Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
前 |
次 |
この章では、認証にデフォルトのOracle WebLogic Server LDAPディレクトリではなく商用のディレクトリ・サーバーを使用するように、Oracle Business Intelligenceを構成する方法を説明します。また、Oracle Internet Directoryおよびその他の認証プロバイダを使用するようにOracle Business Intelligenceを設定する方法や、OIDをポリシー・ストアおよび資格証明ストアとして使用する方法についても説明します。
この章には、次の項が含まれています。
表3-1に、一般的な認証構成タスクと、その詳細情報へのリンクを示します。
表3-1 タスク・マップ: Oracle Business Intelligenceの認証の構成
タスク | 説明 | 情報 |
---|---|---|
1つ以上の代替認証プロバイダを使用するためのOracle BIの構成 |
Oracle Internet DirectoryまたはActive Directoryを使用するようにOracle BIを構成します。 |
|
新しい資格証明ストアおよびポリシー・ストア・プロバイダを使用するためのOracle BIの構成 |
新しい資格証明ストアおよびポリシー・ストア・プロバイダとしてOracle Internet Directoryを使用するようにOracle BIを構成します。 |
第3.3項「ポリシー・ストアおよび資格証明ストアとしてのOIDの構成」 |
代替認証プロバイダを使用する場合、通常はプロバイダ・ベンダーが提供する管理ツールを使用してユーザーおよびグループを設定します。その後、これらのユーザーおよびグループを、事前定義済のアプリケーション・ロール(BIConsumer、BIAuthors、BIAdministratorなど)や作成した任意のアプリケーション・ロールに割り当てることができます。アプリケーション・ロールへのユーザーおよびグループの割当ての詳細は、第2.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの作成と管理」を参照してください。
セキュリティ・モデルのその他の領域を管理するには、引き続き、他のOracle Business Intelligenceツール(Oracle BI管理ツール、Fusion Middleware Control、Analyticsの「管理」ページなど)を使用します。
現在サポートされている、Oracle Business Intelligenceで使用できる認証プロバイダおよびディレクトリ・サーバーのリストを表示するには、「新しい認証プロバイダの作成」ページの「タイプ」リストで認証プロバイダを選択します。詳細は、「システム要件と動作要件」を参照してください。
サポートされている認証プロバイダを複数構成できます(詳細は、第3.2.3.3項「複数の認証プロバイダを使用するためのOracle Business Intelligenceの構成」を参照してください)。
デフォルトのWebLogic LDAPサーバー以外のディレクトリ・サーバーを使用している場合は、Oracle WebLogic Server管理コンソールに、そのディレクトリ・サーバーのユーザーおよびグループを表示できます。ただし、引き続き、使用しているディレクトリ・サーバーのインタフェースでユーザーおよびグループを管理する必要があります。たとえばOIDを使用している場合、ユーザーおよびグループを作成および編集するには、OIDコンソールを使用する必要があります。
このトピックには、次の項が含まれています。
代替認証プロバイダを構成するには:
前提条件: 管理サーバーのみが稼働していることを確認します。
第3.2.2項「代替認証プロバイダを使用するための前提条件」の説明に従って、Oracle Business Intelligenceを有効にして代替認証プロバイダを使用するよう、グループおよびユーザーを設定および構成します。
第3.2.3項「代替認証プロバイダを使用するためのOracle Business Intelligenceの構成」の説明に従って、代替認証プロバイダを使用するよう、Oracle Business Intelligenceを構成します。
第3.2.4項「アイデンティティ・ストアでのユーザーおよびグループ名属性の構成」の説明に従って、認証プロバイダのユーザー名属性と一致するように、アイデンティティ・ストアのユーザー名属性を構成します。
myrealmの「ユーザーとグループ」タブに移動し、代替認証プロバイダのユーザーおよびグループが正しく表示されていることを確認します。ユーザーおよびグループが正しく表示されていたら、ステップ5に進みます。正しく表示されていない場合は、構成を設定しなおし、再度表示を試みます。
第3.2.6項「新しい信頼できるユーザー(BISystemUser)の構成」の説明に従って、代替認証プロバイダのユーザーの新しい信頼できるユーザー・アカウントを、DefaultAuthenticatorのアカウントに一致するように構成します。
第3.2.7「ユーザーGUIDの再生成」の説明に従って、ユーザーGUIDを代替認証プロバイダでの値に更新します。
Fusion Middleware Controlを使用して、アプリケーション・ロールを新しいアイデンティティ・ストアの適切なグループ(エンタープライズ・ロール)に割り当てます。
詳細は、第2.4.4.2項「アプリケーション・ロールのメンバーの追加または削除」を参照してください。
代替認証プロバイダを使用するようにOracle Business Intelligenceインストールを構成する前に、代替認証プロバイダにグループおよびユーザーが存在し、これらが正しく構成されていることを確認する必要があります。これで、Oracle Business Intelligenceインストールにすでに存在している、対応するBIアプリケーション・ロールに、これらを関連付けることができます。
代替認証プロバイダでユーザーおよびグループを設定するには:
たとえば、OIDのユーザーおよびグループを設定するには、OIDコンソールでこのタスクを実行します。
代替認証プロバイダでグループを作成します。これらは、既存のBIアプリケーション・ロールに割り当てることができます。例:
BIAdministrators、BISystemUsers、BIAuthors、BIConsumers
代替認証プロバイダで、ステップ1で作成したグループに対応するユーザーを作成します。例:
BIADMIN、BISYSTEM、BIAUTHOR、BICONSUMER。
代替認証プロバイダで、ユーザーをそれぞれのグループに割り当てます。
たとえば、BIADMINユーザーをBIAdministratorsグループに、BISYSTEMユーザーをBISystemUsersグループに割り当てます。
代替認証プロバイダで、BIAuthorsグループをBIConsumersグループの一部にします。
これにより、BIAuthorsはBIConsumersの権限を継承できます。
次の手順では、デフォルトのOracle WebLogic Server LDAPディレクトリではなく代替認証プロバイダを使用するようOracle Business Intelligenceインストールを構成する方法、および複数の認証プロバイダを構成する方法を説明します。
第3.2.3.1項「認証プロバイダとしてOracle Internet Directoryを使用するためのOracle Business Intelligenceの構成」
第3.2.3.2項「認証プロバイダとしてActive Directoryを使用するためのOracle Business Intelligenceの構成」
