| Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
前 |
次 |
システム・リソースへのアクセスを制御することは、ユーザーにログイン時に認証を求め(認証)、許可されたリソースだけにユーザーを制限することによって達成されます(認可)。セキュリティ・プロバイダを構成して、ユーザー・アイデンティティ、資格証明および権限付与を管理します。
この章には次の項が含まれます:
|
注意: 特に記載のないかぎり、この章で説明する権限は、Oracle Business Intelligence Presentation Servicesの権限など、ポリシー・ストア・プロバイダで保持される権限のことを指します。カタログの権限は、Oracle BI Presentation Catalogで保持されているため別個のものです。Presentation Servicesの権限の詳細は、第D.2.3項「Presentation Servicesの権限の管理」を参照してください。 |
Oracle Business Intelligenceのセキュリティは、大きく2つの領域に分類できます。
システム・アクセス・セキュリティ: Oracle Business Intelligenceを構成するコンポーネントと機能へのアクセスの制御。
データ・アクセス・セキュリティ: Oracle Business Intelligenceで使用するビジネス・ソース・データおよびメタデータへのアクセスの制御。
システム・アクセス・セキュリティについては、このガイドで説明します。トピックには、システムへのアクセスを許可されたユーザーに制限し、権限付与に基づいてソフトウェア・リソースを制御して、コンポーネント間で安全に通信する方法が含まれます。
データ・アクセス・セキュリティについては、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
Oracle Fusion Middlewareセキュリティ・モデルは、Javaセキュリティ・モデルを組み込んだ、Oracle Fusion Middlewareプラットフォームに基づいています。Javaモデルは、ロールベースの宣言モデルで、コンテナ管理のセキュリティを採用しているため、リソースは、ユーザーに割り当てられているロールによって保護されます。しかし、Oracle Fusion Middlewareセキュリティ・モデルを使用するときは、Javaベースのアーキテクチャに関する高度な知識は不要です。このセキュリティ・モデルに基づいているため、Oracle Business Intelligenceは、企業全体で均一なセキュリティとアイデンティティ管理を提供できます。
Oracle Business Intelligenceは、インストール時にOracle WebLogic Serverドメインにインストールされます。これは、単位として管理されるリソースの論理的に関連したグループです。インストール中にbiという名前のOracle WebLogic Serverドメインが作成され、このドメインにOracle Business Intelligenceがインストールされます。この名前は、実行するインストール・タイプによって変わる可能性があります。各ドメインのOracle WebLogic Serverの1つのインスタンスは、管理サーバーとして構成されます。管理サーバーは、Oracle WebLogic Serverドメインを管理する中心点となります。管理サーバーは、管理コンソールをホストします。これは、管理サーバーへのネットワーク・アクセス権を持つ、サポートされているWebブラウザからアクセスできるWebアプリケーションです。Oracle Business Intelligenceでは、それがインストールされているOracle WebLogic Serverドメインに構成されているアクティブなセキュリティ・レルムを使用します。詳細は、第B.2.2項「Oracle WebLogic Serverドメイン」を参照してください。
Oracle Fusion Middlewareプラットフォームおよび一般的なセキュリティ・フレームワークの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。Oracle WebLogic Serverドメインおよびセキュリティ・レルムの管理の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverのセキュリティの理解』および『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
Oracle Platform Security Services (OPSS)は、Oracle Fusion Middlewareセキュリティ・フレームワークが構築されている基礎となるプラットフォームです。Oracle Platform Security Servicesは規格ベースであり、ロールベースのアクセス制御(RBAC)、Java Enterprise Edition (Java EE)およびJava Authorization and Authentication Service (JAAS)に準拠しています。Oracle Platform Security Servicesを使用すると、共有セキュリティ・フレームワークによって、会社全体でセキュリティとIDを均一に管理できます。
