Sun Java System Portal Server 6 2005Q4 配備計画ガイド |
第 1 章
Portal Server のアーキテクチャーこの章で説明する内容は次のとおりです。
ポータルとはポータルにより、1 つのページから企業全体のさまざまなコンテンツ、データ、およびサービスにアクセスすることができます。ポータルプロバイダ、チャネル、およびポートレットによってポータルページに表示されるコンテンツは、ユーザー設定、組織内でのユーザーの役割や部門、サイトのデザイン、およびエンドユーザーとしての顧客に対するマーケティングキャンペーンに基づいて、パーソナライズすることができます。
ポータルは、いくつもの Web アプリケーションにアクセスする際の統一されたアクセスポイントとして機能します。また、セキュリティー、検索、コラボレーション、およびワークフローなどの便利な機能も備えています。ポータルは、統合されたコンテンツとアプリケーションを配信することに加え、統一された共同のワークスペースも提供します。実際に、ポータルは次世代のデスクトップであり、Web 上の電子商取引アプリケーションをすべての種類のクライアントデバイスに配信することができます。優れたポータルソリューションがあれば、作業を完了するために必要なすべてのものに、いつでもどこでも、セキュリティー保護された方法でアクセスすることが可能です。
ポータルのタイプ多くの新規ポータル製品が発表されているため、市場はますます混乱してきています。実際、ビジネスコンテンツへの Web インタフェースを備える製品やアプリケーションは、どれもポータルに分類されているのが現状です。このような理由から、ポータルにはさまざまな用途があり、次のいずれかに分類することができます。
共同ポータル
共同ポータルを利用することにより、ビジネスユーザーは、電子メール、ディスカッショングループで使用する資料、オフィスドキュメント、各種フォーム、メモ、議事録、Web ドキュメント、およびライブデータ送信のサポートなど、構造化されていないオフィスコンテンツを整理、検索、および共有することができます。共同ポータルは、広範な情報に対応できる点だけでなく、一連のコンテンツ管理サービスと共同サービスを提供する点でも、インターネットポータルやイントラネットポータルと異なっています。
次のようなコンテンツ管理サービスが提供されます。
共同ポータルは、企業の機能として主に内部で使用されます。
共同サービスにより、ユーザーは次の操作を実行できます。
ビジネスインテリジェンスポータル
ビジネスインテリジェンスポータルにより、経営幹部、部門マネージャー、およびビジネスアナリストは、ビジネスインテリジェンス機能にアクセスしてビジネス上の決定を下すことができます。一般にこのタイプのポータルでは、ビジネスインテリジェンスレポート、分析、および事前定義クエリーのインデックスを作成し、それらを財務管理、カスタマーリレーションシップ管理、およびサプライチェーンパフォーマンス管理と関連付けています。ビジネスインテリジェンスポータルからは、レポート作成、OLAP、データマイニングなどのビジネスインテリジェンスツール、パッケージ化された分析用アプリケーション、警告、パブリッシング、および登録機能にもアクセスできます。ビジネスインテリジェンスタイプのポータルを提供するベンダーとして代表的なのは、Peoplesoft です。
ビジネスインテリジェンスポータルには、次のようなタイプがあります。
Portal Server の機能Sun JavaTM System Portal Server 6 2005Q4 ソフトウェアにより、組織では次の機能を使用することができます。
- セキュリティー保護されたアクセスと認証接続。オプションで、ユーザーのブラウザと企業の間で暗号化技術を使用できます。
- ユーザー認証。各ユーザーに固有のリソースセットへのアクセスを許可する前に適用します。
- 抽象化のサポート。さまざまなソースからコンテンツを引き出し、ユーザーのデバイスに適した出力形式でそれらの情報を集約およびパーソナライズできます。
- 検索エンジンインフラストラクチャー。イントラネットのコンテンツを整理し、ポータルからアクセスできます。
- ユーザーおよびサービスに特定の持続データのストア機能。
- 一般に必要なアプリケーションへのアクセス。メール、カレンダ、ファイルストレージなどのサービスにアクセスできます。
- 管理インタフェース。代理またはリモートの管理が可能です。
- シングルサインオン機能とセキュリティー機能。企業のアプリケーションとコンテンツに標準的な方法でアクセスできます。
