Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
前 |
次 |
この付録では、ダッシュボードと分析に対して、ユーザーが次のアクセス権のみを持つようなセキュリティの管理方法について説明します。
Oracle BIプレゼンテーション・カタログ内で自分に該当するオブジェクトへのアクセス
自分に該当する機能とタスクへのアクセス
自分に該当する保存済カスタマイズへのアクセス
この付録の内容は次のとおりです。
システム管理者は、認可されたユーザーのみがシステムにアクセスして適切な操作を実行できるようにするために、すべての機能(管理機能を含む)を確実に保護するようにビジネス・インテリジェンス・システムを構成する必要があります。また、管理者は、中間層の通信をすべて保護するようにシステムを構成できる必要があります。
この概要の項の内容は次のとおりです。
プレゼンテーション・サービスのユーザーに影響するセキュリティの設定は、次のOracle Business Intelligenceコンポーネントで実行します。
Oracle BI管理ツール — 次のタスクを実行できます。
ビジネス・モデル、表、列およびサブジェクト・エリアに対する権限の設定
ユーザーごとのデータベース・アクセスの指定
ユーザーがアクセス可能なデータを制限するためのフィルタの指定
認証オプションの設定
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
Oracle BIプレゼンテーション・サービス管理 — ビューの編集、エージェントやプロンプトの作成などの機能にアクセスするための権限をユーザーに設定できます。
Oracle BIプレゼンテーション・サービス — Oracle BIプレゼンテーション・カタログのオブジェクトに対する権限を割り当てることができます。
以前のリリースでは、プレゼンテーション・サービスの管理ページでオブジェクトに対する権限を割り当てることができました。このリリースでは、カタログ・マネージャ、またはプレゼンテーション・サービスの「カタログ」ページで権限を設定します。プレゼンテーション・サービスでの権限の割当て方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionユーザーズ・ガイド』を参照してください。
カタログ・マネージャ — Oracle BIプレゼンテーション・カタログのオブジェクトに対する権限を設定できます。カタログ・マネージャの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle BIプレゼンテーション・カタログの構成と管理に関する項を参照してください。
プレゼンテーション・サービスでセキュリティを保持する場合は、次の点を保証する必要があります。
プレゼンテーション・サービスにサインインしてアクセスできるのは、適切なユーザーのみです。Oracle BIサーバーを通じて、ユーザーにサインイン権限を割り当てて認証する必要があります。
認証は、ユーザー名とパスワードを使用して、ログオンしている人物を識別するプロセスです。その後、認証されたユーザーには、システム(この場合はプレゼンテーション・サービス)にアクセスするための適切な認可が与えられます。プレゼンテーション・サービスには専用の認証システムはなく、Oracle BIサーバーから継承した認証システムに依存しています。
プレゼンテーション・サービスにサインインしているすべてのユーザーに、AuthenticatedUserロールと、Fusion Middleware Controlで割り当てられたロールが付与されます。
認証の詳細は、第1.3項「認証について」を参照してください。
ユーザーは、自分に該当するオブジェクトにのみアクセスできます。『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionユーザーズ・ガイド.』で説明されているとおり、アクセス制御はパーミッションの形式で適用します。
ユーザーは、自分に該当する機能にアクセスできます。ユーザー権限は権限の形式で適用します。たとえば、権限には、「システム全体の列書式の編集」や「エージェントの作成」などがあります。
ユーザーは特定の権限を付与されるか、または拒否されます。これらの対応付けは、第D.2.3項「プレゼンテーション・サービスの権限の管理」で説明されているとおり、権限割当て表で作成されます。
Oracle Business Intelligenceは、Webサーバーでシングル・サインオン機能を使用するように構成できます。プレゼンテーション・サービスは、エンド・ユーザーに関する情報を取得するときにこの機能を使用できます。シングル・サインオンの詳細は、第4章「SSO認証の有効化」を参照してください。
プレゼンテーション・サービスで権限を割り当てる場合は、次のいずれかの方法で割り当てることができます。
アプリケーション・ロールに: これが、推奨される権限の割当て方法です。アプリケーション・ロールによって、ユーザーとその割当ての保守が簡単になります。アプリケーション・ロールでは、システムのアイデンティティ・ストアにそのロールを持つユーザーまたはグループに付与される権限のセットが定義されます。アプリケーション・ロールは、特定の条件に応じて割り当てられます。このため、アプリケーション・ロールは、認証が発生した時点の条件に基づいて動的に付与されます。
アプリケーション・ロールの詳細は、第1.4.1項「アプリケーション・ロールについて」を参照してください。
個々のユーザーに: パーミッションと権限を特定のユーザーに付与できますが、そのような割当ての保守は難しいため、この方法は推奨されません。
カタログ・グループに: このアプローチは、以前のリリースとの下位互換性を保つためにのみ用意されています。
カタログ・グループの詳細は、第D.2.2項「カタログ・グループの使用」を参照してください。
Oracle BIプレゼンテーション・サービスの管理ページを使用して、次の各項で説明されるタスクを実行できます。
メインの管理ページにはリンクが含まれていて、そこから、プレゼンテーション・サービスでユーザーに関連付けられた機能など、様々な機能を実行するための他の管理ページを表示できます。右上隅の「ヘルプ」ボタンをクリックすると、これらのすべてのページに関する情報を取得できます。
注意: 複数のユーザーが管理ページへのアクセス権を持っている場合は、他のユーザーの変更を上書きしてしまう可能性があるため注意してください。ユーザーAとユーザーBの両方が「権限の管理」ページにアクセスして変更しているとします。ユーザーBが権限を編集している間にユーザーAが同じ権限の更新を保存した場合、ユーザーBの変更内容は、ユーザーAが保存した変更内容によって上書きされてしまいます。 |
以前のリリースでは、プレゼンテーション・サービス・グループが、ユーザーを編成するために使用されていました。プレゼンテーション・サービス・グループのメンバーシップは、明示的割当てと継承のいずれかによってユーザーに関連付けられた権限を判別するために使用されました。このリリースでは、プレゼンテーション・サービス・グループは、次の特性を備えています。
カタログ・グループと呼ばれる
ユーザー、アプリケーション・ロール、またはその他のカタログ・グループを含めることができる
以前のグループとの互換性を維持する目的で、プレゼンテーション・サービスにのみ存在する
専用のパスワードはなくなった
カタログ・グループは引き続き使用できますが、ユーザーを編成するには、カタログ・グループではなくアプリケーション・ロールの使用に移行することをお薦めします。
プレゼンテーション・サービス管理者は、カタログ・グループの名前として、Oracle BIプレゼンテーション・サービスにログインするために使用されたユーザーIDとは異なる名前を使用する必要があります。ユーザーIDとカタログ・グループが同じ名前の場合、Oracle BIプレゼンテーション・サービスにログインしようとすると、無効なアカウントであることを示すメッセージを受け取ります。
プレゼンテーション・サービスの管理ページで、次の各項で説明されるタスクを実行できます。
カタログ・グループを作成するには:
プレゼンテーション・サービスの「ホーム」ページで「管理」を選択します。
「カタログ・グループの管理」リンクをクリックします。
「新規カタログ・グループの作成」をクリックします。
「グループの追加」ダイアログで、グループの名前を入力します。
シャトル制御を使用して、このグループに含めるカタログ・グループ、ユーザーおよびアプリケーション・ロールを選択します。
ヒント: グループの継承と維持が複雑にならないようにするため、カタログ・グループにはアプリケーション・ロールを含めないことをお薦めします。特に、AuthenticatedUserロールは、作成した他のカタログ・グループに追加しないでください。これにより、ユーザーまたは認証されたユーザーが意図せずに別のカタログ・グループから権限を継承できないようにすることで、目的のカタログ・グループ(およびユーザー)のみが、指定した権限を持つようになります。 |
「OK」をクリックします。
プレゼンテーション・サービスの「ホーム」ページで「管理」を選択します。
「カタログ・グループの管理」リンクをクリックします。
「カタログ・グループの管理」ページで、削除するグループを1つ以上選択します。
目的のグループを見つけるには、「名前」フィールドにテキストを入力し、「検索」をクリックします。
「選択したグループの削除」をクリックします。
「OK」をクリックして、削除を確定します。
プレゼンテーション・サービスの「ホーム」ページで「管理」を選択します。
「カタログ・グループの管理」リンクをクリックします。
「カタログ・グループの管理」ページで編集するグループを選択します。
目的のグループを見つけるには、「名前」フィールドにテキストを入力し、「検索」をクリックします。
「他のグループ」ボタンをクリックすると、次の25個のグループがリストに表示されます。
I「グループの編集」ダイアログで、名前の変更、またはアプリケーション・ロール、カタログ・グループ、およびユーザーの追加や削除を行います。
「OK」をクリックします。
この項では、プレゼンテーション・サービスの権限について説明します。内容は次のとおりです。
