ヘッダーをスキップ
Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド
11
g
リリース1(11.1.1)
B63030-04
索引
次
目次
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメントとその他のリソース
システム要件と動作要件
表記規則
Oracle Business Intelligenceのセキュリティの新機能
Oracle BI EE 11
g
リリース1 (11.1.1.7)の新機能
Oracle BI EE 11
g
リリース1 (11.1.1.6)の新機能
Oracle BI EE 11
g
リリース1(11.1.1.5)の新機能
Oracle BI EE 11
g
リリース1(11.1.1.3)の新機能
1
Oracle Business Intelligenceのセキュリティの紹介
1.1
Oracle Business Intelligenceでセキュリティを設定するための上位レベルのロードマップ
1.2
Oracle Business Intelligenceのセキュリティの概要
1.3
認証について
1.4
認可について
1.4.1
アプリケーション・ロールについて
1.4.2
セキュリティ・ポリシーについて
1.5
事前構成済ユーザー、グループおよびアプリケーション・ロールについて
1.6
Oracle Business Intelligenceでセキュリティを構成するツールの使用
1.6.1
Oracle WebLogic Server管理コンソールの使用
1.6.2
Oracle Fusion Middleware Controlの使用
1.6.3
Oracle BI管理ツールの使用
1.6.4
プレゼンテーション・サービス管理の使用
1.7
Oracle Business Intelligenceのセキュリティを設定するための詳細な手順
1.8
Oracle Business Intelligenceの10
g
と11
g
のセキュリティ・モデルの比較
1.9
用語
2
デフォルト・セキュリティ構成を使用したセキュリティの管理
2.1
デフォルトのユーザー、グループおよびアプリケーション・ロールの使用
2.2
デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例
2.3
組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理
2.3.1
ユーザー、グループおよびアプリケーション・ロールの設定
2.3.1.1
デフォルトのグループへのユーザーの割当て
2.3.1.2
新規グループおよび新規アプリケーション・ロールへのユーザーの割当て
2.3.2
組込みWebLogic LDAPサーバーにおける新規ユーザーの作成
2.3.3
組込みWebLogic LDAPサーバーにおけるグループの作成
2.3.4
組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て
2.3.5
(オプション)組込みWebLogic LDAPサーバーにおけるユーザー・パスワードの変更
2.4
Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの管理
2.4.1
Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示
2.4.2
Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除
2.4.2.1
概要
2.4.2.2
アプリケーション・ロールの作成
2.4.2.3
アプリケーション・ロールへのグループの割当て
2.4.2.4
アプリケーション・ロールの削除
2.4.3
Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成
2.4.4
Fusion Middleware Controlを使用したアプリケーション・ロールの変更
2.4.4.1
アプリケーション・ロールの権限付与の追加または削除
2.4.4.2
アプリケーション・ロールのメンバーの追加または削除
2.4.4.3
アプリケーション・ロール名の変更
2.5
Oracle BI管理ツールの使用によるメタデータ・リポジトリ権限の管理
2.5.1
概要
2.5.2
アプリケーション・ロールのリポジトリ権限の設定
2.5.3
メタデータ・リポジトリでのアプリケーション・ロールの管理 - 高度なセキュリティ構成トピック
2.6
アプリケーション・ロールの使用によるPresentation Servicesの権限の管理
2.6.1
概要
2.6.2
Presentation Servicesの権限について
2.6.3
アプリケーション・ロールに対するPresentation Servicesの権限の設定
2.6.4
BIプレゼンテーション・サービスでの資格証明の暗号化 - 高度なセキュリティ構成トピック
2.7
Oracle BI Publisherの使用によるデータ・ソース・アクセスの権限の管理
2.8
デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性の有効化
2.9
BIドメインのWebサービスへのグローバル・ポリシーのアタッチ
