| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-03 |
|
前 |
次 |
この章では、Oracle Business Intelligenceのセキュリティ・モデルを紹介して、セキュリティの構成に使用されるツールについて説明し、Oracle Business Intelligenceでセキュリティを構成するための詳細なロードマップを示します。
|
注意: セキュリティの設定に関する上位レベルのロードマップについては、第1.1項「Oracle Business Intelligenceでセキュリティを設定するための上位レベルのロードマップ」を参照してください。 |
この章には次の項が含まれます:
Oracle Business Intelligenceでセキュリティを設定するには、次を実行する必要があります。
この章の残りの部分に目を通して、セキュリティのコンセプト、ツールおよび用語の概要を把握します。
第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」の概要を読んで、ユーザー、グループおよびアプリケーション・ロールのデフォルト設定について学びます。
ユーザーの認証に使用する認証プロバイダを決定します。
必要なユーザーおよびグループを設定します。
必要なアプリケーション・ロールを設定します。
各グループを適切なアプリケーション・ロールに割り当てます。
Oracle BIリポジトリでユーザーおよびグループが持っている権限を調整します。
Oracle BIプレゼンテーション・カタログでユーザーおよびグループが持っている権限を調整します。
必要に応じてシングル・サインオン(SSO)を構成します。
必要に応じてSecure Sockets Layer (SSL)を構成します。
設定手順詳細は、第1.7項「Oracle Business Intelligenceのセキュリティを設定するための詳細な手順」を参照してください。
Oracle Business Intelligence 11gは、Oracle Fusion Middleware Securityアーキテクチャと密接に統合されており、コアなセキュリティ機能をそのアーキテクチャのコンポーネントに委任します。具体的には、Oracle Business Intelligenceインストールは次の種類のセキュリティ・プロバイダを利用します。
Oracle Business Intelligence にアクセス可能なユーザーおよびグループに関する情報へのアクセス方法を知っていて、ユーザーの認証を行う認証プロバイダ。
アプリケーション・ロールおよびアプリケーション・ポリシーへのアクセスを提供するポリシー・ストア・プロバイダ。これは、セキュリティ・ポリシーのコアな部分を形成し、Oracle Business Intelligenceで表示と操作ができるユーザーとできないユーザーを決定します。
Oracle Business Intelligenceで必要な資格証明を格納し、その資格証明へのアクセスを提供する資格証明ストア・プロバイダ。
デフォルトでは、Oracle Business Intelligenceインストールは、ユーザーおよびグループの情報にOracle WebLogic Server組込みLDAPサーバーを使用する認証プロバイダとともに構成されます。Oracle Business Intelligenceのデフォルトのポリシー・ストア・プロバイダおよび資格証明ストア・プロバイダは、資格証明、アプリケーション・ロールおよびアプリケーション・ポリシーを、ドメインのファイルに格納します。
Oracle Business Intelligenceのインストール後、必要に応じて、別のセキュリティ・プロバイダを使用するようにドメインを再構成することができます。たとえば、Oracle Internet Directory、Oracle Virtual Directory、Microsoft Active Directoryまたは別のLDAPサーバーを認証に使用するようにインストールを再構成できます。また、資格証明、アプリケーション・ロールおよびアプリケーション・ポリシーの格納に、ファイルではなくOracle Internet Directoryを使用するようにインストールを再構成することもできます。
下位互換性のため、Oracle Business Intelligenceの複数のレガシー認証オプションが引き続きサポートされます。ベスト・プラクティスは、この章で説明するデフォルトのセキュリティ・モデルにより、アイデンティティ・ストアおよび認証プロバイダを使用して認証および認可を行うことです。ただし、これが可能でないシナリオや、従来の認証方法および認可方法が必要になる場合もあります。通常、こうした別の方法を使用するには、Oracle WebLogicドメインで構成済の認証プロバイダによって参照されるアイデンティティ・ストアに、ユーザー移入およびグループが保持されていないことが必要です。したがって、別の認証方法を使用する場合は、この章のいくつかの項は関係がありません。かわりに、付録A「代替セキュリティ管理オプション」を参照してください。この章で説明するアプリケーション・ロールは、別の認証メカニズムおよび認可メカニズムでも使用されることに注意してください。また、Oracle WebLogicドメインで構成される認証プロバイダは、他のユーザーに対して別の方法を使用している場合であっても、常にBIシステム・ユーザーによって使用されることにも注意してください。
Oracle Business Intelligence 11gの各インストールには、Oracle WebLogic Serverドメインが関連付けられています。Oracle Business Intelligenceは、そのドメインに対して構成された最初の認証プロバイダにユーザーの認証を委任します。
デフォルトの認証プロバイダは、Oracle Business IntelligenceのOracle WebLogic Serverドメインに組込みのLDAPサーバーに格納されているユーザーおよびグループ情報にアクセスします。Oracle WebLogic Serverの管理コンソールを使用すると、組込みLDAPサーバーでユーザーおよびグループの作成と管理ができます。
