| Oracle® Fusion Middleware Oracle WebCenter Portalの管理 11gリリース1 (11.1.1.8.3) E51441-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Portalの管理 11gリリース1 (11.1.1.8.3) E51441-03 |
|
前 |
次 |
本番環境のために、ポリシー・ストアを外部LDAP(Oracle Internet Directory 11gR1または10.1.4.3)あるいはデータベースと再度関連付ける必要があります。外部LDAPベースのストアを使用する際は、同じLDAPサーバーを使用するように資格証明ストアとポリシー・ストアを構成する必要があることに注意してください。ただし、アイデンティティ・ストアは、サポートされている他の任意のLDAPサーバーを使用することができ、ポリシー・ストアや資格証明ストアと同じLDAPサーバーを使用する必要はありません。
ポリシーおよび資格証明ストアをOIDと再度関連付けるには、LDAPディレクトリにルート・ノードを作成し、Fusion Middleware Controlを使用して、またはWLSTを使用してコマンド行から、ポリシーおよび資格証明ストアをOIDサーバーと再度関連付けます。ポリシーおよび資格証明ストアをデータベースと再度関連付けるには、RCUにスキーマとデータベース接続を設定し、WLSTを使用してコマンド行からポリシーおよび資格証明ストアをデータベースに移行します。トラブルシューティングの情報は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の再関連付けの失敗に関する項を参照してください。
|
注意: ポリシー・ストアを再度関連付ける前に、次の関連する構成ファイルを必ずバックアップしてください。
念のため、ドメインの管理サーバーの |
この章には次の項が含まれます:
|
権限: この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic Serverの 第1.8項「管理操作、ロールおよびツールの理解」も参照してください。 |
ポリシーおよび資格証明ストアをOIDと再度関連付ける際の最初のステップでは、LDAPディレクトリでLDIFファイルを作成し、すべてのデータを追加するルート・ノードを追加します。ルート・ノードを作成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の手順に従います。ファイルを作成してノードを追加したら、Fusion Middleware ControlまたはWLSTを使用してストアを再度関連付けます。
ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の説明に従って、まずルート・ノードを作成する必要があります。ルート・ノードを作成したら、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用した再関連付けに関する項の手順に従います。再関連付けが失敗した場合は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の再関連付けの失敗に関する項を参照してください。
ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の説明に従って、まずルート・ノードを作成する必要があります。再関連付けが失敗した場合は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の再関連付けの失敗に関する項を参照してください。
WLSTを使用して資格証明およびポリシー・ストアを再度関連付ける手順は次のとおりです。
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。
connect('username>,'password', 'host_id:port')
ここで:
usernameは、管理サーバーへのアクセスに使用される管理者のアカウント名です(例: weblogic)。
passwordは、管理サーバーへのアクセスに使用される管理者のパスワードです(例: weblogic)。
host_idは、管理サーバーのサーバーIDです(例: example.com)。
portは、管理サーバーのポート番号です(例: 7001)。
reassociateSecurityStoreコマンドを使用して、ポリシーおよび資格証明ストアを再度関連付けます。
reassociateSecurityStore(domain="domain_name", admin="admin_name", password="password", ldapurl="ldap_uri", servertype="ldap_srvr_type", jpsroot="root_webcenter_xxxx")
ここで:
domain_nameには、再関連付けを行うドメイン名を指定します。
admin_nameには、LDAPサーバー上の管理者のユーザー名を指定します。書式はcn=usrNameです。
passwordには、引数adminに指定されたユーザーに関連付けられたパスワードを指定します。
ldap_uriには、LDAPサーバーのURIを指定します。書式は、デフォルト・ポートを使用する場合はldap://host:port、セキュアLDAPポートを使用する場合はldaps://host:portになります。セキュア・ポートは、匿名SSL接続を処理するように構成されていることが必要で、デフォルトの(非セキュアな)ポートとは異なります。
ldap_srvr_typeには、ターゲットLDAPサーバーの種類を指定します。Oracle Internet DirectoryのOIDを指定します。
