23 ヒューマン・ワークフローのサービス・コンポーネントとエンジンの構成
デモ・ユーザー・コミュニティというユーザーとグループの組織階層のインストールと使用の詳細は、「データベースへのデモ・ユーザー・コミュニティのインストール」を参照してください。
ヒューマン・ワークフローのチューニングとパフォーマンス・プロパティの詳細は、パフォーマンスのチューニングを参照してください。
ヒューマン・ワークフロー通知プロパティの構成
ヒューマン・ワークフロー通知プロパティを構成できます。これには、メッセージに対する通知モードの設定やアクション可能なアドレスの設定などがあります。このプロパティは、タスクの状態の変化をユーザーに通知するために使用されます。
ワークフロー通知では、次の3つのタイプのアドレスを使用できます。
-
通知の送信用の送信元アドレス。
-
アクション可能なレスポンスの受信用のアクション可能なアドレス。
-
返信通知の受信用の返信先アドレス。
ヒューマン・ワークフロー通知プロパティを構成するには:
- Oracle Enterprise Manager Fusion Middleware Controlにログインします。
-
「ワークフロー通知プロパティ」ページに、次のいずれかの方法でアクセスします:
SOAインフラストラクチャのメニューから... ナビゲータのSOAフォルダから... -
「SOA管理」→「ワークフロー・プロパティ」→「メーラー」タブの順に選択します。
-
「soa-infra」を右クリックします。
-
「SOA管理」→「ワークフロー・プロパティ」→「メーラー」タブの順に選択します。
-
-
「通知モード」を選択します:
-
すべて: 電子メール、ショート・メッセージ・サービス(SMS)およびインスタント・メッセージ(IM)の各チャネルが構成され、通知は任意の使用チャネルを介して送信されます。
-
なし: 通知メッセージ送信するためのチャネルは構成されません。これがデフォルトの設定です。
-
電子メール: 通知メッセージを送信するために電子メール・チャネルのみが構成されます。
-
-
通知チャネルの値を指定します。
フィールド 説明 例 電子メール: 送信者アドレス
エンド・ユーザーが通知を受信する送信電子メール・アドレスを入力します。
指定するアドレスは、Oracle User Messaging Serviceの「電子メール・ドライバ・プロパティ」ページで指定したデフォルトの送信者アドレスおよび送信者アドレスと一致する必要があります。
ノート: 送信電子メール・アドレスが受信メッセージも受信するように構成されている場合は、エラー・メッセージのみ受信できます。これによって、不適切または存在しない電子メール・アドレスからのエラー・メッセージがサーバーによってキャプチャされます。「電子メール: 返信先アドレス」フィールドで別の受信アカウントを構成しても、エラー・メッセージはサーバー・ログに表示されません。
「電子メール・ドライバ・プロパティ」ページで、送信者アドレスに送信電子メール・アドレスを指定することがベスト・プラクティスです。
workflow.notifications@mycompany.com
電子メール : アクション可能なアドレス
タスク・アクションを実行するための受信電子メール・アドレスを入力します。このアクション可能な電子メール・アカウントは、ヒューマン・ワークフローによって受信し処理するタスク・アクション関連電子メールです。
指定するアドレスは、Oracle User Messaging Serviceの「電子メール・ドライバ・プロパティ」ページで指定した受信者アドレスと一致する必要があります。
workflow.actions@mycompany.com
電子メール: 返信先アドレス
Oracle SOA Suiteから送信された電子メールに表示するアドレスを入力します。
no.reply@mycompany.com
などのダミー・アドレスか、または有効なアドレスを入力できます。有効なアドレスを入力し、このアドレスを「メッセージング・ドライバ」ページで構成していた場合、ユーザーがアクション可能な電子メール・アドレスに返信すると、ヒューマン・ワークフローにより、使用方法が正しいことを示す電子メールが自動的に送信されます。これは、別の受信電子メール・アカウントです。「電子メール・ドライバ・プロパティ」ページで、この電子メール・アカウントをアクション可能な電子メール・アドレス以外のアドレスに設定することがベスト・プラクティスです。(これをアクション可能な電子メール・アドレスと同じアドレスに設定すると、電子メール通知への自動返信または何らかの返信がワークフロー・エンジンによって処理され、未承諾の電子メールとして返されることがあります)。
workflow.no.reply@mycompany.com
-
「適用」をクリックします。
-
システムMBeanブラウザで拡張通知プロパティを構成するには、「詳細ワークフロー通知構成プロパティ」をクリックします。表示されるプロパティの一部を次に示します:
-
「ASNSDriverIMAddress」: 受信インスタント・メッセージ(IM)を受信するアドレス。
-
