Oracle® Fusion Middleware Oracle WebLogic Server 12.1.3 セキュリティの理解 12c (12.1.3) E56246-02 |
|
前 |
次 |
この章では、WebLogic Server 12.1.3のWebLogicセキュリティ・サービスとその機能について説明します。
この章の内容は次のとおりです。
セキュリティのデプロイメント、管理、および保守は、Webを使用する顧客に対して新しい様々なサービスを提供しているIT (情報技術)企業にとって大きな課題です。IT企業は、Webベースのユーザーに世界規模のネットワークを提供できるよう、システムとそのデータの機密性、整合性、および可用性の保持という基本的な問題に取り組まなければなりません。セキュリティに対する取組みは、ネットワーク自体から個々のクライアント・マシンに至るまで、システムのすべてのコンポーネントに関係します。インフラストラクチャ全体のセキュリティの実現は、確立されたセキュリティ・ポリシーと周知徹底された手順に加え、不断の警戒が要求される大変な作業です。
WebLogic Serverには、Webを介して使用できるアプリケーション用に一意でセキュアな基盤を提供するセキュリティ・アーキテクチャが含まれています。企業は、WebLogic Serverのセキュリティ機能を利用することで、Web上で使用できるアプリケーションの作成というセキュリティ課題に対処できるように設計された、包括的で柔軟性の高いセキュリティ・インフラストラクチャのメリットを得ることができます。WebLogicセキュリティは、WebLogic Serverアプリケーションを保護するためにスタンドアロンで使用することも、最高レベルのセキュリティ管理ソリューションを表す企業全体のセキュリティ管理システムの一部として使用することもできます。
WebLogic Serverのセキュリティ・アーキテクチャはオープンで柔軟性が高いため、すべてのレベルのユーザーが利点を生かすことができ、アプリケーション・サーバーに対して高度なセキュリティ設計を導入できます。アプリケーション・サーバーの一意のセキュリティ・ソリューション、および明確なセキュリティ・ポリシーとドキュメントで確立された手順を有している企業であれば、サーバーとそのデータの機密性、整合性、および可用性を確保できます。
WebLogicセキュリティ・サービスの主な特徴は、以下のとおりです。
包括的な標準ベースの設計。
メインフレームからWebブラウザまでを網羅する、WebLogic Serverをホストとしたアプリケーション向けのエンドツーエンド・セキュリティ。
レガシー・セキュリティ方式をWebLogic Serverセキュリティに統合することによって、企業の既存投資を活用できます。
融通性の高い統一されたシステムに組み込まれ、企業全体にわたるセキュリティ管理を容易化するセキュリティ・ツール。
企業のビジネス・ルールをセキュリティ・ポリシーにマッピングするため、ビジネス要件に対するアプリケーション・セキュリティのカスタマイズが容易です。
Java EEリソースおよびアプリケーション定義のリソースに、同じモデルに従ってセキュリティ・ポリシーを適用できます。
セキュリティ・ポリシーの容易な更新。このリリースでは、セキュリティ・ポリシーだけでなく、WebLogicリソースへのアクセスを制御する式の作成が、より容易に行えるようになっています。
カスタマイズされたセキュリティ・ソリューションへの適合が容易です。
モジュール化されたアーキテクチャなので、特定の企業の要件を満たすようにセキュリティ・インフラストラクチャを時間を追って変更できます。
遷移方式またはアップグレード・パスの一部として、複数のセキュリティ・プロバイダの構成をサポート。
セキュリティの詳細とアプリケーション・インフラストラクチャを分離することにより、要件の変化に合わせたセキュリティのデプロイ、管理、維持、および修正を容易化。
即時利用可能な実践的セキュリティ方式を提供する、デフォルトのWebLogicセキュリティ・プロバイダ。このリリースでは、その他の認証ストア(データベースなど)をサポートし、選択したセキュリティ・プロバイダによって使用されるデータ・ストアとして、外部RDBMSシステムを構成することができます。
カスタム・セキュリティ・プロバイダを使用したセキュリティ・スキームのカスタマイズ。
WebLogic Server管理コンソールを使用して、セキュリティ・ルール、セキュリティ・ポリシー、およびセキュリティ・プロバイダを統一して管理できます。
JAAS (Java Authentication and Authorization Service)、JSSE (Java Secure Socket Extension)、JCE (Java Cryptography Extension)、JASPIC (Java Authentication Service Provider Interface for Containers)、JACC (Java Authorization Contract for Containers)などの標準のJava EEセキュリティ技術をサポート。
