| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11gリリース1(11.1.1) B63030-04 |
|
前 |
次 |
システム・リソースへのアクセスを制御することは、ユーザーにログイン時に認証を求め(認証)、許可されたリソースだけにユーザーを制限することによって達成されます(認可)。Oracle Business Intelligenceのデフォルト・セキュリティ構成はインストール時に自動的に構成され、その後は利用できるようになります。デフォルト構成には、ユーザーID、資格証明および権限付与を管理するための事前に構成されたセキュリティ・プロバイダが含まれています。
この章には次の項が含まれます:
|
注意: 特に記載のないかぎり、この章で説明する権限は、Oracle Business Intelligence Presentation Servicesの権限など、ポリシー・ストア・プロバイダで保持される権限のことを指します。カタログの権限は、Oracle BI Presentation Catalogで保持されているため別個のものです。Presentation Servicesの権限の詳細は、第D.2.3項「Presentation Servicesの権限の管理」を参照してください。 |
Oracle Business Intelligenceのセキュリティは、大きく2つの領域に分類できます。
システム・アクセス・セキュリティ: Oracle Business Intelligenceを構成するコンポーネントと機能へのアクセスの制御。
データ・アクセス・セキュリティ: Oracle Business Intelligenceで使用するビジネス・ソース・データおよびメタデータへのアクセスの制御。
システム・アクセス・セキュリティについては、このガイドで説明します。トピックには、システムへのアクセスを許可されたユーザーに制限し、権限付与に基づいてソフトウェア・リソースを制御して、コンポーネント間で安全に通信する方法が含まれます。
データ・アクセス・セキュリティについては、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
Oracle Fusion Middlewareセキュリティ・モデルは、Javaセキュリティ・モデルを組み込んだ、Oracle Fusion Middlewareプラットフォームに基づいています。Javaモデルは、ロールベースの宣言モデルで、コンテナ管理のセキュリティを採用しているため、リソースは、ユーザーに割り当てられているロールによって保護されます。しかし、Oracle Fusion Middlewareセキュリティ・モデルを使用するときは、Javaベースのアーキテクチャに関する高度な知識は不要です。このセキュリティ・モデルに基づいているため、Oracle Business Intelligenceは、企業全体で均一なセキュリティとアイデンティティ管理を提供できます。
Oracle Business Intelligenceは、インストール時にOracle WebLogic Serverドメインにインストールされます。これは、単位として管理されるリソースの論理的に関連したグループです。簡易インストール・タイプのときには、bifoundation_domainという名前のOracle WebLogic Serverドメインが作成され、このドメインにOracle Business Intelligenceがインストールされます。この名前は、実行するインストール・タイプによって変わる可能性があります。各ドメインのOracle WebLogic Serverの1つのインスタンスは、管理サーバーとして構成されます。管理サーバーは、Oracle WebLogic Serverドメインを管理する中心点となります。管理サーバーは、管理コンソールをホストします。これは、管理サーバーへのネットワーク・アクセス権を持つ、サポートされているWebブラウザからアクセスできるWebアプリケーションです。Oracle Business Intelligenceでは、それがインストールされているOracle WebLogic Serverドメインに構成されているアクティブなセキュリティ・レルムを使用します。詳細は、第B.2.2項「Oracle WebLogic Serverドメイン」を参照してください。
Oracle Fusion Middlewareプラットフォームおよび一般的なセキュリティ・フレームワークの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。Oracle WebLogic Serverドメインおよびセキュリティ・レルムの管理の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの理解』および『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle Platform Security Services (OPSS)は、Oracle Fusion Middlewareセキュリティ・フレームワークが構築されている基礎となるプラットフォームです。Oracle Platform Security Servicesは規格ベースであり、ロールベースのアクセス制御(RBAC)、Java Enterprise Edition (Java EE)およびJava Authorization and Authentication Service (JAAS)に準拠しています。Oracle Platform Security Servicesを使用すると、共有セキュリティ・フレームワークによって、会社全体でセキュリティとIDを均一に管理できます。
Oracle Platform Security Servicesの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
|
注意: 今後のドキュメントで、Oracle Platform Security Services (OPSS)の記述はOracle Entitlements Server Basic (OES Basic)の記述に置き換えられます。これはお客様側の動作への視覚的な変更を伴うものではありません。詳細は、第3.9項「セキュリティ・ストアとしてのOracle Internet Directory (LDAP)の構成」を参照してください。 |
Oracle WebLogic Server管理 ドメイン は、論理的に関連付けられたJavaコンポーネントのグループです。ドメインには、管理サーバーと呼ばれる特別なWebLogic Serverインスタンスが含まれます。これは、ドメイン内のすべてのリソースを構成、管理する中心ポイントです。通常、ドメインは、管理対象サーバーという追加のWebLogic Serverインスタンスを含めるように構成します。Webアプリケーション、EJB、Webサービスおよびその他のリソースなどのJavaコンポーネントは管理対象サーバーにデプロイし、管理サーバーは構成と管理を行う目的でのみ使用します。
Oracle WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlは、管理サーバーで実行されます。Oracle WebLogic Server管理コンソールは、Webベースの管理コンソールで、管理サーバー管理対象サーバーなど、Oracle WebLogic Serverドメインでのリソースの管理に使用します。Fusion Middleware Controlは、Oracle Business Intelligenceを構成するコンポーネントを含む、Oracle Fusion Middlewareの管理に使用するWebベースの管理コンソールです。Oracle Business Intelligenceの個々のコンポーネントの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
