はじめに
このドキュメントでは、セキュリティ・レルム、プロバイダ、アイデンティティと信頼、SSL、互換性セキュリティの設定など、WebLogic Serverのセキュリティを構成する方法について説明します。
対象読者
このドキュメントは、以下の読者を対象としています。
-
アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティ・アーキテクチャを設計するだけでなく、WebLogic Serverのセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティ・システムや最先端のセキュリティ技術とツールだけでなく、Javaプログラミング、Javaセキュリティ、およびネットワーク・セキュリティにも精通しています。
-
セキュリティ開発者 - WebLogic Serverに統合されるセキュリティ製品のシステム・アーキテクチャとインフラストラクチャを定義し、WebLogic Serverで使用するカスタム・セキュリティ・プロバイダを開発する開発者のことです。アプリケーション設計者と連携して、セキュリティ・アーキテクチャを確実に設計に従って、セキュリティ・ホールが発生しないように実装します。また、セキュリティが確実に正しく構成されるよう、サーバー管理者とも連携します。セキュリティ開発者は、認証、認可、監査(AAA)、Java Management eXtension (JMX)などのJavaに対する深い知識、およびWebLogic Serverとセキュリティ・プロバイダの機能に対する実践的な知識といったセキュリティ概念をしっかりと理解しています。
-
アプリケーション開発者 - クライアント・アプリケーションの開発、WebアプリケーションおよびEnterprise JavaBeans (EJB)へのセキュリティ機能の付加、および他のエンジニアリング・チーム、品質保証(QA)チーム、データベース・チームとの連携によるセキュリティ機能の実装などを主な業務とするJavaプログラマのことです。アプリケーション開発者は、Java (サーブレット、JSP、JSEEなどのJava EEコンポーネントを含む)とJavaセキュリティについての実用的かつ深い知識を備えています。
-
サーバー管理者 - アプリケーション設計者と密接に連携しながら、サーバーおよびサーバー上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ・リスクの特定、およびセキュリティ上の問題を防止する構成の提案を行います。関連する責務として、重要な本番システムの保守、セキュリティ・レルムの構成と管理、サーバー・リソースとアプリケーション・リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ・プロバイダのデータベースの保守などが含まれる場合もあります。サーバー管理者は、Webサービス、WebアプリケーションとEJBのセキュリティ、公開キー・セキュリティ、SSL、SAML (Security Assertion Markup Language)を含むJavaセキュリティ・アーキテクチャに関する深い知識を備えています。
-
アプリケーション管理者 - サーバー管理者と共同でセキュリティ構成や、認証および認可方式を実装および管理したり、定義されたセキュリティ・レルムでデプロイされたアプリケーション・リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念やJavaセキュリティ・アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバー・ログおよび監査ログでセキュリティ・イベントを特定できます。
ドキュメントのアクセシビリティ
オラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイトhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=docaccを参照してください。
Oracle Supportへのアクセス
サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。
ダイバーシティ&インクルージョン
Oracleはダイバーシティ&インクルージョンに積極的に取り組んでいます。Oracleは、ソート・リーダーシップと革新性を高める社員の多様性を尊重し、その価値を重んじています。従業員、お客様、パートナー様にポジティブな影響をもたらすインクルーシブな文化を醸成する私たちのイニシアティブの一環として、製品やドキュメントからインセンシティブな用語を取り除くように努めています。また、Oracle製品および業界標準が進化する中、お客様の既存の技術との互換性を維持する必要性およびサービスの継続性確保の要求にも留意しています。このような技術的な制限により、当社のインセンシティブな用語を削除する取組みは継続中であり、時間と皆様のご協力が必要となります。
関連情報
以下のOracle Fusion Middlewareドキュメントには、WebLogicセキュリティ・サービスに関する情報が記載されています。
-
『Oracle WebLogic Serverセキュリティの理解』 - WebLogicセキュリティ・サービスの機能の概要で、このサービスのアーキテクチャと働きについて説明します。WebLogicセキュリティを理解するための基礎となるドキュメントです。
-
『Oracle WebLogic Serverセキュリティ・プロバイダの開発』 - セキュリティ・ベンダーとアプリケーション開発者に対して、WebLogic Serverで使用できるカスタム・セキュリティ・プロバイダを開発するために必要な情報を提供します。
-
『Oracle WebLogic Server本番環境の保護』 - 本番環境にWebLogic Serverをデプロイする前に考慮する不可欠なセキュリティの強化とロックダウンの手法について説明します。
-
『Oracle WebLogic Serverロールおよびポリシーによるリソースの保護』 - 様々なタイプのWebLogicリソースを紹介し、WebLogic Serverを使用してそれらのリソースを保護するための情報を提供します。このドキュメントでは、URL (Web)リソースとEnterprise JavaBean (EJB)リソースのセキュリティについて重点的に説明します。
-
『WebLogicセキュリティ・サービスによるアプリケーションの開発』 - セキュアなWebアプリケーションを開発する方法について説明します。
-
『Oracle WebLogic Server WebLogic Webサービスの保護』 - セキュアなWebサービスを開発および構成する方法について説明します。
-
Oracle WebLogic Server管理コンソール・オンライン・ヘルプ - WebLogic Server管理コンソールを使用して、様々なセキュリティ構成タスクを実行できます。このオンライン・ヘルプでは、構成手順と構成可能な属性について説明します。
-
『Oracle WebLogic Serverのアップグレード』 - 旧バージョンのWebLogic Serverからこのリリースにアップグレードするために必要な手順などの情報を提供します。また、旧バージョンのWebLogic Serverからこのリリースへのアプリケーションの移行に関する情報も提供します。
-
Oracle WebLogic Server Java APIリファレンス - このリリースのWebLogic Serverに付属している、サポート対象のWebLogicセキュリティ・パッケージのリファレンス・ドキュメントです。
WebLogic Server配布キットのセキュリティ・サンプル
WebLogic Serverでは、任意でAPIサンプル・コードをEXAMPLES_HOME/examples/src/examples/securityにインストールできます。EXAMPLES_HOMEはWebLogic Serverのサンプル・コードが構成されているディレクトリを示します。デフォルトで、この場所は、ORACLE_HOME/wlserver/samples/serverです。WebLogic Serverサンプル・コードの詳細は、『Oracle WebLogic Serverの理解』のサンプル・アプリケーションおよびサンプル・コードに関する項 を参照してください。
WebLogicのセキュリティ機能については、次のサンプルを参照してください。
-
Java認証および認可サービス
-
アウトバウンドおよび双方向SSL
WebLogic Serverの新機能および変更された機能
WebLogic Serverのこのリリースに追加された新機能の一覧については、『Oracle WebLogic Serverの新機能』を参照してください。