Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1.4.0) E96104-05 |
|
前 |
次 |
これらのトピックでは、サンプル・アプリケーションとともに組込みWebLogic LDAPサーバーを使用してOracle Business Intelligenceセキュリティをデプロイする方法について説明します。
サンプル・アプリケーションとともにデフォルトの組込みWebLogic LDAPサーバーをデプロイすることで、デフォルトのユーザー、グループおよびアプリケーション・ロールを使用できます。また、独自のユーザー、グループおよびアプリケーション・ロールを開発することもできます。
組込みWebLogic LDAPサーバーからユーザー(暗号化されたパスワードを使用)、グループ、ロールおよびポリシーを移行できます。『Oracle WebLogic Serverセキュリティの管理』の組込みLDAPサーバーでの情報のエクスポートおよびインポートに関する項を参照してください。
BIインストールで使用できるサンプル・アプリケーションとともにOracle Business Intelligenceを構成する場合、BI機能を使用してBIフォルダ、レポート、データ列および他のオブジェクトにアクセスできるようにユーザーおよびグループをプロビジョニングするために、多数のアプリケーション・ロールが用意されています。
たとえば、Oracle Business Intelligenceの新しいインストールの後、サンプル・アプリケーションを使用した初期サービス・インスタンスの移入を選択した場合、構成ステップ中にBIドメインを作成するために指定されたユーザーにはアプリケーション・ロールBIServiceAdministratorが割り当てられます。さらに、サンプル・アプリケーションではアプリケーション・ロールBIContentAuthorおよびBIConsumerを提供し、これらのアプリケーション・ロールは連携して機能するように事前構成されます。たとえば、BIServiceAdministratorアプリケーション・ロールのメンバーであるユーザーは、BIContentAuthorおよびBIConsumerアプリケーション・ロールを自動的に継承するため、これらのすべてのアプリケーション・ロールに関連付けられたすべての権限がプロビジョニングされます。このセキュリティ構成については、「デフォルト・セキュリティ構成の理解」を参照してください。
サンプル・アプリケーション・ロールには、サンプルのOracle BIプレゼンテーション・カタログ、BIリポジトリおよびポリシー・ストアを操作できるように、適切な権限があります。たとえば、アプリケーション・ロールBIContentAuthorは、ダッシュボード、レポート、アクションなどの作成に必要な権限を備えて事前構成されます。
次の画面に、サンプルおよび初期アプリケーション・インストールで事前構成されるアプリケーション・ロール、グループおよびユーザーを示します。
最初にBIドメインを構成する場合、BIインストールに組み込まれているBIアプリケーション・アーカイブ(BAR)・ファイルのいずれかに基づいて、サービス・インスタンスが作成されます。各BIアプリケーションには、管理アプリケーション・ロールとしてタグ付けされているアプリケーション・ロールが含まれます。この管理アプリケーション・ロールの名前は、BIアプリケーション・アーカイブの開発者または作成者によって決まります。BIインストールで使用できるサンプル、初期および空のアプリケーションの場合、この管理アプリケーション・ロールの名前はBIServiceAdministratorです。これらのアプリケーションの作成者は、このアプリケーション・ロールのメンバーがシステムを管理できるように、このアプリケーション・ロールに対する特定の権限セットおよび権限が割り当てられます。BIサービス・インスタンスが作成されると、BIシステム管理者はサービス・インスタンスの所有者(ユーザー)を指定します。BIアーカイブ・ファイルがサービス・インスタンスにインポートされる場合は常に、システムにより、管理アプリケーション・ロールがサービス・インスタンス所有者に割り当てられます。
ノート:
11gアップグレード・バンドルを12cサービス・インスタンスにインポートする場合、システムにより、管理アプリケーション・ロールとしてアプリケーション・ロールBIAdministratorが自動的にタグ付けされます。
『Oracle Business Intelligenceのインストールと構成』および『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のimportServiceInstanceに関する項を参照してください。
