ヘッダーが含まれている場合、その要求は拒否されます。これにより、 HTTP 要求に
偽装された個別化属性が組み込まれることを防ぎます。
たとえば、 Enforcer プラグインが、 Select Access の個別化プレフィックス (SA) を使用して環境変
数を設定した場合、要求の処理を開始する前に SA で始まるすべての変数をスキャンする必要があ
ります。サーブレットでは、 HTTP 要求のヘッダーから個別化データを削除する必要があります。
個別化の変数を初期化し、個別化属性が無許可で組み込まれることを防ぎます。
150
第6章
このセクションでは、第 4 章、「認証方式と認証ルールのカスタマイズ : Validator API」の Enforcer
プラグインの例を使用して、 Enforcer プラグインでの個別化のサポートについて説明します。
サーブレット Enforcer プラグインの例
Policy Validator 要求を作成する前に、サーブレット Enforcer プラグインは個別化の HashMap を初
期化します。次のコード例は、この方法を示しています。
個別化プロパティリストは、定数 ENFORCER_P13NINFO によって識別されます。個別化データ
へのアクセス方法は、 Policy Validator 応答内のそれ以外のプロパティリストへのアクセスと同様
です。
public ServletTransaction
(
HttpServletRequest request,
HttpServletResponse response,
String serverName,
Enforcer enforcer
) throws EnforcerException {
... 親コンストラクタの呼び出し ...
... Policy Validator 要求の作成 ...
// initialize personalization map
m_request.removeAttribute(SA_PERSONALIZATION);
m_p13nMap = new HashMap();
m_request.setAttribute(SA_PERSONALIZATION, m_p13nMap);
}
サーブレット HTTP ヘッダーへの個別化データの追加
個別化のマップを初期化した後、サーブレット Enforcer プラグインは Policy Validator へのクエリ
を行います。アクセスが許可された場合は、個別化属性を抽出して HashMap 内に組み込みます。
応答からアイデン
ティティデータ
のプロパティ
リストを
抽出します
/**
* sets personalization data, by walking through the ENFORCER_P13NINFO
nested
* propertylist in the XML reply, and calling application-specific code
to
* actually set each personalization name/value pair
*
*/
public void setPersonalization() throws EnforcerException {
XmlElement p13nXml = m_reply.getChild(
DataStrings.ENFORCER_P13NINFO);
if (p13nXml == null) {
return;
}
個別化属性の使用 : Personalization API
151
if (! (p13nXml instanceof PropertyListElement)) {
logError("personalization data exists, but is not a property
list");
return;
}
PropertyListElement p13nList = (PropertyListElement)p13nXml;
try {
Enumeration e = p13nList.getPropertyValues();
while (e.hasMoreElements()) {
XmlElement child = (XmlElement)e.nextElement();
String name = child.getName();
String value = child.getText();
value = URLDecoder.decode(value, "UTF8");
setPersonalization(name, value);
}
}
catch (UnsupportedEncodingException e) {
throw new EnforcerException("failed to translate personalization
data", e);
}
プロパティリスト
からアイデンティ
ティ属性を
抽出します
}
/**
* Set personalization data by walking through the ENFORCER_P13NINFO
nested
* propertylist in the XML reply, and calling application-specific code
to
* actually set each personalization name/value pair.
*/
protected void setPersonalization(String name, String value) {
m_p13nMap.put(name, value);
}
Apache Enforcer プラグインの例
Policy Validator 要求を作成する前に、 Apache 2 Enforcer プラグインは Select Access の個別化プレ
フィックスを含む HTTP ヘッダーを検索します。要求に個別化ヘッダーが含まれている場合、そ
の要求を拒否します。次の例は、個別化 HTTP ヘッダーの検索方法を示しています。
/*
* make sure client isn't trying to inject their own personalization
headers
*/
static int suspicious_headers(request_rec *r){
char *p;
ap_table_do(sanitize_request_headers, r, r->headers_in, NULL);
if ((p = (char *) ap_table_get(r->notes, ENFORCER_P13NPREFIX)) !=
NULL) {
152
第6章
return 1;
}
return 0;
}
/*
* check for bad http request headers
* callback for ap_table_do
*/
static int sanitize_request_headers(void *data, const char *key, const
char *val){
request_rec *r = (request_rec*) data;
HTTP ヘッダー
内のアイデン
if (strncasecmp(key, ENFORCER_P13NPREFIX,
ティティデータ
strlen(ENFORCER_P13NPREFIX)) == 0) {
を検索します
EnforcerLog(ENFORCER_LOG_WARNING,
">#<rejecting suspicious header '%s=%s' for url %s", key, val,
r->uri);
ap_table_add(r->notes, ENFORCER_P13NPREFIX, key);
return 0;
}
return TRUE;
}
環境へのエクスポート
アイデンティティの要求内で個別化ヘッダーが検索されなかった場合、 Apache 2 Enforcer プラグ
インは Policy Validator へのクエリを実行します。アクセスが許可された場合、個別化属性を抽出
し、該当する HTTP ヘッダーおよび環境変数に組み込みます。
個別化プロパティリストが定数 ENFORCER_P13NINFO によって識別される点に注意してくださ
い。個別化データへのアクセス方法は、 Policy Validator 応答内のそれ以外のプロパティリストへ
のアクセスと同様です。
応答からアイデン
ティティデータ
のプロパティ
リストを
抽出します
プロパティ
リストから
各属性を
抽出します
/*
* personalization support: export the user info as environment variables
*/
void EnforcerSetenv(XMLnode reply, request_rec *r){
XMLnode tempNode = NULL;
char empty = '\0';
int nVarCount, i;
XmlTreeNode * info = reply->getChild(ENFORCER_P13NINFO);
if (! info) {
return;
}
nVarCount = info->getNumChildren();
for (i=0; i<nVarCount;i++) {
tempNode = info->getChild(i);
auto_free<char> name(SYS_STRDUP(tempNode->getName()));
const char * value = tempNode->getStringValue();
if (name == NULL) {
個別化属性の使用 : Personalization API
153
continue;
} else {
// convert variable name to upper case
unsigned int j;
for (j=0; j < strlen(name.get()); j++) {
if (isalpha((int) name[j])) {
name[j] = (char) toupper(name[j]);
}
}
}
if (value == NULL) {
value = ∅
}
ApacheSetenv(name.get(), value, r);
}
アイデンティ
ティデータを
HTTP ヘッダー
および環境変数
に追加します
}
/*
* Apache-specific way of exporting environment variables
*/
void ApacheSetenv(char *name, const char *val, request_rec *r){
// add the variables to the request header, which also sets
environment variable
if(EnforcerGetP13Ncompat(Enforcer_Handle)) {
ap_table_add(r->headers_in, name, (char*) val);
} else {
int str_len = strlen(name) + strlen(ENFORCER_P13NPREFIX) +1;
auto_free<char> secure_name((char*) malloc(str_len));
snprintf(secure_name.get(), str_len, "%s%s", ENFORCER_P13NPREFIX,
name);
ap_table_add(r->headers_in, secure_name.get(), (char*) val);
}
// EnforcerLog(ENFORCER_LOG_DEBUG, "Setenv %s=%s", name, val);
// ap_table_add(r->subprocess_env, name, (char*) val);
}
各種リソースからの個別化データの利用
このセクションでは、環境変数を抽出し、設定を表示するコードを紹介します。取り上げるコー
ド例は、 CGI、サーブレット、 COM をはじめとする一般的なサーバー環境を表示します。コード
例で対象となっているのは、現在の環境に関する表示のみです。抽出された個別化データを基に
して、カスタマイズされた表示を実行するのはアプリケーションの役割です。
154
第6章
UNIX 環境変数の表示
この例では、サーバー側のインクルードを使用して、利用可能なすべての環境変数の名前と値を
表示する CGI (Common Gateway Interface) プログラムを実行します。設定済みの Apache 2 Enforcer
プラグインを配置し、次のコマンドを使用して CGI Perl スクリプトを呼び出します。

次のスクリプトが、 Perl での環境変数を表示します。
#!/usr/bin/perl
# Adjust the above line to find perl on your system
#
#
#
#
test-env.cgi Copyright 1995 by David Efflandt [email protected]
May be freely distributed and modified.
Author is not responsible for its use.
Note: Variable list will differ if run locally from UNIX
# Print content-type for HTTP/1.0 compatibility
print "Content-type: text/html\n\n";
# Print title and initial heading
print "<Head><Title>Environment</Title></Head>\n";
print "<Body><H1>List of all Environmental Variables</H1><HR>\n";
# Sort and print all environmental variables
foreach $key (sort keys(%ENV)) {print "$key = $ENV{$key}<p>\n";}
# Resolve REMOTE_HOST into name
$ip_address = $ENV{'REMOTE_ADDR'};
@numbers = split(/\./, $ip_address);
$ip_number = pack("C4", @numbers);
($name) = (gethostbyaddr($ip_number, 2))[0];
if (defined $name) {print "<HR>REMOTE_HOST resolves to: $name";}
# Print closing to point to your home page
print "<HR><P>\n";
print 'Return to my <A HREF=".">home page</A>.<P></BODY>';
exit;
サーブレットからの HTTP ヘッダーの表示
次のコード例に示す ServletEnvPrint クラスは、 Select Access の個別化属性をはじめとする
サーブレットのパラメータを抽出します。 ServletEnvPrint は、 HttpServletRequest クラ
スからすべての要求の属性を抽出し、抽出した属性の名前と値を表示します。属性が文字列でな
い場合、サーブレットはその属性を Java クラス名によって示します。 Policy Validator によって挿
入される POST データおよび個別化属性については、例に示すように、 HttpServletRequest
に格納されている名前と値のペアのマッピングが反復的に実行されます。
import java.util.*;
個別化属性の使用 : Personalization API
155
設定の
プロパティを
表示します
すべての属性の
名前と値を
表示します
156
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class ServletEnvPrint extends HttpServlet
{
public void init(ServletConfig config)
throws ServletException
{
m_config = config;
}
public void doPost(HttpServletRequest req, HttpServletResponse
res)
throws ServletException, IOException
{
doGet(req, res);
}
public void doGet(HttpServletRequest req, HttpServletResponse
res)
throws ServletException, IOException
{
m_count += 1;
res.setContentType("text/html; charset=UTF-8");
PrintWriter out = res.getWriter();
out.println("<html>");
out.println("<head><title>Servlet Environment</title>
</head>");
out.println("<body><h1>Servlet Environment</h1></body>");
out.println("<h2>Configuration Parameters</h2>");
out.println("<table>");
Enumeration enum = m_config.getInitParameterNames();
while (enum.hasMoreElements()) {
String name = (String)enum.nextElement();
String value = m_config.getInitParameter(name);
out.println("<tr><td>" + name + "</td><td>=</td><td>"
+ value + "</td></tr>");
}
out.println("</table>");
out.println("<h2>Request Attributes</h2>");
out.println("<table>");
enum = req.getAttributeNames();
while (enum.hasMoreElements()) {
String name = (String)enum.nextElement();
Object value = req.getAttribute(name);
if (value == null) {
out.println("<tr><td>" + name
+ "</td> <td>=</td><td>-NULL-</td></tr>");
}
else if (value instanceof String) {
第6章
out.println("<tr><td>" + name + "</td> <td>=</td><td>"
+ value + "</td></tr>");
}
else {
String className = value.getClass().getName();
out.println("<tr><td>" + name + "</td> <td>=
</td><td><b><em>"
+ className + "</em></b></td></tr>");
}
文字列以外の
オブジェクトに
ついてはクラス
名を表示します
}
out.println("</table>");
out.println("<h2>Post Data Attributes</h2>");
Map mm = (Map)req.getAttribute("SA_PostData");
if (mm == null) {
out.println("<tr><td>no data</td></tr>");
}
else {
for (Iterator it=mm.keySet().iterator(); it.hasNext(); ) {
String name = (String)it.next();
String value = (String)mm.get(name);
out.println("<tr><td>" + name + "</td> <td>" + value
+ "</td></tr>");
}
}
out.println("</table>");
out.println("<h2>Personalization</h2>");
out.println("<table>");
Map m = (Map)req.getAttribute("SA_Personalization");
if (m == null) {
out.println("<tr><td>no data</td></tr>");
}
else {
for (Iterator it=m.keySet().iterator(); it.hasNext(); ) {
String name = (String)it.next();
String value = (String)m.get(name);
out.println("<tr><td>" + name + "</td><td>" + value +
"</td></tr>");
}
}
out.println("</table>");
out.println("</html>");
Select Access の
POST データを
検索して
表示します
アイデンティ
ティ属性を検索
して表示します
}
protected ServletConfig m_config;
protected int m_count = 0;
}
個別化属性の使用 : Personalization API
157
Visual Basic を使用したサーバー変数の表示
次の例は、 Visual Basic を使用して、個別化属性を ASP (Active Server Page) から表示しています。
<%@ Language=VBScript %>
<html>
<body>
<table>
<%
For Each elem In Request.ServerVariables
Response.Write "<tr><td>"
Response.Write "<b>" & elem & "=</b>" & _
Request.ServerVariables(elem)
Response.Write "</td></tr>"
Next
%></table>
</body>
</html>
158
第6章
7 マルチリソースへのクエリ : Policy API
Select Access では、 Enforcer プラグインが Policy Validator にクエリを行い、各種のリソースを利用
することができます。 Policy API は、 Enforcer API が拡張されたものです。 Policy API には、マル
チリソースの要求を含んだクエリの作成および処理を簡素化するメソッドが組み込まれていま
す。この章では、マルチリソースの要求を行う方法について説明します。
この章の概要
この章では、マルチリソースへのクエリと Policy API の詳細、およびこの機能をサポートするた
めにコンポーネントをプログラムする方法について説明します。
•
159 ページの「アクセス制御について」
•
160 ページの「XML と Policy API について」
•
162 ページの「Java Policy API の使用」
•
163 ページの「C/C++ Policy API の使用」
•
163 ページの「COM Policy API の使用」
アクセス制御について
リソースへの無許可のアクセスを防止することは、アクセス制御の主要な役割と見なされていま
す。アクセス制御には見落とされがちなもう 1 つの側面があり、それはリソースの存在自体をア
イデンティティに知らせないことです。たとえば、一部のメニューオプションへのアクセスしか
許可されていないアイデンティティに対して、メニューオプションの一覧を表示すべきではあり
ません。
実効性のあるインターフェイスを作成するには、リソースを選択するメニューオプションの作成
以前に、アイデンティティがリソースへのアクセスを許可されているかどうかを確認する必要が
あります。多くの場合、メニューには複数の項目が含まれるため、リソースのリストを持つ Policy
Validator にクエリを行う必要があります。
159
XML と Policy API について
Select Access は、リソースの承認に関して、 Policy Validator へクエリを行うメソッドを提供して
います。まず、専用のプロパティリストを XML 要求に追加し、 Policy Validator に送信します。
このプロパティリストは、定数 MULTIPLERESOURCELIST によって識別され、文字列
“multipleResourceList” として定義されます。マルチリソースのプロパティリストには、 1
つ以上のリソースが記載されており、各リソースは、リソースプロパティリストによって識別
されます。リソースプロパティリストは、定数 ENFORCER_RESOURCE によって識別され、文字
列 “resource” として定義されます。リソースプロパティリストには、リソースを識別するた
めのサービスタグを組み込む必要があります。サービスタグは、標準的な
ENFORCER_SERVICE プロパティによって追加され、文字列 “service” として定義されます。
マルチリソースの要求
次のコード例は、マルチリソースを要求する場合の XML を示しています。
<PolicyValidatorQuery>
<PROPERTY NAME="queryID">67</PROPERTY>
<PROPERTY NAME="service">http://dev01.ca.hp.com:8050</PROPERTY>
<PROPERTY NAME="path">/foo</PROPERTY>
<PROPERTY NAME="user">sk</PROPERTY>
<PROPERTY NAME="password">XXXXXX</PROPERTY>
<PROPERTYLIST NAME="multiResourceList">
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/sktest/allow</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/sktest/deny/deny.html</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/sktest/auth</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/four.html</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/five.html</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/six.html</PROPERTY>
</PROPERTYLIST>
</PROPERTYLIST>
</PolicyValidatorQuery>
160
第7章
マルチリソースの応答
各リソースの評価後、 Policy Validator はマルチリソース用のプロパティリストを返します。それ
ぞれのリソースは、元のサービスプロパティおよびリソースのアクセス許可 / 拒否メッセージを
含む、各リソース用のプロパティリストに埋め込まれます。次のコード例は、マルチリソースを
要求する場合の Policy Validator 応答を示しています。各リソースの action プロパティには、
ALLOW ( 許可 ) または DENY ( 拒否 ) の値が含まれています。
<PolicyValidatorReply>
<PROPERTY NAME="queryID">67</PROPERTY>
<PROPERTYLIST NAME="multiResourceList">
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/sktest/allow</PROPERTY>
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/sktest/deny/deny.html</PROPERTY>
<PROPERTY NAME="action">DENY</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/sktest/auth</PROPERTY>
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/four.html</PROPERTY>
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/five.html</PROPERTY>
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PROPERTYLIST>
<PROPERTYLIST NAME="resource">
<PROPERTY NAME="path">/six.html</PROPERTY>
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PROPERTYLIST>
</PROPERTYLIST>
... その他のプロパティ ...
... 個別化の属性 ...
<PROPERTY NAME="action">DENY</PROPERTY>
</PolicyValidatorReply>
マルチリソースの要求を作成して応答を処理する場合、 Select Access で提供される標準的な XML
クラスを使用することが可能ですが、このセクションのコードの例では、 Java および COM
Enforcer API のマルチリソース用メソッドが使用されています。 C/C++ Enforcer API にはマルチリ
ソースの要求に対応したヘルパーメソッドが存在しないため、 C/C++ の開発者は標準的な XML
クラスを使用する必要があります。
マルチリソースへのクエリ : Policy API
161
Java Policy API の使用
次の例では、 JSP (Java Server Pages) を使用して、マルチリソースの Policy Validator 要求を作成し
ています。 JSP は要求されたリソース別に設定済みのポリシーを表示します。
<%@page contentType="text/html"%>
<%@page import="com.hp.selectaccess.util.XmlElement" %>
<%@page import="com.hp.selectaccess.enforcer.*" %>
<%@page import="java.util.*" %>
<%@page import="javax.servlet.*, javax.servlet.http.*,
javax.servlet.http.HttpUtils" %>
<%! static private Enforcer enforcer = null;
public void jspInit() {
if (enforcer == null) {
enforcer = new Enforcer(null, null, "policy_api", "jsp",
true, 1);
}
}
%>
<%
クエリを
作成します
マルチリソースを
要求に追加します
マルチ
リソースの応答を
取得します
XmlElement q = enforcer.XmlQueryInit
("http://dev01.ca.hp.com:8050",
"/foo");
q.appendPropertyValue(DataStrings.ENFORCER_USER, "sk");
q.appendPropertyValue(DataStrings.ENFORCER_PASSWD, "sksksk");
enforcer.XmlAppendMultiResource(q,"/sktest/allow");
enforcer.XmlAppendMultiResource(q,"/sktest/deny/deny.html");
enforcer.XmlAppendMultiResource(q,"/sktest/auth");
String[] resArray = {"/four.html","/five.html","/six.html"};
enforcer.XmlAppendMultiResources(q,resArray);
ValidatorResponse vr = enforcer.XmlQuerySend(q);
XmlElement xr = vr.getXmlElement();
Hashtable ht = enforcer.getMultiResourceResult(xr);
Enumeration keys = ht.keys();
String currKey = null;
%>
<html>
<head><title>JSP Page</title></head>
<body>
<h1>Basic Java PolicyAPI JSP Program for SelectAccess 6.0</h1>
<table>
<tr><th><i>Resource</i></th><th><I>Action</I></th></tr>
<%
while (keys.hasMoreElements()) {
currKey = (String)keys.nextElement(); %>
<tr><td><%= currKey %></td><td><%= ht.get(currKey) %></td></tr>
<%
} %>
162
第7章
</table>
</body>
</html>
C/C++ Policy API の使用
C/C++ Policy API にはマルチリソースの要求に対応したヘルパーメソッドが存在しないため、標
準的な XML の操作メソッドを使用して、要求の作成および応答の処理を行う必要があります。要
求の作成および応答の処理の参考として、 160 ページの「マルチリソースの要求」および「マル
チリソースの応答」を使用してください。
COM Policy API の使用
次の例では、 Visual Basic を使用して、要求にマルチリソースを含んだ Policy Validator クエリを作
成しています。この ASP (Active Server Page) には、各リソースと、そのリソースに対して設定済
みのポリシーが表示されます。
<%@ Language=VBScript %>
<% option explicit %>
<% response.Expires=-1 %>
<%
Sub Test_Multi_Resource_Query
Dim xmlTree, qresponse, response_dict
Policy
Validator クエリ
を作成します
マルチリソース
を要求に
追加します
Rem The following line initializes a new Query
Set xmlTree =
Application("EnforcerHandle").newASPQuery(
"testdriver://host.testbed.private:1025",
"/enf/web/papi/enf_web_papi_0011.asp")
Rem add some resources to the multi-resource query
xmlTree.addMultiResource("/enf/web/papi/multi-resource
cheese.jpg")
xmlTree.addMultiResource("/enf/web/papi/multi-resource
flamingo.jpg")
xmlTree.addMultiResource("/enf/web/papi/multi-resource
hippo.jpg")
xmlTree.addMultiResource("/enf/web/papi/multi-resource
rhino.jpg")
images/
images/
images/
images/
set xmlTree = addUserPassword(xmlTree)
Rem send the query to the validator and get back the result
Set qresponse = Application("EnforcerHandle").SendQuery(xmlTree)
マルチリソースへのクエリ : Policy API
163
Response.write "The response is <br><pre>" &
EscapeXML(qresponse.toString(1)) & "</pre>"
End Sub
Private Function addUserPassword(xmlTree)
Dim user_node, password_node
set user_node = xmlTree.newNode("Property")
user_node.setName("user")
user_node.setStringValue("papi_three")
xmlTree.appendChild(user_node)
set password_node = xmlTree.newNode("Property")
password_node.setName("password")
password_node.setStringValue("password")
xmlTree.appendChild(password_node)
Rem Response.write "<pre>" & EscapeXML(xmlTree.toString(1)) &
"</pre>"
Set addUserPassword = xmlTree
End Function
Private Function EscapeXML(strXMLElement)
strXMLElement = Replace(strXMLElement, "&", "&")
strXMLElement = Replace(strXMLElement, "<", "&LT")
strXMLElement = Replace(strXMLElement, ">", "&GT")
rem strXMLElement = Replace(strXMLElement, """", "&quote;")
rem strXMLElement = Replace(strXMLElement, """", "&quote;")
strXMLElement = Replace(strXMLElement, "'", "'")
EscapeXML = strXMLElement
End Function
%>
<HTML>
<HEAD>
<title>multi-resource query</title>
</HEAD>
<BODY>
Functions of the policy api tested are:<br>
<ul>
<li>IEnforcerCOMHandle.newASPQuery</li>
<li>IEnforcerCOMHandle.SendQuery</li>
<li>IEnforcerXMLTree.addMultiResource</li>
<li>IEnforcerXMLTree.toString</li>
<li>IEnforcerXMLTree.newNode</li>
<li>IEnforcerXMLTree.setName</li>
<li>IEnforcerXMLTree.setStringValue</li>
<li>IEnforcerXMLTree.appendChild</li>
</ul>
<br>
164
第7章
Tests that password managment requests are ignored for resources in
the multi-resource query The response should have a propertylist
called <i>multiResourceList</i> with four propertys called
<i>resource</i>.
The <i>path</i> of each should be to cheese, flamingo, rhino and
hippo and the
<i>action</i> should be for your policy on each.<br><br>
<% Call Test_Multi_Resource_Query %>
</BODY>
</HTML>
マルチリソースへのクエリ : Policy API
165
166
第7章
8 一時的なディレクトリプロファイル :
User API
Select Access は、ディレクトリサーバーにプロファイルを持たないアイデンティティに関して、
永続的なアイデンティティ属性を格納するための API を提供します。認証プラグインで一時的な
アイデンティティプロファイルを作成しない場合、 Policy Validator では、こうしたアイデンティ
ティに対する個別化属性は提供されません。この章では、これらのプロファイルの作成方法を説
明します。
一時アイデンティティプロファイルの詳細は、『HP OpenView Select Access 6.2 Policy Builder ガイ
ド .』を参照してください。
この章の概要
この章では、一時アイデンティティプロファイル、 User API、および認証プラグインがアイデン
ティティを認証した後にこれらのプロファイルを作成する方法を説明します。
•
User API について (167 ページ )
•
ファイル認証プラグインの例 (168 ページ )
User API について
User API は UserCache クラスによって提供されます。このクラスには、認証プラグインが一時
アイデンティティのプロファイルをディレクトリサーバーで作成するメソッドが含まれていま
す。 UserCache クラスについては、このガイドの 75 ページの「LdapConnection / User / UserSource /
UserCache」でも説明しています。 UsesrCache クラスのメソッドは、アイデンティティの永続的
なプロファイルを作成します。このエントリにはアイデンティティ属性が格納され、第 6 章、「個
別化属性の使用 : Personalization API」で説明したメソッドによってアクセスできます。
User API は、UserSource によって示された場所およびディレクトリサーバーへの書き込みアク
セスを提供します。認証プラグインは、以下に示すメソッドを呼び出し、ディレクトリにアイデ
ンティティプロファイルを作成します。
User::UserRefPtr UserCache::sCreateTemporary
(
const UserSource * userSource,
const char * subjectName,
const char * baseDn,
UserCacheAttributes & attributes
);
167
この例では、 baseDn によって識別されるフォルダに追加されるユーザーエントリを通してプロ
ファイルが作成されます。 subjectName を "CN=" に追加することにより、相対識別名が作成さ
れます。たとえば、 "John Doe" という subjectName と "dc=acme, dc=com" に設定された
baseDn を使用して sCreateTemporary() を呼び出した場合、ユーザーの LDAP エントリの
DN は "CN=John Doe, dc=acme, dc=com" になります。なお、baseDn は userSource によっ
て定義された名前空間に組み込む必要があります。
sCreatetemporary() メソッドは、 inetOrgPerson オブジェクトクラスなどの、ディレクト
リのオブジェクトをアイデンティティとして識別するために必要となるディレクトリ属性を追加
します。また、呼び出し側によって提供される属性も追加します。
sCreateTemporary() メソッドが処理を完了できなかった場合、 NULL が返されます。 LDAP
の処理が失敗する理由としては、権限レベルが低い、スキーマに違反している、サーバーが利用
できないといったものがあります。
属性の処理方法を確認するには、 UserCache.h ヘッダーの UserCacheAttributes クラスを
参照してください。 UserCacheAttributes クラスは、マッピングされたキーと値の集合です。
このクラスで最も重要なメソッドは次のメソッドです。
void UserCacheAttributes::add(const char * key, const char * value);
このメソッドは属性キーおよび属性値を追加します。UserCacheAttributes は各キーに対する
値のベクトルを格納します。そのため、同一の key を使用して add() メソッドの呼び出しを繰
り返すことにより、追加の値がキーに関連付けられます。この結果、複数の値を持つディレクト
リ属性がサポートされます。
UserCacheAttributes キーは大文字と小文字を区別することに注意してください。
UserCacheAttributes では、「CN」と「cn」は 2 つの異なる属性と見なされます。
属性のキーおよび値は、 LDAP スキーマの属性の定義に一致する必要があります。属性が無効で
ある場合、 sCreateTemporary() メソッドは失敗し、 NULL を返します。
言語固有の属性は使用しないでください。Personalization API では言語固有の属性をサポートして
いません。また、ディレクトリサーバー内の言語固有の属性により、 Policy Builder を使用して
ディレクトリのオブジェクトを管理する際に問題が発生することがあります。
ファイル認証プラグインの例
ファイルオーセンティケータは、 User API を実行するシンプルな認証プラグインです。このオー
センティケータは、パスワードファイルを使用して、アイデンティティを認証します。パスワー
ドファイルは各 Policy Validator にインストールする必要があります。
アイデンティティの認証後、プラグインはそのアイデンティティがディレクトリサーバーエント
リを所有しているかどうかを確認します。エントリが存在する場合、プラグインは、
handleUserInfo() メソッドを呼び出して、個別化データを取得し、 XML 応答を更新します。
アイデンティティがディレクトリサーバーエントリを所有していない場合、ファイルオーセン
ティケータは、パスワードファイルからアイデンティティ属性を抽出して、アイデンティティの
ディレクトリサーバーエントリを作成します。
ファイル認証プラグインを稼働環境で使用しないでください。パスワードファイルは暗号化され
ていないため、アイデンティティのパスワードは保護されません。このプラグインは説明の目的
でのみ取り上げています。
168
第8章
ファイルオーセンティケータのインストール
後続の手順は、すでにコンパイルされたプラグインを所有していることを前提にしています。コン
パイルされたプラグインを所有していない場合は、まず、プラグインを作成する必要があります。
プラグインを作成するには
1
<install directory>/source/validator/plugins ディレクトリに移動します。
2
make コマンドを実行します。 make コマンドの詳細については、 23 ページの「SDK でのサ
ンプルの作成」を参照してください。
3
FileAuthenticator.so ライブラリが作成されたことを確認します。
ファイルオーセンティケータをインストールするには、Policy Builder プラグイン、Policy Validator
プラグインをインストールする必要があります。必要に応じて HelpSet ドキュメントもインストー
ルします。また、プラグインをテストする Enforcer プラグインも必要です。
Policy Builder プラグインをインストールするには
1
メインメニューバーから [ ツール ] → [ ポリシープラグイン設定 ] の順に選択します。
2
[ 認証サービスプラグイン ] フィールドの隣にある [ 参照 ] ボタンをクリックします。
3
<install_directory>/source/Java/jar/FileAuthenticator ディレクトリを選
択します。
4
[ アップロード ] をクリックします。
Policy Validator プラグインをインストールするには
1
<install_directory>/source/validator/plugins/FileAuthenticator.so プラ
グインを <install_directory>/bin/plugins ディレクトリにコピーします。
2
Policy Validator が password.ldif ファイルのコピーにアクセスできることを確認します。
3
Policy Validator を再起動します。
4
各 Policy Validator でこの手順を繰り返します。
オンラインヘルプをインストールするには
1
Select Access のインストールディレクトリに移動します。
2
コマンド jar xf source/java/FileAuthenticator/HelpSet.jar を使用して、管理
サーバー上でヘルプファイルを展開します。
3
各管理サーバーでこの手順を繰り返します。 HelpSet はディレクトリにロードされないた
め、各管理サーバーにインストールする必要があります。
ファイルオーセンティケータの設定
ファイルオーセンティケータのインストール後、認証サーバーのインスタンスを作成して設定
し、 Select Auth に追加する必要があります。
一時的なディレクトリプロファイル : User API
169
認証サービスを作成するには
1
[ ツール ] → [ 認証サービス ] をクリックします。 [ 新しい認証サービス ] ダイアログボックスが
表示されます。
2
[ 追加 ] をクリックして、 [ 新しい認証サービス ] ダイアログボックスを表示します。ダイアロ
グボックスは、アップロード済みの認証プラグインのラジオボタンをオンの状態で表示し
ます。 Policy Builder のコンポーネントが正常にインストールされている場合、 [File
Authenticator] のオプションが表示されます。
図 14
[ 新しい認証サービス ] ダイアログボックス
3
[File Authenticator] 方式をクリックします。
4
[ サーバー名 ] を入力します。
5
[OK] をクリックすると、新しいファイルオーセンティケータサービスが作成され、設定パ
ネルが表示されます。認証プロパティを設定します。以下の項目を指定します。
•
アイデンティティデータの保存場所
•
一時アイデンティティの場所
•
パスワードファイル名
パスワードファイルは Policy Validator がインストールされているコンピュータ
上に配置されている必要があります。ファイルオーセンティケータが使用するパ
スワードファイルは LDIF (Lightweight Directory Interface Format) に適合している
必要があります。例については、 171 ページの「password.ldif エントリのサンプ
ル」を参照してください。
170
第8章
•
ログインフォーム名
ログインフォームは Enforcer プラグインがインストールされているコンピュー
タ上に配置されている必要があります。
6
認証プロパティの設定後、 User API を使用して LDAP にコピーするパスワードファイルの属
性を指定する必要があります。属性を指定するには、 [File Authenticator Service Properties] ダ
イアログの [Configure Attributes] タブをクリックします。図 15 のような [File Authenticator
Properties] ダイアログボックスが表示されます。
図 15
7
属性の設定
属性を選択し、 [OK] をクリックします。
password.ldif エントリのサンプル
次に LDIF 準拠のパスワードエントリを示します。
dn: uid=duser,ou=People, dc=cryptoknights,dc=com
givenName: Demo
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetorgperson
sn: User
cn: Demo User
uid: duser
userPassword: passw0rd
一時的なディレクトリプロファイル : User API
171
ファイルオーセンティケータの仕組み
他のすべての Policy Validator プラグインと同様、ファイル認証プラグインは、静的メソッド
init() を使用して、自身を Policy Validator に登録します。 init() メソッドは、次に示す
factory() メソッドを登録します。このメソッドは Policy Builder によって設定された XML プロ
パティを確認し、 FileAuthenticator インスタンスを作成します。以下のサンプルに示すコー
ドでは、 XML プロパティの検証、パスワードファイルの読み取り属性の確認、プラグインのイ
ンスタンスの作成、使用可能な属性の設定が実行され、パスワードファイルのエントリがアイデ
ンティティプロファイルのマップとして格納されています。
XML プロパティ
を抽出します
UserSource
および一時
ユーザーの場所を
確認します
172
// Creates an instance of the FileAuthenticator
AuthPlugin * FileAuthenticator::factory
(
const string & name,
const XmlTreeNode * props
)
{
// Must have XML properties
if (! props)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<No File Authenticator properties specified");
return NULL;
}
// Extract the XML properties
const char *transientUserLocName =
props->getChildStringValue(TRANSIENT_LOCATION_TAG);
const char * loginFormName =
props->getChildStringValue(LOGIN_FILENAME_TAG);
const char * passwordFileLocName =
props->getChildStringValue(PASSWORD_FILENAME_TAG);
const char * userSourceName = props->
getChildStringValue(USER_SOURCE_TAG);
const UserSource * userSource = NULL;
// Make sure a user source was provided
if (!sNameToUserSource(name.c_str(), userSourceName, userSource))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Could not create a valid User
Source");
return NULL;
}
// Make sure a transient user location was provided and that it is
valid
if (! transientUserLocName ||
! sValidateSyntheticUserLocation(transientUserLocName,
userSource))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
第8章
">#<FileAuthenticator: Transient location not located within
User Source");
return NULL;
ログイン
フォームの名前が
null でないことを
確認します
パスワード
フィールドが
null でないことを
確認します
パスワード
ファイルの
権限を確認します
}
// Make sure a login form was provided. There is no way to validate
the form exists
if (! loginFormName)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Could not locate the login form in the
configuration");
return NULL;
}
// Make sure a password file name was provided
if (! passwordFileLocName)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Could not locate password file in
configuration");
return NULL;
}
// Make sure we have read privileges to the file
else if (access(passwordFileLocName, 4) == -1)
{
// If the file does not exist...