第3.2.3.3項「複数の認証プロバイダを使用するためのOracle Business Intelligenceの構成」
注意: この項では特定の認証プロバイダの設定を示しますが、この手順は、その他の認証プロバイダに対する一般的なガイドとしても使用できます。
この手順では、Oracle Internet Directoryを使用するよう、Oracle Business Intelligenceインストールを再構成する方法を示します。
認証プロバイダとしてOIDを使用するようOracle Business Intelligenceを構成するには:
Oracle WebLogic Server管理コンソールにログインし、チェンジ・センターで「ロックして編集」をクリックします。
詳細は、第2.3.2項「Oracle WebLogic Server管理コンソールの起動」を参照してください。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
デフォルトのセキュリティ・レルムはmyrealmという名前です。
「プロバイダ」タブを表示し、「認証」サブタブを表示します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動します。
「新しい認証プロバイダの作成」ページで、次のように値を入力します。
名前: 認証プロバイダの名前を入力します。例: MyOIDDirectory。
タイプ: リストから、「OracleInternetDirectoryAuthenticator」を選択します。
「OK」をクリックし、変更を保存して、新しい認証プロバイダで更新された認証プロバイダ・リストを表示します。
「名前」列で「MyOIDDirectory」をクリックし、「設定」ページを表示します。
「構成」→「共通」タブを表示し、「制御フラグ」リストで「SUFFICIENT」を選択して「保存」をクリックします。
「プロバイダ固有」タブを使用して、次の表に示す詳細を指定します。
セクション名 | フィールド名 | 説明 |
---|---|---|
接続 | ホスト | Oracle Internet Directoryサーバーのホスト名。 |
接続 | ポート | Oracle Internet Directoryサーバーがリスニングしているポート番号。 |
接続 | プリンシパル | Oracle Internet Directoryサーバーへの接続に使用されるOracle Internet Directoryユーザーの識別名(DN)。例: cn=OIDUser、cn=users、dc=us、dc=mycompany、dc=com。 |
接続 | 資格証明 | プリンシパルとして入力されたOracle Internet Directoryユーザーのパスワード。 |
グループ | グループ・ベースDN | グループを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。 |
ユーザー | ユーザー・ベースDN | ユーザーを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。 |
ユーザー | すべてのユーザーのフィルタ | LDAP検索フィルタ。詳細は、「詳細」をクリックします。 |
ユーザー | 名前指定によるユーザー・フィルタ | LDAP検索フィルタ。詳細は、「詳細」をクリックします。 |
ユーザー | ユーザー名属性 | 認証に使用する属性(cn、uid、mailなど)。たとえば、ユーザーの電子メール・アドレスを使用して認証を行うには、この値をmail に設定します。
注意: 次のタスク、第3.2.4.1項「アイデンティティ・ストアでのユーザー名属性の構成」の説明のとおり、ここで指定する値は、認証プロバイダで使用しているユーザー名属性と一致する必要があります。 |
一般 | GUID属性 | OID内でオブジェクトGUIDの定義に使用する属性。
orclguid 注意: 通常は、このデフォルト値を変更しないでください。変更する場合は、Fusion Middleware Controlでも、第3.2.5項「アイデンティティ・ストアでのGUID属性の構成」タスクで説明しているとおり、変更した値を指定する必要があります。 |
次のスクリーンショットは、「プロバイダ固有」タブのユーザー領域を示しています。
Oracle WebLogic Serverでの認証プロバイダの構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
「保存」をクリックします。
メインの「myrealmの設定」ページで「プロバイダ」タブを表示し、「認証」サブタブを表示します。
「並替え」をクリックし、「認証プロバイダの並替え」ページを表示します。
「MyOIDDirectory」を選択し、矢印ボタンを使用してこれをリストの最初に移動し、「OK」をクリックします。
次のスクリーンショットは、並べ替えた認証プロバイダのリストを示しています。
「名前」列で「DefaultAuthenticator」をクリックし、 「DefaultAuthenticatorの設定」ページを表示します。
「構成」→「共通」タブを表示し、「制御フラグ」リストで「SUFFICIENT」を選択して「保存」をクリックします。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
この手順は、Active Directoryを使用するよう、Oracle Business Intelligenceインストールを再構成する方法を示します。
この項のデータ例では、内部ユーザー用にOracle Business IntelligenceのWNA SSOを設定するXYZ Corporationという架空の企業を使用します。
この例では、次の情報が使用されます。
Active Directoryドメイン
XYZ Corporationには、xyzcorp.comというADドメインがあり、このドメインはすべての内部ユーザーを認証します。Windowsコンピュータからこの企業ネットワークにログインすると、ログイン先はこのADドメインになります。ドメイン・コントローラはaddc.xyzcor.copで、これによってADドメインが制御されます。
Oracle BI EE WebLogicドメイン
XYZ Corporationでは、bieesvr1.xyz2.comというネットワーク・サーバー・ドメインに、bifoundation_domain(デフォルト名)というWebLogicドメインがインストールされています。
システム管理者およびテスト・ユーザー
次のシステム管理者およびドメイン・ユーザーが構成のテストを行います。
システム管理者ユーザー
Jo Smith (login=jsmith、hostname=xyz1.xyzcorp.com)
ドメイン・ユーザー
Bob Jones (login=bjones hostname=xyz47.xyzcorp.com)
認証プロバイダとしてActive Directoryを使用するようOracle Business Intelligenceを構成するには:
Oracle WebLogic Server管理コンソールにログインし、チェンジ・センターで「ロックして編集」をクリックします。
詳細は、第2.3.2項「Oracle WebLogic Server管理コンソールの起動」を参照してください。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
デフォルトのセキュリティ・レルムはmyrealmという名前です。
「プロバイダ」タブを表示し、「認証」サブタブを表示します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動します。
