Oracle® Real User Experience Insightユーザーズ・ガイド 12c リリース6 (12.1.0.7) for Linux x86-64 E61771-02 |
|
前 |
次 |
この章では、RUEI内でユーザーに割り当てるロールと権限、およびユーザー・アカウントの作成と管理について説明します。また、外部ユーザー認証メカニズムの構成(LDAP、SSOなど)および組織のセキュリティ・ポリシーを強化するパスワード設定機能の使用方法についても説明します。
ユーザー定義の処理を開始するには、「システム」→「ユーザー管理」の順に選択します。図14-1に示す画面が表示されます。
この画面には、現在定義されているシステム・ユーザーが表示されます。ユーザー・アカウントごとに、アカウント名、フルネーム、電子メール・アドレスおよび認証メカニズムが表示されます。ユーザー・アカウントのロールとステータスは、図14-2に示すカラー・コード・スキームを使用して表示されます。
システム・アカウント・タイプ
ユーザー・アカウントだけでなく、RUEIユーザー・インタフェースへのアクセス権を持たないシステム・アカウントも作成できます。ADF監視サービスを使用する場合などは、これらのアカウントを使用して、サービス・レベルでRUEIと対話します。システム・アカウントは完全アクセス・レベルを持ち、表14-3に示す権限を持つように構成できます。
ユーザー認証
システム・ユーザーの認証は、RUEIそのものがデータベースに格納されているユーザー情報を使用して実行することも、外部の認証サーバーによって実行することもできます。現在、RUEIでは2つの外部認証メカニズムがサポートされています。LDAPサーバーを使用する方法とOracle Single Sign-On(SSO)サーバーを使用する方法です。いずれの場合も、サーバーがRUEIと一緒に機能するように構成されている必要があります。LDAPサーバーを構成する手順の詳細は、14.8項「LDAPサーバーのユーザー認証の構成」に記載されています。Oracle SSOサーバーを構成する手順の詳細は、14.9項「Oracle Single Sign-On(SSO)のユーザー認証の構成」に記載されています。
ここでは、構成機能やレポート・データへのアクセスをRUEIが管理する方法を説明します。次の情報をよく確認することをお薦めします。
各RUEIユーザーにはロールが割り当てられます。このロールにより、ユーザーが実行できるアクションとユーザーがアクセスできる情報の種類が決まります。表14-1でこれらのロールについて説明します。
表14-1 ユーザー・アカウントのロール
ロール | 説明 |
---|---|
管理者 |
RUEIの初期構成を行い、システムで使用される基本的なネットワーク関連構成(メール設定やコレクタ添付ファイル)のメンテナンスを管理するユーザーです。 また、管理者権限を割り当てられたユーザーは、システムの第1レベル・サポートの役割も持ち、現在の構成のバックアップ、拡張システム設定の構成、およびシステムの操作権限のある他のユーザーの管理などを担当します。 |
セキュリティ担当者 |
組織のネットワーク・セキュリティ・ポリシーの影響を受けるすべてのシステム設定を管理するユーザーです。具体的には、次のことを行います。
|
ビジネス・ユーザー |
事業目標に照らしてビジターの行動の評価に取り組むユーザーです。このため、システムに用意されているビジネス・インテリジェンスを使用して、Webサイトにアクセスするまでの最も一般的なパスの特定や、特定のページやセクションにアクセスするビジターの関心度の強さなどの様々な問題を監視します。このユーザーは、顧客満足度、顧客維持率および顧客ロイヤルティの向上、顧客転換率の増加、Webサイトベースのマーケティング活動の効果の監視などに注力します。 このユーザーは、割り当てられている権限に基づいてダッシュボード機能やオンデマンドで郵送されるレポートを使用し、組織の事業概要のメンテナンスを行います。また、このレポートやデータのエクスポートを、ITスペシャリストに詳細な分析の基本データとして提供します。 |
ITユーザー |
Web環境の監視に必要となるIT情報およびその他の技術情報のサポートに従事するユーザーです。一般に、未達成のSLAやKPIをより深く分析することを担当します。レポート作成機能やデータ・ブラウザ機能をフル活用し、レポートされた例外またはエラーを特定します。たとえば、特定のネットワーク・ドメインのユーザーのセッションのみが失敗していることを突き止めます。 |
レポート・データのエクスポート |