サンプル・アプリケーション・ロールを使用して、セキュリティをデプロイできます。固有のグループおよびアプリケーション・ロールを作成して、ビジネス・ニーズを満たすことができます。次に例を示します。
「デフォルト・セキュリティ構成の理解」を参照してください。
この例では、小さいセットのユーザー、グループおよびアプリケーション・ロールを使用して、セキュリティ・モデルの設定方法を示します。この例では、次を実装します。
次の図に、このセキュリティ・モデルの例を実装するためにデプロイするユーザー、グループおよびアプリケーション・ロールを示します。
この図には次のことが示されています。
関連項目:
この項では、組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理方法を説明します。次のトピックがあります:
ユーザーを作成して新しいグループおよび新しいアプリケーション・ロールに割り当てることで、セキュリティ・モデルを拡張できます。
たとえば、Jimという名前のユーザーを作成し、BIMarketingRoleという名前のアプリケーション・ロールに割り当てられるBIMarketingGroupグループにJimを割り当てることができます。
ユーザーをグループおよびアプリケーション・ロールに割り当てるプロセスは、次のとおりです。
通常、Oracle Business Intelligence環境では、ビジネス・ユーザーごとに別々のユーザーを作成します。たとえば、レポート・コンシューマを30ユーザー、レポート作成者を3ユーザー、および管理者を1ユーザー、デプロイするように計画できます。この場合、Oracle WebLogic Server管理コンソールを使用して、適切なグループに割り当てる34個のユーザーを作成します。
ログインできるすべてのユーザーには、組込み認証済アプリケーション・ロールによって付与された基本レベルの操作権限が与えられますサービス・インスタンスにインポートされるBIアプリケーションの作成者は、認証されたすべてのユーザーがBIアプリケーションの権限を付与されたアプリケーション・ロールのメンバーであるようにセキュリティ・ポリシーを設計している場合があります。「サンプル・アプリケーションを使用したセキュリティ構成」を参照してください
DefaultAuthenticatorは、デフォルト認証プロバイダの名前です。
Oracle Business Intelligence環境では、ビジネス・ユーザーの機能タイプごとに別々のグループを作成できます。
標準的なデプロイメントには、BIConsumers、BIContentAuthorsおよびBIServiceAdministratorsという3つのグループが必要となる場合があります。これらの名前でグループを作成したり、Oracle Business Intelligenceとともに使用するようにグループを構成したり、独自のカスタム・グループを作成できます。
「ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例」を参照してください。
DefaultAuthenticatorは、デフォルト認証プロバイダです。
通常は、各ユーザーを適切なグループに割り当てます。たとえば、標準的なデプロイメントには、レポート・コンシューマをBIConsumersという名前のグループに割り当てるためのユーザーIDの作成が必要となる場合があります。この場合は、BIConsumersという名前のデフォルトのグループにユーザーを割り当てるか、作成したカスタム・グループにユーザーを割り当てることができます。
ユーザーが不要になった場合、新しく作成された同じユーザーが古いアクセスの権限を継承しないように、システムからユーザーIDを完全に削除する必要があります。認証およびアクセスの権限がユーザーIDに割り当てられるため、この状況が発生する可能性があります。
ユーザーを削除するには、ポリシー・ストア、Oracle BIプレゼンテーション・カタログ、メタデータ・リポジトリおよびアイデンティティ・ストアからユーザーを取り除きます。
『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のユーザー・コマンドの削除に関する項を参照してください。
Oracle WebLogic Server LDAP以外のアイデンティティ・ストアを使用している場合、使用するアイデンティティ・ストアに適切な手順に従ってください。
ユーザーをアプリケーション・ロールに関連付けている場合、そのアプリケーション・ロールを更新して、そのユーザーに対するすべての参照を削除する必要があります。
