EPM Systemセキュリティ・モードでのユーザーの管理およびセキュリティ

この項の内容:

EPM Systemセキュリティ・モードでのEssbaseの使用

EPM Systemセキュリティにおけるユーザーとグループのセキュリティ

Shared Servicesに対するEssbaseユーザーの役割

Shared ServicesでのEssbaseプロジェクト、アプリケーションおよびデータベース

Shared ServicesでのEssbaseユーザーとグループ

Shared Servicesでのユーザーへのアクセス権の割当て

EssbaseのEPM Systemセキュリティへの移行

ユーザーIDおよびグループID

EPM Systemセキュリティ・モードでのセキュリティ情報のリカバリ

関連項目:

EPM Systemセキュリティ・モードでのEssbaseの使用

Essbaseのユーザー管理とセキュリティは、Oracle Hyperion Shared Servicesを使用してユーザー管理、ユーザー・プロビジョニングおよび外部認証の定義を行うEPM System経由で提供されます。プロビジョニングとは、役割とアクセス権をEssbaseアプリケーションのユーザーに割り当てるプロセスのことです。

EPM Systemセキュリティを実装している製品には、Shared Servicesクライアントとサーバー・ソフトウェアを実行しているShared Servicesサーバーへのアクセス、およびShared Services専用のデータベースへのアクセスが必要です。

デフォルトの配置オプションを使用した場合、EssbaseはEPM Systemセキュリティ・モードで配置されます。

EssbaseをEPM Systemセキュリティ・モードで配置しない場合、Essbaseでは、独自のネイティブ・セキュリティ・モードを使用して、Essbaseアプリケーション、データベースおよびアーティファクトのセキュリティが管理されます。ネイティブ・セキュリティ・モードでのEssbaseの動作は、ネイティブ・セキュリティ・モードで外部認証を使用する場合を除いて変わりません。Essbaseを引き続きネイティブ・セキュリティ・モードで使用するを参照してください。

Essbaseネイティブ・セキュリティ・モードのEssbase配置にEPM Systemセキュリティを使用するには、Essbaseサーバー・アプリケーションと既存のEssbaseユーザーおよびグループをすべてShared Servicesに移行する必要があります。EssbaseのEPM Systemセキュリティへの移行を参照してください。

EPM Systemセキュリティにおけるユーザーとグループのセキュリティ

EssbaseをEPM Systemセキュリティ・モードで実行中に、Essbaseはユーザーおよびグループの詳細(ユーザーおよびグループ情報とEssbaseアプリケーションへのプロビジョニングを含む)を、Shared Servicesから取得します。EssbaseはすべてのユーザーおよびグループをEssbaseセキュリティ・ファイル(essbase.sec)には格納しないため、Essbaseの管理者はEssbaseとShared Services間でセキュリティを明示的に同期化する必要がありません。

ユーザーがEssbaseにログオンする際、EssbaseはShared Servicesにそのユーザーの情報を問い合せます。ユーザーがセッションを開始する権限は、セッション中にユーザーの権限がShared Servicesで変更されるかどうかに関係なく、セッション全体で保持されます。

ユーザーまたはグループは、次の状況の場合のみ、Essbaseセキュリティ・ファイルに格納されます:

  • ユーザーまたはグループが、Shared Servicesに正常に移行されなかった。

  • ユーザーまたはグループが、データベース計算またはフィルタ・アクセスを割り当てられている。

  • ユーザーまたはグループが、クエリー・ガバナー除外リストで指定されている。

  • ユーザーがアプリケーションまたはデータベースの作成者である。

  • ユーザーがデータベース関連アーティファクトをロックしている。

  • PERSISTUSERATLOGIN構成設定がTRUEに設定されている。

    ユーザーがEssbaseにログオンする際、そのユーザーがessbase.secファイルにまだ存在しなければ、ユーザーをファイルに追加するかどうかがPERSISTUSERATLOGINにより指定されます。

ユーザーまたはグループをEssbaseセキュリティ・ファイルから削除する(Shared Servicesからプロビジョニング解除せずに)には、from security_file文法を使用したdrop userまたはdrop group MaxLステートメントを使用します。計算およびフィルタの関連付けも削除されます。

表示操作については、EssbaseはShared Servicesに問い合せます。参照:

EPM Systemセキュリティの移行およびアップグレードに関する考慮事項

EssbaseをEssbaseネイティブ・セキュリティからEPM Systemセキュリティに移行する際、正常に移行できないユーザーはEssbaseセキュリティ・ファイルに保持されます。

Shared Servicesへの移行中にユーザーのデータベース権限が変更された場合、情報はAccessModifiedUsers_n.txtというテキスト・ファイルに書き込まれます。ここでnは、Shared Servicesに登録されているEssbaseのインスタンスに対するシーケンスIDを表します。(シーケンスIDはEssbaseが外部化されるたびに増加します。)ARBORPATH/binディレクトリにあるこのファイルには、次の情報が含まれます:

