| Oracle Warehouse Builderインストレーションおよび管理ガイド 11gリリース1(11.1)for Microsoft Windows and UNIX Systems E05735-03 |
|
 前へ |
 次へ |
| Oracle Warehouse Builderインストレーションおよび管理ガイド 11gリリース1(11.1)for Microsoft Windows and UNIX Systems E05735-03 |
|
前へ |
次へ |
この章では、次の項目について説明します。
Warehouse Builderでは、デザイン・リポジトリに格納するメタデータのセキュリティを定義できます。デザイン・リポジトリは、定義済のユーザー、ロールおよびアクセス権限のあるOracle Databaseです。Warehouse Builderのメタデータ・セキュリティは、Oracle Databaseのセキュリティを補完して機能します。Oracle Databaseではデータのセキュリティを実現し、Warehouse Builderではメタデータのセキュリティを実現します。
すべてのユーザーは、リポジトリに登録されている必要があるだけでなく、デザイン・リポジトリ・データベースのデータベース・ユーザーでもある必要があります。データベース・ユーザーは、SQL Plusを使用することで、データベースのデータへアクセスできます。ただし、ユーザーはWarehouse Builderにも登録されていないと、Warehouse Builderとそのメタデータにアクセスできません。
メタデータ・セキュリティはオプションで柔軟性があります。メタデータ・セキュリティのコントロールは適用できませんが、メタデータ・セキュリティのポリシーは定義できます。複数のユーザーを定義して、完全なセキュリティを適用できます。または、セキュリティ・インタフェースに基づいて独自のセキュリティ戦略を実施します。また、セキュリティ戦略を定義した後、厳格な制限や緩やかな制限に戦略を適合させることもできます。
次の各項では、デザイン・センターを使用してセキュリティ戦略を実施する方法について説明します。
また、OMB Plusを使用してセキュリティを実現することもできます。詳細は、『Oracle Warehouse Builder Scripting Reference』を参照してください。
Warehouse Builderのセキュリティ・インタフェースにアクセスしてセキュリティ・ポリシーを変更できるのは、管理権限があるユーザーのみです。
Warehouse Builderをインストールし、リポジトリ・アシスタントを使用してデザイン・リポジトリを作成する場合、Warehouse Builderでは、デザイン・リポジトリ所有者として定義したユーザーがデフォルトの管理者として指定されます。インストール後にデザイン・センターを最初に起動する場合は、このデザイン・リポジトリ所有者としてログインする必要があります。その後、必要に応じて、管理者や他のユーザーを追加して定義できます。
デザイン・リポジトリ所有者としてWarehouse Builderのデザイン・センターにログインすると、デザイン・センターの右下には、図7-1「グローバル・エクスプローラ」に示すようなグローバル・エクスプローラが表示されます。
「セキュリティ」ノードの下には、ADMINISTRATORおよびEVERYONEという2つの事前定義済ロールがあります。1人の事前定義済のユーザーがデザイン・リポジトリ所有者です(この例では、REPOS_OWNER)。デザイン・リポジトリ所有者には、デフォルトでADMINISTRATORロールが割り当てられます。
「セキュリティ」ノードの下で操作を行う場合は、オブジェクトを選択して右クリックすると、実行できるすべての操作が表示されます。または、オブジェクトを選択して、メニュー・バーから「編集」を選択します。管理者が実行できるすべてのタスクの詳細は、「ADMINISTRATORロール」を参照してください。
Warehouse Builderでは、ユーザーの実装要件に合せて、メタデータのセキュリティ戦略を設計できます。ただし、メタデータのセキュリティ戦略を定義する場合は、ポリシーの制限を増やせば、実装や保守に必要な時間も増えることに注意してください。
ユーザーの戦略が、次のどのセキュリティ戦略に適しているかを検討します。
最小限のメタデータのセキュリティは、新しいデザイン・リポジトリを作成する場合のデフォルトのセキュリティ・ポリシーです。ユーザーのプロジェクト要件が変更された場合は、いつでも他のメタデータのセキュリティ戦略を適用できます。
