| Oracle® Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイド 11g リリース1(11.1.1.7.0) B72923-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイド 11g リリース1(11.1.1.7.0) B72923-01 |
|
前 |
次 |
アプリケーション・ロールは、Spacesアプリケーションにおける情報とサービスへのユーザーのアクセス・レベルを制御します。特に、アプリケーション・ロールとその権限により、ユーザーがそのホーム・スペースで参照および実行できる内容が決まります。この章では、Spacesユーザーへのアプリケーション・ロールの定義と付与の方法を説明します。内容は次のとおりです。
Spacesユーザーが特定のスペースのメンバーになると、異なるセットのロールと職責が適用されます。詳細は、第54章「スペースのメンバーおよびロールの管理」を参照してください。
対象読者
この章の内容は、Application-Manage All権限を持つSpaces管理者を対象にしています。
管理者は、すべてのSpacesユーザーが適切な権限を有することを確認する必要があります。ユーザーが権限を得るには、適切なアプリケーション・ロールが割り当てられている必要があります。
この項ではロールを割り当てる方法について説明します。内容は次のとおりです。
「ユーザーとグループ」ページから(図24-1)、管理者はSpacesアプリケーションへのアクセス権を持つ全ユーザー、すなわちアイデンティティ・ストア内で定義されている全ユーザーについて、アプリケーション・ロールを管理することができます。ここから、ユーザー・ロールの割当ての変更、管理権限の付与、およびユーザー権限の取消ができます。「ユーザーとグループ」ページにアクセスするには、「WebCenter Portal管理」を開き、「セキュリティ」タブをクリックします。詳細は、第4.1項 「「スペース管理」ページへのアクセス」を参照してください。
特別な(デフォルト以外の)アプリケーション権限を付与されているユーザーのみが、この表に表示されます。最初は、Spacesのアイデンティティ・ストア内の全ユーザーには、Authenticated-Userロールを介して最小の権限が割り当てられています。デフォルトのAuthenticated-Userロールを持つユーザーは、ここには表示されません。第23.3.1.1項「デフォルトのアプリケーション・ロール」も参照してください。
最初は、Spacesのアイデンティティ・ストア内の全ユーザーには、Authenticated-Userロールを介して最小の権限が割り当てられています。個々のユーザーを(または同じエンタープライズ・グループ内の複数のユーザーを)、「スペース管理」を介して異なるアプリケーション・ロールに割り当てることができます。
新規のユーザーやエンタープライズ・グループを抜けるユーザーなどの、バックエンド・アイデンティティ・ストアで行われた更新は、Spacesアプリケーションに自動的に反映されます。最初に、エンタープライズ・グループをスペース・ロールに割り当てると、エンタープライズ・グループ内のすべてのユーザーに、そのロールが付与されます。このグループから抜けたユーザーは、ロールが取り消されます。このグループに加わったユーザーには、ロールが付与されます。
|
注意: Spacesアプリケーションでエンタープライズのグループとロール間のマッピングを適切に管理するには、ディスカッション・サーバーやコンテンツ・サーバーなどのバックエンド・サーバーも、エンタープライズ・グループをサポートする必要があります。バックエンド・サーバーがエンタープライズ・グループをサポートしない場合は、メッセージ |
ユーザー(またはユーザーのグループ)を異なるアプリケーション・ロールに割り当てるには、次の手順を実行します。
「スペース管理」を開きます。
詳細は、第4章「「スペース管理」ページへのアクセス」を参照してください。
「セキュリティ」をクリックし、次に「ユーザーとグループ」をクリックします(図24-1)。
このページには、追加のロ−ルが定義されているユーザーが表示されます。
ドロップ・ダウンから、「ユーザー」または「グループ」を選択します。
「ユーザー」を選択し、アイデンティティ・ストアで定義されている1人以上のユーザーに権限を付与します。「グループ」を選択し、ユーザーのグループに権限を付与します。
ユーザーまたはグループの正確な名前がわかっている場合は、表示されたボックスに名前を入力し、複数の名前はカンマで区切ります。
名前が正確にわからない場合は、次のようにアイデンティティ・ストアを検索できます。
「検索」アイコンをクリックします(図24-2)。
「ユーザーの検索」(または「グループの検索」)ダイアログが開きます(図24-3)。
ユーザーまたはグループの検索条件を入力し、「検索」アイコンをクリックします。
アイデンティティ・ストアでユーザーやグループを検索する場合のヒントは、第54.3.4.1項「アイデンティティ・ストアでのユーザーまたはグループの検索」を参照してください。
