BEA ホーム | 製品 | dev2dev | support | askBEA |
![]() |
![]() |
|
![]() |
e-docs > WebLogic Server > WebLogic Security の管理 > セキュリティ管理の概要 |
WebLogic Security の管理
|
以下の節では、6.x のリリースの WebLogic Server とこのリリースの WebLogic Server の違いを含む、WebLogic Server の新しいセキュリティ システムの概要について説明します。
注意: このマニュアルでは、6.x という用語は WebLogic Server 6.0 および 6.1、およびそれらに関連するサービス パックを表しています。
『WebLogic Security の管理』は、サーバ管理者とアプリケーション管理者を対象にしています。
サーバ管理者とアプリケーション管理者は、このマニュアルだけでなく、『WebLogic リソースのセキュリティ』にも目を通してください。
WebLogic Server には、セキュリティのコンフィグレーションと管理を簡素化しながらも、WebLogic Server デプロイメントを保護する堅牢な機能を提供するセキュリティ サービスが用意されています。 この節では、セキュリティ サービスが以前のリリースの WebLogic Server からどのように変更されたかを説明します。
WebLogic Server 6.x では、セキュリティ レルムで認証および認可サービスを提供していました。6.x では、ファイル レルムか、または Lightweight Data Access Protocol (LDAP)、Windows NT、Unix、RDBMS レルムなどの代替レルムを選択しました。認証をカスタマイズする場合は、独自のセキュリティ レルムを記述して WebLogic Server 環境に統合することができました。セキュリティ レルムはドメインに適用され、1 つのドメインに複数のセキュリティ レルムを設定することはできませんでした。
このリリースの WebLogic Server では、セキュリティ レルムはスコーピング (有効範囲の設定) メカニズムとして機能します。 各セキュリティ レルムは、コンフィグレーション済みのセキュリティ プロバイダ、ユーザ、グループ、セキュリティ ロール、およびセキュリティ ポリシーで構成されます。単一のドメインに複数のセキュリティ レルムをコンフィグレーションできますが、デフォルト (アクティブ) セキュリティ レルムに指定できるのはそのうちの 1 つだけです。WebLogic Server には、以下の 2 つのデフォルト セキュリティ レルムが用意されています。
セキュリティ アプリケーション プログラミング インタフェース (API) を使用して記述されたカスタム セキュリティ レルムは、互換性セキュリティでのみサポートされます。 このリリースの WebLogic Server では、必要なセキュリティ サービスを提供する新しいセキュリティ レルムをコンフィグレーションし、そのセキュリティ レルムをデフォルト セキュリティ レルムとして設定することで、認証および認可機能をカスタマイズできます。
WebLogic Server のデフォルト セキュリティのコンフィグレーションについては、WebLogic Server のデフォルト セキュリティ コンフィグレーションを参照してください。
セキュリティ レルムをコンフィグレーションしてデフォルト セキュリティ レルムに設定する方法については、デフォルト セキュリティ コンフィグレーションのカスタマイズを参照してください。
互換性セキュリティの使い方については、互換性セキュリティの使い方を参照してください。
セキュリティ プロバイダは、認証や認可など、セキュリティの特定の側面を処理するモジュール コンポーネントです。 アプリケーションはデフォルトの WebLogic セキュリティ プロバイダを通じてサービスを利用することができますが、WebLogic Security サービスのインフラストラクチャは柔軟性が高いので、セキュリティ ベンダが WebLogic Server 用の独自のカスタム セキュリティ プロバイダを作成することもできます。WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダを適宜組み合わせて独自のセキュリティ ソリューションを構築することができるので、ある分野では新たな技術の進歩を利用しつつ、それ以外の分野では実証済みの手法を堅持することができるようになります。 WebLogic Server Administration Console を使用すると、統合された単一の管理インタフェースを通じてすべてのセキュリティ プロバイダを管理できます。
WebLogic Security サービスは、以下のセキュリティ プロバイダをサポートしています。
WebLogic セキュリティ プロバイダの機能の詳細については、セキュリティ プロバイダのコンフィグレーションを参照してください。
デフォルト セキュリティ コンフィグレーションの詳細については、WebLogic Server のデフォルト セキュリティ コンフィグレーションを参照してください。
カスタム セキュリティ プロバイダの作成については、『WebLogic Security サービスの開発』を参照してください。
WebLogic Server 6.x では、アクセス制御リスト (ACL) とパーミッションを使用して WebLogic リソースを保護していました。 このリリースの WebLogic Server では、ACL とパーミッションに代わってセキュリティ ポリシーを使用します。セキュリティ ポリシーは、WebLogic リソースへの「アクセス権は誰が持つか」という問いに答えます。 セキュリティ ポリシーは、WebLogic リソースとユーザ、グループ、またはセキュリティ ロールの間の関連付けを定義するときに作成します。また、セキュリティ ポリシーに時間の制約を関連付けることもできます。 WebLogic リソースは、セキュリティ ポリシーが割り当てられるまでは保護されません。
セキュリティ ポリシーの作成は、多くのオプションを用いる複数の手順からなるプロセスです。 このプロセスの詳細については、『WebLogic リソースのセキュリティ』を参照してください。 WebLogic Server デプロイメントのセキュリティを完全にコンフィグレーションするには、このマニュアルと『WebLogic Security の管理』を合わせて利用してください。
互換性セキュリティでの ACL の使い方については、互換性セキュリティの使い方を参照してください。
WebLogic リソースは、権限のないアクセスから保護することができる WebLogic Server エンティティを表す構造化オブジェクトです。WebLogic Server では、以下のリソースが定義されます。
デプロイメント記述子と WebLogic Server Administration Console
