Oracle Fusion Middleware Oracle Business Intelligence Publisher管理者および開発者ガイド リリース11g(11.1.1) 部品番号: B63037-01 | 目次 | 前 | 次 |
この章では、次のトピックについて説明します。
この章では、Oracle BI Publisherのスタンドアロン実装(Oracle Business Intelligence Enterprise Edition外でのインストール)でのセキュリティの概要とオプションについて説明します。次のことに注意してください。
Oracle BI Enterprise Editionをインストールしてある場合のセキュリティの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
BI Publisherを単独でインストールしてあり、Oracle Fusion Middlewareセキュリティを使用する場合は、「Oracle Fusion Middlewareセキュリティ・モデルの構成」を参照してください。次のトピックがこの章に関連しています。
BI Publisherを次のOracleセキュリティ・モデルを使用して構成します。
Oracle BI Serverセキュリティ
Oracle E-Business Suiteセキュリティ
Oracle Databaseセキュリティ
Siebel CRMセキュリティ
「他のOracleセキュリティ・モデルとの統合」を参照してください。
この章の情報を使用して、次を構成します。
BI Publisher(固有の)セキュリティ
外部LDAPプロバイダとの統合
注意: Oracle WebLogicサーバーでサポートされているアイデンティティ・ストア・プロバイダを、BI Publisherで使用するように構成できます。代替の外部アイデンティティ・ストアを使用するようにBI Publisherを構成するには、Oracle WebLogic Server管理コンソールを使用します。この構成の詳細は、「デフォルト・セキュリティ構成のカスタマイズ」を参照してください。
シングル・サインオン・プロバイダとの統合
ユーザーには1つまたは複数のロールが割り当てられます。ロールを介し、次のいずれかまたはすべての権限を付与できます。
機能を使用する権限
カタログ・オブジェクトにアクションを実行する権限
データソースへのアクセス権
ロールを別のロールに割り当てることによって、ロールの階層を作成できます。この方法で、複数のロール権限を上位レベルのロールまでロールアップできます。次の図に、ユーザー、ロールおよびフォルダの階層構造の例を示します。
ユーザーおよびロールを設定するには、次の3つのオプションがあります。
BI Publisherセキュリティ・センターでのユーザーおよびロールの設定
このオプションを使用する場合は、この項の指示に従ってください。
既存のLDAPサーバーを使用したBI Publisherの構成
このオプションを使用する場合は、「外部LDAPプロバイダを使用するためのBI Publisherの構成」を参照してください。
サポートされているOracleセキュリティ・モデルでのユーザーおよびロールの設定。このオプションを使用する場合は、「他のOracleセキュリティ・モデルとの統合」を参照してください。
BI Publisherには、アプリケーション内の特定の機能に対してアクセス権を付与するための機能ロールのセットが用意されています。ユーザーには、関連するタスクを実行する必要があるかどうかに基づいてロールを割り当てます。これらのロールは更新または削除できません。
次の表に、各機能ロールに付与されている権限を示します。
ロール | 権限 |
---|---|
BI Publisher Excelアナライザ | 表示 エクスポート 履歴(パブリック・レポートのみ) Excelアナライザに対するアクセス権の付与 |
BI Publisherオンライン・アナライザ | 表示 エクスポート 履歴(パブリック・レポートのみ) オンライン・アナライザに対するアクセス権の付与 |
BI Publisherスケジューラ | 表示 エクスポート 履歴 スケジュール |
BI Publisherテンプレート・デザイナ | 表示 エクスポート 履歴(パブリック・レポートのみ) レイアウト・エディタへのアクセスの許可 Template Builderからのログオンの許可 |
BI Publisherデベロッパ | 表示 エクスポート スケジュール 履歴 レポートの編集 レイアウト・エディタへのアクセスの許可 Template Builderからのログオンの許可 データ・モデル・エディタへのアクセスの許可 |
BI Publisher管理者 | その他すべてのロールの権限の許可 「管理」ページおよびすべての管理タスクへのアクセス権の付与 |
これらの権限を割り当てられたロールは、カタログ・オブジェクトに対する権限が付与されるまで、オブジェクトに対して何のアクションも実行できません。
前述の機能ロールで許可されたアクションを実行するには、ロールに、カタログのオブジェクトへのアクセス権も付与されている必要があります。
フォルダ内のすべてのアイテムに対して操作を可能にするために、これらの各権限はフォルダ・レベルで付与できます。
権限 | 説明 |
---|---|
読取り | ロールに対してカタログのオブジェクトの表示を許可します。このオブジェクトがフォルダ内にある場合は、ロールには、オブジェクトとその親フォルダに対する読取り権限を付与する必要があります。 |
書込み | ロールに対してオブジェクトの編集を許可します。 オブジェクトのフォルダへの保存やフォルダ内のオブジェクトの編集を行うために、フォルダに対する書込み権限をロールに付与する必要があります。 また、特定のオブジェクトを編集できるようにするために、次のロールのいずれかを付与する必要もあります。
|
削除 | ロールに対してオブジェクトの削除を許可します。 |
レポート・オンラインの実行 | ロールに対してレポートの実行とレポート・ビューアでのレポートの表示を許可します。 |
レポートのスケジュール | ロールに対してレポートのスケジュールを許可します。 |
レポート出力の表示 | ロールに対してレポートのレポート・ジョブ履歴へのアクセスを許可します。 |
