WebLogic リソースのセキュリティ

セキュリティポリシー

この章では、セキュリティポリシーの特長と機能について説明します。

セキュリティポリシーの概要

セキュリティポリシーは、権限のないアクセスから WebLogic リソースを保護するための、WebLogic リソースと 1 つまたは複数のユーザ、グループ、セキュリティロールとの関連付けです。

注意 : セキュリティポリシーは、以前のリリースの WebLogic Server で WebLogic リソースを保護するために使用していたアクセス制御リスト (access control lists : ACL) とパーミッションに代わるものです。

セキュリティポリシーの粒度と継承

セキュリティポリシーは常に WebLogic リソースを対象としますが、WebLogic リソースは階層化されているので、自由なレベルで定義できます。たとえば、エンタープライズアプリケーション (EAR) 全体、複数の EJB を含む EJB JAR、その JAR の中の特定の EJB、その EJB の中の 1 つのメソッドなどに対して、セキュリティポリシーを定義できます。

あるタイプの WebLogic リソース (EJB リソースなど) に対してセキュリティポリシーを作成すると、その WebLogic リソースのすべての新しいインスタンスはそのセキュリティポリシーを継承します。このようにセキュリティポリシーを継承すると、複数の WebLogic リソースを効率的に保護できます。WebLogic Server は、デフォルトセキュリティポリシーで各 WebLogic リソースタイプを保護しています。デフォルトセキュリティポリシーは、その WebLogic リソースのすべてのインスタンスによって継承されます。詳細については、「デフォルトセキュリティポリシー」を参照してください。

WebLogic リソースの特定のインスタンスに対して作成されたセキュリティポリシーは、その WebLogic リソースタイプに割り当てられているセキュリティポリシーをオーバーライドします。つまり、特定の EJB に対してセキュリティポリシーを作成すると、このセキュリティポリシーが使用され、EJB リソースタイプに対して作成したセキュリティポリシーは使用されません。

セキュリティポリシーの格納および使用の前提条件

セキュリティポリシーは、デフォルト (アクティブな) セキュリティレルムにコンフィグレーションされている認可プロバイダのセキュリティプロバイダデータベースに格納されます。デフォルトでは、WebLogic 認可プロバイダがコンフィグレーションされ、セキュリティポリシーは組み込み LDAP サーバに格納されます。

ユーザまたはグループを使用してセキュリティポリシーを作成する場合、そのユーザまたはグループは、デフォルトセキュリティレルムのコンフィグレーション済み認証プロバイダのセキュリティプロバイダデータベースで定義されている必要があります。セキュリティロールを使用してセキュリティポリシーを作成する場合、そのセキュリティロール (グローバルまたはスコープ) は、デフォルトセキュリティレルムのコンフィグレーション済みロールマッピングプロバイダのセキュリティプロバイダデータベースで定義されている必要があります。デフォルトでは、WebLogic 認証プロバイダと WebLogic ロールマッピングプロバイダがコンフィグレーションされており、これらのセキュリティプロバイダのデータベース (および組み込み LDAP サーバ) にはデフォルトグループとデフォルトグローバルロールが格納されています。

WebLogic 認証、認可、およびロールマッピングプロバイダの詳細については、『WebLogic Security について』の「The WebLogic Security Providers」を参照してください。

デフォルトセキュリティポリシー

WebLogic Server では、表 6-1 に示すセキュリティポリシーがデフォルトで定義されています。これらのセキュリティポリシーは「WebLogic リソースのタイプ」で説明する WebLogic リソースのタイプごとに定義されており、デフォルトグローバルロールとデフォルトグループに基づいています。

注意 : デフォルトセキュリティポリシーには Administration Console でアクセスできます。Administration Console オンラインヘルプの「ルートレベルのポリシーへのアクセス」を参照してください。

表 6-1 WebLogic リソースのデフォルトセキュリティポリシー

WebLogic リソース	セキュリティポリシー
管理リソース	デフォルトグローバルロール : `Admin`
アプリケーションリソース	なし
EIS (リソースアダプタ) リソース	デフォルトグループ : `Everyone`
EJB リソース	デフォルトグループ : `Everyone`
COM リソース	なし
JDBC リソース	デフォルトグループ : `Everyone`
JNDI リソース	デフォルトグループ : `Everyone`
JMS リソース	デフォルトグループ : `Everyone`
サーバリソース	デフォルトグローバルロール : `Admin` `Operator`
ワークコンテキスト	デフォルトグループ : `Everyone`
URL リソース	デフォルトグループ : `Everyone`
Web サービスリソース	デフォルトグループ : `Everyone`

警告 : 管理リソースとサーバリソースのデフォルトセキュリティポリシーを変更して、それらの制約をさらに厳しくしないでください。既存のセキュリティロールの一部を削除すると、WebLogic Server の動作に悪影響を与えることがあります。ただし、必要に応じて、デフォルトセキュリティポリシーにより多くを含めることはできます (たとえば、新しいセキュリティロールを追加するなど)。