deleteusers
コマンドを使用して、Oracle BIプレゼンテーション・カタログおよびメタデータ・リポジトリのユーザーを削除します。このオプションのタスクを実行して、ユーザーのデフォルト・パスワードを変更します。
システム・ユーザーのパスワードを変更する場合は、資格証明ストアでも変更する必要があります。
アプリケーション・ロールおよびアプリケーション・ポリシーにより、ユーザーおよびグループに権限を付与します。
サービス・インスタンスを作成した後またはBIアプリケーション・アーカイブ(BAR)ファイルをサービス・インスタンスにインポートした後、アイデンティティ・ストアのユーザーおよびグループがサービス・インスタンスに定義されているアプリケーション・ロールに正しくマップされるように、サービス・インスタンスのセキュリティ・ポリシーを確認する必要があります。各BIアプリケーション・ファイルは、固有のセキュリティ・ポリシーを含むことができます。ベスト・プラクティスとして、BIアプリケーション・アーカイブ・ファイルをインポートした後、サービス・インスタンスのセキュリティ・ポリシーを確認します。
アプリケーションのBIメタデータを含むBIアプリケーション・アーカイブ・ファイルには、ユーザーへの権限のプロビジョニングに使用できる事前定義済のアプリケーション・ロールが含まれます。たとえば、サンプル・アプリケーションにはアプリケーション・ロールBIConsumer、BIContentAuthorおよびBIServiceAdministratorが含まれます。ユーザーに権限をプロビジョニングするには、アイデンティティ・ストア(通常はLDAPディレクトリ)のユーザーおよびグループを、定義されたアプリケーション・ロールにマップします。
重要:
Oracle Enterprise Manager Fusion Middleware Controlを使用して、権限付与に基づく操作を管理します。Oracle WebLogic Scripting Tool (WLST)コマンドを使用して、権限セット付与に基づく操作を実行する必要があります。grantEntitlementに関する項
およびrevokeEntitlementに関する項
を参照してください。『Oracle Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』ガイドのOPPSセキュリティ・ストアWLSTコマンドに関する項を参照してください。
より複雑またはきめ細かなセキュリティ・モデルを作成する場合は、独自のアプリケーション・ロールおよびアプリケーション・ポリシーを作成できます。たとえば、マーケティング部門のレポート作成者に、メタデータ・リポジトリおよびOracle BIプレゼンテーション・カタログのマーケティング領域への書込みアクセス権のみを付与するとします。BIContentMarketingという名前の新規アプリケーション・ロールを作成し、そのロールに適切な権限を提供できます。
関連項目:
Fusion Middleware Controlの使用によるアプリケーション・ロールの作成と削除。
デフォルトの事前構成済アプリケーション・ポリシーに基づいてアプリケーション・ロールを作成したり、独自のアプリケーション・ポリシーを作成できます。「ユーザー、グループおよびアプリケーション・ロールの使用」を参照してください。
Fusion Middleware Controlで権限セット付与を割り当てられているアプリケーション・ポリシーおよびアプリケーション・ロールを表示できます。
Fusion Middleware Controlでは、権限付与および権限セット付与が表示されます。権限付与に基づく操作のみを実行できます。Fusion Middleware Controlを使用して権限付与をアプリケーション・ロールに追加した場合は、Fusion Middleware Controlを使用してそのアプリケーション・ロールを削除できます。
権限セット付与を管理するには、WLSTコマンドを使用する必要があります。『Fusion Middlewareインフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のOPSSセキュリティ・ストアWLSTコマンドに関する項を参照してください。
Fusion Middleware Controlを使用して、アプリケーション・ロールを作成、削除および管理します。