  • ユーザーの名前

  • ユーザーがアクセス権を持っているアプリケーションおよびデータベース

  • Shared Servicesに移行する前の、特定のデータベースに対するユーザーのアクセス・レベル

  • Shared Servicesへ移行後のユーザーのアクセス・レベル。グループその他の方法を使用して取得したアクセス権も含まれる

  • ユーザーのフィルタ割当て

Shared Servicesでは、Essbaseアプリケーションに複数のデータベースが含まれている場合、それらのデータベースのユーザー・セキュリティ・アクセス・レベルが同じである必要があります(ただしユーザーは、同じアプリケーション内のデータベースに対して異なる計算スクリプトおよびデータベース・フィルタを割り当てることができます)。Shared Servicesへの移行時に、同じアプリケーション内の2つのデータベースに対してユーザーが所持するアクセス・レベルが異なっていると、それらの両データベースに対するユーザーのアクセス・レベルはより制限が厳しくなります。

Shared Servicesユーザーを、ユーザーのパスワードが自動的に生成されるオプションとともに移行すると、このユーザーの名前およびパスワードはARBORPATH/binディレクトリにあるMigratedUsersPassword.txtというテキスト・ファイルに書き込まれます。管理者が特定のパスワードを移行ユーザーに対して指定した場合は、パスワードはファイルにリストされません。このファイルは、アップグレードまたは移行の実行時に作成されます。

EPM Systemセキュリティの移行およびアップグレード後のユーザー・セキュリティに関する考慮事項

ユーザーのShared Servicesへの移行、またはEssbaseのアップグレードの後に、次のセキュリティ上の問題に対処する必要があります:

  • ユーザーがEssbaseにログオンしてEssbaseエージェントにアクセスする際、グローバルEssbaseサーバー・アプリケーションにおけるサーバー・アクセスの役割がユーザーに割り当てられていることが不要になります。Essbaseアプリケーションのどの役割を持つユーザーでも(直接的または間接的のどちらでプロビジョニングされている場合でも)、EssbaseにログオンしてEssbaseエージェントにアクセスできます。

    グローバルEssbaseサーバー・アプリケーションにおける役割を持たないユーザーはEssbaseエージェントにアクセスできないようにするには、ユーザーの役割を手動で変更する必要があります。ユーザーがグループから継承する役割を必ず評価してください。

  • ユーザーがEssbaseにログオンする際、EssbaseはShared Servicesにそのユーザーの役割を問い合せます。ユーザーが持つ役割の数が多いほど、ログイン・プロセスの完了までの時間は長くなります。ログイン・パフォーマンスを向上するため、ユーザーに不必要な役割を割り当てないようにします。

    Essbase管理者がEssbaseアプリケーションを作成するときに、Essbaseは、不要なアプリケーション・マネージャの役割をこの管理者に割り当てません。ご使用のEssbase配置でアプリケーション・マネージャの役割がEssbase管理者に割り当てられている場合は、Essbase管理者からアプリケーション・マネージャの役割を手動で削除する必要があります。

    また、グローバルEssbaseサーバー・アプリケーションにおける管理者の役割を持つEssbase管理者は、不要なアプリケーションの役割を割り当てられている可能性があります。Essbaseには、Essbase管理者のみに対するアプリケーションの役割を削除できる移行ユーティリティが備わっています。

移行ユーティリティ(32ビットのWindowsのみで稼働)は、両方のセキュリティ上の問題に影響されるユーザーを特定します。さらに、指定されている場合は、アプリケーションの役割を持つEssbase管理者の問題を修正することもできます。

  migration.batファイルを実行するには:

  1. ESSBASEPATH/utilitiesディレクトリに移動します。

  2. migration.zipファイルを解凍します。これによってMigrationToolsサブディレクトリが作成されます。

  3. MigrationToolsサブディレクトリで、migration.properitiesファイルを次の情報で編集します:

    • AdminUserName - 移行ユーティリティを実行するEssbase管理者の名前

    • AdminUserPassword - Essbase管理者のパスワード

    • HSSServer - Shared Servicesサーバーのホスト名

    • HSSPort - Shared Servicesサーバーのポート番号

    • EssbaseProjectName - 移行ユーティリティを実行する対象のEssbaseサーバーのプロジェクト名

    • SavedToFile - TRUEに設定すると、移行スクリプトの結果を次のテキスト・ファイルに書き込むことが指定されます。このファイルはMigrationToolsサブディレクトリ内にあります:

      • EntitiesWithCubeRolesOnly.txt - アプリケーションの役割は持っているが、グローバルEssbaseサーバー・アプリケーションにおける役割は持っていないユーザーおよびグループをリストします

      • EssbaseAdminsWithCubeRoles.txt - アプリケーションの役割を持つEssbase管理者をリストします

        FALSE(デフォルト)に設定すると、結果は画面に書き込まれます。

        これらのファイルのサンプル・バージョンはMigrationToolsサブディレクトリ内にあります。

    • FixAdminUser - TRUEに設定すると、Essbase管理者からアプリケーションの役割が削除されます。FALSE(デフォルト)に設定すると、Essbase管理者の名前と、その管理者に割り当てられているアプリケーションの役割が画面に書き込まれます。

      例:

                        AdminUserName = admin
      AdminUserPassword = password
      HSSServer = pant5
      HSSPort = 58080
      EssbaseProjectName = Analytic Servers:ALNG3:1
      SavedToFile true
      FixAdminUser false
      
