目次

タイトルおよび著作権情報

はじめに

• ドキュメントのアクセシビリティについて
• 表記規則

第1部 WebLogic Serverセキュリティ管理の概要

1 概要とロードマップ

• マニュアルの内容と対象読者
• このドキュメントの手引き
• 関連情報
• セキュリティのサンプルとチュートリアル
  • WebLogic Server配布キットのセキュリティ・サンプル
  • ダウンロード可能な他のサンプル
• このガイドの新機能

2 セキュリティ管理の概念

• WebLogic Serverのセキュリティ・レルム
• セキュリティ・プロバイダ
• セキュリティ・ポリシーとWebLogicリソース
  • WebLogicリソース
  • デプロイメント記述子とWebLogic Server管理コンソール
• WebLogic Serverのデフォルト・セキュリティ構成
• WebLogicセキュリティの構成: 主な手順
• セキュリティの構成方法
• WebLogic Serverでのパスワードの保護の仕組み

3 WebLogic Serverのセキュリティ標準

• サポートされるセキュリティ標準
• サポートされるFIPS標準と暗号スイート

4 WebLogicドメインのセキュリティの構成

• WebLogic Serverのセキュア・インストールの実行
  • WebLogic Serverのインストール前
  • インストール・プログラムの実行中
  • インストールの完了直後
• 本番用のWebLogicドメインの作成
• ドメイン作成後の保護
• 秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の取得
• 秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の格納
• ユーザー・アカウントの保護
• 接続フィルタの使用

5 デフォルト・セキュリティ構成のカスタマイズ

• デフォルト・セキュリティ構成をカスタマイズする理由
• 新しいセキュリティ・レルムを作成する前に
• 新しいセキュリティ・レルムの作成と構成: 主な手順

第2部 セキュリティ・プロバイダの構成

6 WebLogicセキュリティ・プロバイダの構成について

• セキュリティ・プロバイダを構成する必要がある場合
• セキュリティ・プロバイダの並替え
• デプロイメント時のセキュリティ・ポリシーとロール変更の同期を有効化

7 認可プロバイダおよびロール・マッピング・プロバイダの構成

• 認可プロバイダの構成
• WebLogic裁決プロバイダの構成
• ロール・マッピング・プロバイダの構成

8 WebLogic監査プロバイダの構成

• 監査プロバイダの概要
• WebLogic監査プロバイダによってログに記録されるイベント
• 構成オプション
• 監査ContextHandler要素
• 構成監査
  • 構成監査の有効化
• 構成監査メッセージ
• 監査イベントと監査プロバイダ

9 資格証明マッピング・プロバイダの構成

• WebLogic資格証明マッピング・プロバイダの構成
• PKI資格証明マッピング・プロバイダの構成
  • PKI資格証明マッピング属性
  • 資格証明アクション
• SAML 1.1用のSAML資格証明マッピング・プロバイダの構成
  • アサーションの存続期間の構成
  • リライイング・パーティ・レジストリ
• SAML 2.0用のSAML 2.0資格証明マッピング・プロバイダの構成
  • SAML 2.0資格証明マッピング・プロバイダの属性
  • サービス・プロバイダ・パートナ
    • Webサービス・パートナに必要なパートナ・ルックアップ文字列
      • ルックアップ文字列の構文
      • デフォルト・パートナの指定
    • パートナ証明書の管理
    • サービス・プロバイダ・パートナの属性を構成するためのJavaインタフェース

10 証明書ルックアップおよび検証フレームワークの構成

• 証明書ルックアップおよび検証フレームワークの概要
• WebLogic Serverで提供されるCLVセキュリティ・プロバイダ
  • 証明書パス・プロバイダ
  • 証明書レジストリ

