この章では、その他のOracle製品と統合されたOracle WebCenter Contentセキュリティの概要と、それ自体の内部セキュリティ機能と補助的なセキュリティ・オプションについて説明します。
この章の内容は次のとおりです。
コンテンツ・サーバー・インスタンスは、Oracle Fusion MiddlewareのOracle WebLogic Serverドメインでデプロイされる、WebCenter Contentドメインでデプロイされます。セキュリティは、コンテンツ・サーバー・インスタンス、WebCenter Contentドメイン、Oracle WebLogic Serverドメイン、Oracle Platform Security Services (OPSS)を含む、複数のレベルでサポートされます。
コンテンツ・サーバー・リポジトリのコンテンツへのアクセスには、コンテンツ、ユーザーおよびグループを、ロール、権限およびアカウントとともに管理するコンテンツ・サーバー管理者が必要です。Oracle WebLogic Server管理者はコンテンツ・サーバー管理者と同様の働きをします。Oracle WebLogic Server管理者はコンテンツ・サーバー・インスタンスにログインしますが、デプロイ中に該当ユーザーが構成されなかった場合には、プライマリ・コンテンツ・サーバー管理者アカウントおよびパスワードを設定します。コンテンツ・サーバー管理者が構成されたら、管理タスクをコンテンツ・サーバー・インスタンスで実行できるようになります。WebCenter Content管理者の初期構成の詳細は、『Oracle WebCenter Contentのインストールと構成』を参照してください。
ほとんどのユーザー管理タスクは、コンテンツ・サーバー・インスタンスのユーザー管理アプレットではなく、Oracle WebLogic Server管理コンソールを使用して実行する必要があります。デフォルトでは、WebCenter ContentはOracle WebLogic Serverユーザー・ストアを使用してユーザー名およびパスワードを管理し、資格証明ストアを使用してユーザーにコンテンツ・サーバー・インスタンスへのアクセス権を付与します。エンタープライズ・レベルのシステムの場合、ユーザーを認証および認可するために、デフォルトのOracle WebLogic Serverユーザー・ストアではなく、Oracle Platform Security Services (OPSS)を使用できます。WebCenter ContentセキュリティとOracle WebLogic ServerおよびOPSSとの統合の詳細は、第16章を参照してください。
コンテンツ・サーバーのリポジトリ・コンテンツのレベルには、セキュリティ・グループ(必須)およびアカウント(オプション)の2つがあります。各コンテンツ・アイテムはセキュリティ・グループに割り当てられ、アカウントが有効な場合は、アカウントにも割り当てることができます。ユーザーには各セキュリティ・グループおよびアカウントに応じ特定のレベルの権限(読取り、書込み、削除または管理)が割り当てられ、これによりユーザーは、アイテムのセキュリティ・グループおよびアカウントへの権限の範囲内でコンテンツ・アイテムを操作できます。コンテンツ・サーバー内部のユーザー、グループ、およびアカウントの詳細は、第17章、第18章、および第19章を参照してください。
アクセス制御リスト(ACL)がコンテンツ・サーバー・インスタンス用に構成され、エンタープライズレベル・システム上のユーザーへのコンテンツ・アクセスの拡張された制御を提供します。アクセス制御リストは、ユーザー、グループまたはエンタープライズ・ロールのリストであり、コンテンツ・アイテムに対するアクセス権限または操作権限が指定されています。詳細は、第20章を参照してください。
管理者はコンテンツ・サーバーの初期ユーザーとコンテンツのセキュリティを、ユーザー管理アプリケーションを使用して設定し、ユーザー・ロール、グループへの権限およびアカウントを定義します。次に、管理者はOracle WebLogic Server管理コンソールを使用してユーザーを作成し、各ユーザーを1つ以上のコンテンツ・サーバーのロールに割り当てると、セキュリティ・グループに対する特定の権限が割り当てられます。アカウントがコンテンツ・サーバー・システムで有効な場合、管理者は特定のアカウントに対する特定の権限をユーザーに割り当てることができ、これにより、割り当てられたロールを介して付与される可能性のある権限を制限できます。
ユーザーの詳細は、第17章を参照してください。セキュリティ・グループ、ロール、および権限の詳細は、第18章を参照してください。アカウントの詳細は、第19章を参照してください。
次のコンポーネントも、追加の内部コンテンツ・サーバー・セキュリティを提供するために使用できます。
ExtranetLookコンポーネントを使用して、ユーザー・アクセスのセキュリティをカスタマイズできます。このコンポーネントはコンテンツ・サーバーとともにインストールされて有効化されます。詳細は、第22.1項を参照してください。
注意: ExtranetLookコンポーネントはOracle WebLogic Serverドメインがコンテンツ・サーバー・インスタンスのサーバーとして使用されている場合には適用できません。セキュリティの実装の変更は、Oracle WebLogic Serverドメインおよび管理構成を直接カスタマイズすることで制御できます。 |
