デフォルトの Report Launcher for ClearQuest の WebSphere
Application Security 構成がお客様のニーズを満たしていない場合、Report Launcher for ClearQuest® のデプロイメント記述子ファイルを更新することで設定をカスタマイズすることができます。
ファイルを更新したら、WebSphere® Application Server の wsadmin ユーティリティを使用して、デプロイメント記述子の設定を適用してください。
このタスクについて
このタスクが必要になるのは、Report Launcher for ClearQuest に定義されたデフォルトの WebSphere Application Server のセキュリティ役割と構成をカスタマイズする場合のみです。
セキュリティ構成をカスタマイズする前に、実現しようとしているセキュリティ動作について検討してください。
例えば、すべてのユーザーが Report Launcher の開始時に認証されるようにしますか?
ユーザーまたはグループによって異なるレポート アクセス権を提供しますか?
構成の更新を行う開始点として
セキュリティ構成設定の例を確認してください。
WebSphere Application Server 上のクライアント認証を構成するには、Report Launcher
for ClearQuest のデプロイメント記述子を更新します。
手順
- Report Launcher for ClearQuest デプロイメント記述子ファイル web.xml を作業ディレクトリにコピーして、そのファイルの名前を変更します。 web.xml ファイルは次のディレクトリにあります。
- Windows:
cd %CLEARQUEST_HOME%¥cqweb¥cqwebprofile¥installedApps¥dfltCell¥RationalClearQuestReportLauncher.ear¥CQReportLauncher.war¥WEB-INF¥web.xml
- UNIX および Linux:
cd $CLEARQUEST_HOME/cqweb/cqwebprofile/installedApps/dfltCell/RationalClearQuestReportLauncher.ear/CQReportLauncher.war/WEB-INF/web.xml
注: デフォルトの WebSphere Application Server セル ディレクトリは、Windows、Unix、および Linux プラットフォームの場合 dfltCell です。Solaris プラットフォームの場合、デフォルトは <srv>Node01Cell です。
以下の手順の残りのステップでは、作業ディレクトリにコピーした web.xml ファイルの名前が launcher_web.xml に変更されていると想定しています。
- セキュリティ制約およびセキュリティ ロールのエレメントを更新して、必要なセキュリティ設定を取り込みます。
login-config エレメントの変更は必要ありません。 可能な構成案については、セキュリティ構成設定の例を参照してください。
- WebSphere Application
Server wsadmin ユーティリティを使用して、デプロイメント記述子の変更を適用します。
- コマンド プロンプトで、launcher_web.xml ファイルがある作業ディレクトリに移動します。
- Windows:
%CLEARQUEST_HOME%¥cqweb¥cqwebprofile¥bin¥wsadmin
- UNIX および Linux:
$CLEARQUEST_HOME/cqweb/cqwebprofile/bin/wsadmin.sh
- コマンド プロンプト ウィンドウで wsadmin ユーティリティを開始します。
- プロンプトに応じて、WebSphere 管理ユーザーの認証を指定します。
- 以下のコマンドを実行して、WebSphere Application Server のデプロイメント記述子を更新します。
wsadmin> $AdminApp update RationalClearQuestReportLauncher file {-operation
update -contents launcher_web.xml -contenturi CQReportLauncher.war/WEBINF/
web.xml}
wsadmin> $AdminConfig save
wsadmin> exit
セキュリティ構成設定の例
ご使用の環境で Report Launcher アプリケーション セキュリティを構成する開始点として、以下のコード例を使用することができます。
- 例 1: レポートをアクセスするすべてのユーザーは、Report Launcher にログオンする必要がある
- このコード例では、すべてのユーザーがレポート ファイル サーバー上の構成済みフォルダおよびレポートにアクセスするためには、Report Launcher for ClearQuest にログオンすることを要求するセキュリティ構成設定を示しています。
この例では、すべての認証済みユーザーが含まれるセキュリティ ロール AuthenticatedUsers が作成されます。
次に、セキュリティ制約により AuthenticatedUsers ロールのすべてのユーザーに Report Launcher のアクセス権が与えられます。
<security-constraint>
<web-resource-collection>
<web-resource-name>authenticated</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>AuthenticatedUsers</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>default</realm-name>
<form-login-config>
<form-login-page>/Login.jsp</form-login-page>
<form-error-page>/Login.jsp?error=true</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>AuthenticatedUsers</role-name>
</security-role>
- 例 2: ManagementReports フォルダへのアクセスを部門の管理職のみに制限する
- このコード例は、上記の例を基に作成しています。AuthenticatedUsers ロールのサブセットとして追加で Managers ロールを設定し、
Managers ロールのユーザーにのみ /reports/home/ManagementReports フォルダへのアクセスを許可するセキュリティ制約を作成します。
無許可ユーザーが ManagementReports フォルダ リンクをクリックすると、
Report Launcher はそのリンクを使用不可にし、そのフォルダ エントリにロックの装飾をしてフォルダ コンテンツが保護されていてアクセスできないことを示します。
<security-constraint>
<web-resource-collection>
<web-resource-name>authenticated</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>AuthenticatedUsers</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>secure</web-resource-name>
<url-pattern>/reports/home/ManagementReports/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>Managers</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>default</realm-name>
<form-login-config>
<form-login-page>/Login.jsp</form-login-page>
<form-error-page>/Login.jsp?error=true</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>AuthenticatedUsers</role-name>
</security-role>
<security-role>
<role-name>Managers</role-name>
</security-role>