リリース11g(11.1.1)
部品番号: B63037-01
目次
前
次
| Oracle Fusion Middleware Oracle Business Intelligence Publisher管理者および開発者ガイド リリース11g(11.1.1) 部品番号: B63037-01 | 目次 | 前 | 次 |
この章では、次のトピックについて説明します。
Oracle Fusion Middlewareセキュリティ・モデルはOracle Fusion Middlewareプラットフォーム上に構築されています。そして、このプラットフォームにはJavaのセキュリティ・モデルが組み込まれています。Javaのモデルは、ロールベースの宣言型モデルであり、コンテナ管理のセキュリティが採用されていて、ユーザーに割り当てられたロールによりリソースが保護されます。ただし、Javaベース・アーキテクチャに関する幅広い知識がないとOracle Fusion Middlewareのセキュリティ・モデルを使用できないわけではありません。セキュリティ・モデルを使用するときには、BI Publisherによって、企業全体にわたる共通のセキュリティおよびID管理機能が提供されます。
インストールが完了すると、BI PublisherがOracle WebLogic Serverドメインに自動的にインストールされます。このドメインは、論理的に関連付けられたWebLogic Serverリソースのグループであり、1つの単位として管理されます。簡易インストールの後に作成されるWebLogic Serverドメインには、bifoundation_domainという名前が付けられます。この名前は、実行されるインストールの種類によって異なります。各ドメインでWebLogic Serverの1つのインスタンスが管理サーバーとして構成されます。管理サーバーは、WebLogic Serverドメインを管理するための中枢となります。管理サーバーは管理コンソールをホストします。管理コンソールは、管理サーバーへのネットワーク・アクセスが可能なサポートされているWebブラウザからアクセス可能なWebアプリケーションです。BI Publisherは、パブリッシャがインストールされるOracle WebLogic Serverドメイン用に構成されるアクティブなセキュリティ・レルムの一部です。
Oracle Fusion Middlewareプラットフォームおよび共通セキュリティ・フレームワークの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。Oracle WebLogic Serverドメインとセキュリティ・レルムの管理の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの理解』および『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle Fusion Middlewareのセキュリティ・モデルは、次の重要な要素に基づいて、企業全体で統一されたセキュリティおよびID管理機能を提供します。
アプリケーション・ポリシー
BI Publisherの権限は、そのアプリケーション・ロールのメンバーに付与されます。デフォルトのセキュリティ構成では、事前定義済の権限のセットが各アプリケーション・ロールによって伝達されます。権限の付与は、アプリケーション・ポリシーで定義および管理されます。アプリケーション・ロールがアプリケーション・ポリシーと関連付けられると、そのロールはポリシーの権限受領者となります。アプリケーション・ポリシーは、特定のアプリケーションに固有のものです。
アプリケーション・ロール
権限の付与についてアプリケーション・ポリシーで定義されると、アプリケーション・ロールをそのポリシーにマップできるようになり、そのアプリケーション・ロールが権限を伝達するためのメカニズムとして機能するようになります。この方式では、アプリケーション・ロールが、そのメンバーに権限を付与するコンテナとなります。権限は、ポリシーとロール間の関係を通じてアプリケーション・ロールと関連付けられます。グループがアプリケーション・ロールにマップされると、対応する権限がすべてのメンバーに同じように付与されます。メンバーシップは、アプリケーション・ロールの定義において定義されます。アプリケーション・ロールは、特定の条件に従って割り当てられ、認証時の条件に基づいて動的に付与されます。複数のユーザーやグループが同じアプリケーション・ロールのメンバーになることがあります。
認証プロバイダ
認証プロバイダは、ユーザーやグループの情報にアクセスするために使用され、ユーザーを認証する役割を持っています。BI Publisherが簡易インストールまたはエンタープライズ・インストールで使用するデフォルトの認証プロバイダは、DefaultAuthenticatorという名前のものです。これは、Oracle WebLogic Serverの基本インストールで使用されるのと同じものです。Oracle WebLogic Server認証プロバイダにより、ユーザーとグループを1つの場所で管理できるようになります。
アイデンティティ・ストアには、ユーザー名、パスワードおよびグループ・メンバーシップの情報が含まれます。認証プロバイダは、アイデンティティ・ストアのデータにアクセスし、そのデータと照合しながら認証を行います。たとえば、ログイン時にユーザー名とパスワードの組合せが入力されると、認証プロバイダはアイデンティティ・ストアを検索して、指定された資格証明を確認します。BI Publisherのデフォルトの認証プロバイダは、Oracle WebLogic Serverの埋込みディレクトリ・サーバーと照合しながら認証を行います。
ユーザーとグループ
ユーザーは、認証可能な実体です。ユーザーは、アプリケーション・ユーザーなどの人であっても、クライアント・アプリケーションなどのソフトウェア実体であっても構いません。各ユーザーには一意の識別子が割り当てられます。
グループは、共通点のあるユーザーどうしがまとまるように編成したものです。セキュリティ管理をより効率化するには、同様のアクセスを必要とするグループごとにユーザーをまとめる必要があります。
セキュリティ・レルム
インストール時に、Oracle WebLogic Serverドメインが作成され、BI Publisherがそのドメインにインストールされます。BI Publisherのセキュリティは、そのOracle WebLogic Serverドメインのセキュリティ・レルム内で管理されます。セキュリティ・レルムは、スコーピング・メカニズムとして機能します。各セキュリティ・レルムは、一連の構成済のセキュリティ・プロバイダ、ユーザー、グループ、セキュリティ・ロールおよびセキュリティ・ポリシーから構成されます。ドメインに対して1つのセキュリティ・レルムのみがアクティブになることができます。BI Publisherの認証は、パブリッシャがインストールされたWebLogic Serverドメインのデフォルトのセキュリティ・レルムに対して構成された認証プロバイダにより実行されます。Oracle WebLogic Server管理コンソールは、Oracle WebLogic Serverドメインの管理に使用される管理ツールです。
