Oracle Formsアプリケーションは、ユーザーがブラウザでアクセスするWeb配布のソリュー
ションです。Oracle Formsアーキテクチャでは、Forms開発者は2種類の方法でFormsアプリ ケーションの実行方法を構成できます。ひとつは、パラメータとその値をURLで設定する方法 です。もうひとつは、パラメータとその値を構成ファイル(formsweb.cfg)で設定する方法で す。URLで設定したパラメータは、formsweb.cfgで設定したパラメータよりも優先されます。
Forms管理者はこのデフォルト動作を上書きして、URLで使用可能なパラメータを完全に制御
できます。
URLで使用可能にするパラメータを決定する際は、2つのシナリオを検討します。最初のシナ リオは、管理者が、単にデフォルトのログイン・ウィンドウを使用したログインを常にユー ザーに強制するURLでのUSERIDパラメータの使用を制限する場合です。2番目のシナリオ は、CONFIG=MyAppのような少数のパラメータを除く、URLでのすべてのパラメータの使用 を管理者が禁止する場合です。
パラメータrestrictedURLparamsでは、Forms管理者は、formsweb.cfgファイル内のURL へアクセス可能なパラメータをユーザーの使用が制限されたものと見なすことができます。管 理者は、名前を付けた構成セクションでこのパラメータを指定して、デフォルトの構成セク ションで指定したパラメータを上書きできます。restrictedURLparamsパラメータ自体は URLで設定できません。
図4-1「restrictedURLparamsパラメータの定義」は、restrictedURLparamsパラメータを
[myApp]セクションで定義し、[デフォルト]構成セクションで設定したパラメータを上書き
する例を示しています。
注意 注意 注意
注意: restrictedURLparamsパラメータは、Oracle Enterprise
Manager Application Server Controlコンソールの「構成」ページで管理
します。
アプリケーションのURLセキュリティの管理
図図
図図4-1 restrictedURLparamsパラメータの定義パラメータの定義パラメータの定義パラメータの定義
デフォルトでは、このユーザーscottは、Formsアプリケーションのデバッグ、Forms Trace の使用またはForms Trace内のレコードの編集を許可されていません。[myApp]セクションで は、ユーザーscottはアプリケーション・アクセス時にログインのみ要求され、アプリケーショ ンのデバッグは許可されていません。しかし、scottはForms Traceを操作し、このアプリケー ションのURLによってレコードを編集できるようになります。
restrictedURLparamsパラメータを使用して、管理者は、このアプリケーションでユーザー の使用が制限(または許可)されているパラメータ・リストが表示されるエラー・ページへ ユーザーをリダイレクトできます。
4.6.1 Oracle Forms テスト・フォームの保護 テスト・フォームの保護 テスト・フォームの保護 テスト・フォームの保護
実行するアプリケーションを指定しないでOracle Forms URLにアクセスすると、テスト・
フォームが実行されます。たとえば、通常は次の構文を使ってOracle Formsアプリケーション をコールします。
http://<host>:<port>/forms/frmservlet?config=myApp
Forms Servletは、formsweb.cfgファイルから[myApp]を探し出し、これを起動します。アプ
リケーションが指定されないときは、次のようになります。
http://<host>:<port>/forms/frmservlet
Forms Servletは、formsweb.cfgファイルのデフォルトのセクションの設定を使用します。これ
らの設定は、Forms構成ファイルの[default]にあります(アプリケーションがこれらの設 定を上書きしない場合は、デフォルトが使用されます)。デフォルトのセクションには、次の設 定が含まれます。
form=test.fmx
これは、Oracle Forms Servicesのインストールと構成をテストできるテスト・フォームです。
このため、アプリケーションを指定しない場合は、Formsはtest.fmxファイルを起動します。
これを次のように変更できます。
form=
このようにすると、フォームは実行されません。ただし、これは最適ではありません。Forms
Servletは動的に生成されたHTMLファイルをクライアントに送信するため、ユーザーが情報
を勝手に取得することができます。保護を最適にするソリューションは、クライアントに表示 される情報HTMLページにリクエストをリダイレクトすることです。このためには、
formsweb.cfgファイルのパラメータの一部を変更する必要があります。
Oracle Forms Servicesのインストール時に変更するパラメータを、デフォルトの値とともに次
に示します。
# System parameter: default base HTML file baseHTML=base.htm
# System parameter: base HTML file for use with JInitiator client baseHTMLjinitiator=basejini.htm
# System parameter: base HTML file for use with Sun's Java Plug-In baseHTMLjpi=basejpi.htm
# System parameter: base HTML file for use with Microsoft Internet Explorer # (when using the native JVM)
baseHTMLie=baseie.htm
これらのパラメータは、クライアントに送信されるHTML情報のテンプレートです。情報 HTMLページを作成して、これらの変数をかわりにポイントします。たとえば、ORACLE_
HOME/forms/serverディレクトリに、次のコンテンツを含むforbidden.htmlという名前 の簡単なHTMLページを作成します。
<html>
<head>
<title>Forbidden</title>
</head>
<body>
<h1>Forbidden!</h1>
<h2>You may not access this Forms application.</h2>
</body>
</html>
次に、元のパラメータをコメント・アウトまたは変更して、formsweb.cfgパラメータを変更し ます。
# System parameter: default base HTML file #baseHTML=base.htm
baseHTML=forbidden.html
# System parameter: base HTML file for use with JInitiator client #baseHTMLjinitiator=basejini.htm
baseHTMLjinitiator=forbidden.html
# System parameter: base HTML file for use with Sun's Java Plug-In #baseHTMLjpi=basejpi.htm
baseHTMLjpi=forbidden.html
# System parameter: base HTML file for use with Microsoft Internet Explorer # (when using the native JVM)
#baseHTMLie=baseie.htm baseHTMLie=forbidden.html
ユーザーが次のURLを入力すると、カスタマイズされたWebページが表示されます。
http://<host>:<port>/forms/frmservlet
formsweb.cfgファイルで該当するパラメータを変更すれば、forbidden.htmlのコンテンツ、
ファイル名、および場所などもカスタマイズできます。この情報Webページには、警告、エ ラー、タイムスタンプ、IPロギングまたは問合せ先などの情報を、サーバー構成への影響を最 小限にして格納できます。
注意注意
注意注意: クライアント情報のリダイレクトおよびメッセージ・ページの代替表 示は、リクエストしたコンテンツにアクセス権の制限がある場合にWebサー バーが返すWebページとは異なります。
注意 注意 注意
注意: formsweb.cfgのデフォルト・セクションのbaseHTMLテンプレート
のエントリを上書きするには、アプリケーション固有の名前が付いた構成に 元の値(または他の有効なHTMLファイル)を示す同じエントリを追加する 必要があります。
[myApp]
form=myApplication.fmx lookandfeel=oracle baseHTML=base.htm
baseHTMLjinitiator=basejini.htm baseHTMLjpi=basejpi.htm
baseHTMLie=baseie.htm
これらのbaseHTMLの値を指定しないでユーザーがアプリケーションを実行
する場合は、アプリケーション固有の構成セクションがデフォルトの値を上 書きしていないので、forbidden.htmlページが表示されます。
Oracle FormsアプリケーションへのGraphicsの挿入