Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1.4.0) E96104-05 |
|
前 |
次 |
これらのトピックでは、Oracle Business Intelligenceのシングル・サインオン(SSO)認証を構成するためのガイドラインを示します。
この章のトピックは、次のとおりです:
ノート:
Oracle Fusion MiddlewareでのエンタープライズレベルのSSO認証プロバイダとして、Oracle Access Managerを使用することをお薦めします。Oracle Access ManagerをSSO認証プロバイダとして想定できます。この表は、SSO認証の構成タスクを示し、追加情報を取得するためのリンクを提供しています。
タスク | 説明 | 詳細情報 |
---|---|---|
Oracle Access ManagerをSSO認証プロバイダとして構成します。 |
Oracle Business IntelligenceのURLのエントリ・ポイントを保護するようにOracle Access Managerを構成します。 |
Oracle Access Manager環境でのSSOの構成 『Oracle Platform Security Servicesによるアプリケーションの保護』のOracle Fusion Middlewareのシングル・サインオンの構成に関する項 |
HTTPプロキシを構成します。 |
プレゼンテーション・サービスからSSOプロバイダへリクエストを転送するようにWebプロキシを構成します。 |
『Oracle Platform Security Servicesによるアプリケーションの保護』のOracle Fusion Middlewareのシングル・サインオンの構成に関する項 |
Oracle WebLogic Server用に新しいオーセンティケータを構成します。 |
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインを、新しいアイデンティティ・ストアを使用するように構成します。 |
Oracle WebLogic ServerのOIDオーセンティケータの構成 代替認証プロバイダを使用するためのOracle Business Intelligenceの構成 Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
Oracle WebLogic Serverの新しいIDアサーション・プロバイダを構成します。 |
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインを、アサーション・プロバイダとしてSSOプロバイダを使用するように構成します。 |
Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成 代替認証プロバイダを使用するためのOracle Business Intelligenceの構成 Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
カスタムSSOソリューションを構成します。 |
Oracle Business Intelligence URLエントリ・ポイントを保護するように別のカスタムSSOソリューションを構成します。 |
|
Oracle Business IntelligenceがSSO認証を受け入れられるようにします。 |
Oracle Business Intelligenceと連携して機能するように構成されたSSOプロバイダを有効化します。 |
ノート:
Oracle Business IntelligenceのSSOのインストレーション・シナリオの例については、『Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド』を参照してください。
シングル・サインオン(SSO)ソリューションを統合することで、ユーザーはログオン(サインオン)して認証を受けるのを一度で済ませることができます。その後、認証されたユーザーには、そのユーザーに付与された権限に応じて、システム・コンポーネントまたはリソースへのアクセス権が与えられます。
Oracle Business Intelligenceは、Oracle Fusion MiddlewareおよびOracle WebLogic Serverとともに使用するように構成されたSSOソリューションで認証された受信HTTPリクエストを信頼するように構成できます。『Oracle Platform Security Servicesによるアプリケーションの保護』のOracle Fusion Middlewareのシングル・サインオンの構成に関する項を参照してください。
SSO認証を使用するように構成されたOracle Business Intelligenceの場合は、Oracle Fusion Middlewareで使用するように構成されたSSOソリューションからの認証されたユーザーを受け入れます。SSOが有効化されていない場合は、Oracle Business Intelligenceは、各ユーザーに対して認証資格証明を要求します。Oracle Business IntelligenceがSSOを使用するように構成されている場合、ユーザーはまずSSOソリューションの認証用のログイン・ページにリダイレクトされます。SSOソリューションによってユーザーが認証されると、ユーザー名がプレゼンテーション・サービスに転送され、そこでこの名前が抽出されます。次に、偽装機能(偽装されているユーザーの代理の役目を果す資格証明を使用したOracle BIプレゼンテーション・サーバーとBIサーバーとの間の接続文字列)を使用して、BIサーバーとのセッションが確立されます。