これらのユーザーはBasic認証を使用してレポートにアクセスします。この機能の詳細は、2.13項「レポート・データのエクスポート」を参照してください。 |
ユーザーには、組織で必要とされる構成に応じて、これらのロールの組合せを実行する権限を付与できます。定義できるユーザーの数には制限がありません。
スーパー管理者と権限が割り当てられた管理者
RUEIにはスーパー管理者という1つの事前定義済ユーザーがあることに注意してください。このユーザーは、他のすべてのユーザーとは異なり、初期パスワードがset-admin-password.sh
スクリプトを使用して設定され、常にローカルで認証されています。業務上の要件によっては、他のユーザーに管理者権限を割り当てることができます。ただし、そのようなユーザーはスーパー管理者の管理下に置かれます。管理者権限が割り当てられた他のユーザーとスーパー管理者を明確に区別する必要がある場合は、スーパー管理者をadmin
ユーザーと表記します。
相互のプロパティを変更する管理者
デフォルトでは、管理者権限を持つユーザーは、他の管理者のプロパティを変更したり、管理者ユーザー・アカウントを作成および削除できます。セキュリティ要件と一致しない場合、この機能を無効にできます。この手順の詳細は、『Oracle Real User Experience Insight管理者ガイド』に記載されています。
ロールに加えて、各ユーザー(管理者以外)には、ビジネス関連およびIT関連の情報のための個別のアクセス・レベル権限を割り当てることもできます。これらの権限では、ユーザーがアクセスできるモジュール(データ・ブラウザ、KPI概要、システムなど)が定義されます。これについては表14-2で説明します。
表14-2 ビジネス・ユーザーおよびITユーザーのアクセス・レベル権限
アクセス・レベル | ビジネス・ユーザー | ITユーザー |
---|---|---|
なし |
アクセス権限がありません。 |
アクセス権限がありません。 |
概要脚注1 |
ダッシュボード、KPI概要およびアラート履歴を表示可能。 |
ダッシュボード、KPI概要およびアラート履歴を表示可能。 |
照会 |
レポートへの読取り専用アクセス権限があり、PDFダウンロードを作成可能。 |
レポートへの読取り専用アクセス権限があり、PDFダウンロードを作成可能。 |
分析 |
|
|
完全 |
|
|
脚注1 ビジネス・ユーザーかITユーザーとして少なくとも「概要」レベルの権限を付与されていないユーザーは、ログオンできません。
ユーザーのロールとアクセス・レベル権限の管理については、14.2項「ユーザー・アカウントのロールと権限の概要」で説明しています。
これにより、ビジネス・ユーザーおよびITユーザーは自分に関連する情報をただちに見つけることができます。たとえば、ビジネス・ユーザーがレポート・ライブラリにアクセスすると、ビジネス・ユーザーに必要なレポートのみのリストがフィルタリングされ、作業対象のレポートに反映されます。
現在システム・アカウントに関連付けられたロールはなく、次の権限のみ存在します:
表14-3 システム・アカウントの権限
アクセス・レベル | システム・アカウント |
---|---|
ADF監視サービス |
これらのユーザーはRUEIを使用してADFアプリケーションを監視します。ADFを使用するためのRUEIの設定の詳細は、RUEIインストレーション・ガイドを参照してください。 |
Enterprise Managerアクセス |
これらのユーザーは、Oracle Enterprise ManagerでRUEIデータを使用できます。Oracle Enterprise Managerを使用するためのRUEIの設定の詳細は、RUEIインストレーション・ガイドを参照してください。 ユーザーがOracle Enterprise Managerアプリケーション・パフォーマンス管理(APM)機能内のRUEIデータにアクセスするには、認可が必要です。この機能については、『Oracle Enterprise Manager Cloud Control Oracle Fusion Middlewareマネージメント・ガイド』で詳細に説明されています。 |
新規ユーザーを作成する手順は、次のとおりです。
「システム」→「ユーザー管理」を選択し、タスクバーの「新規アカウントの追加」コマンド・ボタンをクリックします(図14-1を参照)。図14-3に示すようなダイアログが表示されます。
LDAPサーバーまたはOracle SSOサーバーの接続が構成されている場合(14.8項「LDAPサーバーのユーザー認証の構成」を参照)は、図14-3に示すダイアログにLDAP認証オプションが表示されます。
