| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
前 |
次 |
この章では、デフォルトの組込みWebLogic LDAPサーバーを使用してOracle Business Intelligenceをデプロイする方法を説明します。
デフォルトの組込みWebLogic LDAPサーバーをデプロイすることで、事前構成済のユーザー、グループおよびアプリケーション・ロールを使用できます。また、独自のユーザー、グループおよびアプリケーション・ロールを開発することもできます。
この章の内容は次のとおりです。
第2.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの作成と管理」
第2.7項「デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性の有効化」
デフォルトの組込みWebLogic LDAPサーバーから代替認証プロバイダ(たとえば、OID、外部表または別のLDAPディレクトリ)へ、ユーザー(それらの暗号化パスワードを使用)およびグループを移行できます。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle Business Intelligenceのインストール時には、Oracle Business Intelligenceのデプロイに使用できる、事前構成済のユーザー、グループおよびアプリケーション・ロールが数多くあります。たとえば、(Weblogicのように、インストール時にユーザーが指定した名前が付けられている)BIAdministratorsグループに割り当てられるユーザー、BIAdministratorsという名前のグループ、BIAdministratorという名前の関連アプリケーション・ロールがあります。デフォルトでインストールされるユーザー、グループおよびアプリケーション・ロールは、連携して機能するように事前構成されます。たとえば、インストールされたBIConsumersグループは、BIConsumerアプリケーション・ロールに割り当てられます。デフォルト・セキュリティ構成の詳細は、付録B「デフォルト・セキュリティ構成の理解」を参照してください。
|
注意: デフォルトのユーザー、グループまたはアプリケーション・ロールの変更は、Oracleサポートによってそのように明示的にアドバイスされない限りは行わないでください。インストールされたグループおよびアプリケーション・ロールで作成したコピーを変更するのみにしてください。 |
インストールされたアプリケーション・ロールは、インストールされたOracle BIプレゼンテーション・カタログ、BIリポジトリ(RPD)およびポリシー・ストアを操作できるように、適切な権限を備えて事前構成されます。たとえば、BIAuthorという名前のアプリケーション・ロールは、ダッシュボード、レポート、アクションなどの作成に必要な権限を備えて事前構成されます。
次の図は、インストールされ事前構成されたユーザー、グループおよびアプリケーション・ロールを示しています。
使用可能なグループは、次のとおりです。
BIConsumers (BIConsumerアプリケーション・ロールで事前構成済)
BIAuthors (BIAuthorアプリケーション・ロールで事前構成済)
BIAdministrators (BIAdministratorアプリケーション・ロールで事前構成済)
インストール時に指定されるユーザー(たとえば、Weblogic)は、BIAdministratorsという名前のWebLogic管理者グループ、およびBIAdministratorという名前の関連アプリケーション・ロールに自動的に割り当てられます。このユーザーは、Oracle Business Intelligenceツールにログインして他のユーザーを作成および管理する権限を持ちます。
注意: グループは階層的に組織され、親グループから権限を継承します。つまり、BIAdministratorsグループは、BIAuthorsグループおよびBIConsumersグループから自動的に権限を継承します。この階層は変更しないでください。
インストールされたグループおよびアプリケーション・ロールを使用して、セキュリティをデプロイできます。また、必要な場合は、ビジネス・ニーズに合わせて独自のグループおよびアプリケーション・ロールを開発できます。例:
Fredという名前の従業員に、ダッシュボードおよびレポートの作成を可能にしたい場合は、Fredという名前の新規ユーザーを作成し、FredをデフォルトのBIAuthorsグループに割り当てることができます。
ユーザーFredに、BIAuthors職務およびBIAdministrator職務の実行を可能にしたい場合は、BIAuthors権限およびBIAdministrators権限を持つBIManagerという名前の新規アプリケーション・ロールを作成できます。
ユーザーFredをSalesダッシュボード作成者にしたい場合は、リポジトリ内のSalesサブジェクト・エリアの表示およびSalesダッシュボードの編集の権限を持つ、Sales Dashboard Authorという名前のアプリケーション・ロールを作成できます。
インストールされたユーザー、グループおよびアプリケーション・ロールの詳細は、付録B「デフォルト・セキュリティ構成の理解」を参照してください。
この例では、ユーザー、グループおよびアプリケーション・ロールの小さいセットを使用して、デフォルトのグループおよびアプリケーション・ロールを使用するセキュリティ・ポリシーの設定方法を示します。この例では、次を実装します。
ビジネス・インテリジェンス・レポートを表示する必要がある、User1、User2およびUser3という名前の3ユーザー
ビジネス・インテリジェンス・レポートを作成する必要がある、User4およびUser5という名前の2ユーザー
Oracle Business Intelligenceを管理する、User6およびUser7という名前の2ユーザー
次の図は、このセキュリティ・モデルを実装するためにデプロイするユーザー、グループおよびアプリケーション・ロールを示しています。
前述の例は、次のことを示しています。
BIConsumersという名前のグループには、User1、User2およびUser3が含まれます。グループBIConsumers内のユーザーは、BIConsumerという名前のアプリケーション・ロールに割り当てられます。このアプリケーション・ロールは、ユーザーにレポートの表示を可能にします。
BIAuthorsという名前のグループには、User4およびUser5が含まれます。グループBIAuthors内のユーザーは、BIAuthorという名前のアプリケーション・ロールに割り当てられます。このアプリケーション・ロールは、ユーザーにレポートの作成を可能にします。
BIAdministratorsという名前のグループには、User6およびUser7が含まれます。グループBIAdministrators内のユーザーは、BIAdministratorという名前のアプリケーション・ロールに割り当てられます。このアプリケーション・ロールは、ユーザーにリポジトリの管理を可能にします。
この例のセキュリティ・モデルを実装するには、次のことを行います。
第2.3.3項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、User1からUser7までの7ユーザーを作成します。
インストールされ事前構成されたグループに、次のようにユーザーを割り当てます。
BIConsumersという名前の事前構成済グループに、User1、User2およびUser3を割り当てます。
BIAuthorsという名前の事前構成済グループに、User4およびUser5を割り当てます。
BIAdministratorsという名前の事前構成済グループに、User6およびUser7を割り当てます。
詳細は、第2.3.5項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」を参照してください。
この項では、組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの作成方法と管理方法を説明します。次のトピックがあります:
この項では、ユーザー、グループおよびアプリケーション・ロールを設定するための推奨される方法をまとめてあります。
セキュリティを設定する最も簡単な方法は、ユーザーを作成し、それらをデフォルト・グループ(つまり、BIConsumers、BIAuthorsまたはBIAdministrators)に割り当てることです。