BI Publisherには、様々な機能にアクセスするためのアプリケーション固有の権限が用意されています。BI Publisherの権限は通常、アプリケーション・ロールのメンバーになることにより付与されます。権限は、2つの方法で付与されます。アプリケーション・ロールでメンバーシップを通じて付与する方法(直接的な付与)と、グループやロールの継承を通じて付与する方法(間接的な付与)です。アプリケーション・ロールのメンバーシップは、アプリケーション・ロール階層の特性によって継承されることができます。デフォルトのセキュリティ構成では、各アプリケーション・ロールは、事前定義済の一連の権限を付与するようにあらかじめ構成されています。グループは、アプリケーション・ロールにマップされます。グループとロールのマッピングにより、ロールの権限がグループのすべてのメンバーに伝達されます。つまり、権限はBI Publisherで次の関係を確立することにより付与されます。
グループでは、システムへの同様のアクセス要件を持つ一連のユーザーが定義されます。ユーザーは、必要なアクセスのレベルに応じ、1つ以上のグループのメンバーとして追加されます。
アプリケーション・ロールは、ユーザーがBI Publisherを使用するときに一般的に実行するロールを示すように定義されます。デフォルトのセキュリティ構成では、事前構成済のアプリケーション・ロールとして、BIAdministrator(管理者)、BIAuthor(コンテンツの作成者)およびBIConsumer(コンテンツのコンシューマ)が用意されています。
ユーザーのグループは、それらのユーザーが必要とするアクセスの種類に応じて1つ以上のアプリケーション・ロールにマップされます。
アプリケーション・ポリシーが作成されると、ロール・タイプに対応する一連のアクセス権を付与するBI Publisherの権限がマップされます。
アプリケーション・ロールは、ロール・タイプ(管理者、作成者、コンシューマ)で必要とされる権限のセットを付与するアプリケーション・ポリシーにマップされます。
グループのメンバーシップは、グループ階層の特性によって継承されることができます。継承されるグループにマップされるアプリケーション・ロールも継承され、それらの権限は同様にメンバーに伝達されます。
ユーザーの権限は、システムにより次のようにして決定されます。
ユーザーがログイン時にWebブラウザに資格証明を入力します。ユーザー資格証明は、認証プロバイダにより、アイデンティティ・ストア内のデータと照合して認証されます。
認証が成功すると、Javaのサブジェクトとプリンシパルの組合せが発行され、ユーザー名とユーザー・グループが移入されます。
ユーザー・グループのリストが作成され、アプリケーション・ロールと照合してチェックされます。各ユーザー・グループにマップされたアプリケーション・ロールのリストが作成されます。
付与されるユーザー権限は、ユーザーがどのアプリケーション・ロールのメンバーであるかを把握することによって決定されます。グループのリストは、ユーザーのロールを判断するためにのみ作成され、他の目的には使用されません。
ユーザーは、他のアプリケーション・ロールを継承する場合にも、権限を付与されます。アプリケーション・ロールのメンバーには、他のグループやアプリケーション・ロールも含まれます。そして、結果的には、権限が明示的に付与されるほかに継承もされる、階層ロール構造となります。この階層では、そのアプリケーション・ロールがメンバーとして属しているロールの権限、およびそのアプリケーション・ロールの子孫であるすべてのロールにより付与される権限がグループに付与されることになります。
たとえば、デフォルトのセキュリティ構成には、いくつかのグループとアプリケーション・ロールが事前定義されています。デフォルトのBIAdministratorアプリケーション・ロールにはBIAdministratorsグループが、BIAuthorアプリケーション・ロールにはBIAuthorsグループが、そしてBIConsumerアプリケーション・ロールにはBIConsumersグループが含まれています。デフォルトのBIAdministratorアプリケーション・ロールはBIAuthorアプリケーション・ロールのメンバーであり、BIAuthorアプリケーション・ロールはBIConsumerアプリケーション・ロールのメンバーです。これらのアプリケーション・ロールのメンバーは、次のように権限を継承します。BIAdministratorsグループのメンバーには、BIAdministratorロール、BIAuthorロールおよびBIConsumerロールのすべての権限が付与されます。このロール階層の特性に基づき、特定のグループのメンバーであるユーザーには、権限が明示的に付与されるほか、継承を通じて付与されます。デフォルトのアプリケーション・ロールとグループの詳細は、「デフォルトのアプリケーション・ロールと権限」を参照してください。
注意: アプリケーションによって管理されるリソースにアクセスするための権限は、グループやグループ階層自体により有効化されるわけではありません。権限は権限の付与により伝達され、アプリケーション・ポリシーで定義されます。ユーザー、グループまたはアプリケーション・ロールは、アプリケーション・ポリシーの権限受領者となります。アプリケーション・ポリシーの権限受領者により権限が伝達されますが、これは、直接のアソシエーション(ユーザー)によって、または権限受領者(グループまたはアプリケーション・ロール)のメンバーになることによって実行されます。
次の図は、そうしたデフォルトのグループとアプリケーション・ロールの関係を示しています。
次の表は、前の例や図で示した権限がどのようにして明示的に付与され、継承されるかをまとめたものです。
| ユーザー名 | グループ・メンバーシップ: 明示/継承 | アプリケーション・ロール・メンバーシップ: 明示/継承 | 権限の付与: 明示/継承 |
|---|---|---|---|
| User1、User2、User3 | BIConsumers: 明示 | BIConsumer: 明示 | 権限A: 明示 |
| User4、User5 | BIAuthors: 明示 BIConsumers: 継承 | BIAuthor: 明示 BIConsumer: 継承 | 権限B: 明示 権限A: 継承 |
| User6、User7 | BIAdministrators: 明示 BIAuthors: 継承 BIConsumers: 継承 | BIAdministrator: 明示 BIAuthor: 継承 BIConsumer: 継承 | 権限C: 明示 権限B: 継承 権限A: 継承 |
システム・リソースのアクセス制御は、ログイン時の認証をユーザーに要求し、認証されたリソースにのみユーザーがアクセスできるよう制限することによって実現されます。デフォルトのセキュリティ構成は、BI Publisherのインストール後すぐに使用可能であり、Oracle Fusion Middlewareセキュリティ・モデルを使用するように構成されています。BI Publisherは、Oracle WebLogic Serverドメインにインストールされ、そのドメインのセキュリティ・レルムを使用します。デフォルトの構成には、ユーザー・アイデンティティ、資格証明およびBI Publisher固有の権限付与が可能な3つの事前定義済セキュリティ・ストアが含まれています。ユーザーは、事前構成済のアプリケーション・ロールにマップされた事前定義済グループに追加できます。各アプリケーション・ロールは、特定のBI Publisher権限を付与するように事前構成されています。
BI Publisherのデフォルトのセキュリティ・ストアは、インストール時に次のように構成されます。