Oracle Business Intelligence認証はOracle WebLogic Server認証プロバイダによって処理されます。認証プロバイダは、次の機能を実行します。
ユーザーとシステム・プロセスのアイデンティティを確立します。
アイデンティティ情報を送信します。
インストール時に、Oracle Business Intelligenceは、ユーザーとグループのためのデフォルトの認証プロバイダおよびリポジトリとして、Oracle WebLogic Serverに組み込まれたディレクトリ・サーバーを使用するように構成されます。必要に応じて代替認証プロバイダを使用し、Oracle WebLogic管理コンソールで管理できます。詳細は、「システム要件と動作要件」を参照してください。
Oracle Fusion Middlewareセキュリティ・プラットフォームは、次の主な要素に応じて、会社全体でセキュリティとIDの均一な管理を提供します。Oracle Fusion Middlewareセキュリティ・プラットフォームの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Oracle Business Intelligenceは、これらのセキュリティ・プラットフォーム要素を次のように使用します。
アプリケーション・ポリシーの詳細は、第1.9項「用語」を参照してください。
アプリケーション・ストライプは、ポリシー・ストアにポリシーのサブセットを定義します。Oracle Business Intelligenceアプリケーション・ストライプは、obiという名前です。
アプリケーション・ロールの詳細は、第1.4.1項「アプリケーション・ロールについて」を参照してください。たとえば、セールス・アナリストというアプリケーション・ロールを持っていると、会社のセールス・パイプラインに関連するレポートを表示、編集および作成するアクセス権をユーザーに付与できます。デフォルトのセキュリティ構成では、事前に構成されたロールが4つ用意されており、それらのロールは、Oracle Business Intelligenceを使用するときに実行される一般的な種類の作業に対応する権限を付与します。また、アプリケーション・ロールはコンテナでもあり、コンテナのメンバーに対して権限およびアクセス権を付与するために使用されます。メンバーがアプリケーション・ロールに割り当てられていると、そのアプリケーション・ロールがコンテナとなって、コンテナのメンバーにアクセス権を伝達するために使用されます。例:
Oracle Business Intelligence権限
これらの権限付与は、アプリケーション・ポリシーで定義されます。アプリケーション・ロールがポリシーに割り当てられると、その権限は、ポリシーとロールの関係を通じてアプリケーション・ロールに関連付けられます。ユーザーのグループがそのアプリケーション・ロールに割り当てられている場合は、対応する権限が順にすべてのメンバーに等しく付与されます。複数のユーザーやグループが同じアプリケーション・ロールのメンバーになることがあります。
データ・アクセス権
アプリケーション・ロールは、リポジトリ・ファイル内のデータを表示および変更するアクセス権を制御するために使用できます。データ・フィルタは、ビジネス・モデルおよびマッピング・レイヤーとプレゼンテーション・レイヤーのオブジェクト・レベル権限を制御するために、アプリケーション・ロールに適用できます。アプリケーション・ロールの使用によるデータ・アクセス・セキュリティの適用およびリポジトリ・オブジェクトの制御の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
プレゼンテーション・サービスのオブジェクトレベルのアクセス
アプリケーション・ロールは、Oracle BIプレゼンテーション・サービスにおけるレポートなどのオブジェクトへのアクセス権を付与するために使用できます。プレゼンテーション・サービスのアクセスを制御するためのアプリケーション・ロールの使用の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
認証プロバイダの詳細は、第1.3項「認証について」を参照してください。
開発環境またはテスト環境で運用している場合は、事前に構成されているデフォルトのセキュリティ構成を使用し、ビジネスに特有のユーザー定義と資格証明を追加し、要件が満たされるようにデフォルトのアプリケーション・ロールと権限付与をカスタマイズするのが便利なことがあります。認証、ポリシー、および資格証明プロバイダが完全に構成され、ビジネスに特有のデータを入力した後に、認証と認可のときにOracle Business Intelligenceコンポーネントに必要なすべてのユーザー、ポリシー、および資格証明情報が提供されます。
デフォルトのセキュリティ構成では、システムとデータ・リソースへの安全かつ制御されたアクセスを保証するために統合された3種類のセキュリティ・プロバイダが提供されます。これらのセキュリティ・プロバイダは、簡易またはエンタープライズ・インストール・タイプのときに次のように構成されます。
認証プロバイダはDefaultAuthenticatorです。これは、Oracle WebLogic Serverの組込みディレクトリ・サーバー(アイデンティティ・ストア)に照合して認証されます。ディレクトリ・サーバーは、Oracle Business Intelligenceによって提供されるデフォルトのユーザーとグループ、および組み込まれたディレクトリ・サーバーに必要なユーザー・グループを使って事前に構成されます。デフォルトのアイデンティティ・ストアは、Oracle WebLogic Server管理コンソールを使用して管理されます。
ポリシー・ストア・プロバイダはsystem-jazn-data.xmlファイルです。これには、デフォルトのアプリケーション・ロール定義、対応するOracle Business Intelligence権限付与、およびデフォルトのグループとアプリケーション・ロールの間のマッピング定義が含まれています。アプリケーション・ロールにグループを割り当てると、対応する権限がグループのメンバーに伝達されます。デフォルトのポリシー・ストア・プロバイダは、Oracle Enterprise Manager Fusion Middleware Controlを使用して管理されます。
資格証明ストア・プロバイダはcwallet.ssoファイルです。これには、提供またはシステム生成されたパスワードおよび他のセキュリティ関連の資格証明が含まれています。デフォルトの資格証明ストアはFusion Middleware Controlを使用して管理されます。
表B-1に、3種類のデフォルトのセキュリティ・プロバイダおよびインストール後の初期状態を要約しています。
表B-1 デフォルトのセキュリティ・プロバイダ
| セキュリティ・プロバイダ・タイプ | 目的 | デフォルトのプロバイダ | オプション |
|---|---|---|---|
|
認証プロバイダ |
認証の制御に使用。 |
|
Oracle Business Intelligenceは、異なる認証プロバイダとディレクトリ・サーバーを使用するように再構成できます。詳細は、「システム要件と動作要件」を参照してください。 |
|
ポリシー・ストア・プロバイダ |
|
|
Oracle Business Intelligenceは、Oracle Internet Directoryを使用するように構成できます。 |
|
資格証明ストア・プロバイダ |
システム・パスワードおよび他のセキュリティ関連の資格証明を保持する信頼できるストア。ここで保存されたデータは、外部システムへの接続、リポジトリのオープン、またはSSLに使用されます。 |
|
Oracle Business Intelligenceは、Oracle Internet Directoryを使用するように構成できます。 |
図B-1は、Oracle Business Intelligenceと認証およびポリシー・ストアのプロバイダの関係を示しています。
ポリシー・ストア・プロバイダはOracle Business Intelligenceアプリケーション固有のポリシー、アプリケーション・ロール、権限付与、およびインストール時に構成されたメンバーシップのマッピングが含まれています。ポリシー・ストアは、ファイルベースでもLDAPベースでもかまいませんが、デフォルトのインストールではXMLファイルのポリシー・ストアが提供されます。
カタログの権限は、ポリシー・ストア・プロバイダには保持されません。
Oracle Business Intelligenceの権限はすべて提供されており、追加の権限を作成することはできません。デフォルトの構成では、管理者、作成者、コンシューマという、Oracle Business Intelligenceの共通のユーザー・タイプのアクセス要件に従って、これらの権限をグループ化するために、アプリケーション・ポリシーとアプリケーション・ロールが事前に構成されています。ただし、必要に応じて、これらのデフォルト権限付与はFusion Middleware Controlを使用して変更できます。詳細は、第3.9項「セキュリティ・ストアとしてのOracle Internet Directory (LDAP)の構成」を参照してください。
表B-2および表B-3に、obiアプリケーション・ストライプに含まれている利用可能な権限およびリソース・タイプを記載しています。
表B-2 デフォルトの権限
| 権限名 | 説明 |
|---|---|
|
oracle.bi.publisher.administerServer |
管理リンクが管理ページにアクセスできるようにして、システム設定を設定する権限を与えます。 |
|
oracle.bi.publisher.developDataModel |
データ・モデルを作成または編集する権限を付与します。 |
|
oracle.bi.publisher.developReport |
レポート、スタイル・テンプレート、およびサブ・テンプレートを作成または編集する権限を付与します。また、この権限によってBI PublisherサーバーにTemplate Builderから接続できるようになります。 |
|
oracle.bi.publisher.runReportOnline |
レポートを開き(実行し)、生成したドキュメントをレポート・ビューアに表示する権限を付与します。 |
|
oracle.bi.publisher.scheduleReport |
ジョブを作成または編集したり、ジョブを管理および参照する権限を付与したりします。 |
|
oracle.bi.publisher.accessReportOutput |
ジョブ履歴と出力を参照し管理する権限を付与します。 |
|
oracle.bi.publisher.accessExcelReportAnalyzer |
Analyzer for Excelをダウンロードしたり、Analyzer for Excelを使用してレポートからExcelにデータをダウンロードしたりする権限を付与します。ユーザーがAnalyzer for Excelテンプレートをレポート定義にアップロードできるようにするには、oracle.bi.publisher.developReport権限も付与する必要があります。 |
|
oracle.bi.publisher.accessOnlineReportAnalyzer |
Analyzerを起動し、データを操作する権限を付与します。Analyzerテンプレートをレポート定義に保存するには、oracle.bi.publisher.developReport権限も付与する必要があります。 |
|
oracle.bi.server.impersonateUsers |
エンド・ユーザーの代理として機能する必要がある内部コンポーネントで使用されます。 |
|
oracle.bi.server.manageRepositories |
管理ツールまたはOracle BIメタデータWebサービスを使用して、リポジトリ・ファイルを開き、表示し、編集する権限を付与します。 |
|
oracle.bi.server.queryUserPopulation |
内部使用のみ。 |
|
oracle.bi.scheduler.manageJobs |
スケジュールされた配信ジョブを管理するためにジョブ・マネージャを使用する権限を付与します。 |
|
EPM_Calc_Manager_Designer |
EPM Calc Manager Designerに対する権限を付与します。 |
|
EPM_Calc_Manager_Administrator |
EPM Calc Manager Administratorに対する権限を付与します。 |
|
EPM_Essbase_Filter |
EPM Essbase Filterに対する権限を付与します。 |
|
EPM_Essbase_Administrator |
EPM Essbase Administratorに対する権限を付与します。 |
|
oracle.epm.financialreporting.accessReporting |
EPM Report Accessに対する権限を付与します。 |
|
oracle.epm.financialreporting.administerReporting |
EPM Report Administrationに対する権限を付与します。 |
|
oracle.epm.financialreporting.editBatch |
EPM Batch Editに対する権限を付与します。 |
|
oracle.epm.financialreporting.editBook |
EPM Book Editに対する権限を付与します。 |
|
oracle.epm.financialreporting.editReport |
EPM Report Editに対する権限を付与します。 |
|
oracle.epm.financialreporting.scheduleBatch |
EPM Batch Schedulingに対する権限を付与します。 |
Oracle RTDは、Javaクラスのコンテキストに定義されたリソースを使用して認可を制御します。oracle.security.jps.ResourcePermissionというJavaクラスは、アプリケーションまたはシステム・リソースを保護する権限付与内の権限クラスとして使用できます。Oracle RTDは、このクラスを使用して、次のタイプのリソースへのアクセスを制御します。
インライン・サービス
Decision Centerのパースペクティブ
バッチ・ジョブ
Real-Time Decision (RTD)リソースの詳細は、Oracle Fusion Middleware Oracle Real-Time Decision管理者ガイドのOracle Real-Time Decisionのセキュリティに関する項を参照してください。
表B-3に、Oracle RTDのリソース・タイプを一覧表示します。
表B-3 Oracle RTDのリソース・タイプとアクション
| リソース・タイプ | アプリケーション権限に格納されるリソース・タイプ名 | アクション[:修飾子] | コメント |
|---|---|---|---|
|
インライン・サービス |
rtd_ils |
choice_editor |
指定されたInline ServiceのExternalChoice Webサービスの任意のメソッドを実行できます。 |
|
インライン・サービス |
rtd_ils |
decision_service:normal |
