以下の節では、新しいセキュリティ レルムを作成することによって、デフォルトのセキュリティ コンフィグレーションをカスタマイズする方法について説明します。
セキュリティ プロバイダのコンフィグレーションの詳細については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。
セキュリティ データの新しいセキュリティ レルムへの移行については、「セキュリティ データの移行」を参照してください。
WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティ コンフィグレーションが用意されています。デフォルト セキュリティ コンフィグレーションでは、myrealm
がデフォルト (アクティブ) セキュリティ レルムとして設定され、WebLogic 裁決、認証、ID アサーション、資格マッピング、証明書パス、XACML 認可、および XACML ロール マッピングの各プロバイダがセキュリティ プロバイダとしてセキュリティ レルムに定義されています。
以下のいずれかを行う場合、デフォルト セキュリティ コンフィグレーションをカスタマイズします。
デフォルト レルムのセキュリティ プロバイダの 1 つを別のセキュリティ プロバイダで置き換える。
デフォルト セキュリティ レルムにセキュリティ プロバイダを追加でコンフィグレーションする (たとえば、2 つの認証プロバイダを使用し、その 1 つで組み込み LDAP サーバを使用し、もう 1 つで Windows NT のユーザおよびグループのストアを使用する場合)。
WebLogic Server の組み込み LDAP サーバ以外の LDAP サーバにアクセスする認証プロバイダを使用する。
デフォルト認証プロバイダにユーザとグループを定義する代わりに、既存のユーザおよびグループ ストア (DBMS データベースなど) を使用する。
デフォルト セキュリティ レルムに監査プロバイダを追加する。
SAML アサーションまたは Kerberos トークンを処理する ID アサーション プロバイダを使用する。
証明書レジストリを使用してセキュリティ レルムに証明書失効を追加する。
セキュリティ プロバイダのデフォルト コンフィグレーション設定を変更する。
セキュリティ レルムでさまざまなタイプのセキュリティ プロバイダをコンフィグレーションする方法については、「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。
デフォルト セキュリティ コンフィグレーションをカスタマイズする最も簡単な方法は、デフォルト セキュリティ レルム (myrealm
) にセキュリティ プロバイダを追加することです。しかし Oracle ではこの方法ではなく、完全に新しいセキュリティ レルムを作成して、デフォルト セキュリティ コンフィグレーションをカスタマイズすることをお勧めします。このようにすると、デフォルト セキュリティ コンフィグレーションを簡単に元に戻せる状態が保たれます。作成した新しいレルムにセキュリティ プロバイダをコンフィグレーションし、既存のデフォルト レルムからユーザやグループなどのセキュリティ データを移行してから、新しいセキュリティ レルムをデフォルト レルムとして設定します。「新しいセキュリティ レルムの作成とコンフィグレーション : 主な手順」を参照してください。
新しいセキュリティ レルムを作成する前には、以下のことを決定する必要があります。
どのセキュリティ プロバイダを使用するか。WebLogic Server にはさまざまなセキュリティ プロバイダがあり、カスタム セキュリティ プロバイダを作成したり入手したりすることもできます。有効なセキュリティ レルムには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格マッピング プロバイダ、ロール マッピング プロバイダ、および証明書パス ビルダが必須です。また、必要に応じて ID アサーション プロバイダ、監査プロバイダ、および証明書レジストリ プロバイダを含めることもできます。新しいセキュリティ レルムに同じ種類のプロバイダを複数含める場合 (複数の認証プロバイダ、複数の認可プロバイダなど)、そうしたプロバイダが相互に通信する方法を決定する必要があります。「認証プロバイダのコンフィグレーション」を参照してください。
Web アプリケーションや EJB リソースへのセキュリティ ロールやセキュリティ ポリシーの設定にどのようなモデルを使用するか。セキュリティ ロールおよびポリシーは、デプロイメント記述子または WebLogic Administration Console を通じて設定できます。『Oracle Fusion Middleware Oracle WebLogic Server ロールおよびポリシーによるリソースの保護』の「Web アプリケーションおよび EJB リソースの保護のオプション」を参照してください。
Web リソースを使用するかどうか。
