Oracle® Fusion Middleware Oracle WebLogic Server 12.1.3セキュリティの管理 12c (12.1.3) E57576-07 |
|
前 |
次 |
この章では、このガイド『Oracle WebLogic Server 12.1.3セキュリティの管理』の内容と構成について説明し、このリリースでのセキュリティに関する新機能と変更点を紹介します。このマニュアルでは、セキュリティ・レルム、プロバイダ、IDと信頼、SSL、互換性セキュリティの設定など、WebLogic Serverのセキュリティを構成する方法について説明します。WebLogicのセキュリティに関するその他のドキュメントについては、「関連ドキュメント」を参照してください。
この章の内容は次のとおりです。
このドキュメントは、以下の読者を対象としています。
アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティ・アーキテクチャを設計するだけでなく、WebLogic Serverのセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティ・システムや最先端のセキュリティ技術とツールだけでなく、Javaプログラミング、Javaセキュリティ、およびネットワーク・セキュリティにも精通しています。
セキュリティ開発者 - WebLogic Serverに統合されるセキュリティ製品のシステム・アーキテクチャとインフラストラクチャを定義し、WebLogic Serverで使用するカスタム・セキュリティ・プロバイダを開発する開発者のことです。アプリケーション設計者と連携して、セキュリティ・アーキテクチャを確実に設計に従って、セキュリティ・ホールが発生しないように実装します。また、セキュリティが確実に正しく構成されるよう、サーバー管理者とも連携します。セキュリティ開発者は、認証、認可、監査(AAA)、Java Management eXtension (JMX)などのJavaに対する深い知識、およびWebLogic Serverとセキュリティ・プロバイダの機能に対する実践的な知識といったセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - クライアント・アプリケーションの開発、WebアプリケーションおよびEnterprise JavaBeans (EJB)へのセキュリティ機能の付加、および他のエンジニアリング・チーム、品質保証(QA)チーム、データベース・チームとの連携によるセキュリティ機能の実装などを主な業務とするJavaプログラマのことです。アプリケーション開発者は、Java (サーブレット、JSP、JSEEなどのJava EEコンポーネントを含む)とJavaセキュリティについての実用的かつ深い知識を備えています。
サーバー管理者 - アプリケーション設計者と密接に連携しながら、サーバーおよびサーバー上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ・リスクの特定、およびセキュリティ上の問題を防止する構成の提案を行います。関連する責務として、重要な本番システムの保守、セキュリティ・レルムの構成と管理、サーバー・リソースとアプリケーション・リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ・プロバイダのデータベースの保守などが含まれる場合もあります。サーバー管理者は、Webサービス、WebアプリケーションとEJBのセキュリティ、公開鍵セキュリティ、SSL、SAML (Security Assertion Markup Language)を含むJavaセキュリティ・アーキテクチャに関する深い知識を備えています。
アプリケーション管理者 - サーバー管理者と共同でセキュリティ構成や、認証および認可方式を実装および管理したり、定義されたセキュリティ・レルムでデプロイされたアプリケーション・リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念やJavaセキュリティ・アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバー・ログおよび監査ログでセキュリティ・イベントを特定できます。
このドキュメントの構成は次のとおりです。
第1部「WebLogic Serverセキュリティ管理の概要」:
このマニュアルの対象読者、構成、および関連情報について説明します。
WebLogic Serverのセキュリティ・システムの基本機能について説明します。
FIPSのバージョンや暗号スイートなど、WebLogic Serverでサポートされるセキュリティ標準を説明します。
WebLogic Serverのデフォルト・セキュリティ構成、セキュリティの構成手順および互換性セキュリティについて説明します。
いつデフォルトのセキュリティ構成をカスタマイズするか、新しいセキュリティ・レルムの構成要件、およびセキュリティ・レルムをデフォルト・セキュリティ・レルムとして設定する方法について説明します。
第2部「セキュリティ・プロバイダの構成」では、WebLogic Serverのセキュリティ・プロバイダの構成オプションと、カスタム・セキュリティ・プロバイダを構成する方法について説明します。
