WebLogic J2EE コネクタ アーキテクチャ
|
 |
 |
|
以下の節では WebLogic J2EE コネクタのセキュリティについて説明します。
「J2EE コネクタ仕様、バージョン 1.0、最終リリース」で指定されているように、WebLogic Server コネクタ実装はコンテナ管理とアプリケーション管理の両方のサインオンをサポートしています。実行時、Weblogic Server コネクタ実装は、呼び出し側クライアント コンポーネントのデプロイメント記述子に基づいて、指定されたサインオン メカニズムを判別します。呼び出し側コンポーネントの res-auth 要素は、サインオン メカニズムが指定されている場所です。この要素の詳細については、『WebLogic Server Web アプリケーションの開発』の「web.xml デプロイメント記述子の要素」を参照してください。
Weblogic J2EE コネクタ アーキテクチャ実装が、リソース アダプタの接続ファクトリの JNDI ルックアップを正しく実行できないなどの理由で、サインオン メカニズムを判別できない場合、コネクタ アーキテクチャはコンテナ管理によるサインオンを試行します。
注意 : ただしこの場合でも、クライアント コンポーネントが明示的なセキュリティ情報を指定していれば、その情報も接続を取得するための呼び出し時に提示されます。
詳細については、「クライアントに関する考慮事項」の「ConnectionFactory (クライアントと JNDI 間の対話) の取得」を参照してください。
アプリケーション管理によるサインオンの場合、クライアント コンポーネントは、エンタープライズ情報システム (EIS) に接続するための呼び出しを実行するときに、必要なセキュリティ情報 (通常はユーザ名とパスワード) を提示します。この場合、アプリケーション サーバは、接続リクエストと一緒にこの情報を渡す以外にセキュリティ関連の処理を行いません。提供されるリソース アダプタは、セキュリティ情報を提示したクライアント コンポーネントを使用して、リソース アダプタ実装固有の方法で EIS サインオンを実行します。
コンテナ管理によるサインオンを使用するには、WebLogic Server がリソース プリンシパルを識別してから、リソース プリンシパルに代わって接続を要求しなければなりません。WebLogic Server は、組み込み LDAP ストレージ内のコンフィグレーション済みマッピングを探してリソース プリンシパルを識別します。デプロイ済みのリソース アダプタの場合、適切なユーザの資格マップをコンフィグレーションできます。詳細については、「Console を使用した資格マップのコンフィグレーション」を参照してください。
WebLogic Server のユーザを、特定のリソース アダプタの適切な資格にマップします。非推奨の security-principal-map 要素 (weblogic-ra.xml デプロイメント記述子でコンフィグレーションする) を使用している旧スタイルのリソース アダプタの場合、この情報はデプロイメント時に組み込み LDAP ストレージにインポートされます。
「J2EE コネクタ仕様、バージョン 1.0 最終リリース」では、javax.security.auth.Subject での資格のストレージが要求されています。資格は ManagedConnectionFactory オブジェクトの createManagedConnection() または matchManagedConnection() メソッドのいずれかに渡されます。
バージョン 7.0 以前の WebLogic Server では、資格マップ情報は weblogic-ra.xml デプロイメント記述子の security-principal-map 要素に格納されていました。それ以降のバージョンの WebLogic Server では、資格マップ情報は WebLogic Server の組み込み LDAP ストレージに格納されます。
WebLogic Server ユーザが、保護されている WebLogic Server リソースへのアクセスを要求する場合、必ず認証を受けなければなりません。このため、各ユーザは資格 (ユーザ名/パスワードの組み合わせまたはデジタル証明書) を WebLogic Server に提示する必要があります。
パスワード認証は、WebLogic Server がデフォルトでサポートしている唯一の認証メカニズムです。パスワード認証は、ユーザ ID とパスワードから成ります。コンフィグレーション済みのマップに基づいて、ユーザがリソース アダプタへの接続を要求すると、そのユーザの適切な資格がリソース アダプタに提供されます。
SSL (または HTTPS) プロトコルを使用すると、パスワード認証にさらに高度なレベルのセキュリティを提供できます。SSL プロトコルは、クライアントと WebLogic Server との間で転送されるデータを暗号化するので、ユーザ ID とパスワードはクリア テキストでは転送されません。したがって、WebLogic Server は、ユーザの ID およびパスワードの機密性を保持したままユーザを認証できます。
詳細については、『WebLogic Security の管理』の「SSL のコンフィグレーション」を参照してください。
資格マップをコンフィグレーションするには、WebLogic Server Administration Console を使用します。ただし、Console を使用してリソース アダプタの資格マップをコンフィグレーションする前に、リソース アダプタをデプロイしておく必要があります。リソース アダプタを初めてデプロイする場合、資格マップがコンフィグレーションされていないことに注意してください。
このため、リソース アダプタが資格の提供を要求し、デプロイ時に接続を作成するようコンフィグレーションされている (つまり weblogic-ra.xml 内の initial-capacity 要素が 0 より大きな値に設定されている) 場合、初期接続が失敗することがあります。その場合、このリソース アダプタの初期インストールおよびデプロイメント時に、initial-capacity で接続プールに対して 0 を設定することをお勧めします。適切な資格をコンフィグレーションし、リソース アダプタの初期デプロイメントが終わったら、initial-capacity 要素を変更できます。weblogic-ra.xml デプロイメント記述子の詳細については、「weblogic-ra.xml デプロイメント記述子の要素」を参照してください。
資格マップの作成については、『WebLogic Security の管理』の「エンタープライズ情報システムでのシングル サインオン」を参照してください。
以下の節ではユーザとグループの定義について説明します。ユーザとグループを作成する方法の詳細については、『WebLogic Security の管理』を参照してください。
ユーザとは、WebLogic Server セキュリティ レルムで認証されるエンティティのことです。ユーザは、個人でも Java クライアントなどのソフトウェア エンティティでもかまいません。各ユーザには、WebLogic Server セキュリティ レルムの中で固有の ID が与えられます。システム管理者は、同じセキュリティ レルム内で同一ユーザが重複しないようにする必要があります。
セキュリティ レルムのユーザの定義では、WebLogic Server セキュリティ レルム内のリソースにアクセスするユーザごとにユニークな名前とパスワードを、Administration Console の [ユーザ] ウィンドウで指定します。
リソース アダプタが使用する特別ユーザが 3 つ用意されています。特別ユーザは以下のとおりです。
グループは、通常、企業の同じ部門に所属しているなどの共通点を持つユーザの集合を表します。グループは、多数のユーザを効率的に管理する手段です。ユーザとグループにセキュリティ ロールを付与します。これらのセキュリティ ロールは、サーバ リソースへのアクセスを制限するセキュリティ ポリシーを作成する場合に使用されます。詳細については、『WebLogic Security の管理』を参照してください。
デフォルトのマッピングは、特別な名前の weblogic_ra_default を使用して作成します。このマッピングは省略できます。ただし、コンテナ管理によるサインオンがリソース アダプタにサポートされており、いずれかのクライアントに使用される場合は、何らかの形式で指定する必要があります。
また、weblogic_ra_initial リソース プリンシパル (指定されている場合) に定義されているマッピングを使用して、デプロイメント時に管理対象の接続を接続プールに取得するよう試行されます。
非推奨となった security-principal-map 要素がコンフィグレーションされた weblogic-ra.xml ファイルを持つ旧スタイルのリソース アダプタからセキュリティ プリンシパル マップをインポートすると、開始プリンシパルが * の要素が weblogic_ra_initial および wl_ra_default の特別なマッピングとしてインポートされます。これにより、これらのマッピングがデプロイ時およびデフォルト接続時に初期接続で使用されます。
詳細については、「ユーザとグループの定義」を参照してください。
「J2EE コネクタ仕様、バージョン 1.0 最終リリース」は、アプリケーション サーバ上で動作するリソース アダプタに関するデフォルト セキュリティ ポリシーを定義しています。また、リソース アダプタがデフォルトをオーバーライドして独自のセキュリティ ポリシーを指定する方法も定義しています。
この仕様に準拠するため、WebLogic Server はリソース アダプタの実行時環境を動的に変更します。リソース アダプタで特定のセキュリティ ポリシーが定義されない場合、WebLogic Server はリソース アダプタの実行時環境を J2EE コネクタ アーキテクチャ仕様で指定されたデフォルト セキュリティ ポリシーでオーバーライドします。リソース アダプタで特定のセキュリティ ポリシーが定義されている場合は、Weblogic Server がリソース アダプタの実行時環境をリソース アダプタのデフォルト セキュリティ ポリシーとリソース アダプタに定義された特定のポリシーの組み合わせでオーバーライドします。リソース アダプタは ra.xml デプロイメント記述子ファイルの security-permission-spec 要素を使用して固有のセキュリティ ポリシーを定義します。
セキュリティ ポリシー処理の詳細については、「J2EE コネクタ仕様、バージョン 1.0、最終リリース」(http://java.sun.com/j2ee/download.html#connectorspec) を参照してください。
|
|
|