3
代替認証プロバイダの使用
3.1
概要
3.2
代替認証プロバイダを構成するための大まかな手順
3.3
代替認証プロバイダを使用するための前提条件
3.4
代替認証プロバイダの構成
3.4.1
認証プロバイダとしてのOracle Internet Directoryの構成
3.4.2
認証プロバイダとしてのActive Directoryの構成
3.4.3
認証プロバイダとしてのデータベースの構成
3.4.3.1
概要と前提条件
3.4.3.2
ユーザーおよびグループのサンプル・スキーマの作成
3.4.3.3
Oracle WebLogic Server管理コンソールの使用によるデータ・ソースとSQL認証プロバイダの構成
3.4.3.4
仮想アイデンティティ・ストアの構成
3.4.3.5
SQL認証プロバイダのトラブルシューティング
3.4.3.6
アダプタの削除および再作成によるデータベース・アダプタ・エラーの修正
3.4.4
認証プロバイダとしてのLDAPの構成とデータベースへのグループの格納
3.4.4.1
前提条件
3.4.4.2
グループおよびグループ・メンバーのサンプル・スキーマの作成
3.4.4.3
Oracle WebLogic Server管理コンソールの使用によるデータ・ソースおよびBISQLGroupProviderの構成
3.4.4.4
仮想アイデンティティ・ストアの構成
3.4.4.5
アプリケーション・ロールへのデータベース・グループの追加による構成のテスト
3.4.4.6
アダプタのエラーの修正
3.4.5
Fusion Middleware Controlの使用による複数の認証プロバイダの構成
3.4.6
1つの認証プロバイダが失敗した場合でも別の認証プロバイダからOracle Business Intelligenceにログインできるように複数の認証プロバイダを構成する
3.4.7
JAAS制御フラグ・オプションの設定
3.4.8
認証プロバイダとしての単一のLDAP認証プロバイダの構成
3.4.8.1
唯一の認証プロバイダとしてのOracle Internet Directory LDAP認証の構成
3.4.8.2
トラブルシューティング
3.5
アイデンティティ・ストアでのユーザーおよびグループ名属性の構成
3.5.1
アイデンティティ・ストアでのユーザー名属性の構成
3.5.2
Active Directoryでのグループ名属性の構成
3.6
アイデンティティ・ストアでのGUID属性の構成
3.7
新しい信頼できるユーザー(BISystemUser)の構成
3.8
ユーザーGUIDのリフレッシュ
3.9
セキュリティ・ストアとしてのOracle Internet Directory (LDAP)の構成
4
SSO認証の有効化
4.1
Oracle Business IntelligenceのSSOの構成タスク
4.2
SSO認証およびOracle Business Intelligenceについて
4.2.1
IDアサーション・プロバイダのしくみ
4.2.2
Oracle Business IntelligenceとSSO認証の連携のしくみ
4.3
SSO実装に関する考慮事項
4.4
Oracle Access Manager環境でのSSOの構成
4.4.1
Oracle WebLogic Serverの新しい認証プロバイダの構成
4.4.2
Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成
4.5
Oracle Single Sign-On (OSSO)を使用したOracle BI Enterprise Editionに対するSSOの有効化
4.5.1
Oracle HTTP Serverをインストールして、Oracle Business IntelligenceへのリクエストをWebLogic Serverにリダイレクトするように構成する
4.5.2
OSSOアサーション・プロバイダとOID認証プロバイダを作成して構成する
4.5.3
パートナ・アプリーションをOracle Single Sign-Onに登録し、Oracle HTTP Server上のOracle Business Intelligenceリソースを保護する
4.6
カスタムSSO環境の構成
4.7
Fusion Middleware Controlの使用によるSSO認証の有効化
4.8
オンライン・カタログ・マネージャの接続の有効化
5
Oracle Business IntelligenceでのSSL構成
5.1
Oracle Business Intelligenceの一般的なSSL構成タスク
5.2
SSLとは
5.2.1
Oracle Business IntelligenceでのSSLの使用
5.2.2
Oracle Business Intelligenceでの証明書と鍵の作成
5.2.3
資格証明ストア
5.3
コンポーネント間のSSL通信の構成
5.3.1
Oracle WebLogic Server管理コンソールでのSSLを使用するためのWebLogicの構成
5.3.2
Fusion Middleware Controlを使用したOracle BI EEコンポーネントに対するSSLの有効化
5.3.3
WebLogic Server環境の手動による構成
5.3.4
非SSLリスニング・ポートの無効化によるHTTPSプロトコルのみを使用するためのOracle WebLogic Serverの構成
