A レガシー・セキュリティ管理オプション

この付録は、アップグレードされたシステムとの下位互換性を維持するために含まれているレガシー・セキュリティ管理オプションについて説明するものであり、ベスト・プラクティスではありません。

• 軽量SSOおよびレガシー認証オプション

• レガシー認証オプション

• 代替認可オプション

注意:

どのユーザーに対しても、認証と認可の両方をOracle Fusion Middlewareのセキュリティ・モデルまたはレガシー・メカニズムを使用して実行する必要があります。2つを混合させることはできません。そのため、Oracle Fusion Middlewareセキュリティを使用して認証を実行し、その後で初期化ブロックを使用して認可を行うことはできません。

軽量SSOおよびレガシー認証オプション

セッション変数などのレガシー認証オプションを初期化ブロックで使用して、ユーザーIDおよびグループを取得する場合は、軽量SSOを無効にする必要があります。レガシー認証では、Oracle WebLogicを介してSSOを使用できません。

NQUserおよびNQPassword問合せパラメータを使用してSSOにログインしている場合は、前のログイン・ページに戻る必要がある場合があります。NQUserおよびNQPasswordログイン・パラメータは、Oracle BIプレゼンテーション・サービスのGo URLのオプション・パラメータとして使用されていました。NQUserおよびNQPasswordログイン・パラメータを引き続き使用する必要がある場合は、軽量SSOを無効にする必要があります。

軽量SSOは、Oracle BI EEリリース12.2.1.3.0にデフォルトで実装されています。ユーザーが従来のOracle BI EEとVisual Analyzerの間、または従来のホーム・ページと新しいホーム・ページの間を移動するときに、ログインを求めるプロンプトは表示されません。

NQUserおよびNQPasswordログイン・パラメータを引き続き使用するには、WLST disableSingleSignOnコマンドを使用して軽量SSOを無効にします。『Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』の「WLSTコマンドを使用したSSO認証の有効化および無効化」を参照してください。軽量SSOが無効になると、ユーザーはOracle BIセキュリティ・ログインにリダイレクトされます。

他のSSOオプションを現在の環境に実装できます。

レガシー認証オプション

下位互換性のため、Oracle Business Intelligenceの複数のレガシー認証オプションが引き続きサポートされます。

システムをアップグレードするためのベスト・プラクティスは、デフォルトのセキュリティ・モデルによって提供されるアイデンティティ・ストアおよび認証プロバイダを使用して、認証の実装を開始することです。組み込まれたディレクトリ・サーバーはインストールまたはアップグレード時にデフォルトのアイデンティティ・ストアおよび認証プロバイダとして構成され、すぐに使用できるようになります。

「Oracle Business Intelligenceのセキュリティの紹介」および「デフォルト・セキュリティ構成の理解」を参照してください。

認証とは、ログイン中に提供されたユーザー名およびパスワードによって、システムへのログインに必要な資格証明をユーザーが持っていることを保証するために確認するプロセスのことです。BIサーバーは、受け取った接続リクエストをそれぞれ認証します。このリリースでは、下位互換性を維持するためにBIサーバーによって次のレガシー認証方法がサポートされています。

• 外部LDAPベースのディレクトリ・サーバー

• 外部初期化ブロック認証

• 表ベース。

この項では、次の項目について説明します。

• 初期化ブロックの使用によるLDAP認証の設定

• 外部表認証の設定

• Oracle BIデリバーおよび外部初期化ブロックの認証について

• 認証の順序

• カスタム・オーセンティケータ・プラグインを使用する認証

• セッション変数の管理

• サーバー・セッションの管理

初期化ブロックの使用によるLDAP認証の設定

ユーザー資格証明を認証のために外部LDAPサーバーへ渡すようにOracle BIサーバーを設定できます。

レガシーのLDAP認証方法では、Oracle BI管理ツールで変数マネージャを使用して定義するOracle Business Intelligenceセッション変数を使用します。『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のOracle BIリポジトリの変数の使用に関する項を参照してください。

