| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1.3.0) E90099-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1.3.0) E90099-03 |
|
|
前 |
次 |
この付録では、Oracle Business Intelligenceのセキュリティの使用および構成時に発生する可能性のある一般的な問題と、それらの解決方法について説明します。
この付録の内容は次のとおりです。
この項は、Oracle Business Intelligence Enterprise Edition 11gの使用時に発生する、ユーザーのログイン認証の失敗に関する最も一般的な問題の解決に役立ちます。考えられるすべてのシナリオを包括的に示すことを目的としているわけではありません。
この付録の内容は次のとおりです。
この項では、Oracle Business Intelligence Enterprise Editionにおける認証の基本的な概念について説明します。この項を使用する前提として、このガイド全体を通じて使用される概念について理解する必要があります。
この項では、認証が失敗した原因を特定するためのチェックリストとして使用できる、原因と結果の図を提供します。
この項では、ログイン認証が失敗する理由とその解決策を示します。
この項では、ログインに関する問題の解決に役立つ、認証の概念について説明します。
この項では、次の項目について説明します。
インストール直後、Oracle Business Intelligenceは、DefaultAuthenticatorを経由してWebLogic組込みLDAPサーバーに対してユーザーを認証するように構成されます。
インストール時に入力された資格証明を使用可能なWebLogic Server管理者ユーザー・アカウントなど、デフォルトのユーザー・アカウントが設定されています。
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlを使用して、Oracle Business Intelligenceを構成します。
「Oracle Business Intelligenceでセキュリティを構成するツールの使用」を参照してください。
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlにログインする際は、インストール・プロセスで管理者ユーザーに指定したユーザー名とパスワードを使用する必要があります。ただし、そのアカウントを変更または削除した場合や、適切なアクセス権を持つ別のアカウントを構成した場合は除きます。「WebLogic Server管理者ユーザー・アカウント」を参照してください。
ユーザーのログイン認証に関する問題を診断および解決するには、WebLogicドメインおよびログ・ファイルの場所を知っておく必要があります。
これらのパスは、デフォルトのインストール場所を示しています。異なるインストール場所を指定した場合は、適宜パスを変更する必要があります。
Oracle Business IntelligenceがインストールされるWebLogicドメイン
ORACLE_HOME/user_projects/domains/bi/
WebLogic管理サーバーのログ
ORACLE_HOME/user_projects/domains/bi/servers/AdminServer/logs/WebLogic管理対象サーバーのログ:
ORACLE_HOME/user_projects/domains/bi/servers/bi_server1/logs/BIサーバーのログ:
ORACLE_HOME/user_projects/domains/bi/servers/obis1/logs/WebLogic Server管理者ユーザー・アカウントを使用すると、WebLogic Serverを起動できます。また、Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlを使用してWebLogic Serverを管理することもできます。
WebLogic Server管理者アカウントの追加を可能にするには、WebLogic Server管理者アカウントに、Adminと呼ばれるWebLogic Serverグローバル・ロールが付与されている必要があります。WebLogic Server Adminロールは、Oracle Business Intelligenceアプリケーション・ロールではありません。
Oracle WebLogic Server管理コンソールを使用して、グローバルAdminロールに対してユーザーを追加または削除するには、次のステップを実行します。
「Oracle WebLogic Server管理コンソールの使用」を参照してください。
ユーザーがシングル・サインオンを使用せずにOracle Business Intelligenceにログインするときに、認証およびユーザー・プロファイルの参照が行われます。
シングル・サインオン(SSO)環境では、Oracle Business Intelligenceシステムの外部で認証が実行され、かわりにアイデンティティがアサートされますが、ユーザー・プロファイルの参照は引き続き発生します。
