セキュリティ管理の概要

ドキュメントのダウンロード

サイトマップ

Glossary

検索

e-docs > WebLogic Server > WebLogic Security の管理 > セキュリティ管理の概要

WebLogic Security の管理

セキュリティ管理の概要

以下の節では、6.x のリリースの WebLogic Server とこのリリースの WebLogic Server の違いを含む、WebLogic Server の新しいセキュリティシステムの概要について説明します。

注意: このマニュアルでは、6.x という用語は WebLogic Server 6.0 および 6.1、およびそれらに関連するサービスパックを表しています。

対象読者

『WebLogic Security の管理』は、サーバ管理者とアプリケーション管理者を対象にしています。

サーバ管理者は、アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティリスクの特定、およびセキュリティ上の問題を防止するセキュリティコンフィグレーションの提案を行います。関連する責務として、重要なプロダクションシステムの保守、セキュリティレルムの設定およびコンフィグレーション、サーバリソースおよびアプリケーションリソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティプロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、Web アプリケーションと EJB のセキュリティ、公開鍵セキュリティ、および SSL を含む、Java セキュリティアーキテクチャについて深い知識を備えています。
アプリケーション管理者は、サーバ管理者と共同でセキュリティコンフィグレーション、認証および認可方式を実装および管理したり、定義されたセキュリティレルムでデプロイされたアプリケーションリソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティアーキテクチャの一般的な知識を持っています。アプリケーション管理者は、Java、XML、デプロイメント記述子を理解し、サーバログおよび監査ログでセキュリティイベントを特定できます。

サーバ管理者とアプリケーション管理者は、このマニュアルだけでなく、『WebLogic リソースのセキュリティ』にも目を通してください。

WebLogic Server でのセキュリティの変更点

WebLogic Server には、セキュリティのコンフィグレーションと管理を簡素化しながらも、WebLogic Server デプロイメントを保護する堅牢な機能を提供するセキュリティサービスが用意されています。この節では、セキュリティサービスが以前のリリースの WebLogic Server からどのように変更されたかを説明します。

セキュリティレルムのスコープの変更

WebLogic Server 6.x では、セキュリティレルムで認証および認可サービスを提供していました。6.x では、ファイルレルムか、または Lightweight Data Access Protocol (LDAP)、Windows NT、Unix、RDBMS レルムなどの代替レルムを選択しました。認証をカスタマイズする場合は、独自のセキュリティレルムを記述して WebLogic Server 環境に統合することができました。セキュリティレルムはドメインに適用され、1 つのドメインに複数のセキュリティレルムを設定することはできませんでした。

このリリースの WebLogic Server では、セキュリティレルムはスコーピング (有効範囲の設定) メカニズムとして機能します。各セキュリティレルムは、コンフィグレーション済みのセキュリティプロバイダ、ユーザ、グループ、セキュリティロール、およびセキュリティポリシーで構成されます。単一のドメインに複数のセキュリティレルムをコンフィグレーションできますが、デフォルト (アクティブ) セキュリティレルムに指定できるのはそのうちの 1 つだけです。WebLogic Server には、以下の 2 つのデフォルトセキュリティレルムが用意されています。

myrealm - デフォルトでコンフィグレーションされる WebLogic 裁決、認証、ID アサーション、認可、ロールマッピング、および資格マッピングの各プロバイダを備えています。
CompatibilityRealm - 6.x のセキュリティコンフィグレーションとの下位互換性を備えています。既存の 6.x セキュリティコンフィグレーションには CompatibilityRealm を介してアクセスできます。

セキュリティアプリケーションプログラミングインタフェース (API) を使用して記述されたカスタムセキュリティレルムは、互換性セキュリティでのみサポートされます。このリリースの WebLogic Server では、必要なセキュリティサービスを提供する新しいセキュリティレルムをコンフィグレーションし、そのセキュリティレルムをデフォルトセキュリティレルムとして設定することで、認証および認可機能をカスタマイズできます。

WebLogic Server のデフォルトセキュリティのコンフィグレーションについては、WebLogic Server のデフォルトセキュリティコンフィグレーションを参照してください。

セキュリティレルムをコンフィグレーションしてデフォルトセキュリティレルムに設定する方法については、デフォルトセキュリティコンフィグレーションのカスタマイズを参照してください。

