20 WebCenter Portalセキュリティの管理

WebCenter Portalの保護について理解し、セキュリティを構成および管理する方法を学習します。

ノート: Oracle WebCenter Portalでは、Jive機能(お知らせおよびディスカッション/ディスカッション・フォーラム)のサポートが非推奨となりました。したがって、Jive機能は14.1.2インスタンスでは使用できません。

権限: この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。

「管理操作、ロールおよびツールの理解」も参照してください。

トピック:

• アプリケーション・セキュリティの概要

• デフォルトのセキュリティ構成

WebCenter Portalのセキュリティ構成の特定の局面の詳細は、次を参照してください。

• アイデンティティ・ストアの構成

• ユーザーおよびアプリケーション・ロールの管理

• シングル・サインオンの構成

• SSLの構成

• Webサービス・セキュリティの構成

• ポートレット・プロデューサのセキュリティの構成

親トピック: セキュリティの管理

アプリケーション・セキュリティの概要

WebCenter Portalの推奨セキュリティ・モデルは、Java Authentication and Authorization Service (JAAS)モデルを実装するOracle ADFセキュリティに基づいています。Oracle ADFセキュリティの詳細は、『Oracle Application Development FrameworkによるFusion Webアプリケーションの開発』のOracle ADFの概要を参照してください。

図20-1は、WebCenter Portalアプリケーション・デプロイメントとそのサービス、サーバー、ポートレット、ポートレット・プロデューサ、アイデンティティ・ストア、資格証明ストア、ポリシー・ストア、およびOracle Enterprise Managerの関係を示しています。

図20-1 WebCenter Portalアプリケーションの基本的なアーキテクチャ

図20-2は、バックエンド・サーバーが接続された、デプロイ後の基本的なWebCenter Portalアプリケーションを示しています。

図20-2 バックエンド・サーバーが接続されたWebCenter Portalアプリケーションのアーキテクチャ

図20-3は、WebCenter Portalアプリケーションのセキュリティ・レイヤーを示しています。

図20-3 WebCenter Portalのセキュリティ・レイヤー

WebCenter Portalアプリケーションは4つの同一下部セキュリティ・レイヤー(WebCenterセキュリティ・フレームワーク、ADFセキュリティ、OPSSおよびWebLogicサーバー・セキュリティ)を共有します。当然ながら、アプリケーション・レイヤーは実装に依存します。

WebCenter Portalアプリケーション・セキュリティ

WebCenter Portalでは、次のものがサポートされています。

• アプリケーション・ロール管理および権限マッピング

• 自己登録

• ポータルレベルのセキュリティ管理

• 外部アプリケーションの資格証明管理

WebCenter Portalセキュリティ・フレームワーク

WebCenter Portalセキュリティ・フレームワークでは、次のものがサポートされています。

• サービス・セキュリティ拡張フレームワーク(サービスのセキュリティ・モデルを指定する際に一般的に使用される、権限ベースおよびロール・マッピングベースのモデル)

• 権限ベースの認可

• ロールマッピング・ベースの認可

• 外部アプリケーションと資格証明とのマッピング

ADFセキュリティ

ADFセキュリティでは、次のものがサポートされています。

• ページ認可

• タスク・フロー認可

• セキュアな接続管理

• 資格証明マッピングAPI

• ログアウトの呼出し(Oracle Access ManagerおよびOracle SSOを使用したSSO対応構成からのログアウトなど)

• ADFセキュリティベースのアプリケーション(adfAuthenticationサーブレット)用に保護されたログインURL

OPSS (Oracle Platform Security Services)

OPSSでは、次のものがサポートされています。

• Anonymous-role

• Authenticated-role

• アイデンティティ・ストア、ポリシー・ストアおよび資格証明ストア

• アイデンティティ管理サービス

• Oracle Web Service Managerセキュリティ

• 認可

• ポリシーおよび資格証明ライフサイクル

WebLogic Serverセキュリティ

WebLogic Serverセキュリティでは、次のものがサポートされています。

• WebLogicオーセンティケータ

• アイデンティティ・アサータ

• J2EEコンテナ・セキュリティ

• SSL

デフォルトのセキュリティ構成

この項では、WebCenter Portalアプリケーションのデプロイ時に設定されているセキュリティ構成と、デプロイ後に実行する必要のある構成タスクについて説明します。

