| Oracle® Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suiteの管理 12c (12.1.3) E54311-05 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle SOA SuiteおよびOracle Business Process Management Suiteの管理 12c (12.1.3) E54311-05 |
|
|
前へ |
次へ |
この章の内容は次のとおりです。
デモ・ユーザー・コミュニティというユーザーとグループの組織階層のインストールと使用の詳細は、「データベースへのデモ・ユーザー・コミュニティのインストール」を参照してください。
ヒューマン・ワークフローのチューニングとパフォーマンス・プロパティの詳細は、パフォーマンスのチューニングを参照してください。
ヒューマン・ワークフロー通知プロパティを構成できます。これには、メッセージに対する通知モードの設定やアクション可能なアドレスの設定などがあります。このプロパティは、タスクの状態の変化をユーザーに通知するために使用されます。ワークフロー通知では、次の3つのタイプのアドレスを使用できます。
送信元アドレス: 通知の送信用。
アクション可能なアドレス: アクション可能なレスポンスの受信用。
返信先アドレス: 返信通知の受信用。
注意:
次の手順では、ワークフロー通知プロパティを構成する前に、チャネル・ドライバを構成する必要があります。手順を開始する前に、必要なすべてのドライバ(受信IMAP電子メール・サーバーや送信SMTP電子メール・サーバーなど)のアドレスを確認してください。
ヒューマン・ワークフロー通知プロパティを構成する手順は、次のとおりです。
このページにアクセスするには、次のオプションのいずれかを使用します。
| SOAインフラストラクチャのメニューから... | ナビゲータのSOAフォルダから... |
|---|---|
|
|
「ワークフロー通知プロパティ」ページが表示されます。
通知を送受信するために、Oracle User Messaging Serviceを構成します。構成時に、ヒューマン・ワークフローで使用するアドレスを指定します。
「「メッセージング・ドライバ」ページに移動」をクリックします。
「メッセージング・ドライバ」ページが表示されます。
「関連ドライバ」セクションに移動します。
「ローカル」タブの「ドライバの構成」列で、構成するドライバを選択します。この例では、「ユーザー・メッセージング電子メール・ドライバ」を選択します。
選択したメッセージング・サービス・ドライバを構成するための「電子メール・ドライバ・プロパティ」ページが表示されます。
「作成」アイコンをクリックします。
選択したメッセージング・サービス・ドライバを構成するための「ドライバ・プロパティの作成」ページが表示されます。
手順4で選択したメッセージング・サービス・ドライバに応じて、次の項を参照してください。
| 選択したドライバ | 参照先 |
|---|---|
メッセージング拡張 |
第26.4.1.3項「メッセージング拡張ドライバの構成」 注意: このドライバは「ローカル」タブからは選択できませんが、構成可能です。 |
電子メール |
Oracle User Messaging Serviceの管理の電子メール・ドライバの構成に関する項 |
SMPP |
Oracle User Messaging Serviceの管理のSMPPドライバの構成に関する項 |
XMPP |
Oracle User Messaging Serviceの管理のXMPPドライバの構成に関する項 |
VoiceXML |
Oracle User Messaging Serviceの管理のVoiceXMLドライバの構成に関する項 |
プロキシ |
Oracle User Messaging Serviceの管理の第26.4.1.9項のプロキシ・ドライバの構成に関する項 |
たとえば、電子メール・ドライバを選択した場合は、次のようなプロパティが構成用に表示されます。
受信IMAPおよび送信SMTPの電子メール・サーバー。
送信サーバーのユーザー名およびパスワード。
送信者アドレスおよびデフォルト送信者アドレスのリスト。(これらのプロパティに指定するアドレスは、「ワークフロー通知プロパティ」ページの「電子メール: 送信者アドレス」と「電子メール : アクション可能なアドレス」フィールドに指定したアドレスと一致している必要があります。)
不適切な電子メールのレスポンスを処理するには、受信メールを処理するように電子メール・ドライバを構成する必要があります。これによって、ヒューマン・ワークフローの参加者は通知を送受信できます。メッセージング・ドライバは、様々なメッセージング・トランスポートをサポートしています。
注意:
構成する電子メール・サーバーのホスト名とIPアドレスは、Oracle SOA Suiteが稼働しているサーバーの/etc/hostsファイルにも追加する必要があります。たとえば、ホスト名がxyz.example.comで、IPアドレスがaa.bb.cc.ddの場合は、この情報を/etc/hostsファイルに追加します。