Oracle Platform Security Servicesの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
|
注意: 今後のドキュメントで、Oracle Platform Security Services (OPSS)の記述はOracle Entitlements Server Basic (OES Basic)の記述に置き換えられます。これはお客様側の動作への視覚的な変更を伴うものではありません。 |
Oracle WebLogic Server管理 ドメイン は、論理的に関連付けられたJavaコンポーネントのグループです。ドメインには、管理サーバーと呼ばれる特別なWebLogic Serverインスタンスが含まれます。これは、ドメイン内のすべてのリソースを構成、管理する中心ポイントです。通常、ドメインは、管理対象サーバーという追加のWebLogic Serverインスタンスを含めるように構成します。Webアプリケーション、EJB、Webサービスおよびその他のリソースなどのJavaコンポーネントは管理対象サーバーにデプロイし、管理サーバーは構成と管理を行う目的でのみ使用します。
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlは、管理サーバーで動作します。Oracle WebLogic Server管理コンソールは、Webベースの管理コンソールで、管理サーバー管理対象サーバーなど、Oracle WebLogic Serverドメインでのリソースの管理に使用します。Fusion Middleware Controlは、Oracle Business Intelligenceを構成するコンポーネントを含む、Oracle Fusion Middlewareの管理に使用するWebベースの管理コンソールです。Oracle Business Intelligenceの個々のコンポーネントの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
Oracle Business Intelligence認証はOracle WebLogic Server認証プロバイダによって処理されます。認証プロバイダは、次の機能を実行します。
ユーザーとシステム・プロセスのアイデンティティを確立します。
アイデンティティ情報を送信します。
インストール時に、Oracle Business Intelligenceは、ユーザーとグループのためのデフォルトの認証プロバイダおよびリポジトリとして、Oracle WebLogic Serverに組み込まれたディレクトリ・サーバーを使用するように構成されます。必要に応じて代替認証プロバイダを使用し、Oracle WebLogic Server管理コンソールで管理できます。詳細は、「システム要件と動作要件」を参照してください。
Oracle Fusion Middlewareセキュリティ・プラットフォームは、次の主な要素に応じて、会社全体でセキュリティとIDの均一な管理を提供します。Oracle Fusion Middlewareセキュリティ・プラットフォームの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
Oracle Business Intelligenceは、これらのセキュリティ・プラットフォーム要素を次のように使用します。
アプリケーション・ポリシーの詳細は、第1.9項「用語」を参照してください。
アプリケーション・ストライプは、ポリシー・ストアにポリシーのサブセットを定義します。Oracle Business Intelligenceアプリケーション・ストライプは、obiという名前です。
アプリケーション・ロールの詳細は、第1.4.1項「アプリケーション・ロールについて」を参照してください。たとえば、セールス・アナリストというアプリケーション・ロールを持っていると、会社のセールス・パイプラインに関連するレポートを表示、編集および作成するアクセス権をユーザーに付与できます。また、アプリケーション・ロールはコンテナでもあり、コンテナのメンバーに対して権限およびアクセス権を付与するために使用されます。メンバーがアプリケーション・ロールに割り当てられていると、そのアプリケーション・ロールがコンテナとなって、コンテナのメンバーにアクセス権を伝達するために使用されます。例:
Oracle Business Intelligence権限
これらの権限付与は、アプリケーション・ポリシーで定義されます。アプリケーション・ロールがポリシーに割り当てられると、その権限は、ポリシーとロールの関係を通じてアプリケーション・ロールに関連付けられます。ユーザーのグループがそのアプリケーション・ロールに割り当てられている場合は、対応する権限が順にすべてのメンバーに等しく付与されます。複数のユーザーやグループが同じアプリケーション・ロールのメンバーになることがあります。
データ・アクセス権
アプリケーション・ロールは、リポジトリ・ファイル内のデータを表示および変更するアクセス権を制御するために使用できます。データ・フィルタは、ビジネス・モデルおよびマッピング・レイヤーとプレゼンテーション・レイヤーのオブジェクト・レベル権限を制御するために、アプリケーション・ロールに適用できます。アプリケーション・ロールの使用によるデータ・アクセス・セキュリティの適用およびリポジトリ・オブジェクトの制御の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。
