| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1.3.0) E90099-03 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1.3.0) E90099-03 |
|
|
前 |
次 |
この章では、Oracle Business Intelligenceのセキュリティ・モデル、セキュリティの構成に使用するツールおよびセキュリティを構成するためのロードマップについて説明します。
注意:
Oracle BI Publisherを単独でインストールしてあり、Oracle Fusion Middlewareセキュリティを使用する場合は、『Oracle Business Intelligence Publisher管理者ガイド』のセキュリティ・モデルに関する項を参照してください。
この章の構成は、次のとおりです。
この上位レベルのロードマップを使用して、典型的なアクション・シーケンスを理解し、Oracle Business Intelligenceでのセキュリティを維持します。
「ユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。
Oracle Business Intelligence 12cは、Oracle Fusion Middlewareセキュリティ・アーキテクチャと密接に統合されており、コアなセキュリティ機能をそのアーキテクチャのコンポーネントに委任します。具体的には、Oracle Business Intelligenceインストールは次の種類のセキュリティ・プロバイダを利用します。
Oracle Business Intelligenceにアクセス可能なユーザーおよびグループに関する情報へのアクセス方法を認識し、かつユーザーを認証する責任を担う認証プロバイダ。
アプリケーション・ロールおよびアプリケーション・ポリシーへのアクセスを提供するポリシー・ストア・プロバイダ。これは、セキュリティ・ポリシーのコアな部分を形成し、Oracle Business Intelligenceで表示と操作ができるユーザーとできないユーザーを決定します。
Oracle Business Intelligenceで必要な資格証明を格納し、その資格証明へのアクセスを提供する資格証明ストア・プロバイダ。
デフォルトでは、Oracle Business Intelligenceインストールは、ユーザーおよびグループの情報にOracle WebLogic Server組込みLDAPサーバーを使用する認証プロバイダとともに構成されます。Oracle Business Intelligenceのデフォルトのポリシー・ストア・プロバイダおよび資格証明ストア・プロバイダは、資格証明、アプリケーション・ロールおよびアプリケーション・ポリシーをデータベースに格納します。
Oracle Business Intelligenceのインストール後、必要に応じて、別のセキュリティ・プロバイダを使用するようにドメインを再構成できます。たとえば、Oracle Internet Directory、Oracle Virtual Directory、Microsoft Active Directoryまたは別のLDAPサーバーを認証に使用するようにインストールを再構成できます。また、資格証明、アプリケーション・ロールおよびアプリケーション・ポリシーの格納に、データベースではなくOracle Internet Directoryを使用するようにインストールを再構成することもできます。
下位互換性のため、Oracle Business Intelligenceの複数のレガシー認証オプションがサポートされます。ベスト・プラクティスは、デフォルトのセキュリティ・モデルにより、アイデンティティ・ストアおよび認証プロバイダを使用して認証および認可を行うことです。これが可能でないシナリオや、従来の認証方法および認可方法が必要になる場合もあります。別の方法を使用するには、Oracle WebLogicドメインで構成済の認証プロバイダによって参照されるアイデンティティ・ストアに、ユーザー移入およびグループが保持されていないことが必要です。したがって、別の認証方法を使用する場合は、この章のいくつかの項は関係がありません。かわりに、「レガシー・セキュリティ管理オプション」を参照してください。アプリケーション・ロールは、別の認証メカニズムおよび認可メカニズムで使用されます。
認証プロバイダ内でユーザーおよびグループを管理します。
Oracle Business Intelligence 12cの各インストールには、Oracle WebLogic Serverドメインが関連付けられています。Oracle Business Intelligenceは、そのドメインに対して構成された認証プロバイダにユーザーの認証を委任します。
デフォルト認証プロバイダは、Oracle Business IntelligenceのOracle WebLogic Serverドメインに組み込まれたLDAPサーバーに格納されているユーザーおよびグループ情報にアクセスします。Oracle WebLogic Serverの管理コンソールを使用すると、組込みLDAPサーバーでユーザーおよびグループの作成と管理ができます。
