この章では、管理者が使用できるツール、およびアプリケーションのセキュリティを管理するための一般的なタスクについて説明します。この章の内容は次のとおりです。
高度な管理タスクは、付録E「WLSTスクリプトおよびMBeanプログラミングを使用した管理」を参照してください。
セキュリティ管理者が使用できる基本ツールは、Oracle Enterprise Manager Fusion Middleware Control、Oracle WebLogic管理コンソール、Oracle Authorization Policy Manager、およびOracle WebLogic Scripting Tool (WLST)の4点です。これらのツールおよびその他のツールの詳細は、『Oracle Fusion Middleware 管理者ガイド』の第3章「Oracle Fusion Middlewareの管理を開始するにあたって」を参照してください。
アプリケーションのセキュリティ管理に使用するツールを決定する基準は、そのアプリケーションでコンテナ管理セキュリティ(JavaEEアプリケーション)のみを使用するのか、Oracle ADFのセキュリティ(Oracle ADFアプリケーション)も扱うのかという点です。
Oracle Application Development Framework (Oracle ADF)アプリケーション、Oracle Service Oriented Architecture (SOA)アプリケーション、WebCenterアプリケーションなどのOracle固有のアプリケーションのデプロイ、保護およびメンテナンスにはFusion Middleware ControlおよびOracle Authorization Policy Managerを使用します。
サード・パーティが開発したアプリケーション、JavaSEアプリケーション、JavaEEアプリケーションなどその他のアプリケーションのデプロイ、保護および管理には、Oracle WebLogic管理コンソールまたはWLSTを使用することが普通です。
Javaアプリケーションを開発するための推奨ツールは、Oracle JDeveloper 11gです。このツールは、専用のグラフィカル・エディタによって、開発者によるファイルベースのアイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアの構成を支援します。特に、Oracle ADFアプリケーションを開発する際は、開発者はウィザードを実行してOracle ADFリソースに関連付けられたWebページに対するセキュリティ(Oracle ADFタスク・フローやページ定義など)を構成し、ファイルjazn-data.xml
専用の視覚的なエディタを使用してセキュリティ・アーティファクトを定義できます。
手順の詳細と関連トピックは、Oracle JDeveloperオンライン・ヘルプ・ドキュメントの次の項を参照してください。
Oracle ADFのセキュリティを使用したWebアプリケーションの保護に関する項
Java EE Securityを使用したWebアプリケーションの保護に関する項
セキュリティ制約に対する代替としてのOracle ADFのセキュリティに関する項
Webアプリケーションの保護に関する項
Oracle ADFのセキュリティおよびそれとOracle JDeveloperとの統合の詳細は、『Oracle Fusion Middleware Oracle Application Development Framework Fusion開発者ガイド』のOracle ADFのセキュリティの設計時ツールへのアクセスに関する項を参照してください。
Oracle Authorization Policy Managerの詳細は、『Oracle Fusion Middleware Authorization Policy Manager管理者ガイド』を参照してください。
表5-1は、いくつかの基本的なセキュリティ・タスクとそれらを実行するために使用するツールのリストです。アプリケーションのセキュリティの構成と管理に使用するツールは、アプリケーションのタイプに応じて選択します。コンテナ管理セキュリティのみを使用するJavaEEアプリケーションの場合は、Oracle WebLogic管理コンソールを使用します。OPSS認可を使用するOracle ADFアプリケーションの場合は、Fusion Middleware ControlとOracle Authorization Policy Managerを使用します。
次に示すツールを使用せずに手動で設定することはお薦めしません。Oracle WebLogic管理コンソールを使用する方法は、次の表に続いて示す各リンクを参照してください。Oracle Authorization Policy Managerの詳細は、『Oracle Fusion Middleware Authorization Policy Manager管理者ガイド』を参照してください。
5-1 基本的な管理セキュリティ・タスクとツール
タスク | Fusion Middleware Controlの「セキュリティ」メニューで選択する項目 | その他のツール |
---|---|---|
WebLogicドメインの構成 |
WebLogic管理コンソール |
|
WebLogicセキュリティ・レルムの構成 |
WebLogic管理コンソール |
|
WebLogicドメイン認証プロバイダの管理 |
WebLogic管理コンソール |
|
MSクライアント、WebブラウザおよびHTTPクライアントに対するSSOの有効化 |
WebLogic管理コンソール |
|
ドメイン管理アカウントの管理 |
WebLogic管理コンソール |
|
アイデンティティ・ストア・サービスの構成 |
WebLogic管理コンソールまたはWebSphereのコマンド |
|
Oracle ADFアプリケーションに対する資格証明の管理 |
資格証明 |
|
セキュリティ・プロバイダの構成 |
||
セキュリティ・プロバイダ構成 |
||
Oracle ADFアプリケーションでのJAASの有効化 |
セキュリティ・プロバイダ構成 |
|
Oracle ADFアプリケーションでのエンタープライズ・グループへのアプリケーション・グループのマップ |
アプリケーション・ロールまたはアプリケーション・ポリシー |
Oracle Authorization Policy Manager |
Oracle ADFアプリケーションでのシステム全体のポリシーの管理 |
システム・ポリシー |
|
OPSSのプロパティの構成 |
セキュリティ・プロバイダ構成 |
|
ポリシーおよび資格証明ストアの再関連付け |
セキュリティ・プロバイダ構成 |
前述のタスクのためのOracle WebLogic管理コンソールの使用方法の詳細は、次のドキュメントを参照してください。
管理コンソールの一般的な使用方法は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプを参照してください。
WebLogicドメインを構成する方法は、Oracle Fusion Middleware Oracle WebLogic Serverのドメイン構成についてを参照してください。