インバウンド(IMAP)電子メール・サーバーまたはアウトバウンド(SMTP)電子メール・サーバー(あるいはその両方)を構成した後は、これらの設定を有効にするために、SOAインフラストラクチャが構成されている管理対象Oracle WebLogic Serverを再起動する必要があります。
ドライバの構成が完了したら、「適用」をクリックします。
「ワークフロー通知プロパティ」ページに戻ります。
通知サービスのモードを指定します。値は次のとおりです。
すべて: 電子メール、ショート・メッセージ・サービス(SMS)、インスタント・メッセージ(IM)およびボイスの各チャネルが構成され、通知は任意の使用チャネルを介して送信されます。
電子メール: 通知メッセージを送信するために電子メール・チャネルのみが構成されます。
なし: 通知メッセージ送信するためのチャネルは構成されません。これがデフォルトの設定です。
通知チャネルの値を指定します。
| フィールド | 説明 | 例 |
|---|---|---|
電子メール: 送信者アドレス |
エンド・ユーザーが通知を受信する送信電子メール・アドレスを入力します。 指定するアドレスは、Oracle User Messaging Serviceの「電子メール・ドライバ・プロパティ」ページで指定したデフォルトの送信者アドレスおよび送信者アドレスと一致する必要があります。 注意: 送信電子メール・アドレスが受信メッセージも受信するように構成されている場合は、エラー・メッセージのみ受信できます。これによって、不適切または存在しない電子メール・アドレスからのエラー・メッセージがサーバーによってキャプチャされます。「電子メール: 返信先アドレス」フィールドで別の受信アカウントを構成しても、エラー・メッセージはサーバー・ログに表示されません。 「電子メール・ドライバ・プロパティ」ページで、送信者アドレスに送信電子メール・アドレスを指定することがベスト・プラクティスです。 |
|
電子メール : アクション可能なアドレス |
タスク・アクションを実行するための受信電子メール・アドレスを入力します。このアクション可能な電子メール・アカウントは、ヒューマン・ワークフローによって受信し処理するタスク・アクション関連電子メールです。 指定するアドレスは、Oracle User Messaging Serviceの「電子メール・ドライバ・プロパティ」ページで指定した受信者アドレスと一致する必要があります。 |
|
電子メール: 返信先アドレス |
Oracle SOA Suiteから送信された電子メールに表示するアドレスを入力します。 「電子メール・ドライバ・プロパティ」ページで、この電子メール・アカウントをアクション可能な電子メール・アドレス以外のアドレスに設定することがベスト・プラクティスです。(これをアクション可能な電子メール・アドレスと同じアドレスに設定すると、電子メール通知への自動返信または何らかの返信がワークフロー・エンジンによって処理され、未承諾の電子メールとして返されることがあります)。 |
|
「適用」をクリックします。
システムMBeanブラウザで拡張通知プロパティを構成するには、「詳細ワークフロー通知構成プロパティ」をクリックします。表示されるプロパティの一部を次に示します。各プロパティには説明が記載されています。
「ASNSDriverIMAddress」: 受信インスタント・メッセージ(IM)を受信するアドレス。
「CustomNSDriverPropertyNames」: カスタム通知サービス・プロパティ名を返します。
「FaxCoverPageCount」: 構成されたFAXの表紙のページ数を返します。
「RetryNotificationMessageThrottle」: 通知の再試行サイクル時に処理可能な電子メール通知メッセージの数。詳細は、「電子メール通知メッセージの数の構成」を参照してください。
使用環境に適した変更を行います。
注意:
IMメッセージにアクション可能と思われるコンテンツが含まれている場合、そのメッセージ内からタスクを操作しても、アクションは実行されません。たとえば、次のIMメッセージでタスクを操作しても、アクションは実行されません。
Help desk request for wfaulk Task Help desk request for wfaulk requires your attention. NOTE: You can act on the task by copy-pasting one of following lines as your response. RESOLVED : [[NID]] : Pt12uRUu9H+Xem4NYS2o7dKDtqNLs42d4YIs8ySO8Gn0ZVYFsb1SQVenRukRE+ IcE7c4XDb+tPazvP v9T2iA0qylDg0bTaVxX13HhsrCYAg= : [[NID]] UNRESOLVED : [[NID]] : xT9l06rbaGRAey+BtgQyJIXk62mkFtCe7ocKxwNLIsPzyE5/7AnGwXlBodEgQxr6 jorvsw2F54k/C1 r5mvyAJpAp4I4IekOHi4qhQ3eSbBHdzET1IL4F3qV/KZ/BAUsq : [[NID]]
