IBM® Business Process Manager を外部セキュリティー・プロバイダーと連携するように構成した場合は、その外部プロバイダーのグループを Process Admin コンソールに表示できますが、外部グループを編集することはできません。 ただし、作成した任意の IBM BPM 内部グループに、外部プロバイダーからユーザーとグループを追加できます。 異なるプロバイダーからのアカウントを 1 つのグループに結合することも可能です。
始める前に
Process Admin Console にログインします。
注: グループの作成と保守を行うには、デフォルトの管理ユーザー・アカウント (インストール時に追加した、管理者特権を持つアカウント) などの管理ユーザーとしてログインします。 新しい管理ユーザーを追加した場合、そのユーザーは tw_admins ユーザー・グループに追加されます。 管理者グループ (デフォルトでは tw_admins) のメンバーは、Process Server、Performance Data Warehouse、および内部のユーザーとグループを管理できます。
このタスクについて
IBM Business Process Manager のデフォルト・インストールには、WebSphere® Application
Server ファイル・レジストリーが含まれたフェデレーテッド・リポジトリーが用意されています。WebSphere Application
Server のファイル・レジストリーではない別のユーザー・レジストリーを使用する外部セキュリティー・プロバイダーを実装するには、そのプロバイダーをフェデレーテッド・リポジトリーに追加する必要があります。 以下を含むいくつかのタイプのリポジトリーがサポートされます。
ローカル・オペレーティング・システム・リポジトリー、スタンドアロン Lightweight Directory Access Protocol (LDAP) レジストリー、スタンドアロン・カスタム・レジストリー、およびフェデレーテッド・リポジトリー。
レジストリーと外部セキュリティー・プロバイダーについて詳しくは、このトピックの終わりにある関連リンクを参照してください。
注: IBM Business
Process Manager で作成されたグループは、WebSphere Application
Server では編集できません。WebSphere Application
Server で作成されたグループは、IBM Business
Process Manager では編集できません。
制限: 過去に WebSphere Application Server ユーザー・レジストリーに (つまり WebSphere Application
Server の管理コンソールを使用して) 同じグループ名のグループが作成されている場合、Process Admin
Console を使用して新しいユーザー・グループを作成することはできません。WebSphere Application
Server ユーザー・レジストリーからグループがインポートされると、そのグループが IBM
BPM データベースに保持されます。グループが WebSphere Application
Server ユーザー・レジストリーから削除されても、IBM
BPM データベースでは、削除済みのマークが付けられるだけで実際には削除されません。そのため、Process Admin
Console を使用してそのグループを新しいグループとして追加することができません。
IBM Business Process Manager のセキュリティーに関する考慮事項
- WebSphere Application
Server 管理コンソールで作成されたユーザーとグループは、ファイル・レジストリーに保管されます。
- 内部ユーザーおよびグループは、Process Admin Console を通じて管理されます。
IBM Business Process Manager のデフォルト・グループのリストについては、
IBM Business Process Manager のデフォルト・グループ・タイプを参照してください。
手順
- グループを作成するには、以下のステップを実行します。
- Process Admin Console の「サーバー管理」領域で、「ユーザー管理」の横にあるインディケーターをクリックして、使用可能な管理オプションをリストします。
- 「グループ管理」をクリックします。
- 「グループ管理」ウィンドウで、「新規グループ」をクリックします。
- 「グループの作成」ウィンドウで、グループの名前と説明を入力し、「保存」をクリックします。
グループがリストに表示され、新規メンバーを追加できます。
- メンバーをグループに追加するには、以下のステップを実行します。
- Process Admin Console の「サーバー管理」領域で、「ユーザー管理」の横にあるインディケーターをクリックして、使用可能な管理オプションをリストします。
