|
|
ユーザおよびグループの構成計画を立てておくと、その後のポータル ライフサイクルの段階において時間の節約になります。既存のユーザおよびグループ情報を格納する場所、この情報の取得方法、ユーザの自己登録を許可するか、また、ポータルに新しいユーザを追加する必要が生じるかどうかを決める必要があります。
パーソナライゼーションで使用するためのユーザ プロファイル情報を格納および取得するか、また、ユーザ データを暗号化する必要があるかどうかも決めます。ポータル内で各グループが表示または実行できる内容を検討し、それに応じてロールの計画を立てます。後でユーザ プロファイルを編集するのであれば、ユーザ ストアを書き込み可能にコンフィグレーションする必要があります。
ロール構造の計画を立てると同時に、ユーザおよびグループの管理方法を計画する必要があります。グループをロールベースに設定して、各グループで実行したりポータルに表示したりできる内容を制御すると、後で時間の節約になります。
ユーザおよびグループの管理方法を計画するには、ガイドラインとして次の手順を実行します。
Administration Console でのグループおよびユーザの作成手順については、「グループの追加と管理」および「ユーザの追加と管理」を参照してください。
会社組織のようにユーザをグループやサブグループに構造化することで、ユーザの管理がより簡単になります。グループは、部署、チーム、支社など、関連するユーザの集合です。ユーザは複数のグループに属することができ、グループは他のグループに属することができます。ロールを各グループに関連付け、グループが表示および実行できる内容を制御するために、ロールの計画を立てます。
外部ユーザ ストアを使用していて、そのユーザ ストアにグループが含まれている場合は、グループ階層ツリーを構築してそのグループ構造を取得し、Administration Console に表示できます。詳細については、「グループの追加と管理」を参照してください。
管理者は、グループ プロファイルを作成および変更することもできます。グループ プロファイルは、特定のユーザ グループに関するどのデータを集め、保存するかを決定するスキーマです。グループ プロファイルのプロパティには、Administration Console の編集可能なフィールドに格納されている、グループの情報が含まれます。
ユーザはグループのプロパティを編集できますが、ユーザが指定したグループのプロパティを、グループに所属するユーザが自動的に継承することはありません。たとえば、ユーザが 2 つのグループに属していて、各グループのプロパティが編集済みの場合は、ユーザが継承する必要のあるグループ プロパティのセットを指定する必要があります。詳細については、「グループの追加と管理」を参照してください。
グループ構造を決定したら、プログラムまたは Administration Console でのグループの作成、移動、および削除が可能になります。
グループを作成したら、グループをロールおよび訪問者の資格に関連付け、ポータルでユーザが表示および操作できる内容を制御することができます。
グループにユーザを追加する手順については、「グループのユーザの追加」および「グループのユーザの追加」を参照してください。
Everyone グループは Administration Console の組み込みグループであるため、変更できません。匿名ユーザを含むすべてのユーザがこのグループに属します。
グループを設定するには、まずグループ階層を決定します。たとえば、会社のすべての従業員を含む AllEmployees というトップレベルのグループを作成したとします。AllEmployees グループにその他のグループを含め、さらにその各グループが、それぞれ特定の場所のオフィスにいる従業員だけを含むようにできます。
グループを作成する場合は、空のグループを作成し、それにユーザを何人でも追加できます。次に、グループを資格ロールにマッピングすることで、グループのユーザを分類することができます。手順については、『セキュリティ ガイド』を参照してください。
Administration Console を使用してユーザをグループに追加できます。詳細については、「グループのユーザの追加」を参照してください。また、Workshop for WebLogic を使用してユーザをグループに追加することもできます。詳細については、「JSP タグを使用したグループへのユーザの追加」を参照してください。
外部ユーザ ストアを使用している場合は、既存のグループがそのユーザ ストアに存在するかどうかを確認し、作成するグループと既存のグループを一致させる必要があります。