別のディレクトリの認証プロバイダを構成することもできます。Oracle WebLogic Serverの管理コンソールを使用すると、ディレクトリのユーザーおよびグループを表示できます。ただし、このディレクトリを変更するには、引き続き適切なツールを使用する必要があります。たとえば、Oracle Internet Directory (OID)を使用するようにOracle Business Intelligenceを再構成した場合は、ユーザーおよびグループの表示はOracle WebLogic Serverの管理コンソールでできますが、管理はOIDコンソールで行う必要があります。Oracle Internet Directory (OID)はLDAPディレクトリ・サービスであり、認証に優先されるアイデンティティ・ストアです。
組込みLDAPサーバーのユーザーおよびグループの管理方法の詳細は、第2章「デフォルト・セキュリティ構成を使用したセキュリティの管理」を参照してください。
Oracle WebLogic Serverドメインおよび認証プロバイダの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
このリリースで提供されるデフォルトの認証のかわりに、外部表による認証方式を引き続き使用することもできます。詳細は、付録Aの「外部表認証の設定」を参照してください。
ユーザーが認証された後、セキュリティの面で次に重要なのは、操作権限や表示権限が与えられているものを、ユーザーが操作し表示できるようにすることです。Oracle Business Intelligenceリリース11gでの認可は、アプリケーション・ロールで定義されたセキュリティ・ポリシーによって制御されます。
ディレクトリ・サーバーにおけるグループ内のユーザーに関するセキュリティ・ポリシーを定義するかわりに、Oracle Business Intelligenceはロールベースのアクセス制御モデルを使用します。セキュリティは、ディレクトリ・サーバー・グループおよびユーザーに割り当てられているアプリケーション・ロールによって定義されます。たとえば、デフォルトのアプリケーション・ロールは、BIAdministrator、BIConsumerおよびBIAuthorです。
アプリケーション・ロールはユーザーが持っている機能的役割を表し、これによって、その役割を果たすために必要な権限をユーザーに付与します。たとえば、セールス・アナリストのアプリケーション・ロールを保持することにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。
アプリケーション・ロールとディレクトリ・サーバーのユーザーおよびグループとの間の間接層により、Oracle Business Intelligenceの管理者は、企業のLDAPサーバーに新しいユーザーやグループを作成することなく、アプリケーション・ロールおよびポリシーを定義できます。かわりに、管理者は、認可要件を満たすアプリケーション・ロールを定義し、企業のLDAPサーバーに前から存在しているユーザーやグループにこれらのロールを割り当てます。
さらに、アプリケーション・ロールによって提供される間接層により、ビジネス・インテリジェンス・システムのアーティファクトを、開発、テスト、本番の各環境間で簡単に移動できます。セキュリティ・ポリシーの変更は不要で、必要な操作は、ターゲット環境で利用可能なユーザーおよびグループにアプリケーション・ロールを割り当てることのみです。
図1-1は、ユーザー、グループおよびアプリケーション・ロールのデフォルトの組合せを使用した例を示しています。
図1-1は次のようなことを示しています。
BIConsumersという名前のグループには、User1、User2およびUser3が含まれています。グループBIConsumersのユーザーには、アプリケーション・ロールBIConsumerが割り当てられています。これによりユーザーはレポートを表示できます。
BIAuthorsという名前のグループには、User4およびUser5が含まれています。グループBIAuthorsのユーザーには、アプリケーション・ロールBIAuthorが割り当てられています。これによりユーザーはレポートを作成できます。
BIAdministratorsという名前のグループには、User6およびUser7が含まれています。グループBIAdministratorsのユーザーには、アプリケーション・ロールBIAdministratorが割り当てられています。これによりユーザーは職責を管理できます。
セキュリティ・ポリシー定義は次のコンポーネントに分割されています。
Oracle BIプレゼンテーション・サービス: これは、特定のアプリケーション・ロールが付与されたユーザーが、どのカタログ・オブジェクトおよびOracle BIプレゼンテーション・サービス機能にアクセスできるかを定義します。機能へのアクセスは、権限の管理ページで、Oracle BI Presentation Servicesの権限という形態で定義され、Oracle BI Presentation Catalogのオブジェクトへのアクセスは「権限」ダイアログで定義されます。
リポジトリ: これは、どのアプリケーション・ロールおよびユーザーが、リポジトリ内のどのメタデータ・アイテムにアクセスできるかを定義します。このセキュリティ・ポリシーを定義するには、Oracle BI管理ツールを使用します。
ポリシー・ストア: これは、所定のユーザーまたは所定のアプリケーション・ロールが付与されたユーザーが、BIサーバー、Oracle BI PublisherおよびOracle Real-Time Decisionsのいずれの機能にアクセスできるかを定義します。Oracle Business Intelligenceのデフォルト構成では、ポリシー・ストアはOracle Enterprise Manager Fusion Middleware Controlを使用して管理されます。ポリシー・ストアの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
