| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-03 |
|
前 |
次 |
この章では、Oracle Business Intelligenceのシングル・サインオン(SSO)認証を構成するための一般的なガイドラインをいくつか紹介します。
この章の内容は次のとおりです。
|
注意: Oracle Fusion Middleware 11gでのエンタープライズレベルのSSO認証プロバイダとして、Oracle Access Managerを使用することをお薦めします。第4.2項、第4.3項および第4.4項では、Oracle Access ManagerがSSO認証プロバイダであると想定しています。第4.5項では、カスタムSSO環境のソリューションでの代替認証プロバイダについて説明します。 Oracle Fusion MiddlewareでOracle Access Managerを構成して管理する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの概要に関する項を参照してください。 サポートされているSSOプロバイダの詳細は、「システム要件と動作要件」を参照してください。 |
表4-1は、SSO認証の構成タスクを示したもので、詳細情報へのリンクが用意されています。
表4-1 タスク・マップ: Oracle Business IntelligenceのSSO認証の構成
| タスク | 説明 | 参照先 |
|---|---|---|
|
Oracle Access ManagerをSSO認証プロバイダとして構成します。 |
Oracle Business IntelligenceのURLのエントリ・ポイントを保護するようにOracle Access Managerを構成します。 |
第4.4項「Oracle Access Manager環境でのSSOの構成」 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項 |
|
HTTPプロキシを構成します。 |
プレゼンテーション・サービスからSSOプロバイダへリクエストを転送するようにWebプロキシを構成します。 |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項 |
|
Oracle WebLogic Server用に新しい認証プロバイダを構成します。 |
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインで、新しいアイデンティティ・ストアを使用するように構成します。 |
第4.4.1項「Oracle WebLogic Serverの新しい認証プロバイダの構成」 Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
|
Oracle WebLogic Serverの新しいIDアサーション・プロバイダを構成します。 |
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインで、アサーション・プロバイダとしてSSOプロバイダを使用するように構成します。 |
第4.4.2項「Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成」 Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
|
新しい信頼されたシステムのユーザーでデフォルトのBISystemUserを置き換えるように構成します。 |
Oracle Internet Directoryから新しい信頼されたシステム・ユーザー名を追加して、BISystemアプリケーション・ロールのメンバーにします。 |
第3.7項「新しい信頼できるユーザー(BISystemUser)の構成」 |
|
ユーザーおよびグループのGUIDを更新します。 |
元のアイデンティティ・ストアから新しいアイデンティティ・ストア(認証ソース)へ移行されたユーザーおよびグループのGUIDを更新します。 |
|
|
カスタムSSOソリューションを構成します。 |
Oracle Business Intelligence URLエントリ・ポイントを保護するように別のカスタムSSOソリューションを構成します。 |
|
|
Oracle Business IntelligenceがSSO認証を受け入れられるようにします。 |
Fusion Middleware Controlを使用してOracle Business Intelligenceと連携して機能するように構成されたSSOプロバイダを有効化します。 |
第4.6項「Fusion Middleware Controlの使用によるSSO認証の有効化」 |
|
注意: Oracle Business IntelligenceのSSOのインストレーション・シナリオの例については、『Oracle Fusion Middleware Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド』を参照してください。 |