if (errno == ENOENT)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: The password file %s does not
exist.",
passwordFileLocName);
}
// If we don’t have read privileges...
else if (errno == EACCES)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: The password file %s is not
readable.",
passwordFileLocName);
}
// If we encountered some other error
else
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: An unknown error occurred while
opening file %s.",
passwordFileLocName);
}
一時的なディレクトリプロファイル : User API
173
// Could not read password file, so can not try to create plugin
return NULL;
}
// Try to construct a plugin instance
FileAuthenticator * plugin = NULL;
try
{
// Make sure we can open the password file
FILE * passwordFile = NULL;
passwordFile = fopen(passwordFileLocName, "r");
if (passwordFile == NULL)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: An unknown error occurred while
opening file %s.",
passwordFileLocName);
return NULL;
}
// Create a plugin instance
plugin = new FileAuthenticator( name.c_str(), userSource,
transientUserLocName, loginFormName);
// Configure plugin instance with usermap and attribute vector
if (plugin != NULL)
{
// Extract the XML property list containing allowable
attributes
// Attributes not on this list will be ignored
const XmlTreeNode *xmlAttributeList =
props->getChild(ATTRIBUTE_PROP_LIST_TAG);
XmlTreeNodeVector xmlAttributes =
xmlAttributeList->getChildren(ATTRIBUTE_TAG);
// Init the vector of attributes this plugin will copy to the
User API
plugin->getAttributesToCopy(xmlAttributes);
// Init the map of user ID and attributes
plugin->fetchPasswordData(passwordFile);
}
}
catch (...)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_ERROR,
">#<FileAuthenticator: Could not create File Authenticator
plugin instance");
return NULL;
}
return plugin;
パスワード
ファイルを
開きます
属性のリストを
抽出して User
API に
コピーします
パスワード
ファイルから
ユーザーエントリ
を読み取ります
ファイル認証
プラグインの
インスタンスを
返します
174
}
第8章
アイデンティティの認証
FileAuthenticator::factory() メソッドは、 Policy Builder によって設定された XML プロパ
ティを使用して、 FileAuthenticator のインスタンスを作成します。 UserSource、合成アイ
デンティティ ( 一時アイデンティティ ) の場所、およびログインフォームが FileAuthenticator
のコンストラクタに渡されます。
インスタンスの作成後、 FileAuthenticator::factory() は、 getAttributesToCopy()
を呼び出して、プラグインが User API にコピーする属性名のベクトルを作成します。次に、
fetchPasswordData() を呼び出して、アイデンティティプロファイルのマップを作成します。
マップキーにはアイデンティティ名が使用されます。アイデンティティエントリは、属性名が
マップキーである属性のマップです。属性は値のベクトルです。
ファイルオーセンティケータのインスタンスの作成後、アイデンティティ認証が実行できるよ
うになります。他の多くのオーセンティケータと比較して、
FileAuthenticator::authenticate() メソッドには、それほど異なる点はありません。ま
ず、再起動コードが Policy Validator から発行されたかどうかを確認します。次に、アイデンティ
ティ名とパスワードが取得されたかどうかを確認します。取得されていない場合は、ヒントを
Enforcer プラグインに提供して、アイデンティティに対して認証情報の入力を要求するよう指示
します。結果としてアイデンティティ名とパスワードが取得できた場合、そのパスワードをアイ
デンティティマップに格納されたパスワードと照合し、アイデンティティ認証を行います。そ
れ以外の場合は、認証ヒントを応答に追加して、ログインフォームを表示します。
次の例は、上記のプロセスを示します。
R_RESTART
コードが発行
されたかどうか
を確認します
ユーザー名または
パスワードが提供
されていない
場合はログイン
フォームを
送信します
AuthPlugin::Result FileAuthenticator::authenticate
(
PropertyListElement *data,
PropertyListElement *response,
const PropertyListElement *personalizer,
const bool trace
)
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: Invoking FileAuthenticator plugin");
AuthPlugin::Result result = R_DENY;
// Determine if we already authenticated the user and Validator sent
an R_RESTART
if (isRestart(data, name_.get()))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: Authentication restart");
result = validateRestartData(data, response, personalizer);
}
// Could not find credentials, send hint to Enforcer to prompt for
uid & password
else if (!fetchData(user_, ENFORCER_USER,
ValidatorGetPostDataList(data)) ||
!fetchData(password_, ENFORCER_PASSWD,
ValidatorGetPostDataList(data)))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
一時的なディレクトリプロファイル : User API
175
"FileAuthenticator: No uid or password, sending login form");
addPasswordHint2Response(response);
}
// See if the user name and password match a record in the user map
else if (validateUser(user_, password_))
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: User authenticated");
result = R_PERMIT;
if (canCacheUser())
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: Caching user record");
bool success = true;
// User was authenticated, now see if they have an LDAP entry
if (!isUserInLdap(user_.c_str()))
{
// No LDAP entry, so try to create one
if (!addNewUserRecord(user_.c_str()))
success = false;
}
// If entry was created in LDAP, make sure the operation was
successful
if (success)
result = handleUserInfo(data, response, personalizer,
user_.c_str(),
transientUserLoc_.get());
}// end if can cache user
} // end if user authenticated
// User name not found or bad password
else
{
Logger::log(VAL_CHAN_OP, ENFORCER_LOG_DEBUG,
"FileAuthenticator: User login failed");
addInitialForm(response);
}
setResponseAction(result, response);
return result;
認証情報を
確認します
LDAP エントリが
見つからない
場合は作成します
}
authenticate() メソッドは、 isUserInLdap() を呼び出して、アイデンティティがすでにプ
ロファイルを所有しているかどうかを確認します。 LDAP でアイデンティティを検索する場合、
UserCache::sLocateByUID() メソッドが使用されます。このメソッドは各 UserSource で
ユーザー名の検索を行います。
176
第8章
既存のプロファイルの検索
アイデンティティの認証後、 authenticate() メソッドは、アイデンティティがすでにディレク
トリにプロファイルを所有しているかどうかを確認します。所有していない場合、
authenticate() メソッドは、 addNewUserRecord() メソッドを呼び出して、アイデンティ
ティの永続的なプロファイルを作成します。 addNewUserRecord() メソッドは、 User API を使
用して、アイデンティティをディレクトリサーバーに追加します。
アイデンティティがすでにディレクトリサーバープロファイルを所有している場合、または、
addNewUserRecord() によりアイデンティティのディレクトリサーバープロファイルが追加
された場合は、 handleUserInfo() メソッドが呼び出されます。
次のコード例は、上記の動作を示します。
すべてのユーザー
ソースを確認
して、ユーザーが
ディレクトリ
サーバー
エントリを所有
しているかどうか
を調べます
LDAP でユーザー
が見つかりました
bool FileAuthenticator::isUserInLdap(char * user)
{
// Search for the userId in the LDAP user locations
UserSourceVector& sources = all_user_sources();
UserRefPtr userp;
bool foundUserId = false;
// Search all the configured user sources for the user LDAP entry
for ( UserSourceVector::iterator iter = sources.begin(); iter !=
sources.end();
iter++ )
{
try
{
// Try to locate the user in the current user source
userp = UserCache::sLocateByUID(*iter, user);
if ((userp != NULL) && userp->exists() )
{
// User was found, validate that either the user record
is not
// synthetic, or that this plugin created the synthetic
entry
if
((!userp->isSynthetic())||(userp->getUserSource()==syntheticSource))
{
return true;
}
}
}
catch (EnforcerException &e)
{
if ( e.getErrorNum() != EnforcerException::E_LDAP )
{
throw e;
}
}
}
一時的なディレクトリプロファイル : User API
177
// If we get this far, the user has not been found
return false;
ユーザーが見つか
りませんでした
}
新規アイデンティティプロファイルの作成
以下のコード例で示すように、アイデンティティがディレクトリサーバープロファイルを所有し
ていないと authenticate() が判断した場合、 addNewUserRecord() を呼び出します。
addNewUserRecord() は続けて UserCache::sCreateTemporary() を呼び出して、新しいアイ
デンティティプロファイルのディレクトリエントリを作成します。なお、ディレクトリ内でのエ
ントリの識別には CN 属性が使用されます。次に示すコードでは、取得したアイデンティティ名を
CN 属性の値として使用しています。 CN 属性には複数の値が含まれることがありますが、ディレ
クトリの場所の識別に使用される値は sCreateTemporary() メソッドの 2 番目のパラメータに
なります。
合成ユーザーの
ソースを
取得します
ディレクトリ
サーバーに新しい
エントリを
追加します
178
bool FileAuthenticator::addNewUserRecord(const char * user)
{
// Get the user source where the entry will be added
const UserSource *syntheticSource = UserSource::sGetByDN
(synthetic_loc);
if ( syntheticSource == NULL )
{
Logger::log(VAL_CHAN_AUTH, ENFORCER_LOG_ERROR,
">#<Unable to find synthetic location");
return false;
}
Logger::log(VAL_CHAN_AUTH, ENFORCER_LOG_DEBUG, "Found synthetic
location");
// Get the user attributes from the attribute map
UserCacheAttributes attributes;
getAttributes(user, attributes);
// Create the user entry
userp = UserCache::sCreateTemporary(syntheticSource, user,
synthetic_loc, attributes);
// See if the entry was created
if ( userp == NULL )
{
Logger::log(VAL_CHAN_AUTH, ENFORCER_LOG_ERROR,
">#<Failed to create temporary user");
return false;
}
Logger::log(VAL_CHAN_AUTH, ENFORCER_LOG_DEBUG, "Created temporary
user %s",
userp->getDN());
return true;
}
第8章
属性の作成
ファイルオーセンティケータが LDAP でエントリを作成する場合、getAttributes() を呼び出
して、 LDAP にコピーする UserCacheAttributes を取得します。以下のコード例で示すよう
に、 getAttributes() メソッドは、 factory() メソッドで作成したアイデンティティマップ
のアイデンティティを参照します。このメソッドは、使用可能な属性のベクトルを利用して、
userCacheAttributes に追加するアイデンティティ属性を決定します。指定された属性のみが
コピーされ、それ以外のアイデンティティ属性は無視されます。
現時点では、 FileAuthenticator::getAttributes() メソッドは属性名の大文字と小文字
を区別します。パスワードファイルの属性が、 Policy Builder で使用している文字とは異なる文字
によって設定された場合、ファイルオーセンティケータはその属性を無視します。
パスワード
ファイルから読み
取られた
アイデンティティ
データを
検索します
指定された
属性のみを
追加します
アイデンティ
ティが属性を
持っているか
どうかを
確認します
複数の値を持つ
属性の場合は、
それぞれの値を
追加します
void FileAuthenticator::getAttributes(const char * user,
UserCacheAttributes & attr)
{
// Create the key to lookup the user record
string theUser = "uid=" + string(user);
attributeMap userRecord;
userMap::iterator aUser = users_.find(theUser);
// See if the user has a record, if not, user name is unknown.
if (aUser == users_.end())
{
Logger::log(VAL_CHAN_AUTH, ENFORCER_LOG_DEBUG,
"Can not locate user record in login map.");
return;
}
// If found, get the user attributes
userRecord = aUser->second;
strVector attributeValues;
// Only look for attributes that are configured to copy
for (strVector::iterator iter = attributes_.begin(); iter !=
attributes_.end();
iter++ )
{
string key = (*iter);
// See if the user has the attribute
attributeMap::iterator attribute = userRecord.find(key);
if (attribute != userRecord.end())
{
// Get the attribute values
attributeValues = attribute->second;
// Add each attribute value
for (strVector::iterator values = attributeValues.begin();
values != attributeValues.end(); values ++)
{
string value = (*values);
Logger::log(VAL_CHAN_AUTH, ENFORCER_LOG_DEBUG,
一時的なディレクトリプロファイル : User API
179
"FileAuthenticator::getAttributes() Copying %s=%s",
key.c_str(), value.c_str());
attr.add(key.c_str(), value.c_str());
}
}
}
}
180
第8章
9 Administration API
Administration API は、リソース定義、ポリシー設定、ユーザーパスワード変更を行うことのでき
るプログラミングインターフェイスを Select Access Administration Server に提供します。この章で
は、 Administration API の機能について説明します。
この章の概要
この章のトピックでは、 Administration Server、 Administration Server の API、この API の使用方法
について説明します。
•
181 ページの「Administration Server」
•
182 ページの「Administration API」
•
183 ページの「Administration API の入手」
•
183 ページの「データの種類の概要」
•
184 ページの「共通のデータの種類」
•
191 ページの「リソース固有の API」
•
198 ページの「ポリシー固有の API」
•
215 ページの「ヘルパ API」
•
215 ページの「パスワードの変更」
Administration Server
Administration Server は、 SSL の詳細と設定情報を処理します。 Select Access コンポーネントの設
定エンジンである Administration Server は、設定情報を調整するために次の処理を行います。
•
共通パラメータを収集します。
•
ポリシーストアとの間でコンポーネント設定情報の読み書きを行うために、Setup Tool から送
信される要求を処理します。
•
すべてのコンポーネントが継承する Select Access の共通パラメータを定義します。
•
Select Access コンポーネント間で設定パラメータを管理します。
Administration Server を設定すると、大部分のパラメータがローカルの XML ファイルに書き込ま
れます。これらのパラメータは、ブートストラップパラメータです。ブートストラップパラメー
タは Administration Server の起動時に必要となるため、このローカルファイルに書き込まれます。
181
Administration API
Administration API は、 Web サービスでサポートされている言語を使用して開発者が外部的にリ
ソース定義とポリシー設定を行うための、公開 WSDL をベースとした環境です。
Administration API は、主に Axis フレームワークでテストされています。
この API は、次のタスクに使用できます。
•
サービスおよびリソースエントリの追加、変更、削除
•
「許可」、「拒否」、または既存のルールを使用した、ユーザーおよびリソースのポリシー設定
の追加、変更、削除
•
ユーザーへのパスワード変更許可
Administration API は、 Web サービスで実装し、 Axis Enforcer で保護します。 Setup Tool は、
Administration API 環境と Axis Enforcer を自動的に設定します。
Web サービスへの処理要求は、まず Axis Enforcer が受け取ります。 Axis Enforcer は、 Validator か
ら「許可」応答を受け取ると Web サービスに要求を転送します。 Web サービスを経由する処理
実行要求は、すべて Administration Server により調査され、適切な権限がある場合にのみ許可さ
れます。
例外の処理
Administration API では、次の 3 種類の例外が生成されます。
•
システムエラー。ネットワークエラーや無効な SOAP メッセージなど、アプリケーションに
起因しない例外です。通常、 Web サービスフレームワークは、エラーまたは例外を返します。
たとえば、 Axis は、クライアントプログラムに soap:fault を返します。
•
未知のアプリケーション例外。 NullPointerExceptions などです。こうした例外が発生すると、
メッセージが監査システムに記録され (Web サービスチャネル、 ERROR レベル )、
java.io.RemoteException がスローされます。Axis はクライアントに soap:fault を返
します。
•
既知の例外。クライアント入力検証エラーと Administration Server が返すエラーなどです ( 「エ
ントリはすでに存在します」、ポリシー署名エラーなど )。これらの例外は、 wsdl:fault と
してクライアントに返されます。各 wsdl:fault には、エラーコードと、エラーの原因を
示す簡単なエラーメッセージがあります。
記録
Web サービス層は、ユーザーアクティビティを記録しません。ユーザーアクティビティの記録
は、 Administration Server がログインユーザー DN を使用して行います。 Web サービスへのアクセ
ス権限を持つ特定のユーザーを設定すると、Web サービスへのすべてのアクセスを追跡できます。
未知のアプリケーションエラーのみが記録されます。
Java を使用してクライアントコードを作成する場合、 JRE キーストアに SA 証明書をインポート
できます。 SA 証明書は、 <SA install folder>\Select
Access\shared\jetty\etc\certs\mcacert.cer にあります。
182
第9章
Administration API の入手
Administration API WSDL は、次の URL で入手できます。
https://host:port/axis/services/wsadmin?wsdl
<host> は Administration Server 名を表し、 <port> は Administration API ポートです。デフォルト
のポートは 9993 です。
どの Administration API 呼び出しであっても、入力パラメータが無効な場合、例外がスローされ、
「無効な引数」というメッセージが表示されます。
データの種類の概要
Administration API で使用するデータの種類の概要を次の表に示します。
表8
Administration API のデータの種類
データの種類
処理内容
関連するデータの種類
resourcePath
Policy Builder でのリソースの
パスを示します。
ネットワークリソースパス
管理リソースパス
ネットワークリソースパス
resourcePath
Policy Builder の [ リソースア
クセス ] ツリーに該当します。管理リソースパス
管理リソースパス
Policy Builder の管理アクセス
ツリーに該当します。
resourcePath
特定の範囲のリソースおよび
アイデンティティの検索に使
用します。
LdapSearchCriteria
Filter
LdapSearchCriteria
Filter
検索を絞り込むために使用し
ます。
LdapSearchCriteria
AdminFault
Administration API 呼び出しか
ら戻るエラーメッセージが格
納されます。
setUserPassword
getResource
リソースの詳細を取得します。 resourcePath
ResourceServer
LdapSearchCriteria
ネットワークリソースパス
resourcePath
setResource
searchResources
ResourceServer
Policy Builder の [ リソース
サーバー ] のサーバーに該当
します。
resourcePath
getResource
setResource
searchResources
Administration API
183
表8
Administration API のデータの種類 ( 続き )
データの種類
処理内容
関連するデータの種類
setResource
リソースを変更します。
resourcePath
getResource
ResourceServer
searchResources
searchResources
リソースのリストを検索しま
す。
LdapSearchCriteria
getPolicies
ポリシーグリッドの部分を返
します。
setPolicy
setPolicy
特定のリソースにポリシーを
設定します。
getPolicy
refreshValidators
Validator のキャッシュをクリ
アします。
getAuthServiceNames
Policy Builder で定義されたす
べての認証サービスの名前を
返します。
getRuleNames
ルール名のリストを返します。
setUserPassword
ユーザーパスワードを変更し
ます。
LdapSearchCriteria
AdminFault
共通のデータの種類
resourcePath
resourcePath ( リソースパス ) は文字列であり、スラッシュ ( 「/」 ) で区切ったパスで参照します。
例を示します。
/network/http/<localhost>/index.html
有効なリソースパスは、 /network で始まります。リソースパスの末尾にスラッシュを付ける
と ( 例 : /network/http/<localhost>/)、そのリソースパスは、次のように末尾にスラッシュが
ないものとして扱われます。
/network/http/<localhost>
リソースパスは大文字と小文字が区別されません。パス文字列の先頭および末尾のホワイトス
ペースは無視されます。次の例に、ホワイトスペースの処理例を示します。この例の「_」は、ホ
ワイトスペースを示します。
先頭または末尾のホワイトスペース : 先頭または末尾にホワイトスペースがあるパスは、ホワイ
トスペースがないパスと同じとみなされ、有効なパスとして処理されます。次に例を示します。
_/network/http/<localhost>/index.html
/network/http/<localhost>/index.html
184
第9章
Policy Builder で定義されたホワイトスペース : Policy Builder で次のようにホワイトスペースを
含むリソースを定義する場合、
/network/h_ttp/Apa_che/index_._html
Administration API では、次のどちらも有効です。
/network/h_ttp/Apa_che/index_._html
_/network/h_ttp/Apa_che/index_._html
しかし、コンポーネント内でホワイトスペースを使用すると、エラーが返されます。
/network_/h_ttp/Apa_che/index_._html
ネットワークリソースパス
ネットワークリソースパスは、 Policy Builder の [ リソースアクセス ] ツリーに該当します。
リソースツリーには、 [ リソースアクセス ] 分岐と [ 管理アクセス ] 分岐があります。どちらもロー
カライズ可能です。
ネットワークリソースパスの先頭には、ルートコンポーネントであることを表す「/network」
を使用します。リソース名は「/」で区切ります。 Policy Builder のリソースとそのパスは次のとお
りです。
/network/http/<localhost>/index.html
ネットワークリソースパスは、次のとおりです。
"/network/<folder-name>/<resource-server-name>/<resource-name>/
<sub-resource-name>"
管理リソースパス
管理リソースパスは、 Policy Builder の [ 管理アクセス ] ツリーに該当します。管理リソースパスの
先頭には、ルートコンポーネントであることを表す「/admin」を使用します。
リソースツリーには、 [ リソースアクセス ] 分岐と [ 管理アクセス ] 分岐があります。どちらもロー
カライズ可能です。
管理リソースパスには、次の従属要素があります。
•
ネットワーク管理リソースパス
•
スキーマ管理パス
•
機能管理パス
•
アイデンティティ管理パス
ネットワーク管理リソースパス
ネットワーク管理リソースパスの先頭には「/admin/network」を使用し、次のように指定し
ます。
Administration API
185
"/admin/network/<folder-name>/<resource-server-name>/<resource-name>/
<sub-resource-name>"
「/」を文字としてリソース名の中で使用することはできません。「/」は常にリソースパスの記号
として扱われます。
スキーマ管理パス
属性スキーマのエントリは Policy Builder ではオブジェクトクラス別にグループ化されますが、ス
キーマ管理パスは Policy Builder での表示とは異なります。スキーマ管理パスの先頭には、「/
admin/schema」を使用します。
属性スキーマエントリを照会するには、パス名の先頭に「/admin/schema/attribute」を使
用します。
"/admin/schema/attribute/<attribute-name>"
オブジェクトクラススキーマエントリを照会するには、パス名の先頭に「/admin/schema/
object_class」を使用します。有効なオブジェクトクラス管理パスは次のとおりです。
"/admin/schema/object_class/<object-class-name>"
機能管理パス
機能管理パスの先頭には、「/admin/functions」を使用します。有効な機能管理パスを次に示
します。
"/admin/functions/<function-name>"
<function-name> は、 Policy Builder に表示されるローカライズされた名前ではありません。各
機能には、事前に定義された名前があります。現在定義されている機能名のリストを次に示します。
authentication_service_configuration
component_configuration
identity_editor_plugin_configuration
identity_location_configuration
network_discovery
password_policy_configuration
password_reset_configuration
policy_data_signing
report_viewer
rule_builder
sub-delegation_ability
workflow_alert_template_configuration
workflow_configuration
アイデンティティ管理パス
アイデンティティ管理パスの先頭には、「/admin/identity/」を使用し、その後には実際のア
イデンティティ DN を指定します。たとえば、次のように指定します。
186
第9章
"/admin/identity/select_auth"
"/admin/identity/unknown_identities"
"/admin/identity/known_identities"
"/admin/identity/known_identities/cn=foobar,ou=HR,dc=hp,dc=com"
identityDN
identityDN は、元のディレクトリエントリの識別名により参照される文字列です。例を示します。
cn=foobar,ou=HR,dc=hp,dc=com
SelectAuth、未知のアイデンティティ、既知のアイデンティティなど、 [ アイデンティティツリー ] の
特別なアイデンティティエントリは次のように参照します。
select_auth
unknown_identities
known_identities
LdapSearchCriteria
LdapSearchCriteria は、特定の範囲のリソースおよびアイデンティティを検索するために使
用します。 LdapSearchCriteria の定義は次のとおりです。
<complexType name="LdapSearchCriteria">
<sequence>
<element name="threshold" type="int" minOccurs="0"/>
<element name="pageSize" type="int"/>
<element name="continuedID" minOccurs="0" type="string"/>
<element name="baseID" type="string"/>
<element name="scope" minOccurs="0">
<simpleType>
<annotation>
<documentation>This data type is to set the scope of
LDAP search.BASE is to search the entry only, ONE is
to search one level down, SUB is to search all
subordinates.</documentation>
</annotation>
<restriction base="string">
<enumeration value="BASE"/>
<enumeration value="ONE"/>
<enumeration value="SUB"/>
</restriction>
</simpleType>
</element>
<element name="filter" nullable="true" minOccurs="0"
type="impl:LdapSearchCriteriaFilter" />
</sequence>
</complexType>
Administration API
187
LdapSearchCriteria のパラメータ
LdapSearchCriteria のパラメータを次の表に示します。
表9
188
LdapSearchCriteria のパラメータ
必須 / 省略可
パラメータ
処理内容
threshold
threshold では、LDAP 検索省略可
で返すことのできる最大エン
トリ数を指定します。
0 ( ゼロ ) の場合、最大エント
リ数は、LDAP サーバーのサイ
ズの上限により異なります。
値
デフォルト値は 0 です。
注記 : 設定する threshold ( しきい
値 ) が小さすぎる場合、
SIZE_LIMIT_EXCEEDED 例外が
発生するおそれがあります。
pageSize
pageSize は、 Administration
API の処理で返すことのでき
る最大レコード数を定義する
ために使用します。
pageSize が 0 ( ゼロ ) の場
合、制限はありません。
省略可
デフォルト値は 0 です。これ
は、サーバーで返すことのでき
る最大のレコード数を示します。
continuedID
continuedID は、返される省略可
レコードの一部を取得すると
きに使用します。
continuedID を Null に設定
する場合、最初のページであ
ることを意味します。
continuedID をリソースツ
リーで使用する場合は値を
resourcePath に設定し、アイ
デンティティツリーで使用する
場合は値を identityDN に設定
する必要があります。
第9章
表9
LdapSearchCriteria のパラメータ ( 続き )
パラメータ
処理内容
必須 / 省略可
値
baseID
検索を開始するルート。
必須
baseID をリソースツリーで使
用する場合は値を
resourcePath に設定し、アイ
デンティティツリーで使用する
場合は値を identityDN に設定
する必要があります。
scope
検索の範囲を指定します。
省略可
有効な値は、BASE、 ONE、 SUB で
す。デフォルト値は SUB です。
filter
検索条件を指定する検索フィ
ルタ。
省略可
•
BASE を指定すると、
baseID でのみ検索が行わ
れます。
•
ONE を指定すると、
baseID の 1 レベル下のエ
ントリでのみ検索が行われ
ます。
•
SUB を指定すると、
baseID と、 baseID の下
の全レベルの全エントリで
検索が行われます。
デフォルト値は、
LdapSearchCriteriaFilter
のデフォルト値です。
詳細は、 189 ページの
「LdapSearchCriteriaFilter」を参照
してください。
ページングナビゲーションをサポートするには、クライアントで continuedID と pageSize を
指定します。最後に返されるエントリの中の isContinued フラグは、返されるエントリがまだ
あるかどうかを示します。クライアントは、次の検索でこの値を使用して次のページを取得しま
す。次のページの最初のレコードは、 continuedID の次のレコードか、 continuedID が最後の
レコードの場合は空ページです。順序は、 Select Access 内部のソートアルゴリズムにより異なり
ます。
continuedID を Null に設定する場合、最初のページであることを意味します。 pageSize 0 は、
サーバーで返すことのできる最大のレコード数を示します。
LdapSearchCriteriaFilter
LdapSearchCriteriaFilter は、検索を絞り込むために使用します。
LdapSearchCriteriaFilter の定義は次のとおりです。
<complexType name="LdapSearchCriteriaFilter">
<simpleContent>
<extension base="string">
<attribute name="type" use="optional">
<simpleType>
Administration API
189
<restriction base="string" >
<enumeration value="LDAP" />
<enumeration value="NAME" />
</restriction>
</simpleType>
</attribute>
</extension>
</simpleContent>
</complexType>
LdapSearchCriteriaFilter のパラメータ
LdapSearchCriteriaFilter のパラメータを次の表に示します。
表 10
LdapSearchCriteriaFilter のパラメータ
パラメータ
処理内容
必須 / 省略可
値
type
この属性は、検索が LDAP
ベースの検索と NAME ベー
スの検索のどちらであるかを
定義します。 LDAP タイプの
検索の場合、フィルタ値は
RFC2254 ( 「The String
Representation of LDAP Search
Filters」 ) に準拠します。
省略可
デフォルト値は LDAP です。
NAME タイプの場合、フィル
タ値は文字列で、ワイルド
カード (*) を使用できます。
190
第9章
AdminFault
AdminFault には、 Administration API 呼び出しから戻るエラーメッセージが格納されます。定義
は次のとおりです。
<complexType name="AdminFault">
<sequence>
<element name="errorCode" type="int"/>
<element name="errorMessage" nullable="true" type="string"/>
<element name="errorDetailCode" type="int"/>
<element name="errorDetailMessage" nullable="true" type="string"/>
<element name="errorObjects" nullable="true" type="string"
minOccurs="0" maxOccurs="unbounded"/>
</sequence>
</complexType>
リソース固有の API
リソース固有の API 処理は、ネットワークアクセスリソースにのみ適用されます。
getResource
getResource は、リソースの詳細を取得するために使用します。
入力
getResource は、入力として resourcePath を取ります。 resourcePath としてネットワー
クリソースパスとネットワーク管理リソースパスのみが使用できます。詳細は、 185 ページの
「ネットワークリソースパス」と 185 ページの「ネットワーク管理リソースパス」を参照してく
