WebLogic リソースのセキュリティ

概要とロードマップ

以下の節では、このマニュアルの内容と構成について説明します。

マニュアルの内容

このマニュアルでは、セキュリティロールとセキュリティポリシーを使用してさまざまなタイプの WebLogic リソースを保護する方法について説明します。リソースのタイプ、EJB および Web アプリケーションリソースを保護するためのオプション、さまざまなタイプのセキュリティロールおよびポリシー、ロールおよびポリシーの構成要素などの情報を取り扱います。

このマニュアルは以下のマニュアルと併せて利用してください。

『WebLogic Server のセキュリティ』。WebLogic Server® のデプロイメントにセキュリティを完備するためのマニュアルです。
Administration Console オンラインヘルプの「WebLogic リソースのセキュリティ」。WebLogic Server Administration Console を使用して WebLogic リソースへのアクセスと保護を行う手順が記載されています。

対象読者

このマニュアルは、以下の読者を対象としています。

サーバ管理者 - アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティリスクの特定、およびセキュリティ上の問題を防止するコンフィグレーションの提案を行います。関連する責務として、重要なプロダクションシステムの保守、セキュリティレルムのコンフィグレーションと管理、サーバリソースとアプリケーションリソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティプロバイダのデータベースの保守などが含まれる場合もあります。
アプリケーション管理者 - サーバ管理者と共同でセキュリティコンフィグレーションや認証および認可の方式を実装して管理したり、デプロイされたアプリケーションリソースへのアクセスを設定して管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティアーキテクチャの一般的な知識を持っています。アプリケーション管理者は、Java、XML、デプロイメント記述子を理解し、サーバログおよび監査ログでセキュリティイベントを特定できます。

このマニュアルの手引き

このマニュアルの構成は次のとおりです。

「WebLogic リソースのセキュリティについて」では、一部の用語と概念を紹介し、処理の流れを概説して WebLogic リソースを保護するための主要な手順について簡単に示します。
「WebLogic リソースのタイプ」では、WebLogic Server Administration Console を使用して保護できるさまざまな WebLogic リソースのタイプについて説明します。
「EJB および Web アプリケーションリソースの保護のオプション」では、デプロイメント記述子または WebLogic Server Administration Console を使用して EJB および Web アプリケーションリソースを保護するためのオプションについて説明します。
「ユーザ、グループ、セキュリティロール」では、WebLogic リソースにアクセスするユーザおよびグループについて説明します。これには WebLogic Server のデフォルトグループの説明も含まれます。また、スコープ指定セキュリティロールおよびグローバルセキュリティロールについても説明します。これには WebLogic Server のデフォルトグローバルロールの説明も含まれます。最後の節では、セキュリティロールの構成要素について説明します。
「セキュリティポリシー」では、セキュリティポリシーについて説明します。これには WebLogic Server のデフォルトセキュリティポリシーの説明も含まれます。さらに、セキュリティポリシーの構成要素についても説明します。

チュートリアルとサンプル

セキュリティ関連の他のマニュアルについてはサンプルのページにリストされています。

このリリースでの新機能と変更点

WebLogic Server 9.0 では、WebLogic Server リソースのセキュリティに、いくつかの変更点が導入されています。

リソースタイプ

EJB および Web アプリケーションリソース

セキュリティデプロイメントモデル - デプロイメントごとに、これらのリソースを保護する方法に基づいてモデルを選択できます。これには、Administration Console、デプロイメント記述子、またはその 2 つを組み合わせて使用する方法があります。旧バージョンでは唯一の選択肢であった、セキュリティレルム内のすべてのデプロイメントに対して単一のモデルを定義する方法も、引き続き使用できます (現在、この方法は詳細モデルと呼ばれます)。詳細については、「セキュリティモデルの選択」を参照してください。
JACC の制限付きサポート - WebLogic Server ドメイン内で JACC (JSR-115) を使用してサーバを実行している場合、デプロイメント記述子のセキュリティモデルの使用に制限があります。
結合されるロールマッピング - セキュリティデプロイメントモデルにデプロイメント記述子を指定した場合、アプリケーション定義のロールマッピングと EJB および Web アプリケーションのロールマッピングが結合されることにより一貫性のある動作が確保されます。「[ロールマッピングの組み合わせを有効化] 設定について」を参照してください。

ワークコンテキスト

Administration Console を使用して保護できる新しいリソースタイプ。「ワークコンテキストリソース」を参照してください。

管理リソース

Administration Console で保護できるメソッドが unlockUser 以外にも追加されています。「管理リソース」を参照してください。

JDBC リソース

Administration Console からアクセスできる Admin メソッド群のリストが更新されています。「Java DataBase Connectivity (JDBC) リソース」を参照してください。

サーバリソース

Administration Console でアクセスおよび保護できるメソッドが変更されています。lock および unlock に代わって suspend および resume が使用されます。「サーバリソース」を参照してください。

ロールとポリシー

ロールおよびポリシー式

セキュリティロールおよびポリシー式の作成に、新しく組み込みの条件を利用できるようになっています。「セキュリティロールの構成要素 : 条件、式、文」および「セキュリティポリシーの構成要素 : 条件、式、文」を参照してください。

ロールおよびポリシーの管理

ロールおよびポリシーのテーブルを使用して、セキュリティレルム内のすべてのセキュリティロールおよびセキュリティポリシーの中心的なリストを取得できます。Administration Console オンラインヘルプの「セキュリティロールのリスト」および「セキュリティポリシーのリスト」を参照してください。

新しく追加されたデフォルトグループ、デフォルトロール

デフォルトグループ AppTesters とグローバルセキュリティロール AppTester が追加されています。「デフォルトグループ」および「デフォルトグローバルロール」を参照してください。

MBean の保護

デフォルトグローバルロールで保護される MBean およびメソッドのリストが更新され、拡張されています。「保護された MBean の属性と操作」を参照してください。