                     

    注:

    Essbaseサーバーに対して最初にユーティリティを実行する際は、結果を表示して確認できるように、SavedToFileをTRUEに、FixAdminUserをFALSEに設定することをお薦めします。それから、FixAdminUserをTRUEに設定してユーティリティを再度実行すれば、Essbase管理者からアプリケーションの役割を削除できます。

  4. migration.batファイルを実行します。

  5. 手動による必要な変更を行います。

Shared Servicesに対するEssbaseユーザーの役割

役割とは、ユーザーが実行できるタスクを指定するもので、次の方法でグループ化できます:

  • 製品固有の役割

    Essbaseの役割の例は、管理者とデータベース・マネージャです。すべてのEssbaseの役割は、Shared Servicesアプリケーションに固有です(役割によってユーザーに付与される権限は、すべてのアプリケーションではなく、役割が割り当てられる特定のアプリケーションにのみ適用されます)。

  • Shared Servicesの役割

    Shared Servicesの役割の例としては、プロジェクト・マネージャやプロビジョニング・マネージャをあげることができます。Shared Servicesの役割の多くはグローバルです(役割がすべてのShared Servicesアプリケーションに適用されます)。ただし、プロビジョニング・マネージャの役割は例外であり、アプリケーションに固有です。

    Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。

次のEssbaseの役割は、Essbaseでタスクを実行するための様々なレベルの権限を提供します。

Essbaseサーバーでは、次の役割をユーザーにプロビジョニングできます:

  • 管理者

  • アプリケーションの作成/削除

  • サーバー・アクセス

各アプリケーションでは、次の役割をユーザーにプロビジョニングできます:

  • アプリケーション・マネージャ

  • データベース・マネージャ

  • 計算

  • 書込み

  • 読取り

  • フィルタ

  • アプリケーションの起動と停止

Shared Services Consoleでは、Essbaseに属する役割は、Essbaseノードにグループ化されます。Essbaseアプリケーションに属する役割は、アプリケーション・ノードにグループ化されます。

注:

Administration Servicesの管理者ユーザーの役割をShared Servicesを経由してプロビジョニングするという概念はありません。Shared Servicesでは、Administration Servicesの管理者に役割は割り当てられません。

表120に、Essbaseに固有のユーザーの役割、およびアプリケーションに固有のプロビジョニング・マネージャというShared Servicesの役割を示します。表には、各ユーザーが実行できるタスクも記載します。

表 120. EssbaseとShared Servicesのユーザーの役割とタスク

ユーザーの役割

タスクの説明

プロジェクト・マネージャ

(Shared Servicesの役割)Shared Services内でプロジェクトを作成および管理できます。

管理者(以前はスーパーバイザ)

サーバー、アプリケーションおよびデータベースへの完全な管理アクセス権を持っています。

注:

プロビジョニング・マネージャの役割は、Shared Servicesアプリケーションに固有の役割で、Essbase管理者(以前の呼び名はスーパーバイザ)の移行時に自動的に割り当てられます。ただし、Essbase管理者をShared Services Consoleで作成するときには、プロビジョニング・マネージャの役割を手動で割り当てる必要があります。プロビジョニング・マネージャの役割が割り当てられたユーザーは、アプリケーションに対する役割をユーザーとグループにプロビジョニングできます。

アプリケーションの作成/削除

アプリケーションおよびアプリケーション内のデータベースを作成および削除できます。このユーザーによって作成されたアプリケーションとデータベースに対するアプリケーション・マネージャ権限とデータベース・マネージャ権限を含みます。

サーバー・アクセス

最小限のアクセス権を与えられたアプリケーションまたはデータベースにアクセスできます。

アプリケーション・マネージャ(以前はアプリケーション・デザイナ)

特定のアプリケーション内でデータベースとアプリケーションの設定の作成、削除および変更を行うことができます。アプリケーション内のデータベースに対するデータベース・マネージャ権限を含みます。

アプリケーション・マネージャが削除できるのは、自分が作成したアプリケーションおよびデータベースのみです。

注:

プロビジョニング・マネージャの役割は、Essbaseアプリケーション・マネージャの移行時に自動的に割り当てられます。ただし、Essbaseアプリケーション・マネージャをShared Services Consoleで作成するときには、プロビジョニング・マネージャの役割を手動で割り当てる必要があります。

データベース・マネージャ(以前はデータベース・デザイナ)

割り当てられたアプリケーション内のデータベース(データベース・プロパティまたはキャッシュ設定を変更する場合など)、データベース・アーティファクト、ロックおよびセッションを管理できます。

計算

割り当てられた計算値とフィルタを使用して、指定範囲に基づくデータ値の計算、更新および読取りを行うことができます。

書込み

割り当てられたフィルタを使用して、指定範囲に基づくデータ値の更新および読取りを行うことができます。

読取り

データ値を読み取れます。

フィルタ

フィルタの制限に基づいて特定のデータとメタデータにアクセスできます。

アプリケーションの起動と停止

アプリケーションまたはデータベースを起動および停止できます。

Shared ServicesでのEssbaseプロジェクト、アプリケーションおよびデータベース

Shared Servicesアーティファクトには、プロジェクト、アプリケーション、ユーザーの役割、ユーザーおよびグループがあります。Shared Servicesでユーザーまたはグループにアクセス権を割り当てると、ユーザーまたはグループにアプリケーションに対する役割プロビジョニングすることになります。Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。