アクセス先のユーザ ストアですでにユーザのグループ編成が行われている場合、Administration Console で階層ツリーを構築し、既存のグループ構造と一致させることができます。WebLogic Portal Server のデフォルトの RDBMS ユーザ ストアを使用している場合は、グループ階層ツリーを構築する必要はありません。手順については、「グループ階層ツリーの使用」を参照してください。
WebLogic Portal 付属のデフォルトの RDBMS ユーザ ストア、または WebLogic Portal 外部のユーザ ストアを使用することができます。外部ユーザ ストアの例として、OpenLDAP または Netscape の iPlanet が挙げられます。このようなプロバイダを WebLogic Portal に接続し、外部ユーザ ストア内のユーザをポータルにログインさせることができます。
ユーザ情報を編集できるようにする場合は、外部ユーザ ストアを書き込みアクセス可能にコンフィグレーションする必要があります。ユーザ ストアが書き込み可能であれば、ユーザ ストアに格納されるユーザ、グループ、およびユーザ プロファイルを追加できます。外部ユーザ ストアを設定し、書き込み可能にする手順については、『セキュリティ ガイド』を参照してください。
ユーザ ストアが読み込み専用の場合は、プロパティをポータルに表示できますが、変更はできません。サポートされている外部ユーザ ストアのデフォルト コンフィグレーションは、Administration Console または WebLogic Server Administration Console からのユーザとグループへの読み込み専用アクセスです。デフォルトの RDBMS ユーザ ストアには、デフォルトで書き込みアクセスが許可されています。
複数のユーザ ストアにユーザを格納している場合は、それぞれのユーザ ストアへのアクセスが必要となる場合があります。WebLogic Portal では、複数の認証プロバイダおよび複数のユーザ ストアがサポートされています。
複数のユーザ ストアへのアクセスは、以下のポータル管理タスクを実行する際に役立ちます。
| ヒント : | 同一のユーザ名またはグループ名を複数のユーザ ストアに格納しないでください。ユーザ、パスワード、およびグループを外部ユーザ ストア (OpenLDAP や Netscape の iPlanet など) に格納している場合は、そのユーザ ストアを WebLogic Server に接続して、外部ユーザ ストアのユーザがポータルにログインできるようにすることができます (ただし、外部ユーザ ストアがサポートされているタイプであることが前提)。たとえば、ユーザ dsmith をデフォルトの RDBMS ユーザ ストアおよび外部 RDBMS ユーザ ストアに格納できます。この場合、ユーザ dsmith に対して WebLogic Portal で使用されるユーザ プロファイルは 1 つだけです。 |
『セキュリティ ガイド』の手順に従って外部ユーザ ストアの作成およびコンフィグレーションを実行したら、そのユーザ ストアの認証プロバイダが Administration Console のドロップダウン リストに表示されます。図 2-1 には、2 つの認証プロバイダが示されています。
| 注意 : | 外部ユーザ ストアにユーザとグループの追加プロパティ (電子メール アドレスや電話番号など) が格納されている場合、それらのプロパティにアクセスするには、UUP の作成という別の開発手順を実行する必要があります。「UUP のコンフィグレーション」を参照してください。 |
UUP を使用して、OpenLDAP サーバやデータベース、従来のアプリケーション、フラット ファイルなどの他のユーザ ストアから、追加のユーザ プロファイル情報を取得します。UUP を使用して既存のシステムとユーザ プロファイルを統合すると、以下のようなメリットが得られます。
以下のタスクを実行する場合は、外部データ ストアの UUP を使用する必要はありません。
以下のシナリオを使用して、UUP の使用方法および UUP を使用する場合について理解します。
UUP の設定手順については、「UUP のコンフィグレーション」を参照してください。
WebLogic Portal には、機密ユーザ プロファイル データの暗号化方法として以下の 2 つの方法があります。開発段階を開始する前に、計画段階での暗号化方法を選択する必要があります。WebLogic Portal と WebLogic Server は、3DES 暗号化アルゴリズムを使用します。
