3 OC4Jセキュリティの概要

この章では、Oracle Containers for J2EE（OC4J）のセキュリティ実装の概要について説明します。この実装を使用すると、開発者は認証サービス、認可サービスおよび委任サービスをアプリケーションと統合できます。

この実装において重要なコンポーネントは、JAAS仕様をサポートするOracle Application Server Java Authentication and Authorization Service（JAAS）Providerです。

この章の内容は次のとおりです。

• OracleAS JAAS Providerおよびセキュリティ・プロバイダの概要

• OC4J環境での認証機能の概要

• OC4J環境での認可機能の概要

• セキュリティ・ロール・マッピングの概要

• アイデンティティ管理フレームワークとAPIの一般的な使用の概要

  関連項目 セキュリティのベスト・プラクティスの詳細は、『Oracle Application Serverベスト・プラクティス』を参照してください（リリース後に入手可能）。 Oracle Application Serverの一般的なセキュリティ情報およびインフラストラクチャについては、リリース3（10.1.3.x）のドキュメント・セットに含まれていないが次のURLで入手可能な、リリース2（10.1.2）の『Oracle Application Serverセキュリティ・ガイド』を参照してください。 http://www.oracle.com/technology/documentation/ appserver1012.html

OracleAS JAAS Providerおよびセキュリティ・プロバイダの概要

OC4Jには、JAAS実装、Oracle Application Server Java Authentication and Authorization Service（JAAS）Providerが用意されています。OracleAS JAAS Providerでは、Java 2セキュリティ・モデルを使用するJ2SEアプリケーションおよびJ2EEアプリケーションに簡単に統合でき、開発者がアプリケーション環境に統合できるユーザー認証、認可および委任の各サービスを実装しています。アプリケーション開発者はこれらのサービスの開発にリソースを費やすかわりに、アプリケーションのプレゼンテーションおよびビジネス・ロジックに重点を置くことができます。

OC4Jアプリケーション用セキュリティ・フレームワークには、ファイルベース、Oracle Identity Management（LDAPディレクトリベース）、外部LDAPディレクトリ、Oracle Access Managerおよびカスタム（カスタム・ログイン・モジュールを使用）といういくつかの特定セキュリティ・プロバイダも、OracleAS JAAS Provider以外にサポートしているという重要な側面があります。

この項の以降の部分で、次の項目について説明します。

• OracleAS JAAS Providerの概要

• JAASフレームワークの機能の概要

• OracleAS JAAS Providerのセキュリティ・レルム

• サポートされているセキュリティ・プロバイダ

OracleAS JAAS Providerの概要

OracleAS JAAS Providerにより、JAASログイン構成プロバイダ・インタフェースおよびJAASポリシー・プロバイダ・インタフェースが実装されます。

• ログイン構成プロバイダ実装の役割は、ログイン・モジュール構成情報を取得すること、および認証用に適切なログイン・モジュールが起動されるようにすることです。JAASログイン・モジュールの構成は、XMLファイルに格納されます。

• ポリシー・プロバイダ実装では、認可用ポリシーを格納するリポジトリとして、XMLファイルまたはディレクトリ・サービスの2つのいずれかがサポートされます。（これに対し、Sun社のポリシー・プロバイダ実装では、ポリシー・リポジトリとして、たとえばJAVA_HOME/jre/lib/security/java.policyファイルが使用されます。）ポリシーには、ファイルの読み書きなど、ユーザーによるリソースへのアクセスおよび使用を認可するためのルール（パーミッションまたは権限と呼ばれる）が含まれています。

OracleAS JAAS Providerを使用すれば、アプリケーションでリソース・ユーザーに対して密なアクセス制御を実施できます。セキュリティ対応アプリケーションがOC4Jで実行されるときの3つの重要な手順は次のとおりです。