これらのコンポーネントの使用方法は、第1.6項「Oracle Business Intelligenceでセキュリティを構成するツールの使用」を参照してください。
Oracle Business Intelligenceのインストール時には、Oracle Business Intelligenceのデプロイに使用できる、事前構成済のユーザー、グループおよびアプリケーション・ロールが数多くあります。詳細は、第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。
Oracle Business Intelligenceでセキュリティを構成するには、次のツールを使用します。
|
注意: Oracle Business Intelligenceツールを使用してインストール済ユーザー、グループおよびアプリケーション・ロールを構成する例を調べるには、第2.2項「デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例」を参照してください。 |
図1-2は、デフォルト・インストールのOracle Business Intelligenceで組込みWebLogic LDAPサーバーを使用してセキュリティを構成するために使用するツールを示しています。
デフォルト・セキュリティの管理を使用する方法の詳細は、第2章「デフォルト・セキュリティ構成を使用したセキュリティの管理」を参照してください。
ユーザーおよびグループの認証に使用されるデフォルトのWebLogic LDAPサーバーの管理には、Oracle WebLogic Server管理コンソールを使用します。
Oracle WebLogic Serverは自動的にインストールされ、デフォルト管理サーバーとして機能します。Oracle WebLogic Server管理コンソールはブラウザベースであり、デフォルト認証プロバイダとして構成されている組込みディレクトリ・サーバーの管理に使用されます。WebブラウザにURLを入力してOracle WebLogic Server管理コンソールを起動します。デフォルトURLは、http://hostname:port_number/consoleのような形式となります。ポート番号は、管理サーバー用に使用される番号と同じであり、デフォルト・ポートは7001です。Oracle WebLogic Server管理コンソールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプを参照してください。
Oracle WebLogic Server管理コンソールにログインするには:
WebブラウザにURLを入力してOracle WebLogic Serverのログイン・ページを表示します。
たとえば、http://hostname:7001/consoleなどと入力します。
Oracle Business Intelligence管理ユーザーおよびパスワード資格証明を使用してログインし、「ログイン」をクリックします。
Oracle Business Intelligenceのインストール中に、ユーザー名およびパスワードが指定されました。これらの値がそれ以降に変更されている場合は、現在の管理ユーザー名とパスワードの組合せを使用してください。
管理コンソールで次のような画面が表示されます。
必要に応じて「ドメイン構造」のタブとオプションを使用し、ユーザーやグループなどのオプションを構成します。
|
注意: デフォルトのWebLogic LDAPサーバーではなくOracle Internet Directoryなどの代替認証プロバイダを使用する場合は、代替認証プロバイダ管理アプリケーション(管理コンソールなど)を使用してユーザーとグループを管理する必要があります。 |
Fusion Middleware Controlは、Webブラウザベースのグラフィカル・ユーザー・インタフェースであり、ファームと呼ばれるコンポーネントの集まりを管理できます。ファームには、複数のOracle WebLogic Serverドメイン、1つの管理サーバー、1つ以上の管理対象サーバー、複数のクラスタのほか、ドメインにインストールされ、構成および実行されている複数のOracle Fusion Middlewareコンポーネントが含まれます。インストール時にOracle WebLogic Serverドメインが作成され、Oracle Business Intelligenceがそのドメインにインストールされます。ドメインの名前はbifoundation_domain(簡易インストールまたはエンタープライズ・インストール)で、Fusion Middleware Controlのナビゲーション・ペインの「WebLogicドメイン」フォルダにあります。
Oracle Business Intelligenceのセキュリティは、Oracle Fusion Middleware Controlを使用して次のように管理します。
Oracle Business Intelligenceリソースへのアクセスを制御するアプリケーション・ロールおよびアプリケーション・ポリシーを管理します。
シングル・サインオン(SSO)とSecure Sockets Layer (SSL)を管理します。
Oracle Business Intelligenceに対する複数の認証プロバイダを構成します。
Fusion Middleware Controlにログインするには、Webブラウザを開き、次の形式でFusion Middleware ControlのURLを入力します。
http://hostname.domain:port/em
ポート番号は管理サーバーの番号で、デフォルトは7001です。
Fusion Middleware Controlの使用の詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
Fusion Middleware Controlを使用するには、次の手順を実行します。
URLをWebブラウザに入力します。例:
http://host1.example.com:7001/em
