ヘッダーをスキップ

Oracle E-Business Suiteメンテナンス・ガイド
リリース12.2
E51768-01
目次へ
目次
前のページへ
前へ
次のページへ
次へ

Oracle E-Business Suite Secure Enterprise Searchの使用および管理

Oracle E-Business Suite Secure Enterprise Searchの概要

Oracle E-Business Suite Secure Enterprise Searchは、Oracle E-Business Suite全体で一貫性のあるユーザー・インタフェースを備えたセキュアな集中型検索エンジンです。Oracle Secure Enterprise Search(SES)を利用することにより、Oracle E-Business Suite Secure Enterprise Searchではセキュリティ情報およびコンテキスト依存情報を損なうことなく、アプリケーション・コンテンツに対し強力なキーワード検索を素早くユーザー・フレンドリに実施できます。

ユーザーがアプリケーション・コンテンツを検索できるようにするには、Oracle SESでまず検索可能オブジェクトを設定し、セキュアなコンテキストで検索可能オブジェクトを構成し、全文検索エンジンに検索可能オブジェクトを索引付けして、問合せの準備を整える必要があります。この目的を達成するために、Oracle E-Business Suite Secure Enterprise Searchでは柔軟性のあるメカニズムを使用して、これらの検索可能オブジェクトを分析し、関連するオブジェクトをカテゴリにグループ化し、それらに関するセキュリティ・ルールを作成して、容易でセキュアな検索および結果の迅速な表示を実現しています。

実際、検索可能オブジェクトはテキスト検索に使用可能なビジネス・オブジェクトです。たとえば、発注は他の検索可能オブジェクトとの関連とともに検索可能プロパティまたはビジネス属性のセットとして定義できる検索可能オブジェクトです。この抽象化により、検索可能オブジェクトを実行時に別のコンテキストにバインドし、検索可能カテゴリにグループ化できます。

検索可能オブジェクトは、検索可能属性とともに作成されます。これらの属性により、オブジェクトを索引付けし、セキュリティ・ルール付きで適用し、構造化された検索結果とともに表示できます。ユーザーが問い合せる前に、検索管理者が適切なデータ・アクセス権限をユーザーに付与して、アプリケーション機密データを無許可アクセスから保護したうえで、これらのオブジェクトをOracle SESインスタンスに配置します。

クロール時に、Oracle SES検索エンジンは特定のビジネス・オブジェクト・タイプのクロール・ジョブを開始します。オブジェクト・タイプに基づいて、検索可能なビジネス・オブジェクトまたは属性が取得され、索引付けされ、Oracle SES索引ストアに格納されます。

問合せ時に、ユーザーが集中型ユーザー・インタフェースを介して検索を実行すると、クロール時に索引を使用して前処理された多数のオブジェクトまたはメタデータが含まれている、事前に索引付けされたストアが検索されます。セキュリティ・ルールに従って実施された結果が問い合せられ、ユーザーに検索結果として表示される一致結果が作成されます。

Oracle E-Business Suite Secure Enterprise Searchの主要な機能は次のとおりです。

Oracle E-Business Suite Secure Enterprise Searchの理解が深まるよう、この項では次のトピックについて説明します。

Oracle E-Business Suite Secure Enterprise Search関連の用語および定義

Oracle E-Business Suite Secure Enterprise Searchを深く理解し、効果的に管理できるように、この項ではOracle E-Business Suite Secure Enterprise Searchで使用されている関連用語とその定義について説明します。

検索可能オブジェクト

検索可能オブジェクトはテキスト検索に使用可能なビジネス・オブジェクトで、ビジネス・データを検索エンジンに公開するために抽象的に使用されます。たとえば、検索可能オブジェクトとしての発注は検索可能プロパティおよび他の検索可能オブジェクトとの関連のセットとして定義されます。

検索カテゴリ

関連する検索可能オブジェクトは検索カテゴリにグループ化でき、検索可能グループとも呼ばれます。

Oracle E-Business Suite Secure Enterprise Searchでは、ロール・ベースのアクセス管理(RBAC)モデルを利用して、検索可能グループを権限セットに関連付け、グループ・アクセス権限を承認済ユーザーに付与します。

検索コンテキスト

バインディング情報は、検索エンジンに固有である場合があります。検索サービスを開くためには、Oracle E-Business Suite Secure Enterprise Searchで検索エンジン内部を抽象化し、検索エンジンを配置時に相互に置き換え可能なサービスにする必要があります。

検索コンテキストは、検索可能オブジェクトに対して検索サービスが提供されるアプリケーションです。

検索エンジン

検索エンジンは、リソースに対するテキスト検索の必要性をカプセル化したアプリケーションまたはサービスです。明確に定義された多数のサブモジュールを使用して、必要なタスクを実行します。Oracle E-Business Suite Secure Enterprise Searchにとって、Oracle SESは検索サービスを実現する検索エンジンです。

クローラ

クローラは、特定のデータソースのコンテンツを取得するために検索エンジンによって使用されるソフトウェア・エージェントです。

インデクサ

インデクサは、クロールされた各文書から索引を作成するために検索エンジンによって使用されるソフトウェア・モジュールです。

特定のデータソース用に索引が作成されると、索引はWebサービスAPIセットを介した検索に使用できます(サーチャ・インタフェース)。

サーチャ

サーチャは、事前にクロールされ、索引付けされたストアに外部ユーザーが問い合せることができるようにするソフトウェア・モジュールです。キーワードおよび条件を文書と照合し、ユーザーに返す役割を果たします。

セキュリティ・プラグイン

アプリケーション情報への無許可アクセスを保護するには、セキュリティ・プラグインを使用してオブジェクト・レベルで検索セキュリティを適用します。セキュリティ・プラグインは、文書に対するアクセス管理リスト(ACL)を生成し、ユーザーのセキュリティ・キーをフェッチするというセキュリティ・メソッドを実装したJavaクラスです。

ACLはオブジェクトに添付された権限のリストで、誰または何に対してオブジェクトへのアクセスが許可され、どの操作が実行可能であるかが指定されています。Oracle SES認可プラグインは、ACLベースのセキュリティ・モデルおよび文書のセキュリティ・キーに基づいて機能し、ユーザーの承認や検索結果へのアクセスの取消しを行います。

ユーザー認可キャッシュ(UAC)

このOracle SES機能は、Oracle E-Business Suiteの特定のユーザー、特定のデータソースまたは検索オブジェクトに対するセキュリティ・キーをOracle SESにキャッシュできるようにするフレームワークです。

Oracle SESからこのフレームワークを利用することにより、ユーザーが検索を実行したときに、そのユーザーのセキュリティ・キーがないか、まずUACが検索されます。キーが見つからない場合は、問合せ中に同期してセキュリティ・キーがフェッチされます。

クエリー・リライト

クエリー・リライトはプラグイン・コンポーネントを介して提供される機能で、問合せを検索エンジンに送信する前にセキュリティなど現在のユーザー・コンテキストを反映するために問合せをリライトできます。

データ・セキュリティ

データ・セキュリティは、Oracle E-Business Suite内の多くのアプリケーションで使用されている汎用的な認可モデルです。セキュリティ付与を介してアプリケーション・データでユーザーが参照可能な内容を制御します。

機能セキュリティ

機能セキュリティは、Oracle E-Business Suiteの基本的なアクセス管理です。行内のアプリケーション・データに関係なく、システム内の個々のメニューおよびメニュー・オプションへのユーザー・アクセスを制限します。

Oracle E-Business Suite Secure Enterprise Searchでは、機能セキュリティ機能を使用して、メニュー経由のアプリケーション・コンテンツ・アクセスおよび各アプリケーション・ユーザーに割当済の職責を保護します。

アーキテクチャの概要

Oracle E-Business Suite Secure Enterprise Search開発フレームワークによって、検索メタデータから検索可能オブジェクトが確立されます。その後、この検索メタデータはクロール時に検索の実施とデータの格納に使用され、問合せ時に結果の限定に使用されます。

次のアーキテクチャ・ダイアグラムに、検索可能オブジェクトの定義にメタデータを使用する方法、およびOracle E-Business Suite Secure Enterprise SearchとOracle SESとの対話を示します。

アーキテクチャ・ダイアグラム

本文の説明内容に関するイメージ

検索可能属性を持つビジネス・オブジェクトが、検索可能なメタデータになります。Oracle E-Business Suite Secure Enterprise SearchがSES文書ビルダーを利用してこの検索可能メタデータまたはオブジェクトを構築し、複雑な業務体系が1つのフラットな検索可能文書に含まれる場合もあります。この文書はSES文書とも呼ばれます。

検索管理者がロールまたは職責を介してセキュリティ付与を作成し、検索可能オブジェクトの保護に必要なセキュリティ・プラグインを作成します。

検索管理者またはシステム管理者が、Oracle E-Business Suite Secure Enterprise SearchとOracle SESの両方で必要なOracle SESプロキシ・パラメータおよび設定タスクを構成します。これによって、Oracle SESではOracle E-Business Suite(EBS)をクロールでき、Oracle E-Business SuiteではOracle SESを問い合せることができます。

アプリケーション・ユーザーがアプリケーション・インタフェースを介して検索を実行すると、SESの事前に索引付けされた検索ストアに対して検索を実施することで問合せが行われます。

設計時

設計フェーズでは、検索可能属性を持つ検索可能オブジェクトが検索モデラーに作成され、検索メタデータとしてOracle E-Business Suiteにロードされます。これらの属性により、検索可能オブジェクトを索引付けし、セキュリティ・ルール付きで適用し、構造化された検索結果とともに表示できます。

検索管理者は、Oracle SESにオブジェクトを配置する前後にロールまたは職責を介して適切なデータ・アクセス権限をユーザーに付与して、無許可アクセスからアプリケーション機密データを保護します。その後、Oracle SES管理者は配置されたデータソースを特定のオブジェクト・タイプに対してクロールし、索引付けできるように、クロール・スケジュールを管理します。

注意: 検索可能オブジェクトが配置されると、クロール・スケジュールがOracle SESにデータソースとともに自動的に作成されます。クロール・スケジュールの管理方法の詳細は、「Oracle SESでのクロールの管理」を参照してください。

次の図に、設計時の対話フローを示します。

設計時プロセス・ダイアグラム

本文の説明内容に関するイメージ

  1. 検索管理者が、検索可能オブジェクトをデータソースとしてOracle SESに配置する前後に、ロールまたは職責を介してユーザーへのセキュリティ付与を作成します。

  2. Oracle SES管理者が、データソースが含まれているクロール・スケジュールを管理します。

  3. クローラ・マネージャが、スケジュールに基づいてクロールのデータソースを選択します。

検索モデラーで検索可能オブジェクトを作成する方法の詳細は、My Oracle Supportナレッジ・ドキュメント781366.1の「Search Modeler 1.1 for Oracle E-Business Suite Readme」から入手できるOracle E-Business Suite検索モデラー・ユーザー・ガイドの検索可能オブジェクトの作成に関する項を参照してください。

クロール時

満足できる検索結果をすぐに得るには、クロールおよび索引付けが的確な検索に欠かせない作業です。クロール時に、分散された複数のクローラによってクロールが行われます。Oracle SESクローラは、設定済スケジュールによって有効化されるJavaプロセスです。有効化されると、クローラは様々なソースからの情報のフェッチと文書の索引付けを行う構成可能な数のプロセッサ・スレッドを生成します。この索引はソースの検索に使用されます。

クローラの中には、Oracle E-Business Suiteユーザーをクロールし、Oracle SESにユーザー文書を提供するように設計されているものがあります。続いてOracle SESによって認可プラグインが起動され、Oracle E-Business Suiteソース・タイプに関してクロールされたユーザーごとに文書セキュリティ・アクセス・キーが生成されます。これらのキーは、承認済ユーザーおよび特定の検索可能オブジェクトやデータソース向けにキャッシュされます。ユーザーが検索を実行すると、これらのキャッシュ済のセキュリティ・アクセス・キーが使用されるため、セキュリティが確保されたうえで即座に検索結果が得られます。

索引付け可能な文書のクロール時

クロール・スケジュールに含まれたデータソースとして検索可能オブジェクトがOracle SESに配置されると、Oracle SESによってクロール・ジョブがOracle E-Business Suiteで開始されます。クロール可能なOracle E-Business Suiteとは、Oracle SESに対してクロール可能なセキュアなエンド・ポイントのことです。これによって、アプリケーション・データをクロールし、索引付けしてOracle SESストアに格納できます。次の図に、Oracle SESクローラ・タスクの対話フローを示します。

索引付け可能な文書のクロール時の対話図

本文の説明内容に関するイメージ

  1. Oracle SESがRSSクローラ・マネージャを初期化します。

  2. Oracle SESクローラ・マネージャが、事前に構成された数のクローラ・スレッドを生成して初期化します。

  3. Oracle SESがクローラを開始します。

    注意: クローラによってリンクがマップされ、関係が分析されます。クロール中に埋込みの非HTML文書または非テキスト文書を検出するたびに、クローラは文書タイプを自動的に検出し、文書をフィルタリングして索引付けします。

  4. クローラ・スレッドが、URLキューからクロール可能なURLを取得します。URLキューには、ステップ5に説明するようにcontrolFeedメカニズムを使用してデータが格納されています。

  5. クローラ・スレッドが、oafmコンテナに登録されたサーブレットであるOracle E-Business Suiteクロール・エンド・ポイントを問い合せます。

    要求は、http(s)://<ebs apache host>:<web host>/webservices/AppSearch/[ConfigFeed | ControlFeed | DataFeed]/Search Object Name>?user<ebs user having FND_SEARCH_CRAWLER resp>&password=<password>というように、URLパラメータが指定されたPOST要求となります。

    注意: ConfigFeedおよびControlFeedは、事前に構成されたサイズの複数のバッチにクロール可能なURLを生成するためのクロール・メカニズムで、クロールを並行して進めることができるようになります。これらは、Oracle SESに初期URLキューを生成する場合に使用されます。

    DataFeedは実際のクロール要求で、図に示されています。

  6. クロール要求を受信すると、Oracle E-Business Suiteクロール可能エンド・ポイントがクロール可能ファクトリを初期化します。クロール可能ファクトリの用途は、Oracle E-Business Suiteデータベースからコンテンツをフェッチすることです。

    クロール可能ファクトリは、ADパラレル更新パッケージを介して元のアプリケーション・コンテンツの大規模データセットをより小さな作業単位に分割し、Oracle SESが備えるマルチスレッド・クロール・メカニズムを使用してその単位を並行してクロールする役割も担うことに注意してください。

    注意: クロール可能ファクトリは、初期クロールが行われた場所です。初期クロールとは、検索可能オブジェクトが初めてクロールされたことを言います。

  7. コンテンツ変更ログにより、索引付けされたアプリケーション変更がクロール可能ファクトリに提供されます。

  8. 検索メタデータがクロール可能ファクトリにロードされます。

  9. クロール可能ファクトリが、索引付けベンダーから提供されるスキーマに準拠したクロール可能文書を作成します。

  10. 索引付け可能な文書の作成中、検索可能オブジェクト定義に関連付けられた検索プラグインを使用して文書ごとにアクセス管理リスト(ACL)がフェッチされます。ACLを生成するために検索プラグインのgetAcl()メソッドおよびgetSecureAttrAcl()メソッドが起動されます。