Web リソースは非推奨になりました。新しいセキュリティ レルムで、URL リソースではなく Web リソースを使用するカスタム認可プロバイダをコンフィグレーションする場合は、新しいセキュリティ レルムの [非推奨の Web リソースを使用] を有効にしてください。このオプションによってサーブレット コンテナの実行時の動作が変更され、認可を実行する際に URL リソースではなく Web リソースが使用されます。
注意 : 新しいセキュリティ レルムを作成する場合、少なくとも 1 つの認証プロバイダをコンフィグレーションして、アサートされた LoginModule を返す必要があります。このようにしないと、デプロイメント記述子に定義されるrun-as タグが有効になりません。 |
詳細については、Oracle Fusion Middleware Oracle WebLogic Server の Administration Console オンライン ヘルプの「新しいセキュリティ レルムのコンフィグレーション」を参照してください。
新しいセキュリティ レルムを作成するには、次の手順に従います。
セキュリティ レルムの名前を定義し、コンフィグレーション オプションを設定します。「新しいセキュリティ レルムを作成する前に」、および Oracle Fusion Middleware Oracle WebLogic Server の Administration Console オンライン ヘルプの「新しいセキュリティ レルムのコンフィグレーション」を参照してください。
セキュリティ レルムで必要なセキュリティ プロバイダをコンフィグレーションします。有効なセキュリティ レルムには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格マッピング プロバイダ、ロール マッピング プロバイダ、および証明書パス ビルダが必須です。「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。
必要に応じて、ID アサーション、監査、および証明書レジストリ プロバイダを定義します。「WebLogic セキュリティ プロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。
新しいセキュリティ レルムでデフォルト認証プロバイダ、認可プロバイダ、資格マッピング プロバイダ、またはロール マッピング プロバイダ、または証明書レジストリをコンフィグレーションした場合は、組み込み LDAP サーバの設定が適切であるかどうかを検証してください。「組み込み LDAP サーバの管理」を参照してください。
必要に応じて、セキュリティ レルムの WebLogic 認証プロバイダと LDAP 認証プロバイダのパフォーマンスを向上させるためのキャッシュをコンフィグレーションします。「LDAP 認証プロバイダのフェイルオーバのコンフィグレーション」を参照してください。
新しいセキュリティ レルム内の WebLogic リソースをセキュリティ ポリシーで保護します。セキュリティ ポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順について理解を深めるには、『Oracle Fusion Middleware Oracle WebLogic Server ロールおよびポリシーによるリソースの保護』に目を通してください。WebLogic Server のデプロイメントに対するセキュリティを完全にコンフィグレーションするには、上記のマニュアルと『Oracle Fusion Middleware Oracle WebLogic Server のセキュリティ』を併読する必要があります。
新しいセキュリティ レルムで、既存のセキュリティ レルムに定義されたセキュリティ データ (ユーザとグループ、ロールとポリシー、および資格マップ) も有効にする場合、既存のレルムからセキュリティ データをエクスポートして新しいセキュリティ レルムにインポートできます。「セキュリティ データの移行」を参照してください。
ロックアウト属性を設定することによって、新しいセキュリティ レルムのユーザ アカウントを辞書攻撃から保護します。「ユーザ アカウントの保護」を参照してください。
新しいレルムを WebLogic Server ドメインのデフォルト セキュリティ レルムとして設定します。Oracle Fusion Middleware Oracle WebLogic Server の Administration Console オンライン ヘルプの「デフォルト セキュリティ レルムの変更」を参照してください。
注意 : WebLogic Scripting Tool または Java Management Extensions (JMX) API を使用して新しいセキュリティ コンフィグレーションを作成することもできます。『Oracle Fusion Middleware Oracle WebLogic Scripting Tool ガイド』を参照してください。 |