Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 11g リリース1 (11.1.1) B63030-05 |
|
前 |
次 |
この章では、デフォルトの組込みWebLogic LDAPサーバーを使用してOracle Business Intelligenceをデプロイする方法を説明します。
デフォルトの組込みWebLogic LDAPサーバーをデプロイすることで、事前構成済のユーザー、グループおよびアプリケーション・ロールを使用できます。また、独自のユーザー、グループおよびアプリケーション・ロールを開発することもできます。
この章には次の項が含まれます:
第2.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの管理」
第2.8項「デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性の有効化」
デフォルトの組込みWebLogic LDAPサーバーから代替認証プロバイダ(たとえば、OID、外部表または別のLDAPディレクトリ)へ、ユーザー(それらの暗号化パスワードを使用)およびグループを移行できます。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle Business Intelligenceのインストール時には、Oracle Business Intelligenceのデプロイに使用できる、事前構成済のユーザー、グループおよびアプリケーション・ロールが数多くあります。たとえば、(WebLogicのように、インストール時にユーザーが指定した名前が付けられている)BIAdministratorsグループに割り当てられるユーザー、BIAdministratorsという名前のグループ、BIAdministratorという名前の関連アプリケーション・ロールがあります。デフォルトでインストールされるユーザー、グループおよびアプリケーション・ロールは、連携して機能するように事前構成されます。たとえば、インストールされたBIConsumersグループは、BIConsumerアプリケーション・ロールに割り当てられます。デフォルト・セキュリティ構成の詳細は、付録B「デフォルト・セキュリティ構成の理解」を参照してください。
注意: デフォルトのユーザー、グループまたはアプリケーション・ロールの変更は、Oracleサポートによってそのように明示的にアドバイスされないかぎり行わないでください。インストールされたグループおよびアプリケーション・ロールで作成したコピーを変更するのみにしてください。 |
インストールされたアプリケーション・ロールは、インストールされたOracle BIプレゼンテーション・カタログ、BIリポジトリおよびポリシー・ストアを操作できるように、適切な権限を備えて事前構成されます。たとえば、BIAuthorという名前のアプリケーション・ロールは、ダッシュボード、レポート、アクションなどの作成に必要な権限を備えて事前構成されます。
図2-1は、インストール時に事前構成されるアプリケーション・ロール、グループおよびユーザーを示しています。
使用可能なグループは、次のとおりです。
BIConsumers (BIConsumerアプリケーション・ロールで事前構成済)
BIAuthors (BIAuthorアプリケーション・ロールで事前構成済)
BIAdministrators (BIAdministratorアプリケーション・ロールで事前構成済)
たとえば、インストール時に指定したユーザー(WebLogicなど)が自動的にBIAdministratorsという名前のWebLogic Administratorsグループに割り当てられ、BIAdministratorという名前の関連アプリケーション・ロールに割り当てられます。このユーザーは、Oracle Business Intelligenceツールにログインして他のユーザーを作成および管理する権限を持ちます。
注意: グループは階層的に組織され、親グループから権限を継承します。つまり、BIAdministratorsグループは、BIAuthorsグループおよびBIConsumersグループから自動的に権限を継承します。この階層は変更しないでください。 |
インストールされたグループとアプリケーション・ロールを使用してセキュリティをデプロイできます。必要な場合は、ビジネス・ニーズに合せて独自のグループとアプリケーション・ロールを開発できます。例:
Fredという名前の従業員に、ダッシュボードおよびレポートの作成を可能にする場合、Fredという名前の新規ユーザーを作成し、FredをデフォルトのBIAuthorsグループに割り当てることができます。
ユーザーFredに、BIAuthors職務およびBIAdministrator職務の実行を可能にする場合、BIAuthors権限およびBIAdministrators権限を持つBIManagerという名前の新規アプリケーション・ロールを作成できます。
ユーザーFredをSalesダッシュボード作成者にする場合、リポジトリ内のSalesサブジェクト・エリアの表示およびSalesダッシュボードの編集の権限を持つ、Sales Dashboard Authorという名前のアプリケーション・ロールを作成できます。
インストールされたユーザー、グループおよびアプリケーション・ロールの詳細は、付録B「デフォルト・セキュリティ構成の理解」を参照してください。
この例では、ユーザー、グループおよびアプリケーション・ロールの小さいセットを使用して、デフォルトのグループおよびアプリケーション・ロールを使用するセキュリティ・ポリシーの設定方法を示します。この例では、次を実装します。
ビジネス・インテリジェンス・レポートを表示する必要がある、User1、User2およびUser3という名前の3ユーザー
ビジネス・インテリジェンス・レポートを作成する必要がある、User4およびUser5という名前の2ユーザー
Oracle Business Intelligenceを管理する、User6およびUser7という名前の2ユーザー
図2-2は、このセキュリティ・モデルを実装するためにデプロイするユーザー、グループおよびアプリケーション・ロールを示しています。
図2-2は、次のことを表しています。
BIConsumersという名前のグループには、User1、User2およびUser3が含まれています。グループBIConsumersのユーザーには、BIConsumerという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはレポートを表示できます。
BIAuthorsという名前のグループには、User4およびUser5が含まれています。グループBIAuthorsのユーザーには、BIAuthorという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはレポートを作成できます。
BIAdministratorsという名前のグループには、User6およびUser7が含まれています。グループBIAdministratorsのユーザーには、BIAdministratorという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはリポジトリを管理できます。
この例のセキュリティ・モデルを実装するには:
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、User1からUser7まで7人のユーザーを作成します。
インストールされ事前構成されたグループに、次のようにユーザーを割り当てます。
BIConsumersという名前の事前構成済グループに、User1、User2およびUser3を割り当てます。
BIAuthorsという名前の事前構成済グループに、User4およびUser5を割り当てます。
BIAdministratorsという名前の事前構成済グループに、User6およびUser7を割り当てます。
詳細は、第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」を参照してください。
この項では、組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理方法を説明します。次のトピックがあります:
この項では、ユーザー、グループおよびアプリケーション・ロールを設定するための推奨方法をまとめてあります。