権限は、Oracle BIプレゼンテーション・サービスの機能にアクセスするためにユーザーが保持する権利を制御します。権限は、権限割当て表を使用して、特定のアプリケーション・ロール、個々のユーザー、およびカタログ・グループに対して付与または拒否されます。
パーミッションと同様に、権限は、明示的に設定されるか、またはロールやグループ・メンバーシップを通じて継承されます。権限の明示的な拒否は、付与され継承されたいかなる権限より優先されます。たとえば、ユーザーが列計算式を編集する権限へのアクセスを明示的に拒否されたが、その権限を継承しているアプリケーション・ロールのメンバーである場合、そのユーザーは列計算式を編集できません。
最も一般的に権限が付与されるロールは、BIAuthorまたはBIConsumerです。これにより、ユーザーはプレゼンテーション・サービスの共通の機能にアクセスできます。引き続き、カタログ・グループにも権限を付与できますが、アプリケーション・ロールへの付与に切り替えることをお薦めします。
プレゼンテーション・サービスの「権限の管理」という管理ページで、アプリケーション・ロール、個々のユーザー、およびカタログ・グループの権限を表示して管理することができます。
プレゼンテーション・サービスの「ホーム」ページで「管理」を選択します。
「権限の管理」リンクをクリックします。
管理する権限に関連付けられたリンクをクリックします。
「権限」ダイアログで、次のタスクを実行します。
ダイアログにリストされたアプリケーション・ロール、個々のユーザー、またはカタログ・グループの設定を変更するには、「パーミッション」列の「権限付与」または「拒否」のいずれかを選択します。
権限のアプリケーション・ロール、個々のユーザー、またはカタログ・グループを追加するには、「ユーザー/ロールの追加」ボタンをクリックし、「アプリケーション・ロール、カタログ・グループおよびユーザの追加」ダイアログを完了します。
「OK」をクリックします。
「戻る」をクリックします。
表D-1には、管理可能な権限と、デフォルトでその権限へのアクセス権が付与されているアプリケーション・ロールが一覧表示されています。
これらの権限は、Oracle Business Intelligenceインフラストラクチャに適用されます。組織がビルトイン・アプリケーションを使用している場合は、いくつかの権限が事前に構成されている場合があります。詳細は、アプリケーションのドキュメントを参照してください。
表D-1 Oracle Business Intelligenceインフラストラクチャの権限とデフォルト設定
コンポーネント | 権限 | 説明 | デフォルトでこの権限が付与されているロール |
---|---|---|---|
アクセス |
ダッシュボードへのアクセス |
ユーザーにダッシュボードの表示を許可します。 |
BIConsumer |
アクセス |
アンサーへのアクセス |
ユーザーに分析エディタの基本機能へのアクセスを許可します。 |
BIAuthor |
アクセス |
デリバーへのアクセス |
ユーザーにエージェントの作成と編集を許可します。 |
BIAuthor |
アクセス |
ブリーフィング・ブックへのアクセス |
ユーザーにブリーフィング・ブックの表示とダウンロードを許可します。 |
BIConsumer |
アクセス |
管理へのアクセス |
ユーザーにプレゼンテーション・サービスの「管理」ページへのアクセスを許可します。 |
BIAdministrator |
アクセス |
セグメントへのアクセス |
ユーザーにOracleのSiebel Marketingへのアクセスを許可します。 |
BIConsumer |
アクセス |
セグメント・ツリーへのアクセス |
ユーザーにOracleのSiebel Marketing内のセグメント・ツリーへのアクセスを許可します。 |
BIAuthor |
アクセス |
リスト・フォーマットへのアクセス |
ユーザーにOracleのSiebel Marketing内のリスト・フォーマットへのアクセスを許可します。 |
BIAuthor |
アクセス |
メタデータ・ディクショナリへのアクセス |
ユーザーに、サブジェクト・エリア、フォルダ、列およびレベルのメタデータ・ディクショナリ情報へのアクセスを許可します。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のメタデータ・ディクショナリ情報へのアクセスの提供に関する項を参照してください。 |
BIAdministrator |
アクセス |
Oracle BI for Microsoft Officeへのアクセス |
第D.2.3.3.2項「「Oracle BI for Microsoft Officeへのアクセス」権限」を参照してください。 |
BIConsumer |
アクセス |
KPI Builderへのアクセス |
ユーザーにKPIの作成を許可します。 |
BIAuthor |
アクセス |
スコアカードへのアクセス |
ユーザーにOracle BIスコアカードへのアクセスを許可します。 |
BIConsumer |
アクション |
ナビゲート・アクションの作成 |
第D.2.3.3.1項「Oracle BI Enterprise Editionアクションへのアクセス」を参照してください。 |
BIAuthor |
アクション |
起動アクションの作成 |
第D.2.3.3.1項「Oracle BI Enterprise Editionアクションへのアクセス」を参照してください。 |
BIAuthor |
アクション |
埋込みHTMLが含まれるアクションの保存 |
第D.2.3.3.1項「Oracle BI Enterprise Editionアクションへのアクセス」を参照してください。 |
BIAdministrator |
管理: カタログ |
権限の変更 |
ユーザーにカタログ・オブジェクトの権限の変更を許可します。 |
BIAuthor |
管理: カタログ |
メンテナンス・モードへの切替え |
プレゼンテーション・サービスの「管理」ページに「メンテナンス・モードへの切替え」リンクを表示します。このリンクにより、ユーザーがメンテナンス・モードのオン/オフを切り替えることができます。メンテナンス・モードでは、カタログは読取り専用で、誰も書き込むことはできません。 |
BIAdministrator |
管理: 一般 |
セッションの管理 |
プレゼンテーション・サービスの「管理」ページに「セッションの管理」リンクを表示します。このリンクは、ユーザーがセッションを管理できる「セッションの管理」ページを表示します。 |
BIAdministrator |
管理: 一般 |
ダッシュボードの管理 |
ユーザーに、プロパティの編集を含め、ダッシュボードの作成と編集を許可します。 |
BIAdministrator |
管理: 一般 |
セッションIDの参照 |
ユーザーに「セッションの管理」ページでのセッションIDの参照を許可します。 |
BIAdministrator |
管理: 一般 |
SQLの直接実行 |
プレゼンテーション・サービスの「管理」ページに「SQLの実行」リンクを表示します。このリンクは、ユーザーがSQL文を入力する「SQLの実行」ページを表示します。 |
BIAdministrator |
管理: 一般 |
システム情報の表示 |
プレゼンテーション・サービスの管理ページの最上部に、システムに関する情報を表示することをユーザーに許可します。 |
BIAdministrator |
管理: 一般 |
パフォーマンスのモニター |
ユーザーにパフォーマンスのモニターを許可します。 |
BIAdministrator |
管理: 一般 |
エージェント・セッションの管理 |
プレゼンテーション・サービスの管理ページに「エージェント・セッションの管理」リンクを表示します。このリンクは、ユーザーがエージェント・セッションを管理できる「エージェント・セッションの管理」ページを表示します。 |
BIAdministrator |
管理: 一般 |
デバイス・タイプの管理 |
プレゼンテーション・サービスの管理ページに「デバイス・タイプの管理」リンクを表示します。このリンクは、ユーザーがエージェントのデバイス・タイプを管理できる「デバイス・タイプの管理」ページを表示します。 |
BIAdministrator |
管理: 一般 |
マップ・データの管理 |
プレゼンテーション・サービスの管理ページに「マップ・データの管理」リンクを表示します。このリンクは、ユーザーがマップ・ビューのレイヤー、背景マップおよびイメージを編集する「マップ・データの管理」ページを表示します。 |
BIAdministrator |
管理: 一般 |
権限エラーの参照 |
ユーザーに権限エラー・メッセージの参照を許可します。ユーザーは、データベース接続に関する詳細なエラー・メッセージ、またはより低レベルのコンポーネントで障害が生じた場合はその他の詳細を参照できます。 |
BIAdministrator |
管理: 一般 |
エラーで発行されたSQLの参照 |
エラー・メッセージでBIサーバーによって返されたSQL文の参照をユーザーに許可します。 |
BIConsumer |
管理: 一般 |
マーケティング・ジョブの管理 |
プレゼンテーション・サービスの管理ページに「マーケティング・ジョブの管理」リンクを表示します。このリンクは、ユーザーがマーケティング・ジョブを管理できる「マーケティング・ジョブの管理」ページを表示します。 |
BIAuthor |
管理: 一般 |
マーケティング・デフォルトの管理 |
プレゼンテーション・サービスの管理ページに「マーケティング・デフォルトの管理」リンクを表示します。このリンクは、ユーザーがOracleのSiebel Marketingアプリケーションのデフォルトを管理できる「マーケティング・デフォルトの管理」ページを表示します。 |
BIAdministrator |
管理: セキュリティ |
カタログ・グループの管理 |
プレゼンテーション・サービスの管理ページに「カタログ・グループの管理」リンクを表示します。このリンクは、ユーザーがカタログ・グループを編集する「カタログ・グループの管理」ページを表示します。 |
BIAdministrator |
管理: セキュリティ |
権限の管理 |
プレゼンテーション・サービスの管理ページに「権限の管理」リンクを表示します。このリンクは、この表で説明されている権限をユーザーが管理する「権限の管理」ページを表示します。 |
