セキュリティプロバイダのコンフィグレーション

ドキュメントのダウンロード

サイトマップ

Glossary

検索

e-docs > WebLogic Server > WebLogic Security の管理 > セキュリティプロバイダのコンフィグレーション

WebLogic Security の管理

セキュリティプロバイダのコンフィグレーション

以下の節では、WebLogic Server でサポートされているセキュリティプロバイダとカスタムセキュリティプロバイダをコンフィグレーションする方法について説明します。

注意: レルムアダプタ監査、裁決、および認可の各プロバイダは、互換性セキュリティを使用した場合のみ利用できます。これらのプロバイダの詳細については、互換性セキュリティの使い方を参照してください。

セキュリティプロバイダのコンフィグレーションが必要になる場合

セキュリティプロバイダのコンフィグレーション作業は、デフォルトでほとんど完了します。ただし、以下の場合には、セキュリティプロバイダの属性をコンフィグレーションする必要があります。

WebLogic ID アサーションプロバイダを使用する前に、アクティブトークンタイプを定義する。詳細については、WebLogic ID アサーションプロバイダのコンフィグレーションを参照してください。
トークンをセキュリティレルム内のユーザにマップするためのユーザ名マッパーを使用するために、WebLogic ID アサーションプロバイダをコンフィグレーションする。詳細については、WebLogic ID アサーションプロバイダでのユーザ名マッパーの使用を参照してください。
デフォルト (アクティブ) セキュリティレルムで監査を行うために、WebLogic 監査プロバイダまたはカスタム監査プロバイダをコンフィグレーションする。詳細については、WebLogic 監査プロバイダのコンフィグレーションまたはカスタムセキュリティプロバイダのコンフィグレーションを参照してください。
プライベートキーおよび信頼性のある認証局をフラットファイルではなくキーストアで保護するために、WebLogic キーストアプロバイダをコンフィグレーションする。詳細については、WebLogic キーストアプロバイダのコンフィグレーションを参照してください。
注意: カスタムキーストアプロバイダはこのリリースの WebLogic Server でサポートされていません。
組み込み LDAP サーバ以外の LDAP サーバを使用するために、LDAP 認証プロバイダのいずれかをコンフィグレーションする。LDAP 認証プロバイダは、WebLogic 認証プロバイダの代わりとして使用することも、WebLogic 認証プロバイダと併用することもできます。詳細については、LDAP 認証プロバイダのコンフィグレーションを参照してください。
6.x セキュリティレルム (6.x Windows NT、UNIX、RDBMS セキュリティレルムや 6.x カスタムセキュリティレルムなど) 内の既存のユーザおよびグループを使用するために、レルムアダプタ認証プロバイダをコンフィグレーションする。レルムアダプタ認証プロバイダは、WebLogic 認証プロバイダの代わりとして使用することも、WebLogic 認証プロバイダと併用することもできます。詳細については、レルムアダプタ認証プロバイダのコンフィグレーションを参照してください。
注意: このリリースの WebLogic Server には、6.x Windows NT、UNIX、RDBMS セキュリティレルムに相当するものはありません。そのため、これらのセキュリティレルム内のユーザおよびグループにアクセスする場合は、レルムアダプタ認証プロバイダを使用することをお勧めします。
新しいセキュリティレルムを作成する場合に、そのレルムのセキュリティプロバイダをコンフィグレーションする。デフォルトレルム (myrealm) を使用する場合、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、およびロールマッピングの各プロバイダはすでにコンフィグレーションされています。詳細については、新しいセキュリティレルムの作成を参照してください。
カスタムセキュリティプロバイダをセキュリティレルムに追加したり、WebLogic セキュリティプロバイダをカスタムセキュリティプロバイダと置き換えたりする場合に、カスタムセキュリティプロバイダの属性をコンフィグレーションする。カスタムセキュリティプロバイダを作成する場合、WebLogic Server Administration Console を使用してコンフィグレーション可能な属性を実装することができます。ただし、これらの属性は実装に固有なので、このマニュアルでは取り上げていません。詳細については、『WebLogic Security サービスの開発』の「カスタムセキュリティプロバイダ用のコンソール拡張の記述」を参照してください。

ここからは、各セキュリティプロバイダに設定可能な属性について説明します。

WebLogic 裁決プロバイダのコンフィグレーション

セキュリティレルムに複数の認可プロバイダがコンフィグレーションされる場合、特定のリソースに「アクセスできるか」という質問に対して、それぞれが異なる回答を返す可能性があります。この回答は、PERMIT、DENY、ABSTAIN のいずれかです。複数の認可プロバイダの回答が一致しない場合にどうするかを決定するのが、裁決プロバイダの主な役割です。裁決プロバイダは、各認可プロバイダの回答に重みを割り当てることによって認可の衝突を解決し、最終決定を返します。

各セキュリティレルムには、裁決プロバイダがコンフィグレーションされている必要があります。セキュリティレルムでは、WebLogic 裁決プロバイダまたはカスタム裁決プロバイダのいずれかを使用できます。この節では、WebLogic 裁決プロバイダをコンフィグレーションする方法について説明します。カスタムセキュリティプロバイダ (カスタム裁決プロバイダを含む) のコンフィグレーションについては、カスタムセキュリティプロバイダのコンフィグレーションを参照してください。

WebLogic 裁決プロバイダをコンフィグレーションするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ] ノードを展開します。
[裁決] をクリックします。

[裁決] テーブルに、コンフィグレーションするレルムのデフォルト裁決プロバイダの名前が表示されます。
[新しい Default Adjudicator のコンフィグレーション] リンクをクリックします。

既存のセキュリティレルムで作業する場合は、[新しい Default Adjudicator と置換...] リンクをクリックします。
[一般] タブで、[完全一致の許可が必要] 属性を設定します (省略可能)。

[完全一致の許可が必要] 属性によって、WebLogic 裁決プロバイダが認可プロバイダからの PERMIT および ABSTAIN 票をどのように処理するかが決まります。
- この属性を有効にした場合、すべての認可プロバイダが PERMIT 票を投じなければ、裁決プロバイダは true を投じません。デフォルトでは、この属性は有効化されています。
- この属性を無効にした場合、ABSTAIN 票は PERMIT 票としてカウントされます。[完全一致の許可が必要] 属性を無効にするには、対応するチェックボックスをクリックします。
[適用] をクリックして変更を保存します。
WebLogic Server を再起動します。

WebLogic 監査プロバイダのコンフィグレーション

監査とは、リクエストの操作とそれらのリクエストの結果に関する情報を、否認防止を目的として収集、格納、および配布するプロセスのことです。言い換えれば、監査プロバイダはコンピュータのアクティビティの電子的な記録を生成します。監査プロバイダのコンフィグレーションは任意です。デフォルトセキュリティレルム (myrealm) には監査プロバイダはコンフィグレーションされていません。

セキュリティレルムでは、WebLogic 監査プロバイダまたはカスタム監査プロバイダのいずれかを使用できます。この節では、WebLogic 監査プロバイダをコンフィグレーションする方法について説明します。カスタムセキュリティプロバイダ (カスタム監査プロバイダを含む) のコンフィグレーションについては、カスタムセキュリティプロバイダのコンフィグレーションを参照してください。

警告: 監査プロバイダを使用すると、数個のイベントのログが記録される場合でも WebLogic Server のパフォーマンスに影響が及びます。

WebLogic 監査プロバイダをコンフィグレーションするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ] ノードを展開します。
[監査] をクリックします。

[監査] テーブルに、コンフィグレーションするレルムのデフォルト監査プロバイダの名前が表示されます。
[新しい Default Auditor のコンフィグレーション] リンクをクリックします。

[一般] タブが表示されます。
WebLogic Server デプロイメントに適した重大度を選択します。

監査プロバイダは、重大度属性で指定されたイベントレベルに基づいて特定のセキュリティイベントを監査します。監査は、以下のレベルのセキュリティイベントが発生したときに実行されます。
- INFORMATION
- WARNING
- ERROR
- SUCCESS
- FAILURE
[作成] をクリックして変更を保存します。
WebLogic Server を再起動します。

WebLogic 監査プロバイダによって生成される監査イベントは、WL_HOME¥yourdomain¥yourserver¥DefaultAuditRecorder.log に保存されます。監査プロバイダはセキュリティレルムごとにコンフィグレーションされますが、各サーバはサーバディレクトリに存在する独自のログファイルに監査データを書き込みます。WebLogic 監査プロバイダは、以下のイベントのログを記録します。

表3-1 WebLogic 監査プロバイダのイベント

監査イベント	意味
AUTHENTICATE	単純認証 (ユーザ名とパスワード) が発生した。
ASSERTIDENTITY	境界認証 (トークンベース) が発生した。
USERLOCKED	無効なログイン試行によってユーザアカウントがロックされた。
USERUNLOCKED	ユーザアカウントのロックがクリアされた。
USERLOCKOUTEXPIRED	ユーザアカウントのロックの期限が切れた。

認証プロバイダの選択

認証とは、ユーザまたはシステムプロセスの身元を証明または確認するプロセスのことです。認証にはまた、必要に応じて、身元情報を記憶したり、転送したり、またさまざまなシステムコンポーネントの利用に供することも必要になります。

WebLogic Server のセキュリティアーキテクチャでサポートされているのは、証明書に基づく認証 (WebLogic Server を直接用いる)、HTTP 証明書に基づく認証 (外部の Web サーバを介して行う)、境界に基づく認証 (Web サーバ、ファイアウォール、VPN)、および複数のセキュリティトークンタイプ/プロトコルに基づく認証です。

認証は、認証プロバイダによって実行されます。WebLogic Server には、以下のタイプの認証プロバイダが用意されています。

WebLogic 認証プロバイダのユーザおよびグループメンバシップ情報は、組み込み LDAP サーバに格納されます。
LDAP 認証プロバイダ。このプロバイダでは、外部 LDAP ストアにアクセスできます。WebLogic Server には、Open LDAP、Netscape iPlanet、Microsoft Active Directory、および Novell NDS ストアにアクセスできる LDAP 認証プロバイダが用意されています。LDAP 認証プロバイダは、他の LDAP ストアにアクセスする場合にも使用できます。ただし、事前に定義された LDAP プロバイダを選択し、カスタマイズする必要があります。
レルムアダプタ認証プロバイダ。このプロバイダでは、6.x セキュリティレルムに格納されているユーザおよびグループ情報にアクセスできます。
WebLogic ID アサーションプロバイダ。このプロバイダでは、X.509 および IIOP-CSIv2 トークンが検証され、ユーザ名マッパーを使用してトークンが WebLogic Server セキュリティレルム内のユーザ名にマップされます。

