BEA ホーム | 製品 | dev2dev | support | askBEA |
|
e-docs > WebLogic Server > WebLogic Security の管理 > エンタープライズ情報システムでのシングル サインオン |
WebLogic Security の管理 |
この節では、エンタープライズ情報システム (EIS) ユーザが保護された WebLogic リソースにアクセスできるようにするための資格マップを作成する方法について説明します。
注意: この章は、このリリースの WebLogic Server のセキュリティ機能を使用する WebLogic Server デプロイメントと互換性セキュリティを使用するデプロイメントに適用されます。
J2EE コネクタ アーキテクチャによって定義されるリソース アダプタは、EIS で定義されたユーザが保護されている WebLogic リソースへのアクセスをリクエストした場合に、ユーザを認証するために必要な資格を取得できます。リソース アダプタをホストする WebLogic Server のコンテナは、資格マップを使用して、WebLogic リソース用の資格セットを検索できます。資格マップでは、WebLogic Server セキュリティ レルムのユーザと、EIS (Oracle データベース、SQL サーバ、SAP アプリケーションなど) のユーザの認証に使用される ID (ユーザ名とパスワードの組み合わせ) が関連付けられます。
リソース アダプタでのセキュリティの使用方法については、『WebLogic J2EE コネクタ アーキテクチャ』を参照してください。
WebLogic Server で資格マップを作成するには、デプロイメント記述子を使用する方法と WebLogic Server Administration Console を使用する方法があります。以降の節では、それぞれの方法について説明します。
資格マップは、weblogic-ra.xml デプロイメント記述子ファイルの <security-principal-map> 要素で指定できます。 <security-principal-map> 要素では、EIS にログインするための資格と WebLogic リソースに対して認証するための資格との関連付けを指定します。 リスト4-1 に、weblogic-ra.xml デプロイメント記述子ファイルに指定された資格マップの一例を示します。
<security-principal-map>
-<map-entry>
<initiating-principal>raruser</initiating-principal>
<initiating-principal>javajoe</initiating-principal>
-<resource-principal>
<resource-username>scott</resource-username>
<resource-password>tiger</resource-password>
</resource-principal>
</map-entry>
デプロイメント記述子を使用して資格マップを作成する方法は、このリリースの WebLogic Server では非推奨となりました。代わりに、WebLogic Server Administration Console を使用して資格マップを作成します。詳細については、WebLogic Administration Console を使用した資格マップの作成を参照してください。
<security-principal-map> 要素が定義された weblogic-ra.xml デプロイメント記述子ファイルを持つリソース アダプタをデプロイする場合、このファイルのデータを組み込み LDAP サーバにインポートすると、WebLogic 資格マッピング プロバイダで使用できるようになります。
weblogic-ra.xml デプロイメント記述子ファイルの情報を組み込み LDAP サーバにインポートするには、デフォルト (アクティブ) セキュリティ レルムの資格マッピング プロバイダの [資格マッピング デプロイメントを有効化] 属性を有効にします。リソース アダプタをデプロイすると、資格マップ情報が資格マッピング プロバイダにロードされます。
[資格マッピング デプロイメントを有効化] 属性をサポートするには、資格マッピング プロバイダは DeployableCredentialProvider SSPI を実装する必要があります。デフォルトでは、この属性は有効になっています。したがって、weblogic-ra.xml デプロイメント記述子ファイルの情報は、リソース アダプタをデプロイすると、自動的に WebLogic 資格マッピング プロバイダにロードされます。
ただし、weblogic-ra.xml デプロイメント記述子ファイルの情報が組み込み LDAP サーバにロードされても、元のリソース アダプタは変更されません。したがって、リソース アダプタを WebLogic Server Administration Console を使用して再デプロイしたり、ディスク上で変更したり、WebLogic Server を再起動したりする場合などに、元のリソース アダプタが再デプロイされると、weblogic-ra.xml デプロイメント記述子ファイルの情報が再度ロードされるので、資格マッピング情報が失われる可能性があります。
新しい資格マッピング情報が weblogic-ra.xml デプロイメント記述子ファイル内の古い情報によって上書きされないようにするには、[デプロイの資格マッピングを無視] のデプロイメント記述子設定を指定します。
また、weblogic-ra.xml デプロイメント記述子ファイルを変更して、<security-principal-map> 要素を削除することをお勧めします。
weblogic-ra.xml デプロイメント記述子ファイルを使用して資格マップを指定する方法については、『WebLogic J2EE コネクタ アーキテクチャ』を参照してください。
WebLogic Administration Console を使用した資格マップの作成
資格マップ間のマッピングは、WebLogic Server Administration Console を使用して行えるようになりました。WebLogic 資格マッピング プロバイダを使用する場合、資格マップは組み込み LDAP サーバに格納されます。