概要とロードマップ

以下の節では、『プロダクション環境の保護』の内容と構成について説明します。

マニュアルの内容と対象読者

このガイドでは、WebLogic Server^® のプロダクション環境を保護する方法について説明します。

アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティアーキテクチャを設計するだけでなく、WebLogic Server のセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティシステムや最先端のセキュリティ技術とツールだけでなく、Java プログラミング、Java セキュリティ、およびネットワークセキュリティにも精通しています。
セキュリティ開発者 - WebLogic Server に統合されるセキュリティ製品のシステムアーキテクチャとインフラストラクチャの定義と、WebLogic Server で使用するカスタムセキュリティプロバイダの開発を主な業務とする開発者のことです。セキュリティ開発者は、認証、認可、監査 (AAA)、Java Management eXtension (JMX) などの Java に対する深い知識、および WebLogic Server とセキュリティプロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。
アプリケーション開発者 - Web アプリケーションとエンタープライズ JavaBean (EJB) の開発およびセキュリティ機能の付加、さらに他のエンジニアリングチーム、品質保証 (QA) チーム、データベースチームとの連携によるセキュリティ機能の実装を行う Java プログラマのことです。アプリケーション開発者は、Java (サーブレット、JSP、JSEE などの J2EE コンポーネントを含む) と Java セキュリティについての実用的かつ深い知識を備えています。
サーバ管理者 - アプリケーション設計者と密接に連携しながら、サーバやサーバ上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティリスクの特定、およびセキュリティ上の問題を防止するコンフィグレーションの提案を行います。関連する責務として、重要なプロダクションシステムの保守、セキュリティレルムのコンフィグレーションと管理、サーバリソースとアプリケーションリソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティプロバイダのデータベースの保守などが含まれる場合もあります。サーバ管理者は、Web サービス、Web アプリケーションと EJB のセキュリティ、公開鍵セキュリティ、SSL、SAML (Security Assertion Markup Language) を含む Java セキュリティアーキテクチャに関する深い知識を備えています。
アプリケーション管理者 - サーバ管理者と共同でセキュリティコンフィグレーション、認証および認可方式を実装および管理したり、定義されたセキュリティレルムでデプロイされたアプリケーションリソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念や Java セキュリティアーキテクチャの一般的な知識を持っています。また、Java、XML、デプロイメント記述子を理解し、サーバログおよび監査ログでセキュリティイベントを特定できます。

このマニュアルの手引き

この章「概要とロードマップ」。このマニュアルの構成を紹介します。
「セキュリティニーズの決定」。特定の環境に対するセキュリティニーズの決定方法、およびそのニーズを確実に満たすための基本的な基準について説明します。
「プロダクション環境のセキュリティの確保」。プロダクション環境に WebLogic Server をデプロイする前に必要なセキュリティの基準に焦点をあて、さまざまなセキュリティ設定を使用してプロダクション環境を保護する方法について説明します。

関連情報

以下の BEA WebLogic Server ドキュメントには、WebLogic Security サービスに関する情報が記載されています。

『WebLogic Server のセキュリティ』。WebLogic Server のセキュリティのコンフィグレーション方法と互換性セキュリティの使用方法について説明します。
『WebLogic セキュリティプロバイダの開発』。WebLogic Server とともに使用できるカスタムセキュリティプロバイダをベンダやアプリケーション開発者が開発する方法について説明します。
『WebLogic Security について』。WebLogic Security サービスの機能やアーキテクチャの概要について説明します。このマニュアルは WebLogic Security サービスを理解する上で基本となるものです。
『ロールおよびポリシーによる WebLogic リソースの保護』。WebLogic リソースを保護する方法について説明します。主に URL (Web) リソースおよびエンタープライズ JavaBean (EJB) リソースの保護に焦点をあてています。
『WebLogic のアプリケーション環境のアップグレード』。6.x や以前のバージョンの WebLogic Server から WebLogic Server 9.x にアップグレードする際に必要な手順と情報を提供します。また、6.x または以前のバージョンの WebLogic Server から 9.x にアプリケーションを移行するための情報も記載されています。WebLogic Server セキュリティのアップグレードの詳細については、『WebLogic のアプリケーション環境のアップグレード』の「セキュリティプロバイダのアップグレード」を参照してください。
WebLogic クラスの Javadoc - このリリースの WebLogic Server で提供され、サポートされている WebLogic セキュリティパッケージのリファレンスドキュメントです。

セキュリティのサンプルとチュートリアル

セキュリティ開発者向けに、Java Authentication and Authorization Service 用、および発信 SSL と双方向 SSL 用のコードサンプルが用意されています。これらのサンプルとチュートリアルは WebLogic Server セキュリティの動作を例示し、主要なセキュリティ開発タスクを実行する実際的な手順を示します。

独自のセキュリティコンフィグレーションを開発する前に、まずセキュリティサンプルの一部またはすべてを実行することをお勧めします。

Avitek Medical Records アプリケーション (MedRec) とチュートリアル

MedRec は WebLogic Server に付属したエンドツーエンドのサンプル J2EE アプリケーションであり、一元的で独立した医療記録管理システムをシミュレートします。MedRec アプリケーションは、患者、医師、および管理者に対して、さまざまなクライアントを使用して患者のデータを管理するためのフレームワークを提供します。

MedRec では WebLogic Server と J2EE の機能が例示され、BEA 推奨のベストプラクティスが重要点として示されます。MedRec は WebLogic Server 配布キットに含まれており、Windows マシンの [スタート] メニューからアクセスできます。Linux などのプラットフォームでは、WL_HOME\samples\domains\medrec ディレクトリから MedRec を起動します。WL_HOME は、WebLogic Platform の最上位のインストールディレクトリです。

MedRec には、Web アプリケーション、Web サービス、ワークフローアプリケーション、および将来のクライアントアプリケーションからのリクエストを共同で処理する複数のエンタープライズ Java Bean (EJB) で主に構成されるサービス層があります。このアプリケーションには、メッセージ駆動型 EJB、ステートレスセッション EJB、ステートフルセッション EJB、およびエンティティ EJB があります。

WebLogic Server 配布キットのセキュリティサンプル

WebLogic Server 9.2 では、必要に応じて API サンプルコードを WL_HOME\samples\server\examples\src\examples にインストールできます。WL_HOME は WebLogic Server の最上位のインストールディレクトリを示します。[スタート] メニューの [WebLogic Server Examples] から、サンプルサーバを起動すると、サンプルおよびその実行手順に関する情報を確認できます。

ダウンロード可能な他のセキュリティサンプル

http://www.beasys.co.jp/dev2dev/code/index.html で、他の API サンプルをダウンロードできます。これらのサンプルは .zip ファイルとして配布されており、既存の WebLogic Server サンプルディレクトリ構造に解凍することができます。

ダウンロードしたサンプルは、インストール済みの WebLogic Server サンプルと同じ方法でビルドおよび実行します。詳細については、http://www.beasys.co.jp/dev2dev/code/index.html の各サンプルのダウンロードページを参照してください。

プロダクション環境の保護