3 代替のセキュリティ・オプション

この章では、シングル・サインオン(SSO)、LDAPオプション、Oracle Access Manager (OAM)およびMicrosoft Active DirectoryをはじめとするBI Publisherの代替のセキュリティ・オプションについて説明します。

内容は次のとおりです。

• 代替のセキュリティ・オプションについて

• 認証オプションと認可オプション

• BI Publisherのユーザー、ロールおよび権限の概要

• 機能を使用する権限について

• カタログ権限について

• 複数の機能権限を連携させる方法

• データソースに対するアクセス権について

• ユーザー、ロールおよびデータ・アクセスの構成

• セキュリティとカタログの編成

• BI PublisherでのLDAPの使用方法

• Microsoft Active Directoryとの統合

• BI Publisherのシングル・サインオンの構成(SSO)

• Oracle Access Manager環境でのSSOの構成

• Oracle Single Sign-Onの設定

代替のセキュリティ・オプションについて

この章では、Oracle BI Publisherのスタンドアロン実装(Oracle Business Intelligence Enterprise Edition外でのインストール)でのセキュリティの概要とオプションについて説明します。

次の点に注意してください。

• Oracle BI Enterprise Editionをインストールしている場合は、『Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド』のセキュリティ情報を参照してください。

• BI Publisherを単独でインストールしてあり、Oracle Fusion Middlewareセキュリティを使用する予定の場合は、「セキュリティ・モデルについて」を参照してください。次のトピックがこの章に関連しています。

  • カタログ権限について

  • データソースに対するアクセス権について

• BI Publisherを次のOracleセキュリティ・モデルを使用して構成します。

  • Oracle BI Serverセキュリティ

  • Oracle E-Business Suiteセキュリティ

  • Oracle Databaseセキュリティ

  • Siebel CRMセキュリティ

  「他のOracleセキュリティ・モデルとの統合」を参照してください。

この章の情報を使用して、次を構成します。

• BI Publisherのセキュリティ

• LDAPプロバイダとの統合

  ノート:

  Oracle WebLogic Serverでサポートされているアイデンティティ・ストア・プロバイダを、BI Publisherで使用するように構成できます。Oracle WebLogic Server管理コンソールを使用して、BI Publisherでかわりの外部アイデンティティ・ストアが実行されるように構成します。デフォルト・セキュリティ構成のカスタマイズを参照してください。

• シングル・サインオン・プロバイダとの統合

認証オプションと認可オプション

BI Publisherでは、認証および認可に関する複数のオプションをサポートしています。

単一のセキュリティ・モデルを選択して認証と認可の両方を処理することも、認証用のシングル・サインオン・プロバイダやLDAPプロバイダを認可用の別のセキュリティ・モデルと併用するようにBI Publisherを構成することもできます。

BI Publisherのユーザー、ロールおよび権限の概要

ユーザーには1つまたは複数のロールが割り当てられます。

ロールにより、次のいずれかまたはすべての権限を付与できます。

• 機能を使用する権限

• カタログのオブジェクトにアクションを実行する権限

• データソースへのアクセス権

ロールを別のロールに割り当てることによって、ロールの階層を作成できます。この方法で、複数のロール権限を上位レベルのロールまでロールアップできます。次の図に、ユーザー、ロールおよびフォルダの階層構造の例を示します。

図GUID-FF32E8E9-A62B-4044-96BF-7CACFE34390B-default.gifの説明

ユーザーとロールの構成オプション

ユーザーおよびロールを設定するには、次の3つのオプションがあります。

• BI Publisherセキュリティ・センターでのユーザーおよびロールの設定

  このオプションを使用する場合は、この項の指示に従ってください。

• LDAPサーバーを使用したBI Publisherの構成

  このオプションについては、「認証および認可にLDAPプロバイダを使用するためのBI Publisherの構成」を参照してください。

• サポートされているOracleセキュリティ・モデルでのユーザーおよびロールの設定。このオプションについては、「他のOracleセキュリティ・モデルとの統合」を参照してください。

機能を使用する権限について

アプリケーション内の特定の機能に対してアクセス権を付与するための機能ロールのセットがあります。ユーザーには、関連するタスクを実行する必要があるかどうかに基づいてロールを割り当てます。これらのロールは更新または削除できません。

次の表に、各機能ロールに付与されている権限を示します。

ロール	権限
BI Publisherスケジューラ	表示エクスポート履歴スケジュール
BI Publisherテンプレート・デザイナ	表示エクスポート履歴(パブリック・レポートのみ)レイアウト・エディタへのアクセスの許可Template Builderからのログオンの許可
BI Publisherデベロッパ	表示エクスポートスケジュール履歴レポートの編集レイアウト・エディタへのアクセスの許可Template Builderからのログオンの許可データ・モデル・エディタへのアクセスの許可
BI Publisher管理者	その他すべてのロールの権限の許可「管理」ページおよびすべての管理タスクへのアクセス権の付与

これらの権限を割り当てられたロールは、カタログ・オブジェクトに対する権限が付与されるまで、オブジェクトに対して何のアクションも実行できません。

Oracle Fusion Applications環境で、管理ユーザーが「レポート・ジョブ」ページまたは「レポート・ジョブ履歴」ページで別のユーザーのジョブを表示および編集できるようにするには、次のロールを管理ユーザーに割り当てて、他のユーザーの「レポート・ジョブ」ページおよび「レポート・ジョブ履歴」ページにアクセスできるようにします。

• view= ESS Monitor
• update= ESS Administrator

カタログ権限について

前述の機能ロールで許可されたアクションを実行するには、ロールに、カタログのオブジェクトへのアクセス権も付与されている必要があります。

次の表で、ロールの権限について説明します。

これらの各権限をフォルダ・レベルで付与することにより、フォルダ内のすべてのアイテムに対する操作が可能になります。

権限	説明
読取り	ロールに対してカタログのオブジェクトの表示を許可します。このオブジェクトがフォルダ内にある場合は、ロールには、オブジェクトとその親フォルダに対する読取り権限を付与する必要があります。
書込み	レポート — BI Publisherデベロッパ・ロールが必要です データ・モデル — BI Publisherデベロッパ・ロールが必要です サブ・テンプレートとスタイル・テンプレート - BI Publisherデベロッパ・ロールまたはBI Publisherテンプレート・デザイナ・ロール
削除	ロールに対してオブジェクトの削除を許可します。
レポート・オンラインの実行	ロールに対してレポートの実行とレポート・ビューアでのレポートの表示を許可します。
レポートのスケジュール	ロールに対してレポートのスケジュールを許可します。
レポート出力の表示	ロールに対してレポートのレポート・ジョブ履歴へのアクセスを許可します。

レポート・コンシューマがレポートを正常に実行できるようにするためには、コンシューマのロールに、レポートで参照されるすべてのオブジェクトに対する読取りアクセス権が付与されている必要があることに注意してください。