ださい。
出力
getResource は、エラーがない場合、 Resource のインスタンスを返します。データの種類
Resource の定義は次のとおりです。
<complexType name="Resource">
<sequence>
<element name="resourcePath" type="string"/>
<element name="type">
<simpleType>
<annotation>
<documentation>Resource type can be one of the Folder,
Service, and Resource types.</documentation>
</annotation>
<restriction base="string">
<enumeration value="Folder" />
Administration API
191
<enumeration value="Service" />
<enumeration value="Resource" />
</restriction>
</simpleType>
</element>
<element name="charSet" nullable="true" type="string"/>
<element name="server" nullable="true" type="impl:ResourceServer"
minOccurs="0" maxOccurs="unbounded"/>
<element name="continued" type="boolean"/>
</sequence>
</complexType>
getResource のパラメータ
getResource のパラメータを次の表に示します。
表 11
getResource のパラメータ
パラメータ
処理内容
必須 / 省略可値
resourcePath
返されるリソースの
resourcePath。
必須
前述の resourcePath の形
式の文字列。
type
リソースタイプ。
必須
Folder、 Service、
Resource のいずれかです。
charSet
リソースタイプが Service の
ときのみ有効。このサービスで
使用中の文字セットを示しま
す。
省略可
server
リソースタイプが Service の
ときのみ有効。データの種類
ResourceServer のインスタ
ンスです。
リソース
タイプが
Service
の場合、
必須。
192 ページの
「ResourceServer」を参照して
ください。
continued
LdapSearchCriteria で
pageSize を定義してリソース
を検索する場合にのみ使用しま
す。このパラメータは、返され
るエントリがまだあるかどうか
を示します。 true の場合、次の
ページを読み込むために、
LdapSearchCriteria で
continuedID としてこのリ
ソースの resourcePath を使
用できます。
省略可
デフォルト値は false です。
ResourceServer
ResourceServer は、 Policy Builder の [ リソースサーバー ] のサーバーに該当します。定義は次
のとおりです。
192
第9章
<complexType name="ResourceServer">
<sequence>
<element name="url" nullable="true" type="string"/>
<element name="representative" type="boolean"/>
</sequence>
</complexType>
ResourceServer のパラメータ
ResourceServer のパラメータを次の表に示します。
表 12
ResourceServer のパラメータ
パラメータ
処理内容
必須 / 省略可値
url
このリソースサーバーの
URL。
必須
representative
このサーバーが代表サーバー必須
の場合、 true です。このリ
ソースサーバーでリソース検
出を実行すると、この代表
サーバーのみがスキャンされ
ます。詳細は、『HP
OpenView Select Access 6.2
Policy Builder ガイド』を参照
してください。
Null にすることもできます。
true または false
プログラム例
プログラム例はすべて、 Axis フレームワークに基づいた Java プログラムです。
public void getResourceSample() throws Exception {
// WsadminSoapBindingStub is generated from the WSDL by Axis's
wsdl2java tool
com.hp.ov.selectaccess.adminserver.wsadmin.client.WsadminSoapBindingStub
adminApi;
// WsadminServiceLocater is generated from the WSDL by Axis's
wsdl2java tool
try {
adminApi = (com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminSoapBindingStub)
new
com.hp.ov.selectaccess.adminserver.wsadmin.client.WsadminServiceLocator
().getwsadmin();
}
catch (javax.xml.rpc.ServiceException jre) {
if(jre.getLinkedCause()!=null)
jre.getLinkedCause().printStackTrace();
Administration API
193
}
// Time out after a minute
adminApi.setTimeout(60000);
// set the credentials of Admin API call
// The user id used in the call must be delegated through Policy
Builder and has necessary permissions
adminApi.setUsername("adminApi_user_id");
adminApi.setPassword("adminApi_user_password");
// Resource is generated from the WSDL by wsdl2java
// See above for the definition of Resource
com.hp.ov.selectaccess.adminserver.wsadmin.client.Resource
value = null;
try {
value = adminApi.getResource("/network/http");
String charset = value.getCharSet();
String path = value.getResourcePath();
// ResourceType is created from WSDL by wsdl2java
ResourceType type = value.getType();
if (type.equals(ResourceType.Service)) {
ResourceServer[] servers = value.getServer();
for (int i = 0; i < servers.length; i++) {
ResourceServer server = servers[i];
String url = server.getUrl();
boolean isRepresentative = server.isRepresentative();
}
}
} catch
(com.hp.ov.selectaccess.adminserver.wsadmin.client.AdminFault e1) {
System.err.println("Error code:" + e1.getErrorCode());
System.err.println("Error message:" + e1.getErrorMessage());
}
}
setResource
setResource は、リソースを変更するために使用します。
入力
setResource は、 2 つの入力フィールドを取ります。入力の値により、結果は異なります。入力
の定義は次のとおりです。
<complexType>
<sequence>
<element name="oldResource" nullable="true" type="impl:Resource"/>
<element name="newResource" nullable="true" type="impl:Resource"/>
</sequence>
</complexType>
194
第9章
setResource の入力パラメータ
setResource の入力パラメータを次の表に示します。
表 13
setResource の入力パラメータ
パラメータ
処理内容
必須 / 省略可
値
oldResource
変更の対象となるリソースを
表すリソースインスタンス。
必須
Null にすることもできます。
newResource
変更後のリソースを表すリ
ソースインスタンス。
必須
Null にすることもできます。
setResource の動作
setResource の動作を次の表に示します。
表 14
setResource の動作
oldResource の値
newResource の値
処理内容
Null
Null
例外をスローし、引数が無効であるこ
とを示すメッセージを表示します。
Null
有効な非 Null 値
新しいリソースを作成します。
存在するリソースを
示す非 Null 値
Null
oldResource を削除します。
存在するリソースを
示す非 Null 値
有効な非 Null 値
oldResource を newResource に変
更します。
入力に渡すことのできるのは、ネットワークリソースのみです。 newResource には、有効な先
祖が必要です。たとえば、 /network/node/http を newResource として定義するには、 /
network/node がすでに存在することが必要です。
出力
setResource は、文字列を返します。返される文字列の定義は次のとおりです。
<simpleType name="ReturnString">
<restriction base="string">
<enumeration value="SUCCESS" />
<enumeration value="FAILURE" />
<enumeration value="PENDING_WORKFLOW" />
</restriction>
</simpleType>
Administration API
195
setResource の出力パラメータ
setResource の出力パラメータを次の表に示します。
表 15
setResource の出力パラメータ
パラメータ
処理内容
必須 / 省略可
値
SUCCESS
setResource が正しく実行された
ことを示します。
適用外
適用外
FAILURE
処理が失敗したことを示します。
適用外
適用外
PENDING_WORKFLOW
要求が送信されたものの、承認
待ちであることを示します。
適用外
適用外
プログラム例
新しいリソースを作成するためのプログラム例を示します。
protected void setResourceSample() {
// WsadminSoapBindingStub is created by wsdl2java
com.hp.ov.selectaccess.adminserver.wsadmin.client.WsadminSoap
BindingStub adminApi;
// WsadminServiceLocator is created by wsdl2java
try {
adminApi = (com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminSoapBindingStub)
new com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminServiceLocator().getwsadmin();
}
catch (javax.xml.rpc.ServiceException jre) {
if(jre.getLinkedCause()!=null)
jre.getLinkedCause().printStackTrace();
}
// Time out after a minute
adminApi.setTimeout(60000);
adminApi.setUsername(username);
adminApi.setPassword(password);
try {
// ReturnString is generated by wsdl2java
ReturnString value = null;
Resource resource = new Resource();
resource.setCharSet(“UTF-8”);
resource.setResourcePath(“/network/http”);
resource.setType(ResourceType.Service);
ResourceServer resourceServer = new ResourceServer();
resourceServer.setRepresentative(true);
resourceServer.setUrl(“http://localhost:80”);
resource.setServer(new ResourceServer[] { resourceServer });
value = adminApi.setResource(null, resource);
} catch (com.hp.ov.selectaccess.adminserver.wsadmin.
client.AdminFault e1) {
System.err.println(“Error:“ + e1.getErrorMessage());
196
第9章
} catch (RemoteException e) {
e.printStackTrace();
}
}
searchResources
searchResources は、リソースのリストを検索するために使用します。
入力
searchResources は、入力として LdapSearchCriteria を取ります。詳細は、 187 ページの
「LdapSearchCriteria」を参照してください。
出力
searchResources は、リソースのリストを返します。リソース API の詳細は、 191 ページの「リ
ソース固有の API」を参照してください。
プログラム例
public void searchResourcesSample() throws Exception {
// WsadminSoapBindingStub is generated by wsdl2java
com.hp.ov.selectaccess.adminserver.wsadmin.client.WsadminSoapBindingStub
adminApi;
try {
adminApi = (com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminSoapBindingStub)
new com.hp.ov.selectaccess.adminserver.wsadmin.client.
WsadminServiceLocator().getwsadmin();
}
catch (javax.xml.rpc.ServiceException jre) {
if(jre.getLinkedCause()!=null)
jre.getLinkedCause().printStackTrace();
}
// Time out after a minute
adminApi.setTimeout(60000);
adminApi.setUsername(username);
adminApi.setPassword(password);
com.hp.ov.selectaccess.adminserver.wsadmin.client.Resource[]
value = null;
try {
// LdapSearchCriteria is generated by wsdl2java
LdapSearchCriteria filter = new LdapSearchCriteria();
filter.setThreshold(new Integer(3));
filter.setBaseID("/network");
// LdapSearchCriteriaScope is generated by wsdl2java
filter.setScope(LdapSearchCriteriaScope.SUB);
value = adminApi.searchResources(filter);
Administration API
197
}
catch (Exception e1) {
e1.printStackTrace();
}
try {
LdapSearchCriteria filter = new LdapSearchCriteria();
filter.setBaseID(“/network”);
filter.setScope(LdapSearchCriteriaScope.BASE);
value = adminApi.searchResources(filter);
} catch (Exception e1) {
e1.printStackTrace();
}
try {
// example of name search
LdapSearchCriteria searchCriteria = new LdapSearchCriteria();
searchCriteria.setBaseID("/network");
searchCriteria.setScope(LdapSearchCriteriaScope.SUB);
// LdapSearchCriteriaFilter is generated by wsdl2java
LdapSearchCriteriaFilter filter = new
LdapSearchCriteriaFilter();
// LdapSearchCriteriaFilterType is generated by wsdl2java
filter.setType(LdapSearchCriteriaFilterType.NAME);
// use wildcard
filter.set_value("*");
searchCriteria.setFilter(filter);
value = adminApi.searchResources(searchCriteria);
} catch (Exception e1) {
e1.printStackTrace();
}
}
ポリシー固有の API
getPolicies
getPolicies は、ポリシーグリッドの部分を返します。
入力
getPolicies は、 2 つの入力フィールドを取ります。最初のフィールドではリソースの範囲を定
義し、 2 つ目のフィールドではアイデンティティの範囲を定義します。入力の定義は次のとおり
です。
<complexType>
<sequence>
<element name="resourceCriteria" type="impl:LdapSearchCriteria"/>
<element name="identityCriteria" type="impl:LdapSearchCriteria"/>
</sequence>
</complexType>
198
第9章
resourceCriteria と identityCriteria は、どちらも LdapSearchCriteria のインスタ
ンスです。ページングも使用できます。
出力
getPolicies は、ResourceRow のリストを返します。検索でリソースまたはアイデンティティ
が見つからない場合、 AdminFault がエラーコードとエラーメッセージを返します。
ResourceRow の定義は次のとおりです。
<complexType name="ResourceRow">
<sequence>
<element name="identityColumn" type="impl:IdentityColumn"
minOccurs="0" maxOccurs="unbounded"/>
<element name="continued" type="boolean"/>
</sequence>
<attribute name="resourcePath" type="string" />
</complexType>
getPolicies のパラメータ
getPolicies のパラメータを次の表に示します。
表 16
getPolicies のパラメータ
必須 / 省略可
値
identityColumn IdentityColumn のリスト。
IdentityColumn について
は、 199 ページの
「IdentityColumn」を参照して
ください。各
IdentityColumn はポリシー
グリッドです。
省略可
IdentityColumn のリス
ト。詳細は、 199 ページの
「IdentityColumn」を参照し
てください。
continued
返すエントリがまだあるかど
うかを示します。
resourceCriteria でペー
ジングが設定されている場合
にのみ使用されます。
必須
デフォルトは false です。
resourcePath
詳細は、 184 ページの
必須
「resourcePath」を参照してくだ
さい。
resourcePath は、ペー
ジングナビゲーションで使
用できます。
パラメータ
処理内容
IdentityColumn
返される各 ResourceRow には、 IdentityColumn のリストが格納されます。
各 IdentityColumn には、 identityDN とこのアイデンティティのポリシーが格納されます。
IdentityColumn の定義は次のとおりです。
<complexType name="IdentityColumn">
<sequence>
Administration API
199
<element name="policy" type="impl:Policy"/>
<element name="continued" type="boolean"/>
</sequence>
<attribute name="identityDN" type="string" />
</complexType>
IdentityColumn のパラメータ
IdentityColumn のパラメータを次の表に示します。
表 17
IdentityColumn のパラメータ
パラメータ
処理内容
必須 / 省略可値
policy
このグリッドのポリシー。
必須
詳細は、 199 ページの
「IdentityColumn」を参照してく
ださい。
continued
返すエントリがまだあるかど
うかを示します。
resourceCriteria でペー
ジングが設定されている場合
にのみ使用されます。
必須
デフォルトは false です。
identityDN
詳細は、 187 ページの
「identityDN」を参照してくだ
さい。
必須
詳細は、 200 ページの「Policy」
を参照してください。
Policy
policy の基本的な定義は次のとおりです。
<complexType name="Policy" abstract="true">
<sequence>
<element name="state" type="string"/>
<element name="inherited" type="boolean"/>
</sequence>
</complexType>
Policy のパラメータ
policy のパラメータを次の表に示します。
表 18
200
Policy のパラメータ
パラメータ
処理内容
必須 / 省略可
値
state
ポリシーの状態。
必須
サブタイプにより異なります。
inherited
ポリシーが継承されるかどう
かを示します。
必須
true は、ポリシーが継承され
る ( 明示的に定義されない ) こ
とを示します。
第9章
Policy は抽象型であるため直接入力に渡すことはできません。 policy には、次の 4 つのサブタイ
プがあります。
•
AccessPolicy
•
WorkflowPolicy
•
AdminPolicy
•
SelectAuthPolicy
AccessPolicy
ネットワークリソースにはアクセスポリシーがあります。 AccessPolicy の定義は次のとおり
です。
<complexType name="AccessPolicy">
<annotation>
<documentation>When setting AccessPolicy state, AccessPolicyState
should be used.</documentation>
</annotation>
<complexContent>
<extension base="impl:Policy">
<sequence>
<element name="rule" nullable="true" type="impl:Rule"
minOccurs="0" maxOccurs="unbounded"/>
</sequence>
</extension>
</complexContent>
</complexType>
AccessPolicy のパラメータ
AccessPolicy のパラメータを次の表に示します。
表 19
AccessPolicy のパラメータ
パラメータ
処理内容
必須 / 省略可値
state
ポリシーの状態。 policy か
ら継承されます。
必須
state は、 ALLOW、 DENY、 RULE
のいずれかです。 RULE は、リ
ソースに条件付きルールが適用
されることを示します。
inherited
ポリシーが継承されるかどう
かを示します。
必須
true は、ポリシーが明示的に
定義されないことを示します。
rule
ルールのリスト。
省略可
state が RULE の場合、このパラ
メータは条件付きルールに関す
る情報を持ちます。
Rule
rule の定義は次のとおりです。
Administration API
201
<complexType name="Rule">
<sequence>
<element name="state">
<simpleType>
<annotation>
<documentation>A rule state can be one of VALID, INVALID,
and MISSING</documentation>
</annotation>
<restriction base="string">
<enumeration value="VALID" />
<enumeration value="INVALID" />
<enumeration value="MISSING"/>
</restriction>
</simpleType>
</element>
<element name="name" type="string"/>
</sequence>
</complexType>
Rule のパラメータ
rule のパラメータを次の表に示します。
表 20
Rule のパラメータ
パラメータ
処理内容
必須 / 省略可
値
state
ルールの状態。
必須
VALID、 INVALID、または
MISSING です。
name
ルール名。
必須
•
VALID は、ルールが有効
であることを示します。
•
INVALID は、ルールの形
式に誤りがあることを示し
ます。
•
MISSING は、指定された
名前のルールがないことを
示します。
ルール名。
WorkflowPolicy
WorkflowPolicy では、管理リソースにワークフローを適用する方法を設定します。これは、次
のように定義されます。
<complexType name="WorkflowPolicy">
<annotation>
<documentation>When setting WorkflowPolicy state,
WorkflowPolicyState should be used.</documentation>
</annotation>
<complexContent>
202
第9章
<extension base="impl:Policy">
<sequence>
<element name="rule" nullable="true" type="impl:Rule"
minOccurs="0" maxOccurs="unbounded"/>
</sequence>
</extension>
</complexContent>
</complexType>
WorkflowPolicy のパラメータ
WorkflowPolicy のパラメータを次の表に示します。
表 21
WorkflowPolicy のパラメータ
必須 / 省略可値
パラメータ
処理内容
state
ワークフローポリシーの状態。必須
ENABLED または DISABLED の
いずれかです。
inherited
ポリシーが継承されるかどう
かを示します。
ワークフローポリシーが明示的
に定義されていない場合、 true
です。
rule
有効なワークフロールールの必須
リスト。詳細は、 201 ページの
「Rule」を参照してください。
必須
Null にすることもできます。
AdminPolicy
AdminPolicy は、管理リソースのポリシーです。定義は次のとおりです。
<complexType name="AdminPolicy">
<annotation>
<documentation>When setting AdminPolicy state, AdminPolicyState
should be used.</documentation>
</annotation>
<complexContent>
<extension base="impl:Policy">
<sequence>
<element name="workflowPolicy" nullable="true"
type="impl:WorkflowPolicy"/>
</sequence>
</extension>
</complexContent>
</complexType>
Administration API
203
AdminPolicy のパラメータ
AdminPolicy のパラメータを次の表に示します。
表 22
AdminPolicy のパラメータ
パラメータ
処理内容
必須 / 省略可値
state
管理ポリシーの状態。
必須
取りうる値は、 FULL、
READ_ONLY、 POLICY_ONLY、
ADMIN_ONLY、および NONE で
す。有効な値は、ポリシーの適
用先リソースの種類により、次
のように異なります。
•
アイデンティティ管理リ
ソースの場合、 FULL、
POLICY_ONLY、
ADMIN_ONLY、 NONE のみ
が有効です。
•
スキーマリソースの場合、
FULL と READ_ONLY のみ
が有効です。
•
機能およびネットワーク管
理リソースの場合、 FULL
と NONE を使用できます。
inherited
ポリシーが継承されるか
どうかを示します。
必須
管理ポリシーが明示的に定義さ
れていない場合、 true です。
workflowPolicy
グリッドのワークフロー
ポリシーを定義します。
必須
Null にすることもできます。詳
細は、 202 ページの
「WorkflowPolicy」を参照してく
ださい。
SelectAuthPolicy
SelectAuthPolicy は、特定のリソースでの認証サービスを定義するために使用します。
SelectAuthPolicy の定義は次のとおりです。
<complexType name="SelectAuthPolicy">
<annotation>
<documentation>When setting SelectAuthPolicy state,
SelectAuthPolicyState should be used.</documentation>
</annotation>
<complexContent>
<extension base="impl:Policy">
<sequence>
<element name="property" type="impl:SelectAuthPropertyType"
minOccurs="0" maxOccurs="1" nullable="true"/>
</sequence>
</extension>
</complexContent>
</complexType>
204
第9章
SelectAuthPolicy のパラメータ
SelectAuthPolicy のパラメータを次の表に示します。
表 23
SelectAuthPolicy のパラメータ
パラメータ
処理内容
必須 / 省略可
値
state
SeletAuth ポリシーの状態。
必須
ENABLED または DISABLED の
いずれかです。
inherited
ポリシーが継承されるかどう
かを示します。
必須
SelectAuth ポリシーが明示的に
定義されていない場合、 true
です。
property
リソースの認証サービス。
省略可
詳細は、 205 ページの
「SelectAuthPropertyType」を参
照してください。
SelectAuthPropertyType
SelectAuthPropertyType は、Select Access のルールコンポーネントと認証コンポーネントの
XML スキーマ定義です。ドキュメント要素 COMPONENT の定義は次のとおりです。
<complexType name="ComponentType">
<annotation>
<documentation>The XML schema of Select Access rule and
authentication component</documentation>
</annotation>
<sequence>
<element ref="impl:PROPERTYLIST" minOccurs="1" maxOccurs="1"/>
</sequence>
<attribute name="TYPE" type="string" use="required" />
<attribute name="CONDITION" type="string" use="required"/>
<attribute name="NAME" type="string" use="required"/>
<attribute name="DESCRIPTION" type="string" use="required"/>
<attribute name="EVALUATOR" type="string" use="required"/>
<attribute name="CONFIGURATOR" type="string" use="required"/>
</complexType>
Administration API
205
SelectAuthPropertyType のパラメータ
SelectAuthPropertyType のパラメータを次の表に示します。
表 24
SelectAuthPropertyType のパラメータ
パラメータ
処理内容
必須 / 省略可
値
PROPERTYLIST
プロパティのリスト。
必須
詳細は、 207 ページの
「PROPERTYLIST」を参照して
ください。
TYPE
コンポーネントのタイプ。
必須
コンポーネントを
SelectAuthPolicy で使用する場合
は、 decision にする必要があ
ります。
CONDITION
このコンポーネントの使用
条件。
必須
コンポーネントを
SelectAuthPolicy で使用する場合
は、 any にする必要がありま
す。
NAME
コンポーネントの名前。
必須
コンポーネントを
SelectAuthPolicy で使用する場合
は、 authentication にする
必要があります。
DESCRIPTION
コンポーネントの説明。
必須
コンポーネントを
SelectAuthPolicy で使用する場合
は、 Authenticate Users に
する必要があります。
EVALUATOR
コンポーネントのエバリュ
エータ。
必須
コンポーネントを
SelectAuthPolicy で使用する場合
は、 authentication にする
必要があります。
CONFIGURATOR
コンポーネントを設定する
ために使用する Java クラス
(GUI 画面 )。
必須
コンポーネントを
SelectAuthPolicy で使用する場合
は、
com.hp.ov.selectaccess.r
ulebuilder.screens.AuthP
ropertiesDlg にする必要があ
ります。
COMPONENT
各 COMPONENT には、 PROPERTYLIST が 1 つだけ存在します。この PROPERTYLIST の名前は
authentication でなければなりません。この PROPERTYLIST 内の PROPERTY は、有効な認証
サービスであることが必要です。 PROPERTYLIST の定義は次のとおりです。
<complexType name="PropertyListType" mixed="false">
<annotation>
<documentation>PropertyList may have Property and PropertyList
children</documentation>
206
第9章
</annotation>
<sequence>
<element ref="impl:PROPERTYLIST" minOccurs="0"
maxOccurs="unbounded"/>
<element ref="impl:PROPERTY" minOccurs="0" maxOccurs="unbounded"
/>
</sequence>
<attribute use="required" name="NAME" type="string" />
</complexType>
COMPONENT のパラメータ
COMPONENT のパラメータを次の表に示します。
表 25
COMPONENT のパラメータ
パラメータ
処理内容
必須 / 省略可
値
PROPERTYLIST
各 PROPERTYLIST は、
PROPERTYLIST を 1 つ以上
持つことができます。
省略可
適用外
PROPERTY
詳細は、 207 ページの
「PROPERTY」を参照してく
ださい。
省略可
適用外
name
この PROPERTYLIST の名前。必須
適用外
PROPERTYLIST
各 PROPERTYLIST は名前属性を持つ必要があります。また、各 PROPERTYLIST は、
PROPERTYLIST や PROPERTY を 1 つ以上持つことも、持たないことも可能です。 PROPERTY は、
基本的に、 XML 形式の名前と値のペアです。定義は次のとおりです。
<complexType name="PropertyType">
<annotation>
<documentation>
This is a generic property element.
</documentation>
</annotation>
<simpleContent>
<extension base="string">
<attribute use="required" name="NAME" type="string" />
</extension>
</simpleContent>
</complexType>
PROPERTY
PROPERTY が認証サービスを参照する場合、 NAME 属性の値は有効な認証方式で、 PROPERTY の
テキストは有効な認証サービス名であることが必要です。
Administration API
207
SelectAuthProperty XML の例
一般的な SelectAuthProperty XML は次のとおりです。
<?xml version="1.0" encoding="UTF-8"?>
<!—DON’T change anything in the root document->
<COMPONENT TYPE="decision" CONDITION="any" NAME="authentication"
DESCRIPTION="Authenticate Users" EVALUATOR="authentication"
CONFIGURATOR="com.hp.ov.selectaccess.rulebuilder.screens.
AuthPropertiesDlg">
<!—NAME attribute must be “authentication”->
<PROPERTYLIST NAME="authentication">
<!—for P13n propertylist, the NAME must be “Personalization”->
<PROPERTYLIST NAME="Personalization">
<!—NAME must be “UserAttributes” to define identity
attribute->
<PROPERTYLIST NAME="UserAttributes">
<!—In identity attribute, the NAME must be valid LDAP
attribute, the text value is the environment variable
name->
<PROPERTY NAME="member">id13n2</PROPERTY>
</PROPERTYLIST>
<!—to define group attribute, the NAME must be
“GroupAttributes”->
<PROPERTYLIST NAME="GroupAttributes">
<!—the NAME must be valid LDAP attribute, and the text
value is the environment variable->
<PROPERTY NAME="aliasedObjectName">group13n2</PROPERTY>
</PROPERTYLIST>
<!—to define dynamic group attribute, the NAME must be
“RoleAttributes”->
<PROPERTYLIST NAME="RoleAttributes">
<!—the NAME must be valid LDAP attribute, and the text
value is environment variable name ‡
<PROPERTY NAME="associatedDomain">role13n2</PROPERTY>
</PROPERTYLIST>
<!—to define identity DN, the NAME must be “UserDN”, and the
text value is the environment variable used to store identity
DN->
<PROPERTY NAME="UserDN">id13n</PROPERTY>
<!—to define group name, the NAME must be “GroupNames”, and
the text value is the environment variable to store group
names->
<PROPERTY NAME="GroupNames">groupp13n</PROPERTY>
<!—to define dynamic group names, the NAME must be
“RoleNames”, and the text value is the environment variable
to store dynamic group names->
<PROPERTY NAME="RoleNames">rolep13n</PROPERTY>
</PROPERTYLIST>
<!—PROPERTY in this level must refer to authentication
service, the value of NAME attribute must be valid
authentication method, and the text value is the
authentication service name.->
208
第9章
<PROPERTY NAME="password">password</PROPERTY>
<PROPERTY NAME="registration">Reg</PROPERTY>
</PROPERTYLIST>
</COMPONENT>
プログラム例
public void getPoliciesSample() throws Exception {
com.hp.ov.selectaccess.adminserver.wsadmin.client.WsadminSoapBindingStub
adminApi;
try {
adminApi = (com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminSoapBinding Stub)
new com.hp.ov.selectaccess.adminserver.wsadmin.client.