「CustomNSDriverPropertyNames」: カスタム通知サービス・プロパティ名を返します。
-
「FaxCoverPageCount」: 構成されたFAXの表紙のページ数を返します。
-
「RetryNotificationMessageThrottle」: 通知の再試行サイクル時に処理可能な電子メール通知メッセージの数。詳細は、「電子メール通知メッセージの数の構成」を参照してください。
-
-
使用環境に適した変更を行います。
ノート:
IMメッセージにアクション可能と思われるコンテンツが含まれている場合、そのメッセージ内からタスクを操作しても、アクションは実行されません。たとえば、次のIMメッセージでタスクを操作しても、アクションは実行されません。
Help desk request for wfaulk Task Help desk request for wfaulk requires your attention. NOTE: You can act on the task by copy-pasting one of following lines as your response. RESOLVED : [[NID]] : Pt12uRUu9H+Xem4NYS2o7dKDtqNLs42d4YIs8ySO8Gn0ZVYFsb1SQVenRukRE+ IcE7c4XDb+tPazvP v9T2iA0qylDg0bTaVxX13HhsrCYAg= : [[NID]] UNRESOLVED : [[NID]] : xT9l06rbaGRAey+BtgQyJIXk62mkFtCe7ocKxwNLIsPzyE5/7AnGwXlBodEgQxr6 jorvsw2F54k/C1 r5mvyAJpAp4I4IekOHi4qhQ3eSbBHdzET1IL4F3qV/KZ/BAUsq : [[NID]]
送信メッセージが適切な宛先に到着していることのテストを含む、ヒューマン・ワークフローにおける電子メール経由の受信および送信通知の管理の詳細は、「送信通知および受信電子メール通知の管理」を参照してください。
テスト・アドレスに通知を送信する通知サービスの構成
本番用のアドレスではなくテスト・アドレスにすべての通知を送信するように、Oracle Human Workflow通知サービスを構成できます。
Oracle Enterprise ManagerのシステムMBeanブラウザを使用して、通知サービスを構成します。
テスト・アドレスに通知を送信するように通知サービスを構成するには:
- Oracle Enterprise Manager Fusion Middleware Controlにログインします。
-
次のいずれかの方法で、システムMBeanブラウザに移動します:
SOAインフラストラクチャのメニューから... ナビゲータのSOAフォルダから... -
「管理」→「システムMBeanブラウザ」を選択します。
-
「soa-infra」を右クリックします。
-
「管理」→「システムMBeanブラウザ」を選択します。
-
-
「システムMBeanブラウザ」ナビゲータ・ペインで「検索」アイコンをクリックして、HWFMailerConfig Mbeanを検索します。「検索」リストで「MBean名」を選択し、リストの右側のテキスト・ボックスに
HWFMailerConfig
と入力します。「検索」矢印をクリックします。対応する情報が右のペインに表示されます。
-
「操作」ページを選択します。テスト・アドレスを設定するには:
-
「操作」ページで、「addTestNotificationAddress」を選択します。「操作: addTestNotificationAddress」ページが表示されます。
-
「パラメータ」表の「チャネル」行の「値」列で、通知の送信に使用するチャネルを指定します。たとえば、電子メール、SMS、IMなどです。
-
「パラメータ」表の「testNotificationAddress」行の「値」列に、テスト受信者のアドレス(たとえば、
testAddress@yourDomain.com
)を入力します。 -
「起動」をクリックします。
-
変更を有効にするには、SOAサーバーを停止して再起動する必要があります。
「Enterprise Manager」通知管理画面では、元の電子メール・アドレスが送信先アドレスとして表示されたままになります。
テスト・ユーザーは、アクション可能なすべての電子メールに返信できます。テスト電子メール・アドレスは、返信電子メール処理の一部として検証されるように、アイデンティティ・ストアのユーザーに属するようにしてください。
テスト・アドレスで通知サービスが開始され、受信者アドレスがテスト・アドレスに切り替えられると、ログに警告が記録されます。これは、テスト通知アドレスの不適切な構成を特定するのに役立ちます。
-
ヒューマン・ワークフロー・タスク・サービス・プロパティの構成
アクション可能な電子メール・アカウント名の割当て、ワークフロー・セッションのタイムアウトとカスタム・クラスパスURLのプロパティ値の指定、割当てサービスの動的割当てとタスク・エスカレーション関数の構成、およびヒューマン・ワークフロー・プロパティの追加設定を実行できます。
Dynamic Assignment Functionでは、グループまたはアプリケーション・ロールから、あるいはユーザー、グループまたはアプリケーション・ロールのリストから、特定のユーザー、グループまたはアプリケーション・ロールが選択されます。特定のDynamic Assignment Functionに固有の基準に基づいて選択されます。
ヒューマン・ワークフロー・タスク・サービス・プロパティを構成するには:
- Oracle Enterprise Manager Fusion Middleware Controlにログインします。
-
「ワークフロー・タスク・サービス・プロパティ」に、次のいずれかの方法でアクセスします:
SOAインフラストラクチャのメニューから... ナビゲータのSOAフォルダから... -
「SOA管理」→「ワークフロー・プロパティ」→「タスク」タブの順に選択します。
-
「soa-infra」を右クリックします。
-
「SOA管理」→「ワークフロー・プロパティ」→「タスク」タブの順に選択します。
「ワークフロー・タスク・サービス・プロパティ」ページの上部には、「アクション可能な電子メール・アカウント」のフィールドと事前定義されたDynamic Assignment Functionが表示されます。
-
-
次の詳細を入力します。
関数 説明 アクション可能な電子メール・アカウント
使用するアクション可能な受信電子メール・アカウントを入力します。
デフォルトのアカウント名は、Default (「ヒューマン・ワークフロー通知プロパティの構成」で構成したアカウント)です。別のアカウント名をこのフィールドに指定する場合は、「複数の送信アドレスの構成」の説明に従ってアカウントを作成し、構成してください。
ワークフロー・サービス・セッション・タイムアウト
Oracle BPM Worklistにログインしたユーザーが、セッションが失効して再度ログインが必要になるまでの、非アクティブの状態でいることができる時間の長さを入力します。この値は、
TaskQueryService
認証方法のいずれかを使用して作成された認証セッションにも適用されます。ワークフロー・カスタム・クラスパスURL
URLクラスパスを入力します。これは、ワークフロー・サービスが、カスタム動的割当てとタスク・エスカレーション関数、カスタム・コールバックおよびシステム・リソース・バンドル
WorkflowLabels.properties
のカスタマイズされたインスタンスを実装するクラスを参照するために使用されるクラスパスです。クラスパスには任意の有効なURLを指定できます(ローカル・ファイル・パスまたはリモートURL)。クラスパスにはディレクトリまたはJARファイルのいずれかを指定できます。URLにはプロトコルを含める必要があります。ローカル・ファイルシステムのクラスパスの場合は、'file:///example/directory/'のように、fileプロトコルを指定する必要があります。URLがディレクトリを示す場合は、スラッシュ('
/
')文字を含める必要があります。クラスパスは複数のURLで構成することができ、クラスパスの各URLはカンマ(',')で区切ることができます。
-
「動的割当てとタスク・エスカレーション関数」セクションに移動します。
次の表に、Dynamic Assignment Functionの定義を示します。独自の関数を作成してワークフロー・サービスに登録することもできます。
関数 タイプ 説明 MANAGERS_MANAGER
タスク・エスカレーション
この関数は、タスクのマネージャのマネージャを取得します。
ROUND_ROBIN
動的割当て
この関数は、各ユーザー、グループまたはアプリケーション・ロールを順に選択します。この関数では、初期化パラメータ
MAX_MAP_SIZE
が使用されます。このパラメータは、関数がROUND_ROBIN
カウントを維持できる一連のユーザー、グループまたはロールの最大数を指定します。Dynamic Assignment Functionでは、ROUND_ROBIN
関数を実行するように要求される各グループ、ロール(またはユーザー、グループ、ロールのリスト)について、参加者のリストがメモリーに保持されます。LEAST_BUSY
動的割当て
この関数は、現在割り当てられているタスク数が最も少ないユーザー、グループまたはロールを選択します。
MOST_PRODUCTIVE
動的割当て
この関数は、一定期間(デフォルトでは過去7日間)に完了したタスク数が最大のユーザー、グループまたはロールを取得します。この関数は初期化パラメータ
DEFAULT_TIME_PERIOD
を使用します。このパラメータは、生産性を計算する期間(日数)を指定します。この値は、MOST_PRODUCTIVE
Dynamic Assignment Functionのコール時にオーバーライドされます。 -
関数をクリックして、「パラメータ」セクションに、その関数のパラメータと値を表示します。
-
「追加」をクリックして、関数を追加します。次の項目を指定するためのプロンプトが表示されます。
-
関数名
-
クラスパス
-
関数のパラメータ名
-
関数のパラメータ値
-
-
「OK」をクリックします。