1. ログイン・モジュールを作成し、起動します。これには、OracleAS JAAS Providerが関与します。OC4Jには、サポートされるセキュリティ・プロバイダ用のログイン・モジュールが用意されています。カスタム・ログイン・モジュールを使用することもできます。

2. ログインを試みているユーザーを認証します。これはセキュリティ・プロバイダが行います。

3. ユーザーが実行を試みている操作のパーミッションをチェックすることによってユーザーを認可します。これには、OracleAS JAAS Providerが関与します。

OracleAS JAAS Providerは、デフォルトでOC4J製品の一部として構成されています。

注意 以前のリリースでは、OracleAS JAAS ProviderのかわりにJAZNという用語が使用されていました。現在、この用語は一般には使用されていませんが、コード（クラス名やパッケージ名として）およびAdmintoolのシェル・プロンプトではまだ使用されています。

JAASフレームワークの機能の概要

表3-1に、OracleAS JAAS Providerにより実装されるJAASフレームワークの機能を示します。

表3-1    JAASフレームワークの機能 

機能	説明	関連項目
認証	J2EEアプリケーション環境のログイン認証用Oracleシングル・サインオン・ソリューションと統合します。 OracleAS CoreまたはJava Editionなど、非SSO環境向けにデフォルトのRealmLoginModuleクラスを提供します。 JAAS準拠のカスタム・ログイン・モジュールをすべてサポートします。	「OC4J環境での認証機能の概要」
宣言によるモデル	web.xml、ejb-jar.xmlなどのJ2EEデプロイメント・ディスクリプタをJAASセキュリティと統合します。
認可	J2EE認可モデルをサポートします。 JAAS認可モデルをサポートします。 Java Authorization Contract for Containersをサポートします。	「OC4J環境における認可API、JAASモードおよびJACC」
レルム管理	ユーザーおよびロール管理をサポートするために、パッケージoracle.security.jazn.realmが提供されます。
ポリシー管理	認可ポリシーの管理のために、パッケージoracle.security.jazn.policyが提供されます。
管理	Oracle Enterprise Manager 10gまたはコマンドラインのOracleAS JAAS Provider Admintoolを使用して管理および構成をサポートします。	「Oracle Application ServerおよびOracleAS JAAS Provider向けのツール」
JAZNUserManager	ファイルベース・プロバイダ、Oracle Identity ManagementおよびOracle Access Managerと統合できるセキュリティ・プロバイダ実装を提供します。このクラスは、oracle.security.jazn.oc4jパッケージに含まれています。

OracleAS JAAS Providerのセキュリティ・レルム

JAASフレームワークでは、ユーザー・コミュニティは明示的に定義されません。ただし、J2EEにはレルムと呼ばれるユーザー・コミュニティの概念があります。

レルムは、同じ認証ポリシーによって制御されるユーザーとロールのコレクションです。すなわち、レルムは認証済ユーザーに対して一連のパーミッションを定義するセキュリティ・ドメインです。

各レルムには、一連の構成されたユーザーおよびロールが含まれています。（OC4J構成では、ユーザーとロールはすべてレルム定義内に構成できます。）

関連項目 「OC4Jでのセキュリティ・レルムの使用方法」 「LDAPベース・プロバイダのレルム管理」

サポートされているセキュリティ・プロバイダ

Oracle Application Serverでは、次のセキュリティ・プロバイダがサポートされます。各セキュリティ・プロバイダは、事実上セキュリティ・プロバイダの一部である、該当するログイン・モジュール（ファイルベース・プロバイダおよびLDAPベース・プロバイダの場合はRealmLoginModule）に関連付けられます。さらに、各セキュリティ・プロバイダでは、レルム情報（ユーザーとロール）とJAASポリシー情報（パーミッション）からなるデータをセキュアかつ集中的に格納、取得および管理するために、リポジトリが使用されます。