検索条件に一致するユーザー(またはグループ)は、「ユーザーの選択」ダイアログ・ボックスに表示されます。検索対象のフィールドについての詳細は、第54.3.4.1項「アイデンティティ・ストアでのユーザーまたはグループの検索」を参照してください。
|
ヒント:
|
リストから1つ以上の名前を選択します。
ロールを複数のユーザーまたはグループに割り当てるには、必要なすべての名前を複数選択します。行を[Ctrl]キーを押しながらクリックして複数の名前を選択します。
「OK」をクリックします。
選択した名前は、「ユーザーおよびグループ」タブに表示されます。
ロールを割り当てるには、ドロップ・ダウンから「ロール」を選択します(図24-4)。
選択したユーザー(またはグループ)に適切なロールを選択します。Spacesアプリケーション用の完全な管理権限を割り当てるには、「管理者」のみを選択します。
必要なロールがリストにない場合、要件を満たす新しいロールを作成します(第24.2.2項「アプリケーション・ロールの定義」を参照)。
どのロールも選択されていない場合、ユーザーはAuthenticated-Userロールを引き受けます。第23.3.1.1項「デフォルトのアプリケーション・ロール」を参照してください。
「アクセス権の付与」をクリックします。
ユーザー/ユーザー・グループの名前および新しいロ−ルの割当てが、表に表示されます。
|
注意: グループ名はクリック可能で、ドリルダウンして現在のグループ・メンバーのユーザー名を参照することができます。 Oracle Entitlements Server (OES)ロールに基づく動的グループに対してメンバーのリストは表示されません。これは、OESロールは動的属性に基づいているため静的メンバーを持たないからです。『Oracle Fusion Middleware Oracle WebCenter Portal管理者ガイド』の動的グループの構成に関する項も参照してください。 |
Spacesアプリケーションにおけるユーザーのロールは、場合によって変わることがあります。たとえば、あるユーザーが営業部門から出て経理部門に異動することがあります。この場合、ユーザーのロールの割当ては、営業から経理に変更となります。
ユーザーを異なるロールに割り当てるには、次の手順を実行します。
「スペース管理」を開きます。
詳細は、第4章「「スペース管理」ページへのアクセス」を参照してください。
「セキュリティ」をクリックし、次に「ユーザーとグループ」をクリックします(図24-1)。
「既存の付与の管理」表で、対象のユーザーまでスクロール・ダウンします。
デフォルト以外のロールが割り当てられたユーザーのみが、表に表示されます。必要なユーザーが表示されない場合は、第24.1.2項「ユーザー(およびグループ)のロールへの割当て」の説明に従ってロールを付与します。
「アクション」アイコンをクリックし、ドロップ・ダウン・リストから「ロールの変更」を選択します。
「ロールの変更」ダイアログ・ボックスが開きます(図24-5)。
次のようにロールを選択します。
Spacesアプリケーション用の完全な管理権限を割り当てるには、「管理者」を選択します。
利用可能なリストから1つ以上のロールを選択します。
必要なロールがリストにない場合、要件を満たす新しいロールを作成します(第24.2.2項「アプリケーション・ロールの定義」を参照)。
少なくとも1つのロールを選択する必要があります。すべてのロールの割当てを取り消して、ユーザー権限をデフォルトのAuthenticated-Userロールに戻すには、第24.1.5項「アプリケーション・ロールの取消し」を参照してください。
「OK」をクリックします。
新しいロールの割当てが、表に表示されます。
Administratorロールを介してSpacesアプリケーション用の完全な管理権限をユーザーに付与することは簡単です。管理者は最高の権限レベルを持ち、Spacesアプリケーションですべての表示と変更ができるので、Administratorロールの割当て時には注意が必要です。
一部の管理タスクは、Administratorロール専用となっており、Application-Manage All権限を付与して実行することはできません。これらのタスクには、ログイン・ページ、自己登録ページおよびプロファイル・ギャラリ・ページの編集が含まれます。第23.3.1.1項「デフォルトのアプリケーション・ロール」も参照してください。
ユーザーに管理権限を付与するには、次の手順を実行します。
「スペース管理」を開きます。
詳細は、第4章「「スペース管理」ページへのアクセス」を参照してください。
「セキュリティ」をクリックし、次に「ユーザーとグループ」をクリックします(図24-1)。
「ロール」列は、すでにAdministratorロールを介して完全な管理権限を持っているユーザーを示します。
「ユーザーとグループ」タブをクリックします。
「既存の付与の管理」表で、対象のユーザーまでスクロール・ダウンします。
デフォルト以外のロールが割り当てられたユーザーのみが、表に表示されます。必要なユーザーが表示されない場合は、第24.1.2項「ユーザー(およびグループ)のロールへの割当て」の手順に従い、Administratorロールを付与します。
「アクション」アイコンをクリックし、ドロップ・ダウン・リストから「ロールの変更」を選択します。
「ロールの変更」ダイアログ・ボックスが開きます(図24-6)。
