| Oracle® Warehouse Builderインストレーションおよび管理ガイド 11gリリース2 (11.2) B61347-03 |
|
 前 |
 次 |
この項では、Oracle Warehouse Builder APIおよびスクリプト・リファレンスのセキュリティ・オプションを実装する方法について説明します。
この項では、次の項目について説明します。
Oracle Warehouse Builderでは、デザイン・リポジトリに格納されるメタデータのセキュリティを定義できます。Oracle Warehouse Builderのメタデータ・セキュリティはOracle Databaseセキュリティと連携して行われます。Oracle Databaseではデータのセキュリティを実現し、Oracle Warehouse Builderではメタデータのセキュリティを実現します。
すべてのユーザーは、リポジトリに登録されている必要があるだけでなく、デザイン・リポジトリ・データベースのデータベース・ユーザーでもある必要があります。データベース・ユーザーはSQL*Plusを使用してデータベース内のデータにアクセスできますが、Oracle Warehouse Builderにも登録されていないかぎり、Oracle Warehouse Builderおよびそのメタデータにアクセスすることはできません。
メタデータ・セキュリティはオプションで柔軟性があります。メタデータ・セキュリティのコントロールは適用できませんが、メタデータ・セキュリティのポリシーは定義できます。複数のユーザーを定義して、完全なセキュリティ・コントロールを適用するかセキュリティ・コントロールをまったく適用しないかを選択できます。または、セキュリティ・サービスに基づいてカスタムのセキュリティ戦略を実施します。カスタムのセキュリティ戦略を定義した後、時間の経過とともに厳格な制限や緩やかな制限に戦略を適合させることもできます。
次の項のトピックでは、デザイン・センターを使用してセキュリティ戦略を実施する方法について説明します。また、OMB Plusを使用してセキュリティを実現することもできます。詳細は、『Oracle Warehouse Builder APIおよびスクリプト・ガイド』を参照してください。
グローバル・ナビゲータのセキュリティ・サービスにアクセスして、Oracle Warehouse Builder APIおよびスクリプト・リファレンスのセキュリティ・ポリシーのユーザーおよびロールを管理できるのは、管理権限を持つユーザーのみです。
Oracle Warehouse Builderをインストールし、リポジトリ・アシスタントを使用してデザイン・リポジトリを作成すると、Oracle Warehouse Builderではデザイン・リポジトリ所有者がデフォルトの管理者として設定されます。インストール後にデザイン・センターを最初に起動する場合は、このデザイン・リポジトリ所有者としてログインする必要があります。その後、必要に応じて、管理者や他のユーザーを追加して定義できます。
Oracle Warehouse Builderのデザイン・センターにデザイン・リポジトリ所有者としてログインすると、グローバル・ナビゲータが表示されます。
デフォルトのセキュリティ設定を表示する:
グローバル・ナビゲータで、「セキュリティ」を開きます。
ユーザーを開き、次にロールを開きます。
2つの事前定義済ロールADMINISTRATORおよびEVERYONEがあります。
1人の事前定義済のユーザーがデザイン・リポジトリ所有者です。デザイン・リポジトリ所有者には、デフォルトでADMINISTRATORロールが割り当てられます。
グローバル・ナビゲータでユーザーの詳細を表示または編集するには、「セキュリティ」および「ユーザー」でそのユーザーを選択してダブルクリックします。「ユーザーの編集」画面が表示されます。
管理者が実行できるすべてのタスクの詳細は、「ADMINISTRATORロール」を参照してください。
Oracle Warehouse Builderでは、ユーザーの実装要件に合せてメタデータのセキュリティ戦略を設計できます。ただし、メタデータのセキュリティ戦略を定義する場合は、ポリシーの制限を増やせば、実装や保守に必要な時間も増えることに注意してください。
次のセキュリティ戦略のいずれかに基づいて、戦略をモデル化することを検討してください。
最小限のメタデータのセキュリティは、新しいデザイン・リポジトリを作成する場合のデフォルトのセキュリティ・ポリシーです。時間の経過とともにユーザーのプロジェクト要件が変更された場合は、他のメタデータのセキュリティ戦略を適用できます。たとえば、内部のパイロット・プロジェクトを実装したり、信頼できるユーザーがわずかであることが予測される場合は、追加のメタデータ・セキュリティが必要ない場合があります。
最小限のメタデータ・セキュリティ戦略では、すべてのユーザーが、デザイン・リポジトリ所有者と同じユーザー名およびパスワードを使用してOracle Warehouse Builderにログインできます。デザイン・リポジトリ内のデータは、Oracle Databaseのセキュリティ・ポリシーによって保護されますが、そのメタデータには、デザイン・リポジトリ所有者のログオン情報を知っているすべてのユーザーがアクセスできます。すべてのユーザーはすべてのオブジェクトを作成、編集および削除できます。
実装に複数のユーザーが存在し、それぞれのユーザー操作を追跡する必要がある場合にマルチユーザー・セキュリティ戦略を実装します。この戦略では、デザイン・リポジトリ所有者に付与される権利とアクセス権を1人のユーザーに限定します。この戦略では、メタデータ・オブジェクトに対するユーザーのアクセス権が制限されませんが、後から制限を適用できます。
複数ユーザー環境のセキュリティを実装するには:
管理者としてOracle Warehouse Builderにログオンし、次の各項に示す手順を実行します。
この項では、Oracle Warehouse Builderで使用可能なすべてのメタデータ・セキュリティ・オプションを適用するプロセスについて説明します。これらのオプションは、すべてを適用することも、一部のみを適用することもできます。たとえば、1から3の手順を実行して、4以降の手順は実行しないでおくこともできます。
セキュリティ・プロパティの編集は、プロジェクト・ナビゲータ内のすべてのプロジェクトに対して実行する必要があります。デフォルトでは、EVERYONEロールにオブジェクトのFULL_CONTROL権限があります。変更する場合は、プロジェクトを選択し、「表示」メニューから「セキュリティ」を選択します。EVERYONEロールの権限を編集してその制限を増やし、左上隅にある「セキュリティ設定の伝播」アイコンを押します。このアクションはこのプロジェクトのすべての子に新しい制限を適用します。プロジェクトおよび他のオブジェクトを新しく作成した場合は、Oracle Warehouse Builder APIおよびスクリプト・リファレンスのユーザーのデフォルトのオブジェクト権限設定を使用して、アクセス権限を定義します。
複数ユーザーの完全なメタデータを実装するには:
管理者としてOracle Warehouse Builderにログインし、次の各項に示す手順を実行します。
パラメータ「デフォルト・メタデータ・セキュリティ・ポリシー」を最大に設定します。
デザイン・センターで、「ツール」→「プリファレンス」を選択し、「Oracle Warehouse Builder」を展開してから、「セキュリティ・パラメータ」を選択します。
手順1で設定した「デフォルト・メタデータ・セキュリティ・ポリシー」は、遡及的ではありません。設定の変更後に登録するユーザーにのみ適用されます。既存のユーザーのプロファイルは手動で編集する必要があります。
すべてのOracle Warehouse BuilderユーザーはOracle Databaseユーザーでもある必要があります。
新しいOracle Warehouse Builderユーザーを作成するには、次の2つの方法があります。
Oracle Warehouse Builderを使用して、既存のデータベース・ユーザーを登録するか、新しいデータベース・ユーザーを作成します。
新しいユーザーを作成するには、データベース権限CREATE USERが必要です。
新しいデータベース・ユーザーを作成して、Oracle Warehouse Builderに登録します。
SQL Plusでユーザーを作成することもできますが、Oracle Warehouse Builderインタフェースを使用してユーザーを作成することをお薦めします。これにより、必要なすべてのロールと権限をユーザーに割り当てられます。
セキュリティ上の理由から、SYSのようなデータベース管理者ユーザーは登録できません。また、データベースのデフォルトのロール設定は、ALLに設定されていない必要があります。Oracle Warehouse Builderによって、新規ユーザーにデフォルトのデータベース・ロール設定が自動的に設定されます。データベースのデフォルトのロール設定は、「データベースのデフォルトのロールの変更」の説明に従って、変更できます。
|
注意: Oracle Warehouse Builderユーザー名には、英字、英数字またはすべての数字の文字列を使用できます。 |
この項では、既存のデータベース・ユーザーの登録方法を説明します。
既存のデータベース・ユーザーを登録するには:
グローバル・ナビゲータで、「セキュリティ」の下の「ユーザー」を右クリックし、「新規ユーザー」を選択します。
