| Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 11g リリース 1 (11.1.1) B61375-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 11g リリース 1 (11.1.1) B61375-04 |
|
前 |
次 |
11g リリース1 (11.1.1)では、デフォルトでOracle Platform Security Services(認証と認可を処理)を使用して、Reports Serverが保護されます。Oracle ReportsではこのJava EEベース型セキュリティ・モデルを使用して、レポート・ジョブやWebコマンドを実行するためにセキュリティ・ポリシーを作成できます。
以前のリリースでは、Reports Serverの認証に使用できるのは、Oracle Internet Directoryにのみ制限されていました。Reports Serverの認可には、Oracle Portalベースのセキュリティ・モデルが必要です(ポータル・メタデータ・リポジトリを使用して認可を確認)。以前のリリースのセキュリティ・メカニズムに戻す場合は、第7.8.1.1項「Oracle Portalセキュリティへの切替え」を参照してください。
Oracle Reports 11g リリース1 (11.1.1)では、管理者はOracle Enterprise Managerを使用して、詳細なセキュリティ・ポリシーとファイル・システム・アクセスをさらに簡単に定義したり管理できます。
Reports ServerやReportsアプリケーションのセキュリティを有効化したり無効化する手順は、次のとおりです。
Oracle Enterprise Managerにログインします。
コンポーネントのホームページにナビゲートします(第7.3項「コンポーネント・トポロジの表示」を参照)。
「レポート」メニューから、「管理」→「拡張構成」を選択します。
「拡張構成」ページが表示されます。
「Reportsセキュリティ」領域で「セキュリティの有効化」チェック・ボックスを選択するか、その選択を解除します。
第16章「Oracle Portalでのレポートの配布」で説明しているとおり、Oracle Portalの11g リリース1 (11.1.1)でレポートを配布する手順は、以前のリリースと同じです。ただし、配布の基盤となるセキュリティ・メカニズムは変更されています。その場合、認可はデフォルトで有効ですが、インストール時にOracle Internet Directoryのみが指定されてPortalがインストールされていない場合、Oracle Portalを使用する認可は無効になります。11g リリース1 (11.1.1)のデフォルト・インストールでは、Oracle Platform Security Servicesによる認証と認可は両方とも実行されます。
下位互換性を確保するために、以前のリリースのOracle Portalのセキュリティ機能を引き続き使用できます。新しい11g リリース1 (11.1.1)のOracle Platform Security Servicesから、11gより前のOracle Portalメタデータ・リポジトリ・ベース型セキュリティに切り替える手順は、次のとおりです。
Oracle Enterprise Managerにログインします。
「Reports Serverホームページ」にナビゲートします(第7.3項「コンポーネント・トポロジの表示」を参照)。
「レポート」メニューから、「管理」→「拡張構成」を選択します。
「Reports Server拡張構成」ページが表示されます。
「Reportsセキュリティ」セクションで、「セキュリティの有効化」チェック・ボックスを選択し、「Oracle Portalで使用可能なセキュリティ機能」を選択します。
「適用」をクリックします。
|
注意: Oracle Portalセキュリティ機能を有効にする場合、認可が行われるようにするには、インストール時にOracle Portalも構成する必要があります。
|
管理者は、レポートごとにセキュリティ・ポリシーを作成することで、特定のユーザーやロールがアクセスできるレポートを指定できます。セキュリティ・ポリシーでは、サーバー、宛先名(desname)、宛先タイプ(destype)などのパラメータも指定できます。認証されたユーザーは、これらのセキュリティ・ポリシーに基づいて認可されます。
Reports ServerやReportsアプリケーション(インプロセスReports Server)のレポート用にセキュリティ・ポリシーを定義する手順は、次のとおりです。
Oracle Enterprise Managerにログインします。
コンポーネントのホームページにナビゲートします(第7.3項「コンポーネント・トポロジの表示」を参照)。
「レポート」メニューから、「管理」→「Reportsセキュリティ・ポリシーの管理」→「Reportsポリシー」を選択します。
「作成」または「編集」をクリックします。
「Reportsのセキュリティ・ポリシー構成」ページが表示されます。
ページのヘルプ・トピックの説明を参照して、ページの要素に適切な値を入力し、ディレクトリ・アクセスのセキュリティ・ポリシーを定義します。
