2 デフォルト・セキュリティ構成を使用したセキュリティの管理

これらのトピックでは、サンプル・アプリケーションとともに組込みWebLogic LDAPサーバーを使用してOracle Business Intelligenceセキュリティをデプロイする方法について説明します。

サンプル・アプリケーションとともにデフォルトの組込みWebLogic LDAPサーバーをデプロイすることで、デフォルトのユーザー、グループおよびアプリケーション・ロールを使用できます。また、独自のユーザー、グループおよびアプリケーション・ロールを開発することもできます。

• ユーザー、グループおよびアプリケーション・ロールの使用

• ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例

• 組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理

• Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの管理

• Oracle BI管理ツールの使用によるメタデータ・リポジトリ権限の管理

• アプリケーション・ロールの使用によるPresentation Servicesの権限の管理

• BI Publisherの使用によるデータ・ソース・アクセスの権限の管理

• デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性の有効化

• ユーザーの削除

• Oracle BIプレゼンテーション・カタログでのセキュリティ・タスクの管理のためのruncatの使用

組込みWebLogic LDAPサーバーからユーザー(暗号化されたパスワードを使用)、グループ、ロールおよびポリシーを移行できます。『Oracle WebLogic Serverセキュリティの管理』の組込みLDAPサーバーでの情報のエクスポートおよびインポートに関する項を参照してください。

ユーザー、グループおよびアプリケーション・ロールの使用

BIインストールで使用できるサンプル・アプリケーションとともにOracle Business Intelligenceを構成する場合、BI機能を使用してBIフォルダ、レポート、データ列および他のオブジェクトにアクセスできるようにユーザーおよびグループをプロビジョニングするために、多数のアプリケーション・ロールが用意されています。

たとえば、Oracle Business Intelligenceの新しいインストールの後、サンプル・アプリケーションを使用した初期サービス・インスタンスの移入を選択した場合、構成ステップ中にBIドメインを作成するために指定されたユーザーにはアプリケーション・ロールBIServiceAdministratorが割り当てられます。さらに、サンプル・アプリケーションではアプリケーション・ロールBIContentAuthorおよびBIConsumerを提供し、これらのアプリケーション・ロールは連携して機能するように事前構成されます。たとえば、BIServiceAdministratorアプリケーション・ロールのメンバーであるユーザーは、BIContentAuthorおよびBIConsumerアプリケーション・ロールを自動的に継承するため、これらのすべてのアプリケーション・ロールに関連付けられたすべての権限がプロビジョニングされます。このセキュリティ構成については、「デフォルト・セキュリティ構成の理解」を参照してください。

サンプル・アプリケーション・ロールには、サンプルのOracle BIプレゼンテーション・カタログ、BIリポジトリおよびポリシー・ストアを操作できるように、適切な権限があります。たとえば、アプリケーション・ロールBIContentAuthorは、ダッシュボード、レポート、アクションなどの作成に必要な権限を備えて事前構成されます。

次の画面に、サンプルおよび初期アプリケーション・インストールで事前構成されるアプリケーション・ロール、グループおよびユーザーを示します。

図GUID-59113417-4DE4-4B88-8748-46FABEAA9FE5-default.pngの説明

最初にBIドメインを構成する場合、BIインストールに組み込まれているBIアプリケーション・アーカイブ(BAR)・ファイルのいずれかに基づいて、サービス・インスタンスが作成されます。各BIアプリケーションには、管理アプリケーション・ロールとしてタグ付けされているアプリケーション・ロールが含まれます。この管理アプリケーション・ロールの名前は、BIアプリケーション・アーカイブの開発者または作成者によって決まります。BIインストールで使用できるサンプル、初期および空のアプリケーションの場合、この管理アプリケーション・ロールの名前はBIServiceAdministratorです。これらのアプリケーションの作成者は、このアプリケーション・ロールのメンバーがシステムを管理できるように、このアプリケーション・ロールに対する特定の権限セットおよび権限が割り当てられます。BIサービス・インスタンスが作成されると、BIシステム管理者はサービス・インスタンスの所有者(ユーザー)を指定します。BIアーカイブ・ファイルがサービス・インスタンスにインポートされる場合は常に、システムにより、管理アプリケーション・ロールがサービス・インスタンス所有者に割り当てられます。

注意:

11gアップグレード・バンドルを12cサービス・インスタンスにインポートする場合、システムにより、管理アプリケーション・ロールとしてアプリケーション・ロールBIAdministratorが自動的にタグ付けされます。

『Oracle Business Intelligenceのインストールと構成』および『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のimportServiceInstanceに関する項を参照してください。

サンプル・アプリケーション・ロールを使用して、セキュリティをデプロイできます。固有のグループおよびアプリケーション・ロールを作成して、ビジネス・ニーズを満たすことができます。次に例を示します。

• Fredという名前の従業員に、ダッシュボードおよびレポートの作成を可能にする場合、Fredという名前の新規ユーザーを作成し、FredをデフォルトのBIContentAuthorsグループに割り当てることができます。
• FredをSalesダッシュボード作成者として割り当てる場合は、リポジトリ内のSalesサブジェクト・エリアの表示およびSalesダッシュボードの編集の権限を持つSales_ Dashboard_ Authorという名前のアプリケーション・ロールを作成します。
• ユーザーFredがBIContentAuthorsおよびSales_Dashboard_Author職務を実行できるようにする場合は、BIContentAuthors権限およびSales_Dashboard_Author権限を持つBIManagerという新しいアプリケーション・ロールを作成します。

「デフォルト・セキュリティ構成の理解」を参照してください。

ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例

この例では、小さいセットのユーザー、グループおよびアプリケーション・ロールを使用して、セキュリティ・モデルの設定方法を示します。この例では、次を実装します。

• ビジネス・インテリジェンス・レポートを表示する必要がある、User1、User2およびUser3という名前の3ユーザー
• ビジネス・インテリジェンス・レポートを作成する必要がある、User4およびUser5という名前の2ユーザー
• Oracle Business Intelligenceを管理する、User6およびUser7という名前の2ユーザー。

