>
ユーザ管理ガイド > ユーザおよびグループの使用方法の計画
ユーザ管理ガイド
ユーザおよびグループの使用方法の計画
ユーザおよびグループの構成計画を立てておくと、その後のポータル ライフサイクルの段階において時間の節約になります。既存のユーザおよびグループ情報を格納する場所、この情報の取得方法、ユーザの自己登録を許可するか、およびポータルに新しいユーザを追加する必要が生じるかどうかを決める必要があります。
パーソナライゼーションで使用するためのユーザ プロファイル情報を格納および取得するかどうかも決めます。ポータル内で各グループが表示または実行できる内容を検討し、それに応じてロールの計画を立てます。後でユーザ プロファイルを編集するのであれば、ユーザ ストアを書き込み可能にコンフィグレーションする必要があります。
この章の内容は以下のとおりです。
ユーザおよびグループの管理方法の計画
ロール構造の計画を立てると同時に、ユーザおよびグループの管理方法を計画する必要があります。グループをロールベースに設定して、各グループで実行したりポータルに表示したりできる内容を制御すると、後で時間の節約になります。
ユーザおよびグループの管理方法を計画するには、ガイドラインとして次の手順を実行します。
グループおよびサブグループの構造を計画します。ユーザが外部ユーザ ストアに配置され、その外部ユーザ ストアにグループが含まれる場合は、これらの既存のグループを WebLogic Portal に取り込むことができます。グループおよびユーザの分類の詳細については、「グループおよびグループ階層の計画」を参照してください。さらに、グループのロールを計画します (ロールの詳細については、『セキュリティ ガイド』を参照)。 ユーザの格納場所およびユーザにアクセスする方法を決定します。ユーザは、内部ユーザ ストア (デフォルトの RDBMS ユーザ ストア) または外部ユーザ ストアに格納されます。認証プロバイダおよびユーザ ストアの詳細については、「ユーザへのアクセス」を参照してください。 グループの作成およびユーザの追加をプログラムにより実行するかどうか、または Administration Console を使用するかどうかを決定します。WebLogic Scripting Tool を使用すると、多数の既存ユーザおよびグループを取得できます。詳細については、『BEA WebLogic Server の WebLogic Scripting Tool ガイド』を参照してください。また、JSP タグおよびコントロールを作成して、ユーザがポータル アプリケーションを訪問した際に自身を登録できるようにすることが可能です。 必要に応じて、Administration Console または Server Administration Console で以下のタスクを実行できます。
グループおよびサブグループの作成 ユーザの追加 グループへのユーザの追加
Administration Console でのグループおよびユーザの作成手順については、「グループの追加と管理」および「ユーザの追加と管理」を参照してください。
ユーザに関する情報 (ユーザ プロファイル プロパティ) を収集し、ポータルに統合するかどうかを決定します。ユーザ プロファイル情報を使用すると、設定したルールに基づいて、ユーザをパーソナライズされたコンテンツ、電子メール、入力済みのフォーム、および割引の対象にすることができます。また、パーソナライズされたコンテンツを、ポータルでのプロセスにおけるユーザのガイドに反映することもできます。詳細については、「ユーザ プロファイルの作成と更新」および「ユーザ プロファイル プロパティの値の編集」を参照してください。 ユーザ プロファイル プロパティが外部に保管されている場合は、UUP を作成して、外部ユーザ ストアから追加のユーザ プロファイル情報を取得します。プロパティを使用すると、パーソナライゼーション、委託管理、および訪問者の資格に関するルールを定義することができます。UUP の使用の詳細については、「UUP の使用計画」を参照してください。UUP の設定手順については、「UUP のコンフィグレーション」を参照してください。 Administration Console にユーザおよびグループが表示されたら、ユーザおよびグループを委託管理のロールに配置したり、訪問者の資格を割り当てることができます。複数のユーザ ストアを使用している場合は、あるユーザ ストア内のグループの名前が、別のユーザ ストア内のグループと同じになる可能性があります。グループに対して委託管理を設定すると、その委託管理ロールが割り当てられている管理者は、そのグループが属するすべてのプロバイダで、グループを管理できます (ただし、管理者には他のプロバイダに対する委託管理特権が割り当てられている必要があります)。ロールおよび資格を割り当てる手順については、『セキュリティ ガイド』を参照してください。
グループおよびグループ階層の計画