SSOを使用して正常にログインした後も、ユーザーは、有効なユーザー名とパスワードの組合せを使用して管理ツールにログインするためのoracle.bi.server.manageRepositories
権限を持っている必要があります。インストール後、デフォルトのBIAdministrationアプリケーション・ロールのメンバーとなることで、oracle.bi.server.manageRepositories
権限が付与されます。
SSO認証と連携するようにOracle Business Intelligenceを構成するには、少なくとも次を実行する必要があります。
IDアサーション・プロバイダのしくみ
この項では、Oracle Access Managerの認証プロバイダがOracle WebLogic Serverと連携し、シングル・サインオンのためのIDアサーション・プロバイダを使用して、次の機能を提供するしくみについて説明します。
この機能は、Oracle Access Managerの認証サービスを使用し、適切なトークンを通じて、認証済のOracle Access Managerユーザーを検証し、WebLogicで認証されたセッションを作成します。また、Webゲートとポータルの間のシングル・サインオンも提供します。Webゲートは、Webリソース(HTTP)リクエストをインターセプトし、それを認証および認可のためにアクセス・サーバーに転送するプラグインです。
この機能は、Oracle Access Managerの認証サービスを使用して、Oracle WebLogic Serverにデプロイされているアプリケーションにアクセスするユーザーを認証します。ユーザーはその資格証明、たとえばユーザー名やパスワードに基づいて認証されます。
Oracle Access Managerの認証プロバイダをシングル・サインオン用のIDアサーション・プロバイダとして構成すると、Webリソースが保護されます。境界認証は、Web層のWebゲートと、保護されているWebLogicリソースにアクセスしようとしているユーザーのアイデンティティをアサートする適切なトークンによって実行されます。
すべてのアクセス・リクエストは、リバース・プロキシWebサーバーにルーティングされます。これらのリクエストは次にWebゲートでインターセプトされます。Oracle Access Manager内で構成されている認証スキームに基づいて、ユーザーに対して資格証明の提示が要求されます(フォームベースのログインをお薦めします)。
正常に認証されると、Webゲートがトークンを生成し、WebサーバーがリクエストをOracle WebLogic Serverに転送します。次に、Oracle WebLogic Serverによって、シングル・サインオンの検証のためにOracle Access ManagerのIDアサーション・プロバイダが起動されます。Oracle Access Managerは各種ヘッダー・トークンを渡すことができ、最も簡単なものはOracle Access Managerに認証されているユーザーIDが含まれているOAM_REMOTE_USERというHTTPヘッダーです。WebLogic Security Serviceがシングル・サインオンのためにOracle Access ManagerのIDアサーション・プロバイダを起動し、IDアサーション・プロバイダが受信リクエストからトークンを取得し、サブジェクトにWLSUserImpl
プリンシパルを移入します。シングル・サインオンのためのIDアサーション・プロバイダが、ユーザーがメンバーであるグループに対応したWLSGroupImpl
プリンシパルを追加します。次に、Oracle Access ManagerがCookieを検証します。
次の図に、Oracle Fusion Middlewareを使用したSSOのIDアサーション・プロバイダとしてOracle Access Managerの認証プロバイダが構成されている場合の、コンポーネントの配置と情報フローを示します。
Oracle Business IntelligenceとSSO認証の連携のしくみ
SSO認可が実装されると、プレゼンテーション・サービスは受信したWebリクエストがSSOで認証されたユーザーからのものであるかのように動作します。プレゼンテーション・サービスは次に、偽装機能を使用してBIサーバーへの接続を作成し、ユーザーの代理としてBIサーバーへの接続を確立します。ユーザーのパーソナライゼーションと、データレベル・セキュリティなどのアクセス制御は、この環境で保持されます。
Oracle Business Intelligenceを使用してSSOソリューションを実装するときには、次の点を検討する必要があります。
HTTPサーバーまたはサーブレット・コンテナから信頼できる情報を受け入れるとき、プレゼンテーション・サービスと直接通信を行うマシンを保護する必要があります。instanceconfig.xml
ファイルで、Listener\Firewall