この戦略は、パイロット・プロジェクトを実装する場合や、1人または少数のユーザーしかWarehouse Builderにアクセスしないことが予測できる場合など、メタデータのセキュリティを強化する必要がない場合に適しています。
すべてのユーザーは、デザイン・リポジトリ所有者と同じユーザー名およびパスワードを使用して、Warehouse Builderにログインします。その場合、デザイン・リポジトリ内のデータは、Oracle Databaseのセキュリティ・ポリシーによって保護されますが、そのメタデータには、デザイン・リポジトリ所有者のログオン情報を知っているすべてのユーザーがアクセスできます。すべてのユーザーがすべてのオブジェクトを作成、編集、および削除できるため、どのユーザーがどの操作を実行したかを特定することはできません。
この戦略は、複数のユーザーが存在し、それぞれのユーザー操作を追跡する必要がある場合に使用します。デザイン・リポジトリ所有者に付与される権利とアクセス権を1人のユーザーに限定する場合にも、この戦略を使用します。この戦略では、メタデータ・オブジェクトに対するユーザーのアクセス権が制限されませんが、後から制限を適用できます。
複数のユーザーにセキュリティを適用するには、Warehouse Builderに管理者としてログオンし、次の項の手順を実行します。
この項では、Warehouse Builderで利用できるすべてのメタデータのセキュリティ・オプションを適用するプロセスについて説明します。これらのオプションは、すべてを適用することも、一部のみを適用することもできます。たとえば、1〜3の手順を実行して、4以降の手順は実行しないでおくこともできます。
複数のユーザーに完全なメタデータのセキュリティを適用するには、Warehouse Builderに管理者としてログオンし、次の項の手順を実行します。
パラメータ「デフォルト・メタデータ・セキュリティ・ポリシー」を最大に設定します。
デザイン・センターで、「ツール」→「プリファレンス」→「セキュリティ・パラメータ」を選択します。
手順1で設定した「デフォルト・メタデータ・セキュリティ・ポリシー」は、既存のユーザーに反映されません。設定の変更後に登録したユーザーにのみ適用されます。既存のユーザーのプロファイルは、手動で編集する必要があります。
特定のメタデータ・オブジェクトへのセキュリティ・プロパティの適用
重要: セキュリティ・プロパティの編集は、プロジェクト・エクスプローラ内のすべてのプロジェクトに対して実行する必要があります。デフォルトでは、EVERYONEロールにオブジェクトの全制御権限があります。各プロジェクトを選択し、[F2]を押して、「セキュリティ」タブを選択し、EVERYONEロールの権限を編集して制限を厳しくする必要があります。
すべてのWarehouse Builderユーザーは、Oracle Databaseユーザーである必要があります。
Warehouse Builder内のウィザードを使用すると、既存のデータベース・ユーザーをWarehouse Builderに登録することも、新しいデータベース・ユーザーを作成してから登録することもできます。
注意: ユーザーの作成はSQL Plusでも可能ですが、お薦めしません。Warehouse Builderインタフェースを通してユーザーを作成することで、ユーザーに必要なロールと権限が割り当てられます。
登録ウィザードを起動するには、グローバル・エクスプローラの「セキュリティ」ノードで、「ユーザー」を右クリックし、「新規」を選択します。「既存のデータベース・ユーザーの選択と新規データベース・ユーザーの作成」の説明に従って、ウィザードの指示を実行します。
図7-2の左のパネルには、デザイン・リポジトリに定義されたOracle Databaseユーザーのリストが表示されます。このリストから既存のデータベース・ユーザーを選択するか、左下にある「DBユーザーの作成」をクリックし、新規ユーザーを定義してから登録します。
リストから選択する場合は、1人以上のデータベース・ユーザーを選択できます。ただし、セキュリティ上の理由から、SYSのようなデータベース管理者ユーザーは登録できません。データベースのデフォルトのロール設定は、ALLに設定されていない必要があります。データベースのデフォルトのロール設定は、「データベースのデフォルトのロールの変更」の説明に従って、ウィザード内から変更できます。
