1. Oracle WebLogic Serverのセキュリティの理解
  2. はじめに

はじめに

このドキュメントでは、Oracle WebLogic Server 14.1.1.0.0のWebLogicセキュリティ・サービスの基礎概念を紹介および説明します。

対象読者

このドキュメントは、以下の読者を対象としています。

  • アプリケーション設計者 - セキュリティの目標を設定し、組織の全体的なセキュリティ・アーキテクチャを設計するだけでなく、WebLogic Serverのセキュリティ機能を評価して最適な実装方法を判断する設計者のことです。アプリケーション設計者は、セキュリティ・システムや最先端のセキュリティ技術とツールだけでなく、Javaプログラミング、Javaセキュリティ、およびネットワーク・セキュリティにも精通しています。

  • セキュリティ開発者 - WebLogic Serverに統合するセキュリティ製品のためのシステム・アーキテクチャおよびインフラストラクチャの定義と、WebLogic Serverとともに使用するカスタム・セキュリティ・プロバイダの開発を担当する開発者です。アプリケーション設計者と連携して、セキュリティ・アーキテクチャを確実に設計に従って、セキュリティ・ホールが発生しないように実装します。また、セキュリティが確実に正しく構成されるよう、サーバー管理者とも連携します。セキュリティ開発者は、認証、認可、監査(AAA)、Java Management eXtension (JMX)などのJavaに対する深い知識、およびWebLogic Serverとセキュリティ・プロバイダの機能に対する実践的な知識をはじめとしたセキュリティ概念をしっかりと理解しています。

  • アプリケーション開発者 - クライアント・アプリケーションの開発、WebアプリケーションおよびEnterprise JavaBeans (EJB)へのセキュリティ機能の付加、および他のエンジニアリング・チーム、品質保証(QA)チーム、データベース・チームとの連携によるセキュリティ機能の実装などを主な業務とするJavaプログラマのことです。アプリケーション開発者は、Java (サーブレットやJSPなどのJava Platform, Enterprise Edition (Java EE)バージョン8コンポーネントとJSEE)、およびJavaセキュリティについて実用的かつ深い知識を備えています。

  • サーバー管理者 - アプリケーション設計者と密接に連携しながら、サーバーおよびサーバー上で動作するアプリケーションのセキュリティ方式の設計、潜在的なセキュリティ・リスクの特定、およびセキュリティ上の問題を防止する構成の提案を行います。関連する責務として、重要な本番システムの保守、セキュリティ・レルムの構成と管理、サーバー・リソースとアプリケーション・リソースへの認証および認可方式の実装、セキュリティ機能のアップグレード、およびセキュリティ・プロバイダのデータベースの保守などが含まれる場合もあります。サーバー管理者は、Webサービス、WebアプリケーションとEJBのセキュリティ、公開キー・セキュリティ、SSL、SAML (Security Assertion Markup Language)を含むJavaセキュリティ・アーキテクチャに関する深い知識を備えています。

  • アプリケーション管理者 - サーバー管理者と共同でセキュリティ構成や、認証および認可方式を実装および管理したり、定義されたセキュリティ・レルムでデプロイされたアプリケーション・リソースへのアクセスを設定および管理したりします。アプリケーション管理者は、セキュリティの概念やJavaセキュリティ・アーキテクチャの一般的な知識を備えています。また、Java、XML、デプロイメント記述子を理解し、サーバー・ログおよび監査ログでセキュリティ・イベントを特定できます。

ドキュメントのアクセシビリティ

オラクルのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracle Supportへのアクセス

サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。http://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoを参照してください。聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。

Oracleはダイバーシティ&インクルージョンに積極的に取り組んでいます。Oracleは、ソート・リーダーシップと革新性を高める社員の多様性を尊重し、その価値を重んじています。従業員、お客様、パートナー様にポジティブな影響をもたらすインクルーシブな文化を醸成する私たちのイニシアティブの一環として、製品やドキュメントからインセンシティブな用語を取り除くように努めています。また、Oracle製品および業界標準が進化する中、お客様の既存の技術との互換性を維持する必要性およびサービスの継続性確保の要求にも留意しています。このような技術的な制限により、当社のインセンシティブな用語を削除する取組みは継続中であり、時間と皆様のご協力が必要となります。

関連情報

以下のWebLogic Serverドキュメントには、WebLogicセキュリティ・サービスに関する情報が記載されています。

セキュリティのサンプルとチュートリアル

「関連情報」に示した情報のほかにも、様々なコード・サンプルが開発者向けに用意されています。

WebLogic Server配布キットのセキュリティ・サンプル

WebLogic Serverでは、必要に応じてEXAMPLES_HOME\examples\src\examples\securityディレクトリにあるセキュリティAPIサンプル・コードをインストールできます。EXAMPLES_HOMEは、WebLogic Serverのサンプル・コードが構成されているディレクトリです。デフォルトでは、このディレクトリはORACLE_HOME\wlserver\samples\serverです。WebLogic Serverサンプル・コードの詳細は、『Oracle WebLogic Serverの理解』サンプル・アプリケーションおよびサンプル・コードに関する項を参照してください。

WebLogicのセキュリティ機能については、次のサンプルを参照してください。

  • Java認証および認可サービス

  • Web SSOシナリオ用のSAML 2.0

  • 発信および双方向SSL

インストールされたWebLogic Serverには、Java EE Security API (JSR 375)で提供される組込みデータベース・アイデンティティ・ストア機能の使用方法を示すサンプルも含まれています。このサンプルは、EXAMPLES_HOME\examples\src\examples\javaee8\securityディレクトリにあります。

ダウンロード可能な他のサンプル

APIのその他のサンプルは、http://www.oracle.com/technetwork/indexes/samplecode/index.htmlでダウンロードできます。これらのサンプルは、WebLogic Serverの既存のサンプル・ディレクトリ構造に解凍できる.zipファイルで配布されます。

ダウンロード可能なサンプルの構築と実行方法は、インストールされているWebLogic Serverのサンプルと同様です。詳細は、各サンプルのダウンロード・ページを参照してください。

このリリースでのセキュリティの新機能と変更された機能

WebLogic Serverのこのリリースに追加された新機能の一覧については、「Oracle WebLogic Serverの新機能」を参照してください。

表記規則

このドキュメントでは、次のテキスト表記規則が使用されます:

規則 意味

boldface

太字体は、アクションに関連付けられたグラフィカル・ユーザー・インタフェース要素や、本文または用語集で定義されている用語を示します。

italic

イタリック体は、ブック・タイトル、強調、またはユーザーが特定の値を指定するプレースホルダー変数を示します。

monospace

等幅体は、段落内のコマンド、URL、サンプル内のコード、画面に表示されるテキスト、またはユーザーが入力するテキストを示します。