プライマリ・コンテンツに移動
Oracle® Fusion Middleware Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド
12
c
(12.2.1.4.0)
E96104-05
次
目次
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメントとその他のリソース
システム要件と動作要件
表記規則
Oracle Business Intelligenceのセキュリティの新機能
12
c
(12.2.1.3.0)の新機能
軽量のシングル・サインオン(SSO)
12
c
(12.2.1.2.0)の新機能
12
c
(12.2.1.1.0)の新機能
12
c
(12.2.1.0)の新機能
1
Oracle Business Intelligenceのセキュリティの紹介
Oracle Business Intelligence
でセキュリティを設定するための上位レベルのロードマップ
Oracle Business Intelligence
のセキュリティの概要
認証について
認可について
アプリケーション・ロールについて
セキュリティ・ポリシーについて
ユーザー、グループおよびアプリケーション・ロールについて
Oracle Business Intelligence
でセキュリティを構成するツールの使用
Oracle WebLogic Server
管理コンソールの使用
Oracle Fusion Middleware Controlの使用
Oracle BI管理ツール
の使用
プレゼンテーション・サービス
の管理ページの使用
Oracle Business Intelligenceでセキュリティを設定するためのプロセス
用語
2
デフォルト・セキュリティ構成を使用したセキュリティの管理
ユーザー、グループおよびアプリケーション・ロールの使用
ユーザー、グループおよびアプリケーション・ロールのセキュリティ設定の例
組込みWebLogic LDAPサーバーにおけるユーザーおよびグループの管理
新規グループおよび新規アプリケーション・ロールへのユーザーの割当て
組込みWebLogic LDAPサーバーにおける新規ユーザーの作成
組込みWebLogic LDAPサーバーにおける新規グループの作成
組込みWebLogic LDAPサーバーにおけるグループへのユーザーの割当て
ユーザーの削除
組込みWebLogic LDAPサーバーにおけるユーザー・パスワードの変更
Fusion Middleware Controlの使用によるアプリケーション・ロールおよびアプリケーション・ポリシーの管理
Fusion Middleware Controlの使用によるアプリケーション・ポリシーおよびアプリケーション・ロールの表示
Fusion Middleware Control
の使用によるアプリケーション・ロールの作成と削除
アプリケーション・ロールの作成
既存のロールからのアプリケーション・ロールの作成
アプリケーション・ロールへのグループの割当て
アプリケーション・ロールの削除
Fusion Middleware Controlを使用したアプリケーション・ポリシーの作成
Fusion Middleware Controlを使用したアプリケーション・ロールの変更
アプリケーション・ポリシーへのアプリケーション・ロールの追加
アプリケーション・ロールのメンバーの追加または削除
アプリケーション・ロール名の変更
Oracle BI管理ツール
の使用によるメタデータ・リポジトリ権限の管理
アプリケーション・ロールのメタデータ・リポジトリ権限の設定
メタデータ・リポジトリでのアプリケーション・ロールの管理 - 高度なセキュリティ構成トピック
アプリケーション・ロールの使用による
Presentation Services
の権限の管理
アプリケーション・ロールに対するPresentation Servicesの権限の設定
BI
プレゼンテーション・サービス
での資格証明の暗号化 - 高度なセキュリティ構成トピック
BI Publisherの使用によるデータ・ソース・アクセスの権限の管理
デフォルトの組込みOracle WebLogic Server LDAPアイデンティティ・ストアの高可用性の有効化
Oracle BIプレゼンテーション・カタログでのセキュリティ・タスクの管理のためのruncatの使用
3
代替認証プロバイダの使用
概要
代替認証プロバイダを構成するための大まかなステップ
代替認証プロバイダのグループおよびユーザーの設定
代替認証プロバイダを使用するためのOracle Business Intelligenceの構成
認証プロバイダとしてのOracle Internet Directoryの再構成
Oracle Internet Directoryオーセンティケータ固有のリファレンス
認証プロバイダとしてのMicrosoft Active Directoryの再構成
アイデンティティ・ストアでのユーザーおよびグループ名属性の構成
ユーザー名属性の構成
グループ名属性の構成
認証プロバイダとしてのLDAPの構成とデータベースへのグループの格納
前提条件
グループおよびグループ・メンバーのサンプル・スキーマの作成
Oracle WebLogic Server
管理コンソールの使用によるデータ・ソースおよびBISQLGroupProviderの構成
Oracle WebLogic Server
の使用によるプライマリ・アイデンティティ・ストアとしてのOracle Internet Directoryの構成
BISQLGroupProviderのインストール
Oracle WebLogic Server
管理コンソールの使用によるデータ・ソースの構成
BISQLGroupProvider SQLオーセンティケータの構成
仮想アイデンティティ・ストアの構成
アイデンティティ・ストアの構成による仮想化の有効化
