アプリケーションでは、それを実行しているドメインで構成されたアイデンティティ・ストア、ポリシー・ストア、資格証明ストア、およびキーストアを使用します。この章では、アイデンティティ、ポリシー、資格証明およびキーストア・データに関する基本概念について説明します。ここでは、次の項目について説明します。
この章で使用する用語の定義は、第2.1項「用語」を参照してください。
ストアの利用法を示すシナリオは、第4章「Oracle Platform Security Servicesのシナリオについて」を参照してください。
OPSSではサーバー認証プロバイダを使用します。この認証プロバイダは、ユーザー名とパスワードの組合せまたはデジタル証明書に基づき、ユーザーの資格証明またはシステム・プロセスを検証するコンポーネントです。認証プロバイダには、必要に応じ、ドメイン内の他のコンポーネントでサブジェクトを介してユーザー・アイデンティティ情報を使用できるようにする機能もあります。
Java EEアプリケーションではLDAPベースの認証プロバイダを使用する必要があります。Java SEアプリケーションの場合、追加設定なしで使用できるアイデンティティ・ストアはファイルベースですが、LDAPベースのアイデンティティ・ストアとして構成することもできます。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの理解』の認証に関する項を参照してください。
注意: OPSSでは、アプリケーション開発で使用したユーザーおよびグループを、アプリケーションのデプロイ先とするリモートOPSSスクリプトに自動的に移行することはできません。そのかわりに、ドメインに構成済みの認証プロバイダに応じて、Oracle WebLogic管理コンソール、OPSSスクリプトまたは適切なツールを使用し、必要なアプリケーション・アイデンティティを別途作成する必要があります。 |
この項の内容は次のとおりです。
アイデンティティ・ストアでサポートされているLDAPリポジトリは、次のとおりです。
Oracle Internet Directory 11g
Oracle Virtual Directory
Oracle Directory Server Enterprise Edition 11.1.1.3.0
Active Directory 2008
Novell eDirectory 8.8
OpenLDAP 2.2。このタイプに必要な特殊構成については、付録J「OpenLDAPアイデンティティ・ストアの使用」を参照してください。
Tivoli Access Manager
Sun DS 6.3、7.0
Oracle DB 10g、11gR1、11gR2
iPlanet Directory Server
カスタム認証プロバイダ
Oracle Fusion Middlewareの動作保証およびサポートされている構成の詳細は、http://www.oracle.com/technology/software/products/ias/files/fusion_certification.html
を参照してください。
Oracle Internet Directoryサーバーにおける参照整合性のサポートについては、第8.2項「LDAPベースのOPSSセキュリティ・ストアの使用」の重要事項を参照してください。
WebLogic認証プロバイダの一覧は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティ・プロバイダの開発』の第4章「認証プロバイダ」を参照してください。
利用可能な認証プロバイダ、およびその認証プロバイダの選択と構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の認証プロバイダの構成に関する項、およびOracle Fusion Middleware Oracle WebLogic Server管理コンソール・ヘルプの認証プロバイダおよびIDアサーションの構成に関する項を参照してください。
追加設定がない状態のOracle WebLogic Serverでは、ユーザーとグループがデフォルトでDefaultAuthenticatorに格納されます。この認証プロバイダは、デフォルト属性としてcn
を使用するように設定されています。
LDAP認証プロバイダに格納されたデータには、ユーザー/ロールAPIでアクセスしてユーザー・プロファイル属性を問い合せることができます。WebLogicのLDAP認証プロバイダの詳細は、次の各項を参照してください。
重要: ドメインでDefaultAuthenticatorを使用する場合は、アプリケーションでユーザー/ロールAPIを使用してデータを問い合せることができるように、ドメイン管理サーバーを実行している必要があります。 OPSSでは、ドメインにLDAPベースの認証プロバイダを1つ以上構成しておく必要があります。 |
X.509 IDアサーションの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のLDAP X509 IDアサーション・プロバイダのしくみに関する項を参照してください。
