|
|
以下の各節では、WebLogic Security サービスとその特徴を紹介します。
セキュリティのデプロイメント、管理、および保守は、Web を使用する顧客に対して新しいさまざまなサービスを提供している IT (情報技術) 企業にとって大きな課題です。IT 企業は、Web ベースのユーザに世界規模のネットワークを提供できるよう、システムとそのデータの機密性、整合性、および可用性の保持という基本的な問題に取り組まなければなりません。セキュリティに対する取り組みは、ネットワーク自体から個々のクライアント マシンに至るまで、システムのすべてのコンポーネントに関係します。インフラストラクチャ全体のセキュリティの実現は、確立されたセキュリティ ポリシーと周知徹底された手順に加え、不断の警戒が要求される大変な作業です。
WebLogic Server には、Web を介して使用できるアプリケーション用にユニークでセキュアな基盤を提供するセキュリティ アーキテクチャが含まれています。企業は、WebLogic Server の新しいセキュリティ機能を利用することで、Web 上で使用できるアプリケーションの作成というセキュリティ課題に対処できるように設計された、包括的で柔軟性の高いセキュリティ インフラストラクチャのメリットを得ることができます。WebLogic セキュリティは、WebLogic Server アプリケーションを保護するためにスタンドアロンで使用することも、最高レベルのセキュリティ管理ソリューションを表す企業全体のセキュリティ管理システムの一部として使用することもできます。
WebLogic Server のセキュリティ アーキテクチャはオープンで柔軟性が高いため、すべてのレベルのユーザが利点を生かすことができ、アプリケーション サーバに対して高度なセキュリティ設計を導入できます。アプリケーション サーバのユニークなセキュリティ ソリューション、および明確なセキュリティ ポリシーと文書で確立された手順を有している企業であれば、サーバとそのデータの機密性、整合性、および可用性を確保できます。
WebLogic Security サービスの主な特長は、以下のとおりです。
WebLogic Security サービスのコンポーネントおよびサービスでは、エンド ユーザと管理者による使いやすさと管理しやすさ、およびアプリケーション開発者とセキュリティ開発者によるカスタマイズしやすさの両立が求められます。以下の節で、いくつか例を示します。
使いやすさ : セキュアな WebLogic Server 環境では、エンド ユーザに対して、ユーザ認証用のシングル サインオン (ユーザ ID の確認) のみを要求します。ユーザは、アプリケーションのリソースを含む WebLogic Server ドメイン内では再認証の必要はありません。シングル サインオンを利用すれば、ユーザはセッションごとに 1 回だけドメインにログオンすればよくなり、各リソースやアプリケーションにアクセスしようとするたびに個別にログオンを要求されることはなくなります。
開発者や管理者に対しては、新しくドメイン コンフィグレーション ウィザードが用意されています。ドメイン コンフィグレーション ウィザードは、管理サーバ、管理対象サーバ、および必要に応じてクラスタを含む新しいドメインの作成と、個々のサーバを追加することによる既存のドメインの拡張を支援します。ドメイン コンフィグレーション ウィザードは、config.xml ファイルと新しいドメインに追加するよう選択したサーバの起動スクリプトも自動的に生成します。
管理しやすさ : WebLogic Server 環境でアプリケーションをコンフィグレーションおよびデプロイする管理者は、製品に付属している WebLogic セキュリティ プロバイダを使用できます。これらのデフォルトのプロバイダは、そのままの状態で、必要なすべてのセキュリティ機能をサポートしています。管理者は、WebLogic Server に用意されているセキュリティ ストア (特殊用途の組み込み LDAP ディレクトリ サーバ) にセキュリティ データを保存したり、外部 LDAP サーバ、データベース、またはユーザ ソースを使用したりできます。WebLogic Server のセキュリティのコンフィグレーションと管理を簡素化するために、堅牢なデフォルトのセキュリティ コンフィグレーションが用意されています。
カスタマイズしやすさ : アプリケーション開発者に対しては、WebLogic セキュリティ API と、JAAS、JSS、JCE、JACC などの J2EE セキュリティ標準がサポートされています。これらの API と標準を使用して、WebLogic Server に接続するアプリケーションに対して、きめ細かい、カスタマイズされたセキュリティ環境を作成できます。
