| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
前 |
次 |
この章では、Oracle Business Intelligenceのセキュリティ・モデルを紹介して、セキュリティの構成に使用されるツールについて説明し、Oracle Business Intelligenceでセキュリティを構成するための詳細なロードマップを示します。
|
注意: セキュリティの設定に関する上位レベルのロードマップについては、第1.1項「Oracle Business Intelligenceでセキュリティを設定するための上位レベルのロードマップ」を参照してください。 |
この章の内容は、次のとおりです。
Oracle Business Intelligenceでセキュリティを設定するには、次を実行する必要があります。
この章「Oracle Business Intelligenceのセキュリティの紹介」の残りの部分に目を通して、セキュリティのコンセプト、ツールおよび用語の概要を理解してください。
第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」の概要を読んで、ユーザー、グループおよびアプリケーション・ロールのデフォルト設定について学びます。
ユーザーの認証に使用する認証プロバイダを決定します。
必要なユーザーおよびグループを設定します。
必要なアプリケーション・ロールを設定します。
各グループを適切なアプリケーション・ロールに割り当てます。
Oracle BIリポジトリでユーザーおよびグループが持っている権限(つまり、RPDファイル)を調整します。
Oracle BIプレゼンテーション・カタログでユーザーおよびグループが持っている権限を調整します。
必要に応じてシングル・サインオン(SSO)を構成します。
必要に応じてSecure Sockets Layer (SSL)を構成します。
設定手順詳細は、第1.8項「Oracle Business Intelligenceのセキュリティを設定するための詳細な手順」を参照してください。
Oracle Business Intelligence 11gは、Oracle Fusion Middleware Securityアーキテクチャと密接に統合されており、コアなセキュリティ機能をそのアーキテクチャのコンポーネントに委任します。具体的には、Oracle Business Intelligenceインストールは次の種類のセキュリティ・プロバイダを利用します。
Oracle Business Intelligence にアクセス可能なユーザーおよびグループに関する情報へのアクセス方法を知っていて、ユーザーの認証を行う認証プロバイダ。
アプリケーション・ロールおよびアプリケーション・ポリシーへのアクセスを提供するポリシー・ストア・プロバイダ。これは、セキュリティ・ポリシーのコアな部分を形成し、Oracle Business Intelligenceで表示と操作ができるユーザーとできないユーザーを決定します。
Oracle Business Intelligenceで必要な資格証明を格納し、その資格証明へのアクセスを提供する資格証明ストア・プロバイダ。
デフォルトでは、Oracle Business Intelligenceインストールは、ユーザーおよびグループの情報にOracle WebLogic Server組込みLDAPサーバーを使用する認証プロバイダとともに構成されます。Oracle Business Intelligenceのデフォルトのポリシー・ストア・プロバイダおよび資格証明ストア・プロバイダは、資格証明、アプリケーション・ロールおよびアプリケーション・ポリシーを、ドメインのファイルに格納します。
Oracle Business Intelligenceのインストール後、必要に応じて、別のセキュリティ・プロバイダを使用するようにドメインを再構成することができます。たとえば、Oracle Internet Directory、Oracle Virtual Directory、Microsoft Active Directoryまたは別のLDAPサーバーを認証に使用するようにインストールを再構成できます。また、資格証明、アプリケーション・ロールおよびアプリケーション・ポリシーの格納に、ファイルではなくOracle Internet Directoryを使用するようにインストールを再構成することもできます。
下位互換性のため、Oracle Business Intelligenceの複数のレガシー認証オプションが引き続きサポートされます。ベスト・プラクティスは、この章で説明するデフォルトのセキュリティ・モデルにより、アイデンティティ・ストアおよび認証プロバイダを使用して認証および認可を行うことです。ただし、これが可能でないシナリオや、従来の認証方法および認可方法が必要になる場合もあります。通常、こうした別の方法を使用するには、Oracle WebLogicドメインで構成済の認証プロバイダによって参照されるアイデンティティ・ストアに、ユーザー移入およびグループが保持されていないことが必要です。したがって、別の認証方法を使用する場合は、この章のいくつかの項は関係がありません。かわりに、付録A「代替セキュリティ管理オプション」を参照してください。この章で説明するアプリケーション・ロールは、別の認証メカニズムおよび認可メカニズムでも使用されるものであることに注意してください。また、Oracle WebLogicドメインで構成される認証プロバイダは、他のユーザーに対して別の方法を使用している場合であっても、常にBIシステム・ユーザーによって使用されることにも注意してください。
