WebCenter Portalを最初にインストールすると、データベースを使用するためにポリシーおよび資格証明ストアが構成されます。本番環境では、デフォルトのデータベースまたは外部LDAP (Oracle Internet Directory 11gR1または10.1.4.3)を使用するようにポリシーおよび資格証明ストアが構成されている必要があります。HA環境または本番環境では、ファイルベースのLDAPの使用を試みないでください。
ポリシーおよび資格証明ストアをOIDと再度関連付けるには、LDAPディレクトリにルート・ノードを作成し、Fusion Middleware Controlを使用して、またはWLSTを使用してコマンド行から、ポリシーおよび資格証明ストアをOIDサーバーと再度関連付けます。ポリシーおよび資格証明ストアを再度関連付けて外部LDAPベースのストアを使用する際は、同じLDAPサーバーを使用するように資格証明ストアとポリシー・ストアを構成する必要があることに注意してください。ただし、アイデンティティ・ストアは、サポートされている他の任意のLDAPサーバーを使用することができ、ポリシー・ストアや資格証明ストアと同じLDAPサーバーを使用する必要はありません。トラブルシューティングの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の再関連付けの失敗に関する項を参照してください。
注意:
ポリシー・ストアを再度関連付ける前に、次の関連する構成ファイルを必ずバックアップしてください。
jps-config.xml
system-jazn-data.xml
念のため、ドメインの管理サーバーのboot.properties
ファイルもバックアップしてください。
この章の内容は次のとおりです。
権限
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
ポリシーおよび資格証明ストアをOIDと再度関連付ける際の最初のステップでは、LDAPディレクトリでLDIFファイルを作成し、すべてのデータを追加するルート・ノードを追加します。ルート・ノードを作成するには、『Oracle Platform Security Servicesによるアプリケーションの保護』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の手順に従います。ファイルを作成してノードを追加したら、Fusion Middleware ControlまたはWLSTを使用してストアを再度関連付けます。
ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、『Oracle Platform Security Servicesによるアプリケーションの保護』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の説明に従って、まずルート・ノードを作成する必要があります。ルート・ノードを作成したら、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用した再関連付けに関する項の手順に従います。再関連付けが失敗した場合は、『Oracle Platform Security Servicesによるアプリケーションの保護』の再関連付けの失敗に関する項を参照してください。
ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、『Oracle Platform Security Servicesによるアプリケーションの保護』のLDAPポリシー・ストアを使用する場合の前提条件に関する項の説明に従って、まずルート・ノードを作成する必要があります。再関連付けが失敗した場合は、『Oracle Platform Security Servicesによるアプリケーションの保護』の再関連付けの失敗に関する項を参照してください。
WLSTを使用して資格証明およびポリシー・ストアを再度関連付ける手順は次のとおりです。
管理者は、Fusion Middleware Controlを使用して、WebCenter Portalドメイン資格証明ストアの資格証明を管理できます。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlでの資格証明の管理に関する項を参照してください。
この項では、Fusion Middleware Control、WLST、およびWebCenter Portalの実行時管理ページを使用して、ユーザー・ロールとアプリケーション・ロールを管理する方法を説明します。
この項には次のサブセクションが含まれます:
WebCenter Portalは、最初のオーセンティケータによってマップされたアイデンティティ・ストア内のユーザーのみを認識します。WebCenter Portal管理者アカウントは当初は組込みのLDAPサーバーにのみ作成されるため、Oracle Internet Directoryなどの外部LDAPをWebCenter Portalのプライマリ・オーセンティケータとして構成する場合は、そのLDAP内にユーザーを作成し、そのユーザーにWebCenter Portal管理者ロールを付与する必要もあります。
次の項の説明に従って、Fusion Middleware ControlまたはWLSTを使用してWebCenter Portal管理者ロールをユーザーに付与できます。
詳細は、『Oracle WebCenter Portalのインストールおよび構成』の非デフォルト・ユーザーへの管理者権限の付与に関する項を参照してください。
この項では、WebCenter Portal管理者ロールをデフォルトのweblogicアカウント以外のユーザー・アカウントに付与する方法について説明します。
Fusion Middleware Controlを使用してWebCenter Portal管理者ロールを付与する手順は次のとおりです。
Fusion Middleware Controlにログインし、WebCenter Portalホームページに移動します。
「WebCenter Portalのホームページへの移動」を参照してください。
「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが開きます(図27-1 を参照)。
WebCenter Portal管理者ロールを検索します。
「ロール名」フィールドに、管理者ロールの次の内部識別子を入力して、「検索」(矢印)アイコンをクリックします。
s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
検索の結果として、管理者ロールの識別子であるs8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
が返されます。
検索結果から管理者ロールの識別子をクリックし、「編集」をクリックします。
「アプリケーション・ロールの編集」ページが開きます(図27-2を参照)。
「メンバー」セクションから、「追加」をクリックします。
「プリンシパルの追加」ダイアログが開きます(図27-3 を参照)。
管理者ロールを割り当てるユーザーを検索します。
「タイプ」ドロップダウンから、「ユーザー」を選択します。
ユーザー名の一部またはユーザー名の最初の文字が含まれるように「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。
