| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1) E72537-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1) E72537-01 |
|
前 |
次 |
アイデンティティ、ポリシー、資格証明、鍵および監査は、アプリケーションの保護の基盤となります。この章では、これらの基本概念について説明し、セキュリティの互換バージョン11gおよび12cの表を示します。
この章の内容は次のとおりです。
この項では、リリース11.1.1.5.0、11.1.1.6.0、11.1.1.7.0、11.1.1.9.0、12.1.2.0.0、12.1.3.0.0および12.2.1.0.0について、バイナリ、構成、スキーマおよびストアの互換バージョンを示します。これらのアーティファクトの互換バージョンは、DBとLDAPの両方のセキュリティ・ストアに適用されます。DBストアでは、データベース・スキーマごとにセキュリティ・ストアは1つのみと見なされます。
次の表は、互換バージョンを示しており、DBとLDAPの両方のセキュリティ・ストアに適用されます。次の記号に注意してください。
バージョン番号の前に付いている記号=>は、示されているバージョン番号以降のバージョンを意味します。
バージョン番号の前に付いている記号>は、示されているバージョン番号より新しいバージョンを意味します。
バージョン番号の前に付いている記号<は、示されているバージョン番号より前のバージョンを意味します。
| バイナリ | 構成 | スキーマ | ストア | ステータス |
|---|---|---|---|---|
| 11.1.1.5.0 | 11.1.1.5.0 | =>11.1.1.5.0 | 11.1.1.5.0 | 認証済 |
| 11.1.1.5.0 | 11.1.1.5.0 | >11.1.1.5.0 | >11.1.1.5.0 | サポート対象外 |
| 11.1.1.6.0 | 11.1.1.5.0 | =>11.1.1.5.0 | 11.1.1.5.0 | 認証済 |
| 11.1.1.6.0 | 11.1.1.5.0 | >11.1.1.5.0 | >11.1.1.5.0 | サポート対象外 |
| 11.1.1.6.0 | 11.1.1.6.0 | =>11.1.1.6.0 | 11.1.1.6.0 | 認証済 |
| 11.1.1.6.0 | 11.1.1.6.0 | >11.1.1.6.0 | >11.1.1.6.0 | サポート対象外 |
| 11.1.1.7.0 | 11.1.1.7.0 | =>11.1.1.6.0 | <11.1.1.7.0 | サポート対象外 |
| 11.1.1.7.0 | 11.1.1.6.0 | =>11.1.1.6.0 | 11.1.1.6.0 | 認証済 |
| 11.1.1.7.0 | 11.1.1.6.0 | >11.1.1.6.0 | >11.1.1.6.0 | サポート対象外 |
| 11.1.1.7.0 | 11.1.1.7.0 | =>11.1.1.7.0 | 11.1.1.7.0 | 認証済 |
| 11.1.1.9.0 | 11.1.1.7.0
11.1.1.6.0 11.1.1.5.0 11.1.1.9.0 |
=>11.1.1.7.0
=>11.1.1.6.0 =>11.1.1.5.0 =>11.1.1.9.0 |
11.1.1.7.0
11.1.1.6.0 11.1.1.5.0 11.1.1.9.0 |
認証済 |
| 12.1.2.0.0 | 12.1.2.0.0 | =>12.1.2.0.0 | 12.1.2.0.0 | 認証済(スキーマのみのアップグレード) |
| 12.1.2.0.0 | <12.1.2.0.0 | <12.1.2.0.0 | <12.1.2.0.0 | サポート対象外 |
| 12.1.3.0.0 | 12.1.3.0.0 | =>12.1.3.0.0 | 12.1.3.0.0 | 認証済(スキーマのみのアップグレード) |
| 12.1.3.0.0 | <12.1.3.0.0 | <12.1.3.0.0 | <12.1.3.0.0 | サポート対象外 |
| 12.2.1.0.0 | <12.2.1.0.0 | <12.2.1.0.0 | <12.2.1.0.0 | サポート対象外 |
OPSSでは、ユーザー名とパスワードの組合せまたは証明書に基づいてユーザーを検証するコンポーネントであるWebLogic認証プロバイダを使用します。認証プロバイダにより、ドメイン内の他のコンポーネントで(サブジェクト内の)ユーザー・アイデンティティ情報を使用できるようになります。
Java EEアプリケーションでは、LDAPまたはDBの認証プロバイダを使用できます。すぐに使用できる状態のJava SEアプリケーションでは、ファイル・アイデンティティ・ストアを使用しますが、LDAPサーバーまたはデータベースを使用するようにストアを構成することもできます。
Oracle WebLogic Serverのセキュリティの詳細は、『Oracle WebLogic Serverセキュリティの理解』の認証に関する項を参照してください。
次の各項では、WebLogic認証プロバイダについて説明します。
デフォルトでは、ユーザーおよびグループはWebLogic Default Authenticatorに格納されます。この認証プロバイダでは、デフォルト属性としてcnを使用します。
