| ドキュメントのダウンロード | サイト マップ | 用語集 | |
|
|||
| BEA ホーム | 製品 | デベロッパ・センタ | support | askBEA |
|
|
|
|||||||
 |
|
e-docs >
WebLogic Platform >
|
|
WebLogic Platform 7.0 セキュリティの紹介
|
WebLogic Platform セキュリティの紹介
このマニュアルでは、WebLogic Platform 7.0 環境におけるセキュリティを紹介し、WebLogic Platform のセキュリティ オプションを活用してソリューションを実現する方法を説明します。このマニュアルでは特に、デフォルトのセキュリティ コンフィグレーションで前提とされる事項が、Platform コンポーネントによってどのように異なるかを説明します。また、WebLogic Platform マニュアル セットに記載されている、セキュリティに関する主なトピックの参照先も示します。マニュアル セットは、このリリースに付属のドキュメンテーション CD に収録されています。このマニュアルは、セキュアな WebLogic Platform アプリケーションをデプロイする必要のある管理者の方々を対象としています。
このマニュアルには以下の節があります。
WebLogic Server のセキュリティ コンフィグレーション
『WebLogic Security の紹介』では、WebLogic Server セキュリティ サブシステムの新機能および変更された機能を概説します。WebLogic Platform の WebLogic Server コンポーネントだけを使う場合は、必ずこのドキュメントをお読みください。WebLogic Server Administration Console を使用して、ユーザ、グループ、アプリケーション リソース、JDBC リソースなどの特定のリソースに対するセキュリティをコンフィグレーションする方法については、『WebLogic リソースのセキュリティ』も参照してください。
BEA の [コンフィグレーション] ウィザードを使用して作成された典型的な WebLogic Server ドメインでは、デフォルトのセキュリティ設定が使われています ([コンフィグレーション] ウィザードの詳細については、『コンフィグレーション ウィザードの使い方』を参照)。これらの設定によって、アプリケーションの認証と認証ルールを定義できます。特に、WebLogic Server の新しいセキュリティ サブシステムには、アプリケーションで必要とされる認証や認証情報のレジストリまたはストアとしての役割を果たす組み込み LDAP サーバが装備されています。これは、デフォルト レルムとして File レルムが使われていた前リリースと比べて、大きく変更された点であることにご注意ください。WebLogic Server をすでに使用している場合、この変更からどのような影響を受けるかについては、以下のマニュアルのセキュリティの節を参照してください。
WebLogic Server 7.0 (Service Pack 2) の新機能は、JDK 1.4 で提供される Java Cryptography Extension (JCE) をサポートしています。Sun Microsystems の Web サイトで説明されているように、JCE は、暗号化、キーの生成と承認、および Message Authentication Code (MAC) の各アルゴリズムに関するフレームワークと実装を提供するパッケージ セットです。JCE は、他の認可された暗号作成ライブラリがサービス プロバイダとしてプラグインされるように設計されています。WebLogic Server には JCE プロバイダは含まれていませんが、次の JCE プロバイダをサポートしています。
WebLogic Server での JCE のサポートについては、『WebLogic Security の管理』の「Using JCE Providers with WebLogic Server」 を参照してください。
WebLogic Server 7.0 では、新しいセキュリティ機能に加えて、WebLogic Server のバージョン 5.1、6.0、および 6.1 で使用できるレルムベースのセキュリティ メカニズムもサポートしています。既存のレルムベースのセキュリティ環境を利用する場合は、互換性モードを適切に使用してアプリケーション ドメインをコンフィグレーションする必要があります。詳細については、『WebLogic Security の管理』の「互換性セキュリティの使い方」を参照してください。この設定は、ドメイン内のすべてのサーバに適用されます。WebLogic Server 7.0 では、混合モード コンフィグレーションを使用できます。混合モードを使うと、新しいセキュリティ機能の一部を利用してレルムベースの認証をコンフィグレーションできます。特にレルムベースの認証に、新しい認証サブシステムを使用できます。
次の表に、WebLogic 7.0 と 6.x の認証レルムでサポートされている認証コンフィグレーションを要約します。