root_webcenter_xxxxには、全データを移行するターゲットLDAPリポジトリのルート・ノードを指定します。必ず、cn=を含めてください。書式はcn=nodeNameです。
すべての引数が必要です。例:
reassociateSecurityStore(domain="myDomain", admin="cn=adminName", password="myPass", ldapurl="ldaps://myhost.example.com:3060", servertype="OID", jpsroot="cn=testNode")
ポリシーおよび資格証明ストアにはOIDなどのLDAPサーバーを使用できるほか、ポリシーおよび資格証明ストアをOracleデータベースと再度関連付けることもできます。データベースをポリシーおよび資格証明ストアとして構成する手順は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のDBベースのOPSSセキュリティ・ストアの使用に関する項を参照してください。再関連付けが失敗した場合は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の再関連付けの失敗に関する項を参照してください。
管理者は、Fusion Middleware Controlを使用して、WebCenter Portalドメイン資格証明ストアの資格証明を管理できます。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用した資格証明の管理に関する項を参照してください。
この項では、Fusion Middleware Control、WLST、およびWebCenter PortalとPortal Frameworkアプリケーションの実行時管理ページを使用して、ユーザー・ロールとアプリケーション・ロールを管理する方法を説明します。
この項には次のサブセクションが含まれます:
WebCenter Portalは、最初のオーセンティケータによってマップされたアイデンティティ・ストア内のユーザーのみを認識します。WebCenter Portal管理者アカウントは当初は組込みのLDAPサーバーにのみ作成されるため、Oracle Internet Directoryなどの外部LDAPをWebCenter Portalのプライマリ・オーセンティケータとして構成する場合は、そのLDAP内にユーザーを作成し、そのユーザーにWebCenter Portal管理者ロールを付与する必要もあります。
次の項の説明に従って、Fusion Middleware ControlまたはWLSTを使用してWebCenter Portal管理者ロールをユーザーに付与できます。
詳細は、『Oracle Fusion Middleware Oracle WebCenter Portalインストレーション・ガイド』の非デフォルト・ユーザーへの管理者権限の付与に関する項を参照してください。
この項では、WebCenter Portal管理者ロールをデフォルトのweblogicアカウント以外のユーザー・アカウントに付与する方法について説明します。
Fusion Middleware Controlを使用してWebCenter Portal管理者ロールを付与する手順は次のとおりです。
Fusion Middleware Controlにログインし、WebCenter Portalホームページに移動します。
第6.2項「WebCenter Portalのホームページへの移動」を参照してください。
WebCenter Portalメニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます(図32-1を参照)。
WebCenter Portal管理者ロールを検索します。
「検索するアプリケーション・ストライプの選択」を選択します。
webcenterを選択します。
「ロール名」フィールドに、管理者ロールの次の内部識別子を入力して、「検索」(矢印)アイコンをクリックします。
s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
検索の結果として、管理者ロールの識別子であるs8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administratorが返されます。
「ロール名」列で管理者ロールの識別子をクリックします。
「アプリケーション・ロールの編集」ページが表示されます(図32-2を参照)。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます(図32-3を参照)。
検索機能を使用して、管理者ロールを割り当てるユーザーを検索します。
矢印キーを使用して「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
weblogicロールを削除するには、「アプリケーション・ロールの編集」ページで、「ユーザー」のweblogicをクリックし、「削除」をクリックします。
WC_Spaces管理対象サーバーを再起動します。
WebCenter Portalにログインすると、「管理」リンクが表示され、管理者の操作をすべて実行できます。
WLSTを使用して別のユーザーにWebCenter Portal管理者ロールを付与する手順は次のとおりです。
第1.13.3.1項「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
次のコマンドを使用して、ターゲット・ドメインのWebCenter Portal管理サーバーに接続します。
connect('user_name','password, 'host_id:port')
ここで:
user_nameは、管理サーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。
