|
|
この章では、WebLogic Portal Administration Console を使用して委託管理をコンフィグレーションする方法について概説します。委託管理は、ロールの階層構造内で WebLogic Portal Administration Console の特権を伝達するメカニズムです。
組織では、通常、ユーザごとに異なる管理タスクおよびリソースへのアクセス特権を付与する場合があります。たとえば、システム管理者には WebLogic Portal Administration Console のすべての機能にアクセスできる権限を与えます。これにより、システム管理者は、ポータルの特定のデスクトップ ビューでポータル リソースのインスタンスを管理できるポータル管理者ロールと、ポータル リソース ライブラリを管理できるライブラリ管理者ロールを作成します。
WebLogic Portal には、1 件のあらかじめ定義された委託管理ロール「PortalSystemDelegator」があります。デフォルトでは管理者グループのすべてのメンバーが PortalSystemDelegator ロールに割り当てられています。PortalSystemDelegator ロールを割り当てられたメンバーは誰でも、エンタープライズ ポータル アプリケーション内にある任意の管理タスクに無制限にアクセスできます。その他の委託管理ロールは、アクセスが明示的に付与されているリソースのみにアクセスできます。
管理者ロールを作成し、ユーザ名、グループ メンバシップ、ユーザ プロファイルのプロパティ値、セッションとリクエストの属性、および日付と時刻の機能に基づいて、ロール メンバシップを動的に割り当てることで、必要に応じた数の管理者を作成できます。
委託管理を使用して、委託管理の構造を定義するロールの階層構造内のアクセス権限を伝播することもできます。管理階層の設定と管理者への特権の割り当ては柔軟に行えます。管理者は、適切な特権を与えることにより、指定されたリソース機能を管理する特権と、委託される側がさらに委託を行う特権の両方を委託できます。ロールの階層構造の詳細については、「委託管理ロールの階層構造の設定」を参照してください。
これで、ロールへのユーザの追加、ロールへのグループの追加、または式の使用によってロールを定義できます。詳細については、「委託管理ロールへのユーザ、グループ、および条件の追加」を参照してください。
| 注意 : | 委託管理ロールの階層構造を構築している場合、子ロール名はユニークでなければなりません。たとえば、階層内に RoleB という名前の子ロールがすでにある場合は、RoleB という名前の子ロールを持つ委託管理ロール RoleA を作成することはできません。 |
WebLogic Portal Administration Console で委託管理ロールを作成したら、それらにユーザおよびグループを割り当てることができます。また、ユーザ プロファイル プロパティ、日付、および時刻に基づいた式を使用することでも、委託管理ロールを割り当てる対象を指定できます。
図 7-2 に、PortalSystemDelegator ロールの [詳細] タブを示します。
![Portalsystemdelegator ロールの [詳細] タブ](wwimages/portal_system_delegator.gif)
ロールにユーザを追加すると、追加したユーザにはそのロールに付随する管理特権へのアクセス権が付与されます。この節では、ロールに 1 名以上のユーザを追加する方法を説明します。
ロールに追加するユーザが多数いる場合は、ベスト パフォーマンスのため、ユーザをグループに追加してから、それらのグループでロールを作成するか、表現式を使用してください。
| ヒント : | ロールはグループに直接マップすることもできます。グループ メンバシップはサーバ管理者により静的に割り当てられ、ロール メンバシップはユーザ名、ユーザ プロファイルのプロパティ値、グループ メンバシップ、日時などの情報に基づいて動的に指定されるという点がグループとロールの違いです。ロールは WebLogic Server ドメインの単一のアプリケーション内の、特定の WebLogic リソースをスコープとすることができますが、グループは常に WebLogic Server ドメイン全体をスコープとします。 |
次の手順を実行して、委託管理ロールに 1 名以上のユーザを追加します。
| ヒント : | SQL 認証プロバイダを使用している場合は、ユーザ名の大文字と小文字の区別に注意してください。たとえば、Bob と bob は異なるユーザです。 |
追加したユーザが、[詳細] タブおよび [ロール内のユーザ] タブの [ロール内のユーザ] セクションに表示されます。
グループをロールに追加すると、そのロールに付随する管理特権へのアクセス権がそのグループのメンバー (ユーザ) と、そのグループのサブグループのユーザに付与されます。