Shared ServicesとEssbaseは両方とも、「アプリケーション」という用語を使用します。Essbaseでは、「アプリケーション」はデータベースのコンテナを指します。Shared Servicesでは、「アプリケーション」はユーザーをプロビジョニングするアーティファクトを指します。この項では、特にEssbaseアプリケーションであることが明記されていないかぎり、「アプリケーション」はShared Servicesアプリケーションを指します。ほとんどの場合、Essbaseアプリケーションは、Shared Servicesアプリケーションにマッピングされるので、区別は必要ありません。

Essbaseの場合、移行はEssbaseサーバーのレベルで実行されます。EssbaseサーバーをShared Servicesに移行すると、そのEssbaseサーバーに対してShared Servicesプロジェクトが作成されます。プロジェクトの名前はEssbase:machineName:EssbaseServer#です。machineNameはEssbaseサーバー・コンピュータの名前で、EssbaseServer#はシーケンス番号です。最初に移行されるEssbaseサーバーのシーケンス番号は1です。同じコンピュータ上の複数のEssbaseサーバーを移行する場合、シーケンス番号は1ずつ増加します。また、セキュリティ・ファイルを削除してEssbaseサーバーを再び移行した場合は、正常な移行ごとに新しいシーケンス番号で新しいサーバー・プロジェクトが作成されます。Shared Services Consoleで不要なプロジェクトを削除できます。

Essbaseでは、プロジェクト内に次のアプリケーションを自動的に作成し、自動的にそのアプリケーションをShared Servicesに登録します:

  • Essbase:machineName:EssbaseServer#という名前のアプリケーション。これは、Shared Servicesプロジェクトと同じ名前です。このアプリケーションはグローバルEssbaseサーバー・アプリケーションと呼ばれ、このアプリケーションを使用してEssbaseサーバー・レベルでセキュリティを指定できます。移行後、Shared Servicesのグローバル・アプリケーションの名前とアプリケーション・プロジェクトの名前は、rename global registration name文法でMaxLのalter systemステートメントを使用して変更できます。『Oracle Essbaseテクニカル・リファレンス』を参照してください。

  • Essbaseサーバー上の各EssbaseアプリケーションのShared Servicesアプリケーション。Shared Servicesでは、Essbaseアプリケーションに複数のデータベースが含まれている場合、それらのデータベースのユーザー・セキュリティ・アクセス・レベルが同じである必要があります。(ただし、ユーザーは、同じアプリケーション内のデータベースに割り当てられた異なる計算スクリプトとデータベース・フィルタを持つことができます。Shared Servicesでのデータベース計算およびフィルタ・アクセスの割当てを参照してください)。

    次の図では、Essbase:JWARD:1の第:1インスタンスは、JWARDに移行された第1Essbaseサーバーに対するShared Servicesプロジェクトです。Essbase:JWARD:1の第2インスタンスはグローバルEssbaseサーバー・アプリケーションです。

                Projects
       Essbase:JWARD:1
          ASOsamp
          DMDemo
          Demo
          Essbase Servers:JWARD:1
          Sampeast
          Sample
          Sample_U
          Samppart
             

Shared Servicesに移行した後でEssbaseでアプリケーションとデータベースを作成すると、対応するShared ServicesアプリケーションがEssbaseサーバー・プロジェクト内に作成され、そのアプリケーションは自動的にShared Servicesに登録されます。

Shared ServicesでのEssbaseユーザーとグループ

Shared Servicesに移行すると、外部の認証ディレクトリにまだ存在しないすべてのネイティブなEssbaseユーザーとグループが、ネイティブなShared Servicesユーザー・ディレクトリ内のネイティブなShared Servicesユーザーとグループに変換され、同等の役割が与えられます。外部で認証されたユーザーは、Shared Servicesに登録されますが、元の認証ディレクトリに保管されたままです。ユーザーとグループの移行を参照してください。

Shared Servicesに移行後、ユーザーとグループは、Shared Services Consoleまたは外部ユーザー・ディレクトリ経由で作成および管理する必要があります。Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。

サポートされている認証プロバイダから外部認証ディレクトリにユーザーとグループを保管するとき、1ユーザーと1グループを同じ名前にすることはできますが、同一プロバイダ上で、2ユーザーまたは2グループを同じ名前にすることはできません。

Shared Servicesでは、集約グループをサポートします。集約グループでは、親グループに1つ以上のサブグループが入っています。サブグループは、その親グループの役割を継承します。たとえば、親グループにEssbase管理者の役割をプロビジョニングした場合、サブグループ(およびそのグループのユーザー)は、Essbase管理者の役割を継承します。

注:

Essbaseでは、アプリケーションまたはデータベースをコピーするときに、ターゲットEssbaseサーバーがEPM Systemのセキュリティ・モードの場合、ユーザーとグループのセキュリティはアプリケーションと一緒にコピーされません。Shared Services Consoleのプロビジョニング・コピー機能を使用して、アプリケーションのセキュリティをコピーします。

Shared Servicesでのユーザーへのアクセス権の割当て

Shared Services Consoleには、EPM System製品のユーザー管理タスクを実行できる集中管理UIがあります。Shared Services ConsoleからEssbase画面を起動して、セキュリティ・アクセスをデータベース・フィルタと計算スクリプトに割り当てることができます。EPM Systemのセキュリティ・モードでは、Shared Services Console、MaxLまたはAPIを使用してセキュリティを管理します(MaxLまたはAPIを使用してセキュリティを管理するときにはいくつかの制限があります。『Oracle Essbaseテクニカル・リファレンス』および『Oracle Essbase APIリファレンス』を参照してください)。管理サービス・コンソールでは、セキュリティ情報を表示できるのみです。

ユーザーとグループへのアクセス権の割当て、各アプリケーションのユーザー、グループおよびプロビジョニングされた役割に関するレポートの表示については、Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。

Shared Services Consoleの起動とログイン

EssbaseユーザーをShared Services Consoleで管理するには、次のShared Servicesの役割がプロビジョニングされたユーザーとして、コンソールにログオンする必要があります:

  • 該当するEssbaseサーバーまたはアプリケーションのプロビジョニング・マネージャの役割

  • 該当する認証ディレクトリのディレクトリ・マネージャの役割

Shared Services Consoleを起動する場合、適切なユーザー権限でログオンする必要があります。たとえば、Essbase管理者がユーザーを作成および削除できるように、その管理者にディレクトリ・マネージャの役割をプロビジョニングするには、Shared Services管理者としてログオンする必要があります。

Shared Servicesでのサーバー・アクセスの割当て

EPM Systemセキュリティ・モードで、Essbaseサーバー・レベルのセキュリティを指定するには(たとえば、Essbaseサーバー上のすべてのEssbaseアプリケーションに対するプロビジョニング・マネージャの役割をユーザーにプロビジョニングする)、グローバルEssbaseサーバー・アプリケーション、つまり、Essbaseサーバーを表すShared Servicesアプリケーションの該当する役割をユーザーにプロビジョニングします。Shared ServicesでのEssbaseプロジェクト、アプリケーションおよびデータベースを参照してください。

図143は、DTRIPATH-PC1というEssbaseサーバーとDemoアプリケーションで使用可能な役割を示しています。

図 143. Shared Services Consoleのプロビジョニング・パネル

この図は、この図の前のテキストで説明されている、Shared Services Consoleのプロビジョニング・パネルを示しています。

注:

ユーザーにEssbase管理者の役割をプロビジョニングするときには、手動でそのユーザーにEssbaseサーバーおよびサーバー上の各Essbaseアプリケーションに対するプロビジョニング・マネージャの役割もプロビジョニングする必要があります(Essbase管理者を移行した場合には、プロビジョニング・マネージャの役割は自動的に割り当てられます)。

Shared Servicesでのアプリケーション・アクセスの割当て

EPM Systemのセキュリティ・モードで、Essbaseアプリケーション・レベルのセキュリティを指定するには(たとえば、Sampleアプリケーションに対するデータベース・マネージャの役割をユーザーにプロビジョニングする)、アプリケーションの該当する役割をユーザーにプロビジョニングします。

注:

ユーザーにアプリケーション・マネージャの役割をプロビジョニングするときには、手動でそのユーザーに該当するアプリケーションに対するプロビジョニング・マネージャの役割もプロビジョニングする必要があります。(Essbaseアプリケーション・マネージャを移行する場合、プロビジョニング・マネージャの役割は自動的に割り当てられます)。

少なくともアプリケーション内のすべてのデータベースへの書込みアクセス権をすべてのユーザーに割り当てる場合などに、アプリケーションの最小権限を設定できます。デフォルトの設定は「なし」です。この場合、最小権限は設定されないので、すべてのユーザーは自分の役割に基づいてアプリケーションにアクセスできます。

  アプリケーションの最小権限を設定する方法は、『Oracle Essbase Administration Servicesオンライン・ヘルプ』の「アプリケーションの最小権限の設定」を参照してください。

Shared Servicesでのデータベース計算およびフィルタ・アクセスの割当て

Shared Services ConsoleでEssbaseアプリケーションについてユーザーをプロビジョニングした後で、特定のEssbaseアプリケーションとデータベースに対する詳細なアクセス権をユーザーとグループに割り当てることができます。たとえば、アプリケーションへのユーザー・アクセスを割り当て、そのアプリケーションに対する役割をユーザーに割り当てた後で、Essbaseフィルタを割り当てるか、特定の計算スクリプトへのユーザー・アクセスを割り当てることができます。

フィルタと計算スクリプトはEssbaseで作成する必要があります。セキュリティ・フィルタを使用したデータベース・セルへのアクセスの制御。を参照してください。

Shared Services ConsoleからEssbaseアプリケーションを選択すると、そのアプリケーションにプロビジョニングされているユーザーとグループが表示されます。この画面で、追加の権限を割り当てるユーザーおよびグループを選択できます。次に、ユーザーまたはグループがアクセスする必要があるデータベースを選択し、選択したユーザーとグループにフィルタと計算スクリプトへのアクセス権を割り当てます。Shared Services Consoleのオンライン・ドキュメントを参照してください。

