4 その他のセキュリティに関するトピック

この章では、SSL構成、プロキシ設定、ローカル・スーパーユーザーの有効化およびゲスト・ユーザーの有効化など、BI Publisherの他のセキュリティに関するトピックについて説明します。

内容は次のとおりです。

• ローカル・スーパーユーザーの有効化

• ゲスト・ユーザーの有効化

• Secure Socket Layer (SSL) 通信用のBI Publisherの構成

• セキュアなCookieの有効化

• プロキシ設定の構成

• iframeでのBI Publisherの埋込み制限

ローカル・スーパーユーザーの有効化

BI Publisherでは、管理者であるスーパーユーザーを定義することができます。

スーパーユーザーの資格証明を使用して、定義されたセキュリティ・モデル経由でログインすることなく、BI Publisherサーバー管理機能に直接アクセスできます。

構成済のセキュリティ・モデルに障害が発生したときにすべての管理機能にアクセスできるように、スーパーユーザーを設定します。スーパーユーザーの設定を強くお薦めします。BI PublisherがOracle Business Intelligence Enterprise Editionカタログを使用するように構成されている場合は、スーパーユーザーがカタログを操作することはできません。

ローカル・スーパーユーザーを有効化する手順は次のとおりです。

1. 「管理」をクリックします。
2. 「セキュリティ・センター,」で「セキュリティ構成」を選択します。
3. 次に示すように、「ローカル・スーパーユーザー」のボックスを選択し、スーパーユーザーの資格証明を入力します。
   
   

   
   図GUID-A5242435-3E6F-49C6-812C-0A468BC59E9A-default.gifの説明

   
   
4. BI Publisherアプリケーションを再起動します。

ゲスト・ユーザーの有効化

BI Publisherでは、ゲスト・フォルダを定義することにより、特定のレポートに対するパブリック・アクセスを構成できます。すべてのユーザーは、資格証明を入力することなくこのフォルダのレポートにアクセスできます。

注意:

BI Publisherが共有カタログを使用している、またはOracle Business Intelligence Enterprise Editionでインストールされている場合、ゲスト・アクセスはサポートされません。

シングル・サインオンでは、ゲスト・アクセスはサポートされません。

ゲスト・ユーザーがアクセス権限を持っているのはゲスト・フォルダに対してのみであるため、レポートの表示に必要なすべてのオブジェクトは、ゲスト・フォルダに含まれている必要があります。したがって、レポートやデータ・モデル、および、該当する場合にはサブ・テンプレートやスタイル・テンプレートも、ゲスト・フォルダに含まれている必要があります。ゲスト・ユーザーには読取りアクセス権のみを付与する必要があります。

ゲスト・ユーザーには、レポート・データソースに対するアクセス権も付与する必要があります。

ゲスト・アクセスを有効にするには:

1. 「共有フォルダ」の下に、パブリック・アクセスを付与するフォルダを作成します。
2. 「管理」をクリックします。
3. 「セキュリティ・センター」,で「セキュリティ構成」を選択します。
4. 「ゲスト・アクセス」で、「ゲスト・アクセスを許可」を選択します。
5. 次に示すように、パブリック・アクセス用に作成したフォルダの名前を入力します。
   
   

   
   図GUID-C5453B68-000B-4695-8D46-21D5BD178345-default.gifの説明

   
   
6. BI Publisherアプリケーションを再起動します。
7. ゲスト・ユーザーがアクセスできるゲスト・フォルダに、フォルダ、レポート、データ・モデル、サブ・テンプレート、スタイル・テンプレートなどのオブジェクトを追加します。

   注意:

   レポートは、ゲスト・フォルダに格納されているデータ・モデルを参照する必要があります。したがって、レポートとそのデータ・モデルを別の場所からコピーする場合は、必ず、そのレポートを開いてデータ・モデルを選択しなおし、レポートがゲスト・フォルダ内のデータ・モデルを参照するようにします。

   同様に、サブ・テンプレートやスタイル・テンプレートに対する参照も更新する必要があります。

8. ゲスト・フォルダのデータ・モデルで使用されるデータソースに対するアクセス権を付与します。データソースに対するゲスト・アクセス権の付与の詳細は、「データソースの設定」を参照してください。