passwordは、管理サーバーにアクセスするためのパスワードです。
host_idは、管理サーバーのホストIDです。
portは、管理サーバーのポート番号です(例: 7001)。
次に示されているように、grantAppRoleコマンドを使用して、Oracle Internet DirectoryのユーザーにWebCenter Portal管理者アプリケーション・ロールを付与します。
grantAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator",
principalClass="weblogic.security.principal.WLSUserImpl", principalName="wc_admin")
wc_adminは、作成する管理者アカウントの名前です。
新しいアカウントをテストするには、新しいアカウント名を使用してWebCenter Portalにログインします。
「管理」リンクが表示され、管理者の操作をすべて実行できます。
新しいアカウントにWebCenter Portal管理者ロールを付与したら、WLST revokeAppRoleコマンドを使用して、このロールが不要になったアカウントからこれを削除します。たとえば、weblogic以外の管理者ユーザー名を使用してWebCenter Portalがインストールされている場合は、管理者ロールはそのユーザーに付与し、デフォルトのweblogicからは削除する必要があります。
revokeAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator", principalClass="weblogic.security.principal.WLSUserImpl", principalName="weblogic")
この項では、Fusion Middleware ControlおよびWLSTコマンドを使用してアプリケーション・ロールにユーザーを追加する方法について説明します。
この項には次のサブセクションが含まれます:
この項では、Fusion Middleware Controlを使用してユーザーにアプリケーション・ロールを付与する方法を説明します。
Fusion Middleware Controlにログインし、WebCenter PortalまたはPortal Frameworkアプリケーションのホームページに移動します。詳細は、次を参照してください。
WebCenter Portalメニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます(図32-4を参照)。
WebCenter PortalまたはPortal Frameworkアプリケーション・ロールを検索します。
「検索するアプリケーション・ストライプの選択」を選択します。
アプリケーション・ストライプ(WebCenter Portalの場合はwebcenter)を選択します。
「ロール名」フィールドに、検索するロールの名前を入力し(例: appConnectionManager)、「検索」(矢印)アイコンをクリックします。
名前がはっきりわからない場合は、部分検索語を入力するか、フィールドを空白のままにして、すべてのアプリケーション・ロールを表示します。
「ロール名」列でロール識別子をクリックします。
「アプリケーション・ロールの編集」ページが表示されます(図32-5を参照)。
「ユーザーの追加」をクリックします。
「ユーザーの追加」ポップアップが表示されます(図32-6を参照)。
検索機能を使用して、アプリケーション・ロールを割り当てるユーザーを検索します。
矢印キーを使用して「使用可能なユーザー」列から「選択したユーザー」列にユーザーを移動し、「OK」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
WebCenter PortalまたはPortal Frameworkアプリケーションがデプロイされている管理対象サーバーを再起動します(WebCenter Portalの場合、これは常にWC_Spacesになります)。
grantAppRoleコマンドを使用して、ユーザーにアプリケーション・ロールを付与します。構文と使用方法については、『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』のgrantAppRoleに関する項を参照してください。
管理者はWebCenter Portalの「セキュリティ」タブを使用して、アプリケーション・ロールを定義し、アイデンティティ・ストアで定義されたユーザーにアプリケーション・ロールを付与できます。WebCenter Portalでのユーザーおよびアプリケーション・ロールの管理の詳細は、『Oracle Fusion Middleware Oracle WebCenter Portalの使用』のWebCenter Portalユーザーおよびロールの管理に関する項を参照してください。
|
注意: 「パスワード変更の許可」プロパティは、ユーザーがWebCenter Portal内で各自のパスワードを変更できるかどうかを指定しますが、これは企業のアイデンティティ・ストアで慎重に管理する必要があります。WebCenter Portal管理者はWebCenter Portalのプロファイル管理設定のページからこのプロパティを設定できます。詳細は、『Oracle Fusion Middleware Oracle WebCenter Portalの使用』のプロファイルの構成に関する項を参照してください。 |
Portal Frameworkアプリケーションも、アプリケーション管理者のための同様の「セキュリティ」タブを提供します。詳細は、第43.4項「Portal Frameworkアプリケーションのメンバーとロールの管理」を参照してください。ADFセキュリティベースのPortal Frameworkアプリケーションのロールマッピングの詳細は、『Oracle Fusion Middleware Oracle Application Development Framework Fusion開発者ガイド』のエンタープライズ・ロールおよびアプリケーション・ロールに関する必知事項を参照してください。
