| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
前 |
次 |
この章では、Oracle Business Intelligenceのシングル・サインオン(SSO)認証を構成するための一般的なガイドラインをいくつか紹介します。
この章の内容は次のとおりです。
|
注意: Oracle Fusion Middleware 11gでのエンタープライズレベルのSSO認証プロバイダとして、Oracle Access Managerを使用することをお薦めします。第13項、第13項および第13項では、Oracle Access ManagerがSSO認証プロバイダであると想定しています。第4.5項では、カスタムSSO環境のソリューションでの代替認証プロバイダについて説明します。Oracle Fusion MiddlewareでのOracle Access Managerの構成方法および管理方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項を参照してください。 サポートされているSSOプロバイダの詳細は、「システム要件と動作要件」を参照してください。 |
表4-1は、SSO認証の構成タスクを示したもので、詳細情報へのリンクが用意されています。
表4-1 タスク・マップ: Oracle Business IntelligenceのSSO認証の構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
Oracle Access ManagerをSSO認証プロバイダとして構成します。 |
Oracle Business IntelligenceのURLのエントリ・ポイントを保護するようにOracle Access Managerを構成します。 |
第4.4項「Oracle Access Manager環境でのSSOの構成」 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項 |
|
HTTPプロキシを構成します。 |
Oracle BIプレゼンテーション・サーバー からSSOプロバイダへリクエストを転送するようにWebプロキシを構成します。 |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項 |
|
Oracle WebLogic Server用に新しい認証プロバイダを構成します。 |
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインで、新しいアイデンティティ・ストアを使用するように構成します。 |
第4.4.1項「Oracle WebLogic Serverの新しい認証プロバイダの構成」 Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
|
Oracle WebLogic Serverの新しいIDアサーション・プロバイダを構成します。 |
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインで、アサーション・プロバイダとしてSSOプロバイダを使用するように構成します。 |
第4.4.2項「Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成」 Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
|
新しい信頼されたシステムのユーザーでデフォルトのBISystemUserを置き換えるように構成します。 |
Oracle Internet Directoryから新しい信頼されたシステム・ユーザー名を追加して、BISystemアプリケーション・ロールのメンバーにします。 |
第3.2.6項「新しい信頼できるユーザー(BISystemUser)の構成」 |
|
ユーザーおよびグループのGUIDを更新します。 |
元のアイデンティティ・ストアから新しいアイデンティティ・ストア(認証ソース)へ移行されたユーザーおよびグループのGUIDを更新します。 |
|
|
カスタムSSOソリューションを構成します。 |
Oracle Business Intelligence URLエントリ・ポイントを保護するように別のカスタムSSOソリューションを構成します。 |
|
|
Oracle Business IntelligenceがSSO認証を受け入れられるようにします。 |
Fusion Middleware Controlを使用してOracle Business Intelligenceと連携して機能するように構成されたSSOプロバイダを有効化します。 |
第4.6項「Fusion Middleware Controlの使用によるSSO認証の有効化」 |
|
注意: Oracle Business IntelligenceのSSOのインストレーション・シナリオの例については、『Oracle Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド』を参照してください。 |
シングル・サインオン(SSO)ソリューションを統合することで、ユーザーはログオン(サインオン)して認証を受けるのを一度で済ませることができます。その後、認証されたユーザーには、そのユーザーに付与された権限に応じて、システム・コンポーネントまたはリソースへのアクセス権が与えられます。Oracle Business Intelligenceは、Oracle Fusion MiddlewareおよびOracle WebLogic Serverとともに使用するように構成されたSSOソリューションで認証された受信HTTPリクエストを信頼するように構成できます。Oracle Fusion Middleware用にSSOを構成する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項を参照してください。