ページの「ヘルプ」アイコンをクリックして、ページレベルのヘルプにアクセスします。
次を実行し、ページの要素をすべて入力します。
「サーバー名」パラメータのチェック・ボックスから、セキュリティ・ポリシーの適用先となるサーバーを1つ以上選択します。セキュリティ・ポリシーをすべてのサーバーに適用する場合、「すべて」を選択します。
「レポート定義ファイルまたはディレクトリ」パラメータで、定義するセキュリティ・ポリシー用のレポート定義ファイル名またはディレクトリを1つ以上入力します。たとえば、ディレクトリを指定するには、/myreports/runtime/reports/*と入力します。複数のエントリはカンマ(,)で区切ります。
「OK」をクリックします。
このページのすべてのフィールドを有効にするには、再起動が必要です。
指定されたロールまたは他のロールとしてレポートを実行して、定義されたように認証と認可のためのセキュリティ・ポリシーが強制適用されることをテストします。たとえば、次のURLを使用してブラウザからレポートを実行します。
http://host:port/reports/rwservlet?report=report_name.rdf&destype=cache&desformat=html&userid=user/password@mydb&server=ReportsServer_instancename http://host:port/reports/rwservlet?report=report_name.rdf&userid=user/password@mydb&destype=file&desformat=pdf&desname=report_name.pdf
説明:
hostは、Oracleインスタンスが設定されているマシンです。
portは、OHSのメイン・ポートです。
|
注意: Oracle Enterprise Managerで定義されたセキュリティ・ポリシーは、ユーザーによって構成されたポリシー・ストアに格納されます。アイデンティティ・ストアにはユーザーに関する情報が格納され、ポリシー・ストアにはユーザーによって構成されたセキュリティ・ポリシーが格納されます。 |
場合によっては、特定のユーザー・アクセスを複数の関連レポートに付与することが必要になることがあります。セキュリティ・ポリシーをレポートごとに指定するのではなく、1つのディレクトリにあるすべてのレポートを収集してから、そのディレクトリのセキュリティ・ポリシーを指定できます。ユーザーがユーザー名とパスワードを入力した際に、再びセキュリティ・ポリシーがチェックされます。
たとえば、15種類の財務レポートと12種類の人事レポートがあると仮定します。それらの財務レポートには、FINANCEロールへのアクセス権を付与するとします。また、それらの人事レポートには、HRロールへのアクセス権を付与するとします。FINANCEロールに15個のセキュリティ・ポリシーを指定しHRロールに12個のポリシー(各レポートにつき1個のポリシー)を指定するのではなく、すべての財務レポートを1つのディレクトリに集め、すべての人事レポートを別のディレクトリに集めてから、2つのポリシー(各ディレクトリにつき1個のポリシー)のみ指定することもできます。セキュリティ・ポリシーには、レポート名ではなく、ディレクトリ名を指定します。
ディレクトリのセキュリティ・ポリシーを定義する手順は、次のとおりです。
Oracle Enterprise Managerにログインします。
「Reports Serverホームページ」にナビゲートします(第7.3項「コンポーネント・トポロジの表示」を参照)。
「レポート」メニューから、「管理」→「Reportsセキュリティ・ポリシーの管理」→「Reportsポリシー」を選択します。
「作成」または「編集」をクリックします。
「Reportsのセキュリティ・ポリシー構成」ページが表示されます。
ページのヘルプ・トピックの説明を参照して、ページの要素に適切な値を入力し、ディレクトリ・アクセスのセキュリティ・ポリシーを定義します。
ページの「ヘルプ」アイコンをクリックして、ページレベルのヘルプにアクセスします。
次を実行し、ページの要素をすべて入力します。
「サーバー名」パラメータのチェック・ボックスから、セキュリティ・ポリシーの適用先となるサーバーを1つ以上選択します。セキュリティ・ポリシーをすべてのサーバーに適用する場合、「すべて」を選択します。
「レポート定義ファイルまたはディレクトリ」パラメータで、定義するセキュリティ・ポリシー用のレポート定義ファイル名またはディレクトリを1つ以上入力します。たとえば、ディレクトリを指定するには、/myreports/runtime/reports/*と入力します。複数のエントリはカンマ(,)で区切ります。
「OK」をクリックします。
このページのすべてのフィールドを有効にするには、再起動が必要です。
定義したディレクトリ・アクセス制御をReports Serverレベルで使用するには、第7.8.1項「セキュリティの有効化と無効化」を参照して、セキュリティが有効であることを確認します。
|
注意: Oracle Enterprise Managerで定義されたセキュリティ・ポリシーは、ユーザーによって構成されたポリシー・ストアに格納されます。アイデンティティ・ストアにはユーザーに関する情報が格納され、ポリシー・ストアにはユーザーによって構成されたセキュリティ・ポリシーが格納されます。 |
