この項の内容:
EPM Systemセキュリティ・モードでのEssbaseの使用
EPM Systemセキュリティにおけるユーザーとグループのセキュリティ
Shared Servicesに対するEssbaseユーザーの役割
Shared ServicesでのEssbaseプロジェクト、アプリケーションおよびデータベース
Shared ServicesでのEssbaseユーザーとグループ
関連項目:
Oracle Enterprise Performance Management System Security Configuration Guide
Oracle Enterprise Performance Management System User Security Administration Guide
Essbaseのユーザー管理とセキュリティは、Oracle Hyperion Shared Servicesを使用してユーザー管理、ユーザー・プロビジョニングおよび外部認証の定義を行うEPM System経由で提供されます。プロビジョニングとは、役割とアクセス権をEssbaseアプリケーションのユーザーに割り当てるプロセスのことです。
EPM Systemセキュリティを実装している製品には、Shared Servicesクライアントとサーバー・ソフトウェアを実行しているShared Servicesサーバーへのアクセス、およびShared Services専用のデータベースへのアクセスが必要です。
デフォルトの配置オプションを使用した場合、EssbaseはEPM Systemセキュリティ・モードで配置されます。
EssbaseをEPM Systemセキュリティ・モードで配置しない場合、Essbaseでは、独自のネイティブ・セキュリティ・モードを使用して、Essbaseアプリケーション、データベースおよびアーティファクトのセキュリティが管理されます。ネイティブ・セキュリティ・モードでのEssbaseの動作は、ネイティブ・セキュリティ・モードで外部認証を使用する場合を除いて変わりません。Essbaseを引き続きネイティブ・セキュリティ・モードで使用するを参照してください。
Essbaseネイティブ・セキュリティ・モードのEssbase配置にEPM Systemセキュリティを使用するには、Essbaseサーバー・アプリケーションと既存のEssbaseユーザーおよびグループをすべてShared Servicesに移行する必要があります。EssbaseのEPM Systemセキュリティへの移行を参照してください。
EssbaseをEPM Systemセキュリティ・モードで実行中に、Essbaseはユーザーおよびグループの詳細(ユーザーおよびグループ情報とEssbaseアプリケーションへのプロビジョニングを含む)を、Shared Servicesから取得します。EssbaseはすべてのユーザーおよびグループをEssbaseセキュリティ・ファイル(essbase.sec)には格納しないため、Essbaseの管理者はEssbaseとShared Services間でセキュリティを明示的に同期化する必要がありません。
ユーザーがEssbaseにログオンする際、EssbaseはShared Servicesにそのユーザーの情報を問い合せます。ユーザーがセッションを開始する権限は、セッション中にユーザーの権限がShared Servicesで変更されるかどうかに関係なく、セッション全体で保持されます。
ユーザーまたはグループは、次の状況の場合のみ、Essbaseセキュリティ・ファイルに格納されます:
ユーザーまたはグループが、Shared Servicesに正常に移行されなかった。
ユーザーまたはグループが、データベース計算またはフィルタ・アクセスを割り当てられている。
ユーザーまたはグループが、クエリー・ガバナー除外リストで指定されている。
ユーザーがアプリケーションまたはデータベースの作成者である。
ユーザーがデータベース関連アーティファクトをロックしている。
PERSISTUSERATLOGIN構成設定がTRUEに設定されている。
ユーザーがEssbaseにログオンする際、そのユーザーがessbase.secファイルにまだ存在しなければ、ユーザーをファイルに追加するかどうかがPERSISTUSERATLOGINにより指定されます。
ユーザーまたはグループをEssbaseセキュリティ・ファイルから削除する(Shared Servicesからプロビジョニング解除せずに)には、from security_file文法を使用したdrop userまたはdrop group MaxLステートメントを使用します。計算およびフィルタの関連付けも削除されます。
表示操作については、EssbaseはShared Servicesに問い合せます。参照:
EssbaseをEssbaseネイティブ・セキュリティからEPM Systemセキュリティに移行する際、正常に移行できないユーザーはEssbaseセキュリティ・ファイルに保持されます。
