目次

タイトルおよび著作権情報

はじめに

• ドキュメントのアクセシビリティについて
• 表記規則

1 概要とロードマップ

• ドキュメントのスコープ
• このガイドの対象読者
• このドキュメントの手引き
• 関連情報
• セキュリティのサンプルとチュートリアル
  • WebLogic Server配布キットのセキュリティ・サンプル
• このリリースでのセキュリティの新機能と変更点

2 WebLogicセキュリティ・プログラミングの概要

• セキュリティとは
• 管理コンソールとセキュリティ
• WebLogic Serverでサポートされているセキュリティのタイプ
  • 認証
  • 認可
  • Java EEセキュリティ
• セキュリティAPI
  • JAASクライアント・アプリケーションAPI
    • Java JAASクライアント・アプリケーションAPI
    • WebLogic JAASクライアント・アプリケーションAPI
  • SSLクライアント・アプリケーションAPI
    • Java SSLクライアント・アプリケーションAPI
    • WebLogic SSLクライアント・アプリケーションAPI
  • その他のAPI

3 Webアプリケーションの保護

• Webブラウザでの認証
  • ユーザー名およびパスワードの認証
  • デジタル証明書の認証
• 複数のWebアプリケーション、Cookie、および認証
  • セキュアなCookieを使用したセッション盗難の防止
    • セキュアなCookieとしてのセッションCookieの構成
    • AuthCookie _WL_AUTHCOOKIE_JSESSIONIDの使用
• セキュアなWebアプリケーションの開発
  • BASIC認証Webアプリケーションの開発
    • HttpSessionListenerを使用したブラウザによる資格証明のキャッシングの報告
  • リソースが非セキュアな場合のBASIC認証の理解
    • enforce-valid-basic-auth-credentialsフラグの設定
    • WLSTを使用してenforce-valid-basic-auth-credentialsの値の確認
  • FORM認証Webアプリケーションの開発
  • Webアプリケーションの認証にIDアサーションの使用
  • Webアプリケーションの認証に双方向SSLの使用
  • 認証方式に対するフォールバック・メカニズムの提供
    • 構成
  • Swingベース認証Webアプリケーションの開発
  • Webアプリケーションのデプロイメント
• Webアプリケーションでの宣言によるセキュリティの使用
• Webアプリケーションのセキュリティ関連のデプロイメント記述子
  • web.xmlデプロイメント記述子
    • auth-constraint
    • security-constraint
    • security-role
    • security-role-ref
    • user-data-constraint
    • web-resource-collection
  • weblogic.xmlデプロイメント記述子
    • externally-defined
    • run-as-principal-name
    • run-as-role-assignment
    • security-permission
    • security-permission-spec
    • security-role-assignment
• Webアプリケーションでのプログラムによるセキュリティの使用
  • getUserPrincipal
  • isUserInRole
• プログラムによる認証APIの使用
  • ログイン時のユーザー・セッションの変更

4 JavaクライアントでのJAAS認証の使用

• JAASとWebLogic Server
• JAAS認証の開発環境
  • JAAS認証API
  • JAASクライアント・アプリケーション・コンポーネント
  • WebLogic LoginModule実装
  • JVM全体のデフォルト・ユーザーとrunAs()メソッド
• JAAS認証を使用するクライアント・アプリケーションの作成
• JNDI認証の使い方
• JavaクライアントのJAAS認証サンプル・コード

5 JavaクライアントでのSSL認証の使用

• JSSEとWebLogic Server
• JNDI認証の使い方
• SSL証明書認証の開発環境
  • SSL認証API
  • SSLクライアント・アプリケーション・コンポーネント
• SSLを使用するアプリケーションの記述
  • WebLogic Server間の安全な通信
  • SSLクライアントの作成
    • SSLClientサンプル
    • SSLSocketClientサンプル
  • 双方向SSL認証の使用
    • JNDIを使用した双方向SSL認証
    • ユーザー名マッパーの作成
    • WebLogic Serverインスタンス間で双方向SSL認証の使用
    • サーブレットで双方向SSL認証の使用
  • カスタム・ホスト名検証の使い方
  • トラスト・マネージャの使い方
  • 証明書パス・トラスト・マネージャの使い方
  • ハンドシェーク完了リスナーの使い方
  • SSLContextの使い方
  • URLを使用したアウトバウンドSSL接続
• SSLクライアントのサンプル・コード

