XML
ベースのデータアーカイブのセキュリティガイド 
XML ベースのデータアーカイブテクノロジーは、データアーカイブに使用される確立済テクノロジーである ADK を補足するものです。この 2 つは、増大し続けるデータベースから使用されていないデータを抽出し、このアーカイブデータへの長期的なアクセスを提供する場合に使用されます。ただし、その名称が示すように、XML ベースアーカイブは、新規 XML 指向 ABAP とすべての Java アプリケーション向けに設計されました。
XML ベースアーカイブは、SAP Web Application Server の標準 J2EE システムインストールに含まれる XML データアーカイブサービス (XML DAS) に依存します。アプリケーションが XML DAS を使用する場合は、要件に応じて ABAP 用または Java 用のいずれかの XML DAS コネクタを介して、XML DAS を使用することができます。この文書では、SAP J2EE Engine の XML DAS と通信を行う、新規の XML ベースの ABAP アーカイブオブジェクトおよび Java 実装によるアーカイブセットに関するセキュリティアスペクトについて説明します。
技術システムランドスケープ: セキュリティ関連インタフェース
以下の図は、XML ベースのデータアーカイブに必要なさまざまな要素、およびこれらの要素を接続するインタフェースを示しています。
図に示されている区分けは、XML ベースアーカイブに関連するさまざまな要素を明確に示すために概念的に使用されています。実際のシナリオでは、ABAP 要素と Java 要素が 1 つの SAP Web AS システム内で実行されたり、XML DAS が属している SAP J2EE Engine が同じ SAP Web AS システムにインストールされていたりする可能性もあります。また、この図は、XML ベースアーカイブに、WebDAV システムとファイルシステムの両方のインストールが必要となることを示しているわけではありません。アーカイブファイルを格納するのに、これらのうち 1 つのみを使用する可能性もあります。
セキュリティの観点から、図に示されているインタフェースについて以下のように説明することができます。
● インタフェース 1 および 1J: ABAP または Java アプリケーションシステムにアクセスするエンドユーザおよびデータアーカイブ管理者
● インタフェース 2 および 2J: ABAP または Java アプリケーションシステムと、XML DAS をホストする J2EE システムとの大の通信インタフェース
● インタフェース 3: XML DAS 管理者のユーザインタフェース
● インタフェース 4: XML DAS と外部の WebDAV 対応ストレージシステム (WebDAV システム) との間の WebDAV インタフェース
● インタフェース 5: ファイルシステムインタフェース
ユーザ権限とクライアント認証
インタフェース 1、1J、および 3
このインタフェースによって、個別ユーザはシステムにアクセスすることができます。これらのユーザは以下のいずれかです。
● ローカルアプリケーションシステムのエンドユーザおよびデータアーカイブ管理者 (インタフェース 1 および 1J)
エンドユーザセキュリティは、アプリケーション固有で処理されます。したがって、アーカイブデータへのアクセスは、アーカイブオブジェクト固有の権限またはアーカイブセット固有の権限にもとづいて制限されます。データアーカイブ管理者の主要なタスクは、アーカイブプロセスの設定、スケジュール、および監視です。ただし、アプリケーションによって有効になっている場合、管理者は、技術書式でアーカイブデータを照会することもできます。ユーザ名は事前定義されていません。
ABAP データアーカイブ管理者に関して、以下のチェックが行われます。
○
ログインユーザに、アーカイブ管理 (トランザクション SARA) を開始し、選択したアーカイブオブジェクトを処理するために権限オブジェクト S_ARCHIVE
で必要となる権限が付与されているかどうか。S_ARCHIVE
の追加情報については、ADK
文書の
ユーザ権限チェックを参照してください。
○ ログインユーザが、対応する XML アーカイブオブジェクトによって文書化されているアプリケーション固有の権限にもとづいて、トランザクション SARA でアーカイブ管理のアーカイブリソースを照会することができるかどうか。これらの権限は、BAdI XML_DAS_AUTH_CHECK を使用してチェックされます。
○ S_ARCHIVE 権限オブジェクトは、アクションを実行するための正しい権限がユーザに付与されているかどうかをチェックする場合に、XML アーカイブ API でも使用されます。したがって、XML 書込プログラムが外部 (トランザクション SARA 外部) でスケジュールされている場合でも、同じ S_ARCHIVE チェックが行われます。
現在の Java アーカイブセットでは、アプリケーション非依存のローカルアーカイブ管理はまだリリースされていません。使用しているアーカイブセットの文書を参照してください。
● XML データアーカイブサービス管理者 (インタフェース 3)
XML DAS 管理は、以下の http アドレスで起動できるブラウザアプリケーションです。
http://<SAP J2EE Engine のホスト>:<HTTP ポート>/DataArchivingService/DAS
たとえば、次のように指定します。http://localhost:50000/DataArchivingService/DAS
SAP J2EE Engine に対して既知の任意のユーザをデータアーカイブ管理者に指定することができます。ユーザを有効化するには、セキュリティロールXMLDASSecurityRole
に割り当てる必要があります。このセキュリティロールの割り当ては、SAP
J2EE Engine の Visual
