BEA ホーム | 製品 | デベロッパ・センタ | support | askBEA |
![]() |
![]() |
|
![]() |
e-docs > WebLogic Integration > WebLogic Integration ソリューションのデプロイメント > WebLogic Integration セキュリティの使い方 |
WebLogic Integration ソリューションのデプロイメント
|
WebLogic Integration セキュリティの使い方
以下の節では、WebLogic Integration ソリューションのデプロイメントのセキュリティを設定および管理する方法について説明します。
このトピックを読み進む前に、次のURLにある『WebLogic Security の紹介』を参照してください。
http://edocs.beasys.co.jp/e-docs/platform/docs70/secintro/index.html
このマニュアルでは、WebLogic Platform 全体のセキュリティ機能の概要を紹介し、WebLogic Integration を他の WebLogic Platform コンポーネントと併用した場合のセキュリティ管理上の重要な注意点を示します。
WebLogic Integration セキュリティの概要
WebLogic Integration ソリューションのセキュア デプロイメントの基盤は、WebLogic Server が提供する一群のセキュリティ機能です。したがって、ご使用の環境の基礎である WebLogic Server レイヤのセキュリティをコンフィグレーションした後は、以下に示す、WebLogic Integration に固有の WebLogic Server エンティティのセキュリティをコンフィグレーションし、管理する必要があります。
セキュリティ マネージャは、WebLogic Integration ドメインの作成時に一緒に作成された定義済みプリンシパルとリソースのセットに集中的に取り組む必要があります。
この概要紹介では、以下のトピックを通じて、WebLogic Integration セキュリティの十分な理解を図ります。
注意: セキュアなデプロイメントでは、セキュリティが提供されないアプリケーションと同じ WebLogic Server インスタンスで WebLogic Integration を実行しないでください。内部 WebLogic Integration API 呼び出しは、同じインスタンスのアプリケーションから保護されません。
セキュリティと WebLogic Integration ドメイン
BEA コンフィグレーション ウィザードを使用して WebLogic Integration ドメインを作成すると、そのドメインは、デフォルトでは、互換性セキュリティを使用するようにコンフィグレーションされます。互換性セキュリティにより、ドメインでは次のことが可能になります。
デフォルトでは、すべての WebLogic Integration ユーザ、グループ、および ACL は、互換性レルムと呼ばれるセキュリティ レルムに格納されます。
注意: WebLogic Integration の標準的なインストールには、WebLogic Server および WebLogic Workshop の両コンポーネントが含まれています。デフォルトでは、コンフィグレーション ウィザード、WebLogic Integration セキュリティをコンフィグレーションして、互換性セキュリティを使用できるようにし、ユーザやグループの格納には WebLogic Server 6.x File レルムを割り当てます。File レルムは、すべての WebLogic Integration サンプルで使用されます。WebLogic Server サンプルおよび WebLogic Workshop サンプルは、組み込み LDAP サーバをベースとしたセキュリティ コンフィグレーションに基づいていますが、今回のリリースの WebLogic Integration ではそれはサポートしていません。したがって、WebLogic Server および WebLogic Server や WebLogic WorkShop と同梱で出荷されたサンプルは、WebLogic Integration サンプルのデフォルトのコンフィグレーションとは連携動作しない場合があります。
コンフィグレーション ウィザードの詳細については、『Configuration Wizard の使い方』を参照してください。
http://edocs.beasys.co.jp/e-docs/platform/docs70/confgwiz/index.html
WebLogic Integration で使用される WebLogic Server のセキュリティ プリンシパルおよびリソース
Configuration Wizard で WebLogic Integration ドメインを作成する場合、次の WebLogic Server プリンシパルおよびリソースが事前定義されています。
次の図は、WebLogic Integration で使用される WebLogic Server のセキュリティ プリンシパルの概要を示しています。
図5-1 WebLogic Integration で使用される WebLogic Server のセキュリティ プリンシパル
たとえば、B2B ベースのビジネス オペレーションの実行中、WebLogic Server プリンシパルは、以下のような機能を発揮します。