プレゼンテーション・サービスのオブジェクトレベルのアクセス
アプリケーション・ロールは、Oracle BIプレゼンテーション・サービスにおけるレポートなどのオブジェクトへのアクセス権を付与するために使用できます。プレゼンテーション・サービスのアクセスを制御するためのアプリケーション・ロールの使用の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』を参照してください。
認証プロバイダの詳細は、第1.3項「認証について」を参照してください。
開発またはテスト環境で操作する場合、デフォルトのディレクトリ・サーバーおよびサンプル・アプリケーションの使用時に用意されるセキュリティ構成を使用すると便利です。ビジネスに固有のユーザー定義および資格証明を追加し、既存のアプリケーション・ロールおよび権限の付与をカスタマイズして要件を満たします。認証、ポリシー、および資格証明プロバイダが完全に構成され、ビジネスに特有のデータを入力した後に、認証と認可のときにOracle Business Intelligenceコンポーネントに必要なすべてのユーザー、ポリシー、および資格証明情報が提供されます。
組込みディレクトリ・サーバーおよびサンプル・アプリケーションにおけるBIセキュリティでは、システムおよびデータ・リソースへの安全で制御されたアクセスを確保するために統合されている3つのセキュリティ・プロバイダがあります。次の手順に従って、インストール中にこれらのセキュリティ・プロバイダが構成されます。
認証プロバイダはDefaultAuthenticatorです。これは、Oracle WebLogic Serverの組込みディレクトリ・サーバー(アイデンティティ・ストア)に照合して認証されます。デフォルトのアイデンティティ・ストアは、Oracle WebLogic Server管理コンソールを使用して管理されます。
ポリシー・ストア・プロバイダは、初期BI構成中に指定されたデータベースです。これには、アプリケーション・ロール定義、対応するOracle Business Intelligence権限付与、およびグループとアプリケーション・ロールの間のマッピング定義が含まれています。アプリケーション・ロールにグループを割り当てると、対応する権限がグループのメンバーに伝達されます。デフォルトのポリシー・ストア・プロバイダは、Oracle Enterprise Manager Fusion Middleware Controlを使用して管理されます。
資格証明ストア・プロバイダ
資格証明ストア・プロバイダは、初期BI構成中に指定されたデータベースです。これには、提供またはシステム生成されたパスワードおよび他のセキュリティ関連の資格証明が含まれています。デフォルトの資格証明ストアはFusion Middleware Controlを使用して管理されます。
表B-1に、セキュリティ・プロバイダおよびインストール後の初期状態を要約しています。
表B-1 デフォルトのセキュリティ・プロバイダ
| セキュリティ・プロバイダ・タイプ | 目的 | デフォルトのプロバイダ | オプション |
|---|---|---|---|
|
認証プロバイダ |
認証の制御に使用。 |
|
Oracle Business Intelligenceは、異なる認証プロバイダとディレクトリ・サーバーを使用するように再構成できます。詳細は、「システム要件と動作要件」を参照してください。 |
|
ポリシー・ストア・プロバイダ |
|
|
Oracle Business Intelligenceは、Oracle Internet Directoryを使用するように構成できます。 |
|
資格証明ストア・プロバイダ |
システム・パスワードおよび他のセキュリティ関連の資格証明を保持する信頼できるストア。ここで保存されたデータは、外部システムへの接続、リポジトリのオープン、またはSSLに使用されます。 |
|
Oracle Business Intelligenceは、Oracle Internet Directoryを使用するように構成できます。 |
図B-1は、Oracle Business Intelligenceと認証およびポリシー・ストアのプロバイダの関係を示しています。
認証プロバイダは、ユーザーとグループの情報にアクセスし、ユーザーの認証を担当します。アイデンティティ・ストアには、Oracle Business Intelligenceのユーザー名、パスワード、およびグループ・メンバーシップ情報が含まれています。デフォルト・セキュリティ構成はDefaultAuthenticatorという名前の認証プロバイダを使用して、Oracle WebLogic Serverに組み込まれたディレクトリ・サーバーに照らし合せて認証します。
ユーザー名とパスワードを組み合せてユーザーがシステムにログインすると、Oracle WebLogic Serverは、提供された組み合せに基づいてIDを検証します。このプロセス中に、Javaプリンシパルが、認証を受けているユーザーまたはグループに割り当てられます。プリンシパルは1つ以上のユーザーまたはグループから構成でき、サブジェクトに格納されます。サブジェクトは、ID情報をグループ化し保持するために使用するJAAS要素です。