NeedtoKnowコンポーネントを使用して、ユーザー・アクセスおよび検索結果のセキュリティをカスタマイズできます。このコンポーネントを使用すると、ユーザー・アクセスの制限の追加構成、検索結果の表示の変更、検索動作の変更、およびヒット・リスト・ロールの設定を実行できます。このコンポーネントを使用するには、これをインストールして有効化する必要があります。
Internet Explorer 7では、安全な接続を使用しないBasic認証でログインしているユーザーに対して、次のメッセージが表示されることに注意してください。
Warning: This server is requesting that your username and password be sent in an insecure manner
この動作(ユーザー名とパスワードのテキストでの送信)は、Basic認証では新しいことではなく、問題は発生しません。
WebCenter Contentでは追加の認証方式を組み合せることができます。たとえば、Oracle WebLogic Server管理コンソールを使用してユーザーを定義して、一部のユーザーにはMicrosoftドメインのIDを使用したログインを許可し、その他のユーザーには外部のLightweight Directory Access Protocol (LDAP)資格証明に基づいてコンテンツ・サーバー・インスタンスへのアクセス権を付与できます。しかし、認証はOracle WebLogic Serverを介して構成されるので、方式の組合せには制限があります。ユーザーは複数の認証ストアに対し認証できますが、Oracle Platform Security Services (OPSS)とOracle WebLogic Serverの統合により、認証(グループ)情報を抽出するために使用できるのは、構成済みユーザー・ストアのうちいずれか1つのみです。
注意: 11g リリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、Oracle Internet Directory (OID)とActive Directoryの両方をユーザーおよびロール情報のソースとして使用できます。Oracle WebLogic Server上での複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。 |
次のオプションを使用して、追加のセキュリティを提供できます。
SecurityProvidersコンポーネントを使用して、暗号化されたソケット通信および認証をサポートするようにセキュリティをカスタマイズできます。このコンポーネントはデフォルトでWebCenter Contentとともにインストールされ、有効化されます。このコンポーネントは、ソケットまたはサーバー認証用の証明書を使用するように構成できるSecure Sockets Layer (SSL)プロバイダを有効化します。
WebCenter Contentへの接続にSSLおよびHTTPSを使用していて、WebDAVを介して接続できない場合は、WebDAV接続文字列に使用したのと同じURLを使用してブラウザからコンテンツ・サーバー・インスタンスへの接続を試行してください。これにより、暗号化に使用する証明書に問題があるかどうかが確認できます。証明書に問題があることを示すダイアログ・ボックスが表示された場合は、問題を解決して、WebDAVを介した接続を再試行します。
ユーザーが異なるWebサーバーのフロント・エンド(一方のサーバーのフロント・エンドがHTTPSでもう一方はHTTP)を使用してコンテンツ・サーバー・インスタンスにアクセスできるようにする場合は、BrowserUrlPathコンポーネントを使用してコンテンツ・サーバーの構成をカスタマイズできます。このコンポーネントはデフォルトでWebCenter Contentとともにインストールされて無効化され、HTTPSを使用するWebサーバーのフロント・エンドと、HTTPホスト・ヘッダーとして転送されるロード・バランサをサポートします。1つのアクセス方式のみ(HTTPSのみまたはHTTPのみ)を使用する場合や、ブラウザからのホスト・パラメータをブロックするロード・バランサを使用していない場合は、このコンポーネントは必要ありません。詳細は、第22.2項を参照してください。
拡張セキュリティ属性は外部ユーザーまたは特定のアプリケーションのユーザーに割り当てることができます。拡張属性は既存のユーザー属性とマージされ、ユーザーの管理の柔軟性を向上させることができます。詳細は、第22.3項を参照してください。
すべての環境で、組織のセキュリティの要望と、完全な計画フェーズを包括的に理解することは、セキュリティの統合の成功にとって非常に重要です。
詳細セキュリティ・オプションを使用すると、WebCenter Contentで推奨されるすべてのセキュリティ構成を操作できます。ユーザーが問合せテキストに無効なフィールド名を指定した場合、エラー・メッセージがユーザーに表示されます。
注意: 詳細セキュリティ・オプションは、APIかユーザー・インタフェースのいずれかを使用して指定できます。 |
APIを使用した詳細セキュリティの構成
詳細セキュリティ・オプションを有効にするには、次のAPIを使用します。
ASC_GET_SECURITY_CONFIGURATIONS: WebCenter Contentの既存のセキュリティ構成に関する詳細が提供されます。