認証とアイデンティティ・アサーションは、それぞれ認証プロバイダおよびアサーション・プロバイダによって実行され、Oracle WebLogic Server管理コンソールを使用して構成されます。電子メール、表示名、説明、言語などの様々な属性を取得するため、ユーザー・プロファイルがアイデンティティ・ストア内で参照されます。Oracle Business Intelligenceへの正常なログインには、最初に構成された認証プロバイダにユーザー移入が含まれていることが必要です。「代替認証プロバイダを使用するためのOracle Business Intelligenceの構成」を参照してください。
ログイン・プロセスでは、まずユーザーがログイン画面で資格証明を入力し、その資格証明がプレゼンテーション・サービス、BIサーバーの順に送信されます。BIサーバーでは、BI Security Web Service (WebLogic管理対象サーバーにデプロイされ、Webサービス・セキュリティのポリシーによって保護されます)を呼び出すことによって、ユーザー資格証明の認証が試行されます。この呼び出しでは、BIサーバーがOracle Web Services Managerに対してBIサーバーを認証することが要求されます。認証後、BIサーバーをBI Security Serviceで受信できるようになります。
この項は、Oracle Business Intelligenceへのログイン時に認証が失敗する原因を特定するのに役立ちます。
次の図は原因と結果の図です。これらを使用して、ユーザーのログイン認証が失敗する考えられる原因を特定できます。ユーザーのログイン識別が失敗する考えられる原因を特定したら、「ユーザーのログイン認証が失敗する問題の解決」を参照してください。
次の図に、ユーザーのログインが失敗する原因を示します(パート1)
前述の図の説明は、次のとおりです。
オーセンティケータが正しく構成されていない。
Oracle Business Intelligenceで認定されている正しいオーセンティケータがアイデンティティ・ストア用に構成されていることを確認します。
ユーザーがOracle WebLogic Server管理コンソールに表示されていることを確認します。
グループがOracle WebLogic Server管理コンソールに表示されていることを確認します。
適切な権限を持つユーザーがOracle WebLogic Server管理コンソールにログインできることを確認します。
認証プロバイダの順序および制御フラグが正しいことを確認します。
オーセンティケータが正しく構成されていない(二次的な問題)。
構成の変更後にWebLogic Serverが再起動されていることを確認します。
WebLogic Serverが起動しない場合は、WebLogic Server管理者ユーザーが正しくLDAPに移行していることを確認します。
指定した属性がLDAPストアにあるものと一致することを確認します。
名前指定によるフィルタの問合せが正しいことを確認します。
ユーザーおよびグループ・ベースDNの設定が正しいことを確認します。
LDAP接続に使用するアカウントが十分な権限を持っていることを確認します。
1人のユーザーのみが影響を受ける。
正しい資格証明が使用されていることを確認します。
ユーザー・アカウントがロックされていない、または失効していないことを確認します。
通信障害が発生する。
アイデンティティ・ストアが使用可能であることを確認します。
すべてのBIシステム・プロセスが実行中であることを確認します。
すべてのJEEアプリケーションが実行中であることを確認します。
次の図に、ユーザーのログインが失敗する原因を示します(パート2)
最初の図を使用してログインが失敗する原因を特定できなかった場合は、前述の図が、別の原因の特定に役立ちます。ただし、前述の図を使用した後も、引き続きログインが失敗する原因を特定できない場合は、次の場所からOracleサポートに連絡してください。
前述の図の説明は、次のとおりです。
アイデンティティ・ストア・プロバイダ(OPSS)が正しく構成されていない。
SQL認証プロバイダを使用している場合、アダプタが正しく構成されていることを確認します。
ユーザー名に指定された属性が、WebLogicオーセンティケータのデフォルト値以外の値に設定されている場合、OPSSの構成が一致することを確認します。
Oracle Business Intelligenceリリース11.1.1.5 (またはそれ以降)で、次の内容を確認します。
仮想化がtrueに設定されている。
制御フラグがOracle Business Intelligenceリリース11.1.1.3と同様に設定されている(次の箇条書きを参照)。
Oracle Business Intelligenceリリース11.1.1.3で、BIシステム・ユーザーのユーザー移入を参照する認証プロバイダが、プロバイダのリストの先頭にある制御フラグであることを確認します。
構成の変更後にWebLogic Serverが再起動されることを確認します。
Oracle Business Intelligenceリリース11.1.1.5 (またはそれ以降)で、仮想化がtrueに設定され、かつ、アイデンティティ・ストアでSSLが要求される場合は、仮想化が正しく構成されている必要があります。「複数認証プロバイダ使用時のSSLの構成」を参照してください。
Oracle Web Services Managerでエラーが発生する。
データベースが、インストール時に作成されたMDS-OWSMスキーマに接続されることを確認します。