• ファイルベース（XMLベース）プロバイダ

  第7章「ファイルベースのセキュリティ・プロバイダ」で説明しているファイルベース・プロバイダは、XMLリポジトリを使用する、高速かつ軽量なJAASログイン・モジュール実装です。ユーザー、ロールおよびポリシーの情報は、通常はOC4Jインスタンスレベル・ファイルsystem-jazn-data.xmlに格納されます。

  これがデフォルトのセキュリティ・プロバイダです。

• LDAPベース・プロバイダ: Oracle Identity Management

  第8章「Oracle Identity Management」で説明しているように、Oracle Internet Directoryをユーザー・リポジトリとして使用する場合（Oracle Single Sign-Onの共用の有無は問わない）は、このセキュリティ・プロバイダを使用します。Oracle Identity Managementプロバイダは、情報を集中的に格納するためのLightweight Directory Access Protocol（LDAP）に準拠しています。ユーザー、ロール、レルムおよびポリシー情報は、Oracle Internet Directoryに格納されます。

  この本番環境向けのセキュリティ・プロバイダは、スケーラブルかつセキュアな、Oracle Single Sign-Onと統合されたエンタープライズ対応のセキュリティ・プロバイダです。

  Oracle Identity Managementを使用するためには、OC4JをOracle Internet Directoryインスタンスと関連付ける必要があります。

• 外部LDAPプロバイダ

  Oracle Application Serverでは、第10章「外部LDAPセキュリティ・プロバイダ」で説明しているように、Sun Java System Directory ServerやMicrosoft Active Directoryなどの外部（サード・パーティ）LDAPプロバイダがサポートされています。外部LDAPプロバイダにより、ログイン・モジュールLDAPLoginModuleが実装されます。

• カスタム・セキュリティ・プロバイダ

  Oracle Application Serverでは、ユーザーまたはサード・パーティが、アプリケーションに特別な認証機能を実装できるように、カスタム・ログイン・モジュールを使用してカスタム・セキュリティ・プロバイダを実装できます。これについては、第9章「ログイン・モジュール」で説明しています。カスタム・ログイン・モジュールでは、標準のJAASログイン・モジュール・インタフェースが実装されます。カスタム・ログイン・モジュールは、Oracle Enterprise Manager 10gを介してアプリケーションをデプロイするときに構成できます。この構成は、OC4Jのsystem-jazn-data.xmlファイルに格納されます。

  カスタム・ログイン・モジュールのサポートは、ファイルベース・プロバイダの拡張を介して実装されます。

• Oracle Access Manager（旧称Oracle COREid Access and Identity）

  OC4J 10.1.3.x実装より、セキュリティ・プロバイダの選択肢にOracle Access Managerが追加されました（第11章「Oracle Access Manager」を参照）。これは、集中的なセキュリティ管理を提供するエンタープライズ・クラスの認証、認可および監査ソリューションです。Oracle Access Managerには、様々なアプリケーション・サーバー、レガシー・アプリケーションおよびデータベースにわたる異機種間アプリケーション環境でアクセス制御、シングル・サインオン（Oracle Single Sign-Onとは別）、パーソナライズおよびユーザー・プロファイル管理を行うための機能が含まれています。Oracle Access Managerによりログイン・モジュールCoreIDLoginModuleが実装されます。

  注意 このマニュアルでは、次の用語に注意してください。 「ファイルベース・プロバイダ」と「XMLベース・プロバイダ」（「JAZN-XML」とも呼ばれる）は、同義語です。 Oracle Application Serverとの関連では、用語「LDAPベース・プロバイダ」（「JAZN-LDAP」とも呼ばれる）は、Oracle Identity ManagementおよびそのリポジトリであるOracle Internet Directoryを意味します。 OC4J 10.1.3.x実装では、用語「カスタム・セキュリティ・プロバイダ」は、基本的には「カスタム・ログイン・モジュール」と同義です。

