IBM Workplace Web Content Managementは、Webコンテンツの作成、保存、提供を支援する強力なツールです。その長所の1つとして、特定のコンテンツへのユーザー・アクセスを制御する機能があります。

この記事では、Workplace Web Content Managementのセキュリティーがどのように機能するのかを見ていきます。役割、ポータル・アクセス、認証、アクセス・レベルなどのセキュリティーに関する概念が説明されています。この記事は、Workplace Web Content Managementの機能と用語に関する実際の知識がある方を対象に書かれています。

アクセス権とWeb Content Managementオーサリング・ポートレット

Workplace Web Content Management管理者グループ (通常はwcmadmins) のメンバーは、オーサリング・ポートレットにアクセスできるだけでなく、Workplace Web Content Management内のすべてのオブジェクトにアクセスし、完全に制御する権限を持っています。しかし、これは、オーサリング・ポートレットのコンテンツへのアクセスを制御する1つの方法に過ぎません。Workplace Web Content Managementの管理者は、オーサリング環境内のすべてを編集、作成、および削除することができます。しかし、より細かい制御が必要な場合もあります。たとえば、一部のユーザーに対し、純粋なコンテンツの作成だけを可能にし、残りの項目は操作できないようにする場合です。あるいは、特定のグループに対し、サイトとサイト・エリアの作成は許可しますが、その中へ配置するコンテンツへの操作は禁止する場合もあります。このような場合には、オーサリング・ポートレットへのアクセスを考慮しなければなりません。

オーサリング・ポートレットへのアクセスには、次の3つのアクセス・レベルがあります。

• アクセス権なしは、オーサリング・ポートレット内のこれらの項目をユーザーが読み取りおよび編集できないことを意味します。たとえ、オブジェクト・レベルでユーザーに特定の権限が付与されていても、Workplace Web Content Managementのオーサリング・テンプレート・レベルで何の権限も付与されていない場合、ユーザーはこれらの項目をオーサリング・ポートレットで見ることができません。
• ビュー/読み取りアクセス権は、ユーザーに既存の項目の表示および読み取りを許可しますが、これらのカテゴリーでは、既存の項目の編集および新規項目の作成を許可しません。ユーザーがオブジェクトにアクセスするには、オブジェクト・レベルでユーザーにアクセス権を付与する必要があります。また、オブジェクト・レベルで編集/削除アクセス権が付与されている場合は、カテゴリー・レベルでビュー/読み取りアクセス権しか付与されていなくても、ユーザーはそのオブジェクトを編集/削除できます。
• 管理アクセス権は、ユーザーにこのカテゴリーでの項目の編集、作成、および削除を許可します。繰り返しになりますが、ユーザーがオブジェクトにアクセスするには、オブジェクト・レベルでユーザーにアクセス権を付与する必要があります。このため、管理アクセス権を持っていても、オブジェクト・レベルで編集アクセス権が付与されていないと、そのオブジェクトを編集できません。

オーサリング・ポートレットでオブジェクトへのアクセス権を制御するとき、Workplace Web Content Managementオーサリングは、12のカテゴリーに分類されます。これらの12のカテゴリーと、カテゴリーに付与されたアクセス権の各レベルがユーザーに与える影響を下表に示します。

Workplace Web Content Managementオーサリング・ポートレットのアクセス権の設定を変更するには、次の手順で操作します。

1. Workplace Web Content Management管理者グループのメンバーとしてWebSphere Portalにログインします。
2. [Web Content Management] タブをクリックして、オーサリング・ポートレットにアクセスします。
3. ポートレットの右上にある[構成]アイコンをクリックします(図1参照)。
   図1.[構成]アイコン
   