指定されたインライン・サービスの任意の統合点(アドバイザとインフォーマント)を実行できます。 アクション修飾子normalは、統合点リクエストをサーバーで実行できるようにします。 |
|
インライン・サービス |
rtd_ils |
decision_service:stress |
指定されたインライン・サービスの任意の統合点(アドバイザとインフォーマント)を実行できます。 アクション修飾子のstressにより、LoadGenが統合点コールを発行できます。サーバーによって受け入れられるには、ユーザーはnormalアクションも必要です。 |
|
インライン・サービス |
rtd_ils |
open_service:read |
表示のために指定されたインライン・サービスを開くためにDecision Centerの使用を認可します。 外部ルール・エディタはインライン・サービスのコンテンツを更新する必要がないため、外部ルール・エディタが指定されたインライン・サービスにアクセスすることを認可します。 |
|
インライン・サービス |
rtd_ils |
open_service:write |
編集のために指定されたインライン・サービスを開くためにDecision Centerの使用を認可します。 |
|
インライン・サービス |
rtd_ils |
deploy_service |
Decision Studioの名前付きインライン・サービスのデプロイを認可します。 |
|
インライン・サービス |
rtd_ils |
download_service |
サーバーから指定されたインライン・サービスをダウンロードするためにDecision Studioの使用を認可します。 |
|
Decision Centerのパースペクティブ |
rtd_dc_persp |
dc_perspective |
Decision Centerに専門のUI要素または機能をレンダリングさせるために、指定されたDecision Centerのパースペクティブを開きます。 |
|
登録されているバッチ・ジョブ・タイプ |
rtd_batch |
batch_admin |
登録されているバッチ・ジョブ・タイプ名のステータスの開始、停止、問合せを行うためにBatchManager Webサービスの任意のメソッドを実行できます。 |
デフォルトのアプリケーション・ロールは、管理者(BIAdministrator)、作成者(BIAuthor)およびコンシューマ(BIConsumer)という幅広いカテゴリの機能用途へとグループ化されます。これらのカテゴリは、管理者、他者のためにレポートを作成する作成者、および他者(作成者)によって作成されたレポートを読む(消費する)コンシューマという、Oracle Business Intelligenceのユーザーが引き受ける典型的なロールに対応しています。
デフォルトのOracle Business Intelligenceアプリケーション・ロールは、次のとおりです。
BIAdministratorロールは、Oracle Business Intelligenceインストールの構成と管理に必要な管理権限を付与します。BIAdministratorsグループのメンバーには、このロールが明示的に付与され、BIAuthorとBIConsumerのロールが暗黙的に付与されます。デフォルトのロール権限のリストについては、表B-4および表B-5を参照してください。
BIAuthorロールは、他のユーザーが使用または消費するコンテンツの作成と編集に必要な権限を付与します。BIAuthorsグループのメンバーには、このロールが明示的に付与され、BIConsumerのロールが暗黙的に付与されます。デフォルトのロール権限のリストについては、表B-4および表B-5を参照してください。
BIConsumerロールは、他のユーザーが作成したコンテンツの使用または消費に必要な権限を付与します。デフォルトのロール権限のリストについては、表B-4および表B-5を参照してください。
BISystemロールは、他のユーザーの偽装に必要な権限を付与します。このロールは、Oracle Business Intelligenceシステム・コンポーネントでコンポーネント間通信に必要です。デフォルトのロール権限のリストについては、表B-4および表B-5を参照してください。
認証済ロールは、Oracle Fusion Middlewareセキュリティ・モデルで提供される特殊なアプリケーション・ロールであり、このセキュリティ・モデルをデプロイする任意のアプリケーションで利用できます。Oracle Business Intelligenceは、認証されたアプリケーション・ロールを使用して、認証済ロールがメンバーとして属するロールおよびグループ階層によって暗黙的に派生した権限を付与します。認証済ロールは、デフォルトでBIConsumerロールのメンバーであるため、すべての認証済ロール・メンバーは、BIConsumerロールの権限を暗黙的に付与されます。
Oracle Business Intelligenceへのログインに成功したすべてのユーザーは、認証済ロールのメンバーになります。これは、リリース10gのEveryoneカタログ・グループのかわりです。認証済ロールはobiアプリケーション・ストライプの一部ではなく、Oracle Business Intelligenceのポリシー・ストアでは検索できません。ただし、認証済ロールはポリシー・ストアの管理インタフェースに表示され、アプリケーション・ロールのリストで使用可能であり、別のアプリケーション・ロールのメンバーとして追加できます。
認証済ロールは、別のユーザー、グループまたはアプリケーション・ロールに割り当てることができますが、認証済ロール自体を削除することはできません。認証済ロールを削除するとシステムにログインできなくなるので、この権利は明示的に付与される必要があります。
Oracle Fusion Middlewareのセキュリティ・モデルおよび認証済ロールの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
デフォルトのファイルベースのポリシー・ストアは、Oracle Business Intelligenceデフォルト・アプリケーション・ロールで構成されます。各アプリケーション・ロールは、1組の権限付与および1つ以上のメンバーで事前に構成されます。アプリケーション・ロールのメンバーは、ポリシー・ストアからのユーザー、グループまたは他のアプリケーション・ロールを含むことができます。
表B-4および表B-5に、アプリケーション・ロール、権限付与およびメンバーのデフォルト構成を記載します。デフォルトのネーミング規則は、アプリケーション・ロール名は単数で、グループ名は複数ということです。
表B-4 デフォルトのアプリケーション・ロール、権限付与、およびメンバー
| ロール名 | ロール権限 | メンバー |
|---|---|---|
|
BIAdministrator |
|
BIAdministratorsグループ |
|
BIAuthor |
|
|
|
BIConsumer |
|
|
|
BISystem |
|
BISystemUser |
表B-5に、インストール後のデフォルトのアプリケーション・ロール、Oracle RTDリソース・タイプ、リソース名、およびデフォルトのアプリケーション権限付与のアクションを一覧表示します。Real-Time Decision (RTD)リソースのデフォルトの詳細は、Oracle Fusion Middleware Oracle Real-Time Decision管理者ガイドのOracle Real-Time Decisionのセキュリティに関する項を参照してください。
|
注意: リソース名_all _は、関連付けられているリソース・タイプの任意のOracle RTDリソース名に一致する特殊な名前です。 |
表B-5 Oracle RTDユーザーのデフォルトのアプリケーション権限
