27 ポリシーおよび資格証明ストアの構成

この章では、Oracle Internet Directory (OID)などの外部LDAPサーバーを使用するようにポリシーおよび資格証明ストアを構成する方法について説明します。

WebCenter Portalを最初にインストールすると、データベースを使用するためにポリシーおよび資格証明ストアが構成されます。本番環境では、デフォルトのデータベースまたは外部LDAP (Oracle Internet Directory 11gR1または10.1.4.3)を使用するようにポリシーおよび資格証明ストアが構成されている必要があります。HA環境または本番環境では、ファイルベースのLDAPの使用を試みないでください。

ポリシーおよび資格証明ストアをOIDと再度関連付けるには、LDAPディレクトリにルート・ノードを作成し、Fusion Middleware Controlを使用して、またはWLSTを使用してコマンド行から、ポリシーおよび資格証明ストアをOIDサーバーと再度関連付けます。ポリシーおよび資格証明ストアを再度関連付けて外部LDAPベースのストアを使用する際は、同じLDAPサーバーを使用するように資格証明ストアとポリシー・ストアを構成する必要があることに注意してください。ただし、アイデンティティ・ストアは、サポートされている他の任意のLDAPサーバーを使用することができ、ポリシー・ストアや資格証明ストアと同じLDAPサーバーを使用する必要はありません。トラブルシューティングの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の再関連付けの失敗に関する項を参照してください。

注意:

ポリシー・ストアを再度関連付ける前に、次の関連する構成ファイルを必ずバックアップしてください。

• jps-config.xml

• system-jazn-data.xml

念のため、ドメインの管理サーバーのboot.propertiesファイルもバックアップしてください。

この章の内容は次のとおりです。

• ルート・ノードの作成

• Fusion Middleware Controlを使用した資格証明およびポリシー・ストアの再関連付け

• WLSTを使用した資格証明およびポリシー・ストアの再関連付け

• 資格証明の管理

• ユーザーおよびアプリケーション・ロールの管理

• WebCenter Portalにおける招待による自己登録の構成

• ポリシー・ストアのリフレッシュ間隔および他のキャッシュ設定の設定

権限

この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。

「管理操作、ロールおよびツールの理解」も参照してください。

27.1 ルート・ノードの作成

ポリシーおよび資格証明ストアをOIDと再度関連付ける際の最初のステップでは、LDAPディレクトリでLDIFファイルを作成し、すべてのデータを追加するルート・ノードを追加します。ルート・ノードを作成するには、『Oracle Platform Security Servicesによるアプリケーションの保護』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の手順に従います。ファイルを作成してノードを追加したら、Fusion Middleware ControlまたはWLSTを使用してストアを再度関連付けます。

27.2 Fusion Middleware Controlを使用した資格証明およびポリシー・ストアの再関連付け

ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、『Oracle Platform Security Servicesによるアプリケーションの保護』のLDAPベースのセキュリティ・ストアを使用する場合の前提条件に関する項の説明に従って、まずルート・ノードを作成する必要があります。ルート・ノードを作成したら、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlを使用した再関連付けに関する項の手順に従います。再関連付けが失敗した場合は、『Oracle Platform Security Servicesによるアプリケーションの保護』の再関連付けの失敗に関する項を参照してください。

27.3 WLSTを使用した資格証明およびポリシー・ストアの再関連付け

ポリシーおよび資格証明ストアをOracle Internet Directoryに再度関連付ける前に、『Oracle Platform Security Servicesによるアプリケーションの保護』のLDAPポリシー・ストアを使用する場合の前提条件に関する項の説明に従って、まずルート・ノードを作成する必要があります。再関連付けが失敗した場合は、『Oracle Platform Security Servicesによるアプリケーションの保護』の再関連付けの失敗に関する項を参照してください。

WLSTを使用して資格証明およびポリシー・ストアを再度関連付ける手順は次のとおりです。

1. 「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
2. 次のコマンドを使用して、ターゲット・ドメインの管理サーバーに接続します。

   connect('username>,'password', 'host_id:port')
   

   ここで:

   • usernameは、管理サーバーへのアクセスに使用される管理者のアカウント名です(例: weblogic)。

   • passwordは、管理サーバーへのアクセスに使用される管理者のパスワードです(例: weblogic)。

   • host_idは、管理サーバーのサーバーIDです(例: example.com)。

   • portは、管理サーバーのポート番号です(例: 7001)。

3. reassociateSecurityStoreコマンドを使用して、ポリシーおよび資格証明ストアを再度関連付けます。

   reassociateSecurityStore(domain="domain_name", admin="admin_name", password="password", 
   ldapurl="ldap_uri", servertype="ldap_srvr_type", jpsroot="root_webcenter_xxxx")
   

   ここで:

   • domain_nameには、再関連付けを行うドメイン名を指定します。

   • admin_nameには、LDAPサーバー上の管理者のユーザー名を指定します。フォーマットは、cn=usrNameです。

   • passwordには、引数adminに指定されたユーザーに関連付けられたパスワードを指定します。

   • ldap_uriには、LDAPサーバーのURIを指定します。書式は、デフォルト・ポートを使用する場合はldap://host:port、セキュアLDAPポートを使用する場合はldaps://host:portになります。セキュア・ポートは、匿名SSL接続を処理するように構成されていることが必要で、デフォルトの(非セキュアな)ポートとは異なります。

   • ldap_srvr_typeには、ターゲットLDAPサーバーの種類を指定します。Oracle Internet DirectoryのOIDを指定します。

   • root_webcenter_xxxxには、全データを移行するターゲットLDAPリポジトリのルート・ノードを指定します。必ず、cn=を含めてください。フォーマットは、cn=nodeNameです。

   すべての引数が必要です。例:

   reassociateSecurityStore(domain="myDomain", admin="cn=adminName", password="myPass", ldapurl="ldaps://myhost.example.com:3060", servertype="OID", jpsroot="cn=testNode")

27.4 資格証明の管理

管理者は、Fusion Middleware Controlを使用して、WebCenter Portalドメイン資格証明ストアの資格証明を管理できます。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlでの資格証明の管理に関する項を参照してください。

27.5 ユーザーおよびアプリケーション・ロールの管理

この項では、Fusion Middleware Control、WLST、およびWebCenter Portalの実行時管理ページを使用して、ユーザー・ロールとアプリケーション・ロールを管理する方法を説明します。

この項には次のサブセクションが含まれます:

• WebCenter Portal管理者ロールの付与

• アプリケーション・ロールの付与

• 実行時管理ページの使用

27.5.1 WebCenter Portal管理者ロールの付与

WebCenter Portalは、最初のオーセンティケータによってマップされたアイデンティティ・ストア内のユーザーのみを認識します。WebCenter Portal管理者アカウントは当初は組込みのLDAPサーバーにのみ作成されるため、Oracle Internet Directoryなどの外部LDAPをWebCenter Portalのプライマリ・オーセンティケータとして構成する場合は、そのLDAP内にユーザーを作成し、そのユーザーにWebCenter Portal管理者ロールを付与する必要もあります。

次の項の説明に従って、Fusion Middleware ControlまたはWLSTを使用してWebCenter Portal管理者ロールをユーザーに付与できます。

• Fusion Middleware Controlを使用したWebCenter Portal管理者ロールの付与

• WLSTを使用したWebCenter Portal管理者ロールの付与

27.5.1.1 Fusion Middleware Controlを使用したWebCenter Portal管理者ロールの付与

この項では、WebCenter Portal管理者ロールをデフォルトのweblogicアカウント以外のユーザー・アカウントに付与する方法について説明します。

Fusion Middleware Controlを使用してWebCenter Portal管理者ロールを付与する手順は次のとおりです。

1. Fusion Middleware Controlにログインし、WebCenter Portalホームページに移動します。

   「WebCenter Portalのホームページへの移動」を参照してください。

2. 「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。

   「アプリケーション・ロール」ページが開きます(図27-1を参照)。

   図27-1 「アプリケーション・ロール」ページ

   
   「図27-1 「アプリケーション・ロール」ページ」の説明

3. WebCenter Portal管理者ロールを検索します。

   • 「ロール名」フィールドに、管理者ロールの次の内部識別子を入力して、「検索」(矢印)アイコンをクリックします。

     s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
     

   検索の結果として、管理者ロールの識別子であるs8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administratorが返されます。

