この章の内容は次のとおりです。
セキュリティ・グループは、一意の名前でグループ化された一連のファイルです。コンテンツ・サーバー・リポジトリ内のすべてのファイルはセキュリティ・グループに属します。セキュリティ・グループへのアクセスは権限によって制御され、権限はコンテンツ・サーバーのロールに割り当てられます。ロールはOracle WebLogic Serverで管理されるユーザーに割り当てられます。
ユーザーはOracle WebLogic Server管理コンソールを使用してグループに割り当てられます。ユーザーがコンテンツ・サーバー・インスタンスにログインすると、ユーザーのグループがコンテンツ・サーバーのロールにマップされます。@(アット)記号で始まるOracle WebLogic Serverユーザー・グループはコンテンツ・サーバー・アカウントにマップされます。
コンテンツ・サーバーで認識されるOracle WebLogic Serverグループでは、正確に同じ名前のロールがコンテンツ・サーバーに作成され、セキュリティ・グループに割り当てられる必要があります。これが行われていないと、ユーザーに割り当てられたOracle WebLogic Serverグループは、コンテンツ・サーバーでのユーザーの権限に何の影響も及ぼしません。
セキュリティ・グループを使用すると、コンテンツ・ファイルを特定のユーザーのみがアクセス可能な個別のグループに編成できます。たとえば、人事指定のドキュメントを表すHRDocsという名前のセキュリティ・グループにファイルを割り当て、このグループには人事部門で働く人のみがアクセスするようにできます。事前定義済セキュリティ・グループが2つあります。
パブリック: デフォルトでは、すべてのユーザーがログインなしでパブリック・グループのドキュメントを表示できます。
セキュア: システム・ファイルはセキュア・グループに格納され、システム管理者のみが使用できます。
セキュリティ・グループを定義するときには、次の考慮事項に注意してください。
セキュリティ・グループは、保護する必要のあるファイルがチェックされる前に定義してください。
検索およびユーザー管理の効率を最適化するために、セキュリティ・グループの数は最小限に維持する必要があります。セキュリティ・モデルに50を超えるセキュリティ分類が必要な場合は、アカウントを有効化し、それらを使用してユーザーの権限を制御する必要があります。この数は検索効率およびユーザー管理効率により異なります。
同じアクセスを共有するすべてのファイルを1つのセキュリティ・グループに含めます。
セキュリティ・グループに論理命名規則を設定します。たとえば、イントラネットを設定している場合は部門名を使用し、エクストラネットを設定している場合にはセキュリティのレベル(内部や分類済みなど)を使用します。
たとえば、図18-1に3つの定義されたセキュリティ・グループを示します(Public、HRDocs、EngDocs)。これらは異なるロール(Admin、Contributor、Guest、Sysadmin、Subadmin)と特定の権限のセット(読取り、書込み、削除、管理者)に割り当てられた5ユーザーに関連付けられています。
検索効率は、ユーザーがアクセス権を持つセキュリティ・グループの数に影響されます。ユーザーが表示権限を持つコンテンツのみを戻すには、データベースのWHERE句にセキュリティ・グループのリストを含めます。WHERE句には、ユーザーがアクセス権を持っているすべてのセキュリティ・グループ、アクセス権を持っていないすべてのセキュリティ・グループを含めます。どちらの方法にするかは、ユーザーの持っている権限が、定義されているセキュリティ・グループの50%を超えているかまたは50%に満たないかにより異なります。
たとえば、100のセキュリティ・グループが定義されていて、ユーザーが10のセキュリティ・グループの権限を持っている場合は、WHERE句に10のセキュリティ・グループを含めます。反対に、ユーザーが90のセキュリティ・グループのアクセス権を持っている場合は、そのユーザーがアクセス権を持っていない10のセキュリティ・グループをWHERE句に含めます。
