WebLogic Platform 8.1 のセキュリティ

ユーザ情報のための外部データストアの使用

管理者の基本的な仕事の 1 つは、デプロイメント環境のユーザに関する情報を作成および管理することです。この章では、以下のトピックについて概要を説明します。

理解しておくと役に立つユーザ情報に関連する WebLogic セキュリティサービスに関する基本概念
ユーザ情報の作成および管理に必要な作業と、その保存方法および使用方法のカスタマイズに必要な作業
同じコンフィグレーションまたは異なるコンフィグレーションでのユーザ情報のバックアップおよび復元
外部 LDAP サーバに保存されたユーザ情報の操作

この章では、以下のトピックについて説明します。

注意 : ユーザ情報の定義には、ユーザ、グループ、ロール、およびセキュリティポリシーが含まれます。ただし、この章では、ユーザ、グループ、およびロールに焦点を当てて説明します。セキュリティポリシーの詳細については、『WebLogic リソースのセキュリティ』の「セキュリティポリシー」を参照してください。

ユーザ情報の保存場所

ユーザ情報は、以下の情報で構成されています。

ユーザ名とパスワード
グループ
セキュリティロール
セキュリティポリシー

デフォルトでは、ドメインを作成するたびに、ユーザ情報が組み込み WebLogic LDAP サーバに保存されます。ただし、1 つ例外があります。

注意 : 例外はユーザプロファイルです。詳細については、「ユーザプロファイル情報の管理」を参照してください。

組み込み LDAP サーバに保存されているユーザ情報は、WebLogic Platform のすべてのコンポーネントから常に使用できます。ユーザ情報は、最初に作成するときにどの管理コンソールが使用されたかに関係なく、どのコンポーネントからでも管理、修正、および削除できます。

1 つのコンポーネントの管理コンソールでユーザ情報を修正した後、別の管理コンソールの表示を更新すると、更新された情報を別のコンポーネントの管理コンソールで表示できます。

図 3-1 は、すべてのコンポーネント管理コンソールによって共有される組み込み LDAP サーバを示しています。

図 3-1 WebLogic Platform セキュリティ情報が集中的に保存される組み込み LDAP サーバ

WebLogic Platform セキュリティ情報が集中的に保存される組み込み LDAP サーバ

表 3-1 は、WebLogic Platform で使用可能な各管理コンソールで作成、修正、および削除できるユーザ情報の要約です。また、デフォルトでユーザ情報の各カテゴリと関連付けられているセキュリティプロバイダおよびストレージリポジトリも示しています。

表 3-1 には、ユーザ情報の各項目に関連付けられているデフォルトのセキュリティプロバイダおよびデータストアの一覧も含まれています。後で、ユーザ情報に使用されるストアをカスタマイズする場合は、関連付けられたセキュリティプロバイダをカスタマイズする必要があります (データストアのカスタマイズについては、「外部 LDAP サーバの使用」を参照してください)。

表 3-1 WebLogic Platform で入力、修正、および削除できるユーザ情報

ユーザ情報	情報の作成および管理に使用するコンソール	関連付けられたセキュリティプロバイダ	デフォルトのストレージリポジトリ
ユーザ名とパスワード	任意の WebLogic Platform コンポーネントの管理コンソール	WebLogic 認証プロバイダ	組み込み LDAP
グループ	任意の WebLogic Platform コンポーネントの管理コンソール	WebLogic 認証プロバイダ	組み込み LDAP
セキュリティロール	任意の WebLogic Platform コンポーネントの管理コンソール	WebLogic ロールマッピングプロバイダ	組み込み LDAP
ポータルユーザプロファイル	WebLogic Administration Portal コンソール	なし	RDBMS
トレーディングパートナプロファイル	WebLogic Integration Administration Console	なし	RDBMS

これ以降の節では、表 3-1 に示した 2 つのセキュリティプロバイダとデフォルトのストレージリポジトリについて補足します。

ユーザ情報に関連付けられたセキュリティプロバイダ

表 3-1 には、ユーザ、パスワード、グループ、およびロールに関連付けられたセキュリティ機能を調整する、以下のセキュリティプロバイダが挙げられています。

認証プロバイダ

認証プロバイダは、ユーザまたはシステムプロセスの ID を証明するために使用されます。また、認証プロバイダは、必要に応じて ID 情報を記憶および転送し、システムのさまざまなコンポーネントが使用できるようにします。

