> ユーザ管理ガイド > グループの追加と管理

ユーザ管理ガイド

     前  次    目次     
ここから内容

グループの追加と管理

ユーザおよびグループの使用方法の計画」を使用してグループ構造を決定したら、Administration Console で少数のグループの作成、移動、および削除が可能になります。開発者はこれらのタスクを、Workshop for WebLogic で JSP タグおよびコントロールを使用して、多数のユーザに対して実行することもできます。

また、グループを使用して委託管理および訪問者の資格を設定することもできます。Administration Console を参照してください。ユーザを追加する前に既存のグループが存在する場合は、すぐにユーザをそのグループに追加できます。

すべてのグループ管理権限を持つポータル管理者は、次のツールを使用して、少数のグループの作成および管理を行うことができます。

開発者は次のツールを使用して、多数のグループの作成および管理を行うことができます。

ヒント : デフォルトでは、ユーザとグループは RDBMS ユーザ ストア サーバに格納されます。BEA Propagation Utility では、このデータがステージング環境からプロダクション環境に伝播されません。

この章の内容は以下のとおりです。

 

既存のグループの使用

アクセス先のユーザ ストアですでにユーザのグループ編成が行われている場合、Administration Console で階層ツリーを構築し、これらの既存のグループを整理および管理することができます。WebLogic Server のデフォルトの RDBMS ユーザ ストアを使用している場合は、グループ階層ツリーを構築する必要はありません。

この節では、次のトピックについて説明します。

グループ階層ツリーの使用

グループのツリー ビューでは、グループ プロファイルの変更、グループ内でのユーザの検索、委任管理と訪問者の資格に関するルールへのユーザとグループの追加を視覚的な方法で実行できます。図 8-1 は、デフォルトの SQLAuthenticator のグループ階層ツリーを示しています。

図 8-1 グループ階層ツリー

グループ階層ツリー

WebLogic Server を外部ユーザ ストアに接続している場合、そのユーザ ストアのサポート状況に応じて、Administration Console に階層ツリーが表示されます。プロバイダで Administration Console などの外部ツールの読み込みアクセスが許可されていないと、グループのツリー表現を表示することはできません。ユーザ ストアで読み込みアクセスが許可されているかどうかを確認する手順については、『セキュリティ ガイド』を参照してください。プロバイダでグループへの読み込みアクセスが許可されていない場合でも、Administration Console を使用して、既知のユーザとグループの名前を入力することができます。

グループ階層ツリーの構築

[認証階層サービス] ページを使用して、WebLogic Server に接続された読み込みアクセス可能なユーザ ストアにグループ階層ツリーを構築およびコンフィグレーションします。

グループ階層ツリーを構築するには、次の手順を実行します。

  1. Administration Console を起動します。
  2. Administration Console で、[コンフィグレーションとモニタ | サービス管理] を選択します。
  3. リソース ツリーで [セキュリティ] を選択します。
  4. [参照] タブで [認証階層サービス] をクリックします。
  5. 図 8-2 のように、[コンフィグレーション設定 : 認証階層サービス] をクリックして、プロバイダの設定を表示します。
    6. 図 8-2 グループ階層ツリーの構築による既存グループの取得


    グループ階層ツリーの構築による既存グループの取得

  6. [説明] フィールドで、このグループ階層ツリーに関する説明を入力します (iPlanetAuthenticator など)。
  7. [グループ階層ツリーの構築] フィールドで、次のいずれかを選択します。
    • [Automatic] - サーバの起動後またはアプリケーションの再デプロイ後に、[ビルドする認証プロバイダ] リストに表示されているユーザ ストアのグループ階層ツリーが自動的に構築されます。
    • [Manual] - [ビルドする認証プロバイダ] リストに表示されているユーザ ストアのグループ階層ツリーは、ユーザが [更新] をクリックしたときに構築されます。これにより、処理のオーバーヘッドをいつ発生させるかをユーザが決定できます。
      • 注意 : [グループ階層ツリーの構築] フィールドの値を変更するには、エンタープライズ アプリケーションを再デプロイするか、サーバを再起動する必要があります。
  8. [スイープ間隔] フィールドで、ユーザとグループに対する変更内容を表示するために階層ツリーを更新する頻度を指定します。[スイープ間隔] は、[生存時間] の設定と連携して動作します。[スイープ間隔] は、階層ツリーが期限切れになっているかどうか ([生存時間] フィールドで指定された時間が終了しているかどうか) をチェックする間隔 (秒単位) を決定します。デフォルト値は 300 秒 (5 分) です。