| ヒント : | SQL 認証プロバイダを使用している場合は、グループ名の大文字と小文字の区別に注意してください。たとえば、Managers と managers は異なるグループです。 |
| 注意 : | グループ リストが表示されない場合は、認証プロバイダのグループ階層ツリーが構築されていることを確認してください。グループ階層ツリーの構築後もグループ リストが表示されない場合、認証プロバイダが読み込みアクセスを許可していない可能性があります。認証プロバイダが読み込みアクセスを許可しているかどうかを確認するには、「認証プロバイダの詳細の表示」の説明に従って、認証プロバイダの詳細を表示します。 |
| 注意 : | 「認証プロバイダに対するテキスト入力の有効化」の説明に従って、読み込みアクセスを許可していない認証プロバイダに対して、グループ名入力用テキスト フィールドをアクティブにすることができます。 |
追加したグループが、[詳細] タブおよび [ロール内のグループ] タブの [ロール内のグループ] セクションに表示されます。
条件式を使用して、ユーザ名やグループ メンバシップ以外に、委託管理ロールでメンバシップを動的に指定する条件を設定することができます。条件では、ユーザ プロファイルのプロパティ値、セッションとリクエストの属性、日付や時刻を指定します。
たとえば、次のような条件式を使用してロールを定義できます。「ログインしたユーザの管理者プロパティに true が設定され、ログインが太平洋標準時で午前 9 時から午後 5 時の間に行われているとき、そのユーザはロール メンバーである。」
特性を設定するには、プロパティ セット、プロパティ セットのプロパティ、プロパティの値、および比較演算子 ANY または ALL を指定する必要があります。プルダウン メニューからプロパティ値を指定します。[別の値の追加] をクリックすると、複数のプロパティおよびそれに対応する値を追加できます。
WSRP 登録プロパティを指定します。詳細については、『連合ガイド』を参照してください。
| ヒント : | ユーザ プロファイルのプロパティ、HTTP セッションおよび HTTP リクエスト プロパティ、WSRP 登録プロパティは Workshop for WebLogic で開発者が作成します。 |
| 注意 : | ロールを定義する式の評価がリクエスト処理の過程で変化する場合は、ポータル アプリケーションのキャッシュ設定を調整し、キャッシュされたロールではなく正しいロール定義が取得されるようにする必要があります。 |
委託管理ロールからユーザ、グループ、および条件を削除することで、ロールを割り当てる対象を変更できます。
ロールに関連付けられた管理権限に対するユーザ アクセスを取り消すには、そのロールからユーザを削除します。
次の手順を実行して、委託管理ロールから 1 名以上のユーザを削除します。
削除したユーザは、[ロール内のユーザ] タブ、または [ロール内のユーザ] の下の [詳細] タブに表示されなくなります。
次の手順を実行して、ロールから 1 つ以上のグループを削除します。
削除したグループは、[ロール内のグループ] タブ、または [ロール内のグループ] の下の [詳細] タブに表示されなくなります。
ロールから 1 つまたは複数の条件を削除するには、以下の手順を実行します。
削除した条件は、[ロール式] タブ、または [詳細] タブの [ロール内の式] セクションに表示されなくなります。
条件のタイプを変更するのでなければ、委託管理ロールの既存の表現式を変更することができます。たとえば、日付の範囲を基にした条件を作成したのであれば、日付の変更が可能です。
[ロール式] タブから条件の追加もできます。詳細については、「条件式を使用した委託管理ロールへの条件の追加」を参照してください。条件の削除については、「委託管理ロールの条件の削除」を参照してください。
選択したロールにサブロールを管理させることができます。たとえば、選択したロールでの子ロールの作成、削除、および移動と、子ロールへのユーザの追加を、別の管理者が行うことができます。ノードのロールごとに、その従属ロールを編集する特権を付与できます。
| 注意 : | 管理者階層で自分より下の階層にあるロールは変更できます。自らのロール、または階層構造で自分より上のロールを変更することはできません。 |
| ヒント : | 子ロールに付与されている機能を親ロールに自動的に付与するには、[サブロールの機能は、親ロールに暗黙的に与えられます] チェック ボックスを選択します。PortalSystemDelegator ロールはすべてのロールに適用されるため、このオプションは PortalSystemDelegator ロールがツリーで選択されている場合にのみ表示されます。 |
図 7-3 に、詳細プロパティ ダイアログを示します。
ロールを作成した後、委託管理ツリーでそのロールを選択できます。
委託管理ロールについての詳細を表示するには、次の手順を実行します。
