| Oracle Fusion Middlewareセキュリティ概要 11g リリース1(11.1.1) B56236-01 |
|
 戻る |
 次へ |
この章では、Oracle Fusion Middlewareのセキュリティ機能の概要とシステム管理者およびアプリケーション開発者向けのロードマップについて説明します。この章は、次のトピックで構成されています。
「はじめに」で記載された関連ドキュメントおよびこのドキュメントで使用される共通の用語を定義することから始めます。
アプリケーションは、Oracleやサード・パーティ・ベンダーから提供されたり、社内で開発したりすることが可能です。どの場合のアプリケーションも、アプリケーション・サーバー環境で稼働し、Oracle Fusion Middlewareの機能を利用するように設計されます。
典型的なアプリケーション・ライフサイクルには、次の3つの段階があります。
開発
デプロイメント
本番環境での継続的管理
セキュリティは、その範囲や実装の詳細は様々に異なることがありますが、アプリケーション・ライフサイクルにとって欠かせないものです。
たとえば、開発時にはユーザーの資格証明は単にファイルに格納されますが、デプロイされたアプリケーションは一般的にバックエンドでLDAPディレクトリを使用したアイデンティティ管理ソリューションによって保護されます。
監査
監査は、アカウンタビリティを評価する過程です。アイデンティティ管理およびアクセス管理領域では、どのリソースにいつ誰がアクセスしたかを判断するのに必要なレポートおよびデータを監査によって入手します。
認証
認証では、ユーザーが本人であるか確認します。ユーザーのアイデンティティは、ユーザーが提示する次の資格証明で確認します。
本人が所有するもの: 信頼できる機関から発行された資格証明です。たとえば、パスポート(実社会)やスマート・カード(IT業界)などがあります。
本人が知っていること: たとえば、パスワードなどの共有秘密があります。
本人自身による証明: たとえば、バイオメトリック情報があります。
ATMカード(本人が所有するもの)とPINまたはパスワード(本人が知っていること)を併用するなど、数種類の資格証明を組み合せることを厳密認証といいます。
認可
認可は、アクセス制御とも呼ばれ、認証済ユーザーの資格に基づいて特定のリソースに対するアクセス権を付与することを目的としています。資格は、1つまたは複数の属性で定義されます。属性は、ユーザーのプロパティ、特徴、またはロールです。たとえば、Rajがユーザーの場合、software engineerが属性(ロール)です。
認可は、アクセス・ポリシーの適用に基づいています。たとえば、Rajはsoftware engineerロールに割り当てられると、特定のアプリケーション・コードにアクセスできます。
資格証明ストア
資格証明ストアは、データベースやLDAPディレクトリなどの外部アプリケーションおよびシステムにパスワードを格納するために使用できるサービスです。
Oracle Fusion Middleware 11gリリース1(11.1.1)では、資格証明ストアはファイルベース(Oracle Wallet)のリポジトリか、パスワードなどの資格証明を格納するためのLDAPベースのリポジトリのいずれかになります。
デプロイメント・フェーズ
デプロイメント・フェーズは、アプリケーション・ライフサイクルの第2段階です。このフェーズでは、管理者はアプリケーションをパッケージ化し、ターゲット環境(アプリケーション・サーバーなど)にデプロイして、エンド・ユーザーがアクセスできるようにします。
デプロイメント・フェーズでは通常、管理者がアプリケーション・ロールからエンタープライズ・グループへのマッピングを実行します。詳細は、次を参照してください。
『Deploying JavaEE and Oracle ADF Applications with Fusion Middleware Control』
開発フェーズ
開発フェーズは、アプリケーション・ライフサイクルの第1段階です。このフェーズでは、開発者は、アプリケーション・ロジックとプレゼンテーション層をコード化します。
Oracle Application Development Framework(Oracle ADF)を使用して、開発者はOracle ADFの組込みサポートで幅広いセキュリティ機能を利用できます。
詳細は次を参照してください。
『Oracle Fusion Middleware Oracle Application Development FrameworkのためのFusion開発者ガイド』のFusion WebアプリケーションのADFセキュリティの有効化に関する項
Oracle Enterprise Manager Fusion Middleware Control
