プライマリ・コンテンツに移動
Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド
12
c
(12.2.1)
E70043-01
次
目次
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメントとその他のリソース
システム要件と動作要件
表記規則
Oracle Business Intelligenceのセキュリティの新機能
Oracle BI EE 12
c
(12.2.1)の新機能
1
Oracle Business Intelligenceのセキュリティの紹介
1.1
Oracle Business Intelligenceでセキュリティを設定するための上位レベルのロードマップ
1.2
Oracle Business Intelligenceのセキュリティの概要
1.3
認証について
1.4
認可について
1.4.1
アプリケーション・ロールについて
1.4.2
セキュリティ・ポリシーについて
1.5
ユーザー、グループおよびアプリケーション・ロールについて
1.6
Oracle Business Intelligenceでセキュリティを構成するツールの使用
1.6.1
Oracle WebLogic Server管理コンソールの使用
1.6.2
Oracle Fusion Middleware Controlの使用
1.6.3
Oracle BI管理ツールの使用
1.6.4
プレゼンテーション・サービス管理の使用
1.7
Oracle Business Intelligenceのセキュリティを設定するための詳細な手順
1.8
Oracle Business Intelligenceの11
g
と12
c
のセキュリティ・モデルの比較
1.9
用語
2
デフォルト・セキュリティ構成を使用したセキュリティの管理
2.1
ユーザー、グループおよびアプリケーション・ロールの使用
2.2
ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例
2.3
組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理
2.3.1
新規グループおよび新規アプリケーション・ロールへのユーザーの割当て
2.3.2
組込みWebLogic LDAPサーバーにおける新規ユーザーの作成
2.3.3
組込みWebLogic LDAPサーバーにおける新規グループの作成
2.3.4
組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て
2.3.5
(オプション)組込みWebLogic LDAPサーバーにおけるユーザー・パスワードの変更
2.4
Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの管理
2.4.1
Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示
2.4.2
Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除
2.4.2.1
概要
2.4.2.2
アプリケーション・ロールの作成
2.4.2.3
アプリケーション・ロールへのグループの割当て
2.4.2.4
アプリケーション・ロールの削除
2.4.3
Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成
2.4.4
Fusion Middleware Controlを使用したアプリケーション・ロールの変更
2.4.4.1
アプリケーション・ロールの権限付与の追加または削除
2.4.4.2
アプリケーション・ロールのメンバーの追加または削除
2.4.4.3
アプリケーション・ロール名の変更
2.5
Oracle BI管理ツールの使用によるメタデータ・リポジトリ権限の管理
2.5.1
概要
2.5.2
アプリケーション・ロールのリポジトリ権限の設定
2.5.3
メタデータ・リポジトリでのアプリケーション・ロールの管理 - 高度なセキュリティ構成トピック
2.6
アプリケーション・ロールの使用によるPresentation Servicesの権限の管理
2.6.1
概要
2.6.2
Presentation Servicesの権限について
2.6.3
アプリケーション・ロールに対するPresentation Servicesの権限の設定
2.6.4
BIプレゼンテーション・サービスでの資格証明の暗号化 - 高度なセキュリティ構成トピック
2.7
Oracle BI Publisherの使用によるデータ・ソース・アクセスの権限の管理
2.8
デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性の有効化
