プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの管理
12
c
(12.2.1.1.0)
E77388-02
次へ
目次
タイトルおよび著作権情報
はじめに
ドキュメントのアクセシビリティについて
表記規則
第1部 WebLogic Serverセキュリティ管理の概要
1
概要とロードマップ
マニュアルの内容と対象読者
このドキュメントの手引き
関連情報
セキュリティのサンプルとチュートリアル
WebLogic Server配布キットのセキュリティ・サンプル
ダウンロード可能な他のサンプル
このガイドの新機能
2
セキュリティ管理の概念
WebLogic Serverのセキュリティ・レルム
セキュリティ・プロバイダ
セキュリティ・ポリシーとWebLogicリソース
WebLogicリソース
デプロイメント記述子とWebLogic Server管理コンソール
WebLogic Serverのデフォルト・セキュリティ構成
WebLogicセキュリティの構成: 主な手順
セキュリティの構成方法
WebLogic Serverでのパスワードの保護の仕組み
3
WebLogic Serverのセキュリティ標準
サポートされるセキュリティ標準
サポートされるFIPS標準と暗号スイート
4
WebLogicドメインのセキュリティの構成
WebLogic Serverのセキュア・インストールの実行
WebLogic Serverのインストール前
インストール・プログラムの実行中
インストールの完了直後
本番用のWebLogicドメインの作成
ドメイン作成後の保護
秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の取得
秘密鍵、デジタル証明書、信頼性のある認証局からの証明書の格納
ユーザー・アカウントの保護
接続フィルタの使用
5
デフォルト・セキュリティ構成のカスタマイズ
デフォルト・セキュリティ構成をカスタマイズする理由
新しいセキュリティ・レルムを作成する前に
新しいセキュリティ・レルムの作成と構成: 主な手順
第2部 セキュリティ・プロバイダの構成
6
WebLogicセキュリティ・プロバイダの構成について
セキュリティ・プロバイダを構成する必要がある場合
セキュリティ・プロバイダの並替え
デプロイメント時のセキュリティ・ポリシーとロール変更の同期を有効化
7
認可プロバイダおよびロール・マッピング・プロバイダの構成
認可プロバイダの構成
WebLogic裁決プロバイダの構成
ロール・マッピング・プロバイダの構成
8
WebLogic監査プロバイダの構成
監査プロバイダの概要
WebLogic監査プロバイダによってログに記録されるイベント
構成オプション
監査ContextHandler要素
構成監査
構成監査の有効化
構成監査メッセージ
監査イベントと監査プロバイダ
9
資格証明マッピング・プロバイダの構成
WebLogic資格証明マッピング・プロバイダの構成
PKI資格証明マッピング・プロバイダの構成
PKI資格証明マッピング属性
資格証明アクション
SAML 1.1用のSAML資格証明マッピング・プロバイダの構成
アサーションの存続期間の構成
リライイング・パーティ・レジストリ
SAML 2.0用のSAML 2.0資格証明マッピング・プロバイダの構成
SAML 2.0資格証明マッピング・プロバイダの属性
サービス・プロバイダ・パートナ
Webサービス・パートナに必要なパートナ・ルックアップ文字列
ルックアップ文字列の構文
デフォルト・パートナの指定
パートナ証明書の管理
サービス・プロバイダ・パートナの属性を構成するためのJavaインタフェース
10
証明書ルックアップおよび検証フレームワークの構成
証明書ルックアップおよび検証フレームワークの概要
WebLogic Serverで提供されるCLVセキュリティ・プロバイダ
証明書パス・プロバイダ
証明書レジストリ
第3部 認証プロバイダの構成
11
WebLogic Serverでの認証プロバイダの構成について
認証プロバイダの選択
複数の認証プロバイダの使用
JAAS制御フラグ・オプションの設定
認証プロバイダの順序の変更
12
WebLogic認証プロバイダの構成
WebLogic認証プロバイダについて
ユーザー属性の設定
13
LDAP認証プロバイダの構成
WebLogic Serverに含まれるLDAP認証プロバイダ
LDAP認証プロバイダを使用するための要件
LDAP認証プロバイダの構成: 主な手順
他のLDAPサーバーへのアクセス
SSL用のLDAP認証プロバイダの有効化
動的グループとWebLogic Server
WebLogicプリンシパルでのGUIDおよびLDAP DNデータの使用
Oracle Internet DirectoryおよびOracle Virtual Directory認証プロバイダでのユーザーおよびグループの構成
