Oracle® Fusion Middleware Oracle WebCenter Portalの管理 11gリリース1 (11.1.1.9.0) E51441-06 |
|
前 |
次 |
この章では、WebCenterポータル・ビルダー管理の「セキュリティ」ページで使用できるタスクについて説明します。システム管理者はデフォルト設定を変更して、組織の要件に合わせることが可能です。
この章には次の項が含まれます:
権限: この章のタスクを実行するには、WebCenter PortalのAdministrator ロールまたは次の権限を付与されているカスタム・ロールが必要です。
さらに、ポータルの作成および管理の権限( WebCenter Portal権限の詳細は、第49.3項「アプリケーション・ロールおよび権限について」を参照してください。 ポータルの権限の詳細は、『Oracle WebCenter Portalでのポータルの構築』の「ポータルのロールと権限の管理」を参照してください。 |
WebCenter Portalには包括的なセキュリティ・モデルが用意されており、これによりユーザーに表示される画面を制御し、WebCenter Portal内の変更を実行できます。WebCenterポータル・ビルダー管理の「セキュリティ」ページ(図49-1)を使用して、個々のポータルやホーム・ポータルにアクセスできるユーザー(およびグループ)を制御し、様々な権限を有効化または無効化することでユーザーやグループが表示および実行できる項目を正確に制御できます。
特定のポータル内で、個々のページ、ページ・コンテンツ(タスク・フロー、ポートレット、ドキュメント、フォルダなど)、およびリソース(ページ・テンプレート、ページ・スタイル、スキン、リソース・カタログなど)へのユーザーおよびグループのアクセスを制限できます。
ユーザーとグループ
ユーザーとはアイデンティティ・ストア内の1人の個人を意味し、グループには複数のユーザーが含まれます。WebCenter Portalでは、権限を個々のユーザーおよびユーザーのグループに付与できます。
未登録のユーザーおよび自己登録
自己登録を使用すると、未登録のユーザーはWebCenter Portalに独自のログインとパスワードを作成できます。自己登録したユーザーはただちに自動的にWebCenter Portalへのアクセス権が付与され、新規ユーザー・アカウントがWebCenter Portalのアイデンティティ・ストアに作成されます。
アプリケーション・ロールおよびポータル・ロール
アプリケーション・ロールは、一部の管理機能に対して、WebCenter Portal全体に影響を及ぼす可能性のあるホーム・ポータルでのユーザー(またはグループ)の画面表示および実行内容を決定します。ポータル・ロールは特定のポータル内のアクションを制御します。
ポータルおよびポータル階層
ポータルでは、関連のあるサービス、ページおよびコンテンツに対して専用のアクセス可能な領域を提供したり、指定されたメンバーの加入をサポートすることにより、プロジェクト・チームや関心のあるコミュニティの形成とコラボレーションがサポートされます。
ポータル階層は、1つ以上のサブポータルを持つ親ポータルで構成されています。サブポータルは、その親のセキュリティ(メンバー、ロールおよび権限)を継承できます。
ホーム・ポータル
デフォルトでは、ホーム・ポータルは共有ポータルで、ログインしているすべてのユーザーがアクセスできます。ユーザーがホーム・ポータル内で作業している間は、アプリケーション・ロールが適用されます。大部分のアプリケーションでは、ホーム・ポータルは、ソーシャル・ネットワーキングと個人コンテンツに重点を置いています。
リソース (アセット)
様々なポータル・リソース(アセット)が、ポータル全体の構造、ルック・アンド・フィールおよびコンテンツの定義に役立ちます。そのようなリソースには、ページ・テンプレート、ページ・スタイル、スキン、ナビゲーション・モデル、リソース・カタログ、コンテンツ・プレゼンタ表示テンプレート、タスク・フロー・スタイル、データ・コントロールおよびタスク・フローがあります。ユーザーに適切な権限があれば、アプリケーション全体、単一のポータルまたはポータル階層のリソース(アセット)を構築してカスタマイズできます。
ページ
ページを編集する権限のあるすべてのユーザーは、他のユーザーやグループにアクセス権などの権限を付与できます。たとえば、セールス・グループのすべてのユーザーに対する表示のみの権限の付与、セールス・マネージャに対する権限の編集、単一ユーザーに対する権限の管理を実行できます。または、ページに対してアプリケーションからのアクセス権の継承を指定できます。
ページ・コンテンツ、ファイル、およびフォルダ
一部のページに含まれるコンテンツを、選択した一連のユーザーのみに表示したり、他の1人のユーザーのみに表示したりすることができます。たとえば、セールス担当者を対象としたページに、2つの「お知らせ」タスク・フロー(1つはすべてのセールス担当者が対象、もう1つはセールス・マネージャのみが対象)を含めることができます。2つ目の「お知らせ」タスク・フローへのアクセスを制限することで、管理レベルのお知らせをセールス・マネージャ以外のすべてのユーザーに対して非表示にできます。
WebCenter Portalのユーザーには、既存のアイデンティティ・ストアから直接プロビジョニングされたWebCenter Portalのログイン・アカウントがあります。詳細は、第31.3項「組込みLDAPアイデンティティ・ストアへのユーザーの追加」を参照してください。
アイデンティティ・ストアのすべてのユーザーには、Authenticated-User
ロールによりWebCenter Portalの最小限の権限が割り当てられます。唯一の例外はシステム管理者(デフォルトではweblogic
)です。初期設定では、システム管理者はAdministrator
ロールにより完全な管理権限を割り当てられた唯一のユーザーです。詳細は、次の項の第49.3.1.1項「デフォルトのアプリケーション・ロール」を参照してください。
各ユーザーに適切なアプリケーション・ロールを割り当てるのは、システム管理者の仕事です。または、システム管理者は他のユーザーにAdministrator
ロールを割り当てることを選択し、この職務を委任することもできます。
アプリケーション・ロールは、WebCenter Portal内の情報とサービスへのユーザーのアクセス・レベルを制御します。特に、アプリケーション・ロールとその権限により、ユーザーのホーム・ポータルでの表示と実行可能な操作が決定されます。
この項の内容は次のとおりです。
アプリケーション・ロールの割当ては、WebCenter Portal管理者の職責です。管理者は、ユーザーにデフォルトのアプリケーション・ロールを割り当てるか、WebCenter Portalのデプロイメントに固有の追加のカスタム・ロールを作成できます。詳細は、次を参照してください。
