BEA ホーム | 製品 | dev2dev | support | askBEA
 ドキュメントのダウンロード   サイト マップ   Glossary 
検索
e-docs > WebLogic Server > WebLogic リソースのセキュリティ > 例 : Administration Console を使用した URL (Web) リソースの保護

WebLogic リソースのセキュリティ

 Previous Next Contents Index PDF で侮ヲ  

例 : Administration Console を使用した URL (Web) リソースの保護

この例では、すべてのデプロイ済み Web アプリケーションへのアクセスを、デフォルト グローバル セキュリティ ロールが付与されているユーザに制限します。次に、basicauth Web アプリケーションへのアクセスを別のユーザに制限します。最後に、スコープ ロールを使用して、Web アプリケーション内の特定の JSP (welcome.jsp) に対するセキュリティをさらに強化します。

注意: この例に進む前に、URL リソースおよび EJB リソースを保護する方法URL リソースおよび EJB リソースを保護するための前提条件、およびセキュリティ ロールのタイプ : グローバル ロールとスコープ ロールに目を通しておいてください。

WebLogic Server Administration Console を使用して URL (Web) リソースを保護するには、次の手順に従います。

 

手順 1 : サーバと前提設定を指定する

  1. fullyDelegateAuthorization フラグの変更方法の指示に従って、fullyDelegateAuthorization フラグを true に設定します。

    注意: この設定の意味 : すべての URL (Web) および EJB リソースに対して WebLogic Security サービスによるセキュリティ チェックを実行するように WebLogic Server に指示します。 詳細については、fullyDelegateAuthorization フラグについてを参照してください。

  2. Windows の [スタート] メニューから、[プログラム|BEA WebLogic Platform 7.0|WebLogic Server 7.0|Server Tour and Examples|Launch Examples Server] を選択して examplesServer というサーバを起動します。

    examplesServer が起動するとコンソールにfullyDelegateAuthorization フラグが表示され、ブラウザに [BEA WebLogic Server Out-of-the-Box Examples Index Page] が表示されます。

  3. [BEA WebLogic Server Out-of-the-Box Examples Index Page] の上部にある [ Administration Console] リンクをクリックします。

  4. [サインイン] ボタンをクリックして examplesServer の Administration Console にサインインします。

  5. Administration Console の左側のナビゲーション ツリーを使用して、[セキュリティ|レルム] を展開します。

  6. myrealm セキュリティ レルムをクリックします。

  7. [一般] タブで、[デプロイメント記述子内のセキュリティ データを無視] チェック ボックスをクリックします(つまり、ボックスにチェック マークを入れます)。

    注意: この設定の意味 : Administration Console を使用して、Web アプリケーションおよび EJB リソースのセキュリティを設定するように WebLogic Server に指示します。 詳細については、[デプロイメント記述子内のセキュリティ データを無視] チェック ボックスについてを参照してください。

  8. [適用] をクリックして変更を保存します。

 

手順 2 : ユーザを作成する

  1. Administration Console の左側のナビゲーション ツリーを使用して、[セキュリティ|レルム] を展開します。

  2. myrealm セキュリティ レルムを展開します。

  3. [ユーザ] をクリックします。

    [ユーザを選択] には、WebLogic 認証プロバイダのデータベースで現在定義されているすべてのユーザが表示されます。

  4. [新しいユーザのコンフィグレーション] リンクをクリックして、[ユーザの作成] ページを表示します。

  5. [一般] タブの [名前] フィールドに Tom と入力します。

  6. 必要な場合は、[記述] フィールドにユーザの説明を入力します。

  7. [パスワード] および [パスワードの確認] フィールドに webexample と入力します。

  8. [適用] をクリックして変更を保存します。

  9. 手順 4 から 8 を繰り返して Neil というユーザを作成します。

  10. ナビゲーション ツリーを使用して [ユーザ] をクリックし、ユーザ Tom および Neil が追加されていることを確認します。

    [ユーザを選択] ページを表示すると、Tom と Neil が WebLogic 認証プロバイダのデータベースに追加されていることがわかります。

 