Fusion Middleware Controlは、Oracle Enterprise Managerの一部として提供されるJMXベースのGUI管理ツールです。
アイデンティティ・ストア
アイデンティティ・ストアは、ユーザーのアイデンティティ(ユーザーおよびグループ)が保存され信頼できるストアです。
Oracle Fusion Middleware 11gリリース1(11.1.1)では、デフォルトのアイデンティティ・ストアは、Oracle WebLogic Serverのプロセスでメンテナンスされる組込みLDAPストアで、テストおよび小規模デプロイメントにのみ適しています。エンタープライズLDAPサーバー(Oracle Internet Directoryおよびサード・パーティLDAPディレクトリ)もサポートされています。
関連情報の詳細は、第2.3.1項「認証」を参照してください。
インフラストラクチャのセキュリティ強化
インフラストラクチャとは、アプリケーションのデプロイに必要なすべてのシステム・ソフトウェアのことです。インフラストラクチャのセキュリティ強化は、インフラストラクチャの各コンポーネント(Webサーバー、アプリケーション・サーバー、アイデンティティ管理およびアクセス管理のソリューションおよびデータベース・システムなど)にセキュリティを適用するプロセスです。インフラストラクチャのセキュリティ強化は、トランザクションに関連する複数のインフラストラクチャ・コンポーネント全体におけるエンドツーエンドのセキュリティ基盤です。
|
注意: Oracle WebLogic Serverの保護では、このタスクはロックダウンと呼ばれます。ただし、Oracle Fusion Middlewareではより広義に、インフラストラクチャのセキュリティ強化と呼ばれます。 |
|
関連項目 WebLogic Security Serviceでは、強力で柔軟なソフトウェア・ツールが用意されています。これによって、サーバー・インスタンスで実行されるサブシステムおよびアプリケーションが保護されます。詳細は、『Oracle Fusion Middleware Developing Web Applications, Servlets, and JSPs for Oracle WebLogic Server』を参照してください。 |
Java Authentication and Authorization Service(JAAS)
ユーザーの認証では、Javaコードがアプリケーション、アプレット、Beanまたはサーブレットのいずれで実行されているかにかかわらず、現在そのコードを実行している人物を、信頼できるセキュアな方法で判別します。
ユーザーの認可では、その操作の実行に必要なアクセス制御権限をユーザーが持っているかどうかを確認します。
詳細は、次のWebページで『Java Authentication and Authorization Service (JAAS) Reference Guide』を参照してください。
http://java.sun.com/javase/6/docs/technotes/guides/security//jaas/JAASRefGuide.html
Javaコンポーネント
Javaコンポーネントはシステム・コンポーネントのピアで、アプリケーション・サーバー・コンテナが管理します。Oracle SOA SuiteやOracle Identity Federationがその例です。
キーストア
秘密鍵、デジタル証明、信頼できるCA証明書などのSSL通信に必要なオブジェクトは、キーストアに格納されます。
Oracle Fusion Middlewareでは、鍵と証明書用に2種類のキーストアが用意されています。
JKSベースのキーストアおよびトラストストアは、Sun社によって提供されているJavaキーストアのデフォルトJDK実装です。JKSキーストアは、Oracle Virtual Directoryおよびその他の製品で使用されています。
Oracle Walletは、PKCS#12ベースの資格証明のコンテナです。Oracle Walletは、Oracle Internet Directoryおよびその他の製品で使用されています。
詳細は、第4.2項「キーストア」を参照してください。
Oracle Application Development Framework(ADF)
Oracle Application Development Framework(Oracle ADF)は革新的で包括的なJava EE開発フレームワークで、Oracle JDeveloper 11g開発環境で直接サポートされ有効化されます。