WsadminServiceLocator ().getwsadmin();
}
catch (javax.xml.rpc.ServiceException jre) {
if(jre.getLinkedCause()!=null)
jre.getLinkedCause().printStackTrace();
}
// Time out after a minute
adminApi.setTimeout(60000);
adminApi.setUsername(username);
adminApi.setPassword(password);
com.hp.ov.selectaccess.adminserver.wsadmin.client.ResourceRow[]
value = null;
// Get a portion of grids
try {
LdapSearchCriteria resourceFilter = new LdapSearchCriteria();
resourceFilter.setBaseID("/network");
resourceFilter.setScope(LdapSearchCriteriaScope.SUB);
LdapSearchCriteria subjectFilter = new LdapSearchCriteria();
subjectFilter.setBaseID(auth_dn);
subjectFilter.setScope(LdapSearchCriteriaScope.SUB);
value = adminApi.getPolicies(resourceFilter, subjectFilter);
IdentityColumn idCol = value[0].getIdentityColumn(0);
Policy policy = idCol.getPolicy();
}
catch (Exception e1) {
System.err.println("Error:" + e1.getErrorMessage());
}
// get only one grid
try {
LdapSearchCriteria resourceFilter = new LdapSearchCriteria();
resourceFilter.setBaseID(resource_path);
Administration API
209
resourceFilter.setScope(LdapSearchCriteriaScope.BASE);
LdapSearchCriteria subjectFilter = new LdapSearchCriteria();
subjectFilter.setBaseID(auth_dn);
subjectFilter.setScope(LdapSearchCriteriaScope.BASE);
value = adminApi.getPolicies(resourceFilter, subjectFilter);
assertNotNull("getPolicies returns null", value);
IdentityColumn idCol = value[0].getIdentityColumn(0);
Policy policy = idCol.getPolicy();
}
catch (Exception e1) {
System.err.println("Error:" + e1.getErrorMessage());
}
}
setPolicy
setPolicy は、特定のリソースにポリシーを設定します。
入力
setPolicy には、 4 つの入力フィールドがあります。 setPolicy の入力フィールドの定義は次
のとおりです。
<complexType>
<sequence>
<element name="resourcePath" type="string"/>
<element name="identityDN" type="string"/>
<element name="oldPolicy" type="impl:Policy"/>
<element name="newPolicy" type="impl:Policy"/>
</sequence>
</complexType>
210
第9章
setPolicy のパラメータ
setPolicy のパラメータを次の表に示します。
表 26
Administration API
setPolicy のパラメータ
パラメータ
処理内容
必須 / 省略可
値
resourcePath
ポリシーの適用先となるリ
ソース。
必須
詳細は、 184 ページの
「resourcePath」を参照してくだ
さい。
identityDN
ポリシーの適用先となる人の
idenityDN。
必須
詳細は、 187 ページの
「identityDN」を参照してくだ
さい。
oldPolicy
既存のポリシー。
必須
リソースにより異なります。
oldPolicy には、
AccessPolicy、
AdminPolicy、
WorkflowPolicy、
SelectAuthPolicy のインス
タンスを指定できます。有効な
値を指定する必要があります。
newPolicy
新しく適用するポリシー。
必須
リソースにより異なります。
newPolicy には、
AccessPolicy、
AdminPolicy、
WorkflowPolicy、
SelectAuthPolicy のインス
タンスを指定できます。有効な
値を指定する必要があります。
211
Select Access は、複数の管理セッションをサポートしています。セキュリティホールができない
ように全セッションで一貫したポリシーを適用するために、Select Access は oldPolicy を使用し
てポリシーの状態と設定を検証します。 newPolicy を作成するには、 oldPolicy 全体をコピー
( 複製 ) し、その上に変更を加えます。 setResource と異なり、 setPolicy ではポリシーの変
更のみが可能であり、ポリシーの削除や作成を行うことはできません。
管理ポリシーとワークフローポリシーは 1 回の関数呼び出しで設定できますが、実装は 2 段階で
行われます。第 1 段階では管理ポリシーが設定され、第 2 段階ではワークフローポリシーが設定
されます。これらの処理に原子性はないため、結果は次の 7 とおりになります。
第 1 段階の状態 = failure ( 失敗 )、第 2 段階に進むことができない → 例外がエラーメッセージと
共に返されます。
第 1 段階の状態 = sccess ( 正常終了 )、第 2 段階 = sccess → sccess が返されます。
第 1 段階の状態 = sccess、第 2 段階 = failure → 例外がエラーメッセージと共に返されます。
第 1 段階の状態 = sccess、第 2 段階 = workflow_pending ( 保留 ) → workflow_pending が返されます。
第 1 段階の状態 = workflow_pending、第 2 段階 = sccess → workflow_pending が返されます。
第 1 段階の状態 = workflow_pending、第 2 段階 = workflow_pending → workflow_pending が返され
ます。
第 1 段階の状態 = workflow_pending、第 2 段階 = failure → 例外がエラーメッセージと共に返され
ます。
失敗すると例外がスローされますが、第 1 段階の変更はロールバックされません。これは、ロー
ルバックにより、さらに失敗を招くおそれがあるためです。この状況に最も適した処理方法は自
分で決定する必要があります。
出力
setPolicy は、 SUCCESS、 FAILURE、または PENDING_WORKFLOW のいずれかの文字列を返し
ます。定義については、 194 ページの「setResource」の「出力」を参照してください。
プログラム例
次のプログラム例は、 wsdl2java により生成される Administration API Java クラスを使用して
SelectAuthPolicy を設定する方法を示します。
public void setPolicySample() throws Exception {
com.hp.ov.selectaccess.adminserver.wsadmin.client.Wsadmin
SoapBindingStub adminApi;
try {
adminApi = (com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminSoapBindingStub)
new com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminServiceLocator().getwsadmin();
}
catch (javax.xml.rpc.ServiceException jre) {
if(jre.getLinkedCause()!=null)
jre.getLinkedCause().printStackTrace();
}
212
第9章
// Time out after a minute
adminApi.setTimeout(60000);
adminApi.setUsername(username);
adminApi.setPassword(password);
ReturnString value = null;
// get old SelectAuthPolicy
// define resource scope
LdapSearchCriteria resourceFilter = new LdapSearchCriteria();
resourceFilter.setBaseID(resource_path);
resourceFilter.setScope(LdapSearchCriteriaScope.BASE);
// define identity scope
LdapSearchCriteria subjectFilter = new LdapSearchCriteria();
subjectFilter.setBaseID(auth_dn);
subjectFilter.setScope(LdapSearchCriteriaScope.BASE);
ResourceRow[] oldPolicies = null;
Policy oldPolicy = null;
try {
subjectFilter.setBaseID(SpecialIdentity.select_auth
.getValue());
// get grid policy
oldPolicies = adminApi.getPolicies(resourceFilter,
subjectFilter);
SelectAuthPolicy oldSelectAuthPolicy = (SelectAuthPolicy)
oldPolicies[0].getIdentityColumn(0).getPolicy();
SelectAuthPolicy newPolicy = new SelectAuthPolicy();
newPolicy.setState(SelectAuthPolicyState.ENABLED.getValue());
// copy old policy properties
newPolicy.setInherited(oldSelectAuthPolicy.isInherited());
// build SelectAuthProperty
SelectAuthPropertyType selectAuthProperty = new
SelectAuthPropertyType();
ComponentType component = new ComponentType();
selectAuthProperty.setCOMPONENT(component);
component.setCONDITION("any");
component.setCONFIGURATOR("com.hp.ov.selectaccess.
rulebuilder.screens.AuthPropertiesDlg");
component.setDESCRIPTION("Authenticate Users");
component.setEVALUATOR("authentication");
component.setNAME("Authentication");
component.setTYPE("decision");
PropertyListType propertyList = new PropertyListType();
component.setPROPERTYLIST(propertyList);
propertyList.setNAME("authentication");
Administration API
213
PropertyType subProperty1 = new PropertyType();
subProperty1.setNAME("password");
subProperty1.set_value("password");
PropertyType subProperty2 = new PropertyType();
subProperty2.setNAME("certificate");
subProperty2.set_value("cert");
PropertyType[] subProperties = new PropertyType[]
{subProperty1, subProperty2};
propertyList.setPROPERTY(subProperties);
PropertyListType p13n = new PropertyListType();
p13n.setNAME("Personalization");
propertyList.setPROPERTYLIST(new PropertyListType[]{p13n});
PropertyType p13nProperty1 = new PropertyType();
p13nProperty1.setNAME("UserDN");
p13nProperty1.set_value("id13n");
p13n.setPROPERTY(new PropertyType[] {p13nProperty1});
PropertyListType p13nPropertyList1 = new PropertyListType();
p13nPropertyList1.setNAME("UserAttributes");
p13n.setPROPERTYLIST(new
PropertyListType[]{p13nPropertyList1});
PropertyType attributeProperty1 = new PropertyType();
attributeProperty1.setNAME("dn");
attributeProperty1.set_value("foo");
p13nPropertyList1.setPROPERTY(new
PropertyType[]{attributeProperty1});
// SelectAuthProperty is built, set to newPolicy
newPolicy.setProperty(selectAuthProperty);
// call admin api to set the policy
value = adminApi.setPolicy(resource_path,
SpecialIdentity.select_auth.getValue(), oldSelectAuthPolicy,
newPolicy);
}
catch (com.hp.ov.selectaccess.adminserver.wsadmin.client.
AdminFault e1) {
System.err.println("Error:" + e1.getErrorMessage());
}
}
214
第9章
ヘルパ API
refreshValidators
refreshValidators は、Validator のキャッシュをクリアします。この API は入力を取りません。
getAuthServiceNames
getAuthServiceNames は、 Policy Builder で定義されたすべての認証サービスの名前を返しま
す。この API は入力を取りません。
getRuleNames
getRuleNames はルール名のリストを返します。
入力
getRuleNames は RuleType を取ります。 RuleType は POLICY_RULE か WORKFLOW_RULE の
いずれかです。
出力
入力の RuleType が POLICY_RULE の場合、すべてのポリシールールの名前が返されます。入力
の RuleType が WORKFLOW_RULE の場合、すべてのワークフロールールの名前が返されます。
パスワードの変更
Administration API では、ユーザーのセルフ管理、パスワードのリセット、または Administration
API で作成されたユーザーパスワードに変更を加えることができます。
ユーザーパスワードの変更
パスワードを変更するには、ユーザーがクライアントアプリケーションにログインする必要があ
ります。ユーザーは、自分の LDAP DN、正確な古いパスワード、新しいパスワードを入力する必
要があります。
多くの場合、ユーザーは、 authenticated_dn をあらかじめ提供する (servletfilter、
axisfilter) Enforcer プラグインを使用してすでに Select Access にログインしています。
アプリケーションがユーザーのパスワードを変更するために Administration API を呼び出します。
Web サービスサーバーにユーザーの認証情報を送信するのはクライアントアプリケーションの
役割です。 Web サービスサーバーは、認証された DN を使用して Administration Server に RMI 呼
び出しを行います。
Administration API
215
setUserPassword
setUserPassword は、ユーザーパスワードを変更します。
入力
入力フィールドは次のとおりです。
<complexType>
<sequence>
<element name="identityName" type="string"/>
<element name="oldPassword" type="string"/>
<element name="newPassword" type="string"/>
</sequence>
</complexType>
setUserPassword のパラメータ
setUserPassword のパラメータを次の表に示します。
表 27
setUserPassword のパラメータ
パラメータ
処理内容
必須 / 省略可値
identityName
パスワードを変更する必要の
あるアイデンティティ。現
在、 identityDN のみがサ
ポートされています。
必須
identiyDN。詳細は、 187 ペー
ジの「identityDN」を参照して
ください。
oldPassword
古いパスワード。
必須
古いパスワード
newPassword
新しいパスワード。パスワー必須
ドポリシーが設定されている
場合、特定の制限を持つポリ
シーに基づいて新しいパス
ワードが検証されます。パス
ワードポリシーについては、
『HP OpenView Select Access
6.2 Policy Builder ガイド』を
参照してください。
新しいパスワード
出力
パスワードが正常に変更されると、何も戻りません。正常に変更されなかった場合は、
AdminFault がエラーメッセージと共にスローされます。
プログラム例
public void setPasswordSample() throws Exception {
com.hp.ov.selectaccess.adminserver.wsadmin.client.Wsadmin
SoapBindingStub adminApi;
try {
216
第9章
adminApi = (com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminSoapBindingStub)
new com.hp.ov.selectaccess.adminserver.wsadmin.
client.WsadminServiceLocator().getwsadmin();
}
catch (javax.xml.rpc.ServiceException jre) {
if(jre.getLinkedCause()!=null)
jre.getLinkedCause().printStackTrace();
}
// Time out after a minute
adminApi.setTimeout(60000);
adminApi.setUsername(username);
adminApi.setPassword(password);
String id_DN = "cn=foo, ou=bar, O=foobar";
try {
adminApi.setUserPassword(id_DN, "oldPassword",
"newPassword");
}
catch (com.hp.ov.selectaccess.adminserver.wsadmin.client.
AdminFault e1) {
System.err.println("Error:" + e1.getErrorMessage());
}
エラー処理
指定された DN と古いパスワードが LDAP で認証されない場合、返される AdminFault は DN が
有効かどうかを示しません。 API はエラー「ユーザーを認証できませんでした。」を返します。こ
れは、この API が、ユーザー名 / パスワードを類推するインターフェイスとして使用されるのを
防ぐためです。新しいパスワードが拒否されると、 API はメッセージ「failed to change
password」を返します。
Administration API
217
218
第9章
10 管理サーブレット : Web 管理
インターフェイス
Policy Builder アプレットのほか、 Select Access では、管理者が Web ブラウザを使用して委任管理
やワークフロータスクを実行するための Web 管理インターフェイスを提供しています。この章で
は、サーブレットを使用したインターフェイスのカスタマイズ方法と、 Web 管理インターフェイ
スについて説明します。
この章の概要
この章では、 Web 管理インターフェイスの紹介、および委任管理者に対してインターフェイスを
カスタマイズする方法について説明します。
•
Web 管理インターフェイスについて (219 ページ )
•
Web 管理インターフェイスのカスタマイズ (221 ページ )
•
JSP コンテナと JAR ファイルについて (235 ページ )
Web 管理インターフェイスについて
Web 管理インターフェイスは管理タスクのサブセットを提供するクラスの集合です。現時点では、
インターフェイスはアイデンティティ属性、グループメンバシップ、およびフォルダの作成 / 削
除 / 管理を実行するクラスおよびメソッドを提供しています。また、 Web 管理インターフェイス
では、ワークフロー要求の送信や承認も可能です。
Web 管理インターフェイスは次のクラスから構成されています。
•
Admin : このクラスは、ディレクトリエントリを検索 / 追加 / 修正 / 名前変更 / 削除するさま
ざまなメソッドを提供します。各メソッドでは、 HttpServletRequest
および
HttpServletResponse パラメータを使用して、管理者の認証情報を内部の Enforcer プラグ
インに提供します。
•
Attribute : LDAP エントリの属性を表します。属性の種類を決定し、属性の値にアクセス
するためのメソッドを提供します。
•
Entry : LDAP オブジェクトの属性を表します。 Entry は属性の集合が格納されます。このク
ラスは、エントリの属性にアクセスしてグループメンバシップを処理するためのメソッドを
提供します。
•
ErrorException : エラーが発生したことを示します。
•
Node : Node は、LDAP オブジェクトの表示および移動に使用されるツリーを表します。Node
は、ツリーを表示する際に分岐を展開するか、縮小するかを決定します。アイデンティティ、
グループ、フォルダ、およびダイナミックグループ用に異なるアイコンを表示するには、Node
タイプを使用します。
219
•
SearchResults : このクラスは、ディレクトリサーバーのクエリから返されたディレクトリ
エントリを表します。
SetCharacterEncodingFilter : このクラスは、受け取った要求の解析で使用する文字のエン
コードを設定するサーブレットフィルタです。
Admin クラスのメソッドの例
Web 管理インターフェイスの中心的要素は Admin クラスです。以下のコード例では、頻繁に使用
されるメソッドが示されています。 Admin をはじめとするクラスの詳細は、『HP OpenView Select
Access 6.2 開発者向けリファレンスガイド』を参照してください。
Admin getWebAdmin()
void logout(HttpServletRequest request, HttpServletResponse response)
Entry getEntry
(
HttpServletRequest request,
HttpServletResponse response,
String entryDN
)
Node getNode
(
HttpServletRequest request,
HttpServletResponse response,
String entryDN
)
boolean setEntry
(
HttpServletRequest request,
HttpServletResponse response,
Hashtable attrList
Hashtable pwdResetList
)
boolean deleteEntry
(
HttpServletRequest request,
HttpServletResponse response,
Entry entry
)
SearchResults searchTree
(
HttpServletRequest request
HttpServletResponse response,
220
第 10 章
String startFolder,
String searchFilter,
boolean includeSubFolders,
int sizeLimit,
boolean withFolders,
boolean withUserser,
boolean withGroups,
boolean withRoles,
int pageSize,
int pageIndex
)
Admin.getWebAdmin() は静的メソッドで、 Admin クラスのインスタンスの取得に使用されま
す。 Admin.logout() は管理者のセッションを終了します。それ以外の Admin クラスのメソッ
ドは、その大部分が、アイデンティティ、グループ、フォルダ、およびダイナミックグループ
データへのアクセスを提供するために使用されます。各メソッドは、 HttpServletRequest を
使用して、管理者のセッションを確認します。 HttpServletResponse は、 Web 管理 Enforcer プ
ラグインが必要に応じて管理者をログインページにリダイレクトする場合に使用されます。
getNode() および getEntry() では、オブジェクトの DN を含んだ文字列パラメータが使用さ
れます。それ以外のメソッドでは、 Entry オブジェクトが使用されます。
Web 管理インターフェイスのカスタマイズ
Web 管理サーバーは Jetty の Web サーバーおよびサーブレットコンテナ上で稼働します。 Web 管
理インターフェイスをカスタマイズするには、 Web 管理サーバー上でサーブレットを作成して配
置します。他のサーバーから Web 管理インターフェイスにアクセスすることはできません。サー
バーのドキュメントのルートは <SA_install_path>/shared/jetty/java/webadmin で
す。サーブレットは WEB-INF\lib ディレクトリの Java アーカイブファイルに格納されていま
す。サーブレットの配置は WEB-INF/web.xml ファイルによって指定されます。
Jetty サーバーの詳細は、 http://jetty.mortbay.org を参照してください。
Web 管理は、 Struts と呼ばれるオープンソースフレームワークに基づいています。詳細について
は、 http://struts.apache.org を参照してください。
サーブレットは HTML ページの作成および管理要求の処理を実行します。サーブレットは、 Web
管理インターフェイスにより取得したアイデンティティ、グループ、フォルダ、およびワークフ
ローデータを含む HTML ページを動的に作成します。管理者がアイデンティティプロファイル
修正などの動作を実行すると、 HTML フォームデータがサーブレットに送信されます。サーブ
レットはこのデータに基づき、 Web 管理インターフェイスを使用して、ポリシーストアのプロ
ファイルの更新をはじめとする処理を実行します。
フォームベースの委任管理アクションクラスを例に、 Struts フレームワークを使用した Web 管理
インターフェイスのカスタマイズ方法を説明します。 JSP ソースファイルはビジネスプロセスを
処理しないため、アクションロジックはアクションクラスまたはヘルパクラスを使用して実装
されます。Web 管理をカスタマイズするには、これらの Java ファイルを修正する必要があります。
管理サーブレット : Web 管理インターフェイス
221
ビルドプロセスおよび山かっこ (>< または >#<)
この SDK に含まれる Java ソースコードを参照または編集するとき、一部の文字列の先頭に山
かっこがついていることに注意してください。 >< および >#< の 2 種類があります。これらは HP
の開発チームで内部的に「バターフライ ( 蝶々 )」と呼ばれます。バターフライは以下の場所で使
用されます。
•
>< バターフライは Web 管理ソースコードに出現します。
•
>#< バターフライはログメッセージに出現します。
警告 Java ソースコードを編集する場合、以下の操作を行わないでください。
•
バターフライで接頭されていない文字列を変更する。これらは Web アプリケーションが必要
とする定数です。一切変更してはなりません。
•
バターフライを削除する。ビルドプロセスは、必要なストリングに接頭するバターフライを
自動的に削除します。
使用される JSP ファイル
委任管理インターフェイスは次の JSP ファイルを使用します。
•
add.jsp : アイデンティティ、グループ、またはフォルダを追加します。
•
browse.jsp : ディレクトリノードを表示します。
•
common.jsp : CSS スタイルシートリンクを含みます。
•
delete.jsp : アイデンティティ、グループ、またはフォルダを削除します。
•
errorpage.jsp : エラーメッセージを表示します。
•
logout.jsp : セッション Cookie を削除し、管理者のセッションを終了します。
•
main.jsp : 管理タスクを含むメインメニューページを表示します。
•
membership.jsp : グループメンバシップを管理します。
•
modify.jsp : アイデンティティ、グループ、またはフォルダ属性を編集します。
•
navigate.jsp : ディレクトリノードのナビゲーションツリーを表示します。
•
pagetitle.jsp : ページのタイトルを表示します。
•
register.jsp : アイデンティティをセルフ登録に追加します。
•
rename.jsp : ディレクトリサーバーオブジェクトの名前を変更します。
•
search.jsp : ディレクトリのユーザー、グループ、フォルダを検索します。
•
view.jsp : ディレクトリノードおよびエントリを表示します。
管理者が Web インターフェイスに接続すると、 Web サーバーは静的な HTML ファイル
index.html を表示します。ページには、フォームベースの委任管理およびワークフロー管理と
いう 2 つのオプションがあります。委任管理のリンクは controller.do の URL を呼び出しま
す。 URL は、 struts-config.xml ファイルで設定される controllAction.java にマッピン
グされます。
222
第 10 章
後続の要求はすべて controller.do アクションクラスにルーティングされ、このサーブレット
がタスクを他のサーブレットに委任します。 controller_jsp サーブレットは、次のパラメータ
を使用して、動作を処理するサーブレットを決定します。
•
type : 動作が user、 group、 folder、 all_subjects の中のいずれを対象にして行われる
のかを示します。
•
action : 指定されたオブジェクトに対して ADD、 DELETE、 LOGOUT、 MODIFY、 RENAME、
VIEW の中のいずれの動作を行うのかを示します。
sub_action : 付随的に実行される動作を示します。例としては、主動作が VIEW である場合、そ
れに続いて BROWSE、 SEARCH、 SHOW_ALL などが実行されます。
図 16 は、フォームベースの委任管理でのフローダイアグラムを示しています。このセクション
では、引き続き main.jsp、 search.jsp、 modify.jsp を取り上げ、 Web 管理インターフェイ
スを使用したディレクトリエントリの検索、検索結果の表示、アイデンティティの選択、現在の
属性の表示、および属性の修正などについて説明します。 JSP ページおよび JAR ファイルの詳細
については、 235 ページの「JSP コンテナと JAR ファイルについて」を参照してください。
HTTP 要求
サーブレットフィルタ
ACTION を指定して
サーブレットを
選択
controlAction.do
common.jsp
modify.jsp
エントリを検索、参照、
追加、削除、または
名前変更
Web 管理
インターフェース
検索結果、
ディレクトリエントリ
標準的な HTML
ウィジェットを
生成
HTTP 応答
図 16
フォームベースの委任管理ツールのフローダイアグラム
管理サーブレット : Web 管理インターフェイス
223
メニューの表示
フォームベースの委任管理サーブレットで最初に表示されるページはメインメニューページで
す。ページ内の動的な要素は、以前の動作結果を示す状態の表示のみです。メニューオプション
自体は変化しません。図 17 は、 Web ブラウザで表示されるメニューを示しています。
図 17
main.jsp
HTML メインメニュー
次に示す部分的な HTML コードは、 control.do によって作成されるものです。 URL には
control.do がタスクの委任に使用するパラメータが含まれています。たとえば、管理者がアイ
デンティティを追加するリンクをクリックすると、 AddAction.java が呼び出され、新しいアイ
デンティティプロファイルを追加するフォームを生成します。
<html>
<body>
... Select Access ユーザー管理のヘッダー ...


<div align="left">
Please select from the following tasks:
<h4><img src="images/user.gif">Users:<br></h4>
<a href="controller.jsp?type=user&action=ADD">Add</a>
<a href="controller.jsp?type=user&action=MODIFY">Modify</a>
<a href="controller.jsp?type=user&action=RENAME">Rename</a>
<a href="controller.jsp?type=user&action=DELETE">Delete</a>
... グループに関するタスク ...
... フォルダに関するタスク ...
224
第 10 章
<h4><img src="images/search.gif">Search:<br></h4>
<form NAME="SEARCH_FORM" METHOD="POST">
<input type="text" name="filter" value="*" size="40">
<input type="hidden" name="type" value="all_subjects">
<input type="hidden" name="action" value="VIEW">
<input type="hidden" name="sub_action" value="SEARCH">
<a href="#" onClick="document.SEARCH_FORM.submit();"> Find
Entry</a>
<br><br>
... オプションの表示 ...
... すべてのオプションの確認 ...
</form>
... ログアウトのオプション ...
... 静的なフッター ...
</body>
</html>
MainAction.java はメニューの生成を実行するのみで、要求は処理しません。 Web 管理イン
ターフェイスを使用しないため、本書では特に説明しません。
データの表示 : ディレクトリサーバーの検索結果
Web 管理サーブレットが表示するデータのタイプには、 Node および Entry の 2 つがあります。
ディレクトリノードはディレクトリサーバーエントリの場所を表し、通常、エントリへの移動
やエントリの選択に使用されます。たとえば、ディレクトリサーバープロファイルの追加、修
正、名前変更、削除などを行う場合、サーブレットはまず対象となるエントリの保存場所を確認
する必要があります。
組み込みの Web 管理インターフェイスの [Search] オプションは、ディレクトリを検索して返され
たノードを表示します。図 18 は、ディレクトリサーバーの検索結果を示しています。
管理サーブレット : Web 管理インターフェイス
225
図 18
ディレクトリサーバーの検索結果
ディレクトリサーバーの検索
HTMLSearchFormatter.java ファイルの showSubjects() メソッドにより検索が開始され、
ディレクトリサーバーの検索フィルタが提供されます。 showSubjects() メソッドは、実行す
る動作に基づいて、検索対象にアイデンティティ、グループ、ダイナミックグループ、または
フォルダのいずれを含めるかを判断します。次の例で示すように、 Admin オブジェクトが作成
され、 searchTree() メソッドにより、 LDAP の検索が実行されます。 searchTree() の
includeSubFolders パラメータは、ディレクトリの検索範囲の制御に使用されます。
startFolderId パラメータは、検索を開始するディレクトリ階層を指定します。
public static void showSubjects(HttpSession session,
HttpServletRequest request, HttpServletResponse response,
String searchFilter, String action, String entryType,
String subAction, String membershipSubAction, String currentDN,
String searchDN, StringBuffer content) throws Exception {
String startFolderId = null;
boolean includeSubFolders = true;
int pageSize = Common.getPageSize();
boolean withFolders = false;
boolean withUsers = false;
boolean withGroups = false;
boolean withRoles = false;
if (action.equals(Common.ADD_ACTION)) {
if (membershipSubAction == null) {
withFolders = true;
226
第 10 章
} else {
if (entryType.equals(Common.SUBJECT_USER)) {
withGroups = true;
} else if (entryType.equals(Common.SUBJECT_GROUP)) {
withGroups = true;
withUsers = true;
}
}
} else if (entryType.equals(Common.SUBJECT_USER)) {
if (membershipSubAction != null) {
withGroups = true;
} else {
withUsers = true;
}
} else if (entryType.equals(Common.SUBJECT_GROUP)) {
if (membershipSubAction != null) {
withGroups = true;
withUsers = true;
} else {
withGroups = true;
}
} else if (entryType.equals(Common.SUBJECT_FOLDER)) {
withFolders = true;
} else if (entryType.equals(Common.SUBJECT_ALL)) {
withUsers = true;
withGroups = true;
withFolders = true;
withRoles = true;
}
Admin webAdmin = Admin.getWebAdmin();
ディレクトリ
サーバーの
検索を
実行します
SearchResults result = null;
try {
result = webAdmin.searchTree(request, response, startFolderId,
searchFilter, includeSubFolders, Common.getSearchLimit(),
withFolders, withUsers, withGroups, withRoles, pageSize,
searchDN);
} catch (Error e) {
result = null;
log.error(e);
return;
}
String operation;
Hashtable pairs = new Hashtable();
pairs.put(Common.ACTION, action);
pairs.put(Common.TYPE, entryType);
管理サーブレット : Web 管理インターフェイス
227
if (membershipSubAction != null && membershipSubAction.length() > 0) {
pairs.put(Common.SUBJECT_DN, request.getParameter
(Common.SUBJECT_DN));
pairs.put(Common.MEMBERSHIP_SUB_ACTION, membershipSubAction);
if (membershipSubAction.equals(Common.ADD_MEMBER_ACTION)) {
Entry currentEntry = webAdmin.getOriginalEntry(request,response);
Node currentNode = currentEntry.getNode();
// We don't allow to select already existing members.
for (Enumeration en = result.getPageData().elements();
en.hasMoreElements();) {
Node node = (Node) en.nextElement();
boolean isEnabled = false;
if (currentNode.getIsGroup()) {
isEnabled = !currentEntry.isHasGroupMember(node);
} else if (currentNode.getIsUser()) {
isEnabled = !currentEntry.isMemberOfGroup(node);
}
node.setIsEnabled(isEnabled);
}
ディレクトリの
検索結果から
ノードを
取得します
}
operation = Common.MEMBER_DN;
} else {
for (Enumeration en = result.getPageData().elements();
en.hasMoreElements();) {
Node node = (Node) en.nextElement();
boolean isEnabled = node.getIsGroup() || node.getIsUser() ||
node.getIsFolder();
node.setIsEnabled(isEnabled);
}
operation = Common.SUBJECT_DN;
}
formatSimpleList(null, result.getPageData(), operation, pairs,
content);
if (searchFilter != null) {
pairs.put(Common.SEARCH_FILTER, searchFilter);
}
HtmlPageNavigationFormatter.appendPrevNextPagingControls(
request,
currentDN,
result.getFirstDN(),
result.getContinuedDN(),
228
第 10 章
pairs,
content);
}
ディレクトリの Node 情報の表示
以下の例で示すように、検索結果の取得後、 HTMLSearchFormatter() が呼び出され、結果を
表示します。このメソッドはノード DN およびパスにアクセスします。
public static void formatSimpleList(HttpServletRequest request,
Vector data, String operation, Hashtable pairs, StringBuffer result)
throws Exception {
StringBuffer cmd = new StringBuffer();
Common.constructBasicControllerAction(request, Common.CONTROL_PAGE,
pairs, operation, cmd);
HtmlFormatter.writeDivBegin(result, "center");
HtmlFormatter.writeTableBegin(result);
ディレクトリ
の検索結果
からノードを
取得します
for (Enumeration et = data.elements(); et.hasMoreElements();) {
Node childData = (Node) et.nextElement();
String nodeDn = childData.getDN();
String nodeName = childData.getNodePath();
ノードの
場所に
アクセスします
HtmlFormatter.writeRowBegin(result);
HtmlFormatter.writeImage(childData, result);
ノードを利用
可能にすべきか
どうかを
判断します
if (childData.getIsEnabled()) {
HtmlFormatter.writeHyperLink(result, cmd, nodeDn, nodeName);
} else if(!childData.getIsRole()){
HtmlFormatter.writeHyperLink(result, null, null, nodeName);
}else if(childData.getIsRole()){
HtmlFormatter.writeHyperLink(result, null, null, nodeName,true);
}
result.append("<br/>");
HtmlFormatter.writeRowEnd(result);
}////end-if
if (result.length() > 0)
result.append("\n");
HtmlFormatter.writeTableEnd(result);
HtmlFormatter.writeDivEnd(result);
}
管理サーブレット : Web 管理インターフェイス
229
DN およびパスがハイパーテキストリンクに組み込まれます。これにより、管理者がリンクを選
択した場合、ノードの場所がサーブレットに渡され、そのノードの Entry 属性が表示されます。
データの表示 : アイデンティティプロファイルとしての
ディレクトリエントリ
ディレクトリサーバーのノードを選択すると、そのノードに関するエントリが表示されます。エ
ントリは、ディレクトリサーバーのエントリおよび属性を表します。管理者によるエントリの修
正を許可する前に、 ModifyAction.java ファイルによってディレクトリサーバーエントリの
現在の属性が表示されます。図 19 は、任意のアイデンティティプロファイルに関する、ディレ
クトリサーバーのエントリの内容を示しています。
図 19
プロファイルの編集
ディレクトリサーバーエントリの場所の確認
Entry の属性を表示する場合、サーブレットはまず Entry の場所を確認する必要があります。場
所の確認は、前のセクションで取り上げた、 Node オブジェクトから取得された Entry の DN を
使用して実行します。以下のコード例は、サーブレットが Entry の DN を使用して、 Admin オブ
ジェクトによって Entry を抽出する方法を示しています。
Admin
オブジェクトを
作成します
230
StringBuffer pageContents = new StringBuffer();
StringBuffer statusMessage = new StringBuffer();
String method = (String)request.getMethod();
String type = request.getParameter(Common.TYPE);
String POST_PREFIX = "modify_";
int ID_LENGTH = 3;
Admin webAdmin = Admin.getWebAdmin();
String subjectDN = (String)request.getParameter(Common.SUBJECT_DN);
第 10 章
DN からエントリ
を作成します
String action = request.getParameter(Common.ACTION);
HtmlModifyFormatter.SimpleTableFormatStatus formatStatus = null;
String formName = "MODIFY_FORM";
// User has already modified the entry, so now attempt to write to
LDAP.
if ( method.equalsIgnoreCase(Common.POST_METHOD) )
{
... Update the object (discussed in next section).....