SAML (Security Assertion Markup Language) 1.1および2.0のサポートを含む、Webサービス・セキュリティの基盤。
Webサイト、Webアプリケーション、デスクトップ・クライアントでのシングル・サインオン(SSO)にWebLogic Serverを参加させることが可能です。
証明書の検索、検証、失効だけでなく証明書レジストリも含む公開鍵管理のためのフレームワーク。
OPSS (Oracle Platform Security Services)を使用することで、エンタープライズ製品開発チーム、システム・インテグレータ(SI)、および独立系ソフトウェア・ベンダー(ISV)は、標準ベースで移植可能なエンタープライズ・レベルの統合セキュリティ・フレームワークに基づいて、Java Standard Edition (Java SE)アプリケーションおよびJava Enterprise Edition (Java EE)アプリケーションを開発できます。
OPSSでは、標準ベースのアプリケーション・プログラミング・インタフェース(API)の形式で抽象化レイヤーが提供されているため、開発者はセキュリティやID管理の実装についての詳細を意識する必要がありません。OPSSを使用すれば、開発者は、暗号鍵管理や、ユーザー・リポジトリおよびその他のID管理インフラストラクチャとの相互作用について詳しく理解する必要はありません。OPSSを使用することで、自社開発のアプリケーション、サード・パーティ製のアプリケーション、および統合アプリケーションはすべて、企業全体で同じ共通のセキュリティ、ID管理、および監査サービスを使用できるようになります。
OPSSはWebLogic Serverのコンポーネントではなく、スタンドアロンWebLogic Serverインストールでは使用できません。OPSSはOracle Fusion Middlewareインフラストラクチャ・ソフトウェアから使用でき、Oracle JRFテンプレートに基づく、またはOracle JRFテンプレートで拡張されたドメイン内のWebLogic Serverで使用されます。詳細は、『Oracle Fusion Middleware Infrastructureのインストールと構成』を参照してください。Oracle JRFドメイン・テンプレートの詳細は、『ドメイン・テンプレート・リファレンス』のOracle JRFテンプレートに関する項を参照してください。
OPSSの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。
WebLogicセキュリティ・サービスのコンポーネントおよびサービスでは、エンド・ユーザーと管理者による使いやすさと管理しやすさ、およびアプリケーション開発者とセキュリティ開発者によるカスタマイズしやすさの両立が求められます。以下の節で、いくつか例を示します。
使いやすい: WebLogic Serverには、ドメイン構成ウィザードが用意されています。ドメイン構成ウィザードは、管理サーバー、管理対象サーバー、および必要に応じてクラスタを含む新しいドメインの作成と、個々のサーバーを追加することによる既存のドメインの拡張を支援します。また、ドメイン構成ウィザードは、新しいドメインに追加することを選択したサーバー用のconfig.xmlファイルおよび開始スクリプトを自動的に生成します。
管理しやすい: WebLogic Server環境でアプリケーションを構成およびデプロイする管理者は、製品に付属しているWebLogicセキュリティ・プロバイダを使用できます。これらのデフォルトのプロバイダは、即時利用可能な状態で、必要なすべてのセキュリティ機能をサポートしています。管理者は、WebLogic Serverに用意されているセキュリティ・ストア(特殊用途の組込みLDAPディレクトリ・サーバー)にセキュリティ・データを格納したり、外部LDAPサーバー、データベース、またはユーザー・ソースを使用したりできます。WebLogic Serverのセキュリティの構成と管理を簡素化するために、堅牢なデフォルトのセキュリティ構成が用意されています。
カスタマイズしやすい: アプリケーション開発者に対しては、WebLogicセキュリティAPIと、JAAS、JSS、JCE、JACCなどのJava EEセキュリティ標準がサポートされています。これらのAPIと標準を使用して、WebLogic Serverに接続するアプリケーションに対して、きめ細かい、カスタマイズされたセキュリティ環境を作成できます。
セキュリティ開発者は、セキュリティ・サービス・プロバイダ・インタフェース(SSPI)を使用して、WebLogic Server環境向けのカスタム・セキュリティ・プロバイダを開発できます。