目次

タイトルおよび著作権情報

はじめに

• ドキュメントのアクセシビリティについて
• 表記規則

1 概要とロードマップ

• マニュアルの内容と対象読者
• このドキュメントの手引き
• 関連情報
• セキュリティのサンプルとチュートリアル
  • WebLogic Server配布キットのセキュリティ・サンプル
  • ダウンロード可能な他のサンプル
• セキュリティに関する新機能と変更点

2 セキュリティ管理の概要

• WebLogic Serverのセキュリティ・レルム
• セキュリティ・プロバイダ
• セキュリティ・ポリシーとWebLogicリソース
  • WebLogicリソース
  • デプロイメント記述子とWebLogic Server管理コンソール
• WebLogic Serverのデフォルト・セキュリティ構成
• WebLogicセキュリティの構成:主な手順
• セキュリティの構成方法
• 互換性セキュリティとは
  • 互換性セキュリティで実行できる管理タスク

3 デフォルト・セキュリティ構成のカスタマイズ

• デフォルト・セキュリティ構成をカスタマイズする理由
• 新しいセキュリティ・レルムを作成する前に
• 新しいセキュリティ・レルムの作成と構成:主な手順

4 WebLogicセキュリティ・プロバイダの構成

• セキュリティ・プロバイダを構成する必要がある場合
• セキュリティ・プロバイダの並替え
• デプロイメント時のセキュリティ・ポリシーとロール変更の同期を有効化
• 認可プロバイダの構成
• WebLogic裁決プロバイダの構成
• ロール・マッピング・プロバイダの構成
• WebLogic監査プロバイダの構成
  • 監査ContextHandler要素
  • 構成監査
  • 構成監査の有効化
  • 構成監査メッセージ
  • 監査イベントと監査プロバイダ
• WebLogic資格証明マッピング・プロバイダの構成
• PKI資格証明マッピング・プロバイダの構成
  • PKI資格証明マッピング属性
  • 資格証明アクション
• SAML 1.1用のSAML資格証明マッピング・プロバイダの構成
  • アサーションの存続期間の構成
  • リライイング・パーティ・レジストリ
• SAML 2.0用のSAML 2.0資格証明マッピング・プロバイダの構成
  • SAML 2.0資格証明マッピング・プロバイダの属性
  • サービス・プロバイダ・パートナ
    • Webサービス・パートナに必要なパートナ・ルックアップ文字列
    • パートナ証明書の管理
    • サービス・プロバイダ・パートナの属性を構成するためのJavaインタフェース
• 証明書ルックアップおよび検証フレームワークの構成
  • 証明書パス・プロバイダ
  • 証明書レジストリ
• WebLogicキーストア・プロバイダの構成

5 認証プロバイダの構成

• 認証プロバイダの選択
• 複数の認証プロバイダの使用
  • JAAS制御フラグ・オプションの設定
  • 認証プロバイダの順序の変更
• WebLogic認証プロバイダの構成
  • ユーザー属性の設定
• LDAP認証プロバイダの構成
  • WebLogic Serverに含まれるLDAP認証プロバイダ
  • LDAP認証プロバイダを使用するための要件
  • LDAP認証プロバイダの構成:主な手順
  • 他のLDAPサーバーへのアクセス
  • SSL用のLDAP認証プロバイダの有効化
  • 動的グループとWebLogic Server
  • WebLogicプリンシパルでのGUIDおよびLDAP DNデータの使用
  • Oracle Internet DirectoryおよびOracle Virtual Directory認証プロバイダでのユーザーおよびグループの構成
    • ユーザーおよびグループの名前タイプの構成
    • 静的グループの構成
  • Oracle Internet Directory認証プロバイダの構成例
  • LDAP認証プロバイダのフェイルオーバーの構成
    • LDAPフェイルオーバーの例1
    • LDAPフェイルオーバーの例2
  • Active Directory認証プロバイダの参照への遵守
  • WebLogic認証プロバイダとLDAP認証プロバイダのパフォーマンスの向上
    • グループ・メンバーシップ・キャッシュの最適化
    • 接続プール・サイズとユーザー・キャッシュの最適化
    • iPlanet認証プロバイダでの動的グループの構成によるパフォーマンスの向上
    • プリンシパル検証プロバイダ・キャッシュの最適化
    • Active Directory認証プロバイダの構成によるパフォーマンスの向上
• RDBMS認証プロバイダの構成
  • 一般的なRDBMS認証プロバイダ属性
    • データ・ソース属性
    • グループ検索属性
    • グループ・キャッシング属性
  • SQL認証プロバイダの構成
    • パスワード属性
    • SQL文属性
  • 読取り専用SQL認証プロバイダの構成
  • カスタムDBMS認証プロバイダの構成
    • プラグイン・クラス属性
• Windows NT認証プロバイダの構成
  • ドメイン・コントローラの設定
  • LogonTypeの設定
  • UPN名の設定
• SAML認証プロバイダの構成
• パスワード検証プロバイダの構成
  • パスワード検証プロバイダのパスワード構成ルール
  • パスワード検証プロバイダとWebLogic認証プロバイダの併用
  • LDAP認証プロバイダでのパスワード検証プロバイダの使用
  • WLSTを使用したパスワード検証プロバイダの作成と構成
    • パスワード検証プロバイダのインスタンスの作成
    • パスワード構成ルールの指定
• IDアサーション・プロバイダの構成
  • LDAP X509 IDアサーション・プロバイダの仕組み
  • LDAP X509 IDアサーション・プロバイダの構成:主な手順
  • ネゴシエーションIDアサーション・プロバイダの構成
  • SAML 1.1用のSAML IDアサーション・プロバイダの構成
    • アサーティング・パーティ・レジストリ
    • 証明書レジストリ
  • SAML 2.0用のSAML 2.0 IDアサーション・プロバイダの構成
    • IDプロバイダ・パートナ
  • サーブレットに対するIDアサーションの順序付け
  • サーバー・キャッシュのIDアサーション・パフォーマンスの構成
  • ユーザー名マッパーの構成
  • カスタム・ユーザー名マッパーの構成