『Oracle Fusion Middleware Oracle WebCenter Portalの使用』の招待のみによる自己登録の有効化に関する項に説明されているように、WebCenter Portalは招待による自己登録をサポートします。招待による自己登録機能では、WebCenter Portalドメイン資格証明ストアに次のパスワード資格証明が含まれていることが必要です。
map name = o.webcenter.security.selfreg
key= o.webcenter.security.selfreg.hmackey
user name = o.webcenter.security.selfreg.hmackey
WebCenter Portalで招待による自己登録を有効にするには、Fusion Middleware ControlまたはWLSTコマンドcreateCredを使用して、前述のパスワード資格証明を作成します。例:
createCred(map="o.webcenter.security.selfreg", key="o.webcenter.security.selfreg.hmackey", type="PC", user="o.webcenter.security.selfreg.hmackey", password="<password>", url="<url>", port="<port>", [desc="<description>"])
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOPSSスクリプトを使用した資格証明の管理に関する項を参照してください。
この項では、インストール後に構成する必要がある推奨キャッシュ設定を示します。キャッシュ・サイズと最大グループ階層の設定は特定の環境に基づく必要がありますが、次の項では開始点として使用できる推奨事項を示します。WebCenter Portalのチューニング・パラメータと推奨値の全リストは、『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』のOracle WebCenter Portalパフォーマンスのチューニングに関する項を参照してください。
この項には次のサブセクションが含まれます:
WebCenter Portalが使用する認可ポリシーでは、デフォルトのポリシー・リフレッシュ時間が10分間のインメモリー・キャッシュを使用します。マルチノードの高可用性環境でポータルを作成する場合、ノード障害の際にポリシー・データをより迅速にレプリケートする必要があるときは、ドメインレベルのjps-config.xmlファイルを変更して次のエントリを追加することでポリシー・ストアのリフレッシュ間隔を短くすることができます。
oracle.security.jps.ldap.policystore.refresh.interval=<time_in_milli_seconds>
これはPDPサービス・ノードに追加する必要があります。
<serviceInstance provider="pdp.service.provider" name="pdp.service">
サーバーのキャッシュされたポリシーのリフレッシュ頻度はパフォーマンスに影響を与える可能性があるため、ポリシーのリフレッシュ間隔は過度に短く設定しないでください。
jps-config.xmlファイルを変更したら、ドメイン内の全サーバーを再起動します。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のキャッシングとキャッシュのリフレッシュに関する項を参照してください。
この項では、接続プール・キャッシュの推奨設定を説明します。
接続プール・キャッシュを設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。
接続プール・キャッシュのパラメータを次の推奨値に設定します。
接続プール・サイズ = 最大接続ユーザー数
接続タイムアウト = 30
接続再試行制限 = 1
結果タイム・リミット = 1000
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。
この項では、ユーザー・キャッシュ設定の推奨設定を説明します。
ユーザー・キャッシュ設定を設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。
ユーザー・キャッシュのパラメータを次の推奨値に設定します。
キャッシュの有効化 = true
キャッシュ・サイズ = 3200
キャッシュTTL = session timeout
結果タイム・リミット = 1000
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。
この項では、グループ・キャッシュ設定の推奨設定を説明します。
グループ・キャッシュ設定を設定する手順は次のとおりです。
WLS管理コンソールにログインします。
「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「パフォーマンス」を選択します。
グループ・キャッシュのパラメータを次の推奨値に設定します。
グループ・メンバーシップ・ルックアップの階層キャッシュを有効化 = true
キャッシュ・サイズ = 3200
キャッシュ内の最大グループ階層数 = 1024
グループ階層キャッシュTTL = session timeout
キープアライブの有効化 = true
変更を保存し、ドメイン内のすべてのサーバーを再起動します。