認証に成功すると、各プリンシパルは署名され、サブジェクトに格納されます。プログラム・コールがサブジェクトに格納されているプリンシパルにアクセスすると、デフォルトの認証プロバイダは、署名後にプリンシパルが変更されていないこと、およびプリンシパルがコールを発しているプログラムに返されることを検証します。たとえば、Oracle WebLogic Serverのデフォルト認証では、サブジェクトには、ユーザーのプリンシパル(WLSUserPrincipal)、およびユーザーがメンバーとして属しているグループのプリンシパル(WLSGroupsPrincipals)が含まれています。インストールのデフォルト以外の認証プロバイダが構成されている場合は、ID情報の格納方法が異なる場合があるため、そのプロバイダのドキュメントを確認してください。
グループとは、論理的に順序付けられたユーザーの集合のことです。同様のシステム・リソースへのアクセス・ニーズを持つグループのユーザーを作ることで、セキュリティ管理が容易になります。グループを管理することは、多数のユーザーを個々に管理するより効率的です。グループは次に、権利を付与するためにアプリケーション・ロールに割り当てられます。Oracleは、メンテナンスを容易に行うために、ユーザーをグループへとまとめることをお薦めします。
デフォルトのグループがBIのインストール中に作成されます。
BIデプロイメントを構成すると、Weblogicドメインが作成され、構成手順の一部として指定される単一のユーザーが入力されます。
このユーザー名は構成を実行する人が入力し、任意の名前を指定できます。
インストール時に入力されたパスワードは、アイデンティティ・ストア・プロバイダの管理インタフェースを使用して後で変更できます。
BIサービス・インスタンスの構成中に、Weblogicドメイン管理者が自動的にサービス・インスタンスの所有者になり、管理権限を付与するアプリケーション・ロールのメンバー(たとえば、BIServiceAdministratorまたはBIAdministrator)になります
ポリシー・ストア・プロバイダはOracle Business Intelligenceアプリケーション固有のポリシー、アプリケーション・ロール、権限付与、およびメンバーシップのマッピングが含まれています。ポリシー・ストアは、データベース・ベースでもLDAPベースでもかまいませんが、デフォルトのインストールではデータベース・ベースのポリシー・ストアが提供されます。
カタログの権限は、ポリシー・ストア・プロバイダには保持されません。
すべてのOracle Business Intelligence権限および権限セットが提供されます。追加の権限および権限セットは作成できません。サンプル・アプリケーションに基づいてサービス・インスタンスの構成を選択した場合、Oracle Business Intelligenceの共通のユーザー・タイプ(管理者、作成者およびコンシューマ)のアクセス要件に従って権限セットを割り当てるために、サンプル・アプリケーション・ポリシーおよびアプリケーション・ロールが事前構成されます。サービス・インスタンスへの11gアップグレード・バンドルのインポートを選択した場合、11g権限付与が11gで使用できなかった新しい権限セットとともに使用されます。必要に応じて、Fusion Middleware Controlを使用して権限付与を変更できます。
|
注意: 権限セット付与をEnterprise Manager Fusion Middleware Controlで表示できますが、WLSTを使用してのみ変更できます。 |
デフォルトのOracle Business Intelligenceセキュリティ構成は、関連した権限をグループ化する事前構成された権限セットを提供します。サービス・インスタンスへのサンプルまたは初期アプリケーションのインポートを選択する場合、これらの権限セットがサンプルまたは初期セットのアプリケーション・ロールに付与されています。サービス・インスタンスに空のBARファイルをインポートして、白紙の状態で開始する場合、WLSTを使用して権限セットを作成するアプリケーション・ロールに割り当てる必要があります。アプリケーション・ロールは通常グループをメンバーとして持ち、ロールの権限がグループのメンバーシップを介してユーザーに継承されます。グループをアプリケーション・ロールに割り当てることで、ロールの権限がグループのすべてのメンバーに伝達されます。
権限は、次の関係を構築することで、Oracle Business Intelligenceアプリケーション・ロールで付与されます。
グループによって、同様のシステム・アクセス要件を持つユーザーの組が定義されます。ユーザーは、必要なアクセスのレベルに従って1つ以上のグループにメンバーとして追加されます。
アプリケーション・ロールは、Oracle Business Intelligenceを使用するときにユーザーが一般的に実行するロールを定義します。サンプル・アプリケーションのセキュリティ・ポリシーは次のロールを提供します: 管理者(BIServiceAdministrator)、作成者(BIContentAuthor)およびコンシューマ(BIConsumer)。
グループは、各グループが必要とするアクセスのタイプに一致する1つ以上のアプリケーション・ロールに割り当てられます。
アプリケーション・ポリシーは、各ロール・タイプに対応する1組のアクセス権を付与するOracle Business Intelligence権限を定義します。
