ヘッダーをスキップ

Oracle Business Intelligence Publisherユーザーズ・ガイド
リリース10.1.3.2
E05037-01		目次へ
目次		前のページへ
前へ		次のページへ
次へ

セキュリティ・モデルの定義

この章では、次のトピックについて説明します。

セキュリティ・モデルの概要

BI Publisherでは、次のセキュリティ・オプションが用意されています。

ローカル・スーパーユーザーの定義

BI Publisherでは管理者であるスーパーユーザーを定義することができます。スーパーユーザーの資格証明を使用して、定義されたセキュリティ・モデル経由でログインすることなく、BI Publisherサーバー管理機能に直接アクセスできます。

現在のセキュリティ設定に問題が発生したときにすべての管理機能にアクセスできるように、スーパーユーザーを設定します。

  1. 「管理」タブを選択します。

  2. 「セキュリティ・センター」「セキュリティ構成」を選択します。

  3. 「ローカル・スーパーユーザー」でチェック・ボックスを選択し、スーパーユーザーの資格証明を入力します。

ゲスト・アクセスの許可

BI Publisherでは、パブリック・アクセス・フォルダを設定することができます。すべてのユーザーは、資格証明を入力することなくこのフォルダのレポートにアクセスできます。

  1. 「管理」タブを選択します。

  2. 「セキュリティ・センター」「セキュリティ構成」を選択します。

  3. 「ゲスト・アクセス」で、「ゲスト・アクセスを許可」を選択し、システムの「ゲスト」フォルダの名前を入力します。

BI Publisherのユーザーおよびロールの理解

ユーザーには、1つまたは複数のロールが付与されます。ロールによって、フォルダおよび機能に対するユーザーのアクセス権限が定義されます。ロールは、アクセス権限が付与された1つまたは複数のフォルダに割り当てることができます。ロールを別のロールに割り当てることによって、ロールの階層を作成できます。この方法で、複数のロール権限を上位レベルのロールまでロールアップできます。次の図に、ユーザー、ロールおよびフォルダの階層構造の例を示します。

テキストで説明されている画像

機能ロール

BI Publisherには、アプリケーション内の特定のタスクに対してアクセス権限を付与するための機能ロールが5つ用意されています。ユーザーには、関連するタスクを実行する必要があるかどうかに基づいてロールを割り当てます。これらのロールは更新または削除できません。

次の表に、各機能ロールに付与されている権限を示します。

ロール 権限
割当てロールなし 表示(オンライン・レポートのみ)
BI Publisher Excelアナライザ 表示
履歴
Excelアナライザに対するアクセス権限の付与
BI Publisherオンライン・アナライザ 表示
履歴
アナライザに対するアクセス権限の付与
BI Publisherスケジューラ 表示
スケジュール
履歴
BI Publisherテンプレート・デザイナ 表示
履歴
Template Builderからのログオンの許可
BI Publisherデベロッパ 表示
履歴
編集
構成
フォルダとレポート・タスク
Template Builderからのログオンの許可
BI Publisher管理者 表示
編集
スケジュール
履歴
構成
フォルダとレポート・タスク
Excelアナライザ
オンライン・アナライザ
「管理」タブおよびすべての管理タスク
Template Builderからのログオンの許可

ユーザーおよびロールの設定

ユーザーおよびロールを設定するには、次の2つのオプションがあります。

ロールの作成

  1. 「セキュリティ・センター」から、「ロールと権限」を選択します。「セキュリティ・センター」ページが開きます。このページに、既存のロールと権限のリストが表示されます。

  2. 「ロールの作成」を選択します。

  3. 「ロール名」「説明」を入力し、「適用」を選択します。

  4. ロールに対してデータソースへのアクセス権限を付与します。詳細は、「データソースの設定」を参照してください。

ユーザーの追加

  1. 「セキュリティ・センター」から、「ユーザー」を選択します。「セキュリティ・センター」の「ユーザー」ページが開きます。このページに、既存のユーザーのリストが表示されます。

  2. 「ユーザーの作成」を選択します。

  3. ユーザーの「ユーザー名」「パスワード」を追加します。

ユーザーの更新

  1. 「セキュリティ・センター」から、「ユーザー」を選択します。「セキュリティ・センター」の「ユーザー」ページが開きます。このページに、既存のユーザーのリストが表示されます。