第3部「認証プロバイダの構成」では、WebLogic Serverの認証プロバイダおよびアイデンティティ・アサーション・プロバイダと、その構成方法について説明します。
第4部「シングル・サインオンの構成」では、次の構成方法を説明します。
SPNEGO (Simple and Protected Negotiate)メカニズムに基づいたWindows認証を使用した、Microsoftドメインの.NET Webサービス・クライアントまたはブラウザ・クライアント(Internet Explorerなど)とWebLogicドメインとの認証の構成。
SAML (Security Assertion Markup Language)1.1および2.0に基づいた認証を使用して、WebLogicドメインとWebブラウザまたは他のHTTPクライアントの間の認証を構成する方法。
セキュリティ・レルムとセキュリティ・プロバイダの間でセキュリティ・データをエクスポートおよびインポートする方法について説明します。
WebLogicセキュリティ・プロバイダによって使用される組込みLDAPサーバーに関連する管理タスクについて説明します。
RDBMSセキュリティ・ストアを構成する手順について説明します。RDBMSセキュリティ・ストアには、組込みLDAPサーバーではなく、外部のRDBMSシステムの様々なセキュリティ・プロバイダで管理するセキュリティ・データを格納できます。RDBMSセキュリティ・ストアは、クラスタ環境のようにドメイン内に複数のサーバーが構成されている場合に、SAML 2.0サービスで使用します。
第6部「SSLの構成」では次について説明します。
WebLogic ServerのSSL構成機能。WebLogic Serverで提供されるJSSEベースSSL実装の詳細についても説明します。
WebLogic Serverでのキーストアの構成方法。IDと信頼に対して別のキーストアを構成する方法も説明します。
WebLogic Serverで使用するためのOracle Platform Security Services (OPSS)キーストア・サービスの構成方法。
ホスト名検証の使用方法。これは、クライアントの接続先URLのホスト名と、SSL接続の一部としてサーバーが返送するデジタル証明書のホスト名が一致していることを確認する機能です。
アウトバウンド双方向SSL接続を行う場合のクライアント証明書の指定方法。
証明書失効(CR)ステータス・チェックとその他の証明書検証機能の構成方法。
WebLogic Serverでサポートされる暗号スイートと暗号化ライブラリ。
WebLogic ServerによるJava Cryptography Extension (JCE)プロバイダ、RSA、JDKおよびnCipherの使用のサポート。
WebLogic ServerでのFIPS 140-2モードの構成方法。
第7部「セキュリティに関する専門的なトピック」では次について説明します。
WebLogicドメインのためのセキュリティ構成オプション(クロス・ドメイン・セキュリティなど)の設定方法。
JASPIC (Java Authentication Service Provider Interface for Containers)の構成方法。
WebLogic Server 6.xで開発されたセキュリティ・レルムとの下位互換性を保持するためのセキュリティ構成モードである互換性セキュリティの使い方。
動的(サーバーを再起動せずに変更可能)および動的でない(変更にサーバーの再起動が必要) WebLogic Security MBeanとMBean属性。
以下のOracle Oracle Fusion Middlewareドキュメントには、WebLogicセキュリティ・サービスに関する情報が記載されています。
『Oracle WebLogic Serverセキュリティの理解』 - WebLogicセキュリティ・サービスの機能の概要で、このサービスのアーキテクチャと働きについて説明します。WebLogicセキュリティを理解するための基礎となるドキュメントです。
『Oracle WebLogic Serverセキュリティ・プロバイダの開発』 - セキュリティ・ベンダーとアプリケーション開発者に対して、WebLogic Serverで使用できるカスタム・セキュリティ・プロバイダを開発するために必要な情報を提供します。
『Oracle WebLogic Server本番環境の保護』 - 本番環境にWebLogic Serverをデプロイする前に考慮する不可欠なセキュリティ手法について説明します。
『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』 - 様々なタイプのWebLogicリソースを紹介し、WebLogic Serverを使用してそれらのリソースを保護するための情報を提供します。このドキュメントでは、URL (Web)リソースとEnterprise JavaBean (EJB)リソースのセキュリティについて重点的に説明します。
『WebLogicセキュリティ・サービスによるアプリケーションの開発』 - セキュアなWebアプリケーションを開発する方法について説明します。