   
4. [アクセス]オプションを展開します。12個のカテゴリーと、各項目のビュー/読み取りアクセス・レベルおよび管理アクセス・レベルのボタンが表示されます (図2 参照)。また、[セキュリティーの編集]と書かれたボタンも表示されます。この時点で、2つの方法を選択できます。[セキュリティーの編集]ボタンをクリックして設定全体を更新するか、各カテゴリーごとに[追加/削除]ボタンをクリックして、ビュー/読み取りアクセス権または管理アクセス権を付与するかのいずれかです。この例では、[セキュリティーの編集]ボタンをクリックしましょう。
   図2.[アクセス]オプション ([セキュリティーの編集]ボタンが強調表示されています)
   
   
5. アクセス権を付与するユーザーまたはグループを選択する画面が表示されます (図3 参照)。ユーザーが各カテゴリーに対して保持するアクセス・レベルを選択できます。項目を追加するために[追加]ボタンをクリックします。
   図3.[選択した項目のセキュリティー・レベルの変更]ダイアログ
   
   
6. 次の画面 (図4) では、検索するユーザーまたはグループを選択します (どちらも検索できます)。オブジェクトへのアクセスを制御するときは、グループを使用することをお勧めします。図4に示した例では、「Content_Creators」というグループを検索しました。このグループが見つかったあと、チェック・ボックスをクリックして選択し、[OK]をクリックします。
   図4.[ユーザーまたはグループの検索]ダイアログ
   
   
7. グループのリストが画面に表示され、アクセス・レベルを設定できます。12個の各カテゴリーごとに、ユーザーまたはグループに付与するアクセス権を選択するためのドロップダウン・ボックスがあります。この例では、12個のすべてのカテゴリーに[管理アクセスの権限付与]を選択し、[OK]をクリックします。
8. 12項目すべてに対し、Content_Creatorsグループが[管理アクセス]の下に表示されます (図5 参照)。
   図5.Content_Creatorsグループ
   
   
9. [OK]をクリックして、これらの変更を適用します。

上に戻る

Web Content Managementビューアー・ポートレットへのポータル・アクセス

wcmadminsのメンバーには、他の2つのWorkplace Web Content Managementポートレットであるリモート・レンダリング・ポートレットとローカル・レンダリング・ポートレットへのアクセス権が自動的に付与されています。表示するコンテンツを決めるために、他のユーザーがこれらのポートレット設定を編集できるようにするには、これらのユーザーにもそのアクセス権を付与する必要があります。Workplace Web Content Managementオーサリング・ポートレットとは異なり、このアクセス権はポータル管理を介して付与され、WebSphere Portalの管理者 (または、そのグループの任意のメンバー) がこのアクセス権を付与します。

必要なアクセス権を付与するには、次のように操作します。

1. wpsadminまたはwpsadminsグループの他のメンバーとしてログインします。
2. 右上隅にある[管理]リンクをクリックします。ポータル管理者情報が表示されます。
3. [ポートレット管理]リンクをクリックし、[ポートレット]をクリックします。すべてのポートレットのリストが表示されます。アクセス権を編集したいポートレットを見つけます。この例では、ローカル・レンダリング・ポートレットの1つへのアクセス権を付与します。
4. [検索方法]から[タイトルの内容]に変更し、検索語テキスト・ボックスに「Web Content Viewer」と入力します。
5. [検索]ボタンをクリックします。Workplace Web Content Managementポートレットのリストが表示されます (図6 参照)。
   図6.Workplace Web Content Managementポートレット
   
   図6で、ローカルとリモートの両方のレンダリング・ポートレットをデプロイしました。ポートレットをコピーするときは、ポートレットに自由に名前を付けることができます。このため、それに応じて検索語を変更する必要があります。
6. ポートレットを設定するために、アクセス権を付与したいポートレットの横にある「鍵」アイコンをクリックします。アクセス・オプションのリストが表示されます。
7. この場合、ユーザーにはポートレットへの編集アクセス権を付与するので、[編集者]列で編集役割 (鉛筆) をクリックします。
8. 次の画面では、この役割に追加されたユーザーまたはグループが表示されます。新しいユーザー/グループを追加するために、[追加]をクリックします。
9. アクセス権をどのグループ/ユーザーに付与するのかを選択できます。この例では、グループを選択し、「Content_*」を検索します (図7 参照)。
   図7.[リソースのアクセス権]ダイアログ
   
