|
|
この章では、訪問者の資格の概要について説明します。訪問者の資格を使用すると、ポータル アプリケーション内のリソースにどのユーザがアクセスできるか、それらのリソースに対してユーザが何をできるかを定義できます。このアクセスはポータルの訪問者に割り当てられているロールに基づいており、これによって柔軟なリソース管理が可能になります。訪問者の資格をコンフィグレーションするには、WebLogic Portal Administration Console を使用します。
訪問者の資格ロールは、ユーザ名、グループ メンバシップ、ユーザ プロファイルのプロパティ、セッションとリクエストの属性、および日付/時刻の機能に基づいて、ポータルの訪問者のアクセス権限を動的に決定します。たとえば、マイレージ サービスの参加者で前年に 50,000 マイル以上搭乗した特定の訪問者にゴールド メンバー ロールを割り当てることなどができます。このロールは、訪問者がサイトにログインしたときに動的に割り当てられます。
他の例として、「従業員レビュー」というポートレットがある場合、Managers という訪問者の資格ロールを作成し、マネージャのみをこのロールに割り当てることができます。このロールを割り当てられた訪問者がポータルにログインした場合にのみ、「従業員レビュー」というポートレットが表示されます。
訪問者の資格ロールは、ユーザ名、グループ メンバシップ、ユーザ プロファイルのプロパティ、セッションとリクエストの属性、および日付/時刻の機能に基づいて、ポータルの訪問者のアクセス権限を動的に決定します。
新しい訪問者の資格ロールを作成するには、以下の手順を実行します。
| 注意 : | 「ポータル リソースの資格に対する Web アプリケーション スコープまたはエンタープライズ アプリケーション スコープのロールの使用」の説明にあるように、ロールのスコープの変更、またはエンタープライズ レベルのスコープの設定も可能です。 |
これで、ロールへのユーザの追加、ロールへのグループの追加、または式の使用によってロールを定義できます。詳細については、「訪問者の資格ロールへのユーザ、グループ、条件の追加」を参照してください。
訪問者の資格ロールを定義したら、ポータル リソース、コンテンツ管理リソース、およびグループに関して資格を設定できるようになります。
WebLogic Portal Administration Console で訪問者の資格を作成すると、それらにユーザやグループを追加できます。また、ユーザ プロファイルのプロパティ、セッションとリクエストの属性、日付、時刻に基づいて条件を作成し、訪問者の資格ロールを割り当てるユーザを判断できます。
ユーザを訪問者ロールに追加すると、ポータル アプリケーション内のリソースに訪問者がアクセスできるようになり、それらのリソースに対して何ができるかも決まります。この節では、訪問者ロールに 1 名以上のユーザを追加する方法を説明します。
多数のユーザをロールに追加する場合に、最適なパフォーマンスを実現するには、以下のいずれかの手順を実行します。
1 人または複数のユーザを訪問者の資格ロールに追加するには、以下の手順を実行します。
| ヒント : | SQL 認証プロバイダを使用している場合は、ユーザ名の大文字と小文字の区別に注意してください。たとえば、Bob と bob は異なるユーザです。 |
追加したユーザが、[詳細] タブおよび [ロール内のユーザ] タブの [ロール内のユーザ] セクションに表示されます。
グループをロールに追加すると、そのロールに付随するすべての訪問者の資格へのアクセス権がそのグループのメンバー (ユーザ) と、そのグループのサブグループのユーザに付与されます。
訪問者ロールにグループを追加するには、以下の手順を実行します。
| ヒント : | SQL 認証プロバイダを使用している場合は、グループ名の大文字と小文字の区別に注意してください。たとえば、Managers と managers は異なるグループです。 |
| ヒント : | ロールはグループに直接マップすることもできます。グループとロールの相違点は、グループ メンバシップはサーバ管理者によって静的に割り当てられるのに対し、ロール メンバシップはユーザ名、グループ メンバシップ、ユーザ プロファイルのプロパティ、セッションとリクエストの属性、日付/時刻といった情報に基づき動的に決定されるという点にあります。ロールは WebLogic Server ドメインの単一のアプリケーション内の、特定の WebLogic リソースをスコープとすることができますが、グループは常に WebLogic Server ドメイン全体をスコープとします。 |