Oracle Business Intelligence 11gの各インストールには、Oracle WebLogic Serverドメインが関連付けられています。Oracle Business Intelligenceは、そのドメインに対して構成された最初の認証プロバイダにユーザーの認証を委任します。
デフォルトの認証プロバイダは、Oracle Business IntelligenceのOracle WebLogic Serverドメインに組込みのLDAPサーバーに格納されているユーザーおよびグループ情報にアクセスします。Oracle WebLogic Serverの管理コンソールを使用すると、組込みLDAPサーバーでユーザーおよびグループの作成と管理ができます。
別のディレクトリの認証プロバイダを構成することもできます。その場合、Oracle WebLogic Serverの管理コンソールを使用すると、そのディレクトリのユーザーおよびグループを表示できます。ただし、このディレクトリを変更するには、引き続き適切なツールを使用する必要があります。たとえば、OIDを使用するようにOracle Business Intelligenceを再構成した場合は、ユーザーおよびグループの表示はOracle WebLogic Serverの管理コンソールでできますが、管理はOIDコンソールで行う必要があります。
組込みLDAPサーバーのユーザーおよびグループの管理方法の詳細は、第2章「デフォルト・セキュリティ構成を使用したセキュリティの管理」を参照してください。
Oracle WebLogic Serverドメインおよび認証プロバイダの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
このリリースで提供されるデフォルトの認証のかわりに、外部表による認証方式を引き続き使用することもできます。詳細は、付録Aの「外部表認証の設定」を参照してください。
ユーザーが認証された後、セキュリティの面で次に重要なのは、操作権限や表示権限が与えられているものを、ユーザーが操作し表示できるようにすることです。Oracle Business Intelligence Release 11gでの認可は、アプリケーション・ロールで定義されたセキュリティ・ポリシーによって制御されます。
ディレクトリ・サーバーにおけるグループ内のユーザーに関するセキュリティ・ポリシーを定義するかわりに、Oracle Business Intelligenceはロールベースのアクセス制御モデルを使用します。セキュリティは、ディレクトリ・サーバー・グループおよびユーザーに割り当てられているアプリケーション・ロールによって定義されます。たとえば、デフォルトのアプリケーション・ロールは、BIAdministrator、BIConsumerおよびBIAuthorです。
アプリケーション・ロールはユーザーが持っている機能的役割を表し、これによって、その役割を果たすために必要な権限をユーザーに付与します。たとえば、セールス・アナリスト・アプリケーション・ロールを持っている場合は、ユーザーは企業のセールス・パイプラインに関するレポートの表示、編集および作成を行うことができます。
アプリケーション・ロールとディレクトリ・サーバーのユーザーおよびグループとの間の間接層により、Oracle Business Intelligenceの管理者は、企業のLDAPサーバーに新しいユーザーやグループを作成することなく、アプリケーション・ロールおよびポリシーを定義できます。かわりに、管理者は、認可要件を満たすアプリケーション・ロールを定義し、企業のLDAPサーバーに前から存在しているユーザーやグループにこれらのロールを割り当てます。
さらに、アプリケーション・ロールによって提供される間接層により、ビジネス・インテリジェンス・システムのアーティファクトを、開発、テスト、本番の各環境間で簡単に移動できます。セキュリティ・ポリシーの変更は不要で、必要な操作は、ターゲット環境で利用可能なユーザーおよびグループにアプリケーション・ロールを割り当てることだけです。
図1-1は、ユーザー、グループおよびアプリケーション・ロールのデフォルトの組合せを使用した例を示しています。
図1-1は次のようなことを示しています。
BIConsumersという名前のグループには、User1、User2およびUser3が含まれています。グループBIConsumersのユーザーには、アプリケーション・ロールBIConsumerが割り当てられています。これによりユーザーはレポートを表示できます。
BIAuthorsという名前のグループには、User4およびUser5が含まれています。グループBIAuthorsのユーザーには、アプリケーション・ロールBIAuthorが割り当てられています。これによりユーザーはレポートを作成できます。
BIAdministratorsという名前のグループには、User6およびUser7が含まれています。グループBIAdministratorsのユーザーには、アプリケーション・ロールBIAdministratorが割り当てられています。これによりユーザーは職責を管理できます。
Oracle Business Intelligenceリリース11gでは、セキュリティ・ポリシーの定義は次のコンポーネントに分割されています。
プレゼンテーション・サービス・カタログ – これは、特定のアプリケーション・ロールが付与されたユーザーが、どのカタログ・オブジェクトおよびOracle BIプレゼンテーション・サービス機能にアクセスできるかを定義します。機能へのアクセスは、権限の管理ページで、Oracle BIプレゼンテーション・カタログの権限という形態で定義され、Oracle BIプレゼンテーション・カタログのオブジェクトへのアクセスは「権限」ダイアログで定義されます。
リポジトリ – これは、どのアプリケーション・ロールおよびユーザーが、リポジトリ内のどのメタデータ・アイテムにアクセスできるかを定義します。このセキュリティ・ポリシーを定義するには、Oracle BI管理ツールを使用します。