• 管理者アカウント

• アプリケーション・ロールとエンタープライズ・ロール

• デフォルトのアイデンティティ・ストアおよびポリシー・ストア

• デフォルトのポリシー・ストアの権限および付与

• デプロイ後のセキュリティ構成タスク

管理者アカウント

WebCenter Portalアプリケーションでは、事前に用意されているアカウントはありませんが、WebCenter Portalアプリケーションのデフォルトのシステム管理者アカウント(weblogic)には特定の権限が事前に付与されています。インストールでシステム管理者ロールのアカウント名にweblogicを使用しない場合は、「ユーザーおよびアプリケーション・ロールの管理」の手順に従って、このロールにその他のユーザーを1つ以上構成する必要があります。

ノート: weblogicアカウントはシステム管理者アカウントです。そのため、ユーザーレベルのアーティファクトを作成する際には使用しないでください。weblogicアカウントは、Fusion Middleware Controlで新規ユーザー・アカウントを作成する場合にのみ使用してください。

アプリケーション・ロールとエンタープライズ・ロール

アプリケーション・ロールは、組込みLDAPサーバーのアイデンティティ・ストア部分に存在するロールや、エンタープライズLDAPプロバイダにより定義されたロールとは異なります。アプリケーション・ロールはアプリケーションに固有であり、ポリシー・ストアのアプリケーション固有のストライプで定義されます。

エンタープライズ・アイデンティティ・ストアに格納されているエンタープライズ・ロールは、エンタープライズ・レベルでのみ適用されます。つまり、ユーザーやシステム管理者がエンタープライズ・アイデンティティ・ストア内部に定義したロールおよび権限は、アプリケーション内の権限とは異なります。

WebCenter Portal内では、アプリケーション・ロールおよび権限を企業のアイデンティティ・ストア内のユーザーに割り当てることができます。また、エンタープライズ・アイデンティティ・ストア内に定義されたエンタープライズ・ロールに対してアプリケーション・ロールおよび権限を割り当てることもできます。

デフォルトのアイデンティティ・ストアおよびポリシー・ストア

WebCenter Portalはデフォルトで、ファイルベースの組込みLDAPアイデンティティ・ストアを使用してアプリケーションレベルのユーザーIDを格納し、Oracle RDBMS (リリース10.2.0.4以降、リリース11.1.0.7以降およびリリース11.2.0.1以降)ポリシー・ストアを使用してポリシー権限を格納するように構成されています。

組込みLDAPアイデンティティ・ストアはセキュアではありますが、本番クラスのストアではないため、エンタープライズ本番環境向けの外部LDAPベース・アイデンティティ・ストア(Oracle Internet Directoryなど)と置き換える必要があります。アイデンティティ・ストア・タイプのサポートされているバージョンのリストは、Oracle Fusion Middleware 12cの動作保証を参照してください。

注意:

デフォルトのファイルベースのポリシー・ストアは、開発用および単一ノードのWebCenter Portal構成用にのみ使用してください。エンタープライズ・デプロイメントでは、「アイデンティティ・ストアの構成」の説明に従って、ポリシー・ストアおよび資格証明ストアをデータベースまたは外部LDAPベースのストアに再度関連付ける必要があります。

ポリシー・ストアおよび資格証明ストアでは、デフォルトのデータベース・ストアまたはOracle Internet Directory 11gR1または10.1.4.3のいずれかを使用できます。外部LDAPベースのストアを使用する場合は、ポリシー・ストアと資格証明ストアで同じLDAPサーバーを使用するように構成する必要がある点に注意してください。同様に、データベースを使用する場合は、ポリシー・ストアと資格証明ストアで同じデータベースを使用する必要があります。

サポートされているアイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアの構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のサポートされているLDAPベース、DBベース、およびファイルベースのサービスに関する項を参照してください。アイデンティティ・ストア、ポリシー・ストアおよび資格証明ストアの再構成の詳細は、「アイデンティティ・ストアの構成」および「ユーザーおよびアプリケーション・ロールの管理」を参照してください。

ノート: WebCenter PortalとContent Serverの両方で同じLDAPサーバーを共有する必要があります。詳細は、「Oracle WebCenter ContentとWebCenter Portalでアイデンティティ・ストアLDAPサーバーを共有するための構成」を参照してください。

