| Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理 12.2.1 12c (12.2.1) E70000-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理 12.2.1 12c (12.2.1) E70000-01 |
|
前 |
次 |
この章では、WebLogic Serverに含まれるRDBMS認証プロバイダの構成方法について説明します。
この章の内容は次のとおりです。
WebLogic Serverでは、RDBMS認証プロバイダはユーザー名/パスワード・ベースの認証プロバイダであり、ユーザー、パスワード、およびグループ情報のデータ・ストアとして(LDAPディレクトリではなく)リレーショナル・データベースを使用します。WebLogic Serverには、以下のRDBMS認証プロバイダが用意されています。
SQLオーセンティケータ - SQLデータベースを使用し、データベースへの読み書きアクセスを許可します。この認証プロバイダは、デフォルトによって一般的なSQLデータベース・スキーマを使用するように構成されていますが、使用するデータベースのスキーマに合わせて構成できます。「SQL認証プロバイダの構成」を参照してください。
読取り専用SQLオーセンティケータ - SQLデータベースを使用し、データベースへの読取り専用アクセスを許可します。書込みアクセスの場合、WebLogicセキュリティ・プロバイダではなくSQLデータベース独自のインタフェースを使用します。「読取り専用SQLオーセンティケータの構成」を参照してください。
カスタムRDBMSオーセンティケータ - プラグイン・クラスを書き込む必要があります。このプロバイダは、認証データ・ストアとしてリレーショナル・データベースを使用するが、SQLオーセンティケータのスキーマ構成が既存のデータベース・スキーマとうまく一致しない場合に使用します。「カスタムDBMSオーセンティケータの構成」を参照してください。
RDBMS認証プロバイダのセキュリティ・レルムへの追加については、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証およびIDアサーション・プロバイダの構成に関する項を参照してください。RDBMS認証プロバイダのインスタンスを作成したら、WebLogic Server管理コンソールのRDBMS認証プロバイダの「構成」→「プロバイダ固有」ページでそのインスタンスを構成します。
3種類のRDBMS認証プロバイダのすべてに以下の構成オプションがあります。
「グループ・メンバーシップ検索」および「グループ・メンバーシップ検索の最大レベル」属性では、再帰的なグループ・メンバーシップ検索を制限付きか無制限のどちらにするか、および制限付きにした場合、検索するグループ・メンバーシップ・レベルの数を指定します。たとえば、「グループ・メンバーシップ検索」をlimitedに、「グループ・メンバーシップ検索の最大レベル」を0に設定した場合、RDBMS認証プロバイダはユーザーが直接メンバーであるグループだけを検索します。グループ・メンバーシップ検索の最大レベルを指定すると、認証中に実行されるDBMS問合せの数が減少する場合があるので、特定のシナリオで認証のパフォーマンスが大幅に向上します。しかし、グループ・メンバーシップ検索レベルを制限するのは、必要なグループ・メンバーシップがその検索レベル制限の範囲内にあることが確認できている場合のみにしてください。
|
注意: RDBMSに循環グループが含まれる場合や、それ自身を含むように定義されているグループが含まれる場合、RDBMS認証プロバイダは認証プロセスを完了できないことがあります。「グループ・メンバーシップ検索」と「グループ・メンバーシップ検索の最大レベル」の属性を設定すると、グループ名の再帰ルックアップを制限できます。ただし、RDBMS認証プロバイダを循環グループで使用することはサポートされていないので、避ける必要があります。 |
グループ階層ルックアップの結果をキャッシュすることによって、RDBMS認証プロバイダのパフォーマンスを向上できます。このキャッシュを使用すると、RDBMS認証プロバイダがデータベースにアクセスする頻度を下げることができます。このキャッシュの使い方、サイズおよび期間を構成するには、WebLogic Server管理コンソールで認証プロバイダの「パフォーマンス」ページを使用します。詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの「セキュリティ・レルム: セキュリティ・プロバイダ: SQL認証: パフォーマンス」を参照してください。
SQL認証プロバイダの構成の詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの「セキュリティ・レルム: セキュリティ・プロバイダ: SQL認証: プロバイダ固有」を参照してください。「一般的なRDBMS認証プロバイダ属性」で説明した属性の他にも、SQL認証プロバイダには次の構成可能な属性があります。
以下の属性によって、RDBMS認証プロバイダとその基底データベースがパスワードを処理する方法を指定します。
プレーンテキスト・パスワードの有効化
パスワードのスタイルを保持
パスワードのスタイル
パスワード・アルゴリズム
SQL文属性では、プロバイダがデータベース内のユーザー名、パスワード、およびグループ情報にアクセスして編集するために使用するSQL文を指定します。SQL文属性のデフォルト値は、データベース・スキーマに次の表が含まれていることを前提としたものです。
ユーザー(ユーザー名、パスワード、「説明」)
グループ・メンバー(グループ名、グループ・メンバー)
グループ(グループ名、グループの説明)
|
注意: SQL文によって参照される表は、データベースに存在しなければなりません。プロバイダによって表は作成されません。これらの属性は、使用するデータベースのスキーマに合せて適宜変更できます。しかし、データベース・スキーマがこのデフォルト・スキーマと根本的に異なる場合、代わりにカスタムDBMS認証プロバイダを使用できます。 |
読取り専用SQL認証プロバイダの構成の詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの「セキュリティ・レルム: セキュリティ・プロバイダ: 読込み専用SQL認証プロバイダ: プロバイダ固有」を参照してください。「一般的なRDBMS認証プロバイダ属性」で説明した属性の他にも、読取り専用SQL認証プロバイダの構成可能な属性には、データベースのユーザー名、パスワードおよびグループ情報をリストするためにプロバイダで使用するSQL文を指定する属性があります。これらの属性は、使用するデータベースのスキーマに合せて適宜変更できます。
カスタムDBMS認証プロバイダは、他のRDBMS認証プロバイダと同様、ユーザー、パスワード、およびグループ情報のデータ・ストアとしてリレーショナル・データベースを使用します。このプロバイダは、使用するデータベース・スキーマがSQL認証プロバイダで必要なSQLスキーマと一致しない場合に使用します。「一般的なRDBMS認証プロバイダ属性」で説明した属性の他にも、カスタムDBMS認証プロバイダには以下の構成可能な属性があります。
カスタムDBMS認証プロバイダでは、weblogic.security.providers.authentication.CustomDBMSAuthenticatorPluginインタフェースを実装するプラグイン・クラスを作成する必要があります。このクラスはシステム・クラスパスに存在しなくてはならず、カスタムDBMS認証プロバイダの「プラグイン・クラス名」属性に指定する必要があります。必要な場合、「プラグインのプロパティ」属性を使用して、プラグイン・クラスによって定義されるプロパティ値を指定します。