図14-3に示すラジオ・ボタンを使用して、新規のユーザー・アカウントまたはシステム・アカウントを作成し、ユーザーをRUEIインストールに保持されている設定と照合して認証する(デフォルト)か、構成済のLDAPサーバーまたはOracle SSO Serverと照合して認証するかを指定します。次に、「次へ」をクリックします。LDAPサーバーが構成されている場合は、図14-4に示したダイアログが表示されます。そうでない場合は、図14-8に示すようなダイアログが表示されます。
図14-8に示すダイアログを使用して、新規アカウントに関する次の情報を指定します。
インストール済RUEI内でユーザーを識別するユーザー名。この名前は一意である必要があります。ユーザー名は大/小文字が区別されます。Oracle SSOサーバーのユーザー認証が有効になっている場合、ユーザーは自動的にOracle SSOユーザーとして作成されることに注意してください。この場合、指定されるユーザー名はOracle SSOサーバーに定義されたユーザー名と同じであることが必要です。
ユーザーのフルネーム。
ユーザーの電子メール・アドレス。これがレポートと電子メール・アラートの送信先アドレスになります。正しいアドレスであることを確認してください。
ユーザーをインストール済RUEIでのローカルの設定と照合して認証する場合は、新規ユーザーのパスワードを指定および確認入力しておく必要があります。パスワード要件の詳細は、14.6項「パスワード・セキュリティ・ポリシーの強制」を参照してください。新規パスワードはユーザーが7日以内に変更する必要があります。変更しないと、ユーザーがロックされます。
必要に応じて、「無効」チェック・ボックスを使用して、当座の間ユーザーを無効化できます。また、後で有効化することもできます。
図14-3で構成済のLDAPサーバーに対してユーザーを認証するように選択した場合は、「LDAPからユーザー・データを取得」ボタンをクリックして、構成済のLDAPサーバーからユーザーの設定を取得できます。
「次へ」をクリックして、続行します。ユーザー・アカウントを追加する場合は、手順4に進みます。14.1項「概要」で説明するようにシステム・アカウントを追加する場合は、手順5に進みます。
ユーザー・アカウントを追加する場合、図14-5に示すダイアログが表示されます。
チェック・ボックスとメニューを使用して、新規ユーザーに割り当てるロールと権限を指定します。これらについては、14.2項「ユーザー・アカウントのロールと権限の概要」で詳しく説明しています。新規ユーザーに割り当てられる権限が「完全」アクセス・レベル権限を下回る場合は、「認可」メニューを使用して、ユーザーが情報を見ることができる特定のアプリケーション、スイートおよびサービスを指定する必要があります。
システム・アカウントを追加する場合は、図14-6に示すダイアログが表示されます。
システム・アカウントには、アプリケーション、スイートおよびサービス・データへのフル・アクセス権があります。ADF監視サービスおよびEnterprise Managerアクセスの設定の詳細は、RUEIインストレーション・ガイドを参照してください。
「終了」をクリックして、ユーザー定義を作成します。図14-1に示すユーザー・リストに戻ります。
注意: 前述の設定の他に、多数の追加設定(言語やメーリング・タイプなど)があります。これらはユーザーの作成時にデフォルト値に設定されます。これらの追加設定は、1.5項「環境のカスタマイズ」に説明されている手順を使用して変更することもできます。 |
ユーザー定義を変更するには、「システム」→「ユーザー管理」の順に選択します。図14-1に示す「ユーザー管理」パネルが表示されます。目的のユーザーを右クリックします。図14-7に示すコンテキスト・メニューが表示されます。
表14-4に示すオプションがあります。
表14-4 ユーザーのコンテキスト・メニュー・オプション
オプション | 説明 |
---|---|
編集 |
ユーザーの定義を変更できます。この詳細は、14.5項「ユーザーの設定の変更」に記載されています。 |
アカウントの有効化/無効化 |
当座の間、ユーザー・アカウントを有効化または無効化できます。現時点で定義されているすべてのユーザーは、SSO認証が有効化されると無効になります。また、すべてのSSOユーザー・アカウントはSSO認証が無効化されると無効になることに注意してください。 |
切替え |
選択したユーザーに一時的に切り替えることができます。これは、そのユーザーに表示権限があるモジュールやレポートを表示する場合に役立ちます。自身のロールに戻るには、「ビュー」メニューから「スイッチ・バック」を選択します。選択したユーザー・アカウントが無効の場合には、このオプションは使用できないことに注意してください。 |
