| Oracle® Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド リリース11g (11.1.1) B66709-02 |
|
 前へ |
 次へ |
| Oracle® Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド リリース11g (11.1.1) B66709-02 |
|
前へ |
次へ |
この章では、シングル・サインオン(SSO)、LDAPオプション、Oracle Access Manager (OAM)およびMicrosoft Active DirectoryをはじめとするBI Publisherの代替のセキュリティ・オプションについて説明します。
内容は次のとおりです。
この章では、Oracle BI Publisherのスタンドアロン実装(Oracle Business Intelligence Enterprise Edition外でのインストール)でのセキュリティの概要とオプションについて説明します。次の点に注意してください。
Oracle BI Enterprise Editionをインストールしている場合は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』のセキュリティ情報を参照してください。
BI Publisherを単独でインストールしてあり、Oracle Fusion Middlewareセキュリティを使用する場合は、第2.1項「セキュリティ・モデルについて」を参照してください。この章に含まれているのは、次のトピックです。
BI Publisherを次のOracleセキュリティ・モデルを使用して構成します。
Oracle BI Serverセキュリティ
Oracle E-Business Suiteセキュリティ
Oracle Databaseセキュリティ
Siebel CRMセキュリティ
第5章「他のOracleセキュリティ・モデルとの統合」を参照してください。
この章の情報を使用して、次を構成します。
BI Publisherのセキュリティ
LDAPプロバイダとの統合
|
注意: Oracle WebLogic Serverでサポートされているアイデンティティ・ストア・プロバイダを、BI Publisherで使用するように構成できます。Oracle WebLogic Server管理コンソールを使用して、BI Publisherでかわりの外部アイデンティティ・ストアが実行されるように構成します。この構成の詳細は、第2.8項「デフォルトのセキュリティ構成のカスタマイズ」を参照してください。 |
シングル・サインオン・プロバイダとの統合
BI Publisherでは、認証および認可に関する複数のオプションをサポートしています。単一のセキュリティ・モデルを選択して認証と認可の両方を処理することも、認証用のシングル・サインオン・プロバイダやLDAPプロバイダを認可用の別のセキュリティ・モデルと併用するようにBI Publisherを構成することもできます。
ユーザーには1つまたは複数のロールが割り当てられます。ロールを介し、次のいずれかまたはすべての権限を付与できます。
機能を使用する権限
カタログのオブジェクトにアクションを実行する権限
データソースへのアクセス権
ロールを別のロールに割り当てることによって、ロールの階層を作成できます。この方法で、複数のロール権限を上位レベルのロールまでロールアップできます。図3-1に、ユーザー、ロールおよびフォルダの階層構造の例を示します。
ユーザーおよびロールを設定するには、次の3つのオプションがあります。
BI Publisherセキュリティ・センターでのユーザーおよびロールの設定
このオプションを使用する場合は、この項の指示に従ってください。
LDAPサーバーを使用したBI Publisherの構成
このオプションの詳細は、第3.11項「LDAPプロバイダを使用するためのBI Publisherの構成」を参照してください。
サポートされているOracleセキュリティ・モデルでのユーザーおよびロールの設定。このオプションの詳細は、第5章「他のOracleセキュリティ・モデルとの統合」を参照してください。
BI Publisherには、アプリケーション内の特定の機能に対してアクセス権を付与するための機能ロールのセットが用意されています。ユーザーには、関連するタスクを実行する必要があるかどうかに基づいてロールを割り当てます。これらのロールは更新または削除できません。
表3-1に、各機能ロールに付与されている権限を示します。
表3-1 各機能ロールに付与されている権限
| ロール | 権限 |
|---|---|
|
BI Publisher Excelアナライザ |
表示エクスポート履歴(パブリック・レポートのみ)Excelアナライザに対するアクセス権の付与 |
|
BI Publisherオンライン・アナライザ |
表示エクスポート履歴(パブリック・レポートのみ)オンライン・アナライザに対するアクセス権の付与 |
|
BI Publisherスケジューラ |
表示エクスポート履歴スケジュール |
|
BI Publisherテンプレート・デザイナ |
表示エクスポート履歴(パブリック・レポートのみ)レイアウト・エディタへのアクセスの許可Template Builderからのログオンの許可 |
|
BI Publisherデベロッパ |
表示エクスポートスケジュール履歴レポートの編集レイアウト・エディタへのアクセスの許可Template Builderからのログオンの許可データ・モデル・エディタへのアクセスの許可 |
|
BI Publisher管理者 |
その他すべてのロールの権限の許可「管理」ページおよびすべての管理タスクへのアクセス権の付与 |
これらの権限を割り当てられたロールは、カタログ・オブジェクトに対する権限が付与されるまで、オブジェクトに対して何のアクションも実行できません。
前述の機能ロールで許可されたアクションを実行するには、ロールに、カタログのオブジェクトへのアクセス権も付与されている必要があります。表3-2に、ロールの権限について説明します。
これらの各権限をフォルダ・レベルで付与することにより、フォルダ内のすべてのアイテムに対する操作が可能になります。
表3-2 ロールの権限
| 権限 | 説明 |
|---|---|
|
読取り |
ロールに対してカタログのオブジェクトの表示を許可します。このオブジェクトがフォルダ内にある場合は、ロールには、オブジェクトとその親フォルダに対する読取り権限を付与する必要があります。 |
|
書込み |
|
|
削除 |
ロールに対してオブジェクトの削除を許可します。 |
|
レポート・オンラインの実行 |
