WebLogic Security の管理
以下の節では、リリース 6.x の WebLogic Server とこのリリースの WebLogic Server の違いを含む、WebLogic Server のセキュリティ システムの概要について説明します。
注意 :このマニュアルでは、6.x という用語は WebLogic Server 6.0 および 6.1、およびそれらに関連するサービス パックを表しています。
『WebLogic Security の管理』は、サーバ管理者とアプリケーション管理者を対象としています。
サーバ管理者とアプリケーション管理者は、このマニュアルの他に『WebLogic リソースのセキュリティ』に目を通しておいてください。
WebLogic Server のセキュリティ サービスは、セキュリティのコンフィグレーションと管理を簡素化しながらも、WebLogic Server デプロイメントを保護する堅牢な機能を提供します。この節では、以前のリリースの WebLogic Server からのセキュリティ サービスの変更点について説明します。
WebLogic Server 6.x では、セキュリティ レルムで認証および認可サービスを提供していました。6.x では、ファイル レルムか、または Lightweight Data Access Protocol (LDAP)、Windows NT、Unix、RDBMS レルムなどの代替レルムを選択しました。認証をカスタマイズする場合は、独自のセキュリティ レルムを記述して WebLogic Server 環境に統合することができました。セキュリティ レルムはドメインに適用され、1 つのドメインに複数のセキュリティ レルムを設定することはできませんでした。
このリリースの WebLogic Server では、セキュリティ レルムはスコーピング (有効範囲の設定) メカニズムとして機能します。各セキュリティ レルムは、コンフィグレーション済みのセキュリティ プロバイダ、ユーザ、グループ、セキュリティ ロール、およびセキュリティ ポリシーで構成されます。単一のドメインに複数のセキュリティ レルムをコンフィグレーションできますが、デフォルト (アクティブ) セキュリティ レルムに指定できるのはそのうちの 1 つだけです。WebLogic Server には、以下の 2 つのデフォルト セキュリティ レルムが用意されています。
セキュリティ アプリケーション プログラミング インタフェース (API) を使用して記述されるカスタム セキュリティ レルムは、互換性セキュリティでのみサポートされます。このリリースの WebLogic Server では、新しいセキュリティ レルムをコンフィグレーションして認証機能と認可機能をカスタマイズし、必要なセキュリティ サービスを用意します。次に、その新しいセキュリティ レルムをデフォルト セキュリティ レルムとして設定します。
WebLogic Server のデフォルト セキュリティ コンフィグレーションについては、「WebLogic Server のデフォルト セキュリティ コンフィグレーション」を参照してください。
セキュリティ レルムをコンフィグレーションしてデフォルト セキュリティ レルムに設定する方法については、「デフォルト セキュリティ コンフィグレーションのカスタマイズ」を参照してください。
互換性セキュリティの使い方については、「互換性セキュリティの使い方」を参照してください。
セキュリティ プロバイダは、認証や認可など、セキュリティの特定の側面を処理するモジュール コンポーネントです。アプリケーションはデフォルトの WebLogic セキュリティ プロバイダを通じてサービスを利用することができますが、WebLogic Security サービスのインフラストラクチャは柔軟性が高いので、セキュリティ ベンダが WebLogic Server 用の独自のカスタム セキュリティ プロバイダを作成することもできます。WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダを適宜組み合わせて独自のセキュリティ ソリューションを構築することができるので、ある分野では新たな技術の進歩を利用しつつ、それ以外の分野では実証済みの手法を堅持できるようになります。WebLogic Server Administration Console を使用すると、統合された単一の管理インタフェースを通じてすべてのセキュリティ プロバイダを管理できます。
WebLogic Security サービスは、以下のセキュリティ プロバイダをサポートしています。
注意 :WebLogic キーストア プロバイダはこのリリースの WebLogic Server で非推奨となり、下位互換性のためにのみサポートされています。代わりにキーストアを使用してください。キーストアのコンフィグレーションの詳細については、「キーストアのコンフィグレーション」を参照してください。