1. 次のようにLDAPサーバーを作成します。

   1. 管理ツールで「管理」を選択してから「アイデンティティ」を選択し、Identity Managerを起動します。

   2. Identity Managerの左ペインで「ディレクトリ・サーバー」を選択します。

   3. Identity Managerの右ペインで右クリックし、新規LDAPサーバーを選択します。「LDAPサーバー」ダイアログが表示されます。

   4. フィールドに値を入力してLDAPサーバーを作成します。

2. LDAP初期化ブロックを作成し、LDAPサーバーに関連付けます。

3. USERという名前のシステム変数を定義し、USER変数をLDAP属性に割り当てます(uid、sAMAccountName、cnなど)。

   ユーザーがログオンしてセッションを開始するときに、セッション変数に値が入力されます。システム・セッション変数と呼ばれる特定のセッション変数には特別な用途があります。システム・セッション変数USERは認証とともに使用されます。

4. 該当する場合は、リポジトリ・ファイルからユーザーを削除します。

5. USERシステム変数をLDAP初期化ブロックに関連付けます。

注意:

キー・ファイル名とパスワードを設定し、管理ツールでLDAPパラメータの設定のテストが正常に完了し、その後、キー・ファイル名とパスワードを再び変更した場合、セキュアLDAPを使用するには、テストの前に管理ツールを再起動する必要があります。

LDAPサーバーの設定

認証方法としてActive Directoryサービス・インタフェース(ADSI)を使用するOracle Business Intelligenceのインスタンスについては、Active Directoryインスタンスを設定するときに、次のオプションを使用します。

• ログオン先ですべてのコンピュータを選択します。または一部のコンピュータを一覧表示する場合は、ログオン・ワークステーションとしてActive Directoryサーバーを含めます。

• 「ユーザーは次回ログオン時にパスワードの変更が必要」が選択されていないことを確認します。

管理ツールでは、LDAPサーバー・セクションでBIND DNに使用されるCNユーザーには、ldap_bindとldap_searchの両方の認可が必要です。

注意:

BIサーバーは、LDAP認証にクリアテキストのパスワードを使用します。LDAPサーバーがこれを許可するように設定されていることを確認してください。

1. オフライン・モードまたはオンライン・モードで、リポジトリを管理ツールで開きます。
2. Identity Managerで「アクション」を選択してから「新規作成」を選択し、「LDAPサーバー」を選択します。
3. 「LDAPサーバー」ダイアログの「一般」タブで、必要なフィールドに値を入力します。次に示すオプションと説明のリストに、LDAPサーバーを設定するのに役立つ情報が記載されています。

   • 名前。この接続を識別するための名前(My LDAPなど)。

   • ホスト名。LDAPサーバーの名前。

   • ポート番号。デフォルトのLDAPポートは3060です。

   • LDAPバージョン。LDAP 2またはLDAP 3(バージョン)。デフォルトはLDAP 3です。

   • ベースDN。ベース識別名(DN)によって、認証検索の始点が識別されます。たとえば、ディレクトリのo=Oracle.comサブツリーの下にあるエントリをすべて検索する場合、o=Oracle.comがベースDNです。

   • 「バインドDN」と「バインド・パスワード」。LDAPサーバーにバインドするために必要なオプションのDNおよびそれに関連付けられたユーザー・パスワード。

     これらの2つのエントリが空白の場合、匿名バインドが想定されます。セキュリティ上の理由から、すべてのLDAPサーバーで匿名バインドが許可されるわけではありません。

     これらのフィールドは、LDAP V3ではオプションですが、LDAP V2では匿名バインドはサポートされていないため、LDAP V2では必須です。

     「ADSI」オプションを選択すると、これらのフィールドが必須になります。これらのフィールドを空白にしておくと、パスワードを空白にしておくかどうかを確認する警告メッセージが表示されます。「はい」をクリックすると、匿名バインドが使用されます。