セキュリティを設定する最も簡単な方法は、ユーザーを作成し、それらをデフォルト・グループ(つまり、BIConsumers、BIAuthorsまたはBIAdministrators)に割り当てることです。
たとえば、Fredという名前のユーザーを作成し、FredをBIAuthorsという名前のデフォルト・グループに割り当てるとします。グループBIAuthorsは、Oracle BIリポジトリやOracle BIプレゼンテーション・カタログなど、他のOracle BIコンポーネントへのアクセスに必要な権限を持つように事前構成されます。
詳細な手順は、第2.3.1.1項「デフォルトのグループへのユーザーの割当て」を参照してください。
デフォルト・グループ(つまり、BIConsumers、BIAuthorsまたはBIAdministrators)がビジネス要件を満たしていない場合は、独自のグループおよびアプリケーション・ロールを作成することで、デフォルト・セキュリティ・モデルを拡張できます。
たとえば、Jimという名前のユーザーを作成し、BIMarketingRoleという名前の新規アプリケーション・ロールに割り当てられるBIMarketingGroupという名前の新規グループにJimを割り当てる場合などがあります。
詳細な手順は、第2.3.1.2項「新規グループおよび新規アプリケーション・ロールへのユーザーの割当て」を参照してください。
新規ユーザーを作成し、そのユーザーをデフォルトのグループに割り当てるには:
第1.6.1項「Oracle WebLogic Server管理コンソールの使用」の説明に従って、WebLogic管理コンソールを起動します。
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、新規ユーザーを作成します。
第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」の説明に従って、インストールされたグループのいずれか(つまり、BIConsumers、BIAuthorsまたはBIAdministrators)に新規ユーザーを割り当てます。
新規ユーザーを作成して、そのユーザーを新規グループおよび新規アプリケーション・ロールに割り当てるには:
第1.6.1項「Oracle WebLogic Server管理コンソールの使用」の説明に従って、WebLogic管理コンソールを起動します。
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、新規ユーザーを作成します。
第2.3.3項「組込みWebLogic LDAPサーバーにおけるグループの作成」の説明に従って、新規グループを作成します。
第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」の説明に従って、新しいユーザーを新しいグループに割り当てます。
第2.4.2.2項「アプリケーション・ロールの作成」の説明に従って、新規アプリケーション・ロールを作成し、それを新規グループに割り当てます。
グループをアプリケーション・ロールに割り当てるのみの場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の手順を実行します。
第2.5.2項「アプリケーション・ロールのリポジトリ権限の設定」の説明に従って、Oracle BIリポジトリを編集し、新規アプリケーション・ロールの権限を設定します。
第2.6.3項「アプリケーション・ロールに対するPresentation Servicesの権限の設定」の説明に従って、Oracle BI Presentation Catalogを編集し、新規のユーザーおよびグループの権限を設定します。
通常、Oracle Business Intelligence環境では、ビジネス・ユーザーごとに別々のユーザーを作成します。たとえば、レポート・コンシューマを30ユーザー、レポート作成者を3ユーザー、および管理者を1ユーザー、デプロイするように計画できます。この場合は、Oracle WebLogic Server管理コンソールを使用して34ユーザーを作成し、それらのユーザーを後で適切なグループに割り当てます(たとえば、BIConsumers、BIAuthorsおよびBIAdministratorsという名前の事前構成済グループを使用できます)。
ヒント: 一連のユーザー、グループおよびアプリケーション・ロールを示すセキュリティ・モデルの例は、第2.2項「デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例」を参照してください。 |
デプロイするユーザーごとに、この作業を繰り返します。
いずれのグループにも割り当てられていない新規ユーザーがログインすると、Authenticated Userアプリケーション・ロールとの関連付けを介して、BIConsumerアプリケーション・ロールにより基本レベルの操作権限が付与されます。詳細は、付録B「デフォルト・セキュリティ構成」を参照してください。
組込みWebLogic LDAPサーバーにおいて新規ユーザーを作成するには:
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「ユーザー」を選択します。「新規」をクリックします。
「新しいユーザーの作成」ペインで、次の情報を指定します。
名前: ユーザーの名前を入力します。無効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: ユーザー情報が含まれるアイデンティティ・ストアに対応するリストから、認証プロバイダを選択します。DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
パスワード: 8文字以上の長さで、ユーザーのパスワードを入力します。
パスワードの確認: ユーザー・パスワードを再入力します。
「OK」をクリックします。
ユーザー名は、User表に追加されます。
通常、Oracle Business Intelligence環境では、ビジネス・ユーザーの機能タイプごとに別々のグループを作成します。たとえば、標準的なデプロイメントには、BIConsumers、BIAuthorsおよびBIAdministratorsという3つのグループが必要となる場合があります。この場合は、Oracle Business IntelligenceとともにインストールされたBIConsumers、BIAuthorsおよびBIAdministratorsという名前の事前構成済グループを使用するか、独自のカスタム・グループを作成することができます。
ヒント: 一連のユーザー、グループおよびアプリケーション・ロールを示すセキュリティ・モデルの例は、第2.2項「デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例」を参照してください。 |
デプロイするグループごとに、この作業を繰り返します。
組込みWebLogic LDAPサーバーにおいてグループを作成するには:
Oracle WebLogic Server管理コンソールを起動します。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「グループ」を選択します。「新規」をクリックします。
「新しいグループの作成」ペインで、次の情報を指定します。
名前: グループの名前を入力します。グループ名は、大文字と小文字が区別され、一意である必要があります。無効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: グループ情報が含まれるアイデンティティ・ストアに対応するリストから、認証プロバイダを選択します。DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
「OK」をクリックします。
グループ名は、Group表に追加されます。
通常は、各ユーザーを適切なグループに割り当てます。たとえば、標準的なデプロイメントには、レポート・コンシューマをBIConsumersという名前のグループに割り当てるためのユーザーIDの作成が必要となる場合があります。この場合は、BIConsumersという名前のデフォルトのグループにユーザーを割り当てるか、作成したカスタム・グループにユーザーを割り当てることができます。
ヒント: 一連のユーザー、グループおよびアプリケーション・ロールを示すセキュリティ・モデルの例は、第2.2項「デフォルトのグループおよびアプリケーション・ロールを使用したセキュリティ設定の例」を参照してください。 |