たとえば、Fredという名前のユーザーを作成し、FredをBIAuthorsという名前のデフォルト・グループに割り当てるとします。グループBIAuthorsは、メタデータ・リポジトリ(RPD)やOracle BIプレゼンテーション・カタログなど、他のBIコンポーネントへのアクセスに必要な権限を持つように事前構成されます。
詳細な手順は、第2.3.1.1項「デフォルトのグループへのユーザーの割当て」を参照してください。
デフォルト・グループ(つまり、BIConsumers、BIAuthorsまたはBIAdministrators)がビジネス要件を満たしていない場合は、独自のグループおよびアプリケーション・ロールを作成することで、デフォルト・セキュリティ・モデルを拡張できます。
たとえば、Jimという名前のユーザーを作成し、BIMarketingRoleという名前の新規アプリケーション・ロールに割り当てられるBIMarketingGroupという名前の新規グループにJimを割り当てたい場合などがあります。
詳細な手順は、第2.3.1.2項「新規グループおよび新規アプリケーション・ロールへのユーザーの割当て」を参照してください。
新規ユーザーを作成し、そのユーザーをデフォルトのグループに割り当てるには:
第2.3.2項「Oracle WebLogic Server管理コンソールの起動」の説明に従って、WebLogic管理コンソールを起動します。
第2.3.3項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、新規ユーザーを作成します。
第2.3.5項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」の説明に従って、インストールされたグループのいずれか(つまり、BIConsumers、BIAuthorsまたはBIAdministrators)に新規ユーザーを割り当てます。
新規ユーザーを作成して、そのユーザーを新規グループおよび新規アプリケーション・ロールに割り当てるには:
第2.3.2項「Oracle WebLogic Server管理コンソールの起動」の説明に従って、WebLogic管理コンソールを起動します。
第2.3.3項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、新規ユーザーを作成します。
第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループの作成」の説明に従って、新規グループを作成します。
第2.4.2.2項「アプリケーション・ロールの作成」の説明に従って、新規アプリケーション・ロールを作成し、それを新規グループに割り当てます。
グループをアプリケーション・ロールに割り当てるのみの場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の手順を実行します。
第2.5.2項「アプリケーション・ロールのリポジトリ権限の設定」の説明に従って、リポジトリ(RPDファイル)を編集し、新規アプリケーション・ロールの権限を設定します。
第2.6.3項「アプリケーション・ロールに対するOracle BIプレゼンテーション・カタログの権限の設定」の説明に従って、Oracle BIプレゼンテーション・カタログを編集し、新規のユーザーおよびグループの権限を設定します。
Oracle WebLogic Serverは自動的にインストールされ、デフォルト管理サーバーとして機能します。管理コンソールはブラウザベースであり、特に、デフォルト認証システムとして構成される組込みディレクトリ・サーバーの管理に使用されます。それは、WebブラウザにそのURLを入力することで起動されます。デフォルトURLは、http://hostname:port_number/consoleのような形式となります。ポート番号は、管理サーバー用に使用される番号と同じであり、デフォルトは7001です。管理コンソールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプを参照してください。
Oracle WebLogic Server管理コンソールを起動するには:
WebブラウザにそのURLを入力することで、Oracle WebLogic Serverにログインします。
たとえば、http://hostname:7001/consoleなどと入力します。
Oracle Business Intelligence管理ユーザーおよびパスワード資格証明を使用してログインし、「ログイン」をクリックします。
Oracle Business Intelligenceのインストール中に、ユーザー名およびパスワードが指定されました。これらの値がそれ以降に変更されている場合は、現在の管理ユーザー名とパスワードの組合せを使用してください。
管理コンソールが表示されます。
通常、Oracle Business Intelligence環境では、ビジネス・ユーザーごとに別々のユーザーを作成します。たとえば、レポート・コンシューマを30ユーザー、レポート作成者を3ユーザー、および管理者を1ユーザー、デプロイするように計画できます。この場合は、Oracle WebLogic Server管理コンソールを使用して34ユーザーを作成し、それらのユーザーを後で適切なグループに割り当てます(たとえば、BIConsumers、BIAuthorsおよびBIAdministratorsという名前の事前構成済グループを使用できます)。
|
ヒント: 一連のユーザー、グループおよびアプリケーション・ロールを示すセキュリティ・モデルの例は、第2.2項「デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例」を参照してください。 |
デプロイするユーザーごとに、この作業を繰り返します。
組込みWebLogic LDAPサーバーにおいて新規ユーザーを作成するには:
Oracle WebLogic Server管理コンソールを起動します。
詳細は、第2.3.2項「Oracle WebLogic Server管理コンソールの起動」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします(たとえば、myrealmなど)。
「ユーザーとグループ」タブ→「ユーザー」を選択します。「新規」をクリックします。
「新しいユーザーの作成」ペインで、次の情報を指定します。
名前: ユーザーの名前を入力します。無効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: ユーザー情報が含まれるアイデンティティ・ストアに対応するリストから、認証プロバイダを選択します。DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
パスワード: 8文字以上の長さで、ユーザーのパスワードを入力します。
パスワードの確認: ユーザー・パスワードを再入力します。
「OK」をクリックします。
ユーザー名は、User表に追加されます。
通常、Oracle Business Intelligence環境では、ビジネス・ユーザーの機能タイプごとに別々のグループを作成します。たとえば、標準的なデプロイメントには、BIConsumers、BIAuthorsおよびBIAdministratorsという3つのグループが必要となる場合があります。この場合は、Oracle Business IntelligenceとともにインストールされたBIConsumers、BIAuthorsおよびBIAdministratorsという名前の事前構成済グループを使用するか、独自のカスタム・グループを作成することができます。
|
ヒント: 一連のユーザー、グループおよびアプリケーション・ロールを示すセキュリティ・モデルの例は、第2.2項「デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例」を参照してください。 |
デプロイするグループごとに、この作業を繰り返します。
組込みWebLogic LDAPサーバーにおいてグループを作成するには:
Oracle WebLogic Server管理コンソールを起動します。
詳細は、第2.3.2項「Oracle WebLogic Server管理コンソールの起動」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします(たとえば、myrealmなど)。
「ユーザーとグループ」タブ→「グループ」を選択します。「新規」をクリックします。
「新しいグループの作成」ペインで、次の情報を指定します。
