Oracle® Fusion Middleware Oracle WebCenter Portal管理者ガイド 11g リリース1(11.1.1.6.0) B72085-01 |
|
前 |
次 |
本番環境のために、ポリシー・ストアを外部LDAP(Oracle Internet Directory 11gR1または10.1.4.3)あるいはデータベースと再度関連付ける必要があります。外部LDAPベースのストアを使用する際は、同じLDAPサーバーを使用するように資格証明ストアとポリシー・ストアを構成する必要があることに注意してください。ただし、アイデンティティ・ストアは、サポートされている他の任意のLDAPサーバーを使用することができ、ポリシー・ストアや資格証明ストアと同じLDAPサーバーを使用する必要はありません。
ポリシーおよび資格証明ストアをOIDと再度関連付けるには、LDAPディレクトリにルート・ノードを作成し、Fusion Middleware Controlを使用して、またはWLSTを使用してコマンドラインから、ポリシーおよび資格証明ストアをOIDサーバーと再度関連付けます。ポリシーおよび資格証明ストアをデータベースと再度関連付けるには、RCUにスキーマとデータベース接続を設定し、WLSTを使用してコマンドラインからポリシーおよび資格証明ストアをデータベースに移行します。
注意: ポリシー・ストアを再度関連付ける前に、次の関連する構成ファイルを必ずバックアップしてください。
念のため、ドメインの管理サーバーの |
この章の内容は次のとおりです。
対象読者
この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdmin
ロールを付与されたユーザー)を対象としています。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。
ポリシーおよび資格証明ストアをOIDと再度関連付ける際の最初のステップでは、LDAPディレクトリでLDIFファイルを作成し、すべてのデータを追加するルート・ノードを追加します。ファイルを作成してノードを追加したら、Fusion Middleware ControlまたはWLSTを使用してストアを再度関連付けます。
ルート・ノードを作成する手順は次のとおりです。
LDAPディレクトリでLDIFファイル(例: root.ldif
)に次を追加することでルート・ノードを作成します。
dn: cn=root_webcenter_xxxx cn: root_webcenter_xxxx objectclass: top objectclass: orclcontainer
ここでxxxxは、ノードを一意に識別する文字列(サーバー名など)です。
LDAPインストール・ディレクトリから次のLDAPコマンドを実行して、このノードをディレクトリに追加します。
OID_ORACLE_HOME/as_1/bin/ldapadd -h ldap_host_name -p ldap_port -D cn=orcladmin -w password -v -f root.ldif
各要素の意味は次のとおりです。
OID_ORACLE_HOME
はLDAPのインストール先ディレクトリ
ldap_host_name
はOIDサーバーのホスト名
ldap_port
はOIDサーバーのポート番号
password
はOIDサーバーにアクセスするためのパスワード
各ルート・コンテナは一意の名前を持つ必要があることに注意してください。
ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、第30.1項「ルート・ノードの作成」の説明に従って、まずルート・ノードを作成する必要があります。
ポリシーおよび資格証明ストアをOIDサーバーに再度関連付ける手順は次のとおりです。
Fusion Middleware Controlを開き、ターゲット・インスタンスにログインします。
Fusion Middleware Controlへのログインの詳細は、第6項「Enterprise Manager Fusion Middleware Controlの起動」を参照してください。
ナビゲーション・ペインで、該当するドメインをクリックします。
最初にインストールされたときに、SpacesおよびEnterprise Managerはすでに関連付けられており、同じドメイン内にデプロイされています。
「WebLogicドメイン」メニューから「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・プロバイダ構成」ページが表示されます(図30-1を参照)。
「セキュリティ・プロバイダ構成」ページで、「ストア・タイプの変更」をクリックして新しいOracle Internet Directoryプロバイダを追加します(または、既存のストアのパラメータを変更したい場合は、ストアを選択して「編集」をクリックします)。
「セキュリティ・ストアの構成」ページが表示されます(図30-2を参照)。
「ストア・タイプ」として「Oracle Internet Directory」を選択します。
「LDAPサーバーの詳細」で、Oracle Internet Directoryの「ホスト」の名前とLDAPの「ポート」を入力します。
「接続DN」フィールドをcn=orcladmin
に設定し、関連付けられたパスワードを「パスワード」フィールドに入力します。
「ルート・ノードの詳細」で、「ルートDN」フィールドを、root.ldif
ファイルに追加したもの(例: cn=root_webcenter_abcd99
)に設定します。必ず、cn=
を含めてください。
「OK」をクリックして、再関連付けを開始します。移行後、要求されたらWebLogicサーバーを再起動します。
ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、第30.1項「ルート・ノードの作成」の説明に従って、まずルート・ノードを作成する必要があります。
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。
connect('username>,'password', 'host_id:port')
各要素の意味は次のとおりです。
username
は、管理サーバーへのアクセスに使用される管理者のアカウント名です(例: weblogic
)。
password
は、管理サーバーへのアクセスに使用される管理者のパスワードです(例: weblogic
)。
host_id
は、管理サーバーのサーバーIDです(例: example.com
)。
port
は、管理サーバーのポート番号です(例: 7001
)。
reassociateSecurityStore