たとえば、あるレポート・コンシューマがReportsという名前のフォルダでレポートを実行する必要があるとします。このレポートのデータ・モデルはData Modelsという名前のフォルダにあります。また、このレポートは、Sub Templatesというフォルダに格納されているサブ・テンプレートと、Style Templatesというフォルダに格納されているスタイル・テンプレートも参照します。そのため、このレポート・コンシューマのロールには、このようなフォルダとフォルダ内の該当オブジェクトすべてに対する読取りアクセス権が付与されている必要があります。

各種機能権限の動作

特定のルールによって権限の動作が決まります。

• 機能権限が割り当てられたロールは、カタログ権限が割り当てられるまで、何のアクションも実行できません。

• ロールには、機能権限を割り当てることなく、カタログ・オブジェクトに対する権限セットを割り当てることができます。

• ロールに機能権限が割り当てられている場合は、カタログ権限が割り当てられると、一部の権限が継承されます。

ロールにはカタログ権限の割当てが必要

機能ロールが割り当てられたロールは、カタログ権限が割り当てられるまで、何のアクションも実行できません。

機能ロール自体(BI Publisherデベロッパ、BI Publisherスケジューラなど)には、カタログの権限を直接割り当てることはできません。まず、機能ロールをカスタム・ロールに割り当てる必要があります。割り当てると、このカスタム・ロールがカタログ権限の表で利用可能になります。

ロールにはカタログ権限のみの付与が可能

カタログで直接利用可能な権限を使用すると、レポートの実行、レポートのスケジュール、およびレポート出力の表示ができます。

したがって、レポートの実行と表示を行うためだけにBI Publisherにアクセスするレポート・コンシューマが企業に存在する場合は、このユーザーのロールはカタログ権限のみで構成されます。

継承される権限

ロールに機能ロールのいずれかが割り当てられている場合に、カタログの特定のフォルダに対する権限が付与されると、機能ロールに基づいて一部の権限が自動的に付与されます。

たとえば、財務レポート・デベロッパというロールを作成するとします。このロールにBI Publisherデベロッパ・ロールを割り当てます。このロールを使用してカタログ内のFinancial Reportsフォルダにレポートを作成するためには、このフォルダに対する読取り、書込みおよび削除の権限をこのロールに付与します。BI Publisherデベロッパ・ロールには、レポートの実行、レポートのスケジュールおよびレポート履歴の表示の権限が含まれているため、BI Publisherデベロッパ・ロールが割り当てられたロールが読取りアクセス権を持つすべてのフォルダに対して、これらの権限が自動的に付与されます。

データソースに対するアクセス権について

データソースに対して実行されるレポートを表示したり、データソースを使用するデータ・モデルを構築または編集するには、データソースに対するアクセス権をロールに付与する必要があります。

データソースに対するアクセス権は、「ロールと権限」ページで追加します。「データ・アクセス権の付与」を参照してください。

ユーザー、ロールおよびデータ・アクセス権の構成

この章では、ユーザー、ロールおよびデータ・アクセスを構成する手順を説明します。

• ロールの作成

• ユーザーの作成およびユーザーへのロールの割当て

• カタログ権限の付与

• データ・アクセス権の付与

ロールの作成

「管理」ページでロールを作成します。

BI Publisherで新しいロールを作成するには:

1. BI Publisherの「管理」ページに移動します。
2. 「セキュリティ・センター」で「ロールと権限」をクリックします。
3. 「ロールの作成」をクリックします。
4. ロールの名前を入力し、オプションで説明を入力します。
5. 「適用」をクリックします。
6. 「ロールの割当て」をクリックし、ロールをユーザーに割り当てます。
7. シャトル・ボタンを使用して、ロールを「使用可能なロール」から「割当済ロール」に移動します。「適用」をクリックします。
8. ロールを別のロールに追加するには、「ロールの追加」をクリックします。
9. シャトル・ボタンを使用して、ロールを「使用可能なロール」から「含まれているロール」に移動します。「適用」をクリックします。

データソースをロールに追加するには、「データ・アクセス権の付与」を参照してください。

ユーザーの作成およびユーザーへのロールの割当て

「管理」ページでユーザーを作成します。

ユーザー・グループを作成してロールを割り当てるには:

1. BI Publisherの「管理」ページに移動します。
2. 「セキュリティ・センター」で「ユーザー」をクリックします。
3. 「ユーザーの作成」をクリックします。
4. ユーザーの「ユーザー名」と「パスワード」を追加します。
5. 「適用」をクリックします。
6. 「ロールの割当て」をクリックし、ロールをユーザーに割り当てます。
7. シャトル・ボタンを使用して、ロールを「使用可能なロール」から「割当済ロール」に移動します。「適用」をクリックします。

カタログ権限の付与

ロールからカタログのオブジェクトにアクセスするには、そのロールにオブジェクトとそのオブジェクトが含まれているフォルダの両方に対する読取り権限が付与されている必要があります。

権限はフォルダ・レベルで付与できるので、フォルダに含まれているオブジェクトとサブフォルダすべてに適用することも、個々のオブジェクトに適用することもできます。

カタログ権限をロールに付与するには:

1. カタログにナビゲートします。
2. 権限を付与するフォルダやオブジェクトを選択し、「詳細」をクリックします。メニュー(次の図に示す)から「権限」を選択します。または、該当のフォルダを選択し、「タスク」リージョンで「権限」をクリックします。

   ノート:

   ルートの共有フォルダに対する権限は付与できません。

   
   

   
   図GUID-985301E8-0982-45FE-A2A8-F5B3661523BD-default.gifの説明

   
   
3. 「権限」ダイアログで「作成」をクリックします。
   
   

   
   図GUID-2156A3B8-2236-4F02-9D38-E37F5ACDCC8D-default.gifの説明

   
   
4. 「ロールの追加」ダイアログ・ボックスで、検索文字列を入力してロールを検索するか、「検索」をクリックしてすべてのロールを表示します。シャトル・ボタンを使用してロールを「使用可能なロール」リストから「選択済ロール」リストに移動します。
   
   

   
   図GUID-C2B2976E-36AB-4B5E-A784-C00309D069C5-default.gifの説明

   
   
5. 完了したら、「OK」をクリックして、「権限」ダイアログ・ボックスに戻ります。
6. 「権限」ダイアログ・ボックスで、ロールで必要な権限を構成します。
   
   

   
   図GUID-AA38DFC5-FBF8-4529-9CFD-E60532745DE7-default.gifの説明

   
   

   次の点に注意してください。

   • レポート・デベロッパ・ロールの横のアイコンは、このロールにBI Publisherの機能ロールのいずれか1つ(この場合は、BI Publisherデベロッパ・ロール)が割り当てられていることを示しています。

   • レポート・デベロッパ・ロールにこのフォルダに対するアクセス権が割り当てられると、BI Publisherデベロッパ・ロールが保持する権限に基づいて、レポート・オンラインの実行、レポートのスケジュール、およびレポート出力の表示の権限が自動的に付与されます。

