BEA ホーム | 製品 | デベロッパ・センタ | support | askBEA
 ドキュメントのダウンロード   サイト マップ   用語集 
検索
e-docs > WebLogic Integration > WebLogic Integration ソリューションのデプロイメント > WebLogic Integration セキュリティの使い方

WebLogic Integration ソリューションのデプロイメント

 前 次 目次 索引 PDFで表示  

WebLogic Integration セキュリティの使い方

以下の節では、WebLogic Integration ソリューションのデプロイメントのセキュリティを設定および管理する方法について説明します。

このトピックを読み進む前に、次のURLにある『WebLogic Security の紹介』を参照してください。

http://edocs.beasys.co.jp/e-docs/platform/docs70/secintro/index.html

このマニュアルでは、WebLogic Platform 全体のセキュリティ機能の概要を紹介し、WebLogic Integration を他の WebLogic Platform コンポーネントと併用した場合のセキュリティ管理上の重要な注意点を示します。

 

WebLogic Integration セキュリティの概要

WebLogic Integration ソリューションのセキュア デプロイメントの基盤は、WebLogic Server が提供する一群のセキュリティ機能です。したがって、ご使用の環境の基礎である WebLogic Server レイヤのセキュリティをコンフィグレーションした後は、以下に示す、WebLogic Integration に固有の WebLogic Server エンティティのセキュリティをコンフィグレーションし、管理する必要があります。

セキュリティ マネージャは、WebLogic Integration ドメインの作成時に一緒に作成された定義済みプリンシパルとリソースのセットに集中的に取り組む必要があります。

この概要紹介では、以下のトピックを通じて、WebLogic Integration セキュリティの十分な理解を図ります。

注意: セキュアなデプロイメントでは、セキュリティが提供されないアプリケーションと同じ WebLogic Server インスタンスで WebLogic Integration を実行しないでください。内部 WebLogic Integration API 呼び出しは、同じインスタンスのアプリケーションから保護されません。

セキュリティと WebLogic Integration ドメイン

BEA コンフィグレーション ウィザードを使用して WebLogic Integration ドメインを作成すると、そのドメインは、デフォルトでは、互換性セキュリティを使用するようにコンフィグレーションされます。互換性セキュリティにより、ドメインでは次のことが可能になります。

デフォルトでは、すべての WebLogic Integration ユーザ、グループ、および ACL は、互換性レルムと呼ばれるセキュリティ レルムに格納されます。

注意: WebLogic Integration の標準的なインストールには、WebLogic Server および WebLogic Workshop の両コンポーネントが含まれています。デフォルトでは、コンフィグレーション ウィザード、WebLogic Integration セキュリティをコンフィグレーションして、互換性セキュリティを使用できるようにし、ユーザやグループの格納には WebLogic Server 6.x File レルムを割り当てます。File レルムは、すべての WebLogic Integration サンプルで使用されます。WebLogic Server サンプルおよび WebLogic Workshop サンプルは、組み込み LDAP サーバをベースとしたセキュリティ コンフィグレーションに基づいていますが、今回のリリースの WebLogic Integration ではそれはサポートしていません。したがって、WebLogic Server および WebLogic Server や WebLogic WorkShop と同梱で出荷されたサンプルは、WebLogic Integration サンプルのデフォルトのコンフィグレーションとは連携動作しない場合があります。

コンフィグレーション ウィザードの詳細については、『Configuration Wizard の使い方』を参照してください。

http://edocs.beasys.co.jp/e-docs/platform/docs70/confgwiz/index.html

WebLogic Integration で使用される WebLogic Server のセキュリティ プリンシパルおよびリソース

Configuration Wizard で WebLogic Integration ドメインを作成する場合、次の WebLogic Server プリンシパルおよびリソースが事前定義されています。

次の図は、WebLogic Integration で使用される WebLogic Server のセキュリティ プリンシパルの概要を示しています。

図5-1 WebLogic Integration で使用される WebLogic Server のセキュリティ プリンシパル


 

たとえば、B2B ベースのビジネス オペレーションの実行中、WebLogic Server プリンシパルは、以下のような機能を発揮します。

 