   • 接続テスト。LDAPサーバーへの接続をテストしてパラメータを検証するには、このボタンを使用します。

4. 「詳細設定」タブをクリックし、必要な情報を入力します。BIサーバーは、認証キャッシュをメモリーに維持することで、多数のユーザーを認証するためにLDAPを使用する場合にパフォーマンスを向上します。認証キャッシュを無効にすると、数百件のセッションを認証するときにパフォーマンスが低下する可能性があります。

   次に示すフィールドと説明のリストに、LDAPサーバーを設定するのに役立つ追加情報が記載されています。

   • 接続タイムアウト。BIサーバーがユーザー認証のためにLDAPサーバーに接続しようとしたときに、指定した間隔が経過した後に接続がタイムアウトします。

   • ドメイン識別子(オプション)。一般的に、識別子は、LDAPオブジェクトが担当するドメインを一意に識別する1語です。複数のLDAPオブジェクトを使用するときには、これは特に役に立ちます。異なる2人のユーザーが同じユーザーIDを持っていて、それぞれが異なるLDAPサーバーにいる場合、それらを区別するためにドメイン識別子を指定できます。ユーザーは、次のフォーマットを使用して、BIサーバーにログインします。

     domain_id/user_name

     ユーザーがドメイン識別子を使用せずにユーザー名を入力すると、利用できるすべてのLDAPサーバーに照らし合せて順に認証されます。同じ名前を持つユーザーが複数ある場合、1つのユーザーだけを認証できます。

   • ADSI。(Active Directoryサービス・インタフェース)ディレクトリ・サーバーの一種。「ADSI」オプションを選択するときは、「バインドDN」および「バインド・パスワード」は必須です。

   • SSL。SSLを有効にするには、このオプションを選択します。

   • 「ユーザー名属性タイプ」。このパラメータは、ユーザーを一意に識別します。多くの場合、これはRDNで使用される属性です(相対識別名)。一般的に、デフォルト値を受け入れます。ほとんどのLDAPサーバーでは、ユーザーIDを使用します。ADSIでは、sAMAccountNameを使用します。

LDAP認証でのUSERセッション変数の定義

初期化ブロックを使用してLDAP認証を設定するには、USERというシステム・セッション変数を定義して、LDAPサーバーに関連付けられているLDAP初期化ブロックにそれを関連付けます。

ユーザーがBIサーバーにログインすると、ユーザー名とパスワードが認証のためにLDAPサーバーに渡されます。ユーザーの認証に成功したら、LDAPサーバーによって返される情報からユーザーの他のセッション変数も入力できます。

注意:

レガシー方式を使用する外部LDAPサーバーと、Oracle Platform Security Servicesに基づいたLDAPベースのアイデンティティ・ストアの両方にユーザーが存在する場合は、アイデンティティ・ストアのユーザー定義が優先されます。Oracle Platform Security Servicesに対して認証が失敗すると、レガシーLDAP方式のみ試行されます。

この項の情報は、LDAP初期化ブロックが定義されているものと想定しています。

LDAPベースのアイデンティティ・ストアに定義されていないユーザーについては、定義されたシステム変数USERの存在によって外部認証が実行されることが決定されます。USERをLDAP初期化ブロックに関連付けることで、ユーザーがLDAPによって認証されることが決定されます。認証の他の形式を提供するには、外部データベースに関連付けられている初期化ブロックにUSER変数を関連付けます。

