Oracle® Fusion Middleware Oracle Business Intelligence Discoverer構成ガイド 11g リリース1 (11.1.1) E51909-01 |
|
前 |
次 |
この章の内容は、Discoverer PlusおよびDiscoverer Viewerにのみ適用されます。Discoverer Plus OLAPの構成の詳細は、第5章「Discoverer Plus OLAPの構成」を参照してください。
この章では、機密上重要なリソースを保護するためにDiscovererで使用される様々なセキュリティ機構について説明します。この章の内容は次のとおりです。
Discovererでは、次のような機密上重要な種々のリソースが使用されており、これらを保護する必要があります。
データ(たとえば、ユーザーが許可されている情報以外は参照できないようにします)
メタデータ(たとえば、ユーザーがアクセス権のないワークブックを編集できないようにします)
Discoverer接続(たとえば、暗号化によって安全性が確保されないかぎり、データベース・ログイン詳細を転送または保持されないようにします)
システム・リソース(たとえば、CPUやメモリー)
ネットワーク・リソース(より厳密には、ネットワークで転送される際のデータの保護)
次の表に、機密上重要なリソースの使用および保護の状況を、各Discovererコンポーネントごとに示します。
機密上重要なリソース | Discoverer Plusによる使用および保護 | Discoverer Viewerによる使用および保護 | Discoverer Portlet Providerによる使用および保護 | Discoverer Administratorによる使用および保護 | Fusion Middleware ControlのDiscovererページによる使用および保護 |
---|---|---|---|---|---|
データ |
はい |
はい |
はい |
はい |
使用しない |
メタデータ |
はい |
はい |
はい |
はい |
はい |
Discoverer接続 |
はい |
はい |
はい |
使用しない |
はい |
システム・リソース |
はい |
はい |
はい |
はい |
はい |
ネットワーク・リソース |
はい |
はい |
はい |
はい |
はい |
Discovererでは、複数のセキュリティ機構によって、機密上重要なリソースへの不正なアクセスを防止します。これらのセキュリティ機構は、次のセキュリティ・モデルにより提供されます。
データベース・セキュリティ・モデル
Discoverer EULセキュリティ・モデル
Oracle Applicationsセキュリティ・モデル
Oracle Fusion Middlewareセキュリティ・モデル
次の図は、Discovererで採用している複合的なセキュリティ機構を示したものです。これらの機構すべてによって、データやシステム・リソースが不正なアクセスから最大限保護されます。
Discovererが適用するセキュリティ機構は、次に示すように、Discovererユーザーのカテゴリ(ユーザーが使用しているDiscoverer製品によって定義されるカテゴリ)によって異なります。
Discoverer Plus、Discoverer ViewerおよびDiscoverer Portlet Providerのユーザー(Discovererエンド・ユーザー)
Oracle BI Discoverer Administratorのユーザー(Discovererマネージャ)
Fusion Middleware Controlを使用してDiscovererを管理するユーザー(Discoverer中間層管理者)
次の表に、各Discovererコンポーネントで使用されるセキュリティ・モデルを示します。
セキュリティ・モデル | Discoverer Plusでの使用 | Discoverer Viewerでの使用 | Discoverer Portlet Providerでの使用 | Discoverer Administratorでの使用 | Fusion Middleware ControlのDiscovererページによる使用 |
---|---|---|---|---|---|
Database |
はい |
はい |
はい |
はい |
いいえ |
Discoverer EUL |
はい |
はい |
はい |
はい |
いいえ |
Applications |
はい |
はい |
はい |
はい |
いいえ |
Oracle Fusion Middleware |
はい |
はい |
はい |
いいえ |
はい |
最も基本的なレベルとして、データベース内のデータはデータベース自体のセキュリティ・モデルにより不正なアクセスから保護されます。Oracleデータベースの場合、このセキュリティ・モデルは次のものから構成されます。
データベース・ユーザーおよびデータベース・ロール
データベース権限
データベース・ユーザーに直接付与されるデータベース権限(またはデータベース・ロールを通じて間接的に付与されるデータベース権限)に従って、ユーザーがアクセスできるデータが決まります。通常、データベース・セキュリティは、SQL*Plusまたはデータベース管理ツールを使用して設定します。
Discovererでは、データベース自体のセキュリティ・モデルを使用して、ユーザーがデータベース・アクセス権のない情報を参照できないようにします。
データベース・セキュリティ・モデルとDiscovererでの使用方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Discoverer管理者ガイド』を参照してください。
注意: Discovererの認証には、Oracleデータベース(リリース8.1.7以上)が提供するOracle Advanced Security Option (ASO)の暗号化技術が使用されます。認証には、4つの暗号化タイプ(RC4、DES、Triple-DESおよびAES)があります。Oracle ASO暗号化によるパフォーマンスへのオーバーヘッドはほとんどありません。ただし、パフォーマンスは、複数の要因(オペレーティング・システム、暗号化アルゴリズムなど)によって変わります。Oracle ASO暗号化の詳細は、Oracleデータベースのドキュメントを参照してください。
Discovererマネージャは、次の目的で、Discovererアクセス権限およびタスク権限をデータベース・ユーザーに直接(またはデータベース・ロールを通じて間接的に)付与します。権限の付与には、Discoverer Administratorを使用します。
Discovererアクセス権限の付与により、ビジネスエリアを表示および使用できるユーザーを制御します。
Discovererタスク権限の付与により、各ユーザーに対し実行を許可するタスクを制御します。
Discoverer Administratorで付与されたアクセス権限およびタスク権限にかかわりなく、Discovererエンド・ユーザーがフォルダを表示できるのは、ユーザーに対し(直接またはデータベース・ロールを介して間接的に)次のデータベース権限が付与されている場合のみです。
フォルダで使用される基礎となるテーブルのすべてに対するSELECT権限
フォルダで使用される任意のPL/SQL関数に対するEXECUTE権限
Discovererユーザー間でワークブックを共有している場合でも、各ユーザーはデータベース・アクセス権を持っていない情報は参照できません。
また、Discovererマネージャは、Discoverer Administratorを使用して次のようにシステム・リソースを保護できます。
スケジュール・ワークブックに制限を設定し、エンド・ユーザーが使用できるシステム・リソースを制御します。
エンド・ユーザーによる問合せの実行時間を、指定した最大時間内に制限します。
エンド・ユーザーによる問合せで返される行数を、指定した行数以内に制限します。
Discovererマネージャは、独自のPL/SQL関数を登録してDiscovererの機能を拡張できます。ただし、登録できるのは、EXECUTEデータベース権限を持っているPL/SQL関数のみです。
Discoverer EULセキュリティ・モデルの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Discoverer管理者ガイド』を参照してください。
注意
Discovererワークブックに読取り専用アクセス権を強制適用するには、特定のDiscovererエンド・ユーザーについて、Oracle BI Discoverer Administratorで「クエリーの作成/編集」権限を取り消し、Discoverer Plusを読取り専用モードで実行します(詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Discoverer管理者ガイド』を参照)。
Discovererに付属しているEULメンテナンス・スクリプトには、DiscovererマネージャおよびPUBLICユーザーにデータベース権限を付与するものがあります(詳細は、付録D「Oracle BI Discoverer管理アカウント情報」を参照)。
Discovererの一般的な使用では、Oracle Applicationsデータベースへの非定型クエリー権限を提供します。このようなアクセス権を提供するために、Discovererマネージャは、Discoverer Administratorを使用してApplicationsモデルEULを作成できます。
Discovererエンド・ユーザーは、Oracle E-Business SuiteのユーザーIDおよび職責を使用してOracle Applicationsデータベースに接続できます。詳細は、第14.1項「Discoverer接続とOracle E-Business Suiteについて」を参照してください。
