BEA ホーム | 製品 | dev2dev | support | askBEA
 ドキュメントのダウンロード   サイト マップ   Glossary 
検索
e-docs > WebLogic Server > WebLogic Security の管理 > エンタープライズ情報システムでのシングル サインオン

WebLogic Security の管理

 Previous Next Contents PDF で侮ヲ  

エンタープライズ情報システムでのシングル サインオン

この節では、エンタープライズ情報システム (EIS) ユーザが保護された WebLogic リソースにアクセスできるようにするための資格マップを作成する方法について説明します。

注意: この章は、このリリースの WebLogic Server のセキュリティ機能を使用する WebLogic Server デプロイメントと互換性セキュリティを使用するデプロイメントに適用されます。

 

概要

J2EE コネクタ アーキテクチャによって定義されるリソース アダプタは、EIS で定義されたユーザが保護されている WebLogic リソースへのアクセスをリクエストした場合に、ユーザを認証するために必要な資格を取得できます。リソース アダプタをホストする WebLogic Server のコンテナは、資格マップを使用して、WebLogic リソース用の資格セットを検索できます。資格マップでは、WebLogic Server セキュリティ レルムのユーザと、EIS (Oracle データベース、SQL サーバ、SAP アプリケーションなど) のユーザの認証に使用される ID (ユーザ名とパスワードの組み合わせ) が関連付けられます。

資格マップは以下の 2 つの手順で作成します。

  1. EIS ユーザの WebLogic Server ユーザまたはグループを作成します。ユーザまたはグループは、コンフィグレーションされている認証プロバイダに定義される必要があります。複数の WebLogic Server ユーザ間またはグループを同じリモート ユーザまたはグループにマップできます。管理を効率化するために、グループを使用して資格マップを作成するようにしてください。

  2. EIS ユーザの資格マップを作成します。EIS に対する認証を受けるユーザのユーザ名とパスワードか、または EIS ユーザが属するグループ名を使用してユーザを定義します。資格マップは組み込み LDAP サーバに格納されます。

リソース アダプタでのセキュリティの使用方法については、『WebLogic J2EE コネクタ アーキテクチャ』を参照してください。

WebLogic Server で資格マップを作成するには、デプロイメント記述子を使用する方法と WebLogic Server Administration Console を使用する方法があります。以降の節では、それぞれの方法について説明します。

 

デプロイメント記述子を使用した資格マップの作成

資格マップは、weblogic-ra.xml デプロイメント記述子ファイルの <security-principal-map> 要素で指定できます。 <security-principal-map> 要素では、EIS にログインするための資格と WebLogic リソースに対して認証するための資格との関連付けを指定します。 リスト4-1 に、weblogic-ra.xml デプロイメント記述子ファイルに指定された資格マップの一例を示します。

コード リスト 4-1 サンプル資格マップ

<security-principal-map>
    -<map-entry> 
        <initiating-principal>raruser</initiating-principal> 
        <initiating-principal>javajoe</initiating-principal> 
        -<resource-principal> 
           <resource-username>scott</resource-username> 
            <resource-password>tiger</resource-password>
        </resource-principal> 
    </map-entry>

デプロイメント記述子を使用して資格マップを作成する方法は、このリリースの WebLogic Server では非推奨となりました。代わりに、WebLogic Server Administration Console を使用して資格マップを作成します。詳細については、WebLogic Administration Console を使用した資格マップの作成を参照してください。

<security-principal-map> 要素が定義された weblogic-ra.xml デプロイメント記述子ファイルを持つリソース アダプタをデプロイする場合、このファイルのデータを組み込み LDAP サーバにインポートすると、WebLogic 資格マッピング プロバイダで使用できるようになります。

weblogic-ra.xml デプロイメント記述子ファイルの情報を組み込み LDAP サーバにインポートするには、デフォルト (アクティブ) セキュリティ レルムの資格マッピング プロバイダの [資格マッピング デプロイメントを有効化] 属性を有効にします。リソース アダプタをデプロイすると、資格マップ情報が資格マッピング プロバイダにロードされます。