- 「グループ管理」をクリックします。
- 「グループ管理」ウィンドウで、グループ名の一部または全部を「変更するグループの選択」フィールドに入力します。
ヒント: すべてのグループを表示するには、「変更するグループの選択」フィールドに ** と入力します。
- 表示されたグループ・リストから、更新したいグループをクリックします。
- 選択したグループの横の「メンバーの追加」をクリックします。
- 「ユーザーまたはグループの追加」ウィンドウで、「検索対象名」フィールドに、追加したいユーザーまたはグループの名前を入力します。 名前の一部だけを入力してもよく、ウィンドウは一致するすべてのアカウントを表示します。
ヒント: * は、「検索対象名」フィールドで認識される唯一のワイルドカード文字です。
この時点で、追加されたユーザーとグループが、選択したグループのメンバーとして表示されます。
- (非推奨): グループのチーム・マネージャー・グループを指定するには、以下のステップを実行します。
- Process Admin Console の「サーバー管理」領域で、「ユーザー管理」の横にあるインディケーターをクリックして、使用可能な管理オプションをリストします。
- 「グループ管理」をクリックします。
- 「グループ管理」ウィンドウで、グループ名の一部または全部を「変更するグループの選択」フィールドに入力します。
ヒント: すべてのグループを表示するには、「変更するグループの選択」フィールドに ** と入力します。
- 表示されたグループ・リストから、チーム・マネージャーを指定したいグループをクリックします。
- 「チーム・マネージャー・グループ (非推奨)」フィールドにグループ名の一部または全部を入力し、リストから求めるグループを選択します。
重要: チーム・マネージャー・グループの使用は非推奨になりました。
IBM Process
Portal のチーム・パフォーマンス・ダッシュボードでは、
チームの作成と
チーム・マネージャーの定義の説明に従って、Process Designer でチームとチーム・マネージャーを定義する必要があります。
- グループからユーザーを削除するには、以下のステップを実行します。
- Process Admin Console の「サーバー管理」領域で、「ユーザー管理」の横にあるインディケーターをクリックして、使用可能な管理オプションをリストします。
- 「グループ管理」をクリックします。
- 「グループ管理」ウィンドウで、グループ名の一部または全部を「変更するグループの選択」フィールドに入力します。
ヒント: すべてのグループを表示するには、「変更するグループの選択」フィールドに ** と入力します。
- 表示されたグループ・リストから、更新したいグループをクリックします。 「Process Admin Console」に、グループのメンバーがリストされます。
- 削除したいユーザーおよびグループの「削除」をクリックします。
削除されたユーザーとグループは、メンバーのリストに表示されなくなり、選択されたグループから削除されます。
- グループを削除するには、以下のステップを実行します。
制約事項: 割り当てられたタスクがあるグループや、BPMServerSecurityGroups 構成で bpmAdminGroup として構成されているグループは削除できません。
- Process Admin Console の「サーバー管理」領域で、「ユーザー管理」の横にあるインディケーターをクリックして、使用可能な管理オプションをリストします。
- 「グループ管理」をクリックします。
- 「グループ管理」ウィンドウで、グループ名の一部または全部を「変更するグループの選択」フィールドに入力します。
ヒント: すべてのグループを表示するには、「変更するグループの選択」フィールドに ** と入力します。
- 表示されたグループ・リストで、削除したいグループの「削除」をクリックします。
そのグループがリストから削除され、使用できなくなります。
- LDAP リポジトリーのネストされたグループのメンバー・リストを返すには、以下の手順を実行します。
- 次のコマンドを実行します。
$AdminTask setIdMgrCustomProperty { -id Ldap Repository Id -name com.ibm.ws.wim.adapter.ldap.returnNestedNonGroupMembers -value true}
以下に例を示します。
wsadmin>$AdminTask setIdMgrCustomProperty { -id LDAP1 -name com.ibm.ws.wim.adapt er.ldap.returnNestedNonGroupMembers -value true}
- 変更内容を保存して終了します。
wsadmin>$AdminConfig save
wsadmin> exit
- サーバーを再始動します。