この章の内容は次のとおりです。
WebCenter Portalのセキュリティ構成の特定の局面の詳細は、次を参照してください。
権限
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
WebCenter Portalの推奨セキュリティ・モデルは、Java Authentication and Authorization Service (JAAS)モデルを実装するOracle ADFセキュリティに基づいています。Oracle ADFセキュリティの詳細は、『Oracle Fusion Middleware Oracle Application Development FrameworkによるFusion Webアプリケーションの開発』のOracle ADFの概要に関する項を参照してください。
図25-1は、WebCenter Portalアプリケーション・デプロイメントとそのサービス、サーバー、ポートレット、ポートレット・プロデューサ、アイデンティティ・ストア、資格証明ストア、ポリシー・ストア、およびOracle Enterprise Managerの関係を示しています。
図25-2は、バックエンド・サーバーが接続された、デプロイ後の基本的なWebCenter Portalアプリケーションを示しています。
図25-2 バックエンド・サーバーが接続されたWebCenter Portalアプリケーションのアーキテクチャ
図25-3は、WebCenter Portalアプリケーションのセキュリティ・レイヤーを示しています。
WebCenter Portalアプリケーションは4つの同一下部セキュリティ・レイヤー(WebCenterセキュリティ・フレームワーク、ADFセキュリティ、OPSSおよびWebLogicサーバー・セキュリティ)を共有します。当然ながら、アプリケーション・レイヤーは実装に依存します。
WebCenter Portalアプリケーション・セキュリティ
WebCenter Portalでは、次のものがサポートされています。
アプリケーション・ロール管理および権限マッピング
自己登録
ポータルレベルのセキュリティ管理
外部アプリケーションの資格証明管理
WebCenter Portalセキュリティ・フレームワーク
WebCenter Portalセキュリティ・フレームワークでは、次のものがサポートされています。
サービス・セキュリティ拡張フレームワーク(サービスのセキュリティ・モデルを指定する際に一般的に使用される、権限ベースおよびロール・マッピングベースのモデル)
権限ベースの認可
ロールマッピング・ベースの認可
外部アプリケーションと資格証明とのマッピング
ADFセキュリティ
ADFセキュリティでは、次のものがサポートされています。
ページ認可
タスク・フロー認可
セキュアな接続管理
資格証明マッピングAPI
ログアウトの呼出し(Oracle Access ManagerおよびOracle SSOを使用したSSO対応構成からのログアウトなど)
ADFセキュリティベースのアプリケーション(adfAuthenticationサーブレット)用に保護されたログインURL
OPSS (Oracle Platform Security Services)
OPSSでは、次のものがサポートされています。
Anonymous-role
Authenticated-role
アイデンティティ・ストア、ポリシー・ストアおよび資格証明ストア
アイデンティティ管理サービス
Oracle Web Service Managerセキュリティ
認可
ポリシーおよび資格証明ライフサイクル
WebLogic Serverセキュリティ
WebLogic Serverセキュリティでは、次のものがサポートされています。
WebLogicオーセンティケータ
アイデンティティ・アサータ
J2EEコンテナ・セキュリティ
SSL
この項では、WebCenter Portalアプリケーションのデプロイ時に設定されているセキュリティ構成と、デプロイ後に実行する必要のある構成タスクについて説明します。
WebCenter Portalアプリケーションでは、事前に用意されているアカウントはありませんが、WebCenter Portalアプリケーションのデフォルトのシステム管理者アカウント(weblogic
)には特定の権限が事前に付与されています。インストールでシステム管理者ロールのアカウント名にweblogic
を使用しない場合は、「ユーザーおよびアプリケーション・ロールの管理」の手順に従って、このロールにその他のユーザーを1つ以上構成する必要があります。
注意:
weblogic
アカウントはシステム管理者アカウントです。そのため、ユーザーレベルのアーティファクトを作成する際には使用しないでください。weblogic
アカウントは、Fusion Middleware Controlで新規ユーザー・アカウントを作成する場合にのみ使用してください。
アプリケーション・ロールは、組込みLDAPサーバーのアイデンティティ・ストア部分に存在するロールや、エンタープライズLDAPプロバイダにより定義されたロールとは異なります。アプリケーション・ロールはアプリケーションに固有であり、ポリシー・ストアのアプリケーション固有のストライプで定義されます。
エンタープライズ・アイデンティティ・ストアに格納されているエンタープライズ・ロールは、エンタープライズ・レベルでのみ適用されます。つまり、ユーザーやシステム管理者がエンタープライズ・アイデンティティ・ストア内部に定義したロールおよび権限は、アプリケーション内の権限とは異なります。