    9. ツリーが期限切れであることが判明した場合、期限切れのツリーはメモリから消去され、Administration Console で再度アクセスを試みるまで再構築されません。ツリーの更新頻度を増やすとパフォーマンスに影響を及ぼす可能性がありますが、ユーザとグループに対する変更は時間をおかずに反映されます。

    ヒント : 期限切れになったツリーを直ちにメモリから消去する場合は、[スイープ間隔] を [生存時間] と同じ値に設定します。この値を変更するには、エンタープライズ アプリケーションを再デプロイするか、サーバを再起動する必要があります。
  9. [最大グループ数] フィールドで、構築してメモリに追加する、すべてのユーザ ストアのグループ数の最大値を入力します。
  10. [生存時間] フィールドに、ユーザとグループに対する変更内容を表示するために階層ツリーを更新する頻度を入力します。[生存時間] フィールドは [スイープ間隔] と連携して動作し、ツリーをメモリから消去する (期限切れにする) までの時間 (秒単位) を決定します。
    期限切れになったツリーを直ちにメモリから消去する場合は、[生存時間] フィールドを [スイープ間隔] フィールドと同じ値に設定します。
  11. [ロケール言語] フィールドで、2 桁の言語の略称 (英語の場合は en など) を入力します。ロケール設定はユーザとグループのリストをソートする方法を決定します。この値を変更するには、エンタープライズ アプリケーションを再デプロイするか、サーバを再起動する必要があります。
    12. ヒント : WEB-INF/ ディレクトリの netuix-config.xml ファイル、およびブラウザ内のユーザの優先言語設定で、デフォルトのロケール言語をコンフィグレーションできます。ユーザの優先言語が設定されていない場合、ブラウザによっては、クライアント マシンのデフォルトのロケール言語が自動的に選択されます。
  12. [ロケール国] フィールドで、2 文字による国の略称を入力します。この値を変更するには、エンタープライズ アプリケーションを再デプロイするか、サーバを再起動する必要があります。
  13. [ロケール バリアント] フィールドで、ベンダまたはブラウザ固有のコードを入力します。たとえば、Windows には WIN、Macintosh には MAC、POSIX には POSIX を使用します。バリアントが 2 つある場合は重要なものを先に配置し、アンダーバーで区切ります。たとえばスペイン語 (スペイン - トラディショナル) の場合、ロケールの言語、国、バリアントのパラメータは「esESTraditional_WIN」となります。この値を変更するには、エンタープライズ アプリケーションを再デプロイするか、サーバを再起動する必要があります。
  14. [使用可能な認証プロバイダ] フィールドでユーザ ストアを選択し、[追加] をクリックして階層ツリーを構築します。階層ツリーを構築する前に、ユーザ ストアで読み込みアクセスを許可する必要があります。
  15. [ビルドする認証プロバイダ] フィールドには、階層ツリーが構築されるユーザ ストアが表示されます。ツリーが構築されるタイミングは、手順 7 で説明した [グループ階層ツリーの構築] フィールドの設定によって決まります。

    16. ユーザ ストアの階層ツリーを Administration Console から削除するには、削除するユーザ ストアの名前を選択して [選択済みを削除] をクリックし、[更新] をクリックします。削除できるプロバイダは、[ビルドする認証プロバイダ] フィールドに表示されます。プロバイダに対して階層ツリーを構築する機能を削除した後も、Administration Console 内のそのプロバイダのユーザとグループを選択するためのテキスト入力フィールドは引き続き使用できます。

  16. [更新] をクリックします。
  17. Administration Console にユーザとグループを表示するすべてのユーザ ストアに対して、上記の手順を繰り返します。
  18. ユーザ ストアのグループ階層を表示するには、[ユーザ、グループ、およびロールグループ管理] を選択します。グループ ツリーの上のドロップダウン ボックスに表示するユーザ ストアを選択します。グループ階層ツリーは、特定の委託管理または訪問者の資格ロールの [ロール内のグループ] タブにも表示できます。
ヒント : グループのリストが表示されない場合、そのユーザ ストアのグループ階層ツリーが構築されているか確認してください。ツリーを構築してもリストが表示されない場合は、ユーザ ストアで読み込みアクセスを許可していない可能性があります。プロバイダに読み込みアクセスを許可する手順については、『セキュリティ ガイド』を参照してください。

