| Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド 11g リリース1(11.1.1) B63036-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド 11g リリース1(11.1.1) B63036-01 |
|
前 |
次 |
この章では、Oracle Business IntelligenceをOracle Identity Managementと統合する方法について説明します。
この章の手順を実行する前に、次の両方で説明されているインストールと構成の手順が正常に完了している必要があります。
Oracle Fusion Middleware Oracle Identity Managementのエンタープライズ・デプロイメント・ガイド
このガイドの前章までの各章
|
重要: セットアップのプロセスを開始する前に、『Oracle Fusion Middlewareリリース・ノート』に目を通してインストールとデプロイメントに関する補足の考慮事項を確認しておくことを強くお薦めします。 |
この章の内容は次のとおりです。
この項の内容は次のとおりです。
Oracle Fusion Middlewareでは、WebLogicドメインで様々なタイプの資格証明ストアとポリシー・ストアを使用できます。ドメインでは、XMLファイルに基づくストアまたは様々なタイプのLDAPプロバイダに基づくストアを使用できます。ドメインでLDAPストアを使用する場合は、すべてのポリシー・データと資格証明データが、一元化されたストアで保持および管理されます。ただし、XMLポリシー・ストアを使用すると、管理対象サーバー上で行われる変更は、両方のサーバーが同じドメイン・ホームを使用している場合を除いて、管理サーバーには伝播されません。Oracle Business IntelligenceのEDGトポロジでは、管理サーバーと管理対象サーバーに異なるドメイン・ホームを使用します。したがって、整合性および一貫性を保持するため、LDAPストアをポリシー・ストアおよび資格証明ストアとして使用する必要があります。
デフォルトでは、Oracle WebLogic Serverドメインは、ポリシー・ストアにXMLファイルを使用します。次の項では、資格証明またはポリシー用に、デフォルト・ストアをOracle Internet Directory LDAPに変更するために必要な手順について説明します。
|
注意: ポリシー・ストアおよび資格証明ストアのバックエンド・リポジトリは、同じ種類のLDAPサーバーを使用する必要があります。こうした一貫性を保持するために、一方のストアを再関連付けすると、他方のストアも再関連付けされることに注意してください。すなわち、Oracle Enterprise ManagerのFusion Middleware ControlまたはWLSTコマンドのreassociateSecurityStoreを使用して、資格証明ストアとポリシー・ストアの再関連付けが1つの単位として実行されます。 |
この項では、資格証明ストアを構成する方法について説明します。項目は次のとおりです。
Oracle Internet Directoryで、必要なユーザーとグループがまだ作成されていない場合、それらを作成します。詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。
まず、次の関連する構成ファイルをバックアップします。
ORACLE_BASE/admin/domain_name/mserver/domain_name/config/config.xml
ORACLE_BASE/admin/domain_name/mserver/domain_name/config/fmwconfig/jps-config.xml
ORACLE_BASE/admin/domain_name/mserver/domain_name/config/fmwconfig/system-jazn-data.xml
管理サーバーの boot.properties ファイルもバックアップします。
LDAPを使用する資格証明ストアを構成するには、Oracle WebLogic Server管理コンソールを使用して、次のように適切な認証プロバイダを設定します。
管理コンソールにログインします。
左のナビゲーション・バーにある「セキュリティ・レルム」リンクをクリックします。
myrealmデフォルト・レルム・エントリをクリックして構成します。
レルム内で「プロバイダ」タブを開きます。レルムにはDefaultAuthenticatorプロバイダが構成されていることに注意してください。
「チェンジ・センター」で、「ロックして編集」をクリックします。
「新規」をクリックして、新しいプロバイダを追加します。
プロバイダの名前(OIDAuthenticatorなど)を入力します。
認証プロバイダのリストから「OracleInternetDirectoryAuthenticator」タイプを選択します。
「OK」をクリックします。
「プロバイダ」画面で、新しく作成した認証プロバイダをクリックします。
制御フラグをSUFFICIENTに設定します。これは、この認証プロバイダによってユーザーを正常に認証できる場合、その認証を受け入れる必要があり、他の認証プロバイダを呼び出す必要がないことを示します。認証が失敗した場合、チェーン内の次の認証プロバイダに渡されます。