Oracle Business IntelligenceがSSO認証を使用するように構成されている場合、どのSSOソリューションであってもOracle Fusion Middlewareで使用するように構成されているものであれば、それによって認証されたユーザーを受け入れます。SSOが有効化されていない場合は、Oracle Business Intelligenceは、各ユーザーに対して認証資格証明を要求します。Oracle Business IntelligenceがSSOを使用するように構成されている場合、ユーザーはまずSSOソリューションの認証用のログイン・ページにリダイレクトされます。SSOソリューションによってユーザーが承認されると、ユーザー名がOracle BIプレゼンテーション・サービスに転送され、そこでこの名前が抽出されます。次に、偽装機能(偽装されているユーザーの代理の役目を果たす資格証明を使用したOracle BIプレゼンテーション・サーバー とOracle BIサーバーとの間の接続文字列)を使用して、Oracle BIサーバーとのセッションが確立されます。
SSOを使用して正常にログオンした後も、ユーザーが有効なユーザー名とパスワードの組合せを使用して管理ツールにログインするには、oracle.bi.server.manageRepositoriesの権限を持っている必要があります。インストール後、デフォルトのBIAdministrationアプリケーション・ロールのメンバーとなることで、oracle.bi.server.manageRepositories権限が付与されます。
SSO認証と連携するようにOracle Business Intelligenceを構成するには、少なくとも次を実行する必要があります。
SSO認証を受け付けるようにOracle Fusion MiddlewareとOracle WebLogic Serverを構成します。本番環境では、Oracle Access Managerをお薦めします。
受信メッセージを信頼するようにOracle BIプレゼンテーション・サービスを構成します。
SSO構成でのIDの伝播に必要なHTTPヘッダー情報(つまり、ユーザーIDとSSOのCookie)を指定して構成します。
ここでは、シングル・サインオンのためのIDアサーション・プロバイダの使用により、Oracle Access Managerの認証プロバイダがOracle WebLogic Serverと連携し、次の機能を提供するしくみについて説明します。
シングル・サインオン用のIDアサーション・プロバイダ
この機能は、Oracle Access Managerの認証サービスを使用し、適切なトークンを通じて、認証済のOracle Access Managerユーザーを検証し、WebLogicで認証されたセッションを作成します。また、Webゲートとポータルの間のシングル・サインオンも提供します。Webゲートは、Webリソース(HTTP)リクエストをインターセプトし、それを認証および認可のためにアクセス・サーバーに転送するプラグインです。
認証プロバイダ
この機能は、Oracle Access Managerの認証サービスを使用して、Oracle WebLogic Serverにデプロイされているアプリケーションにアクセスするユーザーを認証します。ユーザーはその資格証明、たとえばユーザー名やパスワードに基づいて認証されます。
Oracle Access Managerの認証プロバイダをシングル・サインオン用のIDアサーション・プロバイダとして構成すると、Webリソースが保護されます。境界認証は、Web層のWebゲートと、保護されているWebLogicリソースにアクセスしようとしているユーザーのIDをアサートする適切なトークンにより実施されます。
すべてのアクセス・リクエストは、リバース・プロキシWebサーバーにルーティングされます。これらのリクエストは次にWebゲートでインターセプトされます。Oracle Access Manager内で構成されている認証スキームに基づいて、ユーザーに対して資格証明の提示が要求されます(フォームベースのログインをお薦めします)。
正常に認証されると、Webゲートがトークンを生成し、WebサーバーがリクエストをOracle WebLogic Serverに転送します。次に、Oracle WebLogic ServerがOracle Access ManagerのIDアサーション・プロバイダを呼び出し、シングル・サインオンの検証を行います。WebLogic Security Serviceがシングル・サインオンのためにOracle Access ManagerのIDアサーション・プロバイダを呼び出し、IDアサーション・プロバイダが受信リクエストからトークンを取得し、サブジェクトにWLSUserImplプリンシパルを移入します。シングル・サインオンのためのIDアサーション・プロバイダが、ユーザーがメンバーであるグループに対応したWLSGroupImplプリンシパルを追加します。次に、Oracle Access ManagerがCookieを検証します。
図4-1は、Oracle Fusion Middlewareを使用したSSOのIDアサーション・プロバイダとしてOracle Access Managerの認証プロバイダが構成されている場合の、コンポーネントの配置と情報フローを示しています。
Oracle Business Intelligenceを使用してSSOソリューションを実装するときには、次の点を検討する必要があります。
HTTPサーバーまたはサーブレット・コンテナから信頼できる情報を受け入れるとき、Oracle BIプレゼンテーション・サーバー と直接通信を行うマシンを保護する必要があります。これを行うには、HTTPサーバーまたはサーブレット・コンテナのIPアドレスのリストが含まれているinstanceconfig.xmlファイルのListener\Firewallノードを設定します。さらに、Firewallノードには、Oracle BIスケジューラのインスタンス、Oracle BIプレゼンテーション・サービスのプラグイン・インスタンスおよびOracle BI JavaHostのインスタンスすべてのIPアドレスが含まれている必要があります。これらのコンポーネントのいずれかがOracle BIプレゼンテーション・サービスと同じ場所にある場合は、このリストに127.0.0.1も追加する必要があります。この設定はエンドユーザーのブラウザのIPアドレスを制御するものではありません。
相互に認証されたSSLを使用している場合、信頼できるすべてのホストの識別名(DN)をListener\TrustedPeersノードで指定する必要があります。