Oracle Reports Servlet (rwservlet)のWebコマンドごとにセキュリティ・ポリシーを作成することで、特定のユーザーやロールがアクセス権を持つWebコマンドも指定できます。ユーザーがユーザー名とパスワードを入力した際に、セキュリティ・ポリシーがチェックされます。
Webコマンドのセキュリティ・ポリシーを定義する手順は、次のとおりです。
Oracle Enterprise Managerにログインします。
「Reportsアプリケーション・ホームページ」にナビゲートします(第7.3項「コンポーネント・トポロジの表示」を参照)。
「レポート」メニューから、「管理」→「Reportsセキュリティ・ポリシーの管理」→「Webコマンド・ポリシー」を選択します。
「作成」または「編集」をクリックして、ページの要素に適切な値を入力します。
「Webコマンドのセキュリティ・ポリシー構成」ページが表示されます。
ページのヘルプ・トピックの説明を参照して、ページの要素に適切な値を入力し、Webコマンドのセキュリティ・ポリシーを定義します。
ページの「ヘルプ」アイコンをクリックして、ページレベルのヘルプにアクセスします。
次の手順を実行し、ページの要素をすべて入力します。
「サーバー名」パラメータのチェック・ボックスから、セキュリティ・ポリシーの適用先となるサーバーを1つ以上選択します。セキュリティ・ポリシーをすべてのサーバーに適用する場合、「すべて」を選択します。
「Webコマンド」パラメータのチェック・ボックスから、指定したサーバーおよび権限受領者に認可するWebコマンドを1つ以上選択します。すべてのWebコマンドを指定する場合は、「すべて」を選択します。
「OK」をクリックします。
このページのすべてのフィールドを有効にするには、再起動が必要です。
指定されたロールまたは他のロールとしてレポートを実行して、定義されたように認証と認可のためのセキュリティ・ポリシーが強制適用されることをテストします。たとえば、ブラウザで次のURLを使用して、showjobs Webコマンドを実行します。
http://host:port/reports/rwservlet/showjobs?server=ReportsServer_instancename
ここで、
hostは、Oracleインスタンスが設定されているマシンです。
portは、OHSポートです。
|
注意: Oracle Enterprise Managerで定義されたセキュリティ・ポリシーは、ユーザーによって構成されたポリシー・ストアに格納されます。アイデンティティ・ストアにはユーザーに関する情報が格納され、ポリシー・ストアにはユーザーによって構成されたセキュリティ・ポリシーが格納されます。 |
管理者は、Reports Server、Reportsアプリケーション(インプロセスReports Server)またはOracle Reports Runtimeによるディレクトリへの読取りアクセス権や書込みアクセス権を指定できます。この機能は、Reports Server、ReportsアプリケーションまたはOracle Reports Runtimeによる指定ディレクトリへの読取りや書込みが認可されているかどうかを確認するのみであり、ユーザー名とパスワードを確認するセキュリティ・ポリシーとは無関係です。
読取りアクセス権:機密ファイルの内容が漏洩するセキュリティ問題を防止するために、Reports Server、ReportsアプリケーションまたはOracle Reports Runtimeによる読取りを許可するディレクトリを指定できます。
たとえば、悪意のあるユーザーは、次のキーワードを指定してWindows上でレポートを実行する場合があります。
distribute=yes&destination=C:\Temp
これによって、ファイルの構文に誤りがあることを示すエラーが生成されます。これを防止するには、ファイル・システムのアクセス制御を有効にして、システム・ディレクトリが含まれない読取りディレクトリを指定します。
書込みアクセス権:悪意のあるユーザーがレポート出力をシステム・ディレクトリに送信することでシステム・ファイルの上書きが潜在的に可能なセキュリティ問題を防止するために、Reports Server、ReportsアプリケーションまたはOracle Reports Runtimeによる書込みを許可するディレクトリを指定できます。それ以外のディレクトリへの書込みが試行されると、エラーが返されます。
たとえば、ユーザーは、Windows上で実行するレポートの出力先として次を指定する場合があります。
desname=C:\Temp
ファイル・システムのアクセス制御を有効にしてシステム・ディレクトリが含まれない書込みディレクトリを指定している場合を除いて、これによってシステム・ファイルが上書きされます。
Reports Server、ReportsアプリケーションまたはOracle Reports Runtimeによるディレクトリへの読取りアクセス権や書込みアクセス権を定義する手順は、次のとおりです。
Oracle Enterprise Managerにログインします。
コンポーネントのホームページにナビゲートします(第7.3項「コンポーネント・トポロジの表示」を参照)。
「レポート」メニューから、「管理」→「拡張構成」を選択します。
