2 WebLogic Serverのセキュリティ標準

Oracle WebLogic Server WebLogicセキュリティ・サービスは、Java Authentication and Authorization Service (JAAS)、Java Secure Sockets Extensions (JSSE)、Java Cryptography Extensions (JCE)、Jakarta Authentication、Jakarta Authorization、Jakarta Securityなどの標準のJavaセキュリティ技術に基づいて構築され、これらをサポートしています。

この章の内容は次のとおりです。

• サポートされるセキュリティ標準

• サポートされるFIPS標準と暗号スイート

サポートされるセキュリティ標準

WebLogic Serverは、JAAS、JCE、Jakarta Authentication、Jakarta Authorization、Jakarta Securityなど、いくつかのJavaセキュリティ標準をサポートしています。

表2-1に、サポートされている標準をすべて示します。

表2-1 WebLogic Serverでのセキュリティ標準のサポート

標準	バージョン	追加の考慮事項
JAAS	JAASバージョンはJava SEバージョンによって異なります。 次を参照してください: Java SE 17 - Javaセキュリティ開発者ガイドのJava認証および認可サービス(JAAS) Java SE 21 - Javaセキュリティ開発者ガイドのJava認証および認可サービス(JAAS)	「JAAS認可を使用するドメインの構成」を参照してください。
Jakarta Authentication	2.0	「Jakarta Authenticationセキュリティの構成」を参照してください。
Jakarta Authorization	2.0	「Jakarta Authorizationの使用」を参照してください。
Jakarta EEアプリケーションのパッケージ化された権限	Jakarta EE 9.1プラットフォーム仕様
JCE	Jipher JCE 10.32 SunJCE	WebLogic ServerでのJCEプロバイダの使用を参照してください。
JSSE	Java Secure Socket Extension (JSSE)に基づくデフォルトのSSL実装。	JSSEベースのSSL実装の使用を参照してください ノート: JSSEはそのSSL実装でServer Name Indication(SNI)をサポートしますが、WebLogic ServerはSNIをサポートしません。
Kerberos	バージョン5	Microsoftのクライアントに対するシングル・サインオンの構成を参照してください。
LDAP	v3	次を参照してください: LDAP認証プロバイダの構成 組込みLDAPサーバーの管理
SAML	2.0	次を参照してください: SAML 2.0サービスの構成
Jakarta Security	2.0	「WebLogic ServerでのJakarta Securityの使用」を参照してください。
SLO	SAMLによる	サービス・プロバイダでのみサポートされます。 「SAMLシングル・ログアウトの構成」を参照してください
SPNEGO	https://datatracker.ietf.org/doc/html/rfc4178によって指定されます。	Microsoftのクライアントに対するシングル・サインオンの構成を参照してください。
SSO	Microsoftクライアントによる SAMLによる	次を参照してください: Microsoftのクライアントに対するシングル・サインオンの構成 SAMLを使用したWebブラウザとHTTPクライアントによるシングル・サインオンの構成
TLS	v1.2、v1.3	TLS v1.2が、WebLogic Serverで構成されているデフォルトの最小プロトコル・バージョンです。本番環境ではTLS v1.2以降を使用することをお薦めします。TLSバージョンが1.2より下位に設定されている場合、WebLogic Serverによって警告がログに記録されます。 TLS v1.0およびv1.1を使用しないことを強くお薦めします。また、基礎となるJSSEプロバイダによる特定のJDK更新で、これらのバージョンがデフォルトで無効になっている可能性があります。 バージョン固有の情報は、「SSL/TLSプロトコル・バージョンの指定」を参照してください。
カバーされていないHTTPメソッド	Servlet 3.1
X.509	v3	WebLogic Serverでは4096ビットのキーがサポートされます。(4096ビットのキーは操作によっては計算時間がかなり長くなります。) CertGenによって生成される証明書のキー・サイズはデフォルトの2048ビットです。キー・サイズは-strengthオプションで指定します。 WebLogic ServerデモCAのキー・サイズは2048ビットです。 JDK 8では、長さが1024ビット未満のRSAキーを含むX.509証明書の使用はブロックされます。
xTensible Access Control Markup Language (XACML)	2.0	認可プロバイダまたはロール・マッピング・プロバイダの構成を参照してください。
Core and Hierarchical Role Based Access Control (RBAC) Profile of XACMLの部分的な実装	2.0	http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-rbac-profile1-spec-os.pdfによって指定されます。

サポートされるFIPS標準と暗号スイート

WebLogic Serverでは、JSSE JDKに対してFederal Information Processing Standard (FIPS)パブリケーション140-2と暗号スイートがサポートされています。

表2-2は、サポートされるFIPSバージョンと暗号スイートを示します。

表2-2 暗号スイートとサポートされるFIPS 140-2バージョン

標準	バージョン	追加の考慮事項
FIPS 140-2	Jipher JCE 10.35	FIPSモードの有効化を参照してください。
JSSE JDK 17用暗号スイート	優先されるネゴシエーション済の暗号の組合せは、AES + SHA2です。	JDK SunJSSEでサポートされている暗号スイートのセットを確認するには、 『Java SEセキュリティ開発者ガイド』 のSunJSSEプロバイダに関する項を参照してください。