10 WebLogic Serverでの認証プロバイダの構成について
この章の内容は次のとおりです。
認証プロバイダの選択
-
WebLogic認証プロバイダ(DefaultAuthenticatorとも呼ばれます)。このプロバイダでは、WebLogic Serverの組込みLDAPサーバー内のユーザーおよびグループ情報にアクセスします。
-
Oracle Internet Directory認証プロバイダは、LDAPバージョン3ディレクトリであるOracle Internet Directory内のユーザーおよびグループ情報にアクセスします。
-
Oracle Virtual Directory認証プロバイダは、LDAPバージョン3対応のサービスであるOracle Virtual Directory内のユーザーおよびグループ情報にアクセスします。
-
LDAP認証プロバイダでは、外部のLDAPストアにアクセスします。LDAP認証プロバイダを使用すると、任意のLDAPサーバーにアクセスできます。WebLogic Serverには、Open LDAP、Oracle Directory Server Enterprise Edition (ODSEE)、Microsoft Active DirectoryおよびNovell NDS LDAPサーバー用のLDAP認証プロバイダがすでに構成されています。
-
RDBMS認証プロバイダでは、外部リレーショナル・データベースにアクセスします。WebLogic Serverには、SQL認証プロバイダ、読取り専用SQL認証プロバイダ、カスタムRDBMS認証プロバイダという3種類のRDBMS認証プロバイダが用意されています。
-
WebLogic IDアサーション・プロバイダは、X.509およびIIOP-CSIv2トークンを検証します。必要に応じてユーザー名マッパーを使用して、そのトークンをWebLogic Serverセキュリティ・レルム内のユーザーにマップできます。
-
SAML認証プロバイダ - Security Assertion Markup Language 1.1 (SAML)アサーションに基づいてユーザーを認証します。
-
ネゴシエーションIDアサーション・プロバイダ - Simple and Protected Negotiate (SPNEGO)トークンを使用して、Kerberosトークンを取得および検証し、WebLogicユーザーにマップします。
-
SAML IDアサーション・プロバイダは、SAMLセキュリティ・アサーションのコンシューマとして機能します。これによってWebLogic ServerがSAML宛先サイトとして機能し、シングル・サインオンでのSAMLの使用をサポートするようになります。
-
Oracle Identity Cloud Integratorプロバイダは、Oracle Identity Cloud Serviceと統合できます。Oracle Identity Cloud Integratorプロバイダは、単一のプロバイダで認証とIDアサーションを組み合せます。ユーザー名とパスワードまたはOracle Identity Cloud Serviceアイデンティティ・トークンを使用して認証できます。
また、以下のプロバイダを使用することもできます。
-
カスタム(非WebLogic)認証プロバイダ。このプロバイダは、さまざまなタイプの認証技術を備えています。
-
カスタム(非WebLogic) IDアサーション・プロバイダ。このプロバイダは、さまざまなタイプのトークンをサポートしています。
複数の認証プロバイダの使用
複数の認証プロバイダを構成する方法は、認証プロセスの全体的な結果に影響することがあります。認証プロバイダ間にログインの依存関係を設定し、プロバイダ間のシングル・サインオンを可能にするには、各認証プロバイダのJAAS制御フラグを構成します。「JAAS制御フラグ・オプションの設定」を参照してください。
認証プロバイダは、セキュリティ・レルムで構成された順序で呼び出されます。したがって、認証プロバイダを構成する際は注意してください。WebLogic Server管理コンソールを使用すると、構成済の認証プロバイダの順序を再設定して、それらが呼び出される順序を変更できます。「認証プロバイダの順序の変更」を参照してください。
JAAS制御フラグ・オプションの設定