後続の認証プロバイダもすべて制御フラグをSUFFICIENTに設定してください。特に、DefaultAuthenticatorをチェックして、必要であればSUFFICIENTに設定します。
「保存」をクリックします。
「プロバイダ固有」タブを開き、表9-1に示すように、LDAPサーバーに固有の詳細を入力します。
表9-1 LDAPサーバーの詳細
| パラメータ | 値 | 説明 |
|---|---|---|
|
ホスト |
例: oid.mycompany.com |
LDAPサーバーのホスト名。 |
|
ポート |
例: 636 |
LDAPサーバーのポート番号。 |
|
プリンシパル |
例: cn=orcladmin |
LDAPサーバーに接続するために使用されるLDAPユーザーDN。 |
|
資格証明 |
your_password |
LDAPサーバーへの接続に使用されるパスワード。 |
|
SSLの有効化 |
選択 |
LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。 |
|
ユーザー・ベースDN |
例: cn=Users,dc=mycompany, dc=com |
ユーザーが開始時に使用するDNを指定します。 |
|
グループ・ベースDN |
例: cn=Groups,dc=mycompany,dc=com |
グループ・ノードを指すDNを指定します。 |
|
ユーザー名属性 |
cn |
ユーザー名属性。 |
|
取得したユーザー名をプリンシパルとして使用する |
選択 |
このオプションは有効にする必要があります。 |
完了したら「保存」をクリックします。
「変更のアクティブ化」をクリックして変更を伝播します。
管理サーバーおよび管理対象サーバーを再起動します。
OID認証プロバイダおよびデフォルト認証プロバイダを並べ替えて、各認証プロバイダの制御フラグが次のように設定されていることを確認します。
OID LDAP認証プロバイダ: SUFFICIENT
デフォルト認証プロバイダ: SUFFICIENT
管理サーバーを再起動します。
LDAPの構成後は、すべてのユーザー(管理ユーザーも含む)がLDAPユーザーである必要があります。この構成は、LDAP管理者が実行する必要があります。管理グループを必要なユーザーで作成する必要があります。必要な手順の詳細は、Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイドの第8.5項を参照してください。グループ名には、BIAdministratorsを使用します。
このグループを作成した後、次のようにしてWebLogic ServerでWLS Global Adminロールのロール定義を更新する必要があります。
管理コンソールにログインします。
Adminロールを定義するには、「セキュリティ・レルム」を選択してレルム名を選択し、「ロールとポリシー」→「グローバル・ロール」→「ロール」→「管理」を選択します。「ロール条件の表示」リンクをクリックします。
デフォルトでは、Oracle Internet DirectoryのAdministratorsグループのどのユーザーがWebLogic ServerのAdminロールを付与されているかという定義が表示されます。
「条件の追加」をクリックして、別のグループ名(BIAdministrators)を追加します。Administratorsグループを削除して、新しく追加したグループは残します。
「保存」をクリックします。
この変更を行った後は、指定された新しいグループのメンバーに、WebLogic Serverを管理する権限が付与されます。
管理サーバーのboot.propertiesファイルは、Oracle Internet Directoryで作成されたWebLogic管理ユーザーで更新する必要があります。次の手順に従って、boot.propertiesファイルを更新します。
APPHOST1で、次のディレクトリに移動します。
APPHOST1> cd ORACLE_BASE/admin/domain_name/aserver/domain_name/servers/AdminServer/security
既存の boot.properties ファイルの名前を変更します。
APPHOST1> mv boot.properties boot.properties.backup
テキスト・エディタを使用して、boot.propertiesという名前のファイルをsecurityディレクトリの下に作成します。次の行をファイルに入力します。
username=admin_user password=admin_user_password
ファイルを保存します。
管理サーバーを停止し、再起動します。
ドメイン・ポリシー・ストアは、システム固有のポリシーおよびアプリケーション固有のポリシーのリポジトリです。特定のドメインには、そのドメインにデプロイされるすべてのアプリケーションが使用可能なすべてのポリシーを格納する1つのストアが存在します。この項では、Oracle Internet Directory LDAPをOracle Business Intelligence EDGトポロジのポリシー・ストアとして構成する手順について説明します。
ポリシー・ストアとして使用されるOracle Internet DirectoryのLDAPサーバー・ディレクトリへの適切なアクセスを保証するために、このサーバー・ディレクトリにノードを設定する必要があります。
Oracle Internet Directory管理者は、次の手順に従って、Oracle Internet Directoryサーバーに適切なノードを作成する必要があります。