「ユーザーの作成:ようこそ」画面が表示されます。
「ユーザーの作成:ようこそ」画面で、「次へ」をクリックします。
「登録するDBユーザーの選択」画面の「使用可能なDBユーザー」の下で、登録するユーザーを選択し、適切な転送アイコンをクリックして、「選択したユーザー」リストにユーザーを追加します。
「次へ」をクリックします。
「ロケーションの作成の確認」画面で、登録するユーザーの横にある「作成」オプションをチェックします。
「次へ」をクリックします。
「サマリー」画面で、新規のユーザー定義を確認します。
「終了」をクリックします。
「ユーザー登録の進捗」が表示されます。この画面は、登録が完了すると消えます。
これで、「ユーザー」に新しいユーザーが表示されます。
この項では、新規データベース・ユーザーの登録方法を説明します。データベース・システム権限CREATE USERが必要です。
データベース・ユーザーを作成するには:
グローバル・ナビゲータで、「セキュリティ」の下の「ユーザー」を右クリックし、「新規ユーザー」を選択します。
「ユーザーの作成:ようこそ」画面が表示されます。
「ユーザーの作成:ようこそ」画面で、「次へ」をクリックします。
「登録するDBユーザーの選択」画面で、「DBユーザーの作成」をクリックします。
「データベース・ユーザーの作成」画面で、新規ユーザーのDBAパスワード、「名前」および「パスワード」(確認入力を含む)入力します。
「OK」をクリックします。
有効なユーザー名とパスワードを指定し、Oracle Databaseに実装されているセキュリティ標準を遵守する必要があります。ユーザー名、パスワードおよびパスワードの複雑さの検証ルーチンの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。
「登録するDBユーザーの選択」画面の「選択したユーザー」リストに、新しいユーザーが自動的に追加されます。
「次へ」をクリックします。
「ロケーションの作成の確認」画面で、登録するユーザーの横にある「作成」オプションをチェックします。
「次へ」をクリックします。
「サマリー」画面で、新規のユーザー定義を確認します。
「終了」をクリックします。
「ユーザー登録の進捗」が表示されます。この画面は、登録が完了すると消えます。
これで、「ユーザー」に新しいユーザーが表示されます。
セキュリティ上の理由により、データベースのデフォルトのロールがALLに設定されているデータベース・ユーザーを登録することはできません。ただし、ロールの割当てを修正することにより、デフォルトの設定を変更できます。「今すぐ修正」および「後で修正」の2つのオプションがあります。
「今すぐ修正」
「今すぐ修正」オプションを選択した場合は、SYSDBA権限を使用してユーザー名とパスワードを入力します。ユーザーが登録され、必要なコマンドが発行されます。
たとえば新規ユーザーを登録する場合、各ユーザーにデータベース・ロールOWB_repository_nameが割り当てられます。セキュリティ上の理由により、このロールは、登録されているユーザーのデフォルトのロールではない必要があります。この条件でユーザーを登録しようとする場合に「今すぐ修正」を選択すると、ユーザーが登録され、次のようなコマンドが発行されます。
alter user username default role all except OWB$CLIENT
「後で修正」
「後で修正」オプションを選択した場合、ユーザーは登録されません。SQLを使用してデータベース内のデフォルトのロール設定を手動で変更し、Oracle Warehouse Builderにユーザーを登録する必要があります。設定を手動で変更するには、ALTER USERシステム権限があるユーザーとしてデータベースに接続し、必要なコマンドを発行します。
次のSQLスクリプトは、選択したユーザーのデフォルト・ロールを変更するためのものです。これを実行すると、デフォルトのロール設定が変更され、以降にそのユーザーに付与されたロールがデフォルト・ロールになることはありません。これを変更するには、ユーザーを登録し、次のコマンドを発行します。
alter user username default role all except OWB$CLIENT
ユーザーごとに、オプションの説明の入力、既存のロールのユーザーへの割当て、デフォルトのオブジェクト権限とシステム権限の指定を実行できます。
これらはOracle Databaseユーザーであるため、Oracle Warehouse Builderでユーザーの名前を変更することはできません(この操作はOracle Databaseを介して行う必要があります)。
ロールおよび権限の付与または取消しは、次回のOracle Warehouse Builderセッションで有効になります。
ユーザー・プロファイルを編集するには:
グローバル・ナビゲータで、「セキュリティ」を開きます。
「ユーザー」を開きます。
編集するユーザー名を選択します。ユーザー名を右クリックし、「開く」を選択します。
「ユーザーの編集: ユーザー名」画面が表示されます。ここには、編集のための次のオプションがあります。
「名前」: 名前自体を変更することはできません。ただし、この画面には編集可能な「説明」テキスト・フィールドがあります。
「ロール」: ユーザーを「「使用可能なロール」リスト」リストから「付与されたロール」リストに移動することで、様々なロールをユーザーに割り当てることができます。
「デフォルトのオブジェクト権限」: FULL_CONTROL、EDIT、COMPILE、またはREADにある該当するボックスをチェックすることでユーザーまたはロールにデフォルトの権限を割り当てることができます。
システム権限: オブジェクト・システム権限(ACCESS_PUBLIC_VIEW_BROWSER、CREATE_PLATFORM、CREATE_PROJECT、またはCREATE_SNAPSHOT)およびコントロール・センターのシステム権限(CONTROL_CENTER_DEPLOYMENT、CONTROL CENTER_EXECUTION、またはCONTROL_CENTER_VIEW)で該当するボックスをチェックすることで、ユーザーにシステム権限を割り当てることができます。
編集が完了したら、「OK」をクリックします。
ユーザーには1つ以上のロールを割り当てることができます。複数のロールを割り当てることによって権限が競合する場合、その権限が複数のロールの全権限の和集合とみなされ、制限が緩やかな権限がユーザーに付与されます。たとえば、スナップショットを作成できるロールと、作成できないロールを同じユーザーに割り当てた場合、そのユーザーにスナップショットの作成が認められます。
「使用可能なロール」リストに表示されていないロールをユーザーに割り当てる場合は、エディタを閉じ、新しいロールを作成した後で、そのユーザー・アカウントを編集します。ロールを作成するには、グローバル・ナビゲータで「セキュリティ」ノードの下の「ロール」を右クリックし、「新規ロール」を選択します。ロールの作成と編集の詳細は、「セキュリティ・ロールの定義」および「ロール・プロファイルの編集」を参照してください。
デフォルトのオブジェクト権限では、選択されたユーザーが作成したオブジェクトに対して、他のユーザーやロールが持つアクセス権を定義します。これらの権限は、そのユーザーが、他のユーザーによって作成されたオブジェクトにアクセスするための権限に影響を与えません。
たとえば、JANE_DOEが作成するすべてのオブジェクトに対しては、JANE_DOE、ADMINISTRATORおよびDEVELOPMENTの各ロールが完全なアクセス権限を持ちます。EVERYONEロール、PRODUCTIONロールおよびTESTロールは読取り専用に制限されています。
UNIXオペレーティング・システムのセキュリティに例えると、デフォルトのオブジェクト権限はUMASKコマンドのようなものです。デフォルトのオブジェクト権限を編集した場合、その変更は、ユーザーがその後に作成するオブジェクトにのみ反映され、以前に作成したオブジェクトには反映されません。そのため、以前にデフォルトのオブジェクト権限を設定していた場合、オブジェクトレベルのセキュリティの管理を新たに設定する必要性はほとんど、あるいはまったくありません。
選択されたユーザーが作成するオブジェクトに対して、他のユーザーが持つ権限を定義するには、各ロールまたはユーザーの適切なボックスを選択します。付与できる権限は、FULL CONTROL、EDIT、COMPILEおよびREADです。これらの権限はすべて、後から追加して設定できます。たとえば、COMPILEを選択した場合、後からCOMPILE権限とREAD権限の両方を適用できます。
アクセス権限は、ロールと個別ユーザーの両方に付与できます。ただし、ロールにアクセス権を付与すると、そのロールが割り当てられているすべてのユーザーにも同じ権限が付与されます。たとえば、JOHN_DOEは、特にアクセス権限が付与されていなくても、EVERYONEロールを介して読取りアクセスを行うことができます。さらに、JOHN_DOEは、DEVELOPMENTロールのメンバーであれば、FULL CONTROLアクセス権限も持っています。
デフォルトでは、新規にユーザーを作成したとき、EVERYONEロールにはすべてのオブジェクトに対するFULL CONTROLが付与されます。メタデータを保護するには、すべてのユーザー・プロファイルを編集し、EVERYONEロールが持つアクセス権を、各ユーザーが作成するオブジェクトに限定する必要があります。
