26 ユーザーおよびアプリケーション・ロールの管理

ユーザーにWebCenter Portal管理者ロールを付与し、アプリケーション・ロールにユーザーを追加できます。

WebCenter Portal 12cでは、デフォルトで、データベースを使用するためにポリシーおよび資格証明ストアが構成されます。リリース12c以降、ファイルベースまたはLDAPベースのポリシー・ストアはサポートされなくなりました。WebCenter Portal 11gリリースから移行する際、11gインスタンスがファイルベースまたはLDAPベースのポリシー・ストアを使用するように構成されている場合は、データベース・ポリシー・ストアに移行する必要があります。データベース・ポリシー・ストアは、単一および高可用性(HA)の両方の環境でサポートされています。

Oracleデータベースをポリシー・ストアおよび資格証明ストアとして構成する方法の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のデータベース・ベースのセキュリティ・ストアの使用に関する項およびセキュリティ・ストアの再関連付けに関する項を参照してください。トラブルシューティングの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』の再関連付けの失敗に関する項を参照してください。『Oracle WebCenterのアップグレード』のOracle WebCenterのアップグレード前のタスクの実行に関する項で説明されているように、ファイルベースまたはLDAPベースのポリシー・ストアをデータベース・ベースのポリシー・ストアに移行することは、アップグレード前のタスクです。

権限:

この章のタスクを実行するには、Oracle WebLogic Server管理コンソールでWebLogic ServerのAdminロールが付与されている必要があります。MonitorまたはOperatorロールを持つユーザーは、セキュリティ情報を表示できますが変更することはできません。

「管理操作、ロールおよびツールの理解」も参照してください。

トピック:

• WebCenter Portal管理者ロールの付与

• アプリケーション・ロールの付与

• 実行時管理ページの使用

• WebCenter Portalにおける招待による自己登録の構成

WebCenter Portal管理者ロールの付与

WebCenter Portalは、最初のオーセンティケータによってマップされたアイデンティティ・ストア内のユーザーのみを認識します。WebCenter Portal管理者アカウントは当初は組込みのLDAPサーバーにのみ作成されるため、Oracle Internet Directoryなどの外部LDAPをWebCenter Portalのプライマリ・オーセンティケータとして構成する場合は、そのLDAP内にユーザーを作成し、そのユーザーにWebCenter Portal管理者ロールを付与する必要もあります。

次の項の説明に従って、Fusion Middleware ControlまたはWLSTを使用してWebCenter Portal管理者ロールをユーザーに付与できます。

• Fusion Middleware Controlを使用したWebCenter Portal管理者ロールの付与

• WLSTを使用したWebCenter Portal管理者ロールの付与

Fusion Middleware Controlを使用したWebCenter Portal管理者ロールの付与

この項では、WebCenter Portal管理者ロールをデフォルトのweblogicアカウント以外のユーザー・アカウントに付与する方法について説明します。

Fusion Middleware Controlを使用してWebCenter Portal管理者ロールを付与する手順は次のとおりです。

1. Fusion Middleware Controlにログインし、WebCenter Portalホームページに移動します。

   「WebCenter Portalのホームページへの移動」を参照してください。

2. 「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。

   「アプリケーション・ロール」ページが開きます(図26-1を参照)。

   図26-1 「アプリケーション・ロール」ページ

   
   「図26-1 「アプリケーション・ロール」ページ」の説明

3. WebCenter Portal管理者ロールを検索します。

   • 「ロール名」フィールドに、管理者ロールの次の内部識別子を入力して、「検索」(矢印)アイコンをクリックします。

     s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator
     

   検索の結果として、管理者ロールの識別子であるs8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administratorが返されます。

4. 検索結果から管理者ロールの識別子をクリックし、「編集」をクリックします。

   「アプリケーション・ロールの編集」ページが開きます(図26-2を参照)。

   図26-2 「アプリケーション・ロールの編集」ページ

   
   「図26-2 「アプリケーション・ロールの編集」ページ」の説明

5. 「メンバー」セクションから、「追加」をクリックします。

   「プリンシパルの追加」ダイアログが開きます(図26-3を参照)。

   図26-3 「プリンシパルの追加」ダイアログ

   
   「図26-3 「プリンシパルの追加」ダイアログ」の説明

6. 管理者ロールを割り当てるユーザーを検索します。

   1. 「タイプ」ドロップダウンから、「ユーザー」を選択します。

   2. ユーザー名の一部またはユーザー名の最初の文字が含まれるように「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。

   3. オプションで、「ユーザー」を選択した場合は、「拡張オプション」セクションから「プリンシパル名をここに入力する場合に選択します」オプションを選択して、「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。

   4. 「OK」をクリックします。

      「プリンシパルの追加」ダイアログが閉じ、ユーザー名がメンバーのリストに追加されます。

7. 「アプリケーション・ロールの編集」ページからweblogicロールを削除するには、ロールを選択して「削除」をクリックし、確認ダイアログで「はい」をクリックします。

8. 「アプリケーション・ロールの編集」ページで、「OK」をクリックします。

WLSTを使用したWebCenter Portal管理者ロールの付与

WLSTを使用して別のユーザーにWebCenter Portal管理者ロールを付与する手順は次のとおりです。

1. 「Oracle WebLogic Scripting Tool (WLST)コマンドの実行」の説明に従って、WLSTを起動します。
2. 次のコマンドを使用して、ターゲット・ドメインのWebCenter Portal管理サーバーに接続します。

   connect('user_name','password, 'host_id:port')
   

   ここで:

   • user_nameは、管理サーバーにアクセスするユーザー・アカウントの名前です(例: weblogic)。

   • passwordは、管理サーバーにアクセスするためのパスワードです。

   • host_idは、管理サーバーのホストIDです。

   • portは、管理サーバーのポート番号です(例: 7001)。

3. 次に示されているように、grantAppRoleコマンドを使用して、Oracle Internet DirectoryのユーザーにWebCenter Portal管理者アプリケーション・ロールを付与します。

   grantAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator",
   principalClass="weblogic.security.principal.WLSUserImpl", principalName="wc_admin")
   

   wc_adminは、作成する管理者アカウントの名前です。

4. 新しいアカウントをテストするには、新しいアカウント名を使用してWebCenter Portalにログインします。

   「管理」リンクが表示され、管理者の操作をすべて実行できます。

5. 新しいアカウントにWebCenter Portal管理者ロールを付与したら、WLST revokeAppRoleコマンドを使用して、このロールが不要になったアカウントからこれを削除します。たとえば、weblogic以外の管理者ユーザー名を使用してWebCenter Portalがインストールされている場合は、管理者ロールはそのユーザーに付与し、デフォルトのweblogicからは削除する必要があります。

   revokeAppRole(appStripe="webcenter", appRoleName="s8bba98ff_4cbb_40b8_beee_296c916a23ed#-#Administrator", 
   principalClass="weblogic.security.principal.WLSUserImpl", principalName="weblogic")

アプリケーション・ロールの付与

この項では、Fusion Middleware ControlおよびWLSTコマンドを使用してアプリケーション・ロールにユーザーを追加する方法について説明します。

この項では、次の項目について説明します。

• Fusion Middleware Controlを使用したアプリケーション・ロールの付与

• WLSTを使用したアプリケーション・ロールの付与

Fusion Middleware Controlを使用したアプリケーション・ロールの付与

この項では、Fusion Middleware Controlを使用してユーザーにアプリケーション・ロールを付与する方法を説明します。

1. Fusion Middleware Controlにログインし、WebCenter Portalのホームページに移動します。

2. 「WebCenter Portal」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。

   「アプリケーション・ロール」ページが開きます。

   図26-4 「アプリケーション・ロール」ページ

   
   「図26-4 「アプリケーション・ロール」ページ」の説明

3. 「ロール名」フィールドに、webcenterと入力してWebCenter Portalのすべてのアプリケーション・ロールを検索するか、ロールの名前を入力し(例: appConnectionManager)、「検索」(矢印)アイコンをクリックします。