WebCenter Portal内では、アプリケーション・ロールおよび権限を企業のアイデンティティ・ストア内のユーザーに割り当てることができます。また、エンタープライズ・アイデンティティ・ストア内に定義されたエンタープライズ・ロールに対してアプリケーション・ロールおよび権限を割り当てることもできます。
WebCenter Portalはデフォルトで、ファイルベースの組込みLDAPアイデンティティ・ストアを使用してアプリケーションレベルのユーザーIDを格納し、Oracle RDBMS (リリース10.2.0.4以降、リリース11.1.0.7以降およびリリース11.2.0.1以降)ポリシー・ストアを使用してポリシー権限を格納するように構成されています。
組込みLDAPアイデンティティ・ストアはセキュアではありますが、本番クラスのストアではないため、エンタープライズ本番環境向けの外部LDAPベース・アイデンティティ・ストア(Oracle Internet Directoryなど)と置き換える必要があります。アイデンティティ・ストア・タイプのサポートされているバージョンのリストは、Oracle Fusion Middleware 12cの動作保証を参照してください。
注意:
デフォルトのファイルベースのポリシー・ストアは、開発用および単一ノードのWebCenter Portal構成用にのみ使用してください。エンタープライズ・デプロイメントでは、「アイデンティティ・ストアの構成」の説明に従って、ポリシー・ストアおよび資格証明ストアをデータベースまたは外部LDAPベースのストアに再度関連付ける必要があります。
ポリシー・ストアおよび資格証明ストアでは、デフォルトのデータベース・ストアまたはOracle Internet Directory 11gR1または10.1.4.3のいずれかを使用できます。外部LDAPベースのストアを使用する場合は、ポリシー・ストアと資格証明ストアで同じLDAPサーバーを使用するように構成する必要がある点に注意してください。同様に、データベースを使用する場合は、ポリシー・ストアと資格証明ストアで同じデータベースを使用する必要があります。
サポートされているアイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアの構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のサポートされているLDAPベース、DBベース、およびファイルベースのサービスに関する項を参照してください。アイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアの再構成の詳細は、「アイデンティティ・ストアの構成」および「ポリシーおよび資格証明ストアの構成」を参照してください。
注意:
ディスカッションはデフォルトで、組込みLDAPアイデンティティ・ストアを使用するように構成されています。組込みLDAPストア内のすべてのユーザーがディスカッション・サーバーにログオンできます。また、Administrators
グループ内のすべてのユーザーがディスカッション・サーバーの管理権限を保有します。
アイデンティティ・ストアを外部LDAPサーバーに再度関連付けた場合、システム管理者アカウントを外部LDAPに移行するか(「外部LDAPサーバーへの管理者アカウントの移行」を参照)、管理者アカウントを移行しない場合は、ディスカッション・サーバーの新しい管理者アカウントを識別するために追加の手順が必要になります(「外部LDAPを使用するためのディスカッション・サーバーの移行」を参照)。
WebCenter PortalとContent Serverの両方で同じLDAPサーバーを共有する必要があります。詳細は、「Oracle WebCenter ContentとWebCenter Portalでアイデンティティ・ストアLDAPサーバーを共有するための構成」を参照してください。
ADFセキュリティの権限モデルでは、権限ベースの認可およびロールベースの認可の両方がサポートされています。次のトピックでは、これらの2つの認可タイプ、デフォルトのポリシー・ストア権限およびコードベース権限について説明します。
権限ベースの認可は、リストなど、Oracle Platform Security Services (OPSS)を使用してWebCenter Portalアプリケーション内にアクセス制御が実装されているツールで使用されます。WebCenter Portalには、ユーザーおよびロール管理ツールが豊富に用意されています。これらのツールによってアプリケーション・ロールを作成し、そのロールに付与する必要がある権限を定義できます。WebCenter Portalでのユーザーおよびロールの管理の詳細は、「ポータル間のセキュリティの管理」を参照してください。
リモート(バックエンド)リソースへのアクセスが必要なツールおよびサービスでは、ロール・マッピングベースの認可が必須になります。たとえば、ディスカッションで、WebCenter Portalのユーザー(1つ以上のアプリケーション・ロールにマップされている)をディスカッション・サーバーの別のロール・セットにマップする必要がある場合は、ロール・マッピングが必須です。
たとえば、WebCenter Portalアプリケーションでは次のようになります。
WebCenter Portalのロールは、バックエンドのディスカッション・サーバーの対応するロールにマップされます。
ユーザーに新しいWebCenter Portalロールが付与されると、バックエンドのディスカッション・サーバーで同様の権限が付与されます。たとえば、ユーザーPatがWebCenter PortalでDiscussions-Create/Edit/Delete
権限を付与された場合、バックエンドのディスカッション・サーバーで、対応する権限がPatに付与されます。
詳細は、「ディスカッション・サーバーのロール・マッピングの理解」を参照してください。
WebCenter Portalには、初期設定で次のデフォルト・ロールが用意されています。
デフォルトのアプリケーション・ロール:
管理者
アプリケーション・スペシャリスト
ポータル作成者
認証されたユーザー
パブリック・ユーザー
デフォルトのアプリケーション・ロールの詳細は、「ポータル間のセキュリティの管理」を参照してください。
ポータル内のデフォルトのロール:
ポータル・マネージャ
注意:
Participant
およびViewer
のポータルレベルのロールはデフォルトでは作成されません。ポータルの迅速な作成および不必要なロールの削除を目的に、デフォルトで作成されるデフォルトのポータルレベルのロールはほとんどありません。
WebCenter Portalは、権限チェックを使用して保護されたセキュリティ・プラットフォームでAPIを内部的にコールします。したがって、OPSSのAPIを呼び出すには、アプリケーションに適切な権限を付与する必要があります(たとえば、ポリシー・ストアにアクセスして権限を付与または取り消す(PolicyStoreAccessPermission
)ための権限や、アプリケーション・ロールに基本的な権限を付与するための権限など)。
同様に、WebCenter Portalでは、WebCenter Portalの権限を使用して公開する各種操作に対して事前にアクセスを認可しておき、OPSS APIを権限付きアクションとして呼び出す必要があります。
WebCenter Portalをデプロイした後で、次のセキュリティ関連の構成タスクをサイトに対して実行することを考慮する必要があります。
外部LDAPを使用するためのアイデンティティ・ストアの再関連付け
WebCenter Portalではデフォルトで、アイデンティティ・ストアに組込みLDAPが使用されます。事前に構成されている組込みLDAPは、セキュアではありますが、大規模なエンタープライズ本番環境には適さない場合があります。Oracle Internet Directory (OID)などの外部LDAPを使用するようにアイデンティティ・ストアを構成する方法の詳細は、「アイデンティティ・ストアの構成」を参照してください。
注意:
WebCenter Portalのディスカッション・サーバーはデフォルトで、組込みLDAPアイデンティティ・ストアを使用するように構成されています。組込みLDAPストア内のすべてのユーザーがディスカッション・サーバーにログオンできます。また、Administrators
グループ内のすべてのユーザーがディスカッション・サーバーの管理権限を保有します。
アイデンティティ・ストアを外部LDAPサーバーに再度関連付けた場合、システム管理者アカウントを外部LDAPに移行するか(「外部LDAPサーバーへの管理者アカウントの移行」を参照)、管理者アカウントを移行しない場合は、ディスカッション・サーバーの新しい管理者アカウントを識別するために追加の手順が必要になります(「外部LDAPを使用するためのディスカッション・サーバーの移行」を参照)。
WebCenter Portalに関しては、WebCenter PortalアプリケーションおよびContent Serverは同じLDAPサーバーを共有する必要があります。詳細は、「Oracle WebCenter ContentとWebCenter Portalでアイデンティティ・ストアLDAPサーバーを共有するための構成」を参照してください。
SSOの構成
シングル・サインオン(SSO)を使用すると、ユーザーはサブアプリケーションごとにログインするのではなく(wikiページへのアクセスなど)、WebCenter Portalおよびコンポーネント全体で1回ログインするだけで済みます。ユーザーは、アクセスするアプリケーションまたはコンポーネントごとに別個のユーザーIDおよびパスワードを保持する必要がありません。ただし、より厳密な方式を使用して機密性の高いアプリケーションを保護できるように、多様な認証方式を構成することもできます。WebCenter Portalでは、4つのシングル・サインオン・ソリューション(Oracle Access Manager (OAM)、Oracle Single Sign-on (OSSO)、SAMLベースのシングル・サインオン・ソリューション、およびSimple and Protected Negotiate (SPNEGO)メカニズムとKerberosプロトコルに基づいたWindows認証による、Microsoftクライアント用SSOソリューション)がサポートされています。これらのソリューションの説明およびシングル・サインオンの概要は、「シングル・サインオンの構成」を参照してください。
SSLの構成
Secure Sockets Layer (SSL)は、追加の認証レイヤーを提供し、交換されるデータを暗号化することによってWebCenter Portalとコンポーネントの間の接続のセキュリティを強化します。データ交換が機密的なアプリケーションまたはコンポーネント間の接続では、SSLを使用して接続を保護することを考慮してください。本番環境でSSLを使用して保護できる、または保護する必要のある接続のリストは、「SSLの構成」を参照してください。
注意:
SSLを使用すると、計算が集中的に行われ、接続のオーバーヘッドが増加します。このため、SSLは必要でないかぎりは使用しないでください。SSLは本番環境まで保留しておくことをお薦めします。