5.3.5
Fusion Middleware Controlを使用した期限切れのSSL証明書の更新
5.3.6
Fusion Middleware Controlの使用によるSMTPサーバーのSSLの構成
5.3.7
システムMBeanブラウザを使用したコンポーネント間のSSL通信の構成
5.3.7.1
構成のロック
5.3.7.2
SSL証明書の生成
5.3.7.3
SSL構成変更のコミットとロック解除
5.3.7.4
資格証明ストアのSSL資格証明の検証
5.3.7.5
Oracle BI EE SSL Everywhere生成証明書とは
5.3.7.6
SSL構成の有効化
5.3.7.7
MBeanブラウザの使用によるSSLステータスの確認
5.3.7.8
MBeaブラウザを使用した期限切れのSSL証明書の更新
5.4
その他のSSL構成オプション
5.4.1
BIスケジューラのSSLが有効化されている場合のSASchInvokeの使用
5.4.2
Oracle BIジョブ・マネージャの構成
5.4.3
オンライン・カタログ・マネージャの接続の有効化
5.4.4
SSL経由で通信するためのOracle BI管理ツールの構成
5.4.5
リモート・クライアント・アクセス用のODBC DSNの構成
5.4.6
SSL経由で通信するためのOracle BI Publisherの構成
5.4.7
複数認証プロバイダ使用時のSSLの構成
5.5
高度なSSL構成オプション
A
代替セキュリティ管理オプション
A.1
代替認証オプション
A.1.1
初期化ブロックの使用によるLDAP認証の設定
A.1.1.1
LDAPサーバーの設定
A.1.1.2
LDAP認証でのUSERセッション変数の定義
A.1.1.3
ロギング・レベルの設定
A.1.2
外部表認証の設定
A.1.3
Oracle BIデリバーおよび外部初期化ブロックの認証について
A.1.4
認証の順序
A.1.5
カスタム認証システム・プラグインを使用する認証
A.1.6
セッション変数の管理
A.1.7
サーバー・セッションの管理
A.1.7.1
セッション・マネージャの使用
A.2
代替認可オプション
A.2.1
プレゼンテーション・サービスのセキュリティに影響する変更
A.2.2
カタログ・グループを使用するカタログ権限の管理
A.2.3
初期化ブロックの使用による認可の設定
B
デフォルト・セキュリティ構成の理解
B.1
Oracle Business Intelligenceのセキュリティについて
B.2
セキュリティ・フレームワークについて
B.2.1
Oracle Platform Security Services
B.2.2
Oracle WebLogic Serverドメイン
B.3
主なセキュリティ要素
B.4
デフォルト・セキュリティ構成
B.4.1
デフォルトのポリシー・ストア・プロバイダ
B.4.1.1
デフォルトの権限
B.4.1.2
デフォルトのアプリケーション・ロール
B.4.1.3
デフォルトのアプリケーション・ロール、権限付与、およびグループ・マッピング
B.4.2
デフォルトの認証プロバイダ
B.4.2.1
デフォルトのグループとメンバー
B.4.2.2
デフォルトのユーザーとパスワード
B.4.3
デフォルトの資格証明ストア・プロバイダ
B.4.3.1
デフォルトの資格証明
B.4.4
アプリケーション・ロールを使用してユーザー権限を付与する方法
B.4.4.1
権限の継承とロールの階層
B.4.4.2
カタログ・グループと優先順位
B.5
インストール後の共通セキュリティ・タスク
B.5.1
Oracle Business Intelligenceを評価する共通のセキュリティ・タスク
B.5.2
Oracle Business Intelligenceを実装するための共通のセキュリティ・タスク
B.6
アップグレード後のデフォルトのセキュリティ構成について
B.6.1
アップグレード後のセキュリティ関連の変更
B.6.1.1
アイデンティティ・ストアに影響する変更
B.6.1.2
ポリシー・ストアに影響する変更
B.6.1.3
デフォルトのリポジトリ・ファイルに影響する変更
B.6.1.4
Oracle BIプレゼンテーション・カタログに影響する変更
B.6.2
10
g
リポジトリをアップグレードする計画
B.6.3
既存のSSL環境のアップグレード
B.6.4
既存のSSO環境のアップグレード
C
Oracle Business Intelligenceにおけるセキュリティのトラブルシューティング
C.1
ユーザーのログイン認証が失敗する問題の解決
C.1.1
認証の概念
C.1.1.1
インストール時のデフォルトの認証
C.1.1.2
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlの使用によるOracle Business Intelligenceの構成
C.1.1.3
WebLogicドメインおよびログの場所
C.1.1.4
Oracle Business Intelligenceの主要なログイン・ユーザー・アカウント
C.1.1.5
Oracle Business Intelligenceのログインの概要
C.1.2
Oracle BI Security Diagnostics Helperの使用によるセキュリティに関する問題の自動特定