   名前がはっきりわからない場合は、部分検索語を入力するか、フィールドを空白のままにして、すべてのアプリケーション・ロールを表示します。

   「アプリケーション・ロール」ページが開きます。

   図26-5 「アプリケーション・ロール」ページ

   
   「図26-5 「アプリケーション・ロール」ページ」の説明

4. ユーザーを追加するロールを選択して、「編集」をクリックします。

   たとえば、パブリック・ロールにユーザーを追加するには、行「パブリック・ロール」を選択します。

   図26-6 ロール名の検索結果

   

5. 選択したロールに対して開く「アプリケーションの編集」ページで、「追加」をクリックします。

   図26-7 「アプリケーション・ロールの編集」ページ

   
   「図26-7 「アプリケーション・ロールの編集」ページ」の説明

6. 開いている「プリンシパルの追加」ダイアログで、ユーザーを検索します。

   1. 「タイプ」ドロップダウンから、「ユーザー」を選択します。

   2. ユーザー名の一部またはユーザー名の最初の文字が含まれるように「プリンシパル名」または「表示名」、あるいはその両方のフィールドに検索条件を入力します。

   3. 「検索済プリンシパル」表からユーザー名を選択し、「OK」をクリックします。

      「プリンシパルの追加」ダイアログが閉じ、「アプリケーション・ロールの編集」ページでアプリケーション・ロールのメンバーのリストにユーザー名が追加されます。

      図26-8 アプリケーション・ロールに追加されたユーザー

      

7. 「アプリケーション・ロールの編集」ページで、「OK」をクリックします。

8. WebCenter Portal (WC_Portal)管理対象サーバーを再起動します。

WLSTを使用したアプリケーション・ロールの付与

grantAppRoleコマンドを使用して、ユーザーにアプリケーション・ロールを付与します。構文および使用状況の詳細は、『WebLogic Server WLSTコマンド・リファレンス』のgrantAppRoleに関する項を参照してください。

実行時管理ページの使用

管理者はWebCenter Portalの「セキュリティ」タブを使用して、アプリケーション・ロールを定義し、アイデンティティ・ストアで定義されたユーザーにアプリケーション・ロールを付与できます。

注意:

「パスワード変更の許可」プロパティは、ユーザーがWebCenter Portal内で各自のパスワードを変更できるかどうかを指定しますが、これは企業のアイデンティティ・ストアで慎重に管理する必要があります。WebCenter Portal管理者はWebCenter Portalのプロファイル管理設定のページからこのプロパティを設定できます。詳細は、「プロファイルの構成」を参照してください。

WebCenter Portalにおける招待による自己登録の構成

「招待者限定の自己登録の有効化」に記載されているように、WebCenter Portalは招待による自己登録をサポートします。招待による自己登録機能では、WebCenter Portalドメイン資格証明ストアに次のパスワード資格証明が含まれていることが必要です。

• map name = o.webcenter.security.selfreg

• key= o.webcenter.security.selfreg.hmackey

• user name = o.webcenter.security.selfreg.hmackey

WebCenter Portal管理で「招待を介した自己登録の許可」を有効にするには、Fusion Middleware ControlまたはWLSTコマンドcreateCredを使用して、前述のパスワード資格証明を作成します。例:

createCred(map="o.webcenter.security.selfreg", key="o.webcenter.security.selfreg.hmackey", type="PC", 
user="o.webcenter.security.selfreg.hmackey", password="<password>", url="<url>", port="<port>", [desc="<description>"])

詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のWLSTコマンドでの資格証明の管理に関する項を参照してください。