図 7-4 に、DA_Authentication ロールの [詳細] タブを示します。
![委託管理の [詳細] タブ](wwimages/DA_role_details.gif)
ロールに関連付けられているポータル リソースを表示できます。委託管理ロールを削除する前に関連するセキュリティ ポリシーを削除する必要があるため、この情報は便利です。WebLogic リソースと 1 つまたは複数のユーザ、グループ、またはロールとの間に関連付けを定義すると、セキュリティ ポリシーが作成されます。したがって、ロール ポリシーがロールを定義し、そのロールに関連付けられる認可制約をセキュリティ ポリシーが定義します。
| ヒント : | セキュリティ ポリシーはポリシーの [概要] ページ、または特定のリソースの [委託管理] タブから削除することができます。 |
次の手順を実行して、委託管理ロールの委託リソースを表示します。
| ヒント : | このタブから、[削除] カラムのチェック ボックスを選択して、[削除] をクリックし、セキュリティ ポリシーを削除することもできます。 |
図 7-5 に、[委託リソース] タブを示します。
![[委託リソース] タブ](wwimages/DA_browse_policies.gif)
ロールに関連付けられたセキュリティ ポリシーがない場合、既存の委託管理ロールの名前および説明を変更することができます。ロールに関連付けられたポリシーの表示については、「委託リソースの表示」を参照してください。
| ヒント : | ロールに関連するポリシーがある場合は、[詳細] タブに編集可能なロールとして表示されません。 |
委託管理ロールを削除すると、そのロールに関連付けられている子ロールも削除されます。
委託管理ロールは、このロールに関連付けられたセキュリティ ポリシーがない場合にのみ削除できます。削除するロールに関連するセキュリティ ポリシーがある場合は、警告が表示されます。ロールを削除する前に、すべての参照を削除する必要があります。
リソースの依存関係が存在するためロールを削除できないというメッセージが表示された場合は、そのロールの [委託リソース] タブを選択してリソースの依存関係を表示し、必要に応じてリソースの依存関係を削除します。詳細については、「委託リソースの表示」を参照してください。
認証プロバイダに委託管理ロールを割り当てることにより、どのポータル管理者がどの認証プロバイダを管理できるかを決定できます。
認証プロバイダに指定できる機能は [使用可能] のみです。この機能により、この認証プロバイダからユーザとグループを管理できます。
| 注意 : | 「グループへの委託管理の設定」に従ってグループに委託管理ロールを割り当てるときに [使用可能] 機能がない場合、プロバイダへのアクセス権も与えるかどうかを確認するダイアログ ボックスが表示されます。[OK] をクリックすると、認証プロバイダへのアクセス権を与えてグループに委託管理ロールを割り当てます。[取り消し] をクリックすると、ロールには認証プロバイダへのアクセス権が与えられません。 |
認証プロバイダに委託管理を割り当てるには、以下の手順を実行します。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
追加したロールが [このリソースに委託されたロールの参照] セクションに表示されます。
認証プロバイダで使用できる管理機能が不要になった場合、管理機能を認証プロバイダから削除できます。
認証プロバイダの管理機能は [使用可能] のみです。そのため、ロールを編集してこの機能を削除すると、委託管理ロールは認証プロバイダから削除されます。
認証プロバイダに対する委託管理を削除するには、以下の手順を実行します。
変更内容が [このリソースに委託されたロールの参照] セクションに反映されます。
グループに委託管理ロールを割り当てることにより、各グループを管理できるポータル管理者を指定できます。表 7-1 に、グループの管理機能を示します。
| ヒント : | 複数の認証プロバイダを使用している場合は、異なるプロバイダ間で同一のグループ名を使用できます。グループに対して委託管理を設定すると、その委託管理ロールが割り当てられている管理者は、そのグループが属するすべてのプロバイダで、グループを管理できます。ただし、管理者には他のプロバイダに対する管理機能が必要です。 |
グループに委託管理を割り当てるには、以下の手順を実行します。
| 注意 : | グループ リストが表示されない場合は、認証プロバイダのグループ階層ツリーが構築されていることを確認してください。グループ階層ツリーの構築後もグループ リストが表示されない場合、認証プロバイダが読み込みアクセスを許可していない可能性があります。認証プロバイダが読み込みアクセスを許可しているかどうかを確認するには、「認証プロバイダの詳細の表示」の説明に従って、認証プロバイダの詳細を表示します。 |