- パーソナライズ。ポータルプロバイダ、ポートレット、および Web サービスリモートポートレットを使用します。
- コンテンツのパブリッシングと管理 (FatWire などのサードパーティーアプリケーションによる機能)。
Sun Java System Portal ServerPortal Server は、Sun JavaTM Enterprise System テクノロジのコンポーネントです。Sun Java Enterprise System テクノロジでは、企業のコンピュータ環境におけるさまざまな必要性をサポートします。たとえば、セキュリティー保護されたイントラネットポータルを作成し、電子メールや社内ビジネスアプリケーションに企業の従業員が安全にアクセスできるようにします。
Portal Server 製品は、アイデンティティーを有効活用するポータルサーバーソリューションです。ユーザー、ポリシー、およびアイデンティティー管理のすべてを提供して、セキュリティー、Web アプリケーションのシングルサインオン (SSO)、およびエンドユーザーコミュニティーへのアクセス機能を実現します。また Portal Server は、パーソナライズ、集約、セキュリティー、統合、検索などのポータルサービスを結合させます。内部のリソースやアプリケーションへのセキュリティー保護されたリモートアクセスを可能にする独自の機能により、企業対社員、企業間、および企業対顧客の各ポータルを配備する包括的なポータルプラットフォームを提供します。Sun Java System Portal Server Secure Remote Access (SRA) により、リモートアクセス機能の安全性をさらに高めて、Web に対応しているリソースと対応していないリソースにアクセスできます。
それぞれの企業は個別の必要性を見積もり、Java Enterprise System テクノロジの独自の配備計画を作成します。各企業に合った最適な配備方法は、Java Enterprie System テクノロジによってサポートするアプリケーションのタイプ、ユーザー数、使用可能なハードウェアの種類、およびこの種の他の考慮点によって異なります。
Portal Server は、すでにインストール済みのソフトウェアコンポーネントと連動することができます。この場合 Portal Server は、ソフトウェアのバージョンが適切であれば、インストール済みのソフトウェアを使用します。
Secure Remote AccessSun Java System Portal Server Secure Remote Access (SRA) により、Java テクノロジが有効なすべてのリモートブラウザから、ポータルのコンテンツおよびサービスにセキュリティー保護された状態でアクセスできます。
SRA には、Java テクノロジが有効なすべてのブラウザからアクセスできるので、クライアントソフトウェアが不要です。Portal Server ソフトウェアと統合すると、アクセス権のあるコンテンツおよびサービスに対して暗号化された安全なアクセスが保証されます。
SRA は、安全性の高いリモートアクセスポータルを提供する企業を対象に設計されています。このようなポータルは、イントラネットリソースのセキュリティー、保護、およびプライバシーに重点が置かれています。Access List、Gateway、NetFile、Netlet、およびプロキシレットなどの SRA サービスにより、インターネット上にリソースを公開することなく、インターネットを介してイントラネットのリソースにセキュリティー保護してアクセスできます。
Portal Server は、SRA を使用する場合はセキュアモード、しない場合はオープンモードで動作します。
オープンモードの Portal Server
オープンモードの場合、Portal Server は SRA なしでインストールされます。標準的な公開ポータルは、HTTP プロトコルのみを使用し、セキュリティー保護されたアクセス機能なしで運営されています。オープンモードでも、インストール時またはインストール後に HTTPS プロトコルを使用するように Portal Server を設定できますが、セキュリティー保護されたリモートアクセスはできません。つまり、リモートファイルシステムとアプリケーションにはアクセスできません。
オープンポータルとセキュアポータルの主な違いは、オープンポータルを通じて提供されるサービスは、通常は保護されたイントラネット内ではなく非武装ゾーン (DMZ) 内に存在する点にあります。
