| Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 12c (12.2.1.2) E82763-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Reports ServicesレポートWeb公開ガイド 12c (12.2.1.2) E82763-01 |
|
前 |
次 |
JPSベース・セキュリティを使用している場合、Oracle Internet DirectoryまたはDatabaseのいずれかの方法を認可に使用できます。Portalペース・セキュリティを使用している場合、Portalベースの認可が使用されます。
JPSベース・セキュリティの場合、デフォルトでインプロセス・サーバーはポリシー・ストアとしてdatabase.xmlを使用します。したがって、ReportsポリシーはReportsアプリケーション・エントリの下のdatabase.xmlに格納されます。ユーザーはこのポリシー・ストアに基づいて認可されます。スタンドアロン・サーバーの場合、すべてのポリシーがdatabase.xmlファイルに格納され、これらのポリシーに対して認可が行われます。
|
注意: 認可プロセスには、特定のユーザーがJPSで使用されるIDストア内にあるかどうかのチェックが含まれます。認証にSingle Sign-Onが使用される場合、同じユーザーは必ずJPSで使用されるIDストア内に構成してください。または、JPSがSingle Sign-Onに使用するIDストアを必ず指定するように構成してください。そうしないと、認可は機能しません。 |
次の表は、Oracle ReportsがJPSベース・セキュリティを使用する場合にサポートされる認可方法をまとめたものです。
表15-5 JPSベース・セキュリティの認可方法
| Report Serverのタイプ | Oracle Internet Directory | ファイルベース |
|---|---|---|
|
インプロセス |
はい |
はい |
|
スタンドアロン |
はい |
はい |
|
データベース |
はい |
はい |
Portalベース・セキュリティが構成されている場合は、次の認可方法が使用されます。
|
注意: Oracle Portalが認可を行うよう構成されている場合に、レポート・リクエストがrwservletからではなくOracle Portal内から送信されると、Oracle Reportsでは、レポートに対するユーザーの権限を同様の方法で確認してからレポートを実行します。未認証(PUBLIC)ユーザーが公開ページを閲覧する場合でも、Oracle Reports Servicesでは、PUBLICユーザー・アカウントがレポートに対して適切な権限を持っているかどうかが確認されます。 |
認可が行われるのは、ユーザーがSingle Sign-Onまたは非SSO (Oracle Internet Directoryベース、JPSベース・セキュリティの場合のファイルベース、Databaseおよび埋込みIDストア)の方法により認証された後です。ユーザーが認証されると、レポート・リクエストは図15-3に示すように認可プロセスを経由する必要があります。
次の各手順の番号は、図15-4の番号に対応しています。
Reports Serverでは、ポリシー・ストアに定義されているポリシーによりユーザーの権限が確認されます。
Reports Serverでは、ポリシー・ストア(Database、LDAPまたはPortalリポジトリ)に定義されているポリシーに対するユーザー権限が確認されます。
Reports Serverでは、ポリシー・ストアで指定したパラメータでレポートを実行するのに必要な権限をユーザーが持っているかどうかもチェックされます。この妥当性チェックがなんらかの理由で失敗した場合、ユーザーに対してエラーが返され、この処理が終了します。
|
注意: ユーザーがshowjobsやgetserverinfoなどのrwservlet Webコマンドを実行すると、Reports Serverではレポートを実行するかわりに、ポリシー・ストア設定に基づき、ユーザーが検証および認可されます。 |
ユーザーにレポートの実行が許可された場合、Reports Serverはレポート・リクエストを実行し、レポート出力をrwservletに渡します。
Reports Serverがこのジョブをエンジンに委譲し、そこでデータ・ソースのアクセス、データの取出しおよびレポートのフォーマットが行われます。
レポート出力が、Oracle HTTP Serverに渡されます。
レポート出力が、ユーザーに渡されます。
処理された出力は、指定の宛先に送信されます。宛先に従って、この出力はブラウザに返されるか(図15-4)、プリンタに送信されるか、後で参照するためにファイルに保存されるか、またはFTPサーバーなどに送信されます。
Reportsポリシーはアプリケーション・ロールに付与されます。IDストア(Oracle WebLogic Serverの埋め込みIDストアまたは外部のOracle Internet Directory)内のすべてのユーザーをいずれかのReportsアプリケーション・ロールに関連付ける必要があります。
jps-config-jse.xmlファイルにoracle.security.jps.enterprise.user.classプロパティを追加する必要があります。
この作業を行うには、Enterprise Managerで次のように実行します。
「WebLogicドメイン」メニューにナビゲートします。