7. フォルダに権限を付与するときに、その権限をすべてのオブジェクトに適用する場合は、「このフォルダ内の項目への権限の適用」を選択します。

データ・アクセス権の付与

特定のレポートを実行またはスケジュールする、あるいは特定のデータ・モデルを作成または編集するために、データソースへのアクセス権をロールに付与する必要があります。

ロールで次のことを実行する必要がある場合には、データソースに対するアクセス権をロールに付与する必要があります。

• データソースからデータを取得するデータ・モデルに基づいて作成されたレポートの実行またはスケジュール

• データソースからデータを取得するデータ・モデルの作成または編集

ロールにデータソースへのアクセス権限を付与するには:

1. BI Publisherの「管理」ページに移動します。
2. 「セキュリティ・センター」で「ロールと権限」をクリックします。
3. 「ロールと権限」ページで、該当のロールを選択し、「データソースの追加」をクリックします。
4. 「データソースの追加」ページには、次の各タイプのデータソースのリージョンが表示されます。

   • データベース接続

   • ファイル・ディレクトリ

   • LDAP接続

   • OLAP接続

5. シャトル・ボタンを使用して、目的のデータソースを「使用可能なデータソース」リストから「許可されたデータソース」リストに移動します。
6. 完了したら、「適用」をクリックします。

セキュリティとカタログの編成

権限はカタログ内で付与されるため、組織にロールを作成する場合やカタログを構築する場合には、この設計を認識していることが非常に重要です。

たとえば、次の表で説明するロールが組織に必要だとします。

ロール	必要な権限
売上レポート・コンシューマ	営業部門のレポートを表示およびスケジュールする権限。
財務レポート・コンシューマ	財務部門のレポートを表示およびスケジュールする権限。
エグゼクティブ・レポート・コンシューマ	売上レポートと財務レポートの両方、およびエグゼクティブ・レベルのレポートを使用する権限。
売上レポート・デベロッパ	営業部門専用のデータ・モデルとレポートを作成する権限。
財務レポート・デベロッパ	財務部門専用のデータ・モデルとレポートを作成する権限。
レイアウト・デザイナ	すべてのレポートのレポート・レイアウトを設計する権限。

次の表に示すようなカタログ構造を設定することを検討できます。

フォルダ	目次
Sales Reports	売上レポート・コンシューマ用のすべてのレポート。売上レポートに関連するサブ・テンプレートとスタイル・テンプレートも含まれます。
Sales Data Models	売上レポートのすべてのデータ・モデル。
Financials Reports	財務レポート・コンシューマ用のすべてのレポート。財務レポートに関連するサブ・テンプレートとスタイル・テンプレートも含まれます。
Financials Data Models	財務レポートのすべてのデータ・モデル。
Executive Reports	エグゼクティブレベルのすべてのレポートとデータ・モデル。

ロールの設定は次のとおりです。

ロール構成の例

売上レポート・コンシューマ:

カタログ権限の付与:

• Sales Reportsフォルダに売上レポート・コンシューマを追加し、次の権限を付与します。

  読取り

  レポートのスケジュール

  レポート・オンラインの実行

  レポートのオンライン表示

  「このフォルダ内の項目への権限の適用」の選択

• Sales Data Modelsフォルダに売上レポート・コンシューマを追加し、次の権限を付与します。

  読取り

データ・アクセス権の付与:

「ロール」ページで、ロールを選択し、「データソースの追加」をクリックします。売上レポートで使用されるデータソースをすべて追加します。

財務レポート・コンシューマ

カタログ権限の付与:

• Financials Reportsフォルダに財務レポート・コンシューマを追加し、次の権限を付与します。

  読取り

  レポートのスケジュール

  レポート・オンラインの実行

  レポートのオンライン表示

  「このフォルダ内の項目への権限の適用」の選択

• Financials Data Modelsフォルダに財務レポート・コンシューマを追加し、次の権限を付与します。

  読取り

データ・アクセス権の付与:

「ロール」ページで、ロールを選択し、「データソースの追加」をクリックします。財務レポートで使用されるデータソースをすべて追加します。

エグゼクティブ・レポート・コンシューマ

ロールの割当て:

「ロール」タブで、エグゼクティブ・レポート・コンシューマに売上レポート・コンシューマ・ロールと財務レポート・コンシューマ・ロールを割り当てます。

カタログ権限の付与:

• Executive Reportsフォルダにエグゼクティブ・レポート・コンシューマを追加し、次の権限を付与します。

  読取り

  レポートのスケジュール

  レポート・オンラインの実行

  レポートのオンライン表示

  「このフォルダ内の項目への権限の適用」の選択

データ・アクセス権の付与:

「ロール」タブで、ロールを選択し、「データソースの追加」をクリックします。エグゼクティブ・レポートで使用されるデータソースをすべて追加します。

売上レポート・デベロッパ

ロールの割当て:

「ロール」タブで、売上レポート・コンシューマにBI Publisherデベロッパ・ロールとBI Publisherテンプレート・デザイナ・ロールを割り当てます。

データ・アクセス権の付与:

「ロール」タブで、売上レポート・デベロッパを選択し、「データソースの追加」をクリックします。売上データ・モデルを構築するデータソースをすべて追加します。

カタログ権限の付与:

• カタログで、Sales Data Modelsフォルダに売上レポート・デベロッパを追加し、次の権限を付与します。

  読取り、書込み、削除

• Sales Reportsフォルダに売上レポート・デベロッパを追加し、次の権限を付与します。

  読取り、書込み、削除

財務レポート・デベロッパ

ロールの割当て:

「ロール」タブで、財務レポート・デベロッパにBI Publisherデベロッパ・ロールとBI Publisherテンプレート・デザイナ・ロールを割り当てます。

データ・アクセス権の付与:

「ロール」タブで、財務レポート・デベロッパを選択し、「データソースの追加」をクリックします。財務データ・モデルを構築するデータソースをすべて追加します。

カタログ権限の付与:

• カタログで、Financials Data Modelsフォルダに財務レポート・デベロッパを追加し、次の権限を付与します。

  読取り、書込み、削除

• Financials Reportsフォルダに財務レポート・デベロッパを追加し、次の権限を付与します。

  読取り、書込み、削除

レイアウト・デザイナ

ロールの割当て:

「ロール」タブで、レイアウト・デザイナにBI Publisherテンプレート・デザイナ・ロールとBI Publisherデベロッパ・ロールを割り当てます。

カタログ権限の付与:

• カタログで、Financials Data ModelsフォルダとSales Data Modelsフォルダに、レイアウト・デザイナ・ロールを追加し、次の権限を付与します。

  読取り

• Financials ReportsフォルダとSales Reportsフォルダに、レイアウト・デザイナを追加し、次の権限を付与します。

  読取り、書込み、削除

BI PublisherでのLDAPの使用方法

BI PublisherでLDAPプロバイダを使用する場合、認証専用または認証および認可の両方に対応できます。

ノート:

BI Publisherではデフォルトで、BI Publisher固有のロールがユーザーに割り当てられていない場合でも、すべてのLDAPユーザーがシステムにログインできます。ユーザーはロールを必要とする機能(レポートやデータ・モデルの作成など)は実行できませんが、カタログ・オブジェクトに対して権限が割り当てられるロール(移動やオープンなど)を割り当てられているユーザーは、該当するタスクを実行できます。

BI Publisherロールが割り当てられている場合を除き、ユーザーがBI Publisherにログインできないようにするには、「BI Publisher固有のロールを持たないユーザーのログイン無効化」を参照してください。

• 認証専用にLDAPプロバイダを使用するためのBI Publisherの構成

• 認証および認可にLDAPプロバイダを使用するためのBI Publisherの構成

認証専用にLDAPプロバイダを使用するためのBI Publisherの構成

認可用の別のセキュリティ・モデルと組み合せてLDAPプロバイダを認証に使用するようにBI Publisherを構成します。

1. 「管理」ページの「セキュリティ・センター」,で、「セキュリティ構成」をクリックします。
2. ローカル・スーパーユーザーを作成します。

   スーパーユーザー名とパスワードを入力し、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択します。ローカル・スーパーユーザーを有効化すると、セキュリティ・モデルの構成エラーが発生した場合でも、BI Publisherの「管理」ページにアクセスできます。

3. 「認証」リージョンまでスクロールします。「LDAPの使用」チェック・ボックスを選択します。
4. 次のように入力します。

   • URL

     例: ldap://example.com:389/

     SSL経由でLDAPを使用している場合は、次のことに注意してください。

     • プロトコルはldapsです

     • デフォルト・ポートは636です。

     URLはたとえばldaps://example.com:636/のようになります

   • LDAPサーバーの「管理者ユーザー名」 と「パスワード」

     ここに入力する管理者ユーザーは、XMLP_ADMINグループのメンバーにもなっている必要があります。

   • ユーザーの識別名

     例: cn=Users,dc=example,dc=com

     識別名の値では大文字と小文字が区別されるので、LDAPサーバーの設定と一致させる必要があります。

   • JNDIコンテキスト・ファクトリ・クラス

     デフォルト値は、com.sun.jndi.ldap.LdapCtxFactoryです。

   • ログイン・ユーザー名に使用される属性

     ログイン・ユーザー名の値を指定する属性を入力します。これは、相対識別名(RDN)としても知られています。この値のデフォルト値はcnです。

   • 認可システムと一致するユーザーに使用する属性 - ユーザーを認可システムと照合する値を提供する属性を入力します。たとえばorcleguidと入力します。

5. 「適用」をクリックします。
6. BI Publisherサーバーを再起動します。

認証および認可にLDAPプロバイダを使用するためのBI Publisherの構成

BI PublisherをLDAPプロバイダと統合して、ユーザーとレポートのアクセス権を管理することができます。

LDAPサーバー内にユーザーとロールを作成し、LDAPサーバーにアクセスするようにBI Publisherサーバーを構成します。

BI Publisherのセキュリティ・センター・モジュールで、これらのロールにフォルダを割り当てます。サーバーにログインしたユーザーは、LDAPロールに割り当てられているフォルダおよびレポートにアクセスできます。

BI PublisherサーバーをOracle LDAPと統合する場合、3つの主要なタスクがあります。

1. LDAPプロバイダでのユーザーとロールの設定
2. LDAPサーバーを認識するようにするためのBI Publisherの構成
3. ロールへのカタログ権限とデータ・アクセス権の割当て

サポート対象のLDAPサーバーでサポートされているハードウェアとソフトウェアの最新情報の詳細は、「システム要件と動作要件」を参照してください。

LDAPプロバイダでのユーザーとロールの設定

LDAPプロバイダでこの手順を実行する必要があります。この手順の実行方法の詳細は、プロバイダのドキュメントを参照してください。

ユーザーおよびロールを設定するには:

1. LDAPプロバイダのドメイン・ルート・ノードで、次の表に示すロールを作成してBI Publisherと統合します。必要な機能ロールの詳細は、「BI Publisherのユーザー、ロールおよび権限の概要」を参照してください。

   BI Publisherシステム・グループ	説明
   XMLP_ADMIN	BI Publisherサーバーの管理者ロール。LDAPサーバーへのアクセスに使用する管理者アカウントにXMLP_ADMINグループを割り当てる必要があります。
   XMLP_DEVELOPER	レポートとデータ・モデルを作成および編集できるロール。
   XMLP_SCHEDULER	レポートをスケジュールできるロール。
   XMLP_TEMPLATE_DESIGNER	Template Builder for WordからBI Publisherサーバーに接続してテンプレートのアップロードとダウンロードができるロール。BI Publisherレイアウト・エディタを使用してレイアウトを設計できるロール。

2. 実装内容に応じて、その他の機能ロール(例: HRマネージャ、倉庫担当者または営業マネージャ)を作成し、適切なBI Publisher機能ロールを割り当てます。
3. ロールをユーザーに割り当てます。

   ノート:

   管理者アカウントには必ずXMLP_ADMINロールを割り当ててください。

LDAPサーバーを認識するためのBI Publisherサーバーの構成

LDAPサーバーを認識するようにBI Publisherサーバーを構成するには、BI Publisherの「管理」ページでセキュリティ・プロパティを次のように更新します。

ノート:

BI Publisher設定の値を入力する前に、サイトのLDAPサーバー構成を理解していることを確認してください。

LDAPサーバーを使用するようにBI Publisherサーバーを構成するには:

1. 「管理」ページの「セキュリティ・センター」,で、「セキュリティ構成」をクリックします。
2. ローカル・スーパーユーザーを作成します。

   スーパーユーザー名とパスワードを入力し、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択します。ローカル・スーパーユーザーを有効化すると、セキュリティ・モデルの構成エラーが発生した場合でも、BI Publisherの「管理」ページにアクセスできます。

3. 「認可」リージョンまでスクロールします。「セキュリティ・モデル」として「LDAP」を選択します。
4. 次のように入力します。

   • URL

     例: ldap://example.com:389/

     SSL経由でLDAPを使用している場合は、次のことに注意してください。

     • プロトコルはldapsです。

     • デフォルト・ポートは636です。

     例: ldaps://example.com:636/

   • LDAPサーバーの「管理者ユーザー名」 と「パスワード」

     ここに入力する管理者ユーザーは、XMLP_ADMINグループのメンバーにもなっている必要があります。

   • ユーザーの識別名

     例: cn=Users,dc=example,dc=com

     識別名の値では大文字と小文字が区別されるので、LDAPサーバーの設定と一致させる必要があります。

   • グループの識別名

     例: cn=Groups,dc=us,dc=oracle,dc=com

     デフォルト値は、cn=OracleDefaultDomain,cn=OracleDBSecurity,cn=Products,cn=OracleContext,dc=example,dc=comです。

