| Oracle® Business Intelligence Applicationsセキュリティ・ガイド 11gリリース1 (11.1.1.8.1) E56355-01 |
|
 前 |
 次 |
| Oracle® Business Intelligence Applicationsセキュリティ・ガイド 11gリリース1 (11.1.1.8.1) E56355-01 |
|
前 |
次 |
この章は、セキュリティ管理者に向けて、Oracle Business Intelligence Applicationsのセキュリティの設定および管理方法について説明します。
この章では、次の各トピックについて説明します。
この項では、次の各トピックについて説明します。
第1.1.2項「デフォルトでインストールされるセキュリティ・コンポーネント」
第1.1.3項「Oracle BI Applicationsのセキュリティ設定手順の概略」
第1.1.4項「Oracle Business Intelligence Applicationsのセキュリティ構成ツール」
第1.1.5項「Oracle BI Applicationsで使用されるセキュリティ・レベル」
第1.1.6項「Oracle BI Applicationsの職務ロールの管理」
第1.1.7項「BIエンド・ユーザーのプロビジョニングについて」
BIスタックの様々な部分のセキュリティ概念について理解すると、ソフトウェアとドキュメントで使用される用語に次の違いがあることを認識すると思います。
エンタープライズ・ロールは、グループまたはジョブ・ロールとも呼ばれます。たとえば、次などです。
- 用語「エンタープライズ・ロール」はこのガイドおよびFusion Applicationsで使用されます。
- 用語「グループ」はOracle WebLogic Server管理コンソール、およびOracle BI管理ツールで使用されます。
このガイドでは、用語「グループ」または「ジョブ・ロール」を使用するツールに言及する場合を除き、用語「エンタープライズ・ロール」を使用します。
職務ロールは、アプリケーション・ロールとも呼ばれます。たとえば、次などです。
- 用語「職務ロール」はこのガイドおよびFusion Applicationsで使用されます。
- 用語「アプリケーション・ロール」は、Oracle Enterprise Manager Fusion Middleware ControlおよびOracle WebLogic Server管理コンソールで使用されます。
このガイドでは、用語「アプリケーション・ロール」を使用するツールに言及する場合を除き、用語「職務ロール」を使用します。
Lightweight Directory Access Protocol (LDAP)は、認証プロバイダを指します。たとえば、Oracle WebLogic Server、Oracle Internet Directory (OID)、固有のLDAPサーバーおよびツールなどです。
Oracle BI EEプラットフォームにOracle BI Applicationsをインストールすると、次のセキュリティ・コンポーネントの使用が可能になります(図1-2の説明を参照してください)。
デフォルトのエンタープライズ・ロールのセットを含むOracle WebLogic Server LDAP。
このLDAPには、BIコンポーネントに必須のシステム・ユーザーも含まれます。
Oracle BI Applicationsで使用可能なすべてのオファリング、機能領域、モジュール用のデフォルトの職務ロールを含むポリシー・ストア。
デフォルトのWeblogic Server LDAPとポリシー・ストアの使用
このガイドでは、デフォルトのWebLogic Server LDAPとポリシー・ストアを使用してOracle BI Applicationsをデプロイする方法を説明します。たとえば、デフォルトのセキュリティ・コンポーネントをテストに使用してから、別の本番用のLDAP (Oracle Internet Directoryなど)にユーザーとエンタープライズ・ロールを移行できます。
Oracle Internet Directoryなど、別のLDAPをデプロイする場合は、ユーザーとエンタープライズ・ロールをWebLogic Server LDAPからそのLDAPに移行できます。
Oracle BI Applicationsでセキュリティを設定するには、次の手順を実行する必要があります。
第1.1項「概要」の残りの部分を参照して、セキュリティの概念、ツール、および用語の概要を把握します。
特に、職務ロールとそのユーザー権限の管理方法については、第1.1.6項「Oracle BI Applicationsの職務ロールの管理」および第A.1.13項「ユーザーとBIロールに対する新規グループとマッピングの定義方法」を参照して、十分に理解してください。
注意: このガイドの内容は、Oracle Business Intelligenceセキュリティ・ガイドの内容を補足し、Oracle Business Intelligence Enterprise Edition上で実行されるOracle BI Applicationsに固有の追加のセキュリティ情報が掲載されています。
Oracle BI Applicationsをインストールすると、プロビジョニング・プロセスによって、デフォルトで埋め込まれるOracle WebLogic Server LDAPにはデフォルトのエンタープライズ・ロールのセットが作成され、ポリシー・ストアにはデフォルトの職務ロールが作成されます。
Oracle BI Applications構成マネージャ、機能設定マネージャ(FSM)、およびODIユーザーのそれぞれに対して、LDAPでユーザー・アカウントを作成し、各ユーザーに適切な職務ロールを割り当てます。
使用する職務ロールの詳細は、第1.4.1項「Oracle BI Applications構成マネージャおよび機能設定マネージャのセキュリティの概要」を参照してください。
たとえば、次などです。
- FSMの管理ユーザーは、職務ロール「BIA_ADMINISTRATOR_DUTY」に関連付けられたエンタープライズ・ロールに割り当てる必要があります。
- Oracle BI Applications構成マネージャのロード計画管理ユーザーは、職務ロール「BIA_LOAD_PLAN_DEVELOPER_DUTY」に関連付けられたエンタープライズ・ロールに割り当てる必要があります。
- FSMの実装プラン管理ユーザーは、職務ロール「BIA_IMPLEMENTATION_MANAGER_DUTY」に関連付けられたエンタープライズ・ロールに割り当てる必要があります。
LDAPで、すべてのBIダッシュボードおよびレポート・ユーザー(BIユーザー)のユーザー・アカウントを作成します。
BIユーザーのそれぞれを適切なエンタープライズ・ロールに割り当てます。
BIユーザーにデプロイするオファリングのプロビジョニングをするには機能設定マネージャ(FSM)タスクを使用してオファリングおよび機能領域のセキュリティを設定します。FSMタスクを使用したセキュリティの構成については、第1.2項「Oracle BI Applications機能設定マネージャの情報タスクを使用したセキュリティの設定」を参照してください。
通常、セキュリティに関するFSMタスクでオファリングおよび機能領域のそれぞれに次を指定します。
- 有効化する必要がある初期化ブロック。
- BIユーザーに必要な職務ロール。
- 実行が必要な追加の設定手順(必要な場合)。
FSMのセキュリティ・タスクの情報に加え、Oracle BI Applicationsコンテンツ・ガイドをBIユーザーに必要なデフォルトの職務ロールとエンタープライズ・ロールの確実なリストとして使用します(My Oracle Supportのテクニカル・ノート1639479.1を参照してください)。
BIユーザーのプロビジョニングの詳細は、下記を参照してください。
FMWプロビジョニングを使用している場合は、第A.1.13.1項「Fusion Middleware (FMW)を使用したBIユーザーのプロビジョニング方法」を次のように参照します。
- デフォルトのOracle WebLogic Server LDAPを使用している場合は、第A.1.13.1.1項「インストールされたOracle Weblogic Server LDAPでBIユーザーをプロビジョニングする方法」の説明に従って、BIユーザーが必要とする職務ロールに適したエンタープライズ・ロールにBIユーザーのそれぞれを割り当てます。
- 独自のLDAPを使用している場合は、次のようにします。
- 必要に応じてOracle WebLogic Server LDAPから必要なLDAPにデフォルトのエンタープライズ・ロールを転送します。
- BIユーザーのそれぞれを適切なエンタープライズ・ロールに割り当て、第A.1.13.1.2項「独自のLDAPを使用したBIユーザーのプロビジョニング方法」の説明に従って、このエンタープライズ・ロールがBIユーザーが必要とする職務ロールに関連付けられていることを確認します。
プロビジョニングにRPD初期化ブロックを使用している場合は、第A.1.13.2項「RPD初期化ブロックを使用したBIユーザーのプロビジョニング方法」を参照してください。
次のツールを使用して、Oracle Business Intelligence Applicationsのセキュリティ設定を管理します。
Oracle BI Applications機能設定マネージャ(FSM)
Oracle BI Applications機能設定マネージャの情報タスクを使用して、Oracle BI Applicationsのオファリングおよびモジュールのセキュリティを設定します。
FSMタスクを使用したセキュリティ構成の概要については、第1.2項「Oracle BI Applications機能設定マネージャの情報タスクを使用したセキュリティの設定」を参照してください。
Oracle BI管理ツールを使用して、ビジネス・モデル、表、サブジェクト領域の権限設定、データ・アクセシビリティを制限するフィルタの指定、認証オプションの設定などのタスクを実行します。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
Oracle BIプレゼンテーションサービス管理を使用して、ダッシュボードやダッシュボード・ページをはじめとしたプレゼンテーション・カタログ・オブジェクトに対する権限設定などのタスクを実行します。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
Oracle Enterprise Manager Fusion Middleware Control
Fusion Middleware Controlを使用して、ポリシー・ストア、職務ロール、および機能アクセス決定権限を管理します。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
管理コンソールを使用して、Oracle WebLogic Server LDAPのユーザーおよびエンタープライズ・ロール、グループを管理します。また、管理コンソールは、セキュリティ・レルムの管理、代替認証プロバイダの構成にも使用できます。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
Oracle BI Applicationsのセキュリティは大まかに言うと次の3つのレベルに分類されます。
オブジェクトレベル・セキュリティ。 オブジェクトレベル・セキュリティでは、ユーザーのロールに基づいてビジネス論理オブジェクトの表示モードを制御します。オブジェクトレベルのセキュリティは、ビジネス・モデル、サブジェクト領域などのメタデータ・リポジトリ・オブジェクト、およびプレゼンテーション・カタログで定義されるダッシュボード・ダッシュボード・ページなどのWebオブジェクトに設定できます。詳細は、第1.4.5項「オブジェクトレベル・セキュリティについて」を参照してください。
データレベル・セキュリティ。 データレベル・セキュリティは、トランザクション・システムのデータに対するユーザーの関連付けに基づいてデータ(サブジェクト領域、ダッシュボード、Oracle BIアンサーなど)の表示モードを制御します。詳細は、第1.4.6項「データレベル・セキュリティについて」を参照してください。
ユーザーレベル・セキュリティ(ユーザーの認証)。 ユーザーレベル・セキュリティとは、提供された資格証明に基づくユーザーのIDの認証および確認を指します。詳細は、第1.4.7項「ユーザーレベル・セキュリティについて」を参照してください。
オブジェクトレベルおよびデータレベルのセキュリティは、ポリシー・ストアの職務ロールを使用してOracle BI Applicationsに実装されます。職務ロールは、エンタープライズ・ロールに一般的に付与される権限セットを定義します。
図1-3は、ポリシー・ストアの職務ロールに関連付けられたLDAP内のエンタープライズ・ルールにユーザーがどのように割り当てられるかを示しています。
通常、職務ロールはデータまたはオブジェクトのセキュリティに関連付けられます。たとえば、Oracle BI Applicationsリポジトリ(OracleBIAnalyticsApps.rpd)は、次の職務ロールを使用します。
「HR組織ベースのセキュリティ」職務ロールは、データ・セキュリティ・レベルでの人事管理データへのアクセス制御に使用されます。
「人事管理アナリスト」職務ロールは、オブジェクトのセキュリティ・レベルでの人事管理アナリスト・ロールのプレゼンテーション・レイヤー・オブジェクトの表示モードの制御に使用されます。
あらかじめ構成された職務ロールの表示には、次のようにいくつかのBIツールを使用できます。
Oracle BI管理ツール
Oracle BI管理ツールを使用してあらかじめ構成された職務ロールを表示するには、RPDを開き、「管理」、「アイデンティティ」の順に選択します。職務ロールは、オンライン・モードで「Identity Manager」ダイアログに表示されます。オフライン・モードでは、権限、フィルタまたは問合せ制限が設定された職務ロールのみが表示されます。このため、Oracle BI Applicationsリポジトリでデータ・アクセスのセキュリティを操作する場合は、オンライン・モードの使用をお薦めします。
Oracle Enterprise Manager Fusion Middleware Control - 詳細は、第1.1.6.1項「Oracle BI Applicationsの職務ロールの表示方法」を参照してください。
Oracle Authorization Policy Manager - Oracle APMで、obiアプリケーションにナビゲートし、「検索」オプションを使用して、接頭辞「OBIA_」の職務ロールを特定します。職務ロールを選択し、「開く」をクリックして、<アプリケーション名> | 「アプリケーション・ロール」ダイアログを表示します。「外部ロール・マッピング」タブを表示して、ロール・リストに適切なエンタープライズ・ロールが含まれていることを確認します。
一般にOracle BI Applicationsの職務ロールとユーザーの標準的な階層構造は、データ・セキュリティ職務ロール、オブジェクト・セキュリティ職務ロール、エンタープライズ・ロール(グループとも呼ばれる)、ユーザーと続きます。セキュリティを設定する場合のベスト・プラクティスは、この構造を使用することです。
セキュリティ管理者は、Oracle Enterprise Manager Fusion Middleware Controlで職務ロールの表示、変更および作成を実行できます。
たとえば、BIユーザーFredにエンタープライズ・ロール「固定資産会計マネージャEBS」ロールが付与されているとします。FredにEBSの固定資産会計レポートのセキュリティ・アクセスをプロビジョニングするには、BI職務ロール「固定資産会計マネージャEBS」を編集し、エンタープライズ・ロール「固定資産会計マネージャEBS」をメンバーとして追加します。
職務ロールを表示する手順は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlに管理者としてログインします。
「Business Intelligence」を展開し、「コア・アプリケーション」を右クリックして「セキュリティ」、「アプリケーション・ロール」の順に選択します。
使用可能な職務ロールがリストされます。「<職務ロール名>のメンバーシップ」領域に、選択した職務ロールに関連付けられているエンタープライズ・ロールまたは他の職務ロールが表示されます。
次のスクリーンショットは、Oracle BI Applicationsのインストール時に作成された追加の事前定義職務ロールの例を示しています。職務ロールのリストは、インストールによって異なります。
BIユーザーに職務ロールをプロビジョニングするには、まず、LDAPでユーザーをエンタープライズ・ロールやグループに割り当ててから、そのエンタープライズ・ロールやグループがポリシー・ストアの適切な職務ロールに関連付けられていることを確認します。
Oracle WebLogic Server LDAPにデフォルトで埋め込まれたエンタープライズ・ロールを使用している場合、これらのエンタープライズ・ロールは適切な職務ロールにデフォルトで関連付けられているため、さらに構成する必要はありません。
独自のエンタープライズ・ロール・セットが設定された別のLDAPを使用している場合は、次の手順を使用してこれらのロールが適切な職務ロールに関連付けられていることを確認する必要があります。
BIユーザーに職務ロールをプロビジョニングする手順は次のとおりです。
Oracle Enterprise Manager Fusion Middleware Controlに管理者としてログインします。
「Business Intelligence」を展開し、「コア・アプリケーション」を右クリックして「セキュリティ」、「アプリケーション・ロール」の順に選択します。