ノードのHTTP Serverまたはサーブレット・コンテナのIPアドレスのリストを指定します。Firewall
ノードには、すべてのOracle BIスケジューラ・インスタンス、Oracleプレゼンテーション・サービス・インスタンス、およびOracle Business Intelligence JavaHostインスタンスのIPアドレスが含まれている必要があります。
これらのコンポーネントのいずれかがOracle BIプレゼンテーション・サービスと同じ場所にある場合は、Firewall
ノードに127.0.0.1アドレスを追加する必要があります。HTTP Serverまたはサーブレット・コンテナのIPアドレスのリストを設定しても、エンド・ユーザーのブラウザのIPアドレスは制御されません。相互認証SSLを使用する場合は、Listener\TrustedPeers
ノードに、すべての信頼できるホストの識別名(DN)を指定する必要があります。
Oracle Access Manager環境でのSSOの構成方法に関する概要、およびこれらの追加リファレンスを確認してください。
Oracle Fusion Middleware環境を構成した後、Oracle Business Intelligenceを構成するために次を行う必要があります。
Oracle Business IntelligenceのURLエントリ・ポイントを保護するようにSSOプロバイダを構成します。
プレゼンテーション・サービスからSSOプロバイダへリクエストを転送するようにWebサーバーを構成します。
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインのメイン認証ソースとして新しいアイデンティティ・ストアを構成します。「Oracle WebLogic ServerのOIDオーセンティケータの構成」を参照してください。
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインを、Oracle Access ManagerのIDアサーション・プロバイダを使用するように構成します。「Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成」を参照してください。
SSO環境の構成が完了したら、Oracle Business IntelligenceのSSO認証を有効化します。「Fusion Middleware Controlの使用によるSSO認証の有効化」を参照してください。
『Oracle Platform Security Servicesによるアプリケーションの保護』のOracle Fusion Middlewareのシングル・サインオンの構成に関する項を参照してください。
『Oracle Business Intelligence Publisher管理者ガイド』のOracle Access Manager (OAM)シングル・サインオンを使用するためのBI Publisherの構成に関する項を参照してください。
Oracle Business Intelligenceのインストール後、Oracle WebLogic Serverの組込みLDAPサーバーがデフォルトの認証ソース(アイデンティティ・ストア)になります。
Oracle Internet Directory (OID)などの新しいアイデンティティ・ストアをメイン認証ソースとして使用するには、Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインを構成する必要があります。
『Oracle WebLogic Serverセキュリティの管理』および「Oracle WebLogic Server管理コンソールの使用」を参照してください。
「JAAS制御フラグ・オプションの設定」を参照してください。
「プロバイダ固有」タブを完了するためのフィールド詳細は、「認証プロバイダ固有のリファレンス」を参照してください。
「認証プロバイダの並替え」を使用して、OIDオーセンティケータをOracle WebLogic Serverが使用するプライマリ認証にします。次のようにオーセンティケータの順番を変更します。
OIDオーセンティケータ(SUFFICIENT)
OAMアイデンティティ・アサータ(REQUIRED)
デフォルト・オーセンティケータ(SUFFICIENT)
この表は、認証プロバイダを追加するためのリファレンスを示しています。
セクション名 | フィールド名 | 説明 |
---|---|---|
接続 |
ホスト |
LDAPホスト名。たとえば、<localhost>です。 |
接続 |
ポート |
LDAPホストのリスニング・ポート番号。たとえば、6050です。 |
接続 |
プリンシパル |
LDAPサーバーに接続するユーザーの識別名(DN)。例, cn=orcladmin |
接続 |
資格証明 |
プリンシパルとして入力されたLDAP管理ユーザーのパスワード。 |
ユーザー |
ユーザー・ベースDN |
ユーザーを含むLDAPサーバー・ツリーのベース識別名(DN)。たとえば、Oracle Access Managerと同じ値を使用します。 |
ユーザー |
すべてのユーザーのフィルタ |
LDAP検索フィルタ。たとえば、(&(uid=*) (objectclass=person))などです。アスタリスク(*)は、すべてのユーザーをフィルタします。詳細は、「詳細」をクリックします。 |
