この章では、管理者が使用できるツール、およびアプリケーションのセキュリティを管理するための一般的なタスクについて説明します。この章の内容は次のとおりです。
高度な管理タスクは、付録E「WLSTスクリプトおよびMBeanプログラミングを使用した管理」を参照してください。
セキュリティ管理者が使用できる3つの基本ツールは、Oracle Enterprise Manager Fusion Middleware Control、Oracle WebLogic管理コンソールおよびOracle WebLogic Scripting Tool(WLST)です。これらのツールおよびその他のツールの詳細は、Oracle Fusion Middlewareの管理者ガイドの第3章「Oracle Fusion Middlewareの管理を開始するにあたって」を参照してください。
アプリケーションの管理に使用するツールを決定するには、そのアプリケーションでコンテナ管理セキュリティ(JavaEEアプリケーション)のみを使用するのか、Oracle ADFのセキュリティ(Oracle ADFアプリケーション)も扱うのかという点が主な基準になります。
Oracle Application Development Framework(Oracle ADF)アプリケーション、Oracle Service Oriented Architecture(SOA)アプリケーション、WebCenterアプリケーションなどOracle固有のアプリケーションのデプロイ、保護およびメンテナンスにはFusion Middleware Controlを使用します。
サード・パーティが開発したアプリケーション、JavaSEアプリケーション、JavaEEアプリケーションなどその他のアプリケーションのデプロイ、保護および管理には、Oracle WebLogic管理コンソールまたはWLSTを使用することが普通です。
アプリケーションを開発するための推奨ツールは、Oracle JDeveloper 11gです。このツールは、専用のエディタとUIガジェットによって、開発者によるファイルベースのアイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアの構成を支援します。特に、Oracle ADFアプリケーションを開発する際は、開発者はウィザードを実行してOracle ADFリソースに関連付けられたWebページに対するセキュリティ(Oracle ADFタスク・フローやページ定義など)を構成し、ファイルjazn-data.xml
専用の視覚的なエディタを使用してセキュリティ・アーティファクトを定義できます。
手順の詳細と関連トピックは、Oracle JDeveloperオンライン・ヘルプ・ドキュメントの次の項を参照してください。
Oracle ADFのセキュリティを使用したWebアプリケーションの保護に関する項
Java EE Securityを使用したWebアプリケーションの保護に関する項
セキュリティ制約に対する代替としてのOracle ADFのセキュリティに関する項
Webアプリケーションの保護に関する項
Oracle ADFのセキュリティおよびそれとOracle JDeveloperとの統合の詳細は、『Oracle Fusion Middleware Oracle Application Development Framework Fusion開発者ガイド』のOracle ADFのセキュリティの設計時ツールへのアクセスに関する項を参照してください。
表6-1は、いくつかの基本的なセキュリティ・タスクとそれらを実行するために使用するツールの一覧です。アプリケーション・セキュリティの構成と管理に使用するツールは、アプリケーションのタイプに応じて選択します。コンテナ管理セキュリティのみを使用するJavaEEアプリケーションの場合は、Oracle WebLogic管理コンソールを使用します。ファイングレイン認可を使用するOracle ADFアプリケーションの場合は、Fusion Middleware Controlを使用します。
次に示すツールを使用せずに手動で設定することはお薦めしません。Xを表示したタスクを実行するためにOracle WebLogic管理コンソールを使用する方法は、表に続いて示す各リンクを参照してください。
表6-1 基本的な管理セキュリティ・タスク
タスク | Fusion Middleware Controlの「セキュリティ」メニューで選択する項目 | Oracle WebLogic管理コンソールの使用 |
---|---|---|
WebLogicドメインの構成 |
X |
|
WebLogicセキュリティ・レルムの構成 |
X |
|
WebLogicドメイン認証プロバイダの管理 |
X |
|
MSクライアント、WebブラウザおよびHTTPクライアントに対するSSOの有効化 |
X |
|
ドメイン管理アカウントの管理 |
X |
|
Oracle ADFアプリケーションに対する資格証明の管理 |
資格証明 |
|
セキュリティ・プロバイダの構成 |
||
セキュリティ・プロバイダの構成 |
||
Oracle ADFアプリケーションでのJAASの有効化 |
セキュリティ・プロバイダの構成 |
|
Oracle ADFアプリケーションでのエンタープライズ・グループへのアプリケーション・グループのマップ |
アプリケーション・ロールまたはアプリケーション・ポリシー |
|
Oracle ADFアプリケーションでのシステム全体のポリシーの管理 |
システム・ポリシー |
|
OPSSのプロパティの構成 |
セキュリティ・プロバイダの構成 |
|
ドメイン・ポリシーおよび資格証明ストアの再関連付け |
セキュリティ・プロバイダの構成 |
前述のタスクのためのOracle WebLogic管理コンソールの使用方法の詳細は、次のドキュメントを参照してください。
管理コンソールの一般的な使用方法は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプを参照してください。
WebLogicドメインを構成する方法は、『Oracle Fusion Middleware Understanding Domain Configuration for Oracle WebLogic Server』を参照してください。
WebLogicセキュリティ・レルムを構成する方法は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』の新しいセキュリティ・レルムの作成および構成の主要な手順に関する項を参照してください。
WebLogicドメイン認証プロバイダを管理する方法は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』の第5章を参照してください。
MSクライアントでSSOを構成する方法は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』の第6章を参照してください。
