Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティのプログラミング 11g リリース1(10.3.5) B61619-03 |
|
前 |
次 |
以下の節では、このガイド - WebLogicセキュリティのプログラミング - の内容と構成について説明します:
このドキュメントでは、WebLogic Serverのセキュリティ・プログラミング機能の使用方法を説明します。
WebLogic Serverのセキュリティに関するその他のドキュメントについては、「関連情報」を参照してください。
このドキュメントは、以下の読者を対象としています。
アプリケーション開発者
クライアント・アプリケーションの開発と、WebアプリケーションおよびEnterprise JavaBeans (EJB)へのセキュリティ機能の付加を主な業務とするJavaプログラマです。他のエンジニアリング・チームや品質保証(QA)チーム、データベース・チームと連携して、セキュリティ機能を実装します。アプリケーション開発者は、Java(サーブレットやJSPなどのJava Platform, Enterprise Edition (Java EE)バージョン5コンポーネントとJSEE)、およびJavaセキュリティについて実用的かつ深い知識を備えています。
アプリケーション開発者は、WebLogicセキュリティとJava 2セキュリティ・アプリケーション・プログラミング・インタフェース(API)を使用してアプリケーションのセキュリティを確保します。したがって、このドキュメントはWebアプリケーション、Javaアプリケーション、およびEnterprise JavaBeans (EJB)のセキュリティを確保するためにそれらのAPIを使用する手順を紹介します。
セキュリティ開発者
WebLogic Serverに統合されるセキュリティ製品のシステム・アーキテクチャとインフラストラクチャの定義と、WebLogic Serverで使用するカスタム・セキュリティ・プロバイダの開発を主な業務とする開発者です。アプリケーション設計者と連携して、セキュリティ・アーキテクチャを、確実に設計に従ってセキュリティ・ホールが発生しないように実装します。また、セキュリティが確実に正しく構成されるよう、WebLogic Serverの管理者とも連携します。セキュリティ開発者は、認証、認可、監査(AAA)、Java Management eXtension (JMX)などのJavaに対する深い知識、およびWebLogic Serverとセキュリティ・プロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
セキュリティ・ベンダーは、セキュリティ・サービス・プロバイダ・インタフェース(SSPI)を使用してWebLogic Serverで使用するカスタム・セキュリティ・プロバイダを開発します。このタスクについてはこのドキュメントで扱いません。SSPIを使用してカスタム・セキュリティ・プロバイダを開発する方法の詳細は、『Oracle WebLogic Serverセキュリティ・プロバイダの開発』を参照してください。
サーバー管理者
アプリケーション設計者と密接に連携しながら、サーバーおよびサーバー上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ・リスクの特定、およびセキュリティ上の問題を防止する構成の提案を行う管理者です。関連する責務として、重要な本番システムの保守、セキュリティ・レルムの構成と管理、サーバー・リソースとアプリケーション・リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ・プロバイダのデータベースの保守などが含まれる場合もあります。WebLogic Serverの管理者は、WebアプリケーションとEJBのセキュリティ、公開鍵セキュリティ、およびSSLを含む、Javaセキュリティ・アーキテクチャについて深い知識を備えています。
アプリケーション管理者
アプリケーション管理者は、WebLogic Serverの管理者と連携してセキュリティ構成、認証および認可方式を実装および管理したり、定義されたセキュリティ・レルムでデプロイされたアプリケーション・リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念やJavaセキュリティ・アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバー・ログおよび監査ログでセキュリティ・イベントを特定できます。
管理者は通常、アプリケーションを実際に稼働させるときに、管理コンソールを使用してアプリケーションのデプロイ、構成および管理を行いますが、アプリケーション開発者も管理コンソールを使用して実際の本番前にアプリケーションをテストする場合があります。アプリケーションをテストするときには、最低でも、アプリケーションがデプロイされて構成されている必要があります。このドキュメントではセキュリティに関連した管理のいくつかの側面を取り上げていません。管理コンソールを使用してセキュリティ・タスクを行う方法の説明については、『Oracle WebLogic Serverの保護』、『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』、およびOracle WebLogic Server管理コンソール・ヘルプを参照先として示します。
このドキュメントの構成は次のとおりです。