会社組織のようにユーザをグループやサブグループに構造化することで、ユーザの管理がより簡単になります。グループは、部署、チーム、支社など、関連するユーザの集合です。ユーザは複数のグループに属することができ、グループは他のグループに属することができます。ロールを各グループに関連付け、グループが表示および実行できる内容を制御するために、ロールの計画を立てます。
外部ユーザ ストアを使用していて、そのユーザ ストアにグループが含まれている場合は、グループ階層ツリーを構築してそのグループ構造を取得し、Administration Console に表示できます。詳細については、「グループの追加と管理」を参照してください。
管理者は、グループ プロファイルを作成および変更することもできます。グループ プロファイルは、特定のユーザ グループに関するどのデータを集め、保存するかを決定するスキーマです。グループ プロファイルのプロパティには、Administration Console の編集可能なフィールドに格納されている、グループの情報が含まれます。
ユーザはグループのプロパティを編集できますが、ユーザが指定したグループのプロパティを、グループに所属するユーザが自動的に継承することはありません。たとえば、ユーザが 2 つのグループに属していて、各グループのプロパティを編集済みである場合は、ユーザが継承する必要のあるグループ プロパティのセットを指定する必要があります。詳細については、「グループの追加と管理」を参照してください。
グループ構造を決定したら、プログラムまたは Administration Console でのグループの作成、移動、および削除が可能になります。
グループを作成したら、グループをロールおよび訪問者の資格に関連付け、ポータルでユーザが表示および操作できる内容を制御することができます。
この節では、次のトピックについて説明します。
ユーザのグループ編成
グループにユーザを追加する手順については、「グループのユーザの追加」および「グループのユーザの追加」を参照してください。
Everyone グループは Administration Console の組み込みグループであるため、変更できません。匿名ユーザを含むすべてのユーザがこのグループに属します。
グループを設定するには、まずグループ階層を決定します。たとえば、会社のすべての従業員を含む AllEmployees というトップレベルのグループを作成したとします。AllEmployees グループにその他のグループを含め、さらにその各グループが、それぞれ特定の場所のオフィスにいる従業員だけを含むようにできます。
このカテゴリ化を次の例に示します。
AllEmployees (全従業員を含むグループ)
NewYork (ニューヨークの従業員を含むグループ)
Executive Marketing Human Resources Sales
SanFrancisco (サンフランシスコの従業員を含むグループ) Seattle (シアトルの従業員を含むグループ) Denver (デンバーの従業員を含むグループ)
グループを作成する場合は、空のグループを作成し、それにユーザを何人でも追加できます。次に、グループを資格ロールにマッピングすることで、グループのユーザを分類することができます。手順については、『セキュリティ ガイド』を参照してください。
Administration Console を使用してユーザをグループに追加できます。詳細については、「グループのユーザの追加」を参照してください。また、BEA Workshop for WebLogic Platform を使用してユーザをグループに追加することもできます。詳細については、「JSP タグを使用したグループへのユーザの追加」を参照してください。
外部ユーザ ストアを使用している場合は、既存のグループがそのユーザ ストアに存在するかどうかを確認し、作成するグループと既存のグループを一致させる必要があります。
既存のグループ構造の使用
アクセス先のユーザ ストアですでにユーザのグループ編成が行われている場合、Administration Console で階層ツリーを構築し、既存のグループ構造と一致させることができます。WebLogic Server のデフォルトの RDBMS ユーザ ストアを使用している場合は、グループ階層ツリーを構築する必要はありません。手順については、「グループ階層ツリーの使用」を参照してください。
ユーザ ストアの操作
WebLogic Server 付属のデフォルトの RDBMS ユーザ ストア、または WebLogic Server 外部のユーザ ストアを使用することができます。外部ユーザ ストアの例として、OpenLDAP または Netscape の iPlanet が挙げられます。このようなプロバイダを WebLogic Server に接続し、外部ユーザ ストア内のユーザをポータルにログインさせることができます。
この節では、次のトピックについて説明します。
ユーザ情報の編集