   
10. 追加したいグループまたはユーザー名の横にあるチェック・ボックスを選択し、[OK]をクリックします。
11. これで、ユーザーが追加できました。画面を終了させるために、左上のポートレット名のリンクをクリックします。現在のセキュリティー・マッピングに戻ります。[完了]をクリックします。

ユーザーがページでポートレットを表示するには、少なくともそのポートレットへのユーザー・アクセス権を持つことが必要です。ユーザーのアクセス・レベルは前の手順でユーザーに付与することができます。

上に戻る

Web Content Managementリモート・レンダリング・ポートレットの認証

Workplace Web Content Managementリモート・レンダリング・ポートレットは、Workplace Web Content Managementコンテンツが保存されているサーバーと接続を確立する必要があります。これには、接続を確立するためのクリデンシャルを送信しなければなりません。接続を確立するために使用されるクリデンシャルは、特定のWorkplace Web Content Managementコンテンツに対してどのようなアクセス権を持つのかを決めるためのクリデンシャルと同一です。リモートWorkplace Web Content Managementサーバーに対してリモート・レンダリング・ポートレットを認証するには、次の2つの方法があります。

• LTPAを用いる方法：LTPA認証を指定すると、リモートWorkplace Web Content Managementサーバーへの認証には、リモート・レンダリング・ポートレットがデプロイされたWebSphere Portalサーバーにログインしているユーザーのデータが使用されます。これは、ユーザーが両方のWebSphere Portalサーバーに同じように存在しなければならないことを意味します。通常、2つのWebSphere Portalサーバーは同じLDAPサーバーを共有しているので、これについては問題ありません。このため、LTPAを選択すると、ログインしているユーザーからユーザー情報を取得し、この情報を使用してリモート・サーバー上のWorkplace Web Content Managementへの認証が行われます。LTPAを選択した場合は、WebSphere Portal Information Center (US)に記載されている情報に従って、2つのWebSphere Portalサーバー間でLTPAトークンを共有する必要があります。簡単に言えば、一方のインスタンスからLTPAトークンをエクスポートし、もう一方のインスタンスにインポートします。認証にLTPAトークンを使用することには、ユーザーのログイン先に基づいて、ユーザーに付与する権限を制御できるという利点があります。クリデンシャル・ボールトを提供すると、リモート・レンダリング・ポートレットのすべてのユーザーは1つのユーザー名を共有します (これについては後述します)。
• クリデンシャル・ボールト・スロットを用いる方法：クリデンシャル・ボールトは、WebSphere Portal で共有するユーザー名とパスワードを定義するための方法です。クリデンシャル・ボールト・スロットを使用することにより、ユーザー名とパスワードの組み合わせを設定できます。多くの異なるリソースが、そのスロットを参照できるようになります。Workplace Web Content Managementでは、コンテンツのソースとなるリモートWorkplace Web Content Managementサーバーへの認証に使用するユーザー名とパスワードをスロットに割り当てることができます。

認証にクリデンシャル・ボールト・スロットを使用することには、認証方法を簡素化できるという利点があります。まず、LTPAトークンを共有する必要がありません。次に、Workplace Web Content Managementリモート・レンダリング・ポートレットを介して提供されるすべてのコンテンツには、一人のユーザー (クリデンシャル・ボールト・スロットで定義したユーザー) だけに表示アクセス権を付与できます。最後に、コンテンツの提供先のWebSphere Portalサーバー上のユーザーが、リモート・サーバーに存在する必要はありません。これは、2つのWebSphere Portalサーバーが、同じLDAPサーバーを共有する必要がないことを意味します。