ロールマッピングプロバイダ

ロールマッピングプロバイダは、実行時に特定のリソースに対して要求元に与えられる一連のセキュリティロールを取得し、要求された WebLogic リソースに対するアクセスを許可するかどうかを認可プロバイダが判断できるように認可プロバイダにこのロール情報を提供します。

WebLogic セキュリティサービスも、ユーザ情報を処理する追加のセキュリティプロバイダを提供しますが、これらの 2 つのプロバイダは、ユーザ情報をバックアップまたは移行するときや、ユーザ情報の保存方法をカスタマイズするときに特に重要です。

ユーザ情報のデフォルトのリポジトリ

表 3-1 に示すように、デフォルトでは以下のユーザ情報が組み込み LDAP サーバで保持されます。

ユーザ名
パスワード
グループ
セキュリティロール

ユーザプロファイルは、特定のドメイン内で WebLogic Platform データの保存に使用される RDBMS で作成されます。デフォルトでは、WebLogic Platform ドメインでは PointBase RDBMS が使用されます。ユーザプロファイルの詳細については、「ユーザプロファイル情報の管理」を参照してください。

ユーザ情報データストアのカスタマイズ

表 3-2 は、ユーザおよびグループ情報の保存に Netscape iPlanet 4.1.3 LDAP サーバを、WebLogic Platform および WebLogic Portal で使用する RDBMS として Oracle 8.1.7 を使用するサンプルコンフィグレーションを示しています。

表 3-2 ユーザ情報のための外部データストアの使用

ユーザ情報	情報の作成および管理に使用するコンソール	関連付けられたセキュリティプロバイダ	外部ストレージリポジトリ
ユーザ名とパスワード	Netscape iPlanet 管理サーバ	Netscape iPlanet 認証プロバイダ¹	Netscape iPlanet 4.1.3 LDAP サーバ
グループ	Netscape iPlanet 管理サーバ	Netscape iPlanet 認証プロバイダ¹	Netscape iPlanet 4.1.3 LDAP サーバ
セキュリティロール	任意の WebLogic Platform コンポーネントの管理コンソール	WebLogic ロールマッピングプロバイダ	組み込み LDAP
ポータルユーザプロファイル	WebLogic Administration Portal コンソール	なし	Oracle 8.1.7
トレーディングパートナプロファイル	WebLogic Integration Administration Console	なし	Oracle 8.1.7

1. WebLogic Platform 配布キットには、Netscape iPlanet LDAP サーバとともに使用できる、追加設定の必要がない製品付属の認証プロバイダが含まれています。

外部 LDAP サーバの使用

WebLogic Platform には、外部 LDAP サーバに保存されているユーザ情報を操作するための、認証プロバイダおよびロールマッピングプロバイダを簡単にコンフィグレーションできるツールが用意されています。この節には、外部 LDAP サーバの使用に関する高度な注意事項と、WebLogic Server ドキュメントの該当するトピックへのリンクが含まれています。WebLogic Server ドキュメントには、ツールの説明および外部 LDAP サーバへのユーザ情報の移行方法とサーバの使用方法の手順が記載されています。

注意 : 外部 LDAP サーバを使用する場合、そのサーバを使用してユーザおよびグループ情報を保存できます。その LDAP サーバのコンソールを使用してそこに保存されているユーザ情報を管理できます。ただし、ロール、ポリシー、および追加のセキュリティ情報は、組み込み LDAP サーバに保存されたままで、WebLogic 管理コンソールから管理します。

WebLogic Platform で使用できる LDAP サーバ

WebLogic Platform では、WebLogic Server と連動する LDAP サーバであれば任意のものを使用することができます。以下の外部 LDAP サーバは WebLogic Server でテスト済みです。

Netscape iPlanet バージョン 4.1.3
Windows 2000 の一部として出荷されている Active Directory
Open LDAP バージョン 2.0.7
Novell NDS バージョン 8.5.1