   • グループ検索フィルタ

     デフォルト値は、(&(objectclass=groupofuniquenames)(cn=*))です。

   • グループ属性名

     デフォルト値は、cnです。

   • グループ・メンバー属性名

     デフォルト値は、uniquememberです。

   • グループのメンバー属性名

     (オプション)この属性は、ユーザーとグループでmemberOf属性を使用できる場合にのみ設定します。この属性を使用できる場合は、「グループ・メンバー属性」の指定は不要です。たとえば、memberOfやwlsMemberOfなどです。

   • グループ説明属性名

     デフォルト値はdescriptionです。

   • JNDIコンテキスト・ファクトリ・クラス

     デフォルト値は、com.sun.jndi.ldap.LdapCtxFactoryです。

   • グループ取得ページ・サイズ

     この値を設定すると、検索結果の単純なページング処理でLDAPv3制御拡張機能をサポートできます。デフォルトでは、BI Publisherサーバーはページ区切りを使用しません。この値により、1ページに返される結果の数(たとえば、200)が決まります。この機能をサポートするには、LDAPサーバーがコントロール・タイプ1.2.840.113556.1.4.319(Oracle Internet Directory 10.1.4など)をサポートしている必要があります。値を入力する前に、この制御タイプのサポートの詳細を、ご使用のLDAPサーバーのドキュメントを参照してください。

   • ログイン・ユーザー名に使用される属性

     ログイン・ユーザー名の値を指定する属性を入力します。これは、相対識別名(RDN)としても知られています。この値のデフォルト値はcnです。

   • LDAPキャッシュを自動的にクリア - 指定した間隔でLDAPキャッシュの自動リフレッシュをスケジュールするには、このボックスを選択します。このボックスを選択すると、次のフィールドが追加で有効になります。

     • 「LDAPキャッシュ間隔」に整数を入力します。たとえば、LDAPキャッシュを1日に1回クリアするには、1を入力します。

     • 「LDAPキャッシュ間隔単位」で、「日」、「時間」または「分」を選択します。

   • デフォルトのユーザー・グループ名

     (オプション)フォルダ、レポートまたはその他のカタログ・オブジェクトのセットへのアクセスをすべての認証ユーザーに許可するための要件がサイトに備わっている場合は、このオプションを使用します。ここに入力するユーザー・グループ名は、すべての認証ユーザーに追加されます。このデフォルトのユーザー・グループに割り当てるカタログ権限やデータソース権限は、すべてのユーザーに付与されます。

   • データ問合せバインド変数の属性名

     (オプション)データ問合せでバインド変数として使用される属性値を設定するには、このプロパティを使用します。LDAP属性名を複数入力する場合は、memberOf, primaryGroupID, mailのようにカンマで区切って入力します。

     『Oracle Business Intelligence Publisherデータ・モデリング・ガイド』のLDAPユーザー属性からのバインド変数の作成に関する項を参照してください。

5. 「適用」をクリックします。BI Publisherサーバーを再起動します。

次の図に、「セキュリティ構成」ページのLDAPセキュリティ・モデルの入力フィールドの例を示します。

図GUID-ABAE5210-87E3-4F87-934C-1D8CC6E3347A-default.gifの説明

SSL経由でLDAPを使用するようにBI Publisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。「Secure Socket Layer (SSL)通信用のBI Publisherの構成」を参照してください。

ロールへのデータ・アクセス権およびカタログ権限の割当て

「管理」ページで、データ・アクセス権とカタログ権限をロールに割り当てます。

ロールにデータ・アクセス権およびカタログ権限を割り当てるには:

1. LDAPプロバイダでXMLP_ADMINロールが割り当てられているユーザーとして、BI Publisherにログインします。
2. 「管理」ページで、「ロールと権限」をクリックします。

   LDAPプロバイダで作成し、XMLP_の各種ロールを割り当てたロールが表示されます。次の点に注意してください。

   • XMLP_Xロールは、LDAPインタフェースを介して制御されるため表示されません。

   • 「ユーザー」タブは、「セキュリティ・センター」で使用できなくなりました。ユーザーはLDAPインタフェースで管理します。

   • ロールは、BI Publisherインタフェースでは更新できません。ただし、データソースの追加は可能です。

3. 「データソースの追加」をクリックしてBI Publisherデータソースをロールに追加します。データソースからレポートを実行したりデータ・モデルを構築するためには、そのデータソースに対するアクセス権がロールに割り当てられている必要があります。詳細は、「データ・アクセス権の付与」を参照してください。
4. カタログ権限をロールに付与します。ロールへのカタログ権限の付与の詳細は、「カタログ権限について」および「カタログ権限の付与」を参照してください。

これで、LDAPユーザー名とパスワードを使用して、ログインできるようになりました。

BI Publisher固有のロールを持たないユーザーのログイン無効化

BI Publisher固有のロールを持たないユーザーがBI Publisherサーバーにログインできないようにするには、xmlp-server-config.xmlファイルで構成プロパティを設定します。

xmlp-server-config.xmlファイルは、次の場所にあります。

$DOMAIN_HOME/bidata/components/bipublisher/repository/Admin/Configuration/xmlp-server-config.xml

xmlp-server-config.xmlファイルに、次のプロパティと設定を追加します。

<property name="REQUIRE_XMLP_ROLE_FOR_LOGIN" value="true"/>

Microsoft Active Directoryとの統合

Microsoft Active Directoryでは、LDAPインタフェースをサポートしているため、LDAPセキュリティを使用することにより、BI Publisherと組み合せて構成できます。

• Active Directoryの構成

• BI Publisherの構成

• Active Directoryの資格証明を使用したBI Publisherへのログイン

• ロールへのデータ・アクセス権およびカタログ権限の割当て

Active Directoryの構成

ユーザーおよびシステム・グループを追加することにより、Active Directoryのサポートを構成します。

Active Directoryを構成するには:

1. BI Publisherへのアクセスが必要なユーザーを追加します。

   ドメイン・ルート内のUsersまたはその他の組織単位でユーザーを追加します。

2. BI Publisherのシステム・グループを追加します。グループのスコープは、ドメイン・ローカルです。

   次の表に、追加する必要のあるBI Publisherシステム・グループを示します。

   BI Publisherシステム・グループ	説明
   XMLP_ADMIN	BI Publisherサーバーの管理者ロール。LDAPサーバーへのアクセスに使用する管理者アカウントにXMLP_ADMINグループを割り当てる必要があります。
   XMLP_DEVELOPER	レポートとデータ・モデルを作成および編集できるロール。
   XMLP_SCHEDULER	レポートをスケジュールできるロール。
   XMLP_TEMPLATE_DESIGNER	Template Builder for WordからBI Publisherサーバーに接続してテンプレートのアップロードとダウンロードができるロール。BI Publisherレイアウト・エディタを使用してレイアウトを設計できるロール。

3. BI Publisherのシステム・グループをグローバル・グループまたはユーザーに付与します。

   BI Publisherのシステム・グループは、ユーザーに直接付与することもグローバル・グループを介して付与することもできます。

例1: ユーザーへのBI Publisher管理者ロールの付与

1. 「Active Directory ユーザーとコンピュータ」で、XMLP_ADMINグループを開いて「メンバー」タブをクリックします
2. 「追加」をクリックして、BI Publisher管理者権限が必要なユーザーを追加します。

