Oracle® Fusion Middleware Oracle WebLogic Server 12.1.3セキュリティの管理 12c (12.1.3) E57576-07 |
|
前 |
次 |
この章では、WebLogic Server 12.1.3によって提供されるセキュリティ・プロバイダの構成に関する一般的な情報を説明します。
この章の内容は次のとおりです。
デフォルトでは、ほとんどのWebLogicセキュリティ・プロバイダは通常WebLogic Serverをインストールすると実行できるように構成されています。ただし、以下のような状況では、構成情報を指定する必要があります。
WebLogic IDアサーション・プロバイダを使用する前に、アクティブなトークン・タイプを定義します。第19章「IDアサーション・プロバイダの構成」を参照してください。
セキュリティ・レルム内のユーザーにトークンをマップするには、WebLogic IDアサーション・プロバイダでユーザー名マッパーを構成します。「WebLogic資格証明マッピング・プロバイダの構成」を参照してください。
デフォルト(アクティブ)セキュリティ・レルムで監査を使用するには、WebLogic監査プロバイダまたはカスタム監査プロバイダを構成します。第8章「WebLogic監査プロバイダの構成」を参照してください。
WebLogic ServerでHTTPおよびKerberosベースの認証を使用します。第21章「Microsoftのクライアントに対するシングル・サインオンの構成」を参照してください。
SAMLアサーションに基づくIDアサーションを使用します。第22章「SAMLを使用するWebブラウザとHTTPクライアントでのシングル・サインオンの構成」を参照してください。
証明書失効を使用します。第10章「証明書ルックアップおよび検証フレームワークの構成」を参照してください。
組込みLDAPサーバー以外のLDAPサーバーを使用するには、いずれかのLDAP認証プロバイダを構成します。LDAP認証プロバイダは、WebLogic認証プロバイダのかわりに、またはWebLogic認証プロバイダに加えて使用できます。第14章「LDAP認証プロバイダの構成」を参照してください。
認証を行うために、データベースに格納されているユーザー、パスワード、グループ、およびグループ・メンバーシップ情報にアクセスします。第15章「RDBMS認証プロバイダの構成」を参照してください。RDBMS認証プロバイダを使用すると、RDBMSセキュリティ・レルムからアップグレードできます。
認証のためにWindows NTのユーザーとグループを使用します。第16章「Windows NT認証プロバイダの構成」を参照してください。Windows NT認証プロバイダは、Window NTセキュリティ・レルムのアップグレード・パスです。
新しいセキュリティ・レルムを作成する場合は、そのレルムのセキュリティ・プロバイダを構成します。「新しいセキュリティ・レルムの作成と構成: 主な手順」を参照してください。
セキュリティ・レルムにカスタム・セキュリティ・プロバイダを追加する場合、またはWebLogicセキュリティ・プロバイダをカスタム・セキュリティ・プロバイダで置き換える場合は、カスタム・セキュリティ・プロバイダのオプションを構成します。
セキュリティ・レルム内ではWebLogicが提供するセキュリティ・プロバイダか、またはカスタム・セキュリティ・プロバイダを使用できます。カスタム・セキュリティ・プロバイダを構成するには、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのカスタム・セキュリティ・プロバイダの構成に関する項を参照してください。
セキュリティ・レルムには、特定のタイプのセキュリティ・プロバイダを複数構成できます。たとえば、複数のロール・マッピング・プロバイダや複数の認可プロバイダの使用が可能です。セキュリティ・レルム内に同じタイプの複数のセキュリティ・プロバイダがある場合、それらのプロバイダが呼び出される順序は、セキュリティ・プロセスの全体的な結果に影響を与える可能性があります。デフォルトでは、セキュリティ・プロバイダはレルムに追加された順序で呼び出されます。WebLogic Server管理コンソールを使用すると、プロバイダの順序を変更できます。Oracle WebLogic Server管理コンソール・オンライン・ヘルプのセキュリティ・プロバイダの順番の変更に関する項を参照してください。
ベスト・プラクティスの場合、デフォルトでは、アプリケーションおよびモジュールのデプロイメント中にセキュリティ・ポリシーおよびロールに対して並列変更を実行できます。このため、セキュリティ・レルムに構成されているデプロイ可能な認可プロバイダおよびロール・マッピング・プロバイダでは、並列呼出しがサポートされている必要があります。WebLogicのデプロイ可能なXACML認可プロバイダおよびロール・マッピング・プロバイダは、この要件を満たしています。
ただし、カスタムのデプロイ可能な認可プロバイダまたはロール・マッピング・プロバイダで並列呼出しがサポートされている場合とサポートされていない場合があります。カスタムのデプロイ可能な認可プロバイダまたはロール・マッピング・プロバイダが並列呼出しをサポートしない場合、並列セキュリティ・ポリシーとロール変更を無効にして、かわりに各アプリケーションとモジュールがキューに配置され、連続してデプロイされる同期メカニズムを実行する必要があります。そうしないと、プロバイダが並列呼出しをサポートしない場合、java.util.ConcurrentModificationException
例外が生成されます。
この同期実行メカニズムは、次の2つの方法で有効にすることができます。
注意: 同期メカニズムを有効にすると、WebLogic Server XACMLプロバイダを含む、レルム内で構成されるすべてのデプロイ可能プロバイダが影響を受けます。同期メカニズムを有効にする場合、これらのプロバイダのパフォーマンスに悪影響があります。 |
WebLogic Server管理コンソール。レルムの「デプロイ可能プロバイダの同期を有効化」と「デプロイ可能プロバイダの同期のタイムアウト」の制御を設定します。
「デプロイ可能プロバイダの同期を有効化」制御により、各アプリケーションとモジュールがキューに配置されて連続してデプロイされる同期メカニズムが実行されます。
「デプロイ可能プロバイダの同期のタイムアウト」制御により、デプロイ可能セキュリティ・プロバイダ同期操作に関するタイムアウト値(ミリ秒)が設定されるか返されます。これは、以前のサイクルがスタック状態になるとデプロイメント・サイクルがキューで待機する最大時間です。
RealmMBean
のDeployableProviderSynchronizationEnabled
属性とDeployableProviderSynchronizationTimeout
属性。WLSTから、RealmMBeanのDeployableProviderSynchronizationEnabled
属性とDeployableProviderSynchronizationTimeout
属性を設定します。
Oracle WebLogic Server MBeanリファレンスのRealmMBeanに関する項を参照してください。