そのため、ユーザーが50%に近いセキュリティ・グループに対する権限を持っている場合、検索効率は低下します。ユーザーがすべてのセキュリティ・グループに対する権限を持っている場合、またはどのセキュリティ・グループに対する権限も持っていない場合は、検索効率が向上します。
セキュリティ・グループの合計数にロールの合計数を掛けた数が、RoleDefinitionデータベース表の行数になります。この数は、ユーザー管理アプリケーションのローカル・ユーザーに関連する作業効率に影響します。ユーザー管理アプリケーションにおける、セキュリティ・グループの追加やロールの権限の変更などの操作の実行に必要な概算の時間を判断するには、次の式を使用します。
(# of security groups) X (# of roles) / 1000 = Time of operation in seconds
たとえば、400 MHzプロセッサと128 MBのRAMを備えたPCを使用すると、RoleDefinition表に10,000行ある場合、ユーザー管理アプリケーションを使用したセキュリティ・グループまたはロール(あるいはその両方)の追加には約10秒かかります。
セキュリティ・グループの数が増加すると、使用者の検索効率よりも管理効率が影響を受けます。
コンテンツ・サーバーを使用して、次のタスクによりセキュリティ・グループを管理します。
グループ管理の詳細は、『Oracle WebLogic Serverセキュリティの管理』を参照してください。
セキュリティ・グループを作成し権限を割り当てるには:
注意:
カレット「^」はWebCenter Contentの特殊文字であり、ユーザー名、グループ名、またはルール名には使用できません。「^」文字は、WebCenter ContentによりStringUtilsクラス用と解析されます。StringUtilsクラスでは、この文字が文字列のエンコーディングとデコーディングに使用されます。
「ユーザー管理」画面から、「セキュリティ」→「グループの権限」を選択します。
「グループの権限」ウィンドウで、「グループの追加」をクリックします。
「新しいグループの追加」ウィンドウで、グループ名および説明を入力します。
「OK」をクリックします。
セキュリティ・グループに権限を設定します。
セキュリティ・グループを選択します。
編集するロールを選択します。
「アクセス権の編集」をクリックします。
グループのロールに必要な権限を有効化したら、「OK」をクリックして、「グループの権限」ページを閉じます。
注意:
コンテンツ・サーバー・リポジトリに格納されたコンテンツ・アイテムと関連付けられているセキュリティ・グループまたはアカウントは、絶対に削除しないでください。
セキュリティ・グループを削除するには:
ロールは、各セキュリティ・グループに対する一連の権限(読取り、書込み、削除、管理者)です。ロールはユーザーのジョブと考えられます。ユーザーは、様々なセキュリティ・グループに対して異なるジョブを持つことができます。ユーザーは参加する様々なチームを識別するために、異なるジョブを持つこともできます。次の操作を実行できます。
ロールを定義します。
1人のユーザーに複数のロールを割り当てます。
複数のユーザーで1つのロールを共有するよう設定します。
ロールの権限を複数のセキュリティ・グループに設定できます。
たとえば、図18-2に、3つのロールと、そのロールが同じセキュリティ・グループに対して持つ権限を示します。
ロールは、セキュリティ・グループにアクセス権を提供するためにシステム管理者によって1人以上のユーザーに割り当てられます。図18-3に、HRDocsセキュリティ・グループに対して読取り権限のみを持つEngUsersロールを示します。ただし、このロールは、EngDocsセキュリティ・グループに対して読取り、書込みおよび削除権限も持っています。これにより、セキュリティが強化され、特定のドキュメントにアクセスする必要のあるユーザーのみがそれらのドキュメントを変更できるようになります。
コンテンツ・サーバーには、次のロールが事前定義されています。
ロール | 説明 |
---|---|
admin |
adminロールはシステム管理者に割り当てられます。デフォルトでは、このロールには、すべてのセキュリティ・グループおよびすべてのアカウントに対する管理権限があり、すべての管理ツールにアクセスできます。 |
