WebLogic Server のセキュリティ

概要とロードマップ

以下の節では、このマニュアル『WebLogic Server のセキュリティ』の内容と構成について説明します。

マニュアルの内容

このマニュアルでは、セキュリティプロバイダ、ID と信頼、SSL、互換性セキュリティなど、WebLogic Server® のセキュリティをコンフィグレーションする方法について説明します。WebLogic のセキュリティに関するその他のドキュメントについては、「関連情報」を参照してください。

対象読者

このマニュアルは、以下の読者を対象としています。

アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティアーキテクチャを設計するだけでなく、WebLogic Server のセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティシステムや最先端のセキュリティ技術とツールだけでなく、Java プログラミング、Java セキュリティ、およびネットワークセキュリティにも精通しています。
セキュリティ開発者 - WebLogic Server に統合されるセキュリティ製品のシステムアーキテクチャとインフラストラクチャの定義と、WebLogic Server で使用するカスタムセキュリティプロバイダの開発を主な業務とする開発者のことです。アプリケーション設計者と連携して、セキュリティアーキテクチャを設計に従って実装し、セキュリティホールが発生しないようにします。また、セキュリティが正しくコンフィグレーションされるようにサーバ管理者とも連携します。セキュリティ開発者は、認証、認可、監査 (AAA)、Java Management eXtension (JMX) などの Java に対する深い知識、および WebLogic Server とセキュリティプロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - クライアントアプリケーションの開発、Web アプリケーションおよびエンタープライズ JavaBean (EJB) へのセキュリティ機能の付加、および他のエンジニアリングチーム、品質保証 (QA) チーム、データベースチームとの連携によるセキュリティ機能の実装などを主な業務とする Java プログラマのことです。アプリケーション開発者は、Java (サーブレット、JSP、JSEE などの J2EE コンポーネントを含む) と Java セキュリティについての実用的かつ深い知識を備えています。
サーバ管理者 - アプリケーション設計者と密接に連携しながら、サーバおよびサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティリスクの特定、およびセキュリティ上の問題を防止するコンフィグレーションの提案を行います。関連する責務として、重要なプロダクションシステムの保守、セキュリティレルムのコンフィグレーションと管理、サーバリソースとアプリケーションリソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティプロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、Web サービス、Web アプリケーションと EJB のセキュリティ、公開鍵セキュリティ、SSL、SAML (Security Assertion Markup Language) を含む Java セキュリティアーキテクチャに関する深い知識を備えています。
アプリケーション管理者 - サーバ管理者と共同でセキュリティコンフィグレーション、認証および認可方式を実装および管理したり、定義されたセキュリティレルムでデプロイされたアプリケーションリソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティアーキテクチャの一般的な知識を持っています。アプリケーション管理者は、Java、XML、デプロイメント記述子を理解し、サーバログおよび監査ログでセキュリティイベントを特定できます。

このマニュアルのガイド

このマニュアルの構成は次のとおりです。

「セキュリティ管理の概要」では、WebLogic Server のデフォルトセキュリティコンフィグレーション、セキュリティのコンフィグレーション手順、および互換性セキュリティについて説明します。
「デフォルトセキュリティコンフィグレーションのカスタマイズ」では、いつデフォルトのセキュリティコンフィグレーションをカスタマイズするか、新しいセキュリティレルムのコンフィグレーション要件、およびセキュリティレルムをデフォルトセキュリティレルムとして設定する方法について説明します。
「WebLogic セキュリティプロバイダのコンフィグレーション」では、WebLogic Server のセキュリティプロバイダのコンフィグレーションオプションと、カスタムセキュリティプロバイダをコンフィグレーションする方法について説明します。
「認証プロバイダのコンフィグレーション」では、WebLogic Server の認証プロバイダについて説明します (コンフィグレーションする方法を含む)。
「Microsoft のクライアントに対するシングルサインオンのコンフィグレーション」では、SPNEGO (Simple and Protected Negotiate) メカニズムに基づいた Windows 認証を使用して、WebLogic Server ドメインと Microsoft ドメインの .NET Web サービスクライアントまたはブラウザクライアント (Internet Explorer など) の間の認証をコンフィグレーションする方法について説明します。
「Web ブラウザと HTTP クライアントによるシングルサインオンのコンフィグレーション」では、Security Assertion Markup Language (SAML) に基づいた認証を使用して、WebLogic Server ドメインと Web ブラウザまたは他の HTTP クライアントの間の認証をコンフィグレーションする方法について説明します。
「セキュリティデータの移行」では、セキュリティレルムとセキュリティプロバイダの間でセキュリティデータをエクスポートおよびインポートする方法について説明します。
「組み込み LDAP サーバの管理」では、WebLogic セキュリティプロバイダによって使用される組み込み LDAP サーバに関連する管理タスクについて説明します。
「ID と信頼のコンフィグレーション」では、WebLogic Server の ID と信頼をコンフィグレーションする方法について説明します。
「SSL のコンフィグレーション」では、WebLogic Server の SSL をコンフィグレーションする方法について説明します。
「WebLogic ドメインのセキュリティのコンフィグレーション」では、WebLogic ドメインのセキュリティコンフィグレーションオプションを設定する方法について説明します。
「互換性セキュリティの使い方」では、WebLogic Server 6.x で開発されたセキュリティレルムとの下位互換性を保持するためのセキュリティコンフィグレーションモードである互換性セキュリティの使い方について説明します。
「セキュリティコンフィグレーション MBean」では、どの WebLogic Security MBean と MBean 属性が動的である (サーバの再起動なしで変更できる) か、または動的でない (サーバを再起動しないと変更できない) かについて説明します。