名前: グループの名前を入力します。グループ名は大文字と小文字が区別されません。また、一意である必要があります。無効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: グループ情報が含まれるアイデンティティ・ストアに対応するリストから、認証プロバイダを選択します。DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
「OK」をクリックします。
グループ名は、Group表に追加されます。
通常は、各ユーザーを適切なグループに割り当てます。たとえば、標準的なデプロイメントには、レポート・コンシューマをBIConsumersという名前のグループに割り当てるためのユーザーIDの作成が必要となる場合があります。この場合は、BIConsumersという名前のデフォルトのグループにユーザーを割り当てるか、作成したカスタム・グループにユーザーを割り当てることができます。
|
ヒント: 一連のユーザー、グループおよびアプリケーション・ロールを示すセキュリティ・モデルの例は、第2.2項「デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例」を参照してください。 |
この作業を繰り返して、各ユーザーを適切なグループに割り当てます。
組込みWebLogic LDAPサーバーにおいてグループにユーザーを追加するには:
Oracle WebLogic Server管理コンソールを起動します。
詳細は、第2.3.2項「Oracle WebLogic Server管理コンソールの起動」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします(たとえば、myrealmなど)。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
「ユーザー」表で、グループに追加するユーザーを選択します。
「グループ」タブを選択します。
「使用可能」リスト・ボックスから1つまたは複数のグループを選択します。
「保存」をクリックします。
ユーザーのデフォルト・パスワードを変更したい場合は、このオプションのタスクを実行します。
組込みWebLogic LDAPサーバーにおいてユーザー・パスワードを変更するには:
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします(たとえば、myrealmなど)。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
Users表で、パスワードを変更したいユーザーを選択します。ユーザーの「設定」ページが表示されます。
「パスワード」タブを選択し、「新規パスワード」フィールドおよび「パスワード確認」フィールドにパスワードを入力します。
「保存」をクリックします。
注意: システム・ユーザーのパスワードを変更する場合は、資格証明ストアでも変更する必要があります。
Oracle Business Intelligenceでは、Fusion Middleware Controlを使用して、ユーザーおよびグループに権限を与えるアプリケーション・ロールおよびアプリケーション・ポリシーを管理します。Fusion Middleware Controlの使用の詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。
第2.4.1項「Oracle Fusion Middleware Controlの起動およびセキュリティ管理用ページの配置」
第2.4.4項「Oracle Fusion Middleware Controlの使用によるアプリケーション・ロールの変更」
|
ヒント: デフォルトの組込みWebLogic LDAPサーバーとともにインストールされるデフォルト・グループ(つまり、BIConsumers、BIAuthorsおよびBIAdministrators)を使用している場合、これらのグループは、適切なアプリケーション・ロール(つまり、BIConsumer、BIAuthorまたはBIAdministrator)に割り当てられます。デフォルトのグループをアプリケーション・ロールに割り当てるために必要な追加の手順はありません。 |
セキュリティを設定する最も簡単な方法は、デフォルトのアプリケーション・ロール(つまり、BIConsumer、BIAuthorおよびBIAdministrator)にグループを割り当てることです。デフォルトのグループはそれぞれ、適切なデフォルトのアプリケーション・ロールを使用するように事前構成されています。たとえば、BIAuthorsという名前のデフォルトのグループは、BIAuthorという名前のデフォルトのアプリケーション・ロールに割り当てられます。つまり、BIAuthorsという名前のデフォルトのグループに追加するすべてのユーザーには、レポートの作成および関連職務の実行に必要な権限が、自動的に付与されます。
より複雑またはきめ細かなセキュリティ・モデルを作成する場合は、この項の説明に従って、独自のアプリケーション・ロールおよびアプリケーション・ポリシーを作成できます。たとえば、マーケティング部門のレポート作成者に、メタデータ・リポジトリおよびOracle BIプレゼンテーション・カタログのマーケティング領域への書込みアクセス権のみを付与するとします。これを実現するには、BIAuthorMarketingという名前の新規アプリケーション・ロールを作成し、それに適切な権限を提供します。
デプロイするアプリケーション・ロールを設定するには、次のことを行います。
必要に応じて、新規アプリケーション・ロールを作成します。詳細は、第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成」を参照してください。
注意: デフォルト・アプリケーション・ポリシーに基づいてアプリケーション・ロールを作成するか、独自のアプリケーション・ポリシーを作成することができます。デフォルトのユーザー、グループおよびアプリケーション・ロールの詳細は、第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。
必要に応じて、新規アプリケーション・ポリシーを作成します。詳細は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。
(オプション)必要に応じて、アプリケーション・ロールの権限付与またはメンバーシップを変更します。詳細は、第2.4.4項「Oracle Fusion Middleware Controlの使用によるアプリケーション・ロールの変更」を参照してください。
この項では、Oracle Fusion Middleware Controlの起動方法およびセキュリティ・コンポーネントの管理に使用されるページの配置方法を説明します。項目は次のとおりです。
第2.4.1.2項「coreapplicationからのFusion Middleware Controlの「セキュリティ」メニューの表示」
第2.4.1.3項「bifoundation_domainからのFusion Middleware Controlの「セキュリティ」メニューの表示」
Fusion Middleware Controlは、ファームの監視および管理に使用できる、Webブラウザベースのグラフィカル・ユーザー・インタフェースです。ファームとは、Fusion Middleware Controlによって管理されるコンポーネントのコレクションです。複数のOracle WebLogic Serverドメイン、1台の管理サーバー、1台以上の管理対象サーバー、複数のクラスタ、およびそのドメインでインストールおよび構成されて実行されている複数のOracle Fusion Middlewareコンポーネントを含むことができます。インストール中にOracle WebLogic Serverドメインが作成され、そのドメインにOracle Business Intelligenceがインストールされます。「単純」または「エンタープライズ」インストール・タイプを実行した場合は、このドメインはbifoundation_domainという名前になり、Fusion Middleware Controlターゲット・ナビゲーション・ペイン内の「WebLogicドメイン」の下に配置されます。
WebブラウザにそのURLを入力することでFusion Middleware Controlを起動します。URLには、インストール時に割り当てられたホスト名および管理ポート番号が含まれています。このURLは、http://hostname:port_number/emのような形式となります。デフォルト・ポートは7001です。