また、以下のプロバイダを使用することもできます。

カスタム認証プロバイダ。このプロバイダは、さまざまなタイプの認証技術を備えています。
カスタム ID アサーションプロバイダ。このプロバイダは、さまざまなタイプのトークンをサポートしています。

注意: WebLogic Server Administration Console は、WebLogic 認証プロバイダをデフォルト認証プロバイダとして、WebLogic ID アサーションプロバイダをデフォルト ID アサーションプロバイダとしてそれぞれ参照します。

各セキュリティレルムには、少なくとも 1 つの認証プロバイダがコンフィグレーションされている必要があります。WebLogic Security フレームワークは、さまざまな要素から成る認証向けに、複数の認証プロバイダ (したがって、複数の LoginModule) をサポートするように設計されています。このため、セキュリティレルムでは複数のタイプの認証プロバイダのほかに複数の認証プロバイダを使用できます。たとえば、網膜スキャンに基づく認証とユーザ名/パスワードに基づく認証の両方を使用してシステムにアクセスする場合、2 つの認証プロバイダをコンフィグレーションします。

複数の認証プロバイダをコンフィグレーションする方法は、認証プロセスの全体的な結果に影響します。認証プロバイダは、コンフィグレーションされた順序で呼び出されます。したがって、認証プロバイダのコンフィグレーションには注意が必要です。認証プロバイダ間のログイン依存関係を設定し、プロバイダ間のシングルサインオンを可能にするには、JAAS 制御フラグ属性を使用します。詳細については、JAAS 制御フラグ属性の設定を参照してください。

認証プロバイダのコンフィグレーション主な手順

認証プロバイダをコンフィグレーションするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ｜認証プロバイダ] ノードを展開します。

[認証プロバイダ] テーブルに、デフォルトの認証プロバイダと ID アサーションプロバイダの名前が表示されます。
認証プロバイダまたは ID アサーションプロバイダ、あるいはその両方を選択します。
- [新しい iPlanet Authenticator のコンフィグレーション]
- [新しい Realm Adapter Authenticator のコンフィグレーション]
- [新しい Active Directory Authenticator のコンフィグレーション]
- [新しい Default Authenticator のコンフィグレーション]
- [新しい Default Identity Asserter のコンフィグレーション]
- [新しい OpenLDAP Authenticator のコンフィグレーション]
- [新しい Novell Authenticator のコンフィグレーション]
該当する節に移動して、認証プロバイダまたは ID アサーションプロバイダ、あるいはその両方をコンフィグレーションします。
これらの手順を繰り返して、追加の認証プロバイダまたは ID アサーションプロバイダ、あるいはその両方をコンフィグレーションします。
複数の認証プロバイダをコンフィグレーションする場合は、JAAS 制御フラグを設定します。詳細については、JAAS 制御フラグ属性の設定を参照してください。
認証プロバイダおよび ID アサーションプロバイダのコンフィグレーションが済んだら、WebLogic Server を再起動します。

JAAS 制御フラグ属性の設定

複数の認証プロバイダをコンフィグレーションする場合は、[認証プロバイダ｜一般] タブの JAAS 制御フラグ属性を使用して、ログインシーケンスにおける認証プロバイダの使用方法を制御します。

JAAS 制御フラグの値の定義は次のとおりです。

REQUIRED －認証プロバイダは必ず呼び出され、ユーザは認証テストに合格しなければなりません。
SUFFICIENT －ユーザが認証プロバイダの認証テストに合格した場合、そのユーザは認証を受けたことになるので、JAAS 制御フラグが REQUIRED に設定された認証プロバイダ以外の認証プロバイダは実行されません。
REQUISITE －ユーザが認証プロバイダの認証テストに合格した場合、JAAS 制御フラグが REQUIRED に設定された認証プロバイダ以外の認証プロバイダが実行されますが、失敗する可能性があります。
OPTIONAL －ユーザはこれらの認証プロバイダの認証テストをパスすることができます。ただし、セキュリティレルム内のすべての認証プロバイダが JAAS 制御フラグを OPTIONAL に設定されている場合、ユーザはいずれかのプロバイダの認証テストに合格しなければなりません。

認証プロバイダが既存のセキュリティレルムに追加されている場合、[制御フラグ] 属性は OPTIONAL にデフォルト設定されます。認証プロバイダが認証シーケンスで適切に動作するように、必要に応じて [制御フラグ] の設定を変更してください。

注意: WebLogic Server Administration Console は実際にはセキュリティプロバイダ作成時に JAAS 制御フラグを OPTIONAL に設定します。セキュリティプロバイダの MBean は実際にはデフォルトで REQUIRED に設定されます。

LDAP 認証プロバイダのコンフィグレーション

WebLogic Server は、特定の LDAP サーバをサポートおよび証明しません。 LDAP v2 または v3 準拠のすべての LDAP サーバは WebLogic Server と正常に連係します。以下の LDAP ディレクトリサーバについてはテスト済みです。

Netscape iPlanet バージョン 4.1.3
Windows 2000 に付属の Active Directory
Open LDAP バージョン 2.0.7
Novell NDS バージョン 8.5.1

詳細については、次を参照してください。

LDAP 認証プロバイダを使用するための要件

LDAP 認証プロバイダがセキュリティレルムにコンフィグレーションされている唯一の認証プロバイダの場合、Admin ロールを持たなければ WebLogic Server を起動し、LDAP ディレクトリ内のユーザまたはグループを使用できません。LDAP ディレクトリで、次のいずれかを行います。

WebLogic Server では、デフォルトによって Admin ロールに Administrators グループが含まれています。LDAP ディレクトリに Administrators グループを作成します。WebLogic Server を起動する LDAP ユーザがこのグループに含まれていることを確認します。

Active Directory LDAP ディレクトリには、Administrators というデフォルトグループが存在します。WebLogic Server を起動するユーザを Administrators グループに追加し、[グループベース DN] 属性を定義して Administrators グループが見つかるようにします。
LDAP ディレクトリに Administrators グループを作成しない場合 (LDAP ディレクトリが別の目的で Administrators グループを使用する場合など)、LDAP ディレクトリに新しいグループを作成 (または既存のグループを使用) して、WebLogic Server を起動するユーザをそのグループに追加します。次に、WebLogic Server Administration Console で、そのグループに Admin ロールを割り当てます。

LDAP 認証プロバイダのコンフィグレーション

LDAP 認証プロバイダをコンフィグレーションするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ｜認証プロバイダ] ノードを展開します。

[認証プロバイダ] テーブルに、デフォルトの認証プロバイダと ID アサーションプロバイダの名前が表示されます。
LDAP 認証プロバイダを選択します。
- [新しい iPlanet Authenticator のコンフィグレーション]
- [新しい Active Directory Authenticator のコンフィグレーション]
- [新しい OpenLDAP Authenticator のコンフィグレーション]
- [新しい Novell Authenticator のコンフィグレーション]
複数の認証プロバイダを使用する場合、[一般] タブの [制御フラグ] 属性の値を定義します。[制御フラグ] 属性で、LDAP 認証プロバイダをどのように他の LDAP 認証プロバイダと共に使用するかを指定します。詳細については、LDAP 認証プロバイダのコンフィグレーションを参照してください。
[適用] をクリックして変更を保存します。
LDAP サーバとキャッシング情報の設定に進みます。

LDAP サーバとキャッシング情報の設定

LDAP サーバをコンフィグレーションするには、次の手順に従います。

使用する LDAP 認証プロバイダの [コンフィグレーション] タブの下にある LDAP タブをクリックします。

たとえば、iPlanet の [コンフィグレーション] タブの [iPlanet LDAP] タブをクリックします。

LDAP タブの属性値を定義して、WebLogic Server と LDAP サーバの通信を有効にします。

次の表では、LDAP タブで設定する属性について説明します。 表3-2 LDAP タブの属性 属性 説明 [ホスト] LDAP サーバが稼働するコンピュータのホスト名。 [ポート] LDAP サーバがリスンするポートの番号。SSL プロトコルを使用して WebLogic Server を LDAP サーバに接続する場合は、LDAP サーバの SSL ポートを指定する。 [SSL を有効化] LDAP サーバと WebLogic Server との通信を保護するために SSL プロトコルを使用できるようにするためのオプション。LDAP サーバが SSL プロトコルを使用するようにコンフィグレーションされていない場合は、この属性を無効化する。 [プリンシパル] WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザの識別名 (Distinguished Name: DN)。一般に、このユーザは LDAP ディレクトリサーバのシステム管理者である。パスワードを変更する場合、この属性をシステム管理者に設定する必要がある。 [資格] [プリンシパル] 属性で定義された LDAP ユーザを認証するパスワード。 [キャッシュを有効化] Open LDAP サーバでのデータキャッシュの使用を有効にする。 [キャッシュサイズ] キャッシュのルックアップの最大サイズ。デフォルトは 32 KB。 [キャッシュ TTL] LDAP ルックアップの結果を保持する秒数。

変更を保存するには、[適用] をクリックします。

属性	説明
[ホスト]	LDAP サーバが稼働するコンピュータのホスト名。
[ポート]	LDAP サーバがリスンするポートの番号。SSL プロトコルを使用して WebLogic Server を LDAP サーバに接続する場合は、LDAP サーバの SSL ポートを指定する。
[SSL を有効化]	LDAP サーバと WebLogic Server との通信を保護するために SSL プロトコルを使用できるようにするためのオプション。LDAP サーバが SSL プロトコルを使用するようにコンフィグレーションされていない場合は、この属性を無効化する。
[プリンシパル]	WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザの識別名 (Distinguished Name: DN)。一般に、このユーザは LDAP ディレクトリサーバのシステム管理者である。パスワードを変更する場合、この属性をシステム管理者に設定する必要がある。
[資格]	[プリンシパル] 属性で定義された LDAP ユーザを認証するパスワード。
[キャッシュを有効化]	Open LDAP サーバでのデータキャッシュの使用を有効にする。
[キャッシュサイズ]	キャッシュのルックアップの最大サイズ。デフォルトは 32 KB。
[キャッシュ TTL]	LDAP ルックアップの結果を保持する秒数。

