セキュリティーの設定

「ワークリストマネージャー」ウィンドウと「タスク割り当て」ウィンドウのどちらを使用する場合も、ユーザー情報と認証を取得するために LDAP ディレクトリに接続する必要があります。必要に応じて、LDAP サーバー上の SSL を設定することにより、情報を暗号化できます。

LDAP サーバーの設定

LDAP サーバーをすでに使用している場合は、既存のディレクトリ構造を使用できます。ワークリストマネージャーのもっとも重要な要件は、マネージャーや上司が部下のタスクを表示したり、ユーザーが上司にタスクをエスカレーションしたりできるようにするための、ユーザー階層を明確に定義するメカニズムです。

OpenLDAP

ワークリストマネージャーは、既存の OpenLDAP ディレクトリ構造に適応できます。ユーザーの報告構造を定義する属性を各ユーザーにまだ割り当てていない場合は、その作業が必要になることがあります。デフォルトの属性である Manager を使用することもできますが、新しいマネージャー属性を作成することもできます。各ユーザーは、図 2 のディレクトリ構造の例に示す Manager: cn=GSmythe のようなエントリを持つべきです。

図 2 OpenLDAP のディレクトリ構造の例

ワークリストマネージャーの各ユーザーのログイン資格は、各ユーザーの識別名に使用されているネーミング属性 (通常は cn 属性) の値と、userpassword 属性の値によって定義されます。OpenLDAP の場合、Sun BPM は匿名バインドを使用してディレクトリサーバーにアクセスします。

ワークリストマネージャーユーザーが属するカスタムグループおよびカスタムロールを作成できますが、これは必須ではありません。ワークリストマネージャーを OpenLDAP 用に設定する方法については、「OpenLDAP の接続設定」を参照してください。

Sun Java System Directory Server

ワークリストマネージャーは、既存の Sun Java System Directory Server の構造に適応できます。報告構造をまだ定義していない場合は、定義する必要があります。報告構造を定義するには、さまざまな方法があります。Sun は、デフォルトの属性である manager を提供しています。この属性を使用して上方向の報告構造を定義できますが、その場合は部下を定義する属性も使用する必要があります。ユーザーのマネージャーや部下を示すカスタム属性を作成することも、ユーザーの entrydn 属性で階層を定義することもできます。たとえば、ユーザー "gsmythe" が "grose" に報告し、"grose" が "cpina" に報告する場合、"gsmythe" の entrydn 属性は次のようになります。

uid=gsmythe,uid=grose,uid=cpina,ou=people,dc=sun,dc=com

前述の entrydn を使用したディレクトリ構造は、図 3 のようになります。

図 3 Sun Java System Directory Server の構造の例

ワークリストマネージャーユーザーが属するカスタムグループおよびカスタムロールを作成できますが、これは必須ではありません。

ワークリストマネージャーでタスクのエスカレーションと再割り当てを有効にするには、前述のように manager 属性を使用してユーザーの上司を定義し、各ユーザーの entrydn 属性で報告構造を定義する必要があります。manager 属性には、必ず上司の完全な entrydn 値を入力してください。

LDAP ディレクトリ構造を定義するときは、各ユーザーの識別名に使用されているネーミング属性に注意してください。これは、通常 uid 属性または cn 属性です。この値は、「Environment」のワークリストマネージャー外部システムのプロパティーで指定されます。ワークリストマネージャーの各ユーザーのログイン資格は、ネーミング属性の値と userpassword 属性の値によって定義されます。ワークリストマネージャーがセキュリティープリンシパルとして使用する管理者ユーザーを作成する必要があります。

ワークリストマネージャーを Sun Java System Directory Server 用に設定する方法については、「Sun Java System Directory Server の接続設定」を参照してください。

Microsoft Active Directory

ワークリストマネージャーは、既存の Active Directory 構造に適応できます。報告構造をまだ定義していない場合は、定義する必要があります。Active Directory は、報告階層を定義する 2 つのデフォルト属性として manager および directReports を提供します。ユーザーの上司や部下を示すカスタム属性を作成することもできます。ワークリストマネージャーユーザーが属するグループおよびロールを作成できますが、これは必須ではありません。

