ナビゲーションをスキップ.

eDocs ホーム > BEA WebLogic Server および WebLogic Express 8.1 ドキュメント > Administration Console オンライン ヘルプ > セキュリティ

Administration Console オンライン ヘルプ

  前 次 前/次ボタンと目次ボタンとの区切り線 目次

セキュリティ

[セキュリティに関する属性と Administration Console 画面のリファレンス]

このトピックでは、このリリースの WebLogic Server におけるセキュリティのコンフィグレーションと管理について説明します。詳細については、『WebLogic Security の管理』を参照してください。

互換性セキュリティを使用する WebLogic Server デプロイメントのセキュリティのコンフィグレーションと管理については、互換性セキュリティおよび『WebLogic Security の管理』の「互換性セキュリティの使い方」を参照してください。

 

タスク

WebLogic Server のデフォルト セキュリティ コンフィグレーション

WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティ レルム (myrealm) が用意されています。デフォルトのセキュリティ レルムには、WebLogic の認証、ID アサーション、認可、裁決、ロール マッピング、および資格マッピングの各プロバイダがコンフィグレーションされています。デフォルトのセキュリティ コンフィグレーションを使用する場合、セキュリティ レルムでグループ、ユーザ、およびセキュリティ ロールを定義し、ドメイン内の WebLogic リソースに対するセキュリティ ポリシーを作成するだけで済みます。組み込み LDAP サーバのコンフィグレーションが適切であるかどうかも確認する必要があります。必要に応じて、デフォルト レルムの監査プロバイダをコンフィグレーションできます。

デフォルト セキュリティ コンフィグレーションでは要件が満たされない場合、WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダを自由に組み合わせて新しいセキュリティ レルムを作成し、そのセキュリティ レルムをデフォルト セキュリティ レルムとして設定できます。詳細については、新しいセキュリティ レルムのコンフィグレーションを参照してください。

グループの定義

注意: この節は GroupReader セキュリティ サービス プロバイダ インタフェース (SSPI) を実装する認証プロバイダ (WebLogic 認証プロバイダなど) に適用されます。使用する認証プロバイダがこの SSPI を実装していない場合、WebLogic Server Administration Console でユーザを管理することはできません。

グループ名はユニークでなければなりません。 グループとユーザを同じ名前で定義しないでください。 カンマ、タブ、< >、#、|、&、?、( )、{ } は使用しないでください。 グループ名では大文字と小文字を区別します。

グループには大文字で始まる複数形の名前を使用することをお勧めします (たとえば Administrators)。

グループを定義するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。
  3. [グループ] をクリックします。

    4. [グループ] テーブルが表示されます。このテーブルには、セキュリティ レルムでコンフィグレーション済みの認証プロバイダで定義されているすべてのグループの名前が表示されます。

  4. [新しい Group のコンフィグレーション] リンクをクリックします。
  5. [グループ|一般] ページで、グループ名を入力します。
  6. グループの簡単な説明を入力します (たとえば Product Managers for Code Examples)。
  7. [適用] をクリックして変更を保存します。
  8. [メンバシップ] タブをクリックして既存のグループを新しいグループに追加します。
    • [指定できるグループ] テーブルには、使用できるすべてのグループが表示されます。
    • [現在のグループ] テーブルには、グループに対して現在定義されているすべてのグループが表示されます。

    グループを別のグループに追加するには、目的のグループ名を選択し、右矢印をクリックしてそのグループ名を [現在のグループ] テーブルに移動します。

  9. [適用] をクリックして変更を保存します。

グループの削除

グループを削除するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。
  3. [グループ] をクリックします。

    4. [グループ] テーブルが表示されます。このテーブルには、セキュリティ レルムでコンフィグレーション済みの認証プロバイダで定義されているすべてのグループの名前が表示されます。

  4. グループを削除するには、[グループ] テーブルの対応する行にあるごみ箱アイコンをクリックします。

ユーザの定義

注意: この節は UserEditor SSPI を実装する認証プロバイダ (WebLogic 認証プロバイダなど) に適用されます。使用する認証プロバイダが UserEditor SSPI を実装していない場合、WebLogic Server Administration Console でユーザを管理することはできません。

ユーザ名はユニークでなければなりません。 グループとユーザを同じ名前で定義しないでください。 カンマ、タブ、< >、#、|、&、?、( )、{ } は使用しないでください。 ユーザ名では大文字と小文字を区別します。

プロダクション環境では、ユーザ名とパスワードの組み合わせとして weblogic/weblogic を使用しないでください。

ユーザを定義するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。
  3. [ユーザ] をクリックします。

    4. [ユーザ] テーブルが表示されます。このテーブルには、認証プロバイダで定義されているすべてのユーザの名前が表示されます。

  4. [新しい User のコンフィグレーション] リンクをクリックします。
  5. [ユーザ|一般] ページで、ユーザ名を入力します。
  6. ユーザのパスワードを入力します。

注意: WebLogic 認証プロバイダで定義されているユーザの最小パスワード長は 8 文字です。ただし、パスワードの規則 (文字の種類や長さなど) は認証プロバイダによって異なります。

  1. ユーザのパスワードを [パスワードの確認] フィールドに再入力します。
  2. [適用] をクリックして変更を保存します。

    3. 注意: 管理を効率化するため、ユーザをグループに追加することをお勧めします。

  3. [グループ] タブをクリックします。
  4. [指定できるグループ] リスト ボックスで、グループの名前をクリックして選択します。
  5. 右矢印をクリックして、グループを [現在のグループ] リスト ボックスに移動します。
  6. 必要な場合は、手順 6 と 7 を繰り返して、複数のグループにユーザを追加します。
  7. [適用] をクリックして変更を保存します。

ユーザの削除

ユーザを削除するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。
  3. [ユーザ] をクリックします。

    4. [ユーザ] テーブルが表示されます。このテーブルには、認証プロバイダで定義されているすべてのユーザの名前が表示されます。

  4. ユーザを削除するには、[ユーザ] テーブルの対応する行にあるごみ箱アイコンをクリックします。

ユーザのパスワードの変更

注意: WebLogic 認証プロバイダで定義されているユーザの最小パスワード長は 8 文字です。ただし、パスワードの規則 (文字の種類や長さなど) は認証プロバイダによって異なります。

ユーザのパスワードを変更するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。
  3. [ユーザ] をクリックします。
  4. ユーザを選択します。
  5. [パスワード] 属性の [変更...] リンクをクリックします。
  6. ユーザのパスワードを入力します。
  7. [適用] をクリックします。

ユーザ アカウントの保護

WebLogic Server には、ユーザ アカウントを侵入者から保護するための属性セットが用意されています。デフォルトでは、これらの属性は最高の保護レベルに設定されています。システム管理者は、すべての属性を無効にしたり、ユーザ アカウントがロックされるまでのログイン試行回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン試行期間を延ばしたり、ユーザ アカウントのロック時間を変更したりできます。これらの属性を変更すると、セキュリティ レベルが低下して攻撃を受けやすくなることに注意してください。

[ユーザ ロックアウト] 属性を設定するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。
  3. [ユーザ ロックアウト] タブを選択します。
  4. 指示に従って値を入力し、必要なチェックボックスをチェックすることで、このページの属性をコンフィグレーションします。
  5. 変更を保存するには、[適用] をクリックします。
  6. WebLogic Server を再起動します。

ユーザ アカウントのロックの解除

ユーザ アカウントのロックを解除するには、次の手順に従います。

  1. サーバの [モニタ|セキュリティ] タブを展開します。
  2. [ユーザ] テーブルで、ロックを解除するユーザの [詳細] リンクをクリックします。
  3. [ロック解除] をクリックします。

グローバル ロールの定義

セキュリティ レルム内 (したがって WebLogic Server ドメイン全体) にデプロイされているすべての WebLogic リソースに適用されるセキュリティ ロールはグローバル ロールと呼ばれます。

ここではグローバル ロールの作成手順について説明します。ただし、グローバル ロールの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳細に理解するには、『WebLogic リソースのセキュリティ』を参照してください。

注意: 大文字で始まる単数の名前を使用することをお勧めします (たとえば SecurityEng)。

グローバル ロールを定義するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。
  3. [ロール] をクリックします。

    4. [Select Roles] ページが表示されます。このページには、WebLogic ロール マッピング プロバイダのデータベースに現在定義されているすべてのグローバル ロールが表示されます。

  4. [新しい Role のコンフィグレーション] リンクをクリックします。

    5. [Create Role] ページが表示されます。

  5. [一般] ページで、[名前] フィールドにグローバル ロールの名前を入力します。

    6. 注意: セキュリティ ロール名にはスペースや < > 文字を使用しないでください。セキュリティ ロール名では大文字と小文字を区別します。BEA の規約では、すべてのセキュリティ ロール名は単数形です。

  6. [適用] ボタンをクリックして変更を保存します。
  7. [条件] タブをクリックします。
  8. [ロール条件] リスト ボックスで、条件のうち 1 つをクリックします。

    9. 注意: [呼び出し側をメンバとするグループは] 条件を使用して式を作成することをお勧めします。グループを使用してセキュリティ ロールを作成すると、そのグループのすべてのメンバー (つまり複数のユーザ) にセキュリティ ロールを付与できます。

  9. [追加] ボタンをクリックします。カスタマイズされたウィンドウが表示されます。
  10. [アクセス可能な時間帯は] 条件を選択した場合は、[時間制約] ウィンドウを使用して開始時刻と終了時刻を選択し、[OK] ボタンをクリックします。

    11. 他の条件のいずれかを選択した場合は、次の手順に従います。

    1. [ユーザ] または [グループ] ウィンドウを使用してユーザまたはグループの名前を入力し、[追加] ボタンをクリックします。

      2. 注意: この手順を何度も繰り返して複数のユーザまたはグループを追加できます。

    2. 必要な場合は、リスト ボックスの右にあるボタンを使用して式を変更します。

      3. [上へ移動] および [下へ移動] ボタンを使用すると、選択したユーザ名またはグループ名の順序を変更できます。[変更] ボタンを使用すると、式の間の選択された and 文と or 文を切り替えることができます。[削除] ボタンを使用すると、選択されたユーザ名またはグループ名が削除されます。

