|
|
このガイドでは、ポータル アプリケーションでユーザとグループを追加し、管理する方法について説明します。ユーザは、ポータル管理者かポータル エンド ユーザ (訪問者または登録済みユーザ) とすることができます。ユーザごとに、セキュリティ レルム内でユニークな ID が設定されます。グループとは通常、何らかの共通点 (同じ部署で働いている、など) を持ったユーザの集合です。ユーザとグループは、ユーザの管理を簡略化するために作成します。
ポータルのユーザとグループを追加し、管理するには、以下のいずれかの方法を使用します。
これらの内部または外部ユーザ ストアには、BEA Web Logic Portal から WebLogic セキュリティ サービス プロバイダ インタフェース (SSPI) 認証プロバイダを経由してアクセスします。認証プロバイダは、ユーザ名とパスワードを使用してユーザ ストアから該当するユーザを検索し、認証を行います。
図 1-1 に認証プロバイダとユーザ ストアの連携の仕組みを示します。
このガイドでは、電話番号、電子メール アドレス、国など、ユーザに関する詳細情報を取得するためのユーザ プロファイルの作成手順についても説明します。このユーザ プロファイル情報を使用してパーソナライゼーション機能を作成し、カスタマイズされたコンテンツを表示したり、ユーザにプロセスのガイドを示します。
WebLogic Portal は、WebLogic Server 付属のデフォルトの PointBase リレーショナル データベース管理システム (RDBMS) データベースを使用します。WebLogic Portal はインストール プロセス中に、WebLogic Server のこのデフォルト データベースにデモンストレーション用のユーザ アカウントとデータをインストールします。ユーザ情報を外部に格納し、格納した属性を統合ユーザ プロファイル (UUP) で管理することもできます。さらに、匿名ユーザ (未登録ユーザ) を追跡してこれらのポータル訪問者に関する情報を取得し、カスタマイズされたコンテンツを表示することもできます。
BEA WebLogic Portal では、2 つのタイプのユーザをサポートしています。
ポータル管理者は、複数のユーザをグループおよびそのサブグループにまとめることにより、管理タスクを簡略化することができます。すべての管理権限を持つ管理者は、BEA Workshop for WebLogic Platform でプログラムにより、または WebLogic Portal Administration Console を使用してユーザとユーザ プロファイル プロパティを追加、編集、削除、および移動することができます。
既存のユーザには、内部または外部ユーザ ストアを経由してアクセスできます。内部の RDBMS ユーザ ストアは、WebLogic Server および WebLogic Portal のインストール時に組み込まれ、認証プロバイダとして SQLAuthenticator を使用します。ユーザが格納されている複数の外部ユーザ ストアにもアクセスできるため、複数のユーザ ストアからユーザとグループを選択することができます。外部ユーザ ストアの設定手順については、『セキュリティ ガイド』を参照してください。
外部ユーザ ストアに格納されているユーザを取得するだけでなく、WebLogic ツールを使用してユーザ ストアにユーザを追加したり (ユーザ ストアが書き込み可能な場合)、ユーザ ストア自体にユーザを直接追加することもできます。認証プロバイダとユーザ ストアの詳細については、「ユーザへのアクセス」を参照してください。
ユーザを追加すると、WebLogic Portal によってユーザ ID (名前およびパスワード) を含むユーザ プロファイルが作成されます。ユーザ プロファイルに他のユーザ プロパティ (住所、電話番号、電子メール、趣味など) を追加すると、パーソナライゼーションを設定し、委託管理と訪問者の資格のルールを定義することができます。パーソナライゼーションを使用すると、カスタマイズされたコンテンツをユーザに表示して、ユーザとポータルとの対話を促進できます。また、委託管理と訪問者の資格を使用すると、ポータルでユーザに表示する内容やユーザに実行を許可する機能を指定できます。
ユーザとグループに関する詳細情報が格納された外部データ ストアがある場合、それらのプロパティにアクセスするには、UUP を作成する開発手順が別途必要です。これらの外部システムとユーザ プロファイルの統合の詳細については、「UUP のコンフィグレーション」を参照してください。