ライフサイクル全体を通じたメタデータ・オブジェクトのセキュリティの確保
デフォルトのオブジェクト権限とオブジェクト・セキュリティ・プロパティを組み合せることで、特定のメタデータ・オブジェクトのライフサイクル全体のセキュリティ・オプションを設定できます。「デフォルトのオブジェクト権限」タブで指定した設定は、権限のあるユーザーによってオブジェクト・ベースでオブジェクトの制限が上書きされるまで保持されます。
たとえば、JANE_DOEがいくつかのマッピングを作成する場合を考えます。JANE_DOEがこれらのオブジェクトを設計して作成する場合は、この項で前述したセキュリティ・ポリシーが適しています。しかし、JANE_DOEがマッピング作業を完了し、そのオブジェクトをテスト・チームに送る場合があります。その場合、デフォルトのオブジェクト権限では制限が厳しすぎます。TESTロールのアクセス権を増やすには、JANE_DOEはマッピングを選択して、「表示」から「セキュリティ」を選択します。これで、必要なすべての権限を手動でTESTロールに追加できます。
オブジェクト・ベースでオブジェクトのデフォルトのセキュリティを上書きする方法の詳細は、「特定のメタデータ・オブジェクトへのセキュリティ・プロパティの適用」を参照してください。
オブジェクト権限は、プロジェクト、モジュール、およびコレクションを含む、リポジトリ内のすべてのメタデータ・オブジェクトに適用されます。
FULL CONTROL
FULL CONTROLには、他のすべての権限と、オブジェクトの権限の付与および取消しを行う機能が含まれます。「特定のオブジェクトへのセキュリティ・ポリシーの適用」で説明するように、オブジェクトに対するFULL CONTROL権限を持っているユーザーのみが、オブジェクトごとにデフォルト・セキュリティをオーバーライドできます。
EDIT
EDIT権限には、COMPILEおよびREAD権限が含まれます。さらに、EDIT権限を持つユーザーは、オブジェクトの削除、名前変更、および変更を実行できます。
COMPILE
COMPILE権限にはREAD権限が含まれ、オブジェクトの検証と生成を実行できます。
READ
READ権限では、オブジェクトを表示できます。
システム権限は、ワークスペース全体のサービスに対するユーザーのアクセス権を定義します。「システム権限」タブを使用すると、ユーザーやロールに管理タスクの実行を許可したり、制限することができます。
管理できる操作は次のとおりです。
ACCESS_PUBLICVIEW_BROWSER: ユーザーがリポジトリ・ブラウザにアクセスできます。
CREATE_PLATFORM: OMB*Plusを使用してユーザーがワークスペース内に新規のプラットフォームを作成できます。
CREATE_PROJECT: プロジェクトの作成をユーザーに許可します。管理者は、メタデータ・オブジェクトの編成手段としてプロジェクトを作成します。
CREATE_SNAPSHOT: スナップショットの作成をユーザーに許可します。スナップショットは、管理者がワークスペースのバックアップを行う際に使用します。
CONTROL_CENTER_DEPLOYMENT: コントロール・センターへのデプロイおよびそのプロシージャの実行をユーザーに許可します。
CONTROL_CENTER_EXECUTION: コントロール・センターからのプロシージャの実行をユーザーに許可します。
$$CONTROL_CENTER_VIEW: コントロール・センターからのプロシージャの表示をユーザーに許可します。
Oracle Warehouse Builderでは、読取り権限と書込み権限を管理することにより、複数のユーザーが同時に同じOracle Warehouse Builderリポジトリにアクセスできます。ただし、1つのオブジェクトへの書込み権限は、常に1人のユーザーにしか付与されません。他のすべてのユーザーには、読取り専用アクセスが付与されます。ユーザーがオブジェクトへの書込みアクセス権を持っている場合、Oracle Warehouse Builderでは、オブジェクト・エディタが開いている間、そのオブジェクトに対するロックが保持されます。オブジェクトが変更されていない場合は、そのオブジェクトのエディタが閉じられると、すぐにロックが解除されます。変更されている場合は、ユーザーがそのオブジェクトに関連するすべてのエディタを閉じ、変更内容を保存するか、最後に保存されたバージョンに戻るまで、ロックは維持されます。他のユーザーは、そのオブジェクトが使用されている間、削除することはできません。
