WebLogic セキュリティプロバイダの開発

概要とロードマップ

ドキュメントの内容

対象読者

このドキュメントの手引き

関連ドキュメント

このリリースでの新機能と変更点

WebLogic Server で使用するセキュリティプロバイダの開発について

前提条件

開発プロセスの概要

カスタムセキュリティプロバイダの設計

SSPI の実装によるカスタムセキュリティプロバイダ用の実行時クラスの作成

カスタムセキュリティプロバイダをコンフィグレーションおよび管理する MBean タイプの生成

コンソール拡張機能の記述

カスタムセキュリティプロバイダのコンフィグレーション

セキュリティポリシー、セキュリティロール、および資格マップを管理するメカニズムの提供

設計上の考慮事項

セキュリティプロバイダの一般的なアーキテクチャ

セキュリティサービスプロバイダインタフェース (SSPI)

2 つの重要な制限について

「Provider」SSPI の目的について

バルクアクセスプロバイダの目的について

実装する「Provider」インタフェースの決定

DeployableAuthorizationProviderV2 SSPI

DeployableRoleProviderV2 SSPI

DeployableCredentialProvider SSPI

SSPI 階層を理解し、実行時クラスを 1 つ作成するのか 2 つ作成するのかを決定する

SSPI クイックリファレンス

セキュリティサービスプロバイダインタフェース (SSPI) MBean

MBean タイプが必要な理由について

拡張および実装する SSPI MBean の決定

MBean 定義ファイル (MDF) の基本的な要素について

カスタムプロバイダとクラスパス

MBean オペレーションから例外を送出する

MBean 属性に対して非クリアテキスト値を指定する

SSPI MBean の階層と Administration Console に対する影響について

WebLogic MBeanMaker によって提供されるものについて

MBean 情報ファイルについて

SSPI MBean クイックリファレンス

セキュリティデータの移行

移行の概念

フォーマット

移行ファイル

カスタムセキュリティプロバイダへの移行サポートの追加

セキュリティデータの移行に関する Administration Console のサポート

セキュリティプロバイダの開発者向け管理ユーティリティ

セキュリティプロバイダと WebLogic リソース

WebLogic リソースのアーキテクチャ

WebLogic リソースのタイプ

WebLogic リソース識別子

toString() メソッド

リソース ID と getID() メソッド

WebLogic リソースのデフォルトグループの作成

WebLogic リソースのデフォルトセキュリティロールの作成

WebLogic リソースのデフォルトセキュリティポリシーの作成

セキュリティプロバイダの実行時クラスでの WebLogic リソースのルックアップ

単一親リソース階層

URL リソースのパターンマッチング

ContextHandler と WebLogic リソース

コンテキストハンドラをサポートするプロバイダとインタフェース

セキュリティプロバイダデータベースの初期化

ベストプラクティス : データベースがない場合のシンプルなデータベースの作成

ベストプラクティス : 既存のデータベースのコンフィグレーション

ベストプラクティス : データベース初期化の委託

属性バリデータの相違点

カスタムバリデータの場合の属性バリデータの相違点

認証プロバイダ

認証の概念

ユーザ/グループ、プリンシパル、サブジェクト

初期ユーザおよびグループを指定する

LoginModule

LoginModule インタフェース

LoginModule とさまざまな要素から成る認証

JAAS (Java Authentication and Authorization Service)