セキュリティ コンフィグレーションの考慮事項

WebLogic Integration ドメイン用にセキュリティをコンフィグレーションする前に、以下を考慮してください。

以下の節では、これらの考慮事項について詳しく論じ、それらが WebLogic Integration のセキュリティ コンフィグレーションに及ぼす影響について説明します。

デジタル証明書について

デジタル証明書とは、インターネットなどのネットワーク上でプリンシパルとオブジェクトを一意のエントリとして識別するための電子的なドキュメントのことです。デジタル証明書によって、認証局と呼ばれる信頼性のあるサードパーティによって証明されたとおりに、ユーザまたはオブジェクトのアイデンティティが特定の公開鍵に安全にバインドされます。デジタル証明書の所有者は、公開鍵とプライベート キーの組み合わせによって一意に識別されます。

B2B 機能を使用し、企業間商取引のベースとして WebLogic Integration 環境を設定する場合は、デジタル証明書とキーの特定のセットを取得してコンフィグレーションする必要があります。以下のアイテムがセットに含まれます。

デジタル証明書のフォーマット

デジタル証明のフォーマットおよびパッケージング規格が、WebLogic Server に対応していることを確認してください。デジタル証明書には、次に挙げるように、さまざまな暗号化方式があります。

WebLogic Server の公開鍵インフラストラクチャ(PKI)は、X.509のバージョン 1 または 3、X.509v1、X.509v3 に適合するデジタル証明書を認識します。デジタル証明書は、Verisign、Entrust などの認証局から取得することをお勧めします。

注意: 会話に参加しているトレーディング パートナが Microsoft IIS をプロキシ サーバとして使用している場合、その会話で使用されるすべての証明書が、Verisign、Entrust などの著名な CA に信頼されている必要があります。自己署名による証明書を使用すると、IIS プロキシ サーバを通じて渡される要求が処理されません。これは、WebLogic Integration ではなく、IIS の制限です。

詳細については、『B2B Integration セキュリティの実装』の「セキュリティのコンフィグレーション」を参照してください。

セキュア ソケット レイヤ(SSL)プロトコルを使用する

SSL プロトコルは、次の 2 つの機能をサポートすることにより、セキュアな接続を可能にします。

SSL 接続はデジタル証明書を交換するアプリケーション間のハンドシェークで始まり、使用する暗号化アルゴリズムの取り決め、そのセッションの残りで使用する暗号キーの生成と続きます。

B2B コラボレーションには、トレーディング パートナの認証と認可に SSL を使用することを推奨しますが、その場合は、以下のコンフィグレーションが必要です。

SSL の必須要件ではありませんが、WebLogic Integration ドメインで使用されるすべての証明書とキーを格納するキーストアの作成および活用をお勧めします。WebLogic Server には、Java Development Kit で Sun Microsystems が提供する参照キーストア実装に基づく WebLogic Keystore プロバイダというユーティリティがあります。

WebLogic Keystore プロバイダは、キーストアをファイルとして実装する、標準の JKS キーストア タイプに基づいています。このリリースの WebLogic Server に対しては、利用できるキーストア プロバイダは JKS のみです。WebLogic Keystore プロバイダを使用してコンフィグレーションされたキーストアでは、各プライベート キーが個々のパスワードで保護されます。WebLogic Keystore プロバイダには、2 つのファイルが関連付けられています。1 つは、SSL がクライアント証明書を確認するのに使用する、CA 証明書のファイルで、もう 1 つは、ユーザのプライベート キーを格納するファイルです。WebLogic Server は、このキーストアからプライベート キーを取り出して、SSL を初期化します。

WebLogic Integration ドメイン用のキーストアの設定に関する詳細については、『B2B Integration セキュリティの実装』の「キーストアのコンフィグレーション」を参照してください。

発信プロキシ サーバまたはプロキシ プラグインを使用する

この節では、発信プロキシ サーバまたは WebLogic プロキシ プラグインの使用が及ぼす影響について説明します。

発信プロキシ サーバを使用する

プロキシ サーバを使用すると、トレーディング パートナはセキュリティを危険にさらすことなくイントラネットまたはインターネット経由で通信できます。高度なセキュリティで保護する必要のある環境で WebLogic Integration を使用する場合、WebLogic Integration をプロキシ サーバの後ろで使用すると効果的です。具体的には、プロキシ サーバの用途は以下のとおりです。