送信メッセージが適切な宛先に到着していることのテストを含む、ヒューマン・ワークフローにおける電子メール経由の受信および送信通知の管理の詳細は、「送信通知および受信電子メール通知の管理」を参照してください。
通知とユーザー・メッセージング・サービスの詳細は、次のドキュメントを参照してください。
Oracle User Messaging Serviceの管理
Oracle User Messaging Serviceによるアプリケーションの開発
本番用のアドレスではなくテスト・アドレスにすべての通知を送信するように、Oracle Human Workflow通知サービスを構成できます。これを行うには、Oracle Enterprise ManagerのシステムMBeanブラウザを使用します。
テスト・アドレスに通知を送信するように通知サービスを構成する手順は次のとおりです。
Oracle Enterprise ManagerのシステムMBeanブラウザにナビゲートします。「SOAインフラストラクチャ」メニューから、「管理」→「システムMBeanブラウザ」の順に選択します。または
ナビゲータのSOAフォルダから「soa-infra」を右クリックし、「管理」→「システムMBeanブラウザ」を選択します。
「HWFMailerConfig」 Mbeanを検索します。これを行うには、「システムMBeanブラウザ」ナビゲータ・ペインで、「検索」アイコンをクリックします。「検索」リストで「MBean名」を選択し、リストの右側のテキスト・ボックスにHWFMailerConfigと入力します。「検索」矢印をクリックします。
対応する情報が右のペインに表示されます。
「操作」ページを選択します。テスト・アドレスを設定する手順は次のとおりです。
「操作」ページで、「addTestNotificationAddress」を選択します。「操作: addTestNotificationAddress」ページが表示されます。
「パラメータ」表の「チャネル」行の「値」列に、それを経由して通知を送信するチャネルを指定します(例: 電子メール、SMS、FAX、IM、ボイス、ページャ)。
「パラメータ」表の「testNotificationAddress」行の「値」列に、テスト受信者のアドレス(例: testAddress@yourDomain.com)を入力します。
「起動」をクリックします。
変更を有効にするには、SOAサーバーを停止して再起動する必要があります。
「Enterprise Manager」通知管理画面では、元の電子メール・アドレスが送信先アドレスとして表示されたままになります。
テスト・ユーザーは、アクション可能なすべての電子メールに返信できます。テスト電子メール・アドレスは、返信電子メール処理の一部として検証されるように、アイデンティティ・ストアのユーザーに属するようにしてください。
テスト・アドレスで通知サービスが開始され、受信者アドレスがテスト・アドレスに切り替えられると、ログに警告が記録されます。これは、テスト通知アドレスの不適切な構成を特定するのに役立ちます。
アクション可能な電子メール・アカウント名の割当て、ワークフロー・セッションのタイムアウトとカスタム・クラスパスURLのプロパティ値の指定、割当てサービスの動的割当てとタスク・エスカレーション関数の構成、およびヒューマン・ワークフロー・プロパティの追加設定を実行できます。
Dynamic Assignment Functionでは、グループまたはアプリケーション・ロールから、あるいはユーザー、グループまたはアプリケーション・ロールのリストから、特定のユーザー、グループまたはアプリケーション・ロールが選択されます。特定のDynamic Assignment Functionに固有の基準に基づいて選択されます。
ヒューマン・ワークフロー・タスク・サービス・プロパティを構成する手順は、次のとおりです。
次のいずれかのオプションを使用して、このページにアクセスします。
| SOAインフラストラクチャのメニューから... | ナビゲータのSOAフォルダから... |
|---|---|
|
|
「ワークフロー・タスク・サービス・プロパティ」ページの上部には、「アクション可能な電子メール・アカウント」のフィールドと事前定義されたDynamic Assignment Functionが表示されます。
次の詳細を入力します。
| 関数 | 説明 |
|---|---|
アクション可能な電子メール・アカウント |
使用するアクション可能な受信電子メール・アカウントを入力します。 デフォルトのアカウント名は、Default (「ヒューマン・ワークフロー通知プロパティの構成」で構成したアカウント)です。別のアカウント名をこのフィールドに指定する場合は、「複数の送信アドレスの構成」の説明に従ってアカウントを作成し、構成してください。 |
ワークフロー・サービス・セッション・タイムアウト |
Oracle BPM Worklistにログインしたユーザーが、セッションが失効して再度ログインが必要になるまでの、非アクティブの状態でいることができる時間の長さを入力します。この値は、 |
ワークフロー・カスタム・クラスパスURL |