レポート・コンシューマがレポートを正常に実行できるようにするためには、コンシューマのロールに、レポートで参照されるすべてのオブジェクトに対する読取りアクセス権が付与されている必要があることに注意してください。
たとえば、レポート・コンシューマがReportsというフォルダにあるレポートを実行する必要があるとします。このレポートは、Sub Templatesというフォルダ内のサブ・テンプレートを参照し、また、Style Templatesというフォルダ内のスタイル・テンプレートも参照します。レポート・コンシューマのロールには、これらすべてのフォルダとそれに含まれる適切なオブジェクトへの読取りアクセス権が付与されている必要があります。
各種権限の動作について次のルールを理解しておくことが重要です。
機能権限が割り当てられたロールは、カタログ権限が割り当てられるまで、何のアクションも実行できません。
ロールには、機能権限を割り当てることなく、カタログ・オブジェクトに対する権限セットを割り当てることができます。
ロールに機能権限がすでに割り当てられている場合に、カタログ権限が割り当てられると、一部の権限が継承されます。
機能ロールが割り当てられたロールは、カタログ権限が割り当てられるまで、何のアクションも実行できません。機能ロール自体(BI Publisherデベロッパ、BI Publisherスケジューラなど)には、カタログの権限を直接割り当てることはできません。まず、機能ロールをカスタム・ロールに割り当てる必要があります。割り当てると、このカスタム・ロールがカタログ権限の表で利用可能になります。
カタログで直接利用可能な権限を使用すると、レポートの実行、レポートのスケジュール、およびレポート出力の表示ができます。したがって、レポートの実行と表示以外にBI Publisherにアクセスする理由を持たないレポート・コンシューマが企業に存在する場合は、このユーザーのロールはカタログ権限のみで構成されます。
ロールに機能ロールのいずれかがすでに割り当てられている場合に、カタログの特定のフォルダに対する権限が付与されると、機能ロールに基づいて一部の権限が自動的に付与されます。
たとえば、財務レポート・デベロッパというロールを作成するとします。このロールにBI Publisherデベロッパ・ロールを割り当てます。このロールを使用して、カタログ内のFinancial Reportsフォルダにレポートを作成するためには、このフォルダに対する読取り、書込み、削除の権限をロールに付与する必要があります。BI Publisherデベロッパ・ロールには、レポートの実行、レポートのスケジュールおよびレポート履歴の表示の権限が含まれているため、BI Publisherデベロッパ・ロールが割り当てられたロールが読取りアクセス権を持つフォルダに対して、これらの権限が自動的に付与されます。
データソースに対して実行されるレポートを表示したり、データソースを使用するデータ・モデルを構築または編集するには、データソースに対するアクセス権をロールに付与する必要があります。データソースに対するアクセス権は、「ロールと権限」ページで追加します。「データ・アクセス権の付与」を参照してください。
BI Publisherで新しいロールを作成するには:
BI Publisherの「管理」ページにナビゲートします。
「セキュリティ・センター」で「ロールと権限」をクリックします。
「ロールの作成」をクリックします。
ロールの名前を入力し、オプションで説明を入力します。
「適用」をクリックします。
「ロールの割当て」をクリックし、ロールをユーザーに割り当てます。
シャトル・ボタンを使用して、目的のロールを「使用可能なロール」から「割当済ロール」リストに移動し、「適用」をクリックします。
ロールを別のロールに追加するには、「ロールの追加」をクリックします。
シャトル・ボタンを使用して、目的のロールを「使用可能なロール」から「含まれているロール」リストに移動し、「適用」をクリックします。
データソースをロールに追加するには、「データ・アクセス権の付与」を参照してください。
BI Publisherで新しいユーザーを作成するには:
BI Publisherの「管理」ページにナビゲートします。
「セキュリティ・センター」で「ユーザー」をクリックします。
「ユーザーの作成」をクリックします。
ユーザーの「ユーザー名」と「パスワード」を追加します。
「適用」をクリックします。
「ロールの割当て」をクリックし、ロールをユーザーに割り当てます。
シャトル・ボタンを使用して、目的のロールを「使用可能なロール」から「割当済ロール」リストに移動し、「適用」をクリックします。
ロールからカタログのオブジェクトにアクセスするには、そのロールにオブジェクトとそのオブジェクトが含まれているフォルダの両方に対する読取り権限が付与されている必要があります。権限はフォルダ・レベルで付与できるので、フォルダに含まれているオブジェクトとサブフォルダすべてに適用することも、個々のオブジェクトに適用することもできます。
カタログ権限をロールに付与するには:
カタログにナビゲートします。
権限を付与するフォルダやオブジェクトを選択し、「詳細」をクリックします。メニューから「権限」を選択します。または、該当のフォルダを選択し、「タスク」リージョンで「権限」をクリックします。
注意: ルート共有フォルダに対して権限を付与することはできません。
「権限」ダイアログ・ボックスで、「作成」をクリックします。
「ロールの追加」ダイアログ・ボックスで、検索文字列を入力してロールを検索するか、「検索」をクリックしてすべてのロールを表示します。シャトル・ボタンを使用してロールを「使用可能なロール」リストから「選択済ロール」リストに移動します。
完了したら、「OK」をクリックして、「権限」ダイアログ・ボックスに戻ります。
「権限」ダイアログ・ボックスで、ロールで必要な権限を構成します。
次の点に注意してください。
レポート・デベロッパ・ロールの横のアイコンは、このロールにBI Publisherの機能ロールのいずれか1つ(この場合は、BI Publisherデベロッパ・ロール)が割り当てられていることを示しています。
レポート・デベロッパ・ロールにこのフォルダに対するアクセス権が割り当てられると、BI Publisherデベロッパ・ロールが保持する権限に基づいて、レポート・オンラインの実行、レポートのスケジュール、レポート出力の表示という権限が自動的に付与されます。
