| Oracle® Fusion Middleware WebCenter Sites管理者ガイド 11gリリース1 (11.1.1.8.0) E49682-01 |
|
 前 |
 次 |
ACL、ユーザー・アカウント、ユーザー・プロファイル、ロール、サイトなどのユーザー管理コンポーネントは、WebCenter Sitesシステムへのアクセスを制御するために使用されます。サイト構成自体は、ACL、ユーザー・アカウントおよびロールの作成から開始します。
ACLは、管理システムと配信システムの両方で使用できます。ただし、この章では主に管理システムでのユーザー管理について説明します。配信システムでのユーザー管理の詳細は、『Oracle Fusion Middleware WebCenter Sites開発者ガイド』を参照してください。
この章は、次の項で構成されています。
ACLとロールは、WebCenter Sitesにおいて最も重要です。
ACLは、WebCenter Sitesシステムへのエントリを規制するために使用されます。ユーザー、データベース表およびWebCenter SitesページへのACLの割当てによって、WebCenter Sitesのデータベース表でのユーザーの操作権限が決まります。ユーザーのACLがデータベースのACLと一致すると、ユーザーにはデータベース表での特定の操作権限(ACLにより定義されます)が与えられます。そのため、ACLはセキュリティおよびユーザー管理モデルの基盤としての役割を果たします。ACLがない場合、ユーザー・アカウントは作成できません。
ロールは、サイトおよびそのコンポーネントへのアクセスを管理するために使用されます。特定のサイトでのユーザーおよびインタフェース機能へのロールの割当てによって、ユーザーに対してインタフェース機能を有効にするか、無効にするかが決まります。ユーザーのロールがインタフェース機能に割り当てられたロールと一致すると、その機能がそのユーザーに対して有効になります。一致しないと、その機能は無効となります。
ユーザーを設定する前に、ユーザーにどのACLおよびロールを割り当てる必要があるかを決定する必要があります。LDAPプラグインを使用してユーザー・アカウントを作成する予定であっても、ACLおよびロールがまだ存在しない場合には、WebCenter Sitesでこれらを作成する必要があります。
この章では、ACLとロールの基本を説明し、ACLとロールを作成、修正および削除する方法を示します。
アクセス制御リスト(略称ACL)は、読取り、書込み、作成、取得などの指定された一連のデータベース操作権限です。WebCenter Sites (およびWebCenter Sitesのコンテンツ・アプリケーション)のすべてが、1つ以上のデータベース表に、1つ以上の行で表されるため、すべてのSitesシステムのユーザー管理はACLから始まります。
ACLにより、次のアイテムへのアクセスを制限できます。
個々のデータベース表
個々のWebCenter Sitesページ
WebCenter Sitesおよびそのコンテンツ・アプリケーションは、ACLを使用し、これらのアプリケーションの様々な機能を表すデータベース表へのユーザーのアクセス権を制御することで、これらの機能に対するアクセスを制限します。どのようにするのでしょうか。その機能の実行を試みるユーザーのユーザー・アカウントに、データベース表に割り当てられたものと同じACLが割り当てられていることを確認します。
たとえば、ユーザー・アカウント情報は、SystemUsersとSystemUserAttrsというシステム表に含まれています。特定のACLがこれらのシステム表に割り当てられているため、ユーザー・アカウントに同じACLが割り当てられているユーザーのみが、新しいユーザーを作成したり、既存のユーザー情報を編集できます。
ACLは、許可機能を提供することによって、Sitesシステムにおけるセキュリティおよびユーザー管理モデルの基盤として機能します。ユーザー情報の格納にLDAPなどの外部のユーザー・マネージャを使用している場合でも、WebCenter SitesのACLを使用する必要があります。
WebCenter Sitesページを表示するには、ユーザーは必ず、少なくともBrowser ACLを持っている必要があります。ただし、追加のACLの制限が適用されるのは、futuretense.iniファイル内のcc.securityプロパティがtrueに設定されている場合のみです。cc.securityプロパティについては、『Oracle Fusion Middleware WebCenter Sitesプロパティ・ファイル・リファレンス』のfuturetense.iniに関する項を参照してください。WebCenter Sitesシステムでのセキュリティの構成については、第6章「外部セキュリティの設定」を参照してください。