IDアサーション・プロバイダとしてSAML 1.1またはSAML 2.0を使用した認証の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のSAML認証プロバイダの構成に関する項を参照してください。
Oracle WebLogic Serverでは、LDAPベースの認証プロバイダをいくつか提供しています。利用可能なLDAPサーバーの詳細は、サポートされているLDAPアイデンティティ・ストアのタイプを参照してください。WebLogicのDefaultAuthenticatorは構成済みのデフォルトの認証プロバイダであり、、インストール後すぐに使用できます。その他の認証プロバイダはWebLogic管理コンソールを使用して構成可能です。
Java SEアプリケーションでの認証の使用の詳細は、第22.2.2項「Java SEアプリケーションでのLDAPアイデンティティ・ストアの構成」を参照してください。
Oracle WebLogic Serverでは、複数の認証プロバイダのそれぞれに制御フラグを設定し、特定のコンテキストでこれらの認証プロバイダを構成できます。そのうちの1つは、LDAPベースの認証プロバイダとする必要があります。
OPSSでは、構成済のLDAP認証プロバイダのリストから次のアルゴリズムに従って選択したLDAP認証プロバイダを使用して、アイデンティティ・ストア・サービスを初期化します。
構成されているLDAP認証プロバイダのサブセットを検討します。コンテキストではLDAP認証プロバイダが1つ以上指定されていることが前提なので、このサブセットは空ではありません。
そのサブセットの中で、最大のフラグが設定されている認証プロバイダを検討します。このサブセットでの計算に使用するフラグの順序は次のとおりです。
REQUIRED > REQUISITE > SUFFICIENT > OPTIONAL
このサブセット(最大のフラグを実現するLDAPのサブセット)も空ではありません。
そのサブセットの中から、該当のコンテキストで最初に構成された認証プロバイダを検討します。
ステップ3で選択したLDAP認証プロバイダを、アイデンティティ・ストア・サービスの初期化に使用します。LDAP認証プロバイダを使用してSSL接続を確立する際のホスト名検証の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
サポートされている様々なLDAP認証プロバイダの初期化にOPPSが使用するデフォルト値の詳細は、第H.1項「OPSS APIリファレンス」のユーザーおよびロールAPIに関する説明を参照してください。サービス・インスタンスの初期化値が、デフォルトでもサービス・インスタンスの構成でも(明示的に)提供されている場合は、構成された値がデフォルト値よりも優先されます。
WebLogic IDアサーション・プロバイダでは、X.509証明書、SPNEGOトークン、SAMLアサーション・トークンおよびCORBA Common Secure Interoperability version 2(CSIv2)IDアサーションを使用した証明認証がサポートされています。
ネゴシエート・アイデンティティ・プロバイダは、SPNEGOプロトコルをサポートするMicrosoftクライアントでSSOに使用します。このプロバイダは、SPNEGOトークンをデコードしてKerberosトークンを取得し、このKerberosトークンを検証してWebLogicユーザーにマップします。
IDアサーション・プロバイダの一般情報は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティについて』のIDアサーション・プロバイダに関する項を参照してください。
Microsoftクライアントを使用したSSOの概要は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントでのシングル・サインオンの概要に関する項を参照してください。
Kerberos IDの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のWebLogic Server用のKerberos IDの作成に関する項を参照してください。
Java 2ポリシーは、特定の場所からロードされた署名付きコードに付与されるパーミッションを指定します。
JAASポリシーは、オプションのプリンシパル・リストを指定できるようにすることで、Java 2の権限を拡張します。これにより、特定の場所からロードされた(場合によって署名付きの)コードが、指定のプリンシパルで表されるユーザーによって実行された場合にのみ、そのコードにパーミッションのセマンティックが付与されます。
JACCは、カスタム認可プロバイダ(実行中のJava EEアプリケーションに付与される認可の制御とカスタマイズを可能にするプラガブル・コンポーネント)とのインタフェースを定義することで、Java 2およびJAASのパーミッションベースのポリシーをEJBおよびサーブレットに拡張します。
アプリケーション・ポリシーは、Java 2ポリシーとJAASポリシーの集合です。Java 2ポリシーはJVM全体に適用されるのに対して、JAASポリシーは該当のアプリケーションにのみ適用されます。