例2: ユーザーへのレポートのスケジュール機能へのアクセス権の付与

HR管理者グローバル・グループは、「ユーザー」で定義します。

このグループのすべてのユーザーがレポートをスケジュールする必要があります。

そのためには、HR管理者をXMLP_SCHEDULERグループのメンバーとして追加します。

BI Publisherの構成

「管理」ページでBI Publisherを構成します。

BI Publisherを構成するには:

1. 「管理」ページで、「セキュリティ構成」をクリックします。
2. ローカル・スーパーユーザーをまだ構成していない場合は、設定します。セキュリティ構成が失敗した場合でも、スーパーユーザーの資格証明を使用してBI Publisherにログインできるため、この設定は非常に重要です。
3. このページの「認可」リージョンで、「セキュリティ・モデル」リストから「LDAP」を選択します。
4. 「LDAPサーバーを認識するためのBI Publisherサーバーの構成」の説明に従って、Active Directoryサーバーの詳細を入力します。その際には、Active Directoryに関する次の各情報に注意してください。

   • 「グループ検索フィルタ」でobjectclassをgroupに設定します。

   • 「グループのメンバー属性名」をmemberOfに設定します(「グループのメンバー属性名」は空白のままにできます)。

   • 「ログイン・ユーザー名に使用される属性」をsAMAccountNameに設定します。

   • SSL経由でLDAPを使用している場合は、次のことに注意してください。

     • プロトコルはldapsです

     • デフォルト・ポートは636です。

     URLはたとえばldaps://example.com:636/のようになります

   次の図は構成例を示しており、前述の推奨事項は強調表示されます。

   
   

   
   図GUID-3BD3DD24-A955-4F9B-AC61-07D9938C1C33-default.gifの説明

   
   
5. 「適用」をクリックします。BI Publisherアプリケーションを再起動します。

SSL経由でLDAPを使用するようにBI Publisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。詳細は、「Secure Socket Layer(SSL)通信用のBI Publisherの構成」を参照してください。

Active Directoryの資格証明を使用したBI Publisherへのログイン

「Active Directory ユーザーとコンピュータ」→「ユーザーのプロパティ」→「アカウント」で定義されているユーザーのログイン名がBI Publisherのログイン名に使用されます。

BI Publisherにログインするには、ユーザー名にドメインを追加します。たとえば、「scott_tiger@domainname.com」のようになります。

次の点に注意してください。

• 「ログイン・ユーザー名に使用される属性」には、userPrincipalNameではなくsAMAccountNameを指定できます。

• BI Publisherログイン・ユーザー名にユーザー・ログオン名(Windows 2000以前)の使用が必要である場合は、「ログイン・ユーザー名に使用される属性」にsAMAccountNameを使用する必要があります。

• ユーザー名はすべての組織単位を通じて一意である必要があります。

ロールへのデータ・アクセス権およびカタログ権限の割当て

「管理」ページで、データ・アクセス権とカタログ権限をロールに割り当てます。

ロールにデータ・アクセス権およびカタログ権限を割り当てるには:

1. Active DirectoryでXMLP_ADMINロールが割り当てられているユーザーとしてBI Publisherにログインします。
2. 「管理」ページで、「ロールと権限」をクリックします。

   Active Directoryで作成し、XMLP_の各種ロールを割り当てたロールが表示されます。次の点に注意してください。

   • XMLP_Xロールは、Active Directoryインタフェースを介して制御されるため表示されません。

   • 「ユーザー」タブは「セキュリティ・センター」で使用できなくなりました。ユーザーはActive Directoryで管理します。

   • ロールは、BI Publisherインタフェースでは更新できません。ただし、データソースの追加は可能です。

3. 「データソースの追加」をクリックしてBI Publisherデータソースをロールに追加します。データソースからレポートを実行したりデータ・モデルを構築するためには、そのデータソースに対するアクセス権がロールに割り当てられている必要があります。詳細は、「データ・アクセス権の付与」を参照してください。
4. カタログ権限をロールに付与します。ロールへのカタログ権限の付与の詳細は、「カタログ権限について」および「カタログ権限の付与」を参照してください。

BI Publisherのシングル・サインオンの構成(SSO)

シングル・サインオン(SSO)ソリューションを統合することで、ユーザーはログオン(サインオン)して認証を受けるのを一度で済ませることができます。

その後、認証されたユーザーには、そのユーザーに付与された権限に応じて、システム・コンポーネントまたはリソースへのアクセス権が与えられます。BI Publisherは、Oracle Fusion MiddlewareおよびOracle WebLogic Server用に構成されているSSOソリューションによって認証された受信HTTPリクエストを信頼するように構成できます。Oracle Fusion Middleware用のSSO構成の詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。

SSO認証を使用するようにBI Publisherが構成されている場合は、Oracle Fusion Middlewareで使用するように構成されている任意のSSOソリューションで認証されたユーザーを受け入れます。SSOが有効でない場合は、BI Publisherはユーザーごとに認証資格証明を確認します。BI PublisherがSSOを使用するように構成されている場合は、ユーザーは、まず、認証のためにSSOソリューションのログイン・ページにリダイレクトされます。

BI PublisherでSSO認証を使用できるように構成するには、少なくとも次のことを実行しておく必要があります。

• SSO認証を受け付けるようにOracle Fusion MiddlewareとOracle WebLogic Serverを構成します。本番環境では、Oracle Access Managerをお薦めします。

• 受信メッセージを信頼するようにBI Publisherを構成します。

• SSO構成でのIDの伝播に必要なHTTPヘッダー情報(つまり、ユーザーIDとSSOのCookie)を指定して構成します。

BI PublisherとSSO認証の連携のしくみ

SSO認可が実装されると、BI Publisherは受信したWebリクエストがSSOで認証されたユーザーからのものであるかのように動作します。ユーザーのパーソナライゼーションと、データレベル・セキュリティなどのアクセス制御は、この環境で保持されます。

BI PublisherでSSO認証を設定するためのタスク

SSO認証の構成タスクと詳細情報へのリンクは、次の表を参照してください。

タスク	説明	詳細情報
Oracle Access ManagerをSSO認証プロバイダとして構成します。	BI PublisherのURLのエントリ・ポイントを保護するようにOracle Access Managerを構成します。	Oracle Access Manager環境でのSSOの構成 『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください
HTTPプロキシを構成します。	BI PublisherからSSOプロバイダへリクエストを転送するようにWebプロキシを構成します。
Oracle WebLogic Server用に新しい認証プロバイダを構成します。	BI PublisherがインストールされているOracle WebLogic Serverドメインで、新しいアイデンティティ・ストアを使用するように構成します。	Oracle WebLogic Serverの新しい認証プロバイダの構成 Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください
Oracle WebLogic Serverの新しいIDアサーション・プロバイダを構成します。	BI PublisherがインストールされているOracle WebLogic Serverドメインで、アサーション・プロバイダとしてSSOプロバイダを使用するように構成します。
BI PublisherがSSO認証を受け入れられるようにします。	BI Publisherと連携するよう構成されているSSOプロバイダを有効にします。	Oracle Fusion MiddlewareセキュリティのBI Publisherの構成