ユーザーがホーム・ポータル内で作業している間は、アプリケーション・ロールが適用されます。ユーザーが特定のポータル内で作業している場合は、別のロールと権限のセットが適用されます。各メンバーに対して適切なロール割当てを決定するのは、ポータル・モデレータの職責です。詳細は、『Oracle WebCenter Portalでのポータルの構築』の第49.6項「アプリケーション・ロールおよび権限の管理」およびポータルのセキュリティの管理に関する章を参照してください。
注意: WebCenter Portal内で定義されたアプリケーション・ロールと権限は、ポリシー・ストアに保存されるため、このWebCenter Portalにのみ適用されます。エンタープライズ・ロールはこれとは異なり、アプリケーションのアイデンティティ・ストアに格納されるため、そのWebCenter Portal内の権限には関与しません。第30.2.2項「アプリケーション・ロールとエンタープライズ・ロール」を参照してください。 |
WebCenter Portalには、複数のデフォルトのアプリケーション・ロールが用意されています(表49-2)。Administrator
、Public-User
およびAuthenticated User
のデフォルトのアプリケーション・ロールは削除できませんが、各ロールのデフォルトの権限割当てを変更できます。詳細は、第49.6.2項「アプリケーション・ロールの権限の変更」を参照してください。
表49-2 WebCenter Portalのデフォルトのアプリケーション・ロール
アプリケーション・ロール | 説明 | 変更の可否 |
---|---|---|
管理者 |
また管理者は、WebCenter Portalのユーザーおよびロールの管理、他のユーザーに対する権限の委任や取消し、ポータルおよびポータル・テンプレートの管理、さらにポータル情報のインポートおよびエクスポートを実行できます。 初期設定では、システム管理者は |
可* *読取り専用のアプリケーション権限を除く |
アプリケーション・スペシャリスト |
|
はい |
認証されたユーザー |
WebCenter Portalの認証されたユーザーには、 このロールは、 WebCenter Portalでは、 |
はい |
パブリック・ユーザー |
ログインせずにWebCenter Portalにアクセスする任意のユーザーには、 WebCenter Portalでは、 |
はい |
カスタム・アプリケーション・ロール(ユーザー定義ロールとも呼ばれます)は、使用するWebCenter Portalに固有のロールです。WebCenter Portalを設定する際には、必要なアプリケーション・ロールの特定、適切なロール名の選択、各ロールの職責の定義はWebCenter Portalの管理者が実行します。
たとえば、教育環境では、先生、生徒、来賓などのロールが必要になります。一方、企業環境では、経理、営業、人事、サポートなどが適切なロールとなります。
WebCenter Portalでは、カスタム・アプリケーション・ロールはAuthenticated-User
ロールから権限を継承します。
WebCenter Portalユーザーのアプリケーション・ロールの設定方法は、第49.6.1項「アプリケーション・ロールの定義」を参照してください。
すべてのアプリケーション・ロールには、権限と呼ばれる特定の定義済の権利があります。これらの権限により、各ユーザーは、ホーム・ポータル内で特定のアクションを実行できます。権限には、次のようなカテゴリがあります。後続の表に各カテゴリのリストを示します。
ポータル・サーバー
ポータル
ポータル・テンプレート
ページ
コンテンツ・プレゼンタ・テンプレート
データ・コントロール
ディスカッション
リンク
ナビゲーション
ページ・スタイル
ページ・テンプレート
ページレット
ピープル・コネクション
リソース・カタログ
スキン
タスク・フロー・スタイル
タスク・フロー
Manage All
を除くすべての権限は、他の権限からその内容を継承しません。
表49-3 WebCenter Portalのアプリケーションの権限
カテゴリ | アプリケーション権限 |
---|---|
ポータル・サーバー |
すべて管理: すべてのWebCenter Portal管理ページ(「ポータル」、「管理」、「共有アセット」、「属性」「ポータル・テンプレート」および「プリファレンス」)にアクセスできます。これらのページにより、ユーザーは、アプリケーション・セキュリティ(ユーザー/ロール)の管理、アプリケーション全体のプロパティとサービスの構成、リソースの管理、ビジネス・ロール・ページの作成、すべてのユーザーの個人用ページの管理、システム・ページのカスタマイズ、すべてのユーザーにアクセスできるポータルの表示、ポータルとポータル・テンプレートのエクスポート/インポートを実行できます。 一部の管理タスクが初期設定の 構成の管理: セキュリティ権限以外は 表示: ユーザーはWebCenter Portalを表示でき、ホーム・ポータルへのアクセス権が付与されます。詳細は、第49.6.3項「パブリック・ユーザーへの権限の付与」および第49.6.4項「認証されたユーザーへの権限の付与」を参照してください。 |
ポータル |
セキュリティと構成の管理: 「ページ」と「アセット」を除くすべてのポータル管理ページ(「概要」、「設定」、「属性」、「セキュリティ」、「ツールとサービス」、「サブポータル」、「システム・ページ」)へのアクセスが有効です。これらのページを使用すると、ユーザーは、ポータル・メンバーシップの管理、権限とロールの割当て、ポータルとリソースの管理、削除、エクスポート、ポータル・プロパティの設定およびサービスの可用性の管理を実行できます。
構成の管理: セキュリティ権限以外は
この権限を持つユーザーは、必ずポータルの表示が許可されます。 Manage Membership (メンバーシップの管理) - ポータルの管理設定で、「ロール」ページと「メンバー」ページにアクセスできます。これらのページを通じて、ユーザーはポータルのメンバーやロールを作成、編集および削除できます。 ポータルの作成: ユーザーはポータルを作成できます。 |
ポータル・テンプレート |
すべて管理: ユーザーは、すべてのポータル・テンプレートの管理(「ポータル・テンプレート」ページで)およびアクセス可能なテンプレートの削除を実行できます。詳細は、『Oracle WebCenter Portalでのポータルの構築』のすべてのポータル・テンプレートの管理に関する項を参照してください。 ポータル・テンプレートの作成: ユーザーはポータル・テンプレートを作成できます。 |
ページ |
ページの作成、編集および削除: ユーザーは自分のホーム・ポータルのページを作成、編集および削除できます。 ページの削除: ユーザーは自分のホーム・ポータルのページを削除できます。 ページの編集: ユーザーは個人用ページ・コンテンツの追加または編集、コンテンツの再配置、およびページのパラメータとプロパティの設定が可能です。 ページのカスタマイズ: ユーザーは、コンテンツを追加、編集または削除することで、ホーム・ポータルのページの表示をカスタマイズできます。 ページの表示: ユーザーはホーム・ポータルのページを表示できます。 ページの作成: ユーザーはホーム・ポータルの新しいページを作成または設計できます。 これらの権限は、ホーム・ポータルにのみ適用されます。これらの権限は、ポータル内に作成したページには適用されません。ポータル内のページ権限は、ポータル・モデレータによりポータルごとに付与されます。詳細は、『Oracle WebCenter Portalでのポータルの構築』の「ポータルのロールと権限の管理」を参照してください。 |