外部 LDAP サーバを使用する場合は、以下の点に注意します。

ユーザ名、パスワード、およびグループは、その LDAP サーバのコンソールから管理する。
外部 LDAP サーバに保存されているユーザ名、パスワード、およびグループ情報は、どの WebLogic Platform 管理コンソールからも表示できるが、そのサーバで出荷された状態のままの製品付属の認証プロバイダを使用している場合、アクセスは読み込み専用になる (ただし、その情報への書き込みアクセス権を持つカスタム認証プロバイダを作成することは可能)。

外部 LDAP サーバのサポートの詳細については、『WebLogic Security の管理』の以下のトピックを参照してください。

「セキュリティプロバイダのコンフィグレーション」の「LDAP 認証プロバイダのコンフィグレーション」
「組み込み LDAP サーバの管理」

カスタムまたはサードパーティの認証プロバイダの使用

外部 LDAP サーバにユーザ情報を保存する場合は、そのサーバで稼動する認証プロバイダをコンフィグレーションする必要があります。WebLogic Platform には、前の節に示した LDAP サーバでテスト済みの追加設定の必要がない製品付属の認証プロバイダが含まれています。

カスタム認証プロバイダを作成することもできます。WebLogic Server Security SPI と互換性のある認証プロバイダは、WebLogic Platform でコンフィグレーションされているユーザ、グループ、ロール、資格、およびリソースとの相互作用が可能です。さらに、そのような認証プロバイダでは、コンフィグレーションできるグループとユーザの数に制限はありません。

注意 : 現在、WebLogic Platform では、RDBMS に保存されているユーザ情報を操作できる認証プロバイダは提供していません。

WebLogic Portal または WebLogic Integration でカスタムまたはサードパーティの認証プロバイダを使用する

WebLogic Portal または WebLogic Integration でカスタムまたはサードパーティの認証プロバイダを使用する場合は、以下の点に注意してください。

WebLogic Portal および WebLogic Integration は、WebLogic Server でサポートされている標準プロバイダのほかに、複数の認証プロバイダをサポートしている。
WebLogic Portal および WebLogic Integration は、カスタムまたはサードパーティの認証プロバイダを使ったユーザおよびグループの管理をサポートしている。ただし、次の制限があることに注意してください。カスタムまたはサードパーティの認証プロバイダ (追加設定が不要な WebLogic Platform 付属のサードパーティ製認証プロバイダなど) は、使用することはできても、WebLogic Platform 管理コンソールからは、デフォルトで読み込みアクセスしかできません。つまり、WebLogic Portal および WebLogic Integration の管理コンソールとツールでは、カスタムまたはサードパーティの認証プロバイダでユーザおよびグループを管理するための操作 (作成、削除、修正) を、デフォルトで実行できません。ただし、デフォルトで読み込み専用として実装されているこれらの WebLogic Platform 付属のサードパーティ製プロバイダは、それぞれの MBean をコンフィグレーションすることで、作成、削除、修正のすべての操作を実行できるようになります (ユーザおよびグループを管理するための完全なアクセスは、WebLogic Server の組み込み LDAP サーバから提供されます)。
WebLogic Platform 8.1 (Service Pack 3) の新機能として、WebLogic Portal が複数の認証プロバイダをサポートしている。認証プロバイダのコンフィグレーション、デプロイ、およびアンデプロイは WebLogic Server Administration Console から行います。これらの認証プロバイダを使用して、WebLogic Administration Portal からユーザ、グループ、パーソナライゼーション、委託管理、および訪問者資格を直接管理できます。

WebLogic Portal で複数の認証プロバイダを使用する際は、以下の点に注意してください。

WebLogic Administration Portal には、コンフィグレーションされた各認証プロバイダのユーザグループリソースツリーを作成したり、各プロバイダの読み込みおよび書き込み権限を表示したりするための新しいページが追加されている。
カスタムまたはサードパーティの認証プロバイダを使用して管理できる情報の量と精度は、そのプロバイダに実装されているオプションのセキュリティ MBean セットによって異なる。
Workshop Portal Extensions は、ユーザとグループに関わる開発タスクに使用する認証プロバイダを指定できるよう強化されている。

