WebLogic Server のセキュリティ
概要とロードマップ
以下の節では、このマニュアル『WebLogic Server のセキュリティ』の内容と構成について説明します。
マニュアルの内容
このマニュアルでは、セキュリティ プロバイダ、ID と信頼、SSL、互換性セキュリティなど、WebLogic Server® のセキュリティをコンフィグレーションする方法について説明します。WebLogic のセキュリティに関するその他のドキュメントについては、「関連情報」を参照してください。
対象読者
このマニュアルは、以下の読者を対象としています。
アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティ アーキテクチャを設計するだけでなく、WebLogic Server のセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティ システムや最先端のセキュリティ技術とツールだけでなく、Java プログラミング、Java セキュリティ、およびネットワーク セキュリティにも精通しています。
セキュリティ開発者 - WebLogic Server に統合されるセキュリティ製品のシステム アーキテクチャとインフラストラクチャの定義と、WebLogic Server で使用するカスタム セキュリティ プロバイダの開発を主な業務とする開発者のことです。アプリケーション設計者と連携して、セキュリティ アーキテクチャを設計に従って実装し、セキュリティ ホールが発生しないようにします。また、セキュリティが正しくコンフィグレーションされるようにサーバ管理者とも連携します。セキュリティ開発者は、認証、認可、監査 (AAA)、Java Management eXtension (JMX) などの Java に対する深い知識、および WebLogic Server とセキュリティ プロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - クライアント アプリケーションの開発、Web アプリケーションおよびエンタープライズ JavaBean (EJB) へのセキュリティ機能の付加、および他のエンジニアリング チーム、品質保証 (QA) チーム、データベース チームとの連携によるセキュリティ機能の実装などを主な業務とする Java プログラマのことです。アプリケーション開発者は、Java (サーブレット、JSP、JSEE などの J2EE コンポーネントを含む) と Java セキュリティについての実用的かつ深い知識を備えています。
サーバ管理者 - アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ リスクの特定、およびセキュリティ上の問題を防止するコンフィグレーションの提案を行います。関連する責務として、重要なプロダクション システムの保守、セキュリティ レルムのコンフィグレーションと管理、サーバ リソースとアプリケーション リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ プロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、Web サービス、Web アプリケーションと EJB のセキュリティ、公開鍵セキュリティ、SSL、SAML (Security Assertion Markup Language) 含む Java セキュリティ アーキテクチャに関する深い知識を備えています。
アプリケーション管理者 - サーバ管理者と共同でセキュリティ コンフィグレーション、認証および認可方式を実装および管理したり、定義されたセキュリティ レルムでデプロイされたアプリケーション リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティ アーキテクチャの一般的な知識を持っています。アプリケーション管理者は、Java、XML、デプロイメント記述子を理解し、サーバ ログおよび監査ログでセキュリティ イベントを特定できます。
このマニュアルのガイド
このマニュアルの構成は次のとおりです。
「セキュリティ管理の概要」では、旧リリースの WebLogic Server とこのリリースの WebLogic Server でのセキュリティの相違点、WebLogic Server のデフォルト セキュリティ コンフィグレーション、セキュリティのコンフィグレーション手順、および互換性セキュリティについて説明します。
「デフォルト セキュリティ コンフィグレーションのカスタマイズ」では、いつデフォルトのセキュリティ コンフィグレーションをカスタマイズするか、新しいセキュリティ レルムのコンフィグレーション要件、およびセキュリティ レルムをデフォルト セキュリティ レルムとして設定する方法について説明します。
「WebLogic セキュリティ プロバイダのコンフィグレーション」では、WebLogic Server のセキュリティ プロバイダのコンフィグレーション オプションと、カスタム セキュリティ プロバイダをコンフィグレーションする方法について説明します。