| アプリケーション・ロール | リソースのタイプ | リソース名 | アクション[:修飾子] |
|---|---|---|---|
|
BIAdministrator |
rtd_ils |
_all_ |
open_service:read open_service:write deploy_service download_service choice_editor decision_service:normal decision_service:stress dc_perspective batch_admin |
|
BIAuthor |
rtd_ils |
_all_ |
open_service:read open_service:write deploy_service download_service decision_service:normal decision_service:stress |
|
BIAuthor |
rtd_dc_persp |
_all_ |
dc_perspective |
|
BIConsumer |
rtd_ils |
_all_ |
open_service:read choice_editor decision_service:normal |
|
BIConsumer |
rtd_dc_persp |
Explore |
dc_perspective |
|
BIConsumer |
rtd_dc_persp |
At a Glance |
dc_perspective |
|
BIConsumer |
rtd_batch |
_all_ |
batch_admin |
認証プロバイダは、ユーザーとグループの情報にアクセスし、ユーザーの認証を担当します。アイデンティティ・ストアには、ユーザー名、パスワード、およびグループ・メンバーシップ情報が含まれており、Oracle Business Intelligenceでは、現在、ディレクトリ・サーバーです。デフォルト・セキュリティ構成はDefaultAuthenticatorという名前の認証プロバイダを使用して、Oracle WebLogic Serverに組み込まれたディレクトリ・サーバーに照らし合せて認証します。
ユーザー名とパスワードを組み合せてユーザーがシステムにログインすると、Oracle WebLogic Serverは、提供された組み合せに基づいてIDを検証します。このプロセス中に、Javaプリンシパルが、認証を受けているユーザーまたはグループに割り当てられます。プリンシパルは1つ以上のユーザーまたはグループから構成でき、サブジェクトに格納されます。サブジェクトは、ID情報をグループ化し保持するために使用するJAAS要素です。
認証に成功すると、各プリンシパルは署名され、サブジェクトに格納されます。プログラム・コールがサブジェクトに格納されているプリンシパルにアクセスすると、デフォルトの認証プロバイダは、署名後にプリンシパルが変更されていないこと、およびプリンシパルがコールを発しているプログラムに返されることを検証します。たとえば、Oracle WebLogic Serverのデフォルト認証では、サブジェクトには、ユーザーのプリンシパル(WLSUserPrincipal)、およびユーザーがメンバーとして属しているグループのプリンシパル(WLSGroupsPrincipals)が含まれています。インストールのデフォルト以外の認証プロバイダが構成されている場合は、ID情報の格納方法が異なる場合があるため、そのプロバイダのドキュメントを確認してください。
グループとは、論理的に順序付けられたユーザーの集合のことです。同様のシステム・リソースへのアクセス・ニーズを持つグループのユーザーを作ることで、セキュリティ管理が容易になります。グループを管理することは、多数のユーザーを個々に管理するより効率的です。グループは次に、権利を付与するためにアプリケーション・ロールに割り当てられます。Oracleは、メンテナンスを容易に行うために、ユーザーをグループへとまとめることをお薦めします。
ここで説明するデフォルトのグループ名は、操作を容易にするために提供されるため、インストール直後にOracle Business Intelligenceソフトウェアの使用を開始できますが、デフォルト名を維持する必要はありません。
表B-6に、インストール・プロセス中に作成されるグループ名およびグループ・メンバーを記載します。これらのデフォルトは異なる値に変更することが可能であり、また、管理ユーザーはOracle WebLogic Server管理コンソールを使用して新しいグループ名を追加できます。
表B-6 デフォルトのグループとメンバー
| 目的 | グループ名とメンバー | 説明 |
|---|---|---|
|
Oracle Business Intelligenceの管理ユーザーを含めます。 |
名前: BIAdministrators メンバー: 任意の管理ユーザー |
|
|
Oracle Business Intelligenceの作成者を含めます。 |
名前: BIAuthors メンバー: BIAdministratorsグループ |
BIAuthorsグループのメンバーは、他のユーザーが使用する、または消費するコンテンツを作成するのに必要な権限を持っています。 |
|
Oracle Business Intelligenceコンシューマを含みます。 |
名前: BIConsumers メンバー: BIAuthorsグループとOracle WebLogic Server LDAPサーバー・ユーザー・グループ |
|
Oracle WebLogic Serverが組み込まれたディレクトリ・サーバーには、デフォルトのセキュリティ構成の一部として提供されるOracle Business Intelligenceユーザー名が含まれています。これらのデフォルトのユーザー名は、操作を容易にするために提供されるため、インストール直後にOracle Business Intelligenceソフトウェアの使用を開始できますが、デフォルト名を使用し続ける必要はありません。
表B-7に、インストール後のOracle WebLogic Serverが組み込まれたディレクトリ・サーバーのデフォルトのユーザー名とパスワードを記載します。
表B-7 デフォルトのユーザーとパスワード
| 目的 | ユーザー名とパスワード | 説明 |
|---|---|---|
|
管理者ユーザー |
名前: 管理者ユーザー パスワード: ユーザーが提供 |
|
|
名前: BISystemUser パスワード: システム生成 |
|
資格証明ストアとは、ユーザー、Javaコンポーネント、およびシステム・コンポーネントの認可レベルを検証するセキュリティ・データ(資格証明)のリポジトリのことです。Oracle Business Intelligenceのシステム・プロセスでは、これらの資格証明を使用して信頼できる通信を確立します。
Oracle Business Intelligenceのデフォルトの資格証明ストアはファイルベースです。これは、ウォレットベースとも呼ばれ、cwallet.ssoファイルで表されます。デフォルトの資格証明ストアはFusion Middleware Controlで管理されます。
資格証明は、マップと呼ばれる論理的なコレクションへとグループ化されます。デフォルトのセキュリティ構成は、oracle.bi.systemとoracle.bi.enterpriseというマップを含んでいます。各資格証明には、system.userまたはrepository.paintのようなキーを使用してマップからアクセスします。キーでは大文字/小文字が区別されます。各リポジトリ・ファイルは、資格証明マップに自身のエントリを持っています。