使用可能な職務ロールのリストが表示されます。
特定のBIユーザーに職務ロールをプロビジョニングする手順は次のとおりです。
BIユーザーがアクセスする必要がある職務ロールを選択します。
「編集」をクリックして「アプリケーション・ロールの編集」ダイアログを表示します。
「メンバー」リストで、「追加」をクリックして、「プリンシパルの追加」ダイアログを表示します。
「検索」領域を使用して、BIユーザーに付与されているエンタープライズ・ロール、グループを選択します。
たとえば、ユーザーFredにエンタープライズ・ロール「固定資産会計マネージャEBS」ロールが付与されているとします。FredにEBSの固定資産会計レポートのセキュリティ・アクセスをプロビジョニングするには、BI職務ロール「固定資産会計マネージャEBS」を編集し、エンタープライズ・ロール「固定資産会計マネージャEBS」をメンバーとして追加します。
「OK」をクリックします。
Oracle Enterprise Manager Fusion Middleware Controlに管理者としてログインします。
「Business Intelligence」を展開し、「コア・アプリケーション」を右クリックして「セキュリティ」、「アプリケーション・ロール」の順に選択します。
使用可能な職務ロールのリストが表示されます。
職務ロールを編集する手順は次のとおりです。
「アプリケーション・ロール」リストで、編集する職務ロールを選択します。
「編集」をクリックします。
「アプリケーション・ロールの編集」ダイアログを使用して、詳細を変更し、「OK」をクリックします。
職務ロールを作成する手順は次のとおりです。
「作成」をクリックして「アプリケーション・ロールの作成」ダイアログを表示します。
これ以外に、作成する職務ロールと似ている職務ロールを選択して「類似作成」をクリックする方法もあります。「類似作成」を使用すると、デフォルトのメンバー(つまり、エンタープライズ・ロールやグループ)がコピーされます。
「一般」領域を使用して、詳細を指定します。
「メンバー」リストで、「追加」をクリックして、この職務ロールを関連付けるエンタープライズ・ロール、グループを検索し、選択します。
「OK」をクリックします。
特定のユーザーに対して複数の職務ロールを付与できますが、Oracleではユーザーにプロビジョニングする職務ロールを単一化するためエンタープライズ・ロールの定義をお薦めします。
テスト用LDAPに対する構成のOracle Business Intelligence Enterprise Editionテスト・サーバーが存在し、本番サーバーが社内LDAPに対して構成され、テスト用LDAPが社内LDAPディレクトリのファンアウト・コピーではない場合は、LDAP GUIDをリフレッシュする必要があります。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』のユーザーGUIDのリフレッシュに関する項を参照してください。LDAPは、Fusion Applicationsには必須ですが、他のソース・アプリケーションではオプションであることに注意してください。
BIユーザーのBI職務ロールへのプロビジョニングには、LDAPのエンタープライズ・ロールが使用されます。通常、ユーザーのプロビジョニングにはOracle Fusion Middleware、またはRPD初期化ブロックが使用されます。
BIユーザーのプロビジョニング方法の詳細は、第A.1.13項「ユーザーとBIロールに対する新規グループとマッピングの定義方法」を参照してください。
Oracle BI Applicationsのオファリングに対するセキュリティを設定する際は、機能設定マネージャ(FSM)を使用してセキュリティ・タスクを管理します。FSMで特定の機能領域に対する実装プランを作成するときに、セキュリティ設定タスクをはじめ、その機能領域の構成に必要なタスクのリストがFSMから提供されます。通常、セキュリティ設定タスクは、タスク名に単語「セキュリティ」が含まれています。
注意: FSMタスクの使用の詳細は、『Oracle Business Intelligence Applications構成ガイド』を参照してください。
たとえば、次のスクリーンショットは、人事管理の機能領域のFSMタスクのリストを示しています。「給与ベース・データ・セキュリティの設定方法」など、セキュリティ関連のタスクのいくつかが強調表示されています。
機能領域のセキュリティを構成する手順は次のとおりです。
機能領域の構成用に作成された「実装プロジェクト」にナビゲートします。
管理者としてログインしている場合は、すべてのFSMタスクにアクセスできます。機能開発者としてログインしている場合は、「割当済実装タスク」タブに管理者から割り当てられたFSMタスクのリストが表示されます。
たとえば、次のスクリーンショットは人事管理モジュールのFSMタスクのリストで、「HR監督者階層ベース・データ・セキュリティの設定方法」という名前のタスクが選択されています。
セキュリティ・タスクごとに、次の手順を実行します。
セキュリティタスクの横にある「タスクに進む」アイコンをクリックします。
タスク名の横にある「ヘルプ」アイコンをクリックします。
ヘルプ・トピックに説明が表示されます。
ヘルプ・トピックの説明に従います。
通常、タスクを完了するには、Oracle Fusion Middleware Control、Oracle BI管理ツールなどのセキュリティ・ツールのいずれかを使用します。
たとえば、一連のユーザーをプロビジョニングするためにOracle WebLogic Server管理コンソールにログインする手順が含まれる場合があります。
FSMで、「完了」をクリックします。
タスクのステータスを「完了」に設定します。
事前構成されたOracle BI Applicationsセキュリティ・モデルを使用する運用ソース・システムに合せて拡張できます。Oracle BI Applicationsを拡張する際は、カスタマイズと新規のオブジェクトのすべてが有効で機能することを確認する必要があります。