互換性セキュリティの使い方については、互換性セキュリティの使い方を参照してください。

セキュリティプロバイダ

セキュリティプロバイダは、認証や認可など、セキュリティの特定の側面を処理するモジュールコンポーネントです。アプリケーションはデフォルトの WebLogic セキュリティプロバイダを通じてサービスを利用することができますが、WebLogic Security サービスのインフラストラクチャは柔軟性が高いので、セキュリティベンダが WebLogic Server 用の独自のカスタムセキュリティプロバイダを作成することもできます。WebLogic セキュリティプロバイダとカスタムセキュリティプロバイダを適宜組み合わせて独自のセキュリティソリューションを構築することができるので、ある分野では新たな技術の進歩を利用しつつ、それ以外の分野では実証済みの手法を堅持することができるようになります。 WebLogic Server Administration Console を使用すると、統合された単一の管理インタフェースを通じてすべてのセキュリティプロバイダを管理できます。

WebLogic Security サービスは、以下のセキュリティプロバイダをサポートしています。

裁決 - セキュリティレルムに複数の認可プロバイダがコンフィグレーションされる場合、特定のリソースに「アクセスできるか」という質問に対して、それぞれが異なる回答を返す可能性があります。複数の認可プロバイダの回答が一致しない場合にどうするかを決定するのが、裁決プロバイダの主な役割です。裁決プロバイダは、各認可プロバイダの回答に重みを割り当てることによって認可の衝突を解決し、最終決定を返します。
監査 - セキュリティリクエストとそれらのリクエストの結果に関する情報を、否認防止を目的として収集、格納、および配布するプロセスです。言い換えれば、監査はコンピュータのアクティビティの電子的な記録を提供するものです。WebLogic 監査プロバイダは、これらのサービスを提供します。
認証 - ユーザまたはシステムプロセスの身元を証明または確認するプロセスです。認証にはまた、必要に応じて、身元情報を記憶したり、転送したり、またさまざまなシステムコンポーネントの利用に供することも必要になります。WebLogic Security サービスは、以下の認証をサポートしています。
- ユーザ名とパスワードによる認証
- WebLogic Server で直接行われる証明書ベースの認証
- 外部 Web サーバを介してプロキシされる HTTP 証明書ベースの認証
WebLogic 認証プロバイダは、これらのサービスを提供します。
ID アサーション - 境界認証 (トークンを使用する特殊なタイプの認証) を行う認証プロバイダを、ID アサーションプロバイダと呼びます。ID アサーションでは、リクエストの外部に存在するクライアント提供のトークンを使用してクライアントの ID を確立します。したがって、ID アサーションプロバイダの機能は、トークンを検証してユーザ名にマップすることになります。このマッピングがいったん完了すれば、認証プロバイダの LoginModule を使用してユーザ名がプリンシパルに変換されます。WebLogic ID アサーションプロバイダは、これらのサービスを提供します。
認可 - ユーザとリソースとのやり取りを限定して、整合性、機密性、および可用性を確保するプロセス。すなわち、認可は、ユーザの身元などの情報に基づいて WebLogic リソースへのアクセスを制御します。WebLogic 認可プロバイダは、これらのサービスを提供します。
資格マッピング - 資格マップは、WebLogic Server で使用する資格と、レガシーシステムまたはリモートシステムで使用する資格とのマップです。WebLogic Server は、このマップによって、そのシステム内の特定のリソースへの接続方法を知ります。つまり、資格マップを使用することで、WebLogic Server が、認証済みのサブジェクトに代わってリモートシステムにログインできるようになります。資格マッピングプロバイダは、このようにして資格をマッピングします。 WebLogic 資格マッピングプロバイダは、このサービスを提供します。
キーストア - プライベートキーと信頼性のある認証局の証明書を格納する、パスワードで保護されたデータベースの作成と管理のためのメカニズムです。キーストアは、認証や署名を目的としてそれを必要とすることがあるアプリケーションから利用できます。 WebLogic Server のセキュリティアーキテクチャでは、WebLogic キーストアプロバイダを使用してキーストアにアクセスします。
注意: カスタムキーストアプロバイダはこのリリースの WebLogic Server でサポートされていません。
ロールマッピング - 指定されたリソースについて要求側に付与される一連のロールを取得します。ロールマッピングプロバイダから認可プロバイダにこのロール情報が提供されるので、認可プロバイダは、ロールベースのセキュリティを用いるリソース (Web アプリケーションや Enterprise JavaBean (EJB) など) からの「アクセスできるか」という質問に答えることができます。