図1-3に示すように、Fusion Middleware Controlのログイン・ページが表示されます。
システム管理者のユーザー名とパスワードを入力し、「ログイン」ボタンをクリックします。
システム全体にわたる管理者のユーザー名とパスワードは、インストール・プロセスの実行時に指定します。このユーザー名とパスワードを使用して、Oracle WebLogic Server管理コンソール、Fusion Middleware ControlおよびOracle Business Intelligenceにログインできます。
または、Oracle BIのAdministratorアプリケーション・ロールに付与されている別のユーザー名とパスワードを入力します。
図1-4に示すように、Fusion Middleware Controlが表示されます。
ファームのメイン・ページで、「Business Intelligence」フォルダを展開します。
「coreapplication」を選択して、Oracle Business Intelligence固有のページを表示します。
Fusion Middleware Controlを次のように使用して、Oracle Business Intelligenceのセキュリティを管理します。
アプリケーション・ロールおよびアプリケーション・ポリシーの管理
詳細は、第2.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの管理」を参照してください。
シングル・サインオン(SSO)の構成
詳細は、第4.6項「Fusion Middleware Controlの使用によるSSO認証の有効化」を参照してください。
Secure Sockets Layer (SSL)の構成
詳細は、次のマニュアルを参照してください。
Oracle BI管理ツールを使用して、メタデータ・リポジトリのオブジェクトに対してユーザーとアプリケーション・ロールの権限を構成します。
管理ツールを使用するには:
管理ツールにログインします。
|
注意: オンライン・モードで管理ツールにログインした場合は、WebLogic Serverのユーザーをすべて表示できます。オフライン・モードで管理ツールにログインした場合は、リポジトリに格納されているユーザーのみを表示できます。 |
(オプション)「管理」→「アイデンティティ」を選択して「Identity Manager」ダイアログを表示します。
図1-5は、インストール済アプリケーション・ロールのBIAdministrator、BIAuthorおよびBIConsumerを表示する「アイデンティティ」ダイアログを示しています。
アプリケーション・ロールをダブルクリックして「アプリケーション・ロール <名前>」ダイアログを表示し、「権限」をクリックした場合、「オブジェクト権限」タブを使用し、Oracle BIプレゼンテーション・カタログ内のオブジェクトおよびフォルダに関して、そのアプリケーション・ロールの読取り権限および書込み権限を(リポジトリ内で)表示および構成できます。
Identity Managerを閉じます。
「プレゼンテーション」ペインでフォルダを開き、オブジェクトを右クリックして「プレゼンテーション表 <表名>」ダイアログを表示します。
「権限」をクリックして、「権限 <表名>」ダイアログを表示します。
図1-6は、ユーザー、インストール済アプリケーション・ロールのBIAdministrator、BIAuthorおよびBIConsumer、およびアプリケーション・ロールへの権限の設定に使用されるラジオ・ボタンの「読取り」、「読取り/書込み」、「アクセス権なし」および「デフォルト」を示しています。
ユーザーの権限を構成するには、Presentation Servicesの管理ページを使用します。
プレゼンテーション・サービス管理ページを使用するには:
管理者権限でOracle Business Intelligenceにログインします。
「管理」リンクを選択して、「管理」ページを表示します。
「権限の管理」リンクを選択します。
図1-7に、割り当てられている権限に対してリストされたアプリケーション・ロールを示します。
特定の権限(KPI Builderへのアクセスなど)のリンク(「BIAuthor」など)を選択して、「権限 <権限名>」ダイアログを表示します。
ユーザー/ロールの追加アイコン(+)をクリックして「アプリケーション・ロール、カタログ・グループおよびユーザーの追加」ダイアログを表示します。
このダイアログを使用して、アプリケーション・ロール(BIAdministrator、BIAuthor、BIConsumerなど)をこの権限に割り当てます。
ここでは、Oracle Business Intelligenceの新しいインストールでセキュリティを設定する方法について説明します。タスクには必須のものと、任意のものと、選択した構成次第で必要になるものがあります。この項は、Oracle Business Intelligenceの既存のインストールを保守する場合にも参考になります。
Oracle Business Intelligenceをインストールした後、通常は、デフォルトの構成済ユーザー、グループおよびアプリケーション・ロールを使用して製品を評価します。その後、実際のビジネス要件に応じて独自のユーザー、グループおよびアプリケーション・ロールの作成と開発を反復的に行うことが一般的です。
Oracle Business Intelligenceをインストールしたら、次に示す順序に従ってこれらのタスクを行うことをお薦めします。
この章に目を通して、セキュリティのコンセプト、ツールおよび用語の概要を理解してください。特に、第1.6項「Oracle Business Intelligenceでセキュリティを構成するツールの使用」を読んで、セキュリティを構成するためのOracle Business Intelligenceのコンポーネントおよびツールに精通しておく必要があります。
第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」の概要を読んで、ユーザー、グループおよびアプリケーション・ロールのデフォルト設定について学びます。
