| Oracle Fusion Middleware Oracle Portalユーザーズ・ガイド 11gリリース1(11.1.1) B61383-01 |
|
 戻る |
 次へ |
Oracle Portalには、アイテムを保護するための2つの強力な機能、アイテム・レベルのセキュリティと承認が用意されています。アイテム・レベルのセキュリティにより、アイテムを権限のないユーザーから保護したり、そのアイテムを含むページやタブ上で付与されるよりも高いレベルのアクセス権限をアイテムに対して付与したりできます。承認では、新規および修正済のコンテンツがポータルに公開される前に通過する必要のある承認プロセスを構築できます。
この項では、アイテム・レベルのセキュリティと承認について説明し、これらの機能を使用する方法についてのヒントを提供します。さらに、様々な状態(下書き、保留中、非公開アイテムなど)のアイテムに対するアイテムURLアクセス・ルールを概説する表も示します。この項の内容は、次のとおりです。
|
注意: アイテム・レベルのセキュリティを有効にするには、そのアイテムを含むページまたはタブに対して、少なくとも「管理」ページまたはタブ権限が必要です。 |
権限のないユーザーによるアイテムの表示を防止
たとえば、アイテム・レベルのセキュリティが有効で、ユーザーに「表示」ページ権限はあるが、アイテム権限がない場合、ユーザーはページを表示できるが、そのアイテムは表示できません。
ページに対して付与されるより高いレベルの権限をアイテムに対して付与
たとえば、ユーザーがページに対する「表示」ページ権限を持ち、そのページのアイテムに対して「管理」アイテム権限を持っている場合、ユーザーはページ編集モードに入り、特定のアイテムに対してコンテンツ管理作業を実行できます。このユーザーは、ページでその他の編集作業は実行できません。
アイテム・レベルのセキュリティは、ページ、タブおよびPortalテンプレートに基づいたページに配置されたアイテムに適用できます。アイテム・レベルのセキュリティがテンプレートに対して有効で、ユーザーがそのアイテムに対する権限を持っていても、テンプレート自体の一部であるアイテムに対しては、アイテム・レベルのセキュリティをうまく適用できません。
次の各項では、アイテム・レベルのセキュリティをさらに定義し、ページまたはタブで有効にする方法を説明します。内容は次のとおりです。
デフォルトでは、アイテムは、そのアイテムが含まれているページまたはタブに適用されているアクセス設定を継承します。特定のページまたはタブへのアクセスを承認されているユーザーまたはグループのみが、そのアイテムにアクセスできます。ページまたはタブに対するアイテム・レベルのセキュリティを有効にすると、アイテムでは最初ページまたはタブに適用されているものと同じセキュリティ設定が使用されます。しかし、アイテム・レベルのセキュリティ機能を使用することで、個々のアイテムに対するより高いレベルのアクセス権限を付与できるようになりました。
アイテム・レベルのセキュリティが有効の場合、そのアイテムに対する権限を持たないユーザーはアイテムを表示できません。
「管理」および「コンテンツの管理」ページ権限は、アイテム・レベルのセキュリティ権限を上書きします。つまり、「コンテンツの管理」ページ権限も持っているユーザーに「表示」アイテム権限を付与した場合、そのユーザーはアイテムを表示するのみでなく、アイテムに対して何でもできます。ただし、アイテム・レベルのセキュリティは、その他のページ・レベルの権限に優先します。
たとえば、ユーザーがページに対する「スタイルの管理」ページ権限と、アイテムに対する「管理」アイテム権限を持っている場合、ユーザーはアイテムをページから削除でき、ページのスタイルを変更するのみにとどまりません。
アイテム・レベルのセキュリティは、標準ページと標準ページ・タイプに基づいたカスタム・ページに対してのみ有効にできます。
|
注意: アイテム・レベルのセキュリティとアイテム・バージョニングは無関係です。アイテム・レベルのセキュリティは、誰がアイテムにアクセスできるかに関係し、アイテム・バージョニングは、アイテムの新しいバージョンがアップロードされたときの古いバージョンのアイテムの取り扱い方法に関係します。アイテム・バージョニングの詳細は、14.12項「アイテムのバージョニング制御の使用」を参照してください。Portalテンプレートのアクセス設定の変更は、そのテンプレートでテンプレートに基づいたページに別のアクセス設定を使用することが特に許可されていない場合、テンプレートに基づいたすべてのージに影響を与えます。テンプレートに基づいたページでそれぞれのアクセス権限を定義できるようにするオプションは、「Portalテンプレート・プロパティ」の「アクセス」タブにあります。 |
ページでアイテム・レベルのセキュリティを有効にするには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アイテム・レベルのセキュリティを有効にするページを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「ページ」ヘッダーの下で、アイテム・レベルのセキュリティを有効にするページをクリックします。
ページが編集モードで開きます。
ページ・ツールバーの「アクセス」リンクをクリックします。
表示されたページで、「アクセス・プロパティ」セクションに移動し、「アイテム・レベルのセキュリティを有効にする」を選択します。
「OK」をクリックして、ページに戻ります。
これにより、アイテム作成者はページ上の個々のアイテムのアクセス制御を指定できるようになります。アイテム作成者は、ページからアクセス制御を継承するか、または個々のアイテムに特定のアクセス制御を設定できます。
タブでアイテム・レベルのセキュリティを有効にするには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アイテム・レベルのセキュリティを有効にするタブを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「ページ」ヘッダーの下で、該当するタブを含むページをクリックします。
ページが編集モードで開きます。
アイテム・レベルのセキュリティを有効にするタブに移動します。
「タブの編集」アイコンをクリックします(図17-5)。
タブの横ではなく、必ずタブ・フラップ上の「タブの編集」アイコンをクリックしてください。
表示されたページで、「アクセス」タブをクリックして前面に表示します。
「アクセス設定」セクションに移動し、「アクセス設定を指定」を選択します。
「アクセス・プロパティ」セクションで、「アイテム・レベルのセキュリティを有効にする」を選択します。
これにより、アイテム作成者およびアイテム所有者は、タブ上の個々のアイテムに対するアクセス権限を付与できます。アイテム作成者は、タブからアクセス制御を継承するか、タブ上の各アイテムに対するアクセス権限を付与するかを選択できます。
Portalテンプレートでアイテム・レベルのセキュリティを有効にするには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アイテム・レベルのセキュリティを有効にするPortalテンプレートを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「Portalテンプレート」ヘッダーの下で、アイテム・レベルのセキュリティを有効にするテンプレートをクリックします。
ページが編集モードで開きます。
テンプレート上部のツールバーで「アクセス」リンクをクリックします。
表示されたページで、「アクセス・プロパティ」セクションに移動し、「アイテム・レベルのセキュリティを有効にする」を選択します。
「OK」をクリックして、ページに戻ります。
コンテンツ作成者として、選択したユーザーまたはグループにアイテムへの追加のアクセス権限を付与するかどうかを決定できます。アクセス権限は1つのアイテムに付与することも、複数のアイテムに同時に付与することもできます。この項では、両方の操作について説明します。内容は次のとおりです。
|
注意: アイテムに対するアクセス権限を付与するには、アイテムに対して少なくとも「管理」アイテム権限が必要です。 |
1つのアイテムに対するアクセス権限を付与するには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アクセス権限を付与する対象のアイテムを含むページを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「ページ」ヘッダーの下で、アクセス権限を付与する対象のアイテムを含むページをクリックします。
ページが編集モードで開きます。
該当するアイテムを検索し、アイテムの横の「操作」アイコンをクリックします(図17-6)。
|
注意: ページ・リンク・アイテムの場合、ユーザーがアイテムに対してアイテム・レベルの権限を持っていても、ユーザーにターゲット・ページに対するアクセス権限がなければ、アイテムは表示されません。 |
表示されたページで、「アクセス」リンクをクリックします。
「アイテム・レベルのセキュリティ」セクションで、「アイテム・レベルのアクセス権限を定義」を選択します。
2つの追加セクション、「アクセス権限の付与」と「アクセス権限の変更」が表示されます。Netscape 4.xブラウザなど、一部の古いバージョンのブラウザの場合、「適用」をクリックして、追加セクションを表示する必要があります。
|
注意: 「親ページのアクセス権限を継承」を選択すると、アイテムには、親ページに設定されているものと同じアクセス権限が設定されます。アイテムに複数のバージョンがある場合、アクセス設定は、編集中のもののみでなく、アイテムのすべてのバージョンに適用されます。 |
「アクセス権限の付与」セクションで、権限を割り当てるユーザーまたはグループの名前を入力します。
「ユーザーをブラウズ」アイコンをクリックして既存ユーザーのリストを表示するか、「グループをブラウズ」アイコンをクリックして既存グループのリストを表示します。
|
注意: 同じアクセス権限を複数のユーザーに付与する場合は、グループを追加すると時間の節約になります。 |
権限のドロップダウン・リストから、指定したユーザーまたはグループに付与するアイテム・レベルの権限を選択します。
「追加」をクリックします。
権限受領者と彼らの権限レベルが、「アクセス権限の変更」セクションに表示されます。このセクションで、別のアイテム・レベルの権限を選択したり、ユーザーまたはグループからアイテム権限を取り消したりできます。
該当するユーザーまたはグループごとに、手順8から10を繰り返します。
終了したら、「OK」をクリックします。
|
注意: Oracle Portalでは、ID管理にOracle Internet Directoryを使用します。Oracle Internet Directoryは、ユーザーとグループのリポジトリとして機能します。Oracle Internet Directoryでは、グループは識別名(DN)で一意に識別されます。各グループは一意のDNを持っていますが、まったく無関係の2人の名前が同じ(John SmithとJohn Doeなど)場合があるのと同様に、複数のグループ間で共通の名前を持つことができます。Portal内で作業する場合、そのPortal内で作成されたグループは共通の名前でのみ表示されます。ただし、Portalが、Oracle Internet Directory内の他の場所(同じID管理インフラストラクチャに関連付けられている他のPortalのグループなど)にあるグループを参照するときは、そのグループとPortalでローカルに定義されたグループを区別するためにグループのDNが表示されます。アイテム・レベルのセキュリティは、「ポートレット・リポジトリ」ページ・グループのアイテムに対しては無効にできません。 |
1人のユーザーが、同じアイテムに対して異なる権限を持つ2つの異なるグループのメンバーである場合、ユーザーは弱い方の権限によって制限されません。たとえば、あるグループが「編集」アイテム権限を、別のグループが「管理」アイテム権限を持ち、ユーザーが両方のグループに属している場合は、そのアイテムを表示することも管理することもできます。
ユーザーまたはグループのアクセスを取り消すには、「アクセス権限の変更」の下の「権限受領者の名前」の横の「削除」アイコンをクリックします。
ページ編集モードの「リスト」ビューで「操作」リストを使用して、複数のアイテムに対するアクセス設定を同時に変更します。これらの操作を実行するには、まずアイテム・レベルのセキュリティを、その操作を実行するページ、タブまたはテンプレートで有効にする必要があります。詳細は、17.9.1項「アイテム・レベルのセキュリティの使用」を参照してください。
複数のアイテムに対するアクセス設定を同時に変更するには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アクセス権限を変更するアイテムを含むページを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「ページ」ヘッダーの下で、アクセス権限を変更するアイテムを含むページをクリックします。
ページが編集モードで開きます。
ページ上部のツールバーで「リスト」リンクをクリックします。
ページ編集モードの「リスト」ビューでページが表示されます。
変更するアイテムの横のチェック・ボックスを選択します。
「操作」ドロップダウン・リストから、次のオプションのいずれかを選択し、「実行」をクリックします。
アイテム・アクセス設定を変更
選択したアイテムのアクセス設定を変更するには、このオプションを選択します。「実行」をクリックすると、「一括操作: アイテム・アクセス設定を変更」画面が表示されます。
「アイテムの選択」セクションを使用して、アイテム・アクセス設定を変更するアイテムを識別します。
「指定されたアイテム・レベルのアクセス」を選択し、個々にアクセス設定が定義されているアイテムに対して操作を実行します。これらのアイテムに現在適用されているすべてのアクセス権限を取り消すには、「すべてを取消し」リンクをクリックします。
配置されているページからアクセス設定を継承しているアイテムに対して操作を行うには、「親ページを継承しているアイテム」を選択します。
「アクセス権限の付与」の下で、選択したアイテムに必要に応じて権限を割り当てます。詳細は、17.9.1.5.1項「1つのアイテムに対するアクセス権限の変更」の手順8から12を参照してください。
終了したら、「閉じる」をクリックします。
アイテム・アクセス設定を継承しない
指定したアイテムが配置されているページまたはタブからアクセス設定を継承しないように指定するには、このオプションを選択します。「実行」をクリックして、表示された確認ダイアログで「OK」をクリックします。
親からアイテム・アクセス設定を継承
指定したアイテムが配置されているページまたはタブからアクセス設定を継承するように指定するには、このオプションを選択します。「実行」をクリックして、表示された確認ダイアログで「OK」をクリックします。
承認を使用すると、実際にユーザーに表示されるものに対する制御を維持したまま、Portalコンテンツの追加または修正を委任することができます。特に重要な承認関連の機能は、次のとおりです。
定義済の承認プロセス
「承認付きアイテムの管理」ページ権限(または「すべてのページ」オブジェクト・タイプに対する同名のグローバル権限)
アイテムの下書き
この項では、これらの機能について説明し、このマニュアルの他の章での関連情報を示します。
これらの機能のいずれかを有効にするには、まずページ・グループ・プロパティの「構成」タブで「承認と通知」を有効にする必要があります(5.4.2項「ページ・グループでの承認と通知の有効化」を参照)。承認が有効になると、承認プロセスを定義し、「承認付きアイテムの管理」ページ権限を付与し、ページ・グループまたは(許される場合は)ページのアイテムの下書きを有効にできます。
経費報告書や出張申請など、承認を必要とするハード・コピー文書が従業員にとってボトルネックとなっている紙ベースのオフィスでは、承認プロセスを導入することでコストを削減できます。承認プロセスを定義すると、適切な権限を持つ組織内のユーザーは、承認を必要とする保留中のアイテムに関する通知の受信、アイテムの確認、アイテムの承認または却下などをすべて社内のPortalで実行できるようになります。
デフォルトでは、承認プロセスはページ・グループ・レベルで定義されています。ページ・グループが、ページにそれぞれの承認プロセスを設定できるように構成されている場合、承認プロセスはページ・レベルでも定義できます。ページ・グループとページのどちらにも、それぞれのプロパティ・ページの「承認」タブで承認プロセスを定義する場所があります。詳細は、第20章「承認チェーンの設定」を参照してください。
「承認付きアイテムの管理」ページ権限を持つユーザーがコンテンツをアップロードまたは修正する場合、コンテンツは定義済の承認プロセスに送信され、ここで確認されて公開のために渡されるか、却下されるかのいずれかになります。ただし、「承認付きアイテムの管理」ページ権限を持つユーザーがいて、承認プロセスが定義されていない場合、この権限はアイテムに関して「コンテンツの管理」ページ権限に相当します。つまり、そのようなユーザーは、承認プロセスを経ていないアイテムを公開できます。ページに対する権限の付与については、17.5.2項「ページに対する権限の付与」を参照してください。承認の詳細は、第20章「承認チェーンの設定」を参照してください。
ページ・グループをアイテムの下書きをサポートするよう構成することもできます。下書き機能を有効にすると、コンテンツ開発者は、アイテムを承認のために送信する準備ができるまで、アイテムを表示することなく、Portalにアップロードできます。これは、ページが表示されるときに、大部分のユーザーに対して下書きアイテムが表示されないためです。どのユーザーがどのような状態にあるアイテムを表示できるかを調べるには、17.9.3項「アイテムURLのセキュリティ」を参照してください。)ページが編集モードである場合、ユーザーは、「保留中のアイテム: プレビュー」または「リスト」ビューで下書きアイテムを表示できます。これらのビューではこうしたアイテムは下書きと明示されています。
コンテンツ開発者は、下書きのコンテンツをアップロードできます。その場合、コンテンツをページ上の表示場所に配置し、下書きのステータスを変更するまで、一般に表示されないようにします。下書きが終了すると、承認プロセスが準備されていて、作成者が承認のためにアイテムを送信する必要があるかどうかによって、作成者は下書きのステータスを、「アクティブ」または「保留中」のいずれかに変更します。「下書き」オプションは、一度有効にすると、すべての下書きアイテムがアクティブ・ステータスに切り替えられるか、承認のために送信されるまで、無効にはできません。
下書きを有効にするオプションは、ページ・プロパティまたはページ・グループ・プロパティの「承認」タブにあります。下書きには必ずしも承認が必要ではありませんが、下書き機能を有効にするには、承認を有効にする必要があります。承認は、定義済の承認プロセスがなくても、有効にできます。これによって、仕上がったコンテンツを最終的に承認する必要なく、下書きを誰に対しても有効にすることができます。アイテムの下書きの有効化については、第20章「承認チェーンの設定」を参照してください。
表17-2では、様々な状態(下書き、保留中、非公開アイテムなど)のアイテムのURLに適用されるアクセス・ルールの概要を示しています。さらに、表ではこれらの状態について、次の3つの条件で説明しています。
Portalを介したアクセス
WebDAVを介したアクセス
検索を介したアクセス
|
注意: アイテムのステータスと、アイテムのアクセスに使用される手段の他に、キャッシュ・オプションもアイテムのアクセスに影響を与える可能性があります。詳細は、第21章「ページ生成のパフォーマンスの向上」を参照してください。 |
コンテンツ管理者とは、アイテム・レベルのセキュリティが有効な場合に、適切な管理権限を持つ人を指します。管理権限とは、次のものを意味します。
「すべてのページ・グループ」オブジェクト・タイプに対する「すべて管理」グローバル権限
「すべてのページ」オブジェクト・タイプに対する「管理」グローバル権限
「すべてのページ」オブジェクト・タイプに対する「コンテンツの管理」グローバル権限
「すべてのページ」オブジェクト・タイプに対する「承認付きアイテムの管理」グローバル権限
「管理」ページ権限
「コンテンツの管理」ページ権限
「承認付きアイテムの管理」ページ権限
「管理」アイテム権限
表17-2 アイテムURLのセキュリティ
| アイテムの状態 | Portalを介したアクセス | WebDAVを介したアクセス | 検索を介したアクセス |
|---|---|---|---|
|
コンテンツ管理者と下書き作成者は、アイテムのアクセスおよび表示ができます。 |
