| Oracle® Fusion Middleware Oracle WebCenter Portal管理者ガイド 11g リリース1 (11.1.1.7.0) B72085-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Portal管理者ガイド 11g リリース1 (11.1.1.7.0) B72085-02 |
|
前 |
次 |
本番環境のために、ポリシー・ストアを外部LDAP(Oracle Internet Directory 11gR1または10.1.4.3)あるいはデータベースと再度関連付ける必要があります。外部LDAPベースのストアを使用する際は、同じLDAPサーバーを使用するように資格証明ストアとポリシー・ストアを構成する必要があることに注意してください。ただし、アイデンティティ・ストアは、サポートされている他の任意のLDAPサーバーを使用することができ、ポリシー・ストアや資格証明ストアと同じLDAPサーバーを使用する必要はありません。
ポリシーおよび資格証明ストアをOIDと再度関連付けるには、LDAPディレクトリにルート・ノードを作成し、Fusion Middleware Controlを使用して、またはWLSTを使用してコマンドラインから、ポリシーおよび資格証明ストアをOIDサーバーと再度関連付けます。ポリシーおよび資格証明ストアをデータベースと再度関連付けるには、RCUにスキーマとデータベース接続を設定し、WLSTを使用してコマンドラインからポリシーおよび資格証明ストアをデータベースに移行します。トラブルシューティングの情報は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の再関連付けの失敗に関する項を参照してください。
|
注意: ポリシー・ストアを再度関連付ける前に、次の関連する構成ファイルを必ずバックアップしてください。
念のため、ドメインの管理サーバーの |
この章の内容は次のとおりです。
対象読者
この章の内容は、Fusion Middleware管理者(Oracle WebLogic Server管理コンソールを使用してAdminロールを付与されたユーザー)を対象としています。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。第1.8項「管理操作、ロールおよびツールの理解」も参照してください。
ポリシーおよび資格証明ストアをOIDと再度関連付ける際の最初のステップでは、LDAPディレクトリでLDIFファイルを作成し、すべてのデータを追加するルート・ノードを追加します。ルート・ノードを作成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項を参照してください。ファイルを作成してノードを追加したら、Fusion Middleware ControlまたはWLSTを使用してストアを再度関連付けます。
ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の説明に従って、まずルート・ノードを作成する必要があります。ルート・ノードを作成したら、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用した再関連付けに関する項の手順に従います。再関連付けが失敗した場合は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の再関連付けの失敗に関する項を参照してください。
ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の説明に従って、まずルート・ノードを作成する必要があります。再関連付けが失敗した場合は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の再関連付けの失敗に関する項を参照してください。
To reassociate the Credential and Policy Store using WLST:
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。
connect('username>,'password', 'host_id:port')
各要素の意味は次のとおりです。
usernameは、管理サーバーへのアクセスに使用される管理者のアカウント名です(例: weblogic)。
passwordは、管理サーバーへのアクセスに使用される管理者のパスワードです(例: weblogic)。
host_idは、管理サーバーのサーバーIDです(例: example.com)。
portは、管理サーバーのポート番号です(例: 7001)。
reassociateSecurityStoreコマンドを使用して、ポリシーおよび資格証明ストアを再度関連付けます。
reassociateSecurityStore(domain="domain_name", admin="admin_name", password="password", ldapurl="ldap_uri", servertype="ldap_srvr_type", jpsroot="root_webcenter_xxxx")
各要素の意味は次のとおりです。
domain_nameには、再関連付けを行うドメイン名を指定します。
admin_nameには、LDAPサーバー上の管理者のユーザー名を指定します。書式はcn=usrNameです。
passwordには、引数adminに指定されたユーザーに関連付けられたパスワードを指定します。
ldap_uriには、LDAPサーバーのURIを指定します。書式は、デフォルト・ポートを使用する場合はldap://host:port、セキュアLDAPポートを使用する場合はldaps://host:portになります。セキュア・ポートは、匿名SSL接続を処理するように構成されていることが必要で、デフォルトの(非セキュアな)ポートとは異なります。
ldap_srvr_typeには、ターゲットLDAPサーバーの種類を指定します。Oracle Internet DirectoryのOIDを指定します。
root_webcenter_xxxxには、全データを移行するターゲットLDAPリポジトリのルート・ノードを指定します。必ず、cn=を含めてください。書式はcn=nodeNameです。
すべての引数が必要です。次に例を示します。
reassociateSecurityStore(domain="myDomain", admin="cn=adminName", password="myPass", ldapurl="ldaps://myhost.example.com:3060", servertype="OID", jpsroot="cn=testNode")
ポリシーおよび資格証明ストアにはOIDなどのLDAPサーバーを使用できるほか、ポリシーおよび資格証明ストアをOracleデータベースと再度関連付けることもできます。データベースをポリシーおよび資格証明ストアとして構成する手順は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のDBベースのOPSSセキュリティ・ストアの使用に関する項を参照してください。再関連付けが失敗した場合は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の再関連付けの失敗に関する項を参照してください。
管理者は、Fusion Middleware Controlを使用して、WebCenter Portalドメイン資格証明ストアの資格証明を管理できます。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用した資格証明の管理に関する項を参照してください。