「新しい認証プロバイダの作成」ページで、次のように値を入力します。
名前: 認証プロバイダの名前を入力します。例: ADAuthenticator。
タイプ: リストから、「ActiveDirectoryAuthenticator」を選択します。
「OK」をクリックし、変更を保存して、新しい認証プロバイダで更新された認証プロバイダ・リストを表示します。
「名前」列で「DefaultAuthenticator」をクリックし、「設定」ページを表示します。
共通認証プロバイダ設定ページで、「制御フラグ」を「REQUIRED」から「SUFFICIENT」に変更し、「保存」をクリックします。
認証プロバイダの表の「名前」列で「ADDirectory」をクリックし、「設定」ページを表示します。
「構成」→「共通」タブを表示し、「制御フラグ」リストで「SUFFICIENT」を選択して「保存」をクリックします。
「プロバイダ固有」タブを表示し、Active Directory LDAP認証ストアへの接続に適用するオプションにアクセスします。
「プロバイダ固有」タブを使用して、次の表に示す詳細を指定します。
セクション名 | フィールド名 | 説明 |
---|---|---|
接続 | ホスト | ADサーバーaddc.xyzcorp.comの名前。 |
接続 | ポート | ADサーバーがリスニングしているポート番号(389)。 |
接続 | プリンシパル | LDAPユーザーの情報を取得する際、Active Directoryに接続するユーザーのLDAP DN。例: cn=jsmith、cn=users、dc=us、dc=xyzcorp、dc=com。 |
接続 | 資格証明/資格証明の確認 | 上記プリンシパルのパスワード(welcome1など)。 |
グループ | グループ・ベースDN | AD内でグループの検索に使用するLDAP問合せ。
注意: このパスの下に定義されているグループのみをWebLogicに表示できます。 (CN=Builtin、DC=xyzcorp、DC=com) |
ユーザー | ユーザー・ベースDN | AD内でユーザーの検索に使用するLDAP問合せ。CN=Users、DC=xyzcorp、DC=com |
ユーザー | ユーザー名属性 | AD内でユーザー名の指定に使用する属性。デフォルト値はcnです。
ユーザー名に別の属性を使用するようにADが構成されていることがわかっている場合以外は、この値を変更しないでください。変更する場合は、第3.2.4.1項「アイデンティティ・ストアでのユーザー名属性の構成」を参照してください。 |
ユーザー | すべてのユーザーのフィルタ | LDAP検索フィルタ。詳細は、「詳細」をクリックします。 |
ユーザー | 名前指定によるユーザー・フィルタ | LDAP検索フィルタ。詳細は、「詳細」をクリックします。 |
ユーザー | ユーザー・オブジェクト・クラス | ユーザー |
一般 | GUID属性 | AD内でオブジェクトGUIDの定義に使用する属性。
objectguid 注意: 通常は、このデフォルト値を変更しないでください。変更する場合は、Fusion Middleware Controlでも、第3.2.5項「アイデンティティ・ストアでのGUID属性の構成」タスクで説明しているとおり、変更した値を指定する必要があります。 |
Oracle WebLogic Serverでの認証プロバイダの構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
「保存」をクリックします。
メインの「myrealmの設定」ページで「プロバイダ」タブを表示し、「認証」サブタブを表示します。
「並替え」をクリックし、「認証プロバイダの並替え」ページを表示します。
「ADDirectory」を選択し、矢印ボタンを使用してこれをリストの最初に移動し、「OK」をクリックします。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
この項では、複数の認証プロバイダを使用するためのOracle Business Intelligenceの構成方法について説明します。
Fusion Middleware Controlを使用して複数のLDAP認証プロバイダを構成するには:
注意: SSLでLDAPと通信している場合(一方向SSLのみ)は、第5.5.6項「複数認証プロバイダ使用時のSSLの構成」を参照してください。
(オプション)サポートされている認証プロバイダがまだ構成されていない場合は、この項の前述のトピックの説明に従って構成します。
Fusion Middleware Controlのナビゲーション・ペインで、\Weblogic domain\bifoundation_domainに移動します。
「bifoundation_domain」を右クリックして「セキュリティ」→「セキュリティ・プロバイダ構成」を選択し、「セキュリティ・プロバイダ構成」ページを表示します。
「アイデンティティ・ストア・プロバイダ」領域で「構成」をクリックし、「アイデンティティ・ストア構成」ページを表示します。
「カスタム・プロパティ」領域で「追加」オプションを使用し、次のように新しいカスタム・プロパティを追加します。
プロパティ名=virtualize
値=true
「OK」をクリックして変更を保存します。
管理サーバーおよび管理対象サーバーを再起動します。
このトピックには、次の項が含まれています。
OIDやADなどの代替認証プロバイダを構成する場合、アイデンティティ・ストアで使用するユーザー名属性と代替認証プロバイダで使用するユーザー名属性を一致させる必要があります。
たとえば、ユーザーの電子メール・アドレスを使用して認証するには、アイデンティティ・ストアと認証プロバイダの両方で、ユーザー名属性をmail
に設定します。
次のスクリーンショットは、OID認証システムの「ユーザー名属性」が「mail
」に設定されている例を示しています。
代替認証プロバイダのUserNameAttributeは、通常、cnの値に設定されています。このように設定されていない場合、AllUsersFilterおよびUserFromNameFilterの設定が表3-2のとおり正しく構成されていることを確認する必要があります。表3-2は、デフォルトの設定(cnの値を使用)および、必要となる新しい設定(属性AnOtherUserAttributeで新しい値を使用)を示しています。
表3-2 ユーザー名属性の変更
属性名 | デフォルト設定 | 必要となる新しい設定 |
---|---|---|
UserNameAttribute |
cn |
AnOtherUserAttribute |
AllUsersFilter |
(&(cn=*)(objectclass=person)) |
(&(AnOtherUserAttribute =*)(objectclass=person)) |
UserFromNameFilter |
(&(cn=%u)(objectclass=person)) |
(&(AnOtherUserAttribute =%u)(objectclass=person)) |
「プロバイダ固有」タブで、表3-2を使用して変更を行います(AnOtherGroupAttribute設定を独自の値で置換します)。「プロバイダ固有」タブの表示方法の詳細は、第3.2.3項「代替認証プロバイダを使用するためのOracle Business Intelligenceの構成」を参照してください。
注意: UserName属性についてのみ、次のタスクを使用して2つのプロパティ(user.login.attrおよびusername.attr)をアイデンティティ・ストア構成に追加する必要があります。これによって、ユーザー名の取得元の属性について、アイデンティティ・ストアに指示します(指定しない場合、デフォルトのuidを使用します)。
