2 WebLogic Serverのセキュリティ標準

Oracle WebLogic Server WebLogicセキュリティ・サービスは、JAAS (Java Authentication and Authorization Service)、JSSE (Java Secure Sockets Extensions)、JCE (Java Cryptography Extensions)、JASPIC (Java Authentication Service Provider Interface for Containers)、JACC (Java Authorization Contract for Containers)などの標準のJava EEセキュリティ技術に基づいて構築されており、サポートしています。

この章の内容は次のとおりです。

• サポートされるセキュリティ標準

• サポートされるFIPS標準と暗号スイート

サポートされるセキュリティ標準

WebLogic Serverでは、JAAS、JASPIC、JACC、JCEといったJava EEセキュリティ標準がサポートされています。

表2-1に、サポートされている標準をすべて示します。

表2-1 WebLogic Serverでのセキュリティ標準のサポート

標準	バージョン	追加の考慮事項
JAAS	JAASバージョンはJava SEバージョンによって異なります。 http://docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/tutorials/AcnOnly.htmlを参照してください。	「JAAS認可を使用するドメインの構成」を参照してください。
JASPIC	1.1	JASPICセキュリティの構成を参照してください。
JACC	1.5	JACC (Java Authorization Contract for Containers)の使用を参照してください。
Java EEアプリケーションのパッケージ化された権限	Java EE 7プラットフォーム仕様
JCE	1.4 RSA JCE: Crypto-J V6.2.4.0.1 ノート: 2021年4月のパッチ・セット更新(PSU)では、RSA JCE: Crypto-J V6.2.5のサポートが追加されています JDK 8 JCEプロバイダ(SunJCE)およびnCipher JCEもサポートされます。	WebLogic ServerでのJCEプロバイダの使用を参照してください。
JSSE	JDK 8 Java Secure Socket Extension (JSSE)に基づくデフォルトのSSL実装。 RSA JSSEもサポートされます。	JSSEベースのSSL実装の使用を参照してください。 「WebLogic ServerでのRSA JSSEプロバイダの使用」を参照してください。 ノート: JSSEはそのSSL実装でServer Name Indication(SNI)をサポートしますが、WebLogic ServerはSNIをサポートしません。
Kerberos	バージョン5	Microsoftのクライアントに対するシングル・サインオンの構成を参照してください。
LDAP	v3	「LDAP認証プロバイダの構成」を参照してください。 組込みLDAPサーバーの管理も参照してください。
SAML	1.1, 2.0	SAML 1.1サービスの構成を参照してください。 SAML 2.0サービスの構成を参照してください。
SLO	SAMLによる	サービス・プロバイダでのみサポートされます。 「SAMLシングル・ログアウトの構成」を参照してください
SPNEGO	https://datatracker.ietf.org/doc/html/rfc4178によって指定されます。	Microsoftのクライアントに対するシングル・サインオンの構成を参照してください。
SSL	v3. (WebLogic ServerではSSL 2.0はサポートされません。)	バージョン固有の情報は、「SSL/TLSプロトコル・バージョンの指定」を参照してください。
SSO	Microsoftクライアントによる SAMLによる	Microsoftのクライアントに対するシングル・サインオンの構成を参照してください。 SAMLを使用したWebブラウザとHTTPクライアントによるシングル・サインオンの構成を参照してください。
TLS	v1.0、v1.1、v1.2、v1.3 ノート: TLS v1.0およびv1.1のサポートは非推奨です。	TLS v1.1が、WebLogic Serverで構成されるデフォルトの最小プロトコル・バージョンです。ただし、本番環境では、TLS v1.0またはv1.1ではなく、TLS v1.2以降を使用することをお薦めします。また、基礎となるJSSEプロバイダによる特定のJDK更新で、TLS v1.0またはv1.1がデフォルトで無効になっている可能性があります。 WebLogic Serverは、JDK 8 Update 261 (JDK 8u261)以降でのみTLS v1.3をサポートします。それより前のJDKバージョンを実行している場合は、TLS v1.3を使用できないことがあります。 バージョン固有の情報は、「SSL/TLSプロトコル・バージョンの指定」を参照してください。
カバーされていないHTTPメソッド	Servlet 3.1
X.509	v3	WebLogic Serverでは4096ビットのキーがサポートされます。(4096ビットのキーは操作によっては計算時間がかなり長くなります。) CertGenによって生成される証明書のキー・サイズはデフォルトの2048ビットです。キー・サイズは-strengthオプションで指定します。 WebLogic ServerデモCAのキー・サイズは2048ビットです。 JDK 8では、サイズが1024ビット未満のRSAキーを含むx.509証明書の使用はブロックされています。
xTensible Access Control Markup Language (XACML)	2.0	認可プロバイダまたはロール・マッピング・プロバイダの構成を参照してください。
Core and Hierarchical Role Based Access Control (RBAC) Profile of XACMLの部分的な実装	2.0	http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-rbac-profile1-spec-os.pdfによって指定されます。

サポートされるFIPS標準と暗号スイート

WebLogic Serverでは、JSSE JDKおよびRSA JSSEに対してFederal Information Processing Standard (FIPS)パブリケーション140-2と暗号スイートがサポートされています。

表2-2は、サポートされるFIPSバージョンと暗号スイートを示します。

表2-2 暗号スイートとサポートされるFIPS 140-2バージョン

標準	バージョン	追加の考慮事項
FIPS 140-2	RSA Crypto-J V6.2.4.0.1 RSA SSL-J V6.2.4 RSA Cert-J V6.2.4 ノート: 2021年4月のパッチ・セット更新(PSU)では、次のサポートが追加されています: RSA Crypto-J V6.2.5 RSA SSL-J V6.2.6 RSA Cert-J V6.2.4.0.1	FIPSモードの有効化を参照してください。 RSA JSSEおよびJCEプロバイダは非FIPSモードでも使用できます。 「RSA JCEプロバイダの使用」を参照してください。 「WebLogic ServerでのRSA JSSEプロバイダの使用」を参照してください。
JSSE JDK 8用暗号スイート	優先されるネゴシエーション済の暗号の組合せは、AES + SHA2です。	JDK 8 SunJSSEによってサポートされる暗号スイートのセットは、http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSEProviderを参照してください
RSA JSSE用暗号スイート	製品に依存	なし
(削除済の) WebLogic Server Certicom SSL実装およびSunJSSE同等製品でサポートされる暗号スイート	製品に依存	下位互換性を保つための記載です。表38-2を参照してください。 Certicomを使用するとき、WebLogic ServerはSHA256ハッシング、またはSHA256を含む署名アルゴリズムをサポートしません。