| 注意 : | 「認証プロバイダに対するテキスト入力の有効化」の説明に従って、読み込みアクセスを許可していない認証プロバイダに対して、グループ名入力用テキスト フィールドをアクティブにすることができます。 |
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
| 注意 : | グループを管理できるロールには、認証プロバイダにアクセスするために [使用可能] 機能も必要です。グループに割り当てる委託管理ロールに認証プロバイダへのアクセス権がない場合は、認証プロバイダへのアクセス権も同時に付与するかどうかを確認するダイアログ ボックスが表示されます。認証プロバイダへのアクセス権を与えてグループに委託管理ロールを割り当てるには、[OK] をクリックします。ロールに認証プロバイダへのアクセス権を与えない場合は、[取り消し] をクリックします。[取り消し] をクリックすると、委託管理ロールはグループに割り当てられません。 |
追加したロールが [このリソースに委託されたロールの参照] セクションに表示されます。
ユーザのグループで管理機能が不要になった場合は、グループから委託管理を削除できます。グループに対する委託管理ロールの機能を変更することもできます。この点についてもここで説明します。
| ヒント : | グループから委託管理ロールを削除するには、委託管理ロールの [委託リソース] タブを使用する方法もあります。このタブの [削除] カラムのチェック ボックスを選択し、[削除] をクリックして、セキュリティ ポリシーを削除します。 |
グループに対する委託管理を削除または編集するには、以下の手順を実行します。
| 注意 : | グループ リストが表示されない場合は、認証プロバイダのグループ階層ツリーが構築されていることを確認してください。グループ階層ツリーの構築後もグループ リストが表示されない場合、認証プロバイダが読み込みアクセスを許可していない可能性があります。認証プロバイダが読み込みアクセスを許可しているかどうかを確認するには、「認証プロバイダの詳細の表示」の説明に従って、認証プロバイダの詳細を表示します。 |
| 注意 : | 「認証プロバイダに対するテキスト入力の有効化」の説明に従って、読み込みアクセスを許可していない認証プロバイダに対して、グループ名入力用テキスト フィールドをアクティブにすることができます。 |
変更内容が [このリソースに委託されたロールの参照] セクションに反映されます。
セキュリティ ポリシーで、特定のポータル リソースに付与する委託管理ロールの機能を指定します。リソース ライブラリまたはデスクトップ (ポータル ノード) で、ポータル リソースに委託管理を設定できます。ライブラリ内の特定のブック、ページ、およびポートレット、またはこれらの各カテゴリに含まれるすべてのリソースに対して、管理機能を設定することができます。
ライブラリに含まれる以下のタイプのポータル リソースに対して、管理者のアクセスを制御できます。
各ポータル リソースには、表 7-2 のような、リソースのタイプに基づいた機能があります。
表 7-3 に、各管理機能の説明を示します。
ライブラリ内のポータル リソースに委託管理を設定するには、以下の手順を実行します。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
追加したロールが [このリソースに委託されたロールの参照] セクションに表示されます。図 7-6 に、[リソースへの機能の委託] ダイアログの例を示します。
セキュリティ ポリシーで、特定のポータル リソースに付与する委託管理ロールの機能を指定します。ライブラリまたはデスクトップ (ポータル ノード) で、ポータル リソースに委託管理を設定できます。指定されたデスクトップ内で、そのデスクトップのページ、ブック、ポートレットなどの特定のインスタンス リソースに対する管理機能を設定することができます。さらに、デスクトップまたはコミュニティ全体に対する管理機能を設定することも可能です。
デスクトップに含まれる以下のタイプのポータル リソースに対して、管理者のアクセスを制御できます。
ポータル リソースのデスクトップ インスタンスに指定できる機能は、[インスタンスの管理] 機能のみです。この機能により、管理者はリソースの特定のインスタンスを管理することができます。
デスクトップ内のポータル リソースに委託管理を設定するには、以下の手順を実行します。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
追加したロールが [このリソースに委託されたロールの参照] セクションに表示されます。
ポータル リソースに対する管理機能が必要でなくなったら、管理機能を削除できます。ポータル リソースに関する委託管理ロールの機能も変更でき、この手順に説明されています。