データベース・システム権限のCREATE USERを所有している場合は、新規データベース・ユーザーを作成できます。「データベース・ユーザーの作成」ダイアログのメッセージに従って、新規ユーザーのユーザー名とパスワードを入力し、デフォルトの表領域と一時表領域を割り当てます。
有効なユーザー名とパスワードを指定するには、Oracle Databaseに実装されているセキュリティ標準を守る必要があります。デフォルトの最小要件としては、ユーザー名とパスワードにVARCHAR(30)を使用する必要があります。また、特殊文字は使用できません。パスワードの複雑さを検証するルーチンが適用されている場合は、データベースでさらに厳密な要件が求められる場合があります。
ユーザー名、パスワード、パスワードの複雑さの検証ルーチンに関する詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
セキュリティ上の理由により、データベースのデフォルトのロールがALLに設定されているデータベース・ユーザーを登録することはできません。ただし、デフォルトの設定は変更できます。ロールの割当てを自動的に修正する場合は、「今すぐ修正」を選択します。ロールの割当てを手動で変更する場合は、「後で修正」を選択します。
「今すぐ修正」
「今すぐ修正」を選択した場合は、SYSDBA権限を使用してユーザー名とパスワードを入力します。ユーザーが登録され、必要なコマンドがデータベースに発行されます。たとえば新規ユーザーを登録する場合、各ユーザーにデータベース・ロールOWB_repository nameが割り当てられます。セキュリティ上の理由により、このロールは、登録されているユーザーのデフォルトのロールではない必要があります。そのため、この条件でユーザーU1を登録する場合に「今すぐ修正」を選択すると、新規ユーザーが登録され、次のようなコマンドが発行されます。
alter user U1 default role all except OWB_repository_name
「後で修正」
「後で修正」を選択した場合、ユーザーは登録されません。この場合は、データベースのデフォルトのロール設定を手動で変更し、この製品に戻ってユーザーを登録する必要があります。設定を手動で変更するには、ALTER USERシステム権限があるユーザーとしてデータベースに接続し、必要なコマンドを発行します。
「後で修正」オプションの場合、選択したユーザーのデフォルトのロールを変更する場合に推奨されるSQLスクリプトが用意されています。このスクリプトを実行すると、その後ユーザーに付与されるロールもそのユーザーのデフォルトのロールにならないように、デフォルトのロール設定が変更されます。これを変更するには、ユーザーを登録した後、次のようなコマンドを発行できます。
alter user U1 default role all except OWB_repository_name
ユーザーごとに、オプションの説明の入力、既存のロールのユーザーへの割当て、デフォルトのオブジェクト権限とシステム権限の指定を実行できます。
これらのユーザーはOracle Databaseユーザーとしても定義されているため、ユーザーの名前をこの製品内から変更することはできません。ユーザーの名前は、Oracle Databaseで変更します。
ユーザーには1つ以上のロールを割り当てることができます。複数のロールを割り当てることによって権限が競合する場合、その権限が複数のロールの全権限の和集合とみなされ、制限が緩やかな権限がユーザーに付与されます。たとえば、スナップショットを作成できるロールと、作成できないロールを同じユーザーに割り当てた場合、そのユーザーにスナップショットの作成が認められます。
「使用可能なロール」リストに表示されないロールをユーザーに割り当てる場合は、エディタを閉じ、新しいロールを作成した後に、そのユーザー・アカウントを編集します。新しいロールを作成するには、グローバル・エクスプローラで「セキュリティ」ノードの下の「ロール」を右クリックし、「新規」を選択します。ロールの作成と編集の詳細は、「セキュリティ・ロールの定義」および「ロール・プロファイルの編集」を参照してください。
デフォルトのオブジェクト権限では、選択されたユーザーが作成したオブジェクトに対して、他のユーザーやロールが持つアクセス権を定義します。これらの権限は、そのユーザーが、他のユーザーによって作成されたオブジェクトにアクセスするための権限に影響を与えません。