    3. [OK] をクリックして、ロール文に式を追加します。
  11. 必要な場合は、手順 8 〜 10 を繰り返して、異なるロール条件に基づいた式を追加します。
  12. 必要な場合は、[ロール文] リスト ボックスの右にあるボタンを使用して式を変更します。
    • [上へ移動] および [下へ移動] ボタンを使用すると、選択した式の順序を変更できます。
    • [変更] ボタンを使用すると、式の間の選択された and 文と or 文を切り替えることができます。
    • [編集...] ボタンを使用すると、選択した式のカスタマイズされたウィンドウが再び開き、式を変更できます。
    • [削除] ボタンを使用すると、選択された式が削除されます。
  13. [ロール文] リスト ボックスのすべての式が適切な場合は、[適用] ボタンをクリックします。

    14. 注意: [リセット] ボタンをクリックすると、[ロール文] リスト ボックスに表示されたすべての式が削除されます。

グローバル ロールの削除

グローバル ロールを削除するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (myrealm など) をクリックします。
  3. [ロール] をクリックします。

    4. [Select Roles] ページが表示されます。このページには、WebLogic ロール マッピング プロバイダのデータベースに現在定義されているすべてのグローバル ロールが表示されます。

  4. ロールを削除するには、[Select Roles] ページの対応する行にあるごみ箱アイコンをクリックします。

    5. 削除を確認するウィンドウが表示されます。

  5. [はい] をクリックしてグローバル ロールを削除します。

スコープ ロールの定義

セキュリティ レルムにデプロイされている WebLogic リソースの特定のインスタンス (EJB のメソッドや JNDI ツリーのブランチなど) に適用されるセキュリティ ロールはスコープ ロールと呼ばれます。スコープ ロールの作成手順は、WebLogic リソースのタイプや、セキュリティ ロールのスコープのレベルによって若干異なります。以下の節で説明する適切な手順を使用してください。

WebLogic リソースに対するスコープ ロールの定義方法の詳細については、『WebLogic リソースのセキュリティ』を参照してください。

URL (Web) リソース

URL (Web) リソースに対するスコープ ロールを作成するには、次の手順に従います。

  1. WebLogic Server Administration Console の左側にあるナビゲーション ツリーを使用して、[デプロイメント] の横の + 記号をクリックします。

    2. [デプロイメント] ノードを展開すると、デプロイできる WebLogic リソースのタイプが表示されます。

  2. スコープ ロールを作成する URL (Web) リソースのレベルで、右マウス ボタンをクリックします。

    3. オプションのメニューが表示されます。

    • すべての Web アプリケーション (WAR) に対するスコープ ロールを作成するには、[Web アプリケーション] の上で右マウス ボタンをクリックします。
    • 特定の WAR または WAR 内のコンポーネント (特定のサーブレットや JSP など) に対するスコープ ロールを作成するには、[Web アプリケーション] の横の + 記号をクリックしてから、Web アプリケーション (WAR) の名前の上で右マウス ボタンをクリックします。
  3. すべての Web アプリケーション (WAR) に対するスコープ ロールを作成する場合は、[ロール スコープを定義...] オプションを選択します。

    4. 特定の WAR、または WAR 内のコンポーネントに対するスコープ ロールを作成する場合は、次の手順に従います。

    1. [ロール スコープを定義...] オプションを選択します。

      2. [一般] ページが表示されます。

    2. テキスト フィールドに URL パターンを入力します。

      3. URL パターンは、Web アプリケーションに属する特定のコンポーネントのパスです。または、/* を使用すると、Web アプリケーション内のすべてのコンポーネント (サーブレット、JSP など) にスコープ ロールを関連付けることができます。

    3. [ロール スコープを定義...] ボタンをクリックして次に進みます。[Select Roles] ページが表示されます。WebLogic ロール マッピング プロバイダのデータベースに、この WebLogic リソースに対して現在定義されているスコープ ロールがある場合は、このページに表示されます。
  4. [新しい Role のコンフィグレーション] リンクをクリックします。

    5. [Create Role] ページが表示されます。

  5. [一般] ページで、[名前] フィールドにスコープ ロールの名前を入力します。

    6. 注意: セキュリティ ロール名にはスペースや < > 文字を使用しないでください。ロール名では大文字と小文字を区別します。BEA の規約では、すべてのセキュリティ ロール名は単数形です。

    警告: グローバル ロールと同じ名前のスコープ ロールを作成した場合は、スコープ ロールがグローバル ロールよりも優先されます。

  6. [適用] ボタンをクリックして変更を保存します。
  7. [条件] タブをクリックします。

    8. [Role Editor] ページが表示されます。

  8. [ロール条件] リスト ボックスで、条件のうち 1 つをクリックします。

    9. 注意: [呼び出し側をメンバとするグループは] 条件を使用して式を作成することをお勧めします。グループを使用してセキュリティ ロールを作成すると、そのグループのすべてのメンバー (つまり複数のユーザ) にセキュリティ ロールを付与できます。

  9. [追加] ボタンをクリックします。
  10. [アクセス可能な時間帯は] 条件を選択した場合は、[時間制約] ウィンドウを使用して開始時刻と終了時刻を選択し、[OK] ボタンをクリックします。

    11. 他の条件のいずれかを選択した場合は、次の手順に従います。

    1. [ユーザ] または [グループ] ウィンドウを使用してユーザまたはグループの名前を入力し、[追加] ボタンをクリックします。

      2. 注意: この手順を何度も繰り返して複数のユーザまたはグループを追加できます。

    2. 必要な場合は、リスト ボックスの右にあるボタンを使用して式を変更します。

      3. [上へ移動] および [下へ移動] ボタンを使用すると、選択したユーザ名またはグループ名の順序を変更できます。[変更] ボタンを使用すると、式の間の選択された and 文と or 文を切り替えることができます。[削除] ボタンを使用すると、選択されたユーザ名またはグループ名が削除されます。

    3. [OK] をクリックして、ロール文に式を追加します。
  11. 必要な場合は、手順 8 〜 10 を繰り返して、異なるロール条件に基づいた式を追加します。
  12. 必要な場合は、[ロール文] リスト ボックスの右にあるボタンを使用して式を変更します。
    • [上へ移動] および [下へ移動] ボタンを使用すると、選択した式の順序を変更できます。
    • [変更] ボタンを使用すると、式の間の選択された and 文と or 文を切り替えることができます。
    • [編集...] ボタンを使用すると、選択した式のカスタマイズされたウィンドウが再び開き、式を変更できます。
    • [削除] ボタンを使用すると、選択された式が削除されます。
  13. [ロール文] リスト ボックスのすべての式が適切な場合は、[適用] ボタンをクリックします。

    14. 注意: [リセット] ボタンをクリックすると、[ロール文] リスト ボックスに表示されたすべての式が削除されます。

エンタープライズ JavaBean (EJB) リソース

EJB リソースに対するスコープ ロールを作成するには、次の手順に従います。

  1. WebLogic Server Administration Console の左側にあるナビゲーション ツリーを使用して、[デプロイメント] の横の + 記号をクリックします。

    2. [デプロイメント] ノードを展開すると、デプロイできる WebLogic リソースのタイプが表示されます。

  2. スコープ ロールを作成する EJB リソースのレベルで、右マウス ボタンをクリックします。

    3. すべての EJB JAR に対するスコープ ロールを作成するには、[EJB] の上で右マウス ボタンをクリックします。特定の EJB JAR または JAR 内の EJB に対するスコープ ロールを作成するには、[EJB] の横の + 記号をクリックしてから、EJB JAR の名前の上で右マウス ボタンをクリックします。

  3. すべての EJB JAR または特定の EJB JAR に対するスコープ ロールを作成する場合は、[ロール スコープを定義...] オプションを選択します。

    4. [Select Roles] ページが表示されます。WebLogic ロール マッピング プロバイダのデータベースに、この WebLogic リソースに対して現在定義されているスコープ ロールがある場合は、このページに表示されます。

    EJB JAR 内の特定の EJB 対するスコープ ロールを作成する場合は、次の手順に従います。

    1. [個別の Bean のポリシーとロールを定義...] オプションを選択します。EJB のリストが表示されます。
    2. スコープ ロールを作成する特定の EJB と同じ行にある [ロール スコープを定義] リンクをクリックします。[Select Roles] ページが表示されます。WebLogic ロール マッピング プロバイダのデータベースに、この WebLogic リソースに対して現在定義されているスコープ ロールがある場合は、このページに表示されます。
  4. [新しい Role のコンフィグレーション] リンクをクリックします。

    5. [Create Role] ページが表示されます。

  5. [一般] ページで、[名前] フィールドにスコープ ロールの名前を入力します。

    6. 注意: セキュリティ ロール名にはスペースや < > 文字を使用しないでください。セキュリティ ロール名では大文字と小文字を区別します。BEA の規約では、すべてのセキュリティ ロール名は単数形です。

    警告: グローバル ロールと同じ名前のスコープ ロールを作成した場合は、スコープ ロールがグローバル ロールよりも優先されます。

  6. [適用] ボタンをクリックして変更を保存します。
  7. [条件] タブをクリックします。

    8. [Role Editor] ページが表示されます。

  8. [ロール条件] リスト ボックスで、条件のうち 1 つをクリックします。

    9. 注意: [呼び出し側をメンバとするグループは] 条件を使用して式を作成することをお勧めします。グループを使用してセキュリティ ロールを作成すると、そのグループのすべてのメンバー (つまり複数のユーザ) にセキュリティ ロールを付与できます。