Oracle ADFにより、アプリケーションのインフラストラクチャを実装するコードを記述する必要性が最小限に抑えられ、ユーザーは実際のアプリケーションの機能に集中できるので、Java EE開発が簡素化されます。Oracle ADFでは、これらのインフラストラクチャ実装を、フレームワークの一部として提供します。一連のランタイム・サービスは十分でないと認識されているので、Oracle ADFでは、Oracle JDeveloper 11g開発ツールにより、視覚的で宣言的なJava EE開発方法を実現する開発環境も重視しています。
Oracle ADFは、Oracle Platform Security Servicesをベースにしています。
Oracle Access Manager(OAM)
Oracle Access Managerでは、Webシングル・サインオン、ユーザーのセルフサービスおよび自己登録、高度なワークフロー機能、監査およびアクセス・レポート、ポリシー管理、動的グループ管理および委任管理などのすべてのアイデンティティ管理機能およびセキュリティ機能が用意されています。
Oracle Adaptive Access Manager
オンライン・コマースの急激な成長により、インターネット詐欺はますます巧妙化しています。フィッシング、ファーミング、トロイの木馬、キー・ロガーおよびプロキシ攻撃の脅威と、オンライン・データのプライバシーを統制する規制や法令(FFIEC、HIPAA、PCIなど)とが重なって、オンライン・セキュリティは重要になっています。
Oracle Adaptive Access Managerでは、強力でデプロイが容易なマルチファクタ認証を行って、プロアクティブでリアルタイムに詐欺を防止することで、ビジネスと顧客を高度に保護します。
Oracle Entitlements Server
Oracle Entitlements Serverは、きめ細かい資格管理ソリューションです。これによって、企業の資格管理の外部化と一元化、認可ポリシーの簡素化、および分散された異機種アプリケーションにおけるセキュリティの適用を行います。
Oracle Entitlements Serverにより、URL、EJB、JSPなどのアプリケーション・リソースやソフトウェア・コンポーネントだけでなく、顧客アカウントや患者記録などの任意のビジネス・オブジェクトに対してもアクセスを保護します。Oracle Entitlements Serverポリシーでは、アプリケーション・リソースにアクセスできるユーザー、グループ、ロールを指定します。これによって、実行時にロールを動的に解決できます。
Oracle Entitlements Serverでは、一意で柔軟なアーキテクチャを使用して、特殊な属性を評価し、さらにきめ細かくアクセス制御も決定できます。Oracle Entitlements Serverのスタンドアロン管理サービスでは、複雑な資格ポリシーを管理し、ポリシーの決定および実施ポイントに配布します。
これらの決定ポイントは、一元化モードで実行するか、アプリケーション内に組み込むことができます。これにより、ビジネス・クリティカル・アプリケーションの柔軟性が最大化し、高いパフォーマンスが実現されます。
Oracle Identity Federation
Oracle Identity Federationは業界をリードするフェデレーション・ソリューションであり、自己完結型で柔軟なマルチプロトコルのフェデレーション・サーバーを実現します。これによって、既存のアイデンティティ管理およびアクセス管理システムでも迅速にデプロイできます。業界標準ベースのプロトコルをサポートしているので、ベンダー、顧客およびビジネス・パートナーとの間でアイデンティティ情報を共有できる相互運用性があり、アイデンティティ情報や資格証明を追加で維持管理、運用するための追加コストも発生しません。
Oracle Identity Manager
Oracle Identity Managerは、ベストインクラスのユーザー・プロビジョニングおよび管理ソリューションです。これによって、アプリケーションやディレクトリに対してユーザー・アカウントの追加、更新および削除を行うプロセスが自動化されます。さらに、ユーザー・アクセスをレポートし証明するようにきめ細かいレポートと証明サポートを提供し、法規制のコンプライアンスが向上します。
Oracle Platform Security Services(OPSS)
Oracle Platform Security Services(OPSS)では、企業の製品開発チーム、システム・インテグレータ(SI)および独立系ソフトウェア・ベンダー(ISV)に、Java Standard Edition(Java SE)およびJava Enterprise Edition(Java EE)のアプリケーション向けに標準ベースで移植可能な企業向け統合セキュリティ・フレームワークを提供します。