  2. ユーザー名を選択します。ユーザー名とパスワードの両方を更新できます。

ユーザーへのロールの追加

  1. 「セキュリティ・センター」から、「ユーザー」を選択します。「セキュリティ・センター」の「ユーザー」ページが開きます。このページに、既存のユーザーのリストが表示されます。

  2. ユーザーに対応する「ロールの割当て」アイコンを選択します。

  3. 「ロールの割当て」ページで、「使用可能なロール」リストからロールを選択し、「移動」シャトル・ボタンを選択して「割当済ロール」リストに移動します。すべてのロールの割当て終了後、「適用」を選択します。

ロールへのフォルダの追加

  1. 「セキュリティ・センター」から、「ロールと権限」を選択します。「セキュリティ・センター」ページが開きます。このページに、既存のロールと権限のリストが表示されます。

  2. 「フォルダの追加」アイコンを選択します。

  3. 「使用可能なフォルダ」リストから必要なフォルダを選択し、「移動」シャトル・ボタンを選択して「許可フォルダ」リストに移動します。

    フォルダは、ディレクトリ構造をシステムに設定するときに使用されることに注意してください。上位レベルのフォルダを選択すると、すべてのサブフォルダに対してアクセス権限が付与されます。サブフォルダのエントリを選択すると、そのサブフォルダへのアクセスのみが許可されます。

ロールへのデータソースの追加

  1. 「セキュリティ・センター」から、「ロールと権限」を選択します。「セキュリティ・センター」ページが開きます。このページに、既存のロールと権限のリストが表示されます。

  2. ロールに対応する「データソースの追加」アイコンを選択します。

  3. 「使用可能なデータソース」リストから「許可されたデータソース」リストに選択項目を移動します。

    このロールを持つユーザーは、「許可されたデータソース」リストにあるデータソースにアクセスするレポートのみを実行することが許可されます。

ロールへのロールの追加

  1. 「セキュリティ・センター」から、「ロールと権限」を選択します。「セキュリティ・センター」ページが開きます。このページに、既存のロールと権限のリストが表示されます。

  2. ロールに対応する「ロールの追加」アイコンを選択します。

  3. 「使用可能なロール」リストから必要なロールを選択し、「移動」シャトル・ボタンを選択して「含有ロール」に移動します。

ユーザーの削除に関する考慮事項

いずれかのセキュリティ・モデル(組込み、LDAP、E-Business SuiteまたはBI Server)においてユーザーを削除する場合、ユーザー・フォルダをリポジトリから削除します。管理者としてログインする場合、ユーザー・フォルダは「レポート」ページのUsers/<username>の下にあります。そのユーザー・フォルダを個別に削除しないと、新しいユーザーが同じユーザー名で作成された場合、その新しいユーザーは前のユーザー・フォルダのコンテンツにアクセスできます。

LDAPとの統合

BI Publisherは、ユーザーおよびレポート・アクセスを管理するためにLDAPサーバーと統合できます。LDAPサーバー内にユーザーとロールを作成し、LDAPサーバーにアクセスするようにBI Publisherサーバーを構成します。

BI Publisherのセキュリティ・センター・モジュールで、これらのロールにフォルダを割り当てます。サーバーにログインしたユーザーは、LDAPロールに割り当てられているフォルダおよびレポートにアクセスできます。

BI PublisherサーバーをOracle LDAPと統合する場合、3つの主要なタスクがあります。

  1. ユーザーおよびロールの設定

  2. LDAPサーバーが認識されるようにするためのBI Publisherの構成

  3. ロールへのレポート・フォルダおよびデータソースの割当て

これらのタスクは、Oracle Internet Directory(OID)Web UIまたはクライアント・アプリケーションを使用して実行できます。それぞれの方法について詳細に説明します。

クライアント・アプリケーションの使用

ユーザーおよびロールの設定

  1. Enterprise Security Managerログインを使用してLDAPサーバーにアクセスします。

    次の図に、「ディレクトリ・サーバー・ログイン」画面の例を示します。

    テキストで説明されている画像

  2. ロールを作成します。

    OracleDefaultDomainノードの下にある「エンタープライズ・ロール」ノードにナビゲートします。

    次の図に、「Enterprise Security Manager」画面の例を示します。

    テキストで説明されている画像

  3. ロールを作成するには、「エンタープライズ・ロール」ノードを選択し、「操作」メニューから「エンタープライズ・ロールの作成」を選択します。

    BI Publisherと統合するには、次のロールを作成する必要があります。必要な機能ロールの詳細は、「BI Publisherのユーザーおよびロールの理解」を参照してください。