次の図に、このセキュリティ・モデルの例を実装するためにデプロイするユーザー、グループおよびアプリケーション・ロールを示します。

図GUID-4613974B-199C-40DB-A29E-01FACBC2B625-default.pngの説明

この図には次のことが示されています。

• BIConsumersという名前のグループには、User1、User2およびUser3が含まれています。グループBIConsumersのユーザーには、BIConsumerという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはレポートを表示できます。
• BIContentAuthorsという名前のグループには、User4およびUser5が含まれています。グループBIContentAuthorsのユーザーには、BIContentAuthorという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはレポートを作成できます。
• BIServiceAdministratorsという名前のグループには、User6およびUser7が含まれています。グループBIServiceAdministratorsのユーザーには、BIServiceAdministratorという名前のアプリケーション・ロールが割り当てられています。これによりユーザーはリポジトリを管理できます。

関連項目:

• 組込みWebLogic LDAPサーバーにおける新規ユーザーの作成

• 組込みWebLogic LDAPサーバーにおける新規グループの作成

• 組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て

1. User1からUser 7という名前の7ユーザーを作成します。
2. グループBIConsumers、BIContentAuthorsおよびBIServiceAdministratorsを作成します。
3. デフォルトのグループに、次のようにユーザーを割り当てます。
   1. BIConsumersという名前のグループに、User1、User2およびUser3を割り当てます。
   2. BIContentAuthorsという名前のグループに、User4およびUser5を割り当てます。
   3. BIServiceAdministratorsという名前のグループに、User6およびUser7を割り当てます
4. 次の手順に従って、グループをサンプル・アプリケーション・ロールに割り当てます。
   1. BIConsumersグループをBIConsumerアプリケーション・ロールのメンバーにします。
   2. BIContentAuthorsグループをBIContentAuthorアプリケーション・ロールのメンバーにします。
   3. BIServiceAdministratorsグループをBIServiceAdministratorアプリケーション・ロールのメンバーにします。

組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理

この項では、組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理方法を説明します。次のトピックがあります:

• 新規グループおよび新規アプリケーション・ロールへのユーザーの割当て
• 組込みWebLogic LDAPサーバーにおける新規ユーザーの作成
• 組込みWebLogic LDAPサーバーにおける新規グループの作成
• 組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て
• ユーザーの削除
• 組込みWebLogic LDAPサーバーにおけるユーザー・パスワードの変更

新規グループおよび新規アプリケーション・ロールへのユーザーの割当て

ユーザーを作成して新しいグループおよび新しいアプリケーション・ロールに割り当てることで、セキュリティ・モデルを拡張できます。

たとえば、Jimという名前のユーザーを作成し、BIMarketingRoleという名前のアプリケーション・ロールに割り当てられるBIMarketingGroupグループにJimを割り当てることができます。

ユーザーをグループおよびアプリケーション・ロールに割り当てるプロセスは、次のとおりです。

1. WebLogic管理コンソールを起動します。
2. 新規ユーザーを作成
3. 新規グループの作成
4. ユーザーをグループに割り当てます。
5. アプリケーション・ロールを作成し、新しいグループに割り当てます。
6. Oracle BIリポジトリを編集し、新しいアプリケーション・ロールの権限を設定します。
7. Oracle BIプレゼンテーション・カタログを編集し、新しいユーザーおよびグループの権限を設定します。

組込みWebLogic LDAPサーバーにおける新規ユーザーの作成

通常、Oracle Business Intelligence環境では、ビジネス・ユーザーごとに別々のユーザーを作成します。たとえば、レポート・コンシューマを30ユーザー、レポート作成者を3ユーザー、および管理者を1ユーザー、デプロイするように計画できます。この場合、Oracle WebLogic Server管理コンソールを使用して、適切なグループに割り当てる34個のユーザーを作成します。

ログインできるすべてのユーザーには、組込み認証済アプリケーション・ロールによって付与された基本レベルの操作権限が与えられますサービス・インスタンスにインポートされるBIアプリケーションの作成者は、認証されたすべてのユーザーがBIアプリケーションの権限を付与されたアプリケーション・ロールのメンバーであるようにセキュリティ・ポリシーを設計している場合があります。「サンプル・アプリケーションを使用したセキュリティ構成」を参照してください

DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。

1. Oracle WebLogic Server管理コンソールにログインします。
2. Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルム(myrealmなど)をクリックします。
3. 「ユーザーとグループ」タブ→「ユーザー」を選択します。「新規」をクリックします。
4. 「新規ユーザーの作成」の「名前」に、ユーザーの名前を入力します。
5. (オプション)「説明」で、ユーザーに関する追加情報を提供します。
6. 「プロバイダ」リストで、ユーザー情報が含まれるアイデンティティ・ストアに対応する認証プロバイダを選択します。
7. 「パスワード」に、ユーザーのパスワードを8文字以上の長さで入力します。
8. 「パスワードの確認」に、ユーザー・パスワードを再入力します。
9. 「OK」をクリックします。

組込みWebLogic LDAPサーバーにおける新規グループの作成

Oracle Business Intelligence環境では、ビジネス・ユーザーの機能タイプごとに別々のグループを作成できます。

標準的なデプロイメントには、BIConsumers、BIContentAuthorsおよびBIServiceAdministratorsという3つのグループが必要となる場合があります。これらの名前でグループを作成したり、Oracle Business Intelligenceとともに使用するようにグループを構成したり、独自のカスタム・グループを作成できます。

「ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例」を参照してください。

DefaultAuthenticatorは、デフォルト認証プロバイダです。

1. Oracle WebLogic Server管理コンソールを起動します。
2. Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、myrealmです。
3. 「ユーザーとグループ」タブをクリックし、「グループ」をクリックします。
4. 「新規」をクリックします。
5. 「新規グループの作成」の「名前」フィールドに、一意のグループ名を入力します。
6. (オプション)「説明」フィールドに、グループの構成に関する簡単なメモを入力します。
7. 「プロバイダ」リストで、グループ情報が含まれるアイデンティティ・ストアに対応する認証プロバイダを選択します。
8. 「OK」をクリックします

組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て

通常は、各ユーザーを適切なグループに割り当てます。たとえば、標準的なデプロイメントには、レポート・コンシューマをBIConsumersという名前のグループに割り当てるためのユーザーIDの作成が必要となる場合があります。この場合は、BIConsumersという名前のデフォルトのグループにユーザーを割り当てるか、作成したカスタム・グループにユーザーを割り当てることができます。

「ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例」および「Oracle WebLogic Server管理コンソールの使用」を参照してください。

1. Oracle WebLogic Server管理コンソールを起動します。
2. Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルム(myrealmなど)をクリックします。
3. 「ユーザーとグループ」タブ→「ユーザー」を選択します。
4. 「ユーザー」表で、グループに追加するユーザーを選択します。
5. 「グループ」タブを選択します。
6. 「使用可能」リストから1つまたは複数のグループを選択します。
7. 「保存」をクリックします。

ユーザーの削除

ユーザーが不要になった場合、新しく作成された同じユーザーが古いアクセスの権限を継承しないように、システムからユーザーIDを完全に削除する必要があります。認証およびアクセスの権限がユーザーIDに割り当てられるため、この状況が発生する可能性があります。

ユーザーを削除するには、ポリシー・ストア、Oracle BIプレゼンテーション・カタログ、メタデータ・リポジトリおよびアイデンティティ・ストアからユーザーを取り除きます。

『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のユーザー・コマンドの削除に関する項を参照してください。

Oracle WebLogic Server LDAP以外のアイデンティティ・ストアを使用している場合、使用するアイデンティティ・ストアに適切な手順に従ってください。

ユーザーをアプリケーション・ロールに関連付けている場合、そのアプリケーション・ロールを更新して、そのユーザーに対するすべての参照を削除する必要があります。

1. ユーザーをポリシー・ストアから削除します。
2. deleteusersコマンドを使用して、Oracle BIプレゼンテーション・カタログおよびメタデータ・リポジトリのユーザーを削除します。
3. Oracle WebLogic Server管理コンソールにログインします。
4. 「セキュリティ・レルム」を選択し、ユーザーが含まれるレルム(myrealmなど)を選択します。
5. 「ユーザーとグループ」タブをクリックし、「ユーザー」をクリックします。
6. ユーザーを選択し、「削除」をクリックします。
7. 「ユーザーの削除」で、「はい」をクリックします。
8. 「OK」をクリックします。

組込みWebLogic LDAPサーバーにおけるユーザー・パスワードの変更

このオプションのタスクを実行して、ユーザーのデフォルト・パスワードを変更します。

システム・ユーザーのパスワードを変更する場合は、資格証明ストアでも変更する必要があります。

1. Oracle WebLogic Server管理コンソールで「セキュリティ・レルム」を選択し、構成するレルム(myrealmなど)をクリックします。
2. 「ユーザーとグループ」タブをクリックし、「ユーザー」を選択します。
3. 「ユーザー」表で、変更されたパスワードを受信するユーザーを選択します。
4. ユーザーの「設定」ページで、「パスワード」タブを選択します。
5. パスワードを「新規パスワード」フィールドと「パスワードの確認」フィールドに入力します。
6. 「保存」をクリックします。

Fusion Middleware Controlを使用したアプリケーション・ロールおよびアプリケーション・ポリシーの管理

アプリケーション・ロールおよびアプリケーション・ポリシーにより、ユーザーおよびグループに権限を付与します。

サービス・インスタンスを作成した後またはBIアプリケーション・アーカイブ(BAR)ファイルをサービス・インスタンスにインポートした後、アイデンティティ・ストアのユーザーおよびグループがサービス・インスタンスに定義されているアプリケーション・ロールに正しくマップされるように、サービス・インスタンスのセキュリティ・ポリシーを確認する必要があります。各BIアプリケーション・ファイルは、固有のセキュリティ・ポリシーを含むことができます。ベスト・プラクティスとして、BIアプリケーション・アーカイブ・ファイルをインポートした後、サービス・インスタンスのセキュリティ・ポリシーを確認します。

アプリケーションのBIメタデータを含むBIアプリケーション・アーカイブ・ファイルには、ユーザーへの権限のプロビジョニングに使用できる事前定義済のアプリケーション・ロールが含まれます。たとえば、サンプル・アプリケーションにはアプリケーション・ロールBIConsumer、BIContentAuthorおよびBIServiceAdministratorが含まれます。ユーザーに権限をプロビジョニングするには、アイデンティティ・ストア(通常はLDAPディレクトリ)のユーザーおよびグループを、定義されたアプリケーション・ロールにマップします。

重要:

Oracle Enterprise Manager Fusion Middleware Controlを使用して、権限付与に基づく操作を管理します。Oracle WebLogic Scripting Tool (WLST)コマンドを使用して、権限セット付与に基づく操作を実行する必要があります。grantEntitlementに関する項およびrevokeEntitlementに関する項を参照してください。『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』ガイドのOPPSセキュリティ・ストアWLSTコマンドに関する項を参照してください。

より複雑またはきめ細かなセキュリティ・モデルを作成する場合は、独自のアプリケーション・ロールおよびアプリケーション・ポリシーを作成できます。たとえば、マーケティング部門のレポート作成者に、メタデータ・リポジトリおよびOracle BIプレゼンテーション・カタログのマーケティング領域への書込みアクセス権のみを付与するとします。BIContentMarketingという名前の新規アプリケーション・ロールを作成し、そのロールに適切な権限を提供できます。

関連項目:

• Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除。

  デフォルトの事前構成済アプリケーション・ポリシーに基づいてアプリケーション・ロールを作成したり、独自のアプリケーション・ポリシーを作成できます。「ユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。

• Fusion Middleware Controlを使用したアプリケーション・ポリシーの作成
• Fusion Middleware Controlを使用したアプリケーション・ロールの変更

Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示

Fusion Middleware Controlで権限セット付与を割り当てられているアプリケーション・ポリシーおよびアプリケーション・ロールを表示できます。

Fusion Middleware Controlでは、権限付与および権限セット付与が表示されます。権限付与に基づく操作のみを実行できます。Fusion Middleware Controlを使用して権限付与をアプリケーション・ロールに追加した場合は、Fusion Middleware Controlを使用してそのアプリケーション・ロールを削除できます。

権限セット付与を管理するには、WLSTコマンドを使用する必要があります。『Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のOPSSセキュリティ・ストアWLSTコマンドに関する項を参照してください。