6 Microsoftのクライアントに対するシングル・サインオンの構成

• Microsoftのクライアントに対するシングル・サインオンの概要
• Microsoftのクライアントを含むSSOに必要なシステム要件
  • MicrosoftクライアントでSSOをサポートするためのホスト・コンピュータの要件
  • SSOを使用するMicrosoftクライアントをサポートするためのクライアント・コンピュータの要件
• Microsoftのクライアントに対するシングル・サインオン:主な手順
• Kerberosを使用するためのネットワーク・ドメインの構成
• WebLogic Server用のKerberos IDの作成
  • ステップ1: ホスト・コンピュータのユーザー・アカウントの作成
  • ステップ2: Kerberosに準拠するユーザー・アカウントの構成
  • ステップ3: サービス・プリンシパル名の定義とサービスのキータブの作成
    • WindowsシステムでのSPNの定義とキータブの作成
    • UNIXシステムでのSPNの定義とキータブの作成
  • ステップ4: 正しい設定の検証
  • ステップ5: デフォルトのJDKセキュリティ・ポリシー・ファイルの更新
• Microsoftのクライアントで統合Windows認証を使用するための構成
  • .NET Webサービスの構成
  • Internet Explorerブラウザの構成
    • ローカル・イントラネット・ドメインの構成
    • イントラネット認証の構成
    • プロキシ設定の検証
    • Internet Explorer 6.0用の統合認証の設定
  • Mozilla Firefoxブラウザの構成
  • Java SEクライアント・アプリケーションの構成
• JAASログイン・ファイルの作成
• IDアサーション・プロバイダの構成
• WebLogic ServerでのKerberos認証における起動引数の使用
• Microsoftのクライアントに対するSSOの構成の検証

7 WebブラウザとHTTPクライアントによるシングル・サインオンの構成

• SAMLホワイト・ペーパーを使用したシングル・サインオンの構成
• Webシングル・サインオン・シナリオ用SAMLのAPIサンプル
• SAML 1.1サービスの構成
  • SAML 1.1でのシングル・サインオンの有効化:主な手順
    • ソース・サイトの構成:主な手順
    • 宛先サイトの構成:主な手順
  • シングル・サインオン用のSAML 1.1ソース・サイトの構成
    • SAML 1.1資格証明マッピング・プロバイダの構成
    • ソース・サイト・フェデレーション・サービスの構成
    • リライイング・パーティの構成
    • デフォルトのアサーション・ストアの置換え
  • シングル・サインオン用のSAML 1.1宛先サイトの構成
    • SAML IDアサーション・プロバイダの構成
    • 宛先サイト・フェデレーション・サービスの構成
    • アサーティング・パーティの構成
  • WLSTを使用したリライイング・パーティとアサーティング・パーティの構成
• SAML 2.0サービスの構成
  • SAML 2.0サービスの構成:主な手順
  • SAML 2.0全般サービスの構成
    • SAML 2.0全般サービスについて
    • メタデータ・ファイルの公開と配布
  • SAML 2.0シングル・サインオン用のIDプロバイダ・サイトの構成
    • SAML 2.0資格証明マッピング・プロバイダの構成
    • SAML 2.0 IDプロバイダ・サービスの構成
    • Webシングル・サインオン・サービス・プロバイダ・パートナの作成と構成
  • SAML 2.0シングル・サインオン用のサービス・プロバイダ・サイトの構成
    • SAML 2.0 IDアサーション・プロバイダの構成
    • SAML認証プロバイダの構成
    • SAML 2.0全般サービスの構成
    • SAML 2.0サービス・プロバイダ・サービスの構成
    • Webシングル・サインオンIDプロバイダ・パートナの作成と構成
  • パートナ・サイト、証明書、サービス・エンドポイント情報の表示
  • SAML 2.0におけるWebアプリケーション・デプロイメントの考慮事項
    • デプロイメント記述子に関する推奨事項
    • クラスタ環境におけるログイン・アプリケーションの考慮事項
    • 強制認証とパッシブ属性の有効化による無効な構成
• SAML 1.1および2.0のデバッグの有効化
  • SAMLデバッグ・スコープおよび属性について
  • コマンドラインを使用してデバッグの有効化
  • WebLogic Server管理コンソールを使用してデバッグの有効化
  • WebLogic Scripting Toolを使用してデバッグの有効化
  • 標準出力へのデバッグ・メッセージの送信