ACLは、ユーザー・アカウント、データベース表、およびSiteCatalog表のページ・エントリ(つまり、WebCenter Sitesページ)の3つに割り当てられます。
|
注意: 配信システムにおけるユーザー管理。配信システムでのユーザー管理もACLに基づきます。訪問者がそのサイトの領域にアクセスするには登録またはログインが必要となるようにオンライン・サイトを設計している場合は、配信システムで必要となるACLを作成し、それらを該当するデータベース表に割り当てます。 一般的には、サイト・デザイナがWebCenter SitesページへのACLの割当てを行います。『Oracle Fusion Middleware WebCenter Sites開発者ガイド』では、配信システムでのユーザー管理プロセスの設計方法について説明し、訪問者をサイトにログインさせたり、訪問者のIDを検証するページのコード・サンプルを提供しています。 |
ユーザー・アカウント
各ユーザーには、少なくとも1つのACLが割り当てられる必要があります。ユーザーに割り当てられたACLにより、そのユーザーのWebCenter Sitesシステムへのアクセス権が定義されます。
ユーザーにユーザー・アカウントが1つとACLが1セットあれば、アクセスするサイトがいくつあっても、ユーザーは、サイトごとに異なるロール・セットを持つことができます。したがって、ユーザーには、サイト固有のすべてのロールを実行するために必要な権限を与えるために必要となるすべてのACLが割り当てられる必要があります。
たとえば、そのロールを持つユーザーがテンプレート・アセットを作成できるようにするロールを作成する場合、テンプレートの作成ではElementCatalog表にデータを書き込むため、そのロールを割り当てられたユーザーには、ElementEditor ACLも割り当てる必要があります。
データベース表
表内のデータへのアクセスを制限するには、「管理」タブから利用できるWebCenter Sitesデータベース・フォームで、ACLをこの表に割り当てます。これで、同じACLを持つユーザーのみが、この表のデータにアクセスできるようになります。
複数のACLを1つの表に割り当てる場合、表にアクセスするためにユーザーが必要とするACLはこのうちの1つのみです。ユーザーのその表に対するアクセス権(読取り、書込み、作成など)は、そのACLで定義されているものとなります。
WebCenter Sitesシステムのすべての表(およびSitesのコンテンツ・アプリケーションのいくつかの表)には、ACLの制限があります。SystemInfo表には、WebCenter Sitesデータベース内のすべての表とそれらに割り当てられているACLがリストされています。
|
注意: WebCenter Sites Explorerアプリケーションを使用して、ACLをデータベース表に追加しないでください。「管理」タブのWebCenter Sitesデータベース・フォームを使用してください。 |
WebCenter Sitesデータベースで外部の表を登録する場合を除き、たとえ変更が可能なACLを持つユーザー・アカウントであっても、SystemInfo表の情報は変更しないでください。
参照先:
データベース表へのACLの割当てについては、第4.3.4項「カスタム表へのACLの割当て」を参照してください。
外部の表の登録については、『Oracle Fusion Middleware WebCenter Sites開発者ガイド』を参照してください。
SiteCatalog表のページ・エントリ
SiteCatalog表には、オンライン・サイト(つまり、配信システムから配信しているサイト)に表示されるページおよび、Sitesのコンテンツ・アプリケーションに表示されるすべてのページのページ・エントリが含まれます。ページへのアクセスを制限する場合は、これにACLを割り当てます。
一般的には、サイト開発者が配信システムでのページ制限の構成方法を決定します。ただし、管理システムでユーザー・インタフェースをカスタマイズしている場合は、管理者がACLを使用してカスタム・ページへのアクセスを制限する必要が生じることがあります。
