WebLogic Server のセキュリティ

セキュリティ管理の概要

以下の節では、WebLogic Server のセキュリティシステムの概要について説明します。より広範囲の概要については、『WebLogic Security について』を参照してください。

注意 : このマニュアルでは、6.x という用語は WebLogic Server 6.0 および 6.1、およびそれらに関連するサービスパックを表しています。

WebLogic Server のセキュリティレルム

WebLogic Server のセキュリティサービスは、セキュリティのコンフィグレーションと管理を簡素化しながらも、WebLogic Server デプロイメントを保護する堅牢な機能を提供します。セキュリティレルムは、スコーピング (有効範囲の設定) メカニズムとして機能します。各セキュリティレルムは、コンフィグレーション済みのセキュリティプロバイダ、ユーザ、グループ、セキュリティロール、およびセキュリティポリシーで構成されます。単一のドメインに複数のセキュリティレルムをコンフィグレーションできますが、デフォルト (アクティブ) セキュリティレルムに指定できるのはそのうちの 1 つだけです。WebLogic Server には、以下の 2 つのデフォルトセキュリティレルムが用意されています。

myrealm - WebLogic の裁決、認証、ID アサーション、認可、ロールマッピング、および資格マッピングの各プロバイダがデフォルトでコンフィグレーションされています。
CompatibilityRealm - 6.x のセキュリティコンフィグレーションとの下位互換性を提供します。既存の 6.x セキュリティコンフィグレーションには CompatibilityRealm を介してアクセスできます。

セキュリティアプリケーションプログラミングインタフェース (API) を使用して記述されるカスタムセキュリティレルムは、互換性セキュリティでのみサポートされます。新しいセキュリティレルムをコンフィグレーションして認証機能と認可機能をカスタマイズし、必要なセキュリティサービスを用意します。次に、その新しいセキュリティレルムをデフォルトセキュリティレルムとして設定します。

WebLogic Server のデフォルトセキュリティコンフィグレーションについては、「WebLogic Server のデフォルトセキュリティコンフィグレーション」を参照してください。

セキュリティレルムをコンフィグレーションしてデフォルトセキュリティレルムに設定する方法については、「デフォルトセキュリティコンフィグレーションのカスタマイズ」を参照してください。

互換性セキュリティのコンフィグレーションの詳細については、「互換性セキュリティの使い方」を参照してください。

セキュリティプロバイダ

セキュリティプロバイダは、認証や認可など、セキュリティの特定の側面を処理するモジュールコンポーネントです。アプリケーションはデフォルトの WebLogic セキュリティプロバイダを通じてサービスを利用することができますが、WebLogic Security サービスのインフラストラクチャは柔軟性が高いので、セキュリティベンダが WebLogic Server 用の独自のカスタムセキュリティプロバイダを作成することもできます。WebLogic セキュリティプロバイダとカスタムセキュリティプロバイダを適宜組み合わせて独自のセキュリティソリューションを構築することができるので、ある分野では新たな技術の進歩を利用しつつ、それ以外の分野では実証済みの手法を堅持できるようになります。WebLogic Administration Console を使用すると、統合された単一の管理インタフェースを通じてすべてのセキュリティプロバイダを管理できます。

WebLogic Security サービスは、以下のセキュリティプロバイダをサポートしています。

認証 - ユーザまたはシステムプロセスの身元を証明または確認するプロセスのことです。認証にはまた、必要に応じて、身元情報を記憶したり、転送したり、またさまざまなシステムコンポーネントの利用に供する働きもあります。WebLogic Security サービスによってサポートされる認証プロバイダは、以下の種類の認証を提供します。

ユーザ名とパスワードによる認証
WebLogic Server で直接行われる証明書ベースの認証
外部 Web サーバを介してプロキシされる HTTP 証明書ベースの認証