 

グループまたはサブグループの作成

ステージング段階では、Administration Console を使用してグループを追加することができます。多数のグループを追加する場合は、開発段階で JSP タグおよびコントロールを使用し、プログラムによって追加することができます。通常、ステージング段階では Administration Console を使用して少数のグループを追加するか、グループ構造に対してわずかな変更のみを行います。

グループを作成する場合は、空のグループを作成し、そこにユーザを何人でも追加できます。グループの詳細情報を含むグループ プロファイルの追加も可能です。

ヒント : Administration Console にユーザを追加する前にグループを作成します。ユーザを追加する前に既存のグループが存在する場合は、すぐにユーザをそのグループに追加できます。

次の手順を実行して、Administration Console にグループを作成します。

  1. Administration Console で、[ユーザ、グループ、およびロールグループ管理] を選択します。
  2. グループ ツリーの上にあるドロップダウン リストから認証プロバイダを選択します。RDBMS ユーザ ストアを使用している場合は、グループ名の大文字と小文字が区別されます。Managersmanagers は異なるグループです。
  3. [すべてのユーザ] を選択してトップレベルのグループを作成するか、サブグループを作成するグループを選択します。リストが表示されない場合は、「グループ階層ツリーの構築」の説明のとおりにグループ階層ツリーが構築されていることを確認してください。
  4. [グループの作成] をクリックします。
  5. 図 8-3 のように、[新しいグループの作成] ダイアログにグループの名前と説明を入力して、[グループの作成] をクリックします。
    6. 図 8-3 新しいトップレベルのグループの作成


    新しいトップレベルのグループの作成

注意 : 多数のグループを作成する場合は、〔PageDown〕を押してグループのリストを分類することができます。より少数の項目を返すことで、ページネーションのパフォーマンスが向上します。

グループにサブグループを追加すると、グループからの削除ボタンが表示されます。グループからの削除ボタンをクリックすると親グループからサブグループのメンバシップが削除されます。サブグループはシステムからは削除されません。

 

グループ プロファイルの編集

グループを作成すると、そのグループのグループ プロファイルが自動的に作成されます。グループ プロファイルには、Administration Console の編集可能なフィールドに格納されている、グループの情報が含まれます。ユーザはグループのプロパティを編集できますが、ユーザが指定したグループのプロパティを、グループに所属するユーザが自動的に継承することはありません。グループ プロパティには、グループ マネージャ場所部署などが含まれます。

たとえば、ユーザが 2 つのグループに属していて、各グループのプロパティを編集済みである場合は、実行時に ProfileWrapper サクセサをコンフィグレーションすることにより、ユーザが継承する必要のあるグループ プロパティのセットを指定する必要があります。ProfileWrapper は、初期化に使用されるプロファイル ID に基づいて適切な ProfileManager セッション Bean にアクセスできる軽量オブジェクトです。

Administration Console で次の手順を実行して、グループ プロファイルの値を編集します。

  1. Administration Console で、[ユーザ、グループ、およびロール|グループ管理] を選択します。
  2. グループ ツリーの上にあるドロップダウン リストから認証プロバイダを選択します。
  3. 編集するグループを選択します。グループ リストが表示されない場合は、必要に応じてユーザ ストアのグループ階層ツリーを構築します。グループ階層ツリーを構築してもグループのリストが表示されない場合は、ユーザ ストアで読み込みアクセスを許可していない可能性があります。アクセスを許可する手順については、『セキュリティ ガイド』を参照してください。
  4. [グループ プロファイル] タブを選択します。
  5. ドロップダウン リストから、値を編集するプロパティ セットを選択します。
  6. 図 8-4 のように、プロパティ名の横にある編集ボタンをクリックして、プロパティ値を変更します。
    7. 図 8-4 プロパティ値の編集