ポリシー・ストア – これは、所定のユーザー、または所定のアプリケーション・ロールが付与されたユーザーが、Oracle BIサーバー、BI PublisherおよびReal Time Decisionsのいずれの機能にアクセスできるかを定義します。Oracle Business Intelligenceのデフォルト構成では、ポリシー・ストアはOracle Enterprise Manager Fusion Middleware Controlを使用して管理されます。ポリシー・ストアの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
これらのコンポーネントの使用方法については、 第1.7項「例: インストール済ユーザー、グループおよびアプリケーション・ロールの内容」 を参照してください。
Oracle Business Intelligenceをインストールするとき、Oracle Business Intelligenceのデプロイに使用できる構成済ユーザー、グループおよびアプリケーション・ロールが多数あります(詳細は、第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」を参照)。
Oracle Business Intelligenceでセキュリティを構成するには、次のツールを使用します。
|
注意: Oracle Business Intelligenceツールを使用してインストール済ユーザー、グループおよびアプリケーション・ロールを構成する例を見るには、第2.2項「デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例」を参照してください。 |
次の図は、デフォルト・インストールのOracle Business Intelligence で組込みWebLogic LDAPサーバーを使用してセキュリティを構成するために使用するツールを示しています。
ユーザーおよびグループの認証に使用される組込みディレクトリ・サーバーの管理には、Oracle WebLogic Server管理コンソールを使用します。
次に示す画面の例は、Oracle Business Intelligenceのユーザー・リストを表示している、Oracle WebLogic Server管理コンソールの「users and groups\Users」ページを示しています。
注意: デフォルトの組込みWebLogic LDAPサーバーではなく、Oracle Internet Directoryを認証プロバイダとして使用する場合は、OIDコンソールを使用してユーザーおよびグループを管理します。
Oracle Business Intelligenceリソースへのアクセスを制御するアプリケーション・ロールおよびアプリケーション・ポリシーの作成および管理にはOracle Fusion Middleware Controlを使用します。
次の画面の例は、BIAdministrator、BIAuthor、およびBIConsumerという名前のデフォルトのアプリケーション・ロールを表示している、Fusion Middleware Controlの「アプリケーション・ロール」ページを示しています。
メタデータ・リポジトリ(つまり、RPDファイル)で権限を構成するには、Oracle BI管理ツールを使用します。
次のスクリーンショットは、ユーザーおよびアプリケーション・ロールを管理できる「Identity Manager」ダイアログを示しています。
この例では、Oracle Business Intelligenceツールを使用して、インストール済ユーザー、グループおよびアプリケーション・ロールを詳しく見ます。この項の手順に従って、Oracle Business Intelligenceツールを使用してセキュリティ・オプションを構成する方法を学習します。
Oracle WebLogic Server管理コンソールでインストール済オブジェクトを表示するには:
Oracle WebLogic Server管理コンソールにログインします。
左側の「ドメイン構造」タブで、「セキュリティ・レルム 」リンクを選択します。
「レルム」リストで構成するレルムを選択します。
たとえば、「myrealm」を選択します。
「<レルム名>の設定」ダイアログのタブおよびオプションを使用してユーザーおよびグループを構成します。
たとえば、ユーザーおよびグループを編集するには、ユーザーおよびグループのタブを表示します。次のスクリーンショットの例では、BIAdministrators、BIAuthorsおよびBIConsumersという名前のインストール済グループが表示されています。
Fusion Middleware Controlでインストール済オブジェクトを表示するには:
Fusion Middleware Controlにログインします。
「ホーム」ページで「Business Intelligence」リンクを選択します。
コア・アプリケーションのリンクを選択します。
「セキュリティ」タブを表示します。
「アプリケーション・ロールの構成および管理」リンクを選択します。
次のスクリーンショットの例は、インストール済アプリケーション・ロールBIAdministrator、BIAuthorおよびBIConsumerを示しています。
管理ツールでインストール済オブジェクトを表示するには:
管理ツールにログインします。
注意: オンライン・モードで管理ツールにログインした場合は、WebLogic Serverのユーザーをすべて表示できます。オフライン・モードで管理ツールにログインした場合は、リポジトリに格納されているユーザーのみを表示できます。