    セキュリティ・プラグインの詳細は、「検索セキュリティ・プラグイン」を参照してください。

  11. 検索/索引付けエンジンで文書を使用する準備が完了します。

  12. Oracle E-Business Suiteクローラ・スレッドが文書を選択します。

  13. ステップ5に示されたクロール要求に応えて、Oracle E-Business Suiteエンド・ポイントURLを介してRSSフィード形式の索引付け可能な文書がOracle SESに渡されます。

    これらの文書はOracle SESクロール可能スキーマに準拠しており、次の情報が記載されています。

  14. 文書の取得時に、Oracle SES索引付けエンジンがOracle E-Business Suiteから受信したRSSフィードを分析し、隣接URLをURLキューに格納します。

    通常、Oracle E-Business Suiteの隣接URLは添付フェッチURLです。

  15. Oracle SES索引付けエンジンが、キーワードを抽出することで、文書をOracle SESで読込み可能な形式に変換します。

  16. 最後に、索引付けプロセスが文書に索引付けします。

    索引付けされた文書は、Oracle SESのクロール済索引ストアに格納されます。

ユーザー認可キャッシュ・ソースのクロール時

ユーザー問合せ中に承認済ユーザーのセキュリティ・キーを同期してフェッチする際の検索応答時間を短縮するために、特定のユーザーおよび検索可能オブジェクトやデータソースのキャッシュ済セキュリティ・キーが事前にクロールされてOracle SESに格納され、問合せ時に直接使用されます。キャッシュ済アクセス・キーを使用して問合せ時にユーザーの文書アクセス権限を認可するこのソリューションは、Oracle SESユーザー認可キャッシュ(UAC)機能から利用されます。この機能の詳細は、「ユーザー認可キャッシュ」を参照してください。

注意: 機密性が高いアプリケーション・データを無許可アクセスから保護するには、検索可能オブジェクトに添付されたセキュリティ・プラグインを利用してアクセス管理リスト(ACL)およびセキュリティ・キーを生成し、オブジェクト・レベルでセキュリティを適用します。

ACLはオブジェクトに添付された権限のリストで、誰または何に対してオブジェクトへのアクセスが許可され、どの操作が実行可能であるかが指定されています。セキュリティ・キーは、ユーザーが事前に作成されたACLと照合してユーザー権限に基づいて特定の文書にアクセスできるようにするために生成されます。

セキュリティ・プラグインの詳細は、「検索セキュリティ・プラグイン」を参照してください。

次の図に、Oracle E-Business Suiteユーザー認可キャッシュ(UAC)ソースを対象としたOracle SESクローラ・タスクの対話フローを示します。

ユーザー認可キャッシュ・ソースのクロール時の対話図

本文の説明内容に関するイメージ

UACソース用のこの対話図は、索引付け可能な文書のクロール・タスクに似ています。この2つの大きな違いは次のとおりです。

このクロール・プロセスによって、事前定義済のユーザー認可キャッシュ・ソース・タイプ用にセキュリティ・キーをOracle SESにキャッシュする必要があるOracle E-Business Suiteユーザーのリストが生成されます。

オフラインでのセキュリティ・キーのフェッチ

ユーザーに検索結果を素早く返し、キー導出のアプリケーション・ロジックが複雑であるために問合せ中にセキュリティ・キーのフェッチが同時にタイムアウトする可能性を排除するために、Oracle SESからユーザー認可キャッシュ・フレームワークを利用して、ユーザー・セキュリティ・キーをオフライン・プロセスとして生成できます。

次の図に、セキュリティ・キーをオフラインでフェッチするための対話フローを示します。

セキュリティ・キーをオフラインでフェッチするための対話図

本文の説明内容に関するイメージ

  1. クロールされたUACソースが、Oracle E-Business Suiteからユーザーおよび関連付けられたデータソースを取得します。

    各ユーザーおよびデータソースに基づいて、認可プラグインが起動されます。

  2. 認可プラグインがID管理を問い合せて、セキュリティ・キー・フェッチ・プロセスを開始します。

  3. ID管理プラグインが、要求をOracle E-Business Suiteセキュリティ・サービス・エンド・ポイントに送信して、Oracle E-Business Suiteユーザーおよびデータソース(つまり、Oracle E-Business Suiteの検索オブジェクト)のセキュリティ・キーをフェッチします。

    要求の形式は、http://<ebs server>:<port>/AppSearch/SecurityService?user=<proxy user>&password=<proxy password>になります。

    セキュリティ・キーの要求対象であるユーザーが含まれているXMLメッセージおよび検索オブジェクト名が転記されます。

  4. セキュリティによって、プロキシ・セッションおよびアプリケーション・コンテキストが確立されます。Oracle SESが要求とともに転記するプロキシ・ユーザー名およびパスワードに対して資格証明が検証されます。

    セキュリティ・キーの要求対象である実際の検索ユーザーにかわってセッションが信頼されるか、または更新されます。

  5. セキュリティ・サービス・エンド・ポイントによって検索プラグインが起動されてセキュリティ・キーが生成されます。これは同じプロキシ・セッションで実行されます。

  6. getSecurityKeys()メソッドおよびgetSecureAttrKeys()メソッドが実行されて、プロキシ・コンテキストのセキュリティ・キーが生成されます。

    コンテキストは常に不完全であるため、セキュリティ・プラグインがこのようなシナリオを認識する必要があります。

  7. セキュリティ・サービス・エンド・ポイントは、要求されたユーザーのセキュリティ・キーを送信することで、ステップ3に示された要求に応答します。

  8. 認可プラグインがセキュリティ・キーを受信します。

  9. 特定のユーザーおよび特定の検索オブジェクトやデータソースのセキュリティ・キーがキャッシュされます。

問合せ時

アプリケーション・ユーザーが集中型検索ユーザー・インタフェースから検索を実行すると、Oracle SESの事前に索引付けされたストアに対して実際に問合せが行われます。

検索可能グループ・セキュリティ・ルールおよび検索プラグイン・セキュリティは、ユーザー問合せに対して適用されることに注意することが重要です。検索可能グループ・セキュリティの場合、あらゆる検索可能グループが参照可能でユーザーに表示されるとはかぎりません。グループ・アクセス権限を持つユーザーのみが、検索選択用の値リストからグループ名を確認できます。検索プラグイン・セキュリティの場合、クロール時および問合せ時に使用してACLをフェッチし、セキュリティ・キーを生成してアプリケーション・データへの無許可アクセスを保護できます。

検索可能グループ・セキュリティおよびセキュリティ・プラグインを利用して検索可能オブジェクトを保護する方法の詳細は、「検索可能オブジェクトの保護」を参照してください。検索の実行方法については、Oracle E-Business Suiteユーザー・ガイドを参照してください。

Oracle E-Business Suiteからの問合せ

Oracle E-Business Suite集中型検索ユーザー・インタフェースから検索を実行できます。

次の図に、Oracle E-Business Suiteを利用して検索を実行する際の問合せ時の対話フローを示します。

Oracle E-Business Suiteからの問合せ時の対話フロー

本文の説明内容に関するイメージ

  1. ユーザーがOracle E-Business Suiteにログオンします。ユーザーのアプリケーション・コンテキストの初期化とともにプロキシ・セッションが作成されます。

    ユーザーが職責を選択したかどうかに応じて、この段階でアプリケーション・コンテキストが不完全である場合があります。

  2. ユーザーがOracle E-Business Suite Secure Enterprise Searchツールバーにアクセスし、同じセッションおよびコンテキスト内で検索問合せを送信します。

  3. Oracle E-Business Suite内にホストされているOracle SESクライアントAPIに問合せが送信されます。続いてOracle SESクライアントAPIが、Oracle SESサーバーによって公開された検索Webサービス・エンド・ポイントに対してWebサービス・コールを実施します。

    Webサービス・コールが、検索キーワード、フィルタ(ある場合)およびユーザー情報を最も重要なパラメータに含めます。

  4. 検索サービスが起動されると、Oracle SESがIdentity Managerを問い合せます。

    ID管理は、Oracle E-Business SuiteとOracle SESとの統合の構成の一部として設定されます。Oracle SESには、Oracle E-Business Suiteリリース12に固有のIdentity Managerがあります。このIdentity Manager構成では、プロキシ・セッションを確立するときにOracle E-Business Suiteセキュリティ・サービス・エンド・ポイントおよびプロキシ・アプリケーション・ユーザー名とパスワードが必要です。

    Oracle SES統合の設定構成については、「Oracle SES統合に向けたOracle E-Business Suite Secure Enterprise Searchの設定」を参照してください。

  5. クロール時にユーザー・クローラが起動した場合、ユーザー、データソースまたは検索可能オブジェクトのセキュリティ・キーをオフラインで取得し、Oracle SESにキャッシュできます。

    Oracle SESはまず、ユーザー認可キャッシュ(UAC)内でオブジェクトおよびログイン済ユーザーのセキュリティ・キーを検索します。

    この機能の詳細は、「ユーザー認可キャッシュ」を参照してください。

  6. Identity Managerは、セキュリティ・サービス・エンド・ポイントに検索ユーザーのセキュリティ・キー情報を要求します。セキュリティ・サービス・エンド・ポイントは、oafmコンテナにサーブレットとして登録されます。

  7. セキュリティ・キーの要求を受信すると、セキュリティ・サービス・エンド・ポイントはプロキシ・セッションを初期化します。要求に対してプロキシ・ユーザー名/パスワード資格証明が検証されます。次に、セキュリティ・キーの要求対象である実際の検索ユーザーにかわってセッションが信頼されるか、または更新されます。

    注意: 職責情報が存在する場合と存在しない場合があるため、プロキシ・アプリケーション・コンテキストは不完全である可能性があります。このため、完全なコンテキスト情報を作成するために特別なプラグイン・メカニズムが用意されています。プラグイン・メカニズムの詳細は、「セキュリティ・ロジックおよび一般的なプラグイン・メカニズムについて」を参照してください。

  8. セキュリティ・サービス・エンド・ポイントによって同じプロキシ・セッションで検索プラグインが起動されてセキュリティ・キーが生成されます。

  9. 検索プラグインのgetSecurityKeys()メソッドおよびgetSecureAttrKeys()メソッドが実行されて、プロキシ・コンテキストのセキュリティ・キーが生成されます。

    コンテキストは常に不完全な場合があるため、セキュリティ・プラグインがこのようなシナリオを認識する必要があります。

  10. セキュリティ・サービス・エンド・ポイントは、検索ユーザーのセキュリティ・キーを送信することで、ステップ5に示された要求に応答します。HTTPプロトコルで要求と応答が行われます。

    Oracle SESでは、要求に対するタイムアウトを設定することで、応答の完了を無期限には待機しません。

    注意: タイムアウト値は構成可能です。これを行うのは、検索ソリューション全体の応答性を確保するためです。

  11. 検索サービスがID管理から承認キーを受信します。

  12. 検索サービスが指定された検索条件に従って索引ストアから索引付けされた文書を取得します。

  13. セキュリティ・キー/承認キーの適用後、索引付けされた文書がOracle SESによってフィルタリングされます。このようにして、検索ユーザー向けに承認された文書のみが取得されます。フィルタリング済の索引付けされた文書が表示やさらなる処理のために問合せユーザーに返されます。

Oracle SESからの問合せ

Oracle E-Business Suiteユーザーがログオンし、Oracle SES検索ユーザー・インタフェースを介して検索を実行する場合は、まずユーザーのログイン資格証明を認証する必要があります。この段階で、ユーザーのログイン検証に検索プラグインは必要ありません。

ログインが認証されると、ユーザーはOracle E-Business Suiteでの問合せと同じような問合せ時アーキテクチャを備えたOracle SES検索UIで検索を実行できます。

次の図に、Oracle SESを利用して検索を実行する際の問合せ時の対話フローを示します。

Oracle SESからの問合せ時対話フロー

本文の説明内容に関するイメージ

  1. Oracle E-Business Suiteユーザーが、Oracle E-Business Suiteのユーザー名とパスワードを使用してOracle SES検索UIにサインインしようとします。

  2. Oracle SESがIdentity Managerを問い合せてユーザーの資格証明を検証します。

  3. Identity ManagerがOracle E-Business Suiteのセキュリティ・サービス・エンド・ポイントに認証要求を送信します。要求がHTTPプロトコルで送信されます。

    通常、http(s)://<ebs server>:<port>/webservices/AppSearch/SecurityServiceというような形式になっています。要求された正確な認証サービスが含まれているXMLメッセージが転記されます。

  4. セキュリティ・サービス・エンド・ポイントがログイン資格証明を検証し、別のXMLメッセージを送信することで要求に応答します。

  5. Identity Managerが応答メッセージを解析し、Oracle SES検索UIに応答の成否を送信します。

  6. 正常にログインした後、ユーザーが検索問合せを送信します。これは、キーワード、フィルタ、その他の検索条件などで構成されています。

  7. 検索要求の受信時に、Oracle SESが適切な検索サービスまたはAPIを起動します。

  8. クロール時にユーザー・クローラが起動した場合、ユーザー、データソースまたは検索可能オブジェクトのセキュリティ・キーをオフラインで取得し、Oracle SESにキャッシュできます。

    Oracle SESはまず、ユーザー認可キャッシュ(UAC)内でオブジェクトおよびログイン済ユーザーのセキュリティ・キーを検索します。

    この機能の詳細は、「ユーザー認可キャッシュ」を参照してください。

  9. 続いて検索サービスが認可プラグインを起動して、現在の検索ユーザーのセキュリティ・キーを取得します。

  10. 認可プラグインがIdentity Managerを問い合せて、セキュリティ・キーをフェッチします。

  11. Identity Managerは、セキュリティ・サービス・エンド・ポイントに検索ユーザーのセキュリティ・キー情報を要求します。これはHTTPで行われます。要求メッセージには、構成の一部としてOracle SESに格納されているプロキシ・ユーザー名とパスワードが含まれています。

  12. セキュリティによって、プロキシ・セッションおよびアプリケーション・コンテキストが確立されます。Oracle SESから要求に対してプロキシ・ユーザー名/パスワード資格証明が検証されます。次に、セキュリティ・キーの要求対象である実際の検索ユーザーにかわってセッションが信頼されるか、または更新されます。

    注意: Oracle SESへのログイン時に職責情報が存在しない場合があるため、プロキシ・アプリケーション・コンテキストは常に不完全であることに注意してください。これが、Oracle E-Business Suiteからの検索とOracle SES検索ユーザー・インタフェースからの検索の大きな違いです。

  13. セキュリティ・サービス・エンド・ポイントによって同じプロキシ・セッションで検索プラグインが起動されてセキュリティ・キーが生成されます。

  14. 検索プラグインのgetSecurityKeys()メソッドおよびgetSecureAttrKeys()メソッドが実行されて、プロキシ・コンテキストのセキュリティ・キーが生成されます。

    コンテキストは常に不完全であるため、セキュリティ・プラグインがこのようなシナリオを認識する必要があります。

  15. セキュリティ・サービス・エンド・ポイントは、検索ユーザーのセキュリティ・キーを送信することで、ステップ5に示された要求に応答します。HTTPプロトコルで要求と応答が行われます。

    Oracle SESでは、要求に対するタイムアウトを設定することで、応答の完了を無期限には待機しません。

    注意: タイムアウト値は構成可能です。これを行うのは、検索ソリューション全体の応答性を確保するためです。

  16. 認可プラグインが問合せユーザーのセキュリティ・キーを受信します。

  17. Oracle SES検索サービスまたはAPIが、索引ストアから検索キーワードおよびフィルタと一致する索引付け済文書を取得します。

  18. 索引付けされた文書は、問合せユーザー用に取得されたセキュリティ・キーによってフィルタリングされます。

  19. フィルタリングされた検索結果が問合せユーザーに返されます。

Oracle E-Business Suite Secure Enterprise Searchの使用

Oracle Secure Enterprise Search(SES)を利用することでOracle E-Business Suite Secure Enterprise Searchから集中型検索機能が提供されるため、セキュリティ情報およびコンテキスト依存情報を損なうことなく、アプリケーション・コンテンツに対するテキスト検索を使用できます。