ユーザー |
名前指定によるユーザー・フィルタ |
LDAP検索フィルタ。詳細は、「詳細」をクリックします。 |
ユーザー |
ユーザー名属性 |
認証に使用する属性(cn、uid、mailなど)。ディレクトリ・サーバーのユーザー名のデフォルトの属性として設定します。たとえば、uidです。 次のタスク、「ユーザー名属性の構成」の説明のとおり、ここで指定する値は、認証プロバイダで使用しているユーザー名属性と一致する必要があります。 |
グループ |
グループ・ベースDN |
グループ(ユーザー・ベースDNと同じ)を含むLDAPサーバー・ツリーのベース識別名(DN)。 |
一般 |
GUID属性 |
LDAPでオブジェクトGUIDの定義に使用する属性。 orclguid このデフォルト値を変更しないでください。ほとんどの場合、このデフォルト値で十分です。 |
Oracle Business IntelligenceがインストールされているOracle WebLogic Serverドメインは、Oracle Access Managerのアサーション・プロバイダを使用するように構成されている必要があります。
Oracle WebLogic Server管理コンソールにログインします。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルム(myrealmなど)をクリックします。
「プロバイダ」を選択します。
Oracle WebLogic Serverに再度ログインして、LDAPサーバーに格納されているユーザーおよびグループがコンソールに表示されていることを確認することによって、Oracle Internet Directoryが新しいアイデンティティ・ストア(デフォルト・オーセンティケータ)であることを確認できます。
.
この項には、カスタムSSO環境の設定に関する情報へのリファレンスが含まれています。
カスタムSSO環境に参加するようにOracle Business Intelligenceを構成する方法(たとえば、SiteMinderを使用してSSOを設定するなど)の詳細は、次のMy Oracle Supportの記事1287479.1を参照してください。
このトピックでは、Smart Viewを使用したシングル・サインオン(SSO)の構成に必要なステップについて説明します。これは、Microsoft Active Directoryおよびネイティブ認証を使用してSSOが有効になっているOracle Business Intelligence Enterprise Editionサーバーと統合されているSmart Viewクライアントに適用されます。
次のステップを使用すると、Smart Viewのユーザーは、Windows PCでSmart Viewを起動し、ログイン・ユーザー名とパスワードの入力を求められずにOracle Business Intelligence分析に接続できます。SSOログイン情報は、Microsoft Active DirectoryからOracle Business Intelligence、Smart Viewにシームレスに渡されます。
開始する前に、Oracle Business Intelligenceを、Windows Server Active DirectoryをLDAP認証ソースとして使用し、SSO環境でWindowsネイティブ認証を使用するように構成してある必要があります。このプロセスは、My Oracle Supportの記事1274953.1の一部として入手できるホワイト・ペーパーOracle Business Intelligence Enterprise EditionでActive DirectoryおよびWindowsネイティブ認証により認証およびSSOを構成するで説明されています。
Microsoft Active Directoryのユーザー名およびパスワードを使用してOracle Business Intelligenceにサインインおよび接続できることを確認します。
Smart Viewを実行しているWindowsマシンにSmart Viewクライアントをインストールします。Oracle Technology Network (OTN)から、最新バージョンのSmart Viewをダウンロードできます。
Oracle Business Intelligenceサーバーで、既存のjbips.ear
ファイルのバックアップ・コピーを作成します。
jar
コマンドを使用して、jbips.ear
ファイルを一時ディレクトリに解凍します。jar –xvf jbips.ear
web.xml
ファイルで、ドキュメントの <welcome-file-list>
セクションの前に次を追加します。<security-constraint> <web-resource-collection> <web-resource-name>JBIPS</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>SSORole</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>CLIENT-CERT</auth-method> </login-config> <security-role> <role-name>SSORole</role-name> </security-role>
