Oracle® Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド リリース11g (11.1.1) B66709-02 |
|
前へ |
次へ |
この章では、BI PublisherにOracle Fusion Middlewareセキュリティ・モデルを構成する方法について説明します。
内容は次のとおりです。
Oracle Fusion Middlewareセキュリティ・モデルは、Javaセキュリティ・モデルを組み込んだ、Oracle Fusion Middlewareプラットフォームに基づいています。Javaモデルは、ロールベースの宣言モデルで、コンテナ管理のセキュリティを採用しているため、リソースは、ユーザーに割り当てられているロールによって保護されます。しかし、Oracle Fusion Middlewareセキュリティ・モデルを使用するときは、Javaベースのアーキテクチャに関する高度な知識は不要です。セキュリティ・モデルを使用するときには、BI Publisherによって、企業全体にわたる共通のセキュリティおよびID管理機能が提供されます。
インストール後、BI Publisherは自動的にOracle WebLogic Serverドメインにインストールされます。このドメインは、論理的に関連付けられ、一体となって管理される、WebLogic Serverリソースのグループです。簡易インストールでは、インストール後、作成されたWebLogic Serverドメインはbifoundation_domainという名前になります。この名前は、実行するインストール・タイプによって変わる可能性があります。各ドメイン内のWebLogic Serverインスタンスの1つは、管理サーバーとして構成されます。管理サーバーはWebLogic Serverドメインを管理するための中枢になります。管理サーバーは、管理コンソールをホストします。これは、管理サーバーへのネットワーク・アクセス権を持つ、サポートされているWebブラウザからアクセスできるWebアプリケーションです。BI Publisherは、インストール先のOracle WebLogic Serverドメインに構成されているアクティブなセキュリティ・レルムの一部となります。
Oracle Fusion Middlewareプラットフォームおよび一般的なセキュリティ・フレームワークの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。Oracle WebLogic Serverドメインおよびセキュリティ・レルムの管理の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの理解』および『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle Fusion Middlewareセキュリティ・モデルは、次の主な要素に応じて、会社全体でセキュリティとIDの統一的な管理を提供します。
アプリケーション・ポリシー
BI Publisherの権限は、そのアプリケーション・ロールのメンバーに付与されます。デフォルトのセキュリティ構成では、事前定義済の権限のセットが各アプリケーション・ロールによって伝達されます。権限の付与は、アプリケーション・ポリシーで定義および管理されます。アプリケーション・ロールがアプリケーション・ポリシーと関連付けられると、そのロールはポリシーの権限受領者となります。アプリケーション・ポリシーは、特定のアプリケーションに固有のものです。
アプリケーション・ロール
権限の付与についてアプリケーション・ポリシーで定義されると、アプリケーション・ロールをそのポリシーにマップできるようになり、そのアプリケーション・ロールが権限を伝達するためのメカニズムとして機能するようになります。この方式では、アプリケーション・ロールが、そのメンバーに権限を付与するコンテナとなります。権限は、ポリシーとロール間の関係を通じてアプリケーション・ロールと関連付けられます。グループがアプリケーション・ロールにマップされると、対応する権限がすべてのメンバーに同じように付与されます。メンバーシップは、アプリケーション・ロールの定義において定義されます。アプリケーション・ロールは、特定の条件に従って割り当てられ、認証時の条件に基づいて動的に付与されます。複数のユーザーやグループが同じアプリケーション・ロールのメンバーになることがあります。
認証プロバイダ
認証プロバイダは、ユーザーやグループの情報にアクセスするために使用され、ユーザーを認証する役割を持っています。BI Publisherが簡易インストールまたはエンタープライズ・インストールで使用するデフォルトの認証プロバイダは、DefaultAuthenticatorという名前のものです。これは、Oracle WebLogic Serverの基本インストールで使用されるのと同じものです。Oracle WebLogic Server認証プロバイダにより、ユーザーとグループを1つの場所で管理できるようになります。
アイデンティティ・ストアには、ユーザー名、パスワードおよびグループ・メンバーシップの情報が含まれています。認証プロバイダは、アイデンティティ・ストアのデータにアクセスし、そのデータと照合しながら認証を行います。たとえば、ログイン時にユーザー名とパスワードの組合せを入力すると、認証プロバイダは、提供された資格証明を検証するためにアイデンティティ・ストアを検索します。BI Publisherのデフォルトの認証プロバイダは、Oracle WebLogic Serverの埋込みディレクトリ・サーバーと照合しながら認証を行います。
ユーザーとグループ
ユーザーは、認証可能な実体です。ユーザーには、アプリケーション・ユーザーなどの人、クライアント・アプリケーションなどのソフトウェア・エンティティがあります。各ユーザーには一意の識別子が割り当てられます。
グループは、何かしら共通するものを持つユーザーを集合にまとめたものです。セキュリティ管理をより効率化するには、同じようなアクセス権を必要とするグループごとにユーザーをまとめる必要があります。
セキュリティ・レルム
インストール時に、Oracle WebLogic Serverドメインが作成され、BI Publisherがそのドメインにインストールされます。BI Publisherのセキュリティは、そのOracle WebLogic Serverドメインのセキュリティ・レルム内で管理されます。セキュリティ・レルムは範囲指定メカニズムとして機能します。各セキュリティ・レルムには、一連の構成済セキュリティ・プロバイダ、ユーザー、グループ、セキュリティ・ロール、およびセキュリティ・ポリシーが含まれています。ドメインでは1つのセキュリティ・レルムだけがアクティブになります。BI Publisherの認証は、パブリッシャがインストールされたWebLogic Serverドメインのデフォルトのセキュリティ・レルムに対して構成された認証プロバイダにより実行されます。Oracle WebLogic Server管理コンソールは、Oracle WebLogic Serverドメインの管理に使用される管理ツールです。
BI Publisherには、様々な機能にアクセスするためのアプリケーション固有の権限が用意されています。BI Publisherの権限は通常、アプリケーション・ロールのメンバーになることにより付与されます。権限は、2つの方法で付与されます。アプリケーション・ロールでメンバーシップを通じて付与する方法(直接的な付与)と、グループやロールの継承を通じて付与する方法(間接的な付与)です。アプリケーション・ロールのメンバーシップは、アプリケーション・ロール階層の特性によって継承されることができます。デフォルトのセキュリティ構成では、各アプリケーション・ロールは、事前定義済の一連の権限を付与するようにあらかじめ構成されています。グループは、アプリケーション・ロールにマップされます。グループとロールのマッピングにより、ロールの権限がグループのすべてのメンバーに伝達されます。つまり、権限はBI Publisherで次の関係を確立することにより付与されます。