フォルダに権限を付与するときに、その権限をすべてのオブジェクトに適用する場合は、「このフォルダ内の項目への権限の適用」を選択します。
ロールで次のことを実行する必要がある場合には、データソースに対するアクセス権をロールに付与する必要があります。
データソースからデータを取得するデータ・モデルに基づいて作成されたレポートの実行またはスケジュール
データソースからデータを取得するデータ・モデルの作成または編集
ロールにデータソースへのアクセス権限を付与するには:
BI Publisherの「管理」ページにナビゲートします。
「セキュリティ・センター」で「ロールと権限」をクリックします。
「ロールと権限」ページで、該当のロールを選択し、「データソースの追加」をクリックします。
「データソースの追加」ページには、次の各タイプのデータソースのリージョンが表示されます。
データベース接続
ファイル・ディレクトリ
LDAP接続
OLAP接続
シャトル・ボタンを使用して、目的のデータソースを「使用可能なデータソース」リストから「許可されたデータソース」リストに移動します。
完了したら、「適用」をクリックします。
権限はカタログ内で付与されるため、組織にロールを作成する場合やカタログを構築する場合には、この設計を認識していることが非常に重要です。
たとえば、組織に次のロールが必要であるとします。
ロール | 必要な権限 |
---|---|
売上レポート・コンシューマ | 営業部門のレポートを表示およびスケジュールする権限。 |
財務レポート・コンシューマ | 財務部門のレポートを表示およびスケジュールする権限。Excelアナライザに対するアクセス権。 |
エグゼクティブ・レポート・コンシューマ | 売上レポートと財務レポートの両方に加え、エグゼクティブ・レベルのレポートを使用する権限。 |
売上レポート・デベロッパ | 営業部門専用のデータ・モデルとレポートを作成する権限。 |
財務レポート・デベロッパ | 財務部門専用のデータ・モデルとレポートを作成する権限。一部のレポートをExcelアナライザを使用して作成する権限。 |
レイアウト・デザイナ | すべてのレポートのレポート・レイアウトを設計する権限。 |
カタログは次のように設定できます。
フォルダ | 内容 |
---|---|
Sales Reports | 売上レポート・コンシューマ用のすべてのレポート。売上レポートに関連するサブ・テンプレートとスタイル・テンプレートも含まれます。 |
Sales Data Models | 売上レポートのすべてのデータ・モデル。 |
Financials Reports | 財務レポート・コンシューマ用のすべてのレポート。財務レポートに関連するサブ・テンプレートとスタイル・テンプレートも含まれます。 |
Financials Data Models | 財務レポートのすべてのデータ・モデル。 |
Executive Reports | エグゼクティブレベルのすべてのレポートとデータ・モデル。 |
ロールの設定は次のとおりです。
ロール構成の例
売上レポート・コンシューマ:
カタログ権限を付与します。
Sales Reportsフォルダに売上レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポート・オンラインの表示
「このフォルダ内の項目への権限の適用」の選択
Sales Data Modelsフォルダに売上レポート・コンシューマを追加し、次の権限を付与します。
読取り
データ・アクセス権を付与します。
「ロール」ページで、ロールを選択し、「データソースの追加」をクリックします。
財務レポート・コンシューマ:
ロールを割り当てます。
「ロール」タブで、財務レポート・コンシューマにBI Publisher Excelアナライザ・ロールを割り当てます。
カタログ権限を付与します。
Financials Reportsフォルダに財務レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポート・オンラインの表示
「このフォルダ内の項目への権限の適用」の選択
Financials Data Modelsフォルダに財務レポート・コンシューマを追加し、次の権限を付与します。
読取り
データ・アクセス権を付与します。
「ロール」ページで、ロールを選択し、「データソースの追加」をクリックします。財務レポートで使用されるデータソースをすべて追加します。
エグゼクティブ・レポート・コンシューマ:
ロールを割り当てます。
「ロール」タブで、エグゼクティブ・レポート・コンシューマに売上レポート・コンシューマ・ロールと財務レポート・コンシューマ・ロールを割り当てます。
カタログ権限を付与します。
Executive Reportsフォルダにエグゼクティブ・レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポート・オンラインの表示
「このフォルダ内の項目への権限の適用」の選択
データ・アクセス権を付与します。
「ロール」タブで、ロールを選択し、「データソースの追加」をクリックします。エグゼクティブ・レポートで使用されるデータソースをすべて追加します。
売上レポート・デベロッパ
ロールを割り当てます。
「ロール」タブで、売上レポート・コンシューマにBI Publisherデベロッパ・ロールとBI Publisherテンプレート・デザイナ・ロールを割り当てます。
データ・アクセス権を付与します。
「ロール」タブで、売上レポート・デベロッパを選択し、「データソースの追加」をクリックします。売上データ・モデルを構築するデータソースをすべて追加します。
カタログ権限を付与します。
カタログで、Sales Data Modelsフォルダに売上レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
Sales Reportsフォルダに売上レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
財務レポート・デベロッパ:
ロールを割り当てます。