contributor |
contributorロールには、パブリック・セキュリティ・グループに対する読取りおよび書込みの権限があり、コンテンツを検索、表示、チェックインおよびチェックアウトできます。 |
guest |
guestロールには、パブリック・セキュリティ・グループに対する読取り権限があり、コンテンツを検索および表示できます。 |
sysmanager |
sysmanagerロールは、ユーザー・インタフェースの「管理」メニューから「管理サーバー」リンクにアクセスできる権限を持っています。 |
各ロールは、各セキュリティ・グループに対する次の権限を許可されます: 読取り(R)、書込み(W)、削除(D)、管理者(A)、標準注釈(S)、制限付き注釈(T)または非表示注釈(H)。セキュリティ・グループのファイルにアクセスするためにユーザーが持つ権限は、任意のユーザーのロールにより定義されている最高の権限です。ユーザーにguestロールとcontributorロールがあり、guestにはパブリック・セキュリティ・グループに対する読取り権限、contributorには書込み権限が付与されている場合、そのユーザーがパブリック・セキュリティ・グループのコンテンツに対して持つのは書込み権限です。ユーザーに標準注釈、制限付き注釈または非表示注釈の権限が割り当てられている場合、そのユーザーにはデフォルトで読取り権限が与えられます。
図18-4に示すように、Joe SmithおよびAnn Wallaceは2つのセキュリティ・グループに対する権限を持っています。
Joe Smithには、EngDocsセキュリティ・グループに対して読取り、書込みおよび削除権限を持っていますが、HRDocsセキュリティ・グループに対しては読取り権限のみを持っています。EngUsersロールのメンバーとして、エンジニアリング・ドキュメントには読取り、書込みおよび削除のアクセス権が付与されていますが、人事ドキュメントには読取りアクセス権のみが付与されています。
Ann Wallaceは、HRDocsセキュリティ・グループに対して読取り、書込みおよび削除権限を持っていますが、EngDocsセキュリティ・グループに対しては読取り権限のみを持っています。HRUsersロールのメンバーとして、人事ドキュメントには読取り、書込みおよび削除のアクセス権が付与されていますが、エンジニアリング・ドキュメントには読取りアクセス権のみが付与されています。
各ロールには、各セキュリティ・グループに対して次の各権限を割り当てることができます。
権限 | 説明 |
---|---|
読取り |
セキュリティ・グループ内のドキュメントを表示できます。 |
書込み |
セキュリティ・グループ内のドキュメントを表示、チェックイン、チェックアウトおよびコピーできます。作成者がドキュメントのセキュリティ・グループの設定を変更できるのは、新しいセキュリティ・グループで書込み権限がある場合です。 |
削除 |
セキュリティ・グループ内のドキュメントを表示、チェックイン、チェックアウト、コピーおよび削除できます。 構成変数AuthorDeleteがtrueに設定されており、コンテンツ・サーバーがFoldersを使用するように構成されている場合(FrameworkFoldersコンポーネントにより提供される)、作成者は読取り権限を持っていれば自分自身のリビジョンを削除できますが、読取り権限を持っていない場合、作成者はコンテンツ・アイテムのセキュリティ・グループへの削除権限を持っている必要があります。 構成変数AuthorDeleteがtrueに設定されており、コンテンツ・サーバーがコントリビューション・フォルダを使用するように構成されている場合(Folders_gコンポーネントにより提供される)、作成者はコンテンツ・アイテムのセキュリティ・グループへの削除権限を持っていなくても自分自身のリビジョンを削除できます。 |
管理者 |
セキュリティ・グループ内のファイルを表示、チェックイン、チェックアウト、コピーおよび削除できます。ワークフロー権限があるユーザーは、そのセキュリティ・グループ内のワークフローを開始または編集できます。 該当するセキュリティ・グループ内にある、別のユーザーが作成者として指定されているドキュメントをチェックインすることもできます。ドキュメントの作成者以外のユーザーがドキュメントのセキュリティ・グループの設定を変更できるのは、新しいセキュリティ・グループで書込み権限がある場合です。 |