2.9
ユーザーの削除
2.10
Oracle BIプレゼンテーション・カタログでのセキュリティ関連タスクの管理のためのruncatコマンドライン・インタフェースの使用
3
代替認証プロバイダの使用
3.1
概要
3.2
代替認証プロバイダを構成するための大まかな手順
3.3
代替認証プロバイダのグループおよびユーザーの設定
3.4
代替認証プロバイダを使用するためのOracle Business Intelligenceの構成
3.4.1
認証プロバイダとしてのOracle Internet Directoryの再構成
3.4.2
認証プロバイダとしてのMicrosoft Active Directoryの再構成
3.4.3
アイデンティティ・ストアでのユーザーおよびグループ名属性の構成
3.4.3.1
ユーザー名属性の構成
3.4.3.2
グループ名属性の構成
3.4.4
認証プロバイダとしてのLDAPの構成とデータベースへのグループの格納
3.4.4.1
前提条件
3.4.4.2
グループおよびグループ・メンバーのサンプル・スキーマの作成
3.4.4.3
Oracle WebLogic Server管理コンソールの使用によるデータ・ソースおよびBISQLGroupProviderの構成
3.4.4.4
仮想アイデンティティ・ストアの構成
3.4.4.5
アプリケーション・ロールへのデータベース・グループの追加による構成のテスト
3.4.4.6
アダプタのエラーの修正
3.4.5
認証プロバイダとしてのデータベースの構成
3.4.5.1
概要と前提条件
3.4.5.2
ユーザーおよびグループのサンプル・スキーマの作成
3.4.5.3
Oracle WebLogic Server管理コンソールの使用によるデータ・ソースとSQL認証プロバイダの構成
3.4.5.4
仮想アイデンティティ・ストアの構成
3.4.5.5
SQL認証プロバイダのトラブルシューティング
3.4.5.6
アダプタの削除および再作成によるデータベース・アダプタ・エラーの修正
3.4.6
Fusion Middleware Controlを使用したアイデンティティ・ストアの仮想化の構成
3.4.7
1つの認証プロバイダが失敗した場合でも別の認証プロバイダからOracle Business Intelligenceにログインできるように複数の認証プロバイダを構成する
3.4.8
JAAS制御フラグ・オプションの設定
3.4.9
認証プロバイダとしての単一のLDAP認証プロバイダの構成
3.4.9.1
唯一の認証プロバイダとしてのOracle Internet Directory LDAP認証の構成
3.4.9.2
トラブルシューティング
3.5
BIシステム・ユーザーの資格証明のリセット
4
SSO認証の有効化
4.1
Oracle Business IntelligenceのSSOの構成タスク
4.2
SSO認証およびOracle Business Intelligenceについて
4.2.1
IDアサーション・プロバイダのしくみ
4.2.2
Oracle Business IntelligenceとSSO認証の連携のしくみ
4.3
SSO実装に関する考慮事項
4.4
Oracle Access Manager環境でのSSOの構成
4.4.1
Oracle WebLogic Serverの新しい認証プロバイダの構成
4.4.2
Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成
4.5
カスタムSSO環境の構成
4.6
SmartViewを使用したSSOの構成
4.7
Oracle Business IntelligenceにおけるSSO認証の使用の有効化
4.7.1
WLSTコマンドを使用したSSO認証の有効化および無効化
4.7.2
Fusion Middleware Controlの使用によるSSO認証の有効化
4.8
オンライン・カタログ・マネージャの接続の有効化
5
Oracle Business IntelligenceのSSLの構成
5.1
SSLとは
5.1.1
Oracle Business IntelligenceでのSSLの使用
5.1.2
Oracle Business Intelligenceでの証明書と鍵の作成
5.2
エンドツーエンドSSLの有効化
5.2.1
標準の非SSL BIEEシステムの構成
5.2.2
WebLogic SSLの構成
5.2.2.1
管理サーバーのみの起動
5.2.2.2
HTTPSポートの構成
5.2.2.3
LDAPを使用するための内部WebLogic Server LDAPの構成
5.2.2.4
内部WebLogic Server LDAPのトラスト・ストアの構成
5.2.2.5
HTTPの無効化
5.2.2.6
再起動
5.2.2.7
t3sを使用するためのOWSMの構成