第3部 認証プロバイダの構成

11 WebLogic Serverでの認証プロバイダの構成について

• 認証プロバイダの選択
• 複数の認証プロバイダの使用
  • JAAS制御フラグ・オプションの設定
  • 認証プロバイダの順序の変更

12 WebLogic認証プロバイダの構成

• WebLogic認証プロバイダについて
• ユーザー属性の設定

13 LDAP認証プロバイダの構成

• WebLogic Serverに含まれるLDAP認証プロバイダ
• LDAP認証プロバイダを使用するための要件
• LDAP認証プロバイダの構成: 主な手順
• 他のLDAPサーバーへのアクセス
• SSL用のLDAP認証プロバイダの有効化
• 動的グループとWebLogic Server
• WebLogicプリンシパルでのGUIDおよびLDAP DNデータの使用
• Oracle Internet DirectoryおよびOracle Virtual Directory認証プロバイダでのユーザーおよびグループの構成
  • ユーザーおよびグループの名前タイプの構成
    • ユーザー名属性タイプを変更する
    • グループ名属性タイプを変更する
  • 静的グループの構成
• Oracle Internet Directory認証プロバイダの構成例
• LDAP認証プロバイダのフェイルオーバーの構成
  • LDAPフェイルオーバーの例1
  • LDAPフェイルオーバーの例2
• Oracle Unified Directory用認証プロバイダの構成
• Active Directory認証プロバイダの参照への遵守
• Oracle Directory Server Enterprise Edition用LDAP認証プロバイダでのグループ検索の構成
• LDAP認証プロバイダのパフォーマンスの向上
  • グループ・メンバーシップ・キャッシュの最適化
  • 接続プール・サイズとユーザー・キャッシュの最適化
  • iPlanet認証プロバイダでの動的グループの構成によるパフォーマンスの向上
  • プリンシパル検証プロバイダ・キャッシュの最適化
  • Active Directory認証プロバイダの構成によるパフォーマンスの向上
  • 一般LDAP認証プロバイダのキャッシュ統計の分析
  • 構成時のLDAP接続のテスト
• 外部LDAPサーバーからの管理者ユーザーの構成: 例

14 RDBMS認証プロバイダの構成

• RDBMS認証プロバイダの構成について
• 一般的なRDBMS認証プロバイダ属性
  • データ・ソース属性
  • グループ検索属性
  • グループ・キャッシング属性
• SQL認証プロバイダの構成
  • パスワード属性
  • SQL文属性
• 読取り専用SQLオーセンティケータの構成
• カスタムDBMSオーセンティケータの構成
  • プラグイン・クラス属性

15 Windows NT認証プロバイダの構成

• Windows NT認証プロバイダについて
• ドメイン・コントローラの設定
• LogonTypeの設定
• UPN名の設定

16 SAML認証プロバイダの構成

17 パスワード検証プロバイダの構成

• パスワード検証プロバイダについて
• パスワード検証プロバイダのパスワード構成ルール
• パスワード検証プロバイダとWebLogic認証プロバイダの併用
• LDAP認証プロバイダでのパスワード検証プロバイダの使用
• WLSTを使用したパスワード検証プロバイダの作成と構成
  • パスワード検証プロバイダのインスタンスの作成
  • パスワード構成ルールの指定

18 IDアサーション・プロバイダの構成

• IDアサーション・プロバイダについて
• LDAP X509 IDアサーション・プロバイダの仕組み
• LDAP X509 IDアサーション・プロバイダの構成: 主な手順
• ネゴシエーションIDアサーション・プロバイダの構成
• SAML 1.1用のSAML IDアサーション・プロバイダの構成
  • アサーティング・パーティ・レジストリ
  • 証明書レジストリ
• SAML 2.0用のSAML 2.0 IDアサーション・プロバイダの構成
  • IDプロバイダ・パートナ
    • Webサービス・パートナに必要なパートナ・ルックアップ文字列
    • パートナ証明書の管理
    • IDプロバイダ・パートナの属性を構成するためのJavaインタフェース
• サーブレットに対するIDアサーションの順序付け
• サーバー・キャッシュのIDアサーション・パフォーマンスの構成
• アイデンティティ・ストアで未定義のユーザーの認証
  • WebLogicドメインでの仮想ユーザー認証の仕組み
  • 双方向SSLの構成と証明書のセキュアな管理
  • WebLogic IDアサーション・プロバイダ(DefaultIdentityAsserter)のカスタマイズ
  • 仮想ユーザー認証プロバイダの構成
  • WLSTを使用する仮想ユーザー認証の構成
• ユーザー名マッパーの構成
• カスタム・ユーザー名マッパーの構成