コンテンツ・プレゼンタ・テンプレート |
コンテンツ・プレゼンタ・テンプレートの作成、編集および削除: ユーザーは、ポータル・ビルダーを使用してアプリケーションのコンテンツ表示テンプレートを作成、編集および削除できます。 コンテンツ・プレゼンタ・テンプレートの作成: ユーザーはアプリケーションのコンテンツ表示テンプレートを作成できます。 コンテンツ・プレゼンタ・テンプレートの編集: ユーザーはアプリケーションレベルのコンテンツ表示テンプレートを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』の「コンテンツ・プレゼンタを使用したコンテンツの公開」を参照してください。 |
データ・コントロール |
データ・コントロールの作成、編集および削除: ユーザーは、ポータル・ビルダーを使用してアプリケーションのデータ・コントロールを作成、編集および削除できます。 データ・コントロールの作成: ユーザーはアプリケーションのデータ・コントロールを作成できます。 データ・コントロールの編集: ユーザーはアプリケーションレベルのデータ・コントロールを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』のデータ・コントロールでの作業に関する章を参照してください。 |
ディスカッション |
ディスカッションの作成、編集および削除: ユーザーは、バックエンドのディスカッション・サーバー上のカテゴリ、フォーラムおよびトピックの管理、およびすべてのポータルのディスカッション・フォーラム・プロパティの設定を実行できます。 詳細は、第49.3.2.2項「ディスカッション・サーバーのロール・マッピングの理解」を参照してください。 |
リンク |
リンクの作成と削除: ユーザーは、オブジェクト間のリンクの作成と削除、およびリンクの権限の管理を実行できます。 リンクの作成: ユーザーは、オブジェクト間のリンクの作成および作成したリンクの削除を実行できます。 リンクの削除: ユーザーは2つのオブジェクト間のリンクを削除できます。 |
ナビゲーション |
ナビゲーションの作成、編集および削除: ユーザーは、ポータル・ビルダーを使用してアプリケーションのナビゲーションを作成、編集および削除できます。 ナビゲーションの作成: ユーザーはアプリケーションのナビゲーションを作成できます。 ナビゲーションの編集: ユーザーはアプリケーションレベルのナビゲーションを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』のポータル・ナビゲーションの使用に関する章を参照してください。 |
ページ・スタイル |
ページ・スタイルの作成、編集および削除: ユーザーはポータル・ビルダーを使用して、ページ・スタイルを作成、編集および削除できます。 ページ・スタイルの作成: ユーザーはアプリケーションのページ・スタイルを作成できます。 ページ・スタイルの編集: ユーザーはアプリケーションレベルのページ・スタイルを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』のページ・スタイルの使用に関する項を参照してください。 |
ページ・テンプレート |
ページ・テンプレートの作成、編集および削除: ユーザーはポータル・ビルダーを使用して、ページ・テンプレートを作成、編集および削除できます。 ページ・テンプレートの作成: ユーザーはアプリケーションのページ・テンプレートを作成できます。 ページ・テンプレートの編集: ユーザーはアプリケーションレベルのページ・テンプレートを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』のページ・テンプレートでの作業に関する章を参照してください。 |
ページレット |
ページレットの作成、編集、および削除: ユーザーはポータル・ビルダーを使用して、ページレットを作成、編集および削除できます。 ページレットの作成: ユーザーはアプリケーションのページレットを作成できます。 ページレットの編集: ユーザーはアプリケーションレベルのページレットを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』のページレットの使用の章を参照してください。 |
ピープル・コネクション |
ピープル・コネクションの管理: ユーザーはピープル・コネクション・サービスのアプリケーション全体の設定を管理できます。 ピープル・コネクション・データの更新: ユーザーはピープル・コネクション・サービスに関連付けられたコンテンツを編集できます。 人とのコネクション: ユーザーはピープル・コネクション・サービスに関連付けられたコンテンツを他のユーザーと共有できます。 |
リソース・カタログ |
リソース・カタログの作成、編集および削除: ユーザーは、ポータル・ビルダーを使用してアプリケーションのリソース・カタログを作成、編集および削除できます。 リソース・カタログの作成: ユーザーはアプリケーションのリソース・カタログを作成できます。 リソース・カタログの編集: ユーザーはアプリケーションレベルのリソース・カタログを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』の「リソース・カタログでの作業」を参照してください。 |
スキン |
スキンの作成、編集および削除: ユーザーはポータル・ビルダーを使用してスキンを作成、編集および削除できます。 スキンの作成: ユーザーはアプリケーションのスキンを作成できます。 スキンの編集: ユーザーはアプリケーションレベルのスキンを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』の「スキンでの作業」を参照してください。 |
タスク・フロー・スタイル |
タスク・フロー・スタイルの作成、編集および削除: ユーザーは、ポータル・ビルダーを使用してアプリケーションのコンテンツ表示テンプレートを作成、編集および削除できます。 タスク・フロー・スタイルの作成: ユーザーはアプリケーションのコンテンツ表示テンプレートを作成できます。 タスク・フロー・スタイルの編集: ユーザーはアプリケーションレベルのコンテンツ表示テンプレートを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』の「コンテンツ・プレゼンタを使用したコンテンツの公開」を参照してください。 |
タスク・フロー |
タスク・フローの作成、編集および削除: ユーザーはポータル・ビルダーにより、タスク・フロー・スタイルに基づいてタスク・フローを作成、編集および削除できます。 タスク・フローの作成: ユーザーはアプリケーションのタスク・フローを作成できます。 タスク・フローの編集: ユーザーはアプリケーションレベルのタスク・フローを編集できます。 詳細は、『Oracle WebCenter Portalでのポータルの構築』のタスク・フローの使用に関する章を参照してください。 |