[資格マッピング デプロイメントを有効化] 属性をサポートするには、資格マッピング プロバイダは DeployableCredentialProvider SSPI を実装する必要があります。デフォルトでは、この属性は有効になっています。したがって、weblogic-ra.xml デプロイメント記述子ファイルの情報は、リソース アダプタをデプロイすると、自動的に WebLogic 資格マッピング プロバイダにロードされます。

ただし、weblogic-ra.xml デプロイメント記述子ファイルの情報が組み込み LDAP サーバにロードされても、元のリソース アダプタは変更されません。したがって、リソース アダプタを WebLogic Server Administration Console を使用して再デプロイしたり、ディスク上で変更したり、WebLogic Server を再起動したりする場合などに、元のリソース アダプタが再デプロイされると、weblogic-ra.xml デプロイメント記述子ファイルの情報が再度ロードされるので、資格マッピング情報が失われる可能性があります。

新しい資格マッピング情報が weblogic-ra.xml デプロイメント記述子ファイル内の古い情報によって上書きされないようにするには、[デプロイの資格マッピングを無視] のデプロイメント記述子設定を指定します。

  1. [セキュリティ] ノードを展開します。

  2. [レルム] ノードを展開します。

    WebLogic ドメインで使用可能なすべてのセキュリティ レルムが [レルム] テーブルに表示されます。

  3. 使用しているレルムの名前をクリックします。

  4. [一般] タブをクリックします。

  5. [デプロイの資格マッピングを無視] のデプロイメント記述子設定をチェックします。 この設定では、セキュリティ レルムの資格マッピング プロバイダが WebLogic Server Administration Console によって作成された資格マップのみを使用することを指定します。デフォルトでは、この属性はチェックされていません。つまり、資格マッピング プロバイダは、weblogic-ra.xml デプロイメント記述子ファイルに指定されている資格マップをロードします。

  6. [適用] をクリックします。

  7. WebLogic Server を再起動します。

また、weblogic-ra.xml デプロイメント記述子ファイルを変更して、<security-principal-map> 要素を削除することをお勧めします。

weblogic-ra.xml デプロイメント記述子ファイルを使用して資格マップを指定する方法については、『WebLogic J2EE コネクタ アーキテクチャ』を参照してください。

 

WebLogic Administration Console を使用した資格マップの作成

資格マップ間のマッピングは、WebLogic Server Administration Console を使用して行えるようになりました。WebLogic 資格マッピング プロバイダを使用する場合、資格マップは組み込み LDAP サーバに格納されます。

資格マップを作成するには、次の手順に従います。

  1. [デプロイメント記述子内のセキュリティ データを無視] 属性がデフォルト (アクティブ) セキュリティ レルムで有効になっていることを確認します。この属性が有効になっていないと、資格マップが weblogic-ra.xml デプロイメント記述子ファイル内の古い情報で上書きされる恐れがあります。

  2. EIS ユーザに対応するユーザまたはグループを定義します。詳細については、『WebLogic リソースのセキュリティ』の「ユーザとグループ」を参照してください。

  3. [コネクタ] ノードを展開します。

  4. 目的のリソース アダプタを右クリックします。

  5. [資格マップを定義] オプションをクリックします。

    [資格マッピング] テーブルには、コンフィグレーション済み資格マッパーに定義されているすべての資格マップが表示されます。

  6. [新しい Cred Map のコンフィグレーション] リンクをクリックします。

  7. EIS ユーザの名前を [リモート ユーザ資格マップ] フィールドに入力します。 たとえば、scott のように入力します。

  8. EIS ユーザのパスワードを [リモート パスワード] フィールドに入力します。 たとえば、tiger のように入力します。

  9. [適用] をクリックします。

  10. 目的のリソース アダプタを右クリックします。

  11. [ロールのマップ...] オプションをクリックします。

  12. 手順 2 で EIS ユーザ用として定義した WebLogic Server ユーザまたはグループの名前を [WLS ユーザ] フィールドに入力します。

  13. EIS ユーザの名前を [リモート ユーザ] フィールドに入力します。

  14. [適用] をクリックします。

 

Back to Top Previous Next