セキュリティおよびユーザー・アクセスの理解

この章では、その他のOracle製品と統合されたOracle WebCenter Contentセキュリティの概要と、それ自体の内部セキュリティ機能と補助的なセキュリティ・オプションについて説明します。

この章の内容は次のとおりです。

コンテンツ・サーバー・セキュリティの概要

コンテンツ・サーバー・インスタンスは、Oracle Fusion MiddlewareのOracle WebLogic Serverドメインでデプロイされる、WebCenter Contentドメインでデプロイされます。セキュリティは、コンテンツ・サーバー・インスタンス、WebCenter Contentドメイン、Oracle WebLogic Serverドメイン、Oracle Platform Security Services (OPSS)を含む、複数のレベルでサポートされます。

コンテンツ・サーバー・リポジトリのコンテンツへのアクセスには、コンテンツ、ユーザーおよびグループを、ロール、権限およびアカウントとともに管理するコンテンツ・サーバー管理者が必要です。Oracle WebLogic Server管理者はコンテンツ・サーバー管理者と同様の働きをします。Oracle WebLogic Server管理者はコンテンツ・サーバー・インスタンスにログインしますが、デプロイ中に該当ユーザーが構成されなかった場合には、プライマリ・コンテンツ・サーバー管理者アカウントおよびパスワードを設定します。コンテンツ・サーバー管理者が構成されたら、管理タスクをコンテンツ・サーバー・インスタンスで実行できるようになります。『Oracle WebCenter Contentのインストールと構成』のOracle WebCenter Contentソフトウェアのインストールに関する項を参照してください。

ほとんどのユーザー管理タスクは、コンテンツ・サーバー・インスタンスのユーザー管理アプレットではなく、Oracle WebLogic Server管理コンソールを使用して実行する必要があります。デフォルトでは、WebCenter ContentはOracle WebLogic Serverユーザー・ストアを使用してユーザー名およびパスワードを管理し、資格証明ストアを使用してユーザーにコンテンツ・サーバー・インスタンスへのアクセス権を付与します。エンタープライズ・レベルのシステムの場合、ユーザーを認証および認可するために、デフォルトのOracle WebLogic Serverユーザー・ストアではなく、Oracle Platform Security Services (OPSS)を使用できます。WebCenter ContentセキュリティのOracle WebLogic ServerおよびOPSSとの統合の詳細は、「コンテンツ・サーバー用Fusion Middlewareセキュリティの構成」を参照してください。

コンテンツ・サーバーのリポジトリ・コンテンツのレベルには、セキュリティ・グループ(必須)およびアカウント(オプション)があります。各コンテンツ・アイテムはセキュリティ・グループに割り当てられ、アカウントが有効な場合は、アカウントにも割り当てることができます。ユーザーには各セキュリティ・グループおよびアカウントに応じ特定のレベルの権限(読取り、書込み、削除または管理)が割り当てられ、これによりユーザーは、アイテムのセキュリティ・グループおよびアカウントへの権限の範囲内でコンテンツ・アイテムを操作できます。コンテンツ・サーバー内部のユーザー、グループ、およびアカウントの詳細は、「ユーザー・タイプ、ログインおよびエイリアスの管理」、「セキュリティ・グループ、ロール、および権限の管理」、および「アカウントの管理」を参照してください。

アクセス制御リスト(ACL)がコンテンツ・サーバー・インスタンス用に構成され、エンタープライズレベル・システム上のユーザーへのコンテンツ・アクセスの拡張された制御を提供します。アクセス制御リストは、ユーザー、グループまたはエンタープライズ・ロールのリストであり、コンテンツ・アイテムに対するアクセス権限または操作権限が指定されています。詳細は、「アクセス制御リストのセキュリティの管理」を参照してください。

コンテンツ・サーバー内のセキュリティ

管理者はコンテンツ・サーバーの初期ユーザーとコンテンツのセキュリティを、ユーザー管理アプリケーションを使用して設定し、ユーザー・ロール、グループへの権限およびアカウントを定義します。次に、管理者はOracle WebLogic Server管理コンソールを使用してユーザーを作成し、各ユーザーを1つ以上のコンテンツ・サーバーのロールに割り当てると、セキュリティ・グループに対する特定の権限が割り当てられます。アカウントがコンテンツ・サーバー・システムで有効な場合、管理者は特定のアカウントに対する特定の権限をユーザーに割り当てることができ、これにより、割り当てられたロールを介して付与される可能性のある権限を制限できます。

ユーザーの詳細は、「ユーザー・タイプ、ログインおよびエイリアスの管理」を参照してください。セキュリティ・グループ、ロールおよび権限については、「セキュリティ・グループ、ロール、および権限の管理」を参照してください。アカウントの詳細は、「アカウントの管理」を参照してください。

次のコンポーネントも、追加の内部コンテンツ・サーバー・セキュリティを提供するために使用できます。

ExtranetLookコンポーネントを使用して、ユーザー・アクセスのセキュリティをカスタマイズできます。このコンポーネントはコンテンツ・サーバーとともにインストールされて有効化されます。詳細は、「ログイン/ログアウトのカスタマイズ」を参照してください。

ノート:

ExtranetLookコンポーネントはOracle WebLogic Serverドメインがコンテンツ・サーバー・インスタンスのサーバーとして使用されている場合には適用できません。セキュリティの実装の変更は、Oracle WebLogic Serverドメインおよび管理構成を直接カスタマイズすることで制御できます。
NeedtoKnowコンポーネントを使用して、ユーザー・アクセスおよび検索結果のセキュリティをカスタマイズできます。このコンポーネントを使用すると、ユーザー・アクセスの制限の追加構成、検索結果の表示の変更、検索動作の変更、およびヒット・リスト・ロールの設定を実行できます。このコンポーネントを使用するには、これをインストールして有効化する必要があります。

Internet Explorer 7では、安全な接続を使用しないBasic認証でログインしているユーザーに対して、次のメッセージが表示されることに注意してください。

Warning: This server is requesting that your username and password be sent in an insecure manner

この動作(ユーザー名とパスワードのテキストでの送信)は、Basic認証では新しいことではなく、問題は発生しません。

追加のセキュリティ・オプション

WebCenter Contentでは追加の認証方式を組み合せることができます。たとえば、Oracle WebLogic Server管理コンソールを使用してユーザーを定義して、一部のユーザーにはMicrosoftドメインのIDを使用したログインを許可し、その他のユーザーには外部のLightweight Directory Access Protocol (LDAP)資格証明に基づいてコンテンツ・サーバー・インスタンスへのアクセス権を付与できます。しかし、認証はOracle WebLogic Serverを介して構成されるので、方式の組合せには制限があります。ユーザーは複数の認証ストアに対し認証できますが、Oracle Platform Security Services (OPSS)とOracle WebLogic Serverの統合により、認証(グループ)情報を抽出するために使用できるのは、構成済みユーザー・ストアのうちいずれか1つのみです。

ノート:

11g リリース1 (11.1.1.6.0)以後、Oracle WebCenter ContentではOracle Virtual Directoryライブラリ(libOVD)機能の使用がサポートされており、この機能を使用すると、ログインやグループ・メンバーシップ情報に対してサイトで複数のプロバイダを使用できます。たとえば、Oracle Internet Directory (OID)とActive Directoryの両方をユーザーおよびロール情報のソースとして使用できます。Oracle WebLogic Server上での複数のLDAP構成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の単一および複数のLDAPの構成に関する項を参照してください。

次のオプションを使用して、追加のセキュリティを提供できます。

SecurityProvidersコンポーネントを使用して、暗号化されたソケット通信および認証をサポートするようにセキュリティをカスタマイズできます。このコンポーネントはデフォルトでWebCenter Contentとともにインストールされ、有効化されます。このコンポーネントは、ソケットまたはサーバー認証用の証明書を使用するように構成できるSecure Sockets Layer (SSL)プロバイダを有効化します。

WebCenter Contentへの接続にSSLおよびHTTPSを使用していて、WebDAVを介して接続できない場合は、WebDAV接続文字列に使用したのと同じURLを使用してブラウザからコンテンツ・サーバー・インスタンスへの接続を試行してください。これにより、暗号化に使用する証明書に問題があるかどうかが確認できます。証明書に問題があることを示すダイアログ・ボックスが表示された場合は、問題を解決して、WebDAVを介した接続を再試行します。
ユーザーが異なるWebサーバーのフロント・エンド(一方のサーバーのフロント・エンドがHTTPSでもう一方はHTTP)を使用してコンテンツ・サーバー・インスタンスにアクセスできるようにする場合は、BrowserUrlPathコンポーネントを使用してコンテンツ・サーバーの構成をカスタマイズできます。このコンポーネントはデフォルトでWebCenter Contentとともにインストールされて無効化され、HTTPSを使用するWebサーバーのフロント・エンドと、HTTPホスト・ヘッダーとして転送されるロード・バランサをサポートします。1つのアクセス方式のみ(HTTPSのみまたはHTTPのみ)を使用する場合や、ブラウザからのホスト・パラメータをブロックするロード・バランサを使用していない場合は、このコンポーネントは必要ありません。詳細は、「ブラウザURLのカスタマイズ」を参照してください。
拡張セキュリティ属性は外部ユーザーまたは特定のアプリケーションのユーザーに割り当てることができます。拡張属性は既存のユーザー属性とマージされ、ユーザーの管理の柔軟性を向上させることができます。詳細は、「拡張ユーザー属性」を参照してください。

すべての環境で、組織のセキュリティの要望と、完全な計画フェーズを包括的に理解することは、セキュリティの統合の成功にとって非常に重要です。

アドバンスト・セキュリティ・オプション

アドバンスト・セキュリティ・オプションでは、WebCenter Contentに推奨されるすべてのセキュリティ構成を処理できます。APIまたはユーザー・インタフェースのいずれかを使用して、アドバンスト・セキュリティ・オプションを指定できます。

ノート: アドバンスト・セキュリティ・オプションが有効な場合に、ユーザーがQueryTextに無効なフィールド名を指定すると、エラー・メッセージが表示されます。

APIを使用したアドバンスト・セキュリティの構成

次のAPIを使用して、アドバンスト・セキュリティ・オプションを有効にします。

ASC_GET_SECURITY_CONFIGURATIONS: WebCenter Contentの既存のセキュリティ構成の詳細を提供します。
ASC_UPDATE_SECURITY_CONFIGURATIONS: 新しい表が追加または削除された場合、それぞれの入力パラメータを渡して、セキュリティ構成およびフィールドまたは列名を更新できるようにします。

APIおよびパラメータの詳細は、『Oracle Fusion Middleware Oracle WebCenter Contentサービス・リファレンス』の核となるコンテンツ・サーバー・サービスに関する項を参照してください。

ユーザー・インタフェースを使用したアドバンスト・セキュリティの構成

アドバンスト・セキュリティ・オプションは「Oracle Advanced Security Configurations」ページで指定できます。ただし、このページはデフォルトでは使用できません。このページは、要件に基づいて有効化または無効化できます。詳細は、「Oracle Advanced Security Configurations」ページの有効化を参照してください。

「Oracle Advanced Security Configurations」ページの有効化

「Oracle Advanced Security Configurations」ページを有効にすると、Core QueryTextおよびFrameworkFolders QueryTextのセキュリティ・オプションを指定できます。

「Oracle Advanced Security Configurations」ページを有効化するには:

テキスト・エディタを使用して、IntradocDir/config/ディレクトリにあるconfig.cfgファイルを開きます。
次のパラメータを追加します。
- IsAdvanceSecurityConfigUIEnabled=True
config.cfgファイルを保存します。
Content Serverインスタンスを再起動します。

「Oracle Advanced Security Configurations」オプションが「管理」メニューに表示されます。

ノート: 「Oracle Advanced Security Configurations」ページは、「管理」→「管理サーバー」→「一般構成」を選択して有効にすることもできます。「一般構成」領域で、パラメータIsAdvanceSecurityConfigUIEnabled=Trueを追加できます。「管理」メニューの「Oracle Advanced Security Configurations」オプションを表示するには、コンテンツ・サーバーを再起動する必要があります。

この項の内容は次のとおりです。
- Core QueryTextのアドバンスト・セキュリティ・オプションの指定
- FrameworkFolders QueryTextのアドバンスト・セキュリティ・オプションの指定

Core QueryTextのアドバンスト・セキュリティ・オプションの指定

Core QueryTextのアドバンスト・セキュリティ・オプションを指定すると、検索機能が実行され、入力した検索基準に一著する結果が返されます。

Core QueryTextのアドバンスト・セキュリティ・オプションを指定するには:

「管理」を選択して、「Oracle Advanced Security Configurations」を選択します。

「Oracle Advanced Security Configurations」ページが表示されます。
「Core QueryTextセキュリティ構成」チェック・ボックスを選択して、このセクションを編集および更新します。

「Core QueryTextセキュリティ構成」チェック・ボックスを選択しない場合、このセクションの変更内容は保存されません。
「QueryTextセキュリティ検証の有効化」チェック・ボックスを選択して、カスタム問合せの検証を編集します。

「QueryTextセキュリティ検証の有効化」チェック・ボックスを選択しない場合、Core QueryText検証は無効になります。
「カスタム表名」フィールドに1つ以上の表名を入力して、これらの表を検索基準に含めます。
「カスタム・フィールド名」フィールドに1つ以上のフィールド名を入力して、これらのフィールドを検索基準に含めます。

ノート: 「カスタム表名」フィールドおよび「カスタム・フィールド名」フィールドに入力した値は、セミコロン(;)で区切ってください。
「更新」をクリックして、入力した詳細を保存します。

FrameworkFolders QueryTextのアドバンスト・セキュリティ・オプションの指定

FrameworkFolders QueryTextのアドバンスト・セキュリティ・オプションを指定すると、検索が実行され、フレームワーク・フォルダ内の入力した検索基準に一致する結果が返されます。

FrameworkFolders QueryTextのアドバンスト・セキュリティ・オプションを指定するには:

「管理」を選択して、「Oracle Advanced Security Configurations」を選択します。

「Oracle Advanced Security Configurations」ページが表示されます。
「FrameworkFolders QueryTextセキュリティ構成」チェック・ボックスを選択して、このセクションを編集および更新します。

「FrameworkFolders QueryTextセキュリティ構成」チェック・ボックスを選択しない場合、このセクションの変更内容は保存されません。
「QueryTextセキュリティ検証の有効化」チェック・ボックスを選択して、カスタム問合せの検証を編集します。

「QueryTextセキュリティ検証の有効化」チェック・ボックスを選択しない場合、FrameworkFolders QueryText検証は無効になります。
「カスタム表名」フィールドに1つ以上の表名を入力して、これらの表を検索基準に含めます。
「カスタム・フィールド名」フィールドに1つ以上のフィールド名を入力して、これらのフィールドを検索基準に含めます。

ノート: 「カスタム表名」フィールドおよび「カスタム・フィールド名」フィールドに入力した値は、セミコロン(;)で区切ってください。
「更新」をクリックして、入力した詳細を保存します。