1. オフライン・モードまたはオンライン・モードで、リポジトリを管理ツールで開きます。
2. 管理ツールのメニューで「管理」を選択してから「変数」を選択します。
3. 左ペインで「セッション」および「初期化ブロック」を選択します。
4. 右ペインで右クリックし、「新規初期化ブロック」を選択します。
5. 「セッション変数 - 初期化」ダイアログ・ボックスの「名前」フィールドにAuthenticationと入力します。
6. 「データ・ソースの編集」をクリックします。
7. 「データ・ソース・タイプ」リストから「LDAPサーバー」を選択します。
8. リストを参照して適切なLDAPサーバーを選択します。
9. 「OK」をクリックします。
10. 「データ・ターゲットの編集」をクリックします。
11. 「新規」をクリックします。
12. 「名前」フィールドにUSERと入力します。
13. 「OK」をクリックします。
14. USERセッション変数の特別目的についての警告が表示されたら、「はい」をクリックします。
15. ユーザーIDを保持するLDAP属性を「マップ済変数」フィールドに入力します。
16. 「OK」をクリックします。
17. 「認証のために必要」チェック・ボックスを選択します。
18. 「OK」をクリックします。

ロギング・レベルの設定

LDAPサーバーによって認証されるユーザーのロギング・レベルを設定するには、システム変数LOGLEVELを使用します。

外部表認証の設定

外部データベース表にユーザーとパスワードのリストを維持し、この表を認証目的に使用することができます。

外部データベース表は、ユーザー名とパスワードを含み、Oracle BIプレゼンテーション・サービスのユーザーに使用するグループ・メンバーシップや表示名など、他の情報を含めることができます。また、表には、データを問い合せるときに各ユーザーのために使用する特定のデータベース・カタログまたはスキーマの名前を含めることもできます。

注意:

ユーザーが複数のグループに属している場合、セミコロンで区切ってグループ名を同じ列に含める必要があります。これは、グループまたはロールに対して行単位の変数を使用しない場合のみ適用されます。

外部表の認証は、管理ツールで変数マネージャを使用して定義するセッション変数を使用します。『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のOracle BIリポジトリの変数の使用に関する項を参照してください。

ユーザーがログオンしてセッションを開始するときに、セッション変数に値が入力されます。システム変数と呼ばれる特定のセッション変数には、特別の用途があります。変数USERは、外部表の認証とともに使用されるシステム変数です。

外部表の認証を設定するには、USERというシステム変数を定義して、外部データベース表に関連付けられている初期化ブロックに関連付けます。ユーザーがログインすると、ユーザーIDとパスワードは、認証のためにこのデータベース表に問い合せるSQLを使用して認証されます。初期化ブロックは、データベースに接続するために物理レイヤーでデータベース接続を使用します。物理レイヤーの接続には、ログイン情報が含まれています。ユーザーの認証に成功したら、このSQL問合せの結果からユーザーの他のセッション変数を入力できます。

定義されたシステム変数USERの存在によって、外部認証が実行されることが決定されます。外部データベース表の初期化ブロックにUSERを関連付けることによって、この表の情報を使用してユーザーが認証されることが決定されます。認証の他の形式を提供するには、LDAPサーバーまたはXMLソースに関連付けられている初期化ブロックに、USERシステム変数を関連付けます。「初期化ブロックの使用によるLDAP認証の設定」を参照してください。

1. 外部表に関する情報を物理レイヤーにインポートします。
2. 管理ツールで「管理」を選択してから「変数」を選択し、変数マネージャを起動します。
3. 左ペインで「初期化ブロック」を選択します。
4. 右ペインで右クリックし、「新規初期化ブロック」を選択します。
5. 「初期化ブロック」ダイアログ・ボックスでは、初期化ブロックの名前を入力します。
6. 「データ・ソース接続」リストで「データベース」を選択します。
7. 「参照」をクリックして、このブロックが使用する接続プールの名前を検索します。
8. 「初期化文字列」領域で、認証時に発行されるSQL文を入力します。

   SQL文の列のデータベースによって返される値は、変数に割り当てられます。変数の順序および列の順序によって、どの列がどの変数に割り当てられるかが決定されます。次の例に示すSQLについて検討します。

   SELECT username, grp_name, SalesRep, 2 FROM securitylogons WHERE username = ':USER' and pwd = ':PASSWORD'