セキュアなテキスト検索を介して、ただちに正確な検索結果が得られるだけでなく、結果を絞り込んだり、元の結果に効率よく遡ることで、検索を容易に調整できます。

注意: Oracle E-Business Suite Secure Enterprise Searchはすべての検索ページに置き換わるものではなく、アプリケーション・コンテンツの検索に最も有用な場所に配置されます。その他の検索ページについては、Oracle E-Business Suiteユーザー・ガイドのデータの問合せおよび表示に関する項を参照してください。

本文の説明内容に関するイメージ

アプリケーションに埋め込まれたOracle E-Business Suite Secure Enterprise Searchリージョンから、次のことができます。

  1. 「検索」リージョンで検索を実行します。

  2. 標準形式または表形式で検索結果を表示します。

  3. 「絞込み」リージョンを使用して検索結果を絞り込みます。

  4. 「拡張」リージョンを使用して以前の検索結果にロールバックします。

  5. 「フィルタ」リージョンにフィルタを入力して、検索結果を検索可能オブジェクトのみに絞り込みます。

検索リージョンの使用

検索リージョンは、Oracle E-Business Suiteホームページまたは製品ホームページ上に表示されます。

検索リージョンを使用して検索を実行するには

  1. LOVから検索可能なビジネス・カテゴリを選択します。

    アクセス権限を持つユーザーに対してのみアプリケーション・データを保護するために、Oracle E-Business Suite Secure Enterprise SearchではLOV内にアクセス承認済の検索可能なカテゴリのみが表示されます。

    たとえば、「顧客関連」ビジネス・カテゴリへのアクセスが承認されている場合は、LOVから「顧客関連」を確認できます。

    注意: 「すべて」ビジネス・カテゴリを選択すると、フル・セキュリティ・コンテキスト権限に基づいてセキュリティを必要とするオブジェクト(iRecruitmentの「必要要員」オブジェクトなど)は検索結果に返されません。これは、「すべて」カテゴリ検索が通常のセキュリティを持つ(またはフル・セキュリティ・コンテキストに基づかない)オブジェクトのみの結果を返すように設計されているためです。そうではなく、アクセス権限がある場合に結果を取得するには、グループ(「必要要員」など)を検索するか、またはオブジェクトに絞り込む必要があります。

    「顧客関連」ビジネス・カテゴリにビジネス・オブジェクトとして「契約」および「顧客アカウント」が含まれている場合、「顧客関連」カテゴリの検索実行後、この2つのビジネス・オブジェクトは「絞込み」リージョンのツリー構造に表示されます。「絞込みを使用した検索結果の絞込み」を参照してください。

  2. 選択したカテゴリに関してキーワード検索を入力するか、またはワイルドカード文字(正規表現のワイルドカードは%ではなく*)を含めた値の一部を入力します。

    注意: 日付基準列は事前にクロールされ、YYYY-MM-SSという形式で索引付けされるため、日付値に基づいて検索する場合は、問合せ文字列と同じ形式YYYY-MM-SSを使用してください。たとえば、日付が2007年4月25日であるレコードの検索には2007-04-25を使用します。

    ここに入力した検索テキストは、「拡張」リージョンにも記録されます。「拡張を使用した結果の遡及」を参照してください。

  3. 次のドロップダウン選択オプションから「検索結果表示作業環境」値を選択します。

    「進む」をクリックして検索を実行し、選択した表示値に基づいて結果を表示します。

検索結果の表示

Oracle E-Business Suite Secure Enterprise Searchは柔軟性のある検索結果表示メカニズムを備えており、選択した検索結果表示値に基づいてOracle E-Business Suite内またはOracle SESユーザー・インタフェースから直接結果を表示できます。

Oracle E-Business Suiteでの検索結果の表示

デフォルトでは、「標準」のOracle E-Business Suiteが「検索結果表示作業環境」フィールドのデフォルト値です。これにより、Oracle E-Business Suite内の「結果」リージョンに検索結果を表示できます。

検索結果詳細には、選択した検索オブジェクトまたはグループの最終クロール時間、表示される現在のページ番号と結果、見積ヒット数の合計数、検索エンジンが検索の実行に要した時間および各要素の検索結果が含まれています。

注意: 見積ヒット数の合計数は概算見積にすぎません。さらに正確な見積が得られるように、Oracle SESでは管理者が検索結果の正確な件数をレポートするためのパラメータをグローバル設定値に設定できます。ただし、このオプションは問合せ応答時間に影響を及ぼします。詳細は、『Oracle Secure Enterprise Search管理者ガイド』を参照してください。

各検索結果ページには、検索条件に一致する結果要素のリストが含まれています。結果は次の様々な書式で表示できます。

ページに記載されている各結果要素に容易にナビゲートし、検索結果をさらにユーザー・フレンドリにするために、各要素の結果表示の一部として次の情報を表示できます。

結果が標準形式で表示される場合、次のリンクが使用可能になることがあります(これらの属性が識別され、検索対象のオブジェクトに関連付けられている場合)。

検索結果のソート

検索結果を任意の順序に表示できるように、Oracle E-Business Suite Secure Enterprise Searchにはソート・オプションが用意されており、「ソート・キー」ドロップダウン・リストから選択した値に基づいて検索結果セット全体をソートできます。

ドロップダウン・リストは、標準と表の両方の表示形式で使用可能です。ドロップダウン・リストのソート基準には、ソートの実行対象となるすべての表示済属性が含まれます。当初、結果は「関連性」で降順にソートされます。「ソート・キー」ドロップダウン・リストの横にある上矢印アイコンをクリックし、結果を昇順にソートするようにして、オプションでソート順を変更することもできます。

表ベースの検索結果のエクスポート

検索結果が表形式で表示されている場合は、検索結果リージョンで「エクスポート」ボタンが使用可能になっています。「エクスポート」ボタンをクリックすると、表ベースの検索結果の内容を検索結果リージョンから直接Microsoft Excelにエクスポートできます。エクスポートしたデータは、指定のディレクトリに保存して後で使用できます。

注意: エクスポートしたデータの保存時に起動されるプログラムは、コンピュータでの設定によって異なります。Microsoft Excelで.csvファイルを起動するには、Microsoft Excelで開くように.csvファイル・タイプをマップする必要があります。マップしないと、Microsoft Windowsにより、ファイルを開く際に使用するプログラムを選択するように求められます。

このエクスポート機能は、表形式で表示されている検索結果にのみ使用でき、標準の表示には使用できません。

エクスポートしたデータはオフライン・レポートとして利用でき、いくつかのビジネス機能に特に便利です。

たとえば、必要に応じて在庫品目を部品番号、仕様、ロット番号、場所、在庫レベルまたはそれ以外のインジケータで検索できます。検索後、結果をMicrosoft Excelにエクスポートし、データを実地棚卸との調整に使用できます。また、日付範囲(年齢層)を指定して、特定の顧客に対する未処理請求書を検索できます。表形式で表示されている検索結果をエクスポートし、勘定の調整や請求書に関する顧客の追跡調査などのオフライン・アクティビティを実行します。

Oracle SESでの検索結果の表示

「検索結果表示作業環境」値として「詳細」を選択した場合には、Oracle E-Business Suite内に検索結果リージョンをレンダリングするのではなく、Oracle SESユーザー・インタフェースに直接検索結果を表示できます。

Oracle SES UIには検索およびグループ化の豊富な機能が用意されているほか、様々なビジネス・ニーズに応じて検索結果表示を柔軟にカスタマイズできます。シングル・サインオンを構成し、Oracle SES UIの検索結果ページを目的の結果表示にカスタマイズした場合には、この機能を使用して、Oracle E-Business SuiteからログアウトせずにOracle SES UIで検索結果を直接起動し、表示できます。

検索を調整する場合は、「拡張検索」リンクをクリックして「拡張検索」ページを開き、ここでさらに検索条件または検索属性を入力できます。

Oracle SESユーザー・インタフェースでの検索の実行方法および検索結果のカスタマイズ方法については、『Oracle Secure Enterprise Search管理者ガイド』を参照してください。

絞込みを使用した検索結果の絞込み

「絞込み」リージョンでは、ツリーから次の検索コンポーネントを選択して検索結果を絞り込むことができます。

拡張を使用した結果の遡及

「絞込み」リージョンで検索を変更した後、元の検索結果にロールバックするには、「拡張」リージョンを使用します。「拡張」リージョンには、検索リージョンに入力したテキスト、グループ名、オブジェクト名、フィルタなど、検索に使用したすべての検索条件が表示されます。「拡張」リージョンのリンクをクリックすると、操作前の時点の結果に戻ります。たとえば、Oracleフィルタ・リンクをクリックすると、検索からフィルタが除外され、検索結果が展開されてフィルタOracleで限定されなくなります。

検索可能オブジェクトに対するフィルタの使用

選択したオブジェクトに対する検索を絞り込むには、「フィルタ」リージョンを使用します。「絞込み」リージョンで検索可能オブジェクトを選択すると、「フィルタ」リージョンが表示され、選択したオブジェクトにフィルタを適用できます。フィルタ・テキストを入力し、「フィルタで検索」をクリックすると、フィルタ基準付きの検索が実行されます。

注意: フィルタを介して正確なフレーズを検索するには、引用符(")でフレーズを囲んでください。たとえば、フィルタ・テキストとして"contract imported"と入力して、検索結果から正確なフレーズを探します。引用符で囲まないと、結果から'contract'または'imported'が検出されます。

フィルタでは、"to"、"the"および"other"が考慮されないことに注意してください。フィルタ・テキストとしてこれらの単語を入力しても、その値が含まれていない検索結果も表示されます。これは、Oracle SESではこれらの単語がストップワードとみなされるためです。このため、問合せから削除されます。

「絞込みを使用した検索結果の絞込み」を参照してください。

管理タスクおよび設定タスクの実行

検索が起動される前にOracle SES索引ストアですべての検索可能オブジェクトが事前にクロールされ、索引付けされるため、検索管理者またはシステム管理者は管理設定タスクを実行する必要があります。これらのタスクには、E-Business Suiteでの検索の有効化、設定を担当する検索管理者の作成、Oracle SES統合に向けたOracle E-Business Suite Secure Enterprise Searchの構成などがあります。

この項には次のトピックがあります。

検索管理者の作成

Oracle E-Business Suite Secure Enterprise Searchを正しく機能させるには、管理タスクを構成および保守できるようにまず検索管理者を設定する必要があります。その後、ユーザーがアプリケーション・データの検索を実行できるようになります。

注意: 検索管理者は必須タスクの構成および設定を担当するだけでなく、Oracle SESで通常システム管理者によって実行されないクロール・スケジュールの管理およびクロールの管理も担当することを理解することが重要です。必要な職責とともに割当済の既存のシステム管理者ユーザー(sysadmin)を使用するのではなく、そのロール用に新しいユーザー(sesadminなど)を作成することをお薦めします。詳細は、「Oracle E-Business Suite Secure Enterprise Search Best Practices, Release 12」(My Oracle Supportナレッジ・ドキュメント744820.1)を参照してください。

検索管理者を作成するには、次のステップを使用します。

  1. 検索管理者になるユーザー(sesadminなど)を作成します。

  2. ユーザーsesadminに次の職責を割り当てます。

検索管理者を作成すると、ユーザーを検証および認証してOracle E-Business Suiteでの検索を保護したり、セキュアなフェデレーテッド検索を追加できるよう、同じユーザー名とパスワード情報がOracle SES統合用の設定パラメータの一部として「アプリケーション検索管理」ページに入力され、さらにOracle SES管理ページにも入力されます。

構成と設定のステップの詳細は、「Oracle SES向け検索プロキシ・パラメータの構成」および「Oracle SESでの設定ステップの実行」を参照してください。

Oracle E-Business Suite Secure Enterprise Searchの設定

設定概要

Oracle E-Business Suite Secure Enterprise Searchは、データベース、中間層およびUI構成要素で構成されています。また、機能を正しく動作させるために外部依存を利用します。Oracle E-Business Suite Secure Enterprise Searchを設定し、管理タスクを実行する前に、検索管理者またはシステム管理者はまず製品依存およびOracle SES間の統合を理解する必要があります。

製品依存

Oracle E-Business Suite Secure Enterprise Searchは、その機能を正しく動作させるために次の製品に依存しています。

設定タスク

検索が起動される前にOracle SES索引ストアですべての検索可能オブジェクトが事前にクロールされ、索引付けされるため、検索管理者またはシステム管理者はOracle E-Business Suiteで一般的な設定タスクを実行し、Oracle E-Business Suite Secure Enterprise SearchとOracle SES管理ページの両方で検索関連の設定タスクを実行する必要があります。

この項には次のトピックがあります。

Oracle E-Business Suiteでの検索の有効化

Oracle E-Business Suiteの設定ステップには、次のタスクがあります。

言語作業環境の設定

希望する言語で検索および結果を表示するには、検索管理者はその言語が英語以外の場合には「一般作業環境」ページでデフォルト言語を設定する必要があります。

言語作業環境の設定方法の詳細は、Oracle E-Business Suiteユーザー・ガイドの「Oracle E-Business Suiteスタート・ガイド」の作業環境の設定に関する項を参照してください。

プロファイル・オプションの設定

Oracle E-Business Suite Secure Enterprise Searchでは、Oracle E-Business Suiteで検索を有効化できるように、プロファイル・オプションを使用して必要な設定パラメータを定義します。これらのプロファイルによって次の機能が決まります。

次の表に、Oracle E-Business Suite Secure Enterprise Searchに使用されるプロファイル・オプションをリストします。

プロファイル・オプション 説明 必須 デフォルト値
FND: 検索使用可能フラグ このサイト・レベルのプロファイル・オプションは、Oracle SES統合がサイトに対して有効かどうかを制御する場合に使用します。Oracle E-Business Suite Secure Enterprise Searchでは、「YES」に設定して、この機能が有効であることを示す必要があります。 Yes N
FND: 検索エンジンURL このサイト・レベルのプロファイル・オプションは、http://<hostname>:<portnumber>という形式で問合せの作成対象である外部Oracle SESインスタンス用に有効なURLを指定する場合に使用します。このプロファイル値は、サイトがOracle SES対応である場合に指定する必要があります。 Yes N/A
FND: 検索エンジン・バージョン このサイト・レベルのプロファイル・オプションは、Oracle E-Business Suite Secure Enterprise Searchとの統合に有効なOracle SESのバージョンを指定する場合に使用します。
プロファイル値は最低2文字で、最初の2文字は数字とします(11.1.2.2や11gなど)。
Yes このオプションにデフォルト値はありません。
FND: 問合せの検索セッション・タイムアウト値 このサイト・レベルのプロファイル・オプションは、Oracle SESにログインしているFNDユーザーのタイムアウト値を秒単位で制御する場合に使用します。ユーザーが最後に操作してからこの時間がすぎると、セッションは失効します。 Yes 1200
FND: 管理タスク用の検索セッション・タイムアウト値 このサイト・レベルのプロファイル・オプションは、Oracle SESにログインしている管理者のタイムアウト値を秒単位で制御する場合に使用します。管理者が最後に操作してからこの時間がすぎると、セッションは失効します。 Yes 1200
FND: 検索クロール・バッチ・サイズ このプロファイルにより、アプリケーション管理者はADパラレルで使用されるサイト全体のバッチ・サイズを設定できます。 Yes 1000