保護されたパブリックインタフェース

WebLogic Server Administration Console、WebLogic Scripting Tool (WLST)、および MBean API は、デフォルトセキュリティポリシーによって保護されます。デフォルトセキュリティポリシーは、表 5-2 で説明したデフォルトグローバルロールおよびデフォルトグループに基づきます。したがって、Administration Console を使用するためには、ユーザはデフォルトグループのいずれかに属しているか、グローバルロールが付与されていなければなりません。また、MBean との対話を必要とする管理操作は、「MBean の保護」で説明されている MBean の保護を使用して保護されます。したがって、以下の保護されているパブリックインタフェースとの対話では、通常、両方のセキュリティ方式を満たしている必要があります。

WebLogic Server Administration Console - WebLogic Security サービスでは、特定のユーザが Administration Console にアクセスできるかどうかをそのユーザのログイン時に検証します。アクセスの許されていない操作をユーザが呼び出そうとすると、アクセス拒否のエラーが表示されます。

このパブリックインタフェースの使用方法については、Administration Console オンラインヘルプを参照してください。

WebLogic Scripting Tool - WebLogic Scripting Tool (WLST) は、システム管理者やオペレータが、WebLogic Server インスタンスおよびドメインのモニタと管理に使用する、コマンドラインスクリプトインタフェースです。WebLogic Security サービスは、特定のユーザに WLST コマンド実行のパーミッションがあるかどうかをコマンドの呼び出し時に検証します。アクセスの許されていない操作をユーザが呼び出そうとすると、weblogic.management.NoAccessRuntimeException が送出されます。この例外は、開発者がプログラムで明示的に捕捉できます。この例外はサーバによってそのログファイルに送信されますが、標準出力に例外を送信するよう、サーバをコンフィグレーションすることもできます。

このパブリックインタフェースの使用方法については、『WebLogic Scripting Tool ガイド』を参照してください。

注意 : WLST は、MBean API (後述) との対話を抽象化する便利なユーティリティです。したがって、WLST を使用して実行できる管理タスクは、MBean API を使用して実行することもできます。

MBean API - WebLogic Security サービスは、特定のユーザに API にアクセスするパーミッションがあるかどうかを、ユーザが MBean の操作を実行するときに検証します。アクセスの許されていない操作をユーザが呼び出そうとすると、weblogic.management.NoAccessRuntimeException が送出されます。この例外は、開発者がプログラムで明示的に捕捉できます。この例外はサーバによってそのログファイルに送信されますが、標準出力に例外を送信するよう、サーバをコンフィグレーションすることもできます。

こうした API の使用方法については、「保護された MBean の属性と操作」および『JMX によるカスタム管理ユーティリティの開発』の「Managing Security Realms with JMX」を参照してください。

セキュリティポリシーの構成要素 : 条件、式、文

ポリシー条件

ポリシー条件とは、セキュリティポリシーを作成する際の条件です。WebLogic には、3 種類の組み込みポリシー条件が用意されています。こうした条件をあらゆる論理的な組み合わせで使用できます。

基本的なポリシー条件

このリリースの WebLogic Server で使用できる基本的なポリシー条件は以下のとおりです。

[ロール] - セキュリティロールに基づいてセキュリティポリシー条件を作成します。たとえば、BankTeller セキュリティロールのユーザまたはグループだけが Deposit EJB にアクセスできるという条件を作成できます。
[ユーザ] - ユーザ名に基づいてセキュリティポリシー条件を作成します。たとえば、ユーザ John だけが Deposit EJB にアクセスできるという条件を作成できます。
[グループ] - グループに基づいてセキュリティポリシー条件を作成します。グループを使用してセキュリティポリシーを作成すると、セキュリティポリシーはそのグループのすべてのメンバーに割り当てられます。たとえば、グループ FullTimeBankEmployees に属するユーザのみが Deposit EJB にアクセスできるという条件を作成できます。
[Server is in Development Mode] - サーバが開発モードで実行されているかどうかに基づいてセキュリティポリシー条件を作成します。
[Allow access to everyone] - すべてのユーザおよびグループを含むセキュリティポリシー条件を作成します。
[Deny access to everyone] - ユーザおよびグループのどれも含まないセキュリティポリシー条件を作成します。
[Element requires signature by] - Web サービス操作を呼び出す SOAP リクエストメッセージ内の要素を誰がデジタル署名したかに基づいてセキュリティポリシー条件を作成します。たとえば、getBalance 操作を、受信 SOAP リクエストの AccountNumber 要素が BankTeller セキュリティロールによってデジタル署名された場合にのみ呼び出すことができるという条件を作成できます。

注意 : このポリシー条件は、Web サービスと個々の Web サービス操作を保護する場合にのみ使用できます。

日付と時刻のポリシー条件

任意の日付と時刻の条件を使用する場合、他のいずれかのロール条件を追加してさらにユーザを制限しない限り、セキュリティポリシーではすべてのユーザに対して指定した日付または時刻のアクセスを許可します。このリリースの WebLogic Server で使用できる日付と時間のポリシー条件は以下のとおりです。