OWSMでOWSMリソースへのアクセスに使用される、OracleSystemUserアカウントが動作していることを確認します。
この項では、ユーザーのログイン認証の失敗について、およびその問題の解決方法を説明します。この項の内容は次のとおりです。
この項では、次の項目について説明します。
最初に確認することは、ユーザーがOracle Business Intelligenceにログインできない原因が、単純なエラーであるかどうかです。たとえば、ユーザーが正しくないパスワードを入力したことなどが考えられます。
他のユーザーはOracle Business Intelligenceにログインできるが、1人のユーザーがログインできない場合は、ユーザーの資格証明を確認します。「アカウントがロックされているかどうか」を参照してください。
多くのLDAP認証プロバイダでは、ログインの試行回数が指定されたしきい値を超えた場合、ユーザー・アカウントがロックされます。たとえば、ログインの試行が3回失敗したら、自動攻撃を受けないようアカウントがロックされる場合があります。
選択したアイデンティティ・ストアのドキュメントを参照し、ユーザー・アカウントのロックを解除する方法を確認します。たとえば、WebLogic Server組込みLDAPの使用時にロックされたユーザー・アカウントのロックを解除するには、『Oracle WebLogic Server Administration Consoleオンライン・ヘルプ』のユーザー・アカウントのロック解除に関する項を参照してください。
認証が失敗する最も一般的な原因は、WebLogic Serverで認証プロバイダが正しく構成されていないことです。内容は次のとおりです。
注意:
「代替認証プロバイダの使用」に記載されているステップおよび概念を読み、それらを理解している必要があります。
WebLogic Serverでは、組込みLDAP認証プロバイダに加えて、様々なサーバー固有の認証プロバイダが使用されます。
ただし、組込みLDAP認証プロバイダは、汎用的なLDAPサーバーではない一部LDAPサーバー製品に対しては問合せできない場合があります。たとえば、汎用LDAPサーバーは、Active Directory (AD)がLDAPを完全に実装していることが明らかで、正常にADをLDAPサーバーとして多くのLDAP問合せツールに提供している場合でも、ADと連携して動作しません。システムが使用するLDAPサーバーに基づいた適切な認証プロバイダを構成してください。
プライマリ・アイデンティティ・ストアとして使用するLDAPサーバーの構成設定が正しく構成されていない場合は、ユーザーを正しく認証できません。いくつかの一般的なチェック項目は、次のとおりです。
LDAP接続に使用するアカウント。
LDAP認証プロバイダに固有の構成で、LDAPサーバーへの接続に使用されるプリンシパルのDNを指定する必要があります。このアカウントが存在し、ユーザーまたはグループ・ベースDNに指定されたツリーからユーザーまたはグループ移入を取得する問合せを実行するのに十分な権限を持っている必要があります。制限付きのLDAP環境では、通常のユーザー・アカウントに付与される権限よりも上位の昇格した権限が必要になる場合があります。
ユーザーおよびグループ・ベースDNが正しいことを確認します。
グループおよびユーザーは、どちらもユーザーまたはグループ・ベースDNによって指定されたツリー内で検索されます。指定されたツリーに、実際にユーザーまたはグループ移入が含まれていることを確認してください。
名前指定によるフィルタの問合せが正しいことを確認します。
グループおよびユーザーはベースDNに指定されたツリー内で検索します。これには、「名前指定によるユーザー・フィルタ」および「名前指定によるグループ・フィルタ」に指定された問合せが使用されます。%uは、特定ユーザーの問合せ時(認証時も含まれます)に渡されるユーザーIDのプレースホルダとして使用され、%gは、特定グループの問合せ時に渡されるグループ名のプレースホルダとして使用されます。問合せがディレクトリにとって構文的および論理的に正しいことを確認します。また、認証プロバイダの構成で指定した資格証明を使用して、それらの問合せをLDAPブラウザから実行できる(および予想どおりの結果が得られる)ことをテストします。
指定した属性がLDAPストアにあるものと一致することを確認します。
ユーザーおよびグループの属性やオブジェクト・クラスが、認証プロバイダの構成で指定されていることを確認します。必ずしも、認証プロバイダの事前構成済のデフォルト値を使用しなければならないわけではありません。たとえば、ユーザー名の属性に指定された値が存在すること、およびその値がサイト上のLDAPサーバーのユーザー名に使用されていることを確認する必要があります。
WebLogic Server管理者ユーザーはLDAPに移行され、WebLogic Serverを起動できません。
WebLogic Server管理者ユーザーを組込みLDAPサーバーから別のLDAPサーバーに移行し、組込みLDAPサーバーからDefaultAuthenticatorも削除する場合、管理者ユーザーを認証する際、LDAPに依存するほかなくなります。LDAP認証プロバイダの構成が不適切だった場合、WebLogic Serverは起動しません。
ユーザーがOracle WebLogic Server管理コンソールにログインできるか確認します。
WebLogic Serverの起動時に使用していた資格証明でOracle WebLogic Server管理コンソールにログインできる場合、次の方法で、他のLDAPユーザーがOracle WebLogic Server管理コンソールにログインできるか確認できます。