FNDユーザーへのFND検索クローラ職責の割当

アプリケーション・メタデータをOracle SESと同期する場合は、事前にFND検索クローラ職責をFNDユーザーに割り当て、そのユーザー名およびパスワードを検索管理ページに指定する必要があります。ユーザー情報が変更された場合は、それを更新し、再度データを同期する必要があります。

Enterprise Searchリージョンを表示するためのパーソナライズ設定ステップの実行

Oracle E-Business SuiteホームページにEnterprise Searchリージョンが表示されるようにするには、次のパーソナライズ・ステップを実行する必要があります。

  1. システム管理者のユーザー名とパスワードでOracle E-Business Suiteにログインします。

  2. 「ナビゲータ」メニューから「機能管理者」職責を選択します。

  3. 「パーソナライズ」タブおよび「アプリケーション・カタログ」サブタブを選択して、「アプリケーション・カタログ」ページを開きます。

  4. 「検索」リージョンで、「文書パス」フィールドに検索条件として「/oracle/apps/fnd/search/webui」を入力し、「進む」をクリックします。

    検索条件に一致するすべての文書名が検索結果表に表示されます。

  5. 結果表に記載されている/oracle/apps/fnd/search/webui/AppsSearchRG文書名の「パーソナライズ・ページ」アイコンをクリックして、「パーソナライズ・コンテキストの選択」ページを開きます。

  6. 「機能」フィールドに「Applications Home Page」(OAHOMEPAGE)と入力し、「適用」をクリックして、文書の「パーソナライズ・リージョン」ページを開きます。

  7. 「パーソナライズ体系」リージョンで、「行レイアウト」フィールドの「パーソナライズ」アイコンを選択して行レイアウトのパーソナライズ・ページを開きます。

  8. 機能: Applicationsホームページ・レベルで「レンダリング対象」プロパティ値を「TRUE」に設定します。

  9. パーソナライズ変更の適用後、ホームページに戻ります。

  10. Oracle E-Business SuiteホームページにEnterprise Searchリージョンがレンダリングされているかどうかを確認します。

  11. 検索条件を入力し、「進む」をクリックして検索を実行し、検索結果が検索結果ページに表示されるかどうかを検証します。

Oracle SES統合に向けたOracle E-Business Suite Secure Enterprise Searchの設定

Oracle E-Business Suiteで検索を有効にした後、Oracle SESとシームレスに統合するには、システム管理者または検索管理者はOracle E-Business Suite Secure Enterprise SearchおよびOracle SESで構成タスクを実行する必要があります。

次の図に、Oracle E-Business SuiteとOracle SESとの統合フローを概要レベルで示します。

Oracle SESとOracle E-Business Suiteとの統合ワークフロー

本文の説明内容に関するイメージ

Oracle SESおよびOracle E-Business Suiteのインストール後、検索関連のメタデータおよびビジネス・オブジェクトを作成してOracle SESで使用可能にする必要があります。メタデータおよび関連するセキュリティ・ルールは、Oracle E-Business Suiteによって実装され、使用されます。Oracle E-Business Suiteで検索を使用可能にするには、Oracle E-Business Suite、Oracle E-Business Suite Secure Enterprise SearchおよびOracle SESで必要な設定タスクを実行する必要があります。

たとえば、これらのタスクにはOracle E-Business Suite Secure Enterprise Searchの有効化に向けたアプリケーションの言語作業環境およびプロファイル・オプションの設定、Oracle SESへのリモート・アクセスを容易にするための検索プロキシ・パラメータの構成、統合に向けたOracle SESでの管理設定ステップの実行などがあります。

Oracle SESとOracle E-Business Suite Secure Enterprise Searchとの設定および構成が適切であると、検索可能オブジェクトをOracle SESインスタンスに正常に配置でき、Oracle SESで初期クロールおよび増分クロールを開始できます。ユーザーは、Oracle E-Business SuiteからOracle SESの事前クロール済索引ストアに対して問合せを実行できます。

重要: インストール時および設定時に頻繁に発生する問題のトラブルシューティングの詳細は、My Oracle Supportナレッジ・ドキュメント726239.1の「Oracle E-Business Suite Secure Enterprise Search Troubleshooting Guidelines, Release 12」を参照してください。

この項では、Oracle E-Business Suite Secure Enterprise SearchおよびOracle SESでの次の設定タスクについて説明します。

  1. Oracle E-Business Suite Secure Enterprise Searchのインストール

    この項では、Oracle E-Business Suite Secure Enterprise SearchをOracle SESと統合できるように、インストール情報について説明します。

  2. Oracle SES用の検索プロキシ・パラメータの構成

    このステップには、管理者および有効なFNDユーザーがリモートのOracle SESインスタンスにアクセスできるように、ユーザー名、パスワード、タイムアウト値(秒単位)などの管理プロキシ・パラメータおよび問合せプロキシ・パラメータの設定が含まれます。

  3. Oracle SESでの設定ステップの実行

    Oracle E-Business Suite Secure Enterprise SearchとOracle SESとをシームレスに統合するには、システム管理者または検索管理者はOracle SESで追加の設定ステップを実行する必要があります。これらのステップには、Oracle SESとID管理システムとの接続の設定や、Oracle SESへのフェデレーション・エンティティの追加などがあります。

Oracle E-Business Suite Secure Enterprise Searchのインストール

Oracle E-Business Suite Secure Enterprise Searchは、Oracle E-Business SuiteおよびOracle Secure Enterprise Search(SES)とともにリリースされます。正しくインストールするには、次のインストール・ステップを実行します。

  1. 現在のインスタンスをOracle E-Business Suiteリリース12.2にインストールまたはアップグレードします。

  2. Oracle Technology Network(OTN)ページ(http://www.oracle.com/technetwork)からOracle SES 11.1.2.2をインストールするか、Oracle SES 10.1.8.4またはOracle SES 11.1.2.0からOracle SES 11.1.2.2にアップグレードします。

    インストールの詳細およびOracle SES 10.1.8.4またはOracle SES 11.1.2.0からOracle SES 11.1.2.2へのアップグレードに関する情報は、『Oracle Secure Enterprise Searchインストレーションおよびアップグレード・ガイド11g リリース1(11.1.2.2)』を参照してください。

    Oracle SESは、Oracle E-Business Suiteリリース12.2と統合できます。このリリースでのOracle SESの最小サポート対象バージョンはSES 11.1.2.2です。インストール情報の詳細は、My Oracle Supportナレッジ・ドキュメント462377.1の「Installing Oracle E-Business Suite Secure Enterprise Search, Release 12」を参照してください。

    注意: Oracle SES 11.1.2.2では、クローラと検索アプリケーションの実行に2つの別のJVMを使用します。クローラはSun JREを使用して実行され、検索アプリケーションはJRockit JREを使用して実行されます。どちらのJREも、Oracle SESインストールの$ORACLE_HOMEで使用可能です。Oracle E-Business SuiteがSSL対応の環境にある場合は、Oracle SES 11.1.2.2インスタンスと統合するときに、keytoolを使用してOracle E-Business Suite SSL証明書を両方のOracle SESキーストア(JREトラスト・ストア)にインポートする必要があります。

    インストール時のポートおよびユーザー名eqsysに関連付けたパスワードを忘れないでください。この情報は、後でOracle SES統合の有効化に向けてOracle E-Business Suite Secure Enterprise Searchを構成する場合に使用します。

Oracle E-Business SuiteとOracle SESの両方のインストールが完了した後、さらにシステムを構成するためにOracle SESとOracle E-Business Suite Secure Enterprise Searchの両方で管理設定タスクを実行する必要があります。

参照:

インストール情報の詳細は、My Oracle Supportナレッジ・ドキュメント462377.1の「Installing Oracle E-Business Suite Secure Enterprise Search, Release 12」を参照してください。

Oracle E-Business SuiteホームページにEnterprise Searchリージョンが表示されるようにするには、前述のようにパーソナライズ・ステップを実行します。「パーソナライズ設定ステップの実行」を参照してください。

「構成」タブでの検索プロキシ・パラメータの構成

プロキシ・パラメータを設定してOracle SESインスタンス・アクセスを有効にするには、「構成」タブを使用します。これには、管理者およびFND検索クローラ職責を持つ有効なFNDユーザー用にプロキシ・パラメータ設定する作業などがあります。

重要: ユーザー名やパスワードなどのプロキシ・パラメータを変更するには、すべての検索可能オブジェクトを再配置する必要があります。これらのオブジェクトのクロールが完了している場合、再配置してもOracle SESのデータは更新されません。Oracle SESデータを再同期するには、まずOracle SESで同じ名前のデータソースを手動で削除し、次にオブジェクトを再配置する必要があります。

Oracle SESにアクセスするためのパラメータの構成

本文の説明内容に関するイメージ

管理者および有効なFNDユーザー用に検索プロキシ・パラメータを構成するには、次のステップを使用します。

  1. アプリケーション検索管理者職責でOracle E-Business Suiteにログオンし、「ナビゲータ」ウィンドウから「アプリケーション検索管理」リンクを選択します。

  2. 「アプリケーション検索管理」ウィンドウから、「構成」タブを選択します。

  3. 「SESエンド・ポイント」リージョンで次の情報を指定します。

  4. 「管理プロキシ」リージョンで「ユーザー名」、「パスワード」、「タイム・アウト」の値などの管理プロキシ・パラメータを指定します。

    「FND: 管理タスク用の検索セッション・タイムアウト値」プロファイル値を設定した場合は、「タイム・アウト」値フィールドに自動的に入力されます。

    注意: Oracle E-Business Suite Secure Enterprise SearchをOracle SESと統合するには、「管理プロキシ」セクションを次のように設定する必要があります。

    これらのフィールドを更新するには、「管理プロキシ」リージョンの「更新」チェック・ボックスを選択して変更を加えます。ページ最下部で「更新」をクリックして、変更内容を保存します。

  5. FND検索クローラ職責を持つ有効なFNDユーザー用に「ユーザー名」、「パスワード」、「タイム・アウト」の値などの問合せプロキシ・パラメータを指定します。この問合せユーザー名とパスワードは通常、適切な検索職責を持つシステム管理者sysadminまたは検索管理者sesadminに設定されます。

    「管理プロキシ」リージョンと同じく、「FND: 問合せの検索セッション・タイムアウト値」プロファイル値を設定した場合は、「タイム・アウト」値フィールドに自動的に入力されます。

    これらのフィールドを更新するには、「問合せプロキシ」リージョンの「更新」チェック・ボックスを選択して変更を加えます。ページ最下部で「更新」をクリックして、作業内容を保存します。

    重要: 問合せプロキシ・パラメータを変更した後、Oracle SESインスタンスを再起動して変更を反映する必要があります。

Oracle SESでの設定ステップの実行

強力なテキスト検索機能を提供するには、Oracle E-Business Suite Secure Enterprise SearchをOracle Secure Enterprise Search(SES)と統合します。これにより、Oracle SESでアプリケーション・コンテンツをクロールし、問合せの結果を返すことができます。

Oracle SESとシームレスに統合するには、検索管理者はOracle E-Business Suite Secure Enterprise Searchで必要な設定ステップを完了した後、Oracle SESで次の管理タスクを実行する必要があります。

  1. http://<hostname>:<portnumber>/search/adminを使用して、Oracle SES管理ユーザー・インタフェースにログオンします。Oracle E-Business Suite Secure Enterprise Search管理ページの「構成」タブにある「SES管理ログイン」リンクからアクセスすることもできます。

  2. Secure Enterprise Searchページから「グローバル設定」タブを選択し、次の設定を構成します。

  3. Oracle SESとOracle E-Business Suiteインスタンスの両方を再起動します。

重要: Oracle SESサーバーのsearch.propertiesファイルも正しく構成されていることを確認する必要があります。問合せ処理中にセキュリティ・フィルタ・リフレッシュ・タスクが完了するまでの待機時間をミリ秒単位で設定するには、次のステップを使用します。

  1. $ORACLE_HOME/search/webapp/configディレクトリでsearch.propertiesファイルを特定します。

  2. セキュリティ・フィルタ・リフレッシュ・タスクの待機時間の値をsec_filter_refresh_wait_time=20000と設定します。

Oracle SES統合設定ステップの詳細は、『Oracle Secure Enterprise Search管理者ガイド』を参照してください。

検索可能オブジェクトの保護

セキュリティは、無許可アクセスからアプリケーション・コンテンツを保護するように設計されている最も重要な機能です。適切なユーザーが適切なデータに適宜アクセスできるようにするには、セキュリティ・ルールに従って検索可能オブジェクトまたはメタデータを適用したうえでOracle E-Business Suite内での検索に使用する必要があります。

Oracle E-Business Suite Secure Enterprise Searchには、データの整合性およびコンテンツの機密性を損なうことなく、検索可能オブジェクトを適用および保護するための柔軟なメカニズムが用意されています。グループ・レベルとオブジェクト・レベルの両方で検索セキュリティを効率よく管理し、検索応答時間を短縮するには、Oracle E-Business Suite Secure Enterprise Searchの有効化に次のセキュリティ・メカニズムを使用します。

ロール・ベースのアクセス管理(RBAC)セキュリティ

Oracle E-Business Suite Secure Enterprise Searchではロール・ベースのアクセス管理(RBAC)セキュリティを使用してロールで検索可能オブジェクトが保護され、アプリケーション・データへのユーザー・アクセスはユーザーに付与されるロールによって決まります。このアプローチはデータ・セキュリティおよび機能セキュリティに基づいていますが、その両方を上回るものです。

ロール・ベースのアクセス管理セキュリティ

本文の説明内容に関するイメージ

機能セキュリティは、Oracle E-Business Suiteのアクセス管理の基準レイヤーです。これはユーザー・アクセスをシステム内の個々のメニューおよびメニュー・オプションに制限しますが、それらのメニュー内に含まれるデータへのアクセスは制限しません。データ・セキュリティは、アプリケーション・データおよびデータに対してユーザーが実行できる処理へのアクセス管理を実現します。データ・セキュリティにより、ユーザーに対してはセキュリティ・ルールで制限してメニュー選択後に画面で特定のタイプのデータのみをアクセスまたは表示可能にする一方、管理者に対しては同じページでより多くのデータへのアクセスを許可できます。

RBACではロールを介してアクセス管理が定義され、ロールはユーザーが特定のタスクを実行するために必要な職責、権限、機能およびデータ・セキュリティ・ポリシーを統合するように構成できます。このソリューションにより、新しい権限セットを自動的に継承するロールを介して変更を行うことができるため、ユーザー権限の一括更新が簡素化されます。役職機能に基づいて、各ロールを必要に応じて特定の権限または権限セットに割り当てることができます。たとえば、営業組織の場合、営業担当、営業マネージャ、販売サポートなどのロールが含まれます。営業マネージャ・ロールには、営業担当と販売サポートの両方のロールに対して役職機能の実行を可能にする権限セットを含めます。

権限セットという概念を利用して、Oracle E-Business Suite Secure Enterprise Searchでは関連する検索可能オブジェクトのグループ化と順序付けを実施して検索可能グループを構築できます。これらの検索可能グループは機能ロールに関連付けられたのち、セキュリティ付与を介してユーザーに割り当てられます。ユーザーがE-Business Suiteにログオンし、検索を実行すると、Oracle E-Business Suite Secure Enterprise Searchにより、保護された検索可能オブジェクトが付与に基づいてフィルタリングされ、承認済の権限を持つユーザーにリストが表示されます。