Oracle Business Intelligenceセキュリティ構成の管理時に使用される共通のFusion Middleware Controlセキュリティ・ページにアクセスするために利用可能な方法は複数あります。ターゲット・ナビゲーション・ペインで使用されるアクセス・ポイントに応じて、事前にobiアプリケーション・ストライプが選択されます。アクセス・ポイントは、次のとおりです。
coreapplicationから - ショートカット・メニューから「アプリケーション・ポリシー」ページおよび「アプリケーション・ロール」ページにアクセスできます。obiアプリケーション・ストライプは事前に選択されており、Oracle Business Intelligenceアプリケーション・ポリシーまたはアプリケーション・ロールが表示されます。ショートカット・メニューからFusion Middleware Controlのすべての「セキュリティ」メニュー・オプションにアクセスできるわけではありません。
詳細は、第2.4.1.2項「coreapplicationからのFusion Middleware Controlの「セキュリティ」メニューの表示」を参照してください。
bifoundation_domainから - 「セキュリティ」メニューから「アプリケーション・ポリシー」と「アプリケーション・ロール」のどちらかを選択する場合は、obiアプリケーション・ストライプを選択する必要があり、検索が開始されます。この方法により、Fusion Middleware Controlのすべての「セキュリティ」メニュー・オプションを利用可能です。
詳細は、第2.4.1.3項「bifoundation_domainからのFusion Middleware Controlの「セキュリティ」メニューの表示」を参照してください。
Fusion Middleware Controlの使用の詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
coreapplicationからFusion Middleware Controlの「セキュリティ」メニューを表示するには:
次の方法のいずれかを使用することで、「アプリケーション・ポリシー」ページまたは「アプリケーション・ロール」ページにアクセスするためのショートカットに、事前選択されているobi (Oracle Business Intelligence)アプリケーション・ストライプ、および対応するOracle Business Intelligenceポリシーまたはロールの表示が提供されます(ポリシー・ストアがストライプによって編成され、ユーザーがobiストライプを使用します)。
WebブラウザにURLを入力することで、Fusion Middleware Controlにログインします。
たとえば、http://hostname:port_number/emなどと入力します。
Fusion Middleware Controlログイン・ページが表示されます。
図em_login.gifの説明
Oracle Business Intelligence管理ユーザー名およびパスワードを入力し、「ログイン」をクリックします
パスワードは、Oracle Business Intelligenceのインストール中に指定したものです。これらの値が変更されている場合は、現在の管理ユーザー名とパスワードの組合せを使用してください。
ターゲット・ナビゲーション・ペインから「Business Intelligence」を開き、「coreapplication」を選択します。次の方法のいずれかを選択することで、「セキュリティ」メニューを表示します。
「coreapplication」を右クリックし、「セキュリティ」を選択して、オプションとして「アプリケーション・ポリシー」および「アプリケーション・ロール」を備えたサブメニューを表示します。
コンテンツ・ペインから「Business Intelligenceインスタンス」メニューを選択し、「セキュリティ」を選択して、オプションとして「アプリケーション・ポリシー」および「アプリケーション・ロール」を備えたサブメニューを表示します。
必要に応じて「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択します。obi (Oracle Business Intelligence)のアプリケーション・ストライプが選択され、対応するOracle Business Intelligenceのポリシーまたはロールが表示されます。
次の図は、Oracle Business Intelligenceのデフォルトのアプリケーション・ポリシーを表示する「アプリケーション・ポリシー」ページの例を示しています。
次の図は、Oracle Business Intelligenceのデフォルトのアプリケーション・ロールを表示する「アプリケーション・ロール」ページの例を示しています。
bifoundation_domainからFusion Middleware Controlの「セキュリティ」メニューを表示するには:
次の方法のいずれかを使用する場合は、後でobiアプリケーション・ストライプを選択して、Oracle Business Intelligenceアプリケーション・ポリシーまたはアプリケーション・ロールを検索する必要があります。
WebブラウザにURLを入力することで、Fusion Middleware Controlにログインします。
たとえば、http://hostname:port_number/emなどと入力します。
Fusion Middleware Controlログイン・ページが表示されます。
Oracle Business Intelligence管理ユーザー名およびパスワードを入力し、「ログイン」をクリックします。
パスワードは、Oracle Business Intelligenceのインストール中に指定したものです。これらの値が変更されている場合は、現在の管理ユーザー名とパスワードの組合せを使用してください。
ターゲット・ナビゲーション・ペインから「WebLogicドメイン」を開き、「bifoundation_domain」を選択します。次の方法のいずれかを選択することで、「セキュリティ」メニューを表示します。
「bifoundation_domain」を右クリックし、「セキュリティ」を選択してサブメニューを表示します。
コンテンツ・ペインから「WebLogic Server」メニューを選択し、「セキュリティ」を選択してサブメニューを表示します。
この項では、Oracle Fusion Middleware Controlの使用によるアプリケーション・ロールの作成方法および管理方法を説明します。次のトピックがあります:
新しいOracle Business Intelligenceのデプロイメントでは、通常、Oracle Business Intelligence環境でのビジネス・ユーザー・アクティビティのタイプごとにアプリケーション・ロールを作成します。たとえば、標準的な配置には、BIConsumer、BIAuthorsおよびBIAdministratorという3つのアプリケーション・ロールが必要となる場合があります。この場合は、Oracle Business IntelligenceとともにインストールされるBIConsumer、BIAuthorおよびBIAdministratorという名前の事前構成済アプリケーション・ロールを使用するか、独自のカスタム・アプリケーション・ロールを作成することができます。デフォルト・アプリケーション・ロールの詳細は、第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。
Oracle Business Intelligenceアプリケーション・ロールは、ユーザーが保持しているロールを表します。たとえば、セールス・アナリストのアプリケーション・ロールを保持することにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。新規アプリケーション・ロールを作成して、インストール中に構成されたデフォルト・ロールを補完または置換できます。アプリケーション・ロールをディレクトリ・サーバー・グループから分離して区別しておくことで、認可要件に対応しやすくなります。企業のディレクトリ・サーバーで定義されているグループを変更する必要なく、環境のビジネス・ロールと一致する新規アプリケーション・ロールを作成できます。認可要件をより効率的にコントロールするには、ユーザーの既存グループをディレクトリ・サーバーからアプリケーション・ロールに割り当てます。
|
注意: 新規アプリケーション・ロールを作成し、それをデフォルトのOracle Business Intelligenceセキュリティ構成に追加する前に、権限およびグループの継承がどのように行われるのかを把握しておいてください。これは、循環依存が発生しないロール階層を構成する際に重要となります。詳細は、第B.4.4項「アプリケーション・ロールを使用して権限が付与される方法」を参照してください。 |