    プロパティ値の編集

  7. プロパティ値を変更したら、[更新] をクリックします。読み込み専用の外部プロパティ データベースに属するプロパティの場合は、プロパティ値を変更することができません。プロパティ自体は変更できませんが、パーソナライゼーション、委託管理、および訪問者の資格を設定するときにそれらの値を使用できます。パーソナライゼーションの詳細については、『対話管理ガイド』を参照してください。委託管理および訪問者の資格の詳細については、『セキュリティ ガイド』を参照してください
    8. ヒント : 保存されている値を削除すると、サクセサ値が定義されている場合はその値が返されます。複数の値が存在する場合は、サクセサ値によって使用する値が指定されます。ユーザが複数のグループに属する場合は、継承するグループ プロパティを選択します。サクセサ値を指定しない場合は、デフォルト値が返されます。サクセサ値もデフォルト値も定義されていない場合、プロパティ値は null になります。
  8. 編集するすべてのプロパティに対して上記の手順を繰り返します。

    9. 読み込み専用であるためにプロパティ値を変更できない場合、そのプロパティは開発チームによって設定された外部プロパティ データベースから作成したプロパティである可能性があります。プロパティの編集はできませんが、パーソナライゼーション、委託管理、および訪問者の資格を設定するときにそれらのプロパティを使用できます。

グループに委託管理ロールを割り当てることにより、どのポータル管理者がどのユーザ グループを管理できるかを決定できます。委託管理を割り当てる手順については、『セキュリティ ガイド』を参照してください

ヒント : 複数のユーザ ストアを使用している場合は、あるユーザ ストア内のグループの名前が、別のユーザ ストア内のグループと同じになる可能性があります。グループに対して委託管理を設定すると、その委託管理ロールが割り当てられている管理者は、そのグループが属するすべてのプロバイダで、グループを管理できます (ただし、管理者には他のプロバイダに対する委託管理特権が割り当てられている必要があります)。

 

グループの移動

あるグループの既存サブグループを別のグループへ移動したり、グループを親グループから子グループに変更することで、グループおよびサブグループの階層構造を変更することができます。

警告 : グループの移動は、委託管理ロールと訪問者の資格ロールに影響する場合があります。たとえば、Managers というグループに対して Administration Console へのすべての管理アクセスを許可する委託管理ロールが設定されている場合に、Managers の下に別のグループを移動させると、その新しいサブグループのすべてのユーザに対して Administration Console へのすべての管理アクセス権限が付与されます。これは、ユーザに委託管理や訪問者の資格の権限を付与するための便利な方法でもあります。

WebLogic Server に組み込まれているデフォルトの RDBMS ユーザ ストア以外の外部ユーザ ストアをユーザおよびグループに対して使用していて、そのユーザ ストアでグループを移動する場合、WebLogic Portal Administration Console などの外部ツールからグループを移動できないようにプロバイダがコンフィグレーションされていることがあります。ユーザ ストアの [Group Editor] フィールドが [いいえ] に設定されている場合は、Administration Console ではそのプロバイダに対してグループの移動はできません。グループは、そのプロバイダで直接移動する必要があります。

次の手順を実行して、グループ階層でグループを移動します。

  1. Administration Console で、[ユーザ、グループ、およびロール|グループ管理] を選択します。
  2. グループ ツリーの上にあるドロップダウン リストから認証プロバイダを選択します。
  3. グループ ツリーで、移動するグループを選択します。グループ リストが表示されない場合は、ユーザ ストアのグループ階層ツリーが構築されていることを確認してください。ツリーを構築してもリストが表示されない場合は、ユーザ ストアで読み込みアクセスを許可していない可能性があります。プロバイダに読み込みアクセスを許可する手順については、『セキュリティ ガイド』を参照してください。
  4. グループを右クリックし、[移動] を選択します。
  5. ダイアログの [OK] をクリックしてから、新しいグループを配置するグループを右クリックし、[貼り付け] を選択します。[すべてのユーザ] を選択すると、グループをトップレベルに移動できます。

 

グループの検索

ユーザ ストアに数千のグループが含まれている場合は、そのプロバイダのグループ階層ツリーを構築しない方がパフォーマンスが向上することがあります。

グループ階層ツリーを構築していない場合は、次の手順を実行して、特定のグループを検索します。

  1. Administration Console で、[ユーザ、グループ、およびロールグループ管理] を選択します。
  2. 図 8-5 のようにトップレベルのグループを選択し、検索するグループの名前を [グループの検索] セクションに入力します。
    3. 図 8-5 グループ名を入力し、[検索] をクリックしてグループを取得