Shared Servicesへの移行中にユーザーのデータベース権限が変更された場合、情報はAccessModifiedUsers_n.txtというテキスト・ファイルに書き込まれます。ここでnは、Shared Servicesに登録されているEssbaseのインスタンスに対するシーケンスIDを表します。(シーケンスIDはEssbaseが外部化されるたびに増加します。)ARBORPATH/binディレクトリにあるこのファイルには、次の情報が含まれます:
ユーザーの名前
ユーザーがアクセス権を持っているアプリケーションおよびデータベース
Shared Servicesに移行する前の、特定のデータベースに対するユーザーのアクセス・レベル
Shared Servicesへ移行後のユーザーのアクセス・レベル。グループその他の方法を使用して取得したアクセス権も含まれる
ユーザーのフィルタ割当て
Shared Servicesでは、Essbaseアプリケーションに複数のデータベースが含まれている場合、それらのデータベースのユーザー・セキュリティ・アクセス・レベルが同じである必要があります(ただしユーザーは、同じアプリケーション内のデータベースに対して異なる計算スクリプトおよびデータベース・フィルタを割り当てることができます)。Shared Servicesへの移行時に、同じアプリケーション内の2つのデータベースに対してユーザーが所持するアクセス・レベルが異なっていると、それらの両データベースに対するユーザーのアクセス・レベルはより制限が厳しくなります。
Shared Servicesユーザーを、ユーザーのパスワードが自動的に生成されるオプションとともに移行すると、このユーザーの名前およびパスワードはARBORPATH/binディレクトリにあるMigratedUsersPassword.txtというテキスト・ファイルに書き込まれます。管理者が特定のパスワードを移行ユーザーに対して指定した場合は、パスワードはファイルにリストされません。このファイルは、アップグレードまたは移行の実行時に作成されます。
ユーザーのShared Servicesへの移行、またはEssbaseのアップグレードの後に、次のセキュリティ上の問題に対処する必要があります:
ユーザーがEssbaseにログオンしてEssbaseエージェントにアクセスする際、グローバルEssbaseサーバー・アプリケーションにおけるサーバー・アクセスの役割がユーザーに割り当てられていることが不要になります。Essbaseアプリケーションのどの役割を持つユーザーでも(直接的または間接的のどちらでプロビジョニングされている場合でも)、EssbaseにログオンしてEssbaseエージェントにアクセスできます。
グローバルEssbaseサーバー・アプリケーションにおける役割を持たないユーザーはEssbaseエージェントにアクセスできないようにするには、ユーザーの役割を手動で変更する必要があります。ユーザーがグループから継承する役割を必ず評価してください。
ユーザーがEssbaseにログオンする際、EssbaseはShared Servicesにそのユーザーの役割を問い合せます。ユーザーが持つ役割の数が多いほど、ログイン・プロセスの完了までの時間は長くなります。ログイン・パフォーマンスを向上するため、ユーザーに不必要な役割を割り当てないようにします。
Essbase管理者がEssbaseアプリケーションを作成するときに、Essbaseは、不要なアプリケーション・マネージャの役割をこの管理者に割り当てません。ご使用のEssbase配置でアプリケーション・マネージャの役割がEssbase管理者に割り当てられている場合は、Essbase管理者からアプリケーション・マネージャの役割を手動で削除する必要があります。
また、グローバルEssbaseサーバー・アプリケーションにおける管理者の役割を持つEssbase管理者は、不要なアプリケーションの役割を割り当てられている可能性があります。Essbaseには、Essbase管理者のみに対するアプリケーションの役割を削除できる移行ユーティリティが備わっています。
移行ユーティリティ(32ビットのWindowsのみで稼働)は、両方のセキュリティ上の問題に影響されるユーザーを特定します。さらに、指定されている場合は、アプリケーションの役割を持つEssbase管理者の問題を修正することもできます。
migration.batファイルを実行するには:
migration.zipファイルを解凍します。これによってMigrationToolsサブディレクトリが作成されます。
MigrationToolsサブディレクトリで、migration.properitiesファイルを次の情報で編集します:
AdminUserName - 移行ユーティリティを実行するEssbase管理者の名前
AdminUserPassword - Essbase管理者のパスワード
HSSServer - Shared Servicesサーバーのホスト名
HSSPort - Shared Servicesサーバーのポート番号