この作業を繰り返して、各ユーザーを適切なグループに割り当てます。
組込みWebLogic LDAPサーバーにおいてグループにユーザーを追加するには:
Oracle WebLogic Server管理コンソールを起動します。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
「ユーザー」表で、グループに追加するユーザーを選択します。
「グループ」タブを選択します。
「使用可能」リスト・ボックスから1つまたは複数のグループを選択します。
「保存」をクリックします。
ユーザーのデフォルト・パスワードを変更したい場合は、このオプションのタスクを実行します。
組込みWebLogic LDAPサーバーにおいてユーザー・パスワードを変更するには:
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
Users表で、パスワードを変更したいユーザーを選択します。ユーザーの「設定」ページが表示されます。
図wls_settings.gifの説明
「パスワード」タブを選択し、「新規パスワード」フィールドおよび「パスワード確認」フィールドにパスワードを入力します。
「保存」をクリックします。
注意: システム・ユーザーのパスワードを変更する場合は、資格証明ストアでも変更する必要があります。 |
Oracle Business Intelligenceでは、Fusion Middleware Controlを使用して、ユーザーおよびグループに権限を与えるアプリケーション・ロールおよびアプリケーション・ポリシーを管理します。Fusion Middleware Controlの使用の詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。
ヒント: デフォルトの組込みWebLogic LDAPサーバーとともにインストールされるデフォルト・グループ(つまり、BIConsumers、BIAuthorsおよびBIAdministrators)を使用している場合、これらのグループは、適切なアプリケーション・ロール(つまり、BIConsumer、BIAuthorまたはBIAdministrator)に割り当てられます。デフォルトのグループをアプリケーション・ロールに割り当てるために必要な追加の手順はありません。 |
セキュリティを設定する最も簡単な方法は、デフォルトのアプリケーション・ロール(つまり、BIConsumer、BIAuthorおよびBIAdministrator)にグループを割り当てることです。デフォルトのグループはそれぞれ、適切なデフォルトのアプリケーション・ロールを使用するように事前構成されています。たとえば、BIAuthorsという名前のデフォルトのグループは、BIAuthorという名前のデフォルトのアプリケーション・ロールに割り当てられます。つまり、BIAuthorsという名前のデフォルトのグループに追加するすべてのユーザーには、レポートの作成および関連職務の実行に必要な権限が、自動的に付与されます。
より複雑またはきめ細かなセキュリティ・モデルを作成する場合は、この項の説明に従って、独自のアプリケーション・ロールおよびアプリケーション・ポリシーを作成できます。たとえば、マーケティング部門のレポート作成者に、メタデータ・リポジトリおよびOracle BIプレゼンテーション・カタログのマーケティング領域への書込みアクセス権のみを付与するとします。これを実現するには、BIAuthorMarketingという名前の新規アプリケーション・ロールを作成し、それに適切な権限を提供します。
デプロイするアプリケーション・ロールを設定するには、次のことを行います。
必要に応じて、新規アプリケーション・ロールを作成します。詳細は、第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除」を参照してください。
注意: デフォルトのアプリケーション・ポリシーに基づいてアプリケーション・ロールを作成するか、独自のアプリケーション・ポリシーを作成できます。デフォルトのユーザー、グループおよびアプリケーション・ロールの詳細は、第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。 |
必要に応じて、新規アプリケーション・ポリシーを作成します。詳細は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。
(オプション)必要に応じて、アプリケーション・ロールの権限付与またはメンバーシップを変更します。詳細は、第2.4.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールの変更」を参照してください。
この項では、Fusion Middleware Controlを使用して、アプリケーション・ロールおよびアプリケーション・ポリシーを管理するページにアクセスする方法を説明します。
Fusion Middleware Controlを使用してアプリケーション・ポリシーおよびアプリケーション・ロールを表示するには:
ここでは、Oracle Business Intelligenceのアプリケーション・ポリシーまたはアプリケーション・ロールを表示する方法について説明します。
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
ナビゲーション・ペインから「Business Intelligence」フォルダを展開し、「coreapplication」を選択します。
次のオプションのいずれか1つを選択します。
「coreapplication」を右クリックし、メニューから「セキュリティ」を選択して、「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択します。
またはコンテンツ・ペインから、「Business Intelligenceインスタンス」をクリックしてメニューを表示し、「セキュリティ」→「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択します。
Fusion Middleware Controlの他の「セキュリティ」メニュー・オプションは、これらのメニューからは利用できません。
(オプション)ステップ2および3の別のオプションとして、「WebLogicドメイン」フォルダを展開し、「bifoundation_domain」を選択して右クリック(または「WebLogicドメイン」メニューをクリック)します。
「セキュリティ」メニューに適切なメニュー・オプションが表示されます。
Fusion Middleware Controlの他のメニュー・オプションは、このメニューから利用できます。
「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択し、「アプリケーション・ポリシー」ページまたは「アプリケーション・ロール」ページを表示します。
obi
アプリケーション・ストライプがデフォルトで表示される場合
Oracle Business Intelligenceのポリシーまたはロールが表示されます。
obi
アプリケーション・ストライプがデフォルトで表示されない場合
obi
アプリケーション・ストライプを使用して検索し、Oracle Business Intelligenceのポリシーやロールを表示する必要があります。
図2-3は、「アプリケーション・ポリシー」ページとデフォルトのOracle Business Intelligenceアプリケーション・ポリシーを示しています。
図2-4は、デフォルトのOracle Business Intelligenceアプリケーション・ロールを表示する「アプリケーション・ロール」ページを示しています。
この項では、Oracle Fusion Middleware Controlの使用によるアプリケーション・ロールの作成方法、削除方法および管理方法を説明します。次のトピックがあります。