| ストア名 | 目的 | デフォルト・プロバイダ | オプション |
|---|---|---|---|
| アイデンティティ・ストア |
|
| BI Publisherを、代替認証プロバイダを使用するように再構成可能。詳細リストは、Oracle Fusion Middleware 11gR1システム要件とサポートされるプラットフォームを参照 |
| ポリシー・ストア |
|
| BI Publisherを、Oracle Internet Directoryをポリシー・ストア・プロバイダとして使用するように再構成可能 |
| 資格証明ストア | 提供された、またはシステムにより生成された、パスワードおよびその他のセキュリティ関連の資格証明を格納 |
| BI Publisherを、Oracle Internet Directoryを資格証明ストア・プロバイダとして使用するように再構成可能 |
次の表には、BI Publisherのアイデンティティ・ストア・プロバイダのインストール後にそのプロバイダに追加されるデフォルトのユーザー名とパスワードがリストされています。管理ユーザーは、Oracle WebLogic Server管理コンソールを使用して、これらのデフォルト設定を別の値に変更したり、アイデンティティ・ストアにユーザーを追加したりできます。
| デフォルトのユーザー名とパスワード | 目的 | 説明 |
|---|---|---|
| 名前: 管理ユーザー パスワード: ユーザー指定 | 管理ユーザー |
|
| 名前: BISystemUser パスワード: system generated |
|
重要: これは高特権ユーザーであり、このユーザーの資格証明は、非管理ユーザーから保護される必要がある。
|
次の表には、アイデンティティ・ストア・プロバイダのインストール中にそのプロバイダに追加されるデフォルトのグループ名とグループ・メンバーがリストされています。管理ユーザーは、Oracle WebLogic Server管理コンソールを使用して、これらのデフォルト設定を別の値に変更したり、グループ名を追加したりできます。
| デフォルトのグループ名とメンバー | 目的 | 説明 |
|---|---|---|
| 名前: BIAdministrators メンバー: 任意の管理ユーザー | BI Publisherの管理ユーザーが所属 |
|
| 名前: BIAuthors メンバー: BIAdministratorsグループ | BI Publisher作成者が所属 | BIAuthorsグループのメンバーは、他のユーザーが使用または消費するコンテンツを作成するために必要な権限を持つ。 |
| 名前: BIConsumers メンバー: BIAuthorsグループおよびOracle WebLogic Server LDAPサーバー・ユーザー・グループ | BI Publisherコンシューマが所属 |
|
次の表は、これらの権限を付与するBI Publisherの権限とアプリケーション・ロールを示しています。このマッピングは、デフォルトのポリシー・ストアに存在します。
注意: 次の表は、対応するデフォルトのアプリケーション・ロールのメンバーシップにより明示的に付与される権限を示しています。権限は、グループやアプリケーション・ロールの階層の結果として継承される場合もあります。権限の継承の詳細は、「権限の付与と継承」を参照してください。
| BI Publisherの権限 | 説明 | 権限を明示的に付与するデフォルトのアプリケーション・ロール |
|---|---|---|
| oracle.bi.publisher.administerServer | 「管理」ページにアクセスして任意のシステム設定を行う権限を付与するための「管理」リンクを使用可能にする。
重要: 共有フォルダへのBIAdministrator権限の付与に必要な手順の詳細は、「BIAdministratorロール・カタログ権限の付与」を参照。 | BIAdministrator |
| oracle.bi.publisher.developDataModel | データ・モデルを作成または編集する権限を付与する。 | BIAuthor |
| oracle.bi.publisher.developReport | レポート、スタイル・テンプレートおよびサブ・テンプレートを作成するための権限を付与する。この権限は、Template BuilderからBI Publisherサーバーへの接続も可能にする。 | BIAuthor |
| oracle.bi.publisher.runReportOnline | レポートを開いて(実行して)、生成されたドキュメントをレポート・ビューアで表示するための権限を付与する。 | BIConsumer |
| oracle.bi.publisher.scheduleReport | ジョブを作成または編集したり、管理および参照したりするための権限を付与する。 | BIConsumer |
| oracle.bi.publisher.accessReportOutput | ジョブ履歴を参照および管理し、出力するための権限を付与する。 | BIConsumer |
| oracle.bi.publisher.accessExcelReportAnalyzer | Analyzer for Excelをダウンロードし、Analyzer for Excelを使用してレポートのデータをExcelにダウンロードするための権限を付与する。ユーザーがAnalyzer for Excelのテンプレートをレポート定義にアップロードして戻せるようにするには、権限oracle.bi.publisher.developReportも付与される必要がある。 | BIConsumer |
| oracle.bi.publisher.accessOnlineReportAnalyzer | Analyzerを起動してデータを操作するための権限を付与する。Analyzerのテンプレートをレポート定義に保存するには、権限oracle.bi.publisher.developReportも付与される必要がある。 | BIConsumer |
| 暗黙的に付与されるBIConsumer権限 | 認証ロールは、デフォルトではBIConsumerロールのメンバーです。そのため、すべての認証ロール・メンバーにはBIConsumerロールの権限が暗黙的に付与される必要があります。 | 認証ロール |
認証ロールは、Oracle Fusion Middlewareセキュリティ・モデルで提供される特別なアプリケーション・ロールであり、このセキュリティ・モデルをデプロイするすべてのアプリケーションで使用できる必要があります。BI Publisherは、認証アプリケーション・ロールを使用して、その認証ロールがメンバーとして属しているロールおよびグループ階層により暗黙的に取得される権限を付与する必要があります。認証ロールは、デフォルトではBIConsumerロールのメンバーであり、すべての認証ロール・メンバーには、BIConsumerロールの権限が暗黙的に付与されます。デフォルトでは、すべての認証ユーザーは自動的にBIConsumersグループに追加されます。認証ロールはobiアプリケーション・ストライプに格納され、BI Publisherのポリシー・ストアでは検索できません。ただし、ポリシー・ストアの管理インタフェースに表示される認証ロールは、アプリケーション・ロールのリストで使用可能であり、別のアプリケーション・ロールのメンバーとして追加できます。認証ロールは、別のユーザー、グループまたはアプリケーション・ロールにマップできますが、認証ロール自体を削除することはできません。認証ロールを削除すると、システムにログインできなくなるので、この権利が明示的に付与される必要があります。