たとえば、Oracle E-Business Suite Secure Enterprise Searchでは、検索機能セキュリティを使用して検索可能オブジェクトに対する権限を提供し、様々なロールに付与します。検索可能オブジェクト「発注」が定義されている場合、ユーザーがこの発注オブジェクトを検索するためには、発注アクセス権限の付与を保持するロールに割当済である必要があります。アプリケーションにログオンすると、発注が検索の選択対象として検索可能オブジェクト・リストに表示されます。

データ・セキュリティ、機能セキュリティおよびRBACセキュリティ・モデルの詳細は、Oracle E-Business Suiteセキュリティ・ガイドを参照してください。

セキュリティ付与の作成

アプリケーション・データへのアクセスを適切な権限を持つユーザーに限定するには、システム管理者または検索管理者は次のものを含むセキュリティ付与を管理する必要があります。

  1. オブジェクトの作成

  2. 権限の作成

  3. 権限セットの作成

  4. 権限セットの付与

前提条件: システム管理者または検索管理者にはオブジェクト、権限および権限セットを作成できる機能開発者ロールと、付与を作成できる機能管理者ロールが必要であることに注意してください。

セキュリティ付与を作成するには

オブジェクトの作成

  1. 機能開発者職責でOracle E-Business Suiteにログオンします。

  2. 「セキュリティ」タブから、「オブジェクト」サブタブをクリックし、「オブジェクトの作成」を選択します。

  3. 次の各フィールドに入力してオブジェクトを作成します。

  4. 「適用」をクリックします。

  5. 「オブジェクト・インスタンス・セット」タブを選択し、「インスタンス・セットの作成」をクリックします。

  6. 次の情報を入力してインスタンス・セットを作成します。

権限の作成

  1. 機能開発者職責でログインします。「セキュリティ」タブから、「権限」サブタブを選択し、「権限の作成」をクリックします。

  2. 次の各フィールドに入力して権限を作成します。

  3. 「適用」をクリックします。

権限セットの作成

  1. 機能開発者職責でログインします。「セキュリティ」タブから、「権限セット」サブタブを選択し、「権限セットの作成」をクリックします。

  2. 次の各フィールドに入力して権限セットを作成します。

  3. 「別の行の追加」をクリックし、次の情報を入力します。

  4. 「適用」をクリックします。

権限セットの付与

このプロセスでは、付与の作成に機能管理者ロールが必要です。

  1. 機能管理者職責でログインします。「セキュリティ」タブから、「付与」サブタブを選択し、「付与の作成」をクリックします。

  2. 「付与の作成: 付与の定義」ページで次の各フィールドに入力します。

  3. 「セキュリティ・コンテキスト」リージョンに次の情報を入力します。

  4. 「次へ」をクリックします。

  5. 「セット」リージョンで、ATG Searchablesなど付与する権限セットを選択し、「次へ」をクリックします。

  6. 付与詳細を確認し、「適用」をクリックします。

検索セキュリティ・プラグイン

セキュリティ付与を介してグループ・レベルで検索を保護するほかに、Oracle E-Business Suite Secure Enterprise Searchではセキュリティ・プラグインを使用してオブジェクト・レベルまでさらにセキュリティを強化します。検索可能オブジェクトはクロール・メカニズムで重要な要素であるため、このタイプのセキュリティ・メカニズムはクロール時に容易に実装および適用でき、さらにユーザー問合せ時に動的に実行できます。その柔軟でオブジェクト・ベースのセキュリティ・プラグイン機能では、法的エンティティのHRMS従業員データや一般会計データなどのアプリケーション機密データを無許可アクセスから効果的に保護し、複数組織環境の場合にはトランザクションを組織全体にわたって効果的に保護できます。

セキュリティ・プラグインは、オブジェクト・レベルでカスタムまたはユーザー定義のセキュリティ・ルールをサポートし、さらに検索を保護するためのセキュリティ・メソッドを実装するJavaクラスです。

設計時に、メタデータ・ベースの検索モデラー・ユーザー・インタフェースを介してオブジェクト作成の際にセキュリティ・プラグインを検索可能オブジェクトに追加できます。

クロール時に、索引付け可能な文書の作成中、オブジェクト定義に関連付けられたプラグインの2つの検索メソッド(getAcl()およびgetSecureAttrAcl())が起動され、各文書のアクセス管理リスト(ACL)が生成されます。

注意: ACLはオブジェクトに添付された権限のリストで、誰または何に対してオブジェクトへのアクセスが許可され、どの操作が実行可能であるかが指定されています。

Oracle SES認可プラグインは、ACLベースのセキュリティ・モデルおよび文書のセキュリティ・キーに基づいて機能し、ユーザーを承認したり、検索結果へのアクセスを拒否します。Oracle SESでのOracle E-Business Suiteコネクタの認可プラグイン実装を介して、SES検索エンジンからOracle E-Business Suite内のすべての検索を承認して利用できます。

問合せ時に、ユーザーが検索を実行すると、プラグインの検索メソッドの様々なセット(getSecurityKeys()およびgetSecureAttrKeys())が実行され、事前作成済のACLに一致するようにユーザーのセキュリティ・キーが生成されます。一致した索引付け済文書はいずれも、その後ユーザーのために取得されます。一致しない文書または未承認の文書は、プロセス中にフィルタで動的に除外されます。

セキュリティ・キーおよびユーザー認可キャッシュ(UAC)

ユーザー問合せ時のセキュリティ・キー同時フェッチの検索応答時間を短縮できるように、クロール時にユーザー・クローラが開始している場合には、Oracle SESのユーザー認可キャッシュ(UAC)フレームワークを利用してセキュリティ・キーをオフライン・プロセスとして生成できます。

このユーザー・クロール・プロセスによって、セキュリティ・キーをOracle SESにキャッシュする必要があるOracle E-Business Suiteユーザーのリストが生成されます。セキュリティ・キーはその後、プラグインの(getSecurityKeys()およびgetSecureAttrKeys())メソッドを実行することにより、ユーザー・リストに照らして生成されます。特定のユーザーおよび特定の検索可能オブジェクトやデータソースに対して生成されたこれらのキーはユーザー認可キャッシュとしてキャッシュされ、ユーザー問合せ時に特定のソースおよびユーザーに一致するものがないかおよびキャッシュが使用可能であるかどうかを確認するために調べられます。

ユーザー認可キャッシュの機能および仕組みの詳細は、「ユーザー認可キャッシュ」を参照してください。

検索セキュリティ・プラグインをオブジェクトに追加する方法の詳細は、My Oracle Supportナレッジ・ドキュメント781366.1の「Search Modeler 1.1 for Oracle E-Business Suite Readme」から入手できるOracle E-Business Suite検索モデラー・ユーザー・ガイドの検索可能オブジェクトの作成に関する項を参照してください。

この項には次のトピックがあります。

セキュリティ・プラグインの仕組み

Oracle E-Business Suite内でアプリケーション・コンテンツを無許可アクセスから効果的に保護し、様々なビジネス要件をサポートできるように、セキュリティ・プラグイン・メカニズムが実装され、適切なユーザーが検索セキュリティ情報およびコンテキスト依存情報にのみアクセスできるようになっています。

この項では、クロールおよび問合せの様々な視点からセキュリティ・プラグインのロールを取り上げてさらに詳しく説明します。次のトピックが含まれています。

クロール時のACL生成

セキュリティ・プラグインは、クロール時にACLをフェッチする場合に使用します。

Oracle E-Business Suiteクロール可能エンド・ポイントがOracle SESクローラ・スレッドからクロール要求を受信すると、クロール可能ファクトリが初期化されて、Oracle E-Business Suiteデータベースから索引付け可能なコンテンツがフェッチされ、クロール可能文書が作成されます。索引付け可能な文書の作成中、検索可能オブジェクト定義に関連付けられたセキュリティ・プラグインがgetAcl()メソッドおよびgetSecureAttrAcl()メソッドの起動によって使用され、文書のACLが生成されます。

この時点で、RSSフィード形式のこれらの索引付け可能な文書は使用する準備が整ったことになります。Oracle E-Business Suiteクローラ・スレッドによって文書が選択され、クロール可能エンド・ポイントによってクロール応答としてSES索引付けエンジンに返されます。その後、SES索引付けエンジンによって文書が分析され、読込み可能な形式で索引付けされた文書に変換されます。

問合せ時のセキュリティ・キー生成

問合せ時に、セキュリティ・プラグインは問合せユーザー用セキュリティ・キーの生成に使用されます。

Oracle E-Business Suiteを介した問合せ

Oracle E-Business Suiteユーザー・インタフェースを介してユーザーが検索を実行すると、ユーザー向けに検索セッションが作成され、アプリケーション・コンテキストも初期化されます。この段階では、Oracle E-Business Suiteへのログオン後にユーザーが職責を選択したかどうかに応じて、アプリケーション・コンテキストが不完全である場合があります。

注意: アプリケーション・ユーザーが特定のビジネス取引を実行したり、セキュリティ・プラグインでアプリケーション・ユーザーを使用してユーザーのACLおよびセキュリティ・キーを生成するには、アプリケーション・コンテキスト情報が必要です。これには、ユーザー名、職責、職責アプリケーションおよびセキュリティ・グループ情報が含まれています。

問合せがSESクライアントAPIに送信されると、次にAPIによってOracle SESサーバーでWebサービス・コールが起動されます。ユーザーに検索の権限があることを確認するために、Oracle SESではまずオブジェクトおよびログイン済ユーザーに対して以前にキャッシュされたセキュリティ・キーがないかユーザー認可キャッシュ(UAC)が調べられます。一致しているものが見つかり、キャッシュが使用可能であると、関連付けられたキーを使用して事前作成済のACLが比較されます。一致した索引付け済文書は、ユーザーのために取得されます。一致しているものが見つからない場合は、Oracle SESのIdentity Managerによってセキュリティ・サービス・エンド・ポイントを介してユーザーのセキュリティ・キーが要求されます。プロキシ・セッションが初期化され、ユーザーに対してOracle SESが必要とするプロキシ・ユーザー名とパスワードの資格証明が検証されます。セキュリティ・キーが要求されている実際の検索ユーザーにかわって、このプロキシ・セッションが信頼または更新されます。

職責情報の有無に関係なく検索を実行できるため、プロキシ・アプリケーション・コンテキストは不完全である場合があることに注意してください。完全なアプリケーション・コンテキスト情報を必要とする特定のビジネス取引またはアクティビティを実行できるようにユーザーのセキュリティ・キーを生成するには、oracle.apps.fnd.search.impl.ContextSecurableプラグイン・クラスを拡張して完全なコンテキスト情報を作成する必要があります。プラグイン・メカニズムの詳細は、「セキュリティ・ロジックおよび一般的なプラグイン・メカニズムについて」を参照してください。

セキュリティ・プラグインはセキュリティ・サービス・エンド・ポイントによっても起動され、プロキシ・コンテンツに対してgetSecurityKeys()メソッドおよびgetSecureAttrKeys()メソッドを実行することでセキュリティ・キーが生成されます。

セキュリティ・キーの生成後、Identity Managerからの以前の要求に応えてセキュリティ・サービス・エンド・ポイントによってキーが返されます。この要求と応答は、HTTPプロトコルで行われます。

応答が完了するまで無期限に待たなくてもよいように、Oracle SESでは要求に対してタイムアウト・メッセージを設定できます。タイムアウト値は構成可能です。

Oracle SESを介した問合せ

Oracle E-Business SuiteユーザーがOracle SESユーザー・インタフェースを介して検索を実行したときは、次の2つのステージでセキュリティ・チェックを実行できます。

  1. ログイン・セキュリティ認証: このステージでは、セキュリティまたは認可プラグインなしでOracle SESを介してユーザーのログイン資格証明が検証されます。

  2. 検索セキュリティ認可: このステージは、正常にログインした後ユーザーが検索問合せを送信すると始まります。検索プラグインは、Oracle E-Business Suiteを介した問合せでの説明と同じように、問合せユーザーのセキュリティ・キーを生成するために使用されます。

    注意: Oracle E-Business Suite内からの検索とOracle SES検索UIからの検索の大きな違いは、Oracle SES検索UIからの検索中、職責情報が存在しない場合があるため、プロキシ・アプリケーション・コンテキストが常に不完全であることです。

    特定のビジネス取引またはアクティビティで完全なアプリケーション・コンテキスト情報が必要な場合は、oracle.apps.fnd.search.impl.ContextSecurableプラグイン・クラスを拡張して完全なコンテキスト情報を作成する必要があります。プラグイン・メカニズムの詳細は、「セキュリティ・ロジックおよび一般的なプラグイン・メカニズムについて」を参照してください。

    ユーザー問合せがSESクライアントAPIに送信され、次にAPIによってOracle SESサーバーでWebサービス・コールが起動されます。ユーザーに検索の権限があることを確認するために、Oracle SESではまずオブジェクトおよびログイン済ユーザーに対して以前にキャッシュされたセキュリティ・キーがないかユーザー認可キャッシュ(UAC)が調べられます。一致しているものが見つかり、キャッシュが使用可能であると、関連付けられたキーを使用して事前作成済のACLが比較されます。一致した索引付け済文書は、ユーザーのために取得されます。一致しているものが見つからない場合は、認可プラグインによってIdentity Managerが問い合せられ、セキュリティ・キーがフェッチされます。Identity Managerによって、プロキシ・ユーザー名とパスワードを含む要求メッセージがOracle E-Business Suiteセキュリティ・サービス・エンド・ポイントに送信されます。セキュリティ・エンド・ポイントによって、プロキシ・セッションおよびアプリケーション・コンテキストが確立されます。ユーザーの資格証明(プロキシ・ユーザー名とパスワード)の検証後、セキュリティ・キーが要求されている実際の検索ユーザーにかわって、このプロキシ・セッションが信頼または更新されます。

    セキュリティ・プラグインはセキュリティ・サービス・エンド・ポイントによって起動され、プロキシ・コンテンツに対してgetSecurityKeys()メソッドおよびgetSecureAttrKeys()メソッドを実行することでセキュリティ・キーが生成されます。

    セキュリティ・キーの生成後、Identity Managerからの以前の要求に応えてセキュリティ・サービス・エンド・ポイントによってキーが返されます。認可プラグインは、検索ユーザーのセキュリティ・キーを受信します。

事前作成済のACLに一致するセキュリティ・キーの使用

Oracle SES検索サービスまたはAPIによって、索引付けされた文書が索引ストアから取得され、検索キーワードおよびフィルタと照合されます。事前作成済のACLのある索引付けされた文書は、検索ユーザーのために取得されたセキュリティ・キーによってフィルタリングされます。フィルタリングされた検索結果は、問合せユーザーに返されます。一致しない文書または未承認の文書は、プロセス中にフィルタで動的に除外されます。

セキュリティ・ロジックおよび一般的なプラグイン・メカニズムについて

セキュリティ・ロジックの実装

Oracle E-Business Suite Secure Enterprise Searchでは、インタフェースを介してセキュリティが提供されます。実装後、このインタフェースの様々なメソッドを様々なステージでコールして、検索可能オブジェクトのコンテンツに対してセキュリティを施すことができます。各検索可能オブジェクトには、設計時に検索モデラー・ユーザー・インタフェースを介して指定されたプラグインJavaクラスがあります。このクラスに保護可能インタフェースが実装されている場合は、このクラスによって実装されたルールが検索可能オブジェクトに対して適用されます。