「管理」→「アイデンティティ」を選択して「Identity Manager」ダイアログを表示します。
次のスクリーンショットの例は、インストール済アプリケーション・ロールBIAdministrator、BIAuthorおよびBIConsumerを示しています。
「Sales Admin」という名前のアプリケーション・ロールをダブルクリックして「アプリケーション・ロール <名前>」ダイアログを表示し、「権限」をクリックした場合、「オブジェクト権限」タブを使用し、Oracle BIプレゼンテーション・カタログ内のオブジェクトおよびフォルダに関して、そのアプリケーション・ロールの読取り権限および書込み権限を(リポジトリ内で)設定することができます。
Identity Managerを閉じます。
「プレゼンテーション」ペインで「Paint」フォルダを開き、「Markets」を右クリックして「プレゼンテーション表 <表名>」ダイアログを表示します。
「権限」をクリックして、「権限 <表名>」ダイアログを表示します。
次のスクリーンショットの例は、インストール済アプリケーション・ロールのBIAdministrator、BIAuthorおよびBIConsumerと、アプリケーション・ロールへの権限の設定に使用されるラジオ・ボタン「読取り」、「読取り/書込み」、「アクセス権なし」および「デフォルト」を示しています。
Oracle BIプレゼンテーション・カタログの「管理」ページでインストール済オブジェクトを表示するには:
管理者権限を使用してBI EEにログインします。
「管理」リンクを選択して、「管理」ページを表示します。
「権限の管理」リンクを選択します。
次のスクリーンショットの例は、インストール済アプリケーション・ロールのBIAdministrator、BIAuthorおよびBIConsumerを、割り当てられている権限ごとに一覧表示しています。
「KPI Builderへのアクセス」行でBIAuthorリンクを選択して、「権限 <権限名>」ダイアログを表示します。
ユーザー/ロールの追加アイコン(+)をクリックして「アプリケーション・ロール、カタログ・グループおよびユーザーの追加」ダイアログを表示します。
次のスクリーンショットの例は、この権限に割り当てることができるインストール済アプリケーション・ロールのBIAdministrator、BIAuthorおよびBIConsumerを示しています。
ここでは、Oracle Business Intelligenceの新しいインストールでセキュリティを設定する方法について説明します。タスクには必須のものと、任意のものと、選択した構成次第で必要になるものがあります。この項は、Oracle Business Intelligenceの既存のインストールを保守する場合にも参考になります。
Oracle Business Intelligenceをインストールした後、通常は、デフォルトの構成済ユーザー、グループおよびアプリケーション・ロールを使用して製品を評価します。その後、実際のビジネス要件に応じて独自のユーザー、グループおよびアプリケーション・ロールの作成と開発を反復的に行うことが一般的です。
Oracle Business Intelligenceをインストールしたら、次に示すリストの順序に従ってこれらのタスクを行うことをお薦めします。
この章の「Oracle Business Intelligenceのセキュリティの紹介」に目を通して、セキュリティのコンセプト、ツールおよび用語の概要を理解してください。特に、第1.6項「Oracle Business Intelligenceでセキュリティを構成するツール」を読んで、セキュリティを構成するためのOracle Business Intelligenceのコンポーネントおよびツールに精通しておく必要があります。
第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」の概要を読んで、ユーザー、グループおよびアプリケーション・ロールのデフォルト設定について学びます。
次のように、ユーザーの認証に使用する認証プロバイダを決定します。
デフォルトの組込みWebLogic LDAPサーバーを使用する場合は、後述のステップ4のタスクに従ってください。
Oracle Internet Directoryなどの商用認証プロバイダを使用するようにOracle Business Intelligenceを再構成する場合は、後述のステップ5のタスクに従ってください。
|
ヒント: ユーザーが1000人を超える環境では、WebLogic組込みLDAPサーバーを使用しないことをお薦めします。高可用性およびスケーラビリティを備えた本番環境が必要な場合は、Oracle Internet Directory (OID)などの商用ディレクトリ・サーバー、またはサードパーティのディレクトリ・サーバーを使用する必要があります。サポートされている認証プロバイダの一覧が掲載されている場所については、「システム要件と動作要件」を参照してください。 |
(組込みWebLogic LDAPサーバーのみ)デフォルトの組込みWebLogic LDAPサーバーを認証プロバイダとして使用する場合は、次の手順に従ってください。
|
ヒント: セキュリティを設定する最も簡単な方法は、ユーザーを作成し、デフォルトのグループ(つまり、BIConsumers、BIAuthorsおよびBIAdministrators)に割り当てることです。詳細な手順は、第2.3.1.1項「デフォルトのグループへのユーザーの割当て」を参照してください。独自のグループを使用して、より複雑なセキュリティ・モデルを構築する場合は、新しいグループまたは新しいアプリケーション・ロール、あるいはその両方を作成して、その新しいグループにユーザーを割り当てます。詳細な手順は、第2.3.1.2項「新規グループおよび新規アプリケーション・ロールへのユーザーの割当て」を参照してください。 |