LDAP認証プロバイダに格納されたデータには、ユーザーおよびロールAPIでアクセスしてユーザー・プロファイル属性を問い合せることができますが、LDAPではないアイデンティティ・リポジトリの問合せにはカスタム・コードが必要な場合があります。認証プロバイダ内では、グループ名は一意である必要があります。
次の各項では、複数の認証プロバイダを設定する方法について説明します。
|
関連項目: 『Oracle WebLogic Serverセキュリティの管理 12c』のLDAP X509アイデンティティ・アサーション・プロバイダの仕組みに関する項 『Oracle WebLogic Serverセキュリティの管理 12c』の「SAML認証プロバイダの構成」 |
WebLogic Serverでは、特定のコンテキストで複数の認証プロバイダを構成できます。そのうちの1つは、LDAP認証プロバイダとする必要があります。
デフォルト・オーセンティケータでは、制御フラグが(デフォルトで)REQUIREDに設定されています。デフォルト・オーセンティケータ以外のLDAP認証プロバイダでアイデンティティ・ストアを初期化するには、デフォルト・オーセンティケータの制御フラグを変更するか、認証プロバイダの順序を入れ替えます。
OPSSでは、次のアルゴリズムに従ってLDAP認証プロバイダを使用し、アイデンティティ・ストアを初期化します。
コンテキストで構成されているLDAP認証プロバイダのセットを検討します。コンテキストには、LDAP認証プロバイダが少なくとも1つ含まれている必要があります。
そのセットの中で、最大のフラグが設定されている認証プロバイダを検討します。このサブセットでの計算に使用するフラグの順序は次のとおりです。
REQUIRED > REQUISITE > SUFFICIENT > OPTIONAL
そのサブセットの中から、該当のコンテキストで最初のプロバイダを検討します。
手順3で選択したLDAP認証プロバイダを、アイデンティティ・ストアの初期化に使用します。
サービス・インスタンスの初期設定値がサービス・インスタンスの構成で明示的に指定されている場合は、その構成された値がデフォルト値よりも優先されます。
WebLogic Serverアイデンティティ・アサーション・プロバイダでは、X.509証明書、SPNEGOトークン、セキュリティ・アサーション・マークアップ・ランゲージ(SAML)アサーション・トークンおよびCORBA Common Secure Interoperability version 2 (CSIv2)を使用した証明書認証がサポートされています。
ネゴシエート・アイデンティティ・プロバイダは、SPNEGOプロトコルをサポートするMicrosoftクライアントでSSOに使用します。このプロバイダは、SPNEGOトークンをデコードしてKerberosトークンを取得し、このKerberosトークンを検証してWebLogicユーザーにマップします。
|
関連項目: 『Oracle WebLogic Serverセキュリティの理解』のアイデンティティ・アサーション・プロバイダに関する項 『Oracle WebLogic Serverセキュリティの管理 12c』のMicrosoftクライアントに対するシングル・サインオンの概要に関する項を参照してください。 『Oracle WebLogic Serverセキュリティの管理 12c』のWebLogic Server用のKerberos識別情報の作成に関する項 |
この項の情報は、Java EEアプリケーションにのみ適用されます。
アイデンティティ・ストア・タイプのサポートされているバージョンについては、http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.htmlで「Oracle Fusion Middleware 12c Certifications」を参照してください。
次の表に、各アイデンティティ・ストア・タイプとともに使用するWebLogic認証プロバイダを示します。
表3-1 アイデンティティ・ストア・タイプと認証プロバイダ
| ストア・タイプ | WebLogic認証プロバイダ |
|---|---|
|
Oracle Internet Directory |
OracleInternetDirectoryAuthenticator |
|
Oracle Virtual Directory |
OracleVirtualDirectoryAuthenticator |
|
Open LDAP |
OpenLDAPAuthenticator |
|
Oracle Unified Directory |
iPlanetAuthenticator |
|
Oracle Directory Server Enterprise Edition |
iPlanetAuthenticator |
|
Sun Java System Directory Server。 |
iPlanetAuthenticator |
|
Novell eDirectory |
NovellAuthenticator |
|
Tivoli Access Manager |
OpenLDAPAuthenticator |
|
Active Directory |
ActiveDirectoryAuthenticator |
|
Active Directory AM |
ActiveDirectoryAuthenticator |
|
Active Directory 2008 |
ActiveDirectoryAuthenticator |
|
Oracle DB |