WebLogic Server を WebLogic Portal コンポーネントおよび WebLogic Integration コンポーネントと併用する場合でも、WebLogic Portal と WebLogic Integration では WebLogic Server 6.x セキュリティ レルムを使用する必要があり、また、互換性モードで実行する必要があります。WebLogic Portal を使う場合、WebLogic Platform のデフォルトは WebLogic Portal REDBMS レルムです。WebLogic Portal と WebLogic Integration アプリケーションに WebLogic Server 7.0 の新しい認証機能を使うこともできます。 WebLogic Server にバンドルされている WebLogic Workshop は、WebLogic Server のデフォルト セキュリティでも動作し、その他の WebLogic Platform コンポーネントの使用に必要な互換性モードでも動作します。ただし、WebLogic Wrokshop 付属のサンプルでは、デフォルトの LDAP 組み込みサーバが使用されます。Application Integration コントロールは WebLogic Integration のコントロールなので、このコントロールを使う場合はサーバを互換性モードで実行してください。
WebLogic Portal のセキュリティ コンフィグレーション
次のトピックでは、Portal アプリケーションにセキュリティを追加する方法と、WebLogic Portal ベースのドメイン内グループに所属するユーザを管理する方法について説明します。
WebLogic Platform の WebLogic Portal コンポーネントを使う場合、または WebLogic Portal の前バージョンからアップグレードする場合は、これら 2 つのマニュアルを参照してください。
WebLogic Portal の代表的なインストールには、いくつかのサンプル サーバと、それらのサーバに対してあらかじめコンフィグレーションされたドメインに加えて、WebLogic Platform の WebLogic Server コンポーネントと WebLogic Workshop コンポーネントが用意されています。デフォルトでは、あらかじめコンフィグレーションされたサンプル サーバでは、WebLogic Portal に用意されているカスタム セキュリティ RDBMS レルムが使用されます。このレルムは、ユーザとグループのストアとなります。このレルムのセットアップ方法およびカスタマイズ方法の詳細については、WebLogic Portal 『開発者ガイド』の「ポータルへのセキュリティの追加」を参照してください。WebLogic Portal RDBMS レルムは、WebLogic Server 6.x レルムであり、WebLogic Portal アプリケーションを互換性モードで実行するサーバが必要です。WebLogic Server コンポーネントと WebLogic Workshop コンポーネントの付属サンプルは、WebLogic Portal のデフォルトのレルムでは動作しない場合があります。これらのサンプルでは、デフォルトの WebLogic Server セキュリティ (つまり、組み込み LDAP サーバ) が使われるためです。
WebLogic Portal アプリケーション ドメインを作成しているときは、[コンフィグレーション] ウィザードが役立ちます。デフォルトでは、[コンフィグレーション] ウィザードにより、互換性モードおよび RDBMS レルムを使用する WebLogic Portal セキュリティがコンフィグレーションされます。その他の WebLogic Platform コンポーネント (WebLogic Portal、WebLogic Integration など) を使うマルチマシン アプリケーションをコンフィグレーションし、認証に WebLogic Portal RDBMS を使う場合は、アプリケーションを実行するすべてのマシンに WebLogic Portal をインストールしてください。
WebLogic Portal アプリケーションに新しいユーザとグループを追加するには、WebLogic Portal ユーザ管理ツールを使用します。WebLogic Portal『管理者ガイド』の「ユーザとグループの管理」を参照してください。これらのツールを使用すれば、ユーザ プロファイルと WebLogic Potal アプリケーションを適切に連動できます。
WebLogic Server Administration Console で追加されたユーザが、自動的に WebLogic Portal ユーザになるわけではありません。この注意点は、次の節で説明するとおり、WebLogic Integration ユーザ管理ツールで追加したユーザまたはグループにもあてはまります。Portal ユーザ管理ツールを使用して、これらユーザのプロファイルを調整することをお勧めします。このツールは、WebLogic Portal プロファイルが与えられていないユーザに、プロファイルを自動的に添付します。これらのユーザは WebLogic Server Administrative Console など他のツールで定義されていることがあります。ユーザに WebLogic Portal プロファイルが与えられると、そのユーザは WebLogic Portal ユーザになります。
WebLogic Integration のセキュリティ コンフィグレーション
『WebLogic Integration ソリューションのデプロイメント』の「WebLogic Integration セキュリティの使い方」では、WebLogic Integration アプリケーションのセキュリティをコンフィグレーションする方法を説明しています。WebLogic Platform の WebLogic Integration コンポーネントを使う場合は、このドキュメントを参照してください。