  Shared Servicesでアクセス権を指定するには、次のツールを使用します:

ツール

トピック

場所

Administration Services

データベース計算およびフィルタ・アクセスの割当て

Oracle Essbase Administration Services Online Help

MaxL

grant

Oracle Essbase Technical Reference

データベース計算とフィルタ・アクセスを割り当てるときには、Shared Services Consoleにログインしたユーザーとして自動的にAdministration ServicesとEssbaseとログオンします。このユーザーは、Essbase管理者、アプリケーション・マネージャまたはデータベース・マネージャである必要があります。また、このユーザーには該当するアプリケーションに対するプロビジョニング・マネージャの役割が必要です。

データベース計算とフィルタ・アクセスをEssbase管理者またはアプリケーション・マネージャに割り当てることはできません。

Shared Servicesでのアプリケーション・アクセス・タイプの割当て

EssbaseとPlanningには、EssbaseユーザーとPlanningユーザーに対するアプリケーション・アクセス・タイプという概念があります。たとえば、EssbaseユーザーをいずれかのEssbase管理ツールを使用して作成すると、そのユーザーには自動的にアプリケーション・アクセス・タイプ「Essbase」が割り当てられます。PlanningユーザーをPlanningインタフェースを使用して作成すると、そのユーザーには自動的にアプリケーション・アクセス・タイプ「Planning」が割り当てられます。ユーザーのアプリケーション・アクセス・タイプによって、そのユーザーがEssbaseアプリケーションのみまたはPlanningアプリケーションのみにアクセスできるのか、あるいは両方にアクセスできるのかが指定されます。

Shared Services Consoleで、グローバルEssbaseサーバー・アプリケーションを選択し、そのアプリケーションにプロビジョニングされているユーザーとグループのリストを表示することができます。Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。

データベース計算とフィルタ・アクセスを割り当てるときには、Shared Services Consoleにログインしたユーザーとして自動的にAdministration ServicesとEssbaseとログオンします。このユーザーは、有効なEssbase管理者である必要があります。また、このユーザーには該当するアプリケーションに対するプロビジョニング・マネージャの役割が必要です。

  新しくプロビジョニングしたユーザーのアプリケーション・アクセス・タイプ情報を反映するためにEssbaseをリフレッシュするには、「リフレッシュ」をクリックします。

EssbaseのEPM Systemセキュリティへの移行

EssbaseとAdministration ServicesがEssbaseネイティブ・セキュリティ・モードである場合は、EPM Systemセキュリティ・モードに移行できます。Essbaseの場合、移行はEssbaseサーバーのレベルで実行されます。一度EPM Systemセキュリティ・モードに変換すると、再びEssbaseネイティブ・セキュリティ・モードに戻すことはできません。

Essbase管理サーバーは、EssbaseサーバーがEssbaseネイティブ・セキュリティ・モードで動作している状態で、EPM Systemセキュリティ・モードで動作できます。ただし、管理サービス・コンソールから管理しているいずれかのEssbaseサーバーがEPM Systemセキュリティ・モードで動作している場合は、Essbase Administration ServerもEPM Systemセキュリティ・モードで動作する必要があります。

  Essbaseサーバー、Essbase管理サーバーおよびユーザーとグループをEPM Systemセキュリティに移行するには、次のツールを使用します:

ツール

トピック

場所

Administration Services

Shared ServicesへのEssbaseサーバーの変換とユーザーの移行

Oracle Essbase Administration Services Online Help

MaxL

alter system

『Oracle Essbaseテクニカル・リファレンス』

移行を実行するには、Essbase管理者である必要があります。

Essbase管理サーバーの場合、インストールの後にOracle Hyperion Enterprise Performance Management Systemコンフィグレータを実行し、Shared Servicesサーバーとログインを指定すると、その時点でEssbase管理サーバーがEPM Systemセキュリティ・モードに変換されます。Shared Servicesの構成情報は、Essbase管理サーバーのプロパティ・ウィンドウ(「構成」タブ)で確認できます。このとき、Administration Servicesユーザーを選択してShared Servicesに移行できます。

  Administration Servicesユーザーを移行する場合、または移行に失敗したEssbaseユーザーとグループを移行しなおす場合には、次のツールを使用します:

ツール

トピック

場所

Administration Services

Shared Servicesへのユーザーの移行

Oracle Essbase Administration Services Online Help

MaxL

display user

display group

alter user

alter group

Oracle Essbase Technical Reference

Administration Servicesユーザーを移行するには、Administration Services管理者である必要があります。

注:

ユーザー、グループおよびアプリケーションをShared Servicesに移行する前に、NETDELAYとNETRETRYCOUNTの構成設定が、この移行を完了できるだけの十分な大きさに設定されていることを確認してください。NETDELAYは、セキュリティ・ファイルのサイズに応じて、少なくとも3時間(場合によってはそれ以上)に設定します。移行が完了した後、これらの設定を元の値に戻してください。これらの設定は、クライアントのessbase.cfgファイルで指定します。このファイルは、移行を起動するクライアント・コンピュータのARBORPATH/binフォルダに配置されます。たとえば、管理サービス・コンソールを使用して移行を起動する場合、クライアントのessbase.cfgファイルは、Essbase管理サーバーがインストールされているコンピュータのARBORPATH/binフォルダに存在する必要があります。

移行の前後に、Essbaseによってセキュリティ・ファイルのバックアップが自動的に作成されます(essbase.bak_preUPMessbase.bak_postUPM)。これらのファイルを安全な場所に手動でバックアップすることをお薦めします。

Administration ServicesのEssbaseサーバー・プロパティ・ウィンドウには、サーバーがEPM Systemセキュリティ・モードにあるかどうかに関する情報が表示されます。

アプリケーションとデータベースの移行

Shared Servicesに移行した後、移行したEssbaseサーバーごとに1つのプロジェクトが作成されます。このプロジェクトには、移行したサーバー上の各Essbaseアプリケーションに対するShared Servicesアプリケーションが含まれています。Shared ServicesでのEssbaseプロジェクト、アプリケーションおよびデータベースを参照してください。

ユーザーとグループの移行

Shared Servicesに移行すると、外部の認証ディレクトリにまだ存在しないすべてのネイティブなEssbaseユーザーとグループが、ネイティブなShared Servicesユーザー・ディレクトリ内のネイティブなShared Servicesユーザーとグループに変換され、同等の役割が与えられます。たとえば、ネイティブなEssbase管理者(以前のスーパーバイザ)は、Essbase管理者とプロビジョニング・マネージャの役割が割り当てられたShared Servicesユーザーになります。また、データベース上の計算権限を持つネイティブなEssbaseユーザーは、そのデータベースを含むアプリケーションでの計算の役割が割り当てられたShared Servicesユーザーになります。移行中、管理者とアプリケーション・マネージャには、該当するアプリケーションに対するプロビジョニング・マネージャの役割が自動的に与えられます。

注:

EssbaseがEPM Systemセキュリティ・モードで実行された場合、Essbaseのユーザーの作成/削除権限は廃止されます。Essbaseユーザーを作成または削除するには、Essbase管理者である必要があります。さらに、Shared Servicesでユーザーを作成または削除するには、Shared Services管理者である必要があります。

外部認証ユーザーはすべてShared Servicesに登録されますが、元の認証ディレクトリに保管されたままになります。ユーザー・ディレクトリが実行されていない場合は、移行全体が失敗します。

使用不可になったEssbaseユーザーまたはグループは移行されません。

Essbaseのユーザー名は、Shared Servicesのグループ名として存在できません。存在する場合、そのEssbaseユーザーは移行されません。

Shared Servicesでは、Essbaseアプリケーションに複数のデータベースが含まれている場合、それらのデータベースのユーザー・セキュリティ・アクセス・レベルが同じである必要があります。移行中、ユーザーが同じアプリケーション内の2つのデータベースに対して異なるアクセス・レベルを持っている場合は、両方のデータベースに対するより制限的なアクセス・レベルがそのユーザーに与えられます。このような場合には、移行を実行した管理者に警告が送信され、その情報がAccessModifiedUsers_n.txtファイルに記録されます。このファイルは、ARBORPATH/binディレクトリにあります。

ユーザーとグループの移行は次の順序で実行されます:

  1. Shared Servicesに登録されているアプリケーション

  2. グループ

  3. ユーザー

移行が失敗した場合の移行のステータスは、その失敗が発生した場所によって異なります。たとえば、移行がステップ1で失敗した場合は、移行全体が失敗します。移行がステップ2で失敗した場合の結果は、その失敗の理由によって異なります。移行がステップ3で失敗し、1人以上のユーザーが移行に失敗した場合は、アプリケーションやグループが移行されていない可能性があります。

移行に失敗したユーザーとグループは、essbase.secファイルにリストされます。このファイルは、ARBORPATH/binディレクトリにあります。

Administration Servicesのユーザーの外部化ウィザードを使用してAdministration Servicesユーザーを移行するか、以前に移行に失敗したEssbaseユーザーを移行しなおす場合は、ウィザードで指定したファイルと、Essbaseサーバー・ログ(EPM_ORACLE_HOME/logs/essbase/essbase.log)に移行エラーが記録されます。

グループを移行できなかった場合は、このグループのユーザーもすべて移行されません。ユーザーを正常に移行するには、グループを修復して移行する必要があります。

グループがEssbaseとShared Servicesの両方に存在する場合は、次の条件を満たす必要があります:

  • Essbaseに2つのグループが存在する場合、Shared Servicesに、それらのグループが同じ階層内の異なるレベル(祖先と子の関係)として含まれていてはなりません(例2を参照)。含まれている場合は、移行プロセス全体が失敗します。

  • Shared Servicesグループに、同じ名前のEssbaseグループに存在しないユーザーが含まれていてはなりません。含まれている場合は、そのEssbaseグループと、そのグループ内のすべてのユーザーが移行されません。

