ナビゲーションをスキップ

eDocs ホーム > BEA WebLogic Server 8.1 ドキュメント > WebLogic Security の管理 > エンタープライズ情報システムでのシングル サインオン

WebLogic Security の管理

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

エンタープライズ情報システムでのシングル サインオン

この節では、資格マップの作成方法について説明します。資格マップを使用すると、エンタープライズ情報システム (EIS) のユーザは、保護された WebLogic リソースにアクセスできます。

注意 :この章は、このリリースの WebLogic Server のセキュリティ機能を使用する WebLogic Server デプロイメントと互換性セキュリティを使用するデプロイメントに適用されます。

 

概要

シングル サインオンを使用すると、ユーザ情報が EIS から WebLogic Server に伝播されるので、ユーザは WebLogic Server リソースにアクセスするときに複数回にわたって自分自身を認証する必要がなくなります。J2EE コネクタ アーキテクチャで定義されるリソース アダプタでは、EIS で定義されるユーザが保護されている WebLogic リソースへのアクセスを要求した場合に、これらのユーザを認証するために必要な資格を取得できます。リソース アダプタをホストする WebLogic Server のコンテナは、資格マップを使って WebLogic リソースに対する適切な一連の資格を取得できます。資格マップでは、WebLogic Server のセキュリティ レルムのユーザと、EIS (Oracle データベース、SQL サーバ、SAP アプリケーションなど) に対するそのユーザの認証に使用される ID (ユーザ名とパスワードの組み合わせ) が関連付けられます。

資格マップは以下の 2 つの手順で作成します。

  1. EIS ユーザに対して WebLogic Server のユーザまたはグループを作成します。ユーザまたはグループは、コンフィグレーションされている認証プロバイダに定義される必要があります。複数の WebLogic Server ユーザまたはグループを同じリモート ユーザまたはグループにマップできます。管理を効率化するために、グループを使用して資格マップを作成するようにしてください。
  2. EIS ユーザの資格マップを作成します。EIS で認証を受けるユーザのユーザ名とパスワードか、または EIS ユーザが属するグループ名を使用してユーザを定義します。これらの資格情報は組み込み LDAP サーバに格納されます。

リソース アダプタでのセキュリティの使い方については、『WebLogic J2EE コネクタ アーキテクチャ』のセキュリティに関するトピックを参照してください。

WebLogic Server では資格マップを作成する方法として、デプロイメント記述子 (非推奨) と WebLogic Server Administration Console の 2 つを用意しています。以降の節では、両方の方法について説明します。

 

デプロイメント記述子を使用した資格マップの作成 (非推奨)

資格マップは weblogic-ra.xml デプロイメント記述子ファイルの <security-principal-map> 要素で定義できます。<security-principal-map> 要素は、EIS へのログインに使用する資格と、WebLogic リソースへの認証に使用する資格の間に関連付けを提供します。資格マップの作成にデプロイメント記述子を使用する方法は、このリリースの WebLogic Server で非推奨になりました。代わりに、WebLogic Server Administration Console を使用して資格マップを作成してください。詳細については、「WebLogic Administration Console を使用した資格マップの作成」を参照してください。

<security-principal-map> 要素が定義された weblogic-ra.xml デプロイメント記述子ファイルを持つリソース アダプタをデプロイした場合は、そのファイルのデータを組み込み LDAP サーバにインポートして WebLogic 資格マッピング プロバイダから使用できるようにすることをお勧めします。

weblogic-ra.xml から組み込み LDAP サーバへの情報のインポート

weblogic-ra.xml デプロイメント記述子ファイルから組み込み LDAP サーバに情報をインポートするには、デフォルト (アクティブ) セキュリティ レルムの資格マッピング プロバイダで [資格マッピング デプロイメントを有効化] 属性を有効にする必要があります。リソース アダプタがデプロイされるときに、資格マップ情報は資格マッピング プロバイダにロードされます。