グループによって、同様のシステム・アクセス要件を持つユーザーの組が定義されます。ユーザーは、必要なアクセスのレベルに応じ、1つ以上のグループのメンバーとして追加されます。
アプリケーション・ロールは、ユーザーがBI Publisherを使用するときに一般的に実行するロールを示すように定義されます。デフォルトのセキュリティ構成では、事前構成済のアプリケーション・ロールとして、BIAdministrator(管理者)、BIAuthor(コンテンツの作成者)およびBIConsumer(コンテンツのコンシューマ)が用意されています。
ユーザーのグループは、それらのユーザーが必要とするアクセスの種類に応じて1つ以上のアプリケーション・ロールにマップされます。
アプリケーション・ポリシーが作成されると、ロール・タイプに対応する一連のアクセス権を付与するBI Publisherの権限がマップされます。
アプリケーション・ロールは、ロール・タイプ(管理者、作成者、コンシューマ)で必要とされる権限のセットを付与するアプリケーション・ポリシーにマップされます。
グループ・メンバーシップは、グループ階層の性質によって継承できます。継承されるグループにマップされるアプリケーション・ロールも継承され、それらの権限は同様にメンバーに伝達されます。
ユーザーの権限は、システムによって次のように決定されます。
ユーザーは、ログイン時にWebブラウザに資格証明を入力します。ユーザー資格証明は、認証プロバイダにより、アイデンティティ・ストア内のデータと照合して認証されます。
認証に成功したら、Javaサブジェクトとプリンシパルの組合せが発行され、ユーザー名とユーザーのグループが入力されます。
ユーザー・グループのリストが作成され、アプリケーション・ロールと照合してチェックされます。各ユーザー・グループにマップされたアプリケーション・ロールのリストが作成されます。
付与されるユーザー権限は、ユーザーがどのアプリケーション・ロールのメンバーであるかを把握することによって決定されます。グループのリストは、ユーザーがどのロールを持っているかを判断するためだけに生成され、他の目的には使用されません。
ユーザーは、他のアプリケーション・ロールを継承する場合にも、権限を付与されます。アプリケーション・ロールのメンバーには、他のグループやアプリケーション・ロールも含まれます。そして、結果的には、権限が明示的に付与されるほかに継承もされる、階層ロール構造となります。この階層では、そのアプリケーション・ロールがメンバーとして属しているロールの権限、およびそのアプリケーション・ロールの子孫であるすべてのロールにより付与される権限がグループに付与されることになります。
たとえば、デフォルトのセキュリティ構成には、いくつかのグループとアプリケーション・ロールが事前定義されています。デフォルトのBIAdministratorアプリケーション・ロールにはBIAdministratorsグループが、BIAuthorアプリケーション・ロールにはBIAuthorsグループが、そしてBIConsumerアプリケーション・ロールにはBIConsumersグループが含まれています。デフォルトのBIAdministratorアプリケーション・ロールはBIAuthorアプリケーション・ロールのメンバーであり、BIAuthorアプリケーション・ロールはBIConsumerアプリケーション・ロールのメンバーです。これらのアプリケーション・ロールのメンバーは、次のように権限を継承します。BIAdministratorsグループのメンバーには、BIAdministratorロール、BIAuthorロールおよびBIConsumerロールのすべての権限が付与されます。このロール階層の特性に基づき、特定のグループのメンバーであるユーザーには、権限が明示的に付与されるほか、継承を通じて付与されます。デフォルトのアプリケーション・ロールとグループの詳細は、第2.4.2項「デフォルトのアプリケーション・ロールと権限」を参照してください。
注意: アプリケーションによって管理されるリソースにアクセスするための権限は、グループやグループ階層自体により有効化されるわけではありません。権限は権限の付与により伝達され、アプリケーション・ポリシーで定義されます。ユーザー、グループまたはアプリケーション・ロールは、アプリケーション・ポリシーの権限受領者となります。アプリケーション・ポリシーの権限受領者により権限が伝達されますが、これは、直接のアソシエーション(ユーザー)によって、または権限受領者(グループまたはアプリケーション・ロール)のメンバーになることによって実行されます。 |
図2-1は、そうしたデフォルトのグループとアプリケーション・ロールの関係を示しています。
表2-1は、前の例や図で示した権限がどのようにして明示的に付与されたり、継承されるかをまとめたものです。
表2-1 ロールの階層によって付与される権限の例
ユーザー名 | グループ・メンバーシップ: 明示的/継承 | アプリケーション・ロールのメンバーシップ: 明示的/継承 | 権限付与: 明示的/継承 |
---|---|---|---|
User1、User2、User3 |
BIConsumers: 明示 |
BIConsumer: 明示 |
権限A: 明示 |
User4、User5 |
BIAuthors: 明示BIConsumers: 継承 |
BIAuthor: 明示BIConsumer: 継承 |
権限B: 明示権限A: 継承 |
User6、User7 |
BIAdministrators: 明示BIAuthors: 継承BIConsumers: 継承 |
BIAdministrator: 明示BIAuthor: 継承BIConsumer: 継承 |
権限C: 明示権限B: 継承権限A: 継承 |
システム・リソースのアクセス制御は、ログイン時の認証をユーザーに要求し、認証されたリソースにのみユーザーがアクセスできるよう制限することによって実現されます。デフォルトのセキュリティ構成は、BI Publisherのインストール後すぐに使用可能であり、Oracle Fusion Middlewareセキュリティ・モデルを使用するように構成されています。BI Publisherは、Oracle WebLogic Serverドメインにインストールされ、そのドメインのセキュリティ・レルムを使用します。デフォルトの構成には、ユーザー・アイデンティティ、資格証明およびBI Publisher固有の権限付与が可能な3つの事前定義済セキュリティ・ストアが含まれています。ユーザーは、事前構成済のアプリケーション・ロールにマップされた事前定義済グループに追加できます。各アプリケーション・ロールは、特定のBI Publisher権限を付与するように事前構成されています。
BI Publisherのデフォルトのセキュリティ・ストアは、インストール時に表2-2のように構成されます。
表2-2 BI Publisherのデフォルトのセキュリティ・ストア
ストア名 | 用途 | デフォルトのプロバイダ | オプション |
---|---|---|---|
アイデンティティ・ストア |
|
|
BI Publisherが代替の認証プロバイダを使用するように構成できます。詳細なリストは、「システム要件と動作要件」を参照してください。 |
ポリシー・ストア |
|
|
BI PublisherがOracle Internet Directoryをポリシー・ストア・プロバイダとして使用するように構成できます。 |
資格証明ストア |
提供された、またはシステムにより生成された、パスワードおよびその他のセキュリティ関連の資格証明を格納 |