次のように、ユーザーの認証に使用する認証プロバイダを決定します。
デフォルトの組込みWebLogic LDAPサーバーを使用する場合は、ステップ4のタスクに従ってください。
Oracle Internet Directory (OID)などの代替認証プロバイダを使用するようにOracle Business Intelligenceを再構成する場合は、ステップ5のタスクに従ってください。
|
ヒント: ユーザーが1000人を超える環境では、WebLogic組込みLDAPサーバーを使用しないことをお薦めします。高可用性およびスケーラビリティを備えた本番環境が必要な場合は、Oracle Internet Directory (OID)などのディレクトリ・サーバー、またはサードパーティのディレクトリ・サーバーを使用する必要があります。 サポートされている認証プロバイダの一覧が掲載されている場所については、「システム要件と動作要件」を参照してください。 |
(組込みWebLogic LDAPサーバーのみ)デフォルトの組込みWebLogic LDAPサーバーを認証プロバイダとして使用する場合は、次の手順に従ってください。
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、デプロイするユーザーを設定します。
たとえば、分析を表示する必要がある20人のユーザーにOracle Business Intelligenceをデプロイする場合は、20人のユーザーを作成します。
ユーザーをデフォルトのグループ(BIAuthorsやBIAdministratorsなど)に割り当てる場合は、第2.3.1.1項「デフォルトのグループへのユーザーの割当て」の手順に従ってください。
たとえば、あるユーザー・セットはBIAuthorsという名前のグループに、また別のユーザー・セットはBIAdministratorsという名前のグループに割り当てます。
新しいグループを作成する場合は、第2.3.3項「組込みWebLogic LDAPサーバーにおけるグループの作成」の説明に従って、使用するグループを設定します。
たとえば、BIConsumersという名前の事前構成済グループを使用することも、同じような権限を持った独自のグループを作成することもできます。
第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」の説明に従って、ユーザーを適切なグループに割り当てます。
たとえば、ユーザーをBIAuthorsという名前の事前構成済グループに割り当てることも、作成した新しいグループに割り当てることもできます。
|
ヒント: セキュリティを設定する最も簡単な方法は、ユーザーを作成し、デフォルトのグループ(BIAuthorsやBIAdministratorsなど)に割り当てることです。詳細な手順は、第2.3.1.1項「デフォルトのグループへのユーザーの割当て」を参照してください。 独自のグループを使用して、より複雑なセキュリティ・モデルを構築する場合は、新しいグループまたは新しいアプリケーション・ロール、あるいはその両方を作成して、その新しいグループにユーザーを割り当てます。詳細な手順は、第2.3.1.2項「新規グループおよび新規アプリケーション・ロールへのユーザーの割当て」を参照してください。 |
|
注意: システムを10gからアップグレードした場合、Oracle WebLogicドメイン用に構成された認証プロバイダを使用してユーザーを認証するには、USERシステム・セッション変数を設定するリポジトリの初期化ブロックを確認する必要があります。この変数の設定は代替的な認証メカニズムであり、Oracle WebLogicドメイン用に構成された認証プロバイダを使用した認証が失敗した場合に、BIサーバーにアクセスしようとするユーザーを認証します。リポジトリの使用方法の詳細は、付録A「LDAP認証でのUSERセッション変数の定義」および『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。 |
(Oracle Internet Directory (OID)のみ)認証プロバイダとしてOIDを使用している場合は、次の手順に従ってください。
第3.2項「代替認証プロバイダを構成するための大まかな手順」の説明に従って、OIDを認証プロバイダとして構成します。
(オプション)第3.9項「ポリシー・ストアおよび資格証明ストアとしてのOracle Internet Directoryの構成」の説明に従って、OIDを資格証明ストアおよびポリシー・ストアのプロバイダとして構成します。
必要に応じて、認証プロバイダ・ツール(OIDコンソールなど)を使用して、ユーザーおよびグループを作成します。
第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成」の説明に従って、デプロイするアプリケーション・ロールを設定します。
たとえば、BIConsumer、BIAuthorおよびBIAdministratorという名前のデフォルトのアプリケーション・ロールを使用することも、独自のアプリケーション・ロールを作成することもできます。
(オプション)事前構成済のアプリケーション・ポリシーを使用しない場合は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」の説明に従って、デプロイするアプリケーション・ポリシーを設定します。
たとえば、BIConsumer、BIAuthorおよびBIAdministratorという名前のデフォルトのアプリケーション・ロールによって使用されるデフォルトのアプリケーション・ポリシーを使用することも、独自のアプリケーション・ポリシーを作成することもできます。
次の手順に従って、各グループを適切なアプリケーション・ロールに割り当てます。
デフォルトの組込みWebLogic LDAPサーバーとともにインストールされるデフォルト・グループ(つまり、BIConsumers、BIAuthorsおよびBIAdministrators)を使用している場合、これらのグループは、適切なアプリケーション・ロール(つまり、BIConsumer、BIAuthorまたはBIAdministrator)に割り当てられます。デフォルトのグループをアプリケーション・ロールに割り当てるために必要な追加の手順はありません。
