![]() ![]() ![]() ![]() |
「ユーザおよびグループの使用方法の計画」を使用してグループ構造を決定したら、WebLogic Portal Administration Console で少数のグループの作成、移動、および削除が可能になります。開発者はこれらのタスクを、Workshop for WebLogic で JSP タグおよびコントロールを使用して、多数のユーザに対して実行することもできます。
また、グループを使用して委託管理および訪問者の資格を設定することもできます。「Administration Console」を参照してください。ユーザを追加する前に既存のグループが存在する場合は、すぐにユーザをそのグループに追加できます。
すべてのグループ管理権限を持つポータル管理者は、次のツールを使用して、少数のグループの作成および管理を行うことができます。
開発者は次のツールを使用して、多数のグループの作成および管理を行うことができます。
createGroup
JSP タグを使用して、新しいグループを作成します。その他の JSP タグを使用すると、サブグループの追加、グループまたはサブグループの削除、およびグループ プロファイルの作成が可能です。「JSP タグを使用したグループの作成」を参照してください。createGroup
アクションを使用して新しいグループを作成します。その他のコントロールを使用すると、サブグループの追加、グループまたはサブグループの削除、およびグループ プロファイルの作成が可能です。「コントロールを使用したグループの作成」を参照してください。com.bea.p13n.security.management.authentication.AtnManagerProxy
と直接連携して、グループの追加、グループ プロファイルの作成、およびグループの削除を行います。詳細については、「Javadoc」を参照してください。ヒント : | デフォルトでは、ユーザとグループは RDBMS ユーザ ストア サーバに格納されます。BEA Propagation Utility では、このデータがステージング環境からプロダクション環境に伝播されません。 |
アクセス先のユーザ ストアですでにユーザのグループ編成が行われている場合、Administration Console で階層ツリーを構築し、これらの既存のグループを整理および管理することができます。WebLogic Server のデフォルトの RDBMS ユーザ ストアを使用している場合は、グループ階層ツリーを構築する必要はありません。
グループのツリー ビューでは、グループのプロパティの変更、グループ内でのユーザの検索、委託管理と訪問者の資格に関するルールへのユーザとグループの追加を、視覚的な方法で実行できます。図 8-1 は、デフォルトの SQLAuthenticator のグループ階層ツリーを示しています。
WebLogic Server を外部ユーザ ストアに接続している場合、そのユーザ ストアのサポート状況に応じて、Administration Console に階層ツリーが表示されます。プロバイダで Administration Console などの外部ツールの読み込みアクセスが許可されていないと、グループのツリー表現を表示することはできません。ユーザ ストアで読み込みアクセスが許可されているかどうかを確認する手順については、『セキュリティ ガイド』を参照してください。プロバイダでグループへの読み込みアクセスが許可されていない場合でも、Administration Console を使用して、既知のユーザとグループの名前を入力することができます。
[認証階層サービス] ページを使用して、WebLogic Server に接続された読み込みアクセス可能なユーザ ストアにグループ階層ツリーを構築およびコンフィグレーションします。
ツリーが期限切れであることが判明した場合、期限切れのツリーはメモリから消去され、Administration Console で再度アクセスを試みるまで再構築されません。ツリーの更新頻度を増やすとパフォーマンスに影響を及ぼす可能性がありますが、ユーザとグループに対する変更は時間をおかずに反映されます。
ヒント : | 期限切れになったツリーを直ちにメモリから消去する場合は、[スイープ間隔] を [生存時間] と同じ値に設定します。この値を変更するには、エンタープライズ アプリケーションを再デプロイするか、サーバを再起動する必要があります。 |
ヒント : | WEB-INF/ ディレクトリの netuix-config.xml ファイル、およびブラウザ内のユーザの優先言語設定で、デフォルトのロケール言語をコンフィグレーションできます。ユーザの優先言語が設定されていない場合、ブラウザによっては、クライアント マシンのデフォルトのロケール言語が自動的に選択されます。 |