リポジトリ・オブジェクトのデータレベル・セキュリティを拡張する一般的なプロセスは次のとおりです。
ディメンションまたはファクトの保護に必要な属性を追加して物理表を拡張します。(この手順によってデータ・モデルが変更されます。)
ファクトまたはディメンション表の各行に対応する属性値を入力します。(この手順によってETLマッピングが変更されます。)
Oracle BI管理ツールを使用して、各ユーザーがOracle BI Applicationsにログインしたときに属性値をフェッチしてセッション変数に移入する初期化ブロックを作成します。初期化ブロックが行単位の初期化ブロックでない場合は、初期化ブロックにターゲット・セッション変数を作成できます。(この手順によってOracle BIリポジトリが変更されます。)手順の詳細については、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
Fusion Middleware Controlを使用して、ポリシー・ストアで職務ロールを作成します。その後、Oracle BI Serverを再起動します。手順の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
手順1で追加した属性によって保護する必要があるファクトおよびディメンション表のそれぞれに対して、オンライン・モードでOracle BI管理ツールを使用して、新しいロールに基づくデータ・フィルタを設定します。(この手順によって、Oracle BIリポジトリが変更されます。)手順の詳細については、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
手順4で作成した職務ロールに基づいて、オンライン・モードでOracle BI管理ツールを使用してオブジェクトへのアクセスを制限します。(この手順によって、Oracle BIリポジトリが変更されます。)手順の詳細については、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
プレゼンテーション・サービス管理を使用して、手順4で作成した職務ロールに基づくプレゼンテーション・サービス・カタログの権限を設定します。手順の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
|
注意: データレベル・セキュリティの拡張時は、既存のOracle BI Applicationsセキュリティ・オブジェクトも利用できます。そのためには、初期化ブロック、職務ロールなど、保護対象のディメンションに既存のセキュリティ・オブジェクトをコピーし、それを変更して追加のディメンションに適用します。 職務ロール、初期化ブロックなどのセキュリティ・オブジェクトの操作の詳細は、次の資料を参照してください。
|
この項は、次の内容で構成され、Oracle BI Applicationsのセキュリティに関する補足および参照情報について説明します。
第1.4.1項「Oracle BI Applications構成マネージャおよび機能設定マネージャのセキュリティの概要」
第1.4.2項「Oracle BI Applications構成マネージャおよび機能設定マネージャの権限について」
第1.4.3項「Oracle BI Applicationsのユーザーの職責の確認」
第1.4.4項「Oracle Business Intelligenceのプレゼンテーション・サービス・カタログ権限の管理について」
第1.4.8項「Oracle BI Applicationsのセキュリティに関する追加情報ソース」
Oracle BI Applications構成マネージャ、または機能設定マネージャ(Oracle BI Applications用)にアクセスするユーザーは、次の職務ロールのいずれかに関連付けられたエンタープライズ・ロールに割り当てられている必要があります。
BI Applications管理者職務(BIA_ADMINISTRATOR_DUTY)
「BI Applications管理者職務」ロールが付与されたユーザーは、Oracle BI Applications構成マネージャのユーザー・インタフェースのすべて、および機能設定マネージャのユーザー・インタフェースのすべてにアクセスできます。Oracle BI Applications構成マネージャでは、この職務ロールが付与されたユーザーのみがシステム設定タスクを実行できます。
BI Applications実装マネージャ(BIA_IMPLEMENTATION_MANAGER_DUTY)
「BI Applications実装マネージャ職務」ロールが付与されたユーザーは、Oracle BI Applications構成マネージャの「概要」ページ、および「設定データのエクスポートおよびインポート」にアクセスできます。これらのユーザーは機能設定マネージャで「オファリングの構成」、および「実装プロジェクトの管理」ユーザー・インタフェースにアクセスできますが、設定タスクは実行できません。
BI Applications機能開発者(BIA_FUNCTIONAL_DEVELOPER_DUTY)
「BI Applications機能開発者職務」ロールが付与されたユーザーは、「システム設定」を除くOracle BI Applications構成マネージャのユーザー・インタフェースにアクセスできます。これらのユーザーは機能設定マネージャで各自に割り当てられた機能設定タスクのリストにアクセス可能で、設定タスクを実行できます。
BI Applicationsロード計画開発者(BIA_LOAD_PLAN_DEVELOPER_DUTY)
「BI Applicationsロード計画開発者職務」ロールが付与されたユーザーは、「ロード計画」ページにアクセスして、ロード計画の作成、編集、削除、生成、実行、モニターを実行できます。このロールが付与されたユーザーは、ロード計画に関連付けられたファクト・グループ、データ・ロード・パラメータ、ドメイン・マッピング、およびスケジュールを表示および編集できます。
