ユーザー認証

ユーザー認証により、各ユーザーのログイン情報を検証して認証済ユーザーを判別することで、Oracle Enterprise Performance Management Systemコンポーネント全体でシングル・サインオン(SSO)機能が使用可能になります。コンポーネント固有の認可とともにユーザー認証は、EPM Systemコンポーネントへユーザー・アクセスを認めます。権限を付与するプロセスは、プロビジョニングと呼ばれます。

認証コンポーネント

次の項では、SSOをサポートするコンポーネントについて説明します。

ネイティブ・ディレクトリ

ネイティブ・ディレクトリとは、Oracle Hyperion Shared Servicesがプロビジョニングのサポート、およびデフォルト・ユーザー・アカウントなどのシード・データの保管に使用するリレーショナル・データベースを指します。

ネイティブ・ディレクトリ機能:

  • デフォルトのEPM Systemユーザー・アカウントの維持と管理

  • EPM Systemプロビジョニング情報(ユーザー、グループおよび役割間の関係)の保管

ネイティブ・ディレクトリは、Oracle Hyperion Shared Services Consoleを使用してアクセスおよび管理します。Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイドネイティブ・ディレクトリの管理を参照してください。

外部ユーザー・ディレクトリ

ユーザー・ディレクトリとは、EPM Systemコンポーネントと互換性のある、企業ユーザーおよびアイデンティティの管理システムを指します。

EPM Systemコンポーネントは、Oracle Internet Directory、Sun Java System Directory Server (旧SunONE Directory Server)、Microsoft Active DirectoryなどのLDAPベースのユーザー・ディレクトリを含むいくつかのユーザー・ディレクトリでサポートされています。リレーショナル・データベースもユーザー・ディレクトリとしてサポートされています。このドキュメントでは、ネイティブ・ディレクトリ以外のユーザー・ディレクトリを外部ユーザー・ディレクトリと呼びます。

サポートされているユーザー・ディレクトリのリストは、Oracle Technology Network (OTN)のOracle Fusion Middleware Supported System Configurationsページに掲載されているOracle Enterprise Performance Management Systemの動作保証マトリックスを参照してください。

Shared Services Consoleから、多くの外部ユーザー・ディレクトリをEPM Systemユーザーおよびグループのソースとして構成できます。各EPM Systemユーザーは、構成済ユーザー・ディレクトリ内で一意のアカウントを持っている必要があります。通常、EPM Systemユーザーは、プロビジョニングを促進するためにグループに割り当てられます。

デフォルトのEPM Systemシングル・サインオン

EPM Systemでは、EPM Systemアプリケーション全体でのSSOがサポートされており、あるアプリケーションの認証済ユーザーは、資格証明を再入力することなく別のアプリケーションにシームレスに移動できます。SSOは、ユーザー認証およびプロビジョニング(役割ベースの認証)を処理する共通のセキュリティ環境をEPM Systemコンポーネント全体で統合することによって実装されます。

デフォルトのSSOプロセスを次の図に示します。


コンポーネントへの直接シングル・サインオン

  1. ユーザーは、ブラウザ経由でEPM Systemコンポーネントのログイン画面にアクセスし、ユーザー名とパスワードを入力します。

    EPM Systemコンポーネントにより、構成済ユーザー・ディレクトリ(ネイティブ・ディレクトリなど)への問合せが行われ、ユーザー資格証明が確認されます。ユーザー・ディレクトリで一致するユーザー・アカウントが見つかると、検索は終了し、ユーザー情報がEPM Systemコンポーネントに戻されます。

    ユーザー・アカウントがどの構成済ユーザー・ディレクトリにもない場合、アクセスは拒否されます。

  2. 取得したユーザー情報を使用して、EPM Systemコンポーネントにより、ネイティブ・ディレクトリへの問合せが行われ、ユーザーのプロビジョニングの詳細が入手されます。

  3. EPM Systemコンポーネントにより、コンポーネントのアクセス制御リスト(ACL)がチェックされ、ユーザーがアクセスできるアプリケーション・アーティファクトが決定されます。

ネイティブ・ディレクトリからプロビジョニング情報を受け取ると、EPM Systemコンポーネントはユーザーに対して使用可能になります。この時点で、SSOは、ユーザーがプロビジョニングされているすべてのEPM Systemコンポーネントで使用可能です。

アクセス管理システムからのシングル・サインオン

EPM Systemコンポーネントのセキュリティをさらに強化するには、Oracle Access ManagerまたはSiteMinderなど、サポートされているアクセス管理システムを実装できます。これらの製品では、認証済ユーザー資格証明をEPM Systemコンポーネントに提供し、事前定義済のアクセス権に基づいてアクセスを制御できます。

セキュリティ・エージェントからのSSOはEPM System Webアプリケーションでのみ使用可能です。このシナリオでは、EPM Systemコンポーネントは、セキュリティ・エージェントから提供されるユーザー情報を使用して、ユーザーのアクセス権限を判別します。セキュリティを強化するには、すべての要求がSSOポータルを経由するように、サーバーへの直接のアクセスをファイアウォールでブロックすることをお薦めします。

アクセス管理システムからのSSOは、条件を満たしたSSOメカニズム経由で認証済のユーザー資格証明を受け入れることによりサポートされます。サポートされているSSOの方法を参照してください。アクセス管理システムにより、ユーザーが認証され、ユーザーのログイン名がEPM Systemに渡されます。EPM Systemにより、構成済のユーザー・ディレクトリに対してログイン名が確認されます。

次のトピックを参照してください。

概念を示した図:


外部システムからのシングル・サインオン

  1. ブラウザを使用して、ユーザーはアクセス管理システム(Oracle Access Manager、SiteMinderなど)で保護されているリソースへのアクセスを要求します。

    注:

    EPM Systemコンポーネントは、アクセス管理システムで保護されているリソースとして定義されます。

    アクセス管理システムは、要求をインターセプトし、ログイン画面を表示します。ユーザーはユーザー名とパスワードを入力します。これらは、ユーザーの信頼性を確認するためにアクセス管理システムで構成済ユーザー・ディレクトリに対して検証されます。EPM Systemコンポーネントは、これらのユーザー・ディレクトリと連動するようにも構成されています。

    認証済ユーザーに関する情報は、EPM Systemコンポーネントに渡され、そのコンポーネントで有効なものとして受け入れられます。

    アクセス管理システムは、条件を満たしたSSOメカニズムを使用して、ユーザーのログイン名(ログイン属性の値)をEPM Systemコンポーネントに渡します。サポートされているSSOの方法を参照してください。

  2. ユーザー資格証明を確認するために、EPM Systemコンポーネントにより、ユーザー・ディレクトリでユーザーの検索が試みられます。一致するユーザー・アカウントが見つかると、ユーザー情報がEPM Systemコンポーネントに戻されます。EPM Systemセキュリティにより、EPM Systemコンポーネント全体でSSOを使用可能にするSSOトークンが設定されます。

  3. 取得したユーザー情報を使用して、EPM Systemコンポーネントにより、ネイティブ・ディレクトリへの問合せが行われ、ユーザーのプロビジョニングの詳細が入手されます。

    ユーザー・プロビジョニング情報を受け取ると、EPM Systemコンポーネントはユーザーに対して使用可能になります。SSOは、ユーザーがプロビジョニングされているすべてのEPM Systemコンポーネントで使用可能です。