表49-4は、初期設定のアプリケーション・ロールに割り当てられたデフォルトの権限を示しています。
✔: 明示的に付与されている権限やアクションを示します。
✙: 明示的に権限が付与されている場合の暗黙的な権限を示します。
表49-4 WebCenter Portalのデフォルトのアプリケーション・ロールと権限
デフォルトのアプリケーション・ロール | ||||
---|---|---|---|---|
権限 | 管理者 | アプリケーション・スペシャリスト | 認証されたユーザー | パブリック・ユーザー |
ポータル・サーバー |
||||
すべて管理 |
✔ |
|||
構成の管理 |
✙ |
|||
表示 |
✙ |
✔ |
✔ |
✔ |
ポータル |
||||
セキュリティと構成の管理 |
✔ |
|||
構成の管理 |
||||
メンバーシップの管理 |
||||
ポータルの作成 |
✔ |
✔ |
||
ポータル・テンプレート |
||||
すべて管理 |
✔ |
✔ |
||
ポータル・テンプレートの作成 |
✔ |
|||
ページ |
||||
作成、編集および削除 |
✔ |
✔ |
||
削除 |
||||
編集 |
||||
カスタマイズ |
||||
表示 |
||||
作成 |
✔ |
|||
コンテンツ・プレゼンタ・テンプレート |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
データ・コントロール |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
ディスカッション |
||||
作成、編集および削除 |
✔ |
|||
リンク |
||||
作成と削除 |
✔ |
|||
作成 |
||||
削除 |
||||
タスク・フロー・スタイル |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
ナビゲーション |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
ページ・スタイル |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
ページ・テンプレート |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
ページレット |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
ピープル・コネクション |
||||
ピープル・コネクションの管理 |
✔ |
|||
ピープル・コネクション・データの更新 |
✔ |
✔ |
||
人とのコネクション |
✔ |
✔ |
||
リソース・カタログ |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
スキン |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
||||
タスク・フロー |
||||
作成、編集および削除 |
✔ |
✔ |
||
作成 |
||||
編集 |
リモート(バックエンド)のリソースにアクセスする必要のある一部のWebCenter Portalサービスは、ロールマッピング・ベースの認可も必要です。つまり、WebCenter Portal内でユーザーが「ディスカッション」サービスと連携できるWebCenter Portalのロールを、WebCenter Portalのディスカッション・サーバー上の対応するロールにマップする必要があります。
WebCenter Portalでは、アプリケーション・ロールを使用してホーム・ポータル内のユーザー権限を管理し、ポータル・ロールを使用して特定のポータル内のユーザー権限を管理します。WebCenter Portalのディスカッション・サーバーでは、ロールと権限の異なるセットが適用されます。
WebCenter Portalのディスカッションおよびお知らせを使用しているユーザーは、自動的に適切なディスカッション・サーバー・ロールにマップされます。詳細は、表49-5および表49-6を参照してください。
表49-5 ディスカッション・サーバーのロールと権限: アプリケーション
ディスカッション・サーバーのロール | ディスカッション・サーバーの権限 | WebCenter Portal 同等のアプリケーション権限 |
---|---|---|
管理者 |
Category Admin |
権限が付与されたカテゴリ内のサブ・カテゴリ、フォーラムおよびトピックの作成、読取り、更新および削除。 |
表49-6 ディスカッション・サーバーのロールと権限: ポータル用
ディスカッション・サーバーのロール | ディスカッション・サーバーの権限 | WebCenter Portal ポータル内の同等の権限 |
---|---|---|
モデレータ |
Category Admin Forum Admin |
|
Create Message Create Announcement |
|
|
Read Forum Create Thread |
|
|
Read Forum |
|
WebCenter PortalでApplication-Discussions-Create Edit Delete
権限を割り当てられたすべてのユーザーは、WebCenter Portalのディスカッション・サーバーに自動的に追加され、Category Admin
権限を持つAdministrator
ロールを割り当てられます。初期設定のWebCenter Portalでは、Application-Discussions-Create Edit Delete
権限はAdministrator
ロールにのみ割り当てられています。
同様に指定されたポータルで、ディスカッションおよびお知らせ権限を割り当てられたすべてのメンバーは、ディスカッション・サーバーの対応する権限を割り当てられます。
WebCenter Portalでは、同じエンタープライズ・グループに属する個々のユーザーまたは複数のユーザーを、WebCenter Portalロールに割り当てることができます。バックエンドのアイデンティティ・ストアにおける、それ以降のエンタープライズ・グループの更新内容は、自動的にWebCenter Portalに反映されます。まず、エンタープライズ・グループにWebCenter Portalロールを割り当てると、そのエンタープライズ・グループに属するすべてのユーザーに同じロールが付与されます。ユーザーがグループから抜けると、ロールが取り消されます。ユーザーがグループに入ると、ロールが付与されます。
WebCenter Portalで、エンタープライズのグループからロールへのマッピングを正しくメンテナンスするには、ディスカッション・サーバーやコンテンツ・サーバーなどのバックエンド・サーバーでもエンタープライズ・グループがサポートされている必要があります。このリリースで提供されるWebCenter Portalディスカッション・サーバーとWebCenter Contentコンテンツ・サーバーのバージョンでは、エンタープライズ・グループがサポートされますが、以前のバージョンではサポートされない場合があります。詳細は、第49.7項「ユーザーおよびロールに関する問題のトラブルシューティング」を参照してください。
