Oracle® Fusion Middleware Oracle Business Intelligence Publisher管理者ガイド 12c (12.2.1.4.0以降) E96098-02 |
|
![]() 前 |
![]() 次 |
内容は次のとおりです。
この章では、Oracle BI Publisherのスタンドアロン実装(Oracle Business Intelligence Enterprise Edition外でのインストール)でのセキュリティの概要とオプションについて説明します。
次の点に注意してください。
Oracle BI Enterprise Editionをインストールしている場合は、『Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』のセキュリティ情報を参照してください。
BI Publisherを単独でインストールしてあり、Oracle Fusion Middlewareセキュリティを使用する予定の場合は、「セキュリティ・モデルについて」を参照してください。次のトピックがこの章に関連しています。
BI Publisherを次のOracleセキュリティ・モデルを使用して構成します。
Oracle BI Serverセキュリティ
Oracle E-Business Suiteセキュリティ
Oracle Databaseセキュリティ
Siebel CRMセキュリティ
「他のOracleセキュリティ・モデルとの統合」を参照してください。
この章の情報を使用して、次を構成します。
BI Publisherのセキュリティ
LDAPプロバイダとの統合
ノート:
Oracle WebLogic Serverでサポートされているアイデンティティ・ストア・プロバイダを、BI Publisherで使用するように構成できます。Oracle WebLogic Server管理コンソールを使用して、BI Publisherでかわりの外部アイデンティティ・ストアが実行されるように構成します。デフォルト・セキュリティ構成のカスタマイズを参照してください。
シングル・サインオン・プロバイダとの統合
BI Publisherでは、認証および認可に関する複数のオプションをサポートしています。
単一のセキュリティ・モデルを選択して認証と認可の両方を処理することも、認証用のシングル・サインオン・プロバイダやLDAPプロバイダを認可用の別のセキュリティ・モデルと併用するようにBI Publisherを構成することもできます。
ユーザーには1つまたは複数のロールが割り当てられます。
ロールにより、次のいずれかまたはすべての権限を付与できます。
機能を使用する権限
カタログのオブジェクトにアクションを実行する権限
データソースへのアクセス権
ロールを別のロールに割り当てることによって、ロールの階層を作成できます。この方法で、複数のロール権限を上位レベルのロールまでロールアップできます。次の図に、ユーザー、ロールおよびフォルダの階層構造の例を示します。
ユーザーおよびロールを設定するには、次の3つのオプションがあります。
BI Publisherセキュリティ・センターでのユーザーおよびロールの設定
このオプションを使用する場合は、この項の指示に従ってください。
LDAPサーバーを使用したBI Publisherの構成
このオプションについては、「認証および認可にLDAPプロバイダを使用するためのBI Publisherの構成」を参照してください。
サポートされているOracleセキュリティ・モデルでのユーザーおよびロールの設定。このオプションについては、「他のOracleセキュリティ・モデルとの統合」を参照してください。
アプリケーション内の特定の機能に対してアクセス権を付与するための機能ロールのセットがあります。ユーザーには、関連するタスクを実行する必要があるかどうかに基づいてロールを割り当てます。これらのロールは更新または削除できません。
次の表に、各機能ロールに付与されている権限を示します。
ロール | 権限 |
---|---|
BI Publisherスケジューラ |
表示エクスポート履歴スケジュール |
BI Publisherテンプレート・デザイナ |
表示エクスポート履歴(パブリック・レポートのみ)レイアウト・エディタへのアクセスの許可Template Builderからのログオンの許可 |
BI Publisherデベロッパ |
表示エクスポートスケジュール履歴レポートの編集レイアウト・エディタへのアクセスの許可Template Builderからのログオンの許可データ・モデル・エディタへのアクセスの許可 |
BI Publisher管理者 |
その他すべてのロールの権限の許可「管理」ページおよびすべての管理タスクへのアクセス権の付与 |
これらの権限を割り当てられたロールは、カタログ・オブジェクトに対する権限が付与されるまで、オブジェクトに対して何のアクションも実行できません。
Oracle Fusion Applications環境で、管理ユーザーが「レポート・ジョブ」ページまたは「レポート・ジョブ履歴」ページで別のユーザーのジョブを表示および編集できるようにするには、次のロールを管理ユーザーに割り当てて、他のユーザーの「レポート・ジョブ」ページおよび「レポート・ジョブ履歴」ページにアクセスできるようにします。