OPSSでは、標準ベースのアプリケーション・プログラミング・インタフェース(API)の形式で抽象化レイヤーが提供されます。これにより開発者は、セキュリティおよびアイデンティティ管理の実装の詳細から隔離されます。社内で開発されたアプリケーション、サード・パーティ・アプリケーションおよび統合されたアプリケーションのすべてにおいて、社内全体にわたって同一で均一なセキュリティ、アイデンティティ管理および監査サービスの恩恵を享受します。
OPSSを活用すると、開発者は暗号鍵管理の詳細や、ユーザー・リポジトリおよびその他のアイデンティティ管理インフラストラクチャでのインタフェースの詳細を意識する必要はありません。
Oracle Web Services Manager
Oracle Web Services Managerは、ポリシー駆動型のベスト・プラクティスを既存のWebサービスや新規のWebサービスすべてに追加するための包括的なソリューションです。これによって、複数の部門アプリケーション間においてサービス指向アーキテクチャのデプロイに必要な鍵のセキュリティおよび管理機能を実現します。
Oracle Web Services Managerにより、IT管理ではWebサービス操作(アクセス・ポリシー、ロギング・ポリシー、ロード・バランシングなど)を管理するポリシーを一元的に定義でき、こうしたポリシーをWebサービスにラップできます。その際、Webサービスの変更は不要になります。
Oracle Web Services Managerでは、サービスの品質を確保するために監視した統計データ、稼働時間およびセキュリティ上の脅威を収集し、Webダッシュボードに表示します。
Oracle Wallet
Oracle Walletは、証明書、信頼できる証明書、証明書リクエスト、秘密鍵などの資格証明を格納するコンテナです。Oracle Walletはファイル・システム上に格納できますし、Oracle Internet DirectoryなどのLDAPディレクトリにも格納できます。Oracle Walletは自動ログイン・ウォレットまたはパスワード保護されたウォレットにできます。
Oracle Walletは次のコンポーネントに使用します。
Oracle HTTP Server
Oracle Web Cache
Oracle Internet Directory
パートナ・アプリケーション
パートナ・アプリケーションは、Oracle Application ServerベースのアプリケーションまたはOracle Single Sign-Onサーバーに認証機能を委任しているOracle以外のアプリケーションです。Oracle Single Sign-Onで認証済のユーザーがアプリケーションの使用を認可されるかどうかは、パートナ・アプリケーションで決定されます。パートナ・アプリケーションには、Oracle Portal、Oracle Discoverer、Oracle Delegated Administration Servicesなどがあります。
Security Assertions Markup Language(SAML)
シングル・サインオン
シングル・サインオンでは、ユーザーは一度認証されると、再認証を要求されることなく複数のアプリケーションへのアクセス権が付与されます。
システム・コンポーネント
システム・コンポーネントは、Oracle WebLogic Server以外の管理可能なプロセスです。Oracle HTTP ServerやOracle Internet Directoryがその例です。
Webサービス・セキュリティ
Webサービス・セキュリティには、認証と認可(前述で説明済み)、機密保護とプライバシー(情報を秘密にする)、整合性と否認不可(機関がデジタル署名をすることでメッセージが転送中に変更されないようにし、また、デジタル署名で送信者を検証し、送信者か受信者が後でトランザクションを否認できないようにタイムスタンプを提供する)が含まれます。Webサービス・セキュリティの要件は、XMLフレームワーク(たとえばXML暗号化、XML署名、Security Assertion Markup Language(SAML)など)に依存するアプリケーション・レベルおよびトランスポート・レベル(Secure Socket Layer)両方で、業界標準によってサポートされています。
eXtensible Access Control Markup Language(XACML)
XACMLは、アクセス制御ポリシーと、アクセス制御のリクエストやレスポンスの要件の両方を指定する言語の宣言的な標準です。