BIAdministrator |
管理: セキュリティ |
カタログ・オブジェクトの所有権の設定 |
ユーザーに、作成しなかったため所有権を持っていないカタログ項目の所有権を保持することを許可します。「プロパティ」ページで、個々のオブジェクトには「この項目の所有権を設定」リンクを表示し、フォルダには「この項目の所有権を設定」リンクを表示します。 |
BIAdministrator |
管理: セキュリティ |
ユーザー移入 - ユーザーをリスト可能 |
ユーザーに、権限の割当てなどのタスクの実行対象にできるユーザーのリストの参照を許可します。 |
BIConsumer、BISystem |
管理: セキュリティ |
ユーザー移入 - グループをリスト可能 |
ユーザーに、権限の割当てなどのタスクの実行対象にできるグループのリストの参照を許可します。 |
BIConsumer、BISystem |
ブリーフィング・ブック |
ブリーフィング・ブックに追加またはブリーフィング・ブックを編集 |
ダッシュボードのページや分析の「ブリーフィング・ブックに追加」リンクとブリーフィング・ブック内の「編集」リンクの参照を許可します。 |
BIAuthor |
ブリーフィング・ブック |
ブリーフィング・ブックのダウンロード |
ユーザーにブリーフィング・ブックのダウンロードを許可します。 |
BIConsumer |
カタログ |
個人用ストレージ |
ユーザーに、専用のMy Foldersフォルダへの書込みアクセス権を許可し、そこにコンテンツを作成できるようにします。この権限を持っていないユーザーは、電子メール・アラートは受信できますが、ダッシュボード・アラートは受信できません。 |
BIConsumer |
カタログ |
メタデータの再ロード |
ユーザーに、「サブジェクト・エリア」ペインの「リフレッシュ」メニューでの「サーバー・メタデータの再ロード」リンクのクリックを許可します。 |
BIAdministrator |
カタログ |
非表示の項目の参照 |
ユーザーに、カタログ・フォルダ内の非表示項目の参照を許可します。ユーザーは、「カタログ」ページの「非表示項目の表示」ボックスも選択できます。 |
BIAuthor |
カタログ |
フォルダの作成 |
ユーザーに、カタログ内でのフォルダの作成を許可します。 |
BIAuthor |
カタログ |
カタログのアーカイブ |
ユーザーにカタログ内のフォルダとオブジェクトのアーカイブを許可します。 |
BIAdministrator |
カタログ |
カタログのアンアーカイブ |
ユーザーに、以前にアーカイブされたカタログ・オブジェクトのアンアーカイブを許可します。 |
BIAdministrator |
カタログ |
ファイルのアップロード |
ユーザーに、既存のカタログへのファイルのアップロードを許可します。 |
BIAdministrator |
条件 |
条件の作成 |
ユーザーに、名前付きの条件の作成または編集を許可します。 |
BIAuthor |
ダッシュボード |
カスタマイズの保存 |
BIConsumer |
|
ダッシュボード |
デフォルト・カスタマイズの割当て |
BIAuthor |
|
書式設定 |
システム全体の列書式の保存 |
ユーザーに、列の書式の指定時にシステム全体のデフォルトを保存することを許可します。 |
BIAdministrator |
マイ・アカウント |
マイ・アカウントへのアクセス |
ユーザーに「マイ・アカウント」ダイアログへのアクセスを許可します。 |
BIConsumer |
マイ・アカウント |
プリファレンスの変更 |
ユーザーに、「マイ・アカウント」ダイアログの「プリファレンス」タブへのアクセスを許可します。 |
BIConsumer |
マイ・アカウント |
配信オプションの変更 |
ユーザーに、「マイ・アカウント」ダイアログの「配信オプション」タブへのアクセスを許可します。 |
BIConsumer |
アンサー |
ビューの作成 |
ユーザーにビューの作成を許可します。 |
BIAuthor |
アンサー |
プロンプトの作成 |
ユーザーにプロンプトの作成を許可します。 |
BIAuthor |
アンサー |
「詳細」タブにアクセス |
ユーザーに、分析エディタの「詳細設定」タブへのアクセスを許可します。 |
BIAuthor |
アンサー |
列式の編集 |
ユーザーに列式の編集を許可します。 |
BIAuthor |
アンサー |
HTMLマークアップを含むコンテンツの保存 |
第D.2.3.3.3項「「HTMLマークアップを含むコンテンツの保存」権限」を参照してください。 |
BIAdministrator |
アンサー |
XMLと論理SQLの入力 |
ユーザーに高度なSQLタブの使用を許可します。 |
BIAuthor |
アンサー |
直接データベース分析の編集 |
ユーザーに、バックエンド・データ・ソースに直接送信されるリクエストの作成と編集を許可します。 |
BIAdministrator |
アンサー |
単純SQLからの分析の作成 |
ユーザーに「サブジェクト・エリアの選択」リストでの「単純SQLからの分析の作成」オプションの選択を許可します。 |
BIAdministrator |
アンサー |
高度なフィルタの作成と操作の設定 |
ユーザーに、分析エディタの「基準」タブでの「union、intersection、および異なる演算子に基づいた結果を結合します。」ボタンのクリックを許可します。 |
BIAuthor |
アンサー |
フィルタの保存 |
ユーザーにフィルタの保存を許可します。 |
BIAuthor |
アンサー |
直接データベース分析の実行 |
ユーザーに、バックエンド・データ・ソースへのリクエストの直接発行を許可します。 |
BIAdministrator |
デリバー |
エージェントの作成 |
ユーザーにエージェントの作成を許可します。 |
BIAuthor |
デリバー |
エージェントの登録を公開 |
ユーザーに、エージェントの登録の公開を許可します。 |
BIAuthor |
デリバー |
特定のユーザーまたは動的に決定されるユーザーにエージェントを配信 |
ユーザーに、エージェントの他のユーザーへの配信を許可します。 |
BIAdministrator |
デリバー |
エージェントの結合 |
ユーザーにエージェントの結合を許可します。 |
BIAuthor |
デリバー |
エージェントの現在の登録の変更 |
ユーザーに、ユーザーの登録解除を含め、エージェントの現在の登録の変更を許可します。 |
BIAdministrator |
代理 |
代理として実行 |
第D.6項「他のユーザーの代理実行の有効化」で説明されているとおり、ユーザーに、他のユーザーの代理ユーザーとして実行することを許可します。 |
拒否: BIConsumer |
RSSフィード |
RSSフィードへのアクセス |
ユーザーに、アラートとフォルダのコンテンツを伴うRSSフィードへの登録と受信を許可します。 プレゼンテーション・サービスがHTTPSプロトコルを使用している場合は、使用するRSSリーダーもHTTPSプロトコルをサポートしている必要があります。 |
BIAuthor |
スコアカード |
スコアカードの作成/編集 |
ユーザーにスコアカードの作成と編集を許可します。 |
BIAuthor |
スコアカード |
スコアカードの表示 |
ユーザーにスコアカードの表示を許可します。 |
BIConsumer |
スコアカード |
目標の作成/編集 |
ユーザーに目標の作成と編集を許可します。 |
BIAuthor |
スコアカード |
イニシアティブの作成/編集 |
ユーザーにイニシアティブの作成と編集を許可します。 |
BIAuthor |
スコアカード |
ビューの作成 |
ユーザーに、戦略ツリーなどのスコアカード・ビューの作成と編集を許可します。 |
BIAuthor |
スコアカード |
原因と結果関連の作成/編集 |
ユーザーに、原因と結果関連の作成と編集を許可します。 |
BIAuthor |
スコアカード |
パースペクティブの作成/編集 |
ユーザーにパースペクティブの作成と編集を許可します。 |
BIAdministrator |
スコアカード |
注釈の追加 |
ユーザーに、KPIとスコアカード・コンポーネントへのコメントの追加を許可します。 |
BIConsumer |
スコアカード |
ステータスのオーバーライド |
ユーザーに、KPIとスコアカード・コンポーネントのステータスのオーバーライドを許可します。 |
BIConsumer |
スコアカード |
KPIの作成/編集 |
ユーザーにKPIの作成と編集を許可します。 |
BIAuthor |
スコアカード |
ダッシュボードへのスコアカード・ビューの追加 |
ユーザーに、ダッシュボードへのスコアカード・ビュー(戦略ツリーなど)の追加を許可します。 |
BIConsumer |
リスト・フォーマット |
リスト・フォーマットの作成 |
ユーザーに、OracleのSiebel Marketingでのリスト・フォーマットの作成を許可します。 |
BIAuthor |
リスト・フォーマット |
ヘッダーとフッターの作成 |
ユーザーに、OracleのSiebel Marketingでのリスト・フォーマットのヘッダーとフッターの作成を許可します。 |
BIAuthor |
リスト・フォーマット |
「アクセス・オプション」タブ |
ユーザーに、OracleのSiebel Marketingでのリスト・フォーマットの「オプション」タブへのアクセスを許可します。 |
BIAuthor |
リスト・フォーマット |
リスト・フォーマット列の追加/削除 |
ユーザーに、OracleのSiebel Marketingでのリスト・フォーマットの列の追加と削除を許可します。 |
BIAdministrator |
セグメンテーション |
セグメントの作成 |
ユーザーに、OracleのSiebel Marketingでのセグメントの作成を許可します。 |
BIAuthor |
セグメンテーション |
セグメント・ツリーの作成 |
ユーザーに、OracleのSiebel Marketingでのセグメント・ツリーの作成を許可します。 |
BIAuthor |
セグメンテーション |
保存された結果セットの作成/パージ |