前述の機能ロールで許可されたアクションを実行するには、ロールに、カタログのオブジェクトへのアクセス権も付与されている必要があります。
次の表で、ロールの権限について説明します。
これらの各権限をフォルダ・レベルで付与することにより、フォルダ内のすべてのアイテムに対する操作が可能になります。
権限 | 説明 |
---|---|
読取り |
ロールに対してカタログのオブジェクトの表示を許可します。このオブジェクトがフォルダ内にある場合は、ロールには、オブジェクトとその親フォルダに対する読取り権限を付与する必要があります。 |
書込み |
|
削除 |
ロールに対してオブジェクトの削除を許可します。 |
レポート・オンラインの実行 |
ロールに対してレポートの実行とレポート・ビューアでのレポートの表示を許可します。 |
レポートのスケジュール |
ロールに対してレポートのスケジュールを許可します。 |
レポート出力の表示 |
ロールに対してレポートのレポート・ジョブ履歴へのアクセスを許可します。 |
レポート・コンシューマがレポートを正常に実行できるようにするためには、コンシューマのロールに、レポートで参照されるすべてのオブジェクトに対する読取りアクセス権が付与されている必要があることに注意してください。
たとえば、あるレポート・コンシューマがReportsという名前のフォルダでレポートを実行する必要があるとします。このレポートのデータ・モデルはData Modelsという名前のフォルダにあります。また、このレポートは、Sub Templatesというフォルダに格納されているサブ・テンプレートと、Style Templatesというフォルダに格納されているスタイル・テンプレートも参照します。そのため、このレポート・コンシューマのロールには、このようなフォルダとフォルダ内の該当オブジェクトすべてに対する読取りアクセス権が付与されている必要があります。
特定のルールによって権限の動作が決まります。
機能権限が割り当てられたロールは、カタログ権限が割り当てられるまで、何のアクションも実行できません。
ロールには、機能権限を割り当てることなく、カタログ・オブジェクトに対する権限セットを割り当てることができます。
ロールに機能権限が割り当てられている場合は、カタログ権限が割り当てられると、一部の権限が継承されます。
機能ロールが割り当てられたロールは、カタログ権限が割り当てられるまで、何のアクションも実行できません。
機能ロール自体(BI Publisherデベロッパ、BI Publisherスケジューラなど)には、カタログの権限を直接割り当てることはできません。まず、機能ロールをカスタム・ロールに割り当てる必要があります。割り当てると、このカスタム・ロールがカタログ権限の表で利用可能になります。
カタログで直接利用可能な権限を使用すると、レポートの実行、レポートのスケジュール、およびレポート出力の表示ができます。
したがって、レポートの実行と表示を行うためだけにBI Publisherにアクセスするレポート・コンシューマが企業に存在する場合は、このユーザーのロールはカタログ権限のみで構成されます。
ロールに機能ロールのいずれかが割り当てられている場合に、カタログの特定のフォルダに対する権限が付与されると、機能ロールに基づいて一部の権限が自動的に付与されます。
たとえば、財務レポート・デベロッパというロールを作成するとします。このロールにBI Publisherデベロッパ・ロールを割り当てます。このロールを使用してカタログ内のFinancial Reportsフォルダにレポートを作成するためには、このフォルダに対する読取り、書込みおよび削除の権限をこのロールに付与します。BI Publisherデベロッパ・ロールには、レポートの実行、レポートのスケジュールおよびレポート履歴の表示の権限が含まれているため、BI Publisherデベロッパ・ロールが割り当てられたロールが読取りアクセス権を持つすべてのフォルダに対して、これらの権限が自動的に付与されます。
データソースに対して実行されるレポートを表示したり、データソースを使用するデータ・モデルを構築または編集するには、データソースに対するアクセス権をロールに付与する必要があります。
データソースに対するアクセス権は、「ロールと権限」ページで追加します。「データ・アクセス権の付与」を参照してください。
この章では、ユーザー、ロールおよびデータ・アクセスを構成する手順を説明します。
「管理」ページでロールを作成します。
BI Publisherで新しいロールを作成するには:
データソースをロールに追加するには、「データ・アクセス権の付与」を参照してください。
「管理」ページでユーザーを作成します。
ロールからカタログのオブジェクトにアクセスするには、そのロールにオブジェクトとそのオブジェクトが含まれているフォルダの両方に対する読取り権限が付与されている必要があります。
権限はフォルダ・レベルで付与できるので、フォルダに含まれているオブジェクトとサブフォルダすべてに適用することも、個々のオブジェクトに適用することもできます。
カタログ権限をロールに付与するには:
権限はカタログ内で付与されるため、組織にロールを作成する場合やカタログを構築する場合には、この設計を認識していることが非常に重要です。
たとえば、次の表で説明するロールが組織に必要だとします。
ロール | 必要な権限 |
---|---|
売上レポート・コンシューマ |
営業部門のレポートを表示およびスケジュールする権限。 |