プロキシ サーバをローカル ネットワーク上でコンフィグレーションすると、ネットワーク トラフィック(SSL プロトコルと HTTP プロトコル)は、プロキシ サーバを経由して外部ネットワークにトンネリングされます。

発信プロキシ サーバを使用する環境では、ローカル トレーディング パートナに対する転送 URI エンドポイントの指定に注意してください。HTTP プロキシを使用している場合は、Java システム プロパティのthe ssl.ProxyHostssl.ProxyPort を指定する必要があります。詳細は、『B2B Integration セキュリティの実装』、「セキュリティのコンフィグレーション」の「発信 HTTP プロキシ サーバを使用するための WebLogic Integration B2B のコンフィグレーション」を参照してください。

WebLogic プロキシ プラグインと Web Server を併用する

発信プロキシ サーバを使用する代わりに、リモートの トレーディング パートナからのビジネス メッセージを処理できるようにプログラムされた、Apache サーバなどの Web サーバを使用して WebLogic Integration をコンフィグレーションすると便利な場合もあります。Web サーバは以下のサービスを提供できます。

続いて、Web サーバは WebLogic プロキシ プラグインを使用します。プラグインは以下のサービスを提供するようにコンフィグレーションできます。

WebLogic プロキシ プラグインをコンフィグレーションする際の考慮事項は以下のとおりです。

ファイアウォールを使用する

WebLogic Integration 環境にファイアウォールが設定されている場合は、HTTP または HTTPS を介して、ローカル トレーディング パートナとの間でビジネス メッセージを自在にやり取りできるように、ファイアウォールが正しくコンフィグレーションされていることを確認してください。

 

セキュアなデプロイメントの設定

以下の節では、セキュア デプロイメントの設定に必要なタスクを実行する手順について説明します。

手順 1 : ドメインを作成する

セキュリティをコンフィグレーションしようとする WebLogic Integration ドメインは、BEA コンフィグレーション ウィザードを使用して作成することをお勧めします。WebLogic Integration ドメインを作成するには、以下の手順を完了してください。

  1. 次の URL にある『Configuration Wizard の使い方』の説明に従って、コンフィグレーション ウィザードを起動します。 
    http://edocs.beasys.co.jp/e-docs/platform/docs70/confgwiz/index.html

  2. WebLogic Integration ドメインのコンフィグレーションを完了します。ドメインのタイプは以下のいずれかです。

注意: 新しいドメインの作成には、WebLogic Server テンプレートや WebLogic Portal テンプレートではなく、必ず WebLogic Integration テンプレートを使用してください。WebLogic Integration テンプレートを指定することにより、この手順で作成するドメインが、が WebLogic Server 6.x の互換性モードのセキュリティ レルムに基づいたものとなることを保証できます。WebLogic Server 7.0 で新たに導入されたレルムは、LDAPに基づいたもので、WebLogic Integration ではサポートされていません。WebLogic Server テンプレートを選択して新しいドメインを作成した場合は、そのドメインは、LDAP に基づく新しい WebLogic Server 7.0 セキュリティ レルムとなります。

手順 2 : WebLogic Server のセキュリティをコンフィグレーションする

WebLogic Server のセキュリティをコンフィグレーションする場合は、必ず以下を実行してください。

  1. ローカルおよびリモートのトレーディング パートナのサーバ証明書の取得。SSL に対しては、トレーディング パートナ要求にかかわる WebLogic Server のインスタンスごとに証明書が必要です。

  2. 次の事項の検討。

  3. WebLogic Keystore プロバイダのコンフィグレーション。WebLogic Server 7.0 は、キーストア機能をサポートします。キーストアの作成とWebLogic Keystore プロバイダのコンフィグレーションに関する詳細については、『B2B Integration セキュリティの実装』の「キーストアのコンフィグレーション」を参照してください。

    キーストアの使い方に関しては、以下の考慮事項に注意してください。

手順 3 : BPM セキュリティをコンフィグレーションする

WebLogic Integration の Business Process Management (BPM) 機能用のセキュリティ モデルには、以下のエンティティで構成されています。

