概要とロードマップ

ドキュメントのスコープ

WebLogic Serverドキュメント・セットに収められている他のセキュリティ関連ドキュメントでは特定の作業(たとえば、WebLogicセキュリティのプログラミング、カスタム・セキュリティ・プロバイダの開発、WebLogic Securityサービスの管理など)の手順をユーザーに説明しているのに対して、このドキュメントはWebLogic Securityサービスのすべてのユーザーを対象としています。そのため、このドキュメントはWebLogic Securityサービスを理解する上で基本となるものです。

注意:

WebLogic Securityサービスには、固有の用語が多数あります。「用語集」で用語を理解してから、このマニュアルをお読みください。

対象読者

このドキュメントは、以下の読者を対象としています。

アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティ・アーキテクチャを設計するだけでなく、WebLogic Serverのセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティ・システムや最先端のセキュリティ技術とツールだけでなく、Javaプログラミング、Javaセキュリティ、およびネットワーク・セキュリティにも精通しています。
セキュリティ開発者 - WebLogiv Serverに統合するセキュリティ製品のためのシステム・アーキテクチャおよびインフラストラクチャの定義と、WebLogiv Serverとともに使用するカスタム・セキュリティ・プロバイダの開発を担当する開発者です。アプリケーション設計者と連携して、セキュリティ・アーキテクチャを確実に設計に従って、セキュリティ・ホールが発生しないように実装します。また、セキュリティが確実に正しく構成されるよう、サーバー管理者とも連携します。セキュリティ開発者は、認証、認可、監査(AAA)、Java Management eXtension (JMX)などのJavaに対する深い知識、およびWebLogic Serverとセキュリティ・プロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - クライアント・アプリケーションの開発、WebアプリケーションおよびEnterprise JavaBeans (EJB)へのセキュリティ機能の付加、および他のエンジニアリング・チーム、品質保証(QA)チーム、データベース・チームとの連携によるセキュリティ機能の実装などを主な業務とするJavaプログラマのことです。アプリケーション開発者は、Java (サーブレットやJSPなどのJava Platform, Enterprise Edition (Java EE)バージョン6コンポーネントとJSEE)、およびJavaセキュリティについて実用的かつ深い知識を備えています。
サーバー管理者 - アプリケーション設計者と密接に連携しながら、サーバーおよびサーバー上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ・リスクの特定、およびセキュリティ上の問題を防止する構成の提案を行います。関連する責務として、重要な本番システムの保守、セキュリティ・レルムの構成と管理、サーバー・リソースとアプリケーション・リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ・プロバイダのデータベースの保守などが含まれる場合もあります。サーバー管理者は、Webサービス、WebアプリケーションとEJBのセキュリティ、公開鍵セキュリティ、SSL、SAML (Security Assertion Markup Language)を含むJavaセキュリティ・アーキテクチャに関する深い知識を備えています。
アプリケーション管理者 - サーバー管理者と共同でセキュリティ構成や、認証および認可方式を実装および管理したり、定義されたセキュリティ・レルムでデプロイされたアプリケーション・リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念やJavaセキュリティ・アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバー・ログおよび監査ログでセキュリティ・イベントを特定できます。

このドキュメントの手引き

このドキュメントの構成は次のとおりです。

第2章「WebLogic Securityサービスの概要」では、WebLogic Securityサービスを紹介し、対象読者、主な機能、およびこのリリースでの変更点などについて説明します。
第3章「セキュリティの基礎概念」では、WebLogic Serverのセキュリティに関係するセキュリティ概念について説明します。監査、認証、認可、Secure Sockets Layer (SSL)、ファイアウォール、Java EEとWebLogicセキュリティの関係などを取り上げます。
第4章「セキュリティ・レルム」では、WebLogicリソースを保護するために使用するセキュリティ・レルムについて説明します。
第5章「WebLogic Securityサービスのアーキテクチャ」では、WebLogic Server Securityのアーキテクチャについて説明します。製品の一部として含まれているWebLogic Securityフレームワーク、セキュリティ・サービス・プロバイダ・インタフェース(SSPI)、およびWebLogicセキュリティ・プロバイダについて解説します。
「用語集」では、WebLogic Serverセキュリティに関するドキュメントに記載されている主な用語の定義を示します。

セキュリティのサンプルとチュートリアル

「関連情報」に示した情報のほかにも、様々なコード・サンプルが開発者向けに用意されています。

WebLogic Server配布キットのセキュリティ・サンプル

WebLogic Serverでは、任意でAPIサンプル・コードをWL_HOME\samples\server\examples\src\examples\securityにインストールできます。WL_HOMEはWebLogic Serverのインストール先の最上位ディレクトリを示します。WebLogic Serverのスタート・メニューからサンプル・サーバーを起動して、サンプルとその実行手順に関する情報を確認できます。

WebLogicのセキュリティ機能については、次のサンプルを参照してください。

Java認証および認可サービス
発信および双方向SSL

ダウンロード可能な他のサンプル

APIのその他のサンプルは、https://www.samplecode.oracle.comでダウンロードできます。これらのサンプルは、WebLogic Serverの既存のサンプル・ディレクトリ構造に解凍できる.zipファイルで配布されます。

ダウンロード可能なサンプルの構築と実行方法は、インストールされているWebLogic Serverのサンプルと同様です。詳細は、各サンプルのダウンロード・ページを参照してください。

このリリースでのセキュリティの新機能と変更点

WebLogic Serverのこのリリースに追加された新機能の一覧については、『Oracle Fusion Middleware Oracle WebLogic Serverの新機能』の「Oracle WebLogic Serverの新機能」を参照してください。

1 概要とロードマップ