5.2.2.8
システムの再起動
5.3
BIEE内部SSLの有効化
5.4
内部SSLの無効化
5.5
クライアント用の信頼およびアイデンティティのエクスポート
5.6
クライアント用のSSLの構成
5.6.1
クライアント証明書のエクスポート
5.6.2
BIスケジューラのSSLが有効化されている場合のSASchInvokeの使用
5.6.3
Oracle BIジョブ・マネージャの構成
5.6.4
オンライン・カタログ・マネージャの接続の有効化
5.6.5
SSL経由で通信するためのOracle BI管理ツールの構成
5.6.6
リモート・クライアント・アクセス用のODBC DSNの構成
5.6.7
SSL経由で通信するためのOracle BI Publisherの構成
5.7
証明書の有効期限の確認
5.8
証明書の置換え
5.9
リスナー・アドレスの変更後の証明書の更新
5.10
新しいサーバーの追加
5.11
SSLが有効化されているシステムのスケール・アウト
5.12
構成テンプレート構成済システムのSSLの有効化
5.13
SSL暗号スイートの手動構成
5.14
外部システムへのSSL接続の構成
5.14.1
Fusion Middleware Controlの使用によるSMTPサーバーのSSLの構成
5.14.2
複数認証プロバイダ使用時のSSLの構成
5.15
BIEE内部SSLを使用するために予約されたWebLogicアーティファクト
5.16
SSL環境におけるBIコンポーザの起動の有効化
A
レガシー・セキュリティ管理オプション
A.1
レガシー認証オプション
A.1.1
初期化ブロックの使用によるLDAP認証の設定
A.1.1.1
LDAPサーバーの設定
A.1.1.2
LDAP認証でのUSERセッション変数の定義
A.1.1.3
ロギング・レベルの設定
A.1.2
外部表認証の設定
A.1.3
Oracle BIデリバーおよび外部初期化ブロックの認証について
A.1.4
認証の順序
A.1.5
カスタム認証システム・プラグインを使用する認証
A.1.6
セッション変数の管理
A.1.7
サーバー・セッションの管理
A.1.7.1
セッション・マネージャの使用
A.2
代替認可オプション
A.2.1
プレゼンテーション・サービスのセキュリティに影響する変更
A.2.2
カタログ・グループを使用するカタログ権限の管理
A.2.3
初期化ブロックの使用による認可の設定
B
デフォルト・セキュリティ構成の理解
B.1
Oracle Business Intelligenceのセキュリティについて
B.2
セキュリティ・フレームワークについて
B.2.1
Oracle Platform Security Services
B.2.2
Oracle WebLogic Serverドメイン
B.3
主なセキュリティ要素
B.4
サンプル・アプリケーションを使用したセキュリティ構成
B.4.1
デフォルトの認証プロバイダ
B.4.1.1
グループとメンバー
B.4.1.2
デフォルトのユーザーとパスワード
B.4.2
ポリシー・ストア・プロバイダ
B.4.2.1
Oracle Business Intelligence権限
B.5
グループおよびアプリケーション・ロールを使用したユーザーへの権限の付与
B.5.1
権限の継承とロールの階層
B.6
インストール後の共通セキュリティ・タスク
B.6.1
Oracle Business Intelligenceを評価する共通のセキュリティ・タスク
B.6.2
Oracle Business Intelligenceを実装するための共通のセキュリティ・タスク
C
Oracle Business Intelligenceにおけるセキュリティのトラブルシューティング
C.1
ユーザーのログイン認証が失敗する問題の解決
C.1.1
認証の概念
C.1.1.1
インストール時のデフォルトの認証
C.1.1.2
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlの使用によるOracle Business Intelligenceの構成
C.1.1.3
WebLogicドメインおよびログの場所
C.1.1.4
Oracle Business Intelligenceの主要なログイン・ユーザー・アカウント
C.1.1.5
Oracle Business Intelligenceのログインの概要
C.1.2
ユーザーのログイン認証が失敗する原因の特定
C.1.3
ユーザーのログイン認証が失敗する問題の解決
C.1.3.1
Oracle Business Intelligenceに1人のユーザーがログインできない
C.1.3.2
認証プロバイダが正しく構成されていないことが原因でOracle Business Intelligenceにユーザーがログインできない