   このSQLには、WHERE句に2つの絞込み条件が含まれています。

   • :USER(コロンに注意)は、ログオン時にユーザーが入力した名前と同じです。

   • :PASSWORD(コロンに注意)は、ユーザーが入力したパスワードと同じです。

   ユーザー名とパスワードが、指定された表で見つかった値に一致する場合のみ、問合せによってデータが返されます。

   BIサーバー外でSQL文をテストし、:USERおよび:PASSWORDに有効な値を代入して、データの行が返されることを確認する必要があります。

9. この問合せによってデータが返されると、ユーザーは認証されて、セッション変数にデータが入力されます。この問合せは4つの列を返すため、4つのセッション変数が入力されます。「変数」タブの「新規」クリックして、これらの変数(USER、GROUP、DISPLAYNAMEおよびLOGLEVEL)を作成します。

   変数が目的の順序になっていない場合は、並べ替える変数をクリックし、「上へ」ボタンと「下へ」ボタンを使用して移動します。

10. 「OK」をクリックして初期化ブロックを保存します。

Oracle BIデリバーおよび外部初期化ブロックの認証について

Oracle BIスケジューラ・サーバーは、パスワードにアクセスしたりパスワードを格納しないで、ユーザーのためにOracle BIデリバー・ジョブを実行します。

Oracle BIスケジューラは、偽装と呼ばれるプロセスを使用して、1つのユーザー名とパスワードを使用し、このユーザー名とパスワードには、他のユーザーの代理で操作できるOracle Business Intelligenceの管理権限が付与されています。Oracle BIスケジューラは、Oracle Business Intelligenceの管理者名とパスワードを使用してOracle BIプレゼンテーション・サービスにログオンすることによって、エージェントを起動します。

デリバーの場合は、1つの接続プールですべてのデータベース認証を実行する必要があります。接続プールはUSERシステム・セッション変数の初期化ブロックでのみ選択できます。この初期化ブロックは、通常、認証初期化ブロックと呼ばれます。偽装を使用するときは、この認証初期化ブロックはスキップされます。他のすべての初期化ブロックは、データベース認証を使用しない接続プールを使用する必要があります。

重要:

認証初期化ブロックは、:USERと:PASSWORDが物理データベースに渡される接続プールを使用できる唯一の初期化ブロックです。

他の初期化ブロックについては、SQL文に:USERと:PASSWORDを使用できます。ただし、Oracle BIスケジューラ・サーバーにはユーザー・パスワードが格納されないため、次の例に示すように、WHERE句を構築する必要があります。

SELECT username, groupname, dbname, schemaname FROM users
WHERE username=':USER' 
NQS_PASSWORD_CLAUSE(and pwd=':PASSWORD')NQS_PASSWORD_CLAUSE

偽装を使用する場合、括弧内の情報はすべて実行時にSQL文から抽出されます。

『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のOracle BIデリバーに関する項の例を参照してください。

認証の順序

BIサーバーは、初期化ブロックに定義されている依存関係ルールで指定された希望する順序で、初期化ブロックを使用してセッション変数に値を移入します。

サーバーは、セッション変数USERを見つけると、USER変数が関連付けられている初期化ブロックの構成に基づいて、LDAPサーバーまたは外部データベース表に対する認証を実行します。

Oracle WebLogic Server管理コンソールで構成されたアイデンティティ・ストアに対する認証が最初に発生し、それが失敗すると、初期化ブロック認証が使用されます。

カスタム・オーセンティケータ・プラグインを使用する認証

初期化ブロックを使用して、カスタマイズされた認証モジュールを作成できます。

オーセンティケータは、顧客または開発者が記述したダイナミック・リンク・ライブラリ(DLL)、またはUNIXの共有オブジェクトであり、Oracle BIオーセンティケータのAPI仕様に準拠しています。このオーセンティケータをBIサーバーで使用して、実行時に認証およびその他のタスクを実行できます。認証モジュールは、キャッシュ・レイヤーを持つBIサーバー・モジュールであり、実行時にオーセンティケータを使用し、関連するタスクを実行します。