ノート:

Oracle Business IntelligenceのSSOのインストレーション・シナリオの例については、『Oracle Business Intelligenceエンタープライズ・デプロイメント・ガイド』を参照してください。

Oracle Access Manager環境でのSSOの構成

WebLogic ServerとOracle Fusion MiddlewareのSSO認証プロバイダとしてOracle Access Managerを構成します。

『Oracle Platform Security Servicesによるアプリケーションの保護』 を参照してください。

Oracle Fusion Middleware環境を構成した後、BI Publisherを構成するため、一般的に次を行う必要があります。

• BI PublisherのURLエントリ・ポイントを保護するようにSSOプロバイダを構成します。

• BI PublisherからSSOプロバイダへリクエストを転送するようにWebサーバーを構成します。

• BI PublisherがインストールされているOracle WebLogic Serverドメインのメイン認証ソースとして新しいアイデンティティ・ストアを構成します。詳細は、「Oracle WebLogic Serverの新しい認証プロバイダの構成」を参照してください。

• BI PublisherがインストールされているOracle Access Managerドメインで、Oracle Access Managerアサーション・プロバイダを使用するように構成します。詳細は、「Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOAMの構成」を参照してください。

• SSO環境の構成が完了したら、BI PublisherのSSO認証を有効化します。詳細は、「Oracle Fusion MiddlewareセキュリティのBI Publisherの構成」を参照してください。

Oracle WebLogic Serverの新しい認証プロバイダの構成

BI Publisherのインストール後、Oracle WebLogic Serverの組込みLDAPサーバーがデフォルトの認証ソース(アイデンティティ・ストア)になります。新しいアイデンティティ・ストア (OIDなど)をメイン認証ソースとして使用するには、(BI Publisherがインストールされている)Oracle WebLogic Serverドメインを構成する必要があります。

Oracle WebLogic Serverでの認証プロバイダの構成の詳細は、『Oracle WebLogic Serverセキュリティの管理』を参照してください。

Oracle WebLogic Serverで新しい認証プロバイダを構成するには:

1. Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。

2. 左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。

   デフォルトのセキュリティ・レルムはmyrealmという名前です。

3. 「プロバイダ」タブを表示し、「認証」サブタブを表示します。

4. 「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動します。

   各フィールドに次の情報を入力します。

   • 名前: 「OID Provider」または任意の名前。

   • タイプ: OracleInternetDirectoryAuthenticator

   • 「OK」をクリックし、変更を保存して、新しい認証プロバイダで更新された認証プロバイダ・リストを表示します。

5. 認証プロバイダの表で、新たに追加した認証プロバイダをクリックします。

6. 「設定」に移動して、「構成」→「共通」タブを選択します。

   • 「制御フラグ」リストで「SUFFICIENT」を選択します。

   • 「保存」をクリックします。

7. 「プロバイダ固有」タブをクリックし、使用する環境に適切な値を使用して、次の設定を指定します。

   セクション名	フィールド名	説明
   接続	ホスト	LDAPホスト名。たとえば、<localhost>などです。
   接続	ポート	LDAPホストのリスニング・ポート番号。たとえば、6050です。
   接続	プリンシパル	LDAPサーバーに接続するユーザーの識別名(DN)。たとえば、cn=orcladminです。
   接続	資格証明	プリンシパルとして入力されたLDAP管理ユーザーのパスワード。
   ユーザー	ユーザー・ベースDN	ユーザーを含むLDAPサーバー・ツリーのベース識別名(DN)。たとえば、Oracle Access Managerと同じ値を使用します。
   ユーザー	すべてのユーザーのフィルタ	LDAP検索フィルタ。たとえば、(&(uid=*) (objectclass=person))などです。アスタリスク(*)は、すべてのユーザーをフィルタします。詳細は、「詳細」をクリックします。
   ユーザー	名前指定によるユーザー・フィルタ	LDAP検索フィルタ。詳細は、「詳細」をクリックします。
   ユーザー	ユーザー名属性	認証に使用する属性(cn、uid、mailなど)。ディレクトリ・サーバーのユーザー名のデフォルトの属性として設定します。たとえば、uidなどです。 ノート: ここで指定する値は、認証プロバイダで使用しているユーザー名属性と一致している必要があります。
   グループ	グループ・ベースDN	グループ(ユーザー・ベースDNと同じ)を含むLDAPサーバー・ツリーのベース識別名(DN)。
   一般	GUID属性	LDAPでオブジェクトGUIDの定義に使用する属性。 orclguid

8. 「保存」をクリックします。

9. 次のステップを実行して、IDアサーション・プロバイダと併用できるようにデフォルトの認証プロバイダを設定します。

   1. メインの「myrealmの設定」ページで「プロバイダ」タブを表示してから、「認証」サブタブを表示して、「DefaultAuthenticator」を選択してその構成ページを表示します。

   2. 「構成」→「共通」タブを表示し、「制御フラグ」リストで「SUFFICIENT」を選択します。

   3. 「保存」をクリックします。

10. 次のステップに従ってプロバイダを並べ替えます。

    1. 「プロバイダ」タブで「並替え」をクリックすると、「認証プロバイダの並替え」ページが表示されます

    2. プロバイダ名を選択してから矢印ボタンを使用して、次の順序でプロバイダのリストを並べます。

       • OID認証プロバイダ(SUFFICIENT)

       • OAMアイデンティティ・アサータ(REQUIRED)

       • デフォルト認証プロバイダ(SUFFICIENT)

    3. 「OK」をクリックして、変更を保存します。

11. チェンジ・センターで、変更のアクティブ化をクリックします。

12. Oracle WebLogic Serverを再起動します。

Oracle WebLogic Serverの新しいIDアサーション・プロバイダとしてのOAMの構成

BI PublisherがインストールされているOracle WebLogic Serverドメインが、Oracle Access Managerアサーション・プロバイダを使用するように構成されている必要があります。

Oracle WebLogic Serverに新しいアサーション・プロバイダを作成する方法の詳細は、Oracle WebLogic Server管理コンソール・オンライン・ヘルプを参照してください。

Oracle WebLogic Serverの新しいアサーション・プロバイダとしてOracle Access Managerを構成するには:

1. Oracle WebLogic Server管理コンソールにログインします。

2. Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、myrealmです。「プロバイダ」を選択します。

3. 「新規」をクリックします。各フィールドに次の情報を入力します。

   • 名前: 「OAM Provider」または任意の名前。

   • タイプ: OAMIdentityAsserter。

4. 「OK」をクリックします。

5. 「保存」をクリックします。

6. 「プロバイダ」タブで、次のステップに従ってプロバイダを並べ替えます。

   1. 「並替え」をクリックします

   2. 「認証プロバイダの並替え」ページでプロバイダ名を選択し、リストの横にある矢印を使用して、次の順序でプロバイダを並べます。

      • OID認証プロバイダ(SUFFICIENT)