クリデンシャル・ボールト・スロットを作成するには、次の手順で操作します。

1. wpsadminsグループのメンバーとしてWebSphere Portalにログインします。
2. 右上隅にある[管理]リンクをクリックします。WebSphere Portalの管理ページが表示されます。
3. 左側にある[アクセス]リンクをクリックします。
4. 表示されたオプションから、[クリデンシャル・ボールト]をクリックします。クリデンシャル・ボールトのページが表示されます。
5. Workplace Web Content Managementリモート・レンダリング・ポートレットに、その固有のボールトとボールト・スロットを指定します。メニューで[ボールト・セグメントの追加]をクリックします。
6. [ボールト]フィールドはデフォルトのままにします。[選択したボールト内のリソース]フィールドの値については、心配する必要はありません。ボールト・セグメント名には、ボールト・セグメントに使用したい名前を入力します (この例では、WCMVaultSegmentにしました)。必要であれば、説明を入力します (図8 参照)。
   図8.[クリデンシャル・ボールト]ダイアログ
   
   
7. [OK]をクリックします。メインのクリデンシャル・ボールトのページに戻ります。
8. クリデンシャル・ボールト・セグメントが作成できたので、クリデンシャル・ボールト・スロットを作成しましょう。[ボールト・スロットの追加]リンクをクリックします。新しいボールト・スロットを作成するためのフォームが表示されます (図9 参照)。
   図9.[ボールト・スロットの作成]ダイアログ
   
   
9. 名前を入力します (この例では、WCMにします)。[ボールト・セグメント]ドロップダウン・リストで、前の手順で作成したクリデンシャル・ボールト・セグメント (この例ではWCMVaultSegment)を選択します。[ボールト・スロットと関連したボールト・リソース]で、[新規]を選択し、新しいリソース名 (たとえば、WCM) を入力します。[ボールト・スロットを共用]チェック・ボックスを選択し、リモートWorkplace Web Content Managementサーバーへの認証に使用するユーザー名 (たとえば、wpsadmin) とパスワードを入力します。必要であれば説明を入力します。完了したら[OK]をクリックします。

これで、リモート・レンダリング・ポートレットの設定で使用する新しいクリデンシャル・ボールト・スロットが作成できました。クリデンシャル・スロット名を求められたときは、ボールト・スロットに付けた名前を入力します。この例では、WCMという名前が付けられています。

上に戻る

Workplace Web Content Managementのアクセス・レベル

Workplace Web Content Managementのオブジェクトには、次の5つのアクセス・レベルを割り当てることができます。

• 「アクセス権なし」は、ユーザーがコンテンツへのアクセス権をまったく持たないことを示します。ユーザーがアクセス権を持つことを指定しない限り (直接指定するか、グループ・セキュリティーを介して継承するか)、オブジェクトにアクセスできるのは作成者だけなので、「アクセス権なし」は、Workplace Web Content Managementオブジェクトに対するデフォルトのアクセス・レベルとなります。ただし、Workplace Web Content Management管理者グループのメンバーはこの例外で、Workplace Web Content Managementのすべてのオブジェクトへの全アクセス権を持ちます。
• 「表示アクセス権」は、Webページでオブジェクトを表示/レンダリングするために、ユーザーがWorkplace Web Content Managementオブジェクトに対して必要とする最小限のアクセス権です。表示アクセス権は、オブジェクトのレンダリング時に、ユーザーがオブジェクトを見ることができる権限を示しますが、それだけの権限に限られます。つまり、Workplace Web Content Managementオブジェクト/文書自体へのアクセス権は持ちません。
• 「読み取りアクセス権」は、ユーザーがWorkplace Web Content Managementオブジェクトの実際の文書を見ることを可能にします。これは、ユーザーがWorkplace Web Content Managementオーサリング・ポートレットにオブジェクトを表示できることを意味します。このため、そのオブジェクトを指すようポートレットを設定するか、そのオブジェクトに基づいて新しいオブジェクトを作成するときに、オブジェクトを参照できます。
• 「編集アクセス権」は、ユーザーにオブジェクトの編集を許可します。
• 「削除アクセス権」は、Workplace Web Content Managementからオブジェクトを削除する権限を付与します。