J2EE-CA アダプタは、リクエストを受け取ると、呼び出し元のセキュリティ プリンシパルを EIS システムで対応するプリンシパルにマップします。詳細については、次の URL にある WebLogic Server マニュアルの『WebLogic J2EE コネクタ アーキテクチャ』の「セキュリティ プリンシパル マップ」を参照してください。
http://edocs.beasys.co.jp/e-docs/wls61/jconnector/security.html
セキュリティ コンフィグレーションの考慮事項
WebLogic Integration ドメイン用にセキュリティをコンフィグレーションする前に、以下を考慮してください。
以下の節では、これらの考慮事項について詳しく論じ、それらが WebLogic Integration のセキュリティ コンフィグレーションに及ぼす影響について説明します。
デジタル証明書について
デジタル証明書とは、インターネットなどのネットワーク上でプリンシパルとオブジェクトを一意のエントリとして識別するための電子的なドキュメントのことです。デジタル証明書によって、認証局と呼ばれる信頼性のあるサードパーティによって証明されたとおりに、ユーザまたはオブジェクトのアイデンティティが特定の公開鍵に安全にバインドされます。デジタル証明書の所有者は、公開鍵とプライベート キーの組み合わせによって一意に識別されます。
B2B 機能を使用し、企業間商取引のベースとして WebLogic Integration 環境を設定する場合は、デジタル証明書とキーの特定のセットを取得してコンフィグレーションする必要があります。以下のアイテムがセットに含まれます。
デジタル証明書のフォーマット
デジタル証明のフォーマットおよびパッケージング規格が、WebLogic Server に対応していることを確認してください。デジタル証明書には、次に挙げるように、さまざまな暗号化方式があります。
WebLogic Server の公開鍵インフラストラクチャ(PKI)は、X.509のバージョン 1 または 3、X.509v1、X.509v3 に適合するデジタル証明書を認識します。デジタル証明書は、Verisign、Entrust などの認証局から取得することをお勧めします。
注意: 会話に参加しているトレーディング パートナが Microsoft IIS をプロキシ サーバとして使用している場合、その会話で使用されるすべての証明書が、Verisign、Entrust などの著名な CA に信頼されている必要があります。自己署名による証明書を使用すると、IIS プロキシ サーバを通じて渡される要求が処理されません。これは、WebLogic Integration ではなく、IIS の制限です。
詳細については、『B2B Integration セキュリティの実装』の「セキュリティのコンフィグレーション」を参照してください。
セキュア ソケット レイヤ(SSL)プロトコルを使用する
SSL プロトコルは、次の 2 つの機能をサポートすることにより、セキュアな接続を可能にします。
SSL 接続はデジタル証明書を交換するアプリケーション間のハンドシェークで始まり、使用する暗号化アルゴリズムの取り決め、そのセッションの残りで使用する暗号キーの生成と続きます。
B2B コラボレーションには、トレーディング パートナの認証と認可に SSL を使用することを推奨しますが、その場合は、以下のコンフィグレーションが必要です。
証明書のコンフィグレーションの詳細については、『B2B Integration セキュリティの実装』の「セキュリティのコンフィグレーション」を参照してください。
SSL の必須要件ではありませんが、WebLogic Integration ドメインで使用されるすべての証明書とキーを格納するキーストアの作成および活用をお勧めします。WebLogic Server には、Java Development Kit で Sun Microsystems が提供する参照キーストア実装に基づく WebLogic Keystore プロバイダというユーティリティがあります。
WebLogic Keystore プロバイダは、キーストアをファイルとして実装する、標準の JKS キーストア タイプに基づいています。このリリースの WebLogic Server に対しては、利用できるキーストア プロバイダは JKS のみです。WebLogic Keystore プロバイダを使用してコンフィグレーションされたキーストアでは、各プライベート キーが個々のパスワードで保護されます。WebLogic Keystore プロバイダには、2 つのファイルが関連付けられています。1 つは、SSL がクライアント証明書を確認するのに使用する、CA 証明書のファイルで、もう 1 つは、ユーザのプライベート キーを格納するファイルです。WebLogic Server は、このキーストアからプライベート キーを取り出して、SSL を初期化します。
WebLogic Integration ドメイン用のキーストアの設定に関する詳細については、『B2B Integration セキュリティの実装』の「キーストアのコンフィグレーション」を参照してください。
発信プロキシ サーバまたはプロキシ プラグインを使用する
この節では、発信プロキシ サーバまたは WebLogic プロキシ プラグインの使用が及ぼす影響について説明します。
発信プロキシ サーバを使用する
