Oracle® Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド 12c (12.2.1.3.0) E80600-02 |
|
![]() 前 |
![]() 次 |
内容は次のとおりです。
BI Publisherでは、管理者であるスーパーユーザーを定義することができます。
スーパーユーザーの資格証明を使用して、定義されたセキュリティ・モデル経由でログインすることなく、BI Publisherサーバー管理機能に直接アクセスできます。
構成済のセキュリティ・モデルに障害が発生したときにすべての管理機能にアクセスできるように、スーパーユーザーを設定します。スーパーユーザーの設定を強くお薦めします。BI PublisherがOracle Business Intelligence Enterprise Editionカタログを使用するように構成されている場合は、スーパーユーザーがカタログを操作することはできません。
ローカル・スーパーユーザーを有効化する手順は次のとおりです。
BI Publisherでは、ゲスト・フォルダを定義することにより、特定のレポートに対するパブリック・アクセスを構成できます。すべてのユーザーは、資格証明を入力することなくこのフォルダのレポートにアクセスできます。
注意:
BI Publisherが共有カタログを使用している、またはOracle Business Intelligence Enterprise Editionでインストールされている場合、ゲスト・アクセスはサポートされません。
シングル・サインオンでは、ゲスト・アクセスはサポートされません。
ゲスト・ユーザーがアクセス権限を持っているのはゲスト・フォルダに対してのみであるため、レポートの表示に必要なすべてのオブジェクトは、ゲスト・フォルダに含まれている必要があります。したがって、レポートやデータ・モデル、および、該当する場合にはサブ・テンプレートやスタイル・テンプレートも、ゲスト・フォルダに含まれている必要があります。ゲスト・ユーザーには読取りアクセス権のみを付与する必要があります。
ゲスト・ユーザーには、レポート・データソースに対するアクセス権も付与する必要があります。
ゲスト・アクセスを有効にするには:
BI Publisherにアクセスすると、ログオン・ページに「ゲスト」ボタンが表示されます。このボタンをクリックしたユーザーは、資格証明を入力することなく、選択したゲスト・フォルダのレポートを表示できます。
信頼できるユーザー名とパスワードが渡されたときにインターセプトされる可能性があるため、Webサービスをホスティングする中間層でSecure Socket Layer(HTTPS)を有効にすることを強くお薦めします。
また、BI PublisherとOracle BI Presentation Servicesとの間の通信に使用されるWebサービスも同様です。
SSLをBI Publisherで有効化するためのタスクは、次のとおりです。
『Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』のエンドツーエンドSSLの有効化に関する項を参照してください。
Secure Sockets Layer(SSL)で保護されているWebサービスをコールする場合は、そのWebサービスをホスティングするWebサーバーから証明書をエクスポートしてから、BI Publisherを実行しているコンピュータのJavaキーストアにその証明書をインポートする必要があります。
Webサービスの証明書をインポートする手順は次のとおりです。
サーバー証明書がVeriSignなどの認証局にリンクしている場合は、この手順は不要です。ただし、Webサービスのサーバーで自己生成証明書を使用している場合(テスト環境内など)は、これらの手順が必要になります。
プロパティ"virtualize"をFusion Middleware Controlの「アイデンティティ・ストア構成」に追加して、BI PublisherでSSLを有効化する必要があります。
virtualizeプロパティを追加する手順は、次のとおりです。
Fusion Middleware Control 12cにログインします。
https://<Host>/<SecureAdminPort>/em
「WebLogicドメイン」→「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。
「セキュリティ・ストア・プロバイダ」セグメントを開きます。
「アイデンティティ・ストア・プロバイダ」セグメントを展開します。
「構成」をクリックします。
「追加」(+)をクリックして、新しいプロパティを追加します。
「新規プロパティの追加」ダイアログに、次のように入力します
プロパティ名 — virtualize
値 — true
「アイデンティティ・ストア・プロバイダ」ページで、「OK」をクリックします。
次のようにして、jps-config.xml
ファイルに追加されたプロパティを確認します。
次の場所で、jps-config.xml
ファイルを開きます
<DomainHome>/config/fmwconfig/jps-config.xml
ファイルに次のラインが含まれていることを確認します。
<property name="virtualize" value="true"/>
SSLが有効化されている場合、BI PublisherをOracle BI EEにデータソースとして接続するには、デフォルトの接続の文字列を更新する必要があります。
「Oracle BI ServerへのJDBC接続の設定」のガイドラインの説明に従ってください。
次のようにして、スケジューラJMSの構成を更新し、SSL URLを使用します。
JMSの構成を更新する手順は次のとおりです。
BI Publisherの「管理」ページで、「システム・メンテナンス」の下の「スケジューラ構成」をクリックします。
「WebLogic JNDI URL」を更新し、SSLを使用します。次に例を示します。
「スケジューラ診断」タブを選択します。
接続が診断に渡されたことを確認します。
BI Publisherに組込みのデフォルトの証明書を使用する場合は、これ以上の構成は必要はありません。
Verisignなどの信頼できる認証局により署名された証明書をサーバーで使用する場合でも、SSLはデフォルト証明書で動作します。
ユーザーが自己署名証明書でSSLを使用する場合は、「配信オプションの構成」に説明されているとおりに、「配信構成」ページに証明書の情報を入力する必要があります。自己署名証明書とは信頼できる認証局以外(通常はユーザー)によって署名された証明書のことです。
cookie-secureフラグは、HTTPS接続を介してのみCookieを送信するようにWebブラウザに伝えます。
これにより、Cookieは必ずセキュアなチャネル上でのみ送信されます。アプリケーションによって公開されたURLに対してHTTPSを有効にする必要があります。
cookie-secureフラグを有効化するには、次のようにして、weblogic.xml
をxmlpserver.war
ファイル(xmlpserver.ear
内)で更新します。
xmlpserver.ear
ファイルを、ORACLE_HOME/bifoundation/jee/
の下で特定します
xmlpserver.ear
ファイルを解凍します。
xmlpserver.war
ファイルを解凍します。
WEB-INF/weblogic.xml
ファイルをバックアップします。
WEB-INF/weblogic.xml
ファイルを開きます。
<wls:session-descriptor>
に次の属性を追加します。
<wls:cookie-secure>true</wls:cookie-secure> <wls:url-rewriting-enabled>false</wls:url-rewriting-enabled>
例:
<?xml version = '1.0' encoding = 'US-ASCII'?> <wls:weblogic-web-app xmlns:wls="http://xmlns.oracle.com/weblogic/weblogic-web-app" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/ejb-jar_3_0.xsd http://xmlns.oracle.com/weblogic/weblogic-web-app http://xmlns.oracle.com/weblogic/weblogic-web-app/1.2/weblogic-web-app.xsd"> <wls:session-descriptor> <wls:cookie-path>/xmlpserver</wls:cookie-path> <wls:cookie-secure>true</wls:cookie-secure> <wls:url-rewriting-enabled>false</wls:url-rewriting-enabled> </wls:session-descriptor> <wls:context-root>xmlpserver</wls:context-root> <wls:library-ref> ...
