セキュリティ・グループ、ロール、および権限の管理

この章では、Oracle WebCenter Content Serverのセキュリティ・グループ、ロール、および権限の使用と管理について説明します。

この章の内容は次のとおりです。

• コンテンツ・サーバーのセキュリティ・グループの概要

• コンテンツ・サーバーのグループの管理

• コンテンツ・サーバーのロールおよび権限の概要

• コンテンツ・サーバーのロールおよび権限の管理

コンテンツ・サーバーのセキュリティ・グループの概要

セキュリティ・グループは、一意の名前でグループ化された一連のファイルです。コンテンツ・サーバー・リポジトリ内のすべてのファイルはセキュリティ・グループに属します。セキュリティ・グループへのアクセスは権限によって制御され、権限はコンテンツ・サーバーのロールに割り当てられます。ロールはOracle WebLogic Serverで管理されるユーザーに割り当てられます。

ユーザーはOracle WebLogic Server管理コンソールを使用してグループに割り当てられます。ユーザーがコンテンツ・サーバー・インスタンスにログインすると、ユーザーのグループがコンテンツ・サーバーのロールにマップされます。@(アット)記号で始まるOracle WebLogic Serverユーザー・グループはコンテンツ・サーバー・アカウントにマップされます。

コンテンツ・サーバーで認識されるOracle WebLogic Serverグループでは、正確に同じ名前のロールがコンテンツ・サーバーに作成され、セキュリティ・グループに割り当てられる必要があります。これが行われていないと、ユーザーに割り当てられたOracle WebLogic Serverグループは、コンテンツ・サーバーでのユーザーの権限に何の影響も及ぼしません。

セキュリティ・グループを使用すると、コンテンツ・ファイルを特定のユーザーのみがアクセス可能な個別のグループに編成できます。たとえば、人事指定のドキュメントを表すHRDocsという名前のセキュリティ・グループにファイルを割り当て、このグループには人事部門で働く人のみがアクセスするようにできます。事前定義済セキュリティ・グループが2つあります。

• パブリック: デフォルトでは、すべてのユーザーがログインなしでパブリック・グループのドキュメントを表示できます。

• セキュア: システム・ファイルはセキュア・グループに格納され、システム管理者のみが使用できます。

セキュリティ・グループの操作のベスト・プラクティス

セキュリティ・グループを定義するときには、次の考慮事項に注意してください。

• セキュリティ・グループは、保護する必要のあるファイルがチェックされる前に定義してください。

• 検索およびユーザー管理の効率を最適化するために、セキュリティ・グループの数は最小限に維持する必要があります。セキュリティ・モデルに50を超えるセキュリティ分類が必要な場合は、アカウントを有効化し、それらを使用してユーザーの権限を制御する必要があります。この数は検索効率およびユーザー管理効率により異なります。

• インスタンス・フォルダを作成するには、ユーザー・グループは少なくとも管理(RW)アクセス権を持っている必要があります。

• 同じアクセスを共有するすべてのファイルを1つのセキュリティ・グループに含めます。

• セキュリティ・グループに論理命名規則を設定します。たとえば、イントラネットを設定している場合は部門名を使用し、エクストラネットを設定している場合にはセキュリティのレベル(内部や分類済みなど)を使用します。

たとえば、図1に3つの定義されたセキュリティ・グループを示します(Public、HRDocs、EngDocs)。これらは異なるロール(Admin、Contributor、Guest、Sysadmin、Subadmin)と特定の権限のセット(読取り、書込み、削除、管理者)に割り当てられた5ユーザーに関連付けられています。

パフォーマンスに関する考慮事項

セキュリティ・グループおよびロールに関するユーザー・アクセス設定は、システム効率の次の内容に影響する可能性があります。

• 検索効率

• ユーザー管理効率

検索効率

検索効率は、ユーザーがアクセス権を持つセキュリティ・グループの数に影響されます。ユーザーが表示権限を持つコンテンツのみを戻すには、データベースのWHERE句にセキュリティ・グループのリストを含めます。WHERE句には、ユーザーがアクセス権を持っているすべてのセキュリティ・グループ、アクセス権を持っていないすべてのセキュリティ・グループを含めます。どちらの方法にするかは、ユーザーの持っている権限が、定義されているセキュリティ・グループの50%を超えているかまたは50%に満たないかにより異なります。

たとえば、100のセキュリティ・グループが定義されていて、ユーザーが10のセキュリティ・グループの権限を持っている場合は、WHERE句に10のセキュリティ・グループを含めます。反対に、ユーザーが90のセキュリティ・グループのアクセス権を持っている場合は、そのユーザーがアクセス権を持っていない10のセキュリティ・グループをWHERE句に含めます。

そのため、ユーザーが50%に近いセキュリティ・グループに対する権限を持っている場合、検索効率は低下します。ユーザーがすべてのセキュリティ・グループに対する権限を持っている場合、またはどのセキュリティ・グループに対する権限も持っていない場合は、検索効率が向上します。

ユーザー管理効率

セキュリティ・グループの合計数にロールの合計数を掛けた数が、RoleDefinitionデータベース表の行数になります。この数は、ユーザー管理アプリケーションのローカル・ユーザーに関連する作業効率に影響します。ユーザー管理アプリケーションにおける、セキュリティ・グループの追加やロールの権限の変更などの操作の実行に必要な概算の時間を判断するには、次の式を使用します。

(# of security groups) X (# of roles) / 1000 = Time of operation in seconds

たとえば、400 MHzプロセッサと128 MBのRAMを備えたPCを使用すると、RoleDefinition表に10,000行ある場合、ユーザー管理アプリケーションを使用したセキュリティ・グループまたはロール(あるいはその両方)の追加には約10秒かかります。

セキュリティ・グループの数が増加すると、使用者の検索効率よりも管理効率が影響を受けます。

コンテンツ・サーバーのグループの管理

コンテンツ・サーバーを使用して、次のタスクによりセキュリティ・グループを管理します。

• コンテンツ・サーバーでのセキュリティ・グループの追加

• コンテンツ・サーバーでのセキュリティ・グループの削除

『Oracle WebLogic Serverセキュリティの管理』のセキュリティ情報の管理に関する項を参照してください。

コンテンツ・サーバーでのセキュリティ・グループの追加

セキュリティ・グループを作成し権限を割り当てるには:

ノート:

カレット「^」はWebCenter Contentの特殊文字であり、ユーザー名、グループ名、またはルール名には使用できません。「^」文字は、WebCenter ContentによりStringUtilsクラス用と解析されます。StringUtilsクラスでは、この文字が文字列のエンコーディングとデコーディングに使用されます。

1. 「ユーザー管理」画面から、「セキュリティ」→「グループの権限」を選択します。

2. 「グループの権限」ウィンドウで、「グループの追加」をクリックします。

3. 「新しいグループの追加」ウィンドウで、グループ名および説明を入力します。

4. 「OK」をクリックします。

5. セキュリティ・グループに権限を設定します。

   1. セキュリティ・グループを選択します。

   2. 編集するロールを選択します。

   3. 「アクセス権の編集」をクリックします。

   4. グループのロールに必要な権限を有効化したら、「OK」をクリックして、「グループの権限」ページを閉じます。

コンテンツ・サーバーでのセキュリティ・グループの削除

ノート:

コンテンツ・サーバー・リポジトリに格納されたコンテンツ・アイテムと関連付けられているセキュリティ・グループまたはアカウントは、絶対に削除しないでください。

セキュリティ・グループを削除するには:

1. 削除するセキュリティ・グループにコンテンツ・アイテムが関連付けられていないことを確認します。コンテンツが存在しているセキュリティ・グループを削除することはできません。

2. 「ユーザー管理」画面から、「セキュリティ」→「グループの権限」を選択します。

3. 「グループの権限」ウィンドウで、削除するグループを選択します。

4. 「グループの削除」をクリックします。

5. 「はい」をクリックします。セキュリティ・グループが削除されます。

6. セキュリティ・グループを削除したら、「OK」をクリックして、「グループの権限」ページを閉じます。

コンテンツ・サーバーのロールおよび権限の概要

ロールは、各セキュリティ・グループに対する一連の権限(読取り、書込み、削除、管理者)です。ロールはユーザーのジョブと考えられます。ユーザーは、様々なセキュリティ・グループに対して異なるジョブを持つことができます。ユーザーは参加する様々なチームを識別するために、異なるジョブを持つこともできます。次の操作を実行できます:

• ロールを定義します。

• 1人のユーザーに複数のロールを割り当てます。

• 複数のユーザーで1つのロールを共有するよう設定します。

• ロールの権限を複数のセキュリティ・グループに設定できます。

たとえば、図2に、3つのロールと、そのロールが同じセキュリティ・グループに対して持つ権限を示します。

ロールは、セキュリティ・グループにアクセス権を提供するためにシステム管理者によって1人以上のユーザーに割り当てられます。図3に、HRDocsセキュリティ・グループに対して読取り権限のみを持つEngUsersロールを示します。ただし、このロールは、EngDocsセキュリティ・グループに対して読取り、書込みおよび削除権限も持っています。これにより、セキュリティが強化され、特定のドキュメントにアクセスする必要のあるユーザーのみがそれらのドキュメントを変更できるようになります。