ユーザ情報を編集できるようにする場合は、外部ユーザ ストアを書き込みアクセス可能にコンフィグレーションする必要があります。ユーザ ストアが書き込み可能であれば、ユーザ ストアに格納されるユーザ、グループ、およびユーザ プロファイルを追加できます。外部ユーザ ストアを設定し、書き込み可能にする手順については、『セキュリティ ガイド』を参照してください。
ユーザ ストアが読み込み専用の場合は、プロパティをポータルに表示できますが、変更はできません。サポートされている外部ユーザ ストアのデフォルト コンフィグレーションは、Administration Console または WebLogic Server Administration Console からのユーザとグループへの読み込み専用アクセスです。デフォルトの RDBMS ユーザ ストアには、デフォルトで書き込みアクセスが許可されています。
複数のユーザ ストアへのアクセス
複数のユーザ ストアにユーザを格納している場合は、それぞれのユーザ ストアへのアクセスが必要となる場合があります。WebLogic Portal では、複数の認証プロバイダおよび複数のユーザ ストアがサポートされています。
複数のユーザ ストアへのアクセスは、以下のポータル管理タスクを実行する際に役立ちます。
外部ユーザ ストアのユーザがポータル デスクトップにログインできるようにする。 外部ユーザ ストアに格納されているユーザにパーソナライズされたアプリケーションを提供する。外部のユーザとグループが Administration Console に表示されたら、ユーザとグループおよびそのプロファイルのプロパティに基づくパーソナライゼーション ルールを定義できます。 外部ユーザ ストアのユーザがログインしたときに、特定のポータル リソースにアクセスする資格を与える。外部ユーザとグループに基づく訪問者の資格ルールを定義できます。 外部ユーザ ストアのユーザに、ポータル アプリケーションへの管理アクセス権限を付与する。外部ユーザとグループに基づく委託管理ルールを定義できます。
| ヒント : |
同一のユーザ名またはグループ名を複数のユーザ ストアに格納しないでください。ユーザ、パスワード、およびグループを外部ユーザ ストア (OpenLDAP や Netscape の iPlanet など) に格納している場合は、そのユーザ ストアを WebLogic Server に接続して、外部ユーザ ストアのユーザがポータルにログインできるようにすることができます (ただし、外部ユーザ ストアがサポートされているタイプであることが前提)。たとえば、ユーザ dsmith をデフォルトの RDBMS ユーザ ストアおよび外部 RDBMS ユーザ ストアに格納できます。この場合、ユーザ dsmith に対して WebLogic Portal で使用されるユーザ プロファイルは 1 つだけです。 |
『セキュリティ ガイド』の手順に従って外部ユーザ ストアの作成およびコンフィグレーションを実行したら、そのユーザ ストアの認証プロバイダが Administration Console のドロップダウン リストに表示されます。図 2-1 には、2 つの認証プロバイダが示されています。
| 注意 : |
外部ユーザ ストアにユーザとグループの追加プロパティ (電子メール アドレスや電話番号など) が格納されている場合、それらのプロパティにアクセスするには、UUP の作成という別の開発手順を実行する必要があります。「UUP のコンフィグレーション」を参照してください。 |
UUP の使用計画
UUP を使用して、OpenLDAP サーバやデータベース、従来のアプリケーション、フラット ファイルなどの他のユーザ ストアから、追加のユーザ プロファイル情報を取得します。UUP を使用して既存のシステムとユーザ プロファイルを統合すると、以下のようなメリットが得られます。
UUP オープン インタフェースによる他の大部分のシステムとの統合。ポータル スキーマにデータを移行することなく、既存のユーザ情報にアクセスできます。 複数のシステムからのデータの取得および 1 つのユーザ プロファイル タイプとのデータの照合。 ポータル サーバの同一インスタンスでの複数プロファイル タイプの使用。 2 人の異なるユーザに対して 2 つの異なるシステムから同一の属性を取得。たとえば、SAP から顧客 1 の顧客住所プロパティを、Oracle Financial から顧客 2 の顧客住所プロパティを取得できます。 パーソナライゼーションの開始、ロールに基づいた管理の設定、ポータル リソースへのアクセスを制限する資格の作成。 UUP を作成し、外部データ ストアに格納されている追加のユーザ情報を取得。
UUP を使用して、以下のタスクを実行します。
WebLogic Portal の JSP タグ、コントロール、または API を使用して外部ユーザ ストアからプロパティ値を取得する。 Administration Console に外部プロパティを表示し、パーソナライゼーション、委託管理または訪問者の資格に関するルールを定義する。ユーザとグループはプロパティとは見なされません。
