WebLogic セキュリティプロバイダの開発

概要とロードマップ

マニュアルの内容

対象読者

このマニュアルの手引き

このリリースでの新機能と変更点

XACML 2.0 認可プロバイダおよびロールマッピングプロバイダの新規サポート

SAML の新機能

プロバイダとサービスのコンフィグレーション

キー管理の強化

信頼性の管理の強化

送り先サイトの検証

クエリパラメータ/フォーム変数のサポート

SAML アプリケーションの条件付きデプロイメント

WebLogic Server で使用するセキュリティプロバイダの開発について

前提条件

開発プロセスの概要

カスタムセキュリティプロバイダの設計

SSPI の実装によるカスタムセキュリティプロバイダ用の実行時クラスの作成

カスタムセキュリティプロバイダをコンフィグレーションおよび管理する MBean タイプの生成

コンソール拡張機能の記述

カスタムセキュリティプロバイダのコンフィグレーション

セキュリティポリシー、セキュリティロール、および資格マップを管理するメカニズムの提供

設計上の考慮事項

セキュリティプロバイダの一般的なアーキテクチャ

セキュリティサービスプロバイダインタフェース (SSPI)

重要な制限について

「Provider」SSPI の目的について

実装する「Provider」インタフェースの決定

DeployableAuthorizationProviderV2 SSPI

DeployableRoleProviderV2 SSPI

DeployableCredentialProvider SSPI

SSPI 階層を理解し、実行時クラスを 1 つ作成するのか 2 つ作成するのかを決定する

SSPI クイックリファレンス

セキュリティサービスプロバイダインタフェース (SSPI) MBean

MBean タイプが必要な理由について

拡張および実装する SSPI MBean の決定

MBean 定義ファイル (MDF) の基本的な要素について

カスタムプロバイダとクラスパス

MBean オペレーションから例外を送出する

MBean 属性に対して非クリアテキスト値を指定する

SSPI MBean の階層と Administration Console に対する影響について

WebLogic MBeanMaker によって提供されるものについて

MBean 情報ファイルについて

SSPI MBean クイックリファレンス

セキュリティデータの移行

移行の概念

フォーマット

制約

移行ファイル

カスタムセキュリティプロバイダへの移行サポートの追加

セキュリティデータの移行に関する Administration Console のサポート

セキュリティプロバイダの開発者向け管理ユーティリティ

セキュリティプロバイダと WebLogic リソース

WebLogic リソースのアーキテクチャ

WebLogic リソースのタイプ

WebLogic リソース識別子

toString() メソッド

リソース ID と getID() メソッド

WebLogic リソースのデフォルトグループの作成

WebLogic リソースのデフォルトセキュリティロールの作成

WebLogic リソースのデフォルトセキュリティポリシーの作成

セキュリティプロバイダの実行時クラスでの WebLogic リソースのルックアップ

単一親リソース階層

URL リソースのパターンマッチング

ContextHandler と WebLogic リソース

コンテキストハンドラをサポートするプロバイダとインタフェース

セキュリティプロバイダデータベースの初期化

ベストプラクティス : データベースがない場合のシンプルなデータベースの作成

ベストプラクティス : 既存のデータベースのコンフィグレーション

ベストプラクティス : データベース初期化の委託

属性バリデータの相違点

カスタムバリデータの場合の属性バリデータの相違点

認証プロバイダ

認証の概念

ユーザ/グループ、プリンシパル、サブジェクト

初期ユーザおよびグループを指定する

LoginModule

LoginModule インタフェース

LoginModule とさまざまな要素から成る認証

JAAS (Java Authentication and Authorization Service)

JAAS が WebLogic Security フレームワークとどう連携するか

例 : スタンドアロンの T3 アプリケーション

認証プロセス

カスタム認証プロバイダを開発する必要があるか

カスタム認証プロバイダの開発方法

適切な SSPI による実行時クラスの作成

AuthenticationProviderV2 SSPI を実装する

JAAS LoginModule インタフェースを実装する

LoginModule からカスタム例外を送出する

例 : サンプル認証プロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム認証プロバイダのコンフィグレーション

ユーザロックアウトを管理する

認証プロバイダの順序を指定する

ID アサーションプロバイダ

ID アサーションの概念

ID アサーションプロバイダと LoginModule

ID アサーションとトークン

新しいトークンタイプの作成方法

新しいトークンタイプを ID アサーションプロバイダのコンフィグレーションで利用可能にする方法

境界認証用のトークンを渡す

CSIv2 (Common Secure Interoperability Version 2)