Spacesアプリケーション用の完全な管理権限を割り当てるには、「管理者」を選択します。
「OK」を選択します。
新しいロールの割当てが、表に表示されます。
適用されなくなったアプリケーション・ロールの割当ては容易に取り消すことができます。ロールを個別に取り消すことも、ある特定のユーザーに割り当てられているすべてのアプリケーション・ロールを一度に取り消すこともできます。
あるユーザーのすべてのアプリケーション・ロールを取り消しても、そのユーザーはアイデンティティ・ストアからは削除されず、そのユーザーは引き続きデフォルトのAuthenticated-Userロールを介してSpacesアプリケーションにアクセスできます。
アプリケーション・ロールを取り消すには、次の手順を実行します。
「スペース管理」を開きます。
詳細は、第4章「「スペース管理」ページへのアクセス」を参照してください。
「セキュリティ」をクリックし、次に「ユーザーとグループ」をクリックします(図24-1)。
このページには、追加のロ−ルが定義されているユーザーが表示されます。
「既存の付与の管理」表で、対象のユーザーまでスクロール・ダウンします。
「アクション」アイコンをクリックします。
「ロールの変更」を選択し、1つ以上の、特定のアプリケーション・ロールを取り消します。第24.1.3項「ユーザーの異なるロールへの割当て」も参照してください。
「ロール割当ての削除」を選択して、そのユーザーに割り当てられたすべてのロールを取り消し、次に確認を求められたら「削除」をクリックします。
そのユーザーのアクセス権は、即時に取り消されます。
ある特定のユーザーに割り当てられたすべてのロールを削除すると、そのユーザーは「ユーザー」ページに表示されなくなります。そのユーザーはアイデンティティ・ストアには残っているので、引き続きSpacesアプリケーションにはAuthenticated-Userロールを介してアクセスできます。第23.3.1.1項「デフォルトのアプリケーション・ロール」を参照してください。
Spaces管理者は、Spacesのアイデンティティ・ストアに新規のユーザー・データを直接追加したり、ユーザーの資格証明を削除したりすることはできません。アイデンティティ・ストアの管理はシステム管理者の職責であり、WLS管理コンソールを介して実行されるか、またはLDAPコマンドを使用して組込みのLDAPアイデンティティ・ストアに対して直接実行されます。『Oracle Fusion Middleware Oracle WebCenter Portal管理者ガイド』のWLS管理コンソールを使用したアイデンティティ・ストアへのユーザーの追加に関する項も参照してください。
ただし、Spaces管理者はアプリケーションの自己登録を有効化できます。自己登録機能を使用すると、招待済ユーザーおよび未招待ユーザーが独自のログインおよびパスワードをSpacesアプリケーション用に作成することができます。自己登録したユーザーは即時かつ自動的にSpacesアプリケーションへのアクセス権が付与され、新規ユーザー・アカウントがアイデンティティ・ストア内に作成されます。第25章「自己登録の有効化」も参照してください。
Spacesアプリケーションではアプリケーション・ロールを使用して、そのホーム・スペースで作業をするユーザーの権限を管理します。この項では、「スペース管理」ページからアプリケーション・ロールおよびその権限を管理する方法について説明します。内容は次のとおりです。
「ロール」ページ(図24-7)から、管理者はアプリケーション・ロールと権限を管理できます。ここから、アプリケーション・ロールに割り当てられた権限の編集、新規のアプリケーション・ロールの作成、または未使用のロールの削除ができます。
ユーザーがそのホーム・スペース内で作業しているときには、アプリケーション・ロールが適用されます。ユーザーが特定のスペース内で作業しているときには、異なるセットのロールと権限が適用されます。各メンバーの適切なロールの割当てを決定するのは、スペース・モデレータの職責です。第24.2項「アプリケーション・ロールおよび権限の管理」も参照してください。
Spacesアプリケーションは、デフォルトのアプリケーション・ロールをいくつか提供します。デフォルトのアプリケーション・ロールは削除できませんが、各ロールに対するデフォルトの権限の割当ては変更できます。詳細は、第23.3項「アプリケーション・ロールと権限の理解」を参照してください。
Spacesユーザーのグループの特徴付けを行い、Spacesユーザーがホーム・スペースで参照および実行できる内容を決定するには、ロールを使用します。
アプリケーション・ロールを定義する際には、自己記述のロール名を使用し、ロール・ポリシーは可能なかぎり単純にしてください。効果的なポリシーを維持しながら、選択するロールはできるかぎり少なくしてください。
新しいロールに権限を割り当てる際は、注意して適切なアクセス権限を割り当てます。ロールで必要以上のアクションの実行をユーザーに許可しないでください。ただし、同時に、必要な操作の実行を誤って制限しないよう注意します。ユーザーが、複数のロールに割り当てられる場合があります。
新規のアプリケーション・ロールを定義するには、次の手順を実行します。
「スペース管理」を開きます。