ロールに対してレポートの実行とレポート・ビューアでのレポートの表示を許可します。 |
|
レポートのスケジュール |
ロールに対してレポートのスケジュールを許可します。 |
|
レポート出力の表示 |
ロールに対してレポートのレポート・ジョブ履歴へのアクセスを許可します。 |
レポート・コンシューマがレポートを正常に実行できるようにするためには、コンシューマのロールに、レポートで参照されるすべてのオブジェクトに対する読取りアクセス権が付与されている必要があることに注意してください。
たとえば、あるレポート・コンシューマがReportsという名前のフォルダでレポートを実行する必要があるとします。このレポートのデータ・モデルはData Modelsという名前のフォルダにあります。また、このレポートは、Sub Templatesというフォルダに格納されているサブ・テンプレートと、Style Templatesというフォルダに格納されているスタイル・テンプレートも参照します。そのため、このレポート・コンシューマのロールには、このようなフォルダとフォルダ内の該当オブジェクトすべてに対する読取りアクセス権が付与されている必要があります。
各種権限の動作について次のルールを理解しておくことが重要です。
機能権限が割り当てられたロールは、カタログ権限が割り当てられるまで、何のアクションも実行できません。
ロールには、機能権限を割り当てることなく、カタログ・オブジェクトに対する権限セットを割り当てることができます。
ロールに機能権限が割り当てられている場合は、カタログ権限が割り当てられると、一部の権限が継承されます。
機能ロールが割り当てられたロールは、カタログ権限が割り当てられるまで、何のアクションも実行できません。機能ロール自体(BI Publisherデベロッパ、BI Publisherスケジューラなど)には、カタログの権限を直接割り当てることはできません。まず、機能ロールをカスタム・ロールに割り当てる必要があります。割り当てると、このカスタム・ロールがカタログ権限の表で利用可能になります。
カタログで直接利用可能な権限を使用すると、レポートの実行、レポートのスケジュール、およびレポート出力の表示ができます。したがって、レポートの実行と表示を行うためだけにBI Publisherにアクセスするレポート・コンシューマが企業に存在する場合は、このユーザーのロールはカタログ権限のみで構成されます。
ロールに機能ロールのいずれかが割り当てられている場合に、カタログの特定のフォルダに対する権限が付与されると、機能ロールに基づいて一部の権限が自動的に付与されます。
たとえば、財務レポート・デベロッパというロールを作成するとします。このロールにBI Publisherデベロッパ・ロールを割り当てます。このロールを使用してカタログ内のFinancial Reportsフォルダにレポートを作成するためには、このフォルダに対する読取り、書込みおよび削除の権限をこのロールに付与します。BI Publisherデベロッパ・ロールには、レポートの実行、レポートのスケジュールおよびレポート履歴の表示の権限が含まれているため、BI Publisherデベロッパ・ロールが割り当てられたロールが読取りアクセス権を持つすべてのフォルダに対して、これらの権限が自動的に付与されます。
データソースに対して実行されるレポートを表示したり、データソースを使用するデータ・モデルを構築または編集するには、データソースに対するアクセス権をロールに付与する必要があります。データソースに対するアクセス権は、「ロールと権限」ページで追加します。第3.8.4項「データ・アクセス権の付与」を参照してください。
ここでは、次の各手順を説明します。
BI Publisherで新しいロールを作成するには:
BI Publisherの「管理」ページに移動します。
「セキュリティ・センター」で「ロールと権限」をクリックします。
「ロールの作成」をクリックします。
ロールの「名前」を入力し、オプションで「説明」を入力します。
「適用」をクリックします。
「ロールの割当て」をクリックし、ロールをユーザーに割り当てます。
シャトル・ボタンを使用して、ロールを「使用可能なロール」から「割当済ロール」に移動します。「適用」をクリックします。
ロールを別のロールに追加するには、「ロールの追加」をクリックします。
シャトル・ボタンを使用して、ロールを「使用可能なロール」から「含まれているロール」に移動します。「適用」をクリックします。
データソースをロールに追加するには、第3.8.4項「データ・アクセス権の付与」を参照してください。
BI Publisherで新しいユーザーを作成するには:
BI Publisherの「管理」ページに移動します。
「セキュリティ・センター」で「ユーザー」をクリックします。
「ユーザーの作成」をクリックします。
ユーザーの「ユーザー名」と「パスワード」を追加します。
「適用」をクリックします。
「ロールの割当て」をクリックし、ロールをユーザーに割り当てます。
シャトル・ボタンを使用して、ロールを「使用可能なロール」から「割当済ロール」に移動します。「適用」をクリックします。
ロールからカタログのオブジェクトにアクセスするには、そのロールにオブジェクトとそのオブジェクトが含まれているフォルダの両方に対する読取り権限が付与されている必要があります。権限はフォルダ・レベルで付与できるので、フォルダに含まれているオブジェクトとサブフォルダすべてに適用することも、個々のオブジェクトに適用することもできます。
カタログ権限をロールに付与するには:
カタログにナビゲートします。
権限を付与するフォルダやオブジェクトを選択し、「詳細」をクリックします。メニュー(図3-2を参照)から、「権限」を選択します。または、該当のフォルダを選択し、「タスク」リージョンで「権限」をクリックします。
|
注意: ルートの共有フォルダに対する権限は付与できません。 |
「権限」ダイアログ(図3-3を参照)で、「作成」をクリックします。
「ロールの追加」ダイアログ(図3-4を参照)で、検索文字列を入力して特定のロールを検索するか、「検索」をクリックしてすべてのロールを表示します。シャトル・ボタンを使用してロールを「使用可能なロール」リストから「選択済ロール」リストに移動します。
完了したら、「OK」をクリックして、「権限」ダイアログ・ボックスに戻ります。
「権限」ダイアログ(図3-5を参照)で、ロールに必要な権限を構成します。
次の点に注意してください。
レポート・デベロッパ・ロールの横のアイコンは、このロールにBI Publisherの機能ロールのいずれか1つ(この場合は、BI Publisherデベロッパ・ロール)が割り当てられていることを示しています。
