1 概要とロードマップ

以下の節では、『プロダクション環境の保護』の内容と構成について説明します。

ドキュメントの内容と対象読者
このドキュメントの手引き
関連情報
セキュリティのサンプルとチュートリアル

ドキュメントの内容と対象読者

このガイドでは、WebLogic Server のプロダクション環境を保護する方法について説明します。

以下の読者を対象としています。

アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティアーキテクチャを設計するだけでなく、WebLogic Server のセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティシステムや最先端のセキュリティ技術とツールだけでなく、Java プログラミング、Java セキュリティ、およびネットワークセキュリティにも精通しています。
セキュリティ開発者 - WebLogic Server に統合されるセキュリティ製品のシステムアーキテクチャとインフラストラクチャの定義、および WebLogic Server で使用するカスタムセキュリティプロバイダの開発を主な業務とする開発者のことです。セキュリティ開発者は、認証、認可、監査 (AAA)、Java Management eXtension (JMX) などの Java に対する深い知識、および WebLogic Server とセキュリティプロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - Web アプリケーションとエンタープライズ JavaBean (EJB) の開発およびセキュリティ機能の付加、さらに他のエンジニアリングチーム、品質保証 (QA) チーム、データベースチームとの連携によるセキュリティ機能の実装を行う Java プログラマのことです。アプリケーション開発者は、Java (サーブレットや JSP などの Java Platform, Enterprise Edition (Java EE) バージョン 5 コンポーネントと JSEE)、および Java セキュリティについて実用的かつ深い知識を備えています。
サーバ管理者 - アプリケーション設計者と密接に連携しながら、サーバやサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティリスクの特定、およびセキュリティ上の問題を防止するコンフィグレーションの提案を行います。関連する責務として、重要なプロダクションシステムの保守、セキュリティレルムのコンフィグレーションと管理、サーバリソースとアプリケーションリソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティプロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、Web サービス、Web アプリケーションと EJB のセキュリティ、公開鍵セキュリティ、SSL、SAML (Security Assertion Markup Language) を含む Java セキュリティアーキテクチャに関する深い知識を備えています。
アプリケーション管理者 - サーバ管理者と共同でセキュリティコンフィグレーションや、認証および認可方式を実装および管理したり、定義されたセキュリティレルムでデプロイされたアプリケーションリソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティアーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバログおよび監査ログでセキュリティイベントを特定できます。

このドキュメントの手引き

このマニュアルの構成は次のとおりです。

この章「概要とロードマップ」では、このガイドの構成を紹介します。
「セキュリティニーズの決定」は、特定の環境に対するセキュリティニーズの決定方法、およびそのニーズを確実に満たすための基本的な基準について説明します。
「プロダクション環境のセキュリティの確保」は、プロダクション環境に WebLogic Server をデプロイする前に必要なセキュリティの基準に焦点をあて、さまざまなセキュリティ設定を使用してプロダクション環境を保護する方法について説明します。

セキュリティのサンプルとチュートリアル

セキュリティ開発者向けに、Java Authentication and Authorization Service 用、および発信 SSL と双方向 SSL 用のコードサンプルが用意されています。これらのサンプルとチュートリアルは WebLogic Server セキュリティの動作を例示し、主要なセキュリティ開発タスクを実行する実際的な手順を示します。

独自のセキュリティコンフィグレーションを開発する前に、まずセキュリティサンプルの一部またはすべてを実行することをお勧めします。

Avitek Medical Records アプリケーション (MedRec) とチュートリアル

MedRec は WebLogic Server に付属したエンドツーエンドのサンプル Java EE アプリケーションであり、一元的で独立した医療記録管理システムをシミュレートします。MedRec アプリケーションには、患者、医師、および管理者に対して、さまざまなクライアントを使用して患者のデータを管理するフレームワークが用意されています。

MedRec は WebLogic Server と Java EE の機能を例示し、Oracle 推奨のベストプラクティスを重要点として示します。MedRec は WebLogic Server 配布キットに含まれており、Windows マシンの [スタート] メニューからアクセスできます。Linux などのプラットフォームでは、WL_HOME\samples\domains\medrec ディレクトリから MedRec を起動します。WL_HOMEは、WebLogic Platform の最上位インストールディレクトリです。

MedRec には、Web アプリケーション、Web サービス、ワークフローアプリケーション、および将来のクライアントアプリケーションからのリクエストを共同で処理する複数のエンタープライズ Java Bean (EJB) で主に構成されるサービス層があります。このアプリケーションには、メッセージ駆動型 EJB、ステートレスセッション EJB、ステートフルセッション EJB、およびエンティティ EJB が含まれます。

WebLogic Server 配布キットのセキュリティサンプル

WebLogic Server では、必要に応じて API コードサンプルをWL_HOME\samples\server\examples\src\examples にインストールできます。WL_HOME は、WebLogic Server の最上位インストールディレクトリです。WebLogic Server のスタートメニューからサンプルサーバを起動して、サンプルとその実行手順に関する情報を確認できます。

このリリースでの新機能と変更点

このリリースで導入された新しい weblogic SERVER 機能の一覧については、『Oracle Fusion Middleware Oracle WebLogic Server の新機能』を参照してください。