デフォルトのポリシー・ストアの権限および付与

ADFセキュリティの権限モデルでは、権限ベースの認可およびロールベースの認可の両方がサポートされています。次のトピックでは、これらの2つの認可タイプ、デフォルトのポリシー・ストア権限およびコードベース権限について説明します。

• 権限ベースの認可

• WebCenter Portalのデフォルトのポリシー・ストア権限

• デフォルトのコードベース権限

権限ベースの認可

権限ベースの認可は、リストなど、Oracle Platform Security Services (OPSS)を使用してWebCenter Portalアプリケーション内にアクセス制御が実装されているツールで使用されます。WebCenter Portalには、ユーザーおよびロール管理ツールが豊富に用意されています。これらのツールによってアプリケーション・ロールを作成し、そのロールに付与する必要がある権限を定義できます。WebCenter Portalでのユーザーおよびロールの管理の詳細は、「ポータル間のセキュリティの管理」を参照してください。

WebCenter Portalのデフォルトのポリシー・ストア権限

WebCenter Portalには、初期設定で次のデフォルト・ロールが用意されています。

デフォルトのアプリケーション・ロール:

• 管理者

• アプリケーション・スペシャリスト

• ポータル作成者

• 認証されたユーザー

• パブリック・ユーザー

デフォルトのアプリケーション・ロールの詳細は、「ポータル間のセキュリティの管理」を参照してください。

ポータル内のデフォルトのロール:

• ポータル・マネージャ

  ノート: ポータル・レベルのロールParticipantおよびViewerはデフォルトでは作成されなくなりました。ポータルの迅速な作成および不必要なロールの削除を目的に、デフォルトで作成されるデフォルトのポータルレベルのロールはほとんどありません。

デフォルトのコードベース権限

WebCenter Portalは、権限チェックを使用して保護されたセキュリティ・プラットフォームでAPIを内部的にコールします。したがって、OPSSのAPIを呼び出すには、アプリケーションに適切な権限を付与する必要があります(たとえば、ポリシー・ストアにアクセスして権限を付与または取り消す(PolicyStoreAccessPermission)ための権限や、アプリケーション・ロールに基本的な権限を付与するための権限など)。

同様に、WebCenter Portalでは、WebCenter Portalの権限を使用して公開する各種操作に対して事前にアクセスを認可しておき、OPSS APIを権限付きアクションとして呼び出す必要があります。

デプロイ後のセキュリティ構成タスク

WebCenter Portalをデプロイした後で、次のセキュリティ関連の構成タスクをサイトに対して実行することを考慮する必要があります。

• 外部LDAPを使用するためのアイデンティティ・ストアの再関連付け

  WebCenter Portalではデフォルトで、アイデンティティ・ストアに組込みLDAPが使用されます。事前に構成されている組込みLDAPは、セキュアではありますが、大規模なエンタープライズ本番環境には適さない場合があります。Oracle Internet Directory (OID)などの外部LDAPを使用するようにアイデンティティ・ストアを構成する方法の詳細は、「アイデンティティ・ストアの構成」を参照してください。

  ノート: WebCenter Portalに関しては、WebCenter PortalアプリケーションおよびContent Serverは同じLDAPサーバーを共有する必要があります。詳細は、「Oracle WebCenter ContentとWebCenter Portalでアイデンティティ・ストアLDAPサーバーを共有するための構成」を参照してください。

• SSOの構成

  シングル・サインオン(SSO)を使用すると、ユーザーはサブアプリケーションごとにログインするのではなく(wikiページへのアクセスなど)、WebCenter Portalおよびコンポーネント全体で1回ログインするだけで済みます。ユーザーは、アクセスするアプリケーションまたはコンポーネントごとに別個のユーザーIDおよびパスワードを保持する必要がありません。ただし、より厳密な方式を使用して機密性の高いアプリケーションを保護できるように、多様な認証方式を構成することもできます。WebCenter Portalでは、4つのシングル・サインオン・ソリューション(Oracle Access Manager (OAM)、Oracle Single Sign-on (OSSO)、SAMLベースのシングル・サインオン・ソリューション、およびSimple and Protected Negotiate (SPNEGO)メカニズムとKerberosプロトコルに基づいたWindows認証による、Microsoftクライアント用SSOソリューション)がサポートされています。これらのソリューションの説明およびシングル・サインオンの概要は、「シングル・サインオンの構成」を参照してください。

