この章の内容は次のとおりです。
コンテンツ・サーバー・インスタンスは、Oracle Fusion MiddlewareのOracle WebLogic Serverドメインでデプロイされる、WebCenter Contentドメインでデプロイされます。セキュリティは、コンテンツ・サーバー・インスタンス、WebCenter Contentドメイン、Oracle WebLogic Serverドメイン、Oracle Platform Security Services (OPSS)を含む、複数のレベルでサポートされます。
コンテンツ・サーバー・リポジトリのコンテンツへのアクセスには、コンテンツ、ユーザーおよびグループを、ロール、権限およびアカウントとともに管理するコンテンツ・サーバー管理者が必要です。Oracle WebLogic Server管理者はコンテンツ・サーバー管理者と同様の働きをします。Oracle WebLogic Server管理者はコンテンツ・サーバー・インスタンスにログインしますが、デプロイ中に該当ユーザーが構成されなかった場合には、プライマリ・コンテンツ・サーバー管理者アカウントおよびパスワードを設定します。コンテンツ・サーバー管理者が構成されたら、管理タスクをコンテンツ・サーバー・インスタンスで実行できるようになります。WebCenter Content管理者の初期構成の詳細は、『Oracle WebCenter Contentのインストールと構成』を参照してください。
ほとんどのユーザー管理タスクは、コンテンツ・サーバー・インスタンスのユーザー管理アプレットではなく、Oracle WebLogic Server管理コンソールを使用して実行する必要があります。デフォルトでは、WebCenter ContentはOracle WebLogic Serverユーザー・ストアを使用してユーザー名およびパスワードを管理し、資格証明ストアを使用してユーザーにコンテンツ・サーバー・インスタンスへのアクセス権を付与します。エンタープライズ・レベルのシステムの場合、ユーザーを認証および認可するために、デフォルトのOracle WebLogic Serverユーザー・ストアではなく、Oracle Platform Security Services (OPSS)を使用できます。WebCenter ContentセキュリティのOracle WebLogic ServerおよびOPSSとの統合の詳細は、「コンテンツ・サーバー用Fusion Middlewareセキュリティの構成」を参照してください。
コンテンツ・サーバーのリポジトリ・コンテンツのレベルには、セキュリティ・グループ(必須)およびアカウント(オプション)の2つがあります。各コンテンツ・アイテムはセキュリティ・グループに割り当てられ、アカウントが有効な場合は、アカウントにも割り当てることができます。ユーザーには各セキュリティ・グループおよびアカウントに応じ特定のレベルの権限(読取り、書込み、削除または管理)が割り当てられ、これによりユーザーは、アイテムのセキュリティ・グループおよびアカウントへの権限の範囲内でコンテンツ・アイテムを操作できます。コンテンツ・サーバー内部のユーザー、グループ、およびアカウントの詳細は、「ユーザー・タイプ、ログインおよびエイリアスの管理」、「セキュリティ・グループ、ロール、および権限の管理」、および「アカウントの管理」を参照してください。
アクセス制御リスト(ACL)がコンテンツ・サーバー・インスタンス用に構成され、エンタープライズレベル・システム上のユーザーへのコンテンツ・アクセスの拡張された制御を提供します。アクセス制御リストは、ユーザー、グループまたはエンタープライズ・ロールのリストであり、コンテンツ・アイテムに対するアクセス権限または操作権限が指定されています。詳細は、「アクセス制御リストのセキュリティの管理」を参照してください。
管理者はコンテンツ・サーバーの初期ユーザーとコンテンツのセキュリティを、ユーザー管理アプリケーションを使用して設定し、ユーザー・ロール、グループへの権限およびアカウントを定義します。次に、管理者はOracle WebLogic Server管理コンソールを使用してユーザーを作成し、各ユーザーを1つ以上のコンテンツ・サーバーのロールに割り当てると、セキュリティ・グループに対する特定の権限が割り当てられます。アカウントがコンテンツ・サーバー・システムで有効な場合、管理者は特定のアカウントに対する特定の権限をユーザーに割り当てることができ、これにより、割り当てられたロールを介して付与される可能性のある権限を制限できます。
ユーザーの詳細は、「ユーザー・タイプ、ログインおよびエイリアスの管理」を参照してください。セキュリティ・グループ、ロールおよび権限については、「セキュリティ・グループ、ロール、および権限の管理」を参照してください。アカウントの詳細は、「アカウントの管理」を参照してください。
次のコンポーネントも、追加の内部コンテンツ・サーバー・セキュリティを提供するために使用できます。
ExtranetLookコンポーネントを使用して、ユーザー・アクセスのセキュリティをカスタマイズできます。このコンポーネントはコンテンツ・サーバーとともにインストールされて有効化されます。詳細は、「ログイン/ログアウトのカスタマイズ」を参照してください。
