WebLogic Security の管理

セキュリティ管理の概要

以下の節では、リリース 6.x の WebLogic Server とこのリリースの WebLogic Server の違いを含む、WebLogic Server のセキュリティシステムの概要について説明します。

注意 :このマニュアルでは、6.x という用語は WebLogic Server 6.0 および 6.1、およびそれらに関連するサービスパックを表しています。

対象読者

『WebLogic Security の管理』は、サーバ管理者とアプリケーション管理者を対象としています。

サーバ管理者は、アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティリスクの特定、およびセキュリティ上の問題を防止するセキュリティコンフィグレーションの提案を行います。関連する責務として、重要なプロダクションシステムの保守、セキュリティレルムの設定およびコンフィグレーション、サーバリソースおよびアプリケーションリソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティプロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、Web アプリケーションと EJB のセキュリティ、公開鍵セキュリティ、および SSL を含む、Java セキュリティアーキテクチャについて深い知識を備えています。
アプリケーション管理者は、サーバ管理者と共同でセキュリティコンフィグレーション、認証および認可方式を実装および管理したり、定義されたセキュリティレルムでデプロイされたアプリケーションリソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティアーキテクチャの一般的な知識を持っています。アプリケーション管理者は、Java、XML、デプロイメント記述子を理解し、サーバログおよび監査ログでセキュリティイベントを特定できます。

サーバ管理者とアプリケーション管理者は、このマニュアルの他に『WebLogic リソースのセキュリティ』に目を通しておいてください。

WebLogic Server でのセキュリティの変更点

WebLogic Server のセキュリティサービスは、セキュリティのコンフィグレーションと管理を簡素化しながらも、WebLogic Server デプロイメントを保護する堅牢な機能を提供します。この節では、以前のリリースの WebLogic Server からのセキュリティサービスの変更点について説明します。

セキュリティレルムのスコープの変更

WebLogic Server 6.x では、セキュリティレルムで認証および認可サービスを提供していました。6.x では、ファイルレルムか、または Lightweight Data Access Protocol (LDAP)、Windows NT、Unix、RDBMS レルムなどの代替レルムを選択しました。認証をカスタマイズする場合は、独自のセキュリティレルムを記述して WebLogic Server 環境に統合することができました。セキュリティレルムはドメインに適用され、1 つのドメインに複数のセキュリティレルムを設定することはできませんでした。

このリリースの WebLogic Server では、セキュリティレルムはスコーピング (有効範囲の設定) メカニズムとして機能します。各セキュリティレルムは、コンフィグレーション済みのセキュリティプロバイダ、ユーザ、グループ、セキュリティロール、およびセキュリティポリシーで構成されます。単一のドメインに複数のセキュリティレルムをコンフィグレーションできますが、デフォルト (アクティブ) セキュリティレルムに指定できるのはそのうちの 1 つだけです。WebLogic Server には、以下の 2 つのデフォルトセキュリティレルムが用意されています。

myrealm - WebLogic の裁決、認証、ID アサーション、認可、ロールマッピング、および資格マッピングの各プロバイダがデフォルトでコンフィグレーションされています。
CompatibilityRealm - 6.x のセキュリティコンフィグレーションとの下位互換性を提供します。既存の 6.x セキュリティコンフィグレーションには CompatibilityRealm を介してアクセスできます。

セキュリティアプリケーションプログラミングインタフェース (API) を使用して記述されるカスタムセキュリティレルムは、互換性セキュリティでのみサポートされます。このリリースの WebLogic Server では、新しいセキュリティレルムをコンフィグレーションして認証機能と認可機能をカスタマイズし、必要なセキュリティサービスを用意します。次に、その新しいセキュリティレルムをデフォルトセキュリティレルムとして設定します。

WebLogic Server のデフォルトセキュリティコンフィグレーションについては、「WebLogic Server のデフォルトセキュリティコンフィグレーション」を参照してください。

セキュリティレルムをコンフィグレーションしてデフォルトセキュリティレルムに設定する方法については、「デフォルトセキュリティコンフィグレーションのカスタマイズ」を参照してください。