次のDNエントリおよびCNエントリを指定して、LDIFファイル(この例ではjpstestnode.ldif)を作成します。
dn: cn=jpsroot_bi,dc=mycompany,dc=com cn: jpsroot_bi objectclass: top objectclass: OrclContainer
ルート・ノードのDN(前の手順のjpsroot_bi)は、他のDNと異なっている必要があります。1つのルート・ノードを複数のWebLogicドメインが共有できます。サブツリーへの読取り権限および書込み権限がOracle Internet Directory管理者に付与されているかぎり、このノードを最上位レベルに作成する必要はありません。
次の例に示すように、コマンドldapaddを使用してこのデータをOracle Internet Directoryサーバーにインポートします。
OIDHOST1> ORACLE_HOME/bin/ldapadd -h ldap_host -p ldap_port -D cn=orcladmin -w password -c -v -f jpstestnode.ldif
次の例に示すように、コマンドldapsearchを使用してノードが正常に挿入されたことを確認します。
OIDHOST1> ORACLE_HOME/bin/ldapsearch -h ldap_host -p ldap_port -D cn=orcladmin -w password -b "cn=jpsroot_bi,dc=mycompany,dc=com" objectclass="orclContainer"
Oracle Internet DirectoryをLDAPベースのポリシー・ストアとして使用する場合は、ユーティリティoidstats.sqlをINFRADBHOSTで実行し、最適なデータベース・パフォーマンスを実現するためにデータベース統計を生成します。
OIDHOST1> connect ods/welcome1
OIDHOST1> @ORACLE_HOME/ldap/admin/oidstats.sql
注意: oidstats.sqlユーティリティを実行する必要があるのは、初期プロビジョニング後の1回のみです。
ポリシー・ストアおよび資格証明ストアをOracle Internet Directoryに再関連付けするには、WLSTのreassociateSecurityStoreコマンドを次のように使用します。
APPHOST1から、wlstシェルを起動します。
APPHOST1> cd ORACLE_HOME/common/bin
APPHOST1> ./wlst.sh
wlstのconnectコマンドを次のように使用して、WebLogic管理サーバーに接続します。
connect ("AdminUser", "AdminPassword", "t3://hostname:port")
例:
connect ("weblogic", "welcome1", "t3://ADMINHOSTVPN1:7001")
reassociateSecurityStoreコマンドを次のように実行します。
reassociateSecurityStore(domain="domainName", admin="cn=admin_user_name", password="orclPassword", ldapurl="ldap://LDAPHOST:LDAPPORT", servertype="OID", jpsroot="cn=jpsroot_bi")
例:
wls:/bifoundation_domain/serverConfig> reassociateSecurityStore(domain="bifoundation_domain", admin="cn=orcladmin", password="welcome1", ldapurl="ldap://oid.mycompany.com:389", servertype="OID", jpsroot="cn=jsproot_bi,dc=mycompany,dc=com")
コマンドが正常に完了した後に、管理サーバーを再起動します。
|
注意: 資格証明とポリシーの変更を有効にするには、ドメイン内のサーバーを再起動する必要があります。 |
この項の内容は次のとおりです。
Oracle Business Intelligence 11g リリース1(11.1.1)では、ユーザーは、その名前ではなく、グローバル一意識別子(GUID)によって認識されます。GUIDは、特定のユーザーに対する完全に一意な識別子です。GUIDを使用してユーザーを識別することにより、特定のユーザーのデータとメタデータが、ユーザー名に関係なく一意に保護されるので、セキュリティ・レベルが向上します。
次の2つのベスト・プラクティスを実践して、開発から本番までのライフサイクルの各フェーズでGUIDが一貫して適用されることを保証することをお薦めします。
開発システム、テスト・システムおよび本番システムの間でアイデンティティ・ストアのファンアウト・レプリカを使用するようにして、開発から本番までのライフサイクル全体を通じてユーザーGUIDを一貫して同一にします。ファンアウト・レプリカの作成の詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドのレプリケーションの設定に関する項を参照してください。
可能なかぎり、個々のユーザーではなくアプリケーション・ロールを使用して、データとメタデータへのアクセスを保護します。