レポート・デベロッパ・ロールにこのフォルダに対するアクセス権が割り当てられると、BI Publisherデベロッパ・ロールが保持する権限に基づいて、レポート・オンラインの実行、レポートのスケジュール、およびレポート出力の表示の権限が自動的に付与されます。
フォルダに権限を付与するときに、その権限をすべてのオブジェクトに適用する場合は、「このフォルダ内の項目への権限の適用」を選択します。
ロールで次のことを実行する必要がある場合には、データソースに対するアクセス権をロールに付与する必要があります。
データソースからデータを取得するデータ・モデルに基づいて作成されたレポートの実行またはスケジュール
データソースからデータを取得するデータ・モデルの作成または編集
ロールにデータソースへのアクセス権限を付与するには:
BI Publisherの「管理」ページに移動します。
「セキュリティ・センター」で「ロールと権限」をクリックします。
「ロールと権限」ページで、該当のロールを選択し、「データソースの追加」をクリックします。
「データソースの追加」ページには、次の各タイプのデータソースのリージョンが表示されます。
データベース接続
ファイル・ディレクトリ
LDAP接続
OLAP接続
シャトル・ボタンを使用して、目的のデータソースを「使用可能なデータソース」リストから「許可されたデータソース」リストに移動します。
完了したら、「適用」をクリックします。
権限はカタログ内で付与されるため、組織にロールを作成する場合やカタログを構築する場合には、この設計を認識していることが非常に重要です。
たとえば、表3-3で説明されている各ロールが組織に必要だと仮定します。
表3-3 ロール要件の例
| ロール | 必要な権限 |
|---|---|
|
売上レポート・コンシューマ |
営業部門のレポートを表示およびスケジュールする権限。 |
|
財務レポート・コンシューマ |
財務部門のレポートを表示およびスケジュールする権限。Excelアナライザに対するアクセス権。 |
|
エグゼクティブ・レポート・コンシューマ |
売上レポートと財務レポートの両方、およびエグゼクティブ・レベルのレポートを使用する権限。 |
|
売上レポート・デベロッパ |
営業部門専用のデータ・モデルとレポートを作成する権限。 |
|
財務レポート・デベロッパ |
財務部門専用のデータ・モデルとレポートを作成する権限。一部のレポートをExcelアナライザを使用して作成する権限。 |
|
レイアウト・デザイナ |
すべてのレポートのレポート・レイアウトを設計する権限。 |
この場合、表3-4に示すようなカタログ構造を設定することを検討します。
表3-4 カタログ設定の例
| フォルダ | 目次 |
|---|---|
|
Sales Reports |
売上レポート・コンシューマ用のすべてのレポート。売上レポートに関連するサブ・テンプレートとスタイル・テンプレートも含まれます。 |
|
Sales Data Models |
売上レポートのすべてのデータ・モデル。 |
|
Financials Reports |
財務レポート・コンシューマ用のすべてのレポート。財務レポートに関連するサブ・テンプレートとスタイル・テンプレートも含まれます。 |
|
Financials Data Models |
財務レポートのすべてのデータ・モデル。 |
|
Executive Reports |
エグゼクティブレベルのすべてのレポートとデータ・モデル。 |
ロールの設定は次のとおりです。
ロール構成の例
売上レポート・コンシューマ:
カタログ権限を付与します。
Sales Reportsフォルダに売上レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポート・オンラインの表示
「このフォルダ内の項目への権限の適用」の選択
Sales Data Modelsフォルダに売上レポート・コンシューマを追加し、次の権限を付与します。
読取り
データ・アクセス権を付与します。
「ロール」ページで、ロールを選択し、「データソースの追加」をクリックします。売上レポートで使用されるデータソースをすべて追加します。
財務レポート・コンシューマ
ロールを割り当てます。
「ロール」タブで、財務レポート・コンシューマにBI Publisher Excelアナライザ・ロールを割り当てます。
カタログ権限を付与します。
Financials Reportsフォルダに財務レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポート・オンラインの表示
「このフォルダ内の項目への権限の適用」の選択
Financials Data Modelsフォルダに財務レポート・コンシューマを追加し、次の権限を付与します。
読取り
データ・アクセス権を付与します。
「ロール」ページで、ロールを選択し、「データソースの追加」をクリックします。財務レポートで使用されるデータソースをすべて追加します。
エグゼクティブ・レポート・コンシューマ
ロールを割り当てます。
「ロール」タブで、エグゼクティブ・レポート・コンシューマに売上レポート・コンシューマ・ロールと財務レポート・コンシューマ・ロールを割り当てます。
カタログ権限を付与します。
Executive Reportsフォルダにエグゼクティブ・レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポート・オンラインの表示
「このフォルダ内の項目への権限の適用」の選択
データ・アクセス権を付与します。
「ロール」タブで、ロールを選択し、「データソースの追加」をクリックします。エグゼクティブ・レポートで使用されるデータソースをすべて追加します。
売上レポート・デベロッパ
ロールを割り当てます。
「ロール」タブで、売上レポート・コンシューマにBI Publisherデベロッパ・ロールとBI Publisherテンプレート・デザイナ・ロールを割り当てます。
データ・アクセス権を付与します。
「ロール」タブで、売上レポート・デベロッパを選択し、「データソースの追加」をクリックします。売上データ・モデルを構築するデータソースをすべて追加します。
カタログ権限を付与します。
カタログで、Sales Data Modelsフォルダに売上レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
Sales Reportsフォルダに売上レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
財務レポート・デベロッパ
ロールを割り当てます。
「ロール」タブで、財務レポート・デベロッパにBI Publisherデベロッパ・ロール、BI Publisher Excelアナライザ・ロールおよびBI Publisherテンプレート・デザイナ・ロールを割り当てます。