CustomDBMSAuthenticator ReadOnlySQLAuthenticator SQLAuthenticator |
デフォルト・オーセンティケータ以外のLDAP認証プロバイダでは、UseRetrievedUserNameAsPrincipalフラグの設定が必要です。すぐに使用できる状態では、デフォルト・オーセンティケータのこのフラグは設定されています。
|
関連項目: 第24.3.1項 「Java SEアプリケーションでのLDAPアイデンティティ・ストアの構成」 『Oracle WebLogic Serverセキュリティ・プロバイダの開発』の「認証プロバイダ」 『Oracle WebLogic Serverセキュリティの管理 12c』の「認証プロバイダの構成」 Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびアイデンティティ・アサーション・プロバイダの構成に関する項 |
ポリシーは、特定の場所からロードされたコードに付与されるパーミッションを指定します。
Java Authorization and Authentication Services (JAAS)ポリシーは、オプションのプリンシパル・リストを指定できるようにすることでポリシーを拡張するため、それらのプリンシパルで表されるユーザーによって実行されるコードにパーミッションが付与されます。
アプリケーション・ポリシーは、(ドメイン内のすべてのアプリケーションに適用されるポリシーとは対照的に)該当のアプリケーションにのみ適用されるJAASポリシーの集合です。
システム・ポリシーにより、ユーザーおよびグループに、またはURLやJARファイルなどのコードにパーミッションが付与されます。
OPSS認証サービスでは、システムの中央リポジトリ、アプリケーション・ポリシーおよびロールを提供します。アプリケーション・ロール(管理ロールなど)には、アプリケーション固有のエンタープライズ・ユーザーおよびグループを指定できます。ポリシーでは、これらのグループまたはユーザーをプリンシパルとして使用できます。
ロールを自己管理するアプリケーションの場合は、Java EEアプリケーション・ロール(web.xmlファイルまたはejb-jar.xmlファイルで構成)がエンタープライズ・ユーザーおよびグループにマップされ、アプリケーション・ポリシーで使用されます。
ポリシー・ストアは、アプリケーション・ポリシーおよびシステム・ポリシーが格納されるセキュリティ・ストアの部分のことです。ポリシー・ストアのタイプは、ファイル、LDAPまたはDBのいずれかです。ファイル・ストアはXMLファイルです。唯一サポートされているLDAPポリシー・ストア・タイプは、Oracle Internet Directoryです。
開発段階およびデフォルトでは、アプリケーション・ポリシーはjazn-data.xmlファイルで指定します。
Oracle Enterprise Manager Fusion Middleware Control (Fusion Middleware Control)を使用してアプリケーションをデプロイすると、ポリシーをセキュリティ・ストアに自動的に移行することができます。
パーミッション・クラスはすべて、システム・クラスパスで指定する必要があります。
OPSS資格証明サービスでは、ユーザー、Javaコンポーネントおよびシステム・コンポーネントの権限を証明するアーティファクトの中央リポジトリを提供します。資格証明には、ユーザー名とパスワードの組合せ、チケットまたは公開鍵証明書を格納できます。このデータは、認証の際、プリンシパルをサブジェクトに移入するときに使用し、さらに認可時には、サブジェクトが実行できるアクションを決定するときに使用します。
資格証明ストアは、資格証明が格納されるセキュリティ・ストアの部分のことです。資格証明ストアのタイプは、ファイル、LDAPまたはDBのいずれかです。ファイル資格証明ストアはcwallet.ssoファイルです。唯一サポートされているLDAP資格証明ストア・タイプは、Oracle Internet Directoryです。
アプリケーションでは、資格証明ストアまたは独自の資格証明ストアを使用できます。資格証明ストアは、ファイル、LDAPまたはDBのいずれかです。
Fusion Middleware Controlを使用してアプリケーションをデプロイすると、資格証明をセキュリティ・ストアに自動的に移行することができます。
OPSSには、アプリケーションで資格証明をプログラムで作成、読取り、更新および管理する際に使用できるAPIが組み込まれた資格証明ストア・フレームワークが用意されています。
キーストア・サービス(KSS)キーストアは、ドメインのコンポーネントおよびアプリケーションによって使用される鍵および証明書に対する中央リポジトリとなります。これにより、キーストアを個々のアプリケーションに関連付ける必要がなくなり、また、ドメイン内のキーストア・データを一様に管理できる単一のユーザー・インタフェースとなります。
キーストア・リポジトリは、ファイル、DBまたはLDAPのいずれかです。あるタイプから別のタイプに、キーストアを再関連付けすることもできます。
Oracle Fusion Middleware監査フレームワーク(OFM監査フレームワーク)は、ドメインの監査レコードの中央リポジトリである監査ストアとなります。このフレームワークを使用して構成の変更をはじめ、コンポーネントおよびデプロイ済アプリケーションに対する操作アクティビティによってトリガーされるイベントを監査します。監査ストアは、ファイルまたはデータベースのいずれかです。