| 注意 : | グループ リストが表示されない場合は、認証プロバイダのグループ階層ツリーが構築されていることを確認してください。グループ階層ツリーの構築後もグループ リストが表示されない場合、認証プロバイダが読み込みアクセスを許可していない可能性があります。認証プロバイダが読み込みアクセスを許可しているかどうかを確認するには、「認証プロバイダの詳細の表示」の説明に従って、認証プロバイダの詳細を表示します。 |
| 注意 : | ただし、読み込みアクセスを許可していない認証プロバイダに対して、グループ名入力用テキスト フィールドをアクティブにすることができます。 |
追加したグループが、[詳細] タブおよび [ロール内のグループ] タブの [ロール内のグループ] セクションに表示されます。
ユーザ名やグループ メンバシップの他に、条件式を使って条件を設定することで、訪問者の資格ロールのメンバシップを動的に決定することができます。条件では、ユーザ プロファイルのプロパティ値、セッションとリクエストの属性、日付や時刻を指定します。
たとえば、次の条件式を使用してロールを定義できます。「ログインしたユーザの「管理者」プロパティが true に設定され、ログインが太平洋標準時で午前 9 時から午後 5 時の間に行われているとき、そのユーザはロール メンバーである。」
特性を設定するには、プロパティ セット、プロパティ セットのプロパティ、プロパティの値、および比較演算子 ANY または ALL を指定する必要があります。プルダウン メニューからプロパティ値を指定します。[別の値の追加] をクリックすると、複数のプロパティおよびそれに対応する値を追加できます。
WSRP 登録プロパティを指定します。詳細については、『連合ガイド』を参照してください。
| ヒント : | ユーザ プロファイルのプロパティ、HTTP セッションおよび HTTP リクエスト プロパティ、WSRP 登録プロパティは Workshop for WebLogic で開発者が作成します。 |
| 注意 : | ロールを定義する式の評価がリクエスト処理の過程で変化する場合は、ポータル アプリケーションのキャッシュ設定を調整し、キャッシュされたロールではなく正しいロール定義が取得されるようにする必要があります。 |
訪問者の資格ロールからユーザ、グループ、条件を削除し、ロールが割り当てられているユーザを変更できます。
ロールに関連するポータル アプリケーションのリソースへの訪問者のアクセスを取り消す場合は、ロールからユーザを削除します。
1 人または複数のユーザを訪問者の資格ロールから削除するには、以下の手順を実行します。
削除したユーザは、[ロール内のユーザ] タブまたは [詳細] タブの [ロール内のユーザ] セクションから削除されます。
ロールに関連するポータル アプリケーションのリソースへの訪問者のアクセスを取り消す場合は、ロールからグループを削除します。
1 つまたは複数のグループを訪問者の資格ロールから削除するには、以下の手順を実行します。
削除したグループは、[ロール内のグループ] タブまたは [詳細] タブの [ロール内のグループ] セクションから削除されます。
ロールから 1 つまたは複数の条件を削除するには、以下の手順を実行します。
削除した条件は、[ロール式] タブ、または [詳細] タブの [ロール内の式] セクションに表示されなくなります。
条件のタイプを変更しないのであれば、訪問者の資格ロールにおける既存の条件式を変更できます。たとえば、日付の範囲を基にした条件を作成したのであれば、日付の変更が可能です。
このタブから条件を追加することもできます。詳細については、「条件式を使用した訪問者ロールへの条件の追加」を参照してください。条件を削除する方法については、「訪問者の資格ロールの条件の削除」を参照してください。
作成したロールは、訪問者ロール ツリーで選択すれば詳細な説明を表示できます。
訪問者の資格ロールの詳細を表示するには、以下の手順を実行します。
| 注意 : | エンタープライズ レベルにスコープが設定されているロールを表示するには、または別の Web アプリケーションでロールを表示するには、「訪問者の資格ロールの作成」の説明にあるようにスコープを設定してください。 |