EssbaseProjectName - 移行ユーティリティを実行する対象のEssbaseサーバーのプロジェクト名
SavedToFile - TRUEに設定すると、移行スクリプトの結果を次のテキスト・ファイルに書き込むことが指定されます。このファイルはMigrationToolsサブディレクトリ内にあります:
EntitiesWithCubeRolesOnly.txt - アプリケーションの役割は持っているが、グローバルEssbaseサーバー・アプリケーションにおける役割は持っていないユーザーおよびグループをリストします
EssbaseAdminsWithCubeRoles.txt - アプリケーションの役割を持つEssbase管理者をリストします
FALSE(デフォルト)に設定すると、結果は画面に書き込まれます。
これらのファイルのサンプル・バージョンはMigrationToolsサブディレクトリ内にあります。
FixAdminUser - TRUEに設定すると、Essbase管理者からアプリケーションの役割が削除されます。FALSE(デフォルト)に設定すると、Essbase管理者の名前と、その管理者に割り当てられているアプリケーションの役割が画面に書き込まれます。
例:
AdminUserName = admin AdminUserPassword = password HSSServer = pant5 HSSPort = 58080 EssbaseProjectName = Analytic Servers:ALNG3:1 SavedToFile true FixAdminUser false
注:
Essbaseサーバーに対して最初にユーティリティを実行する際は、結果を表示して確認できるように、SavedToFileをTRUEに、FixAdminUserをFALSEに設定することをお薦めします。それから、FixAdminUserをTRUEに設定してユーティリティを再度実行すれば、Essbase管理者からアプリケーションの役割を削除できます。
役割とは、ユーザーが実行できるタスクを指定するもので、次の方法でグループ化できます:
Essbaseの役割の例は、管理者とデータベース・マネージャです。すべてのEssbaseの役割は、Shared Servicesアプリケーションに固有です(役割によってユーザーに付与される権限は、すべてのアプリケーションではなく、役割が割り当てられる特定のアプリケーションにのみ適用されます)。
Shared Servicesの役割の例としては、プロジェクト・マネージャやプロビジョニング・マネージャをあげることができます。Shared Servicesの役割の多くはグローバルです(役割がすべてのShared Servicesアプリケーションに適用されます)。ただし、プロビジョニング・マネージャの役割は例外であり、アプリケーションに固有です。
Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。
次のEssbaseの役割は、Essbaseでタスクを実行するための様々なレベルの権限を提供します。
Essbaseサーバーでは、次の役割をユーザーにプロビジョニングできます:
各アプリケーションでは、次の役割をユーザーにプロビジョニングできます:
Shared Services Consoleでは、Essbaseに属する役割は、Essbaseノードにグループ化されます。Essbaseアプリケーションに属する役割は、アプリケーション・ノードにグループ化されます。
Administration Servicesの管理者ユーザーの役割をShared Servicesを経由してプロビジョニングするという概念はありません。Shared Servicesでは、Administration Servicesの管理者に役割は割り当てられません。 |
表120に、Essbaseに固有のユーザーの役割、およびアプリケーションに固有のプロビジョニング・マネージャというShared Servicesの役割を示します。表には、各ユーザーが実行できるタスクも記載します。
表 120. EssbaseとShared Servicesのユーザーの役割とタスク
Shared Servicesアーティファクトには、プロジェクト、アプリケーション、ユーザーの役割、ユーザーおよびグループがあります。Shared Servicesでユーザーまたはグループにアクセス権を割り当てると、ユーザーまたはグループにアプリケーションに対する役割をプロビジョニングすることになります。Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。
Shared ServicesとEssbaseは両方とも、「アプリケーション」という用語を使用します。Essbaseでは、「アプリケーション」はデータベースのコンテナを指します。Shared Servicesでは、「アプリケーション」はユーザーをプロビジョニングするアーティファクトを指します。この項では、特にEssbaseアプリケーションであることが明記されていないかぎり、「アプリケーション」はShared Servicesアプリケーションを指します。ほとんどの場合、Essbaseアプリケーションは、Shared Servicesアプリケーションにマッピングされるので、区別は必要ありません。