  9. [追加] ボタンをクリックします。
  10. [アクセス可能な時間帯は] 条件を選択した場合は、[時間制約] ウィンドウを使用して開始時刻と終了時刻を選択し、[OK] ボタンをクリックします。

    11. 他の条件のいずれかを選択した場合は、次の手順に従います。

    1. [ユーザ] または [グループ] ウィンドウを使用してユーザまたはグループの名前を入力し、[追加] ボタンをクリックします。

      2. 注意: この手順を何度も繰り返して複数のユーザまたはグループを追加できます。

    2. 必要な場合は、リスト ボックスの右にあるボタンを使用して式を変更します。

      3. [上へ移動] および [下へ移動] ボタンを使用すると、選択したユーザ名またはグループ名の順序を変更できます。[変更] ボタンを使用すると、式の間の選択された and 文と or 文を切り替えることができます。[削除] ボタンを使用すると、選択されたユーザ名またはグループ名が削除されます。

    3. [OK] をクリックして、ロール文に式を追加します。
  11. 必要な場合は、手順 8 〜 10 を繰り返して、異なるロール条件に基づいた式を追加します。
  12. 必要な場合は、[ロール文] リスト ボックスの右にあるボタンを使用して式を変更します。
    • [上へ移動] および [下へ移動] ボタンを使用すると、選択した式の順序を変更できます。
    • [変更] ボタンを使用すると、式の間の選択された and 文と or 文を切り替えることができます。
    • [編集...] ボタンを使用すると、選択した式のカスタマイズされたウィンドウが再び開き、式を変更できます。
    • [削除] ボタンを使用すると、選択された式が削除されます。
  13. [ロール文] リスト ボックスのすべての式が適切な場合は、[適用] ボタンをクリックします。

    14. 注意: [リセット] ボタンをクリックすると、[ロール文] リスト ボックスに表示されたすべての式が削除されます。

JNDI リソース

JNDI リソースに対するスコープ ロールを作成するには、次の手順に従います。

  1. WebLogic Server Administration Console の左側にあるナビゲーション ツリーを使用して、[サーバ] の横の + 記号をクリックします。

    2. [サーバ] ノードを展開すると、現在の WebLogic Server ドメインで使用できるサーバが表示されます。

  2. スコープ ロールを作成する JNDI リソースが含まれているサーバの名前 (myserver など) の上で、右マウス ボタンをクリックします。
  3. [JNDI ツリーを見る] オプションを選択します。
  4. スコープ ロールを作成する JNDI リソースのレベルで、右マウス ボタンをクリックします。
  5. [ロール スコープを定義...] オプションを選択します。
  6. [新しい Role のコンフィグレーション] リンクをクリックします。

    7. [Create Role] ページが表示されます。WebLogic ロール マッピング プロバイダのデータベースに、この WebLogic リソースに対して現在定義されているスコープ ロールがある場合は、このページに表示されます。

  7. [一般] ページで、[名前] フィールドにスコープ ロールの名前を入力します。

    8. 注意: セキュリティ ロール名にはスペースや < > 文字を使用しないでください。セキュリティ ロール名では大文字と小文字を区別します。BEA の規約では、すべてのセキュリティ ロール名は単数形です。

    警告: グローバル ロールと同じ名前のスコープ ロールを作成した場合は、スコープ ロールがグローバル ロールよりも優先されます。

  8. [適用] ボタンをクリックして変更を保存します。
  9. [条件] タブをクリックします。[Role Editor] ページが表示されます。
  10. [ロール条件] リスト ボックスで、条件のうち 1 つをクリックします。

    11. 注意: [呼び出し側をメンバとするグループは] 条件を使用して式を作成することをお勧めします。グループを使用してセキュリティ ロールを作成すると、そのグループのすべてのメンバー (つまり複数のユーザ) にセキュリティ ロールを付与できます。

  11. [追加] ボタンをクリックします。
  12. [アクセス可能な時間帯は] 条件を選択した場合は、[時間制約] ウィンドウを使用して開始時刻と終了時刻を選択し、[OK] ボタンをクリックします。

    13. 他の条件のいずれかを選択した場合は、次の手順に従います。

    1. [ユーザ] または [グループ] ウィンドウを使用してユーザまたはグループの名前を入力し、[追加] ボタンをクリックします。

      2. 注意: この手順を何度も繰り返して複数のユーザまたはグループを追加できます。

    2. 必要な場合は、リスト ボックスの右にあるボタンを使用して式を変更します。

      3. [上へ移動] および [下へ移動] ボタンを使用すると、選択したユーザ名またはグループ名の順序を変更できます。[変更] ボタンを使用すると、式の間の選択された and 文と or 文を切り替えることができます。[削除] ボタンを使用すると、選択されたユーザ名またはグループ名が削除されます。

    3. [OK] をクリックして、ロール文に式を追加します。
  13. 必要な場合は、手順 10 〜 12 を繰り返して、異なるロール条件に基づいた式を追加します。
  14. 必要な場合は、[ロール文] リスト ボックスの右にあるボタンを使用して式を変更します。
    • [上へ移動] および [下へ移動] ボタンを使用すると、選択した式の順序を変更できます。
    • [変更] ボタンを使用すると、式の間の選択された and 文と or 文を切り替えることができます。
    • [編集...] ボタンを使用すると、選択した式のカスタマイズされたウィンドウが再び開き、式を変更できます。
    • [削除] ボタンを使用すると、選択された式が削除されます。
  15. [ロール文] リスト ボックスのすべての式が適切な場合は、[適用] ボタンをクリックします。

    16. 注意: [リセット] ボタンをクリックすると、[ロール文] リスト ボックスに表示されたすべての式が削除されます。

その他のタイプの WebLogic リソース

WebLogic Server Administration Console を使用して、Web サービス リソース以外のタイプの WebLogic リソースに対するスコープ ロールを作成できます。ただし、WebLogic Server Administration Console のナビゲーション ツリーでは、すべての WebLogic リソースが [デプロイメント] ノードの下に表示されるわけではありません。また、リソース階層の同じレベルで、どの WebLogic リソース タイプにもスコープ ロールを作成できるとは限りません。たとえば、JDBC 接続プールは [サービス|JDBC] ノードの下に表示されます。また、JMS リソースに対するスコープ ロールは、[サービス|JMS] ノードでのみ作成できます。したがって、このタスクを実行するための手順は多少異なるため、他の WebLogic リソース タイプに対するスコープ ロールを作成するには、前の節で説明した手順を応用する必要があります。

スコープ ロールの削除

スコープ ロールを削除するには、次の手順に従います。

  1. WebLogic リソースの [Select Roles] ページに移動します。

    2. このページには、WebLogic ロール マッピング プロバイダのデータベースに現在定義されているすべてのスコープ ロールが表示されます。

  2. 削除するスコープ ロールと同じ行にあるごみ箱アイコンをクリックします。
  3. [はい] をクリックします。

[続行] リンクをクリックします。

WebLogic リソースの保護

セキュリティ ポリシーは WebLogic リソースを保護するために使用します。セキュリティ ポリシーは、WebLogic リソースと、ユーザ、グループ、またはセキュリティ ロールとの関連付けを定義する際に作成します。また、セキュリティ ポリシーに時間の制約も関連付けることができます。WebLogic リソースは、セキュリティ ポリシーを割り当てられるまで、保護の対象となりません。

セキュリティ ポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳細に理解するには、『WebLogic リソースのセキュリティ』を参照してください。

組み込み LDAP サーバのコンフィグレーション

組み込み LDAP サーバには、ユーザ、グループ、グループ メンバーシップ、セキュリティ ロール、セキュリティ ポリシー、および資格マップ情報が格納されます。デフォルトでは、各 WebLogic Server ドメインに、各属性のデフォルト値がコンフィグレーションされている組み込み LDAP サーバが 1 つあります。WebLogic の認証、認可、資格マッピング、およびロール マッピングの各プロバイダでは、データベースとして組み込み LDAP サーバを使用します。新しいセキュリティ レルムでこれらのプロバイダのいずれかを使用する場合は、組み込み LDAP サーバのデフォルト値を変更して、環境に合わせて使用方法を最適化できます。

組み込み LDAP サーバをコンフィグレーションするには、次の手順に従います。

  1. [ドメイン] ノード (Examples など) を展開します。
  2. [ドメイン|一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
  3. [セキュリティ コンフィグレーション|組み込み LDAP] タブを選択します。
  4. [Embedded LDAP Server] ページで属性を設定します。
  5. [適用] をクリックして変更を保存します。
  6. WebLogic Server を再起動します。

注意: WebLogic セキュリティ プロバイダは、組み込み LDAP サーバにデータを格納します。WebLogic セキュリティ プロバイダを削除しても、組み込み LDAP サーバのセキュリティ データは自動的には削除されません。そのプロバイダを再び使用するときのために、セキュリティ データは組み込み LDAP サーバに残ります。外部 LDAP ブラウザを使用して、組み込み LDAP サーバのセキュリティ データを削除してください。

組み込み LDAP サーバのバックアップのコンフィグレーション

組み込み LDAP サーバのバックアップをコンフィグレーションするには、次の手順に従います。

  1. [ドメイン] ノード (Examples など) を展開します。
  2. [ドメイン|一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
  3. [セキュリティ コンフィグレーション|組み込み LDAP] タブをクリックします。
  4. [Embedded LDAP Server] ページで、[バックアップ時間(時間)]、[バックアップ時間(分)]、および [バックアップ コピー数] の各属性を設定します。
  5. [適用] をクリックして変更を保存します。
  6. WebLogic Server を再起動します。

新しいセキュリティ レルムのコンフィグレーション

新しいセキュリティ レルムをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ] ノードを展開します。
  2. [レルム] ノードを展開します。