BPM セキュリティのコンフィグレーションは、基本的には、ユーザ、グループ、オーガニゼーション、およびパーミッション レベルを定義するというタスクです。オーガニゼーションとロールを定義できるので、BPM リソースにアクセスするユーザおよびグループのオーガニゼーション化において、非常に大きな柔軟性を発揮することができます。Studio では、ユーザ、グループ、ロール、オーガニゼーションを作成および変更するのに使用できる各種ツールを使用できます。また、Studio では、ユーザ、グループ、およびロールのパーミッションをきめ細かく管理する方法が用意されています。

BPM セキュリティの詳細については、以下のトピックを参照してください。

手順 4 : B2B Integration セキュリティをコンフィグレーションする

ファイアウォール越しに行われるトレーディング パートナ間のメッセージ交換に関与する WebLogic Integration ソリューションには、トレーディング パートナの認証および認可や否認防止性など、特別なセキュリティ要件があります。

B2B セキュリティをコンフィグレーションするには、以下のタスクを実行します。

以下の節では、各タスクに関する推奨事項および考慮事項を示します。

証明書を取得する

WebLogic Integration のセキュリティのコンフィグレーションに着手する前に、特に B2B 交換を実施するプランがある場合は、以下の証明書とキーを必ず取得してください。

キーストアを作成する

B2B コラボレーション用に WebLogic Integration ドメインの設定時には、以下のキーストアを作成するため、WebLogic Keystore プロバイダをコンフィグレーションする必要があります。

JavaSoft JDK keytool ユーティリティまたは WebLogic Server ImportPrivateKey ユーティリティを使用して、各キーストアを作成し、プライベート キーを追加することができます。上のキーストアがいずれも作成されていない場合は、プライベートキーを追加するために、どちらかのユーティリティが初めて使用される際に作成されます。

キーストアを作成して、キーの初期セットを入力し、「手順 2: WebLogic Server のセキュリティをコンフィグレーションする」の説明に従って、WebLogic Keystore プロバイダに登録します。

ローカル トレーディング パートナをコンフィグレーションする

ローカル トレーディング パートナは、HTTP または HTTPS を使用してリモート トレーディング パートナにメッセージを送信します。B2B コラボレーションで SSL を使用している(推奨)場合は、各トレーディング パートナについて、クライアント証明書とキーをコンフィグレーションする必要があります。

ローカル トレーディング パートナのクライアント証明書とキーについては、以下に注意してください。

ローカル トレーディング パートナの署名と暗号方式の証明書とキーについては、以下に注意してください。

リモート トレーディング パートナをコンフィグレーションする

ローカル トレーディング パートナの場合と同様に SSL を使用している場合は、各リモート トレーディング パートナのクライアント証明書とキーをコンフィグレーションする必要があります。

リモート トレーディング パートナのクライアント証明書とキーについては、以下に注意してください。

リモート トレーディング パートナの署名と暗号方式の証明書とキーについては、以下に注意してください。

リモートトレーディング パートナのサーバ証明書については、以下に注意してください。

ビジネス プロトコルに対するセキュリティ要件を実装する

以上の他に、コラボレーション アグリーメントをコンフィグレーションするためのビジネス プロトコルに固有のセキュリティ要件が存在する可能性があるため注意してください。

次の表には、さまざまなビジネス プロトコルに関する追加の情報源がリストされています。

表5-1 B2B で使用されるビジネスプロトコルに関する追加情報

トピック

参照すべき節のタイトル

出典マニュアル

RosettaNet セキュリティ

はじめに 」の「RosettaNet セキュリティのコンフィグレーション」

Implementing RosettaNet for B2B Integration

cXML セキュリティ

cXML の管理」の「セキュリティ」

Implementing cXML for B2B Integration

ebXML セキュリティ

ebXMLの管理」の「セキュリティ」

B2B Integration ebXML の実装

 

手順 5 : Application Integration のセキュリティをコンフィグレーションする

WebLogic Integration は、Application Integration の機能を使用して作成および管理される統合ソリューションの部分を対象とした以下のセキュリティ メカニズムを提供します。

 

ページの先頭 前 次