1 概要とロードマップ
この章には次の項が含まれます:
ドキュメントのスコープと対象読者
このガイドでは、WebLogic Serverの本番環境を保護する方法について説明します。
以下の読者を対象としています。
-
アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティ・アーキテクチャを設計するだけでなく、WebLogic Serverのセキュリティ機能を評価して最適な実装方法を判断する設計者です。アプリケーション設計者は、セキュリティ・システムや最先端のセキュリティ技術とツールだけでなく、Javaプログラミング、Javaセキュリティ、およびネットワーク・セキュリティにも精通しています。
-
セキュリティ開発者 - WebLogic Serverに統合されるセキュリティ製品のシステム・アーキテクチャとインフラストラクチャの定義、およびWebLogic Serverで使用するカスタム・セキュリティ・プロバイダの開発を主な業務とする開発者です。セキュリティ開発者は、認証、認可、監査(AAA)、Java Management eXtension (JMX)などのJavaに対する深い知識、およびWebLogic Serverとセキュリティ・プロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
-
アプリケーション開発者 - WebアプリケーションとEnterprise JavaBeans (EJB)の開発およびセキュリティ機能の付加、さらに他のエンジニアリング・チーム、品質保証(QA)チーム、データベース・チームとの連携によるセキュリティ機能の実装を行うJavaプログラマです。アプリケーション開発者は、Java(サーブレットやJSPなどのJava Platform, Enterprise Edition (Java EE)バージョン5コンポーネントとJSEE)、およびJavaセキュリティについて実用的かつ深い知識を備えています。
-
サーバー管理者 - アプリケーション設計者と密接に連携しながら、サーバーやサーバー上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ・リスクの特定、およびセキュリティ上の問題を防止する構成の提案を行います。関連する責務として、重要な本番システムの保守、セキュリティ・レルムの構成と管理、サーバー・リソースとアプリケーション・リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ・プロバイダのデータベースの保守などが含まれる場合もあります。サーバー管理者は、Webサービス、WebアプリケーションとEJBのセキュリティ、公開キーセキュリティ、SSL、SAML (Security Assertion Markup Language)を含むJavaセキュリティ・アーキテクチャに関する深い知識を備えています。
-
アプリケーション管理者 - サーバー管理者と共同でセキュリティ構成や、認証および認可方式を実装および管理したり、定義されたセキュリティ・レルムでデプロイされたアプリケーション・リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念やJavaセキュリティ・アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバー・ログおよび監査ログでセキュリティ・イベントを特定できます。
このドキュメントの手引き
このドキュメントの構成は次のとおりです。
-
この章「概要とロードマップ」では、このドキュメントの構成を紹介します。
-
「セキュリティ・ニーズの決定」は、特定の環境に対するセキュリティ・ニーズの決定方法、およびそのニーズを確実に満たすための基本的な基準について説明します。
-
「本番環境のセキュリティの確保」は、本番環境にWebLogic Serverをデプロイする前に必要なセキュリティの基準に焦点をあて、様々なセキュリティ設定を使用して本番環境を保護する方法について説明します。
関連情報
以下のOracle WebLogic Serverドキュメントには、WebLogicセキュリティ・サービスに関する情報が記載されています。
-
『Oracle WebLogic Serverの保護』 - WebLogic Serverのセキュリティの構成方法と互換性セキュリティの使用方法について説明します。
-
『Oracle WebLogic Serverセキュリティ・プロバイダの開発』 - WebLogic Serverとともに使用できるカスタム・セキュリティ・プロバイダをベンダーやアプリケーション開発者が開発する方法について説明します。
-
『Oracle WebLogic Serverのセキュリティの理解』 - WebLogicセキュリティ・サービスの機能やアーキテクチャの概要について説明します。このマニュアルはWebLogicセキュリティ・サービスを理解する上で基本となるものです。
-
『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』 - WebLogicリソースを保護する方法について説明します。主にURL (Web)リソースおよびEnterprise JavaBean (EJB)リソースの保護に焦点を当てています。
-
『Oracle WebLogic Serverアップグレード・ガイド』 - 6.x以前のバージョンのWebLogic ServerからWebLogic Server 10.3.xにアップグレードする際に必要な手順と情報を提供します。また、6.x以前のバージョンのWebLogic Serverから10.3.xにアプリケーションを移行するための情報も記載されています。WebLogic Serverセキュリティのアップグレードの詳細は、『Oracle WebLogic Serverアップグレード・ガイド』のセキュリティ・プロバイダのアップグレードに関する項を参照してください。
-
Oracle WebLogic Server APIリファレンス - このリリースのWebLogic Serverで提供され、サポートされているWebLogicセキュリティ・パッケージのリファレンス・ドキュメントです。
セキュリティのサンプルとチュートリアル
セキュリティ開発者向けに、Java Authentication and Authorization Service用、および発信SSLと双方向SSL用のコード・サンプルが用意されています。これらのサンプルとチュートリアルはWebLogic Serverセキュリティの動作を例示し、主要なセキュリティ開発タスクを実行する実際的な手順を示します。
独自のセキュリティ構成を開発する前に、まずセキュリティ・サンプルの一部またはすべてを実行することをお薦めします。
Avitek Medical Recordsアプリケーション(MedRec)とチュートリアル
MedRecはWebLogic Serverに付属したエンドツーエンドのサンプルJava EEアプリケーションであり、一元的で独立した医療記録管理システムをシミュレートします。MedRecアプリケーションには、患者、医師、および管理者に対して、様々なクライアントを使用して患者のデータを管理するフレームワークが用意されています。
MedRecはWebLogic ServerとJava EEの機能を例示し、Oracle推奨のベスト・プラクティスを重要点として示します。MedRecはWebLogic Server配布キットに含まれており、Windowsマシンの「スタート」メニューからアクセスできます。Linuxなどのプラットフォームでは、WL_HOME\samples\domains\medrecディレクトリからMedRecを起動します。WL_HOMEは、WebLogic Platformの最上位のインストール・ディレクトリです。
MedRecには、Webアプリケーション、Webサービス、ワークフロー・アプリケーション、および将来のクライアント・アプリケーションからのリクエストを共同で処理する複数のエンタープライズJava Bean (EJB)で主に構成されるサービス層があります。このアプリケーションには、メッセージドリブンEJB、ステートレス・セッションEJB、ステートフル・セッションEJB、およびエンティティEJBが含まれます。