アクセス・レベルは、現在よりも「低位」のレベルの権限も継承していることに注意してください。もし、ユーザーが編集アクセス権を持っている場合は、読み取りアクセス権や表示アクセス権も持つことになります。

例として、TestSecurityAuthTemplateという名前のオーサリング・テンプレートについて考えます。Content_Creatorsグループに、オーサリング・テンプレートへの読み取りアクセス権が付与されているものとしましょう (図10 参照)。

グループはオーサリング・テンプレートの読み取りアクセス権を持っているため、新しいコンテンツを作成するときに、そのオーサリング・テンプレートを新しいコンテンツ用に選択できます (図11 参照)。

ユーザーがローカルまたはリモートのレンダリング・ポートレットで使用するためにWorkplace Web Content Managementオブジェクトを選択するときは、少なくともこの読み取りアクセス権を持たなければなりません。ユーザーが表示アクセス権を持つか、まったくアクセス権を持たない場合は、Workplace Web Content Managementビューアー・ポートレットでオブジェクトを選択できません。

ユーザー定義、システム定義、およびワークフロー・セキュリティー

Workplace Web Content Managementオブジェクトのアクセス権を設定するときは、次の3つの方法で定義できます。

• ユーザー定義アクセス権は、オブジェクトへの編集アクセス権を持つ任意のユーザーが追加または削除できる権限です。管理者でないユーザーは、ユーザー定義アクセス権だけを付与できます。オブジェクトがワークフローに含まれる場合は、ユーザー定義アクセス権を付与できません。
• システム定義アクセス権は、wcmadminsグループのメンバーだけが追加または削除できる権限です。このことは、管理者がシステム管理アクセス権をオブジェクトに付与すると、wcmadminsグループのメンバーでない作成者は誰もそのアクセス権を削除できないことを意味します。
• ワークフロー・セキュリティーは、オブジェクトが属しているワークフロー・ステージからそのオブジェクトが受け取るアクセス・レベルです。オブジェクトがワークフローに含まれる場合、オブジェクトは現在のワークフロー・ステージからアクセス・レベルを取得します。オブジェクトがワークフローに含まれるとき、ユーザー定義アクセス権は利用できません。つまり、Workplace Web Content Management管理者グループのメンバーだけが、追加のアクセス権をコンテンツに付与できます。

最終的に、アクセス権の定義は、その割り当て方とは無関係に同じ結果となります。つまり、ユーザーがオブジェクトへの読み取りアクセス権を付与されたケースを考えると、ユーザー定義セキュリティー、システム定義セキュリティー、またはワークフロー・セキュリティーのいずれの方法で付与された場合でも、ユーザーはオブジェクトに対して読み取りアクセス権を持つことになります。

ワークフローとワークフロー・ステージのアクセス・レベル

ワークフロー・ステージでは、ワークフロー内のそのステージに存在する文書に、どのユーザーがアクセスできるのかを定義できます。付与するアクセス・レベルは、その特定のワークフロー・ステージにあるオブジェクトにのみ適用されます。ワークフロー・ステージで異なるアクセス・レベルを使用することにより、コンテンツがワークフロー内の特定のステージにとどまっている間に、そのコンテンツを編集できるユーザーを制御できます。