-
関数のパラメータ値を更新するには、「動的割当てとタスク・エスカレーション関数」表で関数を選択します。
編集するパラメータ値が表示されます。
-
値を更新します。
-
「拡張」セクションを展開します。
「拡張」セクションには、次のプロパティが表示されます。
次の表に、これらのプロパティの定義を示します。
プロパティ 説明 ワークリスト・アプリケーションURL
タスクを要請する電子メールでは、Oracle BPM Worklistへのリンクが、このプロパティから読み込まれます。
この要素はURLを識別します。カスタムのOracle BPM Worklistを作成する場合は、この要素を構成すると役に立ちます。このURLにある
PC_HW_TASK_ID_TAG
タグは、電子メールにURLを作成するときにタスクIDに置換されます。割当て先のプッシュバック
タスクは、前の承認者または前の割当て先にプッシュバックできます。当初の割当て先は、タスクの再割当てやエスカレートを行っている可能性があるため、承認者ではないことがあります。この要素に対する可能な値は、INITIAL_ASSIGNEESおよびAPPROVERです。
ポータル・レルム・マッピング
このプロパティは、HTTPサーブレット・リクエストのユーザーを、タスク問合せサービス・メソッド
createContext
を介して認証する際(Oracle BPM Worklistがシングル・サインオン(SSO)環境で実行されている場合など)に使用されます。HTTPサーブレット・リクエストには、リモート・ユーザーが属しているアイデンティティ・サービス・レルムに関する情報が含まれていません。このパラメータは、HTTPサーブレット・リクエスト・リモート・ユーザー内のユーザーの認証に使用するレルムを構成するために使用されます。ノート: このプロパティは使用されなくなったため、変更しないでください。
タスク・オート・リリース構成
タスクがグループ、アプリケーション・ロールまたは複数ユーザーに割り当てられると、ユーザーはタスクを実行する前に、そのタスクを獲得する必要があります。獲得されたタスクを他のユーザーが実行することはできません。獲得したが操作しないタスクは、最終的には自動的にリリースされ、他のユーザーが獲得できます。これによって、獲得したタスクが未実行のまま放置されることを防止します。同時に、他のユーザーによるタスクの実行を防止します。タスク・オート・リリースを使用すると、ユーザーがタスクを獲得してから、システムが自動的にそのタスクをリリースして他のユーザーに再度開放するまでの経過時間を構成できます。オート・リリースまでの経過期間は、デフォルトの経過時間として、また指定タスクの有効期間に対する割合として構成できます。オート・リリースまでの経過期間はまた、タスクの優先度に応じて様々に構成できます。
たとえば、優先度2のタスクに対するタスク・オート・リリース経過期間を50%に設定するとします。このタスクのデフォルトの経過期間は12時間です。優先度2のタスクが2日後に失効するように設定すると、このタスクは1日後(失効経過期間の50%)に自動的にリリースされます。このタスクに失効日を設定しない場合、タスクは12時間後(デフォルトのオート・リリース経過期間)に自動的にリリースされます。
-
使用環境に適した変更を行います。
-
「適用」をクリックします。
-
システムMBeanブラウザで拡張タスク・サービス・プロパティを構成するには、「詳細ワークフロー・タスクサービス構成プロパティ」をクリックします。表示される拡張プロパティのリストは、「ヒューマン・ワークフロー通知プロパティの構成」を参照してください。
-
使用環境に適した変更を行います。
タスク・サービスと割当てサービスの詳細は、『Oracle SOAスイートでのSOAアプリケーションの開発』を参照してください。
Oracle HTTP Serverでのタスク・フォームの添付の構成
Oracle HTTP Server (OHS)からタスク・フォームに添付を追加する場合は、場所/ADFAttachmenthelper
をOHS構成に含めます。
たとえば、instance_home
/config/OHS/
ohs_instance
の下にあるOHSのmod_wl_ohs.config
ファイルに次の内容を追加します。
<Location /ADFAttachmentHelper> SetHandler weblogic-handler PathTrim /weblogic ErrorPage http:/WEBLOGIC_HOME:WEBLOGIC_PORT/ </Location>
Oracle Human Workflow通知用のOracle Advanced Queuingの構成
Oracle Human Workflow通知用にOracle Advanced Queuingを構成する方法を理解します。
Oracle Human Workflow通知用にOracle Advanced Queuingを構成するには、Oracle Enterprise Manager Fusion Middleware Controlで、HWFMailer
構成の下にあるマネージドBeanプロパティUseAQ
