Oracle Java Cloud Serviceで実行中のアプリケーションにアクセスしているユーザーまたはシステムのアイデンティティを判別できる様々な方法の概要を示します。 クライアントは外部LDAPまたはデータベースに対して認証でき、または、クライアントのアイデンティティをSAMLなどの様々なトークン・テクノロジを使用して検証できます。
デフォルトでは、クラウド・ユーザーおよびアプリケーション・ユーザーは様々なセキュリティ・フレームワークによって管理され、様々なアイデンティティ・ストアに配置されます。 その結果、これらのユーザーは様々な認証オプションをサポートします。
SSO (シングル・サインオン)は、ユーザーが一度認証されれば、他の様々なアプリケーション・コンポーネントに(それらが独自の認証方式を使用している場合でも)アクセスできる機能です。 SSOを使用すると、ユーザーはすべてのアプリケーション、Webサイト、メインフレーム・セッションに、1つのIDでセキュアにログインできます。
WebLogic Server認証
Oracle WebLogic Serverドメインでは、ドメイン内のすべてのサーバーにおける認証、認可、ロール・マッピング、資格証明マッピングおよびセキュリティ監査を制御するセキュリティ・レルムが定義されます。 これらのサービスはセキュリティ・プロバイダとして実装されます。 WebLogic Serverには多くの種類の組込みプロバイダが含まれ、独自のものを作成することもできます。 具体的には、認証プロバイダは資格証明またはトークンを検証することにより、ユーザーの信用を確立します。 アクセスを決定するために、ユーザーが属しているグループを識別することもできます。
単一のセキュリティ・レルムに複数の認証プロバイダを構成することもできます。 たとえば、WebLogic Server管理ユーザーがあるLDAPに存在し、アプリケーション・ユーザーが別のLDAPに存在するシナリオを考えてください。
この表は、WebLogic Serverセキュリティ・レルムで使用可能な認証オプションのいくつかを示しています。
| 認証オプション | 説明 |
|---|---|
|
組込みLDAP (デフォルト) |
各ユーザーの資格証明およびグループ・メンバーシップは、ドメインの管理サーバーでホスティングされ、ドメイン内のすべての管理対象サーバーにレプリケートされるライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)サーバーに保持されます。 大規模な本番アプリケーションに組込みLDAPを使用することはお薦めしません。 次のトピックのいずれかを参照してください。
|
|
外部LDAP |
WebLogic Serverには、Oracle Internet Directory、Microsoft Active Directory、iPlanet、Open LDAPまたは他のLDAP互換サーバーと互換性がある認証プロバイダが含まれます。 これらのプロバイダは主に、一般的なディレクトリ・スキーマが反映されるように、対応するLDAPサーバーがデフォルトで構成されている点が異なります。 次のトピックのいずれかを参照してください。
|
|
リレーショナル・データベース |
WebLogic Serverには、ユーザー、パスワードおよびグループのデータ・ストアとしてリレーショナル・データベースを使用する認証プロバイダが含まれます。 このプロバイダは、デフォルトでは、これらのエンティティをサポートするために一般的なSQLデータベース・スキーマを使用して構成されますが、このデフォルトの構成をカスタマイズしてデータベースの既存のスキーマに合せることもできます。 次のトピックのいずれかを参照してください。
|
|
SAML |
境界認証では、WebLogic Serverの外部のシステムはトークンを使用して信用を確立します。 WebLogic ServerはSecurity Assertion Markup Language (SAML)トークン(アサーション)を生成および消費でき、SAML 1.1とSAML 2.0の両方をサポートします。 次のトピックを参照してください。
|