|
|
セキュリティ機能を実装する計画を作成しておけば、ポータル ライフサイクルの後の段階で時間を節約できます。
複数の WebLogic 認証プロバイダとカスタム認証プロバイダを使用できます。セキュリティ レルムに複数の認証プロバイダがコンフィグレーションされている場合、「JAAS 制御フラグ オプションの設定」の説明にあるように、JAAS 制御フラグによって認証プロバイダを実行する順番が決まります。認証プロバイダの選択の詳細については、「WebLogic とカスタム認証プロバイダの選択」を参照してください。WebLogic Portal Administration Console で認証プロバイダをコンフィグレーションする方法の詳細については、「セキュリティ プロバイダの管理」を参照してください。
アクセス先のユーザ ストアですでにユーザのグループ編成が行われている場合、WebLogic Portal Administration Console で階層ツリーを構築し、グループ構造と一致させることができます。デフォルトの WebLogic 認証プロバイダを使用している場合は、グループ階層ツリーを構築する必要はありません。
新しいグループを作成する場合、ユーザをグループやサブグループに分ける際に実際の組織に合わせれば、ユーザの管理が簡単になります。グループは、部署、チーム、支社など、関連するユーザの集合です。ユーザは複数のグループに属することができ、グループは他のグループに属することができます。ユーザとグループの詳細については、『ユーザ管理ガイド』を参照してください。
グループ構造を決定した後は、Workshop for WebLogic または WebLogic Portal Administration Console を使用してグループを作成、変更、削除できます。
グループは、後から委託管理ロールを関連付けることができるため、ポータル リソースへの管理者のアクセスや訪問者の資格ロールを管理できるほか、ポータル アプリケーションでの訪問者の行動を管理できます。
ユーザ プロファイル情報を使用すれば、設定したルールに基づいてパーソナライズされたコンテンツ、電子メール、事前に入力されているフォーム、割引を各ユーザに合わせて表示できます。詳細については、『ユーザ管理ガイド』を参照してください。
詳細については、『ユーザ管理ガイド』を参照してください。
委託管理と訪問者の資格ロールにロール ポリシーを作成する際、ユーザとグループをロールに関連付けることができます。また、日付、時間、ユーザ、HTTP セッションおよびロールの要求特性を指定できる正規表現も作成できます。委託管理と訪問者の資格ロールの作成に関連する高度なタスクについては、「ロールベースの認可の設定」を参照してください。
BEA では、ユーザやグループではなくロールに基づいてセキュリティ ポリシーを作成することをお勧めします。ロールに基づいてセキュリティ ポリシーを作成すると、ユーザまたはグループに与えられたロールに基づいてアクセスを管理できます。これにより、管理方法の柔軟性が向上します。通常、ユーザやグループの構造は静的なものです (特に、ユーザ ストアの管理が集約されている組織の場合)。一方、ユーザやグループが属すロールはより動的にできます。
ポータル管理者のセキュリティ ポリシーを作成する方法の詳細については、「委託管理のコンフィグレーション」を参照してください。ポータル訪問者のセキュリティ ポリシーを作成する方法の詳細については、「訪問者の資格のコンフィグレーション」を参照してください。ポータル アプリケーションで実行時にアクセス チェックを行うとき (たとえば、ユーザに特定のロールが割り当てられているかどうかを判断する) に使用できる認証技術の詳細については、「プログラムによる認可の実装」を参照してください。
WebLogic Portal のデフォルトの認証プロバイダは、WebLogic SQL Authenticator です。これにはデモンストレーションのユーザ ストアとして PointBase RDBMS があります。別の RDBMS や別の WebLogic プロバイダ (WebLogic LDAP プロバイダなど) を使用できるほか、WebLogic Server が提供していないカスタムの認証プロバイダも使用できます。カスタムの認証プロバイダを WebLogic Server に接続すると、カスタム プロバイダのユーザ ストアのユーザはポータルにログインできるようになります。
| 注意 : | ユーザやグループの数が多い場合は、WebLogic LDAP プロバイダを使用しないでください。WebLogic LDAP のユーザ ストアは、数の少ないユーザやグループにしか対応できません。 |