|
注意: 10gからこのリリースへアップグレードした場合、Oracle WebLogicドメイン用に構成された認証プロバイダを使用してユーザーを認証するには、USERシステム・セッション変数を設定するRPD初期化ブロックを確認する必要があります。USERセッション変数の設定は代替的な認証メカニズムであり、このメカニズムは、BIサーバーにアクセスしようとするユーザーを認証する際に、Oracle WebLogicドメイン用に構成された認証プロバイダを使用した認証が失敗した場合に使用します。RPDの使用方法の詳細は、付録Aの「LDAP認証でのUSERセッション変数の定義」および『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。 |
第2.3.3項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、デプロイするユーザーを設定します。
たとえば、分析を表示する必要がある20人のユーザーにOracle Business Intelligenceをデプロイする場合は、20人のユーザーを作成します。
ユーザーをデフォルトのグループ(つまり、BIConsumers、BIAuthorsおよびBIAdministrators)に割り当てる場合は、第2.3.1.1項「デフォルトのグループへのユーザーの割当て」の手順に従ってください。
たとえば、あるユーザー・セットはBIConsumersという名前のグループに、また別のユーザー・セットはBIAuthorsという名前のグループに、さらに別のユーザー・セットはBIAdministratorsという名前のグループに割り当てます。
新しいグループを作成する場合は、第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループの作成」の説明に従って、使用するグループを設定します。
たとえば、事前構成済のBIConsumersという名前のグループを使用することも、同じような権限を持った独自のグループを作成することもできます。
第2.3.5項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」の説明に従って、ユーザーを適切なグループに割り当てます。
たとえば、ユーザーをBIConsumersという名前の事前構成済グループに割り当てることも、作成した新しいグループに割り当てることもできます。
(Oracle Internet Directory (OID)のみ)認証プロバイダとしてOIDを使用している場合は、次の手順に従ってください。
第3.2.1項「代替認証プロバイダを構成するための大まかな手順」の説明に従って、OIDを認証プロバイダとして構成します。
(オプション)第3.3項「ポリシー・ストアおよび資格証明ストアとしてのOIDの構成」の説明に従って、OIDを資格証明ストアおよびポリシー・ストアのプロバイダとして構成します。
必要に応じて、認証プロバイダ・ツール(OIDコンソールなど)を使用して、ユーザーおよびグループを作成します。
第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成」の説明に従って、デプロイするアプリケーション・ロールを設定します。
たとえば、BIConsumer、BIAuthorおよびBIAdministratorという名前のデフォルトのアプリケーション・ロールを使用することも、独自のアプリケーション・ロールを作成することもできます。
(オプション)事前構成済のアプリケーション・ポリシーを使用しない場合は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」の説明に従って、デプロイするアプリケーション・ポリシーを設定します。
たとえば、BIConsumer、BIAuthorおよびBIAdministratorという名前のデフォルトのアプリケーション・ロールによって使用されるデフォルトのアプリケーション・ポリシーを使用することも、独自のアプリケーション・ポリシーを作成することもできます。
次の手順に従って、各グループを適切なアプリケーション・ロールに割り当てます。
デフォルトの組込みWebLogic LDAPサーバーとともにインストールされているデフォルトのグループ(つまり、BIConsumers、BIAuthorsおよびBIAdministrators)を使用している場合は、これらのグループは適切なアプリケーション・ロール(つまり、BIConsumer、BIAuthorまたはBIAdministrator)に割り当てられています。デフォルトのグループをアプリケーション・ロールに割り当てるために、その他の作業を行う必要はありません。
新しいグループを作成した場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の説明に従って、この新しいグループを適切なアプリケーション・ロールに割り当てる必要があります。
Oracle Internet Directoryなどの商用認証プロバイダを使用している場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の説明に従って、グループを適切なアプリケーション・ロールに割り当てる必要があります。
Oracle BIリポジトリ(つまり、RPDファイル)でユーザーおよびグループに付与されている権限を調整する場合は、第2.5項「Oracle BI管理ツールの使用によるメタデータ・リポジトリ権限の管理」の説明に従って、管理ツールを使用して権限を更新します。