削除 |
選択したユーザーをシステムのユーザー管理から削除します。そのユーザーが作成したプライベート・レポートも削除されるため、注意してください。ただし、そのユーザーが作成したパブリック・レポートは引き続き他のユーザーから使用できます。 |
既存のユーザーの設定を変更する手順は、次のとおりです。
図14-1に示したユーザー・リスト内で目的のユーザーを選択し、「編集」を選択します。LDAPサーバー接続が構成されている場合(14.8項「LDAPサーバーのユーザー認証の構成」を参照)は、図14-3に示したようなダイアログが表示されます。そうでない場合は、図14-8に示すダイアログが表示されるため、手順3に進んでください。
ラジオ・ボタンを使用して、ユーザーの設定を、インストール済RUEIでの設定(デフォルト)または構成済のLDAPサーバーのどちらと照合して認証するかを指定します。次に、「次へ」をクリックします。LDAPサーバーが構成されている場合は、図14-4に示したダイアログが表示されます。そうでない場合は、図14-8に示すダイアログが表示されます。
必要に応じて、表示された任意の情報を変更します。赤のアスタリスクが付いているフィールドは必須であることに注意してください。つまり、空白にはできません。
SSOユーザーのアカウントを変更しているときに、SSO認証が無効になると、そのアカウントはローカル認証アカウントに自動的に変換されることに注意してください。したがって、ユーザーのパスワードの指定と確認が必須になります。
「無効」チェック・ボックスを使用して、ユーザーによるこのアカウントの使用を無効化できます。無効化したユーザーは後で有効化することもできます。この機能も役立ちます。前述のように、現時点で定義されているすべてのユーザー・アカウントは、SSO認証が有効化されると無効になり、すべてのSSOユーザー・アカウントはSSO認証が無効化されると無効になるためです。
ユーザーが正しいパスワードの入力を5回連続して失敗すると、ユーザー・アカウントは自動的にロックされます。このような場合は、「ロック済」チェック・ボックスの選択を解除してロックをリセットできます。パスワード・セキュリティの詳細は、14.6項「パスワード・セキュリティ・ポリシーの強制」に記載されています。このチェック・ボックスを使用して、ユーザーのアカウントのロックを解除できます。次に、「次へ」をクリックします。図14-9に示すダイアログが表示されます。
注意: ユーザーのパスワードがこのインタフェースで変更された場合、ユーザーはパスワードを自分で7日以内に変更する必要があります(1.5項「環境のカスタマイズ」に記載されている手順を使用)。そうしないと、アカウントがロックされます。 |
必要に応じて、表14-5に示す設定を変更できます。
図14-5 「ユーザー・プリファレンス」の設定
設定 | 説明 |
---|---|
言語 |
システム・メッセージとプロンプトを表示する言語です。現時点で選択可能な言語は英語のみです。 |
メーリング・タイプ |
ユーザーが受け取るレポートを複数の電子メール(レポートごとに1つ)で送信するか、単一の電子メールにバンドルするかを指定します。デフォルトは複数の電子メールです。 |
起動モジュール |
ユーザーがセッションを開始するモジュールを指定します。(たとえば、「レポート」、「システム」または「ユーザー管理」)。デフォルトはダッシュボードです(第5章「ダッシュボードの使用」を参照)。 |
最初の参照期間 |
データ・ブラウザ機能またはレポート機能の開始時の初期期間を指定します。デフォルトは直前の6時間です。 |
次に、「次へ」をクリックします。図14-5に示すようなダイアログが表示されます。
必要に応じて、チェック・ボックスとメニューを使用して、ユーザーに割り当てるロールと権限を指定します。これらについては、14.2項「ユーザー・アカウントのロールと権限の概要」で説明しています。新規ユーザーに「完全」アクセス・レベル権限が割り当てられない場合は、「認可」メニューを使用して、そのユーザーが表示できる特定のアプリケーション、スイートおよびサービスを指定する必要があります。次に、「終了」をクリックして、変更を有効にします。
スーパー管理者パスワードのリセット
admin
ユーザーのパスワードをリセットする必要が生じた場合は、set-admin-password.sh
スクリプトを使用して対応できます。この詳細は、『Oracle Real User Experience Insightインストレーション・ガイド』を参照してください。新規パスワードは(14.5項「ユーザーの設定の変更」の手順を使用して)7日以内に変更する必要があることに注意してください。