ポータルに機密情報が含まれていない場合 (公開情報を配置し、無償アプリケーションへのアクセスを許可)、大量のアクセスに対する応答は、セキュアモードに比べて速くなります。
図 1-1 は、オープンモードに設定された Portal Server を示しています。この図では、ファイアウォールの背後にある単独サーバーに Portal Server がインストールされています。複数のクライアントが、インターネット全体から 1 箇所のファイアウォールを通して、またはファイアウォールの背後に設置された Web プロキシサーバーから Portal Server にアクセスします。
注
HTTPS プロトコルを有効にして Portal Server をオープンモードで動作させることにより、Web 対応のリソースのユーザーにセキュリティー保護されたアクセス機能を提供できます。ただし、SRA がなければ、ファイルシステムや TCP/IP アプリケーションへのセキュリティー保護されたリモートアクセス機能は提供できません。
図 1-1 オープンモードの Portal Server
セキュアモードの Portal Server
セキュアモードの場合、Portal Server は SRA とともにインストールされます。セキュアモードは、必要とされるイントラネットファイルシステムとアプリケーションへのセキュリティー保護されたリモートアクセスを可能にします。
SRA による主な利点は、ゲートウェイの IP アドレスのみがインターネットに公開されることです。その他すべてのサービスおよびその IP アドレスは隠され、インターネットなどの公衆ネットワークで稼働するドメインネームサービス (DNS) には一切公開されません。
ゲートウェイは非武装ゾーン (DMZ) に常駐します。ゲートウェイは、すべてのイントラネット URL とアプリケーションへの単一のセキュアアクセスポイントとして働くため、ファイアウォールで開かれるポートの数は減ります。セッション、認証、およびポータルデスクトップなど、他のすべての Sun Java System サービスは、保護されたイントラネットの DMZ の背後に常駐します。クライアントブラウザからゲートウェイへの通信は、SSL (Secure Socket Layer) を使った HTTP を使って暗号化されます。ゲートウェイからサーバーおよびイントラネットリソースへの通信には HTTP か HTTPS が使用されます。
図 1-2 は、SRA とともにインストールされた Portal Server を示しています。SSL はクライアントとゲートウェイの接続をインターネット上で暗号化するために使用されます。また SSL は、ゲートウェイと Portal Server システム間の接続の暗号化にも使用されます。イントラネットとインターネットの間にゲートウェイが存在するので、クライアントと Portal Server システム間のセキュアパスが延長されます。
図 1-2 セキュアモードの Portal Server
サーバーとゲートウェイを追加してサイトを拡張することもできます。また、ビジネス要件に基づいて、SRA のコンポーネントをさまざまな方法で設定することも可能です。
セキュリティー、暗号化、および認証Portal Server システムのセキュリティー機能では、UNIX システムのセキュリティー機能に加え、HTTPS 暗号化プロトコルに依存して、Portal Server システムソフトウェアを保護しています。
セキュリティーは Web コンテナによって実現され、必要に応じて SSL を使用するように設定できます。Portal Server は、認証とエンドユーザー登録の場合の SSL もサポートしています。Web サーバーで SSL 証明書を有効にすることにより、ポータルデスクトップや他のアプリケーションにもセキュリティー保護してアクセスできます。Access Manager ポリシーを使用して、URL ベースのアクセスポリシーも設定できます。
Portal Server は、Sun Java System Access Manager によって提供される認証サービスを利用して、Access Manager SSO メカニズムを使用するすべての製品間でのシングルサインオン (SSO) をサポートします。SSO メカニズムでは、エンコードされたクッキーを使用してセッション状態を保持します。