データ・アクセス権を付与します。
「ロール」タブで、財務レポート・デベロッパを選択し、「データソースの追加」をクリックします。財務データ・モデルを構築するデータソースをすべて追加します。
カタログ権限を付与します。
カタログで、Financials Data Modelsフォルダに財務レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
Financials Reportsフォルダに財務レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
レイアウト・デザイナ
ロールを割り当てます。
「ロール」タブで、レイアウト・デザイナにBI Publisherテンプレート・デザイナ・ロールとBI Publisherデベロッパ・ロールを割り当てます。
カタログ権限を付与します。
カタログで、Financials Data ModelsフォルダとSales Data Modelsフォルダに、レイアウト・デザイナ・ロールを追加し、次の権限を付与します。
読取り
Financials ReportsフォルダとSales Reportsフォルダに、レイアウト・デザイナを追加し、次の権限を付与します。
読取り、書込み、削除
認可用の別のセキュリティ・モデルと組み合せてLDAPプロバイダを認証に使用するには、BI Publisherで次を実行します。
認証専用にLDAPを使用するためにBI Publisherを構成するには:
「管理」ページの「セキュリティ・センター」で、「セキュリティ構成」をクリックします。
ローカル・スーパーユーザーを作成します。
スーパーユーザー名とパスワードを入力し、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択します。ローカル・スーパーユーザーを有効化すると、セキュリティ・モデルの構成エラーが発生した場合でも、BI Publisherの「管理」ページにアクセスできます。
「認証」リージョンまでスクロールします。「LDAPの使用」チェック・ボックスを選択します。
次のように入力します。
URL
例: ldap://example.com:389/
SSL経由でLDAPを使用している場合は、次のことに注意してください。
プロトコルはldapsです。
デフォルト・ポートは636です。
URLは、たとえばldaps://example.com:636/のようになります。
LDAPサーバーの「管理者ユーザー名」 と「パスワード」
ここに入力する管理者ユーザーは、XMLP_ADMINグループのメンバーにもなっている必要があります。
ユーザーの識別名
例: cn=Users,dc=example,dc=com
識別名の値では大文字と小文字が区別されるので、LDAPサーバーの設定と一致させる必要があります。
JNDIコンテキスト・ファクトリ・クラス
デフォルト値は、com.sun.jndi.ldap.LdapCtxFactoryです。
ログイン・ユーザー名に使用される属性
ログイン・ユーザー名の値を指定する属性を入力します。これは、相対識別名(RDN)としても知られています。この値のデフォルト値はcnです。
認可システムと一致するユーザーに使用する属性: ユーザーを認可システムと照合する値を提供する属性を入力します。たとえばorcleguidと入力します。
「適用」をクリックします。BI Publisherサーバーを再起動します。
BI PublisherをLDAPプロバイダと統合して、ユーザーとレポートのアクセス権を管理することができます。LDAPサーバー内にユーザーとロールを作成し、LDAPサーバーにアクセスするようにBI Publisherサーバーを構成します。
BI Publisherのセキュリティ・センター・モジュールで、これらのロールにフォルダを割り当てます。サーバーにログインしたユーザーは、LDAPロールに割り当てられているフォルダおよびレポートにアクセスできます。
BI PublisherサーバーをOracle LDAPと統合する場合、3つの主要なタスクがあります。
LDAPプロバイダでのユーザーとロールの設定
LDAPサーバーを認識するようにするためのBI Publisherの構成
ロールへのカタログ権限とデータ・アクセス権の割当て
サポート対象のLDAPサーバーでサポートされているハードウェアとソフトウェアの最新情報の詳細は、「システム要件と動作要件」を参照してください。
LDAPプロバイダで次の手順を実行する必要があります。この手順の実行方法の詳細は、プロバイダのドキュメントを参照してください。
ユーザーおよびロールを設定する手順は次のとおりです。
LDAPプロバイダのドメイン・ルート・ノードで、表3-5に説明されているロールを作成し、BI Publisherと統合します。必要な機能ロールの詳細は、第3.3項「BI Publisherのユーザー、ロールおよび権限の概要」を参照してください。
表3-5 BI Publisherと統合するロール
| BI Publisherシステム・グループ | 説明 |
|---|---|
|
XMLP_ADMIN |
BI Publisherサーバーの管理者ロール。LDAPサーバーへのアクセスに使用する管理者アカウントにXMLP_ADMINグループを割り当てる必要があります。 |
|
XMLP_DEVELOPER |
レポートとデータ・モデルを作成および編集できるロール。 |
|
XMLP_SCHEDULER |
レポートをスケジュールできるロール。 |
|
XMLP_ANALYZER_EXCEL |
Excelアナライザ機能を使用できるロール。 |
|
XMLP_ANALYZER_ONLINE |
オンライン分析機能(オンライン・アナライザ)を使用できるロール。 |
|
XMLP_TEMPLATE_BUILDER |
Template Builder for WordからBI Publisherサーバーに接続してテンプレートのアップロードとダウンロードができるロール。BI Publisherレイアウト・エディタを使用してレイアウトを設計できるロール。 |
実装内容に応じて、その他の機能ロール(例: HRマネージャ、倉庫担当者または営業マネージャ)を作成し、適切なBI Publisher機能ロールを割り当てます。
ロールをユーザーに割り当てます。
|
注意: 管理者アカウントには必ずXMLP_ADMINロールを割り当ててください。 |
LDAPサーバーを認識するようにBI Publisherサーバーを構成するには、BI Publisherの「管理」ページでセキュリティ・プロパティを次のように更新します。