をTRUE
に設定します。SOAサーバーを再起動します。
サーバーを再起動すると、新しい通知メッセージがOracle Advanced Queuingにエンキューされます。JMSキューに保留中のメッセージは、通知再試行スレッドによってOracle Advanced Queuingにエンキューされます。
プラガブル通知サービスの構成
デフォルトの通知サービス・プロバイダのかわりに、カスタム通知サービスの実装をプラグインおよび使用できます。
カスタム通知サービスは、すべてのチャネルまたは選択した特定のチャネルに対してプラグインできます。たとえば、この通知サービスはデフォルトのSMS通知サービスのかわりに、既存のSMS実装にプラグインできます。
プラガブル通知サービスの実装
通知サービスをプラグインするには、次のタスクのいずれかを実行します。
-
インタフェース
oracle.bpel.services.notification.ICustomNotificationService
を実装します -
抽象クラス
oracle.bpel.services.notification.AbstractCustomNotificationServiceImpl
を拡張します。
このインタフェースには、次のチャネル用のメソッドがあります。
-
電子メール
-
SMS
-
IM
プラグインした通知サービスによって、1つ以上のチャネルのデフォルト・プロバイダをオーバーライドできます。チャネルのサブセットに対するデフォルト実装が、カスタム通知サービスによってオーバーライドされているときは、他のチャネル(オーバーライドされていないチャネル)に対応するメソッドが通知サービスでコールされることはありません。これらのメソッドが返すのは、NULL値のみです。また、この実装によって、次の抽象クラスを拡張できます。
oracle.bpel.services.notification.AbstractCustomNotificationServiceImpl
このクラスは、各チャネルに対して空の実装を提供します。この場合、実装で拡張されるのは適切なチャネルのメソッドのみです。
実装とその依存クラスは、Oracle WebLogic Serverのクラスパスで使用可能であることが必要です。
Oracle BPM Worklistタスクに対するオート・リリース・タイマーのグローバルな無効化
すべてのOracle BPM Worklistタスクに対してオート・リリース・タイマーが有効であるためにデータベースやJVMでオーバーヘッドが発生している場合は、タイマーをグローバルに無効にできます。
Oracle BPM Worklistタスクに対してオート・リリース・タイマーをグローバルに無効にするには:
電子メール通知メッセージの数の構成
通知の再試行サイクル時に処理可能な電子メール通知メッセージの数は、システムMBeanブラウザのRetryNotificationMessageThrottleプロパティを使用して制御できます。このプロパティによって、キュー内のメッセージのオーバーロードを防ぎ、通知メッセージ・ペイロードのメモリー・サイズを縮小できます。
電子メール通知メッセージの数を構成するには:
- Oracle Enterprise Manager Fusion Middleware Controlにログインします。
-
「ワークフロー通知プロパティ」ページに、次のいずれかの方法でアクセスします:
SOAインフラストラクチャのメニューから... ナビゲータのSOAフォルダから... -
「SOA管理」→「ワークフロー・プロパティ」→「メーラー」タブの順に選択します。
-
「soa-infra」を右クリックします。
-
「SOA管理」→「ワークフロー・プロパティ」→「メーラー」タブの順に選択します。
-
-
「詳細ワークフロー通知構成プロパティ」をクリックします。
-
「RetryNotificationMessageThrottle」をクリックします。
-
「値」フィールドに値を入力します。デフォルトは
200000
メッセージです。 -
「適用」をクリックします。
複数の送信アドレスの構成
一部のプロセスでは、電子メールの送信元アドレスに基づいて電子メール通知を区別することが必要な場合があります。たとえば、人事管理のBPELプロセスでは、HR@yourcompany.com
と設定された送信元アドレスを使用して電子メールを送信し、財務のBPELプロセスでは、finance@yourcompany.com
と設定された送信元アドレスを使用して電子メールを送信します。
複数の送信アドレスを構成するには:
通知の再試行の構成
Oracle SOA Suiteは、信頼性のある通知をサポートしています。
アウトバウンド通知では、一意の通知IDを使用して通知メッセージが作成され、そのメッセージと一意のIDはデハイドレーション・ストアに格納されます。次に、この一意のIDがJMSキューにエンキューされ、トランザクションがコミットされます。
このキューをリスニングしているメッセージドリブンBean (MDB)は、メッセージをデキューしてユーザーに通知を送信します。通知に失敗すると、その通知は3回再試行されます。すべての再試行に失敗すると、この通知はエラー発生としてマークされます。