    3. [レルム] テーブルに、WebLogic ドメインで使用可能なすべてのセキュリティ レルムが表示されます。

  3. [新しい Realm のコンフィグレーション...] リンクをクリックします。
  4. [一般] ページの [名前] 属性に、新しいセキュリティ レルムの名前を入力します。
  5. [ロールとポリシーのチェック対象] 属性を設定します。以下のオプションを選択できます。
    • [デプロイメント記述子で保護された Web アプリケーションと EJB]—このオプションを指定すると、WebLogic Security サービスは、関連するデプロイメント記述子 (DD) でセキュリティが指定されている URL および EJB リソースに対してのみセキュリティ チェックを実行します。このオプションは、[ロールとポリシーのチェック対象] のデフォルトの設定です。
    • [すべての Web アプリケーションと EJB]—このオプションを指定すると、WebLogic Security サービスは、WebLogic リソースのデプロイメント記述子 (DD) にセキュリティ設定があるかどうかに関係なく、すべての URL (Web) および EJB リソースに対してセキュリティ チェックを実行します。[ロールとポリシーのチェック対象] ドロップダウン メニューの設定を [すべての Web アプリケーションと EJB] に変更する場合は、手順 6 で説明するように [今後の再デプロイの設定] 属性を指定します。
  6. [今後の再デプロイの設定] 属性を使用して、URL および EJB リソースの保護方法を WebLogic Server に指示します。以下のオプションが用意されています。
    • WebLogic Server Administration Console だけを使用して URL および EJB リソースを保護するには、[デプロイメント記述子のロールとポリシーを無視] オプションを選択します。
    • デプロイメント記述子 (ejb-jar.xmlweblogic-ejb-jar.xmlweb.xml、および weblogic.xml ファイル) だけを使用して URL および EJB リソースを保護するには、[デプロイメント記述子のロールとポリシーを初期化] オプションを選択します。
  7. weblogic-ra.xml デプロイメント記述子ファイルから組み込み LDAP サーバに資格マップをロードしてから、WebLogic Server Administration Console を使用して、新しい資格マップを作成したり、既存の資格マップを変更したりすることもできます。

    8. weblogic-ra.xml デプロイメント記述子ファイルから組み込み LDAP サーバに情報をロードしても、元のリソース アダプタはそのまま変更されません。したがって、元のリソース アダプタを再デプロイすると (WebLogic Server Administration Console から再デプロイする、ディスク上で変更する、または WebLogic Server を再起動する場合に発生)、weblogic-ra.xml デプロイメント記述子ファイルからデータが再びインポートされて、資格マッピング情報が失われるおそれがあります。

    新しい資格マッピング情報が weblogic-ra.xml デプロイメント記述子ファイルの古い情報で上書きされないようにするには、[Ignore Security Data in Deployment Descriptors] 属性を有効にします。

    注意: 資格マップを組み込み LDAP サーバにロードするには、セキュリティ レルムの資格マッピング プロバイダで、[資格マッピング デプロイメントを有効化] 属性がチェックされている必要があります。詳細については、WebLogic 資格マッピング プロバイダのコンフィグレーションを参照してください。

  8. Web リソースは、WebLogic Server の前のリリースで非推奨になりました。URL リソースの代わりに Web リソースを使用するカスタム認可プロバイダを作成した場合は、[非推奨の Web リソースを使用] 属性を有効にしてください。この属性によってサーブレット コンテナの実行時の動作が変更され、認可を実行する際に URL リソースではなく Web リソースが使用されます。
  9. 必要に応じて、WebLogic プリンシパル検証プロバイダによって使用されるキャッシュをコンフィグレーションして、セキュリティ レルムの WebLogic 認証プロバイダまたは LDAP 認証プロバイダのパフォーマンスを向上させます。 プリンシパル バリデータ キャッシュには、署名された WLSAbstractPrincipal が含まれます。 以下の属性を使用して、プリンシパル バリデータ キャッシュの設定を定義します。
    • [WebLogic プリンシパル バリデータ キャッシュを有効化]—WebLogic プリンシパル検証プロバイダがキャッシュを使用するかどうかを示します。 この属性は、セキュリティ レルムに WebLogic プリンシパル検証プロバイダおよび WLSAbstractPrincipal を使用する認証プロバイダがコンフィグレーションされている場合にのみ適用されます。 デフォルトでは、この属性は有効です。
    • [キャッシュ内の最大 WebLogic プリンシパル数]—有効性が検証された WLSAbstractPrincipal に対して使用される最長時間未使用 (LRU) キャッシュの最大サイズ。 デフォルトの設定は 500 です。 この属性は、[WebLogic プリンシパル バリデータ キャッシュを有効化] 属性が有効になっている場合にのみ適用されます。
  10. [作成] をクリックします。
  11. セキュリティ レルムで必要なセキュリティ プロバイダをコンフィグレーションします。セキュリティ レルムを有効にするには、認証プロバイダ、認可プロバイダ、裁決プロバイダ、資格マッピング プロバイダ、およびロール マッピング プロバイダをコンフィグレーションする必要があります。そうでない場合は、新しいセキュリティ レルムをデフォルトのセキュリティ レルムとして設定できません。
  12. 必要に応じて、ID アサーション プロバイダおよび監査プロバイダを定義します。
  13. セキュリティ レルムのユーザとグループを定義します。詳細については、グループの定義およびユーザの定義を参照してください。
  14. セキュリティ レルムのユーザとグループにロールを付与します。詳細については、グローバル ロールの定義を参照してください。
  15. セキュリティ ポリシーでセキュリティ レルム内の WebLogic リソースを保護します。詳細については、『WebLogic リソースのセキュリティ』を参照してください。
  16. WebLogic Server を再起動します。WebLogic Server を再起動しないと、新しいレルムをデフォルト セキュリティ レルムに設定できません。
  17. 新しいレルムを WebLogic ドメインのデフォルト セキュリティ レルムとして設定します。詳細については、デフォルト セキュリティ レルムの変更を参照してください。

新しいセキュリティ レルムのテスト

新しいセキュリティ レルムのコンフィグレーションは、複雑なタスクです。セキュリティ レルムのコンフィグレーションを正しく行わないと、そのセキュリティ レルムをデフォルトのセキュリティ レルムとして設定することができません。WebLogic Server では、セキュリティ レルムのコンフィグレーションを検証して、正しいかどうか確認することができます。

新しいセキュリティ レルムのコンフィグレーションを検証するには、次の手順に従います。

  1. 新しいセキュリティ レルムのコンフィグレーションで説明されているようにセキュリティ レルムをコンフィグレーションします。
  2. [セキュリティ|レルム] ノードを展開します。

    3. [レルム] テーブルには、WebLogic Server ドメインでコンフィグレーションされているすべてのセキュリティ レルムが表示されます。

  3. 検証するレルムをクリックします。
  4. [テスト] タブをクリックします。
  5. [このセキュリティ レルムを検証] リンクをクリックします。

    6. セキュリティ レルムのコンフィグレーションに問題がある場合は [テスト] ページに表示されます。

認証プロバイダのコンフィグレーション : 主な手順

WebLogic Server には、以下のタイプの認証プロバイダが用意されています。

注意: これらの LDAP 認証プロバイダに限定されているわけではありません。サポートされている以外の LDAP サーバを使用するには、使用する LDAP サーバに最も近いデフォルト値を持つ LDAP サーバ タイプを選択して、属性値を適宜変更します。

また、違うタイプの認証技術を提供するカスタム認証プロバイダを使用することもできます。詳細については、カスタム セキュリティ プロバイダのコンフィグレーションを参照してください。

注意: WebLogic Server Administration Console では、WebLogic 認証プロバイダを「Default Authenticator」と呼びます。

各セキュリティ レルムには、少なくとも 1 つの認証プロバイダがコンフィグレーションされている必要があります。WebLogic Security フレームワークは、さまざまな要素から成る認証向けに、複数の認証プロバイダ (したがって、複数の LoginModule) をサポートするように設計されています。そのため、複数の認証プロバイダを使用できます。また、1 つのセキュリティ レルムで複数のタイプの認証プロバイダを使用できます。[制御フラグ] 属性は、各認証プロバイダの LoginModule が認証プロセスでどのように使用されるかを決定します。詳細については、JAAS 制御フラグの設定を参照してください。

認証プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。
  4. 適切なリンクを選択して、認証プロバイダを選択します。
    • [新しい Active Directory Authenticator のコンフィグレーション]
    • [新しい Realm Adapter Authenticator のコンフィグレーション]
    • [新しい Novell Authenticator のコンフィグレーション]
    • [新しい iPlanet Authenticator のコンフィグレーション]
    • [新しい Default Authenticator のコンフィグレーション]
    • [新しい OpenLDAP Authenticator のコンフィグレーション]
  5. 以下の節を参照し、認証プロバイダをコンフィグレーションします。
  6. 以上の手順を繰り返して他の認証プロバイダをコンフィグレーションします。

    7. 複数の認証プロバイダをコンフィグレーションする場合は、JAAS 制御フラグの設定を参照してください。

  7. 認証プロバイダのコンフィグレーションが終了したら、WebLogic Server を再起動します。

JAAS 制御フラグの設定

セキュリティ レルムに複数の認証プロバイダがコンフィグレーションされている場合、[認証|一般] ページの [制御フラグ] 属性で認証プロバイダの実行順序を決定します。次に、制御フラグ属性の値を示します。

認証プロバイダがコンフィグレーションされる順序は、認証プロバイダの LoginModule が呼び出される順序となります。認証プロバイダの順序はいつでも変更できます。詳細については、認証プロバイダの順序の変更を参照してください。

注意: 複数の認証プロバイダを定義した場合、WebLogic Server を起動するには、[制御フラグ] 属性が [REQUISITE] または [REQUIRED] に設定されているすべての認証プロバイダで、サーバを起動するユーザがユーザとして定義されている必要があります。