C.1.2.1
Oracle BI Security Diagnostics Helperとは
C.1.2.2
スクリプトの使用によるOracle BI Security Diagnostics Helperの設定(初回使用時のみ)
C.1.2.3
Oracle BI Security Diagnostics Helperのデプロイ
C.1.2.4
Oracle BI Security Diagnostics Helperの実行
C.1.2.5
Oracle BI Diagnostics Helperの使用
C.1.2.6
WebLogic Serverの再起動
C.1.3
ユーザーのログイン認証が失敗する原因の特定
C.1.4
ユーザーのログイン認証が失敗する問題の解決
C.1.4.1
Oracle Business Intelligenceに1人のユーザーがログインできない
C.1.4.2
認証プロバイダが正しく構成されていないことが原因でOracle Business Intelligenceにユーザーがログインできない
C.1.4.3
Oracle Web Services Managerが動作していないときにOracle Business Intelligenceにユーザーがログインできない
C.1.4.4
Oracle Business Intelligenceにユーザーがログインできない - BIシステム・ユーザーの認証が動作しているかどうか
C.1.4.5
Oracle Business Intelligenceにユーザーがログインできない - 外部アイデンティティ・ストアが正しく構成されているかどうか
C.1.4.6
ユーザーが任意のパスワードまたはパスワードなしでログインできる
C.1.4.7
デフォルト認証プロバイダを削除した後にWebLogic Serverを起動できない
C.2
アイデンティティ・ストアとの非一貫性の解決
C.2.1
アイデンティティ・ストアからユーザーが削除される
C.2.2
アイデンティティ・ストアでユーザーの名前が変更される
C.2.3
アイデンティティ・ストアでユーザー名が再利用される
C.2.4
ユーザー名に関連付けられているグループがアイデンティティ・ストアに存在しない
C.3
ポリシー・ストアとの非一貫性の解決
C.3.1
ポリシー・ストアからアプリケーション・ロールが削除される
C.3.2
ポリシー・ストアでアプリケーション・ロールの名前が変更される
C.3.3
ポリシー・ストアでアプリケーション・ロールの名前が再利用される
C.3.4
オフライン・モードでリポジトリにアプリケーション・ロールの参照が追加される
C.4
SSL通信問題の解決
C.5
BIシステム・ユーザーの資格証明に関する問題の解決
C.6
カスタムSSO環境の問題の解決
C.7
SSOを使用したRSSフィードの認証の解決
D
ダッシュボードと分析のセキュリティの管理
D.1
Oracle BIプレゼンテーション・サービスのユーザーのセキュリティ管理
D.1.1
Oracle BIプレゼンテーション・サービスのセキュリティを設定する場所
D.1.2
Oracle BIプレゼンテーション・サービスのセキュリティの目標
D.1.3
ユーザーへの権限の割当て方法
D.2
Oracle BIプレゼンテーション・サービスの管理ページの使用
D.2.1
管理ページについて
D.2.2
カタログ・グループの使用
D.2.2.1
カタログ・グループの作成
D.2.2.2
カタログ・グループの削除
D.2.2.3
カタログ・グループの編集
D.2.3
プレゼンテーション・サービスの権限の管理
D.2.3.1
プレゼンテーション・サービスの権限について
D.2.3.2
アプリケーション・ロールに対するプレゼンテーション・サービスの権限の設定
D.2.3.3
プレゼンテーション・サービスのデフォルトの権限割当て
D.2.4
プレゼンテーション・サービスでのセッションの管理
D.3
Oracle BIプレゼンテーション・サービスの権限の継承
D.3.1
権限の継承のルール
D.3.2
アプリケーション・ロールで継承される権限の例
D.3.3
カタログ・グループで継承される権限の例
D.4
ユーザーへの共有ダッシュボードの提供
D.4.1
共有ダッシュボードのカタログ構造について
D.4.2
共有ダッシュボードの作成
D.4.3
ダッシュボードのテスト
D.4.4
ユーザー・コミュニティへのダッシュボードのリリース
D.5
ダッシュボードに保存されたカスタマイズ・オプションへのアクセス権の制御
D.5.1
ダッシュボードの保存済カスタマイズの概要
D.5.2
保存済カスタマイズの管理
D.5.2.1
保存済カスタマイズの権限
D.5.2.2
保存済カスタマイズのパーミッション
D.5.3
保存済カスタマイズを作成するための権限の設定
D.5.4
保存済カスタマイズを管理するための使用シナリオ例
D.6
他のユーザーの代理実行の有効化
D.6.1
他のユーザーの代理実行を有効化する理由
D.6.2
プロキシ・レベル
D.6.3
他のユーザーの代理実行を有効化するプロセス
D.6.3.1
プロキシ・ユーザーとターゲット・ユーザーの関連付けの定義
D.6.3.2
プロキシ機能のセッション変数の作成
D.6.3.3
プロキシ機能の構成ファイルの設定の変更
D.6.3.4
プロキシ機能のカスタム・メッセージ・テンプレートの作成
D.6.3.5
プロキシ権限の割当て
索引