WebLogic ServerグローバルAdminロールをLDAPユーザーに付与し、そのユーザーがOracle WebLogic Server管理コンソールにURL (http://<biserver>:9501/console)を使用してログインできた場合、LDAPオーセンティケータは正しく構成されています。
注意:
このシナリオをテストするためにWebLogic ServerグローバルAdminロールを一時的にユーザーに付与した場合、その資格のないユーザーについては、テスト終了後、このロールを削除する必要があります。
LDAPユーザーがOracle Business Intelligenceにログインできない場合:
ユーザーが格納されたアイデンティティ・ストアが、アイデンティティ・ストアとしてOPSSに公開されていることを確認します。オーセンティケータの順序および制御フラグに関する項(「オーセンティケータの制御フラグが正しく設定され順序付けられているかどうか」)を参照してください。
プライマリ・アイデンティティ・ストアをオーセンティケータのリスト内の先頭項目として設定します。仮想化がtrueに設定されている場合、この制約はOracle Business Intelligenceリリース11.1.1.5 (またはそれ以降)には適用されません。
Oracle Business Intelligenceでは、Oracle Platform Security Services (OPSS)のユーザー・ロールApplication Programming Interface (API)が使用されます。このAPIでは、ユーザー、プロファイル情報、ロールをルックアップするときなど、オーセンティケータのリストの先頭にあるアイデンティティ・ストアのみが参照されます。認証が成功すると、ユーザーはOracle WebLogic Server管理コンソールにログインできますが、ユーザーが格納されているアイデンティティ・ストアがリストの先頭でないため、Oracle Business Intelligenceにログインすることはできません。
複数のオーセンティケータが構成されている場合、制御フラグをSUFFICIENTに設定すると、認証が成功するまで各オーセンティケータを試行できます。認証が成功すると、それ以降の認証プロバイダに対しては認証が試行されません。すべての認証プロバイダで、提供された資格証明を認証できなかった場合、認証プロセス全体が失敗します。
注意:
インストール時に、DefaultAuthenticatorはREQUIREDに設定されます。別のオーセンティケータを構成し、DefaultAuthenticatorを保持する場合は、DefaultAuthenticatorをSUFFICIENTまたはOPTIONALに設定します。SUFFICIENTが推奨設定です。
Oracle Web Services Manager (OWSM)によってBI Security Serviceが保護されるため、OWSMが動作していない場合、どのプログラムもBI Security Serviceを呼び出すことができず、この問題が解決されるまで認証は成功しません。
OWSMが失敗する一般的な原因は、次のとおりです。
データベースに関する問題 - OWSMでポリシーを取得できない
インストール時に作成されたMDS-OWSMスキーマへの接続に関する問題です。
OracleSystemUserに関する問題 - OWSMでポリシーを取得できない
OWSMでOWSMリソースへのアクセスに使用されるOracleSystemUserアカウントに関する問題です。
Oracle Web Services Manager (OWSM)では、ポリシー定義を含むOWSMのメタデータが、MDSスキーマのOWSMサブセクションに格納されます。このメタデータへのアクセスには、インストール時に作成される、mds-owsmという接続プールが使用されます。スキーマへのアクセスに関する問題が発生した場合(たとえば、データベースが使用できない、正しくない資格証明がある、データベース・アカウントがロックされているなど)、Oracle Business Intelligenceの認証は失敗します。
管理対象サーバーの診断ログに、次のようなエラー・メッセージが記録されます。
[2011-06-28T14:59:27.903+01:00] [bi_server1] [ERROR] [] [oracle.wsm.policymanager.bean.util.PolicySetBuilder] [tid: RTD_Worker_2] [userId: <anonymous>] [ecid: de7dd0dc53f3d0ed:11d7f503:130d6771345:-8000-0000000000000003,0] [APP: OracleRTD#11.1.1] The policy referenced by URI "oracle/wss_username_token_client_policy" could not be retrieved as connection to Policy Manager cannot be established at "t3://biserver:9500,biserver:9704" due to invalid configuration or inactive state.