GUIDの再生成とは、Oracle BIリポジトリおよびOracle BI Presentation Catalog内のユーザーGUIDに対するメタデータ参照を再生成するプロセスです。GUIDの再生成プロセスでは、各ユーザー名がアイデンティティ・ストアで検索されます。次に、そのユーザー名に関連付けられているGUIDに対するすべてのメタデータ参照が、アイデンティティ・ストア内のGUIDで置き換えられます。
GUIDの再生成が必要になる可能性があるのは、Oracle Business Intelligenceと同一ユーザーに複数のGUIDが存在するアイデンティティ・ストアとの再関連付けが行われる場合です。この状況は、Oracle Business Intelligenceを別のタイプのアイデンティティ・ストアに再関連付けする場合に発生する可能性がありますが、ほとんど発生することはありません。
Oracleのベスト・プラクティスが実践されていない状況で、同一ユーザーに複数のGUIDが存在するシステム間でOracle Business Intelligenceリポジトリ・データが移行された場合、システムが機能するには、GUIDを再生成する必要があります。この実践は、特定のユーザー(たとえば2週間前に退職したJohn Smith)のみがアクセスできるように保護されているデータとメタデータに、別のユーザー(たとえば先週入社したJohn Smith)がアクセスできるようになるというリスクが生じるので、お薦めできません。可能なかぎりアプリケーション・ロールを使用して、開発から本番までのライフサイクル全体を通じて一貫してGUIDを使用することにより、この問題の発生を防ぐことができます。
ユーザーGUIDを再生成するには、APPHOST1およびAPPHOST2上で次の手順を実行します。GUIDの再生成は、一度に1つのノードのみが動作している状態で行う必要があることに注意してください。
ユーザーGUIDを再生成しているノード以外のすべてのノード上でOracle BI ServerおよびPresentation Servicesを停止します。例:
cd ORACLE_BASE/admin/instancen/bin ./opmnctl stopproc ias-component=coreapplication_obips1 ./opmnctl stopproc ias-component=coreapplicaiton_obis1
NQSConfig.INIのFMW_UPDATE_ROLE_AND_USER_REF_GUIDSパラメータを更新します。
次の場所にあるNQSConfig.INIを編集のために開きます。
ORACLE_INSTANCE/config/OracleBIServerComponent/coreapplication_obisn
FMW_UPDATE_ROLE_AND_USER_REF_GUIDSパラメータを探して、次のようにYESに設定します。
FMW_UPDATE_ROLE_AND_USER_REF_GUIDS = YES;
ファイルを保存して閉じます。
instanceconfig.xmlのCatalog要素を更新します。
opmnctlを使用してOracle BI ServerおよびPresentation Servicesを再起動します。
cd ORACLE_BASE/admin/instancen/bin ./opmnctl stopproc ias-component=coreapplication_obips1 ./opmnctl stopproc ias-component=coreapplication_obis1 ./opmnctl startproc ias-component=coreapplication_obis1
Oracle BI Serverが実行されていることを確認したら、Presentation Servicesを起動します。
./opmnctl startproc ias-component=coreapplication_obips1
NQSConfig.INIのFMW_UPDATE_ROLE_AND_USER_REF_GUIDSパラメータをNOに設定します。
重要: システムを確実に保護するために、この手順を実行する必要があります。
instanceconfig.xmlのCatalog要素を更新して、UpdateAccount GUIDsエントリを削除します。
opmnctlを使用して、Oracle Business Intelligenceシステム・コンポーネントを再起動します。
cd ORACLE_BASE/admin/instancen/bin ./opmnctl stopall ./opmnctl startall
この項では、Oracle Access Manager 10gをOracle Business Intelligenceトポロジのシングル・サインオン・ソリューションとして設定する方法について説明します。
この項の内容は次のとおりです。
Oracle Access Manager 10gの場合の手順では、Access Managerおよびポリシー・マネージャを保護するポリシーを備えたOracle Access Managerインストールが存在することを前提としています。Oracle Access Managerインストールのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle Identity Managementエンタープライズ・デプロイメント・ガイド』を参照してください。