財務レポート・コンシューマ |
財務部門のレポートを表示およびスケジュールする権限。 |
エグゼクティブ・レポート・コンシューマ |
売上レポートと財務レポートの両方、およびエグゼクティブ・レベルのレポートを使用する権限。 |
売上レポート・デベロッパ |
営業部門専用のデータ・モデルとレポートを作成する権限。 |
財務レポート・デベロッパ |
財務部門専用のデータ・モデルとレポートを作成する権限。 |
レイアウト・デザイナ |
すべてのレポートのレポート・レイアウトを設計する権限。 |
次の表に示すようなカタログ構造を設定することを検討できます。
フォルダ | 目次 |
---|---|
Sales Reports |
売上レポート・コンシューマ用のすべてのレポート。売上レポートに関連するサブ・テンプレートとスタイル・テンプレートも含まれます。 |
Sales Data Models |
売上レポートのすべてのデータ・モデル。 |
Financials Reports |
財務レポート・コンシューマ用のすべてのレポート。財務レポートに関連するサブ・テンプレートとスタイル・テンプレートも含まれます。 |
Financials Data Models |
財務レポートのすべてのデータ・モデル。 |
Executive Reports |
エグゼクティブレベルのすべてのレポートとデータ・モデル。 |
ロールの設定は次のとおりです。
ロール構成の例
売上レポート・コンシューマ:
カタログ権限の付与:
Sales Reportsフォルダに売上レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポートのオンライン表示
「このフォルダ内の項目への権限の適用」の選択
Sales Data Modelsフォルダに売上レポート・コンシューマを追加し、次の権限を付与します。
読取り
データ・アクセス権の付与:
「ロール」ページで、ロールを選択し、「データソースの追加」をクリックします。売上レポートで使用されるデータソースをすべて追加します。
財務レポート・コンシューマ
カタログ権限の付与:
Financials Reportsフォルダに財務レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポートのオンライン表示
「このフォルダ内の項目への権限の適用」の選択
Financials Data Modelsフォルダに財務レポート・コンシューマを追加し、次の権限を付与します。
読取り
データ・アクセス権の付与:
「ロール」ページで、ロールを選択し、「データソースの追加」をクリックします。財務レポートで使用されるデータソースをすべて追加します。
エグゼクティブ・レポート・コンシューマ
ロールの割当て:
「ロール」タブで、エグゼクティブ・レポート・コンシューマに売上レポート・コンシューマ・ロールと財務レポート・コンシューマ・ロールを割り当てます。
カタログ権限の付与:
Executive Reportsフォルダにエグゼクティブ・レポート・コンシューマを追加し、次の権限を付与します。
読取り
レポートのスケジュール
レポート・オンラインの実行
レポートのオンライン表示
「このフォルダ内の項目への権限の適用」の選択
データ・アクセス権の付与:
「ロール」タブで、ロールを選択し、「データソースの追加」をクリックします。エグゼクティブ・レポートで使用されるデータソースをすべて追加します。
売上レポート・デベロッパ
ロールの割当て:
「ロール」タブで、売上レポート・コンシューマにBI Publisherデベロッパ・ロールとBI Publisherテンプレート・デザイナ・ロールを割り当てます。
データ・アクセス権の付与:
「ロール」タブで、売上レポート・デベロッパを選択し、「データソースの追加」をクリックします。売上データ・モデルを構築するデータソースをすべて追加します。
カタログ権限の付与:
カタログで、Sales Data Modelsフォルダに売上レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
Sales Reportsフォルダに売上レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
財務レポート・デベロッパ
ロールの割当て:
「ロール」タブで、財務レポート・デベロッパにBI Publisherデベロッパ・ロールとBI Publisherテンプレート・デザイナ・ロールを割り当てます。
データ・アクセス権の付与:
「ロール」タブで、財務レポート・デベロッパを選択し、「データソースの追加」をクリックします。財務データ・モデルを構築するデータソースをすべて追加します。
カタログ権限の付与:
カタログで、Financials Data Modelsフォルダに財務レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
Financials Reportsフォルダに財務レポート・デベロッパを追加し、次の権限を付与します。
読取り、書込み、削除
レイアウト・デザイナ
ロールの割当て:
「ロール」タブで、レイアウト・デザイナにBI Publisherテンプレート・デザイナ・ロールとBI Publisherデベロッパ・ロールを割り当てます。
カタログ権限の付与:
カタログで、Financials Data ModelsフォルダとSales Data Modelsフォルダに、レイアウト・デザイナ・ロールを追加し、次の権限を付与します。
読取り
Financials ReportsフォルダとSales Reportsフォルダに、レイアウト・デザイナを追加し、次の権限を付与します。
読取り、書込み、削除
BI PublisherでLDAPプロバイダを使用する場合、認証専用または認証および認可の両方に対応できます。
ノート:
BI Publisherではデフォルトで、BI Publisher固有のロールがユーザーに割り当てられていない場合でも、すべてのLDAPユーザーがシステムにログインできます。ユーザーはロールを必要とする機能(レポートやデータ・モデルの作成など)は実行できませんが、カタログ・オブジェクトに対して権限が割り当てられるロール(移動やオープンなど)を割り当てられているユーザーは、該当するタスクを実行できます。
BI Publisherロールが割り当てられている場合を除き、ユーザーがBI Publisherにログインできないようにするには、「BI Publisher固有のロールを持たないユーザーのログイン無効化」を参照してください。
BI PublisherをLDAPプロバイダと統合して、ユーザーとレポートのアクセス権を管理することができます。
LDAPサーバー内にユーザーとロールを作成し、LDAPサーバーにアクセスするようにBI Publisherサーバーを構成します。
BI Publisherのセキュリティ・センター・モジュールで、これらのロールにフォルダを割り当てます。サーバーにログインしたユーザーは、LDAPロールに割り当てられているフォルダおよびレポートにアクセスできます。
BI PublisherサーバーをOracle LDAPと統合する場合、3つの主要なタスクがあります。
サポート対象のLDAPサーバーでサポートされているハードウェアとソフトウェアの最新情報の詳細は、「システム要件と動作要件」を参照してください。
LDAPプロバイダでこの手順を実行する必要があります。この手順の実行方法の詳細は、プロバイダのドキュメントを参照してください。
ユーザーおよびロールを設定するには:
LDAPサーバーを認識するようにBI Publisherサーバーを構成するには、BI Publisherの「管理」ページでセキュリティ・プロパティを次のように更新します。
ノート:
BI Publisher設定の値を入力する前に、サイトのLDAPサーバー構成を理解していることを確認してください。
LDAPサーバーを使用するようにBI Publisherサーバーを構成するには:
次の図に、「セキュリティ構成」ページのLDAPセキュリティ・モデルの入力フィールドの例を示します。
SSL経由でLDAPを使用するようにBI Publisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。「Secure Socket Layer (SSL)通信用のBI Publisherの構成」を参照してください。
BI Publisher固有のロールを持たないユーザーがBI Publisherサーバーにログインできないようにするには、xmlp-server-config.xmlファイルで構成プロパティを設定します。
xmlp-server-config.xmlファイルは、次の場所にあります。
$DOMAIN_HOME/bidata/components/bipublisher/repository/Admin/Configuration/xmlp-server-config.xml
xmlp-server-config.xmlファイルに、次のプロパティと設定を追加します。
<property name="REQUIRE_XMLP_ROLE_FOR_LOGIN" value="true"/>
Microsoft Active Directoryでは、LDAPインタフェースをサポートしているため、LDAPセキュリティを使用することにより、BI Publisherと組み合せて構成できます。
ユーザーおよびシステム・グループを追加することにより、Active Directoryのサポートを構成します。
Active Directoryを構成するには:
BI Publisherへのアクセスが必要なユーザーを追加します。
ドメイン・ルート内のUsersまたはその他の組織単位でユーザーを追加します。
BI Publisherのシステム・グループを追加します。グループのスコープは、ドメイン・ローカルです。
次の表に、追加する必要のあるBI Publisherシステム・グループを示します。
BI Publisherシステム・グループ | 説明 |
---|---|
XMLP_ADMIN |
BI Publisherサーバーの管理者ロール。LDAPサーバーへのアクセスに使用する管理者アカウントにXMLP_ADMINグループを割り当てる必要があります。 |
XMLP_DEVELOPER |
レポートとデータ・モデルを作成および編集できるロール。 |
XMLP_SCHEDULER |
レポートをスケジュールできるロール。 |
XMLP_TEMPLATE_DESIGNER |
Template Builder for WordからBI Publisherサーバーに接続してテンプレートのアップロードとダウンロードができるロール。BI Publisherレイアウト・エディタを使用してレイアウトを設計できるロール。 |