WebLogic Portal には追跡ツールも存在し、訪問者のアクセス日時や、リクエストまたはセッションに含まれる情報など、ポータルの訪問者に関する詳細情報を把握できます。この匿名ユーザ追跡機能は、複数のセッションで未登録ユーザに対してパーソナライズされたコンテンツを表示する際に役立ちます。
WebLogic Portal では、ユーザを記述するために以下の用語を使用します。
ユーザ プロファイルでは、電話番号、電子メール アドレス、国など、ユーザに関する詳細情報を格納したり、取得することができます。このユーザ プロファイル情報からパーソナライゼーション機能を作成して、カスタマイズされたコンテンツを表示したり、ユーザにプロセスのガイドを示すことができます。
WebLogic Portal では、3 種類のユーザ プロファイルをサポートしています。
ユーザ プロファイルは、デフォルトでセッション内に格納されます。通常、プロファイルは、ユーザがポータルに最初にアクセスしたときに初期化されます。同時に、匿名プロファイルまたは追跡された匿名プロファイルも、最初のアクセス時にセッション内で初期化されます (ユーザ追跡が有効で、有効な追跡用クッキーがリクエストに存在する場合)。匿名ユーザの設定手順については、「匿名ユーザの追跡の設定」を参照してください。
ユーザがログインすると (認証を受けると)、セッション初期化プロセスでプロファイルはそのユーザの登録済みプロファイルに切り替えられます。ユーザがシステムに登録すると、追跡された匿名プロファイルの値で初期化された登録済みプロファイルが作成され、そのプロファイルがセッションで使用されます。
ユーザ プロファイルは、ユーザに関する重要な情報 (属性) を格納するだけでなく、ポータル セキュリティの実装にも使用できます。訪問者の資格を使用して、ユーザがポータルのリソース (デスクトップ、ブック、ページ、ポートレット、およびその他のリソース) にアクセスするのを制限する場合、訪問者の資格ポリシーをユーザ プロパティで定義できます。たとえば、manager という訪問者の資格ロールを作成できます。このロールでは、ログインしているユーザの employee_type プロパティの値が manager に設定されているかどうか、つまりそのユーザがmanager ロールに属しているかどうかを指定します。次に、ポートレットを選択し、訪問者の資格を manager ロールに設定します。管理者がログインすると、管理者にはポートレットが表示されます。管理者以外がログインすると、そのユーザにはポートレットは表示されません。
ユーザ プロファイルのプロパティを使用して、委託管理ロールを作成することもできます。詳細については、『セキュリティ ガイド』を参照してください。
WebLogic Portal にユーザを追加するときには、ユーザ ストアにそのユーザを追加します。WebLogic Portal では、ユーザを格納するために 2 つの場所 (どちらも SSPI を使用) をサポートしています。
デフォルトの RDBMS ユーザ ストアでは、以下のアクセス機能と格納機能がサポートされています。
| 注意 : | バージョン 9.2 より前の WebLogic Portal に付属していた RDBMS ユーザ ストアは非推奨であり、9.2 または 10.0 に自動的にアップグレードされません。Portal 付属の RDBMS ユーザ ストアをインストールおよび使用していた場合、移行スクリプトを使用してアップグレードできます。スクリプトの実行手順については、『WebLogic Portal 10.0 へのアップグレード』を参照してください。 |
| 注意 : | WebLogic Portal では、複数のユーザ ストアまたは認証プロバイダを使用できます。複数の認証プロバイダを使用する場合、ユーザ認証を柔軟にするために、各認証プロバイダに対して別々のコンフィグレーションを設定できます。認証プロバイダは、1 つの認証プロバイダでの認証、一部の認証プロバイダでの認証、または定義されているすべての認証プロバイダでの認証をユーザに対して求めることができます (認証プロバイダのコンフィグレーション方法による)。 |
外部ユーザ ストアにユーザを追加するには、WebLogic Server Administration Console または WebLogic Portal Administration Console を使用するか、ユーザ ストアにユーザを直接追加します。