たとえば、BISuperConsumerという名前のアプリケーション・ロールを有効化して分析を作成できるようにするには、管理ツールを使用して該当領域への「読取り」アクセスを「読取り/書込み」アクセスに変更します。
注意: 本番システムでデフォルトのSampleAppLite.rpdファイルを使用する場合は、管理ツールを使用して、パスワードをインストール時の値から変更する必要があります(SampleAppLite RPDファイルの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください)。
Oracle BIプレゼンテーション・カタログでユーザーおよびグループに付与されている権限を調整する場合は、Analyticsの「管理」ページを使用して、第2.6項「アプリケーション・ロールの使用によるプレゼンテーション・サービスのカタログ権限の管理」の説明に従って、権限を変更します。
たとえば、BISuperConsumerという名前のアプリケーション・ロールがスコアカードを表示できないようにするには、Analyticsの「管理」ページを使用して、BISuperConsumerの「スコアカード」権限と「スコアカードの表示」権限を「権限付与」から「拒否」に変更します。
シングル・サインオンをデプロイする場合は、第4章「SSO認証の有効化」の手順に従います。
注意: Oracle Business IntelligenceをSSO環境にデプロイしない場合は、デフォルトの構成をデプロイするうえでその他の構成手順は必要ありません。
Secure Sockets Layer (SSL)をデプロイする場合は、第5章「Oracle Business IntelligenceでのSSL構成」の手順に従います。
Oracle Business Intelligenceは、SSLが無効の状態でインストールされます。Oracle Business IntelligenceをSSL環境にデプロイする場合は、第5章「Oracle Business IntelligenceでのSSL構成」の手順に従ってください。
注意: Oracle Business IntelligenceをSSL環境にデプロイしない場合は、デフォルトの構成をデプロイするうえでその他の構成手順は必要ありません。
リリース10gとリリース11gでは、セキュリティ・モデルに次のような違いがあります。
ユーザーおよびグループの定義 – Oracle Business Intelligenceリリース10g では、ユーザーおよびグループは、Oracle BI管理ツールを使用して、リポジトリ・ファイル内で定義できます。Oracle Business Intelligenceリリース11gでは、ユーザーおよびグループは、リポジトリ内で定義できなくなりました。Oracle Business Intelligence Enterprise Editionのアップグレード・アシスタントは、ユーザーおよびグループを、リリース10gのリポジトリからリリース11gインストールの組込みLDAPサーバーに移行します。
セキュリティ・ポリシーの定義 – Oracle Business Intelligenceリリース10gでは、Oracle BIプレゼンテーション・カタログおよびリポジトリのセキュリティ・ポリシーは、ディレクトリ内のグループを参照するように定義できました。Oracle Business Intelligenceリリース11gでは、セキュリティ・ポリシーをアプリケーション・ロールの観点から定義する、ある程度の間接性が導入され、ディレクトリのユーザーおよびグループに割り当てられます。この間接性により、社内のディレクトリを変更せずにOracle Business Intelligenceリリース11gシステムをデプロイすると同時に、開発、テスト、本番の各環境間でアーティファクトを簡単に移動できるようになりました。
管理者ユーザーの使用 – Oracle Business Intelligenceリリース10gインストールでは、Administratorという名前の特殊なユーザーにすべての管理権限が与えられ、そのインストール内のプロセス間の信頼の確立にも使用されています。Oracle Business Intelligenceリリース11gでは、Administratorという名前に特別重要な意味はなく、様々な管理機能を実行する認可を受けたユーザーは1人でなくてもかまいません。Oracle Business Intelligenceリリース11gでは、インストール内のプロセス間の信頼を確立するために使用されるIDは構成可能であり、独立しています。
リポジトリの暗号化 – Oracle Business Intelligenceリリース10gでは、リポジトリ内の特定の機密要素は暗号化されています。Oracle Business Intelligenceリリース11gでは、ユーザーが提供したパスワードから派生したキーを使用してリポジトリ全体が暗号化されます。
|
注意: リリース11gのリポジトリを開くにはパスワードが必要です。パスワードが失われた場合に回復するメカニズムはありません。 |
Oracle Business Intelligenceリリース10gのセキュリティ・モデルが持つ次の側面は、リリース11gに引き継がれています。
Oracle BIサーバー初期化ブロック – リリース11gでOracle BIサーバーは、認証および認可での初期化ブロックの使用を引き続きサポートします。リリース10gでは、Oracle BIサーバーが初期化ブロックを使用するのは、一致するユーザーがリポジトリに見つからなかった場合です。リリース11gでは、Oracle Business Intelligenceが初期化ブロックを使用するのは、インストールの構成済認証プロバイダでユーザーを認証できなかった場合です。