この章で説明する構成には、Oracle Internet Directoryなどのディレクトリ・サービスがスタンドアロン・コンポーネントとして、またはOracle Virtual Directory構成の一部として、含まれています。この項では、Oracle Internet Directoryを使用するようにOracle Business Intelligenceインストールを構成するために必要な手順について説明します。
また、Oracle Access Managerインストールには、Webゲートを使用するように構成された独自のWebサーバーが必要です。この項では、Oracle Access Manager Webサーバーを委任認証サーバーとして使用するための手順も説明します。
この項では、Oracle Access Manager構成ツールを使用する方法について説明します。項目は次のとおりです。
Oracle Access Manager構成ツール(oamcfgtool)は、一連のスクリプトを起動して必要なポリシーを設定します。そのためには、入力情報として様々なパラメータが必要となります。具体的には次の項目が作成されます。
Oracle Access Managerのフォーム認証スキーム
Oracle WebLogic Serverでの認証を可能にするポリシー
Oracle HTTP ServerのWebゲートが(Web層から)構成済アプリケーションを保護できるようにするOracle Access ManagerのWebゲート・エントリ
選択したシナリオに応じたホスト識別子(指定しない場合はデフォルトのホスト識別子が使用されます)
アプリケーション固有のURLを保護するポリシーおよび保護対象としないポリシー
Oracle Access Manager構成ツールを実行する前に、次の情報を収集または準備します。
パスワード: セキュアなパスワードを作成します。このパスワードは、後で実行するWebゲート・インストールのパスワードとして使用します。
LDAPホスト: HA/EDG構成の場合のディレクトリ・サーバーのホスト名またはロード・バランサ・アドレス。
LDAPポート: ディレクトリ・サーバーのポート番号。
LDAPユーザーDN: LDAP管理者ユーザーのDN(例: cn=orcladmin)。
LDAPパスワード: LDAP管理者ユーザーのパスワード。
OAM_AA_HOST: Oracle Access Managerインスタンスのホスト名。
OAM_AA_PORT: Oracle Access Managerのポート番号。
Oracle Access Manager構成ツールは、次のディレクトリにあります。
MW_HOME/oracle_common/modules/oracle.oamprovider_11.1.1
このツールは、必要なインストール・ファイルが存在する任意のコンピュータから実行できます。ここでは、APPHOST1から実行します。
Oracle Access Manager構成ツールを次のように実行します(すべてを1行で入力します)。
MW_HOME/jrockit_160_22_D1.1.1-3/bin/java -jar oamcfgtool.jar mode=CREATE app_domain="bifoundation_domain" protected_uris="$PROTECTED_URI_LIST" public_uris="$PUBLIC_URI_LIST" ldap_host="oid.mycompany.com" ldap_port=389 ldap_userdn="cn=LDAP_admin_user_name" ldap_userpassword=LDAP_admin_user_password oam_aaa_host=OAMHOST1 oam_aaa_port=OAMPORT1 oam_aaa_mode=simple
$PROTECTED_URI_LISTには、次の値を使用します。
"/analytics/saw.dll,/xmlpserver,/ui,/bioffice,/em,/console,/ui/adfAuthentication"
$PUBLIC_URI_LISTには、次の値を使用します。
"/analytics,/analytics/saw.dll/wsdl,/xmlpserver/services,/xmlpserver/ report_service,/xmlpserver/ReportTemplateService.xls,/xmlpserver/Guest, /ui/do/logout,/ui/images,/bioffice/services/saw?WSDL"
app_agent_passwordを入力するように求められます。
|
注意: 後で別のURLの保護が必要になった場合は、同じapp_domainを使用して、再度Oracle Access Manager構成ツールを実行します。新しいURLのみではなく、保護する必要があるすべてのURLを指定してください。 |
この項では、ポリシー・ドメインとアクセス・ゲートが正常に作成されたことを確認する方法について説明します。
ポリシー・ドメインの確認
次の手順に従って、ポリシー・ドメインを確認します。
次の場所でOracle Access Managerにログオンします:
http://OAMADMINHOST:port/access/oblix
「ポリシー・マネージャ」をクリックします。
左側のパネルで「ポリシー・ドメイン」リンクをクリックします。作成したドメインを含む、すべてのポリシー・ドメインのリストが表示されます。