この項は、次のトピックで構成されています。
WebCenter Sitesとそのコンテンツ・アプリケーションでは、多くのシステムACLを使用して、その機能へのユーザー・アクセスを制御します。これらのACLの様々な組合せをユーザーに割り当てる必要があります。システムACLとその権限については、第31章「システム・デフォルト」を参照してください。
新たにインストールしたWebCenter Sitesシステムには、システムACLのみが含まれています。WebCenter Sitesとともにパッケージ化されているサンプル・サイトに対して追加のACLは作成されていません。
WebCenter Sitesでは、包括的なACLのセットを提供しているので、独自に作成する必要が生じることはほとんどありません。ただし、管理システムまたは配信システムでのユーザー管理ニーズによりACLを作成する必要が生じる場合もあります。たとえば、次のような場合があります。
オンライン・サイトでユーザー登録が必要な場合、サイト訪問者のACLのセットを作成する必要が生じることがあります。
開発者が新しい機能を作成し、これらを新しいタブに配置して管理システムをカスタマイズする場合、その新しい機能とタブをサポートするには、追加のACL (またはロール)を作成する必要が生じることがあります。
ACLの作成と適用は管理タスクですが、まずは、サイト・デザイナや開発者とともに、必要となるACLとそれらの適用方法を決定する必要があります。ACLを決定したら、この章で後述する手順に従ってこれらを作成してください。
この項では、ACLの作成、カスタムACLの編集と削除、データベース表およびWebCenter SitesページへのACLの適用、およびアクセス制限メッセージのカスタマイズの方法を示します。
|
注意: LDAP統合オプションを使用している場合、ユーザーおよびサイト管理操作に対するシステム・レスポンスに注意してください。システム・レスポンスについては、第33章「LDAP統合Sitesシステムでのユーザー、サイト、およびロールの管理」を参照してください。 |
この項は、次のトピックで構成されています。
|
注意: ACLを作成する際、ACLがロールと釣り合うように、使用するロールを考慮してください。たとえば、ユーザーがテンプレート・アセットを作成できるようにするロールを作成する場合、テンプレートの作成では |
新しいACLを作成するには:
「管理」タブで、「ユーザー・アクセス管理」を開き、「ACL」をダブルクリックします。
「ACL」フォームが表示されます。
「ACLの追加」を選択し、「OK」をクリックします。「ACLを選択してください」フィールドの値は、この時点では関係ありません。
「ACLの追加」フォームが表示されます。
「ACL名」フィールドに、一意の名前を入力します。
このACLに割り当てるアクセス権限を選択します。各権限については、第31.1.1項「権限」を参照してください。
「追加」をクリックします。
WebCenter SitesはACLを作成し、SystemACL表にこれを書き込みます。手順1で説明したフォームのドロップダウン・リストに、新しいACLが表示されます。
LDAPを使用している場合、作成したACLに一致するグループを(LDAPサーバーで)作成します。グループを作成したら、適切なユーザーにこれを割り当てます。
カスタムACLを編集するには:
「管理」タブで、「ユーザー・アクセス管理」を開き、「ACL」をダブルクリックします。
「ACL」フォームが表示されます。
「ACLを選択してください」フィールドで、編集するACLを選択します。
「ACLの修正」を選択し、「OK」をクリックします。
選択したACLがシステムACLの場合、アラートが表示されます。システムACLは変更しないでください。
「ACLの修正」フォームで、「説明」と「アクセス権限」に必要な変更を加えます。表示されるオプションについては、第31.1.1項「権限」を参照してください。
「修正」をクリックします。
WebCenter Sitesは、変更をSystemACL表に書き込みます。
カスタムACLを削除するには:
LDAPを使用している場合、削除するACLに対応するグループを(LDAPサーバーから)削除します。
「管理」タブで、「ユーザー・アクセス管理」を開き、「ACL」をダブルクリックします。
「ACL」フォームが表示されます。
「ACLを選択してください」フィールドで、削除するACLを選択します。
表示されるフォームで、ドロップダウン・リストから目的のACLを選択し、「OK」をクリックします。