[詳細] タブをクリックして、LDAP サーバの動作を制御するその他の属性をコンフィグレーションします。

次の表では、[詳細] タブで設定する属性について説明します。 表3-3 [詳細] タブの属性 属性 説明 [グループメンバシップ検索] グループ検索の対象範囲が制限されるのかどうかを指定する。この属性では、ネストされたグループでどのくらいの深さまで検索するのかを指定する。ネストされたグループ階層の最初のレベルのみを使用するコンフィグレーションの場合は、この属性で検索をグループの最初のレベルに制限するとパフォーマンスを向上させることができる。 検索の制限を指定した場合は、[最大グループメンバシップ検索レベル] 属性を指定する必要がある 検索を制限しない場合は、[最大グループメンバシップ検索レベル] 属性は無視される [最大グループメンバシップ検索レベル] [グループメンバシップ検索] 属性が指定された場合に、グループメンバーシップ検索の深さを指定する。指定できる値は次のとおり。 0-直接のメンバーグループのみ検索される。つまり、グループ A でメンバーシップを検索するときに、グループ A の直接のメンバーのみが検索される。グループ B がグループ A のメンバーである場合、そのメンバーは検索の対象にならない。 任意の正の数値-検索されるレベル数を示す。たとえば、この属性を 1 に設定すると、グループ A のメンバーシップの検索ではグループ A の直接のメンバーが返される。グループ B がグループ A のメンバーである場合は、グループ B のメンバーも検索の対象になる。ただし、グループ C がグループ B のメンバーである場合、グループ C のメンバーは検索の対象にならない。 [照会先に従う] LDAP 認証プロバイダ内のユーザまたはグループの検索で、他の LDAP サーバまたは LDAP ディレクトリ内のブランチへの照会に従うことを指定する。デフォルトで、この属性は有効。 [照会先に匿名でバインドする] デフォルトで、LDAP 認証プロバイダは、検索中に照会に従うときに同じ DN およびパスワードを使用して LDAP サーバに接続する。匿名ユーザとしてアクセスする場合は、この属性を有効にする。詳細については、LDAP システム管理者に問い合わせる。 [結果までのタイムリミット] LDAP サーバがタイムアウトまで結果を待機するミリ秒数。この属性を 0 に設定した場合、タイムリミットは無制限になる。デフォルトでは 0。 [接続タイムアウト] LDAP サーバへの接続の確立まで待機する最大秒数。この属性を 0 に設定した場合、タイムリミットは無制限になる。デフォルトでは 0。 [並列接続遅延] 複数の LDAP サーバに同時に接続を試行する場合の遅延秒数。この属性を 0 に設定した場合、接続は連続して試行される。接続はリスト内の最初のサーバに対して試行される。ホストへの接続が失敗した場合にのみ、リスト内の次のエントリに対して接続が試行される。この属性を設定しない状態で、LDAP サーバが利用できない場合、アプリケーションが長時間ブロックされることがある。この属性が 0 より大きい場合、指定された時間が経過してから、別の接続が開始される。

LDAP ディレクトリでのユーザの格納に進みます。

属性	説明
[グループメンバシップ検索]	グループ検索の対象範囲が制限されるのかどうかを指定する。この属性では、ネストされたグループでどのくらいの深さまで検索するのかを指定する。ネストされたグループ階層の最初のレベルのみを使用するコンフィグレーションの場合は、この属性で検索をグループの最初のレベルに制限するとパフォーマンスを向上させることができる。検索の制限を指定した場合は、[最大グループメンバシップ検索レベル] 属性を指定する必要がある検索を制限しない場合は、[最大グループメンバシップ検索レベル] 属性は無視される
[最大グループメンバシップ検索レベル]	[グループメンバシップ検索] 属性が指定された場合に、グループメンバーシップ検索の深さを指定する。指定できる値は次のとおり。 0-直接のメンバーグループのみ検索される。つまり、グループ A でメンバーシップを検索するときに、グループ A の直接のメンバーのみが検索される。グループ B がグループ A のメンバーである場合、そのメンバーは検索の対象にならない。任意の正の数値-検索されるレベル数を示す。たとえば、この属性を 1 に設定すると、グループ A のメンバーシップの検索ではグループ A の直接のメンバーが返される。グループ B がグループ A のメンバーである場合は、グループ B のメンバーも検索の対象になる。ただし、グループ C がグループ B のメンバーである場合、グループ C のメンバーは検索の対象にならない。
[照会先に従う]	LDAP 認証プロバイダ内のユーザまたはグループの検索で、他の LDAP サーバまたは LDAP ディレクトリ内のブランチへの照会に従うことを指定する。デフォルトで、この属性は有効。
[照会先に匿名でバインドする]	デフォルトで、LDAP 認証プロバイダは、検索中に照会に従うときに同じ DN およびパスワードを使用して LDAP サーバに接続する。匿名ユーザとしてアクセスする場合は、この属性を有効にする。詳細については、LDAP システム管理者に問い合わせる。
[結果までのタイムリミット]	LDAP サーバがタイムアウトまで結果を待機するミリ秒数。この属性を 0 に設定した場合、タイムリミットは無制限になる。デフォルトでは 0。
[接続タイムアウト]	LDAP サーバへの接続の確立まで待機する最大秒数。この属性を 0 に設定した場合、タイムリミットは無制限になる。デフォルトでは 0。
[並列接続遅延]	複数の LDAP サーバに同時に接続を試行する場合の遅延秒数。この属性を 0 に設定した場合、接続は連続して試行される。接続はリスト内の最初のサーバに対して試行される。ホストへの接続が失敗した場合にのみ、リスト内の次のエントリに対して接続が試行される。この属性を設定しない状態で、LDAP サーバが利用できない場合、アプリケーションが長時間ブロックされることがある。この属性が 0 より大きい場合、指定された時間が経過してから、別の接続が開始される。

デプロイメントをよりセキュアにするために、SSL プロトコルを使用して LDAP サーバと WebLogic Server 間の通信を保護することをお勧めします。詳細については、SSL のコンフィグレーションを参照してください。

LDAP ディレクトリでのユーザの格納

LDAP ディレクトリにどのようにユーザを格納するかを指定するには、次の手順に従います。

選択した LDAP サーバの [コンフィグレーション] タブの [ユーザ] タブをクリックします。

たとえば、iPlanet の [コンフィグレーション] タブの下にある [ユーザ] タブをクリックします。

[ユーザ] タブの属性値を設定して、ユーザを LDAP ディレクトリに格納する方法を定義します。

次の表では、[ユーザ] タブで設定する属性について説明します。

表3-4 [ユーザ] タブの属性

属性
説明

[ユーザオブジェクトクラス]

ユーザを格納する LDAP オブジェクトクラス。

[ユーザ名属性]

ユーザ名を指定する LDAP ユーザオブジェクトの属性。

[ユーザ動的グループ DN 属性]

このユーザが所属する動的グループの DN を指定する LDAP ユーザオブジェクトの属性。

Active Directory、Open LDAP、および Novell NDS ディレクトリサーバでは動的グループはサポートされないため、これらのサーバに対してはこの属性を設定しないこと。

この属性が存在しない場合、WebLogic Server は [動的グループオブジェクトクラス] 属性を検索して、このユーザが属するグループを調べる。

グループに他のグループが含まれる場合、WebLogic Server はそのグループの派生グループの URL を評価する。

[ユーザベース DN]

ユーザが含まれる LDAP ディレクトリのツリーのベース DN。

WebLogic Server ユーザをディレクトリの複数のルートの下に格納する場合は、それらのルートを user.dn.1、user.dn.2 などのように指定できる。 LDAP 認証プロバイダは、一致するユーザが見つかるまでそれらの各ルートの下を検索する。

注意: user.dn.n エントリごとに、user.filter.n を指定する必要がある。

[ユーザ検索スコープ]

ユーザを検索するための LDAP ディレクトリツリーの深さを指定する。

有効値は [subtree] と [onelevel]。

[名前フィルタからのユーザ]

特定のユーザ名を検索するための LDAP 検索フィルタ。

検索フィルタが指定されていない場合 (null または空の場合)、ユーザスキーマに基づいてデフォルトの検索フィルタが作成される。

LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。

[ユーザすべてのフィルタ]

ベース DN の下のすべてのユーザを検索するための LDAP 検索フィルタ。検索フィルタが指定されていない場合 (null または空の場合)、ユーザスキーマに基づいてデフォルトの検索フィルタが作成される。

LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。

変更を保存するには、[適用] をクリックします。
LDAP ディレクトリでのグループの格納に進みます。

属性	説明
[ユーザオブジェクトクラス]	ユーザを格納する LDAP オブジェクトクラス。
[ユーザ名属性]	ユーザ名を指定する LDAP ユーザオブジェクトの属性。
[ユーザ動的グループ DN 属性]	このユーザが所属する動的グループの DN を指定する LDAP ユーザオブジェクトの属性。 Active Directory、Open LDAP、および Novell NDS ディレクトリサーバでは動的グループはサポートされないため、これらのサーバに対してはこの属性を設定しないこと。この属性が存在しない場合、WebLogic Server は [動的グループオブジェクトクラス] 属性を検索して、このユーザが属するグループを調べる。グループに他のグループが含まれる場合、WebLogic Server はそのグループの派生グループの URL を評価する。
[ユーザベース DN]	ユーザが含まれる LDAP ディレクトリのツリーのベース DN。 WebLogic Server ユーザをディレクトリの複数のルートの下に格納する場合は、それらのルートを user.dn.1、user.dn.2 などのように指定できる。 LDAP 認証プロバイダは、一致するユーザが見つかるまでそれらの各ルートの下を検索する。注意: user.dn.n エントリごとに、user.filter.n を指定する必要がある。
[ユーザ検索スコープ]	ユーザを検索するための LDAP ディレクトリツリーの深さを指定する。有効値は [subtree] と [onelevel]。
[名前フィルタからのユーザ]	特定のユーザ名を検索するための LDAP 検索フィルタ。検索フィルタが指定されていない場合 (null または空の場合)、ユーザスキーマに基づいてデフォルトの検索フィルタが作成される。 LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。
[ユーザすべてのフィルタ]	ベース DN の下のすべてのユーザを検索するための LDAP 検索フィルタ。検索フィルタが指定されていない場合 (null または空の場合)、ユーザスキーマに基づいてデフォルトの検索フィルタが作成される。 LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。

LDAP ディレクトリでのグループの格納

LDAP ディレクトリにどのようにグループを格納するかを定義するには、次の手順に従います。

[コンフィグレーション] タブの [グループ] タブをクリックします。

たとえば、iPlanet の [コンフィグレーション] タブの下にある [グループ] タブをクリックします。

[グループ] タブの属性値を設定して、グループを LDAP ディレクトリに格納する方法を定義します。

次の表では、[グループ] タブで設定する属性について説明します。 表3-5 [グループ] タブの属性 属性 説明 [グループベース DN] グループが含まれる LDAP ディレクトリのツリーのベース DN。 [グループ検索スコープ] グループを検索するための LDAP ディレクトリツリーの深さを指定する。 有効値は [subtree] と [onelevel]。 [名前フィルタからのグループ] 特定のグループ名を検索するための LDAP 検索フィルタ。 LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。 [グループすべてのフィルタ] ベースグループ DN の下のすべてのグループを検索するための LDAP 検索フィルタ。この属性が指定されていない場合 (null または空の場合)、グループスキーマに基づいてデフォルトの検索フィルタが作成される。 LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。 [静的グループオブジェクトクラス] 静的グループを格納する LDAP オブジェクトクラスの名前。 [静的グループ名属性] グループ名を指定する静的 LDAP グループオブジェクトの属性。