Oracle Fusion Middlewareセキュリティ・モデルと認証ロールの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
BIAdministratorロールには、デフォルトでカタログの読取り権限のみが付与されます。つまり、BIAdministratorが共有フォルダを管理するには、BIAdministratorロールに共有フォルダ・ノードの書込みおよび削除権限が付与されている必要があります。カタログにおける権限の付与の詳細は、「カタログ権限の付与」を参照してください。
認証とは、ユーザーが身元を偽っていないことを確認してアイデンティティを検証するプロセスのことです。Oracle WebLogic Serverの埋込みディレクトリ・サーバーは、デフォルトのセキュリティ構成の認証プロバイダです。ユーザー、グループおよびパスワードは、Oracle WebLogic Server管理コンソールを使用して管理されます。環境の開発やテストにはデフォルトの認証プロバイダを使用するとよいでしょう。本番環境でのベスト・プラクティスは、フル機能の認証プロバイダを使用することです。
注意: ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、システム要件と動作要件のドキュメントを参照してください。いずれのドキュメントもOracle Technology Network(OTN)から入手できます。
インストール中にOracle WebLogic Serverドメインが作成されます。BI Publisherがそのドメインにインストールされ、Oracle WebLogic Serverのセキュリティ・レルムを使用します。セキュリティ・レルムには、複数の認証プロバイダを構成しておくことができますが、一度に1つのプロバイダのみがアクティブになることができます。その優先順位は、リスト内のプロバイダの順序によって決まります。セキュリティ・レルムに認証プロバイダを多数定義しておくことで累積的な効果がもたらされるというわけではなく、リスト内の最初のプロバイダが、認証で必要とされるユーザーやパスワードの全データの情報源となります。この方法により、必要に応じて認証プロバイダを切り替えられるようになります。たとえば、開発環境と本番環境で異なるLDAPサーバーを必要とする場合は、認証に使用されるディレクトリ・サーバーを、管理コンソールで順番を並べ替えることによって変更できます。異なる認証プロバイダの構成方法の詳細は、「新しい認証プロバイダの構成」を参照してください。
Oracle WebLogic Serverでの認証プロバイダの管理の詳細は、オンライン・ヘルプを参照してください。Oracle WebLogic Server管理コンソールにログインして、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプを起動してください。
Oracle WebLogic Serverは自動的にインストールされ、デフォルトの管理サーバーとして機能します。管理コンソールはブラウザベースで、デフォルト認証プロバイダとして構成されている埋込みディレクトリ・サーバーの管理に使用されます。これは、URLをWebブラウザに入力することにより起動されます。デフォルトのURLは、http://hostname:port_number/consoleという形式です。ポート番号は、管理サーバーの番号です。デフォルトのポート番号は7001です。
Oracle WebLogic Server管理コンソールを起動するには:
WebブラウザにURLを入力してOracle WebLogic Serverにログインします。
たとえば、http://hostname:7001/consoleと入力します。管理コンソールのログイン・ページが表示されます。
BI Publisherの管理者ユーザーの名前とパスワードを使用してログインし、「ログイン」をクリックします。
このパスワードは、BI Publisherのインストール時に指定したものです。これらの値が変更されている場合は、現在の管理ユーザーの名前とパスワードを入力します。
管理コンソールで次のような画面が表示されます。
グループの管理は、多数のユーザーを個別に管理するよりも効率的です。ベスト・プラクティスとしては、最初にBI Publisherのすべてのユーザーを、同様のシステム・アクセス要件を持つグループにまとめます。その後、それらのグループを、適切なレベルのアクセスが提供されるアプリケーション・ロールにマップできます。システム・アクセス要件が変更される場合には、アプリケーション・ロールで付与される権限を変更するか、適切な権限を持つ新たなアプリケーション・ロールを作成するだけで済みます。グループが作成された後も、通常どおりに管理インタフェースを使用してアイデンティティ・ストアのユーザー・ディレクトリを追加または削除できます。
デフォルト・ディレクトリ・サーバーでユーザーを作成するには:
Oracle WebLogic Server管理コンソールを起動します(その必要がある場合)
詳細は、「Oracle WebLogic Server管理コンソールへのアクセス」を参照してください。
管理ユーザーとしてログインします。
管理コンソールの左のパネルで「セキュリティ・レルム」を選択して、構成しているセキュリティ・レルムをクリックします。たとえば、「myrealm」です。
「ユーザーとグループ」タブ→「ユーザー」を選択します。「新規」をクリックします。
「新しいユーザーの作成」ページで、次の情報を入力します。
名前: ユーザーの名前を入力します。有効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: ユーザー情報の場所に対応する認証プロバイダをリストから選択します。デフォルトの認証プロバイダの名前は、DefaultAuthenticatorです。
パスワード: ユーザーのパスワード(8文字以上)を入力します。
パスワードの確認: ユーザー・パスワードを再入力します。
「OK」をクリックします。
ユーザー名が「ユーザー」の表に追加されます。
デフォルト・ディレクトリ・サーバーでグループを作成するには:
Oracle WebLogic Server管理コンソールを起動します(その必要がある場合)
詳細は、「Oracle WebLogic Server管理コンソールへのアクセス」を参照してください。
管理ユーザーとしてログインします。
管理コンソールの左のパネルで「セキュリティ・レルム」を選択して、構成しているセキュリティ・レルムをクリックします。たとえば、「myrealm」です。
「ユーザーとグループ」タブ→「グループ」を選択します。「新規」をクリックします。
「新しいグループの作成」ページで、次の情報を入力します。
名前: グループの名前を入力します。グループ名は、大文字と小文字が区別され、一意である必要があります。有効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: グループ情報の場所に対応する認証プロバイダをリストから選択します。デフォルトの認証プロバイダの名前は、DefaultAuthenticatorです。