オプションで、「ユーザー」を選択した場合は、「拡張オプション」セクションから「プリンシパル名をここに入力する場合に選択します」オプションを選択して、「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。
「OK」をクリックします。
「プリンシパルの追加」ダイアログが閉じ、ユーザー名がメンバーのリストに追加されます。
「アプリケーション・ロールの編集」ページからweblogic
ロールを削除するには、ロールを選択して「削除」をクリックし、確認ダイアログで「はい」をクリックします。
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
この項では、Fusion Middleware ControlおよびWLSTコマンドを使用してアプリケーション・ロールにユーザーを追加する方法について説明します。
この項では、次の項目について説明します。
この項では、Fusion Middleware Controlを使用してユーザーにアプリケーション・ロールを付与する方法を説明します。
Fusion Middleware Controlにログインし、WebCenter Portalのホームページに移動します。詳細は、「WebCenter Portalのホームページへの移動」を参照してください。
「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが開きます(図27-1 を参照)。
「ロール名」フィールドに、webcenter
と入力してWebCenter Portalのすべてのアプリケーション・ロールを検索するか、ロールの名前を入力し(例: appConnectionManager
)、「検索」(矢印)アイコンをクリックします。
名前がはっきりわからない場合は、部分検索語を入力するか、フィールドを空白のままにして、すべてのアプリケーション・ロールを表示します。
「アプリケーション・ロール」ページが開きます(図27-5 を参照)。
ユーザーを追加するロールを選択し、「編集」をクリックします(図27-6 を参照)。
たとえば、パブリック・ロールにユーザーを追加するには、行「パブリック・ロール」を選択します。
図27-6 ロール名の検索結果
選択したロールに対して開く「アプリケーションの編集」ページで、「追加」をクリックします(図27-7 を参照)。
開いている「プリンシパルの追加」ダイアログで(図27-3 を参照)、ユーザーを検索します。
「タイプ」ドロップダウンから、「ユーザー」を選択します。
ユーザー名の一部またはユーザー名の最初の文字が含まれるように「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。
「検索済プリンシパル」表からユーザー名を選択し、「OK」をクリックします。
「プリンシパルの追加」ダイアログが閉じ、「アプリケーション・ロールの編集」ページでアプリケーション・ロールのメンバーのリストにユーザー名が追加されます(図27-8を参照)。
図27-8 アプリケーション・ロールに追加されたユーザー
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
WebCenter Portal (WC_Portal
)管理対象サーバーを再起動します。
管理者はWebCenter Portalの「セキュリティ」タブを使用して、アプリケーション・ロールを定義し、アイデンティティ・ストアで定義されたユーザーにアプリケーション・ロールを付与できます。WebCenter Portalでのユーザーとアプリケーション・ロールの管理の詳細は、「ユーザーおよびアプリケーション・ロールの管理」を参照してください。
注意:
「パスワード変更の許可」プロパティは、ユーザーがWebCenter Portal内で各自のパスワードを変更できるかどうかを指定しますが、これは企業のアイデンティティ・ストアで慎重に管理する必要があります。WebCenter Portal管理者はWebCenter Portalのプロファイル管理設定のページからこのプロパティを設定できます。詳細は、「プロファイルの構成」を参照してください。
「招待者限定の自己登録の有効化」に記載されているように、WebCenter Portalは招待による自己登録をサポートします。招待による自己登録機能では、WebCenter Portalドメイン資格証明ストアに次のパスワード資格証明が含まれていることが必要です。
map name = o.webcenter.security.selfreg
key= o.webcenter.security.selfreg.hmackey
user name = o.webcenter.security.selfreg.hmackey
WebCenter Portal管理で「招待を介した自己登録の許可」を有効にするには、Fusion Middleware ControlまたはWLSTコマンドcreateCred
を使用して、前述のパスワード資格証明を作成します。例:
createCred(map="o.webcenter.security.selfreg", key="o.webcenter.security.selfreg.hmackey", type="PC", user="o.webcenter.security.selfreg.hmackey", password="<password>", url="<url>", port="<port>", [desc="<description>"])
詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のWLSTコマンドでの資格証明の管理に関する項を参照してください。
この項では、インストール後に構成する必要がある推奨キャッシュ設定を示します。キャッシュ・サイズと最大グループ階層の設定は特定の環境に基づく必要がありますが、次の項では開始点として使用できる推奨事項を示します。WebCenter Portalのチューニング・パラメータと推奨値の全リストは、『パフォーマンスのチューニング』のOracle WebCenter Portalパフォーマンスのチューニングに関する項を参照してください。
この項には次のトピックが含まれます:
WebCenter Portalが使用する認可ポリシーでは、デフォルトのポリシー・リフレッシュ時間が10分間のインメモリー・キャッシュを使用します。マルチノードの高可用性環境でポータルを作成する場合、ノード障害の際にポリシー・データをより迅速にレプリケートする必要があるときは、ドメインレベルのjps-config.xml
ファイルを変更して次のエントリを追加することでポリシー・ストアのリフレッシュ間隔を短くすることができます。
oracle.security.jps.ldap.policystore.refresh.interval=<time_in_milli_seconds>
これはPDPサービス・ノードに追加する必要があります。
<serviceInstance provider="pdp.service.provider" name="pdp.service">
サーバーのキャッシュされたポリシーのリフレッシュ頻度はパフォーマンスに影響を与える可能性があるため、ポリシーのリフレッシュ間隔は過度に短く設定しないでください。
jps-config.xml
ファイルを変更したら、ドメイン内の全サーバーを再起動します。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のポリシー・キャッシュのリフレッシュに関する項を参照してください。