BI Publisherのシステム・グループをグローバル・グループまたはユーザーに付与します。
BI Publisherのシステム・グループは、ユーザーに直接付与することもグローバル・グループを介して付与することもできます。
例1: ユーザーへのBI Publisher管理者ロールの付与
例2: ユーザーへのレポートのスケジュール機能へのアクセス権の付与
HR管理者グローバル・グループは、「ユーザー」で定義します。
このグループのすべてのユーザーがレポートをスケジュールする必要があります。
そのためには、HR管理者をXMLP_SCHEDULERグループのメンバーとして追加します。
「管理」ページでBI Publisherを構成します。
BI Publisherを構成するには:
SSL経由でLDAPを使用するようにBI Publisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。詳細は、「Secure Socket Layer(SSL)通信用のBI Publisherの構成」を参照してください。
「Active Directory ユーザーとコンピュータ」→「ユーザーのプロパティ」→「アカウント」で定義されているユーザーのログイン名がBI Publisherのログイン名に使用されます。
BI Publisherにログインするには、ユーザー名にドメインを追加します。たとえば、「scott_tiger@domainname.com」のようになります。
次の点に注意してください。
「ログイン・ユーザー名に使用される属性」には、userPrincipalNameではなくsAMAccountNameを指定できます。
BI Publisherログイン・ユーザー名にユーザー・ログオン名(Windows 2000以前)の使用が必要である場合は、「ログイン・ユーザー名に使用される属性」にsAMAccountNameを使用する必要があります。
ユーザー名はすべての組織単位を通じて一意である必要があります。
シングル・サインオン(SSO)ソリューションを統合することで、ユーザーはログオン(サインオン)して認証を受けるのを一度で済ませることができます。
その後、認証されたユーザーには、そのユーザーに付与された権限に応じて、システム・コンポーネントまたはリソースへのアクセス権が与えられます。BI Publisherは、Oracle Fusion MiddlewareおよびOracle WebLogic Server用に構成されているSSOソリューションによって認証された受信HTTPリクエストを信頼するように構成できます。Oracle Fusion Middleware用のSSO構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。
SSO認証を使用するようにBI Publisherが構成されている場合は、Oracle Fusion Middlewareで使用するように構成されている任意のSSOソリューションで認証されたユーザーを受け入れます。SSOが有効でない場合は、BI Publisherはユーザーごとに認証資格証明を確認します。BI PublisherがSSOを使用するように構成されている場合は、ユーザーは、まず、認証のためにSSOソリューションのログイン・ページにリダイレクトされます。
BI PublisherでSSO認証を使用できるように構成するには、少なくとも次のことを実行しておく必要があります。
SSO認証を受け付けるようにOracle Fusion MiddlewareとOracle WebLogic Serverを構成します。本番環境では、Oracle Access Managerをお薦めします。
受信メッセージを信頼するようにBI Publisherを構成します。
SSO構成でのIDの伝播に必要なHTTPヘッダー情報(つまり、ユーザーIDとSSOのCookie)を指定して構成します。
SSO認可が実装されると、BI Publisherは受信したWebリクエストがSSOで認証されたユーザーからのものであるかのように動作します。ユーザーのパーソナライゼーションと、データレベル・セキュリティなどのアクセス制御は、この環境で保持されます。
SSO認証の構成タスクと詳細情報へのリンクは、次の表を参照してください。
タスク | 説明 | 詳細情報 |
---|---|---|
Oracle Access ManagerをSSO認証プロバイダとして構成します。 |
BI PublisherのURLのエントリ・ポイントを保護するようにOracle Access Managerを構成します。 |
Oracle Access Manager環境でのSSOの構成 『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください |
HTTPプロキシを構成します。 |
BI PublisherからSSOプロバイダへリクエストを転送するようにWebプロキシを構成します。 |
|
Oracle WebLogic Server用に新しい認証プロバイダを構成します。 |
BI PublisherがインストールされているOracle WebLogic Serverドメインで、新しいアイデンティティ・ストアを使用するように構成します。 |