BI Applicationsロード計画オペレータ(BIA_LOAD_PLAN_OPERATORY_DUTY)
「BI Applicationsロード計画オペレータ職務」ロールが付与されたユーザーは、「ロード計画」ページへの限定アクセスがあり、ロード計画の生成ステータスと実行ステータスの詳細を表示できますが、変更はできません。
この項は、次の内容で構成され、Oracle BI Applications構成マネージャおよび機能設定マネージャの権限について説明します。
表1-1は、Oracle BI Applicationsの各ロールに表示されるOracle BI Applications構成マネージャ画面のリストを示しています。
表1-1 Oracle BI Applicationsの各職務ロールに表示されるOracle BI Applications構成マネージャ画面のリスト
| Oracle BI Applicationsの職務ロール | Oracle BI Applications構成マネージャの画面 | 関連付けられた権限 |
|---|---|---|
|
BI Applications管理者 |
概要 |
BIA_OVERVIEW_PRIV |
|
BI Applications管理者 |
システム設定 - Oracle BI Applicationsインスタンスの定義 |
BIA_DEFINE_INSTANCE_PRIV |
|
BI Applications管理者 |
システム設定 - Oracle BI Applicationsの管理 |
BIA_MANAGE_INSTANCE_PRIV |
|
BI Applications管理者 |
システム設定 - 優先通貨の管理 |
BIA_MANAGE_INSTANCE_PRIV |
|
BI Applications管理者 |
機能構成 - 機能設定マネージャを起動する「機能構成の実行」リンク |
BIA_FUNCTIONAL_SETUPS_PRIV |
|
BI Applications管理者 |
設定データの保守および管理 - ドメインおよびマッピングの管理 |
BIA_CONFIGURE_DOMAINS_PRIV |
|
BI Applications管理者 |
設定データの保守および管理 - データ・ロード・パラメータの管理 |
BIA_CONFIGURE_DATALOAD_PARAMS_PRIV |
|
BI Applications管理者 |
設定データの保守および管理 - レポート・パラメータの管理 |
BIA_CONFIGURE_RPD_PARAMS_PRIV |
|
BI Applications管理者 |
設定データのエクスポートおよびインポート - 設定データのエクスポート |
BIA_EXPORT_SETUPS_PRIV |
|
BI Applications管理者 |
設定データのエクスポートおよびインポート - 設定データのインポート |
BIA_IMPORT_SETUPS_PRIV |
|
BI Applications機能開発者 |
概要 |
BIA_OVERVIEW_PRIV |
|
BI Applications機能開発者 |
機能構成 - 機能設定マネージャを起動する「機能構成の実行」リンク |
BIA_FUNCTIONAL_SETUPS_PRIV |
|
BI Applications機能開発者 |
設定データの保守および管理 - ドメインおよびマッピングの管理 |
BIA_CONFIGURE_DOMAINS_PRIV |
|
BI Applications機能開発者 |
設定データの保守および管理 - データ・ロード・パラメータの管理 |
BIA_CONFIGURE_DATALOAD_PARAMS_PRIV |
|
BI Applications機能開発者 |
設定データの保守および管理 - レポート・パラメータの管理 |
BIA_CONFIGURE_RPD_PARAMS_PRIV |
|
BI Applications機能開発者 |
設定データのエクスポートおよびインポート - 設定データのエクスポート |
BIA_EXPORT_SETUPS_PRIV |
|
BI Applications機能開発者 |
設定データのエクスポートおよびインポート - 設定データのインポート |
BIA_IMPORT_SETUPS_PRIV |
|
BI Applications実装マネージャ |
概要 |
BIA_OVERVIEW_PRIV |
|
BI Applications実装マネージャ |
設定データのエクスポートおよびインポート - 設定データのエクスポート |
BIA_EXPORT_SETUPS_PRIV |
|
BI Applications実装マネージャ |
設定データのエクスポートおよびインポート - 設定データのインポート |
BIA_IMPORT_SETUPS_PRIV |
機能設定マネージャのロールは、次のようにOracle BI Applicationsのロールに関連付けられています。
BI Applications管理者ロール(BIA_ADMINISTRATOR_DUTY)は、次の機能設定マネージャ・ロールに関連付けられています。
ASM_FUNCTIONAL_SETUPS_DUTY
ASM_IMPLEMENTATION_MANAGER_DUTY
ASM_APPLICATION_DEPLOYER_DUTY
ASM_APPLICATION_REGISTRATION_DUTY
ASM_LOGICAL_ ENTITY_MODELING_DUTY
ASM_SETUP_OBJECTS_PROVIDER_DUTY
BI Applications実装マネージャ・ロール(BIA_IMPLEMENTATION_MANAGER_DUTY)は、次の機能設定マネージャ職務に関連付けられています。
ASM_IMPLEMENTATION_MANAGER_DUTY
BI Applications機能開発者ロール(BIA_FUNCTIONAL_DEVELOPER_DUTY)は、次の機能設定マネージャ職務に関連付けられています。
