| Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
前 |
次 |
この章では、Oracle Business Intelligenceのセキュリティ・モデルを紹介して、セキュリティの構成に使用されるツールについて説明し、Oracle Business Intelligenceでセキュリティを構成するための詳細なロードマップを示します。
|
注意: セキュリティの設定に関する上位レベルのロードマップについては、第1.1項「Oracle Business Intelligenceでセキュリティを設定するための上位レベルのロードマップ」を参照してください。 |
|
注意: BI Publisherを単独でインストールしてあり、Oracle Fusion Middlewareセキュリティを使用する場合は、Oracle Fusion Middleware Oracle Business Intelligence Publisher管理者および開発者ガイドのセキュリティ・モデルに関する項を参照してください。 |
この章には次の項が含まれます:
Oracle Business Intelligenceでセキュリティを設定するには、次を実行する必要があります。
この章の残りの部分に目を通して、セキュリティのコンセプト、ツールおよび用語の概要を把握します。
第2.1項「ユーザー、グループおよびアプリケーション・ロールの使用」の概要を読んで、ユーザー、グループおよびアプリケーション・ロールについて学びます。
ユーザーの認証に使用する認証プロバイダを決定します。
必要なユーザーおよびグループを設定します。
必要なアプリケーション・ロールを設定します。
各グループを適切なアプリケーション・ロールに割り当てます。
Oracle BIリポジトリでユーザーおよびグループが持っている権限を調整します。
Oracle BIプレゼンテーション・カタログでユーザーおよびグループが持っている権限を調整します。
必要に応じてシングル・サインオン(SSO)を構成します。
必要に応じてSecure Sockets Layer (SSL)を構成します。
設定手順の詳細は、第1.7項「Oracle Business Intelligenceのセキュリティを設定するための詳細な手順」を参照してください。
Oracle Business Intelligence 12cは、Oracle Fusion Middleware Securityアーキテクチャと密接に統合されており、コアなセキュリティ機能をそのアーキテクチャのコンポーネントに委任します。具体的には、Oracle Business Intelligenceインストールは次の種類のセキュリティ・プロバイダを利用します。
Oracle Business Intelligenceにアクセス可能なユーザーおよびグループに関する情報へのアクセス方法を知っていて、ユーザーの認証を行う認証プロバイダ。
アプリケーション・ロールおよびアプリケーション・ポリシーへのアクセスを提供するポリシー・ストア・プロバイダ。これは、セキュリティ・ポリシーのコアな部分を形成し、Oracle Business Intelligenceで表示と操作ができるユーザーとできないユーザーを決定します。
Oracle Business Intelligenceで必要な資格証明を格納し、その資格証明へのアクセスを提供する資格証明ストア・プロバイダ。
デフォルトでは、Oracle Business Intelligenceインストールは、ユーザーおよびグループの情報にOracle WebLogic Server組込みLDAPサーバーを使用する認証プロバイダとともに構成されます。Oracle Business Intelligenceのデフォルトのポリシー・ストア・プロバイダおよび資格証明ストア・プロバイダは、資格証明、アプリケーション・ロールおよびアプリケーション・ポリシーを、データベースに格納します。
Oracle Business Intelligenceのインストール後、必要に応じて、別のセキュリティ・プロバイダを使用するようにドメインを再構成することができます。たとえば、Oracle Internet Directory、Oracle Virtual Directory、Microsoft Active Directoryまたは別のLDAPサーバーを認証に使用するようにインストールを再構成できます。また、資格証明、アプリケーション・ロールおよびアプリケーション・ポリシーの格納に、データベースではなくOracle Internet Directoryを使用するようにインストールを再構成することもできます。
下位互換性のため、Oracle Business Intelligenceの複数のレガシー認証オプションが引き続きサポートされます。ベスト・プラクティスは、この章で説明するデフォルトのセキュリティ・モデルにより、アイデンティティ・ストアおよび認証プロバイダを使用して認証および認可を行うことです。ただし、これが可能でないシナリオや、従来の認証方法および認可方法が必要になる場合もあります。通常、こうした別の方法を使用するには、Oracle WebLogicドメインで構成済の認証プロバイダによって参照されるアイデンティティ・ストアに、ユーザー移入およびグループが保持されていないことが必要です。したがって、別の認証方法を使用する場合は、この章のいくつかの項は関係がありません。かわりに、付録A「レガシー・セキュリティ管理オプション」を参照してください。この章で説明するアプリケーション・ロールは、別の認証メカニズムおよび認可メカニズムでも使用されることに注意してください。
Oracle Business Intelligence 12cの各インストールには、Oracle WebLogic Serverドメインが関連付けられています。Oracle Business Intelligenceは、そのドメインに対して構成された認証プロバイダにユーザーの認証を委任します。
