5 セキュリティ管理

この章では、管理者が使用できるツール、およびアプリケーションのセキュリティを管理するための一般的なタスクについて説明します。この章の内容は次のとおりです。

• テクノロジに応じた管理ツールの選択

• 基本的なセキュリティ管理タスク

• Fusion Middleware Controlを使用した一般的なセキュリティ操作

• 管理コンソールを使用した一般的なセキュリティ操作

• Oracle Authorization Policy Managerを使用した一般的なセキュリティ操作

• WLSTコマンドを使用した一般的なセキュリティ操作

高度な管理タスクは、付録E「WLSTスクリプトおよびMBeanプログラミングを使用した管理」を参照してください。

5.1 テクノロジに応じた管理ツールの選択

セキュリティ管理者が使用できる基本ツールは、Oracle Enterprise Manager Fusion Middleware Control、Oracle WebLogic管理コンソール、Oracle Authorization Policy ManagerおよびOracle WebLogic Scripting Tool（WLST）の4点です。これらのツールおよびその他のツールの詳細は、Oracle Fusion Middlewareの管理者ガイドの第3章「Oracle Fusion Middlewareの管理を開始するにあたって」を参照してください。

アプリケーションのセキュリティ管理に使用するツールを決定する基準は、そのアプリケーションでコンテナ管理セキュリティ（JavaEEアプリケーション）のみを使用するのか、Oracle ADFのセキュリティ（Oracle ADFアプリケーション）も扱うのかという点です。

Oracle Application Development Framework（Oracle ADF）アプリケーション、Oracle Service Oriented Architecture（SOA）アプリケーション、WebCenterアプリケーションなどのOracle固有のアプリケーションのデプロイ、保護およびメンテナンスにはFusion Middleware ControlおよびOracle Authorization Policy Managerを使用します。

サード・パーティが開発したアプリケーション、JavaSEアプリケーション、JavaEEアプリケーションなどその他のアプリケーションのデプロイ、保護および管理には、Oracle WebLogic管理コンソールまたはWLSTを使用することが普通です。

Javaアプリケーションを開発するための推奨ツールは、Oracle JDeveloper 11gです。このツールは、専用のグラフィカル・エディタによって、開発者によるファイルベースのアイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアの構成を支援します。特に、Oracle ADFアプリケーションを開発する際は、開発者はウィザードを実行してOracle ADFリソースに関連付けられたWebページに対するセキュリティ（Oracle ADFタスク・フローやページ定義など）を構成し、ファイルjazn-data.xml専用の視覚的なエディタを使用してセキュリティ・アーティファクトを定義できます。

手順の詳細と関連トピックは、Oracle JDeveloperオンライン・ヘルプ・ドキュメントの次の項を参照してください。

• Oracle ADFのセキュリティを使用したWebアプリケーションの保護に関する項

• Java EE Securityを使用したWebアプリケーションの保護に関する項

• セキュリティ制約に対する代替としてのOracle ADFのセキュリティに関する項

• Webアプリケーションの保護に関する項

Oracle ADFのセキュリティおよびそれとOracle JDeveloperとの統合の詳細は、『Oracle Fusion Middleware Oracle Application Development Framework Fusion開発者ガイド』のOracle ADFのセキュリティの設計時ツールへのアクセスに関する項を参照してください。

Oracle Authorization Policy Managerの詳細は、Oracle Authorization Policy Manager管理者ガイドを参照してください。

5.2 基本的なセキュリティ管理タスク

表5-1は、いくつかの基本的なセキュリティ・タスクとそれらを実行するために使用するツールのリストです。アプリケーションのセキュリティの構成と管理に使用するツールは、アプリケーションのタイプに応じて選択します。コンテナ管理セキュリティのみを使用するJavaEEアプリケーションの場合は、Oracle WebLogic管理コンソールを使用します。OPSS認可を使用するOracle ADFアプリケーションの場合は、Fusion Middleware ControlとOracle Authorization Policy Managerを使用します。

次に示すツールを使用せずに手動で設定することはお薦めしません。Oracle WebLogic管理コンソールを使用する方法は、次の表に続いて示す各リンクを参照してください。Oracle Authorization Policy Managerの詳細は、Oracle Authorization Policy Manager管理者ガイドを参照してください。