プレゼンテーション・サービス・カタログ・グループ – Oracle Business Intelligenceリリース11gは、プレゼンテーション・サービス・カタログ内のカタログ・グループの定義を引き続きサポートします。これらのグループは、Oracle BIプレゼンテーション・サービス内でのみ表示可能です。Oracle BIプレゼンテーション・カタログのグループは下位互換性のためにのみ使用し、新しいインストールではアプリケーション・ロールを使用することをお薦めします。
SAシステム・サブジェクト・エリア – Oracle Business Intelligenceリリース11gでは、データベース表に格納されているユーザー、グループおよびプロファイル情報へのアクセス方法として、Oracle BIサーバーの初期化ブロックと組み合せてSAシステム・サブジェクト・エリアを使用できます。
詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionアップグレード・ガイドを参照してください。
Oracle Business Intelligenceでは権限はアプリケーション・ロールによって付与されます。デフォルトのセキュリティ構成では、各ロールには事前構成済の一連の権限が与えられています。アプリケーション・ポリシーは、Java EEおよびJAASポリシーのコレクションで、特定のアプリケーションに適用されます。アプリケーション・ポリシーは、各アプリケーション・ロールが付与する権限を定義するメカニズムです。権限の付与は、アプリケーション・ロールに対応するアプリケーション・ポリシーで管理されます。
Oracle Business Intelligenceを使用しているときのユーザーの役割を表します。これは、ロールのメンバーに権限を付与するためにOracle Business Intelligenceが使用するコンテナでもあります。アプリケーション・ロールはポリシー・ストア・プロバイダで管理されます。
ログオン中に提示される資格証明を確認することでIDを検証するプロセス。
ユーザーおよびグループの情報にアクセスするために使用されるセキュリティ・プロバイダで、ユーザーの認証を行います。Oracle Business Intelligenceのデフォルトの認証プロバイダは、Oracle WebLogic Server組込みディレクトリ・サーバーで、DefaultAuthenticatorという名前です。
認証されたユーザーに割り当てられた権限に応じて、リソースへのアクセス権限を付与するプロセス。
カタログ・グループは、Oracle BIプレゼンテーション・サービス内でローカルに定義され、Oracle BIプレゼンテーション・カタログの権限の付与に加え、Oracle Business Intelligenceユーザー・インタフェースでの権限の付与に使用されます。
Oracle Business Intelligence資格証明ストアは、ソフトウェア・コンポーネントによって使用されるシステム資格証明をセキュアに格納するために使用されるファイルです。このファイルは、インストール内のすべてのマシンに自動的にレプリケートされます。
資格証明ストアは、Oracle Business Intelligenceコンポーネント間で内部的に使用される資格証明をセキュアに格納し、管理するために使用されます。たとえば、SSL証明書はここに格納されています。
プレーンテキスト情報(データ)を、鍵を使用した場合にかぎり読取りが可能になる、読取り不可能なテキストに変換することで、機密が保たれた通信を実現するプロセス。Secure Sockets Layer (SSL)を使用すると、インターネットを介したWebアプリケーション通信など、TCP/IPネットワーク上でセキュアな通信が可能になります。
GUIDは、通常32文字の16進数文字列で、オブジェクトに対して一意の識別子を形成するためにシステムによって生成されます。Oracle Business Intelligenceでは、GUIDは個々のユーザーおよびグループの参照に使用されています。
偽装は、Oracle Business Intelligenceコンポーネントがユーザーのパスワードを使用することなく、ユーザーの代理としてセッションを確立するために使用する機能です。たとえば、偽装はOracle BIスケジューラがエージェントを実行するときに使用されます。
管理サーバーとして知られているインスタンスを含むOracle WebLogicサーバー・リソースの論理的に関連したグループ。ドメイン・リソースはOracle WebLogic Server管理コンソールで構成され、管理されます。インストール時にOracle WebLogic Serverドメインが作成され、Oracle Business Intelligenceがそのドメインにインストールされます。詳細は、付録B.2.2「Oracle WebLogic Serverドメイン」を参照してください。
アイデンティティ・ストアには、ユーザー名、パスワードおよびグループ・メンバーシップの情報が含まれています。Oracle Business Intelligenceでは、アイデンティティ・ストアは通常ディレクトリ・サーバーであり、認証プロセス中に認証プロバイダがアクセスします。たとえば、ログイン時にユーザー名とパスワードの組合せを入力すると、認証プロバイダは、提供された資格証明を検証するためにアイデンティティ・ストアを検索します。Oracle Business Intelligenceは、別のアイデンティティ・ストアを使用するように再構成できます。詳細なリストは、Oracle Fusion Middleware 11gR1のシステム要件およびサポートされているプラットフォームを参照してください。詳細は、「システム要件と動作要件」を参照してください。