シングル・サインオン(SSO)ソリューションを統合することで、ユーザーはログオン(サインオン)して認証を受けるのを一度で済ませることができます。その後、認証されたユーザーには、そのユーザーに付与された権限に応じて、システム・コンポーネントまたはリソースへのアクセス権が与えられます。Oracle Business Intelligenceは、Oracle Fusion MiddlewareおよびOracle WebLogic Serverとともに使用するように構成されたSSOソリューションで認証された受信HTTPリクエストを信頼するように構成できます。Oracle Fusion Middleware用にSSOを構成する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項を参照してください。
Oracle Business IntelligenceがSSO認証を使用するように構成されている場合、どのSSOソリューションであってもOracle Fusion Middlewareで使用するように構成されているものであれば、それによって認証されたユーザーを受け入れます。SSOが有効化されていない場合は、Oracle Business Intelligenceは、各ユーザーに対して認証資格証明を要求します。Oracle Business IntelligenceがSSOを使用するように構成されている場合、ユーザーはまずSSOソリューションの認証用のログイン・ページにリダイレクトされます。SSOソリューションによってユーザーが認証されると、ユーザー名がプレゼンテーション・サービスに転送され、そこでこの名前が抽出されます。次に、偽装機能(偽装されているユーザーの代理の役目を果たす資格証明を使用したOracle BIプレゼンテーション・サーバーとBIサーバーとの間の接続文字列)を使用して、BIサーバーとのセッションが確立されます。
SSOを使用して正常にログインした後も、ユーザーが有効なユーザー名とパスワードの組合せを使用して管理ツールにログインするには、oracle.bi.server.manageRepositoriesの権限を持っている必要があります。インストール後、デフォルトのBIAdministrationアプリケーション・ロールのメンバーとなることで、oracle.bi.server.manageRepositories権限が付与されます。
SSO認証と連携するようにOracle Business Intelligenceを構成するには、少なくとも次を実行する必要があります。
SSO認証を受け付けるようにOracle Fusion MiddlewareとOracle WebLogic Serverを構成します。本番環境では、Oracle Access Managerをお薦めします。
受信メッセージを信頼するようにOracle BIプレゼンテーション・サービスを構成します。
SSO構成でのIDの伝播に必要なHTTPヘッダー情報(つまり、ユーザーIDとSSOのCookie)を指定して構成します。
ここでは、シングル・サインオンのためのIDアサーション・プロバイダの使用により、Oracle Access Managerの認証プロバイダがOracle WebLogic Serverと連携し、次の機能を提供するしくみについて説明します。
シングル・サインオン用のIDアサーション・プロバイダ
この機能は、Oracle Access Managerの認証サービスを使用し、適切なトークンを通じて、認証済のOracle Access Managerユーザーを検証し、WebLogicで認証されたセッションを作成します。また、Webゲートとポータルの間のシングル・サインオンも提供します。Webゲートは、Webリソース(HTTP)リクエストをインターセプトし、それを認証および認可のためにアクセス・サーバーに転送するプラグインです。
認証プロバイダ
この機能は、Oracle Access Managerの認証サービスを使用して、Oracle WebLogic Serverにデプロイされているアプリケーションにアクセスするユーザーを認証します。ユーザーはその資格証明、たとえばユーザー名やパスワードに基づいて認証されます。
Oracle Access Managerの認証プロバイダをシングル・サインオン用のIDアサーション・プロバイダとして構成すると、Webリソースが保護されます。境界認証は、Web層のWebゲートと、保護されているWebLogicリソースにアクセスしようとしているユーザーのIDをアサートする適切なトークンにより実施されます。
すべてのアクセス・リクエストは、リバース・プロキシWebサーバーにルーティングされます。これらのリクエストは次にWebゲートでインターセプトされます。Oracle Access Manager内で構成されている認証スキームに基づいて、ユーザーに対して資格証明の提示が要求されます(フォームベースのログインをお薦めします)。
正常に認証されると、Webゲートがトークンを生成し、WebサーバーがリクエストをOracle WebLogic Serverに転送します。次に、Oracle WebLogic ServerがOracle Access ManagerのIDアサーション・プロバイダを呼び出し、シングル・サインオンの検証を行います。WebLogic Security Serviceがシングル・サインオンのためにOracle Access ManagerのIDアサーション・プロバイダを呼び出し、IDアサーション・プロバイダが受信リクエストからトークンを取得し、サブジェクトにWLSUserImplプリンシパルを移入します。シングル・サインオンのためのIDアサーション・プロバイダが、ユーザーがメンバーであるグループに対応したWLSGroupImplプリンシパルを追加します。次に、Oracle Access ManagerがCookieを検証します。
