> ロールおよびポリシーによる WebLogic リソースの保護 > ユーザ、グループ、セキュリティ ロール

ロールおよびポリシーによる WebLogic リソースの保護

     前  次    新しいウィンドウで目次を開く     
ここから内容の開始

ユーザ、グループ、セキュリティ ロール

この章では、ユーザ、グループ、およびセキュリティ ロールの特長と機能について説明します。

 

ユーザとグループの概要

ユーザは認証可能なエンティティです。ユーザは、個人でも Java クライアントなどのソフトウェア エンティティでもかまいません。各ユーザには、セキュリティ レルム内でユニークな ID が与えられます。セキュリティ管理を効率化するには、ユーザをグループに追加することをお勧めします。グループは、通常、企業の同じ部門に所属しているなどの共通点を持つユーザの集合です。

 

デフォルト グループ

表 6-1 に、WebLogic Server で設定されたセキュリティ レルムに定義されている、グループの一覧を示します。デフォルトでは、これらのグループの 1 つにユーザを追加すると、デフォルト グローバル セキュリティ ロールの 1 つにもユーザが設定されます (「デフォルト グローバル ロール」を参照)。

表 6-1 デフォルト グループ
グループ名
メンバシップ
Administrators
デフォルトでは、グループにはインストール プロセスの一部 (つまり、コンフィグレーション ウィザード) で入力されたユーザ情報、および system ユーザ (WebLogic Server インスタンスが互換性セキュリティを実行している場合) が含まれる。Administrators グループに割り当てられているユーザには、デフォルトで Admin セキュリティ ロールが付与されている。
ベスト プラクティス : Administrators グループにユーザを追加する」を参照。
Deployers
デフォルトでは、このグループは空。Deployers グループに割り当てられたユーザは、デフォルトでは Deployer セキュリティ ロールを与えられる。
Operators
デフォルトでは、このグループは空。Operators グループに割り当てられたユーザは、デフォルトでは Operator セキュリティ ロールを与えられる。
Monitors
デフォルトでは、このグループは空。Monitors グループに割り当てられたユーザは、デフォルトでは Monitor セキュリティ ロールを与えられる。
AppTesters
デフォルトでは、このグループは空。AppTesters グループに割り当てられたユーザは、デフォルトでは AppTester セキュリティ ロールを与えられる。
CrossDomainConnectors
デフォルトでは、このグループは空。CrossDomainConnectors グループに割り当てられたユーザは、デフォルトでは CrossDomainConnector セキュリティ ロールを与えられる。

実行時グループ

実行時には、すべてのユーザが以下のグループに入ることになります。

表 6-1 のグループ (または独自に作成した他のグループ) と違い、これらのグループに対して直接ユーザの追加または削除を行うことはできません。WebLogic Server によってユーザが動的に割り当てられます。これらのグループは Administration Console の [グループ] タブには表示されず、認証データベースでもエクスポートされません。

ベスト プラクティス : Administrators グループにユーザを追加する

Administrators グループには、インストール時に (コンフィグレーション ウィザードを使用して) 定義したユーザに加えて、少なくとも 1 人のユーザを追加することをお勧めします。常に 2 人以上の管理者がいることで、セキュリティ違反が起こった場合に 1 人しかいない管理ユーザがロックアウトされるという状況を防げます。また、「system」、「admin」、「Administrator」といった予測可能なユーザ名は避けるようにします。

 

セキュリティ ロールの概要

セキュリティ ロールは、特定の条件に基いてユーザまたはグループに付与される ID です。複数のユーザまたはグループに同じセキュリティ ロールを付与することができます。また、ユーザまたはグループは複数のセキュリティ ロール内に存在できます。セキュリティ ロールは、ポリシーにおいて WebLogic リソースにアクセスできるユーザを決定するために使用されます (「セキュリティ ポリシー」を参照)。

ロールでは、セキュリティ グループと同様にユーザに ID が付与されます。ただし、セキュリティ ロールは以下の点でグループとは異なります。

 

セキュリティ ロールのタイプ : グローバル ロールとスコープ指定ロール

WebLogic Server には 2 種類のセキュリティ ロールがあります。

 

デフォルト グローバル ロール

表 6-2 に、WebLogic Server で設定されたセキュリティ レルムに定義されている、グローバル ロールの一覧を示します。この表ではさらに、デフォルト セキュリティ ポリシーによって各ロールに付与されるアクセスと、各ロールにデフォルトでどのグループが含まれるかについてもまとめます。

警告 : これらのロールは削除しないでください。デフォルト グローバル ロールは、ほとんどの種類の WebLogic リソースを保護するデフォルト セキュリティ ポリシーで使用され、MBean セキュリティ レイヤでも使用されます。Admin ロールを削除すると、実行中のドメインのコンフィグレーションをどのユーザも変更できなくなります。「一貫性のあるセキュリティ方式の維持」を参照してください。
表 6-2 デフォルト グローバル ロール、特権、および割り当てられるデフォルト グループ
グローバル ロール
デフォルト ポリシーで付与されるアクセス
デフォルトの条件に含まれるグループ
Admin
  • サーバ コンフィグレーション (一部の暗号化された属性の暗号化された値を含む) を表示する。
  • サーバ コンフィグレーション全体を変更する。
  • エンタープライズ アプリケーション、Web アプリケーション、EJB、Java EE コネクタ、および Web サービス モジュールをデプロイする。
  • サーバを起動、再起動、および停止する。
Administrators
Anonymous
すべてのユーザ (everyone グループ) にこのグローバル ロールが付与される。