コマンドを使用して、ポリシーおよび資格証明ストアを再度関連付けます。
reassociateSecurityStore(domain="domain_name", admin="admin_name", password="password", ldapurl="ldap_uri", servertype="ldap_srvr_type", jpsroot="root_webcenter_xxxx")
各要素の意味は次のとおりです。
domain_name
には、再関連付けを行うドメイン名を指定します。
admin_name
には、LDAPサーバー上の管理者のユーザー名を指定します。書式はcn=usrName
です。
password
には、引数admin
に指定されたユーザーに関連付けられたパスワードを指定します。
ldap_uri
には、LDAPサーバーのURIを指定します。書式は、デフォルト・ポートを使用する場合はldap://host:port
、セキュアLDAPポートを使用する場合はldaps://host:port
になります。セキュア・ポートは、匿名SSL接続を処理するように構成されていることが必要で、デフォルトの(非セキュアな)ポートとは異なります。
ldap_srvr_type
には、ターゲットLDAPサーバーの種類を指定します。Oracle Internet DirectoryのOID
を指定します。
root_webcenter_xxxx
には、全データを移行するターゲットLDAPリポジトリのルート・ノードを指定します。必ず、cn=
を含めてください。書式はcn=nodeName
です。
すべての引数が必要です。次に例を示します。
reassociateSecurityStore(domain="myDomain", admin="cn=adminName", password="myPass", ldapurl="ldaps://myhost.example.com:3060", servertype="OID", jpsroot="cn=testNode")
ポリシーおよび資格証明ストアにはOIDなどのLDAPサーバーを使用できるほか、ポリシーおよび資格証明ストアをOracleデータベースと再度関連付けることもできます。ポリシーおよび資格証明ストアをデータベースと再度関連付ける前に、次を完了していることが必要です。
RCUおよびOPSSスキーマのインストール
Oracleデータベース(Oracle RDBMSバージョン10.2.0.4+、11.1.0.7+または11.2.0.1+)のインストール
WebLogic Serverのインストール
ドメインの作成
新しいドメインの作成方法の詳細は、Oracle Fusion Middleware Oracle WebCenter Portalインストレーション・ガイドの新しいドメインの作成に関する項を参照してください。
データ・ソースの作成
データ・ソースの作成方法については、Oracle Fusion Middleware Oracle WebLogic Server JDBCデータ・ソースの構成と管理のJDBCデータ・ソースの作成に関する項を参照してください。
<DOMAIN>/config/fmwconfig/jps-config.xml
ファイルのバックアップ
次の手順に従って、データベースをポリシーおよび資格証明ストアとして構成します。
スキーマとデータベース接続を関連付けます。スキーマとデータベース接続を関連付ける方法については、第7.1.5項「メタデータ・サービス・リポジトリの作成および登録」を参照してください。
jps-config.xml
ファイルとbootstrap/cwallet.sso
ファイルをバックアップします(両方ともdomain_home/config/fmwconfig
フォルダ内にあります)。
次のWLSTコマンドを使用して、ポリシーおよび資格証明ストアをデータベースに移行します。
reassociateSecurityStore(domain="your_domain", datasourcename="your_data_source", servertype="DB_ORACLE", jpsroot="cn=jpsTestNode")
datasourcename
は、直前に作成したOPSSデータ・ソースのJNDI名です。また、jpsroot
は、ポリシー・ストアのストライプ化に使用するパラメータであることにも注意してください。このパラメータの値は、ポリシー・ストアで一意であることが必要です。reassociateSecurityStore
コマンドの使用の詳細は、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』のreassociateSecurityStoreに関する項を参照してください。
管理者は、Fusion Middleware ControlおよびWLSTコマンドを使用して、WebCenter Portalドメイン資格証明ストアの資格証明を管理できます。詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドの資格証明の管理に関する項を参照してください。
この項では、Fusion Middleware Control、WLST、およびSpacesアプリケーションとFrameworkアプリケーションの実行時管理ページを使用して、ユーザー・ロールとアプリケーション・ロールを管理する方法を説明します。
この項の内容は次のとおりです。
Spacesは、最初のオーセンティケータによってマップされたアイデンティティ・ストア内のユーザーのみを認識します。Spaces管理者アカウントは当初は組込みのLDAPサーバーにのみ作成されるため、Oracle Internet Directoryなどの外部LDAPをSpacesのプライマリ・オーセンティケータとして構成する場合は、そのLDAP内にユーザーを作成し、そのユーザーにSpaces管理者ロールを付与することも必要です。
次の項の説明に従って、Fusion Middleware ControlまたはWLSTを使用してSpaces管理者ロールをユーザーに付与できます。
詳細は、Oracle Fusion Middleware Oracle WebCenter Portalインストレーション・ガイドの非デフォルト・ユーザーへの管理者ロールの付与に関する項を参照してください。
この項では、Spaces管理者ロールをデフォルトのweblogicアカウント以外のユーザー・アカウントに付与する方法について説明します。
Fusion Middleware Controlを使用してSpaces管理者ロールを付与する手順は次のとおりです。
Fusion Middleware Controlにログインし、Spacesホームページに移動します。
第6.2項「Spacesアプリケーションのホームページへの移動」を参照してください。