WebCenter Sitesに警告メッセージが表示されます。
「OK」をクリックします。
ACLが削除されます。
管理者またはサイト・デザイナが新しい表を作成する場合、管理者はACLをこれらの表に割り当てることによってこれらの表へのアクセスを制限する必要が生じることがあります。一般的には、新しい表を作成するときに、これらにACLを割り当てます。(詳細は、『Oracle Fusion Middleware WebCenter Sites開発者ガイド』を参照してください。)
|
注意: 追加ACL (デフォルトで割り当てられている以外のACL)を、システムやコア製品の表に割り当てないでください。 |
ACLを既存の表に割り当てるには:
「管理」タブで、「ユーザー・アクセス管理」を開き、「サイト・データベース」をダブルクリックします。
WebCenter Sitesに「サイト・データベース」フォームが表示されます。
ACLを割り当てる表の名前を入力します。使用する表の名前がわからない場合は、次のいずれかを行います。
フィールドを空のままにします。WebCenter Sitesはデータベース内のすべての表のリストを返します。
名前の一部を入力し、最後にワイルドカード文字(%)を付けます。WebCenter Sitesは、条件に近い名前の表のリストを返します。
「表の修正」を選択し、「OK」をクリックします。
表のリストで、目的の表を選択します。
WebCenter Sitesに「カタログの修正」フォームが表示されます。
「ACL」フィールドで、選択した表に割り当てるACLを選択します。複数のACLを選択するには、目的の各ACLを[Ctrl]キーを押しながらクリックします。範囲内の最初と最後のACLを[Shift]キーを押しながらクリックすることにより、ACLの範囲を選択することもできます。
|
注意: 「ファイル・ストレージ・ディレクトリ」フィールドの値は変更しないでください。このフィールドについては、『Oracle Fusion Middleware WebCenter Sites開発者ガイド』の |
「修正」をクリックします。
SiteCatalogページ・エントリにACLを割り当てる方法は、少なくとも2つあります。
開発者がSiteEntryまたはテンプレート・アセットを作成する際、「作成」または「編集」フォームのフィールドから、そのアセットに対して作成されたページ・エントリにACLを割り当てられます。
SiteEntryまたはテンプレート・アセットに関連付けられていないページ・エントリの場合、開発者は「ユーザー・アクセス管理」を使用できます。
SiteEntryまたはテンプレート・アセットに関連付けられていないページ・エントリにACLを割り当てるには:
「管理」タブで、「ユーザー・アクセス管理」を開き、「サイト」をダブルクリックします。
WebCenter Sitesに「サイト」フォームが表示されます。
ACLを割り当てるページのフルパスと名前を入力します。使用するページの名前がわからない場合は、次のいずれかを行います。
フィールドを空のままにします。WebCenter Sitesは、SiteCatalog表のすべてのページ・エントリのリストを返します。
名前の一部を入力し、最後にワイルドカード文字(%)を付けます。WebCenter Sitesは、条件に近い名前のページのリストを返します。
「ACLの修正」を選択し、「OK」をクリックします。
「ACLの修正」フォームが表示されます。
ウィンドウの一番上にあるスクローリング・リストで、1つ以上のページに割り当てるACLを選択します。複数のACLを選択するには、目的の各ACLを[Ctrl]キーを押しながらクリックします。範囲内の最初と最後のACLを[Shift]キーを押しながらクリックすることにより、ACLの範囲を選択することもできます。
ページのリストで、手順4で選択したACLを割り当てる各ページの横にある「適用しますか。」チェック・ボックスを選択します。現在各ページに割り当てられているACLが、「ACL」列に表示されます。(リスト内のすべてのページを選択するには、「すべて」をクリックします。リスト内のすべてのページを選択解除するには、「なし」をクリックします。)
フォームの下にある「適用」をクリックします。
ユーザーが適切な権限のないページにアクセスを試みると、WebCenter Sitesはエラー・メッセージを表示します。このメッセージは、次のファイルに格納されています。
<cs_install_dir>/futuretense_cs/formpriv.html