デフォルトの認証プロバイダは、Oracle Business IntelligenceのOracle WebLogic Serverドメインに組込みのLDAPサーバーに格納されているユーザーおよびグループ情報にアクセスします。Oracle WebLogic Serverの管理コンソールを使用すると、組込みLDAPサーバーでユーザーおよびグループの作成と管理ができます。
別のディレクトリの認証プロバイダを構成することもできます。Oracle WebLogic Serverの管理コンソールを使用すると、ディレクトリのユーザーおよびグループを表示できます。ただし、このディレクトリを変更するには、引き続き適切なツールを使用する必要があります。たとえば、Oracle Internet Directory (OID)を使用するようにOracle Business Intelligenceを再構成した場合は、ユーザーおよびグループの表示はOracle WebLogic Serverの管理コンソールでできますが、管理はOIDコンソールで行う必要があります。サポートされるLDAPディレクトリの詳細は、BI動作保証のマトリックスを参照してください。
組込みLDAPサーバーのユーザーおよびグループの管理方法の詳細は、第2章「デフォルト・セキュリティ構成を使用したセキュリティの管理」を参照してください。
Oracle WebLogic Serverドメインおよび認証プロバイダの詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
ユーザーが認証された後、セキュリティの面で次に重要なのは、操作権限や表示権限が与えられているものを、ユーザーが操作し表示できるようにすることです。Oracle Business Intelligence 12cでの認可は、アプリケーション・ロールで定義されたセキュリティ・ポリシーによって制御されます。
ディレクトリ・サーバーにおけるグループ内のユーザーに関するセキュリティ・ポリシーを定義するかわりに、Oracle Business Intelligenceはロールベースのアクセス制御モデルを使用します。セキュリティは、ディレクトリ・サーバー・グループおよびユーザーに割り当てられているアプリケーション・ロールによって定義されます。たとえば、アプリケーション・ロールBIServiceAdministrator、BI ConsumerおよびBIContentAuthorなどです。
アプリケーション・ロールはユーザーが持っている機能的役割を表し、これによって、その役割を果たすために必要な権限をユーザーに付与します。たとえば、セールス・アナリストのアプリケーション・ロールを保持することにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。
アプリケーション・ロールとディレクトリ・サーバーのユーザーおよびグループとの間の間接層により、Oracle Business Intelligenceの管理者は、企業のLDAPサーバーに新しいユーザーやグループを作成することなく、アプリケーション・ロールおよびポリシーを定義できます。かわりに、管理者は、認可要件を満たすアプリケーション・ロールを定義し、企業のLDAPサーバーに前から存在しているユーザーやグループにこれらのロールを割り当てます。
さらに、アプリケーション・ロールによって提供される間接層により、ビジネス・インテリジェンス・システムのアーティファクトを、開発、テスト、本番の各環境間で簡単に移動できます。セキュリティ・ポリシーの変更は不要で、必要な操作は、ターゲット環境で利用可能なユーザーおよびグループにアプリケーション・ロールを割り当てることのみです。
図1-1に、ユーザー、グループおよびアプリケーション・ロールの例を示します。
図1-1は次のようなことを示しています。
BIConsumersという名前のグループには、User1、User2およびUser3が含まれています。グループBIConsumersのユーザーには、アプリケーション・ロールBIConsumerが割り当てられています。これによりユーザーはレポートを表示できます。
BIContentAuthorsという名前のグループには、User4およびUser5が含まれています。グループBIContentAuthorsのユーザーには、アプリケーション・ロールBIContentAuthorが割り当てられています。これによりユーザーはレポートを作成できます。
BIServiceAdministratorsという名前のグループには、User6およびUser7が含まれています。グループBIServiceAdministratorsのユーザーには、アプリケーション・ロールBIServiceAdministratorが割り当てられています。これによりユーザーは職責を管理できます。
セキュリティ・ポリシー定義は次のコンポーネントに分割されています。
Oracle BIプレゼンテーション・サービス - これは、特定のアプリケーション・ロールが付与されたユーザーが、どのカタログ・オブジェクトおよびOracle BIプレゼンテーション・サービス機能にアクセスできるかを定義します。機能へのアクセスは、権限の管理ページで、Oracle BI Presentation Servicesの権限という形態で定義され、Oracle BI Presentation Catalogのオブジェクトへのアクセスは「権限」ダイアログで定義されます。
リポジトリ - これは、どのアプリケーション・ロールおよびユーザーが、リポジトリ内のどのメタデータ・アイテムにアクセスできるかを定義します。このセキュリティ・ポリシーを定義するには、Oracle BI管理ツールを使用します。
ポリシー・ストア - これは、所定のユーザーまたは所定のアプリケーション・ロールが付与されたユーザーが、BIサーバーおよびOracle BI Publisherの機能にアクセスできるかを定義します。Oracle Business Intelligenceのデフォルト構成では、ポリシー・ストアはOracle Enterprise Manager Fusion Middleware ControlまたはWebLogicスクリプティング(WLST)を使用して管理されます。ポリシー・ストアの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』を参照してください。