たとえば、図7-3「USER1のデフォルトのオブジェクト権限の設定」では、USER1が作成したすべてのオブジェクトに対して、USER1、ADMINISTRATORおよびDEVELOPMENTロールにはすべてのアクセス権が付与されていますが、EVERYONE、PRODUCTION、およびQAロールには読取り権限しか付与されていません。
UNIXオペレーティング・システムのセキュリティにたとえると、デフォルトのオブジェクト権限は、UMASKコマンドと同様の機能であると言えます。デフォルトのオブジェクト権限を編集した場合、その変更は、ユーザーがその後に作成するオブジェクトにのみ反映されます。これまでに作成されたオブジェクトには反映されません。そのため、実装時にデフォルトのオブジェクト権限を設定していた場合、オブジェクトレベルのセキュリティを新たに設定する必要性はほとんど、あるいはまったくありません。
選択されたユーザーが作成するオブジェクトに対して、他のユーザーが持つ権限を定義するには、各ロールまたはユーザーの適切なボックスを選択します。付与できる権限は、FULL CONTROL、EDIT、COMPILEおよびREADです。これらの権限はすべて、後から追加して設定できます。たとえば、COMPILEを選択した場合、後からCOMPILE権限とREAD権限の両方を適用できます。
図7-3「USER1のデフォルトのオブジェクト権限の設定」は、ロールに付与されたアクセス権を示します。ユーザーに個別にアクセス権を付与することもできます。ただし、ロールにアクセス権を付与すると、そのロールが割り当てられているすべてのユーザーにも同じ権限が付与されます。たとえば、図7-3では、USER2に個別にアクセス権を付与していなくても、EVERYONEロールによってUSER2に読取りアクセス権が付与されることになります。また、USER2がDEVELOPMENTロールのメンバーであれば、USER2にFULL CONTROLのアクセス権が付与されることになります。
|
重要: デフォルトでは、新規にユーザーを作成したとき、EVERYONEロールにはすべてのオブジェクトに対するFULL CONTROLが付与されます。メタデータを保護するには、すべてのユーザー・プロファイルを編集し、EVERYONEロールが持つアクセス権を、各ユーザーが作成するオブジェクトに限定する必要があります。 |
メタデータ・オブジェクトのライフサイクル全体のセキュリティの設定
デフォルトのオブジェクト権限とオブジェクトのセキュリティ・プロパティを併用することで、特定のメタデータ・オブジェクトのライフサイクル全体のセキュリティ・オプションを設定できます。「デフォルトのオブジェクト権限」タブで指定した設定は、権限のあるユーザーによってオブジェクト・ベースでオブジェクトの制限が上書きされるまで保持されます。
たとえば、USER1がいくつかのマッピングを作成する場合を考えます。USER1がこれらのオブジェクトを設計して作成する場合は、図7-3に示したセキュリティ・ポリシーが適しています。しかし、USER1がマッピング作業を完了し、そのオブジェクトをテストするために品質保証チームに送る場合があります。その場合、デフォルトのオブジェクト権限では制限が厳しすぎます。QAロールのアクセス権を増やすには、USER1は、マッピングにナビゲートし、右クリックして「プロパティ」を選択し、「セキュリティ」タブを選択します。オブジェクト・ベースでオブジェクトのデフォルトのセキュリティを上書きする方法の詳細は、「特定のメタデータ・オブジェクトへのセキュリティ・プロパティの適用」を参照してください。
オブジェクト権限は、プロジェクト、モジュール、およびコレクションを含む、リポジトリ内のすべてのメタデータ・オブジェクトに適用されます。
FULL CONTROL
FULL CONTROLには、他のすべての権限以外に、オブジェクトの権限を付与および削除する機能が加わります。オブジェクトに対してFULL CONTROLが付与されているユーザーのみが、オブジェクト・ベースでオブジェクトのデフォルトのセキュリティを上書きできます。これは、「特定のメタデータ・オブジェクトへのセキュリティ・プロパティの適用」でも説明されています。
EDIT
EDIT権限には、COMPILEおよびREAD権限が含まれます。さらに、EDIT権限を持つユーザーは、オブジェクトの削除、名前変更、および変更を実行できます。
COMPILE
COMPILE権限にはREAD権限が含まれ、オブジェクトの検証と生成を実行できます。
READ
READ権限では、オブジェクトを表示できます。
