Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 11gリリース2 (11.1.2) B70751-03 |
|
![]() 前 |
![]() 次 |
レポートを実行するには、有効なSSOのユーザーIDとパスワードでログインする必要があります。Oracle Fusion MiddlewareとともにインストールされるOracle Internet Directoryインスタンスが、ユーザーとグループの情報のデフォルト・リポジトリとして使用されます。別のOracle Internet Directoryインスタンスを使用するようにReports Serverを構成する場合やセキュリティを無効にする場合、第16.3項「Single Sign-Onの管理」を参照してください。Oracle Internet Directoryにユーザーを追加する方法の詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。また、Oracle Fusion Middlewareのインストールごとに、Reports Serverインスタンスは、そのOracle Fusion Middlewareのインストールに固有のアプリケーション・エンティティとしてOracle Internet Directoryに接続します。この動作の詳細は、第16.3.4項「Oracle Internet Directoryへの接続」を参照してください。
ユーザーがSingle Sign-Onにログインしていない場合、rwservlet
によりReports Serverに対してレポートを実行しようとすると、ログインするように要求されます。レポートのユーザー・パラメータにSSOCONN
が含まれている場合は、OracleAS Single Sign-On ServerによってOracle Internet Directory内にユーザーのデータ・ソース接続情報があるかどうか検索されます。見つからない場合、OracleAS Single Sign-On Serverではユーザーは新しいリソースを作成するように要求されます。rwservlet
の詳細は、第A.2.5項「rwservlet」を参照してください。SSOCONN
の詳細は、第16.3.3.1項「SSOCONN」を参照してください。OAMサーバーの場合、ユーザーのデータ・ソース接続情報がOracle Internet Directoryに存在しないと、Oracle Reportsにより「キーが存在しません」というエラー・メッセージが表示されます。OTN(http://www.oracle.com/technetwork/middleware/reports/overview/index.html
)で提供されているLDIFサンプルを使用するか、または第16.3.3.2.3項「バッチ・ロード」を参照して、Oracle Internet Directory内に新しいリソースを作成する必要があります。詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。
Oracle Portalが構成されていれば、Reports ServerはデフォルトでOracle Portalとも連携して動作するように構成されます。必要に応じて、ポータルにレポートを追加して、ユーザーがポータルからレポートを起動できるようにすることができます。この場合、ユーザーはポータルにログインする必要があります。ポータルにログインすることによりSingle Sign-Onモードで識別されるため、レポートの起動時に再度ログインするように要求されません。
必要に応じて、Oracle PortalでReports Serverに関連付けられているリソース(レポート、プリンタ、Reports Server、カレンダなど)にアクセス制御を定義することもできます。リソースへのアクセスを制御するには、それらのリソースをポータルに追加して、それぞれのアクセス・オプションを指定する必要があります。Oracle Portalで指定したリソース・アクセス制御は、ポータルの外部で実行するレポートにも適用されます。たとえば、ユーザーがrwservletによりレポートを実行しようとすると、Oracle Portalで指定したアクセス制御が適用されます。
ノート: OSSO Serverの場合、Single Sign-onを使用して、URLのauthidを非表示にすることをお薦めします。詳細は、第7.3.1.1.18項「allowauthid」を参照してください。 |
図16-1は、Single Sign-Onのコンポーネント・アーキテクチャの概要です。
Single Sign-On環境のコンポーネントは、次のとおりです。
クライアントWebブラウザ
Oracle HTTP Serverは、クライアント・ブラウザからのリクエストを処理します。
ノート: セキュリティの最高レベルでは、Oracle HTTP Serverとのすべての通信にSSLを使用するように構成できます。Oracle HTTP Serverは、OpenSSLモジュールでSecure Sockets Layer (SSL)およびHTTP Secure Sockets Layer (HTTPS)をサポートします。これがOracle HTTP Serverで設定されると(『Oracle Fusion Middleware Oracle HTTP Server管理者ガイド』を参照)、 |
Oracle Reports Servlet (rwservlet