これらのコンポーネントの使用方法は、第1.6項「Oracle Business Intelligenceでセキュリティを構成するツールの使用」を参照してください。
Oracle Business Intelligence 12cでは、BIアプリケーションの作成者は、必要に応じてアプリケーションのアプリケーション・ロールおよび権限付与を自由に定義して名前を付けることができます。Oracle BI 11gに存在する少数のデフォルトのアプリケーション・ロールおよび権限付与を含める制約がなくなりました。ただし、必要に応じて開始セットのアプリケーション・ロールおよび権限セット付与を引き続き使用できます。
Oracle Business Intelligenceを最初に構成する場合、提供されたBIアーカイブ(BAR)・ファイルまたは11gアップグレード・バンドルに基づいて初期BIサービス・インスタンスを作成します(『Oracle Fusion Middleware Oracle Business Intelligenceインストレーション・ガイド』を参照)。サービス・インスタンスで最初に使用できるアプリケーション・ロールおよびメンバーシップのセットは、サービス・インスタンスにインポートされるBARファイルまたは11gアップグレード・バンドルによって異なります。BARファイルのコンテンツの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionシステム管理者ガイド 』を参照してください。つまり、インポートされたセキュリティ・ポリシーには、アプリケーション・ロール定義、アプリケーション・ロールのメンバーシップ、権限セット定義、権限定義、権限セット付与、権限付与、プレゼンテーション・サービスおよびリポジトリ・セキュリティ・ポリシーが含まれます。
たとえば、サンプル・アプリケーションLite BARファイルまたは初期BARファイルに基づいて初期BIサービス・インスタンスの作成を選択すると、初期サービス・インスタンスがサンプル・アプリケーション・ロールおよびそのアプリケーションのアプリケーション・ポリシーをインポートします。これにより、11gの新規インストールのように、類似のアプリケーション・ロールを使用してプロビジョニングされたサービス・インスタンスが提供されます。
また、白紙の状態で初期サービス・インスタンスの作成を選択すると、システムにより、特殊な空のBARファイルがサービス・インスタンスにインポートされ、最小セットのアプリケーション・ロールおよびポリシーがサービス・インスタンスに追加されます(BIServiceAdministratorアプリケーション・ロールのみ)。独自のBIアプリケーションに固有の独自のセキュリティ・ポリシーを作成できます。
11gアップグレード・バンドルをインポートして初期サービス・インスタンスを作成すると、サービス・インスタンスに11gと同じアプリケーション・ロール、アプリケーション・ロールのメンバーシップ、権限および権限付与が提供されます。
この章の残りの部分のため、サンプル・アプリケーションLiteおよび初期BARファイルに含まれるセキュリティ・ポリシーを説明します。例または固有のBIアプリケーションを作成する際の基礎として、これらのBARファイルを使用できます。
Oracle Business Intelligenceでセキュリティを構成するには、次のツールを使用します。
|
注意: Oracle Business Intelligenceツールを使用してインストール済ユーザー、グループおよびアプリケーション・ロールを構成する例を調べるには、第2.2項「ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例」を参照してください。 |
図1-2は、インストールの例のOracle Business Intelligenceで組込みWebLogic LDAPサーバーを使用してセキュリティを構成するために使用するツールを示しています。
セキュリティの管理の詳細は、第2章「デフォルト・セキュリティ構成を使用したセキュリティの管理」を参照してください。
ユーザーおよびグループの認証に使用できるWebLogic LDAPサーバーの管理には、Oracle WebLogic Server管理コンソールを使用します。
Oracle WebLogic Serverは自動的にインストールされ、デフォルト管理サーバーとして機能します。Oracle WebLogic Server管理コンソールはブラウザベースであり、組込みディレクトリ・サーバーの管理に使用されます。
Oracle Business Intelligenceを構成する場合に初期セキュリティ構成によってアイデンティティ・ストアとしてデフォルト認証プロバイダの組込みWeblogic LDAPディレクトリが使用されることに注意してください。ただし、11gではBIインストールによって特定のユーザーおよびグループがこのLDAPディレクトリにシードされましたが、12cではデフォルトのBIグループがこのディレクトリにシードされません。したがって、アプリケーションがBIConsumers、BIContentAuthorsおよびBIServiceAdministratorsなどのLDAPグループがアイデンティティ・ストアに存在することを予測する場合、これらのグループを手動で追加するか、初期BI構成の完了後にこれらのグループがすでにプロビジョニングされている異なるアイデンティティ・ストアを使用するためにドメインを構成する必要があります。
