26 ユーザーおよびアプリケーション・ロールの管理
WebCenter Portal 12cでは、デフォルトで、データベースを使用するためにポリシーおよび資格証明ストアが構成されます。リリース12c以降、ファイルベースまたはLDAPベースのポリシー・ストアはサポートされなくなりました。WebCenter Portal 11gリリースから移行する際、11gインスタンスがファイルベースまたはLDAPベースのポリシー・ストアを使用するように構成されている場合は、データベース・ポリシー・ストアに移行する必要があります。データベース・ポリシー・ストアは、単一および高可用性(HA)の両方の環境でサポートされています。
Oracleデータベースをポリシー・ストアおよび資格証明ストアとして構成する方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のデータベース・ベースのセキュリティ・ストアの使用に関する項およびセキュリティ・ストアの再関連付けに関する項を参照してください。トラブルシューティングの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の再関連付けの失敗に関する項を参照してください。『Oracle WebCenterのアップグレード』のOracle WebCenterのアップグレード前のタスクの実行に関する項で説明されているように、ファイルベースまたはLDAPベースのポリシー・ストアをデータベース・ベースのポリシー・ストアに移行することは、アップグレード前のタスクです。
権限:
この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdmin
ロールが付与されている必要があります。Monitor
またはOperator
ロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。
「管理操作、ロールおよびツールの理解」も参照してください。
WebCenter Portal管理者ロールの付与
WebCenter Portalは、最初のオーセンティケータによってマップされたアイデンティティ・ストア内のユーザーのみを認識します。WebCenter Portal管理者アカウントは当初は組込みのLDAPサーバーにのみ作成されるため、Oracle Internet Directoryなどの外部LDAPをWebCenter Portalのプライマリ・オーセンティケータとして構成する場合は、そのLDAP内にユーザーを作成し、そのユーザーにWebCenter Portal管理者ロールを付与する必要もあります。
次の項の説明に従って、Fusion Middleware ControlまたはWLSTを使用してWebCenter Portal管理者ロールをユーザーに付与できます。
Fusion Middleware Controlを使用したWebCenter Portal管理者ロールの付与
この項では、WebCenter Portal管理者ロールをデフォルトのweblogicアカウント以外のユーザー・アカウントに付与する方法について説明します。
Fusion Middleware Controlを使用してWebCenter Portal管理者ロールを付与する手順は次のとおりです。
-
Fusion Middleware Controlにログインし、WebCenter Portalホームページに移動します。
「WebCenter Portalのホームページへの移動」を参照してください。
-
「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが開きます(図26-1を参照)。
-
WebCenter Portal管理者ロールを検索します。
-
「ロール名」フィールドに、管理者ロールの次の内部識別子を入力して、「検索」(矢印)アイコンをクリックします。
s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
検索の結果として、管理者ロールの識別子である
s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
が返されます。 -
-
検索結果から管理者ロールの識別子をクリックし、「編集」をクリックします。
「アプリケーション・ロールの編集」ページが開きます(図26-2を参照)。
-
「メンバー」セクションから、「追加」をクリックします。
「プリンシパルの追加」ダイアログが開きます(図26-3を参照)。
-
管理者ロールを割り当てるユーザーを検索します。
-
「タイプ」ドロップダウンから、「ユーザー」を選択します。
-
ユーザー名の一部またはユーザー名の最初の文字が含まれるように「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。
-
オプションで、「ユーザー」を選択した場合は、「拡張オプション」セクションから「プリンシパル名をここに入力する場合に選択します」オプションを選択して、「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。
-
「OK」をクリックします。
「プリンシパルの追加」ダイアログが閉じ、ユーザー名がメンバーのリストに追加されます。
-
-
「アプリケーション・ロールの編集」ページから
weblogic
ロールを削除するには、ロールを選択して「削除」をクリックし、確認ダイアログで「はい」をクリックします。 -
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
アプリケーション・ロールの付与
この項では、Fusion Middleware ControlおよびWLSTコマンドを使用してアプリケーション・ロールにユーザーを追加する方法について説明します。
この項では、次の項目について説明します。
Fusion Middleware Controlを使用したアプリケーション・ロールの付与
この項では、Fusion Middleware Controlを使用してユーザーにアプリケーション・ロールを付与する方法を説明します。
-
Fusion Middleware Controlにログインし、WebCenter Portalのホームページに移動します。
-
「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが開きます。
-
「ロール名」フィールドに、
webcenter
と入力してWebCenter Portalのすべてのアプリケーション・ロールを検索するか、ロールの名前を入力し(例:appConnectionManager
)、「検索」(矢印)アイコンをクリックします。名前がはっきりわからない場合は、部分検索語を入力するか、フィールドを空白のままにして、すべてのアプリケーション・ロールを表示します。
「アプリケーション・ロール」ページが開きます。
-
ユーザーを追加するロールを選択して、「編集」をクリックします。
たとえば、パブリック・ロールにユーザーを追加するには、行「パブリック・ロール」を選択します。
図26-6 ロール名の検索結果
-
選択したロールに対して開く「アプリケーションの編集」ページで、「追加」をクリックします。
-
開いている「プリンシパルの追加」ダイアログで、ユーザーを検索します。
-
「タイプ」ドロップダウンから、「ユーザー」を選択します。
-
ユーザー名の一部またはユーザー名の最初の文字が含まれるように「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。
-
「検索済プリンシパル」表からユーザー名を選択し、「OK」をクリックします。
「プリンシパルの追加」ダイアログが閉じ、「アプリケーション・ロールの編集」ページでアプリケーション・ロールのメンバーのリストにユーザー名が追加されます。
図26-8 アプリケーション・ロールに追加されたユーザー
-
-
「アプリケーション・ロールの編集」ページで、「OK」をクリックします。
-
WebCenter Portal (
WC_Portal
)管理対象サーバーを再起動します。
実行時管理ページの使用
管理者はWebCenter Portalの「セキュリティ」タブを使用して、アプリケーション・ロールを定義し、アイデンティティ・ストアで定義されたユーザーにアプリケーション・ロールを付与できます。
注意:
「パスワード変更の許可」プロパティは、ユーザーがWebCenter Portal内で各自のパスワードを変更できるかどうかを指定しますが、これは企業のアイデンティティ・ストアで慎重に管理する必要があります。WebCenter Portal管理者はWebCenter Portalのプロファイル管理設定のページからこのプロパティを設定できます。詳細は、「プロファイルの構成」を参照してください。
WebCenter Portalにおける招待による自己登録の構成
「招待者限定の自己登録の有効化」に記載されているように、WebCenter Portalは招待による自己登録をサポートします。招待による自己登録機能では、WebCenter Portalドメイン資格証明ストアに次のパスワード資格証明が含まれていることが必要です。
-
map name = o.webcenter.security.selfreg
-
key= o.webcenter.security.selfreg.hmackey
-
user name = o.webcenter.security.selfreg.hmackey
WebCenter Portal管理で「招待を介した自己登録の許可」を有効にするには、Fusion Middleware ControlまたはWLSTコマンドcreateCred
を使用して、前述のパスワード資格証明を作成します。例:
createCred(map="o.webcenter.security.selfreg", key="o.webcenter.security.selfreg.hmackey", type="PC", user="o.webcenter.security.selfreg.hmackey", password="<password>", url="<url>", port="<port>", [desc="<description>"])
詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のWLSTコマンドでの資格証明の管理に関する項を参照してください。