「ロール」タブで、財務レポート・デベロッパにBI Publisherデベロッパ・ロール、BI Publisher Excelアナライザ・ロールおよびBI Publisherテンプレート・デザイナ・ロールを割り当てます。
データ・アクセス権を付与します。
「ロール」タブで、財務レポート・デベロッパを選択し、「データソースの追加」をクリックします。財務データ・モデルを構築するデータソースをすべて追加します。
カタログ権限を付与します。
カタログで、Financials Data Modelsフォルダに財務レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
Financials Reportsフォルダに財務レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
レイアウト・デザイナ
ロールを割り当てます。
「ロール」タブで、レイアウト・デザイナにBI Publisherテンプレート・デザイナ・ロールとBI Publisherデベロッパ・ロールを割り当てます。
カタログ権限を付与します。
カタログで、Financials Data ModelsフォルダとSales Data Modelsフォルダに、レイアウト・デザイナ・ロールを追加し、次の権限を付与します。
読取り
Financials ReportsフォルダとSales Reportsフォルダに、レイアウト・デザイナを追加し、次の権限を付与します。
読取り、書込み、削除
BI Publisherは、ユーザーおよびレポート・アクセスを管理するためにLDAPプロバイダと統合できます。LDAPサーバー内にユーザーとロールを作成し、LDAPサーバーにアクセスするようにBI Publisherサーバーを構成します。
BI Publisherのセキュリティ・センター・モジュールで、これらのロールにフォルダを割り当てます。サーバーにログインしたユーザーは、LDAPロールに割り当てられているフォルダおよびレポートにアクセスできます。
BI PublisherサーバーをOracle LDAPと統合する場合、3つの主要なタスクがあります。
LDAPプロバイダでのユーザーとロールの設定
LDAPサーバーが認識されるようにするためのBI Publisherの構成
ロールへのカタログ権限とデータ・アクセス権の割当て
サポート対象のLDAPサーバーでサポートされているハードウェアとソフトウェアの最新情報の詳細は、「システム要件と動作要件」を参照してください。
LDAPプロバイダで次の手順を実行してください。この手順の実行方法の詳細は、プロバイダが提供するドキュメントを参照してください。
LDAPプロバイダのドメイン・ルート・ノードで、次のロールを作成してBI Publisherと統合します。必要な機能ロールの詳細は、「ユーザーおよびロールの概要」を参照してください。
BI Publisherシステム・グループ | 説明 |
---|---|
XMLP_ADMIN | BI Publisherサーバーの管理者ロール。 LDAPサーバーへのアクセスに使用する管理者アカウントにXMLP_ADMINグループを割り当てる必要があります。 |
XMLP_DEVELOPER | レポートとデータ・モデルを作成および編集できるロール。 |
XMLP_SCHEDULER | レポートをスケジュールできるロール。 |
XMLP_ANALYZER_EXCEL | Excelアナライザ機能を使用できるロール。 |
XMLP_ANALYZER_ONLINE | オンライン分析機能(オンライン・アナライザ)を使用できるロール。 |
XMLP_TEMPLATE_BUILDER | Template Builder for WordからBI Publisherサーバーに接続してテンプレートのアップロードとダウンロードができるロール。BI Publisherレイアウト・エディタを使用してレイアウトを設計できるロール。 |
実装内容に応じて、その他の機能ロール(例: HRマネージャ、倉庫担当者または営業マネージャ)を作成し、適切なBI Publisher機能ロールを割り当てます。
ロールをユーザーに割り当てます。
重要: 管理者アカウントにXMLP_ADMINロールを割り当ててください。
LDAPサーバーを認識するようにBI Publisherサーバーを構成するには、BI Publisherの「管理」ページでセキュリティ・プロパティを次のように更新します。
「管理」ページの「セキュリティ・センター」で、「セキュリティ構成」をクリックします。
ローカル・スーパーユーザーを作成します。
スーパーユーザー名とパスワードを入力し、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択します。ローカル・スーパーユーザーを有効化すると、セキュリティ・モデルの構成エラーが発生した場合でも、BI Publisherの「管理」ページにアクセスできます。
「セキュリティ・モデル」リージョンまでスクロールして、「セキュリティ・モデル」に「LDAP」を選択します。
次を入力します。
URL
例: ldap://example.com:389/
重要: SSL経由でLDAPを使用している場合は、次のことに注意してください。
プロトコルはldapsです。
デフォルト・ポートは636です。
URLは、たとえばldaps://example.com:636/のようになります。
管理者ユーザー名
例: orcladmin
管理者パスワード
例: welcome
ユーザーの識別名
例: cn=Users,dc=example,dc=com
重要: 識別名の値では大文字と小文字が区別されるので、LDAPサーバーの設定と一致させる必要があります。
グループの識別名
例: cn=Groups,dc=us,dc=oracle,dc=com
デフォルト値は、cn=OracleDefaultDomain,cn=OracleDBSecurity,cn=Products,cn=OracleContext,dc=example,dc=comです。
グループ検索フィルタ
デフォルト値は、(&(objectclass=groupofuniquenames)(cn=*))です。
グループ属性名
デフォルト値は、cnです。
グループ・メンバー属性名
デフォルト値は、uniquememberです。
グループのメンバー属性名