    次の図に、「エンタープライズ・ロールの作成」ダイアログの例を示します。

    テキストで説明されている画像

  4. 実装内容に応じて、その他の機能ロール(例: HRマネージャ、倉庫担当者または営業マネージャ)を作成します。

    次の図に、複数のロールが定義された「Enterprise Security Manager」画面の例を示します。

    テキストで説明されている画像

  5. ロールをユーザーに割り当てます。

LDAPサーバーを認識するためのBI Publisherサーバーの構成

LDAPサーバーを認識するようにBI Publisherサーバーを構成するには、BI Publisherの「管理」インタフェースにおいてセキュリティ・プロパティを次のように更新します。

  1. 「セキュリティ構成」ページにナビゲートして、「管理」タブを選択します。「セキュリティ・センター」「セキュリティ構成」を選択します。

  2. 「セキュリティ・モデル」リージョンまでスクロールして、「セキュリティ・モデル」に「LDAP」を選択します。

  3. 次を入力します。

重要: セキュリティ・モデルの変更を有効にするには、サーバーを再起動する必要があります。

次の図に、「セキュリティ構成」ページにおけるLDAPセキュリティ・モデルの入力フィールドの例を示します。

テキストで説明されている画像

ロールへのフォルダおよびデータソースの割当て

  1. 管理者ロールでログインします。

  2. 「管理」タブにナビゲートします。「セキュリティ・センター」から「ロールと権限」を選択します。

    セキュリティ・マネージャ・アプリケーションで作成し、割り当てたロールが表示されます。次に注意してください。

  3. 「フォルダの追加」を選択し、ツリー・シャトルを使用してフォルダを特定のロールに追加します。「データソースの追加」を選択して、BI Publisherのデータソースをロールに追加します。そのデータソースからレポートを実行するには、データソースへのアクセス権限をロールに割り当てる必要があります。

これで、ユーザーはLDAPのユーザー名/パスワードを使用してログインでき、LDAPで設定されたロールに割り当てられているフォルダ内のレポートにアクセスできます。

OID Web UIの使用

  1. OIDにログインします。URLは通常、http://(AS host):(AS port)/oiddas/です。

  2. BI Publisherのユーザーを作成します。「ディレクトリ」タブを選択してから、「ユーザー」サブタブを選択します。その後、「作成」ボタンをクリックします。

    テキストで説明されている画像

  3. BI Publisherと統合するには、次のロールを作成します。必要な機能ロールの詳細は、「BI Publisherのユーザーおよびロールの理解」を参照してください。

    グループを作成するには、「グループ」サブタブを選択してから、「作成」をクリックします。

    テキストで説明されている画像

  4. ユーザーをグループに割り当てます。

    各グループを選択してから、「管理」をクリックします。その後、「編集」をクリックします。

    テキストで説明されている画像

  5. 「ユーザーの追加」ボタンをクリックして、ユーザーをグループに追加します。

    テキストで説明されている画像

Oracle Single Sign-Onの設定

この項では、Oracle Application Server 10g(OracleAS)でOracle Single Sign-Onを設定する方法について説明します。これらのガイドラインは、Oracle Application Server 10gリリース10.1.3に基づいて記述されています。

前提条件

設定手順

  1. SSOサーバーのホームページにナビゲートします。「SSO Server管理」を選択します。通常、URLはhttp://host:port/pls/orassoです。

  2. 「SSO Server管理」ページから、「パートナ・アプリケーション管理」を選択します。

  3. 「パートナ・アプリケーション管理」ページで「パートナ・アプリケーションの追加」を選択します。

  4. 「パートナ・アプリケーションの作成」ページの「パートナ・アプリケーションへのログイン」で、次の項目を入力し、「OK」を選択します。

  5. 処理が成功した場合は、「パートナ・アプリケーション管理」ページにエントリ「xmlpserver」が表示されます。「編集」アイコンを選択します。

  6. 「パートナ・アプリケーションの編集」ページの「シングル・サインオフURL」の値を書き留めてください。

    次の図に、「パートナ・アプリケーションの編集」ページの例を示します。

    テキストで説明されている画像

  7. アプリケーション・サーバーの構成ファイルを変更します。Application Server Control(ASC)にナビゲートします。「HTTPサーバー」を選択してから、「拡張サーバー・プロパティ」を選択します。