WebブラウザにURLを入力してOracle WebLogic Server管理コンソールを起動します。デフォルトURLは、http://hostname:port_number/consoleのような形式となります。ポート番号は、管理サーバー用に使用される番号と同じであり、デフォルト・ポートは9500です。Oracle WebLogic Server管理コンソールの使用の詳細は、Oracle Fusion Middleware Oracle WebLogic Server管理コンソールのオンライン・ヘルプを参照してください。
Oracle WebLogic Server管理コンソールにログインするには:
WebブラウザにURLを入力してOracle WebLogic Serverのログイン・ページを表示します。
たとえば、http://hostname:9500/consoleなどと入力します。
Oracle Business Intelligence管理ユーザーおよびパスワード資格証明を使用してログインし、「ログイン」をクリックします。
Oracle Business Intelligenceのインストール中に、ユーザー名およびパスワードが指定されました。これらの値がそれ以降に変更されている場合は、現在の管理ユーザー名とパスワードの組合せを使用してください。
管理コンソールで次のような画面が表示されます。
必要に応じて「ドメイン構造」のタブとオプションを使用し、ユーザーやグループなどのオプションを構成します。
|
注意: デフォルトのWebLogic LDAPサーバーではなくOracle Internet Directoryなどの代替認証プロバイダを使用する場合は、代替認証プロバイダ管理アプリケーション(管理コンソールなど)を使用してユーザーとグループを管理する必要があります。 |
Fusion Middleware Controlは、Webブラウザベースのグラフィカル・ユーザー・インタフェースであり、ファームと呼ばれるコンポーネントの集まりを管理できます。ファームには、複数のOracle WebLogic Serverドメイン、1つの管理サーバー、1つ以上の管理対象サーバー、複数のクラスタのほか、ドメインにインストールされ、構成および実行されている複数のOracle Fusion Middlewareコンポーネントが含まれます。Oracle Business Intelligenceの構成中にOracle WebLogic Serverドメインが作成され、そのドメインにOracle Business Intelligenceが構成されます。ドメインの名前はbi(エンタープライズ・インストール)で、Fusion Middleware Controlのナビゲーション・ペインの「WebLogicドメイン」フォルダにあります。
Oracle Business Intelligenceのセキュリティは、Oracle Fusion Middleware Controlを使用して次のように管理します。
Oracle Business Intelligenceリソースへのアクセスを制御するアプリケーション・ロールおよびアプリケーション・ポリシーを管理します。
Oracle Business Intelligenceに対する複数の認証プロバイダを構成します。
Fusion Middleware Controlにログインするには、Webブラウザを開き、次の形式でFusion Middleware ControlのURLを入力します。
http://hostname.domain:port/em
ポート番号は管理サーバーの番号で、デフォルトは9500です。
Fusion Middleware Controlの使用の詳細は、『Oracle Fusion Middleware管理者ガイド』を参照してください。
Fusion Middleware Controlを使用するには、次の手順を実行します。
URLをWebブラウザに入力します。例:
http://host1.example.com:9500/em
図1-3に示すように、Fusion Middleware Controlのログイン・ページが表示されます。
システム管理者のユーザー名とパスワードを入力し、「ログイン」ボタンをクリックします。
システム全体にわたる管理者のユーザー名とパスワードは、インストール・プロセスの実行時に指定します。このユーザー名とパスワードを使用して、Oracle WebLogic Server管理コンソール、Fusion Middleware ControlおよびOracle Business Intelligenceにログインできます。
または、WebLogicのグローバルAdminロールが付与されている他のユーザー名およびパスワードを入力します。
図1-4に示すように、Fusion Middleware Controlが表示されます。
メイン・ページから、ページの左上のターゲット・ナビゲーション・アイコンをクリックして、「Business Intelligence」フォルダを展開します。
「biinstance」を選択して、Oracle Business Intelligence固有のページを表示します。
Fusion Middleware Controlを次のように使用して、Oracle Business Intelligenceのセキュリティを管理します。
アプリケーション・ロールおよびアプリケーション・ポリシーの管理
詳細は、第2.4項「Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの管理」を参照してください。
Secure Sockets Layer (SSL).の構成
詳細は、次のマニュアルを参照してください。
Oracle BI管理ツールを使用して、メタデータ・リポジトリのオブジェクトに対してユーザーとアプリケーション・ロールの権限を構成します。
管理ツールを使用するには:
管理ツールにログインします。
|
注意: オンライン・モードで管理ツールにログインした場合は、WebLogic Serverのユーザーをすべて表示できます。オフライン・モードで管理ツールにログインすると、以前にメタデータ・リポジトリ権限をRPDに直接割り当てたユーザーの参照のみ表示できます。直接ユーザーではなくアプリケーション・ロールにメタデータ・リポジトリ権限を割り当てることをお薦めします。 |