Oracle Technology Network (OTN)からダウンロードできるOracle BI EEサンプル・アプリケーションにサンプルのカスタム・オーセンティケータ・コードがあります。

認証オブジェクト(オーセンティケータ・プラグイン)を作成し、認証モジュールの一連のパラメータ(設定ファイル・パス、キャッシュ・エントリの数、キャッシュの有効期限など)を指定した後、認証オブジェクトを初期化ブロックに関連付ける必要があります。必須のUSER変数および他の変数を初期化ブロックに関連付けることができます。

ユーザーがログインし、認証に成功すると、初期化ブロックでの指定に従って変数のリストに値が移入されます。

カスタム・オーセンティケータは、カスタムCオーセンティケータ・プラグインを示すリポジトリのオブジェクトです。このオブジェクトは認証initブロックとともに使用され、BIサーバー・コンポーネントがカスタム・オーセンティケータに対してユーザーを認証できるようにします。認証で推奨される方式はOracle WebLogic Serverの組込みLDAPサーバーを使用する方式です。カスタム・オーセンティケータを引き続き使用できます。

1. 管理ツールで「管理」を選択してから「アイデンティティ」を選択します。ナビゲーション・ツリーで「カスタム認証システム」を選択します。次のオプションから選択します。

   • 右ペインで右クリックし、新しいカスタム・オーセンティケータを選択して、新しいカスタム・オーセンティケータを作成します。

   • 名前をダブルクリックして、カスタム・オーセンティケータを編集します。

2. 「カスタム認証システム」ダイアログで、必要なフィールドに値を入力します。

   • 認証システム・プラグイン: このカスタム認証システムのプラグインDLLのパスと名前。

   • 構成パラメータ: 構成のために明示的に公開されたこのカスタム認証システムのパラメータ。

   • 暗号化パラメータ: パスワードなど、暗号化されたこのカスタム認証システムのパラメータ。

   • キャッシュ永続時間: ログオンしたユーザーの認証キャッシュ・エントリが、このカスタム認証システムに対してリフレッシュされる間隔。

   • キャッシュ・エントリ数: Oracle BIサーバーの起動時に事前割当てされる、このカスタム・オーセンティケータの認証キャッシュの最大エントリ数。ユーザー数がこの限度を超えると、LRUアルゴリズムを使用してキャッシュ・エントリの入替えが行われます。この値に0を指定すると認証キャッシュは無効になります。

3. 「OK」をクリックします。

セッション変数の管理

システム・セッション変数は、初期化ブロックから値を取得し、LDAPサーバーやデータベース表など、外部ソースに対してOracle Business Intelligenceユーザーを認証するために使用されます。

アクティブなBIサーバーのセッションはすべて、セッション変数を生成し、初期化します。各セッション変数インスタンスは、異なる値へと初期化できます。『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のOracle BIリポジトリの変数の使用に関する項を参照してください。

サーバー・セッションの管理

管理ツール・セッション・マネージャは、アクティビティを監視するためにオンライン・モードで使用されます。

セッション・マネージャには、セッションにログインしているすべてのユーザー、各ユーザーのすべての現在の問合せリクエスト、および変数および選択されたセッションに対するそれらの値が示されます。さらに、管理ユーザーは任意のユーザーを切断し、セッション・マネージャを使って任意の問合せリクエストを終了できます。

セッション・マネージャのデータがどれくらい頻繁にリフレッシュされるかは、システム上のアクティビティの数によって変わります。任意の時点で表示をリフレッシュするには、「リフレッシュ」をクリックします。