セキュリティ開発者は、セキュリティ サービス プロバイダ インタフェース (SSPI) を使用して、WebLogic Server 環境向けのカスタム セキュリティ プロバイダを開発できます。
この節では、WebLogic Server のこのリリースで追加された機能について説明します。
WebLogic Server バージョン 9.2 には、以下に示すバルク アクセス バージョンの認可プロバイダ、裁決プロバイダ、およびロール マッピング プロバイダの SSPI インタフェースが含まれています。
バルク アクセス SSPI インタフェースを使用すると、認可、裁決、およびロール マッピング プロバイダにおいて、1 回の呼び出しで複数の判定リクエストを取得できます。これまでのように、たとえば「for」ループで複数の呼び出しを実行する必要はありません。バルク SSPI バリアントの目的は、プロバイダ実装において内部的なパフォーマンスの最適化を利用できるようにすることです。たとえば、渡された Resource オブジェクトの多くが同じポリシーで保護されていることを検出することで、それらの判定結果が同じになると推測することが可能になります。
詳細については、『WebLogic セキュリティ プロバイダの開発』の「バルク認可プロバイダ」、「バルク裁決プロバイダ」、および「バルク ロール マッピング プロバイダ」を参照してください。
WebLogic Server には、JMX (MBean) デフォルト ポリシーおよび WebService アノテーションのポリシー コンシューマと、WebService アノテーションのロール コンシューマが実装されています。このリリースの WebLogic Server に含まれている SSPI を使用すると、認可プロバイダおよびロール マッピング プロバイダでポリシーおよびロールのコレクションを取得できます。
PolicyConsumer および RoleConsumer SSPI は省略可能です。ポリシーまたはロールのコレクションを消費するためには、この SSPI を実装する認可プロバイダおよびロール マッピング プロバイダのみが呼び出されます。
SSPI では、初期のポリシー コレクションおよびロール コレクションの配信と、更新後のポリシー コレクションおよびロール コレクションの配信の両方がサポートされます。
認可プロバイダをカスタマイズしてポリシー コレクションの配信をサポートするには、以下の 3 つのインタフェースを実装する必要があります。
カスタム ロール マッピング プロバイダでロール コレクションの配信をサポートするには、以下の 3 つのインタフェースを実装する必要があります。
詳細については、『WebLogic セキュリティ プロバイダの開発』の「ポリシー コンシューマ SSPI」および「ロール コンシューマ SSPI」を参照してください。
WebLogic Server バージョン 9.2 には、新しい PolicyStoreMBean MBean (weblogic.management.security.authorization.PolicyStoreMBean) のサポートが追加されています。この MBean は、管理者が生成した XACML ポリシーおよびポリシー セットの標準的な管理操作 (追加、削除、取得、リスト表示、変更、読み込み) に使用します。認可プロバイダ MBean やロール マッピング プロバイダ MBean には、必要に応じてこの MBean インタフェースを実装できます。
セキュリティ管理者は、PolicyStoreMBean のメソッドを使用して、サーバ内のポリシーを XACML ドキュメントとして管理できます。たとえば、デフォルトの XACML プロバイダを使用するドメインを作成および管理したり、作成済みの XACML ドキュメントを管理したりできます。これらの XACML ポリシーは、WebLogic Server では WLST を使用して管理できます。
WebLogic Server にはこの MBean の実装が含まれており、付属の XACML プロバイダで使用できます。また、この MBean の独自の実装を記述して、カスタムの認可プロバイダやロール マッピング プロバイダで使用することも可能です。
詳細については、『WebLogic セキュリティ プロバイダの開発』の「ポリシー コンシューマ SSPI」および「ロール コンシューマ SSPI」を参照してください。
  
|
