Oracle® Fusion Middleware Oracle WebCenter Portal: Spacesユーザーズ・ガイド 11g リリース1(11.1.1.7.0) B72923-01 |
|
前 |
次 |
この章では、Spacesアプリケーションのセキュリティについて説明します。内容は次のとおりです。
対象読者
この章の内容は、Spaces管理者およびアプリケーションのセキュリティ・モデルを理解する必要があるすべてのユーザーを対象としています。詳細な手順は、第24章「ユーザー、ロールおよび権限の管理」を参照してください。
『Oracle Fusion Middleware Oracle WebCenter Portal管理者ガイド』のセキュリティの管理に関する項も参照してください。
Spacesアプリケーションは、ポータル上でユーザーが参照および変更できる内容の制御を可能にする、包括的なセキュリティ・モデルを提供します。個々のスペース、スペース階層およびホーム・スペースにアクセスできるユーザー(およびグループ)を制御したり、様々な権限の有効化と無効化を行うことでユーザーやグループが参照および実行できる内容を正確に制御することもできます。
特定のスペースについて、個々のページ、ページ・コンテンツ(タスク・フロー、ポートレット、ドキュメントおよびフォルダなど)およびリソース(ページ・テンプレート、ページ・スタイル、スキン、リソース・カタログなど)へのユーザーおよびグループのアクセスを制限できます。
ユーザーとグループ
1人のユーザーはアイデンティティ・ストア内の1人の人であり、1つのグループには複数のユーザーが含まれす。Spacesアプリケーションでは、個々のユーザーとユーザーのグループに権限を付与できます。
未登録ユーザーと自己登録
自己登録機能を使用すると、未登録ユーザーが独自のログインおよびパスワードをSpacesアプリケーション用に作成することができます。自己登録したユーザーは即時かつ自動的にSpacesへのアクセス権が付与され、新規ユーザー・アカウントがアプリケーションのアイデンティティ・ストア内に作成されます。特定のスペースにアクセスするために、ユーザーはそのスペースをサブスクライブできます。サブスクリプション・リクエストにモデレータの承認が必要な場合、ユーザーはその承認を待つ必要があります。承認が必要でない場合、ユーザーはそのスペースへのアクセス権が即座に付与されます。
アプリケーション・ロールとスペース・ロール
アプリケーション・ロールは、ユーザー(またはグループ)がホーム・スペースで参照および実行できる内容を決定します。これは、一部の管理機能については、Spacesアプリケーション全体に影響を与える可能性があります。スペース・ロールは、特定のスペース内でのアクションを制御します。
スペースとスペース階層
スペースは、関連するサービス、ページおよびコンテンツ専用のすぐにアクセス可能な領域を提供したり、特定のメンバーの参加をサポートすることにより、プロジェクト・チームやCOI(Community of Interest)の形成および共同作業をサポートしています。
スペース階層は、1つの親スペースと1つ以上のサブスペースで構成されます。サブスペースは、親のセキュリティ(メンバー、ロールおよび権限)を継承できます。
ホーム・スペース
ホーム・スペースは共有のスペースであり、デフォルトではログインしているすべてのユーザーがアクセス可能です。アプリケーション・ロールが適用されるのは、ユーザーがホーム・スペース内で作業している間です。大半のアプリケーションで、ホーム・スペースはソーシャル・ネットワーキングと個人用コンテンツに重点を置いています。
リソース
スペースの全体の構造、ルック・アンド・フィールおよびコンテンツを定義するのに、様々なポータル・リソースが役立ちます。これには、ページ・テンプレート、ページ・スタイル、スキン、ナビゲーション・モデル、リソース・カタログ、コンテンツ・プレゼンタ表示テンプレート、マッシュアップ・スタイル、データ・コントロール、タスク・フローが含まれます。適切な権限を持つユーザーは、アプリケーション全体、単一のスペース、またはスペース階層のポータル・リソースを構築およびカスタマイズすることができます。
ページ
ページを編集する権限を持つユーザーは、他のユーザーおよびグループに、アクセスおよび権限を付与できます。たとえば、営業グループの全員に表示のみの権限を付与し、営業マネージャに編集の権限を付与し、単一ユーザーに管理権限を付与することができます。または、ページのアクセスをアプリケーションから継承するように指定できます。
ページ・コンテンツ、ファイルおよびフォルダ
ページに含まれるコンテンツを、選択した一部のユーザーにのみ、または他の1人のユーザーにのみ表示したい場合があります。たとえば、営業担当者向けのページに2つのお知らせタスク・フローが含まれ、1つは営業担当者全員向け、もう1つは営業マネージャのみを対象としている場合などです。2番目のお知らせタスク・フローへのアクセスに制限を加えることで、マネージメント・レベルのお知らせを、営業マネージャではないユーザーには非表示にすることができます。
SpacesユーザーにはSpacesアプリケーションへのログイン・アカウントが与えられます — これは既存のアイデンティティ・ストアから直接プロビジョニングされます。『Oracle Fusion Middleware Oracle WebCenter Portal管理者ガイド』の組込みLDAPアイデンティティ・ストアへのユーザーの追加に関する項も参照してください。
アイデンティティ・ストア内の全ユーザーには、Authenticated-User
ロールを介してSpacesアプリケーションの最小の権限が割り当てられています。唯一の例外は、Fusion Middleware管理者(デフォルトでweblogic
)です。デフォルトでは、Fusion Middleware管理者は、Administrator
ロールを介してすべての管理者権限が割り当てられるただ1人のユーザーです。詳細は、次の項第23.3.1.1項「デフォルトのアプリケーション・ロール」を参照してください。
各ユーザーへの適切なアプリケーション・ロールの割当ては、Fusion Middleware管理者の仕事です。または、Fusion Middleware管理者は他のユーザーにAdministrator
ロールを割り当て、この職責を委譲することもできます。
アプリケーション・ロールは、Spacesアプリケーションにおける情報とサービスへのユーザーのアクセス・レベルを制御します。特に、アプリケーション・ロールとその権限により、ユーザーがそのホーム・スペースで参照および実行できる内容が決まります。
この項では、次の内容について説明します。
アプリケーション・ロールの割当ては、スペース管理者の職責です。管理者は、ユーザーにデフォルトのアプリケーション・ロールを割り当てたり、ユーザーのSpacesアプリケーションに固有の、カスタムの追加ロールを作成したりすることができます。詳細は、次の項を参照してください。
アプリケーション・ロールが適用されるのは、ユーザーがそのホーム・スペース内で作業しているときに限られます。他のすべてのスペース内では、異なるセットのロールと権限が適用されます。スペースの各メンバーへの適切なロールの割当ての決定は、スペース・モデレータの職責です。第54.2項「スペースのロールと権限の管理」も参照してください。
注意: Spaces内で定義されるアプリケーション・ロールと権限は、そのポリシー・ストアに保存され、このため、このSpacesアプリケーションにのみ適用されます。エンタープライズ・ロールはこれとは異なります。エンタープライズ・ロールはアプリケーションのアイデンティティ・ストア内に保存され、Spacesアプリケーション内の権限には無関係です。『Oracle Fusion Middleware Oracle WebCenter Portal管理者ガイド』のアプリケーション・ロールとエンタープライズ・ロールに関する項を参照してください。 |
Spacesアプリケーションは、削除できない複数のデフォルト・アプリケーション・ロールを提供します(表23-2)。
表23-2 Spacesのデフォルト・アプリケーション・ロール
アプリケーション・ロール | 説明 | 変更? |
---|---|---|
管理者はまた、Spacesアプリケーションに対するユーザーとロールの管理、他のユーザーとの間の権限の委譲または取消、スペースとスペース・テンプレートの管理、およびスペース情報のインポートとエクスポートを実行できます。 デフォルトでは、Fusion Middleware管理者は、 |
可* *読取り専用のアプリケーション権限を除く |
|
Spacesの認証されたユーザーには、 このロールは、権限を Spacesアプリケーションにおいては、 |
可 |
|
ログインしていない、Spacesアプリケーションへのアクセス権を持つすべてのユーザーに、 Spacesアプリケーションにおいては、 |
可 |
カスタムのアプリケーション・ロール(ユーザー定義ロールと呼ばれることもある)は、ユーザーのSpacesアプリケーションに固有のものです。Spacesの設定時に、必要なアプリケーション・ロールの特定、適切なロール名の選択、各ロールの職責の定義を行うのは、Spaces管理者の仕事です。
たとえば、教育環境においては、教師、生徒およびゲストなどのロールが必要となります。一方で、企業環境においては、経理、販売、人事およびサポートなどのロールがより適切となります。
Spacesアプリケーションにおいて、カスタム・アプリケーション・ロールはAuthenticated-User
ロールから権限を継承します。
Spacesユーザーのアプリケーション・ロール設定方法については、第24.2.2項「アプリケーション・ロールの定義」を参照してください。
すべてのアプリケーション・ロールには、権限と呼ばれる定義済の特定の機能があります。これらの権限により、各個人がそれぞれのホーム・スペースにおいて、固有のアクションを実行できます。権限は次のように分類されます。また、後続の表では、それぞれについて説明します。
アプリケーション
スペース
スペース・テンプレート
ページ
コンテンツ・プレゼンタ・テンプレート
データ・コントロール
ディスカッション
リンク
マッシュアップ・スタイル
ナビゲーション
ページ・スタイル
ページ・テンプレート
ピープル・コネクション
リソース・カタログ
スキン
タスク・フロー
Manage All
を除き、他の権限から権限を継承する権限はありません。
表23-3 Spacesにおけるアプリケーション権限
カテゴリ | アプリケーション権限 |
---|---|
アプリケーション |
すべて管理 - すべてのスペース管理ページ(スペース、ページ、リソース、セキュリティおよび構成)にアクセスできます。これらのページを介して、ユーザーは、アプリケーション・セキュリティ(ユーザー/ロール)の管理、アプリケーション全体のプロパティとサービスの構成、リソースの管理、ビジネス・ロール・ページの作成、すべてのユーザーの個人用ページの管理、システム・ページのカスタマイズ、アクセス可能なスペースの表示、さらにスペースとスペース・テンプレートのインポート/エクスポートを行うことができます。 一部の管理タスクは、デフォルトでは 構成の管理 - アプリケーションの表示 - ユーザーがSpacesアプリケーションを表示できるようにし、ユーザーにホーム・スペースへのアクセス権を与えます。第24.2.4項「パブリック・ユーザー・ロールへの権限の付与」および第24.2.5項「認証されたユーザー・ロールへの権限の付与」も参照してください。 |
スペース |
すべて管理 - すべてのスペース管理ページ(「一般」、「ロール」、「メンバー」、「ページ」、「コンテンツ」、「サブスペース」、「サービス」、「サービス」、「カスタム属性」)へのアクセスを可能にします。これらのページを介して、ユーザーはスペース・メンバーシップの管理、権限とロールの割当て、スペースとリソースの管理、削除およびエクスポート、スペース・プロパティの設定、およびサービス可用性の管理ができます。 構成の管理 - メンバーシップの管理 - ユーザーは、「ロール」および「メンバー」のページを介してスペースのメンバーシップを管理できます。 スペースの作成 - ユーザーはスペースを作成できます。 |
スペース・テンプレート |
すべて管理 - ユーザーは(「スペース・テンプレート」ページを介した)任意のスペース・テンプレートの管理と、アクセス可能なテンプレートの削除ができます。第52.3項「スペース・テンプレートの管理」も参照してください。 スペース・テンプレートの作成 - ユーザーはスペース・テンプレートを作成できます。 |
ページ |
作成、編集および削除 - ホーム・スペースのページを作成、編集および削除します。 削除 - ホーム・スペースのページを削除します。 編集 - 個人用ページ・コンテンツの追加または編集、コンテンツの再配置、およびページ・パラメータとプロパティの設定を行います。 カスタマイズ - コンテンツを追加、編集または削除することで、ホーム・スペースのページのビューをカスタマイズします。 表示 - ホーム・スペースのページを表示します。 作成 - ホーム・スペースのビュー用に新しいページを作成または設計します。 これらの権限はホーム・スペースのみに適用されます。これらの権限は、スペース内で作成されたページには適用されません。スペース内でのページの権限は、モデレータによりスペースごとに付与されます。第54.2項「スペースのロールと権限の管理」を参照してください。 |
コンテンツ・プレゼンタ・テンプレート |
作成、編集および削除 - スペース管理を介してアプリケーションのコンテンツ表示テンプレートを作成、編集および削除します。 作成 - アプリケーションのコンテンツ表示テンプレートを作成します。 編集 - アプリケーションレベルのコンテンツ表示テンプレートを編集します。 第42章「コンテンツ・プレゼンタを使用したコンテンツの公開」も参照してください。 |
データ・コントロール |
作成、編集および削除 - スペース管理を介してアプリケーションのデータ・コントロールを作成、編集および削除します。 作成 - アプリケーションのデータ・コントロールを作成します。 編集 - アプリケーションレベルのデータ・コントロールを編集します。 第29.2項「データ・コントロールの作成および管理」も参照してください。 |
ディスカッション |
作成、編集および削除 - バックエンド・ディスカッション・サーバー上のカテゴリ、フォーラムおよびトピックを管理します。すべてのスペースのディスカッション・フォーラム・プロパティを設定します。 第23.3.2.2項「ディスカッション・サーバーのロール・マッピングの理解」も参照してください。 |
リンク |
作成および削除 - オブジェクト間のリンクの作成と削除、およびリンク権限の管理を行います。 削除 - 2つのオブジェクト間のリンクを削除します。 作成 - オブジェクト間のリンクの作成、および作成したリンクの削除を行います。 |
マッシュアップ・スタイル |
作成、編集および削除 - スペース管理を介してアプリケーションのコンテンツ表示テンプレートを作成、編集および削除します。 作成 - アプリケーションのコンテンツ表示テンプレートを作成します。 編集 - アプリケーションレベルのコンテンツ表示テンプレートを編集します。 第42章「コンテンツ・プレゼンタを使用したコンテンツの公開」も参照してください。 |
ナビゲーション |
作成、編集および削除 - スペース管理を介してアプリケーションのナビゲーションを作成、編集および削除します。 作成 - アプリケーションのナビゲーションを作成します。 編集 - アプリケーションレベルのナビゲーションを編集します。 第12章「ナビゲーションの使用」も参照してください。 |
ページ・スタイル |
作成、編集および削除 - スペース管理を介してページ・スタイルを作成、編集および削除します。 作成 - アプリケーションのページ・スタイルを作成します。 編集 - アプリケーションレベルのページ・スタイルを編集します。 第15章「ページ・スタイルの使用」も参照してください。 |
ページ・テンプレート |
作成、編集および削除 - スペース管理を介してページ・テンプレートを作成、編集および削除します。 作成 - アプリケーションのページ・テンプレートを作成します。 編集 - アプリケーションレベルのページ・テンプレートを編集します。 第13章「ページ・テンプレートの使用」を参照してください。 |
ピープル・コネクション |
ピープル・コネクションの管理 - ピープル・コネクション・サービスに対するアプリケーション全体の設定を管理します。 ピープル・コネクション・データの更新 -ピープル・コネクション・サービスに関連するコンテンツを編集します。 人とのコネクション - ピープル・コネクション・サービスに関連するコンテンツを他と共有します。 |
リソース・カタログ |
作成、編集および削除 - スペース管理を介してアプリケーションのリソース・カタログを作成、編集および削除します。 作成 - アプリケーションのリソース・カタログを作成します。 編集 - アプリケーションレベルのリソース・カタログを編集します。 第16章「リソース・カタログの使用」も参照してください。 |
スキン |
作成、編集および削除 - スペース管理を介しスキンを作成、編集および削除します。 作成 - アプリケーションのスキンを作成します。 編集 - アプリケーションレベルのスキンを編集します。 第14章「スキンの使用」も参照してください。 |
タスク・フロー |
作成、編集および削除 - スペース管理を介してマッシュアップ・スタイルに基づくタスク・フローを作成、編集および削除します。 作成 - アプリケーションのタスク・フローを作成します。 編集 - アプリケーションレベルのタスク・フローを編集します。 第29.3項「タスク・フローの作成および管理」も参照してください。 |
表23-4に、デフォルトのアプリケーション・ロールに割り当てられるデフォルトの権限を示します。
✔ - 明示的に付与された権限またはアクションを示します。
✙ - 権限が明示的に付与された場合の暗黙の権限を示します。
表23-4 Spacesにおけるデフォルトのアプリケーション・ロールと権限
デフォルトのアプリケーション・ロール | |||
---|---|---|---|
権限 | Administrator | Authenticated-User | Public-User |
アプリケーション |
|||
すべて管理 |
✔ |
||
構成の管理 |
✙ |
||
アプリケーションの表示 |
✙ |
✔ |
✔ |
スペース |
|||
すべて管理 |
✔ |
||
構成の管理 |
|||
メンバーシップの管理 |
|||
スペースの作成 |
✔ |
||
スペース・テンプレート |
|||
すべて管理 |
✔ |
||
スペース・テンプレートの作成 |
✔ |
||
ページ |
|||
作成、編集および削除 |
✔ |
||
削除 |
|||
編集 |
|||
カスタマイズ |
|||
表示 |
|||
作成 |
✔ |
||
コンテンツ・プレゼンタ・テンプレート |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
|||
データ・コントロール |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
|||
ディスカッション |
|||
作成、編集および削除 |
✔ |
||
リンク |
|||
作成および削除 |
✔ |
||
削除 |
|||
作成 |
|||
マッシュアップ・スタイル |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
|||
ナビゲーション |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
|||
ページ・スタイル |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
|||
ページ・テンプレート |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
|||
ピープル・コネクション |
|||
管理 |
✔ |
||
更新 |
✔ |
||
接続 |
✔ |
||
リソース・カタログ |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
|||
スキン |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
|||
タスク・フロー |
|||
作成、編集および削除 |
✔ |
||
作成 |
|||
編集 |
リモート(バックエンド)のリソースへのアクセスを必要とするWebCenter Portalサービスには、ロール・マッピング・ベースの認可が必要になるものもあります。すなわち、ユーザーがSpacesアプリケーションでディスカッション・サービスを使用できるようにするSpacesロールが、WebCenter Portalのディスカッション・サーバー上の対応するロールにマッピングされている必要があります。
Spacesではアプリケーション・ロールを使用してホーム・スペースのユーザー権限を管理し、スペース・ロールを使用して特定のスペース内のユーザー権限を管理します。WebCenter Portalのディスカッション・サーバー上では、異なるセットのロールと権限が適用されます。
Spacesでディスカッションとお知らせを使用するユーザーは、表23-5および表23-6に示す、適切なディスカッション・サーバー・ロールに自動的にマッピングされます。
表23-5 ディスカッション・サーバー・ロールと権限 - アプリケーション
ディスカッション・サーバー・ロール | ディスカッション・サーバー権限 | Spaces 等価なアプリケーション権限 |
---|---|---|
|
カテゴリ管理者 |
権限が付与されるカテゴリ内のサブ・カテゴリ、フォーラムおよびトピックを、作成、読取り、更新および削除します。 |
表23-6 ディスカッション・サーバー・ロールと権限 - スペース用
ディスカッション・サーバー・ロール | ディスカッション・サーバー権限 | Spaces スペースにおける等価な権限 |
---|---|---|
|
カテゴリ管理者 フォーラム管理者 |
|
メッセージの作成 お知らせの作成 |
|
|
フォーラムの読取り スレッドの作成 |
|
|
フォーラムの読取り |
|
SpacesアプリケーションでApplication-Discussions-Create Edit Delete
権限を割り当てられたユーザーはすべて、WebCenter Portalのディスカッション・サーバーに自動的に追加され、Category Admin
権限を持つAdministrator
ロールが割り当てられます。デフォルトでは、図23-2に示すように、SpacesアプリケーションはApplication-Discussions-Create Edit Delete
権限をAdministrator
ロールにのみ割り当てます。
同様に、指定されたスペースにおいては、ディスカッションとお知らせの権限を割り当てられたすべてのメンバーに、ディスカッション・サーバー上の対応する権限が付与されます。図23-3に、デフォルト・ロールのModerator
、Participant
およびViewer
に対するデフォルトのディスカッションおよびお知らせの権限を示します。
Spacesアプリケーションでは、同じエンタープライズ・グループ内の個々のユーザーまたは複数のユーザーを、スペース・ロールに割り当てることができます。その後にバックエンドのアイデンティティ・ストアで行われたエンタープライズ・グループの更新は、Spacesアプリケーションに自動的に反映されます。最初に、エンタープライズ・グループをスペース・ロールに割り当てると、エンタープライズ・グループ内のすべてのユーザーに、そのロールが付与されます。このグループから抜けたユーザーは、ロールが取り消されます。このグループに加わったユーザーには、ロールが付与されます。
Spacesでエンタープライズのグループとロール間のマッピングを適切に管理するには、ディスカッション・サーバーやコンテンツ・サーバーなどのバックエンド・サーバーも、エンタープライズ・グループをサポートする必要があります。このリリースで提供されるWebCenter Portalのディスカッション・サーバーおよびWebCenter Contentのコンテンツ・サーバーのバージョンでは、いずれもエンタープライズ・グループをサポートしますが、前のバージョンではサポートしない可能性があります。第24.3項「ユーザーとロールに関する問題のトラブルシューティング」も参照してください。
ユーザーが特定のスペースのメンバーになると、異なるセットのロールと職責が適用されます。詳細は、第54.2項「スペースのロールと権限の管理」を参照してください。
Spaces管理者は、アプリケーションの自己登録を有効化できます。自己登録機能を使用すると、招待済ユーザーおよび未招待ユーザーが独自のログインおよびパスワードをSpacesアプリケーション用に作成することができます。自己登録したユーザーは即時かつ自動的にSpacesへのアクセス権が付与され、新規ユーザー・アカウントがアイデンティティ・ストア内に作成されます。第25章「自己登録の有効化」も参照してください。