Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1(11.1.1) B63030-01 |
|
前 |
次 |
この付録では、Oracle Business Intelligenceのセキュリティの構成および使用時に発生する可能性のある一般的な問題と、それらの解決方法について説明します。項目は次のとおりです。
リポジトリ、Oracle BIプレゼンテーション・カタログ、アイデンティティ・ストアの間には非一貫性の問題が数多く生じることがあります。次の各項では、これらが発生することのある通常の過程とその非一貫性の解決方法について説明します。
動作
アイデンティティ・ストアからユーザーが削除されると、そのユーザーはOracle Business Intelligenceにログインできなくなります。ただし、削除されたユーザーへの参照は、管理者がそれらを削除するまでリポジトリ内に残ります。
原因
削除されたユーザーへの参照は引き続きリポジトリ内に残りますが、そのユーザーはOracle Business Intelligenceにログインできません。この動作により、ユーザーが不注意で削除され、アイデンティティ・ストアに再度作成された場合に、ユーザーのアクセス制御ルールを再入力する必要はありません。
処置
管理者は、IDの非一貫性について、オンライン・モードでOracle BI管理ツールの整合性チェッカを実行できます。
動作
アイデンティティ・ストアでユーザーの名前が変更され、その後、そのユーザーが新しい名前でリポジトリにログインできません。
原因
これは、元の名前によるユーザーへの参照がリポジトリ内に残っている場合に発生することがあります。
処置
管理者は、Oracle BIサーバーを再起動するか、またはOracle BI管理ツールの整合性チェッカを実行してリポジトリを更新し、新しい名前によるユーザーへの参照を反映する必要があります。これが解決されると、Oracle BIプレゼンテーション・サーバー は、このユーザーの次回ログイン時に新しいユーザー名を参照するようにプレゼンテーション・カタログを更新します。
動作
アイデンティティ・ストアで以前に使用されたユーザー名と同一のユーザー名が追加された場合に、同じ名前の新しいユーザーがログインできません。
原因
これは、ユーザー名への参照がリポジトリに存在する場合に発生することがあります。
処置
管理者は、Oracle BI管理ツールで整合性チェッカを実行するか、または新しいユーザーのGUIDを使用するように既存のユーザー参照を変更することで、リポジトリに含まれているユーザー名への既存の参照を削除する必要があります。新しいユーザーが、再利用された名前でログインすると、プレゼンテーション・サービス・カタログ内にそれらのユーザー用の新しいホーム・ディレクトリが作成されます。
プレゼンテーション・サービス・カタログとアイデンティティ・ポリシーの間には、非一貫性の問題が数多く生じることがあります。次の各項では、これらが発生することのある通常の過程とその非一貫性の解決方法について説明します。
動作
ポリシー・ストアからアプリケーション・ロールが削除された後、オフライン・モードで操作したときに、そのロール名が引き続きOracle BI管理ツールに表示されます。ただし、ロール名はプレゼンテーション・サービスに表示されなくなり、ユーザーには、削除されたロールに関連付けられた権限が付与されません。
原因
削除されたロール名への参照がリポジトリ内に残っていると、オフライン・モードで操作したときにロール名が管理ツールに表示されます。
処置
管理者は、オンライン・モードでOracle BI管理ツールの整合性チェッカを実行し、削除されたアプリケーション・ロール名に対するリポジトリ内の参照を削除します。
動作
ポリシー・ストアでアプリケーション・ロールの名前が変更された後、新しい名前がオフライン・モードの管理ツールに表示されません。ただし、新しい名前は、プレゼンテーション・サービスと管理ツールのリストにただちに表示されます。ユーザーには、引き続き、ロールによって付与されている権限が表示されます。
原因
元のロール名への参照がリポジトリ内に残っていると、オフライン・モードで操作したときにロール名が管理ツールに表示されます。
処置
管理者はBIサーバーを再起動するか、管理ツールの整合性チェッカを実行し、リポジトリを更新して新しいロール名を反映します。
動作
以前のアプリケーション・ロール用に使用されていた名前を再利用して、ポリシー・ストアにアプリケーション・ロールが追加されます。ユーザーは、元のロールによって付与された権限に応じてOracle Business Intelligenceのリソースにアクセスすることはできず、新しいロールによって生じる権限は付与されません。
原因
元のロールと同じ名前の新しいロールとの間で、名前の競合を解決する必要があります。
処置
管理者は、元のロールへの参照をリポジトリから削除するか、新しいGUIDを使用するようにリポジトリの参照を更新することで、命名の競合を解決します。
動作
通信エラー。プロセス(クライアント)が別のプロセス(サーバー)と通信できません。
処置
SSL通信問題が存在すると、通常はクライアントが通信エラーを表示します。エラーには「client refused」(クライアントが拒否されました)とだけ示され、それ以外の情報は示されません。サーバーのログ・ファイルで、対応する障害エラー・メッセージを調べてください。このログ・ファイルには通常、問題の詳細が記述されています。
動作