[資格マッピング デプロイメントを有効化] 属性をサポートするには、資格マッピング プロバイダは DeployableCredentialProvider SSPI を実装する必要があります。デフォルトでは、WebLogic 資格マッピング プロバイダではこの属性が有効になっています。したがって、weblogic-ra.xml デプロイメント記述子ファイルからの情報は、リソース アダプタのデプロイ時に自動的に WebLogic 資格マッピング プロバイダにロードされます。

weblogic-ra.xml デプロイメント記述子ファイルから組み込み LDAP サーバへ情報がロードされた後も、元のリソース アダプタは変更されません。したがって、元のリソース アダプタを再デプロイすると (WebLogic Server Administration Console から再デプロイする、ディスク上で変更する、または WebLogic Server を再起動する場合に発生)、weblogic-ra.xml デプロイメント記述子ファイルからデータが再びインポートされて、資格マッピング情報は失われる可能性があります。

資格マッピング情報の上書きの防止

新しい資格マッピング情報が weblogic-ra.xml デプロイメント記述子ファイルの古い情報で上書きされないようにするには、[デプロイメント記述子内のセキュリティ データを無視] 属性を有効にします。

  1. [セキュリティ|レルム] ノードを展開します。

    2. [レルム] テーブルに、WebLogic ドメインで使用可能なすべてのセキュリティ レルムが表示されます。

  2. 使用するレルムの名前を選択します。
  3. [全般] タブを選択します。
  4. [デプロイの資格マッピングを無視] 属性をチェックします。この属性により、セキュリティ レルムの資格マッピング プロバイダが、WebLogic Server Administration Console を使用して作成される資格マップだけを使用することを指定します。デフォルトでは、この属性はチェックされておらず、資格マッピング プロバイダは weblogic-ra.xml デプロイメント記述子ファイルで指定された資格マップをロードします。
  5. [適用] をクリックします。
  6. WebLogic Server を再起動します。

以上の手順を行った後は、weblogic-ra.xml デプロイメント記述子ファイルを変更して <security-principal-map> 要素を削除することをお勧めします。

 

WebLogic Administration Console を使用した資格マップの作成

現在では、WebLogic Server Administration Console を使用して資格マップを作成することができます。WebLogic 資格マッピング プロバイダを使用する場合、資格マップは組み込み LDAP サーバに格納されます。

資格マップを作成するには、次の手順に従います。

  1. デフォルト (アクティブ) セキュリティ レルムで、[デプロイの資格マッピングを無視] 属性が有効になっていることを確認します。有効になっていない場合、資格マップは weblogic-ra.xml デプロイメント記述子ファイルの古い情報で上書きされるおそれがあります。詳細については、「新しいセキュリティ レルムのデフォルト (アクティブ) セキュリティ レルムとしての設定」を参照してください。
  2. EIS ユーザに対してユーザまたはグループを定義します。詳細については、『WebLogic リソースのセキュリティ』の「ユーザとグループ」を参照してください。
  3. リソース アダプタをデプロイします。詳細については、『WebLogic J2EE コネクタ アーキテクチャ』を参照してください。
  4. WebLogic Server Administration Console の左ペインで、[デプロイメント|コネクタ モジュール] ノードを展開します。
  5. 資格マップを作成するコネクタの名前を右クリックし、[資格マッピングの定義] を選択して資格マッピング ページを表示します。

    6. 現在定義されている資格マップがあれば、その表が右ペインに表示されます。

  6. [新しい資格マッピングのコンフィグレーション] リンクをクリックします。

    7. 複数の WebLogic 資格マッピング プロバイダがセキュリティ レルムでコンフィグレーションされている場合は、新しい資格マップの情報をどの WebLogic 資格マッピング プロバイダのデータベースで格納するのかを選択します。

  7. 手順 2 で EIS ユーザとして定義した WebLogic Server ユーザまたはグループの名前を [WLS ユーザ] フィールドに入力します。
  8. EIS ユーザの名前を [リモート ユーザ] フィールドに入力します。
  9. [適用] をクリックして変更を保存します。

    10. 資格マップ テーブルに EIS ユーザが表示されます。

  10. 資格マップ テーブルの [リモート ユーザ] カラムにある EIS ユーザの名前をクリックします。
  11. EIS ユーザのパスワードを [リモート パスワード] フィールドに入力します。
  12. パスワードを確認します。
  13. [適用] をクリックします。

 

フッタのナビゲーションのスキップ  ページの先頭 前 次