SRA には、さらに別のセキュリティー機能があります。SRA では、デフォルトで HTTPS を使用して、クライアントのブラウザをイントラネットに接続します。ゲートウェイでは、リライタを使用して、インターネットに直接コンテンツを公開せずにイントラネットの Web サイトにアクセスする仕組みを実現しています。またゲートウェイにより、アクセスされる Web サーバーに変更を加えずに、URL ベースのアクセスポリシーも設定できます。
ゲートウェイからサーバーおよびイントラネットリソースへの通信には、HTTP または HTTPS を使用できます。Web アプリケーションとディレクトリサーバーとの間の通信のように、Portal Server 内での通信では、デフォルトで暗号化を使用しませんが、SSL を使用するように設定できます。
Portal Server の配備コンポーネントPortal Server の配備は、次のコンポーネントで構成されます。
Portal Server のアーキテクチャー必ずではありませんが、通常は、以下のさまざまなポータルノード (サーバー) Portal Server ソフトウェアを配備して、連携動作することによってポータルを実装します。
- Portal Server ノード: Portal Server が常駐する Web サーバーです。必要であれば、このノードに検索コンポーネントをインストールすることもできます。Access Manager もここに常駐可能です。
- Access Manager ノード: Access Manager が常駐可能なサーバーです。Access Manager は、Portal Server と同じノードに常駐する必要はありません。
- 検索ノード: オプションです。Portal Server の検索サービスで使用するサーバーです。Portal Server 検索サービスは、パフォーマンス、スケーラビリティー、および可用性を高めるために、独自のサーバーにインストールできます。
- ゲートウェイノード: オプションです。SRA ゲートウェイが常駐するサーバーです。ゲートウェイはポータルノードにインストールできます。ゲートウェイは DMZ に配置するので、分離されたポータル以外のノードにインストールされます。
- Netlet プロキシノード: オプションです。ユーザーのイントラネットでアプリケーションを実行しているリモートデスクトップとサーバーの間で、アプリケーションをセキュリティー保護して実行するために使用されるサーバーです。
- リライタプロキシノード: オプションです。ユーザーのイントラネットでアプリケーションを実行しているリモートデスクトップとサーバーの間で、アプリケーションをセキュリティー保護して実行するために使用されるサーバーです。
- Directory Server ノード: Directory Server ソフトウェアを実行しているサーバーです。Directory Server はポータル以外のノードにインストールできます。
- その他のサーバー: メールサーバーやファイルサーバーのようなサーバーおよび旧バージョンのサーバーは、バックエンドサポート、データ、およびアプリケーションをポータルユーザーに提供します。
アイデンティティー管理Portal Server は、コンテンツ、アプリケーション、およびサービスにアクセスする際には、Access Manager を利用して、組織内時には組織外に及ぶさまざまな役割を持つ数多くのユーザーを制御します。課題としては、だれがアプリケーションを使用するのか、ユーザーはどんな能力範囲で組織または企業に労働力を提供するのか、ユーザーの使命は何か、ユーザーは何にアクセスする権限をもつべきか、他の人は管理作業をどのように支援できるか、などの点が挙げられます。
Access Manager ソフトウェアは、次のコンポーネントで構成されます。
詳細については、『Access Manager 配備計画ガイド』を参照してください。
Portal Server ソフトウェアの配備このセクションでは、Portal Server に配備されるソフトウェアについて説明します。内容は、ソフトウェアのパッケージ化メカニズム、システム内部のソフトウェアカテゴリ、および Java ソフトウェアとの互換性です。
ソフトウェアのパッケージ化
Portal Server では、「動的 WAR ファイル」式のアプローチを使用して、ソフトウェアをシステムに配備します。Portal Server は SolarisTM パッケージを使用してインストールされます。SolarisTM パッケージは、JAR、JSP、テンプレート、および HTML ファイルなど、Web アプリケーションを構成する個々のファイルで構成されています。パッケージには、WAR ファイルや EAR ファイルは含まれていませんが、インストール時に Portal Server WAR ファイルを構成するために使用する、web.xml フラグメントが含まれています。この動的に構成されるファイルが、Web アプリケーションコンテナに配備されます。ローカリゼーションなどの場合に追加パッケージがシステムにインストールされると、Web アプリケーションファイルは再構成および再配置されます。
