3 デフォルト・セキュリティ構成のカスタマイズ

以下の節では、新しいセキュリティ・レルムを作成することによって、デフォルトのセキュリティ構成をカスタマイズする方法について説明します。

• デフォルト・セキュリティ構成をカスタマイズする理由

• 新しいセキュリティ・レルムを作成する前に

• 新しいセキュリティ・レルムの作成と構成:主な手順

セキュリティ・プロバイダの構成の詳細は、第4章「WebLogicセキュリティ・プロバイダの構成」と第5章「認証プロバイダの構成」を参照してください。

セキュリティ・データの新しいセキュリティ・レルムへの移行については、第8章「セキュリティ・データの移行」を参照してください。

デフォルト・セキュリティ構成をカスタマイズする理由

WebLogic Serverのセキュリティの構成と管理を簡素化するために、デフォルトのセキュリティ構成が用意されています。デフォルト・セキュリティ構成では、myrealmがデフォルト(アクティブ)セキュリティ・レルムとして設定され、WebLogic裁決、認証、IDアサーション、資格証明マッピング、証明書パス、XACML認可、およびXACMLロール・マッピングの各プロバイダがセキュリティ・プロバイダとしてセキュリティ・レルムに定義されています。

以下のいずれかを行う場合、デフォルト・セキュリティ構成をカスタマイズします。

• デフォルト・レルムのセキュリティ・プロバイダの1つを別のセキュリティ・プロバイダで置き換えます。

• デフォルト・セキュリティ・レルムにセキュリティ・プロバイダを追加で構成します(たとえば、2つの認証プロバイダを使用し、その1つで組込みLDAPサーバーを使用し、もう1つでWindows NTのユーザーおよびグループのストアを使用する場合)。

• WebLogic Serverの組込みLDAPサーバー以外のLDAPサーバーにアクセスする認証プロバイダを使用します。

• WebLogic認証プロバイダ(DefaultAuthenticatorとも呼ばれます)でユーザーおよびグループを定義するのではなく、ユーザーとグループの既存のストア(DBMSデータベースなど)を使用します。

• 認証を行う場合、ユーザー名に加えてプリンシパルのGUIDまたはDN属性を使用し、プリンシパルの一致で大文字/小文字が区別されないように指定します。

• デフォルト・セキュリティ・レルムに監査プロバイダを追加します。

• SAMLアサーションまたはKerberosトークンを処理するIDアサーション・プロバイダを使用します。

• 証明書レジストリを使用してセキュリティ・レルムに証明書失効を追加します。

• セキュリティ・プロバイダのデフォルト構成設定を変更します。

• セキュリティ・プロバイダ・データベースで並列セキュリティ・ポリシーとロール変更をそれぞれサポートしないカスタム認可プロバイダまたはロール・マッピング・プロバイダを使用します。

セキュリティ・レルムで様々なタイプのセキュリティ・プロバイダを構成する方法については、第4章「WebLogicセキュリティ・プロバイダの構成」と第5章「認証プロバイダの構成」を参照してください。

デフォルト・セキュリティ構成をカスタマイズする最も簡単な方法は、デフォルト・セキュリティ・レルム(myrealm)にセキュリティ・プロバイダを追加することです。しかしOracleではこの方法ではなく、完全に新しいセキュリティ・レルムを作成して、デフォルト・セキュリティ構成をカスタマイズすることをお薦めします。このようにすると、デフォルト・セキュリティ構成を簡単に元に戻せる状態が保たれます。作成した新しいレルムにセキュリティ・プロバイダを構成し、既存のデフォルト・レルムからユーザーやグループなどのセキュリティ・データを移行してから、新しいセキュリティ・レルムをデフォルト・レルムとして設定します。「新しいセキュリティ・レルムの作成と構成: 主な手順」を参照してください。

新しいセキュリティ・レルムを作成する前に

新しいセキュリティ・レルムを作成する前には、以下のことを決定する必要があります。

• どのセキュリティ・プロバイダを使用するか。WebLogic Serverには様々なセキュリティ・プロバイダがあり、カスタム・セキュリティ・プロバイダを作成したり入手したりすることもできます。有効なセキュリティ・レルムには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格証明マッピング・プロバイダ、ロール・マッピング・プロバイダ、および証明書パス・ビルダーが必須です。また、必要に応じてIDアサーション・プロバイダ、監査プロバイダ、および証明書レジストリ・プロバイダを含めることもできます。新しいセキュリティ・レルムに同じ種類のプロバイダを複数含める場合(複数の認証プロバイダ、複数の認可プロバイダなど)、そうしたプロバイダが相互に通信する方法を決定する必要があります。「複数の認証プロバイダの使用」を参照してください。