Oracle Fusion Middlewareのセキュリティとは、11gリリース1(11.1.1)のアプリケーション・ライフサイクル全体でアプリケーションが使用可能なすべてのセキュリティオプションをいいます。まず、Oracle WebLogic Serverはこのリリースから、Oracle Fusion Middlewareのアプリケーション・サーバーとなっていることに注意することが重要です。既存のユーザーは、今までと同じ構成ツールを使用して、Oracle WebLogic Serverで提供されるセキュリティ機能を継続して使用できます。
Oracle WebLogic Serverのセキュリティは、11gリリース1(11.1.1)では変更されていないので、ベース・コンテナやJavaEEセキュリティの管理に、既存のOracle WebLogic Serverツールを使用できます。
Oracle Fusion Middlewareでは、次のように、認証およびシングル・サインオン(SSO)のオプションを幅広くサポートしています。
認証プロバイダ
認証プロバイダにより、Oracle WebLogic Serverでは、ユーザーを検証することにより信頼を確立できます。
IDアサーション・プロバイダは、境界ベースの認証および複数のセキュリティ・プロトコルやトークン・タイプを処理する認証プロバイダの一種です。
アイデンティティ・ストア
詳細は、「アイデンティティ・ストア」を参照してください。
10g Oracle Single Sign-Onおよび10g Oracle Access Managerのサポート
Oracle WebLogic Serverには、両方の製品の認証プロバイダが含まれています。
前述のように(第1.1項「用語集」を参照)、Oracle Platform Security Services(OPSS)では、Java Standard Edition(Java SE)およびJava Enterprise Edition(Java EE)のアプリケーション向けに標準ベースで移植可能な企業向け統合セキュリティ・フレームワークを提供します。
OPPSでは、Oracle WebLogic Serverおよび次のようなOracleコンポーネントにセキュリティ・サービスを提供します。
Oracle SOA Suite
Oracle WebCenter
Oracle Entitlement Server
Oracle Web Services Manager
OPSSには、Oracle WebLogic Serverのセキュリティ・サービス・プロバイダ・インタフェースと、Oracleの10gセキュリティ・フレームワーク(Java Platform Security(JPS)と呼ばれる)が組み込まれます。
詳細は、第2章「Oracle Platform Security Servicesについて」を参照してください。
Oracle SOA Suiteは、主としてOracle WebLogic ServerおよびOracle Fusion Middlewareのセキュリティ機能に依存しています。たとえば、Oracle WebLogic Server管理コンソールを使用してリスナーを構成することで、Oracle SOA SuiteでOracle WebLogic Serverに接続する際にSecure Socket Layer(SSL)を有効化します。
さらに、セキュリティには次のようにスイート固有の側面があります。
双方向SSL
Oracle SOA SuiteとOracle HTTP Serverとの間におけるSSL
Security Assertion Markup Language(SAML)のSSO環境において1番目のOracle BPM Worklistから2番目のOracle BPM Worklistにアクセスする際における自動認証
KerberosによるWindowsのネイティブ認証環境におけるのOracle BPM Worklistユーザーの自動認証
Oracle Business Activity Monitoringの保護
資格証明マッピング
Oracle BAMユーザー権限
Oracle BAMでのOracle Internet Directory
Oracle User Messaging Serviceの保護
資格証明ストアのパスワードのような機密に関するドライバ・プロパティのセキュア・ストレージ
SSLを使用した、トランスポートレベルのセキュリティ
詳細は、『Oracle Fusion Middleware Oracle SOA Suite管理者ガイド』を参照してください。
アプリケーション・レイヤーに加えて、Oracle WebCenterでは、4つのセキュリティ・レイヤーをサポートしています。
WebCenter Spacesアプリケーションでは、次のものをサポートしています。
アプリケーション・ロール管理および権限マッピング
自動登録
グループ・スペースのセキュリティ管理
アカウントおよびパスワードの管理
WebCenterのセキュリティ・フレームワークでは、次のものをサポートしています。