Service Pack 3 では、WebLogic Administration Portal に認証階層サービスが追加されています。このサービスは、コンフィグレーションされた各認証プロバイダのメモリ内のグループリソースツリーを作成する場合に使用できます。この新しいサービスにより、ポータル管理者は、各認証プロバイダに関連付けられたグループを視覚的に表現できるようになるため、便利な視覚モードを使用してユーザおよびグループを管理したり、プロバイダ内のユーザおよびグループにすばやくアクセスすることができます。
WebLogic Administration Portal における複数の認証プロバイダの管理については、「WebLogic Portal で複数の認証プロバイダを使用する」を参照してください。
WebLogic Administration Portal アプリケーション開発における複数の認証プロバイダの使用については、「WebLogic Portal で複数の認証プロバイダを使用する」を参照してください。

カスタム認証プロバイダの詳細情報

WebLogic Server でカスタムまたはサードパーティの認証プロバイダを使用する場合は、『WebLogic セキュリティサービスの開発』の以下のトピックを参照してください。

「WebLogic Server で使用するセキュリティプロバイダの開発について」の「カスタムセキュリティプロバイダのコンフィグレーション」
「認証プロバイダ」の「カスタム認証プロバイダの開発方法」にある「Administration Console を使用してカスタム認証プロバイダをコンフィグレーションする」

外部 LDAP サーバに対して追加設定の必要がない製品付属の認証プロバイダをコンフィグレーションする場合は、『WebLogic Security の管理』の「セキュリティプロバイダのコンフィグレーション」にある「LDAP 認証プロバイダのコンフィグレーション」を参照してください。

カスタムロールマッピングプロバイダの使用

WebLogic Platform に組み込まれているロールマッピングプロバイダでは、システム内のセキュリティロールのデプロイメントとアンデプロイメントがサポートされています。このプロバイダでは、WebLogic 認可プロバイダと同じセキュリティポリシーエンジンが使用されます。ただし、組織内の既存のロールマッピングメカニズムを使用する場合は、そのシステムに対応したカスタムロールマッピングプロバイダを作成できます。

ロール情報の判断に必要な情報が格納されている大規模なプロジェクトデータベースを使用する環境を想定してみましょう。WebLogic ロールマッピングプロバイダは、組み込み LDAP サーバに保存されたロール情報しか操作できないため、この外部に保存されたロール情報を操作できるカスタムロールマッピングプロバイダを作成する必要があります。

WebLogic Platform 8.1 (Service Pack 3) では、WebLogic Portal 管理ツールで、カスタムまたはサードパーティのロールマッピングプロバイダのロールの関連付けをサポートしています。これにより、WebLogic ロールマッピングプロバイダ以外にコンフィグレーションされているロールマッピングプロバイダについても、それが管理するロールに基づいて訪問者資格を作成できます。

カスタムロールマッピングプロバイダの作成方法の詳細については、『WebLogic Security サービスの開発』の「ロールマッピングプロバイダ」にある「カスタムロールマッピングプロバイダの開発方法」を参照してください。

ユーザプロファイル情報の管理

WebLogic Integration および WebLogic Portal では、ユーザと関連付けることができるプロファイルの追加も可能です。デフォルトでは、ユーザプロファイルはそれらの作成に使用した管理コンソールからのみ表示できます。プロファイルは、WebLogic Integration では WebLogic Integration リポジトリに、WebLogic Portal では WebLogic Portal リポジトリに保存されます。これらは、WebLogic Platform ドメインに対してコンフィグレーションされた RDBMS に存在します (デフォルトでは、この RDBMS は PointBase です)。

たとえば、WebLogic Integration では、トレーディングパートナプロファイルを作成できます。トレーディングパートナプロファイルは、ユーザ名、パスワード、および B2B アプリケーションに固有のその他のデータ (トレーディングパートナの住所、業務内容、その他の関連データなど) で構成されます。トレーディングパートナプロファイルに関連付けられたユーザ名は、コンフィグレーションされた認証プロバイダの通常の WebLogic ユーザとして保存および管理されます。ただし、追加のトレーディングパートナプロファイルデータは、WebLogic Integration リポジトリに保存されます。WebLogic Integration には、そのリポジトリ内の各トレーディングパートナプロファイルを対応するユーザ名とマップする内部メカニズムがあります。

WebLogic Portal にもユーザプロファイルの概念があります。トレーディングパートナプロファイルと同様に WebLogic Portal ユーザプロファイルは以下の特徴があります。