各ユーザーを定義してRUEIを使用できるように認可する必要があります。この手順の詳細は、14.1項「概要」に記載されています。インストール環境のセキュリティを最適化するために、パスワード設定機能を使用して組織のセキュリティ・ポリシーを強制できます。具体的には、ユーザー・パスワードの最大長、ユーザーがパスワードを変更する必要がある頻度、新規ユーザー・アカウント作成後のパスワードの変更期限、およびユーザー・アカウントがロックされるまでのログオン試行の失敗回数を制御できます。
インストール環境のパスワードの強制を設定する手順は、次のとおりです。
「システム」→「ユーザー管理」→「パスワード設定」をクリックします。図14-10に示すダイアログが表示されます。
表14-6に記載されている情報を指定します。
表14-6 すべてのアカウントのパスワード設定
フィールド | 説明 |
---|---|
最小長 |
ユーザー・パスワードとして必要な最小文字数を指定します。8から255文字を指定する必要があります。デフォルトは8文字です。 |
有効期限 |
ユーザーにパスワードの変更を要求する頻度を指定します。デフォルトは60日です。0に設定すると、パスワードが無期限になります。最大の有効期限は999日です。 |
最初の有効期限 |
新規ユーザー・アカウントを作成してから、最初のパスワードの変更が必要になるまでの日数を指定します。これには1から30日を指定する必要があります。これによって、管理者がユーザーのパスワードをリセットした後にユーザー自身がパスワードを変更する必要がある期限も指定されます。デフォルトは7日です。 |
許可されたログイン試行回数 |
ユーザー・アカウントがロックされるまでのログオン試行の失敗回数を指定します。これには1から10回を指定する必要があります。デフォルトは5回です。 |
システム・アカウントのパスワードの有効期限をなしに指定するには、「パスワードの有効期限なし」オプションを有効にします。次に、「保存」をクリックします。
パスワードの強制
ユーザーを作成して認可すると、次のルールが自動的に強制されます。
指定の回数の試行が失敗すると、ユーザー・アカウントがロックされます。ユーザーが再度ログオンできるようにするには、アカウントのロックを解除する必要があります(14.5項「ユーザーの設定の変更」を参照)。ただし、ロックされたユーザーにも、メール送信されるレポートやアラートが引き続き届きます。
パスワードの有効期限を0に設定し、後で0以外の値に再設定した場合(またはその逆の場合)、新しく指定した方のパスワード有効期限が既存のすべてのユーザー・アカウントに適用されます。
ユーザー・パスワードの最小長は8文字です。ユーザー・パスワードには、英数字以外の文字($、@、&、!など)を少なくとも1文字含める必要があります。
パスワードには、定義済のユーザー名またはその姓や名を含めることはできません。また、ユーザーの直前の3つのパスワードも記憶され、再使用できません。
パスワードは大/小文字が区別されます。
「完全」アクセス・レベル権限を持つユーザーは、データ・ブラウザ、レポート、KPI概要機能およびダッシュボード内のすべての情報にアクセスできます。それ以外のすべてのユーザーの場合、アクセスできる情報は各ユーザー・プロファイルの一部として管理されます。この機能の使用方法については、14.2項「ユーザー・アカウントのロールと権限の概要」で詳しく説明しています。
汎用の項目と、アプリケーション、スイートおよびサービス固有の項目
KPI、ユーザー・フローおよびダッシュボードは、汎用として定義することも、特定のアプリケーション、スイートまたはサービスに対して定義することもできます。項目内の情報へのアクセスは、各ユーザーに割り当てられる権限を介して自動的に管理されます。
項目が汎用として定義された場合は、すべてのアプリケーションへのアクセスが承認されているユーザーしか表示できません。汎用項目には、複数のアプリケーション、スイートまたはサービスの情報が含まれる場合があるためです。同様に、ユーザーが表示を許可されているのが2つのアプリケーションの情報のみの場合、その2つのアプリケーションに直接関連するKPI、ダッシュボード、データ・ブラウザ情報およびレポートしか表示できません。
セキュリティを強化するために、インストール済RUEIのローカルでの設定を使用せずにLDAPサーバーを使用してユーザー認証を有効化するようにRUEIを構成できます。LDAPサーバー接続が構成されている場合は、定義済のユーザーごとに、使用する認証方式を指定できます。admin