ロールを使用すると、同じ責任や権限を持つユーザーをグループとして扱うことができます。データベース・ユーザーでもあるユーザーとは異なり、これらのロールはデータベース・ロールではありません。これらのロールは、この製品内でのセキュリティの実装用に設計された構成要素です。
ロールでは、複数のユーザーではなく1つのロールに対して権限を付与または制限できるため、権限を効率的に管理できます。
EVERYONEロールとADMINISTRATORロールは、事前定義済ロールです。この権限は編集できますが、事前定義済ロールを削除したり、名前を変更することはできません。
ロールを作成するには、次のようにします。
グローバル・ナビゲータで、「セキュリティ」を開きます。
「セキュリティ」で、「ロール」を選択します。
ロールを右クリックして、「新規ロール」を選択します。
「Warehouse Builderロールの作成」画面で、「ロール名」を入力します。
「OK」をクリックします。
このロールを使用すると、すべてのユーザーの権限を容易に管理できます。新規ユーザーを登録すると、Oracle Warehouse Builderによって、そのユーザーにEVERYONEロールがデフォルトで割り当てられます。
Oracle Warehouse Builderの管理者は、次のような様々なセキュリティ・タスクを実行できます。
ユーザー・パスワードの変更
ユーザー・パスワードをOracle Warehouse Builderで変更することはできません。パスワードは、『Oracle Databaseセキュリティ・ガイド』の説明に従って、Oracle Databaseで直接変更します。
ユーザーとロールの削除
グローバル・ナビゲータで右クリックし、「削除」を選択すると、ユーザーを削除できます。リポジトリ所有者を除くすべてのOracle Warehouse Builderユーザーを削除できます。この操作を実行しても、Oracle Database内のユーザー・アカウントは削除も変更もされません。
デザイン・リポジトリ所有者を除くすべてのOracle Warehouse Builderユーザーを削除できます。Oracle Warehouse Builderからユーザーを削除しても、Oracle Databaseのユーザー・アカウントは削除も変更もされません。
ADMINISTRATORロールとEVERYONEロールを除くすべてのOracle Warehouse Builderロールを削除できます。Oracle Warehouse Builderからロールを削除しても、Oracle Databaseのロールは削除も変更もされません。
ロール名の変更
グローバル・ナビゲータで、ロールを右クリックして「名前の変更」を選択します。事前定義済のADMINISTRATORロールおよびEVERYONEロールを除いて、すべてのロールの名前を変更できます。
作成するロールごとに、名前の編集、オプションの説明の入力、既存のユーザーへの割当て、システム権限の指定が可能です。事前定義済のロールであるEVERYONEとADMINISTRATORについては、名前変更や説明の編集はできません。Oracle Warehouse Builderロールとデータベース・ロールは別個の構成であるため、Oracle Warehouse Builderロールを削除してもデータベースに影響はありません。システム権限の詳細は、「システム権限」を参照してください。
ロールのデフォルト・セキュリティ権限を変更するには:
グローバル・ナビゲータで、「セキュリティ」を開きます。
「セキュリティ」では、「ロール」を開きます。
編集するロールを選択して、右クリックします。このメニューから「開く」を選択します。
「ロールの編集: RoleName」ウィンドウで、次のいずれかを実行することができます。
「名前」: 名前自体を変更することはできません。ただし、この画面には編集可能な「説明」テキスト・フィールドがあります。
「ユーザー」: ユーザーを「使用可能なユーザー」リストから「権限受領者」リストに移動することで、様々なユーザーをロールに割り当てることができます。
システム権限: オブジェクト・システム権限(ACCESS_PUBLIC_VIEW_BROWSER、CREATE_PLATFORM、CREATE_PROJECT、またはCREATE_SNAPSHOT)およびコントロール・センターのシステム権限(CONTROL_CENTER_DEPLOYMENT、CONTROL CENTER_EXECUTION、またはCONTROL_CENTER_VIEW)で該当するボックスをチェックすることで、ロールにシステム権限を割り当てることができます。
編集が完了したら、「OK」をクリックします。