標準注釈 |
「制限付き」または「非表示」として明示的に指定されていない、セキュリティ・グループ内のすべての注釈の作成、変更および削除のセキュリティ権限が許可されます。標準の注釈を表示する権限があります。 |
制限付き注釈 |
セキュリティ・グループ内の注釈を「制限付き」として指定することができ、他のユーザーによって「制限付き」として指定されている注釈を作成、変更または削除できます。すべてのユーザーが制限付き注釈を表示する権限を持っていますが、それらを作成、変更または削除するには、制限付き注釈の権限が必要です。 |
非表示注釈 |
セキュリティ・グループ内の注釈を「非表示」として指定することができ、他のユーザーによって「非表示」として指定されている注釈を作成、変更または削除できます。 |
ロールおよび権限はコンテンツ・サーバーで定義および管理されます。ロールはユーザー・ログインに割り当てられ、デフォルトで、Oracle WebLogic Server管理コンソールで管理されます。
次のタスクを使用してユーザー・ロールを管理します。
コンテンツ・サーバーでロールを作成して権限を構成するには:
注意:
カレット「^」はWebCenter Contentの特殊文字であり、ユーザー名、グループ名、またはルール名には使用できません。「^」文字は、WebCenter ContentによりStringUtilsクラス用と解析されます。StringUtilsクラスでは、この文字が文字列のエンコーディングとデコーディングに使用されます。
「ユーザー管理」画面から、「セキュリティ」→「ロールの権限」を選択します。
「ロールの権限」ウィンドウで、「新しいロールの追加」をクリックします。
「新しいロールの追加」ウィンドウで、ロール名を入力します。
ロール名は30文字以内にする必要があります。
次の文字は使用できません。空白、タブ、行送り、改行および; : ^ ? & + " # % < > * ~ |
最初、ロールにはパブリック・セキュリティ・グループに対する読取り(R)権限が割り当てられており、その他のセキュリティ・グループに対する権限は割り当てられていません。
次のようにロールに権限を設定します。
ロールを選択します。
編集するセキュリティ・グループを選択します。
「アクセス権の編集」をクリックします。
権限を編集します。
「OK」をクリックして「ロールの権限」ページを閉じます。
コンテンツ・サーバーでロールを削除する手順は、次のとおりです。
コンテンツ・サーバーのユーザーにロールを割り当てるには、Oracle WebLogic Server管理コンソールを使用します。ロールはコンテンツ・サーバーで定義されますが、管理コンソールを使用してユーザーに割り当てる必要があります。詳細は、Oracle WebLogic Server管理者ガイドを参照してください。
ユーザーはOracle WebLogic Server管理コンソールを使用してグループに割り当てることもできます。コンテンツ・サーバーで認識されるOracle WebLogic Serverグループでは、グループと正確に同じ名前のロールがコンテンツ・サーバーに作成され、セキュリティ・グループに割り当てられる必要があります。
別のユーザー・ログインと類似のアクセス権を持つ、コンテンツ・サーバーのユーザーを作成するときにロールを割り当てるには、Oracle WebLogic Server管理コンソールを使用します。ロールはコンテンツ・サーバーで定義されますが、管理コンソールを使用してユーザーに割り当てる必要があります。詳細は、Oracle WebLogic Server管理者ガイドを参照してください。
ユーザーはOracle WebLogic Server管理コンソールを使用してグループに割り当てることもできます。コンテンツ・サーバーで認識されるOracle WebLogic Serverグループでは、グループと正確に同じ名前のロールがコンテンツ・サーバーに作成され、セキュリティ・グループに割り当てられる必要があります。
コンテンツ・サーバーでロールに権限を追加するか、または既存の権限を編集する手順は、次のとおりです。