TIBCO EBX®は、ユーザー認証とユーザーの役割(ロール)定義にディレクトリを使用します。
デフォルトのディレクトリが提供され、EBX®リポジトリに統合されます。 「ディレクトリ」管理セクションでは、接続できるユーザーとその役割を定義できます。
別のタイプのエンタープライズディレクトリを統合することもできます。
EBX®では、ユーザーは複数の役割のメンバーになることができ、役割は複数のユーザーによって共有されることがあります。さらに、ある役割を別の役割に含めることができます。 プロファイルという一般的な用語は、ユーザーまたは役割のいずれかを表すために使用されます。
EBX®は、ディレクトリ定義の役割に加えて、次のビルトインの役割を提供します。
| Role | 定義 |
|---|---|
Profile.ADMINISTRATOR | ビルトインの管理者ロール。一般的な管理タスクを実行できます。 |
Profile.READ_ONLY | ビルトインの読み取り専用ロール。読み取り専用ロールに関連付けられているユーザーは、EBX®リポジトリのみを表示でき、リポジトリで変更を実行する権限はありません。 |
Profile.OWNER | 動的なビルトインの所有者の役割。この役割は、現在のエレメントに応じて動的にチェックされます。ユーザーが現在のエレメントの所有者として定義されたプロファイルに属している場合にのみアクティブになります。 |
Profile.EVERYONE | すべてのユーザーがこの役割に属します。 |
プロファイルに関連する情報は、主にディレクトリで定義されます。
ユーザーとビルトインの役割OWNERおよびEVERYONEの間の関連付けは、EBX®によって自動的に管理されるため、ディレクトリを介して変更することはできません。
ユーザー権限は、ディレクトリとは別に管理されます。 権限を参照してください。
これらのプロパティは、ユーザーとロールディレクトリのポリシーを構成します。たとえば、ユーザーが自分のプロファイルを編集できるかどうかなどです。
この表には、内部ディレクトリで定義されているすべてのユーザーが一覧表示されます。そこから新しいユーザーを追加できます。
この表には、内部ディレクトリで定義されているすべてのユーザーが一覧表示されます。このテーブルで新しい役割を作成できます。
デフォルトのディレクトリは、「管理」領域のデータセット「ディレクトリ」で表されます。
このデータセットには、ユーザーとロールのテーブル、およびユーザーのロールテーブル、ロールの包含テーブル、敬称テーブルが含まれています。
役割の包含サイクルが検出された場合、権限の解決時に役割の包含は無視されます。サイクル検出のためにディレクトリ検証レポートを更新して確認します。
ユーザーの役割、役割の包含、および敬称の表は、デフォルトで非表示になっています。
定義されたポリシーに応じて、ユーザーは、ディレクトリデータセットで定義されたアクセス許可に関係なく、自分のアカウントに関連する情報を変更できます。
デフォルトのディレクトリを削除または複製することはできません。
デフォルトのディレクトリでは、パスワードは暗号化され(デフォルトでは、SHA256のようなアルゴリズムを使用)、この状態で保存されます。したがって、紛失したパスワードを取得することはできません。新しいパスワードを生成してユーザーに送信する必要があります。
この手順には2つのオプションがあります。
通知メールが管理者に送信され、管理者は手動でパスワードを変更し、新しいパスワードをユーザーに送信します。
プロシージャは自動的に新しいパスワードを生成し、それをユーザーに送信します。
デフォルトでは、最初のオプションが使用されます。 2番目のオプションをアクティブにするには、TIBCO EBX®メイン構成ファイルでプロパティebx.password.remind.auto=trueを指定します。
セキュリティ上の理由から、管理者プロファイルではパスワード回復手順を使用できません。必要に応じて、代わりに管理者の回復手順を使用してください。
管理者の「ログイン/パスワード」資格情報がすべて失われた場合は、特別な手順に従う必要があります。特定のディレクトリクラスは、ログイン「admin」とパスワード「admin」で管理者ユーザーを再定義します。
この手順をアクティブにするには:
TIBCO EBX®メイン構成ファイルで次のプロパティを指定します。
ebx.directory.factory= com.orchestranetworks.service.directory.DirectoryDefaultRecoverFactory
EBX®を起動し、手順が完了するまで待ちます。
'ebx.directory.factory'プロパティをリセットします。
EBX®を再起動し、「admin」アカウントを使用して接続します。
'ebx.directory.factory'プロパティが回復手順に設定されている間、ユーザーの認証は拒否されます。
デフォルトのディレクトリの代わりに、特定の会社のディレクトリを統合することができます。たとえば、LDAP インスタンス、リレーショナル データベース、または EBX®にインスタンス化された特定のディレクトリ モデルです。デフォルトのログイン ページを特定の企業ページに置き換えることもできます。