認可の管理

ユーザーが認証された後のPublisherリソースへのアクセスは権限(認可)により制御されます。

ポリシー・ストアには、Publisherに必要な、システムやアプリケーションに固有のポリシーとロールが含まれます。ポリシー・ストアは、ファイルベースであってもLDAPベースであっても問題はなく、Publisherのデフォルトのアプリケーション・ロール、権限、ユーザーおよびグループ間のマッピング定義を保持します。Publisherの権限は、アイデンティティ・ストアのユーザーとグループをポリシー・ストア内のアプリケーション・ロールや権限付与とマッピングすることにより付与されます。ユーザーやグループ(アイデンティティ・ストア)とアプリケーション・ロール(ポリシー・ストア)との間のこれらマッピング定義は、ポリシー・ストアにも保存されます。

ノート:

ベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールにマップすることです。グループのメンバーシップを制御することで、複数のユーザーのアクセス権を個々に追跡する場合の複雑さを軽減できます。グループ・メンバーシップは、アイデンティティ・ストアで制御されます。

system-jazn-data.xmlファイルは、デフォルトのポリシー・ストアとしてインストールおよび構成されます。デフォルトのストアを使用し続け、環境に応じて必要な変更を加えることも、データをLDAPベースのプロバイダに移行することもできます。

環境内のポリシー・ストアと資格証明ストアは、同じタイプのものである必要があります。つまり、どちらもファイルベースであるか、LDAPベースである必要があります。

権限は、Publisherが認識可能な方法で定義される必要があります。有効なPublisherの権限はすべて、アプリケーション・ポリシーに事前マップされており、そこからさらにデフォルトのアプリケーション・ロールに事前マップされています。ポリシー・ストアに新しい権限を作成することはできません。ただし、デフォルトのアプリケーション・ポリシーの権限付与やアプリケーション・ロールのマッピングをカスタマイズしたり、独自のものを作成することはできます。

デフォルトのPublisherの権限付与の詳細は、「デフォルトのアプリケーション・ロールと権限」を参照してください。アプリケーション・ロールと権限付与のカスタマイズの詳細は、「ポリシー・ストアのカスタマイズ」を参照してください。

Oracle Enterprise Manager Fusion Middleware Controlへのアクセス

Fusion Middleware Controlは、ファームの監視および管理に使用できるWebブラウザベースのグラフィカル・ユーザー・インタフェースです。

ファームとは、Fusion Middleware Controlで管理されるコンポーネントの集まりです。複数のOracle WebLogic Serverドメイン、1つの管理サーバー、1つ以上の管理対象サーバー、クラスタのほか、ドメインにインストールおよび構成されていて、実行されているOracle Fusion Middlewareのコンポーネントが含まれます。インストール中に、Oracle WebLogicドメインが作成され、Publisherがドメインにインストールされます。簡易インストールおよびエンタープライズ・インストールを実行した場合、このドメインはbifoundation_domainという名前で、Fusion Middleware Controlのターゲット・ナビゲーション・ペインのWebLogicドメイン内に配置されます。

WebブラウザにURLを入力してFusion Middleware Controlを起動します。URLには、ホストの名前とインストール時に割り当てられた管理ポート番号が含まれます。このURLの形式はhttp://hostname:port_number/emのようになります。デフォルトのポートは7001です。Fusion Middleware Controlの使用の詳細は、『Oracle Fusion Middlewareの管理』を参照してください。

Fusion Middleware Controlの「セキュリティ」メニューを表示するには:

1. WebブラウザにURLを入力してOracle Enterprise Manager Fusion Middleware Controlにログインします。

   たとえば、http://hostname:7001/emです。

2. Publisherの管理者ユーザーの名前とパスワードを入力して、「ログイン」をクリックします。

   このパスワードは、Publisherのインストール時に指定したものです。これらの値が変更されている場合は、現在の管理ユーザーの名前とパスワードを入力します。

3. ターゲット・ナビゲーション・ペインで「WebLogicドメイン」を開いて「bifoundation_domain」を表示します。次の方法のいずれかを選択することで、「セキュリティ」メニューを表示します。

