Administration Console オンライン ヘルプ
|
 |
 |
|
セキュリティ レルムは、監査、認証、認可、資格マッピング、およびロール マッピングのすべてのサービスを WebLogic Server デプロイメントに提供します。1 つの WebLogic Server デプロイメント内に複数のセキュリティ レルムをコンフィグレーションすることができます。このページでは、新しいセキュリティ レルムをコンフィグレーションします。
デフォルト セキュリティ レルムとして指定できるのは 1 つだけです。新しくコンフィグレーションしたセキュリティ レルムをデフォルト セキュリティ レルムとして指定するには、[ドメイン] ノードの [一般] ページにある [ドメインのセキュリティ設定の表示] リンクをクリックします。その後、[一般] タブをクリックします。詳細については、デフォルト セキュリティ レルムの変更を参照してください。
どのようなセキュリティ レルムであれ、それが有効であるためには、以下のタイプのセキュリティ プロバイダをそれぞれ (任意の順序で) コンフィグレーションする必要があります。
セキュリティ レルム内の少なくとも 1 つの認可プロバイダ、資格マッピング プロバイダ、およびロール マッピング プロバイダが DeployableAuthorizationProvider、DeployableCredentialProvider、および DeployableRoleProvider セキュリティ サービス プロバイダ インタフェース (SSPI) を実装している必要があります。この SSPI により、プロバイダはデプロイメント記述子からの情報を格納 (取得ではなく) できます。
パフォーマンスを制御するには、WebLogic Server Administration Console で WebLogic Security サービスにおけるセキュリティ チェックの実行方法を指定する必要があります。このオプションは、セキュリティ レルムの [ロールとポリシーのチェック対象] 属性を使用して指定します。
[ロールとポリシーのチェック対象] の設定値が [デプロイメント記述子で保護された Web アプリケーションと EJB] の場合、WebLogic Security サービスは関連のデプロイメント記述子 (DD) で指定したセキュリティを備える URL および EJB リソースに対してのみセキュリティ チェックを実行します。これは [ロールとポリシーのチェック対象] のデフォルト設定です。
[ロールとポリシーのチェック対象] の設定値が [すべての Web アプリケーションと EJB] の場合、WebLogic Security サービスはすべての URL (Web) および EJB リソースに対して、これらの WebLogic リソースのデプロイメント記述子におけるセキュリティ設定の有無に関係なく、セキュリティ チェックを実行します。[ロールとポリシーのチェック対象] ドロップダウン メニューの値を [すべての Web アプリケーションと EJB] に変更した場合は、URL または EJB リソースの再デプロイ時に WebLogic Security サービスが実行すべき処理も指定する必要があります。
[ロールとポリシーのチェック対象] ドロップダウン メニューの [すべての Web アプリケーションと EJB] で、WebLogic Security サービスによるセキュリティ チェックの実行を決定した場合は、これらの URL (Web) および EJB リソースをセキュアにするために使用する手法を WebLogic Server に通知する必要もあります。これらのオプションは、[今後の再デプロイの設定] 属性を使用して指定します。
[今後の再デプロイの設定] ドロップダウン メニューの値は、次のように設定します。
デプロイメント記述子のロールとポリシーを無視] オプションを選択します。ejb-jar.xml、weblogic-ejb-jar.xml、web.xml、および weblogic.xml ファイル) のみを使用して URL および EJB リソースをセキュアにするには、[デプロイメント記述子のロールとポリシーを初期化] オプションを選択します。詳細については、「WebLogic リソースのセキュリティ」を参照してください。
weblogic-ra.xml デプロイメント記述子ファイルから組み込み LDAP サーバへ情報がロードされた後も、元のリソース アダプタは変更されません。したがって、(WebLogic Server Administration Console を通じて再デプロイするか、ディスク上で修正するか、または WebLogic Server を再起動することで) 元のリソース アダプタを再デプロイした場合、データは再び weblogic-ra.xml デプロイメント記述子ファイルからインポートされ、資格マッピング情報は失われる可能性があります。
新しい資格マッピング情報を weblogic-ra.xml デプロイメント記述子ファイルの古い情報で上書きすることを回避するには、[デプロイメント記述子内のセキュリティ データを無視] 属性を有効化します。
Web リソースの使用は、WebLogic Server 7.0 SP02 で非推奨になりました。URL リソースの代わりに Web リソースを使用するカスタム認可プロバイダを作成した場合は、[非推奨の Web リソースを使用] 属性を有効にしてください。この属性を使うと、Servlet コンテナの実行時の振る舞いが変更され、認可を実行する際に URL リソースの代わりに Web リソースが使われます。
WebLogic 認証プロバイダまたは LDAP 認証プロバイダのパフォーマンスを向上させるために、必要に応じて、WebLogic プリンシパル検証プロバイダによって使用されるキャッシュの設定を大きくすることができます。 WebLogic プリンシパル検証プロバイダよって使用されるプリンシパル バリデータ キャッシュには、署名された WLSAbstractPrincipal が含まれています。 以下の属性を使用して、プリンシパル バリデータ キャッシュの設定を定義します。
『WebLogic Security プログラマーズ ガイド』
『WebLogic Server 8.1 へのアップグレード』のセキュリティのトピック
WebLogic Server マニュアルのセキュリティのページ
|
|
|