Guidewire Solr Extension のセキュリティの確保

サーバーおよびクライアントの Guidewire Solr Extension のセキュリティを確保するには、2 つの主要なコンフィギュレーションが必要です。1 番目に、基本認証が必要です。2 番目に、SSL をアクティブにします。

Guidewire Cloud 展開で、Guidewire ではこのセキュリティを確保した環境を提供しています。

ローカル開発環境の場合、セキュリティを確保したコンフィギュレーションを提供しています。

ローカル開発用の Guidewire Solr Extension での認証

ClaimCenter と Solr アプリケーション間の通信のセキュリティを確保することをお勧めします。そのため、ClaimCenter と Solr アプリケーションに基本認証をコンフィギュレーションします。ClaimCenter または Solr アプリケーションに基本認証をコンフィギュレーションする場合、SSL をアクティブにしてそれぞれのアプリケーションをコンフィギュレーションすることもお勧めします。SSL をアクティブにしないと、基本認証のセキュリティを効果的に確保できません。

Solr との通信時に基本認証を使用するよう ClaimCenter をコンフィギュレーションする

Solr との通信時に基本認証を使用するよう ClaimCenter をコンフィギュレーションする 1 つの方法は、solrserver-config.xml ファイルに username および password プロパティを保存することです。次のコード例では、HTTP サーバー環境でこれらのプロパティを保存する方法を示しています。

<solrserver name="solr_instance_name" type="http">
  <param name="host" value="localhost"/>
  <param name="port" value="8983"/>
  <param name="securetransport" value="true"/>
  <param name="username" value="solr_user"/>
  <param name="password" value="the_password"/>
</solrserver>

クラウドサーバー環境の場合、次の例のように、type プロパティの代入値を cloud に置き換えます。

<solrserver name="solr_cloud_name" type="cloud">
  <param name="zkhosts" value="localhost:2181/cc"/>
  <param name="username" value="solr_user"/>
  <param name="password" value="the_password"/>
</solrserver>

注: セキュリティ上の理由から、実稼働環境でこの方法を使用することはお勧めできません。クリアテキスト認証情報がクラウド環境の ZooKeeper インストールにアップロードされる可能性があります。ZooKeeper は HTTP でアクセスでき、セキュリティが確保されません。

クリアテキスト認証情報とは別の方法として、Credentials プラグインを使用します。このプラグインを登録した場合、Guidewire Solr Extension 内の Solr サーバーマネージャは SOLR キーの認証情報を要求します。そのような要求に対してプラグインが認証情報を返すと、この認証情報の値が、solrserver-config.xml ファイルのクリアテキスト認証情報より優先されます。

Solr アプリケーションに基本認証をコンフィギュレーションする

Solr アプリケーションで基本認証を使用するようにコンフィギュレーションするには、認証情報を定義する必要があります。Solr アプリケーション用の認証情報を定義するには、認証情報ハッシュを作成する必要があります。このハッシュを作成するには、username および password の特定のペアに対して createuser.bat および createuser.sh というコマンドを使用します。デフォルトで、これらのコマンドは /opt/gwsolr/cc/bin フォルダにあります。createuser コマンドの使用方法の例を次に示します。

C:\opt\gwsolr\cc\bin>.\createuser 
Usage: createuser -user username [-password password] [-solrhome solrhome_folder] [-debug]

createuser コマンドで、password なしに username を入力した場合、パスワードを作成するプロンプトが表示されます。それ以外の場合、次の指示が表示されます。

Add the following entry to the authentication section of $SOLR_HOME/security.json.
"credentials": {
  "solr": "LkbT+UV72dlWq8zT/e9hyGFIIZSocHwQtK/h1P/4N2g= gN6KFzYNlIv0wgIyQvHUx+yX8phzY6OivyRGnpyp2to="
}
Be sure to enable the SOLR_AUTH* properties in bin/solr.in.cmd or bin/solr.in.sh.

createuser コマンドに solrhome オプションを指定し、security.json ファイルが solrhome の場所に存在しない場合、デフォルトの内容でファイルが作成されます。このデフォルトの内容には、生成されたパスワードハッシュが含まれます。

ローカル開発用の Guidewire Solr Extension のための SSL のアクティブ化

Guidewire Solr Extension サーバーおよび Guidewire Solr Extension クライアントの両方が SSL をアクティブにした状態で実行されるようにコンフィギュレーションできます。このようにサーバーまたはクライアントをコンフィギュレーションした場合、それぞれのサーバーまたはクライアントに基本認証をコンフィギュレーションすることもお勧めします。基本認証をコンフィギュレーションしないと、SSL をアクティブにした状態でそれぞれのサーバーまたはクライアントを実行しても、効果的なセキュリティが確保されません。

SSL をアクティブにした状態で Guidewire Solr Extension サーバーを実行するようコンフィギュレーションする

単独の HTTP サーバーコンフィギュレーション

単独の HTTP サーバーコンフィギュレーションでは、solrserver-config.xml ファイルの対応する solrserver 要素で securetransport プロパティを true に設定します。次のコード例は、このコンフィギュレーションを示しています。

<solrserver name="solr_ssltest_instance" type="solrhost">
  <param name="host" value="localhost"/>
  <param name="port" value="8983"/>
  <param name="securetransport" value="true"/>
</solrserver>

さらに、基になる Java 仮想マシン（JVM）またはアプリケーションサーバーの指示に従って、適切な証明書をコンフィギュレーションします。

クラウドサーバーコンフィギュレーション

クラウドサーバーコンフィギュレーションでは、Guidewire Solr Extension インスタンスのセキュリティが確保されたトランスポートを有効にするセキュリティフラグを設定します。フラグを設定するには、次の Windows の例が示すように、gwzkcli - zkhost を実行します。

gwzkcli -zkhostlocalhost:2181 -cmd put /cc/clusterprops.json {"urlScheme":"https"}

注: Guidewire Solr Extension バッチ読み込みのセキュリティのコンフィギュレーションでは、対応する Guidewire Solr Extension サーバータイプの場合と同じ指示に従います。さらに、JVM の標準プロパティに従ってバッチ読み込みを実行する JVM のパブリック証明書をコンフィギュレーションします。これらのプロパティ設定は batchload.bat ファイルまたは batchload.sh ファイルにあります。

SSL をアクティブにした状態で Guidewire Solr Extension クライアントを実行するようコンフィギュレーションする

スタンドアロンとクラウドの両方のクライアントコンフィギュレーションで、セキュリティ証明書および他の環境変数をコンフィギュレーションします。これらの設定には、SOLR_HOME 変数が含まれます。Apache の指示に従って、solr.in.cmd または solr.in.sh でセキュリティ証明書および環境変数をコンフィギュレーションします。