アプリケーション・ロールの作成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用したポリシーの管理に関する項を参照してください。
注意: オフライン・モードでのBIリポジトリの使用についての高度な情報は、第2.5.3.1項「メタデータ・リポジトリ内のアプリケーション・ロールの管理について」を参照してください。
新規アプリケーション・ロールの作成方法には、次の2つがあります。
新規作成 - 新規アプリケーション・ロールが作成されます。メンバーを同時に追加することや、新規ロールに名前を付けて保存し、後でメンバーを追加することができます。
既存のコピー - 既存のアプリケーション・ロールをコピーすることで、新規アプリケーション・ロールが作成されます。コピーには元と同じメンバーが含まれ、元と同じアプリケーション・ポリシーの権限受領者となります。新規アプリケーション・ロールをさらにカスタマイズするために、必要に応じて、コピーに対して変更を行うことができます。
アプリケーション・ロール内のメンバーシップは、Fusion Middleware Controlの「アプリケーション・ロール」ページを使用してコントロールされます。アプリケーション・ロールの有効メンバーには、ユーザーやグループなどのアプリケーション・ロールがあります。
権限付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページでコントロールされます。権限付与定義がアプリケーション・ポリシーで設定され、その後、アプリケーション・ポリシーがアプリケーション・ロールに付与されます。詳細は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。
Fusion Middleware Controlにログインして「アプリケーション・ポリシー」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Oracle Fusion Middleware Controlの起動およびセキュリティ管理用ページの配置」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要な場合は、「検索するアプリケーション・ストライプの選択」を選択し、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。次の図は、デフォルト・アプリケーション・ロールを示しています。
図em_defaultroles.gifの説明
「作成」をクリックして、「アプリケーション・ロールの作成」ページを表示します。一度にすべての情報を入力することも、「ロール名」を入力し、保存してから残りのフィールドに入力することもできます。
「一般」では:
ロール名 - アプリケーション・ロールの名前を入力します
(オプション)表示名 - アプリケーション・ロールの表示名を入力します。
(オプション)説明 - アプリケーション・ロールの説明を入力します。
「メンバー」セクションで、アプリケーション・ロールに割り当てられるユーザー、グループおよびアプリケーション・ロールを選択します。「アプリケーション・ロールの追加」、「グループの追加」または「ユーザーの追加」を選択します。表示されるダイアログ・ボックス内を検索するには:
「名前」フィールドに名前を入力し、青いボタンをクリックして検索します。
「使用可能」ボックスで、戻された結果から選択します。
シャトル・コントロールを使用して、必要な名前を「選択済」ボックスに移動します。
「OK」をクリックして、「アプリケーション・ロールの作成」ページに戻ります。
必要なすべてのメンバーがアプリケーション・ロールに追加されるまで、手順を繰り返します。
「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。
作成したアプリケーション・ロールが、ページ下部の表に表示されます。
既存のアプリケーション・ロールに基づいてアプリケーション・ロールを作成するには:
Fusion Middleware Controlにログインして「アプリケーション・ポリシー」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Oracle Fusion Middleware Controlの起動およびセキュリティ管理用ページの配置」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要な場合は、「検索するアプリケーション・ストライプの選択」を選択し、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。
リストからコピーしたいアプリケーション・ロールを選択し、アクション・ボタンを有効にします。
「類似作成」をクリックし、アプリケーション・ロールの類似作成ページを表示します。
「メンバー」セクションに、元のロールに割り当てられるのと同じアプリケーション・ロール、グループまたはユーザーが入力されます。
「ロール名」、「表示名」および「説明」の各フィールドに入力します。
次の図は、デフォルトBIAuthorアプリケーション・ロールに基づいている、MyNewRoleという名前が付けられた新規アプリケーション・ロールを示しています。
必要に応じてメンバーを変更し、「OK」をクリックします。
作成したアプリケーション・ロールがページ下部の表に表示されます。次の図は、デフォルトBIAuthorアプリケーション・ロールに基づいているMyNewRoleの例を示しています。
グループをアプリケーション・ロールに割り当て、そのグループ内のユーザーに適切なセキュリティ権限を提供します。たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とするとします。この場合、BIMarketingGroupという名前のグループをBIConsumerMarketingという名前のアプリケーション・ロールに割り当てます。
Fusion Middleware Controlにログインして「アプリケーション・ポリシー」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Oracle Fusion Middleware Controlの起動およびセキュリティ管理用ページの配置」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要な場合は、「検索するアプリケーション・ストライプの選択」を選択し、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。次の図は、デフォルト・アプリケーション・ロールを示しています。
図em_defaultroles.gifの説明
リスト内のアプリケーション・ロールを選択し、「編集」をクリックして編集ダイアログを表示し、次のようにフィールドに入力します。
「メンバー」セクションで「グループの追加」オプションを使用して、「ロール」リストに割り当てるグループを追加します。
たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とする場合は、BIMarketingGroupという名前のグループを「ロール」リストに追加します。
「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。
デフォルトの事前構成済アプリケーション・ポリシーに基づいてアプリケーション・ロールを作成するか、独自のアプリケーション・ポリシーを作成することができます。
アプリケーション・ポリシーは、RPDまたはOracle BIプレゼンテーション・カタログのオブジェクトおよび機能には権限を適用しません。
すべてのOracle Business Intelligence権限はインストールの一部として提供され、新しい権限は作成できません。アプリケーション・ポリシーは、権限付与を定義するメカニズムです。権限付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページでコントロールされます。権限付与は、アプリケーション・ポリシーで定義されます。アプリケーション・ロール、ユーザーまたはグループは、その後、アプリケーション・ポリシーに割り当てられます。このプロセスにより、アプリケーション・ロールがアプリケーション・ポリシーの権限受領者になります。
新規アプリケーション・ポリシーの作成方法には、次の2つがあります。
