WebSphere Enterprise Service Bus バージョン 6.2.0 オペレーティング・システム: AIX、HP-UX、i5/OS、Linux、Solaris、Windows


Business Calendar Manager のセキュリティー

セキュリティー・マネージャーでは、Business Calendar Manager 内の個々のタイムテーブルへのアクセスを保護する機能が提供されています。セキュリティー・マネージャーを使用して、ロールを組織のメンバーに割り当てます。これらのロールによって、タイムテーブルへのアクセス・レベルが決まります。

Business Calendar Manager 内の各タイムテーブルに対して、所有者、ライター、またはリーダーの 3 つのロールのいずれか 1 つにメンバーを割り当てることができます。

セキュリティー・マネージャーは、Business Calendar Manager のロール・ベースのアクセス制御を管理するために使用しますが、WebSphere® によって提供される Business Space に配置されています。

この Business Calendar Manager に対するロール・ベースのアクセス権限は、オープン・スタンダードである XACML (eXtensible Access Control Markup Language) に基づいています。

セキュリティー・マネージャーを使用する利点

セキュリティー・マネージャーを使用して、Business Calendar Manager でのロール・ベースのアクセス制御を行う利点は何でしょうか。
  • タイムテーブルの特定のインスタンスへのアクセスを制御できます。

    例えば、あるユーザーがそのユーザー自身のタイムテーブルに対してのみアクセスでき、他のユーザーのタイムテーブルを見たり変更したりできないように指定することができます。

  • アクセスの制御は、個々のユーザー・レベルではなく、ロール・レベルで行われます。

    メンバーをロールにマップします。メンバーがリソースの特定のインスタンスに対して持つアクセス権は、ロールが定義します。

タイムテーブルに関連付けられたロール

タイムテーブルがインストールされると、そのタイムテーブルに対して所有者、ライター、およびリーダーという 3 つのロールが作成されます。

それらのロールはどのように使用されるのでしょうか。ある組織で使用される休日タイムテーブルの事例を考えてみます。そのタイムテーブルにはすべての従業員がアクセスできる一方、そのタイムテーブルを更新できる従業員の数は制限したいとします。

休日タイムテーブルがインストールされた時点で、以下のロールが作成されます。
  • HolidayOwner

    このロールに割り当てられたメンバーは、休日タイムテーブルを読むことができ、それに書き込むこともできます。例えば、会社が特別な休暇を追加する場合、HolidayOwner ロールを持つメンバーは変更を加えることができます。

    このロールのメンバーは、メンバーを HolidayWriter ロールおよび HolidayReader ロールに割り当てることもできます。例えば、HolidayOwner は、ある上級管理者を HolidayWriter ロールに追加する決定を下すことができます。

  • HolidayWriter

    このロールに割り当てられたメンバーは、休日タイムテーブルを読むことができ、それに書き込むこともできます。HolidayOwner の事例のように、HolidayWriter ロールのメンバーは休日を追加できます。

  • HolidayReader

    このロールに割り当てられたメンバーは、休日タイムテーブルを読むことができますが、それに書き込むことはできません。

次の図で示すように、HolidayOwner ロールを Human Resources manager に、HolidayWriter ロールを Human Resources Specialists group に、HolidayReader ロールを employee group に割り当てることができます。
図 1. タイムテーブルに割り当てられたロールの例
組織のさまざまなメンバーに割り当てられたロールの図。
タイムテーブルをデプロイすると、所有者、ライター、およびリーダーという 3 つのロールが作成されます。すべてロールのアクセス権は、初期には「すべての認証済み」に設定されます。必ず、この指定を変更し、組織のメンバーを正しいロールに割り当ててください。
注: ロールのメンバーシップは変更できます (例えば、リーダー・ロールからメンバーを除去できます) が、ロールの名前の変更、ロールの追加または削除、ロールに関連付けられているアクセス権の変更はできません。アクセス権は、以下のように設定されます。
  • 所有者ロールのメンバーはタイムテーブルの読み取りと書き込みができ、他のメンバーを作成者ロールおよび読者ロールに割り当てることができます。
  • 作成者ロールのメンバーは、タイムテーブルの読み取りと書き込みができます。
  • 読者ロールのメンバーは、タイムテーブルを読み取ることができます。

セキュリティー・マネージャーでは、これらのタイムテーブルに関連したロールは、モジュール・ロールとしても知られています。

セキュリティー・マネージャーの管理ロール

WebSphere ESB をインストール (または WebSphere ESB 6.2 にアップグレード) した後、サーバーを再始動すると、以下のロールが作成されます。
  • BPMAdmin

    BPMAdmin は、BPMRoleManager ロールのメンバーを追加または除去する権限を持ちます。

    例えば、BPMRoleManager ロールを実行している人が組織を去った場合、そのロールに別のメンバーに割り当てることができるのは、BPMAdmin だけです。

    BPMAdmin は、初期には 1 人のメンバー (1 次管理ユーザー) に割り当てられます。この割り当ては、インストールまたはアップグレード後にサーバーを再始動してから、直ちに別のメンバーに変更してください。

  • BPMRoleManager

    BPMRoleManager は、タイムテーブルに関連する 3 つのロールである、所有者、ライター、およびリーダーのロールに対して、メンバーを追加または除去する権限を持ちます。

    例えば、Holiday タイムテーブルが作成されると、BPMRoleManager はメンバーを HolidayOwner ロール、HolidayWriter ロール、および HolidayReader ロールに割り当てます。

    BPMRoleManager は、初期には 1 人のメンバー (1 次管理ユーザー) に割り当てられます。この割り当ては、インストールまたはアップグレード後にサーバーを再始動してから、直ちに別のメンバーに変更してください。

注: セキュリティー・マネージャーでは、これらのロールはシステム・ロールとしても知られています。

ロールのセットアップ

WebSphere ESB をインストールした後、セキュリティー・マネージャーで以下のタスクを実行してください。
  1. BPMAdmin が BPMRoleManager ロールの再割り当てを行います。
  2. BPMRoleManager は、3 つのタイムテーブル関連のロールのどれか 1 つにメンバーを割り当てます。

これらのタスクの実行方法については、セキュリティー・マネージャーのヘルプ・トピックを参照してください。


concept 概念トピック

ご利用条件 | フィードバック


タイムスタンプ・アイコン 最終更新: 2010/07/05


http://publib.boulder.ibm.com/infocenter/dmndhelp/v6r2mx/topic//com.ibm.websphere.wesb620.doc/doc/csec_rolebased.html
Copyright IBM Corporation 2005, 2010. All Rights Reserved.
このインフォメーション・センターでは Eclipse テクノロジーが採用されています (http://www.eclipse.org)。