BIDomain MBean (oracle.biee.admin:type=BIDomain, group=Service)を使用してコミット操作を実行した後、次のエラー・メッセージが表示されます。
SEVERE: Element Type: DOMAIN, Element Id: null, Operation Result: VALIDATION_FAILED, Detail Message: SSL must be enabled on AdminServer before enabling on BI system; not set on server: AdminServer
処置
このメッセージは、Oracle WebLogic Server管理対象サーバーで、前提条件にもなっているSSLの有効化が行われていないことを示しています。詳細は、第5.3項「HTTPSプロトコルを使用するためのWebサーバーの構成」と第5.4.3項「SSL構成変更のコミット」を参照してください。
問題: ユーザーが、有効なユーザー名とパスワードでログインできません。エラー・メッセージ: 無効なユーザー名またはパスワード。
例C-1 BISystemUser資格証明が同期しなくなったときのbifoundation_domain.logの出力例
####<DATE> <Error> <oracle.wsm.resources.enforcement> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244079442> <WSM-07607> <Failure in execution of assertion {http://schemas.oracle.com/ws/2006/01/securitypolicy}wss-username-token executor class oracle.wsm.security.policy.scenario.executor.WssUsernameTokenScenarioExecutor.> ####<DATE> <Error> <oracle.wsm.resources.enforcement> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244079442> <WSM-07602> <Failure in WS-Policy Execution due to exception.> ####<07-might-2010 15:54:39 o'clock BST> <Error> <oracle.wsm.resources.enforcement> <ukp79330> <bi_server1> <[ACTIVE] ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244079442> <WSM-07501> <Failure in Oracle WSM Agent processRequest, category=security, function=agent.function.service, application=bimiddleware#11.1.1.2.0, composite=null, modelObj=SecurityService, policy=oracle/wss_username_token_service_policy, policyVersion=null, assertionName={http://schemas.oracle.com/ws/2006/01/securitypolicy}wss-username-token.> ####<DATE> <Error> <oracle.wsm.agent.handler.wls.WSMAgentHook> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244079442> <BEA-000000> <WSMAgentHook: An Exception is thrown: FailedAuthentication : The security token cannot be authenticated.> ####<DATE> <Error> <oracle.wsm.resources.security> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '5' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244091113> <WSM-00008> <Web service authentication failed.> ####<DATE> <Error> <oracle.wsm.resources.security> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '5' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244091113> <WSM-00006> <Error in receiving the request: oracle.wsm.security.SecurityException: WSM-00008 : Web service authentication failed
Windowsネイティブ認証とActive DirectoryでSSOを設定する場合やSiteMinderでSSOを設定する場合など、カスタムSSO環境を設定する際に問題が生じる場合があります。
詳細は、次のMy Oracle Supportの記事ID 1284399.1を参照してください。