6 WebLogicセキュリティ・プロバイダの構成について

ほとんどのWebLogicセキュリティ・プロバイダはWebLogic Serverを起動するとすぐにデフォルト設定で実行できますが、いくつかのプロバイダは通常、実行環境にあった構成設定を必要とします。たとえば、組込みLDAPサーバー以外のアイデンティティ・ストアを使用している場合、そのストア固有の認証プロバイダを構成する必要があります。また、特定のタイプのプロバイダを複数構成している場合、呼び出す順序を指定する必要があります。

この章には次のトピックが含まれます:

• セキュリティ・プロバイダを構成する必要がある場合

• セキュリティ・プロバイダの並替え

• デプロイメント時のセキュリティ・ポリシーとロール変更の同期を有効化

セキュリティ・プロバイダを構成する必要がある場合

デフォルトでは、ほとんどのWebLogicセキュリティ・プロバイダは通常WebLogic Serverをインストールすると実行できるように構成されています。 ただし、以下のような状況では、構成情報を指定する必要があります。

• WebLogic IDアサーション・プロバイダを使用する前に、アクティブなトークン・タイプを定義します。「IDアサーション・プロバイダの構成」を参照してください。

• セキュリティ・レルム内のユーザーにトークンをマップするには、WebLogic IDアサーション・プロバイダでユーザー名マッパーを構成します。「WebLogic資格証明マッピング・プロバイダの構成」を参照してください。

• デフォルト(アクティブ)セキュリティ・レルムで監査を使用するには、WebLogic監査プロバイダまたはカスタム監査プロバイダを構成します。「WebLogic監査プロバイダの構成」を参照してください。

• WebLogic ServerでHTTPおよびKerberosベースの認証を使用します。Microsoftのクライアントに対するシングル・サインオンの構成を参照してください。

• SAMLアサーションに基づくIDアサーションを使用します。SAMLを使用したWebブラウザとHTTPクライアントによるシングル・サインオンの構成を参照してください。

• 証明書失効を使用します。「証明書ルックアップおよび検証フレームワークの構成」を参照してください。

• 組込みLDAPサーバー以外のLDAPサーバーを使用するには、いずれかのLDAP認証プロバイダを構成します。LDAP認証プロバイダは、WebLogic認証プロバイダのかわりに、またはWebLogic認証プロバイダに加えて使用できます。「LDAP認証プロバイダの構成」を参照してください。

• 認証を行うために、データベースに格納されているユーザー、パスワード、グループ、およびグループ・メンバーシップ情報にアクセスします。「RDBMS認証プロバイダの構成」を参照してください。RDBMS認証プロバイダを使用すると、RDBMSセキュリティ・レルムからアップグレードできます。

• 認証のためにWindows NTのユーザーとグループを使用します。Windows NT認証プロバイダの構成を参照してください。Windows NT認証プロバイダは、Window NTセキュリティ・レルムのアップグレード・パスです。

• 新しいセキュリティ・レルムを作成する場合は、そのレルムのセキュリティ・プロバイダを構成します。「新しいセキュリティ・レルムの作成と構成: 主なステップ」を参照してください。

• セキュリティ・レルムにカスタム・セキュリティ・プロバイダを追加する場合、またはWebLogicセキュリティ・プロバイダをカスタム・セキュリティ・プロバイダで置き換える場合は、カスタム・セキュリティ・プロバイダのオプションを構成します。

セキュリティ・レルム内ではWebLogicが提供するセキュリティ・プロバイダか、またはカスタム・セキュリティ・プロバイダを使用できます。カスタム・セキュリティ・プロバイダを構成するには、Oracle WebLogic Server管理コンソール・オンライン・ヘルプのカスタム・セキュリティ・プロバイダの構成に関する項を参照してください。

セキュリティ・プロバイダの並替え

セキュリティ・レルムには、特定のタイプのセキュリティ・プロバイダを複数構成できます。 たとえば、複数のロール・マッピング・プロバイダや複数の認可プロバイダの使用が可能です。セキュリティ・レルム内に同じタイプの複数のセキュリティ・プロバイダがある場合、それらのプロバイダが呼び出される順序は、セキュリティ・プロセスの全体的な結果に影響を与える可能性があります。デフォルトでは、セキュリティ・プロバイダはレルムに追加された順序で呼び出されます。WebLogic Server管理コンソールを使用すると、プロバイダの順序を変更できます。Oracle WebLogic Server管理コンソール・オンライン・ヘルプのセキュリティ・プロバイダの順番の変更に関する項を参照してください。

デプロイメント時のセキュリティ・ポリシーとロール変更の同期を有効化

最高のパフォーマンスを実現するため、デフォルトでは、アプリケーションおよびモジュールのデプロイメント中にセキュリティ・ポリシーおよびロールに対して並列変更を実行できます。このため、セキュリティ・レルムに構成されているデプロイ可能な認可プロバイダおよびロール・マッピング・プロバイダでは、並列呼出しがサポートされている必要があります。WebLogicのデプロイ可能なXACML認可プロバイダおよびロール・マッピング・プロバイダは、この要件を満たしています。

ただし、カスタムのデプロイ可能な認可プロバイダまたはロール・マッピング・プロバイダで並列呼出しがサポートされている場合とサポートされていない場合があります。カスタムのデプロイ可能な認可プロバイダまたはロール・マッピング・プロバイダが並列呼出しをサポートしない場合、並列セキュリティ・ポリシーとロール変更を無効にして、かわりに各アプリケーションとモジュールがキューに配置され、連続してデプロイされる同期メカニズムを実行する必要があります。そうしないと、プロバイダが並列呼出しをサポートしない場合、java.util.ConcurrentModificationException例外が生成されます。

この同期実行メカニズムは、次の2つの方法で有効にすることができます。

ノート:

同期メカニズムを有効にすると、WebLogic Server XACMLプロバイダを含む、レルム内で構成されるすべてのデプロイ可能プロバイダが影響を受けます。同期メカニズムを有効にする場合、これらのプロバイダのパフォーマンスに悪影響があります。

• WebLogic Server管理コンソール。レルムの「デプロイ可能プロバイダの同期を有効化」と「デプロイ可能プロバイダの同期のタイムアウト」の制御を設定します。

  「デプロイ可能プロバイダの同期を有効化」制御により、各アプリケーションとモジュールがキューに配置されて連続してデプロイされる同期メカニズムが実行されます。

  「デプロイ可能プロバイダの同期のタイムアウト」制御により、デプロイ可能セキュリティ・プロバイダ同期操作に関するタイムアウト値(ミリ秒)が設定されるか返されます。これは、以前のサイクルがスタック状態になるとデプロイメント・サイクルがキューで待機する最大時間です。

• RealmMBeanのDeployableProviderSynchronizationEnabled属性とDeployableProviderSynchronizationTimeout属性。WLSTから、RealmMBeanのDeployableProviderSynchronizationEnabled属性とDeployableProviderSynchronizationTimeout属性を設定します。

  Oracle WebLogic Server MBeanリファレンスのRealmMBeanに関する項を参照してください。