手順 3 : ユーザをグループに追加する

注意: 新しいグループを作成する代わりに、ここでは WebLogic Server のデフォルト グループの 1 つを使用します。

  1. [ユーザを選択] ページで、ユーザ名 Tom のリンクをクリックします。

  2. [グループ] タブをクリックします。

  3. [指定できるグループ] リスト ボックスで、Administrators グループをクリックして強調表示します。

  4. 強調表示された右矢印をクリックして、[指定できるグループ] リスト ボックスから [現在のグループ] リスト ボックスに Administrators グループを移動します。

  5. [適用] をクリックして変更を保存します。

注意: NeilAdministrators グループに追加しないでください。

 

手順 4 : グループにグローバル ロールを付与する

注意: Administrators というデフォルト グループには Admin というデフォルト グローバル ロールが自動的に付与されるため、グローバル ロールを作成したり、そのグローバル ロールを Administrators グループに付与したりする必要はありません。

ただし、グループにグローバル ロールが付与されていることを確認する場合は、次の手順に従います。

  1. ナビゲーション ツリーを使用して [ロール] をクリックします。

    [ロールの選択] ページには、WebLogic ロール マッピング プロバイダのデータベースで現在定義されているすべてのグローバル ロールが表示されます。

  2. グローバル ロール名 Admin のリンクをクリックします。

  3. [条件] タブをクリックします。

    [ロール文] リスト ボックスに次のように表示されます。

    呼び出し側をメンバとするグループは

    Administrators

 

手順 5 : グローバル ロールを使用してすべての URL (Web) リソースのセキュリティ ポリシーを作成する

  1. ナビゲーション ツリーを使用して、[デプロイメント] を展開してから、[Web アプリケーション] を右クリックします。

  2. メニューから [ポリシーを定義] オプションを選択して、ポリシー エディタ ページを表示します。

    注意: このオプションの意味 : すべてのデプロイ済み Web アプリケーションとそのコンポーネントを対象とするセキュリティ ポリシーを作成します。

  3. [ポリシー条件] リスト ボックスで、[呼び出し側に許可するロールは] を強調表示します。

  4. [追加] をクリックして [ロール] ウィンドウを表示します。

  5. [ロール名の入力] フィールドに Admin と入力します。

  6. [追加] をクリックしてから [OK] をクリックします。

    [ロール] ウィンドウが閉じます。[ポリシー文] リスト ボックスに次のように表示されます。

    呼び出し側をメンバとするグループは

    Everyone

    and 呼び出し側に許可するロールは

    Admin

    注意: 表示される [呼び出し側をメンバとするグループは] ポリシー条件は、URL リソースのデフォルト セキュリティ ポリシーの一部です。 詳細については、デフォルト セキュリティ ポリシーを参照してください。

  7. [呼び出し側をメンバとするグループは] ポリシー条件を強調表示し、[削除] をクリックします。

    [ポリシー文] リスト ボックスに次のように表示されます。

    呼び出し側に許可するロールは

    Admin

  8. [適用] をクリックして変更を保存します。

 

手順 6 : Web アプリケーションへのアクセスを試行する

注意: この節で説明する手順はすべて、Windows 環境での作業を想定しています。

  1. 「Basic Authentication Sample Web Application」を入手します (dev2dev Web サイトの「Code Samples: Weblogic Server 」からダウンロード可)。

  2. basicauth.zip ファイルを一時ディレクトリ (C:¥basicauth など) に展開します。

  3. basicauth Web アプリケーションをデプロイして、examplesServer に割り当てます。

    注意: Web アプリケーションをデプロイする手順については、『WebLogic Server アプリケーションの開発』の「Administration Console を使用した J2EE アプリケーションのデプロイ」を参照してください。