|
BI PublisherがOracle Internet Directoryを資格証明ストア・プロバイダとして使用するように構成できます。 |
表2-3に、インストール後にBI Publisherのアイデンティティ・ストア・プロバイダに追加されるデフォルトのユーザー名とパスワードを示します。管理ユーザーは、Oracle WebLogic Server管理コンソールを使用して、これらのデフォルト設定を別の値に変更したり、アイデンティティ・ストアにユーザーを追加したりできます。
表2-3 デフォルトの名前とパスワード
デフォルトのユーザー名とパスワード | 用途 | 説明 |
---|---|---|
名前: 管理者ユーザー パスワード: ユーザーが指定 |
管理ユーザー |
このユーザー名はインストールを実行する人が入力し、任意の名前でもよく、管理者という名前である必要はありません。 インストール時に入力されたパスワードは、アイデンティティ・ストア・プロバイダの管理インタフェースを使用して後で変更できます。 この単一の管理ユーザーは、BI PublisherとOracle WebLogic Serverで共有される。このユーザーは、インストール後にOracle WebLogic Serverのデフォルトの管理者グループのメンバーに自動的になります。これにより、このユーザーは、Oracle WebLogic Serverの埋込みディレクトリ・サーバーの管理など、Oracle WebLogic Serverのすべての管理タスクを実行できるようになります。 |
名前: BISystemUser パスワード: システム生成 |
Oracle BI AnalysisをBI Publisherデータ・モデルのデータソースとして使用するときに、コンポーネント間の信頼できる通信を確立するためにインストール中に作成される固定ユーザー BI PublisherとOracle Business Intelligence Enterprise Editionを統合する場合は、このデフォルトのユーザー名をOracle BI Presentation Servicesとの信頼できる通信に使用することを推奨。これは、インストール時に自動的に構成されるデフォルト構成 |
重要: これは高特権ユーザーであり、このユーザーの資格証明は管理ユーザー以外のユーザーから保護する必要があります。 コンポーネント間のセキュアな通信用に信頼できる別のシステム・アカウントを使用することで、コンポーネント間の通信に影響を与えることなくシステム管理者アカウントのパスワードを変更することができる。 このユーザーの名前は変更できる。また、コンポーネント間通信用に別のユーザーを作成することもできる。 |
表2-4に、インストール時にアイデンティティ・ストア・プロバイダに追加されるデフォルトのグループ名とグループ・メンバーを示します。これらのデフォルトは異なる値に変更することが可能であり、また、管理ユーザーはOracle WebLogic Server管理コンソールを使用して新しいグループ名を追加できます。
表2-4 デフォルトのグループ名とメンバー
デフォルトのグループ名とメンバー | 目的 | 説明 |
---|---|---|
名前: BIAdministrators メンバー: 任意の管理者ユーザー |
BI Publisherの管理ユーザーが所属 |
BIAdministratorsグループのメンバーは、インストール時にアプリケーション・ロールBIAdministratorにマップされる。そのため、このグループには管理権限が付与される。 デフォルトのセキュリティ構成を使用する場合、管理者権限を必要とするすべてのユーザーは、BIAdministratorsグループに追加される必要があります。 |
名前: BIAuthors メンバー: BIAdministratorsグループ |
BI Publisher作成者が所属 |
BIAuthorsグループのメンバーは、他のユーザーが使用する、または消費するコンテンツを作成するのに必要な権限を持っています。 |
名前: BIConsumers メンバー: BIAuthorsグループとOracle WebLogic Server LDAPサーバー・ユーザー・グループ |
BI Publisherコンシューマが所属 |
BIConsumersグループのメンバーは、他のユーザーによって作成されたコンテンツを使用する、または消費するのに必要な権限を持っています。 BIConsumersグループは、BI Publisherにより認証されたすべてのユーザーを表す。デフォルトでは、すべての認証ユーザーは、このグループに自動的に追加されます。 Oracle WebLogic Server LDAPサーバーのユーザー・グループのメンバーは、Oracle WebLogic Server管理コンソールにログインして使用するのに必要な権限を持っています。 |
表2-5に、BI Publisherの権限と、これらの権限を付与するアプリケーション・ロールを示します。このマッピングは、デフォルトのポリシー・ストアに存在します。
表2-5は、対応するデフォルトのアプリケーション・ロールのメンバーとなることで明示的に付与される権限を示しています。権限は、グループやアプリケーション・ロールの階層から継承される場合もあります。権限の継承の詳細は、第2.3項「権限の付与と継承」を参照してください。
表2-5 BI Publisherの権限とアプリケーション・ロール
BI Publisherの権限 | 説明 | 権限を明示的に付与するデフォルトのアプリケーション・ロール |
---|---|---|
oracle.bi.publisher.administerServer |
管理リンクが管理ページにアクセスできるようにして、システム設定を設定する権限を与えます。 重要: 共有フォルダへのBIAdministrator権限の付与に必要な手順の詳細は、第2.4.2.1項「BIAdministratorロールへのカタログ権限の付与」を参照してください。 |
BIAdministrator |
oracle.bi.publisher.developDataModel |
データ・モデルを作成または編集する権限を付与します。 |
BIAuthor |
oracle.bi.publisher.developReport |
レポート、スタイル・テンプレート、およびサブ・テンプレートを作成または編集する権限を付与します。また、この権限によってBI PublisherサーバーにTemplate Builderから接続できるようになります。 |
BIAuthor |
oracle.bi.publisher.runReportOnline |
レポートを開き(実行し)、生成したドキュメントをレポート・ビューアに表示する権限を付与します。 |
BIConsumer |
oracle.bi.publisher.scheduleReport |
ジョブを作成または編集したり、ジョブを管理および参照する権限を付与したりします。 |
BIConsumer |
oracle.bi.publisher.accessReportOutput |
ジョブ履歴と出力を参照し管理する権限を付与します。 |
BIConsumer |
oracle.bi.publisher.accessExcelReportAnalyzer |
Analyzer for Excelをダウンロードしたり、Analyzer for Excelを使用してレポートからExcelにデータをダウンロードしたりする権限を付与します。ユーザーがAnalyzer for Excelテンプレートをレポート定義にアップロードできるようにするには、oracle.bi.publisher.developReport権限も付与する必要があります。 |
BIConsumer |