アプリケーション・ロールは、ロール・タイプ(たとえば、管理者、作成者、コンシューマ)が必要とする権限の組を付与するアプリケーション・ポリシーに割り当てられます。構成後は、アプリケーション・ロールはアプリケーション・ポリシーの権限受領者になります。
グループ・メンバーシップは、グループ階層の性質によって継承できます。継承したグループに割り当てられているアプリケーション・ロールも継承され、それらの権限も同様に伝達されます。
ユーザー権限は、システムによって次のように決定されます。
ユーザーがログイン時にWebブラウザに資格証明を入力します。ユーザー資格証明は、アイデンティティ・ストアに含まれているデータに照らし合せて認証プロバイダによって認証されます。
認証に成功したら、Javaサブジェクトとプリンシパルの組合せが発行され、ユーザー名とユーザーのグループが入力されます。
ユーザーのグループのリストがアプリケーション・ロールに照合されます。ユーザーのグループのそれぞれに割り当てられるアプリケーション・ロールのリストが作成されます。
付与されるユーザー権限は、ユーザーがどのアプリケーション・ロールのメンバーであるかを把握することによって決定されます。グループのリストは、ユーザーがどのロールを持っているかを判断するためだけに生成され、他の目的には使用されません。
たとえば、Oracle BI管理ツールからオンライン・モードでリポジトリ・ファイルを開く機能では、関連する権限(リソース・スコープ*および管理アクションを使用したoracle.bi.repositoryリソース・タイプ)が必要です。サンプルおよび初期アプリケーション・セキュリティ・ポリシーでは、この権限がBIServiceAdministratorアプリケーション・ロールのメンバーシップによって付与されます。BIServiceAdministratorアプリケーション・ポリシーには、実際の権限付与の定義が含まれます。この例の場合、BIServiceAdministratorアプリケーション・ポリシーには、関連する権限を含む権限セット付与が含まれます。BIインストールでは、(LDAP)グループを自動的に作成しません。そのため、環境のユーザーにこの権限セットを伝達するには、必要なグループ(Weblogic LDAPのBIAdministratorsグループまたは該当する場合にBIを構成したアイデンティティ・ストアの作成など)を作成し、そのユーザーをBIServiceAdministratorsグループに追加し、EM FMWコントロールまたはWLSTを使用してBIServiceAdministratorsグループをBIServiceAdministratorアプリケーション・ロールにマップします。オンライン・モードでリポジトリを管理する必要のあるすべてのユーザーは、各ユーザーに必要な権限を個々に付与するのではなく、このグループ(BIServiceAdministratorsなど)に追加する必要があります。ユーザーにリポジトリの管理権限が必要なくなれば、ユーザーをBIServiceAdministratorsグループから削除します。BIServiceAdministratorsグループから削除されたユーザーには、ロールのメンバーシップによって付与されたBIServiceAdministratorアプリケーション・ロールまたはリポジトリの管理権限がなくなります。
また、ユーザーは、グループ・メンバーシップおよびアプリケーション・ロールを継承することでも権限を取得できます。この処理を実行する方法の詳細と例は、第B.5.1項「権限の継承とロールの階層」を参照してください。
Oracle Business Intelligenceでは、アプリケーション・ロールのメンバーには、グループと他のアプリケーション・ロールの両方を含むことができます。結果的に、明示的に付与することに加えて、権限を継承できる階層的なアプリケーション・ロール構造となります。アプリケーション・ロールのメンバーであるグループは、アプリケーション・ロールの権限と、そのアプリケーション・ロールから派生したすべてのアプリケーション・ロールの権限が付与されます。アプリケーション・ロール階層の構成時には、循環依存が発生しないようにすることが重要です。
図B-2は、アプリケーション・ロール間の関係と、どのように権限がメンバーに付与されるかを示しています。
図B-2では、複数のOracle Business Intelligenceのデフォルト・グループおよびアプリケーション・ロールを使用して、ロールの階層から権限を付与しています。サンプルおよび初期アプリケーションでは、デフォルトのBIServiceAdministratorロールはBIContentAuthorロールのメンバーであり、BIContentAuthorロールはBIConsumerロールのメンバーです。結果として、BIServiceAdministratorアプリケーション・ロールのメンバーは、BIServiceAdministratorロール、BIContentAuthorロールおよびBIConsumerロールの権限をすべて付与されます。このため、アプリケーション・ロールにマップされた特定のグループのメンバーであるユーザーには、明示的な権限と任意の追加的な継承される権限の両方が付与されます。
|
注意: グループとグループ階層は、それら自体では、アプリケーション・リソースにアクセス権を提供しません。権限は権限の付与により伝達され、アプリケーション・ポリシーで定義されます。ユーザー、グループまたはアプリケーション・ロールは、アプリケーション・ポリシーの権限受領者になります。アプリケーション・ポリシーの権限受領者は、直接的な対応付けによって(ユーザーなど)または権限受領者のメンバーになることによって(グループやアプリケーション・ロールなど)権限を伝達します。 |