作成したポリシー・ドメインへのリンクをクリックします。このドメインの「一般」領域が表示されます。
「リソース」タブをクリックします。指定したURIが表示されます。他のタブをクリックし、他の設定を表示することもできます。
次の手順に従って、アクセス・ゲートの構成を確認します。
右上にある「アクセス・システム・コンソール」リンクをクリックします。このリンクは、クリックするたびに「アクセス・システム・コンソール」と「ポリシー・マネージャ」が切り替わります。
「アクセス・システム構成」タブをクリックします。
左側のペインで、「アクセス・ゲート構成」リンクをクリックします。
検索条件としてbifoundation_domain (またはapp_domain内の別のサブストリング)と入力し、「実行」をクリックします。
作成したドメインのアクセス・ゲートが表示されます。この結果には、接尾辞_AG (例: bifoundation_domain_AG)が付加されています。
ドメインのアクセス・ゲートをクリックして、詳細を表示します。
Oracle Access Manager構成ツールは、app_domainパラメータの値を使用してポリシー・ドメインのホスト識別子を作成します。構成が正常に機能するためには、ホストに対するすべてのホスト名バリエーションを反映してホスト識別子を更新する必要があります。
次の手順に従って、Oracle Access Manager構成ツールで作成したホスト識別子を更新します。
Webブラウザで次のURLを入力し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力を求められたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックします。
「アクセス・システム構成」ページで、左下にある「ホスト識別子」をクリックします。
「すべてのホスト識別子をリスト」ページで、Oracle Access Manager構成ツールで作成したホスト識別子をクリックします。たとえば、bifoundation_domainを選択します。
「ホスト識別子詳細」ページで「変更」をクリックします。
「ホスト識別子の変更」ページで、ホストに対するすべてのホスト名バリエーションを追加します。必要に応じてプラス記号またはマイナス記号をクリックして、フィールドを追加または削除してください。
「アクセス・システム構成」で使用する「優先HTTPホスト」の値を、ホスト名バリエーションの1つとして追加する必要があります。例:
bifoundation_domain, webhost1.mycompany.com:7777, admin.mycompany.com:7777
「キャッシュの更新」を選択し、「保存」をクリックします。
「現時点でキャッシュを更新すると、システム内のすべてのキャッシュがフラッシュされます。よろしいですか。」という内容のメッセージが表示されます。
「OK」をクリックして、構成変更の保存を終了します。
「ホスト識別子詳細」ページで変更内容を確認します。
Oracle Access Manager構成ツールは、app_domainパラメータの値で作成したWebゲート・プロファイルのPreferred_HTTP_Host属性とhostname属性に値を設定します。構成が正しく機能するようにするには、この2つの属性の両方を適切な値で更新する必要があります。
次の手順に従って、Oracle Access Manager構成ツールで作成したWebゲート・プロファイルを更新します。
Webブラウザで次のURLを入力し、アクセス・システム・コンソールに移動します。
http://hostname:port/access/oblix
hostnameにはWebPass Oracle HTTP Serverインスタンスを実行しているホストを指定し、portにはOracle HTTP ServerインスタンスのHTTPポートを指定します。
ユーザー名とパスワードの入力を求められたら、管理者としてログインします。「OK」をクリックします。
「アクセス・システム(Access System)」メイン・ページで、「アクセス・システム・コンソール」リンクをクリックします。
「アクセス・システム・コンソール」ページで、「アクセス・システム構成」タブをクリックし、アクセス・ゲート検索ページを表示します。
適切な検索条件を入力し、「実行」をクリックして、アクセス・ゲートのリストを表示します。
Oracle Access Manager構成ツールで作成したアクセス・ゲートを選択します。例: bifoundation_domain_AG
「アクセス・ゲート詳細」ページで、「変更」を選択し、「アクセス・ゲートの変更」ページを表示します。
「アクセス・ゲートの変更」ページで、次を更新します。
ホスト名: Webゲートを実行しているコンピュータの名前でホスト名を更新します。例: webhost1.mycompany.com
優先HTTPホスト: 前の項で指定したホスト名バリエーションの1つでPreferred_HTTP_Hostを更新します。例: webhost1.mycompany.com:7777
プライマリHTTP Cookieドメイン: ドメインの接尾辞またはホスト識別子でプライマリHTTP Cookieドメインを更新します。例: mycompany.com
ポート: Webゲートを実行しているポートでポートを更新します。例: 7777*
最大接続数: 4に設定します。
「保存」をクリックし、「OK」をクリックして確認します。
「アクセス・ゲートの詳細」ページに表示される値を確認し、正常に更新されたことを確認します。
