|
|
この章では、認証プロバイダ、ロール マッピング プロバイダ、およびセキュリティ プロバイダ サービスの表示方法およびコンフィグレーション方法について説明します。
[ユーザ、グループ、およびロール|セキュリティ プロバイダ] メニューでは、WebLogic Portal Administration Console と対話するために、プロバイダがどのようにコンフィグレーションされているかについて詳細を表示できます。このメニューには、認証機能とロール ベースの認可機能を提供するためにコンフィグレーションした各プロバイダに対して、アクセス権限が表示されます。アクセス権限には、ユーザ、グループ、およびロールを表示、削除、または変更できるかどうかといった情報が含まれます。
[コンフィグレーション設定|サービス管理] メニューでは、読み込みアクセスを許可していないセキュリティ プロバイダに対して、ユーザおよびグループのテキスト入力を許可するかどうかを指定できます。これにより、特定のユーザまたはグループが作成または削除されるのを防ぐことができます。また、UserProvider API および GroupProvider API を使用して、実行できる実行時オペレーションが自身のロールで決定される、ユーザ管理ロールおよびグループ管理ロールをコンフィグレーションできます。
WebLogic Portal Administration Console を使用して、認証機能およびロール ベースの認証機能を提供するためにコンフィグレーションした各プロバイダに対するアクセス権限を表示します。
WebLogic Server に接続する認証プロバイダとロール マッパーは、特定の方法でコンフィグレーションされます。たとえば、WebLogic SQL Authenticator は、通常、WebLogic Portal Administration Console でユーザとグループの追加と削除ができるようにコンフィグレーションされますが、カスタム認証プロバイダのコンフィグレーションでは、ユーザとグループへのアクセスが読み込みアクセスに限定されることがあります。
コンフィグレーションされたセキュリティ プロバイダを表示するには、以下の手順を実行します。
図 6-1 のように、[セキュリティ プロバイダの参照] タブに、認証プロバイダ、ロール マッパーなどの各カテゴリのプロバイダのタイトルおよび説明が表示されます。
このタブで、セキュリティ プロバイダのタイプ (認証プロバイダまたはロール マッパー) を選択すると、追加情報を表示できます。
認証プロバイダには、ユーザ、パスワード、およびグループが格納され、それらの情報をプロバイダ内で直接表示し、管理することができます。さらに、プロバイダでは、WebLogic Portal Administration Console などのツールでプロバイダを操作するときのルールもコンフィグレーションされています。
WebLogic SQL Authenticator (デフォルトの認証プロバイダ) と WebLogic LDAP Authenticator は、WebLogic Portal Administration Console (および WebLogic Server Administration Console) に対して、デフォルトで読み込みアクセスと書き込みアクセスを許可します。
サポートされている外部認証プロバイダの通常のコンフィグレーションは、WebLogic Portal Administration Console (および WebLogic Server Administration Console) に対して、ユーザとグループの読み込みアクセスのみを許可しています。WebLogic Portal Administration Console から外部のユーザとグループに書き込みアクセスができるようにするには、書き込みアクセスを許可するためにカスタム認証プロバイダを開発する必要があります。カスタム認証プロバイダを使用する場合は、「カスタム認証プロバイダの開発方法」のガイドラインに従って認証プロバイダを開発します。
コンフィグレーションされた認証プロバイダを表示するには、以下の手順を実行します。
図 6-2 のように、[認証プロバイダの参照] タブに、各認証プロバイダのタイトルと説明が表示されます。デフォルトでは、少なくとも 1 つの認証プロバイダ、SQLAuthenticator が表示されます。
| ヒント : | WebLogic Portal Administration Console では、認証プロバイダのグループ階層ツリーも構築できます。グループのツリー ビューは、プロファイル値の変更、グループ内のユーザの検索、委託管理ロールおよび訪問者資格ロールへのユーザおよびグループの追加を実行するための便利な視覚的モードです。詳細については、『ユーザ管理ガイド』を参照してください。 |
コンフィグレーションされた認証プロバイダの詳細を表示するには、以下の手順を実行します。
[認証プロバイダの詳細] タブに認証プロバイダの名前、説明、およびバージョンが表示されます。プロバイダに実装されている管理インタフェースの種類も表示されます。
表 6-1 に、利用できる管理インタフェースの説明をまとめます。
WebLogic Portal Administration Console から外部のユーザとグループに書き込みアクセスできるようにするには、書き込みアクセスを許可するように認証プロバイダをコンフィグレーションする必要があります。これは開発タスクです。詳細については、「WebLogic セキュリティ プロバイダのコンフィグレーション」を参照してください。
認証プロバイダが WebLogic Portal Administration Console にユーザとグループの読み込みアクセスを許可していない場合でも、テキスト入力フィールドに名前を入力して既存のユーザとグループを選択できます。たとえば、読み込みアクセスをサポートしていないプロバイダに格納されているユーザのユーザ プロファイル プロパティ値を変更する必要がある場合、ユーザ管理ツリーにユーザ名を入力することで、プロパティを変更するユーザを選択できます。テキスト入力の許可については、「認証プロバイダに対するテキスト入力の有効化」を参照してください。
カスタム認証プロバイダを開発する必要があるかどうかの判断、およびカスタム認証プロバイダの開発方法については、「カスタム認証プロバイダの開発方法」を参照してください。認証プロバイダを追加する必要がある場合は、「WebLogic とカスタム認証プロバイダの選択」を参照してください。
WebLogic Server Administration Console を使用して認証プロバイダを削除した場合は、[サービス管理|認証階層サービス] ツリーを使用して WebLogic Portal Administration Console からもそのプロバイダを必ず削除してください。詳細については、『ユーザ管理ガイド』を参照してください。
ロール マッピング プロバイダは、リソースで実行される操作にどのセキュリティ ロールを適用するかを決定します。デフォルトのロール マッピング プロバイダは、WebLogic XACML プロバイダ XACMLRoleMapper であり、ロール ポリシーを格納するために組み込み LDAP サーバを使用します。
| 注意 : | WebLogic XACML ロール マッピング プロバイダは WebLogic Portal に必須のロール マッピング プロバイダであり、大部分のニーズに対応できます。カスタム ロール マッピング プロバイダをコンフィグレーションする必要はまずありません。 |
コンフィグレーションされたロール マッパーを表示するには、以下の手順を実行します。
[ロール マッパーの参照] タブに各ロール マッパーのタイトルと説明が表示されます。デフォルトでは、図 6-4 のように、デフォルトのロール マッパー XACMLRoleMapper が表示されます。
コンフィグレーションされたロール マッパーの詳細を表示するには、以下の手順を実行します。
[ロール マッパーの詳細] タブにロール マッパーの名前、説明、およびバージョンが表示されます。ロール マッパーに実装されている管理インタフェースの種類も表示されます。
表 6-2 に、利用できる管理インタフェースの説明をまとめます。
コンフィグレーションされた認証プロバイダ サービスを表示するには、以下の手順を実行します。
[認証セキュリティ プロバイダ サービス] ウィンドウに、コンフィグレーション済みの各サービスの名前と説明が表示されます。個々の認証プロバイダ サービスの設定をオーバーライドしない限り、AllAtnProviders サービスのコンフィグレーション設定がすべての認証プロバイダ サービスに適用されます。
コンフィグレーションされた認証プロバイダ サービスに関する詳細情報を表示するには、以下の手順を実行します。
選択した認証プロバイダ サービスに関する詳細情報が表示されます。
[述部テキスト入力可能] チェック ボックスでは、委託管理者がテキスト ボックスにユーザ、グループ、およびロールの名前を入力して、それらをロール ポリシーとセキュリティ ポリシーに追加できるかどうかを指定します。詳細については、「認証プロバイダに対するテキスト入力の有効化」を参照してください。
また GroupProvider API および UserProvider API を使用して、グループおよびユーザを作成、読み込み、更新、または削除する機能を、どのロールが所有しているか確認することもできます。
Anonymous ロールは、すべての未認証ユーザに割り当てられます。Self ロールは、ログインした認証済みユーザに割り当てられ、ユーザ自身のグループへの追加、パスワードの変更など、ユーザ自身に関連する操作をそのユーザが実行できるかどうかを示します。
表 6-3 は、グループ管理機能およびユーザ管理機能の説明です。
特定の名前を持つグループおよびユーザの作成または削除を制限することもできます。
表 6-4 は、設定できるグループおよびユーザの命名制限についての説明です。
「認証プロバイダ サービスのコンフィグレーション」で説明されているように、このウィンドウから、認証プロバイダ サービスを追加してコンフィグレーションしたり (次で説明します)、コンフィグレーション設定を編集したりできます。
[サービス管理] メニューでコンフィグレーション設定の表示と編集ができるように、既存の認証プロバイダ サービスを追加することができます。
認証セキュリティ プロバイダ サービスを追加するには、以下の手順を実行します。
この設定を更新するには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
認証プロバイダ サービスのコンフィグレーション設定を次のように変更することができます。
認証セキュリティ プロバイダ サービスに対するテキスト入力を有効にするには
グループ管理ロールを認証プロバイダ サービスに追加する場合、グループ プロバイダへの API 呼び出しによって手動で実行時チェックを実行するための機能を有効にします。これにより、グループにおける訪問者の資格の使用に代わる低水準の方法が提供されます。グループ管理機能 (作成、読み込み、更新、および削除) ごとに、タスクの実行を許可するロールを指定できます。
| 注意 : | 既存のグローバルまたはエンタープライズ アプリケーション スコープのロールを使用します。 |
GroupProvider API のロール機能を追加するには、以下の手順を実行します。