ロールは複数のユーザーに割り当てることができます。「使用可能なユーザー」リストに表示されていないユーザーにロールを割り当てる場合は、エディタを閉じ、グローバル・ナビゲータの「セキュリティ」ノードでユーザーを作成してから、そのロールを編集します。ユーザーを作成するには、「セキュリティ」ノードから「ユーザー」を右クリックして、「新規ユーザー」を選択します。ユーザーの作成と編集の詳細は、「データベース・ユーザーの登録」および「ユーザー・プロファイルの編集」を参照してください。
メタデータのオブジェクトへのアクセス権は、オブジェクト・ベースで付与または制限できます。
特定のメタデータ・オブジェクトのセキュリティ・プロパティを変更するには:
変更するメタデータ・オブジェクトを選択します。
この「表示」メニューから「セキュリティ」を選択します。
オブジェクトのセキュリティ権限を編集して、ロール・レベルかユーザー・レベルのいずれかで権限を付与したり、削除したりします。
変更を行う場合はすべて、「ファイル」メニューから、「すべて保存」を選択します。
変更内容を確認します。
「セキュリティ」タブを使用して、オブジェクトベースでメタデータ・セキュリティを定義できます。「セキュリティ」タブでメタデータのアクセス・コントロールを変更できるのは、オブジェクトへのFULL CONTROL権限が付与されているユーザーのみです。「例: セキュリティ・プロパティを使用したプロジェクト設計のフリーズ」に記載されているように、「セキュリティ」プロパティは、プロジェクトのライフサイクルを管理する上で重要です。
「デフォルトのオブジェクト権限」では特定のユーザーが作成するオブジェクトのメタデータ・セキュリティを定義しますが、「セキュリティ」タブでは、オブジェクトごとにそのメタデータ・セキュリティ・ポリシーをオーバーライドできます。たとえば、JANE_DOEがマッピングとプロセス・フローを作成した開発者であるとします。このJANE_DOEによって作成されたすべてのオブジェクトを、JOHN_DOEなどの別の開発者も利用できるようにするには、「デフォルトのオブジェクト権限」を使用します。ただし、JANE_DOEによって作成されたオブジェクトの一部のみをJOHN_DOEまたはTESTロールを持つすべてのユーザーが利用できるようにする場合は、デザイン・センターで各オブジェクトを検索して、そのセキュリティ・オプションを変更します。
完全なメタデータ戦略を適用するには、プロジェクト・ナビゲータ内のすべてのプロジェクトのセキュリティ・プロパティを編集します。デフォルトでは、EVERYONEロールにオブジェクトの全制御権限があります。EVERYONEロールの権限を変更してその制限を増やし、「セキュリティ設定の伝播」アイコンを選択して、その変更をすべての子に適用します。
子オブジェクトへのセキュリティ・プロパティの伝播
セキュリティ・プロパティをオブジェクトとそのすべての子に適用するには、「セキュリティ」タブの「伝播」を選択します。子オブジェクトを持たないオブジェクトを選択した場合は、このオプションは無効になります。
ユーザーがプロジェクトの設計を完了したら、そのプロジェクトの内容をフリーズすることが必要になる場合があります。次の手順を実行すると、プロジェクト内のオブジェクトを変更できるのは管理者のみになります。
プロジェクトの設計をフリーズする手順は次のとおりです。
管理者権限を持つユーザーとしてログオンします。
この「表示」メニューから「セキュリティ」を選択します。
「セキュリティ」タブで、管理者以外のすべてのユーザーとロールの権限を必要に応じて制限します。
「セキュリティ設定の伝播」アイコンをクリックします。
ユーザーがOracle Warehouse Builderで操作を実行しようとすると、Oracle Warehouse Builderでは、そのユーザーが操作の実行に必要な権限を持っているかどうかが最初に検証されます。表13-1に、Oracle Warehouse Builderでの操作の実行に必要な権限の一覧を示します。
表13-1 操作の実行に必要な権限
| Oracle Warehouse Builderの操作 | セキュリティ・チェック |
|---|---|
|
構成 |
ユーザーは、構成するオブジェクトに |
|
コピー |
ユーザーは、コピーするオブジェクトに |
|
オブジェクトの作成 |
ユーザーは、親に対して |
|
切取り |
ユーザーは、切り取るオブジェクトに |
|
削除 |
ユーザーは、削除するオブジェクトに |
|
デプロイ |
ユーザーは、 |
|
編集 |
ユーザーは、編集するオブジェクトに |
|
エクスポート |
ユーザーは、エクスポートするオブジェクトに |
|
生成 |
ユーザーは、生成するオブジェクトに |
|
インポート |
エクスポートするオブジェクトの |
|
移動 |
ユーザーは、切取り/貼付けの操作に必要な権限を所有している必要があります。 |
|
貼付け |
