WebLogic Security サービスの開発

WebLogic Server で使用するセキュリティプロバイダの開発について

対象読者

前提条件

開発プロセスの概要

カスタムセキュリティプロバイダの設計

SSPI の実装によるカスタムセキュリティプロバイダ用の実行時クラスの作成

カスタムセキュリティプロバイダをコンフィグレーションおよび管理する MBean タイプの生成

コンソール拡張機能の記述

カスタムセキュリティプロバイダのコンフィグレーション

セキュリティポリシー、セキュリティロール、および資格マップを管理するメカニズムの提供

設計上の考慮事項

セキュリティプロバイダの一般的なアーキテクチャ

セキュリティサービスプロバイダインタフェース (SSPI)

重要な制限を理解する

「Provider」SSPI の目的を理解する

実装する「Provider」インタフェースを決定する

DeployableAuthorizationProvider SSPI

DeployableRoleProvider SSPI

DeployableCredentialProvider SSPI

SSPI 階層を理解し、実行時クラスを 1 つ作成するのか 2 つ作成するのかを決定する

SSPI クイックリファレンス

セキュリティサービスプロバイダインタフェース (SSPI) MBean

MBean タイプが必要な理由を理解する

拡張および実装する SSPI MBean を決定する

MBean 定義ファイル (MDF) の基本的な要素を理解する

カスタムプロバイダとクラスパス

MBean 属性に非クリアテキスト値を指定する

SSPI MBean の階層と Administration Console に対する影響を理解する

WebLogic MBeanMaker によって提供されるものを理解する

MBean 情報ファイルについて

SSPI MBean クイックリファレンス

セキュリティデータの移行

移行の概念

フォーマット

制約

移行ファイル

カスタムセキュリティプロバイダへの移行サポートの追加

セキュリティデータの移行に関する Administration Console のサポート

セキュリティプロバイダの開発者向け管理ユーティリティ

セキュリティプロバイダと WebLogic リソース

WebLogic リソースのアーキテクチャ

WebLogic リソースのタイプ

WebLogic リソース識別子

toString() メソッド

リソース ID と getID() メソッド

WebLogic リソースのデフォルトグループの作成

WebLogic リソースのデフォルトセキュリティロールの作成

WebLogic リソースのデフォルトセキュリティポリシーの作成

セキュリティプロバイダの実行時クラスでの WebLogic リソースのルックアップ

単一親リソース階層

URL リソースのパターンマッチング

ContextHandler と WebLogic リソース

セキュリティプロバイダデータベースの初期化

ベストプラクティス : データベースがない場合のシンプルなデータベースの作成

ベストプラクティス : 既存のデータベースのコンフィグレーション

ベストプラクティス : データベース初期化の委託

認証プロバイダ

認証の概念

ユーザ/グループ、プリンシパル、サブジェクト

LoginModule

LoginModule インタフェース

LoginModule とさまざまな要素から成る認証

JAAS (Java Authentication and Authorization Service)

JAAS が WebLogic Security フレームワークとどう連携するか

例 : スタンドアロンの T3 アプリケーション

認証プロセス

カスタム認証プロバイダを開発する必要があるか

カスタム認証プロバイダの開発方法

適切な SSPI を使用して実行時クラスを作成する

AuthenticationProvider SSPI を実装する

JAAS LoginModule インタフェースを実装する

LoginModule からカスタム例外を送出する

例 : サンプル認証プロバイダの実行時クラスの作成

WebLogic MBeanMaker を使用して MBean タイプを生成する

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console を使用してカスタム認証プロバイダをコンフィグレーションする

ユーザロックアウトを管理する

認証プロバイダの順序を指定する

ID アサーションプロバイダ

ID アサーションの概念

ID アサーションプロバイダと LoginModule

ID アサーションとトークン

新しいトークンタイプの作成方法

新しいトークンタイプを ID アサーションプロバイダのコンフィグレーションで利用可能にする方法

境界認証用のトークンを渡す

CSIv2 (Common Secure Interoperability Version 2)

ID アサーションプロセス

カスタム ID アサーションプロバイダを開発する必要があるか

カスタム ID アサーションプロバイダの開発方法

適切な SSPI を使用して実行時クラスを作成する

AuthenticationProvider SSPI を実装する

IdentityAsserter SSPI を実装する

例 : サンプル ID アサーションプロバイダの実行時クラスの作成

WebLogic MBeanMaker を使用して MBean タイプを生成する

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console を使用してカスタム ID アサーションプロバイダをコンフィグレーションする

