| Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
前 |
次 |
この章では、サンプル・アプリケーションとともに組込みWebLogic LDAPサーバーを使用してOracle Business Intelligenceセキュリティをデプロイする方法について説明します。
サンプル・アプリケーションとともにデフォルトの組込みWebLogic LDAPサーバーをデプロイすることで、デフォルトのユーザー、グループおよびアプリケーション・ロールを使用できます。また、独自のユーザー、グループおよびアプリケーション・ロールを開発することもできます。
この章には次の項が含まれます:
Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの管理
Oracle BIプレゼンテーション・カタログでのセキュリティ関連タスクの管理のためのruncatコマンドライン・インタフェースの使用
組込みWebLogic LDAPサーバーからユーザー(暗号化されたパスワードを使用)、グループ、ロールおよびポリシーを移行できます。詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』の組込みLDAPサーバーの情報のエクスポートおよびインポートに関する項を参照してください。
BIインストールで使用できるサンプル・アプリケーションとともにOracle Business Intelligenceを構成する場合、BI機能を使用してBIフォルダ、レポート、データ列および他のオブジェクトにアクセスできるようにユーザーおよびグループをプロビジョニングするために、多数のアプリケーション・ロールが用意されています。たとえば、Oracle BI Enterprise Editionのフレッシュ・インストールの後、サンプル・アプリケーションを使用した初期サービス・インスタンスの移入を選択した場合、構成手順中にBIドメインを作成するために指定されたユーザーにBIServiceAdministratorというアプリケーション・ロールが割り当てられます。BIServiceAdministratorアプリケーション・ロールに加えて、サンプル・アプリケーションから、これらのサンプル・アプリケーション・ロールが連携して機能するように事前構成されます。たとえば、BIServiceAdministratorアプリケーション・ロールのメンバーであるユーザーは、BIContentAuthorおよびBIConsumerアプリケーション・ロールを自動的に継承するため、これらのすべてのアプリケーション・ロールに関連付けられたすべての権限およびパーミッションでプロビジョニングされます。このセキュリティ構成の詳細は、付録B「デフォルト・セキュリティ構成の理解」を参照してください。
サンプル・アプリケーション・ロールには、サンプルのOracle BIプレゼンテーション・カタログ、BIリポジトリおよびポリシー・ストアを操作できるように、適切なパーミッションおよび権限があります。たとえば、アプリケーション・ロールBIContentAuthorは、ダッシュボード、レポート、アクションなどの作成に必要な権限を備えて事前構成されます。
図2-1に、サンプルおよび初期アプリケーション・インストールで事前構成されるアプリケーション・ロール、グループおよびユーザーを示します。
最初にBIドメインを構成する場合、BIインストールに組み込まれているBIアプリケーション・アーカイブ(BAR)・ファイルのいずれかに基づいて、サービス・インスタンスが作成されます。各BIアプリケーションには、管理アプリケーション・ロールとしてタグ付けされているアプリケーション・ロールが含まれます。この管理アプリケーション・ロールの名前は、BIアプリケーション・アーカイブの開発者または作成者によって決まります。BIインストールで使用できるサンプル、初期および空のアプリケーションの場合、この管理アプリケーション・ロールの名前はBIServiceAdministratorです。これらのアプリケーションの作成者は、このアプリケーション・ロールのメンバーがシステムを管理できるように、このアプリケーション・ロールに対する特定の権限セットおよび権限が割り当てられます。BIサービス・インスタンスが作成されると、BIシステム管理者はサービス・インスタンスの所有者(ユーザー)を指定します。BIアーカイブ・ファイルがサービス・インスタンスにインポートされる場合は常に、システムにより、管理アプリケーション・ロールがサービス・インスタンスに割り当てられます。
|
注意: 11gアップグレード・バンドルを12cサービス・インスタンスにインポートする場合、システムにより、管理アプリケーション・ロールとしてアプリケーション・ロール'BIAdministrator'が自動的にタグ付けされます。 |
詳細は、『Oracle Fusion Middleware Oracle Business Intelligenceインストレーション・ガイド』および『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のimportServiceInstanceに関する項を参照してください。
サンプル・アプリケーション・ロールを使用して、セキュリティをデプロイできます。固有のグループおよびアプリケーション・ロールを作成して、ビジネス・ニーズを満たすことができます。例:
Fredという名前の従業員に、ダッシュボードおよびレポートの作成を可能にする場合、Fredという名前の新規ユーザーを作成し、FredをデフォルトのBIContentAuthorsグループに割り当てることができます。
ユーザーFredをSalesダッシュボード作成者にする場合、リポジトリ内のSalesサブジェクト・エリアの表示およびSalesダッシュボードの編集の権限を持つ、Sales_ Dashboard_ Authorという名前のアプリケーション・ロールを作成できます。
ユーザーFredがBIContentAuthorsおよびSales_Dashboard_Author職務を行うことをできるようにする場合、BIContentAuthors権限およびSales_Dashboard_Author権限を持つBIManagerという新しいアプリケーション・ロールを作成できます。
サンプル・アプリケーション・ロールの詳細は、付録B「デフォルト・セキュリティ構成の理解」を参照してください。
この例では、小さいセットのユーザー、グループおよびアプリケーション・ロールを使用して、セキュリティ・モデルの設定方法を示します。この例では、次を実装します。
ビジネス・インテリジェンス・レポートを表示する必要がある、User1、User2およびUser3という名前の3ユーザー
ビジネス・インテリジェンス・レポートを作成する必要がある、User4およびUser5という名前の2ユーザー
Oracle Business Intelligenceを管理する、User6およびUser7という名前の2ユーザー
図2-2は、このセキュリティ・モデルの例を実装するためにデプロイするユーザー、グループおよびアプリケーション・ロールを示しています。
図2-2は、次のことを表しています。
BIConsumersという名前のグループには、User1、User2およびUser3が含まれています。グループBIConsumersのユーザーには、BIConsumerという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはレポートを表示できます。
BIContentAuthorsという名前のグループには、User4およびUser5が含まれています。グループBIContentAuthorsのユーザーには、BIContentAuthorという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはレポートを作成できます。
BIServiceAdministratorsという名前のグループには、User6およびUser7が含まれています。グループBIServiceAdministratorsのユーザーには、BIServiceAdministratorという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはリポジトリを管理できます。
この例のセキュリティ・モデルを実装するには:
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、User1からUser7まで7人のユーザーを作成します。
第2.3.3項「組込みWebLogic LDAPサーバーにおける新規グループの作成」の説明に従って、グループBIConsumers、BIContentAuthorsおよびBIServiceAdministratorsを作成します。
デフォルトのグループに、次のようにユーザーを割り当てます。
BIConsumersという名前のグループに、User1、User2およびUser3を割り当てます。
BIContentAuthorsという名前のグループに、User4およびUser5を割り当てます。