Oracle WebLogic Serverの新しい認証プロバイダの構成 Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください |
Oracle WebLogic Serverの新しいIDアサーション・プロバイダを構成します。 |
BI PublisherがインストールされているOracle WebLogic Serverドメインで、アサーション・プロバイダとしてSSOプロバイダを使用するように構成します。 |
|
BI PublisherがSSO認証を受け入れられるようにします。 |
BI Publisherと連携するよう構成されているSSOプロバイダを有効にします。 |
ノート:
Oracle Business IntelligenceのSSOのインストレーション・シナリオの例については、『Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド』を参照してください。
WebLogic ServerとOracle Fusion MiddlewareのSSO認証プロバイダとしてOracle Access Managerを構成します。
『Oracle Platform Security Servicesによるアプリケーションの保護』 を参照してください。
Oracle Fusion Middleware環境を構成した後、BI Publisherを構成するため、一般的に次を行う必要があります。
BI PublisherのURLエントリ・ポイントを保護するようにSSOプロバイダを構成します。
BI PublisherからSSOプロバイダへリクエストを転送するようにWebサーバーを構成します。
BI PublisherがインストールされているOracle WebLogic Serverドメインのメイン認証ソースとして新しいアイデンティティ・ストアを構成します。詳細は、「Oracle WebLogic Serverの新しい認証プロバイダの構成」を参照してください。
BI PublisherがインストールされているOracle Access Managerドメインで、Oracle Access Managerアサーション・プロバイダを使用するように構成します。詳細は、「Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOAMの構成」を参照してください。
SSO環境の構成が完了したら、BI PublisherのSSO認証を有効化します。詳細は、「Oracle Fusion MiddlewareセキュリティのBI Publisherの構成」を参照してください。
BI Publisherのインストール後、Oracle WebLogic Serverの組込みLDAPサーバーがデフォルトの認証ソース(アイデンティティ・ストア)になります。新しいアイデンティティ・ストア (OIDなど)をメイン認証ソースとして使用するには、(BI Publisherがインストールされている)Oracle WebLogic Serverドメインを構成する必要があります。
Oracle WebLogic Serverでの認証プロバイダの構成の詳細は、『Oracle WebLogic Serverセキュリティの管理』を参照してください。
Oracle WebLogic Serverで新しい認証プロバイダを構成するには:
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
デフォルトのセキュリティ・レルムはmyrealmという名前です。
「プロバイダ」タブを表示し、「認証」サブタブを表示します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動します。
各フィールドに次の情報を入力します。
名前: 「OID Provider」または任意の名前。
タイプ: OracleInternetDirectoryAuthenticator
「OK」をクリックし、変更を保存して、新しい認証プロバイダで更新された認証プロバイダ・リストを表示します。
認証プロバイダの表で、新たに追加した認証プロバイダをクリックします。
「設定」に移動して、「構成」→「共通」タブを選択します。
「制御フラグ」リストで「SUFFICIENT」を選択します。
「保存」をクリックします。
「プロバイダ固有」タブをクリックし、使用する環境に適切な値を使用して、次の設定を指定します。
セクション名 | フィールド名 | 説明 |
---|---|---|
接続 |
ホスト |
LDAPホスト名。たとえば、<localhost>などです。 |
接続 |
ポート |
LDAPホストのリスニング・ポート番号。たとえば、6050です。 |
接続 |
プリンシパル |
LDAPサーバーに接続するユーザーの識別名(DN)。たとえば、cn=orcladminです。 |
接続 |
資格証明 |
プリンシパルとして入力されたLDAP管理ユーザーのパスワード。 |
ユーザー |
ユーザー・ベースDN |
ユーザーを含むLDAPサーバー・ツリーのベース識別名(DN)。たとえば、Oracle Access Managerと同じ値を使用します。 |
ユーザー |
すべてのユーザーのフィルタ |
LDAP検索フィルタ。たとえば、(&(uid=*) (objectclass=person))などです。アスタリスク(*)は、すべてのユーザーをフィルタします。詳細は、「詳細」をクリックします。 |