(オプション)memberOf属性がユーザーとグループに使用可能な場合にのみ、この属性を設定します。この属性が使用可能な場合は、グループ・メンバー属性は必要ありません(例: memberOfまたはwlsMemberOf)。
グループ説明属性名
デフォルト値はdescriptionです。
JNDIコンテキスト・ファクトリ・クラス
デフォルト値は、com.sun.jndi.ldap.LdapCtxFactoryです。
グループ取得ページ・サイズ
この値を設定すると、検索結果の単純なページング処理でLDAPv3制御拡張機能をサポートできます。デフォルトでは、ページ区切りは使用されません。この値により、1ページに返される結果の数(たとえば、200)が決まります。この機能をサポートするには、ご使用のLDAPサーバーでは1.2.840.113556.1.4.319のコントロール・タイプがサポートされている必要があります(OID 10.1.4など)。このコントロール・タイプのサポートの詳細は、ご使用のLDAPサーバーのドキュメントを参照してください。
LDAPページ区切りと必要なコントロール・タイプの詳細は、「RFC 2696 - LDAP Control Extension for Simple Paged Results Manipulation」(http://www.faqs.org/rfcs/rfc2696.html)を参照してください。
ログイン・ユーザー名に使用される属性
ログイン・ユーザー名の値を指定する属性を入力します。これは、相対識別名(RDN)としても知られています。この値のデフォルト値はcnです。
LDAPキャッシュを自動的にクリア: 指定した間隔でLDAPキャッシュの自動リフレッシュをスケジュールするには、このボックスを選択します。このボックスを選択すると、次のフィールドが追加で有効になります。
「LDAPキャッシュ間隔」に整数を入力します。たとえば、LDAPキャッシュを1日に1回消去するには、1を入力します。
「LDAPキャッシュ間隔単位」で「日」、「時間」または「分」の内、適切なものを選択します。
デフォルトのユーザー・グループ名
(オプション)フォルダ、レポートまたはその他のカタログ・オブジェクトのセットへのアクセスをすべての認証ユーザーに許可するための要件がサイトに備わっている場合は、このオプションを使用します。ここに入力するユーザー・グループ名は、すべての認証ユーザーに追加されます。このデフォルトのユーザー・グループに割り当てるカタログ権限やデータソース権限は、すべてのユーザーに付与されます。
データ問合せバインド変数の属性名
(オプション)データ問合せでバインド変数として使用される属性値を設定するには、このプロパティを使用します。LDAP属性名を複数入力する場合は、memberOf, primaryGroupID, mailのようにカンマで区切って入力します。
Oracle Fusion Middleware Oracle Business Intelligence Publisherデータ・モデリング・ガイドのLDAPユーザー属性からのバインド変数の作成に関する項を参照してください。
BI Publisherサーバーを再起動します。
次の図に、「セキュリティ構成」ページにおけるLDAPセキュリティ・モデルの入力フィールドの例を示します。
SSL経由でLDAPを使用するようにBI Publisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。詳細は、「Secure Socket Layer(SSL)通信用のBI Publisherの構成」を参照してください。
LDAPプロバイダでXMLP_ADMINロールが割り当てられているユーザーとしてBI Publisherにログインします。
「管理」ページで、「ロールと権限」をクリックします。
LDAPプロバイダで作成し、XMLP_の各種ロールを割り当てたロールが表示されます。次のことに注意してください。
XMLP_Xロールは、LDAPインタフェースを介して制御されるため表示されません。
「ユーザー」タブは、「セキュリティ・センター」で使用できなくなりました。ユーザーはLDAPインタフェースで管理します。
ロールは、BI Publisherインタフェースで更新できません。ただし、データソースの追加は可能です。
「データソースの追加」をクリックしてBI Publisherデータソースをロールに追加します。データソースからレポートを実行したりデータ・モデルを構築するためには、そのデータソースに対するアクセス権がロールに割り当てられている必要があります。詳細は、「データ・アクセス権の付与」を参照してください。
カタログ権限をロールに付与します。ロールへのカタログ権限の付与の詳細は、「カタログ権限について」および「カタログ権限の付与」を参照してください。
これで、LDAPユーザー名とパスワードを使用して、ログインできるようになりました。
Microsoft Active Directoryでは、LDAPインタフェースをサポートしているため、LDAPセキュリティを使用することにより、BI Publisherと組み合せて構成できます。
BI Publisherへのアクセスが必要なユーザーを追加します。
ドメイン・ルート内のUsersまたはその他の組織単位でユーザーを追加します。
BI Publisherのシステム・グループを追加します。グループのスコープは、ドメイン・ローカルです。
次のグループをBI Publisherのシステム・グループとして追加します。
BI Publisherシステム・グループ | 説明 |
---|---|
XMLP_ADMIN | BI Publisherサーバーの管理者ロール。 LDAPサーバーへのアクセスに使用する管理者アカウントにXMLP_ADMINグループを割り当てる必要があります。 |
XMLP_DEVELOPER | レポートとデータ・モデルを作成および編集できるロール。 |
XMLP_SCHEDULER | レポートをスケジュールできるロール。 |
XMLP_ANALYZER_EXCEL | Excelアナライザ機能を使用できるロール。 |
XMLP_ANALYZER_ONLINE | オンライン分析機能(オンライン・アナライザ)を使用できるロール。 |