新しいOracle Business Intelligenceのデプロイメントでは、Oracle Business Intelligence環境でのビジネス・ユーザー・アクティビティのタイプごとにアプリケーション・ロールを作成します。たとえば、サンプル・アプリケーションまたは初期アプリケーションに基づくデプロイメントには、アプリケーション・ロールBIConsumer、BIContentAuthorおよびBIServiceAdministratorが含まれる場合があります。BIシステム管理者またはサービス管理者のように、アプリケーション・ロールまたはBARファイルで提供されているアプリケーション・ロールに割り当てられた権限セットを変更しないでください。
Oracle Business Intelligenceアプリケーション・ロールは、ユーザーに割り当てられているロールを表します。たとえば、セールス・アナリストのアプリケーション・ロールにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。サービス・インスタンスの管理者は、アプリケーション・ロールを作成および変更できます。アプリケーション・ロールをディレクトリ・サーバー・グループから分離して区別しておくことで、認可要件に対応しやすくなります。企業のディレクトリ・サーバーで定義されているグループを変更することなく、実際の環境のビジネス・ロールと一致する新規アプリケーション・ロールを作成できます。認可要件を制御する場合は、ディレクトリ・サーバーの既存のユーザー・グループをアプリケーション・ロールに割り当てることができます。
新規アプリケーション・ロールを作成し、そのアプリケーション・ロールをOracle Business Intelligenceサービス・インスタンスに追加する前に、権限およびグループの継承がどのように動作するかを理解してください。ロールの階層を構築するときは、循環依存が生じないことが重要です。「グループおよびアプリケーション・ロールを使用したユーザーへの権限の付与」を参照してください。
『Oracle Platform Security Servicesによるアプリケーションの保護』のポリシー・ストアの管理に関する項を参照してください。
これらのステップを使用して、Fusion Middleware Controlでアプリケーション・ロールを作成します。
アプリケーション・ロールにメンバーを追加することもできます。『Oracle Platform Security Servicesによるアプリケーションの保護』のアプリケーション・ロール名の文字に関する項を参照してください。
既存のロールをコピーして、アプリケーション・ロールを作成できます。「既存のロールからのアプリケーション・ロールの作成」を参照してください。
アプリケーション・ロールの有効メンバーには、ユーザー、グループおよび他のアプリケーション・ロールがあります。
アプリケーション・ロールのメンバーシップは、Fusion Middleware Controlの「アプリケーション・ロール」ページを使用して制御されます。
権限および権限セット付与の定義がアプリケーション・ポリシーで設定され、その後、アプリケーション・ポリシーがアプリケーション・ロールに付与されます。「Fusion Middleware Controlの使用によるアプリケーション・ポリシーの作成」を参照してください。権限および権限セット付与は、Fusion Middleware Controlの「アプリケーション・ポリシー」ページに表示されます。
既存のアプリケーション・ロールをコピーして、アプリケーション・ロールを作成できます。
コピーには元と同じメンバーが含まれ、元と同じアプリケーション・ポリシーの権限受領者となります。変更を加えて、新しいアプリケーション・ロールをカスタマイズできます。
『Oracle Platform Security Servicesによるアプリケーションの保護』のアプリケーション・ロール名の文字に関する項を参照してください。
グループをアプリケーション・ロールに割り当て、そのグループ内のユーザーに適切なセキュリティ権限を提供します。たとえば、BIMarketingGroupという名前のマーケティング・レポート・コンシューマ用グループがBIConsumerMarketingという名前のアプリケーション・ロールを必要とするとします。この場合、BIMarketingGroupという名前のグループをBIConsumerMarketingという名前のアプリケーション・ロールに割り当てます。
「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
obi
アプリケーション・ストライプが事前に選択され、アプリケーション・ポリシーが表示されるかどうかは、「アプリケーション・ロール」ページへの移動に使用される方法によって異なります。