WebLogic Integration の代表的なインストールには、WebLogic Server コンポーネントと WebLogic Workshop コンポーネントが用意されています。WebLogic Integration アプリケーション ドメインを作成する場合は、[コンフィグレーション] ウィザードが役立ちます。デフォルトでは、[コンフィグレーション] ウィザードにより、ユーザとグループのストアに互換性モードおよび WebLogic Server 6.x File レルムを使用するように、WebLogic Integration セキュリティがコンフィグレーションされます。すべての WebLogic Integration サンプルでは File レルムが使用されるので、WebLogic Server と WebLogic Workshop に付属しているサンプルは動作しないことがあります。これらのサンプルは、デフォルトの Server セキュリティ (つまり組み込み LDAP サーバ) の使用を前提としているためです。
ユーザとグループをコンフィグレーションするには、WebLogic Integration 管理ツールを使用します (WebLogic Integration 管理トピックを参照)。特に、次の管理ツールを使用できます。
WebLogic Integration アプリケーションをすでにコンフィグレーションしたサーバに WebLogic Portal アプリケーションを追加する場合は、WebLogic Portal RDBMS レルムはプライマリ レルムとなります。このレルムは File レルムと連動できますが、両方のレルムのユーザとグループをレプリケートすることはお勧めできません。
同じサーバ上での WebLogic Portal と WebLogic Integration のコンフィグレーション
同じサーバ上のすべての WebLogic Platform コンポーネントを使用するアプリケーションをコンフィグレーションできます。この場合、WebLogic Portal RDBMS レルムがデフォルトのセキュリティ レルムとなり、サーバは互換性モードでコンフィグレーションされます。WebLogic Portal RDBMS レルムは、WebLogic Integration に必要なあらかじめ定義されたすべてのデータに、有効な状態で付属しています。WebLogic Server Administration Console または WebLogic Integration Studio を使って新しいユーザを定義する場合、これらのユーザは RDBMS レルムにストアされます。
WebLogic Platform コンポーネントによって定義されるユーザ プロファイルが適切に有効となるように、原則として、それぞれの WebLogic Platform コンポーネントに用意されているユーザ管理ツールを使用してください。ある管理ツールから別の管理ツールに切り替えると、再認証を要求される場合があります。
WebLogic Integration B2B コンポーネントを使う場合、相互認証に SSL が使用されます。この設定は WebLogic Server 全体に適用されます。したがって、連動して使用する WebLogic Platform の他のコンポーネントにも影響する場合があります。
別のサーバ上での WebLogic Server、Portal、Integration のアプリケーションのコンフィグレーション
WebLogic Platform コンポーネントのアプリケーションを別のサーバ上にコンフィグレーションすることもあります。たとえば、WebLogic Integration、Workshop、および EJB のアプリケーションからは独立して、WebLogic Potal アプリケーションを管理する場合です。WebLogic Portal アプリケーションを独自のサーバでコンフィグレーションすることによって、顧客の要求に合わせてすばやく調整する一方で、ユーザ自身のアプリケーションとも今までどおり通信できます。
レルム コンフィグレーションはドメイン全体に影響するので、このコンフィグレーションはアプリケーション ドメインを構成する一連のサーバ全体に適用されます。WebLogic Portal とデフォルトの RDBMS レルムを同じアプリケーションで使う場合は、WebLogic Portal ソフトウェアをインストールし、アプリケーションによって使われる各マシン上に RDBMS レルムをコンフィグレーションすることをお勧めします。
WebLogic Platform コンポーネントは複数のドメインにコンフィグレーションできます。既存のアプリケーションを WebLogic Platform にすばやく移行するには、アプリケーションを複数のドメインでコンフィグレーションするのが最もよいでしょう。たとえば、WebLogic Integration アプリケーションは、アプリケーションに関連付けられている古い File レルムでコンフィグレーションされたユーザ、グループなどのデータを使い続けることができます。ただし、このマルチドメイン コンフィグレーションは慎重に行う必要があります。どの Platform コンポーネントを使用するかによって、使用されるセキュリティ ストア (レルム) が異なるためです。