1. Fusion Middleware Controlにログインします。
2. 「ターゲット・ナビゲーション」アイコンを選択して、ナビゲーション・ペインを開きます。
3. ナビゲーション・ペインから「Business Intelligence」フォルダを展開し、biinstanceを選択します。
4. 次のいずれかのオプションを選択します。

   • biinstanceを右クリックし、「セキュリティ」を選択して、「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択します。

   • またはコンテンツ・ペインから、「Business Intelligenceインスタンス」をクリックしてメニューを表示し、「セキュリティ」→「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択します。

     Fusion Middleware Controlの他の「セキュリティ」メニュー・オプションは、これらのメニューからは使用できません。

5. 「アプリケーション・ポリシー」または「アプリケーション・ロール」を選択して、「アプリケーション・ポリシー」ページまたは「アプリケーション・ロール」ページを表示します。

Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除

Fusion Middleware Controlを使用して、アプリケーション・ロールを作成、削除および管理します。

新しいOracle Business Intelligenceのデプロイメントでは、Oracle Business Intelligence環境でのビジネス・ユーザー・アクティビティのタイプごとにアプリケーション・ロールを作成します。たとえば、サンプル・アプリケーションまたは初期アプリケーションに基づくデプロイメントには、アプリケーション・ロールBIConsumer、BIContentAuthorおよびBIServiceAdministratorが含まれる場合があります。BIシステム管理者またはサービス管理者のように、アプリケーション・ロールまたはBARファイルで提供されているアプリケーション・ロールに割り当てられた権限セットを変更しないでください。

Oracle Business Intelligenceアプリケーション・ロールは、ユーザーに割り当てられているロールを表します。たとえば、セールス・アナリストのアプリケーション・ロールにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。サービス・インスタンスの管理者は、アプリケーション・ロールを作成および変更できます。アプリケーション・ロールをディレクトリ・サーバー・グループから分離して区別しておくことで、認可要件に対応しやすくなります。企業のディレクトリ・サーバーで定義されているグループを変更することなく、実際の環境のビジネス・ロールと一致する新規アプリケーション・ロールを作成できます。認可要件を制御する場合は、ディレクトリ・サーバーの既存のユーザー・グループをアプリケーション・ロールに割り当てることができます。

新規アプリケーション・ロールを作成し、そのアプリケーション・ロールをOracle Business Intelligenceサービス・インスタンスに追加する前に、権限およびグループの継承がどのように動作するかを理解してください。ロールの階層を構築するときは、循環依存が生じないことが重要です。「グループおよびアプリケーション・ロールを使用したユーザーへの権限の付与」を参照してください。

『Oracle Platform Security Servicesによるアプリケーションの保護』のポリシー・ストアの管理に関する項を参照してください。

「メタデータ・リポジトリでのアプリケーション・ロールの管理 - 高度なセキュリティ構成トピック」を参照してください。

• アプリケーション・ロールの作成

• 既存のロールからのアプリケーション・ロールの作成
• アプリケーション・ロールへのグループの割当て
• アプリケーション・ロールの削除

アプリケーション・ロールの作成

これらのステップを使用して、Fusion Middleware Controlでアプリケーション・ロールを作成します。

アプリケーション・ロールにメンバーを追加することもできます。『Oracle Platform Security Servicesによるアプリケーションの保護』のアプリケーション・ロール名の文字に関する項を参照してください。

既存のロールをコピーして、アプリケーション・ロールを作成できます。「既存のロールからのアプリケーション・ロールの作成」を参照してください。

アプリケーション・ロールの有効メンバーには、ユーザー、グループおよび他のアプリケーション・ロールがあります。

アプリケーション・ロールのメンバーシップは、Fusion Middleware Controlの「アプリケーション・ロール」ページを使用して制御されます。

権限および権限セット付与の定義がアプリケーション・ポリシーで設定され、その後、アプリケーション・ポリシーがアプリケーション・ロールに付与されます。「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。権限および権限セット付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページに表示されます。

1. Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを選択します。
2. 「アプリケーション・ロール」で、「アプリケーション・ストライプ」フィールドの値がobiであることを確認し、「ロール名」の横にある検索アイコンをクリックします。
3. 「作成」をクリックします。
4. 「アプリケーション・ロール」の「ロール名」に、無効な特殊文字や空白を含まないアプリケーション・ロール名を入力します。
5. 「表示名」に、ユーザー・インタフェースに表示されるアプリケーション・ロール名を入力します。
6. (オプション)「説明」に、アプリケーション・ロールの使用に関する説明を入力します。
7. 「メンバー」セクションで、「追加」をクリックします。
8. 「プリンシパルの追加」で、「タイプ」リストから「アプリケーション・ロール」、「グループ」または「ユーザー」を選択します。
9. (オプション)「プリンシパル名」および「表示名」フィールドで、検索基準を入力し、「検索」をクリックします。
10. 「検索済プリンシパル」で、結果を選択し、「OK」をクリックします。

既存のロールからのアプリケーション・ロールの作成

既存のアプリケーション・ロールをコピーして、アプリケーション・ロールを作成できます。

コピーには元と同じメンバーが含まれ、元と同じアプリケーション・ポリシーの権限受領者となります。変更を加えて、新しいアプリケーション・ロールをカスタマイズできます。

『Oracle Platform Security Servicesによるアプリケーションの保護』のアプリケーション・ロール名の文字に関する項を参照してください。

1. Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
2. 「アプリケーション・ストライプ」リストからobiを選択します。
3. 「ロール名」の横にある検索アイコンをクリックします。
4. コピーするアプリケーション・ロールをリストから選択します。
5. 「類似作成」をクリックします。
6. 「一般」セクションの「ロール名」に、無効な文字や空白が使用されていないアプリケーション・ロール名を入力します。
7. (オプション)「表示名」に、アプリケーション・ロールの表示名を入力します
8. (オプション)「説明」に、アプリケーション・ロールの使用に関する説明を入力します。
9. 「メンバー」セクションで、「追加」をクリックします。