WebLogic セキュリティプロバイダの機能の詳細については、セキュリティプロバイダのコンフィグレーションを参照してください。

デフォルトセキュリティコンフィグレーションの詳細については、WebLogic Server のデフォルトセキュリティコンフィグレーションを参照してください。

カスタムセキュリティプロバイダの作成については、『WebLogic Security サービスの開発』を参照してください。

ACL からセキュリティポリシーへ

WebLogic Server 6.x では、アクセス制御リスト (ACL) とパーミッションを使用して WebLogic リソースを保護していました。このリリースの WebLogic Server では、ACL とパーミッションに代わってセキュリティポリシーを使用します。セキュリティポリシーは、WebLogic リソースへの「アクセス権は誰が持つか」という問いに答えます。セキュリティポリシーは、WebLogic リソースとユーザ、グループ、またはセキュリティロールの間の関連付けを定義するときに作成します。また、セキュリティポリシーに時間の制約を関連付けることもできます。 WebLogic リソースは、セキュリティポリシーが割り当てられるまでは保護されません。

セキュリティポリシーの作成は、多くのオプションを用いる複数の手順からなるプロセスです。このプロセスの詳細については、『WebLogic リソースのセキュリティ』を参照してください。 WebLogic Server デプロイメントのセキュリティを完全にコンフィグレーションするには、このマニュアルと『WebLogic Security の管理』を合わせて利用してください。

互換性セキュリティでの ACL の使い方については、互換性セキュリティの使い方を参照してください。

WebLogic リソース

WebLogic リソースは、権限のないアクセスから保護することができる WebLogic Server エンティティを表す構造化オブジェクトです。WebLogic Server では、以下のリソースが定義されます。

WebLogic Server Administration Console や weblogic.Admin ツールなどの管理リソース
エンタープライズアプリケーションを表すアプリケーションリソース。このタイプのリソースには、EAR (エンタープライズアプリケーションアーカイブ) ファイルと、EAR に含まれる EJB JAR ファイルのような個々のコンポーネントがある。
Microsoft のフレームワークに従ってプログラムコンポーネントオブジェクトとして設計される Component Object Model (COM) リソース。このタイプのリソースには、BEA の双方向型 COM-Java (jCOM) ブリッジングツールを介してアクセスする COM オブジェクトがある。
コネクタとして設計されるエンタープライズ情報システム (EIS) リソース。Java アプリケーションと既存のエンタープライズ情報システムを統合できる。コネクタはリソースアダプタとも呼ばれる。
EJB JAR ファイル、EJB JAR 内の個々の EJB、および EJB の個々のメソッドを含む Enterprise JavaBean (EJB) リソース
接続プールのグループ、個々の接続プール、およびマルチプールを含む Java DataBase Connectivity (JDBC)
Java Naming and Directory Interface (JNDI) リソース
Java Message Service (JMS) リソース
WebLogic Server インスタンス (サーバ) に関連するサーバリソース。このタイプのリソースには、サーバを起動、停止、ロック、またはロック解除する操作がある。
Web アプリケーションに関連する URL リソース。このタイプのリソースには、WAR (Web アプリケーションアーカイブ) ファイル、または Web アプリケーションの個々のコンポーネント (サーブレットや JSP など) がある。
注意: Web リソースは、このリリースの WebLogic Server では非推奨になっています。代わりに URL リソースを使用してください。
Web ベースの分散アプリケーションのコンポーネント間で共有したり、コンポーネントとして使用したりできるサービスに関連する Web サービスリソース。このタイプのリソースには、Web サービス全体、または Web サービスの個々のコンポーネント (ステートレスセッション EJB、その EJB 内の特定のメソッド、web-services.xml ファイルを含む Web アプリケーションなど) がある。

デプロイメント記述子と WebLogic Server Administration Console

WebLogic Security サービスでは、デプロイメント記述子に定義された情報を利用してセキュリティロールを付与し、Web アプリケーションおよび EJB に対するセキュリティポリシーを定義できます。 WebLogic Server が初めて起動すると、weblogic.xml および weblogic-ejb-jar.xml ファイルに格納されているセキュリティロールおよびセキュリティポリシー情報が、デフォルトセキュリティレルムに定義されている認可プロバイダおよびロールマッピングプロバイダにロードされます。これらの情報の変更は、WebLogic Server Administration Console で行うことができます。