事前定義済のロール

コンテンツ・サーバーには、次のロールが事前定義されています。

ロール	説明
admin	adminロールはシステム管理者に割り当てられます。デフォルトでは、このロールには、すべてのセキュリティ・グループおよびすべてのアカウントに対する管理権限があり、すべての管理ツールにアクセスできます。
contributor	contributorロールには、パブリック・セキュリティ・グループに対する読取りおよび書込みの権限があり、コンテンツを検索、表示、チェックインおよびチェックアウトできます。
guest	guestロールには、パブリック・セキュリティ・グループに対する読取り権限があり、コンテンツを検索および表示できます。
sysmanager	sysmanagerロールは、ユーザー・インタフェースの「管理」メニューから「管理サーバー」リンクにアクセスできる権限を持っています。

権限について

各ロールは、各セキュリティ・グループに対する次の権限を許可されます: 読取り(R)、書込み(W)、削除(D)、管理者(A)、標準注釈(S)、制限付き注釈(T)または非表示注釈(H)。セキュリティ・グループのファイルにアクセスするためにユーザーが持つ権限は、任意のユーザーのロールにより定義されている最高の権限です。ユーザーにguestロールとcontributorロールがあり、guestにはパブリック・セキュリティ・グループに対する読取り権限、contributorには書込み権限が付与されている場合、そのユーザーがパブリック・セキュリティ・グループのコンテンツに対して持つのは書込み権限です。ユーザーに標準注釈、制限付き注釈または非表示注釈の権限が割り当てられている場合、そのユーザーにはデフォルトで読取り権限が与えられます。

図4に示すように、Joe SmithおよびAnn Wallaceは2つのセキュリティ・グループに対する権限を持っています:

• Joe Smithには、EngDocsセキュリティ・グループに対して読取り、書込みおよび削除権限を持っていますが、HRDocsセキュリティ・グループに対しては読取り権限のみを持っています。EngUsersロールのメンバーとして、エンジニアリング・ドキュメントには読取り、書込みおよび削除のアクセス権が付与されていますが、人事ドキュメントには読取りアクセス権のみが付与されています。

• Ann Wallaceは、HRDocsセキュリティ・グループに対して読取り、書込みおよび削除権限を持っていますが、EngDocsセキュリティ・グループに対しては読取り権限のみを持っています。HRUsersロールのメンバーとして、人事ドキュメントには読取り、書込みおよび削除のアクセス権が付与されていますが、エンジニアリング・ドキュメントには読取りアクセス権のみが付与されています。

事前定義済の権限

各ロールには、各セキュリティ・グループに対して次の各権限を割り当てることができます。

権限	説明
読取り	セキュリティ・グループ内のドキュメントを表示できます。
書込み	セキュリティ・グループ内のドキュメントを表示、チェックイン、チェックアウトおよびコピーできます。セキュリティ・グループで書込み権限のある作成者は、ドキュメントのセキュリティ・グループの設定を変更できます。
削除	セキュリティ・グループ内のドキュメントの表示、チェックイン、チェックアウト、コピー取得および削除を許可します。 構成変数AuthorDeleteがtrueに設定されており、コンテンツ・サーバーがFoldersを使用するように構成されている場合(FrameworkFoldersコンポーネントにより提供される)、作成者は読取り権限を持っていれば自分自身のリビジョンを削除できますが、読取り権限を持っていない場合、作成者はコンテンツ・アイテムのセキュリティ・グループへの削除権限を持っている必要があります。
管理	セキュリティ・グループ内のファイルを表示、チェックイン、チェックアウト、コピーおよび削除できます。ワークフロー権限を持つユーザーは、そのセキュリティ・グループ内のワークフローを開始または編集できます。 ユーザーは、該当するセキュリティ・グループ内にある、別のユーザーが作成者として指定されているドキュメントをチェックインすることもできます。ドキュメントの作成者以外のユーザーがドキュメントのセキュリティ・グループの設定を変更できるのは、新しいセキュリティ・グループで書込み権限がある場合です。
標準注釈	標準の注釈を作成、変更および削除できます。ドキュメントにアクセスできるユーザーは、そのドキュメントの標準注釈を表示できます。
制限付き注釈	制限付き注釈を作成、変更および削除できます。ドキュメントにアクセスできるユーザーであれば誰でも、そのドキュメントの制限付き注釈を表示できます。
非表示注釈	非表示の注釈を作成、表示、変更および削除できます。 ノート: - ドキュメントにアクセスできるユーザーでも、そのドキュメントで非表示になっている注釈を表示するには、この権限が必要です。 - リダクションは、標準タイプまたは制限付きタイプのみにできます。非表示リダクションはサポートされていません。