「OK」をクリックします。
グループ名が「グループ」の表に追加されます。
ユーザーをデフォルト・ディレクトリ・サーバーのグループに追加するには:
Oracle WebLogic Server管理コンソールを起動します(その必要がある場合)
詳細は、「Oracle WebLogic Server管理コンソールへのアクセス」を参照してください。
管理ユーザーとしてログインします。
管理コンソールの左のパネルで「セキュリティ・レルム」を選択して、構成しているセキュリティ・レルムをクリックします。たとえば、「myrealm」です。
「ユーザーとグループ」タブ→「ユーザー」を選択します。「名前」からユーザーを選択します。
「設定」ページから、「グループ」タブを選択して使用可能なグループのリストを表示します。
1つ以上のグループを「使用可能」リストから選択し、シャトル・コントロールを使用してそれらのグループを「選択済み」リストに移動します。
「保存」をクリックします。
ユーザーがグループに追加されます。
デフォルトのディレクトリ・サーバーでユーザー・パスワードを変更するには:
Oracle WebLogic Server管理コンソールを起動します(その必要がある場合)
詳細は、「Oracle WebLogic Server管理コンソールへのアクセス」を参照してください。
管理ユーザーとしてログインします。
管理コンソールの左のパネルで「セキュリティ・レルム」を選択して、構成しているセキュリティ・レルムをクリックします。たとえば、「myrealm」です。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
「ユーザー」の表で、パスワードを変更するユーザーを選択します。
ユーザーの設定ページが表示されます。
「パスワード」タブを選択して、「新しいパスワード」フィールドと「パスワードの確認」フィールドにパスワードを入力します。
「保存」をクリックします。
ユーザーが認証された後のBI Publisherリソースへのアクセスは権限(認可)により制御されます。ポリシー・ストアには、BI Publisherに必要な、システムやアプリケーションに固有のポリシーとロールが含まれます。ポリシー・ストアは、ファイルベースであってもLDAPベースであっても問題はなく、BI Publisherのデフォルトのアプリケーション・ロール、権限、ユーザーおよびグループ間のマッピング定義を保持します。BI Publisherの権限は、アイデンティティ・ストアのユーザーとグループをポリシー・ストア内のアプリケーション・ロールや権限付与とマッピングすることにより付与されます。ユーザーやグループ(アイデンティティ・ストア)とアプリケーション・ロール(ポリシー・ストア)との間のこれらマッピング定義は、ポリシー・ストアにも保存されます。
重要: ベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールにマップすることです。グループのメンバーシップを制御することで、複数のユーザーのアクセス権を個々に追跡する場合の複雑さを軽減できます。グループ・メンバーシップは、アイデンティティ・ストアで制御されます。
system-jazn-data.xmlファイルは、デフォルトのポリシー・ストアとしてインストールおよび構成されます。デフォルトのストアを使用し続け、環境に応じて必要な変更を加えることも、データをLDAPベースのプロバイダに移行することもできます。このリリースでは、Oracle Internet DirectoryがLDAPサーバーとしてサポートされています。
環境内のポリシー・ストアと資格証明ストアは、同じタイプのものである必要があります。つまり、どちらもファイルベースであるか、LDAPベースである必要があります。
権限は、BI Publisherが認識可能な方法で定義される必要があります。有効なBI Publisherの権限はすべて、アプリケーション・ポリシーに事前マップされており、そこからさらにデフォルトのアプリケーション・ロールに事前マップされています。ポリシー・ストアに新しい権限を作成することはできません。ただし、デフォルトのアプリケーション・ポリシーの権限付与やアプリケーション・ロールのマッピングをカスタマイズしたり、独自のものを作成したりすることはできます。
デフォルトのBI Publisherの権限付与の詳細は、「デフォルトのアプリケーション・ロールと権限」を参照してください。アプリケーション・ロールと権限付与のカスタマイズの詳細は、「ポリシー・ストアのカスタマイズ」を参照してください。
Fusion Middleware Controlは、Webブラウザベースのグラフィカル・ユーザー・インタフェースであり、ファームの監視や管理に使用できます。ファームとは、Fusion Middleware Controlで管理されるコンポーネントの集まりです。複数のOracle WebLogic Serverドメイン、1つの管理サーバー、1つ以上の管理対象サーバー、クラスタのほか、ドメインにインストールおよび構成されていて、実行されているOracle Fusion Middlewareのコンポーネントが含まれます。インストール中に、Oracle WebLogicドメインが作成され、BI Publisherがドメインにインストールされます。簡易インストールおよびエンタープライズ・インストールを実行した場合、このドメインはbifoundation_domainという名前で、Fusion Middleware Controlのターゲット・ナビゲーション・ペインのWebLogicドメイン内に配置されます。
WebブラウザにURLを入力してFusion Middleware Controlを起動します。URLには、ホストの名前とインストール時に割り当てられた管理ポート番号が含まれます。このURLは、http://hostname:port_number/emという形式です。デフォルトのポートは7001です。Fusion Middleware Controlの使用の詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
Fusion Middleware Controlの「セキュリティ」メニューを表示するには:
WebブラウザにURLを入力してOracle Enterprise Manager Fusion Middleware Controlにログインします。
例: http://hostname:7001/em
Fusion Middleware Controlのログイン・ページが表示されます。
BI Publisherの管理者ユーザーの名前とパスワードを入力して、「ログイン」をクリックします。
このパスワードは、BI Publisherのインストール時に指定したものです。これらの値が変更されている場合は、現在の管理ユーザーの名前とパスワードを入力します。
ターゲット・ナビゲーション・ペインで「WebLogicドメイン」を開いて「bifoundation_domain」を表示します。次のいずれかの方法で「セキュリティ」メニューを表示します。
「bifoundation_domain」を右クリックして、「セキュリティ」メニューを表示します。「セキュリティ」を選択してサブメニューを表示します。
コンテンツ・ペインから「WebLogicドメイン」メニューを表示して「セキュリティ」を選択します。「セキュリティ」を選択してサブメニューを表示します。