詳細は、第4章「「スペース管理」ページへのアクセス」を参照してください。
「セキュリティ」をクリックし、次に「ロール」をクリックします(図24-7)。
Spacesアプリケーションの現在のアプリケーション・ロールが、表の列として表示されます。
「ロールの作成」をクリックして、Spacesユーザーの新しいロールを定義します。
ロールの適切な名前を入力します。
ロール名が自己記述的になっていることを確認します。どのユーザーがどのロールに属しているかができるかぎり明確になるようにしてください。ロールの名前には、英数字、空白、@およびアンダースコアを使用できます。
(オプション)「テンプレート・ロール」を選択します。
新しいロールは、選択したテンプレート・ロールの権限を継承します。これらの権限は、次の手順で変更できます。
管理権限すべてを継承するロールを作成するには、「管理者」を選択します。逆に、一般的に最小の権限を提供するロールを作成するには、Public-Userを選択します。または、カスタム・アプリケーション・ロールを、テンプレートとして選択します。
「OK」をクリックします。
新しいロールが表の列として表示されます。権限リストに、このロールを持つユーザーが実行可能なアクションが示されます。
ロールのユーザー権限を変更するには、各権限のチェック・ボックスを選択または選択解除します。
「適用」をクリックして、ロールの権限への変更を保存します。
管理者は、アプリケーション・ロールに関連付けられた権限をいつでも変更できます。アプリケーション権限については、第23.3.2項「アプリケーション権限の理解」で説明されています。
アプリケーション・ロールの権限により、各個人がそれぞれのホーム・スペースにおいて、固有のアクションが実行できます。Manage Allを除き、他の権限から権限を継承する権限はありません。
ロールに割り当てられている権限を変更するには、次の手順を実行します。
「スペース管理」を開きます。
詳細は、第4章「「スペース管理」ページへのアクセス」を参照してください。
「セキュリティ」をクリックし、次に「ロール」をクリックします(図24-7)。
Spacesアプリケーションの現在のアプリケーション・ロールが、表の列として表示されます。
「権限」のチェック・ボックスを選択または選択解除して、ロールの権限を有効または無効にします
「適用」をクリックし、設定を保存します。
新しい権限が即時に有効になります。
Spacesアプリケーションにログインしていないユーザーはすべて、Public-Userロールを引き受けます。デフォルトでは、Public-Userロールは最小の権限、すなわちView Application権限のみを付与されます。
|
注意:
|
「アプリケーションの表示」権限の付与
View Application権限により、未認証ユーザーでも、ようこそページなどのパブリックなSpacesアプリケーション・ページや、個々のユーザーがパブリックにすることを選択したコンテンツを参照できるようになります。
View Application権限がPublic-Userロールに付与されたときは、
ユーザーがパブリックにすることを選択した個人用ページや個人用コンテンツはすべて、Spacesコミュニティの外部の未認証ユーザー、すなわちWebアクセス権を持つすべてのユーザーからアクセス可能になることを、そのユーザーが理解していることを確認してください。
ログイン前のパブリックなユーザーに表示されるデフォルトのようこそページ(「ようこそ」ページ)のカスタマイズを検討してください。第7.3.2項「システム・ページのカスタマイズ」を参照してください。
未認証ユーザーに、「パブリック」とマークされているSpacesコンテンツを見せたくない場合は、View Application権限をPublic-Userロールに付与しないでください。パブリック・アクセスが無効化されている場合、未認証ユーザーはパブリック・コンテンツを参照できません。また、Spacesのようこそページは表示されません。パブリック・ユーザーは、直接ログイン・ページに導かれます。管理者は、必要に応じて、デフォルトのログイン・ページをカスタマイズできます。第7.3項「システム・ページの使用」を参照してください。
他の権限の付与
Public-Userロールに権限を割り当てる際は注意が必要です。セキュリティ上の理由から、匿名ユーザーがSpacesアプリケーションで参照および実行できる内容は制限することをお薦めします。
Spacesアプリケーションにログインしているユーザーはすべて、Authenticated-Userロールを引き受けます。デフォルトでは、Authenticated-Userロールは最小の権限を付与されています。この付与は、次の権限を介して行われます。View Application、Spaces-Create、Space Templates-Create、Pages-Create、Update People Connections DataおよびConnect with People。
他の重要な注意点を次に示します。
Authenticated-Userロールは、常にPublic-Userロールの権限を継承します。
カスタム・アプリケーション・ロールはすべて、Authenticated-Userロールの権限を継承します。