19 仮想ユーザー認証プロバイダの構成

• 仮想ユーザー認証プロバイダについて
• セキュリティ・レルムへの仮想ユーザー認証プロバイダの追加

第4部 シングル・サインオンの構成

20 Microsoftのクライアントに対するシングル・サインオンの構成

• Microsoftのクライアントに対するシングル・サインオンの概要
• Microsoftのクライアントを含むSSOに必要なシステム要件
  • MicrosoftクライアントでSSOをサポートするためのホスト・コンピュータの要件
  • SSOを使用するMicrosoftクライアントをサポートするためのクライアント・コンピュータの要件
• Microsoftのクライアントに対するシングル・サインオン: 主な手順
• Kerberosを使用するためのネットワーク・ドメインの構成
• WebLogic Server用のKerberos識別情報の作成
  • ステップ1: ホスト・コンピュータのユーザー・アカウントの作成
  • ステップ2: Kerberosに準拠するユーザー・アカウントの構成
  • ステップ3: サービス・プリンシパル名の定義とサービスのキータブの作成
    • WindowsシステムでのSPNの定義とキータブの作成
    • UNIXシステムでのSPNの定義とキータブの作成
  • ステップ4: 正しい設定の検証
  • ステップ5: デフォルトのJDKセキュリティ・ポリシー・ファイルの更新
• Microsoftのクライアントで統合Windows認証を使用するための構成
  • .NET Webサービスの構成
  • Internet Explorerブラウザの構成
    • ローカル・イントラネット・ドメインの構成
    • イントラネット認証の構成
    • プロキシ設定の検証
    • Internet Explorer 6.0用の統合認証の設定
  • Mozilla Firefoxブラウザの構成
  • Java SEクライアント・アプリケーションの構成
• JAASログイン・ファイルの作成
• IDアサーション・プロバイダの構成
• WebLogic ServerでのKerberos認証における起動引数の使用
• Microsoftのクライアントに対するSSOの構成の検証

21 SAMLを使用するWebブラウザとHTTPクライアントでのシングル・サインオンの構成

• SAMLサービスの構成
• SAMLホワイト・ペーパーを使用したシングル・サインオンの構成
• Webシングル・サインオン・シナリオ用SAMLのAPIサンプル

22 SAML 1.1サービスの構成

• SAML 1.1でのシングル・サインオンの有効化: 主な手順
  • ソース・サイトの構成:主な手順
  • 宛先サイトの構成:主な手順
• シングル・サインオン用のSAML 1.1ソース・サイトの構成
  • SAML 1.1資格証明マッピング・プロバイダの構成
  • ソース・サイト・フェデレーション・サービスの構成
  • リライイング・パーティの構成
    • サポートされるプロファイルの構成
    • アサーション・コンシューマのパラメータ
  • デフォルトのアサーション・ストアの置換え
• シングル・サインオン用のSAML 1.1宛先サイトの構成
  • SAML IDアサーション・プロバイダの構成
  • 宛先サイト・フェデレーション・サービスの構成
    • SAML送り先サイトの有効化
    • アサーション・コンシューマURIの設定
    • アサーション・コンシューマ・サービス用のSSLの構成
    • SSLクライアントID証明書の追加
    • 使い捨てポリシーと使用済アサーション・キャッシュまたはカスタム・アサーション・キャッシュの構成
    • POSTプロファイルに対する受信者チェックの構成
  • アサーティング・パーティの構成
    • サポートされるプロファイルの構成
    • ソース・サイトITSパラメータの構成
• WLSTを使用したリライイング・パーティとアサーティング・パーティの構成