8 セキュリティ・データの移行

• セキュリティ・データ移行の概要
• 移行の概念
• WebLogicセキュリティ・プロバイダでサポートされるフォーマットと制約
• WLSTを使用したデータの移行

9 RDBMSセキュリティ・ストアの管理

• RDBMSセキュリティ・ストアを使用するセキュリティ・プロバイダ
• RDBMSセキュリティ・ストアの構成
  • RDBMSセキュリティ・ストアを使用するドメインの作成
    • データベース接続プロパティの指定
    • データベース接続のテスト
  • セキュリティ・データ・ストア内でのRDBMS表の作成
  • RDBMSセキュリティ・ストアのJMSトピックの構成
    • 障害発生時のJMS接続リカバリの構成
• RDBMSセキュリティ・ストアを使用するドメインのアップグレード

10 組込みLDAPサーバーの管理

• 組込みLDAPサーバーの構成
• 組込みLDAPサーバーのレプリケーション
• LDAPブラウザからの組込みLDAPサーバーの内容の表示
• 組込みLDAPサーバーの情報のエクスポートおよびインポート
• LDAPアクセス制御の構文
  • アクセス制御ファイル
  • アクセス制御の場所
  • アクセス制御のスコープ
  • アクセス権
    • 属性の権限
    • エントリの権限
  • 属性タイプ
  • サブジェクト・タイプ
  • 評価ルールの付与または拒否
• バックアップおよびリカバリ

11 IDと信頼の構成

• 秘密鍵、デジタル証明書、信頼性のある認証局
  • IDと信頼のサポートされるフォーマット
• IDキーストアと信頼キーストア
• WebLogic Serverが信頼を検索する方法
• IDと信頼の構成:主な手順
  • 「秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の取得」を参照してください。
    • keytoolユーティリティの使い方
    • CertGenユーティリティの使い方
    • 独自の認証局の使い方
    • Microsoft p7bフォーマットからPEMフォーマットへの変換
    • Webブラウザのデジタル証明書の取得
    • 証明書チェーンの使い方(非推奨)
  • 「秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の格納」を参照してください。
    • デモンストレーション用キーストアの使用
    • キーストアの作成および秘密鍵と証明書の読込みに使用するツールとユーティリティ
    • クライアントのデモ証明書の構成
  • WebLogic Server用のIDおよび信頼キーストアの構成
    • 本番用のキーストアの構成
    • WebLogicキーストア・プロバイダによってアクセスできるファイルまたはJKSキーストアに保存される鍵と証明書の構成
• キーストアの作成: サンプル
• 証明書コールバック・ハンドラを使用したエンド・ユーザー証明書の検証
  • エンド・ユーザー証明書コールバック・ハンドラが機能する仕組み
  • 証明書コールバック実装の作成
  • WebLogic Serverを使用した証明書コールバックの構成