ユーザーおよびグループの名前タイプの構成
ユーザー名属性タイプを変更する
グループ名属性タイプを変更する
静的グループの構成
Oracle Internet Directory認証プロバイダの構成例
LDAP認証プロバイダのフェイルオーバーの構成
LDAPフェイルオーバーの例1
LDAPフェイルオーバーの例2
Oracle Unified Directory用認証プロバイダの構成
Active Directory認証プロバイダの参照への遵守
Oracle Directory Server Enterprise Edition用LDAP認証プロバイダでのグループ検索の構成
LDAP認証プロバイダのパフォーマンスの向上
グループ・メンバーシップ・キャッシュの最適化
接続プール・サイズとユーザー・キャッシュの最適化
iPlanet認証プロバイダでの動的グループの構成によるパフォーマンスの向上
プリンシパル検証プロバイダ・キャッシュの最適化
Active Directory認証プロバイダの構成によるパフォーマンスの向上
一般LDAP認証プロバイダのキャッシュ統計の分析
構成時のLDAP接続のテスト
外部LDAPサーバーからの管理者ユーザーの構成: 例
14
RDBMS認証プロバイダの構成
RDBMS認証プロバイダの構成について
一般的なRDBMS認証プロバイダ属性
データ・ソース属性
グループ検索属性
グループ・キャッシング属性
SQL認証プロバイダの構成
パスワード属性
SQL文属性
読取り専用SQLオーセンティケータの構成
カスタムDBMSオーセンティケータの構成
プラグイン・クラス属性
15
Windows NT認証プロバイダの構成
Windows NT認証プロバイダについて
ドメイン・コントローラの設定
LogonTypeの設定
UPN名の設定
16
SAML認証プロバイダの構成
17
パスワード検証プロバイダの構成
パスワード検証プロバイダについて
パスワード検証プロバイダのパスワード構成ルール
パスワード検証プロバイダとWebLogic認証プロバイダの併用
LDAP認証プロバイダでのパスワード検証プロバイダの使用
WLSTを使用したパスワード検証プロバイダの作成と構成
パスワード検証プロバイダのインスタンスの作成
パスワード構成ルールの指定
18
IDアサーション・プロバイダの構成
IDアサーション・プロバイダについて
LDAP X509 IDアサーション・プロバイダの仕組み
LDAP X509 IDアサーション・プロバイダの構成: 主な手順
ネゴシエーションIDアサーション・プロバイダの構成
SAML 1.1用のSAML IDアサーション・プロバイダの構成
アサーティング・パーティ・レジストリ
証明書レジストリ
SAML 2.0用のSAML 2.0 IDアサーション・プロバイダの構成
IDプロバイダ・パートナ
Webサービス・パートナに必要なパートナ・ルックアップ文字列
パートナ証明書の管理
IDプロバイダ・パートナの属性を構成するためのJavaインタフェース
サーブレットに対するIDアサーションの順序付け
サーバー・キャッシュのIDアサーション・パフォーマンスの構成
アイデンティティ・ストアで未定義のユーザーの認証
WebLogicドメインでの仮想ユーザー認証の仕組み
双方向SSLの構成と証明書のセキュアな管理
WebLogic IDアサーション・プロバイダ(DefaultIdentityAsserter)のカスタマイズ
仮想ユーザー認証プロバイダの構成
WLSTを使用する仮想ユーザー認証の構成
ユーザー名マッパーの構成
カスタム・ユーザー名マッパーの構成
19
仮想ユーザー認証プロバイダの構成
仮想ユーザー認証プロバイダについて
セキュリティ・レルムへの仮想ユーザー認証プロバイダの追加
第4部 シングル・サインオンの構成
20
Microsoftのクライアントに対するシングル・サインオンの構成
Microsoftのクライアントに対するシングル・サインオンの概要
Microsoftのクライアントを含むSSOに必要なシステム要件
MicrosoftクライアントでSSOをサポートするためのホスト・コンピュータの要件
SSOを使用するMicrosoftクライアントをサポートするためのクライアント・コンピュータの要件
Microsoftのクライアントに対するシングル・サインオン: 主な手順
Kerberosを使用するためのネットワーク・ドメインの構成
WebLogic Server用のKerberos識別情報の作成
ステップ1: ホスト・コンピュータのユーザー・アカウントの作成
ステップ2: Kerberosに準拠するユーザー・アカウントの構成
ステップ3: サービス・プリンシパル名の定義とサービスのキータブの作成
WindowsシステムでのSPNの定義とキータブの作成
UNIXシステムでのSPNの定義とキータブの作成
ステップ4: 正しい設定の検証