新規作成 - 新規アプリケーション・ポリシーが作成され、それに権限が追加されます。
既存のコピー - 既存のアプリケーション・ポリシーをコピーすることで、新規アプリケーション・ポリシーが作成されます。コピーに名前が付けられ、既存の権限が削除されるか権限が追加されます。
アプリケーション・ポリシーの作成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用したポリシーの管理に関する項を参照してください。
Fusion Middleware Controlにログインして「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Oracle Fusion Middleware Controlの起動およびセキュリティ管理用ページの配置」を参照してください。
obiアプリケーション・ストライプが事前に選択され、Oracle Business Intelligenceアプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要な場合は、「検索するアプリケーション・ストライプの選択」を選択し、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。
「作成」をクリックして、「アプリケーション権限の作成」ページを表示します。
作成するポリシーに権限を追加するには、「権限」領域で「追加」をクリックして「権限の追加」ダイアログを表示します。
「検索」領域に入力し、「リソース名」フィールドの横の青い検索ボタンをクリックします。
obiアプリケーション・ストライプで検出されたすべての権限が表示されます。
必要なOracle Business Intelligencer権限を選択し、「OK」をクリックします。必要なすべての権限が選択されるまで繰り返します。Oracle Business Intelligence以外の権限を選択することによる、ポリシーへの影響はありません。
任意のアイテムを削除するには、それを選択して、「削除」をクリックします。
「アプリケーション権限の作成」ページに戻されます。選択した権限が「権限」領域に表示されます。
作成するポリシーにアプリケーション・ロールを追加するには、「権限受領者」領域の「アプリケーション・ロールの追加」ボタンをクリックして、「アプリケーション・ロールの追加」ダイアログ・ボックスを表示します。
「検索」領域に入力し、「リソース名」フィールドの横の青い検索ボタンをクリックします。
「使用可能なロール」リストから選択し、シャトル・コントロールを使用して、それを「選択したロール」に移動します。
「OK」をクリックします。
「アプリケーション・ポリシー」ページに戻ります。作成したポリシーのプリンシパルおよび権限が表に表示されます。次の図は、権限受領者(プリンシパル)としてMyNewRoleアプリケーション・ロールを保持する、作成した新規アプリケーション・ポリシーを示しています。
既存のアプリケーション・ポリシーに基づいてアプリケーション・ポリシーを作成するには:
Fusion Middleware Controlにログインして「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Oracle Fusion Middleware Controlの起動およびセキュリティ管理用ページの配置」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ポリシー」ページへの移動に使用される方法によって異なります。
必要な場合は、「検索するアプリケーション・ストライプの選択」を選択し、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。
表から既存のポリシーを選択します。
次の図は、この手順で例として使用される、「類似作成」ボタンがアクティブな、選択されたBIAuthorプリンシパルを示しています。
「類似作成」をクリックし、アプリケーション権限の類似作成ページを表示します。権限表に、選択したポリシーによって付与された権限が自動的に読み込まれます。
次の図は、BIAuthorポリシーが選択された後のアプリケーション権限の類似作成ダイアログを示しています。「権限」セクションにBIAuthorポリシーに対して付与される権限が入力されていることに注意してください。
任意のアイテムを削除するには、それを選択して、「削除」をクリックします。
ポリシーにアプリケーション・ロールを追加するには、「権限受領者」領域の「アプリケーション・ロールの追加」ボタンをクリックして、「アプリケーション・ロールの追加」ダイアログ・ボックスを表示します。
次の図では、例としてMyNewRoleアプリケーション・ロールを使用します。
「検索」領域に入力し、「リソース名」フィールドの横の青い検索ボタンをクリックします。検索と一致したアプリケーション・ロールが表示されます。
「使用可能なロール」リストから選択し、シャトル・コントロールを使用して、それを「選択したロール」に移動します。選択したアプリケーション・ロールが「権限受領者」として追加されたアプリケーション権限の類似作成ページが表示されます。
「OK」をクリックします。アプリケーション権限の類似作成ダイアログに戻って、「権限受領者」セクションへの入力が完了します。
「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。
アプリケーション・ポリシーのプリンシパルおよび権限が作成され、表に表示されます。
アプリケーション・ロールのメンバーは、Oracle Fusion Middleware Controlを使用して変更できます。アプリケーション・ロールがアプリケーション・ポリシーの権限受領者の場合、権限付与は、対応するアプリケーション・ポリシーの権限付与を変更することで変更されます。
アプリケーション・ポリシーおよびアプリケーション・ロールの管理の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用したポリシーの管理に関する項を参照してください。
アプリケーション・ロールに対する権限付与を変更したい場合は、この手順を使用してください。これは、そのアプリケーション・ロールが権限受領者となっているアプリケーション・ポリシーの権限付与を追加または削除することで行われます。
アプリケーション・ポリシーの権限付与を追加または削除するには:
Fusion Middleware Controlにログインして「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Oracle Fusion Middleware Controlの起動およびセキュリティ管理用ページの配置」を参照してください。
obiストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ポリシー」ページへの移動に使用される方法によって異なります。
必要な場合は、「検索するアプリケーション・ストライプの選択」を選択し、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。
「プリンシパル」列からアプリケーション・ロールを選択し、「編集」をクリックします。
「アプリケーション権限の編集」ビューから権限を追加または削除し、「OK」をクリックして変更を保存します。
メンバーは、Fusion Middleware Controlを使用してアプリケーション・ロールに追加またはアプリケーション・ロールから削除できます。Oracle Business IntelligenceがインストールされているWebLogicドメイン内(たとえば、bifoundation_domainなど)のこれらのタスクを実行する必要があります。アプリケーション・ロールの有効メンバーは、ユーザー、グループまたは他のアプリケーション・ロールです。アプリケーション・ロールへ割り当てられるということは、アプリケーション・ロールのメンバーになるということです。ベスト・プラクティスは、アプリケーション・ロールに個別のユーザーではなくグループを割り当てることです。
アプリケーション・ロールのメンバーを追加または削除するには:
Fusion Middleware Controlにログインして「アプリケーション・ポリシー」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
「セキュリティ」メニューへの移動の詳細は、第2.4.1項「Oracle Fusion Middleware Controlの起動およびセキュリティ管理用ページの配置」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要な場合は、「検索するアプリケーション・ストライプの選択」を選択し、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。