以下のタスクを実行する場合は、外部データ ストアの UUP を使用する必要はありません。
外部ユーザ ストアに格納されているユーザを認証する。 パーソナライゼーション、委託管理、または訪問者の資格に関するルールを、外部ユーザ ストア内のユーザまたはグループだけに基づいて定義し、ユーザ プロパティは使用しない。 パーソナライゼーション、委託管理、または訪問者の資格に関するルールを、BEA Workshop for WebLogic Platform で作成した (Portal スキーマに保持される) ユーザ プロファイルのプロパティに基づいて定義する。
サンプルの UUP シナリオの使用
以下のシナリオを使用して、UUP の使用方法および UUP を使用する場合について理解します。
新しいポータル アプリケーションを作成し、そのアプリケーションにユーザがログインできるようにするとします。 ユーザは WebLogic Portal の外部にある RDBMS ユーザ ストアに格納されています。この場合、WebLogic Server (ポータル アプリケーションのドメイン サーバ インスタンス) を RDBMS システムに接続すると、ユーザは、ユーザ名とパスワードが WebLogic Server に格納されている場合と同様に、ポータル アプリケーションにログインできます。RDBMS ユーザ ストアを通して認証を提供することのみが目的の場合は、この処置だけでよく、UUP は使用しません。 また、RDBMS ユーザ ストアに電子メールと電話番号の情報 (プロパティ) が格納されていて、ポータル アプリケーションでそれらのプロパティにアクセスするとします。この場合、コードから追加プロパティへのアクセスを可能にする、RDBMS ユーザ ストア用の UUP を作成する必要があります。
UUP の設定手順については、「UUP のコンフィグレーション」を参照してください。
WebLogic Portal 8.1 からのユーザおよびグループのアップグレード
WebLogic Server 9.2 には、ユーザおよびグループ メンバシップ用の RDBMS ユーザ ストアを持つ、デフォルトの新しい SQLAuthenticator 認証プロバイダがあります。
BEA WebLogic アップグレード ウィザードを実行すると、WebLogic Portal 8.1 SP4、SP5、または SP6 のユーザおよびグループをアップグレードするか、Portal 8.1 の既存の RDBMS ユーザ ストアを使用し続けるかを選択できます。
ユーザおよびグループをアップグレードする - ユーザおよびグループを WebLogic Portal 8.1 から自動的に新しい RDBMS ユーザ ストアにアップグレードするには、こちらを選択します。新しい RDBMS ユーザ ストアは、WebLogic Portal 9.2 のインストールに含まれる、デフォルトの新しい SQLAuthenticator 認証プロバイダの一部です。BEA WebLogic アップグレード ウィザードを実行し、Portal 8.1 RDBMSAuthenticator が検出されたときに、[RDBMSAuthenticator のアップグレード] オプションを選択できます。このオプションを選択すると、既存の認証プロバイダが新しい SQLAuthenticator 認証プロバイダに置き換えられ、ユーザおよびグループと共にコンテンツがアップグレードされます。 ユーザおよびグループをアップグレードしない - WebLogic Portal 8.1 インストールにあるデフォルトの RDBMSAuthenticator の RDBMS ユーザ ストアを使用し続けるには、こちらを選択します。BEA WebLogic アップグレード ウィザードを実行し、Portal 8.1 RDBMSAuthenticator が検出されたときに、[RDBMSAuthenticator のアップグレードを行わない] オプションを選択できます。後で手動でユーザ ストアを Portal 9.2 RDBMS ユーザ ストアにアップグレードすることもできます。詳細については、『WebLogic Portal 9.2 へのアップグレード』を参照してください。
BEA WebLogic アップグレード ウィザードを実行してアップグレードを行う手順については、『WebLogic Portal 9.2 へのアップグレード』を参照してください。
最適なパフォーマンスを得るためのユーザおよびグループの設計
ユーザおよびグループを作成するときは、次のガイドラインに従います。
作成するロールに応じてグループを計画および作成する。グループの計画時にロールを考慮しないと、ロールに対応するようグループを作成し直さなければならなくなる場合があります。 ユーザ管理キャッシュ設定を調整する。