ステップ5: デフォルトのJDKセキュリティ・ポリシー・ファイルの更新
Microsoftのクライアントで統合Windows認証を使用するための構成
.NET Webサービスの構成
Internet Explorerブラウザの構成
ローカル・イントラネット・ドメインの構成
イントラネット認証の構成
プロキシ設定の検証
Internet Explorer 6.0用の統合認証の設定
Mozilla Firefoxブラウザの構成
Java SEクライアント・アプリケーションの構成
JAASログイン・ファイルの作成
IDアサーション・プロバイダの構成
WebLogic ServerでのKerberos認証における起動引数の使用
Microsoftのクライアントに対するSSOの構成の検証
21
SAMLを使用するWebブラウザとHTTPクライアントでのシングル・サインオンの構成
SAMLサービスの構成
SAMLホワイト・ペーパーを使用したシングル・サインオンの構成
Webシングル・サインオン・シナリオ用SAMLのAPIサンプル
22
SAML 1.1サービスの構成
SAML 1.1でのシングル・サインオンの有効化: 主な手順
ソース・サイトの構成:主な手順
宛先サイトの構成:主な手順
シングル・サインオン用のSAML 1.1ソース・サイトの構成
SAML 1.1資格証明マッピング・プロバイダの構成
ソース・サイト・フェデレーション・サービスの構成
リライイング・パーティの構成
サポートされるプロファイルの構成
アサーション・コンシューマのパラメータ
デフォルトのアサーション・ストアの置換え
シングル・サインオン用のSAML 1.1宛先サイトの構成
SAML IDアサーション・プロバイダの構成
宛先サイト・フェデレーション・サービスの構成
SAML送り先サイトの有効化
アサーション・コンシューマURIの設定
アサーション・コンシューマ・サービス用のSSLの構成
SSLクライアントID証明書の追加
使い捨てポリシーと使用済アサーション・キャッシュまたはカスタム・アサーション・キャッシュの構成
POSTプロファイルに対する受信者チェックの構成
アサーティング・パーティの構成
サポートされるプロファイルの構成
ソース・サイトITSパラメータの構成
WLSTを使用したリライイング・パーティとアサーティング・パーティの構成
23
SAML 2.0サービスの構成
SAML 2.0サービスの構成: 主な手順
SAML 2.0全般サービスの構成
SAML 2.0全般サービスについて
メタデータ・ファイルの公開と配布
SAML 2.0シングル・サインオン用のIDプロバイダ・サイトの構成
SAML 2.0資格証明マッピング・プロバイダの構成
SAML 2.0 IDプロバイダ・サービスの構成
SAML 2.0 IDプロバイダ・サイトの有効化
カスタム・ログインWebアプリケーションの指定
バインディング・タイプの有効化
サイトのメタデータ・ファイルの公開
Webシングル・サインオン・サービス・プロバイダ・パートナの作成と構成
サービス・プロバイダ・パートナのメタデータ・ファイルの取得
パートナの作成と対話の有効化
アサーションの生成方法の構成
ドキュメントの署名方法の構成
アーティファクトのバインディングおよび転送設定の構成
SAML 2.0シングル・サインオン用のサービス・プロバイダ・サイトの構成
SAML 2.0 IDアサーション・プロバイダの構成
SAML認証プロバイダの構成
SAML 2.0全般サービスの構成
SAML 2.0サービス・プロバイダ・サービスの構成
SAML 2.0サービス・プロバイダ・サイトの有効化
ドキュメントの署名方法の指定
認証リクエストの管理方法の指定
バインディング・タイプの有効化
デフォルトURLの設定
Webシングル・サインオンIDプロバイダ・パートナの作成と構成
IDプロバイダ・パートナのメタデータ・ファイルの取得
パートナの作成と対話の有効化
認証リクエストおよびアサーションの構成
リダイレクトURIの構成
バインディングおよび転送設定の構成
パートナ・サイト、証明書、サービス・エンドポイント情報の表示
SAML 2.0におけるWebアプリケーション・デプロイメントの考慮事項
デプロイメント記述子に関する推奨事項
CLIENT-CERT認証でのrelogin-enabledの使用
デフォルト以外のクッキー名の使用
クラスタ環境におけるログイン・アプリケーションの考慮事項
強制認証とパッシブ属性の有効化による無効な構成
24
SAML 1.1および2.0のデバッグの有効化
SAMLデバッグ・スコープおよび属性について
コマンドラインを使用してデバッグの有効化
WebLogic Server管理コンソールを使用してデバッグの有効化
WebLogic Scripting Toolを使用してデバッグの有効化
標準出力へのデバッグ・メッセージの送信
第5部 セキュリティ情報の管理