システム権限は、ワークスペース全体のサービスに対するユーザーのアクセス権を定義します。「システム権限」タブを使用すると、ユーザーやロールに管理タスクの実行を許可したり、制限することができます。管理できる操作は次のとおりです。
ACCESS_PUBLICVIEW_BROWSER: ユーザーがリポジトリ・ブラウザにアクセスできます。
CREATE_EXTENSIONMODEL: ユーザーがワークスペース内に新規のオブジェクト・タイプを作成できます。
CREATE_PROJECT: メタデータ・オブジェクトを編成する手段として管理者が作成するプロジェクトをユーザーが作成できます。
CREATE_SNAPSHOT: 管理者がワークスペースをバックアップする際に使用するスナップショットをユーザーが作成できます。
CONTROL_CENTER_DEPLOYMENT: ユーザーがコントロール・センターへの配布、およびそのプロシージャを実行できます。セキュリティ上の理由から、この権限はユーザー・ベースでユーザーにのみ設定できます。この権限をロールに付与することはできません。
CONTROL_CENTER_EXECUTION: ユーザーがコントロール・センターからプロシージャを実行できます。セキュリティ上の理由から、この権限はユーザー・ベースでユーザーにのみ設定できます。この権限をロールに付与することはできません。
CONTROL_CENTER_VIEW: ユーザーがコントロール・センターからプロシージャを実行できます。セキュリティ上の理由から、この権限はユーザー・ベースでユーザーにのみ設定できます。この権限をロールに付与することはできません。
Warehouse Builderでは、読取り/書込み権限を管理することにより、複数のユーザーが同時に同じWarehouse Builderリポジトリにアクセスできます。ただし、1つのオブジェクトへの書込み権限は、常に1人のユーザーにしか付与されません。他のすべてのユーザーには、読取り専用アクセスが付与されます。あるオブジェクトへの書込みアクセス権がユーザーに付与されている場合は、そのオブジェクトのエディタが開かれている間、Warehouse Builderによって、そのオブジェクトはロックされます。オブジェクトが変更されていない場合は、そのオブジェクトのエディタが閉じられると、すぐにロックが解除されます。変更されている場合は、ユーザーがそのオブジェクトに関連するすべてのエディタを閉じ、変更内容を保存するか、最後に保存されたバージョンに戻るまで、ロックは維持されます。他のユーザーは、そのオブジェクトが使用されている間、削除することはできません。
エディタ、プロパティ・シート、またはダイアログ・ボックスを開いた場合は必ず、デフォルトで読取り/書込みモードでオブジェクトにアクセスすることになります。その変更内容をリポジトリに保存すると、その変更内容が他のユーザーにも反映されるようになります。
他のユーザーによってロックされているオブジェクトを開こうとすると、Warehouse Builderではメッセージが表示され、その要求を取り消すか、そのオブジェクトに読取り専用モードでアクセスするように求められます。読取り専用モードでアクセスすることを選択した場合、エディタのタイトル・バーには「読取り専用」と表示されます。
オブジェクトを読取り専用モードで開いているときに、そのオブジェクトが他のユーザーによって読取り/書込みモードで編集され、その変更内容が保存される場合があります。その場合、変更されたリポジトリ内のデータをビューに反映させるには、ツールバーの「リフレッシュ」ボタンをクリックします。
ロールを使用すると、同じ責任や権限を持つユーザーをグループとして扱うことができます。データベース・ユーザーでもあるユーザーとは異なり、これらのロールはデータベース・ロールではありません。これらのロールは、この製品内でのセキュリティの実装用に設計された構成要素です。
ロールでは、複数のユーザーではなく1つのロールに対して権限を付与または制限できるため、権限を効率的に管理できます。
EVERYONEロールとADMINISTRATORロールは、事前定義済ロールです。この権限は編集できますが、事前定義済ロールを削除したり、名前を変更することはできません。
このロールを使用すると、すべてのユーザーの権限を容易に管理できます。新規ユーザーを登録すると、Warehouse Builderによって、そのユーザーにEVERYONEロールが割り当てられます。
Warehouse Builderの管理者は、表7-1に示されたセキュリティ・タスクを実行できます。