ASM_FUNCTIONAL_SETUPS_DUTY
事前構成された職務ロールは、認証後に正しいロールを適用できるようにソース運用アプリケーションの職責とロールを対応させます。管理者は次の方法でユーザーの職責を確認できます。
SiebelまたはOracle EBS運用アプリケーションでは、「職責」ビューに移動します。
PeopleSoftアプリケーションでは、「ロール」ビューに移動してユーザーのロールを確認します。
JD Edwards EnterpriseOneアプリケーションでは、「ユーザー プロファイル」アプリケーション(P0092)に移動して、ユーザーのロールを確認します。
個別のユーザーは、各自に割り当てられた職務ロールのリストを表示できます。Oracle BIアプリケーションで、「次としてサインイン」ユーザー名をクリックし、「マイ・アカウント」を選択します。次に、「ロールおよびカタログ・グループ」タブをクリックして、職務ロールを表示します。プレゼンテーション・サービスでは職務ロールを使用して、プレゼンテーション・サービス内でアクションを実行する能力(権限)を制御します。
詳細は、ソース・システムのシステム管理者に問い合せてください。
Oracle BIプレゼンテーション・サービスで職務ロールに新しいカタログ権限を追加したときに、変更内容がその場でOracle Business Intelligence環境に反映されるわけではありません。カタログ権限を登録するには、管理者とユーザーの両方が次のタスクを実行する必要があります。
Oracle BI管理者は、Oracle BIプレゼンテーション・サービスを使用してOracle BI Serverメタデータを再ロードする必要があります。メタデータを再ロードするには、「Oracle BIアンサー」で、「管理」を選択してから、「ファイルとメタデータの再ロード」をクリックします。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
その職務ロールに属するユーザーは、Oracle BIアプリケーションから(また、ユーザーが埋込みアプリケーションを使用してOracle BIダッシュボードを表示している場合はSiebelまたはOracle EBS運用アプリケーションから)、ログアウトする必要があります。
この項では、Oracle BI Applicationsのオブジェクトレベル・セキュリティの機能について説明します。次の各トピックについて説明します。
職務ロールは、サブジェクト領域、表、列などのメタデータ・オブジェクトへのアクセスを制御します。たとえば、特定部門のユーザーはその部門に属するサブジェクト領域のみを表示できます。
メタデータ・オブジェクトのセキュリティは、Oracle BI管理ツールを使用してOracle BIリポジトリで構成されます。全員職務ロールは、それぞれのサブジェクト領域に対するアクセスが拒否されます。各サブジェクト領域は、選択された関連職責に対して明示的な読取りアクセスを付与するように構成されます。このアクセスは、表および列に拡張できます。
|
注意: Oracle BI Applicationsのデフォルトでは、サブジェクト領域レベルの権限のみ構成されています。 |
|
注意: Siebel Communications and Financial Analytics業種アプリケーションには、業種固有で他の職務ロールには表示されない表と列があります。 |
Oracle Business Intelligenceでは、職務ロール内の階層がサポートされます。ポリシー・ストアには、親となる職務ロールが存在し、この親職務ロールがすべての子職務ロールの動作を定義します。権限の子職務ロールへの波及を可能にするため、継承が使用されます。親職務ロール、および事前作成された職務ロール階層の詳細は、My Oracle SupportでOracle Business Intelligence Applicationsのロールとセキュリティとして公開されたドキュメントで、グループ、職務ロール、初期化ブロックおよびセキュリティ・ポリシーのリストを参照してください。
この項では、Oracle BI Applicationsのデータレベル・セキュリティの機能について説明します。次の各トピックについて説明します。
データレベル・セキュリティは、レポート内へのアクセスが可能なOLTPアプリケーションのユーザーを定義します。1つのレポートを2名の異なるユーザーが実行すると、提示されるデータが異なる場合があります。これは、運用アプリケーション内の「担当交渉中プロジェクト」ビューに表示されるデータがユーザーごとに異なる状況と似ています。ただし、ユーザーにレポートのサブジェクト領域へのアクセスがなく、エラーが表示される場合を除き、レポートの構造はすべてのユーザーに対して同じです。
Oracle BI Applicationsでサポートされるデータ・セキュリティ・ポリシーの詳細は、My Oracle SupportでOracle Business Intelligence Applicationsのロールとセキュリティとして公開されたドキュメントのリストを参照してください。インストールおよび構成時に、使用する環境で職務ロールと初期化ブロックが正しく設定されているかを確認する必要があります。
Oracle Business Intelligenceでの初期化ブロックの使用の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』、および『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
Oracle BI Applicationsのデータレベル・セキュリティは、次に説明するように3つの主要手順で実装されます。これらの手順の実行の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
ユーザーのログイン時に、組織階層内のユーザーの階層レベル、ユーザーの職責など、特定のセキュリティ関連情報を取得する初期化ブロックを設定します。初期化ブロックは、ユーザー・セッションごとにDimensionIdを取得して、ファクト・データおよびディメンション・データへの行レベルのアクセスを制限します。
事前構成された初期化ブロックの説明については、第1.4.6.3項「Oracle BI Applicationsのデータレベル・セキュリティに使用される初期化ブロック」を参照してください。
メタデータの物理レイヤーと論理レイヤーの適切なセキュリティ表に対する結合を設定します。
このセキュリティ機能の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
保護が必要な各論理表で職務ロールのそれぞれにデータ・フィルタを設定します。
このセキュリティ機能の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
初期化ブロックは、機能設定マネージャ(FSM)タスクで提供されるガイダンスを使用し、構成の一環としてデプロイされます。
FSMタスクの使用方法の概要については、第1.2項「Oracle BI Applications機能設定マネージャの情報タスクを使用したセキュリティの設定」を参照してください。FSMタスクの使用の詳細は、『Oracle Business Intelligence Applications構成ガイド』を参照してください。Oracle BI Applications用に事前作成された初期化ブロックの詳細は、My Oracle SupportでOracle Business Intelligence Applicationsのロールとセキュリティとして公開されたドキュメントのリストを参照してください。
Oracle BI Applicationsでは、セッション・レベルですべてのユーザーに動的に割り当てられるデータレベル・セキュリティの職務ロールが管理されます。職務ロールのそれぞれに、各ユーザーに表示が許可されるデータを決定する一連のフィルタが関連付けられています。ユーザーには、認可初期化ブロックを介して職務ロールが割り当てられます。
データ・セキュリティの設計には次の機能があります。
ドリル・ダウン。ユーザーは一階層内の特定のポジションにドリル・ダウンして、階層内の次のポジション・レベルでデータをスライスできます。たとえば、初期レポートが次のように定義されているとします。
select Top Level Position, Revenue from RevenueStar
この場合、TopLevelPosition階層のMyPositionの値にドリル・ダウンすることで、レポートは次のようになります。
Select Level8 Position, Revenue, where TopLevelPosition = 'MyPosition'
パーソナライズされたレポート。ポジション階層内でのレベルが異なるユーザーも同じポジション・ベースのレポートを使用できますが、各ユーザーに表示されるデータはそのユーザーのレベルに対応します。このようなレポートではポジションが動的な列になります。
たとえば、レポートが次のように定義されているとします。
select Position, Revenue from RevenueStar
階層の最上位レベルのユーザーの論理問合せは次のようになります。
select Top Level Position, Revenue from RevenueStar
階層の次のレベルのユーザーの論理問合せは次のようになります。
select Level8 Position, Revenue from RevenueStar
CURRENTポジション階層列。接頭辞CURRENTがあるポジション階層列には、その時点現在のポジション階層が格納されます。この機能を使用すると、複数のユーザーにレポートの実行時点で現在の従業員のポジションを保持する従業員に関連付けられた、同一データが表示されます。このタイプの分析は、現状と呼ばれます。
追加のポジション階層列。列EMP_LOGIN、およびEMPLOYEE_FULL_NAMEは、ポジション階層のすべてのレベルで、特定のポジションを保持する従業員に関する追加情報の格納に使用されます。論理レイヤーでは、従業員パスとポジション・パスがポジション階層の2つのドリル・ダウン・パスになり、ユーザーはこれを使用してポジションのドリル・ダウンを行いその下位のすべてのポジションを表示できます。また、従業員は、自分に対してレポートを提出するすべての従業員も表示できます。
ユーザー・セキュリティは、ユーザー名、パスワードなど、提供された資格証明に基づくユーザーのアイデンティティの認証および確認に関係します。デフォルトの場合、ユーザーレベル・セキュリティは埋込みのOracle WebLogic Server LDAP、およびOracle Business Intelligence Enterprise Editionのポリシー・ストアで設定されます。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』を参照してください。
Oracle BI Applicationsでセキュリティを構成するときに、状況によっては次などの他の領域のセキュリティの参照が必要になることがあります。
Oracle Fusion Applicationsのセキュリティ
詳細は、下記を参照してください。
Oracle Fusion Applicationsセキュリティ・ガイド
Oracle Fusion Applications共通セキュリティ・リファレンス・マニュアル
Oracle Business Intelligence Enterprise Editionセキュリティの実装
詳細は、下記を参照してください。
Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド
Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド
