| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.1.3) E59413-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.1.3) E59413-03 |
|
前 |
次 |
この章では、セキュリティ管理者が使用できるツール、およびアプリケーションのセキュリティを管理するために必要な一般的なタスクについて説明します。
これらについては次の項で説明します。
高度な管理タスクは、付録E「スクリプトおよびMBeanプログラミングを使用した管理」を参照してください。
セキュリティ管理者が使用できる基本ツールは、Oracle Enterprise Manager Fusion Middleware Control、Oracle WebLogic管理コンソール、Oracle Entitlements ServerおよびOracle WebLogic Scripting Tool (WLST)の4点です。これらのツールおよびその他のツールの詳細は、『Oracle Fusion Middlewareの管理』の第3章「Oracle Fusion Middlewareの管理の開始」を参照してください。
アプリケーションのセキュリティ管理に使用するツールを決定する基準は、そのアプリケーションでコンテナ管理セキュリティ(Java EEアプリケーション)のみを使用するのか、Oracle ADFのセキュリティ(Oracle ADFアプリケーション)も扱うのかという点です。
Oracle Application Development Framework (Oracle ADF)アプリケーション、Oracle Server Oriented Architecture (SOA)アプリケーション、WebCenterアプリケーションなどのOracle固有のアプリケーションのデプロイ、保護およびメンテナンスにはFusion Middleware ControlおよびOracle Entitlements Serverを使用します。
サード・パーティが開発したアプリケーション、Java SEアプリケーション、Java EEアプリケーションなどその他のアプリケーションのデプロイ、保護および管理には、Oracle WebLogic管理コンソールまたはWLSTを使用することが普通です。
Javaアプリケーションを開発するための推奨ツールは、Oracle JDeveloper 11gです。このツールは、専用のグラフィカル・エディタによって、開発者によるファイルベースのアイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアの構成を支援します。特に、Oracle ADFアプリケーションを開発する際は、開発者はウィザードを実行してOracle ADFリソースに関連付けられたWebページに対するセキュリティ(Oracle ADFタスク・フローやページ定義など)を構成し、ファイルjazn-data.xml専用の視覚的なエディタを使用してセキュリティ・アーティファクトを定義できます。
手順の詳細と関連トピックは、Oracle JDeveloperオンライン・ヘルプ・ドキュメントの次の項を参照してください。
Oracle ADFのセキュリティを使用したWebアプリケーションの保護に関する項
Java EE Securityを使用したWebアプリケーションの保護に関する項
セキュリティ制約に対する代替としてのOracle ADFのセキュリティに関する項
Webアプリケーションの保護に関する項
Oracle ADFのセキュリティおよびそれとOracle JDeveloperとの統合の詳細は、『Oracle Application Development FrameworkによるFusion Webアプリケーションの開発』のOracle ADFのセキュリティの設計時ツールへのアクセスに関する説明を参照してください。
Oracle Entitlements Serverの詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドを参照してください。
表5-1は、いくつかの基本的なセキュリティ・タスクとそれらを実行するために使用するツールのリストです。アプリケーションのセキュリティの構成と管理に使用するツールは、アプリケーションのタイプに応じて選択します。コンテナ管理セキュリティのみを使用するJava EEアプリケーションの場合は、Oracle WebLogic管理コンソールを使用します。OPSS認可を使用するOracle ADFアプリケーションの場合は、Fusion Middleware ControlとOracle Entitlements Serverを使用します。
次に示すツールを使用せずに手動で設定することはお薦めしません。Oracle WebLogic管理コンソールを使用する方法は、次の表に続いて示す各リンクを参照してください。Oracle Entitlements Serverの詳細は、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドを参照してください。