新しいOracle Business Intelligenceのデプロイメントでは、通常、Oracle Business Intelligence環境でのビジネス・ユーザー・アクティビティのタイプごとにアプリケーション・ロールを作成します。たとえば、標準的なデプロイメントには、BIConsumer、BIAuthorおよびBIAdministratorという3つのアプリケーション・ロールが必要となる場合があります。この場合は、Oracle Business IntelligenceとともにインストールされるBIConsumer、BIAuthorおよびBIAdministratorという名前の事前構成済アプリケーション・ロールを使用するか、独自のカスタム・アプリケーション・ロールを作成できます。デフォルト・アプリケーション・ロールの詳細は、第2.1項「デフォルトのユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。
Oracle Business Intelligenceアプリケーション・ロールは、ユーザーが保持しているロールを表します。たとえば、セールス・アナリストのアプリケーション・ロールを保持することにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。新規アプリケーション・ロールを作成して、インストール中に構成されたデフォルト・ロールを補完または置換できます。アプリケーション・ロールをディレクトリ・サーバー・グループから分離して区別しておくことで、認可要件に対応しやすくなります。企業のディレクトリ・サーバーで定義されているグループを変更する必要なく、環境のビジネス・ロールと一致する新規アプリケーション・ロールを作成できます。認可要件をより効率的にコントロールするには、ユーザーの既存グループをディレクトリ・サーバーからアプリケーション・ロールに割り当てます。
注意: 新規アプリケーション・ロールを作成し、それをデフォルトのOracle Business Intelligenceセキュリティ構成に追加する前に、権限およびグループの継承がどのように行われるのかを把握しておいてください。ロールの階層を構築するときは、循環依存が生じないことが重要です。詳細は、第B.4.4項「アプリケーション・ロールを使用してユーザー権限を付与する方法」を参照してください。 |
アプリケーション・ロールの作成の詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドのポリシー・ストアの管理に関する項を参照してください。
注意: オフライン・モードでのBIリポジトリの使用についての高度な情報は、第2.5.3項「メタデータ・リポジトリでのアプリケーション・ロールの管理 - 高度なセキュリティ構成トピック」を参照してください。 |
新しいアプリケーション・ロールを作成するには、2つの方法があります。
新規作成 - 新規アプリケーション・ロールを作成します。複数のメンバーを同時に追加することも、新しいロールに名前を付けて保存しておき、後でメンバーを追加することもできます。
既存のコピー - 既存のアプリケーション・ロールをコピーすることで、アプリケーション・ロールを作成します。コピーには元と同じメンバーが含まれ、元と同じアプリケーション・ポリシーの権限受領者となります。新規アプリケーション・ロールをさらにカスタマイズするために、必要に応じて、コピーに対して変更を行うことができます。
アプリケーション・ロール内のメンバーシップは、Fusion Middleware Controlの「アプリケーション・ロール」ページを使用してコントロールされます。アプリケーション・ロールの有効メンバーには、ユーザー、グループおよび他のアプリケーション・ロールがあります。
権限付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページでコントロールされます。権限付与定義がアプリケーション・ポリシーで設定され、その後、アプリケーション・ポリシーがアプリケーション・ロールに付与されます。詳細は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコン をクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。図2-5は、デフォルト・アプリケーション・ロールを示しています。
図2-5 Fusion Middleware Controlのデフォルト・アプリケーション・ロール
「作成」をクリックして「アプリケーション・ロールの作成」ページを表示します。すべての情報を一度に入力することも、「ロール名」を入力し、保存しておいて、それ以外のフィールドを後で入力することもできます。各フィールドに次の情報を入力します。
「一般」では:
ロール名 - アプリケーション・ロールの名前を入力します。
(オプション)表示名 - アプリケーション・ロールの表示名を入力します。
(オプション)説明 - アプリケーション・ロールの説明を入力します。
「メンバー」セクションで、「追加」をクリックして、「プリンシパルの追加」ページを表示します。
次の手順により、「プリンシパルの追加」ページで、現在のアプリケーション・ロールに割り当てるメンバーを検索します。
「タイプ」ドロップダウン・リストから、「アプリケーション・ロール」、「グループ」または「ユーザー」を選択します。
(オプション)「プリンシパル名」フィールドと「表示名」フィールドに検索情報を入力します。
検索ボタンをクリックします。
「検索済プリンシパル」ボックスに戻された結果から選択します。
「OK」をクリックして、「アプリケーション・ロールの作成」ページに戻ります。
必要なすべてのメンバーがアプリケーション・ロールに追加されるまで、手順を繰り返します。
「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。
作成したアプリケーション・ロールがページ下部の表に表示されます。
既存のアプリケーション・ロールに基づいてアプリケーション・ロールを作成するには:
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。
リストからコピーするアプリケーション・ロールを選択し、アクション・ボタンを有効にします。
「類似作成」をクリックし、「アプリケーション・ロールの類似作成」ページを表示します。
「メンバー」セクションに、元のロールに割り当てられている同じアプリケーション・ロール、グループまたはユーザーが表示されます。各フィールドに次の情報を入力します。
「一般」では:
ロール名 - アプリケーション・ロールの名前を入力します。
(オプション)表示名 - アプリケーション・ロールの表示名を入力します。
(オプション)説明 - アプリケーション・ロールの説明を入力します。
「メンバー」セクションで、「追加」をクリックして、「プリンシパルの追加」ページを表示します。
次の手順により、「プリンシパルの追加」ページで、現在のアプリケーション・ロールに割り当てるメンバーを選択します。
「タイプ」ドロップダウン・リストから、「アプリケーション・ロール」、「グループ」または「ユーザー」を選択します。
(オプション)「プリンシパル名」フィールドと「表示名」フィールドに検索情報を入力します。
検索ボタンをクリックします。
「検索済プリンシパル」ボックスに戻された結果から選択します。
「OK」をクリックして、「アプリケーション・ロールの作成」ページに戻ります。
必要なすべてのメンバーがアプリケーション・ロールに追加されるまで、手順を繰り返します。
図2-6は、デフォルトのBIAuthorアプリケーション・ロールに基づいた新規アプリケーション・ロールMyNewRoleの作成を示しています。
新規に作成したアプリケーション・ロールがページ下部の表に表示されます。図2-7は、デフォルトのBIAuthorアプリケーション・ロールに基づいた、MyNewRoleという名前の新規作成アプリケーション・ロールを示しています。
必要に応じてメンバーを変更し、「OK」をクリックします。
グループをアプリケーション・ロールに割り当て、そのグループ内のユーザーに適切なセキュリティ権限を提供します。たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とするとします。この場合、BIMarketingGroupという名前のグループをBIConsumerMarketingという名前のアプリケーション・ロールに割り当てます。
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコン をクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。図2-8は、デフォルト・アプリケーション・ロールを示しています。
リストからアプリケーション・ロールを選択し、「編集」をクリックし、「アプリケーション・ロールの編集」ダイアログを表示し、次のようにフィールドに入力します。
