4 Oracle Data Minerユーザーの管理

この章では、Oracle Data Minerユーザー・アカウントを管理する方法を説明します。この章の内容は次のとおりです。

• ユーザー・オブジェクトとリポジトリ・オブジェクトについて

• Oracle Data Minerのプロキシ・ユーザーについて

• Oracle Data Minerのアクセス・モデルの選択

• Oracle Data Minerリポジトリに対するアクセス権の付与と削除

• データへのアクセスの付与

4.1 ユーザー・オブジェクトとリポジトリ・オブジェクトについて

Oracle Data Minerのインストール環境は、1つのリポジトリと1つ以上のユーザー・アカウントで構成されます。ユーザーは、リポジトリに対するアクセス権と、データベースにおけるデータ・マイニング操作に必要な権限、およびデータに対する適切なアクセス権を持っている必要があります。

Oracle Data Minerは、情報を、Oracle Data Minerユーザーのスキーマと、リポジトリ・スキーマ(ODMRSYS)に格納します。ワークフローをサポートするマイニング・モデルとデータは、ユーザーのスキーマに格納されます。プロジェクトとワークフローの構造を定義するメタデータは、XMLドキュメントとしてODMRSYSに格納されます。

関連項目: 「Oracle Data Minerリポジトリについて」 ビッグ・データ用のOracle Data Minerアーキテクチャ

4.1.1 Oracle Data Minerユーザーのスキーマ内のオブジェクト

ワークフローは、オブジェクト、表およびビューを作成します。Oracle Data Minerは、次のオブジェクトをユーザーのスキーマに格納します。

• オブジェクト。ユーザーから認識できます。これには、モデル・ノードによって作成されるマイニング・モデルと、表作成ノードによって作成される表が含まれます。

• 表とビュー。ユーザーからは直接認識できません。たとえば、モデル構築時に作成されるテスト結果表は、内部表です。表の名前はユーザーに表示されませんが、ユーザーはテスト結果ビューアで表の内容を参照できます。

4.1.2 Oracle Data Minerの内部表について

ユーザーのスキーマにある内部表には、サポート・ワークフローとデータ・マイニング活動に関する情報が格納されます。

• データ・マイニング・エンジンは、データベースにDM$接頭辞を持つ表を作成します。これらの表には、マイニング・モデルに関する情報が格納されます。

• Oracle Data Minerは、ODMR$接頭辞を持つ表を作成します。これらの表には、ワークフローに関する情報が格納されます。

SQL Developerスキーマ・ナビゲータを使用してOracle Data Minerユーザーが所有するオブジェクトを表示すると、内部表とビューは表示に含まれます。SQL Developerでフィルタを作成して内部表とビューを非表示にできます。Oracle Data Minerインタフェースを使用してユーザーのスキーマを表示すると、内部表とビューは自動的にフィルタされます。

4.2 Oracle Data Minerのプロキシ・ユーザーについて

接続は、SQL Developerのオブジェクトであり、特定のユーザーのログイン資格証明を特定のデータベースに指定します。Data Miner接続はSQL Developer接続の1つで、Data Minerユーザーに必要な権限を含んでいます。Oracle Data Miner接続は、「Data Minerの接続」タブのナビゲータにリストされます。

SQL Developer接続は通常、データベースに定義されている単一のユーザーにデータベース・アクセス権を提供します。ただしSQL Developerには、独自のログイン資格証明を持ちながら同じターゲット・データベース・ユーザー・アカウントを共有するプロキシ・ユーザーをサポートする機能もあります。SQL Developerには、プロキシ・ユーザーの作成に対応したいくつかの接続タイプがあります。

Oracle Data Minerは、ベーシック・タイプおよびTNS接続タイプのプロキシ認証をサポートします。図4-1に、SQL Developerの「詳細プロパティ」ダイアログ・ボックスを示します。このダイアログ・ボックスで、既存のBasic接続でプロキシ・ユーザーを作成できます。

図4-1 SQL DeveloperにおけるBasic接続のプロキシ・ユーザー

「図4-1 SQL DeveloperにおけるBasic接続のプロキシ・ユーザー」の説明

SQL DeveloperのLDAPサービスを使用して、機能的にプロキシ・ユーザーと同等のユーザーを作成することもできます。LDAPを使用する場合、個々の(プロキシ)ユーザーを作成し、それぞれを既存のデータベース・ユーザー接続に関連付けます。

関連項目: Oracle SQL Developerユーザーズ・ガイドのデータベース接続に関する項を参照してください。 Oracle SQL Developerユーザーズ・ガイドのプロキシ認証による接続に関する項を参照してください。 『Oracle SQL Developerユーザーズ・ガイド』のLDAP接続に関する情報 『Oracle Databaseセキュリティ・ガイド』のプロキシ認証の概要に関する項を参照してください。

4.3 Oracle Data Minerのアクセス・モデルの選択

Oracle Data Minerのアクセスを単一のデータベース・ユーザーに制限することも、複数のデータベース・ユーザーにアクセスを許可することもできます。いずれの場合も、プロキシ・サーバーを作成すれば、ユーザーをグループ化してデータベースで1つのData Minerユーザー・アカウントを共有できます。

• 単一ユーザー・アクセス - ユーザー・スキーマが1つの場合です。ある人がOracle Data Minerを使用できるか、プロキシ・アカウントをもつ1つのグループの人々がOracle Data Minerを使用できるかのどちらかです。プロキシ・ユーザーは、同じモデルとデータベース・オブジェクトにアクセスできます。すべてのユーザーが、データベース・オブジェクトを作成、変更、削除でき、すべてのユーザーが他のユーザーの作業を見ることができます。

• 複数ユーザー・アクセス - 複数のユーザー・スキーマがある場合です。1つのスキーマで個々のユーザーをサポートするか、プロキシ・ユーザーのグループをサポートする、あるいは個々のアクセスと共有アクセスを組み合せる設定も可能です。共有していないユーザーも含め、あらゆるユーザーに対してプロキシ認証を使用できます。

選択するアクセス・モデルは、サポートの必要なユーザーの数によっても、またユーザーが共有環境での作業を必要とするかプライベート環境で単独で作業するかによっても異なります。

4.3.1 共有アクセスについて

共有ユーザー・アカウントを利用するとコラボレーションはしやすくなりますが、各ユーザーは他のユーザーの作業を干渉しないように注意してください。

何人かのプロキシ・ユーザーが単一のデータベース・アカウントへのアクセスを共有する場合、Oracle Data Minerはロック・メカニズムを使用してワークフローへのアクセスを調整します。実行中や実行の待機中、または編集中のワークフローはロックされます。

ワークフローのネームスペースはプロジェクトです。複数のユーザーが同じプロジェクトで作業する場合は、各自のワークフローには、他のユーザーのワークフローと区別できるような名前を付けるように留意してください。たとえば、各ユーザーのイニシャルを接頭辞として追加することに合意するなどが考えられます。

データベース・オブジェクト、たとえばマイニング・モデルや表のネームスペースは、共有スキーマ内で一意です。一意の名前を維持できるように、Oracle Data Minerはデータベース・オブジェクトのネーミング規則に従います。他のワークフローで参照される表に対してシステム生成された名前をユーザーが変更すると、警告が生成されます。

関連項目: ワークフローの命名と名前の変更に関する詳細は『Oracle Data Minerユーザーズ・ガイド』。

4.3.1.1 ドキュメント使用中条件について

Oracle Data Minerクライアントがネットワークから切断された場合(たとえば、ケーブルが取り外されたか、ラップトップが休止状態になった場合)、ワークフローのロックは解放されません。切断されたセッションは、まだロックされ、データベースで実行されています。別のユーザーがワークフローを編集しようとすると、ドキュメント使用中のメッセージが生成されます。

ツールバー上のロックをクリックすることによって、ロックを再取得できます。ロックを再取得できない場合、ロックを保持しているデータベース・セッションを停止する必要があります。詳細は、『Oracle Database管理者ガイド』の、セッション終了に関する項を参照してください。

4.3.2 単一ユーザー・アクセスについて

プロキシを使用しない場合、ユーザーはそれぞれのスキーマ内で自律的に機能します。Oracle Databaseのセキュリティ・メカニズムによって、ユーザーは他のユーザーのスキーマに属するオブジェクトを変更できないようになっています。単一ユーザー・アクセスでは、プライベートなワークスペースが保証されますが、コラボレーションには向きません。

4.4 Oracle Data Minerリポジトリに対するアクセス権の付与と削除

GUIを使用するか、スクリプトを実行することによって、Oracle Data Minerリポジトリへのアクセス権を付与できます。スクリプトを実行することによって、アクセス権を取り消せます。

• GUIを使用したアクセス権の付与

• スクリプトを使用したアクセス権の付与

• スクリプトを使用したアクセス権の削除

4.4.1 GUIを使用したアクセス権の付与

GUIを使用してOracle Data Minerリポジトリをインストールした場合、リポジトリへのアクセス権はユーザーIDに自動的に付与されます。プロキシまたはLDAPユーザーとしてログインした場合、Oracle Data Minerはターゲット・ユーザーにアクセス権を自動的に付与します。

リポジトリがすでにインストールされているデータベースへの接続を初めて選択すると、アクセス権の付与と、(オプションで)サンプル・データのインストールの確認を求められます。

関連項目: 表3-1「Oracle Data Minerのサンプル・データ」 「SQL Developer GUIを使用したリポジトリのインストール」

4.4.2 スクリプトを使用したアクセス権の付与

リポジトリへのアクセス権を付与するには、usergrantsスクリプトを実行して、ユーザー名を指定します。リポジトリは、スクリプトを実行する前に、すでにインストールされている必要があります。

usergrants.sql user_access

たとえば、次の文はユーザーdmuser1にOracle Data Minerアクセス権を付与します。

@usergrants dmuser1

指定するユーザー名は、ターゲット・ユーザーである必要があります。このターゲット・ユーザーに基づいて認証されるすべてのプロキシまたはLDAPユーザーは、ターゲット・ユーザーの権限を自動的に取得します。

4.4.3 スクリプトを使用したアクセス権の削除

Oracle Data Minerリポジトリへのアクセス権を削除するには、dropusergrantsスクリプトを実行します。

dropusergrants.sql user_access

たとえば、次の文は、dmuser1に付与されたアクセス権を削除します。

@dropusergrants dmuser1

usergrantsスクリプトと同様に、指定するユーザー名は、ターゲット・ユーザーである必要があります。このターゲット・ユーザーに基づいて認証されるすべてのプロキシまたはLDAPユーザーは、ターゲット・ユーザーの権限を自動的に取得します。ターゲット・ユーザーのアクセス権を削除すると、そのターゲット・ユーザーに基づくすべてのプロキシとLDAPユーザーは、リポジトリへのアクセスを自動的に失います。

関連項目: 「スクリプトを使用したアクセス権の付与」

4.5 データへのアクセスの付与

ユーザーは、マイニング・モデルの構築またはスコアリングに使用するデータへの読取りアクセス(SELECT権限)を持っている必要があります。

ターゲット・ユーザーに直接、SELECT権限を付与する必要があります。間接的にユーザー・ロールに権限を付与しないでください。Oracle Data Minerがユーザーに代わってビューを作成できるように、SELECT権限は直接付与する必要があります。Oracle Data Minerがビューを作成できない場合、ユーザーはデータにアクセスできない場合があります。