      • OAMアイデンティティ・アサータ(REQUIRED)

      • デフォルト認証プロバイダ(SUFFICIENT)

   3. 「OK」をクリックして、変更を保存します。

7. チェンジ・センターで、変更のアクティブ化をクリックします。

8. Oracle WebLogic Serverを再起動します。

   Oracle WebLogic Serverに再度ログインして、LDAPサーバーに格納されているユーザーおよびグループがコンソールに表示されていることを確認することによって、Oracle Internet Directoryが新しいアイデンティティ・ストア(デフォルトの認証プロバイダ)であることを確認できます。

9. Fusion Middleware Controlを使用して、SSO認証を有効化します。

Oracle Fusion MiddlewareセキュリティのBI Publisherの構成

Oracle WebLogic Serverを構成してから、BI Publisherの「管理」の「セキュリティ構成」ページに移動します。「認可」リージョンで「セキュリティ・モデル」として「Oracle Fusion Middleware」を選択します。

図GUID-A722ED5B-E709-4E9E-996F-2C075407BA1F-default.gifの説明

Oracleシングル・サインオンの設定

「アイデンティティ・ストア構成」ページでOracleシングル・サインオンを設定します。

Oracleシングル・サインオンを設定するには、最初に『Oracle WebLogic Serverセキュリティの管理』の指示に従ってWebLogic Serverを構成します。Oracle Internet DirectoryをデフォルトのLDAPサーバーとして使用するように、BI Publisherを構成する必要があります。

ノート:

Oracle SSOを使用する場合、BI PublisherではHTTPヘッダー値であるOsso-User-Dnからログイン・ユーザー名が得られることを前提としています。たとえば、HTTPヘッダーのOsso-User-Dnが次のとおりだとします。

cn=admin,cn=users, dc=us,dc=oracle,dc=com

BI Publisherでは、最初のcn=値がログイン・ユーザー名であるとみなします(この場合はadmin)。

したがって、Osso-User-Dnの最初のcn値にログイン・ユーザー名が指定されていない場合は、(Oracle SSOを使用している場合でも)その他のSSOタイプを選択し、設定を構成します。

設定手順

mod_osso.confファイルでSSOを設定します。

SSOを設定するには:

1. xmlpserverを保護するように、アプリケーション・サーバー構成ファイルを変更します。『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。
2. mod_osso.confで、新しいLocationディレクティブを次のように追加します。

   <!-- Protect xmlpserver -->
   <Location /xmlpserver>
         require valid-user
         AuthType Basic
   </Location>
   

3. BI Publisherとそのクライアント・コンポーネント(Template Builder)間でWebサービス通信を行うには、mod_osso.confファイルに追加の変更を行う必要があります。xmlpserverを開いてWebサービスを許可するには、次のディレクティブを入力します。

   <Location /xmlpserver/services/>
     require valid-user
        AuthType Basic
        Allow from All
        Satisfy any
   </Location>
   
   <Location /xmlpserver/report_service/>
     require valid-user
        AuthType Basic
        Allow from All
        Satisfy any
   </Location>
   
   Location /xmlpserver/ReportTemplateService.xls/>
     require valid-user
        AuthType Basic
        Allow from All
        Satisfy any
   </Location>
   

4. Oracle BI Presentation Servicesと統合するには、BI Presentation ServicesサーバーとBI Publisherサーバー間におけるWebサービスのSSOを無効にする必要があります。これまでのステップを実行する中でこの入力を行った場合は、このステップを繰り返す必要はありません。

   xmlpserverを開いてWebサービスを許可するには、次のディレクティブをmod_osso.confファイルに入力します。

   <Location /xmlpserver/services/>
    require valid-user
        AuthType Basic
        Allow from All
        Satisfy any
   </Location>
   

   この項で説明しているエントリを含むmod_osso.confファイルの例を次に示します。

   LoadModule osso_module libexec/mod_osso.so
    
    <IfModule mod_osso.c>
        OssoIpCheck off
        OssoIdleTimeout off
        OssoConfigFile /home/as1013/ohome/Apache/Apache/conf/osso/osso.conf
    
      <Location /xmlpserver>
        require valid-user
        AuthType Basic
      </Location>
    
    <Location /xmlpserver/services/>
     require valid-user
        AuthType Basic
        Allow from All
        Satisfy any
   </Location>
   
   <Location /xmlpserver/report_service/>
     require valid-user
        AuthType Basic
        Allow from All
        Satisfy any
   </Location>
   
   Location /xmlpserver/ReportTemplateService.xls/>
     require valid-user
        AuthType Basic
        Allow from All
        Satisfy any
   </Location>
   
   <Location /xmlpserver/Guest/>
    require valid-user
        AuthType Basic
        Allow from All
        Satisfy any
   </Location>
    #
    # Insert Protected Resources: (see Notes below for how to protect resources)
    #
    
    
    #______-
    #
    # Notes
    #
    #______-
    #
    # 1. Here's what you need to add to protect a resource,
    #    e.g. <ApacheServerRoot>/htdocs/private:
    #
    #      <Location /private>
    #      require valid-user
    #      AuthType Basic
    #      </Location>
    #
    </IfModule>
    
    #
    # If you would like to have short hostnames redirected to
    # fully qualified hostnames to allow clients that need 
    # authentication through mod_osso to be able to enter short
    # hostnames into their browsers uncomment out the following
    # lines
    #
    #PerlModule Apache::ShortHostnameRedirect
    #PerlHeaderParserHandler Apache::ShortHostnameRedirect
   

5. HTTPサーバーを再起動します。
6. BI Publisherの「セキュリティ構成」ページで「シングル・サインオフURL」を設定します。

   「管理」ページで、「セキュリティ構成」をクリックします。「認証」リージョンで、次を実行します。

   • 「シングル・サインオンの使用」を選択します。

   • 「シングル・サインオン・タイプ」リストで、「Oracle Single Sign-On」を選択します。

   • 前のステップで書き留めておいた値を「シングル・サインオフURL」に入力します。残りのフィールドは、Oracle SSOには使用できません。

     BI Publisherの「セキュリティ構成」ページの例を次に示します。

     
     

     
     図GUID-8F80ABDF-6575-4360-A4B2-4CF3100DFA72-default.gifの説明

     
     
7. 選択したセキュリティ構成にかかわらずBI Publisherにアクセスできるようにするために、BI Publisherのローカル・スーパーユーザーを作成します。詳細は、「ローカル・スーパーユーザーの有効化」を参照してください。
8. 「適用」をクリックします。
9. Oracle Fusion Middlewareの「制御」ページからアプリケーションを再起動します。
10. BI Publisher EnterpriseアプリケーションにアクセスするURLを入力すると、SSOログイン・ページにリダイレクトされます。