ナビゲーションをスキップ

eDocs ホーム > BEA WebLogic Server 9.1 ドキュメント > WebLogic リソースのセキュリティ > ユーザ、グループ、セキュリティ ロール

WebLogic リソースのセキュリティ

  前 次 前/次ボタンと目次ボタンとの区切り線 目次  

ユーザ、グループ、セキュリティ ロール

この章では、ユーザ、グループ、およびセキュリティ ロールの特長と機能について説明します。

 

ユーザとグループの概要

ユーザは認証可能なエンティティです。ユーザは、個人でも Java クライアントなどのソフトウェア エンティティでもかまいません。各ユーザには、セキュリティ レルム内でユニークな ID が与えられます。セキュリティ管理を効率化するには、ユーザをグループに追加することをお勧めします。グループは、通常、企業の同じ部門に所属しているなどの共通点を持つユーザの集合です。

 

デフォルト グループ

表 6-1 に、WebLogic Server で設定されたセキュリティ レルムに定義されている、グループの一覧を示します。デフォルトでは、これらのグループの 1 つにユーザを追加すると、デフォルト グローバル セキュリティ ロールの 1 つにもユーザが設定されます (「デフォルト グローバル ロール」を参照)。

表 6-1 デフォルト グループ 

グループ名

メンバシップ

Administrators

デフォルトでは、グループにはインストール プロセスの一部 (つまり、コンフィグレーション ウィザード) で入力されたユーザ情報、および system ユーザ (WebLogic Server インスタンスが互換性セキュリティを実行している場合) が含まれる。Administrators グループに割り当てられているユーザには、デフォルトで Admin セキュリティ ロールが付与されている。

ベスト プラクティス : Administrators グループへのユーザの追加」を参照。

Deployers

デフォルトでは、このグループは空。Deployers グループに割り当てられたユーザは、デフォルトでは Deployer セキュリティ ロールを与えられる。

Operators

デフォルトでは、このグループは空。Operators グループに割り当てられたユーザは、デフォルトでは Operator セキュリティ ロールを与えられる。

Monitors

デフォルトでは、このグループは空。Monitors グループに割り当てられたユーザは、デフォルトでは Monitor セキュリティ ロールを与えられる。

AppTesters

デフォルトでは、このグループは空。AppTesters グループに割り当てられたユーザは、デフォルトでは AppTester セキュリティ ロールを与えられる。

実行時グループ

実行時には、すべてのユーザが以下のグループに入ることになります。

表 6-1 のグループ (または独自に作成した他のグループ) と違い、これらのグループに対して直接ユーザの追加または削除を行うことはできません。WebLogic Server によってユーザが動的に割り当てられます。これらのグループは Administration Console の [グループ] タブには表示されず、認証データベースでもエクスポートされません。

ベスト プラクティス : Administrators グループへのユーザの追加

Administrators グループには、インストール時に (コンフィグレーション ウィザードを使用して) 定義したユーザに加えて、少なくとも 1 人のユーザを追加することをお勧めします。常に 2 人以上の管理者がいることで、セキュリティ違反が起こった場合に 1 人しかいない管理ユーザがロックアウトされるという状況を防げます。また、「system」、「admin」、「Administrator」といった予測可能なユーザ名は避けるようにします。

 

セキュリティ ロールの概要

セキュリティ ロールは、特定の条件に基いてユーザまたはグループに付与される ID です。複数のユーザまたはグループに同じセキュリティ ロールを付与することができます。また、ユーザまたはグループは複数のセキュリティ ロール内に存在できます。セキュリティ ロールは、ポリシーにおいて WebLogic リソースにアクセスできるユーザを決定するために使用されます (「セキュリティ ポリシー」を参照)。

ロールでは、セキュリティ グループと同様にユーザに ID が付与されます。ただし、セキュリティ ロールは以下の点でグループとは異なります。

 

セキュリティ ロールのタイプ : グローバル ロールとスコープ指定ロール

WebLogic Server には 2 種類のセキュリティ ロールがあります。

 

デフォルト グローバル ロール

表 6-2 に、WebLogic Server で設定されたセキュリティ レルムに定義されている、グローバル ロールの一覧を示します。この表ではさらに、デフォルト セキュリティ ポリシーによって各ロールに付与されるアクセスと、各ロールにデフォルトでどのグループが含まれるかについてもまとめます。

注意 : これらのロールは削除しないでください。デフォルト グローバル ロールは、ほとんどの種類の WebLogic リソースを保護するデフォルト セキュリティ ポリシーで使用され、MBean セキュリティ レイヤでも使用されます。Admin ロールを削除すると、実行中のドメインのコンフィグレーションをどのユーザも変更できなくなります。「MBean セキュリティ レイヤ」を参照してください。