アイデンティティ・サービスの構成
デフォルトでは、アイデンティティ・サービスは、Oracle WebLogic Serverの埋込みLDAPサーバーをデフォルトの認証プロバイダとして使用します。ただし、デフォルトのオーセンティケータとともに、Oracle Internet Directory、Microsoft Active DirectoryまたはOracle iPlanetなどの代替認証プロバイダを使用するようにOracle WebLogicを構成できます。
Oracle WebLogic管理コンソールまたはOracle Directory Services Managerを使用して認証プロバイダを追加し、その認証プロバイダのユーザーとグループを作成する方法を学習します。
複数のLDAP認証プロバイダの構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。
デモ・ユーザー・コミュニティというユーザーとグループの組織階層のインストールと使用の詳細は、「データベースへのデモ・ユーザー・コミュニティのインストール」を参照してください。
ノート:
Oracle Fusion Middlewareでは、カスタム・アイデンティティ・ストアと対話するユーザーおよびロールAPIを有効にするプロバイダがサポートされます。
認証プロバイダの追加
認証プロバイダは、Oracle WebLogic Server管理コンソールを使用してセキュリティ・レルムに追加できます。
認証プロバイダを追加するには:
ユーザー属性の更新
ログイン・ユーザー(ユーザー属性)として電子メール・アドレスを使用するように、Oracle WebLogic Server管理コンソールで認証プロバイダの設定を変更できます。次のステップを実行する必要があります。
複数の認証プロバイダの構成
11.1.1.4以降では、複数のオーセンティケータからのユーザーとグループを認可できます。$DOMAIN_HOME/config/fmwconfig/jps-config.xml
ファイル内のidstore
インスタンスに、次のプロパティを追加します。
<serviceInstance name="idstore.ldap"
provider="idstore.ldap.provider">
............................
<property name="virtualize" value="true"/>
..............................
</serviceInstance>
認証プロバイダのユーザーとグループの作成
認証プロバイダのユーザーとグループは、Oracle WebLogic Server管理コンソールまたはOracle Directory Services Managerを使用して作成できます。
WebLogicコンソールを使用したユーザーの作成
Oracle WebLogic Server管理コンソールを使用して、特定のプロバイダのユーザーを作成したり、ユーザーのメンバーシップを定義できます。
WebLogicコンソールを使用してユーザーを作成するには:
WebLogicコンソールを使用したグループの作成
Oracle WebLogic Server管理コンソールを使用して、特定のプロバイダのグループを作成したり、グループのメンバーシップを定義できます。
WebLogicコンソールを使用してグループを作成するには:
ディレクトリ・サービスの構成
Oracle Internet Directoryを認証プロバイダとして使用する場合は、Oracle Directory Services Managerを使用して、「orclsslinteropmode」属性を「0
」(ゼロ)に設定する必要があります。
ノート:
LDAPサーバーのGUID
属性がバイナリ値に設定されている場合、アイデンティティ・サービスで正しく処理できないため、ユーザーとグループの両方のオブジェクト・クラスに存在し、バイナリ値を持つことができない一意の属性にマップする必要があります。たとえば、cn
属性が一意の場合、これらの要件をいずれも満たしているため、使用できます。
GUID
をjps-config.xml
ファイルのcn
にマップします。
<property value="GUID=cn" name="PROPERTY_ATTRIBUTE_MAPPING"/>
アイデンティティ・ストア属性マッピングの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の「ユーザーおよびロールAPIによる開発」の章を参照してください。
ディレクトリ・サービスを構成するには:
アイデンティティ・プロバイダのカスタマイズ
アイデンティティ・プロバイダをカスタマイズする(自社ソリューションに格納されているユーザーとロールを処理する)には、次のURLを参照してください。
http://www.oracle.com/technetwork/middleware/id-mgmt/overview/index.html
LDAPツールを使用したユーザー、グループおよびアプリケーション・ロールのシード