データ・ソースの接続プールを確立または作成できないことに関する複数のエラーが管理サーバーのログに記録される場合があります。
この問題を解決するには、次の内容を確認する必要があります。
mds-owsmデータ・ソースに指定したデータベース・スキーマが使用できるかどうか。
正しい資格証明を指定したかどうか。
それらの資格証明を使用して標準のデータベース・ツール(SQL Plus、Jdeveloper DBツールなど)でスキーマにアクセスできるかどうか。
mds-owsmデータ・ソースが正しく構成されているかどうか。
これらのステップを使用して、MDS-OWSMデータ・ソースをテストします。
Oracle WebLogic Server管理コンソールにログインします。
左ペインで「サービス」をクリックし、「データ・ソース」をクリックします。
「構成」ページを表示し、「mds-owsm」をクリックします。
「監視」タブを選択し、「テスト」ページを表示します。
サーバーを選択し、「データ・ソースのテスト」をクリックします。
これらのステップを使用して、MDS-OWSMデータ・ソースを構成します。
Oracle Web Services Manager (OWSM)では、デフォルトでポリシーの取得にOracleSystemUserアカウントが使用されます。このアカウントが見つからず認証できない場合や、このアカウントに正しいWebLogicグローバル・ロールが割り当てられていない場合、処理は失敗します。
管理対象サーバーの診断ログに、次のようなログ・メッセージが記録されます。
[2011-06-28T14:59:27.903+01:00] [bi_server1] [ERROR] [] [oracle.wsm.policymanager.bean.util.PolicySetBuilder] [tid: RTD_Worker_2] [userId: <anonymous>] [ecid: de7dd0dc53f3d0ed:11d7f503:130d6771345:-8000-0000000000000003,0] [APP: OracleRTD#11.1.1] The policy referenced by URI "oracle/wss_username_token_client_policy" could not be retrieved as connection to Policy Manager cannot be established at "t3://biserver:9500,biserver:9704" due to invalid configuration or inactive state.[[
OWSMがOracleSystemRole WebLogic Serverグローバル・ロールに含まれていないことが問題である場合、このエントリの後に、次のログ・エントリが記録されます。
java.rmi.AccessException: [EJB:010160]Security Violation: User: 'OracleSystemUser' has insufficient permission to access EJB: type=<ejb>, application=wsm-pm, module=wsm-pmserver-wls.jar, ejb=DocumentManager, method=retrieveDocuments, methodInterface=Remote, signature={java.lang.String,java.util.Map}.
OracleSystemUserがアイデンティティ・ストアにあるOracleSystemGroupグループのメンバーであること、およびグループにOracleSystemRole WebLogic Serverグローバル・ロールが割り当てられていることを確認する必要があります。「唯一のオーセンティケータとしてのOracle Internet Directory LDAP認証の構成」を参照してください。
OracleSystemUserアカウントを認証できないか、このアカウントが存在しない場合(たとえば、LDAPアイデンティティ・ストアに移行し、新しいOracleSystemUserアカウントを新しいアイデンティティ・ストアに作成することなくDefaultAuthenticatorを削除したため)、次のようなログ・エントリが記録されます。
Caused by: javax.security.auth.login.FailedLoginException: [Security:090304]Authentication Failed: User OracleSystemUser javax.security.auth.login.FailedLoginException: [Security:090302]Authentication Failed: User OracleSystemUser denied
: weblogic.security.providers.authentication.LDAPAtnLoginModuleImpl.login(LDAPAtnLoginModuleImpl.java:261)
このエラー・メッセージは、次のようないくつかの異なる問題の結果として発生します。
DefaultAuthenticatorを削除し、そのかわりに使用している新しいアイデンティティ・ストアにOracleSystemUserというアカウントを作成していません。
新しいアイデンティティ・ストアのオーセンティケータを正しく構成していないことが原因で、OracleSystemUserアカウントが見つかりません。
LDAPサーバーでOracleSystemUserアカウントがなんらかの原因でロックされているか無効になっています。