12 SSLの構成

• SSLの概要
• 一方向および双方向SSL
• サポートされるJava Secure Socket Extension (JSSE) SSL実装
• SSLの設定:主な手順
• ホスト名検証の使い方
  • デフォルトのWebLogic Serverホスト名検証の使用
  • ワイルドカードのあるホスト名検証の使用
    • ワイルドカードのあるホスト名検証の仕組み
    • ワイルドカードのあるホスト名検証の構成
  • カスタム・ホスト名検証の使用
• 発信双方向SSL接続のクライアント証明書の指定
• SSLのデバッグ
  • SSLデバッグを有効化するためのコマンド・ライン・プロパティ
• SSLセッションの動作
• SSLを使用したRMI over IIOPの構成
• SSL証明書の検証
  • 証明書検証のレベルの制御
  • 証明書の証明書ポリシーの受け入れ
  • 証明書チェーンのチェック
  • 証明書ルックアップと検証のプロバイダ
  • WebLogic ServerでのSSL証明書検証の動作
  • 証明書検証に関する問題のトラブルシューティング
• WebLogic ServerでのnCipher JCEプロバイダの使い方
• SSLプロトコルのバージョンの指定
  • weblogic.security.SSL.protocolVersionシステム・プロパティの使用
  • weblogic.security.SSL.minimumProtocolVersionシステム・プロパティの使用
    • JSSEベースのSSL実装で有効なプロトコル
• JSSEベースSSL実装の使用
  • JSSEベース実装とCerticom SSL実装とのシステム・プロパティの相違
  • 暗号スイート
    • サポートされる暗号スイートのリスト
    • サポートされる暗号スイートの後方互換性
    • 暗号スイート名の等価物
    • WLSTを使用した暗号スイートの設定: サンプル
  • JSSE SSLでのデバッグの使用
• WebLogic ServerでのRSA JSSEプロバイダの使用
• X.509証明書失効チェック
  • 証明書失効チェックの概要
  • デフォルトのCRチェック構成の有効化
    • デフォルトのCRチェックの構成
    • CRチェック構成のカスタマイズ
  • WebLogic Serverで使用するCRチェック方法の選択
  • 失効ステータスを特定できない場合のSSL証明書パス検証の失敗
  • Online Certificate Status Protocolの使用
    • OCSPリクエストでのNonceの使用
    • レスポンス・タイムアウト時間の設定
    • OCSPレスポンス・ローカル・キャッシュの有効化および構成
  • 証明書失効リストの使用
    • 配布ポイントからの更新の有効化
    • CRLローカル・キャッシュの構成
  • 認証局オーバーライドの構成
    • 一般的な認証局オーバーライド
    • 認証局オーバーライドのOCSPプロパティの構成
    • 認証局オーバーライドのCRLプロパティの構成

13 WebLogicドメインのセキュリティの構成

• クロス・ドメイン・セキュリティのサポートに関する重要な情報
• WebLogic Serverドメイン間の信頼関係の有効化
  • WebLogic Serverドメイン間のクロス・ドメイン・セキュリティの有効化
    • クロス・ドメイン・セキュリティの構成
    • クロス・ドメイン・ユーザーの構成
    • クロス・ドメイン・セキュリティ用の資格証明マッピングの構成
  • グローバル信頼の有効化
• 接続フィルタの使用
• Java Authorization Contract for Containersの使用
• MBean属性の表示
• WebLogic Serverでのパスワードの保護の仕組み
• ユーザー・アカウントの保護
• JAAS認可を使用するドメインの構成

14 JASPICセキュリティの構成

• JASPICメカニズムによるWebLogic Serverデフォルトのオーバーライド
• JASPICの構成の前提条件
  • サーバー認証モジュールがクラスパス内にあること
  • カスタムの認証構成プロバイダがクラスパス内にあること
• 構成データの場所
• ドメインのJASPIC構成
• 認証構成プロバイダの表示
• WebアプリケーションのJASPIC構成
• WLSTによるJASPICの構成
  • WLS認証構成プロバイダの作成
  • カスタムの認証構成プロバイダの作成
  • すべてのWLSおよびカスタム認証構成プロバイダのリスト
  • ドメインのJASPICの有効化
  • ドメインのJASPICの無効化

15 互換性セキュリティの使い方

• 互換性セキュリティの実行:主な手順
• 互換性セキュリティMBeanの可視性制限
• CompatibilityRealmのデフォルト・セキュリティ構成
• レルム・アダプタ認証プロバイダの構成
• レルム・アダプタ認証プロバイダ内のIDアサーション・プロバイダの構成
• レルム・アダプタ監査プロバイダの構成
• 互換性セキュリティでのユーザー・アカウントの保護
• 互換性セキュリティからの6.xセキュリティへのアクセス

16 セキュリティ構成MBean

• SSLMBean
• ServerMBean
• EmbeddedLDAPMBean
• RDBMSSecurityStoreMBean
• SecurityMBean
• SecurityConfigurationMBean
• RealmMBean
• WindowsNTAuthenticatorMBean
• CustomDBMSAuthenticatorMBean
• ReadonlySQLAuthenticatorMBean
• SQLAuthenticatorMBean
• DefaultAuditorMBean
• 互換性セキュリティMBean
• UserLockoutManagerMBean
• その他のセキュリティ・プロバイダMBean