別のディレクトリの認証プロバイダを構成することもできます。Oracle WebLogic Serverの管理コンソールを使用すると、ディレクトリのユーザーおよびグループを表示できます。ただし、このディレクトリを変更するには、引き続き適切なツールを使用する必要があります。たとえば、Oracle Internet Directory (OID)を使用するようにOracle Business Intelligenceを再構成した場合は、ユーザーおよびグループの表示はOracle WebLogic Serverの管理コンソールでできますが、管理はOIDコンソールで行う必要があります。サポートされるLDAPディレクトリの詳細は、BI動作保証のマトリックスを参照してください。
「デフォルト・セキュリティ構成を使用したセキュリティの管理」を参照してください。
Oracle WebLogic Serverドメインおよび認証プロバイダの詳細は、『Oracle WebLogic Serverセキュリティの管理』を参照してください。
認可とは、操作や表示の権限が与えられているものを、ユーザーが操作し表示できるようにすることです。
ユーザーが認証された後、セキュリティの面で次に重要なのは、操作権限や表示権限が与えられているものを、ユーザーが操作し表示できるようにすることです。Oracle Business Intelligence 12cでの認可は、アプリケーション・ロールで定義されたセキュリティ・ポリシーによって制御されます。
アプリケーション・ロールにより、ユーザーに対するセキュリティ・ポリシーを定義します。
ディレクトリ・サーバーにおけるグループ内のユーザーに関するセキュリティ・ポリシーを定義するかわりに、Oracle Business Intelligenceはロールベースのアクセス制御モデルを使用します。セキュリティは、ディレクトリ・サーバー・グループおよびユーザーに割り当てられているアプリケーション・ロールによって定義されます。たとえば、アプリケーション・ロールBIServiceAdministrator、BI ConsumerおよびBIContentAuthorなどです。
アプリケーション・ロールはユーザーが持っている機能的役割を表し、これによって、その役割を果すために必要な権限をユーザーに付与します。たとえば、セールス・アナリストのアプリケーション・ロールにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。
アプリケーション・ロールとディレクトリ・サーバーのユーザーおよびグループとの間の間接層により、Oracle Business Intelligenceの管理者は、企業のLDAPサーバーに新しいユーザーやグループを作成することなく、アプリケーション・ロールおよびポリシーを定義できます。かわりに、管理者は、認可要件を満たすアプリケーション・ロールを定義し、企業のLDAPサーバーに前から存在しているユーザーやグループにこれらのロールを割り当てます。
さらに、アプリケーション・ロールによって提供される間接層により、ビジネス・インテリジェンス・システムのアーティファクトを、開発、テスト、本番の各環境間で移動できます。環境の移動に伴うセキュリティ・ポリシーの変更は必要なく、ターゲット環境で使用可能なユーザーおよびグループにアプリケーション・ロールを割り当てることのみが必要です。
次の図に、グループ、ユーザー、アプリケーション・ロール、権限および継承のセット例を示します。
この図には次のことが示されています。
BIConsumersという名前のグループには、User1、User2およびUser3が含まれています。グループBIConsumersのユーザーには、アプリケーション・ロールBIConsumerが割り当てられています。これによりユーザーはレポートを表示できます。
BIContentAuthorsという名前のグループには、User4およびUser5が含まれています。グループBIContentAuthorsのユーザーには、アプリケーション・ロールBIContentAuthorが割り当てられています。これによりユーザーはレポートを作成できます。
BIServiceAdministratorsという名前のグループには、User6およびUser7が含まれています。グループBIServiceAdministratorsのユーザーには、リポジトリの管理を可能にするアプリケーション・ロールBIServiceAdministratorが割り当てられています。
セキュリティ・ポリシーは、Oracle BIプレゼンテーション・サービス、メタデータ・リポジトリおよびポリシー・ストアに分割されています。
セキュリティ・ポリシー定義は次のコンポーネントに分割されています。
Oracle BIプレゼンテーション・サービス
Oracle BIプレゼンテーション・サービスでは、ユーザーが特定のアプリケーション・ロールによりアクセスできる特定のカタログ・オブジェクトおよび機能を定義します。機能へのアクセスは「権限の管理」ページでOracle BIプレゼンテーション・サービスの権限として定義され、Oracle BIプレゼンテーション・カタログのオブジェクトへのアクセスは「権限」ダイアログで定義されます。
リポジトリ
リポジトリでは、ユーザーが特定のアプリケーション・ロールによりアクセスできるリポジトリ内のメタデータ・アイテムを定義します。Oracle BI管理ツールを使用して、セキュリティ・ポリシーを定義できます。
ポリシー・ストア
ポリシー・ストアでは、ユーザーが特定のアプリケーション・ロールによりアクセスできるBIサーバーおよびOracle BI Publisherの機能を定義します。デフォルトのOracle Business Intelligence構成では、ポリシー・ストアはOracle Enterprise Manager Fusion Middleware Controlを使用して、またはOracle WebLogic Scripting Tool (WLST)を使用して管理されます。『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。