「一般」では:
ロール名 - アプリケーション・ロールの名前。このフィールドは読取り専用です。
表示名 - アプリケーション・ロールの表示名。
説明 - アプリケーション・ロールの説明。
「メンバー」セクションで「追加」をクリックして、「ロール」リストに割り当てるグループを追加します。
たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とする場合は、BIMarketingGroupという名前のグループを「ロール」リストに追加します。
「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。
アプリケーション・ロールを削除する場合は、最初にシステム管理者に連絡してからにしてください。
アプリケーション・ロールを削除するには:
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
削除するアプリケーション・ロールを選択します。
「削除」をクリックし、「はい」をクリックして、アプリケーション・ロールの削除を確認します。
デフォルトの事前構成済アプリケーション・ポリシーに基づいてアプリケーション・ロールを作成したり、独自のアプリケーション・ポリシーを作成できます。
アプリケーション・ポリシーは、メタデータ・リポジトリまたはOracle BIプレゼンテーション・カタログのオブジェクトおよび機能には権限を適用しません。
すべてのOracle Business Intelligence権限はインストールの一部として提供され、新しい権限は作成できません。アプリケーション・ポリシーは、権限付与を定義するメカニズムです。権限付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページでコントロールされます。権限付与は、アプリケーション・ポリシーで定義されます。アプリケーション・ロール、ユーザーまたはグループは、その後、アプリケーション・ポリシーに割り当てられます。このプロセスにより、アプリケーション・ロールがアプリケーション・ポリシーの権限受領者になります。
新しいアプリケーション・ポリシーを作成するには、2つの方法があります。
新規作成 - 新規アプリケーション・ポリシーを作成し、それに権限が追加されます。
既存のコピー - 既存のアプリケーション・ポリシーをコピーすることで、新規アプリケーション・ポリシーを作成します。コピーに名前が付けられ、既存の権限が削除されるか権限が追加されます。
アプリケーション・ポリシーの作成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用したポリシーの管理に関する項を参照してください。
Fusion Middleware Controlにログインし、「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiアプリケーション・ストライプが事前に選択され、Oracle Business Intelligenceアプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ポリシー」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「名前」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー権限受領者の名前が表示されます。
図em_createpolicy.gifの説明
「作成」をクリックして、「アプリケーション権限の作成」ページを表示します。
作成するポリシーに権限を追加するには、「権限」領域で「追加」をクリックして「権限の追加」ダイアログを表示します。
「検索」領域に入力し、「リソース名」フィールドの横の青い検索ボタンをクリックします。
obiアプリケーション・ストライプで検出されたすべての権限が表示されます。
図em_newpolicypermission.gifの説明
必要に応じて、「カスタマイズ」ページで権限情報を変更し、「選択」をクリックして、権限を追加します。
「アプリケーション権限の作成」ページに戻されます。選択した権限が「権限」領域に表示されます。
必要なすべての権限が選択されるまで繰り返します。
Oracle Business Intelligence以外の権限を選択することによる、ポリシーへの影響はありません。
権限を削除するには、その権限を選択し、「削除」をクリックします。
作成するポリシーにアプリケーション・ロール、グループまたはユーザーを追加するには、「権限受領者」領域で「追加」をクリックし、「プリンシパルの追加」ページを表示します。
「検索」領域に情報を入力し、「表示名」フィールドの隣の青の検索ボタンをクリックします。
「検索済プリンシパル」リストからプリンシパルを選択します。
「OK」をクリックして、アプリケーション権限の作成ページを表示します。
「OK」をクリックします。
「アプリケーション・ポリシー」ページに戻ります。作成したポリシーの「プリンシパル」および「権限」が表に表示されます。次の図は、権限受領者(プリンシパル)としてMyNewRoleアプリケーション・ロールで作成した新規アプリケーション・ポリシーを示しています。
図em_newpolicy06.gifの説明
既存のアプリケーション・ポリシーに基づいてアプリケーション・ポリシーを作成する手順は、次のとおりです。
Fusion Middleware Controlにログインし、「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ポリシー」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「名前」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー権限受領者の名前が表示されます。
表から既存のポリシーを選択します。
次の図は、この手順で例として使用される、「類似作成」ボタンがアクティブな、選択されたBIAuthorプリンシパルを示しています。
図em_newpolicy01.gifの説明
「類似作成」をクリックし、「アプリケーション権限の類似作成」ページを表示します。「権限」の表に、選択されたポリシーにより付与される権限が自動的に表示されます。
次の図は、BIAuthorポリシーが選択された後の「アプリケーション権限の類似作成」ダイアログを示しています。「権限」セクションに、BIAuthorポリシーに対して付与される権限が表示されていることに注意してください。
図em_newpolicycopy.gifの説明
任意のアイテムを削除するには、それを選択して、「削除」をクリックします。
ポリシーにアプリケーション・ロールを追加するには、「権限受領者」領域の「アプリケーション・ロールの追加」をクリックして、「アプリケーション・ロールの追加」ダイアログを表示します。
次の図では、例としてMyNewRoleアプリケーション・ロールを使用します。
「検索」領域に情報を入力し、「表示名」フィールドの隣の青の検索ボタンをクリックします。検索と一致したアプリケーション・ロールが表示されます。
図em_newpolicy03.gifの説明
「検索済プリンシパル」リストから選択して、「OK」をクリックします。
選択されたアプリケーション・ロールが「アプリケーション権限の類似作成」ページに「権限受領者」として追加され、表示されます。
「OK」をクリックして、「アプリケーション・ポリシー」ページに戻ります。
アプリケーション・ポリシーのプリンシパルおよび権限が作成され、表に表示されます。
次のように、対応するアプリケーション・ポリシーの権限付与を変更したり(アプリケーション・ロールがアプリケーション・ポリシーの権限受領者の場合)、そのメンバーを変更したり、アプリケーション・ロール名を変更したり、アプリケーション・ロールを削除することで、アプリケーション・ロールを変更できます。
注意: BIConsumer、BIAuthorおよびBIAdministratorという名前のデフォルト・アプリケーション・ロールの権限付与およびメンバーシップは変更しないでください。 |
アプリケーション・ポリシーおよびアプリケーション・ロールの管理の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用したポリシーの管理に関する項を参照してください。
アプリケーション・ロールの権限付与を変更する場合は、この手順を使用します。これは、アプリケーション・ロールが権限受領者であるアプリケーション・ポリシーの権限付与を追加または削除することによって行われます。
