この章では、Oracle Platform Security Servicesでサポートされているいくつかの一般的なセキュリティ・シナリオについて説明します。また、サポートされているLDAPサーバーおよびXMLサーバー、各シナリオで管理者がセキュリティ・データを管理するために使用する管理ツール、ポリシーおよび資格証明に対するパッケージ要件についても取り上げます。
この章の内容は次のとおりです。
Oracle Platform Security Servicesでは、次のLDAPベースおよびファイルベースのリポジトリがサポートされています。
ポリシー・ストアおよび資格証明ストア:
ファイルベースの場合、ポリシー・ストアではXML、資格証明ストアではcwalletを使用できます。
LDAPベースの場合、ポリシー・ストアおよび資格証明ストアのいずれでもOracle Internet Directory(リリース10.1.4.3または11g)を使用できます。
注意: Oracle Virtual DirectoryのLSA LDAPベースのストアは、現在ではポリシー・ストアおよび資格証明ストアに対応していません。既存のOracle Virtual Directoryリポジトリを使用している場合には、それをOracle Internet Directoryに関連付けしなおす必要があります。LDAPポリシー・ストアおよび資格証明ストアの詳細は、第7.2項「ドメイン・ポリシー・ストアの再関連付け」および第8.3項「ドメイン資格証明ストアの再関連付け」を参照してください。 |
アイデンティティ・ストアでは、Oracle WebLogic ServerでサポートしているあらゆるLDAP認証プロバイダを使用できます。XMLアイデンティティ・ストアは、JavaSEアプリケーションでのみサポートされています。
重要: Oracle Internet Directory 10.1.4.3をOPSSとともに使用する場合は、Oracle Bug#8351672に対する必須の個別パッチをOracle Internet Directory 10.1.4.3に適用することをお薦めします。使用しているプラットフォームのパッチをMy Oracle Support(http://myoraclesupport.oracle.com )からダウンロードします。
最適なパフォーマンスを確保するには、Oracle Internet Directoryを次のようにチューニングすることをお薦めします。 ldapmodify -D cn=orcladmin -w <password> -v <<EOF dn: cn=dsaconfig,cn=configsets,cn=oracle internet directory changetype: modify add: orclinmemfiltprocess orclinmemfiltprocess: (objectclass=orcljaznpermission) orclinmemfiltprocess: (objectclass=orcljazngrantee) EOF |
LDAP認証プロバイダの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のLDAP認証プロバイダの構成に関する項を参照してください。特に、DefaultAuthenticatorは追加設定なしで使用できますが、その使用は、ユーザーに対してはエントリが10,000以下、グループに対してはエントリが2,500以下の開発環境に限定することをお薦めします。
ポリシーおよび資格証明は、Oracle Internet Directoryのみを使用するストアに格納できます。ポリシー・ストアと資格証明ストアのどちらもLDAPベースである場合は、同じ永続ストアを両方のストアで使用する必要があります。
セキュリティ管理者が使用できるツールは、次のとおりです。
Oracle Enterprise Manager Fusion Middleware Control
Oracle Authorization Policy Manager
WLSTコマンドおよびWLSTスクリプト
LDAPサーバー固有のユーティリティ
セキュリティ・データの管理に使用するツールは、格納するデータのタイプと、そのデータの保持に使用するストアの種類に応じて異なります。
DefaultAuthenticatorを使用してアイデンティティを格納するドメインでは、Oracle WebLogic Server管理コンソールを使用して、格納したデータを管理します。DefaultAuthenticatorに格納したデータにユーザー/ロールAPIを使用してアクセスし、ユーザー・プロファイル属性を問い合せることもできます。また、DefaultAuthenticatorでユーザーまたはグループに別の属性を挿入する場合も、アプリケーションでユーザー/ロールAPIを使用します。
重要: ドメインでDefaultAuthenticatorを使用する場合は、アプリケーションでユーザー/ロールAPIを使用してアイデンティティ・データを操作できるように、ドメイン管理サーバーを実行している必要があります。 |
この認証プロバイダの構成の詳細は、第3.1.4項「LDAP認証プロバイダの使用」を参照してください。
また、デフォルトの認証プロバイダとは異なる他のLDAPサーバー、またはDBを認証に使用する場合は、そのLDAPサーバーのサービスを使用してユーザーとグループを管理します。
ポリシーおよび資格証明は、同じ種類の記憶域(ファイルベースまたはLDAPベース)を使用する必要があり、LDAPベースの場合は、同じ種類のLDAPサーバー(Oracle Internet Directory)を使用する必要があります。
ポリシーおよび資格証明データを管理するには、「Fusion Middleware Controlを使用したポリシーの管理」および「Fusion Middleware Controlを使用した資格証明の管理」の説明に従ってFusion Middleware Controlを使用するか、「WLSTコマンドを使用したポリシーの管理」および「WLSTコマンドを使用した資格証明の管理」の説明に従ってコマンドライン・ユーティリティWLSTを使用します。
また、ポリシー・データを管理するにはOracle Authorization Policy Manager管理者ガイドの説明に従ってOracle Authorization Policy Managerを使用します。
セキュリティ・データの管理で使用する各種ツールを次にあげます。
デフォルトの認証プロバイダ: 管理コンソールを使用
その他のLDAPまたはDBストア: LDAPサーバーまたはDBに用意されているユーティリティを使用
ファイルベース: Fusion Middleware ControlまたはWLSTを使用
LDAPベース: Fusion Middleware ControlまたはWLSTを使用
ポリシーまたは資格証明を変更してもサーバーを再起動する必要はありません。jps-config.xml
を変更した場合はサーバーを再起動する必要があります。
アプリケーションをデプロイするときにドメイン・ストアにアプリケーション・ポリシーと資格証明を自動的に移行するための詳細は、「Fusion Middleware Controlを使用したアプリケーション・ポリシーの移行」および「Fusion Middleware Controlを使用したアプリケーション資格証明の移行」を参照してください。
ファイルベースのアプリケーション・ポリシーは、ファイルjazn-data.xml
で定義します。このファイルをアプリケーションとパッケージ化するためにサポートされている唯一の方法は、このファイルをEARファイルのディレクトリMETA-INFに置くことです。
ファイルベースのアプリケーション資格証明は、ファイルcwallet.sso
で定義します。このファイルをアプリケーションとパッケージ化するためにサポートされている唯一の方法は、このファイルをEARファイルのディレクトリMETA-INFに置くことです。詳細は、第14.3項「JavaEEアプリケーションの手動によるパッケージ化」を参照してください。
デプロイメントの詳細は、第6章「セキュア・アプリケーションのデプロイ」を参照してください。
注意: Oracle JDeveloperでEARファイルを生成すると、必要なすべてのファイル(および適切なセキュリティ構成)とともに、セキュアなOracle ADFアプリケーションのEARファイルが自動的にパッケージ化されます。 |
この項で解説するシナリオでは、ほとんどのOracle ADFアプリケーション、Oracle WebCenterおよびWeb Services Manager Controlで採用されているセキュリティ機能について説明します。
これらのシナリオでは、アプリケーションで次の特性を持つセキュリティ・スキームが採用されていると想定しています。
認証: WebLogicのデフォルトの認証プロバイダを使用してユーザーおよびグループを格納します。
認可: アプリケーションとパッケージ化されたファイルベースのポリシーおよび資格証明によってサポートされ、ドメイン・ポリシーおよび資格証明ストア(ファイルベースまたはLDAPベース)によってもサポートされているファイングレインJAAS認可を使用します。
ファイングレインJAAS認可を必要とするOracle ADFやOracle SOAなどのアプリケーションによって、これらのセキュリティ・スキームのいずれかが採用されていることが普通です。このような場合、個々のセキュリティ・コンポーネントは適切なツールで管理されます。
次のシナリオは、これらの想定に基づいた、基本的なテーマに対する一般的なバリエーションです。ただし、このリストですべてのバリエーションを取り上げているわけではありません。
デフォルトの認証プロバイダの構成の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプにある認証およびIDアサーション・プロバイダの構成に関する項を参照してください。
ポリシーの使用、構成および管理の詳細は、第7章「OPSSの認可とポリシー・ストア」を参照してください。
資格証明の使用、構成および管理の詳細は、第8章「資格証明ストアの構成」を参照してください。
一般的なシナリオ1
このシナリオでは、開発中のJavaEEアプリケーションを示します。
認証: このアプリケーションではデフォルトの認証プロバイダを使用します。これは、開発環境では一般的な扱いです。
認可: ポリシー・ストアと資格証明ストアはファイルベースです。
バリエーション: このアプリケーションでは、SSOおよびJavaEEセキュリティに対するWebLogicサポートを使用します。