セッション・マネージャの使用

セッション・マネージャには、上部ペインと下部ペインがあります。

• 上部ペインである「セッション」ペインには、BIサーバーに現在ログインしているユーザーが表示されます。更新速度を制御するには、「更新速度」リストから「標準」、「高」、または「低」を選択します。表示がリフレッシュされないようにするには、「一時停止」を選択します。

• 下部ペインには、2つのタブがあります。

  • 「リクエスト」タブには、「セッション」ペインで選択したユーザーのアクティブな問合せリクエストが表示されます。

  • 「変数」タブには、変数、および選択したセッションに対するそれらの値が表示されます。列ヘッダーをクリックすると、データをソートできます。

次の表に、「セッション・マネージャ」ダイアログの列を示します。

列名	説明
クライアント・タイプ	サーバーに接続されているクライアントのタイプ。
最終アクティブ時間	セッションの最後のアクティビティのタイムスタンプ。
ログオン時間	セッションがBIサーバーに最初に接続した時刻を示すタイムスタンプ。
リポジトリ	セッションが接続されているリポジトリの論理名。
セッションID	セッションが開始されたときに、BIサーバーが各セッションを割り当てる一意の内部識別子。
ユーザー	接続されているユーザーの名前。

列名	説明
最終アクティブ時間	問合せに対する最後のアクティビティのタイムスタンプ。
リクエストID	問合せが開始されたときに、BIサーバーが各問合せを割り当てる一意の内部識別子。
セッションID	セッションが開始されたときに、BIサーバーが各セッションを割り当てる一意の内部識別子。
開始時間	個々の問合せリクエストの時間。

『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のOracle BIリポジトリの変数の使用に関する項を参照してください。

1. 管理ツールで、オンライン・モードでリポジトリを開き、「管理」を選択してから「セッション」を選択します。

2. セッションを選択し、「変数」タブをクリックします。

3. ビューをリフレッシュするには、「リフレッシュ」をクリックします。

4. セッション・マネージャを閉じるには、「閉じる」をクリックします。

セッションからユーザーを切断するには、次のステップを実行します。

1. 管理ツールで、オンライン・モードでリポジトリを開き、「管理」を選択してから「セッション」を選択します。

2. セッション・マネージャの上部ペインでユーザーを選択します。

3. 「切断」をクリックします。

   ユーザー・セッションは、セッションが管理ユーザーによって終了されたことを示すメッセージを受け取ります。現在実行されている問合せはただちに終了され、基礎となるデータベースへの未処理の問合せも取り消されます。

4. セッション・マネージャを閉じるには、「閉じる」をクリックします。

アクティブな問合せを終了するには、次のステップを実行します。

1. 管理ツールで、オンライン・モードでリポジトリを開き、「管理」を選択してから「セッション」を選択します。
2. セッション・マネージャの上部ペインで、問合せを開始したユーザー・セッションを選択します。

   ユーザーを強調表示すると、そのユーザーのアクティブな問合せリクエストが下部ペインに表示されます。

3. 終了するリクエストを選択します。
4. 「リクエストの強制終了」をクリックして選択したリクエストを終了します。

   ユーザーは、問合せが管理ユーザーによって終了されたことを示すメッセージを受け取ります。問合せはただちに終了し、基礎となるデータベースへの未処理の問合せは取り消されます。

   他のリクエストを終了するには、このプロセスを繰り返します。

5. セッション・マネージャを閉じるには、「閉じる」をクリックします。

代替認可オプション

このリリースでは、下位互換性を維持するために、認証が初期化ブロックで行われる場合に初期化ブロックを使用してユーザーにアプリケーション・ロールのメンバーシップを設定する機能がサポートされています。

注意:

認証がOracle Platform Security Servicesで行われる場合、初期化ブロックを使用してアプリケーション・ロールのメンバーシップを設定することはできません。

この項では、次の項目について説明します。

• プレゼンテーション・サービスのセキュリティに影響する変更

• 初期化ブロックの使用による認可の設定

プレゼンテーション・サービスのセキュリティに影響する変更

以前のリリースからアップグレードした場合のベスト・プラクティスは、ポリシー・ストアに維持されているアプリケーション・ロールを使用して、カタログの権限およびカタログ・オブジェクトの管理を開始することです。

