ナビゲーションをスキップ

eDocs ホーム > BEA WebLogic Server 8.1 ドキュメント > WebLogic リソースのセキュリティ > WebLogic リソースの保護の紹介

WebLogic リソースのセキュリティ

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

WebLogic リソースの保護の紹介

この章では、WebLogic リソースの保護の基本的な概念とタスクを説明します。

 

WebLogic リソースの保護の概要

WebLogic リソースは、セキュリティ ロールとセキュリティ ポリシーを使用して権限のないアクセスから保護することができる、基底の WebLogic Server エンティティを表します。WebLogic リソースの例には、エンタープライズ アプリケーション (EAR)、EJB (JAR)、および Web アプリケーション (WAR) があります。さまざまなタイプの WebLogic リソースの詳細については、「WebLogic リソースのタイプ」を参照してください。

図 1-1 に、WebLogic リソースを保護するための全体的なプロセスを示し、その後簡単に説明します。

図 1-1 WebLogic リソースの保護

WebLogic リソースの保護


 
  1. 管理者は、組織的な境界を表すグループにユーザを静的に割り当てます。同じユーザが複数のグループのメンバーになれます。 図 1-1 には、それぞれ 2 ユーザが割り当てられた 3 つのグループが示されています。ユーザ 1 とユーザ 3 は複数のグループのメンバーです。

    2. 多くのユーザを抱える管理者の作業効率が向上するため、ユーザをグループに割り当てることをお勧めします。

  2. 管理者は、自社の確立されたビジネス手順に基づいてセキュリティ ロールを作成します。セキュリティ ロールは 1 つまたは複数のロール文で構成され、各ロール文にはロール条件が含まれます。ロール条件では、特定のグループにセキュリティ ロールが付与される環境が指定されます。
  3. 実行時に、WebLogic Security サービスはロール条件とグループを比較して、そのグループ内のユーザにセキュリティ ロールを動的に付与するかどうかを決定します。このプロセスを、ロール マッピングと呼びます。図 1-1 では、グループ 2 のみにセキュリティ ロールが付与されています。

    4. 個々のユーザにセキュリティ ロールを付与することもできますが、これは一般的ではありません。

  4. 管理者は、自社の確立されたビジネス手順に基づいてセキュリティ ポリシーを作成します。セキュリティ ポリシーは 1 つまたは複数のポリシー文で構成され、各ポリシー文にはポリシー条件が含まれます。ポリシー条件では、特定のセキュリティ ロールに保護対象 WebLogic リソースへのアクセス権が付与される環境が指定されます。
  5. 実行時に、WebLogic Security サービスはセキュリティ ポリシーおよび WebLogic リソース自体を使用して、保護対象 WebLogic リソースへのアクセス権を付与するかどうかを決定します。セキュリティ ロールを付与されたグループのメンバーであるユーザのみが、WebLogic リソースにアクセスできます。図 1-1 では、ユーザ 3 とユーザ 6 はグループ 2 のメンバーであり、グループ 2 には必要なセキュリティ ロールが付与されているので、保護対象 WebLogic リソースにアクセスできます。

 

このガイドの対象読者

このマニュアルは、主にサーバ管理者を対象としています。サーバ管理者は、アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ リスクの特定、およびセキュリティ上の問題を防止するセキュリティ コンフィグレーションの提案を行います。 関連する責務として、重要なプロダクション システムの保守、セキュリティ レルムのコンフィグレーションと管理、サーバ リソースとアプリケーション リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ プロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、エンタープライズ アプリケーション、Web アプリケーション、および EJB のセキュリティ、公開鍵セキュリティ、および SSL を含む、Java セキュリティ アーキテクチャについて深い知識を備えています。

このガイドは、WebLogic Server Administration Console を使用するサーバ管理者を対象としています。WebLogic Server デプロイメントに対してセキュリティを適切にコンフィグレーションするには、このガイドとともに『WebLogic Security の管理』も参照してください。

 

用語と概念

WebLogic Server のセキュリティには、理解しておく必要のある固有の用語や概念が多数あります。WebLogic Server のセキュリティ関連マニュアルに登場するこうした用語と概念については、『WebLogic Security の紹介』の「用語」および「セキュリティの基礎概念」で定義されています。

 