23 SAML 2.0サービスの構成

• SAML 2.0サービスの構成: 主な手順
• SAML 2.0全般サービスの構成
  • SAML 2.0全般サービスについて
  • メタデータ・ファイルの公開と配布
• SAML 2.0シングル・サインオン用のIDプロバイダ・サイトの構成
  • SAML 2.0資格証明マッピング・プロバイダの構成
  • SAML 2.0 IDプロバイダ・サービスの構成
    • SAML 2.0 IDプロバイダ・サイトの有効化
    • カスタム・ログインWebアプリケーションの指定
    • バインディング・タイプの有効化
    • サイトのメタデータ・ファイルの公開
  • Webシングル・サインオン・サービス・プロバイダ・パートナの作成と構成
    • サービス・プロバイダ・パートナのメタデータ・ファイルの取得
    • パートナの作成と対話の有効化
    • アサーションの生成方法の構成
    • ドキュメントの署名方法の構成
    • アーティファクトのバインディングおよび転送設定の構成
• SAML 2.0シングル・サインオン用のサービス・プロバイダ・サイトの構成
  • SAML 2.0 IDアサーション・プロバイダの構成
  • SAML認証プロバイダの構成
  • SAML 2.0全般サービスの構成
  • SAML 2.0サービス・プロバイダ・サービスの構成
    • SAML 2.0サービス・プロバイダ・サイトの有効化
    • ドキュメントの署名方法の指定
    • 認証リクエストの管理方法の指定
    • バインディング・タイプの有効化
    • デフォルトURLの設定
  • Webシングル・サインオンIDプロバイダ・パートナの作成と構成
    • IDプロバイダ・パートナのメタデータ・ファイルの取得
    • パートナの作成と対話の有効化
    • 認証リクエストおよびアサーションの構成
    • リダイレクトURIの構成
    • バインディングおよび転送設定の構成
• パートナ・サイト、証明書、サービス・エンドポイント情報の表示
• SAML 2.0におけるWebアプリケーション・デプロイメントの考慮事項
  • デプロイメント記述子に関する推奨事項
    • CLIENT-CERT認証でのrelogin-enabledの使用
    • デフォルト以外のクッキー名の使用
  • クラスタ環境におけるログイン・アプリケーションの考慮事項
  • 強制認証とパッシブ属性の有効化による無効な構成

24 SAML 1.1および2.0のデバッグの有効化

• SAMLデバッグ・スコープおよび属性について
• コマンドラインを使用してデバッグの有効化
• WebLogic Server管理コンソールを使用してデバッグの有効化
• WebLogic Scripting Toolを使用してデバッグの有効化
• 標準出力へのデバッグ・メッセージの送信

第5部 セキュリティ情報の管理

25 セキュリティ・データの移行

• セキュリティ・データ移行の概要
• 移行の概念
• WebLogicセキュリティ・プロバイダでサポートされるフォーマットと制約
• WLSTを使用したデータの移行

26 RDBMSセキュリティ・ストアの管理

• RDBMSセキュリティ・ストアを使用するセキュリティ・プロバイダ
• RDBMSセキュリティ・ストアの構成
  • RDBMSセキュリティ・ストアを使用するドメインの作成
    • データベース接続プロパティの指定
      • Oracleのサンプル
      • MS-SQLのサンプル
      • DB2のサンプル
      • デフォルトの接続プロパティの詳細
    • データベース接続のテスト
  • セキュリティ・データ・ストア内でのRDBMS表の作成
  • RDBMSセキュリティ・ストアのJMSトピックの構成
    • 障害発生時のJMS接続リカバリの構成
• RDBMSセキュリティ・ストアを使用するドメインのアップグレード

27 組込みLDAPサーバーの管理

• 組込みLDAPサーバーの構成
• 組込みLDAPサーバーのレプリケーション
• LDAPブラウザからの組込みLDAPサーバーの内容の表示
• 組込みLDAPサーバーの情報のエクスポートおよびインポート
• LDAPアクセス制御の構文
  • アクセス制御ファイル
  • アクセス制御の場所
  • アクセス制御のスコープ
  • アクセス権
    • 属性の権限
    • エントリの権限
  • 属性タイプ
  • サブジェクト・タイプ
  • 評価ルールの付与または拒否
• バックアップおよびリカバリ

第6部 SSLの構成

28 WebLogic ServerでのSSL構成の概要

• SSLの概要
  • 一方向および双方向SSL
  • サポートされるJava Secure Socket Extension (JSSE) SSL実装
• SSLの設定: 主な手順
• SSLセッションの動作