25
セキュリティ・データの移行
セキュリティ・データ移行の概要
移行の概念
WebLogicセキュリティ・プロバイダでサポートされるフォーマットと制約
WLSTを使用したデータの移行
26
RDBMSセキュリティ・ストアの管理
RDBMSセキュリティ・ストアを使用するセキュリティ・プロバイダ
RDBMSセキュリティ・ストアの構成
RDBMSセキュリティ・ストアを使用するドメインの作成
データベース接続プロパティの指定
Oracleのサンプル
MS-SQLのサンプル
DB2のサンプル
デフォルトの接続プロパティの詳細
データベース接続のテスト
セキュリティ・データ・ストア内でのRDBMS表の作成
RDBMSセキュリティ・ストアのJMSトピックの構成
障害発生時のJMS接続リカバリの構成
RDBMSセキュリティ・ストアを使用するドメインのアップグレード
27
組込みLDAPサーバーの管理
組込みLDAPサーバーの構成
組込みLDAPサーバーのレプリケーション
LDAPブラウザからの組込みLDAPサーバーの内容の表示
組込みLDAPサーバーの情報のエクスポートおよびインポート
LDAPアクセス制御の構文
アクセス制御ファイル
アクセス制御の場所
アクセス制御のスコープ
アクセス権
属性の権限
エントリの権限
属性タイプ
サブジェクト・タイプ
評価ルールの付与または拒否
バックアップおよびリカバリ
第6部 SSLの構成
28
WebLogic ServerでのSSL構成の概要
SSLの概要
一方向および双方向SSL
サポートされるJava Secure Socket Extension (JSSE) SSL実装
SSLの設定: 主な手順
SSLセッションの動作
29
キーストアの構成
WebLogic Serverでのキーストアの構成について
秘密鍵、デジタル証明書、信頼性のある認証局について
IDと信頼のための個別キーストアの使用
キーストアの構成: 主な手順
WebLogic Serverが信頼を検索する方法
「キーストアの作成」
キーストアのファイル名の要件
keytoolを使用するキーストアの作成
ImportPrivateKeyを使用するキーストアの作成
開発環境でのキーストアと証明書の使用
デモンストレーション用キーストアの使用
CertGenを使用するデモ証明書の作成
CertGenについて
CertGenを使用する証明書と秘密鍵の作成
CertGenの使用方法
CertGenを使用する場合の制限事項
独自の認証局の使い方
Microsoft p7bフォーマットからPEMフォーマットへの変換
クライアントのデモ証明書の構成
本番環境のための証明書の取得と格納
証明書署名リクエストの生成
信頼キーストアとIDキーストアへの証明書のインポート
「WebLogic Serverでのキーストアの構成」
管理コンソールを使用するキーストアの構成
WLSTを使用するキーストアの構成
「キーストアの内容の表示」
「期限切れになる証明書の置換」
キーストアの作成: サンプル
IDと信頼性のある証明書のサポートされるフォーマット
Webブラウザのデジタル証明書の取得
30
Oracle OPSSキーストア・サービスの構成
OPSSキーストア・サービスの使用の前提条件
OPSSキーストア・サービスの説明の記載箇所
デモIDおよびデモ信頼に対するOPSSキーストア・サービスの構成: 主な手順
カスタムIDおよびカスタム信頼に対するOPSSキーストア・サービスの構成: 主な手順
31
ホスト名検証の使い方
デフォルトのWebLogic Serverホスト名検証の使用
Mac OS Xプラットフォームでのデフォルトのホスト名検証の使用
ワイルドカードのあるホスト名検証の使用
ワイルドカードのあるホスト名検証の仕組み
ワイルドカードのあるホスト名検証の構成
カスタム・ホスト名検証の使用
32
アウトバウンド双方向SSL接続のクライアント証明書の指定
概要
IDキーストアへのクライアント証明書の追加
アウトバウンド双方向SSL接続の開始
サーバーID証明書の使用の復元
33
SSLのデバッグ
SSLデバッグ・トレースについて
SSLデバッグを有効化するためのコマンド・ライン・プロパティ
34
SSL証明書の検証
証明書検証のレベルの制御
証明書の証明書ポリシーの受け入れ
証明書チェーンのチェック
証明書ルックアップと検証のプロバイダ
WebLogic ServerでのSSL証明書検証の動作
証明書検証に関する問題のトラブルシューティング
35
WebLogic ServerでのJCEプロバイダの使用
「RSA JCEプロバイダの使用」
JDK JCEプロバイダの使用
nCipher JCEプロバイダの使用
nCipher JCEプロバイダのインストール
36
FIPSモードの有効化
FIPSの概要
JavaオプションでのFIPS 140-2モードの有効化
java.securityでのFIPS 140-2モードの有効化