プロキシ サーバを使用すると、トレーディング パートナはセキュリティを危険にさらすことなくイントラネットまたはインターネット経由で通信できます。高度なセキュリティで保護する必要のある環境で WebLogic Integration を使用する場合、WebLogic Integration をプロキシ サーバの後ろで使用すると効果的です。具体的には、プロキシ サーバの用途は以下のとおりです。
プロキシ サーバをローカル ネットワーク上でコンフィグレーションすると、ネットワーク トラフィック(SSL プロトコルと HTTP プロトコル)は、プロキシ サーバを経由して外部ネットワークにトンネリングされます。
発信プロキシ サーバを使用する環境では、ローカル トレーディング パートナに対する転送 URI エンドポイントの指定に注意してください。HTTP プロキシを使用している場合は、Java システム プロパティのthe ssl.ProxyHost と ssl.ProxyPort を指定する必要があります。詳細は、『B2B Integration セキュリティの実装』、「セキュリティのコンフィグレーション」の「発信 HTTP プロキシ サーバを使用するための WebLogic Integration B2B のコンフィグレーション」を参照してください。
WebLogic プロキシ プラグインと Web Server を併用する
発信プロキシ サーバを使用する代わりに、リモートの トレーディング パートナからのビジネス メッセージを処理できるようにプログラムされた、Apache サーバなどの Web サーバを使用して WebLogic Integration をコンフィグレーションすると便利な場合もあります。Web サーバは以下のサービスを提供できます。
続いて、Web サーバは WebLogic プロキシ プラグインを使用します。プラグインは以下のサービスを提供するようにコンフィグレーションできます。
WebLogic プロキシ プラグインをコンフィグレーションする際の考慮事項は以下のとおりです。
ファイアウォールを使用する
WebLogic Integration 環境にファイアウォールが設定されている場合は、HTTP または HTTPS を介して、ローカル トレーディング パートナとの間でビジネス メッセージを自在にやり取りできるように、ファイアウォールが正しくコンフィグレーションされていることを確認してください。
セキュアなデプロイメントの設定
以下の節では、セキュア デプロイメントの設定に必要なタスクを実行する手順について説明します。
手順 1 : ドメインを作成する
セキュリティをコンフィグレーションしようとする WebLogic Integration ドメインは、BEA コンフィグレーション ウィザードを使用して作成することをお勧めします。WebLogic Integration ドメインを作成するには、以下の手順を完了してください。
http://edocs.beasys.co.jp/e-docs/platform/docs70/confgwiz/index.html
注意: 新しいドメインの作成には、WebLogic Server テンプレートや WebLogic Portal テンプレートではなく、必ず WebLogic Integration テンプレートを使用してください。WebLogic Integration テンプレートを指定することにより、この手順で作成するドメインが、が WebLogic Server 6.x の互換性モードのセキュリティ レルムに基づいたものとなることを保証できます。WebLogic Server 7.0 で新たに導入されたレルムは、LDAPに基づいたもので、WebLogic Integration ではサポートされていません。WebLogic Server テンプレートを選択して新しいドメインを作成した場合は、そのドメインは、LDAP に基づく新しい WebLogic Server 7.0 セキュリティ レルムとなります。
手順 2 : WebLogic Server のセキュリティをコンフィグレーションする
WebLogic Server のセキュリティをコンフィグレーションする場合は、必ず以下を実行してください。
サポートされている証明書フォーマットは、4-7 ページの「デジタル証明書について」にリストされています。SSL サーバが受け入れる最も一般的なサーバ証明書のフォーマットは、PEM フォーマットで暗号化される X.509 V1 または V3 です。
プライベート キーについては、パスワード暗号化方式の PKCS8 が最も一般的なフォーマットです。WebLogic Server がプライベート キーを読み取れるように、そのパスワードを設定してください。
手順 3 : BPM セキュリティをコンフィグレーションする
WebLogic Integration の Business Process Management (BPM) 機能用のセキュリティ モデルには、以下のエンティティで構成されています。
1 つのセキュリティ レルム内では、管理者(wlisystem プリンシパルで表される)が、ワークフローやその他のリソースの使用を希望するユーザおよびグループに与えるアクセスのレベルを指定できます。ユーザおよびグループは、1 つの WebLogic Server セキュリティ レルム内で維持されます。WebLogic Integration Studio で、グループの定義やグループへのユーザの追加を行うことができます。追加された各ユーザは、自動的に、また同時に、WebLogic Server ユーザのリストに追加されます。
組織は、セキュリティ レルムの外にある BPM 固有のエンティティです。
ロールは、 WebLogic Server グループにマップされます。