WebCenter Portalメニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます(図30-3を参照)。
Spaces管理者ロールを検索します。
「検索するアプリケーション・ストライプの選択」を選択します。
webcenter
を選択します。
「ロール名」フィールドに、管理者ロールの次の内部識別子を入力して、「検索」(矢印)アイコンをクリックします。
s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
検索の結果として、管理者ロールの識別子であるs8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
が返されます。
「ロール名」列で管理者ロールの識別子をクリックします。
「アプリケーション・ロールの編集」ページが表示されます(図30-4を参照)。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます(図30-5を参照)。
検索機能を使用して、管理者ロールを割り当てるユーザーを検索します。
矢印キーを使用して「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
weblogicロールを削除するには、「アプリケーション・ロールの編集」ページで、「ユーザー」のweblogic
をクリックし、「削除」をクリックします。
WC_Spaces
管理対象サーバーを再起動します。
Spacesにログインすると、「管理」リンクが表示され、管理者の操作をすべて実行できます。
WLSTを使用して別のユーザーにSpaces管理者ロールを付与する手順は次のとおりです。
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインのSpaces管理サーバーに接続します。
connect('user_name','password, 'host_id:port')
各要素の意味は次のとおりです。
user_name
は、管理サーバーにアクセスするユーザー・アカウントの名前です(例: weblogic
)。
password
は、管理サーバーにアクセスするためのパスワードです。
host_id
は、管理サーバーのホストIDです。
port
は、管理サーバーのポート番号です(例: 7001
)。
次に示されているように、grantAppRole
コマンドを使用して、Oracle Internet DirectoryのユーザーにSpaces管理者アプリケーション・ロールを付与します。
grantAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator",
principalClass="weblogic.security.principal.WLSUserImpl", principalName="wc_admin")
wc_admin
は、作成する管理者アカウントの名前です。
新しいアカウントをテストするには、新しいアカウント名を使用してSpacesにログインします。
「管理」リンクが表示され、管理者の操作をすべて実行できます。
新しいアカウントにSpaces管理者ロールを付与したら、WLST revokeAppRole
コマンドを使用して、このロールが不要になったアカウントからこれを削除します。たとえば、weblogic
以外の管理者ユーザー名を使用してSpacesがインストールされている場合は、管理者ロールはそのユーザーに付与し、デフォルトのweblogic
からは削除する必要があります。
revokeAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator", principalClass="weblogic.security.principal.WLSUserImpl", principalName="weblogic")
この項では、Fusion Middleware ControlおよびWLSTコマンドを使用してアプリケーション・ロールにユーザーを追加する方法について説明します。
この項の内容は次のとおりです。
この項では、Fusion Middleware Controlを使用してユーザーにアプリケーション・ロールを付与する方法を説明します。
Fusion Middleware Controlにログインし、SpacesアプリケーションまたはFrameworkアプリケーションのホームページに移動します。詳細は、次を参照してください。
WebCenter Portalメニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます(図30-6を参照)。
SpacesまたはFrameworkアプリケーション・ロールを検索します。
「検索するアプリケーション・ストライプの選択」を選択します。
アプリケーション・ストライプ(Spacesの場合はwebcenter
)を選択します。
「ロール名」フィールドに、検索するロールの名前を入力し(例: appConnectionManager
)、「検索」(矢印)アイコンをクリックします。
名前がはっきりわからない場合は、部分検索文字列を入力するか、フィールドを空白のままにして、すべてのアプリケーション・ロールを表示します。
「ロール名」列でロール識別子をクリックします。
「アプリケーション・ロールの編集」ページが表示されます(図30-7を参照)。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます(図30-8を参照)。
検索機能を使用して、アプリケーション・ロールを割り当てるユーザーを検索します。
矢印キーを使用して「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
SpacesまたはFrameworkアプリケーションがデプロイされている管理対象サーバーを再起動します(Spacesの場合、これは常にWC_Spaces
になります)。
grantAppRole
コマンドを使用して、ユーザーにアプリケーション・ロールを付与します。構文と使用方法については、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』のgrantAppRoleに関する項を参照してください。
管理者はSpacesの「セキュリティ」タブを使用して、アプリケーション・ロールを定義し、アイデンティティ・ストアで定義されたユーザーにアプリケーション・ロールを付与できます。Spacesでのユーザーとアプリケーション・ロールの管理については、Oracle Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイドのWebCenter Portal: Spacesのユーザーとロールの管理に関する項を参照してください。