プリンシパル検証プロバイダ

プリンシパル検証の概念

プリンシパル検証とプリンシパルタイプ

プリンシパル検証プロバイダと他のタイプのセキュリティプロバイダの違い

無効なプリンシパルが原因のセキュリティ例外

プリンシパル検証プロセス

カスタムプリンシパル検証プロバイダを開発する必要があるか

WebLogic プリンシパル検証プロバイダの使い方

カスタムプリンシパル検証プロバイダの開発方法

PrincipalValidator SSPI を実装する

認可プロバイダ

認可の概念

アクセス決定

認可プロセス

カスタム認可プロバイダを開発する必要があるか

カスタム認可プロバイダの開発方法

適切な SSPI を使用して実行時クラスを作成する

AuthorizationProvider SSPI を実装する

DeployableAuthorizationProvider SSPI を実装する

AccessDecision SSPI を実装する

例 : サンプル認可プロバイダの実行時クラスの作成

WebLogic MBeanMaker を使用して MBean タイプを生成する

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console を使用してカスタム認可プロバイダをコンフィグレーションする

認可プロバイダとデプロイメント記述子の管理

ポリシーデプロイメントの有効化

セキュリティポリシーを管理するためのメカニズムを提供する

オプション 1 : コンソール拡張を使用して独自の「ポリシーエディタ」ページを作成する

オプション 2 : セキュリティポリシー管理用のスタンドアロンツールを開発する

オプション 3 : 既存のセキュリティポリシー管理ツールを Administration Console に統合する

裁決プロバイダ

裁決プロセス

カスタム裁決プロバイダを開発する必要があるか

カスタム裁決プロバイダの開発方法

適切な SSPI を使用して実行時クラスを作成する

AdjudicationProvider SSPI を実装する

Adjudicator SSPI を実装する

WebLogic MBeanMaker を使用して MBean タイプを生成する

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console を使用してカスタム裁決プロバイダをコンフィグレーションする

ロールマッピングプロバイダ

ロールマッピングの概念

セキュリティロール

動的セキュリティロール計算

ロールマッピングプロセス

カスタムロールマッピングプロバイダを開発する必要があるか

カスタムロールマッピングプロバイダの開発方法

適切な SSPI を使用して実行時クラスを作成する

RoleProvider SSPI を実装する

DeployableRoleProvider SSPI を実装する

RoleMapper SSPI を実装する

SecurityRole インタフェースを実装する

例 : サンプルロールマッピングプロバイダの実行時クラスの作成

WebLogic MBeanMaker を使用して MBean タイプを生成する

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console を使用してカスタムロールマッピングプロバイダをコンフィグレーションする

ロールマッピングプロバイダとデプロイメント記述子の管理

セキュリティロールデプロイメントの有効化

セキュリティロールを管理するためのメカニズムを提供する

オプション 1 : コンソール拡張を使用して独自の「ロールエディタ」ページを作成する

オプション 2 : セキュリティロール管理用のスタンドアロンツールを開発する

オプション 3 : 既存のセキュリティロール管理ツールを Administration Console に統合する

監査プロバイダ

監査の概念

監査チャネル

カスタムセキュリティプロバイダからのイベントの監査

監査プロセス

カスタム監査プロバイダを開発する必要があるか

カスタム監査プロバイダの開発方法

適切な SSPI を使用して実行時クラスを作成する

AuditProvider SSPI を実装する

AuditChannel SSPI を実装する

例 : サンプル監査プロバイダの実行時クラスの作成

WebLogic MBeanMaker を使用して MBean タイプを生成する

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム監査プロバイダのコンフィグレーション

監査重大度をコンフィグレーションする

資格マッピングプロバイダ

資格マッピングの概念

資格マッピングプロセス

カスタム資格マッピングプロバイダを開発する必要があるか

カスタム資格マッピングプロバイダの開発方法

適切な SSPI を使用して実行時クラスを作成する

CredentialProvider SSPI を実装する

DeployableCredentialProvider SSPI を実装する

CredentialMapper SSPI を実装する

WebLogic MBeanMaker を使用して MBean タイプを生成する

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console を使用してカスタム資格マッピングプロバイダをコンフィグレーションする

資格マッピングプロバイダ、リソースアダプタ、およびデプロイメント記述子の管理

デプロイ可能な資格マッピングの有効化

資格マップを管理するためのメカニズムを提供する

オプション 1 : コンソール拡張を使用して独自の「資格マッピング」ページを作成する

オプション 2 : 資格マップ管理用のスタンドアロンツールを開発する

オプション 3 : 既存の資格マップ管理ツールを Administration Console に統合する

カスタムセキュリティプロバイダからのイベントの監査

セキュリティサービスと監査サービス

カスタムセキュリティプロバイダからの監査方法

監査イベントを作成する

AuditEvent SSPI を実装する

監査イベントコンビニエンスインタフェースを実装する

監査重大度

監査コンテキスト

例 : AuditRoleEvent インタフェースの実装

監査サービスを取得および使用して監査イベントを書き込む

例 : 監査サービスを取得および使用してロール監査イベントを書き込む

カスタムセキュリティプロバイダ用のコンソール拡張の記述

コンソール拡張の記述が必要な場合

開発プロセスでのコンソール拡張の記述

カスタムセキュリティプロバイダ用のコンソール拡張と基本コンソール拡張との違い

Administration Console 拡張を記述する主要な手順

SecurityExtensionV2 インタフェースの使用によるカスタムセキュリティプロバイダ関連の Administration Console ダイアログ画面の置き換え