ヘッダーをスキップ
Oracle® Fusion Middleware Oracle WebLogic Serverの保護
12
c
リリース1 (12.1.1)
B65913-02
ライブラリ
製品
次
目次
タイトルおよび著作権情報
はじめに
ドキュメントのアクセシビリティについて
表記規則
1
概要とロードマップ
マニュアルの内容と対象読者
このドキュメントの手引き
関連情報
セキュリティのサンプルとチュートリアル
WebLogic Server配布キットのセキュリティ・サンプル
ダウンロード可能な他のサンプル
セキュリティに関する新機能と変更点
2
セキュリティ管理の概要
WebLogic Serverのセキュリティ・レルム
セキュリティ・プロバイダ
セキュリティ・ポリシーとWebLogicリソース
WebLogicリソース
デプロイメント記述子とWebLogic Server管理コンソール
WebLogic Serverのデフォルト・セキュリティ構成
WebLogicセキュリティの構成:主な手順
セキュリティの構成方法
互換性セキュリティとは
互換性セキュリティで実行できる管理タスク
3
デフォルト・セキュリティ構成のカスタマイズ
デフォルト・セキュリティ構成をカスタマイズする理由
新しいセキュリティ・レルムを作成する前に
新しいセキュリティ・レルムの作成と構成:主な手順
4
WebLogicセキュリティ・プロバイダの構成
セキュリティ・プロバイダを構成する必要がある場合
セキュリティ・プロバイダの並替え
デプロイメント時のセキュリティ・ポリシーとロール変更の同期を有効化
認可プロバイダの構成
WebLogic裁決プロバイダの構成
ロール・マッピング・プロバイダの構成
WebLogic監査プロバイダの構成
監査ContextHandler要素
構成監査
構成監査の有効化
構成監査メッセージ
監査イベントと監査プロバイダ
WebLogic資格証明マッピング・プロバイダの構成
PKI資格証明マッピング・プロバイダの構成
PKI資格証明マッピング属性
資格証明アクション
SAML 1.1用のSAML資格証明マッピング・プロバイダの構成
アサーションの存続期間の構成
リライイング・パーティ・レジストリ
SAML 2.0用のSAML 2.0資格証明マッピング・プロバイダの構成
SAML 2.0資格証明マッピング・プロバイダの属性
サービス・プロバイダ・パートナ
Webサービス・パートナに必要なパートナ・ルックアップ文字列
パートナ証明書の管理
サービス・プロバイダ・パートナの属性を構成するためのJavaインタフェース
証明書ルックアップおよび検証フレームワークの構成
証明書パス・プロバイダ
証明書レジストリ
WebLogicキーストア・プロバイダの構成
5
認証プロバイダの構成
認証プロバイダの選択
複数の認証プロバイダの使用
JAAS制御フラグ・オプションの設定
認証プロバイダの順序の変更
WebLogic認証プロバイダの構成
ユーザー属性の設定
LDAP認証プロバイダの構成
WebLogic Serverに含まれるLDAP認証プロバイダ
LDAP認証プロバイダを使用するための要件
LDAP認証プロバイダの構成:主な手順
他のLDAPサーバーへのアクセス
SSL用のLDAP認証プロバイダの有効化
動的グループとWebLogic Server
WebLogicプリンシパルでのGUIDおよびLDAP DNデータの使用
Oracle Internet DirectoryおよびOracle Virtual Directory認証プロバイダでのユーザーおよびグループの構成
ユーザーおよびグループの名前タイプの構成
静的グループの構成
Oracle Internet Directory認証プロバイダの構成例
LDAP認証プロバイダのフェイルオーバーの構成
LDAPフェイルオーバーの例1
LDAPフェイルオーバーの例2
Active Directory認証プロバイダの参照への遵守
WebLogic認証プロバイダとLDAP認証プロバイダのパフォーマンスの向上
グループ・メンバーシップ・キャッシュの最適化
接続プール・サイズとユーザー・キャッシュの最適化
iPlanet認証プロバイダでの動的グループの構成によるパフォーマンスの向上
プリンシパル検証プロバイダ・キャッシュの最適化
Active Directory認証プロバイダの構成によるパフォーマンスの向上
RDBMS認証プロバイダの構成
一般的なRDBMS認証プロバイダ属性
データ・ソース属性
グループ検索属性
グループ・キャッシング属性
SQL認証プロバイダの構成
パスワード属性
SQL文属性
読取り専用SQL認証プロバイダの構成