このメッセージおよびfuturetense_csディレクトリにあるその他のエラー・メッセージ・ページは、次の制限を使用してカスタマイズできます。
ファイルの名前を変更しない。
ファイル内に出現する{0}文字列を変更しない。WebCenter Sitesでは、{0}文字列を使用して、これらのエラー・メッセージを自動的に生成します。
ユーザー管理には、ロールの概念が含まれます。ロールは、次のようにしてユーザーを補完します。
ユーザー定義(アカウント)がACLにより基礎となるWebCenter Sites機能(データベース表)への個々のアクセスを記述しているのに対し、ロールはWebCenter Sitesインタフェース機能へのサイト固有のアクセスを管理するために使用されます。
ロールは、業務の説明または、コンテンツ・プロバイダ、エディタ、サイト・デザイナ、管理者など、類似機能を持つ個々の役職を表します。
作成されたサイト数に関係なく、各WebCenter Sitesユーザーには1つのユーザー定義(アカウント)があります。ただし、ユーザーのロールはサイトごとに異なる場合があります。
サイトに対してユーザーを有効にすると、そのユーザーは、そのサイトに対して実行できるロールのコンテキスト内で有効になります。
サイトに対してユーザーに割り当てられるロールにより、次のことが決定されます。
そのサイトでユーザーが作成できるアセット。
そのサイトでユーザーが検索できるアセット。
ユーザーがサイトにログインしたときにツリーに表示されるタブ。
ユーザーがワークフロー・プロセスに加わることが可能かどうか、および可能な場合、それはワークフロー・プロセスのどのステップか。
ワークフロー・プロセスを進める際に、ユーザーがアセットで実行できる機能と実行できない機能。
ユーザーがワークフロー・プロセスを管理できるかどうか、あるいはそのサイトでワークフロー・グループを作成または変更できるかどうか。
この項は、次のトピックで構成されています。
いくつかのシステム・ロールはWebCenter Sitesによりインストールされます。Sitesのコンテンツ・アプリケーションを機能させるには1つのロールが必要となり、WebCenter Sites管理者を機能させるには3つのロールが必要となります。詳細は、第31.5項「システム・ロール」を参照してください。
1つ以上のサンプル・サイトをインストールした場合、そのサイトに含まれる多くのサンプル・ロールにアクセスできます。ロールによって、サンプル・サイトのユーザーは様々なツリー・タブへのアクセスが許可されます。独自のサイトでアクセス制御を構成する方法の例として、サンプル・ロールを使用できます。
ACLとは異なり、ロールは通常、サイトにおける全範囲のユーザーの役割に対応するために作成する必要があるオブジェクトです。ロールを作成するには、次の第4.5項「ロールの使用」の手順に従ってください。
この項では、ロールの作成、編集および削除方法を示します。
|
注意: LDAPを使用している場合、ユーザーおよびサイト管理操作に対するシステム・レスポンスに注意してください。システム・レスポンスについては、第33章「LDAP統合Sitesシステムでのユーザー、サイト、およびロールの管理」を参照してください。 |
この項は、次のトピックで構成されています。
新しいロールを作成するには:
「管理」タブで、「ユーザー・アクセス管理」、「ロール」の順に開き、「新規追加」をダブルクリックします。
WebCenter Sitesに「新規ロールの追加」フォームが表示されます。
「名前」フィールドに、最大32文字の一意の名前を入力します。
「説明」フィールドに、255文字以下の短い説明を入力します。
「新規ロールの追加」をクリックします。
必要に応じて、デフォルトのツリー・タブ(「ワークフロー」、「ブックマーク」、「サイト管理者」、「管理」、「サイト・プラン」および「アクティブ・リスト」)にロールを追加します。手順については、第9.5.3項「ツリー・タブの編集」を参照してください。
ロールを作成した後にそのロールの名前を変更することはできませんが、ロールの説明は編集できます。
ロールの説明を編集するには:
「管理」タブで、「ユーザー・アクセス管理」を開き、「ロール」をダブルクリックします。すべてのロールのリストがメイン・ウィンドウに表示されます。
ロールのリストで、編集するロールに移動し、その「編集」(鉛筆)アイコンをクリックします。
「ロールの編集」フォームで変更を行い、「保存」をクリックします。
