| Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド 11gリリース1(11.1.1) B56235-07 |
|
 前 |
 次 |
アプリケーションでは、それを実行しているドメインで構成されたアイデンティティ・ストア、ポリシー・ストア、資格証明ストア、キーストアおよび監査リポジトリを使用します。この章では、アイデンティティ、ポリシー、資格証明、キーストアおよび監査のデータに関する基本概念について説明します。また、セキュリティ・アーティファクトの互換バージョンを示したマトリクスも提示します。この章の内容は次のとおりです。
この章で使用する用語の定義は、第2.1項「用語」を参照してください。
ストアの利用法を示すシナリオは、第4章「Oracle Platform Security Servicesのシナリオについて」を参照してください。
この項では、リリース11.1.1.5.0、11.1.1.6.0および11.1.1.7.0について、バイナリ、構成、スキーマおよびストアの互換バージョンを示します。これらのアーティファクトの互換バージョンは、DBベースとOIDベースの両方のOPSSストアに適用されます。
OPSSセキュリティ・ストアは複合ストアです。つまり、ポリシー、キー、資格証明、監査メタデータなどのすべてのセキュリティ・アーティファクトが含まれる1つのストアです。DBベースのストアでは、DBスキーマごとに1つの論理セキュリティ・ストアが設定されるものと見なされます。
次の表は、互換バージョンを示しており、DBベースとOIDベースの両方のセキュリティ・ストアに適用されます。次の記号に注意してください。
バージョン番号の前に付いている記号=>は、示されているバージョン番号以降のバージョンを意味します。
バージョン番号の前に付いている記号>は、示されているバージョン番号より新しいバージョンを意味します。
バージョン番号の前に付いている記号<は、示されているバージョン番号より前のバージョンを意味します。
| バイナリ | 構成 | スキーマ | ストア | ステータス |
|---|---|---|---|---|
|
11.1.1.5.0 |
11.1.1.5.0 |
=>11.1.1.5.0 |
11.1.1.5.0 |
認証済 |
|
11.1.1.5.0 |
11.1.1.5.0 |
>11.1.1.5.0 |
>11.1.1.5.0 |
サポート対象外 |
|
11.1.1.6.0 |
11.1.1.5.0 |
=>11.1.1.5.0 |
11.1.1.5.0 |
認証済 |
|
11.1.1.6.0 |
11.1.1.5.0 |
>11.1.1.5.0 |
>11.1.1.5.0 |
サポート対象外 |
|
11.1.1.6.0 |
11.1.1.6.0 |
=>11.1.1.6.0 |
11.1.1.6.0 |
認証済 |
|
11.1.1.6.0 |
11.1.1.6.0 |
>11.1.1.6.0 |
>11.1.1.6.0 |
サポート対象外 |
|
11.1.1.7.0 |
11.1.1.7.0 |
=>11.1.1.6.0 |
<11.1.1.7.0 |
サポート対象外 |
|
11.1.1.7.0 |
11.1.1.6.0 |
=>11.1.1.6.0 |
11.1.1.6.0 |
認証済 |
|
11.1.1.7.0 |
11.1.1.6.0 |
>11.1.1.6.0 |
>11.1.1.6.0 |
サポート対象外 |
|
11.1.1.7.0 |
11.1.1.7.0 |
=>11.1.1.7.0 |
11.1.1.7.0 |
認証済 |
OPSSではサーバー認証プロバイダを使用します。この認証プロバイダは、ユーザー名とパスワードの組合せまたはデジタル証明書に基づき、ユーザーの資格証明またはシステム・プロセスを検証するコンポーネントです。認証プロバイダには、必要に応じ、ドメイン内の他のコンポーネントでサブジェクトを介してユーザー・アイデンティティ情報を使用できるようにする機能もあります。
Java EEアプリケーションでは、LDAPベースまたはDBベースの認証プロバイダが使用されます。Java SEアプリケーションでは、追加設定なしで使用できるファイル・ベースのアイデンティティ・ストアが使用されますが、LDAPベースまたはDBベースの認証プロバイダも使用するよう構成できます。
詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの理解』の認証に関する項を参照してください。
この項の内容は次のとおりです。
この項の情報は、Java EEアプリケーションにのみ適用されます。Java SEアプリケーションでの認証の使用の詳細は、第22.3.2項「Java SEアプリケーションでのLDAPアイデンティティ・ストアの構成」を参照してください。
次のリストでは、アイデンティティ・ストアでサポートされるリポジトリを列挙しています(最後のものを除き、すべてLDAPベースとなっています)。
Oracle Internet Directory 11g
Oracle Virtual Directory
Open LDAP 2.2
Oracle Unified Directory 11gR1
