Oracle Portalには、アイテムを保護するための2つの強力な機能、アイテム・レベルのセキュリティと承認が用意されています。アイテム・レベルのセキュリティにより、アイテムを権限のないユーザーから保護したり、そのアイテムを含むページやタブ上で付与されるよりも高いレベルのアクセス権限をアイテムに対して付与したりできます。承認では、新規および修正済のコンテンツがポータルに公開される前に通過する必要のある承認プロセスを構築できます。
この項では、アイテム・レベルのセキュリティと承認について説明し、これらの機能を使用する方法についてのヒントを提供します。さらに、様々な状態(「下書き」、「保留中」、非公開など)のアイテムに対するアイテムURLアクセス・ルールを概説する表も示します。この項の内容は次のとおりです。
注意: アイテム・レベルのセキュリティを有効にするには、そのアイテムを含むページまたはタブに対して、少なくとも「管理」ページ権限またはタブ権限が必要です。 |
権限のないユーザーによるアイテムの表示を防止
たとえば、アイテム・レベルのセキュリティが有効化されていて、ユーザーに「表示」ページ権限が付与されていても、アイテム権限が付与されていない場合、そのユーザーはページを表示できますが、アイテムを表示できません。
ページに対して付与されるより高いレベルの権限をアイテムに対して付与
たとえば、ユーザーにページに対する「表示」ページ権限が付与されていても、そのページ上のアイテムに対する「管理」アイテム権限が付与されていれば、ページを編集モードに切り替えて、権限を持つアイテムに対してコンテンツ管理タスクを実行できます。このユーザーは、ページでその他の編集作業は実行できません。
アイテム・レベルのセキュリティは、ページ、タブおよびPortalテンプレートに基づいたページに配置されたアイテムに適用できます。アイテム・レベルのセキュリティがテンプレートに対して有効で、ユーザーがそのアイテムに対する権限を持っていても、テンプレート自体の一部であるアイテムに対しては、アイテム・レベルのセキュリティをうまく適用できません。
次の各項では、アイテム・レベルのセキュリティをさらに定義し、ページまたはタブで有効にする方法を説明します。次のサブセクションが含まれます:
デフォルトでは、アイテムは、そのアイテムが含まれているページまたはタブに適用されているアクセス設定を継承します。特定のページまたはタブへのアクセスを承認されているユーザーまたはグループのみが、そのアイテムにアクセスできます。ページまたはタブに対するアイテム・レベルのセキュリティを有効にすると、アイテムでは最初ページまたはタブに適用されているものと同じセキュリティ設定が使用されます。しかし、アイテム・レベルのセキュリティ機能を使用することで、個々のアイテムに対するより高いレベルのアクセス権限を付与できるようになりました。
アイテム・レベルのセキュリティが有効の場合、そのアイテムに対する権限を持たないユーザーはアイテムを表示できません。
アイテム・レベルのセキュリティ権限は、「管理」および「コンテンツの管理」ページ権限によりオーバーライドされます。つまり、「コンテンツの管理」権限を持つユーザーに「表示」アイテム権限を付与した場合、そのユーザーはアイテムを単に表示するのみではなく、アイテムに対してあらゆる操作が行えます。ただし、アイテム・レベルのセキュリティは、他のページ・レベル権限よりも優先されます。
たとえば、ユーザーにページに対する「スタイルの管理」ページ権限とアイテムに対する「管理」アイテム権限が付与されている場合、そのユーザーは単にページのスタイルを変更できるのみではなく、ページからアイテムを削除できます。
アイテム・レベルのセキュリティは、標準ページと標準ページ・タイプに基づいたカスタム・ページに対してのみ有効にできます。
注意: アイテム・レベルのセキュリティとアイテム・バージョニングは無関係です。アイテム・レベルのセキュリティは、誰がアイテムにアクセスできるかに関係し、アイテム・バージョニングは、アイテムの新しいバージョンがアップロードされたときの古いバージョンのアイテムの取り扱い方法に関係します。アイテム・バージョニングの詳細は、14.12項「アイテムのバージョニング制御の使用」を参照してください。 Portalテンプレートのアクセス設定の変更は、そのテンプレートでテンプレートに基づいたページに別のアクセス設定を使用することが特に許可されていない場合、テンプレートに基づいたすべてのページに影響を与えます。テンプレートに基づいたページでそれぞれのアクセス権限を定義できるようにするオプションは、「Portalテンプレート・プロパティ」の「アクセス」タブにあります。 |