BI Publisherにアクセスすると、ログオン・ページに「ゲスト」ボタンが表示されます。このボタンをクリックしたユーザーは、資格証明を入力することなく、選択したゲスト・フォルダのレポートを表示できます。

Secure Socket Layer(SSL)通信用のBI Publisherの構成

信頼できるユーザー名とパスワードが渡されたときにインターセプトされる可能性があるため、Webサービスをホスティングする中間層でSecure Socket Layer(HTTPS)を有効にすることを強くお薦めします。

また、BI PublisherとOracle BI Presentation Servicesとの間の通信に使用されるWebサービスも同様です。

SSLをBI Publisherで有効化するためのタスクは、次のとおりです。

• SSLで保護されたWebサービスの証明書のインポート

• アイデンティティ・ストア構成へのvirtualizeプロパティの追加

• Oracle BI EEデータソースのJDBC接続文字列の更新

• JMS構成の更新

• 配信マネージャの構成

『Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』のエンドツーエンドSSLの有効化に関する項を参照してください。

SSLで保護されたWebサービスの証明書のインポート

Secure Sockets Layer(SSL)で保護されているWebサービスをコールする場合は、そのWebサービスをホスティングするWebサーバーから証明書をエクスポートしてから、BI Publisherを実行しているコンピュータのJavaキーストアにその証明書をインポートする必要があります。

Webサービスの証明書をインポートする手順は次のとおりです。

1. WSDLが存在するHTTPSサイトにナビゲートします。
2. 画面上の指示に従って証明書をダウンロードします。表示される指示は、使用しているブラウザによって異なります。
3. 次のように、Java keytoolを使用して証明書をキーストアにインストールします。

   keytool -import -file <certfile> -alias <certalias> -keystore <keystore file>
   

4. アプリケーション・サーバーを再起動します。

サーバー証明書がVeriSignなどの認証局にリンクしている場合は、この手順は不要です。ただし、Webサービスのサーバーで自己生成証明書を使用している場合(テスト環境内など)は、これらの手順が必要になります。

アイデンティティ・ストア構成へのvirtualizeプロパティの追加

プロパティ"virtualize"をFusion Middleware Controlの「アイデンティティ・ストア構成」に追加して、BI PublisherでSSLを有効化する必要があります。

virtualizeプロパティを追加する手順は、次のとおりです。

1. Fusion Middleware Control 12cにログインします。

   https://<Host>/<SecureAdminPort>/em

2. 「WebLogicドメイン」→「セキュリティ」→「セキュリティ・プロバイダ構成」を選択します。

3. 「セキュリティ・ストア・プロバイダ」セグメントを開きます。

4. 「アイデンティティ・ストア・プロバイダ」セグメントを展開します。

5. 「構成」をクリックします。

   1. 「追加」(+)をクリックして、新しいプロパティを追加します。

   2. 「新規プロパティの追加」ダイアログに、次のように入力します

      プロパティ名 — virtualize

      値 — true

      
      

      
      図GUID-225DE7FF-1D07-45D4-8412-865AD81A6944-default.jpgの説明

      
      

6. 「アイデンティティ・ストア・プロバイダ」ページで、「OK」をクリックします。

   
   

   
   図GUID-8EBED04A-A0FC-4F1B-B95D-C57E36F6405C-default.jpgの説明

   
   

7. 次のようにして、jps-config.xmlファイルに追加されたプロパティを確認します。

   1. 次の場所で、jps-config.xmlファイルを開きます

      <DomainHome>/config/fmwconfig/jps-config.xml

   2. ファイルに次のラインが含まれていることを確認します。

      <property name="virtualize" value="true"/>

Oracle BI EEデータソースのJDBC接続文字列の更新

SSLが有効化されている場合、BI PublisherをOracle BI EEにデータソースとして接続するには、デフォルトの接続の文字列を更新する必要があります。