表7-1 ADMINISTRATORのセキュリティ・タスク
| タスク | 手順 |
|---|---|
|
|
グローバル・エクスプローラで、「ユーザー」を右クリックし、「新規」を選択します。 |
|
|
ユーザーを登録すると、Warehouse Builderによって、そのユーザーにEVERYONEロールが割り当てられ、そのロールに基づいてメタデータ・オブジェクトへのアクセス権が付与されます。ユーザー・プロファイルを変更するには、ユーザーを右クリックし、「エディタを開く」を選択します。 |
|
ユーザー・パスワードの変更 |
ユーザー・パスワードは、Warehouse Builderで変更することはできません。パスワードは、『Oracle Databaseセキュリティ・ガイド』の説明に従って、Oracle Databaseで直接変更します。 |
|
|
Warehouse Builderには、ADMINISTRATORとEVERYONEという2つのロールが用意されています。ロールを追加して定義するには、グローバル・エクスプローラの「ロール」を右クリックし、「新規」を選択します。 |
|
|
ロールを右クリックして「エディタを開く」を選択します。ユーザーを追加または削除したり、そのロールのシステム権限を変更できます。 |
|
ユーザーとロールの削除 |
グローバル・エクスプローラで、ユーザーまたはロールを右クリックし、「削除」を選択します。 デザイン・リポジトリ所有者を除く、すべてのWarehouse Builderユーザーを削除できます。Warehouse Builderからユーザーを削除しても、Oracle Databaseのユーザー・アカウントは削除または変更されません。 事前定義済ロールのADMINISTRATORとEVERYONEを除く、すべてのロールを削除できます。Warehouse Builderのロールとデータベースのロールは異なる構成要素です。そのため、Warehouse Builderを削除してもデータベースには影響しません。 |
|
ロール名の変更 |
グローバル・エクスプローラで、ロールを右クリックし、「改名」を選択します。事前定義済ロールのADMINISTRATORとEVERYONEを除く、すべてのロールの名前を変更できます。 |
|
特定のメタデータ・オブジェクトへのセキュリティ・プロパティの適用 |
デザイン・センターの3つのエクスプローラのいずれかで、目的のメタデータ・オブジェクトを右クリックしてから「プロパティ」を選択し、「セキュリティ」タブを選択します。または、目的のメタデータ・オブジェクトを選択し、[ |
作成したロールごとに、名前の編集、オプションの説明の入力、既存のユーザーへのロールの割当て、およびシステム権限の指定を実行できます。ロールのシステム権限は、ユーザーのシステム権限と同様に機能します。システム権限の詳細は、「システム権限」を参照してください。
事前定義済ロールのEVERYONEとADMINISTRATORは、名前を変更したり、その説明を編集したりすることはできません。
ロールは複数のユーザーに割り当てることができます。「使用可能なユーザー」リストに表示されていないユーザーにロールを割り当てる場合は、エディタを閉じ、グローバル・エクスプローラの「セキュリティ」ノードでユーザーを作成してから、そのロールを編集します。新規ユーザーを作成するには、「セキュリティ」ノードで「ユーザー」を右クリックし、「新規」を選択します。ユーザーの作成と編集の詳細は、「データベース・ユーザーの登録」および「ユーザー・プロファイルの編集」を参照してください。
メタデータのオブジェクトへのアクセス権は、オブジェクト・ベースで付与または制限できます。
目的のメタデータ・オブジェクトを右クリックし、「プロパティ」を選択して、「セキュリティ」タブを表示します。
「セキュリティ」タブを使用して、オブジェクトベースでメタデータ・セキュリティを定義できます。「セキュリティ」タブでメタデータのアクセス・コントロールを変更できるのは、オブジェクトへのFULL CONTROL権限が付与されているユーザーのみです。「例: セキュリティ・プロパティを使用したプロジェクト設計のフリーズ」に記載されているように、「セキュリティ」プロパティは、プロジェクトのライフサイクルを管理する上で重要です。
