| Oracle Fusion Middlewareセキュリティ概要 11g リリース1(11.1.1) B56236-03 |
|
 前 |
 次 |
この章では、Oracle Fusion Middlewareのセキュリティ機能の概要、およびシステム管理者とアプリケーション開発者向けのロードマップについて説明します。この項の内容は、次のとおりです。
「はじめに」で記載された関連ドキュメントおよびこのドキュメントで使用される共通の用語を定義することから始めます。
後述の箇所に関連するSAMLなど、業界規格もいくつか含まれています。この一覧は、包括的なものではありません。
アプリケーションは、Oracleやサード・パーティ・ベンダーから提供されたり、社内で開発したりすることが可能です。どの場合のアプリケーションも、アプリケーション・サーバー環境で稼働し、Oracle Fusion Middlewareの機能を利用するように設計されます。
典型的なアプリケーション・ライフサイクルには、次の3つの段階があります。
開発
デプロイメント
移行(テストから本番へ)
アップグレード(リリース10.1.xからリリース11gへなど)
本番環境での継続的管理タスク(パッチ適用など)
セキュリティは、その範囲や実装の詳細は様々に異なることがありますが、アプリケーション・ライフサイクルにとって欠かせないものです。
たとえば、開発時にはユーザーの資格証明は単にファイルに格納されますが、デプロイされたアプリケーションは一般的にバックエンドでLDAPディレクトリを使用したアイデンティティ管理ソリューションによって保護されます。
監査
監査は、アカウンタビリティを評価する過程です。アイデンティティ管理およびアクセス管理領域では、どのリソースにいつ誰がアクセスしたかを示すレポートおよびデータを監査によって入手します。
認証
認証では、ユーザーが本人であるか確認します。ユーザーのアイデンティティは、ユーザーが提示する次の資格証明で確認します。
本人が所有するもの: 信頼できる機関から発行された資格証明です。たとえば、パスポート(実社会)やスマート・カード(IT業界)などがあります。
本人が知っていること: たとえば、パスワードなどの共有秘密があります。
本人自身による証明: たとえば、バイオメトリック情報があります。
ATMカード(本人が所有するもの)とPINまたはパスワード(本人が知っていること)を併用するなど、数種類の資格証明を組み合せることを厳密認証といいます。
認可
認可はアクセス制御とも呼ばれ、認証済ユーザーの資格に基づいて特定のリソースへのアクセス権を付与することを目的としています。権限は1つ以上の属性によって定義されます。属性は、ユーザーのプロパティ、特性またはロールです。たとえば、Rajがユーザーである場合、software engineerが属性(ロール)です。
認可は、アクセス・ポリシーの適用に基づいています。たとえば、Rajはsoftware engineerロールに割り当てられると、特定のアプリケーション・コードにアクセスできます。
資格証明ストア
資格証明ストアは、データベースやLDAPディレクトリなどの外部アプリケーションおよびシステムにパスワードを格納するために使用できるサービスです。
Oracle Fusion Middleware 11g リリース1(11.1.1)では、資格証明ストアはファイルベース(Oracle Wallet)のリポジトリか、パスワードなどの資格証明を格納するためのLDAPベースのリポジトリのいずれかになります。
開発フェーズ
開発フェーズは、アプリケーション・ライフサイクルの第1段階です。このフェーズでは、開発者は、アプリケーション・ロジックとプレゼンテーション層をコード化します。
Oracle Application Development Framework(Oracle ADF)を使用して、開発者はOracle ADFの組込みサポートで幅広いセキュリティ機能を利用できます。
詳細は次を参照してください。
『Oracle Fusion Middleware Oracle Application Development FrameworkのためのFusion開発者ガイド』のFusion WebアプリケーションのADFセキュリティの有効化に関する項
デプロイメント・フェーズ
デプロイメント・フェーズは、アプリケーション・ライフサイクルの第2段階です。このフェーズでは、管理者はアプリケーションをパッケージ化し、ターゲット環境(アプリケーション・サーバーなど)にデプロイして、エンド・ユーザーがアクセスできるようにします。
デプロイメント・フェーズでは通常、管理者がアプリケーション・ロールからエンタープライズ・グループへのマッピングを実行します。詳細は、次を参照してください。
Fusion Middleware Controlを使用したJavaEEアプリケーションおよびOracle ADFアプリケーションのデプロイに関する項
アイデンティティ・ストア