Webゲートを各WEBHOSTnコンピュータにインストールして、Web層を保護する必要があります。そのためには、次の手順に従ってください。
次のコマンドを使用してWebゲート・インストーラを起動します。
./Oracle_Access_Manager10_1_4_3_0_linux_OHS11g_WebGate -gui
「ようこそ」画面が表示されます。「次へ」をクリックします。
「顧客情報」画面で、Webサーバーを実行しているユーザー名とユーザー・グループを入力します。「次へ」をクリックして続行します。
インストール先画面で、Webゲートをインストールするディレクトリを指定します。「次へ」をクリックして続行します。
インストールの概要の画面で「次へ」をクリックします。
Webゲート構成画面の説明に従って、Webゲートに必要なGCCランタイム・ライブラリをダウンロードし、「参照」を使用して、このGCCランタイム・ライブラリのローカル・コンピュータ上の場所を指定します。「次へ」をクリックして続行します。
この段階で、インストーラにより必要なアーティファクトが作成されます。このプロセスが完了したら、「次へ」をクリックして続行します。
「トランスポート・セキュリティ・モード」画面で、BIアクセス・ゲートに構成されているモードと同じモード(例: 「簡易」)を選択し、「次へ」をクリックして続行します。
Webゲート構成画面で、使用するアクセス・サーバーの詳細を入力します。入力する情報は次のとおりです。
WebゲートID: Oracle Access Manager構成ツールの実行時に指定されたもの
Webゲートのパスワード
アクセス・サーバーID: Oracle Access Managerアクセス・サーバー構成から報告されたもの
アクセス・サーバー・ホスト名: Oracle Access Managerアクセス・サーバー構成から報告されたもの
アクセス・サーバー・ポート番号: Oracle Access Managerアクセス・サーバー構成から報告されたもの
グローバル・アクセス・プロトコル・パスフレーズ
これらの詳細は、Oracle Access Manager管理者から取得できます。「次へ」をクリックして続行します。
「Webサーバーの構成」画面で「はい」をクリックすると、自動的にWebサーバーが更新されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面で、httpd.confファイルが格納されているディレクトリのフルパスを指定します。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」ページに、Webサーバー構成がWebゲート向けに変更されたことを示すメッセージが示されます。「はい」をクリックして確認します。
Webサーバーをいったん停止してから再起動し、構成の更新を有効にします。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、SSLに関するメッセージが表示されます。「次へ」をクリックして続行します。
表示された「Webサーバーの構成」画面に、製品設定とWebサーバーの構成の残りの部分に関する情報が記載されているドキュメントの場所を示すメッセージが表示されます。「いいえ」を選択し、「次へ」をクリックして続行します。
最後の「Webサーバーの構成」画面が表示されます。Webサーバーの構成に関する詳細情報を得るには、手動でブラウザを起動し、該当のHTMLドキュメントを開くように指示するメッセージが表示されます。「次へ」をクリックして続行します。
「Oracle COREid Readme」画面が表示されます。画面の情報を確認し、「次へ」をクリックして続行します。
インストールの詳細およびインストールの正常終了を示すメッセージが表示されます。
この項の手順では、LDAP認証プロバイダが設定済であると想定しています。
この項の内容は次のとおりです。
Oracle Access Manager IDアサータを設定する手順は、次のとおりです。
管理コンソールにログインします。
「チェンジ・センター」で、「ロックして編集」をクリックします。
SecurityRealms\myrealm\Providersに移動します。
「新規」をクリックし、ドロップダウン・メニューから「OAM Identity Asserter」を選択します。
アサータの名前(OAM ID Asserterなど)を入力し、「OK」をクリックします。
新しく追加したアサータをクリックし、OAMアイデンティティ・アサータの構成画面を確認します。
「制御フラグ」を「REQUIRED」に設定して、「保存」をクリックします。
「 プロバイダ固有 」タブを開き、必要な設定を次のように構成します。
プライマリ・アクセス・サーバー: Oracle Access Managerサーバーのエンドポイント情報をHOST:PORT形式で指定します。
AccessGate名: アクセス・ゲートの名前を入力します(例: bifoundation_domain_AG)。
AccessGateパスワード: アクセス・ゲートのパスワードを入力します。
完了したら「保存」をクリックします。「変更のアクティブ化」をクリックして変更を伝播します。管理サーバーおよび管理対象サーバーを再起動します。
この項では、アプリケーションを構成する方法について説明します。項目は次のとおりです。
第9.2.7.1項「Oracle BI Enterprise EditionでのSSO/Oracle Access Managerの有効化」