BPM セキュリティのコンフィグレーションは、基本的には、ユーザ、グループ、オーガニゼーション、およびパーミッション レベルを定義するというタスクです。オーガニゼーションとロールを定義できるので、BPM リソースにアクセスするユーザおよびグループのオーガニゼーション化において、非常に大きな柔軟性を発揮することができます。Studio では、ユーザ、グループ、ロール、オーガニゼーションを作成および変更するのに使用できる各種ツールを使用できます。また、Studio では、ユーザ、グループ、およびロールのパーミッションをきめ細かく管理する方法が用意されています。
BPM セキュリティの詳細については、以下のトピックを参照してください。
手順 4 : B2B Integration セキュリティをコンフィグレーションする
ファイアウォール越しに行われるトレーディング パートナ間のメッセージ交換に関与する WebLogic Integration ソリューションには、トレーディング パートナの認証および認可や否認防止性など、特別なセキュリティ要件があります。
B2B セキュリティをコンフィグレーションするには、以下のタスクを実行します。
以下の節では、各タスクに関する推奨事項および考慮事項を示します。
証明書を取得する
WebLogic Integration のセキュリティのコンフィグレーションに着手する前に、特に B2B 交換を実施するプランがある場合は、以下の証明書とキーを必ず取得してください。
ルート CA ディレクトリには、トレーディング パートナのクライアント、暗号化方式、および署名の各証明書に対するルート CA 証明書のみが格納されている必要があります。ルート CA ディレクトリには、サーバ証明書に対する CA 証明書が格納されていてはいけません(サーバ証明書は、そのドメインの config.xml ファイルでコンフィグレーションされる)。
キーストアを作成する
B2B コラボレーション用に WebLogic Integration ドメインの設定時には、以下のキーストアを作成するため、WebLogic Keystore プロバイダをコンフィグレーションする必要があります。
ローカルトレーディング パートナのプライベートキーとB2B コラボレーションに通常必要とされる証明書(クライアント、サーバ、署名、暗号化方式の証明書)を格納します。WebLogic Server は、このキーストアからプライベート キーを取り出して、SSL を初期化します。
すべての信頼性のある認証局(CA)の証明書を格納します。WebLogic Keystore プロバイダは、WebLogic Server が使用する、信頼性のある CA のキーストアを作成します。これは、デフォルトでは、SSL がクライアント証明書を確認するために使用する、信頼性のある CA を見つけるのに使用します。
JavaSoft JDK keytool ユーティリティまたは WebLogic Server ImportPrivateKey ユーティリティを使用して、各キーストアを作成し、プライベート キーを追加することができます。上のキーストアがいずれも作成されていない場合は、プライベートキーを追加するために、どちらかのユーティリティが初めて使用される際に作成されます。
キーストアを作成して、キーの初期セットを入力し、「手順 2: WebLogic Server のセキュリティをコンフィグレーションする」の説明に従って、WebLogic Keystore プロバイダに登録します。
ローカル トレーディング パートナをコンフィグレーションする
ローカル トレーディング パートナは、HTTP または HTTPS を使用してリモート トレーディング パートナにメッセージを送信します。B2B コラボレーションで SSL を使用している(推奨)場合は、各トレーディング パートナについて、クライアント証明書とキーをコンフィグレーションする必要があります。
ローカル トレーディング パートナのクライアント証明書とキーについては、以下に注意してください。
ローカル トレーディング パートナの署名と暗号方式の証明書とキーについては、以下に注意してください。
リモート トレーディング パートナをコンフィグレーションする
ローカル トレーディング パートナの場合と同様に SSL を使用している場合は、各リモート トレーディング パートナのクライアント証明書とキーをコンフィグレーションする必要があります。
リモート トレーディング パートナのクライアント証明書とキーについては、以下に注意してください。
リモート トレーディング パートナの署名と暗号方式の証明書とキーについては、以下に注意してください。
リモートトレーディング パートナのサーバ証明書については、以下に注意してください。
ビジネス プロトコルに対するセキュリティ要件を実装する
以上の他に、コラボレーション アグリーメントをコンフィグレーションするためのビジネス プロトコルに固有のセキュリティ要件が存在する可能性があるため注意してください。
次の表には、さまざまなビジネス プロトコルに関する追加の情報源がリストされています。
手順 5 : Application Integration のセキュリティをコンフィグレーションする WebLogic Integration は、Application Integration の機能を使用して作成および管理される統合ソリューションの部分を対象とした以下のセキュリティ メカニズムを提供します。
![]() |
![]() |
![]() |
![]() |
||
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |