Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 11gリリース2 (11.1.2) B70751-03 |
|
前 |
次 |
この項では、Oracle Reportsのセキュリティの機能と概念について説明します。また、Oracle Reports 11gリリース2 (11.1.2)で導入された新しいセキュリティ機能についても説明します。
この項の内容は次のとおりです。
Oracle Reports 11gリリース2は、Oracle Single Sign-On Server 10g (OSSO)との連動に加えて、Oracle Access Manager 11g (OAM)を認証サーバーとして使用してシングル・サインオン環境で実行できるようになりました。詳細は、第16章「Oracle Single Sign-Onの構成と管理」を参照してください。
Oracle Reports 11gリリース2 (11.1.2)では、Oracle Platform Security Servicesを介して標準ベースのJava EEセキュリティ・モデルを使用しています。これにより、管理がシンプルで柔軟なセキュリティ・メカニズムが実現します。これは、スタンドアロンのOracle Reportsインストールや、FormsとReportsの組合せと併用できます。認証および認可に使用されるポリシー・ストアやアイデンティティ・ストアは、JAZN-LDAPを介したOracle Internet Directoryなど、標準のJAZN-XMLベースや任意のLDAPサーバーにすることができ、柔軟になります。
ノート: JAZN-XMLとは、IDストアやポリシー・ストアとして使用できるようユーザーによって構成されたXMLファイルです。 |
Oracle Reports 11gリリース2 (11.1.2)では、Single Sign-On、Oracle Internet Directory、埋込みIDストアおよびJAZN-XMLファイルベースのIDストアにより、認証が行われます。認可については、Oracle Reports 11gリリース2 (11.1.2)では、Oracle Internet Directory、ファイルベースおよびPortalベースのメソッドがサポートされています。以前のリリースでは、Reports Serverの認証に使用できるのは、Oracle Internet Directoryにのみ制限されていました。以前のリリースで使用されていたセキュリティ・メカニズムに戻す必要がある場合、第6.8.1.1項「Oracle Portalセキュリティへの切替え」の説明に従って、Oracle Enterprise Managerで実行できます。データ・ソース・セキュリティやOracle Portalを実装せずにSingle Sign-Onを使用する場合、第16章「Oracle Single Sign-Onの構成と管理」を参照してください。
あるいは、ユーザー独自のアプリケーションから、独自のログイン・メカニズムとユーザー/グループ・リポジトリでレポートを起動したり、ユーザー独自のメカニズムでデータソースを保護(たとえば、別のLDAPサーバーを使用してユーザー情報とグループ情報を格納)できます。この場合、Oracle Reports Servicesには、これらOracle以外のコンポーネントとの統合を可能にするインタフェースが用意されています。詳細は、第14.14項「セキュリティ・インタフェース」を参照してください。
Oracle Reportsの以前のリリース
Oracle Reports 11gリリース2 (11.1.2)では、新しいセキュリティ・メカニズムを可能にするOracle Platform Security Servicesを使用して、表14-1(表1-1「11gの機能と10gの機能との比較」の一部)に示すような特長と機能が用意されています。
表14-1 11gのセキュリティ機能と10gの機能との比較
11gの新機能 | 10gにおける同等機能 |
---|---|
Oracle Platform Security Servicesを介した標準ベースJava EEセキュリティ・モデル。これにより、管理がシンプルで柔軟なセキュリティ・メカニズムが実現します。 詳細は、第14.1項「Oracle Reportsセキュリティの保護」を参照してください。 |
Reports Serverの認証で使用できるのは、Oracle Internet Directoryにのみ制限されていました。Reports Serverの認可には、Oracle Portalベースのセキュリティ・モデルが必要です(ポータル・メタデータ・リポジトリを使用して認可を確認)。 |
強化されたOracle Enterprise Managerユーザー・インタフェース:管理者はOracle Enterprise Managerを使用して、レポート、ディレクトリ、Webコマンド、およびディレクトリへの読込みアクセスや書込みアクセスに対して詳細なセキュリティ・ポリシーをより簡単に定義したり管理できます。 詳細は、第6章「Oracle Enterprise ManagerによるOracle Reports Servicesの管理」の第6.8項「Oracle Reports Servicesの保護」を参照してください。 |