URLクラスパスを入力します。これは、ワークフロー・サービスが、カスタム動的割当てとタスク・エスカレーション関数、カスタム・コールバックおよびシステム・リソース・バンドル クラスパスには任意の有効なURLを指定できます(ローカル・ファイル・パスまたはリモートURL)。クラスパスにはディレクトリまたはJARファイルのいずれかを指定できます。URLにはプロトコルを含める必要があります。ローカル・ファイルシステムのクラスパスの場合は、'file:///example/directory/'のように、fileプロトコルを指定する必要があります。URLがディレクトリを示す場合は、スラッシュ(' クラスパスは複数のURLで構成することができ、クラスパスの各URLはカンマ(',')で区切ることができます。 |
「動的割当てとタスク・エスカレーション関数」セクションに移動します。
次の表に、Dynamic Assignment Functionの定義を示します。独自の関数を作成してワークフロー・サービスに登録することもできます。
| 関数 | Type | 説明 |
|---|---|---|
MANAGERS_MANAGER |
タスク・エスカレーション |
この関数は、タスクのマネージャのマネージャを取得します。 |
ROUND_ROBIN |
動的割当て |
この関数は、各ユーザー、グループまたはアプリケーション・ロールを順に選択します。この関数では、初期化パラメータ |
LEAST_BUSY |
動的割当て |
この関数は、現在割り当てられているタスク数が最も少ないユーザー、グループまたはロールを選択します。 |
MOST_PRODUCTIVE |
動的割当て |
この関数は、一定期間(デフォルトでは過去7日間)に完了したタスク数が最大のユーザー、グループまたはロールを取得します。この関数は初期化パラメータ |
関数をクリックして、「パラメータ」セクションに、その関数のパラメータと値を表示します。
「追加」をクリックして、関数を追加します。次の項目を指定するためのプロンプトが表示されます。
関数名
クラスパス
関数のパラメータ名
関数のパラメータ値
「OK」をクリックします。
関数のパラメータ値を更新するには、「動的割当てとタスク・エスカレーション関数」表で関数を選択します。
編集するパラメータ値が表示されます。
値を更新します。
「拡張」セクションを展開します。
「拡張」セクションには、次のプロパティが表示されます。
次の表に、これらのプロパティの定義を示します。
| プロパティ | 説明 |
|---|---|
ワークリスト・アプリケーションURL |
タスクを要請する電子メールでは、Oracle BPM Worklistへのリンクが、このプロパティから読み込まれます。 この要素はURLを識別します。カスタムのOracle BPM Worklistを作成する場合は、この要素を構成すると役に立ちます。このURLにある |
割当て先のプッシュバック |
タスクは、前の承認者または前の割当て先にプッシュバックできます。当初の割当て先は、タスクの再割当てやエスカレートを行っている可能性があるため、承認者ではないことがあります。この要素に対する可能な値は、INITIAL_ASSIGNEESおよびAPPROVERです。 |
ポータル・レルム・マッピング |
このプロパティは、HTTPサーブレット・リクエストのユーザーを、タスク問合せサービス・メソッド 注意: このプロパティは使用されなくなったため、変更しないでください。 |
タスク・オート・リリース構成 |
タスクがグループ、アプリケーション・ロールまたは複数ユーザーに割り当てられると、ユーザーはタスクを実行する前に、そのタスクを獲得する必要があります。獲得されたタスクを他のユーザーが実行することはできません。獲得したが操作しないタスクは、最終的には自動的にリリースされ、他のユーザーが獲得できます。これによって、獲得したタスクが未実行のまま放置されることを防止します。同時に、他のユーザーによるタスクの実行を防止します。タスク・オート・リリースを使用すると、ユーザーがタスクを獲得してから、システムが自動的にそのタスクをリリースして他のユーザーに再度開放するまでの経過時間を構成できます。オート・リリースまでの経過期間は、デフォルトの経過時間として、また指定タスクの有効期間に対する割合として構成できます。オート・リリースまでの経過期間はまた、タスクの優先度に応じて様々に構成できます。 たとえば、優先度2のタスクに対するタスク・オート・リリース経過期間を50%に設定するとします。このタスクのデフォルトの経過期間は12時間です。優先度2のタスクが2日後に失効するように設定すると、このタスクは1日後(失効経過期間の50%)に自動的にリリースされます。このタスクに失効日を設定しない場合、タスクは12時間後(デフォルトのオート・リリース経過期間)に自動的にリリースされます。 |
使用環境に適した変更を行います。
「適用」をクリックします。
システムMBeanブラウザで拡張タスク・サービス・プロパティを構成するには、「詳細ワークフロー・タスクサービス構成プロパティ」をクリックします。表示される拡張プロパティのリストは、「ヒューマン・ワークフロー通知プロパティの構成」の手順12を参照してください。
使用環境に適した変更を行います。
タスク・サービスと割当てサービスの詳細は、『Oracle SOAスイートでのSOAアプリケーションの開発』を参照してください。