ユーザ ストアの階層ツリーを Administration Console から削除するには、削除するユーザ ストアの名前を選択して [選択済みを削除] をクリックし、[更新] をクリックします。削除できるプロバイダは、[ビルドする認証プロバイダ] フィールドに表示されます。プロバイダに対して階層ツリーを構築する機能を削除した後も、Administration Console 内のそのプロバイダのユーザとグループを選択するためのテキスト入力フィールドは引き続き使用できます。
ヒント : | グループのリストが表示されない場合、そのユーザ ストアのグループ階層ツリーが構築されているか確認してください。ツリーを構築してもリストが表示されない場合は、ユーザ ストアで読み込みアクセスを許可していない可能性があります。プロバイダに読み込みアクセスを許可する手順については、『セキュリティ ガイド』を参照してください。 |
ステージング段階では、Administration Console を使用してグループを追加することができます。多数のグループを追加する場合は、開発段階で JSP タグおよびコントロールを使用し、プログラムによって追加することができます。通常、ステージング段階では Administration Console を使用して少数のグループを追加するか、グループ構造に対してわずかな変更のみを行います。
グループを作成する場合は、空のグループを作成し、そこにユーザを何人でも追加できます。グループの詳細情報を含むグループ プロファイルの追加も可能です。
ヒント : | Administration Console にユーザを追加する前にグループを作成します。ユーザを追加する前に既存のグループが存在する場合は、すぐにユーザをそのグループに追加できます。 |
次の手順を実行して、Administration Console にグループを作成します。
注意 : | 多数のグループを作成する場合は、〔PageDown〕を押してグループのリストを分類することができます。より少数の項目を返すことで、ページネーションのパフォーマンスが向上します。 |
グループにサブグループを追加すると、グループからの削除ボタンが表示されます。グループからの削除ボタンをクリックすると親グループからサブグループのメンバシップが削除されます。サブグループはシステムからは削除されません。
グループを作成すると、そのグループのグループ プロファイルが自動的に作成されます。グループ プロファイルには、Administration Console の編集可能なフィールドに格納されている、グループの情報が含まれます。ユーザはグループのプロパティを編集できますが、ユーザが指定したグループのプロパティを、グループに所属するユーザが自動的に継承することはありません。グループ プロパティには、グループ マネージャ、場所、部署などが含まれます。
たとえば、ユーザが 2 つのグループに属していて、各グループのプロパティを編集済みである場合は、実行時に ProfileWrapper
サクセサをコンフィグレーションすることにより、ユーザが継承する必要のあるグループ プロパティのセットを指定する必要があります。ProfileWrapper
は、初期化に使用されるプロファイル ID に基づいて適切な ProfileManager
セッション Bean にアクセスできる軽量オブジェクトです。
Administration Console で次の手順を実行して、グループ プロファイルの値を編集します。
ヒント : | 保存されている値を削除すると、サクセサ値が定義されている場合はその値が返されます。複数の値が存在する場合は、サクセサ値によって使用する値が指定されます。ユーザが複数のグループに属する場合は、継承するグループ プロパティを選択します。サクセサ値を指定しない場合は、デフォルト値が返されます。サクセサ値もデフォルト値も定義されていない場合、プロパティ値は null になります。 |
読み込み専用であるためにプロパティ値を変更できない場合、そのプロパティは開発チームによって設定された外部プロパティ データベースから作成したプロパティである可能性があります。プロパティの編集はできませんが、パーソナライゼーション、委託管理、および訪問者の資格を設定するときにそれらのプロパティを使用できます。
グループに委託管理ロールを割り当てることにより、どのポータル管理者がどのユーザ グループを管理できるかを決定できます。委託管理を割り当てる手順については、『セキュリティ ガイド』を参照してください。
ヒント : | 複数のユーザ ストアを使用している場合は、あるユーザ ストア内のグループの名前が、別のユーザ ストア内のグループと同じになる可能性があります。グループに対して委託管理を設定すると、その委託管理ロールが割り当てられている管理者は、そのグループが属するすべてのプロバイダで、グループを管理できます (ただし、管理者には他のプロバイダに対する委託管理特権が割り当てられている必要があります)。 |