WebLogic Server Administration Console では、実際には、セキュリティ プロバイダの作成時に JAAS 制御フラグが [OPTIONAL] に設定されます。 セキュリティ プロバイダの MBean は、デフォルトで [REQUIRED] に設定されます。

WebLogic 認証プロバイダのコンフィグレーション

注意: WebLogic Server Administration Console では、WebLogic 認証プロバイダを「Default Authenticator」と呼びます。

WebLogic 認証プロバイダは大文字と小文字を区別しません。ユーザ名がユニークであるようにしてください。

WebLogic 認証プロバイダを使用すると、ユーザおよびグループ メンバーシップを編集したり、リストしたり、管理したりすることができます。WebLogic 認証プロバイダのユーザおよびグループ メンバーシップ情報は、組み込み LDAP サーバに格納されます。

WebLogic 認証プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。
  4. [新しい Default Authenticator のコンフィグレーション] リンクをクリックします。
  5. [一般] ページの属性値を定義します。
  6. [適用] をクリックして変更を保存します。
  7. [詳細] ページの値を定義します。
  8. 必要に応じて、他の認証プロバイダをコンフィグレーションします。
  9. WebLogic Server を再起動します。

LDAP 認証プロバイダのコンフィグレーション

LDAP 認証プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。
  4. 次のリンクから、LDAP 認証プロバイダを選択します。
    • [新しい Active Directory Authenticator のコンフィグレーション]
    • [新しい Novell Authenticator のコンフィグレーション]
    • [新しい OpenLDAP Authenticator のコンフィグレーション]
    • [新しい iPlanet Authenticator のコンフィグレーション]
  5. 複数の認証プロバイダを使用している場合、[一般] ページで [制御フラグ] 属性の値を定義します。詳細については、JAAS 制御フラグの設定を参照してください。
  6. [適用] をクリックして、新しい LDAP 認証プロバイダを作成します。
  7. LDAP サーバおよびキャッシング情報の設定に進みます。

LDAP サーバおよびキャッシング情報の設定

LDAP サーバおよびキャッシング情報を設定するには、次の手順に従います。

  1. 使用する LDAP 認証プロバイダの [コンフィグレーション] タブの下にある [LDAP] タブをクリックします。

    2. たとえば、iPlanet 認証プロバイダの [コンフィグレーション] タブにある [LDAP] タブをクリックします。

  2. [LDAP] ページに示された属性の値を定義して、WebLogic Server と LDAP サーバの通信を有効にします。
  3. 変更を保存するには、[適用] をクリックします。
  4. [詳細] タブをクリックして、LDAP サーバの動作とパフォーマンスを制御するその他の属性をコンフィグレーションします。
  5. 変更を保存するには、[適用] をクリックします。
  6. LDAP ディレクトリにおけるユーザの検索に進みます。

デプロイメントをよりセキュアにするために、SSL プロトコルを使用して LDAP サーバと WebLogic Server 間の通信を保護することをお勧めします。

LDAP ディレクトリにおけるユーザの検索

LDAP ディレクトリにおけるユーザの検索方法を指定するには、次の手順に従います。

  1. 選択した LDAP サーバの [コンフィグレーション] タブの下の [ユーザ] タブをクリックします。

    2. たとえば、iPlanet 認証プロバイダの [コンフィグレーション] タブにある [ユーザ] タブをクリックします。

  2. [ユーザ] ページに示された属性の値を定義して、LDAP ディレクトリにおけるユーザの格納方法と検索方法を定義します。
  3. 変更を保存するには、[適用] をクリックします。
  4. LDAP ディレクトリにおけるグループの検索に進みます。

LDAP ディレクトリにおけるグループの検索

LDAP ディレクトリにおけるグループの格納方法と検索方法を指定するには、次の手順に従います。

  1. [コンフィグレーション] タブの下の [グループ] タブをクリックします。

    2. たとえば、iPlanet 認証プロバイダの [コンフィグレーション] タブにある [グループ] タブをクリックします。

  2. [グループ] ページに示された属性の値を設定して、LDAP ディレクトリにおけるグループの格納方法と検索方法を定義します。
  3. 変更を保存するには、[適用] をクリックします。
  4. LDAP ディレクトリにおけるグループ メンバーの検索に進みます。

LDAP ディレクトリにおけるグループ メンバーの検索

注意: iPlanet 認証プロバイダは、動的グループをサポートしています。動的グループを使用するには、[メンバ] ページで、[動的グループ オブジェクト クラス]、[動的グループ名属性]、および [動的メンバ URL 属性] の各属性を設定する必要があります。

LDAP ディレクトリにおけるグループ メンバーの格納方法と検索方法を指定するには、次の手順に従います。

  1. [コンフィグレーション] タブの下の [メンバシップ] タブをクリックします。

    2. たとえば、iPlanet 認証プロバイダの [コンフィグレーション] タブにある [メンバシップ] タブをクリックします。

  2. [メンバシップ] ページに示された属性の値を設定して、LDAP ディレクトリにおけるグループ メンバーの格納方法と検索方法を定義します。
  3. 変更を保存するには、[適用] をクリックします。
  4. 必要に応じて、他の認証プロバイダまたは ID アサーション プロバイダ、あるいはその両方をコンフィグレーションします。
  5. WebLogic Server を再起動します。

LDAP 認証プロバイダのフェイルオーバのコンフィグレーション

LDAP 認証プロバイダでコンフィグレーションされている LDAP サーバのフェイルオーバをコンフィグレーションするには、次の手順を行います。

  1. フェイルオーバをコンフィグレーションする LDAP 認証プロバイダの [コンフィグレーション] タブの下にある [LDAP] タブをクリックします。

    2. たとえば、iPlanet 認証プロバイダの [コンフィグレーション] タブにある [LDAP] タブをクリックします。

  2. [LDAP] タブをクリックします。
  3. [LDAP] タブの [ホスト] 属性で複数の LDAP サーバ名を指定します。 この属性は、ホスト名をスペースで区切って指定します。 各ホスト名では、最後にコロンとポート番号を加えることができます。 次に例を示します。

    4. directory.knowledge.com:1050 people.catalog.com 199.254.1.2

  4. [適用] をクリックします。
  5. [詳細] タブをクリックします。
  6. [パラレル接続遅延] 属性を設定します。

    7. [パラレル接続遅延] 属性では、複数のサーバに同時に接続を試みるときに遅延する秒数を指定します。 リストの最初のサーバに接続しようとします。 リスト中の次のエントリは、現在のホストへの接続が失敗したときにのみ接続が試行されます。 この設定が原因で、ホストがダウンしている場合に、許容できないほど長い時間アプリケーションがブロックされることがあります。 この属性が 0 より大きい値に設定されている場合は、指定された遅延秒数が経過した後に別の接続設定スレッドが開始されます。 この属性が 0 に設定されていると、接続の試行はシリアライズされます。

  7. [接続タイムアウト] 属性を設定します。

    8. [Connection Timeout] 属性では、LDAP サーバへの接続が確立されるのを待つ最大の秒数を指定します。 この属性が 0 に設定されている場合は、時間制限がなく、WebLogic Server は TCP/IP レイヤがタイムアウトになって接続の失敗を返すまで待機します。 この属性は、TCP/IP のコンフィグレーションによっては 60 秒を超える値にも設定できます。

  8. [適用] をクリックします。
  9. WebLogic Server を再起動します。

レルム アダプタ認証プロバイダのコンフィグレーション

レルム アダプタ認証プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。

    4. [Authenticators] テーブルには、デフォルトの認証プロバイダと ID アサーション プロバイダの名前が表示されます。

  4. [新しい Realm Adapter Authenticator のコンフィグレーション] リンクをクリックします。
  5. レルム アダプタ認証プロバイダの [制御フラグ] を設定します。詳細については、JAAS 制御フラグの設定を参照してください。
  6. レルム アダプタ認証プロバイダにある ID アサータの [アクティブなタイプ] を設定します。
    1. [選択可] リスト ボックスで、[X.509] をクリックして選択します。
    2. 右矢印をクリックして、[X.509] を [選択済み] リスト ボックスに移動します。
  7. [適用] をクリックして変更を保存します。
  8. 必要に応じて、他の認証プロバイダまたは ID アサーション プロバイダ、あるいはその両方をコンフィグレーションします。
  9. WebLogic Server を再起動します。

認証プロバイダの順序の変更

複数の認証プロバイダをコンフィグレーションする方法は、認証プロセスの全体的な結果に影響し、特にさまざまな要素から成る認証では重要となります。認証プロバイダはコンフィグレーションされた順序で呼び出されます。認証プロバイダのテーブルに、コンフィグレーションされた順序で認証プロバイダが表示されます。[コンフィグレーション済み認証プロバイダの並べ替え] リンクをクリックし、プロバイダの順序を変更します。各認証プロバイダの [制御フラグ] 属性の設定によって、認証プロセスの結果が影響されることに注意してください。詳細については、JAAS 制御フラグの設定を参照してください。

認証プロバイダの順序を変更するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。
  4. [コンフィグレーション済み認証プロバイダの並べ替え] リンクを選択します。
  5. コンフィグレーション済みの認証プロバイダのリストから、認証プロバイダを選択します。
  6. 矢印ボタンでリスト内を上下に移動できます。
  7. [適用] をクリックして変更を保存します。
  8. WebLogic Server を再起動します。

WebLogic 認可プロバイダのコンフィグレーション

注意: WebLogic Server Administration Console では、WebLogic 認可プロバイダを「Default Authorizer」と呼びます。

WebLogic 認可プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ] ノードを展開します。
  4. [認可] をクリックします。
  5. [新しい Default Authorizer のコンフィグレーション] リンクをクリックします。
  6. [一般] ページの属性値を定義します。
  7. [適用] をクリックして変更を保存します。
  8. [詳細] タブの属性値を定義します。
  9. WebLogic Server を再起動します。