ユーザーが特定のポータルのメンバーになると、異なるセットのロールと職責が適用されます。詳細は、『Oracle WebCenter Portalでのポータルの構築』の「ポータルのセキュリティの管理」を参照してください。
管理者は、すべてのWebCenter Portalユーザーに適切な権限を割り当てる必要があります。ユーザーが権限を取得するには、適切なアプリケーション・ロールに割り当てられている必要があります。
「ユーザーとグループ」ページ(図49-3)から、管理者はWebCenter Portalへのアクセス権を持つすべてのユーザー(アイデンティティ・ストアで定義されたすべてのユーザー)のアプリケーション・ロールを管理できます。ここから、ユーザー・ロールの割当ての変更、管理権限の付与およびユーザー権限の取消しを実行できます。「ユーザーとグループ」ページにアクセスするには、ポータル・ビルダー管理を開いて、「セキュリティ」をクリックします。詳細は、第47.2項「「ポータル・ビルダー管理」ページへのアクセス」を参照してください。
特別な(デフォルトではない)アプリケーション権限を付与されたユーザーのみが、この表に記載されます。最初は、WebCenter Portalのアイデンティティ・ストア内のすべてのユーザーに、Authenticated-User
ロールにより最小限の権限が割り当てられます。デフォルトのAuthenticated-User
ロールを持つユーザーは、このリストには記載されません。第49.3.1.1項「デフォルトのアプリケーション・ロール」も参照してください。
この項では、ロールの割当て方法について説明します。この項の内容は次のとおりです。
最初は、WebCenter Portalのアイデンティティ・ストア内のすべてのユーザーに、Authenticated-User
ロールにより最小限の権限が割り当てられます。個々のユーザー(または同じエンタープライズ・グループに属する複数のユーザー)に、WebCenterポータル管理を使用して異なるアプリケーション・ロールを割り当てることができます。
新規ユーザーやエンタープライズ・グループから除外されたユーザーなど、バックエンド・アイデンティティ・ストアの更新内容は、自動的にWebCenter Portalに反映されます。まず、エンタープライズ・グループにWebCenter Portalロールを割り当てると、そのエンタープライズ・グループに属するすべてのユーザーに同じロールが付与されます。ユーザーがグループから抜けると、ロールが取り消されます。ユーザーがグループに入ると、ロールが付与されます。
注意: WebCenter Portalで、エンタープライズのグループからロールへのマッピングを正しくメンテナンスするには、ディスカッション・サーバーやコンテンツ・サーバーなどのバックエンド・サーバーでもエンタープライズ・グループがサポートされている必要があります。バックエンド・サーバーがエンタープライズ・グループをサポートしていない場合には、「Group [name] not found in the Identity Store 」というメッセージが表示されます。第49.7項「ユーザーおよびロールに関する問題のトラブルシューティング」も参照してください。 |
ユーザー(またはユーザーのグループ)に異なるアプリケーション・ロールを割り当てるには:
「管理」ページ(第47.2項「「ポータル・ビルダー管理」ページへのアクセス」を参照)で、「セキュリティ」をクリックします。
あるいは、「セキュリティ」ページに直接移動するには、ブラウザで次のURLを入力します。
http://host:port/webcenter/portal/builder/administration/security
関連項目: 『Oracle WebCenter Portalでのポータルの構築』の付録「WebCenter PortalプリティURL」。 |
「ユーザーとグループ」をクリックします(図49-3)。
このページには、追加ロールが定義されているユーザーのリストが記載されています。
ドロップダウン・リストから「ユーザー」または「グループ」を選択します。
「ユーザー」を選択して、アイデンティティ・ストアで定義された1人または複数のユーザーに権限を付与します。「グループ」を選択して、ユーザー・グループに権限を付与します。
ユーザーまたはグループの正確な名前がわかる場合には、テキスト・ボックスに名前を入力します。複数の名前はカンマで区切ります。
正確な名前がわからない場合、アイデンティティ・ストアを検索できます。
「検索」アイコンをクリックします()。
「ユーザーの検索」(または「グループの検索」)ダイアログが開きます(図49-4)。
ユーザーまたはグループの検索語を入力して、「検索」アイコンをクリックします。
アイデンティティ・ストアのユーザーまたはグループの検索のヒントは、『Oracle WebCenter Portalでのポータルの構築』のアイデンティティ・ストアでのユーザーまたはグループの検索に関する項を参照してください。
検索基準に一致するユーザー(またはグループ)が、「ユーザーの選択」ダイアログ・ボックスに表示されます。検索するフィールドの詳細は、『Oracle WebCenter Portalでのポータルの構築』のアイデンティティ・ストアでのユーザーまたはグループの検索に関する項を参照してください。
ヒント:
|
リストから1つ以上の名前を選択します。
複数のユーザーまたはグループにロールを割り当てるには、すべての必要な名前を複数選択します。[Ctrl]キーを押しながら行をクリックして、複数の名前を選択します。
「OK」をクリックします。
選択した名前は「ユーザーとグループ」タブに表示されます。
ロールを割り当てるには、ドロップダウン・リストから「ロール」を選択します。
選択したユーザー(またはグループ)に対して適切なロールを選択します。WebCenter Portalの完全な管理権限を割り当てる場合にのみ、「管理者」を選択します。
必要なロールがリストにない場合は、要件を満たす新規ロールを作成します(第49.6.1項「アプリケーション・ロールの定義」を参照)。
ロールが1つも選択されていない場合、ユーザーはAuthenticated-User
ロールを引き受けます。第49.3.1.1項「デフォルトのアプリケーション・ロール」を参照してください。
「アクセス権の付与」をクリックします。
ユーザー/ユーザー・グループの名前と新規ロールの割当てが、表に表示されます。
注意: グループ名はクリック可能で、クリックによりドリルダウンして、現在のグループ・メンバーのユーザー名を確認できます。メンバーのリストは、Oracle Entitlements Server (OES)ロールに基づいた動的グループには表示されません。これは、OESロールが動的属性に基づいているため、静的メンバーが含まれていないことによります。第31.8項「WebCenter Portalの動的グループの構成」も参照してください。 |