   「メンバー」セクションに、元のロールに割り当てられている同じアプリケーション・ロール、グループまたはユーザーが表示されます。

10. 「プリンシパルの追加」で、「タイプ」リストから「アプリケーション・ロール」を選択します。
11. (オプション)「プリンシパル名」および「表示名」フィールドで、検索基準を入力し、「検索」をクリックします。
12. 「検索済プリンシパル」で、結果を選択し、「OK」をクリックします。
13. 必要に応じてメンバーを変更し、「OK」をクリックします。

アプリケーション・ロールへのグループの割当て

グループをアプリケーション・ロールに割り当て、そのグループ内のユーザーに適切なセキュリティ権限を提供します。たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とするとします。この場合、BIMarketingGroupという名前のグループをBIConsumerMarketingという名前のアプリケーション・ロールに割り当てます。

「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。

obiアプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。

1. Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
2. 必要に応じて、「アプリケーション・ストライプ」のリストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
3. リスト内のアプリケーション・ロールを選択し、「編集」をクリックして、「アプリケーション・ロールの編集」ダイアログを表示します。
4. 「ロール名」で、使用するアプリケーション・ロールを選択します。
5. (オプション)「表示名」に、ユーザー・インタフェースに表示するアプリケーション・ロール名を入力します。
6. (オプション)「説明」に、アプリケーション・ロールの使用に関する簡単な説明を入力します。
7. 「メンバー」セクションで「追加」をクリックして、「ロール」リストに割り当てるグループを追加します。

   たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とする場合は、BIMarketingGroupという名前のグループを「ロール」リストに追加します。

8. 「OK」をクリックして、「アプリケーション・ロール」ページに戻ります。

アプリケーション・ロールの削除

アプリケーション・ロールを削除する場合は、最初にシステム管理者に連絡してからにしてください。

「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。

1. Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
2. 削除するアプリケーション・ロールを選択します。
3. 「削除」をクリックし、「はい」をクリックして、アプリケーション・ロールの削除を確認します。

Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成

デフォルトのアプリケーション・ポリシーに基づいてアプリケーション・ポリシーを作成するか、独自のアプリケーション・ポリシーを作成できます。

Oracle Business Intelligence Enterprise Edition 12cでは、権限セットおよび権限を使用します。権限セットは、権限のコレクションで、資格とも呼ばれます。Oracle BI EE 12cで使用できるすべての権限が権限セットにグループ化されます。サンプルまたは初期アプリケーションがサービス・インスタンスにインポートされると、アプリケーション・ロールに割り当てられた権限セットが表示されます。Oracle BI EE 11gアップグレード・バンドルがサービス・インスタンスにインポートされると、Oracle BI EE 11gシステムからの権限が、移行されたアプリケーション・ロールに割り当てられた新しい権限セットが補足されて表示されます

Fusion Middleware Controlでは、権限セット付与の表示のみ許可します。アプリケーション・ロールに対する権限セット付与は変更できません。Fusion Middleware Controlでは、アプリケーション・ロールに対する権限付与を変更できます。Oracle BI EE 12cでは、アプリケーション・ロールに対する権限セット付与を更新する必要がある場合、WLSTコマンドラインを使用する必要があります。『Oracle Platform Security Servicesによるアプリケーションの保護』のWLSTを使用したポリシーの管理に関する項を参照してください。

既存のアプリケーション・ポリシーを使用して、アプリケーション・ポリシーを作成できます。

プリンシパルは、ポリシー権限受領者の名前を表します。

1. 「Fusion Middleware Control」にログインし、「アプリケーション・ポリシー」ページを表示します。
2. 「アプリケーション・ストライプ」リストからobiを選択して、「名前」の隣の検索アイコンをクリックします。
3. 表から既存のポリシーを選択します。
4. 「類似作成」をクリックし、「アプリケーション権限の類似作成」ページを表示します。
5. 「権限受領者」領域の「アプリケーション・ロールの追加」をクリックし、「アプリケーション・ロールの追加」ダイアログを表示して、アプリケーション・ロールをポリシーに追加します。
6. 「検索」領域に情報を入力し、「表示名」フィールドの隣の青の検索ボタンをクリックします。
7. 「検索済プリンシパル」リストから選択して、「OK」をクリックします。

   選択されたアプリケーション・ロールが「アプリケーション権限の類似作成」ページに「権限受領者」として追加され、表示されます。

8. 「OK」をクリックして、「アプリケーション・ポリシー」ページに戻ります。

Fusion Middleware Controlを使用したアプリケーション・ロールの変更

次のように、対応するアプリケーション・ポリシーの権限セット付与を変更したり(アプリケーション・ロールがアプリケーション・ポリシーの権限受領者である場合)、アプリケーション・ロールのメンバーを変更したり、アプリケーション・ロールの名前変更または削除を行うことで、アプリケーション・ロールを変更できます。

• アプリケーション・ポリシーへのアプリケーション・ロールの追加
• アプリケーション・ロールのメンバーの追加または削除
• アプリケーション・ロール名の変更

『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlによるポリシーの管理に関する項を参照してください。

アプリケーション・ポリシーへのアプリケーション・ロールの追加

Fusion Middleware Controlを使用してアプリケーション・ロールをアプリケーション・ポリシーに追加することによってアプリケーション・ロールの権限付与を変更する場合は、この手順を使用します。

権限付与の変更の場合、Fusion Middleware Controlで次のタスクを実行できます。権限セット付与を変更するには、Oracle WebLogic Server管理コンソールを使用する必要があります。

1. Fusion Middleware Controlにログインします
2. 「ターゲット・ナビゲーション」をクリックします。
3. 「ターゲット・ナビゲーション」で、「Business Intelligence」を展開し、biinstanceを選択します。
4. biinstanceリストで、「セキュリティ」を選択してから「アプリケーション・ポリシー」を選択します。
5. 「アプリケーション・ポリシー」で、「アプリケーション・ストライプ」からobiを選択します。
6. プリンシパル・ロールの横にある矢印をクリックして、関連するアプリケーション・ロールを検索します。
7. 「プリンシパル」列で、アプリケーション・ロールを選択し、「編集」をクリックします。
8. 「権限受領者」で、「追加」をクリックします。
9. 「プリンシパルの追加」で、アプリケーション・ロールを検索します。
10. アプリケーション・ロールの追加後、「権限」で「追加」をクリックします。
11. 「権限の追加」で、アプリケーション・ロールを付与する権限を選択します。

アプリケーション・ロールのメンバーの追加または削除

Fusion Middleware Controlを使用して、アプリケーション・ロールのメンバーを追加または削除できます。

これらのタスクは、Oracle Business IntelligenceがインストールされているWebLogicドメイン(bifoundation_domainなど)で実行する必要があります。アプリケーション・ロールの有効なメンバーは、ユーザー、グループまたはその他のアプリケーション・ロールです。

個々のユーザーではなくグループをアプリケーション・ロールに割り当ててから、これらのグループにユーザーを割り当てることをお薦めします。

注意:

このアプリケーション・ロールに割り当てられた権限の変更によりシステムが使用できない状態のままの可能性があるため、管理アプリケーション・ロールにタグ付けされているアプリケーション・ロールの権限付与およびメンバーシップを変更する場合に注意してください。

「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。

1. Fusion Middleware Controlにログインし、「アプリケーション・ロール」ページを表示します。
2. まだ表示されていない場合、「アプリケーション・ストライプ」を選択し、リストからobiを選択して、「ロール名」の隣の検索アイコンをクリックします。
3. アプリケーション・ロール名の横のセルを選択し、「編集」をクリックして「アプリケーション・ロールの編集」ページを表示します。
4. メンバーを削除するには、メンバーの「名前」を選択し、「削除」ボタンをアクティブにして、「削除」をクリックします。
5. 「追加」をクリックしてメンバーを追加します。
   1. 「タイプ」フィールド・リストから、「アプリケーション・ロール」、「グループ」または「ユーザー」を選択します。
   2. (オプション)「プリンシパル名」および「表示名」フィールドに検索の詳細を入力します。
   3. 「検索」をクリックします。
   4. 「検索済プリンシパル」の結果から選択します。
   5. 「OK」をクリックします。
6. 「アプリケーション・ロールの編集」ページで「OK」をクリックし、「アプリケーション・ロール」ページに戻ります。

『Oracle Platform Security Servicesによるアプリケーションの保護』のアプリケーション・ロールの管理に関する項を参照してください。

アプリケーション・ロール名の変更

既存のアプリケーション・ロールの名前は直接変更できません。更新できるのは表示名のみです。

アプリケーション・ロール名を変更するには、そのアプリケーション・ロールに使用されていたものと同じアプリケーション・ポリシーを使用して新しいアプリケーション・ロールを作成し、古いアプリケーション・ロールを削除する必要があります。新しいアプリケーション・ロールを作成する際に、新しい名前を指定します。Oracle BIプレゼンテーション・カタログとメタデータ・リポジトリの両方で、古いアプリケーション・ロールへの参照を、新しいアプリケーション・ロールへの参照に更新する必要もあります。

カタログおよびメタデータ・リポジトリのアプリケーション・ロールの名前を変更するには、『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のアプリケーション・ロールの名前変更コマンドに関する項の説明に従って、renameAppRolesコマンドを使用します。

Oracle BI管理ツールの使用によるメタデータ・リポジトリ権限の管理

Oracle BI管理ツールでIdentity Managerを使用して、アプリケーション・ロールの権限を管理し、サブジェクト・エリアや表などのオブジェクトに対するアクセス権限を設定します。

Oracle BI管理ツールを使用して、次のようにOracle BIリポジトリでセキュリティを構成します。

• アプリケーション・ロールのメタデータ・リポジトリ権限の設定
• メタデータ・リポジトリでのアプリケーション・ロールの管理 - 高度なセキュリティ構成トピック

アプリケーション・ロールのメタデータ・リポジトリ権限の設定

サービス・インスタンスのデータ・モデルには、列やサブジェクト・エリアなどのデータ・モデルの様々な部分にアクセスする権限を定義するためにセキュリティ・ポリシーが含まれます。

データ・モデルの作成者は管理ツールを使用して、アプリケーション・ロールのデータ・モデル権限の割当てを含むこのセキュリティ・ポリシーを維持します。

サービス・インスタンスを作成するか、BIアプリケーション・アーカイブ・ファイルをサービス・インスタンスにインポートする場合、データ・モデルのセキュリティ・ポリシーがBIアプリケーション・アーカイブ・ファイルからインポートされます。

『Oracle Business Intelligence Enterprise Edition XMLスキーマ・リファレンス』のアプリケーション・ロールに対するプレゼンテーション・サービスの権限の設定に関する項およびコマンドライン・ツールを使用した権限の設定に関する項を参照してください。

ベスト・プラクティスは、個々のユーザーの権限ではなく、アプリケーション・ロールの権限を変更することです。

「プレゼンテーション」ペイン内のあるオブジェクトの権限を表示するには、そのオブジェクトを右クリックし、「権限レポート」を選択して、ユーザーとアプリケーション・ロールのリスト、および選択したオブジェクトの権限を表示します。

1. Oracle BI管理ツールでリポジトリをオンライン・モードで開きます。
2. 「プレゼンテーション」パネルで、権限を設定するサブジェクト・エリアまたはサブフォルダに移動します。
3. サブジェクト・エリアまたはサブフォルダを右クリックし、「プロパティ」を選択してプロパティ・ダイアログを表示します。
4. 「権限」をクリックします。
5. 権限の<subject area name>のプロパティで、「すべてのユーザー/アプリケーション・ロールを表示」をクリックします(このチェック・ボックスが選択されていない場合)。
6. 権限の<subject area name>のダイアログで、「ユーザー/アプリケーション・ロール」権限を実際のセキュリティ・ポリシーに一致するように更新します。

   たとえば、ユーザーがダッシュボードおよびレポートを作成できるようにするには、アプリケーション・ロールのリポジトリ権限を「読取り」から「読取り/書込み」に変更します。

メタデータ・リポジトリでのアプリケーション・ロールの管理 - 高度なセキュリティ構成トピック

アプリケーション・ロールの定義はポリシー・ストアで保持されます。また、変更は管理インタフェースを使用して行う必要があります。

リポジトリは、ポリシー・ストア・データのコピーを保持して、リポジトリ開発を促進します。Oracle BI管理ツールでは、リポジトリのコピーからアプリケーション・ロール・データが表示され、ポリシー・ストア・データはリアルタイムでは表示されません。オフライン・リポジトリの作業中にポリシー・ストアを変更すると、ポリシー・ストアがリポジトリと次に同期化するまで、管理ツールで使用できなくなります。ポリシー・ストアは、BIサーバーの再起動時には常にデータをリポジトリ・コピーと同期化します。データに不一致がある場合は、エラー・メッセージが表示されます。