この保護可能インタフェース・セキュリティ・プラグインJavaクラスには、次のセキュリティ・メソッドが含まれています。

一般的なセキュリティ・プラグイン・メカニズム

特定のセキュリティ・プラグインでは、保護可能機能を提供するだけでなく、検索可能属性に対する変換機能も提供します。次のプラグイン・クラス階層ダイアグラムに、保護可能インタフェース、変換インタフェースおよび他の関連付けられたJavaクラス間の関係を示します。

一般的なプラグイン・クラス階層ダイアグラム

本文の説明内容に関するイメージ

ACLベースのセキュリティ

アクセス管理リスト(ACL)はオブジェクトに添付された権限のリストで、誰または何に対してオブジェクトへのアクセスが許可され、オブジェクトに対してどの操作が実行可能であるかが指定されています。

ACLベースのセキュリティでは、リストの各エントリに件名および操作を指定します。たとえば、ファイルWXYのACLにエントリ(Alice、削除)を指定した場合、ファイルWXYを削除する権限がAliceに付与されます。各クロールされたエントリは、ACLという形式で作成されるロッカーに関連付けられます。ロッカーとコンテンツの両方とも、Oracle SESで索引付けされます。

ユーザーがOracle E-Business Suiteでオブジェクトの検索を実行すると、問合せに進むかどうかを判断するためにまず適用可能なエントリがないかリストが調べられます。

クロール時に、クローラによって文書ごとにgetAcl()メソッドがコールされ、文書とともにOracle SESによって索引付けされたACLが返されます。

ACLベースのセキュリティ・アプローチは、問合せ時にgetSecureAttrKeys()とともに使用して、セキュアな属性に基づいて追加のセキュリティを施すことができることに注意してください。詳細は、「検索プラグインでのセキュリティ・モデルのサポート」を参照してください。

ACLベースのセキュリティによるセキュリティの例

この例では、ACLはFND_FORM_FUNCTIONSの機能にアクセスできる職責のリストです。この関係を解決するには、FND_MENUSやFND_MENU_ENTRIESなどいくつかの複雑なロジックおよび多数の表が必要です。

機能ID 名称 内容 ACL
1 Edit Oracle Workflow 10 20
2 Update Oracle Test 10
3 Create Oracle Financial 30
4 Delete Oracle Personnel 40

問合せ時に、検索ユーザーはセキュアな検索可能オブジェクトのキーを取得する必要があります。この例では、ユーザーに割り当てられた職責のリストです。getSecurityKeys()メソッドをコールすると、このリストが返されます。問合せはキーでリライトされて、Oracle SESに転記されます。(これは、データベース表を選択する前にSQLの問合せにセキュリティ述語を追加するのと同じことです)。

ユーザーSYSADMINはログインし、コンテンツOracleに対する問合せ検索を発行します。Oracle SESを選択する前に、getSecureAttrKeys()メソッドが適切なユーザー・コンテキストでコールされ、10、20および30というSYSADMINに割り当てられた職責のリストが返されます。問合せは次のようにリライトされます。

(ACL_KEY: 10 OR 20 or 30) AND content: oracle

この問合せで前述の例を使用すると、次のものが返されます。

機能ID 名称 内容 ACL
1 Edit Oracle Workflow 10 20
2 Update Oracle Test 10
3 Create Oracle Financials 30

このアプローチでは、FND_FORM_FUNCTIONSの行ごとにgetAcl()メソッドをコールするため、クロール時にいくらか負荷がかかります。ただし、基本表が比較的小さい場合には、これは許容されます。

ヒント: この例では、FND_FORM_FUNCTIONSに約40,000のレコードがあり、表全体のクロールに10分ほどかかります。

クエリー・リライト・セキュリティ

検索可能属性機能を利用して、クエリー・リライトではアプリケーション・コンテンツを保護するためにユーザー問合せ時にセキュリティ・メカニズムの別のレイヤーを提供します。

このクエリー・リライト・セキュリティを使用するには、設計時のオブジェクト作成の際に1つ以上の検索可能オブジェクト属性を「保護されている」とマークして、ユーザー問合せ時に「保護されている」属性ごとに検索プラグインのgetSecurityKeys()メソッドを起動できるようにする必要があります。

クロール時に、セキュアな属性という概念がこのメカニズムで使用されるため、検索可能オブジェクトの文書のクロール中にアクセス管理リストは生成されません。

問合せ時に、ユーザーが検索を実行すると、セキュアなオブジェクトのキーが取得され、アプリケーション・コンテキストに基づいて操作が認証されます。Oracle SESによってセキュアな属性ごとにgetSecurityKeys()メソッドが起動されてユーザーのランタイム・キーがフェッチされ、セキュアなオブジェクトにアクセスするユーザーのセキュリティ・キーのリストが返されます。問合せはキーでリライトされ、Oracle SESに転記されます。このクエリー・リライトという概念は、データベース表を選択する前にSQLの問合せにセキュリティ述語を追加することに似ています。この結果、承認済ユーザーの適切なデータが検索結果として返されますが、クエリー・リライト・プロセス全体はユーザーに対して透過的です。

たとえば、発注は発注を行う購買担当にのみ表示されます。この設計原理により、識別子として機能するBUYER_IDがセキュアな属性としてマークされ、設計時に発注検索可能オブジェクトの文書に関連付けられて、発注内容が保護されます。ユーザーが"ラップトップ・ドッキング・ステーション"関連の発注を検索すると、問合せがBUYER_ID = "<ユーザーの購買担当ID>"という述語でリライトされます。このアプローチにより、保護された発注オブジェクトが補強され、発注を行うユーザーにのみ関連するUIと発注へのアクセス権限が許可されます。

ヒント: クエリー・リライト方式は、キーの合計数が制限されているときに使用してください。キーの数が多い場合は、かわりにACL方式を使用してください。

問合せ指向のアプローチでは、各検索可能オブジェクトのセキュアな属性として1つ以上の属性を指名します。たとえば、BUYER_IDを発注のセキュアな識別子にすることができます。

問合せ時に(Oracle SESを検索する前に)、BUYER_IDなどのセキュアな属性ごとにgetSecureAttrKeys()メソッドがコールされます。getSecureAttrKeys()メソッド実装によって、現在のユーザーがアクセスできるIDの数がマップされます。

注意: 問合せでは、ユーザーがアクセスできる結果が返されるだけです。

このアプローチを使用する際、アクセス管理リスト(ACL)を作成する必要はなく、セキュリティは基本的に問合せ時に適用されます。つまり、セキュリティ・データが古くなるというリスクが抑えられます。ただし、ユーザーの保有するキーが多すぎる場合、このアプローチは機能しません。数千ものキーを持つ問合せをリライトするのは非現実的です。このアプローチを機能させるには、getSecureAttrKeys()から返されるキーの数を制限する方法を用意する必要があります。

ヒント: キーを制限する明確な方法がないときや、問合せ時のキーの解決に費用がかかりすぎるときは、クロール指向のアプローチを使用してください。

クエリー・リライトを使用したACLによるセキュリティの例

ACLベースのセキュリティのアプローチは、問合せ時にgetSecureAttrKeys()とともに使用して、セキュアな属性に基づいて追加のセキュリティを施すこともできます。

従業員階層に基づくセキュリティ・ルール

発注を一例に取り、ACLベースのセキュリティとクエリー・リライト・セキュリティの両方を結合するセキュリティ・メカニズムについて説明します。

発注は通常購入を開始するユーザー(従業員)によって所有され、従業員階層は通常そのことを他のユーザーに可視化するルールとして使用されます。たとえば、従業員は各自の発注にのみアクセスできるのに対して、マネージャは自身が所有する発注と部下によって開始された発注にアクセスできます。

次の図に、発注の典型的なエンティティ関連を示します。

発注エンティティ関連

本文の説明内容に関するイメージ

次に、表示するために選択された属性のリストを示します。

Entity 属性
FWK_TBX_PO_HEADERS HEADER_ID (PK)
STATUS_CODE
DESCRIPTION
BUYER_ID (FK)
FWK_PO_LINES LINE_ID (PK)
HEADER_ID (FK)
ITEM_ID (FK)
ITEM_DESCRIPTION
FWK_TBX_ITEMS ITEM_ID (PK)
ITEM_DESCRIPTION
FWK_TBX_EMPLOYEE EMPLOYEE_ID (PK)
FIRST_NAME
LAST_NAME
EMAIL_ADDRESS
MANAGER_ID

クエリー・リライト・セキュリティを使用するには、BUYER_ID属性を「保護されている」属性としてマークします。その内容はその後、Oracle SESでクロール時にACLなしで索引付けされます。

次に、様々な従業員によって開始された発注のサンプル・リストを示します。従業員adillonおよびbcareyekaneの部下で、ekanerlaveryの部下で、rlaverykhartの部下です。

ヘッダーID ステータス・コード 説明 内容 BUYER_ID
1 オープン Dell Computer Oracle Workflow 12(adillon)
2 クローズ Apple, Inc Oracle SES 13(khart)
3 オープン Oracle Oracle Test 14(ekane)
4 承認 Microsoft Oracle Financial 15(bcarey)
5 承認 Oracle Oracle 13(khart)
6 クローズ Dell Computer Oracle Framework 10(rlavery)
7 オープン Oracle Oracle Personnel 14(ekane)

問合せ時に、認証されたユーザーはgetSecureAttrKeys()メソッドを介して1つ以上のキーを取得します。このメソッドによって、BUYER_IDなどのセキュアな属性とともにアプリケーション・コンテキスト情報が渡されます。また、発注にアクセスするキーのリストが返されます。問合せはキーでリライトされ、Oracle SESに転記されます。

前述の発注リストを使用すると、ユーザーekaneがOracleでキーワード検索を実行した場合、キー12、14および15を持つことになります。結果は次のようになります。

ヘッダーID ステータス・コード 説明 内容 BUYER_ID
1 オープン Dell Computer Oracle Workflow 12(adillon)
3 オープン Oracle Oracle Test 14(ekane)
4 承認 Microsoft Oracle Financial 15(bcarey)
7 オープン Oracle Oracle Personnel 14(ekane)

adillonが同じ検索を実行すると、1行のみが返されます。ただし、実際の部門の責任者が検索を実行したときには階層全体を所有し、数千ものキーを持つ可能性があるため、このアプローチはさらに複雑になります。この場合、階層の特定の数のキーまたはレベルのみが返されるようにgetSecureAttrKeys()メソッドにロジックを追加できます。

検索プラグインでのセキュリティ・モデルのサポート

許可されたアクセスから機密アプリケーション・データを保護し、Oracle E-Business Suite内の複雑なセキュリティ・ニーズに対応できるように、Oracle E-Business Suite Secure Enterprise Searchにはシード済セキュリティ検索プラグインが用意されています。これらのプラグインは、広く知られたアプリケーション・セキュリティ・モデルをサポートする事前作成済のパブリックなJavaクラスです。柔軟性のあるプラグイン・セキュリティ・メカニズムにより、ユーザーはセキュリティが適用された適切な取引ページを検索してナビゲートし、必要な情報を取得できます。

Oracle E-Business Suite Secure Enterprise Searchでは、シード済検索プラグインを備えた次のセキュリティ・モデルがサポートされています。

シード済検索プラグインの共通セキュリティ機能

これらのシード済検索プラグインはビジネス上の様々な理由から機密アプリケーション・データ保護のために用意されていますが、いずれにも次の共通セキュリティ機能があります。

ACLおよびクエリー・リライトのセキュリティ・モデルの詳細は、「ACLベースのセキュリティ」および「クエリー・リライト・セキュリティ」を参照してください。

共通セキュリティ機能のほかに、各検索プラグインには様々なセキュリティ要件およびセキュアな属性情報が含まれています。これらについては、次の各項でさらに詳しく説明します。

ビジネス・グループ・ベースの検索セキュリティ

このタイプのセキュリティ・モデルのよい例がOracle E-Business Suite Core HRMSシステムです。

法的エンティティ・ベースの検索セキュリティ

組織ベースの検索セキュリティ

Oracle E-Business Suiteでは、複数組織という概念のほか、複数組織アクセス管理(MOAC)セキュリティ・モデルもサポートされています。

従業員階層ベースの検索セキュリティ

このタイプのセキュリティ・モデルでは、従業員階層に基づいてデータが保護されます。よい例がOracle E-Business Suite内のiExpense、iProcurementおよびiLearningです。これらのアプリケーション・モジュールでは、従業員階層に基づいて特定の従業員の費用、調達および研修情報が検索されます。

その他の考慮事項

Oracle E-Business Suite Secure Enterprise Searchでは、様々なセキュリティ・ルールを追加して検索可能オブジェクトおよびアプリケーション・コンテンツを保護できます。ただし、セキュリティ制限がいくつかあり、パフォーマンスを考慮する必要があります。

制限

複数のセキュリティ属性を実装済である場合、原則として両方のセキュリティ・ルールを満たす必要があります。これにより、複数のユースケースが機能するのを防止できる場合があります。

たとえば、発注の参照が購買担当、承認者および会計士に許可されているとします。ただし、会計士は実際には様々な個人が様々なタイミングで保持できるロールであり、一方購買担当および承認者は各自の従業員IDで認識されます。この場合、セキュアな属性としてemp_idを設定します。このようにemp_idに対してgetSecureAttrAclをコールすると、発注へのアクセスのために付与される職責のリストとともにbuyer_idが返されます。このロジックは、基本的に購買担当の直接従業員IDとその職責を返すgetSecureAttrKeysとペアになっています。

パフォーマンス

クロール時と問合せ時の両方で検索プラグインが使用されるため、オブジェクト・ライフサイクルの様々なタイミングでパフォーマンスにオーバーヘッドが付加されます。これは特にgetAclおよびgetSecureAttrAclに当てはまります。これらのメソッドは行ごとにコールされるためです。

クロール時のパフォーマンス

クロール時のパフォーマンスについては、検索可能オブジェクトのクロール時に高コストになる可能性のある操作が2つあります。

問合せ時のパフォーマンス

セキュリティも問合せ時のパフォーマンスに影響を及ぼします。これは、保護可能な検索可能オブジェクトの場合、getSecurityKeysをコールして問合せをアクセス・キーでリライトする必要があるためです。この機能コールには通常、データベース・コールが伴います。

たとえば、問合せの実行中、Oracle SES認可プラグイン・メカニズムによってHTTPプロトコルでOracle E-Business Suiteセキュリティ・サービス・エンド・ポイントが問い合せられます。セキュリティ・サービス・エンド・ポイントは、Oracle E-Business Suiteユーザーを認証し、問合せユーザーのセキュリティ・キーを生成する場合に使用します。セキュリティ・サービス・エンド・ポイントはサーブレットとして実装され、oafmコンテナにAppSearchサーブレットとして登録されます。このため、セキュリティ・サービス要求はHTTPタイムアウトのリスクとなります。つまり、Oracle SES認可プラグイン・メカニズムによってOracle E-Business Suiteのセキュリティ・サービスが問い合せられた場合、要求は事前定義済の時間内に完了する必要があります。

ガイドラインとして、HTTPタイムアウト値は30000ミリ秒に設定してください。検索プラグインの実行にかかる時間は、問合せの実行時間全体と完全に比例します。このため、反応の早いアプリケーションの場合、実行の順序を次のように分類する必要があります。

  1. 簡単なプラグインの実行: 5000ミリ秒

  2. 中程度に複雑なプラグインの実行: 10000ミリ秒

  3. 複雑なプラグインの実行: 20000ミリ秒

これは顧客が生み出すデータ量とは関係ないことに注意してください。問合せ時のパフォーマンスは通常、クロール時のパフォーマンスよりも優先順位が高くなります。状況に応じてバランスを取る必要があります。