ユーザーに、OracleのSiebel Marketingでの保存済結果セットの作成とパージを許可します。 |
BIAdministrator |
セグメンテーション |
セグメントの「高度なオプション」タブへのアクセス |
ユーザーに、OracleのSiebel Marketingのセグメントの「高度なオプション」タブへのアクセスを許可します。 |
BIAdministrator |
セグメンテーション |
セグメント・ツリーの「高度なオプション」タブへのアクセス |
ユーザーに、OracleのSiebel Marketingのセグメント・ツリーの「高度なオプション」タブへのアクセスを許可します。 |
BIAdministrator |
セグメンテーション |
セグメント・デザイナ内のターゲット・レベルの変更 |
ユーザーに、OracleのSiebel Marketingのセグメント・デザイナ内のターゲット・レベルの変更を許可します。 |
BIAdministrator |
SOAP |
SOAPにアクセス |
ユーザーに、各種Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
システム・ユーザーとして偽装 |
ユーザーに、Webサービスを使用するシステム・ユーザーの偽装を許可します。 |
BISystem |
SOAP |
MetadataServiceサービスへのアクセス |
ユーザーに、MetadataService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
AnalysisExportViewsServiceサービスへのアクセス |
ユーザーに、ReportingEditingService Webサービスへのアクセスを許可します。 |
BIConsumer |
SOAP |
ReportingEditingServiceサービスへのアクセス |
ユーザーに、ReportingEditingService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
ConditionEvaluationServiceサービスへのアクセス |
ユーザーに、ConditionEvaluationService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
ReplicationServiceサービスへのアクセス |
Oracle BIプレゼンテーション・カタログをレプリケートするためにReplicationService Webサービスへアクセスすることをユーザーに許可します。 |
BISystem |
SOAP |
CatalogIndexingServiceサービスへのアクセス |
全文検索に使用する目的でOracle BIプレゼンテーション・カタログを索引付けするためにCatalogIndexingService Webサービスへアクセスすることをユーザーに許可します。 |
BISystem |
SOAP |
DashboardServiceサービスへのアクセス |
ユーザーに、DashboardService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
SecurityServiceサービスへのアクセス |
ユーザーに、SecurityService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
ScorecardMetadataServiceサービスへのアクセス |
ユーザーに、ScorecardMetadataService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
ScorecardAssessmentServiceサービスへのアクセス |
ユーザーに、ScorecardAssessmentService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
HtmlViewServiceサービスへのアクセス |
ユーザーに、HtmlViewService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
CatalogServiceサービスへのアクセス |
ユーザーに、CatalogService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
IBotServiceサービスへのアクセス |
ユーザーに、IBotService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
XmlGenerationServiceサービスへのアクセス |
ユーザーに、XmlGenerationService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
JobManagementServiceサービスへのアクセス |
ユーザーに、JobManagementService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
SOAP |
KPIAssessmentServiceサービスへのアクセス |
ユーザーに、KPIAssessmentService Webサービスへのアクセスを許可します。 |
BIConsumer、BISystem |
サブジェクト・エリア (名前別) |
Oracle BIアンサー内でのアクセス |
ユーザーに、アンサー・エディタ内の指定したサブジェクト・エリアへのアクセスを許可します。 |
BIAuthor |
アナライザの表示 |
アナライザビューの追加と編集 |
ユーザーにアナライザ・ビューへのアクセスを許可します。 |
BIAdministrator |
列セレクタの表示 |
列セレクタビューの追加と編集 |
ユーザーに列セレクタ・ビューの作成と編集を許可します。 |
BIAuthor |
複合の表示 |
複合ビューの追加と編集 |
ユーザーに複合ビューの作成と編集を許可します。 |
BIAuthor |
グラフの表示 |
グラフビューの追加と編集 |
ユーザーにグラフ・ビューの作成と編集を許可します。 |
BIAdministrator |
ファンネルの表示 |
ファンネルビューの追加と編集 |
ユーザーにファンネル・グラフ・ビューの作成と編集を許可します。 |
BIAuthor |
ゲージの表示 |
ゲージビューの追加と編集 |
ユーザーにゲージ・ビューの作成と編集を許可します。 |
BIAuthor |
フィルタの表示 |
フィルタビューの追加と編集 |
ユーザーにフィルタの作成と編集を許可します。 |
BIAuthor |
ダッシュボード・プロンプトの表示 |
ダッシュボード・プロンプトビューの追加と編集 |
ユーザーにダッシュボード・プロンプトの作成と編集を許可します。 |
BIAuthor |
静的テキストの表示 |
静的テキストビューの追加と編集 |
ユーザーに静的テキスト・ビューの作成と編集を許可します。 |
BIAuthor |
凡例の表示 |
凡例ビューの追加と編集 |
ユーザーに凡例ビューの作成と編集を許可します。 |
BIAuthor |
マップの表示 |
マップビューの追加と編集 |
ユーザーにマップ・ビューの作成と編集を許可します。 |
BIAuthor |
ナレーティブの表示 |
ナレーティブビューの追加と編集 |
ユーザーにナレーティブ・ビューの作成と編集を許可します。 |
BIAuthor |
ネストされたリクエストの表示 |
ネストされたリクエストビューの追加と編集 |
ユーザーに、ネストされた分析の作成と編集を許可します。 |
BIAuthor |
結果なしの表示 |
結果なしビューの追加と編集 |
ユーザーに結果なしビューの作成と編集を許可します。 |
BIAuthor |
ピボット表の表示 |
ピボット表ビューの追加と編集 |
ユーザーにピボット表ビューの作成と編集を許可します。 |
BIAuthor |
レポート・プロンプトの表示 |
レポート・プロンプトビューの追加と編集 |
ユーザーにプロンプトの作成と編集を許可します。 |
BIAuthor |
セグメントの作成の表示 |
セグメントの作成ビューの追加と編集 |
ユーザーにセグメント・ビューの作成と編集を許可します。 |
BIAuthor |
論理SQLの表示 |
論理SQLビューの追加と編集 |
ユーザーに論理SQLビューの作成と編集を許可します。 |
BIAuthor |
表の表示 |
表ビューの追加と編集 |
ユーザーに表ビューの作成と編集を許可します。 |
BIAuthor |
ターゲット・リストを作成の表示 |
ターゲット・リストを作成ビューの追加と編集 |
ユーザーにターゲット・リスト・ビューの作成と編集を許可します。 |
BIAuthor |
ティッカの表示 |
ティッカビューの追加と編集 |
ユーザーにティッカ・ビューの作成と編集を許可します。 |
BIAuthor |
タイトルの表示 |
タイトルビューの追加と編集 |
ユーザーにタイトル・ビューの作成と編集を許可します。 |
BIAuthor |
ビュー・セレクタの表示 |
ビュー・セレクタビューの追加と編集 |
ユーザーにビュー・セレクタ・ビューの作成と編集を許可します。 |
BIAuthor |
ライトバック |
データベースへのライトバック |
データ・ソースにデータを書き込む権限を付与します。 |
拒否: BIConsumer |
ライトバック |
ライトバックの管理 |
ライトバック・リクエストを管理する権限を付与します。 |
BIAdministrator |
「アクション」権限を設定する必要があります。この権限は、ユーザーがアクション機能を使用できるかどうかを決定し、どのユーザー・タイプがアクションを作成できるかを指定します。次のリストで、これらの権限を説明します。
ナビゲート・アクションの作成 — どのユーザーがナビゲート・アクション・タイプを作成できるかを決定します。この権限が拒否されたユーザーのセッションには、ナビゲート・アクションの作成が可能なユーザー・インターフェイス・コンポーネントは一切含まれません。たとえば、この権限が拒否されたユーザーが、Oracle BI Enterprise Editionグローバル・ヘッダーからアクションの作成を選択すると、ユーザーがアクション・タイプを選択するダイアログに「ナビゲート・アクション」オプションは含まれません(「BIコンテンツに移動」、「Webページに移動」など)。ただし、この権限が拒否されたユーザーは、保存済アクションを分析およびダッシュボードに追加することはできます。さらに、この権限が拒否されたユーザーは、アクションを含む分析またはダッシュボードからアクションを実行することができます。