アイデンティティ・ストアは、ユーザーのアイデンティティ(ユーザーおよびグループ)が保存され信頼できるストアです。
Oracle Fusion Middleware 11g リリース1(11.1.1)では、デフォルトのアイデンティティ・ストアは、Oracle WebLogic Serverのプロセスでメンテナンスされる組込みLDAPストアで、テストおよび小規模デプロイメントにのみ適しています。エンタープライズLDAPサーバー(Oracle Internet Directoryおよびサード・パーティLDAPディレクトリ)もサポートされています。
関連情報の詳細は、第2.3.1項「認証」を参照してください。
インフラストラクチャのセキュリティ強化
インフラストラクチャとは、アプリケーションのデプロイに必要なすべてのシステム・ソフトウェアのことです。インフラストラクチャのセキュリティ強化は、インフラストラクチャの各コンポーネント(Webサーバー、アプリケーション・サーバー、アイデンティティ管理およびアクセス管理のソリューションおよびデータベース・システムなど)にセキュリティを適用するプロセスです。インフラストラクチャのセキュリティ強化は、トランザクションに関連する複数のインフラストラクチャ・コンポーネント全体におけるエンドツーエンドのセキュリティ基盤です。
|
注意: Oracle WebLogic Serverの保護では、このタスクはロックダウンと呼ばれます。ただし、Oracle Fusion Middlewareではより広義に、インフラストラクチャのセキュリティ強化と呼ばれます。 |
|
関連項目: WebLogic Security Serviceでは、強力で柔軟なソフトウェア・ツールが用意されています。これによって、サーバー・インスタンスで実行されるサブシステムおよびアプリケーションが保護されます。詳細は、『Oracle Fusion Middleware Oracle WebLogic Server Webアプリケーション、サーブレット、JSPの開発』を参照してください。 |
Java Authentication and Authorization Service(JAAS)
ユーザーの認証では、Javaコードがアプリケーション、アプレット、Beanまたはサーブレットのいずれで実行されているかにかかわらず、現在そのコードを実行している人物を、信頼できるセキュアな方法で判別します。
ユーザーの認可では、その操作の実行に必要なアクセス制御権限をユーザーが持っているかどうかを確認します。
詳細は、次にある『Java Authentication and Authorization Service (JAAS) Reference Guide』を参照してください:
http://java.sun.com/javase/6/docs/technotes/guides/security//jaas/JAASRefGuide.html
Javaコンポーネント
Javaコンポーネントはシステム・コンポーネントのピアで、アプリケーション・サーバー・コンテナが管理します。Oracle SOA SuiteやOracle Identity Federationがその例です。
キーストア
秘密鍵、デジタル証明、信頼できるCA証明書などのSSL通信に必要なオブジェクトは、キーストアに格納されます。
Oracle Fusion Middlewareでは、鍵と証明書用に2種類のキーストアが用意されています。
JKSベースのキーストアおよびトラストストアは、Sun社によって提供されているJavaキーストアのデフォルトJDK実装です。JKSキーストアは、Oracle Virtual Directoryおよびその他の製品で使用されています。
Oracle Walletは、PKCS#12ベースの資格証明のコンテナです。Oracle Walletは、Oracle Internet Directoryおよびその他の製品で使用されています。
詳細は、第4.2項「キーストア」を参照してください。
Oracle Application Development Framework(ADF)
Oracle Application Development Framework(Oracle ADF)は革新的で包括的なJava EE開発フレームワークで、Oracle JDeveloper 11g開発環境で直接サポートされ有効化されます。
Oracle ADFにより、アプリケーションのインフラストラクチャを実装するコードが最小限に抑えられ、ユーザーは実際のアプリケーションの機能に集中できるので、Java EE開発が簡素化されます。Oracle ADFでは、これらのインフラストラクチャ実装を、フレームワークの一部として提供します。一連のランタイム・サービスは十分でないと認識されているので、Oracle ADFでは、Oracle JDeveloper 11g開発ツールにより、視覚的で宣言的なJava EE開発方法を実現する開発環境も重視しています。
Oracle ADFは、Oracle Platform Security Servicesをベースにしています。