アイデンティティ・ストアでユーザー名属性を構成するには:
Fusion Middleware Controlのナビゲーション・ペインで、\Weblogic domain\bifoundation_domainに移動します。
「bifoundation_domain」を右クリックして「セキュリティ」→「セキュリティ・プロバイダ構成」を選択し、「セキュリティ・プロバイダ構成」ページを表示します。
「アイデンティティ・ストア・プロバイダ」領域で「構成」をクリックし、「アイデンティティ・ストア構成」ページを表示します。
「カスタム・プロパティ」領域で「追加」オプションを使用し、次の2つのカスタム・プロパティを追加します。
表3-3 カスタム・プロパティ
プロパティ名 | 値 |
---|---|
user.login.attr |
認証プロバイダで設定されているユーザー名属性を指定します。たとえば、認証プロバイダでユーザー名属性が |
username.attr |
認証プロバイダで設定されているユーザー名属性を指定します。たとえば、認証プロバイダでユーザー名属性が |
次のスクリーンショットは、ユーザー名属性がmail
に設定されたカスタム・プロパティの例を示しています。
「OK」をクリックして変更を保存します。
管理サーバーを再起動します。
注意: 認証プロバイダのユーザーおよびグループ(OID、ADなど)が、第3.2.1項「代替認証プロバイダを構成するための大まかな手順」の手順4の説明のとおり、WebLogicコンソールに表示されることを確認してください。
ADサーバーでデフォルト値cn以外のグループ名属性を使用する場合は、これを変更する必要があります。この属性を変更する場合、表3-4に示すとおり、AllGroupsFilterおよびGroupFromNameFilterの設定も変更する必要があります(例は、AnOtherGroupAttributeという属性に保存されているグループ名を示しています)。
表3-4 グループ名属性の変更
属性名 | デフォルト設定 | 必要となる新しい設定 |
---|---|---|
StaticGroupNameAttribute/DynamicGroupNameAttribute |
cn |
AnOtherGroupAttribute |
AllGroupsFilter |
(&(cn=*)(objectclass=person)) |
(&(AnOtherGroupAttribute =*)(objectclass=person)) |
GroupFromNameFilter |
(&(cn=%u)(objectclass=person)) |
(&(AnOtherGroupAttribute =%u)(objectclass=person)) |
「プロバイダ固有」タブで、表3-4を使用して変更を行います(AnOtherGroupAttribute設定を独自の値で置換します)。「プロバイダ固有」タブの表示方法の詳細は、第3.2.3.2項「認証プロバイダとしてActive Directoryを使用するためのOracle Business Intelligenceの構成」を参照してください。
OIDやADなどの代替認証プロバイダを構成し、GUID属性をデフォルト値から変更する場合は、アイデンティティ・ストアで使用する値を、変更された代替認証プロバイダで使用する値と一致させる必要があります。
たとえば、OIDを使用しており、GUID属性のデフォルト値をorclguid
からnewvalue
に変更した場合、アイデンティティ・ストアと認証プロバイダの両方で、値をnewvalue
に設定する必要があります。
アイデンティティ・ストアでGUID属性を構成するには:
Fusion Middleware Controlのナビゲーション・ペインで、\Weblogic domain\bifoundation_domainに移動します。
「bifoundation_domain」を右クリックして「セキュリティ」→「セキュリティ・プロバイダ構成」を選択し、「セキュリティ・プロバイダ構成」ページを表示します。
「アイデンティティ・ストア・プロバイダ」領域で「構成」をクリックし、「アイデンティティ・ストア構成」ページを表示します。
「カスタム・プロパティ」領域で「追加」オプションを使用し、PROPERTY_ATTRIBUTE_MAPPINGというカスタム・プロパティを追加します。
表3-5 カスタム・プロパティ
プロパティ名 | 値 |
---|---|
PROPERTY_ATTRIBUTE_MAPPING |
認証プロバイダで設定されているGUID属性値を指定します。たとえば、認証プロバイダでGUID属性が |
次のスクリーンショットは、GUID属性値がGUID=newvalue
に設定されたPROPERTY_ATTRIBUTE_MAPPINGという新しいプロパティを含む、一連のカスタム・プロパティの例を示しています。
「OK」をクリックして変更を保存します。
管理サーバー、管理対象サーバーおよびBIコンポーネントを再起動します。
Oracle Business Intelligenceでは、内部通信用に構成された認証プロバイダに、特定のユーザーを使用します。たとえば代替認証プロバイダ(OID、Active Directoryなど)を使用するようにOracle BIを構成する場合、その代替認証プロバイダでこの目的に使用する新しいユーザーを作成(または既存のユーザーを選択)し、そのユーザーに必要な権限を与えます。選択したユーザーへの必要な権限の付与は、これらのユーザーを既存のBISystemアプリケーション・ロールのメンバーにすることによって行います。複数の認証プロバイダを構成する場合(詳細は、第3.2.3.3項を参照)、このユーザーが存在する必要があるアイデンティティ・ストアは、いずれか1つのみです。
代替認証プロバイダのユーザーで新しい信頼できるユーザー・アカウントを作成するには:
信頼できるユーザー・アカウントの資格証明は、system.userキーの下の資格証明ストアに格納されます。system.userキーが認証プロバイダ(OID、Active Directoryなど)で使用できる一連の資格証明を指すようにする必要があります。
既存のユーザーを使用するか新しいユーザーを作成するかによらず、system.userの変更プロセスは同じです。
代替認証プロバイダで、信頼できるユーザーのためのユーザーを作成または特定します。
この信頼できるユーザーにBISystemUserという名前を付け、その目的を明確にすることがベスト・プラクティスですが、任意の名前を選択することもできます。
終了すると、Oracle WebLogic Server管理コンソールの「ユーザー」表は、次のスクリーンショットのようになります(例はOID用です)。
次に、信頼できるユーザーの資格証明を、oracle.bi.system資格証明マップに追加します。
Fusion Middleware Controlのターゲット・ナビゲーション・ペインからファームを開き、「WebLogicドメイン」を開いて「bifoundation_domain」を選択します。
「WebLogicドメイン」メニューで、「セキュリティ」→「資格証明」を選択します。
「oracle.bi.system」 資格証明マップを開き、「system.user」 を選択して「編集」をクリックします。
「キーの編集」ダイアログの「ユーザー名」フィールドで、BISystemUser (または選択した名前) を入力します。「パスワード」フィールドで、認証プロバイダ(Oracle Internet Directory、Active Directoryなど)に含まれる信頼できるユーザーのパスワードを入力します。