LDAPサーバーを使用するようにBI Publisherサーバーを構成する手順は次のとおりです。
「管理」ページの「セキュリティ・センター」で、「セキュリティ構成」をクリックします。
ローカル・スーパーユーザーを作成します。
スーパーユーザー名とパスワードを入力し、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択します。ローカル・スーパーユーザーを有効化すると、セキュリティ・モデルの構成エラーが発生した場合でも、BI Publisherの「管理」ページにアクセスできます。
「認可」リージョンまでスクロールします。「セキュリティ・モデル」として「LDAP」を選択します。
次のように入力します。
URL
例: ldap://example.com:389/
SSL経由でLDAPを使用している場合は、次のことに注意してください。
プロトコルはldapsです。
デフォルト・ポートは636です。
URLは、たとえばldaps://example.com:636/のようになります。
LDAPサーバーの「管理者ユーザー名」 と「パスワード」
ここに入力する管理者ユーザーは、XMLP_ADMINグループのメンバーにもなっている必要があります。
ユーザーの識別名
例: cn=Users,dc=example,dc=com
識別名の値では大文字と小文字が区別されるので、LDAPサーバーの設定と一致させる必要があります。
グループの識別名
例: cn=Groups,dc=us,dc=oracle,dc=com
デフォルト値は、cn=OracleDefaultDomain,cn=OracleDBSecurity,cn=Products,cn=OracleContext,dc=example,dc=comです。
グループ検索フィルタ
デフォルト値は、(&(objectclass=groupofuniquenames)(cn=*))です。
グループ属性名
デフォルト値は、cnです。
グループ・メンバー属性名
デフォルト値は、uniquememberです。
グループのメンバー属性名
(オプション)この属性は、ユーザーとグループでmemberOf属性を使用できる場合にのみ設定します。この属性を使用できる場合は、「グループ・メンバー属性」の指定は不要です。たとえば、memberOfやwlsMemberOfなどです。
グループ説明属性名
デフォルト値はdescriptionです。
JNDIコンテキスト・ファクトリ・クラス
デフォルト値は、com.sun.jndi.ldap.LdapCtxFactoryです。
グループ取得ページ・サイズ
この値を設定すると、検索結果の単純なページング処理でLDAPv3制御拡張機能をサポートできます。デフォルトでは、ページ区切りは使用されません。この値により、1ページに返される結果の数(たとえば、200)が決まります。この機能をサポートするには、LDAPサーバーがコントロール・タイプ1.2.840.113556.1.4.319(Oracle Internet Directory 10.1.4など)をサポートしている必要があります。このコントロール・タイプのサポートの詳細は、ご使用のLDAPサーバーのドキュメントを参照してください。
LDAPページ区切りと必要なコントロール・タイプの詳細は、「RFC 2696 - LDAP Control Extension for Simple Paged Results Manipulation」(http://www.faqs.org/rfcs/rfc2696.html)を参照してください。
ログイン・ユーザー名に使用される属性
ログイン・ユーザー名の値を指定する属性を入力します。これは、相対識別名(RDN)としても知られています。この値のデフォルト値はcnです。
LDAPキャッシュを自動的にクリア: 指定した間隔でLDAPキャッシュの自動リフレッシュをスケジュールするには、このボックスを選択します。このボックスを選択すると、次のフィールドが追加で有効になります。
「LDAPキャッシュ間隔」に整数を入力します。たとえば、LDAPキャッシュを1日に1回消去するには、1を入力します。
「LDAPキャッシュ間隔単位」で、「日」、「時間」または「分」を選択します。
デフォルトのユーザー・グループ名
(オプション)フォルダ、レポートまたはその他のカタログ・オブジェクトのセットへのアクセスをすべての認証ユーザーに許可するための要件がサイトに備わっている場合は、このオプションを使用します。ここに入力するユーザー・グループ名は、すべての認証ユーザーに追加されます。このデフォルトのユーザー・グループに割り当てるカタログ権限やデータソース権限は、すべてのユーザーに付与されます。
データ問合せバインド変数の属性名
(オプション)データ問合せでバインド変数として使用される属性値を設定するには、このプロパティを使用します。LDAP属性名を複数入力する場合は、memberOf, primaryGroupID, mailのようにカンマで区切って入力します。
『Oracle Fusion Middleware Oracle Business Intelligence Publisherデータ・モデリング・ガイド』のLDAPユーザー属性からのバインド変数の作成に関する項を参照してください。
「適用」をクリックします。BI Publisherサーバーを再起動します。
図3-6に、「セキュリティ構成」ページにおけるLDAPセキュリティ・モデルの入力フィールドの例を示します。
SSL経由でLDAPを使用するようにBI Publisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。詳細は、第4.3項「Secure Socket Layer(SSL)通信用のBI Publisherの構成」を参照してください。
ロールにデータ・アクセス権およびカタログ権限を割り当てるには:
LDAPプロバイダでXMLP_ADMINロールが割り当てられているユーザーとして、BI Publisherにログインします。
「管理」ページで、「ロールと権限」をクリックします。
LDAPプロバイダで作成し、XMLP_の各種ロールを割り当てたロールが表示されます。次の点に注意してください。
XMLP_Xロールは、LDAPインタフェースを介して制御されるため表示されません。
「ユーザー」タブは、「セキュリティ・センター」で使用できなくなりました。ユーザーはLDAPインタフェースで管理します。
ロールは、BI Publisherインタフェースでは更新できません。ただし、データソースの追加は可能です。
「データソースの追加」をクリックしてBI Publisherデータソースをロールに追加します。データソースからレポートを実行したりデータ・モデルを構築するためには、そのデータソースに対するアクセス権がロールに割り当てられている必要があります。詳細は、第3.8.4項「データ・アクセス権の付与」を参照してください。