「デフォルトのオブジェクト権限」では、特定のユーザーによって作成されたオブジェクトにメタデータ・セキュリティを定義しますが、「セキュリティ」タブでは、オブジェクト・ベースでそのメタデータ・セキュリティ・ポリシーを上書きします。たとえば、USER1がマッピングとプロセス・フローを作成した開発者であるとします。このUSER1によって作成されたすべてのオブジェクトを、別の開発者も利用できるようにするには、「デフォルトのオブジェクト権限」を使用します。しかし、USER1によって作成されたオブジェクトの一部のみをQAグループが利用できるようにする必要がある場合は、デザイン・センター内でそのオブジェクトごとに「セキュリティ」タブを使用します。
|
重要: 完全なメタデータ戦略を適用するには、プロジェクト・エクスプローラ内のすべてのプロジェクトのセキュリティ・プロパティを編集します。デフォルトでは、EVERYONEロールにオブジェクトの全制御権限があります。EVERYONEロールの権限を変更してその制限を増やし、「伝播」を選択して、その変更をすべての子に適用します。 |
依存オブジェクトへのセキュリティ・プロパティの伝播
セキュリティ・プロパティをオブジェクトとそのすべての子に適用するには、「セキュリティ」タブの「伝播」を選択します。依存オブジェクトを持たないオブジェクトを選択した場合は、このオプションは無効になります。
ユーザーがプロジェクトの設計を完了したら、そのプロジェクトの内容をフリーズすることが必要になる場合があります。次の手順を完了すると、管理者のみがプロジェクトのオブジェクトを変更できるようになります。
プロジェクトの設計をフリーズする手順は次のとおりです。
管理者としてログオンします。
プロジェクト・エクスプローラで、プロジェクト・ノードを右クリックし、「プロパティ」を選択します。
「セキュリティ」タブで、管理者以外のすべてのユーザーとロールの権限を必要に応じて制限します。
「伝播」ボタンをクリックします。
ユーザーがWarehouse Builderで操作を実行しようとすると、Warehouse Builderでは、そのユーザーが操作の実行に必要な権限を所有しているかどうか事前に検証されます。表7-2に、Warehouse Builderでの操作の実行に必要な権限の一覧を示します。
表7-2 操作の実行に必要な権限
| Warehouse Builderでの操作 | セキュリティ・チェック |
|---|---|
|
構成 |
ユーザーは、構成するオブジェクトにEDIT権限を所有している必要があります。 |
|
コピー |
ユーザーは、コピーするオブジェクトにREAD権限を所有している必要があります。 |
|
オブジェクトの作成 |
ユーザーは、親に対してEDIT権限を所有している必要があります。たとえば、マッピングを作成する場合は、そのモジュールに対してEDIT権限を所有している必要があります。 |
|
切取り |
ユーザーは、切り取るオブジェクトにEDIT権限を所有している必要があります。 |
|
削除 |
ユーザーは、削除するオブジェクトにEDIT権限を所有している必要があります。 |
|
配布 |
Warehouse Builderによって以前の「生成」操作がチェックされるため、「配布」操作ではセキュリティ・チェックが必要ありません。 |
|
編集 |
ユーザーは、編集するオブジェクトにEDIT権限を所有している必要があります。 |
|
エクスポート |
ユーザーは、エクスポートするオブジェクトにREAD権限を所有している必要があります。セキュリティ情報のエクスポートを有効にしている場合、管理者ユーザーは、ロール、ユーザー、権限などのセキュリティ情報をエクスポートできます。 |
|
生成 |
ユーザーは、生成するオブジェクトにCOMPILE権限を所有している必要があります。 |
|
インポート |
ユーザーは、インポートするオブジェクトにEDIT権限を所有している必要があります。セキュリティ情報のインポートを有効にしている場合、管理者ユーザーは、ロール、ユーザー、権限などのセキュリティ情報をインポートできます。 |
|
移動 |
ユーザーは、切取り/貼付けの操作に必要な権限を所有している必要があります。 |
|
貼付け |
ユーザーは、オブジェクトのコピー先の親に対してEDIT権限を所有している必要があります。 |
|
改名 |
ユーザーは、名前を変更するオブジェクトにEDIT権限を所有している必要があります。 |
|
スナップショット: スナップショットの比較 |
別のスナップショットまたは他のリポジトリ・オブジェクトと比較するには、ユーザーは、比較元のスナップショットと、比較先のスナップショットまたはリポジトリ・オブジェクトにREAD権限を所有している必要があります。 |