Oracle Business Intelligenceアプリケーションの作成者は、アプリケーションのアプリケーション・ロールおよび権限付与を定義して名前を付けることができます。
Oracle Business Intelligenceアプリケーションの作成者は、前のバージョンに存在したデフォルトのアプリケーション・ロールおよび権限付与を使用する必要はありません。ただし、デフォルトのアプリケーション・ロールおよび権限セット付与を使用できます。
Oracle Business Intelligenceを最初に構成する場合、提供されたBIアーカイブ(BAR)ファイルを使用してビジネス・インテリジェンス・サービス・インスタンスを作成できます。『Oracle Business Intelligenceのインストールと構成』を参照してください。
サービス・インスタンスで使用できるアプリケーション・ロールおよびメンバーシップのセットは、サービス・インスタンスにインポートしたBARファイルによって異なります。インポートされたセキュリティ・ポリシーには、アプリケーション・ロール定義、アプリケーション・ロールのメンバーシップ、権限セット定義、権限定義、権限セット付与、権限付与、Oracle BIプレゼンテーション・サービスおよびリポジトリ・セキュリティ・ポリシーが含まれます。
サンプル・アプリケーションLite BARファイルまたは初期BARファイルを使用して初期BIサービス・インスタンスを作成すると、初期サービス・インスタンスがサンプル・アプリケーション・ロールおよびそのアプリケーションのアプリケーション・ポリシーをインポートします。
サンプル・ファイルまたは初期ファイルを使用せずに初期サービス・インスタンスを作成すると、システムにより、空のBARファイルがサービス・インスタンスにインポートされ、最小セットのアプリケーション・ロールおよびポリシーがサービス・インスタンスに追加されます。最小セットはBIServiceAdministratorアプリケーション・ロールのみです。自分のBIアプリケーションに固有の独自のセキュリティ・ポリシーを作成できます。
Oracle Business Intelligenceでセキュリティを構成するには、次のツールを使用します。
「ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例」を参照してください。
この図は、インストールの例のOracle Business Intelligenceで組込みWebLogic LDAPサーバーを使用してセキュリティを構成するために使用するツールを示しています。
「デフォルト・セキュリティ構成を使用したセキュリティの管理」を参照してください。
ユーザーおよびグループの認証に使用できるWebLogic LDAPサーバーの管理には、Oracle WebLogic Server管理コンソールを使用します。
Oracle WebLogic Serverは自動的にインストールされ、デフォルトの管理サーバーとして機能します。Oracle WebLogic Server管理コンソールはブラウザベースであり、組込みディレクトリ・サーバーの管理に使用されます。
Oracle Business Intelligenceを構成する場合に初期セキュリティ構成によってアイデンティティ・ストアとしてデフォルト・オーセンティケータの組込みWebLogic LDAPディレクトリが使用されることに注意してください。11gのBIインストールでは、特定のユーザーおよびグループがLDAPディレクトリに追加されました。12cのインストールでは、デフォルトのBIグループはLDAPディレクトリに追加されません。BIConsumers、BIContentAuthors、BIServiceAdministratorsなどのLDAPグループがアイデンティティ・ストアに存在することをアプリケーションが予測する場合、これらのグループを手動で追加するか、初期BI構成の完了後にこれらのグループがすでにプロビジョニングされている異なるアイデンティティ・ストアを使用するようにドメインを構成する必要があります。
WebブラウザにURLを入力してOracle WebLogic Server管理コンソールを起動します。デフォルトURLはhttp://hostname:port_number/consoleのような形式となります。ポート番号は、管理サーバーに使用されるポート番号と同じです。デフォルトのポート番号は9500です。Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください。
Oracle Business Intelligenceのインストール中に、ユーザー名およびパスワードが指定されました。これらの値がそれ以降に変更されている場合は、現在の管理ユーザー名とパスワードの組合せを使用してください。
デフォルトのWebLogic LDAPサーバーではなくOracle Internet Directoryなどの代替認証プロバイダを使用する場合は、代替認証プロバイダ管理アプリケーション(管理コンソールなど)を使用してユーザーとグループを管理する必要があります。
Fusion Middleware Controlは、Webブラウザベースのグラフィカル・ユーザー・インタフェースであり、コンポーネントの集まりを管理できます。
このコンポーネントは、複数のOracle WebLogic Serverドメイン、1台の管理サーバー、1台以上の管理対象サーバー、複数のクラスタ、およびそのドメインでインストールおよび構成されて実行されている複数のFusion Middleware Controlコンポーネントで構成されます。Oracle Business Intelligenceの構成中にOracle WebLogic Serverドメインが作成され、そのドメインにOracle Business Intelligenceが構成されます。ドメインの名前はbi (エンタープライズ・インストール)で、Fusion Middleware Controlのナビゲーション・ペインの「WebLogicドメイン」フォルダにあります。
Oracle Fusion Middleware Controlを使用して、Oracle Business Intelligenceのセキュリティを次のように管理します。
ポート番号は管理サーバーの番号で、デフォルトは9500です。
『Oracle Fusion Middlewareの管理』を参照してください。
システム全体にわたる管理者のユーザー名とパスワードは、インストール・プロセスの実行時に指定されており、これらを使用してOracle WebLogic Server管理コンソール、Fusion Middleware ControlおよびOracle Business Intelligenceにログインできます。
または、WebLogicのグローバルAdminロールが付与されている他のユーザー名およびパスワードを入力します。
Oracle BI管理ツールを使用して、メタデータ・リポジトリのオブジェクトに対してユーザーとアプリケーション・ロールの権限を構成します。
オンライン・モードで管理ツールにログインした場合は、WebLogic Serverのユーザーをすべて表示できます。オフライン・モードで管理ツールにログインした場合は、以前にメタデータ・リポジトリ権限をRPDに直接割り当てたユーザーの参照のみを表示できます。直接ユーザーではなくアプリケーション・ロールにメタデータ・リポジトリ権限を割り当てることをお薦めします。
このプロセスを使用して、Oracle Business Intelligenceの新規インストールでセキュリティを設定します。
Oracle Business Intelligenceをインストールした後、サンプル・アプリケーションを使用してインストールおよび機能を評価できます。その後、実際のビジネス要件に応じて独自のユーザー、グループおよびアプリケーション・ロールの作成と開発を反復的に実行できます。
参照:
注意:
デフォルトのSampleAppLite.rpdファイルを本番システムで使用する場合、管理ツールを使用して、インストールされた値からパスワードを変更する必要があります。『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のSampleApp.rpdデモ用のリポジトリに関する項を参照してください。
次のインストール後タスクを次の順序で完了することをお薦めします。
ユーザーの認証に使用する認証プロバイダを次のように決定します。
デフォルトの組込みWebLogic LDAPサーバーを使用します
ユーザーが1000人を超える環境では、WebLogic組込みLDAPサーバーを使用しないことをお薦めします。高可用性およびスケーラビリティを備えた本番環境が必要な場合は、Oracle Internet Directory (OID)などのディレクトリ・サーバー、またはサードパーティのディレクトリ・サーバーを使用する必要があります。
「システム要件と動作保証」を参照してください。
Oracle Internet Directory (OID)などの代替認証プロバイダを使用します
組込みWebLogic LDAPサーバーを認証プロバイダとして使用する場合は、次を実行します。
デプロイするユーザーを設定します。「組込みWebLogic LDAPサーバーにおける新規ユーザーの作成」を参照してください。
グループを作成し、使用するこれらのグループを設定します。「組込みWebLogic LDAPサーバーにおける新規グループの作成」を参照してください。
ユーザーを適切なグループに割り当てます。「組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て」を参照してください。
ユーザーのグループをアプリケーション・ロールに割り当てます。「新規グループおよび新規アプリケーション・ロールへのユーザーの割当て」を参照してください。
Oracle Internet Directory (OID)を認証プロバイダとして使用する場合は、次を実行します。
必要に応じて、認証プロバイダ・ツール(OIDコンソールなど)を使用して、ユーザーおよびグループを作成します。
デプロイするアプリケーション・ロールを設定します。「Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除」を参照してください。
たとえば、BIConsumer、BIContentAuthorおよびBIServiceAdministratorを使用したり、固有のアプリケーション・ロールを作成します。
各グループを適切なアプリケーション・ロールに割り当てます。「アプリケーション・ロールへのグループの割当て」を参照してください。