   • 「bifoundation_domain」を右クリックして、「セキュリティ」メニューを表示します。「セキュリティ」を選択してサブメニューを表示します。

   • コンテンツ・ペインから「WebLogicドメイン」メニューを表示して「セキュリティ」を選択します。「セキュリティ」を選択してサブメニューを表示します。

Fusion Middleware Controlを使用したポリシー・ストアの管理

ファイルベースまたはLDAPベースのポリシー・ストアに保持されているPublisherのアプリケーション・ポリシーやアプリケーション・ロールを管理するには、Fusion Middleware Controlを使用します。

LDAPベース・ポリシー・ストアの構成の詳細は、「新しいポリシー・ストアと資格証明ストアの構成」を参照してください。

注意:

オリジナルのsystem-jazn-data.xmlポリシー・ファイルのコピーを作成して安全な場所に置いておくことをお薦めします。必要に応じて、元のファイルのコピーを使用してデフォルトのポリシー・ストア構成をリストアします。デフォルトのセキュリティ構成に対する変更は、望ましくない状態を引き起こす可能性があります。デフォルトのインストール場所はMW_HOME/user_projects/domain/your_domain/config/fmwconfigです。

一般的なポリシー・ストア管理タスクを次に示します。

• アプリケーション・ロールのメンバーシップを変更します。「アプリケーション・ロールのメンバーシップの変更」を参照してください。

• アプリケーション・ロールの権限付与を変更します。「アプリケーション・ポリシーの権限付与の変更」を参照してください。

• 新しいアプリケーション・ロールを最初から作成します。「Fusion Middleware Controlを使用したアプリケーション・ロールの作成」を参照してください。

• 既存のアプリケーション・ロールに基づいて新しいアプリケーション・ロールを作成します。「Fusion Middleware Controlを使用したアプリケーション・ロールの作成」を参照してください。

Fusion Middleware Controlを使用したアプリケーション・ロールの変更

Fusion Middleware Controlを使用してアプリケーション・ロールのメンバーを追加または削除できます。

これらのタスクは、PublisherがインストールされているWebLogicドメインで実行する必要があります。たとえばbifoundation_domainなどです。

注意:

デフォルト・アプリケーション・ロールの権限付与およびメンバーシップを変更する場合は、十分注意してください。変更によりシステムが使用不可能になる可能性があります。

アプリケーション・ロールのメンバーシップの変更

アプリケーション・ロールの有効なメンバーは、ユーザー、グループまたはその他のアプリケーション・ロールです。

アプリケーション・ロールのメンバーになるプロセスは、マッピングと呼ばれます。つまり、アプリケーション・ロールにマップされることは、アプリケーション・ロールのメンバーになることです。メンテナンスをより容易にするためのベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールにマップすることです。

アプリケーション・ロールのメンバーを追加または削除するには:

1. Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。

   「セキュリティ」メニューへの移動の詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。

2. 「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
3. アプリケーション・ロール名の横のセルを選択し、「編集」をクリックして「アプリケーション・ロールの編集」ページを表示します。

   「アプリケーション・ロールの編集」ページにメンバーを追加するか、またはこのページからメンバーを削除できます。有効なメンバーは、ロール、グループおよびユーザーです。

4. 次のオプションから選択します。

   • メンバーを削除するには: 「メンバー」の「名前」から、「削除」ボタンをアクティブにするメンバーを選択します。「削除」をクリックします。

   • メンバーを追加する場合: 追加するメンバー・タイプに対応する「追加」ボタンをクリックします。「アプリケーション・ロールの追加」、「グループの追加」および「ユーザーの追加」から選択します。

5. メンバーを追加する場合は、「検索」に入力し、使用可能なリストから選択します。シャトル・コントロールを使用して、選択したフィールドにメンバーを移動します。「OK」をクリックします。

   追加されたメンバーは、「アプリケーション・ロール」ページで、変更されたアプリケーション・ロールに対応する「メンバー」列に表示されます。