セキュリティのサンプルとチュートリアル

「関連情報」に示したドキュメントの他にも、さまざまなコードサンプルが開発者向けに用意されています。

WebLogic Server 配布キットのセキュリティサンプル

WebLogic Server では、任意で API サンプルコードが WL_HOME\samples\server\examples\src\examples\security にインストールされます。WL_HOME は WebLogic Server インストール先の最上位ディレクトリを示します。[スタート] メニューの [WebLogic Server Examples] から、サンプルサーバを起動し、サンプルとその実行手順に関する情報を確認できます。

WebLogic のセキュリティ機能については、次のサンプルを参照してください。

Java Authentication and Authorization Service
発信および双方向 SSL

ダウンロード可能な他のサンプル

http://www.beasys.co.jp/dev2dev/index.html で、API サンプルをダウンロードできます。それらのサンプルは .zip ファイルとして配布されており、既存の WebLogic Server サンプルディレクトリ構造に解凍することができます。

ダウンロードしたサンプルは、インストール済みの WebLogic Server サンプルと同じ方法でビルドおよび実行します。詳細については、各サンプルのダウンロードページを参照してください。

このリリースでのセキュリティの新機能と変更点

WebLogic Server 9.1 では、WebLogic Server セキュリティに対していくつかの重要な変更が加えられています。

新しい XACML セキュリティプロバイダ

WebLogic Server では、XACML 認可プロバイダと XACML ロールマッピングプロバイダという 2 つの新しいセキュリティプロバイダが用意されています。これまでのリリースの WebLogic Server では、独自のセキュリティポリシー言語に基づいた認可プロバイダとロールマッピングプロバイダを使用していました。これらの新しい XACML セキュリティプロバイダは、OASIS の eXtensible Access Control Markup Language (XACML) 2.0 標準をサポートしています。これらのプロバイダでは、標準の XACML 2.0 関数、属性、およびスキーマ要素をすべて使用して表現されたポリシーをインポート、エクスポート、永続化、および実行することができます。

WebLogic Server 9.1 で作成された WebLogic ドメインには、デフォルトで新しい XACML プロバイダが含まれています。新しい XACML プロバイダは、WebLogic 認可プロバイダ (DefaultAuthorizer) および WebLogic ロールマッピングプロバイダ (DefaultRoleMapper) で作成されるポリシーおよびロールとの完全な互換性を備えています。既存の WebLogic ドメインを WebLogic Server 9.1 にアップグレードすると、サードパーティパートナのプロバイダや、元の WebLogic 認可プロバイダ、ロールマッピングプロバイダなど、現在指定されている認可プロバイダとロールマッピングプロバイダが引き続き使用されます。必要に応じて、WebLogic Server 独自のプロバイダではなく、XACML プロバイダを使用するように既存のドメインを移行できます。この移行処理の一部として、既存ポリシーのバルクインポートを実行できます。

詳細については、Administration Console オンラインヘルプの「認可プロバイダのコンフィグレーション」および「ロールマッピングプロバイダのコンフィグレーション」を参照してください。

SAML のコンフィグレーション

SAML アサーションの生成と消費のコンフィグレーションが変更されています。WebLogic Server 9.1 には、SAML 資格マッピングプロバイダ V2 と SAML ID アサーションプロバイダ V2 という、SAML セキュリティプロバイダの新しい 2 つのバージョンがあります。WebLogic Server 9.0 では SAML ソースサイトのコンフィグレーションは SAML 資格マッピングプロバイダに集約され、SAML 送り先サイトのコンフィグレーションは SAML ID アサーションプロバイダに集約されていましたが、WebLogic Server 9.1 では SAML ソースサイトおよび送り先サイトのコンフィグレーションは FederationServicesMBean で発生します。新しい SAML セキュリティプロバイダでは、SAML アサーティングパーティおよびリライイングパーティのコンフィグレーションが拡張されています。

SAML 資格マッピングプロバイダ V1 および SAML ID アサーションプロバイダ V1 は非推奨になっています。SAML 資格マッピングプロバイダおよび SAML ID アサーションプロバイダは、V2 バージョンのものを使用してください。プロバイダのバージョン番号は V2 に上がりましたが、新しい SAML セキュリティプロバイダでは、V1 プロバイダと同じく、SAML 1.1 標準が実装されています。

詳細については、「Web ブラウザと HTTP クライアントによるシングルサインオンのコンフィグレーション」、および『リリースノート』の「WebLogic Server 9.1 の新機能」にある「拡張 SAML」を参照してください。

注意 : WebLogic Server のバージョン 9.0 で提供された機能が不明な場合は、『リリースノート』の「WebLogic Server 9.0 の新機能」を参照してください。