}
else
{
// Build content to represent the entry to be modified.
// This status message is used in two places below, so create it
just
once here.
if ( subjectDN != null )
{
// Display the properties of object specified by subjectDN
// Note 1:: Using this version of getEntry(..) automatically
stores the
// entry represented by subjectDN in a session variable for later
use.
Entry entry = webAdmin.getEntryCached(request, response,
subjectDN);
エントリの属性
を表示します
if ( entry != null )
formatStatus =
HtmlModifyFormatter.formatSimpleTableForModify(entry,
POST_PREFIX, ID_LENGTH, true, true, pageContents);
request.setAttribute(Common.RESULT,pageContents.toString());
request.setAttribute(Common.FORMAT_STATUS,formatStatus);
}
... 処理の成功 / 失敗を表示 ...
ディレクトリサーバーエントリをプロファイルとして表示
以下のサンプルで示すように、エントリオブジェクトをインスタンス化すると、サーブレットは
エントリの属性をアクセスできるようになります。これは、formatSimpleTableForModify()
メソッドによって実行されます。
public static SimpleTableFormatStatus formatSimpleTableForModify
(
Entry entry,
管理サーブレット : Web 管理インターフェイス
231
String prefix,
int idLength,
boolean skipHiddenOrPwdAttribs,
boolean useDescriptiveName,
StringBuffer result
) throws Exception
{
SimpleTableFormatStatus status = new SimpleTableFormatStatus();
result.append("\n");
result.append("<table>");
プロファイルの
属性を
取得します
属性を
抽出します
隠し属性が
設定されているか
どうか判断します
boolean attrFound = false;
Vector attributes= entry.getAttributes(prefix, idLength);
for ( Enumeration ea = attributes.elements(); ea.hasMoreElements(); )
{
Attribute attr = (Attribute)ea.nextElement();
if ( skipHiddenOrPwdAttribs )
{
// do not display operational, 'objectClass' and password
attributes
if ( attr.isHidden() || attr.isPassword()) {
continue;
}
}
String val = attr.getStringValue();
if ( val == null )
val = "";
result.append("\n");
result.append("<tr>");
result.append("<td>");
属性の記述名を
抽出します
属性の必要性を
判断します
if ( useDescriptiveName )
result.append(attr.getAttributeDescriptiveName());
else
result.append(attr.getName());
if ( attr.isRequired() || attr.isUid() || attr.isUserPrincipalName())
result.append(" * ");
result.append("</td>");
result.append("<td>");
result.append("<input");
//QXCR1000226667 - Web interface Adminserver SelfManagement , can't
change
232
第 10 章
Common name
if (attr.isReadOnly()||attr.isRdnAttribute())
result.append(" disabled");
result.append(" type=\"");
if (attr.isPassword()) {
result.append("password");
} else {
result.append("text");
}
相対識別名
および読み取り
専用の属性を
無効にします
属性の値を
抽出します
String fieldName = attr.getFormFieldName();
if (attr.isPassword())
status.passwordFieldName = fieldName;
if ( attr.isRequired() || attr.isUid() || attr.isUserPrincipalName())
{
RequiredFieldStatus fieldStatus = new RequiredFieldStatus();
fieldStatus.fieldName = fieldName;
fieldStatus.attrName = attr.getAttributeDescriptiveName();
status.requiredFieldNames.addElement(fieldStatus);
}
result.append("\" name=\"");
result.append(fieldName);
result.append("\" value=\"");
result.append(val);
result.append("\" size=\"40\" />");
result.append("</td>");
result.append("</tr>");
attrFound = true;
}
result.append("\n");
result.append("</table>");
result.append("\n");
result.append("<br><br>");
if (attrFound)
result.append("><Fields marked with a * are required");
else
result.append("><You do not have the required permissions to modify
any
attributes in your identity profile. Contact your administrator to
make
any changes you require.");
result.append("<br><br>");
管理サーブレット : Web 管理インターフェイス
233
result.append("\n");
return status;
}
編集できない属性は無効化されます。また、隠し属性は HTML 出力には含められません。隠し属
性は表示対象とはなりません。これは、隠しフォーム要素に組み込まれるか、または HTTP のセッ
ション変数に格納されます。
プロファイルの編集
Admin クラスを使用して、エントリの追加、削除、修正、または名前変更を行うことができます。
前のセクションで説明した ModifyAction.java が、エントリを更新する modifyEntry() メ
ソッドを呼び出します。 modifyEntry() メソッドは、 formatSimpleTableForModify() に
よって作成された、修正された値を含むフォームデータを使用します。次に示す例は、 230 ページ
の「ディレクトリサーバーエントリの場所の確認」と同じメソッドを使用したコードの一部です。
プロファイルのディレクトリサーバーエントリの編集
以下のコード例は、ディレクトリサーバーのエントリを編集するメソッドを示します。
Admin
オブジェクトを
作成します
StringBuffer pageContents = new StringBuffer();
StringBuffer statusMessage = new StringBuffer();
String method = (String)request.getMethod();
String type = request.getParameter(Common.TYPE);
String POST_PREFIX = "modify_";
int ID_LENGTH = 3;
Admin webAdmin = Admin.getWebAdmin();
String subjectDN = (String)request.getParameter(Common.SUBJECT_DN);
String action = request.getParameter(Common.ACTION);
HtmlModifyFormatter.SimpleTableFormatStatus formatStatus = null;
String formName = "MODIFY_FORM";
// User has already modified the entry, so now attempt to write to
LDAP.
if ( method.equalsIgnoreCase(Common.POST_METHOD) )
{
//Admin.TRACE("Modify.jsp::Got a post:: attempt to update
"+type);
HTML フォーム
データを使用し
てディレクトリ
サーバー
エントリを
修正します
Hashtable postDataList = webAdmin.getPostData(request, response,
POST_PREFIX, ID_LENGTH);
boolean bRetVal = webAdmin.setEntry(request, response,
postDataList,
null);
if ( bRetVal ) //success
234
第 10 章
statusMessage.append(HtmlModifyFormatter.getStatusMessage(request));
else // failure
{
statusMessage.append(DataStrings.getI18nString("><Failed to
modify an entry at DN = \"{0}\".", subjectDN));
statusMessage.append("\n<br>\n");
statusMessage.append("><Please try again or contact your
administrator.");
}
}
else
{
... エントリの属性の表示 ( 前のセクションを参照 ) ...
}
ModifyAction.java のすべてのコードリストは、 JavaScript を使用して、必要なすべての属性
が HTML フォームデータに含まれていることを確認します。
JSP コンテナと JAR ファイルについて
Select Access の Jetty JSP コンテナは <SA_install_path>\shared\jetty\policy_builder\
webadmin フォルダに格納されているすべての JAR ファイルをロードするため、サーブレットが
正しくパッケージ化されていることを確認する必要があります。よって、以下を確認することを
お勧めします。
•
編集済み、再コンパイル済みサーブレットファイルが配布ステージングディレクトリの
webadmin フォルダに移動されていることを確認 (24 ページの「Windows または UNIX で
Web 管理インターフェイスを作成およびインストールするには」を参照 )。 webadmin フォル
ダにファイルがない場合、必ず移動してください。
•
Select Access SDK に付属するデフォルトのファイルを追加または削除した場合は、カスタマ
イズの状況に応じて、次のいずれかのフォルダに web.xml を手動でコピーしてください。
<SA_install_path>\shared\jetty\policy_builder\webadmin\
delegated_admin\WEB-INF\lib
または
<SA_install_path>\shared\jetty\policy_builder\webadmin\
self_management\WEB-INF\lib
または
<SA_install_path>\shared\jetty\policy_builder\webadmin\
self_registration\WEB-INF\lib
アクションクラスファイルの内容を変更しても、名前を変更しないことをお勧めし
ます。名前を変更した場合、 struts-config.xml を適切に編集する必要がありま
す。
管理サーブレット : Web 管理インターフェイス
235
236
第 10 章
11 ログのカスタマイズ : Logger API
Select Access は、 Java アプリケーションや C++ アプリケーションによる安全かつ構造化された方
法でのイベント報告を可能にする、Logger API を提供します。Logger API は、名前付きのログチャ
ネル、ログの重要度レベル、およびログの出力先を提供する Select Access のログクラスを使用し
ます。この章では、ログをアプリケーションに統合する方法を説明します。
この章の概要
この章では、Select Audit および Logger API の詳細と、サードパーティのログをデフォルトの Select
Access コンポーネントではないアプリケーションと統合する方法について説明します。
•
Logger API について (237 ページ )
•
Logger API の使用 (238 ページ )
•
C++ の Logger API (239 ページ )
•
Java の Logger API (242 ページ )
Logger API について
Logger API のメソッドには、ログフィルタを作成するメソッドとログイベントを記録するメソッ
ドの 2 種類があります。ログフィルタには次のような内容が含まれます。
•
出力先 : イベントメッセージの書き込み先。現時点では、ログエントリは、標準出力ストリー
ム、システムログ、ファイル、または Select Audit に書き込むことができます。
•
チャネル : Logger.ADMIN_CHANNEL、 Logger.CONFIG_CHANNEL のような、監査イベント
の種類を識別する任意の文字列。このフィルタですべてのログチャネルを受け入れることを
示す場合は「*」が使用されます。各チャネルでは重要度レベルを指定する必要があります。
•
重要度レベル : チャネルが受け入れる重要度の最低レベル。これよりも重要度が低いメッセー
ジは無視されます。現時点では、ログメッセージのレベルは、 DEBUG、 INFO、 WARNING、
ERROR、 FATAL のいずれかになります。
Logger API では、複数のログフィルタを設定できます。たとえば、あるログフィルタではすべて
のログチャネルの FATAL メッセージをシステムログに書き込み、別のログフィルタではテスト
用チャネルの DEBUG メッセージをローカルファイルに書き込むように設定することができます。
アプリケーションは、イベントの記録を行う際、イベントレベル、ログチャネル、およびメッ
セージを指定します。 Logger クラスは、チャネルおよびレベルをログフィルタと照合し、メッ
セージの出力先を指定します。
237
Logger は、適切なログチャネルおよび重要度レベルが設定されたログフィルタを見つけた場
合、メッセージをそのフィルタに指定された出力先に書き込みます。メッセージを受け付けるフィ
ルタが複数存在する場合、 Logger は、それらで指定されたすべての出力先にメッセージを書き
込みます。メッセージを受け付けるフィルタがない場合、そのメッセージは無視されます。
記録されるログエントリには、日付、時刻、チャネル名、およびメッセージのテキストが含まれ
ます。ログエントリのサンプルは、 Web サーバーからのログエントリを示しています。 Select
Audit がメッセージを XML としてフォーマットすることに注意してください。この動作は、Logger
API によるものではなく、 Select Audit の機能です。
ログエントリのサンプル
次の例では、サンプルイベントが Logger API によってログに記録されています。
2004/01/16
requests
2004/01/16
2004/01/16
2004/01/16
2004/01/16
11:45:23 myApplicationChannel System startup, ready to accept
11:45:24
11:45:25
11:45:26
11:45:45
myApplicationChannel
myApplicationChannel
myApplicationChannel
myApplicationChannel
admin /index.html 200
admin /images/icon.gif 200
admin /banner.html 200
jdoe /Secure/paylist.html 403
Logger API を使用して監査イベントを管理するアプリケーションには、 Policy Validator および
Enforcer プラグインがあります。これらは、 Policy Builder によって格納された XML 設定を使用し
て、ログフィルタを初期化します。フィルタの初期化後、コンポーネントおよびプラグインの
メッセージが記録されます。プラグインの詳細は、第 4 章、「認証方式と認証ルールのカスタマイ
ズ : Validator API」および第 5 章、「セキュリティサービスのカスタマイズ : Enforcer API」を参照
してください。
Logger API の使用
イベントを記録する前に、アプリケーションでログフィルタを設定する必要があります。ログ
フィルタを設定する場合、手動による方法と XML を使用する方法の 2 通りがあります。この章
では、 C++ Logger API でログフィルタを手動により設定する方法と、 Java Logger API で XML 設
定を使用する方法を説明します。
この章で取り上げる例では、監査メッセージは署名されません。署名された監査メッセージが必
要な場合は、プロフェッショナルサービスにお問い合わせください。
手動で C++ ログフィルタを設定するには
238
1
Logger::init() メソッドを使用して、 Logger API を初期化します。
2
LogFilter クラスをインスタンス化して、 1 つ以上のログフィルタを作成します。
3
setFilter() メソッドを使用して、フィルタの出力先を設定します。単一の出力先オブ
ジェクトを setFilter() に提供する必要があります。 239 ページの「C++ の Logger API」
では、静的なファクトリメソッドによって、ログの出力先を作成する方法を説明します。
LogSystem::FactoryFunc()、 LogStderr::FactoryFunc()、
LogFile::CreateFileLogger() などを使用します。
第 11 章
4
1 つ以上のチャネルをフィルタに追加します。チャネルはチャネル名と重要度レベルで構成
されています。チャネル名「*」は、すべてのチャネルを表します。重要度レベルは、
DEBUG、 INFO、 WARNING、 ERROR、 FATAL のいずれかになります。
5
フィルタをローカルのログ設定に追加します。
XML を使用して Java ログフィルタを設定するには
1
XML 設定を作成します。 XML が文字列またはファイルに格納されている場合は、パーサを
使用して XML ドキュメントを作成してください。
2
SyslogConfig.configure() を使用して、 XML 設定からログフィルタを作成します。
C++ の Logger API
C++ の Logger API は、 Logger.h ヘッダーファイルで定義されます。手動でフィルタの設定を実
行する場合、 LogFilter.h ヘッダーファイルをインクルードする必要があります。使用する出
力先の種類によっては、 LogStderr.h、 LogSystem.h、および LogFile.h もインクルードす
る必要があります。多くの Logger メソッドが静的メソッドである点に注意してください。
デフォルトの出力先を使用したメッセージの記録
Logger::log() には、使用するチャネル名、メッセージの重要度レベル、ログメッセージ自体
という、 3 つのパラメータがあります。フィルタの初期化前は、デフォルトのシステムログが使
用され、重要度が WARNING 以上のメッセージが記録されます。次のコード例では、デフォルトの
フィルタと出力先を使用してメッセージの記録を実行しています。 EnforcerSocketInit() メ
ソッドによって、 Windows プラットフォームで winsock が初期化されています。なお、 UNIX プ
ラットフォームでは、このメソッドは何も行いません。
#include <iostream>
#include "Logger.h"
#include "LogStderr.h"
#include "LogSystem.h"
#include "LogFilter.h"
#include "LogFile.h"
#ifdef SYS_UNIX
#define LOGFILE_NAME "/tmp/logtest"
#endif
#ifdef SYS_WINDOWS
#define LOGFILE_NAME "C:\\temp\\logtest"
#endif
int main(int argc, char *argv[])
{
// Initialize winsock if needed
winsock を
EnforcerSocketInit();
初期化します
// First, try logging to the default destination
ログのカスタマイズ : Logger API
239
Logger::log("LogTestChannel", ENFORCER_LOG_WARNING,
">#<Test 1::default output channel");
Logger::log(LogTestChannel, ENFORCER_LOG_INFO, ">#<Test 2::Should
not be logged");
デフォルトの
出力先にログを
記録します
... 手動による設定 ...
... 手動で設定したチャネルの動作確認 ...
}
手動によるログフィルタの設定
LogTest.java は、デフォルトのフィルタの動作確認後、 Logger::init() メソッドを使用し
て、 Logger API を初期化します。この静的メソッドは、その時点で設定されているすべてのフィ
ルタを消去し、デフォルトのログの出力先によって API を初期化します。次に、 LogTest.java
は新しいフィルタを作成して、出力先とチャネルを追加します。
LogFilter::LogFilter() コンストラクタは空のフィルタを作成します。コード例では、
setDestination() メソッドを使用して、出力先の参照を追加しています。パラメータでは、
出力先を指定します。これは通常、使用する出力の種類に対応するファクトリメソッドによっ
て作成されます。たとえば、 LogStderr::FactoryFunc() メソッドは標準エラーに記録する
オブジェクト、 LogSystem::FactoryFunc() はシステムログに記録するオブジェクト、
LogFile::CreateFileLogger() はファイルに記録するオブジェクトを作成します。各ファ
クトリメソッドが異なるパラメータを持つ点に注意してください。ログファイルにはファイル
名と、ファイルの最大サイズを指定するパラメータ、監査要素には Select Audit のホストとポー
トが必要です。
各フィルタには 1 つ以上のチャネルを追加する必要があります。チャネルを追加するには、
LogFilter::addChannel() メソッドを使用します。このメソッドには、チャネル名とログレ
ベルという 2 つのパラメータがあります。 NULL をチャネル名として使用すると、すべてのチャネ
ルが受け入れられます。記録されるメッセージは、設定された重要度レベル以上のもののみとな
り、それ以外のメッセージはすべて無視されます。すべてのチャネルがフィルタに追加されると、
LogTest.java は、 Logger::addFilter() メソッドを使用して、フィルタを Logger クラス
に追加します。
カスタムログフィルタの設定例
次のコード例では、システムログ、標準エラー、ログファイルのフィルタを設定しています。
... ヘッダー ...
int main(int argc, char *argv[])
{
... デフォルトチャネルの動作確認 ...
Logger を
初期化します
フィルタを
作成します
240
// Now, try building an interesting log channel
Logger::init("LogTest");
// Build a filter for stderr
LogFilter *filt = new LogFilter();
第 11 章
filt->setDestination(LogStderr::FactoryFunc("LogTest", NULL));
filt->addChannel("LogTestChannelError", ENFORCER_LOG_ERROR);
filt->addChannel("LogTestChannelDebug", ENFORCER_LOG_DEBUG);
filt->addChannel(NULL, ENFORCER_LOG_FATAL);
標準エラーの
出力先を
設定します
// Give the filter to the logger; the logger will delete it later
Logger::addFilter(filt);
フィルタを
Logger に追加
します
// Build another filter for syslog
filt = new LogFilter();
filt->setDestination(LogSystem::FactoryFunc("LogTest", NULL));
filt->addChannel(NULL, ENFORCER_LOG_WARNING);
Logger::addFilter(filt);
システムログの出
力先を設定します
// And another filter for an output file
filt = new LogFilter();
ファイルの出力
先を設定します
filt->setDestination(LogFile::CreateFileLogger("LogTest",
LOFGFILE_NAME, 100));
filt->addChannel("LogTestChannelDebug", ENFORCER_LOG_DEBUG);
Logger::addFilter(filt);
... カスタムチャネルへのログエントリの送信 ...
... クリーンアップ ...
}
メッセージの記録
次のコード例に示すように、ログフィルタの設定後、 LogTest.java は、 Logger::log() を
使用して監査イベントの記録を実行します。メッセージは複数の出力先に書き込まれます。この
メソッドには、チャネル名、重要度レベル、メッセージという 3 つのパラメータがあります。メ
ソッドは、チャネル名と重要度レベルを基に、メッセージの出力先を決定します。
Logger::log() は printf と同様に機能します。「%」変数を含む文字列は、フォーマットされ
メッセージに挿入される追加のパラメータを受け付けます。
... ヘッダー ...
int main(int argc, char *argv[])
{
... デフォルトチャネルの動作確認 ...
... カスタムチャネルの設定 ...
チャネルの
メッセージを
記録します
// Now, some interesting messages
Logger::log("LogTestChannelError", ENFORCER_LOG_ERROR, ">#<test 3 ::
%s", "logged");
ログのカスタマイズ : Logger API
241
Logger::log("LogTestChannelError", ENFORCER_LOG_WARNING, ">#<test 4
:: %s", "only to system log");
Logger::log("LogTestChannelDebug", ENFORCER_LOG_DEBUG, "test 5 ::
%s", "logged");
Logger::log("UndefinedChannel", ENFORCER_LOG_INFO, ">#<test 6 ::
%s", "not logged");
// You should have seen test messages 3 and 5
// Messages 1, 3, and 4 should be in the system log;
// Messages 3 and 4 should be in /tmp/logtest.1
別のチャネル
のメッセージ
を記録します
ログファイルの
ロールオーバー
をテストします。
サイズが上限に
達した場合は
新しいログを
作成します
// Now, try to force /tmp/testlog to roll
for (int i = 0 ; i < 100 ; i++)
{
Logger::log("LogTestChannelDebug", ENFORCER_LOG_DEBUG, "Roll test
%d", i);
}
}
Java の Logger API
LogTest.java プログラムは Java の Logger API です。このアプリケーションを実行するには、
Enforcer JAR ファイルおよび従属するアーカイブがクラスパスに組み込まれている必要があります。
Java Logger API は Logger クラスによって定義されます。XML クラスもインポートする必要があ
ります。多くの Logger メソッドが静的メソッドである点に注意してください。
デフォルトの出力先を使用したメッセージの記録
logClient 要素に出力先の要素が含まれていない場合、デフォルトの出力先が設定されます。レ
ベルが WARNING 以上であるメッセージのデフォルトの出力先は、デフォルトのシステムログで
す。次の XML により、デフォルトの出力先を使用するように Logger が設定されます。
<logClient></logClient>
XML を使用したログフィルタの設定
Java の Logger API では、フィルタを直接作成するメソッドは公開されていません。そのため、XML
ドキュメントを使用して、 Java の Logger クラスを設定する必要があります。次に XML による
設定の例を示します。この例では、システムログ、標準エラー、ログファイル、および Select
Audit の出力先を設定しています。この XML ドキュメントを SyslogConfig.configure() に
渡すことによって、 4 つのフィルタが設定されます。標準エラーフィルタが、 1 つの出力先に対
して複数のログチャネルを設定する点に注意してください。
<logClientConfig>
<destination>
<systemLog />
<channel level="DEBUG" name="*" />
242
第 11 章
</destination>
<destination>
<file unixName="/tmp/sa.log" windowsName="c:\temp\sa.log\"
maxSize="5000"/>
<channel name = "*" level="DEBUG" />
</destination>
<destination>
<stderr/>
<channel name="applicationLog" level="ERROR"/>
<channel name="debugLog" level="DEBUG"/>
</destination>
<destination>
<logServer host="127.0.0.1" port="9989"/>
<channel name="*" level="WARNING"/>
</destination>
</logClientConfig>
XML の設定
次のコード例は、 Java Logger API へのアクセスに必要なクラスのインポートを示しています。
Logger を初期化するには、 Logger API パッケージの他に XML パッケージを使用する必要があり
ます。
package examples.logtest;
// Import the Logging API classes
import com.hp.ov.auditserver.*;
import com.hp.ov.auditserver.config.*;
import com.hp.ov.selectaccess.util.Logger;
// Import other helper classes
import java.io.StringReader;
import com.sun.xml.tree.XmlDocument;
import com.hp.ov.selectaccess.util.XmlDocumentFactory;
import com.hp.ov.selectaccess.util.XmlElement;
public class LogTest
{
// Test configuration (as XML)
public static final String SampleConfig;
public static final String ClientName = "LogTest";
... ログを設定するメソッドの宣言 ...
... メッセージを記録するメソッドの宣言 ...
}
SampleConfig 文字列は、前の例に示したような XML 設定を格納します。 LogTest は XML 文
字列の前後に StringReader を作成し、これを使用して LogClientConfiguration を取得
し、さらに LogClientConfiguration.validate() を使用して設定を確認します。確認結果
ログのカスタマイズ : Logger API
243
が有効であった場合、この設定を使用して、ログフィルタの配列を取得します。取得されたログ
フィルタの配列、デフォルトのシステムログ、名前を使用し、 SyslogConfig.configure()
メソッドによって、 Logger を設定します。次のコード例は、このメソッドの通常の使用例を示
しています。
public LogTest
{
... 定数の定義 ...
// Create and run a logging test.
public static void main(String[] args)
{
try
{
LogTest test = new LogTest(SampleConfig);
// Run tests.
test.runTests();
} catch (Exception e) {
}
}
// Create a LogTest instance, and configure logging.
public LogTest(String configStr) throws Exception
{
StringReader reader = new StringReader(configStr);
XML から
StringReader を
作成します
Destination[] destinations = null;
XML からログ
フィルタ設定を
作成します
LogClientConfig logClientConfig =
LogClientConfig.unmarshal(reader);
logClientConfig.validate();
if (logClientConfig != null)
destinations = logClientConfig.getDestination();
SyslogConfig.configure
(
ClientName,
// Name of program doing the logging
false,
// always false, internal only
destinations,
// an array of log filters
Logger.getInstance().getSyslogLogger(), // the default system
logger
false,
// useXML, should always be false
null,
// always false, used for signing
0
// always 0, used for signing
);
SyslogConfig を
使用して、 Logger
のログフィルタ
を設定します
}
... サンプルデータを記録するメソッドの定義 ...
}
244
第 11 章
メッセージの記録
ログフィルタの設定後、 LogTest.java は、 Logger.log() を使用して、監査イベントの記録
を実行します。メッセージは複数の出力先に書き込まれます。メソッドには、 Logger のクライア
ント名、チャネル名、可読メッセージ ( 判読可能なテキスト )、拡張メッセージ、およびレベルと
いう 5 つのパラメータがあります。メソッドは、チャネル名と重要度レベルを基に、メッセージ
の出力先を決定します。拡張メッセージは null でも構いません。アプリケーションは必ず可読
メッセージを提供する必要があります。
カスタムチャネルへのログ
次の例では、静的な Logger.log() メソッドを使用してメッセージを記録しています。メソッド
runTests() は、設定された各チャネルの重要度レベルで監査イベントを生成します。アプリ
ケーションはカスタムチャネルを作成できますが、必ず Logger で定義されたログレベルを使用
する必要があります。
public LogTest
{
... 定数の定義 ...
... Logger を設定するメソッドの定義 ...