図3-1に、サポートされているセキュリティ・プロバイダがどのようにセキュリティ・プロバイダ・フレームワーク全体と対話するかを示します。

図3-1    OC4Jセキュリティ・アーキテクチャ

画像の説明

OC4J環境での認証機能の概要

この項では、OC4Jにおける認証に関する次の項目について説明します。

• サポートされるWebアプリケーションの認証方式

• OC4Jログイン・モジュールの概要

• Oracle Application Serverシングル・サインオン代替方法の概要

• JAZNUserManagerの委任（ファイルベース・プロバイダ）

サポートされるWebアプリケーションの認証方式

OC4Jでは、Basic、Digest、フォームベースおよびClient-Certという標準的な認証方式がサポートされます。これら認証方式の概要は「Webアプリケーションの標準認証方式」に記載されています。また、認証方式は標準のweb.xmlファイルに構成されています。詳細は、「認証方式（auth-method）の指定」を参照してください。

OC4Jでは、Oracle Application ServerとOC4Jに提供されている、各種シングル・サインオン認証方式もサポートされます。これら認証方式の概要は、以降の「Oracle Application Serverシングル・サインオン代替方法の概要」に記載されています。また、この項には詳細の参照先も記載されています。

OC4Jログイン・モジュールの概要

Oracleは、次のログイン・モジュールを提供しています。

• RealmLoginModule。ファイルベース・プロバイダまたはOracle Identity Management用のデフォルト・ログイン・モジュールです（「RealmLoginModule」を参照）。

• LDAPLoginModule。LDAP外部プロバイダ用です（「外部LDAPプロバイダの構成と管理の概要」を参照）。

• DBTableOraDataSourceLoginModule。データベースのユーザー・リポジトリ用です。DataSourceUserManagerクラスの以前の機能と置き換えられました（「DBTableOraDataSourceLoginModule」を参照）。

• CoreIDLoginModule。Oracle Access Managerとともに使用するためのものです
  （「Oracle Access Managerログイン・モジュールの構成」を参照）。

OC4Jでは、ログイン・モジュール標準に準拠するカスタム・ログイン・モジュールもサポートされます。このことについては、第9章「ログイン・モジュール」全体で説明しています。

Oracle Application Serverシングル・サインオン代替方法の概要

シングル・サインオンとは、ユーザーが一度ログインすると、OC4のインスタンスまたはクラスタ内で複数のWebアプリケーションにアクセスできる機能のことです。次のシングル・サインオン認証方式は、Oracleに固有です。これらの認証方式を使用するかどうかは、標準のweb.xmlファイルではなく、Oracleのorion-application.xmlファイルの構成で指定されます。

• SSO

  この認証方式の場合、ユーザーの認証にはOracleAS Single Sign-Onが使用されます。このためには、Oracle Identity Management、Oracle Internet DirectoryおよびOracleAS Single Sign-Onを含むOracle Application Serverインフラストラクチャが必要です。OracleAS Single Sign-Onの詳細は、第8章「Oracle Identity Management」を参照してください。

• COREIDSSO

  この認証方式の場合、ユーザーの認証にはOracle Access Managerシングル・サインオン（OracleAS Single Sign-Onとは異なる）が使用されます。このためには、Oracle Access Managerを含むインフラストラクチャが必要です。Oracle Access Manager SSOの詳細は、第11章「Oracle Access Manager」を参照してください。

• CUSTOM_AUTH（Javaシングル・サインオン用）

  OC4J 10.1.3.1実装の新機能であるJava SSOは、小規模なデプロイメント環境を希望するカスタマ向けの代替SSOソリューションであり、OC4Jにパッケージ化されています。Java SSOを適切に構成し、有効化すると、OC4Jアイデンティティ管理フレームワーク（概要は、「アイデンティティ管理フレームワークとAPIの一般的な使用の概要」を参照）のCUSTOM_AUTH設定によってJava SSOが有効になります。Java SSOは、アイデンティティ管理フレームワークのデフォルト実装です。Java SSOはOC4Jコンテナ自体の一部としてパッケージ化されており、追加インフラストラクチャを必要としません。Java SSOの詳細は、第14章「OC4J Javaシングル・サインオン」を参照してください。