ユーザー |
名前指定によるユーザー・フィルタ |
LDAP検索フィルタ。詳細は、「詳細」をクリックします。 |
ユーザー |
ユーザー名属性 |
認証に使用する属性(cn、uid、mailなど)。ディレクトリ・サーバーのユーザー名のデフォルトの属性として設定します。たとえば、uidなどです。 ノート: ここで指定する値は、認証プロバイダで使用しているユーザー名属性と一致している必要があります。 |
グループ |
グループ・ベースDN |
グループ(ユーザー・ベースDNと同じ)を含むLDAPサーバー・ツリーのベース識別名(DN)。 |
一般 |
GUID属性 |
LDAPでオブジェクトGUIDの定義に使用する属性。 orclguid |
「保存」をクリックします。
次のステップを実行して、IDアサーション・プロバイダと併用できるようにデフォルトの認証プロバイダを設定します。
メインの「myrealmの設定」ページで「プロバイダ」タブを表示してから、「認証」サブタブを表示して、「DefaultAuthenticator」を選択してその構成ページを表示します。
「構成」→「共通」タブを表示し、「制御フラグ」リストで「SUFFICIENT」を選択します。
「保存」をクリックします。
次のステップに従ってプロバイダを並べ替えます。
「プロバイダ」タブで「並替え」をクリックすると、「認証プロバイダの並替え」ページが表示されます
プロバイダ名を選択してから矢印ボタンを使用して、次の順序でプロバイダのリストを並べます。
OID認証プロバイダ(SUFFICIENT)
OAMアイデンティティ・アサータ(REQUIRED)
デフォルト認証プロバイダ(SUFFICIENT)
「OK」をクリックして、変更を保存します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
BI PublisherがインストールされているOracle WebLogic Serverドメインが、Oracle Access Managerアサーション・プロバイダを使用するように構成されている必要があります。
Oracle WebLogic Serverに新しいアサーション・プロバイダを作成する方法の詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください。
Oracle WebLogic Serverの新しいアサーション・プロバイダとしてOracle Access Managerを構成するには:
Oracle WebLogic Server管理コンソールにログインします。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、myrealmです。「プロバイダ」を選択します。
「新規」をクリックします。各フィールドに次の情報を入力します。
名前: 「OAM Provider」または任意の名前。
タイプ: OAMIdentityAsserter。
「OK」をクリックします。
「保存」をクリックします。
「プロバイダ」タブで、次のステップに従ってプロバイダを並べ替えます。
「並替え」をクリックします
「認証プロバイダの並替え」ページでプロバイダ名を選択し、リストの横にある矢印を使用して、次の順序でプロバイダを並べます。
OID認証プロバイダ(SUFFICIENT)
OAMアイデンティティ・アサータ(REQUIRED)
デフォルト認証プロバイダ(SUFFICIENT)
「OK」をクリックして、変更を保存します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
Oracle WebLogic Serverに再度ログインして、LDAPサーバーに格納されているユーザーおよびグループがコンソールに表示されていることを確認することによって、Oracle Internet Directoryが新しいアイデンティティ・ストア(デフォルトの認証プロバイダ)であることを確認できます。
Fusion Middleware Controlを使用して、SSO認証を有効化します。
「アイデンティティ・ストア構成」ページでOracleシングル・サインオンを設定します。
Oracleシングル・サインオンを設定するには、最初に『Oracle WebLogic Serverセキュリティの管理』の指示に従ってWebLogic Serverを構成します。Oracle Internet DirectoryをデフォルトのLDAPサーバーとして使用するように、BI Publisherを構成する必要があります。
ノート:
Oracle SSOを使用する場合、BI PublisherではHTTPヘッダー値であるOsso-User-Dnからログイン・ユーザー名が得られることを前提としています。たとえば、HTTPヘッダーのOsso-User-Dnが次のとおりだとします。
cn=admin,cn=users, dc=us,dc=oracle,dc=com
BI Publisherでは、最初のcn=値がログイン・ユーザー名であるとみなします(この場合はadmin)。
したがって、Osso-User-Dnの最初のcn値にログイン・ユーザー名が指定されていない場合は、(Oracle SSOを使用している場合でも)その他のSSOタイプを選択し、設定を構成します。