5-1 基本的な管理セキュリティ・タスクとツール
| タスク | Fusion Middleware Controlの「セキュリティ」メニューで選択する項目 | その他のツール |
|---|---|---|
|
WebLogicドメインの構成 |
WebLogic管理コンソール |
|
|
WebLogicセキュリティ・レルムの構成 |
WebLogic管理コンソール |
|
|
WebLogicドメイン認証プロバイダの管理 |
WebLogic管理コンソール |
|
|
MSクライアント、WebブラウザおよびHTTPクライアントに対するSSOの有効化 |
WebLogic管理コンソール |
|
|
ドメイン管理アカウントの管理 |
WebLogic管理コンソール |
|
|
アイデンティティ・ストア・サービスの構成 |
WebLogic管理コンソール |
|
|
アプリケーション・ユーザーとグループの管理 |
ユーザーおよびグループ |
|
|
Oracle ADFアプリケーションに対する資格証明の管理 |
資格証明 |
|
|
Oracle ADFアプリケーションでの匿名ロールの有効化 |
セキュリティ・プロバイダ構成 |
|
|
Oracle ADFアプリケーションでの認証ロールの有効化 |
セキュリティ・プロバイダ構成 |
|
|
Oracle ADFアプリケーションでのJAASの有効化 |
セキュリティ・プロバイダ構成 |
|
|
Oracle ADFアプリケーションでのエンタープライズ・グループへのアプリケーション・グループのマップ |
アプリケーション・ロールまたは |
Oracle Entitlements Server |
|
Oracle ADFアプリケーションでのシステム全体のポリシーの管理 |
システム・ポリシー |
|
|
OPSSのプロパティの構成 |
セキュリティ・プロバイダ構成 |
|
|
ポリシーおよび資格証明ストアの再関連付け |
セキュリティ・プロバイダ構成 |
前述のタスクのためのOracle WebLogic管理コンソールの使用方法の詳細は、次のドキュメントを参照してください。
管理コンソールの一般的な使用については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください。
WebLogicドメインを構成する方法は、『Oracle Fusion Middleware Oracle WebLogic Serverドメイン構成の理解』を参照してください。
WebLogicセキュリティ・レルムを構成する方法は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の新しいセキュリティ・レルムの作成および構成の主要な手順に関する項を参照してください。
WebLogicドメイン認証プロバイダを管理する方法は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の第5章を参照してください。
MSクライアントを使用して、Oracle Application Serverのシングル・サインオンを構成する方法については、『Oracle WebLogic Serverセキュリティの管理』の第6章を参照してください。
ドメイン管理アカウントを管理する方法は、『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』の第6章を参照してください。
LDAPアイデンティティ・ストアの構成の詳細は、第3.2.2項「WebLogic認証プロバイダ」を参照してください。
|
注意: OPSSでは、サーバー・ファイルの自動バックアップおよび自動リカバリはサポートされません。サーバー管理者が、必要に応じてすべてのサーバー構成ファイルを定期的にバックアップすることをお薦めします。Oracle Fusion Middlewareのバックアップよびリカバリの詳細は、『Oracle Fusion Middlewareの管理』の第15章「バックアップおよびリカバリの導入」を参照してください。 |
既存の環境に基づいた新しい本番環境は、次の方法で設定できます。
Oracleクローニング・ユーティリティを使用して、構築済の環境をレプリケートします。詳細は、『Oracle Fusion Middlewareの管理』の第9.5項にあるOracle Fusion Middlewareエンティティのクローニングに関する説明を参照してください。
構築済の環境を設定したときと同様にソフトウェアを再インストールし、環境を構成します。
Fusion Middleware Controlは、アプリケーションのネットワークの管理を1か所でできるようにするWebベースのツールです。Oracle SOAアプリケーション、Oracle ADFアプリケーション、Oracle WebCenter、およびOPSSを使用するその他のOracleアプリケーションのデプロイ、構成、監視、診断および監査にFusion Middleware Controlを使用します。この項では、セキュリティ関連の操作についてのみ説明します。