デフォルトのアプリケーション・ポリシーに基づいてアプリケーション・ポリシーを作成するか、独自のアプリケーション・ポリシーを作成できます。
Oracle Business Intelligence Enterprise Edition 12cでは、権限セットおよび権限を使用します。権限セットは、権限のコレクションで、資格とも呼ばれます。Oracle BI EE 12cで使用できるすべての権限が権限セットにグループ化されます。サンプルまたは初期アプリケーションがサービス・インスタンスにインポートされると、アプリケーション・ロールに割り当てられた権限セットが表示されます。Oracle BI EE 11gアップグレード・バンドルがサービス・インスタンスにインポートされると、Oracle BI EE 11gシステムからの権限が、移行されたアプリケーション・ロールに割り当てられた新しい権限セットが補足されて表示されます
Fusion Middleware Controlでは、権限セット付与の表示のみ許可します。アプリケーション・ロールに対する権限セット付与は変更できません。Fusion Middleware Controlでは、アプリケーション・ロールに対する権限付与を変更できます。Oracle BI EE 12cでは、アプリケーション・ロールに対する権限セット付与を更新する必要がある場合、WLSTコマンドラインを使用する必要があります。『Oracle Platform Security Servicesによるアプリケーションの保護』のWLSTを使用したポリシーの管理に関する項を参照してください。
既存のアプリケーション・ポリシーを使用して、アプリケーション・ポリシーを作成できます。
プリンシパルは、ポリシー権限受領者の名前を表します。
次のように、対応するアプリケーション・ポリシーの権限セット付与を変更したり(アプリケーション・ロールがアプリケーション・ポリシーの権限受領者である場合)、アプリケーション・ロールのメンバーを変更したり、アプリケーション・ロールの名前変更または削除を行うことで、アプリケーション・ロールを変更できます。
『Oracle Platform Security Servicesによるアプリケーションの保護』のFusion Middleware Controlによるポリシーの管理に関する項を参照してください。
Fusion Middleware Controlを使用してアプリケーション・ロールをアプリケーション・ポリシーに追加することによってアプリケーション・ロールの権限付与を変更する場合は、この手順を使用します。
Fusion Middleware Controlを使用して、アプリケーション・ロールのメンバーを追加または削除できます。
これらのタスクは、Oracle Business IntelligenceがインストールされているWebLogicドメイン(bifoundation_domain
など)で実行する必要があります。アプリケーション・ロールの有効なメンバーは、ユーザー、グループまたはその他のアプリケーション・ロールです。
個々のユーザーではなくグループをアプリケーション・ロールに割り当ててから、これらのグループにユーザーを割り当てることをお薦めします。
ノート:
このアプリケーション・ロールに割り当てられた権限の変更によりシステムが使用できない状態のままの可能性があるため、管理アプリケーション・ロールにタグ付けされているアプリケーション・ロールの権限付与およびメンバーシップを変更する場合に注意してください。
「Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示」を参照してください。
『Oracle Platform Security Servicesによるアプリケーションの保護』のアプリケーション・ロールの管理に関する項を参照してください。
既存のアプリケーション・ロールの名前は直接変更できません。更新できるのは表示名のみです。
アプリケーション・ロール名を変更するには、そのアプリケーション・ロールに使用されていたものと同じアプリケーション・ポリシーを使用して新しいアプリケーション・ロールを作成し、古いアプリケーション・ロールを削除する必要があります。新しいアプリケーション・ロールを作成する際に、新しい名前を指定します。Oracle BIプレゼンテーション・カタログとメタデータ・リポジトリの両方で、古いアプリケーション・ロールへの参照を、新しいアプリケーション・ロールへの参照に更新する必要もあります。
カタログおよびメタデータ・リポジトリのアプリケーション・ロールの名前を変更するには、『Oracle Business Intelligence Enterprise Editionメタデータ・リポジトリ作成者ガイド』のアプリケーション・ロールの名前変更コマンドに関する項の説明に従って、renameAppRoles