29 キーストアの構成

• WebLogic Serverでのキーストアの構成について
  • 秘密鍵、デジタル証明書、信頼性のある認証局について
  • IDと信頼のための個別キーストアの使用
  • キーストアの構成: 主な手順
  • WebLogic Serverが信頼を検索する方法
• 「キーストアの作成」
  • キーストアのファイル名の要件
  • keytoolを使用するキーストアの作成
  • ImportPrivateKeyを使用するキーストアの作成
• 開発環境でのキーストアと証明書の使用
  • デモンストレーション用キーストアの使用
  • CertGenを使用するデモ証明書の作成
    • CertGenについて
    • CertGenを使用する証明書と秘密鍵の作成
    • CertGenの使用方法
    • CertGenを使用する場合の制限事項
  • 独自の認証局の使い方
  • Microsoft p7bフォーマットからPEMフォーマットへの変換
  • クライアントのデモ証明書の構成
• 本番環境のための証明書の取得と格納
  • 証明書署名リクエストの生成
  • 信頼キーストアとIDキーストアへの証明書のインポート
• 「WebLogic Serverでのキーストアの構成」
  • 管理コンソールを使用するキーストアの構成
  • WLSTを使用するキーストアの構成
• 「キーストアの内容の表示」
• 「期限切れになる証明書の置換」
• キーストアの作成: サンプル
• IDと信頼性のある証明書のサポートされるフォーマット
• Webブラウザのデジタル証明書の取得

30 Oracle OPSSキーストア・サービスの構成

• OPSSキーストア・サービスの使用の前提条件
• OPSSキーストア・サービスの説明の記載箇所
• デモIDおよびデモ信頼に対するOPSSキーストア・サービスの構成: 主な手順
• カスタムIDおよびカスタム信頼に対するOPSSキーストア・サービスの構成: 主な手順

31 ホスト名検証の使い方

• デフォルトのWebLogic Serverホスト名検証の使用
• Mac OS Xプラットフォームでのデフォルトのホスト名検証の使用
• ワイルドカードのあるホスト名検証の使用
  • ワイルドカードのあるホスト名検証の仕組み
  • ワイルドカードのあるホスト名検証の構成
• カスタム・ホスト名検証の使用

32 アウトバウンド双方向SSL接続のクライアント証明書の指定

• 概要
• IDキーストアへのクライアント証明書の追加
• アウトバウンド双方向SSL接続の開始
• サーバーID証明書の使用の復元

33 SSLのデバッグ

• SSLデバッグ・トレースについて
• SSLデバッグを有効化するためのコマンド・ライン・プロパティ

34 SSL証明書の検証

• 証明書検証のレベルの制御
• 証明書の証明書ポリシーの受け入れ
• 証明書チェーンのチェック
• 証明書ルックアップと検証のプロバイダ
• WebLogic ServerでのSSL証明書検証の動作
• 証明書検証に関する問題のトラブルシューティング

35 WebLogic ServerでのJCEプロバイダの使用

• 「RSA JCEプロバイダの使用」
• JDK JCEプロバイダの使用
• nCipher JCEプロバイダの使用
  • nCipher JCEプロバイダのインストール

36 FIPSモードの有効化

• FIPSの概要
• JavaオプションでのFIPS 140-2モードの有効化
• java.securityでのFIPS 140-2モードの有効化
• FIPS 140-2モード有効時のJCEの検証
• Webサービスを使用する際の重要な考慮事項
  • SHA-1セキュア・ハッシュ・アルゴリズムのサポートなし
  • X509PKIPathv1トークンのサポートなし

37 SSLプロトコル・バージョンの指定

• ハンドシェイクで使用されるSSLバージョンについて
• weblogic.security.SSL.protocolVersionシステム・プロパティの使用
• weblogic.security.SSL.minimumProtocolVersionシステム・プロパティの使用
  • JSSEベースのSSL実装で有効なプロトコル

