Oracle Business Intelligence Enterprise Editionデプロイメント・ガイド > Oracle Business IntelligenceへのSingle Sign-On製品の実装 > Oracle Business Intelligenceに対するSSO認証の有効化 >
偽装ユーザーを使用するためのOracle BI Presentation Servicesの構成
この構成を行うには、次の作業を実行します。
Oracle BI Serverの偽装ユーザーの作成
Oracle BI Presentation Servicesは、Oracle BIの偽装機能を使用して、認証されたエンド・ユーザーの代理としてOracle BI Serverへの接続を確立します。その場合、認証されたエンド・ユーザーの偽装を行うためにOracle BI Presentation Servicesが使用する特別なユーザーを作成する必要があります。このドキュメントでは、この特殊なユーザーを偽装ユーザーと呼びます。
注意: Oracle BI Serverには、他のユーザーに偽装できる特権ユーザーという概念があります。この機能は、SSOサポートを実装するために、様々な使用例でOracle BI Presentation Servicesによって使用されます。
偽装ユーザーは、Oracle BI Serverリポジトリに作成されます。偽装ユーザーがすでに作成されている場合は、新規に作成する必要はありません。次の手順に従って、偽装ユーザーをOracle BI Serverリポジトリに作成します。ユーザーを作成してグループのメンバーシップを付与する方法の詳細は、『Oracle Business Intelligence Server管理ガイド』を参照してください。
Oracle BI Serverの偽装ユーザーを作成するには
- Oracle BI Administration Toolを使用して、Oracle BI Serverのリポジトリ・ファイル(.rpd)を開きます。
- 「Manage」→「Security」を選択して、Security Managerを表示します。
- 「Action」→「New」→「User」を選択して、「User」ダイアログ・ボックスを開きます。
- このユーザーの名前とパスワードを入力します。
たとえば、「Name」には「Impersonator」と入力し、「Password」には「secret」と入力します。
- 「OK」をクリックして、ユーザーを作成します。
- このユーザーをAdministratorsグループのメンバーにするには、作成されたユーザーのアイコンをダブルクリックします。
- ダイアログ・ボックスの「Group Membership」で「Administrators」グループを選択し、前述の手順で作成されたユーザーに対してこのグループのメンバーシップを付与します。
Oracle BI Presentation Services資格証明ストアへの偽装ユーザーの資格証明の追加
認証されたエンド・ユーザーの偽装を行う目的で前述の手順で作成した偽装ユーザーを、Oracle BI Presentation Servicesが使用できるようにするには、偽装ユーザーを識別して偽装ユーザーの資格証明を取得できるようにする必要があります。偽装ユーザーの資格証明は、Oracle BI Presentation Servicesの資格証明ストアに追加する必要があります。偽装ユーザーの資格証明を取得する場合、Oracle BI Presentation Servicesでは資格証明ストアにおいてユーザー名とパスワードの資格証明が偽装の別名で検索されます。
BI Presentation Services資格証明ストアとサポート対象ストレージ・システムの詳細は、「Oracle BI Presentation Servicesの資格証明ストア」を参照してください。
次の手順に従い、偽装の別名を使用して、credentialstore.xmlという資格証明ストアに偽装ユーザーの資格証明を追加します。credentialstore.xmlファイルのデフォルトの場所は、WindowsではOracleBIData_HOME\web\config、LinuxまたはUNIXではOracleBIData_HOME/web/configです。
偽装ユーザーの資格証明をOracle BI Presentation Services資格証明ストアに追加するには
次の手順は、資格証明ストアが、BI Presentation Servicesの専用XMLファイル・ストアであることを想定しています。資格証明は、Javaキーストアまたはカスタム・ストアに格納することもできます。
- Oracle BI Presentation Servicesがインストールされているマシンで、コマンド・プロンプト・ウィンドウまたはコマンド・シェルを開きます。
- WindowsではOracleBI_HOME\web\binディレクトリ、LinuxまたはUNIXではOracleBI_HOME/web/binディレクトリに移動します。ここにCryptoToolsユーティリティがあります。
- 次のように、CryptoToolsユーティリティを実行して、偽装ユーザーの資格証明をOracle BI Presentation Services資格証明ストアに追加します。
cryptotools credstore -add -infile <OracleBIData>/web/config/credentialstore.xml
CryptoToolsユーティリティ、その構文およびサポートされているサブコマンドの詳細は、「CryptoToolsユーティリティの使用」を参照してください。
- 要求されたパラメータに対し、次の表に示すように値を入力します。
|
|
|
Credential Alias |
impersonation |
ユーザーを偽装ユーザーとして識別するには、値impersonationを指定します。 |
Username |
<ユーザーの名前> |
「Oracle BI Serverの偽装ユーザーの作成」で作成されたユーザーの名前です。たとえば、「Impersonator」と入力します。 |
Password |
<ユーザーのパスワード> |
「Oracle BI Serverの偽装ユーザーの作成」で作成されたユーザーのパスワードです。たとえば、「secret」と入力します。 |
Do you want to encrypt the password? |
y |
|
Passphrase for encryption |
<パスフレーズ> |
パスフレーズを指定します。たとえば、「another_secret」と入力します。 |
Do you want to write the passphrase to the xml? |
n |
|
次に例を示します。
cryptotools credstore -add -infile <OracleBIData>/web/config/credentialstore.xml >Credential Alias: impersonation >Username: Impersonator >Password: secret >Do you want to encrypt the password? y/n (y): >Passphrase for encryption: another_secret >Do you want to write the passphrase to the xml? y/n (n): >File "<OracleBIData>/web/config/credentialstore.xml" exists. Do you want to overwrite it? y/n (y):