Oracle Access ManagerをOracle Fusion MiddlewareのSSO認証プロバイダとして構成する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項を参照してください。Oracle Access Managerの管理の詳細は、『Oracle Fusion Middleware Oracle Access Manager管理者ガイド』を参照してください。
Oracle Fusion Middleware環境を構成した後、Oracle Business Intelligenceを構成するため、一般的に次を行う必要があります。
Oracle Business IntelligenceのURLエントリ・ポイントを保護するようにSSOプロバイダを構成します。
Oracle BIプレゼンテーション・サーバー からSSOプロバイダへリクエストを転送するようにWebサーバーを構成します。
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインのメイン認証ソースとして新しいアイデンティティ・ストアを構成します。詳細は、第4.4.1項「Oracle WebLogic Serverの新しい認証プロバイダの構成」を参照してください。
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインを、Oracle Access ManagerのIDアサーション・プロバイダを使用するように構成します。詳細は、第4.4.2項「Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成」を参照してください。
SSO環境の構成が完了したら、Oracle Business IntelligenceのSSO認証を有効化します。詳細は、第4.6項「Fusion Middleware Controlの使用によるSSO認証の有効化」を参照してください。
Oracle Business Intelligenceのインストール後、Oracle WebLogic Serverの組込みLDAPサーバーがデフォルトの認証ソース(アイデンティティ・ストア)になります。新しいアイデンティティ・ストア(OIDなど)をメイン認証ソースとして使用するには、(Oracle Business Intelligenceがインストールされている)Oracle WebLogic Serverドメインを構成する必要があります。
認証プロバイダの制御フラグの属性を設定すると、認証プロバイダの実行順序が決まります。制御フラグ属性に使用可能な値は次のとおりです。
REQUIRED - このLoginModuleは成功する必要があります。失敗した場合でも、認証は、構成された認証プロバイダのLoginModulesリストの下位方向へ進みます。この設定はデフォルトです。
REQUISITE - このLoginModuleは成功する必要があります。他の認証プロバイダが構成されていて、このLoginModuleが成功した場合、認証はLoginModulesリストを下位方向へ進みます。それ以外の場合は、制御がアプリケーションに戻ります。
SUFFICIENT - このLoginModuleは成功する必要はありません。成功した場合、制御はアプリケーションに戻ります。失敗した場合、他の認証プロバイダが構成されていれば、認証はLoginModuleリストを下位方向に進みます。
OPTIONAL - このLoginModuleは成功でも失敗でもかまいません。ただし、セキュリティ・レルムに構成されているすべての認証プロバイダでJAAS制御フラグがOPTIONALに設定されている場合は、ユーザーは構成されているプロバイダのいずれかの認証テストをパスする必要があります。
Oracle WebLogic Serverで新しいデフォルトの認証プロバイダを作成する方法の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプまたは『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle WebLogic Serverで新しい認証プロバイダを構成するには:
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第2.3.2項「Oracle WebLogic Server管理コンソールの起動」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。「プロバイダ」を選択します。
「新規」をクリックします。次のようにフィールドに入力します。
名前: 「OID Provider」または任意の名前。
タイプ: OracleInternetDirectoryAuthenticator
「OK」をクリックします。
認証プロバイダの表で、新たに追加した認証プロバイダをクリックします。
「設定」に移動して、「共通」を選択します。
「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
「プロバイダ固有」タブをクリックし、使用する環境の値を使用して、次の必要な設定を入力します。
ホスト: LDAPホスト。例: localhost。
ポート: LDAPホストのリスニング・ポート。例: 6050。
プリンシパル: LDAP管理ユーザー。例: cn=orcladmin。
資格証明: LDAPの管理ユーザー・パスワード。
ユーザー・ベースDN: Oracle Access Managerと同じ。
すべてのユーザーのフィルタ: たとえば、(&(uid=*) (objectclass=person))。アスタリスク(*)はすべてのユーザーをフィルタします。
ユーザー名属性: ディレクトリ・サーバーのユーザー名のデフォルトの属性として設定します。例: uid
グループ・ベースDN: グループ検索ベース(ユーザー・ベースDNと同じ)。
デフォルトの設定が受入れ可能なため、「すべてのグループのフィルタ」は設定しないでください。
「保存」をクリックします。
次の手順を実行して、IDアサーション・プロバイダと併用できるようにデフォルトの認証プロバイダを設定します。
「プロバイダ」タブを表示して「認証」を選択し、「DefaultAuthenticator」を選択してその構成ページを表示します。