oracle.bi.publisher.accessOnlineReportAnalyzer |
Analyzerを起動し、データを操作する権限を付与します。Analyzerテンプレートをレポート定義に保存するには、oracle.bi.publisher.developReport権限も付与する必要があります。 |
BIConsumer |
暗黙的に付与されるBIConsumer権限 |
認証ロールは、デフォルトではBIConsumerロールのメンバーであり、すべての認証ロール・メンバーには、BIConsumerロールの権限が暗黙的に付与されます。 |
認証ロール |
認証ロールは、Oracle Fusion Middlewareセキュリティ・モデルで提供される特別なアプリケーション・ロールであり、このセキュリティ・モデルをデプロイするすべてのアプリケーションで使用できる必要があります。BI Publisherは、認証アプリケーション・ロールを使用して、その認証ロールがメンバーとして属しているロールおよびグループ階層により暗黙的に取得される権限を付与する必要があります。認証ロールは、デフォルトではBIConsumerロールのメンバーであり、すべての認証ロール・メンバーには、BIConsumerロールの権限が暗黙的に付与されます。デフォルトでは、すべての認証ユーザーは自動的にBIConsumersグループに追加されます。認証ロールはobiアプリケーション・ストライプに格納され、BI Publisherのポリシー・ストアでは検索できません。ただし、認証ロールはポリシー・ストアの管理インタフェースには表示されます。これをアプリケーション・ロールのリストで使用し、別のアプリケーション・ロールのメンバーとして追加することができます。認証ロールは、別のユーザー、グループまたはアプリケーション・ロールにマップできますが、認証ロール自体を削除することはできません。認証済ロールを削除すると、システムにログインできなくなり、この権利の明示的な付与が必要になります。
Oracle Fusion Middlewareのセキュリティ・モデルおよび認証済ロールの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
BIAdministratorロールには、デフォルトでカタログの読取り権限のみが付与されます。つまり、BIAdministratorが共有フォルダを管理するには、BIAdministratorロールに共有フォルダ・ノードの書込みおよび削除権限が付与されている必要があります。カタログでの権限付与の詳細は、第3.8.3項「カタログ権限の付与」を参照してください。
認証とは、ユーザーが身元を偽っていないことを確認してアイデンティティを検証するプロセスのことです。Oracle WebLogic Serverの埋込みディレクトリ・サーバーは、デフォルトのセキュリティ構成の認証プロバイダです。ユーザー、グループおよびパスワードは、Oracle WebLogic Server管理コンソールを使用して管理されます。環境の開発やテストにはデフォルトの認証プロバイダを使用するとよいでしょう。本番環境でのベスト・プラクティスは、フル機能の認証プロバイダを使用することです。
注意: ハードウェアとソフトウェアの要件、プラットフォーム、データベースおよびその他の情報の詳細は、システム要件と動作要件のドキュメントを参照してください。いずれのドキュメントもOracle Technology Network(OTN)から入手できます。 |
インストール中にOracle WebLogic Serverドメインが作成されます。BI Publisherがそのドメインにインストールされ、Oracle WebLogic Serverのセキュリティ・レルムを使用します。セキュリティ・レルムには、複数の認証プロバイダを構成しておくことができますが、一度に1つのプロバイダのみがアクティブになることができます。その優先順位は、リスト内のプロバイダの順序によって決まります。セキュリティ・レルムに認証プロバイダを多数定義しておくことで累積的な効果がもたらされるというわけではなく、リスト内の最初のプロバイダが、認証で必要とされるユーザーやパスワードの全データの情報源となります。この方法により、必要に応じて認証プロバイダを切り替えられるようになります。たとえば、開発環境と本番環境で異なるLDAPサーバーを必要とする場合は、認証に使用されるディレクトリ・サーバーを、管理コンソールで順番を並べ替えることによって変更できます。異なる認証プロバイダの構成方法の詳細は、第2.8.1項「新しい認証プロバイダの構成」を参照してください。
Oracle WebLogic Serverでの認証プロバイダの管理の詳細は、オンライン・ヘルプを参照してください。詳細は、Oracle WebLogic Server管理コンソールにログインして、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプを起動してください。
Oracle WebLogic Serverは自動的にインストールされ、デフォルトの管理サーバーとして機能します。管理コンソールはブラウザベースで、デフォルト認証プロバイダとして構成されている埋込みディレクトリ・サーバーの管理に使用されます。これは、URLをWebブラウザに入力することにより起動されます。デフォルトURLは、http://hostname:port_number/consoleのような形式となります。ポート番号は、管理サーバーの番号です。デフォルトでは、ポート番号は7001です。
Oracle WebLogic Server管理コンソールを起動するには:
グループを管理することは、多数のユーザーを個々に管理するより効率的です。ベスト・プラクティスとしては、最初にBI Publisherのすべてのユーザーを、同様のシステム・アクセス要件を持つグループにまとめます。その後、それらのグループを、適切なレベルのアクセスが提供されるアプリケーション・ロールにマップできます。システム・アクセス要件が変更される場合には、アプリケーション・ロールで付与される権限を変更するか、適切な権限を持つ新たなアプリケーション・ロールを作成するだけで済みます。グループが作成された後も、通常どおりに管理インタフェースを使用してアイデンティティ・ストアのユーザー・ディレクトリを追加または削除できます。
デフォルト・ディレクトリ・サーバーでユーザーを作成するには:
Oracle WebLogic Server管理コンソールを起動します(その必要がある場合)
詳細は、第2.5.1項「Oracle WebLogic Server管理コンソールへのアクセス」を参照してください。
管理ユーザーとしてログインします。
管理コンソールの左のパネルで「セキュリティ・レルム」を選択して、構成しているセキュリティ・レルムをクリックします。たとえば、myrealmです。
「ユーザーとグループ」タブ(図2-4を参照)を選択し、「ユーザー」を選択します。「新規」をクリックします。
「新規ユーザーの作成」ページ(図2-5を参照)で、次の情報を指定します。
名前: ユーザーの名前を入力します。無効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: ユーザー情報の場所に対応する認証プロバイダをリストから選択します。DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
パスワード: 8文字以上の長さで、ユーザーのパスワードを入力します。
パスワードの確認: ユーザー・パスワードを再入力します。
「OK」をクリックします。
ユーザー名は、User表に追加されます。
デフォルト・ディレクトリ・サーバーでグループを作成するには:
Oracle WebLogic Server管理コンソールを起動します(その必要がある場合)