CryptoToolsユーティリティを実行することにより、credentialstore.xmlファイルが更新されます。CryptoToolsユーティリティを前述のように入力して実行すると、credentialstore.xmlファイルには、次の例のようなエントリが含まれます。
<sawcs:credential type="usernamePassword" alias="impersonation"> <sawcs:username>Impersonator</sawcs:username> <sawcs:password> <xenc:EncryptedData> <xenc:EncryptionMethod Algorithm="http://www.rsasecurity.com/rsalabs/pkcs/schemas/pkcs-5#pbes2"> <pkcs-5:PBES2-params Algorithm="http://www.rsasecurity.com/rsalabs/pkcs/schemas/pkcs-5#pbkdf2"> <pkcs-5:KeyDerivationFunc> <pkcs-5:Parameters> <pkcs-5:IterationCount>1024</pkcs-5:IterationCount> </pkcs-5:Parameters> </pkcs-5:KeyDerivationFunc> <pkcs-5:EncryptionScheme Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc"/> </pkcs-5:PBES2-params> </xenc:EncryptionMethod> <xenc:CipherData> <xenc:CipherValue>jeThdk8ZklnTlyKIat8Dkw</xenc:CipherValue> </xenc:CipherData> </xenc:EncryptedData> </sawcs:password> </sawcs:credential>
注意: BI Presentation Servicesのインスタンスがデプロイに複数ある場合、あらゆるBI Presentation Servicesインスタンスの資格証明ストアに、偽装ユーザーの資格証明を追加する必要があります。または、資格証明が更新された資格証明ストアを、各BI Presentation Servicesマシンにコピーすることもできます。各BI Presentation Servicesのinstanceconfig.xmlファイルで資格証明ストアの場所を指定する必要があります。
資格証明ストアと復号化パスフレーズを識別するためのOracle BI Presentation Servicesの構成
Oracle BI Presentation Servicesでは、偽装ユーザーの資格証明が格納された資格証明ストアにアクセスする必要があります。そのためには、Oracle BI Presentation Servicesの構成ファイルであるinstanceconfig.xmlでパラメータを設定します。また、Oracle BI Presentation Servicesが偽装ユーザーのパスワード資格証明を復号化するために使用するパスフレーズも指定する必要があります。
資格証明ストアと復号化パスフレーズを識別するためにOracle BI Presentation Servicesを構成するには
- instanceconfig.xmlファイルを開いて編集します。
- このファイル内で<CredentialStore>ノードを探します。
属性値を、次に示すように指定します。<CredentialStore>ノードが存在しない場合は、次の例に示すように、サブ要素とともにこの要素を作成し、属性値とともに属性を作成します。
<WebConfig> <ServerInstance> <!-- other settings ... --> <CredentialStore> <CredentialStorage type="file" path="<path to credentialstore.xml>" passphrase="<passphrase>"/> <!-- other settings ... --> </CredentialStore> <!-- other settings ... --> </ServerInstance> </WebConfig>
表12に、CredentialStorage要素の属性と属性値の要約を示します。instanceconfig.xmlファイルのCredentialStore要素とCredentialStorage要素の詳細、およびXMLファイル・ストア以外の資格証明ストアを使用する場合の設定の詳細は、「Oracle BI Presentation Servicesの資格証明ストア」を参照してください。
表12. CredentialStorage要素の属性
|
|
|
type |
file |
これは、資格証明ストアのタイプを指定します。独自のXMLファイル用資格証明ストアの場合、fileに設定します。 |
path |
<XMLファイル用資格証明ストア(credentialstore.xml)へのパス> |
XMLファイル用資格証明ストアの場所とファイル名です。たとえば、OracleBIData_HOME/web/config/credentialstore.xmlのように指定します。 |
passphrase |
<パスフレーズ> |
暗号化されたファイルを復号化するために使用するパスフレーズを指定します。「Oracle BI Presentation Servicesの資格証明ストアへの偽装ユーザーの資格証明の追加」の手順4で入力した値を指定します。この例では、「another_secret」という値を指定します。 |
前述の手順で示した変更を行うと、instanceconfig.xmlには、次の例に示すエントリが含まれます。
<?xml version="1.0"?>
<WebConfig> <ServerInstance> <!-- other settings ... --> <CredentialStore> <CredentialStorage type="file" path="<OracleBIData>/web/config/credentialstore.xml" passphrase="another_secret"/> <!-- other settings ... --> </CredentialStore> <!-- other settings ... --> </ServerInstance> </WebConfig>
注意: credentialstore.xmlファイルとinstanceconfig.xmlファイルはどちらも、OSファイル・システムの保護機能を使用して保護する必要があります。これらのファイルを組み合せると、権限が付与されたユーザーのパスワードが読み取られる危険性があるためです。そのどちらか一方のファイルでは、パスワードの解読に使用される情報は十分ではありません。
|