JAAS が WebLogic Security フレームワークとどう連携するか

例 : スタンドアロンの T3 アプリケーション

認証プロセス

カスタム認証プロバイダを開発する必要があるか

カスタム認証プロバイダの開発方法

適切な SSPI による実行時クラスの作成

AuthenticationProviderV2 SSPI を実装する

JAAS LoginModule インタフェースを実装する

LoginModule からカスタム例外を送出する

方法 1 : システムクラスパスおよびコンパイラクラスパスを介してカスタム例外を使えるようにする

方法 2 : アプリケーションクラスパスを介してカスタム例外を使えるようにする

例 : サンプル認証プロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

任意 SSPI MBean とカスタム操作を追加しない場合

任意 SSPI MBean またはカスタム操作を追加する場合

生成される MBean インタフェースファイルについて

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム認証プロバイダのコンフィグレーション

ユーザロックアウトを管理する

レルムワイドのユーザロックアウトマネージャの使用

独自のユーザロックアウトマネージャの実装

認証プロバイダの順序を指定する

ID アサーションプロバイダ

ID アサーションの概念

ID アサーションプロバイダと LoginModule

ID アサーションとトークン

新しいトークンタイプの作成方法

新しいトークンタイプを ID アサーションプロバイダのコンフィグレーションで利用可能にする方法

境界認証用のトークンを渡す

CSIv2 (Common Secure Interoperability Version 2)