WebLogic リソースの保護 : 主な手順

WebLogic リソースを保護する主な手順は以下のとおりです。

  1. 保護する WebLogic リソースを決定します。 「WebLogic リソースのタイプ」を参照してください。
  2. URL (Web) リソースまたは EJB (エンタープライズ JavaBean) リソースを保護する場合は、次の手順に従います。
    1. 使用する方法を決定します。「URL リソースおよび EJB リソースを保護する方法」を参照してください。
    2. セキュリティ コンフィグレーションのオーバーライドを避けるため、URL リソースおよび EJB リソースの保護に関する重要事項に目を通しておきます。「URL リソースおよび EJB リソースを保護するための前提条件」を参照してください。
    3. WebLogic Server Administration Console を使用して URL リソースまたは EJB リソースを保護する場合は、手順 3 の指示に従います。
    4. デプロイメント記述子を使用して URL リソースまたは EJB リソースを保護する場合は、『WebLogic Security プログラマーズ ガイド』の「Web アプリケーションでの宣言によるセキュリティの使用」または「EJB での宣言によるセキュリティの使用」を参照してください。
    5. URL リソースまたは EJB リソースの初回のデプロイ時に、既存のデプロイメント記述子からセキュリティ コンフィグレーションをコピーする場合や、URL リソースまたは EJB リソースのセキュリティ コンフィグレーションをデプロイメント記述子で指定された元の状態に再初期化する場合は、「組み合わせた方法による URL リソースと EJB リソースの保護」の指示に従います。
  3. Administration Console を使用して WebLogic リソースを保護します。
    1. セキュリティ ロールの付与の対象となるユーザおよびグループ (個人または個人の集合の表現) を作成します。手順については、「ユーザの作成」と「グループの作成」を参照してください。
    2. セキュリティ ロールを作成します。セキュリティ ロールは動的に計算される特権で、特定の条件に基づいてユーザまたはグループに付与され、WebLogic リソースへのアクセスを制限するために使用されます。手順については、「スコープ ロールの操作」を参照してください。

      3. WebLogic リソースを保護するために (ユーザまたはグループよりも) セキュリティ ロールを作成および使用することをお勧めします。多くのユーザを抱える管理者の作業効率が向上します。

    3. セキュリティ ポリシー (WebLogic リソースとユーザ、グループ、またはセキュリティ ロールとの関連付け) を作成します。セキュリティ ポリシーは、誰が WebLogic リソースへのアクセスを許可されるのかを指定するものです。「セキュリティ ポリシーの操作」を参照してください。

 

ベスト プラクティス : WebLogic プロバイダ使用時の資格のキャッシュのコンフィグレーション

WebLogic 認可プロバイダ (DefaultAuthorizer) と WebLogic ロール マッピング プロバイダ (DefaultRoleMapper) は、ルックアップするロール、述語、およびリソース データをキャッシュすることでパフォーマンスを向上させます。これらの WebLogic プロバイダを使用する場合は、キャッシュに格納する項目の最大数をコンフィグレーションできます。

Weblogic 認可プロバイダとロール マッピング プロバイダは、デフォルトでは次の数の項目を各キャッシュに格納します。

キャッシュのサイズが最大サイズを超えた場合は、WebLogic 資格エンジンによって、最も長い時間使用されていない (LRU) 項目がキャッシュから削除されます。

WebLogic Server インスタンス上のアプリケーションが、2000 を超えるロール、または 5000 を超えるリソースを使用する場合、キャッシュ サイズを増やすことを検討します (WebLogic プロバイダに含まれる述部は 50 未満なので、述部キャッシュのサイズを増やす必要はありません)。

キャッシュに格納される項目の最大数を変更するには、WebLogic Server インスタンスの java 起動コマンドで、次のいずれかのシステム プロパティを渡します。

WebLogic プロバイダは、デフォルトでは項目の使用時にそれらをキャッシュに追加します。このコンフィグレーションの場合、資格データの最初のルックアップは、2 回目以降のルックアップよりも時間がかかります。起動サイクル中にキャッシュをロードするように WebLogic Server インスタンスをコンフィグレーションすると、最初のルックアップに要する時間を短縮できます。このためには、サーバの java 起動コマンドに次のシステム プロパティを渡します。

次に例を示します。

java -Dweblogic.entitlement.engine.cache.max_role_count=6001
     -Dweblogic.entitlement.engine.cache.max_resource_count=3001
     -Dweblogic.entitlement.engine.cache.preload=true
      weblogic.Server

 

フッタのナビゲーションのスキップ  ページの先頭 前 次