管理ツールを使用して、Oracle BIリポジトリでユーザーおよびグループが持っている権限を更新します。「Oracle BI管理ツールの使用によるメタデータ・リポジトリ権限の管理」を参照してください。
たとえば、アプリケーション・ロールBISuperConsumerを有効にして、分析を作成できます。管理ツールを使用して、特定のサブジェクト・エリアに対するアクセス権を「読取り」から「読取り/書込み」に変更します。
プレゼンテーション・サービスでユーザーおよびグループが持っている権限を変更するには、「アプリケーション・ロールの使用によるPresentation Servicesの権限の管理」を参照してください。
たとえば、アプリケーション・ロールBISuperConsumerがスコアカードを表示できないようにするには、プレゼンテーション・サービスの管理ページを使用して、BISuperConsumerの「スコアカード」権限と「スコアカードの表示」権限を「権限付与」から「拒否」に変更します。
シングル・サインオンをデプロイする場合は、「SSO認証の有効化」を参照してください。
Secure Sockets Layer (SSL)をデプロイするには、「Oracle Business IntelligenceのSSLの構成」を参照してください。Oracle Business Intelligenceは、SSLが無効の状態でインストールされます。
このガイド全体を通じて使用される用語は次のとおりです。
Oracle Business Intelligenceの権限はアプリケーション・ロールによって付与されます。デフォルトのセキュリティ構成では、各ロールには事前構成済の一連の権限が与えられています。アプリケーション・ポリシーは、Java EEおよびJAASポリシーのコレクションで、特定のアプリケーションに適用されます。アプリケーション・ポリシーは、各アプリケーション・ロールが付与する権限を定義するメカニズムです。権限の付与は、アプリケーション・ロールに対応するアプリケーション・ポリシーで管理されます。
Oracle Business Intelligenceを使用しているときのユーザーの役割を表します。これは、ロールのメンバーに権限を付与するためにOracle Business Intelligenceが使用するコンテナでもあります。アプリケーション・ロールはポリシー・ストア・プロバイダで管理されます。
ログイン中に提示される資格証明を確認することでIDを検証するプロセス。
ユーザーおよびグループの情報にアクセスするために使用されるセキュリティ・プロバイダで、ユーザーの認証を行います。Oracle Business Intelligenceのデフォルト認証プロバイダは、Oracle WebLogic Server組込みディレクトリ・サーバーで、DefaultAuthenticatorという名前です。
認証されたユーザーに割り当てられた権限に応じて、リソースへのアクセス権限を付与するプロセス。
カタログ・グループはOracle Business Intelligenceリリース12.2.1.1以上ではサポートされていません。『Oracle Fusion Middleware Oracle Business Intelligence移行ガイド』を参照してください。
これらの権限は、Oracle BIプレゼンテーション・カタログに格納されているオブジェクトへのアクセス権を付与します。権限はカタログに格納され、プレゼンテーション・サービスで管理されます。
これらの権限は、Oracle BIプレゼンテーション・カタログの機能へのアクセス権を付与します。権限はカタログに格納され、Oracle BIプレゼンテーション・サービスで管理されます。これらの権限は付与されるか、または拒否されます。
Oracle Business Intelligence資格証明ストアは、ソフトウェア・コンポーネントによって使用されるシステム資格証明をセキュアに格納するために使用されるファイルです。このファイルは、インストール内のすべてのマシンに自動的にレプリケートされます。
資格証明ストアは、Oracle Business Intelligenceコンポーネント間で内部的に使用される資格証明をセキュアに格納し、管理するために使用されます。たとえば、SSL証明書はここに格納されています。
プレーンテキスト情報(データ)を、キーを使用した場合にかぎり読取りが可能になる読取り不可能なテキストに変換することで、機密が保たれた通信を実現するプロセス。Secure Sockets Layer (SSL)を使用すると、インターネットを介したWebアプリケーション通信など、TCP/IPネットワーク上でセキュアな通信が可能になります。
偽装は、Oracle Business Intelligenceコンポーネントがユーザーのパスワードを使用することなく、ユーザーの代理としてセッションを確立するために使用する機能です。たとえば、偽装はOracle BIスケジューラがエージェントを実行するときに使用されます。
管理サーバーとして知られているインスタンスを含むOracle WebLogicサーバー・リソースの論理的に関連したグループ。ドメイン・リソースはOracle WebLogic Server管理コンソールで構成され、管理されます。「Oracle WebLogic Server」を参照してください。