• SSLの構成

  Secure Sockets Layer (SSL)は、追加の認証レイヤーを提供し、交換されるデータを暗号化することによってWebCenter Portalとコンポーネントの間の接続のセキュリティを強化します。データ交換が機密的なアプリケーションまたはコンポーネント間の接続では、SSLを使用して接続を保護することを考慮してください。本番環境でSSLを使用して保護できる、または保護する必要のある接続のリストは、「SSLの構成」を参照してください。

  ノート: SSLを使用すると、計算が集中的に行われ、接続のオーバーヘッドが増加します。このため、SSLは必要でないかぎりは使用しないでください。SSLは本番環境まで保留しておくことをお薦めします。

ポリシー・ストアのリフレッシュ間隔および他のキャッシュ設定の設定

この項では、インストール後に構成する必要がある推奨キャッシュ設定を示します。キャッシュ・サイズと最大グループ階層の設定は特定の環境に基づく必要がありますが、次の項では開始点として使用できる推奨事項を示します。WebCenter Portalのチューニング・パラメータと推奨値の全リストは、『パフォーマンスのチューニング』のOracle WebCenter Portalのパフォーマンス・チューニングを参照してください。

この項には次のトピックが含まれます:

• ポリシー・ストアのリフレッシュ間隔の設定

• 接続プール・キャッシュの設定

• ユーザー・キャッシュ設定の設定

• グループ・キャッシュ設定の設定

ポリシー・ストアのリフレッシュ間隔の設定

WebCenter Portalが使用する認可ポリシーでは、デフォルトのポリシー・リフレッシュ時間が10分間のインメモリー・キャッシュを使用します。マルチノードの高可用性環境でポータルを作成する場合、ノード障害の際にポリシー・データをより迅速にレプリケートする必要があるときは、ドメインレベルのjps-config.xmlファイルを変更して次のエントリを追加することでポリシー・ストアのリフレッシュ間隔を短くすることができます。

oracle.security.jps.ldap.policystore.refresh.interval=<time_in_milli_seconds>

これはPDPサービス・ノードに追加する必要があります。

<serviceInstance provider="pdp.service.provider" name="pdp.service">

サーバーのキャッシュされたポリシーのリフレッシュ頻度はパフォーマンスに影響を与える可能性があるため、ポリシーのリフレッシュ間隔は過度に短く設定しないでください。

jps-config.xmlファイルを変更したら、ドメイン内の全サーバーを再起動します。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のポリシー・キャッシュのリフレッシュに関する項を参照してください。

接続プール・キャッシュの設定

この項では、接続プール・キャッシュの推奨設定を説明します。

接続プール・キャッシュを設定するには:

1. WLS管理コンソールにログインします。

2. 「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。

3. 接続プール・キャッシュのパラメータを次の推奨値に設定します。

   • 接続プール・サイズ = 最大接続ユーザー数

   • 接続タイムアウト = 30

   • 接続再試行制限 = 1

   • 結果タイム・リミット = 1000

   • キープアライブの有効化 = true

4. 変更を保存し、ドメイン内のすべてのサーバーを再起動します。

ユーザー・キャッシュ設定の設定

この項では、ユーザー・キャッシュ設定の推奨設定を説明します。

ユーザー・キャッシュ設定を設定するには:

1. WLS管理コンソールにログインします。

2. 「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。

3. ユーザー・キャッシュのパラメータを次の推奨値に設定します。

   • キャッシュの有効化 = true

   • キャッシュ・サイズ = 3200

   • キャッシュTTL = session timeout

   • 結果タイム・リミット = 1000

   • キープアライブの有効化 = true

4. 変更を保存し、ドメイン内のすべてのサーバーを再起動します。

グループ・キャッシュ設定の設定

この項では、グループ・キャッシュ設定の推奨設定を説明します。

グループ・キャッシュ設定を設定するには:

1. WLS管理コンソールにログインします。

2. 「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「パフォーマンス」を選択します。

3. グループ・キャッシュのパラメータを次の推奨値に設定します。

   • グループ・メンバーシップ・ルックアップの階層キャッシュを有効化 = true

   • キャッシュ・サイズ = 3200

   • キャッシュ内の最大グループ階層数 = 1024

   • グループ階層キャッシュTTL = session timeout

   • キープアライブの有効化 = true

4. 変更を保存し、ドメイン内のすべてのサーバーを再起動します。