Oracle Directory Server Enterprise Edition 11.1.1.3.0
Sun DS 6.3、7.0
Novell eDirectory 8.8
Tivoli Access Manager
Active Directory
Active Directory AM
Active Directory 2008
Oracle DB 10g、11gR1、11gR2
Open LDAP 2.2には、特別な設定が必要です。詳細は、付録J「OpenLDAPアイデンティティ・ストアの使用」を参照してください。
Oracle Internet Directoryサーバーにおける参照整合性のサポートについては、第8.2項「LDAPベースのOPSSセキュリティ・ストアの使用」の重要事項を参照してください。
次の表は、各リポジトリで使用するWebLogic認証プロバイダを示しています。
表3-1 アイデンティティ・ストアのリポジトリと認証プロバイダ
| ストア・タイプ | WebLogic認証プロバイダ |
|---|---|
|
Oracle Internet Directory 11g |
OidAuthenticator |
|
Oracle Virtual Directory |
OvdAuthenticator |
|
Open LDAP 2.2 |
OpenldapAuthenticator |
|
Oracle Unified Directory 11gR1 |
iPlanetAuthenticator |
|
Oracle Directory Server Enterprise Edition 11.1.1.3.0 |
OdseeAuthenticator |
|
Sun DS 6.3、7.0 |
SundsAuthenticator |
|
Novell eDirectory 8.8 |
eDirectoryAuthenticator |
|
Tivoli Access Manager |
TivoliAuthenticator |
|
Active Directory |
AdAuthenticator |
|
Active Directory AM |
AdamAuthentcator |
|
Active Directory 2008 |
Ad2008Authenticator |
|
Oracle DB 10g、11gR1、11gR2 |
CustomDBMSAuthenticator ReadOnlySQLAuthenticator SQLAuthenticator |
WebLogicコンソールを使用して新規認証プロバイダを作成および構成するには、次の手順を実行します。
新しい認証者を作成します。詳細は、この手順の次に示しているトピックのリストを参照してください。
特定のアイデンティティ・ストア・リポジトリと表3-1に基づいて、適切なWebLogic認証プロバイダを選択します。入力するパラメータは、選択した認証プロバイダによって異なります。たとえば、次のサンプルに示しているように、OidAuthenticatorの場合は、ホスト情報を入力します。
host name: example.com port: 5555 principal: cn=orcladmin credential: myPassword user base DN: cn=Users,dc=us,dc=oracle,dc=com group base DN: cn=Groups,dc=us,dc=oracle,dc=com
入力内容を保存して、新規認証プロバイダを作成します。
作成した認証プロバイダに適切な制御フラグを設定します。
必要に応じて、ドメイン内の認証プロバイダのリストを並べ替えます。
WebLogicサーバーを再起動します。
WebLogic認証プロバイダの詳細は、次のトピックを参照してください。
『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティ・プロバイダの開発』の第4章「認証プロバイダ」
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の認証プロバイダの構成に関する項、およびOracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプの認証プロバイダとIDアサーション・プロバイダの構成に関する項
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプの認証プロバイダとIDアサーション・プロバイダの構成に関する項
追加設定がない状態のOracle WebLogic Serverでは、ユーザーとグループがデフォルトでDefaultAuthenticatorに格納されます。この認証プロバイダは、デフォルト属性としてcnを使用するように設定されています。
LDAP認証プロバイダに格納されたデータには、ユーザー/ロールAPIでアクセスしてユーザー・プロファイル属性を問い合せることができますが、非LDAPのアイデンティティ・ストア・リポジトリの問合せにはカスタム・コードが必要な場合があります。
この項の内容は、次のとおりです。