「認証プロバイダのコンフィグレーション」では、WebLogic Server の認証プロバイダについて説明します (コンフィグレーションする方法を含む)。
「Microsoft のクライアントに対するシングル サインオンのコンフィグレーション」では、SPNEGO (Simple and Protected Negotiate) メカニズムに基づいた Windows 認証を使用して、WebLogic Server ドメインと Microsoft ドメインの .NET Web サービス クライアントまたはブラウザ クライアント (Internet Explorer など) の間の認証をコンフィグレーションする方法について説明します。
「Web ブラウザと HTTP クライアントによるシングル サインオンのコンフィグレーション」では、Security Assertion Markup Language (SAML) に基づいた認証を使用して、WebLogic Server ドメインと Web ブラウザまたは他の HTTP クライアントの間の認証をコンフィグレーションする方法について説明します。
「セキュリティ データの移行」では、セキュリティ レルムとセキュリティ プロバイダの間でセキュリティ データをエクスポートおよびインポートする方法について説明します。
「組み込み LDAP サーバの管理」では、WebLogic セキュリティ プロバイダによって使用される組み込み LDAP サーバに関連する管理タスクについて説明します。
「ID と信頼のコンフィグレーション」では、WebLogic Server の ID と信頼をコンフィグレーションする方法について説明します。
「SSL のコンフィグレーション」では、WebLogic Server の SSL をコンフィグレーションする方法について説明します。
「WebLogic ドメインのセキュリティのコンフィグレーション」では、WebLogic ドメインのセキュリティ コンフィグレーション オプションを設定する方法について説明します。
「互換性セキュリティの使い方」では、WebLogic Server 6.x で開発されたセキュリティ レルムとの下位互換性を保持するためのセキュリティ コンフィグレーション モードである互換性セキュリティの使い方について説明します。
「セキュリティ コンフィグレーション MBean」では、どの WebLogic Security MBean と MBean 属性が動的である (サーバの再起動なしで変更できる) か、または動的でない (サーバを再起動しないと変更できない) かについて説明します。
関連情報
以下の BEA WebLogic Server ドキュメントには、WebLogic セキュリティ サービスに関する情報が記載されています。
『WebLogic Security について』 - WebLogic セキュリティ サービスの特徴 (アーキテクチャと機能の概要を含む) について説明します。WebLogic セキュリティを理解するための基礎となるドキュメントです。
『WebLogic セキュリティ プロバイダの開発 』 - セキュリティ ベンダとアプリケーション開発者に対して、WebLogic Server で使用できるカスタム セキュリティ プロバイダを開発するために必要な情報を提供します。
『プロダクション環境の保護』 - WebLogic Server をプロダクション環境にデプロイする前に検討すべき重要なセキュリティ対策について説明します。
『WebLogic リソースのセキュリティ』 - さまざまなタイプの WebLogic リソースを紹介し、WebLogic Server を使用してそれらのリソースを保護するための情報を提供します。このドキュメントでは、URL (Web) リソースと EJB (エンタープライズ JavaBean) リソースのセキュリティについて重点的に説明します。
『WebLogic Security プログラミングの概要』 - Web アプリケーションのセキュリティを開発する方法について説明します。
Administration Console オンライン ヘルプ - WebLogic Administration Console を使用して、さまざまなセキュリティ コンフィグレーション タスクを実行できます。このオンライン ヘルプでは、コンフィグレーション手順とコンフィグレーション可能な属性について説明します。
『WebLogic のアプリケーション環境のアップグレード』 - 旧バージョンの WebLogic Server からこのリリースにアップグレードするために必要な手順などの情報を提供します。また、旧バージョンの WebLogic Server からこのリリースへのアプリケーションの移行に関する情報も提供します。WebLogic Server セキュリティのアップグレードについては、『WebLogic のアプリケーション環境のアップグレード』の「セキュリティ」を参照してください。