グループとは、ユーザの集合です。ポータル管理者は、グループを作成し、グループにユーザを追加することで、ユーザ管理を簡略化することができます。サブグループ (子グループ) は上位レベル グループ (親) のサブセットです。会社組織のようにユーザをグループやサブグループに整理することで、ユーザの管理がより簡単になります。
グループおよびサブグループの作成は、以下のタスクの実行に役立ちます。
すべてのグループ管理権限を持つ管理者は、WebLogic Portal Administration Console でグループ プロファイルのプロパティを追加、削除、移動、および変更できます。詳細については、「グループ プロファイルの編集」を参照してください。
開発、ステージング、プロダクションの各段階で時間を節約できるユーザ管理方法の計画の詳細については、「ユーザおよびグループの使用方法の計画」を参照してください。
このガイドで説明するタスクは、ポータル ライフサイクルに従って構成されています。ポータル ライフサイクルには、アーキテクチャ、開発、ステージング、プロダクションの 4 つの段階があります。ユーザとグループの追加と管理は、ポータル ライフサイクルに属します。ポータル ライフサイクルの詳細については、『WebLogic Portal の概要』を参照してください。
図 1-3 に、各段階でのユーザおよびグループの管理タスクを示します。
アーキテクチャ段階では、内部または外部のユーザ ストアに格納されているユーザとグループの整理方法とアクセス方法について計画します。この段階で、ユーザがポータル アプリケーションにアクセスしたときに自分で登録できるかを決定できます。複数のシステムからユーザ プロファイル情報を取得する場合は、UUP を使用してこの統合を実行できます。Administration Console でユーザ プロファイル情報を編集する場合、ユーザ ストアの情報を書き込み可能にする必要があります。ユーザとグループを整理する方法は、ロールと訪問者の資格を作成するときの方法によって異なります。ロールと資格は、ポータルでユーザに表示する内容やユーザに実行を許可する機能を指定するために使用します。
開発段階では、開発者が Workshop for WebLogic を使用して JSP タグとコントロールを作成し、管理者またはユーザ本人がポータルにユーザを追加できるようにします。開発者は、グループとサブグループの作成、ユーザ プロファイルとプロパティの設定、UUP の作成、匿名ユーザの追跡をプログラムによって行うこともできます。また開発者は、ロールと資格を使用した宣言型セキュリティ (isAccessAllowed() メソッドを使用) とプログラムに基づくセキュリティ (isUserInRole() メソッドを使用) のどちらを使用してユーザ ロールを実装するかを選択できます。宣言型セキュリティは、変更と管理が簡単です。プログラムに基づくセキュリティは、コードとしてポートレット、ブック、ページ内に組み込まれることが多く、変更は困難です。
ツール : BEA Workshop for WebLogic Platform と Java API
ステージング段階では、開発段階で作成した機能をテストするために、ステージング環境に管理ユーザを追加できます。この段階で、ユーザ プロファイルと UUP をテストして、ユーザに関する詳細情報が収集されるか確認することもできます。開発段階とステージング段階は、同時に発生することもあります。これらの 2 つの段階間を繰り返し行き来して、開発および作成したアプリケーションのテストを行うことができます。開発段階に戻って変更を行う場合は、ステージング段階における変更を確認するために、ポータル アプリケーションを再デプロイする必要があります。複数の開発チームでポータルを作成する場合は、コードを結合して作成する方法を決定します。
ステージング段階でポータル アプリケーションをテストした後、プロダクション段階でプロダクション環境を完成させます。プロダクション段階では、たとえば、Administration Console を使用してポータル アプリケーションを調整します。調整には、グループまたは管理ユーザの追加や移動、ユーザまたはグループの削除、デスクトップの追加、コミュニティのユーザおよびグループの作成などが含まれます。
初めてポータル開発を行う場合は、ポータル ライフサイクルの詳細について WebLogic Portal の概要を参照してください。
  
|