コンテンツ・サーバーのロールおよび権限の管理

ロールおよび権限はコンテンツ・サーバーで定義および管理されます。ロールはユーザー・ログインに割り当てられ、デフォルトで、Oracle WebLogic Server管理コンソールで管理されます。

次のタスクを使用してユーザー・ロールを管理します。

• コンテンツ・サーバーでのロールの作成

• コンテンツ・サーバーでのロールの削除

• Oracle WebLogic Serverを使用したユーザーへのロールの割当て

• Oracle WebLogic Serverを使用した類似ユーザーへのロールの割当て

• コンテンツ・サーバーでの権限の追加および編集

コンテンツ・サーバーでのロールの作成

コンテンツ・サーバーでロールを作成して権限を構成するには:

ノート:

カレット「^」はWebCenter Contentの特殊文字であり、ユーザー名、グループ名、またはルール名には使用できません。「^」文字は、WebCenter ContentによりStringUtilsクラス用と解析されます。StringUtilsクラスでは、この文字が文字列のエンコーディングとデコーディングに使用されます。

1. 「ユーザー管理」画面から、「セキュリティ」→「ロールの権限」を選択します。

2. 「ロールの権限」ウィンドウで、「新しいロールの追加」をクリックします。

3. 「新しいロールの追加」ウィンドウで、ロール名を入力します。

   • ロール名は255文字以内にする必要があります。ただし、ロール名の最初の30文字が必ず一意になるようにします。

   • 次の文字は使用できません: 空白、タブ、行送り、改行および; : ^ ? & + “ # % < > * ~ |

   • 最初、ロールにはパブリック・セキュリティ・グループに対する読取り(R)権限が割り当てられており、その他のセキュリティ・グループに対する権限は割り当てられていません。

4. 次のようにロールに権限を設定します。

   1. ロールを選択します。

   2. 編集するセキュリティ・グループを選択します。

   3. 「アクセス権の編集」をクリックします。

   4. 権限を編集します。

   5. 「OK」をクリックして「ロールの権限」ページを閉じます。

コンテンツ・サーバーでのロールの削除

コンテンツ・サーバーでロールを削除するには:

1. 削除するロールにユーザーが割り当てられていないことを確認します(ロールにユーザーが割り当てられている場合は、そのロールを削除できません)。

2. 「ユーザー管理」画面から、「セキュリティ」→「ロールの権限」を選択します。

3. 「ロールの権限」ウィンドウで、削除するロールを選択します。

4. 「ロールの削除」をクリックします。

5. 「はい」をクリックします。

Oracle WebLogic Serverを使用したユーザーへのロールの割当て

コンテンツ・サーバーのユーザーにロールを割り当てるには、Oracle WebLogic Server管理コンソールを使用します。ロールはコンテンツ・サーバーで定義されますが、管理コンソールを使用してユーザーに割り当てる必要があります。詳細は、Oracle WebLogic Server管理者ガイドを参照してください。

ユーザーはOracle WebLogic Server管理コンソールを使用してグループに割り当てることもできます。コンテンツ・サーバーで認識されるOracle WebLogic Serverグループでは、グループと正確に同じ名前のロールがコンテンツ・サーバーに作成され、セキュリティ・グループに割り当てられる必要があります。

Oracle WebLogic Serverを使用した類似ユーザーへのロールの割当て

別のユーザー・ログインと類似のアクセス権を持つ、コンテンツ・サーバーのユーザーを作成するときにロールを割り当てるには、Oracle WebLogic Server管理コンソールを使用します。ロールはコンテンツ・サーバーで定義されますが、管理コンソールを使用してユーザーに割り当てる必要があります。詳細は、Oracle WebLogic Server管理者ガイドを参照してください。

ユーザーはOracle WebLogic Server管理コンソールを使用してグループに割り当てることもできます。コンテンツ・サーバーで認識されるOracle WebLogic Serverグループでは、グループと正確に同じ名前のロールがコンテンツ・サーバーに作成され、セキュリティ・グループに割り当てられる必要があります。

コンテンツ・サーバーでの権限の追加および編集

コンテンツ・サーバーでロールに権限を追加するか、または既存の権限を編集するには:

1. 「ユーザー管理」画面から、「セキュリティ」→「ロールの権限」を選択します。

2. 「ロールの権限」ウィンドウで、既存のロールを選択するか、または新しいロールを追加します。セキュリティ・グループに関連付けられた権限が表示されます。

3. 「グループ/権限」列でアイテムを選択します。

4. 「アクセス権の編集」をクリックします。

5. 「アクセス権の編集」ウィンドウで、このロールまたはセキュリティ・グループと関連付ける権限を指定します。権限の詳細は、「事前定義済の権限」を参照してください。

6. 「OK」をクリックします。