図4-1は、Oracle Fusion Middlewareを使用したSSOのIDアサーション・プロバイダとしてOracle Access Managerの認証プロバイダが構成されている場合の、コンポーネントの配置と情報フローを示しています。
Oracle Business Intelligenceを使用してSSOソリューションを実装するときには、次の点を検討する必要があります。
HTTPサーバーまたはサーブレット・コンテナから信頼できる情報を受け入れるとき、プレゼンテーション・サービスと直接通信を行うマシンを保護する必要があります。これを行うには、HTTPサーバーまたはサーブレット・コンテナのIPアドレスのリストが含まれているinstanceconfig.xmlファイルのListener\Firewallノードを設定します。さらに、Firewallノードには、Oracle BIスケジューラのインスタンス、Oracle BIプレゼンテーション・サービスのプラグイン・インスタンスおよびOracle BI JavaHostのインスタンスすべてのIPアドレスが含まれている必要があります。これらのコンポーネントのいずれかがOracle BIプレゼンテーション・サービスと同じ場所にある場合は、このリストに127.0.0.1も追加する必要があります。この設定はエンドユーザーのブラウザのIPアドレスを制御するものではありません。
相互に認証されたSSLを使用している場合、信頼できるすべてのホストの識別名(DN)をListener\TrustedPeersノードで指定する必要があります。
WebLogic ServerでOracle Fusion MiddlewareのSSO認証プロバイダとしてOracle Access Managerを構成する方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Fusion Middlewareでのシングル・サインオンの構成に関する項を参照してください。Oracle Access Managerの管理の詳細は、『Oracle Fusion Middleware Oracle Access Manager管理者ガイド』を参照してください。
Oracle Access ManagerをSSO認証プロバイダとして使用するようにOracle BI Publisherを構成する方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Publisher管理者および開発者ガイド』のOracle Access Manager (OAM)のシングル・サインオンを使用するためのBI Publisherの構成に関する項を参照してください。
Oracle Fusion Middleware環境を構成した後、Oracle Business Intelligenceを構成するため、一般的に次を行う必要があります。
Oracle Business IntelligenceのURLエントリ・ポイントを保護するようにSSOプロバイダを構成します。
プレゼンテーション・サービスからSSOプロバイダへリクエストを転送するようにWebサーバーを構成します。
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインのメイン認証ソースとして新しいアイデンティティ・ストアを構成します。詳細は、第4.4.1項「Oracle WebLogic Serverの新しい認証プロバイダの構成」を参照してください。
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインを、Oracle Access ManagerのIDアサーション・プロバイダを使用するように構成します。詳細は、第4.4.2項「Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成」を参照してください。
SSO環境の構成が完了したら、Oracle Business IntelligenceのSSO認証を有効化します。詳細は、第4.6項「Fusion Middleware Controlの使用によるSSO認証の有効化」を参照してください。
Oracle Business Intelligenceのインストール後、Oracle WebLogic Serverの組込みLDAPサーバーがデフォルトの認証ソース(アイデンティティ・ストア)になります。新しいアイデンティティ・ストア(OIDなど)をメイン認証ソースとして使用するには、(Oracle Business Intelligenceがインストールされている)Oracle WebLogic Serverドメインを構成する必要があります。
Oracle WebLogic Serverでの認証プロバイダの構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle WebLogic Serverで新しい認証プロバイダを構成するには:
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
デフォルトのセキュリティ・レルムはmyrealmという名前です。
「プロバイダ」タブを表示し、「認証」サブタブを表示します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動します。
次のようにフィールドに入力します。
名前: 「OID Provider」または任意の名前。
タイプ: OracleInternetDirectoryAuthenticator
「OK」をクリックし、変更を保存して、新しい認証プロバイダで更新された認証プロバイダ・リストを表示します。
認証プロバイダの表で、新たに追加した認証プロバイダをクリックします。
「設定」に移動して、「構成」→「共通」タブを選択します。
「制御フラグ」リストで「SUFFICIENT」を選択します。
「保存」をクリックします。
「プロバイダ固有」タブをクリックし、使用する環境に適切な値を使用して、次の設定を指定します。
| セクション名 | フィールド名 | 説明 |
|---|---|---|
|
接続 |
ホスト |
LDAPホスト名。たとえば、<localhost>などです。 |
|
接続 |
ポート |
LDAPホストのリスニング・ポート番号。たとえば、6050などです。 |
|
接続 |
プリンシパル |
LDAPサーバーに接続するユーザーの識別名(DN)。たとえば、cn=orcladminです。 |
|
接続 |
資格証明 |
プリンシパルとして入力されたLDAP管理ユーザーのパスワード。 |
|
ユーザー |
ユーザー・ベースDN |
ユーザーを含むLDAPサーバー・ツリーのベース識別名(DN)。たとえば、Oracle Access Managerと同じ値を使用します。 |
|
ユーザー |
すべてのユーザーのフィルタ |
LDAP検索フィルタ。たとえば、(&(uid=*) (objectclass=person))などです。アスタリスク(*)はすべてのユーザーをフィルタします。詳細は、「詳細」をクリックします。 |
|
ユーザー |
名前指定によるユーザー・フィルタ |
LDAP検索フィルタ。詳細は、「詳細」をクリックします。 |
|
ユーザー |
ユーザー名属性 |
認証に使用する属性(cn、uid、mailなど)。ディレクトリ・サーバーのユーザー名のデフォルトの属性として設定します。たとえば、uidなどです。 注意: 次のタスク、第3.5.1項「アイデンティティ・ストアでのユーザー名属性の構成」の説明のとおり、ここで指定する値は、認証プロバイダで使用しているユーザー名属性と一致する必要があります。 |
|
グループ |
グループ・ベースDN |
グループ(ユーザー・ベースDNと同じ)を含むLDAPサーバー・ツリーのベース識別名(DN)。 |
|
一般 |
GUID属性 |
LDAPでオブジェクトGUIDの定義に使用する属性。 orclguid 注意: 通常は、このデフォルト値を変更しないでください。変更する場合は、Fusion Middleware Controlでも、第3.6項「アイデンティティ・ストアでのGUID属性の構成」タスクで説明しているとおり、変更した値を指定する必要があります。 |
Oracle WebLogic Serverでの認証プロバイダの構成の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
「保存」をクリックします。
次の手順を実行して、IDアサーション・プロバイダと併用できるようにデフォルトの認証プロバイダを設定します。
メインの「myrealmの設定」ページで、「プロバイダ」タブ→「認証」サブタブを表示し、「DefaultAuthenticator」を選択して、その構成ページを表示します。
「構成」→「共通」タブを表示し、「制御フラグ」リストで「SUFFICIENT」を選択します。
詳細は、第3.4.6項「JAAS制御フラグ・オプションの設定」を参照してください。
「保存」をクリックします。
次の手順に従ってプロバイダを並べ替えます。
「プロバイダ」タブを表示します。
「並替え」をクリックし、「認証プロバイダの並替え」ページを表示します。
プロバイダ名を選択してから矢印ボタンを使用して、次の順序でプロバイダのリストを並べます。
OID認証プロバイダ: (SUFFICIENT)
OAM IDアサーション・プロバイダ: (REQUIRED)
デフォルトの認証プロバイダ: (SUFFICIENT)
「OK」をクリックし、変更を保存します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインは、Oracle Access Managerのアサーション・プロバイダを使用するように構成されている必要があります。
Oracle WebLogic Serverに新しいアサーション・プロバイダを作成する方法の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプを参照してください。
Oracle Access ManagerをOracle WebLogic Serverの新しいアサーション・プロバイダとして構成するには:
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。「プロバイダ」を選択します。