Administrator によりコンポーネントsap.com/tc~TechSrv~XML_DAS*DataArchivingService
のセキュリティプロバイダで行います。Security
Provider でタブストリップ Policy
Configurations を選択し、Security
Roles を選択します。セキュリティロールの割当は、ユーザに対して直接行うことも、グループ単位で行うこともできます。この処理方法の追加情報については、Visual
Administrator を使用した J2EE Engine
ユーザマネジメントを参照してください。
注記: ユーザの登録とセキュリティロールへの割当の手順は、SAP Web Application Server
のインストールオプションによって異なります。追加情報については、UME
データソースの選択を参照してください。
アドインインストール
a. ABAP トランザクション SU01 を使用してユーザを登録します。ダイアログユーザ (タイプ A) を登録することをお奨めします。
詳細については、レコードの登録と更新を参照してください。
b. 登録したユーザを選択したロールに割り当てます。トランザクション PFCG で Z_XMLDAS_ADMIN などを呼び出すと、ここで使用するロールを新たに登録することができます。
c. Visual Administrator の Security Provider の "Groups" に表示されるこのロール (上記参照) を、セキュリティロール XMLDASSecurityRole に割り当てます。
標準 J2EE Engine インストール (ユーザが J2EE Engine のデータベースに格納されている場合)
a. Visual Administrator でユーザを登録します。Security Provider でタブストリップ User Management を選択し、Create User を選択します。
b. 登録したユーザをセキュリティロール XMLDASSecurityRole に割り当てます。コンポーネント sap.com/tc~TechSrv~XML_DAS*DataArchivingService の Security Provider で、タブ Policy Configuration → Security Roles を選択します。
インタフェース 2、2J、4、および 5
これらのインタフェースは、技術通信にのみ使用されます。
● インタフェース2 および 2J: 基本認証、SSL による基本認証 (HTTPS)、またはクライアント証明書など、関連するクライアントシステム (XML DAS コネクタをホストするシステム) と SAP J2EE Engine によってサポートされているすべての HTTP 認証方法を使用することができます。
技術通信ユーザが SAP J2EE Engine に対して既知となっており、セキュリティロール XMLDASSecurityRole (上記参照) に割り当てられている必要があります。アドインインストールを使用している場合は、管理用に推奨されているダイアログユーザではなく、システムユーザ (タイプ B) を選択することをお奨めします。登録することができる特定のロールに、このユーザを割り当てます。適切なロール名には、たとえばZ_XMLDAS_CLIENT などがあります。
HTTPS を使用する場合、HTTP ポートではなく HTTP SSL ポートが宛先で指定されている必要があります。追加情報については、SAP J2EE
Engine での SSL
の使用の設定を参照してください。
接続を設定する場所は、アプリケーションシステムでアーカイブオブジェクト (ABAP) またはアーカイブセット (Java) のいずれが使用されているかに応じて異なります。
○ トランザクション SM59 を使用した XML DAS の HTTP 宛先の登録 (ABAP 環境における XML アーカイブオブジェクトに適用されます):
RFC 宛先 <新規名称> (例: XML_DAS)
接続タイプ: G (外部サーバに対する HTTP 接続)
内容説明: <内容説明> (例: XML DAS を実行するJ2EE Engine)
技術設定
対象ホスト: <J2EE Engine ホストのアドレス>
サービス番号: <HTTP ポートまたは HTTP SSL ポート>
パスプレフィックス: /DataArchivingService/DAS
ログオン/セキュリティ
セキュリティオプション: 例: 基本認証、SSL 無効
ログオン: ユーザ: <セキュリティロールXMLDASSecurityRole に割り当てられた UME ユーザ>
パスワード: <対応する UME パスワード>
HTTPS を使用する場合は、宛先タイプ (接続タイプ
G)
およびトラストマネージャの使用を参照してください。
○ SAP J2EE Engine の宛先サービスを使用したXML DAS の HTTP 宛先の登録 (Java 環境におけるアーカイブセットに適用されます):
...
...
...
1. SAP J2EE Engine の J2EE Engine Visual Administrator を開きます。
2. XML DAS に依頼を送信する必要のあるサーバごとに、services → Destinations を選択します。
3. HTTP 宛先を新規登録します。
4. 宛先名として DASdefault を選択します。
5. http://<DAS を実行しているホスト>:<HTTP ポート>/DataArchivingService/DAS のような URL を指定します。
(例: http://mainarchive.mycompany.corp:50000/DataArchivingService/DAS)
6. 認証方法として “BASIC” を選択します。
7. ユーザ名およびパスワードを入力します。
8. 設定を保存します。
基本認証ではなく HTTPS を使用する場合は、以下の手順に従ってください。
...
