この章では、Oracle Platform Security Servicesでサポートされているいくつかの一般的なセキュリティ・シナリオについて説明します。これには、サポートされているLDAPサーバー、管理者が各シナリオ内でセキュリティ・データを管理するために使用する管理ツール、ポリシーおよび資格証明についてのパッケージ要件のリストも含まれています。
この章の内容は次のとおりです。
Oracle Platform Security Servicesでは、次のLDAPサーバーおよびリポジトリがサポートされています。
iPlanet、WebLogic DefaultAuthenticator、Active Directory、NovellおよびOpenLDAP
Oracle Internet Directory(リリース10.1.4.3または11gのみ)およびOracle Internet Directory(リリース11gのみ)。
重要: Oracle Internet Directory 10.1.4.3をOPSSとともに使用する場合は、Oracle Bug#8351672に対する必須の個別パッチをOracle Internet Directory 10.1.4.3に適用することをお薦めします。使用しているプラットフォームのパッチをMy Oracle Support(http://myoraclesupport.oracle.com )からダウンロードします。
最適なパフォーマンスを確保するには、Oracle Internet Directoryを次のようにチューニングすることをお薦めします。 ldapmodify -D cn=orcladmin -w <password> -v <<EOF dn: cn=dsaconfig,cn=configsets,cn=oracle internet directory changetype: modify add: orclinmemfiltprocess orclinmemfiltprocess: (objectclass=orcljaznpermission) orclinmemfiltprocess: (objectclass=orcljazngrantee) EOF |
WebLogic認証プロバイダでは、前述のサーバーのいずれかを使用してアイデンティティ(ユーザーおよびグループ)をストアに格納します。LDAP認証プロバイダおよびテスト済のLDAPサーバーの詳細は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』のLDAP認証プロバイダの構成に関する項を参照してください。
ポリシーおよび資格証明は、Oracle Internet DirectoryまたはOracle Virtual Directoryのみを使用するストアに格納できます。さらに、ポリシー・ストアと資格証明ストアのどちらもLDAPベースである場合は、その種類のサーバーを使用する必要があります。Oracle Virtual DirectoryでバックエンドとしてサポートされているのはLSA(ローカル・ストア・アダプタ)のみです。
DefaultAuthenticatorは追加設定なしで使用できますが、その使用場所は開発環境およびエントリが1,000以下の環境にしてください。
管理者が使用できるツールは次のとおりです。
WebLogic管理コンソール
Oracle Enterprise Manager Fusion Middleware Control
WLSTコマンドおよびWLSTスクリプト
LDAPサーバー固有のユーティリティ
セキュリティ・データの管理に使用するツールは、格納するデータのタイプと、そのデータの保持に使用するストアの種類に応じて異なります。
ユーザーとグループ
DefaultAuthenticatorを使用してアイデンティティを格納するドメインでは、Oracle WebLogic Server管理コンソールを使用して、格納したデータを管理します。DefaultAuthenticatorに格納したデータにユーザーおよびロールAPIを使用してアクセスし、ユーザー・プロファイル属性を問い合せることもできます。また、DefaultAuthenticatorでユーザーまたはグループに別の属性を挿入する場合も、アプリケーションでユーザーおよびロールAPIを使用します。
重要: ドメインでDefaultAuthenticatorを使用する場合は、アプリケーションでユーザーおよびロールAPIを使用してアイデンティティ・データを操作できるように、ドメイン管理サーバーを実行している必要があります。 |
この認証プロバイダの構成の詳細は、第4.1.3項「LDAP認証プロバイダの使用方法」を参照してください。
また、デフォルトの認証プロバイダとは異なる他のLDAPサーバー、またはDBを認証に使用する場合は、そのLDAPサーバーのサービスを使用してユーザーとグループを管理します。
ポリシーと資格証明
ポリシーおよび資格証明は、同じ種類の記憶域(ファイルベースまたはLDAPベース)を使用する必要があり、LDAPベースの場合は、同じ種類のLDAPサーバー(Oracle Internet DirectoryまたはOracle Virtual Directory)を使用する必要があります。