xmlpserver.war
ファイルを再パッケージ化します。
xmlpserver.ear
ファイルを再パッケージします。
WebLogic Serverコンソールへ進み、bipublisherデプロイメントを更新します。
BI Publisherサーバーがファイアウォールの背後に構成されているか、インターネットへのアクセスにプロキシが必要になる場合、外部WebサービスやHTTPデータソースを使用するには、Webサービス・リクエストを許可し、プロキシを認識するように、Oracle WebLogic Serverを構成する必要があります。
プロキシ設定を構成する場合は、BI Publisherが(プロキシ経由ではなく)直接接続する必要のあるすべてのホスト(Oracle BI Enterprise Editionホストなど)を認識するようにWebLogic Serverを構成する必要があります。次のパラメータを設定して、WebLogic Serverにプロキシ・ホストと非プロキシ・ホストを定義します。
-Dhttp.proxyHost
- プロキシ・ホストを指定します。次に例を示します。
-Dhttp.proxyHost=www-proxy.example.com
-Dhttp.proxyPort
- プロキシ・ホストのポートを指定します。次に例を示します。
-Dhttp.proxyPort=80
-Dhttp.nonProxyHosts
- プロキシ経由ではなく、直接接続するホストを指定します。ホストのリストを指定する場合は、それぞれを「|」で区切って指定します。また、マッチングにワイルドカード文字(*)を使用することもできます。次に例を示します。
-Dhttp.nonProxyHosts="localhost|*.example1.com|*.example2.com
WebLogic Serverにこれらのプロキシ・パラメータを設定し、Webサービスの構成を行うには、WebLogicのsetDomainEnvスクリプトに次の内容を追加します。
iframeでのBI Publisherの埋込みを阻止できます。
BI Publisherの埋込みの構成
デフォルトでは、iframeとBI Publisherのドメインが同じである場合にかぎり、ユーザーはiframeにBI Publisherを埋め込むことができます。
別のドメインに属するiframeでのBI Publisherの埋込みを許可する場合、またはiframeへのBI Publisherの埋込みを完全に制限する場合は、xmlp-server-config.xmlファイルのX_FRAME_OPTIONSプロパティとFRAME_ANCESTORSプロパティに適切な値を入力してください。
注意:
X_FRAME_OPTIONSをDeny
に設定して、FRAME_ANCESTORSをnone
に設定すると、BI Publisherを埋め込むことができる他の製品(Oracle BI Enterprise Editionなど)からBI Publisherのユーザー・インタフェースにアクセスできなくなります。X_FRAME_OPTIONSとFRAME_ANCESTORSの両方の値を指定する場合、使用する値はブラウザによって異なります。ブラウザ間で動作の整合性が保たれるように、X_FRAME_OPTIONSとFRAME_ANCESTORSには類似する値を指定してください。X_FRAME_OPTIONSの値
値 | 指定内容 |
---|---|
False |
ヘッダー・オプションを設定しません。 |
Deny |
iframeでのBI Publisherの埋込みをユーザーに許可しません。 |
SameOrigin |
同じドメインのiframeでのBI Publisherの埋込みをユーザーに許可します。これはデフォルトです。 |
Allow-From url |
urlパラメータに指定されたドメインのみのBI Publisherの埋込みをユーザーに許可します。 |
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Optionsを参照してください。
FRAME_ANCESTORSの値
値 | 指定内容 |
---|---|
False |
ヘッダー・オプションを設定しません。 |
none |
iframeでのBI Publisherの埋込みをユーザーに許可しません。 |
self |
同じドメインのiframeでのBI Publisherの埋込みをユーザーに許可します。これはデフォルトです。 |
url | urlパラメータに指定されたドメインのみのBI Publisherの埋込みをユーザーに許可します。 このURLは繰り返し使用でき、複数の形式で指定できます。 |
https://www.w3.org/TR/CSP2/#directive-frame-ancestorsを参照してください。