「Oracle BI ServerへのJDBC接続の設定」のガイドラインの説明に従ってください。

JMS構成の更新

次のようにして、スケジューラJMSの構成を更新し、SSL URLを使用します。

JMSの構成を更新する手順は次のとおりです。

1. BI Publisherの「管理」ページで、「システム・メンテナンス」の下の「スケジューラ構成」をクリックします。

2. 「WebLogic JNDI URL」を更新し、SSLを使用します。次に例を示します。

   
   

   
   図GUID-F3C6791F-3816-43B0-AD94-61CF57139B93-default.jpgの説明

   
   
3. 「適用」をクリックします。

4. 「スケジューラ診断」タブを選択します。

5. 接続が診断に渡されたことを確認します。

配信マネージャの構成

BI Publisherに組込みのデフォルトの証明書を使用する場合は、これ以上の構成は必要はありません。

Verisignなどの信頼できる認証局により署名された証明書をサーバーで使用する場合でも、SSLはデフォルト証明書で動作します。

ユーザーが自己署名証明書でSSLを使用する場合は、「配信オプションの構成」に説明されているとおりに、「配信構成」ページに証明書の情報を入力する必要があります。自己署名証明書とは信頼できる認証局以外(通常はユーザー)によって署名された証明書のことです。

セキュアなCookieの有効化

cookie-secureフラグは、HTTPS接続を介してのみCookieを送信するようにWebブラウザに伝えます。

これにより、Cookieは必ずセキュアなチャネル上でのみ送信されます。アプリケーションによって公開されたURLに対してHTTPSを有効にする必要があります。

cookie-secureフラグを有効化するには、次のようにして、weblogic.xmlをxmlpserver.warファイル(xmlpserver.ear内)で更新します。

1. xmlpserver.earファイルを、ORACLE_HOME/bifoundation/jee/の下で特定します

2. xmlpserver.earファイルを解凍します。

3. xmlpserver.warファイルを解凍します。

4. WEB-INF/weblogic.xmlファイルをバックアップします。

5. WEB-INF/weblogic.xmlファイルを開きます。

6. <wls:session-descriptor>に次の属性を追加します。

      <wls:cookie-secure>true</wls:cookie-secure>
      <wls:url-rewriting-enabled>false</wls:url-rewriting-enabled>
   

   例:

   <?xml version = '1.0' encoding = 'US-ASCII'?>
   <wls:weblogic-web-app
   xmlns:wls="http://xmlns.oracle.com/weblogic/weblogic-web-app"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
   xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
   http://java.sun.com/xml/ns/javaee/ejb-jar_3_0.xsd
   http://xmlns.oracle.com/weblogic/weblogic-web-app
   http://xmlns.oracle.com/weblogic/weblogic-web-app/1.2/weblogic-web-app.xsd">
     <wls:session-descriptor>
      <wls:cookie-path>/xmlpserver</wls:cookie-path>
      <wls:cookie-secure>true</wls:cookie-secure>
      <wls:url-rewriting-enabled>false</wls:url-rewriting-enabled>
     </wls:session-descriptor>
     <wls:context-root>xmlpserver</wls:context-root>
      <wls:library-ref>
   ... 
   

7. xmlpserver.warファイルを再パッケージ化します。

8. xmlpserver.earファイルを再パッケージします。

9. WebLogic Serverコンソールへ進み、bipublisherデプロイメントを更新します。

プロキシ設定の構成

BI Publisherサーバーがファイアウォールの背後に構成されているか、インターネットへのアクセスにプロキシが必要になる場合、外部WebサービスやHTTPデータソースを使用するには、Webサービス・リクエストを許可し、プロキシを認識するように、Oracle WebLogic Serverを構成する必要があります。

プロキシ設定を構成する場合は、BI Publisherが(プロキシ経由ではなく)直接接続する必要のあるすべてのホスト(Oracle BI Enterprise Editionホストなど)を認識するようにWebLogic Serverを構成する必要があります。次のパラメータを設定して、WebLogic Serverにプロキシ・ホストと非プロキシ・ホストを定義します。