「OK」をクリックします。
次に、新しい信頼できるユーザーをBISystemアプリケーション・ロールのメンバーにする必要があります。
Fusion Middleware Controlのターゲット・ナビゲーション・ペインで、Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメイン(bifoundation_domainなど)に移動します。
「WebLogicドメイン」メニューからセキュリティ・ロールおよびアプリケーション・ロールを選択し、「アプリケーション・ロール」ページを表示します。
「検索するアプリケーション・ストライプの選択」ラジオ・ボタンをクリックし、リストから「obi」を選択します。「ロール名」フィールドの右の検索矢印をクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。これは次のスクリーンショットのようになります。
「BISystem」アプリケーション・ロールを選択し、「編集」をクリックします。
「アプリケーション・ロールの編集」ページで、「ユーザー」セクションまでスクロールし、「ユーザーの追加」をクリックします。
「ユーザーの追加」ダイアログで、「ユーザー名」フィールドの横の矢印をクリックし、代替認証プロバイダ(Oracle Internet Directoryなど)で作成された信頼できるユーザーを検索します。シャトル・コントロールを使用して、信頼できるユーザー名(BISystemUser)を「使用可能なユーザー」リストから「選択したユーザー」リストに移動します。
「OK」をクリックします。
代替認証プロバイダ(Oracle Internet Directory、Active Directoryなど)に含まれる信頼できるユーザー(BISystemUser)は、これでBISystemアプリケーション・ロールのメンバーになりました。
新しいシステム・ユーザーの構成の次のステージは、これらがWebLogicのグローバルAdminロールの一部となっていることの確認です。
WebLogicコンソールで「myrealm」をクリックして「<レルム>の設定」ページを表示し、「ロールとポリシー」タブを表示します。
ロールのリストでプラス記号をクリックして「グローバル・ロール」→「ロール」を開き、Adminロールの「ロール条件の表示」リンクをクリックします。
グローバルAdminロールに新しい信頼できるユーザーを追加します。
指定された条件が、直接、または所属するグループに基づいて、ユーザーと一致することを確認します(条件は、たとえば、User = BiSystemUserまたはGroup=Administratorsのようになります)。
「保存」をクリックします。
信頼できるユーザー名をBISystemUser以外の値に変更する場合、JMSモジュールの対応するユーザー名も変更する必要があります。
Oracle Business Intelligence Publisher JMSモジュールは、デフォルトでBISystemUserを使用します。したがって、信頼できるユーザー・アカウント名をBISystemUser以外の値に変更した場合、JMSモジュールのユーザー名も、信頼できる新しいユーザーの値に変更する必要があります。
WebLogicコンソールで、「サービス」→「メッセージング」→「JMSモジュール」を選択します。
「BipJmsResource」を選択します。
「セキュリティ」タブに移動し、「ポリシー」サブタブを表示します。
BISystemUserを新しい信頼できるユーザーの名前で置換します。
管理対象サーバーを起動します。
このようにしてシステム・ユーザーの資格証明を変更すると、その変更を有効にするには、BIサーバーおよびBIプレゼンテーション・サーバー を再起動する必要があります。最も簡単にこれを行うには、Fusion Middleware Controlを使用して、「Business Intelligence」およびすべてのコンポーネントを再起動を選択します。
認証プロバイダ(Oracle Internet Directory、Active Directoryなど)の新しい信頼できるユーザーが、Oracle Business Intelligence用に構成されます。
Oracle Business Intelligence 11g リリース1(11.1.1)では、ユーザーはその名前ではなくGlobal Unique Identifier (GUID)で認識されます。GUIDは、特定のユーザーに対する一意の識別子です。ユーザーの識別にGUIDを使用することにより、ユーザー名とは無関係に、データおよびメタデータを特定のユーザーに対して一意的に保護できるため、より高度なセキュリティが提供されます。
GUIDの再生成は、Oracle BIリポジトリおよびOracle BIプレゼンテーション・カタログでユーザーGUIDへのメタデータ参照を再生成するプロセスです。GUID再生成プロセスにおいて、各ユーザー名がアイデンティティ・ストアで検索されます。その後、アイデンティティ・ストアで、そのユーザー名に関連付けられたGUIDへのすべてのメタデータ参照がそのGUIDに置換されます。
GUIDの再生成は、Oracle Business Intelligenceが同一ユーザーに対して異なるGUIDを持つアイデンティティ・ストアに再度関連付けられる場合に必要となります。このような状況は、Oracle Business Intelligenceを異なるタイプのアイデンティティ・ストアと再度関連付ける際、または本番環境で異なるアイデンティティ・ストアを使用する場合にテスト環境から本番環境に移行する際に発生することがありますが、まれです。
Oracleのベスト・プラクティスが実施されず、Oracle Business Intelligenceリポジトリ・データが、同一ユーザーに対して異なるGUIDを持つシステム間で移行される場合、システムを機能させるには、GUIDの再生成が必要です。これは、あるユーザー(たとえば、2週間前に退社したJohn Smith)に対して保護されているデータおよびメタデータが、別のユーザー(たとえば先週入社したJohn Smith)に対してアクセス可能になる危険が高まるため、推奨されるものではありません。可能なかぎりアプリケーション・ロールを使用し、開発製品のライフサイクル全体で一貫したGUIDを使用することにより、このような問題の発生を回避できます。
ユーザーGUIDを再生成するには:
このタスクでは、構成ファイルを手動で編集して、再起動時にGUIDを再生成するようOracle BIサーバーおよびOracle BIプレゼンテーション・サーバー に指示する必要があります。完了したら、これらのファイルを編集してその変更を削除します。Oracle Business Intelligenceの構成ファイルの場所は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』の構成ファイルの場所に関する項を参照してください。
NQSConfig.INIのFMW_UPDATE_ROLE_AND_USER_REF_GUIDS
パラメータを更新します。
次の場所にあるNQSConfig.INIを開いて編集します。
ORACLE_INSTANCE/config/OracleBIServerComponent/coreapplication_obisn
FMW_UPDATE_ROLE_AND_USER_REF_GUIDS
パラメータを見つけ、これを次のようにYES
に設定します。
FMW_UPDATE_ROLE_AND_USER_REF_GUIDS = YES;
ファイルを保存して閉じます。
instanceconfig.xmlで、カタログ要素を更新します。
次の場所にあるinstanceconfig.xmlを開いて編集します。