アプリケーション・ロール名の横のセルを選択し、「編集」をクリックして「アプリケーション・ロールの編集」ページを表示します。
「アプリケーション・ロールの編集」ページにメンバーを追加するか、またはこのページからメンバーを削除できます。有効なメンバーは、アプリケーション・ロール、グループおよびユーザーです。
「メンバー」で、次のオプションから選択します。
メンバーを削除する場合: メンバーの「名前」を選択し、「削除」ボタンをアクティブにします。「削除」をクリックします。
メンバーを追加する場合: 追加するメンバー・タイプに対応する「追加」ボタンをクリックします。「アプリケーション・ロールの追加」、「グループの追加」および「ユーザーの追加」から選択します。
メンバーを追加する場合は、「検索」に入力し、使用可能なリストから選択します。シャトル・コントロールを使用して、選択したフィールドにメンバーを移動します。「OK」をクリックします。
たとえば次の図は、Report_Devグループが選択された後の「グループの追加」ダイアログを示しています。
追加したメンバーは、「アプリケーション・ロール」ページで変更されたアプリケーション・ロールに対応する「メンバー」列に表示されます。たとえば次の図は、Report_Devグループが追加された後のMyNewRoleアプリケーション・ロールの「アプリケーション・ロールの編集」ページを示しています。
「アプリケーション・ロールの編集」ページで「OK」をクリックし、「アプリケーション・ロール」ページに戻ります。
アプリケーション・ロールに追加したメンバーが「メンバー」セクションに表示されます。メンバーが削除された場合は表示されなくなります。
次の図は、追加したメンバーであるReport_Devグループが表示されているMyNewRoleアプリケーション・ロールを示しています。
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアプリケーション・ロールの管理に関する項を参照してください。
この項では、Oracle BI管理ツールの使用によるメタデータ・リポジトリ(つまり、RPDファイル)内のセキュリティの構成方法を説明します。次のトピックがあります:
Oracle BI管理ツールでIdentity Managerを使用して、アプリケーション・ロールの権限を管理し、サブジェクト・エリアや表などのオブジェクトに対するアクセス権限を設定します。Oracle BI管理ツールの使用によるセキュリティの構成についての概要は、第1.7.3項「Oracle BI管理ツールの使用について」を参照してください。
|
注意: Oracle Business Intelligenceアプリケーションのお客様は、この項を読み、セキュリティおよび認証の設定についての基礎を理解してから、Oracle Business Intelligenceアプリケーションのドキュメントで提供されるセキュリティおよび構成情報を参照してください。 |
デフォルト・アプリケーション・ロール(つまり、BIConsumer、BIAuthorおよびBIAdministrator)は、メタデータ・リポジトリにアクセスするための権限を備えて事前構成されます。新規アプリケーション・ロールを作成する場合は、そのロールがメタデータ・リポジトリ(RPD)にアクセス可能になるように、そのロールに対して適切なリポジトリ権限を設定する必要があります。
注意: また、Oracle BIプレゼンテーション・カタログの権限をプレゼンテーション・カタログ内の新規アプリケーション・ロールに割り当てることができます(詳細は、第2.6.3項「アプリケーション・ロールに対するOracle BIプレゼンテーション・カタログの権限の設定」を参照)。
アプリケーション・ロールのリポジトリ権限を設定するには:
「プレゼンテーション」パネルで、権限を設定するサブジェクト・エリアまたはサブフォルダに移動します。
サブジェクト・エリアまたはサブフォルダを右クリックし、「プロパティ」を選択してプロパティ・ダイアログを表示します。
たとえば、ペイントサブジェクト・エリアへのアクセス権を提供するには、ペイントを右クリックします。
「権限」をクリックして、「権限<名前>」ダイアログを表示します。
注意: 「すべてのユーザー/アプリケーション・ロールの表示」チェック・ボックスが選択されていることを確認してください。
「権限<名前>」ダイアログを使用して、「ユーザー/アプリケーション・ロール」リスト内のアプリケーション・ロールのセキュリティ権限を変更します。
たとえば、ユーザーにダッシュボードおよびレポートの作成を可能にするために、BISalesAnalysisという名前のアプリケーション・ロールのリポジトリ権限を読取りから読取り/書込みに変更できます。
注意: ベスト・プラクティスは、個々のユーザーの権限ではなく、アプリケーション・ロールの権限を変更することです。
|
ヒント: 「プレゼンテーション」パネル内のあるオブジェクトのすべての権限を表示するには、そのオブジェクトを右クリックし、「権限レポート」を選択して、ユーザーおよびアプリケーション・ロールのリスト、および選択したオブジェクトに対してそれが保持している権限を表示します。 |
この項には高度なトピックが含まれています。
アプリケーション・ロールの定義はポリシー・ストアで保持されます。また、変更は管理インタフェースを使用して行う必要があります。リポジトリは、ポリシー・ストア・データのコピーを保持して、リポジトリ開発を促進します。Oracle BI管理ツールでは、リポジトリのコピーからアプリケーション・ロール・データが表示され、ポリシー・データはリアルタイムでは表示されません。オフライン・リポジトリの作業中にポリシー・ストアを変更すると、ポリシー・ストアがリポジトリと次に同期化するまで、管理ツールで使用できなくなります。ポリシー・ストアは、BIサーバーの再起動時には常にデータをリポジトリ・コピーと同期化します。データに不一致がある場合は、エラー・メッセージが表示されます。
オフライン・モードでのリポジトリの使用中に、使用可能なアプリケーション・ロールではその時点で必要なメンバーシップまたは権限付与に満たないということに気付く場合があります。オフライン・リポジトリ開発を促進するために、アプリケーション・ロールのプレースホルダの定義を管理ツールで作成できます。しかし、これは管理ツールで表示可能な単なるプレースホルダであり、実際のアプリケーション・ロールではありません。管理ツールで実際のアプリケーション・ロールを作成することはできません。アプリケーション・ロールは、ポリシー・ストアの管理に使用可能な管理インタフェースを使用して、ポリシー・ストアでのみ作成できます。
アプリケーション・ロールは、リポジトリがオンラインに戻る前に、管理ツールを使用して作成されたアプリケーション・ロール・プレースホルダごとに、ポリシー・ストアで定義される必要があります。オフライン・モードの間に作成されたロール・プレースホルダ付きリポジトリの場合、有効なアプリケーション・ロールがポリシー・ストアに作成される前に、オンラインになります。その後、そのアプリケーション・ロール・プレースホルダは管理ツール・インタフェースで表示されなくなります。オフライン・リポジトリ開発でロール・プレースホルダを使用する際は、リポジトリをオンラインに戻す前に、ポリシー・ストアにおいて対応するアプリケーション・ロールを常に作成します。
リポジトリ開発時のアプリケーション・ロール用プレースホルダの作成方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
この項では、アプリケーション・ロールの使用によるOracle BIプレゼンテーション・カタログの権限の管理方法を説明します。次のトピックがあります:
Oracle BIプレゼンテーション・サーバー は、プレゼンテーション・サービス・カタログの権限を使用して、アンサー、デリバーおよびBI Publisherなどの機能へのアクセス権を制御します。Oracle Business Intelligenceのデフォルトのアプリケーション・ロール(BIAdministrator、BIAuthor、BIConsumer)は、Oracle Business Intelligenceのアプリケーション・ポリシー権限のほかに、インストール中にこれらの権限とともに自動的に構成されます。