ポリシーの定義に使用されるOracle Portalの基本UI:ハードコーティングされたWebコマンドによりOracle Reportsの生成済ロールにアクセスします。フォルダ・レベルでなくファイル(レポート)レベルでのみポリシーにアクセスします。 |
Reports Serverレベルにおけるディレクトリへの読取り/書込みアクセス権:レポートが処理可能な入力フォルダやReports Serverの出力が配信可能な出力フォルダを管理者は制御できます。これによってセキュリティの脆弱性がなくなります。 詳細は、第14.4.6項「ディレクトリへの読取り/書込みアクセス権の定義」を参照してください。 |
暫定機能としての |
データベース・プロキシ認証:プロキシ・ユーザーを使用したデータベース認証がサポートされています。
|
該当なし |
配布宛先用のセキュリティ・チェック:セキュリティ・ポリシーを配布ジョブ用に定義できる機能です。たとえば、レポート出力が |
配布XMLファイルで指定された宛先に対してセキュリティ・チェックは実行されません。 |
システム・パラメータ用のセキュリティ・チェック:すべてのシステム・パラメータではセキュリティ・チェックが実行されます。レポート定義で指定されたシステム・パラメータやコマンドラインで指定されたシステム・パラメータも対象に含まれます。 |
システム・パラメータ用にセキュリティ・チェックは実行されません。 |
セキュリティ監査:Reports Serverにおいて認証と認可を監査します。 |
|
Oracle Forms Servicesからのレポート出力のセキュリティ:Oracle Forms ServicesとOracle Reports Servicesが保護されていない場合でも、中間レベル・セキュリティがサポートされており、構成は不要です。 詳細は、第14.11項「フォームおよびレポートに対する中間レベル・セキュリティ」、第16.7項「Oracle Forms Servicesのセキュリティに関する考慮事項」および第17.8.2項「ランダムで連続していないジョブIDの生成」を参照してください。 |
連番に割り当てられたジョブIDに基づいてジョブIDを推測することで、すべてのユーザーが他人のレポート出力を表示できます。 |
Oracle Reports Servicesでは、次の3つの主要領域のセキュリティ機能を包括的に実現します。
アプリケーション・セキュリティ(ユーザーがレポート・リクエストを送信した場合にレポート・アプリケーションへのアクセスを制御する)
リソース・セキュリティ(レポートおよびReports Serverへのアクセスを制御する)
データ・ソース・セキュリティ(特定のデータベースへのアクセスを制御する)
一般的に、ユーザーがレポートにアクセスして実行するには、アプリケーションやサイト(ユーザーの企業Webサイト、Oracle WebCenterなど)にログインする必要があります。そのような起動アプリケーションは、なんらかのログイン機能(たとえば、OracleAS Single Sign-On)で保護されるのが一般的です。起動アプリケーションへのログインに成功すると、リソース・セキュリティが後を引き継ぎ、そのユーザーまたはグループが要求できるレポートおよび宛先を決定します。
OracleAS Single Sign-Onでは、アプリケーションのセキュリティを確保するために1箇所からのユーザー・ログインと、必要に応じてデータ・ソース・セキュリティを実現します。通常の構成では、OracleAS Single Sign-Onを介してユーザーはログインして、レポート・アプリケーションにアクセスします。そのアプリケーションでは各自のレポートにアクセスして実行します。
リソース・セキュリティにより、権限のあるユーザーまたはグループにのみ特定のレポートの実行を許可することができます。また、レポートの実行時にユーザーやグループが特定のReports Serverにアクセスできないように防止されます。あるいは、一部のサーバーを、特定のユーザー・グループ用に予約したり、保守点検のために一定期間、アクセス不可にする場合もあります。
あるレポートを指定のReports Serverから指定の宛先に対して実行する権限がユーザーにあると判定された後は、そのレポートによってアクセスされるデータ・ソースに対する権限がユーザーに付与されていることの確認も必要になります。
オプションとして、下位互換性を保つために、レポートおよびReports Serverに対するリソース・セキュリティをデフォルト設定のままで実現するようにOracle Portalを構成できます。通常の構成では、管理者か開発者が、どのユーザーやグループがどのレポートとReports ServerをOracle Portalからアクセスするかを指定します。
データ・ソース・セキュリティでは、特定のデータ・ソースにあるデータにアクセスできるユーザーまたはロールを定義します。1つのレポートが複数のデータ・ソースにアクセスすることがあるため、レポートを実行し、その出力を表示するには、現在のユーザーが、レポートのアクセス対象となるデータ・ソースすべてに対して権限を持っている必要があります。データ・ソースへのアクセスを許可するのは、データ・ソース管理者(通常はDBAと呼ばれる)です。データ・ソース・セキュリティは、レポート環境を構成する前に、確立しておく必要があります。