考えられるそれぞれの問題についてシステムを確認し、必要に応じてシステムを再構成および再起動した後、再試行します。
外部アイデンティティ・ストアをプライマリ・ユーザー移入として構成した場合は、プロバイダ構成の次の内容を確認します。
プライマリ・ユーザー移入を参照する認証プロバイダは、プロバイダの中で最初に設定する必要があります(リリース11.1.1.5またはそれ以降を使用している、および仮想化がtrueに設定されている場合は除きます)。
DefaultAuthenticatorが有効になっている場合は、DefaultAuthenticatorと、プライマリ・ユーザー移入を参照する認証プロバイダの両方がSUFFICIENTに設定されていることを確認します。
username属性をデフォルト以外の値に設定した場合は、「アイデンティティ・ストアでのユーザーおよびグループ名属性の構成」の手順に従う必要があります。たとえば、OID認証プロバイダでは、UserName属性の値がcnであることを想定してデフォルト設定されますが、実際には多くの組織で、かわりに属性uidが使用されます。この場合、手順に従い、Fusion Middleware Controlのアイデンティティ・ストア構成で、username.attrおよびuser.login.attrをuidに設定します。
Oracle Business Intelligenceリリース10gでは、メタデータ・リポジトリを通じて認証が管理され、外部データベース表に対して認証する必要があるユーザーは、初期化ブロックの設定を使用し、その操作を実行できます。
この機能は引き続きOracle Business Intelligence 11gおよび12cでも提供され、残念ながら、発行された問合せによってユーザーのパスワードが確認されないよう、これらのブロックを構成できます。
たとえば、次の問合せ
SELECT USER_ID FROM USERS WHERE USER_ID = ':USER'
ユーザーIDのみが確認され、パスワードが正しいかどうかは確認されません。そのように初期化ブロックが構成されているシナリオでは、ユーザーは任意のパスワードを使用して、またはパスワードなしでログインできます。
このシナリオによって、一貫性がないように見えるなんらかの動作が発生することもあります。たとえば、ユーザーAおよびBがプライマリ・アイデンティティ・ストア(Oracle Internet Directory)内に存在するが、この項で説明した初期化ブロックによって参照されるデータベース内にも、ユーザーBが存在する場合が考えられます。ユーザーAおよびBが正しくないパスワードを使用してログインしようとすると、これらの両方がOIDに対する認証に失敗します。ただし、BIサーバーでは、各ユーザーの初期化ブロックの実行が試行されます。ユーザーAは失敗しますが、ユーザーBのログインは成功します。この理由は、ユーザーBのユーザー名がUSERS表のUSER_ID列にあり、初期化ブロックの問合せが、ユーザーのパスワードを確認しないにもかかわらず成功するためです。このようなシナリオは回避する必要があるため、このように動作する認証初期化ブロックを見つけた場合は、そのブロックを削除または変更する必要があります。
WebLogic Serverを起動するには、WebLogic Serverの(Oracle Business Intelligenceではなく)グローバルAdminロールに関連付けられた管理者ユーザーの資格証明を使用する必要があります。
Oracle Business Intelligenceのインストール時、インストーラによって管理者ユーザー名とパスワードの入力が求められます。これらのユーザー名とパスワードは、組込みLDAPで作成され、DefaultAuthenticatorを通じてアクセスされます。組込みLDAPではなく外部LDAPアイデンティティ・ストアを使用するよう変更する必要がある場合は、外部ストアに新しいWebLogic Server管理ユーザーを作成し、そのユーザーにWebLogic ServerのグローバルAdminロールが割り当てられていることを確認してから、DefaultAuthenticatorを削除します。
ただし、これらのステップを実行した後で、WebLogic Serverの起動に使用するユーザーが格納されたアイデンティティ・ストアの認証プロバイダを正しく構成していない場合は、サーバーを起動できません。これを回避するには、DefaultAuthenticatorを削除する前に存在していた構成設定に戻します。
WebLogic BIドメインのデフォルトのドメイン・ホームは、インストール時に別の場所を指定しないかぎり、次の場所にあります。
ORACLE_HOME/user_projects/domains/bi/
このディレクトリには、すべての認証プロバイダなど、ドメイン全体の構成ファイルを含む構成ディレクトリが格納されます。構成設定を更新すると、メイン構成ファイルconfig.xmlのバックアップが作成されます。バックアップ・ファイルの名前は、backup_config.xmlから始まり、その後のリビジョンごとに番号が付けられます(backup_config7.xmlなど)。
問題が発生した場合に備えて、現在のconfig.xmlおよび最新のbackup_config XMLファイルをコピーしてください。構成をリストアするには、現在のconfig.xmlファイルを最新のbackup_config xmlファイルに置き換え、WebLogic ServerおよびすべてのOracle Business Intelligenceコンポーネントを再起動します。WebLogic Serverの再起動時に、DefaultAuthenticatorはリストアされます。
