WebLogic Security について

概要とロードマップ

以下の節では、このマニュアル『WebLogic Security について』の内容と構成について説明します。

マニュアルの内容

BEA WebLogic Server^TM マニュアルセットに収められている他のセキュリティ関連マニュアルでは特定の作業 (たとえば、WebLogic® セキュリティのプログラミング、カスタムセキュリティプロバイダの開発、WebLogic Security サービスの管理など) の手順をユーザに説明しているのに対して、このマニュアルは WebLogic Security サービスのすべてのユーザを対象としています。そのため、このマニュアルは WebLogic Security サービスを理解する上で基本となるものです。

注意 : WebLogic® Security サービスには、固有の用語が多数あります。「用語」で用語を理解してから、このマニュアルをお読みください。

対象読者

このマニュアルは、以下の読者を対象としています。

アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティアーキテクチャを設計するだけでなく、WebLogic Server のセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティシステムや最先端のセキュリティ技術とツールだけでなく、Java プログラミング、Java セキュリティ、およびネットワークセキュリティにも精通しています。
セキュリティ開発者 - WebLogic Server に統合されるセキュリティ製品のシステムアーキテクチャとインフラストラクチャの定義と、WebLogic Server で使用するカスタムセキュリティプロバイダの開発を主な業務とする開発者のことです。アプリケーション設計者と連携して、セキュリティアーキテクチャを確実に設計に従って、セキュリティホールが発生しないように実装します。また、セキュリティが確実に正しくコンフィグレーションされるよう、サーバ管理者とも連携します。セキュリティ開発者は、認証、認可、監査 (AAA)、Java Management eXtension (JMX) などの Java に対する深い知識、および WebLogic Server とセキュリティプロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - クライアントアプリケーションの開発、Web アプリケーションおよびエンタープライズ JavaBean (EJB) へのセキュリティ機能の付加、および他のエンジニアリングチーム、品質保証 (QA) チーム、データベースチームとの連携によるセキュリティ機能の実装などを主な業務とする Java プログラマのことです。アプリケーション開発者は、Java (サーブレット、JSP、JSEE などの J2EE コンポーネントを含む) と Java セキュリティについての実用的かつ深い知識を備えています。
サーバ管理者 - アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティリスクの特定、およびセキュリティ上の問題を防止するコンフィグレーションの提案を行います。関連する責務として、重要なプロダクションシステムの保守、セキュリティレルムのコンフィグレーションと管理、サーバリソースとアプリケーションリソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティプロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、Web サービス、Web アプリケーションと EJB のセキュリティ、公開鍵セキュリティ、SSL、SAML (Security Assertion Markup Language) を含む Java セキュリティアーキテクチャに関する深い知識を備えています。
アプリケーション管理者 - サーバ管理者と共同でセキュリティコンフィグレーション、認証および認可方式を実装および管理したり、定義されたセキュリティレルムでデプロイされたアプリケーションリソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティアーキテクチャの一般的な知識を持っています。アプリケーション管理者は、Java、XML、デプロイメント記述子を理解し、サーバログおよび監査ログでセキュリティイベントを特定できます。

このマニュアルのガイド

このマニュアルの構成は次のとおりです。

「WebLogic Security サービスの概要」では、WebLogic Security サービスを紹介し、対象読者、主な機能、およびこのリリースでの変更点などについて説明します。
「セキュリティの基礎概念」では、BEA WebLogic Server^TM のセキュリティに関係するセキュリティ概念について説明します。監査、認証、認可、セキュアソケットレイヤ (SSL)、ファイアウォール、J2EE と WebLogic セキュリティの関係などを取り上げます。
「セキュリティレルム」では、WebLogic リソースを保護するために使用するセキュリティレルムについて説明します。
「WebLogic Security サービスのアーキテクチャ」では、WebLogic Server Security のアーキテクチャについて説明します。製品の一部として含まれている WebLogic Security フレームワーク、セキュリティサービスプロバイダインタフェース (SSPI)、および WebLogic セキュリティプロバイダについて解説します。
「用語」では、WebLogic Server セキュリティに関するマニュアルに記載されている主な用語の定義を示します。

セキュリティのサンプルとチュートリアル

「関連情報」に示したドキュメントの他にも、さまざまなコードサンプルが開発者向けに用意されています。

WebLogic Server 配布キットのセキュリティサンプル

WebLogic Server 9.0 では、任意で API サンプルコードが WL_HOME\samples\server\examples\src\examples\security にインストールされます。WL_HOME は WebLogic Server インストール先の最上位ディレクトリを示します。[スタート] メニューの [WebLogic Server Examples] から、サンプルサーバを起動し、サンプルとその実行手順に関する情報を確認できます。

WebLogic のセキュリティ機能については、次のサンプルを参照してください。

Java 認証および認可サービス
発信および双方向 SSL

ダウンロード可能な他のサンプル

http://www.beasys.co.jp/dev2dev/index.html で、API サンプルをダウンロードできます。それらのサンプルは .zip ファイルとして配布されており、既存の WebLogic Server サンプルディレクトリ構造に解凍することができます。

ダウンロードしたサンプルは、インストール済みの WebLogic Server サンプルと同じ方法でビルドおよび実行します。詳細については、各サンプルのダウンロードページを参照してください。