WebLogic 資格マッピング プロバイダのコンフィグレーション

WebLogic 資格マッピング プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ] ノードを展開します。
  4. [資格マッパー] をクリックします。
  5. [新しい Default Credential Mapper のコンフィグレーション] リンクをクリックします。
  6. [一般] ページで、[資格マッピング デプロイメントを有効化] 属性を設定します。

    7. [資格マッピング デプロイメントを有効化] 属性では、この資格マッピング プロバイダが weblogic-ra.xml デプロイメント記述子ファイルから資格マップをインポートするかどうかを指定します。[資格マッピング デプロイメントを有効化] 属性をサポートするには、資格マッピング プロバイダは DeployableCredentialProvider SSPI を実装する必要があります。デフォルトでは、WebLogic 資格マッピング プロバイダではこの属性が有効になっています。資格マッピング情報は組み込み LDAP サーバに格納されます。

  7. [適用] をクリックして変更を保存します。
  8. WebLogic Server を再起動します。

WebLogic ロール マッピング プロバイダのコンフィグレーション

ロール マッピング プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ] ノードを展開します。
  2. [レルム] ノードを展開します。
  3. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  4. [プロバイダ] ノードをクリックします。
  5. [ロール マッパー] をクリックします。

    6. [ロール マッパー] ページが表示されます。このページには、コンフィグレーションするレルムのデフォルト ロール マッピング プロバイダの名前が表示されます。

  6. [新しい Default Role Mapper のコンフィグレーション] リンクをクリックします。

    7. [一般] ページが表示されます。

  7. [一般] ページの属性値を定義します。
  8. [適用] をクリックして変更を保存します。
  9. WebLogic Server を再起動します。

WebLogic ID アサーション プロバイダのコンフィグレーション

注意: WebLogic Server Administration Console では、WebLogic ID アサーション プロバイダを「Default Identity Asserter」と呼びます。

WebLogic ID アサーション プロバイダの属性を定義するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。

    4. [Authenticators] テーブルには、デフォルトの認証プロバイダと ID アサーション プロバイダの名前が表示されます。

  4. [Authenticators] タブで、[新しい Default Identity Asserter のコンフィグレーション] リンクをクリックします。

    5. [一般] タブが表示されます。

  5. ユーザ名マッパーをコンフィグレーションします。詳細については、ユーザ名マッパーのコンフィグレーションおよびカスタム ユーザ名マッパーのコンフィグレーションを参照してください。
  6. [信頼されたクライアント プリンシパル] 属性では、CSIv2 ID アサーションを使用できるクライアント プリンシパルのリストを定義します。アスタリスク (*) を使用して、すべてのクライアント プリンシパルを指定できます。
  7. WebLogic ID アサーション プロバイダのアクティブなトークン タイプを定義します。ID アサーション プロバイダでサポートされるトークン タイプのリストが [選択可] リスト ボックスに表示されます。ID アサーション プロバイダのアクティブなトークン タイプを定義するには、次の手順に従います。
    1. [選択可] リスト ボックスで、必要なトークン タイプをクリックして選択します。
    2. 右矢印をクリックして、トークン タイプを [選択済み] リスト ボックスに移動します。
  8. [適用] をクリックして変更を保存します。
  9. [詳細] タブをクリックします。
  10. [Base64Decoding が必要] 属性の設定を確認します。

    11. Web アプリケーションの認証タイプを CLIENT-CERT に設定した場合、WebLogic Server の Web アプリケーション コンテナは、リクエストのヘッダおよびクッキーの値に対して ID アサーションを実行します。ヘッダ名またはクッキー名が、コンフィグレーションされている ID アサーション プロバイダのアクティブなトークン タイプに一致していれば、値はプロバイダに渡されます。

    [Base64Decoding が必要] 属性では、リクエスト ヘッダ値またはクッキー値を ID アサーション プロバイダへ送信する前に、その値を Base 64 でデコードするかどうかを指定します。この設定はデフォルトでは下位互換性のために有効になっていますが、ほとんどの ID アサーション プロバイダでは、この属性は無効化されます。

  11. [適用] をクリックします。
  12. 必要に応じて、他の認証プロバイダまたは ID アサーション プロバイダ、あるいはその両方をコンフィグレーションします。
  13. WebLogic Server を再起動します。

LDAP X509 ID アサーション プロバイダのコンフィグレーション

  1. [認証プロバイダ] ページで、[新しい LDAPX509Identity Asserter のコンフィグレーション] リンクをクリックします。
  2. [LDAP X509 ID アサーション プロバイダ] --> [一般] タブの属性値を定義します。
  3. [適用] をクリックして変更を保存します。
  4. [LDAP X509 Identity Assertion Provider] --> [詳細] タブの属性値を定義します。
  5. [適用] をクリックして変更を保存します。
  6. WebLogic Server を再起動します。

シングル パス ネゴシエート ID アサーション プロバイダのコンフィグレーション

シングル パス ネゴシエート ID アサーション プロバイダのコンフィグレーションは、以下の手順で行います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) を選択します。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。

    4. 認証プロバイダのテーブルに、デフォルトの認証プロバイダと ID アサーション プロバイダの名前が表示されます。

  4. [認証] タブで、[新しいシングル パス ネゴシエート ID アサーション プロバイダのコンフィグレーション] リンクをクリックします。

    5. [一般] タブが表示されます。

  5. シングル パス ネゴシエート ID アサーション プロバイダの名前とトークンについての情報を定義します。
  6. [適用] をクリックして変更を保存します。
  7. [詳細] タブを選択します。
  8. 必要に応じて、[Base64 でのデコーディングが必要] 属性のチェックを外します。

    9. この属性では、リクエスト ヘッダ値またはクッキー値を ID アサーション プロバイダへ送信する前に、その値を Base 64 でデコードする必要があるかどうかを指定します。 このボックスはデフォルトでは下位互換性のために有効になっていますが、ほとんどの ID アサーション プロバイダでは無効化されます。

  9. [適用] をクリックします。
  10. 必要に応じて、他の認証プロバイダまたは ID アサーション プロバイダ、あるいはその両方をコンフィグレーションします。
  11. WebLogic Server を再起動します。

WebLogic 裁決プロバイダのコンフィグレーション

注意: WebLogic Server Administration Console では、WebLogic 裁決プロバイダを「Default Adjudicator」と呼びます。

WebLogic 裁決プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ] ノードを展開します。
  4. [裁決] をクリックします。
  5. [新しい Default Adjudicator のコンフィグレーション] リンクをクリックします。
  6. 必要に応じて、[詳細] ページで [完全一致の許可が必要] 属性を設定します。
  7. [適用] をクリックして変更を保存します。
  8. WebLogic Server を再起動します。

WebLogic 監査プロバイダのコンフィグレーション

警告: 監査プロバイダを使用すると、数個のイベントのログが記録される場合でも WebLogic Server のパフォーマンスに影響が及びます。

Warning: 新しいセキュリティ レルムを作成する場合、必要に応じて監査プロバイダをコンフィグレーションします。WebLogic Server Administration Console では、WebLogic 監査プロバイダを「Default Auditor」と呼びます。

WebLogic 監査プロバイダをコンフィグレーションするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ] ノードを展開します。
  4. [監査] をクリックします。
  5. [新しい Default Auditor のコンフィグレーション] リンクをクリックします。

    6. [一般] ページが表示されます。

  6. [詳細] タブをクリックします。
  7. [重大度] 属性の設定により、WebLogic Server デプロイメントに適した監査重大度レベルを選択します。
  8. [ローテーション時間 (分)] 属性を設定して、新しいファイルを作成する前にDefaultAuditRecorder.log ファイルを開いておく期間を指定します。
  9. [作成] をクリックして変更を保存します。
  10. WebLogic Server を再起動します。

カスタム セキュリティ プロバイダのコンフィグレーション

カスタム セキュリティ プロバイダをコンフィグレーションするには、次の手順に従います。

  1. カスタム セキュリティ プロバイダを記述します。詳細については、『WebLogic Security サービスの開発』を参照してください。
  2. プロバイダの MBean JAR ファイルを WL_HOME\lib\mbeantypes ディレクトリに入れます。
  3. WebLogic Server Administration Console を起動します。
  4. [セキュリティ|レルム] ノードを展開します。
  5. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  6. [プロバイダ] ノードを展開します。
  7. コンフィグレーションするプロバイダ タイプのノードを展開します。たとえば、カスタム認証プロバイダをコンフィグレーションする場合は [認証プロバイダ] ノードを展開します。

    8. プロバイダのテーブル ページが表示されます。

  8. [新しい Custom Security_Provider_Type のコンフィグレーション] リンクをクリックします。

    9. Security_Provider_Type は、カスタム セキュリティ プロバイダの名前です。この名前は、MBean 定義ファイル (MDF) の MBeanType タグの DisplayName 属性から読み込まれます。

  9. [一般] ページが表示されます。

    10. [名前] 属性にカスタム セキュリティ プロバイダの名前が表示されます。

  10. 必要な場合、カスタム セキュリティ プロバイダの属性値を変更します。
  11. [適用] をクリックして変更を保存します。
  12. WebLogic Server を再起動します。

セキュリティ プロバイダの削除

セキュリティ プロバイダを削除するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. 削除するプロバイダがコンフィグレーションされているレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ] ノードを展開します。
  4. 削除するプロバイダのタイプ ([TestRealm|認可] など) をクリックします。
  5. そのプロバイダのテーブル ページ ([認可] テーブルなど) が表示されます。このテーブル ページには、使用できるすべてのプロバイダの名前が表示されます。
  6. プロバイダを削除するには、プロバイダ テーブルの対応する行にあるごみ箱アイコンをクリックします。
  7. WebLogic Server を再起動します。

注意: コンフィグレーション済みのセキュリティ プロバイダを WebLogic Server Administration Console で削除および修正した場合、データベースの手動クリーンアップが必要となる場合があります。