Oracle ApplicationsモードEULは、Oracle Applicationsスキーマ(Oracle ApplicationsのFND (Foundation)テーブルおよびビューを含む)に基づくDiscoverer End User Layerです。
Oracle Applications EULでは、次のOracle Applicationsセキュリティ・モデル機能が使用されています。
Oracle Applicationsユーザーおよび職責
標準的なEULではデータベースのユーザーおよびロールが使用されていますが、Oracle Applications EULではOracle Applicationsのユーザー名および職責が使用されます。Oracle ApplicationsモードでDiscoverer Administratorを実行しているDiscovererマネージャは、ロールのかわりにOracle Applications職責に対しアクセス権限またはタスク権限を付与します。
Oracle Applicationsの行レベル・セキュリティ
Oracle Applicationsのテーブルとビューの多くはユーザー依存であるため、アクセスするユーザーまたは職責に応じて返される結果が異なります。Discovererでは、これらのユーザー依存のテーブルとビューを考慮して、問合せが適切に実行されます。
Oracle Applicationsの複数組織
Oracle Applicationsの複数組織サポートを使用すると、Discovererで複数の組織からのデータを処理できるようになります。Discovererエンド・ユーザーは、アクセス権を付与されている一連の組織からのデータについて、問合せと分析を実行できます。EUL内のフォルダは、Oracle Business Views (Oracle Applications 11iで使用可能)に基づいている必要があります。
Oracle Applicationsセキュリティ・モデルとDiscovererでの使用方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Discoverer管理者ガイド』を参照してください。
注意
Oracleシングル・サインオンは、BIS、EDWまたはDBIのWebページ内では機能しません。
注意: この項の内容は、DiscovererインストールがOracle Internet DirectoryスキーマおよびDiscovererスキーマと関連付けられている場合にのみ適用されます。詳細は、第1.3項「Oracle BI Discovererのインストールについて」を参照してください。
Oracle Securityは、次のような機能を備えた統合管理およびセキュリティ・フレームワークです。
所有者のトータル・コストを削減する、OracleおよびOracle環境の中央管理機能。
不測のダウン・タイムおよびパフォーマンス障害をなくす、すぐに使用できる監視、アラートおよび診断機能。
Webアプリケーションについてのエンドツーエンドのパフォーマンス監視機能、およびパフォーマンス・ボトルネックを解消するための原因解析機能。
ユーザー管理、プロビジョニング、シングル・サインオンおよびパブリック・キー・インフラストラクチャのための、完全に統合されたID管理インフラストラクチャ。
デプロイされているWebアプリケーションについてのエンドツーエンドのセキュリティを確保する、拡張セキュリティ機能およびID管理機能。
Oracle Fusion Middlewareセキュリティ・モデルは次のもので構成されています。
Oracle Fusion Middleware Framework Security
Oracle Identity Management Infrastructure
Oracle Advanced Security
DiscovererでOracle Fusion Middlewareセキュリティ・モデルを最大活用するには:
Oracle Fusion Middleware Framework Securityにより提供されるHTTPSサービスを使用する(詳細は、第13.6項「Oracle Fusion MiddlewareセキュリティとDiscovererの使用」を参照)。
Oracle Identity Management Infrastructureにより提供されるシングル・サインオン・サービスを使用する(詳細は、第13.8項「Oracle Identity Management InfrastructureとのDiscovererの使用」を参照)。
Oracle Fusion Middlewareセキュリティ・モデルは、Discoverer接続メカニズムの基盤でもあります(詳細は、第13.5.1項「Discovererパブリック接続とOracle Fusion Middlewareセキュリティ・モデルについて」を参照)。
Oracle Securityの詳細は、次のマニュアルを参照してください。
Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド
Oracle Fusion Middleware Oracle Identity Managementスタート・ガイド
Discovererマネージャは、Oracle Fusion Middleware Controlを使用してパブリック接続を作成することで、ユーザーに情報へのアクセスを提供できます。各接続では、1つ以上のビジネスエリアを含むEULが指定されます。
パブリック接続を使用するユーザーを制限したり、ユーザーにプライベート接続を作成する権限を与えることで、ユーザーの情報へのアクセスを制御できます。
接続の詳細は、第3章「Oracle BI Discoverer接続の管理」を参照してください。
Oracle Fusion Middlewareセキュリティは、次のサービスを含む複数のサービスを提供します。
HTTPS/SSLサポート(Oracle HTTP Serverを使用)
ユーザーの認証および認可(Java Authentication and Authorization Service (JAAS、JAZNとも呼ばれる)を使用)
暗号化(Java Cryptography Extension (JCE)を使用)
DiscovererサーバーとDiscovererクライアント層コンポーネントとの間の通信に使用する通信プロトコルとして、Oracle HTTP Serverにより提供されるHTTPS/SSLサポートを使用するように指定できます。詳細は、次の項目を参照してください。
Oracle Fusion Middlewareセキュリティの詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドを参照してください。
注意
Oracle Business Intelligenceをインストールする際、SSLは自動でインストールされ、デフォルトで有効になります。詳細は、Oracle Fusion Middleware Oracle HTTP Server管理者ガイドを参照してください。
Discovererは、異なる通信プロトコル(JRMP、HTTP、HTTPS)を使用したり、ファイアウォールを設置するまたは設置しないなど、様々なネットワーク環境で使用できます。
最適なネットワーク環境は、企業の既存のネットワーク方針と、次の要件によって決まります。
パフォーマンス(情報の表示にかかる時間)
アクセス可能性(ファイアウォールを経由してデータにアクセスする必要があるかどうか)
セキュリティ(転送中に必要なデータのセキュリティ・レベル)
ネットワーク全体を通して機密上重要な情報(パスワードやデータなど)を安全に転送するには、HTTPSを使用する必要があります。
Discoverer ViewerとDiscoverer Plusでは、必要なセキュリティ構成が異なります。
Discoverer Viewerのセキュリティ構成の詳細は、第13.6.2項「Discoverer Viewerのセキュリティと通信プロトコルについて」を参照してください。
Discoverer Plusのセキュリティ構成の詳細は、第13.6.3項「Discoverer Plusのセキュリティと通信プロトコルについて」を参照してください。
注意
Oracle BI DiscovererをOracle Web Cacheとともにデプロイしている場合、制限のあるユーザー環境ではセキュリティに影響することがあります。
詳細は、次の項目を参照してください。
Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド
Discovererを複数のマシン環境にデプロイしている場合、Discoverer中間層のマシンごとに別の通信プロトコルを指定できます。たとえば、次のような場合があります。
Discoverer Plusユーザーがファイアウォールの内側で作業するためのマシンでは、JRMPプロトコルを使用する。
他の2台のマシンでは、Discoverer ViewerユーザーがWeb経由でレポートにアクセスするため、HTTPSプロトコルを使用する。
Discoverer Viewerでは、標準のHTTPまたはHTTPSプロトコルを使用してDiscoverer ViewerクライアントをDiscovererサーブレットに接続します。
注意: Discoverer Viewerクライアント・マシンでDiscoverer Viewerを実行する際に必要となるのは、標準のWebブラウザのみです。
デフォルトのOracleインストールでは、Discoverer Viewerは次のように構成されます。
HTTP環境では、特別なセキュリティ構成は必要ありません。ファイアウォールを使用している場合は、Oracleで使用しているOracle HTTP Serverポート(ポート80など)に対しファイアウォールを開きます。