ユーザをプロファイルと関連付け、コンフィグレーションされた認証プロバイダ内に対応するユーザ名とパスワードを保持する。ユーザプロファイル内のデータには、ポータルプリファレンスなど関連付けられたユーザに関して収集されたデータが含まれます。
WebLogic Portal リポジトリ内のユーザプロファイルに追加のデータを保持する。

デフォルトでは、トレーディングパートナプロファイル情報は、WebLogic Integration Administration Console からのみ表示でき、Portal ユーザプロファイルは WebLogic Administration Portal からのみ表示できます。ただし、トレーディングパートナプロファイルおよび Portal ユーザプロファイルと関連付けられたユーザは、どの WebLogic 管理コンソールでも表示できます。

注意 : WebLogic Integration および WebLogic Portal 管理コンソールで作成されたユーザのプロファイルは、RDBMS に保存されます。ただし、ユーザ名およびパスワードは、アプリケーションドメインに対してコンフィグレーションされた認証プロバイダによって管理されます。それらは、そのプロバイダでコンフィグレーションされた LDAP サーバに保存されます。

ユーザプロファイルの削除

ユーザプロファイルの削除については、以下の事項に注意してください。

WebLogic Platform の任意の管理コンソールからポータルユーザを削除した場合、そのユーザに関連付けられたプロファイル情報は WebLogic Administration Portal からアクセスできなくなる。
WebLogic Integration からのトレーディングパートナの削除は、次のような 2 つの手順のプロセスとなる。

WebLogic Integration Administration Console から、トレーディングパートナを削除します。これによって、WebLogic Integration リポジトリから対応するユーザプロファイルが削除されます。

WebLogic Server Administration Console から対応する WebLogic Server ユーザを削除します。

手順 2 を実行しないで手順 1 を実行した場合、WebLogic Server ユーザはその環境に残ったままになります。同様に、単に WebLogic Server ユーザを削除しただけでは、対応するユーザプロファイルを WebLogic Integration リポジトリから削除できません。

Platform ドメインに事前にコンフィグレーションされているユーザ、グループ、およびロール

この節では、コンフィグレーションウィザードを使用して Platform ドメインを作成するときに事前にコンフィグレーションされるユーザ、グループ、およびロールについて説明します。この節に示すユーザ情報は、情報目的としてのみ提供されます。これは、使用するソフトウェア環境および事前にコンフィグレーションされたユーザ情報によっては、保護、バックアップ、削除、または移行が必要なユーザ、グループ、およびセキュリティロールを追跡するために便利です。

Platform ドメインで作成されたデフォルトユーザ

表 3-3 は、Platform ドメインでデフォルトで作成されるユーザを示しています。

表 3-3 デフォルトの WebLogic Platform ユーザ

ユーザ名	説明
`weblogic`	ドメインの管理者のデフォルトユーザ名。このユーザは、システム管理者特権を持つ。 `weblogic` は、サンプルアプリケーションドメインでの、このユーザ名に対するデフォルトパスワード。サンプルアプリケーションドメインは、すべての WebLogic Platform コンポーネントにおいて、そのまま使用できる状態で提供される。
`portaladmin`	ポータル管理者のデフォルトユーザ名。このユーザは、`Administrators` および `PortalSystemAdministrators` グループに属する。デフォルトでは、このユーザのパスワードは `portaladmin` である。Administration Portal を使用していない場合は、このユーザをすべての WebLogic Platform 管理コンソールから削除すると安全である。注意 : ドメインを作成した後に、このパスワードを変更することを強く推奨。特に、プロダクション環境で使用するドメインの場合は必ず変更すること。
`yahooadmin`	My Yahoo! Enterprise Edition ポートレットの管理者のデフォルトユーザ名。このユーザは `Administrators` グループに属する。`yahooadmin` 名によって、My Yahoo! Enterprise Edition ポートレットの匿名ユーザに対するサポートがアクティブになる。デフォルトでは、このユーザのパスワードは `yahooadmin` である。Administration Portal を使用していない場合は、このユーザをすべての WebLogic Platform 管理コンソールから削除すると安全である。注意 : ドメインを作成した後に、このパスワードを変更することを強く推奨。特に、プロダクション環境で使用するドメインの場合は必ず変更すること。