ファイルベースまたはLDAPベースのポリシー・ストアに保持されているBI Publisherのアプリケーション・ポリシーやアプリケーション・ロールを管理するには、Fusion Middleware Controlを使用します。LDAPベース・ポリシー・ストアの構成の詳細は、「新しいポリシー・ストアと資格証明ストアの構成」を参照してください。
注意: オリジナルのsystem-jazn-data.xmlポリシー・ファイルのコピーを作成して安全な場所に置いておくことをお薦めします。必要であれば、オリジナル・ファイルのコピーを使用してデフォルトのポリシー・ストア構成をリストアします。デフォルトのセキュリティ構成を変更すると、望ましくない状態に陥る可能性があります。デフォルトのインストール場所はMW_HOME/user_projects/domain/your_domain/config/fmwconfigです。
一般的なポリシー・ストア管理タスクを次に示します。
アプリケーション・ロールのメンバーシップを変更します。詳細は「アプリケーション・ロールのメンバーシップの変更」を参照してください。
アプリケーション・ロールの権限付与を変更します。詳細は、「アプリケーション・ロールの権限付与の変更」を参照してください。
新しいアプリケーション・ロールを最初から作成します。詳細は、「Fusion Middleware Controlを使用したアプリケーション・ロールの作成」を参照してください。
既存のアプリケーション・ロールに基づいて新しいアプリケーション・ロールを作成します。詳細は、「Fusion Middleware Controlを使用したアプリケーション・ロールの作成」を参照してください。
Fusion Middleware Controlを使用してアプリケーション・ロールのメンバーを追加または削除できます。これらのタスクは、BI PublisherがインストールされているWebLogicドメインで実行する必要があります。たとえば、bifoundation_domainです。
注意: デフォルトのアプリケーション・ロールの権限付与およびメンバーシップを変更するときには、十分に注意してください。変更によりシステムが使用不可能になる可能性があります。
アプリケーション・ロールの有効なメンバーは、ユーザー、グループまたはその他のアプリケーション・ロールです。アプリケーション・ロールのメンバーになるプロセスは、マッピングと呼ばれます。つまり、アプリケーション・ロールにマップされることは、アプリケーション・ロールのメンバーになることです。メンテナンスをより容易にするためのベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールにマップすることです。
アプリケーション・ロールのメンバーを追加または削除するには:
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
「セキュリティ」メニューへの移動の詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横の検索アイコンをクリックします。
BI Publisherのアプリケーション・ロールが表示されます。次の図は、デフォルトのアプリケーション・ロールを示しています。
アプリケーション・ロール名の横のセルを選択し、「編集」をクリックして「アプリケーション・ロールの編集」ページを表示します。次の図では、BIAuthorアプリケーション・ロールが選択されています。
「アプリケーション・ロールの編集」ページでメンバーを追加または削除できます。有効なメンバーは、ロール、グループおよびユーザーです。
次のオプションから選択します。
メンバーを削除するには: 「メンバー」の「名前」から、「削除」ボタンをアクティブにするメンバーを選択します。「削除」をクリックします。
メンバーを追加するには: 追加するメンバーのタイプに対応した「追加」ボタンをクリックします。「アプリケーション・ロールの追加」→「グループの追加」→「ユーザーの追加」から選択します。
メンバーを追加する場合は、「検索」を完了して、使用可能リストから選択します。シャトル・コントロールを使用して、メンバーを選択済フィールドに移動します。「OK」をクリックします。
たとえば、次の図は、「Report_Dev」グループが選択された後の「グループの追加」ダイアログを示しています。
追加されたメンバーは、「アプリケーション・ロール」ページで、変更されたアプリケーション・ロールに対応する「メンバー」列に表示されます。
システムにより使用される資格証明は、単一のセキュアな資格証明ストアに格納されます。Oracle Walletがデフォルトの資格証明ストア・ファイルです(cwallet.sso)。資格証明ストアは、LDAPベースであっても構いません。Oracle Internet DirectoryがこのリリースでサポートされているLDAPサーバーです。LDAPベースの資格証明ストアは、Oracle Enterprise Manager Fusion Middleware ControlまたはWLSTコマンドを使用して構成および管理されます。
各資格証明は、マップ名とキー名により一意に識別されます。各マップには一連のキーが含まれており、各キーが資格証明となります。マップ名とキー名の組合せは、資格証明ストアのすべてのエントリに対して一意である必要があります。次の資格証明マップが、BI Publisherにより使用されます。
oracle.bi.system: BI Publisherプラットフォーム全体にわたる資格証明が含まれます。
oracle.bi.publisher: BI Publisherのみによって使用される資格証明が含まれます。
次の2つのタイプの資格証明がサポートされています。
パスワード: ユーザー名とパスワードをカプセル化します。
汎用: 公開鍵証明書などの、カスタマイズされたデータや任意のトークンがすべてカプセル化されます。
開発環境をすぐに使用できるようにするため、インストール時にデフォルトの資格証明がファイルベースの資格証明ストアに挿入されます。ユーザー・パスワードなどのBI Publisherの資格証明は、アイデンティティ・ストアに格納され、対応する管理インタフェースにより管理されます。
資格証明は、Fusion Middleware Controlで、またはWLSTコマンドを使用して管理できます。これらの方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のドメイン資格証明ストアの管理に関する項を参照してください。
Oracle Business Intelligenceをデータ・ストアとして使用している場合、BI PublisherはBISystemUserとのシステム通信を確立します。BISystemUserのパスワードをアイデンティティ・ストアの管理インタフェースで変更する場合は、資格証明ストア(oracle.bi.system資格証明マップ)でパスワードを変更する必要もあります。これは、デフォルトのBISystemUserに置き換わるカスタム・アプリケーション・ロールを作成した場合にも当てはまることです。資格証明が同期されていないと、コンポーネントが相互に通信できなくなります。Oracle Business Intelligenceによる信頼できるシステム通信のためのBISystemUserの使用の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