ファイアウォールを使用している場合は、Oracleで使用しているOracle HTTP Server SSLポート(ポート4443など)に対しファイアウォールを開きます。HTTPS環境では、Discoverer Viewerによってクライアント・マシンのブラウザでSSLセキュリティ証明書が使用されます。標準以外のまたはプライベートなSSL署名認証を使用している場合は、ブラウザにルート証明書をインストールする必要があります。HTTPSを使用するDiscoverer Viewerのデプロイの詳細は、第2.5項「HTTPSを使用したDiscovererの実行について」を参照してください。
Discoverer Plusでは、標準のJRMP (Java Remote Method Protocol)プロトコル、HTTPプロトコルまたはHTTPSプロトコルを使用して、クライアントをDiscovererサーブレットに接続します。
Discoverer Plusでは、次の2つの通信チャネルが使用されます。
Discoverer Plusクライアントが最初にDiscovererサーブレットに接続する際、Discoverer Plusアプレットがクライアント・マシンにダウンロードおよびインストールされます。
Discoverer PlusアプレットがDiscovererクライアント・マシンにインストールされると、Discoverer Plusクライアント・マシンはJRMP、HTTPまたはHTTPSのいずれかを使用して、Discovererサーブレットと通信します。
デフォルトのOracleインストールでは、Discoverer Plusは環境に応じて次のように構成されます。
イントラネット環境(ファイアウォールの内側)では、特別なセキュリティ構成は必要ありません。Discoverer Plusクライアントは、JRMPプロトコルを使用してDiscovererサーブレットに接続します。
デフォルトのDiscoverer Plus通信プロトコル(「デフォルト」)が選択されていることを確認してください(詳細は、第13.6.3.3項「デフォルト通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」を参照)。
HTTPS環境では、Discoverer Plusによってクライアント・マシンのブラウザでセキュリティ証明書が使用されます。Discoverer Plusを最初にHTTPSで(つまり、SSL (Secure Sockets Layer)モードで)実行する際、Discoverer Plusを実行するすべてのクライアント・マシンで、Webサーバーのセキュリティ証明書をJava仮想マシン(JVM)証明書ストアにインストールする必要があります。
注意: HTTPSを使用するDiscoverer Plusをデプロイするには、Oracle Fusion Middleware Controlで「セキュアなトンネリング」セキュリティ・プロトコルを選択する必要があります(第13.6.3.5項「セキュアなトンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」)。
HTTPSを使用するDiscoverer Plusのデプロイの詳細は、第2.5項「HTTPSを使用したDiscovererの実行について」を参照してください。
ファイアウォールを使用している場合は、Oracleで使用しているOracle HTTP Server SSLポート(UNIX中間層のポート4443またはWindows中間層のポート443など)に対してファイアウォールを開きます。
注意
Discovererアプレットをダウンロードするには、通常、Discovererサーブレットとの通信に使用するプロトコルと同じ通信プロトコルを使用します(詳細は、第13.6.3.1項「Discoverer Plus通信プロトコルの指定について」を参照)。
Discoverer Plusアプレット(Discovererクライアント)およびDiscovererサーブレット(Discoverer中間層)が通信に使用する通信プロトコルは、Fusion Middleware Controlを使用して指定できます。次の3つの通信プロトコル・オプションがあります。
デフォルト
Discoverer Plusアプレットが、Discovererサーブレットと通信するために、まずJRMPの使用を試み、失敗した場合にHTTPまたはHTTPS (URLによる)の使用を試みるように設定する場合は、このオプションを指定します。
「デフォルト」通信プロトコル・オプションの利点は、クライアント・ブラウザがファイアウォールの内側または外側のどちらで実行されているかにかかわりなく、Discoverer Plusが動作する点です。ただし、JRMPが最初に試行されるため、ファイアウォールの外側からの初期接続時は動作が遅くなります。
このオプションの指定の詳細は、第13.6.3.3項「デフォルト通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」を参照してください。
トンネリング
アプレット自体のダウンロードで使用されたプロトコルと同じプロトコル(URLに応じてHTTPまたはHTTPS)で、Discoverer PlusクライアントがDiscovererサーブレットと通信するように設定する場合は、このオプションを指定します。ファイアウォールが使用されているかどうかにかかわらず、このオプションは動作します。
「トンネリング」通信プロトコル・オプションの利点は、JRMPが最初に試行されて失敗した場合にHTTPまたはHTTPSが再度試行されるというプロセスがないため、「デフォルト」オプションよりも動作が迅速になる点です。
このオプションの指定の詳細は、第13.6.3.4項「トンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」を参照してください。
セキュアなトンネリング
Discoverer Plusクライアントで、Discovererサーブレットとの通信に常にHTTPSを使用する場合は、このオプションを指定します。
「セキュアなトンネリング」通信プロトコル・オプションの利点は、JRMPが最初に試行されて失敗した場合にHTTPSが再度試行されるというプロセスがないため、「デフォルト」オプションよりも動作が迅速になる点です。
このオプションの指定の詳細は、第13.6.3.5項「セキュアなトンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」を参照してください。
注意: HTTPSを使用するDiscoverer Plusをデプロイする場合、エンド・ユーザーはHTTPSのURLを使用する必要があります。エンド・ユーザーがHTTPのURLを使用すると、Discovererは起動しません(HTTPSの問題に関するトラブルシューティングの詳細は、第E.8項「Discoverer PlusでRMIエラーがレポートされる問題」を参照)。
Discoverer Plusの通信プロトコルは、Fusion Middleware Controlで「Discoverer Plus構成」ページを使用して指定します。たとえば、Discoverer Plusデータを暗号化する場合は、Discoverer PlusでHTTPS通信プロトコルを使用するように構成します。
Fusion Middleware ControlでDiscoverer Plus通信プロトコルを表示するには:
Fusion Middleware ControlのDiscovererホームページを表示します(詳細は、第4.1.3項「Fusion Middleware ControlのDiscovererホームページとDiscovererコンポーネント・ホームページを表示する方法」を参照)。
「コンポーネント」領域で「Discoverer Plus」を選択してFusion Middleware Control Discoverer Plusホームページを表示します。
「構成」をクリックして「Discoverer Plus構成」ページを表示します。
デフォルト通信プロトコルを使用するようにDiscoverer Plusをセットアップするには:
Fusion Middleware Controlを表示して、「Discoverer Plus構成」ページの「Discoverer Plus通信プロトコル」領域に移動します(詳細は、第13.6.3.2項「Fusion Middleware Controlの「Discoverer Plus構成」ページ上での通信プロトコルの表示方法」を参照)。
「通信プロトコル」オプションから、「デフォルト」オプションを選択します。
「適用」をクリックして詳細を保存します。
Discoverer Plusのユーザーに、DiscovererサーブレットのURLを提供します。
たとえば、http://<host.domain>:80/discoverer/plus
Discoverer Plusアプレットは、JRMPを使用するよう試みます。JRMPが使用できない場合は、Discovererサーブレットとの通信にはHTTPまたはHTTPS (URLによる)が使用されます。
注意: アプレットがファイアウォールの内側または外側で実行されているかにかかわらず、このオプションは動作します。ただし、JRMPが最初に試行されるため、ファイアウォールの外側からでは動作が遅くなります。このページにある他のオプションの詳細は、第13.6.3.1項「Discoverer Plus通信プロトコルの指定について」を参照してください。
HTTP上でDiscoverer Plusを実行する場合は、「トンネリング」オプションを使用します。
トンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップするには:
Fusion Middleware Controlを表示して、「Discoverer Plus構成」ページの「Discoverer Plus通信プロトコル」領域に移動します(詳細は、第13.6.3.2項「Fusion Middleware Controlの「Discoverer Plus構成」ページ上での通信プロトコルの表示方法」を参照)。
「通信プロトコル」オプションから、「トンネリング」オプションを選択します。
「適用」をクリックして詳細を保存します。