「共通」タブを選択して、「制御フラグ」を「SUFFICIENT」に設定します。
「保存」をクリックします。
次の手順に従ってプロバイダを並べ替えます。
「プロバイダ」タブを表示します。
「並べ替え」をクリックします。
「認証プロバイダの並べ替え」ページでプロバイダ名を選択してから、この一覧の隣にある矢印を使用して、次のようにプロバイダを並べ替えます。
OID認証プロバイダ: (SUFFICIENT)
OAM IDアサーション・プロバイダ: (REQUIRED)
デフォルトの認証プロバイダ: (SUFFICIENT)
「OK」をクリックし、変更を保存します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
詳細は、第3.2.3.1項「認証プロバイダとしてOracle Internet Directoryを使用するためのOracle Business Intelligenceの構成」を参照してください。
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインは、Oracle Access Managerのアサーション・プロバイダを使用するように構成されている必要があります。
Oracle WebLogic Serverに新しいアサーション・プロバイダを作成する方法の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプを参照してください。
Oracle Access ManagerをOracle WebLogic Serverの新しいアサーション・プロバイダとして構成するには:
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第2.3.2項「Oracle WebLogic Server管理コンソールの起動」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。「プロバイダ」を選択します。
「新規」をクリックします。次のようにフィールドに入力します。
名前: 「OAM Provider」または任意の名前。
タイプ: OAMIdentityAsserter。
「OK」をクリックします。
「保存」をクリックします。
「プロバイダ」タブで、次の手順に従ってプロバイダを並べ替えます。
「並べ替え」をクリックします。
「認証プロバイダの並替え」ページでプロバイダ名を選択し、リストの横にある矢印を使用して、次の順序でプロバイダを並べます。
OID認証プロバイダ: (SUFFICIENT)
OAM IDアサーション・プロバイダ: (REQUIRED)
デフォルトの認証プロバイダ: (SUFFICIENT)
「OK」をクリックし、変更を保存します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
Oracle WebLogic Serverに再度ログインして、LDAPサーバーに格納されているユーザーおよびグループがコンソールに表示されていることを確認することによって、Oracle Internet Directoryが新しいアイデンティティ・ストア(デフォルトの認証プロバイダ)であることを確認できます。
Fusion Middleware Controlを使用して、SSO認証を有効化します。
詳細は、第4.6項「Fusion Middleware Controlの使用によるSSO認証の有効化」を参照してください。
カスタムSSO環境に参加するためのOracle Business Intelligenceの構成(「Active DirectoryおよびWindowsネイティブ認証により認証およびSSOを構成する」、「SiteMinder SSOと連携するようにOracle Business Intelligence Enterprise Edition 11gを構成する」など)については、次のMy Oracle Supportの記事ID 1284399.1を参照してください。
Oracle Fusion Middlewareで使用するように構成されたSSOソリューションを使用するようにOracle Business Intelligenceを構成したら、Fusion Middleware Controlの「セキュリティ」タブから、Oracle Business IntelligenceのSSO認証を有効化する必要があります。
Oracle Business IntelligenceでSSO認証を使用できるようにするには:
「Business Intelligence概要」ページに移動します。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のFusion Middleware Controlへのログインに関する項を参照してください。
「セキュリティ」ページに移動します。
ページの「ヘルプ」ボタンをクリックして、要素に関するページレベルのヘルプを表示します。
「構成をロックして編集」をクリックします。
「SSOの有効化」を選択します。
選択すると、このチェック・ボックスはSSOをOracle Business Intelligenceの認証手段として有効化します。SSOの適切な形式は、選択されたSSOプロバイダに対して行われた構成設定によって決まります。
リストから構成済SSOプロバイダを選択します。
「SSOの有効化」チェック・ボックスを選択すると、SSOプロバイダ・リストがアクティブになります。
必要に応じて、構成済SSOプロバイダのログオンURLとログオフURLを入力します。
(SSOプロバイダによって指定される)ログオフURLは、システムがユーザーをログアウトさせるのではないため、SSOプロバイダが保護するドメインおよびポートの外部にある必要があります。
「適用」をクリックしてから、「変更のアクティブ化」をクリックします。
Fusion Middleware Controlを使用してOracle Business Intelligenceコンポーネントを再起動します。
詳細は、『Oracle Fusion Middleware System Oracle Business Intelligence Enterprise Edition管理者ガイド』のOracle Business Intelligenceコンポーネントの開始と停止に関する項を参照してください。
