エクスクルーシブアップデート:

Java EE 8 セキュリティJSRのクラウド対応

作者： Matt Raible , 翻訳者 大田緑 - (株)チェンジビジョン 投稿日 2015年1月14日 |

原文(投稿日：2014/11/30)へのリンク

JavaコミュニティプロセスがJSR 375の詳細を発表した。JSR 375は、クラウド環境のセキュリティを実装する改善を含むJava EE セキュリティAPIを再設計したものだ。

その改善は、特に次の分野をターゲットにしている。

ユーザ管理: 標準ユーザサービス。ユーザの追加、削除、更新、グループ化等のユーザ管理を運用するアプリケーションを可能にする。ユーザサービスは、LDAP、データソース、ファイル、埋め込み等のユーザソースからユーザを操作できる。そのため、デプロイした環境毎に変更可能で、開発、QA、生産のための様々なユーザソースで利用できる。
パスワードエイリアス: 安全なパスワード参照と保管の標準サポート。パスワードリポジトリは、信頼できるアーカイブであり、内臓式で、アプリケーションによって展開される。
ロールマッピング: 標準ロールサービス。ユーザとグループロールの許可、取り消し、問い合わせ等のロールマッピングの操作を実行するアプリケーションを利用できる。ロールサービスは、ロールマッパーからのマッピングを操作できる。ロールマッパーは、LDAP、データソース、ファイル等のリソースからのマッピングを持つ。ユーザ管理と同様に、ソースは環境により異なる。
認証: 認証には3つの改善点がある。
1. アプリケーションがユーザとロールサービスを特定できる。
2. 1つのウェブアプリケーションの中で、サーブレット毎に別々の認証方法を構築できる。
3. HttpServletRequest.authenticate()の改善により、非同期で呼び出せる。
権限: 新しい標準メソッドインターセプタのアノテーション。アプリケーションベースのルールが、メソッドのアクセス決定に影響を与える。

JSRによると、Servlet 4.0 の仕様 (JSR 369) は、サーブレット毎のログイン構成を反映するために、見直しが必要かもしれない。

OracleのシニアメンバテクニカルスタッフであるAlex Kosowski氏は、現在、主要メンバであり、JSR唯一のエキスパートだが、エキスパートの指名を受け付けている。

OracleのAquariumブログで、GlassFishとJava EEのプロダクトマネージャであるDavid Delabasse氏が、JSR 375 はJava EE 8 コミュニティ調査のフィードバックから始まったと述べた。セキュリティ簡単化の投票数は、JSR 367のJSONB - JSONのバインディングのためのJava API - の次だった。

JSR 375は、現在、レビュー期間であり、Java EE セキュリティ API メーリングリストにフィードバックを投稿できる。JCPの手続きによると、JSRを承認する投票の前に、エキスパートグループがコメントをレビューする。