ページでアイテム・レベルのセキュリティを有効にするには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アイテム・レベルのセキュリティを有効にするページを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「ページ」ヘッダーの下で、アイテム・レベルのセキュリティを有効にするページをクリックします。
ページが編集モードで開きます。
ページ・ツールバーの「アクセス」リンクをクリックします。
表示されたページで、「アクセス・プロパティ」セクションに移動し、「アイテム・レベルのセキュリティを有効にする」を選択します。
「OK」をクリックして、ページに戻ります。
これにより、アイテム作成者はページ上の個々のアイテムのアクセス制御を指定できるようになります。アイテム作成者は、ページからアクセス制御を継承するか、または個々のアイテムに特定のアクセス制御を設定できます。
タブでアイテム・レベルのセキュリティを有効にするには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アイテム・レベルのセキュリティを有効にするタブを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「ページ」ヘッダーの下で、該当するタブを含むページをクリックします。
ページが編集モードで開きます。
アイテム・レベルのセキュリティを有効にするタブに移動します。
「タブの編集」アイコンをクリックします(図17-5)。
タブの横ではなく、必ずタブ・フラップ上の「タブの編集」アイコンをクリックしてください。
表示されたページで、「アクセス」タブをクリックして前面に表示します。
「アクセス設定」セクションに移動し、「アクセス設定を指定」を選択します。
「アクセス・プロパティ」セクションで、「アイテム・レベルのセキュリティを有効にする」を選択します。
これにより、アイテム作成者およびアイテム所有者は、タブ上の個々のアイテムに対するアクセス権限を付与できます。アイテム作成者は、タブからアクセス制御を継承するか、タブ上の各アイテムに対するアクセス権限を付与するかを選択できます。
Portalテンプレートでアイテム・レベルのセキュリティを有効にするには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アイテム・レベルのセキュリティを有効にするPortalテンプレートを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「Portalテンプレート」ヘッダーの下で、アイテム・レベルのセキュリティを有効にするテンプレートをクリックします。
ページが編集モードで開きます。
テンプレート上部のツールバーで「アクセス」リンクをクリックします。
表示されたページで、「アクセス・プロパティ」セクションに移動し、「アイテム・レベルのセキュリティを有効にする」を選択します。
「OK」をクリックして、ページに戻ります。
コンテンツ作成者として、選択したユーザーまたはグループにアイテムへの追加のアクセス権限を付与するかどうかを決定できます。アクセス権限は1つのアイテムに付与することも、複数のアイテムに同時に付与することもできます。この項では、両方のアクションについて説明します。次のサブセクションが含まれます:
注意: アイテムに対するアクセス権限を付与には、そのアイテムに対して少なくとも「管理」権限が必要です。 |
1つのアイテムに対するアクセス権限を付与するには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アクセス権限を付与する対象のアイテムを含むページを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「ページ」ヘッダーの下で、アクセス権限を付与する対象のアイテムを含むページをクリックします。
ページが編集モードで開きます。
該当するアイテムを検索し、アイテムの横の「操作」アイコンをクリックします(図17-6)。
注意: ページ・リンク・アイテムの場合、ユーザーがアイテムに対してアイテム・レベルの権限を持っていても、ユーザーにターゲット・ページに対するアクセス権限がなければ、アイテムは表示されません。 |
表示されたページで、「アクセス」リンクをクリックします。
「アイテム・レベルのセキュリティ」セクションで、「アイテム・レベルのアクセス権限を定義」を選択します。
2つの追加セクション、「アクセス権限の付与」と「アクセス権限の変更」が表示されます。Netscape 4.xブラウザなど、一部の古いバージョンのブラウザの場合、「適用」をクリックして、追加セクションを表示する必要があります。
注意: 「親ページのアクセス権限を継承」を選択すると、アイテムには、親ページに設定されているものと同じアクセス権限が設定されます。 アイテムに複数のバージョンがある場合、アクセス設定は、編集中のもののみでなく、アイテムのすべてのバージョンに適用されます。 |
「アクセス権限の付与」セクションで、権限を割り当てるユーザーまたはグループの名前を入力します。
「ユーザーをブラウズ」アイコンをクリックして既存ユーザーのリストを表示するか、「グループをブラウズ」アイコンをクリックして既存グループのリストを表示します。
注意: 同じアクセス権限を複数のユーザーに付与する場合は、グループを追加すると時間の節約になります。 |
権限のドロップダウン・リストから、指定したユーザーまたはグループに付与するアイテム・レベルの権限を選択します。
「追加」をクリックします。
権限受領者と彼らの権限レベルが、「アクセス権限の変更」セクションに表示されます。このセクションで、別のアイテム・レベルの権限を選択したり、ユーザーまたはグループからアイテム権限を取り消したりできます。
該当するユーザーまたはグループごとに、手順8から10を繰り返します。
終了したら、「OK」をクリックします。
注意: Oracle Portalでは、ID管理にOracle Internet Directoryを使用します。Oracle Internet Directoryは、ユーザーとグループのリポジトリとして機能します。Oracle Internet Directoryでは、グループは識別名(DN)で一意に識別されます。各グループは一意のDNを持っていますが、まったく無関係の2人の名前が同じ(John SmithとJohn Doeなど)場合があるのと同様に、複数のグループ間で共通の名前を持つことができます。Portal内で作業する場合、そのPortal内で作成されたグループは共通の名前でのみ表示されます。ただし、Portalが、Oracle Internet Directory内の他の場所(同じID管理インフラストラクチャに関連付けられている他のPortalのグループなど)にあるグループを参照するときは、そのグループとPortalでローカルに定義されたグループを区別するためにグループのDNが表示されます。 アイテム・レベルのセキュリティは、「ポートレット・リポジトリ」ページ・グループのアイテムに対しては無効にできません。 |
1人のユーザーが、同じアイテムに対して異なる権限を持つ2つの異なるグループのメンバーである場合、ユーザーは弱い方の権限によって制限されません。たとえば、あるグループに「編集」アイテム権限が、別のグループに「管理」アイテム権限が付与されている場合、両方のグループに属するユーザーは、そのアイテムの表示および管理の両方が行えます。
ユーザーまたはグループのアクセスを取り消すには、「アクセス権限の変更」の下の「権限受領者の名前」の横の「削除」アイコンをクリックします。
ページ編集モードの「リスト」ビューで「操作」リストを使用して、複数のアイテムに対するアクセス設定を同時に変更します。これらの操作を実行するには、まずアイテム・レベルのセキュリティを、その操作を実行するページ、タブまたはテンプレートで有効にする必要があります。詳細は、17.9.1項「アイテム・レベルのセキュリティの使用」を参照してください。
複数のアイテムに対するアクセス設定を同時に変更するには、次の手順を実行します。
Oracle Portalにログインします。
「構築」タブをクリックして、前面に表示します。
「ページ・グループ」ポートレットの「作業場所」ドロップダウン・リストから、アクセス権限を変更するアイテムを含むページを所有するページ・グループを選択します。
通常のインストールでは、「ページ・グループ」ポートレットは、「Portalビルダー」の「ビルダー」タブにあります。
「レイアウトと外観」セクションの「ページ」ヘッダーの下で、アクセス権限を変更するアイテムを含むページをクリックします。
ページが編集モードで開きます。
ページ上部のツールバーで「リスト」リンクをクリックします。
ページ編集モードの「リスト」ビューでページが表示されます。
変更するアイテムの横のチェック・ボックスを選択します。
「操作」ドロップダウン・リストから、次のオプションのいずれかを選択し、「実行」をクリックします。
アイテム・アクセス設定を変更
選択したアイテムのアクセス設定を変更するには、このオプションを選択します。「実行」をクリックすると、「一括操作: アイテム・アクセス設定を変更」画面が表示されます。
「アイテムの選択」セクションを使用して、アイテム・アクセス設定を変更するアイテムを識別します。
「指定されたアイテム・レベルのアクセス」を選択し、個々にアクセス設定が定義されているアイテムに対して操作を実行します。これらのアイテムに現在適用されているすべてのアクセス権限を取り消すには、「すべてを取消し」リンクをクリックします。
配置されているページからアクセス設定を継承しているアイテムに対して操作を行うには、「親ページを継承しているアイテム」を選択します。
「アクセス権限の付与」の下で、選択したアイテムに必要に応じて権限を割り当てます。詳細は、17.9.1.5.1項「1つのアイテムに対するアクセス権限の変更」の手順8から12を参照してください。
終了したら、「閉じる」をクリックします。
アイテム・アクセス設定を継承しない
指定したアイテムが配置されているページまたはタブからアクセス設定を継承しないように指定するには、このオプションを選択します。「実行」をクリックして、表示された確認ダイアログで「OK」をクリックします。
親からアイテム・アクセス設定を継承
指定したアイテムが配置されているページまたはタブからアクセス設定を継承するように指定するには、このオプションを選択します。「実行」をクリックして、表示された確認ダイアログで「OK」をクリックします。
承認を使用すると、実際にユーザーに表示されるものに対する制御を維持したまま、Portalコンテンツの追加または修正を委任することができます。特に重要な承認関連の機能は、次のとおりです。
定義済の承認プロセス
「承認付きアイテムの管理」ページ権限(または「すべてのページ」オブジェクト・タイプに対する同じ名前のグローバル権限)
アイテムの下書き
この項では、これらの機能について説明し、このマニュアルの他の章での関連情報を示します。
これらの機能のいずれかを有効にするには、まずページ・グループ・プロパティの「構成」タブで「承認と通知」を有効にする必要があります(5.4.2項「ページ・グループでの承認と通知の有効化」を参照)。承認が有効になると、承認プロセスを定義し、「承認付きアイテムの管理」ページ権限を付与し、ページ・グループまたは(許される場合は)ページのアイテムの下書きを有効にできます。
経費報告書や出張申請など、承認を必要とするハード・コピー文書が従業員にとってボトルネックとなっている紙ベースのオフィスでは、承認プロセスを導入することでコストを削減できます。承認プロセスを定義すると、適切な権限を持つ組織内のユーザーは、承認を必要とする保留中のアイテムに関する通知の受信、アイテムの確認、アイテムの承認または却下などをすべて社内のPortalで実行できるようになります。
デフォルトでは、承認プロセスはページ・グループ・レベルで定義されています。ページ・グループが、ページにそれぞれの承認プロセスを設定できるように構成されている場合、承認プロセスはページ・レベルでも定義できます。ページ・グループとページのどちらにも、それぞれのプロパティ・ページの「承認」タブで承認プロセスを定義する場所があります。詳細は、第20章「承認チェーンの設定」を参照してください。
「承認付きアイテムの管理」ページ権限を持つユーザーがコンテンツをアップロードまたは修正する場合、コンテンツは定義済の承認プロセスに送信され、ここで確認されて公開のために渡されるか、却下されるかのいずれかになります。ただし、「承認付きアイテムの管理」ページ権限を持つユーザーが存在していても、定義済の承認プロセスが存在しなければ、このページ権限はアイテムに関して「コンテンツの管理」ページ権限と同等のものになります。つまり、そのようなユーザーは、承認プロセスを経ていないアイテムを公開できます。ページに対する権限の付与については、17.5.2項「ページに対する権限の付与」を参照してください。承認の詳細は、第20章「承認チェーンの設定」を参照してください。
ページ・グループをアイテムの下書きをサポートするよう構成することもできます。「下書き」機能が有効になっている場合、コンテンツ作成者は、アイテムを承認のため送信する準備ができるまでは、公開することなくPortalにアップロードできます。下書きアイテムは、ページが表示されたときにほとんどのユーザーに表示されないためです。(アイテムを表示できるユーザー権限とアイテムのステータスの詳細は、17.9.3項「アイテムURLのセキュリティ」を参照してください。)ページが編集モードである場合、ユーザーは、「保留中のアイテムのプレビュー」または「リスト」ビューで下書きアイテムを表示できます。
コンテンツ作成者は、下書きのステータスを変更するまでは一般に表示させずに、下書きコンテンツをページ上の表示させたい場所に配置してアップロードできます。下書きが終了すると、承認プロセスが行われているか、および作成者が承認用にアイテムを送信する必要があるかに応じて、作成者はステータスを「アクティブ」または「保留中」に変更できます。「下書き」オプションは、一度有効にすると、すべての下書きアイテムがアクティブ・ステータスに切り替えられるか、承認のために送信されるまで、無効にはできません。
下書きを有効にするオプションは、ページ・プロパティまたはページ・グループ・プロパティの「承認」タブにあります。下書きには必ずしも承認が必要ではありませんが、下書き機能を有効にするには、承認を有効にする必要があります。承認は、定義済の承認プロセスがなくても、有効にできます。これによって、仕上がったコンテンツを最終的に承認する必要なく、下書きを誰に対しても有効にすることができます。アイテムの下書きの有効化については、第20章「承認チェーンの設定」を参照してください。
表17-2は、様々なステータス(「下書き」、「保留中」、非公開など)のアイテムのURLに適用されるアクセス・ルールの概要を示しています。さらに、表ではこれらの状態について、次の3つの条件で説明しています。
Portalを介したアクセス
WebDAVを介したアクセス
検索を介したアクセス
注意: アイテムのステータスと、アイテムのアクセスに使用される手段の他に、キャッシュ・オプションもアイテムのアクセスに影響を与える可能性があります。詳細は、第21章「ページ生成のパフォーマンスの向上」を参照してください。 |
コンテンツ管理者とは、アイテム・レベルのセキュリティが有効な場合に、適切な管理権限を持つ人を指します。管理権限とは、次のものを意味します。
オブジェクト・タイプ「すべてのページ・グループ」に対するグローバル権限「すべて管理」
グローバル管理(オブジェクト・タイプ「すべてのページ」に関する「管理」)
「すべてのページ」オブジェクト・タイプに対する「コンテンツの管理」グローバル権限
「すべてのページ」オブジェクト・タイプに対する「承認付きアイテムの管理」グローバル権限
「管理」ページ権限
「コンテンツの管理」ページ権限
「承認付きアイテムの管理」ページ権限
「管理」アイテム権限
表17-2 アイテムURLのセキュリティ
アイテムの状態 | Portalを介したアクセス | WebDAVを介したアクセス | 検索を介したアクセス |
---|---|---|---|
コンテンツ管理者と下書き作成者は、アイテムのアクセスおよび表示ができます。 |
「承認付きアイテムの管理」のページ権限またはグローバル権限を持つユーザーは、アイテムに対して表示や操作が行えます。 「管理」アイテム権限を持つユーザーには、0KBのサイズのアイテムが表示されます。このようなユーザーに、アイテムの更新や表示はできません。 「表示」アイテム権限を持つユーザーには、アイテムは表示されません。 |
下書きアイテムは、どのユーザーにも返されません。下書きモードでアイテムを追加した「承認付きアイテムの管理」権限を持つユーザーでも同様です。 |
|
コンテンツ管理者、アイテムの作成者または更新者および承認者は、アイテムのアクセスおよび表示ができます。 |
「管理」アイテム権限を持つユーザーには、0KBのサイズの保留中アイテムが表示されます。 アイテムを送信したユーザーには、そのアイテムが実際のサイズで見えます。 「表示」アイテム権限を持つユーザーには、0KBのサイズの保留中アイテムが見えます。これは、予約済ネームスペースの表示を有効にすることです。 |
保留中アイテムは、どのユーザーにも返されません。 |
|
「承認付きアイテムの管理」のページ権限またはグローバル権限を持つコンテンツ管理者およびユーザーは、アイテムへのアクセスや表示が行えます。 アイテムがアイテム・レベルのセキュリティを使用する場合は、アイテムに対する「管理」アイテム権限を持つユーザーは、そのアイテムへのアクセスおよび表示が行えます。 |
アイテムは、「表示」アイテム権限を持つユーザーには表示されません。 ページ・グループ・プロパティで「非公開アイテム、期限切れアイテム、削除アイテムを編集モードで表示」オプションが選択されている場合、コンテンツ管理者にはアイテムが見えます。 |
非公開アイテムは、どのユーザーにも返されません。 |
|
アイテムが「アクティブ」である場合、ページを表示する権限を持つユーザーは、アイテムを表示できます。 ページが「パブリック」である場合、すべてのユーザーが下書きURLを介してアイテムへのアクセスおよび表示を行えます。 アイテムがアイテム・レベルのセキュリティを使用する場合は、アイテムに対する「管理」アイテム権限を持つユーザーは、そのアイテムへのアクセスおよび表示が行えます。 アイテムが「期限切れ」または「削除済」である場合、コンテンツ管理者のみが非現行バージョンへのアクセスおよび表示ができます。 |
現行バージョンが常に表示されます。 |
現行バージョンが常に返されます。 |
|
アイテムは、ページを表示する十分な権限を持つ誰にでもアイテムURLを介してアクセスできます。 アイテムがアイテム・レベルのセキュリティを使用する場合は、アイテムに対する「表示」アイテム権限を持つユーザーは、そのアイテムへのアクセスおよび表示が行えます。 ページが「パブリック」である場合、すべてのユーザーがアイテムのコンテンツを表示できます。 |
アイテムは、「表示」アイテム権限を持つユーザーには表示されません。 アイテムは、「管理」または「承認付きアイテムの管理」のページ権限またはグローバル権限を持つユーザーに表示されます。 |
非表示アイテムは、どのユーザーにも返されません。 |
|
コンテンツ管理者は、期限切れアイテムのアクセスおよび表示ができます。 アイテムがアイテム・レベルのセキュリティを使用する場合は、アイテムに対する「管理」アイテム権限を持つユーザーは、そのアイテムへのアクセスおよび表示が行えます。 |
アイテムは、「表示」アイテム権限を持つユーザーには表示されません。 ページ・グループ・プロパティで「非公開アイテム、期限切れアイテム、削除アイテムを編集モードで表示」オプションが選択されている場合、コンテンツ管理者にはアイテムが見えます。 |
期限切れアイテムは、どのユーザーにも返されません。 |
|
コンテンツ管理者は、削除済アイテムのアクセスおよび表示ができます。 アイテムがアイテム・レベルのセキュリティを使用する場合は、アイテムに対する「管理」アイテム権限を持つユーザーは、そのアイテムへのアクセスおよび表示が行えます。 |
アイテムは、「表示」アイテム権限を持つユーザーには見えません。 ページ・グループ・プロパティで「非公開アイテム、期限切れアイテム、削除アイテムを編集モードで表示」オプションが選択されている場合、コンテンツ管理者にはアイテムが見えます。 |
削除済アイテムは、どのユーザーにも返されません。 |