FIPS 140-2モード有効時のJCEの検証
Webサービスを使用する際の重要な考慮事項
SHA-1セキュア・ハッシュ・アルゴリズムのサポートなし
X509PKIPathv1トークンのサポートなし
37
SSLプロトコル・バージョンの指定
ハンドシェイクで使用されるSSLバージョンについて
weblogic.security.SSL.protocolVersionシステム・プロパティの使用
weblogic.security.SSL.minimumProtocolVersionシステム・プロパティの使用
JSSEベースのSSL実装で有効なプロトコル
38
JSSEベースSSL実装の使用
JSSEベース実装とCerticom SSL実装とのシステム・プロパティの相違
SSLのパフォーマンスに関する考慮事項
暗号スイート
サポートされる暗号スイートのリスト
サポートされる暗号スイートの後方互換性
匿名暗号の使用
暗号スイート名の等価物
WLSTを使用した暗号スイートの設定: サンプル
JSSE SSLでのデバッグの使用
WebLogic ServerでのRSA JSSEプロバイダの使用
39
X.509証明書失効チェック
証明書失効チェックの概要
デフォルトのCRチェック構成の有効化
デフォルトのCRチェックの構成
CRチェック構成のカスタマイズ
WebLogic Serverで使用するCRチェック方法の選択
失効ステータスを特定できない場合のSSL証明書パス検証の失敗
Online Certificate Status Protocolの使用
OCSPリクエストでのNonceの使用
レスポンス・タイムアウト時間の設定
OCSPレスポンス・ローカル・キャッシュの有効化および構成
証明書失効リストの使用
配布ポイントからの更新の有効化
CRLローカル・キャッシュの構成
認証局オーバーライドの構成
一般的な認証局オーバーライド
認証局オーバーライドのOCSPプロパティの構成
OCSP応答者URLの特定
認証局オーバーライドのCRLプロパティの構成
40
ネットワーク・チャネル固有のIDキーストアの構成
ネットワーク・チャネルについて
チャネル固有のSSL構成属性
チャネル固有のIDキーストアを構成する手順
WLSTを使用したチャネル固有のIDキーストアの構成
41
SSLを使用したRMI over IIOPの構成
42
証明書コールバック・ハンドラを使用したエンド・ユーザー証明書の検証
エンド・ユーザー証明書コールバック・ハンドラが機能する仕組み
証明書コールバック実装の作成
WebLogic Serverを使用した証明書コールバックの構成
第7部 セキュリティに関する専門的なトピック
43
クロス・ドメイン・セキュリティの構成
クロス・ドメイン・セキュリティのサポートに関する重要な情報
WebLogic Serverドメイン間の信頼関係の有効化
WebLogic Serverドメイン間のクロス・ドメイン・セキュリティの有効化
クロス・ドメイン・セキュリティの構成
クロス・ドメイン・セキュリティからのドメインの除外
クロス・ドメイン・ユーザーの構成
クロス・ドメイン・セキュリティ用の資格証明マッピングの構成
グローバル信頼の有効化
Java Authorization Contract for Containersの使用
MBean属性の表示
JAAS認可を使用するドメインの構成
44
JASPICセキュリティの構成
JASPICメカニズムによるWebLogic Serverデフォルトのオーバーライド
JASPICの構成の前提条件
サーバー認証モジュールがクラスパス内にあること
カスタムの認証構成プロバイダがクラスパス内にあること
構成データの場所
ドメインのJASPIC構成
認証構成プロバイダの表示
WebアプリケーションのJASPIC構成
WLSTによるJASPICの構成
WLS認証構成プロバイダの作成
カスタムの認証構成プロバイダの作成
すべてのWLSおよびカスタム認証構成プロバイダのリスト
ドメインのJASPICの有効化
ドメインのJASPICの無効化
45
セキュリティ構成MBean
SSLMBean
ServerMBean
EmbeddedLDAPMBean
RDBMSSecurityStoreMBean
SecurityConfigurationMBean
RealmMBean
WindowsNTAuthenticatorMBean
CustomDBMSAuthenticatorMBean
ReadonlySQLAuthenticatorMBean
SQLAuthenticatorMBean
DefaultAuditorMBean
UserLockoutManagerMBean
その他のセキュリティ・プロバイダMBean
第8部 付録
A
keytoolコマンドのサマリー
B
証明書チェーンの使い方(非推奨)
C
以前のバージョンのキーストアとの相互運用