WebCenter Portalのユーザー・ロールは、変更されることがあります。たとえば、ユーザーが営業から経理部門に異動になった場合、ユーザーのロール割当ては「営業」から「経理」に変更されます。
ユーザーに異なるロールを割り当てるには:
「管理」ページ(第47.2項「「ポータル・ビルダー管理」ページへのアクセス」を参照)で、「セキュリティ」をクリックします。
あるいは、「セキュリティ」ページに直接移動するには、ブラウザで次のURLを入力します。
http://host:port/webcenter/portal/builder/administration/security
関連項目: 『Oracle WebCenter Portalでのポータルの構築』の付録「WebCenter PortalプリティURL」。 |
「ユーザーとグループ」をクリックします(図49-3)。
「既存の付与の管理」表で、目的のユーザーまで下へスクロールします。
デフォルト以外のロールを割り当てられたユーザーのみが、表に表示されます。目的のユーザーがリストにない場合、第49.5.1項「ユーザー(およびグループ)へのロールの割当て」に説明されているように、必要なロールを付与します。
「アクション」アイコンをクリックし、ドロップダウン・リストから「ロールの変更」を選択します。
「ロールの変更」ダイアログ・ボックスが開きます(図49-5)。
次のようにロールを選択します。
WebCenter Portalの完全な管理権限を割り当てる際には、「管理者」を選択します。
使用可能リストから1つ以上の名前を選択します。
必要なロールがリストにない場合は、要件を満たす新規ロールを作成します(第49.6.1項「アプリケーション・ロールの定義」を参照)。
少なくとも1つのロールを選択する必要があります。すべてのロールの割当てを取り消して、ユーザー権限をデフォルトのAuthenticated-User
ロールに戻すには、第49.5.4項「アプリケーション・ロールの取消し」を参照してください。
「OK」をクリックします。
新規ロール割当てが、表に表示されます。
Administrator
ロールを使用して、WebCenter Portalの完全な管理権限をユーザーに付与するのは簡単です。管理者は最高レベルの権限を持ち、WebCenter Portalのすべてを表示および変更できるため、Administrator
ロールの割当ては慎重に行います。
一部の管理タスクがAdministrator
ロールにのみ許可され、ポータル-セキュリティと構成の管理
権限を付与して実行できません。それらのタスクには、ログイン・ページ、自己登録ページおよびプロファイル・ギャラリ・ページの編集が含まれます。第49.3.1.1項「デフォルトのアプリケーション・ロール」も参照してください。
ユーザーに管理権限を付与する手順は、次のとおりです。
「管理」ページ(第47.2項「「ポータル・ビルダー管理」ページへのアクセス」を参照)で、「セキュリティ」をクリックします。
あるいは、「セキュリティ」ページに直接移動するには、ブラウザで次のURLを入力します。
http://host:port/webcenter/portal/builder/administration/security
関連項目: 『Oracle WebCenter Portalでのポータルの構築』の付録「WebCenter PortalプリティURL」。 |
「ユーザーとグループ」をクリックします(図49-3)。
「ロール」列には、Administrator
ロールによる完全な管理権限がすでに割り当てられているユーザーが示されています。
「既存の付与の管理」表で、目的のユーザーまで下へスクロールします。
デフォルト以外のロールを割り当てられたユーザーのみが、表に表示されます。目的のユーザーがリストにない場合、第49.5.1項「ユーザー(およびグループ)へのロールの割当て」の手順に従って、Administrator
ロールを付与します。
「アクション」アイコンをクリックし、ドロップダウン・リストから「ロールの変更」を選択します。
「ロールの変更」ダイアログ・ボックスが開きます(図49-5)。
WebCenter Portalの完全な管理権限を割り当てる際には、「管理者」を選択します。
「OK」をクリックします。
新規のロール割当てが、表に表示されます。
適用することがなくなったアプリケーション・ロール割当てを取り消すのは簡単です。個々にロールを取り消すか、特定のユーザーに割り当てられたすべてのアプリケーション・ロールを一度に取り消します。
ユーザーのアプリケーション・ロールをすべて取り消した場合でも、そのユーザーはアイデンティティ・ストアから削除されず、引き続きデフォルトのAuthenticated-User
ロールを使用してWebCenter Portalにアクセスできます。
アプリケーション・ロールを取り消す手順は、次のとおりです。
「管理」ページ(第47.2項「「ポータル・ビルダー管理」ページへのアクセス」を参照)で、「セキュリティ」をクリックします。
あるいは、「セキュリティ」ページに直接移動するには、ブラウザで次のURLを入力します。
http://host:port/webcenter/portal/builder/administration/security
関連項目: 『Oracle WebCenter Portalでのポータルの構築』の付録「WebCenter PortalプリティURL」。 |
「ユーザーとグループ」をクリックします(図49-3)。
このページには、追加ロールが定義されているユーザーのリストが記載されています。
「既存の付与の管理」表で、目的のユーザーまで下へスクロールします。
「アクション」アイコンをクリックします。
「ロールの変更」アイコンをクリックして、1つ以上の特定のアプリケーション・ロールを取り消します。第49.5.2項「ユーザーへの異なるロールの割当て」も参照してください。
「ロール割当ての削除」を選択してそのユーザーに割り当てられたロールをすべて取り消し、確認を求められたら「削除」をクリックします。
そのユーザーのアクセス権がすぐに取り消されます。
特定のユーザーに割り当てられたロールをすべて削除すると、そのユーザーは「ユーザーとグループ」ページのリストには表示されなくなります。そのユーザーはアイデンティティ・ストアに残るため、引き続きAuthenticated-User
ロールによりWebCenter Portalにアクセスできます。第49.3.1.1項「デフォルトのアプリケーション・ロール」を参照してください。
WebCenter Portal管理者は、WebCenter Portalのアイデンティティ・ストアに対して直接新しいユーザー・データを追加したり、ユーザー資格証明を削除することはできません。アイデンティティ・ストアの管理はシステム管理者の職責であり、WLS管理コンソールを通じて実行するか、組込みLDAPアイデンティティ・ストアに対し、LDAPコマンドを使用して直接実行します。第31.3.1項「WLS管理コンソールを使用したアイデンティティ・ストアへのユーザーの追加」も参照してください。