oracle.bi.actions資格証明マップは手動で作成されます。oracle.bi.actions資格証明マップの作成の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のアクション・フレームワークで使用するための資格証明の追加と維持に関する項を参照してください。
表B-8に、インストール後にデフォルトの資格証明ストアに含まれている資格証明を記載しています。
表B-8 デフォルトの資格証明
| 説明 | マップとキー | ユーザー名とパスワード |
|---|---|---|
|
リポジトリ・パスワード |
マップ: oracle.bi.enterprise キー: repository.RPD名 |
名前: 該当なし パスワード: ユーザーが提供 |
|
BISystemユーザー |
マップ: oracle.bi.system キー: system.user |
名前: BISystemUser パスワード: システム生成 |
|
Oracle Business Intelligence Schedulerスキーマ・ユーザー |
マップ: oracle.bi.enterprise キー: scheduler.schema |
名前: Schedulerスキーマの名前 パスワード: システム生成 |
デフォルトのOracle Business Intelligenceセキュリティ構成では、事前構成済の権限がアプリケーション・ロールに付与されて提供されます。アプリケーション・ロールはグループをメンバーとして持ち、ロールの権限がグループのメンバーシップを介してユーザーに継承されます。グループをアプリケーション・ロールに割り当てることで、ロールの権限がグループのすべてのメンバーに伝達されます。
権限は、次の関係を構築することで、Oracle Business Intelligenceアプリケーション・ロールによって付与されます。
グループによって、同様のシステム・アクセス要件を持つユーザーの組が定義されます。ユーザーは、必要なアクセスのレベルに従って1つ以上のグループにメンバーとして追加されます。
アプリケーション・ロールは、Oracle Business Intelligenceを使用するときにユーザーが一般的に実行するロールを定義します。デフォルトのセキュリティ構成では、管理者(BIAdministrator)、作成者(BIAuthor)およびコンシューマ(BIConsumer)というロールが提供されます。
グループは、各グループが必要とするアクセスのタイプに一致する1つ以上のアプリケーション・ロールに割り当てられます。
アプリケーション・ポリシーは、各ロール・タイプに対応する1組のアクセス権を付与するOracle Business Intelligence権限を定義します。
アプリケーション・ロールは、ロール・タイプ(管理者、作成者、コンシューマ)が必要とする権限の組を付与するアプリケーション・ポリシーに割り当てられます。構成後は、アプリケーション・ロールはアプリケーション・ポリシーの権限受領者になります。
グループ・メンバーシップは、グループ階層の性質によって継承できます。継承したグループに割り当てられているアプリケーション・ロールも継承され、それらの権限も同様に伝達されます。
ユーザー権限は、システムによって次のように決定されます。
ユーザーがログイン時にWebブラウザに資格証明を入力します。ユーザー資格証明は、アイデンティティ・ストアに含まれているデータに照らし合せて認証プロバイダによって認証されます。
認証に成功したら、Javaサブジェクトとプリンシパルの組合せが発行され、ユーザー名とユーザーのグループが入力されます。
ユーザーのグループのリストがアプリケーション・ロールに照合されます。ユーザーのグループのそれぞれに割り当てられるアプリケーション・ロールのリストが作成されます。
付与されるユーザー権限は、ユーザーがどのアプリケーション・ロールのメンバーであるかを把握することによって決定されます。グループのリストは、ユーザーがどのロールを持っているかを判断するためだけに生成され、他の目的には使用されません。
たとえば、Oracle BI管理ツールからオフライン・モードでリポジトリ・ファイルを開く機能には、リポジトリの管理権限(oracle.bi.server.manageRepositories)が必要です。デフォルトのセキュリティ構成では、この権限はBIAdministratorアプリケーション・ロールのメンバーシップによって付与されます。BIAdministratorアプリケーション・ポリシーには実際の権限付与定義が含まれています。また、この例では、BIAdministratorアプリケーション・ポリシーにはリポジトリの管理権限の定義が含まれています。デフォルトのセキュリティ構成には、BIAdministratorアプリケーション・ロールとBIAdministratorsグループとの間で事前に構成された対応付けがあります。使用している環境でリポジトリの管理権限をユーザーに伝達するには、そのユーザーをBIAdministratorsグループに追加します。オンライン・モードでリポジトリを管理する必要のあるすべてのユーザーは、各ユーザーに必要な権限を個々に付与するのではなく、BIAdministratorsグループに追加する必要があります。ユーザーにリポジトリの管理権限が必要なくなれば、ユーザーをBIAdministratorsグループから削除します。BIAdministratorsグループから削除されたユーザーには、ロールのメンバーシップによって付与されたBIAdministratorアプリケーション・ロールまたはリポジトリの管理権限がなくなります。
また、ユーザーは、グループ・メンバーシップおよびアプリケーション・ロールを継承することでも権限を取得できます。この処理を実行する方法の詳細と例は、第B.4.4.1項「権限の継承とロールの階層」を参照してください。
Oracle Business Intelligenceでは、デフォルトのアプリケーション・ロールのメンバーには、グループと他のアプリケーション・ロールの両方が含まれています。結果的に、明示的に付与することに加えて、権限を継承できる階層的なロール構造となります。ロールのメンバーであるグループは、ロールの権限と、そのロールから派生したすべてのロールの権限が付与されます。ロールの階層を構築するときは、循環依存が生じないことが重要です。
図B-2は、デフォルトのアプリケーション・ロール間の関係と、どのように権限がメンバーに付与されるかを示しています。
図B-2では、複数のOracle Business Intelligenceのデフォルト・グループおよびアプリケーション・ロールを使用して、ロールの階層から権限を付与しています。デフォルトのBIAdministratorロールはBIAuthorロールのメンバーであり、BIAuthorロールはBIConsumerロールのメンバーです。結果として、BIAdministratorsグループのメンバーは、BIAdministratorロール、BIAuthorロールおよびBIConsumerロールの権限をすべて付与されます。このため、特定のグループのメンバーであるユーザーには、明示的な権限と任意の追加的な継承される権限の両方が付与されます。
|
注意: グループとグループ階層は、それら自体では、アプリケーション・リソースにアクセス権を提供しません。権限は権限の付与により伝達され、アプリケーション・ポリシーで定義されます。ユーザー、グループまたはアプリケーション・ロールは、アプリケーション・ポリシーの権限受領者になります。アプリケーション・ポリシーの権限受領者は、直接的な対応付けによって(ユーザーなど)または権限受領者のメンバーになることによって(グループやアプリケーション・ロールなど)権限を伝達します。 |
表B-9に、図Bー2に示すすべてのグループ・メンバー(ユーザー)に付与されるロールと権限を詳しく示します。
表B-9 ロールの階層によって付与される権限の例
| ユーザー名 | グループ・メンバーシップ: 明示的/継承 | アプリケーション・ロールのメンバーシップ: 明示的/継承 | 権限付与: 明示的/継承 |