デフォルトのセキュリティ構成は、次の方法でカスタマイズできます。
新しい認証プロバイダを構成します。詳細は、「新しい認証プロバイダの構成」を参照してください。
新しいポリシー・ストアと資格証明ストア・プロバイダを構成します。詳細は、「新しいポリシー・ストアと資格証明ストア・プロバイダの構成」を参照してください。
ポリシーと資格証明を、1つのストアから別のストアに移行します。詳細は、「ポリシー・ストアと資格証明ストアの再関連付け」を参照してください。
新しいアプリケーション・ロールを作成します。詳細は、「Fusion Middleware Controlを使用したアプリケーション・ロールの作成」を参照してください。
新しいアプリケーション・ポリシーを作成します。詳細は、「Fusion Middleware Controlを使用したアプリケーション・ポリシーの作成」を参照してください。
アプリケーション・ポリシーに対する権限付与を変更します。詳細は、「アプリケーション・ポリシーに対する権限付与の変更」を参照してください。
サポートされている別のLDAPサーバーを認証プロバイダとして構成することもできます。Oracle WebLogic Server管理コンソールを使用して、BI Publisherでかわりの外部アイデンティティ・ストアが実行されるように構成します。BI Publisherは認証とユーザー移入管理を、BI Publisherが属するドメインに対して構成されている認証プロバイダとアイデンティティ・ストアに委任します。たとえば、Oracle WebLogic Serverのデフォルトの認証プロバイダを使用するように構成されている場合は、Oracle WebLogic Server管理コンソールで管理が実行されます。Oracle Internet Directory(OID)を使用するように構成されている場合は、OID管理ユーザー・インタフェースが使用されます。
デフォルトのセキュリティ構成の一部としてインストールされているものとは異なる認証プロバイダを使用している場合は、「デフォルトのユーザーとグループ」で説明しているデフォルトのユーザーとグループが自動的には存在しません。独自に選択した名前でユーザーやグループを作成することも、デフォルトのユーザー名とグループ名を作成しなおすこともできます(認証プロバイダでサポートされている場合)。この作業が完了した後、BI Publisherのデフォルトのアプリケーション・ロールを別のグループに再度マップする必要があります。たとえば、企業でLDAPサーバーがアイデンティティ・ストアとして使用されており、BI Publisherのデフォルトのユーザーやグループをそのストア内に作成できない場合は、デフォルトのアプリケーション・ロールを企業のLDAPサーバーに固有の別のグループにマップする必要があります。Fusion Middleware Controlを使用して、グループをアプリケーション・ロールにマップします。
異なる認証プロバイダの構成方法の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
ポリシー・ストアと資格証明ストアは、ファイルベースまたはLDAPベースで構成できます。このリリースでその両方のストアに対してサポートされているLDAPサーバーは、Oracle Internet Directoryです。LDAPベースのストアを使用するための前提条件は、ポリシー・ストアと資格証明ストアのいずれであっても同じです。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのポリシー・ストアを使用するためのドメインの構成に関する項を参照してください。
ポリシーや資格証明を1つのセキュリティ・ストアから別のセキュリティ・ストアに移行することを、再関連付けと呼びます。ポリシー・ストアと資格証明ストアのどちらのデータも、ファイルベースのストアからLDAPベースのストアに、またはその逆に再関連付け(移行)できます。
資格証明ストアとポリシー・ストアはどちらも同じタイプのものである必要があり、1つのストアを再関連付けするときにはもう一方のストアも再関連付けする必要があります。
再関連付けおよび資格証明ストアとポリシー・ストアのデータをOracle Internet Directoryに移行するために必要な手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlによるドメイン・ストアの再関連付けに関する項を参照してください。
Fusion Middlewareのセキュリティ・モデルは、独自のアプリケーション・ポリシーとアプリケーション・ロールを作成することにより、環境に合せてカスタマイズできます。既存のアプリケーション・ロールは、必要に応じてメンバーを追加または削除することにより変更できます。既存のアプリケーション・ポリシーは、権限付与を追加または削除することにより変更できます。アプリケーション・ポリシーとアプリケーション・ロールの管理の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
重要: 新しいアプリケーション・ポリシーやアプリケーション・ロールを作成してBI Publisherのデフォルトのセキュリティ構成に追加する前に、権限やグループの継承の仕組みについて理解しておく必要があります。ロール階層を構成するとき重要なのは、循環依存が導入されないようにすることです。ベスト・プラクティスは、デフォルトのセキュリティ構成はそのままにしておいて、カスタマイズされたアプリケーション・ポリシーやアプリケーション・ロールをまずはテスト環境に取り込んでみることです。詳細は、「権限の付与と継承」を参照してください。
新しいアプリケーション・ロールを作成するには、2つの方法があります。
新規に作成: 新しいアプリケーション・ロールが作成されます。複数のメンバーを同時に追加することも、新しいロールに名前を付けて保存しておき、後でメンバーを追加することもできます。
既存のものをコピー: 既存のアプリケーション・ロールをコピーすることにより、新しいアプリケーション・ロールが作成されます。コピーは、オリジナルと同じメンバーを含み、同じアプリケーション・ポリシーの権限受領者となります。コピーを必要に応じて変更して、新しいロールの作成を完了できます。
新しいアプリケーション・ロールを作成するには:
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横の検索アイコンをクリックします。
BI Publisherのアプリケーション・ロールが表示されます。
「作成」をクリックして「アプリケーション・ロールの作成」ページを表示します。すべての情報を一度に入力することも、「ロール名」を入力し、保存しておいて、それ以外のフィールドを後で入力することもできます。各フィールドに次の情報を入力します。
「一般」セクション:
ロール名: アプリケーション・ロールの名前を入力します。
(オプション)表示名: アプリケーション・ロールの表示名を入力します。
(オプション)説明: アプリケーション・ロールの説明を入力します。
「メンバー」セクションで、アプリケーション・ロールにマップされるユーザー、グループまたはアプリケーション・ロールを選択します。「アプリケーション・ロールの追加」、「グループの追加」または「ユーザーの追加」を適宜選択します。表示されたダイアログ・ボックスで次の検索操作を実行します。
「名前」フィールドに名前を入力し、青いボタンをクリックして検索を実行します。