WebLogic Security サービスでは、デプロイメント記述子に定義された情報を利用してセキュリティ ロールを付与し、Web アプリケーションおよび EJB に対するセキュリティ ポリシーを定義できます。 WebLogic Server が初めて起動すると、weblogic.xml および weblogic-ejb-jar.xml ファイルに格納されているセキュリティ ロールおよびセキュリティ ポリシー情報が、デフォルト セキュリティ レルムに定義されている認可プロバイダおよびロール マッピング プロバイダにロードされます。 これらの情報の変更は、WebLogic Server Administration Console で行うことができます。
デプロイメント記述子内の情報を利用するには、セキュリティ レルム内の少なくとも 1 つの認可プロバイダおよびロール マッピング プロバイダがそれぞれ DeployableAuthorizationProvider、および DeployableRoleProvider セキュリティ サービス プロバイダ インタフェース (SSPI) を実装している必要があります。この SSPI を使用すると、プロバイダはデプロイメント記述子から情報を (検索ではなく) 格納できます。 デフォルトでは、WebLogic 認可プロバイダおよびロール マッピング プロバイダがこの SSPI を実装します。
WebLogic Server Administration Console でデプロイメント記述子内のセキュリティ ロールおよびセキュリティ ポリシーを変更し、この情報を WebLogic Server Administration Console で引き続き変更する場合、セキュリティ レルムに対して属性を設定すると、WebLogic Server Administration Console で行った変更が WebLogic Server の再起動時にデプロイメント記述子内の古い情報によって上書きされなくなります。
詳細については、『WebLogic リソースのセキュリティ』を参照してください。
WebLogic Server のデフォルト セキュリティ コンフィグレーション
WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティ コンフィグレーションが用意されています。 デフォルト セキュリティ コンフィグレーションでは、myrealm がデフォルト セキュリティ レルムとして設定され、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、およびロール マッピングの各プロバイダがセキュリティ プロバイダとして定義されています。 デフォルト セキュリティ コンフィグレーションを使用するには、セキュリティ レルムのユーザ、グループ、およびセキュリティ ロールを定義し、ドメイン内の WebLogic リソースを保護するためのセキュリティ ポリシーを作成する必要があります。
WebLogic セキュリティ プロバイダの機能の詳細については、『WebLogic Security の紹介』を参照してください。これらの WebLogic セキュリティ プロバイダがセキュリティ要件を必ずしも完全に満たしていない場合には、それらを補うか、あるいは入れ替えることができます。 詳細については、『WebLogic Security サービスの開発』を参照してください。
デフォルト セキュリティ コンフィグレーションでは自社の要件が満たされない場合、WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダを自由に組み合わせて新しいセキュリティ レルムを作成し、そのセキュリティ レルムをデフォルト セキュリティ レルムとして設定できます。 詳細については、デフォルト セキュリティ コンフィグレーションのカスタマイズを参照してください。
セキュリティ機能は互いに関連しているので、セキュリティをコンフィグレーションする場合にどこから始めるべきか判断しにくいものです。実際、WebLogic Server デプロイメントのセキュリティをコンフィグレーションする場合には、同じ作業を繰り返すこともあります。コンフィグレーションの手順はいくつかありますが、次の手順を実行することをお勧めします。
注意: また、新しいセキュリティ レルムを作成し、そのセキュリティ レルムでセキュリティ プロバイダ (WebLogic またはカスタム) をコンフィグレーションし、そのセキュリティ レルムをデフォルト セキュリティ レルムとして設定することもできます。 デフォルト セキュリティ コンフィグレーションのカスタマイズを参照してください。
互換性セキュリティとは、WebLogic Server 6.x のセキュリティ コンフィグレーションをこのリリースの WebLogic Server で実行するための機能です。 互換性セキュリティでは、6.x のセキュリティ レルム、ユーザ、グループ、および ACL の管理、ユーザ アカウントの保護、レルム アダプタ監査プロバイダとレルム アダプタ認証プロバイダの ID アサーション プロバイダのコンフィグレーションを行うことができます。
互換性セキュリティで使用可能なセキュリティ レルムは互換性レルムだけです。 互換性レルムのレルム アダプタ プロバイダ (監査、裁決、認可、および認証) を使用すると、6.x セキュリティ レルムの認証、認可、および監査サービスとの下位互換性を保持できます。 CompatibilityRealm とレルム アダプタ プロバイダにアクセスするには、WebLogic Server Administration Console で互換性セキュリティを実行する必要があります。 詳細については、互換性セキュリティの使い方を参照してください。
互換性セキュリティでは WebLogic Server 6.x でサポートされる認証、認可、およびカスタム監査の実装にしかアクセスできないので、6.x のすべてのセキュリティ タスクが実行できるわけではありません。互換性セキュリティでは、以下のことを行います。
注意: レルム アダプタ裁決および認可プロバイダは、6.x の既存の config.xml ファイルの情報を利用して、CompatibilityRealm でデフォルトでコンフィグレーションされています。 これらのプロバイダは、CompatibilityRealm でのみ使用できます。 レルム アダプタ認証プロバイダも、CompatibilityRealm で自動的にコンフィグレーションされています。 ただし、このプロバイダは、6.x セキュリティ レルムに格納されているユーザおよびグループへのアクセスを提供するために、他のレルムでもコンフィグレーションできます。 詳細については、レルム アダプタ認証プロバイダのコンフィグレーションを参照してください。
SSL の使用、接続フィルタのコンフィグレーション、およびドメイン間の相互運用性の有効化も可能ですが、これらのタスクはこのリリースの WebLogic Server のセキュリティ機能を使用して実行します。 詳細については、次を参照してください。
![]() |
![]() |
![]() |
![]() |
||
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |
![]() |