    次の図に、「拡張サーバー・プロパティ」ページの例を示します。

    テキストで説明されている画像

    mod_osso.confを選択し、ファイルを開いて編集します。サーバーを保護するには、次のように新規のLocationディレクティブを追加します。

    <!-- Protect xmlpserver -->
<Location /xmlpserver>
      require valid-user
      AuthType Basic
</Location>

  8. (オプション)SSOでサインオンしないユーザーがBI Publisherの「ゲスト」フォルダにアクセスできるようにするには、SSOトークンをチェックせずに「ゲスト」フォルダへの通信を許可するようにmod_osso.confファイルに追加の変更を行う必要があります。そのためには、次のディレクティブを追加します。

    <Location /xmlpserver/Guest/>
 require valid-user
     AuthType Basic
     Allow from All
     Satisfy any
</Location>

  9. Oracle BI Presentation Servicesと統合するには、BI Presentation ServicesサーバーとBI Publisherサーバー間におけるWebサービスのSSOを無効にする必要があります。

    xmlpserverを開いてWebサービスを許可するには、次のディレクティブをmod_osso.confファイルに入力します。

    <Location /xmlpserver/services/>
 require valid-user
     AuthType Basic
     Allow from All
     Satisfy any
</Location>

    BI Presentation Servicesサーバーを起動するために、同様の入力を行う必要があります。BI Publisher EnterpriseおよびOracle BI Presentation Servicesに必要な構成の詳細は、『Oracle Business Intelligence Enterprise Editionデプロイメント・ガイド』を参照してください。

    この項で説明しているエントリを含むmod_osso.confファイルの例を次に示します。

    LoadModule osso_module libexec/mod_osso.so

 <IfModule mod_osso.c>
     OssoIpCheck off
     OssoIdleTimeout off
     OssoConfigFile /home/as1013/ohome/Apache/Apache/conf/osso/osso.conf

   <Location /xmlpserver>
     require valid-user
     AuthType Basic
   </Location>

   <Location /xmlpserver/services>
     require valid-user
     AuthType Basic
     Allow from All
     Satisfy any
   </Location>

<Location /xmlpserver/Guest/>
 require valid-user
     AuthType Basic
     Allow from All
     Satisfy any
</Location>
 #
 # Insert Protected Resources: (see Notes below for how to protect resources)
 #


 #______-
 #
 # Notes
 #
 #______-
 #
 # 1. Here's what you need to add to protect a resource,
 #    e.g. <ApacheServerRoot>/htdocs/private:
 #
 #      <Location /private>
 #      require valid-user
 #      AuthType Basic
 #      </Location>
 #
 </IfModule>

 #
 # If you would like to have short hostnames redirected to
 # fully qualified hostnames to allow clients that need
 # authentication via mod_osso to be able to enter short
 # hostnames into their browsers uncomment out the following
 # lines
 #
 #PerlModule Apache::ShortHostnameRedirect
 #PerlHeaderParserHandler Apache::ShortHostnameRedirect

    次の図に、編集ページの例を示します。

    テキストで説明されている画像

  10. HTTPサーバーを再起動します。

  11. BI Publisherの「セキュリティ構成」ページで「シングル・サインオフURL」を設定します。

    「管理」タブで「セキュリティ構成」を選択します。「Oracleシングル・サインオン」リージョンで次を入力します。

  12. 「Application Server Control」ページでアプリケーションを再起動します。

  13. BI Publisher EnterpriseアプリケーションにアクセスするURLを入力します。SSOログイン・ページにリダイレクトされます。

    次の図に、SSOログイン・ページの例を示します。

    テキストで説明されている画像

Oracle E-Business Suiteセキュリティとの統合

BI PublisherではE-Business Suiteセキュリティを使用して、E-Business SuiteユーザーがE-Business Suite資格証明でBI Publisherにログインできます。E-Business Suiteセキュリティと統合すると、E-Business Suiteの職責はBI Publisherセキュリティ・センターのロールとして使用可能になります。BI Publisher固有のセキュリティを使用して、インポートされたロールや職責にBI Publisherレポート・フォルダを関連付けて、目的に応じてアクセスを許可できます。詳細は、「BI Publisherのユーザーおよびロールの理解」を参照してください。