Oracle HTTP Server (OHS)からタスク・フォームに添付を追加する場合は、場所として/ADFAttachmenthelperをOHS構成に含める必要があります。たとえば、instance_home/config/OHS/ohs_instanceの下にあるOHSのmod_wl_ohs.configファイルに次の内容を追加します。
<Location /ADFAttachmentHelper>
SetHandler weblogic-handler
PathTrim /weblogic
ErrorPage http:/WEBLOGIC_HOME:WEBLOGIC_PORT/
</Location>
Oracle Human Workflow通知用にOracle Advanced Queuingを構成するには、Oracle Enterprise Manager Fusion Middleware Controlで、HWFMailer構成の下にあるマネージドBeanプロパティUseAQをTRUEに設定します。SOAサーバーを再起動します。
サーバーを再起動すると、新しい通知メッセージがOracle Advanced Queuingにエンキューされます。JMSキューに保留中のメッセージは、通知再試行スレッドによってOracle Advanced Queuingにエンキューされます。
デフォルトの通知サービス・プロバイダのかわりに、カスタム通知サービスの実装をプラグインして使用できます。カスタム通知サービスは、すべてのチャネルまたは選択した特定のチャネルに対してプラグインできます。たとえば、この通知サービスはデフォルトのSMS通知サービスのかわりに、既存のSMS実装にプラグインできます。
通知サービスをプラグインするには、次のタスクのいずれかを実行します。
インタフェースoracle.bpel.services.notification.ICustomNotificationServiceを実装します
抽象クラスoracle.bpel.services.notification.AbstractCustomNotificationServiceImplを拡張します。
このインタフェースには、次のチャネル用のメソッドがあります。
電子メール
ボイス
SMS
IM
プラグインした通知サービスによって、1つ以上のチャネルのデフォルト・プロバイダをオーバーライドできます。チャネルのサブセットに対するデフォルト実装が、カスタム通知サービスによってオーバーライドされているときは、他のチャネル(オーバーライドされていないチャネル)に対応するメソッドが通知サービスでコールされることはありません。これらのメソッドが返すのは、NULL値のみです。また、この実装によって、次の抽象クラスを拡張できます。
oracle.bpel.services.notification.AbstractCustomNotificationServiceImpl
このクラスは、各チャネルに対して空の実装を提供します。この場合、実装で拡張されるのは適切なチャネルのメソッドのみです。
実装とその依存クラスは、Oracle WebLogic Serverのクラスパスで使用可能であることが必要です。
すべてのOracle BPM Worklistタスクに対してオート・リリース・タイマーが有効であるためにデータベースやJVMでオーバーヘッドが発生している場合は、タイマーをグローバルに無効にできます。
Oracle BPM Worklistタスクに対してオート・リリース・タイマーをグローバルに無効にする手順は、次のとおりです。
通知の再試行サイクル時に処理可能な電子メール通知メッセージの数は、システムMBeanブラウザのRetryNotificationMessageThrottleプロパティを使用して制御できます。このプロパティによって、キュー内のメッセージのオーバーロードを防ぎ、通知メッセージ・ペイロードのメモリー・サイズを縮小できます。
電子メール通知メッセージの数を構成する手順は、次のとおりです。
次のいずれかのオプションを使用して、このページにアクセスします。
| SOAインフラストラクチャのメニューから... | ナビゲータのSOAフォルダから... |
|---|---|
|
|
「詳細ワークフロー通知構成プロパティ」をクリックします。
「RetryNotificationMessageThrottle」をクリックします。
「値」フィールドに値を入力します。デフォルトは200000メッセージです。
「適用」をクリックします。
一部のプロセスでは、電子メールの送信元アドレスに基づいて電子メール通知を区別することが必要な場合があります。たとえば、人事管理のBPELプロセスでは、HR@yourcompany.comと設定された送信元アドレスを使用して電子メールを送信し、財務のBPELプロセスでは、finance@yourcompany.comと設定された送信元アドレスを使用して電子メールを送信します。
複数の送信アドレスを構成する手順は、次のとおりです。