weblogic.xml
ファイルを変更し、次を追加します。<context-root>jbips</context-root> <security-role-assignment> <role-name>SSORole</role-name> <principal-name>BIUsers</principal-name> <principal-name>BIAdmins</principal-name> <principal-name>Domain Users</principal-name> <principal-name>Users</principal-name> </security-role-assignment> </weblogic-web-app>
MANIFEST.MF
ファイルを変更してバージョンを追加します。
Weblogic-Application-Version: 12.2.1
jar
コマンドを使用してjbips.ear
ファイルを再作成します。jar –cfm jbips.ear /META-INF/MANIFEST.MF
WebLogic Serverコンソールにサインインして、既存のjbips.ear
ファイルを削除します。
WebLogic Serverコンソールを使用して、新しく作成したjbips.ear
ファイルをデプロイします。デプロイ時には、バージョンを入力しないでください。バージョン番号は、MANIFEST.MF
ファイルに対する変更内容によって取得されます。
サーバーを再起動し、Smart Viewを再テストして、SSOが予想どおりに機能していることを確認します。
SSOソリューションを使用するようにOracle Business Intelligenceを構成した後、Oracle Business IntelligenceのSSO認証を有効化する必要があります。
SSOを有効化した後、デフォルトのOracle Business Intelligenceログイン・ページを使用できません。
WLSTコマンドを使用して、Oracle Business IntelligenceのSSO認証を有効化または無効化します。
Oracle Business Intelligence 12.2.1.3.0では、軽量SSOがデフォルトで有効になっています。初期化ブロックのセッション変数などのレガシー認証方法を使用している場合は、disableBISingleSignOn
コマンドを使用して、軽量SSOを無効にする必要があります。
前提条件:
『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のWebLogic Scripting Tool (WLST)の使用に関する項を参照してください。
『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Business Intelligenceコンポーネント・プロセスの起動に関する項を参照してください。
次の表を使用して、各コマンドの適切な引数を学習します。
コマンド | 引数 | 戻り値 | 説明 |
---|---|---|---|
|
DOMAIN_HOME, <logoff-url> |
なし |
SSOを有効化して、ログオフURLを構成します。 |
|
DOMAIN_HOME |
なし |
SSOを無効化します。 |
Fusion Middleware Controlの「セキュリティ」タブを使用して、Oracle Business IntelligenceのSSO認証を有効化する方法。
『Oracle Business Intelligence Enterprise Editionシステム管理者ガイド』のOracle Fusion Middleware Controlの使用に関する項およびOracle Business Intelligenceコンポーネントの起動と停止に関する項を参照してください。
SSOの使用時に分析が保護されている場合、オンライン・カタログ・マネージャが新しいURLを指すことができるようにする方法。
Oracle Business IntelligenceのHTTP WebサーバーがSSOで有効になっている場合は、オンライン・カタログ・マネージャがOracle BIプレゼンテーション・サービスへの接続に失敗する可能性があります。「Fusion Middleware Controlの使用によるSSO認証の有効化」でSSOを有効にすると、Oracle Business IntelligenceのURL http://hostname:port_number/analytics
が保護され、そのかわりにオンライン・カタログ・マネージャの参照先をURL http://hostname:port_number/analytics-ws
に変更することが必要になります。このURLは、保護しないまま維持する必要があります。Oracle BI Publisher、Oracle BI Add-in for Microsoft Officeおよびオンライン・カタログ・マネージャによって使用されたときにSOAPアクセスのみを受け入れるように構成されます。
SSOが有効な場合にオンライン・カタログ・マネージャにログインするには、analytics-ws/saw.dll
をポイントするようにURLの接尾辞を変更する必要があります。