ドメイン管理アカウントを管理する方法は、『Oracle Fusion Middleware Securing Resources Using Roles and Policies for Oracle WebLogic Server』の第6章を参照してください。
注意: OPSSでは、サーバー・ファイルの自動バックアップおよび自動クローニングはサポートされません。サーバー管理者がサード・パーティ・ツールを使用し、必要に応じてすべてのサーバー構成ファイルを定期的にバックアップすることをお薦めします。 |
Fusion Middleware Controlは、アプリケーションのネットワークの管理を1か所でできるようにするWebベースのツールです。Oracle SOAアプリケーション、Oracle ADFアプリケーション、Oracle WebCenter、およびOPSSを使用するその他のOracleアプリケーションのデプロイ、構成、監視、診断および監査にFusion Middleware Controlを使用します。この項では、セキュリティ関連の操作についてのみ説明します。
このツールには、セキュリティに関連する様々な管理タスクが用意されています。管理者は、このツールを使用して次のタスクを実行できます。
インストール後、アプリケーションをデプロイする前にポリシー・ストアと資格証明ストアを再関連付けします。詳細は、第8.2.1項「Fusion Middleware Controlを使用したドメイン・ストアの再関連付け」を参照してください。
インストール後、アプリケーションをデプロイする前にOPSSのプロパティを定義します。詳細は、第8.5項「Oracle Fusion Middleware Controlを使用したプロパティ・セットの構成」を参照してください。
デプロイ時に、ファイルベースのアプリケーション・ポリシーおよび資格証明からLDAPベースのドメイン・ポリシーおよび資格証明への自動的な移行を構成します。
詳細は、次の各項を参照してください。
アプリケーションのデプロイ後、そのアプリケーションで次のタスクを実行できます。
アプリケーション・ポリシーの管理。詳細は、第8.4.1.1項「アプリケーション・ポリシーの管理」を参照してください。
資格証明の管理。詳細は、第9.5.1項「Fusion Middleware Controlを使用した資格証明の管理」を参照してください。
アプリケーション・ロールからユーザー、グループおよびアプリケーション・ロールへのマッピングの指定。詳細は、第8.4.1.2項「アプリケーション・ロールの管理」を参照してください。
ドメインでのシステム・ポリシーの管理。詳細は、第8.4.1.3項「システム・ポリシーの管理」を参照してください。
ドメインでのOPSSのプロパティ管理。詳細は、第8.5項「Oracle Fusion Middleware Controlを使用したプロパティ・セットの構成」を参照してください。
セキュリティ管理タスクの要約およびこれらのタスクの実行に使用するツールは、「基本的なセキュリティ管理タスク」を参照してください。
その他の機能の詳細は、Fusion Middleware Controlオンライン・ヘルプ・ドキュメントを参照してください。
この項では、セキュリティ関連の操作および一部の基本的な管理操作について説明します。
Oracle WebLogic管理コンソールは、Webベースのツールであり、いくつかある機能の中でも特に、アプリケーションのデプロイと再デプロイ、ドメインの構成およびアプリケーション・ステータスの監視ができます。この項では、セキュリティ関連の操作についてのみ説明します。
Oracle WebLogic管理コンソールで実行される一般的な操作タスクは、次のとおりです。
Oracle WebLogic Serverの起動および停止。詳細は、『Oracle Fusion Middleware Managing Server Startup and Shutdown for Oracle WebLogic Server』のサーバーの起動と停止に関する項を参照してください。
Oracle WebLogic Serverおよびドメインの構成。詳細は、『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』の既存のドメインの構成に関する項を参照してください。
アプリケーションのデプロイ。詳細は『Oracle Fusion Middleware Deploying Applications to Oracle WebLogic Server』を参照してください。
フェイルオーバー・サポートの構成。詳細は、『Oracle Fusion Middleware Using Clusters for Oracle WebLogic Server』のクラスタでのフェイルオーバーとレプリケーションに関する項を参照してください。
WebLogicドメインおよびWebLogicレルムの構成。
ドメイン認証プロバイダでのユーザーおよびグループの管理。
MSクライアント、WebブラウザおよびHTTPクライアントに対するシングル・サインオンの使用の有効化。
管理ユーザーおよび管理ポリシーの管理。
Oracle WebLogic管理コンソールの詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプを参照してください。
WLSTは、コマンドライン・インタフェースであり、ドメインの構成とアプリケーションのデプロイを含む管理タスクのスクリプト化および自動化を可能にします。
次のリストは、このガイドで取り上げているセキュリティ関連のWLSTコマンドのリストです。すべてのWLSTコマンドの完全なリストは、『Oracle Fusion Middleware WebLogic Scripting Tool Command Reference』を参照してください。
ポリシー関連のコマンド
次のコマンドの詳細は、第8.4.2項「WLSTコマンドを使用したポリシーの管理」を参照してください。
createAppRole
deleteAppRole
grantAppRole
revokeAppRole
listAppRoles
listAppRolesMembers
grantPermission
revokePermission
listPermissions
deleteAppPolicies
資格証明関連のコマンド
次のコマンドの詳細は、第9.5.2項「WLSTコマンドを使用した資格証明の管理」を参照してください。
listCred
updateCred
createCred
deleteCred
modifyBootStrapCredential
その他のコマンド
migrateSecurityStore。詳細は、第8.3.2項「コマンドmigrateSecurityStoreを使用したポリシーの移行」および第9.4.2項「コマンドmigrateSecurityStoreを使用した資格証明の移行」を参照してください。
reassociateSecurityStore。詳細は、第8.4.2項「WLSTコマンドを使用したポリシーの管理」および第9.5.2項「WLSTコマンドを使用した資格証明の管理」を参照してください。