カスタムDBMS認証プロバイダの構成
プラグイン・クラス属性
Windows NT認証プロバイダの構成
ドメイン・コントローラの設定
LogonTypeの設定
UPN名の設定
SAML認証プロバイダの構成
パスワード検証プロバイダの構成
パスワード検証プロバイダのパスワード構成ルール
パスワード検証プロバイダとWebLogic認証プロバイダの併用
LDAP認証プロバイダでのパスワード検証プロバイダの使用
WLSTを使用したパスワード検証プロバイダの作成と構成
パスワード検証プロバイダのインスタンスの作成
パスワード構成ルールの指定
IDアサーション・プロバイダの構成
LDAP X509 IDアサーション・プロバイダの仕組み
LDAP X509 IDアサーション・プロバイダの構成:主な手順
ネゴシエーションIDアサーション・プロバイダの構成
SAML 1.1用のSAML IDアサーション・プロバイダの構成
アサーティング・パーティ・レジストリ
証明書レジストリ
SAML 2.0用のSAML 2.0 IDアサーション・プロバイダの構成
IDプロバイダ・パートナ
サーブレットに対するIDアサーションの順序付け
サーバー・キャッシュのIDアサーション・パフォーマンスの構成
ユーザー名マッパーの構成
カスタム・ユーザー名マッパーの構成
6
Microsoftのクライアントに対するシングル・サインオンの構成
Microsoftのクライアントに対するシングル・サインオンの概要
Microsoftのクライアントを含むSSOに必要なシステム要件
MicrosoftクライアントでSSOをサポートするためのホスト・コンピュータの要件
SSOを使用するMicrosoftクライアントをサポートするためのクライアント・コンピュータの要件
Microsoftのクライアントに対するシングル・サインオン:主な手順
Kerberosを使用するためのネットワーク・ドメインの構成
WebLogic Server用のKerberos IDの作成
ステップ1: ホスト・コンピュータのユーザー・アカウントの作成
ステップ2: Kerberosに準拠するユーザー・アカウントの構成
ステップ3: サービス・プリンシパル名の定義とサービスのキータブの作成
WindowsシステムでのSPNの定義とキータブの作成
UNIXシステムでのSPNの定義とキータブの作成
ステップ4: 正しい設定の検証
ステップ5: デフォルトのJDKセキュリティ・ポリシー・ファイルの更新
Microsoftのクライアントで統合Windows認証を使用するための構成
.NET Webサービスの構成
Internet Explorerブラウザの構成
ローカル・イントラネット・ドメインの構成
イントラネット認証の構成
プロキシ設定の検証
Internet Explorer 6.0用の統合認証の設定
Mozilla Firefoxブラウザの構成
Java SEクライアント・アプリケーションの構成
JAASログイン・ファイルの作成
IDアサーション・プロバイダの構成
WebLogic ServerでのKerberos認証における起動引数の使用
Microsoftのクライアントに対するSSOの構成の検証
7
WebブラウザとHTTPクライアントによるシングル・サインオンの構成
SAMLホワイト・ペーパーを使用したシングル・サインオンの構成
Webシングル・サインオン・シナリオ用SAMLのAPIサンプル
SAML 1.1サービスの構成
SAML 1.1でのシングル・サインオンの有効化:主な手順
ソース・サイトの構成:主な手順
宛先サイトの構成:主な手順
シングル・サインオン用のSAML 1.1ソース・サイトの構成
SAML 1.1資格証明マッピング・プロバイダの構成
ソース・サイト・フェデレーション・サービスの構成
リライイング・パーティの構成
デフォルトのアサーション・ストアの置換え
シングル・サインオン用のSAML 1.1宛先サイトの構成
SAML IDアサーション・プロバイダの構成
宛先サイト・フェデレーション・サービスの構成
アサーティング・パーティの構成
WLSTを使用したリライイング・パーティとアサーティング・パーティの構成
SAML 2.0サービスの構成
SAML 2.0サービスの構成:主な手順
SAML 2.0全般サービスの構成
SAML 2.0全般サービスについて
メタデータ・ファイルの公開と配布
SAML 2.0シングル・サインオン用のIDプロバイダ・サイトの構成
SAML 2.0資格証明マッピング・プロバイダの構成
SAML 2.0 IDプロバイダ・サービスの構成
Webシングル・サインオン・サービス・プロバイダ・パートナの作成と構成
