Oracle® Fusion Middleware Oracle WebLogic Server Security プログラマーズ ガイド 11g リリース 1 (10.3.1) B55520-01 |
|
戻る |
次へ |
以下の節では、このマニュアル『WebLogic Security プログラマーズ ガイド』の内容と構成について説明します。
このマニュアルでは、WebLogic Server のセキュリティ プログラミング機能の使用方法を説明します。
WebLogic Server のセキュリティに関するその他のドキュメントについては、「関連情報」を参照してください。
このマニュアルは、以下の読者を対象としています。
アプリケーション開発者
クライアント アプリケーションの開発と、Web アプリケーションおよびエンタープライズ JavaBean (EJB) へのセキュリティ機能の付加を主な業務とする Java プログラマです。他のエンジニアリング チームや品質保証 (QA) チーム、データベース チームと連携して、セキュリティ機能を実装します。アプリケーション開発者は、Java (サーブレットや JSP などの Java Platform, Enterprise Edition (Java EE) バージョン 5 コンポーネントと JSEE)、および Java セキュリティについて実用的かつ深い知識を備えています。
アプリケーション開発者は、WebLogic セキュリティと Java 2 セキュリティ アプリケーション プログラミング インタフェース (API) を使用してアプリケーションのセキュリティを確保します。したがって、このマニュアルは Web アプリケーション、Java アプリケーション、およびエンタープライズ JavaBean (EJB) のセキュリティを確保するためにそれらの API を使用する手順を紹介します。
セキュリティ開発者
WebLogic Server に統合されるセキュリティ製品のシステム アーキテクチャとインフラストラクチャの定義と、WebLogic Server で使用するカスタム セキュリティ プロバイダの開発を主な業務とする開発者です。アプリケーション設計者と連携して、セキュリティ アーキテクチャを、確実に設計に従ってセキュリティ ホールが発生しないように実装します。また、セキュリティが確実に正しくコンフィグレーションされるよう、WebLogic Server の管理者とも連携します。セキュリティ開発者は、認証、認可、監査 (AAA)、Java Management eXtension (JMX) などの Java に対する深い知識、および WebLogic Server とセキュリティ プロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
セキュリティ ベンダは、セキュリティ サービス プロバイダ インタフェース (SSPI) を使用して WebLogic Server で使用するカスタム セキュリティ プロバイダを開発します。このタスクについてはこのマニュアルで扱いません。SSPI を使ってカスタム セキュリティ プロバイダを開発する方法については、『Oracle Fusion Middleware Oracle WebLogic Server セキュリティ プロバイダの開発』を参照してください。
サーバ管理者
アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ リスクの特定、およびセキュリティ上の問題を防止するコンフィグレーションの提案を行う管理者です。関連する責務として、重要なプロダクション システムの保守、セキュリティ レルムのコンフィグレーションと管理、サーバ リソースとアプリケーション リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ プロバイダのデータベースの保守などが含まれる場合もあります。WebLogic Server の管理者は、Web アプリケーションと EJB のセキュリティ、公開鍵セキュリティ、および SSL を含む、Java セキュリティ アーキテクチャについて深い知識を備えています。
アプリケーション管理者
アプリケーション管理者は、WebLogic Server の管理者と連携してセキュリティ コンフィグレーション、認証および認可方式を実装および管理したり、定義されたセキュリティ レルムでデプロイされたアプリケーション リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティ アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバ ログおよび監査ログでセキュリティ イベントを特定できます。
管理者は通常、アプリケーションを実際に稼働させるときに、Administration Console を使用してアプリケーションのデプロイ、コンフィグレーション、および管理を行いますが、アプリケーション開発者も Administration Console を使用して実際の稼働前にアプリケーションをテストする場合があります。アプリケーションをテストするときには、最低でも、アプリケーションがデプロイされてコンフィグレーションされている必要があります。このマニュアルではセキュリティに関連した管理のいくつかの側面を取り上げていません。Administration Console を使用してセキュリティ タスクを行う方法の説明については、『Oracle Fusion Middleware Oracle WebLogic Server のセキュリティ』、『Oracle Fusion Middleware Oracle WebLogic Server ロールおよびポリシーによるリソースの保護』、および『Oracle Fusion Middleware Oracle WebLogic Server Administration Console ヘルプ』を参照先として示します。
このマニュアルの構成は次のとおりです。
「WebLogic Security プログラミングの概要」では、セキュリティの必要性について解説し、WebLogic Security のアプリケーション プログラミング インタフェース (API) について説明します。