6 Enterprise JavaBeans (EJB)の保護

• Java EEアーキテクチャ・セキュリティ・モデル
  • 宣言によるセキュリティ
    • アノテーションを使用した宣言による認可
  • プログラムによるセキュリティ
  • 宣言によるセキュリティとプログラムによるセキュリティ
• EJBでの宣言によるセキュリティの使用
  • メタデータ・アノテーションを使用した宣言によるセキュリティの実装
    • セキュリティ関連アノテーションのコード例
  • デプロイメント記述子を使用した宣言によるセキュリティの実装
• EJBのセキュリティ関連のデプロイメント記述子
  • ejb-jar.xmlデプロイメント記述子
    • method
    • method-permission
    • role-name
    • run-as
    • security-identity
    • security-role
    • security-role-ref
    • unchecked
    • use-caller-identity
  • weblogic-ejb-jar.xmlデプロイメント記述子
    • client-authentication
    • client-cert-authentication
    • confidentiality
    • externally-defined
    • identity-assertion
    • iiop-security-descriptor
    • integrity
    • principal-name
    • role-name
    • run-as-identity-principal
    • run-as-principal-name
    • run-as-role-assignment
    • security-permission
    • security-permission-spec
    • security-role-assignment
    • transport-requirements
• EJBでのプログラムによるセキュリティの使用
  • getCallerPrincipal
  • isCallerInRole

7 ネットワーク接続フィルタの使い方

• ネットワーク接続フィルタを使用する利点
• ネットワーク接続フィルタAPI
  • 接続フィルタのインタフェース
    • ConnectionFilterインタフェース
    • ConnectionFilterRulesListenerインタフェース
  • 接続フィルタのクラス
    • ConnectionFilterImplクラス
    • ConnectionEventクラス
• 接続フィルタ・ルールの作成ガイドライン
  • 接続フィルタ・ルールの構文
  • 接続フィルタ・ルールの種類
  • 接続フィルタ・ルールの評価方法
• WebLogic接続フィルタの構成
• カスタム接続フィルタの開発

8 Javaセキュリティを使用したWebLogicリソースの保護

• Java EEセキュリティを使用したWebLogicリソースの保護
• Javaセキュリティ・マネージャを使用したWebLogicリソースの保護
  • Javaセキュリティ・マネージャの設定
    • 全体的に使用するweblogic.policyファイルの修正
    • アプリケーション型のセキュリティ・ポリシーの設定
    • アプリケーション固有のセキュリティ・ポリシーの設定
  • セキュリティ・マネージャのプリントの使用
    • セキュリティ・マネージャのプリントの起動引数
    • セキュリティ・マネージャのプリントを使用するWebLogic Serverの起動
    • 出力ファイルの書込み
• Java Authorization Contract for Containersの使用
  • WebLogic JACCプロバイダとWebLogic認可プロバイダの比較
    
  • WebLogic JACCプロバイダの有効化

9 SAML API

• SAML APIの説明
• カスタムPOSTフォーム・パラメータ名
• 非WebLogic SAML 1.1リライイング・パーティ用アサーションの作成
  • カスタムSAML名マッパーの作成の概要
  • 複数のSAMLCredentialAttributeMapper実装が必要な場合
  • クラス、インタフェース、およびメソッド
    • SAMLAttributeStatementInfoクラス
    • SAMLCredentialAttributeMapperインタフェース
  • 例として使用するカスタムSAMLCredentialAttributeMapperクラス
  • コンソールでカスタムSAMLCredentialAttributeMapperクラスを使用可能にする
    
• SAML SSO属性サポートの構成
  • SAML SSO属性とは
  • SAML属性用の新規API
  • 必須のSAML 2.0基本属性プロファイル
  • 複数の属性のSAML資格証明マッパーへの受け渡し
  • SAML属性を実装する方法
  • SAML 2.0属性インタフェースの例
    • カスタムSAML 2.0資格証明属性マッパーの例
    • カスタムSAML 2.0 IDアサーション・プロバイダ属性マッパー
  • SAML 1.1属性インタフェースの例
    • カスタムSAML 1.1資格証明属性マッパーの例
    • カスタムSAML 1.1 IDアサーション・プロバイダ属性マッパー
  • コンソールでカスタムSAML資格証明属性マッパーのクラスを使用可能にする
    
  • コンソールでカスタムSAML IDアサーション・プロバイダ・クラスを使用可能にする

10 証明書パスの作成と検証

• 証明書パスの作成
  • CertPathSelectorのインスタンス化
  • CertPathBuilderParametersのインスタンス化
  • JDK CertPathBuilderインタフェースの使用
  • 証明書チェーンの検索のコード・フロー例
• 証明書パスの検証
  • CertPathValidatorParametersのインスタンス化
  • JDK CertPathValidatorインタフェースの使用
  • 証明書チェーンの検証のコード・フロー例

11 WebアプリケーションでのJASPICの使用

• Java Authentication Service Provider Interface for Containers (JASPIC)の概要
• 認証構成プロバイダを実装する必要があるか
• プリンシパル検証プロバイダを実装する必要があるか
• SAMの実装
• デプロイされたWebアプリケーションでのJASPICの構成

A 非推奨のセキュリティAPI