ユーザ名

説明

weblogic

ドメインの管理者のデフォルトユーザ名。このユーザは、システム管理者特権を持つ。

weblogic は、サンプルアプリケーションドメインでの、このユーザ名に対するデフォルトパスワード。サンプルアプリケーションドメインは、すべての WebLogic Platform コンポーネントにおいて、そのまま使用できる状態で提供される。

portaladmin

ポータル管理者のデフォルトユーザ名。このユーザは、Administrators および PortalSystemAdministrators グループに属する。デフォルトでは、このユーザのパスワードは portaladmin である。Administration Portal を使用していない場合は、このユーザをすべての WebLogic Platform 管理コンソールから削除すると安全である。

注意 : ドメインを作成した後に、このパスワードを変更することを強く推奨。特に、プロダクション環境で使用するドメインの場合は必ず変更すること。

yahooadmin

My Yahoo! Enterprise Edition ポートレットの管理者のデフォルトユーザ名。このユーザは Administrators グループに属する。yahooadmin 名によって、My Yahoo! Enterprise Edition ポートレットの匿名ユーザに対するサポートがアクティブになる。デフォルトでは、このユーザのパスワードは yahooadmin である。Administration Portal を使用していない場合は、このユーザをすべての WebLogic Platform 管理コンソールから削除すると安全である。

WebLogic Server のデフォルトのロールとグループ

表 3-4 および表 3-5 は、Platform ドメインで作成されるデフォルト WebLogic Server ロールとグループを示しています。

表 3-4 WebLogic Server でのデフォルトロール

ロール	説明
`Anonymous`	このグローバルロールはすべてのユーザ (グループ everyone) に与えられる。
`Admin`	以下の特権を持つ。暗号化された属性の暗号化値を含む、サーバコンフィグレーションを表示する。サーバコンフィグレーション全体を修正する。エンタープライズアプリケーション、起動クラスと停止クラス、および Web アプリケーション、EJB、J2EE Connector、および Web サービスモジュールをデプロイする。サーバを起動、再起動、および停止する。
`Deployer`	以下の特権を持つ。暗号化された属性以外のサーバコンフィグレーションを表示する。エンタープライズアプリケーション、起動クラスと停止クラス、および Web アプリケーション、EJB、J2EE Connector、および Web サービスモジュールをデプロイする。
`Operator`	以下の特権を持つ。暗号化された属性以外のサーバコンフィグレーションを表示する。サーバを起動、再起動、および停止する。
`Monitor`	暗号化された属性以外のサーバコンフィグレーションを表示する特権を持つ。

表 3-5 WebLogic Server でのデフォルトグループ

グループ	説明
`users`	ログインしたときのユーザ (たとえば、Web ページから)。
`everyone`	すべてのユーザは、このグループのメンバーである。
`Administrators`	デフォルトでは、このグループには以下が含まれる。インストールプロセスの一部として入力されたユーザ情報 (コンフィグレーションウィザードを使用して入力された情報)。 WebLogic Server インスタンスが互換性セキュリティを実行している場合はシステムユーザ。 `Administrators` グループに割り当てられたユーザは、デフォルトでは `Administrator` セキュリティロールを与えられ、WebLogic Integration および WebLogic Portal を含むすべての WebLogic Platform コンポーネントに対する完全な管理者特権を持つ。
`Deployers`	デフォルトでは、このグループには空になっている。`Deployers` グループに割り当てられたユーザは、デフォルトでは `Deployer` セキュリティロールを与えられる。
`Operators`	デフォルトでは、このグループには空になっている。`Operators` グループに割り当てられたユーザは、デフォルトでは `Operator` セキュリティロールを与えられる。
`Monitors`	デフォルトでは、このグループには空になっている。`Monitors` グループに割り当てられたユーザは、デフォルトでは `Monitor` セキュリティロールを与えられる。