)は、Oracle WebLogic Server内で実行されるOracle Reports Servicesのコンポーネントです。レポート・リクエストがOracle HTTP Serverに送信されると、Oracle Reports Servlet (rwservlet
)ではジョブ・リクエストがReports Serverに渡されます。
Reports Server (rwserver
)では、クライアント・リクエストを処理します。この処理には、認証と認可の確認、スケジューリング、キャッシュおよび配布が含まれます。
OracleAS Single Sign-On Server (OSSO) - OracleAS Single Sign-Onは、ユーザーのSingle Sign-Onセッションを管理します。Oracle Internet Directory内を検索して、ログイン資格証明を検証します。
Oracle Access Manager (OAMサーバー) - これは、Webシングル・サインオン、認証、認可などを含む全セキュリティ機能を提供するOracle FMW 11g認証サーバーです。Reports Servicesを実行するときに、アイデンティティ・ストアとしてOracle Internet Directoryを使用します。Oracle Access Managerは、Oracle HTTP Serverに対して構成されるアクセス・クライアントとしてmod_osso
またはwebgate
を使用できます。
アクセス・クライアント
mod_osso
- HTTPモジュールmod_osso
は、認証サーバーに対するパートナ・アプリケーションとして機能し、アプリケーションに対して認証を透過的に行うことによって、認証プロセスを簡素化します。Oracle Forms ServicesおよびOracle Reports Servicesは、mod_osso
を使用してパートナ・アプリケーションとして認証サーバーに登録できます。
webgate
- WebGateはシングル・サインオン・サポートを提供します。これは受信HTTPリクエストをインターセプトし、認証のためにそれらをアクセス・サーバーに転送します。Oracle Forms ServicesおよびOracle Reports Servicesは、認証サーバーに対するアクセス・クライアントとしてwebgate
を使用できます。
Oracle Internet Directoryは、高度にスケーラブルなLDAPバージョン3のOracle固有サービスであり、Oracle共通のユーザー識別情報をホスティングします。OracleAS Single Sign-Onでは、Oracle Internet Directoryに格納されている情報と照合してユーザーを認証します。すでに説明したとおり、Oracle Reports Servicesに対してSingle Sign-Onが有効であれば、Oracle Internet Directoryでユーザーおよびグループの権限情報がチェックされます。さらに、Oracle Internet Directoryからデータ・ソース接続情報が取得されます。
Oracle Delegated Administration Service
Delegated Administration Serviceは、Oracle Internet Directoryを更新するための包括的インタフェースを実現します。Oracle Internet Directoryのデータ・ソース接続文字列に関連付けられていないSingle Sign-Onキーを検出すると、Oracle Reports ServicesではOracle Delegated Administration Servicesを表示します。
詳細は、第16章「Oracle Single Sign-Onの構成と管理」を参照してください。
ユーザーは、インストール時またはインストール後に、Reportsアプリケーションに対してシングル・サインオンを有効化できます。この項では、次のシナリオについて説明します。
ユーザーが、Oracle Forms and Reports 11g R2のインストール時にアプリケーション・アイデンティティ・ストアおよび認証サーバーを選択すると、Reportsアプリケーションは認証サーバーで認証されるように構成されます。図16-2のフローチャートに、ReportsアプリケーションのSSO認証を有効化するステップを示します。
このフローチャートに示したステップの詳細を表16-1に示します。
表16-1 インストール時にReportsアプリケーションのシングル・サインオンを有効化するためのタスク
タスク | オプション | 説明 | コメント |
---|---|---|---|
タスク1: アプリケーション・アイデンティティ・ストア(OID)の選択 |
いいえ |
ユーザーは、シングル・サインオン認証でReportsを構成しないことを選択します。 |
|
はい |
ユーザーは、シングル・サインオン認証でReportsを構成することを選択します。ユーザーは、インストール画面でOIDアクセス詳細を入力する必要があります。ユーザーは、続くインストール画面で、SSOサーバーの選択を求められます。 |
アプリケーション・アイデンティティ・ストアを選択するステップの詳細は、『Oracle Fusion Middleware Oracle Forms and Reportsインストレーション・ガイド』のOracle Forms and Reportsインストレーションおよび構成画面のフローチャートに関する説明を参照してください。 |
|
タスク2: 認証(SSO)サーバーの選択 |
Oracle Single Sign-On Server (OSSO) |