ユーザーは、オブジェクトのコピー先の親に対して |
|
改名 |
ユーザーは、名前を変更するオブジェクトに |
|
スナップショット: スナップショットの比較 |
別のスナップショットまたは他のリポジトリ・オブジェクトと比較するには、ユーザーは、比較元のスナップショットと、比較先のスナップショットまたはリポジトリ・オブジェクトに |
|
スナップショット: スナップショットのリストア |
スナップショットに基づいてオブジェクトをリストアするには、ユーザーは、そのオブジェクトに |
|
スナップショット: スナップショットを取る |
ユーザーは、スナップショットを作成するための |
|
ソースのインポート |
ユーザーは、インポートしたオブジェクトで置換するオブジェクトに |
|
インバウンドの同期化 |
ユーザーは、リポジトリ内のオブジェクトに |
|
アウトバウンドの同期化 |
ユーザーは、リポジトリ内のオブジェクトに |
|
検証 |
ユーザーは、検証するオブジェクトに |
Oracle Warehouse Builderのパスワードは、次の方法で管理できます。
Oracle Warehouse Builderデザイン・センターの起動時に表示されるログイン・ダイアログでは、前に使用されていた資格証明のリストが保持されます。これは、同一のワークスペースで頻繁に作業するデザイン・センターのユーザーに役立ちます。この機能によって、Oracle Warehouse Builderはログイン情報を記憶できます。
標準的なセキュリティの適用に合せて、Oracle Warehouse Builderリポジトリへのアクセスに使用するパスワードを定期的に変更できます。
デザイン・リポジトリにアクセスするパスワードの変更
デザイン・リポジトリへのパスワードは、他のOracle Databaseの場合と同様に管理します。
コントロール・センターにアクセスするパスワードの変更
コントロール・センターをホストし、デプロイメント環境となるリポジトリのパスワードを変更するには、最初にコントロール・センター・サービスを停止し、パスワードを変更するスクリプトを実行した後で、コントロール・センター・サービスを再起動する必要があります。
コントロール・センターをホストするリポジトリのパスワードを変更する手順は次のとおりです。
リポジトリ所有者としてコントロール・センターにログオンします。
スクリプトOWB_HOME/owb/rtp/sql/stop_service.sqlを実行してコントロール・センターを停止する必要があります。
スクリプトは、コントロール・センターのステータスを示す値(UnavailableまたはAvailable)を返します。
スクリプトOWB_HOME/owb/rtp/sql/set_repository_password.sqlを実行して、パスワードを変更します。
新しいパスワードを求められたら、指定します。
次のスクリプトを実行して、コントロール・センターを再起動します。
OWB_HOME/owb/rtp/sql/start_service.sql.
Oracle Warehouse Builderユーザーは、メタデータおよびデータを抽出またはロードするデータベース、ファイル・サーバーまたはアプリケーションごとに、ロケーションを作成します。このロケーションには、これらの様々なソースやターゲットへのアクセスに使用するユーザー名とパスワードが含まれています。Oracle Warehouse Builderでは、これらのパスワードを暗号化してリポジトリに格納できます。パスワード記憶域をオンまたはオフにするスイッチは、「メタデータにロケーション・パスワードを保持」です。これは、「デザイン・センター」の「ツール」→「プリファレンス」→「セキュリティ・パラメータ」にあります。
使用されるデフォルトの暗号化アルゴリズムはDES56Cで、Oracle9i以降のバージョンに対して有効です。リポジトリ・データベースのバージョンが10g以降の場合、OWB_HOME/owb/bin/admin/jdbcdriver.propertiesファイルを変更し、次の暗号化パラメータを指定することで、3DES168または他の強力な暗号化アルゴリズムに設定できます。
encryption_client; default = REQUIRED encryption_types_client; default = ( DES56C ) crypto_checksum_client; default = REQUESTED crypto_checksum_types_client; default = ( MD5 )
このプロトコルを機能させるには、サーバーをデフォルトのACCEPTEDモードに設定します。詳細は、『Oracle Database JDBC開発者ガイド』を参照してください。