新しいグループを作成した場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の説明に従って、この新しいグループを適切なアプリケーション・ロールに割り当てる必要があります。
Oracle Internet Directoryなどの商用認証プロバイダを使用している場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の説明に従って、グループを適切なアプリケーション・ロールに割り当てる必要があります。
Oracle BIリポジトリでユーザーおよびグループに付与されている権限を調整する場合は、第2.5項「Oracle BI管理ツールの使用によるメタデータ・リポジトリ権限の管理」の説明に従って、管理ツールを使用して権限を更新します。
たとえば、BISuperConsumerという名前のアプリケーション・ロールを有効化して分析を作成できるようにするには、管理ツールを使用してサブジェクト・エリアへの読取りアクセス権を読取り/書込みアクセス権に変更します。
Presentation Servicesの管理ページでユーザーおよびグループに付与されている権限を調整する場合は、第2.6項「アプリケーション・ロールの使用によるPresentation Servicesの権限の管理」の説明に従って、権限を変更します。
たとえば、BISuperConsumerという名前のアプリケーション・ロールがスコアカードを表示できないようにするには、プレゼンテーション・サービスの管理ページを使用して、BISuperConsumerの「スコアカード」権限と「スコアカードの表示」権限を「権限付与」から「拒否」に変更します。
シングル・サインオンをデプロイする場合は、第4章「SSO認証の有効化」の手順に従います。
|
注意: Oracle Business IntelligenceをSSO環境にデプロイしない場合は、デフォルトの構成をデプロイするうえでその他の構成手順は必要ありません。 |
Secure Sockets Layer (SSL)をデプロイする場合は、第5章「Oracle Business IntelligenceでのSSL構成」の手順に従います。
Oracle Business Intelligenceは、SSLが無効の状態でインストールされます。Oracle Business IntelligenceをSSL環境にデプロイする場合は、第5章「Oracle Business IntelligenceでのSSL構成」の手順に従ってください。
|
注意: Oracle Business IntelligenceをSSL環境にデプロイしない場合は、デフォルトの構成をデプロイするうえでその他の構成手順は必要ありません。 |
リリース10gとリリース11gでは、セキュリティ・モデルに次のような違いがあります。
ユーザーおよびグループの定義 - Oracle Business Intelligenceリリース10g では、ユーザーおよびグループは、Oracle BI管理ツールを使用して、リポジトリ・ファイル内で定義できます。Oracle Business Intelligenceリリース11gでは、ユーザーおよびグループは、リポジトリ内で定義できなくなりました。Oracle Business Intelligence Enterprise Editionのアップグレード・アシスタントは、ユーザーおよびグループを、リリース10gのリポジトリからリリース11gインストールの組込みLDAPサーバーに移行します。
セキュリティ・ポリシーの定義 - Oracle Business Intelligenceリリース10gでは、Oracle BIプレゼンテーション・カタログおよびリポジトリのセキュリティ・ポリシーは、ディレクトリ内のグループを参照するように定義できました。Oracle Business Intelligenceリリース11gでは、セキュリティ・ポリシーをアプリケーション・ロールの観点から定義する、ある程度の間接性が導入され、ディレクトリのユーザーおよびグループに割り当てられます。この間接性により、社内のディレクトリを変更せずにOracle Business Intelligenceリリース11gシステムをデプロイすると同時に、開発、テスト、本番の各環境間でアーティファクトを簡単に移動できるようになりました。
管理者ユーザーの使用 - Oracle Business Intelligenceリリース10gインストールでは、Administratorという名前の特殊なユーザーにすべての管理権限が与えられ、そのインストール内のプロセス間の信頼の確立にも使用されています。Oracle Business Intelligenceリリース11gでは、Administratorという名前に特別重要な意味はなく、様々な管理機能を実行する認可を受けたユーザーは1人でなくてもかまいません。Oracle Business Intelligenceリリース11gでは、インストール内のプロセス間の信頼を確立するために使用されるIDは構成可能であり、独立しています。
リポジトリの暗号化 - Oracle Business Intelligenceリリース10gでは、リポジトリ内の特定の機密要素は暗号化されています。Oracle Business Intelligenceリリース11gでは、ユーザーが提供したパスワードから派生したキーを使用してリポジトリ全体が暗号化されます。
|
注意: リリース11gのリポジトリを開くにはパスワードが必要です。パスワードが失われた場合に回復するメカニズムはありません。 |
Oracle Business Intelligenceリリース10gのセキュリティ・モデルが持つ次の側面は、リリース11gに引き継がれています。
BIサーバー初期化ブロック - リリース11gでBIサーバーは、認証および認可での初期化ブロックの使用を引き続きサポートします。リリース10gでは、BIサーバーが初期化ブロックを使用するのは、一致するユーザーがリポジトリに見つからなかった場合です。リリース11gでは、Oracle Business Intelligenceが初期化ブロックを使用するのは、インストールの構成済認証プロバイダでユーザーを認証できなかった場合です。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』の初期化ブロックでの作業に関する項を参照してください。
カタログ・グループ - Oracle Business Intelligenceリリース11gでは、引き続きOracle BIプレゼンテーション・カタログ内でのカタログ・グループの定義がサポートされます。これらのグループは、Oracle BIプレゼンテーション・サービス内でのみ表示可能です。Oracle BIプレゼンテーション・カタログのグループは下位互換性のためにのみ使用し、新しいインストールではアプリケーション・ロールを使用することをお薦めします。
詳細は、第D.2.2項「カタログ・グループの使用」を参照してください。
SAシステム・サブジェクト・エリア - Oracle Business Intelligenceリリース11gでは、データベース表に格納されているユーザー、グループおよびプロファイル情報へのアクセス方法として、BIサーバーの初期化ブロックと組み合せてSAシステム・サブジェクト・エリアを使用できます。
詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionスケジュール・ジョブ・ガイドのSAシステム・サブジェクト・エリアの設定に関する項を参照してください。
リリース10gとリリース11gとの相違点の詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionアップグレード・ガイドを参照してください。
Oracle Business Intelligenceでは権限はアプリケーション・ロールによって付与されます。デフォルトのセキュリティ構成では、各ロールには事前構成済の一連の権限が与えられています。アプリケーション・ポリシーは、Java EEおよびJAASポリシーのコレクションで、特定のアプリケーションに適用されます。アプリケーション・ポリシーは、各アプリケーション・ロールが付与する権限を定義するメカニズムです。権限の付与は、アプリケーション・ロールに対応するアプリケーション・ポリシーで管理されます。
Oracle Business Intelligenceを使用しているときのユーザーの役割を表します。これは、ロールのメンバーに権限を付与するためにOracle Business Intelligenceが使用するコンテナでもあります。アプリケーション・ロールはポリシー・ストア・プロバイダで管理されます。
ログイン中に提示される資格証明を確認することでIDを検証するプロセス。
ユーザーおよびグループの情報にアクセスするために使用されるセキュリティ・プロバイダで、ユーザーの認証を行います。Oracle Business Intelligenceのデフォルトの認証プロバイダは、Oracle WebLogic Server組込みディレクトリ・サーバーで、DefaultAuthenticatorという名前です。
認証されたユーザーに割り当てられた権限に応じて、リソースへのアクセス権限を付与するプロセス。
カタログ・グループは、Oracle BIプレゼンテーション・サービス内でローカルに定義され、Oracle BIプレゼンテーション・カタログのパーミッションの付与に加え、Oracle Business Intelligenceユーザー・インタフェースでの権限の付与に使用されます。
これらの権限は、Oracle BIプレゼンテーション・カタログに格納されているオブジェクトへのアクセス権を付与します。権限はカタログに格納され、プレゼンテーション・サービスで管理されます。
これらの権限は、Oracle BIプレゼンテーション・カタログの機能へのアクセス権を付与します。権限はカタログに格納され、プレゼンテーション・サービスで管理されます。これらの権限は付与されるか、または拒否されます。
Oracle Business Intelligence資格証明ストアは、ソフトウェア・コンポーネントによって使用されるシステム資格証明をセキュアに格納するために使用されるファイルです。このファイルは、インストール内のすべてのマシンに自動的にレプリケートされます。
資格証明ストアは、Oracle Business Intelligenceコンポーネント間で内部的に使用される資格証明をセキュアに格納し、管理するために使用されます。たとえば、SSL証明書はここに格納されています。
プレーンテキスト情報(データ)を、鍵を使用した場合にかぎり読取りが可能になる読取り不可能なテキストに変換することで、機密が保たれた通信を実現するプロセス。Secure Sockets Layer (SSL)を使用すると、インターネットを介したWebアプリケーション通信など、TCP/IPネットワーク上でセキュアな通信が可能になります。
GUIDは、通常32文字の16進数文字列で、オブジェクトに対して一意の識別子を形成するためにシステムによって生成されます。Oracle Business Intelligenceでは、GUIDは個々のユーザーおよびグループの参照に使用されています。
偽装は、Oracle Business Intelligenceコンポーネントがユーザーのパスワードを使用することなく、ユーザーの代理としてセッションを確立するために使用する機能です。たとえば、偽装はOracle BIスケジューラがエージェントを実行するときに使用されます。
管理サーバーとして知られているインスタンスを含むOracle WebLogicサーバー・リソースの論理的に関連したグループ。ドメイン・リソースはOracle WebLogic Server管理コンソールで構成され、管理されます。インストール時にOracle WebLogic Serverドメインが作成され、Oracle Business Intelligenceがそのドメインにインストールされます。詳細は、付録B.2.2「Oracle WebLogic Serverドメイン」を参照してください。
アイデンティティ・ストアには、ユーザー名、パスワードおよびグループ・メンバーシップの情報が含まれています。Oracle Business Intelligenceでは、アイデンティティ・ストアは通常ディレクトリ・サーバーであり、認証プロセス中に認証プロバイダがアクセスします。たとえば、ログイン時にユーザー名とパスワードの組合せを入力すると、認証プロバイダは、提供された資格証明を検証するためにアイデンティティ・ストアを検索します。Oracle Business Intelligenceは、別のアイデンティティ・ストアを使用するように再構成できます。詳細なリストは、Oracle Fusion Middleware 11gR1のシステム要件およびサポートされているプラットフォームを参照してください。詳細は、「システム要件と動作要件」を参照してください。
ポリシー・ストアは、システムおよびアプリケーションに固有のポリシーのリポジトリです。ここには、インストールの一部としてすべて構成済の、Oracle Business Intelligenceのデフォルトのアプリケーション・ロール、権限、ユーザーとグループの間のマッピングの定義が格納されています。Oracle Business Intelligenceの権限は、アイデンティティ・ストアからアプリケーション・ロールにユーザーとグループを割り当てることで付与され、付与された権限はポリシー・ストア内に配置されます。
アプリケーション・ロール、アプリケーション・ポリシー、およびアプリケーション・ロールに割り当てられたメンバー(ユーザー、グループおよびアプリケーション・ロール)の定義が含まれます。デフォルトのポリシー・ストアは、Oracle Business Intelligenceインストール内のすべてのマシンに自動的にレプリケートされるファイルです。ポリシー・ストアには、ファイルベースまたはLDAPベースのものがあります。
セキュアな通信リンクを提供します。SSLでは、選択したオプションに応じて、暗号化、認証および拒否の組合せを提供できます。HTTPベースのリンクの場合、セキュアなプロトコルはHTTPSとして知られています。
セキュリティ・ポリシーは、個々のユーザーまたは特定のアプリケーション・ロールに付与されている、Oracle Business Intelligenceリソースへのアクセス権をまとめたグループです。アクセス権を制御する場所は、要求されているリソースの管理をどのOracle Business Intelligenceコンポーネントが行っているかによって決まります。ユーザーのセキュリティ・ポリシーは権限付与の組合せであり、次の要素によって決定されます。
Oracle BIプレゼンテーション・カタログ:
ユーザーがアクセスできるOracle BIプレゼンテーション・カタログ・オブジェクトおよびOracle BIプレゼンテーション・サービス機能がどれであるかを定義します。この機能へのアクセス権は、Oracle Business Intelligenceのユーザー・インタフェースで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
リポジトリファイル:
リポジトリ・ファイル内に指定したメタデータへのアクセス権を定義します。この機能へのアクセス権は、Oracle BI管理ツールで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
ポリシー・ストア:
Oracle Business Intelligence、Oracle BI PublisherおよびOracle Real-Time Decisionsの機能のいずれにアクセスできるかを定義します。この機能へのアクセス権は、Oracle Enterprise Manager Fusion Middleware Controlで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
インストール中に、Oracle WebLogic Serverドメインが作成され、Oracle Business Intelligenceがそのドメインにインストールされます。Oracle WebLogic Serverドメインのセキュリティは、ドメインのセキュリティ・レルムで管理されます。セキュリティ・レルムは範囲指定メカニズムとして機能します。各セキュリティ・レルムには、一連の構成済セキュリティ・プロバイダ、ユーザー、グループ、セキュリティ・ロール、およびセキュリティ・ポリシーが含まれています。ドメインでは1つのセキュリティ・レルムだけがアクティブになります。Oracle Business Intelligenceの認証は、インストール先のWebLogic Serverドメインのデフォルト・セキュリティ・レルム用に構成された認証プロバイダによって実行されます。Oracle WebLogic Server管理コンソールは、Oracle WebLogic Serverドメインを管理するための管理ツールです。
ユーザーが認証を一度行えば、同じブラウザ・セッションの間は複数のソフトウェア・アプリケーションにアクセスできるようにする認証方法。
ユーザーとは、認証可能なエンティティです。ユーザーには、アプリケーション・ユーザーなどの人、クライアント・アプリケーションなどのソフトウェア・エンティティがあります。どのユーザーにも、アイデンティティ・ストア内で一意の識別子が付与されています。
グループは、何かしら共通するものを持つユーザーを集合にまとめたものです。グループは、システム管理者によって割り当てられた静的な識別子です。ユーザーをグループにまとめることで、効率的なセキュリティ管理を促進します。グループには、LDAPグループとカタログ・グループの2種類があります。カタログ・グループは、Oracle Business Intelligenceユーザー・インタフェースで権限を付与する場合に、プレゼンテーション・サービスの既存のユーザー・ベースをサポートするために使用されます。カタログ・グループの使用はお薦めしません。これは、アップグレードしたシステムでの下位互換性を目的としたものです。
