この章では、Enterprise Data Quality (EDQ)で使用される主要なセキュリティの概念について説明します。次の項が含まれます:
EDQ内のセキュリティが適用されるのは、アプリケーションにアクセスする場合(権限のあるユーザーのみをアクセス可能とし、アプリケーション内のデータを確実に保護するため)と、異常な事態を識別する目的でユーザー・アクションを監査する場合です。このガイドの内容は次のとおりです。
セキュアなアクセス制御の提供
安定時およびトランスポート時のデータの保護。
ユーザー・アクティビティの安全なロギングおよびトレースを保証するための適切なセキュリティ監査機能の提供。
詳細は、『Oracle Enterprise Data Qualityの理解』のOracle Enterprise Data Qualityの概要に関する項を参照してください。
EDQのユーザーおよびグループの詳細は、その独自の内部ディレクトリ内に格納するか、Microsoft Active Directoryなどの外部LDAPサーバーから取得することができます。外部認証ソースを使用すると、EDQでは、他のシステムとユーザー資格証明を共有し、ユーザーが記憶して管理する必要のあるパスワードの数を削減しながら、ユーザーとグループの管理におけるオーバーヘッドを排除できます。
認可によって、認証に成功したユーザーが実行できることを制御します。ユーザーの認可は、ユーザーのモデルと、グループに関連付けられた権限に基づきます。ユーザーは、1つ以上のグループのメンバーであり(直接割当て、または外部グループの内部グループへのマップによって割当て)、そのグループに関連付けられた権限に従って認可されます。
EDQに対するすべての権限は、ユーザー・グループ(内部グループ)に付与された権限のセットを使用して割り当てられます。WebLogic、Active Directory、代替LDAPプロバイダなどでユーザーが外部的に管理される場合、そのディレクトリの外部グループをこれらの内部グループにマップすることで権限が付与されます。その後、外部グループのユーザーには、外部グループのマップ先となる1つ以上の任意のグループに基づいて権限が割り当てられます。ユーザーがEDQの内部レルムで管理される場合、それらのユーザーは、1つ以上の内部グループの直接メンバーとなるため、関連する権限が割り当てられます。
EDQには、次に示すとおり、4つの権限タイプがあります。権限は、EDQユーザー・グループ(これらはさらに外部ユーザー・グループにマップされます)を介してユーザーに付与されます。
これらは、EDQユーザー・アプリケーション(ディレクタ、サーバー・コンソール、ケース管理など)へのログイン・アクセス権をユーザーのグループに付与(または拒否)する単純な権限です。
次に、デフォルトのグループおよびその権限のサマリーを示します。各グループに付与されている正確な権限セットの詳細を参照するには、管理者としてログインした後に、EDQ Launchpadの「管理」→「グループ」オプションからグループを選択し、「編集」ボタンをクリックします。
表1-1 様々なユーザー・グループの権限
グループ | サマリー | 機能権限 | アプリケーション権限 |
---|---|---|---|
管理者 |
すべての機能権限と管理権限を持つパワー・ユーザー |
すべて 動的ケース管理権限は自動的に管理者に付与されません |
すべて |
データ・スチュワード |
ディレクタおよびダッシュボードへのレビュー・アクセス権を持ち、すべての結果のレビュー、問題の解決、および手動照合とマージ済出力決定を実行する権限を付与されているが、処理ロジックを作成または変更する権限は持たないユーザー |
ディレクタに対する読取り専用権限 一致レビューに対する完全な権限 |
ダッシュボード ディレクタ 一致レビュー 問題マネージャ ケース管理 サーバー・コンソール |
エグゼクティブ |
ダッシュボード結果のみに対するアクセス権を持つユーザー |
ダッシュボード: ダッシュボードの表示 |
ダッシュボード |
一致レビューア |
一致レビュー・アプリケーション、ケース管理アプリケーションおよびダッシュボードのみに対するアクセス権を持つユーザー |
基本的なケース管理権限(一括更新はなく、他のユーザーに割り当てられたケースは参照できません) ダッシュボード: ダッシュボードの表示 |