第2章「WebLogic Securityプログラミングの概要」では、セキュリティの必要性について解説し、WebLogic Securityのアプリケーション・プログラミング・インタフェース(API)について説明します。
第3章「Webアプリケーションの保護」では、Webアプリケーションにセキュリティを実装する方法について説明します。
第4章「JavaクライアントでのJAAS認証の使用」では、JavaクライアントにJAAS認証を実装する方法について説明します。
第5章「JavaクライアントでのSSL認証の使用」では、JavaクライアントにSSL認証とデジタル証明書認証を実装する方法について説明します。
第6章「Enterprise JavaBeans (EJB)の保護」では、Enterprise JavaBeansにセキュリティを実装する方法について説明します。
第7章「ネットワーク接続フィルタの使い方」では、ネットワーク接続フィルタを実装する方法について説明します。
第8章「Javaセキュリティを使用したWebLogicリソースの保護」では、Javaセキュリティを使用してWebLogicリソースを保護する方法について説明します。
第9章「SAML API」では、WebLogic SAML APIについて説明します。
第10章「証明書パスの作成と検証」では、証明書パスを作成および検証する方法について説明します。
「付録A 非推奨のセキュリティAPI」では、APIが非推奨になったweblogic.security
パッケージの一覧を示します。
注意: このドキュメントは、WebLogic Serverで使用するカスタム・セキュリティ・プロバイダを記述しようと考えている開発者向けではありません。カスタム・セキュリティ・プロバイダの開発の詳細は、『Oracle WebLogic Serverセキュリティ・プロバイダの開発』を参照してください。 |
このドキュメント(WebLogicセキュリティのプログラミング)に加え、以下のドキュメントでもWebLogic Securityサービスについて説明しています。
『Oracle WebLogic Serverのセキュリティの理解』: WebLogic Securityサービスの特長を要約し、WebLogic Securityサービスのアーキテクチャと機能について概説します。このドキュメントはWebLogic Securityサービスを理解する上で基本となるものです。
『Oracle WebLogic Server本番環境の保護』: WebLogic Serverを本番環境にデプロイする前に検討すべき重要なセキュリティ対策について説明します。
『Oracle WebLogic Serverセキュリティ・プロバイダの開発』: セキュリティ・ベンダーとアプリケーション開発者に対して、WebLogic Serverで使用できるカスタム・セキュリティ・プロバイダを開発するために必要な情報を提供します。
『Oracle WebLogic Serverの保護』: WebLogic Serverのセキュリティの構成方法、および互換性セキュリティの使用方法について説明します。
『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』: 様々なタイプのWebLogicリソースを紹介し、WebLogic Serverを使用してそれらのリソースを保護するための情報を提供します。
Oracle WebLogic Server管理コンソール・ヘルプ: 管理コンソールを使用してセキュリティ・タスクを実行する方法について説明します。
WebLogicクラスのJavadoc - WebLogic Serverソフトウェアで提供およびサポートされているWebLogicセキュリティ・パッケージのリファレンス・ドキュメントです。
「関連情報」に示したドキュメントの他にも、様々なコード・サンプルが開発者向けに用意されています。
WebLogic Serverでは、任意でAPIサンプル・コードをWL_HOME\samples\server\examples\src\examples\security
にインストールできます。WL_HOME
はWebLogic Serverのインストール先の最上位ディレクトリを示します。WebLogic Serverのスタート・メニューからサンプル・サーバーを起動して、サンプルとその実行手順に関する情報を確認できます。
WebLogicのセキュリティ機能については、次のサンプルを参照してください。
Java認証および認可サービス
発信および双方向SSL
このドキュメント内のセキュリティ・タスクおよびサンプル・コードでは、カスタム・セキュリティ・プロバイダではなく、WebLogic Server配布キットのWebLogicセキュリティ・プロバイダを使用することを前提にしています。カスタム・セキュリティ・プロバイダを使用する場合、WebLogicセキュリティAPIの使い方は同じですが、カスタム・セキュリティ・プロバイダの管理手順が異なります。
注意: このドキュメントでは、WebLogicセキュリティ・プロバイダまたはカスタム・セキュリティ・プロバイダの構成方法について幅広く説明してはいません。WebLogicセキュリティ・プロバイダとカスタム・セキュリティ・プロバイダの構成の詳細は、『Oracle WebLogic Serverの保護』を参照してください。 |
このリリースで導入されたWebLogic Serverの新機能の一覧については、『Oracle WebLogic Serverの新機能』を参照してください。