LDAPツールを使用してユーザー、グループおよびアプリケーションの各ロールをシードするために必要となる手順の概要について確認します。
タスクを作成する場合は、そのタスクに参加して操作するユーザーを割り当てます。実行時に、参加者はOracle BPM Worklistからタスクに対してアクションを実行できます。これらのアクションには、休暇申請の承認、発注の却下、ヘルプ・デスク・リクエストへのフィードバックの提供などがあります。参加者には次の3つのタイプがあります。
-
ユーザー
-
グループ
-
アプリケーション・ロール
詳細は、『Oracle SOAスイートでのSOAアプリケーションの開発』を参照してください。
組込みLDAPサーバーのデフォルト・パスワードの変更
パスワード資格証明には、Oracle WebLogic Server管理コンソールからドメインの「セキュリティ」→「組込みLDAP」の順に選択することによって、アクセスできます。
デフォルトのパスワード資格証明の変更手順については、『Oracle WebLogic Serverセキュリティの管理』の第9章「組込みLDAPサーバーの管理」を参照してください。
LDAPブラウザを介したユーザーまたはグループのシード
LDAPブラウザを介してユーザーまたはグループをシードするには:
-
LDAPブラウザを起動します(たとえば、openLdapブラウザ、ldapbrowser、jXplorerなど)。起動方法は、ブラウザのドキュメントを参照してください。
-
サーバーが実行されているホスト名とポート番号、およびログインする管理ユーザーの資格証明を指定して、LDAPサーバーに接続します。
組込みLDAPの場合
-
管理対象サーバーのデフォルトのポート番号は
7001
です。 -
管理資格証明のユーザー名は
cn=admin
です。 -
管理資格証明パスワードは、「組込みLDAPサーバーでのデフォルト・パスワードの変更」で設定したものです。
OIDmの場合
-
デフォルトのポート番号は
3060
です。 -
管理ユーザー名は
cn=orcladmin
です。 -
管理パスワードはLDAPサーバーのパスワードです。
-
-
ブラウザを介してユーザーまたはグループをシードするには、次のステップを実行します。
-
ユーザーまたはグループを追加する親を選択します。
-
「編集」メニューを選択し、適切なオプションを選択して、新しいエントリを追加します。
-
エントリに必要な属性値をすべて入力します。
-
-
LDIFファイルを介してユーザーまたはグループをシードするには、次のステップを実行します。
-
ユーザーまたはグループをシードするドメインを選択します。
-
「LDIF」メニューを選択し、LDIFファイルのインポートを選択します。
-
LDIFファイルのインポート・ダイアログで、LDIFファイルを参照および選択して、「インポート」をクリックします。
同様に、LDAPサーバーにシードされたユーザーまたはグループは、「LDIF」メニューから「エクスポート」オプションを選択することによって、LDIFファイルにエクスポートできます。
-
-
ユーザーまたはグループに属性を追加するには、次のステップを実行します。
-
新しい属性を追加するエントリを選択します。
-
右クリックしてオプションを選択し、新しい属性を追加します。
-
「属性の追加」ダイアログで、属性の名前と値を指定します。
追加できるのは、LDAPサーバーのスキーマに定義されている属性のみです。
-
-
ユーザーまたはグループの属性を削除するには、次のステップを実行します。
-
新しい属性を削除するエントリを選択します。
-
属性のリストから属性を選択して削除します。
-
WLSTスクリプトを使用したアプリケーション・ロールのシード
WebLogic Scripting Tool (WLST)を使用したアプリケーション・ロールのシードの詳細は、『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のOPSSセキュリティ・ストアのWLSTコマンドに関する項を参照してください。
Oracle Enterprise Manager Fusion Middleware Controlでのアプリケーション・ロールの管理
この項では、Oracle Enterprise Manager Fusion Middleware Controlでアプリケーション・ロールを管理する方法について説明します。
ノート:
管理者以外のユーザーがOracle SOAコンポーザにアクセスできるようにするには、次のステップを実行します。このことは、「アプリケーション・ロールの編集」ページで、ユーザーまたはグループにSOADesignerロールを割り当てることによって実行します。ユーザーはOracle WebLogic Serverレルムに存在する必要があります。
Oracle Enterprise Manager Fusion Middleware Controlでアプリケーション・ロールを管理するには:
-
ナビゲータで「WebLogicドメイン」→「Farm_Domain_name」の順に選択し、該当するOracle WebLogic Serverを選択します。