(オプション)ファイアウォールを使用している場合は、必要に応じて、HTTPまたはHTTPSのトラフィックを受け入れるようにファイアウォールの該当するポートを開きます。
Discoverer Plusのユーザーに、DiscovererサーブレットのURLを提供します。
たとえば、http://<host.domain>:80/discoverer/plus
Discoverer Plusアプレットは、アプレット自体をダウンロードするために使用された通信プロトコルと同じ通信プロトコル(HTTPまたはHTTPS)を使用してDiscovererと通信します。ファイアウォールが使用されているかどうかにかかわらず、このオプションは動作します。
HTTPSを使用してDiscoverer Plusを実行する場合は、「セキュアなトンネリング」オプションを使用します。
セキュアなトンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップするには:
Fusion Middleware Controlを表示して、「Discoverer Plus構成」ページの「Oracle BI Discoverer Plus通信プロトコル」領域に移動します(詳細は、第13.6.3.2項「Fusion Middleware Controlの「Discoverer Plus構成」ページ上での通信プロトコルの表示方法」を参照)。
「通信プロトコル」オプションから、「セキュアなトンネリング」オプションを選択します。
「適用」をクリックして詳細を保存します。
(オプション)ファイアウォールを使用している場合は、必要に応じて、HTTPまたはHTTPSのトラフィックを受け入れるようにファイアウォールの該当するポートを開きます。
Discoverer Plusのユーザーに、DiscovererサーブレットのURLを提供します。
たとえば、https://<host.domain>:4443/discoverer/plus
Discoverer Plusアプレットは、Discovererサーブレットとの通信にHTTPSプロトコルを使用します。
Discovererエンド・ユーザーがクライアント・マシン上で初めてDiscoverer Plusを起動する際、デフォルトのセキュリティ証明書を受け入れるかどうかの確認がプロンプトされます。Discovererエンド・ユーザーは、「セキュリティの警告」ダイアログで「はい」を選択する前に、クライアント・マシンにDiscoverer Plusセキュリティ証明書をインストールする必要があります(詳細は、第2.5.1項「Discoverer Plusクライアント・マシンにセキュリティ証明書をインストールする方法」を参照)。
Oracle BI DiscovererをホストするOracle WebLogic Serverのフロントエンド処理に、Oracle HTTP ServerとOracle Web Cacheを使用している場合は、エンドツーエンドのSecure Sockets Layer (SSL)を有効にするために、次の手順を実行する必要があります。
シングル・サインオンのSSLを有効にします。詳細は、「シングル・サインオン・サーバーのSSLの有効化」を参照してください。
Oracle Web Cacheエンド・ポイントのSSLを有効にします。Web CacheのインバウンドSSLおよびアウトバウンドSSLを有効にするには、『Oracle Fusion Middleware管理者ガイド』のOracle Web CacheエンドポイントのSSLを有効化する方法に関する項で説明する手順を実行してください。
Oracle HTTP Server仮想ホストのSSLを有効にします。Oracle HTTP Server仮想ホストのインバウンドSSLおよびアウトバウンドSSLを有効にするには、『Oracle Fusion Middleware管理者ガイド』のOracle HTTP Server仮想ホストのSSLを有効化する方法に関する項で説明する手順を実行してください。
シングル・サインオンが有効化されている場合は、仮想ホスト構成を変更します。詳細は、「仮想ホスト構成の変更」を参照してください。
パートナ・アプリケーションをSSOサーバーに再登録します。詳細は、「mod_ossoの再登録」の項を参照してください。
Oracle Access Managerを使用している場合は、Oracle Fusion Middleware Oracle Access ManagerおよびOracle Security Token Service管理者ガイドのOSSOエージェント(mod_osso)の登録に関する項を参照してください。
WebLogicプラグイン・パラメータを有効にします。詳細は、「WebLogicプラグインの有効化」を参照してください。
シングル・サインオン・サーバーのSSLの有効化
手動でSSLを有効にする場合は、Oracle Application Server Single Sign-On管理者ガイドでSSLの有効化に関する説明を参照してください。プロキシ・サーバーの背後にOracleAS Single Sign-Onを構成する場合は、次の場所にあるOracle Application Server Single Sign-On管理者ガイドで、プロキシ・サーバーを使用したOracleAS Single Sign-Onのデプロイに関する説明を参照してください。
http://download.oracle.com/docs/cd/B28196_01/idmanage.1014/b15988/toc.htm
注意: OracleAS Single Sign-On中間層のパートナ・アプリケーションは非SSLのままであるため、このアプリケーションを非SSLとして再登録する必要があります。そのため、
|
仮想ホスト構成の変更
SSL接続を使用している場合は、次に示すように、Oracle HTTP Serverのssl.conf
ファイルにServerName
エントリを追加して、Oracle Web Cacheのリスニング・ポートを指定します。
Oracle Enterprise Manager 11g Fusion Middleware Controlで、Oracle HTTP Serverホームページを開いて、「管理」→「拡張構成」の順に選択します。
ssl.confファイルを選択して、仮想ホストのServerName
エントリを追加し、次の例に示すように、Oracle Web CacheのSSLリスニング・ポートを指定します。
<VirtualHost *:OHS_listening_port
>UseCanonicalName On
ServerName https://www.abc.com:8094
<IfModule ossl_module> SSLEngine on SSLVerifyClient None SSLCipherSuite SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SH A,SSL_RSA_WITH_DES_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_C BC_SHA SSLCRLCheck Off SSLWallet "wallet_location"
次の例に示すように、wallet_location
ではカスタム・ウォレットのフルパスを指定します。
SSLWallet "$ORACLE_INSTANCE/config/OHS/ohs1/keystores/default"
mod_ossoの再登録
Oracleシングル・サインオン認証を有効にしている場合(mod_ossoが登録済の場合)は、次の手順を実行して、mod_ossoを再登録します。
OracleAS Single Sign-Onホストで、環境変数のORACLE_HOME
とORACLE_SID
を設定します。
OracleAS Single Sign-Onホストで、-remote_midtier
オプションを使用してssoreg
スクリプトを実行します。このスクリプトは、次の場所にあります。
(UNIX) ORACLE_HOME/sso/bin/ssoreg.sh (Windows)ORACLE_HOME\sso\bin\ssoreg.bat
LINUXの場合の例:
$ORACLE_HOME/sso/bin/ssoreg.sh
-site_name www.abc.com
-config_mod_osso TRUE
-mod_osso_url https://www.abc.com:8094
-update_mode MODIFY
-remote_midtier
-config_file ORACLE_INSTANCE
/config/OHS/ohs1/osso.conf
-admin_info cn=orcladmin
WebキャッシュのSSLポート用に仮想ホストを構成したOracle HTTP Serverインスタンスに、osso.conf
ファイルをコピーします(ORACLE_INSTANCE
/config/OHS/ohs1/osso.conf
)。
次のコマンドを使用して、Oracle HTTP Serverを再起動します。
ORACLE_HOME
/bin/opmnctl stopallORACLE_HOME
/bin/opmnctl startall
WebLogicプラグインの有効化
SSL対応のDiscovererの場合、Oracle WebLogic Server管理サーバーと管理対象サーバー(WLS_DISCO)のWebLogic Plug-In Enabled
オプションを有効にする必要があります。Oracle WebLogic Server管理コンソールからWebLogic Plug-In Enabled
オプションを構成する方法の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのサーバー: 構成: 一般に関する項を参照してください。
http://download.oracle.com/docs/cd/E14571_01/apirefs.1111/e13952/core/index.html
.