注意: このリリースでは、ユーザーはE-Business Suiteインスタンスに保存されたレポートにアクセスしたり実行したりすることはできません。

BI PublisherでのE-Business Suiteセキュリティの設定

dbcファイルのアップロード

  1. Oracle E-Business Suiteで、システム管理者としてログインし、BI Publisherの機能ロールに対応するように次の職責を作成します。

  2. BI Publisherの新しい職責を適切なユーザーに追加します。

    注意: 必ず、XMLP_ADMINグループにユーザーを1人以上割り当ててください。

  3. BI Publisher Enterpriseにログインします。「管理」タブで「セキュリティ構成」を選択します。

  4. このページの「セキュリティ・モデル」セクションで、リストから「Oracle E-Business Suite」を選択します。

  5. dbcファイルをE-Business Suiteインスタンスからロードします。これは通常、$FND_SECUREディレクトリの下にあります。このファイルへのアクセス権限がない場合、E-Business Suiteシステム管理者に連絡してください。このファイルにより、BI PublisherがE-Business Suiteインスタンスにアクセスする方法を指定します。

  6. ローカルのスーパーユーザーをシステム用に作成することをお薦めします。これによって、変更が有効になるとすぐに管理ページにアクセスできるようになります。そのためには、「セキュリティ構成」タブの「ローカル・スーパーユーザー」セクションで、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択し、そのユーザーの名前とパスワードを入力します。

  7. BI Publisherサーバーを再起動して、セキュリティの変更を有効にします。

システムを再起動すると、E-Business Suiteのすべての職責は、BI Publisherセキュリティ・センターのロールとして表示できるようになります。フォルダをE-Business Suiteロールに追加します。

E-Business Suiteロールへのフォルダの追加

  1. 「管理」タブで「ロールと権限」を選択します。

  2. E-Business Suiteインスタンスからのすべての職責は、使用可能なロールとして表示されます。

  3. フォルダの追加先となる職責(ロール)を探してから、「フォルダの追加」を選択します。

これにより、EBSユーザーがEBS資格証明を使用してログインしたときに、その職責に追加されたフォルダおよびレポートにアクセスできるようになります。

Oracle BI Serverセキュリティとの統合

BI Publisherでは、Oracle BI Serverセキュリティとの統合が実現されます。これによって、BI PublisherユーザーをBI Server Administration Toolで管理できるようになります。これを実現するためには、BI Publisherの機能ロールをOracle BI Server Administration Toolにおいて定義し、ユーザーをそれらのグループに割り当ててから、Oracle BI SecurityをBI Publisherの「管理」インタフェースにおいてセキュリティ・モデルとして指定する必要があります。

注意: Oracle BIセキュリティの設定方法の詳細は、『Oracle Business Intelligence Server管理ガイド』を参照してください。

  1. BI Server Administration Toolで、BI Publisherの機能ロールに対応するように、次のグループを作成します。

  2. BI Server Administration Toolで、適切なユーザーをBI Publisherグループに追加します。

    注意: 必ず、XMLP_ADMINグループにユーザーを1人以上割り当ててください。

  3. BI Publisher Enterpriseアプリケーションで、管理権限を使用してログインし、「管理」タブで「セキュリティ構成」を選択します。

  4. このページの「セキュリティ・モデル」セクションで、リストから「Oracle BI Server」を選択します。BI Serverの次の接続情報を入力します。

  5. ローカルのスーパーユーザーをシステム用に作成することをお薦めします。これによって、変更が有効になるとすぐに管理ページにアクセスできるようになります。そのためには、「セキュリティ構成」タブの「ローカル・スーパーユーザー」セクションで、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択し、そのユーザーの名前とパスワードを入力します。

  6. BI Publisherサーバーを再起動して、セキュリティの変更を有効にします。

Oracle BI Serverロールへのフォルダの追加

  1. XMLP_ADMINロールを持つユーザーとしてBI Publisherにログインします。

  2. 「管理」タブで「ロールと権限」を選択します。

  3. Oracle BIインスタンスからのすべてのグループは、使用可能なロールとして表示されます。

  4. フォルダの追加先となるグループ(ロール)を探してから、「フォルダの追加」を選択します。

目次   |   前へ   |   先頭へ   |   次へ

Oracleロゴ
Copyright © 2005, 2006, Oracle. All rights reserved.