[Access occurs between specified hours] - 指定した時間に基づいてセキュリティポリシー条件を作成します。たとえば、ユーザに営業時間中のアクセスのみを許可する条件を作成できます。
[Access occurs after] - 指定した時刻より後の時間に基づくセキュリティポリシー条件を作成します。たとえば、ユーザに営業開始後などの特定の日付および時刻より後のアクセスを許可する条件を作成できます。
[Access occurs before] - 指定した時刻より前の時間に基づくセキュリティポリシー条件を作成します。たとえば、ユーザに営業終了前などの特定の日付および時刻より前のアクセスを許可する条件を作成できます。
[Access occurs on specified days of the week] - 特定の曜日に基づくセキュリティポリシー条件を作成します。たとえば、ユーザに平日のアクセスを許可する条件を作成できます。
[Access occurs on the specified day of the month] - 月の日付 (序数) に基づくセキュリティポリシー条件を作成します。たとえば、ユーザに毎月の 1 日にのみアクセスを許可する条件を作成できます。
[Access occurs after the specified day of the month] - 月の日付 (序数) より後の時間に基づくセキュリティポリシー条件を作成します。たとえば、ユーザに毎月 15 日より後にアクセスを許可する条件を作成できます。
[Access occurs before the specified day of the month] - 月の日付 (序数) より前の時間に基づくセキュリティポリシー条件を作成します。たとえば、ユーザに毎月 15 日になる前までアクセスを許可する条件を作成できます。

コンテキスト要素のポリシー条件

コンテキスト要素の条件を使用すると、HTTP サーブレットリクエスト属性、HTTP セッション属性、EJB メソッドのパラメータの値に基づいてセキュリティポリシーを作成できます。この情報は WebLogic Server によって ContextHandler オブジェクトから取得され、その値に基づいてポリシー条件を定義できます。こうした条件を使用する場合、使用しているコンテキストに属性またはパラメータと値のペアが確実に適用するようにするのはユーザの役目です。詳細については、『WebLogic セキュリティプロバイダの開発』の「ContextHandlers and WebLogic Resources 」を参照してください。

このリリースの WebLogic Server で使用できるコンテキスト要素のポリシー条件は以下のとおりです。

[Context element defined] - 指定した属性またはパラメータの存在に基づくセキュリティポリシー条件を作成します。
[Context element's value equals a numeric constant] - 指定した属性やパラメータの数値 (または double 型の数値を表す文字列) で、指定した double 型の数値と等しいものに基づく、セキュリティポリシー条件を作成します。
[Context element's value is greater than a numeric constant] - 指定した属性やパラメータの数値 (または double 型の数値を表す文字列) で、指定した double 型の数値より大きいものに基づく、セキュリティポリシー条件を作成します。
[Context element's value is less than a numeric constant] - 指定した属性やパラメータの数値 (または double 型の数値を表す文字列) で、指定した double 型の数値より小さいものに基づく、セキュリティポリシー条件を作成します。
[Context element's value equals a string constant] - 指定した属性やパラメータの文字列値で、指定した文字列と等しいものに基づく、セキュリティポリシー条件を作成します。

ポリシー式

ポリシー条件に対して特定の情報 (実際のロール名、開始/終了時間など) を組み合わせたものは式と呼ばれます。ポリシーを定義する 1 つまたは複数の式は集合的にポリシー文と呼ばれています (次節を参照)。ポリシー式を使用すると、たとえば BankTeller セキュリティロールに属するユーザのみが、通常の銀行の営業時間に、ビジネス Web アプリケーションにアクセスできるようになります。

ポリシー文

ポリシー文は、セキュリティポリシーがどのように与えられるかを定義した式の集合体です。複数の式を使用できるため、企業のセキュリティ要件に合わせて複雑なセキュリティポリシーを作成できます。式の間には and 演算子や or 演算子も使用でき、式の順序を変更したり式を否定したりすることもできます。詳細については、Administration Console オンラインヘルプの「セキュリティポリシーの作成」を参照してください。

ユーザ、グループ、またはセキュリティロールに、セキュリティポリシーが付与されるには、ロール文全体が true である必要があります。ポリシー文の中では、制約が厳しい式ほど後に指定します。

Administration Console でのセキュリティポリシーの管理

WebLogic Administration Console を使用して、セキュリティポリシーの作成や変更のために WebLogic リソースにアクセスできます。詳細については、Administration Console オンラインヘルプの「セキュリティポリシーの管理」を参照してください。

セキュリティ ポリシー

セキュリティ ポリシーの概要

セキュリティ ポリシーの粒度と継承

セキュリティ ポリシーの格納および使用の前提条件

デフォルト セキュリティ ポリシー

保護されたパブリック インタフェース

セキュリティ ポリシーの構成要素 : 条件、式、文