互換性セキュリティの使い方については、「互換性セキュリティの使い方」を参照してください。

セキュリティプロバイダ

セキュリティプロバイダは、認証や認可など、セキュリティの特定の側面を処理するモジュールコンポーネントです。アプリケーションはデフォルトの WebLogic セキュリティプロバイダを通じてサービスを利用することができますが、WebLogic Security サービスのインフラストラクチャは柔軟性が高いので、セキュリティベンダが WebLogic Server 用の独自のカスタムセキュリティプロバイダを作成することもできます。WebLogic セキュリティプロバイダとカスタムセキュリティプロバイダを適宜組み合わせて独自のセキュリティソリューションを構築することができるので、ある分野では新たな技術の進歩を利用しつつ、それ以外の分野では実証済みの手法を堅持できるようになります。WebLogic Server Administration Console を使用すると、統合された単一の管理インタフェースを通じてすべてのセキュリティプロバイダを管理できます。

WebLogic Security サービスは、以下のセキュリティプロバイダをサポートしています。

認証 - ユーザまたはシステムプロセスの身元を証明または確認するプロセスのことです。認証にはまた、必要に応じて、身元情報を記憶したり、転送したり、またさまざまなシステムコンポーネントの利用に供する働きもあります。WebLogic Security サービスは、以下の認証をサポートしています。

ユーザ名とパスワードによる認証
WebLogic Server で直接行われる証明書ベースの認証
外部 Web サーバを介してプロキシされる HTTP 証明書ベースの認証

WebLogic 認証プロバイダは、これらのサービスを提供します。

認可 - ユーザと WebLogic リソースとの対話を限定して、整合性、機密性、および可用性を確保するプロセスです。すなわち、認可は、ユーザの身元などの情報に基づいて WebLogic リソースへのアクセスを制御します。WebLogic 認可プロバイダは、これらのサービスを提供します。
ロールマッピング - 指定されたリソースについて要求側に付与される一連のロールを取得します。ロールマッピングプロバイダから認可プロバイダにこのロール情報が提供されるので、認可プロバイダは、ロールベースのセキュリティを用いるリソース (Web アプリケーションやエンタープライズ JavaBean(EJB)) からの「アクセスできるか」という質問に答えることができます。
ID アサーション - 境界認証 (トークンを使用する特殊なタイプの認証) を行う認証プロバイダを、ID アサーションプロバイダと呼びます。ID アサーションでは、リクエストの外部に存在するクライアント提供のトークンを使用してクライアントの ID を確立します。したがって、ID アサーションプロバイダの機能は、トークンを検証してユーザ名にマップすることになります。このマッピングがいったん完了すれば、認証プロバイダの LoginModule を使用してユーザ名がプリンシパルに変換されます。WebLogic ID アサーションプロバイダは、これらのサービスを提供します。
監査 - セキュリティリクエストとその結果に関する情報を、否認防止を目的として収集、格納、および配布するプロセスです。言い換えれば、監査はコンピュータのアクティビティの電子的な記録を提供するものです。WebLogic 監査プロバイダは、これらのサービスを提供します。
裁決 - セキュリティレルムに複数の認可プロバイダがコンフィグレーションされる場合、特定のリソースに「アクセスできるか」という質問に対して、それぞれが異なる回答を返す可能性があります。複数の認可プロバイダの回答が一致しない場合にどうするかを決定するのが、裁決プロバイダの主な役割です。裁決プロバイダは、各認可プロバイダの回答に重みを割り当てることによって認可の衝突を解決し、最終決定を返します。
資格マッピング - 資格マップとは、WebLogic Server で使用する資格と、レガシーシステムで使用する資格とのマッピングです。WebLogic Server は、このマップによって、そのシステム内の特定のリソースへの接続方法を知ります。つまり、資格マップを使用することで、WebLogic Server が、認証済みのサブジェクトに代わってリモートシステムにログインできるようになります。資格マッピングプロバイダはこのように資格をマップします。WebLogic 資格マッピングプロバイダがこのサービスを提供します。
キーストア - プライベートキーと信頼された認証局の証明書を格納する、パスワードで保護されたデータベースの作成と管理のためのメカニズムです。キーストアは、認証や署名を目的としてそれを必要とすることがあるアプリケーションから利用できます。WebLogic Server のセキュリティアーキテクチャでは、WebLogic キーストアプロバイダを使用してキーストアにアクセスします。

注意 :WebLogic キーストアプロバイダはこのリリースの WebLogic Server で非推奨となり、下位互換性のためにのみサポートされています。代わりにキーストアを使用してください。キーストアのコンフィグレーションの詳細については、「キーストアのコンフィグレーション」を参照してください。

WebLogic セキュリティプロバイダで提供される機能の詳細については、「セキュリティプロバイダのコンフィグレーション」を参照してください。

デフォルトセキュリティコンフィグレーションについては、「WebLogic Server のデフォルトセキュリティコンフィグレーション」を参照してください。

カスタムセキュリティプロバイダの作成については、『WebLogic Security サービスの開発』を参照してください。

ACL からセキュリティポリシーへ

WebLogic Server 6.x では、アクセス制御リスト (ACL) とパーミッションを使用して WebLogic リソースを保護していました。このリリースの WebLogic Server では、ACL とパーミッションに代わってセキュリティポリシーを使用します。セキュリティポリシーは、WebLogic リソースへの「アクセス権は誰が持つか」という問いに答えます。セキュリティポリシーは、WebLogic リソースとユーザ、グループ、またはセキュリティロールの間の関連付けを定義するときに作成します。また、セキュリティポリシーに時間の制約を関連付けることもできます。WebLogic リソースは、セキュリティポリシーが割り当てられるまでは保護されません。

セキュリティポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳細に理解するには、『WebLogic リソースのセキュリティ』を参照してください。WebLogic Server のデプロイメントに対してセキュリティが完全にコンフィグレーションされていることを確認するには、このマニュアルと『WebLogic リソースのセキュリティ』を併読する必要があります。

互換性セキュリティでの ACL の使い方については、「互換性セキュリティの使い方」を参照してください。

WebLogic リソース

WebLogic リソースは、権限のないアクセスから保護することができる WebLogic Server エンティティを表す構造化オブジェクトです。WebLogic Server では、以下のリソースが定義されます。

WebLogic Server Administration Console や weblogic.Admin ツールなどの管理リソース。
エンタープライズアプリケーションを表すアプリケーションリソース。このタイプのリソースには、EAR (エンタープライズアプリケーションアーカイブ) ファイルと、EAR に含まれる EJB JAR ファイルのような個々のコンポーネントがあります。
Microsoft のフレームワークに従ってプログラムコンポーネントオブジェクトとして設計される Component Object Model (COM) リソース。このタイプのリソースには、BEA の双方向型 COM-Java (jCOM) ブリッジングツールを介してアクセスする COM コンポーネントがあります。
コネクタとして設計されるエンタープライズ情報システム (EIS) リソース。Java アプリケーションと既存のエンタープライズ情報システムを統合できます。コネクタはリソースアダプタとも呼ばれます。
エンタープライズ JavaBean (EJB) リソース。EJB JAR ファイル、EJB JAR 内の個々の EJB、および EJB の個々のメソッドがあります。
Java DataBase Connectivity (JDBC) リソース。接続プールのグループ、個々の接続プール、およびマルチプールがあります。
Java Naming and Directory Interface (JNDI) リソース。
Java Message Service (JMS) リソース。
WebLogic Server インスタンス (サーバ) に関連するサーバリソース。このタイプのリソースには、サーバを起動、停止、ロック、またはロック解除する操作があります。
Web アプリケーションに関連する URL リソース。このタイプのリソースには、Web アプリケーションアーカイブ (WAR) ファイル、または Web アプリケーションの個々のコンポーネント (サーブレットや JSP など) があります。

注意 :Web リソースは、このリリースの WebLogic Server で非推奨になりました。代わりに URL リソースを使用してください。

Web ベースの分散アプリケーションのコンポーネント間で共有したり、コンポーネントとして使用したりできるサービスに関連した Web サービスリソース。このタイプのリソースには、Web サービス全体、または Web サービスの個々のコンポーネント (ステートレスセッション EJB、その EJB 内の特定のメソッド、web-services.xml ファイルを含む Web アプリケーションなど) があります。

デプロイメント記述子と WebLogic Server Administration Console

WebLogic Security サービスでは、デプロイメント記述子に定義された情報を使用して、セキュリティロールを付与したり、Web アプリケーションと EJB のセキュリティポリシーを定義したりできます。WebLogic Server を最初に起動するときに、weblogic.xml および weblogic-ejb-jar.xml ファイルに格納されたセキュリティロールとセキュリティポリシーの情報が、デフォルトセキュリティレルムにコンフィグレーションされている認可プロバイダとロールマッピングプロバイダにロードされます。これらの情報の変更は、WebLogic Server Administration Console で行うことができます。

デプロイメント記述子内の情報を利用するには、セキュリティレルム内の少なくとも 1 つの認可プロバイダとロールマッピングプロバイダがそれぞれ DeployableAuthorizationProvider および DeployableRoleProvider セキュリティサービスプロバイダインタフェース (SSPI) を実装している必要があります。この SSPI を使用すると、プロバイダはデプロイメント記述子から情報を (検索ではなく) 格納できます。デフォルトでは、WebLogic 認可プロバイダとロールマッピングプロバイダがこの SSPI を実装しています。

WebLogic Server Administration Console からデプロイメント記述子内のセキュリティロールとセキュリティポリシーを変更し、それ以降も WebLogic Server Administration Console からこの情報を変更する予定である場合は、WebLogic Server Administration Console で行った変更が、WebLogic Server の再起動時にデプロイメント記述子の古い情報で上書きされないように、セキュリティレルムで属性を設定することができます。

詳細については、『WebLogic リソースのセキュリティ』を参照してください。

WebLogic Server のデフォルトセキュリティコンフィグレーション

WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティコンフィグレーションが用意されています。デフォルトセキュリティコンフィグレーションでは、myrealm がデフォルトセキュリティレルムとして設定され、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、およびロールマッピングの各プロバイダがセキュリティプロバイダとして定義されています。デフォルトセキュリティコンフィグレーションを使用するには、セキュリティレルムでユーザ、グループ、およびセキュリティロールを定義し、セキュリティポリシーを作成してドメイン内の WebLogic リソースを保護する必要があります。

WebLogic セキュリティプロバイダで提供される機能の詳細については、『WebLogic Security の紹介』を参照してください。これらの WebLogic セキュリティプロバイダがセキュリティ要件を必ずしも完全に満たしていない場合には、それらを補うか、あるいは入れ替えることができます。詳細については、『WebLogic Security サービスの開発』を参照してください。

デフォルトセキュリティコンフィグレーションでは要件が満たされない場合、WebLogic セキュリティプロバイダとカスタムセキュリティプロバイダを自由に組み合わせて新しいセキュリティレルムを作成し、そのセキュリティレルムをデフォルトセキュリティレルムとして設定できます。詳細については、「デフォルトセキュリティコンフィグレーションのカスタマイズ」を参照してください。

セキュリティのコンフィグレーション手順

セキュリティ機能は互いに関連しているので、セキュリティをコンフィグレーションする場合にどこから始めるべきか判断しにくいものです。実際、WebLogic Server デプロイメントのセキュリティをコンフィグレーションする場合には、同じ作業を繰り返すこともあります。コンフィグレーションの手順はいくつかありますが、次の手順を実行することをお勧めします。

「デフォルトセキュリティコンフィグレーションのカスタマイズ」に目を通して、デフォルトセキュリティコンフィグレーションを使用するかどうかを決定します。

デフォルトセキュリティコンフィグレーションを使用する場合は、手順 3 に進みます。
デフォルトセキュリティコンフィグレーションを使用しない場合は、手順 2 に進みます。

デフォルトセキュリティレルムで、セキュリティプロバイダのコンフィグレーションを変更するか (たとえば、WebLogic 認証プロバイダを使用する代わりに LDAP 認証プロバイダをコンフィグレーションする)、またはカスタムセキュリティプロバイダをコンフィグレーションします。この手順は省略可能です。デフォルトでは、WebLogic Server はデフォルトセキュリティレルム (myrealm) の WebLogic セキュリティプロバイダをコンフィグレーションします。デフォルトセキュリティコンフィグレーションをカスタマイズする必要がある状況については、「デフォルトセキュリティコンフィグレーションをカスタマイズする理由」を参照してください。

注意 :また、新しいセキュリティレルムを作成し、そのセキュリティレルムでセキュリティプロバイダ (WebLogic またはカスタム) をコンフィグレーションし、そのセキュリティレルムをデフォルトセキュリティレルムとして設定することもできます。「デフォルトセキュリティコンフィグレーションのカスタマイズ」を参照してください。

必要に応じて、組み込み LDAP サーバをコンフィグレーションします。組み込み LDAP サーバの属性はデフォルトでコンフィグレーションされています。ただし、その属性を変更して、組み込み LDAP サーバの使い方を環境に合わせて最適化できます。詳細については、「組み込み LDAP サーバの管理」を参照してください。

ユーザアカウントが適切に保護されていることを確認します。WebLogic Server にはユーザアカウントを保護するための属性があります。デフォルトでは、属性は最高のセキュリティレベルに設定されています。ただし、WebLogic Server の開発中は、ユーザアカウントに対する制限を緩和する必要がある場合もあります。プロダクション環境に移行する前に、ユーザアカウントの属性が最高の保護レベルに設定されていることを確認してください。新しいセキュリティレルムを作成する場合は、ユーザロックアウトの属性を設定する必要があります。詳細については、「ユーザアカウントの保護」を参照してください。

セキュリティポリシーで WebLogic リソースを保護します。セキュリティポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳細に理解するには、『WebLogic リソースのセキュリティ』を参照してください。WebLogic Server のデプロイメントに対してセキュリティが完全にコンフィグレーションされていることを確認するには、このマニュアルと『WebLogic リソースのセキュリティ』を併読する必要があります。

ID と信頼をコンフィグレーションして、WebLogic Server で SSL を有効にします。この手順は省略可能ですが、実行することをお勧めします。詳細については、「SSL のコンフィグレーション」を参照してください。

また、以下のことを行うことができます。

WebLogic Server の資格を EIS の資格 (Oracle データベースのユーザ名とパスワードなど) にマップする。「エンタープライズ情報システムでのシングルサインオン」を参照してください。
接続フィルタをコンフィグレーションする。「WebLogic ドメインのセキュリティのコンフィグレーション」を参照してください。
WebLogic ドメイン間の相互運用性を有効化する。「WebLogic ドメインのセキュリティのコンフィグレーション」を参照してください。

互換性セキュリティとは

互換性セキュリティとは、WebLogic Server 6.x のセキュリティコンフィグレーションをこのリリースの WebLogic Server で実行するための機能です。互換性セキュリティでは、6.x のセキュリティレルム、ユーザ、グループ、および ACL の管理、ユーザアカウントの保護、レルムアダプタ監査プロバイダのコンフィグレーションや、必要に応じてレルムアダプタ認証プロバイダ内の ID アサーションプロバイダのコンフィグレーションを行うことができます。

互換性セキュリティで使用可能なセキュリティレルムは CompatibilityRealm だけです。互換性レルムのレルムアダプタプロバイダ (監査、裁決、認可、および認証) を使用すると、6.x セキュリティレルムの認証、認可、および監査サービスとの下位互換性を保持できます。詳細については、「互換性セキュリティの使い方」を参照してください。

互換性セキュリティで実行できる管理タスク

互換性セキュリティでは WebLogic Server 6.x でサポートされる認証、認可、およびカスタム監査の実装にしかアクセスできないので、6.x のすべてのセキュリティタスクが実行できるわけではありません。互換性セキュリティを使用するには、次の手順に従います。

レルムアダプタ監査プロバイダをコンフィグレーションします。詳細については、「レルムアダプタ監査プロバイダのコンフィグレーション」を参照してください。

weblogic.security.acl.CertAuthenticator クラスの実装を使用するために、レルムアダプタ認証プロバイダ内に ID アサーションプロバイダをコンフィグレーションします。詳細については、「レルムアダプタ認証プロバイダ内の ID アサーションプロバイダのコンフィグレーション」を参照してください。

注意 :レルムアダプタ裁決プロバイダとレルムアダプタ認可プロバイダは、6.x の既存の config.xml ファイルの情報を使用して、CompatibilityRealm にデフォルトでコンフィグレーションされています。これらのプロバイダは CompatibilityRealm でのみ使用できます。レルムアダプタ認証プロバイダも CompatibilityRealm に自動的にコンフィグレーションされます。ただし、このプロバイダは、6.x セキュリティレルムに格納されたユーザとグループにアクセスするために、他のレルムでコンフィグレーションすることもできます。詳細については、「レルムアダプタ認証プロバイダのコンフィグレーション」を参照してください。

system ユーザのパスワードを変更して、WebLogic Server のデプロイメントを保護します。

CompatibilityRealm でセキュリティレルムを管理します。

CompatibilityRealm でセキュリティレルムの追加のユーザを定義します。セキュリティレルムにグループを実装して、ユーザをさらにまとめます。

WebLogic Server デプロイメントにあるリソースの ACL とパーミッションを管理します。

WebLogic リソースのセキュリティロールとセキュリティポリシーを作成して CompatibilityRealm に追加します。詳細については、『WebLogic リソースのセキュリティ』を参照してください。

SSL の使用、接続フィルタのコンフィグレーション、およびドメイン間の相互運用性の有効化も可能ですが、これらのタスクはこのリリースの WebLogic Server のセキュリティ機能を使用して実行します。詳細については、以下を参照してください。