XMLP_TEMPLATE_BUILDER | Template Builder for WordからBI Publisherサーバーに接続してテンプレートのアップロードとダウンロードができるロール。BI Publisherレイアウト・エディタを使用してレイアウトを設計できるロール。 |
BI Publisherのシステム・グループをグローバル・グループまたはユーザーに付与します。
BI Publisherのシステム・グループは、ユーザーに直接付与することもグローバル・グループを介して付与することもできます。
例1: ユーザーへのBI Publisher管理者ロールの付与
「Active Directory ユーザーとコンピュータ」で、XMLP_ADMINグループを開いて「メンバー」タブをクリックします
「追加」をクリックして、BI Publisher管理者権限が必要なユーザーを追加します。
例2: ユーザーへのレポートのスケジュール機能へのアクセス権の付与
HR管理者グローバル・グループは、「ユーザー」で定義します。
このグループのすべてのユーザーがレポートをスケジュールする必要があります。
そのためには、HR管理者をXMLP_SCHEDULERグループのメンバーとして追加します。
「管理」ページで、「セキュリティ構成」をクリックします。
ローカル・スーパーユーザーをまだ構成していない場合は、設定します。セキュリティ構成が失敗した場合でも、スーパーユーザーの資格証明を使用してBI Publisherにログインできるため、この設定は非常に重要です。
このページの「セキュリティ・モデル」リージョンで、「セキュリティ・モデル」リストからLDAPを選択します。
前の項「LDAPプロバイダを使用するためのBI Publisherの構成」の説明に従ってActive Directoryサーバーの詳細を入力します。その際には、Active Directoryに関する次の特定の情報に注意してください。
「グループ検索フィルタ」でobjectclassをgroupに設定します。
「グループのメンバー属性名」をmemberOfに設定します(「グループのメンバー属性名」は空白のままにできます)。
「ログイン・ユーザー名に使用される属性」をsAMAccountNameに設定します。
SSL経由でLDAPを使用している場合は、次のことに注意してください。
プロトコルはldapsです。
デフォルト・ポートは636です。
URLは、たとえばldaps://example.com:636/のようになります。
次の図は構成例を示しています。前述の推奨設定には印が付いています。
BI Publisherアプリケーションを再起動します。
SSL経由でLDAPを使用するようにBI Publisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。詳細は、「Secure Socket Layer(SSL)通信用のBI Publisherの構成」を参照してください。
「Active Directory ユーザーとコンピュータ」→ユーザー・プロパティ→「アカウント」で定義されているユーザー・ログイン名は、BI Publisherのログイン名に使用されます。BI Publisherにログインするためにドメインをユーザー名に追加します(例: scott_tiger@domainname.com)。
次の点に注意してください。
「ログイン・ユーザー名に使用される属性」には、userPrincipalNameではなくsAMAccountNameを指定できます。
BI Publisherログイン・ユーザー名にユーザー・ログオン名(Windows 2000以前)の使用が必要である場合は、「ログイン・ユーザー名に使用される属性」にsAMAccountNameを使用する必要があります。
ユーザー名はすべての組織単位を通じて一意である必要があります。
Active DirectoryでXMLP_ADMINロールが割り当てられているユーザーとしてBI Publisherにログインします。
「管理」ページで、「ロールと権限」をクリックします。
Active Directoryで作成し、XMLP_の各種ロールを割り当てたロールが表示されます。次のことに注意してください。
XMLP_Xロールは、Active Directoryインタフェースを介して制御されるため表示されません。
「ユーザー」タブは「セキュリティ・センター」で使用できなくなりました。ユーザーはActive Directoryで管理します。
ロールは、BI Publisherインタフェースで更新できません。ただし、データソースの追加は可能です。
「データソースの追加」をクリックしてBI Publisherデータソースをロールに追加します。データソースからレポートを実行したりデータ・モデルを構築するためには、そのデータソースに対するアクセス権がロールに割り当てられている必要があります。詳細は、「データ・アクセス権の付与」を参照してください。
カタログ権限をロールに付与します。ロールへのカタログ権限の付与の詳細は、「カタログ権限について」および「カタログ権限の付与」を参照してください。
シングル・サインオン(SSO)ソリューションの統合により、ユーザーはログオン(サインオン)と認証をブラウザ・セッションごとに1回するだけで済むようになります。その後、認証ユーザーには、そのユーザーに付与されている権限に応じて、システム・コンポーネントやリソースに対するアクセス権が付与されます。Oracle BI Publisherは、Oracle Fusion MiddlewareやOracle WebLogic Server用に構成されているSSOソリューションによってすでに認証された受信HTTPリクエストを信頼するように構成できます。
SSO認証を使用するようにBI Publisherが構成されている場合は、Oracle Fusion Middlewareで使用するように構成されている任意のSSOソリューションで認証されたユーザーを受け入れます。SSOが有効でない場合は、BI Publisherはユーザーごとに認証資格証明を確認します。BI PublisherがSSOを使用するように構成されている場合は、ユーザーは、まず、認証のためにSSOソリューションのログイン・ページにリダイレクトされます。
BI PublisherでSSO認証を使用できるように構成するには、少なくとも次のことを実行しておく必要があります。