|
スナップショット: スナップショットのリストア |
スナップショットに基づいてオブジェクトをリストアするには、ユーザーは、そのオブジェクトにREAD権限を所有している必要があります。フォルダをリストアするには、ユーザーは、フォルダとそのすべての子にEDIT権限を所有している必要があります。 |
|
スナップショット: スナップショットを取る |
ユーザーは、スナップショットを作成するためのCREATE_SNAPSHOTシステム権限を所有している必要があります。 |
|
ソースのインポート |
ユーザーは、インポートしたオブジェクトで置換するオブジェクトにEDIT権限を所有している必要があります。 |
|
インバウンドの同期化 |
ユーザーは、リポジトリ内のオブジェクトにREAD権限、およびエディタ内のオブジェクトにEDIT権限を所有している必要があります。 |
|
アウトバウンドの同期化 |
ユーザーは、リポジトリ内のオブジェクトにEDIT権限を所有している必要があります。 |
|
検証 |
ユーザーは、検証するオブジェクトにCOMPILE権限を所有している必要があります。 |
Warehouse Builderでは、次のようにパスワードを管理できます。
一般的なセキュリティの管理操作に従い、Warehouse Builderリポジトリへのアクセスに使用するパスワードを定期的に変更することが必要になる場合があります。
デザイン・リポジトリにアクセスするパスワードの変更
デザイン・リポジトリへのパスワードは、他のOracle Databaseの場合と同様に管理します。
コントロール・センターにアクセスするパスワードの変更
コントロール・センターをホストし、配布環境となるリポジトリのパスワードを変更するには、最初にコントロール・センター・サービスを停止し、パスワードを変更するスクリプトを実行した後で、コントロール・センター・サービスを再起動する必要があります。
コントロール・センターをホストするリポジトリのパスワードを変更する手順は次のとおりです。
リポジトリ所有者としてコントロール・センターにログオンします。
次のスクリプトを実行して、コントロール・センターを停止します。
owb home/owb/rtp/sql/stop_service.sql
スクリプトは、コントロール・センターのステータスを示す値(UnavailableまたはAvailable)を返します。
次のスクリプトを実行して、パスワードを変更します。
owb home/owb/rtp/sql/set_repository_password.sql
新しいパスワードを求められたら、指定します。
次のスクリプトを実行して、コントロール・センターを再起動します。
owb home/owb/rtp/sql/start_service.sql
Warehouse Builderユーザーは、メタデータやデータを抽出またはロードする必要があるデータベース、ファイル・サーバー、またはアプリケーションごとにロケーションを作成します。このロケーションには、これらの様々なソースやターゲットへのアクセスに使用するユーザー名とパスワードが含まれています。Warehouse Builderでは、これらのパスワードを暗号化してリポジトリに保存できます。パスワードの保存の有効化、無効化の切替えは、デザイン・センターの「ツール」→「プリファレンス」→「セキュリティ・パラメータ」にある「メタデータにロケーション・パスワードを保持」で行います。
デフォルトの暗号化アルゴリズムは、Oracle Database 9i以降のバージョンに有効なDES56Cが使用されます。リポジトリ・データベースがバージョン10g以降の場合は、3DES168、または他のより強力な暗号化アルゴリズムを設定できます。そのためには、owb home/owb/bin/admin/jdbcdriver.propertiesファイルにある次の暗号化パラメータを指定します。
encryption_client; default = REQUIRED
encryption_types_client; default = ( DES56C )
crypto_checksum_client; default = REQUESTED
crypto_checksum_types_client; default = ( MD5 )
このプロトコルを機能させるには、サーバーをデフォルトのACCEPTEDモードに設定します。詳細は、『Oracle Database JDBC開発者ガイドおよびリファレンス』を参照してください。