(オプション)「管理」→「アイデンティティ」を選択して「Identity Manager」ダイアログを表示します。
図1-5は、「アイデンティティ」ダイアログを示しています。
アプリケーション・ロールをダブルクリックして「アプリケーション・ロール <名前>」ダイアログを表示し、「権限」をクリックした場合、「オブジェクト権限」タブを使用し、Oracle BIプレゼンテーション・カタログ内のオブジェクトおよびフォルダに関して、そのアプリケーション・ロールの読取り権限および書込み権限を(リポジトリ内で)表示および構成できます。
Identity Managerを閉じます。
「プレゼンテーション」ペインでフォルダを開き、オブジェクトを右クリックして「プレゼンテーション表 <表名>」ダイアログを表示します。
「権限」をクリックして、「権限 <表名>」ダイアログを表示します。
図1-6は、ユーザー、一部のアプリケーション・ロールおよびアプリケーション・ロールへの権限の設定に使用されるラジオ・ボタンの「読取り」、「読取り/書込み」、「アクセス権なし」および「デフォルト」を示しています。
ユーザーの権限を構成するには、Presentation Servicesの管理ページを使用します。
プレゼンテーション・サービス管理ページを使用するには:
管理者権限でOracle Business Intelligenceにログインします。
「管理」リンクを選択して、「管理」ページを表示します。
「権限の管理」リンクを選択します。
図1-7に、割り当てられている権限に対してリストされたアプリケーション・ロールを示します。
特定の権限(KPI Builderへのアクセスなど)のリンク(「BIContentAuthor」など)を選択して、「権限<権限名>」ダイアログを表示します。
ユーザー/ロールの追加アイコン(+)をクリックして「アプリケーション・ロール、カタログ・グループおよびユーザーの追加」ダイアログを表示します。
このダイアログを使用して、アプリケーション・ロール(BIServiceAdministrator、BIContentAuthor、BIConsumerなど)をこの権限に割り当てます。
直接ユーザーではなくアプリケーション・ロールにPresentation Servicesの権限を割り当てることをお薦めします。
ここでは、Oracle Business Intelligenceの新しいインストールでセキュリティを設定する方法について説明します。タスクには必須のものと、任意のものと、選択した構成次第で必要になるものがあります。この項は、Oracle Business Intelligenceの既存のインストールを保守する場合にも参考になります。
Oracle Business Intelligenceをインストールした後、通常は、サンプル・アプリケーションを使用して製品を評価します。その後、実際のビジネス要件に応じて独自のユーザー、グループおよびアプリケーション・ロールの作成と開発を反復的に行うことが一般的です。
Oracle Business Intelligenceをインストールしたら、次に示す順序に従ってこれらのタスクを行うことをお薦めします。
この章に目を通して、セキュリティのコンセプト、ツールおよび用語の概要を理解してください。特に、第1.6項「Oracle Business Intelligenceでセキュリティを構成するツールの使用」を読んで、セキュリティを構成するためのOracle Business Intelligenceのコンポーネントおよびツールに精通しておく必要があります。
第2.1項「ユーザー、グループおよびアプリケーション・ロールの使用」の概要を読んで、ユーザー、グループおよびアプリケーション・ロールについて学びます。
次のように、ユーザーの認証に使用する認証プロバイダを決定します。
デフォルトの組込みWebLogic LDAPサーバーを使用する場合は、ステップ4のタスクに従ってください。
Oracle Internet Directory (OID)などの代替認証プロバイダを使用するようにOracle Business Intelligenceを再構成する場合は、ステップ5のタスクに従ってください。
|
ヒント: ユーザーが1000人を超える環境では、WebLogic組込みLDAPサーバーを使用しないことをお薦めします。高可用性およびスケーラビリティを備えた本番環境が必要な場合は、Oracle Internet Directory (OID)などのディレクトリ・サーバー、またはサードパーティのディレクトリ・サーバーを使用する必要があります。サポートされている認証プロバイダの一覧が掲載されている場所については、「システム要件と動作要件」を参照してください。 |
(組込みWebLogic LDAPサーバーのみ)デフォルトの組込みWebLogic LDAPサーバーを認証プロバイダとして使用する場合は、次の手順に従ってください。
第2.3.2項「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」の説明に従って、デプロイするユーザーを設定します。
たとえば、分析を表示する必要がある20人のユーザーにOracle Business Intelligenceをデプロイする場合は、20人のユーザーを作成します。
新しいグループを作成する場合は、第2.3.3項「組込みWebLogic LDAPサーバーにおける新規グループの作成」の説明に従って、使用するグループを設定します。
第2.3.4項「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」の説明に従って、ユーザーを適切なグループに割り当てます。
ユーザーのグループをアプリケーション・ロールに割り当てます。
詳細な手順は、第2.3.1項「新規グループおよび新規アプリケーション・ロールへのユーザーの割当て」を参照してください。