注意: 問合せ中、Oracle SESではgetSecurityKeys()またはgetSecureAttrKeys()を使用して現在のアプリケーション・ユーザーのランタイム・キーがフェッチされます。Oracle SESは、これらのメソッドが結果を取得するまで、事前設定済だが構成可能な時間だけ待機します。タイムアウトになると、Oracle SESでは現在のユーザーのセキュリティ・キーがNULLであるとみなされ、キャッシュされます。ほとんどの場合、検索がヒットしません。これは、目的の検索結果が得られない主な理由の1つです。

キャッシュを使用した問合せ時のパフォーマンスの改善

特定のユーザー、データソースまたはオブジェクト用にOracle SESに格納されたキャッシュ済のセキュリティ・アクセス・キーを使用することで、問合せ時のパフォーマンスを大幅に改善できることに注意してください。これにより、キャッシュが存在する場合には、ユーザーのセキュリティ・キーの同期フェッチの問合せ応答時間が大幅に短縮されるか、またはタイムアウトになります。この機能の使用方法の詳細は、「ユーザー認可キャッシュ」を参照してください。

ユーザー認可キャッシュ

ユーザー認可キャッシュ(UAC)フレームワークは、Oracle E-Business Suiteの特定のユーザー、特定のデータソースまたは検索可能オブジェクトに対するセキュリティ・アクセス・キーを事前クロールし、キャッシュし、Oracle SESに格納できるようにするメカニズムです。

Oracle SESからUAC機能を利用して、ユーザーがユーザー問合せ時に各自またはオブジェクトのアクセス・キーを同期的にフェッチするのではなく検索を実行すると、まずSESでキャッシュ済のセキュリティ・キーが調べられ、各自またはオブジェクトに使用可能なキーが存在するか確認されます。一致しているものが見つかり、キャッシュが使用可能であると、関連付けられたキーを使用して事前作成済のACLが比較されます。次に、一致した索引付け済文書がユーザーのために取得されます。一致しない文書または未承認の文書は、プロセス中にフィルタで動的に除外されます。一致しているものが見つからない場合は、セキュリティ・キーがフェッチされて問合せ時に同期的にセキュリティ・フィルタが構築されます。セキュリティ・キーおよびACLに基づいて一致した索引付け済文書がユーザーのために取得されます。

注意: Oracle SESにUAC機能が含まれていますが、Oracle E-Business Suite用のUACはOracle SESの今後のリリースで完全に有効になる予定です。そのときに初めてUACの利点が明らかになります。

キャッシュ済のキーを使用して文書アクセス権限を承認または拒否することで(ユーザー問合せ時にリアルタイムにキーを生成するのとは対照的に)、この機能ではセキュリティを適用して検索応答時間を大幅に短縮し、結果を迅速に得ることができます。

注意: セキュリティ・プラグインのgetSecurityKeys()メソッドおよびgetSecureAttrKeys()メソッドを実行することで、セキュリティ・キーが生成されます。セキュリティ・プラグイン情報の詳細は、「検索セキュリティ・プラグイン」を参照してください。

ユーザー認可キャッシュの仕組み

UAC機能を有効にするには、特定のユーザー・クローラをOracle E-Business Suiteユーザーのクロール用に初期化してユーザー文書をOracle SESに提供し、他のクローラは検索可能文書のクロールおよび索引付け用にします。

次の図に、クローラ・タスクの概要を示します。

クローラ対話フロー

本文の説明内容に関するイメージ

このユーザー・クローラ・プロセスによって、事前定義済のユーザー認可キャッシュ・ソース・タイプ用にセキュリティ・キーをOracle SESにキャッシュする必要があるOracle E-Business Suiteユーザーのリストが生成されます。「UACソースの定義および更新」を参照してください。

オフラインでのセキュリティ・キーのフェッチ

ユーザーに検索結果を素早く返し、キー導出のアプリケーション・ロジックが複雑であるために問合せ中にセキュリティ・キーのフェッチが同時にタイムアウトする可能性を排除するために、ユーザー・セキュリティ・キーをオフライン・プロセスとして生成できます。

次の図に、認可キャッシュ移入フローの概要を示します。

認可キャッシュ移入フロー概要ダイアグラム

本文の説明内容に関するイメージ

ユーザー・クローラによってOracle E-Business Suiteユーザー文書のリストが生成されると、Oracle SESではその認可プラグインが起動され、ID管理を問い合せてセキュリティ・キーがフェッチされます。これは、クロールされたユーザーおよび特定のデータソースのキーの要求をOracle E-Business Suiteセキュリティ・サービス・エンド・ポイントに送信することで行われます。その後、サービス・エンド・ポイントによって検索プラグインが起動され、ユーザーの資格証明(ユーザー名とパスワード)の検証と同じプロキシ・セッションで実行されるセキュリティ・キーが生成されます。検索プラグインのgetSecurityKeys()メソッドおよびgetSecureAttrKeys()メソッドが実行されて、セキュリティ・キーが生成されます。サービス・エンド・ポイントによって、特定のユーザーおよび特定の検索可能オブジェクトやデータソース用に生成されたキーがキャッシュのために認可プラグインに送信され、Oracle SESにキャッシュされて格納されます。

問合せ時におけるキャッシュ済キーの使用

ユーザーが検索を実行すると、Oracle SESでこれらのキャッシュ済のセキュリティ・キーがまず調べられ、特定のソースおよびユーザーのキャッシュが存在し、そのキャッシュが使用可能かどうかが確認されます。

UACソースの定義および更新

ソース・システムでOracle E-Business Suiteユーザーをクロールするには、特別なユーザー認可キャッシュ・ソース・タイプを定義する必要があります。

UACソースの作成

Oracle SESとシームレスに統合できるOracle E-Business Suiteの場合、Oracle E-Business Suiteまたは検索モデラーから初めて検索可能オブジェクトを配置すると、そのたびにユーザー認可キャッシュ・タイプのソースが1つ透過的に作成されます。このソースには次の情報があります。

パラメータ名
名称 Oracle E-Business Suite UAC
タイプ ユーザー認可キャッシュ
ユーザー検索問合せ " "

注意: 問合せ式では、クロール対象のユーザーのセットを定義します。たとえば、a*は名前が英字aで始まるすべてのユーザーをクロールすることを意味し、NULL値(*)はすべてのOracle E-Business Suiteユーザーをクロールすることを意味します。

SES管理者は、OPERATIONS、BPALMER、SYSADMIN*のようにワイルドカード形式でカンマ区切りのユーザー名を入力できます。入力した名前は、オブジェクトの連続配置の間保持されます。

セキュリティ属性のクロールが必要なソース名 このパラメータには、すでに配置されたソースの値をカンマ区切りで指定します。これらのソース名は、オブジェクトの配置時に自動的に更新されます。

前述の情報により、Oracle SESはセキュリティ・キーのフェッチが必要な特定のユーザーのOracle E-Business Suiteソースを認識します。つまり、UACソースによってユーザーがセキュリティ・キーのキャッシュを必要とするソースとマップされます。

UACソースの更新

その後検索可能オブジェクトを配置すると、現在配置中のソースの名前を含めるようにセキュリティ属性のクロールが必要なソース名パラメータ値が自動的に更新されます。

UACソースの手動更新

ただし、ユーザー・クロールの進行中にこのような配置が発生した場合、UACソースの更新が失敗することがあります。このため、検索管理者が後でソース名を手動で追加する必要があります。

UACソースを手動で更新するには、Oracle SESにログオンし、「ソース」タブを選択します。「ソース・タイプ」に「ユーザー認可キャッシュ」を選択し、「更新」アイコンをクリックします。ユーザー定義ソースの更新ページが表示され、ここでソース情報を更新できます。

UACクロール・スケジュールの管理

検索管理者は、ビジネス・ニーズを満たすためにE-Business Suite UACソースのクロール・ジョブを一定の間隔でスケジュールする必要があります。

クロールの頻度を設定し、クロール・スケジュールを管理する方法については、「Oracle SESでのクロールの管理」および「クロール・スケジュールの管理」を参照してください。

検索可能オブジェクトの管理

検索可能オブジェクトはテキスト検索に使用可能なビジネス・オブジェクトで、ビジネス・データを検索エンジンに公開するために抽象的に使用されます。たとえば、検索可能オブジェクトとしての発注は検索可能プロパティおよび他の検索可能オブジェクトとの関連のセットとして定義されます。Oracle E-Business Suite Secure Enterprise Searchでは、この抽象概念を使用して実行時に論理的な方法でオブジェクトがグループ化されます。

Oracle SESへの配置前に適切なユーザーにのみ公開された機密アプリケーション・コンテキストが含まれているすべての検索可能オブジェクトを保護し、配置後にデータソースを効率よく管理するには、システム管理者または検索管理者は次のタスクを実行する必要があります。

  1. セキュリティ付与を使用した検索可能オブジェクトの保護

    Oracle SESに検索可能オブジェクトを配置し、ユーザーが使用できるようにする前に、まずこれらのオブジェクトを保護する必要があります。ロール・ベースのアクセス管理(RBAC)セキュリティ・モデルという概念を利用して、管理者はセキュリティ付与を作成して、アプリケーション・コンテンツの機密データが承認済の個人によってのみアクセスされるようにすることができます。

  2. Oracle SESへの検索可能オブジェクトの配置

    検索可能オブジェクトの配置準備完了後、システム管理者または検索管理者はそれらをOracle SESインスタンスに配置できます。すべての検索可能オブジェクトをOracle SESに正常に配置できるとは限らないため、この項では配置ガイドラインおよび追加タスクについて説明します。

  3. Oracle SESでのクロールの管理

    Oracle SESインスタンスへの検索可能オブジェクトの配置後、デフォルトでクロール・スケジュールがOracle SESで自動的に作成され、Oracle E-Business Suiteに表示されます。システム管理者または検索管理者はまず、必要なクロール頻度でデフォルトのスケジュールを手動で編集し、初期クロールを開始する必要があります。

セキュリティ付与を使用した検索可能オブジェクトの保護

検索可能オブジェクトが作成され、そのパッチがOracle E-Business Suiteに適用されるとすぐに、検索可能オブジェクトはOracle SESでクロール可能になります。データの整合性およびコンテンツの機密性を損なうことなくユーザーが検索できるようにするには、まず検索可能オブジェクトに関してセキュリティ・コンテキストを作成する必要があります。ロール・ベースのアクセス管理(RBAC)セキュリティ・モデルを使用して、Oracle E-Business Suite Secure Enterprise Searchではアプリケーション・セキュリティを全文検索サービスに容易に埋め込むことができる柔軟性のあるソリューションを実現しています。このソリューションにより、適切なアクセス権限を持つ承認済ユーザーのみが事前索引付け済のOracle SESストアに対してアプリケーション・データを検索または表示できます。

RBACモデルおよびセキュリティ付与の作成方法の詳細は、「ロール・ベースのアクセス管理(RBAC)セキュリティ」を参照してください。

Oracle SESへの検索可能オブジェクトの配置

「構成」タブで前に設定したOracle SESインスタンスへの検索可能オブジェクトの配置準備完了後、システム管理者または検索管理者は単一のオブジェクトを配置したり、検索からすべてのオブジェクトを同時に配置できます。

配置プロセスでは、Oracle SESに次の項目を作成できます。

重要: Oracle SESへの検索可能オブジェクトの配置後、各検索可能オブジェクトのデフォルトのスケジュールがOracle SESに自動的に作成されますが、初期クロールは手動で開始するように設定されています。システム管理者または検索管理者は、Oracle SESの管理ページでクロール頻度を設定し、初期クロールを開始することで、デフォルトのスケジュールを手動で編集する必要があります。それ以外の場合、初期クロールは自動的に開始されません。クロール頻度の設定および初期クロールの開始の詳細は、「クロールの管理」を参照してください。

Oracle SESインスタンスとのこの同期化プロセスでは、まだOracle SESに配置されていないオブジェクトのみを配置できることに注意してください。いったん配置されると、その後の配置ではOracle SESで同じ名前のデータソースを手動で削除し、それを再度配置しないかぎり、Oracle SESインスタンスは更新されません。また、プロキシ・ユーザー名とパスワードを変更した場合、すでにクロールされたビジネス・オブジェクトは更新できず、Oracle SESインスタンスと再同期することもできません。

配置の詳細は、「Oracle SESでの配置の概念およびガイドライン」を参照してください。

検索可能オブジェクトの配置

本文の説明内容に関するイメージ

検索可能オブジェクトを配置するには

  1. アプリケーション検索管理者職責でOracle E-Business Suiteにログオンし、「ナビゲータ」ウィンドウから「アプリケーション検索管理」リンクを選択します。

  2. 「アプリケーション検索管理」ウィンドウから、「検索可能オブジェクト」タブを選択します。

  3. 「表示名」フィールドや「名前」フィールドなどの「検索」リージョンに簡単な検索条件を入力します。「進む」をクリックして検索を実行します。

    オプションで「検索オプションをさらに表示」リンクをクリックして、「UI機能名」、「駆動表」、「ソース・ファイル名」、「ソース・ファイル製品」などのフィールドにさらに検索条件を入力します。

  4. 検索結果表からOracle SESインスタンスに配置する検索可能オブジェクトを1つ選択し、そのオブジェクトの「配置」アイコンをクリックできます。

  5. 「すべて配置」をクリックして、結果表からすべてのオブジェクトを配置します。

    注意: 「すべて配置」を選択すると、検索結果からOracle SESインスタンスにすべてのオブジェクトが配置されます。これはOracle SES参照の再ロードを意味します。

  6. オブジェクトの「表示」リンクをクリックして、オブジェクト詳細を表示します。これらの詳細には検索可能オブジェクトのプロパティ情報と、表示されているか、タイトルが付けられているか、索引付けされているか、格納されているか、保護されているかに関係なく、各オブジェクト・メンバーの属性の詳細な内訳が含まれています。

    検索可能オブジェクトの詳細の表示

    本文の説明内容に関するイメージ

    「非表示」リンクをクリックして詳細ビューを閉じます。

Oracle SESでの配置の概念およびガイドライン

Oracle SESインスタンスへの検索可能オブジェクトの配置のほかに、システム管理者または検索管理者は次の概念に留意する必要があり、必要に応じて追加タスクの実行が必要になる場合もあります。

データソース

データソースは検索対象となる一種のデータです。たとえば、データがWebページにある場合は、Webソースがデータソースです。つまり、データを取得できる特定のエンド・ポイントです。各データソースには、Oracle E-Business Suite 12などのデータ・タイプが関連付けられています。検索可能オブジェクトには多くのビジネス属性が含まれており、クロール時に特定のデータソース・タイプのためにこれらの属性を取得して索引付けできます。

配置プロセスではまだOracle SESインスタンスに配置されていないオブジェクトのみが同期されるため、オブジェクトが配置済である場合、インスタンスの同じ名前のデータソースを手動で削除し、それを再度配置しないかぎり、以後同じオブジェクトを配置してもインスタンスは更新されません。また、プロキシ・ユーザー名とパスワードを変更した場合、すでにクロールされたビジネス・オブジェクトはOracle SESインスタンスと再同期できません。