図 8-2 に Visitor_BasicAccess ロールの [詳細] タブを示します。
![訪問者の資格の [詳細] タブ](wwimages/visitor_access_details.gif)
訪問者の資格ロールに関する概要情報を表示し、そのロールに対してどのようなセキュリティ ポリシーが設定されているかを調べることができます。訪問者の資格ロールを削除するには、すべてのリソースに対するアクセスを削除しなければならないため、この機能は便利です。
訪問者の資格ロールのポリシーの概要を表示するには、以下の手順を実行します。
図 8-3 に [資格のあるリソース] タブを示します。
![[資格のあるリソース] タブ](wwimages/VE_browse_policies.gif)
ロールに関連するポリシーがない場合は、既存の訪問者の資格ロールの名前および説明を変更できます。ロールに関連付けられているポリシーの表示については、「資格のあるリソースの表示」を参照してください。
| ヒント : | ロールに関連するポリシーがある場合は、[詳細] タブに編集可能なロールとして表示されません。 |
訪問者の資格ロールの名前を変更するには、以下の手順を実行します。
訪問者ロール ツリーおよびタブ内に新しいロール名が表示されます。
ロールに関連する資格が付与されたリソースがあるためロールを削除できないというメッセージが表示された場合は、ロールの [資格のあるリソース] タブを選択し、リソースの依存関係を表示 (場合によっては削除) します。詳細については、「資格のあるリソースの表示」を参照してください。
リソース ライブラリまたはデスクトップで、訪問者の資格を設定できます。ライブラリ内の特定のブック、ページ、およびポートレット、またはこれらの各カテゴリに含まれるすべてのリソースに対して、資格を付与することができます。指定されたデスクトップ内で、そのデスクトップのページ、ブック、ポートレットなどの特定のリソースに資格を付与することができます。さらに、デスクトップ全体に資格を付与することも可能です。
ポータル リソース ライブラリでの訪問者の資格は、ポータル アプリケーション内のリソースのすべてのインスタンスに適用されます。ただし、デスクトップ内の、よりローカルなポリシーの設定を禁止しません。デスクトップ内にあるが、リソース ライブラリにないリソースにセキュリティ ポリシーを設定する場合は、ポリシーが適用されるのはリソースのそのインスタンスのみです。したがって、リソース ライブラリ内のリソースをセキュリティで保護しない場合は、リソースの各インスタンスを、デスクトップのブックおよびページの階層内での場所に関係なくセキュリティで保護する必要があります。
特定のブック、ページ、ポートレット、またはすべてのブック、ページ、ポートレットの全インスタンスを保護するには、ポータル リソース ライブラリで、リソースまたはリソース タイプに対するセキュリティ ポリシーを設定します。ライブラリには、すべてのポータル リソースのマスター バージョンが含まれます。また、ライブラリで設定したセキュリティ ポリシーは、デスクトップ (ポータル ノード) に表示されるリソースに適用されます。
ポータル リソースに資格を設定すると、Web アプリケーション スコープのロールまたはエンタープライズ アプリケーション スコープのロールを使用できます。訪問者のアクセスに対する制約の要件が Web アプリケーションごとに異なる場合、通常は Web アプリケーション スコープのロールを使用します。ただし、エンタープライズ アプリケーション内の複数の Web アプリケーションで同じロールを使用する場合は、エンタープライズ アプリケーション スコープのロールを使用できます。
図 8-4 に [ロール スコープの更新] ダイアログを示します。
| ヒント : | 訪問者ロールをポータル リソースに割り当てる際、グローバルな WebLogic Server ロールから選択できるほか、エンタープライズ アプリケーションおよび Web アプリケーション スコープのロールからも選択できます。 |
訪問者ロール ツリーの上にあるセクションの [ロールの参照場所] の次のテキストが更新されます。
セキュリティ ポリシーで、特定のポータル リソースに付与する訪問者の資格ロールの機能を指定します。リソース ライブラリまたはデスクトップ (ポータル ノード) で、訪問者の資格を設定できます。ライブラリ内の特定のブック、ページ、およびポートレット、またはこれらの各カテゴリに含まれるすべてのリソースに対して、資格を付与することができます。