ID アサーション - 境界認証 (トークンを使用する特殊なタイプの認証) を行う認証プロバイダを、ID アサーションプロバイダと呼びます。ID アサーションでは、リクエストの外部に存在するクライアント提供のトークンを使用してクライアントの ID を確立します。したがって、ID アサーションプロバイダの機能は、トークンを検証してユーザ名にマップすることになります。このマッピングがいったん完了すれば、認証プロバイダの LoginModule を使用してユーザ名がプリンシパルに変換されます。
認可 - ユーザと WebLogic リソースとのやり取りを限定して、整合性、機密性、および可用性を確保するプロセスです。つまり、認証プロバイダによってユーザの ID が確立したら、認可はそのユーザによる WebLogic リソースへのアクセスを許可するかどうかを決定します。認可プロバイダは、これらのサービスを提供します。
ロールマッピング - 1 つまたは複数のロールを複数のユーザに割り当て、特定のロールを持つユーザのアクセス権を指定できます。ロールマッピングプロバイダは、指定されたリソースについて要求側に付与される一連のロールを取得します。ロールマッピングプロバイダから認可プロバイダにこのロール情報が提供されるので、認可プロバイダは、ロールベースのセキュリティを用いるリソース (Web アプリケーションやエンタープライズ JavaBean(EJB)) からの「アクセスできるか」という質問に答えることができます。
裁決 - セキュリティレルムに複数の認可プロバイダがコンフィグレーションされる場合、特定のリソースに「アクセスできるか」という質問に対して、それぞれが異なる回答を返す可能性があります。複数の認可プロバイダの回答が一致しない場合にどうするかを決定するのが、裁決プロバイダの主な役割です。裁決プロバイダは、各認可プロバイダの回答に重みを割り当てることによって認可の衝突を解決し、アクセスに関する最終決定を返します。
資格マッピング - 資格マップとは、WebLogic Server で使用する資格と、レガシーシステムで使用する資格とのマッピングです。WebLogic Server は、このマップによって、そのシステム内の特定のリソースへの接続方法を知ります。つまり、資格マップを使用することで、WebLogic Server が、認証済みのサブジェクトに代わってリモートシステムにログインできるようになります。資格マッピングプロバイダはこのように資格をマップします。
キーストア - プライベートキーと信頼された認証局の証明書を格納する、パスワードで保護されたデータベースの作成と管理のためのメカニズムです。キーストアは、認証や署名を目的としてそれを必要とすることがあるアプリケーションから利用できます。WebLogic Server のセキュリティアーキテクチャでは、WebLogic キーストアプロバイダを使用してキーストアにアクセスします。

注意 : WebLogic キーストアプロバイダはこのリリースの WebLogic Server で非推奨となり、下位互換性のためにのみサポートされています。代わりにキーストアを使用してください。キーストアのコンフィグレーションの詳細については、「プロダクション用のキーストアのコンフィグレーション」を参照してください。

証明書検索および検証 (CLV) - ID と信頼のために、X.509 証明書を検索および検証する必要があります。CLV プロバイダは、証明書、証明書チェーン、または証明書参照を受け取り、証明書パスを完成させ (必要な場合)、パス内のすべての証明書を検証します。CLV プロバイダには、2 つのタイプがあります。

証明書パスビルダは、証明書パスの検索と完成 (必要な場合)、および証明書の検証を行います。
証明書パス検証プロバイダは、証明書パスの検索と完成 (必要な場合)、証明書の検証、および追加の検証 (失効チェックなど) を行います。

証明書レジストリ - 証明書レジストリは、証明書失効チェックをセキュリティレルムに追加するためのメカニズムです。証明書レジストリは、有効な証明書のリストを保持します。登録されている証明書のみが有効です。証明書レジストリから削除することによって、その証明書は失効します。このレジストリは、組み込み LDAP サーバに格納されます。証明書レジストリは、証明書パスビルダと証明書パス検証プロバイダの両方です。
監査 - セキュリティリクエストとその結果に関する情報を、否認防止を目的として収集、格納、および配布するプロセスです。言い換えれば、監査はコンピュータのアクティビティの電子的な記録を提供するものです。監査プロバイダは、これらのサービスを提供します。

WebLogic セキュリティプロバイダで提供される機能の詳細については、「WebLogic セキュリティプロバイダのコンフィグレーション」と「認証プロバイダのコンフィグレーション」を参照してください。

デフォルトセキュリティコンフィグレーションについては、「WebLogic Server のデフォルトセキュリティコンフィグレーション」を参照してください。

カスタムセキュリティプロバイダの作成については、『WebLogic セキュリティプロバイダの開発』を参照してください。

セキュリティポリシーと WebLogic リソース

WebLogic Server は、セキュリティポリシー (WebLogic Server 6.x で使用していた ACL とパーミッションに代わるもの) を使用して WebLogic リソースを保護します。セキュリティポリシーは、WebLogic リソースへの「アクセス権は誰が持つか」という問いに答えます。セキュリティポリシーは、WebLogic リソースとユーザ、グループ、またはセキュリティロールの間の関連付けを定義するときに作成します。また、セキュリティポリシーに時間の制約を関連付けることもできます。WebLogic リソースは、セキュリティポリシーが割り当てられるまでは保護されません。

セキュリティポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳しく理解するには、『WebLogic リソースのセキュリティ』を参照してください。WebLogic Server のデプロイメントに対するセキュリティを完全にコンフィグレーションするには、このマニュアルと『WebLogic リソースのセキュリティ』を併読する必要があります。

WebLogic リソース

WebLogic リソースは、権限のないアクセスから保護することができる WebLogic Server エンティティを表す構造化オブジェクトです。WebLogic Server では、以下のリソースが定義されます。

WebLogic Server Administration Console や WebLogic Scripting Tool などの管理リソース。
エンタープライズアプリケーションを表すアプリケーションリソース。このタイプのリソースには、EAR (エンタープライズアプリケーションアーカイブ) ファイルと、EAR に含まれる EJB JAR ファイルのような個々のコンポーネントがあります。
Microsoft のフレームワークに従ってプログラムコンポーネントオブジェクトとして設計される Component Object Model (COM) リソース。このタイプのリソースには、BEA の双方向型 COM-Java (jCOM) ブリッジングツールを介してアクセスする COM コンポーネントがあります。
リソースアダプタとして設計されるエンタープライズ情報システム (EIS) リソース。Java アプリケーションと既存のエンタープライズ情報システムを統合できます。これらのリソースアダプタは、コネクタとも呼ばれます。
エンタープライズ JavaBean (EJB) リソース。EJB JAR ファイル、EJB JAR 内の個々の EJB、および EJB の個々のメソッドがあります。
Java DataBase Connectivity (JDBC) リソース。接続プールのグループ、個々の接続プール、およびマルチプールがあります。
Java Naming and Directory Interface (JNDI) リソース。
Java Message Service (JMS) リソース。
WebLogic Server インスタンス (サーバ) に関連するサーバリソース。このタイプのリソースには、サーバを起動、停止、ロック、またはロック解除する操作があります。
Web アプリケーションに関連する URL リソース。このタイプのリソースには、Web アプリケーションアーカイブ (WAR) ファイル、または Web アプリケーションの個々のコンポーネント (サーブレットや JSP など) があります。

注意 : Web リソースは、このリリースの WebLogic Server で非推奨になりました。代わりに URL リソースを使用してください。

Web ベースの分散アプリケーションのコンポーネント間で共有したり、コンポーネントとして使用したりできるサービスに関連した Web サービスリソース。このタイプのリソースには、Web サービス全体、または Web サービスの個々のコンポーネント (ステートレスセッション EJB、その EJB 内の特定のメソッド、web-services.xml ファイルを含む Web アプリケーションなど) があります。
リモートリソース。

デプロイメント記述子と WebLogic Administration Console

WebLogic Security サービスでは、デプロイメント記述子に定義された情報を使用して、セキュリティロールを付与したり、Web アプリケーションと EJB のセキュリティポリシーを定義したりできます。WebLogic Server を最初に起動するときに、web.xml、weblogic.xml、ejb-jar.xml、または weblogic-ejb-jar.xml デプロイメント記述子に格納されたセキュリティロールとセキュリティポリシーの情報が、デフォルトセキュリティレルムにコンフィグレーションされている認可プロバイダとロールマッピングプロバイダにロードされます。これらの情報の変更は、WebLogic Administration Console で行うことができます。

デプロイメント記述子内の情報を利用するには、セキュリティレルム内の少なくとも 1 つの認可プロバイダとロールマッピングプロバイダがそれぞれ DeployableAuthorizationProvider および DeployableRoleProvider セキュリティサービスプロバイダインタフェース (SSPI) を実装している必要があります。この SSPI を使用すると、プロバイダはデプロイメント記述子から情報を (検索ではなく) 格納できます。デフォルトでは、WebLogic 認可プロバイダとロールマッピングプロバイダがこの SSPI を実装しています。

WebLogic Administration Console からデプロイメント記述子内のセキュリティロールとセキュリティポリシーを変更し、それ以降も WebLogic Administration Console からこの情報を変更する予定である場合は、WebLogic Administration Console で行った変更が、WebLogic Server の再起動時にデプロイメント記述子の古い情報で上書きされないように、セキュリティレルムでコンフィグレーションオプションを設定できます。

詳細については、『WebLogic リソースのセキュリティ』を参照してください。

WebLogic Server のデフォルトセキュリティコンフィグレーション

WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、デフォルトのセキュリティコンフィグレーションが用意されています。デフォルトセキュリティコンフィグレーションでは、myrealm がデフォルトセキュリティレルムとして設定され、WebLogic 裁決、認証、ID アサーション、認可、資格マッピング、ロールマッピング、および証明書パスの各プロバイダがセキュリティプロバイダとして定義されています。WebLogic Server の組み込み LDAP サーバは、これらのデフォルトセキュリティプロバイダ用のデータストアとして使用されます。デフォルトセキュリティコンフィグレーションを使用するには、セキュリティレルムでユーザ、グループ、およびセキュリティロールを定義し、セキュリティポリシーを作成してドメイン内の WebLogic リソースを保護する必要があります。

