4 その他のセキュリティに関するトピック

この章では、SSL構成、プロキシ設定、ローカル・スーパーユーザーの有効化およびゲスト・ユーザーの有効化など、BI Publisherの他のセキュリティに関するトピックについて説明します。

内容は次のとおりです。

• 第4.1項「ローカル・スーパーユーザーの有効化」

• 第4.2項「ゲスト・ユーザーの有効化」

• 第4.3項「Secure Socket Layer(SSL)通信用のBI Publisherの構成」

• 第4.4項「プロキシ設定の構成」

4.1 ローカル・スーパーユーザーの有効化

BI Publisherでは、管理者であるスーパーユーザーを定義することができます。スーパーユーザーの資格証明を使用して、定義されたセキュリティ・モデル経由でログインすることなく、BI Publisherサーバー管理機能に直接アクセスできます。

構成済のセキュリティ・モデルに障害が発生したときにすべての管理機能にアクセスできるように、スーパーユーザーを設定します。スーパーユーザーの設定を強くお薦めします。

ローカル・スーパーユーザーを有効化する手順は次のとおりです。

1. 「管理」をクリックします。

2. 「セキュリティ・センター」で「セキュリティ構成」を選択します。

3. 図4-1に示すように、「ローカル・スーパーユーザー」でボックスを選択し、スーパーユーザーの資格証明を入力します。

   図4-1 スーパーユーザーの資格証明

   
   「図4-1 スーパーユーザーの資格証明」の説明
   
   

4. BI Publisherアプリケーションを再起動します。

4.2 ゲスト・ユーザーの有効化

BI Publisherでは、ゲスト・フォルダを定義することにより、特定のレポートに対するパブリック・アクセスを構成できます。すべてのユーザーは、資格証明を入力することなくこのフォルダのレポートにアクセスできます。Oracle Business Intelligence Enterprise Editionで共有カタログを使用している場合は、ゲスト・アクセスはサポートされません。

注意: シングル・サインオンでは、ゲスト・アクセスはサポートされません。

ゲスト・ユーザーがアクセス権限を持っているのはゲスト・フォルダに対してのみであるため、レポートの表示に必要なすべてのオブジェクトは、ゲスト・フォルダに含まれている必要があります。したがって、レポートやデータ・モデル、および、該当する場合にはサブ・テンプレートやスタイル・テンプレートも、ゲスト・フォルダに含まれている必要があります。ゲスト・ユーザーには読取りアクセス権のみを付与する必要があります。

ゲスト・ユーザーには、レポート・データソースに対するアクセス権も付与する必要があります。

ゲスト・アクセスを有効にするには:

1. 「共有フォルダ」の下に、パブリック・アクセスを付与するフォルダを作成します。

2. 「管理」をクリックします。

3. 「セキュリティ・センター」で「セキュリティ構成」を選択します。

4. 「ゲスト・アクセス」で、「ゲスト・アクセスを許可」を選択します。

5. 図4-2に示すように、パブリック・アクセス用に作成したフォルダの名前を入力します。

   図4-2 パブリック・アクセス・フォルダ

   
   「図4-2 パブリック・アクセス・フォルダ」の説明
   
   

6. BI Publisherアプリケーションを再起動します。

7. ゲスト・ユーザーがアクセスできるゲスト・フォルダに、フォルダ、レポート、データ・モデル、サブ・テンプレート、スタイル・テンプレートなどのオブジェクトを追加します。

   
   

   注意: レポートは、ゲスト・フォルダに格納されているデータ・モデルを参照する必要があります。したがって、レポートとそのデータ・モデルを別の場所からコピーする場合は、必ず、そのレポートを開いてデータ・モデルを選択しなおし、レポートがゲスト・フォルダ内のデータ・モデルを参照するようにします。

   
   

   同様に、サブ・テンプレートやスタイル・テンプレートに対する参照も更新する必要があります。

8. ゲスト・フォルダのデータ・モデルで使用されるデータソースに対するアクセス権を付与します。データソースに対するゲスト・アクセス権の付与の詳細は、第8章「データソースの設定」を参照してください。

BI Publisherにアクセスすると、ログオン・ページに「ゲスト」ボタンが表示されます。このボタンを選択したユーザーは、資格証明を入力することなく、選択したゲスト・フォルダのレポートを表示できます。

4.3 Secure Socket Layer(SSL)通信用のBI Publisherの構成

BI PublisherがSSL経由で他のアプリケーションと通信している場合は、操作性確保のため、追加の構成が必要な場合があります。

注意: 信頼できるユーザー名とパスワードが渡されたときにインターセプトされる可能性があるため、Webサービスをホスティングする中間層でSecure Socket Layer(HTTPS)を有効にすることを強くお薦めします。また、BI PublisherとOracle BI Presentation Servicesとの間の通信に使用されるWebサービスも同様です。