サービス・セキュリティ拡張フレームワーク
権限マッピング・ベースおよびロール・マッピング・ベースの認可
外部アプリケーションおよび資格証明マッピング
ADF Securityでは、次のものをサポートしています。
ページおよびタスク・フローの認可
セキュアな接続管理
資格証明マッピングAPI
Oracle Platform Security Services(OPSS)では、次のものをサポートしています。
匿名ロールおよび認証ロールのサポート
アイデンティティ・ストア、ポリシー・ストアおよび資格証明ストア
アイデンティティ管理サービス
Oracle Web Services Managerセキュリティ
詳細は、『Oracle Fusion Middleware Administrator's Guide for Oracle WebCenter』のセキュリティの管理に関する項を参照してください。
セキュリティは、Oracle Fusion Middlewareインフラストラクチャまたはそこで構築された企業向けアプリケーション(あるいはその両方)への制御されたアクセスとして定義できます。
図1-1は、Oracle Fusion Middlewareによる典型的な3層の企業環境のサポートの概要を示しています。
このモデルの概要は次のとおりです。
Web層は、WebCacheやOracle HTTP Serverのようなコンポーネントで構成され、リソースを保護し、アプリケーションへのアクセスを制御します。
中間層ではOracle WebLogic Serverを実行し、セキュリティ・サービス・プロバイダ・インタフェース(SPI)およびAPIをホストします。Oracle SOA Suite、Oracle WebCenter、Oracle Web Services ManagerなどのOracle Fusion Middlewareコンポーネントは中間層で稼働します。
データ層は、Oracle Internet Directory、Oracle Virtual Directory、Oracle Databaseなど、LDAPディレクトリとデータベースのリポジトリです。
次の図に、Oracle Fusion Middlewareのセキュリティにおける主な要素のハイレベルな概要を示します。
この図は、Oracle Fusion Middlewareのセキュリティの要素を示しています。左側のWeb層には、ロード・バランサおよびファイアウォールの外側にあるその他のコンポーネントがあります。中間層では、Oracle WebLogic Serverとそのアプリケーションをホストしています。右側のデータ層には、データベースとディレクトリが含まれます。異なる管理ツールが図の上部に示されています。
このアーキテクチャの主な要素は次のとおりです。
Fusion Middleware Control: Oracle Fusion MiddlewareのGUIベース管理ツールです。Fusion Middleware Controlを使用して、コンポーネントやアプリケーションの構成、管理および監視を行い、次のコンポーネントに対してセキュリティを実装します。
Oracle HTTP Server
Oracle Web Cache
Oracle Internet Directory
Oracle Virtual Directory
Oracle WebLogic Serverは、Oracle Fusion Middlewareコンポーネント(Oracle SOA Suite、Oracle Identity Management、Oracle WebCenterなど)およびアプリケーション(顧客、システム・インテグレータおよびサード・パーティ・ベンダーが開発したもの)用のアプリケーション・サーバーです。
図中の丸印は、セキュアな通信用にSSLを有効化できるリスナーを表しています。
詳細は、第4章「インフラストラクチャのセキュリティ強化」を参照してください。
Oracle Fusion Middlewareには、次のようなグラフィカル・ランタイム・ツールとコマンドライン・ランタイム・ツールが含まれています。
Oracle WebLogic Server管理コンソールにより、サーバーで実行されているJavaEEアプリケーションとOracle WebLogic Serverドメインを構成できます。
Fusion Middleware Controlにより、サーバーで実行されるOracleアプリケーションを構成でき、OPSS APIに依存するセキュリティ機能を利用できます。
Oracle WebLogic Scripting Tool(WLST)は、コマンドラインのスクリプティング環境で、WebLogic Serverドメインの作成、管理および監視、さらにOracle Fusion Middlewareのセキュリティ機能の管理に使用できます。