LDAPに対するSSLの構成
グループ情報を取得するためのデータベース・アダプタの構成
アプリケーション・ロールへのデータベース・グループの追加による構成のテスト
アダプタのエラーの修正
認証プロバイダとしてのデータベースの構成
概要と前提条件
ユーザーおよびグループのサンプル・スキーマの作成
Oracle WebLogic Server
管理コンソールの使用によるデータ・ソースとSQLオーセンティケータの構成
Oracle WebLogic Server
管理コンソールの使用によるデータ・ソースの構成
Oracle WebLogic Server管理コンソールの使用によるSQL認証プロバイダの構成
SQLオーセンティケータのSELECT文のリファレンス
デフォルト・オーセンティケータ制御フラグの構成
認証プロバイダの並替え
仮想アイデンティティ・ストアの構成
データベース・アダプタの構成
SQL認証プロバイダのトラブルシューティング
Oracle WebLogic Server
管理コンソールの使用によるグローバルAdminロールへのユーザーの追加
SQLAuthenticatorに対する正しくないデータ・ソース名の指定
正しくないSQL問合せ
アダプタの削除および再作成によるデータベース・アダプタ・エラーの修正
Fusion Middleware Control
を使用したアイデンティティ・ストアの仮想化の構成
複数の認証プロバイダの構成
JAAS制御フラグ・オプションの設定
認証プロバイダとしての単一のLDAP認証プロバイダの構成
唯一のオーセンティケータとしての
Oracle Internet Directory
LDAP認証の構成
タスク1 - バックアップおよびリカバリの有効化
タスク2 - WebLogic Serverおよび代替認証プロバイダを使用するためのシステムの構成
タスク3 - OID LDAPでの必須ユーザーの特定または作成
タスク4 - WebLogicコンソールでのOID LDAPグループとグローバル・ロールとの関連付け
タスク5 - OID LDAPでのユーザーからグループへのメンバーシップの設定
タスク6 - デフォルトの認証プロバイダの削除
タスク7 - BIサービスの再起動
タスク8 - WebLogic Serverロールの削除
タスク9 - 代替認証メソッドの停止
トラブルシューティング
BIシステム・ユーザーの資格証明のリセット
4
SSO認証の有効化
Oracle Business IntelligenceのSSOの構成タスク
SSO認証およびOracle Business Intelligenceについて
SSO実装に関する考慮事項
Oracle Access Manager環境でのSSOの構成
Oracle WebLogic ServerのOIDオーセンティケータの構成
認証プロバイダのソース・リファレンス
Oracle WebLogic Server
の新しいIDアサーション・プロバイダとしてのOracle Access Managerの構成
カスタムSSO環境の構成
Smart Viewを使用したシングル・サインオンの構成
Oracle Business Intelligence
におけるSSO認証の使用の有効化
WLSTコマンドを使用したSSO認証の有効化および無効化
Fusion Middleware Controlの使用によるSSO認証の有効化
オンライン・カタログ・マネージャの接続の有効化
5
Oracle Business IntelligenceのSSLの構成
SSLとは
エンドツーエンドSSLの有効化
標準の非SSL
Oracle BI EE
システムの構成
WebLogic SSLの構成
管理サーバーのみの起動
HTTPSポートの構成
LDAPを使用するための内部WebLogic Server LDAPの構成
内部WebLogic Server LDAPのトラスト・ストアの構成
HTTPの無効化
再起動
t3sを使用するためのOWSMの構成
システムの再起動
Oracle BI EE
内部SSLの有効化
内部SSLの無効化
クライアント用の信頼およびアイデンティティのエクスポート
クライアント用のSSLの構成
クライアント証明書のエクスポート
BIスケジューラのSSLが有効化されている場合のSASchInvokeの使用
Oracle BI Job Managerの構成
Oracle BIプレゼンテーション・サービスへのオンライン・カタログ・マネージャの接続
SSL経由で通信するための
Oracle BI管理ツール
の構成
リモート・クライアント・アクセス用のODBC DSNの構成
SSL経由で通信するためのOracle BI Publisherの構成
証明書の有効期限の確認
証明書の置換え
リスナー・アドレスの変更後の証明書の更新
新しいサーバーの追加
構成テンプレート構成済システムのSSLの有効化
Business Intelligenceの内部SSLを使用しない場合のSSLの有効化
SSL暗号スイートの手動構成
外部システムへのSSL接続の構成
Fusion Middleware Control
の使用によるSMTPサーバーのSSLの構成
複数認証プロバイダ使用時のSSLの構成
Oracle BI EE
内部SSL使用のために予約されたWebLogicアーティファクト
A
レガシー・セキュリティ管理オプション
軽量SSOおよびレガシー認証オプション
レガシー認証オプション
初期化ブロックの使用によるLDAP認証の設定
LDAPサーバーの設定
LDAP認証でのUSERセッション変数の定義
ロギング・レベルの設定
外部表認証の設定
Oracle BIデリバーおよび外部初期化ブロックの認証について
認証の順序
カスタム・オーセンティケータ・プラグインを使用する認証
セッション変数の管理
サーバー・セッションの管理
セッション・マネージャの使用
代替認可オプション
プレゼンテーション・サービス