デスクトップでリソース インスタンスに対する管理者の唯一の機能は [インスタンスの管理] です。ロールを編集してこの機能を削除すると、リソース インスタンスから、その委託管理ロールは削除されます。
| ヒント : | ポータル リソースから委託管理ロールを削除するには、委託管理ロールの [委託リソース] タブを使用する方法もあります。このタブから、[削除] カラムのチェック ボックスを選択して、[削除] をクリックし、セキュリティ ポリシーを削除することもできます。 |
次の手順を実行して、ポータル リソースから、またはポータル リソースのタイプから、委託管理を削除または編集します。
変更内容が [このリソースに委託されたロールの参照] セクションに反映されます。
委託管理を対話管理リソース (キャンペーン、プレースホルダ、セグメント、およびコンテンツ セレクタ) に設定することにより、対話管理リソースの管理に関して、ポータル管理者のアクセス レベルを指定することができます。
対話管理リソースに対する管理者の唯一の機能は [管理可能] で、管理者が対話管理リソースを管理できるかどうかを指定します。
次の手順を実行して、対話管理リソースに関する委託管理を設定します。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
変更内容が [このリソースに委託されたロールの参照] セクションに反映されます。
対話管理リソースに対する管理機能が必要でなくなったら、管理機能を削除できます。
対話管理リソースに対する管理者の唯一の機能は [管理可能] です。ロールを編集してこの機能を削除すると、対話管理リソースから、その委託管理ロールは削除されます。
次の手順を実行して、対話管理リソースから委託管理を削除します。
変更内容が [このリソースに委託されたロールの参照] セクションに反映されます。
コンテンツ管理リソースの管理に関して、ポータル管理者のアクセス レベルを指定することができます。
委託管理ロールを作成して、次のタイプのコンテンツ管理リソースへの管理アクセスを制御できます。
各コンテンツ管理リソースには、表 7-4 のような、リソースのタイプに基づいた管理機能があります。
| ヒント : | 委託管理ロールに割り当てる機能は、管理者がコンテンツ ワークフローにどう参加するかを指定します。たとえば、ロールに公開の機能が付与されていない場合、コンテンツのステータスを公開済みまたは廃棄済みにすることはできません。 |
表 7-5 に、コンテンツに対して指定できる機能の説明を示します。
表 7-6 に、コンテンツ タイプに対して指定できる機能の説明を示します。
表 7-7 に、コンテンツ ワークフローに対して指定できる機能の説明を示します。
リポジトリに対して指定可能な唯一の機能は、管理機能です。これにより、管理者がリポジトリのプロパティを変更できるかどうかが決まります。
次の手順を実行して、コンテンツに関する委託管理を設定します。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
追加したロールは [このリソースに委託されたロールの参照] の下に表示されます。
コンテンツ、コンテンツ タイプ、またはワークフローに対する管理機能が必要でなくなったら、管理機能を削除できます。コンテンツ管理リソースに関する委託管理ロールの機能も変更でき、この手順に説明されています。
| ヒント : | コンテンツ管理リソースから委託管理ロールを削除するには、委託管理ロールの [委託リソース] タブを使用する方法もあります。このタブから、[削除] カラムのチェック ボックスを選択して、[削除] をクリックし、セキュリティ ポリシーを削除することもできます。 |
次の手順を実行して、コンテンツ管理リソースに関する委託管理の削除、または編集を行います。
変更内容が [このリソースに委託されたロールの参照] セクションに反映されます。
委託管理を訪問者の資格ロールに設定することで、訪問者の資格ロールを管理するためのポータル管理者のアクセス レベルを決めることができます。
訪問者の資格の管理機能は [ロールの管理] のみで、これにより管理者が訪問者の資格ロールを管理できるかどうかを指定します。
委託管理を訪問者の資格ロールに設定するには、以下の手順を実行します。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
変更内容が [このリソースに委託されたロールの参照] セクションに反映されます。
訪問者の資格ロールで使用できる管理機能が不要になった場合、管理機能を訪問者の資格ロールから削除できます。
訪問者の資格ロールの管理機能は [ロールの管理] のみです。そのため、ロールを編集してこの機能を削除すると、委託管理ロールは訪問者の資格ロールから削除されます。
委託管理を訪問者の資格ロールから削除するには、以下の手順を実行します。
変更内容が [このリソースに委託されたロールの参照] セクションに反映されます。
  
|