デプロイメント記述子内の情報を利用するには、セキュリティレルム内の少なくとも 1 つの認可プロバイダおよびロールマッピングプロバイダがそれぞれ DeployableAuthorizationProvider、および DeployableRoleProvider セキュリティサービスプロバイダインタフェース (SSPI) を実装している必要があります。この SSPI を使用すると、プロバイダはデプロイメント記述子から情報を (検索ではなく) 格納できます。デフォルトでは、WebLogic 認可プロバイダおよびロールマッピングプロバイダがこの SSPI を実装します。

WebLogic Server Administration Console でデプロイメント記述子内のセキュリティロールおよびセキュリティポリシーを変更し、この情報を WebLogic Server Administration Console で引き続き変更する場合、セキュリティレルムに対して属性を設定すると、WebLogic Server Administration Console で行った変更が WebLogic Server の再起動時にデプロイメント記述子内の古い情報によって上書きされなくなります。

詳細については、『WebLogic リソースのセキュリティ』を参照してください。

WebLogic Server のデフォルトセキュリティコンフィグレーション

WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティコンフィグレーションが用意されています。デフォルトセキュリティコンフィグレーションでは、myrealm がデフォルトセキュリティレルムとして設定され、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、およびロールマッピングの各プロバイダがセキュリティプロバイダとして定義されています。デフォルトセキュリティコンフィグレーションを使用するには、セキュリティレルムのユーザ、グループ、およびセキュリティロールを定義し、ドメイン内の WebLogic リソースを保護するためのセキュリティポリシーを作成する必要があります。

WebLogic セキュリティプロバイダの機能の詳細については、『WebLogic Security の紹介』を参照してください。これらの WebLogic セキュリティプロバイダがセキュリティ要件を必ずしも完全に満たしていない場合には、それらを補うか、あるいは入れ替えることができます。詳細については、『WebLogic Security サービスの開発』を参照してください。

デフォルトセキュリティコンフィグレーションでは自社の要件が満たされない場合、WebLogic セキュリティプロバイダとカスタムセキュリティプロバイダを自由に組み合わせて新しいセキュリティレルムを作成し、そのセキュリティレルムをデフォルトセキュリティレルムとして設定できます。詳細については、デフォルトセキュリティコンフィグレーションのカスタマイズを参照してください。

セキュリティのコンフィグレーション手順

セキュリティ機能は互いに関連しているので、セキュリティをコンフィグレーションする場合にどこから始めるべきか判断しにくいものです。実際、WebLogic Server デプロイメントのセキュリティをコンフィグレーションする場合には、同じ作業を繰り返すこともあります。コンフィグレーションの手順はいくつかありますが、次の手順を実行することをお勧めします。

デフォルトセキュリティコンフィグレーションのカスタマイズに目を通して、デフォルトセキュリティコンフィグレーションを使用するかどうかを決定します。
- デフォルトセキュリティコンフィグレーションを使用する場合は、手順 3 に進みます。
- デフォルトセキュリティコンフィグレーションを使用しない場合は、手順 2 に進みます。
セキュリティプロバイダのコンフィグレーションを変更する (WebLogic 認証プロバイダを使用する代わりに LDAP 認証プロバイダをコンフィグレーションする場合など) か、デフォルトセキュリティレルムにカスタムセキュリティプロバイダをコンフィグレーションします。この手順は省略可能です。デフォルトでは、WebLogic Server はデフォルトセキュリティレルム (myrealm) の WebLogic セキュリティプロバイダをコンフィグレーションします。デフォルトセキュリティコンフィグレーションのカスタマイズが必要となる環境については、デフォルトセキュリティコンフィグレーションをカスタマイズする理由を参照してください。
注意: また、新しいセキュリティレルムを作成し、そのセキュリティレルムでセキュリティプロバイダ (WebLogic またはカスタム) をコンフィグレーションし、そのセキュリティレルムをデフォルトセキュリティレルムとして設定することもできます。デフォルトセキュリティコンフィグレーションのカスタマイズを参照してください。
必要に応じて、組み込み LDAP サーバをコンフィグレーションします。デフォルトでは、組み込み LDAP サーバの属性がコンフィグレーションされます。ただし、これらの属性を変更して、自分の環境内で組み込み LDAP サーバの使用を最適化することができます。詳細については、組み込み LDAP サーバの管理を参照してください。
ユーザアカウントが適切に保護されていることを確認します。 WebLogic Server には、ユーザアカウントを保護するための属性セットが用意されています。デフォルトでは、これらの属性は最高のセキュリティレベルに設定されています。ただし、WebLogic Server のデプロイ時に、ユーザアカウントの制限を緩めなければならない場合があります。プロダクション環境に移行する前に、ユーザアカウントに関する属性が最高の保護レベルに設定されていることを確認します。新しいセキュリティレルムを作成する場合には、ユーザロックアウト属性を設定する必要があります。詳細については、ユーザアカウントの保護を参照してください。
セキュリティポリシーで WebLogic リソースを保護します。セキュリティポリシーの作成は、多くのオプションを用いる複数の手順からなるプロセスです。このプロセスの詳細については、『WebLogic リソースのセキュリティ』を参照してください。 WebLogic Server デプロイメントのセキュリティを完全にコンフィグレーションするには、このマニュアルと『WebLogic Security の管理』を合わせて利用してください。
WebLogic Server に対して SSL を有効化します（この手順は省略可能です）。詳細については、SSL のコンフィグレーションを参照してください。