注
WAR ファイルのパッケージ化と配備の仕組みは、Portal Server 製品だけが使用します。現行では、WAR ファイルや WAR ファイルを構成するために使用されるファイルにユーザーが変更を加えることはできません。
ソフトウェアのカテゴリ
Portal Server は、Portal Server ノードにインストールするソフトウェアの種類を、次のように区別します。
- 動的 Web アプリケーション: これには、Java プラットフォームで動作するサーブレット、JSP ファイル、コンテンツプロバイダ、およびユーザーのブラウザからアクセスされたときに Web コンテナが処理するその他の項目が含まれます。Portal Server の場合は、これらのファイルが Web Server にインストールされます。
- 静的 Web コンテンツ: これには、静的 HTML ファイル、画像、アプレット JAR ファイル、および Web Server コンテナを使用せずに Web Server によって直接サービスを提供可能なその他の項目が含まれます。Portal Server の場合は、これらのファイルも Web Server にインストールされます。
- 設定データ: これには、ディレクトリにインストールされるデータが含まれます。つまり、Access Manager サービスの定義、およびインストール時にディレクトリに変更を加えるそれ以外のデータです。これには、Portal Server 拡張機能で接続する、コンソール設定データへの変更などがあります。設定データは、Portal Server の数に関係なく、1 回だけインストールされます。
- SDK: JAR ファイルまたはコンポーネントによって使用可能になる Java API を含むファイルです。開発者は、このパッケージを開発システムにインストールして、API を使用するクラスをコンパイルできるようにする必要があります。コンポーネントが公開 Java API をエクスポートしない場合は、このパッケージは含まれていません。
標準的な Portal Server のインストール図 1-3 は、ポータル配備のコンポーネントをいくつか図示していますが、実際の物理ネットワーク設計、シングルポイント障害、または高可用性については説明していません。ポータル設計の詳細については、第 5 章「ポータルの設計」を参照してください。
この図は、企業サイトにインストールされた標準的な企業対社員用ポータルの高レベルアーキテクチャーを示しています。この図では、プロキシ/キャッシュサーバー、Web サーバー、メールゲートウェイなどのインターネットからアクセス可能な他のシステムと一緒に、ゲートウェイが企業の DMZ に配置されています。ポータルノード、ポータル検索ノード、およびディレクトリサーバーは、個々の社員のデスクトップシステムから旧バージョンのシステムにいたるまで、ユーザーがアクセス可能なシステムやサービスが存在する内部ネットワークに配置されています。
注
ビジネスの顧客ごとに別々の Portal Server インスタンスをホストする ISP ホスティングの配備を設計している場合は、Sun Java System の担当者にご連絡ください。Portal Server は、ISP ホスティング機能を提供するためにカスタマイズする必要があります。
図 1-3 では、インターネットのユーザーがブラウザからゲートウェイにアクセスします。ゲートウェイは、ユーザーがアクセスしようとしているポータルの IP アドレスとポートにユーザーを接続します。たとえば、B2B ポータルは通常、HTTPS ポートである 443 番ポートにのみアクセスを許可します。ゲートウェイは、認証された使用法に応じて、要求をポータルノードに転送するか、企業の内部ネットワークのサービスに直接転送します。
図 1-3 企業対社員用ポータルの高レベルアーキテクチャー
図 1-4 は、SRA サービスを使用した Portal Server の配備を示しています。詳細については、第 2 章「Portal Server Secure Remote Access アーキテクチャー」を参照してください。
図 1-4 SRA の配備