Essbaseの場合、移行はEssbaseサーバーのレベルで実行されます。EssbaseサーバーをShared Servicesに移行すると、そのEssbaseサーバーに対してShared Servicesプロジェクトが作成されます。プロジェクトの名前はEssbase:machineName:EssbaseServer#です。machineNameはEssbaseサーバー・コンピュータの名前で、EssbaseServer#はシーケンス番号です。最初に移行されるEssbaseサーバーのシーケンス番号は1です。同じコンピュータ上の複数のEssbaseサーバーを移行する場合、シーケンス番号は1ずつ増加します。また、セキュリティ・ファイルを削除してEssbaseサーバーを再び移行した場合は、正常な移行ごとに新しいシーケンス番号で新しいサーバー・プロジェクトが作成されます。Shared Services Consoleで不要なプロジェクトを削除できます。
Essbaseでは、プロジェクト内に次のアプリケーションを自動的に作成し、自動的にそのアプリケーションをShared Servicesに登録します:
Essbase:machineName:EssbaseServer#という名前のアプリケーション。これは、Shared Servicesプロジェクトと同じ名前です。このアプリケーションはグローバルEssbaseサーバー・アプリケーションと呼ばれ、このアプリケーションを使用してEssbaseサーバー・レベルでセキュリティを指定できます。移行後、Shared Servicesのグローバル・アプリケーションの名前とアプリケーション・プロジェクトの名前は、rename global registration name文法でMaxLのalter systemステートメントを使用して変更できます。『Oracle Essbaseテクニカル・リファレンス』を参照してください。
Essbaseサーバー上の各EssbaseアプリケーションのShared Servicesアプリケーション。Shared Servicesでは、Essbaseアプリケーションに複数のデータベースが含まれている場合、それらのデータベースのユーザー・セキュリティ・アクセス・レベルが同じである必要があります。(ただし、ユーザーは、同じアプリケーション内のデータベースに割り当てられた異なる計算スクリプトとデータベース・フィルタを持つことができます。Shared Servicesでのデータベース計算およびフィルタ・アクセスの割当てを参照してください)。
次の図では、Essbase:JWARD:1の第:1インスタンスは、JWARDに移行された第1Essbaseサーバーに対するShared Servicesプロジェクトです。Essbase:JWARD:1の第2インスタンスはグローバルEssbaseサーバー・アプリケーションです。
Projects Essbase:JWARD:1 ASOsamp DMDemo Demo Essbase Servers:JWARD:1 Sampeast Sample Sample_U Samppart
Shared Servicesに移行した後でEssbaseでアプリケーションとデータベースを作成すると、対応するShared ServicesアプリケーションがEssbaseサーバー・プロジェクト内に作成され、そのアプリケーションは自動的にShared Servicesに登録されます。
Shared Servicesに移行すると、外部の認証ディレクトリにまだ存在しないすべてのネイティブなEssbaseユーザーとグループが、ネイティブなShared Servicesユーザー・ディレクトリ内のネイティブなShared Servicesユーザーとグループに変換され、同等の役割が与えられます。外部で認証されたユーザーは、Shared Servicesに登録されますが、元の認証ディレクトリに保管されたままです。ユーザーとグループの移行を参照してください。
Shared Servicesに移行後、ユーザーとグループは、Shared Services Consoleまたは外部ユーザー・ディレクトリ経由で作成および管理する必要があります。Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。
サポートされている認証プロバイダから外部認証ディレクトリにユーザーとグループを保管するとき、1ユーザーと1グループを同じ名前にすることはできますが、同一プロバイダ上で、2ユーザーまたは2グループを同じ名前にすることはできません。
Shared Servicesでは、集約グループをサポートします。集約グループでは、親グループに1つ以上のサブグループが入っています。サブグループは、その親グループの役割を継承します。たとえば、親グループにEssbase管理者の役割をプロビジョニングした場合、サブグループ(およびそのグループのユーザー)は、Essbase管理者の役割を継承します。