ユーザ データを暗号化する場合は、次のいずれかの方法を選択します。
プロファイル マネージャがデータを暗号化するのが、WebLogic Portal でデータを暗号化する最も安全な方法です。ただし、プロファイル マネージャは、各暗号化プロパティ セット用の暗号化キーを管理します。ポータル アプリケーションまたはドメイン全体で、暗号化されたデータを共有する場合、暗号化キーが 1 つのカスタムの UUP から別のカスタムの UUP に移動できます。詳細については、「カスタム UUP 間の暗号化キーの転送」を参照してください。
このガイドでは、カスタム UUP に暗号化を設定する手順は提供されません。このメソッドを選択する理由については、「カスタム UUP によるデータの暗号化」を参照してください。
UUP データを保護するには暗号化キーとしてパスワードを使用するのは、WebLogic Portal のプロファイル暗号化を設定する最も簡単な方法ですが、これは安全な方法ではありません。クリア テキスト パスワードを使用するか、weblogic.encrypt ユーティリティでパスワードを暗号化することができます。Administration Console でパスワードを設定する手順については、「LDAP UUP および透過的なフェイルオーバのコンフィグレーション」の手順 10 を参照してください。
| 注意 : | 暗号化パスワードを使用する場合は、データベース管理者がユーザ プロファイル データベース内のデータを表示することはできません。WebLogic Portal の以前のリリースでは、デフォルトはクリア テキストでした。つまり、データベース管理者がユーザ プロファイル データを表示することができました。 |
UUP アダプタからユーザ プロファイル データが取得されると、データは即座に複合化されます。暗号化および復号化は、プロファイル リクエスタおよび UUP に対して透過的です。プロファイル データは、Portal Administration Portal またはプロファイル API を通じて設定または取得できる場合、実行時には、暗号化と復号化が実行されます。キーを割り当てられていない場合は、[暗号化の有効化] チェック ボックスを選択することによって、暗号化キーが生成されます。暗号化キーが plan.xml ファイルに書き込まれます。同じ暗号化プロパティ セットでユーザ プロファイルとしてグループ プロファイル データがある場合、グループ プロファイル データも暗号化されます。
以下のいずれかのシナリオに該当する場合は、[暗号化の有効化] チェック ボックスを選択します。
プロパティ セット用の暗号化を有効化するには、「ユーザ プロファイル プロパティ セットの作成」の「手順 6」の手順に従ってください。
暗号化するもう 1 つの方法は、カスタム UUP で暗号化を設定することです。プロファイル マネージャは、クリア テキストのユーザ プロファイル データを UUP に送信し、UUP アダプタはデータを暗号化して格納します。プロファイル マネージャがプロファイル データを要求する場合、UUP アダプタは、クリア テキスト型でデータを復号化して、返します。UUP アダプタには、他のコンフィグレーションを実行する必要はありません。
| ヒント : | このオプションを選択すると、データが 2 度暗号化および復号化され、パフォーマンスが悪化することがあるので、(「ユーザ プロファイル プロパティ セットの作成」で説明しているように) [暗号化の有効化] チェック ボックスを選択しないでください。 |
以下のいずれかのシナリオに該当する場合は、カスタム UUP の暗号化を有効にします。
WebLogic Portal Server 9.2 には、ユーザおよびグループ メンバシップ用の RDBMS ユーザ ストアを持つ、デフォルトの新しい SQLAuthenticator 認証プロバイダがあります。同じデフォルトの認証プロバイダが使用されています。
Oracle WebLogic アップグレード ウィザードを実行すると、WebLogic Portal 8.1 SP4、SP5、SP6、Portal 9.2、または 9.2 MP1 のユーザおよびグループをアップグレードするか、Portal 8.1 の既存の RDBMS ユーザ ストアを使用し続けるかを選択できます。
Oracle WebLogic アップグレード ウィザードを実行してアップグレードを行う手順については、『WebLogic Portal 10.3 へのアップグレード』を参照してください。
ユーザおよびグループを作成するときは、次のガイドラインに従います。
|