注意: この項の内容は、DiscovererインストールがOracle Internet DirectoryスキーマおよびDiscovererスキーマと関連付けられている場合にのみ適用されます。詳細は、第1.3項「Oracle BI Discovererのインストールについて」を参照してください。
Oracle Identity Management Infrastructureは、次のサービスを含む複数のサービスを提供します。
Oracleシングル・サインオン
Oracle Access Manager
Oracle認証局
Oracle Internet Directory
Oracle Delegated Administration Services
Oracle Directory Integration and Provisioning
LDAP Developer Kit
Discovererでシングル・サインオンを使用するように指定すると、ユーザーが他のWebアプリケーションと同じユーザー名とパスワードでDiscovererにアクセスできるようになります。
注意:
|
シングル・サインオンのオプションと推奨事項の詳細は、Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイドの「シングル・サインオンのインストールの評価」を参照してください。
この項の内容は次のとおりです。
Oracle Identity Management Infrastructureの詳細は、Oracle Fusion Middleware Oracle Identity Managementスタート・ガイドを参照してください。
この項では、Oracleシングル・サインオンの概要と、Discovererとの併用方法について説明します。
Oracleシングル・サインオンは、Oracle Fusion Middlewareのコンポーネントの1つです。このコンポーネントを使用すると、ユーザーは、ユーザー名およびパスワードを一度入力するだけで、複数のWebアプリケーション(Oracle BI DiscovererやOracle Portalなど)にアクセスできるようになります。
注意: Oracleシングル・サインオンは、Oracleシングル・サインオン・サーバーを使用して実装されます。
Oracleをインストールすると、Oracleシングル・サインオン・サービスが自動的にインストールされますが、デフォルトでは、Discovererに対して有効化されません。Oracleシングル・サインオンを有効にする方法の詳細は、第13.8.1.2項「Discovererに対しシングル・サインオンを有効および無効にする方法」を参照してください。
Discoverer接続は、シングル・サインオンを使用している環境でも使用していない環境でも動作します。Oracleシングル・サインオン環境では、Discovererエンド・ユーザーがOracleシングル・サインオンによる認証を受けていない状態でDiscovererを起動すると、シングル・サインオン用の詳細情報(ユーザー名とパスワード)を入力するように要求されます。シングル・サインオン用の詳細情報を入力すると、Discoverer接続ページが表示できるようになり、ユーザー名またはパスワードを再度入力することなくDiscovererを起動できます。
Oracle BI DiscovererをOracle Portalおよびシングル・サインオンと連動させる方法の詳細は、第13.8.1.3項「Oracle Portalおよびシングル・サインオンとともに使用した場合のDiscovererの動作の例」を参照してください。
注意
Oracleシングル・サインオンは、BIS、EDWまたはDBIのWebページ内では機能しません。
Oracleシングル・サインオンは、Discoverer PlusとDiscoverer Viewerの両方に対して有効にできますが、単一のDiscovererコンポーネントに対して有効にできません。たとえば、Discoverer Plusのみに対してOracleシングル・サインオンを有効にできません。
Oracleをインストールすると、Oracleシングル・サインオン・サービスが自動的にインストールされますが、デフォルトでは、Discovererに対して有効化されません。Oracleシングル・サインオンを有効にする方法の詳細は、第13.8.1.2項「Discovererに対しシングル・サインオンを有効および無効にする方法」を参照してください。
Oracle BI Discovererインスタンスでシングル・サインオンを有効および無効にします。
シングル・サインオンを有効および無効にするには:
テキスト・エディタでmod_osso.confファイルを開きます(構成ファイルの場所の詳細は、第A.1項「Discovererファイルの場所」を参照)。
Discovererに対しシングル・サインオンを有効にするには、ファイルの最後に次のテキストを追加します。
<Location /discoverer/plus>
require valid-user AuthType Osso
</Location> <Location /discoverer/viewer>
require valid-user AuthType Osso
</Location> <Location /discoverer/app> require valid-user AuthType Osso </Location>
Discovererに対しシングル・サインオンを無効にするには、ファイルから次のテキストを削除します。
<Location /discoverer/plus>
require valid-user AuthType Osso
</Location> <Location /discoverer/viewer>
require valid-user AuthType Osso
</Location>
<Location /discoverer/app> require valid-user AuthType Osso </Location>
mod_osso.conf
ファイルを保存します。
次に示すopmnctl
コマンドを実行してOracle HTTP Serverを再起動します(このコマンドは、ORACLE_INSTANCE
\bin
ディレクトリにあります)。
opmnctl stopall opmnctl startall
注意
/discoverer/portletproviderのURLに対しOracleシングル・サインオンを有効にしないでください。Discovererでは、/discoverer/portletproviderのURLの保護をOracle Portalに依存しています。言い換えると、次のようにLocation値を/discovererとして指定しないでください。
<Location /discoverer/portletprovider>
require valid-user
AuthType Osso
</Location>
/discoverer/wsiのURLに対しOracleシングル・サインオンを有効にしないでください。Discovererでは、/discoverer/wsiのURLの保護をOracle Bi Publisherに依存しています。言い換えると、次のようにLocation値を/discovererとして指定しないでください。
<Location /discoverer/wsi>
require valid-user
AuthType Osso
</Location>
mod_osso.conf
ファイルのOssoIPCheck
パラメータ値がoffに設定されていることを確認します。
Oracle Web Cacheを使用してDiscoverer Viewerのページをキャッシュする場合は、シングル・サインオンが有効になっているとDiscovererのキャッシュは動作しないことに注意してください。
Oracle PortalページのポートレットにDiscovererのコンテンツを公開する場合、ポータル・ユーザーにDiscovererワークブックおよびワークシートへのアクセス権を付与します。ただし、Discovererワークブックにアクセスするポータル・ユーザーは、データベース・アクセス権を持っているデータしか参照できません。つまり、複数のユーザーが同じワークブックにアクセスする場合でも、付与されているデータベース権限に応じて参照できるデータがそれぞれ異なることがあります。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Discoverer Portlets公開ガイド』を参照してください。
Oracle Portalとともに使用した場合のOracle BI Discovererの動作を説明するために、次のような例を想定してみます。
2人のシングル・サインオン・ユーザーがいるとします。
ユーザーSSO-Aは、DBUSER-A@discodb, EUL-Marketingを指しているプライベート接続Conn-Aを持っています。
ユーザーSSO-Bは、DBUSER-B@discodb, EUL-Marketingを指しているプライベート接続Conn-Bを持っています。
ユーザーSSO-Aが、接続Conn-Aを使用して、Workbook 1およびWorkbook 2という2つのワークブックをMarketing EUL内に作成します。また、ユーザーSSO-Aは、Discoverer Plusを使用してWorkbook 2をDBUSER-Bと共有させます。
一方、ユーザーSSO-Bは、接続Conn-Bを使用して、Workbook 3およびWorkbook 4という2つのワークブックをMarketing EUL内に作成します。さらに、ユーザーSSO-Bは、Discoverer Plusを使用してWorkbook 4をDBUSER-Aと共有させます。
次の図は、この状況を示したものです。
ここで、ユーザーSSO-AがConn-Aを使用してワークブックのリスト・ポートレットを作成し、Discoverer Portlet Providerの「データベース接続を選択」ページにあるログイン・ユーザー・セクションで「ユーザーのデータベース接続を使用」オプションを選択するとします。
ユーザーSSO-Aがワークシートのリスト・ポートレットにアクセスすると、次のワークブック内のワークシートが使用できます。
Workbook 1
Workbook 2
DBUSER-B.Workbook 4
ユーザーSSO-Bが同じワークシートのリスト・ポートレットにアクセスすると、次のワークブック内のワークシートが使用できます。
Workbook 3
Workbook 4
DBUSER-A.Workbook 2
次の図は、この状況を示したものです。