Active Directory では、ユーザーのログイン ID が sAMAccountName 属性によって定義されます。この属性は、「Environment」のワークリストマネージャー外部システムのプロパティーで指定されます。ワークリストマネージャーの各ユーザーのログイン資格は、sAMAccountName 属性の値と userPassword 属性の値によって定義されます。ワークリストマネージャーがセキュリティープリンシパルとして使用する管理者ユーザーを作成する必要があります。

ワークリストマネージャーを Microsoft Active Directory 用に設定する方法については、「Microsoft Active Directory の接続設定」を参照してください。

Secure Sockets Layer の設定

デフォルトでは、リポジトリと LDAP サーバー間の通信は暗号化されません。Secure Sockets Layer (SSL) を使用するように LDAP サーバーとワークリストマネージャーを設定できます。

リポジトリと LDAP サーバー間の通信を暗号化する

1. LDAP サーバー上の SSL を設定します。

   LDAP サーバーが SSL (Secure Sockets Layer) を使用するように設定されていることを確認します。詳細な手順については、LDAP サーバーに付属のマニュアルを参照してください。

2. LDAP サーバー証明書をファイルにエクスポートします。

3. LDAP サーバー証明書をリポジトリの信頼できる証明書のリストにインポートします。以降の手順では、keytool プログラムを使用します。このプログラムは、リポジトリ (および Java SDK) に含まれています。

4. コマンドプロンプトで、<JavaCAPS_home>\repository\1.5.0_10\jre\bin に移動します。

5. 次のコマンドを実行します。

   keytool -import -trustcacerts -alias alias -file certificate_filename -keystore cacerts_filename

   -alias オプションには、任意の値を割り当てます。

   -file オプションには、LDAP サーバー証明書の完全修飾名を指定します。次に例を示します。

   C:\ldap\mycertificate.cer

   -keystore オプションには、<Java CAPS_home>\repository\1.5.0_10\jre\lib\security にある cacerts ファイルの完全修飾名を指定します。次に例を示します。

   C:\JavaCAPS51\repository\1.5.0_10\jre\lib\security\cacerts

6. プロンプトが表示されたら、キーストアのパスワードを入力します。デフォルトのパスワードは changeit です。

7. この証明書を信頼するかどうかを選択するプロンプトが表示されたら、「はい」を入力します。

   次のメッセージが表示されます。

   証明書がキーストアに追加されました

8. server.xml ファイルのレルム要素で、LDAP サーバーの URL を次のように変更します。

   1. プロトコルを ldaps に設定します。

   2. ポート番号を、LDAP サーバーが SSL 要求を待機するポート番号に設定します。通常、この番号は 636 です。

      次に例を示します。

      <Realm className="org.apache.catalina.realm.JNDIRealm" connectionURL="ldaps://myldapserver:636">

LDAP および UNIX の Java CAPS 環境

Java CAPS 環境の論理ホストが UNIX システム上で実行されている場合は、LDAP サーバーに接続するように LDAP プロバイダ URL を設定する必要があります。Java CAPS 環境では、次のものが一般的です。

• UNIX 上で実行されている論理ホスト

• Windows 上で実行されている Java CAPS リポジトリ

• UNIX 上で実行されている LDAP

この環境では、ワークリストマネージャープロパティーの「LDAP プロバイダ URL」を正確な URL に設定する必要があります。

LDAP プロバイダ URL を設定する

1. 「環境エクスプローラ」タブで、ワークリストマネージャー外部システムを右クリックし、「プロパティー」をクリックします。

2. 「設定リスト」で、「WLMConnector 外部システムの設定」を展開し、使用する LDAP サーバーに応じて、「OpenLDAP パラメータ」または「Sun Java System Directory Server/ADS」をクリックします。

3. 「LDAP プロバイダ URL」プロパティーに、LDAP サーバーの正確な URL を入力します。

   LDAP サーバー用の URL は、ldap://host:port です。

   host は LDAP サーバーがあるマシンの名前です。port は LDAP ディレクトリが待機するポート番号です。このポート番号には、LDAP ディレクトリブラウザまたは使用している管理ツールを使用してアクセスできます。

4. 「了解」をクリックして変更を保存します。