プロダクション環境の保護
概要とロードマップ
以下の節では、『プロダクション環境の保護』の内容と構成について説明します。
マニュアルの内容と対象読者
このガイドでは、WebLogic Server® のプロダクション環境を保護する方法について説明します。
以下の読者を対象としています。
アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティ アーキテクチャを設計するだけでなく、WebLogic Server のセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティ システムや最先端のセキュリティ技術とツールだけでなく、Java プログラミング、Java セキュリティ、およびネットワーク セキュリティにも精通しています。
セキュリティ開発者 - WebLogic Server に統合されるセキュリティ製品のシステム アーキテクチャとインフラストラクチャの定義、および WebLogic Server で使用するカスタム セキュリティ プロバイダの開発を主な業務とする開発者のことです。セキュリティ開発者は、認証、認可、監査 (AAA)、Java Management eXtension (JMX) などの Java に対する深い知識、および WebLogic Server とセキュリティ プロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - Web アプリケーションとエンタープライズ JavaBean (EJB) の開発およびセキュリティ機能の付加、さらに他のエンジニアリング チーム、品質保証 (QA) チーム、データベース チームとの連携によるセキュリティ機能の実装を行う Java プログラマのことです。アプリケーション開発者は、Java (サーブレットや JSP などの J2EE コンポーネントと JSEE)、および Java セキュリティについて実用的かつ深い知識を備えています。
サーバ管理者 - アプリケーション設計者と密接に連携しながら、サーバやサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ リスクの特定、およびセキュリティ上の問題を防止するコンフィグレーションの提案を行います。関連する責務として、重要なプロダクション システムの保守、セキュリティ レルムのコンフィグレーションと管理、サーバ リソースとアプリケーション リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、セキュリティ プロバイダのデータベースの保守などがあります。サーバ管理者は、Web サービス、Web アプリケーション、および EJB のセキュリティに加えて、公開鍵セキュリティ、SSL、Security Assertion Markup Language (SAML) といった Java セキュリティ アーキテクチャについて深い知識を備えています。
アプリケーション管理者 - サーバ管理者と共同でセキュリティ コンフィグレーションや、認証および認可方式を実装および管理したり、定義されたセキュリティ レルムでデプロイされたアプリケーション リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティ アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバ ログおよび監査ログでセキュリティ イベントを特定できます。
このマニュアルのガイド
このマニュアルの構成は次のとおりです。
この章「概要とロードマップ」では、このガイドの構成を紹介します。
「セキュリティ ニーズの決定」では、特定の環境に対するセキュリティ ニーズの決定方法、およびそのニーズを確実に満たすための基本的な基準について説明します。
「プロダクション環境のセキュリティの確保」では、プロダクション環境に WebLogic Server をデプロイする前に必要なセキュリティの基準に焦点をあて、さまざまなセキュリティ設定を使用してプロダクション環境を保護する方法について説明します。
関連情報
以下の BEA WebLogic Server マニュアルには、WebLogic Security サービスに関する情報が記載されています。
『WebLogic Server のセキュリティ』では、WebLogic Server のセキュリティのコンフィグレーション方法と互換性セキュリティの使用方法について説明します。
『WebLogic セキュリティ プロバイダの開発』では、WebLogic Server とともに使用できるカスタム セキュリティ プロバイダをベンダやアプリケーション開発者が開発する方法について説明します。
『WebLogic Security について』では、WebLogic Security サービスの機能やアーキテクチャの概要について説明します。このマニュアルは WebLogic Security サービスを理解する上で基本となるものです。
『WebLogic リソースのセキュリティ』では、WebLogic リソースを保護する方法について説明します。主に URL (Web) リソースおよびエンタープライズ JavaBean (EJB) リソースの保護に焦点をあてています。
『WebLogic のアプリケーション環境のアップグレード』では、6.x や以前のバージョンの WebLogic Server から WebLogic Server 9.0 にアップグレードする際に必要な手順と情報を提供します。また、6.x または以前のバージョンの WebLogic Server から 9.0 にアプリケーションを移行するための情報もあります。WebLogic Server セキュリティのアップグレードの詳細については、『WebLogic のアプリケーション環境のアップグレード』の「セキュリティ プロバイダのアップグレード」を参照してください。
『Javadocs for WebLogic Classes』は、このリリースの WebLogic Server に付属している、サポート対象の WebLogic セキュリティ パッケージのリファレンス マニュアルです。
セキュリティのサンプルとチュートリアル
セキュリティ開発者向けに、Java Authentication and Authorization Service 用、および発信 SSL と双方向 SSL 用のコード サンプルが用意されています。これらのサンプルとチュートリアルは WebLogic Server セキュリティの動作を例示し、主要なセキュリティ開発タスクを実行する実際的な手順を示します。
独自のセキュリティ コンフィグレーションを開発する前に、まずセキュリティ サンプルの一部またはすべてを実行することをお勧めします。
Avitek Medical Records アプリケーション (MedRec) とチュートリアル
MedRec は WebLogic Server に付属したエンドツーエンドのサンプル J2EE アプリケーションであり、一元的で独立した医療記録管理システムをシミュレートします。MedRec アプリケーションには、患者、医師、および管理者に対して、さまざまなクライアントを使用して患者のデータを管理するフレームワークが用意されています。
MedRec は WebLogic Server と J2EE の機能を例示し、BEA 推奨のベスト プラクティスを重要点として示します。MedRec は WebLogic Server 配布キットに含まれており、Windows マシンの [スタート] メニューからアクセスできます。Linux などのプラットフォームでは、WL_HOME\samples\domains\medrec
ディレクトリから MedRec を起動できます。WL_HOME は、WebLogic Platform の最上位インストール ディレクトリです。
MedRec には、Web アプリケーション、Web サービス、ワークフロー アプリケーション、および将来のクライアント アプリケーションからのリクエストを共同で処理する複数のエンタープライズ Java Bean (EJB) で主に構成されるサービス層があります。このアプリケーションには、メッセージ駆動型 EJB、ステートレス セッション EJB、ステートフル セッション EJB、およびエンティティ EJB があります。
WebLogic Server 配布キットのセキュリティ サンプル
WebLogic Server 9.0 では API サンプル コードが WL_HOME\samples\server\examples\src\examples
に任意でインストールされます。WL_HOME は WebLogic Server インストールの最上位ディレクトリを示します。WebLogic Server 9.0 の起動メニューから、Examples サーバを起動し、サンプルおよびその実行手順に関する情報を確認することができます。
ダウンロード可能な他のセキュリティ サンプル
他の API サンプルは、http://www.beasys.co.jp/dev2dev/code/index.html からダウンロードできます。これらのサンプルは .zip ファイルとして配布されており、既存の WebLogic Server サンプル ディレクトリ構造に解凍することができます。
ダウンロードしたサンプルは、インストール済みの WebLogic Server サンプルと同じ方法でビルドおよび実行します。詳細については、http://www.beasys.co.jp/dev2dev/code/index.html の各サンプルのダウンロード ページを参照してください。