変更を保存するには、[適用] をクリックします。
LDAP ディレクトリでのグループの格納に進みます。

属性	説明
[グループベース DN]	グループが含まれる LDAP ディレクトリのツリーのベース DN。
[グループ検索スコープ]	グループを検索するための LDAP ディレクトリツリーの深さを指定する。有効値は [subtree] と [onelevel]。
[名前フィルタからのグループ]	特定のグループ名を検索するための LDAP 検索フィルタ。 LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。
[グループすべてのフィルタ]	ベースグループ DN の下のすべてのグループを検索するための LDAP 検索フィルタ。この属性が指定されていない場合 (null または空の場合)、グループスキーマに基づいてデフォルトの検索フィルタが作成される。 LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。
[静的グループオブジェクトクラス]	静的グループを格納する LDAP オブジェクトクラスの名前。
[静的グループ名属性]	グループ名を指定する静的 LDAP グループオブジェクトの属性。

LDAP ディレクトリでのグループの格納

注意: iPlanet 認証プロバイダは、動的グループをサポートしています。動的グループを使用するには [動的グループオブジェクトクラス] と [動的グループ名属性]、および [動的メンバ URL 属性] を設定します。

LDAP ディレクトリにどのようにグループメンバーを格納するかを定義するには、次の手順に従います。

[コンフィグレーション] タブの [メンバシップ] タブをクリックします。

たとえば、iPlanet の [コンフィグレーション] タブの下にある [メンバシップ] タブをクリックします。

[メンバシップ] タブの属性値を設定して、グループメンバーを LDAP ディレクトリに格納する方法を定義します。

次の表では、[メンバシップ] タブで設定する属性について説明します。

表3-6 [メンバシップ] タブの属性

属性
定義

[静的メンバ DN 属性]

グループ内のメンバーの DN を指定する LDAP グループオブジェクトの属性。

[メンバ DN フィルタからの静的グループ DN]

グループメンバーの DN が指定されている場合、そのメンバーを含む静的 LDAP グループの DN を返す LDAP 検索フィルタ。

この属性が指定されていない場合 (null または空の場合)、グループスキーマに基づいてデフォルトの検索フィルタが作成される。

LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。

[動的グループオブジェクトクラス]

動的グループを格納する LDAP オブジェクトクラスの名前。

Active Directory、Open LDAP、および Novell NDS ディレクトリサーバでは動的グループは現在サポートされないため、これらのサーバを使用する場合はこの属性を設定しないこと。

[動的グループ名属性]

グループ名を指定する動的 LDAP グループオブジェクトの属性。

Active Directory、Open LDAP、および Novell NDS ディレクトリサーバでは動的グループは現在サポートされないため、これらのサーバを使用する場合はこの属性を設定しないこと。

[動的メンバ URL 属性]

動的グループのメンバーの URL を指定する動的 LDAP グループオブジェクトの属性。

注意: この属性の値が文字列で予約値が含まれている場合、不正な URL 例外が送出される。この例外が送出されないようにするには、この属性で :、,、?、および / を使用しない。

Active Directory、Open LDAP、および Novell NDS ディレクトリサーバでは動的グループは現在サポートされないため、これらのサーバを使用する場合はこの属性を設定しないこと。

変更を保存するには、[適用] をクリックします。
必要な場合、追加の認証プロバイダと ID アサーションプロバイダをコンフィグレーションします。
WebLogic Server を再起動します。

属性	定義
[静的メンバ DN 属性]	グループ内のメンバーの DN を指定する LDAP グループオブジェクトの属性。
[メンバ DN フィルタからの静的グループ DN]	グループメンバーの DN が指定されている場合、そのメンバーを含む静的 LDAP グループの DN を返す LDAP 検索フィルタ。この属性が指定されていない場合 (null または空の場合)、グループスキーマに基づいてデフォルトの検索フィルタが作成される。 LDAP 検索フィルタの作成については、お使いの LDAP サーバのマニュアルを参照。
[動的グループオブジェクトクラス]	動的グループを格納する LDAP オブジェクトクラスの名前。 Active Directory、Open LDAP、および Novell NDS ディレクトリサーバでは動的グループは現在サポートされないため、これらのサーバを使用する場合はこの属性を設定しないこと。
[動的グループ名属性]	グループ名を指定する動的 LDAP グループオブジェクトの属性。 Active Directory、Open LDAP、および Novell NDS ディレクトリサーバでは動的グループは現在サポートされないため、これらのサーバを使用する場合はこの属性を設定しないこと。
[動的メンバ URL 属性]	動的グループのメンバーの URL を指定する動的 LDAP グループオブジェクトの属性。注意: この属性の値が文字列で予約値が含まれている場合、不正な URL 例外が送出される。この例外が送出されないようにするには、この属性で :、,、?、および / を使用しない。 Active Directory、Open LDAP、および Novell NDS ディレクトリサーバでは動的グループは現在サポートされないため、これらのサーバを使用する場合はこの属性を設定しないこと。

LDAP 認証プロバイダのフェイルオーバのコンフィグレーション

WebLogic Server 7.0 SP2 以降では、複数の LDAP サーバを備える外部 LDAP プロバイダをコンフィグレーションし、LDAP サーバの 1 つが利用できない場合にはフェイルオーバを有効にすることができます。

LDAP 認証プロバイダ用にコンフィグレーションされた LDAP サーバのフェイルオーバをコンフィグレーションするには、次の手順に従います。

フェイルオーバをコンフィグレーションする LDAP 認証プロバイダの [コンフィグレーション] タブの下にある LDAP タブをクリックします。

たとえば、iPlanet の [コンフィグレーション] タブの [iPlanet LDAP] タブをクリックします。
LDAP タブをクリックします。
LDAP タブ上の [Host] 属性で複数の LDAP サーバ名を指定します。属性には、スペースで区切られたホスト名リストを含める必要があります。各ホスト名の末尾にはコロンとポート番号を含めることができます。次に例を示します。

directory.knowledge.com:1050 people.catalog.com 199.254.1.2
[適用] をクリックします。
[詳細] タブをクリックします。
[並列接続遅延] 属性を設定します。

[並列接続遅延] 属性では、複数のサーバに同時接続しようとしているときの遅延の秒数を指定します。接続はリスト内の最初のサーバに対して試行されます。ホストへの接続が失敗した場合にのみ、リスト内の次のエントリに対して接続が試行されます。この設定により、ホストが停止している場合に、アプリケーションにおいて非常に長い時間にわたりブロックが行われる可能性があります。属性が 0 より大きい値に設定されていると、指定した遅延秒数の経過後に、別の接続設定スレッドが開始されます。属性を 0 に設定した場合、接続は連続して試行されます。
[接続タイムアウト] 属性を設定します。

[接続タイムアウト] 属性では、LDAP サーバへの接続が確立されるまでに待機する最大秒数を指定します。属性を 0 に設定した場合には最長時間の制限はなく、WebLogic Server は TCP/IP レイヤがタイムアウトして接続障害を返すまで待機します。この属性は、TCP/IP のコンフィグレーションに応じて、60 秒を超える値に設定できます。
[適用] をクリックします。
WebLogic Server を再起動します。

次の例では、LDAP 属性が LDAP フェイルオーバ用に設定されている場合に発生する使い方のシナリオを提示します。

例 1

LDAP 属性が次のように設定されている場合。

LDAP 属性	値
[ホスト]	directory.knowledge.com:1050 people.catalog.com 199.254.1.2 LDAP サーバの動作状況は次のとおり。 directory.knowledge.com:1050 は停止している people.catalog.com は起動している 199.254.1.2 は起動している
[並列接続遅延]	0
[接続タイムアウト]	10

このシナリオでは、WebLogic Server は directory.knowledge.com に接続しようとします。 10 秒後、接続の試行はタイムアウトし、WebLogic Server は [ホスト] 属性で指定されている次のホスト (people.catalog.com) への接続を試行します。その後は、WebLogic Server はこの接続のための LDAP サーバとして people.catalog.com を使用します。

例 2

LDAP 属性が次のように設定されている場合。

LDAP 属性	値
[ホスト]	directory.knowledge.com:1050 people.catalog.com 199.254.1.2 LDAP サーバの動作状況は次のとおり。 directory.knowledge.com:1050 は停止している people.catalog.com は起動している 199.254.1.2 は起動している
[並列接続遅延]	1
[接続タイムアウト]	10

このシナリオでは、WebLogic Server は directory.knowledge.com に接続しようとします。 10 秒後、接続の試行はタイムアウトし、WebLogic Server は [ホスト] 属性で指定されている次のホスト (people.catalog.com) を試行し、並行して people.catalog.com へ接続しようとします。その後は、WebLogic Server はこの接続のための LDAP サーバとして people.catalog.com を使用します。people.catalog.com への接続が成功した後は、directory.knowledge.com への接続をキャンセルします。

WebLogic 認証プロバイダのコンフィグレーション

注意: WebLogic Server Administration Console は、WebLogic 認証プロバイダをデフォルト認証プロバイダとして参照します。

WebLogic 認証プロバイダでは、大文字と小文字は区別されません。一意のユーザ名を指定してください。

WebLogic 認証プロバイダを使用すると、ユーザとグループメンバーシップを編集、表示、および管理できます。WebLogic 認証プロバイダのユーザおよびグループメンバシップ情報は、組み込み LDAP サーバに格納されます。

WebLogic 認証プロバイダをコンフィグレーションするには、次の手順に従います。

組み込み LDAP サーバの管理の説明に従って組み込み LDAP サーバをコンフィグレーションします。
[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ｜認証プロバイダ] ノードを展開します。

[認証プロバイダ] テーブルに、デフォルトの認証プロバイダと ID アサーションプロバイダの名前が表示されます。
[新しい Default Authenticator のコンフィグレーション] リンクをクリックします。
[一般] タブの属性値を定義します。
- [最小パスワード文字数] 属性は、WebLogic 認証プロバイダでユーザを定義するときに指定するパスワードに適用されます。
- [制御フラグ] 属性で、WebLogic 認証プロバイダをどのように他の LDAP 認証プロバイダと共に使用するかを指定します。詳細については、JAAS 制御フラグ属性の設定を参照してください。
[適用] をクリックして変更を保存します。
[詳細] タブの属性値を定義します。