38 JSSEベースSSL実装の使用

• JSSEベース実装とCerticom SSL実装とのシステム・プロパティの相違
• SSLのパフォーマンスに関する考慮事項
• 暗号スイート
  • サポートされる暗号スイートのリスト
  • サポートされる暗号スイートの後方互換性
  • 匿名暗号の使用
  • 暗号スイート名の等価物
  • WLSTを使用した暗号スイートの設定: サンプル
• JSSE SSLでのデバッグの使用
• WebLogic ServerでのRSA JSSEプロバイダの使用

39 X.509証明書失効チェック

• 証明書失効チェックの概要
• デフォルトのCRチェック構成の有効化
  • デフォルトのCRチェックの構成
  • CRチェック構成のカスタマイズ
• WebLogic Serverで使用するCRチェック方法の選択
• 失効ステータスを特定できない場合のSSL証明書パス検証の失敗
• Online Certificate Status Protocolの使用
  • OCSPリクエストでのNonceの使用
  • レスポンス・タイムアウト時間の設定
  • OCSPレスポンス・ローカル・キャッシュの有効化および構成
• 証明書失効リストの使用
  • 配布ポイントからの更新の有効化
  • CRLローカル・キャッシュの構成
• 認証局オーバーライドの構成
  • 一般的な認証局オーバーライド
  • 認証局オーバーライドのOCSPプロパティの構成
    • OCSP応答者URLの特定
  • 認証局オーバーライドのCRLプロパティの構成

40 ネットワーク・チャネル固有のIDキーストアの構成

• ネットワーク・チャネルについて
• チャネル固有のSSL構成属性
• チャネル固有のIDキーストアを構成する手順
• WLSTを使用したチャネル固有のIDキーストアの構成

41 SSLを使用したRMI over IIOPの構成

42 証明書コールバック・ハンドラを使用したエンド・ユーザー証明書の検証

• エンド・ユーザー証明書コールバック・ハンドラが機能する仕組み
• 証明書コールバック実装の作成
• WebLogic Serverを使用した証明書コールバックの構成

第7部 セキュリティに関する専門的なトピック

43 クロス・ドメイン・セキュリティの構成

• クロス・ドメイン・セキュリティのサポートに関する重要な情報
• WebLogic Serverドメイン間の信頼関係の有効化
  • WebLogic Serverドメイン間のクロス・ドメイン・セキュリティの有効化
    • クロス・ドメイン・セキュリティの構成
    • クロス・ドメイン・セキュリティからのドメインの除外
    • クロス・ドメイン・ユーザーの構成
    • クロス・ドメイン・セキュリティ用の資格証明マッピングの構成
  • グローバル信頼の有効化
• Java Authorization Contract for Containersの使用
• MBean属性の表示
• JAAS認可を使用するドメインの構成

44 JASPICセキュリティの構成

• JASPICメカニズムによるWebLogic Serverデフォルトのオーバーライド
• JASPICの構成の前提条件
  • サーバー認証モジュールがクラスパス内にあること
  • カスタムの認証構成プロバイダがクラスパス内にあること
• 構成データの場所
• ドメインのJASPIC構成
• 認証構成プロバイダの表示
• WebアプリケーションのJASPIC構成
• WLSTによるJASPICの構成
  • WLS認証構成プロバイダの作成
  • カスタムの認証構成プロバイダの作成
  • すべてのWLSおよびカスタム認証構成プロバイダのリスト
  • ドメインのJASPICの有効化
  • ドメインのJASPICの無効化

45 セキュリティ構成MBean

• SSLMBean
• ServerMBean
• EmbeddedLDAPMBean
• RDBMSSecurityStoreMBean
• SecurityConfigurationMBean
• RealmMBean
• WindowsNTAuthenticatorMBean
• CustomDBMSAuthenticatorMBean
• ReadonlySQLAuthenticatorMBean
• SQLAuthenticatorMBean
• DefaultAuditorMBean
• UserLockoutManagerMBean
• その他のセキュリティ・プロバイダMBean

第8部 付録

A keytoolコマンドのサマリー

B 証明書チェーンの使い方(非推奨)

C 以前のバージョンのキーストアとの相互運用