ID アサーションプロセス

カスタム ID アサーションプロバイダを開発する必要があるか

カスタム ID アサーションプロバイダの開発方法

適切な SSPI による実行時クラスの作成

AuthenticationProviderV2 SSPI を実装する

IdentityAsserterV2 SSPI を実装する

例 : サンプル ID アサーションプロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

任意 SSPI MBean とカスタム操作を追加しない場合

任意 SSPI MBean またはカスタム操作を追加する場合

生成される MBean インタフェースファイルについて

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム ID アサーションプロバイダのコンフィグレーション

チャレンジ ID アサーション

Java サーブレット API 2.3 環境におけるチャレンジ/応答の制限

weblogic.security.services.Authentication クラスのフィルタと役割

チャレンジ ID アサーションプロバイダの開発方法

ChallengeIdentityAsserterV2 インタフェースを実装する

ProviderChallengeContext インタフェースを実装する

weblogic.security.services のチャレンジ ID メソッドを呼び出す

weblogic.security.services の AppChallengeContext メソッドを呼び出す

フィルタからチャレンジ ID アサーションを実装する

プリンシパル検証プロバイダ

プリンシパル検証の概念

プリンシパル検証とプリンシパルタイプ

プリンシパル検証プロバイダと他のタイプのセキュリティプロバイダの違い

無効なプリンシパルが原因のセキュリティ例外

プリンシパル検証プロセス

カスタムプリンシパル検証プロバイダを開発する必要があるか

WebLogic プリンシパル検証プロバイダの使い方

カスタムプリンシパル検証プロバイダの開発方法

PrincipalValidator SSPI の実装

認可プロバイダ

認可の概念

アクセス決定

Java Authorization Contract for Containers の使用

認可プロセス

カスタム認可プロバイダを開発する必要があるか

カスタム認可プロバイダでアプリケーションのバージョン管理をサポートする必要があるか

カスタム認可プロバイダの開発方法

適切な SSPI による実行時クラスの作成

AuthorizationProvider SSPI を実装する

DeployableAuthorizationProviderV2 SSPI を実装する

ApplicationInfo インタフェース

AccessDecision SSPI を実装する

レルムアダプタ認証プロバイダと互換性のあるカスタム認可プロバイダを開発する

例 : サンプル認可プロバイダの実行時クラスを作成する

ポリシーコンシューマ SSPI

必要な SSPI インタフェース

PolicyConsumerFactory SSPI インタフェースを実装する

PolicyConsumer SSPI インタフェースを実装する

PolicyCollectionHandler SSPI インタフェースを実装する

更新後のポリシーコレクションをサポートする

PolicyConsumerMBean

PolicyStoreMBean

XACML Policy ファイルの形式を調べる

WLST を使用して PolicyStoreMBean にポリシーを追加する

WLST を使用して PolicySet を String として読み込む

バルク認可プロバイダ

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

任意 SSPI MBean とカスタム操作を追加しない場合

任意 SSPI MBean またはカスタム操作を追加する場合

生成される MBean インタフェースファイルについて

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム認可プロバイダのコンフィグレーション

認可プロバイダとデプロイメント記述子を管理する

セキュリティポリシーデプロイメントを有効にする

セキュリティポリシーを管理するためのメカニズムの提供

オプション 1 : セキュリティポリシー管理用のスタンドアロンツールを開発する

オプション 2 : 既存のセキュリティポリシー管理ツールを Administration Console に統合する

裁決プロバイダ

裁決プロセス

カスタム裁決プロバイダを開発する必要があるか

カスタム裁決プロバイダの開発方法

適切な SSPI による実行時クラスの作成

AdjudicationProviderV2 SSPI を実装する

AdjudicatorV2 SSPI を実装する

バルク裁決プロバイダ

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

カスタム操作を追加しない場合

カスタム操作を追加する場合

生成される MBean インタフェースファイルについて

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム裁決プロバイダのコンフィグレーション

ロールマッピングプロバイダ

ロールマッピングの概念

セキュリティロール

動的セキュリティロール計算

ロールマッピングプロセス

カスタムロールマッピングプロバイダを開発する必要があるか

カスタムロールマッピングプロバイダでアプリケーションのバージョン管理をサポートする必要があるか

カスタムロールマッピングプロバイダの開発方法

適切な SSPI による実行時クラスの作成

RoleProvider SSPI を実装する

DeployableRoleProviderV2 SSPI を実装する

ApplicationInfo インタフェース

RoleMapper SSPI を実装する

レルムアダプタ認証プロバイダと互換性のあるカスタムロールマッピングプロバイダを開発する

SecurityRole インタフェースを実装する

例 : サンプルロールマッピングプロバイダの実行時クラスを作成する

ロールコンシューマ SSPI

必要な SSPI インタフェース

RoleConsumerFactory SSPI インタフェースを実装する

RoleConsumer SSPI インタフェースを実装する

RoleCollectionHandler SSPI インタフェースを実装する

更新後のロールコレクションをサポートする

RoleConsumerMBean

PolicyStoreMBean

XACML Policy ファイルの形式を調べる

WLST を使用して PolicyStoreMBean にポリシーを追加する

WLST を使用して PolicySet を String として読み込む

バルクロールマッピングプロバイダ

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

カスタム操作を追加しない場合

カスタム操作を追加する場合

生成される MBean インタフェースファイルについて

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタムロールマッピングプロバイダのコンフィグレーション

ロールマッピングプロバイダとデプロイメント記述子を管理する

セキュリティロールデプロイメントを有効にする

セキュリティロールを管理するためのメカニズムの提供

オプション 1 : セキュリティロール管理用のスタンドアロンツールを開発する

オプション 2 : 既存のセキュリティロール管理ツールを Administration Console に統合する

監査プロバイダ

監査の概念

監査チャネル

カスタムセキュリティプロバイダからのイベントの監査

監査プロセス

ContextHandler MBean の実装

ContextHandlerMBean のメソッド

例 : ContextHandlerMBean の実装

weblogic.management.security.audit.ContextHandlerImpl の拡張

カスタム監査プロバイダを開発する必要があるか

カスタム監査プロバイダの開発方法

適切な SSPI による実行時クラスの作成

AuditProvider SSPI を実装する

AuditChannel SSPI を実装する

例 : サンプル監査プロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

カスタム操作を追加しない場合

カスタム操作を追加する場合

生成される MBean インタフェースファイルについて

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム監査プロバイダのコンフィグレーション

監査重大度をコンフィグレーションする

Security フレームワークの監査イベント

付加的な監査情報を渡す

監査イベントインタフェースと監査イベント

AuditApplicationVersionEvent

AuditAtnEventV2

AuditCerPathBuilderEvent、AuditCertPathValidatorEvent

AuditConfigurationEvent

AuditCredentialMappingEvent

AuditLifecycleEvent

AuditPolicyEvent

AuditRoleDeploymentEvent

資格マッピングプロバイダ

資格マッピングの概念

資格マッピングプロセス

カスタム資格マッピングプロバイダを開発する必要があるか

カスタム資格マッピングプロバイダでアプリケーションのバージョン管理をサポートする必要があるか

カスタム資格マッピングプロバイダの開発方法

適切な SSPI による実行時クラスの作成

CredentialProviderV2 SSPI を実装する

DeployableCredentialProvider SSPI を実装する

CredentialMapperV2 SSPI を実装する

レルムアダプタ認証プロバイダと互換性のあるカスタム資格マッピングプロバイダを開発する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