Oracle Access Manager (OAM)は、Oracle Fusion Middlewareに含まれる1つのコンポーネントです。このコンポーネントにより、複数のWebアプリケーションに単一のユーザー名とパスワードを使用してアクセスするためのシングル・サインオン・ソリューションを実現します。エンタープライズ規模のシングル・サインオン・ソリューションには、Oracle Access Managerをお薦めします。この章では、Oracle Access ManagerとOracle BI Discovererを併用する方法について説明します。この項の内容は次のとおりです。
Oracle BI Discoverer 11gリリース1 (11.1.1)では、Oracle Access Manager 11gを使用したシングル・サインオンをサポートしています。Oracle BI Discovererをインストールしてから、Oracle Access Manager 11gを構成することをお薦めします。次に示す手順を実行して、Oracle Access ManagerとOracle BI Discovererをインストールして使用します。
Oracle BI Discovererをインストールして構成します。詳細は、Oracle Fusion Middleware Oracle Portal、Forms、ReportおよびDiscovererインストレーション・ガイドを参照してください。
Oracle Access Managerをインストールします。インストール手順は、Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイドの「Oracle IdentityおよびAccess Management (11.1.1.5.0)のインストール」を参照してください。
Oracle Access Managerを構成して、デプロイ後にOracle Access Managerサーバーを確実に実行します。詳細は、Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイドの「Access Managerの構成」を参照してください。
OSSOエージェント(mod_osso)をOAM 11gに登録します。OSSOエージェントの登録方法の詳細は、Oracle Fusion Middleware Oracle Access ManagerおよびOracle Security Token Service管理者ガイドのOSSOエージェント(mod_osso)の登録に関する項を参照してください。
mod_osso.conf
ファイルを次に示すように編集します。
mod_osso.conf
ファイルを
$MW_HOME/instance_name/config/OHS/ohs1/backup/
disabled
ディレクトリから
$MW_HOME/instance_name/config/OHS/ohs1/moduleconf
ディレクトリにコピーします。
osso
という名前のフォルダを$MW_HOME/instance_name/config/OHS/ohs1/
の下に作成して、登録後に生成されたosso.conf
ファイルをコピーします。
$MW_HOME/instance_name/config/OHS/ohs1/moduleconf
にあるmod_osso.conf
ファイルを編集して、次に示す行を追加します。
LoadModule osso_module "${ORACLE_HOME}/ohs/modules/mod_osso.so" <IfModule osso_module> OssoIpCheck off OssoIdleTimeout off OssoHttpOnly off OssoSecureCookies off OssoConfigFile MW_Home1/asinst_1/config/OHS/ohs1/osso/osso.conf <Location /discoverer/plus> require valid-user AuthType Osso </Location> <Location /discoverer/viewer> require valid-user AuthType Osso </Location> <Location /discoverer/app> require valid-user AuthType Osso </Location> </IfModule>
mod_osso.conf
ファイルを保存します。
次に示すopmnctl
コマンドを実行してOracle HTTP Serverを再起動します(このコマンドは、ORACLE_INSTANCE\bin
ディレクトリにあります)。
opmnctl stopall opmnctl startall
OSSOエージェントをホストしているOracle Access Managerサーバーを再起動します。
Oracle BI DiscovererのURLに、OAM認証画面からアクセスできるかどうかを確かめます。
Oracle BI Discoverer 11gと併せてインストールしたOracleシングル・サインオン10gサービスが、すでに構成されているときに、DiscovererにOAMシングル・サインオン・ソリューションを使用する場合は、既存のOracleシングル・サインオン10gリリース2をOracle Access Manager 11gにアップグレードしてください。OAMへのアップグレードの詳細は、Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイドの「Oracleシングル・サインオン環境のアップグレード」を参照してください。
注意: 既存のOracleシングル・サインオン10gのホスト名とポート番号を維持する必要があります。同じホスト名とポート番号を使用して、OAM 11gをインストールしてください。 |
Oracleシングル・サインオンからOracle Access Managerへのアップグレード後に、既存のosso.conf
ファイルを、アップグレード処理中に生成された新しい構成ファイルに置き換える必要があります。アップグレード処理中に作成された構成ファイルは、ORACLE_HOME
/upgrade/temp/oam
ディレクトリ内にDiscovererinstance_hostname_
osso.conf
という形式の名前で格納されています。このファイルの名前をosso.conf
に変更して、そのosso.conf
ファイルをORACLE_INSTANCE
/config/OHS/ohs1
ディレクトリにコピーします。このディレクトリ内にある既存のosso.conf
ファイルを、新しいファイルで置き換えます。
注意: 新しい構成ファイルに置き換える前に、既存の |
Oracle BI Discovererのシングル・サインオンを有効および無効にするには、mod_osso.confファイルを編集します。この手順の詳細は、第13.8.1.2項「Discovererに対しシングル・サインオンを有効および無効にする方法」を参照してください。
Discovererをシングル・サインオンまたはOracle Access Managerとともにデプロイしない場合、エンド・ユーザーはプライベート接続を使用するたびにデータベース・パスワードの確認が必要になります。つまり、Discovererエンド・ユーザーがブラウザ・セッションで最初にプライベート接続を選択する際に、データベース・パスワードの確認が要求されます。
エンド・ユーザーがWebブラウザをいったん閉じてから、再度Webブラウザを起動すると(つまり、新しいブラウザ・セッションを作成すると)、データベース・パスワードの確認が要求されます。パブリック接続では、エンド・ユーザーがパスワードを入力する必要はありません。詳細は、第3.2項「Discoverer接続のタイプ」を参照してください。
注意
Oracleシングル・サインオンを使用していない環境でプライベート接続を保存するには、WebブラウザでCookieを有効にしておく必要があります。
Oracleシングル・サインオンを使用していない環境では、Discovererエンド・ユーザーは、現行のマシンと現行のWebブラウザを使用して作成したプライベート接続にしかアクセスできません。エンド・ユーザーが異なるマシンまたは異なるWebブラウザを使用する場合は、プライベート接続を作成しなおす必要があります。
この項では、Oracleシングル・サインオンの詳細を使用して、Discovererを仮想プライベート・データベース(VPD)とともに使用する方法について説明します。この項の内容は次のとおりです。
第13.9.4項「GUID、SSOまたはOAMユーザー名に基づいてデータを表示するようにワークシート・ポートレットを設定する方法」
第13.9.5項「「データベース接続を選択」ページにある「ログインしているユーザー」リージョンの他のオプションの使用方法」
第13.9.6項「GUID、SSOまたはOAMユーザー名を使用するためにデータベースのLOGONと後続のトリガーを変更する方法」
注意
Discovererは、マルチディメンション・データ・ソースに対して実行している場合(Discoverer Plus OLAP内など)には、シングル・サインオン詳細情報の伝播をサポートしません。データベースIDを使用し、Discoverer Plus OLAPセッションの開始時にデータベース内の有効範囲を管理するD4O_AUTOGOファイルを使用するVPDの作成が可能です。詳細は、関連するOracleデータベースのドキュメントを参照してください。
Discoverer Plus OLAPの構成の詳細は、第5章「Discoverer Plus OLAPの構成」を参照してください。
Discovererでは、Oracleシングル・サインオンのIDのみを使用して、アクセス可能なデータを決定します。また、データベースのユーザー名とロールを内部的に使用して、ビジネスエリアへのアクセス、ワークブックの共有およびスケジュールを管理します。つまり、Oracleシングル・サインオン・ユーザーに対するVPDポリシーを作成しても、Discovererは、Oracleシングル・サインオンのIDに基づいて表示するワークブックのリストを制限しません。Discovererは、ログインに使用されたOracleシングル・サインオン・ユーザー名には関係なく、現在のユーザー名/データベース接続で使用可能なワークブックをすべて表示します。ただし、Oracleシングル・サインオン・ユーザーが表示できるのは、そのOracleシングル・サインオン・ユーザーに対して定義されたVPDポリシーに準拠したワークシート・データのみとなります。
Oracleデータベース(Enterprise Editionリリース1以上)の強力な仮想プライベート・データベース(VPD)機能によって、カスタム・セキュリティ・ポリシーを定義して実装できます。特に、VPD機能を使用すると、ユーザーのセッション情報(アプリケーション・コンテキストと呼ばれます)の属性に基づくファイングレイン・アクセス制御を強制適用できます。VPD機能は、現在ログインしているユーザーのOracleシングル・サインオンのIDを使用して、データへのアクセスを制御する手段として一般的に採用されています。VPDの設定の詳細は、Oracle Databaseアドバンスト・アプリケーション開発者ガイドを参照してください。