• BI Publisherに対するシステム全体のキーストアの指示

• Javaキーストアへの証明書のインポート

• 配信マネージャの構成

4.3.1 BI Publisherに対するシステム全体のキーストアの指示

デフォルトでは、BI PublisherではJavaキーストア、{java.home}/lib/security/cacertsが使用されます。

キーストアに別の場所を使用している場合は、次のようにWebサーバーのJAVA_OPTS環境変数を設定して、キーストアの場所をBI Publisherサーバーに指示します。

set JAVA_OPTS=-Djavax.net.ssl.trustStore=<keystore file>

4.3.2 SSLで保護されたWebサービスの証明書のインポート

Secure Sockets Layer(SSL)で保護されているWebサービスをコールする場合は、そのWebサービスをホスティングするWebサーバーから証明書をエクスポートしてから、BI Publisherを実行しているコンピュータのJavaキーストアにその証明書をインポートする必要があります。

Webサービスの証明書をインポートする手順は次のとおりです。

1. WSDLが存在するHTTPSサイトにナビゲートします。

2. 画面上の指示に従って証明書をダウンロードします。表示される指示は、使用しているブラウザによって異なります。

3. 次のように、Java keytoolを使用して証明書をキーストアにインストールします。

   keytool -import -file <certfile> -alias <certalias> -keystore <keystore file>
   

4. アプリケーション・サーバーを再起動します。

サーバー証明書がVeriSignなどの認証局にリンクしている場合は、この手順は不要です。ただし、Webサービスのサーバーで自己生成証明書を使用している場合(テスト環境内など)は、これらの手順が必要になります。

4.3.3 配信マネージャの構成

BI Publisherに組込みのデフォルトの証明書を使用する場合は、これ以上の構成は必要はありません。Verisignなどの信頼できる認証局により署名された証明書をサーバーで使用する場合でも、SSLはデフォルト証明書で動作します。

ユーザーが自己署名証明書でSSLを使用する場合は、証明書の情報を「配信構成」ページに入力する必要があります。自己署名証明書とは信頼できる認証局以外(通常はユーザー)によって署名された証明書のことです。

4.4 プロキシ設定の構成

BI Publisherサーバーがファイアウォールの背後に構成されているか、インターネットへのアクセスにプロキシが必要になる場合、外部WebサービスやHTTPデータソースを使用するには、Webサービス・リクエストを許可し、プロキシを認識するように、Oracle WebLogic Serverを構成する必要があります。プロキシ設定を構成する場合は、BI Publisherが(プロキシ経由ではなく)直接接続する必要のあるすべてのホスト(Oracle BI Enterprise Editionホストなど)を認識するようにWebLogic Serverを構成する必要があります。次のパラメータを設定して、WebLogic Serverにプロキシ・ホストと非プロキシ・ホストを定義します。

• -Dhttp.proxyHost - プロキシ・ホストを指定します。次に例を示します。

  -Dhttp.proxyHost: www-proxy.example.com

• -Dhttp.proxyPort - プロキシ・ホストのポートを指定します。次に例を示します。

  -Dhttp.proxyPort=80

• -Dhttp.nonProxyHosts - プロキシ経由ではなく、直接接続するホストを指定します。ホストのリストを指定する場合は、それぞれを「|」で区切って指定します。また、マッチングにワイルドカード文字(*)を使用することもできます。次に例を示します。

  -Dhttp.nonProxyHosts="localhost|*.example1.com|*.example2.com

WebLogic Serverにこれらのプロキシ・パラメータを設定し、Webサービスの構成を行うには、WebLogicのsetDomainEnvスクリプトに次の内容を追加します。

1. MW_HOME/user_projects/domains/DOMAIN_NAME/bin/ディレクトリ内のsetDomainEnvスクリプト(.shまたは.bat)を開きます。

2. 次のパラメータを入力します。

   EXTRA_JAVA_PROPERTIES="-Dhttp.proxyHost=www-proxy.example.com -Dhttp.proxyPort=80 -Dhttp.nonProxyHosts=localhost|*.mycompany.com|*.mycorporation.com|*.otherhost.com ${EXTRA_JAVA_PROPERTIES}"
   export EXTRA_JAVA_PROPERTIES
    
    
   EXTRA_JAVA_PROPERTIES="-Djavax.xml.soap.MessageFactory=oracle.j2ee.ws.saaj.soap.MessageFactoryImpl 
   -Djavax.xml.soap.SOAPFactory=oracle.j2ee.ws.saaj.SOAPFactoryImpl -Djavax.xml.soap.SOAPConnectionFactory=oracle.j2ee.ws.saaj.client.p2p.HttpSOAPConnectionFactory  ${EXTRA_JAVA_PROPERTIES}"
   export EXTRA_JAVA_PROPERTIES
   

   各項目の意味は次のとおりです。

   www-proxy.example.comは、プロキシ・ホストの例です。

   80は、プロキシ・ポートの例です。

   localhost|*.mycompany.com|*.mycorporation.com|*.otherhost.comは、非プロキシ・ホストの例です。