Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-03 |
|
前 |
次 |
この付録では、Oracle Business Intelligenceのセキュリティの使用および構成時に発生する可能性のある一般的な問題と、それらの解決方法について説明します。項目は次のとおりです。
この項は、Oracle Business Intelligence Enterprise Edition 11gの使用時に発生する、ユーザーのログイン認証の失敗に関する最も一般的な問題の解決に役立ちます。考えられるすべてのシナリオを包括的に示すことを目的としているわけではありません。この項の内容は次のとおりです。
この項では、Oracle Business Intelligence Enterprise Edition 11gにおける認証の基本的な概念について説明します。この項の説明を読む前提条件として、このガイド全体で説明されている概念を理解している必要があります。
第C.1.2項「Oracle BI Security Diagnostics Helperの使用によるセキュリティに関する問題の自動特定」
この項では、セキュリティに関するいくつかの一般的な問題を自動的に特定できる、Oracle BI Security Diagnostics Helperアプリケーションのデプロイおよび使用方法について説明します。
第C.1.3項「ユーザーのログイン認証が失敗する原因の特定」
この項では、認証が失敗した原因を特定するためのチェックリストとして使用できる、原因と結果の図を提供します。
第C.1.4項「ユーザーのログイン認証が失敗する問題の解決」
この項では、ログイン認証が失敗する理由とその解決策を示します。
この項では、ユーザーのログイン認証が失敗する問題の解決に役立つ、認証の概念について説明します。この項の内容は次のとおりです。
インストール直後、Oracle Business Intelligenceは、DefaultAuthenticatorを経由してWebLogic組込みLDAPサーバーに対してユーザーを認証するように構成されます。インストール時にWebLogic管理者ユーザーとして入力されたアカウント資格証明を使用するWebLogic管理ユーザーをはじめ、デフォルトのユーザー・アカウントが設定されています。
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlを使用して、Oracle Business Intelligenceを構成します。これらのアプリケーションの使用方法の詳細は、第1.6項「ツールの使用によるOracle Business Intelligenceのセキュリティの構成」を参照してください。
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlにログインする際は、インストール・プロセスで管理ユーザーに指定したユーザー名とパスワードを使用する必要があります。ただし、そのアカウントを変更または削除した場合や、適切なアクセス権を持つ別のアカウントを構成した場合は除きます(第C.1.1.4項「Oracle Business Intelligenceの主要なログイン・ユーザー・アカウント」を参照)。
ユーザーのログイン認証に関する問題を診断および解決するには、次に示すWebLogicドメインおよびログ・ファイルの場所を知っておく必要があります。
注意: この項は、インストールでデフォルトの場所が使用されたことを前提としています。異なるインストール場所を指定した場合は、それに合せてパスを変更する必要があります。 |
Oracle Business IntelligenceがインストールされるWebLogicドメイン
MW_HOME/user_projects/domains/bifoundation_domain/
WebLogic管理サーバーのログ
MW_HOME/user_projects/domains/bifoundation_domain/servers/AdminServer/logs/
WebLogic管理対象サーバーのログ
MW_HOME/user_projects/domains/bifoundation_domain/servers/bi_server1/logs/
BIサーバーのログ
MW_HOME/INSTANCE/diagnostics/logs/OracleBIServerComponent/coreapplication_obisn/
この項では、主要なログイン・ユーザー・アカウントについて説明します。この項の内容は次のとおりです。
WebLogic管理ユーザー・アカウントを使用すると、WebLogic Serverを起動できます。また、Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlを使用してWebLogic Serverを管理することもできます。WebLogic管理アカウントには、Adminと呼ばれるWebLogicグローバル・ロールが割り当てられている必要があります(これはOracle Business Intelligenceアプリケーション・ロールではありません)。このグローバル・ロールでも、新しいWebLogic管理者アカウントを追加できます。
Oracle WebLogic Server管理コンソールを使用してグローバルAdminロールに対するユーザーの追加または削除を行うには:
Oracle WebLogic Server管理コンソールにWebLogic管理者としてログインし、チェンジ・センターで「ロックして編集」をクリックします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
デフォルトのセキュリティ・レルムはmyrealmという名前です。
最上部に並んだタブから「ロールとポリシー」を選択します。
ロールのリストでプラス記号をクリックして「グローバル・ロール」→「ロール」を展開し、Adminグローバル・ロールの「ロール条件の表示」リンクをクリックします。
指定されている条件が、直接、または所属するグループに基づいて、ユーザーに一致することを確認します。
たとえば、条件にはUser=myadminaccountやGroup=Administratorsがあります。
変更したら、「保存」をクリックします。
チェンジ・センターで、変更のアクティブ化をクリックします。
BIシステム・ユーザー・アカウントを使用すると、異なるOracle BIコンポーネント間の内部認証を行うことができます。このアカウントは、通常のユーザー・アカウントとして(ログイン目的やアプリケーションを使用する目的で)は使用しないでください。インストール時に作成したデフォルトのユーザーを使用しない場合は、この目的のために特別なアカウントを割り当て、システムの実際のユーザーによって使用されるアカウントは使用しないようにすることをお薦めします。
インストール時、BIシステム・ユーザー・アカウントとして使用されるBISystemUserというアカウントが、WebLogic組込みLDAPストアにデフォルトで作成されます。このアカウントの資格証明(パスワードはランダムに作成されます)は、oracle.bi.systemマップのsystem.userキーの下にある資格証明ストアに格納されます。BIシステム・ユーザーに使用されるアカウントを変更する場合、またはデフォルト認証プロバイダ・アカウントを削除する場合、WebLogic組込みLDAPに対して認証できないため、新しいBIシステム・ユーザー・アカウントを作成する必要があります。詳細は、第3.7項「新しい信頼できるユーザー(BISystemUser)の構成」を参照してください。
注意: BIシステム・ユーザー・アカウント(デフォルトではBISystemUser)は、BISystemアプリケーション・ロールおよびAdminというWebLogicグローバル・ロールに関連付けられる必要があります。BIシステム・ユーザー・アカウントに変更を加える場合は、管理サーバー、管理対象サーバーおよびOracle Business Intelligenceシステム・コンポーネントを再起動する必要があります。 |
次のいずれかの条件に該当する場合、一般にBIサーバーとBI Security Serviceとの間のユーザー認証は失敗します。
(資格証明ストア内の)ユーザー資格証明がユーザー移入と同期されない。
Oracle Business Intelligenceが再起動されていない。
この場合、BIサーバーから期限切れのsystem.user資格証明がBI Security Serviceに送信されます。
Oracle BI EEのインストール時に、Oracle Web Services Manager (OWSM)に必要なOracleSystemUserアカウントが、WebLogic組込みLDAPストアにデフォルトで作成されます。OWSMはWebLogic ServerまたはOPSSによって、Oracle Business Intelligence Security Serviceへの呼び出しを保護するために使用されます。Oracleシステム・ユーザー・アカウントが正しくない場合、Oracle Business Intelligenceのログイン・プロセスは失敗します(詳細は、第C.1.1.5項を参照)。Oracleシステム・ユーザー・アカウントの名前はOracleSystemUserで、OracleSystemGroupというグループに属している必要があります。グループOracleSystemGroupには、OracleSystemRoleというグローバル・ロールが割り当てられている必要があります。
ユーザーがシングル・サインオンを使用せずにOracle Business Intelligenceにログインするときに、認証およびユーザー・プロファイルの参照が行われます。シングル・サインオン(SSO)環境では、Oracle Business Intelligenceシステムの外部で認証が行われ、かわりにIDがアサートされますが、ユーザー・プロファイルの参照は引き続き行われます。
認証およびIDのアサートはそれぞれ認証プロバイダおよびアサーション・プロバイダによって行われ、Oracle WebLogic Server管理コンソールを使用して構成されます。ユーザー・プロファイルの参照では、単一のアイデンティティ・ストアが構成されていることに依存する、ユーザー・ロールAPIが使用されます。最初に構成された認証プロバイダが、デフォルトのアイデンティティ・ストアとして、ユーザーGUIDや電子メールの検索などに使用されます。正常にOracle Business Intelligenceにログインするには、最初に構成された認証プロバイダにユーザー移入が含まれている必要があります。詳細は、第3.4項「代替認証プロバイダの構成」を参照してください。
ログイン・プロセスでは、まずユーザーがログイン画面で資格証明を入力し、その資格証明がPresentation Services、BIサーバーの順に送信されます。BIサーバーでは、BI Security Web Service (WebLogic管理対象サーバーにデプロイされ、Webサービス・セキュリティのポリシーによって保護されます)を呼び出すことによって、ユーザー資格証明の認証が試行されます。この呼び出しでは、BIサーバーがOracle Web Services Managerに対してBIサーバーを認証することが要求されます。認証後、BIサーバーをBI Security Serviceで受信できるようになります。BIサーバーでは、ユーザーによって指定された資格証明の認証を試行する際に、oracle.bi.systemマップの下にあるsystem.userキーに格納されている資格証明を使用して(詳細は、第C.1.1.4.3項「Oracleシステム・ユーザー・アカウント」を参照)、BI Security Serviceに対してBIサーバーが認証されます。BIシステム・ユーザーの資格証明が正しくない場合、またはOracle Web Services Managerによってそれらの資格証明が認証されない場合、BIサーバーでBI Security Serviceを呼び出すことができず、ログイン・プロセスは失敗します。
Oracle BI Security Diagnostics Helperは、セキュリティに関する問題の特定に役立ちます。Oracleサポートの担当者への報告時に、Oracle BI Security Diagnostics Helperを使用することをお薦めします。詳細は、次を参照してください。
この項では、Oracle BI Security Diagnostics Helperを設定、デプロイおよび実行してOracle BIシステムの問題を特定する方法について説明します。この項の内容は次のとおりです。
Oracle BI Security Diagnostics Helperは、ユーザーがOracle BIシステムにログインできない原因となる可能性のある、構成に関する問題の診断に役立つJEEアプリケーションです。
初めてOracle BI Security Diagnostics Helperを使用する場合、アプリケーションをデプロイおよび実行する前に、設定スクリプトを実行する必要があります。
一度デプロイすれば、WebブラウザでOracle BI Security Diagnostics HelperのURLにアクセスすることによって、セキュリティに関して考えられる問題を診断できます。
以降の各項では、Oracle BI Security Diagnostics Helperの設定および使用に関するすべての手順を詳しく紹介します。
初めてOracle BI Security Diagnostics Helperを使用する前にスクリプトを実行して、Oracle BI Security Diagnostics Helperが正しく設定されていることを確認する必要があります。このスクリプトによって、診断チェックを実行するための正しい権限が付与されます。すでに設定スクリプトを実行している場合、そのスクリプトを再度実行する必要はありません。
Oracle BI Security Diagnostics Helperを設定するには(初回使用時のみ):
初回使用時のみ、addDiagnosticsCodeGrant.pyというスクリプトを実行して、Oracle BI Security Diagnostics Helperが正しく設定されていることを確認する必要があります。
コマンド・プロンプトを開き、scriptsディレクトリに移動します。
UNIXでは、scriptsディレクトリは次の場所にあります。
MW_HOME/ORACLE_HOME/bifoundation/admin/scripts
Windowsでは、scriptsディレクトリは次の場所にあります。
MW_HOME\ORACLE_HOME\bifoundation\admin\scripts
たとえば、UNIXの場合、次のようになります。
mw_home/Oracle_BI1/bifoundation/admin/scripts
設定スクリプトを実行します。
UNIXでは、次のコマンド構文を使用します。
MW_HOME/ORACLE_HOME/common/bin/wlst.sh addDiagnosticsCodeGrant.py t3://<WebLogic_host_name>:<WebLogic_port_number>
たとえば、UNIXで次のコマンドを入力します。
mw_home/Oracle_BI1/common/bin/wlst.sh addDiagnosticsCodeGrant.py t3://localhost:7001
Windowsでは、次の構文を使用します。
mw_home/Oracle_BI1/common/bin/wlst.cmd addDiagnosticsCodeGrant.py t3://<WebLogic_host_name>:<WebLogic_port_number>
たとえば、Windowsで次のコマンドを入力します。
mw_home\Oracle_BI1\common\bin\wlst.cmd addDiagnosticsCodeGrant.py t3://localhost:7001
スクリプトが正常に実行されると、コードの権限がbidiagnosticsに追加されましたと報告されます。また、スクリプトが正常に実行された場合、いくつかの警告およびエラー・メッセージが表示されますが、これらは無視できます。
入力を求められた場合は、WebLogic管理者のユーザー名とパスワードを入力します。
WebLogic Serverを再起動します。
詳細は、第C.1.2.6項「WebLogic Serverの再起動」を参照してください。
Oracle BI Security Diagnostics Helperをデプロイする必要があります。Oracle BI Security Diagnostics Helperは、インストール時に自動的にWebLogic Serverにデプロイされません。
Oracle BI Security Diagnostics Helperをデプロイするには:
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「デプロイメント」をクリックします。
「インストール」をクリックします。
bidiagnostics.earファイルを選択します。
UNIXでは、bidiagnostics.earファイルは次の場所にあります。
MW_HOME/ORACLE_HOME/bifoundation/jee
例:
mw_home/OracleBI1/bifoundation/jee/bidiagnostics.ear
「次へ」をクリックし、「アプリケーション・インストール・アシスタント」ページを表示します。
「このデプロイメントをアプリケーションとしてインストールする」を選択します(すでに選択されています)。
「次へ」をクリックし、「デプロイ・ターゲットの選択」ページを表示します。
「サーバー」領域で「AdminServer」を選択します。
「次へ」→「終了」をクリックします。
「変更のアクティブ化」をクリックします。
Oracle BI Diagnostic Helperの状態が「準備が完了しました」に変更され、起動可能になります。
次のメッセージが表示されます。「すべての変更がアクティブ化されました。再起動は不要です。」
デプロイ後、Oracle BI Diagnostics Helperは自動的に起動しないため、実行する必要があります。
Oracle BI Security Diagnostics Helperを実行するには:
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「デプロイメント」をクリックします。
「bidiagnostics」チェック・ボックスを選択します。
「起動」をクリックし、次のいずれかのオプションを選択します。
- すべてのリクエストを処理
- 管理リクエストのみを処理
Oracle BI Security Diagnostics Helperが設定され、実行されます。
起動時に、bidiagnosticsの状態が「アクティブ」に設定されます。
Oracle BI Security Diagnostics Helperでは、次のトピックで概説する一連のセキュリティ・テストが実行されます。
注意: セキュリティ・テストを開始するには、次の例のようなURLをWebブラウザに入力します。 http://mycomputer:7001/bidiagnostics/security/diagnostics.jsp Use this URL for this release. http://mycomputer:7001/bidiagnostics/security Use this URL for later releases. |
OWSMのテストでは、次の内容が実行されます。
MDS-OWSMデータ・ソースが存在するかどうかを確認し、見つかった場合はその場所を報告します。
たとえば、MDS-OWSMデータ・ソースが見つかった場合、このチェックから次のメッセージが返される場合があります。
JNDIパスjdbc/mds/owsmにデータ・ソースが見つかりました。
MDS-OWSMへの接続を確認します。
このチェックでは、スキーマに正常に接続されたことが確認されます。チェックが失敗した場合は、エラー・メッセージが返されます。
OracleSystemUserが存在するかどうかを確認します。
このチェックでは、ユーザーが存在することが確認されます。チェックが失敗した場合は、エラー・メッセージが返されます。
OracleSystemUserがOracleSystemGroupに属しているかどうかを確認します。
このチェックでは、チェックが成功したかどうかが確認されます。チェックが失敗した場合は、エラー・メッセージが返されます。
BIシステム・ユーザーのテストでは、次の内容が実行されます。
system.userキーが資格証明ストアに存在するかどうかを確認します。
このチェックでは、system.userキーが存在することが確認されます。チェックが失敗した場合は、エラー・メッセージが返されます。
system.userアカウントを認証します。
system.userの権限を確認します。
このチェックでは、system.userの権限が存在することが確認されます。チェックが失敗した場合は、エラー・メッセージが返されます。
ユーザー資格証明の認証テストでは、次の内容が実行されます(すべてのフィールドを入力し、認証のテストをクリックした場合)。
認証プロバイダを使用するアイデンティティ・ストアを確認します。
Oracle BI Security Serviceの認証を確認します。
Oracle BI Web Serviceの認証を確認します。
WebLogic Serverを再起動するには:
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「ドメイン構造」領域で、「環境」→「サーバー」の順にクリックします。
「サーバーのサマリー」ページで、「制御」タブを表示します。
「bi_server1」
を選択し、「停止」をクリックします(必要に応じて「作業完了時」または「ただちに強制停止」を選択します)。
クラスタを使用している場合は、複数のBIサーバー(bi_server1、bi_server2など)を選択します。
すべてのBIサーバーが停止したら、次の手順に進みます。
「AdminServer」
を選択し、「停止」をクリックします(必要に応じて「作業完了時」または「ただちに強制停止」を選択します)。
コマンド・プロンプトを開き、startWebLogicスクリプトがあるディレクトリに移動します。
たとえば、UNIXの場合、次のようになります。
user_projects/domains/bifoundation_domain/bin
WebLogic Serverを起動します。
UNIXで、次のコマンドを入力します。
./startWebLogic.sh
プロンプトが表示されたら、ユーザー名とパスワードを入力します。
WebLogic Serverが起動したら、次の手順に進みます。
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「ドメイン構造」領域で、「環境」→「サーバー」の順にクリックします。
「サーバーのサマリー」ページで、「制御」タブを表示します。
「bi_server1」
を選択し、「起動」をクリックします。
クラスタを使用している場合は、複数のBIサーバー(bi_server1、bi_server2など)を選択します。
この項は、Oracle Business Intelligenceへのログイン時に認証が失敗する原因を特定するのに役立ちます。
図C-1および図C-2は原因と結果の図です。これらを使用して、ユーザーのログイン認証が失敗する原因として考えられる問題を特定できます。ユーザーのログイン認証が失敗する原因として考えられる問題を特定したら、第C.1.4項「ユーザーのログイン認証が失敗する問題の解決」で問題の解決方法を参照してください。
図C-1は、ログインが失敗する原因を特定するのに役立ちます。図C-1を使用しても、ログインが失敗する原因を特定できない場合は、かわりに図C-2を使用します。
図C-1の説明は、次のとおりです。
認証プロバイダが正しく構成されていない。
Oracle Business Intelligenceで認定されている正しい認証プロバイダがアイデンティティ・ストア用に構成されていることを確認します。
ユーザーがOracle WebLogic Server管理コンソールに表示されていることを確認します。
グループがOracle WebLogic Server管理コンソールに表示されていることを確認します。
適切な権限を持つユーザーがOracle WebLogic Server管理コンソールにログインできることを確認します。
認証プロバイダの順序および制御フラグが正しいことを確認します。
認証プロバイダが正しく構成されていない(二次的な問題)。
構成の変更後にWebLogic Serverが再起動されていることを確認します。
WebLogic Serverが起動しない場合は、WebLogic管理ユーザーが正しくLDAPに移動されていることを確認します。
指定した属性(ユーザーのGUIDなど)がLDAPストアにあるものと一致することを確認します。
名前指定によるフィルタの問合せが正しいことを確認します。
ユーザーおよびグループ・ベースDNの設定が正しいことを確認します。
LDAP接続に使用するアカウントが十分な権限を持っていることを確認します。
1人のユーザーのみが影響を受ける。
正しい資格証明が使用されていることを確認します。
ユーザー・アカウントがロックされていない、または失効していないことを確認します。
通信障害が発生する。
アイデンティティ・ストアが使用可能であることを確認します。
すべてのBIシステム・プロセスが実行中であることを確認します。
すべてのJEEアプリケーションが実行中であることを確認します。
図C-1を使用してもログインが失敗する原因を特定できない場合は、図C-2が別の原因の特定に役立ちます。ただし、図C-2を使用した後も、引き続きログインが失敗する原因を特定できない場合は、次の場所からOracleサポートに連絡してください。
図C-2の説明は、次のとおりです。
BIシステム・ユーザーの認証が失敗する。
BISystemユーザー・アカウントが存在し、正しいロールが割り当てられていることを確認します。
BISystemユーザーが資格証明ストアと同期されていることを確認します。
BISystemユーザー・アカウントがアイデンティティ・ストア内にあることを確認します。
BIシステム・ユーザーの資格証明に対する変更のWebLogic組込みLDAPレプリケーションが失敗していないことを確認します。
アイデンティティ・ストア・プロバイダ(OPSS)が正しく構成されていない。
SQL認証プロバイダを使用している場合、アダプタが正しく構成されていることを確認します。
ユーザー名またはGUIDに指定された属性が、WebLogic認証プロバイダのデフォルト値以外の値に設定されている場合、OPSSの構成が一致することを確認します。
Oracle Business Intelligenceリリース11.1.1.5(またはそれ以降)で、次の内容を確認します。
仮想化がtrueに設定されている。
制御フラグがOracle Business Intelligenceリリース11.1.1.3と同様に設定されている(次の項目を参照)。
Oracle Business Intelligenceリリース11.1.1.3で、(BIシステム・ユーザーのユーザー移入を参照する)認証プロバイダが、プロバイダのリストの先頭にある制御フラグであることを確認します。
構成の変更後にWebLogic Serverが再起動されることを確認します。
Oracle Business Intelligenceリリース11.1.1.5(またはそれ以降)で、仮想化がtrueに設定されていて、アイデンティティ・ストアでSSLが要求される場合は、仮想化が正しく構成されている必要があります。詳細は、第5.4.6項「複数認証プロバイダ使用時のSSLの構成」を参照してください。
Oracle Web Services Managerでエラーが発生する。
データベースが、インストール時に作成されたMDS-OWSMスキーマに接続されることを確認します。
OWSMでOWSMリソースへのアクセスに使用される、OracleSystemUserアカウントが動作していることを確認します。
この項では、ユーザーのログイン認証の失敗について、およびその問題の解決方法を説明します。この項の内容は次のとおりです。
第C.1.4.2項「認証プロバイダが正しく構成されていないことが原因でOracle Business Intelligenceにユーザーがログインできない」
第C.1.4.3,項「Oracle Web Services Managerが動作していないときにOracle Business Intelligenceにユーザーがログインできない」
第C.1.4.4項「Oracle Business Intelligenceにユーザーがログインできない: BIシステム・ユーザーの認証が動作しているかどうか」
第C.1.4.5項「Oracle Business Intelligenceにユーザーがログインできない: 外部アイデンティティ・ストアが正しく構成されているかどうか」
この項には次のトピックが含まれます:
最初に確認することは、ユーザーがOracle Business Intelligenceにログインできない原因が、単純なエラーであるかどうかです。たとえば、ユーザーが正しくないパスワードを入力したことなどが考えられます。他のユーザーはOracle Business Intelligenceにログインできるが、1人のユーザーがログインできない場合は、ユーザーの資格証明を確認します。または、第C.1.4.1.2項を参照してください。
多くのLDAP認証プロバイダでは、ログインの試行回数が指定されたしきい値を超えた場合、ユーザー・アカウントがロックされます。たとえば、ログインの試行が3回失敗したら、自動攻撃を受けないようアカウントがロックされる場合があります。
ユーザーが繰り返しログインを試行した場合、正しくない資格証明の入力回数が、このメカニズムがトリガーされる回数に達した可能性があります。選択したアイデンティティ・ストアのドキュメントを参照し、ユーザー・アカウントのロックを解除する方法を確認します。たとえば、WebLogic組込みLDAPの使用時にロックされたユーザー・アカウントのロックを解除するには、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザー・アカウントのロック解除に関する項を参照してください。
認証が失敗する最も一般的な原因は、WebLogic Serverで認証プロバイダが正しく構成されていないことです。内容は次のとおりです。
WebLogic Serverでは、組込みLDAP認証プロバイダに加えて、様々なサーバー固有の認証プロバイダが使用されます。その理由は、一部のLDAPサーバー製品には相違があり、汎用のLDAPサーバーではないため、組込みLDAP認証プロバイダがこれらのサーバー製品に対して問い合せるよう構成された場合、プロバイダが動作しない可能性があるためです。たとえば、汎用LDAPサーバーは、Active Directory (AD)がLDAPを完全に実装していることが明らかで、正常にADをLDAPサーバーとして多くのLDAP問合せツールに提供している場合でも、ADと連携して動作しません。使用しているLDAPサーバーを特定し、適切な認証プロバイダを構成します。
プライマリ・アイデンティティ・ストアとして使用するLDAPサーバーの構成設定が正しく構成されていない場合は、ユーザーを正しく認証できません。いくつかの一般的なチェック項目は、次のとおりです。
LDAP接続に使用するアカウント。
LDAP認証プロバイダに固有の構成で、LDAPサーバーへの接続に使用されるプリンシパルのDNを指定する必要があります。このアカウントが存在し、ユーザーまたはグループ・ベースDNに指定されたツリーからユーザーまたはグループ移入を取得する問合せを実行するのに十分な権限を持っている必要があります。制限付きのLDAP環境では、通常のユーザー・アカウントに付与される権限よりも上位の昇格した権限が必要になる場合があります。
ユーザーおよびグループ・ベースDNが正しいことを確認します。
グループおよびユーザーは、どちらもユーザーまたはグループ・ベースDNによって指定されたツリー内で検索されます。指定されたツリーに、実際にユーザーまたはグループ移入が含まれていることを確認してください。
名前指定によるフィルタの問合せが正しいことを確認します。
グループおよびユーザーは、ベースDNに指定されたツリー内で見つかります。これには、「名前指定によるユーザー・フィルタ」および「名前指定によるグループ・フィルタ」に指定された問合せが使用されます。%uは、特定のユーザーに関する問合せ時(認証時も含まれます)に渡されるユーザーIDのプレースホルダとして使用され、%gは、特定のグループの参照時に渡されるグループ名のプレースホルダとして同様に使用されます。指定した問合せがディレクトリにとって構文的および論理的に正しいことを確認します。また、認証プロバイダの構成で指定した資格証明を使用して、それらの問合せをLDAPブラウザから実行できる(および予想どおりの結果が得られる)ことをテストします。
指定した属性がLDAPストアにあるものと一致することを確認します。
ユーザー、グループおよびGUIDの属性やオブジェクト・クラスがすべて、認証プロバイダの構成で指定されていることを確認します。認証プロバイダは実用的なデフォルト値で事前構成されますが、必ずしもそれらが使用中の値でないサイトも多くあります。(たとえば)ユーザー名の属性に指定された値が存在すること、およびその値が実際にサイト上のLDAPサーバーのユーザー名に使用されていることを確認する必要があります。
WebLogic管理ユーザーがLDAPに移動されていて、WebLogicを起動できない。
WebLogic管理ユーザーを組込みLDAPから移動した場合やDefaultAuthenticatorを削除した(つまりWebLogic管理ユーザーのLDAP認証に依存する)場合、および認証プロバイダが正しく構成されていない場合、WebLogic Serverは起動しません。
ユーザーがOracle WebLogic Server管理コンソールにログインできるかどうかを確認します。
引き続きOracle WebLogic Server管理コンソールにログインできると仮定し(また、WebLogicを起動できれば、サーバーの起動に使用した資格証明を使用してOracle WebLogic Server管理コンソールにログインできます)、いずれかのLDAPユーザーにWebLogicのグローバルAdminロールを割り当て、そのユーザーがOracle WebLogic Server管理コンソール(http://<biserver>:7001/console)にログインできるかどうかを確認します。Oracle WebLogic Server管理コンソールにログインできるがOracle Business Intelligenceにはログインできない場合、LDAP認証プロバイダの構成は正しくても、Oracle Business Intelligenceにはアクセスできない可能性があります。この場合、次の2つの内容を確認します。
ユーザーが格納されたアイデンティティ・ストアは、アイデンティティ・ストアとしてOPSSに公開されない場合があります。認証プロバイダの順序および制御フラグに関する項を確認してください(第C.1.4.2.3項「認証プロバイダの制御フラグが正しく設定され順序付けされているかどうか」を参照)。
ユーザーはLDAPに対して正しく認証されますが、BIシステム・ユーザーに問題があり、BI Security Serviceでユーザーを認証できません(第C.1.4.4項「ユーザーがOracle Business Intelligenceにログインできない: BIシステム・ユーザーの認証が動作しているかどうか」を参照)。
注意: 一時的にWebLogicグローバルAdminロールをユーザーに割り当て、このシナリオをテストする場合は、テストが完了した直後にこのロールを削除してください。これを行わなかった場合、1人(グループ名の一致によってロール条件を指定した場合は多数)のユーザーに、意図したよりも強力な権限が付与される可能性があります。 |
プライマリ・アイデンティティ・ストアは、認証プロバイダのリストの先頭項目として設定されている必要があります(Oracle Business Intelligenceリリース11.1.1.5(またはそれ以降)では、仮想化がtrueに設定されている場合、この制限は適用されません)。Oracle Business Intelligenceでは、OPSSのユーザー・ロールAPIが使用されます。このAPIでは、ユーザーGUID、プロファイル情報、ロールを参照するときなど、認証プロバイダのリストの先頭にあるアイデンティティ・ストアのみが参照されます。これがこのシナリオの主な原因です。その結果、ユーザーはOracle WebLogic Server管理コンソールにログインできます(したがってログインの認証部分は成功します)が、Oracle Business Intelligenceにはログインできません(ユーザーが格納されたアイデンティティ・ストアがリストの先頭にないため)。
複数の認証プロバイダを構成する場合、通常はすべての制御フラグをSUFFICIENTに設定する必要があります。これにより、認証が成功するまで、各認証プロバイダに対して順に認証を試行できるようになります。認証が成功すると、それ以降の認証プロバイダに対しては認証が試行されません。すべての認証プロバイダで、提供された資格証明を認証できなかった場合、認証プロセス全体が失敗します。
注意: インストール時に、DefaultAuthenticatorはREQUIREDに設定されます。別の認証プロバイダを構成し、DefaultAuthenticatorを保持する場合は、DefaultAuthenticatorをSUFFICIENTまたはOPTIONALに設定する必要があります。ここで概説した理由から、お薦めする設定はSUFFICIENTです。 |
Oracle Web Services Manager (OWSM)によってBI Security Serviceが保護されるため、OWSMが動作していない場合、どのプログラムもBI Security Serviceを呼び出すことができず、この問題が解決されるまで認証は成功しません。
OWSMが失敗する一般的な原因は、次のとおりです。
第C.1.4.3.1項「データベースに関する問題 - OWSMでポリシーを取得できない」
インストール時に作成されたMDS-OWSMスキーマへの接続に関する問題です。
第C.1.4.3.2項「OracleSystemUserに関する問題 - OWSMでポリシーを取得できない」
OWSMでOWSMリソースへのアクセスに使用されるOracleSystemUserアカウントに関する問題です。
BIシステム・ユーザーの認証が失敗する問題の詳細は、第C.1.4.4項「Oracle Business Intelligenceにユーザーがログインできない: BIシステム・ユーザーの認証が動作しているかどうか」を参照してください。
OWSMでは、ポリシー定義を含むOWSMのメタデータが、MDSスキーマのOWSMサブセクションに格納されます。このメタデータへのアクセスには、インストール時に作成される、mds-owsmという接続プールが使用されます。スキーマへのアクセスに関する問題が発生した場合(たとえば、データベースが使用できない、正しくない資格証明がある、データベース・アカウントがロックされているなど)、Oracle Business Intelligenceの認証は失敗します。
管理対象サーバーの診断ログに、次のようなエラー・メッセージが記録されます。
[2011-06-28T14:59:27.903+01:00] [bi_server1] [ERROR] [] [oracle.wsm.policymanager.bean.util.PolicySetBuilder] [tid: RTD_Worker_2] [userId: <anonymous>] [ecid: de7dd0dc53f3d0ed:11d7f503:130d6771345:-8000-0000000000000003,0] [APP: OracleRTD#11.1.1] 無効な構成または非アクティブ状態のために\\\"t3://biserver:7001,biserver:9704\\\"でポリシー・マネージャへの接続を確立できないことが原因で、URI \\\"oracle/wss_username_token_client_policy\\\"により参照されるポリシーを取得できませんでした。
また、データ・ソースの接続プールを確立または作成できないことに関する複数のエラーが管理サーバーのログに記録されます。
この問題を解決するには、次の内容を確認する必要があります。
MDS-OWSMデータ・ソースに指定したデータベース・スキーマが使用できるかどうか。
正しい資格証明を指定したかどうか。
それらの資格証明を使用して標準のデータベース・ツール(SQL Plus、Jdeveloper DBツールなど)でスキーマにアクセスできるかどうか。
mds-owsmデータ・ソースが正しく構成されているかどうか。
MDS-OWSMデータ・ソースをテストするには:
Oracle WebLogic Server管理コンソールにログインします。
左ペインで「サービス」をクリックし、「データ・ソース」をクリックします。
「構成」ページを表示し、「mds-owsm」をクリックします。
「監視」タブを選択し、「テスト」ページを表示します。
サーバーを選択し、「データ・ソースのテスト」をクリックします。
MDS-OWSMデータ・ソースを構成するには:
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
左ペインで「サービス」をクリックし、「データ・ソース」をクリックします。
「構成」ページを表示し、「mds-owsm」をクリックします。
「構成」タブを選択し、「接続プール」ページを表示します。
適切な変更を構成します。
「保存」をクリックして変更を保存します。
チェンジ・センターで、変更のアクティブ化をクリックします。
WebLogic ServerおよびOracle Business Intelligenceコンポーネントを再起動します。
OWSMでは、デフォルトでポリシーの取得にOracleSystemUserアカウントが使用されます。このアカウントが見つからず認証できない場合や、このアカウントに正しいWebLogicグローバル・ロールが割り当てられていない場合、処理は失敗します。
管理対象サーバーの診断ログに、次のようなログ・メッセージが記録されます。
[2011-06-28T14:59:27.903+01:00] [bi_server1] [ERROR] [] [oracle.wsm.policymanager.bean.util.PolicySetBuilder] [tid: RTD_Worker_2] [userId: <anonymous>] [ecid: de7dd0dc53f3d0ed:11d7f503:130d6771345:-8000-0000000000000003,0] [APP: OracleRTD#11.1.1] 無効な構成または非アクティブ状態のために\\\"t3://biserver:7001,biserver:9704\\\"でポリシー・マネージャへの接続を確立できないことが原因で、URI \\\"oracle/wss_username_token_client_policy\\\"により参照されるポリシーを取得できませんでした。[[
OWSMがOracleSystemRole WebLogicグローバル・ロールに含まれていないことが問題である場合、このエントリの後に、次のログ・エントリが記録されます。
java.rmi.AccessException: [EJB:010160]セキュリティ違反: ユーザー''OracleSystemUser''にはEJB type=<ejb>, application=wsm-pm, module=wsm-pmserver-wls.jar, ejb=DocumentManager, method=retrieveDocuments, methodInterface=Remote, signature={java.lang.String,java.util.Map}にアクセスするための許可がありません。
OracleSystemUserがアイデンティティ・ストアにあるOracleSystemGroupグループのメンバーであること、およびグループにWebLogicグローバル・ロールOracleSystemRoleが割り当てられていることを確認する必要があります。詳細は、第3.4.7.1項「唯一の認証プロバイダとしてのOracle Internet Directory LDAP認証の構成」の手順3~6を参照してください(これらの手順は、引き続き他のLDAPサーバーに適用されます)。
また、OracleSystemUserアカウントを認証できないか、このアカウントが存在しない(LDAPアイデンティティ・ストアに移行し、新しいOracleSystemUserアカウントを新しいアイデンティティ・ストアに作成することなくDefaultAuthenticatorを削除した場合など)ことが問題である場合、次のようなログ・エントリが記録されます。
原因: javax.security.auth.login.FailedLoginException: [Security:090304]ユーザーOracleSystemUserの認証が失敗しました。javax.security.auth.login.FailedLoginException: [Security:090302]認証が失敗しました。ユーザーOracleSystemUserが拒否されました
: weblogic.security.providers.authentication.LDAPAtnLoginModuleImpl.login(LDAPAtnLoginModuleImpl.java:261)
このエラー・メッセージは、次のようないくつかの異なる問題が原因で記録されます。
DefaultAuthenticatorを削除し、そのかわりに使用している新しいアイデンティティ・ストアにOracleSystemUserというアカウントを作成していない。
新しいアイデンティティ・ストアの認証プロバイダを正しく構成していないことが原因で、OracleSystemUserアカウントが見つからない。
LDAPサーバーでOracleSystemUserアカウントがなんらかの原因でロックされているか無効になっている。
考えられるそれぞれの問題についてシステムを確認し、必要に応じてシステムを再構成および再起動した後、再試行します。
BIシステム・ユーザー・アカウント(デフォルトの名前はBISystemUserです)は、BI Security ServiceおよびOracle Business Intelligenceの認証機能全体において重要です。ユーザーがログイン時に提供した資格証明の確認がBIサーバーによって試行されるときに、BIシステム・ユーザー・アカウントによって、BIサーバーで実行されるBI Security Serviceへの呼び出しが認証されます。この呼び出しが失敗した場合、Oracle Business Intelligenceでは、優先メカニズムであるFusion Middlewareのセキュリティに対してユーザー・ログイン(つまり、WebLogicを通じて構成されたアイデンティティ・ストア内のユーザー)を認証できません。BIシステム・ユーザーの認証が失敗した場合、次のエラー・メッセージがBIサーバーのnqserver.logに記録されることがあります。
[2011-06-28T11:30:36.000+00:00] [OracleBIServerComponent] [ERROR:1] [] [] [ecid: c594c519d241c3b9:-2173cea0:130d2098159:-8000-00000000000019ba] [tid: 4734ba0] BI Security Serviceからのエラー・メッセージ: FailedAuthentication : セキュリティ・トークンを認証できません。
[2011-06-28T11:30:36.000+00:00] [OracleBIServerComponent] [ERROR:1] [] [] [ecid: c594c519d241c3b9:-2173cea0:130d2098159:-8000-00000000000019ba] [tid: 4734ba0] [nQSError: 43126] 認証に失敗しました: ユーザーまたはパスワードが無効です。
また、対応する次のようなエントリも管理対象サーバーの診断ログに記録されます。
[2011-06-27T11:06:46.698-07:00] [bi_server1] [NOTIFICATION] [] [oracle.bi.security] [tid: [ACTIVE].ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: BISystemUser] [ecid: 004dfIJ^08LATOB[2011-06-28T04:27:48.011-07:00] [bi_server1] [ERROR] [WSM-00008] [oracle.wsm.resources.security] [tid: [ACTIVE].ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: c594c519d241c3b9:-2173cea0:130d2098159:-8000-00000000000019a1,0:1:1:8:1] [WSM_POLICY_NAME: oracle/wss_username_token_service_policy] [APP: bimiddleware#11.1.1] Webサービス認証に失敗しました。[[
javax.security.auth.login.LoginException: [Security:090303]ユーザーBISystemUserの認証が失敗しました。weblogic.security.providers.authentication.LDAPAtnDelegateException: [Security:090295]予期しない例外が捕捉されました
: oracle.security.jps.internal.jaas.module.authentication.JpsUserAuthenticationLoginModule.login(JpsUserAuthenticationLoginModule.java:71)
このメッセージは、BIサーバーからBI Security Serviceへの正常な呼び出しがOWSMによって許可されなかったことを示しています。許可されなかった理由は、OWSMで(ログイン時のエンド・ユーザーではなく)BIサーバーによって提供された資格証明を有効なものとして認証できなかったためです。BIサーバーでは、oracle.bi.systemマップのsystem.userキーを参照することによって、資格証明ストアからこの呼び出しに使用する資格証明が取得されます。これらがOWSMによって認証される資格証明です。
次のリストは、BISystemUserアカウントでの失敗について考えられる理由を示しています。
第C.1.4.4.1項「BIシステム・ユーザー・アカウントが存在しない、正しいロールが割り当てられていない、または資格証明ストアと同期されていない」
外部LDAPストアを使用している理由で、DefaultAuthenticatorを削除し、新しいアイデンティティ・ストアにBIシステム・ユーザー・アカウントを作成しなかった。
資格証明ストアのsystem.userキーに指定したアカウントを変更したが、新しいアカウントに正しいロールが割り当てられていない。
指定したアカウントのパスワードを変更したが、資格証明ストアを新しい資格証明で更新していない(またはその後システムを再起動していない)。
第C.1.4.4.2項「基礎となるアイデンティティ・ストアのBIシステム・ユーザー・アカウントに関する問題」
BIシステム・ユーザー・アカウントとして指定したアカウントがロックされているか、パスワードの期限が切れている(基礎となるアイデンティティ・ストアのアカウントに問題がある)。
第C.1.4.4.3項「BIシステム・ユーザーの資格証明に対する変更の組込みWebLogic LDAPレプリケーションが失敗した」
指定したアカウントのパスワードを変更したことが原因で、管理対象サーバーへのレプリケーションが失敗した(これはDefaultAuthenticatorをWebLogic組込みLDAPで使用した場合のみ該当します)。
BISystemUserアカウントに関するこれらの問題を解決するには、第3.7項「新しい信頼できるユーザー(BISystemUser)の構成」の手順に従います。
指定したアカウントにBISystemアプリケーション・ロールおよびWebLogicのグローバルAdminロールが割り当てられ、資格証明ストアのsystem.userキーが新しいアカウント名とパスワードで更新される必要があります。
これらの手順を完了したら、すべてのOracle Business IntelligenceコンポーネントとWebLogic管理対象サーバーおよび管理サーバーを再起動し、Oracle Business IntelligenceコンポーネントをBI Security Serviceと同期します。これを行わなかった場合、問題が解決されない可能性があります。
認証の試行が複数回失敗した後で、ユーザー・アカウントをロックするよう一部のLDAPサーバーを構成することは珍しくありません。BI Security Serviceとの通信を試行する際に、BIサーバーによって自動的にBIシステム・ユーザーの資格証明が提供されます。パスワードの変更時に資格証明ストアの再同期やサービスの再起動を行わなかった場合、BIサーバーによる認証の試行が複数回失敗し、意図しないアカウントのロックが発生することがあります。
同様に、一部のサーバーは、資格証明の期限が一定期間後に切れ、リセットされることを要求するよう構成されます。これもBIシステム・ユーザーの認証が失敗する原因となります。
アカウントが誤ってロックされたり期限が切れたりすることを防ぐために、LDAPサーバーのポリシーを確認します。
このシナリオが発生することはほとんどなく、システムでDefaultAuthenticatorを通じてWebLogic組込みLDAPサーバーが使用されたときのみ発生します。このシナリオを理解するには、BIシステム・ユーザーのパスワードの変更(Oracle WebLogic Server管理コンソールを使用します)が、まず管理サーバーで行われ、その後管理対象サーバーにレプリケートされることを理解する必要があります。BI Security Serviceでは、管理対象サーバーにレプリケートされたコピーに対して認証が行われます。ただし、管理対象サーバーへのレプリケーションが失敗したことに気付かず、資格証明ストアの資格証明を変更し、新しいパスワードと同期した場合、この2つは一致しなくなります。この状況が発生した場合、次のようなログ・エントリが管理サーバーのログに作成されます。
####<2011/06/09 17:18:17 GMT> <Error> <EmbeddedLDAP> <bisrv01> <AdminServer> <VDE Replication Thread> <<anonymous>> <> <3425d20f6361741a:-2e8537d2:130736e27a9:-8000-000000000000000f> <1307607517792> <BEA-000000> <承諾'bi_server1': 変更番号1698の送信中にエラーが発生しました - 無効な名前: cn=",ou=groups,ou=myrealm,dc=bifoundation_domain。
この問題が発生しているように見えるが、該当するエントリが見つからない場合、最も可能性が高いのは、資格証明ストアの資格証明が純粋にアイデンティティ・ストアのものと一致していないことです。両方の場所に正しく変更が適用され、変更後にすべてのサービスが再起動されたことを再度確認します。
外部アイデンティティ・ストアをプライマリ・ユーザー移入として構成した場合は、プロバイダ構成の次の内容を確認します。
プライマリ・ユーザー移入を参照する認証プロバイダは、プロバイダの中で最初に設定する必要があります(リリース11.1.1.5(またはそれ以降)および仮想化がtrueに設定されている場合は除きます)。
DefaultAuthenticatorが引き続き有効になっている場合は、DefaultAuthenticatorと、プライマリ・ユーザー移入を参照する認証プロバイダの両方がSUFFICIENTに設定されていることを確認します。
username属性をデフォルト値以外の値に設定した場合は、第3.5項「アイデンティティ・ストアのユーザーおよびグループ名属性の構成」の手順に従います。たとえば、OID認証プロバイダでは、UserName属性がcnであることを想定してデフォルト値が設定されますが、実際には多くの組織で、かわりに属性uidが使用されます。この場合、手順に従い、Fusion Middleware Controlのアイデンティティ・ストア構成で、username.attrとuser.login.attrの両方をuidに設定します。
認証プロバイダ構成のGUID属性をリセットした後、次のエラー・メッセージが管理対象サーバーのコンソールに表示される(管理対象サーバーのログ・ディレクトリにあるbi_server1.outファイルにも記録される場合があります)場合は、第3.6項「アイデンティティ・ストアのGUID属性の構成」の手順に従います。
java.security.PrivilegedActionException: oracle.bi.security.service.SecurityServiceException: SecurityService::authenticateUserWithLanguage - 'ldapuser'は認証されましたが、無効なGUIDが含まれています。 原因: oracle.bi.security.service.SecurityServiceException: SecurityService::authenticateUserWithLanguage - 'ldapuser'は認証されましたが、無効なGUIDが含まれています。 原因: oracle.bi.security.service.InvalidUserGUIDException: ユーザー'ldapuser'には無効なGUID値'null'が含まれています
Oracle Business Intelligenceリリース10gでは、メタデータ・リポジトリを通じて認証が管理され、外部データベース・テーブルに対して認証を行う必要があるユーザーは、初期化ブロックの設定を使用し、その操作を実行できます。この機能は引き続きOracle Business Intelligence 11gでも提供され、残念ながら、発行された問合せによってユーザーのパスワードが確認されないよう、これらのブロックを構成できます。たとえば、次の問合せ
SELECT USER_ID FROM USERS WHERE USER_ID = ':USER'
ユーザーIDのみが確認され、パスワードが正しいかどうかは確認されません。そのように初期化ブロックが構成されているシナリオでは、ユーザーが任意のパスワード(またはパスワードなし)でログインできる場合があります。
このシナリオによって、一貫性がないように見えるなんらかの動作が発生することもあります。たとえば、ユーザーAおよびBがプライマリ・アイデンティティ・ストア(Oracle Internet Directory)内に存在するが、この項で説明した初期化ブロックによって参照されるデータベース内にも、ユーザーBが存在する場合が考えられます。ユーザーAおよびBが正しくないパスワードを使用してログインしようとすると、これらの両方がOIDに対する認証に失敗します。ただし、BIサーバーでも各ユーザーの初期化ブロックの実行が試行されます。ユーザーAは失敗しますが、ユーザーBのログインは成功します。この理由は、ユーザーBのユーザー名がUSERS表のUSER_ID列にあり、初期化ブロックの問合せが、ユーザーのパスワードを確認しないにもかかわらず成功するためです。このようなシナリオは回避する必要があるため、このように動作する認証初期化ブロックを見つけた場合は、そのブロックを削除または変更する必要があります。
WebLogic Serverを起動するには、(Oracle Business Intelligenceではなく)WebLogicのグローバルAdminロールに関連付けられた管理ユーザーの資格証明を使用する必要があります。Oracle Business Intelligenceのインストール時、インストーラによって管理ユーザー名とパスワードの入力が求められます。これらのユーザー名とパスワードは、組込みLDAPで作成され、DefaultAuthenticatorを通じてアクセスされます。組込みLDAPではなく外部LDAPアイデンティティ・ストアを使用するよう変更する必要がある場合は、外部ストアに新しいWebLogic管理ユーザーを作成し、そのユーザーにWebLogicのグローバルAdminロールが割り当てられていることを確認してから、DefaultAuthenticatorを削除します。
ただし、これらの手順を実行した後で、WebLogic Serverの起動に使用するユーザーが格納されたアイデンティティ・ストアの認証プロバイダを正しく構成していない場合は、サーバーを起動できません。これを回避するには、DefaultAuthenticatorを削除する前に存在していた構成設定に戻します。
WebLogic BIドメインのドメイン・ホームは、(インストール時に別の場所を明示的に要求していないかぎり)次の場所にあります。
<MW_HOME>/user_projects/domains/bifoundation_domain/
このディレクトリには、すべての認証プロバイダなど、ドメイン全体の構成ファイルを含む構成ディレクトリが格納されます。構成設定を更新すると、メイン構成ファイルconfig.xmlのバックアップが作成されます。バックアップ・ファイルの名前は、backup_config.xmlから始まり、その後のリビジョンごとに番号が付けられます(backup_config7.xmlなど)。
問題が発生した場合に備えて、現在のconfig.xmlおよび最新のbackup_config XMLファイルをコピーしてください。構成をリストアするには、現在のconfig.xmlファイルを最新のbackup_config XMLファイルに置き換え、WebLogic ServerおよびすべてのOracle Business Intelligenceコンポーネントを再起動します。WebLogic Serverの再起動時に、DefaultAuthenticatorはリストアされます。
リポジトリ、Oracle BIプレゼンテーション・カタログ、アイデンティティ・ストアの間には非一貫性の問題が数多く生じることがあります。次の各項では、これらが発生することのある通常の過程とその非一貫性の解決方法について説明します。
動作
アイデンティティ・ストアからユーザーが削除されると、そのユーザーはOracle Business Intelligenceにログインできなくなります。ただし、削除されたユーザーへの参照は、管理者がそれらを削除するまでリポジトリ内に残ります。
原因
削除されたユーザーへの参照は引き続きリポジトリ内に残りますが、そのユーザーはOracle Business Intelligenceにログインできません。この動作により、ユーザーが不注意で削除され、アイデンティティ・ストアに再度作成された場合に、ユーザーのアクセス制御ルールを再入力する必要はありません。
処置
管理者は、オンライン・モードでOracle BI管理ツールの整合性チェッカを実行して、非一貫性を特定できます。
動作
アイデンティティ・ストアでユーザーの名前が変更され、その後、そのユーザーが新しい名前でリポジトリにログインできません。
原因
これは、元の名前によるユーザーへの参照がリポジトリ内に残っている場合に発生することがあります。
処置
管理者は、BIサーバーを再起動するか、またはOracle BI管理ツールの整合性チェッカを実行してリポジトリを更新し、新しい名前によるユーザーへの参照を反映する必要があります。これが解決されると、Oracle BI Presentation Servicesは、このユーザーの次回ログイン時に新しいユーザー名を参照するようにOracle BI Presentation Catalogを更新します。
動作
アイデンティティ・ストアで以前に使用されたユーザー名と同一のユーザー名が追加された場合に、同じ名前の新しいユーザーがログインできません。
原因
これは、ユーザー名への参照がリポジトリに存在する場合に発生することがあります。
処置
管理者は、Oracle BI管理ツールで整合性チェッカを実行するか、または新しいユーザーのGUIDを使用するように既存のユーザー参照を変更することで、リポジトリに含まれているユーザー名への既存の参照を削除する必要があります。新しいユーザーが、再利用された名前でログインすると、Oracle BI Presentation Catalog内にそのユーザー用の新しいホーム・ディレクトリが作成されます。
Oracle BI Presentation Catalogとポリシー・ストアの間には、非一貫性の問題が数多く生じることがあります。次の各項では、これらが発生することのある通常の過程とその非一貫性の解決方法について説明します。
動作
ポリシー・ストアからアプリケーション・ロールが削除された後、オフライン・モードで操作したときに、そのロール名が引き続きOracle BI管理ツールに表示されます。ただし、ロール名はプレゼンテーション・サービスに表示されなくなり、ユーザーには、削除されたロールに関連付けられた権限が付与されません。
原因
削除されたロール名への参照がリポジトリ内に残っていると、オフライン・モードで操作したときにロール名が管理ツールに表示されます。
処置
管理者は、オンライン・モードでOracle BI管理ツールの整合性チェッカを実行し、削除されたアプリケーション・ロール名に対するリポジトリ内の参照を削除します。
動作
ポリシー・ストアでアプリケーション・ロールの名前が変更された後、新しい名前がオフライン・モードの管理ツールに表示されません。ただし、新しい名前は、プレゼンテーション・サービスと管理ツールのリストにただちに表示されます。ユーザーには、引き続き、ロールによって付与されている権限が表示されます。
原因
元のロール名への参照がリポジトリ内に残っていると、オフライン・モードで操作したときにロール名が管理ツールに表示されます。
処置
管理者はBIサーバーを再起動するか、管理ツールの整合性チェッカを実行し、リポジトリを更新して新しいロール名を反映します。
動作
以前のアプリケーション・ロール用に使用されていた名前を再利用して、ポリシー・ストアにアプリケーション・ロールが追加されます。ユーザーは、元のロールによって付与された権限に応じてOracle Business Intelligenceのリソースにアクセスすることはできず、新しいロールによって提供される権限は付与されません。
原因
元のロールと同じ名前の新しいロールとの間で、名前の競合を解決する必要があります。
処置
管理者は、元のロールへの参照をリポジトリから削除するか、新しいGUIDを使用するようにリポジトリの参照を更新することで、命名の競合を解決します。
動作
通信エラー。プロセス(クライアント)が別のプロセス(サーバー)と通信できません。
処置
SSL通信問題が存在すると、通常はクライアントが通信エラーを表示します。エラーには「client refused」(クライアントが拒否されました)とだけ示され、それ以外の情報は示されません。サーバーのログ・ファイルで、対応する障害エラー・メッセージを調べてください。このログ・ファイルには通常、問題の詳細が記述されています。
動作
BIDomain MBean (oracle.biee.admin:type=BIDomain, group=Service)を使用してコミット操作を実行した後、次のエラー・メッセージが表示されます。
SEVERE: Element Type: DOMAIN, Element Id: null, Operation Result: VALIDATION_FAILED, Detail Message: SSL must be enabled on AdminServer before enabling on BI system; not set on server: AdminServer
処置
このメッセージは、Oracle WebLogic Server管理対象サーバーで、前提条件にもなっているSSLの有効化が行われていないことを示しています。詳細は、第5.3.3項「HTTPSプロトコルを使用するためのWebLogicの手動構成」と第5.3.4.3項「SSL構成変更のコミット」を参照してください。
有効なユーザー名とパスワードを使用して、ログインできない場合があります。たとえば、BISystemUserの資格証明が同期されない場合、例C-1のようなエラー・メッセージが表示されます。
例C-1 BISystemUserの資格証明が同期されないときのbifoundation_domain.logの出力例
####<DATE> <Error> <oracle.wsm.resources.enforcement> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244079442> <WSM-07607> <Failure in execution of assertion {http://schemas.oracle.com/ws/2006/01/securitypolicy}wss-username-token executor class oracle.wsm.security.policy.scenario.executor.WssUsernameTokenScenarioExecutor.> ####<DATE> <Error> <oracle.wsm.resources.enforcement> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244079442> <WSM-07602> <Failure in WS-Policy Execution due to exception.> ####<07-might-2010 15:54:39 o'clock BST> <Error> <oracle.wsm.resources.enforcement> <ukp79330> <bi_server1> <[ACTIVE] ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244079442> <WSM-07501> <Failure in Oracle WSM Agent processRequest, category=security, function=agent.function.service, application=bimiddleware#11.1.1.2.0, composite=null, modelObj=SecurityService, policy=oracle/wss_username_token_service_policy, policyVersion=null, assertionName={http://schemas.oracle.com/ws/2006/01/securitypolicy}wss-username-token.> ####<DATE> <Error> <oracle.wsm.agent.handler.wls.WSMAgentHook> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244079442> <BEA-000000> <WSMAgentHook: An Exception is thrown: FailedAuthentication : The security token cannot be authenticated.> ####<DATE> <Error> <oracle.wsm.resources.security> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '5' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244091113> <WSM-00008> <Web service authentication failed.> ####<DATE> <Error> <oracle.wsm.resources.security> <Machine_Name> <bi_server1> <[ACTIVE] ExecuteThread: '5' for queue: 'weblogic.kernel.Default (self-tuning)'> <<anonymous>> <> <> <1273244091113> <WSM-00006> <Error in receiving the request: oracle.wsm.security.SecurityException: WSM-00008 : Web service authentication failed
カスタムSSO環境を設定する際に問題が発生する場合があります。たとえば、Windowsネイティブ認証とActive DirectoryでSSOを設定する場合やSiteMinderでSSOを設定する場合などがあります。
詳細は、次のMy Oracle Supportの記事ID 1287479.1および記事ID 1274953.1を参照してください。
Oracle BIのRSSフィードを読み取ろうとすると、SSOを使用したRSSリーダーの認証にトラブルが発生する場合があります。これは、Oracle SSOがそのRSSリーダーのリクエストをインターセプトする方法が原因です。この場合、Oracleはフィード・リーダー・アプリケーションを制御できません。ただし、SSOがサポート可能なシナリオが2つあります。
FirefoxのWizz RSSのようなブラウザベースのRSSリーダーを使用し、Firefoxを使用して、フィードにアクセスする前にSSOにログインします。
Internet Explorerを使用するRSSリーダーでWindowsの統合認証を使用します。
FirefoxはWindows認証をサポートできるため、この場合でも使用可能です。
環境のデプロイメント戦略を検証する必要があります。