4. 検索結果から管理者ロールの識別子をクリックし、「編集」をクリックします。

   アプリケーション・ロールの編集ページが開きます(図27-2を参照)。

   図27-2 「アプリケーション・ロールの編集」ページ

   
   「図27-2 「アプリケーション・ロールの編集」ページ」の説明

5. 「メンバー」セクションから、「追加」をクリックします。

   「プリンシパルの追加」ダイアログが開きます(図27-3を参照)。

   図27-3 「プリンシパルの追加」ダイアログ

   
   「図27-3 「プリンシパルの追加」ダイアログ」の説明

6. 管理者ロールを割り当てるユーザーを検索します。

   1. 「タイプ」ドロップダウンから、「ユーザー」を選択します。

   2. ユーザー名の一部またはユーザー名の最初の文字が含まれるように「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。

   3. オプションで、「ユーザー」を選択した場合は、「拡張オプション」セクションから「プリンシパル名をここに入力する場合に選択します」オプションを選択して、「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。

   4. 「OK」をクリックします。

      「プリンシパルの追加」ダイアログが閉じ、ユーザー名がメンバーのリストに追加されます。

7. 「アプリケーション・ロールの編集」ページからweblogicロールを削除するには、ロールを選択して「削除」をクリックし、確認ダイアログで「はい」をクリックします。

8. 「アプリケーション・ロールの編集」ページで、「OK」をクリックします。

27.5.1.2 WLSTを使用したWebCenter Portal管理者ロールの付与

WLSTを使用して別のユーザーにWebCenter Portal管理者ロールを付与する手順は次のとおりです。

1. 「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
2. 次のコマンドを使用して、ターゲット・ドメインのWebCenter Portal管理サーバーに接続します。

   connect('user_name','password, 'host_id:port')
   

   ここで:

   • user_nameは、管理サーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。

   • passwordは、管理サーバーにアクセスするためのパスワードです。

   • host_idは、管理サーバーのホストIDです。

   • portは、管理サーバーのポート番号です(例: 7001)。

3. 次に示されているように、grantAppRoleコマンドを使用して、Oracle Internet DirectoryのユーザーにWebCenter Portal管理者アプリケーション・ロールを付与します。

   grantAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator",
   principalClass="weblogic.security.principal.WLSUserImpl", principalName="wc_admin")
   

   wc_adminは、作成する管理者アカウントの名前です。

4. 新しいアカウントをテストするには、新しいアカウント名を使用してWebCenter Portalにログインします。

   「管理」リンクが表示され、管理者の操作をすべて実行できます。

5. 新しいアカウントにWebCenter Portal管理者ロールを付与したら、WLST revokeAppRoleコマンドを使用して、このロールが不要になったアカウントからこれを削除します。たとえば、weblogic以外の管理者ユーザー名を使用してWebCenter Portalがインストールされている場合は、管理者ロールはそのユーザーに付与し、デフォルトのweblogicからは削除する必要があります。

   revokeAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator", 
   principalClass="weblogic.security.principal.WLSUserImpl", principalName="weblogic")

27.5.2 アプリケーション・ロールの付与

この項では、Fusion Middleware ControlおよびWLSTコマンドを使用してアプリケーション・ロールにユーザーを追加する方法について説明します。

この項では、次の項目について説明します。

• Fusion Middleware Controlを使用したアプリケーション・ロールの付与

• WLSTを使用したアプリケーション・ロールの付与

27.5.2.1 Fusion Middleware Controlを使用したアプリケーション・ロールの付与

この項では、Fusion Middleware Controlを使用してユーザーにアプリケーション・ロールを付与する方法を説明します。

1. Fusion Middleware Controlにログインし、WebCenter Portalのホームページに移動します。詳細は、「WebCenter Portalのホームページへの移動」を参照してください。

2. 「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。

   「アプリケーション・ロール」ページが開きます(図27-1を参照)。

   図27-4 「アプリケーション・ロール」ページ

   
   「図27-4 「アプリケーション・ロール」ページ」の説明

3. 「ロール名」フィールドに、webcenterと入力してWebCenter Portalのすべてのアプリケーション・ロールを検索するか、ロールの名前を入力し(例: appConnectionManager)、「検索」(矢印)アイコンをクリックします。