(Oracle Internet Directory (OID)のみ)認証プロバイダとしてOIDを使用している場合は、次の手順に従ってください。
第3.2項「代替認証プロバイダを構成するための大まかな手順」の説明に従って、OIDを認証プロバイダとして構成します。
必要に応じて、認証プロバイダ・ツール(OIDコンソールなど)を使用して、ユーザーおよびグループを作成します。
第2.4.2項「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除」の説明に従って、デプロイするアプリケーション・ロールを設定します。
たとえば、BIConsumer、BIContentAuthorおよびBIServiceAdministratorを使用したり、固有のアプリケーション・ロールを作成します。
(オプション)既存のアプリケーション・ポリシーを使用しない場合は、第2.4.3項「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」の説明に従って、デプロイするアプリケーション・ポリシーを設定できます。
たとえば、サンプルのアプリケーション・ロールBIConsumer、BIContentAuthorおよびBIServiceAdministratorによって使用されるアプリケーション・ポリシーを使用することも、独自のアプリケーション・ポリシーを作成することもできます。
次の手順に従って、各グループを適切なアプリケーション・ロールに割り当てます。
新しいグループを作成した場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の説明に従って、この新しいグループを適切なアプリケーション・ロールに割り当てる必要があります。
Oracle Internet Directoryなどの商用認証プロバイダを使用している場合は、第2.4.2.3項「アプリケーション・ロールへのグループの割当て」の説明に従って、グループを適切なアプリケーション・ロールに割り当てる必要があります。
Oracle BIリポジトリでユーザーおよびグループに付与されている権限を調整する場合は、第2.5項「Oracle BI管理ツールの使用によるメタデータ・リポジトリ権限の管理」の説明に従って、管理ツールを使用して権限を更新します。
たとえば、BISuperConsumerという名前のアプリケーション・ロールを有効化して分析を作成できるようにするには、管理ツールを使用してサブジェクト・エリアへの読取りアクセス権を読取り/書込みアクセス権に変更します。
|
注意: デフォルトのSampleAppLite.rpdファイルを本番システムで使用する場合、管理ツールを使用して、インストールされた値からパスワードを変更する必要があります。SampleAppLiteリポジトリ・ファイルの詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』を参照してください。 |
Presentation Servicesの管理ページでユーザーおよびグループに付与されている権限を調整する場合は、第2.6項「アプリケーション・ロールの使用によるPresentation Servicesの権限の管理」の説明に従って、権限を変更します。
たとえば、BISuperConsumerという名前のアプリケーション・ロールがスコアカードを表示できないようにするには、プレゼンテーション・サービスの管理ページを使用して、BISuperConsumerの「スコアカード」権限と「スコアカードの表示」権限を「権限付与」から「拒否」に変更します。
シングル・サインオンをデプロイする場合は、第4章「SSO認証の有効化」の手順に従います。
Secure Sockets Layer (SSL)をデプロイする場合は、第5章「Oracle Business IntelligenceのSSLの構成」の手順に従います。
Oracle Business Intelligenceは、SSLが無効の状態でインストールされます。Oracle Business IntelligenceをSSL環境にデプロイする場合は、第5章「Oracle Business IntelligenceのSSLの構成」の手順に従ってください。
リリース11gとリリース12cでは、セキュリティ・モデルに次のような違いがあります。
BIシステム・ユーザー - Oracle Business Intelligence 11gでは、BIユーザーを偽装する場合にBIシステム・ユーザーがプロセス間通信に使用されました。Oracle Business Intelligence 12cでは、内部的な信頼メカニズムがこの機能を置き換えて、BIシステム・ユーザーは不要になるか、プロビジョニングされなくなりました。
アプリケーション・セキュリティ・ポリシー - Oracle Business Intelligence 11gでは、デフォルトのBIインストールによってファイルのデフォルトのセキュリティ・ポリシーがプロビジョニングされました。Oracle Business Intelligence 12cはデータベース・ポリシー・ストアを使用し、アクティブなセキュリティ・ポリシーがBIアプリケーション・アーカイブ・ファイルからインポートされるか、直接サービス・インスタンスで修正されます。
権限および権限セット - 11gの場合、ポリシー・ストアはアプリケーション・ロールに(通常)割り当てられる権限を指定します。12cの場合、資格として通常一緒に割り当てられる権限をまとめるために権限セットのコレクションが追加されました。権限を引き続き使用できますが、12cの権限セットが権限をアプリケーション・ロールに割り当てる優先単位です。
ユーザーGUID - 誤ってUserIdsを再利用しないようにセキュリティ検索のために、Oracle Business Intelligence 11gのユーザーGUIDをログイン時に参照しました。Oracle Business Intelligence 12cでは、ユーザーGUIDが参照されなくなりました。かわりに、BIからユーザーを削除するより明確な方法が導入されました。第2.9項「ユーザーの削除」を参照してください。