Oracle Access Managerは、10gと11g両方のリリースを使用できます。
Oracle Access Manager 10gでは、Webシングル・サインオン、ユーザーのセルフサービスおよび自己登録、高度なワークフロー機能、監査およびアクセス・レポート、ポリシー管理、動的グループ管理および委任管理などのすべてのアイデンティティ管理機能およびセキュリティ機能が用意されています。
Oracle Access Manager 11gでは、Webシングル・サインオン、認証と認可、IDアサーション、ポリシー管理、監査など、Web境界セキュリティ機能がすべて用意されています。
Oracle Access Manager 11gがOracle Access Manager 10gと異なる点は、ユーザーのセルフサービスおよび自己登録、高度なワークフロー機能、動的グループ管理、委任アイデンティティ管理などのアイデンティティ管理機能がOracle Identity Manager 11gに移行されていることです。同時に、Oracle Access Manager 11gには、Oracle Identity Manager 11gに対するアクセス制御が用意されています。
Oracle Adaptive Access Manager(OAAM)
オンラインのアプリケーションおよびサービスの急激な成長により、インターネット詐欺はますます巧妙化しています。フィッシング、ファーミング、トロイの木馬、キー・ロガーおよびプロキシ攻撃の脅威と、オンライン・データのプライバシを統制する規制や法令(FFIEC、HIPAA、PCIなど)とが重なって、オンライン・セキュリティは重要になっています。
Oracle Adaptive Access Managerでは、強力でデプロイが容易な認証強化やマルチファクタ認証を行って、プロアクティブでリアルタイムに詐欺を防止することで、ビジネスと顧客を高度に保護します。
Oracle Directory Server Enterprise Edition
Oracle Directory Server Enterprise Edition(旧名: Sun Directory Server Enterprise Edition)は、通信業界などの企業環境で実績のある大規模なデプロイメント機能を持つ非常に有名なディレクトリ・サーバーです。ISVで最もサポートされているディレクトリであり、異機種環境では理想的といえます。ODSEEによって、組込みデータベース、ディレクトリ・プロキシ、Active Directory(AD)の同期化およびWeb管理コンソールが、コア・ディレクトリ・サービスで使用できるようになります。
Oracle Enterprise Manager Fusion Middleware Control
Fusion Middleware Controlは、Oracle Enterprise Managerの一部として提供されるJMXベースのGUI管理ツールです。
Oracle Entitlements Server
Oracle Entitlements Serverは、きめ細かい資格管理ソリューションです。これによって、企業の資格管理の外部化と一元化、認可ポリシーの簡素化、および分散された異機種アプリケーションにおけるセキュリティの適用を行います。
Oracle Entitlements Serverにより、URL、EJB、JSPなどアプリケーション・リソースやソフトウェア・コンポーネントだけでなく、顧客アカウントや患者レコードなどの任意のビジネス・オブジェクトに対してもアクセスが保護されます。Oracle Entitlements Serverポリシーにより、アプリケーション・リソースにアクセスできるユーザー、グループおよびロールが指定されるため、これらのロールを実行時に動的に解決できます。
Oracle Entitlements Serverでは、セキュリティ・モジュールと呼ばれる一意で柔軟なアーキテクチャを使用して、特殊な属性を評価し、さらにきめ細かくアクセス制御も決定できます。サーバーのスタンドアロン管理サービスでは、複雑な資格ポリシーを管理し、ポリシーの決定および実施ポイントに配布します。セキュリティ・モジュールは、一元化モードで実行するか、アプリケーション内に組み込むことができます。これにより、ビジネス・クリティカル・アプリケーションの柔軟性が最大化し、高いパフォーマンスが実現されます。
Oracle Identity Analytics(旧名Sun Role Manager)を使用すると、企業は、ロールの計画と管理、およびアイデンティティベースの重要な制御の自動化を実現できます。その主な機能には、アイデンティティ、アクセスおよび監査のデータを複雑な分析上の問合せに対応できるように最適化して中央リポジトリに格納する機能、ユーザーのアクセスを360度の視野で確認できる自動認証プロセス、職務の分離(SoD)の施行、ロールのライフサイクル管理、様々なコンプライアンスおよび操作ダッシュボードなどがあります。
Oracle Identity Federation
Oracle Identity Federationは、業界最高レベルのフェデレーション・ソリューションであり、既存のアイデンティティおよびアクセス管理システムとともに迅速にデプロイ可能な、自己完結型の柔軟なマルチプロトコル・フェデレーション・サーバーを提供します。業界標準ベースのプロトコルをサポートしているので、ベンダー、顧客およびビジネス・パートナーとの間でアイデンティティ情報を共有できる相互運用性があり、アイデンティティ情報や資格証明を追加で維持管理、運用するための追加コストも発生しません。
Oracle Identity Manager
Oracle Identity Managerは、ベストインクラスのユーザー・プロビジョニングおよび管理ソリューションです。これによって、アプリケーションやディレクトリに対してユーザー・アカウントの追加、更新および削除を行うプロセスが自動化されます。さらに、ユーザー・アクセスをレポートし証明するようにきめ細かいレポートと証明サポートを提供し、法規制のコンプライアンスが向上します。
Oracle Internet DirectoryはLDAP v3準拠のディレクトリで、メタディレクトリ機能があります。業界先進のOracleデータベース上に構築され、Oracle Fusion MiddlewareおよびOracle Applicationsに完全に統合されています。そのため、Oracle環境やOracleデータベースのノウハウを持つ企業に適しています。
Oracle Internet Directoryでは、送信中のデータからストレージやバックアップに至るすべてのレベルでセキュリティが確保されます。また、LDAPセキュリティに加えて、Database Vaultや透過的データ暗号化などのOracleデータベース・セキュリティ機能も活用されます。Database Vaultでは職務の分離(SoD)を実行でき、透過的データ暗号化ではストレージとバックアップ内のデータのセキュリティが確保されます。
Oracle Platform Security Services(OPSS)
Oracle Platform Security Services(OPSS)では、企業の製品開発チーム、システム・インテグレータ(SI)および独立系ソフトウェア・ベンダー(ISV)に、Java Standard Edition(Java SE)およびJava Enterprise Edition(Java EE)のアプリケーション向けに標準ベースで移植可能な企業向け統合セキュリティ・フレームワークを提供します。
OPSSは、標準ベースのアプリケーション・プログラミング・インタフェース(API)形式の抽象レイヤーを提供し、これにより開発者はセキュリティおよびID管理を実装する細かな作業から解放されます。社内開発アプリケーション、サード・パーティ製アプリケーションおよび統合アプリケーションのすべてにおいて、企業全体にわたって均一なセキュリティ、ID管理および監査サービスのメリットを享受します。
OPSSを活用すると、開発者は暗号鍵管理の詳細や、ユーザー・リポジトリおよびその他のアイデンティティ管理インフラストラクチャでのインタフェースの詳細を意識する必要はありません。
Oracle Security Token Serviceブローカは、Webサービス利用者(WSC)とWebサービス・プロバイダ(WSP)との間において信頼関係があり、セキュリティ・トークンのライフサイクル管理サービスを利用者とプロバイダに提供します。
Oracle Security Token ServiceはOracle Access Managerに準拠し、Oracle Access Managerと共存します(トークンをリクエストするWebクライアントのプライマリ・オーセンティケータとしてOracle Access Managerを使用)。
Oracle Virtual Directoryでは、同期化しなくてもアイデンティティの集約と仮想化が実現されます。これは、LDAPストレージではなく仮想化サービスです。主な機能には、アイデンティティ用の単一インタフェース、データベースやWebサービスなどの非LDAPデータ用のLDAPインタフェース、データ変換機能、アプリケーション固有のデータ・ビューがあります。
ディレクトリ・ストレージも必要なお客様向けに、Oracle Virtual Directoryでは、統合された管理システムがOracle Internet Directoryと共有されています。
Oracle Web Services Manager
Oracle Web Services Managerは、ポリシー駆動型のベスト・プラクティスを既存のWebサービスや新規のWebサービスすべてに追加するための包括的なソリューションです。これによって、複数の部門アプリケーション間においてサービス指向アーキテクチャのデプロイに必要な鍵のセキュリティおよび管理機能を実現します。
Oracle Web Services Managerは、WSポリシーに基づいた、Oracle Fusion Middlewareのポリシー・モデルです。Oracle Web Services Managerによって、Oracle WebCenter、Oracle ADF、OSBなど多くのOracle Fusion Middlewareコンポーネントのセキュリティが確保されます。
Oracle Web Services Managerにより、IT管理ではWebサービス操作(アクセス・ポリシー、ロギング・ポリシー、ロード・バランシングなど)を管理するポリシーを一元的に定義でき、こうしたポリシーをWebサービスにラップできます。その際、Webサービスの変更は不要になります。
Oracle Web Services Managerでは、サービスの品質を確保するために監視した統計データ、稼働時間およびセキュリティ上の脅威を収集し、Webダッシュボードに表示します。
Oracle Wallet
Oracle Walletは、証明書、信頼できる証明書、証明書リクエスト、秘密鍵などの資格証明を格納するコンテナです。Oracle Walletはファイル・システム上に格納できますし、Oracle Internet DirectoryなどのLDAPディレクトリにも格納できます。Oracle Walletは自動ログイン・ウォレットまたはパスワード保護されたウォレットにできます。
Oracle Walletは次のコンポーネントに使用します。
Oracle HTTP Server
Oracle Web Cache
Oracle Internet Directory
パートナ・アプリケーション
パートナ・アプリケーションは、Oracle Application ServerベースのアプリケーションまたはOracleAS SSO(OSSO)サーバーに認証機能を委任しているOracle以外のアプリケーションです。OSSOで認証済のユーザーがアプリケーションの使用を認可されるかどうかは、パートナ・アプリケーションで決定されます。パートナ・アプリケーションには、Oracle Portal、Oracle Discoverer、Oracle Delegated Administration Servicesなどがあります。
|
注意: Oracle Access Manager 11gを使用することをお薦めします。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Access Manager 11g SSOの概要に関する項を参照してください。 |
Security Assertions Markup Language(SAML)
Security Assertions Markup Language(SAML)は、インターネットでセキュリティ情報を交換する際に利用するXMLベースのフレームワークです。SAMLでは、SAMLを使用しなければ相互運用できない様々なセキュリティ・サービス・システム間で、認証情報および認可情報を交換できるようになります。
シングル・サインオン
シングル・サインオンでは、ユーザーは一度認証されると、再認証を要求されることなく複数のアプリケーションへのアクセス権が付与されます。
システム・コンポーネント
システム・コンポーネントは、Oracle WebLogic Server以外の管理可能なプロセスです。Oracle HTTP ServerやOracle Internet Directoryがその例です。
Webサービス・セキュリティ
Webサービス・セキュリティには、認証と認可(前述で説明済み)、機密保護とプライバシ(情報を秘密にする)、整合性と否認不可(機関がデジタル署名をすることでメッセージが転送中に変更されないようにし、また、デジタル署名で送信者を検証し、送信者か受信者が後でトランザクションを否認できないようにタイムスタンプを提供する)が含まれます。Webサービス・セキュリティの要件は、XMLフレームワーク(たとえばXML暗号化、XML署名、Security Assertion Markup Language(SAML)など)に依存するアプリケーション・レベルおよびトランスポート・レベル(Secure Socket Layer)両方で、業界標準によってサポートされています。
eXtensible Access Control Markup Language(XACML)
XACMLは、アクセス制御ポリシーと、アクセス制御のリクエストやレスポンスの要件の両方を指定する言語の宣言的な標準です。
Oracle Fusion Middlewareのセキュリティとは、11g リリース1(11.1.1)のアプリケーション・ライフサイクル全体でアプリケーションが使用可能なすべてのセキュリティオプションをいいます。まず、Oracle WebLogic Serverはこのリリースから、Oracle Fusion Middlewareのアプリケーション・サーバーとなっていることに注意することが重要です。既存のユーザーは、今までと同じ構成ツールを使用して、Oracle WebLogic Serverで提供されるセキュリティ機能を継続して使用できます。
Oracle WebLogic Serverのセキュリティは、11g リリース1(11.1.1)では変更されていないので、ベース・コンテナやJavaEEセキュリティの管理に、既存のOracle WebLogic Serverツールを使用できます。
Oracle Fusion Middlewareでは、次のように、認証およびシングル・サインオンのオプションを幅広くサポートしています。
認証プロバイダ
認証プロバイダにより、Oracle WebLogic Serverでは、ユーザーを検証することにより信頼を確立できます。
IDアサーション・プロバイダは、境界ベースの認証および複数のセキュリティ・プロトコルやトークン・タイプを処理する認証プロバイダの一種です。
アイデンティティ・ストア
詳細は、「アイデンティティ・ストア」を参照してください。
10g Oracle Single Sign-Onおよび10g Oracle Access Managerのサポート
Oracle WebLogic Serverには、両方の製品の認証プロバイダが含まれています。
前述のように(第1.1項「用語集」を参照)、Oracle Platform Security Services(OPSS)では、Java Standard Edition(Java SE)およびJava Enterprise Edition(Java EE)のアプリケーション向けに標準ベースで移植可能な企業向け統合セキュリティ・フレームワークを提供します。
OPSSでは、Oracle WebLogic Serverおよび次のようなOracleコンポーネントにセキュリティ・サービスを提供します。
Oracle SOA Suite
Oracle WebCenter
Oracle Entitlement Server
Oracle Web Services Manager
OPSSには、Oracle WebLogic Serverのセキュリティ・サービス・プロバイダ・インタフェースと、Oracleの10gセキュリティ・フレームワーク(Java Platform Security(JPS)と呼ばれる)が組み込まれます。
詳細は、第2章「Oracle Platform Security Servicesについて」を参照してください。
トランスポート・レベルでは、Oracle SOA Suiteは、主としてOracle WebLogic ServerおよびOracle Fusion Middlewareのセキュリティ機能に依存しています。たとえば、Oracle WebLogic Server管理コンソールを使用してリスナーを構成することで、Oracle SOA SuiteでOracle WebLogic Serverに接続する際にSecure Socket Layer(SSL)を有効化します。メッセージ・レベルでは、Oracle SOA SuiteはOracle Web Services Managerに依存しています。
さらに、セキュリティには次のようにスイート固有の側面があります。
双方向SSL
Oracle SOA SuiteとOracle HTTP Serverとの間におけるSSL
Security Assertion Markup Language(SAML)のシングル・サインオン環境において1番目のOracle BPM Worklistから2番目のOracle BPM Worklistにアクセスする際における自動認証
KerberosによるWindowsのネイティブ認証環境におけるのOracle BPM Worklistユーザーの自動認証
Oracle Business Activity Monitoringの保護
資格証明マッピング
Oracle BAMユーザー権限
Oracle BAMでのOracle Internet Directory
Oracle User Messaging Serviceの保護
資格証明ストアのパスワードのような機密に関するドライバ・プロパティのセキュア・ストレージ
SSLを使用した、トランスポートレベルのセキュリティ
詳細は、『Oracle Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suite管理者ガイド』を参照してください。
メッセージ・レベルでは、Oracle WebCenterは、セキュリティに関してOracle Web Services Managerに依存しています。
アプリケーション・レイヤーに加えて、Oracle WebCenterでは、4つのセキュリティ・レイヤーをサポートしています。
WebCenter Spacesアプリケーションでは、次のものをサポートしています。
アプリケーション・ロール管理および権限マッピング
自動登録
グループ・スペースのセキュリティ管理
アカウントおよびパスワードの管理
WebCenterのセキュリティ・フレームワークでは、次のものをサポートしています。
サービス・セキュリティ拡張フレームワーク
権限マッピング・ベースおよびロール・マッピング・ベースの認可
外部アプリケーションおよび資格証明マッピング
ADF Securityでは、次のものをサポートしています。
ページおよびタスク・フローの認可
セキュアな接続管理
資格証明マッピングAPI
Oracle Platform Security Services(OPSS)では、次のものをサポートしています。
匿名ロールおよび認証ロールのサポート
アイデンティティ・ストア、ポリシー・ストアおよび資格証明ストア
アイデンティティ管理サービス
Oracle Web Services Managerセキュリティ
詳細は、Oracle Fusion Middleware Oracle WebCenter管理者ガイドのセキュリティの管理に関する項を参照してください。
セキュリティは、Oracle Fusion Middlewareインフラストラクチャおよびそこで構築された企業向けアプリケーションへの制御されたアクセスとして定義できます。
図1-1は、Oracle Fusion Middlewareによる典型的な3層の企業環境のサポートの概要を示しています。
このモデルの概要は次のとおりです。
Web層は、WebCacheやOracle HTTP Serverのようなコンポーネントで構成され、リソースを保護し、アプリケーションへのアクセスを制御します。
中間層ではOracle WebLogic Serverを実行し、セキュリティ・サービス・プロバイダ・インタフェース(SPI)およびAPIをホストします。Oracle SOA Suite、Oracle WebCenter、Oracle Web Services ManagerなどのOracle Fusion Middlewareコンポーネントは中間層で稼働します。
データ層は、Oracle Internet Directory、Oracle Virtual Directory、Oracle Databaseなど、LDAPディレクトリとデータベースのリポジトリです。
次の図に、Oracle Fusion Middlewareのセキュリティにおける主な要素のハイレベルな概要を示します。
この図には、Oracle Fusion Middlewareのセキュリティの要素が示されています。左側のWeb層には、ロード・バランサおよびファイアウォールの外側にあるその他のコンポーネントが含まれています。中間層は、Oracle WebLogic Serverとそのアプリケーションをホストしています。右側のデータ層には、データベースとディレクトリがあります。異なる管理ツールが図の上部に示されています。
このアーキテクチャの主な要素は次のとおりです。
Fusion Middleware Control: Oracle Fusion MiddlewareのGUIベース管理ツールです。Fusion Middleware Controlを使用して、コンポーネントやアプリケーションの構成、管理および監視を行い、次のコンポーネントに対してセキュリティを実装します。
Oracle HTTP Server
Oracle Web Cache
Oracle Internet Directory
Oracle Virtual Directory
Oracle WebLogic Serverは、Oracle Fusion Middlewareコンポーネント(Oracle SOA Suite、Oracle Identity Management、Oracle WebCenterなど)およびアプリケーション(顧客、システム・インテグレータおよびサード・パーティ・ベンダーが開発したもの)用のアプリケーション・サーバーです。
縦の破線はファイアウォールを表しています。
図中の丸印は、セキュアな通信用にSSLを有効化できるリスナーを表しています。
詳細は、第4章「インフラストラクチャのセキュリティ強化」を参照してください。
Oracle Fusion Middlewareには、次のようなグラフィカル・ランタイム・ツールとコマンドライン・ランタイム・ツールが含まれています。
Oracle WebLogic Server管理コンソールにより、サーバーで実行されているJavaEEアプリケーションとOracle WebLogic Serverドメインを構成できます。
Fusion Middleware Controlにより、サーバーで実行されるOracleアプリケーションを構成でき、OPSS APIに依存するセキュリティ機能を利用できます。
Oracle WebLogic Scripting Tool(WLST)は、コマンドラインのスクリプティング環境で、WebLogic Serverドメインの作成、管理および監視、さらにOracle Fusion Middlewareのセキュリティ機能の管理に使用できます。