詳細は、第2.5.1項「Oracle WebLogic Server管理コンソールへのアクセス」を参照してください。
管理ユーザーとしてログインします。
管理コンソールの左のパネルで「セキュリティ・レルム」を選択して、構成しているセキュリティ・レルムをクリックします。たとえば、myrealmです。
「ユーザーとグループ」タブ→「グループ」を選択します。「新規」をクリックします。
「新しいグループの作成」ペインで、次の情報を指定します。
名前: グループの名前を入力します。グループ名は、大文字と小文字が区別され、一意である必要があります。無効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: グループ情報の場所に対応する認証プロバイダをリストから選択します。DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
「OK」をクリックします。
グループ名は、Group表に追加されます。
ユーザーをデフォルト・ディレクトリ・サーバーのグループに追加するには:
Oracle WebLogic Server管理コンソールを起動します(その必要がある場合)
詳細は、第2.5.1項「Oracle WebLogic Server管理コンソールへのアクセス」を参照してください。
管理ユーザーとしてログインします。
管理コンソールの左のパネルで「セキュリティ・レルム」を選択して、構成しているセキュリティ・レルムをクリックします。たとえば、myrealmです。
図2-6に示すように、「ユーザーとグループ」タブを選択し、「ユーザー」を選択します。「名前」からユーザーを選択します。
「設定」ページから、「グループ」タブを選択して使用可能なグループのリストを表示します。
図2-7に示すように、1つ以上のグループを「使用可能」リストから選択し、シャトル・コントロールを使用してそれらのグループを「選択済み」リストに移動します。
「保存」をクリックします。
ユーザーがグループに追加されます。
デフォルトのディレクトリ・サーバーでユーザー・パスワードを変更するには:
Oracle WebLogic Server管理コンソールを起動します(その必要がある場合)
詳細は、第2.5.1項「Oracle WebLogic Server管理コンソールへのアクセス」を参照してください。
管理ユーザーとしてログインします。
管理コンソールの左のパネルで「セキュリティ・レルム」を選択して、構成しているセキュリティ・レルムをクリックします。たとえば、myrealmです。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
Users表で、パスワードを変更したいユーザーを選択します。
図2-8に示すように、ユーザーの設定ページが表示されます。
「パスワード」タブを選択して、「新しいパスワード」フィールドと「パスワードの確認」フィールドにパスワードを入力します。
「保存」をクリックします。
ユーザーが認証された後のBI Publisherリソースへのアクセスは権限(認可)により制御されます。ポリシー・ストアには、BI Publisherに必要な、システムやアプリケーションに固有のポリシーとロールが含まれます。ポリシー・ストアは、ファイルベースであってもLDAPベースであっても問題はなく、BI Publisherのデフォルトのアプリケーション・ロール、権限、ユーザーおよびグループ間のマッピング定義を保持します。BI Publisherの権限は、アイデンティティ・ストアのユーザーとグループをポリシー・ストア内のアプリケーション・ロールや権限付与とマッピングすることにより付与されます。ユーザーやグループ(アイデンティティ・ストア)とアプリケーション・ロール(ポリシー・ストア)との間のこれらマッピング定義は、ポリシー・ストアにも保存されます。
注意: ベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールにマップすることです。グループのメンバーシップを制御することで、複数のユーザーのアクセス権を個々に追跡する場合の複雑さを軽減できます。グループ・メンバーシップは、アイデンティティ・ストアで制御されます。 |
system-jazn-data.xmlファイルは、デフォルトのポリシー・ストアとしてインストールおよび構成されます。デフォルトのストアを使用し続け、環境に応じて必要な変更を加えることも、データをLDAPベースのプロバイダに移行することもできます。このリリースでは、Oracle Internet DirectoryがLDAPサーバーとしてサポートされています。
環境内のポリシー・ストアと資格証明ストアは、同じタイプのものである必要があります。つまり、どちらもファイルベースであるか、LDAPベースである必要があります。
権限は、BI Publisherが認識可能な方法で定義される必要があります。有効なBI Publisherの権限はすべて、アプリケーション・ポリシーに事前マップされており、そこからさらにデフォルトのアプリケーション・ロールに事前マップされています。ポリシー・ストアに新しい権限を作成することはできません。ただし、デフォルトのアプリケーション・ポリシーの権限付与やアプリケーション・ロールのマッピングをカスタマイズしたり、独自のものを作成することはできます。
BI Publisherのデフォルトの権限付与の詳細は、第2.4.2項「デフォルトのアプリケーション・ロールと権限」を参照してください。アプリケーション・ロールと権限付与のカスタマイズの詳細は、第2.8.3項「ポリシー・ストアのカスタマイズ」を参照してください。
Fusion Middleware Controlは、ファームの監視および管理に使用できるWebブラウザベースのグラフィカル・ユーザー・インタフェースです。ファームとは、Fusion Middleware Controlで管理されるコンポーネントの集まりです。複数のOracle WebLogic Serverドメイン、1つの管理サーバー、1つ以上の管理対象サーバー、クラスタのほか、ドメインにインストールおよび構成されていて、実行されているOracle Fusion Middlewareのコンポーネントが含まれます。インストール中に、Oracle WebLogicドメインが作成され、BI Publisherがドメインにインストールされます。簡易インストールおよびエンタープライズ・インストールを実行した場合、このドメインはbifoundation_domainという名前で、Fusion Middleware Controlのターゲット・ナビゲーション・ペインのWebLogicドメイン内に配置されます。
WebブラウザにURLを入力してFusion Middleware Controlを起動します。URLには、ホストの名前とインストール時に割り当てられた管理ポート番号が含まれます。このURLは、http://hostname:port_number/emのような形式となります。デフォルトのポートは7001です。Fusion Middleware Controlの使用の詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
Fusion Middleware Controlの「セキュリティ」メニューを表示するには:
WebブラウザにURLを入力してOracle Enterprise Manager Fusion Middleware Controlにログインします。
例: http://hostname:7001/em
図2-9に示すように、Fusion Middleware Controlのログイン・ページが表示されます。
BI Publisherの管理者ユーザーの名前とパスワードを入力して、「ログイン」をクリックします。
このパスワードは、BI Publisherのインストール時に指定したものです。これらの値が変更されている場合は、現在の管理ユーザーの名前とパスワードを入力します。