ポリシー・ストアは、システムおよびアプリケーションに固有のポリシーのリポジトリです。ここには、インストールの一部としてすべて構成済の、Oracle Business Intelligenceのデフォルトのアプリケーション・ロール、権限、ユーザーとグループの間のマッピングの定義が格納されています。Oracle Business Intelligenceの権限は、アイデンティティ・ストアからアプリケーション・ロールにユーザーとグループを割り当てることで付与され、付与された権限はポリシー・ストア内に配置されます。
アプリケーション・ロール、アプリケーション・ポリシー、およびアプリケーション・ロールに割り当てられたメンバー(ユーザー、グループおよびアプリケーション・ロール)の定義が含まれます。デフォルトのポリシー・ストアは、Oracle Business Intelligenceインストール内のすべてのマシンに自動的にレプリケートされるファイルです。ポリシー・ストアには、ファイルベースまたはLDAPベースのものがあります。
これらの権利は、プレゼンテーション・サービス・オブジェクト・レベルのアクセス権を付与します。これらはプレゼンテーション・サービス・カタログ内に格納され、Oracle BIプレゼンテーション・サーバー によって管理されます。
これらの権利は、Oracle BIプレゼンテーション・カタログの機能へのアクセス権を付与します。これらはプレゼンテーション・サービス・カタログ内に格納され、Oracle BIプレゼンテーション・サーバー によって管理されます。これらの権限は付与されるか、または拒否されます。
セキュアな通信リンクを提供します。SSLでは、選択したオプションに応じて、暗号化、認証および拒否の組合せを提供できます。HTTPベースのリンクの場合、セキュアなプロトコルはHTTPSとして知られています。
セキュリティ・ポリシーは、個々のユーザーまたは特定のアプリケーション・ロールに付与されている、Oracle Business Intelligenceリソースへのアクセス権をまとめたグループです。アクセス権を制御する場所は、要求されているリソースの管理をどのOracle Business Intelligenceコンポーネントが行っているかによって決まります。ユーザーのセキュリティ・ポリシーは権限付与の組合せであり、次の要素によって決定されます。
プレゼンテーション・サービス・カタログ: ユーザーがアクセスできるOracle BIプレゼンテーション・カタログオブジェクトおよびOracle BIプレゼンテーション・サービス機能がどれであるかを定義します。この機能へのアクセス権は、Oracle Business Intelligenceのユーザー・インタフェースで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
リポジトリ・ファイル: リポジトリ・ファイル内に指定したメタデータへのアクセス権を定義します。この機能へのアクセス権は、Oracle BI管理ツールで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
ポリシー・ストア: Oracle Business Intelligence、Oracle BI PublisherおよびReal Time Decisionsの機能のいずれにアクセスできるかを定義します。この機能へのアクセス権は、Oracle Enterprise Manager Fusion Middleware Controlで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
インストール中に、Oracle WebLogic Serverドメインが作成され、Oracle Business Intelligenceがそのドメインにインストールされます。Oracle WebLogic Serverドメインのセキュリティは、ドメインのセキュリティ・レルムで管理されます。セキュリティ・レルムは範囲指定メカニズムとして機能します。各セキュリティ・レルムには、一連の構成済セキュリティ・プロバイダ、ユーザー、グループ、セキュリティ・ロール、およびセキュリティ・ポリシーが含まれています。ドメインでは1つのセキュリティ・レルムだけがアクティブになります。Oracle Business Intelligenceの認証は、インストール先のWebLogic Serverドメインのデフォルト・セキュリティ・レルム用に構成された認証プロバイダによって実行されます。Oracle WebLogic Server管理コンソールは、Oracle WebLogic Serverドメインを管理するための管理ツールです。
ユーザーが認証を一度行えば、同じブラウザ・セッションの間は複数のソフトウェア・アプリケーションにアクセスできるようにする認証方法。
ユーザーとは、認証可能なエンティティです。ユーザーには、アプリケーション・ユーザーなどの人、クライアント・アプリケーションなどのソフトウェア・エンティティがあります。どのユーザーにも、アイデンティティ・ストア内で一意の識別子が付与されています。
グループは、何かしら共通するものを持つユーザーを集合にまとめたものです。グループは、システム管理者によって割り当てられた静的な識別子です。ユーザーをグループにまとめることで、効率的なセキュリティ管理を促進します。グループには、LDAPグループとカタログ・グループの2種類があります。カタログ・グループは、Oracle Business Intelligenceユーザー・インタフェースで権限を付与する場合に、プレゼンテーション・サービスの既存のユーザー・ベースをサポートするために使用されます。カタログ・グループの使用はお薦めしません。これは、アップグレードしたシステムでの下位互換性を目的としたものです。