   名前がはっきりわからない場合は、部分検索語を入力するか、フィールドを空白のままにして、すべてのアプリケーション・ロールを表示します。

   「アプリケーション・ロール」ページが開きます(図27-5を参照)。

   図27-5 「アプリケーション・ロール」ページ

   
   「図27-5 「アプリケーション・ロール」ページ」の説明

4. ユーザーを追加するロールを選択し、「編集」をクリックします(図27-6を参照)。

   たとえば、パブリック・ロールにユーザーを追加するには、行「パブリック・ロール」を選択します。

   図27-6 ロール名の検索結果

   

5. 選択したロールに対して開く「アプリケーションの編集」ページで、「追加」をクリックします(図27-7を参照)。

   図27-7 「アプリケーション・ロールの編集」ページ

   
   「図27-7 「アプリケーション・ロールの編集」ページ」の説明

6. 開いている「プリンシパルの追加」ダイアログで(図27-3を参照)、ユーザーを検索します。

   1. 「タイプ」ドロップダウンから、「ユーザー」を選択します。

   2. ユーザー名の一部またはユーザー名の最初の文字が含まれるように「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。

   3. 「検索済プリンシパル」表からユーザー名を選択し、「OK」をクリックします。

      「プリンシパルの追加」ダイアログが閉じ、アプリケーション・ロールの編集ページでアプリケーション・ロールのメンバーのリストにユーザー名が追加されます(図27-8を参照)。

      図27-8 アプリケーション・ロールに追加されたユーザー

      

7. 「アプリケーション・ロールの編集」ページで、「OK」をクリックします。

8. WebCenter Portal (WC_Portal)管理対象サーバーを再起動します。

27.5.2.2 WLSTを使用したアプリケーション・ロールの付与

grantAppRoleコマンドを使用して、ユーザーにアプリケーション・ロールを付与します。構文および使用状況の詳細は、『WebLogic Server WLSTコマンド・リファレンス』のgrantAppRoleに関する項を参照してください。

27.5.3 実行時管理ページの使用

管理者はWebCenter Portalの「セキュリティ」タブを使用して、アプリケーション・ロールを定義し、アイデンティティ・ストアで定義されたユーザーにアプリケーション・ロールを付与できます。WebCenter Portalでのユーザーとアプリケーション・ロールの管理の詳細は、「ユーザーおよびアプリケーション・ロールの管理」を参照してください。

注意:

「パスワード変更の許可」プロパティは、ユーザーがWebCenter Portal内で各自のパスワードを変更できるかどうかを指定しますが、これは企業のアイデンティティ・ストアで慎重に管理する必要があります。WebCenter Portal管理者はWebCenter Portalのプロファイル管理設定のページからこのプロパティを設定できます。詳細は、「プロファイルの構成」を参照してください。

27.6 WebCenter Portalにおける招待による自己登録の構成

「招待者限定の自己登録の有効化」に記載されているように、WebCenter Portalは招待による自己登録をサポートします。招待による自己登録機能では、WebCenter Portalドメイン資格証明ストアに次のパスワード資格証明が含まれていることが必要です。

• map name = o.webcenter.security.selfreg

• key= o.webcenter.security.selfreg.hmackey

• user name = o.webcenter.security.selfreg.hmackey

WebCenter Portal管理で「招待を介した自己登録の許可」を有効にするには、Fusion Middleware ControlまたはWLSTコマンドcreateCredを使用して、前述のパスワード資格証明を作成します。例:

createCred(map="o.webcenter.security.selfreg", key="o.webcenter.security.selfreg.hmackey", type="PC", 
user="o.webcenter.security.selfreg.hmackey", password="<password>", url="<url>", port="<port>", [desc="<description>"])

詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のWLSTコマンドでの資格証明の管理に関する項を参照してください。

27.7 ポリシー・ストアのリフレッシュ間隔および他のキャッシュ設定の設定

この項では、インストール後に構成する必要がある推奨キャッシュ設定を示します。キャッシュ・サイズと最大グループ階層の設定は特定の環境に基づく必要がありますが、次の項では開始点として使用できる推奨事項を示します。WebCenter Portalのチューニング・パラメータと推奨値の全リストは、『パフォーマンスのチューニング』のOracle WebCenter Portalパフォーマンスのチューニングに関する項を参照してください。

この項には次のトピックが含まれます:

• ポリシー・ストアのリフレッシュ間隔の設定

• 接続プール・キャッシュの設定

• ユーザー・キャッシュ設定の設定

• グループ・キャッシュ設定の設定

27.7.1 ポリシー・ストアのリフレッシュ間隔の設定

WebCenter Portalが使用する認可ポリシーでは、デフォルトのポリシー・リフレッシュ時間が10分間のインメモリー・キャッシュを使用します。マルチノードの高可用性環境でポータルを作成する場合、ノード障害の際にポリシー・データをより迅速にレプリケートする必要があるときは、ドメインレベルのjps-config.xmlファイルを変更して次のエントリを追加することでポリシー・ストアのリフレッシュ間隔を短くすることができます。

oracle.security.jps.ldap.policystore.refresh.interval=<time_in_milli_seconds>

これはPDPサービス・ノードに追加する必要があります。

<serviceInstance provider="pdp.service.provider" name="pdp.service">

サーバーのキャッシュされたポリシーのリフレッシュ頻度はパフォーマンスに影響を与える可能性があるため、ポリシーのリフレッシュ間隔は過度に短く設定しないでください。

jps-config.xmlファイルを変更したら、ドメイン内の全サーバーを再起動します。詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のポリシー・キャッシュのリフレッシュに関する項を参照してください。

27.7.2 接続プール・キャッシュの設定

この項では、接続プール・キャッシュの推奨設定を説明します。

接続プール・キャッシュを設定する手順は次のとおりです。

1. WLS管理コンソールにログインします。
2. 「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。
3. 接続プール・キャッシュのパラメータを次の推奨値に設定します。

   • 接続プール・サイズ = 最大接続ユーザー数

   • 接続タイムアウト = 30

   • 接続再試行制限 = 1

   • 結果タイム・リミット = 1000

   • キープアライブの有効化 = true

4. 変更を保存し、ドメイン内のすべてのサーバーを再起動します。

27.7.3 ユーザー・キャッシュ設定の設定

この項では、ユーザー・キャッシュ設定の推奨設定を説明します。

ユーザー・キャッシュ設定を設定する手順は次のとおりです。

1. WLS管理コンソールにログインします。
2. 「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「構成」→「プロバイダ固有」を選択します。
3. ユーザー・キャッシュのパラメータを次の推奨値に設定します。

   • キャッシュの有効化 = true

   • キャッシュ・サイズ = 3200

   • キャッシュTTL = session timeout

   • 結果タイム・リミット = 1000

   • キープアライブの有効化 = true

4. 変更を保存し、ドメイン内のすべてのサーバーを再起動します。

27.7.4 グループ・キャッシュ設定の設定

この項では、グループ・キャッシュ設定の推奨設定を説明します。

グループ・キャッシュ設定を設定する手順は次のとおりです。

1. WLS管理コンソールにログインします。
2. 「セキュリティ・レルム」→[realm]→「プロバイダ」→[provider]→「パフォーマンス」を選択します。
3. グループ・キャッシュのパラメータを次の推奨値に設定します。

   • グループ・メンバーシップ・ルックアップの階層キャッシュを有効化 = true

   • キャッシュ・サイズ = 3200

   • キャッシュ内の最大グループ階層数 = 1024

   • グループ階層キャッシュTTL = session timeout

   • キープアライブの有効化 = true

4. 変更を保存し、ドメイン内のすべてのサーバーを再起動します。