ユーザーは事前定義済であり、そのパスワードは初期構成時に設定されるため(『Oracle Real User Experience Insightインストレーション・ガイド』を参照)、管理者ユーザーにはローカル認証のみを使用できます。
LDAP認証を使用する場合は、ユーザー・アカウントを作成する前にLDAP接続を定義することをお薦めします。これは、以前に指定したユーザー設定の変更を不要にするためです。
LDAPサーバーの証明書の構成
LDAPセキュア・サーバーの証明書は、PEM形式を使用して、/etc/openldap/ldap.conf
ファイルのTLS_CACERTディレクティブで指定する必要があることに注意してください。証明書ファイルはルート・ユーザーが所有し、RUEIおよびApacheユーザー・グループが読取り可能である必要があります。LDAPサーバーの証明書のCNは、LDAPサーバーの完全修飾ドメイン名に一致する必要があることに注意してください。
LDAP接続の問題のトラブルシューティング
前述のLDAPセキュア・サーバーの証明書を構成する手順で、機能する接続が確立されない場合は、OpenLDAPユーティリティ(Oracle LinuxまたはRedHat Enterprise Linuxの配布セットに付属)を使用して、LDAPサーバーの構成を検証できます。このユーティリティをインストールして実行するには、次のコマンドを使用します。
sudo yum install openldap-clients
ldapsearch -x -P 2 -H "LDAP_server_URL
" -D
cn=jsmith, dc=oracle, cn-com
LDAP_server_URL
にはLDAPサーバーの完全なURLを指定し、その組合せはLDAPサーバーの構成によって異なります。正しく指定すると、そのユーザーに関する情報がLDAPサーバーから返されます。そうでない場合は、発生した問題(指定したホスト名がLDAPサーバーと一致しない、またはLDAP証明書が正常にインストールされていないなど)がレポートされます。
証明書が機能しない場合は、/etc/openldap/ldap.conf
ファイルでTLS_REQCERTディレクティブをneverに設定すると、証明書の検証やセキュアな接続の継続を中止できることに注意してください。
LDAPサーバー接続の構成
「システム」→「ユーザー管理」→「LDAP接続の構成」をクリックします。LDAPサーバー接続がすでに構成されている場合、最後のオプションは「LDAP接続の変更」として表示されます。図14-11に示すダイアログが表示されます。
表14-7に記載されている情報を指定します。
表14-7 「LDAP設定」ダイアログのフィールド
フィールド | 説明 |
---|---|
LDAP認証を許可 |
LDAPサーバーをユーザー認証に使用できるかどうかを指定します。デフォルトでは選択されていません(無効化されています)。 |
サーバー名 |
使用するLDAPサーバーのホスト名またはIPアドレスを指定します。サーバー名にプロトコル情報(LDAP://など)を含めないでください。 |
接続タイプ |
LDAPバージョンおよび接続方法を指定します。デフォルトはV2(非セキュア)です。 |
ポート番号 |
LDAPサーバーがリスニングしているポートを指定します。この情報については、必要に応じてシステム管理者に問い合せてください。デフォルト・ポートは389または636(SSL暗号化用)です。 |
検索ベース |
ユーザーIDを一意にする必要があるディレクトリ構造の場所を指定します。この場所には有効なDNを指定する必要があります。パフォーマンス上の理由により、この場所にはできるかぎり深いディレクトリを指定してください。デフォルトはディレクトリ・ツリーのルートです。 |
Anonymous |
LDAPサーバー参照を匿名ユーザーを使用して実行する必要があるかどうかを指定します。選択しない場合は、有効な識別名(DN)を指定する必要があります。このユーザーのパスワードは、新規ユーザーとして作成される際に要求されます。デフォルトでは、匿名参照が使用されます。 |
ユーザーID、電子メール・アドレス、フルネーム |
LDAPサーバーからユーザー設定を抽出するために使用する必要がある属性を指定します。デフォルトは標準のLDAP機能に基づいています。これらの属性については、必要に応じてLDAP管理者に問い合せてください。 |
必要に応じて、「テスト」をクリックして、LDAPサーバーに対して、機能する接続を確立できるかどうかを検査できます。この詳細は次の項に記載されています。次に、「保存」をクリックします。
LDAP構成設定に対して指定した変更は即座に有効になります。