X.509 IDアサーションの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のLDAP X509 IDアサーション・プロバイダのしくみに関する項を参照してください。
IDアサーション・プロバイダとしてSAML 1.1またはSAML 2.0を使用した認証の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のSAML認証プロバイダの構成に関する項を参照してください。
Oracle WebLogic Serverでは、特定のコンテキストで複数の認証プロバイダを構成できます。そのうちの1つは、LDAPベースの認証プロバイダとする必要があります。
OPSSでは、構成済の認証プロバイダのリストから次のアルゴリズムに従って選択したLDAP認証プロバイダを使用して、アイデンティティ・ストア・サービスを初期化します。
構成されているLDAP認証プロバイダのサブセットを検討します。コンテキストではLDAP認証プロバイダが1つ以上指定されていることが前提なので、このサブセットは空ではありません。
そのサブセットの中で、最大のフラグが設定されている認証プロバイダを検討します。このサブセットでの計算に使用するフラグの順序は次のとおりです。
REQUIRED > REQUISITE > SUFFICIENT > OPTIONAL
このサブセット(最大のフラグを実現するLDAPのサブセット)も空ではありません。
そのサブセットの中から、該当のコンテキストで最初に構成された認証プロバイダを検討します。
ステップ3で選択したLDAP認証プロバイダを、アイデンティティ・ストア・サービスの初期化に使用します。LDAP認証プロバイダを使用してSSL接続を確立する際のホスト名検証の詳細は、『Oracle Fusion Middleware Oracle WebLogic Server本番環境の保護』を参照してください。
サポートされている様々なLDAP認証プロバイダの初期化にOPPSが使用するデフォルト値の詳細は、第H.1項「OPSS APIリファレンス」のユーザーおよびロールAPIに関する説明を参照してください。サービス・インスタンスの初期化値が、デフォルトでもサービス・インスタンスの構成でも(明示的に)提供されている場合は、構成された値がデフォルト値よりも優先されます。
WebLogic IDアサーション・プロバイダでは、X.509証明書、SPNEGOトークン、SAMLアサーション・トークンおよびCORBA Common Secure Interoperability version 2(CSIv2)IDアサーションを使用した証明認証がサポートされています。
ネゴシエート・アイデンティティ・プロバイダは、SPNEGOプロトコルをサポートするMicrosoftクライアントでSSOに使用します。このプロバイダは、SPNEGOトークンをデコードしてKerberosトークンを取得し、このKerberosトークンを検証してWebLogicユーザーにマップします。
IDアサーション・プロバイダの一般情報は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティについて』のIDアサーション・プロバイダに関する項を参照してください。
Microsoftクライアントを使用したSSOの概要は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントでのシングル・サインオンの概要に関する項を参照してください。
Kerberos IDの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のWebLogic Server用のKerberos IDの作成に関する項を参照してください。
Java 2ポリシーは、特定の場所からロードされた署名付きコードに付与されるパーミッションを指定します。
JAASポリシーは、オプションのプリンシパル・リストを指定できるようにすることで、Java 2の権限を拡張します。これにより、特定の場所からロードされた(場合によって署名付きの)コードが、指定のプリンシパルで表されるユーザーによって実行された場合にのみ、そのコードにパーミッションのセマンティックが付与されます。
JACCは、カスタム認可プロバイダ(実行中のJava EEアプリケーションに付与される認可の制御とカスタマイズを可能にするプラガブル・コンポーネント)とのインタフェースを定義することで、Java 2およびJAASのパーミッションベースのポリシーをEJBおよびサーブレットに拡張します。
アプリケーション・ポリシーは、Java 2ポリシーとJAASポリシーの集合です。Java 2ポリシーはJVM全体に適用されるのに対して、JAASポリシーは該当のアプリケーションにのみ適用されます。
ポリシー・ストアは、システムおよびアプリケーションに固有のポリシーとロールを格納するリポジトリです。アプリケーション・ロール(管理ロールなど)には、アプリケーション固有のエンタープライズ・ユーザーおよびグループを指定できます。ポリシーでは、これらのグループまたはユーザーをプリンシパルとして使用できます。