ORACLE_INSTANCE/config/OracleBIPresentationServicesComponent/ coreapplication_obipsn
カタログ要素を見つけ、これを次のように更新します。
<Catalog>
<UpgradeAndExit>false</UpgradeAndExit>
<UpdateAccountGUIDs>UpdateAndExit</UpdateAccountGUIDs>
</Catalog>
ファイルを保存して閉じます。
opmnctlを使用してOracle Business Intelligenceシステム・コンポーネントを再起動します。
cd ORACLE_HOME/admin/instancen/bin ./opmnctl stopall ./opmnctl startall
NQSConfig.INIのFMW_UPDATE_ROLE_AND_USER_REF_GUIDS
パラメータをNO
に戻します。
重要: システムを確実にセキュアな状態にするには、この手順を実行する必要があります。
instanceconfig.xmlのカタログ要素を更新し、UpdateAccountのGUIDエントリを削除します。
opmnctlを使用して、Oracle Business Intelligenceシステム・コンポーネントを再起動します。
cd ORACLE_HOME/admin/instancen/bin ./opmnctl stopall ./opmnctl startall
資格証明ストアおよびポリシー・ストア・プロバイダとしてOIDを使用するようOracle Business Intelligenceを再構成するには、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOPSSセキュリティ・ストアの再関連付けに関する項にある手順に従ってください。
注意
このリリースにおいてこの用途でサポートされているLDAPサーバーはOracle Internet Directoryのみです。詳細は、「システム要件と動作要件」を参照してください。LDAPベースの資格証明ストアを使用するための前提条件は、LDAPベースのポリシー・ストアを使用するための前提条件と同様です。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのOPSSセキュリティ・ストアの使用に関する項を参照してください。
このトピックでは、デフォルトのWLS LDAP認証プロバイダをオフにして、単一のLDAP認証プロバイダを使用するよう、Oracle Business Intelligenceを再構成する方法を説明します。
Oracle Business Intelligenceをインストールすると、システムは自動的に、デフォルトの認証プロバイダとしてWebLogic Server (WLS) LDAPを使用するように構成されます。インストール・プロセスでは、WLS LDAPで必要なユーザーおよびグループが自動的に生成されます。ただし、独自のLDAPディレクトリ(OIDなど)があり、それをデフォルトの認証プロバイダとして使用することも、WLSのデフォルト認証プロバイダをオフにすることもできます。単一ソースの認証プロバイダを持つことにより、ユーザー名およびパスワードを複数の認証ソースから取得しないようにすることができます。複数の認証ソースから取得すると、複数の攻撃点が生じたり、認可されていないユーザーの侵入が可能になる場合があります。
このトピックには、次の項が含まれています。
注意: この項に示す例はOIDの構成用ですが、若干変更を加えることによって、容易にその他のLDAP認証プロバイダに適用できます。
単一ソースとしてOID LDAP認証を構成するには:
WLS LDAPのデフォルトの認証メソッドをオフにするプロセスを開始する前に、まずシステムをバックアップすることを強くお薦めします。バックアップしないと、構成時に間違えた場合に、システムからロックアウトされたり、システムを再起動できなくなることがあります。
再構成フェーズでバックアップおよびリカバリを有効にするには、<BIEE_HOME>\user_projects\domains\bifoundation_domain\configディレクトリにあるconfig.xmlファイルのコピーをとります。
変更を行う際は、このファイルのコピーを保持しておくことをお薦めします。
デフォルトのWLS認証プロバイダを削除し、代替LDAPソース(OIDなど)を使用するには、WLSと代替メソッドの両方を使用するようにシステムを設定する必要があります。詳細は、第3.2項「代替認証プロバイダの構成」を参照してください。WLS LDAPユーザー(デフォルトの認証プロバイダ)と新しい代替LDAPユーザーがともにOracle Business Intelligenceにアクセスできるように構成されている状態から開始します。
WLS LDAPユーザーとしてもOID LDAPユーザーとしてもログオンできるように設定したら、次の各タスクの説明のとおり、WLSのデフォルトの認証プロバイダを削除する手順に進みます。
表3-6に示す必須ユーザーが、WLS LDAPからOID LDAPに移行されていることを確認する必要があります。
表3-6 OIDでの必須ユーザー
ユーザー | 標準WLSユーザー | OIDで新たに必要とされるユーザー |
---|---|---|
1 |
BISystemUser |
OID_BISystemUser (任意の既存OIDユーザーとすることができます) |
2 |
WebLogic |
OID_Weblogic (任意の既存OIDユーザーとすることができます) |
3 |
OracleSystemUser |
OracleSystemUser (このユーザーはOIDにおいてこの名前で存在する必要があります - OWSMの固定要件) |
インストール時に次の3つのユーザーが作成されます。
BISystemUser
このユーザーはWLSに作成され、OBIPS (BIプレゼンテーション・サーバー )およびOBIS (BIサーバー)のビジネス・インテリジェンス・コンポーネント間の通信に使用されます。OID LDAPで同等なユーザーを作成または特定する必要があります(OID_BISystemUserなど)。ここで使用するパスワードは、セキュリティ・パスワードの規格に準拠したものにしてください(welcome1などは使用しないでください)。
Weblogic (インストール時またはアップグレード時に指定されるため、異なる場合があります)
この管理者ユーザーはインストール時に作成されます(Weblogicと呼ばれることもありますが、任意の名前でかまいません)。OIDで同等のユーザーを特定または作成する必要がありますが、このユーザーは任意の名前でかまいません。
OracleSystemUser
このユーザーは、(Oracle Web Services Manager (OWSM)で)特にグローバル・ロール・マッピングのために必要です。このユーザーは、OIDでこの名前で作成する必要があります。
表3-7に示す必須グループは、OID LDAPディレクトリで必要です。
表3-7 必須グループ
グループ | 自動的に作成されるWLSグループ | 新たに必要とされるOIDグループ |
---|---|---|
1 |
Administrators |
OID_Administrators |
2 |
AdminChannelUsers |
OID_AdminChannelUsers |
3 |
AppTesters |
OID_AppTesters |
4 |
CrossDomainConnectors |
OID_CrossDomainConnectors |
5 |
Deployers |