5-1 基本的な管理セキュリティ・タスクとツール

タスク	Fusion Middleware Controlの「セキュリティ」メニューで選択する項目	その他のツール
WebLogicドメインの構成		WebLogic管理コンソール
WebLogicセキュリティ・レルムの構成		WebLogic管理コンソール
WebLogicドメイン認証プロバイダの管理		WebLogic管理コンソール
MSクライアント、WebブラウザおよびHTTPクライアントに対するSSOの有効化		WebLogic管理コンソール
ドメイン管理アカウントの管理		WebLogic管理コンソール
アイデンティティ・ストア・サービスの構成		WebLogic管理コンソール
Oracle ADFアプリケーションに対する資格証明の管理	資格証明
Oracle ADFアプリケーションでの匿名ロールの有効化	セキュリティ・プロバイダの構成
Oracle ADFアプリケーションでの認証ロールの有効化	セキュリティ・プロバイダ構成
Oracle ADFアプリケーションでのJAASの有効化	セキュリティ・プロバイダ構成
Oracle ADFアプリケーションでのエンタープライズ・グループへのアプリケーション・グループのマップ	アプリケーション・ロールまたはアプリケーション・ポリシー	Oracle Authorization Policy Manager
Oracle ADFアプリケーションでのシステム全体のポリシーの管理	システム・ポリシー
OPSSのプロパティの構成	セキュリティ・プロバイダ構成
ドメイン・ポリシーおよび資格証明ストアの再関連付け	セキュリティ・プロバイダ構成

前述のタスクのためのOracle WebLogic管理コンソールの使用方法の詳細は、次のドキュメントを参照してください。

• 管理コンソールの一般的な使用方法は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプを参照してください。

• WebLogicドメインを構成する方法は、『Oracle Fusion Middleware Understanding Domain Configuration for Oracle WebLogic Server』を参照してください。

• WebLogicセキュリティ・レルムを構成する方法は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』の新しいセキュリティ・レルムの作成および構成の主要な手順に関する項を参照してください。

• WebLogicドメイン認証プロバイダを管理する方法は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』の第5章を参照してください。

• MSクライアントでSSOを構成する方法は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』の第6章を参照してください。

• ドメイン管理アカウントを管理する方法は、『Oracle Fusion Middleware Securing Resources Using Roles and Policies for Oracle WebLogic Server』の第6章を参照してください。

• LDAPアイデンティティ・ストアの構成の詳細は、第3.1.4.1項「アイデンティティ・ストア・サービスの構成」を参照してください。

注意: OPSSでは、サーバー・ファイルの自動バックアップおよび自動リカバリはサポートされません。サーバー管理者が、必要に応じてすべてのサーバー構成ファイルを定期的にバックアップすることをお薦めします。 Oracle Fusion Middlewareのバックアップとリカバリの詳細は、Oracle Fusion Middlewareの管理者ガイドの第15章「バックアップとリカバリの概要」を参照してください。

5.2.1 新しい本番環境の設定

既存の環境に基づいた新しい本番環境は、次の方法で設定できます。

• Oracleクローニング・ユーティリティを使用して、構築済の環境をレプリケートします。詳細は、Oracle Fusion Middlewareの管理者ガイドのOracle Fusion Middlewareエンティティのクローニングに関する項を参照してください

• 構築済の環境を設定したときと同様にソフトウェアを再インストールし、環境を構成します。

5.3 Fusion Middleware Controlを使用した一般的なセキュリティ操作

Fusion Middleware Controlは、アプリケーションのネットワークの管理を1か所でできるようにするWebベースのツールです。Oracle SOAアプリケーション、Oracle ADFアプリケーション、Oracle WebCenter、およびOPSSを使用するその他のOracleアプリケーションのデプロイ、構成、監視、診断および監査にFusion Middleware Controlを使用します。この項では、セキュリティ関連の操作についてのみ説明します。

このツールには、セキュリティに関連する様々な管理タスクが用意されています。管理者は、このツールを使用して次のタスクを実行できます。

• インストール後、アプリケーションをデプロイする前にポリシー・ストアと資格証明ストアを再関連付けします。詳細は、第7.2.1項「Fusion Middleware Controlを使用したドメイン・ストアの再関連付け」を参照してください。

• インストール後、アプリケーションをデプロイする前にOPSSのプロパティを定義します。詳細は、第7.5項「Oracle Fusion Middleware Controlを使用したその他のアーティファクトの構成」を参照してください。