ASC_UPDATE_SECURITY_CONFIGURATIONS: 新しい表が追加または削除されたとき、各入力パラメータを渡すことにより、セキュリティ構成およびフィールド名や列名を更新できます。
APIおよびパラメータの詳細は、『Oracle WebCenter Contentサービス・リファレンス』の「コアContent Serverサービス」を参照してください。
ユーザー・インタフェースを使用した詳細セキュリティの構成
詳細セキュリティ・オプションは、Oracle Advanced Security Configurationsページで指定できます。ただし、このページはデフォルトでは使用可能になっていません。このページは、要件に基づいて有効化または無効化できます。詳細は、「Oracle Advanced Security Configurationsページの有効化」を参照してください。
Oracle Advanced Security Configurationsページを有効化することにより、Core QueryTextおよびFrameworkFolders QueryTextにセキュリティ・オプションを指定できます。
Oracle Advanced Security Configurationsページを有効化する手順:
テキスト・エディタを使用して、IntradocDir/config/
ディレクトリにあるconfig.cfgfile
を開きます。
次のパラメータを追加します。
IsAdvanceSecurityConfigUIEnabled=True
config.cfg
ファイルを保存します。
Content Serverインスタンスを再起動します。
「管理」メニューで、「Oracle Advanced Security Configurations」オプションが使用可能になります。
注意: Oracle Advanced Security Configurationsページは、「管理」、「管理サーバー」、「一般構成」の順に選択しても有効化できます。「追加の構成変数」領域で、パラメータIsAdvanceSecurityConfigUIEnabled=True を追加できます。ただし、「管理サーバー」メニューに「Oracle Advanced Security Configurations」オプションが表示されるのは、コンテンツ・サーバーを再起動した後です。 |
この項の内容は次のとおりです。
Core QueryTextに詳細セキュリティ・オプションを指定すると、検索機能が実行され、入力した検索基準との一致が検索されて、それに応じた結果が返されます。
Core QueryTextに詳細セキュリティ・オプションを指定する手順:
「管理」、「Oracle Advanced Security Configurations」の順に選択します。
Oracle Advanced Security Configurationsページが表示されます。
「Core QueryTextセキュリティ構成」チェック・ボックスを選択して、このセクションを編集および更新します。
「Core QueryTextセキュリティ構成」チェック・ボックスが選択されていない場合、このセクションに対する変更は保存されません。
「QueryTextセキュリティ検証の有効化」チェック・ボックスを選択して、カスタム問合せ検証を有効化します。
「QueryTextセキュリティ検証の有効化」チェック・ボックスが選択されていない場合、Core QueryTextの検証は無効になります。
「カスタム表名」フィールドに1つ以上の表名を入力して、これらの表を検索基準に含めます。
「カスタム・フィールド名」フィールドに1つ以上のフィールド名を入力して、これらのフィールドを検索基準に含めます。
「カスタム表名」フィールドおよび「カスタム・フィールド名」フィールドに入力する値は、セミコロン(;)で区切る必要があります。
「更新」をクリックして、入力した詳細を保存します。
FrameworkFolders QueryTextに詳細セキュリティ・オプションを指定すると、フレームワーク・フォルダ内に入力した検索基準が実行され、それに応じた結果が返されます。
FrameworkFolders QueryTextに詳細セキュリティ・オプションを指定する手順:
「管理」、「Oracle Advanced Security Configurations」の順に選択します。
Oracle Advanced Security Configurationsページが表示されます。
「FrameworkFolders QueryTextセキュリティ構成」チェック・ボックスを選択して、このセクションを編集および更新します。
「FrameworkFolders QueryTextセキュリティ構成」チェック・ボックスが選択されていない場合、このセクションに対する変更は保存されません。
「QueryTextセキュリティ検証の有効化」チェック・ボックスを選択して、カスタム問合せ検証を有効化します。
「QueryTextセキュリティ検証の有効化」チェック・ボックスが選択されていない場合、FrameworkFolders QueryTextの検証は無効になります。
「カスタム表名」フィールドに1つ以上の表名を入力して、これらの表を検索基準に含めます。
「カスタム・フィールド名」フィールドに1つ以上のフィールド名を入力して、これらのフィールドを検索基準に含めます。
「カスタム表名」フィールドおよび「カスタム・フィールド名」フィールドに入力する値は、セミコロン(;)で区切る必要があります。
「更新」をクリックして、入力した詳細を保存します。