カタログ権限をロールに付与します。ロールへのカタログ権限の付与の詳細は、第3.5項「カタログ権限について」および第3.8.3項「カタログ権限の付与」を参照してください。
これで、LDAPユーザー名とパスワードを使用して、ログインできるようになりました。
Microsoft Active Directoryでは、LDAPインタフェースをサポートしているため、LDAPセキュリティを使用することにより、BI Publisherと組み合せて構成できます。
Active Directoryを構成する手順は次のとおりです。
BI Publisherへのアクセスが必要なユーザーを追加します。
ドメイン・ルート内のUsersまたはその他の組織単位でユーザーを追加します。
BI Publisherのシステム・グループを追加します。グループのスコープは、ドメイン・ローカルです。
表3-6に、追加する必要のあるBI Publisherシステム・グループを説明します。
表3-6 BI Publisherシステム・グループ
| BI Publisherシステム・グループ | 説明 |
|---|---|
|
XMLP_ADMIN |
BI Publisherサーバーの管理者ロール。LDAPサーバーへのアクセスに使用する管理者アカウントにXMLP_ADMINグループを割り当てる必要があります。 |
|
XMLP_DEVELOPER |
レポートとデータ・モデルを作成および編集できるロール。 |
|
XMLP_SCHEDULER |
レポートをスケジュールできるロール。 |
|
XMLP_ANALYZER_EXCEL |
Excelアナライザ機能を使用できるロール。 |
|
XMLP_ANALYZER_ONLINE |
オンライン分析機能(オンライン・アナライザ)を使用できるロール。 |
|
XMLP_TEMPLATE_BUILDER |
Template Builder for WordからBI Publisherサーバーに接続してテンプレートのアップロードとダウンロードができるロール。BI Publisherレイアウト・エディタを使用してレイアウトを設計できるロール。 |
BI Publisherのシステム・グループをグローバル・グループまたはユーザーに付与します。
BI Publisherのシステム・グループは、ユーザーに直接付与することもグローバル・グループを介して付与することもできます。
例1: ユーザーへのBI Publisher管理者ロールの付与
「Active Directory ユーザーとコンピュータ」で、XMLP_ADMINグループを開いて「メンバー」タブをクリックします
「追加」をクリックして、BI Publisher管理者権限が必要なユーザーを追加します。
例2: ユーザーへのレポートのスケジュール機能へのアクセス権の付与
HR管理者グローバル・グループは、「ユーザー」で定義します。
このグループのすべてのユーザーがレポートをスケジュールする必要があります。
そのためには、HR管理者をXMLP_SCHEDULERグループのメンバーとして追加します。
BI Publisherを構成する手順は次のとおりです。
「管理」ページで、「セキュリティ構成」をクリックします。
ローカル・スーパーユーザーをまだ構成していない場合は、設定します。セキュリティ構成が失敗した場合でも、スーパーユーザーの資格証明を使用してBI Publisherにログインできるため、この設定は非常に重要です。
このページの「認可」リージョンで、「セキュリティ・モデル」リストから「LDAP」を選択します。
第3.11項「LDAPプロバイダを使用するためのBI Publisherの構成」の説明に従って、Active Directoryサーバーの詳細を入力します。その際には、Active Directoryに関する次の各情報に注意してください。
「グループ検索フィルタ」でobjectclassをgroupに設定します。
「グループのメンバー属性名」をmemberOfに設定します(「グループのメンバー属性名」は空白のままにできます)。
「ログイン・ユーザー名に使用される属性」をsAMAccountNameに設定します。
SSL経由でLDAPを使用している場合は、次のことに注意してください。
プロトコルはldapsです。
デフォルト・ポートは636です。
URLは、たとえばldaps://example.com:636/のようになります。
図3-7に構成例を示します。前述の推奨設定には印が付いています。
「適用」をクリックします。BI Publisherアプリケーションを再起動します。
SSL経由でLDAPを使用するようにBI Publisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。詳細は、第4.3項「Secure Socket Layer(SSL)通信用のBI Publisherの構成」を参照してください。
「Active Directory ユーザーとコンピュータ」→「ユーザーのプロパティ」→「アカウント」で定義されているユーザーのログイン名がBI Publisherのログイン名に使用されます。BI Publisherにログインするには、ユーザー名にドメインを追加します。たとえば、「scott_tiger@domainname.com」のようになります。
次の点に注意してください。
「ログイン・ユーザー名に使用される属性」には、userPrincipalNameではなくsAMAccountNameを指定できます。
BI Publisherログイン・ユーザー名にユーザー・ログオン名(Windows 2000以前)の使用が必要である場合は、「ログイン・ユーザー名に使用される属性」にsAMAccountNameを使用する必要があります。
ユーザー名はすべての組織単位を通じて一意である必要があります。
ロールにデータ・アクセス権およびカタログ権限を割り当てるには:
Active DirectoryでXMLP_ADMINロールが割り当てられているユーザーとしてBI Publisherにログインします。
「管理」ページで、「ロールと権限」をクリックします。
Active Directoryで作成し、XMLP_の各種ロールを割り当てたロールが表示されます。次の点に注意してください。
XMLP_Xロールは、Active Directoryインタフェースを介して制御されるため表示されません。
「ユーザー」タブは「セキュリティ・センター」で使用できなくなりました。ユーザーはActive Directoryで管理します。
ロールは、BI Publisherインタフェースでは更新できません。ただし、データソースの追加は可能です。