表 6-2 デフォルト グローバル ロール、特権、および割り当てられるデフォルト グループ

グローバル ロール

デフォルト ポリシーで付与されるアクセス

デフォルトの条件に含まれるグループ

Admin

  • サーバ コンフィグレーション (一部の暗号化された属性の暗号化された値を含む) を表示する。

  • サーバ コンフィグレーション全体を変更する。

  • エンタープライズ アプリケーション、Web アプリケーション、EJB、J2EE コネクタ、および Web サービス モジュールをデプロイする。

  • サーバを起動、再起動、および停止する。

Administrators

Anonymous

すべてのユーザ (everyone グループ) にこのグローバル ロールが付与される。

注意 : このグローバル ロールは利便性のために用意されており、weblogic.xml および weblogic-ejb-jar.xml デプロイメント記述子で指定できる。「weblogic.xml Deployment Descriptor Elements」および「weblogic-ejb-jar.xml デプロイメント記述子のリファレンス」を参照。

Everyone

Deployer

  • サーバ コンフィグレーション (デプロイメント アクティビティに関連する一部の暗号化された属性を含む) を表示する。

  • 起動および停止クラス、Web アプリケーション、JDBC データ プール接続、EJB、J2EE コネクタ、Web サービス、および WebLogic Tuxedo Connector コンポーネントを変更する。必要に応じて、デプロイメント記述子を編集する。

  • J2EE 1.4 デプロイメントの実装 (JSR-88) のデプロイメント操作にアクセスする。『WebLogic Server 9.1 アプリケーションのデプロイメント』の「デプロイメントの標準」を参照。

Deployers

Operator

  • サーバ コンフィグレーション (暗号化された属性は除く) を表示する。

  • サーバを起動、再起動、および停止する。

Operators

Monitor

サーバ コンフィグレーション (暗号化された属性は除く) を表示する。

このセキュリティ ロールでは、WebLogic Server Administration Console、WLST、および MBean API への読み込み専用アクセスが効果的に提供される。

Monitors

AppTester

管理モードで動作しているアプリケーションにテスト目的でアクセスする。詳細については、『WebLogic Server 9.1 アプリケーションのデプロイメント』の「プロダクション アプリケーションを分離するための管理モード」を参照。

AppTesters

 

セキュリティ ロール条件

ロールには、実行時にセキュリティ ロールに含まれるユーザを決定するために 1 つまたは複数の条件が指定されます。もっとも基本的なロールは、たとえば「Administrator」グループのみが指定されているといった形になります。このロールは、WebLogic Security サービスによって実行時に「Administrator グループをこのロールに含める」と解釈されます。さらに複雑な条件を作成することも可能で、そうした条件を論理演算子 AND や OR (非排他的な OR) を使って組み合わせることもできます。また、どの条件も否定が可能で、それによってロールからユーザを除外できます。ユーザやグループにセキュリティ ロールが与えられるには、すべての条件が true である必要があります。ロール文の中では、制約が厳しい式ほど後に指定します。

Administration Console には、WebLogic Server ロール マッピング プロバイダに組み込まれている以下の 3 種類のロール条件が表示されます。

注意 : 以下の節では、WebLogic ロール マッピング プロバイダまたは WebLogic XACML ロール マッピング プロバイダを使用するレルムで利用できる条件について説明します。お使いのセキュリティ レルムでサードパーティ製のロール マッピング プロバイダを使用する場合は、サードパーティのドキュメントでこの機能について参照してください。

基本的なロール条件

このリリースの WebLogic Server で使用できる基本的なロール条件は以下のとおりです。

日付と時刻のロール条件

任意の日付と時刻のロール条件を使用する場合、他のいずれかのロール条件を追加してさらにユーザを制限しない限り、セキュリティ ロールでは指定した日付または時刻のアクセスをすべてのユーザに対して許可します。このリリースの WebLogic Server で使用できる日付と時刻のロール条件は以下のとおりです。

コンテキスト要素のロール条件

コンテキスト要素の条件を使用すると、HTTP サーブレット リクエスト属性、HTTP セッション属性、EJB メソッドのパラメータの値に基づいてセキュリティ ロールを作成できます。この情報は WebLogic Server によって ContextHandler オブジェクトから取得され、その値に基づいてロール条件を定義できます。こうした条件を使用する場合、使用しているコンテキストに属性またはパラメータと値のペアが確実に適用するようにするのはユーザの役目です。詳細については、『WebLogic セキュリティ プロバイダの開発』の「ContextHandler と WebLogic リソース」を参照してください。

このリリースの WebLogic Server で使用できるコンテキスト要素のロール条件は以下のとおりです。

 

Administration Console でのユーザ、グループ、ロールの管理

注意 : この節では、WebLogic 認証プロバイダおよび WebLogic ロール マッピング プロバイダまたは WebLogic XACML ロール マッピング プロバイダを使用するレルムで利用できる機能について説明します。お使いのセキュリティ レルムでサードパーティ製の認証またはロール マッピング プロバイダを使用する場合は、サードパーティのドキュメントでその機能について参照してください。

セキュリティ レルムにユーザやグループを追加する方法については、Administration Console オンライン ヘルプの「ユーザとグループの管理」を参照してください。

セキュリティ ロールの作成方法については、Administration Console オンライン ヘルプの「セキュリティ ロールの管理」を参照してください。

 

ページの先頭 前 次