• デプロイ時に、ファイルベースのアプリケーション・ポリシーおよび資格証明からLDAPベースのドメイン・ポリシーおよび資格証明への自動的な移行を構成します。

  詳細は、次の各項を参照してください。

  • 第6.3項「テスト環境へのOracle ADFアプリケーションのデプロイ」

  • 第7.3.1項「Fusion Middleware Controlを使用したアプリケーション・ポリシーの移行」

  • 第8.4.1項「Fusion Middleware Controlを使用したアプリケーション資格証明の移行」

• アプリケーションのデプロイ後、そのアプリケーションで次のタスクを実行できます。

  • アプリケーション・ポリシーの管理。詳細は、第7.4.1.1項「アプリケーション・ポリシーの管理」を参照してください。

  • 資格証明の管理。詳細は、第8.5.1項「Fusion Middleware Controlを使用した資格証明の管理」を参照してください。

  • アプリケーション・ロールからユーザー、グループおよびアプリケーション・ロールへのマッピングの指定。詳細は、第7.4.1.2項「アプリケーション・ロールの管理」を参照してください。

• ドメインでのシステム・ポリシーの管理。詳細は、第7.4.1.3項「システム・ポリシーの管理」を参照してください。

• ドメインでのOPSSのプロパティ管理。詳細は、第7.5項「Oracle Fusion Middleware Controlを使用したその他のアーティファクトの構成」を参照してください。

セキュリティ管理タスクの要約およびこれらのタスクの実行に使用するツールは、「基本的なセキュリティ管理タスク」を参照してください。

その他の機能の詳細は、Fusion Middleware Controlオンライン・ヘルプ・ドキュメントを参照してください。

5.4 管理コンソールを使用した一般的なセキュリティ操作

Oracle WebLogic管理コンソールは、Webベースのツールであり、いくつかある機能の中でも特に、アプリケーションのデプロイと再デプロイ、ドメインの構成およびアプリケーション・ステータスの監視ができます。この項では、セキュリティ関連の操作についてのみ説明します。

Oracle WebLogic管理コンソールで実行する一般的なタスクは、次のとおりです。

• Oracle WebLogic Serverの起動および停止。詳細は、『Oracle Fusion Middleware Managing Server Startup and Shutdown for Oracle WebLogic Server』のサーバーの起動と停止に関する項を参照してください。

• Oracle WebLogic Serverおよびドメインの構成。詳細は、『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』の既存のドメインの構成に関する項を参照してください。

• アプリケーションのデプロイ。詳細は『Oracle Fusion Middleware Deploying Applications to Oracle WebLogic Server』を参照してください。

• フェイルオーバー・サポートの構成。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverクラスタの使い方』のクラスタでのフェイルオーバーとレプリケーションに関する項を参照してください。

• WebLogicドメインおよびWebLogicレルムの構成。

• ドメイン認証プロバイダでのユーザーおよびグループの管理。

• MSクライアント、WebブラウザおよびHTTPクライアントに対するシングル・サインオンの使用の有効化。

• 管理ユーザーおよび管理ポリシーの管理。

Oracle WebLogic管理コンソールの詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプを参照してください。

5.5 Oracle Authorization Policy Managerを使用した一般的なセキュリティ操作

Oracle Authorization Policy Managerで実行する一般的なセキュリティ・タスクは、次のとおりです。

• アプリケーションのセキュリティ・アーティファクトの検索。

• ポリシーなどの、アプリケーションのセキュリティ・アーティファクトの管理。

• 外部のロールの階層の表示。

• アプリケーション・ロールの階層の管理。

Oracle Authorization Policy Managerを使用したアプリケーション・セキュリティの管理で最も頻繁に使用するセキュリティ・タスクのリストは、Oracle Authorization Policy Manager管理者ガイドを参照してください。

5.6 WLSTコマンドを使用した一般的なセキュリティ操作

Oracle WebLogic管理コンソールで利用できる大半の操作は、WLSTコマンドで実行できます。WLSTコマンドは、ドメインの構成やアプリケーションのデプロイメントなどの管理タスクのスクリプト作成と自動化を実現するコマンドライン・インタフェースです。

このガイドで取り上げているセキュリティ関連のWLSTコマンドのリストは、付録I「WLSTセキュリティ・コマンド」を参照してください。すべてのWLSTコマンドのリストは、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』を参照してください。