「データソースの追加」をクリックしてBI Publisherデータソースをロールに追加します。データソースからレポートを実行したりデータ・モデルを構築するためには、そのデータソースに対するアクセス権がロールに割り当てられている必要があります。詳細は、第3.8.4項「データ・アクセス権の付与」を参照してください。
カタログ権限をロールに付与します。ロールへのカタログ権限の付与の詳細は、第3.5項「カタログ権限について」および第3.8.3項「カタログ権限の付与」を参照してください。
シングル・サインオン(SSO)ソリューションの統合により、ユーザーはログオン(サインオン)と認証をブラウザ・セッションごとに1回するだけで済むようになります。その後、認証されたユーザーには、そのユーザーに付与された権限に応じて、システム・コンポーネントまたはリソースへのアクセス権が与えられます。Oracle BI Publisherは、Oracle Fusion MiddlewareやOracle WebLogic Server用に構成されているSSOソリューションによって認証された受信HTTPリクエストを信頼するように構成できます。
SSO認証を使用するようにBI Publisherが構成されている場合は、Oracle Fusion Middlewareで使用するように構成されている任意のSSOソリューションで認証されたユーザーを受け入れます。SSOが有効でない場合は、BI Publisherはユーザーごとに認証資格証明を確認します。BI PublisherがSSOを使用するように構成されている場合は、ユーザーは、まず、認証のためにSSOソリューションのログイン・ページにリダイレクトされます。
BI PublisherでSSO認証を使用できるように構成するには、少なくとも次のことを実行しておく必要があります。
SSO認証を受け付けるようにOracle Fusion MiddlewareとOracle WebLogic Serverを構成します。本番環境では、Oracle Access Managerをお薦めします。
SSO構成でのIDの伝播に必要なHTTPヘッダー情報(つまり、ユーザーIDとSSOのCookie)を指定して構成します。
受信メッセージを信頼するようにBI Publisherを構成します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareのシングル・サインオンの概要に関する項を参照してください。
Oracle BI Publisherを保護するようにシングル・サインオン・プロバイダを構成した場合は、受信メッセージを信頼するようにBI Publisherを構成します。
「管理」ページの「セキュリティ・センター」で、「セキュリティ構成」をクリックします。
「シングル・サインオン」リージョンで、ユーザーのシングル・サインオンチェック・ボックスを選択します。
SSOプロバイダに適したフィールドに入力します。
Oracle Access ManagerをSSOプロバイダとして使用するようにBI Publisherを構成できます。
必要なコンポーネントは次のとおりです。
Oracle Fusion Middlewareが、デフォルトの認証プロバイダ(DefaultAuthenticator)としてOracle WebLogic Serverの組込みLDAPサーバーを使用して構成されていること。
Oracle Access Manager 10.1.4.xが、デフォルトのLDAPサーバーとしてOracle Internet Directoryを使用して構成されていること。
Oracle HTTPが、アプリケーション・サーバー、つまりOracle WebLogic ServerにアクセスするWebプロキシとして構成されていること。
Oracle Access Manager SSOが、Oracle Fusion Middlewareの認証プロバイダとして構成されていること。
Oracle BI Publisherが、Oracle Internet Directoryを使用するようにインストールおよび構成されていること(第3.11.1.2項「LDAPサーバーを認識するためのBI Publisherサーバーの構成」)を参照)。
BI Publisherをインストールすると、Oracle WebLogic Serverの組込みLDAPサーバーがデフォルトの認証ソース(アイデンティティ・ストア)になります。BI WebLogicドメインを、新しいアイデンティティ・ストアであるOracle Internet Directory(主要な認証ソース)に構成する必要があります。
Oracle WebLogic Serverでデフォルトの認証プロバイダを新たに作成する方法の詳細は、Oracle Fusion Middlewareの次のドキュメントを参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ
『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティについて』
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』
Oracle WebLogic Serverの構成後は、BI Publisherアプリケーションでのそれ以上の構成は不要になります。次の図に示すように、Oracle BI Publisherの「管理」→「セキュリティ構成」ページで、Oracle Fusion Middlewareがセキュリティ・モデルに選択されていることを確認してください。
Oracleシングル・サインオンを設定するには、まず、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の「Oracle Fusion Middlewareでのシングル・サインオンの構成」の説明に従って、WebLogic Serverを構成します。Oracle Internet DirectoryをデフォルトのLDAPサーバーとして使用するように、BI Publisherを構成する必要があります。
|
注意: Oracle SSOを使用する場合、BI PublisherではHTTPヘッダー値であるOsso-User-Dnからログイン・ユーザー名が得られることを前提としています。たとえば、HTTPヘッダーのOsso-User-Dnが次のとおりだとします。 cn=admin,cn=users, dc=us,dc=oracle,dc=com BI Publisherでは、最初のcn=値がログイン・ユーザー名であるとみなします(この場合はadmin)。 したがって、Osso-User-Dnの最初のcn値にログイン・ユーザー名が指定されていない場合は、(Oracle SSOを使用している場合でも)その他のSSOタイプを選択し、設定を構成します。 |