起動アクションの作成 — どのユーザーが起動アクション・タイプを作成できるかを決定します。この権限が拒否されたユーザーのセッションには、起動アクションの作成が可能なユーザー・インターフェイス・コンポーネントは一切含まれません。たとえば、この権限が拒否されたユーザーが、エージェント・エディタの「アクション」タブを選択し「新規アクションの追加」ボタンをクリックすると、ユーザーがアクション・タイプを選択するダイアログに「起動アクション」オプションは含まれません(「Webサービスの起動」、「HTTPリクエストの起動」など)。ただし、この権限が拒否されたユーザーは、保存済アクションを分析およびダッシュボードに追加することはできます。さらに、この権限が拒否されたユーザーは、アクションを含む分析またはダッシュボードからアクションを実行することができます。
埋込みHTMLが含まれるアクションの保存 — どのユーザーがWebサービス・アクション結果のカスタマイズにHTMLコードを埋め込むことができるかを決定します。この権限を割り当てると、ユーザーによるHTMLコードの実行が可能になりセキュリティ上のリスクが発生するため、注意が必要です。
「Oracle BI for Microsoft Officeへのアクセス」権限があると、Oracle BI EEの「ホーム」ページの「はじめに」エリアにある「BIデスクトップ・ツールのダウンロード」リンクに、次のオプションが表示されます。
Oracle BI for MS Office: Oracle BI Add-in for Microsoft Officeのインストール・ファイルをダウンロードします。
Smart View: Oracle Hyperion Smart Viewのインストール・ファイルをダウンロードします。
「Oracle BI for Microsoft Officeへのアクセス」権限は、分析の「コピー」リンクの表示には影響しません。このリンクは、常にそこで使用可能です。
Oracle BI Add-in for Microsoft Office用にダウンロードするインストール・ファイルの場所は、デフォルトで、instanceconfig.xmlファイルのBIforOfficeURL要素に指定されています。Oracle BI Add-in for Microsoft Officeと「コピー」オプションの使用方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionユーザーズ・ガイド.』を参照してください。
デフォルトでは、プレゼンテーション・サービスはクロスサイト・スクリプティング(XSS)から保護されています。XSSから保護するために、プレゼンテーション・サービスのフィールドへの入力をエスケープし、それをプレーン・テキストとして表示します。たとえば、保護不可能なユーザーがHTMLフィールドを使用して、ページからデータを盗むスクリプトを入力する場合があります。
デフォルトでは、エンド・ユーザーは、HTMLとしてフラグ付けされたコンテンツを保存できません。かわりに、「HTMLマークアップを含むコンテンツの保存」権限を持つ管理者だけが、HTMLコードを含むコンテンツを保存できます。「HTMLマークアップを含むコンテンツの保存」権限を持つユーザーは、fmap接頭辞の付いたイメージを保存できます。この権限が割り当てられていないユーザーが、fmap接頭辞の付いたイメージを保存しようとすると、エラー・メッセージが表示されます。
プレゼンテーション・サービス管理の「セッション管理」ページを使用して、アクティブ・ユーザーと実行中の分析に関する情報の表示、リクエストの取消し、キャッシュの消去を実行できます。
プレゼンテーション・サービスでセッションを管理するには:
プレゼンテーション・サービスの「ホーム」ページで「管理」を選択します。
「セッション管理」リンクをクリックします。
「セッション管理」画面が表示され、次の表が示されます。
セッション表。ログインしているユーザーに対して作成されているセッションに関する情報を示します。
カーソル・キャッシュ表。分析のステータスを表示します。
実行中のリクエストをすべて取り消すには:
「実行中のリクエストの取消し」をクリックします。
「終了」をクリックします。
実行中の分析を1つ取り消すには:
カーソル・キャッシュ表で分析を識別し、「アクション」列で「取消」リンクをクリックします。
ユーザーは、分析が管理者によって取り消されたことを示すメッセージを受け取ります。
カーソル・キャッシュ表で分析を識別し、「すべてのカーソルを閉じる」をクリックします。
「終了」をクリックします。
分析に関連付けられたキャッシュ・エントリをクリアするには:
カーソル・キャッシュ表で分析を識別し、「アクション」列で「閉じる」リンクをクリックします。
分析に関する情報の問合せファイルを表示するには:
カーソル・キャッシュ表で、分析を識別し、「ログの表示」リンクをクリックします。
注意: このログ・ファイルにデータを保存する場合は、問合せログをオンにする必要があります。 |
権限は、ユーザーに直接割り当てるか、アプリケーション・ロールまたはカタログ・グループを通じて割り当てることができます。別の言い方をすると、権限は明示的または効果的に割り当てることができます。有効な権限は、アプリケーション・ロールまたはカタログ・グループからの継承を通じて間接的に割り当てられ、割当てにはこちらの方法をお薦めします。
この項の項目は次のとおりです。
次のリストは、権限の継承のルールを説明しています。
ユーザーに明示的に付与された権限は、ユーザーが属するアプリケーション・ロールまたはカタログ・グループから継承した権限をオーバーライドします。
ユーザーが2つのアプリケーション・ロールまたはカタログ・グループに属し、両方に権限が付与されている場合は、制限の最も少ない権限がユーザーに付与されます。
たとえば、一方のアプリケーション・ロールでは開くアクセスが許可されており、もう一方では変更アクセスが許可されている場合、制限の最も少ないアクセスとして、この場合は開くアクセスが付与されます。
注意: これに対する例外は、2つのアプリケーション・ロールまたはカタログ・グループの一方に対して、権限が明示的に拒否されている場合です。その場合、ユーザーは拒否されます。 |
ユーザーがアプリケーション・ロールXに属し、アプリケーション・ロールXがアプリケーション・ロールYのメンバーである場合、アプリケーション・ロールXに割り当てられた権限は、アプリケーション・ロールYに割り当てられた権限をオーバーライドします。XとYがカタログ・グループの場合も同じことが当てはまります。
たとえば、開く権限がマーケティングにある場合、マーケティングのメンバーであるマーケティング管理者はフル・コントロール権限を持つことができます。
プレゼンテーション・サービスの「権限」ダイアログで、アプリケーション・ロールとともにカタログ・グループが指定されている場合は、カタログ・グループが優先されます。
たとえば、特定のオブジェクトに対して、BIAdministratorロールが読取り専用権限を持ち、Adminカタログ・グループがフル・コントロール権限を持つものとします。BIAdministratorロールとAdminカタログ・グループの両方のメンバーであるユーザーがサインインした場合、このユーザーにはオブジェクトに対するフル・アクセス権が付与されます。
アクセスの明示的な拒否は、他のあらゆる権限より優先されます。
図D-1は、アプリケーション・ロールを通じた権限を継承する方法の例を示しています。図の上部には、User1とラベル付けされた四角形があり、User1はRole1とRole2のメンバーであると指定しています。User1の四角形の下には、四角形がさらに2つ接続されていて、左側がRole1、右側がRole2を表しています。
Role1の四角形は、Role1がDashboardAへのアクセス権を持たず、Role3とRole4のメンバーであると指定しています。
Role2の四角形は、Role2がDashboardDに対して開くアクセス権を持ち、Role5のメンバーで、DashboardEに対するアクセス権は持たないと指定しています。
Role1の四角形の下には、四角形がさらに2つ接続されていて、左側がRole3、右側がRole4を表しています。
Role3の四角形は、Role3がDashboardBに対して開くアクセス権を持つと指定しています。
Role4の四角形は、Role4がDashboardCに対してフル・アクセス権を持ち、DashboardAに対して開くアクセス権を持つと指定しています。
最後に、Role2の四角形の下に1つの四角形が接続されていて、この四角形がRole5を表しています。Role5の四角形は、Role5がDashboard Dに対して変更アクセス権を持ち、DashboardEに対して開くアクセス権を持つと指定しています。
この例の内容は次のとおりです。
User1は、Role1とRole2の直接メンバーで、Role3、Role4およびRole5の間接メンバーです。
Role1から引き継いだ権限には、DashboardAへのアクセス権はなく、DashboardBへの開くアクセス権およびDashboardCへのフル・コントロールがあります。
1つのアプリケーション・ロールが2番目のアプリケーション・ロールのメンバーである場合、1番目のアプリケーション・ロールに割り当てられた権限は、1番目のロールに割り当てられた権限をオーバーライドします。そのため、Role2から継承された権限には、Role5から引き継いだ、DashboardDへの変更アクセス権が含まれます。
具体的にアクセス権を拒否すると、他のあらゆる設定より優先されます。そのため、Role1のDashboardAへのアクセス権の拒否は、Role4の開くアクセス権をオーバーライドします。その結果、Role1にはDashboardAへのアクセス権がなくなります。同様に、Role5にはDashboardEへのアクセス権がなくなります。これは、そのダッシュボードへのアクセス権が、Role2に対して明示的に拒否されているからです。