Shared Services Consoleには、EPM System製品のユーザー管理タスクを実行できる集中管理UIがあります。Shared Services ConsoleからEssbase画面を起動して、セキュリティ・アクセスをデータベース・フィルタと計算スクリプトに割り当てることができます。EPM Systemのセキュリティ・モードでは、Shared Services Console、MaxLまたはAPIを使用してセキュリティを管理します(MaxLまたはAPIを使用してセキュリティを管理するときにはいくつかの制限があります。『Oracle Essbaseテクニカル・リファレンス』および『Oracle Essbase APIリファレンス』を参照してください)。管理サービス・コンソールでは、セキュリティ情報を表示できるのみです。
ユーザーとグループへのアクセス権の割当て、各アプリケーションのユーザー、グループおよびプロビジョニングされた役割に関するレポートの表示については、Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。
EssbaseユーザーをShared Services Consoleで管理するには、次のShared Servicesの役割がプロビジョニングされたユーザーとして、コンソールにログオンする必要があります:
Shared Services Consoleを起動する場合、適切なユーザー権限でログオンする必要があります。たとえば、Essbase管理者がユーザーを作成および削除できるように、その管理者にディレクトリ・マネージャの役割をプロビジョニングするには、Shared Services管理者としてログオンする必要があります。
EPM Systemセキュリティ・モードで、Essbaseサーバー・レベルのセキュリティを指定するには(たとえば、Essbaseサーバー上のすべてのEssbaseアプリケーションに対するプロビジョニング・マネージャの役割をユーザーにプロビジョニングする)、グローバルEssbaseサーバー・アプリケーション、つまり、Essbaseサーバーを表すShared Servicesアプリケーションの該当する役割をユーザーにプロビジョニングします。Shared ServicesでのEssbaseプロジェクト、アプリケーションおよびデータベースを参照してください。
図143は、DTRIPATH-PC1というEssbaseサーバーとDemoアプリケーションで使用可能な役割を示しています。
EPM Systemのセキュリティ・モードで、Essbaseアプリケーション・レベルのセキュリティを指定するには(たとえば、Sampleアプリケーションに対するデータベース・マネージャの役割をユーザーにプロビジョニングする)、アプリケーションの該当する役割をユーザーにプロビジョニングします。
ユーザーにアプリケーション・マネージャの役割をプロビジョニングするときには、手動でそのユーザーに該当するアプリケーションに対するプロビジョニング・マネージャの役割もプロビジョニングする必要があります。(Essbaseアプリケーション・マネージャを移行する場合、プロビジョニング・マネージャの役割は自動的に割り当てられます)。 |
少なくともアプリケーション内のすべてのデータベースへの書込みアクセス権をすべてのユーザーに割り当てる場合などに、アプリケーションの最小権限を設定できます。デフォルトの設定は「なし」です。この場合、最小権限は設定されないので、すべてのユーザーは自分の役割に基づいてアプリケーションにアクセスできます。
Shared Services ConsoleでEssbaseアプリケーションについてユーザーをプロビジョニングした後で、特定のEssbaseアプリケーションとデータベースに対する詳細なアクセス権をユーザーとグループに割り当てることができます。たとえば、アプリケーションへのユーザー・アクセスを割り当て、そのアプリケーションに対する役割をユーザーに割り当てた後で、Essbaseフィルタを割り当てるか、特定の計算スクリプトへのユーザー・アクセスを割り当てることができます。
フィルタと計算スクリプトはEssbaseで作成する必要があります。セキュリティ・フィルタを使用したデータベース・セルへのアクセスの制御。を参照してください。
Shared Services ConsoleからEssbaseアプリケーションを選択すると、そのアプリケーションにプロビジョニングされているユーザーとグループが表示されます。この画面で、追加の権限を割り当てるユーザーおよびグループを選択できます。次に、ユーザーまたはグループがアクセスする必要があるデータベースを選択し、選択したユーザーとグループにフィルタと計算スクリプトへのアクセス権を割り当てます。Shared Services Consoleのオンライン・ドキュメントを参照してください。