「拡張構成」ページが表示されます。
「ファイル・システム・アクセス制御」セクションで「ファイル・システム・アクセス制御の有効化」チェック・ボックスを選択し、Reports Server、ReportsアプリケーションまたはOracle Reports Runtimeに読取りアクセス権や書込みアクセス権を付与するディレクトリの名前をそれぞれ「ディレクトリの読取り」と「ディレクトリの書込み」に入力します。入力された値は、構成ファイルのfolderaccess要素のreadサブ要素とwriteサブ要素に設定されます。
ディレクトリの読取り: 機密ファイルの内容が漏洩するセキュリティ問題を防止するために、Reports Serverによる読取りを許可するディレクトリの名前を入力します。ディレクトリ名はセミコロン(;)で区切ります。
ディレクトリの書込み: Reports Serverによる書込みを許可するディレクトリの名前を入力します。他のフォルダへの書込みが試行されると、エラーが返されます。
Oracle Application Server Single Sign-Onを使用する予定がある場合、Oracle Enterprise Managerを使用して、rwservlet.properties構成ファイルのSINGLESIGNONパラメータを設定できます。インストール時は、デフォルトでSINGLESIGNON=YESに設定されます。Single Sign-Onの詳細は、第17章「OracleAS Single Sign-Onの構成と管理」を参照してください。
Single Sign-Onを有効にする手順は、次のとおりです。
Oracle Enterprise Managerにログインします。
「Reportsアプリケーション・ホームページ」にナビゲートします(第7.3項「コンポーネント・トポロジの表示」を参照)。
「レポート」メニューから、「管理」→「拡張構成」を選択します。
「Reportsアプリケーション拡張構成」ページが表示されます。
「Reportsセキュリティ」セクションで、「シングル・サインオンの有効化」を選択します。
「適用」をクリックします。
Oracle Access ManagerはOracle Fusion Middlewareのコンポーネントで、一元化された認証、ポリシーベースの認可、委任管理などを実装するためにOracleAS Single Sign-On 10gのかわりに使用できます。
Oracle Fusion Middlewareアップグレード・アシスタントを使用して、OracleAS Single Sign-On 10gからOracle Access Manager 11gにアップグレードできます。Oracle Access Manager 11gへのアップグレードの詳細は、Oracle Fusion Middleware Oracle Identity Managementアップグレード・ガイドの「Oracle Single Sign-On環境のアップグレード」を参照してください。
この項では、Oracle Enterprise Managerを使用してドメイン資格証明ストア内の資格証明を管理する方法について説明します。
Oracle Enterprise Managerにログインし、「WebLogicドメイン」→「セキュリティ」→「資格証明」にナビゲートして、「資格証明」ページを表示します。
「削除」ボタンを使用して、表内で選択したアイテム(キーまたはマップ)を削除します。資格証明マップを削除すると、その中のキーもすべて削除されます。同様に、「編集」ボタンを使用して、選択したアイテムでデータを表示または変更します。
特定のキー名に一致する資格証明を表示するには、該当する文字列を「資格証明キー名」ボックスに入力し、右側にある青のボタンをクリックします。問合せの結果が表に表示されます。
問合せの結果を調べた後に資格証明のリストを再表示するには、「WebLogicドメイン」→「セキュリティ」→「資格証明」を選択します。
資格証明マップに新しいキーを追加する手順は、次のとおりです。
「マップの作成」をクリックして「マップの作成」ダイアログを表示します。
このダイアログに、作成する資格証明のマップの名前を入力します。
「OK」をクリックして「資格証明」ページに戻ります。新しい資格証明マップ名が、フォルダ・アイコン付きで表に表示されます。
|
注意: CSFでは、Reports Serverがアクセスできるのは、Reportsフォルダにある資格証明のみです。そのため、資格証明はReportsフォルダの下に作成する必要があります。 |
資格証明マップに新しいキーを追加する手順は、次のとおりです。
「キーの作成」をクリックして「キーの作成」ダイアログを表示します。
このダイアログで、「マップの選択」プルダウン・リストから、新しいキーの挿入先となるマップを選択し、「キー」テキスト・ボックスにキーを入力し、「タイプ」プルダウン・リストからタイプを選択して(ダイアログの外観は、選択したタイプに従って変わります)、必要なデータを入力します。
完了したら、「OK」をクリックして「資格証明」ページに戻ります。選択したマップに対応するマップ・アイコンの下に、新しいキーが表示されます。
資格証明ストアの再関連付けの詳細は、Oracle Fusion Middlewareセキュリティ・ガイドを参照してください。