Oracle SOA Suiteは、信頼性のある通知をサポートしています。アウトバウンド通知では、一意の通知IDを使用して通知メッセージが作成され、そのメッセージと一意のIDはデハイドレーション・ストアに格納されます。次に、この一意のIDがJMSキューにエンキューされ、トランザクションがコミットされます。このキューをリスニングしているメッセージドリブンBean (MDB)は、メッセージをデキューしてユーザーに通知を送信します。通知に失敗すると、その通知は3回再試行されます。すべての再試行に失敗すると、この通知はエラー発生としてマークされます。
デフォルトでは、アイデンティティ・サービスは、Oracle WebLogic Serverの埋込みLDAPサーバーをデフォルトの認証プロバイダとして使用します。ただし、デフォルトのオーセンティケータとともに、Oracle Internet Directory、Microsoft Active DirectoryまたはOracle iPlanetなどの代替認証プロバイダを使用するようにOracle WebLogicを構成できます。
注意:
Oracle Virtual Directoryプラグインの構成と使用の詳細は、Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのOracle Virtual Directoryプラグインの理解に関する項を参照してください。
この項では、Oracle WebLogic管理コンソールまたはOracle Directory Services Managerを使用して認証プロバイダを追加し、その認証プロバイダのユーザーとグループを作成する方法を説明します。
複数のLDAP認証プロバイダの構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。
この節では、以下のトピックについて説明します。
デモ・ユーザー・コミュニティというユーザーとグループの組織階層のインストールと使用の詳細は、「データベースへのデモ・ユーザー・コミュニティのインストール」を参照してください。
注意:
Oracle Fusion Middlewareでは、カスタム・アイデンティティ・ストアと対話するユーザーおよびロールAPIを有効にするプロバイダがサポートされます。
詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の「ユーザーおよびロールAPIによる開発」の章を参照してください。
認証プロバイダは、Oracle WebLogic Server管理コンソールを使用してセキュリティ・レルムに追加できます。
認証プロバイダを追加する手順は、次のとおりです。
「認証プロバイダ」ページが表示されます。
「新しい認証プロバイダの作成」ページが表示されます。
認証プロバイダの設定が表示されます。
「認証プロバイダの並べ替え」ページが表示されます。
ログイン・ユーザー(ユーザー属性)として電子メール・アドレスを使用するように、Oracle WebLogic Server管理コンソールで認証プロバイダの設定を変更できます。次の手順を実行する必要があります。
11.1.1.4以降では、複数のオーセンティケータからのユーザーとグループを認可できます。$DOMAIN_HOME/config/fmwconfig/jps-config.xmlファイル内のidstoreインスタンスに、次のプロパティを追加します。
<serviceInstance name="idstore.ldap"
provider="idstore.ldap.provider">
............................
<property name="virtualize" value="true"/>
..............................
</serviceInstance>
認証プロバイダのユーザーとグループは、Oracle WebLogic Server管理コンソールまたはOracle Directory Services Managerを使用して作成できます。
Oracle WebLogic Server管理コンソールを使用して、特定のプロバイダのユーザーを作成したり、ユーザーのメンバーシップを定義できます。
WebLogicコンソールを使用してユーザーを作成する手順は、次のとおりです。
ユーザー・ページが表示されます。
Oracle WebLogic Server管理コンソールを使用して、特定のプロバイダのグループを作成したり、グループのメンバーシップを定義できます。
WebLogicコンソールを使用してグループを作成する手順は、次のとおりです。
「グループ」ページが表示されます。
Oracle Internet Directoryを使用するユーザーとグループは、Oracle Directory Services Managerを介して作成できます。
Oracle Directory Services ManagerからOracle Internet Directoryに接続する手順は、次のとおりです。
ユーザーを作成するには:
グループを作成するには:
Oracle Internet Directoryを認証プロバイダとして使用する場合は、Oracle Directory Services Managerを使用して、「orclsslinteropmode」属性を「0」(ゼロ)に設定する必要があります。
注意:
LDAPサーバーのGUID属性がバイナリ値に設定されている場合、アイデンティティ・サービスで正しく処理できないため、ユーザーとグループの両方のオブジェクト・クラスに存在し、バイナリ値を持つことができない一意の属性にマップする必要があります。たとえば、cn属性が一意の場合、これらの要件をいずれも満たしているため、使用できます。
GUIDをjps-config.xmlファイルのcnにマップします。
<property value="GUID=cn" name="PROPERTY_ATTRIBUTE_MAPPING"/>
アイデンティティ・ストア属性マッピングの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の「ユーザーおよびロールAPIによる開発」の章を参照してください。
ディレクトリ・サービスを構成する手順は、次のとおりです。
アイデンティティ・プロバイダをカスタマイズする(自社ソリューションに格納されているユーザーとロールを処理する)には、次のURLを参照してください。
http://www.oracle.com/technetwork/middleware/id-mgmt/overview/index.htmlこの項では、LDAPツールを使用してユーザー、グループおよびアプリケーションの各ロールをシードするために必要となる手順の概要について説明します。
タスクを作成する場合は、そのタスクに参加して操作するユーザーを割り当てます。実行時に、参加者はOracle BPM Worklistからタスクに対してアクションを実行できます。これらのアクションには、休暇申請の承認、発注の却下、ヘルプ・デスク・リクエストへのフィードバックの提供などがあります。参加者には次の3つのタイプがあります。
ユーザー
グループ
アプリケーション・ロール
詳細は、『Oracle SOAスイートでのSOAアプリケーションの開発』を参照してください。
パスワード資格証明には、Oracle WebLogic Server管理コンソールからドメインの「セキュリティ」→「組込みLDAP」の順に選択することによって、アクセスできます。
デフォルトのパスワード資格証明の変更手順については、『Oracle WebLogic Serverセキュリティの管理』の第9章「組込みLDAPサーバーの管理」を参照してください。
LDAPブラウザを介してユーザーまたはグループをシードするには、次の手順を実行します。
LDAPブラウザを起動します(例: openLdapブラウザ、ldapbrowser、jXplorerなど)。起動方法は、ブラウザのドキュメントを参照してください。
サーバーが実行されているホスト名とポート番号、およびログインする管理ユーザーの資格証明を指定して、LDAPサーバーに接続します。
組込みLDAPの場合
管理対象サーバーのデフォルトのポート番号は7001です。
管理資格証明のユーザー名はcn=adminです。
管理資格証明パスワードは、「組込みLDAPサーバーでのデフォルト・パスワードの変更」で設定したものです。
OIDmの場合
デフォルトのポート番号は3060です。
管理ユーザー名はcn=orcladminです。
管理パスワードはLDAPサーバーのパスワードです。
ブラウザを介してユーザーまたはグループをシードするには、次の手順を実行します。
ユーザーまたはグループを追加する親を選択します。
「編集」メニューを選択し、適切なオプションを選択して、新しいエントリを追加します。
エントリに必要な属性値をすべて入力します。
LDIFファイルを介してユーザーまたはグループをシードするには、次の手順を実行します。
ユーザーまたはグループをシードするドメインを選択します。
「LDIF」メニューを選択し、LDIFファイルのインポートを選択します。
LDIFファイルのインポート・ダイアログで、LDIFファイルを参照および選択して、「インポート」をクリックします。
同様に、LDAPサーバーにシードされたユーザーまたはグループは、「LDIF」メニューから「エクスポート」オプションを選択することによって、LDIFファイルにエクスポートできます。
ユーザーまたはグループに属性を追加するには、次の手順を実行します。
新しい属性を追加するエントリを選択します。
右クリックしてオプションを選択し、新しい属性を追加します。
「属性の追加」ダイアログで、属性の名前と値を指定します。
追加できるのは、LDAPサーバーのスキーマに定義されている属性のみです。
ユーザーまたはグループの属性を削除するには、次の手順を実行します。
新しい属性を削除するエントリを選択します。
属性のリストから属性を選択して削除します。
WebLogic Scripting Tool (WLST)を使用してアプリケーション・ロールをシードする手順については、WebLogic Server WLSTコマンド・リファレンスの第4章「インフラストラクチャ・セキュリティのカスタムWLSTコマンド」を参照してください。
この項では、Oracle Enterprise Manager Fusion Middleware Controlでアプリケーション・ロールを管理する方法について説明します。
注意:
管理者以外のユーザーがOracle SOAコンポーザにアクセスできるようにするには、次の手順を実行します。このことは、「アプリケーション・ロールの編集」ページで、ユーザーまたはグループにSOADesignerロールを割り当てることによって実行します。ユーザーはOracle WebLogic Serverレルムに存在する必要があります。