[グループメンバシップ検索]-グループ検索の対象範囲が制限されるかどうかを指定します。この属性では、ネストされたグループでどのくらいの深さまで検索するのかを指定します。ネストされたグループ階層の最初のレベルのみを使用するコンフィグレーションの場合は、この属性で検索をグループの最初のレベルに制限するとパフォーマンスを向上させることができます。
- 検索の制限を指定した場合は、[最大グループメンバシップ検索レベル] 属性を指定する必要がある
- 検索を制限しない場合は、[最大グループメンバシップ検索レベル] 属性は無視される
[最大グループメンバシップ検索レベル]-[グループメンバシップ検索] 属性が指定された場合に、グループメンバーシップ検索の深さを指定します。指定できる値は次のとおりです。
- 0-直接のメンバーグループのみ検索されます。つまり、グループ A でメンバーシップを検索するときに、グループ A の直接のメンバーのみが検索されます。グループ B がグループ A のメンバーである場合、そのメンバーは検索の対象になりません。
- 任意の正の数値-検索されるレベル数を示します。たとえば、この属性を 1 に設定すると、グループ A のメンバーシップの検索ではグループ A の直接のメンバーが返されます。グループ B がグループ A のメンバーである場合は、グループ B のメンバーも検索の対象になります。ただし、グループ C がグループ B のメンバーである場合、グループ C のメンバーは検索の対象になりません。
[適用] をクリックして変更を保存します。
必要な場合、追加の認証プロバイダと ID アサーションプロバイダをコンフィグレーションします。
WebLogic Server を再起動します。

レルムアダプタ認証プロバイダのコンフィグレーション

レルムアダプタ認証プロバイダを使用すると、バージョン 6.x のセキュリティレルムのユーザとグループをこのリリースの WebLogic Server で使用できるようになります。レルムアダプタ認証プロバイダは、ユーザとグループを 6.x の Windows NT、UNIX、 RDBMS セキュリティレルム、または 6.x のカスタムセキュリティレルムに格納している場合に使用します (このリリースの WebLogic Server には 6.x の Windows NT、UNIX、RDBMS セキュリティレルムに相当するものは存在しません)。レルムアダプタ認証プロバイダは、WebLogic 認証プロバイダの代わりとしてコンフィグレーションすることも、WebLogic 認証プロバイダ以外に追加コンフィグレーションすることもできます。

互換性セキュリティを使用する場合、デフォルトによって CompatibilityRealm にレルムアダプタ認証プロバイダがコンフィグレーションされます。ただし、レルムアダプタ認証プロバイダは、どのセキュリティレルムでもコンフィグレーションできます。CompatibilityRealm でレルムアダプタ認証プロバイダを使用する方法については、CompatibilityRealm のデフォルトセキュリティコンフィグレーションを参照してください。

また、weblogic.security.acl.CertAuthenticator クラスの実装をこのリリースの WebLogic Server で使用することもできます。レルムアダプタ認証プロバイダには、X.509 トークンに基づく ID アサーションを提供する ID アサーションプロバイダが含まれています。WebLogic Server で CertAuthenticator を使用する方法については、レルムアダプタ認証プロバイダでの ID アサーションプロバイダのコンフィグレーションを参照してください。

認証プロバイダがすでにコンフィグレーションされているセキュリティレルムにレルムアダプタ認証プロバイダを追加する場合、WebLogic Server Administration Console はレルムアダプタ認証プロバイダの [制御フラグ] 属性を OPTIONAL に設定し、ドメインディレクトリ内で fileRealm.properties ファイルの存在をチェックします。fileRealm.properties が存在しない場合、WebLogic Server Administration Console はレルムアダプタ認証プロバイダをセキュリティレルムに追加しません。

注意: レルムアダプタ認証プロバイダによって生成されるサブジェクトには、ユーザが所属するグループのプリンシパルは含まれません。weblogic.security.SubjectUtils.isUserInGroup() メソッドを使用して、ユーザがグループに属するかどうかを調べます。レルムアダプタ認証プロバイダによって生成されるサブジェクトを使用する場合、ユーザが所属するすべてのグループを繰り返す方法はありません。

レルムアダプタ認証プロバイダの属性を定義するには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ｜認証プロバイダ] ノードを展開します。

[認証プロバイダ] テーブルに、デフォルトの認証プロバイダと ID アサーションプロバイダの名前が表示されます。
[新しい Realm Adapter Authenticator のコンフィグレーション] リンクをクリックします。
[一般] タブの [制御フラグ] 属性を設定します。[制御フラグ] 属性で、レルムアダプタ認証プロバイダをどのように他の LDAP 認証プロバイダと共に使用するかを指定します。JAAS 制御フラグ属性の設定を参照してください。
[適用] をクリックして変更を保存します。
WebLogic Server を再起動します。
必要に応じて、weblogic.security.acl.CertAuthenticator クラスの実装をこのリリースの WebLogic Server で使用できるように、レルムアダプタ認証プロバイダで ID アサーションプロバイダをコンフィグレーションします。ID アサーションプロバイダは、X.509 トークンを使用して ID アサーションを実行します。

[アクティブタイプ] リストボックスに X.509 と入力します。
[適用] をクリックして変更を保存します。
WebLogic Server を再起動します。
必要な場合、追加の認証プロバイダと ID アサーションプロバイダをコンフィグレーションします。
WebLogic Server を再起動します。

WebLogic ID アサーションプロバイダのコンフィグレーション

注意: WebLogic Server Administration Console は、WebLogic ID アサーションプロバイダをデフォルト ID アサーションプロバイダとして参照します。

境界認証を使用する場合、ID アサーションプロバイダを使用する必要があります。境界認証では、WebLogic Server の外部にあるシステムがトークンを通じて信頼を確立します (これは単純認証とは対照的です。単純認証では、WebLogic Server がユーザ名とパスワードを通じて信頼を確立します)。ID アサーションプロバイダは、トークンを検証し、そのトークンの妥当性と信頼性を確立するために必要なアクションを実行します。各 ID アサーションプロバイダは、1 つまたは複数のトークンフォーマットをサポートします。

セキュリティレルムでは、WebLogic ID アサーションプロバイダまたはカスタム ID アサーションプロバイダのいずれかを使用できます。この節では、WebLogic ID アサーションプロバイダをコンフィグレーションする方法について説明します。カスタムセキュリティプロバイダ (カスタム ID アサーションプロバイダを含む) のコンフィグレーションについては、カスタムセキュリティプロバイダのコンフィグレーションを参照してください。

監査プロバイダはセキュリティレルムで複数をコンフィグレーションできますが、必須ではありません。ID アサーションプロバイダでは複数のトークンタイプをサポートできますが、1 度にアクティブになるのは ID アサーションプロバイダごとに 1 つのトークンタイプだけです。WebLogic ID アサーションプロバイダを使用する場合は、アクティブトークンタイプをコンフィグレーションします。WebLogic ID アサーションプロバイダは、X509 証明書と CORBA Common Secure Interoperability バージョン 2 (CSI v2) を使用する ID アサーションをサポートしています。

セキュリティレルムで複数の ID アサーションプロバイダがコンフィグレーションされている場合、すべての ID アサーションプロバイダが同じトークンタイプをサポートできます。ただし、アクティブなトークンを持つのはセキュリティレルム内で 1 つのプロバイダだけです。

セキュリティレルムで WebLogic ID アサーションプロバイダを使用する場合、ID アサーションプロバイダによって認証されたトークンをセキュリティレルム内のユーザにマップするユーザ名マッパーを使用することもできます。ユーザ名マッパーのコンフィグレーションの詳細については、WebLogic ID アサーションプロバイダでのユーザ名マッパーの使用を参照してください。

WebLogic ID アサーションプロバイダの属性を定義するには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ｜認証プロバイダ] ノードを展開します。

[認証プロバイダ] テーブルに、デフォルトの認証プロバイダと ID アサーションプロバイダの名前が表示されます。
[認証プロバイダ] タブから、[新しい Default Identity Asserter のコンフィグレーション] リンクをクリックします。

[一般] タブが表示されます。
ユーザ名マッパーをコンフィグレーションします。詳細については、WebLogic ID アサーションプロバイダでのユーザ名マッパーの使用を参照してください。
[信頼されたクライアントプリンシパル] 属性で、CSIv2 ID アサーションを使用できるクライアントプリンシパルのリストを定義します。アスタリスク (*) を使用すると、すべてのクライアントプリンシパルを指定できます。この属性は、CSI v2 ID アサーションを使用する場合にのみ必要です。
WebLogic ID アサーションプロバイダのアクティブトークンタイプを定義します。ID アサーションプロバイダによってサポートされているトークンタイプのリストが、[サポートタイプ] 属性に表示されます。サポートされているトークンタイプの名前を [アクティブタイプ] 属性に入力します。
[適用] をクリックして変更を保存します。
[詳細] タブをクリックします。
[Base64 デコーティングが必要] 属性の設定を確認します。

Web アプリケーションで認証タイプが CLIENT-CERT に設定されている場合、WebLogic Server の Web アプリケーションコンテナは、リクエストヘッダおよびクッキーの値に関して ID アサーションを実行します。ヘッダ名またはクッキー名が ID アサーションプロバイダでコンフィグレーションされているアクティブトークンタイプと一致した場合、値はプロバイダに渡されます。

リクエストヘッダの値またはクッキーの値が、ID アサーションプロバイダに送られる前に Base64 デコードされるかどうかは、[Base64 デコーティングが必要] 属性によって決まります。下位互換性のため、この属性の設定はデフォルトで有効化されますが、ほとんどの ID アサーションプロバイダはこの属性を無効化します。
[適用] をクリックします。
必要な場合、追加の認証プロバイダと ID アサーションプロバイダをコンフィグレーションします。
WebLogic Server を再起動します。

WebLogic ID アサーションプロバイダでのユーザ名マッパーの使用

双方向 SSL を使用する場合、WebLogic Server は、SSL 接続を確立するときに Web ブラウザまたは Java クライアントのデジタル証明書を検証します。ただし、デジタル証明書は Web ブラウザまたは Java クライアントを WebLogic Server セキュリティレルムのユーザとしては認識しません。Web ブラウザまたは Java クライアントがセキュリティポリシーで保護された WebLogic Server リソースをリクエストする場合、WebLogic Server は Web ブラウザまたは Java クライアントにユーザ名とパスワードを指定するように要求します。WebLogic ID アサーションプロバイダでは、Web ブラウザまたは Java クライアントのデジタル証明書を WebLogic Server セキュリティレルム内のユーザにマップするユーザ名マッパーを使用できます。

ユーザ名マッパーは、weblogic.security.providers.authentication.UserNameMapper インタフェースの実装でなければなりません。このインタフェースは、ニーズに適したスキーマに基づいてトークンを WebLogic Server ユーザ名にマップします。また、このインタフェースを使用して X.501 識別名をユーザ名にマップすることもできます。

WebLogic ID アサーションプロバイダでユーザ名マッパーを使用するには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ｜認証プロバイダ] ノードを展開します。
デフォルト ID アサーションプロバイダを選択します。

[一般] タブが表示されます。
[ユーザ名マッパーのクラス名] 属性に、weblogic.security.providers.authentication.UserNameMapper インタフェースの実装名を入力します。

weblogic.security.providers.authentication.UserNameMapper インタフェースの実装は CLASSPATH に指定されている必要があります。
[適用] をクリックします。
WebLogic Server を再起動します。

LDAP X509 ID アサーションプロバイダのコンフィグレーション

注意: LDAP X509 ID アサーションプロバイダで提供される機能のコンフィグレーションは、WebLogic Server の将来のリリースで変更されます。このバージョンの LDAP X509 ID アサーションプロバイダは、WebLogic Server の将来のリリースとの上位互換性はありません。また、このプロバイダは Sun One LDAP サーバでしかテストしていません。 LDAP X509 ID アサーションプロバイダの有用性については、WebLogic Server の『リリースノート』を参照してください。

LDAP X509 ID アサーションプロバイダは、X509 証明書を受信し、その証明書と関連付けられたユーザを LDAP オブジェクトでルックアップし、LDAP オブジェクト内の証明書が提示された証明書と一致することを確認した上で、LDAP オブジェクトからユーザの名前を取得します。

LDAP X509 ID アサーションプロバイダは、次のように機能します。

アプリケーションは、境界認証を使用するように設定する必要があります (つまり、ユーザまたはシステムプロセスがトークンを使用して ID のアサーションを行う)。 SSL ハンドシェークの過程で、アプリケーションは証明書を提示します。証明書のサブジェクト DN は、LDAP サーバでユーザを表すオブジェクトを特定するために使用できます。そのオブジェクトには、ユーザの証明書と名前が格納されています。
LDAP X509 ID アサーションプロバイダは、サブジェクト DN の証明書を使用して、LDAP サーバでユーザの LDAP オブジェクトを検索する LDAP 検索を作成します。 LDAP X509 ID アサーションプロバイダはオブジェクトから証明書を取得し、保持している証明書と一致することを確認して、ユーザの名前を取得します。
ユーザ名は、セキュリティレルムでコンフィグレーションされている認証プロバイダに渡されます。認証プロバイダは、ユーザが存在することを確認し、そのユーザが属するグループを特定します。

通常、LDAP X509 ID アサーションプロバイダを使用する場合は、LDAP サーバを使用する LDAP 認証プロバイダをコンフィグレーションすることも必要です。認証プロバイダは、ユーザが存在することを確認し、そのユーザが属するグループを特定します。必ず、両方のプロバイダが同じ LDAP サーバと通信するように正しくコンフィグレーションされているようにしてください。

LDAP X509 ID アサーションプロバイダは、以下のようにして使用します。

ユーザの証明書を取得し、LDAP サーバに配置します。証明書のサブジェクト DN と LDAP サーバにおけるそのユーザのオブジェクトの位置には、相関関係がなければなりません。ユーザの LDAP オブジェクトには、証明書の属性とサブジェクトで使用されるユーザ名も含まれている必要があります。
証明書のサブジェクト DN が渡された場合に LDAP ディレクトリでユーザの LDAP オブジェクトを検索するように、LDAP X509 ID アサーションプロバイダをコンフィグレーションします。基本的に、LDAP におけるユーザの DN とユーザの LDAP オブジェクトには、証明書のサブジェクト DN の値と一致する属性がなければなりません。

例 1 : LDAP オブジェクトがサブジェクト DN の属性と一致

証明書のサブジェクト DN :
CN=fred, ou=Acme, c=US.

LDAP DN :
ou=people, cn=flintstone

LDAP オブジェクト :
uid=fred, CN=flintstone(username), usercert=cert

例 2 : LDAP DN の属性がサブジェクト DN の構成要素と一致

証明書のサブジェクト DN :
DN: CN=fred, ou=Acme, c=US.

LDAP DN :
ou=people, uid=fred

LDAP オブジェクト :
SN=flintstone(username), uid=fred,usercert=cert
LDAP サーバを検索してユーザの LDAP オブジェクトを特定するように、LDAP X509 ID アサーションプロバイダをコンフィグレーションします。そのためには、以下のデータが必要です。
- 検索の起点となるベース LDAP DN。 LDAP X509 ID アサーションプロバイダの [Certificate Mapping] 属性は、証明書のサブジェクト DN からベース LDAP DN を作成する方法を ID アサーションプロバイダに通知します。 LDAP オブジェクトには、証明書を保持する属性が必要です。
- 定義済みの属性セットと一致する LDAP オブジェクトのみを返す検索フィルタ。このフィルタは、LDAP の検索を制限します。証明書のサブジェクト DN から検索フィルタを作成するように、[User Filter Attributes] 属性をコンフィグレーションします。
- ベース LDAP DN を検索する LDAP ディレクトリ内の位置。 LDAP X509 ID アサーションプロバイダは、再帰的に検索を行います (1 レベル下へ)。この属性は、証明書のサブジェクト DN の属性値と同じである必要があります。
LDAP X509 ID アサーションプロバイダの [Certificate Attribute] をコンフィグレーションして、ユーザの LDAP オブジェクトのどの属性が証明書を保持するのかを指定します。 LDAP オブジェクトには、証明書を保持する属性が必要です。
LDAP X509 ID アサーションプロバイダの [Username Attribute] をコンフィグレーションして、サブジェクト DN で表されるユーザ名を保持する LDAP オブジェクトの属性を指定します。
LDAP X509 ID アサーションプロバイダの LDAP サーバ接続をコンフィグレーションします。 LDAP サーバの属性情報は、このセキュリティレルムでコンフィグレーションされている LDAP 認証プロバイダに定義されている情報と同じでなければなりません。
LDAP X509 ID アサーションプロバイダと一緒に使用する LDAP 認証プロバイダをコンフィグレーションします。 LDAP サーバの属性情報は、手順 6 でコンフィグレーションした LDAP X509 ID アサーションプロバイダに定義されている情報と同じでなければなりません。

LDAP X509 ID アサーションプロバイダの属性を定義するには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) を選択します。
[プロバイダ｜認証プロバイダ] ノードを展開します。

[認証プロバイダ] テーブルに、デフォルトの認証プロバイダと ID アサーションプロバイダの名前が表示されます。
[Authenticators] タブで、[新しい LDAPX509Identity Asserter のコンフィグレーション] リンクをクリックします。

[一般] タブが表示されます。

LDAP X509 ID アサーションプロバイダの名前とトークンの情報を定義します。

次の表では、[一般] タブで設定する属性について説明します。 表3-7 [一般] タブの属性 属性 説明 [名前] この LDAP X509 ID アサーションプロバイダの名前。 [記述] この LDAP X509 ID アサーションプロバイダの簡単な説明。 [バージョン] この LDAP X509 ID アサーションプロバイダのバージョン番号。 [サポートタイプ] この LDAP X509 ID アサーションプロバイダでサポートされているトークンタイプ。この属性は常に X509 に設定される。 [アクティブなタイプ] この LDAP X509 ID アサーションプロバイダが認証に使用するトークンタイプ。このトークンタイプは常に X509 に設定される。 同じセキュリティレルムでコンフィグレーションされている他の ID アサーションプロバイダでこの属性が X509 に設定されていないようにする。

[適用] をクリックして変更を保存します。
[詳細] タブを選択します。

属性	説明
[名前]	この LDAP X509 ID アサーションプロバイダの名前。
[記述]	この LDAP X509 ID アサーションプロバイダの簡単な説明。
[バージョン]	この LDAP X509 ID アサーションプロバイダのバージョン番号。
[サポートタイプ]	この LDAP X509 ID アサーションプロバイダでサポートされているトークンタイプ。この属性は常に X509 に設定される。
[アクティブなタイプ]	この LDAP X509 ID アサーションプロバイダが認証に使用するトークンタイプ。このトークンタイプは常に X509 に設定される。同じセキュリティレルムでコンフィグレーションされている他の ID アサーションプロバイダでこの属性が X509 に設定されていないようにする。

LDAP ディレクトリのユーザ名を証明書のユーザ名にマップするための属性、および LDAP X509 ID アサーションプロバイダで使用される LDAP サーバについての情報を定義します。

次の表では、[詳細] タブで設定する属性について説明します。

注意: $subj は、証明書のサブジェクト属性を示します (CN=meyer.beasys.com, ou=CCE, o=BEASYS, L=SFO, C=US など)。

表3-8 [詳細] タブの属性

属性
定義

[Certificate Mapping]

ユーザの LDAP オブジェクトを特定するために使用するベース LDAP DN の作成方法を指定する。この属性は、証明書のサブジェクト DN からオブジェクトを検索する方法を定義する。

通常、この値は LDAP 認証プロバイダの [User Base DN] 属性と同じ。サブジェクト DN のフィールドをこのベース DN に含めることができる。

たとえば、証明書のサブジェクトが CN=meyer.beasys.com, ou=fred, o=BEASYS, L=SFO, C=US で、マッピングが ou=people, ou=$subj.ou の場合、WebLogic Server はユーザを特定する時に ou=people, ou=fred, o=BEASYS, c=US を DN として使用する。

[User Filter Attributes]

[Certificate Mapping] 属性で定義されているベース LDAP DN の LDAP オブジェクトの中からユーザの LDAP オブジェクトを選択する方法を指定する。この属性は、証明書のサブジェクト DN から LDAP オブジェクトを検索する方法を定義する。

LDAP オブジェクトのクラスは person でなければならない。この属性には、文字列の配列を設定する。その各文字列は、LDAP オブジェクトが一致しなければならない属性。

通常、この属性の値は証明書のサブジェクト DN の属性値と一致する LDAP オブジェクト。

次に例を示す。

構文が次のようである場合、LDAP ユーザオブジェクトの uid 属性はサブジェクト DN の属性と一致する。

LDAPATTRNAME=$subj.SUBJECDNATTRNAME

例 : uid=$subj.DN

この属性は、ユーザ名を検索フィルタにマップする LDAP 認証プロバイダの [User Name Filter] 属性とよく似ている。違いは以下のとおり。

この属性は証明書のサブジェクト DN をフィルタにマップし、LDAP 認証プロバイダは単一の文字列を使用して、システム管理者がフィルタを完全に管理できるようにする。

LDAP X509 認証プロバイダは objectclass=person をフィルタに追加し、結合された文字列の配列を使用する。

[Certificate Attribute]

ユーザの証明書を格納する、ユーザの LDAP オブジェクトの属性を指定する。この属性は、証明書を検索する方法を定義する。有効な値は、userCertificate と userCertificate;binary。デフォルトは、userCertificate。

LDAP ブラウザを使用して証明書を LDAP ディレクトリにロードすると、バイナリ型の属性 userCertificate が作成される。証明書にアクセスするには、[Certificate Attribute] を userCertificate として定義する。

ldapmodify を使用して新しい属性を作成すると (たとえば次のコマンドを使用して)、

ldapmodify -p 1155 -D Principal -w Password
dn: cn=support@bea.com, ou=Certs, dc=bea, dc=com
changetype: modify
add: UserCertificate
userCertificate;binary:: MIICxDCCAi2gAwIBAgIDIDANbgkqn...