コマンドを使用します。
Oracle BI管理ツールでIdentity Managerを使用して、アプリケーション・ロールの権限を管理し、サブジェクト・エリアや表などのオブジェクトに対するアクセス権限を設定します。
Oracle BI管理ツールを使用して、次のようにOracle BIリポジトリでセキュリティを構成します。
サービス・インスタンスのデータ・モデルには、列やサブジェクト・エリアなどのデータ・モデルの様々な部分にアクセスする権限を定義するためにセキュリティ・ポリシーが含まれます。
データ・モデルの作成者は管理ツールを使用して、アプリケーション・ロールのデータ・モデル権限の割当てを含むこのセキュリティ・ポリシーを維持します。
サービス・インスタンスを作成するか、BIアプリケーション・アーカイブ・ファイルをサービス・インスタンスにインポートする場合、データ・モデルのセキュリティ・ポリシーがBIアプリケーション・アーカイブ・ファイルからインポートされます。
『Oracle Business Intelligence Enterprise Edition XMLスキーマ・リファレンス』のアプリケーション・ロールに対するプレゼンテーション・サービスの権限の設定に関する項およびコマンドライン・ツールを使用した権限の設定に関する項を参照してください。
ベスト・プラクティスは、個々のユーザーの権限ではなく、アプリケーション・ロールの権限を変更することです。
「プレゼンテーション」ペイン内のあるオブジェクトの権限を表示するには、そのオブジェクトを右クリックし、「権限レポート」を選択して、ユーザーとアプリケーション・ロールのリスト、および選択したオブジェクトの権限を表示します。
アプリケーション・ロールの定義はポリシー・ストアで保持されます。また、変更は管理インタフェースを使用して行う必要があります。
リポジトリは、ポリシー・ストア・データのコピーを保持して、リポジトリ開発を促進します。Oracle BI管理ツールでは、リポジトリのコピーからアプリケーション・ロール・データが表示され、ポリシー・ストア・データはリアルタイムでは表示されません。オフライン・リポジトリの作業中にポリシー・ストアを変更すると、ポリシー・ストアがリポジトリと次に同期化するまで、管理ツールで使用できなくなります。ポリシー・ストアは、BIサーバーの再起動時には常にデータをリポジトリ・コピーと同期化します。データに不一致がある場合は、エラー・メッセージが表示されます。
オフライン・モードでのリポジトリの使用中に、使用可能なアプリケーション・ロールではその時点で必要なメンバーシップまたは権限付与を満たさないことに気付く場合があります。オフライン・リポジトリ開発を促進するために、アプリケーション・ロールのプレースホルダの定義を管理ツールで作成できます。ただし、これは管理ツールで表示される単なるプレースホルダであり、実際のアプリケーション・ロールではありません。管理ツールから実際のアプリケーション・ロールを作成することはできません。アプリケーション・ロールは、ポリシー・ストアの管理に使用可能な管理インタフェースを使用して、ポリシー・ストアでのみ作成できます。
アプリケーション・ロールは、リポジトリがオンラインに戻る前に、管理ツールを使用して作成されたアプリケーション・ロール・プレースホルダごとに、ポリシー・ストアで定義される必要があります。オフライン・モードの間に作成されたロール・プレースホルダ付きリポジトリの場合、有効なアプリケーション・ロールがポリシー・ストアに作成される前に、オンラインになります。その後、そのアプリケーション・ロール・プレースホルダは管理ツール・インタフェースで表示されなくなります。オフライン・リポジトリ開発でロール・プレースホルダを使用する際は、リポジトリをオンラインに戻す前に、ポリシー・ストアにおいて対応するアプリケーション・ロールを必ず作成します。
サービス・インスタンスのカタログには、プレゼンテーション・サービス権限のセキュリティ・ポリシーが含まれます。これらの権限は、フォルダや分析などのカタログ・オブジェクトの権限とともにアンサーへのアクセス、ダッシュボードへのアクセスなどの特定のプレゼンテーション・サービス機能にアクセスする権限を付与します。
サービス・インスタンスを作成するか、BIアプリケーション・アーカイブ・ファイルをサービス・インスタンスにインポートする場合、カタログのセキュリティ・ポリシー(プレゼンテーション・サービスの権限)がBIアプリケーション・アーカイブ・ファイルからインポートされます。サービス管理者は、カタログ・セキュリティ・ポリシーを変更できます。
アプリケーション・ロールを使用して権限を管理します。