第9.2.7.2項「Oracle BI PublisherでのSSO/Oracle Access Managerの有効化」
第9.2.7.3項「Oracle BI for Microsoft OfficeでのSSO/Oracle Access Managerの有効化」
第9.2.7.5項「Oracle Real-Time DecisionsでのSSO/Oracle Access Managerの有効化」
Oracle BI Enterprise EditionでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
Fusion Middleware Controlにログインします。
「Business Intelligence」→「coreapplication」→「セキュリティ」に移動します。
「構成をロックして編集」をクリックします。
「SSOの有効化」を選択し、「SSOプロバイダ」で「Oracle Access Manager」を選択します。
次の各フィールドにログオンURLとログオフURLを入力し、Oracle BI Presentation Servicesのログイン/ログアウト情報を構成します。
SSOプロバイダのログオンURL: http://OAM_host:OAM_port/oamsso/login.html
SSOプロバイダのログオフURL: http://OAM_host:OAM_port/access/oblix/lang/en-us/logout.html
「適用」をクリックします。
「変更のアクティブ化」をクリックします。
opmnctlまたはFusion Middleware Controlを使用して、すべてのOracle Business Intelligenceシステム・コンポーネントを再起動します。
Oracle BI PublisherでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
Oracle BI Publisherで、「管理」→「セキュリティ構成」ページに移動し、SSOを有効にします。
「セキュリティ構成」ページの「シングル・サインオン」セクションで次の情報を入力します。
「シングル・サインオンの使用」を選択します。
「シングル・サインオン・タイプ」で「Oracle Access Manager」を選択します。
「シングル・サインオフURL」で、次の形式でURLを入力します。
http://OAM_host:OAM_port/access/oblix/lang/en-us/logout.html
例:
http://bi.mycompany.com:7777/access/oblix/lang/en-us/logout.html
「適用」をクリックします。
管理コンソールからbipublisherアプリケーションを再起動します。
Oracle BI for Microsoft OfficeのSSO構成の詳細は、第6.5.4.1項「Oracle BI for Microsoft Officeのプロパティの構成」を参照してください。まだOracle BI for Microsoft OfficeでSSOを有効にしていない場合は、第6.5.4.1項の手順を実行して、有効にしてください。
Oracle BI SearchでSSOとOracle Access Managerを有効にする手順は、次のとおりです。
BISearchConfig.propertiesファイルを編集のために開きます。このファイルは、次の場所にあります。
DOMAIN_HOME/config/fmwconfig/biinstances/coreapplication/
BIServerSSOUrlを次の値に設定します。
https://bi.mycompany.com/analytics
ファイルを保存して閉じます。
この項では、Oracle Real-Time DecisionsでOracle Access Managerを使用する構成について説明します。
この項の内容は次のとおりです。
Oracle RTDでOracle Access Managerのログアウトのガイドラインに準拠するには(特に/adfAuthentication?logout=true&end_url=/ui/do/logoutからログアウトを起動する場合)、Oracle Access Manager 10gとの統合で、end_urlを処理するようにWebゲートを構成する必要があります。この構成を追加しない場合、ログアウトしても、Oracle Access Manager 10gのWebゲートでend_urlが処理されないので、終了URLへのリダイレクトが行われません。
構成手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Webゲート10gがOracle Access Manager (OAM) 11gでOracle RTD Decision CenterへのアクセスのSSOプロバイダとして構成されている場合、ログアウトしてからDecision Centerに戻って再ログインするユーザーに対して、ユーザー名とパスワードの資格証明の入力を要求する必要があります。この動作が正常に行われるようにするには、OAM/Webゲートで次のOracle RTD Decision Centerリソースをパブリック(保護対象外または匿名のアクセス)として構成する必要があります。
Decision CenterのログアウトURI /ui/do/logout
Decision Centerの画像 /ui/images/*