Oracle Business Intelligenceは、Oracle Fusion Middlewareセキュリティ・モデルを使用し、そのリソースはロールベースのシステムによって保護されます。これがユーザーのアップグレードにおいて重要であるのは、次のセキュリティ・モデルの変更がOracle BIプレゼンテーション・カタログの権限に影響するためです。

• 現在、認可はファイングレインJAAS権限に基づいています。ユーザーは、対応するアプリケーション・ロールのメンバーシップによって権限が付与されます。

• ユーザーとグループはアイデンティティ・ストアに維持され、BIサーバーには維持されなくなります。

• 権限はOracle BIプレゼンテーション・カタログに格納され続け、ポリシー・ストアの管理に使用する管理インタフェースからはアクセスできません。

• Everyoneカタログ・グループは利用できなくなり、AuthenticatedUserアプリケーション・ロールに置き換えられました。カタログ・グループEveryoneのメンバーは、アップグレード後に自動的にAuthenticatedUserロールのメンバーになります。

初期化ブロックの使用による認可の設定

これらのステップを使用して、初期化ブロックを使用してユーザーにアプリケーション・ロールのメンバーシップを設定します。

• ROLESまたはGROUPセッション変数を設定する初期化ブロックは、WebLogicセキュリティ・レルムで構成されたオーセンティケータによる認証にユーザーが失敗した場合のみ機能します。かわりに、ユーザーは、初期化ブロックを介して認証します。

• ROLESまたはGROUPの値を設定するように初期化ブロックを設定して、BIサーバーが両方の変数の値を同じにできるようにする必要があります。

• 初期化ブロックを使用してROLESまたはGROUPセッション変数を設定する場合は、Fusion Middleware Controlを使用して構成した1つ以上のアプリケーション・ロール(BIConsumerなど)に名前で一致するように、その変数の値を設定します。認証時、これらのアプリケーション・ロールと、そのロールに関連付けられている権限がユーザーに割り当てられます。

• 「Fusion Middleware Controlを使用したアプリケーション・ロールおよびアプリケーション・ポリシーの管理」を参照してください。

• 初期化ブロックを使用してROLESまたはGROUPセッション変数を設定する場合、前述のロジックを使用して、グループをアプリケーション・ロールに割り当てる処理が実行されます。この場合、グループをポリシー・ストアのアプリケーション・ロールに割り当てる処理は使用されません。

『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のOracle BIリポジトリの変数の使用に関する項を参照してください。

1. オフライン・モードまたはオンライン・モードで、リポジトリを管理ツールで開きます。
2. 管理ツールのメニューで「管理」を選択してから「変数」を選択します。
3. 「セッション」 - 「初期化ブロック」を選択します。
4. 右ペインで右クリックし、「新規初期化ブロック」を選択します。
5. 「セッション変数」 - 「初期化」の「名前」フィールドに、Authorizationと入力します。
6. 「データ・ソースの編集」をクリックします。
7. 「データ・ソース・タイプ」リストから「データベース」を選択します。
8. 行単位の初期化が使用されない場合は、グループのリストまたは単一グループを返すSQL文を入力します。
9. 「参照」をクリックして、接続プールを選択します。
10. 「選択」をクリックします。
11. 「OK」をクリックします。
12. 「OK」をクリックします。
13. 「データ・ターゲットの編集」をクリックします。
14. 「新規」をクリックします。
15. 「名前」フィールドにROLESと入力します。
16. 「OK」をクリックします。
17. ROLESセッション変数の特別目的についての警告が表示されたら、「はい」をクリックします。
18. 「OK」をクリックします。
19. 「認証のために必要」チェック・ボックスの選択を解除します。
20. 「OK」をクリックします。