あるグループの既存サブグループを別のグループへ移動したり、グループを親グループから子グループに変更することで、グループおよびサブグループの階層構造を変更することができます。
警告 : | グループの移動は、委託管理ロールと訪問者の資格ロールに影響する場合があります。たとえば、Managers というグループに対して Administration Console へのすべての管理アクセスを許可する委託管理ロールが設定されている場合に、Managers の下に別のグループを移動させると、その新しいサブグループのすべてのユーザに対して Administration Console へのすべての管理アクセス権限が付与されます。これは、ユーザに委託管理や訪問者の資格の権限を付与するための便利な方法でもあります。 |
WebLogic Server に組み込まれているデフォルトの RDBMS ユーザ ストア以外の外部ユーザ ストアをユーザおよびグループに対して使用していて、そのユーザ ストアでグループを移動する場合、WebLogic Portal Administration Console などの外部ツールからグループを移動できないようにプロバイダがコンフィグレーションされていることがあります。ユーザ ストアの [Group Editor] フィールドが [いいえ
] に設定されている場合は、Administration Console ではそのプロバイダに対してグループの移動はできません。グループは、そのプロバイダで直接移動する必要があります。
ユーザ ストアに数千のグループが含まれている場合は、そのプロバイダのグループ階層ツリーを構築しない方がパフォーマンスが向上することがあります。
グループ階層ツリーを構築していない場合は、次の手順を実行して、特定のグループを検索します。
が右を含む
] または [が右で終わる
] を選択して、検索を調整することができます。
この方法でグループを選択した場合は、そのグループに対してユーザの追加と編集、および委託管理の設定を行うことができます。ただし、グループ階層ツリーがないと、グループの作成、削除、または再配置を行うことはできません。
注意 : | サーバ起動スクリプトの JAVA_OPTIONS の行に次のコードを追加すると、すべてのグループ階層ツリーを無効にできます。 |
注意 : | -Dcom.bea.jsptools.disableGroupTree=true |
グループを削除すると、グループとそのサブグループのすべてがユーザ ストアから完全に削除されます。それらを再び使用する場合は、関連するすべてのグループを再作成する必要があります。グループを削除しても、それに属するユーザは削除されません。
グループからサブグループを削除したり、グループの階層構造内でグループを移動して他のグループとの関係を変更したりできます。グループが委託管理ロールまたは訪問者の資格ロールにリストされていた場合は、ロール定義からもそのグループを削除する必要があります。
Administration Console のグループを削除することも、外部ユーザ ストアを使用している場合は外部ユーザ ストアでグループを削除することもできます。
ユーザとグループを保持するために外部ユーザ ストア (WebLogic Server に組み込まれたデフォルトの RDBMS ユーザ ストア以外のユーザ ストア) を使用している場合、そのプロバイダに作成されたグループを削除することができます。
使用中の外部ユーザ ストアが外部ツールからのグループの削除をサポートしていない場合 (プロバイダの WebLogic Server の [Group Remover] フィールドが [いいえ
] に設定されている場合) は、Administration Console でそのプロバイダからグループを削除できません。グループは、そのプロバイダで直接削除する必要があります。
ヒント : | RDBMS ユーザ ストアを使用している場合は、グループ名の大文字と小文字が区別されます。たとえば、Managers と managers は異なるグループです。 |
次の手順を実行して、WebLogic Server Administration Console を使用して外部ユーザ ストアからグループを削除します。
はい
] に設定されている場合は、WebLogic Server または WebLogic Portal を使用してユーザ ストアのグループを削除することができます。ユーザ ストアを書き込み可能にする必要がある場合は、『セキュリティ ガイド』の手順に従います。注意 : | WebLogic Server Administration Console でユーザ ストアのコンフィグレーション設定を変更した場合は、必ずサーバを再起動してください。サーバを再起動すると、WebLogic Portal Administration Console での例外の発生が防止されます。 |
![]() ![]() ![]() |