    グループ名を入力し、[検索] をクリックしてグループを取得

  3. [検索] をクリックします。[が右を含む] または [が右で終わる] を選択して、検索を調整することができます。

この方法でグループを選択した場合は、そのグループに対してユーザの追加と編集、および委託管理の設定を行うことができます。ただし、グループ階層ツリーがないと、グループの作成、削除、または再配置を行うことはできません。

注意 : サーバ起動スクリプトの JAVA_OPTIONS の行に次のコードを追加すると、すべてのグループ階層ツリーを無効にできます。
注意 : -Dcom.bea.jsptools.disableGroupTree=true

 

グループの削除

グループを削除すると、グループとそのサブグループのすべてがユーザ ストアから完全に削除されます。それらを再び使用する場合は、関連するすべてのグループを再作成する必要があります。グループを削除しても、それに属するユーザは削除されません。

グループからサブグループを削除したり、グループの階層構造内でグループを移動して他のグループとの関係を変更したりできます。グループが委託管理ロールまたは訪問者の資格ロールにリストされていた場合は、ロール定義からもそのグループを削除する必要があります。

Administration Console のグループを削除することも、外部ユーザ ストアを使用している場合は外部ユーザ ストアでグループを削除することもできます。

この節では、次のトピックについて説明します。

内部ユーザ ストアからのグループの削除

次の手順を実行して、グループを削除します。

  1. Administration Console で、[ユーザ、グループ、およびロールグループ管理] を選択します。
  2. リソース ツリーの上にあるドロップダウン リストから認証プロバイダを選択します。
  3. 削除するグループを選択します。グループ リストが表示されない場合は、ユーザ ストアのグループ階層ツリーが構築されていることを確認してください。ツリーを構築してもグループが表示されない場合は、ユーザ ストアで読み込みアクセスを許可していない可能性があります。ユーザ ストアを書き込み可能にする手順については、『セキュリティ ガイド』を参照してください。
  4. [削除] をクリックします。
  5. グループが委託管理ロールまたは訪問者の資格ロールにリストされていた場合は、[委託管理] または [訪問者資格] ページのロール定義からそのグループを削除します。

外部ユーザ ストアからのグループの削除

ユーザとグループを保持するために外部ユーザ ストア (WebLogic Server に組み込まれたデフォルトの RDBMS ユーザ ストア以外のユーザ ストア) を使用している場合、そのプロバイダに作成されたグループを削除することができます。

使用中の外部ユーザ ストアが外部ツールからのグループの削除をサポートしていない場合 (プロバイダの WebLogic Server の [Group Remover] フィールドが [いいえ] に設定されている場合) は、Administration Console でそのプロバイダからグループを削除できません。グループは、そのプロバイダで直接削除する必要があります。

ヒント : RDBMS ユーザ ストアを使用している場合は、グループ名の大文字と小文字が区別されます。たとえば、Managersmanagers は異なるグループです。

次の手順を実行して、WebLogic Server Administration Console を使用して外部ユーザ ストアからグループを削除します。

  1. ユーザ ストアで外部ツールによるグループの削除がサポートされているかどうかを確認するには、WebLogic Server Administration Console を開きます。
  2. 左側のナビゲーション ペインで、[セキュリティ レルム] を選択します。
  3. セキュリティ レルムを選択します。
  4. [プロバイダ] タブ、[認証] タブの順に選択します。
  5. ユーザ ストアを選択します。
  6. [プロバイダ固有] タブを選択し、ユーザ ストアの [Group Remover] フィールドの設定を確認します。表示された [Group Remover] フィールドが [はい] に設定されている場合は、WebLogic Server または WebLogic Portal を使用してユーザ ストアのグループを削除することができます。ユーザ ストアを書き込み可能にする必要がある場合は、『セキュリティ ガイド』の手順に従います。
  7. WebLogic Server Administration Console でグループを削除します。「内部ユーザ ストアからのグループの削除」の手順を実行します。
注意 : WebLogic Server Administration Console でユーザ ストアのコンフィグレーション設定を変更した場合は、必ずサーバを再起動してください。サーバを再起動すると、WebLogic Portal Administration Console での例外の発生が防止されます。

ページの先頭       前  次