複数の WebLogic Platform コンポーネントをそれぞれ個別のドメインでコンフィグレーションする場合、ドメイン全体でエンド ユーザのシングル サインオンを行うかどうかも検討する必要があります。WebLogic Platform では、エンドユーザ サインオンを実現するために、WebLogic Server、Workshop、Portal、および Integration のアプリケーション間でのユーザ ID の伝播がサポートされています。ただし、そのユーザ情報がこれらのアプリケーション間で正しく移植されていることが条件です。WebLogic Platform では、信頼のある関係、つまり 1 つのドメインのプリンシパルが別のドメインのプリンシパルとして受け入れられる関係は、1 つのドメインの SecurityConfigurationMBean (config.xml ファイルを参照) のCredential属性が、もう一方のドメインの SecurityConfigurationMBean のCredential属性と一致する場合にセットアップされます。Credential属性が設定されていない場合に管理サーバを初めて起動すると、管理サーバにより、この属性が設定されていないと認識され、ランダムな資格が作成されます。この資格は、そのドメインで作成されたプリンシパルへの署名に使われます。同じドメイン内の他のサーバによって管理サーバから資格が取り出され、その結果、ドメイン内で信頼関係が確立されます。このトピックの詳細については、『WebLogic Security の紹介』を参照してください。
前リリースからの移行
WebLogic Server 6.x 環境から WebLogic Server 7.0 環境に移行する場合は、「WebLogic Server 6.x からバージョン 7.0 へのアップグレード」のセキュリティの章をお読みください。基本的に、すべてのユーザとグループを新しいセキュリティ (BEA dev2dev Online からダウンロードできるツールを使用できます) に移行することも、既存のレルムを使い続けることもできます。後者を採用する場合は、サーバを互換性モードでコンフィグレーションします。
WebLogic Portal 4.0 から WebLogic Portal 7.0 に移行する場合、WebLogic Portal 4.0 RDBMS レルムにすでに定義されているユーザ、グループ、エンタイトルメントをすべて再利用できます。カスタム レルムを使用している場合、そのレルムを使い続けることができます。ただし、カスタム レルムを WebLogic Integration と連動して使用する場合は、『WebLogic Integration の起動、停止およびカスタマイズ』の「セキュリティ レルムのガイドライン」にある「WebLogic Integration のカスタマイズ」の節の手順を行ってください。WebLogic Server 7.0 の新しい認証機能は、WebLogic Platform に含まれている WebLogic Portal コンポーネントでは使用できません。WebLogic Server 6.x レルムだけを使用できます。また、ドメインは互換性モードでコンフィグレーションする必要があります。
WebLogic Integration 2.1 から WebLogic Integration 7.0 に移行する場合、古い File レルムを使うことができます。ただし、WebLogic Server を互換性モードでコンフィグレーションする必要があります。WebLogic Portal を同じアプリケーション ドメインで使う場合は、WebLogic Portal RDBMS レルムがデフォルト レルムになります。ユーザを WebLogic Portal RDBMS レルムに移行 (たとえばユーザを WebLogic Integration Studio で追加) してください。また、WebLogic Portal アプリケーションを別のドメインでコンフィグレーションして、古い File レルムを使い続けることもできます。WebLogic Server 7.0 の新しい認証機能は、WebLogic Platform に含まれている WebLogic Integration では使用できません。WebLogic Server 6.x レルムだけを使用できます。また、ドメインは互換性モードでコンフィグレーションする必要があります。
外部 LDAP レルムの使用
WebLogic Platform では、サードパーティの LDAP 製品を利用できます。サードパーティの LDAP 製品を使うには、WebLogic Server 6.x LDAP レルムを使用して、ドメインを互換性モードでコンフィグレーションします。LDAP レルムは読み込み専用です。そのため、LDAP レルムを使って特にユーザ、グループなどの管理タスクを行う場合は、サードパーティ ツールを使った補足的な介入が必要な場合があります。
次のガイドでは、LDAP レルムのコンフィグレーション方法について詳しく説明しています。
WebLogic Platform でカスタム レルムを使うこともできます。上記のドキュメントでは、カスタム レルムをセットアップする方法について詳しく説明しています。
詳細情報の参照先
以下のガイドでは、それぞれの WebLogic コンポーネントで使われるセキュリティ属性をコンフィグレーションする方法について詳しく説明しています。
|
|
|
|
||
 |
|
|
 |
 |
 |
|
||