「承認付きアイテムの管理」ページまたはグローバル権限を持つユーザーは、アイテムを表示し、作業ができます。 「管理」アイテム権限を持つユーザーには、0KBのサイズのアイテムが見えます。このようなユーザーに、アイテムの更新や表示はできません。 「表示」アイテム権限を持つユーザーには、アイテムは見えません。 |
下書きアイテムは、どのユーザーにも返されません。下書きモードでアイテムを追加した「承認付きアイテムの管理」権限を持つユーザーでも同様です。 |
|
|
コンテンツ管理者、アイテムの作成者または更新者および承認者は、アイテムのアクセスおよび表示ができます。 |
「管理」アイテム権限を持つユーザーには、0KBのサイズの保留中アイテムが見えます。 アイテムを送信したユーザーには、そのアイテムが実際のサイズで見えます。 「表示」アイテム権限を持つユーザーには、0KBのサイズの保留中アイテムが見えます。これは、予約済ネームスペースの表示を有効にすることです。 |
保留中アイテムは、どのユーザーにも返されません。 |
|
|
コンテンツ管理者と「承認付きアイテムの管理」ページまたはグローバル権限を持つユーザーは、アイテムのアクセスおよび表示ができます。 アイテムでアイテム・レベルのセキュリティが使用されている場合、そのアイテムに対して「管理」アイテム権限を持つユーザーは、アイテムのアクセスおよび表示ができます。 |
アイテムは、「表示」アイテム権限を持つユーザーには見えません。 ページ・グループ・プロパティで「非公開アイテム、期限切れアイテム、削除アイテムを編集モードで表示」オプションが選択されている場合、コンテンツ管理者にはアイテムが見えます。 |
非公開アイテムは、どのユーザーにも返されません。 |
|
|
アイテムが「アクティブ」の場合、そのページを表示する権限を持つ人には、アイテムが見えます。 ページが「パブリック」の場合、すべてのユーザーは、下書きURLを介してアイテムのアクセスおよび表示ができます。 アイテムでアイテム・レベルのセキュリティが使用されている場合、そのアイテムに対して「管理」アイテム権限を持つユーザーは、アイテムのアクセスおよび表示ができます。 アイテムが「期限切れ」または「削除済」の場合、コンテンツ管理者のみ非現行バージョンへのアクセスおよび表示ができます。 |
現行バージョンが常に表示されます。 |
現行バージョンが常に返されます。 |
|
|
アイテムは、ページを表示する十分な権限を持つ誰にでもアイテムURLを介してアクセスできます。 アイテムでアイテム・レベルのセキュリティが使用されている場合、そのアイテムに対して「表示」アイテム権限を持つユーザーは、アイテムのアクセスおよび表示ができます。 ページが「パブリック」の場合、誰でもアイテムのコンテンツを表示できます。 |
アイテムは、「表示」アイテム権限を持つユーザーには見えません。 アイテムは、「管理」または「承認付きアイテムの管理」ページまたはグローバル権限を持つユーザーには見えます。 |
非表示アイテムは、どのユーザーにも返されません。 |
|
|
コンテンツ管理者は、期限切れアイテムのアクセスおよび表示ができます。 アイテムでアイテム・レベルのセキュリティが使用されている場合、そのアイテムに対して「管理」アイテム権限を持つユーザーは、アイテムのアクセスおよび表示ができます。 |
アイテムは、「表示」アイテム権限を持つユーザーには見えません。 ページ・グループ・プロパティで「非公開アイテム、期限切れアイテム、削除アイテムを編集モードで表示」オプションが選択されている場合、コンテンツ管理者にはアイテムが見えます。 |
期限切れアイテムは、どのユーザーにも返されません。 |
|
|
コンテンツ管理者は、削除済アイテムのアクセスおよび表示ができます。 アイテムでアイテム・レベルのセキュリティが使用されている場合、そのアイテムに対して「管理」アイテム権限を持つユーザーは、アイテムのアクセスおよび表示ができます。 |
アイテムは、「表示」アイテム権限を持つユーザーには見えません。 ページ・グループ・プロパティで「非公開アイテム、期限切れアイテム、削除アイテムを編集モードで表示」オプションが選択されている場合、コンテンツ管理者にはアイテムが見えます。 |
削除済アイテムは、どのユーザーにも返されません。 |