WebLogic クラスの Javadoc - このリリースの WebLogic Server で提供され、サポートされている WebLogic セキュリティ パッケージのリファレンス ドキュメントです。
セキュリティのサンプルとチュートリアル
「関連情報」に示したドキュメントの他にも、さまざまなコード サンプルが開発者向けに用意されています。
WebLogic Server 配布キットのセキュリティ サンプル
WebLogic Server では、任意で API サンプル コードが WL_HOME
\samples\server\examples\src\examples\security
にインストールされます。WL_HOME
は WebLogic Server インストール先の最上位ディレクトリを示します。[スタート] メニューの [WebLogic Server Examples] から、サンプル サーバを起動し、サンプルとその実行手順に関する情報を確認できます。
WebLogic のセキュリティ機能については、次のサンプルを参照してください。
Java Authentication and Authorization Service
発信および双方向 SSL
ダウンロード可能な他のサンプル
http://www.beasys.co.jp/dev2dev/index.html で、API サンプルをダウンロードできます。それらのサンプルは .zip
ファイルとして配布されており、既存の WebLogic Server サンプル ディレクトリ構造に解凍することができます。
ダウンロードしたサンプルは、インストール済みの WebLogic Server サンプルと同じ方法でビルドおよび実行します。詳細については、各サンプルのダウンロード ページを参照してください。
このリリースでのセキュリティの新機能と変更点
WebLogic Server 9.0 では、WebLogic Server セキュリティに対していくつかの重要な変更が加えられています。
新しいセキュリティ プロバイダ
WebLogic Server には、以下の新しいセキュリティ プロバイダが組み込まれています。
認証プロバイダ
データベース管理システム (DBMS) プロバイダ - 認証目的でデータベース内のユーザ、パスワード、グループ、およびグループ メンバシップ情報にアクセスするものであり、RDBMS セキュリティ レルムからのアップグレードに使用できます。これらのプロバイダには、SQL 認証、読み込み専用 SQL 認証、およびカスタム DBMS 認証が含まれます。
Windows NT - 認証目的での、Windows NT ユーザおよびグループの使用を可能にします。
ID アサーション プロバイダ
新しい LDAP X509 ID アサーション - 認証のために、X509 証明書を受信し、関連ユーザの LDAP オブジェクトを検索し、LDAP オブジェクト内の証明書が提示された証明書に一致することを確認し、LDAP オブジェクトからユーザ名を取得します。
ネゴシエート ID アサーション - Simple and Protected Negotiate (SPNEGO) トークンをデコードして Kerberos トークンの取得により Windows デスクトップを SSO に提供し、Kerberos トークンを検証し、Kerberos トークンを WebLogic ユーザにマップします。
SAML プロバイダ
SAML プロバイダは、OpenSAML 1.0 を使用して SAML アサーションの生成と消費をサポートします。
SAML ID アサーション - SAML アサーション トークンを消費および検証し、アサーションを信頼するかどうかを決定します (SOAP メッセージの証明データ、クライアント証明書、またはその他のコンフィグレーション インジケータを使用)。
SAML 資格マッピング - ユーザ用に SAML アサーションを生成します。SAML アサーションには、要求側のユーザの名前と、そのユーザが属するグループが含まれます。
証明書の検索と検証のプロバイダ
WebLogic CertPath - 証明書のパスを完了させ、特定のサーバ インスタンスのためにコンフィグレーションされた、信頼性のある CA を使用して、証明書を検証します。また、チェーン内の署名をチェックして、チェーンが期限切れでないことを確認し、チェーン内のいずれかの証明書がサーバにコンフィグレーションされた信頼性のある CA によって発行されたものであることを確認します。いずれかのチェックが失敗した場合、そのチェーンは有効ではありません。
証明書レジストリ - 証明書の検索および検証フレームワークをサポートしています。レジストリによって、システム管理者はサーバへのアクセスが許可されている信頼性のある CA 証明書のリストを明示的にコンフィグレーションします。証明書レジストリは、失効チェックを実行するための、費用のかからないメカニズムを提供します。管理者は、証明書レジストリから削除することによって、証明書を無効にします。レジストリは組み込み LDAP サーバに格納されます。