BIServiceAdministratorsという名前のグループに、User6およびUser7を割り当てます。
詳細は、第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」を参照してください。
次の手順に従って、グループをサンプル・アプリケーション・ロールに割り当てます。
BIConsumersグループをBIConsumerアプリケーション・ロールのメンバーにします。
BIContentAuthorsグループをBIContentAuthorアプリケーション・ロールのメンバーにします。
BIServiceAdministratorsグループをBIServiceAdministratorアプリケーション・ロールのメンバーにします。
詳細は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」を参照してください。
この項では、組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理方法を説明します。次のトピックがあります:
この項では、固有のユーザーを作成して新しいグループおよび新しいアプリケーション・ロールに割り当てることでセキュリティ・モデルを拡張する方法について説明します。
たとえば、Jimという名前のユーザーを作成し、BIMarketingRoleという名前の新規アプリケーション・ロールに割り当てられるBIMarketingGroupという名前の新規グループにJimを割り当てる場合などがあります。
新規ユーザーを作成して、そのユーザーを新規グループおよび新規アプリケーション・ロールに割り当てるには:
第1.6.1項「Oracle WebLogic Server管理コンソールの使用」の説明に従って、WebLogic管理コンソールを起動します。
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、新規ユーザーを作成します。
第2.3.3項「組込みWebLogic LDAPサーバーにおける新規グループの作成」の説明に従って、新規グループを作成します。
第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」の説明に従って、新しいユーザーを新しいグループに割り当てます。
第2.4.2.2項「アプリケーション・ロールの作成」の説明に従って、新規アプリケーション・ロールを作成し、それを新規グループに割り当てます。
グループをアプリケーション・ロールに割り当てるのみの場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の手順を実行します。
第2.5.2項「アプリケーション・ロールのリポジトリ権限の設定」の説明に従って、Oracle BIリポジトリを編集し、新規アプリケーション・ロールの権限を設定します。
第2.6.3項「アプリケーション・ロールに対するPresentation Servicesの権限の設定」の説明に従って、Oracle BI Presentation Catalogを編集し、新規のユーザーおよびグループの権限を設定します。
通常、Oracle Business Intelligence環境では、ビジネス・ユーザーごとに別々のユーザーを作成します。たとえば、レポート・コンシューマを30ユーザー、レポート作成者を3ユーザー、および管理者を1ユーザー、デプロイするように計画できます。この場合、Oracle WebLogic Server管理コンソールを使用して、適切なグループに割り当てる34個のユーザーを作成します。
デプロイするユーザーごとに、この作業を繰り返します。
|
注意: 組込み認証済ユーザー・アプリケーション・ロールについて。ログインできるすべてのユーザーには、組込み認証済アプリケーション・ロールによって付与された基本レベルの操作権限が与えられます。すべての認証されたユーザーがBIアプリケーションの権限を付与されたアプリケーション・ロールのメンバーであるように、サービス・インスタンスにインポートされるBIアプリケーションの作成者がセキュリティ・ポリシーを設計している場合があります。詳細は、付録B「サンプル・アプリケーションを使用したセキュリティ構成」を参照してください |
.
組込みWebLogic LDAPサーバーにおいて新規ユーザーを作成するには:
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「ユーザー」を選択します。「新規」をクリックします。
「新しいユーザーの作成」ペインで、次の情報を指定します。
名前: ユーザーの名前を入力します。無効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: ユーザー情報が含まれるアイデンティティ・ストアに対応するリストから、認証プロバイダを選択します。DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
パスワード: 8文字以上の長さで、ユーザーのパスワードを入力します。
パスワードの確認: ユーザー・パスワードを再入力します。
「OK」をクリックします。
ユーザー名は、User表に追加されます。
通常、Oracle Business Intelligence環境では、ビジネス・ユーザーの機能タイプごとに別々のグループを作成します。たとえば、標準的なデプロイメントには、BIConsumers、BIContentAuthorsおよびBIServiceAdministratorsという3つのグループが必要となる場合があります。この場合、Oracle Business Intelligenceとともに使用するよう構成できるBIConsumers、BIContentAuthorsおよびBIServiceAdministratorsという名前のグループを作成したり、固有のカスタム・グループを作成できます。
|
ヒント: 一連のユーザー、グループおよびアプリケーション・ロールを示すセキュリティ・モデルの例は、第2.2項「ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例」を参照してください。 |
デプロイする新しいグループごとに、この作業を繰り返します
組込みWebLogic LDAPサーバーにおける新規ユーザーを作成するには:
Oracle WebLogic Server管理コンソールを起動します。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「グループ」を選択します。「新規」をクリックします。
「新しいグループの作成」ペインで、次の情報を指定します。
名前: グループの名前を入力します。グループ名は、大文字と小文字が区別され、一意である必要があります。無効な文字のリストは、オンライン・ヘルプを参照してください。
(オプション)説明: 説明を入力します。
プロバイダ: グループ情報が含まれるアイデンティティ・ストアに対応するリストから、認証プロバイダを選択します。DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
「OK」をクリックします。
グループ名は、Group表に追加されます。
通常は、各ユーザーを適切なグループに割り当てます。たとえば、標準的なデプロイメントには、レポート・コンシューマをBIConsumersという名前のグループに割り当てるためのユーザーIDの作成が必要となる場合があります。この場合は、BIConsumersという名前のデフォルトのグループにユーザーを割り当てるか、作成したカスタム・グループにユーザーを割り当てることができます。
|
ヒント: 一連のユーザー、グループおよびアプリケーション・ロールを示すセキュリティ・モデルの例は、第2.2項「ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例」を参照してください。 |
この作業を繰り返して、各ユーザーを適切なグループに割り当てます。
組込みWebLogic LDAPサーバーにおいてグループにユーザーを追加するには:
Oracle WebLogic Server管理コンソールを起動します。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
「ユーザー」表で、グループに追加するユーザーを選択します。
「グループ」タブを選択します。
「使用可能」リスト・ボックスから1つまたは複数のグループを選択します。
「保存」をクリックします。
ユーザーのデフォルト・パスワードを変更したい場合は、このオプションのタスクを実行します。
組込みWebLogic LDAPサーバーにおいてユーザー・パスワードを変更するには:
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
Users表で、パスワードを変更したいユーザーを選択します。ユーザーの「設定」ページが表示されます。
図「wls_settings.gif」の説明
「パスワード」タブを選択し、「新規パスワード」フィールドおよび「パスワード確認」フィールドにパスワードを入力します。