WebLogic セキュリティ プロバイダで提供される機能の詳細については、「セキュリティ プロバイダのコンフィグレーション」を参照してください。
デフォルト セキュリティ コンフィグレーションについては、「WebLogic Server のデフォルト セキュリティ コンフィグレーション」を参照してください。
カスタム セキュリティ プロバイダの作成については、『WebLogic Security サービスの開発』を参照してください。
WebLogic Server 6.x では、アクセス制御リスト (ACL) とパーミッションを使用して WebLogic リソースを保護していました。このリリースの WebLogic Server では、ACL とパーミッションに代わってセキュリティ ポリシーを使用します。セキュリティ ポリシーは、WebLogic リソースへの「アクセス権は誰が持つか」という問いに答えます。セキュリティ ポリシーは、WebLogic リソースとユーザ、グループ、またはセキュリティ ロールの間の関連付けを定義するときに作成します。また、セキュリティ ポリシーに時間の制約を関連付けることもできます。WebLogic リソースは、セキュリティ ポリシーが割り当てられるまでは保護されません。
セキュリティ ポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳細に理解するには、『WebLogic リソースのセキュリティ』を参照してください。WebLogic Server のデプロイメントに対してセキュリティが完全にコンフィグレーションされていることを確認するには、このマニュアルと『WebLogic リソースのセキュリティ』を併読する必要があります。
互換性セキュリティでの ACL の使い方については、「互換性セキュリティの使い方」を参照してください。
WebLogic リソースは、権限のないアクセスから保護することができる WebLogic Server エンティティを表す構造化オブジェクトです。WebLogic Server では、以下のリソースが定義されます。
weblogic.Admin
ツールなどの管理リソース。注意 :Web リソースは、このリリースの WebLogic Server で非推奨になりました。代わりに URL リソースを使用してください。
web-services.xml
ファイルを含む Web アプリケーションなど) があります。WebLogic Security サービスでは、デプロイメント記述子に定義された情報を使用して、セキュリティ ロールを付与したり、Web アプリケーションと EJB のセキュリティ ポリシーを定義したりできます。WebLogic Server を最初に起動するときに、weblogic.xml
および weblogic-ejb-jar.xml
ファイルに格納されたセキュリティ ロールとセキュリティ ポリシーの情報が、デフォルト セキュリティ レルムにコンフィグレーションされている認可プロバイダとロール マッピング プロバイダにロードされます。これらの情報の変更は、WebLogic Server Administration Console で行うことができます。
デプロイメント記述子内の情報を利用するには、セキュリティ レルム内の少なくとも 1 つの認可プロバイダとロール マッピング プロバイダがそれぞれ DeployableAuthorizationProvider
および DeployableRoleProvider
セキュリティ サービス プロバイダ インタフェース (SSPI) を実装している必要があります。この SSPI を使用すると、プロバイダはデプロイメント記述子から情報を (検索ではなく) 格納できます。デフォルトでは、WebLogic 認可プロバイダとロール マッピング プロバイダがこの SSPI を実装しています。
WebLogic Server Administration Console からデプロイメント記述子内のセキュリティ ロールとセキュリティ ポリシーを変更し、それ以降も WebLogic Server Administration Console からこの情報を変更する予定である場合は、WebLogic Server Administration Console で行った変更が、WebLogic Server の再起動時にデプロイメント記述子の古い情報で上書きされないように、セキュリティ レルムで属性を設定することができます。
詳細については、『WebLogic リソースのセキュリティ』を参照してください。
WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティ コンフィグレーションが用意されています。デフォルト セキュリティ コンフィグレーションでは、myrealm がデフォルト セキュリティ レルムとして設定され、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、およびロール マッピングの各プロバイダがセキュリティ プロバイダとして定義されています。デフォルト セキュリティ コンフィグレーションを使用するには、セキュリティ レルムでユーザ、グループ、およびセキュリティ ロールを定義し、セキュリティ ポリシーを作成してドメイン内の WebLogic リソースを保護する必要があります。
WebLogic セキュリティ プロバイダで提供される機能の詳細については、『WebLogic Security の紹介』を参照してください。これらの WebLogic セキュリティ プロバイダがセキュリティ要件を必ずしも完全に満たしていない場合には、それらを補うか、あるいは入れ替えることができます。詳細については、『WebLogic Security サービスの開発』を参照してください。
デフォルト セキュリティ コンフィグレーションでは要件が満たされない場合、WebLogic セキュリティ プロバイダとカスタム セキュリティ プロバイダを自由に組み合わせて新しいセキュリティ レルムを作成し、そのセキュリティ レルムをデフォルト セキュリティ レルムとして設定できます。詳細については、「デフォルト セキュリティ コンフィグレーションのカスタマイズ」を参照してください。
セキュリティ機能は互いに関連しているので、セキュリティをコンフィグレーションする場合にどこから始めるべきか判断しにくいものです。実際、WebLogic Server デプロイメントのセキュリティをコンフィグレーションする場合には、同じ作業を繰り返すこともあります。コンフィグレーションの手順はいくつかありますが、次の手順を実行することをお勧めします。
(
myrealm)
の WebLogic セキュリティ プロバイダをコンフィグレーションします。デフォルト セキュリティ コンフィグレーションをカスタマイズする必要がある状況については、「デフォルト セキュリティ コンフィグレーションをカスタマイズする理由」を参照してください。注意 :また、新しいセキュリティ レルムを作成し、そのセキュリティ レルムでセキュリティ プロバイダ (WebLogic またはカスタム) をコンフィグレーションし、そのセキュリティ レルムをデフォルト セキュリティ レルムとして設定することもできます。「デフォルト セキュリティ コンフィグレーションのカスタマイズ」を参照してください。
互換性セキュリティとは、WebLogic Server 6.x のセキュリティ コンフィグレーションをこのリリースの WebLogic Server で実行するための機能です。互換性セキュリティでは、6.x のセキュリティ レルム、ユーザ、グループ、および ACL の管理、ユーザ アカウントの保護、レルム アダプタ監査プロバイダのコンフィグレーションや、必要に応じてレルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーションを行うことができます。
互換性セキュリティで使用可能なセキュリティ レルムは CompatibilityRealm だけです。互換性レルムのレルム アダプタ プロバイダ (監査、裁決、認可、および認証) を使用すると、6.x セキュリティ レルムの認証、認可、および監査サービスとの下位互換性を保持できます。詳細については、「互換性セキュリティの使い方」を参照してください。
互換性セキュリティでは WebLogic Server 6.x でサポートされる認証、認可、およびカスタム監査の実装にしかアクセスできないので、6.x のすべてのセキュリティ タスクが実行できるわけではありません。互換性セキュリティを使用するには、次の手順に従います。
weblogic.security.acl.CertAuthenticator
クラスの実装を使用するために、レルム アダプタ認証プロバイダ内に ID アサーション プロバイダをコンフィグレーションします。詳細については、「レルム アダプタ認証プロバイダ内の ID アサーション プロバイダのコンフィグレーション」を参照してください。注意 :レルム アダプタ裁決プロバイダとレルム アダプタ認可プロバイダは、6.x の既存の config.xml
ファイルの情報を使用して、CompatibilityRealm にデフォルトでコンフィグレーションされています。これらのプロバイダは CompatibilityRealm でのみ使用できます。レルム アダプタ認証プロバイダも CompatibilityRealm に自動的にコンフィグレーションされます。ただし、このプロバイダは、6.x セキュリティ レルムに格納されたユーザとグループにアクセスするために、他のレルムでコンフィグレーションすることもできます。詳細については、「レルム アダプタ認証プロバイダのコンフィグレーション」を参照してください。
SSL の使用、接続フィルタのコンフィグレーション、およびドメイン間の相互運用性の有効化も可能ですが、これらのタスクはこのリリースの WebLogic Server のセキュリティ機能を使用して実行します。詳細については、以下を参照してください。