アプリケーション・ポリシーの権限付与を追加または削除するには:
Fusion Middleware Controlにログインし、「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ポリシー」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー権限受領者の名前が表示されます。
「プリンシパル」列からアプリケーション・ロールを選択し、「編集」をクリックします。
「アプリケーション権限の編集」ビューから権限を追加または削除し、「OK」をクリックして変更を保存します。
Fusion Middleware Controlを使用してアプリケーション・ロールのメンバーを追加または削除できます。これらのタスクは、Oracle Business IntelligenceがインストールされているWebLogicドメイン(bifoundation_domainなど)で実行する必要があります。アプリケーション・ロールの有効なメンバーは、ユーザー、グループまたはその他のアプリケーション・ロールです。アプリケーション・ロールに割り当てられることは、アプリケーション・ロールのメンバーになることです。ベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールに割り当てることです。
アプリケーション・ロールのメンバーを追加または削除するには:
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。
アプリケーション・ロール名の横のセルを選択し、「編集」をクリックして「アプリケーション・ロールの編集」ページを表示します。
「アプリケーション・ロールの編集」ページにメンバーを追加するか、またはこのページからメンバーを削除できます。有効なメンバーは、ロール、グループおよびユーザーです。
メンバーを削除するには、メンバーの「名前」を選択し、「削除」ボタンをアクティブにして、「削除」をクリックします。
メンバーを追加するには、「追加」ボタンをクリックし、「プリンシパルの追加」ページを表示します。
次の手順により、現在のアプリケーション・ロールに割り当てるメンバーを検索します。
「タイプ」ドロップダウン・リストから、「アプリケーション・ロール」、「グループ」または「ユーザー」を選択します。
(オプション)「プリンシパル名」フィールドと「表示名」フィールドに検索情報を入力します。
検索ボタンをクリックします。
「検索済プリンシパル」ボックスに戻された結果から選択します。
「OK」をクリックして、「アプリケーション・ロールの作成」ページに戻ります。
必要なすべてのメンバーがアプリケーション・ロールに追加されるまで、手順を繰り返します。
「アプリケーション・ロール」ページで変更したアプリケーション・ロールに従って、「メンバー」セクションに、追加されたメンバーが表示されます。たとえば、次の図は、Operatorsグループを追加した後のMyNewRoleアプリケーション・ロールの「アプリケーション・ロールの編集」ページを示しています。
「アプリケーション・ロールの編集」ページで「OK」をクリックし、「アプリケーション・ロール」ページに戻ります。
アプリケーション・ロールに追加したメンバーが、「...のメンバーシップ」セクションに表示されます。メンバーが削除された場合は表示されなくなります。
次の図では、MyNewRoleアプリケーション・ロールに、最近追加されたメンバーであるOperatorsグループが表示されています。
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアプリケーション・ロールの管理に関する項を参照してください。
既存のアプリケーション・ロールの名前は直接変更できません。表示名の更新のみ可能です。アプリケーション・ロール名を変更するには、新しいアプリケーション・ロールを作成し(削除するアプリケーション・ロールと同じアプリケーション・ポリシーを使用して)、古いアプリケーション・ロールを削除する必要があります。新しいアプリケーション・ロールを作成する際に、新しい名前を指定します。Oracle BIプレゼンテーション・カタログとメタデータ・リポジトリの両方で、古いアプリケーション・ロールへの参照を、新しいアプリケーション・ロールへの参照に更新する必要もあります。
アプリケーション・ロール名を変更するには:
新しい名前を使用して新しいアプリケーション・ロールを作成します。
「類似作成」オプションを使用して、新しいアプリケーション・ロール内に、古いアプリケーション・ロールの設定を含めます。
詳細は、第2.4.2.2項「アプリケーション・ロールの作成」および第2.4.2.3項「アプリケーション・ロールへのグループの割当て」を参照してください。
古いアプリケーション・ロールを削除します。
詳細は、第2.4.2.4項「アプリケーション・ロールの削除」を参照してください。
古いアプリケーション・ロールを削除する前に、その設定が新しいアプリケーション・ロールで使用されていることを確認してください。
Oracle BIプレゼンテーション・カタログで新しいアプリケーション・ロールへの参照名を変更します。
たとえば、アプリケーション・ロールの名前BI Sales (BIとSalesの間にスペースあり)を新しい名前BISales (スペースなし)に変更します。
ディレクトリを次の場所に変更します。
デフォルトのカタログ場所を使用していることが前提になっています。
<ORACLE_HOME>\bifoundation\web\catalogmanager
次のコマンドを実行します。
runcat.cmd -cmd replaceAccountInPermissions -old "BI Sales" -oldType -role -new "BISales" -newType role -offline c:\temp\eba7961
管理ツールを使用して、メタデータ・リポジトリで新しいアプリケーション・ロールへの参照名を変更します。
詳細は、第C.3.2項「ポリシー・ストアでアプリケーション・ロールの名前が変更される」を参照してください。
この項では、Oracle BI管理ツールの使用によるOracle BIリポジトリ内のセキュリティの構成方法を説明します。次のトピックがあります:
Oracle BI管理ツールでIdentity Managerを使用して、アプリケーション・ロールの権限を管理し、サブジェクト・エリアや表などのオブジェクトに対するアクセス権限を設定します。Oracle BI管理ツールの使用によるセキュリティの構成についての概要は、第1.6.3項「Oracle BI管理ツールの使用」を参照してください。
注意: Oracle Business Intelligenceアプリケーションのお客様は、この項を読み、セキュリティおよび認証の設定についての基礎を理解してから、Oracle Fusion Middleware Oracle Business Intelligence Applicationsリファレンス・ガイドに記載されているセキュリティ情報および構成情報を参照してください。 |
デフォルト・アプリケーション・ロール(つまり、BIConsumer、BIAuthorおよびBIAdministrator)は、メタデータ・リポジトリにアクセスするための権限を備えて事前構成されます。新規アプリケーション・ロールを作成する場合は、そのロールがメタデータ・リポジトリにアクセス可能になるように、そのロールに対して適切なリポジトリ権限を設定する必要があります。
注意: リポジトリ権限の設定に加えて、Oracle BIプレゼンテーション・カタログの権限を新規アプリケーション・ロールに割り当てることができます。詳細は、第2.6.3項「アプリケーション・ロールに対するPresentation Servicesの権限の設定」を参照してください。 |
注意: コマンドライン・ツールを使用してプログラム的にリポジトリ権限を設定することもできます。詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Edition XMLスキーマ・リファレンスのコマンドライン・ツールを使用した権限の設定に関する項を参照してください。 |
アプリケーション・ロールのリポジトリ権限を設定するには:
Oracle BI管理ツールでリポジトリを開きます(オンライン・モードで)。