|---|---|---|---|
|
User1、User2、User3 |
BIConsumers: 明示的 |
BIConsumer: 明示的 |
アクセス・レポート: 明示的 |
|
User4、User5 |
BIAuthors: 明示的 BIConsumers: 継承 |
BIAuthor: 明示的 BIConsumer: 継承 |
レポートの作成: 明示的 レポートへのアクセス: 継承 |
|
User6、User7 |
BIAdministrators: 明示的 BIAuthors: 継承 BIConsumers: 継承 |
BIAdministrator: 明示的 BIAuthor: 継承 BIConsumer: 継承 |
リポジトリの管理: 明示的 レポートの作成: 継承 レポートへのアクセス: 継承 |
カタログ・パーミッションを管理するために、カタログ・グループとアプリケーション・ロールを組み合せて使用する場合は、カタログ・グループが優先されます。たとえば、ユーザーが、プレゼンテーション・サービスのオブジェクトまたは機能へのアクセスを付与するカタログ・グループのメンバーであり、同じオブジェクトまたは機能へのアクセスを拒否するアプリケーション・ロールのメンバーでもある場合、このユーザーにはアクセス権が付与されます。カタログのグループはアプリケーション・ロールに優先します。Presentation Servicesの権限の詳細は、第D.2.3項「Presentation Servicesの権限の管理」を参照してください。
Oracle Business Intelligenceソフトウェアのインストールに成功した後に実行する共通のセキュリティ・タスクは、目的によって異なります。Oracle Business Intelligenceをインストールする共通の理由は、次のとおりです。
製品を評価します。
製品を実装します。
通常、実装において、次の環境の1つ以上で製品を使用する製品ライフサイクルを経験します。
開発
テスト
本番
表B-10に、Oracle Business Intelligenceを評価するために実行される共通のセキュリティ・タスクを記載して、詳細へのリンクを提供しています。
表B-10 タスク・マップ: Oracle Business Intelligenceを評価するための共通のセキュリティ・タスク
| タスク | 説明 | 参照先 |
|---|---|---|
|
Oracle Fusion Middlewareセキュリティ・モデルおよびOracle Business Intelligenceのデフォルトのセキュリティ構成を理解します。 |
インストールに成功したら、Oracle Fusion Middlewareセキュリティ・モデルおよびOracle Business Intelligenceのデフォルトのセキュリティ構成の重要な要素について学ぶ。 |
第1章「Oracle Business Intelligenceのセキュリティの紹介」 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』 |
|
デフォルトのアイデンティティ・ストアにユーザーとグループを追加します。 |
Oracle WebLogic Server管理コンソールを使用して、組み込まれたディレクトリ・サーバーの新しいユーザーおよびグループ定義を作成します。 |
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」 Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
|
新しいメンバーをデフォルトのアプリケーション・ロールに追加します。 |
BIConsumerなど、デフォルトのアプリケーション・ロールにメンバーとして新規のユーザーまたはグループを追加します。 |
第2.4.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールの変更」 第B.4.1.3項「デフォルトのアプリケーション・ロール、権限付与、およびグループ・マッピング」 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』 |
|
既存のデフォルトのアプリケーション・ロールに基づいて新しいアプリケーション・ロールを作成します。 |
既存のデフォルトのアプリケーション・ロールに基づいて、コピーを行いそのコピーに名前を付けることによって新しいアプリケーション・ロールを作成します。 |
第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除」 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』 |
表B-11に、Oracle Business Intelligenceを実装するときに実行する共通のセキュリティ・タスクを示し、詳細へのリンクを提供します。次のタスクは、第B.5.1項「Oracle Business Intelligenceを評価するための共通のセキュリティ・タスク」に記載されているタスクに加えて実行されます。
表B-11 タスク・マップ: Oracle Business Intelligenceを実装するための共通のセキュリティ・タスク
| タスク | 説明 | 参照先 |
|---|---|---|
|
認証プロバイダおよびアイデンティティ・ストアとしてエンタープライズ・ディレクトリ・サーバーを使用することへの遷移。 |
認証プロバイダおよびアイデンティティ・ストアになるようにエンタープライズ・ディレクトリ・サーバーを構成します。 |
|
|
新しいアプリケーション・ロールを作成します。 |
新しいアプリケーション・ロールを作成し、ロールをアプリケーション・ポリシーの権限受領者にします。 |
第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除」 |
|
新しく作成したアプリケーション・ロールにグループを割り当てます。 |
グループ・メンバーに権限付与を伝達するために、新しく作成したアプリケーション・ロールにグループを割り当てます。 |
第2.4.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールの変更」 |
|
SSLを使用するかどうかを決定します。 |
SSL通信を使用するかどうかを決定し、実装するための計画を考えます。 |
第5章「Oracle Business IntelligenceでのSSL構成」 |
|
デプロイメントにおいてSSOプロバイダを使用するかどうかを決定します。 |
SSO認証を使用するかどうか決定し、実装する計画を考えます。 |
|
アップグレード・アシスタントは、Oracle Business Intelligenceインストールを選択的にアップグレードできるようにする一体型のグラフィカル・ユーザー・インタフェースです。アップグレードの詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionアップグレード・ガイドを参照してください。
ユーザー、グループ、および資格証明を定義して格納する方法と場所について、セキュリティ・モデルに大きな変更が加えられました。次に示すのは、アップグレード・アシスタントによってアップグレード・プロセス中に行われる変更の一部の概要です。
ユーザー、パスワード、およびグループがデフォルトのリリース10gのリポジトリ・ファイルからリリース11gのデフォルトのアイデンティティ・ストアに移動されます(Oracle WebLogic Server組込みLDAPサーバー)。
接続プールやLDAPサーバーなど、他のリポジトリ・オブジェクトのパスワードは、リポジトリに残されて暗号化されます。リポジトリ自体も同様に暗号化されます。