注意:
ExtranetLookコンポーネントはOracle WebLogic Serverドメインがコンテンツ・サーバー・インスタンスのサーバーとして使用されている場合には適用できません。セキュリティの実装の変更は、Oracle WebLogic Serverドメインおよび管理構成を直接カスタマイズすることで制御できます。
NeedtoKnowコンポーネントを使用して、ユーザー・アクセスおよび検索結果のセキュリティをカスタマイズできます。このコンポーネントを使用すると、ユーザー・アクセスの制限の追加構成、検索結果の表示の変更、検索動作の変更、およびヒット・リスト・ロールの設定を実行できます。このコンポーネントを使用するには、これをインストールして有効化する必要があります。
Internet Explorer 7では、安全な接続を使用しないBasic認証でログインしているユーザーに対して、次のメッセージが表示されることに注意してください。
Warning: This server is requesting that your username and password be sent in an insecure manner
この動作(ユーザー名とパスワードのテキストでの送信)は、Basic認証では新しいことではなく、問題は発生しません。
WebCenter Contentでは追加の認証方式を組み合せることができます。たとえば、Oracle WebLogic Server管理コンソールを使用してユーザーを定義して、一部のユーザーにはMicrosoftドメインのIDを使用したログインを許可し、その他のユーザーには外部のLightweight Directory Access Protocol (LDAP)資格証明に基づいてコンテンツ・サーバー・インスタンスへのアクセス権を付与できます。しかし、認証はOracle WebLogic Serverを介して構成されるので、方式の組合せには制限があります。ユーザーは複数の認証ストアに対し認証できますが、Oracle Platform Security Services (OPSS)とOracle WebLogic Serverの統合により、認証(グループ)情報を抽出するために使用できるのは、構成済みユーザー・ストアのうちいずれか1つのみです。
注意:
11g リリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、Oracle Internet Directory (OID)とActive Directoryの両方をユーザーおよびロール情報のソースとして使用できます。Oracle WebLogic Server上での複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
次のオプションを使用して、追加のセキュリティを提供できます。
SecurityProvidersコンポーネントを使用して、暗号化されたソケット通信および認証をサポートするようにセキュリティをカスタマイズできます。このコンポーネントはデフォルトでWebCenter Contentとともにインストールされ、有効化されます。このコンポーネントは、ソケットまたはサーバー認証用の証明書を使用するように構成できるSecure Sockets Layer (SSL)プロバイダを有効化します。
WebCenter Contentへの接続にSSLおよびHTTPSを使用していて、WebDAVを介して接続できない場合は、WebDAV接続文字列に使用したのと同じURLを使用してブラウザからコンテンツ・サーバー・インスタンスへの接続を試行してください。これにより、暗号化に使用する証明書に問題があるかどうかが確認できます。証明書に問題があることを示すダイアログ・ボックスが表示された場合は、問題を解決して、WebDAVを介した接続を再試行します。
ユーザーが異なるWebサーバーのフロント・エンド(一方のサーバーのフロント・エンドがHTTPSでもう一方はHTTP)を使用してコンテンツ・サーバー・インスタンスにアクセスできるようにする場合は、BrowserUrlPathコンポーネントを使用してコンテンツ・サーバーの構成をカスタマイズできます。このコンポーネントはデフォルトでWebCenter Contentとともにインストールされて無効化され、HTTPSを使用するWebサーバーのフロント・エンドと、HTTPホスト・ヘッダーとして転送されるロード・バランサをサポートします。1つのアクセス方式のみ(HTTPSのみまたはHTTPのみ)を使用する場合や、ブラウザからのホスト・パラメータをブロックするロード・バランサを使用していない場合は、このコンポーネントは必要ありません。詳細は、「ブラウザURLのカスタマイズ」を参照してください。
拡張セキュリティ属性は外部ユーザーまたは特定のアプリケーションのユーザーに割り当てることができます。拡張属性は既存のユーザー属性とマージされ、ユーザーの管理の柔軟性を向上させることができます。詳細は、「拡張ユーザー属性」を参照してください。
すべての環境で、組織のセキュリティの要望と、完全な計画フェーズを包括的に理解することは、セキュリティの統合の成功にとって非常に重要です。