-
ドメイン名を右クリックして、「セキュリティ」→「アプリケーション・ロール」の順に選択します。
-
アプリケーション・ロールを作成するには、次のステップを実行します。
-
「アプリケーション」リストで、ロールを作成するアプリケーションの名前(server_name/soa-infra)を選択します。
-
「アプリケーション・ロール」ページで「作成」オプションを選択します。
「アプリケーション・ロールの作成」ページが表示されます。
-
アプリケーション・ロールのロール名、表示名および説明を入力します。
-
「ロール」セクションで「ロールの追加」、および「ユーザー」セクションで「ユーザーの追加」を選択して、メンバーを追加します。
-
「OK」をクリックして、アプリケーション・ロールを作成します。
-
-
アプリケーション・ロールを編集するには、次のステップを実行します。
-
「アプリケーション・ロール」ページの「検索」セクションの「検索するアプリケーション名の選択」リストで、該当するアプリケーション(soa_server1/soa-infraなど)を選択します。
-
「ロール名」リストの右側にある「検索」アイコンをクリックします。
このアクションにより、そのアプリケーションに作成されているすべてのアプリケーション・ロールが一覧表示されます。
-
編集するアプリケーション・ロールを選択します(たとえば、SOADesignerを選択します)。
-
「編集」をクリックします。
「アプリケーション・ロールの編集」ページが表示されます。
-
アプリケーション・ロールとグループを「ロール」セクションに追加し、ユーザーを「ユーザー」セクションに追加します(たとえば、Oracle SOAコンポーザへのアクセスを提供するユーザーにSOADesignerを割り当てます)。ユーザーはOracle WebLogic Serverレルム内に定義されている必要があります。
-
「OK」をクリックします。
-
-
アプリケーション・ロールを削除するには、次のステップを実行します。
-
「アプリケーション・ロール」ページの「検索」セクションの「検索するアプリケーション名の選択」リストで、該当するアプリケーションを選択します。
-
「ロール名」リストの右側にある「検索」アイコンをクリックします。
このアクションにより、そのアプリケーションに作成されているすべてのアプリケーション・ロールが一覧表示されます。
-
削除するアプリケーション・ロールを選択します。
-
「削除」ボタンをクリックして、アプリケーション・ロールを削除します。
-
「確認」ダイアログで「はい」をクリックします。
-
ヒューマン・タスクでの大文字/小文字を区別しないグループ名の有効化
デフォルトでは、ヒューマン・タスクのユーザー名のみが大文字/小文字を区別しません。この動作は、システムMBeansブラウザのユーザーに対するcaseSensitiveプロパティの値によって制御され、デフォルトでfalse
に設定されています。ヒューマン・タスクのグループ名は、ユーザー・ディレクトリにシードされる名前と同じである必要があります。ただし、ヒューマン・タスクのグループ名で大文字/小文字を区別しないようにする場合、caseSensitiveGroupsプロパティをfalse
に設定する必要があります。
ヒューマン・タスクのグループ名について大文字/小文字を区別する動作を有効にするには:
ヒューマン・ワークフローWebサービスのセキュリティ・ポリシーの構成
ポリシー・セットには複数のポリシー参照を含めるできるため、ポリシー・セットを使用すると、ある範囲に含まれる同じタイプのエンドポイントに対して、ポリシーをグローバルにアタッチできます。
ポリシー・セットを使用してポリシーをグローバルにアタッチすることによって、開発者、アセンブラまたはデプロイヤなどの複数のユーザーが、アタッチするポリシーを明示的に指定しなかった状況において、すべてのサブジェクトが確実に保護されるようにできます。ポリシー・セットを使用してアタッチされるポリシーは、外部的にアタッチされたと見なされます。
たとえば、開発者が注釈内にポリシーを指定しなかった場合、または、デプロイメント・ディスクリプタにポリシー参照を含めなかった場合、デプロイヤはポリシーをアタッチする必要があり、このようにしないと、潜在的なセキュリティ・リスクが発生します。タイプ別のサブジェクトのセットに対してポリシーをグローバルにアタッチすることによって、管理者はデプロイメントに関係なく(かつデプロイメント前に)、すべてのサブジェクトがデフォルトで保護されるようにできます。たとえば、管理者はあるドメイン内のすべてのWebサービス・エンドポイントに対してセキュリティ・ポリシーをアタッチするポリシー・セットを定義できます。この場合、ドメインに追加されるすべての新規サービスには、ポリシー・セットに定義されたセキュリティ構成が自動的に継承されます。
ポリシー・セットを使用してポリシーをグローバルにアタッチする方法の詳細は、『Oracle Web Services ManagerによるWebサービスの保護とポリシーの管理』のWLSTを使用したポリシーのグローバルなアタッチについての項を参照してください。