SAML 2.0シングル・サインオン用のサービス・プロバイダ・サイトの構成
SAML 2.0 IDアサーション・プロバイダの構成
SAML認証プロバイダの構成
SAML 2.0全般サービスの構成
SAML 2.0サービス・プロバイダ・サービスの構成
Webシングル・サインオンIDプロバイダ・パートナの作成と構成
パートナ・サイト、証明書、サービス・エンドポイント情報の表示
SAML 2.0におけるWebアプリケーション・デプロイメントの考慮事項
デプロイメント記述子に関する推奨事項
クラスタ環境におけるログイン・アプリケーションの考慮事項
強制認証とパッシブ属性の有効化による無効な構成
SAML 1.1および2.0のデバッグの有効化
SAMLデバッグ・スコープおよび属性について
コマンドラインを使用してデバッグの有効化
WebLogic Server管理コンソールを使用してデバッグの有効化
WebLogic Scripting Toolを使用してデバッグの有効化
標準出力へのデバッグ・メッセージの送信
8
セキュリティ・データの移行
セキュリティ・データ移行の概要
移行の概念
WebLogicセキュリティ・プロバイダでサポートされるフォーマットと制約
WLSTを使用したデータの移行
9
RDBMSセキュリティ・ストアの管理
RDBMSセキュリティ・ストアを使用するセキュリティ・プロバイダ
RDBMSセキュリティ・ストアの構成
RDBMSセキュリティ・ストアを使用するドメインの作成
データベース接続プロパティの指定
データベース接続のテスト
セキュリティ・データ・ストア内でのRDBMS表の作成
RDBMSセキュリティ・ストアのJMSトピックの構成
障害発生時のJMS接続リカバリの構成
RDBMSセキュリティ・ストアを使用するドメインのアップグレード
10
組込みLDAPサーバーの管理
組込みLDAPサーバーの構成
組込みLDAPサーバーのレプリケーション
LDAPブラウザからの組込みLDAPサーバーの内容の表示
組込みLDAPサーバーの情報のエクスポートおよびインポート
LDAPアクセス制御の構文
アクセス制御ファイル
アクセス制御の場所
アクセス制御のスコープ
アクセス権
属性の権限
エントリの権限
属性タイプ
サブジェクト・タイプ
評価ルールの付与または拒否
バックアップおよびリカバリ
11
IDと信頼の構成
秘密鍵、デジタル証明書、信頼性のある認証局
IDと信頼のサポートされるフォーマット
IDキーストアと信頼キーストア
WebLogic Serverが信頼を検索する方法
IDと信頼の構成:主な手順
「秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の取得」
を参照してください。
keytoolユーティリティの使い方
CertGenユーティリティの使い方
独自の認証局の使い方
Microsoft p7bフォーマットからPEMフォーマットへの変換
Webブラウザのデジタル証明書の取得
証明書チェーンの使い方(非推奨)
「秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の格納」
を参照してください。
デモンストレーション用キーストアの使用
キーストアの作成および秘密鍵と証明書の読込みに使用するツールとユーティリティ
クライアントのデモ証明書の構成
WebLogic Server用のIDおよび信頼キーストアの構成
本番用のキーストアの構成
WebLogicキーストア・プロバイダによってアクセスできるファイルまたはJKSキーストアに保存される鍵と証明書の構成
キーストアの作成: サンプル
証明書コールバック・ハンドラを使用したエンド・ユーザー証明書の検証
エンド・ユーザー証明書コールバック・ハンドラが機能する仕組み
証明書コールバック実装の作成
WebLogic Serverを使用した証明書コールバックの構成
12
SSLの構成
SSLの概要
一方向および双方向SSL
サポートされるJava Secure Socket Extension (JSSE) SSL実装
SSLの設定:主な手順
ホスト名検証の使い方
デフォルトのWebLogic Serverホスト名検証の使用
ワイルドカードのあるホスト名検証の使用
ワイルドカードのあるホスト名検証の仕組み
ワイルドカードのあるホスト名検証の構成
カスタム・ホスト名検証の使用
発信双方向SSL接続のクライアント証明書の指定
SSLのデバッグ
SSLデバッグを有効化するためのコマンド・ライン・プロパティ
SSLセッションの動作
SSLを使用したRMI over IIOPの構成
SSL証明書の検証
証明書検証のレベルの制御
