フィードバックを送信
Security and Administration
ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、 こちら までご連絡ください。

Liferayの保護

Liferay はセキュリティを考慮して構築されています。 これには、 OWASP Top 10CWE/SANS Top 25で説明されているような一般的なセキュリティの脆弱性やエクスプロイトの軽減が含まれます。

Liferay インストールのセキュリティ保護には、ホスティング環境、データベース、検索プロバイダー、アプリケーションサーバー、および Liferay 自体のセキュリティのベストプラクティスに従うことなど、いくつかの側面があります—

Liferay は、HTTP ヘッダー内の CRLF をサニタイズするためにアプリケーション サーバーに依存しています。 これがアプリケーションサーバーで適切に設定されていることを確認する必要があります。

ここでは、Liferay をセキュリティで保護するための基本要素を学習します。 これには、Liferay インストールに対するユーザーの認証方法の設定、権限によるユーザーの承認、Liferay Web サービスへの安全なアクセスの設定、必要に応じてセキュリティ機能を微調整することが含まれます。

重要

セキュリティパッチがリリースされたら、それらを展開することをお勧めします。 コミュニティとCEのインストールの場合は、以前のセキュリティパッチがすべて含まれている最新のコミュニティリリースを常に使用することをお勧めします。

認証

Liferay 認証は柔軟です。 デフォルトでは、ユーザーは サインイン ウィジェットを使用して Liferay にログインします。このウィジェットはデータベースを使用してユーザーを認証します。 デフォルトでは、ゲストは[Sign In]ウィジェットを使用して、デフォルトの権限を持つアカウントを作成できます。 デフォルトの認証エクスペリエンスのほぼすべての要素は、管理者によって変更できます。 例:

詳細については、 認証の基礎を参照してください。

権限の設定

Liferay には、堅牢なロールベースのアクセス制御 (RBAC) システムがあります。 ユーザーは、サイト、チーム、ユーザー グループ、または組織に割り当てることができます。 カスタム ロールを作成し、これらのロールに権限を割り当て、それらのロールをユーザーに割り当てることができます。 ロールは、サイト、組織、またはグローバルなどの特定のコンテキストにのみ適用されるように範囲設定されています。 詳細については、 ロールと権限 を参照してください。

Webサービスの保護

Liferay Web サービスは、セキュリティと認証に対して多層的かつ構成可能なアプローチを採用しています。

詳細については、 Web サービスのセキュリティ保護の概要 を参照してください。

Liferayによって追加されないセキュリティヘッダー

Liferay は、HTTP リクエストとレスポンスに特定のセキュリティ ヘッダーを追加しません。

  • X-XSS-Protection: このヘッダーは、Liferay DXP 7.4 以降では非推奨となっています。 OWASPMozillaの推奨事項を参照してください。
  • Strict-Transport-Security: これは Liferay ではなくアプリケーション サーバーで設定する必要があります。
  • クロスオリジンリソース共有 (CORS): Liferay 7.2 以降では、Liferay 内で CORS を設定できます。 詳細については、 CORS の設定 を参照してください。
  • 公開キーピン: これを Web サーバーで設定する必要があります。
  • Content-Security-Policy: これはベータ機能として利用可能で、構成されている場合はリクエストに表示されます。 詳細については、 コンテンツ セキュリティ ポリシー ヘッダーの構成 を参照してください。

セキュリティの微調整

追加のセキュリティ機能を微調整したり無効にしたりする方法はたくさんあります。

  • Liferay の HTTPS Web サーバー アドレスを設定します。
  • ユーザーを リダイレクトできる許可されたサーバーのリストを構成します。
  • どのページからでもアクセスできる ポートレット のリストを構成します。
  • アップロードおよびダウンロードを許可するファイルタイプを設定する。

これらの機能は、 ポータル プロパティを使用して設定できます。

警告

Liferay の理念は「デフォルトで安全」です。 セキュリティ固有のデフォルトまたはホワイトリストを変更する場合は、十分に注意してください。 このようなアクションは、セキュリティの設定ミスや安全でないデプロイにつながる可能性があります。

Liferay インストールのセキュリティ保護の詳細については、 セキュリティ ステートメント および関連リソースを参照してください。

Liferay Marketplaceから追加のセキュリティ プラグインを入手できます。

今後の流れ

Configuring Sign-In
Configuring Authentication Types Securing Sign-In

Configuring Single Sign-On
Token-based Single Sign On Authentication Authenticating with SAML Using OpenAM Using OpenID Connect Authenticating with CAS (Central Authentication Service) Authenticating with Kerberos Configuring Liferay Authentication With Auth0 Using OpenId Connect Configuring Liferay Authentication With Okta Using OpenId Connect Configuring Liferay Authentication With PingOne Using SAML

Multi-Factor Authentication
Using Multi-Factor Authentication Multi-Factor Authentication Checkers Fast IDentity Online 2

AntiSamy

Securing Web Services
Setting Service Access Policies Using Authentication Verifiers Setting Up CORS Configuring Content Security Policy Headers

System for Cross-domain Identity Management (SCIM)

Configuring Password Encryption Algorithms and Stored Password Formats

Liferay Security APIs
Captcha API Basics SCIM User API Basics SCIM Group API Basics SCIM Resource Type, Service Provider, and Schema Basics

Iframe Sanitizer