配置ガイドライン

Oracle SESインスタンスに検索可能オブジェクトを正常に配置するには、次のガイドラインを使用します。

検索可能オブジェクトのクロール・スケジュール

Oracle SESへの検索可能オブジェクトの配置後、各検索可能オブジェクトのデフォルトのスケジュールがOracle SESに自動的に作成されますが、初期クロールは手動で開始するように設定されています。システム管理者または検索管理者は、Oracle SESの管理ページでクロール頻度を設定し、初期クロールを開始することで、デフォルトのスケジュールを手動で編集する必要があります。それ以外の場合、初期クロールは自動的に開始されません。「Oracle SESでのクロールの管理」を参照してください。

データ配置プロセス中、データソースが作成された場合、既存のスケジュールが削除され、新しいスケジュールが作成されます。ただし、すでにクロールされたデータソースの場合、スケジュールは再作成されません。

データソース・グループ

データソース・グループは、数多くのクロールされた索引をグループ化して検索を集約するためにOracle SESで使用される概念です。検索可能オブジェクトごとにデフォルトのデータソース・グループが同じ名前で作成され、このオブジェクトのデータソースのみが含められます。

Oracle SESでグループの検索を実行できるようにするには、E-Business Suiteアプリケーション・インスタンスにこれまで作成されたすべてのグループについて、対応するソース・グループをOracle SESインスタンスにも作成する必要があります。

たとえば、SESGで始まる権限セットごとに、データソース・グループも作成してOracle SES参照を入力します。検索可能オブジェクトにリンクされた権限セットに含まれている権限では、データソースがグループに含まれます。

たとえば、権限セットSESG_SEARCH_CRMには次の権限が含まれています。

Oracle E-Business Suite Secure Enterprise Searchでは、このメカニズムを使用して、アプリケーション・ユーザーが検索可能グループでテキスト検索を実行し、グループに含まれている検索可能オブジェクトを使用して検索結果を調整または絞り込むことができます。

セキュリティ・コンテキストの構築に使用される権限セットの詳細は、「セキュリティ付与を使用した検索可能オブジェクトの保護」を参照してください。

Oracle SESでのクロールの管理

クロール・スケジュールには、索引を各ソースに関する情報で更新する頻度を定義します。SESへの検索可能オブジェクトの配置後、クロール・スケジュールがデータソースとともにOracle SESに自動的に作成され、Oracle E-Business Suiteに表示されます。ただし、このようにクロール・スケジュールが自動的に作成された場合、クロール頻度タイプがデフォルト値「手動による起動」に設定されるため、初期クロールの手動開始が必要になります。それ以外の場合、これらのスケジュールは自動的に開始されません。

注意: 初期クロールとは、検索可能オブジェクトを初めてクロールすることです。通常大規模なデータ・セットが含まれるため、初期クロール・ジョブはピーク時以外の低帯域幅のジョブによってスケジュールすることをお薦めします。

初期クロールで高速パフォーマンスを維持するために、Oracle E-Business Suite Secure Enterprise SearchではADパラレル更新パッケージを使用して、大規模なデータセットを小さな作業単位に分割し、Oracle SESが備えるマルチスレッド・クロール・メカニズムを使用してそれらの作業単位を並行してクロールします。

初期クロールの完了後にソースまたは索引をさらに頻繁に更新する場合は、Oracle SES管理UIを介して「スケジュールの編集」ページでスケジュールのクロール頻度を更新できます。

クロール頻度の設定

本文の説明内容に関するイメージ

Oracle E-Business Suite Secure Enterprise SearchからOracle SES管理ページでクロール頻度を設定するには

  1. アプリケーション検索管理者職責でOracle E-Business Suiteにログオンします。

  2. 「構成」タブを選択し、「タスク」リージョンから「SES管理ログイン」リンクをクリックします。これによって、Oracle SESログイン・ページが開きます。

  3. Oracle SESインスタンスにアクセスできるように、管理者に対して定義したユーザー名とパスワードを入力します。

  4. Oracle SESで、「ホーム」タブおよび「スケジュール」サブタブを選択して「クローラ・スケジュール」ページにアクセスします。

  5. スケジュール名を選択し、「編集」アイコンをクリックして「スケジュールの編集」ページを表示します。

  6. 選択したスケジュール名が「スケジュール名」フィールドに自動的に入力されます。必要に応じて、別のスケジュールを選択して更新することもできます。

  7. 「割当て」リージョンおよび「クローラ再クロール・ポリシーの更新」リージョンはデフォルト値のままにします。

  8. 「クロール・モードの更新」リージョンで、「索引付けのためにすべてのURLを実行」ラジオ・ボタンを選択したままにします。この選択により、ソース内のすべてのURLがクロールされ、索引付けされます。また、それらのURLにあるリンクが抽出され、索引付けされます。URLが以前にクロールされたことがある場合は、変更が加えられたときのみ再索引付けされます。

  9. 「頻度」リージョンで、頻度タイプをデフォルトの「手動による起動」から「毎日」、「毎時間」、「毎週」、「毎月」のいずれかに変更します。「頻度の更新」をクリックします。

  10. 「終了」をクリックして変更内容を保存します。

初期クロールの開始

本文の説明内容に関するイメージ

Oracle SESでクロールを開始、停止または削除するには

  1. アプリケーション検索管理者職責でOracle E-Business Suiteにログオンします。

  2. 「構成」タブを選択し、「タスク」リージョンから「SES管理ログイン」リンクをクリックします。これによって、Oracle SESログイン・ページが開きます。

  3. Oracle SESインスタンスにアクセスできるように、管理者に対して定義したユーザー名とパスワードを入力します。

  4. Oracle SESで、「ホーム」タブおよび「スケジュール」サブタブを選択して「クローラ・スケジュール」ページにアクセスします。

  5. 初期クロールを開始するスケジュール名を選択し、「開始」をクリックします。既存のクロールを停止する場合はスケジュール名を選択して「停止」をクリックし、スケジュールを削除する場合は「削除」をクリックします。

  6. スケジュールを更新するには、スケジュール名を選択し、「編集」をクリックします。「Oracle E-Business Suite Secure Enterprise SearchからOracle SES管理ページでクロール頻度を設定するには」を参照してください。

  7. スケジュール・ステータスを表示するには、「ステータス」列のリンク(「スケジュール」、「無効」、「起動中」、「失敗」など)をクリックして、スケジュールの詳細を表示します。

  8. 「ログ・ファイル」アイコンをクリックして、詳細なクローラ設定およびステータスを表示します。

  9. 「作成」をクリックして、新しいスケジュールを手動で作成します。

Oracle SESでのクロール・スケジュールの管理の詳細は、『Oracle Secure Enterprise Search管理者ガイド』を参照してください。

Oracle E-Business Suite Secure Enterprise Search設定のテスト

次の各項を使用して、Oracle E-Business Suite Secure Enterprise Searchを正常に設定したかどうかを検証します。

一般設定の検証

Oracle E-Business Suite Secure Enterprise Searchの一般設定を検証するには、次のステップを使用します。

  1. 「FND: 検索使用可能フラグ」プロファイル値を「YES」に設定したかどうかをテストします。「YES」に設定されていない場合は、クロールが使用不可になります。

  2. FND検索クローラ(SES_SEARCH_CRAWLER)職責およびアプリケーション検索管理者職責を、システム管理者または検索管理者に割り当てます。この管理者は、問合せのプロキシ・ユーザーとして使用される有効なFNDユーザーである必要があります。

  3. プロキシ・パラメータに正しい値を設定したことを確認します。確認するには、アプリケーション検索管理者職責でOracle E-Business Suiteにログオンし、「構成」タブを選択して設定パラメータを表示します。

    「更新」チェック・ボックスを使用して、SES管理プロキシおよび問合せプロキシをリセットします。たとえば、ユーザー名eqsysとインストール時に指定したパスワードでSES管理プロキシを設定し、ユーザー名sysadminと適切なパスワードで問合せプロキシを設定します。問合せユーザー名は、FND検索クローラ職責を持つ有効なFNDユーザーである必要があります。

    重要: 問合せプロキシ・パラメータを変更した後、SESインスタンスを再起動して変更を反映する必要があります。

配置のテスト

オブジェクトを配置できるかどうかをテストするには、次のステップを使用します。

  1. アプリケーション検索管理者職責でOracle E-Business Suiteにログオンします。

  2. 「検索可能オブジェクト」タブを選択し、配置するオブジェクトを検索します。

  3. 配置するオブジェクトを選択し、「配置」アイコンをクリックします。

スケジュールのテスト

Oracle SESインスタンスへの検索可能オブジェクトの配置後、対応するスケジュールがOracle SESに自動的に作成されたことを確認できます。Oracle SESインスタンスを使用して、クロール・スケジュールを開始します。

正しく機能するかどうかクロール・スケジュールをテストするには、次のステップを使用します。

  1. 「アプリケーション検索管理」ページの「構成」タブを介してOracle SES管理ページにログオンします。

  2. 「ホーム」タブおよび「スケジュール」サブタブを選択します。ページをリフレッシュし、配置したオブジェクトのスケジュールを参照できるようにする必要があります。

  3. スケジュールを選択し、「開始」をクリックして、選択したスケジュールのスケジュール・ステータスの変更を観測します。必要に応じてページをリフレッシュして、ステータス更新を表示します。

検索のテスト

設定タスクの完了後、適切な権限を持つアプリケーション・ユーザーはOracle E-Business Suite内で検索を実行できるようになります。

検索を実行するには、次のステップを使用します。

  1. Oracle E-Business Suiteのホームページで、検索ドロップダウン・リストから検索可能グループを選択します。

  2. テキスト・フィールドに「oracle」などのキーワードを入力し、「進む」をクリックします。

    「結果」リージョンで検索結果が入力されたことを確認できます。

追加管理タスク

Oracle E-Business Suite Secure Enterprise SearchをOracle SESとシームレスに統合するために必要なタスクを設定し、検索可能オブジェクトを保護し配置するための管理タスクを実行するほかに、システム管理者および検索管理者は次のタスクを実行してクロール・スケジュールをプロアクティブに管理し、索引を最適化する必要もあります。

クロール・スケジュールの管理

検索可能オブジェクトの配置後、クロール・スケジュールがデータソースとともにOracle SESに自動的に作成されます。初期クロールの完了後、後続の増分クロールがスケジュールされ、ビジネス・イベント、日付変更、クロール頻度、さらにその他の必要な手動クロールでトリガーされて自動的に実行できます。

クロール・ジョブが開始されると、各クローラによって特定のタイプのビジネス・オブジェクトが取得され、取得されたオブジェクトがOracle SESインデクサで索引付けされるようにプッシュされます。最後に、索引付きのこれらのオブジェクトがユーザー問合せ用にOracle SES索引ストアに格納されます。

たとえば、発注などの検索可能オブジェクトには、製品摘要や従業員Eメール・アドレスなど、数多くの表(ビュー)からのソース・データが存在する可能性があります。これらのフィールドが変更されると、発注の最終更新日も更新されます。このように、スケジュールされたクロールが実行されると、発注が再索引付けされ、Oracle SES索引ストアに格納されます。

Oracle E-Business Suite Secure Enterprise Searchでは、管理者は次の方法でクロール・スケジュールをプロアクティブに管理できます。

クロール・スケジュールの管理

本文の説明内容に関するイメージ

クロール・スケジュールを管理するには

  1. アプリケーション検索管理者職責でOracle E-Business Suiteにログオンし、「ナビゲータ」ウィンドウから「アプリケーション検索管理」リンクを選択します。

  2. 「アプリケーション検索管理」ウィンドウから、「スケジュール」タブを選択します。

  3. 「スケジュール」ページから、スケジュール名、クロール・ステータス、ソース、最終クロール日、次回クロール・スケジュールなど、特定のスケジュールのクロール詳細を参照できます。

  4. 最新のスケジュール詳細を表示するには、「クローラ・スケジュールのリフレッシュ」アイコンをクリックしてリフレッシュされたスケジュールを取得します。

  5. 増分クロール・スケジュールを作成するには、「選択」ラジオ・ボタンをクリックしてスケジュール名を選択し、「増分クロール」をクリックして「次のクロール」フィールドに次回のクロール・スケジュールを作成します。

    増分クロールは、最後のクロール以降の検索可能オブジェクトに対するビジネス・イベントまたは日付変更によって開始できます。

  6. 既存のクロール・ジョブを停止するには、スケジュール名を選択した後、「クロールの停止」をクリックして、選択したスケジュールのクロール・ジョブを停止します。

  7. 選択したスケジュールのすべてのデータを再クロールするには、「強制クロール」をクリックします。

索引の最適化

クローラでは、すべてのソースでクロールされたすべての文書の有効な索引が維持されます。クロールから断片化を減らし、検索の速度を上げるには、管理者はOracle SES管理ページで索引を最適化するためのスケジュールを作成する必要があります。

Oracle E-Business Suite Secure Enterprise Searchを使用すると、要求を介してOracle SESで実行される索引最適化が容易になります。

索引の最適化

本文の説明内容に関するイメージ

索引を最適化するには

  1. アプリケーション検索管理者職責でOracle E-Business Suiteにログオンし、「ナビゲータ」ウィンドウから「アプリケーション検索管理」リンクを選択します。

  2. 「アプリケーション検索管理」ウィンドウから、「構成」タブを選択します。

  3. 「索引の最適化」セクションの「索引の最適化」をクリックします。これでOracle SESに対する最適化要求が発生し、索引が最適化されます。

重要: ユーザーの混乱を最小限に抑えるために、索引最適化は使用率の低い時間帯に実施することをお薦めします。

Oracle SESでの索引最適化の詳細は、『Oracle Secure Enterprise Search管理者ガイド』を参照してください。

エラー・メッセージ

次に、Oracle SESエンジンとの対話の際または問合せ中に違反が発生したことをユーザーに警告または通知するためにOracle E-Business Suite Secure Enterprise Searchで使用されるシード済エラー・メッセージのリストを示します。

エラー・メッセージ・コード 説明
FND_SEARCH_SECURITY このメッセージは、問合せがセキュリティ・ルールに違反していると発生します。問合せモジュールによってプロセスが終了され、このメッセージとともにセキュリティ例外がスローされます。
このメッセージのパラメータには、現在のFNDユーザー名が含まれることがあります。保護された属性のユーザー指定のフィルタはセキュリティ・エラーです。たとえば、問合せに対してキーワードoracleを入力できます。ただし、EMP_ID:dlam content:oracleで問い合せた場合は、EMP_IDが保護された属性であるため、エラー・メッセージが返されます。
FND_SEARCH_TOO_MANY_ENTRIES このメッセージは、問合せエンジンが問合せ後に行ごとの処理を実行したものの、行数が多すぎた場合に発生します。問合せエンジンによってヒューリスティック処理が実行されたり、APIユーザーに例外がスローされることがあります。
FND_SEARCH_SYNTAX_ERROR このメッセージは、問合せ構文がOracle SESに準拠していないと発生します。問合せエンジンによって問合せがリライトされることがあります。
FND_SEARCH_SES_ERROR Oracle E-Business Suite Secure Enterprise SearchがOracle SESエンジンと対話すると、このメッセージによってOracle SESを発生源とする可能性があるエラーがリレーされます。

次の表に、Oracle SESエンジンまたは問合せとの統合時に発生するタイプのエラーのエラー・メッセージ・タイプをリストします。

エラー・メッセージ・タイプ 説明
FND_SEARCH_0001 検索エンジンの一般的なエラーであることを示します。
FND_SEARCH_0002 セキュリティ・エラーであることを示します。
FND_SEARCH_0003 クロール時エラーであることを示します。
FND_SEARCH_0004 メタデータ・エラーであることを示します。
FND_SEARCH_0005 問合せエラーであることを示します。