  • Essbaseグループに、Shared Servicesに存在するユーザーが含まれていてはなりません。ただし、そのShared Servicesユーザーが同じ名前のShared Servicesグループに属している場合を除きます。含まれている場合は、そのEssbaseグループと、そのグループ内のすべてのユーザーが移行されません。

次の例では、グループの移行における考慮事項に着目します:

例1: この例にあるグループは、EssbaseからShared Servicesに正常に移行されます。

Essbaseにグループ1およびグループ2という名前のグループが存在します:

         group 1, group 2
   

Shared Servicesにはこれと同一の2つのグループが存在し、それ以外にグループ1とグループ2を含むグループ3も存在します:

             group 3
          |
   group 1, group 2
   

グループ1とグループ2が互いにShared Servicesと同じレベルにあり、Essbaseにグループ3が存在しないため、これらのグループは正常に移行されます。

注:

グループ3にEssbaseサーバー・インスタンスへの管理者(以前のスーパーバイザ)アクセス権があり、Essbaseのグループ1とグループ2にユーザー・アクセス権がある場合、結果として得られるShared Servicesのグループ1とグループ2には管理者アクセス権が与えられます。

例2: Shared Servicesに、異なるレベルにあるグループ1とグループ2が含まれているため、この例にある移行は失敗します。

Essbaseにグループ1およびグループ2という名前のグループが存在します:

         group 1, group 2
   

Shared Servicesにはグループ1とグループ2が存在しますが、グループ1にグループ2が含まれています:

         group 1
       |
   group 2
   

例3: Essbaseにグループ1、グループ2およびグループ3が含まれ、Shared Servicesにグループ1やグループ2とは異なるレベルにあるグループ3が含れまているため、この例にある移行は失敗します。

Essbaseに、グループ1、グループ2およびグループ3という名前のグループが存在します:

         group 1, group 2, group 3
   

Shared Servicesにはグループ1とグループ2が存在しますが、グループ1とグループ2を含むグループ3が存在します:

             group 3
          |
   group 1, group 2
   

ユーザーIDおよびグループID

EssbaseをEPM Systemセキュリティ・モードで実行している場合、ユーザーまたはグループのプロバイダ・ディレクトリまたは一意のID属性を指定すると、ユーザー名とグループ名は一意である必要がなくなりました。

MaxLでは、ユーザー名とグループ名は、name@providerまたは一意のID属性として指定できます。

プロバイダは、LDAPまたはActive Directoryなどのユーザー・ディレクトリの名前で、外部ユーザーまたはグループをホストします。一意のID属性、あるいは単に「ID」とは、各ユーザーおよびグループに割り当てられた一意の文字列です。IDを使用すると、Essbaseはプロバイダ間で同じ名前のユーザーやグループを識別できます。

詳細は、『Oracle Essbaseテクニカル・リファレンス』のMaxLのUSER-NAMEおよびGROUP-NAMEに関する項を参照してください

注:

ユーザー名またはグループ名に@文字が含まれている場合、プロバイダも指定する必要があります。プロバイダを指定しないと、Shared Servicesでは、@文字はプロバイダ名を示す区切り記号であるとみなされます。たとえば、Native Directoryプロバイダを使用しているユーザーadmin@msadをログインさせるには、admin@msad@Native Directoryと指定する必要があります。

EPM Systemセキュリティ・モードでのセキュリティ情報のリカバリ

Shared Servicesのセキュリティ情報とEssbaseセキュリティ・ファイル内のセキュリティ情報の間に不一致が発生した場合は、不一致の種類によって、Shared Servicesの情報とEssbaseセキュリティ・ファイルの情報のどちらが優先されるかが決定されます。

参照:

ユーザーおよびグループ情報

ユーザーおよびグループ情報については、Shared Servicesが優先されます。ユーザーおよびグループ情報は、Shared Servicesおよび外部ユーザー・ディレクトリのバックアップとリカバリの手順を使用して復元できます。『Oracle Hyperion Enterprise Performance Management Systemバックアップおよびリカバリ・ガイド』を参照してください。

注:

ユーザーおよびグループ情報をリカバリする場合、フィルタ、計算スクリプトおよびアプリケーション・アクセス・タイプへの関連付けは、Shared Servicesのバックアップにこれらの情報が存在しなければすべて失われます。Essbaseセキュリティ・バックアップ・ファイルにこれらの情報が存在しない場合は、ユーザーまたはグループへの関連付けのみでなく、フィルタおよび計算スクリプト自体も失われます。

アプリケーション情報

アプリケーションおよびデータベース情報については、Essbaseが優先されます。アプリケーションがShared Servicesから削除されても、Essbaseでは引き続きそのアプリケーションが使用可能です。そのアプリケーションをShared Servicesに再登録する必要があります。アプリケーションがEssbaseで削除された場合、そのアプリケーションはShared Servicesから自動的に削除されます。

  アプリケーションをShared Servicesに再登録するには、次のツールを使用します:

ツール

トピック

場所

Administration Services

Shared Servicesへのアプリケーションの再登録

Oracle Essbase Administration Services Online Help

MaxL

alter application

『Oracle Essbaseテクニカル・リファレンス』