ポリシーおよび資格証明データを管理するには、「Fusion Middleware Controlを使用したポリシーの管理」および「Fusion Middleware Controlを使用した資格証明の管理」の説明に従ってFusion Middleware Controlを使用するか、「WLSTコマンドを使用したポリシーの管理」および「WLSTコマンドを使用した資格証明の管理」の説明に従ってコマンドライン・ユーティリティWLSTを使用します。
セキュリティ・データの管理で使用する各種ツールを次にあげます。
アイデンティティ・データ
デフォルトの認証プロバイダ: 管理コンソールを使用
その他のLDAPまたはDBストア: LDAPサーバーまたはDBに用意されているユーティリティを使用
ポリシーおよび資格証明データ
ファイルベース: Fusion Middleware ControlまたはWLSTを使用
LDAPベース: Fusion Middleware ControlまたはWLSTを使用
ポリシーまたは資格証明を変更してもサーバーを再起動する必要はありません。jps-config.xml
を変更した場合はサーバーを再起動する必要があります。
注意: 一般に、ドメインの構成を変更した場合はサーバーを再起動する必要があります。ただし、ドメイン・データを変更してもサーバーを再起動する必要はありません。ドメインの構成の変更の一例として、ドメイン・ストアの再関連付けがあります。 |
アプリケーションをデプロイするときにドメイン・ストアにアプリケーション・ポリシーと資格証明を自動的に移行するための詳細は、「Fusion Middleware Controlを使用したアプリケーション・ポリシーの移行」および「Fusion Middleware Controlを使用したアプリケーション資格証明の移行」を参照してください。
ファイルベースのアプリケーション・ポリシーは、ファイルjazn-data.xml
で定義します。このファイルをアプリケーションとパッケージ化するためにサポートされている唯一の方法は、このファイルをEARファイルのディレクトリMETA-INFに置くことです。
ファイルベースのアプリケーション資格証明は、ファイルcwallet.sso
で定義します。このファイルをアプリケーションとパッケージ化するためにサポートされている唯一の方法は、このファイルをEARファイルのディレクトリMETA-INFに置くことです。詳細は、第15.3項「JavaEEアプリケーションの手動によるパッケージ化」を参照してください。
デプロイの詳細は、第7章「セキュア・アプリケーションのデプロイ」を参照してください。
注意: Oracle JDeveloperでEARファイルを生成すると、必要なすべてのファイル(および適切なセキュリティ構成)とともに、セキュアなOracle ADFアプリケーションのEARファイルが自動的にパッケージ化されます。 |
この項で解説するシナリオでは、ほとんどのOracle ADFアプリケーション、Oracle WebCenterおよびWeb Services Manager Controlで採用されているセキュリティ機能について説明します。
これらのシナリオでは、アプリケーションで次の特性を持つセキュリティ・スキームが採用されていると想定しています。
認証: WebLogicのデフォルトの認証プロバイダを使用してユーザーおよびグループを格納します。
認可: アプリケーションとパッケージ化されたファイルベースのポリシーおよび資格証明によってサポートされ、ドメイン・ポリシーおよび資格証明ストア(ファイルベースまたはLDAPベース)によってもサポートされているファイングレインJAAS認可を使用します。
ファイングレインJAAS認可を必要とするOracle ADFやOracle SOAなどのアプリケーションによって、これらのセキュリティ・スキームのいずれかが採用されていることが普通です。このような場合、個々のセキュリティ・コンポーネントは適切なツールで管理されます。
次のシナリオは、これらの想定に基づいた、基本的なテーマに対する一般的なバリエーションです。ただし、このリストですべてのバリエーションを取り上げているわけではありません。
デフォルトの認証プロバイダの構成の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプにある認証およびIDアサーション・プロバイダの構成に関する項を参照してください。
ポリシーの使用、構成および管理の詳細は、第8章「OPSSの認可とポリシー・ストア」を参照してください。
資格証明の使用、構成および管理の詳細は、第9章「資格証明ストアの構成」を参照してください。
一般的なシナリオ1
このシナリオでは、開発中のJavaEEアプリケーションを示します。
認証: このアプリケーションではデフォルトの認証プロバイダを使用します。これは、開発環境では一般的な扱いです。
認可: ポリシー・ストアと資格証明ストアはファイルベースです。
バリエーション: このアプリケーションでは、SSOおよびJavaEEセキュリティに対するWebLogicサポートを使用します。
SSOに対するWebLogicサポートの詳細は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』のWebブラウザおよびHTTPクライアントでのシングル・サインオンの構成に関する項を参照してください。