のセキュリティに影響する変更
初期化ブロックの使用による認可の設定
B
デフォルト・セキュリティ構成の理解
Oracle Business Intelligenceのセキュリティについて
セキュリティ・フレームワークについて
Oracle Platform Security Services
Oracle WebLogic Server
主なセキュリティ要素
サンプル・アプリケーションを使用したセキュリティ構成
デフォルト認証プロバイダ
ポリシー・ストア・プロバイダ
グループおよびアプリケーション・ロールを使用したユーザーへの権限の付与
権限の継承とロールの階層
インストール後の共通セキュリティ・タスク
C
Oracle Business Intelligence
におけるセキュリティのトラブルシューティング
ユーザーのログイン認証が失敗する問題の解決
認証の概念
インストール時のデフォルトの認証
Oracle WebLogic Server
管理コンソールおよび
Fusion Middleware Control
の使用による
Oracle Business Intelligence
の構成
WebLogicドメインおよびログの場所
WebLogic Server管理者ユーザー・アカウント
Oracle Business Intelligence
のログインの概要
ユーザーのログイン認証が失敗する原因の特定
ユーザーのログイン認証が失敗する問題の解決
Oracle Business Intelligence
に1人のユーザーがログインできない
ユーザー・エラーの結果としてログインが失敗したかどうか
アカウントがロックされているかどうか
オーセンティケータが正しく構成されていないことが原因で
Oracle Business Intelligence
にユーザーがログインできない
アイデンティティ・ストア/LDAPサーバーに正しいオーセンティケータを指定したかどうか
LDAPサーバーのオーセンティケータが正しく構成されているかどうか
Oracle Web Services Manager
が動作していないときにOracle Business Intelligenceにユーザーがログインできない
データベースに関する問題 - OWSMでポリシーを取得できない
OracleSystemUserに関する問題 - OWSMでポリシーを取得できない
Oracle Business Intelligence
にユーザーがログインできない - 外部アイデンティティ・ストアが正しく構成されているかどうか
ユーザーが任意のパスワードまたはパスワードなしでログインできる
デフォルト・オーセンティケータを削除した後にWebLogic Serverを起動できない
アイデンティティ・ストアとの非一貫性の解決
アイデンティティ・ストアからユーザーが削除される
アイデンティティ・ストアでユーザーの名前が変更される
ユーザー名に関連付けられているグループがアイデンティティ・ストアに存在しない
ポリシー・ストアとの非一貫性の解決
ポリシー・ストアからアプリケーション・ロールが削除される
ポリシー・ストアでアプリケーション・ロールの名前が変更される
SSL通信問題の解決
カスタムSSO環境の問題の解決
SSOを使用したRSSフィードの認証の解決
D
ダッシュボードと分析のセキュリティの管理
Oracle BIプレゼンテーション・サービス
のユーザーのセキュリティ管理
Oracle BIプレゼンテーション・サービスのセキュリティ設定
Oracle BIプレゼンテーション・サービス
のセキュリティの目標とは
ユーザーへの権限の割当て方法
Oracle BIプレゼンテーション・サービス
の管理ページの使用
管理ページの理解
プレゼンテーション・サービス
権限の管理
プレゼンテーション・サービス
の権限とは
プレゼンテーション・サービスのデフォルトの権限割当て
「Oracle BI Enterprise Editionアクションへのアクセス」
「「Oracle BI for Microsoft Officeへのアクセス」権限」
「「HTMLマークアップを含むコンテンツの保存」権限」
EnableSavingContentWithHTML
KPI、KPIウォッチリストおよびスコアカード作成の権限の特定
プレゼンテーション・サービス
でのセッションの管理
Oracle BIプレゼンテーション・サービス
のユーザーの権限およびパーミッションの判別
ユーザーの権限またはパーミッションの判別ルール
タスク1 - 該当ユーザーの明示的レコードの有無チェック
タスク2 - 該当ユーザーのカタログ・グループに対するレコードの有無チェック
タスク3 - 該当ユーザーのアプリケーション・ロールに対するレコードの有無チェック
タスク4 - デフォルト動作への戻し
タスク5 - 一致レコード一切なし
アプリケーション・ロールによるユーザーの権限の判別例
アプリケーション・ロールによるユーザーのパーミッションの判別例
削除されたカタログ・グループによるユーザーの権限の判別例
削除されたカタログ・グループによるユーザーのパーミッションの判別例
ユーザーへの共有ダッシュボードの提供
共有ダッシュボードのカタログ構造について
共有ダッシュボードの作成
ダッシュボードのテスト
ユーザー・コミュニティへのダッシュボードのリリース
ダッシュボードに保存されたカスタマイズ・オプションへのアクセス権の制御
ダッシュボードの保存済カスタマイズの概要
保存済カスタマイズの管理
保存済カスタマイズを作成するための権限の設定
保存済カスタマイズを管理するための使用シナリオ例
他のユーザーの代理実行の有効化
他のユーザーの代理実行を有効化する理由
プロキシ・レベルとは
他のユーザーの代理実行を有効化するプロセス
プロキシ・ユーザーとターゲット・ユーザーの関連付けの定義
プロキシ機能のセッション変数の作成
プロキシ機能の構成ファイルの設定の変更
プロキシ機能のカスタム・メッセージ・テンプレートの作成