DiscovererがOracleシングル・サインオン認証を必要とするように構成されている場合は、次の値の1つを(組込みのアプリケーション・コンテキストUSERENVのCLIENT_IDENTIFIER属性として)データベースに渡すことができます。
Discovererエンド・ユーザーのOracleシングル・サインオン・ユーザー名に関連付けられたグローバル・ユーザーID (GUID)
このオプションは、Oracle Fusion Middleware Controlの「Discoverer管理」ページの「ユーザーID」フィールドでGUIDが選択されている場合にDiscoverer (リリース11.1.1以上)に対して有効です。
Discovererエンド・ユーザーのOracleシングル・サインオン・ユーザー名
このオプションは、次のいずれかに対して有効です。
Discoverer (11.1.1より以前のリリース): DiscovererがOracleシングル・サインオンを必要とするように構成されている場合
Discoverer (リリース11.1.1以上): Oracle Fusion Middleware Controlの「Discoverer管理」ページの「ユーザーID」フィールドでSSOユーザー名が選択されている場合
GUIDまたはOracleシングル・サインオン・ユーザー名に基づくVPDポリシーがデータベースに実装されている場合、Discovererワークシートに返されるデータは、それぞれのGUIDまたはOracleシングル・サインオン・ユーザーがアクセスを許可されたデータに限定されます(前述の条件にも依存します)。
返されるデータをGUIDまたはOracleシングル・サインオン・ユーザー名を使用してさらに制御するために、データベースのLOGONと後続のトリガーおよびDiscovererトリガー(eul_trigger$post_login)の両方にユーザー定義のPL/SQL文をオプションで追加できます。Discovererトリガーとデータベース・トリガーは、別々に使用することも一緒に使用することもできます。
注意: Discoverer (リリース11.1.1以上)でOracleシングル・サインオン・ユーザー名によってDiscovererデータを制限できるようにするには、Oracle Fusion Middleware Controlの「Discoverer管理」ページの「ユーザーID」フィールドでSSOユーザー名を選択する必要があります。
Acme社のDiscovererマネージャは、次のタスクを実行します。
DiscovererのURLへのアクセスにOracleシングル・サインオン認証が必要となるように、Discoverer中間層のマシンを構成します。
「売上高」というワークブックにアクセスできる「分析」というDiscovererパブリック接続を作成します。
ワークブックの実表に対するVPDポリシーを作成します。VPDポリシーは、返されるデータを「CONTEXT1」という変数の値に基づいて決定します。
変数CONTEXT1をGUIDの値に設定するデータベースのLOGONトリガーを作成します(値は、Discovererからデータベースに渡されるアプリケーション・コンテキスト情報から抽出されます)。
Oracleシングル・サインオン・ユーザー名によってDiscovererデータを制限できるようにするには、手順4でGUIDをOracleシングル・サインオン・ユーザー名に置き換えます。
ACME社では、Fred BloggsとJane Smithの2人のDiscovererユーザーが「売上高」ワークブックを使用します。この2人のユーザーの典型的なワークフローは次のとおりです。
ユーザー「Fred.Bloggs」は、Oracleシングル・サインオンを介して認証され、Discovererのトップ・レベルのURLにアクセスします。
Fredは、パブリック接続「分析」を選択し、ワークブック「売上高」を開きます。
Fredは、デフォルトのワークシートにこのデータを表示した後、ログアウトします。
ユーザー「Jane.Smith」は、Oracleシングル・サインオンを介して認証され、Discovererのトップ・レベルのURLにアクセスします。
Janeは、パブリック接続「分析」を選択し、ワークブック「売上高」を開きます。
Janeは、デフォルトのワークシートにこのデータを表示します。
同一のデータベース接続、ワークブック、ワークシートおよびデータベース問合せを使用していても、JaneにはFredとは異なるデータが表示されます。この違いは、GUID (またはOracle Single-Sign-Onユーザー名)に基づくVPDポリシーによって決定されます。
Discovererワークシートに表示するデータをOracleシングル・サインオン・ユーザー名を使用して制御する前に、Discovererマネージャは次のタスクを実行します。
DiscovererのURLへのアクセスにOracleシングル・サインオン認証が必要となるように、Discoverer中間層のマシンを構成します(詳細は、第13.8.1.2項「Discovererに対しシングル・サインオンを有効および無効にする方法」を参照)。
1つ以上のワークブックにアクセスできるDiscovererパブリック接続を作成します(詳細は、第3.6項「パブリック接続の作成方法」を参照)。
VPDポリシーが存在しない場合は、ワークブックの実表に対するVPDポリシーを作成します(VPDポリシーの作成方法の詳細は、Oracle Databaseアドバンスト・アプリケーション開発者ガイドを参照)。
(オプション) Oracleシングル・サインオン・ユーザー名を使用するDiscovererワークシート・ポートレットを構成します(詳細は、第13.9.4項「GUID、SSOまたはOAMユーザー名に基づいてデータを表示するようにワークシート・ポートレットを設定する方法」を参照)。
(オプション) Oracleシングル・サインオン・ユーザーが使用可能なデータをOracleシングル・サインオン・ユーザー名を使用してさらに制御するために、データベースのLOGONと後続のトリガーを作成または変更します(詳細は、第13.9.6項「GUID、SSOまたはOAMユーザー名を使用するためにデータベースのLOGONと後続のトリガーを変更する方法」を参照)。
(オプション) eul_trigger$post_loginトリガーで実行する関数を作成し、Discoverer Administratorを使用して登録します(詳細は、第13.9.7項「eul_trigger$post_loginトリガーの使用方法」を参照)。
ユーザーがアクセスできるデータをGUID、Oracleシングル・サインオン(SSO)またはOracle Access Manager (OAM)のユーザー名を使用して決定するVPDポリシーをデータベースに作成した後は、現在のSSO/OAMのユーザー名でアクセスできるデータのみを表示するDiscovererワークシート・ポートレットを設定できます。
SSOまたはOAMのユーザー名でアクセスできるデータのみが表示されるように指定するには:
Discovererワークシート・ポートレットの「データベース接続を選択」設定ページの「ログインしているユーザー」リージョンで、次の接続オプションを指定します。
「公開しているユーザーの接続を使用して異なるデータを表示」オプションを選択します。
このオプションを選択すると、ワークシート・ポートレット・ユーザーのOSSOまたはOAMのユーザー名がDiscovererからデータベースに渡されます。VPDポリシーでは、GUIDまたはSSO/OAMのユーザー名を使用して、ワークシート・ポートレットに返されるデータを制限します。
各自のデータベース・ユーザー名またはSSO/OAMのユーザー名に関係なく、すべてのユーザーにデータベースの同じデータを常に表示する場合は、Discovererワークシート・ポートレットの「データベース接続を選択」設定ページで次の操作を実行します。
「<公開したユーザーの接続>を使用してすべてのユーザーに同じデータを表示」オプションを選択します。
各自のデータベース・ユーザー名またはSSO/OAMのユーザー名に関係なく、最初はデータベースの同じデータを表示するが、ユーザーが別のデータベース・ユーザー名を指定できるようにする場合は、次の操作を実行します。
「ユーザーにデータベース接続のカスタマイズを許可し、異なるデータを表示」オプションを選択します。
「<公開したユーザーの接続>を使用してデフォルト・データを表示」チェック・ボックスを選択します。
Discovererから渡されるGUIDまたはSSO/OAMのユーザー名を使用して、SSO/OAMユーザーが使用可能なデータをさらに制御するために、データベースのLOGONと後続のトリガーを変更できます。たとえば、GUIDまたはSSO/OAMのユーザー名を取得してアプリケーション固有の初期化を実行するカスタムPL/SQL関数をコールできます。
GUID、SSOまたはOAMのユーザー名を使用するようにデータベース・トリガーを変更するには:
適切なデータベース・トリガーを作成します。
GUIDまたはSSO/OAMユーザー名を操作するために必要なコードを追加します。
ヒント: Discovererから渡されたGUIDまたはSSO/OAMユーザー名を返すには、次の関数呼出しを使用して、USERENVアプリケーション・コンテキストのネームスペースにあるCLIENT_IDENTIFIER属性に対する問合せを実行します。
SYS_CONTEXT('USERENV', 'CLIENT_IDENTIFIER')
注意
Discovererから渡されるGUIDまたはSSO/OAMユーザー名は、データベースのLOGONトリガーを実行した時点で使用可能になります。
DiscovererがOracleシングル・サインオンを使用するように構成されていない場合、SYS_CONTEXT関数呼出しはNULLを返します。
SSOユーザー名は、Oracle9i (リリース1以上)データベースで使用できます。
データベースのLOGONと後続のトリガーのかわりに、または一緒にeul_trigger$post_loginトリガーを使用すると、GUIDまたはOracleシングル・サインオン・ユーザー名に基づいてDiscovererワークシートに表示される情報をさらに制御できます。次の場合は、データベース・トリガーのかわりにeul_trigger$post_loginトリガーを使用します。
トリガー・コードを、すべてのデータベース・ユーザーではなく、Discovererユーザーのみに反映する場合
DBA権限がないためにデータベースのLOGONと後続のトリガー・コードを変更できない場合
eul_trigger$post_loginトリガーを使用するには:
データベースに次のとおりのPL/SQL関数を定義します。
戻り型がinteger型
引数を取らない
GUIDまたはOracleシングル・サインオン・ユーザー名を操作するために必要なコードを追加します。
ヒント: Discovererから渡されたGUIDまたはOracleシングル・サインオン・ユーザー名を返すには、次の関数呼出しを使用して、USERENVアプリケーション・コンテキストのネームスペースにあるCLIENT_IDENTIFIER属性に対する問合せを実行します。
SYS_CONTEXT('USERENV', 'CLIENT_IDENTIFIER')
この関数をDiscoverer Administratorに登録し、次のプロパティを指定します。
名前: eul_trigger$post_login
戻り値のデータ型: integer
引数: none
PL/SQL関数の登録方法とDiscoverer EULトリガーの使用方法は、『Oracle Fusion Middleware Oracle Business Intelligence Discoverer管理者ガイド』を参照してください。
pref.txtファイルにDatabase/EnableTriggersプリファレンスが存在する場合は、値を0 (ゼロ)以外に設定します。
注意
pref.txtファイルにDatabase/EnableTriggersプリファレンスが存在しない場合は、プリファレンスを作成しないでください。
Database/EnableTriggersプリファレンスが存在し、その値を0 (ゼロ)以外の値に変更する必要がある場合は、後で次の操作を実行する必要があります。
applypreferencesスクリプトを実行して、プリファレンスの変更を適用します。
変更した設定を有効にするために、Oracle BI Discovererサービスを一度停止して再起動します。
この項では、セキュリティに関する一般的な質問と回答を示します。
ファイアウォールとは、インターネットと企業ネットワーク間のセキュリティ・ポリシーを確立するためのシステム、または複数のシステムの集まりを指します。
つまり、ファイアウォールはネットワークを囲む電子的な壁であり、許可されていないアクセスからネットワークを保護します。
インターネット経由で通信するWebサーバー・マシンの場合、そのOracle HTTP Serverとインターネットの間にファイアウォールを設置するのが一般的です。これは、サーバー側のファイアウォールと呼ばれます。このWebサーバー・マシンに接続する他の企業(または遠隔地にある部門)は、クライアント側のファイアウォールと呼ばれる専用のファイアウォールを設置するのが一般的です。企業のファイアウォール・ポリシーに準拠した情報はファイアウォールを通過することが許されるため、サーバー・マシンとクライアント・マシンとは通信できます。
非武装地帯(DMZ)とは、もう1つのセキュリティ・レベルを提供するファイアウォール構成のことです。この構成では、保護されているネットワークとインターネットとの間にあるエクストラネットがDMZです。DMZ内部のリソースは、パブリック・インターネットから参照可能ですが、保護されています。DMZには、企業のパブリックWebサイト、ファイル転送プロトコル(FTP)サイトおよびシンプル・メール転送プロトコル(SMTP)のホストとなるサーバーが存在するのが一般的です。
ファイアウォールのポリシーは企業によって異なります。また、様々なファイアウォール・パッケージが市販されています。
ファイアウォールの構成は、DMZ内部のリソースが漏れた場合でも、内部ネットワークとそのネットワーク上の機密データの損害をファイアウォールが最小限に抑えるように設計するのが理想です。これには、次の2つの手順があります。
機密上重要なプライベート・リソース(最低でも、データベースとアプリケーション・ロジック)を、DMZから内部ファイアウォールの背後にある内部ネットワークに移動します。
機密上重要なプライベート・リソースへの、DMZからのアクセスおよび内部ネットワークからのアクセスを制限します。
HTTPSプロトコルは、クライアントとサーバー間でセキュリティ保護された接続を確立することを目的としたSecure Sockets Layer (SSL)と呼ばれる業界標準プロトコルです。
SSLプロトコルには次のようなセキュリティ機能が備わっており、インターネットなどの保護されていないネットワークでも機密データを伝送できます。
認証: クライアントがサーバーを識別し、サーバーが偽のサーバーでないことを確認できます(さらに、クライアントがサーバーを識別して認証できます)
プライバシ: クライアントおよびサーバー間で伝送されるデータが暗号化されるので、第三者がこのメッセージを傍受しようとしても解読できません
整合性: 暗号化されたデータの受信者は、そのデータが第三者により破損または変更されたかどうかがわかります
次の場合は、DiscovererでSSLが有効になっています。
Discoverer Plusを起動するためのURLがhttps://で始まり、アプレットのステータス・バーの左側に閉じた鍵のマークが表示されている場合。
注意: HTTPSを使用するDiscoverer Plusをデプロイするには、Oracle Fusion Middleware Controlで「セキュアなトンネリング」セキュリティ・プロトコルを選択する必要があります(第13.6.3.5項「セキュアなトンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」)。
Discoverer Viewerを起動するためのURLがhttps://で始まり、ブラウザのステータス・バーに閉じた鍵のマークまたはそれに相当する記号(ブラウザによる)が表示されている場合。
イントラネットでDiscovererが動作するように構成する手順は、次のとおりです。
Discoverer Viewer
イントラネット(ファイアウォールの内側)にDiscoverer Viewerをデプロイする場合は、Oracleのインストール後に特別な構成は必要ありません。Discoverer Viewerでは、HTTP接続が使用されます。
Discoverer Plus
イントラネット(ファイアウォールの内側)にDiscoverer Plusをデプロイする場合は、Oracleのインストール後に特別な構成は必要ありません。Discoverer Plusでは、JRMPによる直接接続が使用されます。
ファイアウォールを通して、HTTPまたはHTTPSでDiscovererが動作するように構成する手順は、次のとおりです。
Discoverer Viewer
ファイアウォールがHTTPトラフィックを通過させるように設定されている場合は、Discoverer Viewerで特別な構成は必要ありません。
Discoverer Plus
ファイアウォールがHTTPまたはHTTPSトラフィックを通過させるように設定されている場合は、Discoverer Plusで特別な構成は必要ありません。
初期接続時のパフォーマンスを向上させるには、Discoverer Plusの通信プロトコルを次のいずれかに変更します。
HTTPの場合は、通信プロトコルを「トンネリング」に設定します。これにより、Discovererクライアントが、まずJRMPで接続を試行してからHTTPで接続するということがなくなります(詳細は、第13.6.3.4項「トンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」を参照)。
HTTPSの場合は、通信プロトコルを「セキュアなトンネリング」に設定します。これにより、Discovererクライアントが、まずJRMPで接続を試行し次にHTTPを試行して、その後にHTTPSで接続するということがなくなります(詳細は、第13.6.3.5項「セキュアなトンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」を参照)。
HTTPまたはHTTPSを使用している場合、Discovererは複数のファイアウォールを通して動作します。詳細は、第13.10.5項「ファイアウォールを通したDiscovererの構成方法」を参照してください。
暗号化を使用するようにDiscovererを構成する手順は、次のとおりです。
Discoverer Viewer
HTTPSを使用するようにmod_osslを構成して(詳細は、Oracle Fusion Middleware Oracle HTTP Server管理者ガイドを参照)、HTTPS URL上でDiscoverer Viewerをデプロイします。
Discoverer Plus
HTTPSを使用するようにmod_osslを構成して(詳細は、Oracle Fusion Middleware Oracle HTTP Server管理者ガイドを参照)、HTTPS URL上でDiscoverer Plusをデプロイします。Discoverer Plus通信プロトコルを「セキュアなトンネリング」に変更する必要があります(詳細は、第13.6.3.5項「セキュアなトンネリング通信プロトコルを使用するようにDiscoverer Plusをセットアップする方法」を参照)。
ファイアウォールを通して暗号化を使用するようにDiscovererを構成する手順は、次のとおりです。
Discoverer Viewer
ファイアウォールを通してDiscoverer Viewerが動作するように構成します(詳細は、第13.10.5項「ファイアウォールを通したDiscovererの構成方法」を参照)。その後、HTTPSトラフィックがファイアウォールを通過できることを確認します。
Discoverer Plus
ファイアウォールを通してDiscoverer Plusが動作するように構成します(詳細は、第13.10.5項「ファイアウォールを通したDiscovererの構成方法」を参照)。その後、HTTPSトラフィックがファイアウォールを通過できることを確認します。
Discoverer Viewerでは、クライアント・ブラウザ内のDiscoverer Viewerブラウザのステータス・バーに、閉じた鍵のマークまたはそれに相当する記号(ブラウザによる)が表示されていることを確認します。
Discoverer Plusでは、クライアントのDiscoverer Plusアプレット・ウィンドウの左下隅に、閉じた鍵のマークが表示されていることを確認します。
Discovererを、イントラネットおよびインターネットの両ユーザー用に構成できます。たとえば、Discoverer Plusでデフォルト通信プロトコルを使用する場合、次のようになります。
ファイアウォールの内側で機能する直接接続はJRMPだけなので、ファイアウォールの内側からのセッション接続ではJRMP接続が使用されます。
ファイアウォールの外側からのセッション接続では、HTTPまたはHTTPS接続(URLによる)が自動的に使用されます。