前のリリースからアップグレードされたシステムは、引き続きカタログ・グループを使用してこれらの権限を付与できますが、これはお薦めしません。ベスト・プラクティスは、アプリケーション・ロールの使用による権限の管理であり、それによってセキュリティ管理プロセスが合理化されます。たとえば、システム全体でアプリケーション・ロールの同一セットを使用すると、システムでカタログ・グループおよびメンバー・リストの別個のセットを管理する必要がなくなります。アップグレードしたカタログ・グループを引き続き使用してプレゼンテーション・サービスのカタログ権限を管理する方法の詳細は、第A.2.1項「プレゼンテーション・サービスのセキュリティに影響する変更」を参照してください。
グループがアプリケーション・ロールに割り当てられる場合、グループ・メンバーは、関連付けられたプレゼンテーション・サービス・カタログ権限を自動的に付与されます。これは、Oracle Business Intelligence権限のほかに付与されます。
プレゼンテーション・サービス・カタログ権限は、BIプレゼンテーション・カタログで保持されます。プレゼンテーション・サービス権限は、プレゼンテーション・サービス・カタログ機能のみへのアクセスをコントロールします。これらの権限は、プレゼンテーション・サービス機能へのアクセス権限を付与または拒否し、他のOracle Business Intelligenceコンポーネントに影響はありません。
デフォルトのアプリケーション・ロールに割り当てられたグループのメンバーになると、第B.4.1.3項「デフォルトのアプリケーション・ロール、権限付与、およびグループ・マッピング」で説明したOracle Business Intelligenceの権限に加えて、プレゼンテーション・サービス・カタログの権限が付与されます。デフォルトのアプリケーション・ロールによって付与されたプレゼンテーション・サービス・カタログの権限は、「権限の管理」ページを使用して、デフォルトの権限付与を追加または削除することで変更できます。
新規カタログが作成されると必ず、デフォルトのアプリケーション・ロールがプレゼンテーション・サービス・カタログの権限マッピングに読み込まれます。デフォルトのマッピングを変更していて、デフォルトのアソシエーションを表示する場合、カタログが存在していないファイル場所を指定することで新規カタログを作成します。Oracle BIプレゼンテーション・サーバー が起動すると、初期化プロセスの一部としてカタログが作成されます。
プレゼンテーション・サービス権限は、明示的におよび継承によってユーザーに付与できます。ただし、明示的なプレゼンテーション・サービス権限の拒否は、グループまたはアプリケーション・ロール階層の結果として、付与されるか継承されるユーザー・アクセス権限よりも優先されます。
アプリケーション・ロールを作成する場合、そのロールで様々な機能タスクを実行できるように、Oracle BIプレゼンテーション・カタログ内のアプリケーション・ロールに適切な権限を設定する必要があります。たとえば、BISalesAdministratorという名前のアプリケーション・ロールを保持したユーザーが、Oracle Business Intelligenceでアクションを作成できるようにします。この場合は、「起動アクションの作成」という名前の権限を付与します。
Oracle BIプレゼンテーション・カタログの権限はBIプレゼンテーション・サーバー に格納されていて、ポリシー・ストアの管理に使用される管理インタフェースからはアクセスできません。新規アプリケーション・ロールを作成し、Oracle Business Intelligenceの権限を付与している場合、Oracle Business Intelligenceの権限に加えて、その新規ロールにプレゼンテーション・サービス・カタログの権限を設定する必要があります。
アプリケーション・ロールのBIプレゼンテーション・カタログ権限を設定するには:
管理者権限のあるユーザーとしてOracle Business Intelligenceにログインします。
プレゼンテーション・サービスの「ホーム」ページから「管理」を選択し、「管理」ページを表示します。
注意: 管理者権限なしでユーザーとしてログインする場合は、「管理」オプションが表示されません。
「セキュリティ」領域で「権限の管理」をクリックし、「権限の管理」ページを表示します。
次のスクリーンショットは、BIプレゼンテーション・カタログ権限のアプリケーション・ロールが強調表示された「権限の管理」ページを示しています。
編集する権限の横のアプリケーション・ロールをクリックし、「権限の管理」ページを表示します。
たとえば、BIConsumerという名前のアプリケーション・ロールに対して、Access to Scorecardという名前の権限を編集するには、Access\Access to Scorecardの横のBIConsumerリンクをクリックします。次のスクリーンショットの例は、Access to Scorecard権限の「権限」ダイアログを示しています。
「権限」ダイアログを使用して、権限を変更し、アプリケーション・ロールに権限を付与し、アプリケーション・ロールから権限を取り消します。たとえば、選択した権限をアプリケーション・ロールに付与するには、アプリケーション・ロールを「権限」リストに追加する必要があります。
「権限」リストにアプリケーション・ロールを追加するには、次のことを行います。
「ユーザー/ロールの追加」をクリックします。
リストから「アプリケーション・ロール」を選択し、「検索」をクリックします。
結果リストからアプリケーション・ロールを選択します。
シャトル・コントロールを使用して、アプリケーション・ロールを「選択済メンバー」リストに移動します。
「OK」をクリックします。
「権限」リストで「権限付与」または「拒否」を選択することで、アプリケーション・ロールの権限を設定します。
注意: 明示的なプレゼンテーション・サービス権限の拒否は、グループまたはアプリケーション・ロール階層の結果として、付与されるか継承されるユーザー・アクセス権限よりも優先されます。
変更内容を保存します。
この項には高度なトピックが含まれています。
Oracle BIサーバーおよびOracle BIプレゼンテーション・サービスのクライアントは、ログインおよびパスワード暗号化について業界標準のセキュリティをサポートしています。エンド・ユーザーがWebブラウザにユーザー名およびパスワードを入力すると、Oracle BIサーバーはHyper Text Transport Protocol Secure (HTTPS)規格を使用して、情報をセキュアなOracle BIプレゼンテーション・サービスポートに送信します。情報はOracle BIプレゼンテーション・サービスからトリプルDES(データ暗号化規格)を使用して、ODBCを介してOracle BIサーバーに渡されます。これにより、高度なセキュリティが(168ビット)が実現し、認可されていないユーザーがデータにもOracle Business Intelligenceメタデータにもアクセスできないようになります。
データベース・レベルでは、Oracle Business Intelligence管理ユーザーがデータベース・セキュリティおよび認証を実装します。最後に、固有キーベースの暗号化によってセキュリティを提供し、未認可ユーザーがメタデータ・リポジトリにアクセスできないようにします。
クラスタ環境で、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性を有効にするには、virtualize属性を構成します。virtualizeの属性値をtrueに設定すると、管理対象サーバーは、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアのコピーを使用できます。
デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性を有効にするようvirtualize属性を構成するには:
Fusion Middleware Controlのナビゲーション・ペインで、\Weblogic domain\bifoundation_domainに移動します。
「bifoundation_domain」を右クリックして「セキュリティ」→「セキュリティ・プロバイダ構成」を選択し、「セキュリティ・プロバイダ構成」ページを表示します。
「アイデンティティ・ストア・プロバイダ」領域で「構成」をクリックし、「アイデンティティ・ストア構成」ページを表示します。
「カスタム・プロパティ」領域で「追加」オプションを使用し、virtualizeというカスタム・プロパティを追加します。
次のスクリーンショットは、値がtrueに設定されたvirtualizeという新しいプロパティを含む、一連のカスタム・プロパティの例を示しています。
「OK」をクリックして、変更を保存します。
管理サーバー、管理対象サーバーおよびBIコンポーネントを再起動します。