「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます。このページでユーザーをアプリケーション・ロールにマップできます。
または、手動で$DOMAIN_HOME/config/fmwconfig/system-jazn-data.xmlファイルを編集してこの作業を行うこともできます。Oracle Internet Directoryでユーザーを認可する際にJPSを使用する場合には、この手順が必要です。
XMLファイルでReportsアプリケーションを検索し、メンバー・セクションにユーザーを追加します。たとえば、orcladminというユーザーを追加するには、次の行を追加します。
<member> <class>weblogic.security.principal.WLSUserImpl</class> <name>orcladmin</name> </member>
デフォルトで、デフォルトのユーザー、ロールおよび権限は作成されています。管理者は、レポートごとにセキュリティ・ポリシーを定義することで、特定のユーザーがアクセスできるレポートを指定できます。セキュリティ・ポリシーでは、サーバー、宛先名(desname)、宛先タイプ(destype)などのパラメータも指定できます。ユーザーがユーザー名とパスワードを入力した際に、セキュリティ・ポリシーがチェックされます。
Oracle Enterprise Managerを使用して、レポート用セキュリティ・ポリシーを更新するには、第6.3.2項「レポートのセキュリティ・ポリシーの定義」を参照してください。
場合によっては、特定のユーザー・アクセスを複数の関連レポートに付与することが必要になることがあります。セキュリティ・ポリシーをレポートごとに指定するのではなく、1つのディレクトリにあるすべてのレポートを収集してから、そのディレクトリのセキュリティ・ポリシーを指定できます。ユーザーがユーザー名とパスワードを入力した際に、再びセキュリティ・ポリシーがチェックされます。
Oracle Enterprise Managerを使用して、ディレクトリ用セキュリティ・ポリシーを更新するには、第6.3.3項「ディレクトリのセキュリティ・ポリシーの定義」を参照してください。
Webコマンドごとにセキュリティ・ポリシーを作成することで、特定のユーザーやロールがアクセス権を持つOracle Reports Servlet (rwservlet)用Webコマンドも指定できます。ユーザーがユーザー名とパスワードを入力した際に、セキュリティ・ポリシーがチェックされます。
Oracle Enterprise Managerを使用して、Webコマンド用セキュリティ・ポリシーを更新するには、第6.3.4項「Webコマンドのセキュリティ・ポリシーの定義」を参照してください。
管理者は、Reports Server、Reportsアプリケーション(インプロセスReports Server)またはOracle Reports Runtimeによるディレクトリへの読取りアクセス権や書込みアクセス権を指定できます。この機能は、Reports Server、Reportsアプリケーション(インプロセスReports Server)またはOracle Reports Runtimeによる指定ディレクトリへの読取りや書込みが認可されているかどうかを確認するのみであり、ユーザーやロールのセキュリティ・ポリシーとは無関係です。このポリシーによりユーザー名とパスワードを確認します。
アプリケーション・ポリシーは、アプリケーションがそのリソースへのアクセスを制御するために使用する認可ポリシーです。プリンシパルまたは権限の検索キーワードを入力し、アプリケーション・セキュリティの権限付与の問合せができます。アプリケーション・ストライプを使用して、アプリケーションがアプリケーション名とは異なるストライプを使用しているかどうかを検索できます。
Enterprise Managerでアプリケーション・ポリシーを検索するには、次の手順を実行します。
Enterprise Managerにログインします。
「WebLogicドメイン」メニューから、「セキュリティ」→「アプリケーション・ポリシー」を選択します。
「アプリケーション・ポリシー」ページが表示されます。
「検索するアプリケーション・ストライプの選択」オプションを選択します。
ドロップダウン・メニューで、「レポート」を選択します。
「プリンシパル」フィールドに、プリンシパル名を入力します。
「権限」フィールドに、権限を入力します。
右矢印ボタンをクリックしてアプリケーション・セキュリティの権限付与を検索します。
アプリケーション・ロールは、セキュリティを意識したアプリケーションにより使用されるアプリケーションに固有なロールです。これらのロールは、アプリケーションが登録される際に、WebLogicドメインのポリシー・ストアでアプリケーションにより生成されます。
Enterprise Managerでアプリケーション・ロールを検索するには、次の手順を実行します。
Enterprise Managerにログインします。
「WebLogicドメイン」メニューから、「セキュリティ」→「アプリケーション・ロール」を選択します。
「アプリケーション・ロール」ページが表示されます。
「検索するアプリケーション・ストライプの選択」オプションを選択します。
ドロップダウン・メニューで、「レポート」を選択します。
「ロール名」フィールドに、検索するアプリケーション・ロールの名前を入力します。
右矢印ボタンをクリックしてアプリケーション・ロールを検索します。