リポジトリ、Oracle BIプレゼンテーション・カタログ、アイデンティティ・ストアの間には非一貫性の問題が数多く生じることがあります。
次の各項では、これらが発生することのある通常の過程とその非一貫性の解決方法について説明します。
この情報を使用して、問題を特定および解決します。
動作
アイデンティティ・ストアからユーザーが削除されると、そのユーザーはOracle Business Intelligenceにログインできなくなります。ただし、削除されたユーザーへの参照は、管理者がそれらを削除するまでリポジトリ内に残ります。
原因
削除されたユーザーへの参照は引き続きリポジトリ内に残りますが、そのユーザーはOracle Business Intelligenceにログインできません。この動作により、ユーザーが不注意で削除され、アイデンティティ・ストアに再度作成された場合に、ユーザーのアクセス制御ルールを再入力する必要はありません。
処置
管理者は、オンライン・モードでOracle BI管理ツールの整合性チェッカを実行して、非一貫性を特定できます。
この情報を使用して、問題を特定および解決します。
動作
アイデンティティ・ストアでユーザーの名前が変更され、その後、そのユーザーが新しい名前でリポジトリにログインできません。
原因
これは、元の名前によるユーザーへの参照がリポジトリ内に残っている場合に発生することがあります。
処置
管理者は、BIサーバーを再起動するか、またはOracle BI管理ツールの整合性チェッカを実行してリポジトリを更新し、新しい名前によるユーザーへの参照を反映する必要があります。これが解決されると、Oracle BIプレゼンテーション・サービスは、このユーザーの次回ログイン時に新しいユーザー名を参照するようにOracle BIプレゼンテーション・カタログを更新します。
この情報を使用して、問題を特定および解決します。
動作
ユーザー名に関連付けられているグループがアイデンティティ・ストアに存在しない場合、nqserver.logに次のエラーが記録されている可能性があります。
[2012-10-04T12:00:00.000+00:00] [OracleBIServerComponent] [ERROR:1] [] [][ecid: <ecidID>] [tid: d10] SecurityService::assertUserWithLanguage[OBI-SEC-00018] Identity found <GUID> but could not be asserted.
bi_server1-diagnostic.logまたは簡易インストールの場合にはadminserver-diagnostic.logで、実行コンテキストID (ECID)を探します。次のような警告が含まれている可能性があります。
[2012-10-04T12:00:00.314+02:00] [bi_server1] [WARNING] [] [oracle.jps.authentication] [tid: [ACTIVE].ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: OBISystemUser] [ecid: <ecidID>] [WEBSERVICE_PORT.name: SecurityServicePort] [APP: bimiddleware#11.1.1] [J2EE_MODULE.name: bimiddleware/security] [WEBSERVICE.name: SecurityService] [J2EE_APP.name: bimiddleware_11.1.1] javax.security.auth.login.FailedLoginException: [Security:090305]Authentication Failed Getting Groups for User <UserID> weblogic.management.utils.NotFoundException: [Security:090255]User or Group <Groupname[[oracle.security.jps.internal.api.jaas.AssertionException: javax.security.auth.login.FailedLoginException: [Security:090305]Authentication Failed Getting Groups for User <UserID> weblogic.management.utils.NotFoundException: [Security:090255]User or Group <Groupname> at oracle.bi.security.subject.SubjectAsserter.assertUser(SubjectAsserter.java:85) at oracle.bi.security.service.URServiceBean.assertUserWithLanguage(URServiceBean.java:97) at oracle.bi.security.service.SecurityServiceBean.getGrantedRolesForUser(SecurityServiceBean.java:270) at oracle.bi.security.service.SecurityWebService$1GetGrantedRolesForUserAction.run(SecurityWebService.java:391) at