複数の認証プロバイダを構成する場合、各認証プロバイダのJAAS制御フラグを使用して、ログイン・シーケンスにおける認証プロバイダの使用方法を制御します。JAAS制御フラグはWebLogic Server管理コンソールで設定できます。Oracle WebLogic Server管理コンソール・オンライン・ヘルプのJAAS制御フラグの設定に関する項を参照してください。また、WebLogic Scripting ToolまたはJava Management Extensions (JMX) APIを使用して、認証プロバイダのJAAS制御フラグを設定することもできます。
JAAS制御フラグには以下の値があります。
-
REQUIRED - 認証プロバイダは常に呼び出され、ユーザーは認証テストを通過する必要があります。ただし、認証が成功しても失敗しても、認証はプロバイダのリストの下方に進みます。
-
REQUISITE - 認証プロバイダは常に呼び出され、ユーザーは認証テストを通過する必要があります。
-
認証が成功した場合、後続のプロバイダは実行されますが、(REQUIREDの認証プロバイダを除き)失敗してもかまいません。
-
認証が失敗すると、制御は呼出し元に戻り、リスト下方の後続の認証プロバイダは実行されません。
-
-
SUFFICIENT - ユーザーはこの認証プロバイダの認証テストを通過する必要はありません。
-
認証が成功すると、制御は呼出し元に戻り、リスト下方の後続の認証プロバイダは実行されません。
-
認証が失敗した場合、認証はプロバイダのリストの下方に進みます。
リスト内のREQUIREDまたはREQUISITEの認証プロバイダは、独自の認証テストを通過する必要があります。REQUIREDまたはREQUISITEの認証プロバイダがリストに存在しない場合は、少なくとも1つのOPTIONALまたはSUFFICIENTの認証プロバイダの認証テストを通過する必要があります。
-
-
OPTIONAL - ユーザーはこの認証プロバイダの認証テストを通過する必要はありません。認証が成功しても失敗しても、認証はプロバイダのリストの下方に進みます。
レルムで構成されたREQUIREDおよびREQUISITEのすべての認証プロバイダで認証が成功した場合にかぎり、ユーザー全体の認証が成功します。次の点にも注意してください。
-
SUFFICIENTの認証プロバイダを構成し、その認証に成功する場合、全体の認証を成功させるには、そのSUFFICIENTの認証プロバイダより前にあるREQUIREDおよびREQUISITEの認証プロバイダのみが認証に成功する必要があります。
-
セキュリティ・レルムにREQUIREDまたはREQUISITEの認証プロバイダが構成されていない場合は、少なくとも1つのSUFFICIENTまたはOPTIONALの認証プロバイダが成功する必要があります。
既存のセキュリティ・レルムにさらに認証プロバイダを追加する場合、「制御フラグ」はデフォルトで「OPTIONAL」に設定されます。必要に応じて、各認証プロバイダが認証シーケンス内で適切に機能するように、「制御フラグ」の設定と認証プロバイダの順序を変更してください。
ノート:
起動プロセスの一部として、WebLogic Serverは、セキュリティ・レルムで構成されているすべてのセキュリティ・プロバイダ(JAASの「制御フラグ」が「OPTIONAL」に設定されている認証プロバイダを含む)を初期化できる必要があります。セキュリティ・プロバイダの初期化処理が完了できないと、WebLogic Serverで起動に失敗し、次のようなエラー・メッセージが生成されます。
<BEA-090870> <The realm "myrealm" failed to be loaded:
認証プロバイダの順序の変更
WebLogic Serverが複数の認証プロバイダを呼び出す順序は、認証プロセスの全体的な結果に影響します。「認証プロバイダ」表には、呼び出される順序で認証プロバイダが表示されます。デフォルトでは、認証プロバイダは構成された順序で呼び出されます。WebLogic Server管理コンソールを使用すると、認証プロバイダの順序を変更できます。認証プロバイダがWebLogic Serverによって呼び出される順序と管理コンソールに表示される順序を変更するには、WebLogic Server管理コンソールの「セキュリティ・レルム」→「レルム名」→「プロバイダ」→「認証」ページの「並替え」ボタンを選択します。
Oracle WebLogic Server管理コンソール・オンライン・ヘルプの認証プロバイダの順番の変更に関する項を参照してください。