SSO認証を受け入れるようにOracle Fusion MiddlewareとOracle WebLogic Serverを構成します。Oracle Access Managerは本番環境での使用をお薦めします。
SSO構成でのアイデンティティ伝播に必要なHTTPヘッダー情報(つまり、ユーザーIDとSSO Cookie)を指定して構成します。
受信メッセージを信頼するようにBI Publisherを構成します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareのシングル・サインオンの構成に関する項を参照してください。
Oracle BI Publisherを保護するようにシングル・サインオン・プロバイダを構成した場合は、受信メッセージを信頼するようにBI Publisherを構成します。
「管理」ページの「セキュリティ・センター」で、「セキュリティ構成」をクリックします。
「シングル・サインオン」リージョンで、ユーザーのシングル・サインオン チェック・ボックスを選択します。
SSOプロバイダに適したフィールドに入力します。
Oracle Access ManagerをSSOプロバイダとして使用するようにBI Publisherを構成できます。
必要なコンポーネントは次のとおりです。
Oracle Fusion Middlewareが、デフォルトの認証プロバイダ(DefaultAuthenticator)としてOracle WebLogic Serverの組込みLDAPサーバーを使用して構成されていること。
Oracle Access Manager 10.1.4.xが、デフォルトのLDAPサーバーとしてOracle Internet Directoryを使用して構成されていること。
Oracle HTTPが、アプリケーション・サーバー、つまりOracle WebLogic ServerにアクセスするWebプロキシとして構成されていること。
Oracle Access Manager SSOが、Oracle Fusion Middlewareの認証プロバイダとして構成されていること。
Oracle Internet Directoryを使用するようにOracle BI Publisherがインストールおよび構成されていること(「LDAPサーバーを認識するためのBI Publisherサーバーの構成)」を参照)。
BI Publisherをインストールすると、Oracle WebLogic Serverの組込みLDAPサーバーがデフォルトの認証ソース(アイデンティティ・ストア)になります。BI WebLogicドメインを、新しいアイデンティティ・ストアであるOracle Internet Directory(主要な認証ソース)に構成する必要があります。
Oracle WebLogic Serverでデフォルトの認証プロバイダを新たに作成する方法の詳細は、Oracle Fusion Middlewareの次のドキュメントを参照してください。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプ
Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの概要 11g
Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド 11g
Oracle WebLogic Serverを構成したら、BI Publisherで次の手順を実行します。
注意: この手順では、ユーザーがシングル・サインオフURLを持っていることを前提としています。シングル・サインオフURLがわからない場合は、社内のOracle Access Manager管理者に問い合せてください。
「管理」ページの「セキュリティ・センター」で、「セキュリティ構成」をクリックします。
まだそのようにしていない場合は、ローカル・スーパーユーザーを設定します。スーパーユーザーの資格証明を使用すると、セキュリティ構成にエラーが発生した場合でも、BI Publisherの「管理」ページでにログインできます。
「シングル・サインオン」リージョンで、ユーザーのシングル・サインオン チェック・ボックスを選択します。
次を入力します。
「シングル・サインオン・タイプ」リストで、「Oracle Access Manager」を選択します。
シングル・サインオフURLを入力します。
「{ユーザー名}の取得方法」で方法を選択します。
「ユーザー名パラメータ」に、たとえば、REMOTE_USERと入力します。
「{ユーザー・ロケール}の取得方法」に、たとえば、「HTTPパラメータ」を選択します。
「ユーザー・ロケール・パラメータ」に、たとえば、LOCALE_LANGUAGEと入力します。
次の図に、構成例を示します。
Oracle Single Sign-Onを設定するには、まず、『Oracle Fusion Middleware アプリケーション・セキュリティ・ガイド 11g』の「Oracle Fusion Middlewareでのシングル・サインオンの構成」の説明に従ってWebLogic Serverを構成します。Oracle Internet DirectoryをデフォルトのLDAPサーバーとして使用するように、BI Publisherを構成する必要があります。
重要: Oracle SSOを使用している場合は、BI Publisherでは、ログイン・ユーザー名をHTTPヘッダー値であるOsso-User-Dnから流用できることを前提としています。たとえば、HTTPヘッダーのOsso-User-Dnが次のとおりだとします。
cn=admin,cn=users, dc=us,dc=oracle,dc=com
BI Publisherでは、最初のcn=値がログイン・ユーザー名であるとみなします(この場合はadmin)。
したがって、Osso-User-Dnの最初のcn値にログイン・ユーザー名が指定されていない場合は、(Oracle SSOを使用している場合でも)その他のSSOタイプを選択し、設定を構成します。
xmlpserverを保護するように、アプリケーション・サーバー構成ファイルを変更します。『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド 11g』のWebリソースを保護するためのmod_ossoの構成に関する項を参照してください。