oracle.bi.security.service.SecurityWebService$1GetGrantedRolesForUserAction.run(SecurityWebService.java:381) at java.security.AccessController.doPrivileged(Native Method) at oracle.bi.security.service.SecurityWebService.getGrantedRolesForUser(SecurityWebService.java:397) ... Caused by: javax.security.auth.login.FailedLoginException: [Security:090305]Authentication Failed Getting Groups for User <UserID> weblogic.management.utils.NotFoundException: [Security:090255]User or Group <Groupname>
原因
ユーザー名に関連付けられているグループがアイデンティティ・ストアに存在しない場合に、この問題が発生する可能性があります。
処置
このユーザーに割り当てられているLDAPグループが存在し、かつ、このグループが、LDAPにアクセスするためにWebLogicが使用するプリンシパルによって読取り可能であることを確認してください。
Oracle BIプレゼンテーション・カタログとポリシー・ストアの間には、非一貫性の問題が数多く生じることがあります。
次の各項では、これらが発生することのある通常の過程とその非一貫性の解決方法について説明します。
この情報を使用して、問題を特定および解決します。
動作
オフライン・モードで操作しているとき、ポリシー・ストアからアプリケーション・ロールが削除された後、そのロール名は引き続きOracle BI管理ツールに表示されます。ただし、ロール名はプレゼンテーション・サービスに表示されなくなり、ユーザーには、削除されたロールに関連付けられた権限が付与されません。
原因
削除されたロール名への参照がリポジトリ内に残っていると、オフライン・モードで操作したときにロール名が管理ツールに表示されます。
処置
管理者は、オンライン・モードでOracle BI管理ツールの整合性チェッカを実行し、削除されたアプリケーション・ロール名に対するリポジトリ内の参照を削除します。
この情報を使用して、問題を特定および解決します。
動作
ポリシー・ストアでアプリケーション・ロールの名前が変更された後、オフライン・モードの管理ツールには新しい名前が表示されません。ただし、新しい名前は、プレゼンテーション・サービスと管理ツールのリストにただちに表示されます。ユーザーには、引き続き、ロールによって付与されている権限が表示されます。
原因
元のロール名への参照がリポジトリ内に残っていると、オフライン・モードで操作したときにロール名が管理ツールに表示されます。
処置
管理者はBIサーバーを再起動するか、管理ツールの整合性チェッカを実行し、リポジトリを更新して新しいロール名を反映します。
この情報を使用して、問題を特定および解決します。
動作
通信エラー。プロセス(クライアント)が別のプロセス(サーバー)と通信できません。
処置
SSL通信問題が存在すると、通常はクライアントが通信エラーを表示します。エラーにはクライアントが拒否されたことのみが示され、それ以外の情報は示されません。サーバーのログ・ファイルで、対応する障害エラー・メッセージを調べてください。このログ・ファイルには通常、問題の詳細が記述されています。
動作
BIDomain MBean (oracle.biee.admin:type=BIDomain, group=Service)を使用してコミット操作を実行した後、次のエラー・メッセージが表示されます。
SEVERE: Element Type: DOMAIN, Element Id: null, Operation Result: VALIDATION_FAILED, Detail Message: SSL must be enabled on AdminServer before enabling on BI system; not set on server: AdminServer
処置
このメッセージは、Oracle WebLogic Server管理対象サーバーで、前提条件ステップであるSSLの有効化が行われていないことを示しています。「HTTPの無効化」を参照してください。
カスタムSSO環境を設定する際に問題が発生する場合があります。たとえば、Windowsネイティブ認証とActive DirectoryでSSOを設定する場合やSiteMinderでSSOを設定する場合などがあります。
次のMy Oracle Supportの記事ID 1287479.1および記事ID 1274953.1を参照してください。
Oracle BI EEのRSSフィードを読み取ろうとすると、SSOを使用したRSSリーダーの認証にトラブルが発生する場合があります。これは、Oracle SSOがそのRSSリーダーのリクエストをインターセプトする方法が原因です。この場合、Oracleはフィード・リーダー・アプリケーションを制御できません。
ただし、SSOがサポート可能なシナリオが2つあります。
FirefoxのWizz RSSのようなブラウザベースのRSSリーダーを使用し、Firefoxを使用して、フィードにアクセスする前にSSOにログインします。
Internet Explorerを使用するRSSリーダーでWindowsの統合認証を使用します。
FirefoxはWindows認証をサポートできるため、この場合でも使用可能です。
環境のデプロイメント戦略を検証する必要があります。