一致レビュー 問題マネージャ ケース管理 ダッシュボード |
レビュー・マネージャ |
ケース管理アプリケーションへのアクセス権を持ち、ケース管理を構成し、ケースとアラートの一括編集を実行する権限を付与されたユーザー。 |
完全なケース管理権限(監査証跡アクティビティの削除と編集を除く) |
ケース管理 ダッシュボード |
データ・アナリスト |
ディレクタで処理ロジックを作成および変更する権限を持つが、管理権限を持たないユーザー |
ディレクタに対する完全なアクセス権(システム・レベル(クロス・プロジェクト)構成を変更し、ユーザー・データ・ストアにアクセスする権限を除く)。 |
ディレクタ サーバー・コンソール 一致レビュー ケース管理 問題マネージャ |
WebLogic ServerへのEDQのインストール時に、weblogic管理者ユーザー・アカウント(通常、ドメインの作成時に選択したパスワードを持つ'weblogic'です)は、WebLogicの管理者グループのメンバーとなり、これは「EDQホーム」構成ディレクトリのデフォルトのlogin.propertiesファイルを介してEDQの管理者グループにマップされます。これにより、weblogicユーザーと、WebLogic管理者グループの他のユーザーに、EDQへの管理アクセス権が付与されます。
注意: このマッピングは固定的で、初期アクセス権の付与のみを目的としているため、実際に必要な権限は、外部グループを内部グループにマップすることで設定できます(1.6項「外部グループのEDQグループへのマップ」を参照してください) |
TomcatへのEDQのインストール時には、'dnadmin'というデフォルトの内部管理者ユーザー・アカウントが作成されます。このユーザーの初期パスワードも'dnadmin'ですが、初回のログイン後によりセキュアなパスワードに変更する必要があります。これらのインストールでは、デフォルトで管理権限を持つユーザー・アカウントは1つのみであり、システムにアクセスできなくなる可能性があるため、そのユーザーを削除したり、パスワードを忘れることがないように注意してください。
外部グループは、EDQ Launchpadの管理ページから内部EDQグループにマップします。外部グループには、マップ先のすべてのEDQグループのすべての権限が付与されます。
外部グループを内部EDQグループにマップするには、次の手順を実行します。
管理者としてEDQ Launchpadにログインします。
「管理」ドロップダウン・リンクをクリックし、「外部グループ」をクリックします。
外部レルムの名前(デフォルト・システムでは'ORACLE')を展開し、グループをクリックしてそのマッピングを編集します。
外部グループに割り当てるEDQグループを選択し、「保存」をクリックして変更内容を保存します。
最適な権限割当てを確保するには、内部EDQグループに正確にマップできる外部グループをドメインに作成することが有益で、推奨されます。
注意: 多数の外部グループが存在するインストールでは、ローカルのlogin.propertiesファイルにオプション・フィルタを指定して、この画面で使用できるグループのリストを絞り込むことができます。詳細は、4.2.5項「グループのフィルタ」を参照してください。 |
このガイドで使用される用語は次のとおりです。
AD - Active Directory
証明書 - 通常はX.509証明書を指します
Kerberos - ネットワーク認証プロトコル
LDAP - Lightweight Directory Access Protocol
OID - Oracle Internet Directory
OPSS - Oracle Platform Security Services
SSL - Security Sockets Layerの略称で、アプリケーション・トラフィックをトランスポートできる暗号化された接続用のプロトコル。TLSで置換されましたが、SSLはまだ一般的な用語として使用されています。
TLS - Transport Layer Securityの略称で、SSLの後継。
WLS - WebLogic Server
X.509証明書 - 指定されたエンティティ(個人、組織、サーバーまたはその他のエンティティ)が公開鍵に一致する秘密鍵を持っていることを証明するために信頼できる機関(認証局)から発行される証明書。