一般的なシナリオ2
このシナリオでは、開発中のJavaEEアプリケーションを示します。
認証: このアプリケーションではデフォルトの認証プロバイダを使用します。これは、開発環境では一般的な扱いです。
認可: ポリシー・ストアと資格証明ストアは、LDAPベースであり、Oracle Virtual Directory LDAPサーバーの同じインスタンスのサービスを使用します。
バリエーション: JAASは有効化されており、ポリシーには匿名ロールおよび認証ロールのパーミッションが含まれています。
匿名ロールおよび認証ロールのサポートの構成の詳細は、第3.3項「認証ロール」および第3.4項「匿名ユーザーとロール」を参照してください。
一般的なシナリオ3
このシナリオでは、開発中のJavaEEアプリケーションを示します。
認証: このアプリケーションではデフォルトの認証プロバイダを使用します。これは、開発環境では一般的な扱いです。
認可: ポリシー・ストアと資格証明ストアは、LDAPベースであり、Oracle Internet Directory LDAPサーバーの同じインスタンスのサービスを使用します。
バリエーション: このアプリケーションではJavaEEセキュリティを使用し、JAASは有効化します。ポリシーには匿名ロールおよび認証ロールのパーミッションを設定します。また、ポリシーの問合せ、取得および管理には、資格証明ストア・フレームワーク(CSF)APIが使用されます。
匿名ロールおよび認証ロールのサポートの構成の詳細は、第3.3項「認証ロール」および第3.4項「匿名ユーザーとロール」を参照してください。
CSF APIの詳細は、第17.1項「資格証明ストア・フレームワークAPIについて」を参照してください。
次のシナリオは、アプリケーション開発段階で多く使用するDefaultAuthenticator以外の認証プロバイダ、または提供されたAPIをアプリケーションで使用してセキュリティ・データにアクセスするという点で、一般的なシナリオとは異なります。
シナリオ4
認証: このアプリケーションでは、DefaultAuthenticatorではないLDAP認証プロバイダを使用します。
認可: ポリシーと資格証明の両方で、LDAPベースの同じOracle Internet Directoryストアを使用します。
バリエーション: このアプリケーションでは、DBのユーザー・プロファイルへのアクセスにユーザーおよびロールAPIを使用し、資格証明へのアクセスに資格証明ストア・フレームワーク(CSF)APIを使用します。
ユーザーおよびロールAPIの詳細は、第19章「ユーザーおよびロールAPIを使用した開発」を参照してください。
CSF APIの詳細は、第17.1項「資格証明ストア・フレームワークAPIについて」を参照してください。
シナリオ5
認証: このアプリケーションでは、テスト環境および本番環境で一般的なOracle Internet Directory LDAP認証プロバイダを使用します。
認可: ポリシー・ストアと資格証明ストアは、ファイルベースであり、アプリケーションとパッケージ化されます。これらのデータは、デプロイ時に自動的にドメイン・セキュリティ・データにマップされます。
バリエーション: デプロイ後、一方向SSL伝送チャネルで構成したLDAPベースのストアに、ポリシー・ストアおよび資格証明ストアを再度関連付けします。
デプロイ時にアプリケーション・セキュリティ・データを自動的に移行するための詳細は、第8.3.1項「Fusion Middleware Controlを使用したアプリケーション・ポリシーの移行」および第9.4.1項「Fusion Middleware Controlを使用したアプリケーション資格証明の移行」を参照してください。
再関連付けの詳細は、第8.2.1項「Fusion Middleware Controlを使用したドメイン・ストアの再関連付け」を参照してください。
SSLの構成の詳細および関連トピックは、次のサイトを参照してください。
『Oracle Fusion Middleware Securing Oracle WebLogic Server』のSSLの構成に関する項
Oracle Fusion Middlewareの管理者ガイド
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSSLの設定に関する項
『Oracle Fusion Middleware Programming Security for Oracle WebLogic Server』のJavaクライアントでのSSL認証の使用に関する項
シナリオ6
このシナリオでは、OPSS APIを使用するJavaSEアプリケーションを示します。
認証: このアプリケーションではLoginService APIを使用します。
認可: このアプリケーションではメソッドCheckPermission
を使用します。
また、このアプリケーションでは、ドメイン認証プロバイダへの属性の問合せにユーザーおよびロールAPIを使用し、ドメイン資格証明ストアへの問合せに資格証明ストア・フレームワークAPIを使用します。