Oracle Business Intelligenceソフトウェアのインストールに成功した後に実行する共通のセキュリティ・タスクは、目的によって異なります。Oracle Business Intelligenceをインストールする共通の理由は、次のとおりです。
製品を評価します。
製品を実装します。
通常、実装において、次の環境の1つ以上で製品を使用する製品ライフサイクルを経験します。
開発
テスト
本番
この項の内容は、次のとおりです。
表B-2に、Oracle Business Intelligenceを評価するために実行される共通のセキュリティ・タスクを記載して、詳細へのリンクを提供しています。
表B-2 タスク・マップ: Oracle Business Intelligenceを評価するための共通のセキュリティ・タスク
| タスク | 説明 | 参照先 |
|---|---|---|
|
Oracle Fusion Middlewareセキュリティ・モデルおよびOracle Business Intelligenceのデフォルトのセキュリティ構成を理解します。 |
インストールに成功したら、Oracle Fusion Middlewareセキュリティ・モデルおよびOracle Business Intelligenceのデフォルトのセキュリティ構成の重要な要素について学ぶ。 |
第1章「Oracle Business Intelligenceのセキュリティの紹介」 第B.4項「サンプル・アプリケーションを使用したセキュリティ構成」 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』 |
|
デフォルトのアイデンティティ・ストアにユーザーとグループを追加します。 |
Oracle WebLogic Server管理コンソールを使用して、組み込まれたディレクトリ・サーバーの新しいユーザーおよびグループ定義を作成します。 |
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」 Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
|
新しいメンバーをアプリケーション・ロールに追加します。 |
BIConsumerなど、アプリケーション・ロールにメンバーとして新規のユーザーまたはグループを追加します。 |
第2.4.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールの変更」 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』 |
|
既存のアプリケーション・ロールに基づいて新しいアプリケーション・ロールを作成します。 |
既存のアプリケーション・ロールに基づいて、コピーを行いそのコピーに名前を付けることによって新しいアプリケーション・ロールを作成します。 |
第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除」 『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』 |
表B-3に、Oracle Business Intelligenceを実装するときに実行する共通のセキュリティ・タスクを示し、詳細へのリンクを提供します。次のタスクは、第B.6.1項「Oracle Business Intelligenceを評価するための共通のセキュリティ・タスク」に記載されているタスクに加えて実行されます。
表B-3 タスク・マップ: Oracle Business Intelligenceを実装するための共通のセキュリティ・タスク
| タスク | 説明 | 参照先 |
|---|---|---|
|
認証プロバイダおよびアイデンティティ・ストアとしてエンタープライズ・ディレクトリ・サーバーを使用することへの遷移。 |
認証プロバイダおよびアイデンティティ・ストアになるようにエンタープライズ・ディレクトリ・サーバーを構成します。 |
第3.4項「代替認証プロバイダを使用するためのOracle Business Intelligenceの構成」 |
|
新しいアプリケーション・ロールを作成します。 |
新しいアプリケーション・ロールを作成し、ロールをアプリケーション・ポリシーの権限受領者にします。 |
第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除」 |
|
新しく作成したアプリケーション・ロールにグループを割り当てます。 |
グループ・メンバーに権限付与を伝達するために、新しく作成したアプリケーション・ロールにグループを割り当てます。 |
第2.4.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールの変更」 |
|
SSLを使用するかどうかを決定します。 |
SSL通信を使用するかどうかを決定し、実装するための計画を考えます。 |
第5章「Oracle Business IntelligenceのSSLの構成」 |
|
デプロイメントにおいてSSOプロバイダを使用するかどうかを決定します。 |
SSO認証を使用するかどうか決定し、実装する計画を考えます。 |
|
