この章の内容は以下のとおりです。
セキュリティ・プロバイダの構成の詳細は、WebLogicセキュリティ・プロバイダの構成についてとWebLogic Serverでの認証プロバイダの構成についてを参照してください。
セキュリティ・データの新しいセキュリティ・レルムへの移行については、セキュリティ・データの移行を参照してください。
WebLogic Serverには、セキュリティの管理を簡略化するためにデフォルトのセキュリティ設定を置き換える場合にカスタマイズできるデフォルトのセキュリティ構成が提供されています。
デフォルト・セキュリティ構成では、myrealm
がデフォルト(アクティブ)セキュリティ・レルムとして設定され、WebLogic裁決、認証、IDアサーション、資格証明マッピング、証明書パス、XACML認可、およびXACMLロール・マッピングの各プロバイダがセキュリティ・プロバイダとしてセキュリティ・レルムに定義されています。
以下のいずれかを行う場合、デフォルト・セキュリティ構成をカスタマイズします。
デフォルト・レルムのセキュリティ・プロバイダの1つを別のセキュリティ・プロバイダで置き換えます。
デフォルト・セキュリティ・レルムに追加のセキュリティ・プロバイダを構成します。(たとえば、2つの認証プロバイダを使用し、その1つで組込みLDAPサーバーを使用し、もう1つでWindows NTのユーザーおよびグループのストアを使用する場合)。
WebLogic Serverの組込みLDAPサーバー以外のLDAPサーバーにアクセスする認証プロバイダを使用します。
WebLogicオーセンティケータ(DefaultAuthenticatorとも呼ばれます)でユーザーおよびグループを定義するのではなく、ユーザーとグループの既存のストア(DBMSデータベースなど)を使用します。
認証を行う場合、ユーザー名に加えてプリンシパルのGUIDまたはDN属性を使用し、プリンシパルの一致で大文字/小文字が区別されないように指定します。
デフォルト・セキュリティ・レルムに監査プロバイダを追加します。
SAMLアサーションまたはKerberosトークンを処理するIDアサーション・プロバイダを使用します。
証明書レジストリを使用してセキュリティ・レルムに証明書失効を追加します。
セキュリティ・プロバイダのデフォルト構成設定を変更します。
セキュリティ・プロバイダ・データベースで並列セキュリティ・ポリシーとロール変更をそれぞれサポートしないカスタム認可プロバイダまたはロール・マッピング・プロバイダを使用します。
セキュリティ・レルムで様々なタイプのセキュリティ・プロバイダを構成する方法の詳細は、WebLogicセキュリティ・プロバイダの構成についてとWebLogic Serverでの認証プロバイダの構成についてを参照してください。
デフォルト・セキュリティ構成をカスタマイズする最も簡単な方法は、デフォルト・セキュリティ・レルム(myrealm
)にセキュリティ・プロバイダを追加することです。しかしOracleではこの方法ではなく、完全に新しいセキュリティ・レルムを作成して、デフォルト・セキュリティ構成をカスタマイズすることをお薦めします。このようにすると、デフォルト・セキュリティ構成を簡単に元に戻せる状態が保たれます。作成した新しいレルムにセキュリティ・プロバイダを構成し、既存のデフォルト・レルムからユーザーやグループなどのセキュリティ・データを移行してから、新しいセキュリティ・レルムをデフォルト・レルムとして設定します。「新しいセキュリティ・レルムの作成と構成: 主な手順」を参照してください。
新しいセキュリティ・レルムを作成する前には、以下のことを決定する必要があります。
どのセキュリティ・プロバイダを使用するか。WebLogic Serverには様々なセキュリティ・プロバイダがあり、カスタム・セキュリティ・プロバイダを作成したり入手したりすることもできます。有効なセキュリティ・レルムには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格証明マッピング・プロバイダ、ロール・マッピング・プロバイダ、および証明書パス・ビルダーが必須です。また、必要に応じてIDアサーション・プロバイダ、監査プロバイダ、および証明書レジストリ・プロバイダを含めることもできます。新しいセキュリティ・レルムに同じ種類のプロバイダを複数含める場合(複数の認証プロバイダ、複数の認可プロバイダなど)、そうしたプロバイダが相互に通信する方法を決定する必要があります。「複数の認証プロバイダの使用」を参照してください。
また、カスタムの認可プロバイダまたはロール・マッピング・プロバイダは、セキュリティ・プロバイダ・データベースで並列セキュリティ・ポリシーとロール変更をれぞれサポートする場合とサポートしない場合があります。カスタムの認可プロバイダまたはロール・マッピング・セキュリティ・プロバイダが並列変更をサポートしない場合、WebLogicセキュリティ・フレームワークは同期メカニズムを実行するため、各アプリケーションとモジュールはキューに配置され、連続してデプロイされます。これを行うには、レルムに「デプロイ可能プロバイダの同期を有効化」制御と「デプロイ可能プロバイダの同期のタイムアウト」制御を設定します。
WebアプリケーションやEJBリソースへのセキュリティ・ロールやセキュリティ・ポリシーの設定にどのようなモデルを使用するか。セキュリティ・ロールおよびポリシーは、デプロイメント記述子またはWebLogic Server管理コンソールを通じて設定できます。『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』のWebアプリケーションおよびEJBリソースの保護のオプションに関する項を参照してください。
Webリソースを使用するかどうか。
Webリソースは非推奨になりました。新しいセキュリティ・レルムで、URLリソースではなくWebリソースを使用するカスタム認可プロバイダを構成する場合は、新しいセキュリティ・レルムの「非推奨のWebリソースを使用」を有効にしてください。このオプションによってサーブレット・コンテナの実行時の動作が変更され、認可を実行する際にURLリソースではなくWebリソースが使用されます。
注意:
新しいセキュリティ・レルムを作成する場合、少なくとも1つの認証プロバイダを構成して、アサートされたLoginModuleを返す必要があります。そうしないと、デプロイメント記述子に定義されるrun-as
タグが有効になりません。
詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプの新しいセキュリティ・レルムの構成に関する項を参照してください。