「Web アプリケーションのセキュリティ対策」では、Web アプリケーションにセキュリティを実装する方法について説明します。
「Java クライアントでの JAAS 認証の使用」では、Java クライアントに JAAS 認証を実装する方法について説明します。
「Java クライアントでの SSL 認証の使用」では、Java クライアントに SSL 認証とデジタル証明書認証を実装する方法について説明します。
「エンタープライズ JavaBean (EJB) のセキュリティ対策」では、エンタープライズ JavaBean にセキュリティを実装する方法について説明します。
「ネットワーク接続フィルタの使い方」では、ネットワーク接続フィルタを実装する方法について説明します。
「Java セキュリティを使用しての WebLogic リソースの保護」では、Java セキュリティを使用して WebLogic リソースを保護する方法について説明します。
「SAML API」では、WebLogic SAML API について説明します。
「証明書パスの作成と検証」では、証明書パスを作成および検証する方法について説明します。
「非推奨のセキュリティ API」では、API が非推奨になった weblogic.security
パッケージの一覧を示します。
注意 : このマニュアルは、WebLogic Server で使用するカスタム セキュリティ プロバイダを記述しようと考えている開発者向けではありません。カスタム セキュリティ プロバイダの開発については、『Oracle Fusion Middleware Oracle WebLogic Server セキュリティ プロバイダの開発』を参照してください。 |
このマニュアル『WebLogic Security プログラマーズ ガイド』に加え、以下のドキュメントでも WebLogic Security サービスについて説明しています。
『Oracle Fusion Middleware Oracle WebLogic Server Security の紹介』 - WebLogic Security サービスの特長を要約し、WebLogic Security サービスのアーキテクチャと機能について概説します。このマニュアルは WebLogic Security サービスを理解する上で基本となるものです。
『Oracle Fusion Middleware Oracle WebLogic Server プロダクション環境の保護』 - WebLogic Server をプロダクション環境にデプロイする前に検討すべき重要なセキュリティ対策について説明します。
『Oracle Fusion Middleware Oracle WebLogic Server セキュリティ プロバイダの開発 』 - セキュリティ ベンダとアプリケーション開発者に対して、WebLogic Server で使用できるカスタム セキュリティ プロバイダを開発するために必要な情報を提供します。
『Oracle Fusion Middleware Oracle WebLogic Server のセキュリティ』 - WebLogic Server のセキュリティのコンフィグレーション方法、および互換性セキュリティの使用方法について説明します。
『Oracle Fusion Middleware Oracle WebLogic Server ロールおよびポリシーによるリソースの保護』 - さまざまなタイプの WebLogic リソースを紹介し、WebLogic Server を使用してそれらのリソースを保護するための情報を提供します。
『Oracle Fusion Middleware Oracle WebLogic Server Administration Console ヘルプ』 - Administration Console を使用してセキュリティ タスクを実行する方法について説明します。
「WebLogic クラスの Javadoc」 - WebLogic Server ソフトウェアで提供およびサポートされている WebLogic セキュリティ パッケージのリファレンス ドキュメントです。
「関連情報」に示したドキュメントの他にも、さまざまなコード サンプルが開発者向けに用意されています。
WebLogic Server では、任意で API サンプル コードを WL_HOME\samples\server\examples\src\examples\security
にインストールできます。WL_HOME
は、WebLogic Server のインストール先の最上位ディレクトリです。WebLogic Server のスタート メニューからサンプル サーバを起動して、サンプルとその実行手順に関する情報を確認できます。
WebLogic のセキュリティ機能については、次のサンプルを参照してください。
Java 認証および認可サービス
発信および双方向 SSL
マニュアル内のセキュリティ タスクおよびサンプル コードでは、カスタム セキュリティ プロバイダではなく、WebLogic Server 配布キットの WebLogic セキュリティ プロバイダを使用することを前提にしています。カスタム セキュリティ プロバイダを使用する場合、WebLogic セキュリティ API の使い方は同じですが、カスタム セキュリティ プロバイダの管理手順が異なります。
注意 : このマニュアルでは、WebLogic セキュリティ プロバイダまたはカスタム セキュリティ プロバイダの包括的なコンフィグレーション方法については説明していません。WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダのコンフィグレーションの詳細については、『Oracle Fusion Middleware Oracle WebLogic Server のセキュリティ』を参照してください。 |
WebLogic Server のこのリリースに追加された新機能の一覧については、『Oracle Fusion Middleware Oracle WebLogic Server の新機能』を参照してください。