任意 SSPI MBean とカスタム操作を追加しない場合

任意 SSPI MBean またはカスタム操作を追加する場合

生成される MBean インタフェースファイルについて

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

資格マップを管理するためのメカニズムの提供

オプション 1 : 資格マップ管理用のスタンドアロンツールを開発する

オプション 2 : 既存の資格マップ管理ツールを Administration Console に統合する

カスタムセキュリティプロバイダからのイベントの監査

セキュリティサービスと監査サービス

カスタムセキュリティプロバイダからの監査方法

監査イベントの作成

AuditEvent SSPI を実装する

監査イベントコンビニエンスインタフェースを実装する

AuditAtnEventV2 インタフェース

AuditAtzEvent および AuditPolicyEvent インタフェース

AuditMgmtEvent インタフェース

AuditRoleEvent および AuditRoleDeploymentEvent インタフェース

監査重大度

監査コンテキスト

例 : AuditRoleEvent インタフェースの実装

監査サービスの取得、および取得した監査サービスによる監査イベントの書き込み

例 : 監査サービスを取得および使用してロール監査イベントを書き込む

プロバイダの MBean から管理オペレーションを監査する

例 : プロバイダの MBean から管理オペレーションを監査する

ベストプラクティス : プロバイダの MBean からの監査イベントのポスト

サーブレット認証フィルタ

認証フィルタの概念

フィルタが必要な理由

サーブレット認証フィルタ設計上の考慮事項

フィルタが呼び出されるしくみ

認証プロバイダからサーブレット認証フィルタを呼び出さない

フィルタを実装するプロバイダの例

カスタムサーブレット認証フィルタの開発方法

適切な SSPI による実行時クラスの作成

サーブレット認証フィルタ SSPI の実装

フィルタインタフェースメソッドの実装

フィルタからのチャレンジ ID アサーションの実装

WebLogic MBeanMaker による MBean タイプの生成

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

Administration Console による認証プロバイダのコンフィグレーション

バージョン管理可能なアプリケーションのプロバイダ

バージョン管理可能なアプリケーションの概念

バージョン管理可能なアプリケーションのプロセス

バージョン管理可能なアプリケーションのカスタムプロバイダを開発する必要があるか

カスタム VersionableApplication プロバイダの開発方法

適切な SSPI による実行時クラスの作成

VersionableApplication SSPI を実装する

例 : サンプル VersionableApplication プロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

Administration Console によるバージョン管理可能なアプリケーションのカスタムプロバイダのコンフィグレーション

証明書パスプロバイダ

証明書の検索と検証の概念

証明書の検索と検証のプロセス

証明書パス検証プロバイダと証明書パスビルダを実装する必要があるか

証明書パスプロバイダ SPI MBean

WebLogic 証明書パス検証プロバイダ SSPI

WebLogic 証明書パスビルダ SSPI

WebLogic Server 証明書パス SSPI と JDK SPI との関係

カスタム証明書パスプロバイダを開発する必要があるか

カスタム証明書パスプロバイダの開発方法

適切な SSPI による実行時クラスの作成

JDK CertPathBuilderSpi インタフェース、CertPathValidatorSpi インタフェースのいずれか、または両方を実装する

証明書パスプロバイダ SSPI を実装する

JDK セキュリティプロバイダ SPI を実装する

CertPathBuilderSpi 実装で CertPathBuilderParametersSpi SSPI を使用する

CertPathValidatorSpi 実装で CertPathValidatorParametersSpi SSPI を使用する

ビルダまたは検証プロバイダの結果を返す

例 : サンプル証明書パスプロバイダを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

任意 SSPI MBean とカスタム操作を追加しない場合

任意 SSPI MBean またはカスタム操作を追加する場合

生成される MBean インタフェースファイルについて

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム証明書パスプロバイダのコンフィグレーション

MBean 定義ファイル (MDF) 要素の構文

MBeanType (ルート) 要素

MBeanAttribute 下位要素

MBeanConstructor 下位要素

MBeanOperation 下位要素

MBean オペレーションの例外

例 : 有効な整形式 MBean 定義ファイル (MDF)