ユーザ名マッパーのコンフィグレーション

相互 SSL を使用している場合、WebLogic Server は SSL 接続を確立するときに Web ブラウザまたは Java クライアントのデジタル証明書を確認します。ただし、デジタル証明書は Web ブラウザまたは Java クライアントを WebLogic Server セキュリティ レルムのユーザとしては認識しません。Web ブラウザまたは Java クライアントがセキュリティ ポリシーで保護された WebLogic Server リソースを要求すると、WebLogic Server は Web ブラウザまたは Java クライアントに ID を持つように要求します。WebLogic ID アサーション プロバイダは、Web ブラウザまたは Java クライアントのデジタル証明書を WebLogic Server セキュリティ レルムのユーザにマッピングするユーザ名マッパーを有効にできるようにします。

ユーザ名マッパーは、weblogic.security.providers.authentication.UserNameMapper インタフェースの実装です。デフォルトでは、WebLogic Server では weblogic.security.providers.authentication.UserNameMapper インタフェースのデフォルトの実装が提供されます。また、独自の実装を記述することもできます。

WebLogic ID アサーション プロバイダは、以下の ID アサーション トークン タイプについて、ユーザ名マッパーを呼び出します。

デフォルトのユーザ名マッパーは、デジタル証明書または識別名の主体の DN の属性を使用して、WebLogic Server セキュリティ レルムの適切なユーザにマッピングします。たとえば、ユーザ名マッパーを、主体の DN の [E メール] 属性からユーザ (smith@bea.com) を WebLogic Server セキュリティ レルムのユーザ (smith) にマッピングするようにコンフィグレーションできます。

デフォルトのユーザ名マッパーを使用するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。
  4. デフォルトの ID アサーション プロバイダを選択します。
  5. [詳細] タブをクリックします。
  6. [デフォルト ユーザ名マッパーを使用] 属性をチェックして、ユーザ名マッパーを有効にします。
  7. 以下の属性を指定します。
    • [デフォルト ユーザ名マッパー属性タイプ]—ユーザ名の作成に使用されるデジタル証明書の主体の識別名 (DN) の属性。有効な値は、次のとおり。CCNELO、および OU
    • [デフォルト ユーザ名マッパー属性の区切り文字]—ユーザ名を終了させる属性。ユーザ名マッパーは、この属性の左側のすべてを使用してユーザ名を作成します。
  8. [適用] をクリックします。
  9. WebLogic Server を再起動します。

カスタム ユーザ名マッパーのコンフィグレーション

カスタム ユーザ名マッパーをインストールするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [プロバイダ|認証プロバイダ] ノードを展開します。
  4. デフォルトの ID アサーション プロバイダを選択します。
  5. [一般] タブをクリックします。
  6. [ユーザ名マッパーのクラス名] 属性に、weblogic.security.providers.authentication.UserNameMapper インタフェースの実装の名前を入力します。
  7. [適用] をクリックします。
  8. WebLogic Server を再起動します。

セキュリティ レルムからのセキュリティ データのインポートおよびエクスポート

新しいセキュリティ レルムを作成する場合、セキュリティ データ (認証、認可、資格マップ、およびロールのデータ) をセキュリティ レルムからファイルにエクスポートし、別のセキュリティ レルムにインポートできます。この機能によって、すべてのセキュリティ データを再作成しなくても、新しいセキュリティ レルムを開発およびテストできます (たとえば、開発セキュリティ レルムをプロダクションに移動するときなど)。エクスポートおよびインポートできるのは、WebLogic のセキュリティ プロバイダのデータのみです。以下の 2 つのオプションが使用できます。

注意: 同じ WebLogic Server リリースのセキュリティ レルムの間でのみ、セキュリティ データをエクスポートおよびインポートできます。

セキュリティ データのエクスポートおよびインポートを行うには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. [移行|エクスポート] タブをクリックします。
  4. [サーバ上のエクスポート ディレクトリ] 属性で、セキュリティ データをエクスポートするディレクトリおよびファイル名を指定します。

    5. 注意: 他のサーバにあるディレクトリやファイルの場所も指定できます。

  5. [エクスポート] をクリックします。
  6. [レルム] ノードを展開します。
  7. セキュリティ データがインポートされるセキュリティ レルム名をクリックします。
  8. [移行|インポート] タブをクリックします。
  9. [サーバ上のインポート ディレクトリ] 属性で、エクスポートしたセキュリティ データを格納したファイルのディレクトリおよびファイル名を指定します。
  10. [インポート] をクリックします。

セキュリティ データが正しくインポートされたことを確認するには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. セキュリティ データがインポートされたレルム名をクリックします。
  3. [ユーザ] をクリックします。
  4. セキュリティ データのエクスポート元のセキュリティ レルムのユーザが [ユーザ] テーブルに表示されます。

セキュリティ プロバイダからのセキュリティ データのインポートおよびエクスポート

異なるセキュリティ レルムのプロバイダ間で、プロバイダ固有のセキュリティ データをエクスポートおよびインポートできます。各プロバイダにサポートされているフォーマット (DefaultAtn、DefaultAtz、DefaultCreds、または DefaultRoles) が表示されます。制約により、データ タイプ (ユーザ、グループ、ロール、および資格マップ) が定義されます。制約は、WebLogic 認証プロバイダでのみ表示されます。ユーザおよびグループ、ユーザのみ、グループのみ、または特定のグループのエクスポートおよびインポートをオプションで選択できるためです。

セキュリティ プロバイダからセキュリティ データをエクスポートおよびインポートするには、次の手順に従います。

  1. [セキュリティ|レルム] ノードを展開します。
  2. コンフィグレーションするレルムの名前 (TestRealm など) をクリックします。
  3. セキュリティ データをエクスポートするプロバイダのタイプ (認証プロバイダなど) をクリックします。
  4. セキュリティ データをエクスポートするセキュリティ プロバイダをクリックします。
  5. [移行|エクスポート] タブをクリックします。
  6. [エクスポート ファイル] 属性で、セキュリティ データをエクスポートするディレクトリおよびファイル名を指定します。
  7. 必要に応じて、エクスポートするセキュリティ データを [エクスポートの制約] ボックスに定義します。
  8. [エクスポート] をクリックします。
  9. [レルム] ノードを展開します。
  10. セキュリティ データがインポートされるセキュリティ レルム名をクリックします。
  11. [プロバイダ] ノードを展開します。
  12. セキュリティ データがインポートされるセキュリティ プロバイダをクリックします。
  13. [移行|インポート] タブをクリックします。
  14. [サーバ上のインポート ディレクトリ] 属性で、エクスポートしたセキュリティ データを格納したファイルのディレクトリおよびファイル名を指定します。または、[参照] ボタンを使用して、エクスポートされたファイルを指定します。
  15. [インポート] をクリックします。

デフォルト セキュリティ レルムの変更

デフォルトでは、myrealm がデフォルト セキュリティ レルムとして設定されています。

  1. 新しいセキュリティ レルムをコンフィグレーションします。詳細については、新しいセキュリティ レルムのコンフィグレーションを参照してください。
  2. WebLogic Server を再起動します。
  3. [ドメイン] ノード (Examples など) を展開します。
  4. [一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
  5. [セキュリティ コンフィグレーション|一般] タブを選択します。

    6. [デフォルト レルム] 属性のプルダウン メニューに、WebLogic ドメインにコンフィグレーションされているセキュリティ レルムが表示されます。

    注意: 新しいセキュリティ レルムを作成しても、必要なセキュリティ プロバイダをコンフィグレーションしない場合、レルムはプルダウン メニューから使用できません。

  6. デフォルト セキュリティ レルムとして設定するセキュリティ レルムを選択します。
  7. [適用] をクリックします。
  8. WebLogic Server を再起動します。WebLogic Server を再起動しない場合、新しいレルムはデフォルト セキュリティ レルムに設定されません。

デフォルト セキュリティ レルムを適切に設定したかどうかを確認するには、次の手順に従います。

  1. [セキュリティ] ノードを展開します。
  2. [レルム] ノードを展開します。

    3. [レルム] テーブルが表示されます。そのドメインで使用できるすべてのレルムのリストが表示されます。デフォルト セキュリティ レルムは、[デフォルト レルム] 属性が true に設定されているレルムです。

セキュリティ レルムの削除

  1. [セキュリティ] ノードを展開します。
  2. [レルム] ノードを展開します。

    3. [レルム] テーブルが表示されます。そのドメインで使用可能なすべてのレルムがテーブルに表示されます。

  3. セキュリティ レルムを削除するには、[レルム] テーブルの対応する行にあるごみ箱アイコンをクリックします。
  4. 削除の確認を求めるウィンドウが表示されます。
  5. 次のプロンプトに対して [はい] をクリックします。

    6. ドメイン コンフィグレーションから OldRealm を本当に削除しますか?

