新機能

この項では、リリース10.1.2.0.2以降の新機能について説明します。

• リリース10.1.3.4での変更点

• リリース10.1.3.1での変更点

• リリース10.1.3.0.0での変更点

リリース10.1.3.4での変更点

OC4J 10.1.3.4実装では、次のセキュリティ機能と拡張が追加されました。

重要な変更点と追加点

OC4J 10.1.3.4実装での次の重要な追加点に注意してください。

• OC4JおよびJava SSOで、Windowsのネイティブ認証およびKerberoseがサポートされるようになりました。Windowsデスクトップでのログインに基づいて、OC4J Webアプリケーションのユーザーを自動的に認証できます。詳細は、第21章「Windowsのネイティブ認証の構成」を参照してください。

• HTTPクライアントAPIを使用してリクエスト・ヘッダーにBasic、DigestおよびNTLMの認証情報を含める方法の説明が追加されました。詳細は、「非SSLクライアント認証の使用方法」を参照してください。

• OC4Jコンテナ内にサブジェクトを設定する方法の説明が追加されました。「OC4Jコンテナへのサブジェクトの設定」を参照してください。

• 10.1.3.1リリース以降のドキュメント正誤表の項目は、Oracle Containers for J2EEセキュリティ・ガイドのこのリリースですでに修正されています。

更新された非推奨事項

OC4J 10.1.3.4実装での次の非推奨事項に注意してください。

• Oracle Java SSLは非推奨であり、HTTPClientでは使用されなくなりました。JDKのデフォルトのJSSE実装が、HTTPClientのデフォルトのSSL実装となりました。

リリース10.1.3.1での変更点

この項では、OC4J 10.1.3.1実装での変更点と更新された非推奨事項を示します。この後の「リリース10.1.3.0.0での変更点」も確認してください。

重要な変更点と追加点

OC4J 10.1.3.1実装での次の重要な追加点に注意してください。

• サード・パーティ提供の異種アイデンティティ管理システムをサポートするアイデンティティ管理フレームワーク

• Java SSO（OC4J付属の代替シングル・サインオン・ソリューション。Oracle Single Sign-OnやOracle Access Managerシングル・サインオンと同じように追加のインフラストラクチャを必要とせず、使用するアイデンティティ管理システムからOC4Jを切り離す。）

• DataSourceUserManager機能にかわるDBTableOraDataSourceLoginModule

• 新しいユーザーおよびロールAPIフレームワーク（特に、サポートされているLDAPサーバーで使用され、非推奨のUserManager、User、Groupの各クラスにかわる機能が含まれる）

また、次の変更点にも注意してください。

• JDKのデフォルトのJSSE実装が、HTTPClientのデフォルトのSSL実装となりました。（これにより、これまでHTTPClientに対するデフォルトのSSL実装であったOralceSSLは非推奨となります。）

更新された非推奨事項

OC4J 10.1.3.1実装での次の非推奨事項に注意してください。

• com.evermind.securityパッケージとそのクラスは非推奨になりました。リリース11gでは、これらがサポートされなくなります。
  • UserManagerクラス: カスタムcom.evermind.security.UserManager実装のかわりに、JAASカスタム・ログイン・モジュールを使用してください。

  • Userクラス: かわりに標準のJAAS APIを使用してください。

  • Groupクラス: かわりに標準のJAAS APIを使用してください。

• XMLUserManagerクラスおよびそのデータ・ストアであるprincipals.xmlは、非推奨になりました。リリース11gでは、これらがサポートされなくなります。移行手順は、「principals.xmlファイルからのプリンシパルの移植」を参照してください。

リリース10.1.3.0.0での変更点

OC4J 10.1.3.0.0実装では、次のセキュリティ機能と拡張が追加されました。

• COREid Access（現在のOracle Access Manager）セキュリティ・プロバイダのサポート

• スタンドアロンOC4JでのLDAPベース・プロバイダのサポート

• Digest認証のサポート、およびクライアント証明の認証および認可のサポート

• Java Authorization Contract for Containers（JSR-115）の実装

• JAASのEJBとの統合

• SSLのためのORMI拡張（ORMIS）

• サブジェクト伝播（およびORMIまたはORMIS）のサポート

• セキュリティ構成のためのJMXおよびMBeanのサポート（JSR-77）

• 新しいOC4Jユーザーおよびロールのアカウント（後述を参照）

• 拡張されたJava 2セキュリティのサポート

• Web Services Security（別のマニュアルに記載）

さらに、OC4J 10.1.2実装以降には、次のような変更があります。

• 認可用として新しく統合されたJAASモードがあります（サーブレット用とEJB用の両方）。このモードは、以前の機能である、サーブレット用のrunas-modeおよびdosasprivileged-mode機能、ならびにEJB用のUSE_JAAS機能（10.1.3より前のリリースで導入）に取ってかわるものです。以前の機能もサポートされていますが、OC4J 10.1.3.x実装では非推奨になりました。

• 以前の各リリースで、ユーザーおよびロール構成（ファイルベース・プロバイダの場合）、ポリシー構成（ファイルベース、外部LDAPまたはカスタム・セキュリティ・プロバイダの場合）およびログイン・モジュール構成（すべてのセキュリティ・プロバイダの場合）を格納するために使用されたインスタンスレベルのjazn-data.xml構成ファイルは、system-jazn-data.xmlに名前が変更されました。ただし、アプリケーションでは、ファイルベース・プロバイダ用にユーザーおよびロール構成を格納するために、必要に応じてアプリケーション固有のjazn-data.xmlリポジトリ・ファイルを使用できます。

• XMLUserManagerクラスおよびこのクラスのデータ・ストアであるprincipals.xmlは非推奨になり、将来のリリースではサポートされなくなります。このため、既存のアプリケーションを移行することをお薦めします。移行手順は、「principals.xmlファイルからのプリンシパルの移植」を参照してください。

• カスタムのUserManagerクラスは、このリリースでもサポートされていますが、将来のリリースでは廃止される予定です。カスタムcom.evermind.security.UserManager実装のかわりに、JAASカスタム・ログイン・モジュールを使用してください。

• Oracle Identity Managementセキュリティ・プロバイダでは、アプリケーション・レルムおよび外部レルムは非推奨です。

• external.synchronizationプロパティはサポートされなくなりました。

• jaas.username.simpleプロパティのデフォルト設定はtrueになりました。OC4J 10.1.2実装では、デフォルト設定はfalseでした。これにより、getUserPrincipal()やgetRemoteUser()（サーブレットの場合）、getCallerPrincipal()（EJBの場合）などのメソッドから戻される認証済プリンシパルの名前において、レルム名がデフォルトで省略されるようになりました。

• OC4Jアカウント名にいくつかの変更があります。adminアカウントはoc4jadminに、administratorsロールはoc4j-administratorsに、jmx-usersロールはoc4j-app-administratorsになりました。スタンドアロンOC4Jのファイルベース・プロバイダの場合、oc4jadminは最初は非アクティブです。「事前定義アカウント」を参照してください。

• 必要なOC4Jアカウントは、OC4JインスタンスをOIDインスタンスに関連付けるときに自動的にOracle Internet Directoryに作成されます。「Oracle Internet Directoryに作成される必須アカウント」を参照してください。

• OC4J 10.1.3.x実装からは、LD_LIBRARY_PATHを設定する必要がなくなりました。

• ロギング用のjazn.debug.log.enableフラグがサポートされなくなりました。通常のOC4Jロギング機能を使用してください。「ロギング」を参照してください。