Oracle Reports Servicesでは、次の2つの異なる方法でデータ・ソース・セキュリティを確立できます。
Single Sign-Onユーザーにデータ・ソース接続情報を関連付けることができます。OracleAS Single Sign-On (OSSO) Serverの使用時、ユーザーがデータ・ソースに初めてアクセスしようとすると、Oracle Delegated Administration Servicesではユーザーに対して、データ・ソース接続用のリソースを作成するように指示します。ユーザーがこのデータ・ソース・リソースを作成すると、OracleAS Single Sign-On (OSSO) ServerではこれをOracle Internet Directoryでユーザーに関連付けます。OAM 11gサーバーの使用時には、ユーザーはバッチ・ロードを使用してOID内にリソースを作成する必要があります。第16.3.3.2.3項「バッチ・ロード」を参照してください。バッチ・ロードの詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
Single Sign-Onユーザーに関連付けられたデータ・ソース・リソースは、ユーザーが持つSingle Sign-Onの識別情報の一部となり、ユーザーはこのデータ・ソースに別途ログインせずにアクセスできます。この方法には、重要な利点が2つあります。最初の利点は、各ユーザーがSingle Sign-Onの識別情報を使用することによって、その都度ログインしなくても、データ・ソースにアクセスできることです。もう1つの利点は、データ・ソースのログイン情報がユーザーの識別情報とともに格納されるため、そのログイン情報をレポートのURLやキー・マッピングにハードコーディングする必要がないことです。そのため、1つのレポートURLを情報の異なる複数のユーザーが使用できます。
レポートURLやキー・マッピングで、OracleAS Single Sign-On (OSSO) Serverに対するAUTHID
や、必要な接続パラメータ(USERID、SSOCONN
など)をコーディングできます。この機能は、Oracle Reports Servicesの以前のリリースとほとんど同じです。URL構文の詳細は、第17.1項「ReportsのURL構文」を参照してください。キー・マッピングの詳細は、第17.13項「キー・マップ・ファイルの使用」を参照してください。
資格証明ストアは、Java2、JavaEEおよびADFのアプリケーションで使用されるエンティティの権限を認証するセキュリティ・データのリポジトリです。アプリケーションは、資格証明をセキュアに格納および管理する単一の統合サービス・プロバイダである資格証明ストアを使用できます。
1つのドメインには、1つの資格証明ストアが含まれます。アプリケーション固有の資格証明がサポートされており、これらはアプリケーションが配置される際にドメインの資格証明ストアの資格証明に移行されます。そのため、ドメイン内に配置されるすべてのサーバーとすべてのアプリケーションは、共通の資格証明ストアであるドメインの資格証明ストアを使用します。
Oracle Reports 11gリリース2 (11.1.2)は、資格証明ストアを使用し、パスワードをキーとして格納します。また、資格証明ストアを使用して、jobStatusRepository
要素およびjobRepository
要素のデータベース接続情報を構成することもできます。
例:
ポータル・パスワードは、レポート証明書マップに次の構文のキーで格納されています。
「portalpasswd_DomainName_InstanceName」
ノート: サーバーはCSFのReportsフォルダから資格証明にアクセスするため、資格証明はこのフォルダに作成する必要があります。 |
Oracle Platform Securityでは、含まれるデータに応じて、次のタイプの資格証明をサポートします。
パスワード資格証明は、ユーザー名とパスワードをカプセル化します。
汎用資格証明は、対称キーなどの任意のカスタマイズされたデータまたは任意のトークンをカプセル化します。
資格証明ストア・フレームワーク(CSF)では、資格証明はマップ名とキー名により一意に識別されます。通常、マップ名はアプリケーション名に対応し、同じマップ名のすべての資格証明は、そのアプリケーションで使用される資格証明など、資格証明の1つの論理グループを定義します。資格証明ストア内のすべてのマップ名が異なっていることが必要です。資格証明ストアをX.509資格証明のリポジトリしようとする場合には、OracleウォレットまたはJavaキーストアを使用することをお薦めします。この資格証明ストアには、エンド・ユーザーのデジタル証明を保存できません。
ノート: CSFキーは、 |
Oracle Enterprise Managerを使用したドメインの資格証明ストアにおける資格証明の管理方法の詳細は、第6.8.8項「資格証明の管理」を参照してください。
ウォレットベースおよびLDAPベースの資格証明ストア、および資格証明ストアの構成の詳細は、Oracle Fusion Middlewareセキュリティ・ガイドを参照してください。