詳細は、第1.6.3項「Oracle BI管理ツールの使用」を参照してください。
「プレゼンテーション」パネルで、権限を設定するサブジェクト・エリアまたはサブフォルダに移動します。
サブジェクト・エリアまたはサブフォルダを右クリックし、「プロパティ」を選択してプロパティ・ダイアログを表示します。
たとえば、「ペイント」サブジェクト・エリアへのアクセス権を提供するには、「ペイント」を右クリックします。
「権限」をクリックして、「権限<名前>」ダイアログを表示します。
注意: 「すべてのユーザー/アプリケーション・ロールの表示」チェック・ボックスが選択されていることを確認してください。 |
「権限<名前>」ダイアログを使用して、「ユーザー/アプリケーション・ロール」リスト内のアプリケーション・ロールのセキュリティ権限を変更します。
たとえば、ユーザーにダッシュボードおよびレポートの作成を可能にするために、BISalesAnalysisという名前のアプリケーション・ロールのリポジトリ権限を読取りから読取り/書込みに変更できます。
注意: ベスト・プラクティスは、個々のユーザーの権限ではなく、アプリケーション・ロールの権限を変更することです。 「プレゼンテーション」ペイン内のあるオブジェクトのすべての権限を表示するには、そのオブジェクトを右クリックし、「権限レポート」を選択して、ユーザーおよびアプリケーション・ロールのリスト、および選択したオブジェクトに対してそれが保持している権限を表示します。 |
アプリケーション・ロールの定義はポリシー・ストアで保持されます。また、変更は管理インタフェースを使用して行う必要があります。リポジトリは、ポリシー・ストア・データのコピーを保持して、リポジトリ開発を促進します。Oracle BI管理ツールでは、リポジトリのコピーからアプリケーション・ロール・データが表示され、ポリシー・ストア・データはリアルタイムでは表示されません。オフライン・リポジトリの作業中にポリシー・ストアを変更すると、ポリシー・ストアがリポジトリと次に同期化するまで、管理ツールで使用できなくなります。ポリシー・ストアは、BIサーバーの再起動時には常にデータをリポジトリ・コピーと同期化します。データに不一致がある場合は、エラー・メッセージが表示されます。
オフライン・モードでのリポジトリの使用中に、使用可能なアプリケーション・ロールではその時点で必要なメンバーシップまたは権限付与を満たさないことに気付く場合があります。オフライン・リポジトリ開発を促進するために、アプリケーション・ロールのプレースホルダの定義を管理ツールで作成できます。しかし、これは管理ツールで表示可能な単なるプレースホルダであり、実際のアプリケーション・ロールではありません。管理ツールから実際のアプリケーション・ロールを作成することはできません。アプリケーション・ロールは、ポリシー・ストアの管理に使用可能な管理インタフェースを使用して、ポリシー・ストアでのみ作成できます。
アプリケーション・ロールは、リポジトリがオンラインに戻る前に、管理ツールを使用して作成されたアプリケーション・ロール・プレースホルダごとに、ポリシー・ストアで定義される必要があります。オフライン・モードの間に作成されたロール・プレースホルダ付きリポジトリの場合、有効なアプリケーション・ロールがポリシー・ストアに作成される前に、オンラインになります。その後、そのアプリケーション・ロール・プレースホルダは管理ツール・インタフェースで表示されなくなります。オフライン・リポジトリ開発でロール・プレースホルダを使用する際は、リポジトリをオンラインに戻す前に、ポリシー・ストアにおいて対応するアプリケーション・ロールを必ず作成します。
リポジトリ開発時のアプリケーション・ロール用プレースホルダの作成方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
この項では、Presentation Services管理の「権限の管理」ページでアプリケーション・ロールを使用してPresentation Servicesの権限を管理する方法について説明します。次のトピックがあります。
プレゼンテーション・サービスに保持されている権限は、分析の作成やダッシュボードなどの機能へのアクセス権を制御します。Oracle Business Intelligenceのデフォルトのアプリケーション・ロール(BIAdministrator、BIAuthor、BIConsumer)は、Oracle Business Intelligenceのアプリケーション・ポリシー権限に加えて、インストール中にこれらの権限とともに自動的に構成されます。
前のリリースからアップグレードされたシステムは、引き続きカタログ・グループを使用してこれらの権限を付与できますが、これはお薦めしません。ベスト・プラクティスは、アプリケーション・ロールの使用による権限の管理であり、それによってセキュリティ管理プロセスが合理化されます。たとえば、システム全体でアプリケーション・ロールの同一セットを使用すると、システムでカタログ・グループおよびメンバー・リストの別個のセットを管理する必要がなくなります。アップグレードしたカタログ・グループを引き続き使用してPresentation Servicesの権限を管理する方法の詳細は、第A.2.1項「Presentation Servicesのセキュリティに影響する変更」を参照してください。
グループがアプリケーション・ロールに割り当てられる場合、グループ・メンバーは、関連付けられたPresentation Servicesの権限を自動的に付与されます。これは、Oracle Business Intelligence権限のほかに付与されます。
Presentation Servicesの権限はPresentation Services管理の「権限の管理」ページに保持され、分析の作成やダッシュボードなどのPresentation Services機能へのアクセス権を付与または拒否します。Presentation Servicesの権限は他のOracle Business Intelligenceコンポーネントには影響しません。
デフォルトのアプリケーション・ロールに割り当てられたグループのメンバーになると、第B.4.1.3項「デフォルトのアプリケーション・ロール、権限付与およびグループ・マッピング」で説明したOracle Business Intelligenceの権限に加えて、Presentation Servicesの権限が付与されます。デフォルトのアプリケーション・ロールによって付与されたPresentation Servicesの権限は、Presentation Services管理の「権限の管理」ページを使用して、デフォルトの権限付与を追加または削除することで変更できます。
新規カタログが作成されると必ず、デフォルトのアプリケーション・ロールがPresentation Servicesの権限マッピングに読み込まれます。デフォルトのマッピングを変更していて、デフォルトのアソシエーションを表示する場合、カタログが存在していないファイル場所を指定することで新規カタログを作成します。プレゼンテーション・サービスが起動すると、初期化プロセスの一部としてカタログが作成されます。
プレゼンテーション・サービス権限は、明示的におよび継承によってユーザーに付与できます。ただし、明示的なプレゼンテーション・サービス権限の拒否は、グループまたはアプリケーション・ロール階層の結果として、付与されるか継承されるユーザー・アクセス権限よりも優先されます。
アプリケーション・ロールを作成する場合、そのアプリケーション・ロールでユーザーが様々な機能タスクを実行できるように、適切なPresentation Servicesの権限を設定する必要があります。たとえば、BISalesAdministratorという名前のアプリケーション・ロールを保持したユーザーが、Oracle Business Intelligenceでアクションを作成できるようにします。この場合は、「起動アクションの作成」という名前の権限を付与します。
ポリシー・ストアの管理に使用する管理インタフェースを使用して、Presentation Servicesの権限を割り当てることはできません。新規アプリケーション・ロールを作成し、Oracle Business Intelligenceの権限を付与する場合、Oracle Business Intelligenceの権限に加えて、その新規ロールにプレゼンテーション・サービスの権限を設定する必要があります。
アプリケーション・ロールに対するPresentation Servicesの権限を設定するには:
管理者権限のあるユーザーとしてOracle BIプレゼンテーション・サービスにログインします。
詳細は、第1.6.4項「プレゼンテーション・サービス管理の使用」を参照してください。
プレゼンテーション・サービスの「ホーム」ページで「管理」を選択します。
注意: 管理者権限がないユーザーとしてログインする場合、「管理」オプションは表示されません。 |
「セキュリティ」領域で「権限の管理」をクリックし、「権限の管理」ページを表示します。
このページでは、Presentation Servicesの権限に対するアプリケーション・ロールを確認できます。
管理する権限の横のアプリケーション・ロールをクリックします。
たとえば、BIConsumerという名前のアプリケーション・ロールに対して、Access to Scorecardという名前の権限を管理するには、Access to Scorecardの横の「BIConsumer」リンクをクリックします。
「権限<権限名>」ダイアログを使用してアプリケーション・ロールを権限リストに追加し、アプリケーション・ロールに権限を付与したりアプリケーション・ロールから権限を取り消したりします。たとえば、選択した権限をアプリケーション・ロールに付与するには、アプリケーション・ロールを「権限」リストに追加する必要があります。
次のようにアプリケーション・ロールを「権限」リストに追加します。
「ユーザー/ロールの追加」をクリックします。
リストから「アプリケーション・ロール」を選択し、「検索」をクリックします。
結果リストからアプリケーション・ロールを選択します。
シャトル・コントロールを使用して、アプリケーション・ロールを「選択済メンバー」リストに移動します。
「OK」をクリックします。
「権限」リストで「権限付与」または「拒否」を選択することで、アプリケーション・ロールの権限を設定します。
注意: Presentation Servicesの権限を明示的に拒否することは、グループまたはアプリケーション・ロール階層の結果として付与または継承されたユーザー・アクセス権より優先されます。 |
変更内容を保存します。
BIサーバーおよびプレゼンテーション・サービスのクライアントは、ログインおよびパスワード暗号化について業界標準のセキュリティをサポートしています。エンド・ユーザーがWebブラウザにユーザー名およびパスワードを入力すると、BIサーバーはHypertext Transport Protocol Secure (HTTPS)規格を使用して、情報をセキュアなOracle BIプレゼンテーション・サービス・ポートに送信します。情報はOracle BIプレゼンテーション・サービスからトリプルDES(データ暗号化規格)を使用して、ODBCを介してBIサーバーに渡されます。これにより、高度なセキュリティが(168ビット)が実現し、認可されていないユーザーがデータにもOracle Business Intelligenceメタデータにもアクセスできないようになります。
データベース・レベルでは、Oracle Business Intelligence管理ユーザーがデータベース・セキュリティおよび認証を実装します。最後に、固有キーベースの暗号化によってセキュリティを提供し、未認可ユーザーがメタデータ・リポジトリにアクセスできないようにします。
この項では、Oracle BI Publisherの管理ページを使用して、Oracle BI Publisherに保持されているデータ・ソース・アクセスの権限を管理する方法について説明します。データ・ソース・アクセスの権限では、データ・ソースへのアプリケーション・ロールによるアクセスが制御されます。ユーザーが次のタスクを実行するには、そのユーザーに、特定のデータ・ソース・アクセスの権限が付与されたアプリケーション・ロールが割り当てられる必要があります。
データ・ソースに対するデータ・モデルを作成する。
データ・ソースに対するデータ・モデルを編集する。
データ・ソースから構築されたデータ・モデルを使用して作成されたレポートを表示する。
公開されたレポートのデータ・ソース・セキュリティの詳細は、Oracle Fusion Middleware Oracle Business Intelligence管理者および開発者ガイドのデータ・ソースへのアクセス権の付与に関する項を参照してください。
クラスタ環境で、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性を有効にするには、virtualize属性を構成します。virtualize属性値をtrueに設定すると、管理対象サーバーは、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアのコピーを使用できます。
デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性を有効にするには:
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
ナビゲーション・ペインから「WebLogicドメイン」フォルダを展開し、「bifoundation_domain」を選択します。
「bifoundation_domain」を右クリックして「セキュリティ」→「セキュリティ・プロバイダ構成」を選択し、「セキュリティ・プロバイダ構成」ページを表示します。
「アイデンティティ・ストア・プロバイダ」領域で「構成」をクリックし、「アイデンティティ・ストア構成」ページを表示します。
「カスタム・プロパティ」領域で「追加」オプションを使用し、次のカスタム・プロパティを追加します。
プロパティ名=virtualize
値=true
プロパティ名=OPTIMIZE_SEARCH
値=true
注意: プロパティ名 |
図2-9は、値がtrueに設定されたvirtualizeという新しいプロパティを含む、一連のカスタム・プロパティの例を示しています。
「OK」をクリックして、変更を保存します。
管理サーバー、管理対象サーバーおよびOracle BI EEコンポーネントを再起動します。
Oracle Business Intelligence Webサービスではローカル・ポリシー・アタッチメントはインストールされません。リリース11.1.1.7.0 (以上)をインストールまたはこのリリースにアップグレードする場合、次の操作により、BIドメインにグローバル・ポリシー・アタッチメント(GPA)を追加する必要があります。
BIドメインのWebサービスにグローバル・ポリシーをアタッチするには:
Fusion Middleware Controlにログインします。
左側のペインで、「WebLogicドメイン」をクリックし、「bifoundation_domain」をクリックします。
右側のペインで、「WebLogicドメイン」メニューをクリックし、「Webサービス」、「ポリシー・セット」の順に選択します。
「作成」をクリックし、新しいポリシー・セットを作成します。
次の一般情報を入力します。
名前 - 任意の名前を入力します。
有効 - このボックスを選択します。
リソース・タイプ - Webサービスのエンドポイントです。
説明 - このGPAがすべてのJRFベースのWebサービスに適用されます。
「次へ」をクリックします。
「ドメイン名」値には、「*」を入力します。「次へ」をクリックします。
次のポリシーを選択し、「アタッチ」をクリックします。
oracle/wss11_saml_or_username_token_with_message_protection_service_policy
「次へ」をクリックし、「保存」をクリックします。WebLogicサーバーが変更を反映するまで待機します。
次の手順により、GPAポリシーが適用されるWebサービスを表示します。
「WebLogicドメイン」をクリックし、「bifoundation_domain」をクリックします。
管理サーバーまたは管理対象サーバー(たとえばbi_server1)を選択します。
右クリックして、メニューから「Webサービス」を選択します。
「Oracle Infrastructure Web Services」タブを表示して(選択されているサーバーについて)GPAポリシーが適用されるWebサービスを表示します。
これらの手順を繰り返して、各サーバーのWebサービスを表示します。
Webブラウザを開いて、次のURLを入力し、入力したポリシーがWSDLで使用できるかどうかを検証します。
http://server:port/xmlpserver/services/PublicReportWSSService?wsdl