以下の節では、このガイド(本番環境の保護)の内容と構成について説明します。
このガイドでは、WebLogic Serverの本番環境を保護する方法について説明します。
以下の読者を対象としています。
アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティ・アーキテクチャを設計するだけでなく、WebLogic Serverのセキュリティ機能を評価して最適な実装方法を判断する設計者です。アプリケーション設計者は、セキュリティ・システムや最先端のセキュリティ技術とツールだけでなく、Javaプログラミング、Javaセキュリティ、およびネットワーク・セキュリティにも精通しています。
セキュリティ開発者 - WebLogic Serverに統合されるセキュリティ製品のシステム・アーキテクチャとインフラストラクチャの定義、およびWebLogic Serverで使用するカスタム・セキュリティ・プロバイダの開発を主な業務とする開発者です。セキュリティ開発者は、認証、認可、監査(AAA)、Java Management eXtension (JMX)などのJavaに対する深い知識、およびWebLogic Serverとセキュリティ・プロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - WebアプリケーションとEnterprise JavaBeans (EJB)の開発およびセキュリティ機能の付加、さらに他のエンジニアリング・チーム、品質保証(QA)チーム、データベース・チームとの連携によるセキュリティ機能の実装を行うJavaプログラマです。アプリケーション開発者は、Java(サーブレットやJSPなどのJava Platform, Enterprise Edition (Java EE)バージョン5コンポーネントとJSEE)、およびJavaセキュリティについて実用的かつ深い知識を備えています。
サーバー管理者 - アプリケーション設計者と密接に連携しながら、サーバーやサーバー上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ・リスクの特定、およびセキュリティ上の問題を防止する構成の提案を行います。関連する責務として、重要な本番システムの保守、セキュリティ・レルムの構成と管理、サーバー・リソースとアプリケーション・リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ・プロバイダのデータベースの保守などが含まれる場合もあります。サーバー管理者は、Webサービス、WebアプリケーションとEJBのセキュリティ、公開鍵セキュリティ、SSL、SAML (Security Assertion Markup Language)を含むJavaセキュリティ・アーキテクチャに関する深い知識を備えています。
アプリケーション管理者 - サーバー管理者と共同でセキュリティ構成や、認証および認可方式を実装および管理したり、定義されたセキュリティ・レルムでデプロイされたアプリケーション・リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念やJavaセキュリティ・アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバー・ログおよび監査ログでセキュリティ・イベントを特定できます。
このドキュメントの構成は次のとおりです。
この章第1章「概要とロードマップ」では、このガイドの構成を紹介します。
第2章「セキュリティ・ニーズの決定」は、特定の環境に対するセキュリティ・ニーズの決定方法、およびそのニーズを確実に満たすための基本的な基準について説明します。
第3章「本番環境のセキュリティの確保」は、本番環境にWebLogic Serverをデプロイする前に必要なセキュリティの基準に焦点をあて、様々なセキュリティ設定を使用して本番環境を保護する方法について説明します。
以下のOracle WebLogic Serverドキュメントには、WebLogicセキュリティ・サービスに関する情報が記載されています。
『Oracle WebLogic Serverの保護』: WebLogic Serverのセキュリティの構成方法と互換性セキュリティの使用方法について説明します。
『Oracle WebLogic Serverセキュリティ・プロバイダの開発』: WebLogic Serverとともに使用できるカスタム・セキュリティ・プロバイダをベンダーやアプリケーション開発者が開発する方法について説明します。
『Oracle WebLogic Serverのセキュリティの理解』: WebLogicセキュリティ・サービスの機能やアーキテクチャの概要について説明します。このマニュアルはWebLogicセキュリティ・サービスを理解する上で基本となるものです。
『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』: WebLogicリソースを保護する方法について説明します。主にURL (Web)リソースおよびEnterprise JavaBeans (EJB)リソースの保護に焦点を当てています。
『Oracle WebLogic Serverアップグレード・ガイド』: 6.x以前のバージョンのWebLogic ServerからWebLogic Server 10.3.xにアップグレードする際に必要な手順と情報を提供します。また、6.x以前のバージョンのWebLogic Serverから10.3.xにアプリケーションを移行するための情報も記載されています。WebLogic Serverセキュリティのアップグレードの詳細は、『Oracle WebLogic Serverアップグレード・ガイド』のセキュリティ・プロバイダのアップグレードに関する項を参照してください。
Oracle WebLogic Server APIリファレンス: このリリースのWebLogic Serverで提供され、サポートされているWebLogicセキュリティ・パッケージのリファレンス・ドキュメントです。
セキュリティ開発者向けに、Java Authentication and Authorization Service用、および発信SSLと双方向SSL用のコード・サンプルが用意されています。これらのサンプルとチュートリアルはWebLogic Serverセキュリティの動作を例示し、主要なセキュリティ開発タスクを実行する実際的な手順を示します。
独自のセキュリティ構成を開発する前に、まずセキュリティ・サンプルの一部またはすべてを実行することをお薦めします。
MedRecはWebLogic Serverに付属したエンドツーエンドのサンプルJava EEアプリケーションであり、一元的で独立した医療記録管理システムをシミュレートします。MedRecアプリケーションには、患者、医師、および管理者に対して、様々なクライアントを使用して患者のデータを管理するフレームワークが用意されています。
MedRecはWebLogic ServerとJava EEの機能を例示し、Oracle推奨のベスト・プラクティスを重要点として示します。MedRecはWebLogic Server配布キットに含まれており、Windowsマシンの「スタート」メニューからアクセスできます。Linuxなどのプラットフォームでは、WL_HOME
\samples\domains\medrec
ディレクトリからMedRecを起動します。WL_HOME
は、WebLogic Platformの最上位のインストール・ディレクトリです。
MedRecには、Webアプリケーション、Webサービス、ワークフロー・アプリケーション、および将来のクライアント・アプリケーションからのリクエストを共同で処理する複数のエンタープライズJava Bean (EJB)で主に構成されるサービス層があります。このアプリケーションには、メッセージドリブンEJB、ステートレス・セッションEJB、ステートフル・セッションEJB、およびエンティティEJBが含まれます。
WebLogic Serverでは、必要に応じてAPIサンプル・コードをWL_HOME
\samples\server\examples\src\examples
にインストールできます。ただし、WL_HOME
はWebLogic Serverの最上位インストール・ディレクトリです。WebLogic Serverのスタート・メニューからサンプル・サーバーを起動して、サンプルとその実行手順に関する情報を確認できます。
https://www.samplecode.oracle.com/sf/projects/codesamples/
からダウンロード可能なその他のAPIサンプルです。これらのサンプルはZIPファイルとして配布されますので、既存のWebLogic Serverサンプル・ディレクトリ構造に解凍してください。
ダウンロードしたサンプルは、インストール済のWebLogic Serverサンプルと同じ方法でビルドして実行します。詳細は、個々のサンプルのダウンロード・ページ(https://www.samplecode.oracle.com/sf/projects/codesamples/
)を参照してください。