JAZNUserManagerの委任（ファイルベース・プロバイダ）

OracleAS JAAS Provider JAZNUserManagerによって、OC4Jの認証が調整されます。Webアプリケーションの場合、HTTPリクエストをターゲット・サーブレットにディスパッチする前に、JAZNUserManagerが認証対象ユーザーの情報（SSO用Oracle HTTP Server mod_ossoモジュールなどによって設定）をHTTPリクエスト・オブジェクトから取得し、JAASサブジェクトをOC4J内に設定します。

JAZNUserManagerは、後述するように委任モデルをサポートしますが、実質的にはこれはファイルペース・プロバイダにのみ適用されます。委任を使用すると、ユーザーまたはグループがアプリケーションレベルJAZNUserManagerインスタンスに見つからない場合、リクエストが親ユーザー・マネージャに委任されます。

次の制限事項および説明に特に注意してください。

• アプリケーションと親アプリケーションが両方ともファイルベース・プロバイダを使用するように構成されている場合、親がファイルベース・プロバイダを使用する構成でなくなるまで、必要なだけ親階層をさかのぼって委任が行われます。委任はそのポイントを越えては伝播されません。

• アプリケーションがファイルベース・プロバイダを使用するように構成され、親がLDAPベース・プロバイダ、外部LDAPプロバイダまたはカスタム・ログイン・モジュールを使用するように構成されている場合、委任はサポートされません。

• アプリケーション自体がLDAPベース・プロバイダ、外部LDAPプロバイダまたはカスタム・ログイン・モジュールを使用するように構成されている場合、委任はサポートされません。

  重要 これは、開発者がJAZNUserManagerのかわりに提供したUserManager実装にも適用されます。ただし、開発者提供のUserManagerクラスは、OC4J 10.1.3.x実装では非推奨になっており、将来のリリースではサポートされない予定です。かわりとしてカスタム・ログイン・モジュールを使用してください。

  注意 OC4Jでは、systemアプリケーションが階層のルートにありますが、defaultアプリケーションがデプロイされたアプリケーションのデフォルトの親です。両方ともsystem-jazn-data.xmlをユーザー・リポジトリとして使用します。

  関連項目 「Webアプリケーションの標準認証方式」

OC4J環境での認可機能の概要

OC4J環境の認可には次のような機能があります。詳細は、第5章「OC4Jでの認可」を参照してください。

• Java 2セキュリティおよびコードベース・ポリシー管理のサポート（標準のjava2.policyファイルの使用を含む）。

• JAASモードの設定。これにより、標準SubjectクラスのdoAs()メソッドおよびdoAsPrivileged()メソッドに関連するセキュリティ動作が決定されます。

• パーミッションの付与、チェックおよび取消し（Oracle権限クラスRMIPermission、AdminPermission、RoleAdminPermission、JAZNPermissionおよびRealmPermission）。

• JAASポリシーの管理。

• Java Authorization Contract for Containersの実装。

セキュリティ・ロール・マッピングの概要

OC4Jでは、標準のディスクリプタに定義されたJ2EE論理ロール（単に「J2EEロール」と呼ばれます）をデプロイ・ロール（このドキュメントの以前のバージョンでは「JAASロール」と呼ばれていました）にマップし、特定のデプロイ・ロールのメンバーであるユーザーがリソースにアクセスできるようにします。このリソースには、関連付けられたJ2EEロールからアクセスできます。デプロイ・ロールはセキュリティ・プロバイダ内に定義されます。たとえば、ファイルベース・プロバイダの場合はsystem-jazn-data.xmlに、LDAPベース・プロバイダの場合はOracle Internet Directoryに、外部LDAPプロバイダの場合はカスタム・ログイン・モジュールまたはOracle Access Managerに定義されます。