Oracle Business Intelligenceリリース11gのセキュリティ・モデルが持つ次の側面は、リリース12cに引き継がれています。
BIサーバー初期化ブロック - リリース12cでBIサーバーは、認証および認可での初期化ブロックの使用を引き続きサポートします。リリース12cでは、Oracle Business Intelligenceが初期化ブロックを使用するのは、インストールの構成済認証プロバイダでユーザーを認証できなかった場合です。
詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』の初期化ブロックでの作業に関する項を参照してください。
カタログ・グループ - Oracle Business Intelligenceリリース12cでは、引き続きOracle BIプレゼンテーション・カタログ内でのカタログ・グループの定義がサポートされます。ただし、この機能は推奨されていません。これらのグループは、Oracle BIプレゼンテーション・サービス内でのみ表示可能です。Oracle BIプレゼンテーション・カタログのグループは下位互換性のためにのみ使用し、新しいインストールではアプリケーション・ロールを使用することをお薦めします。
詳細は、第D.2.2項「カタログ・グループの使用」を参照してください。
SAシステム・サブジェクト・エリア - Oracle Business Intelligenceリリース12cでは、データベース表に格納されているユーザー、グループおよびプロファイル情報へのアクセス方法として、BIサーバーの初期化ブロックと組み合せてSAシステム・サブジェクト・エリアを使用できます。
詳細は、Oracle Fusion Middleware Oracle Business Intelligence Enterprise Editionスケジュール・ジョブ・ガイドのSAシステム・サブジェクト・エリアの設定に関する項を参照してください。
このガイド全体を通じて使用される用語は次のとおりです。
Oracle Business Intelligenceでは権限はアプリケーション・ロールによって付与されます。デフォルトのセキュリティ構成では、各ロールには事前構成済の一連の権限が与えられています。アプリケーション・ポリシーは、Java EEおよびJAASポリシーのコレクションで、特定のアプリケーションに適用されます。アプリケーション・ポリシーは、各アプリケーション・ロールが付与する権限を定義するメカニズムです。権限の付与は、アプリケーション・ロールに対応するアプリケーション・ポリシーで管理されます。
Oracle Business Intelligenceを使用しているときのユーザーの役割を表します。これは、ロールのメンバーに権限を付与するためにOracle Business Intelligenceが使用するコンテナでもあります。アプリケーション・ロールはポリシー・ストア・プロバイダで管理されます。
ログイン中に提示される資格証明を確認することでIDを検証するプロセス。
ユーザーおよびグループの情報にアクセスするために使用されるセキュリティ・プロバイダで、ユーザーの認証を行います。Oracle Business Intelligenceのデフォルトの認証プロバイダは、Oracle WebLogic Server組込みディレクトリ・サーバーで、DefaultAuthenticatorという名前です。
認証されたユーザーに割り当てられた権限に応じて、リソースへのアクセス権限を付与するプロセス。
カタログ・グループは、Oracle BIプレゼンテーション・サービス内でローカルに定義され、Oracle BIプレゼンテーション・カタログのパーミッションの付与に加え、Oracle Business Intelligenceユーザー・インタフェースでの権限の付与に使用されます。
これらの権限は、Oracle BIプレゼンテーション・カタログに格納されているオブジェクトへのアクセス権を付与します。権限はカタログに格納され、プレゼンテーション・サービスで管理されます。
これらの権限は、Oracle BIプレゼンテーション・カタログの機能へのアクセス権を付与します。権限はカタログに格納され、プレゼンテーション・サービスで管理されます。これらの権限は付与されるか、または拒否されます。
Oracle Business Intelligence資格証明ストアは、ソフトウェア・コンポーネントによって使用されるシステム資格証明をセキュアに格納するために使用されるファイルです。このファイルは、インストール内のすべてのマシンに自動的にレプリケートされます。
資格証明ストアは、Oracle Business Intelligenceコンポーネント間で内部的に使用される資格証明をセキュアに格納し、管理するために使用されます。たとえば、SSL証明書はここに格納されています。
プレーンテキスト情報(データ)を、鍵を使用した場合にかぎり読取りが可能になる読取り不可能なテキストに変換することで、機密が保たれた通信を実現するプロセス。Secure Sockets Layer (SSL)を使用すると、インターネットを介したWebアプリケーション通信など、TCP/IPネットワーク上でセキュアな通信が可能になります。
偽装は、Oracle Business Intelligenceコンポーネントがユーザーのパスワードを使用することなく、ユーザーの代理としてセッションを確立するために使用する機能です。たとえば、偽装はOracle BIスケジューラがエージェントを実行するときに使用されます。
管理サーバーとして知られているインスタンスを含むOracle WebLogicサーバー・リソースの論理的に関連したグループ。ドメイン・リソースはOracle WebLogic Server管理コンソールで構成され、管理されます。詳細は、付録B.2.2「Oracle WebLogic Serverドメイン」を参照してください。