SSOを設定する手順は次のとおりです。
xmlpserverを保護するように、アプリケーション・サーバー構成ファイルを変更します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のWebリソースを保護するためのmod_ossoの構成に関する項を参照してください。
mod_osso.confで、新しいLocationディレクティブを次のように追加します。
<!-- Protect xmlpserver -->
<Location /xmlpserver>
require valid-user
AuthType Basic
</Location>
BI Publisherとそのクライアント・コンポーネント(Template BuilderおよびExcelアナライザ)間でWebサービス通信を行うには、mod_osso.confファイルに追加の変更を行う必要があります。xmlpserverを開いてWebサービスを許可するには、次のディレクティブを入力します。
<Location /xmlpserver/services/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
<Location /xmlpserver/report_service/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
Location /xmlpserver/ReportTemplateService.xls/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
Oracle BI Presentation Servicesと統合するには、BI Presentation ServicesサーバーとBI Publisherサーバー間におけるWebサービスのSSOを無効にする必要があります。これまでの手順を実行する中でこの入力を行った場合は、この手順を繰り返す必要はありません。
xmlpserverを開いてWebサービスを許可するには、次のディレクティブをmod_osso.confファイルに入力します。
<Location /xmlpserver/services/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
この項で説明しているエントリを含むmod_osso.confファイルの例を次に示します。
LoadModule osso_module libexec/mod_osso.so
<IfModule mod_osso.c>
OssoIpCheck off
OssoIdleTimeout off
OssoConfigFile /home/as1013/ohome/Apache/Apache/conf/osso/osso.conf
<Location /xmlpserver>
require valid-user
AuthType Basic
</Location>
<Location /xmlpserver/services/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
<Location /xmlpserver/report_service/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
Location /xmlpserver/ReportTemplateService.xls/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
<Location /xmlpserver/Guest/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
#
# Insert Protected Resources: (see Notes below for how to protect resources)
#
#______-
#
# Notes
#
#______-
#
# 1. Here's what you need to add to protect a resource,
# e.g. <ApacheServerRoot>/htdocs/private:
#
# <Location /private>
# require valid-user
# AuthType Basic
# </Location>
#
</IfModule>
#
# If you would like to have short hostnames redirected to
# fully qualified hostnames to allow clients that need
# authentication through mod_osso to be able to enter short
# hostnames into their browsers uncomment out the following
# lines
#
#PerlModule Apache::ShortHostnameRedirect
#PerlHeaderParserHandler Apache::ShortHostnameRedirect
HTTPサーバーを再起動します。
BI Publisherの「セキュリティ構成」ページで「シングル・サインオフURL」を設定します。
「管理」ページで、「セキュリティ構成」をクリックします。「認証」リージョンで、次を実行します。
「シングル・サインオンの使用」を選択します。
「シングル・サインオン・タイプ」リストで、「Oracle Single Sign-On」を選択します。
「シングル・サインオフURL」に、前述の手順で書き留めた値を入力します。残りのフィールドは、Oracle SSOには使用できません。
図3-9に、BI Publisherの「セキュリティ構成」ページの例を示します。
選択したセキュリティ構成にかかわらずBI Publisherにアクセスできるようにするために、BI Publisherのローカル・スーパーユーザーを作成します。詳細は、第4.1項「ローカル・スーパーユーザーの有効化」を参照してください。
「適用」をクリックします。Oracle Fusion Middlewareの「制御」ページからアプリケーションを再起動します。
BI Publisher EnterpriseアプリケーションにアクセスするURLを入力すると、SSOログイン・ページにリダイレクトされます。