WebLogic セキュリティプロバイダで提供される機能の詳細については、『WebLogic Security について』を参照してください。これらの WebLogic セキュリティプロバイダがセキュリティ要件を必ずしも完全に満たしていない場合には、それらを補うか、あるいは入れ替えることができます。詳細については、『WebLogic セキュリティプロバイダの開発』を参照してください。

デフォルトセキュリティコンフィグレーションでは要件が満たされない場合、WebLogic セキュリティプロバイダとカスタムセキュリティプロバイダを自由に組み合わせて新しいセキュリティレルムを作成し、そのセキュリティレルムをデフォルトセキュリティレルムとして設定できます。詳細については、「デフォルトセキュリティコンフィグレーションのカスタマイズ」を参照してください。

WebLogic セキュリティのコンフィグレーション : 主な手順

WebLogic Server のセキュリティ機能は互いに関連しているので、セキュリティをコンフィグレーションする場合にどこから始めるべきか判断しにくいものです。実際、WebLogic Server デプロイメントのセキュリティをコンフィグレーションする場合には、同じ作業を繰り返すこともあります。コンフィグレーションの手順はいくつかありますが、次の手順を実行することをお勧めします。

「デフォルトセキュリティコンフィグレーションをカスタマイズする理由」に目を通して、デフォルトセキュリティコンフィグレーションを使用するかどうかを決定します。

デフォルトセキュリティコンフィグレーションを使用する場合は、手順 3 に進みます。
デフォルトセキュリティコンフィグレーションを使用しない場合は、手順 2 に進みます。

デフォルトセキュリティレルムで、追加のセキュリティプロバイダをコンフィグレーションするか (たとえば、WebLogic 認証プロバイダを使用する代わりに LDAP 認証プロバイダをコンフィグレーションする)、またはカスタムセキュリティプロバイダをコンフィグレーションします。この手順は省略可能です。デフォルトでは、WebLogic Server はデフォルトセキュリティレルム (myrealm) の WebLogic セキュリティプロバイダをコンフィグレーションします。デフォルトセキュリティコンフィグレーションをカスタマイズする必要がある状況については、「デフォルトセキュリティコンフィグレーションをカスタマイズする理由」を参照してください。カスタムセキュリティプロバイダの作成については、『WebLogic セキュリティプロバイダの開発』を参照してください。

注意 : また、新しいセキュリティレルムを作成し、そのセキュリティレルムでセキュリティプロバイダ (WebLogic またはカスタム) をコンフィグレーションし、そのセキュリティレルムをデフォルトセキュリティレルムとして設定することもできます。「デフォルトセキュリティコンフィグレーションのカスタマイズ」を参照してください。

必要に応じて、組み込み LDAP サーバをコンフィグレーションします。WebLogic Server の組み込み LDAP サーバは、デフォルトオプションでコンフィグレーションされています。ただし、これらのオプションを変更して、組み込み LDAP サーバの使い方を環境に合わせて最適化できます。詳細については、「組み込み LDAP サーバの管理」を参照してください。

ユーザアカウントが適切に保護されていることを確認します。WebLogic Server にはユーザアカウントを保護するためのコンフィグレーションオプションが用意されています。デフォルトでは、属性は最高のセキュリティレベルに設定されています。ただし、WebLogic Server の開発およびデプロイメント時には、ユーザアカウントに対する制限の緩和が必要な場合もあります。プロダクション環境に移行する前に、ユーザアカウントのオプションが最高の保護レベルに設定されていることを確認してください。新しいセキュリティレルムを作成する場合は、ユーザのロックアウトのオプションを設定する必要があります。詳細については、「WebLogic Server でのパスワードの保護の仕組み」と「ユーザアカウントの保護」を参照してください。

セキュリティポリシーで WebLogic リソースを保護します。セキュリティポリシーの作成手順にはいくつかの段階があり、さまざまなオプションが用意されています。この手順を詳しく理解するには、『WebLogic リソースのセキュリティ』を参照してください。WebLogic Server のデプロイメントに対するセキュリティを完全にコンフィグレーションするには、このマニュアルと『WebLogic リソースのセキュリティ』を併読する必要があります。