WebLogic Integration のデフォルトのセキュリティロールとグループ

表 3-6 および表 3-7 は、Platform ドメインで作成されるデフォルト WebLogic Integration ロールとグループを示しています。

表 3-6 デフォルトの WebLogic Integration セキュリティロール

ロール	説明
`IntegrationAdmin`	WebLogic Integration 管理者ロール。このロールは、クラスタ内のすべてのサーバに対する完全な特権を持つ。このロールは、管理コンソールを使用して追加のロールを作成できる。
`IntegrationDeployer`	WebLogic Integration デプロイヤロール。このロールは、クラスタ内のすべてのサーバに対する完全な特権を持つ。このロールは、管理コンソールを使用して追加のロールを作成できる。
`IntegrationOperator`	WebLogic Integration オペレータロール。このロールは、`IntegrationAdministrator` ロールのほとんどすべての特権を持つ。たとえば、`IntegrationOperator` ロールのユーザは、特定のセキュリティプロパティをコンフィグレーションできないが、リソースを修正できる。
`IntegrationMonitor`	WebLogic Integration モニタロール。このロールは、WebLogic Integration Administration Console に対する読み込み専用アクセスを持つ。
`IntegrationUser`	デフォルトの WebLogic Integration ユーザロール。すべてのユーザは、最初に作成されたときに `IntegrationUser` ロールに割り当てられる。
`TaskCreationRole`	ワークリストタスクの作成を認可できるオプションのロール。『WebLogic Integration ソリューションの管理』の「システムコンフィグレーション」にある「ワークリストタスク作成ロールのコンフィグレーション」を参照。ワークリストタスクの作成を認可するようにこのロールをコンフィグレーションした場合、`TaskCreationGroup` に割り当てられたすべてのユーザがこの特権を持つようになる。ただし、明示的にそれらを持つようにコンフィグレーションしない限り、デフォルトでは `TaskCreationRole` に特別な権利はない。

表 3-7 WebLogic Integration でのデフォルトグループ

グループ	説明
`IntegrationAdministrators`	WebLogic Integration 管理者グループ。このグループは、ロール `IntegrationAdmin` に割り当てられ、すべてのメンバーがそのロールを継承する。
`IntegrationDeployers`	WebLogic Integration デプロイヤグループ。このグループは、ロール `IntegrationDeployer` に割り当てられ、すべてのメンバーがそのロールを継承する。
`IntegrationUsers`	WebLogic Integration ユーザグループ。このグループは、ロール `IntegrationUser` に割り当てられ、すべてのメンバーがそのロールを継承する。
`IntegrationMonitors`	WebLogic Integration モニタグループ。このグループは、ロール `IntegrationMonitor` に割り当てられ、すべてのメンバーがそのロールを継承する。
`IntegrationOperators`	WebLogic Integration オペレータグループ。このグループは、ロール `IntegrationOperator` に割り当てられ、すべてのメンバーがそのロールを継承する。
`TaskCreationGroup`	Integration 管理者のほかに新しいワークリストタスクの作成を認可されたユーザを含む WebLogic Integration グループ。このグループには、ロール `TaskCreationRole` に割り当てられる。

WebLogic Portal のデフォルトのセキュリティロールとグループ

表 3-8 および表 3-9 は、Platform ドメインで作成されるデフォルト WebLogic Portal ロールとグループを示しています。

表 3-8 WebLogic Portal でのデフォルトセキュリティロール

ロール	説明
`CustomerRole`	コマースサービスで使用される、`wlcs_customer` グループに関連付けられたロール。ポータルアプリケーションでコマースサービスを使用しない場合は、このロールを安全に削除できる。
`PortalSystemAdministrator`	デフォルトの WebLogic Portal システム管理者ロール。このロールは、クラスタ内のすべてのサーバに対する完全な特権を持つ。このロールは、管理コンソールを使用して追加のロールを作成できる。
`PortalSystemDelegator`	委託管理を確立するための最上位のロール。`Administrators` グループのすべてのユーザは、デフォルトではこのロールに割り当てられる。

表 3-9 WebLogic Portal でのデフォルトグループ

グループ	説明
`PortalSystemAdministrators`	WebLogic Portal 管理者グループ。このグループは、ロール `PortalSystemAdministrator` に割り当てられ、すべてのメンバーがそのロールを継承する。
`wlcs_customer`	ポータルの顧客をポータルユーザと区別するためにコマースサービスで使用されるグループ。このグループは、WebLogic Portal 7.0 との互換性のために存在している。ポータルアプリケーションでコマースサービスを使用しない場合は、このグループを安全に削除できる。

ユーザ情報のための外部データ ストアの使用

ユーザ情報の保存場所

ユーザ情報に関連付けられたセキュリティ プロバイダ