| Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 11gリリース2 (11.1.2) B70751-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 11gリリース2 (11.1.2) B70751-03 |
|
前 |
次 |
JPSベース・セキュリティを使用している場合、認可にはOracle Internet DirectoryまたはJAZN-XMLのいずれかの方法を使用できます。Portalペース・セキュリティを使用している場合、Portalベースの認可が使用されます。
JPSベース・セキュリティの場合、デフォルトでインプロセス・サーバーはポリシー・ストアとしてsystem-jazn-data.xmlを使用します。したがって、ReportsポリシーはReportsアプリケーション・エントリの下のsystem-jazn-data.xmlに格納されます。ユーザーはこのポリシー・ストアに基づいて認可されます。スタンドアロン・サーバーの場合、すべてのポリシーがsystem-jazn-data.xmlファイルに格納され、これらのポリシーに対して認可が行われます。
|
ノート: 認可プロセスには、特定のユーザーがJPSで使用されるIDストア内にあるかどうかのチェックが含まれます。認証にSingle Sign-Onが使用される場合、同じユーザーは必ずJPSで使用されるIDストア内に構成してください。または、JPSがSingle Sign-Onに使用するIDストアを必ず指定するように構成してください。そうしないと、認可は機能しません。 |
次の表は、Oracle ReportsがJPSベース・セキュリティを使用する場合にサポートされる認可方法をまとめたものです。
表14-5 JPSベース・セキュリティの認可方法
| Report Serverのタイプ | Oracle Internet Directory | ファイルベース |
|---|---|---|
|
インプロセス |
はい |
はい |
|
スタンドアロン |
はい |
はい |
Portalベース・セキュリティが構成されている場合は、次の認可方法が使用されます。
|
ノート: Oracle Portalが認可を行うよう構成されている場合に、レポート・リクエストが |
認可が行われるのは、ユーザーがSingle Sign-Onまたは非SSO (Oracle Internet Directoryベース、JPSベース・セキュリティの場合のファイルベース、および埋め込みIDストア)の方法により認証された後です。ユーザーが認証されると、レポート・リクエストは図14-5に示すように認可プロセスを経由する必要があります。
次の各ステップの番号は、図14-6の番号に対応しています。
Reports Serverでは、ポリシー・ストアに定義されているポリシーによりユーザーの権限が確認されます。
Reports Serverでは、ポリシー・ストア(JAZN-XML、LDAPまたはPortalリポジトリ)に定義されているポリシーに対するユーザー権限が確認されます。
Reports Serverでは、ポリシー・ストアで指定したパラメータでレポートを実行するのに必要な権限をユーザーが持っているかどうかもチェックされます。この妥当性チェックがなんらかの理由で失敗した場合、ユーザーに対してエラーが返され、この処理が終了します。
|
ノート: ユーザーが |
ユーザーにレポートの実行が許可された場合、Reports Serverはレポート・リクエストを実行し、レポート出力をrwservletに渡します。
Reports Serverがこのジョブをエンジンに委譲し、そこでデータ・ソースのアクセス、データの取出しおよびレポートのフォーマットが行われます。
レポート出力が、Oracle HTTP Serverに渡されます。
レポート出力が、ユーザーに渡されます。
処理された出力は、指定の宛先に送信されます。宛先に従って、この出力はブラウザに返されるか(図14-6)、プリンタに送信されるか、後で参照するためにファイルに保存されるか、またはFTPサーバーなどに送信されます。
Reportsポリシーはアプリケーション・ロールに付与されます。IDストア(Oracle WebLogic Serverの埋め込みIDストアまたは外部のOracle Internet Directory)内のすべてのユーザーをいずれかのReportsアプリケーション・ロールに関連付ける必要があります。
jps-config-jse.xmlファイルにoracle.security.jps.enterprise.user.classプロパティを追加する必要があります。
この作業を行うには、Enterprise Managerで次のように実行します。
「WebLogicドメイン」メニューにナビゲートします。
「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます。このページでユーザーをアプリケーション・ロールにマップできます。
または、手動で$DOMAIN_HOME/config/fmwconfig/system-jazn-data.xmlファイルを編集してこの作業を行うこともできます。Oracle Internet Directoryでユーザーを認可する際にJPSを使用する場合には、このステップが必要です。