この項では、Fusion Middleware Control、WLST、およびSpacesアプリケーションとFrameworkアプリケーションの実行時管理ページを使用して、ユーザー・ロールとアプリケーション・ロールを管理する方法を説明します。
この項の内容は次のとおりです。
Spacesは、最初のオーセンティケータによってマップされたアイデンティティ・ストア内のユーザーのみを認識します。Spaces管理者アカウントは当初は組込みのLDAPサーバーにのみ作成されるため、Oracle Internet Directoryなどの外部LDAPをSpacesのプライマリ・オーセンティケータとして構成する場合は、そのLDAP内にユーザーを作成し、そのユーザーにSpaces管理者ロールを付与することも必要です。
次の項の説明に従って、Fusion Middleware ControlまたはWLSTを使用してSpaces管理者ロールをユーザーに付与できます。
詳細は、『Oracle Fusion Middleware Oracle WebCenter Portalインストレーション・ガイド』の非デフォルト・ユーザーへの管理者権限の付与に関する項を参照してください。
この項では、Spaces管理者ロールをデフォルトのweblogicアカウント以外のユーザー・アカウントに付与する方法について説明します。
Fusion Middleware Controlを使用してSpaces管理者ロールを付与する手順は次のとおりです。
Fusion Middleware Controlにログインし、Spacesホームページに移動します。
第6.2項「Spacesアプリケーションのホームページへの移動」を参照してください。
WebCenter Portalメニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます(図31-3を参照)。
Spaces管理者ロールを検索します。
「検索するアプリケーション・ストライプの選択」を選択します。
webcenterを選択します。
「ロール名」フィールドに、管理者ロールの次の内部識別子を入力して、「検索」(矢印)アイコンをクリックします。
s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
検索の結果として、管理者ロールの識別子であるs8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administratorが返されます。
「ロール名」列で管理者ロールの識別子をクリックします。
「アプリケーション・ロールの編集」ページが表示されます(図31-2を参照)。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます(図31-3を参照)。
検索機能を使用して、管理者ロールを割り当てるユーザーを検索します。
矢印キーを使用して「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
weblogicロールを削除するには、「アプリケーション・ロールの編集」ページで、「ユーザー」のweblogicをクリックし、「削除」をクリックします。
WC_Spaces管理対象サーバーを再起動します。
Spacesにログインすると、「管理」リンクが表示され、管理者の操作をすべて実行できます。
WLSTを使用して別のユーザーにSpaces管理者ロールを付与する手順は次のとおりです。
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインのSpaces管理サーバーに接続します。
connect('user_name','password, 'host_id:port')
各要素の意味は次のとおりです。
user_nameは、管理サーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。
passwordは、管理サーバーにアクセスするためのパスワードです。
host_idは、管理サーバーのホストIDです。
portは、管理サーバーのポート番号です(例: 7001)。
次に示されているように、grantAppRoleコマンドを使用して、Oracle Internet DirectoryのユーザーにSpaces管理者アプリケーション・ロールを付与します。
grantAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator",
principalClass="weblogic.security.principal.WLSUserImpl", principalName="wc_admin")
wc_adminは、作成する管理者アカウントの名前です。
新しいアカウントをテストするには、新しいアカウント名を使用してSpacesにログインします。
「管理」リンクが表示され、管理者の操作をすべて実行できます。
新しいアカウントにSpaces管理者ロールを付与したら、WLST revokeAppRoleコマンドを使用して、このロールが不要になったアカウントからこれを削除します。たとえば、weblogic以外の管理者ユーザー名を使用してSpacesがインストールされている場合は、管理者ロールはそのユーザーに付与し、デフォルトのweblogicからは削除する必要があります。
revokeAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator", principalClass="weblogic.security.principal.WLSUserImpl", principalName="weblogic")
この項では、Fusion Middleware ControlおよびWLSTコマンドを使用してアプリケーション・ロールにユーザーを追加する方法について説明します。
この項の内容は次のとおりです。
この項では、Fusion Middleware Controlを使用してユーザーにアプリケーション・ロールを付与する方法を説明します。
Fusion Middleware Controlにログインし、SpacesアプリケーションまたはFrameworkアプリケーションのホームページに移動します。詳細は、次を参照してください。
WebCenter Portalメニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます(図31-4を参照)。
SpacesまたはFrameworkアプリケーション・ロールを検索します。
「検索するアプリケーション・ストライプの選択」を選択します。
アプリケーション・ストライプ(Spacesの場合はwebcenter)を選択します。
「ロール名」フィールドに、検索するロールの名前を入力し(例: appConnectionManager)、「検索」(矢印)アイコンをクリックします。
名前がはっきりわからない場合は、部分検索文字列を入力するか、フィールドを空白のままにして、すべてのアプリケーション・ロールを表示します。
「ロール名」列でロール識別子をクリックします。
「アプリケーション・ロールの編集」ページが表示されます(図31-5を参照)。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます(図31-6を参照)。
検索機能を使用して、アプリケーション・ロールを割り当てるユーザーを検索します。
矢印キーを使用して「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