オフライン・モードでのリポジトリの使用中に、使用可能なアプリケーション・ロールではその時点で必要なメンバーシップまたは権限付与を満たさないことに気付く場合があります。オフライン・リポジトリ開発を促進するために、アプリケーション・ロールのプレースホルダの定義を管理ツールで作成できます。ただし、これは管理ツールで表示される単なるプレースホルダであり、実際のアプリケーション・ロールではありません。管理ツールから実際のアプリケーション・ロールを作成することはできません。アプリケーション・ロールは、ポリシー・ストアの管理に使用可能な管理インタフェースを使用して、ポリシー・ストアでのみ作成できます。

アプリケーション・ロールは、リポジトリがオンラインに戻る前に、管理ツールを使用して作成されたアプリケーション・ロール・プレースホルダごとに、ポリシー・ストアで定義される必要があります。オフライン・モードの間に作成されたロール・プレースホルダ付きリポジトリの場合、有効なアプリケーション・ロールがポリシー・ストアに作成される前に、オンラインになります。その後、そのアプリケーション・ロール・プレースホルダは管理ツール・インタフェースで表示されなくなります。オフライン・リポジトリ開発でロール・プレースホルダを使用する際は、リポジトリをオンラインに戻す前に、ポリシー・ストアにおいて対応するアプリケーション・ロールを必ず作成します。

アプリケーション・ロールの使用によるPresentation Servicesの権限の管理

サービス・インスタンスのカタログには、プレゼンテーション・サービス権限のセキュリティ・ポリシーが含まれます。これらの権限は、フォルダや分析などのカタログ・オブジェクトの権限とともにアンサーへのアクセス、ダッシュボードへのアクセスなどの特定のプレゼンテーション・サービス機能にアクセスする権限を付与します。

サービス・インスタンスを作成するか、BIアプリケーション・アーカイブ・ファイルをサービス・インスタンスにインポートする場合、カタログのセキュリティ・ポリシー(プレゼンテーション・サービスの権限)がBIアプリケーション・アーカイブ・ファイルからインポートされます。サービス管理者は、カタログ・セキュリティ・ポリシーを変更できます。

アプリケーション・ロールを使用して権限を管理します。

グループがアプリケーション・ロールに割り当てられる場合、グループ・メンバーは、関連付けられたプレゼンテーション・サービスの権限を自動的に付与されます。これは、Oracle Business Intelligenceの権限に加えて付与されます。

ヒント:

ユーザーがメンバーとなっているアプリケーション・ロールのリストは、プレゼンテーション・サービスの「マイ・アカウント」ダイアログの「ロールおよびグループ」タブから使用できます。

Presentation Servicesの権限について

プレゼンテーション・サービスの権限はプレゼンテーション・サービス管理の「権限の管理」ページで管理され、分析やダッシュボードの作成などのプレゼンテーション・サービス機能へのアクセス権を付与または拒否します。プレゼンテーション・サービスの権限は他のOracle Business Intelligenceコンポーネントには影響しません。

プレゼンテーション・サービス権限が割り当てられているアプリケーション・ロールのメンバーは、それらの権限をユーザーに付与します。アプリケーション・ロールに割り当てられたプレゼンテーション・サービスの権限は、プレゼンテーション・サービス管理の「権限の管理」ページを使用して、権限付与を追加または削除することで変更できます。

プレゼンテーション・サービス権限は、明示的におよび継承によってユーザーに付与できます。ただし、明示的なプレゼンテーション・サービス権限の拒否は、グループまたはアプリケーション・ロール階層の結果として付与または継承されたユーザー・アクセス権限よりも優先されます。

• アプリケーション・ロールに対するPresentation Servicesの権限の設定
• BIプレゼンテーション・サービスでの資格証明の暗号化 - 高度なセキュリティ構成トピック

アプリケーション・ロールに対するPresentation Servicesの権限の設定

アプリケーション・ロールを作成する場合、そのアプリケーション・ロールでユーザーが様々な機能タスクを実行できるように、適切なPresentation Servicesの権限を設定する必要があります。

たとえば、BISalesAdministratorという名前のアプリケーション・ロールを保持したユーザーが、Oracle Business Intelligenceでアクションを作成できるようにします。この場合は、「起動アクションの作成」という名前の権限を付与します。

ポリシー・ストアの管理に使用する管理インタフェースを使用して、プレゼンテーション・サービスの権限を割り当てることはできません。新規アプリケーション・ロールを作成し、Oracle Business Intelligenceの権限を付与する場合、Oracle Business Intelligenceの権限に加えて、その新規ロールにプレゼンテーション・サービスの権限を設定する必要があります。

注意:

プレゼンテーション・サービスの権限を新規アプリケーション・ロールにプログラム的に割り当てることができます。『Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のSecurityServiceサービスに関する項を参照してください

管理者権限がないユーザーとしてログインする場合、「管理」オプションは表示されません。

プレゼンテーション・サービスの権限を明示的に拒否することは、グループまたはアプリケーション・ロール階層の結果として付与または継承されたユーザー・アクセス権よりも優先されます。

既存のカタログ・グループは、アップグレード・プロセスの間に移行されます。既存のOracle BIプレゼンテーション・カタログ・セキュリティ構成をロールベースのOracle Fusion Middlewareセキュリティ・モデル・ベースに移行する場合は、各カタログ・グループを対応するアプリケーション・ロールと置き換える必要があります。既存のプレゼンテーション・サービス構成を複製するには、各カタログ・グループを、同じOracle BIプレゼンテーション・カタログ権限を付与する対応するアプリケーション・ロールと置き換えます。その後、プレゼンテーション・サービスから元のカタログ・グループを削除できます。