ただし、WebCenter Portal管理者はアプリケーションの自己登録を有効化できます。自己登録により、招待済ユーザーと未招待ユーザーはWebCenter Portalに独自のログインとパスワードを作成できます。自己登録したユーザーはただちに自動的にWebCenter Portalへのアクセス権が付与され、新規ユーザー・アカウントがアイデンティティ・ストアで作成されます。第48.11項「自己登録の有効化」も参照してください。
WebCenter Portalではアプリケーション・ロールを使用して、ホーム・ポータルで作業するユーザーの権限を管理します。管理者は、「ロール」ページでアプリケーション・ロールと権限を管理します(図49-6)。
この項では、WebCenter Portalの「管理」ページからアプリケーション・ロールとその権限を管理する方法について説明します。この項の内容は次のとおりです。
WebCenter Portalユーザーのグループを特徴付けるロールを使用して、そのロールによりホーム・ポータルで表示および実行できる内容を決定します。
アプリケーション・ロールを定義する際には、自己記述的なロール名を使用し、ロール・ポリシーは可能なかぎり簡単なものにします。最小限のロールを選択し、効果的なポリシーを維持します。
新規のロールに対する権限の割当ては、適切なアクセス権を割り当てるように注意します。ロールには必要以上に多くのアクションをユーザーが実行できないようにすると同時に、必要なアクティビティの実行までも不注意に制限しないようにします。場合によっては、ユーザーが複数のロールに該当することもあります。
新規のアプリケーション・ロールを定義する手順は、次のとおりです。
「管理」ページ(第47.2項「「ポータル・ビルダー管理」ページへのアクセス」を参照)で、「セキュリティ」をクリックします。
あるいは、「セキュリティ」ページに直接移動するには、ブラウザで次のURLを入力します。
http://host:port/webcenter/portal/builder/administration/security
関連項目: 『Oracle WebCenter Portalでのポータルの構築』の付録「WebCenter PortalプリティURL」。 |
「ロール」をクリックします(図49-6)。
WebCenter Portalの現在のアプリケーション・ロールは、表の列として表示されます。
「ロールの作成」をクリックして、WebCenter Portalユーザーの新しいロールを定義します。
ロールに合った名前を入力します。
自己記述的なロール名を付けます。どのユーザーがどのロールに所属するかを可能なかぎり明白にします。ロール名には、英数字、空白、@およびアンダースコアを使用できます。
(オプション)「ロール・テンプレート」を選択します。
新しいロールは、ロール・テンプレートから権限を継承します。この権限は次の手順で変更できます。
「管理者」を選択して、完全な管理権限を継承するロールを作成します。逆に、「パブリック・ユーザー」を選択して、通常は最小限の権限を割り当てるロールを作成します。または、カスタム・アプリケーション・ロールを選択して自分のテンプレートにします。
「OK」をクリックします。
新しいロールが列として表に表示されます。ユーザーがこのロールを使用して実行できるアクションが、権限リストに表示されます。
このロールのユーザー権限を変更するには、各権限チェック・ボックスを選択または選択解除します。
「適用」をクリックして、ロールの権限に対して指定したすべての変更を保存します。
管理者は、アプリケーションに関連付けられた権限をいつでも変更できます。アプリケーション権限の詳細は、第49.3.2項「アプリケーションの権限について」を参照してください。
アプリケーション・ロールの権限により、各ユーザーはホーム・ポータル内で特定のアクションを実行できます。Manage All
を除くすべての権限は、他の権限からその内容を継承しません。
ロールに関連付けられた権限を変更するには:
「管理」ページ(第47.2項「「ポータル・ビルダー管理」ページへのアクセス」を参照)で、「セキュリティ」をクリックします。
あるいは、「セキュリティ」ページに直接移動するには、ブラウザで次のURLを入力します。
http://host:port/webcenter/portal/builder/administration/security
関連項目: 『Oracle WebCenter Portalでのポータルの構築』の付録「WebCenter PortalプリティURL」。 |
「ロール」をクリックします(図49-6)。
WebCenter Portalの現在のアプリケーション・ロールは、表の列として表示されます。
「権限」チェック・ボックスを選択または選択解除して、ロールの権限を有効または無効にします。
「適用」をクリックして保存します。
新しい権限は即時有効になります。
WebCenter Portalにログインしない任意のユーザーは、Public-User
ロールを引き受けます。初期設定では、Public-User
ロールにより最小限の権限(Portal Server - View
権限のみ)が付与されます。
注意: Public-User ロールに権限を付与する際には注意してください。Portal Server-Manage All 、Portal Server-Manage Configuration などの管理権限や、不要と思われる権限は付与しないようにしてください。第49.3.2項「アプリケーションの権限について」も参照してください。 |
Portal Server-View権限の付与
Portal Server - View
権限により、認証されていないユーザーは、ようこそページや個々のユーザーがパブリック指定を選択しているコンテンツなどのパブリックWebCenter Portalページを表示できます。
Portal Server - View
権限がPublic-User
ロールに付与される場合:
パブリックに指定されているすべての個人用ページまたは個人用コンテンツが、WebCenter Portalコミュニティ外の承認されていないユーザー(Webアクセス権を持つすべてのユーザー)に対してアクセス可能になることを確認してください。
パブリック・ユーザーが(ようこそページに)ログインする前に、パブリック・ユーザーに表示されるデフォルトのようこそページのカスタマイズを検討してください。第50章「システム・ページのカスタマイズ」を参照してください。
承認されていないユーザーに、「パブリック」とマークされたWebCenter Portalコンテンツを表示させない場合、Portal Server - View
権限をPublic-User
ロールに付与しないでください。パブリック・アクセスが無効になっていると、パブリック・コンテンツは承認されていないユーザーには表示されません。また、WebCenter Portalのようこそページも表示されません。パブリック・ユーザーは直接ログイン・ページにダイレクトされます。管理者は、必要に応じて、デフォルトのログイン・ページをカスタマイズできます。第50.2項「すべてのポータルのシステム・ページのカスタマイズ」を参照してください。