ターゲット・ナビゲーション・ペインで「WebLogicドメイン」を開いて「bifoundation_domain」を表示します。次の方法のいずれかを選択することで、「セキュリティ」メニューを表示します。
ファイルベースまたはLDAPベースのポリシー・ストアに保持されているBI Publisherのアプリケーション・ポリシーやアプリケーション・ロールを管理するには、Fusion Middleware Controlを使用します。LDAPベースのポリシー・ストアの構成の詳細は、第2.8.2項「新しいポリシー・ストアおよび資格証明ストア・プロバイダの構成」を参照してください。
注意: オリジナルのsystem-jazn-data.xmlポリシー・ファイルのコピーを作成して安全な場所に置いておくことをお薦めします。必要に応じて、元のファイルのコピーを使用してデフォルトのポリシー・ストア構成をリストアします。デフォルトのセキュリティ構成に対する変更は、望ましくない状態を引き起こす可能性があります。デフォルトのインストール場所はMW_HOME/user_projects/domain/your_domain/config/fmwconfigです。 |
一般的なポリシー・ストア管理タスクを次に示します。
アプリケーション・ロールのメンバーシップを変更します。詳細は、第2.6.4項「アプリケーション・ロールのメンバーシップの変更」を参照してください。
アプリケーション・ロールの権限付与を変更します。詳細は、第2.8.3.3項「アプリケーション・ポリシーの権限付与の変更」を参照してください。
新しいアプリケーション・ロールを最初から作成します。詳細は、第2.8.3.1項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成」を参照してください。
既存のアプリケーション・ロールに基づいて新しいアプリケーション・ロールを作成します。詳細は、第2.8.3.1項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成」を参照してください。
Fusion Middleware Controlを使用してアプリケーション・ロールのメンバーを追加または削除できます。これらのタスクは、BI PublisherがインストールされているWebLogicドメインで実行する必要があります。たとえばbifoundation_domainなどです。
注意: デフォルト・アプリケーション・ロールの権限付与およびメンバーシップを変更する場合は、十分注意してください。変更によりシステムが使用不可能になる可能性があります。 |
アプリケーション・ロールの有効なメンバーは、ユーザー、グループまたはその他のアプリケーション・ロールです。アプリケーション・ロールのメンバーになるプロセスは、マッピングと呼ばれます。つまり、アプリケーション・ロールにマップされることは、アプリケーション・ロールのメンバーになることです。メンテナンスをより容易にするためのベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールにマップすることです。
アプリケーション・ロールのメンバーを追加または削除するには:
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
「セキュリティ」メニューへの移動の詳細は、第2.6.1項「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。 図2-12に示すように、「ロール名」の横にある検索アイコンをクリックします。
BI Publisherのアプリケーション・ロールが表示されます。図2-13は、デフォルト・アプリケーション・ロールを示しています。
アプリケーション・ロール名の横のセルを選択し、「編集」をクリックして「アプリケーション・ロールの編集」ページを表示します。図2-14では、BIAuthorアプリケーション・ロールが選択されています。
「アプリケーション・ロールの編集」ページにメンバーを追加するか、またはこのページからメンバーを削除できます。有効なメンバーは、ロール、グループおよびユーザーです。
次のオプションから選択します。
メンバーを削除するには: 「メンバー」の「名前」から、「削除」ボタンをアクティブにするメンバーを選択します。「削除」をクリックします。
メンバーを追加する場合: 追加するメンバー・タイプに対応する「追加」ボタンをクリックします。「アプリケーション・ロールの追加」、「グループの追加」および「ユーザーの追加」から選択します。
メンバーを追加する場合は、「検索」に入力し、使用可能なリストから選択します。シャトル・コントロールを使用して、選択したフィールドにメンバーを移動します。「OK」をクリックします。
たとえば、図2-15は、Report_Devグループが選択された後の「グループの追加」ダイアログを示しています。
追加されたメンバーは、「アプリケーション・ロール」ページで、変更されたアプリケーション・ロールに対応する「メンバー」列に表示されます。
システムにより使用される資格証明は、単一のセキュアな資格証明ストアに格納されます。Oracle Walletがデフォルトの資格証明ストア・ファイルです(cwallet.sso)。資格証明ストアは、LDAPベースであっても構いません。Oracle Internet DirectoryがこのリリースでサポートされているLDAPサーバーです。LDAPベースの資格証明ストアは、Oracle Enterprise Manager Fusion Middleware ControlまたはWLSTコマンドを使用して構成および管理されます。
各資格証明は、マップ名とキー名により一意に識別されます。各マップには一連のキーが含まれており、各キーが資格証明となります。マップ名とキー名の組合せは、資格証明ストアのすべてのエントリに対して一意である必要があります。次の資格証明マップが、BI Publisherにより使用されます。
oracle.bi.system: BI Publisherプラットフォーム全体にわたる資格証明が含まれます。
oracle.bi.publisher: BI Publisherのみによって使用される資格証明が含まれます。
次の2つのタイプの資格証明がサポートされています。
パスワード: ユーザー名とパスワードをカプセル化します。
汎用: 公開鍵証明書などの、カスタマイズされたデータや任意のトークンがすべてカプセル化されます。
開発環境をすぐに使用できるようにするため、インストール時にデフォルトの資格証明がファイルベースの資格証明ストアに挿入されます。ユーザー・パスワードなどのBI Publisherの資格証明は、アイデンティティ・ストアに格納され、対応する管理インタフェースにより管理されます。
資格証明は、Fusion Middleware Controlで、またはWLSTコマンドを使用して管理できます。これらの方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のドメイン資格証明ストアの管理に関する項を参照してください。
Oracle Business Intelligenceをデータ・ストアとして使用している場合、BI PublisherはBISystemUserとのシステム通信を確立します。BISystemUserのパスワードをアイデンティティ・ストアの管理インタフェースで変更する場合は、資格証明ストア(oracle.bi.system資格証明マップ)でパスワードを変更する必要もあります。これは、デフォルトのBISystemUserに置き換わるカスタム・アプリケーション・ロールを作成した場合にも当てはまることです。資格証明が同期されていないと、コンポーネントは相互に通信できません。Oracle Business Intelligenceで信頼できるシステム通信のためにBISystemUserがどのように使用されるかの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