アプリケーション・ロールが不要となった場合は、Spacesアプリケーションから削除する必要があります。これは、有効なロール・リストの管理に役立ち、ロールの不適切な割当てを防止します。
アプリケーション・ロールにユーザーが割り当てられているときでも、そのアプリケーション・ロールは削除されます。デフォルトのロールは削除できないため、Spacesユーザーには常にAuthenticated-Userロールが付与されます。
|
注意: デフォルトのロールは削除できません( |
アプリケーション・ロールを削除するには、次の手順を実行します。
「スペース管理」を開きます。
詳細は、第4章「「スペース管理」ページへのアクセス」を参照してください。
「セキュリティ」をクリックし、次に「ロール」をクリックします(図24-7)。
Spacesアプリケーションの現在のアプリケーション・ロールが、表の列として表示されます。
削除するロールの横の「ロールの削除」アイコンを選択します(図24-9)。
「OK」をクリックして、ロールの削除を確認します。
ロールが表から削除されます。このロールのみに割り当てられているユーザーは、デフォルトのAuthenticated-Userロールを引き受け、「ユーザーとグループ」タブに表示されません。
Spacesアプリケーションでエンタープライズのグループとロール間のマッピングを適切に管理するには、バックエンドのディスカッション・サーバーやコンテンツ・サーバーがエンタープライズ・グループをサポートする必要があります。Oracle WebCenter Portal 11.1.1.2.0以降で提供されるWebCenter Portalのディスカッション・サーバーおよびWebCenter Contentのコンテンツ・サーバーのバージョンでは、いずれもエンタープライズ・グループをサポートしますが、前のバージョンではサポートしない可能性があります。バックエンド・サーバーがエンタープライズ・グループをサポートしない場合は、グループを追加しようとすると、図24-10に示すものと類似のエラー・メッセージが表示されます。
警告: グループ[名前]がアイデンティティ・ストアに見当たりません
また、ここに示すような詳細な情報を含むエラーがログに記録されます。
[2011-03-28T01:03:07.143-07:00] [WC_Spaces] [NOTIFICATION] [WCS-07855] oracle.webcenter.doclib.internal.spaces.AbstractDoclibRoleMapper] [tid: pool-1-daemon-thread-1] [userId: monty] [ecid: a4789a41d7e6bc9f:36de4556:12efb72d049:-8000-00000000000002c0,0:5] [APP: webcenter#11.1.1.4.0] Adding groups [oracle.webcenter.security.common.WCGroup@18b96a3] to documents service roles [Administration, Delete Documents, Create and Edit Documents, View Documents] for scope Scope[name=rbgs25mar01, guid=sbf125dd4_cd43_41cc_9d3d_467d06e84100][2011-03-28T01:03:09.122-07:00] [WC_Spaces] [ERROR] [WCS-44002] [oracle.webcenter.security.rolemapping.RoleManager] [tid: [ACTIVE].ExecuteThread: '3' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: monty] [ecid: a4789a41d7e6bc9f:36de4556:12efb72d049:-8000-00000000000002c0,0] [APP: webcenter#11.1.1.4.0] The Role Mapping provider encountered an exception while performing security role mapping for service oracle.webcenter.doclib. [[oracle.webcenter.security.rolemapping.spi.RoleMappingSPIException: Cannot add role null and permissions, 15, to the account for the folder, rbgs25mar01 for the user/group Admin. at oracle.webcenter.doclib.internal.spaces.UCMSpacesUtils$2.newException(UCMSpacesUtils.java:2595)
|
注意: 前のリリースでは、バックエンド・サーバーがエンタープライズ・グループをサポートしなかった場合、エンタープライズ・グループに属するユーザーは、個々にSpacesロールに追加されていました。この動作は変更になっています。 |