セキュリティ・ロールの構成およびマッピングの基本的な手順は、次のとおりです。

1. 標準のJ2EE機能を使用して、J2EE論理ロールをデプロイメント・ディスクリプタ（web.xmlおよびejb-jar.xml）に指定します。この手順には、OC4J固有のものはありません。J2EEロールは、<security-role>要素で宣言されます。

2. 必要に応じて、アプリケーション・コード内に定義されたアプリケーション論理ロールを<security-role>要素に宣言されたJ2EEロールにリンクするためのセキュリティ・ロール参照を指定します。これは、標準のデプロイメント・ディスクリプタ内で<security-role-ref>要素を使用して行えます。このメカニズムを利用することで、アプリケーション・コードを変更せずに論理セキュリティ・ロールの定義を調整することができます。後は、希望するようにJ2EE論理ロールをアプリケーション・ロールにリンクするのみです。この手順には、OC4J固有のものはありません。

3. デプロイ・ロールを構成するか、デフォルトのロールを使用します。たとえばファイルベース・プロバイダの場合、デプロイ・ロールが定義されている場所はOC4Jのsystem-jazn-data.xmlファイル、またはアプリケーション固有のjazn-data.xmlファイルです。LDAPベース・プロバイダの場合、デプロイ・ロールはOracle Internet Directoryに定義されています。

4. J2EEロールをデプロイ・ロールにマップします。これを行うには、Application Server Controlを使用して、マッピングをorion-application.xml、orion-ejb-jar.xmlまたはorion-web.xmlの<security-role-mapping>要素に反映します。

   関連項目 「セキュリティ・ロールのマッピング」 「Webアプリケーションのセキュリティ・ロールおよび制約の構成」 「EJBアプリケーションの認証と認可」

アイデンティティ管理フレームワークとAPIの一般的な使用の概要

OC4J 10.1.3.1実装には、新機能であるサード・パーティのアイデンティティ・リポジトリ用の汎用目的サポートが用意されています。このサポートには、次のような機能があります。

• 交換可能なアイデンティティ管理フレームワーク。これにより、異機種サード・パーティ・システムをOC4Jに統合し、J2EEアプリケーションをサード・パーティ・システムと相互運用することができます。サード・パーティのアイデンティティ管理システムとOC4Jとの統合は、標準のJAASログイン・モジュールに基づいています。

  このフレームワークの使用方法、プログラム・インタフェース、構成機能などは、
  第13章「交換可能なアイデンティティ管理フレームワーク」を参照してください。

  Java SSOは代替のJavaシングル・サインオン・ソリューションであり、他のシングル・サインオン製品で必要な追加インフラストラクチャに依存しません。Java SSOは交換可能なアイデンティティ管理フレームワークを介して実装されます。Java SSOは、
  第14章「OC4J Javaシングル・サインオン」を参照してください。

• 異種のアイデンティティ管理リポジトリからユーザーとロールの情報にアクセスするためのアイデンティティ管理APIのフレームワーク。このユーザーとロールのAPIフレームワークでは、基礎となるアイデンティティ・リポジトリに関係なく、一貫した移植可能な方法でアプリケーションがアイデンティティ情報（ユーザーとロール）にアクセスできます。基礎となるリポジトリは、Oracle Internet Directory、Active Directory（Microsoft社提供）、Sun Java System Directory Server（Sun社提供）などのLDAPディレクトリ・サーバー、データベース、フラット・ファイルまたは他のカスタム・リポジトリのいずれでも可能です。サポートされる操作には、ユーザーとロールの検索、作成、更新、削除などがあります。

  第13章で説明する交換可能なアイデンティティ管理フレームワークとの混同を避けるために、このアイデンティティ管理APIフレームワークを「ユーザーおよびロールAPI」または「ユーザーおよびロールAPIフレームワーク」と呼びます。これらAPIの使用方法は、第12章「ユーザーおよびロールAPIフレームワーク」を参照してください。