    セキュリティ レルムが削除されると、確認メッセージが表示されます。

資格マップの作成

J2EE コネクタ アーキテクチャで定義されるリソース アダプタでは、エンタープライズ情報システム (EIS) で定義されるユーザが保護されている WebLogic リソースへのアクセスを要求した場合に、これらのユーザを認証するために必要な資格を取得できます。リソース アダプタをホストする WebLogic Server のコンテナは、資格マップを使って WebLogic リソースに対する適切な一連の資格を取得できます。資格マップでは、WebLogic Server のセキュリティ レルムのユーザと、EIS (Oracle データベース、SQL サーバ、SAP アプリケーションなど) に対するそのユーザの認証に使用される ID (ユーザ名とパスワードの組み合わせ) が関連付けられます。

資格マップは WebLogic Server Administration Console から作成できます。WebLogic 資格マッピング プロバイダを使用する場合、資格マップは組み込み LDAP サーバに格納されます。

資格マップを作成するには、次の手順に従います。

  1. デフォルトの (アクティブな) セキュリティ レルムで、[Ignore Security Data in Deployment Descriptors] 属性が有効になっていることを確認します。有効になっていない場合、資格マップは weblogic-ra.xml デプロイメント記述子ファイルの古い情報で上書きされるおそれがあります。
  2. EIS ユーザに対してユーザまたはグループを定義します。 詳細については、『WebLogic リソースのセキュリティ』の「ユーザとグループ」を参照してください。
  3. リソース アダプタをデプロイします。 詳細については、『WebLogic J2EE コネクタ アーキテクチャ』を参照してください。
  4. WebLogic Server Administration Console の左ペインで [デプロイメント] フォルダを展開し、[コネクタ モジュール] フォルダを展開します。
  5. 資格マップを作成するコネクタの名前を右クリックし、[資格マッピングの定義...] を選択して [資格マッピング] ページを表示します。

    6. 現在定義されている資格マップがある場合は、その表が右ペインに表示されます。

  6. [新しい Credential Mapping のコンフィグレーション] リンクをクリックします。

    7. 複数の WebLogic 資格マッピング プロバイダがセキュリティ レルムでコンフィグレーションされている場合は、新しい資格マップの情報をどの WebLogic 資格マッピング プロバイダのデータに格納するのかを選択します。

  7. 手順 2 で EIS ユーザとして定義した WebLogic Server ユーザまたはグループの名前を [WLS ユーザ] フィールドに入力します。
  8. EIS ユーザの名前を [リモート ユーザ] フィールドに入力します。
  9. [適用] をクリックして変更を保存します。

    10. 資格マップ テーブルに EIS ユーザが表示されます。

  10. 資格マップ テーブルの [リモート ユーザ] カラムにある EIS ユーザの名前をクリックします。
  11. EIS ユーザのパスワードを [リモート パスワード] フィールドに入力します。
  12. パスワードを確認します。
  13. [適用] をクリックします。

キーストアおよび SSL のコンフィグレーション

デフォルトでは、WebLogic Server は 2 種類のキーストアがコンフィグレーションされています。

これらのキーストアは、BEA_HOME\weblogic710\server\lib ディレクトリにあります。テストおよび開発においては、このキーストア コンフィグレーションで十分です。以下の手順は、プロダクション用途において ID キーストアおよび信頼キーストアをコンフィグレーションするための手順です。

この節の手順を行う前に、次のことを行う必要があります。

  1. Verisign, Inc. や Entrust.net など、信頼できる認証局からプライベート キーおよびデジタル証明書を入手します。
  2. ID キーストアおよび信頼キーストアを作成します。
  3. プライベート キーおよび信頼性のある CA をキーストアにロードします。

これらの手順の詳細については、『WebLogic Security の管理』を参照してください。

ID キーストアおよび信頼キーストアの属性を設定するには、次の手順に従います。

  1. [サーバ] ノードを展開します。
  2. キーストアをコンフィグレーションするサーバの名前をクリックします (exampleserver など)。
  3. [コンフィグレーション|キーストア & SSL] タブをクリックします。

    4. [キーストア コンフィグレーション] にデモ用のキーストアの情報が表示されます。

  4. 新しいキーストアをコンフィグレーションするため、[キーストア コンフィグレーション] の [変更...] リンクをクリックします。
  5. 使用するキーストア コンフィグレーションのタイプを選択します。以下のオプションを選択できます。
    • [Demo Identity and Demo Trust]—BEA_HOME\server\lib ディレクトリにあるデモ用の ID キーストアおよび信頼キーストア。デフォルトでコンフィグレーションされています。
    • [Custom Identity and Java Standard Trust]—自分で作成したキーストアと、JAVA_HOME\jre\lib\security\cacerts ディレクトリの cacerts ファイルで定義された、信頼性のある CA。
    • [Custom Identity and Custom Trust]—自分で作成した ID キーストアおよび信頼キーストア。
    • [Custom Identity and Command-Line Trust]—自分で作成した ID キーストアおよび信頼キーストアの場所を指定するコマンドライン引数。
  6. [続行] をクリックします。
  7. ID キーストアの属性を定義します。
    • [Custom Identity Key Store File Name]—ID キーストアの絶対パス。
    • [Custom Identity Key Store Type]—キーストアのタイプ。通常、属性は jks です。
    • [Custom Identity Key Store Pass Phrase]—キーストアの作成時に定義されたパスワード。この属性は、キーストアのタイプによって必須かどうかが異なります。すべてのキーストアに、キーストアを書き込むためのパスフレーズが必要です。しかし、一部のキーストアは、キーストアから読み込むためのパスフレーズが必要ありません。WebLogic Server は、キーストアから読み込むだけなので、このプロパティを定義するかどうかは、キーストアの要件によって決まります。

      • 注意: デモ用 ID キーストアのパスワードは、DemoIdentityPassPhrase です。

  8. 信頼キーストアのプロパティを定義します。

    9. [Java 標準信頼] を選択した場合、キーストアの作成時に定義されたパスワードを指定します。パスワードを確認します。

    [カスタム信頼] を選択した場合、次の属性を定義します。

    • [Custom Trust Key Store File Name]—信頼キーストアの絶対パス。
    • [Custom Trust Key Store Type]—キーストアのタイプ。通常、属性は jks です。
    • [Custom Trust Key Store Pass Phrase]—キーストアの作成時に定義されたパスワード。この属性は、キーストアのタイプによって必須かどうかが異なります。すべてのキーストアに、キーストアを書き込むためのパスフレーズが必要です。しかし、一部のキーストアは、キーストアから読み込むためのパスフレーズが必要ありません。WebLogic Server は、キーストアから読み込むだけなので、このプロパティを定義するかどうかは、キーストアの要件によって決まります。
  9. [続行] をクリックします。
  10. 必要であれば、SSL 属性の定義を更新します。属性は以下のとおりです。
    • [プライベート キーのエイリアス]—WebLogic Server のプライベート キーを ID キーストアにロードするときに指定されるエイリアス。
    • [Pass Phase]—WebLogic Server のプライベート キーを ID キーストアから取得するためのパスワード。
    • [Pass Phase の確認]—パスワードを再入力します。
  11. [続行] をクリックします。
  12. [完了] をクリックします。
  13. WebLogic Server を再起動します。

相互 SSL のコンフィグレーション

デフォルトでは、一方向 SSL (サーバが ID をクライアントに渡す) を使用するようにコンフィグレーションされています。よりセキュアな SSL 接続のためには、相互 SSL を使用してください。相互 SSL 接続では、クライアントがサーバの ID および信頼を確認した後、クライアントの ID および信頼をサーバに渡します。サーバは、SSL 接続を完了する前に、クライアントの ID および信頼を確認します。サーバが相互 SSL を使用するかどうかを決定します。

相互 SSL を有効にするには、次の手順に従います。

  1. [サーバ] ノードを展開します。
  2. キーストアをコンフィグレーションするサーバの名前をクリックします (exampleserver など)。
  3. [コンフィグレーション|キーストア & SSL] タブをクリックします。
  4. [詳細設定] オプションの下の [表示] リンクをクリックします。
  5. ウィンドウの [サーバ] 属性の部分に進みます。
  6. [相互クライアント認証の動作] 属性を設定します。以下のオプションを選択できます。
    • [クライアント証明書を要求しない]—デフォルト (一方向 SSL)。
    • [クライアント証明書を要求 (強制しない)]—クライアントに証明書を提示するように求めます。証明書が提示されない場合でも、SSL 接続は継続します。
    • [クライアント証明書を要求 (強制する)]—クライアントに証明書の提示を強制します。証明書が提示されない場合、SSL 接続は終了します。
  7. [適用] をクリックします。
  8. WebLogic Server を再起動します。

WebLogic ドメイン間の信頼関係の有効化

信頼関係は、ある WebLogic Server ドメイン (以下「ドメイン」) のサブジェクト内のプリンシパルがローカル ドメインのプリンシパルとして受け付けられたときに確立されます。2 つのドメインを相互運用する場合、両方のドメインで次の手順を実行します。

WebLogic Server ドメイン間の信頼関係を確立するには、次の手順に従います。

  1. [ドメイン] ノード (Examples など) を展開します。
  2. [ドメイン|一般] ページの [ドメインのセキュリティ設定の表示] リンクをクリックします。
  3. [セキュリティ コンフィグレーション|詳細設定] タブを選択します。
  4. [生成された資格を有効化] 属性のチェックをはずします。
  5. [資格] テキスト フィールドにドメインのパスワードを入力します。パスワードは慎重に選択してください。大文字、小文字、および数字を組み合わせることをお勧めします。
  6. [資格の確認] テキスト フィールドにパスワードを入力して確認します。
  7. [適用] をクリックします。
  8. WebLogic Server を再起動します。

WebLogic Server 6.x ドメインと WebLogic Server 7.0 ドメインを相互運用する場合、WebLogic Server 7.0 ドメインの [資格] 属性を、WebLogic Server 6.x ドメインの system ユーザのパスワードに変更します。

接続フィルタのコンフィグレーション

接続フィルタをコンフィグレーションするには、次の手順に従います。

  1. [ドメイン] ノードを展開します。
  2. [ドメイン|一般] タブの [ドメインのセキュリティ設定の表示] リンクをクリックします。
  3. [セキュリティ コンフィグレーション|フィルタ] タブを選択します。
  4. [接続ログを有効化] 属性をクリックして、受け付けるメッセージのロギングを有効にします。
  5. ネットワーク接続フィルタを実装するクラスを [接続フィルタ] 属性に入力します。このクラス名は、WebLogic Server の CLASSPATH にも指定する必要があります。
  6. 接続フィルタ ルールの構文を入力します。接続フィルタ ルールの詳細については、『WebLogic Security プログラマーズ ガイド』の「ネットワーク接続フィルタの使い方」を参照してください。
  7. [適用] をクリックします。
  8. WebLogic Server を再起動します。

 

Skip navigation bar  ページの先頭 前 次