SpacesまたはFrameworkアプリケーションがデプロイされている管理対象サーバーを再起動します(Spacesの場合、これは常にWC_Spacesになります)。
grantAppRoleコマンドを使用して、ユーザーにアプリケーション・ロールを付与します。構文と使用方法については、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』のgrantAppRoleに関する項を参照してください。
管理者はSpacesの「セキュリティ」タブを使用して、アプリケーション・ロールを定義し、アイデンティティ・ストアで定義されたユーザーにアプリケーション・ロールを付与できます。Spacesでのユーザーとアプリケーション・ロールの管理については、Oracle Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイドのWebCenter Portal: Spacesのユーザーとロールの管理に関する項を参照してください。
|
注意: 「パスワード変更の許可」プロパティは、ユーザーがSpaces内で各自のパスワードを変更できるかどうかを指定しますが、これは企業のアイデンティティ・ストアで慎重に管理することが必要です。Spaces管理者はSpacesのプロファイル管理設定のページからこのプロパティを設定できます。詳細は、Oracle Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイドのプロファイルの構成に関する項を参照してください。 |
Frameworkアプリケーションも、アプリケーション管理者のための同様の「セキュリティ」タブを提供します。詳細は、第37.4項「アプリケーション・メンバーおよびロールの管理」を参照してください。ADFセキュリティベースのFrameworkアプリケーションのロールマッピングの詳細は、Oracle Fusion Middleware Oracle Application Development Framework Fusion開発者ガイドのアプリケーション・ロールとエンタープライズ・ロールの必須知識に関する項を参照してください。
Oracle Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイドの招待のみによる自己登録の有効化に関する項に説明されているように、Spacesは招待による自己登録をサポートします。招待による自己登録機能では、WebCenter Portalドメイン資格証明ストアに次のパスワード資格証明が含まれていることが必要です。
map name = o.webcenter.security.selfreg
key= o.webcenter.security.selfreg.hmackey
user name = o.webcenter.security.selfreg.hmackey
Spacesで招待による自己登録を有効にするには、Fusion Middleware ControlまたはWLSTコマンドcreateCredを使用して、前述のパスワード資格証明を作成します。次に例を示します。
createCred(map="o.webcenter.security.selfreg", key="o.webcenter.security.selfreg.hmackey", type="PC", user="o.webcenter.security.selfreg.hmackey", password="<password>", url="<url>", port="<port>", [desc="<description>"])
詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドの資格証明の管理に関する項を参照してください。
この項では、インストール後に構成する必要がある推奨キャッシュ設定を示します。キャッシュ・サイズと最大グループ階層の設定は特定の環境に基づく必要がありますが、次の項では開始点として使用できる推奨事項を示します。WebCenter Portalのチューニング・パラメータと推奨値の全リストは、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のOracle WebCenter Portalパフォーマンスのチューニングに関する項を参照してください。
この項の内容は次のとおりです。
WebCenter Portalが使用する認可ポリシーでは、デフォルトのポリシー・リフレッシュ時間が10分間のメモリー内キャッシュを使用します。マルチノードの高可用性環境でグループ・スペースを作成する場合、ノード障害の際にポリシー・データをより迅速にレプリケートする必要があるときは、ドメインレベルのjps-config.xmlファイルを変更して次のエントリを追加することでポリシー・ストアのリフレッシュ間隔を短くすることができます。
oracle.security.jps.ldap.policystore.refresh.interval=<time_in_milli_seconds>
これはPDPサービス・ノードに追加する必要があります。
<serviceInstance provider="pdp.service.provider" name="pdp.service">
サーバーのキャッシュされたポリシーのリフレッシュ頻度はパフォーマンスに影響を与える可能性があるため、ポリシーのリフレッシュ間隔は過度に短く設定しないでください。
jps-config.xmlファイルを変更したら、ドメイン内の全サーバーを再起動します。詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドのキャッシングとキャッシュのリフレッシュに関する項を参照してください。
この項では、接続プール・キャッシュの推奨設定を説明します。
接続プール・キャッシュを設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。
接続プール・キャッシュのパラメータを次の推奨値に設定します。
接続プール・サイズ = 最大接続ユーザー数
接続タイムアウト = 30
接続再試行制限 = 1
結果タイム・リミット = 1000
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。
この項では、ユーザー・キャッシュ設定の推奨設定を説明します。
ユーザー・キャッシュ設定を設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。
ユーザー・キャッシュのパラメータを次の推奨値に設定します。
キャッシュの有効化 = true
キャッシュ・サイズ = 3200
キャッシュTTL = session timeout
結果タイム・リミット = 1000
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。
この項では、グループ・キャッシュ設定の推奨設定を説明します。
グループ・キャッシュ設定を設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「パフォーマンス」を選択します。
グループ・キャッシュのパラメータを次の推奨値に設定します。
グループ・メンバーシップ・ルックアップの階層キャッシュを有効化 = true
キャッシュ・サイズ = 3200
キャッシュ内の最大グループ階層数 = 1024
グループ階層キャッシュTTL = session timeout
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。