LDAPサーバーのテスト
前述のように、LDAPサーバーに対する接続はテストできます。次を実行します。
セキュリティを強化するために、LDAPサーバーまたはインストール済RUEIのローカルでの設定を使用せずに、Oracle Single Sign-On(SSO)サーバーを使用してユーザー認証を有効化するようにRUEIを構成できます。
これを有効化すると、RUEIユーザー(admin
ユーザー以外)は自動的にOracle SSOログオン・ページにリダイレクトされます。ユーザーは、RUEIログイン・ダイアログ(図1-1を参照)ではなく、このページからRUEIにログオンします。admin
ユーザーは事前定義済であり、そのパスワードは初期構成時に設定されるため(『Oracle Real User Experience Insightインストレーション・ガイド』を参照)、管理者ユーザーにはローカル認証のみを使用できます。管理者権限を持つ他のユーザーも、Oracle SSOサーバーからログオンする必要があることに注意してください。
SSOサーバーのアクティブ化
SSOサーバーをアクティブにする手順は、次のとおりです。
「システム」→「ユーザー管理」→SSO接続の構成をクリックします。Oracle SSOサーバー接続がすでにアクティブになっている場合、最後のオプションはSSO接続の変更として表示されます。図14-13に示すようなダイアログが表示されます。
Oracle SSOの有効化/無効化チェック・ボックスを使用して、ユーザー認証にSSOサーバーを使用できるようにするかどうかを指定します。デフォルトでは選択されていません(無効化されています)。次に、「保存」をクリックします。
Oracle SSOサーバーを有効化または無効化した後では、RUEIからログアウトして再びログオンすることをお薦めします。こうすることで、RUEIインストールが確実に変更を反映します。
Oracle SSO認証の有効化
ユーザー認証にOracle SSOサーバーを使用するときは、次の点に注意することが重要です。
複数のSSO登録アプリケーションにユーザーがログオンしているとき、1つのアプリケーションからログアウトすると、RUEIを含む他のすべてのSSO登録アプリケーションからもログアウトします。同様に、ユーザーがRUEIからログアウトすると、SSOセッションからもログアウトします。
SSO認証が有効化されているとき:
LDAP認証は自動的に無効化されます。
レポータ・インタフェースでユーザーのパスワードを変更することはできません。ただし、admin
ユーザーのパスワードは引き続き変更できます。前述のように、このパスワードはローカルで認証されるためです。
現時点で定義されているすべてのRUEIユーザーは無効になります。これには管理者権限を持つユーザーも含まれます(admin
ユーザーを除く)。
Oracle SSO以外の既存のユーザー・アカウントを変更すると、ユーザー・アカウント名が小文字に変換されます。
現時点で定義されているパスワード・ポリシー設定(14.6項「パスワード・セキュリティ・ポリシーの強制」を参照)は、admin
ユーザーのみに適用されます。Oracle SSOサーバーでは独自に定義されたパスワード・ポリシーが強制されます。
SSOサーバーが実行していない場合、または問題が発生している場合、ユーザーはログオンできません。
Oracle SSOディレクトリにあるユーザー名は、RUEIに指定されているユーザー名と同じである必要があります。また、ユーザー名はRUEIでは小文字で格納されます。Oracle SSOユーザー名に含まれる大文字はRUEIでは自動的に小文字に変換されることに注意してください。
前述のように、admin
ユーザーは引き続きローカルで認証されます。ログオンするには次のURLを使用する必要があります。
https://Reporter
/ruei/admin.php
RUEIアプリケーションをSSOサーバーに登録するとき、ログアウトURLは次の形式で指定する必要があります。
https://hostname
/ruei/index.php?frmWindow=wnd_logout&frmLogoutMode=initial
hostname
には適切なホスト名を指定します。
Oracle SSOサーバーのインストールと構成
Oracle SSOサーバーでユーザー認証を行うには、前もってOracle HTTPサーバーをインストールおよび構成する必要があることに注意してください。詳細な手順は、『Oracle Real User Experience Insightインストレーション・ガイド』の第7章を参照してください。