「保存」をクリックします。
|
注意: システム・ユーザーのパスワードを変更する場合は、資格証明ストアでも変更する必要があります。 |
Oracle Business Intelligenceでは、Fusion Middleware Controlを使用して、ユーザーおよびグループに権限を与えるアプリケーション・ロールおよびアプリケーション・ポリシーを管理します。Fusion Middleware Controlの使用の詳細は、Oracle Fusion Middleware管理者ガイドを参照してください。
|
ヒント: 新しいサービス・インスタンスを作成した後またはBIアプリケーション・アーカイブ(BAR)・ファイルをサービス・インスタンスにインポートした後、アイデンティティ・ストアのユーザーおよびグループがサービス・インスタンスに定義されているアプリケーション・ロールに正しくマップされるように、サービス・インスタンスのセキュリティ・ポリシーを最初に確認する必要があります。各BIアプリケーション・ファイルは、固有のセキュリティ・ポリシーを含むことができます。そのため、BIアプリケーション・アーカイブ・ファイルをインポートした後、サービス・インスタンスのセキュリティ・ポリシーを確認することをお薦めします。 |
通常、アプリケーションのBIメタデータを含むBIアプリケーション・アーカイブ・ファイルには、BI機能を使用してBIフォルダ、分析、サブジェクト・エリアなどにアクセスする権限とともにユーザーをプロビジョニングするために使用できる事前構成されたアプリケーション・ロールが含まれます。たとえば、サンプル・アプリケーションには、サンプル・アプリケーション・ロールBIConsumer、BIContentAuthorおよびBIServiceAdministratorが含まれます。パーミッションおよび権限を使用してユーザーをプロビジョニングするには、アイデンティティ・ストア(通常LDAPディレクトリ)のユーザーおよび(可能な場合)グループを定義されたアプリケーション・ロールにマップします。このタスクはEnterprise Manager Fusion Middleware ControlまたはWLSTを使用して実行します。
より複雑またはきめ細かなセキュリティ・モデルを作成する場合は、この項の説明に従って、独自のアプリケーション・ロールおよびアプリケーション・ポリシーを作成できます。たとえば、マーケティング部門のレポート作成者に、メタデータ・リポジトリおよびOracle BIプレゼンテーション・カタログのマーケティング領域への書込みアクセス権のみを付与するとします。これを実現するには、BIContentMarketingという名前の新規アプリケーション・ロールを作成し、それに適切な権限を提供します。
デプロイするアプリケーション・ロールを設定するには、次のことを行います。
必要に応じて、新規アプリケーション・ロールを作成します。詳細は、第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除」を参照してください。
|
注意: デフォルトの事前構成済アプリケーション・ポリシーに基づいてアプリケーション・ロールを作成したり、独自のアプリケーション・ポリシーを作成できます。デフォルトのユーザー、グループおよびアプリケーション・ロールの詳細は、第2.1項「ユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。 |
必要に応じて、新規アプリケーション・ポリシーを作成します。詳細は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。
(オプション)必要に応じて、アプリケーション・ロールの権限付与またはメンバーシップを変更します。詳細は、第2.4.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールの変更」を参照してください。
この項では、Fusion Middleware Controlを使用して、アプリケーション・ロールおよびアプリケーション・ポリシーを管理するページにアクセスする方法を説明します。
Fusion Middleware Controlを使用してアプリケーション・ポリシーおよびアプリケーション・ロールを表示するには:
ここでは、Oracle Business Intelligenceのアプリケーション・ポリシーまたはアプリケーション・ロールを表示する方法について説明します
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
「ターゲット・ナビゲーション」アイコンを選択して、ナビゲーション・ペインを開きます。
ナビゲーション・ペインから「Business Intelligence」フォルダを展開し、「biinstance」を選択します。
次のオプションのいずれか1つを選択します。
「biinstance」を右クリックし、メニューから「セキュリティ」を選択して、「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択します。
またはコンテンツ・ペインから、「Business Intelligenceインスタンス」をクリックしてメニューを表示し、「セキュリティ」→「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択します。
Fusion Middleware Controlの他の「セキュリティ」メニュー・オプションは、これらのメニューからは利用できません。
(オプション)手順3および4の代替オプションとして、「WebLogicドメイン」フォルダを展開し、ドメイン名を右クリックします(または「WebLogicドメイン」メニューをクリックします)。
「セキュリティ」メニューに適切なメニュー・オプションが表示されます。
Fusion Middleware Controlの他のメニュー・オプションは、このメニューから利用できます。
「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択し、「アプリケーション・ポリシー」ページまたは「アプリケーション・ロール」ページを表示します。
obiアプリケーション・ストライプがデフォルトで表示される場合
Oracle Business Intelligenceのポリシーまたはロールが表示されます。
obiアプリケーション・ストライプがデフォルトで表示されない場合
obiアプリケーション・ストライプを使用して検索し、Oracle Business Intelligenceのポリシーやロールを表示する必要があります。
図2-3に、「アプリケーション・ポリシー」ページを示します。
図2-4に、「管理ロール」ページを示します。
この項では、Oracle Fusion Middleware Controlの使用によるアプリケーション・ロールの作成方法、削除方法および管理方法を説明します。次のトピックがあります。
新しいOracle Business Intelligenceのデプロイメントでは、通常、Oracle Business Intelligence環境でのビジネス・ユーザー・アクティビティのタイプごとにアプリケーション・ロールを作成します。たとえば、サンプル・アプリケーションまたは初期アプリケーションに基づく標準的なデプロイメントには、3つのアプリケーション・ロール(BIConsumer、BIContentAuthorおよびBIServiceAdministrator)が含まれる可能性があります。BIシステム管理者またはサービス管理者のように、アプリケーション・ロールまたはBARファイルで提供されているアプリケーション・ロールに割り当てられた権限セットを変更しないでください。
Oracle Business Intelligenceアプリケーション・ロールは、ユーザーが保持しているロールを表します。たとえば、セールス・アナリストのアプリケーション・ロールを保持することにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。サービス・インスタンスの管理者は、サービス・インスタンスのアプリケーション・ロールを作成および変更できます。アプリケーション・ロールをディレクトリ・サーバー・グループから分離して区別しておくことで、認可要件に対応しやすくなります。企業のディレクトリ・サーバーで定義されているグループを変更する必要なく、環境のビジネス・ロールと一致する新規アプリケーション・ロールを作成できます。認可要件をより効率的にコントロールするには、ユーザーの既存グループをディレクトリ・サーバーからアプリケーション・ロールに割り当てます。
|
注意: 新規アプリケーション・ロールを作成し、それをOracle Business Intelligenceサービス・インスタンスに追加する前に、権限およびグループの継承がどのように行われるのかを把握しておいてください。ロールの階層を構築するときは、循環依存が生じないことが重要です。詳細は、第B.5項「グループおよびアプリケーション・ロールを使用したユーザーへの権限の付与」を参照してください。 |