ID アサーションプロセス

カスタム ID アサーションプロバイダを開発する必要があるか

カスタム ID アサーションプロバイダの開発方法

適切な SSPI による実行時クラスの作成

AuthenticationProviderV2 SSPI を実装する

IdentityAsserterV2 SSPI を実装する

例 : サンプル ID アサーションプロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム ID アサーションプロバイダのコンフィグレーション

チャレンジ ID アサーション

Java サーブレット API 2.3 環境におけるチャレンジ/応答の制限

weblogic.security.services.Authentication クラスのフィルタと役割

チャレンジ ID アサーションプロバイダの開発方法

ChallengeIdentityAsserterV2 インタフェースを実装する

ProviderChallengeContext インタフェースを実装する

weblogic.security.services のチャレンジ ID メソッドを呼び出す

weblogic.security.services の AppChallengeContext メソッドを呼び出す

フィルタからチャレンジ ID アサーションを実装する

プリンシパル検証プロバイダ

プリンシパル検証の概念

プリンシパル検証とプリンシパルタイプ

プリンシパル検証プロバイダと他のタイプのセキュリティプロバイダの違い

無効なプリンシパルが原因のセキュリティ例外

プリンシパル検証プロセス

カスタムプリンシパル検証プロバイダを開発する必要があるか

WebLogic プリンシパル検証プロバイダの使い方

カスタムプリンシパル検証プロバイダの開発方法

PrincipalValidator SSPI の実装

認可プロバイダ

認可の概念

アクセス決定

Java Authorization Contract for Containers の使用

認可プロセス

カスタム認可プロバイダを開発する必要があるか

カスタム認可プロバイダでアプリケーションのバージョン管理をサポートする必要があるか

カスタム認可プロバイダの開発方法

適切な SSPI による実行時クラスの作成

AuthorizationProvider SSPI を実装する

DeployableAuthorizationProviderV2 SSPI を実装する

AccessDecision SSPI を実装する

例 : サンプル認可プロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム認可プロバイダのコンフィグレーション

認可プロバイダとデプロイメント記述子を管理する

セキュリティポリシーデプロイメントを有効にする

セキュリティポリシーを管理するためのメカニズムの提供

オプション 1 : セキュリティポリシー管理用のスタンドアロンツールを開発する

オプション 2 : 既存のセキュリティポリシー管理ツールを Administration Console に統合する

裁決プロバイダ

裁決プロセス

カスタム裁決プロバイダを開発する必要があるか

カスタム裁決プロバイダの開発方法

適切な SSPI による実行時クラスの作成

AdjudicationProviderV2 SSPI を実装する

AdjudicatorV2 SSPI を実装する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム裁決プロバイダのコンフィグレーション

ロールマッピングプロバイダ

ロールマッピングの概念

セキュリティロール

動的セキュリティロール計算

ロールマッピングプロセス

カスタムロールマッピングプロバイダを開発する必要があるか

カスタムロールマッピングプロバイダでアプリケーションのバージョン管理をサポートする必要があるか

カスタムロールマッピングプロバイダの開発方法

適切な SSPI による実行時クラスの作成

RoleProvider SSPI を実装する

DeployableRoleProviderV2 SSPI を実装する

RoleMapper SSPI を実装する

SecurityRole インタフェースを実装する

例 : サンプルロールマッピングプロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタムロールマッピングプロバイダのコンフィグレーション

ロールマッピングプロバイダとデプロイメント記述子を管理する

セキュリティロールデプロイメントを有効にする

セキュリティロールを管理するためのメカニズムの提供

オプション 1 : セキュリティロール管理用のスタンドアロンツールを開発する

オプション 2 : 既存のセキュリティロール管理ツールを Administration Console に統合する

監査プロバイダ

監査の概念

監査チャネル

カスタムセキュリティプロバイダからのイベントの監査

監査プロセス

ContextHandler MBean の実装

ContextHandlerMBean のメソッド

例 : ContextHandlerMBean の実装

weblogic.management.security.audit.ContextHandlerImpl の拡張

カスタム監査プロバイダを開発する必要があるか

カスタム監査プロバイダの開発方法

適切な SSPI による実行時クラスの作成

AuditProvider SSPI を実装する

AuditChannel SSPI を実装する

例 : サンプル監査プロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム監査プロバイダのコンフィグレーション

監査重大度をコンフィグレーションする

資格マッピングプロバイダ

資格マッピングの概念

資格マッピングプロセス

カスタム資格マッピングプロバイダを開発する必要があるか

カスタム資格マッピングプロバイダでアプリケーションのバージョン管理をサポートする必要があるか

カスタム資格マッピングプロバイダの開発方法

適切な SSPI による実行時クラスの作成

CredentialProviderV2 SSPI を実装する

DeployableCredentialProvider SSPI を実装する

CredentialMapperV2 SSPI を実装する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム資格マッピングプロバイダのコンフィグレーション

資格マッピングプロバイダ、リソースアダプタ、およびデプロイメント記述子を管理する

デプロイ可能な資格マッピングを有効にする

資格マップを管理するためのメカニズムの提供

オプション 1 : 資格マップ管理用のスタンドアロンツールを開発する

オプション 2 : 既存の資格マップ管理ツールを Administration Console に統合する

カスタムセキュリティプロバイダからのイベントの監査

セキュリティサービスと監査サービス

カスタムセキュリティプロバイダからの監査方法

監査イベントの作成

AuditEvent SSPI を実装する

監査イベントコンビニエンスインタフェースを実装する

監査重大度

監査コンテキスト

例 : AuditRoleEvent インタフェースの実装

監査サービスの取得、および取得した監査サービスによる監査イベントの書き込み

例 : 監査サービスを取得および使用してロール監査イベントを書き込む

プロバイダの MBean から管理オペレーションを監査する

例 : プロバイダの MBean から管理オペレーションを監査する

ベストプラクティス : プロバイダの MBean からの監査イベントのポスト

サーブレット認証フィルタ

認証フィルタの概念

フィルタが必要な理由

サーブレット認証フィルタ設計上の考慮事項

フィルタが呼び出されるしくみ

認証プロバイダからサーブレット認証フィルタを呼び出さない

フィルタを実装するプロバイダの例

カスタムサーブレット認証フィルタの開発方法

適切な SSPI による実行時クラスの作成

サーブレット認証フィルタ SSPI の実装

フィルタインタフェースメソッドの実装

フィルタからのチャレンジ ID アサーションの実装

WebLogic MBeanMaker による MBean タイプの生成

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

Administration Console による認証プロバイダのコンフィグレーション

バージョン管理可能なアプリケーションのプロバイダ

バージョン管理可能なアプリケーションの概念

バージョン管理可能なアプリケーションのプロセス

バージョン管理可能なアプリケーションのカスタムプロバイダを開発する必要があるか

カスタム VersionableApplication プロバイダの開発方法

適切な SSPI による実行時クラスの作成

VersionableApplication SSPI を実装する

例 : サンプル VersionableApplication プロバイダの実行時クラスを作成する

WebLogic MBeanMaker による MBean タイプの生成

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

Administration Console によるバージョン管理可能なアプリケーションのカスタムプロバイダのコンフィグレーション

証明書パスプロバイダ

証明書の検索と検証の概念

証明書の検索と検証のプロセス

証明書パス検証プロバイダと証明書パスビルダを実装する必要があるか

証明書パスプロバイダ SPI MBean

WebLogic 証明書パス検証プロバイダ SSPI

WebLogic 証明書パスビルダ SSPI

WebLogic Server 証明書パス SSPI と JDK SPI との関係

カスタム証明書パスプロバイダを開発する必要があるか

カスタム証明書パスプロバイダの開発方法

適切な SSPI による実行時クラスの作成

JDK CertPathBuilderSpi インタフェース、CertPathValidatorSpi インタフェースのいずれか、または両方を実装する

証明書パスプロバイダ SSPI を実装する

JDK セキュリティプロバイダ SPI を実装する

CertPathBuilderSpi 実装で CertPathBuilderParametersSpi SSPI を使用する

CertPathValidatorSpi 実装で CertPathValidatorParametersSpi SSPI を使用する

ビルダまたは検証プロバイダの結果を返す

例 : サンプル証明書パスプロバイダを作成する

WebLogic MBeanMaker による MBean タイプの生成

MBean 定義ファイル (MDF) を作成する

WebLogic MBeanMaker を使用して MBean タイプを生成する

WebLogic MBeanMaker を使用して MBean JAR ファイル (MJF) を作成する

WebLogic Server 環境に MBean タイプをインストールする

Administration Console によるカスタム証明書パスプロバイダのコンフィグレーション