プロビジョニング(役割ベースの認証)

役割

役割は、EPM Systemリソースで機能を実行するユーザーとグループに許可されるアクセス権限を定義するコンストラクト(アクセス制御リストに類似)です。役割は、リソースまたはリソース・タイプ(レポートなどのユーザーがアクセスできるもの)と、ユーザーがリソースで実行できるアクション(表示や編集など)の組合せです。

EPM Systemアプリケーション・リソースへのアクセスは制限されています。アクセスを提供する役割がユーザー、またはユーザーが属するグループに割り当てられてからのみ、ユーザーはこれらのリソースにアクセスできます。役割に基づいたアクセス制限では、管理者は、アプリケーション・アクセスを制御および管理できます。

グローバル役割

グローバル役割、つまり複数の製品に及ぶShared Servicesの役割により、ユーザーはEPM System製品間で特定のタスクを実行できます。たとえば、Shared Services管理者は、すべてのEPM Systemアプリケーションについてユーザーをプロビジョニングできます。

事前定義済役割

事前定義済役割は、EPM System製品における組込みの役割です。これらを削除することはできません。EPM System製品に属する各アプリケーション・インスタンスは、EPM System製品の事前定義済役割を継承します。各アプリケーションのこれらの役割は、アプリケーションの作成時にShared Servicesに登録されます。

集約役割

カスタム役割という名でも知られる集約役割では、アプリケーションに属する複数の事前定義済役割が集約されます。集約役割には、他の集約役割を含めることができます。たとえば、Shared Services管理者またはプロビジョニング・マネージャは、Oracle Hyperion Planningアプリケーションのプランナと表示ユーザーの役割を組み合せた集約役割を作成できます。役割を集約することにより、複数の細かい役割を持つアプリケーションの管理を簡略化できます。グローバルShared Servicesの役割は、集約役割に含めることができます。複数のアプリケーションまたは製品に及ぶ集約役割は作成できません。

ユーザー

ユーザー・ディレクトリには、EPM System製品にアクセスできるユーザーに関する情報が保管されています。認証および承認プロセスの双方でユーザー情報が使用されます。ネイティブ・ディレクトリ・ユーザーの作成と管理は、Shared Services Consoleでのみ行うことができます。

すべての構成済ユーザー・ディレクトリからのユーザーは、Shared Services Consoleから確認できます。これらのユーザーは、Shared Servicesに登録されたEPM Systemアプリケーションでアクセス権を許可するように個別にプロビジョニングできます。個別ユーザーへのプロビジョニングはお薦めしません。

デフォルトのEPM System管理者

管理者アカウント(デフォルト名admin)は、デプロイメント・プロセス中にネイティブ・ディレクトリに作成されます。これは最も強力なEPM Systemアカウントで、EPM Systemセキュリティおよび環境の管理の責任を負う情報テクノロジの専門家であるシステム管理者の設定にのみ使用される必要があります。

EPM System管理者のユーザー名およびパスワードはOracle Hyperion Foundation Servicesのデプロイメント中に設定されます。このアカウントは企業のアカウント・パスワード・ポリシーの対象にできないため、システム管理者アカウントを作成した後に非アクティブにすることをお薦めします。

通常、デフォルトのEPM System管理者アカウントは次のタスクを実行するために使用します:

• 企業ディレクトリを外部ユーザー・ディレクトリとして構成します。ユーザー・ディレクトリの構成を参照してください。

• 企業の情報テクノロジの専門家にShared Services管理者の役割をプロビジョニングして、システム管理者アカウントを作成します。Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドのユーザーとグループのプロビジョニングを参照してください。

システム管理者

システム管理者は通常、企業の情報テクノロジの専門家で、EPM Systemデプロイメントに含まれるすべてのサーバーに対する読取り、書込みおよび実行アクセス権を持っています。

一般に、システム管理者は次のタスクを実行します:

• デフォルトのEPM System管理者アカウントを無効にします。

• 機能の管理者を少なくとも1つ作成します。

• Shared Services Consoleを使用してEPM System用のセキュリティ構成を設定します。

• オプションで、ユーザー・ディレクトリを外部ユーザー・ディレクトリとして構成します。

• ログ分析ツールを定期的に実行してEPM Systemをモニターします。

  機能の管理者が実行するタスクは、このガイドに記載されています。

機能の管理者を作成する手順:

• 企業ディレクトリを外部ユーザー・ディレクトリとして構成します。ユーザー・ディレクトリの構成を参照してください。

• ユーザーまたはグループに機能の管理者の作成に必要な役割をプロビジョニングします。Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドのユーザーとグループのプロビジョニングを参照してください。

  機能の管理者には、次の役割がプロビジョニングされている必要があります:

  • Shared ServicesのLCM管理者の役割

  • デプロイされている各EPM Systemコンポーネントの管理者およびプロビジョニング・マネージャの役割

機能の管理者

機能の管理者は、EPM Systemの専門家である企業ユーザーです。通常、このユーザーは外部ユーザー・ディレクトリとしてShared Servicesに構成されている企業ディレクトリで定義されます。

機能の管理者は、他の機能の管理者の作成、委任された管理の設定、アプリケーションやアーティファクトの作成およびプロビジョニング、EPM System監査の設定などのEPM System管理タスクを実行します。機能の管理者が実行するタスクは、Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドに記載されています。

グループ

グループは、ユーザーまたは他のグループのコンテナです。Shared Services Consoleからネイティブ・ディレクトリ・グループを作成して、管理できます。すべての構成済ユーザー・ディレクトリからのグループは、Shared Services Consoleに表示されます。これらのグループをプロビジョニングして、Shared Servicesに登録されたEPM System製品の権限を許可できます。