アプリケーション・ロールの作成の詳細は、Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイドのポリシー・ストアの管理に関する項を参照してください。
|
注意: オフライン・モードでのBIリポジトリの使用についての高度な情報は、第2.5.3項「メタデータ・リポジトリでのアプリケーション・ロールの管理 - 高度なセキュリティ構成トピック」を参照してください。 |
新しいアプリケーション・ロールを作成するには、2つの方法があります。
新規作成 - 新規アプリケーション・ロールを作成します。複数のメンバーを同時に追加することも、新しいロールに名前を付けて保存しておき、後でメンバーを追加することもできます。
既存のコピー - 既存のアプリケーション・ロールをコピーすることで、アプリケーション・ロールを作成します。コピーには元と同じメンバーが含まれ、元と同じアプリケーション・ポリシーの権限受領者となります。新規アプリケーション・ロールをさらにカスタマイズするために、必要に応じて、コピーに対して変更を行うことができます。
アプリケーション・ロールのメンバーシップは、Fusion Middleware Controlの「アプリケーション・ロール」ページを使用してコントロールされます。アプリケーション・ロールの有効メンバーには、ユーザー、グループおよび他のアプリケーション・ロールがあります。
権限および権限セット付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページでコントロールされます。権限および権限セット付与定義がアプリケーション・ポリシーで設定され、その後、アプリケーション・ポリシーがアプリケーション・ロールに付与されます。詳細は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。
新規アプリケーション・ロールを作成するには:
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
「アプリケーション・ストライプ」がobiであることを確認し、「ロール名」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。図2-5は、アプリケーション・ロールを示しています。
「作成」をクリックして「アプリケーション・ロールの作成」ページを表示します。すべての情報を一度に入力することも、「ロール名」を入力し、保存しておいて、それ以外のフィールドを後で入力することもできます。各フィールドに次の情報を入力します。
「一般」では:
ロール名 - 空白を含む無効な文字を回避してアプリケーション・ロールの名前を入力します(『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアプリケーション・ロール名の文字に関する項を参照)。
(オプション)表示名 - アプリケーション・ロールの表示名を入力します。
(オプション)説明 - アプリケーション・ロールの説明を入力します。
「メンバー」セクションで、「追加」をクリックして、「プリンシパルの追加」ページを表示します。
次の手順により、「プリンシパルの追加」ページで、現在のアプリケーション・ロールに割り当てるメンバーを検索します。
「タイプ」ドロップダウン・リストから、「アプリケーション・ロール」、「グループ」または「ユーザー」を選択します。
(オプション)「プリンシパル名」フィールドと「表示名」フィールドに検索情報を入力します。
検索ボタンをクリックします。
「検索済プリンシパル」ボックスに戻された結果から選択します。
「OK」をクリックして、「アプリケーション・ロールの作成」ページに戻ります。
必要なすべてのメンバーがアプリケーション・ロールに追加されるまで、手順を繰り返します。
「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。
作成したアプリケーション・ロールがページ下部の表に表示されます。
既存のアプリケーション・ロールに基づいてアプリケーション・ロールを作成するには:
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。
リストからコピーするアプリケーション・ロールを選択し、アクション・ボタンを有効にします。
「類似作成」をクリックし、「アプリケーション・ロールの類似作成」ページを表示します。
「メンバー」セクションに、元のロールに割り当てられている同じアプリケーション・ロール、グループまたはユーザーが表示されます。各フィールドに次の情報を入力します。
「一般」では:
ロール名 - 空白を含む無効な文字を回避してアプリケーション・ロールの名前を入力します(『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアプリケーション・ロール名の文字に関する項を参照)。
(オプション)表示名 - アプリケーション・ロールの表示名を入力します。
(オプション)説明 - アプリケーション・ロールの説明を入力します。
「メンバー」セクションで、「追加」をクリックして、「プリンシパルの追加」ページを表示します。
次の手順により、「プリンシパルの追加」ページで、現在のアプリケーション・ロールに割り当てるメンバーを選択します。
「タイプ」ドロップダウン・リストから、「アプリケーション・ロール」、「グループ」または「ユーザー」を選択します。
(オプション)「プリンシパル名」フィールドと「表示名」フィールドに検索情報を入力します。
検索ボタンをクリックします。
「検索済プリンシパル」ボックスに戻された結果から選択します。
「OK」をクリックして、「アプリケーション・ロールの作成」ページに戻ります。
必要なすべてのメンバーがアプリケーション・ロールに追加されるまで、手順を繰り返します。
図2-6は、BIContentAuthorアプリケーション・ロールに基づいた新規アプリケーション・ロールMyNewRoleの作成を示しています。
新規に作成したアプリケーション・ロールがページ下部の表に表示されます。図2-7は、既存のアプリケーション・ロールに基づいた、MyNewRoleという名前の新規作成アプリケーション・ロールを示しています。
必要に応じてメンバーを変更し、「OK」をクリックします。
グループをアプリケーション・ロールに割り当て、そのグループ内のユーザーに適切なセキュリティ権限を提供します。たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とするとします。この場合、BIMarketingGroupという名前のグループをBIConsumerMarketingという名前のアプリケーション・ロールに割り当てます。
アプリケーション・ロールにグループを割り当てるには:
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。図2-8は、現在のアプリケーション・ロールを示しています。
リストからアプリケーション・ロールを選択し、「編集」をクリックし、「アプリケーション・ロールの編集」ダイアログを表示し、次のようにフィールドに入力します。
「一般」では:
ロール名 - アプリケーション・ロールの名前。このフィールドは読取り専用です。
表示名 - アプリケーション・ロールの表示名。
説明 - アプリケーション・ロールの説明。
「メンバー」セクションで「追加」をクリックして、「ロール」リストに割り当てるグループを追加します。
たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とする場合は、BIMarketingGroupという名前のグループを「ロール」リストに追加します。
「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。
アプリケーション・ロールを削除する場合は、最初にシステム管理者に連絡してからにしてください。
アプリケーション・ロールを削除するには:
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
削除するアプリケーション・ロールを選択します。
「削除」をクリックし、「はい」をクリックして、アプリケーション・ロールの削除を確認します。
デフォルトのアプリケーション・ポリシーに基づいてアプリケーション・ロールを作成するか、独自のアプリケーション・ポリシーを作成できます。
アプリケーション・ポリシーは、メタデータ・リポジトリまたはOracle BIプレゼンテーション・カタログのオブジェクトおよび機能には権限を適用しません。
すべてのOracle Business Intelligence権限および権限セットはインストールの一部として提供され、新しい権限は作成できません。アプリケーション・ポリシーは、権限セットおよび権限付与を定義するメカニズムです。権限セットおよび権限付与は、Fusion Middleware Control 「アプリケーション・ポリシー」ページで制御されます。権限セットおよび権限付与は、アプリケーション・ポリシーで定義されます。アプリケーション・ロール、ユーザーまたはグループは、その後、アプリケーション・ポリシーに割り当てられます。このプロセスにより、アプリケーション・ロールがアプリケーション・ポリシーの権限受領者になります。
新しいアプリケーション・ポリシーを作成するには、2つの方法があります。
新規作成 - 新規アプリケーション・ポリシーを作成し、それに権限が追加されます。
既存のコピー - 既存のアプリケーション・ポリシーをコピーすることで、新規アプリケーション・ポリシーを作成します。コピーに名前が付けられ、既存の権限が削除されるか権限が追加されます。
|
注意: Oracle Business Intelligence 12cは、権限セットおよび権限を利用します。権限セットは、アクセス権の集合です。資格とも呼ばれます。BI 12cで使用できるすべての権限が権限セットにグループ化されます。サンプルまたは初期アプリケーションがサービス・インスタンスにインポートされると、アプリケーション・ロールに割り当てられた権限セットが表示されます。11gアップグレード・バンドルがサービス・インスタンスにインポートされると、移行されたアプリケーション・ロールに割り当てられている新しい権限セットが補足された11gシステムの権限が表示されます |
|
注意: Fusion Middleware Controlでは、権限セット付与の表示のみ許可します。アプリケーション・ロールに対する権限セット付与は変更できません。Fusion Middleware Controlでは、アプリケーション・ロールに対する権限付与の変更を許可していません。12cでは、アプリケーション・ロールに対する権限セット付与を更新する必要がある場合、WLSTコマンドラインを使用する必要があります(『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のWLSTコマンドを使用したアプリケーション・ポリシーの管理に関する項を参照)。 |
アプリケーション・ポリシーの作成の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用したポリシーの管理に関する項を参照してください。
新しいアプリケーション・ポリシーを作成するには:
Fusion Middleware Controlにログインし、「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
「アプリケーション・ストライプ」リストからobiを選択して、「名前」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー権限受領者の名前が表示されます。
図「em_createpolicy.gif」の説明
「作成」をクリックして、「アプリケーション権限の作成」ページを表示します。
作成するポリシーに権限を追加するには、「権限」領域で「追加」をクリックして「権限の追加」ダイアログを表示します。
「検索」領域に入力し、「リソース名」フィールドの横の青い検索ボタンをクリックします。
選択したクラスのすべての権限が表示されます。
図「em_newpolicypermission.gif」の説明
必要なOracle Business Intelligencer権限を選択し、「続行」をクリックします。
必要に応じて、「カスタマイズ」ページで権限情報を変更し、「選択」をクリックして、権限を追加します。
「アプリケーション権限の作成」ページに戻されます。選択した権限が「権限」領域に表示されます。
必要なすべての権限が選択されるまで繰り返します。
Oracle Business Intelligence以外の権限を選択することによる、ポリシーへの影響はありません。
権限を削除するには、その権限を選択し、「削除」をクリックします。
作成するポリシーにアプリケーション・ロール、グループまたはユーザーを追加するには、「権限受領者」領域で「追加」をクリックし、「プリンシパルの追加」ページを表示します。
「検索」領域に情報を入力し、「表示名」フィールドの隣の青の検索ボタンをクリックします。
「検索済プリンシパル」リストからプリンシパルを選択します。
「OK」をクリックして、アプリケーション権限の作成ページを表示します。
「OK」をクリックします。
「アプリケーション・ポリシー」ページに戻ります。作成したポリシーの「プリンシパル」および「権限」が表に表示されます。次の図は、権限受領者(プリンシパル)としてMyNewRoleアプリケーション・ロールで作成した新規アプリケーション・ポリシーを示しています。
図「em_newpolicy06.gif」の説明
既存のアプリケーション・ポリシーに基づいてアプリケーション・ポリシーを作成する手順は、次のとおりです。
Fusion Middleware Controlにログインし、「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
「アプリケーション・ストライプ」リストからobiを選択して、「名前」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー権限受領者の名前が表示されます。
表から既存のポリシーを選択します。
次の図は、この手順で例として使用される、「類似作成」ボタンがアクティブな、選択されたBIContentAuthorプリンシパルを示しています。
図「em_newpolicy01.gif」の説明
「類似作成」をクリックし、「アプリケーション権限の類似作成」ページを表示します。「権限」の表に、選択されたポリシーにより付与される権限が自動的に表示されます。
次の図は、BIContentAuthorポリシーが選択された後のアプリケーション権限の類似作成ダイアログを示しています。「権限」セクションに、BIContentAuthorポリシーに対して付与される権限が表示されていることに注意してください。
図「em_newpolicycopy.gif」の説明
任意のアイテムを削除するには、それを選択して、「削除」をクリックします。
ポリシーにアプリケーション・ロールを追加するには、「権限受領者」領域の「アプリケーション・ロールの追加」をクリックして、「アプリケーション・ロールの追加」ダイアログを表示します。
次の図では、例としてMyNewRoleアプリケーション・ロールを使用します。
「検索」領域に情報を入力し、「表示名」フィールドの隣の青の検索ボタンをクリックします。検索と一致したアプリケーション・ロールが表示されます。
図「em_newpolicy03.gif」の説明
「検索済プリンシパル」リストから選択して、「OK」をクリックします。
選択されたアプリケーション・ロールが「アプリケーション権限の類似作成」ページに「権限受領者」として追加され、表示されます。
「OK」をクリックして、「アプリケーション・ポリシー」ページに戻ります。
アプリケーション・ポリシーのプリンシパルおよび権限が作成され、表に表示されます。
次のように、対応するアプリケーション・ポリシーの権限付与を変更したり(アプリケーション・ロールがアプリケーション・ポリシーの権限受領者の場合)、そのメンバーを変更したり、アプリケーション・ロール名を変更したり、アプリケーション・ロールを削除することで、アプリケーション・ロールを変更できます。
アプリケーション・ポリシーおよびアプリケーション・ロールの管理の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlを使用したポリシーの管理に関する項を参照してください。
アプリケーション・ロールの権限付与を変更する場合は、この手順を使用します。これは、アプリケーション・ロールが権限受領者であるアプリケーション・ポリシーの権限付与を追加または削除することによって行われます。
アプリケーション・ポリシーの権限付与を追加または削除するには:
Fusion Middleware Controlにログインし、「アプリケーション・ポリシー」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obiストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ポリシー」ページへの移動に使用される方法によって異なります。
必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ポリシーが表示されます。「プリンシパル」列に、ポリシー権限受領者の名前が表示されます。
「プリンシパル」列からアプリケーション・ロールを選択し、「編集」をクリックします。
「アプリケーション権限の編集」ビューから権限を追加または削除し、「OK」をクリックして変更を保存します。
Fusion Middleware Controlを使用してアプリケーション・ロールのメンバーを追加または削除できます。これらのタスクは、Oracle Business IntelligenceがインストールされているWebLogicドメイン(bifoundation_domainなど)で実行する必要があります。アプリケーション・ロールの有効なメンバーは、ユーザー、グループまたはその他のアプリケーション・ロールです。アプリケーション・ロールに割り当てられることは、アプリケーション・ロールのメンバーになることです。ベスト・プラクティスは、個々のユーザーではなくグループをアプリケーション・ロールに割り当てることです。
|
注意: このアプリケーション・ロールに割り当てられた権限の変更によりシステムが使用できない状態のままの可能性があるため、管理アプリケーション・ロールにタグ付けされているアプリケーション・ロールの権限付与およびメンバーシップを変更する場合に注意してください。 |
アプリケーション・ロールのメンバーを追加または削除するには:
Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
詳細は、第2.4.1項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
まだ表示されていない場合、「アプリケーション・ストライプ」を選択し、リストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
Oracle Business Intelligenceアプリケーション・ロールが表示されます。
アプリケーション・ロール名の横のセルを選択し、「編集」をクリックして「アプリケーション・ロールの編集」ページを表示します。
「アプリケーション・ロールの編集」ページにメンバーを追加するか、またはこのページからメンバーを削除できます。有効なメンバーは、ロール、グループおよびユーザーです。
メンバーを削除するには、メンバーの「名前」を選択し、「削除」ボタンをアクティブにして、「削除」をクリックします。
メンバーを追加するには、「追加」ボタンをクリックし、「プリンシパルの追加」ページを表示します。
次の手順により、現在のアプリケーション・ロールに割り当てるメンバーを検索します。
「タイプ」ドロップダウン・リストから、「アプリケーション・ロール」、「グループ」または「ユーザー」を選択します。
(オプション)「プリンシパル名」フィールドと「表示名」フィールドに検索情報を入力します。
検索ボタンをクリックします。
「検索済プリンシパル」ボックスに戻された結果から選択します。
「OK」をクリックして、「アプリケーション・ロールの作成」ページに戻ります。
必要なすべてのメンバーがアプリケーション・ロールに追加されるまで、手順を繰り返します。
「アプリケーション・ロール」ページで変更したアプリケーション・ロールに従って、「メンバー」セクションに、追加されたメンバーが表示されます。たとえば、次の図は、Operatorsグループを追加した後のMyNewRoleアプリケーション・ロールの「アプリケーション・ロールの編集」ページを示しています。
「アプリケーション・ロールの編集」ページで「OK」をクリックし、「アプリケーション・ロール」ページに戻ります。
アプリケーション・ロールに追加したメンバーが、「...のメンバーシップ」セクションに表示されます。メンバーが削除された場合は表示されなくなります。
次の図では、MyNewRoleアプリケーション・ロールに、最近追加されたメンバーであるOperatorsグループが表示されています。
詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアプリケーション・ロールの管理に関する項を参照してください。
既存のアプリケーション・ロールの名前は直接変更できません。表示名の更新のみ可能です。アプリケーション・ロール名を変更するには、新しいアプリケーション・ロールを作成し(削除するアプリケーション・ロールと同じアプリケーション・ポリシーを使用して)、古いアプリケーション・ロールを削除する必要があります。新しいアプリケーション・ロールを作成する際に、新しい名前を指定します。Oracle BIプレゼンテーション・カタログとメタデータ・リポジトリの両方で、古いアプリケーション・ロールへの参照を、新しいアプリケーション・ロールへの参照に更新する必要もあります。
カタログおよびメタデータ・リポジトリのアプリケーション・ロールの名前を変更するには、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のアプリケーション・ロールの名前変更コマンドに関する項の説明に従って、renameAppRolesコマンドを使用します。
この項では、Oracle BI管理ツールの使用によるOracle BIリポジトリ内のセキュリティの構成方法を説明します。次のトピックがあります:
Oracle BI管理ツールでIdentity Managerを使用して、アプリケーション・ロールの権限を管理し、サブジェクト・エリアや表などのオブジェクトに対するアクセス権限を設定します。Oracle BI管理ツールの使用によるセキュリティの構成についての概要は、第1.6.3項「Oracle BI管理ツールの使用」を参照してください。
|
注意: Oracle Business Intelligenceアプリケーションのお客様は、この項を読み、セキュリティおよび認証の設定についての基礎を理解してから、Oracle Fusion Middleware Oracle Business Intelligence Applicationsリファレンス・ガイドに記載されているセキュリティ情報および構成情報を参照してください。 |
サービス・インスタンスのデータ・モデルには、データ列やサブジェクト・エリアなどのデータ・モデルの様々な部分にアクセスする権限を定義するためにセキュリティ・ポリシーが含まれます。データ・モデルの作成者は管理ツールを使用して、アプリケーション・ロールのデータ・モデル権限の割当てを含むこのセキュリティ・ポリシーを維持します。サービス・インスタンスを作成するか、BIアプリケーション・アーカイブ・ファイルをサービス・インスタンスにインポートする場合、データ・モデルのセキュリティ・ポリシーがBIアプリケーション・アーカイブ・ファイルからインポートされます。
|
注意: リポジトリ権限の設定に加えて、Oracle BIプレゼンテーション・カタログの権限を新規アプリケーション・ロールに割り当てることができます。詳細は、第2.6.3項「アプリケーション・ロールに対するPresentation Servicesの権限の設定」を参照してください。 |
|
注意: コマンドライン・ツールを使用してプログラム的にリポジトリ権限を設定することもできます。詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Edition XMLスキーマ・リファレンスのコマンドライン・ツールを使用した権限の設定に関する項を参照してください。 |
アプリケーション・ロールのリポジトリ権限を設定するには:
Oracle BI管理ツールでリポジトリを開きます(オンライン・モードで)。
詳細は、第1.6.3項「Oracle BI管理ツールの使用」を参照してください。
「プレゼンテーション」パネルで、権限を設定するサブジェクト・エリアまたはサブフォルダに移動します。
サブジェクト・エリアまたはサブフォルダを右クリックし、「プロパティ」を選択してプロパティ・ダイアログを表示します。
たとえば、「ペイント」サブジェクト・エリアへのアクセス権を提供するには、「ペイント」を右クリックします。
「権限」をクリックして、「権限<名前>」ダイアログを表示します。
|
注意: 「すべてのユーザー/アプリケーション・ロールの表示」チェック・ボックスが選択されていることを確認してください。 |
「権限<名前>」ダイアログを使用して、「ユーザー/アプリケーション・ロール」リスト内のアプリケーション・ロールのセキュリティ権限を変更します。
たとえば、ユーザーにダッシュボードおよびレポートの作成を可能にするために、BISalesAnalysisという名前のアプリケーション・ロールのリポジトリ権限を読取りから読取り/書込みに変更できます。
|
注意: ベスト・プラクティスは、個々のユーザーの権限ではなく、アプリケーション・ロールの権限を変更することです。「プレゼンテーション」ペイン内のあるオブジェクトのすべての権限を表示するには、そのオブジェクトを右クリックし、「権限レポート」を選択して、ユーザーおよびアプリケーション・ロールのリスト、および選択したオブジェクトに対してそれが保持している権限を表示します。 |
アプリケーション・ロールの定義はポリシー・ストアで保持されます。また、変更は管理インタフェースを使用して行う必要があります。リポジトリは、ポリシー・ストア・データのコピーを保持して、リポジトリ開発を促進します。Oracle BI管理ツールでは、リポジトリのコピーからアプリケーション・ロール・データが表示され、ポリシー・ストア・データはリアルタイムでは表示されません。オフライン・リポジトリの作業中にポリシー・ストアを変更すると、ポリシー・ストアがリポジトリと次に同期化するまで、管理ツールで使用できなくなります。ポリシー・ストアは、BIサーバーの再起動時には常にデータをリポジトリ・コピーと同期化します。データに不一致がある場合は、エラー・メッセージが表示されます。
オフライン・モードでのリポジトリの使用中に、使用可能なアプリケーション・ロールではその時点で必要なメンバーシップまたは権限付与を満たさないことに気付く場合があります。オフライン・リポジトリ開発を促進するために、アプリケーション・ロールのプレースホルダの定義を管理ツールで作成できます。しかし、これは管理ツールで表示可能な単なるプレースホルダであり、実際のアプリケーション・ロールではありません。管理ツールから実際のアプリケーション・ロールを作成することはできません。アプリケーション・ロールは、ポリシー・ストアの管理に使用可能な管理インタフェースを使用して、ポリシー・ストアでのみ作成できます。
アプリケーション・ロールは、リポジトリがオンラインに戻る前に、管理ツールを使用して作成されたアプリケーション・ロール・プレースホルダごとに、ポリシー・ストアで定義される必要があります。オフライン・モードの間に作成されたロール・プレースホルダ付きリポジトリの場合、有効なアプリケーション・ロールがポリシー・ストアに作成される前に、オンラインになります。その後、そのアプリケーション・ロール・プレースホルダは管理ツール・インタフェースで表示されなくなります。オフライン・リポジトリ開発でロール・プレースホルダを使用する際は、リポジトリをオンラインに戻す前に、ポリシー・ストアにおいて対応するアプリケーション・ロールを必ず作成します。
リポジトリ開発時のアプリケーション・ロール用プレースホルダの作成方法の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
この項では、Presentation Services管理の「権限の管理」ページでアプリケーション・ロールを使用してPresentation Servicesの権限を管理する方法について説明します。次のトピックがあります。
サービス・インスタンスのカタログには、プレゼンテーション・サービス権限のセキュリティ・ポリシーが含まれます。これらの権限は、フォルダや分析などのカタログ・オブジェクトの権限とともにアンサーへのアクセス、ダッシュボードへのアクセスなどの特定のプレゼンテーション・サービス機能にアクセスする権限を付与します。サービス・インスタンスを作成するか、BIアプリケーション・アーカイブ・ファイルをサービス・インスタンスにインポートする場合、カタログのセキュリティ・ポリシー(プレゼンテーション・サービスの権限)がBIアプリケーション・アーカイブ・ファイルからインポートされます。サービス管理者は、カタログ・セキュリティ・ポリシーを変更できます。
前のリリースからアップグレードされたシステムは、引き続きカタログ・グループを使用してこれらの権限を付与できますが、これはお薦めしません(D.2.2.1項「アプリケーション・ロールへのカタログ・グループの移行」を参照)。ベスト・プラクティスは、アプリケーション・ロールの使用による権限の管理であり、それによってセキュリティ管理プロセスが合理化されます。たとえば、システム全体でアプリケーション・ロールの同一セットを使用すると、システムでカタログ・グループおよびメンバー・リストの別個のセットを管理する必要がなくなります。アップグレードしたカタログ・グループを引き続き使用してPresentation Servicesの権限を管理する方法の詳細は、第A.2.1項「Presentation Servicesのセキュリティに影響する変更」を参照してください。
|
注意: カタログ・グループのメンバーとなるようにアプリケーション・ロールを割り当てると、複雑なグループ継承およびメンテナンス状況が発生するため、お薦めできません。 |
グループがアプリケーション・ロールに割り当てられる場合、グループ・メンバーは、関連付けられたPresentation Servicesの権限を自動的に付与されます。これは、Oracle Business Intelligence権限のほかに付与されます。
|
ヒント: ユーザーがメンバーとなっているアプリケーション・ロールのリストは、プレゼンテーション・サービスの「マイ・アカウント」ダイアログの「ロールおよびグループ」タブから利用可能です。 |
Presentation Servicesの権限はPresentation Services管理の「権限の管理」ページに保持され、分析の作成やダッシュボードなどのPresentation Services機能へのアクセス権を付与または拒否します。Presentation Servicesの権限は他のOracle Business Intelligenceコンポーネントには影響しません。
プレゼンテーション・サービス権限が割り当てられているアプリケーション・ロールのメンバーは、それらの権限をユーザーに付与します。アプリケーション・ロールに割り当てられたPresentation Servicesの権限は、Presentation Services管理の「権限の管理」ページを使用して、権限付与を追加または削除することで変更できます。
プレゼンテーション・サービス権限は、明示的におよび継承によってユーザーに付与できます。ただし、明示的なプレゼンテーション・サービス権限の拒否は、グループまたはアプリケーション・ロール階層の結果として、付与されるか継承されるユーザー・アクセス権限よりも優先されます。
アプリケーション・ロールを作成する場合、そのアプリケーション・ロールでユーザーが様々な機能タスクを実行できるように、適切なPresentation Servicesの権限を設定する必要があります。たとえば、BISalesAdministratorという名前のアプリケーション・ロールを保持したユーザーが、Oracle Business Intelligenceでアクションを作成できるようにします。この場合は、「起動アクションの作成」という名前の権限を付与します。
ポリシー・ストアの管理に使用する管理インタフェースを使用して、Presentation Servicesの権限を割り当てることはできません。新規アプリケーション・ロールを作成し、Oracle Business Intelligenceの権限を付与する場合、Oracle Business Intelligenceの権限に加えて、その新規ロールにプレゼンテーション・サービスの権限を設定する必要があります。
|
注意: Presentation Servicesの権限は、SecurityServiceサービスを使用して新規アプリケーション・ロールにプログラム的に割り当てることができます。詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のSecurityServiceサービスに関する項を参照してください。 |
アプリケーション・ロールに対するPresentation Servicesの権限を設定するには:
管理者権限のあるユーザーとしてOracle BIプレゼンテーション・サービスにログインします。
詳細は、第1.6.4項「プレゼンテーション・サービス管理の使用」を参照してください。
プレゼンテーション・サービスの「ホーム」ページで「管理」を選択します。
|
注意: 管理者権限がないユーザーとしてログインする場合、「管理」オプションは表示されません。 |
「セキュリティ」領域で「権限の管理」をクリックし、「権限の管理」ページを表示します。
このページでは、Presentation Servicesの権限に対するアプリケーション・ロールを確認できます。
管理する権限の横のアプリケーション・ロールをクリックします。
たとえば、BIConsumerという名前のアプリケーション・ロールに対して、Access to Scorecardという名前の権限を管理するには、Access to Scorecardの横の「BIConsumer」リンクをクリックします。
「権限<権限名>」ダイアログを使用してアプリケーション・ロールを権限リストに追加し、アプリケーション・ロールに権限を付与したりアプリケーション・ロールから権限を取り消したりします。たとえば、選択した権限をアプリケーション・ロールに付与するには、アプリケーション・ロールを「権限」リストに追加する必要があります。
次のようにアプリケーション・ロールを「権限」リストに追加します。
「ユーザー/ロールの追加」をクリックします。
リストから「アプリケーション・ロール」を選択し、「検索」をクリックします。
結果リストからアプリケーション・ロールを選択します。
シャトル・コントロールを使用して、アプリケーション・ロールを「選択済メンバー」リストに移動します。
「OK」をクリックします。
「権限」リストで「権限付与」または「拒否」を選択することで、アプリケーション・ロールの権限を設定します。
|
注意: Presentation Servicesの権限を明示的に拒否することは、グループまたはアプリケーション・ロール階層の結果として付与または継承されたユーザー・アクセス権より優先されます。 |
変更内容を保存します。
|
注意: 既存のカタログ・グループは、アップグレード・プロセスの間に移行されます。既存のOracle BIプレゼンテーション・サービス・カタログ・セキュリティ構成をロールベースのOracle Fusion Middlewareセキュリティ・モデル・ベースに移行する場合は、各カタログ・グループを対応するアプリケーション・ロールと置き換える必要があります。既存のプレゼンテーション・サービス構成を複製するには、各カタログ・グループを、同じOracle BIプレゼンテーション・カタログ権限を付与する対応するアプリケーション・ロールと置き換えます。その後、プレゼンテーション・サービスから元のカタログ・グループを削除できます。 |
BIサーバーおよびプレゼンテーション・サービスのクライアントは、ログインおよびパスワード暗号化について業界標準のセキュリティをサポートしています。エンド・ユーザーがWebブラウザにユーザー名およびパスワードを入力すると、BIサーバーはHypertext Transport Protocol Secure (HTTPS)規格を使用して、情報をセキュアなOracle BIプレゼンテーション・サービス・ポートに送信します。情報はOracle BIプレゼンテーション・サービスからトリプルDES(データ暗号化規格)を使用して、ODBCを介してBIサーバーに渡されます。これにより、高度なセキュリティが(168ビット)が実現し、認可されていないユーザーがデータにもOracle Business Intelligenceメタデータにもアクセスできないようになります。
データベース・レベルでは、Oracle Business Intelligence管理ユーザーがデータベース・セキュリティおよび認証を実装します。最後に、固有キーベースの暗号化によってセキュリティを提供し、未認可ユーザーがメタデータ・リポジトリにアクセスできないようにします。
この項では、Oracle BI Publisherの管理ページを使用して、Oracle BI Publisherに保持されているデータ・ソース・アクセスの権限を管理する方法について説明します。データ・ソース・アクセスの権限では、データ・ソースへのアプリケーション・ロールによるアクセスが制御されます。ユーザーが次のタスクを実行するには、そのユーザーに、特定のデータ・ソース・アクセスの権限が付与されたアプリケーション・ロールが割り当てられる必要があります。
データ・ソースに対するデータ・モデルを作成する。
データ・ソースに対するデータ・モデルを編集する。
データ・ソースから構築されたデータ・モデルを使用して作成されたレポートを表示する。
公開されたレポートのデータ・ソース・セキュリティの詳細は、Oracle Fusion Middleware Oracle Business Intelligence管理者および開発者ガイドのデータ・ソースへのアクセス権の付与に関する項を参照してください。
HA環境でデフォルトのWeblogic LDAPを使用する場合のみ、この項が適用されます。
クラスタ環境で、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性を有効にするには、virtualize属性を構成します。virtualizeの属性値をtrueに設定すると、BIプロセスは、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアのローカル・コピーの検索を認証して実行できるローカルの管理対象サーバーを参照します。
デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性を有効にするには:
Fusion Middleware Controlにログインします。
詳細は、第1.6.2項「Oracle Fusion Middleware Controlの使用」を参照してください。
ナビゲーション・ペインから「WebLogicドメイン」フォルダを展開し、「bi」を選択します。
「bi」を右クリックして「セキュリティ」→「セキュリティ・プロバイダ構成」を選択し、「セキュリティ・プロバイダ構成」ページを表示します。
「セキュリティ・ストア・プロバイダ」、「アイデンティティ・ストア・プロバイダ」領域を展開して、「構成」をクリックし、「アイデンティティ・ストア構成」ページを表示します。
「カスタム・プロパティ」領域で「追加」オプションを使用し、次のカスタム・プロパティを追加します。
プロパティ名=virtualize
値=true
プロパティ名=OPTIMIZE_SEARCH
値=true
|
注意: プロパティ名virtualizeは小文字である必要があり、OPTIMIZE_SEARCHは大文字である必要があります。 |
図2-9は、値がtrueに設定されたvirtualizeという新しいプロパティを含む、一連のカスタム・プロパティの例を示しています。
「OK」をクリックして、変更を保存します。
管理サーバー、管理対象サーバーおよびOracle BI EEコンポーネントを再起動します。
ユーザーが不要になった場合、新しく作成された同じユーザーが古いアクセスの権限を継承しないように、システムからユーザーIDを完全に削除する必要があります。認証およびアクセスの権限がユーザーIDに割り当てられるため、この状況が発生する可能性があります。
ユーザーを削除するには、ポリシー・ストア、Oracle BIプレゼンテーション・カタログ、メタデータ・リポジトリおよびアイデンティティ・ストアからユーザーを取り除きます。
ユーザーを削除するには:
ユーザーをポリシー・ストアから削除します。
ユーザーが直接アプリケーション・ロールに関連付けられている場合、そのユーザーに対するすべての参照を削除する必要があります。
コマンドライン・ユーティリティを使用して、Oracle BIプレゼンテーション・カタログおよびメタデータ・リポジトリのユーザーを削除します。
ユーザー・コマンドの削除
カタログおよびメタデータ・リポジトリのユーザーを削除するには、deleteusersコマンドを使用します。
詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイドのユーザー・コマンドの削除に関する項を参照してください。
Oracle WebLogic Server LDAPをアイデンティティ・ストアとして使用している場合、次の手順を実行してユーザーを削除します。
Oracle WebLogic Server管理コンソールにログインします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、「myrealm」をクリックします。
「ユーザーとグループ」タブ→「ユーザー」を選択します。
ユーザーを選択します。「削除」をクリックします。
「ユーザーの削除」ページで、「はい」をクリックします。
「OK」をクリックします。
ユーザー名が、埋め込まれたWebLogic LDAPサーバーの「ユーザー」表から削除されます。
Oracle WebLogic Server LDAP以外のアイデンティティ・ストアを使用している場合、使用するアイデンティティ・ストアに適切な手順に従ってください。
runcatコマンドライン・インタフェースを使用すると、Oracle BIプレゼンテーション・カタログでセキュリティに関連するタスクの一部を管理できます。
Windows、Linux、IBM-AIX、Sun Solaris、HP-UXなど、Oracle Business Intelligenceでサポートされているプラットフォーム上でコマンドライン・ユーティリティを起動することができます。Linuxでコマンド・ライン・ユーティリティの使用方法のヘルプを表示するには、次のようなコマンドを入力します。
./runcat.sh -help
次の構文を使用して、カタログ・グループの権限をアプリケーション・ロールの権限へ変換します。
runcat.cmd/runcat.sh -cmd replaceAccountInPermissions -old <catalog_group_name> -oldType group -new <application_role_name> -newType role -offline <catalog_path>
詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイドのOracle BIプレゼンテーション・カタログのオープンに関する項を参照してください。
Oracle BIプレゼンテーション・カタログ・アイテムのセットに対するユーザー権限のレポート
次の構文を使用して、Oracle BIプレゼンテーション・カタログのすべての権限および権限の持ち主をレポートします。例:
runcat.cmd/runcat.sh -cmd report -online http://localhost:8080/analytics/saw.dll -credentials c:/oracle/catmancredentials.properties -outputFile c:/temp/report.txt -delimiter "\t" -folder "/system/privs" -mustHavePrivilege -type "Security ACL" -fields "Path:Accounts" "Must Have Privilege"
ヘルプには次のコマンドを使用します。
runcat.sh -cmd report -help
アプリケーション・ロール名の変更
詳細は、第2.4.4.3項「アプリケーション・ロールの名前変更」を参照してください。