デフォルトのセキュリティ構成は、次の方法でカスタマイズできます。
新しい認証プロバイダを構成します。詳細は、第2.8.1項「新しい認証プロバイダの構成」を参照してください。
新しいポリシー・ストアと資格証明ストア・プロバイダを構成します。詳細は、第2.8.2項「新しいポリシー・ストアおよび資格証明ストア・プロバイダの構成」を参照してください。
ポリシーと資格証明を、1つのストアから別のストアに移行します。詳細は、第2.8.2.1項「ポリシー・ストアと資格証明ストアの再関連付け」を参照してください。
新しいアプリケーション・ロールを作成します。詳細は、第2.8.3.1項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成」を参照してください。
新しいアプリケーション・ポリシーを作成します。詳細は、第2.8.3.2項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。
アプリケーション・ポリシーに対する権限付与を変更します。詳細は、第2.8.3.3項「アプリケーション・ポリシーの権限付与の変更」を参照してください。
サポートされている別のLDAPサーバーを認証プロバイダとして構成することもできます。Oracle WebLogic Server管理コンソールを使用して、BI Publisherでかわりの外部アイデンティティ・ストアが実行されるように構成します。BI Publisherは認証とユーザー移入管理を、BI Publisherが属するドメインに対して構成されている認証プロバイダとアイデンティティ・ストアに委任します。たとえば、Oracle WebLogic Serverのデフォルトの認証プロバイダを使用するように構成されている場合は、Oracle WebLogic Server管理コンソールで管理が実行されます。Oracle Internet Directory(OID)を使用するように構成されている場合は、OID管理ユーザー・インタフェースが使用されます。
デフォルトのセキュリティ構成の一部としてインストールされている認証プロバイダ以外を使用している場合は、第2.4.1項「デフォルトのユーザーとグループ」で説明しているデフォルトのユーザーとグループは自動的には提供されません。独自に選択した名前でユーザーやグループを作成することも、デフォルトのユーザー名とグループ名を作成しなおすこともできます(認証プロバイダでサポートされている場合)。この作業が完了した後、BI Publisherのデフォルトのアプリケーション・ロールを別のグループに再度マップする必要があります。たとえば、企業でLDAPサーバーがアイデンティティ・ストアとして使用されており、BI Publisherのデフォルトのユーザーやグループをそのストア内に作成できない場合は、デフォルトのアプリケーション・ロールを企業のLDAPサーバーに固有の別のグループにマップする必要があります。Fusion Middleware Controlを使用して、グループをアプリケーション・ロールにマップします。
異なる認証プロバイダの構成方法の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
ポリシー・ストアと資格証明ストアは、ファイルベースまたはLDAPベースで構成できます。このリリースでその両方のストアに対してサポートされているLDAPサーバーは、Oracle Internet Directoryです。LDAPベースのストアを使用するための前提条件は、ポリシー・ストアと資格証明ストアのいずれであっても同じです。詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のLDAPベースのポリシーおよび資格証明ストアの構成に関する項を参照してください。
ポリシーや資格証明を1つのセキュリティ・ストアから別のセキュリティ・ストアに移行することを、再関連付けと呼びます。ポリシー・ストアと資格証明ストアのどちらのデータも、ファイルベースのストアからLDAPベースのストアに、またはその逆に再関連付け(移行)できます。
資格証明ストアとポリシー・ストアはどちらも同じタイプのものである必要があるため、1つのストアを再関連付けするときにはもう一方のストアも再関連付けする必要があります。
再関連付け、および、資格証明ストアとポリシー・ストアのデータをOracle Internet Directoryに移行するために必要な手順の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlによる再関連付けに関する項を参照してください。
Fusion Middlewareのセキュリティ・モデルは、独自のアプリケーション・ポリシーとアプリケーション・ロールを作成することにより、環境に合せてカスタマイズできます。既存のアプリケーション・ロールは、必要に応じてメンバーを追加または削除することにより変更できます。既存のアプリケーション・ポリシーは、権限付与を追加または削除することにより変更できます。アプリケーション・ポリシーとアプリケーション・ロールの管理の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
注意: 新しいアプリケーション・ポリシーやアプリケーション・ロールを作成してBI Publisherのデフォルトのセキュリティ構成に追加する前に、権限やグループの継承の仕組みについて理解しておく必要があります。ロールの階層を構築するときは、循環依存が生じないことが重要です。ベスト・プラクティスは、デフォルトのセキュリティ構成はそのままにしておいて、カスタマイズされたアプリケーション・ポリシーやアプリケーション・ロールをまずはテスト環境に取り込んでみることです。詳細は、第2.3項「権限の付与と継承」を参照してください。 |
新しいアプリケーション・ロールを作成するには、2つの方法があります。
新規に作成: 新しいアプリケーション・ロールが作成されます。メンバーを同時に追加することや、新規ロールに名前を付けて保存し、後でメンバーを追加することができます。
既存のものをコピー: 既存のアプリケーション・ロールをコピーすることにより、新しいアプリケーション・ロールが作成されます。コピーは、オリジナルと同じメンバーを含み、同じアプリケーション・ポリシーの権限受領者となります。コピーを必要に応じて変更して、新しいロールの作成を完了できます。
新規アプリケーション・ロールを作成するには:
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
詳細は、第2.6.1項「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
BI Publisherのアプリケーション・ロールが表示されます。
「作成」をクリックして「アプリケーション・ロールの作成」ページを表示します。すべての情報を一度に入力することも、「ロール名」を入力し、保存しておいて、それ以外のフィールドを後で入力することもできます。次のようにフィールドに入力します。
「一般」では:
ロール名: アプリケーション・ロールの名前を入力します。
(オプション)表示名: アプリケーション・ロールの表示名を入力します。
(オプション)説明: アプリケーション・ロールの説明を入力します。
「メンバー」セクションでは、アプリケーション・ロールにマップするユーザー、グループまたはアプリケーション・ロールを選択します。対象に応じて、「アプリケーション・ロールの追加」、「グループの追加」または「ユーザーの追加」を選択します。表示されるダイアログ・ボックス内を検索するには:
「名前」フィールドに名前を入力し、青いボタンをクリックして検索します。
「使用可能」ボックスで、戻された結果から選択します。
シャトル・コントロールを使用して、必要な名前を「選択済」ボックスに移動します。
「OK」をクリックして、「アプリケーション・ロールの作成」ページに戻ります。
すべてのメンバーがアプリケーション・ロールに追加されるまでこの手順を繰り返します。
「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。
作成したアプリケーション・ロールがページ下部の表に表示されます。
既存のアプリケーション・ロールに基づいてアプリケーション・ロールを作成する手順は、次のとおりです。
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ロール」を選択して「アプリケーション・ロール」ページを表示します。
詳細は、第2.6.1項「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
BI Publisherのアプリケーション・ロールが表示されます。
リストからアプリケーション・ロールを選択してアクション・ボタンを有効にします。
「類似作成」をクリックし、アプリケーション・ロールの類似作成ページを表示します。
「メンバー」セクションには、オリジナル・ロールにマップされているのと同じアプリケーション・ロール、グループまたはユーザーが入力されます。
「ロール名」、「表示名」および「説明」の各フィールドに入力します。
図2-16は、MyNewRoleと名付けられた、BIAuthorに基づくアプリケーション・ロールの例を示しています。
「追加」および「削除」を使用し、メンバーを必要に応じて変更してから、「OK」をクリックします。
作成されたアプリケーション・ロールは、ページ下部の表に表示されます。図2-17は、デフォルトのBIAuthorアプリケーション・ロールに基くMyNewRoleの例を示しています。
BI Publisherの権限はすべて提供されており、ユーザーが新しい権限を作成することはできません。権限付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページでコントロールされます。権限付与は、アプリケーション・ポリシーで定義されます。アプリケーション・ロール、ユーザー、またはグループが、その後アプリケーション・ポリシーにマップされます。このプロセスによって、アプリケーション・ロール、ユーザーまたはグループがアプリケーション・ポリシーの「権限受領者」となります。
新しいアプリケーション・ポリシーを作成するには、2つの方法があります。
新規に作成: 新しいアプリケーション・ポリシーが作成され、権限が追加されます。
既存のものをコピー: 既存のアプリケーション・ポリシーをコピーすることにより、新しいアプリケーション・ポリシーが作成されます。コピーに名前が付けられて既存の権限が削除されるか、必要に応じて権限が追加されます。
新しいアプリケーション・ポリシーを作成するには:
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.6.1項「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「権限」の横の検索アイコンをクリックします。
BI Publisherのアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。
「作成」をクリックして、「アプリケーション権限の作成」ページを表示します。
作成するポリシーにパーミッションを追加するには、「権限」領域の「追加」をクリックして、「権限の追加」ダイアログ・ボックスを表示します。
「検索」領域に入力し、「リソース名」フィールドの横の青い検索ボタンをクリックします。
obiアプリケーション・ストライプで検出されたすべての権限が表示されます。BI Publisherの権限の詳細は、第2.4.2項「デフォルトのアプリケーション・ロールと権限」を参照してください。
希望のBI Publisherの権限を選択して「OK」をクリックします。必要なすべての権限が選択されるまで繰り返します。BI Publisher以外の権限を選択しても、ポリシーには何の効果も及ぼしません。
任意のアイテムを削除するには、それを選択して、「削除」をクリックします。
「アプリケーション権限の作成」ページに戻されます。選択した権限が「権限」領域に表示されます。
作成するポリシーにアプリケーション・ロールを追加するには、「権限受領者」領域の「アプリケーション・ロールの追加」をクリックして、「アプリケーション・ロールの追加」ダイアログを表示します。
「検索」領域に入力し、「リソース名」フィールドの横の青い検索ボタンをクリックします。
「使用可能なロール」リストから選択し、シャトル・コントロールを使用して、それを「選択したロール」に移動します。
「OK」をクリックします。
「アプリケーション・ポリシー」ページに戻ります。作成したポリシーの「プリンシパル」(権限受領者)および「権限」が表に表示されます。
既存のアプリケーション・ポリシーに基づいてアプリケーション・ポリシーを作成する手順は、次のとおりです。
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.6.1項「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「権限」の横の検索アイコンをクリックします。
BI Publisherのアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。
表から既存のポリシーを選択します。
たとえば、図2-18では、プリンシパルBIAuthor(権限受領者)が選択されており、「類似作成」ボタンが有効になっています。
「類似作成」をクリックし、アプリケーション権限の類似作成ページを表示します。「権限」の表に、選択されたポリシーにより付与される権限の名前が表示されます。
任意のアイテムを削除するには、それを選択して、「削除」をクリックします。
ポリシーにアプリケーション・ロールを追加するには、「権限受領者」領域の「アプリケーション・ロールの追加」をクリックして、「アプリケーション・ロールの追加」ダイアログを表示します。
次の図は、MyNewRoleアプリケーション・ロールの例を示しています。
「アプリケーション・ポリシー」ページに戻ります。図2-21に示すように、作成したポリシーのプリンシパルおよび権限が表に表示されます。
アプリケーション・ポリシーによって付与される権限のうち、1つ以上の権限を変更できます。
アプリケーション・ポリシーの権限付与を追加または削除するには:
Fusion Middleware Controlにログインして、「セキュリティ」に移動し、「アプリケーション・ポリシー」を選択して「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.6.1項「Oracle Enterprise Manager Fusion Middleware Controlへのアクセス」を参照してください。
「検索するアプリケーション・ストライプの選択」を選択して、リストから「obi」を選択します。「ロール名」の横にある検索アイコンをクリックします。
BI Publisherのアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー名「権限受領者」が表示されます。
「プリンシパル」列からアプリケーション・ロールの名前を選択して、「編集」をクリックします。
「アプリケーション権限の編集」ビューから権限を追加または削除し、「OK」をクリックして変更を保存します。