SSOに対するWebLogicサポートの詳細は、『Oracle Fusion Middleware Securing Oracle WebLogic Server』のWebブラウザおよびHTTPクライアントでのシングル・サインオンの構成に関する項を参照してください。
一般的なシナリオ2
このシナリオでは、開発中のJavaEEアプリケーションを示します。
認証: このアプリケーションではデフォルトの認証プロバイダを使用します。これは、開発環境では一般的な扱いです。
認可: ポリシー・ストアと資格証明ストアは、LDAPベースであり、Oracle Internet Directory LDAPサーバーの同じインスタンスのサービスを使用します。
バリエーション: JAASは有効化されており、ポリシーには匿名ロールおよび認証ロールのパーミッションが含まれています。
匿名ロールおよび認証ロールのサポートの構成の詳細は、第2.3項「認証ロール」および第2.4項「匿名ユーザーとロール」を参照してください。
一般的なシナリオ3
このシナリオでは、開発中のJavaEEアプリケーションを示します。
認証: このアプリケーションではデフォルトの認証プロバイダを使用します。これは、開発環境では一般的な扱いです。
認可: ポリシー・ストアと資格証明ストアは、LDAPベースであり、Oracle Internet Directory LDAPサーバーの同じインスタンスのサービスを使用します。
バリエーション: このアプリケーションではJavaEEセキュリティを使用し、JAASは有効化します。ポリシーには匿名ロールおよび認証ロールのパーミッションを設定します。また、ポリシーの問合せ、取得および管理には、資格証明ストア・フレームワーク(CSF)APIが使用されます。
匿名ロールおよび認証ロールのサポートの構成の詳細は、第2.3項「認証ロール」および第2.4項「匿名ユーザーとロール」を参照してください。
CSF APIの詳細は、第16.1項「資格証明ストア・フレームワークAPIについて」を参照してください。
次のシナリオは、アプリケーション開発段階で一般的に使用するDefaultAuthenticatorではない認証プロバイダまたはなんらかのAPIをアプリケーションで使用してセキュリティ・データにアクセスするという点で、一般的なシナリオとは異なります。
シナリオ4
認証: このアプリケーションでは、DefaultAuthenticatorではないLDAP認証プロバイダを使用します。
認可: ポリシーと資格証明の両方で、LDAPベースの同じOracle Internet Directoryストアを使用します。
バリエーション: このアプリケーションでは、DBのユーザー・プロファイルへのアクセスにユーザー/ロールAPIを使用し、資格証明へのアクセスに資格証明ストア・フレームワーク(CSF)APIを使用します。
ユーザー/ロールAPIの詳細は、第18章「ユーザーおよびロールAPIを使用した開発」を参照してください。
CSF APIの詳細は、第16.1項「資格証明ストア・フレームワークAPIについて」を参照してください。
シナリオ5
認証: このアプリケーションでは、テスト環境および本番環境で一般的なOracle Internet Directory LDAP認証プロバイダを使用します。
認可: ポリシー・ストアと資格証明ストアは、ファイルベースであり、アプリケーションとパッケージ化されます。これらのデータは、デプロイ時に自動的にドメイン・セキュリティ・データにマップされます。
バリエーション: デプロイ後、一方向SSL伝送チャネルで構成したLDAPベースのストアに、ポリシー・ストアおよび資格証明ストアを再度関連付けします。
デプロイ時にアプリケーションのセキュリティ・データを自動的に移行するための詳細は、第7.3.1項「Fusion Middleware Controlを使用したアプリケーション・ポリシーの移行」および第8.4.1項「Fusion Middleware Controlを使用したアプリケーション資格証明の移行」を参照してください。
再関連付けの詳細は、第7.2.1項「Fusion Middleware Controlを使用したドメイン・ストアの再関連付け」を参照してください。
SSLの構成の詳細および関連トピックは、次のサイトを参照してください。
『Oracle Fusion Middleware Securing Oracle WebLogic Server』のSSLの構成に関する項
Oracle Fusion Middlewareの管理者ガイド
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプのSSLの設定に関する項
『Oracle Fusion Middleware Programming Security for Oracle WebLogic Server』のJavaクライアントでのSSL認証の使用に関する項
シナリオ6
このシナリオでは、OPSS APIを使用するJavaSEアプリケーションを示します。
認証: このアプリケーションではLoginService APIを使用します。
認可: このアプリケーションではメソッドCheckPermission
を使用します。
また、このアプリケーションでは、ドメイン認証プロバイダへの属性の問合せにユーザー/ロールAPIを使用し、ドメイン資格証明ストアへの問合せに資格証明ストア・フレームワークAPIを使用します。