• -Dhttp.proxyHost - プロキシ・ホストを指定します。次に例を示します。

  -Dhttp.proxyHost=www-proxy.example.com

• -Dhttp.proxyPort - プロキシ・ホストのポートを指定します。次に例を示します。

  -Dhttp.proxyPort=80

• -Dhttp.nonProxyHosts - プロキシ経由ではなく、直接接続するホストを指定します。ホストのリストを指定する場合は、それぞれを「|」で区切って指定します。また、マッチングにワイルドカード文字(*)を使用することもできます。次に例を示します。

  -Dhttp.nonProxyHosts="localhost|*.example1.com|*.example2.com

WebLogic Serverにこれらのプロキシ・パラメータを設定し、Webサービスの構成を行うには、WebLogicのsetDomainEnvスクリプトに次の内容を追加します。

1. MW_HOME/user_projects/domains/DOMAIN_NAME/bin/directoryのsetDomainEnvスクリプト(.shまたは.bat)を開きます。
2. 次のパラメータを入力します。

   EXTRA_JAVA_PROPERTIES="-Dhttp.proxyHost=www-proxy.example.com -Dhttp.proxyPort=80 -Dhttp.nonProxyHosts=localhost|*.mycompany.com|*.mycorporation.com|*.otherhost.com ${EXTRA_JAVA_PROPERTIES}"
   export EXTRA_JAVA_PROPERTIES
    
    EXTRA_JAVA_PROPERTIES="-Djavax.xml.soap.MessageFactory=oracle.j2ee.ws.saaj.soap.MessageFactoryImpl 
   -Djavax.xml.soap.SOAPFactory=oracle.j2ee.ws.saaj.SOAPFactoryImpl -Djavax.xml.soap.SOAPConnectionFactory=oracle.j2ee.ws.saaj.client.p2p.HttpSOAPConnectionFactory  ${EXTRA_JAVA_PROPERTIES}"
   export EXTRA_JAVA_PROPERTIES
   

   ここで

   www-proxy.example.comは、プロキシ・ホストの例です。

   80は、プロキシ・ポートの例です。

   localhost|*.mycompany.com|*.mycorporation.com|*.otherhost.comは、非プロキシ・ホストの例です。

iframeでのBI Publisherの埋込み制限

iframeでのBI Publisherの埋込みを阻止できます。

BI Publisherの埋込みの構成

デフォルトでは、iframeとBI Publisherのドメインが同じである場合にかぎり、ユーザーはiframeにBI Publisherを埋め込むことができます。

別のドメインに属するiframeでのBI Publisherの埋込みを許可する場合、またはiframeへのBI Publisherの埋込みを完全に制限する場合は、xmlp-server-config.xmlファイルのX_FRAME_OPTIONSプロパティとFRAME_ANCESTORSプロパティに適切な値を入力してください。

注意:

X_FRAME_OPTIONSをDenyに設定して、FRAME_ANCESTORSをnoneに設定すると、BI Publisherを埋め込むことができる他の製品(Oracle BI Enterprise Editionなど)からBI Publisherのユーザー・インタフェースにアクセスできなくなります。X_FRAME_OPTIONSとFRAME_ANCESTORSの両方の値を指定する場合、使用する値はブラウザによって異なります。ブラウザ間で動作の整合性が保たれるように、X_FRAME_OPTIONSとFRAME_ANCESTORSには類似する値を指定してください。

X_FRAME_OPTIONSの値

値	指定内容
False	ヘッダー・オプションを設定しません。
Deny	iframeでのBI Publisherの埋込みをユーザーに許可しません。
SameOrigin	同じドメインのiframeでのBI Publisherの埋込みをユーザーに許可します。これはデフォルトです。
Allow-From url	urlパラメータに指定されたドメインのみのBI Publisherの埋込みをユーザーに許可します。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Optionsを参照してください。

FRAME_ANCESTORSの値

値	指定内容
False	ヘッダー・オプションを設定しません。
none	iframeでのBI Publisherの埋込みをユーザーに許可しません。
self	同じドメインのiframeでのBI Publisherの埋込みをユーザーに許可します。これはデフォルトです。
url	urlパラメータに指定されたドメインのみのBI Publisherの埋込みをユーザーに許可します。 このURLは繰り返し使用でき、複数の形式で指定できます。

https://www.w3.org/TR/CSP2/#directive-frame-ancestorsを参照してください。