| 注意 : | 特定のブック、ページ、ポートレット、またはすべてのブック、ページ、ポートレットの全インスタンスを保護するには、ポータル リソース ライブラリで、リソースまたはリソース タイプに対するセキュリティ ポリシーを設定します。ライブラリには、すべてのポータル リソースのマスター バージョンが含まれます。また、ライブラリで設定したセキュリティ ポリシーは、デスクトップに表示されるリソースに適用されます。 |
資格を作成することにより、ライブラリに含まれる以下のタイプのポータル リソースに対して、訪問者のアクセスを制御できます。
表 8-1 に示すように、それぞれにはリソースのタイプに基づいて訪問者の機能が決まっています。
表 8-2 に、訪問者の各機能についての説明を示します。
| 注意 : | ポータル リソースで訪問者の資格を作成すると、それまでパーソナライゼーション ルールに従って表示されていたリソースがポータルの訪問者に表示されなくなる場合があります。 |
ライブラリ内のポータル リソース (またはリソースのカテゴリ) に訪問者の資格を設定するには、以下の手順を実行します。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
図 8-5 に示すように、追加したロールは [このリソースに対する資格のあるロールの参照] セクションに一覧表示されます。
セキュリティ ポリシーで、特定のポータル リソースに付与する訪問者の資格ロールの機能を指定します。ライブラリまたはデスクトップ (ポータル ノード) で、ポータル リソースに訪問者の資格を設定できます。指定されたデスクトップ内で、そのデスクトップのページ、ブック、ポートレットなどの特定のリソースに資格を付与することができます。さらに、デスクトップまたはコミュニティ全体に資格を付与することも可能です。
| 注意 : | 特定のブック、ページ、ポートレット、またはすべてのブック、ページ、ポートレットの全インスタンスを保護するには、ポータル リソース ライブラリで、リソースまたはリソース タイプに対するセキュリティ ポリシーを設定します。ライブラリには、すべてのポータル リソースのマスター バージョンが含まれます。また、ライブラリで設定したセキュリティ ポリシーは、デスクトップに表示されるリソースに適用されます。 |
資格を作成することにより、デスクトップに含まれる以下のタイプのポータル リソースに対して、訪問者のアクセスを制御できます。
表 8-3 に示すように、それぞれにはリソースのタイプに基づいて訪問者の機能が決まっています。
表 8-4 に、訪問者の各機能についての説明を示します。
| 注意 : | ポータル リソースで訪問者の資格を作成すると、それまでパーソナライゼーション ルールに従って表示されていたリソースがポータルの訪問者に表示されなくなる場合があります。 |
デスクトップ内のポータル リソースに訪問者の資格を設定するには、以下の手順を実行します。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
追加したロールが、[このリソースに対する資格のあるロールの参照] セクションに表示されます。
特定のポータル リソースに割り当てる訪問者ロールが必要でない場合は、訪問者の資格ロールからそのリソースを削除します。ポータル リソースに関する訪問者の資格ロールの機能も変更でき、この手順に説明されています。
| ヒント : | そのロールに対する [資格のあるリソース] タブで、訪問者のロールを削除することもできます。このタブから、[削除] カラムのチェック ボックスを選択して、[削除] をクリックし、セキュリティ ポリシーを削除することもできます。 |
次の手順を実行して、ポータル リソースから、またはポータル リソースのカテゴリから、訪問者のロールを削除します。
行った変更は、[このリソースに対する資格のあるロールの参照] セクションに反映されます。
GroupSpace などのコミュニティの作成者およびオーナーは、コミュニティに参加するよう他のユーザを招待することができます。訪問者の資格により、作成者またはオーナーが招待者を選択する際に、参照オプションを使用して可能性のあるメンバーを表示できるかどうかを指定します。GroupSpace および GroupSpace での招待の使用方法の詳細については、『GroupSpace ガイド』を参照してください。