注意: 「パスワード変更の許可」プロパティは、ユーザーがSpaces内で各自のパスワードを変更できるかどうかを指定しますが、これは企業のアイデンティティ・ストアで慎重に管理することが必要です。Spaces管理者はSpacesのプロファイル管理設定のページからこのプロパティを設定できます。詳細は、Oracle Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイドのプロファイルの構成に関する項を参照してください。 |
Frameworkアプリケーションも、アプリケーション管理者のための同様の「セキュリティ」タブを提供します。詳細は、第36.4項「アプリケーション・メンバーおよびロールの管理」を参照してください。ADFセキュリティベースのFrameworkアプリケーションのロールマッピングの詳細は、Oracle Fusion Middleware Oracle Application Development Framework Fusion開発者ガイドのアプリケーション・ロールとエンタープライズ・ロールの必須知識に関する項を参照してください。
Oracle Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイドの招待のみによる自己登録の有効化に関する項に説明されているように、Spacesは招待による自己登録をサポートします。招待による自己登録機能では、WebCenter Portalドメイン資格証明ストアに次のパスワード資格証明が含まれていることが必要です。
map name = o.webcenter.security.selfreg
key= o.webcenter.security.selfreg.hmackey
user name = o.webcenter.security.selfreg.hmackey
Spacesで招待による自己登録を有効にするには、Fusion Middleware ControlまたはWLSTコマンドcreateCred
を使用して、前述のパスワード資格証明を作成します。次に例を示します。
createCred(map="o.webcenter.security.selfreg", key="o.webcenter.security.selfreg.hmackey", type="PC", user="o.webcenter.security.selfreg.hmackey", password="<password>", url="<url>", port="<port>", [desc="<description>"])
詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドの資格証明の管理に関する項を参照してください。
この項では、インストール後に構成する必要がある推奨キャッシュ設定を示します。キャッシュ・サイズと最大グループ階層の設定は特定の環境に基づく必要がありますが、次の項では開始点として使用できる推奨事項を示します。WebCenter Portalのチューニング・パラメータと推奨値の全リストは、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のOracle WebCenter Portalパフォーマンスのチューニングに関する項を参照してください。
この項の内容は次のとおりです。
WebCenter Portalが使用する認可ポリシーでは、デフォルトのポリシー・リフレッシュ時間が10分間のメモリー内キャッシュを使用します。マルチノードの高可用性環境でグループ・スペースを作成する場合、ノード障害の際にポリシー・データをより迅速にレプリケートする必要があるときは、ドメインレベルのjps-config.xml
ファイルを変更して次のエントリを追加することでポリシー・ストアのリフレッシュ間隔を短くすることができます。
oracle.security.jps.ldap.policystore.refresh.interval=<time_in_milli_seconds>
これはPDPサービス・ノードに追加する必要があります。
<serviceInstance provider="pdp.service.provider" name="pdp.service">
サーバーのキャッシュされたポリシーのリフレッシュ頻度はパフォーマンスに影響を与える可能性があるため、ポリシーのリフレッシュ間隔は過度に短く設定しないでください。
jps-config.xml
ファイルを変更したら、ドメイン内の全サーバーを再起動します。詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドのキャッシングとキャッシュのリフレッシュに関する項を参照してください。
この項では、接続プール・キャッシュの推奨設定を説明します。
接続プール・キャッシュを設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。
接続プール・キャッシュのパラメータを次の推奨値に設定します。
接続プール・サイズ = 最大接続ユーザー数
接続タイムアウト = 30
接続再試行制限 = 1
結果タイム・リミット = 1000
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。
この項では、ユーザー・キャッシュ設定の推奨設定を説明します。
ユーザー・キャッシュ設定を設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。
ユーザー・キャッシュのパラメータを次の推奨値に設定します。
キャッシュの有効化 = true
キャッシュ・サイズ = 3200
キャッシュTTL = session timeout
結果タイム・リミット = 1000
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。
この項では、グループ・キャッシュ設定の推奨設定を説明します。
グループ・キャッシュ設定を設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「パフォーマンス」を選択します。
グループ・キャッシュのパラメータを次の推奨値に設定します。
グループ・メンバーシップ・ルックアップの階層キャッシュを有効化 = true
キャッシュ・サイズ = 3200
キャッシュ内の最大グループ階層数 = 1024
グループ階層キャッシュTTL = session timeout
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。