ロールを自己管理するアプリケーションの場合は、Java EEアプリケーション・ロール(ファイルweb.xmlまたはejb-jar.xmlで構成)がエンタープライズ・ユーザーおよびグループにマップされ、アプリケーション固有のポリシーで使用されます。
ポリシー・ストアのタイプ
ポリシー・ストアはファイルベース、LDAPベース、またはDBベースにすることができます。ファイルベースのポリシー・ストアはXMLファイルです。このストアは、追加設定なしで使用できるポリシー・ストア・プロバイダです。LDAPベースのポリシー・ストア・タイプは、Oracle Internet Directoryのみでサポートされています。DBベースのポリシー・ストア・タイプは、Oracle RDBMS(リリース10.2.0.4以降、リリース11.1.0.7以降、およびリリース11.2.0.1以降)のみでサポートされています。
1つのドメインに1つのポリシー・ストアがあります。開発段階では、アプリケーション・ポリシーはファイルベースで、ファイルjazn-data.xmlで指定します。
Fusion Middleware Controlを使用してアプリケーションをWebLogicにデプロイすると、ポリシー・ストアに自動的に移行することができます。この機能の詳細は、第8.6.1項「Fusion Middleware Controlを使用した移行」を参照してください。デフォルトでは、ポリシー・ストアはファイル・ベースになります。
アプリケーションをWebSphereにデプロイすると、第21.5.1項「ポリシーの移行を制御するパラメータ」および第21.5.4項「資格証明の移行を制御するパラメータ」に記載されているように、デプロイ時の移行の動作を手動で指定できます。
再関連付けの詳細は、第8.5項「OPSSセキュリティ・ストアの再関連付け」を参照してください。
ポリシー・ストアでのリソース・カタログのサポートの詳細は、第20.3.1項「リソース・カタログ」を参照してください。
資格証明ストアは、ユーザー、Javaコンポーネントおよびシステム・コンポーネントの認証レベルを認定するセキュリティ・データ(資格証明)のリポジトリです。資格証明には、ユーザー名とパスワードの組合せ、チケットまたは公開鍵証明書を格納できます。このデータは、認証の際、プリンシパルをサブジェクトに移入するときに使用し、さらに認可時には、サブジェクトが実行できるアクションを決定するときに使用します。
OPSSは資格証明ストア・フレームワークを備えています。これは、アプリケーションで資格証明を安全に作成、読取り、更新および管理する際に使用できる一連のAPIです。
資格証明ストアは、ファイルベース、LDAPベース、またはDBベースにすることができます。ファイルベースの資格証明ストアはウォレットベースとも呼ばれ、ファイルcwallet.ssoで表される、追加設定なしで使用できる資格証明ストアです。LDAPベースの資格証明ストア・タイプは、Oracle Internet Directoryでのみサポートされています。DBベースの資格証明ストア・タイプはOracle RDBMS(リリース10.2.0.4以降、リリース11.1.0.7以降、およびリリース11.2.0.1以降)でのみサポートされています。
アプリケーションでは、ドメイン資格証明ストアを使用できるほか、ウォレットベースの独自の資格証明ストアを使用できます。ドメイン資格証明ストアは、ウォレットベース(デフォルト)、LDAPベース、またはDBベースにすることができます。LDAPベースの資格証明ストア・タイプは、Oracle Internet Directoryでのみサポートされています。
アプリケーションがデプロイされるときに、アプリケーションの資格証明が自動的に資格証明ストアに移行されるように構成することができます。詳細は、第8.6.1項「Fusion Middleware Controlを使用した移行」を参照してください。
あるタイプのストアから別のタイプのストアに、資格証明を再び関連付けることもできます。詳細は、第8.5項「OPSSセキュリティ・ストアの再関連付け」を参照してください。
キーストア・サービスは、ドメインのコンポーネントおよびアプリケーションによって使用されるすべてのキーと証明書を含むキーストアおよびトラスト・ストアに対する中央リポジトリを提供します。これにより、キーストアを個々のアプリケーションに関連付ける必要がなくなります。
管理者は単一のユーザー・インタフェースを使用して、一貫した方法ですべてのキーストアを表示および管理できます。
中央リポジトリには次のものを使用できます。
XMLファイルベース
これが出荷時のキーストア・リポジトリであり、名前はkeystores.xmlです。
|
注意: このファイルはインストール直後には存在せず、管理サーバーを初めて起動したときに作成されます。 |
Oracle Database
Oracle Internet Directory(注意: これ以外のLDAPサーバーはサポートされていません。)
ドメイン・キーストア・リポジトリ内のキーおよび証明書は、1つのタイプから別のタイプへと関連付けを変更できます。詳細は、第8.5項「OPSSセキュリティ・ストアの再関連付け」を参照してください。