証明書のデータが LDAP ディレクトリにロードされたときに、属性 userCertificate;binary が作成されます。証明書にアクセスするには、[Certificate Attribute] を userCertificate;binary として定義する。

[Username Attribute]

ユーザの名前を格納する、ユーザの LDAP オブジェクトの属性を指定する。ユーザの名前は、サブジェクトで使用される。この属性は、ユーザの名前を検索する方法を定義する。

通常、この属性は LDAP 認証プロバイダの [User Name] 属性と一致する。

[Base64 デコーティングが必要]

リクエストヘッダの値またはクッキーの値が、ID アサーションプロバイダに送られる前に Base64 デコードされるかどうかを指定する。この設定はデフォルトでは下位互換性のために有効になっているが、ほとんどの ID アサーションプロバイダではこの属性は無効化される。

[ホスト]

LDAP サーバが稼働するコンピュータのホスト名。

[ポート]

LDAP サーバがリスンするポートの番号。 SSL プロトコルを使用して WebLogic Server を LDAP サーバに接続する場合は、LDAP サーバの SSL ポートを指定する。

[SSL を有効化]

LDAP サーバと WebLogic Server との通信を保護するために SSL プロトコルを使用できるようにするためのオプション。 LDAP サーバが SSL プロトコルを使用するようにコンフィグレーションされていない場合は、この属性を無効化する。

[プリンシパル]

WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザの識別名 (Distinguished Name: DN)。一般に、このユーザは LDAP ディレクトリサーバのシステム管理者である。パスワードを変更する場合、この属性をシステム管理者に設定する必要がある。

[資格]

[プリンシパル] 属性で定義された LDAP ユーザを認証するパスワード。

[キャッシュを有効化]

Open LDAP サーバでのデータキャッシュの使用を有効にする。

[キャッシュサイズ]

キャッシュのルックアップの最大サイズ。デフォルトは 32 KB。

[キャッシュ TTL]

LDAP ルックアップの結果を保持する秒数。

[照会先に従う]

LDAP X509 ID アサーションプロバイダ内のユーザまたはグループの検索で、他の LDAP サーバまたは LDAP ディレクトリ内のブランチへの照会に従うことを指定する。デフォルトで、この属性は有効。

[照会先に匿名でバインドする]

デフォルトでは、検索時に照会先に従う場合、LDAP X509 ID アサーションプロバイダは LDAP サーバへの接続で使用するものと同じ DN およびパスワードを使用する。匿名ユーザとして接続する場合は、この属性を有効にする。詳細については、LDAP システム管理者に問い合わせること。

[結果までのタイムリミット]

タイムアウトするまで LDAP サーバが結果を待機する最大時間 (ミリ秒単位)。この属性が 0 に設定されている場合、最大時間の制限はない。デフォルトでは 0。

[接続タイムアウト]

LDAP サーバへの接続が確立されるまでに待機する最大時間 (秒単位)。この属性が 0 に設定されている場合、最大時間の制限はない。デフォルトでは 0。

[並列接続遅延]

複数の LDAP サーバに同時に接続しようとしたときの遅延 (秒単位)。この属性が 0 に設定されている場合、接続の試行はシリアライズされる。接続の試行はリストの最初のサーバに対して行われる。ホストへの接続が失敗した場合にのみ、リスト内の次のエントリに対して接続が試行される。この属性が設定されず、LDAP サーバが使用できない場合、アプリケーションが長時間ブロックされることがある。この属性が 0 より大きい場合は、指定された時間の経過後に別の接続が開始される。

[適用] をクリックします。
必要に応じて、他の認証プロバイダまたは ID アサーションプロバイダ、あるいはその両方をコンフィグレーションします。
WebLogic Server を再起動します。

属性	定義
[Certificate Mapping]	ユーザの LDAP オブジェクトを特定するために使用するベース LDAP DN の作成方法を指定する。この属性は、証明書のサブジェクト DN からオブジェクトを検索する方法を定義する。通常、この値は LDAP 認証プロバイダの [User Base DN] 属性と同じ。サブジェクト DN のフィールドをこのベース DN に含めることができる。たとえば、証明書のサブジェクトが CN=meyer.beasys.com, ou=fred, o=BEASYS, L=SFO, C=US で、マッピングが ou=people, ou=$subj.ou の場合、WebLogic Server はユーザを特定する時に ou=people, ou=fred, o=BEASYS, c=US を DN として使用する。
[User Filter Attributes]	[Certificate Mapping] 属性で定義されているベース LDAP DN の LDAP オブジェクトの中からユーザの LDAP オブジェクトを選択する方法を指定する。この属性は、証明書のサブジェクト DN から LDAP オブジェクトを検索する方法を定義する。 LDAP オブジェクトのクラスは person でなければならない。この属性には、文字列の配列を設定する。その各文字列は、LDAP オブジェクトが一致しなければならない属性。通常、この属性の値は証明書のサブジェクト DN の属性値と一致する LDAP オブジェクト。次に例を示す。構文が次のようである場合、LDAP ユーザオブジェクトの uid 属性はサブジェクト DN の属性と一致する。 LDAPATTRNAME=$subj.SUBJECDNATTRNAME 例 : uid=$subj.DN この属性は、ユーザ名を検索フィルタにマップする LDAP 認証プロバイダの [User Name Filter] 属性とよく似ている。違いは以下のとおり。この属性は証明書のサブジェクト DN をフィルタにマップし、LDAP 認証プロバイダは単一の文字列を使用して、システム管理者がフィルタを完全に管理できるようにする。 LDAP X509 認証プロバイダは objectclass=person をフィルタに追加し、結合された文字列の配列を使用する。
[Certificate Attribute]	ユーザの証明書を格納する、ユーザの LDAP オブジェクトの属性を指定する。この属性は、証明書を検索する方法を定義する。有効な値は、userCertificate と userCertificate;binary。デフォルトは、userCertificate。 LDAP ブラウザを使用して証明書を LDAP ディレクトリにロードすると、バイナリ型の属性 userCertificate が作成される。証明書にアクセスするには、[Certificate Attribute] を userCertificate として定義する。 ldapmodify を使用して新しい属性を作成すると (たとえば次のコマンドを使用して)、 ldapmodify -p 1155 -D Principal -w Password dn: cn=support@bea.com, ou=Certs, dc=bea, dc=com changetype: modify add: UserCertificate userCertificate;binary:: MIICxDCCAi2gAwIBAgIDIDANbgkqn... 証明書のデータが LDAP ディレクトリにロードされたときに、属性 userCertificate;binary が作成されます。証明書にアクセスするには、[Certificate Attribute] を userCertificate;binary として定義する。
[Username Attribute]	ユーザの名前を格納する、ユーザの LDAP オブジェクトの属性を指定する。ユーザの名前は、サブジェクトで使用される。この属性は、ユーザの名前を検索する方法を定義する。通常、この属性は LDAP 認証プロバイダの [User Name] 属性と一致する。
[Base64 デコーティングが必要]	リクエストヘッダの値またはクッキーの値が、ID アサーションプロバイダに送られる前に Base64 デコードされるかどうかを指定する。この設定はデフォルトでは下位互換性のために有効になっているが、ほとんどの ID アサーションプロバイダではこの属性は無効化される。
[ホスト]	LDAP サーバが稼働するコンピュータのホスト名。
[ポート]	LDAP サーバがリスンするポートの番号。 SSL プロトコルを使用して WebLogic Server を LDAP サーバに接続する場合は、LDAP サーバの SSL ポートを指定する。
[SSL を有効化]	LDAP サーバと WebLogic Server との通信を保護するために SSL プロトコルを使用できるようにするためのオプション。 LDAP サーバが SSL プロトコルを使用するようにコンフィグレーションされていない場合は、この属性を無効化する。
[プリンシパル]	WebLogic Server が LDAP サーバとの接続に使用する LDAP ユーザの識別名 (Distinguished Name: DN)。一般に、このユーザは LDAP ディレクトリサーバのシステム管理者である。パスワードを変更する場合、この属性をシステム管理者に設定する必要がある。
[資格]	[プリンシパル] 属性で定義された LDAP ユーザを認証するパスワード。
[キャッシュを有効化]	Open LDAP サーバでのデータキャッシュの使用を有効にする。
[キャッシュサイズ]	キャッシュのルックアップの最大サイズ。デフォルトは 32 KB。
[キャッシュ TTL]	LDAP ルックアップの結果を保持する秒数。
[照会先に従う]	LDAP X509 ID アサーションプロバイダ内のユーザまたはグループの検索で、他の LDAP サーバまたは LDAP ディレクトリ内のブランチへの照会に従うことを指定する。デフォルトで、この属性は有効。
[照会先に匿名でバインドする]	デフォルトでは、検索時に照会先に従う場合、LDAP X509 ID アサーションプロバイダは LDAP サーバへの接続で使用するものと同じ DN およびパスワードを使用する。匿名ユーザとして接続する場合は、この属性を有効にする。詳細については、LDAP システム管理者に問い合わせること。
[結果までのタイムリミット]	タイムアウトするまで LDAP サーバが結果を待機する最大時間 (ミリ秒単位)。この属性が 0 に設定されている場合、最大時間の制限はない。デフォルトでは 0。
[接続タイムアウト]	LDAP サーバへの接続が確立されるまでに待機する最大時間 (秒単位)。この属性が 0 に設定されている場合、最大時間の制限はない。デフォルトでは 0。
[並列接続遅延]	複数の LDAP サーバに同時に接続しようとしたときの遅延 (秒単位)。この属性が 0 に設定されている場合、接続の試行はシリアライズされる。接続の試行はリストの最初のサーバに対して行われる。ホストへの接続が失敗した場合にのみ、リスト内の次のエントリに対して接続が試行される。この属性が設定されず、LDAP サーバが使用できない場合、アプリケーションが長時間ブロックされることがある。この属性が 0 より大きい場合は、指定された時間の経過後に別の接続が開始される。