管理者ユーザーは、デフォルトのリリース10gリポジトリ・ファイルから、デフォルトのアイデンティティ・ストアに移行されて、BIAdministratorsグループのメンバーになります。BIAdministratorsグループは、BIAdministratorロールを付与され、その対応付けによってシステムの管理権限を持ちます。
Oracle BIプレゼンテーション・カタログの古いカタログ・グループおよびユーザーへの参照は更新されます。
変数名ROLES、PERMISSIONS、USERGUID、およびROLEGUIDSは、予約されたリリース11gのシステム変数名です。リリース10gのリポジトリ・ファイルをアップグレードする前に、これらの変数の名前を変更する必要があります(存在する場合)。これらの変数名への他の参照は、レポートのように、一貫性を維持するために名前を変更する必要があります。
|
注意: アップグレード前に、リポジトリ・ファイルとOracle BIプレゼンテーション・カタログのバックアップを作成し、必要に応じてオリジナルをリストアできるようにしてください。 |
次に示すのは、Oracle Business Intelligenceインストールをアップグレードするときにアップグレード・アシスタントによって開始されるセキュリティ関連の変更の概要です。システムのアップグレードの詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionアップグレード・ガイドを参照してください。
一般に、標準的なアップグレード・プロセスは次のとおりです。アップグレード・アシスタントが、Oracle Business Intelligenceリリース11gソフトウェアがインストールされたシステムで実行されます。このプロセス中に、リリース10gのリポジトリ・ファイルおよびOracle BIプレゼンテーション・カタログからのメタデータが、リリース11gのシステムにインポートされます。アップグレード・プロセスが完成した後は、リリース10gのシステムは変更されません。必要に応じて、リリース11gの環境で機能するように、リポジトリに定義されているユーザーおよびグループをOracle WebLogic Serverに組み込まれたLDAPサーバーに移動するなど、インポートされたメタデータがアップグレードされます。しかし、SSL設定などの構成設定はアップグレード・ソースから引き継がれません。
アップグレード・アシスタントを実行する前に、次を利用できる必要があります。
Oracle Business Intelligenceリリース10gのインストール。これはアップグレード・ソースとして使用されます。このインストールは、リリース10gでサポートされているセキュリティ・メカニズム(たとえば、リポジトリ・ユーザーおよびグループ、認証初期化ブロック、カタログ・グループ、およびSAシステム・サブジェクト・エリアなど)を任意に組み合せて使用するように構成できます。
アップグレードのターゲットとして使用されるOracle Business Intelligenceリリース11gのデフォルトのインストール。このインストールは、いかなる方法でもカスタマイズされていてはいけません。
アップグレード・アシスタントは、リリース10gのインストールの詳細を求めます。次の項で説明するように、アップグレード・アシスタントは、既存のセキュリティ関連のエントリをリリース11gシステムに移行します。
アップグレード・アシスタントは、ターゲット・システムのためのOracle WebLogic Server組込みLDAPサーバーに、次のエントリを自動的に作成します。
リポジトリに見つかる各グループに対応するLDAPグループ。これには、以前のリリースに見られた管理者グループは含まれていません。この管理者グループにいたユーザーは、BIAdministrators LDAPグループに追加されます。
リポジトリ・グループ階層に一致するLDAPグループ階層。
管理者ユーザーは移行され、BIAdministratorsグループの一部になります。
管理者ユーザーを除く、デフォルトのリポジトリの管理者グループのメンバーであるすべてのユーザーは、組込みLDAPサーバーのBIAdministratorsグループに追加されます。インストール時に提供される情報から作成されるリリース11gの管理者ユーザーも、組込みLDAPサーバーのBIAdministratorsグループに追加されます。
アップグレード・アシスタントは、ターゲット・システム用のファイルベースのポリシー・ストアに、次のエントリを自動的に作成します。
デフォルトのリポジトリの各グループに対応するアプリケーション・ロール。これには、以前のリリースに見られた管理者グループは含まれていません。アプリケーション・ロールは、同じ名前を持つグループに付与されます。
リポジトリ・グループ階層に一致するアプリケーション・ロール階層。
アップグレード・アシスタントは、ソース・システムのデフォルトのリポジトリを自動的にアップグレードし、次の変更を加えます。
リリース10gのデフォルト・リポジトリのグループはすべて、アップグレード時にポリシー・ストアに作成されるアプリケーション・ロールへのアプリケーション・ロール参照(プレースホルダ)に変換されます。
すべてのユーザーはアップグレード時にデフォルトのリポジトリから削除され、ターゲット・システムの組込みLDAPサーバーに作成されたLDAPユーザーへの参照(名前とGUID)に交換されます。
数値の接尾辞がアップグレードされたリポジトリ・ファイルの名前に追加されます。数値は、ファイルがアップグレードされた回数を示すために追加されます。
アップグレード・アシスタントは自動的に、Oracle BIプレゼンテーション・カタログに次のような変更を行います。
Oracle BIプレゼンテーション・カタログはスキャンされ、古いセキュリティ表現は新しいものに変換されます。10gに存在した権限は移行されます。各ユーザーの内部表現を、環境全体で使用される標準GUIDに更新します。LDAPサーバーに見つからなかったユーザーは、LDAPサーバーに追加されるまでは初期化ブロック・ユーザー・フォルダに配置され、その後、標準のユーザー・フォルダに移動されます。ユーザーとグループの古い表現への参照がすべて、GUIDに置き換えられます。Oracle BIプレゼンテーション・カタログ全体が確認されます。
アップグレードされたOracle BIプレゼンテーション・カタログにリリース10gのカタログ・グループを残し、同じ権限、アクセスおよびメンバーシップを割り当てます。
リリース10gのリポジトリは、アップグレード・アシスタントを使用して開いてアップグレードできます。アップグレード時に、次に示すセキュリティ関連の変更がリポジトリに対して加えられます。
アップグレードされたリポジトリは、アップグレード時に入力されたパスワードによって保護され暗号化されます。
リポジトリ・ファイルは、アイデンティティ・ストアに存在することが期待されるユーザーへの参照およびポリシー・ストアにあることが期待されるアプリケーション・ロールへの参照を含むようにアップグレードされます。
アップグレードされたリポジトリは、通常どおりにオフライン・モードでOracle BI管理ツールで開くことができ、オンライン・モードで開かれるサーバーにデプロイできます。
リリース10gリポジトリのアップグレードの詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionアップグレード・ガイドを参照してください。
SSL設定のような構成設定は、アップグレード元から引き継がれません。SSLの構成の詳細は、第5章「Oracle Business IntelligenceでのSSL構成」を参照してください。
シングル・サインオン(SSO)設定などの構成設定は、アップグレード・ソースから引き継がれません。SSOの構成に関する詳細は、第4章「SSO認証の有効化」を参照してください。