OID_Deployers |
6 |
Monitors |
OID_Monitors |
7 |
Operators |
OID_Operators |
8 |
OracleSystemGroup |
OracleSystemGroup (固定要件) |
9 |
BIAdministrator |
OID_BIAdministrators |
10 |
BIAuthor |
OID_BIAuthors |
11 |
BIConsumer |
OID_BIConsumers |
表3-7のグループは、デフォルトのOracle Business Intelligenceインストール・プロセスの際にWLSで自動的に作成されます。
デフォルトのWLS認証を削除する前に、WLSグループに替わるOIDグループを特定する必要があります。(表3-7の)WLSグループごとに個別のOIDグループを持つか、単一のOIDグループを使用して1つまたは多数のWLSグループと置換するかを選択できます。
現在唯一の特定の要件として、OIDでOracleSystemGroupとしてこの名前でグループを定義する必要があります(OWSM要件)。
表3-8に示すグローバル・ロール・マッピングを、OIDで構成する必要があります。
表3-8 WebLogic管理コンソールでのグローバル・ロール・マッピング
ユーザー | グローバル・ロール | 現行のWLSグループ | 新たに必要とされるOIDグループ |
---|---|---|---|
1 |
Admin |
Administrators |
OID_Administrators |
2 |
AdminChannelUsers |
AdminChannelUsers |
OID_AdminChannelUsers |
3 |
AppTester |
AppTesters |
OID_AppTesters |
4 |
CrossDomainConnector |
CrossDomainConnectors |
OID_CrossDomainConnectors |
5 |
Deployer |
Deployers |
OID_Deployers |
6 |
Monitor |
Monitors |
OID_Monitors |
7 |
Operator |
Operators |
OID_Operators |
8 |
OracleSystemRole |
OracleSystemGroup |
OracleSystemGroup (固定要件) |
デフォルトのWLS認証プロバイダをオフにする前に、(WLSコンソールに表示されている)表3-8のグローバル・ロールと、(タスク4で定義した)置換OIDグループを関連付ける必要があります。
Oracle WebLogic Server管理コンソールでグループとグローバル・ロールを関連付けるには:
Oracle WebLogic Server管理コンソールにログインし、チェンジ・センターで「ロックして編集」をクリックします。
詳細は、第2.3.2項「Oracle WebLogic Server管理コンソールの起動」を参照してください。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
デフォルトのセキュリティ・レルムはmyrealmという名前です。
「レルム・ロール」をクリックします。
「グローバル・ロール」をクリックし、「ロール」を開きます。
次のように、各ロールに対し、新しい条件を追加します。
注意: AnonymousおよびOracle Systemロールには、これを行わないでください。どちらも変更されないままになることがあります。
「ロール条件の表示」をクリックします。
「述部リスト」ドロップダウンからグループを選択します。
表3-7の新たに関連付けられるOIDグループを入力します。
たとえば、AdminロールをOID_Administratorsロールに関連付けます。
注意: デフォルトのWLS認証を正常にオフにしたら、ここに戻って古いWLSグループを削除できます(たとえばここでは、グループAdministratorsを削除します)。詳細は、タスク12「単一LDAP OID認証設定後のタスク」を参照してください。
変更内容を保存します。
OIDで新しいユーザーおよびグループを作成し、WLS LDAPで自動的に作成されたユーザーおよびグループをレプリケートしたので、次に、これらのユーザーおよびグループが、OIDにおいても、表3-9に示すとおり正しいグループ・メンバーシップを持っていることを確認する必要があります。
表3-9 OIDで必要なユーザーからグループへのメンバーシップ
グループ | 新しいOIDユーザー | メンバーとなる新しいOIDグループ |
---|---|---|
1 |
OID_BISystemUser |
OID_Administrators 注意: 必要に応じて、OID_AdministratorsではなくOID_BIAdministratorsに割り当てることもできます。これも正しく機能します。 |
2 |
OID_Weblogic |
OID_Administrators OID_BIAdministrators |
3 |
OracleSystemUser 注意: この名前のユーザーがOIDに存在する必要があります。 |
OracleSystemGroup 注意: この名前のグループがOIDに存在する必要があります。 |
重要な注意: 表3-9に示すユーザーとグループのメンバーシップを実現するには、LDAP OIDサーバーを更新できる適切なアクセス権を持つか、別の担当者がかわりにグループのメンバーシップを更新できる必要があります。
Fusion Middleware Controlを使用して、(表3-10にある)作成したばかりのOIDユーザーおよびグループを既存のアプリケーション・ロールのメンバーに追加する必要があります。
表3-10 Fusion Middleware Controlで必要なOIDユーザーおよびグループのアプリケーション・ロール・メンバーシップ
グループ | メンバーにする既存のWLSアプリケーション・ロール | 新しいOIDユーザーおよびグループ |
---|---|---|
1 |
BISystem |
OID_BISystemUser (OIDユーザー) |
2 |
BIAdministrator |
OID_BIAdministrators (OIDグループ) |
3 |
BIAuthor |
OID_ BIAuthors (OIDグループ) |
4 |
BIConsumer |
OID_BIConsumers (OIDグループ) |
Fusion Middleware Controlを使用して必要なOIDユーザーおよびグループのアプリケーション・ロール・メンバーシップを設定するには:
Fusion Middleware Controlで「セキュリティ」メニューを表示します。
詳細は、第2.4.1.3項「bifoundation_domainからのFusion Middleware Controlの「セキュリティ」メニューの表示」を参照してください。
Oracle Business Intelligenceの「アプリケーション・ロール」を表示します。
詳細は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」を参照してください。
次のようにメンバーをアプリケーション・ロールに割り当てます。
注意: グループをBISystemアプリケーション・ロールに割り当てることはできますが、セキュリティ保護のため、このロールにはユーザーのみを割り当ててください。
OIDでBISystemUserに対して作成したユーザー名およびパスワードは、タスク3「OID LDAPでの必須ユーザーの特定または作成」で作成したもの(OID_BISystemUser用など)と同じである必要があります。