mod_osso.confで、新しいLocationディレクティブを次のように追加します。
<!-- Protect xmlpserver -->
<Location /xmlpserver>
require valid-user
AuthType Basic
</Location>
BI Publisherとそのクライアント・コンポーネント(Template BuilderおよびExcelアナライザ)間でWebサービス通信を行うには、mod_osso.confファイルに追加の変更を行う必要があります。xmlpserverを開いてWebサービスを許可するには、次のディレクティブを入力します。
<Location /xmlpserver/services/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
<Location /xmlpserver/report_service/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
Location /xmlpserver/ReportTemplateService.xls/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
Oracle BI Presentation Servicesと統合するには、BI Presentation ServicesサーバーとBI Publisherサーバー間におけるWebサービスのSSOを無効にする必要があります。以前の手順の実行時にこの入力を行っている場合は、この手順を繰り返す必要はありません。
xmlpserverを開いてWebサービスを許可するには、次のディレクティブをmod_osso.confファイルに入力します。
<Location /xmlpserver/services/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
この項で説明しているエントリを含むmod_osso.confファイルの例を次に示します。
LoadModule osso_module libexec/mod_osso.so
<IfModule mod_osso.c>
OssoIpCheck off
OssoIdleTimeout off
OssoConfigFile /home/as1013/ohome/Apache/Apache/conf/osso/osso.conf
<Location /xmlpserver>
require valid-user
AuthType Basic
</Location>
<Location /xmlpserver/services/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
<Location /xmlpserver/report_service/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
Location /xmlpserver/ReportTemplateService.xls/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
<Location /xmlpserver/Guest/>
require valid-user
AuthType Basic
Allow from All
Satisfy any
</Location>
#
# Insert Protected Resources: (see Notes below for how to protect resources)
#
#______-
#
# Notes
#
#______-
#
# 1. Here's what you need to add to protect a resource,
# e.g. <ApacheServerRoot>/htdocs/private:
#
# <Location /private>
# require valid-user
# AuthType Basic
# </Location>
#
</IfModule>
#
# If you would like to have short hostnames redirected to
# fully qualified hostnames to allow clients that need
# authentication via mod_osso to be able to enter short
# hostnames into their browsers uncomment out the following
# lines
#
#PerlModule Apache::ShortHostnameRedirect
#PerlHeaderParserHandler Apache::ShortHostnameRedirect
HTTPサーバーを再起動します。
BI Publisherの「セキュリティ構成」ページで「シングル・サインオフURL」を設定します。
「管理」タブで「セキュリティ構成」をクリックします。「Oracleシングル・サインオン」リージョンで次を入力します。
「Oracleシングル・サインオンを使用」を選択します。
以前の手順で書き留めておいた値を「シングル・サインオフURL」に入力します。残りのフィールドは、Oracle SSOには使用できません。
次の図に、BI Publisherの「セキュリティ構成」ページの例を示します。
選択したセキュリティ構成にかかわらずBI Publisherにアクセスできるようにするために、BI Publisherのローカル・スーパーユーザーを作成します。詳細は、「ローカル・スーパーユーザーの有効化」を参照してください。
Oracle Fusion Middlewareの「制御」ページからアプリケーションを再起動します。
BI Publisher EnterpriseアプリケーションにアクセスするURLを入力します。SSOログイン・ページにリダイレクトされます。
Copyright © 2010, 2011, Oracle and/or its affiliates. All rights reserved.