XMLファイルでReportsアプリケーションを検索し、メンバー・セクションにユーザーを追加します。たとえば、orcladminというユーザーを追加するには、次の行を追加します。
<member> <class>weblogic.security.principal.WLSUserImpl</class> <name>orcladmin</name> </member>
デフォルトで、デフォルトのユーザー、ロールおよび権限は作成されています。管理者は、レポートごとにセキュリティ・ポリシーを定義することで、特定のユーザーがアクセスできるレポートを指定できます。セキュリティ・ポリシーでは、サーバー、宛先名(desname)、宛先タイプ(destype)などのパラメータも指定できます。ユーザーがユーザー名とパスワードを入力した際に、セキュリティ・ポリシーがチェックされます。
Oracle Enterprise Managerを使用して、レポート用セキュリティ・ポリシーを更新するには、第6.8.2項「レポートのセキュリティ・ポリシーの定義」を参照してください。
場合によっては、特定のユーザー・アクセスを複数の関連レポートに付与することが必要になることがあります。セキュリティ・ポリシーをレポートごとに指定するのではなく、1つのディレクトリにあるすべてのレポートを収集してから、そのディレクトリのセキュリティ・ポリシーを指定できます。ユーザーがユーザー名とパスワードを入力した際に、再びセキュリティ・ポリシーがチェックされます。
Oracle Enterprise Managerを使用して、ディレクトリ用セキュリティ・ポリシーを更新するには、第6.8.3項「ディレクトリのセキュリティ・ポリシーの定義」を参照してください。
Webコマンドごとにセキュリティ・ポリシーを作成することで、特定のユーザーやロールがアクセス権を持つOracle Reports Servlet (rwservlet)用Webコマンドも指定できます。ユーザーがユーザー名とパスワードを入力した際に、セキュリティ・ポリシーがチェックされます。
Oracle Enterprise Managerを使用して、Webコマンド用セキュリティ・ポリシーを更新するには、第6.8.4項「Webコマンドのセキュリティ・ポリシーの定義」を参照してください。
管理者は、Reports Server、Reportsアプリケーション(インプロセスReports Server)またはOracle Reports Runtimeによるディレクトリへの読取りアクセス権や書込みアクセス権を指定できます。この機能は、Reports Server、Reportsアプリケーション(インプロセスReports Server)またはOracle Reports Runtimeによる指定ディレクトリへの読取りや書込みが認可されているかどうかを確認するのみであり、ユーザーやロールのセキュリティ・ポリシーとは無関係です。このポリシーによりユーザー名とパスワードを確認します。
Oracle Enterprise Managerを使用して、新しいオプションのfolderAccess要素を使用してサーバー構成ファイル(rwserver.conf)に定義されている読取り権限や書込み権限を指定するには、第6.8.5項「ディレクトリへの読取り/書込みアクセス権の定義」を参照してください。
アプリケーション・ポリシーは、アプリケーションがそのリソースへのアクセスを制御するために使用する認可ポリシーです。プリンシパルまたは権限の検索キーワードを入力し、アプリケーション・セキュリティの権限付与の問合せができます。アプリケーション・ストライプを使用して、アプリケーションがアプリケーション名とは異なるストライプを使用しているかどうかを検索できます。
Enterprise Managerでアプリケーション・ポリシーを検索するには、次のステップを実行します。
Enterprise Managerにログインします。
「Reportsアプリケーション・ホームページ」にナビゲートします。
「レポート」メニューから「セキュリティ」→「アプリケーション・ポリシー」を選択します。
「アプリケーション・ポリシー」ページが表示されます。
「検索するアプリケーション・ストライプの選択」オプションを選択します。
ドロップダウン・メニューで、「レポート」を選択します。
「プリンシパル」フィールドに、プリンシパル名を入力します。
「権限」フィールドに、権限を入力します。
右矢印ボタンをクリックしてアプリケーション・セキュリティの権限付与を検索します。
アプリケーション・ロールは、セキュリティを意識したアプリケーションにより使用されるアプリケーションに固有なロールです。これらのロールは、アプリケーションが登録される際に、WebLogicドメインのポリシー・ストアでアプリケーションにより生成されます。
Enterprise Managerでアプリケーション・ロールを検索するには、次のステップを実行します。
Enterprise Managerにログインします。
「Reportsアプリケーション・ホームページ」にナビゲートします。
「レポート」メニューから「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます。
「検索するアプリケーション・ストライプの選択」オプションを選択します。
ドロップダウン・メニューで、「レポート」を選択します。
「ロール名」フィールドに、検索するアプリケーション・ロールの名前を入力します。
右矢印ボタンをクリックしてアプリケーション・ロールを検索します。