アイデンティティ・ストアには、ユーザー名、パスワードおよびグループ・メンバーシップの情報が含まれています。Oracle Business Intelligenceでは、アイデンティティ・ストアは通常ディレクトリ・サーバーであり、認証プロセス中に認証プロバイダがアクセスします。たとえば、ログイン時にユーザー名とパスワードの組合せを入力すると、認証プロバイダは、提供された資格証明を検証するためにアイデンティティ・ストアを検索します。Oracle Business Intelligenceは、別のアイデンティティ・ストアを使用するように再構成できます。詳細なリストは、「システム要件と動作要件」を参照してください。
権限のセットを表します。
ポリシー・ストアは、システムおよびアプリケーションに固有のポリシーのリポジトリです。ここには、インストールの一部としてすべて構成済の、Oracle Business Intelligenceのデフォルトのアプリケーション・ロール、権限、ユーザーとグループの間のマッピングの定義が格納されています。Oracle Business Intelligenceの権限は、アイデンティティ・ストアからアプリケーション・ロールにユーザーとグループを割り当てることで付与され、付与された権限はポリシー・ストア内に配置されます。
アプリケーション・ロール、アプリケーション・ポリシー、およびアプリケーション・ロールに割り当てられたメンバー(ユーザー、グループおよびアプリケーション・ロール)の定義が含まれます。デフォルトのポリシー・ストアは、Oracle Business Intelligenceインストール内のすべてのマシンに自動的にレプリケートされるファイルです。ポリシー・ストアには、データベース・ベースまたはLDAPベースのものがあります。
セキュアな通信リンクを提供します。SSLでは、選択したオプションに応じて、暗号化、認証および拒否の組合せを提供できます。HTTPベースのリンクの場合、セキュアなプロトコルはHTTPSとして知られています。
セキュリティ・ポリシーは、個々のユーザーまたは特定のアプリケーション・ロールに付与されている、Oracle Business Intelligenceリソースへのアクセス権をまとめたグループです。アクセス権を制御する場所は、要求されているリソースの管理をどのOracle Business Intelligenceコンポーネントが行っているかによって決まります。ユーザーのセキュリティ・ポリシーは権限付与の組合せであり、次の要素によって決定されます。
Oracle BIプレゼンテーション・カタログ:
ユーザーがアクセスできるOracle BIプレゼンテーション・カタログ・オブジェクトおよびOracle BIプレゼンテーション・サービス機能がどれであるかを定義します。この機能へのアクセス権は、Oracle Business Intelligenceのユーザー・インタフェースで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
リポジトリファイル:
リポジトリ・ファイル内に指定したメタデータへのアクセス権を定義します。この機能へのアクセス権は、Oracle BI管理ツールで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
ポリシー・ストア:
Oracle Business Intelligence、Oracle BI PublisherおよびOracle Real-Time Decisionsの機能のいずれにアクセスできるかを定義します。この機能へのアクセス権は、Oracle Enterprise Manager Fusion Middleware Controlで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
デプロイメント中にOracle WebLogic Serverドメインが作成され、Oracle Business Intelligenceがそのドメインにデプロイされます。Oracle WebLogic Serverドメインのセキュリティは、ドメインのセキュリティ・レルムで管理されます。セキュリティ・レルムは範囲指定メカニズムとして機能します。各セキュリティ・レルムには、一連の構成済セキュリティ・プロバイダ、ユーザー、グループ、セキュリティ・ロール、およびセキュリティ・ポリシーが含まれています。ドメインでは1つのセキュリティ・レルムだけがアクティブになります。Oracle Business Intelligenceの認証は、インストール先のWebLogic Serverドメインのデフォルト・セキュリティ・レルム用に構成された認証プロバイダによって実行されます。Oracle WebLogic Server管理コンソールは、Oracle WebLogic Serverドメインを管理するための管理ツールです。
ユーザーが認証を一度行えば、同じブラウザ・セッションの間は複数のソフトウェア・アプリケーションにアクセスできるようにする認証方法。
ユーザーとは、認証可能なエンティティです。ユーザーには、アプリケーション・ユーザーなどの人、クライアント・アプリケーションなどのソフトウェア・エンティティがあります。どのユーザーにも、アイデンティティ・ストア内で一意の識別子が付与されています。
グループは、何かしら共通するものを持つユーザーを集合にまとめたものです。グループは、システム管理者によって割り当てられた静的な識別子です。ユーザーをグループにまとめることで、効率的なセキュリティ管理を促進します。グループには、LDAPグループとカタログ・グループの2種類があります。カタログ・グループは、Oracle Business Intelligenceユーザー・インタフェースで権限を付与する場合に、プレゼンテーション・サービスの既存のユーザー・ベースをサポートするために使用されます。カタログ・グループの使用はお薦めしません。これは、アップグレードしたシステムでの下位互換性を目的としたものです。