あらかじめ
定義されたログ
チャネルのリスト
あらかじめ
定義されたログ
レベルのリスト
ログレベルの
判読可能な名前
すべてのチャネル
をテストします
// Run tests.
public void runTests()
{
String channels[] = {
Logger.ADMIN_CHANNEL,
Logger.POLICY_CHANNEL,
Logger.OPERATION_CHANNEL,
Logger.CONFIG_CHANNEL,
Logger.ENFORCER_PLUGIN_CHANNEL,
Logger.WORKFLOW_CHANNEL
};
int levels[] = {
Logger.LOG_LEVEL_DEBUG,
Logger.LOG_LEVEL_INFO,
Logger.LOG_LEVEL_WARNING,
Logger.LOG_LEVEL_ERROR,
Logger.LOG_LEVEL_FATAL
};
String levelNames[] = {
"debug",
"info",
"warning",
"error",
"fatal"
};
for (int ic=0; ic<channels.length; ++ic)
{
ログのカスタマイズ : Logger API
245
String channel = channels[ic];
for (int il=0; il<levels.length; ++il)
{
int level = levels[il];
String levelName = levelNames[il];
String shortMsg = "short(" + channel + ", " + levelName +
")";
String longMsg
= "long(" + channel + ", " + levelName +
テストチャネル ")";
Logger.log(ClientName, channel, shortMsg, longMsg, level);
のメッセージを
記録します
}
}
}
}
246
第 11 章
12 プロパティエディタのカスタマイズ :
サブジェクトエディタ API
サブジェクトエディタ API では、ユーザー、グループ、ダイナミックグループ、およびフォルダ
のプロパティを編集する設定画面のカスタマイズが可能です。デフォルトのプロパティパネルは
この API を使用して作成されています。この章では、サブジェクトエディタ API を使用して Policy
Builder のプロパティエディタパネルをカスタマイズする方法について説明します。
この章の概要
この章では、サブジェクトエディタ API を使用して、アイデンティティプロファイル用のカスタ
ムサブジェクトエディタを作成する方法について説明します。
•
サブジェクトエディタ API について (247 ページ )
•
サブジェクトエディタプラグインの作成 (248 ページ )
•
サブジェクトエディタプラグインのインストールと削除 (255 ページ )
サブジェクトエディタ API について
サブジェクトエディタ API はポリシーストアからデータを取得します。取得されたデータは
SubjectEditorPluginScreen に表示され、そこで編集されます。このクラスは、JTabbedPane
で表示される拡張された JPanel です。サブジェクトエディタ API は、エントリの objectClass
属性および XML 設定ファイルに基づいて、ディレクトリプロファイルに対応したサブジェクトエ
ディタプラグインを表示します。次に XML による設定の例を示します。
<?xml version='1.0' encoding="UTF-8"?>
<SubjectEditorPluginConfig pluginDescription="Employee properties
plugin" >
<SubjectEditorPluginMapping
objectClass="inetOrgPerson"
screenClass="EmployeeSubjectEditorPanel"
/>
<SubjectEditorPluginMapping
objectClass="organizationalPerson"
screenClass="EmployeeSubjectEditorPanel"
/>
</SubjectEditorPluginConfig>
247
Policy Builder は設定を検索し、ディレクトリエントリの objectClass に基づいて、サブジェ
クトエディタプラグインを作成します。上記の例は、 organizationalPerson および
inetOrgPerson オブジェクトの LDAP エントリを編集する際、
EmployeeSubjectEditorPanel を追加します。この screenClass には、パッケージを含む
完全なクラス名を組み込む必要があります。プラグインの説明は [ サブジェクトエディタプラグイ
ンの設定 ] ダイアログに表示されます。
サブジェクトエディタプラグインを使用して、言語指定子 (cn;lang-fr など ) を含んだ属性を
持つプロファイルのアイデンティティデータを設定しないでください。
サブジェクトエディタプラグインの作成
サブジェクトエディタプラグインは、 JPanel を拡張する抽象クラス
SubjectEditorPluginScreen を拡張する Java クラスです。プラグインでは次の抽象メソッ
ドをオーバーライドします。
•
getScreenName(): タブのタイトルとして表示する名前を返します。
•
createScreen(): Policy Builder で画面を最初に作成する際に呼び出されます。 1 つのセッ
ションで 1 回だけ呼び出されます。
•
openScreen(): エントリを編集するために画面が最初に開かれる際に呼び出されます。
•
loadScreenData(): タブの選択が行われるたびに呼び出されます。
•
validateScreenData(): saveScreenData() の前に呼び出されます。
•
saveScreenData(): [OK] ボタンが押された時点で呼び出されます。
•
closeScreenData(): [OK] または [ 取消 ] ボタンが押された時点で呼び出されます。
•
showHelp(): [ ヘルプ ] ボタンが押され、サブジェクトエディタプラグインの JPanel が選
択されている場合に呼び出されます。
これらのメソッドは、ディレクトリサーバーエントリの修正時に Policy Builder によって呼び出
されます。
新しいサブジェクトエディタプラグインを作成するには
1
SubjectEditorPluginScreen を作成し、ディレクトリエントリの属性を設定します。
2
上記の抽象メソッドをオーバーライドします。
3
プラグインをコンパイルし、 Java アーカイブ (JAR) ファイルを作成します。
4
プラグインの XML 設定ファイルを作成します。
5
プラグインをロードします。
6
プラグインをテストします。グラフィカルコンポーネントが正しく動作し、アイデンティ
ティ、グループ、ダイナミックグループ、またはフォルダの属性が適切に更新されているこ
とを確認します。
サブジェクトエディタプラグインは 1 つのアプレットのセッションで 1 回だけ初期
化されるため、プラグインをテストする前に Policy Builder で実行中のセッションをす
べて終了する必要があります。
248
第 12 章
サブジェクトエディタプラグインのプレビュー
次のサンプルは、標準的なプラグインの構造を示しています。この章では、サブジェクトエディ
タ API について、 EmployeeSubjectEditorPanel を使用して説明します。
import com.hp.ov.selectaccess.adminserver.interfaces.*;
import com.hp.ov.selectaccess.policybuilder.interfaces.*;
import com.hp.ov.selectaccess.policybuilder.common.*;
public class EmployeeSubjectEditorPanel extends
SubjectEditorPluginScreen
implements ActionListener
{
public EmployeeSubjectEditorPanel() {...}
public void createScreen(SubjectEditorPluginMainFrame mainFrame)
throws Exception {...}
public void closeScreen() {...}
public String getScreenName() throws Exception {...}
public void loadScreenData() throws Exception {...}
public void openScreen
(
SubjectNodeData sourceData,
SubjectEntry originalEntryData,
SubjectEntry entryData
) throws Exception {...}
public void saveScreenData() throws Exception {...}
public void showHelp() throws Exception {...}
public boolean validateScreenData(javax.swing.JTabbedPane
tabbedPane) throws {...}
}
画面のインターフェイスの作成
サブジェクトエディタプラグインを作成するには、まず、 LDAP のプロパティの編集に使用する
グラフィカルインターフェイスを設計します。開発環境を使用している場合、 JPanel コンポー
ネントを設計し、クラスを修正して SubjectEditorPluginScreen を拡張できます。図 20 は、
EmployeeSubjectEditorPanel クラスのグラフィカルインターフェイスを示しています。こ
のインターフェイスは 1 つ以上の JTextField を動的に割り当て、属性値の変更を表示および取
得します。複数の値を持つ属性の場合、複数のフィールドが表示されます。 employeeType など
の複数の値を持つ属性値を追加および削除するには、[Add Value] および [Delete Value] ボタンを使
用します。
プロパティエディタのカスタマイズ : サブジェクトエディタ API
249
図 20
カスタマイズされたサブジェクトエディタプラグインの作成
getScreenName() メソッドのオーバーライド
getScreenName() メソッドにはパラメータは不要です。このメソッドを使用して、タブパネル
に表示されるタブのテキストを取得します。次のコードは、タブのテキスト「Employee Information」
を表示します。
public String getScreenName() throws Exception
{
return inl8n.getString(SCREEN_NAME);
}
createScreen() メソッドのオーバーライド
次に示すように、 Policy Builder は初めてサブジェクトエディタプラグインを使用する際、
createScreen() を呼び出します。このメソッドはパラメータ mainFrame を 1 つ持ちます。こ
のパラメータは将来的なアクセスに備えて保存しておく必要があります。たとえば、このパラメー
タを使用して、 displayMessageBox() などのヘルパーメソッドにアクセスします。
public void createScreen(SubjectEditorPluginMainFrame mainFrame) throws
Exception
{
this.mainFrame = mainFrame;
// Remove any attribute value fields
250
第 12 章
clearData();
}
openScreen() メソッドのオーバーライド
Policy Builder はサブジェクトエントリの編集が行われるたびに openScreen() を呼び出しま
す。このメソッドの 3 つのパラメータは、現在の属性の表示、属性の確認、および属性の更新に
必要なディレクトリエントリデータを提供します。これらの値は、他のメソッドが使用できるよ
うに保存しておく必要があります。次のコードサンプルに例を示します。
public void openScreen(SubjectNodeData sourceData, SubjectEntry
originalEntryData, SubjectEntry entryData) throws Exception
{
this.sourceData = sourceData;
this.originalEntryData = originalEntryData;
this.entry = entryData;
}
loadScreenData() メソッドのオーバーライド
画面が作成され開かれた後、 Policy Builder は loadScreenData() を呼び出して、グラフィカル
インターフェイスの状態を設定します。次のサンプルに示すように、このメソッドは初めて画面
が開かれた際、および、管理者がタブを切り替える際に呼び出されます。
EmployeeSubjectEditorPanel は各属性値の JTextField を動的に作成するため、次に示す
メソッドではフラグを使用して、 GUI が複数回作成されることを防ぎます。 isConfigured フラ
グを使用しない場合、管理者がタブを切り替えるたびに新しい JTextField が属性に追加される
ことになります。
public void loadScreenData() throws Exception
{
if (isConfigured)
return;
// Remove any attribute value fields
clearData();
SubjectEntryData entryData = (SubjectEntryData)
entryData.getEntryData();
AttributeData attr = entryData.getAttribute(DESCRIPTION_ATTR);
attr
Vector values;
values = attr.getAttributeStringValues(DESCRIPTION_ATTR);
setFieldValues(descriptionPanel, values,
attr.isSingleValuedAttribute());
values = entryData.getAttributeValues(EMPLOYEE_NUMBER_ATTR);
setFieldValues(employeeNumberPanel, values,
attr.isSingleValuedAttribute());
values = entryData.getAttributeStringValues(EMPLOYEE_TYPE_ATTR);
setFieldValues(employeeTypePanel, values,
attr.isSingleValuedAttribute());
isConfigured = true;
}
プロパティエディタのカスタマイズ : サブジェクトエディタ API
251
private void setFieldValues(javax.swing.JPanel panel, Vector values,
boolean isMulti)
{
// No value, so provide an empty attribute value text field
if ((values == null) || (values.size() == 0))
{
addAttributeTextField(panel);
return;
}
Iterator iter = values.iterator();
if (isMulti)
{
// Add a text field for each attribute value
while (iter.hasNext())
{
addAttributeTextField(panel, (String) iter.next());
}
}
else
// Attribute is single valued, so Vector should have only one
value
addAttributeTextField(panel, (String) iter.next());
}
EmployeeSubjectEditorPanel.loadScreenData() は openScreen() から取得された
SubjectEntryData を使用します。また、エントリデータを使用して、 AttributeData を取
得します。これにより、属性値へのアクセスが提供され、属性が複数の値を持つかどうかを確認
できます。 setFieldValues() メソッドは、各属性値の JTextField を作成します。属性に値
が存在しない場合、または値が 1 つしかない場合、 setFieldValues() はテキストフィールド
を 1 つ作成します。
validateScreenData() メソッドのオーバーライド
Policy Builder は、 [OK] ボタンが押された時点で validateScreenData() を呼び出します。すべ
てのサブジェクトエディタパネルで画面データの確認が正常に完了した場合、
saveScreenData() メソッドが呼び出されます。このメソッドは、すべての属性値が適切に
フォーマットされた値を持っていることを確認します。必須の属性は、適切な値を少なくとも 1
つ持っている必要があります。
public boolean validateScreenData(javax.swing.JTabbedPane tabbedPane)
throws Exception
{
// error handling
SubjectEntryData entryData = (SubjectEntryData)
entry.getEntryData();
boolean success = true;
for (int i = 0; ((i < panels.length) && i < (attributeNames.length));
i++)
{
252
第 12 章
AttributeData attr = entryData.getAttribute(attributeNames[i]);
Vector values = getProperties(panels[i]);
if ((attr.isRequiredAttribute()) && (values.size() < 1))
{
mainFrame.showMessageBox(inl8n.getString(MUST_HAVE_VALUE);
success = false;
}
else if ((attr.isSingleValuedAttribute()) && (values.size() > 1))
{
mainFrame.showMessageBox(inl8n.getString(TOO_MANY_VALUES);
success = false;
}
}
return success;
}
saveScreenData() メソッドのオーバーライド
サブジェクトエディタのすべてのタブでデータが確認された後、 Policy Builder は
saveScrenData() を呼び出して、属性値を更新します。属性値を追加する際、空すなわち null
の値について考慮する必要があります。属性が値を持たない場合、その属性をディレクトリエン
トリから削除する必要があります。不適切な属性や読み取り専用の属性は更新できません。
public void saveScreenData() throws Exception
{
SubjectEntryData entryData = (SubjectEntryData)
entry.getEntryData();
for (int i = 0; ((i < panels.length) && i < (attributeNames.length));
i++)
{
AttributeData attr = entryData.getAttribute(attributeNames[i]);
if ((!attr.isReadOnly) && (attr.isPreferredAttribute))
{
Vector values = getProperties(panels[i]);
if (values.size() < 1)
entryData.removeAttribute(attributeNames[i])
else
entryData.setAttributeValues(attributeNames[i], values);
}
}
}
closeScreen() メソッドのオーバーライド
画面の使用を終了する際、 Policy Builder は closeScreen() を呼び出します。これは、管理者が
[OK] または [ 取消 ] をクリックしたときに呼び出されます。 EmployeeSubjectEditorPanel プ
ラグインは、動的に作成されたすべての JTextField を削除し、isConfigured フラグをリセッ
トします。
public void closeScreen()
プロパティエディタのカスタマイズ : サブジェクトエディタ API
253
{
isConfigured = false;
clearData();
}
showHelp() メソッドのオーバーライド
Policy Builder は、タブ付きのパネルが選択されている状態で管理者が [ ヘルプ ] ボタンをクリック
した場合に、 showHelp() メソッドを呼び出します。次に示す showHelp() メソッドは、 Java の
HelpSet クラスを使用して、ヘルプウィンドウを作成します。 HelpSet のドキュメントは、
<SA_install_path>/shared/jetty/policy_builder/protected ディレクトリまたはサ
ブディレクトリに配置する必要があります。提供されている HelpSet ドキュメントと区別するた
めに、作成したヘルプファイルは help/plugins ディレクトリに格納することをお勧めします。
Java の HelpSet クラスは Policy Builder によって使用されるため、各クラスはあらかじめプラグ
インのクラスパスに配置されています。 Policy Builder では、専用のクラスローダー
ClassLoaderFromJarBytes が使用される点に注意してください。このクラスローダーはプラ
グインのインスタンスの作成に使用されます。クラスの場所を確認後、インスタンスが作成され
ます。ただし、 getResource() および getResourceAsStream() メソッドのオーバーライド
は行いません。よって、クラスの JAR ファイルで HelpSet ドキュメントをパッケージすること
はできません。ドキュメントを Administration Server に配置し、 URL を作成する必要があります。
ヘルプの表示
次のコードサンプルは、 JApplet を使用して、 Administration Server へのベース URL を取得する
方法を示しています。ベース URL にドキュメントの相対パスを追加し、 HelpSet のインスタン
ス化を行います。ドキュメントが Administration Server 上に配置されていない場合、メソッドは
Select Access が提供する HelpSet ドキュメントの場所を検索して表示します。
public void showHelp() throws Exception
{
if (helpSet == null)
{
// Locate and initialize the HelpSet for this panel
createHelpSet();
if (helpSet == null)
{
// Display error message, could not create HelpSet or default
HelpSet
mainFrame.showMessageBox(inl8n.getString(ERROR_DEFAULT_HELP));
return;
}
// Create a HelpBroker to display the HelpSet
helpBroker = helpSet.createHelpBroker();
// Set the help modal based on current JDialog
WindowPresentation win =
(DefaultHelpBroker) helpBroker).getWindowPresentation();
win.setActivationWindow(this.getParentDialog());
}
254
第 12 章
// Display the HelpSet
helpBroker.setViewDisplayed(true);
helpBroker.setDisplayed(true);
}
private void createHelpSet()
{
ClassLoader loader = getClass().getClassLoader();
URL url = null;
URL baseUrl = null;
try
{
// Get the URL to the Policy Builder
baseUrl = mainFrame.getMainApplet().getCodeBase();
// Add the relative path of the documentation
url = new URL (baseUrl, HELP_SET_URL);
if (url != null)
helpSet = new HelpSet(loader, url);
else
{
mainFrame.showMessageBox(inl8n.getString(ERROR_HELP_LOCATE));
}
}
catch (Exception e)
{
mainFrame.showMessageBox(inl8n.getString(ERROR_HELP_CREATE));
getDefaultPolicyBuilderHelpSet(loader, baseUrl);
}
catch (ExceptionInInitializerError ex)
{
mainFrame.showMessageBox(inl8n.getString(ERROR_HELP_INIT));
getDefaultPolicyBuilderHelpSet(loader, baseUrl);
}
}
サブジェクトエディタプラグインのインストールと削除
作成したサブジェクトエディタプラグインは、インストールおよび削除が可能です。サブジェク
トエディタプラグインを削除すると、インターフェイスは Select Access のデフォルトに戻ります。
サブジェクトエディタプラグインをインストールするには
1
変更内容をコンパイルします。
2
必要なクラスを Java アーカイブに追加します。
3
XML 設定を作成します。
プロパティエディタのカスタマイズ : サブジェクトエディタ API
255
4
Policy Builder から [ ツール ] → [ サブジェクトエディタプラグインの設定 ] の順にクリックして、
サブジェクトエディタプラグインをアップロードします。詳細は、『HP OpenView Select
Access 6.2 Policy Builder ガイド』を参照してください。
5
Policy Builder を再起動します。
Policy Builder は、セッションごとに 1 度だけサブジェクトエディタプラグインを初期化し
ます。以降のセッションでは、ディレクトリプロファイルを編集するタブ付きのパネルに、
作成したプラグインの画面が表示されます。
Select Access は、それぞれのケースに対して最も適切なアルゴリズムを使用して、タ
ブペインに表示するプラグインの順序を決定します。順序を明示的に指定することは
できません。
サブジェクトエディタプラグインを削除するには
256
1
Policy Builder で [ ツール ] → [ サブジェクトエディタプラグインの設定 ] の順にクリックします。
2
[サブジェクトエディタプラグインの設定] 画面でプラグインを選択し、[削除] をクリックします。
第 12 章
A クエリ : アクセスの理解と評価
Policy Validator のクエリは、 Select Access のアクセス制御システムの重要な要素です。データのエ
ンコードと送信の際に XML を使用することにより、あらゆるフォームや種類のデータをクエリ
に含めることができます。この付録では、これらのクエリのフォーマットの詳細を理解し、実装
する方法を説明します。
付録の概要
表 28 にこの付録で取り上げる主なトピックを示します。
表 28
クエリ関連トピック
トピック内容
参照箇所
Enforcer プラグインが XML クエリを Policy
Validator に送信するプロセスの概要。
クエリとは (257 ページ )
XML クエリと応答の構造。
XML クエリの構造 (258 ページ )
特定の目的のためのプラグインを持たないクエリ
プロパティタグのリスト。
クエリに含まれるプロパティ (260 ページ )
クエリユーティリティの概要およびユーティリ
ティを使用して環境内の Select Access コンポーネ
ントのパフォーマンスを評価する方法。
クエリユーティリティ (261 ページ )
クエリとは
クエリとは、アイデンティティが Enforcer で保護された Web サーバー上の特定のリソースを要求
した際に Enforcer プラグインが作成する、XML によってエンコードされた要求を指します。Policy
Validator は、この要求を受け取ると、ポリシーストアでアイデンティティのアクセスポリシー
を評価して、ネットワークリソースへのアイデンティティのアクセスを許可するかどうかを判定
します。判定後、 Policy Validator は Enforcer プラグインに判定結果を返します。
クエリの使用方法
Policy Validator および Enforcer プラグインがアイデンティティのアクセス要求を評価するプロセ
スの概要を次に示します。
1
アイデンティティから受信したアクセス要求に関する情報を Enforcer プラグインが収集し、
XML クエリとして認めたデータを Policy Validator に送信します。
257
2
Policy Validator は、クエリを受け取ると暗号を解読し、該当のアイデンティティとリソース
のペアに関して、データの参照がさらに必要かどうかを判断します。
3
Policy Validator は、アイデンティティとリソースのペアに関して必要なポリシー情報をポリ
シーストアから入手し、要求に関連するポリシーのロジックおよび条件を確認します。この
情報は、将来必要になったときのためにキャッシュに格納されます。
4
条件付きポリシーが確認された場合は、 Policy Validator は 1 つまたは複数の条件付きルール
内で定義されたルールの基準をチェックして評価および判定を実行します。そして、判定結
果を導き出します。
5
Policy Validator は、要求を行った Enforcer プラグインにポリシーロジックの結果を送信しま
す。 Enforcer プラグインはその判定結果を実行します。
XML クエリの構造
Policy Validator は、各 Enforcer プラグインから XML 形式のクエリを受け取ります。 Enforcer プラ
グインは、 Policy Validator に対するクエリを XML を使用してエンコードします。 XML はクエリ
構造の情報を変更できる点で非常に拡張性が高いため、クエリに属性と値の新しいペアを自由に
追加できます。
Select Access は不要な属性はすべて無視します。
このようにして、承認ルールと同様に、あらゆる種類のデータを Policy Validator に渡すことがで
きます。たとえば、次のデータを渡すことができます。
•
X.509 デジタル証明書などのバイナリオブジェクト
•
電子メール全体などの複雑なオブジェクト
•
標準テキストなどの単純なオブジェクト
たとえば、Lance Mountain のために Enforcer プラグインが送信する XML クエリを以下のサンプル
に示します。このクエリから、 Enforcer プラグインの [ クエリ詳細 ] パラメータの設定が
[Maximal] であったことがわかります。さらに、このクエリは、連携パートナーから転送された
Lance の個別化の詳細と、ディレクトリサーバーの Steve Smith に関する一連の情報も示します。
次のタグのペアがデータをどのように囲んでいるかを確認してください。
•
<PolicyValidatorQuery> と </PolicyValidatorQuery> は、クエリ全体とクエリに含
まれるデータ全体を囲んでいます。
•
<PROPERTY NAME="name"></PROPERTY> は、プロパティ "name" に対する値を囲んでいま
す。
•
<PROPERTYLIST NAME="name"> は、プロパティリスト "name" ( この場合、ネストしたプ
ロパティリスト ) の値を囲んでいます。
<PolicyValidatorQuery>
<PROPERTY NAME="service">http://mymenu.foodcompany.com:8070</PROPERTY>
<PROPERTY NAME="path">/test/auth/submit.cgi</PROPERTY>
<PROPERTY NAME="dstIP">10.10.10.30</PROPERTY>
<PROPERTY NAME="srcIP">10.10.10.110</PROPERTY>
<PROPERTY NAME="dstPort">8070</PROPERTY>
<PROPERTY NAME="srcPort">4001</PROPERTY>
<PROPERTY NAME="dstHost">mymenu.foodcompany.com</PROPERTY>
<PROPERTY NAME="protocol">http</PROPERTY>
258
付録 A
<PROPERTY NAME="srcHost">user_isp.com</PROPERTY>
<PROPERTY NAME="nonce">AgAAAAAAPl5SEQAAAAA+XlRqc29sMDAxLmNhLmJhb
HRpbW9yZS5jb206OTk5OABwYXNzAGNuPXN0ZXZlIGtvdHNvcG91bG9zLG91
PXN0ZXZlLGRjPWNhLGRjPWJhbHRpbW9yZSxkYz1jb20AAGp790LYZin
TvdZ8UhpWv4CfkXtmu8885S0AeHA3vX7qrF353ASKBJ5RS2bJz1qCJXGfzK4v
QqfVTT0mcE8yIgJQefoFX+GnVV092WaFYtiOe7QjfpSqXtaQmShZC1QlRnAYJV
wo5Gx5s4B/THU5BgPKZyvUEJnK/pcsb2hOqCOd</PROPERTY>
<PROPERTYLIST NAME="post_data_list">
<PROPERTY NAME="fullname">Lance Mountain</PROPERTY>
<PROPERTY NAME="arrived">10am</PROPERTY>
</PROPERTYLIST>
<PROPERTY NAME="native_nonce">enable</PROPERTY>
<PROPERTY NAME="http_query">hungry=yes&lunch=pizza</PROPERTY>
<PROPERTYLIST NAME="http_query_list">
<PROPERTY NAME="hungry">yes</PROPERTY>
<PROPERTY NAME="lunch">pizza</PROPERTY>
</PROPERTYLIST>
<PROPERTY NAME="method">POST</PROPERTY>
<PROPERTYLIST NAME="http_header_list">
<PROPERTY NAME="Host">dev01:8070</PROPERTY>
<PROPERTY NAME="User-Agent">Mozilla/5.0 (Windows; U; en-US;
rv:1.0.1) Gecko/20020823 Netscape/7.0</PROPERTY>
<PROPERTY NAME="Accept">text/xml,application/xml,application/
xhtml+xml,text/html;q=0.9,text/plain;q=0.8,video/
x-mng,image/png,image/jpeg,image/gif;q=0.2,text/css,*/
*;q=0.1</PROPERTY>
<PROPERTY NAME="Accept-Language">en-us, en;q=0.50</PROPERTY>
<PROPERTY NAME="Accept-Encoding">gzip, deflate, compress;q=0.9
</PROPERTY>
<PROPERTY NAME="Accept-Charset">ISO-8859-1, utf-8;q=0.66, *;q=0.66
</PROPERTY>
<PROPERTY NAME="Keep-Alive">300</PROPERTY>
<PROPERTY NAME="Connection">keep-alive</PROPERTY>
<PROPERTY NAME="Referer">http://dev01:8070/test/allow/postfix.html
</PROPERTY>
<PROPERTY NAME="Cookie">PolicyUser=AgAAAAAAPl5SEQAAAAA+XlRqc29sMDA
xLmNhLmJhbHRpbW9yZS5jb206OTk5OABwYXNzAGNuPXN0ZXZlIGtvdHNvcG91b
G9zLG91PXN0ZXZlLGRjPWNhLGRjPWJhbHRpbW9yZSxkYz1jb20AAGp790LYZin
TvdZ8UhpWv4CfkXtmu8885S0AeHA3vX7qrF353ASKBJ5RS2bJz1qCJXGfzK4v
QqfVTT0mcE8yIgJQefoFX+GnVV092WaFYtiOe7QjfpSqXtaQmShZC1QlRnAYJV
wo5Gx5s4B/THU5BgPKZyvUEJnK/pcsb2hOqCOd</PROPERTY>
<PROPERTY NAME="Content-Type">application/x-www-form-urlencoded
</PROPERTY>
<PROPERTY NAME="Content-Length">54</PROPERTY>
</PROPERTYLIST>
<PROPERTY NAME="server">Apache/2.0.40 (Unix) DAV/2</PROPERTY>
<PROPERTY NAME="queryID">2</PROPERTY>
</PolicyValidatorQuery>
259
クエリに含まれるプロパティ
次の表は、文字列演算を使用して評価できるクエリプロパティタグの概要を示しています。いず
れかのクエリプロパティを頻繁に使用し、そのカスタム判定ポイントプラグインが必要な場合
は、 Select Access の拡張アーキテクチャを利用して、独自のプラグインを作成できます。詳細は、
第 4 章、「認証方式と認証ルールのカスタマイズ : Validator API」を参照してください。
表 29
クエリプロパティの構文
プロパティ
解説
値
cert
証明書判定ポイントが必要とす
る情報を送信するプロパティ。
PEM エンコーディング X.509 デジタル証
明書。
client
クライアントソフトウェアから
の情報を送信するプロパティ。
要求を開始したクライアントソフトウェ
アの名前とバージョン番号。
注記 : このデータは、標準の
サーバー判定ポイントによって
使用されることはありません。
dstHost
srcHost
1 台のコンピュータが複数の仮
想ホスト名をサポートする場合
に、ホスト名を明示的にするプ
ロパティ。
要求送信先ホストの名前。
注記 : このデータは、標準の
サーバー判定ポイントによって
使用されることはありません。
dstIP
宛先 IP 情報を取得するプロパ
ティ。
要求送信先の IP アドレス。
宛先ポート情報を取得するプロ
パティ。ポート判定ポイントで
は、このデータは必須です。
要求の送信先ポート。
protocol
ブラウザとサーバーの間での
データ転送に使用される形式を
説明するプロパティ。
任意の使用可能プロトコル。たとえば、
http、 https など
method
データのカプセル化に使用され任意の有効な HTTP ヘッダーコマンド。
た HTTP ヘッダーコマンドを説たとえば、 GET、 POST、 HEAD など。
明するプロパティ。
server
使用される Web サーバーの種類サポートされる任意の Web/ アプリケー
を説明するプロパティ。
ションサーバー (iPlanet Web サーバーな
ど )。
srcIP
dstPort
srcPort
XML クエリに対する Policy Validator の応答
応答も XML 形式です。応答には、次のデータが含まれます。
•
260
Enforcer プラグインで実行する次の処理。通常の処理は次のとおりです。
付録 A
— アクセスを許可または拒否する。
— フォームを表示して、さらに詳細な情報をユーザーから取得する。
•
Web サーバー上のアプリケーションに送信する必要のあるデータ。たとえば、Java アプリケー
ションは、アイデンティティエクスペリエンスを個別化するための情報を必要とします。
•
セッション情報 (Cookie または nonce)。設定済みの 1 つ以上の Cookie ドメインにそのアイデ
ンティティが以後アクセスするとき、アイデンティティを識別します。 Cookie と nonce の詳
細は、『HP OpenView Select Access 6.2 ネットワーク統合ガイド』を参照してください。
Policy Validator から送信される XML 応答の例を以下のサンプルに示します。次のタグのペアが
データをどのように囲んでいるかを確認してください。
•
<PolicyValidatorReply> と </PolicyValidatorReply> は、応答全体と応答に含まれ
るデータ全体を囲んでいます。
•
<PROPERTY NAME="name"></PROPERTY> は、プロパティ "name" に対する値を囲んでいま
す。
<PolicyValidatorReply>
<PROPERTY NAME="queryID">2</PROPERTY>
<PROPERTY NAME="authenticated_dn">cn=Lance Mountain,ou=customer,
dc=com,dc=user_isp</PROPERTY>
<PROPERTYLIST NAME="personalization">
<PROPERTY NAME="User">lmountain</PROPERTY>
<PROPERTY NAME="Phone">504%2D2325</PROPERTY>
<PROPERTY NAME="Fax">504%2D2399</PROPERTY>
<PROPERTY NAME="DName">cn%3Dlance%20mountain%2Cou%3Dlance%2Cdc
%3Dcom%2Cdc%3Duser_isp%2Cdc</PROPERTY>
<PROPERTY NAME="Groups">customer%20people</PROPERTY>
</PROPERTYLIST>
<PROPERTY NAME="login_time">Thu Feb 27 12:59:45 2003
</PROPERTY>
<PROPERTYLIST NAME="authentication_server_types">
<PROPERTY NAME="authentication_method">password</PROPERTY>
</PROPERTYLIST>
<PROPERTY NAME="action">ALLOW</PROPERTY>
</PolicyValidatorReply>
クエリユーティリティ
クエリユーティリティは、Policy Validator にクエリを送信するコマンドラインアプリケーション
です。次の 2 つのオプションがあります。
•
C++ 実装について (262 ページ )
•
Java 実装について (265 ページ )
261
C++ 実装について
クエリユーティリティを使用すると、 Policy Validator で大規模なテストを行うことができます。
ユーティリティの C++ 版 (query.cpp) を使用すると、以下を実行できます。
•
1 つのクエリの結果を確認する。
•
環境内でのパフォーマンスを評価する。
•
簡単な認証および高度な認証の結果を確認する。
このクエリプログラムは <install_path>/query ディレクトリにあります。
コマンドラインの構文
Windows では、クエリユーティリティを起動するとき、次のどちらかのコマンドを入力します。
•
query [options] url
•
query [options] file1.xml file2.xml ...
UNIX では、クエリユーティリティを起動するとき、次のどちらかのコマンドを入力します。
•
./query [options] url
•
./query [options] file.xml file2.xml ...
ここで
•
url は、 XML クエリを作成するために解析されて使用される、リソースのネットワーク上の
場所を示す完全修飾 URL です。 Policy Validator は URL 全体を必要とするため、 URL の一部
のみを入力すると、クエリは失敗します。たとえば次のとおりです。
http://www.perftest.com:80/index.html
この URL の構成要素は次のとおりです。
— http はプロトコルです。
— www.perftest.com はホストです。
— 80 はポートです。
— index.html はリソースです。
•
file.xml は、 XML 形式のクエリが 1 つまたは複数格納されたファイルです。
•
[ オプション ] には、表 30 に記載されている項目をほぼ自由に組み合わせて指定することが
できます。
Policy Validator のストレステストには、 -f、 -t、および -l オプションを使用してく
ださい。
他のパラメータと組み合わせることのできないパラメータもあります。たとえば、 -A
パラメータと -u パラメータは併用できません ( 組み合わせ自体が意味を持たないた
めです )。
262
付録 A
.
表 30
C++ のクエリプログラムオプション
オプション
使用法
-A user password
各クエリにユーザー名とパスワードを追加します。このパ
ラメータを使用して、 Policy Validator の認証プロセスを確
認します。
-a <user><password>
ユーザー名とパスワードの情報をそれぞれ別個の引数とし
て各クエリに追加します。ユーザー名やパスワードにコロ
ンが含まれている場合に、 Policy Validator の認証プロセス
を確認するには、このパラメータを使用します。
-C filename
使用する証明書を定義します。 filename には PEM 形式
の証明書の名前およびパスを指定します。
-c filename
Enforcer プラグインの設定ファイルを指定します。
filename には設定ファイルの名前およびパスを指定しま
す。ファイル名を指定しない場合、デフォルトが使用さ
れます。
-d
内部デバッグを有効にします。使用する各パラメータに対
して、デバッグレベルを 1 ずつ増やすことができます。
たとえば、- dd はデバッグレベルをレベル 2 ( トレースを
有効にする ) に上げます。
-e number
Policy Validator から受け取る結果のタイプを定義します。
使用できるオプションは、次のとおりです。
•
0—ALLOW
•
1—DENY
•
2—ERROR
•
3—USER_DEFINED
-f number
UNIX 専用。クエリを number で指定した数の並列プロセ
スにフォークします。
-h
パラメータに関する説明とヘルプを表示します。
-l number
クエリの送信回数を指定します。
-M
送信されるクエリが管理目的によるものであることを示し
ます ( たとえば、 Policy Validator が自身を再設定するため
の情報がクエリに含まれている場合など )。
-m
nonce の結合を有効にします。有効にした場合、 Policy
Validator からの応答に使用される nonce は、後続のクエリ
に結合されます。このオプションは、認証プロセスのテス
トに使用します。
このオプションは、- n オプションを指定する場合にのみ使
用できます。
263
表 30
C++ のクエリプログラムオプション ( 続き )
オプション
使用法
-n
nonce のサポートを有効にします。再認証を不要にするた
め、 Select Access は、すでに認証されているアイデンティ
ティを追跡する nonce を作成します。このような nonce は
Policy Validator の認証プラグインによって作成されます。
-r filename
行ごとに URL が 1 つずつ含まれたリソースファイルを指
定します。クエリプログラムは、ファイルに記載されて
いる各リソースのクエリを送信します。
-q
実行の終了時に、1 秒間に実行されたクエリの数を出力しま
す。単一のコマンドによって多くのクエリを送信する場合
は、このオプションを -r または -u と併用してください。
-s sourceHost sourceIp
送信元のホスト名および IP アドレスを含んだ XML フィー
ルドを指定します。これにより、メッセージが異なる IP
アドレスまたはホストから生成されたように装うことがで
きます。
たとえば、 Policy Validator が認証ルールを正しく評価して
いることを確認する目的で、管理者が各アイデンティティ
に対して設定したルールをテストする場合に、このオプ
ションを使用できます。
-t number
各プロセス内のスレッド数を指定します。各スレッドは、
要求を別々に送信します。
-u filename
複数のユーザー名とパスワードをまとめて各クエリに追加
するためのファイルを指定します。ファイル名にはユー
ザーファイルの名前およびパスを指定します。このパラ
メータを使用して、 Policy Validator の認証プロセスを確認
します。
-V
クエリユーティリティのバージョンを返し、終了します。
-v
各クエリの結果を常に出力します。
-x
クエリのいずれかでエラーが発生した場合にも、クエリ
プログラムを継続します。
使用のシナリオ
ビジネス環境とクエリユーティリティの使用目的により、コマンドラインで使用するオプション
は異なります。ここで、一般的な使用例をいくつか示します。
1 つのクエリの結果確認
1 つのクエリをテストするには、クエリユーティリティを実行するとき、デバッグレベル 2 およ
び予想される結果を指定します。たとえば、 Windows で次のコマンドを実行します。
query -dd -e 0 http://www.mycompany.com:80/demo
この例では、 1 つのスレッドを含む単一のクエリが作成され、 Policy Validator への送信は 1 回行わ
れます。
264
付録 A
簡単なパフォーマンスとストレスのテスト
ストレステストを行い、 Policy Validator のパフォーマンスを測定するには、フォーク (UNIX のみ
) およびループオプションを使用してクエリユーティリティを実行し、最大値を確認します。た
とえば、 Solaris で次のコマンドを実行します。
./query -f 16 -l 2000 -e 0 http://www.mycompany.com:80/demo
この例では、1 つのスレッドを含む並列プロセスが 16 作成され、Policy Validator への送信では 2000
回のループが実行されます。クエリユーティリティが動作を終了すると、パフォーマンスに関す
るサマリが提供されます。たとえば「66206 queries per minute: 32000 queries in
29 seconds.」のような結果が確認できます。
簡単な認証テスト
Select Auth が有効に設定されているリソースにクエリを行う場合、認証オプションを有効にして
クエリユーティリティを実行します。たとえば、 Windows で次のコマンドを実行します。
query -dd -a jdoe:secretword http://www.mycompany.com:80/demo
この例では、 1 つのスレッドを含んだ 1 つのインスタンスに対する単一のクエリが作成され、
Policy Validator に送信されます。
nonce のサポートに関する高度な認証テスト
Select Auth が有効に設定されているリソースにクエリを行い、nonce のサポートが正常に機能して
いることを確認するには、認証オプションおよび nonce のサポートオプションを有効に設定して
クエリユーティリティを実行します。たとえば、次のコマンドを実行します。
query -dd -n -m -a jdoe:secretword http://www.mycompany.com:80/demo
この例では、 1 つのスレッドを含む単一のクエリが作成され、 Policy Validator へ送信されます。最
初のクエリで nonce のサポートが有効に設定されていることが確認された場合、Policy Validator の
最初の応答に新しい nonce が組み込まれます。さらに、クエリユーティリティはこの nonce を 2 番
目のクエリに追加します。 Policy Validator は nonce が新しいことを把握しているため、 2 番目の応
答には nonce は組み込まれません。
Java 実装について
この SDK は、Java 実装版のクエリユーティリティも含みます。このファイル (QueryTest.java)
は、次の場所にあります。
<install_path>/source/Java/com/hp/ov/selectaccess/enforcer/
Java 版の実装は C++ 版ほど機能が充実していません。Java 版の実装はサンプルとして提供されま
す。 Java 版のサンプルを実行する場合、 Select Access 主要製品から以下の JAR ファイルをコピー
してください。
msgsresources.jar
jdom.jar
jakarta-oro-2_0.jar
bcprov-jdk14.jar
265
プログラムのオプション
C++ 版の実装と同様に、要件に合わせてオプションを指定してプログラムを実行できます。現在、
表 31 で一覧するパラメータを自由に組み合わせてプログラムを実行できます。
表 31
266
Java のクエリプログラムオプション
オプション
使用法
-a user:password
各クエリにユーザー名とパスワードを追加します。このパラメー
タを使用して、 Policy Validator の認証プロセスを確認します。
-c filename
Enforcer プラグインの設定ファイルを指定します。 filename に
は設定ファイルの名前およびパスを指定します。ファイル名を
指定しない場合、デフォルトが使用されます。
-d number
内部デバッグを有効にします。このオプションで指定する値を増
やすと、デバッグレベルを 1 ずつ増やすことができます (1 が最
も低いデバッグレベル )。
-e
Policy Validator の現在の設定を表示します。
-f
クエリと転送されたフォームデータを表示します。
-h
パラメータに関する説明とヘルプを表示します。
-l number
クエリの送信回数を指定します。
-n
nonce のサポートを有効にします。再認証を不要にするため、
Select Access は、すでに認証されているアイデンティティを追跡
する nonce を作成します。このような nonce は Policy Validator の
認証プラグインによって作成されます。
-p number
クエリのポーズを有効化します。値を増やすとポーズ間隔を増や
すことができます。
-s filepath
selectacces.conf ファイルの場所を指定します。
-V
クエリユーティリティのバージョンを返し、終了します。
付録 A
索引
記号
.Net API、 Enforcer API、接続 , 126
.Net Web サービス、作成 , 128
.Net インターフェイス , 85
数字
32 ビットオペレーティングシステム、「オペレーティ
ングシステム」を参照
A
AccessPolicy
説明 , 201
パラメータ , 201
ACE, 22
AdminFault, 191
Administration API
AccessPolicy, 201
AdminFault, 191
AdminPolicy, 203
COMPONENT, 206
getAuthServiceNames, 215
getPolicies, 198
getResource, 191
getRuleNames, 215
identityColumn, 199
identityDN, 187
LdapSearchCriteria, 187
LdapSearchCriteriaFilter, 189
PROPERTYLIST, 207
refreshValidators, 215
ResourceServer, 192
searchResources, 197
SelectAuthPolicy, 204
SelectAuthPropertyType, 205
setPolicy, 210
setResource, 194
setUserPassword, 216
WorkflowPolicy, 202
アイデンティティ管理パス , 186
開始 , 183
管理リソースパス , 185
機能管理パス , 186
共通のデータの種類 , 184
記録 , 182
スキーマ管理パス , 186
説明 , 182
データの種類の概要 , 183
ネットワーク管理リソースパス , 185
ネットワークリソースパス , 185
パスワードのエラー処理 , 217
パスワードの変更 , 215
ヘルパ API, 215
ポリシー , 200
ポリシー固有の API, 198
リソース固有の API, 191
リソースリストの検索 , 197
ルール , 201
例外の処理 , 182
AdminPolicy
説明 , 203
パラメータ , 204
allowedByValidator() メソッド , 98
AND 式 , 77
ap_table_do() メソッド , 116
Apache API
Enforcer API との併用 , 107
接続
複数のバージョンのサポート , 109
ライブラリの組み込み , 109
Apache Enforcer プラグイン
.so ファイル , 125
Apache API、「Apache API」を参照
Cookie、抽出 , 116
gmake コマンド , 126
httpd.conf、ロード , 107
HTTP トランザクション , 107
HTTP ヘッダー、確認 , 152
MD SSO, 122
nonce, 116, 119
SSL パラメータの検索 , 116
SSO, 116
267
UNIX での考慮事項 , 124
URL、リダイレクト , 117
アクセス制御ハンドラ , 108
インスタンス , 107, 110
インストール , 125
環境変数、 CGI に表示 , 155
クエリ , 112, 119
決定、実行 , 119
コードのコンパイル , 125
コールバックメソッド , 116
子プロセス , 108
個別化 , 152
使用できない文字 , 111
承認、必要性の判断 , 111
設定データ , 110
登録 , 125
登録データ、受け渡し , 107
認証情報、抽出 , 117
ネイティブな HTTP 認証 , 108
フォーム、データの保存 , 118
フォーム、ログイン , 117
モジュールの初期化 , 108
文字列の操作 , 109
ライブラリ、組み込み , 109
リソース、解放 , 108
例外の処理 , 109
ログ , 109
API
Administration、説明 , 182
Apache API、「Apache API」を参照
NSAPI, 83
Select Access のカスタマイズ , 19
Servlet API、「Servlet API」を参照
User API、「User API」を参照
個別化、「Personalization API」を参照
サブジェクトエディタ、「サブジェクトエディタ
API」を参照
ポリシー、「Policy API」を参照
ログ、「Logger API」を参照
ASP
使用 , 158
マルチリソースのクエリ , 163
attributelogic, 22
AUTHENTICATOR 属性 , 38
B
Basic、 Visual
Active Server Page、「ASP」を参照
268
マルチリソースのクエリ , 163
C
cancelClicked() メソッド , 36
C/C++
COM インターフェイス , 84
Enforcer API、「Enforcer API」を参照
Enforcer API の概要 , 83
Policy API、「Policy API」を参照
Validator API の概要 , 46
クラスとユーティリティ , 86, 108
ライブラリ , 20
CGI
環境変数、表示 , 155
プログラム、カスタマイズ , 150
closeScreen() メソッド , 253
COM
Enforcer API の概要 , 83
Enforcer プラグイン , 84, 129
Enforcer プラグイン、作成、「WSE Enforcer プラグ
イン」を参照 , 126
Policy API, 163
WSE Enforcer, 85
クラス , 86
ライブラリ , 20
Common Gateway Interface、「CGI」を参照
COMPONENT
説明 , 206
パラメータ , 207
Configuration Editor
component.xml ファイル , 37
基準 , 35
クラスパス , 35
作成 , 35
作成、手順 , 35
サブジェクトエディタ、「サブジェクトエディタ
プラグイン」を参照
使用、「Policy Builder、プラグイン」を参照
名前 , 38
表示 , 33
config.xml, 42
Cookie, 88
MD SSO, 102
nonce, 119
SOAP, 141
SOAP 応答への挿入 , 128
作成 , 85, 94, 98
抽出 , 116, 137
CreateFileLogger() メソッド , 238, 240
createScreen() メソッド , 250
cURL, 22
D
Decider
decide() メソッド , 50
Decider.h ヘッダー , 69
decide() メソッド , 50, 53, 54, 73
クラス , 50, 53, 72
クラス結果コード , 50
文字列 decider_branch_path, 73
Decider、「判定ポイントプラグイン」を参照
displayMessageBox() メソッド , 250
DLL
Apache Enforcer プラグインの実装 , 125
Enforcer プラグイン , 109
Policy Validator プラグインの実装 , 53
Select Access に必要な DLL, 22
WSE Enforcer プラグインの実装 , 146
DN
オブジェクト文字列のパラメータ , 221
抽出 , 75
ハイパーテキストリンク , 230
パスワードファイルのエントリ , 171
ユーザーエントリ , 230
ユーザーソース , 51
ユーザー保存場所の取得 , 75
doFilter() メソッド , 91
E
Enforcer API
.Net API、接続 , 126
Apache API との併用 , 107
C/C++ クラス , 108
C/C++ ユーティリティ , 108
COM、「WSE Enforcer プラグイン」を参照
COM クラス , 129
COM、ライブラリのインポート , 129
jar ファイル , 90
Java のクラス , 90
Servlet API、接続 , 84
インターフェイス , 84
概要 , 83
拡張 , 159
機能 , 21
クラス , 84, 86
クラス、インポート , 90
サービスの追加 , 84
使用 , 84
設定 , 87
定数 , 97
ユーティリティ , 84, 86
ライブラリの組み込み , 109
EnforcerException クラス , 109
Enforcer プラグイン
Apache、「Apache Enforcer プラグイン」を参照
Apache の例、「Apache Enforcer プラグイン」を参
照 , 84
API ライブラリ , 20
COM、「WSE Enforcer プラグイン」を参照
Cookie, 85
ENFORCER_ACTION プロパティ , 74
enforcer_check() メソッド , 111
enforcer32.d.dll ファイル , 146
ENFORCER_ACTION_ALLOW プロパティ , 74
ENFORCER_ACTION_DENY プロパティ , 74
ENFORCER_ACTION プロパティ , 74
EnforcerAddEncoded() メソッド , 113
EnforcerAddFormData() メソッド , 113
EnforcerAddQueryData() メソッド , 113
EnforcerAddrsQueryInit() メソッド , 113
enforcer_check() メソッド , 112, 119
EnforcerCOMHandle クラス , 129
EnforcerException クラス , 52, 74
EnforcerHandle クラス , 108
enforcer.h ヘッダーファイル , 67, 74
EnforcerInit() メソッド , 108
ENFORCER_P13NINFO 定数 , 149, 151, 153
EnforcerQuerySend() メソッド , 119
ENFORCER_RESOURCE 定数 , 160
ENFORCER_SERVICE プロパティ , 160
EnforcerSocketInit() メソッド , 239
enforcer_sys.h, 52
enforcer_sys.h ヘッダーファイル , 109
Enforcer のクラス , 90
MD SSO, 87, 89
nonce, 85, 88
Policy Validator、委任 , 83
Policy Validator、管理 , 85
Setup Tool、設定 , 87
site_data、「site_data プラグイン」を参照
SSL, 87
SSL パラメータ , 85
SSO, 84, 85, 87
URL、取得 , 85
WSE、「WSE Enforcer プラグイン」を参照
269
XML、クラス , 51
XML のエンコード , 25
XML プロパティ、追加 , 85
インスタンスの初期化 , 85
応答、評価 , 85
概要 , 18, 83
カスタマイズ , 22
カスタマイズの概要 , 20
環境データ、抽出 , 85
環境変数、読み取り , 85
クエリ , 25, 257
クラス、インポート , 90
クラスパス , 90
個別化 , 84
個別化属性、ローカル環境への配置 , 150
コンストラクタ , 94
サーブレット、「サーブレット Enforcer プラグイ
ン」を参照
作成、 C/C++ の手順 , 107
作成、 Java の手順 , 89
作成、概要 , 85
作成時の考慮事項 , 88
承認データ、抽出 , 94
証明書 , 87
セキュリティサービス、追加 , 84
セッションの状態、保持 , 88
設定ファイル , 85
タイムアウト , 85
テンプレート , 20
フェールオーバのサポート , 85
フォーム、処理 , 85
役割 , 20
ユーザー、承認 , 84
ユーザー、認証 , 84
要求、作成 , 85
リソースの要求、受け取り , 83
リモート管理 , 87
ログ , 84
ログインフォーム、表示 , 83
ログインユーザー , 88
Enterprise Java Beans、「EJB」を参照 , 22
Entry クラス , 219, 230
ErrorException クラス , 219
EVALUATOR 属性 , 38
Expat, 22
F
fetchPasswordData(), 175
270
fetchPasswordData() メソッド , 175
FileAuthenticator
クラス , 55, 56
クラスの定数 , 56
認証プラグインの例 , 55
FileAuthenticator クラス , 56
G
getAuthServiceNames, 215
getPolicies
説明 , 198
パラメータ , 199
getResource
説明 , 191
パラメータ , 192
getRuleNames, 215
GIF
ツールバーアイコン , 37
ディレクトリ , 40
ファイル名 , 40
要件 , 37
ルールペインアイコン , 37
gmake コマンド , 82
GNU、使用 , 82
GUI、「ユーザーインターフェイス」を参照
H
handleComponentShown() メソッド , 36
handleWindowOpened() メソッド , 36
HTML
静的ファイル , 222
動的な作成 , 221
HTTP
Cookie, 98
HttpContext, 137, 141
httpd.conf 設定ファイル , 107
HttpRequest プロパティ , 131
HttpServletRequest クラス , 155
HttpServletRequest パラメータ , 219
HttpServletResponse パラメータ , 219
アクセス拒否ページ , 108
応答、作成 , 91
クエリデータ , 113
セッション変数 , 234
トランザクションのフェーズ , 107
入力ストリームとしてのフォーム , 113
ネイティブな認証 , 108
ヘッダー , 131, 141
ヘッダー、作成 , 94
ヘッダー、個別化 , 150
ヘッダー、個別化のための確認 , 152
ヘッダー、表示 , 155
メソッド , 26, 113
要求、処理 , 94, 91
要求、変換 , 90
リソースの要求 , 83
Policy API, 163
Server Pages、「JSP」を参照
アーカイブの使用 , 40
カスタム Enforcer プラグイン , 22
クラス , 86
ライブラリ , 20
ログテストプログラム , 242
JDialog, 33
設定の表示 , 35
ヘルプの表示 , 254
JPanel、作成 , 33
I
JSP
IdentityColumn
説明 , 199
パラメータ , 200
Policy Validator 要求の作成 , 162
作成 , 162
ファイルのリスト , 222
フォームベースの管理 , 221
identityDN, 187
ID 選択
概要 , 17
カスタムエディタ , 30
個別化属性、抽出 , 150
サーバー、設定 , 47
認証方式、「認証プラグイン」を参照
有効化 , 49
L
LdapConnection クラス , 51, 69, 70
LdapSearchCriteria
説明 , 187
パラメータ , 188
inetOrgPerson オブジェクトクラス , 168
LdapSearchCriteriaFilter
説明 , 189
パラメータ , 190
INF、 Web 管理 , 221
LDAP、「ディレクトリサーバー」を参照 , 25
initialize() メソッド , 35
LDIF
サンプルのパスワードエントリ , 170
パスワード、標準に適合 , 170
includeSubFolders パラメータ , 226
init() メソッド , 53, 91, 240
InputFilter クラス , 131, 136
IP アドレス , 54, 113
is
isAuthorized() メソッド , 91, 95, 102
isUserInLdap() メソッド , 176
Lightweight Directory Interface Format、「LDIF」を参照
loadScreenData() メソッド , 251
log() メソッド , 239, 241
LogFile.h ヘッダー , 239
LogFilter クラス , 238
J
LogFilter() メソッド , 240
JAR ファイル , 21
CLASSPATH に追加 , 35
component.jar, 35, 40
EnforcerAPI.jar, 90
HelpSet.jar, 169
PolicyBuilder.jar, 35
shared.jar, 35, 90
Java
Enforcer API の概要 , 83
Enforcer コンポーネント , 84
Enforcer のクラス , 90
Logger API
XML, 238
XML 設定 , 239
概要 , 237
クラスパス , 242
設定、確認 , 243
動作確認 , 242
フィルタ、作成 , 237
フィルタ、初期化 , 240
フィルタ、設定 , 238
フィルタ、内容 , 237
271
変数 , 241
メッセージ、書き込み , 245
nxPolicyComponent attribute, 42
nxXml 属性 , 42
Logger.h ヘッダーファイル , 239
Logger クラス , 52, 90, 109, 237
O
logout() メソッド , 221
okClicked() メソッド , 35
LogStderr.h ヘッダーファイル , 239
openScreen() メソッド , 251
LogSystem.h ヘッダー , 239
OpenSSL, 22
OR 式 , 77
M
OutputFilter クラス , 141
m_enforcer, 95
m_handle, 127
P
m_handle.Init(), 130
PEM エンコーディング , 260
m_properties, 33
Personalization API, 153
ENFORCER_P13NINFO 定数、使用 , 149, 151
概要 , 149
機能 , 21
言語属性 , 168
ライブラリ , 149
mainFrame パラメータ , 250
Makefile、修正 , 82
MD SSO, 87, 89, 95
Apache Enforcer プラグイン , 122
nonce、抽出 , 96
実行 , 102
ヘルパーメソッド , 103
mod_enforcer.h ヘッダーファイル , 125
modifyEntry() メソッド , 234
MULTIPLERESOURCELIST 定数 , 160
N
NAME 属性 , 38
Node クラス , 219, 230
nonce
MD SSO, 102
NATIVE_NONCE プロパティ , 131
Policy Validator、送信 , 137
SOAP、～への追加 , 142
SSO, 98
SSO の , 119
WSE Enforcer プラグイン , 128
受け渡し , 96
組み込み , 100
シングルサインオン , 85, 88
抽出 , 89, 96, 142
登録 , 98
登録の , 119
NSAPI, 83
NTEventLogAppender.dll, 22
null エントリ , 49
272
Policy API
XML の概要 , 160
概要 , 159
Policy Builder
API、「Policy Builder API」を参照 , 21
Enforcer プラグイン、リモート管理 , 87
個別化、有効に設定 , 149
サブジェクトエディタ、「サブジェクトエディタ
プラグイン」を参照
セッション、終了 , 248
プラグイン , 31
プラグイン、概要 , 18
プラグイン、削除 , 41
プラグインのインストール , 40
プラグインの種類 , 30
プラグインのロード , 40
役割 , 19
Policy Builder API
cancelClicked() メソッド , 36
handleComponentShown() メソッド , 36
handleWindowOpened() メソッド , 36
helpClicked() メソッド , 36
initialize() メソッド , 35
JDialog, 33
JPanel, 33
okClicked() メソッド , 35
RuleComponentPanel クラス , 33
概要 , 30
使用 , 33
ユーティリティ , 34
ライブラリ , 19
Policy Builder プラグイン
作成、概要 , 34
作成、手順 , 34
Policy Enforcer、「Enforcer プラグイン」を参照
Policy Validator, 18, 52
API、「Validator API」を参照
JSP ベースのクエリ , 162
Select Audit とのインターフェイス , 52
SOAP 応答 , 129
SOAP 要求、作成 , 131
XML 通信 , 46
概要 , 45
管理 , 85
キャッシュの更新 , 42
クエリ , 86, 136
クエリに対する応答 , 260
クエリユーティリティによるパフォーマンスのテ
スト , 261
結果コード , 54
決定、実行 , 119
決定、送信 , 98
検証プロセス , 49
個別化、サポート , 150
設定 , 45
他のコンポーネントとの通信 , 45
データを～に追加するクエリ , 96
判定ポイントプラグイン、呼び出し , 49
プラグインの種類、「認証プラグイン」および「承
認プラグイン」を参照
プラグイン、ロード , 38
マルチリソース、クエリ , 159
文字列操作用マクロ , 52
ユーティリティ、使用 , 52
ルールの評価 , 45
例外 EvaluatorInternal, 75
ログ , 52
Policy Validator プラグイン
API ライブラリ、「Validator API」を参照
XML の使用 , 25
概要 , 18
削除 , 55
作成手順 , 53
作成の概要 , 53
役割 , 19
printf, 241
ProcessMessage() メソッド , 136, 127, 131, 141
processRequest() メソッド , 67
PropertyElement クラス , 51, 69, 90, 108
PropertyListElement, 65
PropertyListElement クラス , 51, 69, 90, 108
PROPERTYLIST、説明 , 207
Property クラス , 90
R
RadiusPanel クラス , 38
RADIUS サーバーのサンプル XML ファイル , 38
Red Hat での Linux 要件 , 126
refreshValidators, 215
ResourceServer
説明 , 192
パラメータ , 193
Rule Builder
アイコン、概要 , 32
決定ツリーの要素 , 48
判定ポイント、「判定ポイントプラグイン」を参
照
プラグイン , 31
ルールの評価 , 49
RuleComponentPanel, 33
オーバーライド , 35
拡張 , 35
runTests() メソッド , 245
S
sCreateTemporary() メソッド , 168, 178
SearchResults クラス , 220
searchTree() メソッド , 226
Select Access
API、「API」を参照
JAR ファイル , 21
XML の概要 , 25
XML の使用 , 26
概要 , 17, 258
カスタマイズ , 19
カスタム Configuration Editor, 29
個別化プレフィックス , 150
コンポーネントの概要 , 17
セキュリティサービス、統合、「Enforcer プラグイ
ン」を参照
設定 , 20
ソースコード , 22
273
パスワード , 65
バックエンドアプリケーションロジック , 20
付属のライブラリ , 22
プラグインの概要 , 30
ログ、統合 , 237
Select Access のカスタマイズ
Configuration Editor, 29
オプションの概要 , 21
方法 , 19
Select Audit
インターフェイス , 52
通信 , 85
ログ , 84, 96
ログレベル , 60
SelectAuthPolicy
説明 , 204
パラメータ , 205
MD SSO、設定 , 89
Policy Builder、設定 , 88
SSO, 87
setUserPassword
説明 , 216
パラメータ , 216
SetWSPolicy() メソッド , 140
shared.jar, 90
showHelp() メソッド , 254
showSubjects() メソッド , 226
site_data プラグイン
設定ファイル、 Web サーバー , 146
ヘッダーデータの挿入 , 146
ロード , 146
sLocateByUID() メソッド , 176
setDestination() メソッド , 240
SOAP
Cookie、挿入 , 128
Cookie、追加 , 141
HttpRequest、使用 , 131
暗号化 , 141
エラー , 141, 143
エンベロープ , 143
応答、 WSE, 128
作成される XML, 129
出力、フィルタリング , 141
承認データの抽出 , 126
署名 , 141
名前空間の定数、定義 , 127
ヘッダー , 141
ヘッダー、 nonce の～への追加 , 142
メッセージ、作成 , 140
メッセージ、プロパティ , 127
要求、プロパティの抽出 , 131
setFieldValues() メソッド , 252
SOAP インターフェイス , 85
setFilter() メソッド , 238
SSL
SelectAuthPropertyType
XML, 208
説明 , 205
パラメータ , 206
sendBasicAuthPage() メソッド , 92
sendDynamicForm() メソッド , 100
sendRedirect() メソッド , 92
SendValidatorQuery() メソッド , 137
SendValidator() メソッド , 136
ServletEnvPrint クラス , 155
ServletFilter クラス , 90, 91
ServletTransaction クラス , 91
SetCharacterEncodingFilter クラス , 220
setPolicy
説明 , 210
パラメータ , 211
setResource
出力パラメータ , 196
説明 , 194
動作 , 195
入力パラメータ , 195
setResources, 197
Setup Tool
Enforcer プラグイン、設定 , 20, 21, 87
MD SSO, 87
274
使用される証明書 , 87
パラメータ , 94
パラメータの検索 , 116
プロパティ , 85
SSO, 85, 87
Cookie, 96
Enforcer プラグイン
SSO, 88
nonce, 98, 119
nonce、 SOAP 応答での保護 , 128
nonce、送信 , 137
startFolderId パラメータ , 226
Struts
概要 , 221
～によって作成された HTML, 224
Sun ONE (iPlanet) Enforcer プラグイン、 API を使用する
, 83
System.Xml ライブラリのクラス , 129
T
TableSorter クラス , 34
TableUtil クラス , 34
TYPE 属性 , 38
U
UNIX
.so ファイル , 125
CGI アプリケーションと個別化 , 155
考慮事項 , 124
URL
解析 , 93
クエリデータ , 113
個別化プロパティのエンコード , 151, 149, 153
取得 , 85
マップ , 222
無効な文字 , 95
リダイレクト , 89, 95, 102, 117
User API
LDIF 標準 , 170
XML、更新 , 168
エントリ、作成 , 168
概要 , 167
個別化データ、取得 , 168
属性、抽出 , 168
パスワード , 168
ベクトル、属性 , 175
UserCacheAttributes クラス , 168
UserCache クラス , 51, 70, 75, 167
UserSource クラス , 51, 69, 70, 75
UserSource コンストラクタ , 60
User クラス , 51, 70
UTF-8 によるエンコード , 113
V
validate() メソッド , 243
Validator API
validateScreenData() メソッド , 252
概要 , 45, 46
機能 , 21
クラス , 50
ユーティリティ , 50
validator_util.h ヘッダーファイル , 56
Validator プラグイン
FileAuthenticator、例 , 55
インストール , 53, 55
テスト , 53
Validator プラグイン、「認証プラグイン」および「判
定ポイントプラグイン」を参照
Visual Basic
サーバー変数の表示 , 158
マルチリソースのクエリ , 163
voidp_func タイプ定義 , 57
W
Web Service Enhancement、「WSE」を参照
WebTransaction クラス , 92
Web 管理
カテゴリ , 222
「フォームベースの管理」を参照 , 222
Web 管理インターフェイス
概要 , 219
クラス , 219
データの種類 , 225
Web サーバー、保護 , 20
Web ブラウザ
Cookie, 85, 88, 94, 102, 116, 119
Cookie、設定 , 100
リダイレクト , 88, 89
リモート管理、「委任管理」を参照
winsock, 239
WorkflowPolicy
説明 , 202
パラメータ , 203
WSE Enforcer プラグイン
.Net API、接続 , 126
.Net Web サービス、作成 , 128
COM クラス , 129
COM、使用 , 85
COM、ライブラリのインポート , 129
Cookie, 141
NATIVE_NONCE プロパティ , 131
nonce, 128, 141
nonce、追加 , 142
275
Policy Validator、応答 , 136
SOAP, 127
SOAP、フィルタリング , 141
SOAP ヘッダー , 141
SOAP メッセージ , 128
XML プロパティ、 SOAP からの抽出 , 131
XML プロパティ、組み込み , 140
XML 要求、作成 , 131
エラー、処理 , 143
作成 , 146
初期化 , 130
登録 , 146
名前空間の定数、定義 , 127
認証 , 126
バージョン , 37
プロパティ、組み込み , 140
プロパティ、追加 , 85
プロパティの抽出 , 33
プロパティリスト , 64
マルチリソースの要求 , 160
要求、作成 , 85, 131
ルールの格納 , 25
ログエントリ , 238
ログの設定 , 239
XmlQueryInit() メソッド , 96
XmlQuerySend() メソッド , 98
あ
X
X.509 証明書 , 260
XML, 25
enforcer.xml, 85, 110
m_properties, 33
Policy API、使用 , 160
Select Access での通信 , 26
SOAP, 129
system.xml, 129
XmlElement クラス , 90
XmlParser クラス , 51, 108
XmlTreeNode クラス , 51, 53, 69, 108
エンコードと通信 , 25
応答 , 64
応答、生成 , 49
応答の更新 , 54
オブジェクト、作成 , 113
解析 , 58
クエリ , 83
クラス , 51
更新 , 54
重要性 , 25
設定ファイル , 87
設定ファイル、場所の確認 , 85
設定、ロード , 35
設定を引数として渡す , 49
操作 , 51
通信 , 45, 46
データアクセスクラス , 51
データ、返す , 86
データ、更新 , 168
テンプレート , 21
ドキュメント、処理 , 86
ドキュメントツリーの作成 , 51
276
アーカイブ
JAR ファイル、「JAR ファイル」を参照
クラスパス , 242
コンポーネント , 40
アーキテクチャ
Select Access, 17
XML ベース , 25
プラグイン , 26
アイコン
Rule Builder の概要 , 32
Rule Builder プラグイン用 , 37
削除 , 43
ポリシーマトリックスの概要 , 219
アイデンティティ
データの要求 , 54
個別化データ , 20
認証 , 84
ログイン , 88
アイデンティティフィルタ , 22
アクセス制御
ハンドラ , 108
プラグイン、「認証プラグイン」を参照
ユーザー、検証、「Validator プラグイン」を参照
ルールの対象、「ルール」を参照
値 , 25
返す , 73
キーと～のマップ , 168
属性 , 25, 38
属性、デコーディング , 42
デコード , 152
判定の結果 , 69
評価 , 71
ブール式 , 69
複数の値、属性 , 249
プロパティ , 34, 51, 90
リソース , 161
演算子、比較 , 69, 70
エンベロープ、 SOAP, 143
アドレス、 IP, 54, 113
お
アプリケーション
カスタマイズ , 150
サーバー、保護 , 20
オブジェクトクラス
inetOrgPerson, 168
エントリ , 248
属性 , 247
い
オペレーティングシステム
32 ビット版 DLL, 146
Linux, 126
UNIX、環境変数 , 155
Windows, 239
プラグインの登録 , 146
一時ユーザー
新しいエントリ、作成 , 178
永続的なエントリの作成 , 177
エントリ、検索 , 176
作成、「User API」を参照
ディレクトリエントリの作成 , 167
委任管理
API、「Web 管理インターフェイス」を参照
グループの管理 , 219
属性、管理 , 219
認証情報 , 219
フォームベース、「フォームベースの管理」を参
照
フォルダの管理 , 219
メンバーシップ、管理 , 219
色、使用可能 , 37
インストール
Select Access, 21
Validator プラグイン , 55
ソースコードとライブラリ , 22
プラグイン、概要 , 40
インターフェイス、「ユーザーインターフェイス」を
参照
う
ウィザード、 Select Access の設定、「Setup Tool」を参
照 , 20
オンラインヘルプ , 254
JAR ファイル , 169
インストール , 169
プラグインへの組み込み , 169, 254
か
解析
URL, 93
XML, 58, 108
XML ドキュメント , 51
式 , 77
要求 , 220
論理演算子 , 77
隠し属性 , 234
軽量管理、「フォームベースの管理」を参照
環境
データ、抽出 , 85
個別化属性、配置 , 150
サーブレット , 155
変数、個別化 , 150, 153
変数、抽出 , 154
変数、読み取り , 85
監査ログ , 96
え
英語以外のクラス , 36
エディタ
サブジェクト、「サブジェクトエディタプラグイ
ン」を参照 , 17
設定、「Configuration Editor」を参照
エンコーディング
UTF-8, 87, 113, 247
個別化 , 149, 151, 153
文字、設定 , 220
管理
Admin クラス , 219
委任、「委任管理」を参照
サーバー、 Select Access, 169, 254
サーバーの説明 , 181
フォームベース、「フォームベースの管理」を参
照
要求 , 221
ワークフロー、「ワークフロー」を参照
管理、パスワード , 65
277
LogFilter, 238
Logger, 52, 90, 109
OutputFilter, 141
Property, 90
PropertyElement, 51, 69, 90, 108
PropertyListElement, 51, 69, 90, 108
RadiusPanel, 38
RuleComponentPanel, 33
SearchResults, 220
ServletEnvPrint, 155
ServletFilter, 90, 91
ServletTransaction, 91
SetCharacterEncodingFilter, 220
SubjectEditorPluginScreen, 247, 248
TableSorter, 34
TableUtil, 34
Use ｒ , 51, 70
UserCache, 51, 70, 75, 167
UserCacheAttributes, 168
UserSource, 51, 69, 70, 75
WebTransaction, 92
XML, 51
XmlElement, 90
XmlParser, 51, 108
XmlTreeNode, 51, 69, 108
外部クラスを呼び出してヘルプウィンドウを表示
, 36
属性 , 219
ノード , 219, 230
ログ , 237
き
機能、「メソッド」を参照
キャッシュ
Policy Validator, 42
ユーザー , 51, 54, 69, 75, 150, 167, 168
ユーザー、一時 , 34
キャッシュの更新 , 42
共有オブジェクトファイル、 Apache Enforcer プラグイ
ンの実装 , 125
記録、メッセージ、「Logger API」を参照
く
クエリ
Policy Validator の応答 , 260
SOAP のプロパティ , 126
SSO, 89
Visual Basic の使用 , 163
簡素化 , 159
構造 , 258
コマンドラインオプション , 263, 266
作成 , 25, 90
承認 , 92, 107
使用例 , 264
処理 , 159
説明 , 257
定義 , 257
目的 , 257
ユーティリティ , 261
要素 , 96
理解 , 257
クラス
Admin, 219
AttributeLogic, 69, 75
AuthPlugin, 50, 53
AuthPluginException, 52
CDN, 34
Decider, 50, 53, 72
Enforcer, 90
EnforcerCOMHandle, 129
EnforcerException, 52, 74, 109
EnforcerHandle, 108
Entry, 219, 230
ErrorException, 219
EvaluatorFatal, 52, 74
EvaluatorInternal, 52
EvaluatorNonFatal, 52, 74
FileAuthenticator, 55, 56
HttpServletRequest, 155
InputFilter, 131, 136
LdapConnection, 51, 69, 70
278
クラスのパッケージ , 35
クラスパス
Configuration Editor, 35
JAR ファイル、追加 , 35
Java Enforcer プラグイン , 90
サブジェクトエディタプラグイン , 254
ログに使用する従属アーカイブ , 242
クリーンアップハンドラ , 107
グループ
データ , 221
メンバーシップ、取得 , 75
リモート管理、「委任管理」を参照
け
警告 , 32
結果コード , 50, 54, 65
言語
VB、「Visual Basic」を参照
インデックス , 36
属性 , 168
検索フィルタ
LDAP, 76
式 , 69
評価 , 70
フォーム , 226
こ
コード
結果 , 50, 54, 65
再起動 , 175
リターン , 73, 98
コードソース、 attributelogic の例 , 69
個別化
Personalization API、「Personalization API」を参照 ,
149
Policy Builder で有効に設定 , 149
Policy Validator でのサポート , 150
Visual Basic、使用 , 158
環境変数、抽出 , 154
サポートに必要な Select Access の設定 , 21
使用される API, 20
属性 , 84
属性、環境への配置 , 150
属性の共有 , 149
データ、 Enforcer プラグインの提供
個別化 , 85
データ、取得 , 168
データ、リソースからの利用 , 154
認証プラグインでの , 65
認証プラグインでの設定 , 54
プレフィックス、使用 , 150
プロパティリスト , 149
マッピング、反復 , 155
コマンド
gmake, 82, 126
登録 , 146
コンストラクタ
constructValidatorQuery() メソッド , 131
Enforcer プラグイン , 94
FileAuthenticator、例 , 58, 60
UserSource 親 , 60
Validator プラグイン , 53
サーブレット Enforcer プラグイン , 94
サブジェクトエディタプラグイン , 175
認証プラグインの例 , 50
判定ポイントプラグインの , 72
ログフィルタ , 240
コンパイル , 82
コンポーネント
component.jar, 35, 40
component.xml, 37, 38
さ
サーブレット
HTTP ヘッダー、表示 , 155
カスタマイズ , 150
フォームベース管理用コンテナ , 221
サーブレット Enforcer プラグイン , 84
Cookie, 96
Cookie、作成 , 94
HTTP 応答、作成 , 91
MD SSO, 95, 102
nonce、作成 , 98
nonce、抽出 , 96
Policy Validator の応答、作成 , 96
Servlet AP、接続 , 84
SSL パラメータ , 94
URL、解析 , 93
インスタンス、作成 , 93
概要 , 90
クエリ、作成 , 98
決定、実行 , 98
個別化 , 151
コンストラクタ , 94
承認データ、抽出 , 94
承認、必要性の判断 , 95
フォーム、表示 , 100
リターンコード , 98
再起動コード , 175
サブジェクトエディタ API
GUI、「サブジェクトエディタプラグイン」を参
照
概要 , 247
メソッド、概略 , 248
メソッドのオーバーライド , 249
サブジェクトエディタプラグイン
Policy Builder、セッションの終了 , 248
SubjectEditorPluginScreen クラス , 247, 248
インストール , 255
インターフェイス、作成 , 249
インターフェイス、終了 , 253
インターフェイス、ロード , 251
概要 , 247
クラスパス , 254
コンストラクタ , 175
作成 , 248
制約 , 248
279
設定 , 247, 248
説明 , 247
属性、更新 , 253
データ、確認 , 252
ヘルプ、表示 , 254
サブルール
追加 , 32
プラグイン , 48
し
式、検索 , 77
初期化
initialize_query_object() メソッド , 112, 113, 116
init() メソッド , 49, 57, 71, 94, 172, 238
処理
HandleFault() メソッド , 141, 143
handleUserInfo() メソッド , 50, 54, 150, 168, 177
シングルサインオン、「SSO」を参照
シングルソケットレイヤ、「SSL」を参照
す
ステートレスプロトコル、「HTTP」を参照
式の検索 , 77
識別名、「DN」を参照
せ
システムログ , 241, 242
制御ハンドラ , 108
終端ポイントプラグイン , 48
種類 , 50
使用 , 50
終端ポイント、ルール、終端ポイントの追加 , 32
セキュリティ
カスタマイズ , 29
サービス、追加 , 84
ポリシー、「Policy Builder」を参照 , 18
出力先、ログ , 245
セキュリティポリシー、評価 , 49
取得
getAttributes() メソッド , 179
getAttributesToCopy() メソッド , 175
GetEnforcerCOMHandle() メソッド , 130
getEntry() メソッド , 221
getLightAdmin() メソッド , 221
getNode() メソッド , 221
getResourceAsStream() メソッド , 254
getResource() メソッド , 254
getRetVal() メソッド , 98
getScreenName() メソッド , 250
GetValidatorCookieFromReply() メソッド , 137
getXmlElement() メソッド , 98
セッションタイムアウト , 85
条件付き
CONDITION 属性 , 38
アクセス、「ルール」を参照
ルール , 18
ルール、評価 , 73
承認プラグイン
AuthPluginException クラス , 52
AuthPlugin クラス , 50, 53
カスタム , 29
作成 , 31
種類 , 30
ポリシーの作成、「Policy Builder」を参照 , 18
ルールのカスタマイズ、「Rule Builder」を参照
証明書、クエリプロパティ , 260
280
設定
CONFIGURATOR 属性 , 38
configure() メソッド , 239, 242
Select Access, 20
設定ファイル
config.xml, 42
enforcer.xml, 85, 94, 110
Enforcer プラグイン , 85
httpd.conf, 107
サブジェクトエディタプラグイン , 247, 248
説明
DESCRIPTION 属性 , 38
サブジェクトエディタ , 247
そ
ソースコード
attributelogic の例 , 69
FileAuthenticator プラグイン , 56
サンプルファイル , 22
属性 , 25
attributelogic.h ヘッダー , 69
attributelogic クラス , 69, 75
Attribute クラス , 219
AUTHENTICATOR 属性 , 38
component.xml, 37
component.xml の概要 , 38
CONDITION 属性 , 38
CONFIGURATOR 属性 , 38
DESCRIPTION 属性 , 38
EVALUATOR 属性 , 38
name, 51
NAME 属性 , 38
nxPolicyComponent, 42
nxXml, 42
TYPE 属性 , 38
値のデコード , 42
値、複数 , 249
一時ユーザー、「一時ユーザー」を参照
隠し要素 , 234
確認 , 75
言語固有 , 168
検索式 , 69
更新 , 253
個別化用、「個別化」を参照
抽出 , 168
判定ポイントプラグイン、「判定ポイントプラグ
イン」を参照
評価 , 32
複数の値 , 168
ベクトル , 179
リモート管理、「委任管理」を参照
て
定数
attributelogic の例 , 70
ENFORCER_P13NINFO, 149, 151, 153
Enforcer API, 97
ENFORCER_RESOURCE, 160
MULTIPLERESOURCELIST, 160
名前空間 , 127
ディレクトリ
カスタムコンポーネント , 40
共有ライブラリ , 49, 55
プリプロセッサの定義 , 74
た
ディレクトリサーバー
DN, 34
UserSource、一覧表示 , 51
XML の格納 , 25
新しいエントリ、作成 , 178
オブジェクトのプロパティ , 42
検索フィルタ , 76
接続 , 69, 75
設定のエントリ , 85
設定のプロパティ , 87
属性、確認 , 75
名前空間 , 51
フォームベースの管理 , 225
フォルダ、リモート管理 , 219
プラグインエントリのサンプル , 42
プラグインの削除 , 41
プラグインの登録 , 57, 71
ユーザーエントリの作成 , 167
ダイナミックリンクライブラリ、「DLL」を参照
ディレクトリ属性、「属性」を参照
タイムアウト , 85
データ
HTTP メソッドによる転送 , 26
Policy Validator への送信 , 258
移動 , 225
環境、抽出 , 85
種類、管理 , 225
承認、抽出 , 94
設定 , 110
設定の確認 , 35
ユーザー , 51
属性のデコード , 152
属性のベクトル , 175
ソケット接続 , 108
つ
追加
addAuthHint2Response() メソッド , 68
addChannel() メソッド , 240
addFilter() メソッド , 240
addNewUserRecord() メソッド , 177, 178
add_ssl() メソッド , 116
AddValidatorCookieToSoap() メソッド , 142
AddValidatorCookie() メソッド , 141, 142
add() メソッド , 168
appendChildString() メソッド , 113
appendChild() メソッド , 113
appendPropertyValue() メソッド , 97
ツリー、作成 , 51
データの取得 (GET), 26
データの種類
概要 , 183
共通 , 184
データの送信 (POST), 26
テーブル
null エントリ , 49
281
エラー、処理 , 61
グループメンバーシップ、取得 , 75
結果コード , 54, 65
個別化 , 65
個別化、設定 , 54
コンストラクタ , 50
作成 , 29, 30, 82
作成、手順 , 53
デストラクタ , 53
登録 , 57
トレースフラグ , 65
認証ユーザー , 64
パスワード、管理 , 65
ファイル認証の例、「ファイル認証プラグイン」を
参照
ユーザー、認証 , 54
ユーザーの確認 , 53
ロールメンバーシップ、取得 , 75
ログイン、開始 , 68
フィルタの行 , 77
デジタル証明書、「証明書」を参照
デストラクタ
Validator プラグイン , 53
認証プラグイン , 64
認証プラグインの例 , 53
判定ポイントプラグインの , 73
判定ポイントプラグインのインスタンス , 73
テンプレート , 21
テンプレート、 Enforcer プラグイン , 20
と
登録
Apache Enforcer プラグイン , 107
nonce, 98, 119
トークン , 88
ドキュメントツリー、作成 , 51
トグル , 22
ドメイン、複数～にまたがる SSO、「MD SSO」を参照
トレースフラグ , 65, 73
な
名前空間
シングルサインオン , 89
定数、定義 , 127
ディレクトリサーバー , 51
に
認証、 nonce の使用 , 264, 266
認証情報
管理者 , 219
ユーザー , 53, 85
認証プラグイン
authenticate() メソッド , 50, 53, 64, 65, 67, 175
authplugin.h ファイル , 53
AuthPlugin クラス , 50
FileAuthenticator、例 , 55
Select Audit へのログイン , 60
XML、応答 , 67
XML、解析 , 58
XML、クラス , 51
XML、更新 , 54
一時ユーザー、作成、「一時ユーザー」を参照
インスタンス、作成 , 58
インスタンス、破棄 , 64
282
は
配列、ログフィルタ , 243
パスワード
LDIF、標準に適合 , 170
エラー処理 , 217
管理 , 65
処理 , 85
抽出 , 168
変更 , 215
ユーザーの照合 , 175
ユーザーパスワードの変更 , 215
パラメータ
HttpServletRequest, 219
HttpServletResponse, 219
includeSubFolders, 226
mainFrame, 250
SSL, 85, 94, 116
startFolderId, 226
応答 , 119
キー , 168
記録 , 239
コンストラクタ , 72
サーブレット , 155
サーブレットの動作 , 223
サブジェクトエディタプラグイン , 251
認証プラグイン , 64
文字列 , 221
判定ポイントプラグイン , 32
attributelogic ソース , 69
attributelogic の例 , 68
decider.h ファイル , 53
decider クラス , 50
decide() メソッド , 54
XML、クラス , 51
XML、更新 , 54
インスタンス、作成 , 71
クラスの例外 , 52
結果コード , 54
コンストラクタ , 72
作成、手順 , 53
種類 , 48
初期化 , 71
処理 , 49
ディレクトリサーバー接続 , 69
デストラクタ , 73
登録 , 71
トレースフラグ , 73
評価 , 73
ポリシーの確認 , 54
リターンコード , 73
例外 , 70, 74
ハンドラ
アクセス制御 , 108
クリーンアップ , 107
ひ
比較演算子 , 69, 70
引数
XmlTreeNode, 53
受け渡し , 49
評価
evaluate() メソッド , 75
evaluateExpressionUsingLdap() メソッド , 75
evaluateUserSearchFilter() メソッド , 76
evaluateUsingLdap() メソッド , 75, 76
EvaluatorFatal クラス , 52, 74
evaluator.h ヘッダーファイル , 70
EvaluatorInternal クラス , 52
EvaluatorNonFatal クラス , 52, 74
エバリュエータ、「判定ポイントプラグイン」を
参照
標準、 Select Access, 17
ふ
ファイル認証プラグイン
LDIF 標準 , 170
User API、使用 , 168
新しいエントリ、作成 , 178
インストール , 169
永続的なユーザーエントリ、作成 , 177
エントリのマップ , 172
再起動コード , 175
設定 , 169
属性、取得 , 179
パスワードの照合 , 175
プロセス , 172
ベクトル、属性 , 179
マップ、ユーザーエントリ , 175
ファクトリ
FactoryFunc() メソッド , 238, 240
factory() メソッド , 49, 53, 57, 58, 71, 172
フィルタ
プラグイン , 48
ルール , 32
ブートストラップの設定 , 87
ブール、「検索」を参照
フェールオーバー , 85
フォーム
ログイン , 55
フォーマット
formatSimpleTableForModify(), 234
formatSimpleTableForModify() メソッド , 231
単純リスト , 229
フォーム
JSP ページのリスト , 222
アクセス拒否ページ , 108
エラーページ , 92
処理 , 85
チャレンジ , 55, 60, 108
データの保存 , 118
入力ストリームとして使用 , 113
ログイン , 60, 83, 88, 92, 108, 113, 117
ログインの開始 , 68
ログイン、表示 , 100
フォームに記録 , 117
フォームベースの管理
DN のリンク , 230
HTML、作成 , 221
JSP ページ , 221, 222
URL, 224
サーブレット , 224
サーブレット展開 , 221
属性、隠し要素 , 234
ディレクトリの検索 , 226
283
ENFORCER_ACTION, 74
ENFORCER_ACTION_ALLOW, 74
ENFORCER_ACTION_DENY, 74
ENFORCER_SERVICE, 160
HttpRequest, 131
NATIVE_NONCE, 131
Policy API の使用 , 160
XML、組み込み , 140
個別化、専用のリスト , 149
ディレクトリオブジェクト , 42
データの確認 , 35
要素 , 34
要素のリスト , 34
リスト , 34
データ , 225, 230, 234
動的な HTML の作成 , 224
メニュー , 224
フォルダ
データ , 221
リモート管理、「委任管理」を参照
複数ドメインシングルサインオン、「MD SSO」を参
照
ブラウザ、「Web ブラウザ」を参照
フラグ
m_useLdap, 75
トレース , 65, 73
プラグイン
FileAuthenticator ソース , 56
Rule Builder の種類 , 38
Select Access のカスタマイズ , 19
XML 設定の抽出 , 33
アイコンの作成 , 37
インストール , 40
概略 , 17
サブジェクトエディタ、「サブジェクトエディタ
プラグイン」を参照
サブルール , 48
終端 , 48
承認、「承認プラグイン」を参照
認証、「認証プラグイン」を参照
フィルタ , 48
ロード , 40
ログ、統合 , 237
文書型定義、「DTD」を参照
へ
ベクトル、属性 , 175
プラグインのアンインストール , 41
ヘッダーファイル
attributelogic.h, 69
Authplugin.h, 53, 52
decider.h, 53
Decider.h, 69
enforcer.h, 74, 67
enforcer_sys.h, 109
evaluator.h, 70
enforcer_sys.h, 52
LogFile.h, 239
Logger.h, 239
LogStderr.h, 239
LogSystem.h, 239
mod_enforcer.h, 125
validator_util.h, 56
プラグインの削除 , 41
ヘルパ API, 215
プラグインのロード、「プラグイン」を参照
ヘルプ
helpClicked() メソッド , 36
インストール , 169
パッケージ , 254
表示 , 254
プラグインのアップロード、「プラグイン」を参照
プラットフォーム
UNIX, 124
Windows、追加要件 , 110
固有のログメソッド , 239
ファイル拡張子 , 53
複数の～のサポート , 109
プリプロセッサの定義 , 74
プレフィックス、個別化 , 150
プロセス、終了 , 124
プロトコル
HTTP、「HTTP」を参照
フィルタ , 22
プロパティ
component.xml ファイル , 37
284
変数
環境、個別化 , 150, 153
環境、抽出 , 154
環境、読み取り , 85
セッション、 HTTP, 234
ログ , 241
ほ
保存
saveScreenData() メソッド , 252, 253
ボタン
Delete Value, 249
OK, 33, 35, 171, 248
アップロード , 169
作成 , 35
参照 , 169
処理 , 35
設定 , 87
取消 , 33, 35, 36, 248
ヘルプ , 33, 35, 36, 248
ラジオ , 31, 38, 170
ポリシー
説明 , 200
パラメータ , 200
評価 , 49
ポリシー固有の API, 198
ポリシーストア、「ディレクトリサーバー」を参照
ポリシープラグイン、「Policy Builder、プラグイン」
を参照
ま
マクロ、文字列の操作 , 52, 109
マッピングの反復 , 155
マップ
URL, 222
反復 , 155
ユーザーエントリ , 172
む
無効な文字 , 111
め
メソッド
add(), 168
addAuthHint2Response(), 68
addChannel(), 240
addFilter(), 240
addNewUserRecord(), 177, 178
AddValidatorCookie(), 141, 142
AddValidatorCookieToSoap(), 142
allowedByValidator(), 98
ap_table_do(), 116
appendChild(), 113
appendChildString(), 113
appendPropertyValue(), 97
authenticate(), 50, 53, 64, 65, 67, 175
closeScreen(), 253
configure(), 239, 242
constructValidatorQuery(), 131
CreateFileLogger(), 238, 240
createScreen(), 250
decide(), 50, 53, 54, 73
displayMessageBox(), 250
doFilter(), 91
enforcer_check(), 111
EnforcerAddEncoded(), 113
EnforcerAddFormData(), 113
EnforcerAddQueryData(), 113
EnforcerAddrsQueryInit(), 113
enforcer_check(), 112, 119
EnforcerInit, 108
EnforcerQuerySend(), 119
EnforcerSocketInit(), 239
evaluate(), 75
evaluateExpressionUsingLdap(), 75
evaluteUserSearchFilter(), 76
evaluateUsingLdap(), 75, 76
factory(), 49, 53, 57, 58, 71, 172
FactoryFunc(), 238, 240
formatSimpleTableForModify(), 231, 234
getAttributes(), 179
getAttributesToCopy(), 175
GetEnforcerCOMHandle(), 130
getEntry(), 221
getLightAdmin(), 221
getNode(), 221
getResource(), 254
getResourceAsStream(), 254
getRetVal(), 98
getScreenName(), 250
GetValidatorCookieFromReply(), 137
getXmlElement(), 98
HandleFault(), 141, 143
handleUserInfo(), 50, 54, 150, 168, 177
init, 53
init(), 49, 57, 71, 91, 94, 172, 238, 240
initialize_query_object(), 112, 113, 116
isAuthorized(), 102, 91, 95
isUserInLdap(), 176
loadScreenData(), 251
log(), 239, 241
LogFilter(), 240
logout(), 221
modifyEntry(), 234
openScreen(), 251
ProcessMessage(), 127, 131, 141, 136
processRequest(), 67
runTests(), 245
saveScreenData(), 252, 253
sCreateTemporary(), 168, 178
searchTree(), 226
sendBasicAuthPage(), 92
sendDynamicForm(), 100
sendRedirect(), 92
285
SendValidator(), 136
SendValidatorQuery(), 137
setDestination(), 240
setFieldValues(), 252
setFilter(), 238
SetWSPolicy(), 140
showHelp(), 254
showSubjects(), 226
sLocateByUID(), 176
validate(), 243
validateScreenData(), 252
XmlQueryInit, 96
XmlQuerySend(), 98
カスタマイズ , 19
追加 , 116
ヘルパー、 MD SSO, 103
メッセージ
ログ、書き込み , 245
ログ、レベル , 237
メニュー、表示 , 224
メモリユーティリティ , 52
メンバーシップ
管理 , 219
管理者 , 219
管理用ページ , 222
グループ情報 , 51, 76, 81
グループ、リモート管理、「委任管理」を参照
比較 , 69
ロール情報 , 51, 54, 81
も
文字、無効 , 95, 111
文字列
decider_branch_path, 73
DN のパラメータ , 221
文字列の操作 , 52, 109
文字列ユーティリティ , 52
ゆ
有効期限、パスワード , 65
ユーザー
一時～、「一時ユーザー」を参照
データ , 221
ユーザーインターフェイス
「Configuration Editor」を参照
Select Access のカスタマイズ , 30
ユーザーエントリ、合成 , 34
286
ユーザーキャッシュ , 75
ユーザーデータ、分散 , 51
ユーザー認証情報
取得 , 53
ログイン , 117
ユーザーロール , 69
ユーティリティ
C/C++, 108
メモリ , 52
文字列 , 52
よ
要求、ユーザー , 54
ら
ライブラリ
以前のリリースからの移行 , 22
共有 , 71
種類、「API」を参照 , 20
ライブラリの移行 , 22
り
リソース
.NET 「WSE Enforcer プラグイン」を参照
URL、取得 , 85
解放 , 108
個別化データ、アクセス , 154
デストラクタを使用して～を解放 , 73
複数、 Visual Basic, 163
複数、クエリ , 160
プラグインでの保護 , 29
マルチリソースへのクエリ , 159
要求、受け取り , 83
リソース固有の API, 191
リソースパス
アイデンティティ管理 , 186
管理 , 185
機能管理 , 186
スキーマ管理 , 186
ネットワーク , 185
ネットワーク管理 , 185
リターンコード , 73, 98
リダイレクト , 32
る
ログインフォーム、表示 , 100
ルール
XML の使用 , 25
概要 , 32
カスタマイズ , 31
サブルールの追加 , 32
種類 , 32, 48
条件付き , 18
説明 , 201
パラメータ , 202
判定ポイントの追加 , 32
評価 , 73
フィルタの作成 , 32
ログフィルタ、初期化 , 240
わ
ワークフロー
管理、「Web 管理インターフェイス」を参照
データ、 Web 管理インターフェイスによる取得 ,
221
要求、送信および承認 , 219
れ
例外
Policy Validator でのスロー , 75
処理 , 52
レコード「ユーザー」、「エントリ」を参照
ろ
ロール
アイコン , 219
検索 , 226
情報 , 51, 70
データ , 221
メンバーシップ、取得 , 75
ユーザー , 69
ログ
XML 設定 , 239
アプリケーションとの統合、「Logger API」を参照
監査 , 96
最大サイズ , 240
システムログ , 241
重要度レベル , 237
出力先 , 237, 245
セキュリティで保護されたリモート , 84
設定、確認 , 243
チャネル , 237
ファイル、ログ , 240
フィルタ , 48, 238
フィルタ、作成 , 237
フィルタの配列 , 243
変数 , 241
レベル , 52
ログアウト , 32
ログイン、 Enforcer プラグインプロトコル , 88
287
288

Download Report