5.2. 管理インターフェイスに HTTPS と RBAC が追加された Red Hat JBoss Enterprise Application Platform

JBoss EAP は管理コンソールを含む、管理インターフェイスによる HTTPS の使用をサポートします。HTTPS を有効にするには、secure-interface 要素を設定し、secure-port を管理インターフェイスの http-interface セクションに追加し、希望の設定 (サーバー ID、プロトコル、キーストア、エイリアスなど) で既存または新規セキュリティーレルムを設定します。これにより、管理インターフェイスがすべての HTTP トラフィックに SSL/TLS を使用できるようになります。HTTPS と管理インターフェイスのセキュア化に関する背景情報は、高度なセキュリティー を参照してください。

JBoss EAP では、複数の異なる認証スキームを使用して、管理インターフェイスの RBAC を有効にすることもできます。この例では、ManagementRealm で使用される既存のプロパティーファイルでユーザー名とパスワードを使用します。RBAC を有効にするには、管理インターフェイスに対して provider 属性を rbac に設定し、希望のユーザーとロールで ManagementRealm を更新します。

この例では、以下のユーザーが既存のセキュリティーレルムに追加されています。

グループメンバーシップを基に、ユーザーは以下の RBAC ロールにマップされています。

起動時、JBoss EAP は ManagementRealm と RBAC 設定、および管理インターフェイスをコアサービスの一部としてロードします。また、管理インターフェイスの HTTPS 用に設定された http-interface も起動されます。ユーザーは HTTPS を介して管理インターフェイスにアクセスできるようになり、RBAC も有効化および設定されます。RBAC が有効になっていない場合、ManagementRealm のユーザーはすべて SuperUser として考慮され、アクセスが無制限になります。RBAC は有効になっているため、各ユーザーは持っているロールに応じて制限されるようになります。上記の表のとおり、Suzy、Tim、Emily Zach および Natalie は、異なるロールを持っています。たとえば、Suzy と Tim のみがアクセス制御情報の読み取りと編集を行えます。Suzy、Tim、および Emily はランタイム状態とその他の永続設定の情報を編集できます。Zach もランタイム状態とその他の永続設定の情報を編集できますが、アプリケーションリソース関係のみに限定されます。Suzy、Tim、Emily、Zack、および Natalie は設定および状態情報を読み取りできますが、Natalie は何も更新できません。各ロールの詳細と JBoss EAP による RBAC の処理方法については、ロールベースのアクセス制御 と 管理インターフェイスへの RBAC の追加 を参照してください。