ユーザーは、認証サーバーとしてOracle AS 10g Oracle Single Sign On Server (OSSO)を選択します。ここでは追加の資格証明は不要です。 |
認証サーバーを選択するステップの詳細は、『Oracle Fusion Middleware Oracle Forms and Reportsインストレーション・ガイド』のOracle Forms and Reportsインストレーションおよび構成画面のフローチャートに関する説明を参照してください。 |
OAMサーバー |
ユーザーは、認証サーバーとしてOracle Access Manager (OAMサーバー)を選択します。ユーザーは、OAMサーバーの管理者資格証明を入力する必要があります。 |
認証サーバーを選択するステップの詳細は、『Oracle Fusion Middleware Oracle Forms and Reportsインストレーション・ガイド』のOracle Forms and Reportsインストレーションおよび構成画面のフローチャートに関する説明を参照してください。 |
|
タスク3: Webgateアクセス・クライアントの設定 |
いいえ |
ユーザーは、初期状態の設定で、ReportsアプリケーションをOAM認証サーバーに対して構成することを選択します。 |
|
はい |
ユーザーは、webgateをアクセス・クライアントとして使用し、ReportsアプリケーションをOAM認証サーバーに対して構成することを選択します。ユーザーは、Webgateを手動でインストールして構成する必要があります。 |
Webgateアクセス・クライアントの設定ステップの詳細は、第16.5.3項「OAMに対するWebgateのインストールと構成」を参照してください。 |
注意: インストール時のOracle Reportsのシングル・サインオンの有効化の詳細は、『Oracle Fusion Middleware Oracle Forms and Reportsインストレーション・ガイド』を参照してください。 |
ユーザーがOracle Forms and Reports 11g R2のインストール中にアプリケーション・アイデンティティ・ストアを選択しない場合、Reportsアプリケーションは認証サーバーで認証されません。ただし、ユーザーはインストール後に、Reportsアプリケーションに対するシングル・サインオンの有効化を選択できます。図16-3のフローチャートに、インストール後にReportsアプリケーションに対してSSOを有効化するステップを示します。
このフローチャートに示したステップの詳細を表16-2に示します。
表16-2 インストール後にReportsアプリケーションのシングル・サインオンを有効化するためのタスク
タスク | オプション | 説明 | コメント |
---|---|---|---|
タスク1: Fusion Middleware Control (EM)を使用したReportsアプリケーションとOIDの関連付け |
ユーザーは、ReportsアプリケーションをOracle Internet Directoryと関連付けることを選択します。ユーザーは、続く画面で、SSOサーバーの選択を求められます。 |
アプリケーション・アイデンティティ・ストアの関連付けステップの詳細は、第14.9項「外部のOracle Internet Directoryの構成およびReportsの再関連付け」を参照してください。 |
|
タスク2: 認証(SSO)サーバーの選択 |
Oracle Single Sign-On Server (OSSO) |
ユーザーは、認証サーバーとしてOracle AS 10g Oracle Single Sign On Server (OSSO)を選択しました。 |
すでにOracle Single Sign-On (OSSO) 10gサーバーがインストールされている場合は、それを使用できます。そうでない場合は、Oracle Access Manager 11gをインストールできます。OAM 11gのインストール・ステップの詳細は、『Oracle Fusion Middleware Oracle Forms and Reportsインストレーション・ガイド』を参照してください。 |
OAMサーバー |
ユーザーは、認証サーバーとしてOracle Access Manager (OAMサーバー)を選択しました。 |
OAM 11gのインストール・ステップの詳細は、『Oracle Fusion Middleware Oracle Forms and Reportsインストレーション・ガイド』を参照してください。 |
|
タスク3: osso.confファイルの生成および適用 |
Oracle Single Sign-On Server (OSSO) |
ユーザーは、認証サーバーとしてOracle AS 10g Oracle Single Sign-On Server (OSSO)を選択しました。 |
認証サーバーでの |
OAMサーバー |
ユーザーは、認証サーバーとしてOracle Access Manager (OAMサーバー)を選択しました。ユーザーは、OAMコンソールを使用してOAMサーバーでosso.confファイルを生成する必要があります。 |
||
タスク5: Webgateアクセス・クライアントの設定 |
いいえ |
ユーザーは、アクセス・クライアントとして |
|
はい |
ユーザーは、 |
Webgateアクセス・クライアントの設定ステップの詳細は、第16.5.3項「OAMに対するWebgateのインストールと構成」を参照してください。 |