また、以下のことを行うことができます。

WebLogic Server の資格を EIS の資格 (Oracle データベースのユーザ名とパスワードなど) にマップする。エンタープライズ情報システムでのシングルサインオンを参照してください。
接続フィルタをコンフィグレーションする。 WebLogic ドメインのセキュリティのコンフィグレーションを参照してください。
WebLogic ドメイン間の相互運用性を有効化する。 WebLogic ドメインのセキュリティのコンフィグレーションを参照してください。

互換性セキュリティとは

互換性セキュリティとは、WebLogic Server 6.ｘのセキュリティコンフィグレーションをこのリリースの WebLogic Server で実行するための機能です。互換性セキュリティでは、6.x のセキュリティレルム、ユーザ、グループ、および ACL の管理、ユーザアカウントの保護、レルムアダプタ監査プロバイダとレルムアダプタ認証プロバイダの ID アサーションプロバイダのコンフィグレーションを行うことができます。

互換性セキュリティで使用可能なセキュリティレルムは互換性レルムだけです。互換性レルムのレルムアダプタプロバイダ (監査、裁決、認可、および認証) を使用すると、6.x セキュリティレルムの認証、認可、および監査サービスとの下位互換性を保持できます。 CompatibilityRealm とレルムアダプタプロバイダにアクセスするには、WebLogic Server Administration Console で互換性セキュリティを実行する必要があります。詳細については、互換性セキュリティの使い方を参照してください。

互換性セキュリティで実行できるタスクの管理

互換性セキュリティでは WebLogic Server 6.x でサポートされる認証、認可、およびカスタム監査の実装にしかアクセスできないので、6.x のすべてのセキュリティタスクが実行できるわけではありません。互換性セキュリティでは、以下のことを行います。

レルムアダプタ監査プロバイダをコンフィグレーションします。詳細については、レルムアダプタ監査プロバイダのコンフィグレーションを参照してください。
weblogic.security.acl.CertAuthenticator クラスの実装を使用できるように、レルムアダプタ認証プロバイダで ID アサーションプロバイダをコンフィグレーションします。詳細については、レルムアダプタ認証プロバイダでの ID アサーションプロバイダのコンフィグレーションを参照してください。
注意: レルムアダプタ裁決および認可プロバイダは、6.x の既存の config.xml ファイルの情報を利用して、CompatibilityRealm でデフォルトでコンフィグレーションされています。これらのプロバイダは、CompatibilityRealm でのみ使用できます。レルムアダプタ認証プロバイダも、CompatibilityRealm で自動的にコンフィグレーションされています。ただし、このプロバイダは、6.x セキュリティレルムに格納されているユーザおよびグループへのアクセスを提供するために、他のレルムでもコンフィグレーションできます。詳細については、レルムアダプタ認証プロバイダのコンフィグレーションを参照してください。
system ユーザのパスワードを変更して、WebLogic Server のデプロイメントを保護します。
CompatibilityRealm のセキュリティレルムを管理します。
CompatibilityRealm のセキュリティレルムの追加ユーザを定義します。セキュリティレルムにグループを実装して、ユーザをさらにまとめます。
WebLogic Server のデプロイメントのリソースの ACL およびパーミッションを管理します。
CompatibilityRealm に追加する WebLogic リソースに関するセキュリティロールおよびセキュリティポリシーを作成します。詳細については、『WebLogic リソースのセキュリティ』を参照してください。

SSL の使用、接続フィルタのコンフィグレーション、およびドメイン間の相互運用性の有効化も可能ですが、これらのタスクはこのリリースの WebLogic Server のセキュリティ機能を使用して実行します。詳細については、次を参照してください。