WebLogic Portal のデフォルトの認証プロバイダは、WebLogic SQL Authenticator です。インストール時、デモンストレーションのユーザ アカウントとデータがデフォルトの PointBase RDBMS に作成されます。このデータベースは WebLogic SQL Authenticator に付属しています。
ほとんどのプロダクション環境で、PointBase デモンストレーション RDBMS ではなく、独自の RDBMS ユーザ ストアを使用するように SQL Authenticator をコンフィグレーションする必要があります。サポート対象の各 RDBMS をユーザ ストアとしてコンフィグレーションするためのスクリプトが、WEBLOGIC_HOME/common/p13n/db/rdbms_name にあります。
WebLogic Portal の以前のリリースには、WebLogic Portal 固有の RDBMS 認証プロバイダがありました。これは非推奨になりました。前リリースをアップグレードした場合は、ドメインのアップグレード時に WebLogic Upgrade Wizard を使用してデフォルトの認証プロバイダを変更するかどうか選択できます。ユーザ ストアを手動でアップグレードする方法、および WebLogic アップグレード ウィザードを使用してアップグレードする方法の詳細については、『WebLogic Portal 9.2 へのアップグレード』を参照してください。
また、WebLogic Server のデフォルトの認証プロバイダである WebLogic LDAP Authenticator をユーザ ストアとして使用することもできます。パフォーマンス上の制限から、LDAP Authenticator はユーザやグループ数が少ない場合のみ、またはプロダクション環境ではなく、ステージング環境の場合のみ使用してください。WebLogic LDAP プロバイダのコンフィグレーションの詳細については、「組み込み LDAP サーバの管理」を参照してください。
| ヒント : | デフォルトのロール マッピング プロバイダは、WebLogic XACML ロール マッピング プロバイダであり、組み込み WebLogic LDAP サーバにロール ポリシーを別々に格納します。WebLogic XACML ロール マッピング プロバイダは WebLogic Portal に必須のロール マッピング プロバイダであり、大部分のニーズに対応できます。カスタム ロール マッピング プロバイダをコンフィグレーションする必要はまずありません。 |
カスタム認証プロバイダを使用している場合、そのプロバイダを WebLogic Server に接続すれば (サポート対象のタイプ)、カスタム プロバイダのユーザはポータル アプリケーションにログインできます。このユーザ ストアには、ユーザ、パスワード、ユーザ プロパティを格納できます。グループ情報の格納は必須ではありません。
「カスタム認証プロバイダの開発方法」のガイドラインに従ってカスタム認証プロバイダを開発します。カスタム認証プロバイダへのユーザの追加は、WebLogic Workshop や WebLogic Portal Administration Console を使用して実行できるほか、認証プロバイダから直接ユーザを追加することもできます。詳細については、『ユーザ管理ガイド』を参照してください。
カスタム プロバイダのユーザはポータルにログインできるようになります。
デフォルトの WebLogic SQL Authenticator だけでなく、WebLogic Portal は複数の認証プロバイダを使用できます。認証プロバイダを WebLogic Server で機能するようにコンフィグレーションします。複数のカスタム認証プロバイダにユーザやグループを格納している場合、これらの各プロバイダのそれぞれのユーザ ストアにアクセスできます。
複数の認証プロバイダを使用すると、次のことが可能になります。
| 注意 : | 外部ユーザ ストアにユーザとグループの追加プロパティ (電子メール アドレスや電話番号など) が格納されている場合、それらのプロパティにアクセスするには、UUP の作成という別の開発手順を実行する必要があります。詳細については、『ユーザ管理ガイド』を参照してください。 |
| 注意 : | 同じユーザ名やグループ名を複数の認証プロバイダに格納できます (ただし、推奨しません)。たとえば、ユーザ foo を組み込み LDAP サーバと RDBMS ユーザ ストアに格納できます。この場合、WebLogic Portal はユーザ foo のユーザ プロファイルのみを使用します。 |
| 注意 : | RDBMS ユーザ ストアを使用している場合は、ユーザとグループの名前を入力するときに大文字と小文字の区別に注意してください。たとえば、Bob と bob は異なるユーザです。 |