データベース計算とフィルタ・アクセスを割り当てるときには、Shared Services Consoleにログインしたユーザーとして自動的にAdministration ServicesとEssbaseとログオンします。このユーザーは、Essbase管理者、アプリケーション・マネージャまたはデータベース・マネージャである必要があります。また、このユーザーには該当するアプリケーションに対するプロビジョニング・マネージャの役割が必要です。
データベース計算とフィルタ・アクセスをEssbase管理者またはアプリケーション・マネージャに割り当てることはできません。
EssbaseとPlanningには、EssbaseユーザーとPlanningユーザーに対するアプリケーション・アクセス・タイプという概念があります。たとえば、EssbaseユーザーをいずれかのEssbase管理ツールを使用して作成すると、そのユーザーには自動的にアプリケーション・アクセス・タイプ「Essbase」が割り当てられます。PlanningユーザーをPlanningインタフェースを使用して作成すると、そのユーザーには自動的にアプリケーション・アクセス・タイプ「Planning」が割り当てられます。ユーザーのアプリケーション・アクセス・タイプによって、そのユーザーがEssbaseアプリケーションのみまたはPlanningアプリケーションのみにアクセスできるのか、あるいは両方にアクセスできるのかが指定されます。
Shared Services Consoleで、グローバルEssbaseサーバー・アプリケーションを選択し、そのアプリケーションにプロビジョニングされているユーザーとグループのリストを表示することができます。Oracle Enterprise Performance Management System User Security Administration Guideを参照してください。
データベース計算とフィルタ・アクセスを割り当てるときには、Shared Services Consoleにログインしたユーザーとして自動的にAdministration ServicesとEssbaseとログオンします。このユーザーは、有効なEssbase管理者である必要があります。また、このユーザーには該当するアプリケーションに対するプロビジョニング・マネージャの役割が必要です。
EssbaseとAdministration ServicesがEssbaseネイティブ・セキュリティ・モードである場合は、EPM Systemセキュリティ・モードに移行できます。Essbaseの場合、移行はEssbaseサーバーのレベルで実行されます。一度EPM Systemセキュリティ・モードに変換すると、再びEssbaseネイティブ・セキュリティ・モードに戻すことはできません。
Essbase管理サーバーは、EssbaseサーバーがEssbaseネイティブ・セキュリティ・モードで動作している状態で、EPM Systemセキュリティ・モードで動作できます。ただし、管理サービス・コンソールから管理しているいずれかのEssbaseサーバーがEPM Systemセキュリティ・モードで動作している場合は、Essbase Administration ServerもEPM Systemセキュリティ・モードで動作する必要があります。
移行を実行するには、Essbase管理者である必要があります。
Essbase管理サーバーの場合、インストールの後にOracle Hyperion Enterprise Performance Management Systemコンフィグレータを実行し、Shared Servicesサーバーとログインを指定すると、その時点でEssbase管理サーバーがEPM Systemセキュリティ・モードに変換されます。Shared Servicesの構成情報は、Essbase管理サーバーのプロパティ・ウィンドウ(「構成」タブ)で確認できます。このとき、Administration Servicesユーザーを選択してShared Servicesに移行できます。
Administration Servicesユーザーを移行するには、Administration Services管理者である必要があります。
ユーザー、グループおよびアプリケーションをShared Servicesに移行する前に、NETDELAYとNETRETRYCOUNTの構成設定が、この移行を完了できるだけの十分な大きさに設定されていることを確認してください。NETDELAYは、セキュリティ・ファイルのサイズに応じて、少なくとも3時間(場合によってはそれ以上)に設定します。移行が完了した後、これらの設定を元の値に戻してください。これらの設定は、クライアントのessbase.cfgファイルで指定します。このファイルは、移行を起動するクライアント・コンピュータのARBORPATH/binフォルダに配置されます。たとえば、管理サービス・コンソールを使用して移行を起動する場合、クライアントのessbase.cfgファイルは、Essbase管理サーバーがインストールされているコンピュータのARBORPATH/binフォルダに存在する必要があります。 |