  また、カスタムの認可プロバイダまたはロール・マッピング・プロバイダは、セキュリティ・プロバイダ・データベースで並列セキュリティ・ポリシーとロール変更をれぞれサポートする場合とサポートしない場合があります。カスタムの認可プロバイダまたはロール・マッピング・セキュリティ・プロバイダが並列変更をサポートしない場合、WebLogic Securityフレームワークは同期メカニズムを実行するため、各アプリケーションとモジュールはキューに配置され、連続してデプロイされます。これを行うには、レルムに「デプロイ可能プロバイダの同期を有効化」制御と「デプロイ可能プロバイダの同期のタイムアウト」制御を設定します。

• WebアプリケーションやEJBリソースへのセキュリティ・ロールやセキュリティ・ポリシーの設定にどのようなモデルを使用するか。セキュリティ・ロールおよびポリシーは、デプロイメント記述子またはWebLogic管理コンソールを通じて設定できます。Oracle Fusion Middleware Oracle WebLogic Serverロールおよびポリシーによるリソースの保護のWebアプリケーションおよびEJBリソースの保護のオプションに関する項を参照してください。

• Webリソースを使用するかどうか。

  Webリソースは非推奨になりました。新しいセキュリティ・レルムで、URLリソースではなくWebリソースを使用するカスタム認可プロバイダを構成する場合は、新しいセキュリティ・レルムの「非推奨のWebリソースを使用」を有効にしてください。このオプションによってサーブレット・コンテナの実行時の動作が変更され、認可を実行する際にURLリソースではなくWebリソースが使用されます。

  
  

  注意: 新しいセキュリティ・レルムを作成する場合、少なくとも1つの認証プロバイダを構成して、アサートされたLoginModuleを返す必要があります。このようにしないと、デプロイメント記述子に定義されるrun-asタグが有効になりません。

  
  

詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの新しいセキュリティ・レルムの構成に関する項を参照してください。

新しいセキュリティ・レルムの作成と構成:主な手順

新しいセキュリティ・レルムを作成するには:

1. セキュリティ・レルムの名前を定義し、構成オプションを設定します。『Oracle WebLogic Server管理コンソール・ヘルプ』の新しいセキュリティ・レルムを作成する前に、および新しいセキュリティ・レルムの構成に関する項を参照してください。

2. セキュリティ・レルムで必要なセキュリティ・プロバイダを構成します。有効なセキュリティ・レルムには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格証明マッピング・プロバイダ、ロール・マッピング・プロバイダ、および証明書パス・ビルダーが必須です。第4章「WebLogicセキュリティ・プロバイダの構成」と第5章「認証プロバイダの構成」を参照してください。

3. 必要に応じて、IDアサーション、監査、および証明書レジストリ・プロバイダを定義します。第4章「WebLogicセキュリティ・プロバイダの構成」と第5章「認証プロバイダの構成」を参照してください。

4. 新しいセキュリティ・レルムでデフォルト認証プロバイダ、認可プロバイダ、資格証明マッピング・プロバイダ、またはロール・マッピング・プロバイダ、または証明書レジストリを構成した場合は、組込みLDAPサーバーの設定が適切であるかどうかを検証してください。第9章「組込みLDAPサーバーの管理」を参照してください。

5. 必要に応じて、セキュリティ・レルムのWebLogic認証プロバイダとLDAP認証プロバイダのパフォーマンスを向上させるためのキャッシュを構成します。「WebLogic認証プロバイダとLDAP認証プロバイダのパフォーマンスの向上」を参照してください。

6. 新しいセキュリティ・レルム内のWebLogicリソースをセキュリティ・ポリシーで保護します。セキュリティ・ポリシーの作成手順にはいくつかの段階があり、様々なオプションが用意されています。この手順について理解を深めるには、Oracle Fusion Middleware Oracle WebLogic Serverロールおよびポリシーによるリソースの保護に目を通してください。WebLogic Serverのデプロイメントに対するセキュリティを完全に構成するには、前述のマニュアルと『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を併読する必要があります。

7. 新しいセキュリティ・レルムで、既存のセキュリティ・レルムに定義されたセキュリティ・データ(ユーザーとグループ、ロールとポリシー、および資格証明マップ)も有効にする場合、既存のレルムからセキュリティ・データをエクスポートして新しいセキュリティ・レルムにインポートできます。第8章「セキュリティ・データの移行」を参照してください。

8. ロック・アウト属性を設定することによって、新しいセキュリティ・レルムのユーザー・アカウントを辞書攻撃から保護します。「ユーザー・アカウントの保護」を参照してください。

9. 新しいレルムをWebLogic Serverドメインのデフォルト・セキュリティ・レルムとして設定します。Oracle WebLogic Server管理コンソール・オンライン・ヘルプのデフォルト・セキュリティ・レルムの変更に関する項を参照してください。

   
   

   注意: WebLogic Scripting ToolまたはJava Management Extensions (JMX) APIを使用して新しいセキュリティ構成を作成することもできます。『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』を参照してください。