1. 上記の手順に従って、宛先を新規登録します。URL に SSL ポートが入力されていることを確認してください (例: 50000 ではなく 50001)。
2. 認証方法には、X.509 Client Certificate を入力します。
3. Client Certificate Authentication で、キーストアビューとして service-ssl を選択し、適切な信用証明書を選択します。
4. 設定を保存し、XML DAS コネクタ Java のカスタマイジングを新規宛先名で更新します。
● インタフェース4: HTTP 宛先は、XML DAS を外部の WebDAV サーバに接続する場合に使用されます。HTTP 宛先の登録の追加情報については、SAP J2EE Engine を使用した XML DAS の HTTP 宛先の登録方法についてのセクションを参照してください。
ポイント 4 で、宛先名として DASdefault を選択しないでください。宛先には、その他の任意の名称を入力することができます。
● インタフェース5: SAP J2EE Engine からアクセス可能なファイルシステムにリソースを格納するには、XML DAS 管理 (機能アーカイブストア定義) を使用してディレクトリを指定することができます。
ユーザ
以下の表は、XML アーカイブに必要なユーザの概要を示しています。
システム |
ユーザ |
出荷済 |
Type |
デフォルトパスワード |
XML データアーカイブサービス管理者 (SAP J2EE Engine) |
(SAP NW Web AS で定義され、セキュリティロール XMLDASSecurityRole に割り当てられている必要があります) |
× |
個々の管理者 |
(SAP NW Web AS で定義される必要があります) |
XML データアーカイブサービス通信 (SAP J2EE Engine) |
(SAP NW Web AS で定義され、セキュリティロール XMLDASSecurityRole に割り当てられている必要があります) |
× |
テクニカルユーザ |
(SAP NW Web AS で定義される必要があります) |
SAP J2EE Engine に接続されている WebDAV システム |
(WebDAV サーバ自体で定義され、WebDAV サーバへの接続に使用される HTTP 宛先の一部になっている必要があります) |
× |
テクニカルユーザ |
(WebDAV サーバ自体で定義され、WebDAV サーバへの接続に使用される HTTP 宛先の一部になっている必要があります) |
データ記憶域のセキュリティ
XML DAS コレクション階層、プロパティ、およびその他のメタデータは、J2EE データベースに格納されます。XML DAS
では、データベースプールエイリアス
SAP/BC_XMLA
が使用されます。追加情報については、データベース接続のセキュリティアスペクトを参照してください。
コレクションおよびリソースは、WebDAV システムまたはファイルシステムに格納されます (上記参照)。ファイルシステムが使用される場合、ディレクトリおよびファイルは SAP J2EE Engine によって作成されます。具体的には、このケースでは、Windows システムを使用するユーザは SAPService<sid>、UNIX システムを使用するユーザは <sid>adm です。このため、各ディレクトリには適切なアクセス特権が設定されている必要があります。参照:オペレーティングシステムのセキュリティ
システム内のリソースまたはディレクトリへの未承認アクセスまたは悪影響を及ぼす変更または削除を防ぐために、それぞれ SAPService<sid> または <sid>adm に対してのみ適切なアクセス特権を付与します。
アーカイブストアルートディレクトリが確定した後、ディレクトリまたはファイルをマニュアルで登録または削除しないようにしてください。
読込依頼時にアーカイブリソースのコンテンツが変更されていないことを確認する場合は、チェックサムオプションを使用することをお奨めします。
ABAP の場合、この機能を見つけるには、アーカイブ管理 (トランザクション SARA) で、カスタマイジング → XML DAS の設定: チェックサムを選択します。
トレースおよびログファイル
XML DAS および XML DAS コネクタ Java のトレースおよびログファイルは、SAP J2EE Engine によって書き込まれます。
● XML DAS のログファイルは、XML DAS を実行しているサーバのログディレクトリにあるカテゴリ /Applications/Common/Archiving/XML_DAS の下の applications.log ファイルにあります。
● XML DAS のトレースは、ロケーション com.sap.archtech.daservice を使用するデフォルトのトレースファイルに書き込まれます。
● XML DAS コネクタ Java のログファイルは、アーカイブアプリケーションを実行しているサーバのログディレクトリにあるカテゴリ /Applications/Common/Archiving/Connector の下の applications.log ファイルにあります。
● XML DAS コネクタ Java のトレースは、ロケーション com.sap.archtech.archconn を使用するデフォルトのトレースファイルに書き込まれます。
XML アーカイブオブジェクトの場合、通常のジョブログは XML DAS コネクタ ABAP によって書き込まれます。また、リソースやコレクションが明示的に削除されるたびに、メッセージ ID DA1 および問題クラス S (操作とレース) でシステムログエントリ (syslog) が登録されます。syslog には、リソースまたはコレクションの削除が書き込まれています。