グループがアプリケーション・ロールに割り当てられる場合、グループ・メンバーは、関連付けられたプレゼンテーション・サービスの権限を自動的に付与されます。これは、Oracle Business Intelligenceの権限に加えて付与されます。
ヒント:
ユーザーがメンバーとなっているアプリケーション・ロールのリストは、プレゼンテーション・サービスの「マイ・アカウント」ダイアログの「ロールおよびグループ」タブから使用できます。
Presentation Servicesの権限について
プレゼンテーション・サービスの権限はプレゼンテーション・サービス管理の「権限の管理」ページで管理され、分析やダッシュボードの作成などのプレゼンテーション・サービス機能へのアクセス権を付与または拒否します。プレゼンテーション・サービスの権限は他のOracle Business Intelligenceコンポーネントには影響しません。
プレゼンテーション・サービス権限が割り当てられているアプリケーション・ロールのメンバーは、それらの権限をユーザーに付与します。アプリケーション・ロールに割り当てられたプレゼンテーション・サービスの権限は、プレゼンテーション・サービス管理の「権限の管理」ページを使用して、権限付与を追加または削除することで変更できます。
プレゼンテーション・サービス権限は、明示的におよび継承によってユーザーに付与できます。ただし、明示的なプレゼンテーション・サービス権限の拒否は、グループまたはアプリケーション・ロール階層の結果として付与または継承されたユーザー・アクセス権限よりも優先されます。
アプリケーション・ロールを作成する場合、そのアプリケーション・ロールでユーザーが様々な機能タスクを実行できるように、適切なPresentation Servicesの権限を設定する必要があります。
たとえば、BISalesAdministratorという名前のアプリケーション・ロールを保持したユーザーが、Oracle Business Intelligenceでアクションを作成できるようにします。この場合は、「起動アクションの作成」という名前の権限を付与します。
ポリシー・ストアの管理に使用する管理インタフェースを使用して、プレゼンテーション・サービスの権限を割り当てることはできません。新規アプリケーション・ロールを作成し、Oracle Business Intelligenceの権限を付与する場合、Oracle Business Intelligenceの権限に加えて、その新規ロールにプレゼンテーション・サービスの権限を設定する必要があります。
ノート:
プレゼンテーション・サービスの権限を新規アプリケーション・ロールにプログラム的に割り当てることができます。『Oracle Business Intelligence Enterprise Editionインテグレーターズ・ガイド』のSecurityServiceサービスに関する項を参照してください
管理者権限がないユーザーとしてログインする場合、「管理」オプションは表示されません。
プレゼンテーション・サービスの権限を明示的に拒否することは、グループまたはアプリケーション・ロール階層の結果として付与または継承されたユーザー・アクセス権よりも優先されます。
既存のカタログ・グループは、アップグレード・プロセスの間に移行されます。既存のOracle BIプレゼンテーション・カタログ・セキュリティ構成をロールベースのOracle Fusion Middlewareセキュリティ・モデル・ベースに移行する場合は、各カタログ・グループを対応するアプリケーション・ロールと置き換える必要があります。既存のプレゼンテーション・サービス構成を複製するには、各カタログ・グループを、同じOracle BIプレゼンテーション・カタログ権限を付与する対応するアプリケーション・ロールと置き換えます。その後、プレゼンテーション・サービスから元のカタログ・グループを削除できます。
たとえば、BIConsumerという名前のアプリケーション・ロールに対して、Access to Scorecardという名前の権限を管理するには、Access to Scorecardの横の「BIConsumer」リンクをクリックします。
権限<privilege_name>のダイアログを使用して、アプリケーション・ロールを権限リストに追加し、アプリケーション・ロールに権限を付与したりアプリケーション・ロールから権限を取り消します。たとえば、選択した権限をアプリケーション・ロールに付与するには、アプリケーション・ロールを「権限」リストに追加する必要があります。
BIサーバーおよびプレゼンテーション・サービスのクライアントは、ログインおよびパスワード暗号化について業界標準のセキュリティをサポートしています。