その他の権限の付与
Public-User
ロールに権限を割り当てる際には注意してください。セキュリティ上の理由から、匿名ユーザーがWebCenter Portal内で表示できる内容と実行できる操作を制限することをお薦めします。
WebCenter Portalにログインしているすべてのユーザーは、Authenticated-User
ロールを引き受けます。初期設定では、Authenticated-User
ロールには、次に示す権限を介して最小限の権限が付与されます。Portal Server - View
、Portals-Create
、Portal Templates-Create
、Pages-Create
、Update People Connections Data
およびConnect with People
。
その他の重要な注意点は、次のとおりです。
Authenticated-User
ロールは、Public-User
ロールからの権限を必ず継承します。
カスタム・アプリケーション・ロールは、Authenticated-User
ロールの権限をすべて継承します。
アプリケーション・ロールが不要になったら、WebCenter Portalから削除する必要があります。これにより、有効なロール・リストを維持し、不適切なロール割当てを防止できます。
アプリケーション・ロールは、ユーザーに割り当てられている場合でも削除できます。デフォルトのロールはいずれも削除できないため、WebCenter PortalユーザーにはAuthenticated-User
ロールが常時割り当てられます。
注意: Administrator 、Public-User およびAuthenticated User のデフォルトのアプリケーション・ロールは削除できません(Application Specialist ロールは削除できます)。第49.3.1.1項「デフォルトのアプリケーション・ロール」を参照してください。 |
アプリケーション・ロールを削除するには:
「管理」ページ(第47.2項「「ポータル・ビルダー管理」ページへのアクセス」を参照)で、「セキュリティ」をクリックします。
あるいは、「セキュリティ」ページに直接移動するには、ブラウザで次のURLを入力します。
http://host:port/webcenter/portal/builder/administration/security
関連項目: 『Oracle WebCenter Portalでのポータルの構築』の付録「WebCenter PortalプリティURL」。 |
「ロール」をクリックします(図49-6)。
WebCenter Portalの現在のアプリケーション・ロールは、表の列として表示されます。
削除するロールの横にある「ロールの削除」アイコンを選択します(図49-8)。
「削除」をクリックしてロールの削除を確定します。
ロールが表から削除されます。このロールのみが割り当てられているすべてのユーザーは、デフォルトのAuthenticated-User
ロールを引き受け、「ユーザーとグループ」タブには表示されません。
WebCenter Portalで、エンタープライズのグループからロールへのマッピングを正しくメンテナンスするには、バックエンドのディスカッション・サーバーとコンテンツ・サーバーでエンタープライズ・グループがサポートされている必要があります。Oracle WebCenter Portal 11.1.1.2.0以降で提供されているWebCenter Portalのディスカッション・サーバー・バージョンとWebCenter ContentのContent Serverバージョンは、両方ともエンタプライズ・グループをサポートしていますが、旧バージョンではサポートしていない場合があります。バックエンド・サーバーがエンタープライズ・グループをサポートしていない場合には、グループの追加を試行すると、次のようなエラー・エラー・メッセージが表示されます。
警告: グループ[name]がアイデンティティ・ストアに見つかりません
また、エラーでは下記のような詳細情報を記載したログが記録されます。
[2011-03-28T01:03:07.143-07:00] [WC_Spaces] [NOTIFICATION] [WCS-07855] oracle.webcenter.doclib.internal.spaces.AbstractDoclibRoleMapper] [tid: pool-1-daemon-thread-1] [userId: monty] [ecid: a4789a41d7e6bc9f:36de4556:12efb72d049:-8000-00000000000002c0,0:5] [APP: webcenter#11.1.1.4.0] Adding groups [oracle.webcenter.security.common.WCGroup@18b96a3] to documents service roles [Administration, Delete Documents, Create and Edit Documents, View Documents] for scope Scope[name=rbgs25mar01, guid=sbf125dd4_cd43_41cc_9d3d_467d06e84100][2011-03-28T01:03:09.122-07:00] [WC_Spaces] [ERROR] [WCS-44002] [oracle.webcenter.security.rolemapping.RoleManager] [tid: [ACTIVE].ExecuteThread: '3' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: monty] [ecid: a4789a41d7e6bc9f:36de4556:12efb72d049:-8000-00000000000002c0,0] [APP: webcenter#11.1.1.4.0] The Role Mapping provider encountered an exception while performing security role mapping for service oracle.webcenter.doclib. [[oracle.webcenter.security.rolemapping.spi.RoleMappingSPIException: Cannot add role null and permissions, 15, to the account for the folder, rbgs25mar01 for the user/group Admin. at oracle.webcenter.doclib.internal.spaces.UCMSpacesUtils$2.newException(UCMSpacesUtils.java:2595)
注意: 以前のリリースでは、バックエンド・サーバーがエンタープライズ・グループをサポートしていない場合、エンタープライズ・グループに属するユーザーは、個々にWebCenter Portalロールに追加されました。この動作が変更されました。 |