「新規」をクリックします。次のようにフィールドに入力します。
名前: 「OAM Provider」または任意の名前。
タイプ: OAMIdentityAsserter。
「OK」をクリックします。
「保存」をクリックします。
「プロバイダ」タブで、次の手順に従ってプロバイダを並べ替えます。
「並べ替え」をクリックします。
「認証プロバイダの並替え」ページでプロバイダ名を選択し、リストの横にある矢印を使用して、次の順序でプロバイダを並べます。
OID認証プロバイダ: (SUFFICIENT)
OAM IDアサーション・プロバイダ: (REQUIRED)
デフォルトの認証プロバイダ: (SUFFICIENT)
「OK」をクリックし、変更を保存します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
Oracle WebLogic Serverに再度ログインして、LDAPサーバーに格納されているユーザーおよびグループがコンソールに表示されていることを確認することによって、Oracle Internet Directoryが新しいアイデンティティ・ストア(デフォルトの認証プロバイダ)であることを確認できます。
Fusion Middleware Controlを使用して、SSO認証を有効化します。
詳細は、第4.6項「Fusion Middleware Controlの使用によるSSO認証の有効化」を参照してください。
カスタムSSO環境に参加するようにOracle Business Intelligenceを構成する方法(たとえば、Active DirectoryやSiteMinderを使用してSSOを設定するなど)の詳細は、My Oracle Supportの記事1287479.1および1274953.1を参照してください:
Oracle Fusion Middlewareで使用するように構成されたSSOソリューションを使用するようにOracle Business Intelligenceを構成したら、Fusion Middleware Controlの「セキュリティ」タブから、Oracle Business IntelligenceのSSO認証を有効化する必要があります。
Oracle Business IntelligenceでSSO認証を使用できるようにするには:
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
「セキュリティ」ページに移動して、「SSO」タブを表示します。
ページの「ヘルプ」ボタンをクリックして、要素に関するページレベルのヘルプを表示します。
「構成をロックして編集」をクリックします。
「SSOの有効化」を選択します。
選択すると、このチェック・ボックスはSSOをOracle Business Intelligenceの認証手段として有効化します。SSOの適切な形式は、選択されたSSOプロバイダに対して行われた構成設定によって決まります。
リストから構成済SSOプロバイダを選択します。
「SSOの有効化」チェック・ボックスを選択すると、SSOプロバイダ・リストがアクティブになります。
必要に応じて、構成済SSOプロバイダのログオンURLとログオフURLを入力します。
(SSOプロバイダによって指定される)ログオフURLは、システムがユーザーをログアウトさせるのではないため、SSOプロバイダが保護するドメインおよびポートの外部にある必要があります。
「適用」をクリックしてから、「変更のアクティブ化」をクリックします。
Fusion Middleware Controlを使用してOracle Business Intelligenceコンポーネントを再起動します。
詳細は、『Oracle Fusion Middleware System Oracle Business Intelligence Enterprise Edition管理者ガイド』のOracle Business Intelligenceコンポーネントの開始と停止に関する項を参照してください。
Oracle BI用のHTTP WebサーバーでSSOが有効化されていると、オンライン・カタログ・マネージャからOracle BIプレゼンテーション・サービスに接続できない場合があります。第4.6項「Fusion Middleware Controlの使用によるSSO認証の有効化」でSSOを有効にすると、Oracle Business IntelligenceのURL http://hostname:port_number/analyticsが保護され、そのかわりにオンライン・カタログ・マネージャの参照先をURL http://hostname:port_number/analytics-wsに変更することが必要になります。このURLは、保護しないまま維持する必要があります。Oracle BI Publisher、Oracle BI Add-in for Microsoft Officeおよびオンライン・カタログ・マネージャによって使用されたときにSOAPアクセスのみを受け入れるように構成されます。
SSOが有効な場合にオンライン・カタログ・マネージャにログインするには、analytics-ws/saw.dllをポイントするようにURLの接尾辞を変更する必要があります。