戻された結果を「使用可能」ボックスで選択します。
シャトル・コントロールを使用して希望の名前を「選択済」ボックスに移動します。
「OK」をクリックして「アプリケーション・ロールの作成」ページに戻ります。
すべてのメンバーがアプリケーション・ロールに追加されるまでこの手順を繰り返します。
「OK」をクリックして「アプリケーション・ロール」ページに戻ります。
作成したアプリケーション・ロールがページ下部の表に表示されます。
既存のアプリケーション・ロールに基づいてアプリケーション・ロールを作成する手順は、次のとおりです。
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横の検索アイコンをクリックします。
BI Publisherのアプリケーション・ロールが表示されます。
リストからアプリケーション・ロールを選択してアクション・ボタンを有効にします。
「類似作成」をクリックして、「アプリケーション・ロールの類似作成」ページを表示します。
「メンバー」セクションには、オリジナル・ロールにマップされているのと同じアプリケーション・ロール、グループまたはユーザーが入力されます。
「ロール名」、「表示名」および「説明」の各フィールドに入力します。
次の図は、MyNewRoleと名付けられた、BIAuthorに基づくアプリケーション・ロールの例を示しています。
「追加」および「削除」を使用し、メンバーを必要に応じて変更してから、「OK」をクリックします。
作成されたアプリケーション・ロールは、ページ下部の表に表示されます。次の図は、デフォルトのアプリケーション・ロールBIAuthorに基づいたMyNewRoleの例を示しています。
BI Publisherの権限はすべて提供されており、ユーザーが新しい権限を作成することはできません。権限付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページで制御されます。権限付与は、アプリケーション・ポリシーで定義されます。アプリケーション・ロール、ユーザー、またはグループが、その後アプリケーション・ポリシーにマップされます。このプロセスによって、アプリケーション・ロール、ユーザーまたはグループがアプリケーション・ポリシーの「権限受領者」となります。
新しいアプリケーション・ポリシーを作成するには、2つの方法があります。
新規に作成: 新しいアプリケーション・ポリシーが作成され、権限が追加されます。
既存のものをコピー: 既存のアプリケーション・ポリシーをコピーすることにより、新しいアプリケーション・ポリシーが作成されます。コピーに名前が付けられて既存の権限が削除されるか、必要に応じて権限が追加されます。
新しいアプリケーション・ポリシーを作成するには:
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「権限」の横の検索アイコンをクリックします。
BI Publisherのアプリケーション・ポリシーが表示されます。「プリンシパル」列にポリシー「権限受領者」の名前が表示されます。
「作成」をクリックして「アプリケーション権限の作成」ページを表示します。
作成するポリシーにパーミッションを追加するには、「権限」領域の「追加」をクリックして、「権限の追加」ダイアログ・ボックスを表示します。
「検索」領域の入力が完了したら、「リソース名」フィールドの横の青い検索ボタンをクリックします。
obiアプリケーション・ストライプにあるすべての権限が表示されます。BI Publisherの権限の詳細は、「デフォルトのアプリケーション・ロールと権限」を参照してください。
希望のBI Publisherの権限を選択して「OK」をクリックします。希望の権限がすべて選択されるまで手順を繰り返します。BI Publisher以外の権限を選択しても、ポリシーには何の効果も及ぼしません。
いずれかの項目を削除するには、その項目を選択して「削除」をクリックします。
「アプリケーション権限の作成」ページに戻ります。選択された権限が「権限」領域に表示されます。
作成するポリシーにアプリケーション・ロールを追加するには、「権限受領者」領域の「アプリケーション・ロールの追加」をクリックして、「アプリケーション・ロールの追加」ダイアログを表示します。
「検索」領域の入力が完了したら、「リソース名」フィールドの横の青い検索ボタンをクリックします。
「使用可能なロール」リストからいずれかのロールを選択し、シャトル・コントロールを使用してそれを「選択したロール」に移動します。
「OK」をクリックします。
「アプリケーション・ポリシー」ページに戻ります。作成したポリシーの「プリンシパル」(権限受領者)および「権限」が表に表示されます。
既存のアプリケーション・ポリシーに基づいてアプリケーション・ポリシーを作成する手順は、次のとおりです。
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「権限」の横の検索アイコンをクリックします。
BI Publisherのアプリケーション・ポリシーが表示されます。「プリンシパル」列にポリシー「権限受領者」の名前が表示されます。
表から既存のポリシーを選択します。
たとえば、次の図では、プリンシパルBIAuthor(権限受領者)が選択されており、「類似作成」ボタンが有効になっています。
「類似作成」をクリックして「アプリケーション権限の類似作成」ページを表示します。「権限」の表に、選択されたポリシーにより付与される権限の名前が表示されます。
いずれかの項目を削除するには、その項目を選択して「削除」をクリックします。
ポリシーにアプリケーション・ロールを追加するには、「権限受領者」領域の「アプリケーション・ロールの追加」をクリックして、「アプリケーション・ロールの追加」ダイアログを表示します。
次の図は、MyNewRoleアプリケーション・ロールの例を示しています。
「検索」領域の入力が完了したら、「リソース名」フィールドの横の青い検索ボタンをクリックします。
「使用可能なロール」のリストからロールを選択し、シャトル・コントロールを使用してそのロールを「選択したロール」に移動します。選択されたアプリケーション・ロールが「アプリケーション権限の類似作成」ページに「権限受領者」として追加され、表示されます。
「OK」をクリックします。
「アプリケーション・ポリシー」ページに戻ります。作成したポリシーの「プリンシパル」および「権限」が表に表示されます。
アプリケーション・ポリシーによって付与される権限のうち、1つ以上の権限を変更できます。
アプリケーション・ポリシーの権限付与を追加または削除するには:
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横の検索アイコンをクリックします。
BI Publisherのアプリケーション・ポリシーが表示されます。「プリンシパル」列にポリシー「権限受領者」の名前が表示されます。
「プリンシパル」列からアプリケーション・ロールの名前を選択して、「編集」をクリックします。
「アプリケーション権限の編集」ビューで権限を追加または削除し、「OK」クリックして変更を保存します。
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアプリケーション・ポリシーの管理に関する項を参照してください。
Copyright © 2010, 2011, Oracle and/or its affiliates. All rights reserved.