1. 管理者権限のあるユーザーとしてOracle BIプレゼンテーション・サービスにログインします。
2. プレゼンテーション・サービスのホーム・ページで「管理」を選択します。
3. 「セキュリティ」領域で、「権限の管理」をクリックします。
4. 管理する権限の横のアプリケーション・ロールをクリックします。

   たとえば、BIConsumerという名前のアプリケーション・ロールに対して、Access to Scorecardという名前の権限を管理するには、Access to Scorecardの横の「BIConsumer」リンクをクリックします。

   権限<privilege_name>のダイアログを使用して、アプリケーション・ロールを権限リストに追加し、アプリケーション・ロールに権限を付与したりアプリケーション・ロールから権限を取り消します。たとえば、選択した権限をアプリケーション・ロールに付与するには、アプリケーション・ロールを「権限」リストに追加する必要があります。

5. 次のようにアプリケーション・ロールを「権限」リストに追加します。
   1. 「ユーザー/ロールの追加」をクリックします。
   2. リストから「アプリケーション・ロール」を選択し、「検索」をクリックします。
   3. 結果リストからアプリケーション・ロールを選択します。
   4. シャトル・コントロールを使用して、アプリケーション・ロールを「選択済メンバー」リストに移動します。
   5. 「OK」をクリックします。
6. 「権限」リストで「権限付与」または「拒否」を選択することで、アプリケーション・ロールの権限を設定します。
7. 変更を保存します。

BIプレゼンテーション・サービスでの資格証明の暗号化 - 高度なセキュリティ構成トピック

BIサーバーおよびプレゼンテーション・サービスのクライアントは、ログインおよびパスワード暗号化について業界標準のセキュリティをサポートしています。

エンド・ユーザーがWebブラウザにユーザー名およびパスワードを入力すると、BIサーバーはHypertext Transport Protocol Secure (HTTPS)規格を使用して、情報をセキュアなOracle BIプレゼンテーション・サービス・ポートに送信します。情報は、Oracle BIプレゼンテーション・サービスからトリプルDES (データ暗号化規格)を使用して、ODBCを介してBIサーバーに渡されます。これにより、高度なセキュリティ(168ビット)が実現し、認可されていないユーザーがデータにもOracle Business Intelligenceメタデータにもアクセスできないようになります。

データベース・レベルでは、Oracle Business Intelligence管理ユーザーがデータベース・セキュリティおよび認証を実装します。固有キーベースの暗号化によってセキュリティを提供し、未認可ユーザーがメタデータ・リポジトリにアクセスできないようにします。

BI Publisherの使用によるデータ・ソース・アクセスの権限の管理

BI Publisherの管理ページを使用して、BI Publisherに保持されているデータ・ソース・アクセスの権限を管理できます。

データ・ソース・アクセスの権限では、データ・ソースへのアプリケーション・ロールによるアクセスが制御されます。ユーザーが次のタスクを実行するには、そのユーザーに、特定のデータ・ソース・アクセスの権限が付与されたアプリケーション・ロールが割り当てられる必要があります。

• データ・ソースに対するデータ・モデルを作成する。
• データ・ソースに対するデータ・モデルを編集する。
• データ・ソースから構築されたデータ・モデルを使用して作成されたレポートを表示する。

『Oracle Business Intelligence Publisher管理者ガイド』のデータ・アクセスの付与に関する項を参照してください。

デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性の有効化

この手順を使用して、デフォルトのWebLogic LDAPアイデンティティ・ストアの使用時にクラスタ環境で高可用性を実現します。

クラスタ環境で、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性を有効にするようにvirtualize属性を構成します。virtualize属性値をtrueに設定すると、Oracle BI EEプロセスは、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアのローカル・コピーに対する検索を認証して実行できるローカルの管理対象サーバーを参照します。

プロパティ名virtualizeには小文字を使用します。プロパティ名OPTIMIZE_SEARCHには大文字を使用します。

1. Fusion Middleware Controlにログインします。
2. ナビゲーション・ペインから「WebLogicドメイン」フォルダを展開し、「bi」を選択します。
3. 「bi」を右クリックして「セキュリティ」、「セキュリティ・プロバイダ構成」の順に選択し、「セキュリティ・プロバイダ構成」ページを表示します。
4. 「セキュリティ・ストア・プロバイダ」および「アイデンティティ・ストア・プロバイダ」領域を展開し、「構成」をクリックして、「アイデンティティ・ストア構成」ページを表示します。
5. 「カスタム・プロパティ」領域で「追加」オプションを使用し、次のカスタム・プロパティを追加します。

   • プロパティName=virtualize Value=true

   • プロパティName=OPTIMIZE_SEARCH Value=true

6. 変更を保存する場合は、「OK」をクリックします。
7. 管理サーバー、管理対象サーバーおよびOracle BI EEコンポーネントを再起動します。

Oracle BIプレゼンテーション・カタログでのセキュリティ・タスクの管理のためのruncatの使用

Windows、Linux、IBM-AIX、Sun Solaris、HP-UXなど、Oracle Business Intelligenceでサポートされているプラットフォーム上でコマンドライン・ユーティリティを起動できます。

Linuxでコマンド・ライン・ユーティリティの使用方法のヘルプを表示するには、次のようなコマンドを入力します。

./runcat.sh -help

次の構文を使用して、カタログ・グループの権限をアプリケーション・ロールの権限へ変換します。

runcat.cmd/runcat.sh -cmd replaceAccountInPermissions -old <catalog_group_name> -oldType group -new <application_role_name> -newType role -offline <catalog_path>

『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle BIプレゼンテーション・カタログのオープンに関する項を参照してください。

「アプリケーション・ロール名の変更」を参照してください。

Oracle BIプレゼンテーション・カタログ・アイテムのセットに対するユーザー権限のレポート

次の構文を使用して、Oracle BIプレゼンテーション・カタログのすべての権限および権限の持ち主をレポートします。次に例を示します。

runcat.cmd/runcat.sh -cmd report -online http://localhost:8080/analytics/saw.dll -credentials c:/oracle/catmancredentials.properties -outputFile c:/temp/report.txt -delimiter "\t" -folder "/system/privs" -mustHavePrivilege -type "Security ACL" -fields "Path:Accounts" "Must Have Privilege"

ヘルプには次のコマンドを使用します。

runcat.sh -cmd report -help