WebLogic Portal で使用する複数の認証プロバイダを設定する高度な手順は次のとおりです。各認証プロバイダに対して以下の手順を実行します。
WebLogic Server に接続された各認証プロバイダは、図 2-1 に示すように、Workshop for WebLogic のドロップダウン リストと WebLogic Portal Administration Console にも表示されます。
外部ユーザ ストアのユーザやグループに関する情報を編集できるようにする場合、書き込みアクセスを許可するためにカスタム認証プロバイダを開発する必要があります。プロバイダの書き込みが可能な場合、そのプロバイダに格納されているユーザ、グループ、ユーザ プロファイルを作成および変更できます。カスタム認証プロバイダを設定して書き込みできるようにする手順については、「セキュリティ プロバイダのコンフィグレーション」に関する説明を参照してください。
サポートされているカスタム認証プロバイダのデフォルト コンフィグレーションは、WebLogic Portal Administration Console または WebLogic Server Administration Console からのユーザとグループへの読み込み専用アクセスです。認証プロバイダが読み込み専用の場合、そのプロバイダに格納されているユーザ、グループ、ユーザ プロファイルは表示できますが、変更できません。
WebLogic SQL Authenticator と WebLogic LDAP Authenticator は、デフォルトで書き込みアクセスを許可しています。
セキュリティ ロールは、特定の条件に基づいてユーザやグループに付与される特権です。WebLogic Portal では、アクセスを制御する基盤としてロールを使用しています。管理者はロールを作成し、ユーザやグループをロールに割り当て、ロールに基づいて保護リソースへのアクセス制御を定義します。
ロールはグループに直接マップすることもできます。グループとロールの相違点は、グループ メンバシップはサーバ管理者によって静的に割り当てられるのに対し、ロール メンバシップはユーザ名、グループ メンバシップ、ユーザ プロファイルのプロパティ値、セッションとリクエストの属性、日付/時刻といった情報に基づき動的に決定されるという点にあります。ロールは WebLogic Server ドメインの単一のアプリケーション内の、特定の WebLogic リソースをスコープとすることができますが、グループは常に WebLogic Server ドメイン全体をスコープとします。
ロール ポリシーは、ロール名とロール定義で構成されています。ロール ポリシーを作成し、ロールと WebLogic リソースに関連を定義します。この関連付けはセキュリティ ポリシーと呼ばれ、WebLogic リソースに誰がどのようなアクセス権を持っているのか指定します。デフォルトのロール マッピング プロバイダは、WebLogic XACML プロバイダであり、ロール ポリシーを格納するために組み込み LDAP サーバを使用します。
| 注意 : | WebLogic XACML ロール マッピング プロバイダは WebLogic Portal に必須のロール マッピング プロバイダであり、大部分のニーズに対応できます。カスタム ロール マッピング プロバイダをコンフィグレーションする必要はまずありません。 |
ロールはアプリケーション内のどのリソースにもスコープできます。セキュリティ レルムにデプロイされているすべてのリソース (WebLogic Server のドメイン全体) に適用されるロールをグローバル ロールといいます。セキュリティ レルムにデプロイされているリソースの特定のインスタンス (ポータル固有のリソースなど) に適用されるロールをスコープ ロールといいます。WebLogic リソースのセキュリティ ポリシーを作成する際、ロール タイプを組み合わせることができます。
グローバル ロールは、セキュリティ レルム内のすべての WebLogic リソースに適用されるロールです。グローバル ロールは、WebLogic Server Administration Console を使用して管理します。
WebLogic Server は、デフォルトのグローバル ロールをデフォルトの特権で自動的に作成し、各ロールにグループを割り当てます。ユーザがこれらグループのいずれかに追加されると、そのユーザには自動的にグローバル ロールが付与されます。セキュリティ レルムに定義されているすべてのグローバル ロールは、WebLogic Server Administration Console の [グローバル ロール] ページに表示されます。詳細については、「デフォルト グローバル ロール」を参照してください。
スコープ ロールは特定の WebLogic リソースに適用されます。スコープ ロールは、訪問者の資格や委託管理に使用できます。
委託管理ロールは、エンタープライズ アプリケーション スコープのロールです。これは、すべての Web アプリケーション (それぞれ 1 つまたは複数のポータルを含む) で 1 つの管理ロールとするのが望ましいためです。委託管理ロールを設定する際には、セキュリティ要件を慎重に考慮する必要があります。
ポータル リソースに対する訪問者の資格ロールは、Web アプリケーション スコープ、またはエンタープライズ アプリケーション スコープです。訪問者のアクセスに対する制約の要件が Web アプリケーションごとに異なる場合、通常は Web アプリケーション スコープのロールを使用します。ただし、エンタープライズ アプリケーション内の複数の Web アプリケーションで同じロールを使用する場合は、エンタープライズ アプリケーション スコープのロールを使用できます。
WebLogic Portal Administration Console を使用すれば、リソース ライブラリや特定のデスクトップのポータル リソースにスコープ ロールをコンフィグレーションできます。
特定のブック、ページ、ポートレット、またはすべてのブック、ページ、ポートレットの全インスタンスを保護するには、ポータル リソース ライブラリで、リソースまたはリソース タイプに対するセキュリティ ポリシーを設定します。ライブラリには、すべてのポータル リソースのマスター バージョンが含まれます。また、ライブラリで設定したセキュリティ ポリシーは、デスクトップ (ポータル ノード) に表示されるリソースに適用されます。
デスクトップのブック、ページ、ポートレットなどのデスクトップ リソースにもセキュリティ ポリシーを設定できます。デスクトップの (リソース ライブラリに含まれない) リソースにセキュリティ ポリシーを設定する場合、ポリシーはそのデスクトップのそのインスタンスにのみ適用されます。デスクトップ全体に対するセキュリティ ポリシーも設定できます。
| 注意 : | デスクトップの特定のリソース (たとえば、ポートレット) にセキュリティ ポリシーを設定する場合は、リソースのそのインスタンスにのみ適用されます。したがって、リソース ライブラリ内のリソースをセキュリティで保護しない場合は、リソースの各インスタンスを、デスクトップのブックおよびページの階層内での場所に関係なくセキュリティで保護する必要があります。 |
訪問者の資格ロールを使用すれば、ポータル アプリケーションでのカスタマイズやパーソナライズが可能になるだけでなく、ポータルへの訪問者アクセスを制御できます。訪問者の資格は、ポータル リソース、グループ、コンテンツ管理リソースへの訪問者アクセスを制御します。
訪問者の資格ロールは、ユーザ名、グループ メンバシップ、プロファイル、セッションとリクエストの属性、および日付/時刻の機能に基づいて、ポータルの訪問者のアクセス権限を動的に決定します。セキュリティ ポリシーは、指定されたリソースがそれに対応するロールにどの機能を付与するのかを決定します。「訪問者の資格のコンフィグレーション」で説明するように、資格の機能はリソースによって異なります。
| ヒント : | 資格が設定されていないリソースは、すべてのユーザが利用できます。 |
訪問者アクセスは、WebLogic Portal Administration Console で作成した訪問者の資格ロールに基づいています。
資格を作成することにより、以下のタイプのポータル リソースに対して、訪問者のアクセスを制御できます。
リソースによって、リソース ライブラリやデスクトップに訪問者の資格を設定できます。指定されたデスクトップ内で、そのデスクトップのページ、ブック、ポートレットなどの特定のリソースに資格を付与することができます。ライブラリ内の特定のブック、ページ、およびポートレット、またはこれらのカテゴリのいずれかに含まれるすべてのリソースに対して、資格を付与することができます。
リソース ライブラリでの訪問者の資格は、ポータル アプリケーション内のリソースのすべてのインスタンスに適用されます。ただし、デスクトップ内の、よりローカルなポリシーの設定を禁止しません。
ポータルの訪問者がリソースへのアクセス要求を行うと、次の順番でアクセス チェックが実行されます。
| 注意 : | デスクトップのリソースに対してのみ保護を設定している場合、保護はデスクトップにのみ適用されます。リソースを全体として保護するには、ライブラリでリソースに資格を設定する必要があります。 |
ポータル リソースに訪問者の資格をコンフィグレーションする手順は次のとおりです。
訪問者の資格ロールを作成、表示、変更する方法の詳細については、「訪問者の資格のコンフィグレーション」を参照してください。