移行の前後に、Essbaseによってセキュリティ・ファイルのバックアップが自動的に作成されます(essbase.bak_preUPMとessbase.bak_postUPM)。これらのファイルを安全な場所に手動でバックアップすることをお薦めします。
Administration ServicesのEssbaseサーバー・プロパティ・ウィンドウには、サーバーがEPM Systemセキュリティ・モードにあるかどうかに関する情報が表示されます。
Shared Servicesに移行した後、移行したEssbaseサーバーごとに1つのプロジェクトが作成されます。このプロジェクトには、移行したサーバー上の各Essbaseアプリケーションに対するShared Servicesアプリケーションが含まれています。Shared ServicesでのEssbaseプロジェクト、アプリケーションおよびデータベースを参照してください。
Shared Servicesに移行すると、外部の認証ディレクトリにまだ存在しないすべてのネイティブなEssbaseユーザーとグループが、ネイティブなShared Servicesユーザー・ディレクトリ内のネイティブなShared Servicesユーザーとグループに変換され、同等の役割が与えられます。たとえば、ネイティブなEssbase管理者(以前のスーパーバイザ)は、Essbase管理者とプロビジョニング・マネージャの役割が割り当てられたShared Servicesユーザーになります。また、データベース上の計算権限を持つネイティブなEssbaseユーザーは、そのデータベースを含むアプリケーションでの計算の役割が割り当てられたShared Servicesユーザーになります。移行中、管理者とアプリケーション・マネージャには、該当するアプリケーションに対するプロビジョニング・マネージャの役割が自動的に与えられます。
注: | EssbaseがEPM Systemセキュリティ・モードで実行された場合、Essbaseのユーザーの作成/削除権限は廃止されます。Essbaseユーザーを作成または削除するには、Essbase管理者である必要があります。さらに、Shared Servicesでユーザーを作成または削除するには、Shared Services管理者である必要があります。 |
外部認証ユーザーはすべてShared Servicesに登録されますが、元の認証ディレクトリに保管されたままになります。ユーザー・ディレクトリが実行されていない場合は、移行全体が失敗します。
使用不可になったEssbaseユーザーまたはグループは移行されません。
Essbaseのユーザー名は、Shared Servicesのグループ名として存在できません。存在する場合、そのEssbaseユーザーは移行されません。
Shared Servicesでは、Essbaseアプリケーションに複数のデータベースが含まれている場合、それらのデータベースのユーザー・セキュリティ・アクセス・レベルが同じである必要があります。移行中、ユーザーが同じアプリケーション内の2つのデータベースに対して異なるアクセス・レベルを持っている場合は、両方のデータベースに対するより制限的なアクセス・レベルがそのユーザーに与えられます。このような場合には、移行を実行した管理者に警告が送信され、その情報がAccessModifiedUsers_n.txtファイルに記録されます。このファイルは、ARBORPATH/binディレクトリにあります。
移行が失敗した場合の移行のステータスは、その失敗が発生した場所によって異なります。たとえば、移行がステップ1で失敗した場合は、移行全体が失敗します。移行がステップ2で失敗した場合の結果は、その失敗の理由によって異なります。移行がステップ3で失敗し、1人以上のユーザーが移行に失敗した場合は、アプリケーションやグループが移行されていない可能性があります。
移行に失敗したユーザーとグループは、essbase.secファイルにリストされます。このファイルは、ARBORPATH/binディレクトリにあります。
Administration Servicesのユーザーの外部化ウィザードを使用してAdministration Servicesユーザーを移行するか、以前に移行に失敗したEssbaseユーザーを移行しなおす場合は、ウィザードで指定したファイルと、Essbaseサーバー・ログ(EPM_ORACLE_HOME/logs/essbase/essbase.log)に移行エラーが記録されます。
グループを移行できなかった場合は、このグループのユーザーもすべて移行されません。ユーザーを正常に移行するには、グループを修復して移行する必要があります。
グループがEssbaseとShared Servicesの両方に存在する場合は、次の条件を満たす必要があります:
Essbaseに2つのグループが存在する場合、Shared Servicesに、それらのグループが同じ階層内の異なるレベル(祖先と子の関係)として含まれていてはなりません(例2を参照)。含まれている場合は、移行プロセス全体が失敗します。
Shared Servicesグループに、同じ名前のEssbaseグループに存在しないユーザーが含まれていてはなりません。含まれている場合は、そのEssbaseグループと、そのグループ内のすべてのユーザーが移行されません。
Essbaseグループに、Shared Servicesに存在するユーザーが含まれていてはなりません。ただし、そのShared Servicesユーザーが同じ名前のShared Servicesグループに属している場合を除きます。含まれている場合は、そのEssbaseグループと、そのグループ内のすべてのユーザーが移行されません。
例1: この例にあるグループは、EssbaseからShared Servicesに正常に移行されます。
Essbaseにグループ1およびグループ2という名前のグループが存在します:
group 1, group 2
Shared Servicesにはこれと同一の2つのグループが存在し、それ以外にグループ1とグループ2を含むグループ3も存在します:
group 3
|
group 1, group 2
グループ1とグループ2が互いにShared Servicesと同じレベルにあり、Essbaseにグループ3が存在しないため、これらのグループは正常に移行されます。
グループ3にEssbaseサーバー・インスタンスへの管理者(以前のスーパーバイザ)アクセス権があり、Essbaseのグループ1とグループ2にユーザー・アクセス権がある場合、結果として得られるShared Servicesのグループ1とグループ2には管理者アクセス権が与えられます。 |
例2: Shared Servicesに、異なるレベルにあるグループ1とグループ2が含まれているため、この例にある移行は失敗します。
Essbaseにグループ1およびグループ2という名前のグループが存在します:
group 1, group 2
Shared Servicesにはグループ1とグループ2が存在しますが、グループ1にグループ2が含まれています:
group 1
|
group 2
例3: Essbaseにグループ1、グループ2およびグループ3が含まれ、Shared Servicesにグループ1やグループ2とは異なるレベルにあるグループ3が含れまているため、この例にある移行は失敗します。
Essbaseに、グループ1、グループ2およびグループ3という名前のグループが存在します:
group 1, group 2, group 3
Shared Servicesにはグループ1とグループ2が存在しますが、グループ1とグループ2を含むグループ3が存在します:
group 3
|
group 1, group 2
EssbaseをEPM Systemセキュリティ・モードで実行している場合、ユーザーまたはグループのプロバイダ・ディレクトリまたは一意のID属性を指定すると、ユーザー名とグループ名は一意である必要がなくなりました。
MaxLでは、ユーザー名とグループ名は、name@providerまたは一意のID属性として指定できます。
プロバイダは、LDAPまたはActive Directoryなどのユーザー・ディレクトリの名前で、外部ユーザーまたはグループをホストします。一意のID属性、あるいは単に「ID」とは、各ユーザーおよびグループに割り当てられた一意の文字列です。IDを使用すると、Essbaseはプロバイダ間で同じ名前のユーザーやグループを識別できます。
詳細は、『Oracle Essbaseテクニカル・リファレンス』のMaxLのUSER-NAMEおよびGROUP-NAMEに関する項を参照してください
注: | ユーザー名またはグループ名に@文字が含まれている場合、プロバイダも指定する必要があります。プロバイダを指定しないと、Shared Servicesでは、@文字はプロバイダ名を示す区切り記号であるとみなされます。たとえば、Native Directoryプロバイダを使用しているユーザーadmin@msadをログインさせるには、admin@msad@Native Directoryと指定する必要があります。 |
Shared Servicesのセキュリティ情報とEssbaseセキュリティ・ファイル内のセキュリティ情報の間に不一致が発生した場合は、不一致の種類によって、Shared Servicesの情報とEssbaseセキュリティ・ファイルの情報のどちらが優先されるかが決定されます。
参照:
ユーザーおよびグループ情報については、Shared Servicesが優先されます。ユーザーおよびグループ情報は、Shared Servicesおよび外部ユーザー・ディレクトリのバックアップとリカバリの手順を使用して復元できます。『Oracle Hyperion Enterprise Performance Management Systemバックアップおよびリカバリ・ガイド』を参照してください。