サーブレットの ID アサーションの順序付け

HTTP リクエストが送信されるときに、ID アサーションに使用できる一致が複数あることもあります。 WebLogic Server の ID アサーションは、次の順序付けを使用します。

X.509 デジタル証明書 (クライアントまたはクライアントと Web サーバの間で双方向 SSL を行うプロキシプラグインに双方向 SSL を通知する)。X.509 がデフォルトセキュリティレルムの ID アサーションプロバイダでコンフィグレーションされているアクティブなトークンタイプの 1 つである場合。
名前が WL-Proxy-Client-<TOKEN> 形式のヘッダ。<TOKEN> は、デフォルトセキュリティレルムの ID アサーションプロバイダでコンフィグレーションされているアクティブなトークンタイプの 1 つです。
注意: この手法は非推奨であり、下位互換性を目的としてのみ使用します。
名前が <TOKEN> 形式のヘッダ。<TOKEN> は、デフォルトセキュリティレルムの ID アサーションプロバイダでコンフィグレーションされているアクティブなトークンタイプの 1 つです。
名前が <TOKEN> 形式のクッキー。<TOKEN> は、デフォルトセキュリティレルムの ID アサーションプロバイダでコンフィグレーションされているアクティブなトークンタイプの 1 つです。

たとえば、デフォルトセキュリティレルムの ID アサーションプロバイダが、FOO および BAR をアクティブなトークンタイプとしてコンフィグレーションされている場合 (次の例では、HTTP リクエストに、アクティブトークンタイプ以外の ID アサーションに関連する情報が何もないと想定する)、ID アサーションは次のようにして行われます。

リクエストが双方向 SSL 接続経由で FOO ヘッダを伴って送られてきた場合は、X.509 が ID アサーションに使用される
リクエストが FOO ヘッダと WL-Proxy-Client-BAR ヘッダを使用して送られてきた場合は、BAR トークンが ID アサーションに使用される
リクエストが FOO ヘッダと BAR クッキーを伴って送られてきた場合は、FOO トークンが ID アサーションに使用される

同じレベルの複数のトークン間の順序付けは定義されていないので、次のように処理されます。

リクエストが FOO ヘッダと BAR ヘッダを伴って送られてきた場合は、FOO または BAR トークンのどちらかが ID アサーションに使用される。ただし、どちらが使用されるかは不明
リクエストが FOO クッキーと BAR クッキーを伴って送られてきた場合は、FOO または BAR トークンのどちらかが ID アサーションに使用される。ただし、どちらが使用されるかは不明

WebLogic 認可プロバイダのコンフィグレーション

認可とは、ユーザとリソースとのやり取りを限定して、整合性、機密性、および可用性を保証するプロセスのことです。すなわち、認可では、ユーザの身元などの情報に基づいてリソースへのアクセスを制御します。

セキュリティレルムでは、WebLogic 認可プロバイダまたはカスタム認可プロバイダのいずれかを使用できます。この節では、WebLogic 認可プロバイダをコンフィグレーションする方法について説明します。カスタムセキュリティプロバイダ (カスタム認可プロバイダを含む) のコンフィグレーションについては、カスタムセキュリティプロバイダのコンフィグレーションを参照してください。

WebLogic 認可プロバイダをコンフィグレーションするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ] ノードを展開します。
[認可] をクリックします。

[認可] テーブルに、コンフィグレーションするレルムのデフォルト認可プロバイダの名前が表示されます。
[新しい Default Authorizer のコンフィグレーション] リンクをクリックします。
[一般] タブの属性値を定義します。

[ポリシーデプロイメントを有効化] 属性で、この認可プロバイダがセキュリティレルムのロール情報を (検索ではなく) 格納するかどうかを指定します。[ポリシーデプロイメントを有効化] 属性をサポートするには、認可プロバイダは DeployableAuthorizationProvider セキュリティサービスプロバイダインタフェース (SSPI) を実装する必要があります。デフォルトで、この属性は有効になっています。ポリシー情報は、組み込み LDAP サーバに格納されます。
[適用] をクリックして変更を保存します。
WebLogic Server を再起動します。

WebLogic 資格マッピングプロバイダのコンフィグレーション

資格マッピングとは、リモートシステム (既存のシステムやアプリケーションなど) の認証および認可メカニズムによって適切な資格セットを取得して、WebLogic リソースにアクセスしようとするユーザを認証するプロセスです。

資格マップの作成については、エンタープライズ情報システムでのシングルサインオン,と『WebLogic J2EE コネクタアーキテクチャ』のセキュリティに関するトピックを参照してください。

セキュリティレルムでは、WebLogic 資格マッピングプロバイダまたはカスタム資格マッピングプロバイダのいずれかを使用できます。この節では、WebLogic 資格マッピングプロバイダをコンフィグレーションする方法について説明します。カスタムセキュリティプロバイダ (カスタム資格マッピングプロバイダを含む) のコンフィグレーションについては、カスタムセキュリティプロバイダのコンフィグレーションを参照してください。

WebLogic 資格マッピングプロバイダをコンフィグレーションするには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ] ノードを展開します。
[資格マッパー] をクリックします。
[新しい Default Credential Mapper のコンフィグレーション] リンクをクリックします。
[一般] タブで、[資格マッピングデプロイメントを有効化] 属性を設定します。

[資格マッピングデプロイメントを有効化] 属性で、この資格マッピングプロバイダが資格マップをデプロイメント記述子 (weblogic-ra.xml ファイル) からセキュリティレルムにインポートするかどうかを指定します。[資格マッピングデプロイメントを有効化] 属性をサポートするには、資格マッピングプロバイダは DeployableCredentialProvider SSPI を実装する必要があります。デフォルトでは、この属性は有効になっています。資格マッピング情報は、組み込み LDAP サーバに格納されます。

詳細については、『WebLogic Security サービスの開発』の「DeployableCredentialMappingProvider SSPI を実装する」を参照してください。
[適用] をクリックして変更を保存します。
WebLogic Server を再起動します。

WebLogic キーストアプロバイダのコンフィグレーション

キーストアは、プライベートキーと信頼性のある認証局 (CA) を格納するファイルを作成および管理するためのメカニズムです。WebLogic キーストアプロバイダは、キーストアのインスタンスを検索します。WebLogic キーストアプロバイダのコンフィグレーションは、SSL プロトコルの設定時のオプションの 1 つです。詳細については、プライベートキー、デジタル証明書、信頼性のある認証局の格納を参照してください。WebLogic キーストアのコンフィグレーションは、セキュリティレルムをカスタマイズするとき、または新しいセキュリティレルムを作成するときのオプションの手順です。

WebLogic ロールマッピングプロバイダのコンフィグレーション

ロールマッピングプロバイダは、特定のリソースのサブジェクトに付与されるロールセットを計算します。ロールマッピングプロバイダは、このロール情報を認可プロバイダに提供します。このため、認可プロバイダは WebLogic リソースに「アクセスできるか」という質問に答えることができます。

セキュリティレルムでは、WebLogic ロールマッピングプロバイダまたはカスタムロールマッピングプロバイダのいずれかを使用できます。この節では、WebLogic ロールマッピングプロバイダをコンフィグレーションする方法について説明します。カスタムセキュリティプロバイダ (カスタムロールマッピングプロバイダを含む) のコンフィグレーションについては、カスタムセキュリティプロバイダのコンフィグレーションを参照してください。

ロールマッピングプロバイダをコンフィグレーションするには、次の手順に従います。

[セキュリティ] ノードを展開します。
[レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ] ノードをクリックします。
[ロールマッパー] をクリックします。

[ロールマッパー] テーブルが表示されます。このテーブルには、コンフィグレーションするレルムのデフォルトロールマッピングプロバイダの名前が表示されます。
[新しい Default Role Mapper のコンフィグレーション] リンクをクリックします。

[一般] タブが表示されます。
[一般] タブの属性値を定義します。

[ロールデプロイメントを有効化] 属性で、このロールマッピングプロバイダが Web アプリケーションおよび EJB 用のデプロイメント記述子の情報をセキュリティレルムにロードするかどうかを指定します。[ロールデプロイメントを有効化] 属性をサポートするには、ロールマッピングプロバイダは DeployableRoleProvider SSPI を実装する必要があります。デフォルトでは、この属性は有効になっています。ロール情報は組み込み LDAP サーバに格納されます。

詳細については、『WebLogic Security サービスの開発』の「ロールマッピングプロバイダ」を参照してください。
[適用] をクリックして変更を保存します。
WebLogic Server を再起動します。

カスタムセキュリティプロバイダのコンフィグレーション

カスタムセキュリティプロバイダをコンフィグレーションするには、次の手順に従います。

カスタムセキュリティプロバイダを作成します。詳細については、『WebLogic Security サービスの開発』を参照してください。
プロバイダ用の MBean JAR ファイルを WL_HOME¥lib¥mbeantypes ディレクトリに置きます。
WebLogic Server Administration Console を起動します。
[セキュリティ｜レルム] ノードを展開します。
コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
[プロバイダ] ノードを展開します。
コンフィグレーションするプロバイダタイプのノードを展開します。たとえば、カスタム認証プロバイダをコンフィグレーションするには認証プロバイダノードを展開します。

そのプロバイダ用のタブが表示されます。
[新しいカスタム Security_Provider_Type のコンフィグレーション] リンクをクリックします。

Security_Provider_Type は、カスタムセキュリティプロバイダの名前です。この名前は、MBean 定義ファイル (MDF) の MBeanType タグに含まれる DisplayName 属性から読み込まれます。
[一般] タブが表示されます。

[名前] 属性に、カスタムセキュリティプロバイダの名前が表示されます。
必要な場合、カスタムセキュリティプロバイダの属性値を変更します。
[適用] をクリックして変更を保存します。
WebLogic Server を再起動します。

セキュリティプロバイダの削除

セキュリティプロバイダを削除するには、次の手順に従います。

[セキュリティ｜レルム] ノードを展開します。
削除するプロバイダがコンフィグレーションされているレルムの名前 (TestRealm など) をクリックします。
[プロバイダ] ノードを展開します。
削除するプロバイダのタイプ ([TestRealm｜認可] など) をクリックします。
そのプロバイダ用のテーブル ([認可] テーブルなど) が表示されます。そのテーブルには、コンフィグレーションされているすべてのプロバイダの名前が表示されます。
プロバイダを削除するには、そのプロバイダテーブルのごみ箱アイコンをクリックします。
WebLogic Server を再起動します。

注意: コンフィグレーション済みのセキュリティプロバイダを WebLogic Server Administration Console で削除および修正するには、セキュリティプロバイダデータベースの手動クリーンアップが必要となる場合があります。