Fusion Middleware Controlでは、いくつかのセキュリティ関連管理タスクを使用できます。このツールを使用すると、管理者は次を実行できます。
インストール後にアプリケーションをデプロイする前に、ポリシーと資格証明ストアを再度関連付けます。詳細は、第9.5.1項「Fusion Middleware Controlを使用した再関連付け」を参照してください。
インストール後、アプリケーションをデプロイする前にOPSSのプロパティを定義します。詳細は、第9.7項「Fusion Middleware Controlを使用したサービス・プロバイダの構成」を参照してください。
デプロイ時に、ファイルベースのアプリケーション・ポリシーおよび資格証明からLDAPベースのドメイン・ポリシーおよび資格証明への自動的な移行を構成します。
詳細は、次の各項を参照してください。
アプリケーションのデプロイ後、そのアプリケーションで次のタスクを実行できます。
アプリケーション・ポリシーの管理。詳細は、第10.2項「ポリシー・ストアの管理」を参照してください。
資格証明の管理。詳細は、第11章「資格証明ストアの管理」を参照してください。
ユーザーとグループの管理。詳細は、『Oracle Fusion Middleware Fusion Middleware ControlによるOracle WebLogic Serverの管理』を参照してください。
アプリケーション・ロールからユーザー、グループおよびアプリケーション・ロールへのマッピングの指定。詳細は、第10.3.2項「アプリケーション・ロールの管理」を参照してください。
ドメインについて、システム・ポリシーを管理します。詳細は、第10.3.3項「システム・ポリシーの管理」を参照してください。
ドメインについて、OPSSプロパティを管理します。詳細は、第9.7項「Fusion Middleware Controlを使用したサービス・プロバイダの構成」を参照してください。
セキュリティ管理タスクの要約およびこれらのタスクの実行に使用するツールは、「基本的なセキュリティ管理タスク」を参照してください。
その他の機能の詳細は、Fusion Middleware Controlオンライン・ヘルプ・ドキュメントを参照してください。
Oracle WebLogic管理コンソールは、Webベースのツールであり、いくつかある機能の中でも特に、アプリケーションのデプロイと再デプロイ、ドメインの構成およびアプリケーション・ステータスの監視ができます。この項では、セキュリティ関連の操作についてのみ説明します。
Oracle WebLogic管理コンソールで実行する一般的なタスクは、次のとおりです。
Oracle WebLogicサーバーの起動と停止。詳細は、『Oracle WebLogic Serverサーバーの起動と停止の管理』の「サーバーの起動と停止」を参照してください。
Oracle WebLogicサーバーおよびドメインの構成。詳細は、『WebLogic Scripting Toolの理解』の既存のドメインの構成に関する説明を参照してください。
アプリケーションのデプロイ。詳細は、『Oracle WebLogic Serverへのアプリケーションのデプロイ』を参照してください。
フェイルオーバー・サポートの構成。詳細は、『Oracle WebLogic Serverクラスタの管理』の「クラスタにおけるフェイルオーバーおよびレプリケーション」を参照してください。
WebLogicドメインおよびWebLogicレルムの構成。
ドメイン認証プロバイダでのユーザーおよびグループの管理。
MSクライアント、WebブラウザおよびHTTPクライアントに対するシングル・サインオンの使用の有効化。
管理ユーザーおよび管理ポリシーの管理。
Oracle WebLogic管理コンソールの詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください。
Oracle Entitlements Serverで実行する一般的なセキュリティ・タスクは、次のとおりです。
アプリケーションのセキュリティ・アーティファクトの検索。
ポリシーなどの、アプリケーションのセキュリティ・アーティファクトの管理。
外部のロールの階層の表示。
アプリケーション・ロールの階層の管理。
Oracle Entitlements Serverによるアプリケーションのセキュリティ管理に最も頻繁に使用するセキュリティ・タスクのリストは、Oracle Fusion Middleware Oracle Entitlements Server管理者ガイドを参照してください。
Oracle WebLogic管理コンソールで使用可能なセキュリティ関連操作のほとんどを、WLSTコマンドを使用して実行できます(WLSTコマンドは、ドメインの構成やアプリケーションのデプロイメントなどの管理タスクのスクリプティングおよび自動化を可能にする一連のコマンドライン・インタフェースです)。
|
注意: WLSTシェル・セッションは、一意の構成ファイルに関連付けられ、一般的には、JVMインスタンスは最大限で1つの構成ファイルを指すことができます。JVMインスタンスごとに一意の |