新しいロールがグループ管理ロールのリスト内に表示されます。この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
グループ管理ロール機能は、グループ プロバイダへの API 呼び出しにより実行される手動実行時チェックのために使用されます。これにより、グループにおける訪問者の資格の使用に代わる低水準の方法が提供されます。
GroupProvider API のグループ管理ロール機能を編集するには、以下の手順を実行します。
更新されたロールがグループ管理ロールのリスト内に表示されます。この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
ユーザ管理ロールを認証プロバイダ サービスに追加する場合、ユーザ プロバイダへの API 呼び出しによって手動で実行時チェックを実行するための機能を有効にします。ユーザ管理機能 (作成、読み込み、更新、および削除) ごとに、タスクの実行を許可するロールを指定できます。
| 注意 : | 既存のグローバルまたはエンタープライズ アプリケーション スコープのロールを使用します。 |
UserProvider API のユーザ管理ロール機能を追加するには、以下の手順を実行します。
新しいロールがユーザ管理ロールのリスト内に表示されます。この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
ユーザ管理ロール機能は、グループ ユーザへの API 呼び出しにより実行される手動実行時チェックのために使用されます。
UserProvider API のユーザ管理ロール機能を編集するには、以下の手順を実行します。
更新されたロールがユーザ管理ロールのリスト内に表示されます。この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
各認証プロバイダに対して、作成または削除できないグループ名を指定できます。
グループ名ロールが [保護/予約グループ] のリスト内に表示されます。この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
[保護/予約グループ] のリスト内にあるグループ名の制限を編集するには、以下の手順を実行します。
このグループ名ロールの新しい制限が [保護/予約グループ] のリスト内に表示されます。この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
各認証プロバイダに対して、作成または削除できないユーザ名を指定できます。
ユーザ名ロールが [保護/予約ユーザ] のリスト内に表示されます。この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
[保護/予約ユーザ] のリスト内にあるユーザ名の制限を編集するには、以下の手順を実行します。
このユーザ名の新しい制限が [保護/予約ユーザ] のリスト内に表示されます。この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
コンフィグレーションされたロール プロバイダ サービスを表示するには、以下の手順を実行します。
[ロール セキュリティ プロバイダ サービス] ウィンドウに、コンフィグレーション済みの各サービスの名前と説明が表示されます。個々のロール プロバイダ サービスの設定をオーバーライドしない限り、AllRolePrividers サービスのコンフィグレーション設定がすべてのロール マッピング プロバイダ サービスに適用されます。
デフォルトのロール マッピング プロバイダは、WebLogic XACML プロバイダ、XACMLRoleMapper であり、ロール ポリシーを格納するために組み込み LDAP サーバを使用します。
| 注意 : | WebLogic XACML ロール マッピング プロバイダは WebLogic Portal に必須のロール マッピング プロバイダであり、大部分のニーズに対応できます。カスタム ロール マッピング プロバイダをコンフィグレーションする必要はまずありません。 |
コンフィグレーションされたロール プロバイダ サービスに関する詳細情報を表示するには、以下の手順を実行します。
[述部テキスト入力可能] 機能では、委託管理者がテキスト ボックスにユーザ、グループ、およびロールの名前を入力して、それらの名前の述部をロール ポリシーとセキュリティ ポリシーに追加できるかどうかを指定します。詳細については、「ロール マッピング プロバイダに対するテキスト入力の有効化」を参照してください。
[サービス管理] メニューでコンフィグレーション設定の表示と編集ができるように、既存のロール プロバイダ サービスを追加することができます。
ロール セキュリティ プロバイダ サービスを追加するには、以下の手順を実行します。
この設定を更新するには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
デフォルトのロール マッピング プロバイダは、WebLogic XACML ロール マッピング プロバイダであり、ロール ポリシーを格納するために組み込み LDAP サーバを使用します。WebLogic XACML ロール マッピング プロバイダは WebLogic Portal に必須のロール マッピング プロバイダであり、大部分のニーズに対応できます。カスタム ロール マッピング プロバイダをコンフィグレーションする必要はまずありません。
ロール セキュリティ プロバイダ サービスのテキスト入力を有効にするには
この変更を行うには、エンタープライズ アプリケーションを再デプロイするかサーバを再起動する必要があります。
  
|