User1に付与された権限は、全体で次のようになります。
DashboardAとDashboardEへのアクセス権はありません。アクセス権が具体的に拒否されているからです。
DashboardBに対する開くアクセス権。
DashboardCに対するフル・コントロール。
DashboardDに対する変更アクセス権。
明示的にカタログ・グループに付与された権限は、アプリケーション・ロールに付与された権限より優先されます。たとえば、Marketing_USというアプリケーション・ロールがあり、Marketingダッシュボードへのフル・アクセス権を持っているとします。Marketing_USロールの一部のユーザーに対して、そのダッシュボードへのアクセス権を付与しないように制限するとします。そのためには、Marketing_SanJoseというカタログ・グループを作成し、該当するユーザーをそのグループのメンバーとして追加します。その後で、Marketingダッシュボードに対するMarketing_SanJoseカタログ・グループのアクセスを拒否します。それらのユーザーがMarketing_USロールに属している場合でも、Marketingダッシュボードへのアクセスは拒否されます。
この項では、ユーザーへの共有ダッシュボードの提供について説明します。内容は次のとおりです。
Oracle BIプレゼンテーション・カタログには、次の2つのメイン・フォルダがあります。
「マイ・フォルダ」 — 個々のユーザーの個人用ストレージが含まれます。計算された項目やグループなどのオブジェクトを保存する「サブジェクト・エリアのコンテンツ」フォルダが含まれます。
「共有フォルダ」 — ユーザー間で共有されるオブジェクトやフォルダが含まれます。ユーザー間で共有されるダッシュボードは、/「共有フォルダ」フォルダの下にある共通サブフォルダの下の「ダッシュボード」サブフォルダに保存されます。
注意: Oracle BIプレゼンテーション・カタログの分析に対する権限がユーザーに付与されていても、この分析が、ユーザーが権限を持たないサブジェクト・エリアを参照している場合、Oracle BIサーバーでは引き続き、このユーザーは分析を実行できません。 |
Oracle BIプレゼンテーション・カタログをセットアップし、権限を設定した後、他のユーザーが使用できるように、共有ダッシュボードとコンテンツを作成できます。
共有ダッシュボードを作成するメリットの1つは、共有ダッシュボード内で作成するページが再利用できる点です。ユーザーは、共有ダッシュボードのページや自分で作成した新しいページを使用して専用のダッシュボードを作成できます。『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionユーザーズ・ガイド.』で説明されているとおり、ページとコンテンツを追加できます。
複数のユーザーにデフォルトの共有ダッシュボードの変更を許可する予定の場合は、これらのユーザーをアプリケーション・ロールに入れることを検討してください。たとえば、Salesというアプリケーション・ロールとSalesHomeというデフォルトのダッシュボードを作成するとします。Salesアプリケーション・ロールを割り当てたユーザー40人のうち、SalesHomeダッシュボードのコンテンツの作成/変更権限が必要なユーザーは3人です。最初のSalesアプリケーション・ロールと同じ権限を持つSalesAdminアプリケーション・ロールを作成します。SalesHomeダッシュボードとコンテンツの変更が許可されたユーザー3人を、この新しいSalesAdminアプリケーション・ロールに追加し、Oracle BIプレゼンテーション・カタログで、該当する権限をこのロールに付与します。 これにより、この3人のユーザーは、SalesHomeダッシュボードのコンテンツの作成と変更が許可されます。ダッシュボードのコンテンツの変更権限がユーザーに不要になった場合は、そのユーザーのロール割当てをSalesに変更できます。既存のSalesロール・ユーザーにダッシュボードのコンテンツの作成権限が必要になった場合は、そのユーザーのロール割り当てをSalesAdminに変更できます。
共有ダッシュボードの作成の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のダッシュボードの管理に関する項を参照してください。
ユーザー・コミュニティにダッシュボードとコンテンツをリリースする前に、いくつかのテストを実行します。
ダッシュボードをテストするには:
適切な権限を持つユーザーが目的のコンテンツに正しくアクセスして表示していることを確認します。
適切な権限を持たないユーザーがダッシュボードにアクセスできないことを確認します。
スタイルとスキンが予想どおりに表示され、その他のビジュアル要素も予想どおりであることを確認します。
問題を検出した場合は修正して再テストします。満足する結果が得られるまで、このプロセスを繰り返します。
テストが完了した後、ダッシュボードが使用可能であることをユーザー・コミュニティに通知し、関連するネットワーク・アドレスを確実に提供します。
この項では、保存済カスタマイズの概要と、保存済カスタマイズの管理に関する情報について説明します。内容は次のとおりです。
保存済カスタマイズを使用すると、最もよく使用するアイテムや好みのアイテム(フィルタ、プロンプト、列のソート、分析でのドリル、セクションの展開と縮小など)を使用した現在の状態でダッシュボード・ページを保存し、後で表示できます。カスタマイズを保存することで、ユーザーは、ダッシュボード・ページにアクセスするたびにこれらを手動で選択する必要がなくなります。
適切な権限とダッシュボードのアクセス権を持つユーザーとグループは、次のアクティビティを行えます。
個人で使用するため、あるいは他のユーザーが使用するために、様々な選択の組合せを保存済カスタマイズとして保存します。
個人で使用するため、あるいは他のユーザーが使用するために、保存済カスタマイズをダッシュボード・ページのデフォルト・カスタマイズに指定します。
保存済カスタマイズを切り替えます。
この動作は次の方法で制限できます。
ユーザーは、割り当てられた保存済カスタマイズのみを表示できます。
ユーザーは、個人で使用する目的でのみカスタマイズを保存できます。
ユーザーは、個人使用および他のユーザーによる使用を目的としてカスタマイズを保存できます。
ダッシュボードのエンド・ユーザーと保存済カスタマイズの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionユーザーズ・ガイド』を参照してください。
この項では、保存済カスタマイズの管理に必要な権限について説明します。また、Oracle BIプレゼンテーション・カタログにおいて、保存済カスタマイズの格納と管理に関連する部分についても説明します。
Oracle BIプレゼンテーション・サービス管理で、ダッシュボード・エリアの次の権限と、主要なダッシュボード要素の権限設定によって、ユーザーまたはグループがカスタマイズを保存または割当てできるかどうかが制御されます。
カスタマイズの保存
デフォルト・カスタマイズの割当て
必要なアクセス・レベルに応じて、ユーザーまたはグループにどちらも割り当てないか、一方の権限または両方の権限を割り当てることができます。たとえば、どちらの権限も持たないユーザーは、デフォルト・カスタマイズとして割り当てられている保存済カスタマイズのみを表示できます。
この項では、ダッシュボード・ページの保存済カスタマイズを管理するためにユーザーに必要なパーミッションと、共有および個人用の保存済カスタマイズにパーミッションを設定するためのOracle BIプレゼンテーション・カタログ構造の関連部分について説明します。
Oracle BI EEの「権限」ダイアログで、「フル・コントロール」や「アクセス権なし」などのパーミッションをダッシュボートとページに設定します。これらのパーミッションは、カタログ内の他のオブジェクトにも同じ方法で割り当てます。
特定のダッシュボード・ページの保存済カスタマイズを操作するためのパーミッションは、ダッシュボード・ビルダーで使用可能な「ダッシュボードのプロパティ」ダイアログで設定します。このダイアログのリストでページを選択した後、次のいずれかのボタンをクリックします。
「共有のカスタマイズを保存できるユーザーの指定」は、誰がダッシュボード・ページの共有カスタマイズを保存できるかを指定する「権限」ダイアログを表示します。
「デフォルト・カスタマイズを割り当てることができるユーザーの指定」は、誰がダッシュボード・ページのデフォルト・カスタマイズを割り当てることができるかを指定する「権限」ダイアログを表示します。
次の項で、カタログ・オブジェクトとパーミッション・シナリオについて説明します。
ユーザーおよびグループの保存済カスタマイズに対する制御レベルは、Oracle BIプレゼンテーション・サービス管理で設定した権限に加え、主要な要素へのアクセス権にも依存します。たとえば、ユーザーとグループが、基礎となるダッシュボードの作成と編集、ダッシュボード・ビュー・プリファレンスのカスタマイズとしての保存、およびデフォルト・カスタマイズとしてのカスタマイズの他のユーザーへの割当てを実行できるようにするには、共有ストレージ内の主要要素へのフル・コントロール・パーミッションが必要です。一方、ユーザーとグループが、割り当てられたデフォルト保存済カスタマイズのみを表示できるようにするには、共有ストレージ内の主要要素への表示アクセス権のみが必要です。
カタログ内の主要要素には、次のフォルダが含まれます。
「共有記憶域」フォルダ
ダッシュボードの「共有記憶域」フォルダは、通常、親共有フォルダの「ダッシュボード」サブフォルダ内にあります。ダッシュボードは割り当てられた名前によって識別されます。ダッシュボードは、Oracle BIプレゼンテーション・カタログ内の任意の場所に保存できます。ダッシュボードを「ダッシュボード」というサブフォルダに保存すると、グローバル・ヘッダーの「ダッシュボード」リンクから表示されるダッシュボードのリストにそのダッシュボードの名前が表示されます。