  4. Web ブラウザを開いて http://localhost:7001/basicauth と入力します。

    ユーザ名とパスワードを要求されます。

  5. ユーザ名フィールドに Neil、パスワード フィールドに webexample と入力して、[OK] をクリックします。

    ユーザ名とパスワードを再び要求されます。

  6. ユーザ名フィールドに Tom、パスワード フィールドに webexample と入力して、[OK] をクリックします。

    ブラウザに図 6-1 のようなページが表示されます。

    図6-1 ブラウザベースの認証サンプルの Web ページ


     

    グローバル セキュリティ ロール Admin (ユーザ Tom は付与されているが、ユーザ Neil は付与されていない) に基づいたセキュリティ ポリシーによって、(basicauth Web アプリケーションを含む) すべての URL (Web) リソースを保護したため、このような結果になります。

注意: この手順の後に誤って Web ブラウザを閉じてしまった場合は、http://localhost:7001/console と入力し、[サインイン] ボタンをクリックすると Administration Console に戻ります。WebLogic Server を実行しているコンソール ウィンドウを誤って閉じてしまい、手順 1 : サーバと前提設定を指定するの手順 1 から 3 を実行しようとする場合、まず Tom/webexample を使用してログインする必要があります。この手順ですべての Web アプリケーションを保護すると、examplesWebapp も保護されるからです。

 

手順 7: basicauth Web アプリケーションへのアクセスを制限する

  1. Administration Console の左側のナビゲーション ツリーを使用して、[Web アプリケーション] を展開してから、basicauth を右クリックします。

  2. メニューから [ポリシーを定義] オプションを選択します。

    注意: このオプションの意味 : 特定の Web アプリケーションまたは Web アプリケーション内の特定のコンポーネントに対してセキュリティ ポリシーを作成できます。

  3. [一般] タブの [URL パターン] フィールドに /* を入力します。

    注意: /* という URL パターンを使用すると、basicauth Web アプリケーション内のすべてのコンポーネント (JSP とサーブレットを含む) が保護されます。

  4. [ポリシーを定義] ボタンをクリックして続行します。

  5. [ポリシー条件] リスト ボックスで、[呼び出し側のユーザ名は] を強調表示します。

    注意: [Methods] ドロップダウン メニューに表示される値は変更しないでください (ALL と表示されています)。

  6. [追加] をクリックして [ユーザ] ウィンドウを表示します。

  7. [ユーザ名の入力] フィールドに Neil と入力します。

  8. [追加] をクリックしてから [OK] をクリックします。

    [ユーザ] ウィンドウが閉じます。[ポリシー文] リスト ボックスに次のように表示されます。

    呼び出し側のユーザ名は

    Neil

    注意: basicauth Web アプリケーションのセキュリティ ポリシーを定義すると、手順 5 : グローバル ロールを使用してすべての URL (Web) リソースのセキュリティ ポリシーを作成する.ですべての URL (Web) リソースに対して定義したセキュリティ ポリシーがオーバライドされることに注意してください。

    呼び出し側に許可するロールは

    Admin

    上記は [継承されたポリシー文] リスト ボックスに表示されます。

  9. [適用] をクリックして変更を保存します。

  10. 手順 6 : Web アプリケーションへのアクセスを試行するの 4 から 6 を繰り返します。

    basicauth Web アプリケーションの動作は反対になります。 つまり、ユーザ Tom として basicauth Web アプリケーションにアクセスしようとすると、ユーザ名とパスワードを再び要求されます。 ユーザ Neil としてアクセスすると、ブラウザには図 6-1 で示したページが表示されますが、「Welcome Neil」と表示されます。

    特定のユーザ (このケースではユーザ Neil) に基づくセキュリティ ポリシーによって basicauth Web アプリケーション内のすべてのコンポーネントを保護したため、このような結果になります。

 

手順 8 : スコープ ロールを作成する

  1. Administration Console の左側のナビゲーション ツリーを使用して、basicauth を右クリックします。

  2. メニューから [ロールを定義] オプションを選択します。

    注意: このオプションの意味 : 特定の Web アプリケーションを対象とするセキュリティ ロールを作成できます。それ以降、そのスコープ ロールはこの Web アプリケーションのセキュリティ ポリシーでのみ使用されます。

  3. [一般] タブの [URL パターン] フィールドに /* を入力します。

    注意: /* という URL パターンを使用すると、セキュリティ ロールの対象は basicauth Web アプリケーション内のすべてのコンポーネント (JSP とサーブレットを含む) になります。

  4. [ロールを定義] ボタンをクリックして続行します。

  5. [新しい Role のコンフィグレーション] リンクをクリックして、[ロールを作成] ページを表示します。

  6. [一般] タブの [名前] フィールドに AppAdmin と入力します。

  7. [適用] をクリックして変更を保存します。

 

手順 9 : グループにスコープ ロールを付与する

  1. [条件] タブをクリックします。

  2. [ロール条件] リスト ボックスで、[呼び出し側をメンバとするグループは] を強調表示します。

  3. [追加] をクリックして [グループ] ウィンドウを表示します。

  4. [グループ名の入力] フィールドに Administrators と入力します。

  5. [追加] をクリックしてから [OK] をクリックします。

    [グループ] ウィンドウが閉じます。[ロール文] リスト ボックスに次のように表示されます。

    呼び出し側をメンバとするグループは

    Administrators

  6. [適用] をクリックして変更を保存します。

 

手順 10 :スコープ ロールを使用してウエルカム JSP へのアクセスを制限する

  1. Administration Console の左側のナビゲーション ツリーを使用して、basicauth を右クリックします。

  2. メニューから [ポリシーを定義] オプションを選択します。

    注意: このオプションの意味 : 特定の Web アプリケーションまたは Web アプリケーション内の特定のコンポーネントに対してセキュリティ ポリシーを作成できます。

  3. [一般] タブの [URL パターン] フィールドに /welcome.jsp と入力します。

  4. [ポリシーを定義] ボタンをクリックして続行します。

  5. [ポリシー条件] リスト ボックスで、[呼び出し側に許可するロールは] を強調表示します。

    注意: [Methods] ドロップダウン メニューに表示される値は変更しないでください (ALL と表示されています)。

  6. [追加] をクリックして [ロール] ウィンドウを表示します。

  7. [ロール名の入力] フィールドに AppAdmin と入力します。

  8. [追加] をクリックしてから [OK] をクリックします。

    [ロール] ウィンドウが閉じます。[ポリシー文] リスト ボックスに次のように表示されます。

    呼び出し側に許可するロールは

    AppAdmin

    注意: welcome.jsp に対するこのセキュリティ ポリシーを定義すると、手順 7: basicauth Web アプリケーションへのアクセスを制限する.basicauth Web アプリケーションに対して定義したセキュリティ ポリシーがオーバライドされることに注意してください。具体的には、以下の継承されたポリシー文がオーバライドされます。

    呼び出し側のユーザ名は

    Neil

    上記の文は、[継承されたポリシー文] リスト ボックスに表示されます。

  9. [適用] をクリックして変更を保存します。

  10. 手順 6 : Web アプリケーションへのアクセスを試行するの 4 から 6 を繰り返します。

    basicauth Web アプリケーションの動作は反対になります。 つまり、ユーザ Neil として basicauth Web アプリケーションの welcome.jsp にアクセスしようとすると、ユーザ名とパスワードを再び要求されます。 ユーザ Tom としてアクセスすると、ブラウザには図 6-1で示したページが表示されます。

    スコープ セキュリティ ロール AppAdmin (ユーザ Tom は付与されているが、ユーザ Neil は付与されていない) に基づいたセキュリティ ポリシーによって、welcome.jsp ページを保護したため、このような結果になります。

 

Back to Top Previous Next