新しいOID_BISystemUserの資格証明ストア・パスワードを更新するには:
Fusion Middleware Controlで「セキュリティ」メニューを表示し、「資格証明」を選択します。
詳細は、第2.4.1.3項「bifoundation_domainからのFusion Middleware Controlの「セキュリティ」メニューの表示」を参照してください。
「oracle.bi.system」を開き、「system.user」を選択します。
「編集」ボタンをクリックし、「キーの編集」ダイアログを表示します。
新しいユーザー名およびパスワードを入力します。
「OK」をクリックします。
これでデフォルトの認証プロバイダを削除する準備が整いました。
デフォルトの認証プロバイダを削除するには:
最初にLDAPソースにマッピングされるLDAP認証プロバイダを作成しました(詳細は、タスク2「WLS削除の前提条件」を参照してください)。
WLS管理コンソールで、制御フラグをSUFFICIENTからREQUIREDに変更します。
制御フラグの表示方法の詳細は、第3.2.3.1項「認証プロバイダとしてOracle Internet Directoryを使用するためのOracle Business Intelligenceの構成」を参照してください。
変更を保存します。
他の認証プロバイダを削除し、LDAP OID認証プロバイダが単一ソースとなるようにします。
初めてOID LDAPを使用している場合、つまり、(11gにアップグレードした)10g LDAP認証からOID LDAP認証に移行している場合は、このタスクを実行します。これにより、システム・ユーザーGUID (Global Unique Identifier)を再同期します。再同期しない場合、ログインできず、次のエラー・メッセージが表示されます。
ユーザー'[ユーザー名]'のGUIDがリポジトリのユーザー参照GUIDと一致しません。リポジトリの旧ユーザー参照の削除を管理者に依頼し、再度ログインしてください。
古いGUID参照を削除するには:
すべてのOracle Business Intelligenceサービスを停止します。
Windowsでメニュー・オプションBIサービスの停止を使用し、インストール時に指定した元の管理ユーザー名およびパスワード(weblogic/welcome1など)を指定します。
管理ツールで、使用しているR11 RPDをオフライン・モードで開きます。
メニューから「管理」および「アイデンティティ」を選択します。
「BIリポジトリ」をクリックし、「ユーザー」タブを表示します。
すべてのユーザーを選択し、これらを削除します。
重要な注意: 特定のユーザーに対して定義された特定の権限が(RPDに)ある場合、これらは失われます。この場合、BIシステムを起動する際、LDAP (OID)ソースでユーザー・レベルの権限をこれらのユーザーに再度関連付ける必要があります。これにより、同じ名前の(同一人物ではない)ユーザーが、別のユーザーとして正しく識別されます。
これでBIサービスを再起動する準備が整いました。インストール時に作成したWLSユーザーは削除され、すべてのユーザーが単一OIDソースに存在するため、この再起動は、管理ユーザーとして指定された新しいOIDユーザー(OID_Weblogicなど)を使用して行う必要があります。
注意: オンラインで管理ツールにログインする際は、RPDパスワードとともにOIDユーザーとパスワード(OID_Weblogicなど)を指定する必要があります。
すべて正常に機能している場合
重要な注意: この手順を実行する前に、config.xmlをバックアップしてください(タスク1「バックアップおよびリカバリ」を参照)。
グローバル・ロールを編集し(タスク5「WebLogicコンソールでのOIDグループのグローバル・ロールへの割当て」)、自動的に作成されたすべてのWLSロールを、OR句から削除します。
これには次のようなものがあります。
Admin
AdminChannelUsers
AppTester
CrossDomainConnector
Deployer
Monitor
Operator
Oracle Business Intelligence Enterprise Editionでは、様々な形式の認証方式を一括適用できます。望ましい機能にも思えますが、セキュリティ上のリスクも伴います。単一ソースの認証のみを実装する場合には、次の代替認証方式のためのRPDの監査を検討する必要があります。
すべての初期化ブロック認証アクセスを停止するには:
初期化ブロックによるアクセスの停止は比較的簡単なプロセスです。これは、管理ツールを使用して行います。正常な認証を行うには、ユーザー名が必要です。初期化ブロックでは、USERという特殊なシステム・セッション変数を移入することによって、これを行います。すべての初期化ブロック認証を停止するには、次の手順を実行します。
RPDからシステム変数USERを削除します。
RPDの初期化ブロックで「認証のために必要」チェック・ボックスが選択されていないことを確認します。
システム・セッション変数PROXYおよびPROXYLEVELを設定するRPDの初期化ブロックが、ユーザーにセキュリティの無視を許可していないことを確認します。
システム変数PROXYおよびPROXYLEVELは、一度接続されたユーザーが他のユーザーのセキュリティ・プロファイルでそのユーザーになりすますことを許可します。より低い権限のアカウントにプロキシする場合は問題ありませんが、より高い権限のアカウントにプロキシする場合は、セキュリティの問題とみなされることがあります。
注意: 初期化ブロックを無効にする場合、依存する初期化ブロックも無効になります。
これで、初期化ブロック認証を使用して試みられるアクセスは成功しなくなります。ただし、すべての初期化ブロックをチェックする必要があります。
エラー内容:
<クリティカル> <WebLogicServer> <BEA-000386> <サーバー・サブシステムに障害が発生しました。
理由: weblogic.security.SecurityInitializationException: ユーザー<oidweblogic>はサーバーの起動を許可されていません。このユーザーがサーバーを起動できなくなるようにサーバーのポリシーが変更されていることが考えられます。管理ユーザー・アカウントでサーバーを再起動するか、システム管理者に連絡してセキュリティ・ポリシーの定義を更新してください。
解決策:
システムを再起動したとき、新しいWebLogic管理者のOIDユーザー(oidweblogic)として起動しましたか。
この操作を行ってロックアウトされた場合は、ユーザー(OIDではweblogic)に適切な権限がなかったことが原因です。これにはAdminグローバル・ロールが必要です。したがって、デフォルトでこのロールに対するメンバーシップを持つOID内のグループ(つまり、Administrators)のメンバーシップがあることを確認してください。さらに、BIAdministratorsグループ、またはOID内でこれと同等なグループが、Adminグローバル・ロールに追加されていることも確認してください。
注意: ロックアウトされている場合、以前の作業構成に戻るために必要なことは、config.xmlファイルのリストアのみです。したがって、構成を切り替えるには、この構成を変更する前にこのファイルをバックアップするだけであり、スイッチ・バックするには、1つのファイルをリストアするだけです(詳細は、タスク1「バックアップおよびリカバリ」を参照)。
config.xmlファイルをリストアするには、OIDユーザーではなく元のWebLogic管理ユーザーとしてOracle Business Intelligenceを再起動します。