エンド・ユーザーがWebブラウザにユーザー名およびパスワードを入力すると、BIサーバーはHypertext Transport Protocol Secure (HTTPS)規格を使用して、情報をセキュアなOracle BIプレゼンテーション・サービス・ポートに送信します。情報は、Oracle BIプレゼンテーション・サービスからトリプルDES (データ暗号化規格)を使用して、ODBCを介してBIサーバーに渡されます。これにより、高度なセキュリティ(168ビット)が実現し、認可されていないユーザーがデータにもOracle Business Intelligenceメタデータにもアクセスできないようになります。
データベース・レベルでは、Oracle Business Intelligence管理ユーザーがデータベース・セキュリティおよび認証を実装します。固有キーベースの暗号化によってセキュリティを提供し、未認可ユーザーがメタデータ・リポジトリにアクセスできないようにします。
BI Publisherの管理ページを使用して、BI Publisherに保持されているデータ・ソース・アクセスの権限を管理できます。
データ・ソース・アクセスの権限では、データ・ソースへのアプリケーション・ロールによるアクセスが制御されます。ユーザーが次のタスクを実行するには、そのユーザーに、特定のデータ・ソース・アクセスの権限が付与されたアプリケーション・ロールが割り当てられる必要があります。
『Oracle Business Intelligence Publisher管理者ガイド』のデータ・アクセスの付与に関する項を参照してください。
この手順を使用して、デフォルトのWebLogic LDAPアイデンティティ・ストアの使用時にクラスタ環境で高可用性を実現します。
クラスタ環境で、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性を有効にするようにvirtualize
属性を構成します。virtualize
属性値をtrueに設定すると、Oracle BI EEプロセスは、デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアのローカル・コピーに対する検索を認証して実行できるローカルの管理対象サーバーを参照します。
プロパティ名virtualize
には小文字を使用します。プロパティ名OPTIMIZE_SEARCH
には大文字を使用します。
Windows、Linux、IBM-AIX、Sun Solaris、HP-UXなど、Oracle Business Intelligenceでサポートされているプラットフォーム上でコマンドライン・ユーティリティを起動できます。
Linuxでコマンド・ライン・ユーティリティの使用方法のヘルプを表示するには、次のようなコマンドを入力します。
./runcat.sh -help
次の構文を使用して、カタログ・グループの権限をアプリケーション・ロールの権限へ変換します。
runcat.cmd/runcat.sh -cmd replaceAccountInPermissions -old <catalog_group_name> -oldType group -new <application_role_name> -newType role -offline <catalog_path>
『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle BIプレゼンテーション・カタログのオープンに関する項を参照してください。
「アプリケーション・ロール名の変更」を参照してください。
Oracle BIプレゼンテーション・カタログ・アイテムのセットに対するユーザー権限のレポート
次の構文を使用して、Oracle BIプレゼンテーション・カタログのすべての権限および権限の持ち主をレポートします。次に例を示します。
runcat.cmd/runcat.sh -cmd report -online http://localhost:8080/analytics/saw.dll -credentials c:/oracle/catmancredentials.properties -outputFile c:/temp/report.txt -delimiter "\t" -folder "/system/privs" -mustHavePrivilege -type "Security ACL" -fields "Path:Accounts" "Must Have Privilege"
ヘルプには次のコマンドを使用します。
runcat.sh -cmd report -help