パーミッション設定は、特定のダッシュボードを編集するためのアクセスを制御します。通常、パーミッションが_selectionsおよび「ダッシュボード」サブフォルダに継承される場合、ダッシュボードを編集可能なユーザーは、カスタマイズの保存とデフォルトの設定も可能です。特定のダッシュボード・フォルダへのアクセス権によって、ユーザーまたはグループがダッシュボードを編集できるかどうかが制御されます。
_selectionsフォルダには、ダッシュボード・ページごとに1つずつページ識別子のフォルダが含まれます。共有保存済カスタマイズはこのフォルダ内に存在します。ページ識別子のフォルダへのアクセス権によって、ユーザーまたはグループがそのページのカスタマイズを表示、保存または編集できるかどうかが制御されます。
_selectionsフォルダ内の_defaultsフォルダには、割り当てられたデフォルト・カスタマイズが含まれます。デフォルトが割り当てられている各グループがここに表示されます。このフォルダへのアクセス権によって、ユーザーまたはグループがデフォルトを割当てできるかどうかが制御されます。
個人用ストレージフォルダ
ユーザーの個人用フォルダでは、_selectionsフォルダに個々のユーザーの保存済カスタマイズが含まれます。共有の_selectionsフォルダと同様に、個人用の_selectionsフォルダにも、各ダッシュボード・ページのページ識別子のフォルダが含まれます。ページ識別子のフォルダには、個人用の保存済カスタマイズと、個人用のデフォルト・カスタマイズのユーザーのプリファレンスを指定する_defaultlinkファイルが含まれます。
個人用の保存済カスタマイズのデフォルトは、割り当てられた共有カスタマイズのデフォルトをオーバーライドします。
注意: 保存済カスタマイズを持つダッシュボード・ページが削除された場合は、保存済カスタマイズもカタログから削除されます。基礎となるダッシュボード構成を変更した場合は(それ以降、ユーザーのアクセス時には保存済カスタマイズを無効にするなど)、デフォルトのコンテンツがダッシュボードに表示されます。 |
表D-2は、保存済カスタマイズを作成するためにユーザーに付与可能な典型的なユーザー・ロールと特定の権限設定について説明しています。「権限の設定」列に一覧表示されているフォルダ名は、前の項で説明されています。
表D-2 保存済カスタマイズのユーザー・ロールと権限設定
ユーザー・ロール | 権限の設定 |
---|---|
ITユーザーなど、次のタスクを実行する必要があるパワー・ユーザー
|
カタログの「共有」セクションで、次のフォルダにフル・コントロール・パーミッションが必要です。
通常は、追加の権限を割り当てる必要はありません。 |
管理者など、次のタスクを実行する必要がある技術ユーザー
ユーザーは、基礎となるダッシュボードを作成または編集したり、デフォルト・カスタマイズとしてビュー・カスタマイズを他のユーザーに割り当てることはできません。 |
カタログの「共有」セクションで、次のフォルダに表示パーミッションが必要です。
カタログの「共有」セクションで、次のフォルダに変更権限が必要です。
通常は、追加の権限を割り当てる必要はありません。 |
個人使用を目的にカスタマイズを保存する必要がある通常のユーザー |
Oracle BIプレゼンテーション・サービス管理で、次の権限が設定されている必要があります。
ダッシュボード・ページで、次のオプションが設定されている必要があります。
カタログでは通常、追加権限の設定は不要です。 |
割り当てられたデフォルト・カスタマイズのみの表示を必要とするカジュアル・ユーザー |
カタログの「共有」セクションで、次のフォルダに表示権限が必要です。
カタログでは通常、追加権限の設定は不要です。 |
設定された権限と付与された権限に応じて、保存済カスタマイズを作成、割当て、使用するためのユーザー権限およびグループ権限の様々な組合せを実現できます。
たとえば、パワー・ユーザーのグループは、本番環境ではダッシュボードを変更できませんが、保存済カスタマイズを作成し、それらをデフォルト・カスタマイズとして他のユーザーに割り当てることは許可されているものとします。このグループには次の権限設定が必要です。
ダッシュボードへの開くアクセス権。「カタログ」ページを使用します。
Oracle BIプレゼンテーション・カタログのダッシュボード・フォルダ内のサブフォルダ_selectionsおよび_defaultsへの変更アクセス権。ダッシュボード・ビルダーの「ダッシュボードのプロパティ」ダイアログを使用して割り当てます。ダイアログのリストでページを選択した後、「共有のカスタマイズを保存できるユーザーの指定」および「デフォルト・カスタマイズを割り当てることができるユーザーの指定」をクリックします。
この項では、他のユーザーの代理実行の有効化について説明します。内容は次のとおりです。
Oracle BIプレゼンテーション・サービスでは、あるユーザーが別のユーザーの代理で実行できます。ユーザー(プロキシ・ユーザーと呼ばれる)が別のユーザー(ターゲット・ユーザーと呼ばれる)の代理で実行する場合、プロキシ・ユーザーは、ターゲット・ユーザーが権限を持つカタログ内のオブジェクトにアクセスできます。
別のユーザーの代理実行を有効化すると、管理者が自分の業務の一部を直属の部下に委任する場合や、ITサポート・スタッフが別のユーザーのオブジェクトの問題をトラブルシューティングする場合などに役立ちます。
ユーザーが他のユーザーによる代理実行を可能にする方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionユーザーズ・ガイド』を参照してください。
ユーザーをプロキシ・ユーザーとして有効にした場合は、認可レベル(プロキシ・レベルと呼ばれる)も割り当てます。プロキシ・レベルは、ターゲット・ユーザーのカタログ・オブジェクトにアクセスするときに、プロキシ・ユーザーに付与されるパーミッションと権限を決定します。次のリストは、プロキシ・レベルを説明しています。
制限付き — パーミッションは、ターゲット・ユーザーがアクセス権を持つオブジェクトに対する読取り専用です。権限は、(ターゲット・ユーザーのアカウントではなく)プロキシ・ユーザーのアカウントによって決まります。
たとえば、プロキシ・ユーザーにはアンサーへのアクセス権限が割り当てられておらず、ターゲット・ユーザーには割り当てられているとします。プロキシ・ユーザーがターゲット・ユーザーとして実行するときに、ターゲット・ユーザーはアンサーにアクセスできません。
フル — パーミッションと権限はターゲット・ユーザーのアカウントから継承されます。
たとえば、プロキシ・ユーザーにはアンサーへのアクセス権限が割り当てられておらず、ターゲット・ユーザーには割り当てられているとします。プロキシ・ユーザーがターゲット・ユーザーとして実行するときに、ターゲット・ユーザーはアンサーにアクセスできます。
ユーザーがプロキシ・ユーザーとして動作できるようにし、そのユーザーに代理として実行権限が設定されている場合は、プレゼンテーション・サービスのグローバル・ヘッダーに「別ユーザーとして実行」オプションを表示し、代理実行するターゲット・ユーザーを選択できます。
ヒント: プロキシ・ユーザーがターゲット・ユーザーとして操作を実行するには、事前に、ターゲット・ユーザーが少なくとも一度はプレゼンテーション・サービスにサインインしてダッシュボードにアクセスしている必要があります。 |
他のユーザーの代理実行を可能にするには、次のタスクを実行します。
プロキシ・ユーザーとターゲット・ユーザーの関連付けをデータベース内で定義します。そのためには、プロキシ・ユーザー/ターゲット・ユーザーの関連付けごとに、次の項目を指定します。
プロキシ・ユーザーのID
ターゲット・ユーザーのID
プロキシ・レベル(フルと制限付きのどちらか)
たとえば、次のようなProxiesという表をデータベース内に作成するとします。
proxyId | targetId | proxyLevel |
---|---|---|
Ronald | Eduardo | フル |
Timothy | Tracy | 制限付き |
Pavel | Natalie | フル |
William | Sonal | 制限付き |
Maria | Imran | 制限付き |
プロキシ・ユーザーとターゲット・ユーザーの関連付けを定義した後、そのスキーマをOracle BIサーバーの物理レイヤーにインポートする必要があります。スキーマのインポート方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
プロキシ・ユーザーを認証するには、関連付けられた初期化ブロックとともに、次の2つのセッション変数を作成する必要があります。どちらの変数の場合も、データベースのスキーマに従ってサンプルのSQL文を変更する必要があります。
PROXY — この変数は、プロキシ・ユーザーの名前を格納するために使用します。
ProxyBlockという初期化ブロックを使用し、次のようなコードを含めます。
select targetId
from Proxies
where 'VALUEOF(NQ_SESSION.RUNAS)'=targetId and ':USER'=proxyId
PROXYLEVEL — このオプションの変数は、制限付きとフルのいずれかのプロキシ・レベルを格納するために使用します。PROXYLEVEL変数を作成しない場合は、制限付きレベルが想定されます。
ProxyLevelという初期化ブロックを使用し、次のようなコードを含めます。
select proxyLevel
from Proxies
where 'VALUEOF(NQ_SESSION.RUNAS)'=targetId and ':USER'=proxyId
セッション変数の作成方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
instanceconfig.xmlファイルの様々な要素を使用して、プロキシ機能を構成します。
この手順を開始する前に、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』で、テキスト・エディタを使用したOracle Business Intelligence構成設定の更新に関する項に記載されている情報を十分に理解してください。
プロキシ機能を手動で構成するには:
『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』の構成ファイルの場所に関する項で説明されているように、instanceconfig.xmlファイルを開いて編集します。
次のリストで説明されている要素を追加する必要のあるセクションを見つけます。
LogonParam: TemplateMessageName要素およびMaxValues要素の親要素として機能します。
TemplateMessageName: プロキシ・ユーザーとターゲット・ユーザーの表示に関連するタスクを実行するSQL文を含む、Custom Messagesフォルダ内のカスタム・メッセージ・テンプレートの名前を指定します。デフォルト名は、LogonParamSQLTemplateです。
TemplateMessageName要素で指定する名前は、カスタム・メッセージ・ファイル内のWebMessage要素で指定する名前と一致している必要があります。詳細は、第D.6.3.4項「プロキシ機能のカスタム・メッセージ・テンプレートの作成」を参照してください。
MaxValues: 「別ユーザーとして実行」ダイアログの「ユーザー」ボックスにリストするターゲット・ユーザーの最大数を指定します。プロキシ・ユーザーのターゲット・ユーザー数がこの値を上回ると、ターゲット・ユーザーのリストではなく、プロキシ・ユーザーがターゲット・ユーザーのIDを入力できる編集ボックスが表示されます。デフォルトは200です。
次の例に示すように、必要に応じて、要素とそれらの祖先要素を含めます。
<LogonParam><TemplateMessageName>LogonParamSQLTemplate</TemplateMessageName>
<MaxValues>100</MaxValues>
</LogonParam>
変更内容を保存し、ファイルを閉じます。
Oracle Business Intelligenceを再起動します。
次のタスクを実行するSQL文を含む、プロキシ機能のカスタム・メッセージ・テンプレートを作成する必要があります。
プロキシ・ユーザーが代理実行できるターゲット・ユーザーのリストを取得します。このリストは、「別ユーザーとして実行」ダイアログ・ボックスの「ユーザー」ボックスに表示されます。
プロキシ・ユーザーが、ターゲット・ユーザーとして実行できるかどうかを確認します。
ターゲット・ユーザーとして実行可能なプロキシ・ユーザーのリストを取得します。このリストは、ターゲット・ユーザーの「マイ・アカウント」画面に表示されます。
カスタム・メッセージ・テンプレートで、次のXML要素のこの情報を取得するためのSQL文を入力します。
要素 | 説明 |
---|---|
getValues | ターゲット・ユーザーおよび対応するプロキシ・レベルのリストを返すSQL文を指定します。
SQL文は次の1つまたは2つの列を返す必要があります。
|
verifyValue | 現在のユーザーが、指定されたターゲット・ユーザーとして実行できるかどうかを確認するSQL文を指定します。
このSQL文は、ターゲット・ユーザーが有効な場合は1つ以上の行を返し、ターゲット・ユーザーが無効な場合は空の表を返す必要があります。 |
getDelegateUsers | 現在のユーザーとして実行できるプロキシ・ユーザーおよび対応するプロキシ・レベルのリストを取得するためのSQL文を指定します。
SQL文は次の1つまたは2つの列を返す必要があります。
|
カスタム・メッセージ・テンプレートを格納するディレクトリの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のXMLメッセージのカスタマイズに関する項を参照してください。カスタム・メッセージ・テンプレートは、次のファイルのいずれかに作成できます。
ディレクトリ内のオリジナルのカスタム・メッセージ・ファイル
ディレクトリ内の別のXMLファイル
カスタム・メッセージ・テンプレートを作成するには:
オリジナルのカスタム・メッセージ・ファイルにカスタム・メッセージ・テンプレートを作成するには:
別のディレクトリに、オリジナルのカスタム・メッセージ・ファイルのバックアップを作成します。
別のディレクトリに開発用コピーを作成して、テキスト・エディタまたはXMLエディタで開きます。
別のXMLファイルにカスタム・メッセージ・テンプレートを作成するには、ORACLE_INSTANCE\bifoundation\OracleBIPresentationServicesComponent\coreapplication_obipsn\analyticsRes\customMessagesディレクトリにファイルを作成して開きます。
WebMessage要素の開始タグと終了タグを追加してカスタム・メッセージ・テンプレートを開始します。例:
<WebMessage name="LogonParamSQLTemplate"> </WebMessage>
注意: WebMessage要素で指定する名前は、stanceconfig.xmlファイル内のTemplateMessageName要素で指定する名前と一致している必要があります。詳細は、第D.6.3.3項「プロキシ機能の構成ファイルの設定の変更」を参照してください。 |
</WebMessage>タグに続けて、次のようにします。
<XML>タグと</XML>タグを追加します。
<XML>タグと</XML>タグの間に、<logonParam name="RUNAS">タグと</logonParam>タグを追加します。
<logonParam name="RUNAS">タグと</logonParam>タグの間に、次のタグとそれぞれに対応するSQL文を一緒に追加します。
<getValues>と</getValues>
<verifyValue>と</verifyValue>
<getDelegateUsers>と</getDelegateUsers>
次のエントリは例です。
<XML><logonParam name="RUNAS">
<getValues>
EXECUTE PHYSICAL CONNECTION POOL Proxy.Proxy select TARGET from Proxy where PROXYER='@{USERID}'</getValues>
<verifyValue> EXECUTE PHYSICAL CONNECTION POOL Proxy.Proxy
select TARGET from Proxy
where PROXYER ='@{USERID}'and TARGET='@{VALUE}'
</verifyValue><getDelegateUsers>EXECUTE PHYSICAL CONNECTION POOL Proxy.Proxy
select PROXYER, PROXY_LEVEL from Proxy
where TARGET='@{USERID}'</getDelegateUsers>
</logonParam>
</XML>
例のSQL文はデータベースのスキーマに従って変更する必要がある点に注意してください。前述の例では、データベースと接続プールはどちらもProxyという名前で、proxyIdはPROXYER、targetIdはTARGETです。
オリジナル・ファイルの開発用コピーでカスタム・メッセージ・テンプレートを作成した場合は、customMessagesディレクトリ内のオリジナル・ファイルを、新たに編集したファイルで置き換えます。
新しいファイルをテストします。
(オプション)オリジナル・ファイルの開発用コピーでカスタム・メッセージ・テンプレートを作成した場合は、バックアップ・コピーと開発用コピーを削除します。
サーバーを再起動するか、「プレゼンテーション・サービス管理」画面の「ファイルとメタデータの再ロード」リンクをクリックして、カスタム・メッセージ・テンプレートをロードします。「管理」ページの詳細は、第D.2.1項 「管理」ページについてを参照してください。
プロキシ・ユーザーとして有効にするユーザーごとに、またはプロキシ・ユーザーとして有効にするメンバーが属するアプリケーション・ロールまたはカタログ・グループごとに、「代理として実行」権限を付与する必要があります。権限の割当て方法の詳細は、第D.2.3.2項「Oracle BIプレゼンテーション・サービス管理での権限の設定」を参照してください。
プロキシ・ユーザーとしての実行を許可するユーザーごとにmanageRepositories権限を割り当てる必要があります。これは通常、Proxyグループを作成し、それをProxyアプリケーション・ロールと(manageRepositories権限が付与された)アプリケーション・ポリシーに関連付けてから、各ユーザー(プロキシ・ユーザーにするユーザー)をProxyグループに追加することで実現されます。この目的を達成するために、次の条件を満たしている必要があります。
グループが存在していること。存在していない場合は作成する必要があります(たとえば、Proxyという名前)。
詳細は、第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループの作成」を参照してください。
アプリケーション・ロールが存在していること。存在していない場合は作成し(たとえば、Proxyという名前)、Proxyグループにマッピングする必要があります。
詳細は、第2.4.2.2項「アプリケーション・ロールの作成」を参照してください。
アプリケーション・ポリシーが存在していること。存在していない場合は作成し(たとえば、Proxyという名前)、Proxyアプリケーション・ロールをmanageRepositories権限の権限受領者にする必要があります。ここで:
権限クラス
oracle.security.jps.ResourcePermission
リソース名
resourceType=oracle.bi.server.permission,resourceName=oracle.bi.server.manageRepositories
権限アクション
_all_
詳細は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。
プロキシ・ユーザーとして有効にする各ユーザーを、Proxyグループに追加する必要があります。
詳細は、第2.3.5項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」を参照してください。