2 WebLogic Serverのセキュリティ標準

Oracle WebLogic Server WebLogicセキュリティ・サービスは、Java Authentication and Authorization Service (JAAS)、Java Secure Sockets Extensions (JSSE)、Java Cryptography Extensions (JCE)、Java Authentication Service Provider Interface for Containers (JASPIC)、Java Authorization Contract for Containers (JACC)、Java EE Security API (JSR 375)などの標準のJava EEセキュリティ技術に基づいて構築されており、それらをサポートしています。

この章の内容は次のとおりです。

• サポートされるセキュリティ標準

• サポートされるFIPS標準と暗号スイート

サポートされるセキュリティ標準

WebLogic Serverでは、JAAS、JASPIC、JACC、JCE、Java EE Security API (JSR 375)など、複数のJava EEセキュリティ標準がサポートされています。

表2-1に、サポートされている標準をすべて示します。

表2-1 WebLogic Serverでのセキュリティ標準のサポート

標準	バージョン	追加の考慮事項
JAAS	JAASバージョンはJava SEバージョンによって異なります。 http://docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/tutorials/AcnOnly.htmlを参照してください。	「JAAS認可を使用するドメインの構成」を参照してください。
JASPIC	1.1	JASPICセキュリティの構成を参照してください。
JACC	1.5	JACC (Java Authorization Contract for Containers)の使用を参照してください。
Java EEアプリケーションのパッケージ化された権限	Java EE 8プラットフォーム仕様
JCE	1.4 RSA JCE: Crypto-J V6.2.4.0.1 ノート: 2021年4月のパッチ・セット更新(PSU)では、RSA JCE: Crypto-J V6.2.5のサポートが追加されています JDK 8 JCEプロバイダ(SunJCE)およびnCipher JCEもサポートされます。	WebLogic ServerでのJCEプロバイダの使用を参照してください。
JSSE	JDK 8 Java Secure Socket Extension (JSSE)に基づくデフォルトのSSL実装。 RSA JSSEもサポートされます。	次を参照してください: JSSEベースSSL実装の使用 WebLogic ServerでのRSA JSSEプロバイダの使用 ノート: JSSEはそのSSL実装でServer Name Indication(SNI)をサポートしますが、WebLogic ServerはSNIをサポートしません。
Kerberos	バージョン5	Microsoftのクライアントに対するシングル・サインオンの構成を参照してください。
LDAP	v3	次を参照してください: LDAP認証プロバイダの構成 組込みLDAPサーバーの管理
SAML	1.1, 2.0	次を参照してください: SAML 1.1サービスの構成 SAML 1.1サービスの構成 SAML 2.0サービスの構成
Security API (JSR 375)	1.0	「WebLogic ServerでのJava EE Security APIの使用」を参照してください。
SLO	SAMLによる	サービス・プロバイダでのみサポートされます。 「SAMLシングル・ログアウトの構成」を参照してください
SPNEGO	https://datatracker.ietf.org/doc/html/rfc4178によって指定されます。	Microsoftのクライアントに対するシングル・サインオンの構成を参照してください。
SSO	Microsoftクライアントによる SAMLによる	次を参照してください: Microsoftのクライアントに対するシングル・サインオンの構成 SAMLを使用したWebブラウザとHTTPクライアントによるシングル・サインオンの構成
TLS	v1.0、v1.1、v1.2、v1.3 ノート: TLS v1.0およびv1.1のサポートは非推奨です。	TLS v1.2が、WebLogic Serverで構成されているデフォルトの最小プロトコル・バージョンです。本番環境ではTLS v1.2以降を使用することをお薦めします。TLSバージョンが1.2より下位に設定されている場合、WebLogic Serverによって警告がログに記録されます。 TLS v1.0およびv1.1を使用しないことを強くお薦めします。また、基礎となるJSSEプロバイダによる特定のJDK更新で、これらのバージョンがデフォルトで無効になっている可能性があります。 WebLogic Serverは、JDK 8 Update 261 (JDK 8u261)以降およびJDK 11でのみTLS v1.3をサポートします。それより前のJDKバージョンを実行している場合は、TLS v1.3を使用できないことがあります。 バージョン固有の情報は、「SSL/TLSプロトコル・バージョンの指定」を参照してください。
カバーされていないHTTPメソッド	Servlet 3.1
X.509	v3	WebLogic Serverでは4096ビットのキーがサポートされます。(4096ビットのキーは操作によっては計算時間がかなり長くなります。) CertGenによって生成される証明書のキー・サイズはデフォルトの2048ビットです。キー・サイズは-strengthオプションで指定します。 WebLogic ServerデモCAのキー・サイズは2048ビットです。 JDK 8では、長さが1024ビット未満のRSAキーを含むX.509証明書の使用はブロックされます。
xTensible Access Control Markup Language (XACML)	2.0	認可プロバイダまたはロール・マッピング・プロバイダの構成を参照してください。
Core and Hierarchical Role Based Access Control (RBAC) Profile of XACMLの部分的な実装	2.0	http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-rbac-profile1-spec-os.pdfによって指定されます。

サポートされるFIPS標準と暗号スイート

WebLogic Serverでは、JSSE JDKおよびRSA JSSEに対してFederal Information Processing Standard (FIPS)パブリケーション140-2と暗号スイートがサポートされています。

表2-2は、サポートされるFIPSバージョンと暗号スイートを示します。

表2-2 暗号スイートとサポートされるFIPS 140-2バージョン

標準	バージョン	追加の考慮事項
FIPS 140-2	RSA Crypto-J V6.2.4.0.1 RSA SSL-J V6.2.4 RSA Cert-J V6.2.4 ノート: 2021年4月のパッチ・セット更新(PSU)では、次のサポートが追加されています: RSA Crypto-J V6.2.5 RSA SSL-J V6.2.6 RSA Cert-J V6.2.4.0.1	FIPSモードの有効化を参照してください。 RSA JSSEおよびJCEプロバイダは非FIPSモードでも使用できます。 「RSA JCEプロバイダの使用」を参照してください。 「WebLogic ServerでのRSA JSSEプロバイダの使用」を参照してください。
JSSE JDK 8用暗号スイート	優先されるネゴシエーション済の暗号の組合せは、AES + SHA2です。	JDK 8 SunJSSEによってサポートされる暗号スイートのセットは、http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSEProviderを参照してください
RSA JSSE用暗号スイート	製品に依存	なし
(削除済の) WebLogic Server Certicom SSL実装およびSunJSSE同等製品でサポートされる暗号スイート	製品に依存	下位互換性を保つための記載です。表37-2を参照してください。 Certicomを使用するとき、WebLogic ServerはSHA256ハッシング、またはSHA256を含む署名アルゴリズムをサポートしません。