アイデンティティ・ストアには、ユーザー名、パスワードおよびグループ・メンバーシップの情報が含まれています。Oracle Business Intelligenceでは、アイデンティティ・ストアは通常ディレクトリ・サーバーであり、認証プロセス中に認証プロバイダがアクセスします。たとえば、ログイン時にユーザー名とパスワードの組合せを入力すると、認証プロバイダは、提供された資格証明を検証するためにアイデンティティ・ストアを検索します。Oracle Business Intelligenceは、代替アイデンティティ・ストアを使用するように再構成できます。「システム要件と動作保証」を参照してください。
権限のセットを表します。
ポリシー・ストアは、システムおよびアプリケーションに固有のポリシーのリポジトリです。ここには、インストールの一部としてすべて構成済の、Oracle Business Intelligenceのデフォルトのアプリケーション・ロール、権限、ユーザーとグループの間のマッピングの定義が格納されています。Oracle Business Intelligenceの権限は、アイデンティティ・ストアからアプリケーション・ロールにユーザーとグループを割り当てることで付与され、付与された権限はポリシー・ストア内に配置されます。
アプリケーション・ロール、アプリケーション・ポリシー、およびアプリケーション・ロールに割り当てられたメンバー(ユーザー、グループ、アプリケーション・ロールなど)の定義が含まれます。デフォルトのポリシー・ストアは、Oracle Business Intelligenceインストール内のすべてのマシンに自動的にレプリケートされるファイルです。ポリシー・ストアには、データベース・ベースまたはLDAPベースのものがあります。
セキュアな通信リンクを提供します。SSLでは、選択したオプションに応じて、暗号化、認証および拒否の組合せを提供できます。HTTPベースのリンクの場合、セキュアなプロトコルはHTTPSとして知られています。
セキュリティ・ポリシーは、個々のユーザーまたは特定のアプリケーション・ロールに付与されている、Oracle Business Intelligenceリソースへのアクセス権をまとめたグループです。アクセス権を制御する場所は、要求されているリソースの管理をどのOracle Business Intelligenceコンポーネントが行っているかによって決まります。ユーザーのセキュリティ・ポリシーは権限付与の組合せであり、次の要素によって決定されます。
ユーザーがアクセスできるOracle BIプレゼンテーション・カタログ・オブジェクトおよびOracle BIプレゼンテーション・サービス機能がどれであるかを定義します。この機能へのアクセス権は、Oracle Business Intelligenceのユーザー・インタフェースで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
リポジトリ・ファイル内に指定したメタデータへのアクセス権を定義します。この機能へのアクセス権は、Oracle BI管理ツールで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
Oracle Business Intelligence、Oracle BI PublisherおよびOracle Real-Time Decisionsの機能のいずれにアクセスできるかを定義します。この機能へのアクセス権は、Oracle Enterprise Manager Fusion Middleware Controlで管理されます。これらの権限は、個々のユーザーに対して、またはアプリケーション・ロールに対応するメンバーシップによって付与されます。
デプロイメント中にOracle WebLogic Serverドメインが作成され、Oracle Business Intelligenceがそのドメインにデプロイされます。Oracle WebLogic Serverドメインのセキュリティは、ドメインのセキュリティ・レルムで管理されます。セキュリティ・レルムは範囲指定メカニズムとして機能します。各セキュリティ・レルムは、構成済みのセキュリティ・プロバイダ、ユーザー、グループ、セキュリティ・ロール、およびセキュリティ・ポリシーで構成されます。ドメインでは1つのセキュリティ・レルムだけがアクティブになります。Oracle Business Intelligenceの認証は、インストール先のWebLogic Serverドメインのデフォルト・セキュリティ・レルム用に構成された認証プロバイダによって実行されます。Oracle WebLogic Server管理コンソールは、Oracle WebLogic Serverドメインを管理するための管理ツールです。
ユーザーが認証を一度行えば、同じブラウザ・セッションの間は複数のソフトウェア・アプリケーションにアクセスできるようにする認証方法。
ユーザーとは、認証可能なエンティティです。ユーザーには、アプリケーション・ユーザーなどの人、クライアント・アプリケーションなどのソフトウェア・エンティティがあります。どのユーザーにも、アイデンティティ・ストア内で一意の識別子が付与されています。
グループは、何かしら共通するものを持つユーザーを集合にまとめたものです。グループは、システム管理者によって割り当てられた静的な識別子です。ユーザーをグループにまとめることで、効率的なセキュリティ管理を促進します。グループには、LDAPグループとカタログ・グループの2種類があります。カタログ・グループは、Oracle Business Intelligenceユーザー・インタフェースで権限を付与する場合に、プレゼンテーション・サービスの既存のユーザー・ベースをサポートするために使用されます。カタログ・グループの使用はお薦めしません。これは、アップグレードしたシステムでの下位互換性を目的としたものです。