WebLogic Server の ID と信頼をコンフィグレーションします。この手順は省略可能ですが、実行することをお勧めします。詳細については、「ID と信頼のコンフィグレーション」を参照してください。

WebLogic Server に対して SSL を有効にします。この手順は省略可能ですが、実行することをお勧めします。詳細については、「SSL のコンフィグレーション」を参照してください。

プロダクションに移行する場合、「プロダクション環境の保護」で説明されている追加のセキュリティオプションを確認し、実装してください。

また、以下のことを行うことができます。

接続フィルタをコンフィグレーションする。「接続フィルタの使用」を参照してください。
WebLogic ドメイン間の相互運用性を有効化する。「WebLogic Server ドメイン間の信頼関係の有効化」を参照してください。

注意 : 多くの場合、このマニュアルでは WebLogic Administration Console を使用して WebLogic セキュリティをコンフィグレーションする方法について説明しています。一般に、Administration Console で実行できるコンフィグレーションタスクは、WebLogic Scripting Tool または Java Management Extensions (JMX) API を使用して実行することもできます。

互換性セキュリティとは

互換性セキュリティとは、WebLogic Server 6.x で行ったセキュリティコンフィグレーションをこのリリースの WebLogic Server で実行するための機能です。互換性セキュリティでは、6.x のセキュリティレルム、ユーザ、グループ、および ACL の管理、ユーザアカウントの保護、レルムアダプタ監査プロバイダのコンフィグレーションや、必要に応じてレルムアダプタ認証プロバイダ内の ID アサーションプロバイダのコンフィグレーションを行うことができます。

互換性セキュリティで使用可能なセキュリティレルムは CompatibilityRealm だけです。互換性レルムのレルムアダプタプロバイダ (監査、裁決、認可、および認証) を使用すると、6.x セキュリティレルムの認証、認可、および監査サービスとの下位互換性を保持できます。詳細については、「互換性セキュリティの使い方」を参照してください。

注意 : 互換性セキュリティはこのリリースの WebLogic Server で非推奨になりました。今後のメジャーリリースではサポートされなくなります。WebLogic Server デプロイメントをこのリリースの WebLogic Server のセキュリティ機能にアップグレードすることを強くお勧めします。互換性セキュリティは、このアップグレードの間だけ使用してください。

互換性セキュリティで実行できる管理タスク

互換性セキュリティでは WebLogic Server 6.x でサポートされる認証、認可、およびカスタム監査の実装にしかアクセスできないので、6.x のすべてのセキュリティタスクが実行できるわけではありません。互換性セキュリティを使用するには、次の手順に従います。

レルムアダプタ監査プロバイダをコンフィグレーションします。詳細については、「レルムアダプタ監査プロバイダのコンフィグレーション」を参照してください。

weblogic.security.acl.CertAuthenticator クラスの実装を使用するために、レルムアダプタ認証プロバイダ内に ID アサーションプロバイダをコンフィグレーションします。詳細については、「レルムアダプタ認証プロバイダ内の ID アサーションプロバイダのコンフィグレーション」を参照してください。

注意 : レルムアダプタ裁決プロバイダとレルムアダプタ認可プロバイダは、6.x の既存の config.xml ファイルの情報を使用して、CompatibilityRealm にデフォルトでコンフィグレーションされています。これらのプロバイダは CompatibilityRealm でのみ使用できます。レルムアダプタ認証プロバイダも CompatibilityRealm に自動的にコンフィグレーションされます。ただし、このプロバイダは、6.x セキュリティレルムに格納されたユーザとグループにアクセスするために、他のレルムでコンフィグレーションすることもできます。詳細については、「RDBMS 認証プロバイダのコンフィグレーション」を参照してください。

system ユーザのパスワードを変更して、WebLogic Server のデプロイメントを保護します。

CompatibilityRealm でセキュリティレルムを管理します。

CompatibilityRealm でセキュリティレルムの追加のユーザを定義します。セキュリティレルムにグループを実装して、ユーザをさらにまとめます。

WebLogic Server デプロイメントにあるリソースの ACL とパーミッションを管理します。

WebLogic リソースのセキュリティロールとセキュリティポリシーを作成して CompatibilityRealm に追加します。詳細については、『WebLogic リソースのセキュリティ』を参照してください。

ID と信頼のコンフィグレーション、SSL の使用、接続フィルタのコンフィグレーション、およびドメイン間の相互運用性の有効化も可能ですが、これらのタスクはこのリリースの WebLogic Server のセキュリティ機能を使用して実行します。詳細については、以下を参照してください。