『Oracle WebLogic Server WebLogic Webサービスの保護』 - セキュアなWebサービスを開発および構成する方法について説明します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプ - WebLogic Server管理コンソールを使用して、様々なセキュリティ構成タスクを実行できます。このオンライン・ヘルプでは、構成手順と構成可能な属性について説明します。
『Oracle WebLogic Serverのアップグレード』 - 旧バージョンのWebLogic Serverからこのリリースにアップグレードするために必要な手順などの情報を提供します。また、旧バージョンのWebLogic Serverからこのリリースへのアプリケーションの移行に関する情報も提供します。セキュリティとアップグレードに関連する互換性の問題の詳細は、『Oracle WebLogic Serverのアップグレード』を参照してください。
Oracle WebLogic Server Java APIリファレンス - このリリースのWebLogic Serverに付属している、サポート対象のWebLogicセキュリティ・パッケージのリファレンス・ドキュメントです。
「関連情報」にリストされているドキュメントに加え、オラクル社では、開発者向けの様々なコード・サンプルを、一部はWebLogic Serverに同梱し、その他はhttp://www.oracle.com/technetwork/indexes/samplecode/weblogic-sample-522121.html
にあるOTN (Oracle Technology Network)で提供しています。
WebLogic Serverでは、任意でAPIサンプル・コードをEXAMPLES_HOME
\wl_server\examples\src\examples\security
にインストールできます。EXAMPLES_HOME
はWebLogic Serverのサンプル・コードが構成されているディレクトリを示します。WebLogic Serverのサンプル・コードの詳細は、『Oracle WebLogic Serverの理解』のサンプル・アプリケーションとサンプル・コードに関する項を参照してください。
WebLogicのセキュリティ機能については、次のサンプルを参照してください。
Java認証および認可サービス
アウトバウンドおよび双方向SSL
追加のWebLogic Serverセキュリティ・サンプルは、http://www.oracle.com/technetwork/indexes/samplecode/weblogic-sample-522121.html
のOTN (Oracle Technology Network)でダウンロード可能です。これらのサンプルは、WebLogic Serverの既存のサンプル・ディレクトリ構造に解凍できる.zipファイルで配布されます。
ダウンロード可能なサンプルの構築と実行方法は、インストールされているWebLogic Serverのサンプルと同様です。詳細は、各サンプルのダウンロード・ページを参照してください。
WebLogic Server 12c (12.1.3)に含まれる新しいセキュリティ機能と変更されたセキュリティ機能を次に示します。このマニュアルではこれらについて説明しています。
ネットワーク・チャネル固有のカスタムIDキーストアおよび他のSSLオーバーライドを構成する機能。詳細は、第41章「ネットワーク・チャネル固有のIDキーストアの構成」を参照してください。
セキュリティ・レルムのアイデンティティ・ストアに定義されていないが、仮想ユーザーとして作成され、SSLハンドシェイク中に渡されたX.509クライアント証明書に含まれる属性に基づいてサブジェクト・プリンシパルを割り当てられたユーザーを認証する機能。詳細は、「アイデンティティ・ストアで未定義のユーザーの認証」を参照してください。
また、このドキュメントには次の改訂が含まれています。
このマニュアル、『Oracle WebLogic Server 12.1.3セキュリティの管理』は再編成されています。長い章を分割して短くし、主要なトピックを簡単に見つけられるようになりました。新しい編成については、「このドキュメントの手引き」で説明しています。
第3章「WebLogic Serverのセキュリティ標準」が追加されました。FIPSバージョンや暗号スイートを含め、WebLogic Server 12.1.3でサポートされるすべてのセキュリティ標準を説明します。
第4章「WebLogicドメインのセキュリティの構成」が追加されました。WebLogic Server環境でセキュリティを構成する方法の主な手順が要約されています。WebLogicドメインの作成前、作成中、作成後それぞれのタスクを中心に説明しています。
第30章「キーストアの構成」が改訂されました。特に本番環境での使用について、JKSキーストアの作成と構成の手順が整理されて、わかりやすくなりました。
第37章「FIPSモードの有効化」が追加されました。WebLogic ServerでFIPS 140-2モードを有効化する方法について説明しています。
第44章「クロス・ドメイン・セキュリティの構成」が改訂されました。クロス・ドメイン・セキュリティを構成する手順が詳しくわかりやすくなっています。
WebLogic Serverのこのリリースに追加された新機能の一覧については、『Oracle WebLogic Serverの新機能』を参照してください。