WebLogic Security の管理
![]() |
![]() |
![]() |
![]() |
この節では、資格マップの作成方法について説明します。資格マップを使用すると、エンタープライズ情報システム (EIS) のユーザは、保護された WebLogic リソースにアクセスできます。
注意 :この章は、このリリースの WebLogic Server のセキュリティ機能を使用する WebLogic Server デプロイメントと互換性セキュリティを使用するデプロイメントに適用されます。
シングル サインオンを使用すると、ユーザ情報が EIS から WebLogic Server に伝播されるので、ユーザは WebLogic Server リソースにアクセスするときに複数回にわたって自分自身を認証する必要がなくなります。J2EE コネクタ アーキテクチャで定義されるリソース アダプタでは、EIS で定義されるユーザが保護されている WebLogic リソースへのアクセスを要求した場合に、これらのユーザを認証するために必要な資格を取得できます。リソース アダプタをホストする WebLogic Server のコンテナは、資格マップを使って WebLogic リソースに対する適切な一連の資格を取得できます。資格マップでは、WebLogic Server のセキュリティ レルムのユーザと、EIS (Oracle データベース、SQL サーバ、SAP アプリケーションなど) に対するそのユーザの認証に使用される ID (ユーザ名とパスワードの組み合わせ) が関連付けられます。
リソース アダプタでのセキュリティの使い方については、『WebLogic J2EE コネクタ アーキテクチャ』のセキュリティに関するトピックを参照してください。
WebLogic Server では資格マップを作成する方法として、デプロイメント記述子 (非推奨) と WebLogic Server Administration Console の 2 つを用意しています。以降の節では、両方の方法について説明します。
資格マップは weblogic-ra.xml
デプロイメント記述子ファイルの <security-principal-map>
要素で定義できます。<security-principal-map>
要素は、EIS へのログインに使用する資格と、WebLogic リソースへの認証に使用する資格の間に関連付けを提供します。資格マップの作成にデプロイメント記述子を使用する方法は、このリリースの WebLogic Server で非推奨になりました。代わりに、WebLogic Server Administration Console を使用して資格マップを作成してください。詳細については、「WebLogic Administration Console を使用した資格マップの作成」を参照してください。
<security-principal-map>
要素が定義された weblogic-ra.xml
デプロイメント記述子ファイルを持つリソース アダプタをデプロイした場合は、そのファイルのデータを組み込み LDAP サーバにインポートして WebLogic 資格マッピング プロバイダから使用できるようにすることをお勧めします。
weblogic-ra.xml
デプロイメント記述子ファイルから組み込み LDAP サーバに情報をインポートするには、デフォルト (アクティブ) セキュリティ レルムの資格マッピング プロバイダで [資格マッピング デプロイメントを有効化] 属性を有効にする必要があります。リソース アダプタがデプロイされるときに、資格マップ情報は資格マッピング プロバイダにロードされます。
[資格マッピング デプロイメントを有効化] 属性をサポートするには、資格マッピング プロバイダは DeployableCredentialProvider SSPI を実装する必要があります。デフォルトでは、WebLogic 資格マッピング プロバイダではこの属性が有効になっています。したがって、weblogic-ra.xml
デプロイメント記述子ファイルからの情報は、リソース アダプタのデプロイ時に自動的に WebLogic 資格マッピング プロバイダにロードされます。
weblogic-ra.xml
デプロイメント記述子ファイルから組み込み LDAP サーバへ情報がロードされた後も、元のリソース アダプタは変更されません。したがって、元のリソース アダプタを再デプロイすると (WebLogic Server Administration Console から再デプロイする、ディスク上で変更する、または WebLogic Server を再起動する場合に発生)、weblogic-ra.xml
デプロイメント記述子ファイルからデータが再びインポートされて、資格マッピング情報は失われる可能性があります。
新しい資格マッピング情報が weblogic-ra.xml
デプロイメント記述子ファイルの古い情報で上書きされないようにするには、[デプロイメント記述子内のセキュリティ データを無視] 属性を有効にします。
以上の手順を行った後は、weblogic-ra.xml
デプロイメント記述子ファイルを変更して <security-principal-map>
要素を削除することをお勧めします。
現在では、WebLogic Server Administration Console を使用して資格マップを作成することができます。WebLogic 資格マッピング プロバイダを使用する場合、資格マップは組み込み LDAP サーバに格納されます。
weblogic-ra.xml
デプロイメント記述子ファイルの古い情報で上書きされるおそれがあります。詳細については、「新しいセキュリティ レルムのデフォルト (アクティブ) セキュリティ レルムとしての設定」を参照してください。
![]() ![]() |
![]() |
![]() |