WebLogicセキュリティ・レルムを構成する方法は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の新しいセキュリティ・レルムの作成および構成の主要な手順に関する項を参照してください。
WebLogicドメイン認証プロバイダを管理する方法は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の第5章を参照してください。
MSクライアントでSSOを構成する方法は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の第6章を参照してください。
ドメイン管理アカウントを管理する方法は、『Oracle WebLogic Server ロールおよびポリシーによるリソースの保護』の第6章を参照してください。
LDAPアイデンティティ・ストアの構成の詳細は、第3.1.2項「Oracle WebLogicの認証プロバイダ」および第3.1.3項「WebSphereのアイデンティティ・ストア」を参照してください。
Fusion Middleware Controlは、アプリケーションのネットワークの管理を1か所でできるようにするWebベースのツールです。Oracle SOAアプリケーション、Oracle ADFアプリケーション、Oracle WebCenter、およびOPSSを使用するその他のOracleアプリケーションのデプロイ、構成、監視、診断および監査にFusion Middleware Controlを使用します。この項では、セキュリティ関連の操作についてのみ説明します。
このツールには、セキュリティに関連する様々な管理タスクが用意されています。管理者は、このツールを使用して次のタスクを実行できます。
インストール後、アプリケーションをデプロイする前にポリシー・ストアと資格証明ストアを再関連付けします。詳細は、第8.5.1項「Fusion Middleware Controlを使用した再関連付け」を参照してください。
インストール後、アプリケーションをデプロイする前にOPSSのプロパティを定義します。詳細は、第8.7項「アイデンティティ・プロバイダ、プロパティ・セットおよびSSOの構成」を参照してください。
デプロイ時に、ファイルベースのアプリケーション・ポリシーおよび資格証明からLDAPベースのドメイン・ポリシーおよび資格証明への自動的な移行を構成します。
詳細は、次の各項を参照してください。
アプリケーションのデプロイ後、そのアプリケーションで次のタスクを実行できます。
アプリケーション・ポリシーの管理。詳細は、第9.1項「ポリシー・ストアの管理」を参照してください。
資格証明の管理。詳細は、第10.2項「資格証明ストアの管理」を参照してください。
アプリケーション・ロールからユーザー、グループおよびアプリケーション・ロールへのマッピングの指定。詳細は、第9.2.2項「アプリケーション・ロールの管理」を参照してください。
ドメインでのシステム・ポリシーの管理。詳細は、第9.2.3項「システム・ポリシーの管理」を参照してください。
ドメインでのOPSSのプロパティの管理。詳細は、第8.7項「アイデンティティ・プロバイダ、プロパティ・セットおよびSSOの構成」を参照してください。
セキュリティ管理タスクの要約およびこれらのタスクの実行に使用するツールは、「基本的なセキュリティ管理タスク」を参照してください。
その他の機能の詳細は、Fusion Middleware Controlオンライン・ヘルプ・ドキュメントを参照してください。
WebSphere Application ServerでOracle Fusion Middlewareを管理する方法の詳細は、Oracle Fusion Middlewareサード・パーティ・アプリケーション・サーバー・ガイドを参照してください。
Oracle WebLogic管理コンソールは、Webベースのツールであり、いくつかある機能の中でも特に、アプリケーションのデプロイと再デプロイ、ドメインの構成およびアプリケーション・ステータスの監視ができます。この項では、セキュリティ関連の操作についてのみ説明します。
Oracle WebLogic管理コンソールで実行する一般的なタスクは、次のとおりです。
Oracle WebLogic Serversの起動と停止。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverサーバーの起動と停止の管理』のサーバーの起動と停止に関する項を参照してください。
Oracle WebLogic Serverおよびドメインの構成。詳細は、『Oracle Fusion Middleware Oracle WebLogic Scripting Tool』の既存のドメインの構成に関する項を参照してください。
アプリケーションのデプロイ。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
フェイルオーバー・サポートの構成。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverクラスタの使い方』のクラスタでのフェイルオーバーとレプリケーションに関する項を参照してください。
MSクライアント、WebブラウザおよびHTTPクライアントに対するシングル・サインオンの使用の有効化。
管理ユーザーおよび管理ポリシーの管理。
Oracle WebLogic管理コンソールの詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのヘルプを参照してください。
Oracle Authorization Policy Managerで実行する一般的なセキュリティ・タスクは、次のとおりです。
アプリケーションのセキュリティ・アーティファクトの検索。
ポリシーなどの、アプリケーションのセキュリティ・アーティファクトの管理。
外部のロールの階層の表示。
アプリケーション・ロールの階層の管理。
Oracle Authorization Policy Managerを使用したアプリケーション・セキュリティの管理で最も頻繁に使用するセキュリティ・タスクのリストは、Oracle Fusion Middleware Oracle Authorization Policy Manager管理者ガイドを参照してください。
Oracle WebLogic管理コンソールで利用できる大半の操作は、WLSTコマンドで実行できます。OPSSスクリプトは、ドメインの構成やアプリケーションのデプロイメントなどの管理タスクのスクリプト作成と自動化を実現する一連のコマンドライン・インタフェースです。
セキュリティ関連のOPSSスクリプトのリストは、付録I「OPSSスクリプト」を参照してください。すべてのWLSTスクリプトのリストは、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』を参照してください。
WebSphere Application ServerでOracle Fusion Middlewareを管理する方法の詳細は、Oracle Fusion Middlewareサード・パーティ・アプリケーション・サーバー・ガイドを参照してください。