ポリシー・ストアは、システムおよびアプリケーションに固有のポリシーとロールを格納するリポジトリです。アプリケーション・ロール(管理ロールなど)には、アプリケーション固有のエンタープライズ・ユーザーおよびグループを指定できます。ポリシーでは、これらのグループまたはユーザーをプリンシパルとして使用できます。
ロールを自己管理するアプリケーションの場合は、Java EEアプリケーション・ロール(ファイルweb.xml
またはejb-jar.xml
で構成)がエンタープライズ・ユーザーおよびグループにマップされ、アプリケーション固有のポリシーで使用されます。
ポリシー・ストアのタイプ
ポリシー・ストアはファイルベース、LDAPベース、またはDBベースにすることができます。ファイルベースのポリシー・ストアはXMLファイルです。このストアは、追加設定なしで使用できるポリシー・ストア・プロバイダです。LDAPベースのポリシー・ストア・タイプは、Oracle Internet Directoryのみでサポートされています。DBベースのポリシー・ストア・タイプは、Oracle RDBMS(リリース10.2.0.4以降、リリース11.1.0.7以降、およびリリース11.2.0.1以降)のみでサポートされています。
1つのドメインに1つのポリシー・ストアがあります。開発段階では、アプリケーション・ポリシーはファイルベースで、ファイルjazn-data.xml
で指定します。
Fusion Middleware Controlを使用してアプリケーションをWebLogicにデプロイすると、ポリシー・ストアに自動的に移行することができます。この機能の詳細は、第8.6.1項「Fusion Middleware Controlを使用した移行」を参照してください。デフォルトでは、ポリシー・ストアはファイル・ベースになります。
アプリケーションをWebSphereにデプロイすると、第21.4.項「ポリシーの移行を制御するパラメータ」および第21.4.4項「資格証明の移行を制御するパラメータ」に記載されているように、デプロイ時の移行の動作を手動で指定できます。
再関連付けの詳細は、第8.5項「OPSSセキュリティ・ストアの再関連付け」を参照してください。
ポリシー・ストアでのリソース・カタログのサポートの詳細は、第20.3.1項「リソース・カタログ」を参照してください。
資格証明ストアは、ユーザー、Javaコンポーネントおよびシステム・コンポーネントの認証レベルを認定するセキュリティ・データ(資格証明)のリポジトリです。資格証明には、ユーザー名とパスワードの組合せ、チケットまたは公開鍵証明書を格納できます。このデータは、認証の際、プリンシパルをサブジェクトに移入するときに使用し、さらに認可時には、サブジェクトが実行できるアクションを決定するときに使用します。
OPSSは資格証明ストア・フレームワークを備えています。これは、アプリケーションで資格証明を安全に作成、読取り、更新および管理する際に使用できる一連のAPIです。
資格証明ストアは、ファイルベース、LDAPベース、またはDBベースにすることができます。ファイルベースの資格証明ストアはウォレットベースとも呼ばれ、ファイルcwallet.sso
で表される、追加設定なしで使用できる資格証明ストアです。LDAPベースの資格証明ストア・タイプは、Oracle Internet Directoryでのみサポートされています。DBベースの資格証明ストア・タイプはOracle RDBMS(リリース10.2.0.4以降、リリース11.1.0.7以降、およびリリース11.2.0.1以降)でのみサポートされています。
アプリケーションでは、ドメイン資格証明ストアを使用できるほか、ウォレットベースの独自の資格証明ストアを使用できます。ドメイン資格証明ストアは、ウォレットベース(デフォルト)、LDAPベース、またはDBベースにすることができます。LDAPベースの資格証明ストア・タイプは、Oracle Internet Directoryでのみサポートされています。
アプリケーションがデプロイされるときに、アプリケーションの資格証明が自動的に資格証明ストアに移行されるように構成することができます。詳細は、第8.6.1項「Fusion Middleware Controlを使用した移行」を参照してください。
あるタイプのストアから別のタイプのストアに、資格証明を再び関連付けることもできます。詳細は、第8.5項「OPSSセキュリティ・ストアの再関連付け」を参照してください。
キーストア・サービスは、ドメインのコンポーネントおよびアプリケーションによって使用されるすべてのキーと証明書を含むキーストアおよびトラスト・ストアに対する中央リポジトリを提供します。これにより、キーストアを個々のアプリケーションに関連付ける必要がなくなります。
管理者は単一のユーザー・インタフェースを使用して、一貫した方法ですべてのキーストアを表示および管理できます。
中央リポジトリには次のものを使用できます。
XMLファイルベース
これが出荷時のキーストア・リポジトリであり、名前はfile-keystores.xmlです。
注意: このファイルはインストール直後には存在せず、後で作成されます。 |
Oracle Database
LDAPディレクトリ
ドメイン・キーストア・リポジトリ内のキーおよび証明書は、1つのタイプから別のタイプへと関連付けを変更できます。詳細は、第8.5項「OPSSセキュリティ・ストアの再関連付け」を参照してください。