Oracle Enterprise Manager Fusion Middleware Controlでアプリケーション・ロールを管理するには、次の手順を実行します。
ナビゲータで「WebLogicドメイン」→「Farm_Domain_name」の順に選択し、該当するOracle WebLogic Serverを選択します。
ドメイン名を右クリックして、「セキュリティ」→「アプリケーション・ロール」の順に選択します。
アプリケーション・ロールを作成するには、次の手順を実行します。
「アプリケーション」リストで、ロールを作成するアプリケーションの名前(server_name/soa-infra)を選択します。
「アプリケーション・ロール」ページで「作成」オプションを選択します。
「アプリケーション・ロールの作成」ページが表示されます。
アプリケーション・ロールのロール名、表示名および説明を入力します。
「ロール」セクションで「ロールの追加」、および「ユーザー」セクションで「ユーザーの追加」を選択して、メンバーを追加します。
「OK」をクリックして、アプリケーション・ロールを作成します。
アプリケーション・ロールを編集するには、次の手順を実行します。
「アプリケーション・ロール」ページの「検索」セクションの「検索するアプリケーション名の選択」リストで、該当するアプリケーション(soa_server1/soa-infraなど)を選択します。
「ロール名」リストの右側にある「検索」アイコンをクリックします。
このアクションにより、そのアプリケーションに作成されているすべてのアプリケーション・ロールが一覧表示されます。
編集するアプリケーション・ロールを選択します(たとえば、SOADesignerを選択します)。
「編集」を選択します。
「アプリケーション・ロールの編集」ページが表示されます。
アプリケーション・ロールとグループを「ロール」セクションに追加し、ユーザーを「ユーザー」セクションに追加します(たとえば、Oracle SOAコンポーザへのアクセスを提供するユーザーにSOADesignerを割り当てます)。ユーザーはOracle WebLogic Serverレルム内に定義されている必要があります。
「OK」をクリックします。
アプリケーション・ロールを削除するには、次の手順を実行します。
「アプリケーション・ロール」ページの「検索」セクションの「検索するアプリケーション名の選択」リストで、該当するアプリケーションを選択します。
「ロール名」リストの右側にある「検索」アイコンをクリックします。
このアクションにより、そのアプリケーションに作成されているすべてのアプリケーション・ロールが一覧表示されます。
削除するアプリケーション・ロールを選択します。
「削除」ボタンをクリックして、アプリケーション・ロールを削除します。
「確認」ダイアログで「はい」をクリックします。
デフォルトでは、ヒューマン・タスクのユーザー名のみが大文字/小文字を区別しません。この動作は、システムMBeansブラウザのユーザーに対するcaseSensitiveプロパティの値によって制御され、デフォルトでfalseに設定されています。ヒューマン・タスクのグループ名は、ユーザー・ディレクトリにシードされる名前と同じである必要があります。ただし、ヒューマン・タスクのグループ名で大文字/小文字を区別しないようにする場合、caseSensitiveGroupsプロパティをfalseに設定する必要があります。
ヒューマン・タスクのグループ名について大文字/小文字を区別する動作を有効にするには、次の手順を実行します。
ポリシー・セットには複数のポリシー参照を含めるできるため、ポリシー・セットを使用すると、ある範囲に含まれる同じタイプのエンドポイントに対して、ポリシーをグローバルにアタッチできます。ポリシー・セットを使用してポリシーをグローバルにアタッチすることによって、開発者、アセンブラまたはデプロイヤなどの複数のユーザーが、アタッチするポリシーを明示的に指定しなかった状況において、すべてのサブジェクトが確実に保護されるようにできます。ポリシー・セットを使用してアタッチされるポリシーは、外部的にアタッチされたと見なされます。
たとえば、開発者が注釈内にポリシーを指定しなかった場合、または、デプロイメント・ディスクリプタにポリシー参照を含めなかった場合、デプロイヤはポリシーをアタッチする必要があり、このようにしないと、潜在的なセキュリティ・リスクが発生します。タイプ別のサブジェクトのセットに対してポリシーをグローバルにアタッチすることによって、管理者はデプロイメントに関係なく(かつデプロイメント前に)、すべてのサブジェクトがデフォルトで保護されるようにできます。たとえば、管理者はあるドメイン内のすべてのWebサービス・エンドポイントに対してセキュリティ・ポリシーをアタッチするポリシー・セットを定義できます。この場合、ドメインに追加されるすべての新規サービスには、ポリシー・セットに定義されたセキュリティ構成が自動的に継承されます。
ポリシー・セットを使用したポリシーのグローバルなアタッチの詳細は、Webサービスの管理を参照してください。