たとえば、「ドラフト」、「承認」、「公開」という3つのステージを持つワークフローがあるものとします。Content_Creatorsグループに対し、ドラフト・ステージでは削除アクセス権を付与し、承認ステージと公開ステージでは読み取りアクセス権だけを付与することが可能です。このように設定すると、このグループのメンバーは、ドラフト・ステージにあるオブジェクトを編集および削除できますが、オブジェクトが承認ステージおよび公開ステージに移動した後は、オブジェクトに変更を加えられません。これが、ワークフローのセキュリティー設定の背後にある主な概念です。管理者は、どのユーザーが、どのオブジェクトに対し、どのようなアクセス権を持ち、ワークフローのどの時点でそのアクセス権をユーザーに付与するのかを総合的に制御することができます。

ワークフローのセキュリティーは、前述したアクセス・レベルと同じアクセス・レベル (表示、読み取り、編集、削除) を持ちます。これに加え、「承認」という新しいアクセス・レベルがあります。基本的に、承認アクセス権は、承認アクセス権を持つステージからワークフローの次のステージにオブジェクトを移動する権限を持つユーザーを定義します。たとえば、オブジェクトがドラフト・ステージにあるとき、オブジェクトを承認して次のステージに移動させるには、ユーザーがドラフト・ステージで承認アクセスを持っている必要があります。

上に戻る

特殊なケース

Workplace Web Content Managementのセキュリティーには、2つの特殊なケースがあります。まず、Workplace Web Content Management管理者グループ (wcmadmins) の任意のメンバーが、Workplace Web Content Managementオブジェクトに対し常に全アクセス権を持つことです。これは、あるユーザーに特定のオブジェクトへの特定のセキュリティー権限が付与されていなくても、このユーザーがwcmadminsグループのメンバーであれば、全アクセス権を持つことを意味します。

次に、あるオブジェクトに対し、WebSphere Portalの匿名ユーザーがアクセス権を持つよう指定すると、WebSphere Portalの任意の認証済みユーザーもそのオブジェクトへのアクセス権を持つことになります。たとえば、WebSphere Portalの匿名ユーザーにオブジェクトへの表示アクセス権を付与すると、ログインしたどのユーザーにもそのオブジェクトへの表示アクセス権が自動的に付与されます。

上に戻る

まとめ

Workplace Web Content Managementのセキュリティーについて解説してきました。この記事が役に立つことを願っています。ここで説明した情報を使用することにより、Workplace Web Content Managementコンテンツ全体のセキュリティー管理を改善し、正しいユーザーだけに企業データへの適切な権限を与えることができます。

参考文献

• developerWorks Japan: Lotus: Lotusの日本の技術情報サイトです
  
  
• developerWorks: Lotus(US) : Lotusの英語の技術情報サイトです
  
  
• developerWorks Lotus記事『IBM Workplace Web Content Management のコンテンツ・リポジトリーと索引を理解する』では、製品の2つの主要なコンポーネント、コンテンツ・リポジトリーと関連付けされた索引について述べています。
  
  
• 記事『Introducing the Lotus Workplace Web Content Management API (US)』では、Javaアプリケーションを構築するためにLotus Workplace Web Content Management APIを使用する方法をデモンストレーションしています。
  
  
• IBM Workplace Web Content Managementの製品ページは、IBM Workplace Web Content Managementについての一般的な情報のための優れたリソースです。
  
  
• 2台のWebSphere Portalサーバー間でLTPAトークンを共有する方法についての情報は、WebSphere PortalのInfoCenter (US)をご参照下さい。
  
  
• developerWorksブログ(US)を通してdeveloperWorksコミュニティに参加できます。
  
  

著者について

Christopher Knight is a Support Software Engineer for the IBM Workplace Web Content Management product. He has written extensively on various aspects of Workplace Web Content Management.

この記事を評価する

コメント

上に戻る

目次

• アクセス権とWeb Content Managementオーサリング・ポートレット
• Web Content Managementビューアー・ポートレットへのポータル・アクセス
• Web Content Managementリモート・レンダリング・ポートレットの認証
• Workplace Web Content Managementのアクセス・レベル
• 特殊なケース
• まとめ
• 参考文献
• 著者について
• コメント