グループに関する訪問者機能は、グループの表示権限のみです。これにより、コミュニティのオーナーまたは作成者がグループ内のグループおよびユーザを表示できるかどうかを指定します。
グループに訪問者の資格を設定するには、以下の手順を実行します。
エンタープライズ アプリケーション スコープのロール (Web アプリケーション スコープのロールではない) を選択できます。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
追加したロールが、[このリソースに対する資格のあるロールの参照] セクションに表示されます。
ロールに割り当てられた訪問者が特定のグループを表示できないようにするには、グループから訪問者の資格ロールを削除します。
| ヒント : | 訪問者の資格ツリーからグループの訪問者ロールを削除することも可能です。ロールの [資格のあるリソース] タブのリソースの参照セクションで、該当するポリシーの [削除] カラムのチェック ボックスを選択し、[削除] をクリックします。 |
グループから訪問者のロールを削除するには、以下の手順を実行します。
行った変更は、[このリソースに対する資格のあるロールの参照] セクションに反映されます。
指定されたコンテンツ管理リソースに関して、訪問者の資格ロールに持たせる機能を決定するセキュリティ ポリシーを作成します。
| ヒント : | コンテンツ管理リソースに関する訪問者の資格は、GroupSpace ドキュメント ライブラリ ポートレットで使用します。詳細については、『GroupSpace ガイド』を参照してください。 |
資格を作成して、次のタイプのコンテンツ管理リソースへのアクセスを制御できます。
表 8-5 に示すように、それぞれにはリソースのタイプに基づいて訪問者の機能が決まっています。
| ヒント : | 訪問者の資格ロールに割り当てる機能によって、訪問者がコンテンツ ワークフローにどのように参加するかが決まります。たとえば、ロールに公開の機能が付与されていない場合、コンテンツのステータスを公開済みまたは廃棄済みにすることはできません。 |
表 8-6 に、コンテンツに指定できる機能について示します。
表 8-7 に、コンテンツ タイプに指定できる機能について示します。
表 8-8 に、コンテンツ ワークフローに指定できる機能について示します。
リポジトリに対して指定可能な唯一の機能は、管理機能です。この機能によって、リポジトリのプロパティを変更できます。
| 注意 : | コンテンツ管理リソースに関する訪問者の資格を作成すると、通常、ポータルの訪問者がパーソナライゼーション ルールに従って表示できるコンテンツが表示されない場合があります。 |
次の手順を実行して、コンテンツに関する訪問者の資格を設定します。
エンタープライズ アプリケーション スコープのロール (Web アプリケーション スコープのロールではない) を選択できます。
[追加するロール] セクションからロールを削除するには、ロールの横にあるチェック ボックスを選択し、[選択済みを削除] をクリックします。
追加したロールが、[このリソースに対する資格のあるロールの参照] セクションに表示されます。
コンテンツ、コンテンツ タイプ、またはワークフローに対する訪問者機能が必要でなくなったら、訪問者の資格を削除することができます。コンテンツ管理リソースに関する訪問者の資格ロールの機能も変更でき、この手順に説明されています。
| ヒント : | そのロールに対する [資格のあるリソース] タブで、コンテンツ管理リソースから訪問者の資格ロールを削除することもできます。このタブから、[削除] カラムのチェック ボックスを選択して、[削除] をクリックし、セキュリティ ポリシーを削除することもできます。 |
次の手順を実行して、コンテンツ管理リソースに関する訪問者の資格の削除、または編集を行います。
行った変更は、[このリソースに対する資格のあるロールの参照] セクションに反映されます。
資格エンジンは、処理の表示段階でルール チェックのために呼び出されますが、これはシステムのオーバーヘッドにつながります。また、管理タスクの管理も行うため、さらにオーバーヘッドが増大します。
訪問者の資格がパフォーマンスに与える影響を軽減するための推奨事項は以下のとおりです。
  
|
