Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 11g リリース 1 (11.1.1) B61375-02 |
|
前 |
次 |
Oracle Reports 11g リリース1(11.1.1)では、プロキシ・ユーザーを使用したデータベース認証がサポートされています。
Oracle Reportsによりデータベースに接続できるユーザーを制御することで、セキュリティが向上します。
単一のデータベース接続の再利用によりスケーラビリティが実現されています。
次のいずれかの方法で、Oracle Internet Directory統合の従来型(11g以前)セキュリティ・メカニズムを使用すると、Oracle Platform Security Servicesを使用せずに認証を実行できます。
Oracle Enterprise Managerで、「レポート」→「管理」→「Reportsセキュリティ・ポリシーの管理」を選択して、Reportsセキュリティ・ポリシー・ページを表示します。
ステップ1: Delegated Administration Service(DAS)の使用
Oracle Internet Directoryでユーザーを定義する手順は、次のとおりです。
アプリケーションのアイデンティティ・ストアに対するOracle Internet Directoryの構成値を決定します。例:
host:port: stbpo44.oracle.com:3060 user name: cn=orcladmin password: welcome1
新しいユーザーを追加したり、Oracle Internet Directoryの既存のユーザーを使用する場合は、DAS URLを使用します。次に例を示します。
http://stbpo44.oracle.com:7788/oiddas
ステップ2: RWSecurityを使用してOracle Platform Security Services以外の方法で(10g リリース2(10.1.2)と同様に)Oracle Internet Directoryを使用できるようにスタンドアロンReport Serverを構成します。
Reports Serverコンポーネントにナビゲートします。
rwserver.conf
を確認します。
RWSecurity
要素を有効にします。
job
要素のセキュリティIDがRWSecurity
要素のセキュリティIDを反映していることを確認します。
rwserver.conf
を保存します。
次の行をrwservlet.properties
に追加します。
<singlesignon>no</singlesignon>
Reports Serverコンポーネントを再起動します(第6章「Oracle Reports Servicesの起動と停止」を参照)。
次のURLを使用して認証をテストします。
http://host:port/reports/rwservlet/showjobs?server=reports_server_name
データベースで次のようにプロキシ・ユーザー認証を構成できます。
データベースにプロキシ・ユーザーを作成します。中間層に接続するすべてのクライアントが、このユーザー接続を共有します。
次のコマンドを実行します。
CREATE USER proxy_user1 IDENTIFIED BY welcome1;
次の最小限の権限をproxy_user1に割り当てます。
GRANT CONNECT, RESOURCE, CREATE ANY DIRECTORY, DROP ANY DIRECTORY TO proxy_user1
実際のユーザーがすでにデータベースに存在します。
実際のユーザーとしてログインし、権限をプロキシ・ユーザーに割り当て、実際のユーザーのかわりにデータベースに接続します。
ALTER USER scott GRANT CONNECT THROUGH proxy_user1;
または、ロールを定義し、プロキシ・ユーザーがそのロールでデータベースに接続することもできます。
ALTER USER scott GRANT CONNECT THROUGH proxy_user WITH ROLE admin;
実際のデータベース・ユーザーすべてに対して、ステップAまたはステップCを繰り返します。
最小限の権限を持つプロキシ・ユーザーが作成されます。ただし、このプロキシ・ユーザーはロールの割り当てられた実際のユーザーとして接続できます。中間層は、まずプロキシ・ユーザーとしてデータベースに接続し、その後プロキシ・ユーザー・アカウントを使用して実際のユーザーとして接続できます。
ユーザーRADまたはデフォルトのRADのOracle Internet Directoryで新しいリソースを構成できます。このキーを使用して、Oracle Internet Directoryからユーザー名、パスワード、データベース情報などのプロキシ・アクセス情報を取得できます。この情報によりデータベースへの接続が可能です。デフォルトのRADでキーを作成するには、次の手順を実行します。
Oracle Internet Directory構成ページ(http://oidhost:port/oiddas
)にログインします。
「構成
」タブをクリックします。
「プリファレンス
」をクリックします。
図15-5に示すように、「プリファレンス
」ページの「デフォルトのリソース・アクセス情報
」の下で、OracleDB
タイプの新規リソースを作成します。
リソースの作成時、「リソース・アクセス情報
」セクションで、データベース・プロキシ・ユーザー名、データベース・プロキシ・パスワードおよびデータベース値をそれぞれのフィールドに入力します。
新しいキーが作成され、このキーをdbproxyConn
パラメータの値として渡すことができます。プロキシ・ユーザー接続数とそれらのアクセス・レベルは、データベース管理者によって設定されます。
データベース・プロキシ機能を使用するには、Reports構成ファイルで構成設定を追加および変更する必要があります。
rwserver.conf
ファイルで、次のようにdbproxy
キーを設定します。
<dbProxyConnKeys> <dbProxyKey name="key1" database="db1"/> <dbProxyKey name="key2" database="db2"/> </dbProxyConnKeys>
この構成はオプションです。dbproxyConn
パラメータがコマンドラインで渡されない場合、dbproxy
キーはrwserver.confファイルから取得されます。dbproxykey
は、userid
コマンドライン・パラメータで指定したデータベースに基づいて、この構成から取得されます。
rwservlet
を使用してデータベース・プロキシ機能を使用するには、rwservlet.properties
ファイルのenabledbproxy
設定を次のように編集します。
<enabledbproxy>yes</enabledbproxy>
デフォルトでは、enabledbproxy
はno
に設定されています。rwclient
の場合、この構成設定は必要ありません。