注意 : このグローバル ロールは利便性のために用意されており、weblogic.xml および weblogic-ejb-jar.xml デプロイメント記述子で指定できる。「weblogic.xml デプロイメント記述子の要素」および「weblogic-ejb-jar.xml デプロイメント記述子のリファレンス」を参照。
Everyone
Deployer
  • サーバ コンフィグレーション (デプロイメント アクティビティに関連する一部の暗号化された属性を含む) を表示する。
  • 起動および停止クラス、Web アプリケーション、JDBC データ プール接続、EJB、Java EE コネクタ、Web サービス、および WebLogic Tuxedo Connector コンポーネントを変更する。必要に応じて、デプロイメント記述子を編集する。
  • Java EE デプロイメントの実装 (JSR-88) のデプロイメント操作にアクセスする。『WebLogic Server アプリケーションのデプロイメント』の「WebLogic Server デプロイメントについて」を参照。
Deployers
Operator
  • サーバ コンフィグレーション (暗号化された属性は除く) を表示する。
  • サーバを起動、再起動、および停止する。
Operators
Monitor
サーバ コンフィグレーション (暗号化された属性は除く) を表示する。
このセキュリティ ロールでは、WebLogic Server Administration Console、WLST、および MBean API への読み込み専用アクセスが効果的に提供される。
Monitors
AppTester
管理モードで動作しているアプリケーションにテスト目的でアクセスする。詳細については、『WebLogic Server アプリケーションのデプロイメント』の「プロダクション アプリケーションを分離するための管理モード」を参照。
AppTesters
CrossDomainConnector
外部ドメインからドメイン間呼び出しを実行する。詳細については、『WebLogic Server のセキュリティ』の「WebLogic Server ドメイン間の信頼関係の有効化」を参照。
CrossDomainConnectors

 

セキュリティ ロール条件

ロールには、実行時にセキュリティ ロールに含まれるユーザを決定するために 1 つまたは複数の条件が指定されます。もっとも基本的なロールは、たとえば「Administrator」グループのみが指定されているといった形になります。このロールは、WebLogic Security サービスによって実行時に「Administrator グループをこのロールに含める」と解釈されます。さらに複雑な条件を作成することも可能で、そうした条件を論理演算子 AND や OR (非排他的な OR) を使って組み合わせることもできます。また、どの条件も否定が可能で、それによってロールからユーザを除外できます。ユーザやグループにセキュリティ ロールが与えられるには、すべての条件が true である必要があります。ロール文の中では、制約が厳しい式ほど後に指定します。

Administration Console には、WebLogic Server ロール マッピング プロバイダに組み込まれている以下の 3 種類のロール条件が表示されます。

注意 : 以下の節では、WebLogic ロール マッピング プロバイダまたは WebLogic XACML ロール マッピング プロバイダを使用するレルムで利用できる条件について説明します。お使いのセキュリティ レルムでサード パーティ製のロール マッピング プロバイダを使用する場合は、サード パーティのドキュメントでこの機能について参照してください。

基本的なロール条件

このリリースの WebLogic Server で使用できる基本的なロール条件は以下のとおりです。

日付と時刻のロール条件

任意の日付と時刻のロール条件を使用する場合、他のいずれかのロール条件を追加してさらにユーザを制限しない限り、セキュリティ ロールでは指定した日付または時刻のアクセスをすべてのユーザに対して許可します。このリリースの WebLogic Server で使用できる日付と時刻のロール条件は以下のとおりです。

コンテキスト要素のロール条件

コンテキスト要素の条件を使用すると、HTTP サーブレット リクエスト属性、HTTP セッション属性、EJB メソッドのパラメータの値に基づいてセキュリティ ロールを作成できます。この情報は WebLogic Server によって ContextHandler オブジェクトから取得され、その値に基づいてロール条件を定義できます。こうした条件を使用する場合、使用しているコンテキストに属性またはパラメータと値のペアが確実に適用するようにするのはユーザの役目です。詳細については、『WebLogic セキュリティ プロバイダの開発』の「ContextHandler と WebLogic リソース」を参照してください。

このリリースの WebLogic Server で使用できるコンテキスト要素のロール条件は以下のとおりです。

 

Administration Console でのユーザ、グループ、ロールの管理

注意 : この節では、WebLogic 認証プロバイダおよび WebLogic ロール マッピング プロバイダまたは WebLogic XACML ロール マッピング プロバイダを使用するレルムで利用できる機能について説明します。お使いのセキュリティ レルムでサード パーティ製の認証またはロール マッピング プロバイダを使用する場合は、サード パーティのドキュメントでその機能について参照してください。

セキュリティ レルムにユーザやグループを追加する方法については、Administration Console オンライン ヘルプの「ユーザとグループの管理」を参照してください。

セキュリティ ロールの作成については、Administration Console オンライン ヘルプの「セキュリティ ロールの管理」を参照してください。


ページの先頭       前  次