C.1.3.3
Oracle Web Services Managerが動作していないときにOracle Business Intelligenceにユーザーがログインできない
C.1.3.4
Oracle Business Intelligenceにユーザーがログインできない - BIシステム・ユーザーの認証が動作しているかどうか
C.1.3.5
Oracle Business Intelligenceにユーザーがログインできない - 外部アイデンティティ・ストアが正しく構成されているかどうか
C.1.3.6
ユーザーが任意のパスワードまたはパスワードなしでログインできる
C.1.3.7
デフォルト認証プロバイダを削除した後にWebLogic Serverを起動できない
C.2
アイデンティティ・ストアとの非一貫性の解決
C.2.1
アイデンティティ・ストアからユーザーが削除される
C.2.2
アイデンティティ・ストアでユーザーの名前が変更される
C.2.3
ユーザー名に関連付けられているグループがアイデンティティ・ストアに存在しない
C.3
ポリシー・ストアとの非一貫性の解決
C.3.1
ポリシー・ストアからアプリケーション・ロールが削除される
C.3.2
ポリシー・ストアでアプリケーション・ロールの名前が変更される
C.4
SSL通信問題の解決
C.5
カスタムSSO環境の問題の解決
C.6
SSOを使用したRSSフィードの認証の解決
D
ダッシュボードと分析のセキュリティの管理
D.1
Oracle BIプレゼンテーション・サービスのユーザーのセキュリティ管理
D.1.1
Oracle BIプレゼンテーション・サービスのセキュリティを設定する場所
D.1.2
Oracle BIプレゼンテーション・サービスのセキュリティの目標
D.1.3
ユーザーへの権限の割当て方法
D.2
Oracle BIプレゼンテーション・サービスの管理ページの使用
D.2.1
管理ページについて
D.2.2
カタログ・グループの使用
D.2.2.1
アプリケーション・ロールへのカタログ・グループの移行
D.2.2.2
カタログ・グループの作成
D.2.2.3
カタログ・グループの削除
D.2.2.4
カタログ・グループの編集
D.2.3
プレゼンテーション・サービスの権限の管理
D.2.3.1
プレゼンテーション・サービスの権限について
D.2.3.2
アプリケーション・ロールに対するプレゼンテーション・サービスの権限の設定
D.2.3.3
プレゼンテーション・サービスのデフォルトの権限割当て
D.2.4
プレゼンテーション・サービスでのセッションの管理
D.3
Oracle BIプレゼンテーション・サービスのユーザーの権限およびパーミッションの判別
D.3.1
ユーザーの権限またはパーミッションの判別ルール
D.3.1.1
タスク1 - 該当ユーザーの明示的レコードの有無チェック
D.3.1.2
タスク2 - 該当ユーザーのカタログ・グループに対するレコードの有無チェック(10gとの下位互換性のためだけの非推奨の動作)
D.3.1.3
タスク3 - 該当ユーザーのアプリケーション・ロールに対するレコードの有無チェック
D.3.1.4
タスク4 - デフォルト動作への戻し
D.3.1.5
タスク5 - 一致レコード一切なし
D.3.2
アプリケーション・ロールによるユーザーの権限の判別例
D.3.3
アプリケーション・ロールによるユーザーのパーミッションの判別例
D.3.4
非推奨のカタログ・グループによるユーザーの権限の判別例
D.3.5
非推奨のカタログ・グループによるユーザーのパーミッションの判別例
D.4
ユーザーへの共有ダッシュボードの提供
D.4.1
共有ダッシュボードのカタログ構造について
D.4.2
共有ダッシュボードの作成
D.4.3
ダッシュボードのテスト
D.4.4
ユーザー・コミュニティへのダッシュボードのリリース
D.5
ダッシュボードに保存されたカスタマイズ・オプションへのアクセス権の制御
D.5.1
ダッシュボードの保存済カスタマイズの概要
D.5.2
保存済カスタマイズの管理
D.5.2.1
保存済カスタマイズの権限
D.5.2.2
保存済カスタマイズのパーミッション
D.5.3
保存済カスタマイズを作成するための権限の設定
D.5.4
保存済カスタマイズを管理するための使用シナリオ例
D.6
他のユーザーの代理実行の有効化
D.6.1
他のユーザーの代理実行を有効化する理由
D.6.2
プロキシ・レベル
D.6.3
他のユーザーの代理実行を有効化するプロセス
D.6.3.1
プロキシ・ユーザーとターゲット・ユーザーの関連付けの定義
D.6.3.2
プロキシ機能のセッション変数の作成
D.6.3.3
プロキシ機能の構成ファイルの設定の変更
D.6.3.4
プロキシ機能のカスタム・メッセージ・テンプレートの作成
D.6.3.5
プロキシ権限の割当て