証明書の証明書ポリシーの受け入れ
証明書チェーンのチェック
証明書ルックアップと検証のプロバイダ
WebLogic ServerでのSSL証明書検証の動作
証明書検証に関する問題のトラブルシューティング
WebLogic ServerでのnCipher JCEプロバイダの使い方
SSLプロトコルのバージョンの指定
weblogic.security.SSL.protocolVersionシステム・プロパティの使用
weblogic.security.SSL.minimumProtocolVersionシステム・プロパティの使用
JSSEベースのSSL実装で有効なプロトコル
JSSEベースSSL実装の使用
JSSEベース実装とCerticom SSL実装とのシステム・プロパティの相違
暗号スイート
サポートされる暗号スイートのリスト
サポートされる暗号スイートの後方互換性
暗号スイート名の等価物
WLSTを使用した暗号スイートの設定: サンプル
JSSE SSLでのデバッグの使用
WebLogic ServerでのRSA JSSEプロバイダの使用
X.509証明書失効チェック
証明書失効チェックの概要
デフォルトのCRチェック構成の有効化
デフォルトのCRチェックの構成
CRチェック構成のカスタマイズ
WebLogic Serverで使用するCRチェック方法の選択
失効ステータスを特定できない場合のSSL証明書パス検証の失敗
Online Certificate Status Protocolの使用
OCSPリクエストでのNonceの使用
レスポンス・タイムアウト時間の設定
OCSPレスポンス・ローカル・キャッシュの有効化および構成
証明書失効リストの使用
配布ポイントからの更新の有効化
CRLローカル・キャッシュの構成
認証局オーバーライドの構成
一般的な認証局オーバーライド
認証局オーバーライドのOCSPプロパティの構成
認証局オーバーライドのCRLプロパティの構成
13
WebLogicドメインのセキュリティの構成
クロス・ドメイン・セキュリティのサポートに関する重要な情報
WebLogic Serverドメイン間の信頼関係の有効化
WebLogic Serverドメイン間のクロス・ドメイン・セキュリティの有効化
クロス・ドメイン・セキュリティの構成
クロス・ドメイン・ユーザーの構成
クロス・ドメイン・セキュリティ用の資格証明マッピングの構成
グローバル信頼の有効化
接続フィルタの使用
Java Authorization Contract for Containersの使用
MBean属性の表示
WebLogic Serverでのパスワードの保護の仕組み
ユーザー・アカウントの保護
JAAS認可を使用するドメインの構成
14
JASPICセキュリティの構成
JASPICメカニズムによるWebLogic Serverデフォルトのオーバーライド
JASPICの構成の前提条件
サーバー認証モジュールがクラスパス内にあること
カスタムの認証構成プロバイダがクラスパス内にあること
構成データの場所
ドメインのJASPIC構成
認証構成プロバイダの表示
WebアプリケーションのJASPIC構成
WLSTによるJASPICの構成
WLS認証構成プロバイダの作成
カスタムの認証構成プロバイダの作成
すべてのWLSおよびカスタム認証構成プロバイダのリスト
ドメインのJASPICの有効化
ドメインのJASPICの無効化
15
互換性セキュリティの使い方
互換性セキュリティの実行:主な手順
互換性セキュリティMBeanの可視性制限
CompatibilityRealmのデフォルト・セキュリティ構成
レルム・アダプタ認証プロバイダの構成
レルム・アダプタ認証プロバイダ内のIDアサーション・プロバイダの構成
レルム・アダプタ監査プロバイダの構成
互換性セキュリティでのユーザー・アカウントの保護
互換性セキュリティからの6.xセキュリティへのアクセス
16
セキュリティ構成MBean
SSLMBean
ServerMBean
EmbeddedLDAPMBean
RDBMSSecurityStoreMBean
SecurityMBean
SecurityConfigurationMBean
RealmMBean
WindowsNTAuthenticatorMBean
CustomDBMSAuthenticatorMBean
ReadonlySQLAuthenticatorMBean
SQLAuthenticatorMBean
DefaultAuditorMBean
互換性セキュリティMBean
UserLockoutManagerMBean
その他のセキュリティ・プロバイダMBean