資格を作成して、次のタイプのコンテンツ管理リソースへのアクセスを制御できます。
リソースのタイプによって、訪問者が使用できる機能は異なります。
GroupSpace などのコミュニティの作成者およびオーナーは、コミュニティに参加するよう他のユーザを招待することができます。訪問者の資格により、作成者またはオーナーが招待者を選択する際に、参照オプションを使用して可能性のあるメンバーを表示できるかどうかを指定します。GroupSpace および GroupSpace での招待の使用方法の詳細については、『GroupSpace ガイド』を参照してください。
グループに関する訪問者機能は、グループの表示権限のみです。これにより、コミュニティのオーナーまたは作成者がグループ内のグループおよびユーザを表示できるかどうかを指定します。
委託管理ロールによって、さまざまなリソースに対して各管理者が管理ツールを使用して実行できるアクションが決まります。委託管理ロールは、セキュリティ ポリシーを使用して管理機能にマッピングされます。組織のニーズに基づいて、別々の管理機能を作成して保守できます。たとえば、会社の人事部門と経理部門に別々の管理者を作成できます。指定した特定の管理者のみに、各部門に関連付けられたポータル リソースを管理できるようにします。
WebLogic Portal にはデフォルトのシステム管理者 PortalSystemDelegator があり、階層構造の委任はこのロールから開始します。デフォルトでは管理者グループのすべてのメンバーが PortalSystemDelegator ロールに割り当てられています。PortalSystemDelegator ロールを割り当てられたメンバーは誰でも、エンタープライズ ポータル アプリケーション内にある任意の管理タスクに無制限にアクセスできます。管理者ロールを作成してから特定のユーザ、グループ、または条件を割り当てることにより、各種管理者を必要な数だけ作成できます。
委託管理を使用して、委託管理の構造を定義するロールの階層構造内のアクセス権限を伝播することもできます。管理階層の設定と管理者への特権の割り当ては柔軟に行えます。「ロールの階層構造の例」で説明しているように、さまざまなレベルの管理者を作成し、管理者ごとに異なるアクセス範囲を設定できます。また、管理者を作成し、その管理者が管理タスクを他の管理者に委託するようにもできます。
| 注意: | 複数の認証プロバイダを使用している場合は、異なるプロバイダ間で同一のグループ名を使用できます。グループに対して委託管理を設定すると、その委託管理ロールが割り当てられている管理者は、そのグループが属するすべてのプロバイダで、グループを管理できます。ただし、管理者にはすべてのプロバイダに対する委託管理特権が割り当てられている必要があります。 |
ロールの階層構造により委託をどう行うか、誰が誰に対して委託を行うかを厳重に管理することができます。WebLogic Portal Administration Console では、1 つの役割にマップされた 1 名の管理者が別の管理者に対して限られた管理権限でサブロールを作成することができます。
子ロールには、親ロールとの従属関係があります。ロールの委託はサブロールに対してのみ行え、委託管理が制限されています。以下は階層構造の例です。
RoleA に割り当てられたユーザは、RoleB のサブロールにはピア ロールとして委託できません。RoleA は、その下位にあるものならどれにでも委託できます。
子ロールに親ロールの特権が継承されることはありません。子ロールを削除すると、その子ロールはシステムから削除されます。
| 注意 : | 委託管理ロール内の子ロールにはユニークな名前が必要です。たとえば、階層内に RoleB という名前の子ロールがすでにある場合は、RoleB という名前の子ロールを持つ委託管理ロール RoleA を作成することはできません。 |
ロール戦略を決定すれば、委託管理ロールは次のようにいつでも作成できます。
詳細については、「委託管理のコンフィグレーション」を参照してください。
作成するロールに応じてグループを計画および作成する。グループの計画でロールを考慮していない場合、グループを変更してロールに適応させる必要があります。グループの詳細については、『ユーザ管理ガイド』を参照してください。
管理効率を高めるには、個人ユーザではなく、グループとしてロールを付与してください。
| 注意 : | 多数のユーザやグループを格納する場合は、WebLogic LDAP プロバイダを使用しないでください。WebLogic LDAP のユーザ ストアは、ユーザ数、ロールおよび資格のポリシーの数が少ない場合にのみ対応できます。 |
パフォーマンスを考慮した訪問者の資格の設計の詳細については、「パフォーマンスを考慮した訪問者の資格の設計」を参照してください。
|
